澳门永利皇宫酒店财政信息安全等级保护(三级)建设项目更正公告

来源:湖南紫霖项目管理有限责任公司 发布时间:2019-02-15 17:02:00 浏览次数: 【字体:

澳门永利皇宫酒店财政信息安全等级保护(三级)建设项目更正公告

一、采购项目名称:澳门永利皇宫酒店财政信息安全等级保护(三级)建设项目

二、政府采购编号:辰财采计[2019]014

三、委托代理编号:HNZLZB2019-002

四、首次公告日期:2019年1月21日

五、采购方式:公开招标

六、更正内容:

1.采购预算变更为:最高限价为175万元。

2.原招标文件第二章评分标准技术部分,产品质量、认证及性能

产品质量认证及性能

10

1、所投核心产品下一代防火墙具有高性能应用层处理能力,具备高性能一体化智能安全处理引擎;提供证明材料,并加盖原厂公章,计2分,不提供不得分。

2、所投日志审计系统符合国家等级保护标准对日志存储审计的要求,产品厂商为信息安全等级保护技术;提供证明材料,并加盖原厂公章,计2分,不提供不得分。

3、所投下一代防火墙、入侵防御系统、WEB应用防火墙、漏洞扫描系统的产品厂商要求具备相应安全服务能力,提供CNCERT/CC网络安全应急服务支撑单位(国家级)资质,提供资质证明文件复印件并加盖原厂公章,提供计2分,不提供不得分。

4、所投日志审计系统、数据库审计系统、安全管理系统、运维安全管理与审计系统的原厂商要求具备相关安全体系标准资质,具备ISO27001信息安全管理体系证书、ISO20000信息技术服务管理体系证书,提供资质证明文件复印件并加盖原厂公章,全部提供计2分,缺一项计1分,缺两项不计分。

5、所投WEB应用防火墙要求具备相应WEB安全防护能力;提供证明材料,并加盖原厂公章,计2分,否则不计分。

 

现变更为:

产品质量认证及性能

10

1、所投核心产品下一代防火墙具有高性能应用层处理能力,具备高性能一体化智能安全处理引擎;提供证明材料,并加盖原厂公章,计2分,不提供不得分。

2、所投日志审计系统符合国家等级保护标准对日志存储审计的要求,产品厂商为信息安全等级保护技术;提供证明材料,并加盖原厂公章,计2分,不提供不得分。

3、所投下一代防火墙、入侵防御系统、WEB应用防火墙的产品厂商要求具备相应安全服务能力,提供CNCERT/CC网络安全应急服务支撑单位(国家级)资质,提供资质证明文件复印件并加盖原厂公章,提供计2分,不提供不得分。

4、所投日志审计系统、数据库审计系统、运维安全管理的原厂商要求具备相关安全体系标准资质,具备ISO27001信息安全管理体系证书、ISO20000信息技术服务管理体系证书,提供资质证明文件复印件并加盖原厂公章,全部提供计2分,缺一项计1分,缺两项不计分。

5、所投WEB应用防火墙要求具备相应WEB安全防护能力;提供证明材料,并加盖原厂公章,计2分,否则不计分。

 

3.原招标文件第八章技术规格、参数与要求:第五条设备清单、第六条验收及付款方式全部内容

现变更为:

序号

产品名称

基本参数

单位

数量

备注

火灾自动报警及灭火系统





1

七氟丙烷药剂

HFC-227ea,臭氧层的耗损潜能值ODP=0;
  温室效应潜能值GWP=0.6;
  大气中存留寿命ALT=31年;
  灭火剂无毒性反应浓度NOAEL=9.0%;
  灭火剂有毒性反应浓度LOAEL=10.5%。

KG

90


2

无管网气体灭火装置

单柜式七氟丙烷灭
  火装置无管网式、90L
  含钢瓶、柜体、容器阀、喷嘴、灭火剂输送管、压力信号器,电磁阀,压力表等总成;瓶组贮存压力为:2.5MPa,最大工作压力为:4.2MPa,充装密度为:950Kg/m³、喷射时间≤10s,启动电流:1.1A。

1


3

泄压口

铁质300*300

1


4

点型探测器

点型光电感烟探测器
  使用环境温度:-10℃~+50℃
  使用环境湿度:≤95%RH(不凝露)
  报警确认灯:红色,巡检闪亮,报警常亮
  外壳防护等级:IP30
  监视电流:<0.35mA
  报警电流:<0.8mA
  保护面积:60m2
  线制:两总线,无极性
  总线长度:≤2000m

5


5

点型探测器

点型感温火灾探测器
  使用环境温度:-10℃~+50℃
  使用环境湿度:≤95%RH(不凝露)
  动作温度:56℃~66℃(出厂设置为56℃)
  报警确认灯:红色,巡检闪亮,报警常亮
  外壳防护等级:IP30
  监视电流:<0.35mA
  报警电流:<0.8mA
  保护面积:20m2
  线制:两总线,无极性
  总线长度:≤2000m

5


6

报警控制器、气体灭火控制器

两区;
  交流输入电压:220V,50HZ
  交流输入功率:≤100W
  直流备电:DC24V/5AH,全密封免维护蓄电池
  使用环境温度:0℃~40℃,相对湿度≤95%RH(不凝露)
  容量:2区;回路容量≤160点
  24V电源最大输出电流:2A(瞬太输出可达3A)
  总线长度:≤1500米
  外形尺寸:500mm*340mm*111mm

1


7

声光报警器

使用环境温度:-10℃~55℃;相对湿度:≤95%RH(不凝露)
  动作电流:≤75mA(平均值)
  报警声压级:距正前方3m处≥75dB(A计权);变调周期:1.5s~2.5s
  基本闪光频率:60~90次/分
  线制:电源(无极性)
  外壳防护等级:IP30

