網絡安全系統設備采購需求公示

序號

規格

參數指標

1

軟件數量

包括內網、外網兩套終端安全管理系統安全控制中心， 內網終端2500個授權，外網終端1000個授權

2

系統管理

★要求針對隔離網環境，能夠提供獨立的私有云硬件部署，本地客戶端能夠支持私有云查殺能力，以解決隔離網環境下終端病毒檢出率過低的問題。（提供私有云獨立硬件設備和私有云查殺配置方法，并加蓋公司公章）

3

采用典型的B/S + C/S通訊結構，客戶端與服務器端加密通信，保證通信安全。

4

支持獨立部署和分級部署兩種部署模式來完成終端的集中管控。

4

終端管理

終端可以按照IP自動分組，終端根據分組設定自動進入分組設定而無需人工干預。

5

要求終端詳細信息至少包含計算機名、IP地址、終端分組、私有云終端版本、病毒庫日期

6

要求支持對全網、分組或者某終端下發一次性的殺毒任務、快速掃描或者全盤掃描任務。

7

要求支持對離線終端的維護清理，在一定時間后系統可以自動清除該終端并釋放對應授權。

8

病毒查殺管理

★要求支持評估模式和運行模式兩種模式。評估模式下客戶端將不會對可疑文件“真實”查殺，避免在隔離網環境下可能造成的誤殺和誤報。（提供功能截圖，并加蓋公司公章）

9

★要求產品在斷網狀態下具備不依賴病毒庫特征的情況下對未知病毒查殺的能力

10

★要求產品具備主動防御技術（提供至少3項以上技術專利受理證明）

11

按病毒顯示展示掃描后全網存在的病毒和涉及的終端，可查殺指定或全部病毒、加入信任；可按終端顯示展示全網每個終端存在的病毒，可查殺病毒；

12

對指定分組或全網終端設置定時殺毒策略，滿足策略后終端將執行掃描

13

全網文件管理

★要求支持以自定義黑白名單的方式來管理全網終端的文件。管理員可以將文件加入白名單或者黑名單。（提供功能截圖，并加蓋公司公章）

14

★要求支持通過數字簽名或者文件名的方式分別顯示文件，方便管理員管理全網終端上報的文件。（提供功能截圖，并加蓋公司公章）

15

策略管理

要求支持針對全網或者分組配置強制防護策略，不允許客戶端隨意更改“文件系統防護”、“U盤監控”開關，不可以隨意中止病毒查殺任務

16

要求支持定新建多個定時殺毒任務，可以根據不同分組下發不同的定時殺毒任務

17

升級管理

要求支持服務器端病毒庫的定時更新和手動更新兩種升級模式。

18

★要求支持客戶端升級時對網絡帶寬的保護，可以設定服務器端最大升級帶寬。（提供截圖，并加蓋單位公章）

19

統計與報表

要求支持以折線圖的方式顯示全網病毒感染趨勢、全網新增文件趨勢、全網活躍終端趨勢、顯示全網可信文件、病毒文件和未知文件的查詢趨勢

20

要求支持按病毒發現時間、計算機終端、防御方式、防御操作、威脅名和威脅詳情顯示病毒查殺歷史記錄和詳情。

21

支持按照柱狀圖顯示全網文件的分類數量，包括安全文件、病毒文件和未知文件，并顯示企業私有文件庫中白名單和黑名單的個數。

22

客戶端防病毒

要求能夠有效查殺已知以及未知木馬、病毒、蠕蟲、僵尸網絡、間諜軟件、流氓軟件、廣告軟件等廣義惡意代碼。

23

要求能夠支持實時主動防御功能，能夠對文件訪問、進程創建、注冊表讀寫、網絡IP請求、設備加載的變化進行實時監控，實時跟蹤文件的行為，對文件的惡意行為進行有效阻斷。

24

★要求支持文件解壓縮病毒查殺，支持對zip、rar、7z、Z等多種格式的壓縮文件不低于50層的查殺能力。（提供測試樣本和測試方法）

25

要求支持內存掃描功能，直接對內存中的病毒進程進行清除。

26

要求提供多種病毒處理方法，包括清除、刪除或隔離。對于無法清除病毒的被感染文件，殺毒軟件能夠自動隔離感染文件。

27

　資質

★要求公司具備獨立發掘和補救微軟漏洞的能力，應至少獲得微軟致謝40次以上。（提供網頁截屏，并加蓋公司公章）

28

★公司具備強大的漏洞挖掘與發現能力，入選中國國家信息安全漏洞庫CNNVD一級技術支撐單位。（提供網頁截屏，并加蓋公司公章）

29

★要求產品先進，擁有20項以上的技術專利（提供相關專利證書復印件）

30

★要求產品同時具備CheckMark、ICSA、OPSWAT等3家以上國際權威評測認證（提供官方URL鏈接證明）

序號

規格

參數指標

1

