精品资料（2021-2022年收藏）江苏师范大学web应用防护系统及运维安全管理系统谈判采购

1、江苏师范大学web应用防护系统及运维安全管理系统谈判采购文件（No：2016H34065）第一部分 谈判供应商须知一、 总则 1. 本谈判采购文件仅适用于江苏师范大学组织的谈判采购活动。2. 凡符合资质要求的公司均可参与。3. 无论结果如何，参加谈判公司自行承担因此所产生的全部费用。4. 本次谈判采购活动及由本次采购活动产生的合同受国家法律制约和保护。5. 凡参与此采购项目的谈判方，除谈判方有特别说明外，均视为接受并遵守本谈判采购文件。6. 本次采购活动细则由江苏师范大学招投标办公室负责解释。二、 竞争性谈判工作程序1. 发布谈判采购公告；2. 谈判供应商获取谈判采购文件；3. 谈判供应商咨询

2、了解本项目基本情况，制作谈判响应文件；4. 采购方接受谈判响应文件，同时收取相关费用、保证金；5. 竞争谈判；6. 确定成交商，等额退还未成交方的谈判保证金；7. 签署供货合同，执行合同。三、 对谈判供应商的要求谈判供应商除具备公告中的资质要求外，还应满足下列要求：1. 必须为独立法人；2. 必须具有中华人民共和国消费者权益保护法所规定的售后服务的能力。成交方必须派出技术人员提供现场服务及有关技术培训；3. 提供的设备必须附有原始生产厂家的质保书及产品合格证，如提供假冒伪劣产品，采购方将根据中华人民共和国消费者权益保护法的规定要求赔偿。四、 谈判响应文件的要求1. 谈判响应文件的构成：(1)

3、竞争性谈判响应声明函；(2) 谈判报价明细表：自做报价表，注明型号、规格、技术指标，详细的交货清单；特殊工具及备件清单。如果是进口设备，因我校享受进口免税政策，可以以欧元或美元CIF南京报价（免税价格）；如不能办理免税，则以人民币报价。如所投产品指标与谈判文件要求有偏离的必须在响应文件中注明。(3) 相关服务：文件中务必明确最快完工时间、产品技术服务和售后服务的内容及措施；(4) 响应文件附件：由谈判供应商根据各自情况自行编制，规格幅面与正文一致，主要内容包括：产品组成系统说明，产品主要技术性能和结构的详细描述；提供必要的数据、产品制造、安装、验收的执行标准；(5) 参加谈判供应商资质证明文件

4、：单位简介（包括组织机构、人员、经营规模、经营特色、对企业员工的业务培训情况、经营场地使用性质、主要负责人简历介绍等）；企业法人营业执照复印件；税务登记证明复印件；组织机构代码证；同类产品近三年主要经营业绩等背景资料复印件，所有复印件均需加盖相应的有效印章，经营业绩须按附表一的表格形式填写（见下）；如供应商提供虚假的资质证明文件，一经查实，将以无效谈判文件处理并处以一定的经济处罚。附表一：近三年经营业绩清单：序号使用单位产品型号数量金额联系人及电话备注(6) 货物证明文件：产品授权证书及代理证书（证明谈判供应商提供的货物及其伴随服务是合格的货物和服务且符合采购文件规定）。2. 谈判响应文件的份

5、数、签署和封装(1) 谈判响应文件份数为正本一份，副本五份，须各自装订成册。每套谈判响应文件须清楚地标明“正本”或“副本”。当正本与副本内容不一致时，以正本为准；(2) 谈判响应文件的正本和所有的副本均需打印，由法人或授权代表签字。授权代表须将以书面形式出具的“授权证书”附在响应该文件中；(3) 谈判响应文件的正本和所有的副本一并装入密封袋，并在密封袋骑缝处加盖与谈判供应商一致的有效印章，否则视为无效；密封袋上应注明谈判供应商名称、联系人及联系电话。3. 谈判响应文件的样式谈判供应商应严格按照第四项要求的内容及顺序编写、装订谈判响应文件；4. 一经交给，无论是否成交，其谈判响应文件恕不退还。五