2


8

放气指示灯

工作电压:DC20V~DC28V;正常工作电压范围:DC21.5V~DC26.5V;动作电流≤100mA;线制:两线制,与气体灭火控制盘连接;使用环境:温度:-10℃~+50℃,相对湿度:≤95%,不结露。

1


9

按钮

适用温度:-10℃~50℃;湿度:<95%RH(不凝露)
  工作电压:DC16~32V

2


10

电气配线

ZRRVS2*1.5

m

400


11

安装辅材

线材、管材等

1


12

安装调试费用


1


机房装修工程





2.1

基础装修





1

防静电地板

无边防静电地板,600*600*35

平米

50

地面

2

地面找平

地面找平

平米

50

地面

3

垃圾清运

地面垃圾清运

1

地面

4

地面防水防尘处理

防尘涂料三遍

平米

50

地面

5

不锈钢地脚线(100mm)

100mm

m

51

地面

6

地板安装及配套辅材

配套

平米

50

地面

7

铝合金微孔天花

CC-210

平米

50

吊顶

8

龙骨、主挂等

ø8mm、38mm;25×25mm

平米

50

吊顶

9

天棚内防尘处理

防尘涂料三遍

平米

50

吊顶

10

墙面防水防尘处理

防尘涂料三遍

平米

102

墙面

2.2

配电、照明





1

配电柜

总开关1个,UPS输入1路,精密空调开关1路,另外市电照明、维修插座等。配备电压电流表以监视电源电压、电流;国内知名品牌元器件。

1


2

电缆

机柜、精密空调、UPS、照明、市电线缆等

1


3

灯具、市电开关、插座

国内知名品牌

1


4

辅材

含管线、桥架等

1


2.3

防雷接地





1

接地系统

含机房等电位接地铜排,接地母线等

1


2

二级防雷器

380V/4/100

1


3

三级防雷器

220V/4/60

1


4

接地线缆

线缆BV6

1


5

辅材

线材、管材等

1


2.4

门禁及视频监控





1

指纹门禁系统

用户数1500;记录容量:80000条;显示屏:2.0寸高清彩屏;通讯方式:TCP/IP;RS485;电源规格:DC12V;含电源、磁力锁,出门按钮,管理软件;

1


2

硬盘录像机

网络硬盘录像机1台,工业级嵌入式微控制器,嵌入式LINUX操作系统,8路高清输入,H.264/MPEG4,1080P/UXGA/1.3M/720P,1路VGA,1路HDMI,含1个6TSATA硬盘。

1


3

摄像机

200万网络内置音频录音POEH.265摄像头;焦距:2.8mm;清晰度:1080p

4


2.5

其他





1

机房装修安装费

装修安装费

1


模块化机柜





1

模块化机柜整体要求

模块化机房整体要求:

1.要求为(600mm*1100mm*2000mm)42U标准机柜。

2.机柜采用前门封闭冷通道,玻璃门设计,后双开网孔门,设计支持通孔率不小于70%。

3.集成UPS输入输出配电、空调配电、IT负载配电;集成UPS、精密空调、动力环境监控系统部件。

4.UPS部件要求:要求UPS容量≥20KVA,UPS输出功率因数不低于0.9;

5.精密空调部件:要求单台空调部件制冷量≥11KW。总制冷量》22KW

6.动环监控部件:数据中心基础设施采用统一管理平台,实现对数据中心所有基础设施设备,包括动力、环境、视频、门禁、消防等设备进行集中监控和管理;系统具备强大的运维管理能力,支持权限管理、故障管理、日志管理、报表管理、门禁管理等功能;开放的系统架构,支持快速二次开发;具备友好的操作界面,易安装、操作和维护;基于Web的远程管理功能,通过短信、Email邮件报警等灵活的告警方式,实现机房安全无人职守。

7.自带LCD显示屏,能实时显示UPS,配电系统,精密空调系统状态;可就地通过手机、pad及PC无线访问模块动环监控系统




2

机柜系统

1.机柜为(600mm*1100mm*2000mm)42U标准机柜。

2.机柜符合IEC60297-1标准,前后方孔条之间距离可支持按照25mm步距灵活调节,采用拼装架构,可满足便于扩展要求。

3.机柜表面喷粉厚度不小于60μm,采用黑色砂纹工艺,满足防腐、防锈、防火、光洁、色泽均匀、无流挂、不露底、无起泡、无裂纹、金属件无毛刺锈蚀要求。

4.机柜表面涂层可满足不低于GB/T4054-1983中规定外观等级的二级要求。

5.机柜静态承载能力不小于1400kg。

6.机柜采用专用的机柜并柜连接件,应支持无需拆卸机柜门情况下实现机柜并柜功能。

7.机柜可支持PDU螺丝安装和免工具挂装,可支持带PDU运输。

8.满足IP20防护等级标准。

9.机柜前部采用封闭冷通道,玻璃门设计,冷通道宽度为250mm,后双开网孔门,设计支持通孔率不小于70%。

6


3

UPS

1、要求UPS容量≥20KVA

2、支持三进三出输入输出制式;

3、输入功率因数大于等于0.95;

4、输入频率范围为40-70Hz;

5、输出功率因数不低于0.9;

1


4

蓄电池

蓄电池容量100AH,25℃蓄电池浮充寿命15年,电池需具备防漏液专利,不接受防漏液托盘(请提供相关防漏液专利证明),蓄电池气密性:除安全阀外,能承受50kPa的正压或负压而不破裂,不开胶,压力释放后,壳体无残余变形。

