师范大学web应用防护系统及运维安全管理系统谈判采购

1、江苏师范大学应用防护系统及运维安全管理系统谈判采购文件（：）第一部分谈判供应商须知一、总则本谈判采购文件仅适用于江苏师范大学组织的谈判采购活动。凡符合资质要求的公司均可参与。无论结果如何，参加谈判公司自行承担因此所产生的全部费用。本次谈判采购活动及由本次采购活动产生的合同受国家法律制约和保护。凡参与此采购项目的谈判方，除谈判方有特别说明外，均视为接受并遵守本谈判采购文件。本次采购活动细则由江苏师范大学招投标办公室负责解释。竞争性谈判工作程序发布谈判采购公告；谈判供应商获取谈判采购文件；谈判供应商咨询了解本项目基本情况，制作谈判响应文件；采购方接受谈判响应文件，同时收取相关费用、保证金；竞争谈判

2、；确定成交商，等额退还未成交方的谈判保证金；签署供货合同，执行合同。对谈判供应商的要求谈判供应商除具备公告中的资质要求外，还应满足下列要求：必须为独立法人；必须具有中华人民共和国消费者权益保护法所规定的售后服务的能力。成交方必须派出技术人员提供现场服务及有关技术培训；矚慫润厲钐瘗睞枥庑赖賃軔。提供的设备必须附有原始生产厂家的质保书及产品合格证，如提供假冒伪劣产品， 采购方将根据 中华人民共和国消费者权益保护法的规定要求赔偿。聞創沟燴鐺險爱氇谴净祸測。谈判响应文件的要求谈判响应文件的构成：竞争性谈判响应声明函；谈判报价明细表：自做报价表，注明型号、规格、技术指标，详细的交货清单；特殊工具及备件清

3、单。如果是进口设备，因我校享受进口免税政策，可以以欧元或美元南京报价（免税价格）；如不能办理免税， 则以人民币报价。如所投产品指标与谈判文件要求有偏离的必须在响应文件中注明。残骛楼諍锩瀨濟溆塹籟婭骒。相关服务：文件中务必明确最快完工时间、产品技术服务和售后服务的内容及措施；响应文件附件：由谈判供应商根据各自情况自行编制，规格幅面与正文一致，主要内容包括：产品组成系统说明，产品主要技术性能和结构的详细描述；提供必要的数据、产品制造、安装、验收的执行标准； 酽锕极額閉镇桧猪訣锥顧荭。参加谈判供应商资质证明文件：单位简介（包括组织机构、人员、经营规模、经营特色、对企业员工的业务培训情况、经营场地使用

4、性质、主要负责人简历介绍等） ；企业法人营业执照复印件；税务登记证明复印件；组织机构代码证；同类产品近三年主要经营业绩等背景资料复印件，所有复印件均需加盖相应的有效印章，经营业绩须按附表一的表格形式填写（见下）；如供应商提供虚假的资质证明文件，一经查实，将以无效谈判文件处理并处以一定的经济处罚。彈贸摄尔霁毙攬砖卤庑诒尔。附表一：近三年经营业绩清单：序号使用单位产品型号数量金额联系人及电话备注货物证明文件：产品授权证书及代理证书（证明谈判供应商提供的货物及其伴随服务是合格的货物和服务且符合采购文件规定） 。 謀荞抟箧飆鐸怼类蒋薔點鉍。1 / 11谈判响应文件的份数、签署和封装谈判响应文件份数为正

5、本一份，副本五份， 须各自装订成册。 每套谈判响应文件须清楚地标明“正本 ”或 “副本 ”。当正本与副本内容不一致时，以正本为准；厦礴恳蹒骈時盡继價骚卺癩。谈判响应文件的正本和所有的副本均需打印，由法人或授权代表签字。授权代表须将以书面形式出具的 “授权证书 ”附在响应该文件中； 茕桢广鳓鯡选块网羈泪镀齐。谈判响应文件的正本和所有的副本一并装入密封袋，并在密封袋骑缝处加盖与谈判供应商一致的有效印章，否则视为无效；密封袋上应注明谈判供应商名称、联系人及联系电话。鹅娅尽損鹌惨歷茏鴛賴縈诘。谈判响应文件的样式谈判供应商应严格按照第四项要求的内容及顺序编写、装订谈判响应文件；一经交给，无论是否成交，其

