1、1广州友谊集团有限公司堡垒机与防火墙采购招标文件广州友谊集团有限公司对堡垒机与防火墙采购进行公开招标采购。请根据我集团公布的相关要求进行响应。一、基本要求1.投标人资格要求:符合政府采购法第二十二条之规定;在中华人民共和国境内注册、具有独立法人资格。2.投标人需提供有效资质证明:营业执照复印件、公司介绍、企业资质证书(包括系统集成资质、质量管理体系认证、近 5 年守合同重信用证书等,提供复印件,需加盖单位公章) 。3. 主要设备(堡垒机与防火墙)需提供原厂产品授权函及售后服务承诺书,本次采购的设备技术参数要求和清单详见本招标文件附件 1 和附件 2。4.本次招标最高限价要求:180000 元(
2、含税价) 。5.投标人需提供近三年完成同类型项目一览表及项目合同或验收证书复印件。6.包装运送:为保证设备完整性及后续服务质量,设备直接发货至使用单位,收货人为使用单位指定接收人。所有配置必须在原厂预装出厂,保证完整包装,包装箱上注明采购用户名称。7.安装服务:根据广州市信息安全等级保护的要求,甲方对乙方提供的设备在使用前进行调试时,乙方需负责安装、配置并培训甲方的使用操作人员,并协助甲方一起调试,直到符合技术要求,并在甲方使用过程中,甲方对设备配制进行优化时乙方要进行技术支持。8.保修服务:三年硬件原厂服务,专用免费技术支持热线;上述服务由厂商提供。提供经销商授权书和原厂售后服务承诺函,且机
3、器质保年限可通过原厂官网或 400 售后服务电话进行核实,如发现最终用户非我单位使用或配件信息不符,发标人有权全额退款并赔偿我方造成的一切损失。9.送货时间:合同签订一个月内,设备必须送达友谊集团信息部。 10.技术服务:发标人对中标人提供的设备在使用前进行调试时,中标人需负责安装并培训发标人的使用操作人员,并协助发标人一起调试,直到符合技术要求,并在发标人使用过程中,发标人对设备配制进行优化时中标人要进行技术支持。二、参加投标的单位可在我集团网站 下载到本招标文件。三、本次招标计划:21.发标时间:2018 年 5 月 31 日(北京时间) 。2.如对项目有疑问,请在 2018 年 6 月
4、 7 日 17:30 之前以投标单位书面或电话提出疑问,由广州友谊集团有限公司负责招标联系人解答。3.交标时间 2018 年 6 月 8 日 9:00-17:30(北京时间) ,届时请投标人按照本招标文件要求,交到或寄到“广州环市东路 369 号广州友谊集团综合楼九楼审计部” ,注明投标字样并封口加盖公章。4.开标时间:2018 年 6 月 11 日上午 9:30(北京时间) 。5.交标方式:现场交付或快递;电报、电话、传真形式的投标概不接受。现场交付或快递地址(涉及相关费用由投标方自行承担):6.评标方式:本次招标采用综合评分法进行评标。四、交标要求:1.投标人应准备投标文件,一份正本,一份
5、副本并明确注明“正本”或“副本”字样,一旦正本和副本有差异,以正本为准。2.投标文件的密封必须使用专用密封条(必须带盖章标识) ,在投标文件袋(箱)每个开口处密封,并按照招标人在密封条上的盖章标识进行盖章(限投标人公章)密封。3.投标人应承担其编制投标文件与递交投标文件所涉及的一切费用。不管投标结果如何,发标人对上述费用不负任何责任;如果投标人不能符合本投标文件的要求,责任由投标方自负。4.投标人应按照发标人提供的报价表格式和要求,以人民币报价。若单价与总价不一致,应以单价为准。5.投标文件的组成:(1)营业执照副本复印件(加盖公章) ;(2)法定代表人身份证明书(详见附件 3) ;(3)法人
6、授权委托书(详见附件 4) ;(4)投标承诺函(详见附件 5) ;(5)报价表(加盖公章) (详见附件 2) ;(6)本项目实施方案,包括:供货、安装、调试计划、项目验收、技术培训、售后服务方案、保修、维护期以及条件、服务方式及内容、服务人员组织安排;(7) )产品工程师及项目经理的资质及劳动关系证明(加盖公章) ;(8)企业资质证明材料(加盖公章) ;(9)近三年同类型项目业绩(附合同复印件或验收报告) 。3五、本次广州友谊集团有限公司招标工作,其联系人及联系方式如下:1.联系方法联 系 人:蒋鹰 胡仲昆 电 话:83483292 传 真:83489685 E-MAIL: 2.投标文件递交至