設備數量

4臺

2

★設備性能

交換容量≥2.5Tbps，轉發性能≥1400Mpps

3

★業務插槽

整機業務插槽數量≥4個

4

虛擬化

支持將多臺以上物理設備智能堆疊，堆疊后可實現統一的轉發表項、統一的管理界面以及跨物理設備的鏈路聚合。

5

網絡特性

支持ARP Proxy、支持DHCP Relay、支持DHCP Server、支持VRRP、支持URPF

6

VLAN特性

支持基于端口的VLAN，802.1q Vlan封裝，最大Vlan數≥4096，支持GVRP

7

QoS

優先級隊列調度：每端口支持≥8個優先級隊列，支持SP、WRR、SP+WRR三種隊列調度算法，支持WRED擁塞避免算法

8

SDN/openflow

支持openflow1.3標準，支持普通模式切換為openflow模式，保護用戶投資，降低總體擁有成本（TCO）。

9

★VxLAN

要求支持VxLAN技術，要求提供官方網站地址鏈接及截圖證明材料（蓋章有效）。

10

組播特性

支持GMRP、PIM-DM、PIM-SM、IGMP、IGMP Snooping等協議。

11

路由特性

支持靜態路由、RIP V1/V2、OSPF、BGP，IS-IS，提供策略路由功能。

12

可靠特性

支持OSPF/IS-IS/BGP GR，虛擬路由冗余協議（VRRP）、支持雙引擎負載分擔；

提供軟件熱補丁技術，實現設備軟件完全平滑升級；

13

資源自動編排

支持通過軟件實現物理設備的資源抽象化，通過軟件編排虛擬網絡資源，實現配置的自動化運維 。

14

★FC功能

支持FC SAN交換機或FCoE交換機，實現FC存儲陣列或FCoE存儲陣列的融合接入。保護用戶投資，降低總體擁有成本（TCO）；要求提供官方網站地址鏈接及截圖證明材料（蓋章有效）。

15

設備管理

SNMP V1/V2/V3；RMON 1/2/3/9；Syslog，SSHv2。

16

管理口

提供Console、USB管理口及帶外管理口，要求提供官方網站地址鏈接及截圖證明材料（蓋章有效）。

17

★單臺配置要求

提供≥48端口萬兆電，根據實際組網需求；要求所提供接口至少分布在兩塊業務板上。

提供≥48端口萬兆光，提供≥8端口40G光。

同時支持MACsec硬件加密功能，包括用戶數據加密、數據幀完整性檢查及數據源真實性校驗；保證服務器與用戶之間交換數據的安全性(要求提供官方網站截圖證明材料（蓋章有效）)。

配置4塊QSFP+ 40G多模模塊,配置24塊萬兆多模光模塊。

配置可插拔雙電源、可插拔雙風扇。

18

★品牌

為保證系統兼容性及統一管理，要求與核心交換機同一品牌。

19

★資質認證

提供工信部入網許可證復印件，入網證上申請單位與生產企業必須為同一廠商，保證該產品非OEM產品。

序號

規格

參數指標

1

設備數量

11臺

2

★品牌要求

為保證系統兼容性及統一管理，要求與核心交換機同一品牌

3

★交換容量

≥256Gbps。

4

★包轉發率

≥130Mpps。

5

★要求配置

≥48個10/100/1000Base-T以太網端口，固化4個萬兆SFP +端口；每臺配置2塊萬兆多模模塊。

6

虛擬化技術

支持虛擬化技術，可實現多臺同型號匯聚虛擬成一臺邏輯匯聚，該邏輯匯聚具有統一的轉發表項，統一的管理地址。

7

路由協議

支持IPv4/IPv6雙協議棧；支持靜態路由；持RIPv1/v2/ng，OSPFv2/v3，IS-ISv4/v6，BGP-4；支持等價路由；支持策略路由；為保證IPv6的性能和可用性。

8

SDN功能

支持OpenFlow 1.3，要求提供官方網站地址鏈接及截圖證明材料（蓋章有效）。

9

VLAN特性

支持基于端口的VLAN，支持基于MAC的VLAN；最大VLAN數≥4094。

10

路由特性

支持靜態路由、RIP V1/V2、OSPF、BGP等協議。

11

鏡像功能

支持本地端口鏡像和遠程端口鏡像RSPAN,支持流鏡像

12

管理和維護

支持SNMP V1/V2/V3、RMON、SSHV2；支持通過命令行、Web、中文圖形化配置軟件等方式進行配置和管理；支持電纜檢測功能；支持單向鏈路檢測協議；支持端口環回檢測。