6、谈判响应文件恕不退还。谈判报价及谈判范围货物谈判价格，应报货物递送到谈判文件规定的实际交货地（买方指定的最终用户学校的校园内）的价格，应包括运保费、税费、材料费、装卸费、安装调试费、施工费等。籟丛妈羥为贍偾蛏练淨槠挞。谈判专家组在确定时，对方案、配置可作必要调整，谈判工作小组审定后可予以执行。谈判日期谈判供应商应按照本次谈判采购公告中的日程安排，在规定的时间到指定地点进行谈判，逾期不予受理。谈判、评审采购人按照本次采购公告中的日程安排，在规定的谈判时间在指定地点召开谈判前会，谈判供应商的法定代表人或授权代表须准时参加；預頌圣鉉儐歲龈讶骅籴買闥。谈判小组只对确定为实质上响应谈判文件要求的响应文件

7、进行评价和比较。学校监察、纪委、审计对谈判全过程进行监督；谈判结束后，采购人将公布最终结果，并向成交单位发成交通知书；谈判小组将视谈判情况决定由一家或多家中标；对未成交单位，采购人可不作解释。谈判保证金谈判供应商在参加谈判时，须向采购人交纳谈判保证金，具体金额详见采购公告；谈判保证金仅限于用汇票或现金形式支付；户名：江苏师范大学开户行：农业银行铜山新区支行帐号：结果公布后，未成交的公司所缴纳的保证金即时等额退还；成交的公司所缴纳的保证金自动转为合同履约保证金，在合同执行完毕后等额无息退还，如成交方拒绝遵守采购文件规定、响应承诺，或拒绝签订合同， 或虽签署供货合同但不予履行，则此款作为违约金不予

8、退还。渗釤呛俨匀谔鱉调硯錦鋇絨。签订合同在合同签订之前，采购人有权对成交方的履约能力进行最后审查，审查方式包括询问、调查和实地考察，如发现成交公司提供的材料虚假或对响应文件所要说明的情况故意隐瞒或虚报，则采购人有权取消其签约资格，没收其保证金，并另行评定成交者（在采购有效期内） ；铙誅卧泻噦圣骋贶頂廡缝勵。成交公司收到成交通知书后应严格按照通知书要求的时间和地点与需方代表签订合同；签订合同书应以采购文件和谈判响应文件承诺为依据。合同主要条款及付款方式采购方与成交方按合同共同进行验收；如未能达到合同要求，采购方有权退货并要求成交方赔偿损失。付款方式：国产设备验收合格后支付合同总额的，如无质量与售

9、后服务等方面问题，余款半年内一次性付清；通过外贸代理的进口设备（学校协助办理免税手续），验收合格后付。擁締凤袜备訊顎轮烂蔷2 / 11報赢。第二部分采购项目的技术规格、要求和数量（项目需求书）因教学科研需要，我校需对应用防护系统及运维安全管理系统采购进行谈判采购。现将需求及相关事项明确如下，欢迎各企业或代理商积极投标（参数描述为基本要求，欢迎供应商投报高于建议配置但性价比更优的产品） 。 贓熱俣阃歲匱阊邺镓騷鯛汉。标段一：应用防护系统随着信息技术的不断发展，各类信息系统逐渐向数据中心高度集中，同时，基于的应用系统已经成为我校信息系统的主体，目前我校绝大多数应用，如数字校园、网站群、人事系统、教

10、务系统、后勤管理系统等均架设在平台上。 坛摶乡囂忏蒌鍥铃氈淚跻馱。应用系统的迅速发展，也引发了大量的安全问题。 目前大部分的信息安全攻击都是发生在应用层而非网络层面上，但我校目前使用的传统安全设备（防火墙）无法针应用层的攻击进行防护，解决应用安全问题存在局限性。因此，拟购置应用防护系统，实现针对应用的专业安全防护，提高信息系统安全性，降低安全风险。蜡變黲癟報伥铉锚鈰赘籜葦。一、技术参数及配置要求指标项指标子项技术要求产品应采用 的专用机架式硬件设备冗余电源。系统硬件系统架构系统架构为全内置封闭式结构 ,非、等下一代防火墙或安全网关产品。千兆电口 个 ,万兆光口 个，支持进出同时防护。单台设硬件

