通知公告
网络安全管理系统招标公告
招标编号:附一院招[2016]12号
为保证我院网络安全,确保全院医疗工作的正常开展消除安全隐患,拟购入网络安全管理系统。现根据清华大学第一附属医院《仪器设备购置及招标工作管理办法》及《医疗设备采购管理规定》等文件规定,对该产品和相关服务进行公开招标,诚邀合格投标人参与竞标。
1,产品名称及数量:网络安全管理系统。详见产品“技术规格及要求”。
2,投标截止时间:2016年12月13日(星期二)14:30
3,开标时间:2016年12月13日(星期二)14:30
4,开标、评标地点:清华大学第一附属医院第一会议室
联系人:张明奎 电话:64308362
张仁敏 电话:64308313
清华大学第一附属医院器械设备处
北京朝阳区酒仙桥一街坊6号
邮编:100016
投 标 须 知
(一)投标人
1,投标人必须具备独立法人资格,有独立承担民事责任的能力和足够的技术实力。
2,投标人必须遵守国家法律、行政法规,具有良好的信誉记录和相关的资质。
3,投标人生产或销售的产品必须符合中国政府规定的技术标准和环保标准。
4,投标人必须在国内有注册办公地点;为满足招标方对维修和售后服务的需求,在北京地区应有相应的办事机构及维修和售后服务队伍;维修服务要求及时、快捷、负责。
5, 投标人提供的产品必须是原装全新、具有中国有关部门注册、检验或商检及生产厂家质量合格证明的设备和产品。
6, 如投标人不同时为产品制造商,投标人须提供制造商出具的针对本次设备招标的投标授权书。
7, 投标人不得以任何方式干扰招标、开标、评标工作的正常进行;不遵守开标、评标秩序,或做出其它任何企图影响评标工作的行动的,将取消其参与评标的资格。
(二)投标文件的编制
1、 投标人应按招标文件的要求提供投标文件,所提供投标文件和资料与招标文件要求不符的,将导致废标。
2、 投标人应保证所提供的全部资料真实有效,凡投标内容中存在虚假、夸大、欺瞒、误导等不诚实情况的,一经查实,将取消其参与评标的资格;对于被宣布中标后方发现其投标文件中存在虚假内容的投标商,招标方有权撤销其中标资格。
3、 投标文件的书面内容不得涂抹或改写。
4、 投标文件中所使用的计量单位应采用国家法定计量单位。
5、 投标文件必须对招标文件中每一项技术和商务要求作出响应。投标人如在招标文件规定内容之外有更好的配置建议,可在投标文件中另辟章节阐述,费用不计入总报价内。
6、 在中标结果公布之前,投标文件的有效期为从投标截止起90天。如在投标文件有效期内完成评标并公布中标结果,则中标人的投标文件将延续其有效性,并成为正式合同的附件,除合同中另行规定的内容之外,具有与合同相等的法律效力。
(三)投标报价
1、 投标货币为人民币。设备投标价应为清华大学第一附属医院交货价,进口设备应包含相应税款。
2、 报价应为一揽子整体报价,即包含主设备、标准配置及附件、运输保险、安装调试、培训及售后服务等费用。
3、 报价单应列明投标设备的名称、型号、规格、制造厂商、产地、交货期、保修期等。
4、 设备报价单按单价、总价报价;设备的标准配件、选配件应为明细报价。
5、 如投标方案附带其它优惠条件,请在投标文件中列出。
6、 投标报价为一次性报价,投标人在开标之后如提出新的报价方案,将不能纳入评审的考虑范围。
7、 投标总价超过我院支付能力视为废标。
(四)投标文件的组成
1、 对投标文件的确认书或投标函
2、 投标报价清单(含备件)
3、 技术要求偏离表
4、 技术优势说明(陈述技术偏离表内容之外的其它技术特性)
5、 投标资质文件(复印件):
1) 公司介绍;
2) 营业执照;
3) 税务登记证;
4) 法人代表授权书;
5) 代理授权书(非生产厂家投标);
6、 设备宣传册及规格说明书
7、 生产厂家授权的专业售后服务机构证明及售后服务承诺
8、 使用同一型号产品的典型用户清单