13

★綠色節能

支持802.3az能效以太網EEE， 提供第三方權威測試報告。

端口在一段時間內狀態始終為down，則系統自動停止對該接口供電，自動進入節能模式；要求提供官方網站地址鏈接及截圖證明材料（蓋章有效）。

14

★資質認證

提供工信部入網許可證；入網證上申請單位與生產企業必須為同一廠商，以保證該產品非OEM產品。

序號

規格

指標參數

1

★語言支持

中文

2

★瀏覽器支持

Chrome 27及以上，IE 8~11，Mozilla Firefox 31

3

平滑升級

支持ISSU平滑升級

4

應用管理

APP加載和卸載、APP啟動和停止

5

備份恢復

支持導出備份文件，支持導入備份文件來恢復配置

6

★控制器License管理

本次配置25個節點設備授權控制，遠程license Server、本地License兼容

7

控制器組網能力

集群控制器數目≥32。

8

控制器集群能力

控制OpenFlow設備數≥25K，虛擬機數目≥200K

9

★控制器信息

提供控制器集群信息 (包含：控制器名稱、IP、優先級、集群網卡、狀態等信息) 截圖證明（蓋章有效）。

10

集群

雙機熱備模式，創建集群、刪除集群、修改集群、集群Leader選舉

11

南向協議

OpenFlow 1.3、Netconf、OVS-DB

12

網元管理

物理網元：VxLAN L2 GW、VxLAN L3 GW

網關組：多個網關設備相互備份和負載分擔，可增強業務處理能力和提高可靠性

NFV網元：VSR、VFW

13

★vSwitch接入

支持VMware虛擬化平臺

支持KVM虛擬化平臺

支持多計算域

支持主機老化及老化時間可配置

支持端口組

14

物理VxLAN L2 GW接入

支持將虛擬化服務器和非虛擬化服務器接入VxLAN網絡

15

ARP

ARP代答，減少網絡中的泛洪

16

DHCP

支持DHCP，自動分配IP地址

17

虛擬網絡

虛擬網絡和子網、虛擬路由器、虛擬端口、外部網絡；

靜態路由，按照默認路由器配置的靜態路由生成子網；綁定網關、vSwitch端口鏡像；基于端口的網絡策略和安全策略、支持流轉發模式和MAC轉發模式

18

★服務鏈

支持port，subnet，network、any、external等IP流量特征，提供創建服務鏈功能截圖證明（蓋章有效）

19

日志

支持5種系統日志級別：info、warning 、error、serious、critical；日志查看、搜索、同步

20

Overlay鏈路診斷

端到端連通性診斷、分段連通性診斷

21

OpenFlow跟蹤

指定Openflow設備IP，抓取控制器與指定openflow設備交互的openflow報文

22

配置向導

控制器、虛擬網絡、網絡服務配置向導

23

信息查看

概覽顯示SDN網絡中虛擬網絡、控制器的概要信息，以及相關的日志、告警等統計信息

24

★統計信息展示

包括設備狀態、設備型號、IP地址、實例數量，版本號的展示；提供截圖證明（蓋章有效）。

25

★流表管理

提供流表查看功能，流表ID、流表項數量、及當前流表影響的實例信息；提供截圖證明（蓋章有效）。

26

資質認證

制造商提供軟件成熟度CMMI4證書(認證公司名稱須與制造商名稱一致)

27

★品牌要求

為保證系統兼容性及統一管理，要求與核心交換機同一品牌

序號

規格

指標參數

1

設備數量

1臺

2

硬件指標

系統應為機架式獨立IPS硬件設備，全內置封閉式結構，具有完全自主知識產權的專用安全操作系統，穩定可靠。

2U，含交流冗余電源模塊，2*USB接口，1*RJ45串口，2*GE管理口，4個接口擴展槽位，默認支持一路鏈路防護，可支持擴展4/8個千兆SFP插槽以及4/8個接口模塊，最多可支持32個千兆接口，最多可支持16對ByPass電口。

3

★性能指標

整機吞吐量：2.5Gbps

最大并發TCP會話數：不小于450萬

時延(us) ：< 40 µs

特征庫條數：6800以上

4

防護能力

準確識別各種黑客入侵，為用戶提供2~7層深度入侵防御

5

★攻擊特征庫

系統攜帶的攻擊特征庫須獲得CVE-Compatible兼容性認證， 需提供投標產品相應證明資料并加蓋原廠商公章。

系統應提供覆蓋廣泛的攻擊特征庫，可針對網絡病毒、蠕蟲、間諜軟件、木馬后門、掃描探測、暴力破解等惡意流量進行檢測和阻斷，攻擊特征庫數量至少為6400種以上。需提供投標產品相應功能截圖并加蓋原廠商公章。

6

SCADA等工控協議

支持基于SCADA等工控協議的相關漏洞攻擊檢測與防護。需提供投標產品相應功能截圖并加蓋原廠商公章。

7

Web信譽機制

系統應提供Web信譽機制，在用戶訪問被植入木馬的頁面時，給予及時報警和阻斷，能夠有效抵御We安全威脅滲入內網。 需提供投標產品相應功能截圖并加蓋原廠商公章。

8

防僵尸網絡功能

系統應具備防僵尸網絡功能，從而提高整體安全防護能力， 需提供投標產品相應功能截圖并加蓋原廠商公章。

9

服務器異常告警功能

系統應提供服務器異常告警功能，可以自學習服務器正常工作行為，并以此為基線檢測處服務器非法外聯行為。需提供投標產品相應功能截圖并加蓋原廠商公章。

10

敏感數據保護功能

系統應提供敏感數據保護功能，能夠識別、阻斷通過自身的敏感數據信息（身份證號、銀行卡、手機號等）。需提供投標產品相應功能截圖并加蓋原廠商公章。

11

文件保護功能

系統應提供關鍵文件保護功能，能夠識別、阻斷通過自身的關鍵文件，以防止非法外傳行為。需提供投標產品相應功能截圖并加蓋原廠商公章。

12

應用層安全威脅

有效抵御多種常見的應用層安全威脅；具備零日攻擊防護能力，保護用戶避免遭受新的安全威脅；提供入侵行為和應用軟件特征的自定義接口，可根據用戶需求定制對其它流量的檢測和阻斷規則。

13

SQL注入防

提供SQL注入防護功能，可設置SQL注入白名單，將不需要防護的服務器的URL添加進SQL注入白名單。  需提供投標產品相應功能截圖并加蓋原廠商公章。

14

防病毒模塊

支持防病毒模塊，可通過防病毒擴展模塊實現。實現基于特征掃描和啟發式掃描技術針對HTTP、SMTP、 POP3、 IMAP、FTP、IM等多種協議的病毒流量監測和控制。

15

流量管理

系統應提供靈活的流量管理功能，可以根據用戶、應用、目的IP地址、時間及帶寬等因素，實現基于應用、面向對象的流量保護策略。

16

部署能力

支持透明（Layer2）、路由（Layer3）、監聽（Monitor）、直通（Direct）和管理（Mgt）五種安全區模式，能夠快速部署在各種網絡環境中;