32


5

电池柜

32节

1


6

精密空调

1、制冷量≥11KW

2、直流压缩机,制冷量20%~100%可调

3、送风方式:水平送风

4、EC风机,风量≥2600m³/h

5、过滤网等级:G3

6、加湿方式:湿膜加湿

7、除湿:低载除湿

8、安装方式:机架式安装

2


7

动环系统

1、总体技术要求:

1)数据中心基础设施采用统一管理平台,实现对数据中心所有基础设施设备,包括动力、环境、视频、门禁、消防等设备进行集中监控和管理;

2)系统具备强大的运维管理能力,支持权限管理、故障管理、日志管理、报表管理、门禁管理等功能;

3)开放的系统架构,支持快速二次开发;

4)具备友好的操作界面,易安装、操作和维护;

5)基于Web的远程管理功能,通过短信、Email邮件报警等灵活的告警方式,实现机房安全无人职守;

2、UPS系统监控

1)遥测:相电压,相电流,电池电压,电池电流,输出频率;

2)遥信:旁路供电,市电故障,整流器故障,逆变器故障,旁路故障;

3、空调监控

1)遥测:压缩机、风机、水泵、加热器、加湿器、去湿器、滤网等的运行状态与参数;空调制冷温度、送风温度、回风温度、送风湿度、回风湿度、风机转速(高/中/低)

2)遥信:风机工作状态,故障告警;

3)遥控:开/关机。

4、温湿度监测

以图形化的方式实时显示并记录每个温湿度传感器所检测到的室内温度与湿度的数值,并可设定每个温湿度传感器的温度与湿度的上限与下限值。当任意一个温湿度传感器检测到的数据超过设定的上限或下限时,监控系统发出报警;

5、漏水监测

在机房空调的管路下铺设漏水检测器,通过检测接口连接至采集器,当检测到有漏水发生时,监控系统发出报警提示。

1


8

模块化机房安装调试及辅材

包含模块化机房辅材及安装调试

1


网络交换设备和服务器





1

核心交换机

交换容量≥15Tbps/76Tbps

包转发率≥2880Mpps/20880Mpps

业务槽位数量≥6

配套双电源、双主控、24个千兆光口板、4个万兆光口、24个千兆电口板

配置虚拟化功能,可将两台核心交换机虚拟成一台核心交换机。

2


2

服务器汇聚交换机

固定端口:24个10/100/1000Base-T,8个万兆SFP+;含8个万兆多模及跳线;

1


3

服务器

2U机架式服务器,配置2颗主频不低于2.2GHz/10c(参考IntelXeonE5-2630v4及以上)CPU;

内存扩展能力≥24个插槽,本次配置128GB内存

硬盘配置数目≥4块4000GBSATA硬盘,3块480GBSSD硬盘。

配置独立的磁盘阵列卡,支持RAID0/1/10/5/6等

端口:本次配置GE端口≥4个、万兆SFP+以太网接口2个、双端口16GbHBA卡。

插槽总数:≥8个。配置热插拔冗余电源。

4


3

服务器虚拟化软件

虚拟机之间可以做到隔离保护,其中每一个虚拟机发生故障都不会影响同一个物理机上的其它虚拟机运行,每个虚拟机上的用户权限只限于本虚拟机之内,以保障系统平台的安全性。

    虚拟机可以实现物理机的全部功能,如具有自己的资源(内存、CPU、网卡、存储),可以指定单独的IP地址、MAC地址等。

    支持虚拟机生命周期管理,支持查询、创建、删除、安全删除、启动、关闭、重启、休眠、唤醒、克隆虚拟机、VNC登录、远程光驱挂载,支持虚拟机的搜索和过滤。

    支持性能监控功能:

对资源中CPU、网络、磁盘使用率等指标的实时数据统计,并能反映目前物理机、虚拟机的资源瓶颈。

    虚拟化管理系统节点提供主备冗余方式确保平台的可用性,支持虚拟机部署模式。

兼容现有市场上主要服务器厂商的主流X86服务器,包括IBM、HP、DELL、Huawei、H3C、浪潮、曙光服务器等服务器品牌,不少于100种以上型号。

    兼容现有市场上主流的存储阵列产品,如SAN、NAS和iSCSI,品牌包括EMC、IBM、Huawei、HP、HDS、Netapp、Dell、宏杉、卫士通等品牌存储,不少于50种以上型号。

    兼容现有市场上X86服务器上能够运行的主流操作系统,尤其包括以下操作系统:WindowsServer2003、WindowsServer2008、WindowsServer2012,RedhatLinux、Suselinux、WindowsXP、Windows7、CentOS、中标普华、中标麒麟、Ubuntu、Fedora等,不少于100种以上版本。