11、架构基本网络接口备同时保护条以上链路。 （所有的接口均需授权可用，配齐所有光模块及光纤线）最大吞吐能力最大吞吐能力性能要求并发会话数万请求速率 次秒网络延迟 毫秒可防护数量不限透明部署（基于透明网桥） ，需即插即用，无需做任何配部署模式置即可防护。支持旁路部署。策略路由（支持流量牵引）支持反向代理部署部署能力检测引擎高性能攻击特征检测引擎基于智能用户行为识别的动态防护机制，识别并彻底阻断智能阻断黑客的攻击行为自动学习并构建网站的模型， 禁止违反现有模型的尝试行自学习为支持更新、修正现有模型协议通过和防护符合性协议防护支持加密会话分析安全特性支持解析通过代理服务器访问用户的真实地址，默认支持真实

12、来源解析或字段的值作为真实来源地址， 同时支持用户自定义字段名称。系统提供完善的内置规则内置规则支持用户自定义防护策略集，针对不同的来源目的，目的3 / 11选择不用的策略集。提供高度灵活的自定义规则向导，适用于高级用户应用漏洞扫描能够对注入、跨站脚本（）进行应用层漏洞扫描碎片组包支持任意碎片组包支持超长报文组包（默认30M ）编码的还原编码还原编码的还原各种混淆编码的还原基础架构防护蠕虫、 缓冲区溢出、 信息扫描、 目录遍历等通用攻击防护防扫描支持对恶意扫描行为开启防扫描功能，用户可自定义防护等级。注入及攻击防护跨站请求伪造（）攻击防护爬虫防护恶意扫描防护应用安全防护安全服务器信息伪装过滤缓

13、冲区溢出请求类型过滤行为拦截能够智能识别木马上传行为，支持自定义上传文件的大小、后缀名。用户可自定义对上传脚本文件的处理方式：直接拦截， 智智能木马检测能识别。支持木马上传日志，记录上传时间，源地址，目的地址，目的，拦截原因。 支持将木马文件直接下载至本地进行人工分析。自动恢复对文件、目录的篡改支持连接方式支持文件、目录排除网页篡改防护设置检测优先级支持多个防篡改用户多操作系统支持： 、等操作系统支持基于时间的计划任务数据库防篡改支持数据库防篡改，无需安装任何数据库代理插件。支持虚拟化功能支持对虚拟机中的任意数量网站进行防护，使多个虚拟机共用一个地址恶意代码过滤内容安全支持敏感关键字过滤，用户

14、可自定义关键字内容弱密码记录记录登陆过程中使用的弱密码检测网站的备案情况，对于通过备案网站放行，未通过备备案检查案禁止访问针对内置或自定义的安全策略规则，提供细粒度的控制，应用层访问控制精确到来源、目的、域名等访问控制支持基于时间的计划任务4 / 11主动阻断方式丢弃数据包、阻断连接、禁止恶意的后续访问来源攻击防护防攻击防护攻击防护特定攻击防护防护的访问控制（黑、白名单）抗拒绝服务攻击防护，基于最大上限阀值设置，而非特征库网 络 自 适 应支持支持解码，在线路上部署并提供防护端口汇聚（）支持端口汇聚（） ，显著提高设备间的吞吐能力能力路由配置支持静态路由的配置网站统计统计被防护网站每天的总访问

15、量和总攻击数。统计统计被防护网站的每天的总访问次数，最后一次访问、 访问时间与访问端口。统计每天访问所有站点或某个站点的地域统计，并以地理热点分布图的形式体现。统计每天访问所有站点或某个站点的浏览器类型和比例，并以图表方式体现。统计每天访问所有站点或某个站点的操作系统类型和比例，并以图表方式体现。统计功能统计每天访问所有站点或某个站点的来源页面的次数和网站详情比例。统计每天访问者通过哪些搜索引擎访问到防护系统后的站点，同时统计搜索引擎的次数和比例。统计每天访问者在搜索引擎中通过哪些搜索词访问到防护系统后的站点，同时统计次数和比例。统计每天访问所有站点或某个站点的，及其浏览量和比例，以图表方式体

