江苏有线盐城分公司接入网综合网管网络安全加固
设备和服务采购项目竞争性磋商公告
江苏省广电有线信息网络股份有限公司盐城分公司(以下简称“江苏有线盐城分公司”)因工作需求,现以竞争性磋商方式选定江苏有线盐城分公司接入网综合网管网络安全加固设备和服务采购项目供应商,欢迎具有相应资质和有完成该项目能力的单位参与询价。
一、采购项目概况
1、项目编号:YC-CGXQD-2023076
2、项目名称:江苏有线盐城分公司接入网综合网管网络安全加固设备和服务采购
3、采购内容:江苏有线盐城分公司接入网综合网管网络安全加固所需应用软硬件供应、安装调试及网络安全评估服务(详见需求内容及参考配置清单)
4、报价范围:报价中应含满足采购方功能需求的所有软硬件、服务的货款、增值税金、运费力资、安装(含安装用工具、调试、售后服务等所有费用)
5、本项目为最高限价为40万元。
二、供应商资格条件
1、设备和服务供应商必须是具备独立法人资格的生产厂家或经原厂商授权的销售代理商(注册资金需达到500万元及以上),经营范围必须包含与本次采购项目有关的内容;
2、设备和服务供应商所提供的软硬件产品需取得网络安全行业入网许可证和设备认证,且已在三个以上不同用户处大规模部署(除采购人以外的地市级以上有线广电或类似行业客户);
3、设备和服务供应商所提供的信息系统安全等级测评与检测、评估服务,必须由其联合并代为采购的、具有公安部认定的信息安全等级保护测评服务资质且入选全国网络安全等级测评与检测评估机构目录、允许在项目所有地开展相应测评与检测服务的机构完成;服务供应商须和测评机构已经具有合作关系(提供评测机构盖章的专项授权材料,以及历史合作案例合同等证明),并对其工作过程、成果负总责;采购人不直接与测评机构发生业务关系;
4、具有良好的商业信誉和健全的财务会计制度;
5、具有履行合同所必需的设备和专业技术能力;
6、近三年在经营活动中无不良行为记录;
7、具备相关设备销售、安装及售后服务资格。
8、除测评服务外,本招标项目不接受联合体投标。
9、资格审查方式:资格后审。由评审委员会对供应商资格要求进行审查,以上所列供应商基本资格要求必须全部满足,才能通过资格审查;供应商资格要求有一项不满足则应判定为资格审查不合格,资格审查不合格的供应商不得参与后续评审,作无效应答处理。
10、服务供应商须保证,采购人在其本国使用服务供应商提供的产品和服务时,不存在任何已知的不合法的情形,也不存在任何已知的与第三方专利权、著作权、商标权或工业设计权相关的任何争议。如果有任何因采购人使用服务供应商提供的产品或服务而提起的侵权指控,服务供应商依法承担全部责任。(提供承诺函)
三、需求内容
1、网络安全加固:出具完整的符合重要信息系统等级保护测评二级标准的安全整改方案并予以实施(包括所必需的网络安全加固的软、硬件设备,如堡垒机、全网行为管理系统、下一代防火墙、日志审计、终端安全管理系统等),负责完成以上所有软硬件系统的安装调试;
2、网络安全评估服务:按照重要信息系统保护二级等保要求,做好江苏有线盐城分公司接入网综合网管网络(包含三套子系统)安全加固首次评测工作、确保测评通过并获得测评报告/证书;在服务期内定期对系统所包含的各类硬件设备和软件系统进行安全检测、扫描修补漏洞、防御外部攻击、保障网络通信安全、做好应急保障,确保网络系统安全可靠,服务期不少于 1 年(每季度不少于一次、每年不少于四次),每次须提交相关安全服务报告。
3、网络安全加固参考设备清单及技术指标要求如下:
(备注:(1)、如供应商提供其他品牌、型号产品,则需提供性能不低于参考品牌及型号产品的证明文件;(2)、同等条件下,优先选择同一品牌的系列安全产品、以保证系统兼容、统一管理)
(1)、运维堡垒机一套,建议品牌:绿盟、深信服、瑞星
|
技术指标 |
指标要求(每套) |
|
性能指标 |
