年铜陵学院网络安全及无线网络优化扩容项目采购需求.doc

2017年铜陵学院网络安全及无线网络优化扩容项目采购需求一、项目基本情况、基本条件、项目背景、采购内容,项目预算1、项目背景随着互联网技术飞速发展，网络状况日趋复杂和重要，网络信息安全已经提高到国家安全的高度。为加大依法管理信息网络安全工作的力度，维护国家安全和社会安定，维护信息网络安全，使我国计算机信息系统的安全保护工作走上法制化、规范化、制度化管理轨道，国家相关部门一直非常重视信息系统的等级保护工作，颁布了一系列相关条例，如国务院颁布的中华人民共和国计算机信息系统安全保护条例，公安部第33号令的计算机信息网络国际联网安全保护管理办法、中华人民共和国网络安全法（2017年6月1日实行）。网络安全发在关键信息基础设施的运行安全、建立网络安全监测预警与应急处置制度等方面都作出了明确要求，并规定了相应法律责任。矚慫润厲钐瘗睞枥庑赖賃軔朧碍鳝绢。根据国家信息化领导小组的统一部署和安排，我国将在全国范围内全面开展信息安全等级保护工作。信息系统安全等级保护制度为信息安全系统分级分类保护的一项国家标准，对于完善信息安全法规和标准体系，提高安全建设的整体水平，增强信息系统安全保护的整体性、针对性和时效性具有非常重要的意义聞創沟燴鐺險爱氇谴净祸測樅锯鳗鲮。2、基本情况铜陵学院信息化主要以数字化校园建设为主，主要内容包括校园信息管理系统、数据中心、统一信息门户、统一身份认证、校园一卡通、网络安全体系等；其中一卡通业务系统是学校核心的信息系统之一，学校内绝大部分的学习办公、日常生活与一卡通息息相关，一卡通是校内绝大部份消费、认证的工具，如：借书、吃饭、宿舍取电、洗澡、购物等等。一卡通系统内包含大量的个人学生信息数据，一卡通的数值则与货币相当，一但信息被泄露或是被人恶意篡改，那么会对学校造成非常负面的影响。由于校园一卡通的特殊性，往往成为黑客嗅探和攻击的首要目标。各种网络攻击、安全漏洞则对一卡通性的安全性带来了巨大的挑战。残骛楼諍锩瀨濟溆塹籟婭骒東戇鳖納。3、基本条件学校依托于校园基础网络，完成了一卡通的建设，包含15台一卡通服务器，23台管理终端，若干台刷卡机等，覆盖了生活一区、生活二区、生活三区等区域，通过校园网的安全设施保障了一卡通的基本安全。酽锕极額閉镇桧猪訣锥顧荭钯詢鳕驄。铜陵学院目前已完成对教学楼、新教学楼、实验楼、院系楼、逸夫楼、艺术楼、大学生活动中心、图书馆、一食堂、二食堂、三食堂、23栋宿舍楼的无线覆盖。彈贸摄尔霁毙攬砖卤庑诒尔肤亿鳔简。4、采购内容（1）对一卡通系统按照等级保护二级要求进行安全体系建设，保证一卡通系统的信息安全。（2）学院目前已完成对教学楼、新教学楼、实验楼、院系楼、逸夫楼、艺术楼、大学生活动中心、图书馆、一食堂、二食堂、三食堂、23栋宿舍楼的无线覆盖，本次是根据以上覆盖区域的无线使用效果进行优化扩容。謀荞抟箧飆鐸怼类蒋薔點鉍杂篓鳐驱。5、项目预算 本项目预算控制价为2155600元整。二、技术方案或服务内容、范围1、 采购需求表序号品目名称技术参数要求数量单位1数据库审计系统1、软硬件一体化设计，采用专用千兆多核硬件平台和安全操作系统。要求提供软件著作权，并采用与web安全防护系统同一品牌，系统内嵌数据库，用户无需另外安装数据库管理系统；管理客户端基于浏览器，无需安装其他客户端软件，标准2U机架设备，不少于6个10/100/1000Mbps电口，4个千兆SFP插槽，1个Console口,内置审计空间不少于2TB；具有液晶显示屏（方便管理员查看CPU、内存、磁盘、管理IP等信息），接口授权不少于8个，支持审计不少于12个数据库；2、审计范围：支持对MS SQL Server、Oracle、DB2、Sybase、MySQL、Informix、达梦、Postgresql等在内的多种数据库进行审计；支持Cache数据库集成工具terminal、portal、studio、Sqlmanager、MedTrak工具的审计，其中Portal能审计到sql语句、查询Global、返回结果，Terminal能审计到M语句和返回结果（要求提供证明截图）；中间件的支持，支持COM、COM+、DCOM组件（要求提供证明截图）3、审计策略：支持数据库语句执行时间、语句执行回应、最大操作语句长度等作为分项响应条件；支持数据库名、表、包、过程、函数、视图、字段、索引、数据库帐户（用户名）等作为分项响应条件；支持数据库操作返回内容、返回行数作为分项响应条件；4、数据库安全：支持对SQL注入、跨站脚本攻击等web攻击的识别与告警（要求提供证明截图）；可通过*号对审计结果中的重要信息进行隐秘处理，防止非法权限查看（要求提供证明截图）；系统本身要求具备能现未知仿冒进程工具、防范非法IP地址、防范暴力破解登录用户密码、设置系统黑白名单等安全功能（要求提供证明截图）5、支持18种以上查询条件，可支持按数据库操作命令（包括select、create等14个命令）、语句长度、语句执行回应、语句执行时间、返回内容、返回行数、数据库名、数据库账户、服务器端口、客户端操作系统主机名、客户端操作系统用户名、客户端MAC、客户端IP、客户端端口、客户端进程名、会话ID、关键字、时间（包括开始、结束日期）等为条件进行查询；支持条件之间的与、或、非逻辑组合查询；实现对所有违规事件出现频率进行图形化的汇总统计分析，并提供对汇总结果的实时查询功能；可以对客户端使用的程序、客户端IP、用户名进行图形化排名展示，并生成报表；6、资质要求：公安部销售许可证 （增强级）、中国国家信息安全产品认证证书（3C）增强级、涉密信息系统产品检测证书；具有信息安全管理体系27001认证,ISCCC信息安全服务资质认证证书（一级应急处理服务），ISCCC信息安全服务资质认证证书（一级风险评估服务），为了保证售后服务的质量和延续性，要求厂商在安徽省内设立分支机构，至少配备三名CISP和2名CISSP（厂家技术支撑人员）（投标时需提供证书复印件与当地社保卡复印件加盖投标产品生产企业公章），提供724小时服务。7、投标时需提供原厂授权书、原厂三年质保服务承诺函；以上资质及证明材料须提供复印件加盖原厂商公章。为保证服务，防止虚假应标，要求在公示期内提供所投产品进行测试。1台2终端安全管理系统1、采用B/S架构管理端，支持多级管理，具备设备分组管理、策略制定下发、全网健康状况监测、统一杀毒、XP系统加固、统一漏洞修复、网络流量管理、终端软件管理、硬件资产管理以及各种报表和查询等能力，客户端：Windows XP_SP3及以上/Windows Vista/Windows 7/Windows 8/Windows 10；服务器客户端：操作系统:Windows Server 2003_SP2/Windows Server 2008/Windows Server 2012,中标麒麟/Deepin/SUSE Linux/Red Hat Linux；本次要求配置防病毒+补丁管理+运维管控模块；配置终端用户授权数50个，服务器端授权20个，三年升级服务。2、病毒、恶意代码、木马防护：要求产品本身具备病毒检测功能，并且通过CheckMark、ICSA、OPSWAT等各大国际评测机构联合认证。要求产品具备本地多引擎查杀能力，且引擎可配置。要求产品具备公有云检测能力，并且公有云特征储备超过100亿。支持私有云查杀，预置至少2亿黑名单及2000万全面的白名单，终端威胁统一到控制中心查询黑白并进行查杀。支持linux、国产操作系统杀毒、云桌面（至少两家）产品（提供产品截图或厂商认证证书）;要求产品具备主动防御技术及应用级沙箱技术。要求支持以自定义黑白名单的方式来管理全网终端的文件。管理员可以将文件加入白名单或者黑名单。要求支持文件解压缩病毒查杀，支持对zip、rar、7z等多种格式的压缩文件查杀能力。对敲诈者病毒提供防护机制，同时提供解密工具，解密工具应为自主研发。（提供功能截图）3、补丁分发与漏洞修复：要求产品生产公司具备热补丁修复功能（至少需要8个以上为用户提供Windows漏洞修复的热补丁列表），产品具备漏洞集中修复，强制修复，自动修复；具备蓝屏修复功能，漏洞集中修复过程中的流量控制和保证带宽,补丁分发支持服务端带宽限流与客户端P2P补丁分发加速，有效节省外网带宽资源（要求提供截图）；产品生产公司具备面向微软官方级别漏洞发现能力（提供2015年至今少10个以上微软漏洞发现案例与相关截图，与微软官方确认截图）4、资产管理：支持统计指定分组或全网的终端扫描数、终端管理软件安装数、未安装终端数及安装率，支持自动发现设备的IP-MAC地址的绑定；支持软、硬件变更，可以设置软、硬件基线，展示终端软、硬件变动记录；5、终端安全运维管控：可统计全网终端或终端应用程序的上传，下载速度与流量；可限制指定或全网终端的上传及下载速度；支持冗余有线网卡、无线网卡、3G网卡、MODEM、ADSL、ISDN等设备的外联控制；违规外联发生时可针对内外网连接状态分别设置违规处理措施；支持终端进程红名单、黑名单、白名单功能，可设置核心进程必须运行，也可保护核心进程不被结束；支持网址白名单，通过信任网址白名单可以管理企业网络内信任的网址，加入信任后终端不再将此网址视为威胁；支持网址黑名单，可设置终端不能访问的网址URL，终端访问这些URL时会被拦截，并展示拦截记录；支持对终端各种外设（USB存储、硬盘、存储卡、光驱、打印机、扫描仪、摄像头、手机、平板等）、接口（USB口、串口、并口、1394、PCMIA）设置使用权限；支持对终端桌面系统的账号密码、本地安全策略、控制面板、屏保与壁纸、浏览器安全、杀毒软件检查；终端支持在线、离线两种策略，可同时使用在线或离线两种状态，保证终端安全运行。6、以上功能要求为一套软件、一个统一管理中心实现，提供销售许可证、国家信息安全测评信息技术产品安全测评证书、软件著作权、军B+，厂商为中国国家信息安全漏洞库支撑单位、国家计算机防病毒实验室理事会单位。7、投标时需提供原厂授权书、原厂三年售后服务承诺函。1套3网络设备日志安全审计系统1、系统为一个软硬件一体化产品，采用专用千兆多核硬件平台和安全操作系统。