广州友谊集团有限公司堡垒机与防火墙采购招标文件

1、 广州友谊集团有限公司堡垒机与防火墙采购招标文件广州友谊集团有限公司对堡垒机与防火墙采购进行公开招标采购。请根据我集团公布的相关要求进行响应。一、基本要求投标人资格要求：符合政府采购法第二十二条之规定；在中华人民共和国境内注册、具有独立法人资格。投标人需提供有效资质证明：营业执照复印件、公司介绍、企业资质证书（ 包括系统 TOC o 1-5 h z 集成资质、质量管理体系认证、近 5 年守合同重信用证书等，提供复印件，需加盖单位公章） 。主要设备（堡垒机与防火墙）需提供原厂产品授权函及售后服务承诺书，本次采购的设备技术参数要求和清单详见本招标文件附件1 和附件2。本次招标最高限价要求：1800

2、00元（含税价）。投标人需提供近三年完成同类型项目一览表及项目合同或验收证书复印件。包装运送：为保证设备完整性及后续服务质量，设备直接发货至使用单位，收货人为使用单位指定接收人。所有配置必须在原厂预装出厂，保证完整包装，包装箱上注明采购用户名称。安装服务：根据广州市信息安全等级保护的要求，甲方对乙方提供的设备在使用前进行调试时，乙方需负责安装、配置并培训甲方的使用操作人员，并协助甲方一起调试，直到符合技术要求，并在甲方使用过程中，甲方对设备配制进行优化时乙方要进行技术支持。保修服务：三年硬件原厂服务，专用免费技术支持热线；上述服务由厂商提供。提供经销商授权书和原厂售后服务承诺函，且机器质保年限

3、可通过原厂官网或400 售后服务电话进行核实，如发现最终用户非我单位使用或配件信息不符，发标人有权全额退款并赔偿我方造成的一切损失。送货时间：合同签订一个月内，设备必须送达友谊集团信息部。术服务：发标人对中标人提供的设备在使用前进行调试时，中标人需负责安装并培训发标人的使用操作人员，并协助发标人一起调试，直到符合技术要求，并在发标人使用过程中，发标人对设备配制进行优化时中标人要进行技术支持。二、参加投标的单位可在我集团网站 HYPERLINK 下载到本招标文件。三、本次招标计划：发标时间：2018年 5 月 31 日（北京时间）。如对项目有疑问，请在 2018 年 6 月 7 日 17:30

4、之前以投标单位书面或电话提出疑问，由广州友谊集团有限公司负责招标联系人解答。交标时间2018 年 6 月 8 日9:00-17 ： 30（北京时间），届时请投标人按照本招标文件要求，交到或寄到“广州环市东路 369 号广州友谊集团综合楼九楼审计部”，注明投标字样并封口加盖公章。开标时间：2018 年 6 月 11 日上午9： 30（北京时间）。交标方式：现场交付或快递；电报、电话、传真形式的投标概不接受。现场交付或快递地址（涉及相关费用由投标方自行承担）：评标方式：本次招标采用综合评分法进行评标。四、交标要求：投标人应准备投标文件，一份正本，一份副本并明确注明“正本”或“副本”字样，一旦正本和

5、副本有差异，以正本为准。投标文件的密封必须使用专用密封条（必须带盖章标识），在投标文件袋（箱）每个开口处密封，并按照招标人在密封条上的盖章标识进行盖章（限投标人公章）密封。投标人应承担其编制投标文件与递交投标文件所涉及的一切费用。不管投标结果如何，发标人对上述费用不负任何责任；如果投标人不能符合本投标文件的要求，责任由投标方自负。投标人应按照发标人提供的报价表格式和要求，以人民币报价。若单价与总价不一致，应以单价为准。投标文件的组成： TOC o 1-5 h z 1）营业执照副本复印件（加盖公章）；2）法定代表人身份证明书（详见附件3） ；3）法人授权委托书（详见附件4） ；4）投标承诺函（详

6、见附件5） ；5）报价表（加盖公章）（详见附件2） ；6）本项目实施方案，包括：供货、安装、调试计划、项目验收、技术培训、售后服务方案、保修、维护期以及条件、服务方式及内容、服务人员组织安排；7） ）产品 工程师 及 项目经理的资质及劳动关系证明（加盖公章）；8）企业资质证明材料（加盖公章）；9）近三年同类型项目业绩（附合同复印件或验收报告）。五、本次广州友谊集团有限公司招标工作，其联系人及联系方式如下：. 联系方法联 系人：蒋鹰 胡仲昆电 话：83483292传 真：83489685E-MAIL.: HYPERLINK mailto:fs3928 fs3928.投标文件递交至地址：广州环市东

7、路369号广州友谊集团综合楼九楼审计部联系人办公电话：何敬浩83483206六、本次招标工作解释权归广州友谊集团有限公司所有。广州友谊集团有限公司2018 年05月31日附件1主要设备参数要求 堡垒机规格参数指标项详细描述设备要求硬件要求：1U高机架式硬件架构，单电源， 8G内存，2T硬盘容量，标准配置 6 个以太网千兆电口，支持 1个接口扩展槽位，支持至少 14个以太网千兆接口或 4个 万兆接口的扩展能力。性能要求：最大图形并发连接数不少于200,最大字符并发连接数不少于700,标准配置支持300个资产的管理能力，支持无限个资产管理的扩展能力浏览器兼容性支持通过Google、IE、Firef