6、、 谈判报价及谈判范围1. 货物谈判价格，应报货物递送到谈判文件规定的实际交货地（买方指定的最终用户学校的校园内）的价格，应包括运保费、税费、材料费、装卸费、安装调试费、施工费等。2. 谈判专家组在确定时，对方案、配置可作必要调整，谈判工作小组审定后可予以执行。六、 谈判日期谈判供应商应按照本次谈判采购公告中的日程安排，在规定的时间到指定地点进行谈判，逾期不予受理。七、 谈判、评审1. 采购人按照本次采购公告中的日程安排，在规定的谈判时间在指定地点召开谈判前会，谈判供应商的法定代表人或授权代表须准时参加； 2. 谈判小组只对确定为实质上响应谈判文件要求的响应文件进行评价和比较。 3. 学校监察

7、、纪委、审计对谈判全过程进行监督；4. 谈判结束后，采购人将公布最终结果，并向成交单位发成交通知书；5. 谈判小组将视谈判情况决定由一家或多家中标；6. 对未成交单位，采购人可不作解释。八、 谈判保证金1. 谈判供应商在参加谈判时，须向采购人交纳谈判保证金，具体金额详见采购公告；2. 谈判保证金仅限于用汇票或现金形式支付；户 名：江苏师范大学开户行：农业银行铜山新区支行帐 号：2466 0104 0000 0503. 结果公布后，未成交的公司所缴纳的保证金即时等额退还；成交的公司所缴纳的保证金自动转为合同履约保证金，在合同执行完毕后等额无息退还，如成交方拒绝遵守采购文件规定、响应承诺，或拒绝签

8、订合同，或虽签署供货合同但不予履行，则此款作为违约金不予退还。九、 签订合同1. 在合同签订之前，采购人有权对成交方的履约能力进行最后审查，审查方式包括询问、调查和实地考察，如发现成交公司提供的材料虚假或对响应文件所要说明的情况故意隐瞒或虚报，则采购人有权取消其签约资格，没收其保证金，并另行评定成交者（在采购有效期内）；2. 成交公司收到成交通知书后应严格按照通知书要求的时间和地点与需方代表签订合同；3. 签订合同书应以采购文件和谈判响应文件承诺为依据。十、 合同主要条款及付款方式1. 采购方与成交方按合同共同进行验收；如未能达到合同要求，采购方有权退货并要求成交方赔偿损失。2. 付款方式：国

9、产设备验收合格后支付合同总额的90%，如无质量与售后服务等方面问题，余款半年内一次性付清；通过外贸代理的进口设备（学校协助办理免税手续），验收合格后付100%。第二部分采购项目的技术规格、要求和数量（项目需求书） 因教学科研需要，我校需对web应用防护系统及运维安全管理系统采购进行谈判采购。现将需求及相关事项明确如下，欢迎各企业或代理商积极投标（参数描述为基本要求，欢迎供应商投报高于建议配置但性价比更优的产品）。标段一：web应用防护系统随着信息技术的不断发展，各类信息系统逐渐向数据中心高度集中，同时，基于Web的应用系统已经成为我校信息系统的主体，目前我校绝大多数应用，如数字校园、网站群、人

10、事系统、教务系统、后勤管理系统等均架设在 Web 平台上。Web 应用系统的迅速发展，也引发了大量的安全问题。目前大部分的信息安全攻击都是发生在 Web 应用层而非网络层面上，但我校目前使用的传统安全设备（防火墙）无法针应用层的Web攻击进行防护，解决Web应用安全问题存在局限性。因此，拟购置Web 应用防护系统，实现针对Web应用的专业安全防护，提高Web信息系统安全性，降低安全风险。一、技术参数及配置要求指标项指标子项技术要求系统架构系统架构产品应采用2U的专用机架式硬件设备,1+1冗余电源。系统硬件为全内置封闭式结构,非NGFW、NGAF等下一代防火墙或UTM安全网关产品。硬件架构基本网