包含运维授权数:50,规格:≥1U,内存大小:≥8G,硬盘容量:≥2T SATA,接口:≥6千兆电口。 |
|
部署模式 |
物理旁路单臂部署,以逻辑网关方式工作;不改变现有网络结构 系统各模块支持以B/S方式管理,采用https加密方式访问 字符协议:SSHv1、SSHv2、TELNET;图形协议:RDP、VNC;文件传输协议:FTP、SFTP、RDP磁盘映射、RDP剪切板;支持通过协议前置机进行协议扩展,至少支持扩展KVM、VMware、数据库、http/https、CS应用等 |
|
Web运维 |
支持web页面直接发起运维,无需安装任何控件,并同时支持调用SecureCRT、Xshell、Putty、WinSCP、FileZilla、RDP等客户端工具实现单点登陆,不改变运维人员操作习惯(需提供相关功能截图证明) |
|
口令密码 |
支持定期变更目标设备真实口令,支持自定义口令变更周期和口令强度。口令变更方式至少支持手动指定固定口令、通过密码表生成口令、依照设备挂载的口令策略生成随机口令、依照密码策略生成同一口令等方式 |
|
IPv6 |
全面支持IPV6,设备自身可以配置IPV6地址供客户端访问,并且支持目标设备配置IPV6地址实现单点登陆和审计(需提供相关功能截图证明) |
|
客户端兼容 |
全面支持Windows、linux、国产麒麟系统、Android、IOS、Mac OS等客户端,实现跨终端适应性BYOD(Bring Your Own Device) |
|
黑名单 |
支持命令黑命单,对字符型设备(如linux/unix/网络设备)的高危命令执行进行阻断,如rm、shutdown、reboot等 |
|
命令审批 |
支持密码文件备份功能,密码文件需密文保存,密码包及解密密钥分别发送给不同管理员保存,并使用专用的解密器才可打开 |
|
审计日志 |
支持通过动作流配置提供广泛的应用接入支持,无论被接入的资源如何设计登录动作,通过动作流配置都可以实现单点登陆和审计接入(需提供相关功能截图证明) |
|
支持监控正在运维的会话,信息包括运维用户、运维客户端地址、资源地址、协议、开始时间等,并可以实时阻断 |
|
|
资源访问 |
图形资源访问时,支持键盘、剪切板、窗口标题、文件传输记录,并且对图形资源的审计回放时,可以从某个键盘、剪切板、窗口标题、文件传输记录的指定位置开始回放 |
|
资质要求 |
为保证产品安全性,所投厂商须为国家信息安全漏洞共享平台CNVD用户组成员,投标时需提供官网查询截图证明扫描件。 |
(2)、全网行为管理系统一套,建议品牌:绿盟、深信服、瑞星
|
技术指标 |
指标要求(每套) |
|
性能指标 |
性能参数:网络层吞吐量:≥2Gb,带宽性能:≥100Mb,规格:≥1U,支持用户数:≥500,接口:≥4千兆电口。 |
|
管理界面 |
支持SSL加密WEB方式、SSH命令行方式管理设备; |
|
管理员权限 |
支持细致的管理员权限划分,包括对不同用户组的管理权限、对各种主要功能界面的配置和查看权限; |
|
实时监控 |
支持首页分析显示接入用户人数、终端类型;带宽质量分析、实时流量排名;泄密风险、违规访问、共享上网等行为风险情况。(提供产品界面截图并出具CNAS、CMA资质的第三方测试机构的测试报告) |
|
告警管理 |
支持攻击、双机切换告警、移动终端管理告警、风险终端发现告警、web关键字过滤告警、杀毒告警、设备流量超限告警、磁盘/CPU/内存异常告警等; |
|
产品联动 |
支持与本次所投终端安全管理系统(EDR)产品实现联动,当检测到终端未安装EDR产品时,禁止上网并提示需要安装EDR终端软件;(需提供相关功能截图证明) |
|
终端分类可视 |
设备必须支持能自动发现网络中通过无线上网的热点和移动终端的IP和终端类型,支持移动终端型号识别; |
|
IP管理 |
支持图形化查看当前内网IP使用情况,帮助管理员减少人工维护IP表的工作量; |
