广州番禺区电子政务外网准入认证购项目-广州公共资源交易中心.doc

用户需求书1 商务要求（一）符合政府采购法第二十二条所规定的条件；分公司投标的，必须由具有法人资格的总公司授权。（二）投标人具有信息系统集成及服务资质证书三级或以上证书。（三）本项目不接受联合体投标。 2 需求说明2.1 项目背景与现状网络空间是继陆地、海洋、天空、太空之后的第五活动空间，也被称为“第五疆域”。随着互联网的快速发展，各种业务系统相互交织，网络安全重要性越来越突出。据中国互联网网络信息中心发布的第40次中国互联网络发展状况统计报告，截至2017年6月，我国网民规模达7.51亿，其中通过手机上网的网民占96.3%。伴随着互联网+的飞速发展，网络安全问题日益凸显。今年5月12日WannaCry勒索病毒（以下简称“勒索病毒”）在世界范围内爆发，越来越多的人领略到互联网病毒的威力。“网络安全”与“信息化”两翼齐飞、双轮驱动，既要解决网络安全问题，也要加快发展信息化。只有让“网络安全”与“信息化”协调一致，才能让互联网信息技术更好服务于社会。政府部门通过政务网络提供面向社会的服务，促进了政府服务能力的极大提高。政府日常办公业务与网络的联系不可分割，一方面这是政府部门加强对外服务的客观要求，另一方面这也是公务人员获取社情民意的行政需要。当前政务办公桌面终端环境仍以PC机为主，移动终端作为辅助工具。这种基础架构普遍受到信息安全、维护效率、 资源管理等方面的困扰。脆弱的用户终端一旦接入网络，就等于给潜在的安全威胁敞开了大门，使安全威胁在更大范围内快速扩散，进而导致网络使用行为的“失控”。保证用户终端的安全、阻止威胁入侵网络，对用户的网络访问行为进行有效的控制，是保证网络安全运行的重要因素，也是目前急需解决的问题。番禺区电子政务网作为广州市电子政务网络系统的重要节点，为各业务部门提供信息服务和信息化基础资源服务，实现了上联广州市电子政务网络骨干，横向连接多个区委办局，下联各镇（街）、村（居）和区属国有企业，通过建设统一的门户网站站群管理子系统、番禺区政府公共资源共享子系统、办公自动化系统等，实现了各委办局、镇（街）、村（居）和区属国有企业的无纸化办公，有效的推进了番禺区电子政务建设。番禺区政府政务外网已经建设成高性能万兆骨干网，采用BGP/MPLS VPN架构，规划合理建设规范。随着政务业务发展和人员扩展，办公人员的信息分布节点日益增加，在接入区域部分办公环境中的网络信息接口紧缺，致使部分人员通过HUB、路由器等设备接入网络。此外随着移动智能终端的普及，也导致人员通过各种无线设备接入政府办公网络，导致办公网络环境越来越复杂，管理复杂度变得越来越高，安全威胁越来越突出。番禺区政府政务外网主要节点石碁镇、发改局机房、区府核心机房等。区府机房下联大院内东附楼、西附楼、会议中心等，以及区府大院外多个单位接入，发改局机房下联市桥街、桥南街、安监局等。图1u 物理设备与链路区府核心机房2台核心交换机通过虚拟化技术虚拟成一台设备。如图1每个重要节点机房部署一台汇聚交换机，通过万兆链路上联到区府核心机房。u 网络架构承载网网络架构基于BGP/MPLS VPN，业务接入交换机上联到汇聚交换机设备。u 业务描述由于接入单位业务比较复杂，比如区局单位部署IPSEC VPN直接上联到市局,视频会议系统、医院业务系统等等，出于安全、稳定需求，部分业务专网应该和现有办公业务网络隔离。2.2 需求分析电子政务网终端安全本身就是一个复杂的、动态发展的过程。当前针对网络的安全风险日益增加,建立完善的网络安全保障体系，保护核心数据和信息的安全，电子政务网要有规范统一的安全防护措施和手段。网络系统安全防护分为三大区块，终端用户安全防护区，比如可访问互联网终端PC、和各类移动终端，后台服务器安全防护区，比如应用服务器、数据库，各类出口安全防护区，比如互联网出口。