11、络接口千兆电口4个,万兆光口8个，支持5进5出同时防护 。单台设备同时保护5条以上链路。（所有的接口均需授权可用，配齐所有光模块及光纤线）性能要求最大吞吐能力10Gbps最大HTTP吞吐能力6Gbps并发TCP会话数600万HTTP请求速率 100000 次/秒网络延迟 0.02毫秒可防护IP数量不限部署能力部署模式透明部署（基于透明网桥），需即插即用，无需做任何配置即可防护。支持旁路部署。策略路由（支持流量牵引）支持反向代理部署检测引擎高性能攻击特征检测引擎智能阻断基于智能用户行为识别的动态防护机制，识别并彻底阻断黑客的攻击行为URL自学习自动学习并构建网站的URL模型，禁止违反现有模型的尝

12、试行为支持更新、修正现有URL模型安全特性IPv6IPv6协议通过和防护HTTP RFC符合性HTTP协议防护HTTPS支持SSL加密会话分析真实来源IP解析支持解析通过代理服务器访问用户的真实IP地址，默认支持X-Real-IP或X-Forwarded-For字段的值作为真实来源IP地址，同时支持用户自定义字段名称。内置规则系统提供完善的内置规则支持用户自定义防护策略集，针对不同的来源/目的IP，目的URL选择不用的策略集。提供高度灵活的自定义规则向导，适用于高级用户Web应用漏洞扫描能够对SQL注入、CGI、跨站脚本（XSS）进行应用层漏洞扫描碎片组包支持任意碎片组包支持超长报文组包（默认

13、30M）编码还原ASCII编码的还原Unicode编码的还原各种混淆编码的还原Web基础架构防护蠕虫、缓冲区溢出、CGI信息扫描、目录遍历等Web通用攻击防护防扫描支持对恶意扫描行为开启防扫描功能，用户可自定义防护等级。Web应用安全防护SQL注入及XSS攻击防护跨站请求伪造（CSRF）攻击防护爬虫防护恶意扫描防护Cookie安全服务器信息伪装/过滤缓冲区溢出HTTP请求类型过滤Webshell行为拦截智能木马检测能够智能识别木马上传行为，支持自定义上传文件的大小、后缀名。用户可自定义对上传脚本文件的处理方式：直接拦截，智能识别。支持木马上传日志，记录上传时间，源地址，目的地址，目的URL，拦

14、截原因。支持将木马文件直接下载至本地进行人工分析。网页篡改防护自动恢复对文件、目录的篡改支持FTP/SFTP连接方式支持文件、目录排除设置检测优先级支持多个防篡改用户多操作系统支持：Windows、Linux、Unix、Solaris、AIX等操作系统支持基于时间的计划任务数据库防篡改支持数据库防篡改，无需安装任何数据库代理插件。支持虚拟化功能支持对虚拟机中的任意数量网站进行防护，使多个虚拟机共用一个IP地址内容安全恶意代码过滤支持敏感关键字过滤，用户可自定义关键字内容弱密码记录记录登陆过程中使用的弱密码备案检查检测网站的备案情况，对于通过备案网站放行，未通过备案禁止访问应用层访问控制针对内置

15、或自定义的安全策略规则，提供细粒度的控制，精确到来源IP、目的IP、域名等访问控制支持基于时间的计划任务主动阻断方式丢弃数据包、阻断TCP连接、禁止恶意IP的后续访问防CC攻击防护来源IP攻击防护Rerferer攻击防护特定URL攻击防护CC防护的访问控制（黑、白名单）抗拒绝服务攻击TCP/UDP Flood防护，基于最大上限阀值设置，而非DDOS特征库网络自适应能力802.1Q支持支持VLAN解码，在Trunk线路上部署并提供防护端口汇聚（Trunk）支持端口汇聚（Trunk），显著提高设备间的吞吐能力路由配置支持静态路由的配置统计功能网站统计统计被防护网站每天的总访问量和总攻击数。URL统

16、计统计被防护网站的URL每天的总访问次数，最后一次访问IP、访问时间与访问端口。网站详情统计每天访问所有站点或某个站点的地域统计，并以地理热点分布图的形式体现。统计每天访问所有站点或某个站点的浏览器类型和比例，并以图表方式体现。统计每天访问所有站点或某个站点的操作系统类型和比例，并以图表方式体现。统计每天访问所有站点或某个站点的来源页面的次数和比例。统计每天访问者通过哪些搜索引擎访问到Web防护系统后的站点，同时统计搜索引擎的次数和比例。统计每天访问者在搜索引擎中通过哪些搜索词访问到Web防护系统后的站点，同时统计次数和比例。统计每天访问所有站点或某个站点的IP，及其浏览量和比例，以图表方式体