8、ox、Safrai浏览器对系统进行管理及访问操作支持协议/操作Telnet、SSH、RDP、VNC、XWIN、FTP/SFTP、IE、PLSQL、SQL PLUS、VMware vSphereClient等客户端应用程序用户账号管理至少可支持超级管理员、配置管理员、审计管理员、密码保管员、普通用户五种角色针对同一账户可同时设置多种角色，同时审计管理员角色支持键盘事件查看、审计数据卜载的细颗粒度控制（需提供产品配置界面截图）支持通过Excel方式批量导入用户信息支持通过 Web贝囿批量修改用户属性，至少包含账户有效期、来源IP限制、密码有效期等支持设置用户来源IP地址、MAC地址支持与第二方认证

9、系统整合，如AD域、LADP、Radius支持基于手机APP、动态令牌的双因素认证支持混合认证功能，即一个账号同时可以设置两类认证方式，彼此间可米用“与” “或的逻辑关系灵活组合。如果采用或的逻辑方式其中一个认证失效时，自动启用另外一种认证（需提供产品配置界面截图）目标设备管理支持用户自定义设备改密配置流程支持通过Excel方式批量导入目标设备信息支持通过Web页面批量修改设备基础属性，支持批量创建服务协议支持目标资源登录跳转模式，管理员可自定义跳转源设备及跳转命令资源访问针对windows server登录，在访问前口查看 windows设备当前rdp远程连接会话详情支持设备批量启动功能；支

10、持协议穿透访问，即用户无需登录审计系统的web界面，可直接使用标准RDP、SSH、SFTP远程协议访问堡垒机进而访问相应目标设备对于图形、字符操作会话支持多人会话共管，当前运维人员可以邀请其他用户参与 当前操作会话协助操作密码管理支持 Widnows、Linux/Unix、网络设备等设备系统账号号码代填支持根据设备（组）、系统帐号、时间、频率、改密方式生成详细的改密计划，到期 自动执行支持密码拨测功能，即在系统完成密码修改之后，自动进行新密码登录拨测，以便进 一步校验密码修改结果支持通过 Web贝囿、FTP、SFTP、邮件等方式备份密码，密码文件支持压缩包加密支持改密前、改密后的密码文件以FT

11、P、SFTP、邮件等方式进行压缩加密发送权限管理支持以用户（组）、目标设备（组）、系统帐号、协议、时间、来源 IP为要素，来灵活 设置访问策略可跟据用户（组）、目标设备（组）、系统帐号、命令集和生效时间来设置详细的命令 权限控制策略，支持命令黑白名单支持在访问控制规则对 RDP磁盘映射、剪切板上/下行的使用进行控制支持目标设备双人授权和命令复核功能（需提供产品配置界面截图）应用发布通过应用发布方式实现对B/S、C/S运维管理工具统一管理；针对B/S应用，支持URL白名单控制操作审计支持对用户操作进行详细记录，包含但不局限于记录用户操作时间、访问设备、设备IP、源IP、用户账号及系统账号等信息，

12、可通过Web页面回放用户相应操作记录；针对图形会话审计记录支持以键盘输入内容、标题栏、URL内容为关键字进行图形搜索；搜索出来的结果可以直接定位到相关图形画面进行回放；针对图形会话审计记录支持以2M会话流量或者15分钟操作时长为标准的会话缩略图切片展示功能 （需提供产品配置界面截图）针对图形会话审计记录支持会话切片管理功能，管理员可自定义审计记录的时间戳对 记录进行切片查看针对RDP剪切板操作中的粘贴、复制的文本内容进行文字提取和搜索定位针对字符会话审计记录支持以输入、输出为关键字进行检索定位，搜索结果中关键 字高亮显示（需提供产品配置界面截图）在审计结果中，高危命令以不同颜色进行高亮显示（需

13、提供产品配置界面截图）支持对米用FTP、SFTP、RDP剪切板方式进行文件传输的文件数据进行数据备份报表功能支持热点报表功能，即只根据特定热点范围内的数据来生成报表管理员可以自定义报表模版，并支持根据不同模版自动生成日报、周报、月报，报表 内容自动发送给相关管理员；可靠性支持双机主备热备部署模式，支持配置文件及审计数据全同步资质具备公安部计算机信息系统安全专用产品销售许可证，提供证书复印件。为体现投标产品生产厂商的软件研发和管理实力，需获得CMMI 5 （软件能力成熟度集成模型）认证，提供证书复印件；防火墙功能及技术指标详细技术参数配置要求千兆电口16,千兆光口8,支持1个硬盘槽位，支持扩展单