后台应用服务器和网络出口安全防护多由专业人员负责管理运维。终端安全防护相对薄弱，任何外来人员通过有线或无线可以进入内部网络，网络的终端全部都是基于工作组的模式，没有进行网络域的集中管理模式和相关的策略性的定义。对正常接入的终端没有进行健康性的检查和指导用户进行修复，以及不能对达不到安全要求的终端采取隔离措施。办公室私自部署无线设备，为移动终端提供无线网络服务的同时对政务办公信息安全造成威胁。因此目前PC、移动终端等成了“整个网络系统安全防护的短板”。缺乏更严格稳定的终端准入控制、网络边界的不规范、终端位置缺失、IP资产信息难以管理等安全风险,所以现需部署一套专业网络准入控制系统。实现网络准入系统主管准入控制、网络边界、实时资产信息等功能，形成从终端入网前到终端入网后全流程化管理，保障电子政务网的安全高效运行。2.3 部署需求每个节点接入用户进入政务网，必须认证。区局到市局业务专网VPN，如审计局业务专网，类似业务专网，以及其他特定业务不进行认证。实现接入认证统一接口，除准入外还可保证准入接口安全，包括入侵防御、病毒防护、流量管理、权限控制等；实现终端管理一体化：桌面管理、终端准入、数据防泄密、终端防病毒四功能合一，一个客户端解决终端安全管理的所有问题，减轻用户桌面压力。终端全面资产管理：对终端资产全生命周期进行管理，提供终端操作系统漏洞检测和修复、终端平台环境规范、远程支持和维护等全方位的终端运维管理。清除终端本地的病毒及木马，加固了终端自身安全性，从而大量减少了病毒、木马等的入侵行为，并减少了网络出现故障的几率；防止用户的私自非法外联行为，对用户的正常网络行为进行有效监管。规范终端行为：从终端审计、移动存储管理、安全基线设定等角度，提供全方位的终端合规管理功能，从规范终端用户行为出发，封堵终端违规的漏洞、监控和规范终端用户行为，全面提升终端安全管理水平。重点关注机房区府核心机房、发改局机房，接入单位多，网络结构复杂。目前有二层、三层结构混合存在，还需进行大量整改。村居、有人值守公共服务站准入认证，安装客户端，其他单位可采取WEB认证。对于部分单位采取NAT技术接入政务，其内网的网络结构、IP规划根据项目需要统一规划。2.4 项目实施服务要求1、 投标人应针对本项目特点提出完善的工程管理措施，至少应达到如下6点要求：(1)项目实施计划进度要求、(2)项目实施人员组织要求、(3)项目实施技术和质量保障、(4)工程验收、(5)设备及软件质量保证、(6)服务与技术支持2、 负责项目实施的项目经理需具有PMP证书或信息系统项目管理师资质。3、 投标人需提供本项目中所有软、硬件产品的安装调试服务；4、 提供与本项目实施相关的交换机、路由设备的策略配置、IP地址规划分配、无线路由器配置，终端设备准入认证配置调测等；5、 投标单位必须在用户单位办公现场安排不少于1名现场驻点服务人员，服务人员在用户单位现场办公时间内需在用户现场办公，随时为用户提供故障处理与应急响应的技术服务。并向招标人提供系统维护和管理文档。6、 质保期内中标人负责对出现故障的设备免费维修或更换并提供性能相同的替用设备。2.5 设备采购清单序号产品型号产品说明单位数量1准入网关设备标准2U设备;支持BYPASS;不少于6个GE口，至少一个扩展槽位，吞吐不少于4G，最大并发连接数不少于220万，每秒新建连接数不少于4万；台82终端准入安全管理审计系统支持准入控制、安全基线、安全防护、桌面运维等功能；支持能够与准入网关实现准入控制联动；接入认证的内容包括用户名/密码、计算机安全状态、接入有效期等一种或多种条件的组合认证，授权数必须满足项目范围所有的终端使用套13网络非法接入检查系统支持远程扫描方式，支持对以地址克隆或修改MAC地址的NAT方式私接的路由设备（包括无线AP）进行检测套12.6 技术指标要求2.6.1 准入网关参数要求准入网关参数参数项描述接口配置不少于6个GE口，一个扩展槽位性能指标吞吐不少于4G，最大并发连接数不少于220万，每秒新建连接数不少于4万；操作系统多系统设置可在Web界面完成全部操作【截图证明并中标后七天内提供加盖厂商公章原件】。