17、现。统计每天所有站点或某个站点每分钟的访问次数和攻击次数，以图表方式显示。报表功能报表类型安全报表（入侵统计、按入侵类别统计、被攻击主机、攻击来源IP和地理位置、页面访问次数、网络接口流量趋势）可记录最后访问者的浏览器类型者Webshell提示报表提供对防护Web网站中已经存在Webshell文件的告警功能报表查询按事件类型、统计目标或周期类型条件进行统计输出格式支持将生成的报表以HTML、Word等通用格式输出日志系统日志类型系统日志、审计日志和安全防护日志（入侵记录、攻击源IP所处地理位置、页面统计、网络流量、防篡改日志、防CC日志）日志查询可基于时间、IP、端口、协议、动作、规则集、规则

18、集类别、危害等级、请求方法等条件进行日志查询。日志管理日志导出、清空、自动磁盘日志清理系统监控监控类型安全事件监控、访问情况监控、设备负载监控系统信息显示网络接口状态，引擎状态、系统CPU、内存及磁盘使用率系统诊断和调试功能维护工具抓包工具，可抓取的网络原始报文，用于分析网络状况配置备份与导入支持系统配置的备份与导入功能高可用性HA双机支持主从部署模式支持链路是否正常的监控支持本地端口是否正常的监控支持双机配置自动同步硬件BYPASS内置bypass模块，设备故障直接切换到bypass模式资质要求（提供相关资质复印件，生产厂商盖章）涉密资质获得国家保密局涉密信息系统安全保密测评中心颁发的符合国

19、家保密标准BMB132004涉及国家秘密的计算机信息系统入侵检测产品技术要求的千兆涉密信息系统产品检测证书，并出具加盖厂商公章的复印件。获得国家保密局涉密信息系统安全保密测评中心的检测报告，性能测试部分：背景流量达到1000Mbps下的检测报告，并出具加盖厂商公章的复印件。军用认证获得中国人民解放军信息安全测评中心颁发的军用信息安全产品认证证书，产品为Web应用防护系统，认证等级为：军B级，并出具加盖厂商公章的复印件强制认证获得中国信息安全认证中心颁发的符合ISCCC-IR-007:2011要求的IT产品信息安全认证证书，并出具加盖厂商公章的复印件销售许可证获得公安部颁发的Web应用防火墙产品

20、（增强级）的计算机信息系统安全专用产品销售许可证，并出具加盖厂商公章的复印件获得公安部计算机信息系统安全产品质量监督检验中心颁发的Web应用防火墙（增强级）的检测报告，并出具加盖厂商公章的复印件应急支撑证书设备生产厂商具备CNCERT颁发网络安全应急服务支撑单位证书，并出具加盖厂商公章的复印件设备生产厂商至少为省级互联网应急中心网络安全信息通报成员单位，并出具加盖厂商公章的复印件厂商实力设备生产厂商应具有符合GB/T 19001-2008/ISO 9001:2008标准的质量管理体系认证证书，并出具加盖厂商公章的复印件设备生产厂商应具有漏洞发现能力，具备中国国家信息安全漏洞库（CNNVD）技术

21、支撑单位资质，至少曾经获得中国信息安全测评中心颁发中国国家漏洞库-信息安全漏洞提交证明，不低于15份，并出具加盖厂商公章的复印件设备生产厂商至少具有一名由国家计算机网络应急处理协调中心省级分中心或国家中心聘请的公共互联网络安全专家，并出具加盖厂商公章的复印件高校案例省内不少于3所同类高校行业的案例，提供用户联系方式并提供合同复印件其它其它要求中标后一周内提供样机对以上所有功能进行检测，检测通过后才可执行合同流程。二、服务要求1、硬件平台、所有软件功能模块提供五年原厂保修和升级服务2、必须在省内有厂家直属的服务办事机构，提供7*24小时快速上门服务和2小时内快速响应服务(官网上必须可查询到办事机