系统内嵌数据库，用户无需另外安装数据库管理系统；管理客户端基于浏览器，无需安装其他客户端软件。事件采集性能20000EPS;时间入库性能8000EPS; 具有扩展槽位，最大支持14个接口, 支持液晶屏。要求产品配置5个10/100M/1000M自适应电口，1个扩展槽位, 100个日志审计许可。2、 要求本次提供网络设备日志存储不少于6个月的容量空间。3、要求支持审计范围：能够对企业和组织的IT资源中构成业务信息系统的各种网络设备、安全设备、安全系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警等安全信息进行全面的审计。4、 要求审计对象：支持对各类网络设备、安全设备、安全系统、主机操作系统、各种数据库、各种应用系统，以及用户自己的业务系统的日志、事件、告警等安全信息进行全面的审计；5、 要求支持日志采集方式：SNMP、Syslog、数据库、Wsl、文件、NetFlow、OPSEC 、软件日志采集器等多种方式完成数据收集功能；6、要求支持日志收集后进行字段和安全等级的归一化处理，系统应提供灵活简单的归一化方式,对系统默认不支持的日志只需修改配置文件即可支持,不需修改系统程序；7、要求支持日志在线挖掘：系统具备事件挖掘能力可通过事件调查工具可以对某条感兴趣的日志中的源IP地址、目的IP地址、或者目的端口进行相关性日志检索；8、要求支持趋势分析：可对收集的日志根据过滤条件，针对设备地址、源地址、目标地址等进行事件数量、流量等的趋势分析。支持事件追溯，对于关联告警事件，用户可以进行追溯，查看导致该关联事件的所有原始事件；9、支持告警和响应管理：通过关联分析，对于发现的严重事件可以进行自动告警。告警方式包括邮件、短信、SNMP Trap、Syslog等。响应方式包括：自动执行预定义脚本，自动将事件属性作为参数传递给特定命令行程序；10、支持统一监控主页：系统应提供从总体上把握日志告警和日志统计分析的实时综合性监控界面。界面由多个监控组件组成，用户可以自定义监控主页。11、资质要求：公安部销售许可证、计算机软件著作权登记证书、软件产品登记证书。12、投标时需提供原厂授权书、原厂三年质保服务承诺函。1台4入侵防御系统 1、标准2U机架设备,冗余双电源，采用先进的多核处理器，系统采用多核操作系统，提供著作权证书, 本次要求配置2个10/100/1000M自适应电口，4个SFP+接口，, 2个扩展槽，具有液晶显示屏；IPS吞吐量4Gbps;要求采用与web安全防护系统同一品牌，三年特征库升级。2、支持透明、路由、混合多种工作模式，满足复杂网络环境；支持静态、策略路由、OSPF、BGP4等动态路由；支持端口聚合；支持ALG应用协议的NAT应用和端口重定向，包括SIP、H.323、XDMCP等，并支持自定义协议。支持主备模式(A/S)、主主模式(A/A)等多种热备方式。支持不少于4个节点，使用虚拟IP地址技术，通过VRRP协议实现集群负载均衡。3、内置4000种以上的攻击特征，采用语境关联分析技术实现准确的攻击及应用威胁识别；提供软件著作权。能够检测包括溢出攻击类、RPC攻击类、WEBCGI攻击类、拒绝服务类、木马类、蠕虫类、扫描类、网络访问类、HTTP攻击类、系统漏洞类等攻击。支持4种安全防护模式，基于网络、用户、应用以及云租户。提供功能界面截图。支持基于租户的NAT、IP地址配置、IP_MAC绑定、病毒过滤和防挂马、入侵防护、攻击防护、应用识别、文件控制、ARP防护、内容安全特性（邮件、网页的内容过滤）、策略/静态/多出口路由。支持本地认证、Radius认证、Tacacs+认证、CA 认证、LDAP/AD 认证。4、采用全面深入的协议分析技术，结合模式匹配、协议识别、协议异常检测、关联分析等多种技术，准确识别各种攻击，能够准确识别1700多应用协议如IM、P2P、网络游戏、流媒体、股票等应用，并可自定义；可针对基于安卓开发的多种聊天软件和社交软件的管控，如，QQ、微信、新浪微博、YY语音、糗粨、网易新闻等。支持AV病毒检测引擎，内置病毒特征不少于10万条。为确保病毒库的专业性，病毒库需为第三方专业杀毒软件厂商，病毒库原厂商通过VB100、AV-Test、ICSA、OPSWAT认证，需提供病毒库厂商对本项目的产品病毒库使用授权及原厂商VB100、AV-Test、ICSA、OPSWAT认证证书复印件。5、内置URL分类库，具有不少于 1万条URL地址库。可对URL地址以及域名进行过滤，且支持黑名单和白名单。内嵌深度包检测引擎，针对数据包进行深度过滤检测；可以针对FTP传输的文件类型（如mp3、avi）进行过滤。可以阻断内部用户访问非法的网址或访问含有非法内容的网页；支持自定义URL过滤策略、关键字过滤策略、蠕虫过滤策略；支持攻击邮件告警。6、支持智能流量控制技术，以多种依据（源IP/目的IP/IP范围/源端口/目的端口/端口范围/接口/用户组/安全策略区域对象/应用协议等）对流量进行控制。将每条链路切割成多组彼此互不影响的通道（PIPE），每个通道可再分割多个虚拟通道（Virtual Channel），设定带宽管理规则。