10、投标人认为需要说明的其它事项
(五)投标文件的递交
1、 投标文件应包括正本1份,副本4份,副本为正本复印件,一旦正本与副本不一致,以正本的内容为准。
2、 投标文件的正本必须用不褪色的墨水填写或打印,封面注明“正本”字样。
3、 投标文件字迹潦草或表达不清所引起的后果由投标人负责。
4、 投标文件正本和副本应分别密封,并在封面注明投标单位、招标编号等,封口骑缝处应有法人代表或投标授权代表的签字及投标单位公章。
5、 投标文件正本要求投标单位法人代表或授权代表逐页签字并加盖公章(包括宣传彩页,但空白页除外),每有一处改动,均需同一人在改动处签字并加盖公章。
6、 投标文件不允许采用滑环穿孔式装订(为方便中标单位标书将来与合同合并装订),不按要求装订的投标文件将被退回。
7、 不按要求密封的或在投标截止时间以后送达的投标文件概不接收。
(六)开标
1、 招标人按招标文件规定的时间、地点公开开标。开标仪式由招标人主持,投标人派代表参加。
2、 开标时查验投标文件密封情况,确认无误后拆封唱标。
3、 招标人在开标仪式上将公布投标人的名称、投标货物名称、投标价格等,并对唱标内容进行记录。
(七)评标和定标
1、 招标人依法组织评标委员会,评标委员会由技术和经济专家、招标人代表等组成。评标委员会负责对投标文件进行评审,推荐中标候选人。
2、 投标人未按时参加有关会议,将承担其投标文件不被评审的风险。
3、 评标工作遵循国家有关法律法规进行,切实保护采购人的合法利益,客观、公平、公正地对待所有投标人。
4、 招标文件和投标文件作为评标的基本依据。对投标的判定只依据投标文件内容,开标后的任何外来证明均不予考虑。
5、 符合性检查包括:
1) 内容是否完整,是否符合招标文件的要求。对密封、签名、公章未按规定办理、或目录和内容未满足招标文件要求的投标文件,将视为无效投标。
2) 与招标文件有重大偏离的投标文件将被拒绝。重大偏离系指投标货物的质量、数量及交货期明显不能满足招标文件的要求(如带“*”号的条款不能满足)。这些偏离不允许在开标后修正。但招标人将允许修改投标中不构成重大偏离的、微小的、非正规的、不细致或不规则的地方,如明显的文字和计算错误等。
在通过符合性检查的前提下,投标人要参加评标委员会组织的现场质询。评标委员会将对投标的技术规格、产品价格、产品品牌及信誉、公司资质及服务和其它商务评价标准的量化结果进行加权,计算出每一投标的综合评估分。
综合评标总分100分,其中价格40分、技术45分、服务与承诺10分、资质和案例5分。评审时对价格和技术进行分阶段评审,在技术、资质、服务等项目评审结束前暂不向评委公布投标人的报价和得分。
(1)投标报价分=40×(最低价/投标价)。
(2)技术满分为45分,其中技术指标满分40分,符合招标文件技术要求的为32分,高于或低于招标文件要求的,由专家自行打分,但要说明具体技术条款及招标文件和投标文件相应的指标值,低于25分的要附详细评审意见;总体综合性能评价5分,由专家自行打分,低于3分的要说明理由。
(3)服务与承诺10分,其中免费保修为4分,满足招标文件要求的为3分,高于或低于招标文件要求的,由专家自行打分;服务质量为6分,由专家自行打分,低于4分的要说明理由。
(4)资质和案例为5分,由专家自行打分,低于3分的要说明理由。
(八)评标结果公示
评标结束后,招标单位将在清华大学网站(http://info.tsinghua.edu.cn),
清华大学第一附属医院网站http://www.tufh.com.cn 等网站上公示评标结果,公示期为3个工作日。若投标商对评标结果有异议,可在公示期内以投标商的名义向招标单位提出书面质疑。
(九)中标通知书
1.中标人确定后,招标单位将向中标人发出中标通知书。
2.中标通知书是签订合同的一个依据。
(十)签订合同