14、个硬盘容量500G;配置3年IPS特征库升级服务配置3年,AV防病毒安全升级服务接口要求扩展插槽1个，最大接口数24个千兆接口 +4个万兆接口硬件架构采用非X86多核架构性能要求吞吐量 1.5Gbps,最大并发连接数100万，每秒新建连接数 3万，IPSec VPN隧 道1000部署模式实现路由模式、透明（网桥）模式、混合模式。路由实现实现静态路由、策略路由、RIP、OSPF BG吟路由协议。NAT功能实现一对一、多对一、多对多等多种形式的 NAT,实现DNS FTP、H.323等多种NATALG 功能。VPN实现高性能IPSec、 L2TP、GRE VPN SSL VPN等功能。安全策略支持

15、一体化安全策略，能够基于时间、用户/用户组、应用层协议、五兀组、内容安全统一界面进行安全策略配置应用识别可识别应用层协议数量 3000种，针对微信、QQ等应用可精细化识别文字、语音、 文件传输等内容。（提供功能截图）用户行为画像提供基于用户名（或用户 IP地址）实现对用户行为统一分析界面，米用饼状图对访 问应用流量、网站访问集中分析展示，包含基于时间轴的访问行为轨迹（应用账号、行为内容等），关联账号（微信、QQ等相关用户行为审计内容。（提供功能截图）行为审计基于应用协议识别对各类聊天软件进行详细审计，可审计应用类型（如QQ微/），应用识别账号，应用行为（如登录、发送消息、接收消息），操作时间，

16、终端类型（Android、IOS）等。入侵防御实现对黑客攻击、蠕虫/病毒、木马、恶意代码、间谍软件 /广告软件等攻击的防御， 实现缓冲区溢出、SQL注入、IDS/IPS逃逸等攻击的防御，实现攻击特征库的分类。功能及技术指标详细技术参数支持超过7000种特征的攻击检测和防御防病是可臭十病毒特征进行检测，实现病毒库手动和自动升级，报文流处理模式，实现病毒 日志和报表；支持超过37000条病毒规则。数据安全支持数据防泄露，对传输的文件和内容进行识别过滤，对内容与身份证、彷闱卡、银 行卡、社会安全卡号等类型进行匹配。流量控制可支持基于应用层协议设置流控策略，包括设置最大带宽、保证带宽、协议流量优先 级

17、等。要求支持带宽通道独占以及共享管理模式，支持父子带宽策略。IPv6实现IPV6动态路由协议、IPV6对象及策略、IPV6状态防火墙、IPV6攻击防范、IPV6GRE/IPSEC VPN IPV6日志审计、IPV6会话热备等功能；支持IPV6下的访问控制、IPSec VPN、DDoS防护等安全功能。 DNS透明代理支持DNS明代理功能，可基于负载均衡算法代理内网用户进行 DNS青求转发，避免 单运营商DNS解析出现链路流量过载，平衡多条运营商线路的带宽利用率。(需提供设备功能界面截图证明)虚拟化能力所投设备须支持虚拟防火墙功能：支持虚拟防火墙的创建、启动、关闭、删除功能；可独立分配CPU物存等

18、计算资源； 虚拟防火墙可独立管理，独立保存配置；虚拟防火墙具备独立会话管理、 NAK路由等功能。上述功能要求须提国家相关部委认可的第 二方实验室测试报告证明。DDoS防护能够防范 DOS/DDOSC击：Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing 、SYN Flood、ICMP Flood、UDP Flood、HTTP Flood (cc)攻击、 ARP欺骗、TCP报文标志位不合法、超大ICMP报文、地址扫描的防范、端口扫描的防范、DNS Flood、ACK Flood、FIN Flood、分片 Flood、Tin

19、y-Fragment 。诊断中心支持报文示踪功能，可对原始报文进行回放。 支持丢包统计，提供详细分析丢包原因。国密算法支持国密SM1/2/3/4算法。设备管理支持SNMPv1 SNMPv2 SNMPv3 RMOF#网络管理协议，并且支持通过网管软件远程 进行设备软件升级、配置等。提供开放API接口(RESTful, NetConf),可编程管理防火墙，/、冉仅依赖网管软件。 支持U盘李配置开局。商资质设备制造厂商具备 CNNVD(中国国家信息安全漏洞库)一级支撑单位资质； 设备制造厂商符合信息技术服务管理体系符合ISO/IEC 20000-1 : 2011标准。上述资质，须提供相关证书证明产品

20、资质提供公安部监制的计算机信息系统安全专用产品销售许可证；兼容性要求与堡垒机同一品牌附件2 采购清单堡垒机与防火墙报价单序号设备型号设备描述数量单位设备单 价设备小 计备注1NS-SecPath A2020-G+LISH3C SecPath A2020-G 运维审计系统（含系统正式授权，默认可管理300个资产）1台堡垒机SV-PS-SPCOS安全产品策略维护服务1个RDSDevCAL-1A2000-AK/G/V 系列应用发布中心RDS授权函1个ET-Z201-1A2000-AK/G/V 系列双因素认证动态 口令卡5个2NS-SecPath F1020H3C SecPath F1020 防火墙主 机,16 个 10/100/1000BASE-T 端口，8 个 100/1000 BASE-X SFP 端 口，1 个 Slot1台防火墙LIS-F1000-