支持将流量通过镜像口镜像出去，供第三方设备存储、分析、审计等；7、设备可以图形化展示应用风险指数、网络风险指数便于用户整体了解网络风险等级。提供功能界面截图；可高速分析与统计2至7层网络流量。实时图表显示用户连接数、当前会话数、应用使用排名等信息。支持通过web方式调用设备命令行窗口功能，无需登录串口就可对设备进行命令行操作。8、资质：产品具有计算机信息系统安全专用产品销售许可证；涉密信息系统产品检测证书；信息技术产品安全测评证书（EAL3+）；厂商需为信息安全等级保护安全建设服务机构（提供证明文件），信息安全等级保护关键技术国家工程实验室单位共建协议（提供协议）、国家保密局涉密集成甲级资质，具有信息安全管理体系27001认证,9、为了保证售后服务的质量和延续性，须提供原厂授权函和三年质保承诺函。1台5web应用审计系统1，标配6个GE电口（含两组bypass功能），最大可扩展至22个千兆口（提供接口满配图片），配置4个SFP光口，2个万兆SFP+接口（配置2个SFP单模模块），可扩展4个SFP+万兆接口，具备2个接口扩展插槽，标配1T存储空间，双冗余热插拔电源，具备2个USB接口；网络层吞吐10Gbps，应用层吞吐量900Mbps, 并发连接数300万，通过扩展接口卡，应用层吞吐量可扩展至1.9Gbps；2，Web防护:具备DDoS攻击防御能力，可以对HTTP Flood快速攻击和HTTP Flood慢速攻击进行防御，具备注入攻击防御能力，可以对SQL注入、LDAP注入、SSI指令注入、Xpath注入、命令注入、远程文件包含以及其他注入进行防御，具备跨站攻击防御能力，可以对XSS和CSRF攻击进行防御,具备信息泄露防御能力，可以防止服务器错误、数据库错误、Web目录内容、程序代码、关键字等信息的泄露，具备保护Cookie安全能力，可以防止Cookie被恶意篡改、Cookie被恶意劫持，具备Web访问控制能力，可以对扫描器的扫描行为、爬虫行为、目录遍历行为进行防御，具备特殊漏洞攻击防御能力，可以对针对Web服务器、Web框架、Web应用程序的漏洞攻击进行防御，具备防御资源非法访问能力，可以对非法上传、非法下载和盗链攻击进行防御，具备恶意软件防御能力，可以对Web Shell、木马攻击等进行防御，上述功能要求需提供相关截图证明；3，网页防篡改：支持学习模式和保护模式两种运行模式，支持自定义防护的静态网页类型，支持内置同步引擎同步服务器内容并建立基线，支持篡改监控和正常修改监控，支持篡改内容取证；4，应用加速：支持Web Cache功能，支持SSL卸载；5，网络层安全防护：支持整机Flood攻击防护（Syn Flood、UDP Flood、ICMP Flood等）、扫描/欺骗攻击防护、DoS攻击防护、代理攻击防护等；6，内置报表功能：报表需要包含多视角,提供安全风险概览、站点风险详情、攻击类型详情、站点篡改分析、站点访问量、网络层攻击汇总、系统运行状况不同维度报表，需要提供截图证明；7，资质：计算机信息安全专用产品销售许可证-Web应用防火墙，web应用防火墙-信息安全认证3C证书、电信设备进网许可证、互联网安全研究中心web应用防火墙认证证书。要求自主知识产权产品，非OEM产品，需提供攻击防护、虚拟化网络微隔离安全防护系统、软件著作权。厂商为全国信息安全标准化技术委员会会员单位，并提供上述相关的证明。8，提供厂商项目授权和三年售后服务承诺函。1台6虚拟化安全防护软件1，安全防护吞吐量最大1Tbps，应用层IPS/WAF安全防护吞吐量最大可以扩展200Gbps，本次配置20个CPU授权；最大并发连接数最大扩展3.4亿，每秒新建连接数最大可以扩展至600万；安全业务虚机最大可以扩展至200台安全业务虚机；2，虚拟化平台支持VMware（ESXi 5.1/5.5/6.0）等版本，无需vShield、NSX Manager组件支持；架构设计：管理、主控、业务模块分离的全分布式架构系统，网络安全解决方案，无需在Hypervisor或虚拟机内部安装驱动软件或代理软件，仅有一套统一管理界面，不需要对各业务模块单独管理；3，自动化适应：支持虚拟机的迁移(vMotion)时安全状态自动跟随（功能截图）4，高可用性 (HA)：主控模块支持主备模式，支持虚拟机迁移时既有会话不断，以及系统升级时既有会话不断，支持用ssh和ftp测试；安全业务模块出现故障后对整机无影响、接入该安全业务模块的虚拟机业务自动脱离；5，微隔离防护：支持应用类别、风险等级等多维度的应用定义，应用特征库不少于3000种（功能截图）6，虚拟网络透视镜：支持虚拟机资产发现、支持对流量、应用、威胁的统计，自动化展示出外部网、虚拟网络、VLAN、端口组内的虚拟机之间的流量、应用、会话日志、安全攻击、威胁事件等信息；支持对接入服务的虚拟机进行全方位的网络监控；支持以逻辑拓扑图的方式展示可视化效果（功能截图）7，支持无代理防病毒，不受vsphere ESXi5.1、ESXi 5.5、ESXi 