|
终端安全 |
无需安装客户端,通过流量状况检查主流杀毒软件的运行情况,对不满足检查要求的终端可重定向页面修复 |
|
策略配置 |
支持基于用户组、位置、终端类型、URL类型配置上网策略; |
|
网页过滤 |
支持根据访问的URL和网页关键字进行网页过滤,支持设置拒绝以IP访问网页行为; |
|
SSL加密网页识别过滤 |
识别并过滤SSL加密的钓鱼网站、非法网站等,支持将违规https访问重定向到告警页面;(须提供自主知识产权证明) |
|
负载策略适用多种对象 |
支持根据IP、协议、带宽、域用户、域名、应用、DSCP设置选路策略; |
|
通道化应用流控 |
必须支持在不同线路上,根据不同的应用、目标IP、时间段、日期、用户/用户组、位置、终端类型来保证或者限制流量; |
|
P2P智能流控 |
支持通过抑制P2P的下行丢包,来减缓P2P的下行流量,从而解决网络出口在做流控后仍然压力较大的问题; |
|
搜索中心 |
基于时间、用户/组、终端类型、位置、日志类型等条件下的关键字检索定位功能; |
|
资质要求 |
国家标准《信息安全技术信息系统安全审计产品技术要求和测试评价方法》的主要起草单位,需提供相关证明文件。 |
(3)、下一代防火墙三套,建议品牌:绿盟、深信服、瑞星
|
技术指标 |
指标要求(每套) |
|
性能参数 |
网络层吞吐量≥4G,并发连接数≥200万,HTTP新建连接数≥6万,规格:≥1U,硬盘容量≥128G SSD,接口≥8千兆电口+2千兆光口 |
|
认证方式 |
支持管理员双因素认证功能,用户通过用户名/密码和Key等不同方式登陆产品管理界面。 |
|
路由支持 |
产品支持路由类型、协议类型、网络对象、国家地区等条件进行自动选路的策略路由,支持不少于3种的调度算法,至少包括带宽比例、加权流量、线路优先等。 |
|
账号保护 |
本次所投防火墙产品支持用户账号安全保护功能,包括用户账号多余入口检测、用户账号弱口令检测、用户账号暴力破解检测、失陷账号检测,防止因账号被暴力破解导致的非法提权情况发生。需提供产品相关功能截图,并提供公安部计算机信息系统安全产品质量监督检验中心、中国信息安全测评中心、中华人民共和国国家版权局之中任意一家检测机构出具关于“账号保护”的相关证书证明功能有效性。(需提供相关证明文件) |
|
防篡改 |
产品支持包含delete、rmdir、mkdir、等协议命令控制功能,保护对外服务不被恶意篡改。 |
|
访问控制 |
支持添加访问控制策略时对象直接引用防火墙识别的资产信息; |
|
支持管理员指纹校验 |
|
|
防病毒 |
产品支持对多重压缩文件的病毒检测能力,支持不小于16层压缩文件病毒检测与处置。 |
|
URL/文件过滤 |
支持URL过滤,支持HTTP协议和HTTPS协议下的GET,POST请求过滤; 支持文件过滤,支持过滤文件上传和下载方向,支持多种文件类型,如电源、音乐、图片、文本、压缩文件、应用程序等并可支持用户自定义; |
|
高级威胁检测 |
支持微信端接收安全事件告警,微信端一键处置安全事件,如一键隔离挖矿主机、僵尸主机、横向攻击的内网失陷主机等;针对黑客挂马网页网站,支持微信端一键断网,迅速减少网站挂马等安全事件造成较大外部影响(提供手机端展示上述功能相关截图) |
|
具备勒索软件通信防护功能,提供具备CNAS资质的第三方权威机构关于“勒索软件通信防护”产品功能检测报告。 |
|
|
漏洞攻击防护 |
设备具备独立的入侵防护漏洞规则特征库,特征总数在7400条以上,支持自定义漏洞攻击规则库; 可提供最新的威胁情报信息,能够对新爆发的流行高危漏洞进行预警和自动检测,发现问题后支持一键生成防护规则; |
|
资质要求 |
为保证产品安全性,所投厂商应为国家信息安全漏洞共享平台CNVD用户组成员,投标时需提供官网查询截图证明扫描件。 |