系統應提供規則模板，減少配置工作量，提高部署效率。

17

攻擊響應

系統應提供豐富的響應方式，包括會話阻斷、IP隔離、郵件通知等功能。需提供投標產品相應功能截圖并加蓋原廠商公章。

18

網絡適應能力

系統須支持IPv6/IPv4雙協議棧功能，支持多種隧道模式，確保IPv6過渡時代的網絡通暢，為IPv6環境提供入侵防護。需提供投標產品相應功能截圖并加蓋原廠商公章。

19

產品資質

具有《計算機信息系統安全專用產品銷售許可證》

具有《計算機軟件著作權登記證》

投標產品具有《國家信息安全測評信息技術產品安全測評證書》（千兆），并獲得EAL3級別，提供有效證書的復印件，并加蓋原廠商公章。                     

具有《涉密信息系統產品檢測證書》

★為保證產品安全可靠性，要求投標產品通過NSS Labs 高級別認證。

投標產品應該是被廣泛應用的成熟產品，在國內市場市場占有率排名不應低于前3名。須提供知名第三方機構（如IDC、Frost&Sullivan）出具的市場占有率排名有效證明材料并加蓋原廠商公章。

20

服務保障

要求生產廠商在深圳本地有服務團隊，對安全應急事件可提供隨時技術支持保障。

序號

項目

具體要求

1

規格和性能

設備數量：1臺

配置6個10/100/1000BASE-TX端口、4個SFP插槽及2個SFP+插槽;共6路IPS,其中4個電口支持硬件Bypass。

★整機吞吐量：10Gbps;滿檢IPS吞吐4000M（加載全部入侵檢測規則的http get 32k吞吐，且在最大吞吐下可以100%檢測出所有攻擊事件）。

并發連接：230萬，新建連接：10萬/秒（加載所有入侵檢測規則的http get 1k）

★內置SSD固態硬盤存儲日志、報表、取證報文。

2

設備部署

要求支持直連、路由、VLAN、旁路監聽、混合部署等多種接入模式。

★要求支持多端口鏈路聚合。(提供截圖)

要求支持基于源/目的地址、接口的策略路由。

要求支持VLAN、MPLS、PPPoE網絡，能夠在該網絡環境中檢測出攻擊事件。

★要求支持IPv6、IPv6 over IPv4、IPv6和IPv4混合網絡，能夠在該網絡環境中檢測出攻擊事件。(提供截圖)

3

規則庫

要求攻擊規則庫、應用識別規則庫、URL過濾庫、病毒庫單獨分開，可支持手動、自動、以及離線升級。

4

入侵

檢測

能力

系統應具備：融合模式匹配、協議分析、異常檢測、會話關聯分析，逃逸等多種技術，準確識別入侵攻擊行為，為用戶提供2~7層深度入侵防御。

要求支持丟棄報文、記錄日志、禁止連接、TCP reset結束TCP會話等多種響應動作，

要求支持自定義攻擊檢測規則。

要求支持黑名單，將攻擊源加入黑名單，一段時間內禁止訪問

要求支持攻擊報文取證功能，檢測到攻擊事件后將原始報文完整記錄下來，作為電子證據。

★支持topsec聯動協議，和現網防火墻進行聯動阻斷。

★應涵蓋廣泛的攻擊特征庫、能夠針對3500種以上攻擊的攻擊行為、異常事件，以及網絡資源濫用流量，進行檢測和防御。(提供截圖)

要求能夠檢測包括溢出攻擊類、RPC攻擊類、WEBCGI攻擊類、拒絕服務類、木馬類、蠕蟲類、掃描類、網絡訪問類、HTTP攻擊類、系統漏洞類等在內的超過3500種攻擊事件

5

URL過濾

系統應具備獨立的URL檢測過濾引擎。

支持黑白名單，精確匹配和模糊匹配

支持阻斷、URL重定向、返回默認頁面、返回自定義頁面等多種動作。

支持惡意網站、違反國家政策法規、潛在不安全、浪費帶寬、大眾興趣、多種論壇、行業、計算機技術、等多種分類的URL過濾。

支持URL地址分類庫，超過600萬種。

6

DDOS防御功能

系統應支持獨立的DDOS檢測、阻斷、自學習的能力。

★支持檢測包括land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof、Synflood、Icmpflood、Udpflood、Portscan、ipsweep等在內的DOS/DDOS攻擊。（提供截圖）