6.0版本演进变化影响，病毒防护功能独立自主可控完全与Hypervisor层解耦，不受制于Hypervisor API影响；Windows、Linux、Unix各平台系统均无代理方式部署，不需要Agent、不依赖于VMware tools，独立安全业务虚机实现2-7层安全功能防护；通过网络侧针对Malware进行隔离控制包括但不限于针对以下类型Malware进行检测扫描过滤：Viruses 、 Worms、 Trojan Horses 、 Spyware 、Adware 、 Spam等；8，虚拟化IPS：支持HTTP Get、Head、Put、Post等多种协议方法检查，依据IP、TCP、UDP、IGMP、ICMP等网络层的各项参数设置特征，全面设置TCP/IP应用层的特征比对内容，不受通信协议的限制，支持跨数据包检测机制，包括：比对位移(matching offset)、比对长度(matching depth)、比对距离(matching distance)、比对范围(within)，支持基于流的数据包(stream-based)比对技术，提供7000多种特征的攻击检测和防御，特征库支持网络实时更新,需提供相关截图证明；9，虚拟化WAF：支持HTTP头域中的URL、Cookie、Referer、POST检查点配置防护策略，系统具备对网站外链防护功能，可以对Web服务系统提供保护，支持CC攻击检测，支持访问限速、代理限速、自定义请求阈值、爬虫友好等方法，检测到CC攻击时支持JS Cookie、重定向、访问确认、验证码四种认证方法；支持专业的Web Server防护功能，免特征进行SQL注入和跨站脚本攻击防护（提供功能截图）10，产品资质：要求自主知识产权产品，提供软件著作权：虚拟化安全网关系统、虚拟化微隔离安全防护系统；VMware合作伙伴：VMware合作伙伴证明网址，提供VMware官网证明链接；VMware认证的虚拟防火墙产品，提供VMware官网证明链接；VMware认证的微隔离产品，提供VMware官网证明链接，公安部测试报告：虚拟化云安全防火墙测试报告。11，本次配置20颗物理CPU授权，三年软件升级服务，投标提供原厂商售后服务承诺函与授权。1套7安全咨询与加固服务本次招标采购等级保护安全咨询与加固服务，依据国家相关文件、标准、系统安全保护等级和信息系统安全等级保护测评要求，结合测评机构出具的差距分析报告，对学校的一卡通系统按照等级保护二级要求提供安全咨询与加固服务。主要内容如下： 1、依据测评机构出具的差距分析报告，编制系统安全整改方案依据信息系统安全等级保护基本要求和信息系统等级保护安全设计技术要求，结合差距分析结果，编制针对一卡通系统的安全整改建设方案。2、编制和完善安全管理制度依据信息系统安全等级保护基本要求和信息系统等级保护安全设计技术要求，提供整改咨询服务，并协助采购方制订和完善各项信息安全管理制度，规范信息安全日常管理工作，提高信息安全基础管理水平。3、测评整改根据测评机构出具的系统安全问题及整改建议书和整改方案，进行一卡通系统进行安全加固，完成测评整改工作，直至完成测评。1套8等级保护测评服务本次招标采购等级保护测评服务依据国家相关文件、标准、系统安全保护等级和信息系统安全等级保护测评要求，对学校的一卡通系统按照等级保护二级要求进行等级保护测评。1、测评内容及过程包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评。等级测评过程包括测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动四个部分。测评对象包括网络互联与安全设备操作系统、安全相关人员、机房、介质以及管理文档等。测评内容根据安全等级测评的主要参考标准GB/T 22239-2008信息安全技术 信息系统安全等级保护基本要求，测评范围为两大类，技术类和管理类，技术类覆盖到物理安全、网络安全、主机安全、应用安全和数据安全五个层面；管理类覆盖到安全管理机构、安全管理制度、人员安全管理、系统建设安全管理和系统运维安全管理五个层面。2、形成差距分析报告依据测评结果和信息系统安全等级保护基本要求（GB /T 22239-2008），对各信息系统进行安全现状分析，编写相应的差距分析报告。3、测评整改评测机构协助采购方完成测评整改工作，直至完成测评。4、编制等级测评报告完成上述测评工作和建设方实施整改后，由测评机构出具符合公安机关要求的（年度）信息系统安全保护等级测评报告。 