7、地址:广州环市东路369号广州友谊集团综合楼九楼审计部联系人办公电话:何敬浩 83483206六、本次招标工作解释权归广州友谊集团有限公司所有。广州友谊集团有限公司2018 年 05 月 31 日4附件 1 主要设备参数要求堡垒机规格参数指标项 详细描述设备要求硬件要求:1U 高机架式硬件架构,单电源, 8G 内存, 2T 硬盘容量,标准配置 6个以太网千兆电口,支持 1 个接口扩展槽位,支持至少 14 个以太网千兆接口或 4 个万兆接口的扩展能力。性能要求:最大图形并发连接数不少于 200,最大字符并发连接数不少于 700,标准配置支持 300 个资产的管理能力,支持无限个资产管理的扩展能力
8、浏览器兼容性 支持通过 Google、IE 、Firefox、Safrai 浏览器对系统进行管理及访问操作支持协议/操作类型Telnet、SSH、RDP、VNC、XWIN、FTP/SFTP 、IE、PLSQL 、SQL PLUS、VMware vSphere Client 等客户端应用程序至少可支持超级管理员、配置管理员、审计管理员、密码保管员、普通用户五种角色针对同一账户可同时设置多种角色,同时审计管理员角色支持键盘事件查看、审计数据下载的细颗粒度控制(需提供产品配置界面截图)支持通过 Excel 方式批量导入用户信息支持通过 Web 页面批量修改用户属性,至少包含账户有效期、来源 IP 限
9、制、密码有效期等支持设置用户来源 IP 地址、MAC 地址支持与第三方认证系统整合,如 AD 域、LADP、Radius支持基于手机 APP、动态令牌的双因素认证用户账号管理支持混合认证功能,即一个账号同时可以设置两类认证方式,彼此间可采用“与”“或“的逻辑关系灵活组合。如果采用或的逻辑方式其中一个认证失效时,自动启用另外一种认证(需提供产品配置界面截图)支持用户自定义设备改密配置流程支持通过 Excel 方式批量导入目标设备信息支持通过 Web 页面批量修改设备基础属性,支持批量创建服务协议目标设备管理支持目标资源登录跳转模式,管理员可自定义跳转源设备及跳转命令针对 windows serv
10、er 登录,在访问前可查看 windows 设备当前 rdp 远程连接会话详情支持设备批量启动功能;支持协议穿透访问,即用户无需登录审计系统的 web 界面,可直接使用标准RDP、SSH、SFTP 远程协议访问堡垒机进而访问相应目标设备资源访问对于图形、字符操作会话支持多人会话共管,当前运维人员可以邀请其他用户参与当前操作会话协助操作支持 Widnows、Linux/Unix、网络设备等设备系统账号密码代填支持根据设备(组) 、系统帐号、时间、频率、改密方式生成详细的改密计划,到期自动执行支持密码拨测功能,即在系统完成密码修改之后,自动进行新密码登录拨测,以便进一步校验密码修改结果支持通过 W
11、eb 页面、FTP、SFTP、邮件等方式备份密码,密码文件支持压缩包加密密码管理支持改密前、改密后的密码文件以 FTP、SFTP、邮件等方式进行压缩加密发送支持以用户(组) 、目标设备(组) 、系统帐号、协议、时间、来源 IP 为要素,来灵活设置访问策略权限管理可跟据用户(组) 、目标设备(组) 、系统帐号、命令集和生效时间来设置详细的命令权限控制策略,支持命令黑白名单5支持在访问控制规则对 RDP 磁盘映射、剪切板上/下行的使用进行控制支持目标设备双人授权和命令复核功能(需提供产品配置界面截图)通过应用发布方式实现对 B/S、C/S 运维管理工具统一管理;应用发布针对 B/S 应用,支持 U
12、RL 白名单控制支持对用户操作进行详细记录,包含但不局限于记录用户操作时间、访问设备、设备 IP、源 IP、用户账号及系统账号等信息,可通过 Web 页面回放用户相应操作记录;针对图形会话审计记录支持以键盘输入内容、标题栏、URL 内容为关键字进行图形搜索;搜索出来的结果可以直接定位到相关图形画面进行回放;针对图形会话审计记录支持以 2M 会话流量或者 15 分钟操作时长为标准的会话缩略图切片展示功能(需提供产品配置界面截图)针对图形会话审计记录支持会话切片管理功能,管理员可自定义审计记录的时间戳对记录进行切片查看 针对 RDP 剪切板操作中的粘贴、复制的文本内容进行文字提取和搜索定位针对字符