22、构地址)3、提供不低于1次/半年的专业网站巡检、安全扫描、渗透测试等服务工作，并提供报告。随合同指定原厂工程师1人负责本项目后期服务。4、负责培训校方两名原厂认证工程师并取得证书。5. 提供现场免费安装、调试设备，进行操作试验，直至运行正常，提供操作及维护培训。在未验收前，货物保管、安全均由供应商负责。6. 提供的产品须为原装正品，相关的配套附件质量优良，数量齐全。并在标书中注明可选配件的价格，以及软件产品的升级、服务策略和价格。7. 采购方使用该设备的任何一部分，当受第三方提出的侵犯其专利权、商标权或工业设计权的投诉时，一切后果由供应商负责。8. 提供必要的软硬件系统的安装、使用、运维等的免

23、费培训。9本项目实施时投标方应提供所有的连接配件、辅助材料等，在招标方不提供任何其他硬件支持的情况下能够实现功能完备的物理连接，并激活所有需要的端口、服务、授权等；对于所有相关的软件系统，投标方有义务检查投标方已经持有、或者通过本项目可以持有的授权情况，若有不足需在投标时说明并提供解决方案，以使本项目能够顺利实施，而不需要投标方另外付费或者提供其他支持。标段二：运维安全管理系统随着学校信息化的不断发展，网络规模和设备数量迅速扩大，日趋复杂的信息系统与不同背景的实施和运维人员的行为给信息系统安全运维带来较大风险，主要问题有，多个用户使用同一个账号、一个用户使用多个账号、缺少统一的权限管理平台，权

24、限管理日趋繁重和无序、无法制定统一的访问审计策略、传统的网络安全审计系统无法对维护人员经常使用的SSH等加密协议进行内容审计等。因此需要通过运维安全管理系统，实现服务器、网络设备、数据库、安全设备等安全可靠运行，降低人为安全风险，避免安全损失，同时提高工作效率，降低运维工作复杂度。一、技术参数及配置要求序号参数名称技术指标1硬件要求2U标准服务器型可上架设备；2个10/100/1000BASE端口，为了便于后期扩展，要求至少可扩展到8个千兆口，存储空间要求至少4TB，支持硬件RAID，RAID5模式下可用空间不小于2TB，为了便于后期扩展，要求在设备提供至少8个硬盘插槽，双电源，支持IPMI接

25、口；配备至少1000个被管理设备授权。要求支持图形并发会话并发不低于1500，字符会话并发不低于3000。2支持协议字符型远程操作协议：SSH(V1、V2)、TELNET、RLOGIN、AS400；图形化远程操作协议：RDP、VNC、X11；文件传输协议：FTP、SFTP；数据库远程操作协议：支持ORACLE、MSSQL、Sybase、MySQL、DB2等数据库远程访问协议审计；支持Radmin、PCAnywhere、VMmware vSphere Client、 HTTP/HTTPS等协议或客户端；3设备自身安全要求堡垒机对外开放不超过4个固定端口（需要说明具体端口号），不允许开放其他端口。

26、全封闭系统，设备不允许有多套硬件（诸如双主板、不通类型存储介质等）和多个操作系统存在。4部门管理产品采用树状结构设计，支持用户账号账号的部门分权，使得不同部门（子部门）都可以拥有自己的配置管理员、审计管理员、密码保管员、普通用户；支持多部门之间设备资源的交叉管理功能；支持目标设备的部门分权，不同的设备可以归属于不同的部门（子部门）；不同部门的管理员/普通用户只能管理/访问自己部门的资源；支持审计功能按部门分权，使得不同部门的审计管理员只能审计自己部门、自己直属子部门设备上的操作日志；5电子工单产品内置电子工单功能，并具备审批流程；以实现对用户临时接入维护的动态授权；用户可以在堡垒机Web界面，