1.中标方应按《中标通知书》指定的时间、地点与招标单位签订合同。中标人拒不按中标内容签订合同的,招标人可取消其中标资格,并追究其违约责任。
2.“招标文件”、中标方的“投标文件”及其澄清文件等,均为签订合同的依据。
3.招标单位在授予合同时有权对技术规范书中规定的货物数量和服务予以增加或减少,但不得对单价或其它的条款和条件做任何改变。
网络安全管理系统技术参数
入侵防御:
指标 | 指标项 | 详细要求 |
平台要求 | 硬件 | 要求采用X86多核硬件平台; |
性能 | 整机吞吐率:>2Gbps | |
设备部署 | 接入模式 | 要求支持直连、路由、VLAN、旁路监听、混合部署等多种接入模式。 |
要求支持多端口链路聚合,支持11种链路负载均衡算法。 | ||
要求支持基于源/目的地址、接口的策略路由。 | ||
部署环境 | 要求支持IPv6、IPv6 over IPv4、IPv6和IPv4混合网络,能够在该网络环境中检测出攻击事件。 | |
规则库 | 攻击规则库 | 要求攻击规则库单独分开,可支持手动、自动、以及离线升级。 |
应用识别规则 | 要求应用识别规则库单独分开,可支持手动、自动、以及离线升级。 | |
URL过滤库 | 要求URL过滤库单独分开,可支持手动、自动、以及离线升级。 | |
病毒库 | 支持病毒库,单独分开,可支持手动、自动、以及离线升级。 | |
入侵防御 | 入侵防御引擎 | 系统应具备:融合模式匹配、协议分析、异常检测、会话关联分析,逃逸等多种技术,准确识别入侵攻击行为,为用户提供2~7层深度入侵防御。 |
攻击特征库 | 应涵盖广泛的攻击特征库、能够针对4000种以上攻击的攻击行为、异常事件,以及网络资源滥用流量,进行检测和防御。 | |
攻击防御类型 | 要求能够检测包括溢出攻击类、RPC攻击类、WEBCGI攻击类、拒绝服务类、木马类、蠕虫类、扫描类、网络访问类、HTTP攻击类、系统漏洞类等在内的超过4000种攻击事件 | |
URL过滤 | URL过滤引擎 | 支持恶意网站、违反国家政策法规、潜在不安全、浪费带宽、大众兴趣、多种论坛、行业、计算机技术、等多种分类的URL过滤。 |
URL特征库 | 支持URL地址分类库,超过1000万种。 | |
DDOS防御功能 | DDOS防御 | 系统应支持独立的DDOS检测、阻断及防御基线自学习的能力。 |
系统支持防御包括land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof、Synflood、Icmpflood、Udpflood、Portscan、ipsweep等在内的DOS/DDOS攻击。 | ||
系统支持DNS异常包及DNS Flood攻击防御。 | ||
系统支持DHCP异常包及DHCP Flood攻击防御。 | ||
系统支持ARP异常包及ARP Flood攻击防御。 | ||
系统支持CC攻击防御,且能够对Web服务器上的指定URI页面进行防护设置。 | ||
系统支持主机并发连接数和半连接数的限制。 | ||
系统支持DDOS 机器人自学习功能,学习时间可设置。 | ||
应用管控功能 | 应用识别 | 系统能够根据数据内容而非端口智能识别包括P2P、即时通讯、电子商务、股票交易、网络游戏、网络电视、移动应用等在内的23大类超过1200种应用。 |
日志和报表系统 |
日志管理 | 系统应支持多种形式的日志存储,本地存储、发送至日志服务器、本地日志服务器双存储、自动方式判断日志服务器状态自动决定日志的记录方式 |
管理监控 | 监控 | 应支持设备温度监视以及报警,可以自定义温度阀值。 |
资质要求 |
产品资质 | 《计算机信息系统安全专用产品销售许可证》 |