5、测评机构资质投标需明确评测机构名称，评测机构需具备以下证书：信息安全等级保护测评机构能力评估合格证书 信息安全等级保护测评机构推荐证书1套9智能DNS一、硬件规格1、非通用服务器，专用软硬集成一体DNS设备，非采用开源软件BIND软件2、QPS指标：不低于8万（开日志） 可以实现QPS自动关闭日志提高性能（中标后用户现场做第三方性能测试）3、硬盘：不低于500G；网口：不少于6个10/100/1000M电口4、系统具备软硬件功能级冗余备份方案，支持HA部署 5、提供双网卡互为主备及负载均衡，提供交流冗余电源6、提供的系统需要通过IPv6 Ready核心协议认证及3C认证二、软件功能要求1、支持分层次的多级部署，采用HTTPS协议下的WEB方式登陆和管理，通过中央管理设备上的统一集中式管理界面完成所有DNS服务的配置，并可分配不同权限 用户输入、报表、管理界面、告警事件的信息等均中文界面2、支持智能解析、基于视图的存根区、转发区和重定向3、必须实现安全加强，以更好的抵御和防范DDOS和缓存攻击等主要的域名安全威胁。包括：支持0x20，对外查询端口高度随机，对外并发查询数量限制，相同IP的并发查询限制，DNSSEC、EDNS等协议或算法机制4、支持视图备注、视图禁用、健康检查、多区多视图、资源记录的批量修改5、支持以区文件格式批量导入解析记录、增量导入、共享记录、A记录和ptr（反向记录）的联动、视图间的区拷贝6、支持对DNS所有数据的全局搜索，模糊搜索；域名解析查询限速，支持DNS64和DNSSEC平滑部署；提供截图证明；7、支持时间同步，DNS系统可作为NTP服务器和NTP客户端，NTP服务器可选择性配置域名和IP地址；提供截图证明；8、要求具有丰富的DNS解析日志及统计报告，所有节点DNS解析实时展示和统计，帮助网络管理员跟踪和快速解决与 DNS配置有关的问题。统计CPU、内存、硬盘利用率、包括QPS、Top域名、Top IP 、解析记录统计、IP域名限速9、支持全局所有子节点监控，包括：服务器性能、运行状态等。可设定报警阈值，发生问题时可实时触发故障报警，支持邮件、SNMP接口和URL回调等报警方式及提供相关开发接口10、要求支持多角色管理和授权、账户保护功能（多次登陆失败则禁止登陆）。支持同Radius、TACACS+、LDAP认证，产品可拓展DHCPIPAM功能11、智能化的访问调度，支持DNS多种负载均衡算法：来源就近算法、优先可用算法、返回备用IP算法、加权比率算法等12、支持A、AAAA记录同PTR的操作联动13、支持自动切换为高性能DNS查询模式服务，当DNS资源消耗达到指定阈值时，DNS将自动非核心服务，自动将设备并发性能进行提升，每秒并发量提升至少1倍14、支持请求源地址的健康检查和切换，当请求源地址不可用时，自动使用备用请求源地址15、递归超时攻击安全防护，自动控制超时域名的递归查询数量，有效避免客户端发起的恶意递归查询服务请求三、其他1、提供原厂三年 7*24小时服务及大客户级4小时内上门服务承诺函2、公安部安全等级测评报告、中国信息安全测评中心测评报告3、具有公安部颁发的计算机信息系统安全专用产品销售许可证1台10核心路由器板卡扩容原有核心路由器Juniper MX960板卡扩容：增加配置1块4口万兆业务卡，型号为MIC-3D-4XGE-XFP：4个10GbE MIC，提供4个万兆XFP接口，并配置4个万兆XFP单模的光模块。1.配置的板卡必须硬件实现IPV4、IPV6双栈，硬件实现IPv4/IPv6的multicast：PIM SSM/MLD/PIM SM，Embedded RP；2.配置的接口板卡支持VLAN数64K，且板卡必须能够支持不少于32K VLAN的三层终结；3.板卡必须为全分布式转发；接口卡必须能够实现基于每个板卡、物理接口、逻辑接口、单个用户的ARP攻击防护；4.配置的子卡均必须支持热插拔功能；5.配置的每个GE/10GE端口必须是纯路由端口，必须能实现Q-in-Q终结，必须能实现同一端口同时终结Q-in-Q VLAN和普通VLAN；6.配置业务板卡必须支持宽带用户（IPoE、PPPoE、Portal等）接入,支持基于用户属性给每个用户分配不同的带宽速率等；7.提供的板卡应与原有核心路由器是同一品牌；8.提供三年7*24小时服务承诺函（原件），为板卡提供不少于3年的原厂免费质保。1块11核心路由器服务维保1. 提供原核心路由器瞻博 MX960整机（包括升级扩容部件）维保，维保服务时间为三年；2. 维保服务包括技术支持服务，签订合同之日起，提供重大软件故障4小时内上门支持；较大网络结构调整、网络配置调整的上门技术支持；日常设备配置调整提供远程技术支持，日常季度设备巡检并出季度巡检报告；包含MX960整机硬件质保，提供备件备机支持服务，硬件故障提供原厂硬件备件更换服务；3. 维保服务提供商为瞻博网络原厂商或瞻博网络认证服务提供商，投标公司投标时需提供维保服务提供商的授权函或服务承诺函，以及最终服务提供商相关资质证明材料。3年12无线控制器AP管理许可对现有无线控制器进行无线AP管理许可扩容：1.增加128个AP的管理许可2.提供原厂商针对本项目的三年售后服务承诺函2个13高密度AP1.支持胖/瘦两种AP工作模式，支持802.11ac协议；2.支持三频2条流，支持802.11ac/a/n或802.11b/g/n，保证100个终端同时接入的使用效果（同时在线播放高清视频无卡顿），提供泰尔实验室测试报告；3.支持2.4G、5G、2.4G/5G三频，支持only-5GHz频段模式，最大速率可达1700Mbps；支持2.4GHz、5GHz混合模式，最大速率可达2000Mbps；4.