13、会话审计记录支持以输入、输出为关键字进行检索定位,搜索结果中关键字高亮显示(需提供产品配置界面截图)在审计结果中,高危命令以不同颜色进行高亮显示(需提供产品配置界面截图)操作审计支持对采用 FTP、SFTP、RDP 剪切板方式进行文件传输的文件数据进行数据备份支持热点报表功能,即只根据特定热点范围内的数据来生成报表报表功能 管理员可以自定义报表模版,并支持根据不同模版自动生成日报、周报、月报,报表内容自动发送给相关管理员;可靠性 支持双机主备热备部署模式,支持配置文件及审计数据全同步资质具备公安部计算机信息系统安全专用产品 销售许可证 ,提供证书复印件。为体现投标产品生产厂商的软件研发和管理实
14、力,需获得 CMMI 5(软件能力成熟度集成模型)认证,提供证书复印件;防火墙功能及技术指标 详细技术参数配置要求千兆电口16,千兆光口8,支持1 个硬盘槽位,支持扩展单个硬盘容量500G;配置 3 年 IPS 特征库升级服务配置 3 年,AV 防病毒安全升级服务接口要求 扩展插槽1 个,最大接口数24 个千兆接口+4 个万兆接口硬件架构 采用非 X86 多核架构性能要求 吞吐量1.5Gbps,最大并发连接数100 万,每秒新建连接数3 万,IPSec VPN 隧道1000部署模式 实现路由模式、透明(网桥)模式、混合模式。路由实现 实现静态路由、策略路由、RIP、OSPF、BGP 等路由协议
15、。NAT 功能 实现一对一、多对一、多对多等多种形式的 NAT,实现 DNS、FTP、H.323 等多种 NAT ALG 功能。VPN 实现高性能 IPSec、L2TP、GRE VPN、SSL VPN 等功能。安全策略 支持一体化安全策略,能够基于时间、用户/用户组、应用层协议、五元组、内容安全统一界面进行安全策略配置应用识别 可识别应用层协议数量3000 种,针对微信、QQ 等应用可精细化识别文字、语音、文件传输等内容。 (提供功能截图)用户行为画像提供基于用户名(或用户 IP 地址)实现对用户行为统一分析界面,采用饼状图对访问应用流量、网站访问集中分析展示,包含基于时间轴的访问行为轨迹(应
16、用账号、行为内容等),关联账号(微信、QQ)等相关用户行为审计内容。 (提供功能截图)6功能及技术指标 详细技术参数行为审计基于应用协议识别对各类聊天软件进行详细审计,可审计应用类型(如 QQ、微信) ,应用识别账号,应用行为(如登录、发送消息、接收消息) ,操作时间,终端类型(Android、IOS)等。入侵防御实现对黑客攻击、蠕虫/病毒、木马、恶意代码、间谍软件/广告软件等攻击的防御,实现缓冲区溢出、SQL 注入、IDS/IPS 逃逸等攻击的防御,实现攻击特征库的分类。支持超过 7000 种特征的攻击检测和防御防病毒可基于病毒特征进行检测,实现病毒库手动和自动升级,报文流处理模式,实现病毒
17、日志和报表;支持超过 37000 条病毒规则。数据安全 支持数据防泄露,对传输的文件和内容进行识别过滤,对内容与身份证、信用卡、银行卡、社会安全卡号等类型进行匹配。流量控制 可支持基于应用层协议设置流控策略,包括设置最大带宽、保证带宽、协议流量优先级等。要求支持带宽通道独占以及共享管理模式,支持父子带宽策略。IPv6实现 IPV6 动态路由协议、IPV6 对象及策略、IPV6 状态防火墙、IPV6 攻击防范、IPV6 GRE/IPSEC VPN、IPV6 日志审计、IPV6 会话热备等功能;支持 IPV6 下的访问控制、IPSec VPN、DDoS 防护等安全功能。DNS 透明代理支持 DNS