支持按功能模块的配置导入导出模版式配置管理支持系统主要防护功能的统一化模板设置，模板分为高、中、低三个级别，分别对应不同防护强度，可通过Web界面选择切换及通过外置按键一键切换【截图证明并中标后七天内提供加盖厂商公章原件】。网络适应性支持静态路由，动态路由（OSPF、RIP、BGP、ISIS等），VLAN间路由，单臂路由，组播路由等。必须支持基于应用的策略路由，可实现为不同的应用类型智能选择相应的链路必须支持基于 WEB地址URL的策略路由，可实现将不同类型的网站流量智能分配到不同的链路必须支持基于文件类型的策略路由，可实现将预定义或者自定义的文件按照不同的分类进行智能选路【截图证明并中标后七天内提供加盖厂商公章原件】。网络管理支持将任意接口数据完全镜像到设备自身的其他接口，用于抓包分析支持DHCP Client、DHCP Relay、DHCP Server。各种工作模式下均支持H.323（H.323 GK）、SIP、FTP、MMS、RTSP、XDMCP、TNS等多种动态协议。支持对虚拟环境的数据流进行全策略控制。支持链路聚合功能，支持802.3ad和静态轮询、热备等多种模式，MAC、MAC&IP、IP&Port多种聚合负载算法支持802.11A/B/G/N协议，支持设备作为WiFi热点（即AP），为客户机提供无线安全接入服务支持无线设备接入的MAC地址认证，可设置默认接收或拒绝MAC地址。除本地有线链路接入外，必须可提供至少一种其他媒介的灾备链路接入方案支持，如3G广域网、VSAT卫星网、海事卫星网【截图证明并中标后七天内提供加盖厂商公章原件】。 网络访问控制支持一体化安全策略配置，可以通过一条策略实现用户认证、IPS、AV、URL过滤、协议控制、流量控制、并发限制、新建限制、垃圾邮件过滤、审计等功能,简化用户管理【截图证明并中标后七天内提供加盖厂商公章原件】。支持同一个地址对象中可以包含IP、IP段、IP range、排除地址等多种类型【截图证明并中标后七天内提供加盖厂商公章原件】。支持将源MAC作为独立的访问控制条件，防止非法设备接入。支持以组的方式管理安全策略，支持安全策略组的增、删、改操作，简化安全策略管理【截图证明并中标后七天内提供加盖厂商公章原件】。支持针对策略中的源、目的地址进行并发限制，可以针对单IP(或地址范围)进行并发控制。支持针对策略中的源、目的地址进行新建限制，可以针对单IP(或地址范围)进行新建控制【截图证明并中标后七天内提供加盖厂商公章原件】。支持策略命中数显示，并支持通过安全策略命中数范围查询【截图证明并中标后七天内提供加盖厂商公章原件】。支持根据IP地址进行策略查询、支持根据服务端口进行策略查询。支持根据规则序号、规则名、源地址、目的地址、入侵防护策略、服务、认证用户、认证用户组、所属策略组、备注进行规则查询。支持查看访问控制策略引用地址、服务、时间资源情况。准入认证管理支持对入网终端的系统版本和运行进程进行准入检查。支持在用户认证失败的情况下仍提供基本的网络访问权限。支持对WEB认证、LDAP认证、RADIUS认证、邮件账号认证、IP识别用户的强制下线。支持用户的AD域、POP3、BJCA单点登录，支持自定义单点登录监听端口【截图证明并中标后七天内提供加盖厂商公章原件】。支持设置认证服务器组。支持用户口令复杂度设置。