支持802.3af/802.3at兼容供电；5.提供2个千兆以太网口；6.为方便学生使用，要求支持中文ssid；7.支持基于不同用户、不同终端类型、不同时间、不同地点精确控制每个用户的访问权限； 8.支持有线无线一体化管理，可以通过开放网络协议实现有线、无线网络设备在同一网管软件上一体化管理；9.支持802.1x认证、MAC地址认证、PSK认证、Portal认证；10.支持64/128位WEP、动态WEP、TKIP、CCMP(11n推荐)加密；11.支持TR-069协议，可以从网络侧对位置分散的无线接入设备进行远程集中管；12.提供原厂商针对本项目的授权函及三年售后服务承诺函。13. 要求必须能够完全兼容我校现有无线控制器，提供厂商承诺函加盖原厂章证明88个14放装AP1. 可支持胖/瘦AP两种工作模式，支持802.11ac Wave2协议，支持MU-MIMO，提供官网截图盖章证明；2. 同时支持802.11a/n/ac/ac Wave2和802.11b/g/n工作3. 支持802.3af/802.3at兼容供电；4. 提供至少2个千兆以太网电口，双网口可冗余PoE供电、支持端口负载均衡；5. 支持基于不同用户、不同终端类型、不同时间、不同地点精确控制每个用户的访问权限；6. 支持终端智能识别，能够识别出IOS、Android等智能移动终端和PC机；8. 内置天线（工作频段：2.4G 和5G，增益7dBi）；9. 支持有线无线一体化管理，可以通过开放网络协议实现有线、无线网络设备在同一网管软件上一体化管理；10. 支持802.1x认证、MAC地址认证、PSK认证、Portal认证；11. 支持64/128位WEP、动态WEP、TKIP、CCMP(11n推荐)加密；12. 支持TR-069协议，可以从网络侧对位置分散的无线接入设备进行远程集中管13. 提供原厂商三年免费售后服务承诺函(非总代或金牌代理商)14. 要求必须能够完全兼容我校现有无线控制器，提供厂商承诺函加盖原厂章证明142个15面板AP1.支持双频，支持802.11ac/a/n或802.11b/g/n，要求双频速率866+300Mbps；2.支持标准POE供电，功率13W；3.上行（背面板）提供1个1000Mbps 以太网电口；下行提供4个1000Mbps以太网电口，提供不少于1个USB接口，提供console管理接口；4.支持集中式管理，统一配置下发，版本升级、AP状态在线查看；5.为保证设备功能真实性及性能稳定可靠，须保证单设备同时接入不少于50个终端，且同时在线播放视频无卡顿，提供权威第三方测试报告证明；6.提供无线电核准证，要求入网时间不少于1年；7.提供原厂商针对本项目的授权函及三年售后服务承诺函；8. 要求必须能够完全兼容我校现有无线控制器，提供厂商承诺函加盖原厂章证明18个16本体AP1.支持802.11ac协议;2.采用RJ45接口普通5类以上网线+AP入室的方式部署，且保证双频覆盖;3.单个接入AP覆盖至少20个房间，每个接入AP可以通过网线连接入室AP进入房间覆盖4.千兆电接口不小于24个，千兆光接口不少于4个5.同时支持802.11a/n/ac和802.11b/g/n工作6.接入AP提供千兆电口不少于20个，光电复用接口不少于4个，支持光纤连接，提供官网截图盖章证明；8.网络接口支持POE供电，供电端口不少于20个8.集中转发模式下单台支持管理下属AP的能力不小于20个9提供原厂商针对本项目的授权函及三年售后服务承诺函10. 要求必须能够完全兼容我校现有无线控制器，提供厂商承诺函加盖原厂章证明2台17POE交换机1.整机交换容量（非背板带宽）250Gbps，整机包转发率95Mpps；2.要求整机POE输出功率不少于370W，提供官网截图盖章； 3.主机自带24个千兆POE电口，4个千兆万兆自适应光口； 4.为节省机房、机架空间，设备高度不得高于1U；5.支持纵向虚拟化，提供官网截图盖章；6.支持SDN，提供官网截图盖章7.支持SNMP V1/V2/V3，SSHv2等管理方式；8.提供工信部入网证；9.提供原厂商针对本项目的授权函及三年售后服务承诺函10台18多媒体机柜楼道机柜，安装POE交换机用，壁挂式，600*600*150，含箱门锁、光缆固定座、交换机或ONU安装固定装置、空开、电源插座、接地铜排、熔纤盘、安装材料（含4个安装孔螺栓、螺钉）等组成；特别要求：所有机柜钥匙统一；机柜上需喷有“铜陵学院网络中心”相关字样，具体内容需中标方在项目实施前与校方确认。投标人需仔细勘察现场并进行核算，保证本次项目中所需的多媒体机柜数量，后期不得已任何理由要求增补。1项19其他要求施工材料1、满足以上所有网络设备安装调试所需的超五类非屏蔽网线、超五类非屏蔽水晶头、线槽、光纤跳线、电源线、施工辅材等，投标人需仔细勘察现场并进行核算，后期不得已任何理由要求增补。2、中标单位在施工前，需提供超五类非屏蔽网线、水晶头、电源线的样品，校方针对样品审核通过后，方可进场施工。