支持DHCP flood、DNS Flood、CC攻擊防御。

★支持主機并發連接數和半連接數的限制。（提供截圖）

★支持DDOS 機器人自學習功能，學習時間可設置。（提供截圖）

7

應用管控功能

根據數據內容而非端口智能識別包括P2P（迅雷,FlashGet）、即時通訊、流媒體、股票交易、網絡游戲、網絡電視等在內的超過150種應用。

系統應支持靈活的應用管理策略配置功能，實現基于主機地址、區域、時間、應用等多維度的全面、細致監控。

支持對應用協議的阻斷和流量管控以及記錄應用日志。

支持協議自定義功能。

8

無線防御

（授權擴展）

要求支持無線自動掃描分組

要求支持檢測并阻斷Ad-hoc（簡單互聯）、非法外連、非法內聯

要求支持能檢測并阻斷釣魚攻擊、無線代理攻擊。

要求支持無線安全區，對區域內的WIFI接入進行屏蔽、檢測無線AP風險配置

9

增值功能

支持WEB站點漏洞掃描功能，內置爬蟲、支持關鍵字自學習和HTML分析。

支持網頁防篡改功能（不需要在WEB服務器上裝載任何軟件）。

NAT、IP/MAC綁定功能。

支持雙機熱備。

10

日志和報表系統

★系統應支持多種形式的日志存儲,本地存儲、發送至日志服務器、本地日志服務器雙存儲、自動方式判斷日志服務器狀態自動決定日志的記錄方式。（提供截圖）

系統應提供基于告警級別、時間、IP地址、事件類型、等條件的日志檢索功能，具備日志導出備份、清除功能。

系統應具備日志歸并功能，避免日志風暴。

系統應支持支持生成日報、周報、月報。

系統應提供報表定時自動發送。

系統應提供全方位的包含管理、系統、策略、安全、流量等告警。

系統應提供郵件、聲音、snmp多形式的告警方式。

★將日志發送給同品牌的soc系統進行多設備深度關聯分析，發現威脅事件的源頭（提供日志轉發截圖和soc系統支持截圖）

11

管理監控

系統支持web、命令行等多形式靈活安全策略配置。

支持B/S或C/S管理模式，可實現多級部署。

支持SNMP 的v1 、v2 、v2c 、v3版本。

支持規則庫手動、自動更新

應支持系統資源監視。

應支持web頁面的實時顯示攻擊事件。

★應支持設備溫度監視以及報警，可以自定義溫度閥值。

應支持實時查看網絡流量/攻擊狀況。

應支持基于主機、區域的攻擊與被攻擊的統計顯示。

應支持基于協議的應用識別統計監控。

應支持基于web類型分類的控制監控。

★為了實時了解系統資源的使用情況，支持同品牌soc系統對資源的統一監控（提供轉發截圖和soc系統支持截圖）

12

資質要求

★具備《計算機信息系統安全專用產品銷售許可證》(萬兆)（下一代互聯網專項）

★具備《國家信息安全測評信息技術產品安全測評證書》EAL3級（萬兆）

★具備CVE CompatibilityCertificate證書

具備IPv6支持證書，具備軍用產品認證證書

具備ISCCC產品認證證書

★具備ISCCC信息安全服務資質認證證書風險評估一級資質

★具備中國國家信息安全漏洞庫（CNNVD）技術支撐單位一級資質

★具備國家級網絡安全應急服務支撐單位證書

★具備國家信息安全測評信息安全服務資質證書安全工程類二級資質

★中國信息安全測評中心《國家信息安全測評授權培訓機構資質證書》

★具備TL9000資質

具備信息安全管理體系27001資質

具備涉及國家秘密的計算機信息系統集成甲級資質

具備計算機信息系統集成二級或更高級別資質

具備信息安全等級保護安全建設服務機構能力評估合格證書

序號

規格

參數指標

1

設備數量

2臺

2

★硬件要求

標準2U機架設備；標配8個千兆電口，4個千兆光口，并含2個高速USB2.0接口，1個RJ45串口

3

★設備性能

吞吐量≥20Gbps

并發連接數≥8,000,000

每秒新建連接數≥250,000

4

部署方式

支持網關模式，支持NAT、路由轉發、DHCP等功能；支持網橋模式，以透明方式串接在網絡中；支持同時開啟網關和網橋模式。

5

★抗攻擊特性

設備必須內置病毒庫、URL庫、IPS特征庫、軟件優化庫、應用識別庫、WEB應用防護庫、數據泄密防護庫、僵尸網絡識別庫、實時漏洞分析識別庫、WEB掃描器規則庫，并且支持在線自動升級(需提供相關功能截圖證明)；

web攻擊特征庫/IPS特征庫應每月至少更新兩次（要求提供官網最近1年內的截圖證明）

6

IPS入侵防護

內置獨立IPS特征庫，特征庫總數 3400條以上；

內置實時漏洞分析特征庫，特征庫總數700條以上

7

★防火墻功能

支持多種NAT ALG，包括DNS、FTP、H.323、SIP等；支持提供靜態的包過濾和動態包過濾功能；支持ARP欺騙攻擊防范、ARP主動反向查詢、TCP報文標志位不合法攻擊防范、支持IP SYN速度限制、超大ICMP報文攻擊防范、地址/端口掃描的防范、DoS/DDoS攻擊防范、ICMP重定向或不可達報文控制等功能，支持靜態和動態黑名單功能、MAC和IP綁定功能；

必須支持基于應用制定策略路由的智能選路功能(需提供相關功能截圖證明)

8

★服務器防護

內置獨立WEB應用防護識別庫，WEB應用防護識別庫規則總數在2500條以上

支持OWASP定義10大web安全威脅，保護服務器免受基于Web應用的攻擊；支持Web網站隱藏、FTP服務應用信息隱藏和 URL過濾

支持管理員頁面、管理后臺的短信強認證機制(需提供相關功能截圖證明)

9

★網頁篡改防護

支持網關型網頁防篡改，無需在服務器中安裝任何插件，全面保護網站的靜態網頁和動態網頁；

報警方式，支持短信報警、郵件報警、控制臺報警等多種篡改報警方式(需提供相關功能截圖證明)

10

病毒防護

病毒引擎，基于流引擎查毒技術，可以針對HTTP、FTP、SMTP、POP3等協議進行查殺。

11

敏感信息防泄漏

可定義的敏感信息，內置常見敏感信息的特征，且可自定義敏感信息特征，如用戶名、密碼、郵箱、身份證信息、MD5密碼等。

12

IPSec VPN功能

總部與分支有多條線路，可在線路間一一進行IPSecVPN隧道建立，并設置主隧道及備份隧道，對主隧道可進行帶寬疊加、按包或會話進行流量平均分配，主隧道斷開備份隧道自動啟用，保證IPSecVPN連接不中斷；可為每一分支單獨設置不同的多線路策略；單臂部署下同樣支持多線路策略（必須提供自主知識產權證明，加蓋廠商公章）。