16、现。统计每天所有站点或某个站点每分钟的访问次数和攻击次数，以图表方式显示。安全报表（入侵统计、按入侵类别统计、被攻击主机、攻报表类型击来源和地理位置、页面访问次数、网络接口流量趋势）报表功能可记录最后访问者的浏览器类型者提示报表提供对防护网站中已经存在文件的告警功能报表查询按事件类型、统计目标或周期类型条件进行统计输出格式支持将生成的报表以、等通用格式输出系统日志、 审计日志和安全防护日志（入侵记录、 攻击源日志类型所处地理位置、页面统计、网络流量、防篡改日志、防日日志系统志）可基于时间、端口、协议、动作、规则集、规则集类别、日志查询危害等级、请求方法等条件进行日志查询。日志管理日志导出、清空

17、、自动磁盘日志清理系统监控监控类型安全事件监控、访问情况监控、设备负载监控系统信息显示网络接口状态， 引擎状态、 系统、内存及磁盘使用率系 统 诊 断 和维护工具抓包工具，可抓取的网络原始报文，用于分析网络状况调试功能配置备份与导入支持系统配置的备份与导入功能高可用性双机支持主从部署模式5 / 11支持链路是否正常的监控支持本地端口是否正常的监控支持双机配置自动同步硬件内置模块，设备故障直接切换到模式获得国家保密局涉密信息系统安全保密测评中心颁发的符合国家保密标准 涉及国家秘密的计算机信息系统入侵检测产品技术要求的千兆涉密信息系统产品检测证涉密资质书，并出具加盖厂商公章的复印件。获得国家保密局

18、涉密信息系统安全保密测评中心的检测报告，性能测试部分：背景流量达到下的检测报告，并出具加盖厂商公章的复印件。获得中国人民解放军信息安全测评中心颁发的军用信息军用认证安全产品认证证书 ，产品为应用防护系统， 认证等级为：军级，并出具加盖厂商公章的复印件强制认证获得中国信息安全认证中心颁发的符合要求的产品信息安全认证证书 ，并出具加盖厂商公章的复印件获得公安部颁发的应用防火墙产品（增强级） 的计算机信息系统安全专用产品销售许可证，并出具加盖厂商公资质要求销售许可证章的复印件（ 提 供 相 关获得公安部计算机信息系统安全产品质量监督检验中心资质复印件，颁发的应用防火墙 （增强级） 的检测报告， 并出

19、具加盖厂生 产 厂 商 盖商公章的复印件章）设备生产厂商具备颁发网络安全应急服务支撑单位证应急支撑证书书，并出具加盖厂商公章的复印件设备生产厂商至少为省级互联网应急中心网络安全信息通报成员单位，并出具加盖厂商公章的复印件设备生产厂商应具有符合标准的质量管理体系认证证书，并出具加盖厂商公章的复印件设备生产厂商应具有漏洞发现能力，具备中国国家信息安全漏洞库（）技术支撑单位资质，至少曾经获得中国厂商实力信息安全测评中心颁发 中国国家漏洞库信息安全漏洞提交证明，不低于份，并出具加盖厂商公章的复印件设备生产厂商至少具有一名由国家计算机网络应急处理协调中心省级分中心或国家中心聘请的公共互联网络安全专家，并

20、出具加盖厂商公章的复印件高校案例省内不少于所同类高校行业的案例，提供用户联系方式并提供合同复印件其它其它要求中标后一周内提供样机对以上所有功能进行检测，检测通过后才可执行合同流程。二、服务要求、硬件平台、所有软件功能模块提供五年原厂保修和升级服务、必须在省内有厂家直属的服务办事机构，提供*小时快速上门服务和小时内快速响应服务(官网上必须可查询到办事机构地址)買鲷鴯譖昙膚遙闫撷凄届嬌。、提供不低于次半年的专业网站巡检、安全扫描、渗透测试等服务工作，并提供报告。随合同指定原厂工程师人负责本项目后期服务。綾镝鯛駕櫬鹕踪韦辚糴飙钪。6 / 11、负责培训校方两名原厂认证工程师并取得证书。. 提供现场免