市场占有率 | 投标产品应该是被广泛应用的成熟产品,在国内市场具有较高的市场份额,连续4年(或3年以上)市场占有率排名不应低于前3名,须提供知名第三方机构(如IDC)出具的市场占有率排名有效证明材料。 | |
技术能力 | 投标厂商具备专业的攻防研究团队,能够对安全漏洞进行持续的挖掘与跟踪。2015年向CNVD(国家信息安全漏洞共享平台)贡献的漏洞数量排名不低于前三名。 |
抗DDOS
功能项 | ||
设备基本要求 | 硬件 | 2U机型,最大配置为26个接口,默认包括2个扩展槽位,2个作为HA口和管理口,4个10/100/1000BASE-T接口(支持Bypass)和4个SFP插槽。单电源。 MTBF不少于35000小时 |
性能 | 清洗能力1Gbps小包防御能力(64字节/pps)148万pps最大并发连接数>100W | |
网络部署 | 部署方式 | 支持透明串联部署、旁路部署 |
检测系统支持镜像、分光、netflow等方式分析数据 | ||
设备模式 | 单台设备支持在线串接、旁路检测和旁路清洗三种模式可选,根据部署方式不同选择不同的模式。 | |
设备联动 | 支持清洗设备与检测设备的联动,页面支持与第三检测设备联动,如Arbor和威睿 | |
流量牵引协议 | OSPF流量牵引, BGP流量牵引, PBR回注/牵引 | |
流量回注协议 | 802.1Q回注, MPLS VPN回注, GRE回注, PBR回注 | |
网络适应性 | 支持IPv4/IPV6协议。 | |
流量清洗 | 网络层 | IP Fragment Flood、ICMP FLOOD、UDP FLOOD、TCP SYN FLOOD、TCP ACK FLOOD、TCP RST FLOOD、TCP FIN FLOOD、慢速连接耗尽。 |
HTTP协议支持 | 支持HTTP协议的防护,支持对源限速、源认证、源新建限速、目的限速、目的新建限速等,包括但不限于:HTTP slow header 、HTTP GET FLOOD、HTTP POST FLOOD、HTTP代理攻击、CC等。 | |
HTTPS协议支持 | 支持HTTPS协议的DDOS的防护,支持如:SSL-DoS, SSL- DDoS的防护,支持IPv4和IPv6。 | |
DNS协议支持 | 应能识别和阻支持DNS协议的防护,如:DNS QUERY FLOOD、DNS REPLY FLOOD 、DNS NXDomain FLOOD、DNS投毒攻击等。断跨站请求伪造(CSRF)攻击。 | |
NTP协议支持 | 支持NTP REQUEST FLOOD、NTP REPLY FLOOD攻击防护。 | |
SIP协议支持 | 支持IPv4/IPv6模式下的SIP FLOOD攻击防护。支持源认证、源限速、目的限速方式。 | |
过滤器 | 支持基于HTTP、DNS、NTP协议的自定义报文特征过滤。 | |
支持放行、丢弃、丢弃+黑名单、白名单、限速、源限速的等动作。 | ||
攻击取证 | 抓包溯源 | 支持抓包取证 |
抓包方式 | 自动抓包、手动抓包 | |
报表格式 | excel、pdf、word、html等格式 | |
报表自定义 | 支持报表logo、页眉、标题等自定义 | |
数据分析 | 威胁分析 | 支持对防护对象、攻击IP、攻击事件的top 10排名的分析表 |
流量分析 | 支持对防护对象、目的IP的top 10排名的分析表 | |
数据实时监控 | 实时流量曲线图,支持显示最近一小时、最近一天、最近一周、最近一个月等方式 | |
支持防护对象流量TopN排名 | ||
支持IP流量TopN排名 | ||
支持防护对象攻击TopN排名 | ||
支持设备状态信息(cpu利用率,内存利用率,磁盘利用率)的图表显示,并且可以详细设置报警阀值 | ||
支持对攻击事件的显示,可以以天、周、月为单位显示 | ||
支持对防护IP的攻击类型统计和topN排名 | ||