13

★風險評估

支持web弱點掃描功能，可掃描WEB網站sql注入、xss、csrf、目錄遍歷、文件包含、命令執行等腳本漏洞

支持實時漏洞檢測分析，通過旁路部署流量鏡像，檢測主要業務系統安全漏洞(需提供相關功能截圖證明)

風險評估可以實現與IPS、服務器防護模塊的智能策略聯動，自動生成策略(需提供相關功能截圖證明)

支持APT檢測功能，防范APT間諜攻擊行為，內置獨立僵尸網絡識別庫、識別庫總數超過11萬條

14

日志與報表系統

設備必須支持內置數據中心；支持DOS攻擊、web防護、IPS、病毒、web威脅、網站訪問、應用控制、用戶登錄、系統操作等多種安全日志查詢；

提供遭受攻擊最多服務器、攻擊類型分布、攻擊最多來源IP、服務器安全說明、服務器安全分析等內容服務器安全報表(需提供相關功能截圖證明)

15

廠商資質

國家規劃布局重點軟件企業和國家級高新技術企業證書

具有國密辦商用密碼產品生產定點單位證書

售后服務體系通過ISO9001認證

網絡安全應急服務支撐單位證書（省級）和CMMI L3認證證書

廠商具有專業安全研究團隊，是微軟MAPP（Microsoft Active Protections Program）項目合作伙伴

16

★產品資質

產品應具備公安部銷售許可證

產品應具備ISCCC中國國家信息安全產品認證證書

產品應具備軟件著作權登記證書

產品具備CVE兼容性認證證書和OWASP web防火墻認證證書

序號

項目

項目具體說明

1

服務期限

合同簽訂后一年內開展一次

2

服務范圍及方式

服務范圍：一個系統（門戶網站系統）

服務方式：現場+遠程

3

工作內容

制定掃描策略

源代碼掃描審計

    根據業務需求，周期性或按需地對系統進行源代碼掃描工作。進行白盒掃描審計，采用自動靜態分析技術掃描某個應用程序的源代碼，通過甄別和定位可能存在的薄弱環節數量，以驗證該應用程序完整性。對于不能提供源代碼的系統，或者已經成形的系統版本，進行黑盒測試，模擬用戶操作行為，在與軟件系統上線使用環境相同的情況下，通過輸入數據與輸出數據的對應關系出發，對目前主流的安全漏洞進行檢測和驗證，客觀全面地發現軟件系統自身的安全隱患。

掃描結果分析

   主要內容包括但不限于：

分析業務流程中是否存在可被繞開的漏洞；分析系統源代碼中是否有一般性的漏洞類型；分析系統源代碼中是否有因開放給管理員或用戶而導致的隱蔽漏洞；

給出加固解決方案并跟蹤整改；對代碼中不符合安全規范的部分進行規范；對今后代碼編寫的安全措施給出指導意見。

日常服務支撐與培訓

主要包括：針對在代碼審計工作中發現的漏洞，梳理其檢測方法及加固方案，構建漏洞知識庫；提供信息安全技術、安全評估工具的相關培訓；定期提供信息安全業界的最新漏洞信息及防護措施，并提供相應的檢測與修復；參與評審應急預案及重大故障解決方案。

4

項目團隊要求

應該具有在業界有一定影響力的安全研究團隊，以證明在安全漏洞的研究和發現方面具備足夠的能力，確保通過代碼審核能夠發現問題、驗證問題并給出解決辦法。

代碼審計實施人員需具備駐點服務的能力，資質經驗方面應達到以下要求（注：以下角色不可同時擔任）：

 項目負責人***

     項目負責人至少擁有項目管理證書PMP認證；項目負責人***

工程師（項目團隊成員）（不少于6人），至少滿足以下條件：具有2年安全行業工作經驗；至少有兩名技術人員獲得CISSP、CISA、CISM、CISP其中之一的認證；具備本科及以上學歷；必須有漏洞挖掘經驗，并具有相應成果；具有源代碼審計工具開發經驗，理解代碼檢測的機理、常用手段、各種算法的優劣，以確保能夠更好的理解和使用工具，明確工具的不足之處；對黑客攻擊手段有深入的了解和經驗，熟練掌握黑客的攻擊手段；有源代碼安全審計項目實施經驗。

案例經驗要求

2012年1月1日至今有從事信息安全開發、維護服務、代碼安全審計類項目的合同，合同累計金額不少于100萬，須提供項目合同復印件。

7

審計工具要求

乙方應具備本服務所需的、在國內外具有領先技術水平的相關商業工具，以保證審核結果具有相當的質量，同時要求所持有的工具能夠覆蓋被審核代碼所涉及到的編程語言以及編譯器。本次項目推薦但不限于使用Fortify工具，且對工具的使用行為必須符合中國知識產權相關法律法規要求。

8

時間進度要求

    在合同簽訂后的兩個工作日內，召開項目啟動會；三個工作日內，項目經理和技術總負責人***

    提供及時的7*24小時的遠程支撐服務。項目過程中發生緊急情況（如網絡策略不通，或者系統出現重大故障等）時，要求半小時內電話響應，兩小時內到達現場技術支撐，三個工作日內提交故障分析報告。