(4)、日志审计一套,建议品牌:绿盟、深信服、瑞星
|
技术指标 |
指标要求(每套) |
|
性能指标 |
本次提供50个主机审计许可,规格:≥2U,内存:≥16G,硬盘容量:≥128G minisata+2T SATA*2,具备:≥6个千兆电口+2个万兆光口SFP+; |
|
日志采集 |
内置大量日志处理模型,自动解析主流网络设备、安全设备和中间件的日志数据,标准化自动识别系统类型至少达到200种 |
|
传输与存储转发 |
支持设置日志存储策略,包括设置日志存储周期(天)、存储空间容量使用阈值等; |
|
日志分析 |
支持网站攻击、漏洞利用、C&C通信、暴力破解、拒绝服务、主机脆弱性、主机异常、恶意软件、账号异常、权限异常、侦查探测等内置关联分析规则,内置关联分析规则数量达到350条以上,支持自定义关联分析规则 |
|
支持预置审计策略模板,包括:Windows主机类审计策略模板、Linux/Unix主机类审计策略模板、数据库系统类审计策略模板等,内置审计规则数量不少于40条 |
|
|
数据生成 |
支持POC测试工具一键生成数据。(需提供产品功能截图证明) |
|
资产管理 |
支持资产全生命周期管理,资产入库审核、资产离线风险识别、资产退库、资产数据更新,责任人管理机制等,支持自定义资产标签、属性、 |
|
支持对IPv4/ipv6对象的自动发现功能,对自动发现的设备可以修改、删除或转为资产。 |
|
|
日志转发 |
支持对单个/多个日志源批量转发,支持定时转发,可通过syslog和kafka方式转发到第三方平台,并且支持转发原始日志和已解析日志的两种日志(需提供产品功能截图证明) |
|
规则解析 |
支持通过正则、分隔符、json、xml的可视方式进行自定义规则解析,支持对解析结果字段的新增、合并、映射。(需提供产品功能截图证明) |
|
系统管理 |
支持自定义前台web前端和后端ssh的端口,支持页面超时时间和开启ssh后台登录。 |
|
提供管理员账号创建、修改、删除,并可针对创建的管理员进行权限设置;支持IP免登录,指定IP免认证直接进入平台;支持只允许某些IP登录平台;支持页面权限配置和资产范围配置,用于管理账号权限,满足用户三权分立的需求;支持usb-key认证 |
|
|
首页可视 |
支持可视化展示,包括数据分布、安全事件趋势图、关联规则告警趋势图、接入设备概况等,可提供设备专项分析场景。如防火墙外部攻击场景分析、VPN账号异常场景分析、Windows服务器主机异常场景分析等,通过设备专项页面对每一台设备安全情况深度专业化分析。 |
|
日志检索 |
支持将检索查询的条件收藏为查询模版,支持查询模版创建、导入导出、删除功能,支持历史搜索记录功能。 |
|
支持自定义过滤条件检索,支持对模糊ip、多个ip、ip地址段、应用、协议、MAC地址等其他字段精准检索,至少支持AND、OR、NOT三种运算符 |
|
|
资质要求 |
所投产品厂商应为国家标准《信息安全技术信息系统安全审计产品 技术要求和测试评价方法》的主要起草单位(需提供相关证明文件) |
(5)、终端安全管理系统一套,建议品牌:绿盟、深信服、瑞星
|
技术指标 |
指标要求(每套) |
|
性能指标 |
本次提供10套PC端点安全软件授权及9套服务器端安全软件授权。 |
|
基础功能 |
支持LINUX系统/WindowsXP/Windows Vista/Windows 7/Windows 8/Windows 8.1/Windows 10/Windows Server 2003/Windows Server 2008/Windows Server 2008 R2/Windows Server 2012/Windows Server 2016 采用B/S架构的管理控制中心,具备终端安全可视,终端统一管理,统一威胁处置,统一漏洞修复,威胁响应处置,日志记录与查询等功能。 |