27、手动填写电子工单，填写的内容至少应包括：用户账号、设备资源、系统账号、协议类型、要执行的命令、时间窗口；电子工单可提交给本部门或者上级部门配置管理员审批，审批通过后，即时生效；6账号管理具有超级管理员、配置管理员、审计管理员、密码保管员、普通用户等多种角色；支持SSH密钥认证，支持静态认证，并可与AD域、LDAP、radius、ISO8583认证整合；可以根据需要，为外来人员分配临时用户账号，该账号拥有时效性，过期自动回收；7设备管理支持批量登录多台协议相同的目标设备；支持不同设备之间的自动跳转登录和同一台设备上不同账号之间的自动切换登录；支持登录备注功能，即可以要求用户登录目标设备时，必须填

28、写备注，备注信息可以在审计记录里面查看到；可以自动扫描SSH方式登录的目标设备密钥，如果发现目标设备密钥异常，自动提示用户进行处理；支持以Excel格式批量导入和导出目标设备；支持按按递归方式一次性添加多台目标设备；支持批量修改目标设备的状态（禁用、活动）、密码和服务类型；8密码管理可以根据设备（设备组）、系统账号、时间、频率、改密方式生成详细的改密计划，到期自动执行；改密方式至少可以支持随机生成不同密码、自动设置相同密码、手动指定密码、随机定制密码；自动设置的密码严格遵守密码强度设置；改密结果可以支持加密邮件、密码信封、FTP加密文件的形式外发，外发密码以加密方式发送；密码保管员可以在系统的

29、Web页面手动备份设备密码到本地、FTP服务器或者直接打印成密码信封。9应用发布堡垒机必须可以支持Windows2008的 RemoteAPP方式的应用发布；堡垒机可以同时支持有缝和无缝方式（程序无背景显示，效果如同直接打开本地应用）的应用发布。（提供发布方式的清晰截图证明）；支持对各类常规应用程序的密码代填；10权限管理可实现基于用户（用户组）、目标设备（设备组、应用程序）、系统账号、协议类型、登录规则来灵活设置访问控制策略；可跟据用户（用户组）、目标设备（设备组）、系统账号、命令集和生效时间来设置详细的命令权限控制策略，支持命令黑白名单；对于高危指令，未经相关人员复核审批，命令无法执行；可

30、以选择启用/关闭Windows设备、应用程序的剪贴板上/下行功能；可以选择启用/关闭Windows设备、应用程序的磁盘映射功能；11实时监控管理员可在Web界面无延时的实时监控当前任一图形或字符活动会话，发现操作高危时，实时切断。支持强制审计，即审计管理员登录开始审计后，运维会话才能开始操作，审计管理员退出审计时，运维会话自动结束。12告警用户在登录重要设备时，系统可立即生成一条登录告警；对于字符会话，运维人员输入高危命令时，系统可以在主动阻断的同时，立即生成一条操作告警；管理员授权用户登录重要设备时，系统可以立即生成一条授权告警。告警可以在操作审计里面查看，也可以通过短信、邮件、syslog

31、方式外发；13操作审计确保对各种非常规指令操作的100%识别，特别是TAB补全、长命令的行内编辑、上下箭头等操作；支持全文回放的同时，还能做到从任一条命令点开始回放；播放过程中支持拖拉播放；输入输出在同一界面展示，并能自动以不同颜色标记出被系统拒绝、切断的操作；支持以输入或者输出结果中的任意字符为关键字进行搜索，搜索结果高亮显示；对图形审计结果，即便数据量很大时，也可以进行无延时的前后拖拉定位回放，不需要任何加载过程；由于实际业务中数据库操作比较频繁，需要可以根据任意sql语句中的内容为关键字进行会话查询，查询结果可直接定位到相关操作画面；投14报表可以按时间、统计单位、服务类型、用户（用户组）、设备（设备组）及各类子报表类型定制报表；报表支持HTML、excel、pdf格式导出；15可靠性支持HA模式部署17资质要求所投产品必须具有公安部颁发的计算机信息系统安全专用产品销售许可证，必须是堡垒机类型的产品，产品属于“运维管理”、 “运维安全”、“运维审计”或者“安全审计”类型，提供其他产品证书无效；所投产品具有中国国家信息安全产品认证证书，必须是堡垒机类型的产品，产品属于“运维管理”、 “运维安全”、“运维审计”或者“安全审计”类型，提供其他