支持显示详细的用户在线信息，包括用户名称、真实姓名、所属组、认证源、接入方式、认证方式、登录IP/MAC、在线时间、登录时间和可对其进行相关操作【截图证明并中标后七天内提供加盖厂商公章原件】。2.6.2 终端准入安全管理审计系统参数要求终端准入安全管理审计系统参数技术指标指标要求终端授权不少于20000个点的终端授权，以实际合法接入番禺区政务外网的终端数为准。管理平台服务器端部署简单方便，并可以通过快速安装方式，一键安装所需要的所有系统服务器组件和数据库，并支持自动生成客户端安装包。服务器支持在支持Windows2008R2 X64、Windows2012R2 X64或Linux上部署，支持的数据库为开源的免费版MYSQL数据库。支持客户端安装注册机制，客户端安装时，可以由管理员自定义设置需要终端用户选择和填写客户端注册信息项目内容和是否为必填项，信息注册并提交后，系统后台自动将终端与该信息绑定保存。注册信息项除了系统预置的部门、设备使用人、联系电话、地址、Email地址等信息项类型之外，还可以根据客户端注册的个性化要求，新增个性化客户端注册信息项类型。管理员还可以对新增的自定义客户端注册信息进行修改、删除，并可以选择该项是否为必填项。【截图证明并中标后七天内提供加盖厂商公章原件】支持时间策略，可以设置工作日及时间、加班日期及时间和休假日期及时间。如果启用时间策略，非工作时间（包括休假时间），无论客户端是否离线，客户端启用并执行离线策略；在工作时间（包括加班时间），终端如果在线，则客户端执行在线策略，如果终端离线，客户端则执行离线策略。安全基线支持进程黑名单，黑名单进程支持MD5校验，能够有效禁止运行与工作无关的软件。防止修改进程名逃避安全检查。对于运行的黑名单进程，既可以自动结束进程，也可以只进行违规提示。支持黑名单进程的MD5校验和源文件名校验。【截图证明并中标后七天内提供加盖厂商公章原件】支持进程红名单，能够确保必须运行的软件的进程处于正常运行状态。能通过MD5码校验的方式检查进程名，防止用户对程序改名逃避安全检查。支持自定义的进程延迟检测时间及从样本终端上计算进程可执行文件的MD5值。支持进程白名单，强制用户只能运行指定的软件，对于运行的进程白名单之外的进程，可以自动结束进程，也可以只进行违规提示，还可以选择仅记录违规行为，不进行提示。能通过MD5码校验和源文件名检验的方式检查进程名，防止用户对程序改名逃避安全检查。并支持文件目录排除及证书名排除，防止系统关键进程被误关闭。通过检测指定注册表项的存在，检测指定注册表值的存在，检测指定的注册表项和值的匹配关系来检查是否有隐藏的木马或病毒。通过对指定注册表项的保护来防止木马或病毒修改关键注册表而控制用户终端。能够通过策略启用Windows系统自带的对SYN攻击进行防护的功能，并可以精确设定“指定触发SYN洪水攻击保护所必须超过的TCP连接请求阀值”，“指定处于 SYN_RCVD 状态的 TCP 连接数的阈值”和“指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值”，增强终端对SYN攻击的抵御能力。【截图证明并中标后七天内提供加盖厂商公章原件】桌面运维能够准确统计计算机终端数量。支持客户端软件安装包的自动分发和安装，且支持MSI、EXE、BAT、脚本等格式的安装程序，支持自定义安装包。能够支持无线可信SSID管理，支持终端只能连接指定的SSID，不在可信列表中的无线SSID不允许连接。简明可靠的多网卡非法外联管理，可以设定只有与策略系统通讯的网卡才能发送和接收数据，禁止其他任何网卡发送和接收数据，包括多网卡、拨号连接，VPN连接等。避免通过注册表设置禁用多网卡、拨号连接而易被破解。【截图证明并中标后七天内提供加盖厂商公章原件】通过客户端信息发布，可以对终端用户进行安全教育。