|
资产梳理 |
支持全网视角的终端资产统一清点,清点信息包括操作系统、应用软件、监听端口和主机账户,其中操作系统、应用软件和监听端口支持从资产和终端两个视角进行统计和展示; |
|
云端威胁分析 |
支持跳转链接至云端安全威胁响应系统,针对已发生的病毒的基本信息,影响分析(客户情况、影响行业、区域分布)、威胁分析和处理建议(需提供产品截图证明 )提供产品界面截图并出具CNAS、CMA资质的第三方测试机构的测试报告 |
|
策略配置 |
支持安全策略一体化配置,通过一条策略即可实现不同安全功能的配置,包括:终端病毒查杀的文件扫描配置和Windows系统下信任区文件目录配置;(需提供产品截图证明 ) |
|
威胁检测 |
具备针对最新未知的文件,使用IOC特征(文件hash、dns、url、ip等)的技术,进行云端查询。云端的安全中心,使用大数据分析平台,基于多维威胁情报、云端沙箱技术、多引擎扩展的检测技术等,秒级响应未知文件的检测结果,构架公有云云查体系 。 |
|
支持监控诱饵文件,诱饵文件可被实时监控,当勒索病毒对该文件进行修改或加密操作时进行拦截 |
|
|
合规检查 |
一键式操作对指定终端/终端组进行合规性检查,包括身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范,对不合规的检查项提供设置建议,并可视化展示终端的基线合规检查结果 支持展示终端检测到的暴力破解事件及事件详情,包括:攻击源、攻击类型、检测引擎、最后攻击时间、攻击方法、攻击内容、攻击历史; |
|
Webshell检测 |
支持展示终端检测到的WebShell事件及事件详情,包括:恶意文件名称,威胁等级,受感染的文件,发现时间,检测引擎,文件类型,文件名,文件Hash值,文件大小,文件创建时间;可配置WebShell实时扫描,一旦发现WebShell文件,可自动隔离或仅上报不隔离 |
|
产品联动 |
支持跟本次所投防火墙联动,管理员可以在同厂商的网络防火墙管理界面下发快速查杀任务,并查看任务状态、结果并进行处置,支持在管理平台查询和统计联动信息(需提供产品截图证明 ) |
|
资质 |
为保证产品安全性,所投厂商须为国家信息安全漏洞共享平台CNVD用户组成员,投标时需提供官网查询截图证明扫描件。 |
四、供货要求
1、所有网络安全加固产品(含软、硬件)免费质保期不少于3年,网络安全评估(含首次二级等保认证测评)服务期不少于1 年。
2、自采购公布中标结果三日内同采购人签订供货服务合同。
3、合同签订、接采购人通知后二十日内必须完成供货并负责按采购人的配置要求完成软硬件安装、调试后交付采购人使用(特殊情况双方另行约定,以书面协议为准),60日内完成首次等保测评与加固、取得测评报告或证书。
4、投标产品应是全新、未使用过的、原包装未拆封的商品,其质量及各项技术标准完全满足采购人规定的质量、规格参数和性能的要求,并符合国家标准及原厂商出厂检验标准,符合安全使用和说明书载明的基本使用要求(国家没有相应标准、规范的,可使用行业标准、规定);产品经国家质量检测合格,须有生产厂家规定的售后服务。
五、评标办法
综合评分法,得分最高者中标。本项目竞争性磋商含二次报价(具体以现场评委评审要求为准)。如参与竞争性磋商的单位少于3家,采购人将本次竞争性磋商视为作废,采购人将重新起草文件后发布第二次竞争性磋商公告。评分标准如下:
|
分值 |
评分要求 |
|
|
价格 |
50分 |
A、评审价的计算: 1、供应商的最终报价如有缺漏项均视为不实质性响应; 2、不接受选择性报价或者具有附加条件的报价; 3、响应文件中如果申报了非询价文件所要求的服务和产品,评审时不予以折价降低评审价; 4、供应商的报价经勘误后的值作为该供应商的评审价。 B、价格分的计算(保留小数点后2位): 1、供应商评审价=经评审的该供应商含税总价格。 2、评标基准价:满足响应文件要求的所有供应商评审价中的最低价为评标基准价。注:“最低的投标报价”必须是合理的。如果最低报价属于恶意竞争或明显低于成本价,评审专家将认定为无效投标。 3、计算价格得分:价格分=(评标基准价/供应商的评审价)×50 |