    支持Intel最新的CPU。支持同一CPU厂商不同CPU型号服务器组建在同一逻辑集群中,支持CPU跨代热迁移。

    兼容现有市场上主流的网卡、HBA卡产品,USB2.0加密狗等设备

    提供高可用功能(HA)和虚拟机热迁移(vMotion)功能,保障业务连续性。

    支持虚拟机映像文件的在线迁移。

    支持内存复用技术,实现内存的超量使用(如共享页面技术等),保障内存资源的充分利用。

    支持将多个物理服务器组成集群;支持集群动态资源分配功能。

    支持虚拟化多路CPU技术。

    提供分布式虚拟交换机功能,实现虚拟机之间或与物理机之间的网络调度,通过分布式虚拟交换机对虚拟化集群环境进行统一的网络管理。

支持热添加虚拟CPU、虚拟内存、虚拟网卡和虚拟磁盘功能,根据需要为虚拟机在线添加更多资源。

    支持虚拟机链接克隆技术。

4

每套支持2个物理CPU

4

分布式存储软件

本次采用分布式架构,支持存储虚拟化功能。

支持数据安全恢复机制,当主机或者磁盘故障后,自动利用集群内空闲磁盘空间,将故障数据重新恢复,并保证副本数量,确保用户数据的可靠性和安全性。

支持数据写入优化机制,将高速SSD作为写缓存,数据先写到SSD,再回写到机械硬盘,提升写IO性能。

支持数据分层,提供好的读写性能,并支持对重要虚拟机提供性能保护。

4


网络安全设备





1

下一代防火墙

2台分别透明模式部署于银行接入区、财政专网接入区、非税单位接入区边界,参照等级保护的网络和通信安全-访问控制、入侵防范、恶意代码防范要求。

2

核心产品(数据库服务器区、应用服务器边界各部署一台)

具体技术参数详见《接入区下一代防火墙技术参数》

2

下一代防火墙

透明模式部署于服务器区边界,参照等级保护的网络和通信安全-访问控制、恶意代码防范要求。具体技术参数详见《服务器区下一代防火墙技术参数》

1


3

入侵防御系统

透明模式部署于服务器区边界,参照等级保护的网络和通信安全-入侵防范要求、设备和计算安全-入侵防范要求。

1


具体技术参数详见《入侵防御系统技术参数》

4

WEB应用防火墙

透明模式部署于服务器区边界,参照等级保护的网络和通信安全-入侵防范要求,应用和数据安全-资源控制要求,数据安全-数据完整性要求。

1


具体技术参数详见《WEB应用防火墙技术参数》

5

日志审计系统

旁路部署于安全管理区,参照等级保护的网络和通信安全-安全审计要求,设备和计算安全-安全审计要求,安全运维管理-网络和系统安全管理要求。

1


具体技术参数详见《日志审计系统技术参数》

6

数据库审计系统

旁路部署于服务器区,参照等级保护的设备和计算安全、应用和数据安全-安全审计要求。

1


具体技术参数详见《数据库审计系统技术参数》

7

运维安全管理与审计系统(堡垒机)

旁路部署于安全管理区,参照等级保护的网络和通信安全-集中管控/安全审计、设备和计算安全-身份鉴别/访问控制及安全审计要求,安全运维管理-密码管理要求。

1


具体技术参数详见《运维安全管理与审计系统技术参数》

8

安装服务

设备安装调试及上线用户培训

1


5.1. 接入区下一代防火墙技术参数

指标项

指标参数

基本要求

多核AMP+架构,网络吞吐≥6G,并发连接≥200万,每秒新建连接≥12万/秒,标准2U机箱,单电源,≥6个10/100/1000M自适应电口,另有≥2个扩展板卡插槽,1个Console口;三年硬件维修服务,三年病毒防护特征库、入侵防御特征库升级服务。

网络适应性

支持路由、透明、旁路、交换以及混合模式接入,可满足复杂应用环境的接入需求。

支持全面的NAT转换配置,包括包括一对一,一对多,多对一的源、目的地址转换,至少支持FULL_CONE模式和SYMMETRIC模式。

访问控制

支持基于源安全域、目的安全域、源用户、源地址、源地区、目的地址、目的地区、服务、应用、隧道、时间、VLAN等多种方式进行访问控制,并支持地理区域对象的导入以及重复策略的检查。

应用识别与控制

支持应用识别,应用特征库包含的应用数量(非应用协议的规则总数)大于2800种,可深度识别每种应用的属性,为每种应用提供预定义的风险系数,并将应用基于类型、使用场景、数据传输、风险等级等特征分类。

支持基于用户的访问控制,可与LDAP/Radius/证书/ActiveDirectory/TACACS+/POP3等用户认证系统联动;支持802.1x认证,支持基于端口和MAC两种接入控制方式;支持二层MAC地址IP地址绑定;支持跨三层MAC地址IP地址绑定。

流量管理

支持多调度类相互嵌套≥5级的带宽管理设置。支持设置每IP最大或最小带宽,支持对每IP进行带宽配额管理,可通过优先级实现多应用的差分服务,并支持对剩余带宽进行基于优先级的动态分配。

抗攻击

支持基于不同安全区域防御DNSFlood、HTTPFlood攻击,并支持警告、阻断、首包丢弃、TC反弹技术、NS重定向、自动重定向、手工确认等多种防护措施。

支持基于安全区域的异常包攻击防御,异常包攻击类型至少包括PingofDeath、Teardrop、IP选项、TCP异常、Smurf、Fraggle、Land、Winnuke、DNS异常、IP分片等。

SSL解密

支持IPv4和IPv6流量的HTTPS协议进行解密,支持配置基于源安全域、目的安全域、源地址、目的地址、SSL协议服务的解密策略,并可同时基于安全域、IPv4和IPv6地址进行例外设置。

病毒防护

支持对HTTP/FTP/POP3/SMTP/IMAP/SMB六种协议进行病毒查杀,并支持≥6级的压缩文件进行解压查杀,支持病毒云查杀。

入侵防御

支持支持漏洞防护功能,同时将漏洞防护特征库分类,至少包括缓冲区溢出、跨站脚本、拒绝服务、恶意扫描、SQL注入、WEB攻击等六种分类;漏洞防护支持日志、阻断、放行、重置等执行动作,可批量设置针对某一分类或全部攻击签名的执行动作;支持基于FTP、HTTP、IMAP、OTHER_APP、POP3、SMB、SMTP等应用协议的漏洞防护。