并可以将事先准备好的安全教育内容，定时通过信息发布传送到客户端，客户端收到后，将自动弹出信息提示框，并提示终端用户及时进行阅读，待终端用户全文阅读完毕并点击确认，客户端消息框将不再弹出。除此之外，管理员还可以根据实际情况，调整信息提示框弹出的频率和消息有效期，保证达到理想的安全教育效果。能够为终端设定自动关机的条件，一旦条件符合，终端将自动关机，方便管理员对无人值守或者长期空闲的机器进行关机处理。【截图证明并中标后七天内提供加盖厂商公章原件】安全防护能够对终端访问的目的地址、服务以及发起访问的进程进行管理，只有允许的进程才能对指定目的地址和服务进行访问。能够对终端接受访问的源地址、接受访问的服务以及接受访问的进程进行管理，只有允许的进程才能接受指定的访问者对指定服务的访问。支持UDP发包行为白名单，对客户端上指定进程的UDP发包行为不予限制。终端审计能够对终端的非法外联行为进行监控和告警，一旦探测发现终端发生非法外联行为，即可根据设定的告警对象和告警方式，进行告警，直至非法外联行为中止后才会解除。【截图证明并中标后七天内提供加盖厂商公章原件】支持多种方式对非法外联行为进行审计和告警，告警方式包括：终端提示，上报告警事件及电子邮件告警，支持同时对多个用户发送告警信息。能够对终端用户登录Windows情况进行审计，掌握每台终端用户活跃情况。能够对终端开关机进行审计，记录终端Windows操作系统启动、重启和关机的行为，并生成审计日志，上报服务器，掌握终端系统使用真实情况。全程跟踪和审计客户端的运行状况，审计的客户端运行状况包括：客户端服务的启用和停止，客户端的卸载行为，客户端策略获取等信息。【截图证明并中标后七天内提供加盖厂商公章原件】能够对终端曾经使用过的USB设备进行审计，审计的内容包括：USB设备名称、设备实例ID、使用时间等信息，方便对终端USB设备历史情况进行了解；移动存储能够对接入终端的移动存储进行认证，对未认证的移动存储设备，能给用户弹出认证和注册窗口，提示用户对设备进行认证，确保只有认证过的移动存储设备才能够在终端使用。提交认证时，除了可以填写移动设备的使用人相关信息之外，还可以选择使用人所在的部门，方便对以后设备的维护和管理。【截图证明并中标后七天内提供加盖厂商公章原件】可以直接授权认证过的移动存储设备禁止使用、只读或可读写，也可以对认证过的移动存储设备进行多种模式的安全认证，保证认证的移动存储设备保存的数据安全保密，移动存储设备授权共享。安全认证模式包括：专用目录加密认证、全盘加密认证。能够对移动存储设备使用进行授权，可以指定由分组的终端、用户在线或离线时对移动存储设备的使用权限，确保认证后的移动存储设备授权共享。对于加密目录，可以设置读、写、离线读、离线写等操作权限，对于非加密目录，可以设置读、写、离线读、离线写等操作权限。全面适应各种复杂移动存储设备应用场景。支持自动安全格式化移动存储设备，所有保存到移动存储设备的文件，将全部自动被加密，在非管理环境下，移动存储设备完全不能使用，从而最大限度保证内部资料的安全。准入控制能够与准入网关实现准入控制互动。当终端通过准入网管进行访问时，由准入网关和产品联动，只容许认证通过并且安全状态符合要求的终端通过准入网关进行访问【截图证明并中标后七天内提供加盖厂商公章原件】可以对使用浏览器进行访问的终端，通过浏览器进行友好提示，引导终端用户完成客户端的自助安装。接入认证的内容包括用户名/密码、计算机安全状态、接入有效期等一种或多种条件的组合认证。【截图证明并中标后七天内提供加盖厂商公章原件】支持仅验证客户端的准入控制，只要终端上安装了客户端，用户无需输入用户名、密码即可通过认证并访问网络和应用。