系统管理 | 管理方式 | 支持基于B/S架构的管理模式 |
二级防护对象 | 针对每个分组可以纵向深层次配置不同的二级防护对象 | |
告警 | 支持声音告警,包括但不限于对声音的频率、发声长度、次数、声音间隔等的自定义 | |
支持Netbios告警 | ||
厂商、产品资质 | 中国信息安全测评中心颁发的中国国家信息安全漏洞库技术支撑单位一级(提供相关证明) | |
中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》(抗拒绝服务攻击(增强级)) | ||
中国信息安全认证中心颁发的《IT产品信息安全认证证书》 | ||
中华人民共和国国家版权局颁发的《计算机软件著作权登记证书》 |
防病毒网关
类别 | 招标要求 |
硬件要求 | 1U标准机箱,硬件采用模块化设计,要求至少具有1个接口板扩展槽位,最大可支持千兆接口数量≥12(非combo光电互斥接口或共享交换接口);配置4个10/100/1000BASE-T接口,默认电口具有一组BYPASS接口,1个可插拨的扩展槽,要求具有独立的管理接口与双机HA接口; |
系统要求 | 设备必须为专业的防病毒网关产品,非防火墙、UTM、上网行为管理等具有病毒过滤功能模块的产品,并出具相关的专业病毒网关销售许可等资质认证文件。 |
性能 | 整机吞吐:>2Gbps;并发连接:>180万;新建连接:>4万/秒;防病毒吞吐(HTTP):>500Mbps; |
防病毒引擎 | 内嵌双引擎杀毒技术,可单独采用流杀毒(快速扫描)引擎或文件型杀毒(深度扫描)引擎,也可同时支持两种杀毒引擎,能够根据不同的被检测协议采用不同杀毒引擎; |
能够防御病毒、木马、蠕虫,且支持对压缩数据、加壳病毒的查杀; | |
能够支持对SMTP、POP3、IMAP、HTTP和FTP协议进行病毒扫描和过滤,有效地防止可能的病毒威胁; | |
支持病毒隔离功能,管理员可方便的管理隔离区,可选择把隔离区的内容发送给管理员或者删除; | |
可实时检测到日益泛滥的蠕虫攻击,并对其进行实时阻断,从而有效防止内部网络因遭受蠕虫攻击而陷于瘫痪; | |
深度扫描模式下支持TCP粘合技术,提升系统查杀效率。 | |
支持信任站点功能 | |
支持IPv4和IPv6双栈协议的病毒扫描和过滤 | |
支持智能检测应用协议的病毒行为,采用智能方式准确扫描常用协议任意端口的病毒传输行为,而非通过传统手动配置协议端口绑定形式进行病毒扫描; | |
支持多接口旁路的病毒传输监听检测方式,可并行监听并检测多个网段内的病毒传输行为,用于高吞吐量、高可靠性要求的旁路应用环境; | |
要求病毒检测率不低于98%,并提供国家专业病毒检测机构的证明; | |
快速扫描引擎支持手机病毒的过滤。 | |
病毒库 | 采用国际国内知名主流品牌病毒库,并提供两家以上专业病毒厂商的授权证明文件。 |
要求具有独立的蠕虫防护规则库,并可通过手动或自动方式进行升级; | |
病毒库提供商应通过VB100认证;提供证明文件 | |
要求每种扫描引擎具有独立的病毒库,流行病毒库总数大于600万。 | |
内容过滤 | 支持对数据内容进行检查,支持采用关键字过滤、URL黑名单等方式来阻止非法数据进入内部网络; |
能够针对“ActiveX”、“Java Applets”及“Script”等控件实施拦截; | |
要求能够根据文件内容识别文件真实类型,有效的阻断非法类型的文件进入企业网络,能够防止通过修改文件扩展名的方式逃避过滤; | |
反垃圾邮件 | 采用邮件地址与IP地址的黑、白名单技术实时检测垃圾邮件并阻止其进入企业网络,为企业节省宝贵的带宽。 |
维护与管理 | 提供完整的病毒日志、访问日志和系统日志等记录,并可根据日志数 |
据生成多种格式的统计图形化统计报表; | |