21、费安装、调试设备，进行操作试验，直至运行正常，提供操作及维护培训。在未验收前，货物保管、安全均由供应商负责。驅踬髏彦浃绥譎饴憂锦諑琼。. 提供的产品须为原装正品，相关的配套附件质量优良，数量齐全。并在标书中注明可选配件的价格，以及软件产品的升级、服务策略和价格。猫虿驢绘燈鮒诛髅貺庑献鵬。. 采购方使用该设备的任何一部分，当受第三方提出的侵犯其专利权、商标权或工业设计权的投诉时，一切后果由供应商负责。 锹籁饗迳琐筆襖鸥娅薔嗚訝。. 提供必要的软硬件系统的安装、使用、运维等的免费培训。本项目实施时投标方应提供所有的连接配件、辅助材料等，在招标方不提供任何其他硬件支持的情况下能够实现功能完备的物理连

22、接，并激活所有需要的端口、服务、授权等；对于所有相关的软件系统，投标方有义务检查投标方已经持有、或者通过本项目可以持有的授权情况，若有不足需在投标时说明并提供解决方案，以使本项目能够顺利实施，而不需要投标方另外付费或者提供其他支持。 構氽頑黉碩饨荠龈话骛門戲。标段二：运维安全管理系统随着学校信息化的不断发展，网络规模和设备数量迅速扩大，日趋复杂的信息系统与不同背景的实施和运维人员的行为给信息系统安全运维带来较大风险，主要问题有，多个用户使用同一个账号、一个用户使用多个账号、缺少统一的权限管理平台，权限管理日趋繁重和无序、无法制定统一的访问审计策略、传统的网络安全审计系统无法对维护人员经常使用的

23、等加密协议进行内容审计等。因此需要通过运维安全管理系统，实现服务器、网络设备、数据库、安全设备等安全可靠运行，降低人为安全风险，避免安全损失，同时提高工作效率，降低运维工作复杂度。 輒峄陽檉簖疖網儂號泶蛴镧。一、技术参数及配置要求序号参数名称技术指标标准服务器型可上架设备； 个端口， 为了便于后期扩展， 要求至少可扩展到个千兆口， 存储空间要求至少， 支持硬件， 模式下可用空间不小硬件要求于，为了便于后期扩展，要求在设备提供至少个硬盘插槽，双电源，支持接口；配备至少个被管理设备授权。要求支持图形并发会话并发不低于，字符会话并发不低于。字符型远程操作协议： (、 )、；图形化远程操作协议： 、；

24、支持协议文件传输协议： 、；数据库远程操作协议：支持、 、等数据库远程访问协议审计；支持、 、 等协议或客户端；要求堡垒机对外开放不超过个固定端口（需要说明具体端口号），不允设备自身安全许开放其他端口。全封闭系统，设备不允许有多套硬件（诸如双主板、不通类型存储介质等）和多个操作系统存在。产品采用树状结构设计， 支持用户账号账号的部门分权，使得不同部门（子部门）都可以拥有自己的配置管理员、审计管理员、密码保管员、普通用户；支持多部门之间设备资源的交叉管理功能；支持目标设备的部门分权，不同的设备可以归属于不同的部门（子部部门管理门）；不同部门的管理员普通用户只能管理访问自己部门的资源；支持审计功能

25、按部门分权， 使得不同部门的审计管理员只能审计自己部门、自己直属子部门设备上的操作日志；7 / 11产品内置电子工单功能， 并具备审批流程； 以实现对用户临时接入维护的动态授权；用户可以在堡垒机界面，手动填写电子工单，填写的内容至少应包括：电子工单用户账号、 设备资源、 系统账号、 协议类型、 要执行的命令、 时间窗口；电子工单可提交给本部门或者上级部门配置管理员审批，审批通过后，即时生效；具有超级管理员、配置管理员、审计管理员、密码保管员、普通用户等多种角色；账号管理支持密钥认证，支持静态认证，并可与域、认证整合；可以根据需要，为外来人员分配临时用户账号， 该账号拥有时效性， 过期自动回收；