支持对终端安全状态进行认证，如果终端安全状态不符合安全策略，能够禁止终端访问受保护的应用、服务器或网络资源，也可以对安全状态不符合安全策略的终端只提示，但不对网络访问进行拦截。能够通过与支持802.1x协议的接入交换机互动，实现有线局域网网络准入，对接入的计算机及接入的用户进行认证。支持华为、H3C、3Com、Cisco等主流网络设备。【截图证明并中标后七天内提供加盖厂商公章原件】接入认证的内容包括用户名/密码、计算机安全状态等多种条件的组认证。支持仅验证客户端的准入控制，只要终端上安装了客户端，用户无需输入用户名、密码即可通过接入认证并接入网络。能够通过GUEST VLAN，自动隔离没有安装客户端的计算机或安全状态不符合要求的计算机，并进行安全修复。支持基于Port-based模式和基于MAC-based模式的认证混合使用，可以实现对交换机下接HUB连接的终端执行准入控制可实现准入控制。支持对终端安全状态进行认证，如果终端安全状态不符合安全策略，能够禁止终端接入内网，或者自动将终端接入指定的GuestVLAN，也可以对安全状态不符合安全策略的终端只进行提示，但不对网络访问进行拦截。【截图证明并中标后七天内提供加盖厂商公章原件】支持基于802.1x网络准入MAC认证例外，能够只认证接入设备的MAC地址，如果MAC地址属于MAC免认证列表中，则允许该设备接入网络。网络准入MAC认证例外，方便用户在启用基于802.1x网络准入认证后，能够对特殊终端或网络设备，例如特定用户电脑、网络打印机、IP电话、智能手机等设备进行识别和放行，保证特殊设备正常接入和访问网络。支持Windows、Linux、Android、iOS等系统平台自带的802.1X客户端在系统中进行认证。支持的目录服务包括本地目录服务和AD域等目录服务。【截图证明并中标后七天内提供加盖厂商公章原件】支持无线网络的网络准入控制，能够接管所有支持WPA企业版的无线接入设备类型，对通过无线网络接入的终端和用户进行准入控制认证。支持对通过无线接入的终端和用户进行多因素身份认证。无线网络准入的控制，支持仅验证客户端的准入控制，只要终端上安装了客户端，用户无需输入用户名、密码即可通过接入认证并接入网络。2.6.3 网络非法接入检查系统参数要求网络非法接入检查系统参数要求指标项规格要求网络边界完整性检查要求以远程网络扫描方式，不需要部署客户端，完成对下列违规行为的检测和定位：能够对以地址克隆或修改MAC地址的NAT方式私接的路由设备（包括无线AP）进行检测；【截图证明并中标后七天内提供加盖厂商公章原件】能够对网络内部私设的网中网或违规路由进行检测；能够对市场主流随身Wifi设备和免费Wifi接入进行检测；能够对以AP或普通NAT方式私接的无线AP设备进行检测，要求能够定位到无线AP的SSID号；要求能够对双网卡之间的网络共享行为进行检测；要求能够对通过智能手机以USB共享网络方式进行非法外联的行为进行检测；要求能够对通过WIFI连接智能手机个人热点方式进行非法外联的行为进行检测；提供对私接设备的快速网络定位，实现IP-MAC-Switch Port的快速定位，直接定位到私接设备所连接的交换机端口，并可按照实际需要进行端口阻断；能够对是否安装Vmvare虚机进行远程检测；上述功能要求能够和网络拓扑结合，即可在拓扑中通过图形界面进行违规内联设备的可视化网络定位与阻断控制。网络资产管理要求通过网络扫描，能够对网络内部的资产进行自动识别和分类，要求至少能够自动区分终端PC、应用服务器，网络设备、网络打印机、视频监控设备及安全运维类设备（防火墙、入侵检测、防病毒网关、上网行为审计等）；【截图证明并中标后七天内提供加盖厂商公章原件】要求能够对Inte AMT（INTE Active Management Technoogy(英特尔主动管理技术)）地址进行识别。