VPN

支持L2TPVPN、PPTPVPN、IPSECVPN、SSLVPN;支持DES/3DES/AES128/AES256等标准加密算法;支持MD5/SHA1等HASH算法;支持DH1、DH2、DH5算法;支持SM3国密算法。

协调联动

支持与终端安全管理系统(本次采购)联动,终端扫描检测存在的已知或未知的病毒、0day漏洞、未知恶意代码、APT攻击和应用程序MD5值等信息,然后将所有信息传递至防火墙,动态生成对应的应用管控策略或木马查杀策略。(要求提供联动截图,并加盖原厂公章)

安全管理

支持基于主机或威胁情报视图,统计网络中确认被入侵、攻破的主机数量,至少可查看被入侵、攻破的时间、威胁类别、情报来源、威胁简介、被入侵、攻破的主机IP、用户名、资产等信息;并对威胁情报发现的恶意主机执行自动阻断。

资质要求

具备国家信息安全测评-信息技术产品安全测评证书(EAL4+级)。(提供证书复印件,并加盖原厂公章)

具备ISCCC信息安全服务资质-安全运维服务资质一级资质(提供证书复印件,并加盖原厂公章)

可获得病毒、木马、僵尸网络等样本信息,为用户提供更及时的安全防护,提供资质证明文件(提供证书复印件,并加盖原厂公章)

 

5.2. 服务器区下一代防火墙技术参数

指标项

指标参数

基本要求

多核AMP+架构,网络吞吐≥10G,并发连接≥260万,每秒新建连接≥18万/秒,标准2U机箱,单电源,≥6个10/100/1000M自适应电口,≥4个SFP插槽,另有2个扩展板卡插槽,支持最大扩展至22个接口,1个Console口,≥128GBSSD固态硬盘;三年硬件维修服务,三年应用识别库、URL分类特征库、病毒防护特征库、入侵防御特征库升级服务及威胁情报订阅服务。

网络适应性

支持路由、透明、旁路、交换以及混合模式接入,可满足复杂应用环境的接入需求。

支持全面的NAT转换配置,包括包括一对一,一对多,多对一的源、目的地址转换,至少支持FULL_CONE模式和SYMMETRIC模式。

访问控制

支持基于源安全域、目的安全域、源用户、源地址、源地区、目的地址、目的地区、服务、应用、隧道、时间、VLAN等多种方式进行访问控制,并支持地理区域对象的导入以及重复策略的检查。

应用识别与控制

支持应用识别,应用特征库包含的应用数量(非应用协议的规则总数)大于2800种,可深度识别每种应用的属性,为每种应用提供预定义的风险系数,并将应用基于类型、使用场景、数据传输、风险等级等特征分类。

支持基于用户的访问控制,可与LDAP/Radius/证书/ActiveDirectory/TACACS+/POP3等用户认证系统联动;支持802.1x认证,支持基于端口和MAC两种接入控制方式;支持二层MAC地址IP地址绑定;支持跨三层MAC地址IP地址绑定。

流量管理

支持多调度类相互嵌套≥5级的带宽管理设置。支持设置每IP最大或最小带宽,支持对每IP进行带宽配额管理,可通过优先级实现多应用的差分服务,并支持对剩余带宽进行基于优先级的动态分配。

抗攻击

支持基于不同安全区域防御DNSFlood、HTTPFlood攻击,并支持警告、阻断、首包丢弃、TC反弹技术、NS重定向、自动重定向、手工确认等多种防护措施。

支持基于安全区域的异常包攻击防御,异常包攻击类型至少包括PingofDeath、Teardrop、IP选项、TCP异常、Smurf、Fraggle、Land、Winnuke、DNS异常、IP分片等。

SSL解密

支持IPv4和IPv6流量的HTTPS协议进行解密,支持配置基于源安全域、目的安全域、源地址、目的地址、SSL协议服务的解密策略,并可同时基于安全域、IPv4和IPv6地址进行例外设置。

病毒防护

支持对HTTP/FTP/POP3/SMTP/IMAP/SMB六种协议进行病毒查杀,并支持≥6级的压缩文件进行解压查杀,支持病毒云查杀。

入侵防御

支持支持漏洞防护功能,同时将漏洞防护特征库分类,至少包括缓冲区溢出、跨站脚本、拒绝服务、恶意扫描、SQL注入、WEB攻击等六种分类;漏洞防护支持日志、阻断、放行、重置等执行动作,可批量设置针对某一分类或全部攻击签名的执行动作;支持基于FTP、HTTP、IMAP、OTHER_APP、POP3、SMB、SMTP等应用协议的漏洞防护。

VPN

支持L2TPVPN、PPTPVPN、IPSECVPN、SSLVPN;支持DES/3DES/AES128/AES256等标准加密算法;支持MD5/SHA1等HASH算法;支持DH1、DH2、DH5算法;支持SM3国密算法。

协调联动

支持与终端安全管理系统(本次采购)联动,终端扫描检测存在的已知或未知的病毒、0day漏洞、未知恶意代码、APT攻击和应用程序MD5值等信息,然后将所有信息传递至防火墙,动态生成对应的应用管控策略或木马查杀策略。(要求提供联动截图,并加盖原厂公章)

安全管理

支持基于主机或威胁情报视图,统计网络中确认被入侵、攻破的主机数量,至少可查看被入侵、攻破的时间、威胁类别、情报来源、威胁简介、被入侵、攻破的主机IP、用户名、资产等信息;并对威胁情报发现的恶意主机执行自动阻断。

资质要求

具备国家信息安全测评-信息技术产品安全测评证书(EAL4+级)。(提供证书复印件,并加盖原厂公章)

具备ISCCC信息安全服务资质-安全运维服务资质一级资质(提供证书复印件,并加盖原厂公章)