18、 透明代理功能,可基于负载均衡算法代理内网用户进行 DNS 请求转发,避免单运营商 DNS 解析出现单一链路流量过载,平衡多条运营商线路的带宽利用率。(需提供设备功能界面截图证明)虚拟化能力所投设备须支持虚拟防火墙功能:支持虚拟防火墙的创建、启动、关闭、删除功能;可独立分配 CPU/内存等计算资源;虚拟防火墙可独立管理,独立保存配置;虚拟防火墙具备独立会话管理、NAT、路由等功能。上述功能要求须提国家相关部委认可的第三方实验室测试报告证明。DDoS 防护能够防范 DOS/DDOS 攻击: Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP
19、 Spoofing、SYN Flood、ICMP Flood、UDP Flood、HTTP Flood(cc)攻击、ARP 欺骗、TCP 报文标志位不合法、超大 ICMP 报文、地址扫描的防范、端口扫描的防范、DNS Flood、ACK Flood、FIN Flood、分片 Flood、Tiny-Fragment。诊断中心 支持报文示踪功能,可对原始报文进行回放。支持丢包统计,提供详细分析丢包原因。国密算法 支持国密 SM1/2/3/4 算法。设备管理支持 SNMPv1、SNMPv2、SNMPv3、RMON 等网络管理协议,并且支持通过网管软件远程进行设备软件升级、配置等。提供开放 API 接
20、口(RESTful,NetConf) ,可编程管理防火墙,不再仅依赖网管软件。支持 U 盘零配置开局。厂商资质设备制造厂商具备 CNNVD(中国国家信息安全漏洞库)一级支撑单位资质;设备制造厂商符合信息技术服务管理体系符合 ISO/IEC 20000-1:2011 标准。上述资质,须提供相关证书证明产品资质 提供公安部监制的计算机信息系统安全专用产品销售许可证; 兼容性 要求与堡垒机同一品牌7附件 2 采购清单堡垒机与防火墙报价单序号 设备 型号 设备 描述 数量 单位设备单价设备小计 备注NS-SecPath A2020-G+LISH3C SecPath A2020-G 运维审计系统(含系统
21、正式授权,默认可管理 300个资产) 1台 SV-PS-SPCOS 安全产品策略维护服务 1 个RDSDevCAL-1A2000-AK/G/V 系列 应用发布中心RDS 授权函 1 个 1ET-Z201-1A2000-AK/G/V 系列 双因素认证动态口令卡 5个 堡垒机NS-SecPath F1020H3C SecPath F1020 防火墙主机,16 个 10/100/1000BASE-T 端口 ,8个 100/1000 BASE-X SFP 端口,1 个Slot1 台LIS-F1000-AV-3YH3C SecPath F1000,AV 防病毒安全License,3 年 1 个2LIS-
22、F1000-IPS3-3YH3C SecPath F1000,IPS 特征库升级服务,3 年 1 个防火墙含税总价(人民币): ¥0.00 8附件 3 法定代表人证明书先生/女士,现任我公司 职务,为法定代表人,特此证明。有效日期: 签发日期: 单位(盖章):附:代表人性别: 年龄: 身份证号码: 营业执照(注册号): 经济性质: 主营(产): 注:法定代表人的姓名必须与营业执照法定代表人姓名完全一致。附:法定代表人身份证复印件。9附件 4 法人授权委托书本授权书声明:注册于(国家或地区)的(投标人名称)在下面签字的(法定代表人姓名、职务)代表本公司授权(单位名称,盖公章)的在下面签字的(授权
23、代表姓名、职务)为本公司的合法代理人,就广州友谊集团有限公司 堡垒机与防火墙采购项目(项目名称) 的投标和合同执行,作为投标人代表以本公司的名义处理一切与之有关的事宜。代理人无转委权。本授权书于 年 月 日签字生效,特此声明。法定代表人签字盖章: 职 务: 投标人代表(授权代表)签字盖章: 职 务: 见证人签字盖章: 职 务: 附:授权代表人身份证复印件。10附件 5 投标承诺函广州友谊集团有限公司:对于贵方关于 堡垒机与防火墙采购项目(项目名称) 的招标,我方愿意参加投标,并愿意提供招标文件中规定的全部资料。此外,我方承诺:我方所提交的资格文件和说明是准确的和真实的,否则,贵方有权取消我方的投标、中标资格。单位名称(盖公章)和地址: 授权签署本资格文件人:名称: 签字: 地址: 签字人姓名、职务(印刷体)传真: 邮编: 电话:
