江苏师范大学web应用防护系统及运维安全管理系统谈判采购.docx
《江苏师范大学web应用防护系统及运维安全管理系统谈判采购.docx》由会员分享,可在线阅读,更多相关《江苏师范大学web应用防护系统及运维安全管理系统谈判采购.docx(28页珍藏版)》请在冰豆网上搜索。
江苏师范大学web应用防护系统及运维安全管理系统谈判采购
江苏师范大学web应用防护系统及运维安全管理系统谈判采购文件
(No:
2016H34065)
第一部分谈判供应商须知
一、总则
1.本谈判采购文件仅适用于江苏师范大学组织的谈判采购活动。
2.
3.凡符合资质要求的公司均可参与。
4.
5.无论结果如何,参加谈判公司自行承担因此所产生的全部费用。
6.
7.本次谈判采购活动及由本次采购活动产生的合同受国家法律制约和保护。
8.
9.凡参与此采购项目的谈判方,除谈判方有特别说明外,均视为接受并遵守本谈判采购文件。
10.
11.本次采购活动细则由江苏师范大学招投标办公室负责解释。
12.
二、竞争性谈判工作程序
三、
1.发布谈判采购公告;
2.
3.谈判供应商获取谈判采购文件;
4.
5.谈判供应商咨询了解本项目基本情况,制作谈判响应文件;
6.
7.采购方接受谈判响应文件,同时收取相关费用、保证金;
8.
9.竞争谈判;
10.
11.确定成交商,等额退还未成交方的谈判保证金;
12.
13.签署供货合同,执行合同。
14.
四、对谈判供应商的要求
五、
谈判供应商除具备公告中的资质要求外,还应满足下列要求:
1.必须为独立法人;
2.
3.必须具有《中华人民共和国消费者权益保护法》所规定的售后服务的能力。
成交方必须派出技术人员提供现场服务及有关技术培训;
4.
5.提供的设备必须附有原始生产厂家的质保书及产品合格证,如提供假冒伪劣产品,采购方将根据《中华人民共和国消费者权益保护法》的规定要求赔偿。
6.
六、谈判响应文件的要求
七、
1.谈判响应文件的构成:
2.
(1)竞争性谈判响应声明函;
(2)
(3)谈判报价明细表:
自做报价表,注明型号、规格、技术指标,详细的交货清单;特殊工具及备件清单。
如果是进口设备,因我校享受进口免税政策,可以以欧元或美元CIF南京报价(免税价格);如不能办理免税,则以人民币报价。
如所投产品指标与谈判文件要求有偏离的必须在响应文件中注明。
(4)
(5)相关服务:
文件中务必明确最快完工时间、产品技术服务和售后服务的内容及措施;
(6)
(7)响应文件附件:
由谈判供应商根据各自情况自行编制,规格幅面与正文一致,主要内容包括:
产品组成系统说明,产品主要技术性能和结构的详细描述;提供必要的数据、产品制造、安装、验收的执行标准;
(8)
(9)参加谈判供应商资质证明文件:
单位简介(包括组织机构、人员、经营规模、经营特色、对企业员工的业务培训情况、经营场地使用性质、主要负责人简历介绍等);企业法人营业执照复印件;税务登记证明复印件;组织机构代码证;同类产品近三年主要经营业绩等背景资料复印件,所有复印件均需加盖相应的有效印章,经营业绩须按附表一的表格形式填写(见下);如供应商提供虚假的资质证明文件,一经查实,将以无效谈判文件处理并处以一定的经济处罚。
(10)
附表一:
近三年经营业绩清单:
序号
使用单位
产品型号
数量
金额
联系人及电话
备注
(11)货物证明文件:
产品授权证书及代理证书(证明谈判供应商提供的货物及其伴随服务是合格的货物和服务且符合采购文件规定)。
(12)
3.谈判响应文件的份数、签署和封装
4.