可获得病毒、木马、僵尸网络等样本信息,为用户提供更及时的安全防护,提供资质证明文件(提供证书复印件,并加盖原厂公章)

5.3. 入侵防御系统技术参数

指标项

指标参数

基本参数

1U机箱;≥6个10/100/1000M自适应电口(至少包含1个管理口、1个HA口、4个业务接口);≥2路电口Bypass;≥1个板卡扩展槽;IPS吞吐量≥1.2G。三年硬件维修服务及IPS特征库升级服务。

网络适应性

支持透明、路由、混合多种工作模式;支持静态、策略路由、OSPF、RIPv1/v2、BGP4等动态路由;支持端口聚合。支持ALG应用协议的NAT应用和端口重定向,包括SIP、H.323、XDMCP等,并支持自定义协议。

安全防护

内置4000种以上的攻击特征,能够检测包括溢出攻击类、RPC攻击类、WEBCGI攻击类、拒绝服务类、木马类、蠕虫类、扫描类、网络访问类、HTTP攻击类、系统漏洞类等攻击。产品厂商参与编制国家标准GB/T28451-2012(信息安全技术网络型入侵防御产品技术要求和测试评价方法),(提供相关证明,并加盖原厂公章)。

内嵌深度包检测引擎,针对数据包进行深度过滤检测;可以阻断内部用户访问非法的网址或访问含有非法内容的网页,支持自定义URL过滤策略、关键字过滤策略、蠕虫过滤策略,支持攻击邮件告警;可以针对FTP传输的文件类型(如mp3、avi…)进行过滤,支持通过预定义过滤文件名实现对FTP数据流的区分控制。

负载均衡

支持基于多种方式划分的负载均衡,如按照服务器、链路、全局等不同方面划分。

支持8种调度算法(轮询调度、加权轮询调度、源地址散列调度、目标地址散列调度、最小连接调度、加权最小连接调度、基于局部性的最小连接调度和带复制的基于局部性的最小连接调度)。

安全管理

支持图形化显示设备接口面板信息,直观察看接口是否联线;产品界面可以显示设备当前的系统状况,包括cpu使用率、内存使用率、cpu温度等;图形化展示应用风险指数、网络风险指数便于用户整体了解网络风险等级;支持在线帮助说明,每个功能页面都提供当前页面的功能说明,(提供功能截图,并加盖原厂公章)。

支持实时图表显示用户连接数、当前会话数、应用使用排名等信息;提供多种统计方式,如基于用户、应用、接口、安全策略等因素进行统计显示。

支持多种报表,可依据五元组、应用协议、时间点/时间段等元素自定义报表内容并显示。

支持对接口流量/应用/协议的异常状态进行告警,并以Email/SNMPTrap/声音等方式通知管理员。

资质要求

具备国家信息安全漏洞库兼容性资质证书。(提供证书复印件,并加盖原厂公章)

入侵防御系统的产品厂商能够采用语境关联分析技术实现准确的攻击及应用威胁识别,提供相关证明材料。(提供材料复印件,并加盖原厂公章)

5.4. WEB应用防火墙技术参数

指标项

指标参数

基本要求

网络吞吐量≥1Gbps,应用层处理能力≥500M,HTTP新建连接数≥5000/s,网络并发连接数≥65万,HTTP并发≥24万。标准1U机箱,≥6个10/100/1000M自适应电口,≥2组bypass接口,≥2个扩展插槽,≥1TB硬盘,1个Console口,2个USB口。三年硬件维修服务及WAF特征库升级服务。

网络部署

产品具备支持透明在线部署,不更改网络或网站配置,即插即用,无需配置IP地址即可防护。

产品具备支持旁路流量牵引部署方式,通过BGP路由牵引和SNAT回注方式对流量进行过滤。

产品具备支持镜像分析数据并实现旁路阻断功能,产品具备专门的阻断接口设置。

安全防护

具备自学习系统,无需人工干预,自动获取网站相关信息。

具备根据网站流量自动生成网站文件和URL地址的树形结构展示拓扑图。

具备对网站的主机数量、URL数量、访问次数TOP排名、URL响应时间等数据进行统计分析展示。

具备实时网站流量态势感知监测功能,不需要借助第三方设备就可以对数据分析和展示,并支持全屏效果展示。

具备内置有标准特征库,并且可以自定义特征,定义检查方向、严重级别、Web攻击特征等信息。

支持SQL注入、跨站脚本、防爬虫、扫描器、信息泄露、溢出、协议完整性等web应用层攻击防护。

具备非法上传防护,需支持根据文件类型、MIME类型及真实文件识别等策略参数。

具备非法下载防护,可以根据文件大小、MIME类型,灵活定义下载限制策略,限制用户非法获取网站的关键数据。

具备敏感信息检测功能,用户可以自定义检测敏感信息,并提供替换功能,替换信息可以根据用户需求自行定义。

防篡改

支持windows、linux的32位与64位操作系统的网页防篡改功能

网页防篡改客户端可与Web应用防火墙实时联动,支持断点检测状态检测机制(提供相应截图证明,并加盖原厂公章)

具备网站文件增量更新备份功能,自动进行文件同步更新,无需人工手动操作

资质要求

具备国家信息安全测评-信息技术产品安全测评证书(EAL3+级)。(提供证书复印件,并加盖原厂公章)

5.5. 日志审计系统技术参数

指标项

指标参数

基本要求

专用硬件平台和安全操作系统,标准1U机架式设备,≥6个10/100/1000MBase-T电口(RJ45),可扩展千兆以太网络模块2光4光8光4电8电,1个Console口,事件采集性能≥10000EPS,事件关联分析性能≥3000EPS,事件入库性能≥5000EPS,内置磁盘存储空间≥2TB,本次至少提供50个日志审计许可,包括三年硬件质保服务。