提供强大的监控功能,可以监控系统资源、网络流量、当前会话数、当前病毒扫描信息等; | |
报警配置用于当病毒突然爆发时,可向网络管理员发送报警信息,需支持邮件报警、声音报警、SNMP等报警方式; | |
要求具有配置文件自动定时上传到指定外部服务器功能; | |
资质要求 | 要求以下资质必须为防病毒网关的专用资质,非UTM、防火墙、上网行为管理等产品的资质 |
公安部-计算机信息系统安全专用产品销售许可证(增强级); | |
病毒过滤网关IPv6 Ready2资质认证 | |
国家版权局-计算机软件著作权登记证书 |
隔离网闸
分类 | 特性/功能 | 详细描述 |
产品架构 | 系统基本架构 | “2+1”系统结构,内外端机为TCP/IP网络协议的终点,阻断TCP/IP协议的直接贯通。内外端机之间采用专用硬件和专用协议进行连接,不可编程。网闸以软硬件结合的方式,有效地隔断内外网络间直接的连接,防止信息无限制交换。 |
安全体系结构 | 控制台管理系统部署于内端机上,采用专有协议对设备进行管理,无法通过外端机直接连接到隔离系统。 | |
安全操作系统 | 采用TopOS安全操作系统、增强型内核,能够对两个主机系统提供多层次、高强度的安全防护,保护其重要进程、文件、数据不受黑客侵袭。 | |
产品资质 | 资质 | 公安部计算机信息系统安全专用产品销售许可证书(三级) |
硬件要求 | 硬件架构 | 硬件架构由内端机、外端机、专有隔离硬件三部分组成。内端机和外端机各自具有独立主板、独立总线、独立的存储和运算单元;内端机和外端机之间非网线、USB线、SCSI线等线缆直连,基于光隔离技术专有硬件进行隔离和数据交换。 |
接口配置 | 内网6个10/100/1000M RJ45接口和2个SFP插槽(含7个数据口和1个MAN口),1个串口,2个USB口 | |
性能指标 | 网络吞吐量:500Mbps | |
电源 | 标配单电源 | |
功能要求 | 安全上网功能 | 支持WEB访问,支持HTTP协议应用的各种指令控制。 |
安全邮件功能 | 提供安全的邮件访问,支持POP3、SMTP协议。 | |
文件传输功能 | 支持FTP文件传输协议,支持主动被动两种模式。支持FTP命令参数控制支持对传输文件的类型过滤。 | |
文件同步功能 | 支持Samba、FTP、HTTP等多种通信协议。 | |
数据库访问功能 | 提供对多种主流数据库,如:MYSQL、SQLSERVER、ORACLE、DB2、SYBASE等系统的安全访问。 | |
数据库同步功能 | 基于专用客户端与网闸安全连接方式,提供多种主流数据库系统如:ORACLE、SQLSERVER、MYSQL、SYBASE、DB2等之间的同步。 | |
视频监控 | 兼容主流视频传输及控制协议H.323、H.264、MMS、RSTP、SIP等,通过内置多媒体应用处理模块,提供高效率的视频信息交换。 | |
OPC工控应用 | 支持DCS/SCADA网络与办公网络之间的OPC应用数据的传输。 | |
自定义功能 | 支持自定义的TCP、UDP协议的数据隔离交换,以用户定制的命令、参数等协议解析方式来解析自定义应用的通信内容,支持16进制数据格式的定制。 | |
管理配置 | 管理采用C/S架构专有协议管理,网闸管理口无IP地址,管理主机也不必设置IP即可搜索到设备,管理设备,支持设备集中管理。 | |
日志审计 | 支持对所有访问进行日志记录,包括系统事件、成功事件、报警事件。提供对日志信息的浏览、查询、删除、下载等多种操作 | |
其他功能 | 支持代理模式、透明代理、路由模式三种工作模式,管理员可依据实际网络状况进行相应的部署,以满足各种网络环境状况。 |
服务与资质
提供系统版本升级 特征库更新
保修期 3年 全年24小时响应
北京市三级以上医院使用案例>5家