施工要求1、本次项目施工中所有综合布线、多媒体柜、AP等的安装施工费用，投标人需仔细勘察现场并进行核算，后期不得已任何理由要求增补2、中标单位需按照GB50312T-2016综合布线系统工程验收规范进行综合布线施工，施工前需提交施工方案，校方审核通过后，方可进场施工。3、中标单位负责本次项目中相关设备的强电接入，从学校的配电柜自引电路，符合GB50303-2015建筑电气工程施工质量验收规范和学校的安全用电要求，施工前需提交施工方案，校方审核通过后，方可进场施工。其他：投标人需提供本项目技术方案并装入标书。1项2、项目总体要求：本次无线建设是在现有的无线覆盖区域的基础上，根据无线使用效果进行优化扩容，整体要求如下：1、整体采用无线控制器+POE交换机+瘦AP的架构，实现接入集中控制管理和交换。2、本期的无线网络建设必须与现有的无线网络进行无缝对接，实现全校无线覆盖范围内的无缝漫游。3、通过前期的无线管理平台，实现所有校园网无线AP的统一管理。4、采用与现有校园无线网同样的认证方式，无线用户必须实现无感知认证。5、为实现无线校园网系统的稳定性、可用性及项目的实施及维护效率，以最大程度上保障校方的利益为目的，本次招标的所有AP、POE交换机必须为同一品牌。厦礴恳蹒骈時盡继價骚卺癩龔长鳏檷。6、实现全校范围内的无线漫游、无感知认证是项目验收的必要条件，投标人必须无条件满足。3、售后服务要求(1)、投标货物必须是符合国家技术规范和质量标准的合格产品，满足业主方使用需求，并具有可靠的售后服务体系，质量可靠、使用安全。茕桢广鳓鯡选块网羈泪镀齐鈞摟鳎饗。(2)、中标人应提供免费技术服务，设备提供原厂质保服务，设备质保要求如下表所示。序号品目名称原厂质保时间1数据库审计系统提供原厂3年质保服务2终端安全管理系统提供原厂3年质保服务3网络设备日志安全审计系统提供原厂3年质保服务4入侵防御系统 提供原厂3年质保服务5web应用审计系统提供原厂3年质保服务6虚拟化安全防护软件提供原厂3年质保服务7智能DNS提供原厂3年质保服务8核心路由器板卡扩容提供原厂3年质保服务9核心路由器服务维保提供原厂3年维保服务10无线控制器AP管理许可提供原厂3年质保服务11高密度AP提供原厂3年质保服务12放装AP提供原厂3年质保服务13面板AP提供原厂3年质保服务14本体AP提供原厂3年质保服务15POE交换机提供原厂3年质保服务(3)、中标人对其所提供的货物免费升级维护叁年，期限从验收合格之日开始。中标人应在接到报修通知后应于24小时内反应，如需上门维修应与3天内上门维修，负责更换有瑕疵的货物、部件或提供相应的质量保证期内的服务。鹅娅尽損鹌惨歷茏鴛賴縈诘聾諦鳍皑。三、投标人资格要求：1、符合中华人民共和国政府采购法第二十二条规定且具有独立法人资格；2、投标人具备工业和信息化部(原信息产业部)颁发的计算机信息系统集成三级及以上资质或中国电子信息行业联合会颁发的信息系统集成及服务三级及以上资质籟丛妈羥为贍偾蛏练淨槠挞曉养鳌顿。3、本项目不接受联合体投标；四、供货（安装、服务）周期工期：合同签订后90日完成供货及安装、调试五、付款方式：一次支付项目验收合格后，由采购方通过“省监管服务平台”上传验收报告、发票等原件信息。经财政部门审核后，支付全部合同款。預頌圣鉉儐歲龈讶骅籴買闥龅绌鳆現。六、采购方式：公开招标七、评标办法的初步意见本次采用综合评分法，评分办法如下：（满分100分，计算过程和结果四舍五入，精确到小数点后两位。）评分标准评分因素所需提供材料分值技术部分标准技术方案技术方案主要内容要求：保证项目实施的技术力量和人力资源安排，保证供货质量的措施，保证供货期的方案和措施，安装、调试、验收的方案和措施，对本项目有效的改进措施和合理化建议。综合比较所有投标人技术方案的先进性、合理性、全面性，设计先进、方案合理、技术力量强的得10分；设计、方案、技术均一般的，得6分；设计、方案、技术存在欠缺的，得2分。提供技术方案装订入投标文件，未提供技术方案的不得分。10分性能和技术参数根据投标供应商所提供的有效产品彩页（盖章）或有效说明书（盖章）及技术规格响应表： 1.标指标的技术参数全部满足招标文件要求且非标指标的技术参数也全部满足招标文件要求的得30分； 2.标指标的技术参数全部满足招标文件要求,但非标指标的技术参数有1项不满足招标文件要求的扣3分，扣完为止；3.标指标的技术参数有1项不满足招标文件要求或未提供有效产品彩页或未提供有效厂商官网截图佐证的，本项不得分。提供产品技术参数偏离的相关证明材料。30分售后服务及培训1.投标供应商承诺提供免费的技术培训，培训方案须明确内容、时间、地点、师资、课时，评委将根据培训方案的科学性、全面性、合理程度、培训讲师资格进行打分0-3分。 2.投标供应商售后服务及维保体系（体系完备、制度健全、售后技术服务承诺、保修期、保修内容及优惠条件）0-3分。 提供售后服务及培训方案装订入投标文件，未提供售后服务方案的不得分。6分投标供应商情况 投标供应商基本情况：财务状况、企业实力等，须提供齐全有效的证