日志审计对象

支持审计各种网络设备(路由器、交换机、等)配置日志、运行日志、告警日志等;

支持审计各种安全设备(防火墙、IDS、IPS、VPN、防病毒网关,网闸,防DDOS攻击,Web应用防火墙、等)配置日志、运行日志、告警日志等;

支持审计各种主机操作系统(包括Windows,Solaris,Linux,AIX,HP-UX,UNIX,AS400)配置日志、运行日志、告警日志等;

支持审计各种数据库(Oracle、Sqlserver、Mysql、DB2、Sybase、Informix)配置日志、运行日志、告警日志等;

支持审计各种中间件(tomcat、apache、webshpere、weblogic等)配置日志、运行日志、告警日志等;

支持各种应用各种应用系统(邮件,Web,FTP,Telnet、等)配置日志、运行日志、告警日志等;

以及业务系统的日志、事件、告警等安全信息进行全面的审计。

日志采集方式

通过syslog、snmptrap、netflow、netscreem、jdbc、odbc、openseclea、agent代理、wmi等多种方式完成各种日志的收集功能。对windows服务器(系统、应用和安全)日志和文件类型日志,可免日志代理或插件;支持用户环境中EVT格式的业务系统日志采集。对于保存在日志文件和数据库中的日志使用agent采集方便,无需定制开发采集。

资产管理

支持按照设备资产重要程度和管理域的方式组织设备资产,提供便捷的添加、修改、删除、查询与统计功能;

支持资产信息的批量导入和导出,便于安全管理和系统管理人员能方便地查找所需设备资产的信息,并对资产进行关键度赋值;

支持对资产日志进行过滤,设置允许接收和拒绝接收日志,并可以对资产设置一定时间范围内未收到事件后进行主动告警。

日志归一化

支持采集日志后进行字段和安全等级的归一化处理,并保留原始日志,方便用户对关键日志快速定位,和事后取证;

提供灵活简单的归一化方式,对系统新增的日志类型只需修改配置文件即可支持,不需修改系统程序。

实时分析

支持对收集的日志进行分类实时分析和统计,从而快速识别安全事故;

支持自定义实时分析场景,提供可视化规则编辑视图,根据实际业务编写分析规则。

关联分析

支持对不同类型设备的日志之间进行关联分析,支持递归关联,统计关联,时序关联,这几种关联方式能同时应用于一个关联分析规则;

告警管理

支持对于发现的严重事件可以进行自动告警,告警内容支持用户自定义字段;告警方式包括邮件、短信、SNMPTrap、Syslog、MSN、飞鸽传书、设备联动等;响应方式包括:自动执行预定义脚本,自动将事件属性作为参数传递给特定命令行程序。

报表管理

提供丰富的报表管理功能,预定义了针对各类服务器、网络设备、防火墙、入侵检测系统、防病毒系统、终端安全管理系统、数据库、策略变更、流量,设备事件趋势以及总体报表,满足等保等其他合规性要求;根据时间、数据类型等生成报表,提供打印、导出以及邮件送达等服务;直观地为管理员提供决策和分析的数据基础,帮助管理员掌握网络及业务系统的状况。报表可以保存为html,excel,文本,pdf等多种格式。

提供自定义报表,用户可根据自身需要进行定制。报表可根据设置自动运行,调度生成日报、周报和月报。

资质要求

具备国家信息安全测评-信息技术产品安全测评证书(EAL3+级)。(提供证书复印件,并加盖原厂公章)

5.6. 数据库审计系统技术参数

指标项

指标参数

基本要求

专用硬件平台和安全操作系统,事件处理能力≥12000条/秒,≥4TB磁盘存储空间。标准1U机箱,单电源;≥6个千兆自适应电口(≥2组bypass),1个Console口,≥2个扩展槽位,三年硬件质保服务。支持≥4个数据库实例。

网络部署

支持旁路部署方式,对原有网络不造成影响,网络审计产品的故障不影响被审计系统的正常运行。

支持串联方式部署,对风险行为进行实时阻断。

数据库审计对象

支持Oracle、SQL-Server、DB2、Informix、Sybase、MySQL、PostgreSQL、达梦、人大金仓kingbase南大通用Gbase,hadoop架构下Hbase,支持后关系型数据库Cache、工控IP21的审计。

支持Telnet、pop3、smtp、nfs协议审计,针对FTP协议,txt文件传输可对其内容进行的审计。

支持对MySQL、Oracle、sqlserver、mongodb、redis数据库的状态监控,主动发现数据库潜在风险。

提供基于环境动态,整体地洞悉安全风险,以数据为基础,从全局视角提升对安全威胁的发现识别、理解分析的数据库态势感知,及时发现各种异常和危险操作,为整体信息安全管理提供决策依据。

审计能力

支持后关系型数据库Cache的集成工具terminal、portal、studio、Sqlmanager、MedTrak工具的审计,Terminal能审计到M语句和返回结果。

支持数据库绑定变量审计、函数审计(sum求和函数等)。

支持B/S、C/S应用系统三层架构http应用审计,可提取包括应用系统的应用层帐号、数据库帐号、操作系统用户名、客户端主机名、客户端IP、客户端MAC等身份信息,精确定位到人,并可获取XML返回结果。