9

解決方案及規范要求

乙方在審核結束后應能夠針對發現的問題提供技術解決方案，并提供對相關開發人員進行指導的安全編程規范。

本項目實施過程中審計環境搭建及工具安裝所需的硬件設備、操作系統等由乙方負責。

10

項目交付要求

乙方須詳細列舉在工程進展的各個階段提交的文件，包括文件名稱、格式、內容說明。施工過程中，乙方應根據甲方的需求提交相應的文檔資料，包括但不局限于：項目管理、實施方案、審計分析報告、工程培訓、項目驗收、風險規避方案以及乙方人力資源組織方案等。乙方負責建立并向甲方提交工程文檔。

乙方在每階段服務提供的成果應至少包括以下內容：審計計劃、掃描結果原始數據、分析報告、不同類型問題的具體分析（包括風險等級描述）、加固方案與改進建議、跟蹤情況、漏洞知識庫。

序號

項目

項目具體說明

1

服務期限

合同簽訂后一年內，開展一次。

2

范圍及方式

服務范圍：8個系統，服務方式：遠程+現場

3

工作內容

測試漏洞類型包含但不限于：系統漏洞、弱口令、STRUTS2、上傳漏洞、溢出漏洞、信息泄露、SQL注入、XSS跨站等；

信息收集、分析：客戶提供該部分主要來源于客戶所提供的一些實際網絡結構，安全等級制度等一系列的已有的安全體制。

工具掃描：   該部分主要利用一系列現有的安全產品或黑客工具對目標網絡進行全方位的安全掃描，其中包括服務，端口等其他，使用的工具包括：iS-One LinkTrust Internet Scanner、Nessus Scanner、Nmap、SnmpScanner等。

工程師智能判斷

  利用滲透測試團隊工程師多年來積累的網絡安全經驗，對目標主機進行信息收集和分析。

本地掃描：   為了能更好的滲透其網絡的安全性，在客戶允許的范圍內對本地進行實地掃描。通過短時間的模擬攻擊掃描結合客戶提供的詳細情況，迅速尋找出目標網絡中的薄弱環節，保證了制定的滲透測試方案的整體效率。

制訂滲透測試方案并實施：此階段中，滲透測試團隊滲透測試小組根據第一階段獲得的信息對網絡、系統進行滲透測試。此階段如果成功的話，可能獲得普通權限或超級管理員權限。

前段信息匯總、分析：此階段中，滲透測試團隊滲透測試小組進行信息分析，篩選出有效信息，用于下一階段的權限提升。

權限提升、內部滲透

    滲透測試團隊科技滲透測試小組嘗試由普通權限提升為管理員權限，獲得對系統的完全控制權。并利用各種黑客手段嘗試滲透邏輯相聯的設備，獲取盡可能多的設備控制權。

滲透結果總結：滲透測試團隊白客滲透測試小組對上述步驟的輸出結果進行總結，評估滲透成果，判斷是否繼續進行滲透測試。

輸出滲透測試報告

    報告將詳細列出所有使用過的攻擊技術手段，并對實際攻擊結果給出詳細的列表，對一些無法在短時間內進行判斷的潛在安全或一些可能存在的安全隱患將做詳細的分析介紹。同時將根據具體的情況對同網絡內的其他目標做一個簡單的測試，如有薄弱環節將同樣在報告內指出。

制定詳細的安全解決方案

全部滲透完成后將結合滲透測試報告和實際情況給出一個具有針對性的安全解決方案。

測試途徑： 滲透測試過程中，我們將會模擬威脅級別比較高的威脅源進行滲透測試，有效的發現系統深層次的安全隱患

4

項目團隊要求

乙方應該具有在業界有一定影響力的安全研究團隊，以證明在安全漏洞的研究和發現方面具備足夠的能力，確保通過滲透測試能夠發現問題、驗證問題并給出解決辦法。

需具備駐點服務的能力，即若業務發展需要，應答方整個支撐團隊可以按照要求在一個月內實現客戶現場駐點辦公。

乙方滲透測試實施人員資質經驗方面應達到以下要求（注：以下角色不可同時擔任）：

項目負責人***

項目負責人至少擁有項目管理證書PMP認證；項目負責人***

5

案例經驗要求

2012年1月1日至今有滲透測試、漏洞掃描、風險評估等安全服務項目的合同，合同累計金額不少于1500萬，須提供項目合同復印件。

6

滲透工具要求

乙方應具備本服務所需的、在國內外具有領先技術水平的相關商業工具，以保證安全掃描結果具有相當的質量，同時要求所持有的工具能夠覆蓋被檢查系統的全部檢查層面（包括：系統層、應用層、數據庫層、中間件、網絡設備、防火墻）。

本次項目要求乙方具有至少一款具有自主知識產權的掃描產品（系統掃描、應用掃描不限），并能提供多種工具進行綜合掃描，確保掃描結果盡可能全面。

7

時間進度要求

項目總體進度要求

    在合同簽訂后的兩個工作日內，召開項目啟動會；三個工作日內，項目經理和技術總負責人***

    服務結束后，梳理和匯總年度項目成果，分析和評估項目效益，完成年度項目總結。

8

解決方案及規范要求

乙方在滲透測試結束后應能夠針對發現的問題提供技術解決方案，并提供對漏洞加固咨詢。

本項目實施過程中境搭建及工具安裝所需的硬件設備、操作系統等由乙方負責。

9

項目交付要求

乙方須詳細列舉在工程進展的各個階段提交的文件，包括文件名稱、格式、內容說明。施工過程中，乙方應根據甲方的需求提交相應的文檔資料，包括但不局限于：項目管理、實施方案、滲透測試報告、工程培訓、項目驗收、風險規避方案以及乙方人力資源組織方案等。乙方負責建立并向甲方提交工程文檔。