26、支持批量登录多台协议相同的目标设备；支持不同设备之间的自动跳转登录和同一台设备上不同账号之间的自动切换登录；支持登录备注功能，即可以要求用户登录目标设备时，必须填写备注，备注信息可以在审计记录里面查看到；设备管理可以自动扫描方式登录的目标设备密钥，如果发现目标设备密钥异常，自动提示用户进行处理；支持以格式批量导入和导出目标设备；支持按按递归方式一次性添加多台目标设备；支持批量修改目标设备的状态（禁用、活动）、密码和服务类型；可以根据设备（设备组） 、系统账号、时间、频率、改密方式生成详细的改密计划，到期自动执行；改密方式至少可以支持随机生成不同密码、自动设置相同密码、手动指定密码、随机定制密码

27、；自动设置的密码严格遵守密码强度设置；密码管理改密结果可以支持加密邮件、 密码信封、 加密文件的形式外发， 外发密码以加密方式发送；密码保管员可以在系统的页面手动备份设备密码到本地、 服务器或者直接打印成密码信封。堡垒机必须可以支持的方式的应用发布；应用发布堡垒机可以同时支持有缝和无缝方式（程序无背景显示， 效果如同直接打开本地应用）的应用发布。 （提供发布方式的清晰截图证明）；支持对各类常规应用程序的密码代填；可实现基于用户 （用户组）、目标设备 （设备组、 应用程序）、系统账号、协议类型、登录规则来灵活设置访问控制策略；可跟据用户（用户组） 、目标设备（设备组） 、系统账号、命令集和生效权

28、限管理时间来设置详细的命令权限控制策略，支持命令黑白名单；对于高危指令，未经相关人员复核审批，命令无法执行；可以选择启用关闭设备、应用程序的剪贴板上下行功能；可以选择启用关闭设备、应用程序的磁盘映射功能；管理员可在界面无延时的实时监控当前任一图形或字符活动会话，发现实时监控操作高危时，实时切断。支持强制审计， 即审计管理员登录开始审计后，运维会话才能开始操作，8 / 11审计管理员退出审计时，运维会话自动结束。用户在登录重要设备时，系统可立即生成一条登录告警；对于字符会话， 运维人员输入高危命令时， 系统可以在主动阻断的同时，告警立即生成一条操作告警；管理员授权用户登录重要设备时，系统可以立即

29、生成一条授权告警。告警可以在操作审计里面查看，也可以通过短信、邮件、方式外发；确保对各种非常规指令操作的识别，特别是补全、长命令的行内编辑、上下箭头等操作； 支持全文回放的同时， 还能做到从任一条命令点开始回放；播放过程中支持拖拉播放；输入输出在同一界面展示，并能自动以不同颜色标记出被系统拒绝、切断的操作； 支持以输入或者输出结果操作审计中的任意字符为关键字进行搜索，搜索结果高亮显示； 对图形审计结果，即便数据量很大时， 也可以进行无延时的前后拖拉定位回放，不需要任何加载过程；由于实际业务中数据库操作比较频繁，需要可以根据任意语句中的内容为关键字进行会话查询，查询结果可直接定位到相关操作画面；

30、投可以按时间、统计单位、服务类型、用户（用户组）、设备（设备组）报表及各类子报表类型定制报表；报表支持、格式导出；可靠性支持模式部署所投产品必须具有公安部颁发的计算机信息系统安全专用产品销售许可证，必须是堡垒机类型的产品，产品属于“运维管理 ”、 “运维安全 ”、“运维审计 ”或者 “安全审计 ”类型，提供其他产品证书无效；所投产品具有中国国家信息安全产品认证证书，必须是堡垒机类型的产品，产品属于 “运维管理 ”、 “运维安全 ”、 “运维审计 ”或者 “安全审计 ”类型，提供其他产品证书无效；所投产品具有国家保密科技测评中心颁发的“涉密信息系统产品检测证资质要求书 ”必须是堡垒机类型的产品，产品属于“运维管理 ”、 “运维安全 ”、 “运维审计 ”或者 “安全审计 ”类型，提供其他产品证书无效；所投产品具有 计算机