在无需重启被审计数据库的情况下,支持对MSSQLSserver加密协议的审计,可正常审计到数据库账号、操作系统用户名、操作系统主机名等身份信息。

支持基线学习,通过对一段时间内操作的数据库访问操作的基线学习,可提供基于学习后的非法闯入操作分析。

审计策略支持

支持操作语句系列的组合审计规则,可根据某一客体的操作行为序列,连续操作了设定的语句序列时进行规则审计告警。

支持重复操作的统计审计规则,可根据在一定的时间内,重复某项操作达到设定的统计次数进行规则审计告警

可提供通过子对象模式多级关联跨表跨字段的组合规则。

安全管理

可实现对SQL语句转换成中文自然语言的描述功能,便于非技术人员理解报警内容,(提供功能截图,并加盖原厂公章)。

提供管理员权限设置和分权管理,提供三权分立功能,系统可以对使用人员的操作进行审计记录,可以由审计员进行查询,具有自身审计功能。

提供审计数据管理功能,能够实现对审计数据的自动备份、手动备份,支持增量、全量备份方式;可提供审计策略和配置的导入导出。

资质要求

具备国家信息安全测评-信息技术产品安全测评证书(EAL3+级)。(提供证书复印件,并加盖原厂公章)

5.7. 运维安全管理与审计系统技术参数

指标项

指标参数

基本要求

专用多核硬件平台和安全操作系统,标准1U机架式,≥6个千兆电口,≥2个接口扩展槽位,≥4TB硬盘,支持≥150路图形会话或400路字符会话并发,本次至少提供50个被管资源数授权。三年硬件质保服务。

部署方式

支持物理旁路,逻辑串联模式,不影响正常业务流量。

资源管理

支持SSH、RDP、TELNET、VNC、FTP、SFTP协议主机,支持发布MySQL、SQLServer、Oracle、IE、Firefox、Chrome、VNCClient、SecBrowser、VSphereClient类型的应用。

无需安装任何客户端,便可windows、linux、MACOS等类操作系统登录堡垒机,并访问管理资源;支持IE、Edge、Chrome、FireFox、Safari等主流浏览器。

策略

访问控制策略支持基于用户、用户组、资源账户、账户组、有效期、文件管理控制、文件传输控制(上传、下载)、RDP剪切板控制、时间限制、IP限制进行设置。

访问控制策略支持配置双人授权候选人,针对核心设备,需要管理员现场审批才能操作,(提供功能截图,并加盖原厂公章)。

运维

支持SSH、RDP、TELNET、VNC协议资源的批量登录功能;支持SSH客户端、FTP客户端、SFTP客户端访问目标资源

运维过程中支持会话协同,可邀请其他用户参与、协助操作。

会话协同过程中,支持参与者控制会话,同时支持创建者强制获取控制权。

支持多个参与者使用相同的会话邀请链接进入会话。

审计

支持实时监控当前发生的会话信息,发现高危操作可实时切断会话。

支持字符协议SSH、TELNET和文件传输协议FTP、SFTP的审计,详细记录操指令和操作指令的执行结果。

支持图形协议RDP、VNC和应用发布的操作行为的审计,图形回放形式还原真实操作过程。

支持双人授权审计和协同用户审计。

报表管理

系统内置多种系统报表和运维报表模板,支持按日、周、月为周期,自动生成报表。

报表导出格式支持Word和HTML格式。

资质

产品具备中华人民共和国国家版权局颁发的计算机软件著作权登记证书。(提供证书复印件,并加盖原厂公章)

 

六、验收及付款方式

1.1验收时间:中标单位在合同签订后60个天内完成竣工(不得超过2019年5月1日),并验收合格。超过双方约定时间,采购人有权终止合同。

1.2验收地点:采购人指定地点。

1.3验收标准:货物若有国家标准按照国家标准验收,若无国家标准按行业标准验收,为原制造商制造的全新产品,整机无污染,无侵权行为、表面无划损、无任何缺陷隐患,在中国境内可依常规安全合法使用。

2、产品验收合格后,中标人应将产品有关的全部资料,包括全部技术文件、资料、验收报告等文档及配备件、随机工具等交付给采购方,使用操作及安全须知等重要资料应附有中文说明。

3、采购方组成验收小组按国家有关规定、规范进行验收,必要时邀请相关的专业人员或机构参与验收。因货物质量问题发生争议时,由本地质量技术监督部门鉴定。货物符合质量技术标准的,鉴定费由采购方承担;否则鉴定费由中标方承担。

4、项目实施过程中所有的费用由投标人自行承担,应包括现场人员、运输、安装、保管、税费等费用。

5、付款方式:按合同约定。

备注:本招标文件中技术要求必须严格按照国家相关标准执行,技术要求中所指的规格型号、技术参数的要求均仅系说明,并非进行限制。投标人可以在投标文件中替换招标采购方在采购文件中说明的技术规格和技术参数的内容,但是所替换的内容必须在本质上等于或优于招标采购方所提供的技术要求;如果有负偏离将由评标委员会酌情扣分。

投标截止时间顺延至2019年3月4日10时30分,

开标时间顺延至2019年3月4日10时30分,

投标保证金缴纳截止时间顺延至2019年3月3日17时30分前。

本更正公告为招标文件的组成部分,招标文件如涉及上述内容的应作相应调整和修改,若本更正公告与原招标文件内容有不一致之处,应以本更正公告为准。供应商认为本更正内容存在歧视性的,应在更正公告发布之日起七个工作日内以书面形式向本代理机构提出。

采购人:澳门永利皇宫酒店财政局

联系人:顿先生

电话:0745-5224798

代理机构:湖南紫霖项目管理有限责任公司

地址:怀化市鹤城区世纪花园主楼B座2329号

联系人:高先生

电话:0745-2766779

终审:悠岚
分享:
来源:湖南紫霖项目管理有限责任公司 作者: 打印