时代新媒体出版社有限责任公司网络安全设备采购项目

序号

设备

名称

招标参数

单位

数量

1

入侵防御系统

1、 ★配备6个GE电口(含2组BYPASS接口)，最大可扩展22个电口或16个千兆SFP光口或8个万兆SFP+光口，提供2个通用扩展槽、2个USB接口、面板具备硬盘告警指标灯； IPS吞吐量≥9Gbps，最大并发会话数≥400万，每秒新建会话数≥9万,配置1T存储空间用于存储威胁相关日志与报表；

2、 ★Web防护：系统具备对网站外链防护功能，具备对CC攻击的检测和防御能力、跨站脚本攻击的检测和防御能力、SQL注入攻击的检测和防御能力，可以对Web服务系统提供保护，需提供相关截图证明；

3、 ★入侵防御：支持HTTP Get、Head、Put、Post等多种协议方法检查，依据IP、TCP、UDP、IGMP、ICMP等网络层的各项参数设置特征，全面设置TCP/IP应用层的特征比对内容，不受通信协议的限制；支持跨数据包检测机制，包括：比对位移(matching offset)、比对长度(matching depth)、比对距离(matching distance)、比对范围(within)；支持基于流的数据包(stream-based)比对技术"；提供7000多种特征的攻击检测和防御，特征库支持网络实时更新,需提供相关截图证明；

4、 应用识别：可识别超过3,000种以上应用程序；支持SSL加密应用识别与控制，支持针对Android、iOS等移动应用的识别，需提供相关截图证明；

5、 ★具备扩展云端沙箱功能，当设备本身无法判定是否是未知威胁时，由云沙箱引擎提交给云沙箱进行未知威胁检测，返回检测结果，并呈现云沙箱检测未知威胁的完整证据链（提供上述配置截图）；

6、 ★为了便捷的管理与运维，提供针对入侵防御的管理运维移动APP，并将安全设备注册到云端运维平台，通过移动终端实时查看主备入侵防御的运行状态，包括实时的流量、应用、设备资源使用率等，当出现告警事件，及时推送给移动运维APP，便于管理员快速定位与解决问题（提供相应截图）。

7、 病毒过滤：基于流的病毒过滤，支持压缩病毒文件的扫描，超过800万的病毒特征库，病毒库支持网络实时更新

8、 日志与报表：报表需要包含多视角,提供安全风险概览、安全风险详情、威胁类型、网络流量分析、系统运行状况不同维度报表。支持用户自定义报表，支持PDF报表格式，支持周期性报表输出，丰富的威胁日志内容，包含CVE-ID、漏洞描述信息和解决方案，需要上述提供截图证明。

9、  ★支持智能威胁分析：未知威胁检测（提供官方技术白皮书）：采用高级威胁检测引擎，采用行为分析技术检测无法通过特征方式检测出来的未知网络威胁（如威胁的加壳与变种），提供未知威胁的检测详细说明截图：包括名称、域名、已经恶意URL、恶意威胁URL、恶意软件的可信度等，web管理界面显示威胁证据报文显示和下载；高级威胁检测特征库为独立文件,支持自动更新；风险减缓措施：支持对威胁行为自动采取减缓措施，避免威胁对业务造成严重的影响。支持带宽限制、会话限制（新建连接数限制和并发连接数限制）、阻断等减缓动作；具备风险减缓规则特征库，风险减缓特征库为独立文件,支持自动更新；智能分析诊断：基于安全域、接口、服务、应用、用户、时间段等作为故障点检索条件，WEB界面图形化展现策略、会话限制、QOS流量控制、源地址转换、目的地址转换等配置，以便快速定位故障点；支持数据包路径检测工具通过在线检测、模拟检测等检测手段，WEB界面图形化展现数据包经过的每个防火墙功能模块的处理过程，以便快速定位异常功能模块； 支持在线抓包工具，可以根据源地址、目的地址、应用、协议、源端口、目的端口、抓包报文文件大小等条件在线抓包（需要上述提供截图证明）；