(1)谈判响应文件份数为正本一份,副本五份,须各自装订成册。
每套谈判响应文件须清楚地标明“正本”或“副本”。
当正本与副本内容不一致时,以正本为准;
(2)
(3)谈判响应文件的正本和所有的副本均需打印,由法人或授权代表签字。
授权代表须将以书面形式出具的“授权证书”附在响应该文件中;
(4)
(5)谈判响应文件的正本和所有的副本一并装入密封袋,并在密封袋骑缝处加盖与谈判供应商一致的有效印章,否则视为无效;密封袋上应注明谈判供应商名称、联系人及联系电话。
(6)
5.谈判响应文件的样式
6.
谈判供应商应严格按照第四项要求的内容及顺序编写、装订谈判响应文件;
7.一经交给,无论是否成交,其谈判响应文件恕不退还。
8.
八、谈判报价及谈判范围
九、
1.货物谈判价格,应报货物递送到谈判文件规定的实际交货地(买方指定的最终用户学校的校园内)的价格,应包括运保费、税费、材料费、装卸费、安装调试费、施工费等。
2.
3.谈判专家组在确定时,对方案、配置可作必要调整,谈判工作小组审定后可予以执行。
4.
一十、谈判日期
一十一、
谈判供应商应按照本次谈判采购公告中的日程安排,在规定的时间到指定地点进行谈判,逾期不予受理。
一十二、谈判、评审
一十三、
1.采购人按照本次采购公告中的日程安排,在规定的谈判时间在指定地点召开谈判前会,谈判供应商的法定代表人或授权代表须准时参加;
2.
3.谈判小组只对确定为实质上响应谈判文件要求的响应文件进行评价和比较。
4.
5.学校监察、纪委、审计对谈判全过程进行监督;
6.
7.谈判结束后,采购人将公布最终结果,并向成交单位发成交通知书;
8.
9.谈判小组将视谈判情况决定由一家或多家中标;
10.
11.对未成交单位,采购人可不作解释。
12.
一十四、谈判保证金
一十五、
1.谈判供应商在参加谈判时,须向采购人交纳谈判保证金,具体金额详见采购公告;
2.
3.谈判保证金仅限于用汇票或现金形式支付;
4.
户名:
江苏师范大学
开户行:
农业银行铜山新区支行
帐号:
246601040000050
5.结果公布后,未成交的公司所缴纳的保证金即时等额退还;成交的公司所缴纳的保证金自动转为合同履约保证金,在合同执行完毕后等额无息退还,如成交方拒绝遵守采购文件规定、响应承诺,或拒绝签订合同,或虽签署供货合同但不予履行,则此款作为违约金不予退还。
6.
一十六、签订合同
一十七、
1.在合同签订之前,采购人有权对成交方的履约能力进行最后审查,审查方式包括询问、调查和实地考察,如发现成交公司提供的材料虚假或对响应文件所要说明的情况故意隐瞒或虚报,则采购人有权取消其签约资格,没收其保证金,并另行评定成交者(在采购有效期内);
2.
3.成交公司收到成交通知书后应严格按照通知书要求的时间和地点与需方代表签订合同;
4.
5.签订合同书应以采购文件和谈判响应文件承诺为依据。
6.
一十八、合同主要条款及付款方式
一十九、
1.采购方与成交方按合同共同进行验收;如未能达到合同要求,采购方有权退货并要求成交方赔偿损失。
2.
3.付款方式:
国产设备验收合格后支付合同总额的90%,如无质量与售后服务等方面问题,余款半年内一次性付清;通过外贸代理的进口设备(学校协助办理免税手续),验收合格后付100%。
4.
5.
第二部分 采购项目的技术规格、要求和数量(项目需求书)
因教学科研需要,我校需对web应用防护系统及运维安全管理系统采购进行谈判采购。
现将需求及相关事项明确如下,欢迎各企业或代理商积极投标(参数描述为基本要求,欢迎供应商投报高于建议配置但性价比更优的产品)。
标段一:
web应用防护系统
随着信息技术的不断发展,各类信息系统逐渐向数据中心高度集中,同时,基于Web的应用系统已经成为我校信息系统的主体,目前我校绝大多数应用,如数字校园、网站群、人事系统、教务系统、后勤管理系统等均架设在Web平台上。
Web应用系统的迅速发展,也引发了大量的安全问题。
目前大部分的信息安全攻击都是发生在Web应用层而非网络层面上,但我校目前使用的传统安全设备(防火墙)无法针应用层的Web攻击进行防护,解决Web应用安全问题存在局限性。
因此,拟购置Web应用防护系统,实现针对Web应用的专业安全防护,提高Web信息系统安全性,降低安全风险。
一、技术参数及配置要求
指标项
指标子项
技术要求
系统架构
系统架构
产品应采用≥2U的专用机架式硬件设备,1+1冗余电源。
系统硬件为全内置封闭式结构,非NGFW、NGAF等下一代防火墙或UTM安全网关产品。
硬件架构
基本网络接口
千兆电口≥4个,万兆光口≥8个,支持5进5出同时防护。
单台设备同时保护5条以上链路。
(所有的接口均需授权可用,配齐所有光模块及光纤线)
性能要求
最大吞吐能力
≥10Gbps
最大HTTP吞吐能力
≥6Gbps
并发TCP会话数
≥600万
HTTP请求速率
≥100000次/秒
网络延迟
≤0.02毫秒
可防护IP数量
不限
部署能力
部署模式
透明部署(基于透明网桥),需即插即用,无需做任何配置即可防护。
支持旁路部署。
策略路由(支持流量牵引)
支持反向代理部署
检测引擎
高性能攻击特征检测引擎
智能阻断
基于智能用户行为识别的动态防护机制,识别并彻底阻断黑客的攻击行为
URL自学习
自动学习并构建网站的URL模型,禁止违反现有模型的尝试行为
支持更新、修正现有URL模型
安全特性
IPv6
IPv6协议通过和防护
HTTPRFC符合性
HTTP协议防护
HTTPS支持
SSL加密会话分析
真实来源IP解析
支持解析通过代理服务器访问用户的真实IP地址,默认支持X-Real-IP或X-Forwarded-For字段的值作为真实来源IP地址,同时支持用户自定义字段名称。
内置规则
系统提供完善的内置规则
支持用户自定义防护策略集,针对不同的来源/目的IP,目的URL选择不用的策略集。
提供高度灵活的自定义规则向导,适用于高级用户
Web应用漏洞扫描
能够对SQL注入、CGI、跨站脚本(XSS)进行应用层漏洞扫描
碎片组包
支持任意碎片组包
支持超长报文组包(默认30M)
编码还原
ASCII编码的还原
Unicode编码的还原
各种混淆编码的还原
Web基础架构防护
蠕虫、缓冲区溢出、CGI信息扫描、目录遍历等Web通用攻击防护
防扫描
支持对恶意扫描行为开启防扫描功能,用户可自定义防护等级。
Web应用安全防护
SQL注入及XSS攻击防护
跨站请求伪造(CSRF)攻击防护
爬虫防护
恶意扫描防护
Cookie安全
服务器信息伪装/过滤
缓冲区溢出
HTTP请求类型过滤
Webshell行为拦截
智能木马检测
能够智能识别木马上传行为,支持自定义上传文件的大小、后缀名。
用户可自定义对上传脚本文件的处理方式:
直接拦截,智能识别。
支持木马上传日志,记录上传时间,源地址,目的地址,目的URL,拦截原因。
支持将木马文件直接下载至本地进行人工分析。
网页篡改防护
自动恢复对文件、目录的篡改
支持FTP/SFTP连接方式
支持文件、目录排除
设置检测优先级
支持多个防篡改用户
多操作系统支持:
Windows、Linux、Unix、Solaris、AIX等操作系统
支持基于时间的计划任务
数据库防篡改
支持数据库防篡改,无需安装任何数据库代理插件。