要求能够对主流视频监控设备（海康威视、大华、宇视、科达、博世等）、打印设备（惠普、佳能、富士施乐、爱普生、兄弟、京瓷、理光、日冲、利盟等）以及安全运维设备（启明星辰、网御星云、天融信、绿盟、迪普、飞塔、山石、深信服、网康、网御神州、SonicWa、Checkpoint、天行网安等）的品牌进行远程扫描识别。要求能够对资产的操作系统进行扫描识别，能够区分Window系统以及非Windows 系统，能够对Windows系统区分Server版本和非Server版本，操作系统类型识别至少应包括：Windows XP、Window 7、Windows 8、Window 10、Windows Sever 2003、Windows Server 2008、Windows Server 2012以及inux等；要求提供资产的操作系统类型查询及相应报表。 IP地址回溯与网络定位管理IP追溯定位，应对IP使用全周期进行详细审计，详细记录每一MAC地址使用不同IP地址对应的时段，提供IP地址、MAC地址以及时间段的单独和联合检索，可根据IP地址和时间段，追踪该IP地址在相应时段所对应的MAC地址，并可确认该IP在该时段是否被分配给不同的MAC地址使用过。【截图证明并中标后七天内提供加盖厂商公章原件】网络接入审计，应详细记录每一MAC地址在网络交换机上的接入设备端口和接入时段，提供IP地址、MAC地址以及时间段的单独和联合检索，可根据IP（MAC）和时间段，追踪该IP（MAC）地址在网络内的接入定位，并可确认其接入位置是否发生过变化，为IP追溯提供追踪定位基础。网络设备端口监管接入层交换设备端口和下联MAC地址的关联定位，应可自动识别接入层交换设备端口下联的MAC地址及其对应的IP地址；应对每一设备端口的接入历史提供详细审计，应可查询任一设备端口在过去某一时段曾接入的MAC地址和其对应的IP地址；能够明确标识网络设备端口是否下联违规设备（包括无线AP、随身Wifi等）；要求可自动识别HUB接入端口，自动识别网络设备之间的级联端口，应提供对HUB接入端口的统一查询和定位，防止私接HUB设备；应提供对接入层交换设备端口安全绑定状态的统一监控，能够识别交换设备端口是否经过MAC与端口的安全绑定设置；应提供对设备端口闲置状况的监控，能够设定端口闲置的时限阀值，对超过时限阀值的端口提供报警、自动关闭等响应处理，以降低通过闲置端口导致非法接入的风险。【截图证明并中标后七天内提供加盖厂商公章原件】网络拓扑核查支持网络拓扑的自动探测和绘制，支持拓扑图的自动调整、保存和打印，支持人工修正；支持在拓扑上进行端口的操作管理（开启和关闭），支持端口的安全管理（MAC和端口的绑定和解绑），支持端口的流量查询；支持在拓扑上进行IP或MAC的定位，自动定位到交换机端口，支持HUB端口的查询和定位，支持闲置端口的统一查询和定位；支持多种拓扑展示，可根据设备物理位置进行拓扑展示。安全管理基于WEB管理，须提供Https管理模式。应提供定点登录机制，即只允许用户从指定的地址登录，防止系统遭暴力破解和攻击。用户密码管理应提供密码复杂性校验功能。要求支持市场主流浏览器，包括IE、Google Chrome、FireFox、Safari等。系统部署要求因检查管理的实际需要，要求在网络内部进行旁路部署，无须对现有网络架构进行调整；要求基于网络扫描模式工作，可安装在便携设备或服务器设备上，不接受在终端PC上部署客户端；不接受被动监听或镜像数据分析模式；不接受无线数据监听及分析模式。【截图证明并中标后七天内提供加盖厂商公章原件】资质要求产品具备产品软件著作权产品生产商为国家级网络安全应急服务支撑单位产品生产商具备ISO27001信息安全管理体系认证证书3 售后服务及验收3.1 售后服务要求中标供应商本次项目提供的所有硬件设备及产品均需提供不低于一年保修服务，软件系统提供一年以上免费升级及维护服务。