10、★资质：入侵防御销售许可证千兆三级、 3C千兆三级；涉密信息系统产品检测证书，下一代防火墙CVE证书、商用密码产品生产定点单位；电信设备进网许可证，国家无线电监测中心防雷击检验报告具有软件著作权登记证书：QoS流量管理软件，入侵防御系统、VPN虚拟专用网络软件、攻击防护软件、虚拟化网络微隔离安全防护、虚拟化安全网关、URL过滤软件，网管软件。厂商获得权威机构NSS LAB下一代防火墙推荐级别认证、ICSA labs防火墙认证；投标品牌在近三期IDC的UTM市场中排名前三和至少三种产品入围Gartner魔力象限、安全厂商是MAPP成员、具备ISO14001环境管理体系、OHSAS 18001:2007职业健康管理体系、全国信息安全标准化技术委员会会员单位，并提供上述相关的证明。

11、★提供应用识别、入侵防御三年上述特征升级服务，投标时提供原厂商针对于本项目授权及三年售后服务承诺函原件。

台

1

2

WEB应用防火墙

1，★标配4个GE电口（含两组bypass功能），最大可扩展至8个千兆口，具备1个接口扩展插槽，标配1T存储空间，具备2个USB接口；网络层吞吐≥5Gbps，应用层吞吐≥500Mbps, 并发连接数≥50万，通过扩展万兆接口卡；

2，★Web防护:具备DDoS攻击防御能力，可以对HTTP Flood快速攻击和HTTP Flood慢速攻击进行防御，具备注入攻击防御能力，可以对SQL注入、LDAP注入、SSI指令注入、Xpath注入、命令注入、远程文件包含以及其他注入进行防御，具备跨站攻击防御能力，可以对XSS和CSRF攻击进行防御,具备信息泄露防御能力，可以防止服务器错误、数据库错误、Web目录内容、程序代码、关键字等信息的泄露，具备保护Cookie安全能力，可以防止Cookie被恶意篡改、Cookie被恶意劫持，具备Web访问控制能力，可以对扫描器的扫描行为、爬虫行为、目录遍历行为进行防御，具备特殊漏洞攻击防御能力，可以对针对Web服务器、Web框架、Web应用程序的漏洞攻击进行防御，具备防御资源非法访问能力，可以对非法上传、非法下载和盗链攻击进行防御，具备恶意软件防御能力，可以对Web Shell、木马攻击等进行防御，上述功能要求需提供相关截图证明；

3，★网页防篡改：支持学习模式和保护模式两种运行模式，支持自定义防护的静态网页类型，支持内置同步引擎同步服务器内容并建立基线，支持篡改监控和正常修改监控，支持篡改内容取证（提供防篡改技术白皮书）；

4，应用加速：支持Web Cache功能，支持SSL卸载（提供WEB应用防火墙SSL卸载技术白皮书）；

5，网络层安全防护：支持整机Flood攻击防护（Syn Flood、UDP Flood、ICMP Flood等）、扫描/欺骗攻击防护、DoS攻击防护、代理攻击防护等；

6，内置报表功能：报表需要包含多视角,提供安全风险概览、站点风险详情、攻击类型详情、站点篡改分析、站点访问量、网络层攻击汇总、系统运行状况不同维度报表，需要提供截图证明；

7，★资质：计算机信息安全专用产品销售许可证-Web应用防火墙，web应用防火墙-信息安全认证3C证书、涉密信息检测证书、电信设备进网许可证、互联网安全研究中心web应用防火墙认证证书。为确保设备稳定性，防范雷击等意外损坏，必须通过国家无线电监测中心检测中心浪涌（冲击）抗扰度（4KV）测试项目，并出具国家无线电监测中心检测中心委托测试报告。要求自主知识产权产品，提供攻击防护、虚拟化网络微隔离安全防护系统、虚拟化安全网关系统软件著作权。厂商为全国信息安全标准化技术委员会会员单位，并提供上述相关的证明，提供厂商项目授权和三年售后服务承诺函原件。

台

1

3

堡垒机

一、硬件参数：

1、★1U，2个USB接口，1个RJ45串口，1个GE管理口，4个GE电口，字符并发会话数≥180，图形并发会话数≥800，2T SATA硬盘，授权管理100台设备，最大可管理授权大于200台，后期可扩展。

二、功能描述：

2、支持Telnet、SSH、RDP、VNC、HTTP、HTTPS等协议审计内容：包括访问起始和终止时间、用户名、用户IP地址、目标设备IP、设备名称、协议/应用类型、事件等级、操作内容等并支持操作内容录像回放。

3、支持客户端访问方式：支持通过SecurCRT等常用的命令行客户端工具登录堡垒机并访问目标设备，具备历史记录功能，可直接跳转至最后一次登录状态。

4、支持根据运维人员的运维习惯，可个性化配置运维参数，更具人性化，提供运维效率；可选择首页设备分组的默认方式，可配置本地客户端路径；可配置默认账号的登录参数，可配置图形、文件、应用运维默认值。

5、要求支持数据库审计功能，能够将网络中的流量通过镜像的方式传到堡垒机，堡垒机以录屏加数据库日志的形式审计运维人员的操作，支持将操作语句与录屏进行实时绑定，能够准确快速的定位数据库语句执行时，整个屏幕的状态。提供厂商盖章的配置界面截图证明。

6、具备工单系统：支持运维工单流程，运维人员审批可提前申请工单，审批人员审批自由度大幅提高，不再受审批时间限制，解放运维人员和审批人员，提高工作效率；工单流程具体包括：工单创建-审批-完成。提供厂商盖章的配置界面截图证明。

7、为了最大程度保障运维安全，针对Linux服务器将采用公钥私钥登录，要求堡垒机需支持公钥私钥代理登录，使用户能够一键通过原有客户端访问访问服务器，而非使用应用发布实现。提供厂商盖章的配置界面截图证明。

8、★入侵审计：要求支持幽灵账号功能，支持主动对从账号进行关联分析，当发现攻击者植入的异常账号时，对相关管理员采取告警、记录及通知等操作。提供产品功能截图。

9、★业务指导：要求支持孤儿账号功能，能够提供对各从账号的运维使用率的分析功能，当发现使用率异常的从账号，对相关管理员采取告警、记录及通知等操作。提供产品功能截图。

10、★堡垒机手机APP功能：支持手机APP上进行登录授权审批，金库授权审批，工单审批，方便客户随时随地进行审批工作，支持手机APP上进行运维监控，包括设备信息推送，系统告警监控。提供产品功能截图

三、服务要求：

1、厂家须具备ISO/IEC27001和ISO9001认证、须提供《涉密信息系统产品检测证书》、《计算机信息系统安全专用产品销售许可证》、《中国国家信息安全产品认证证书》、《信息技术产品安全测评证书--EAL3》；

2、提供三年原厂免费硬件质保、软件保修服务。

台

1

4

系统集成服务

针对本次项目提供技术支持及配合工作，配合信息系统辅助完成等级保护测评工作；

项

1

类别

分项名称

评分要求

分值

商务部分（40分）

投标人报价（满分40分）

满足采购文件要求且价格最低的最终报价为评审基准价，得40分。

其他供应商的价格分统一按照下列公式计算:报价得分=40×(评审基准价／最终报价)

技术分（60分）

产品技术响应(30分)

根据投标人所提供的有效产品彩页（盖章）或有效说明书（盖章）及技术规格响应表：

1、标★产品的技术参数全部满足招标文件要求且非标★产品的技术参数也全部满足招标文件要求的得30分；

2、标★产品的技术参数全部满足招标文件要求但非标★产品的技术参数有1项不满足招标文件要求的扣1分，扣完为止；

3、标★产品的技术参数有1项不满足招标文件要求或未提供有效产品彩页的得0分。

技术及实施方案评定(10分)

1、技术方案达到或超越用户项目建设目标预期；实施方案组织严密、工期安排合适、实施人员队伍强大、充分了解各种可能遇到的问题，能够合理规避各种风险（9～10分）；

2、技术方案基本满足用户的目标预期，实施方案较合理、实施队伍能力一般（5～6分）；

3、技术方案、实施方案不合理，条理混乱，不能满足用户目标预期（0～4分）。

企业资质(8分)

投标人具有计算机信息系统集成三级及以上资质的得3分 

投标人具有ISO 9001质量管理体系认证证书得1分；

投标人具有ISO 14001环境管理体系认证得1分； 

投标人具有ITSS信息技术服务运行标准认证得3分。

业绩案例(6分)

投标人近三年承担过单项合同100万以上的高校信息化类似系统集成项目，每有一个得2分，最多得6分，案例没有的得0分，需提供合同原件。

技术培训、质保和售后服务(6分)

1、投标人承诺提供主要设备厂商免费的技术培训，培训方案须明确时间、地点、师资、课时，评委将根据培训方案的科学性、全面性、合理程度、培训讲师资格进行打分，0～3分。

2、投标人售后服务及维保体系（体系完备、制度健全、售后技术服务承诺、保修期、保修内容及优惠条件）0-3分。