支持虚拟化功能
支持对虚拟机中的任意数量网站进行防护,使多个虚拟机共用一个IP地址
内容安全
恶意代码过滤
支持敏感关键字过滤,用户可自定义关键字内容
弱密码记录
记录登陆过程中使用的弱密码
备案检查
检测网站的备案情况,对于通过备案网站放行,未通过备案禁止访问
应用层访问控制
针对内置或自定义的安全策略规则,提供细粒度的控制,精确到来源IP、目的IP、域名等访问控制
支持基于时间的计划任务
主动阻断方式
丢弃数据包、阻断TCP连接、禁止恶意IP的后续访问
防CC攻击防护
来源IP攻击防护
Rerferer攻击防护
特定URL攻击防护
CC防护的访问控制(黑、白名单)
抗拒绝服务攻击
TCP/UDPFlood防护,基于最大上限阀值设置,而非DDOS特征库
网络自适应能力
802.1Q支持
支持VLAN解码,在Trunk线路上部署并提供防护
端口汇聚(Trunk)
支持端口汇聚(Trunk),显著提高设备间的吞吐能力
路由配置
支持静态路由的配置
统计功能
网站统计
统计被防护网站每天的总访问量和总攻击数。
URL统计
统计被防护网站的URL每天的总访问次数,最后一次访问IP、访问时间与访问端口。
网站详情
统计每天访问所有站点或某个站点的地域统计,并以地理热点分布图的形式体现。
统计每天访问所有站点或某个站点的浏览器类型和比例,并以图表方式体现。
统计每天访问所有站点或某个站点的操作系统类型和比例,并以图表方式体现。
统计每天访问所有站点或某个站点的来源页面的次数和比例。
统计每天访问者通过哪些搜索引擎访问到Web防护系统后的站点,同时统计搜索引擎的次数和比例。
统计每天访问者在搜索引擎中通过哪些搜索词访问到Web防护系统后的站点,同时统计次数和比例。
统计每天访问所有站点或某个站点的IP,及其浏览量和比例,以图表方式体现。
统计每天所有站点或某个站点每分钟的访问次数和攻击次数,以图表方式显示。
报表功能
报表类型
安全报表(入侵统计、按入侵类别统计、被攻击主机、攻击来源IP和地理位置、页面访问次数、网络接口流量趋势)
可记录最后访问者的浏览器类型者
Webshell提示
报表提供对防护Web网站中已经存在Webshell文件的告警功能
报表查询
按事件类型、统计目标或周期类型条件进行统计
输出格式
支持将生成的报表以HTML、Word等通用格式输出
日志系统
日志类型
系统日志、审计日志和安全防护日志(入侵记录、攻击源IP所处地理位置、页面统计、网络流量、防篡改日志、防CC日志)
日志查询
可基于时间、IP、端口、协议、动作、规则集、规则集类别、危害等级、请求方法等条件进行日志查询。
日志管理
日志导出、清空、自动磁盘日志清理
系统监控
监控类型
安全事件监控、访问情况监控、设备负载监控
系统信息
显示网络接口状态,引擎状态、系统CPU、内存及磁盘使用率
系统诊断和调试功能
维护工具
抓包工具,可抓取的网络原始报文,用于分析网络状况
配置备份与导入
支持系统配置的备份与导入功能
高可用性
HA双机
支持主从部署模式
支持链路是否正常的监控
支持本地端口是否正常的监控
支持双机配置自动同步
硬件BYPASS
内置bypass模块,设备故障直接切换到bypass模式
资质要求
(提供相关资质复印件,生产厂商盖章)
涉密资质
获得国家保密局涉密信息系统安全保密测评中心颁发的符合国家保密标准BMB13-2004《涉及国家秘密的计算机信息系统入侵检测产品技术要求》的千兆《涉密信息系统产品检测证书》,并出具加盖厂商公章的复印件。
获得国家保密局涉密信息系统安全保密测评中心的《检测报告》,性能测试部分:
背景流量达到1000Mbps下的检测报告,并出具加盖厂商公章的复印件。
军用认证
获得中国人民解放军信息安全测评中心颁发的《军用信息安全产品认证证书》,产品为Web应用防护系统,认证等级为:
军B级,并出具加盖厂商公章的复印件
强制认证
获得中国信息安全认证中心颁发的符合ISCCC-IR-007:
2011要求的《IT产品信息安全认证证书》,并出具加盖厂商公章的复印件
销售许可证
获得公安部颁发的Web应用防火墙产品(增强级)的《计算机信息系统安全专用产品销售许可证》,并出具加盖厂商公章的复印件
获得公安部计算机信息系统安全产品质量监督检验中心颁发的Web应用防火墙(增强级)的检测报告,并出具加盖厂商公章的复印件
应急支撑证书
设备生产厂商具备CNCERT颁发《网络安全应急服务支撑单位证书》,并出具加盖厂商公章的复印件
设备生产厂商至少为省级互联网应急中心网络安全信息通报成员单位,并出具加盖厂商公章的复印件
厂商实力
设备生产厂商应具有符合GB/T19001-2008/ISO9001:
2008标准的《质量管理体系认证证书》,并出具加盖厂商公章的复印件
设备生产厂商应具有漏洞发现能力,具备《中国国家信息安全漏洞库(CNNVD)技术支撑单位资质》,至少曾经获得中国信息安全测评中心颁发《中国国家漏洞库-信息安全漏洞提交证明》,不低于15份,并出具加盖厂商公章的复印件
设备生产厂商至少具有一名由国家计算机网络应急处理协调中心省级分中心或国家中心聘请的公共互联网络安全专家,并出具加盖厂商公章的复印件
高校案例
省内不少于3所同类高校行业的案例,提供用户联系方式并提供合同复印件
其它
其它要求
中标后一周内提供样机对以上所有功能进行检测,检测通过后才可执行合同流程。
二、服务要求
1、硬件平台、所有软件功能模块提供五年原厂保修和升级服务
2、必须在省内有厂家直属的服务办事机构,提供7*24小时快速上门服务和2小时内快速响应服务(官网上必须可查询到办事机构地址)
3、提供不低于1次/半年的专业网站巡检、安全扫描、渗透测试等服务工作,并提供报告。
随合同指定原厂工程师1人负责本项目后期服务。
4、负责培训校方两名原厂认证工程师并取得证书。
5.提供现场免费安装、调试设备,进行操作试验,直至运行正常,提供操作及维护培训。
在未验收前,货物保管、安全均由供应商负责。
6.提供的产品须为原装正品,相关的配套附件质量优良,数量齐全。
并在标书中注明可选配件的价格,以及软件产品的升级、服务策略和价格。
7.采购方使用该设备的任何一部分,当受第三方提出的侵犯其专利权、商标权或工业设计权的投诉时,一切后果由供应商负责。
8.提供必要的软硬件系统的安装、使用、运维等的免费培训。
9.本项目实施时投标方应提供所有的连接配件、辅助材料等,在招标方不提供任何其他硬件支持的情况下能够实现功能完备的物理连接,并激活所有需要的端口、服务、授权等;对于所有相关的软件系统,投标方有义务检查投标方已经持有、或者通过本项目可以持有的授权情况,若有不足需在投标时说明并提供解决方案,以使本项目能够顺利实施,而不需要投标方另外付费或者提供其他支持。
标段二:
运维安全管理系统
随着学校信息化的不断发展,网络规模和设备数量迅速扩大,日趋复杂的信息系统与不同背景的实施和运维人员的行为给信息系统安全运维带来较大风险,主要问题有,多个用户使用同一个账号、一个用户使用多个账号、缺少统一的权限管理平台,权限管理日趋繁重和无序、无法制定统一的访问审计策略、传统的网络安全审计系统无法对维护人员经常使用的SSH等加密协议进行内容审计等。
因此需要通过运维安全管理系统,实现服务器、网络设备、数据库、安全设备等安全可靠运行,降低人为安全风险,避免安全损失,同时提高工作效率,降低运维工作复杂度。
一、技术参数及配置要求
序号
参数名称
技术指标
1
硬件要求
≥2U标准服务器型可上架设备;≥2个10/100/1000BASE端口,为了便于后期扩展,要求至少可扩展到8个千兆口,存储空间要求至少4TB,支持硬件RAID,RAID5模式下可用空间不小于2TB,为了便于后期扩展,要求在设备提供至少8个硬盘插槽,双电源,支持IPMI接口;配备至少1000个被管理设备授权。
要求支持图形并发会话并发不低于1500,字符会话并发不低于3000。
2
支持协议