保修期内，所有硬件设备的维修及软件系统维护均为免费。保修期内，设备故障报修的响应时间：中标人应提出应急解决措施（724的响应时间，正常工作日1小时内到达现场进行排除，节假日2小时内到达现场进行排除）。保修期内，所有设备维修服务均为现场上门服务，供应商需至少每半年上门提供一次全面设备巡检，由此产生的费用均不再收取。3.2 项目验收项目工期要求：本项目要求在合同签订生效之日起60日历日内完成供货、实施和提交初步验收，初验通过后进入为期30个日历日的系统试运行；试运行期满，运行正常，进行项目最终验收。1、组织方式试运行期结束后，中标方提交相关测试文档、竣工文档和验收申请给业主方，根据业主方的安排来组织验收，验收将由验收小组进行，验收时做好记录，签署验收报告，并立档、归档。当验收不合格时，开发商需无条件进行返工。2、验收标准验收的主要依据包括本招标需求书、投标文件、合同文件，以及用户需求说明书和设计方案。3、验收内容验收主要有以下内容：1)项目技术和管理文档以及各种附件、资料等是否齐全。2)中标方提交验收测试报告核查。3)各系统现场检查验收记录等是否齐全。4)系统的安装客观测试。3.3 培训要求1.对采购人的技术人员进行系统的使用、维护和保养培训，所有培训以中文进行。该培训将教会学员在日常和紧急情况下如何操作系统。2.培训教员对所提供的系统和产品具有3年以上的操作和维修经验。培训授课人员都是经过厂家认证的工程师、技术员等。3.在系统完工测试之前为采购人技术人员进行现场培训，该培训包括正常操作程序和紧急情况处理。在培训工作开始前向采购人免费提供所有中文培训资料，包括中文操作、维修手册，要求受训人员能够了解系统及设备的基本结构、工作原理及操作程序，能进行实际操作和日常维护、排除一般故障。4.供应商需制定详细的培训方案和计划。5.所有因培训产生的费用由供应商支付。4 评分要求本次评标采用综合评分法。评标以招标文件规定的条件为依据。评分比重构成如下：评分项目技术评分商务评分价格评分分值40分30分30分4.1 技术评分表分值（40）评审内容评分细则4投标人根据实际情况及切实需求，为招标人提出具体而有针对性的整体技术方案评分等次及文字评价，方案完整详细合理并满足全部要求内容：3-4分；方案较简单：1-2分；其他得0分。11“终端准入安全管理审计系统”中“指标要求”的响应情况每个“”指标不满足扣1分，每个非“”指标不满足扣0.5分，扣完为止。7“准入网关”中的“指标要求”的响应情况每个“”指标不满足扣1分，每个非“”指标不满足扣0.5分，扣完为止。6“网络非法接入检查系统”中的“指标要求”的响应情况每个“”指标不满足扣1分，每个非“”指标不满足扣0.5分，扣完为止。3采用终端准入安全管理审计系统产品的先进性终端准入安全管理审计系统具有以下证明材料全部满足得3分，满足三项以上得1分，否则不计分。 1、计算机软件著作权登记证书；2、涉密信息系统产品检测证书；3、提供国际/国家权威机构（例如赛迪、IDC、Gartner等）出具的上一年度市场排名证明，需提供证明文件，中标后七日内提供加盖原厂公章原件，无法提供证明文件或证明文件无效不得分3采用准入网关的先进性投标人采用的准入网关具有以下证明材料全部满足得3分，满足两项得1分，否则不计分。 1、具有中国国家信息安全认证中心颁发的中国国家信息安全产品认证证书；2、具有中国国家信息安全测评认证中心颁发的信息技术产品安全测评证书-EAL3+级别； 3、具备中国信息安全测评中心颁发的信息安全产品自主原创证明；需提供证明文件，中标后七日内提供加盖原厂公章原件，无法提供证明文件或证明文件无效不得