|
综合实力 |
5分 |
根据供应商的企业规模、企业获奖情况、荣誉证书、财务状况(总资产、负债率、利润等)打分。 优良[4,5]分;较好[2,4)分;一般[0,2)分。 |
|
业绩经验 |
10分 |
根据供应商提供的自2020年1月1日以来,所做过的省级及以上系统的规模应用案例打分,案例以合同为准(需提供合同首页、体现服务内容/部署规模页、盖章页)的复印件加盖投标人公章,未提供不得分),每有一个规模应用案例得1.5分,本项最高得分10分。 优良[8,10]分;较好[4,8)分;一般[0,4)分。 |
|
技术需求应答 |
25分 |
根据供应商对询价文件需求内容的功能实现、技术能力证明情况进行打分。 优良[20,25]分;较好[10,20)分;一般[0,10)分。 |
|
项目实施方案 |
5分 |
根据供应商提供的部署、兼容方案及人员配备进行评分: 方案(部署方案、兼容性说明、质量管理等) 、人员配备(优良[4,5]分;较好[2,4)分;一般[0,2)分。 |
|
服务能力 |
5分 |
1、根据供应商的本地化服务能力实力打分:优良[3,2]分;较好[2,1)分;一般[0,1)分; 2、根据供应商服务响应时间横向比较打分:优良[2,3]分;较好[2,1)分;一般[0,1)分。 |
六、付款方式
供货方需开具的发票为1、网络安全加固设备硬件:增值税专用发票,税率为13%;2、网络安全服务:增值税专用发票,税率为6%;
本项目无预付款,在网络安全加固部署完成并经过首次网络安全服务后(以收到的网络安全服务报告日期为准)一个月后付款合同总价的90%(其中包含合同总价的50%半年期承兑汇票),首次等保测评通过一年、设备运行无问题后30日内付款合同价10%。
七、争议的解决办法
在履行合同中发生纠纷,双方应协商解决。协商不成时,提交项目所在地仲裁委员会仲裁或向当地人民法院起诉。仲裁或诉讼期间,除提交仲裁、诉讼的争议部分外,合同其余部分继续履行。
八、询价报价材料内容
(1)报价清单(样式见附件)、点对点技术及商务应答书(格式自定);
(2)营业执照及以上要求的资质文件、授权文件(盖章复印件,原件备查);
(3)投标授权函、投标承诺函、质保承诺函(样式见附件);
(4)产品功能介绍及其他材料。
九、报价单的递交
1、有意参与单位请如实填写报价单、注明公司全称(并附营业执照、授权函及授权代表身份证明、合同案例等相关证件复印件),由法定代表人或其授权代表人签字并加盖公章后,按要求将密封规范的报价单原件,于2024年3月8日下午14:30(北京时间)前,送至盐城市盐都区东进西路36号江苏有线大楼203室。密封文件封面必须注明报价包的名称、报价单位名称、授权代表名称及联系人并加盖报价单位印章。响应文件须包含正本 1 份、副本4份,并在正面位置标明正本、副本。密封不合格、印章不全的报价文件将会被拒绝。
2、外地供应商可快递,快递时应将报价文件先行规范密封后再装入快递袋并在快递外包装醒目处标注参与报价的项目名称、编号,如因未标注或标注不全、不规范而导致的误拆、拒收责任自负,收件人:盐城市盐都区东进西路36号江苏有线大楼203室 叶文芝,联系电话:0515- 88436231 0515-66699396,邮编224500。
3、未在规定时间前送达的供应商,其报价文件将被拒绝。
4、如对技术参数、服务等条款有咨询需求,可以书面形式与以下人员联系:刘毅:19205069989 唐锋:19205088330。
江苏省广电有线信息网络股份有限公司
盐城分公司
2024年3月 4 日