字符型远程操作协议:
SSH(V1、V2)、TELNET、RLOGIN、AS400;
图形化远程操作协议:
RDP、VNC、X11;
文件传输协议:
FTP、SFTP;
数据库远程操作协议:
支持ORACLE、MSSQL、Sybase、MySQL、DB2等数据库远程访问协议审计;
支持Radmin、PCAnywhere、VMmwarevSphereClient、HTTP/HTTPS等协议或客户端;
3
设备自身安全
要求堡垒机对外开放不超过4个固定端口(需要说明具体端口号),不允许开放其他端口。
全封闭系统,设备不允许有多套硬件(诸如双主板、不通类型存储介质等)和多个操作系统存在。
4
部门管理
产品采用树状结构设计,支持用户账号账号的部门分权,使得不同部门(子部门)都可以拥有自己的配置管理员、审计管理员、密码保管员、普通用户;支持多部门之间设备资源的交叉管理功能;
支持目标设备的部门分权,不同的设备可以归属于不同的部门(子部门);
不同部门的管理员/普通用户只能管理/访问自己部门的资源;
支持审计功能按部门分权,使得不同部门的审计管理员只能审计自己部门、自己直属子部门设备上的操作日志;
5
电子工单
产品内置电子工单功能,并具备审批流程;以实现对用户临时接入维护的动态授权;
用户可以在堡垒机Web界面,手动填写电子工单,填写的内容至少应包括:
用户账号、设备资源、系统账号、协议类型、要执行的命令、时间窗口;
电子工单可提交给本部门或者上级部门配置管理员审批,审批通过后,即时生效;
6
账号管理
具有超级管理员、配置管理员、审计管理员、密码保管员、普通用户等多种角色;
支持SSH密钥认证,支持静态认证,并可与AD域、LDAP、radius、ISO8583认证整合;
可以根据需要,为外来人员分配临时用户账号,该账号拥有时效性,过期自动回收;
7
设备管理
支持批量登录多台协议相同的目标设备;
支持不同设备之间的自动跳转登录和同一台设备上不同账号之间的自动切换登录;
支持登录备注功能,即可以要求用户登录目标设备时,必须填写备注,备注信息可以在审计记录里面查看到;
可以自动扫描SSH方式登录的目标设备密钥,如果发现目标设备密钥异常,自动提示用户进行处理;
支持以Excel格式批量导入和导出目标设备;
支持按按递归方式一次性添加多台目标设备;
支持批量修改目标设备的状态(禁用、活动)、密码和服务类型;
8
密码管理
可以根据设备(设备组)、系统账号、时间、频率、改密方式生成详细的改密计划,到期自动执行;
改密方式至少可以支持随机生成不同密码、自动设置相同密码、手动指定密码、随机定制密码;自动设置的密码严格遵守密码强度设置;
改密结果可以支持加密邮件、密码信封、FTP加密文件的形式外发,外发密码以加密方式发送;
密码保管员可以在系统的Web页面手动备份设备密码到本地、FTP服务器或者直接打印成密码信封。
9
应用发布
堡垒机必须可以支持Windows2008的RemoteAPP方式的应用发布;
堡垒机可以同时支持有缝和无缝方式(程序无背景显示,效果如同直接打开本地应用)的应用发布。
(提供发布方式的清晰截图证明);
支持对各类常规应用程序的密码代填;
10
权限管理
可实现基于用户(用户组)、目标设备(设备组、应用程序)、系统账号、协议类型、登录规则来灵活设置访问控制策略;
可跟据用户(用户组)、目标设备(设备组)、系统账号、命令集和生效时间来设置详细的命令权限控制策略,支持命令黑白名单;
对于高危指令,未经相关人员复核审批,命令无法执行;
可以选择启用/关闭Windows设备、应用程序的剪贴板上/下行功能;
可以选择启用/关闭Windows设备、应用程序的磁盘映射功能;
11
实时监控
管理员可在Web界面无延时的实时监控当前任一图形或字符活动会话,发现操作高危时,实时切断。
支持强制审计,即审计管理员登录开始审计后,运维会话才能开始操作,审计管理员退出审计时,运维会话自动结束。
12
告警
升级会员 