乙方在每階段服務提供的成果應至少包括以下內容：滲透測試計劃、掃描

結果原始數據、分析報告、不同類型漏洞的具體分析（包括風險等級描述）、加固方案與改進建議、跟蹤情況、漏洞知識庫。

序號

規格

參數指標

1

設備數量

2臺

2

★硬件要求

i5-5200U/主頻2.2GHz睿頻至2.7GHz/3M/

雙核4GB/DDR3L-1600MHz/

插槽數2 x SO-DIMM最大支持容量16G/500GB+16GBSSD/獨立顯卡NVIDIA GeForce 940M獨立1GB/14英寸LED背光/局域網10/100/1000Mbps/

耳機、麥克風二合一接口/

720P攝像頭/

全尺寸鍵盤/

USB3.0 3個/內置揚聲器/100-240V自適應交流電源適配器/Windows 7/三年保修及上門服務年

序號

評分項

權重

1

價格

30

2

技術部分

57

序號

評分因素

權重

評分方式

評分準則

1

技術保障措施

3

專家打分

考察內容：

在投標文件中詳細說明針對本項目的設計、實施方案和保障措施，評標委員會根據響應情況進行橫向比較，按優81-100分，良61-80分，中31-60分，差0分打分。

2

交貨期（完工期）

2

專家打分

在投標文件中詳細說明交貨期（完工期），評標委員會根據響應情況進行橫向比較，按優81-100分，良61-80分，中31-60分，差0分打分。

3

售后服務承諾

12

專家打分

1、評標委員會根據投標人提供的生產廠商針對本項目的配置及售后服務承諾函情況進行打分，對要求原廠保修的4類設備（交換機、負載均衡、入侵防護、出口防火墻），每提供一類原廠商針對本項目的配置及售后服務承諾函得10分，滿分40分；

2、項目經理具備PMP(項目管理師)和任意一項信息安全資質認證（CCIE、CIW、CISP、CISSP）。（需提供廣東地區社保證明，且項目實施中項目經理必須為投標文件中指定的項目經理）,得30分；

3、投標人為本項目配備的項目組成員至少有兩人具備CISP、CISSP、CISA、CIW、CCIE資質中的2項，得30分。

投標人須提供售后承諾函和計分人員的認證證書掃描件，原件備查。評分中出現無證明資料或專家無法憑所提供資料判斷是否得分的情況，一律作不得分處理。

4

技術響應情況

40

專家評分

投標人須如實填寫《技術規格偏離表》，評標委員會根據技術需求參數響應情況進行評判，各項技術參數指標及要求全部滿足的得100分；帶“★”號的參數為重要參數，每項負偏離扣10分，其他參數為一般參數，每項負偏離扣5分，扣完為止。

投標人需按招標文件要求提供相關證明資料，提供的資料包括生產廠商證明函或產品彩頁或網站截圖及網址等（均需原廠加蓋公章），未提供加蓋生產廠商公章的證明資料或專家無法憑所提供資料判斷是否得分的情況，評標委員會有權認定為負偏離。

3

綜合實力部分

5

序號

評分因素

權重

評分方式

評分準則

1

投標人近三年同類業績

2

專家評分

投標人的近三年同類業績情況：

1、擁有政府部門專業信息安全集成項目且涉及本項目部分同類采購設備的合同案例，每提供1個同類業績即得10分，滿分70分；

2、擁有廣州、深圳地區單個純安服項目合同額大于100萬的案例，每提供1個即得10分，滿分30分，未提供的不得分。

投標人必須在投標文件中提供每一個完工項目的合同和驗收報告，否則不得分。評分中出現無證明資料或專家無法憑所提供資料判斷是否得分的情況，一律作不得分處理。

2

社保情況

1

專家評分

請投標人提供本項目實施人員近三個月社保證明書（以社保繳納清單為準）掃描件，原件備查。根據總人數評分：優81-100分，良61-80分，中31-60分，差0分打分。評分中出現無證明資料或專家無法憑所提供資料判斷是否得分的情況，一律作不得分處理。

3

納稅情況

1

專家評分

請投標人提供由稅務部門出具的近一年度納稅證明掃描件，原件備查。根據納稅總金額評分：優81-100分；良61-80分；中31-60；差0分。評分中出現無證明資料或專家無法憑所提供資料判斷是否得分的情況，一律作不得分處理。

4

獎勵、獎項、資質、資格

1

專家評分

根據投標人具備以下資質證書評分：

（1）國家級應急響應資質（有效時限必須至2017年以后）；

（2）涉及國家秘密的計算機信息系統集成資質證書，級別甲級；

（3）通信網絡安全服務能力評定證書-安全設計與集成 級別一級；

（4）CISSP及CISP 國方認證培訓機構；

（5）TL9000資質；

（6）信息安全管理體系27001資質。

投標人以上6項資質證書全具備的得滿分100分，具備3項證書或以上得50分，具備2項證書得20分。

4

供應商社會責任

8

序號

評分因素

權重

評分方式

評分準則

1

公益慈善

1

專家評分

提供近3年社會公益慈善和見義勇為情況證明材料，未提供的不得分。

2

不良行為記錄

1

專家評分

深圳企業信用網和政府采購行政處罰記錄查詢企業不良記錄，有不良記錄的不得分，沒有不良記錄的得滿分。

3

履約評價

3

專家評分

根據投標人提交的履約評價資料打分。優得100分，良得80分，中的60分，差的0分。未提供履約評價表的不得分。

4

環保執行情況

3

專家評分

近三年有一次受到環境主管部門處罰的得0分，無處罰的得滿分。投標人提交承諾函，未提供承諾的不得分。若虛假應標將被廢標并報主管部門處理。