tccg(2014)036号
本采购单位受托,以询价采购方式采购校园网络安全设备所需的货物。现将有关事项说明如下:
一、询价须知
1、被询价的供应商必须是有能力提供本项目所需货物、工程和服务的法人、其他组织,满足《中华人民共和国政府采购法》第二十二条的全部要求,并同时符合本询价函“三、商务要求”。
2、对本项目感兴趣的供应商,请在2015年5月6日上午10:30时前,向我方做出一次性书面报价。
3、供应商如对本询价函报价,即表示认可我方提出的上述要求,且不可撤回。否则,该供应商将被记入不诚信供应商名单,在今后规定的时间内不得参与我方组织的任何政府采购活动。
4、在符合采购需求、质量和服务相等的前提下,以最低报价的供应商作为成交供应商。该供应商的报价即为成交的合同价。
二、采购内容:
校园网络安全:校园网络安全建设方案(一期工程)
|
序号
|
设备名称
|
型号参数
|
数量
|
推荐
品牌
|
|
1
|
校园网用户认证计费系统
|
详见附件一
|
1套
|
深澜
锐捷
H3C
|
|
2
|
上网行为管理
系统
|
详见附件二
|
1套
|
网康
深信服
H3C
|
|
3
|
硬件服务器
|
1. 处理器:cpu型号:Xeon E5-2407 频率:2.2GHz 三级缓存:10MB 总线规格:QPI4.8GT/s 核心:4核线程数:4线程;2. 内存:8G;3.存储:SATA 2TB,最大支持8块3.5英寸SATA/SAS硬盘或24块2.5英寸SATA/SAS硬盘;4.电源:双电源 550/600W;5.4块千兆网卡
|
1台
|
浪潮
曙光
Dell
|
|
4
|
服务器机柜
|
42U;黑色;网孔;其他按标准配置
|
1台
|
国产
|
附件一:校园网用户认证计费系统招标参数
一、基本技术要求
1、支持web方式管理
2、支持6500以上注册用户,同时在线用户6500以上。
3、根据用户使用流量进行计费
4、记录用户访问过的IP
5、多网关
二、功能需求
网络管理需要“互联网认证计费系统”主要集中于以下功能:
1、管理功能:需要全WEB管理,系统是B/S架构。
2、计费功能:支持各种计费,支持包月或者按照时间,流量等多种计费方式,支持费用封顶,最低消费等,可以自定义公式进行计费;支持先交费后使用,同时也支持先使用后交费。
3、带宽控制:带宽控制,可以根据用户帐户、用户组,IP地址等分配用户网络上下行带宽。
4、防代理功能: 智能代理监控,可以智能的判断用户使用代理的情况,对于大量用户使用同一帐号通过代理上网的行为,可智能查封、解除查封该类用户。
5、内容智能过滤: 可以对网站地址,网页内容进行智能过滤。可以自定义设置哪些网站不允许学校用户访问。
6、用户认证功能:同时支持web、客户端的认证,丰富用户认证习惯选择,对于不同的用户支持不同的认证方式。可以采取ip+mac+账号绑定,也支持免认证方式的计费等方式。支持网页重定向
7、用户管理功能:支持用户分组管理、具备有完备的用户管理功能.可以对需要认证的用户进行动态修改,销户,删除。并可实时断开用户的访问。支持大量用户的初始化,随机产生用户名,密码。用户及时状态显示等。支持分级式管理,对用户可设置多种管理级别,支持多管理员、多收费员。
8、用户自助服务:支持用户web查询上网时间、流量、结帐、费用等上网相关数据。
9、多种接入模式:支持桥接、路由、nat地址转换等接入方式,支持集中式或分布式系统结构。支持多路由出口接入Internet,支持目标地址路由、策略路由,接入模式可以是网关方式,也可以是网桥模式。
10、全面的包过滤和状态检测:全面的包过滤和状态检测防火墙。系统采用防火墙级的安全内核,可以根据协议,源地址,目的地址,端口,tcp选项等进行包过滤,支持tcp,udp,icmp等协议的状态检测,可阻挡目前各种流行的攻击方式。内核专有优化算法,突破传统包过滤状态防火墙用户认证效率。
11、多出口支持:支持多出口的环境,支持3个出口(电信、网通、教育网)以上
12、源地址转化支持:支持源地址(池)转换(SNAT俗称nat地址转化)、目的地址池转换(DNAT,也称地址映射).目的端口转化(也称端口映射)。
13、P2P控制:可以对BT、电驴等P2P软件的控制。
14、日志控制:支持全面的用户访问日志记录功能,监控网内用户上网行为,以备进行日志查询。支持任意长时间的日志记录 ,适合记录大量的日志。
15、实时监控功能:可以实时查看当前在线的用户,以及用户当前的动作等功能,可以查看系统状态如cpu,内存占用,资源占用,网络状态如:实时带宽显示、路由表、ARP表、用户连接数、连线状态等功能。
16、安全防范功能:支持防DDOS攻击模块、网络病毒防护模块,需具备对未知网络蠕虫病毒的预先防范能力。
17、二次开发功能:可根据用户要求提供部分报表数据接口以及web管理界面接口,便于用户自定WEB界面。
三、系统要求
1、提供一年的免费售后服务。
2、系统要具有开放性,以备后期的升级改造。
3、系统管理平台要操作方便,功能齐全。
4、如系统出现严重故障,需在一个工作日内到达,并尽快解决问题。
5、本系统客户端软件费用、安装费用均包含本次一次性报价中。
6、系统须符合、满足电信运营商级的相关安全与技术规定、规范。
7、投标方需仔细研究本招标文件,采购方采购的设备、软件可能不仅限于系统配置清单中,投标方应根据实际需求来增减、变更系统配置。如应投标方的方案失误、未考虑到的问题等方面引起的设备、软件费用、施工调试费用的增加,均由投标方独自承担。
附件二:上网行为管理系统招标参数
一、性能及配置要求
|
项 目
|
技 术 要 求
|
|
吞吐速度
|
2Gbps
|
|
并发会话数
|
1,000,000
|
|
转发时延
|
≤0.05ms
|
|
网络接口
|
具备至少4个千兆电口;至少一个RS232串口
|
|
并发用户数
|
>6500
|
|
尺寸
|
标准机架尺寸
|
二、功能要求
|
项目
|
指标
|
具体功能要求
|
|
部署方式
|
网关模式
|
设备必须支持网关模式,以提供路由转发等功能
|
|
网桥模式
|
设备必须支持网桥模式,以透明方式串接在网络中
|
|
旁路模式
|
*设备必须支持旁路模式,在不影响原有网络情况下,实现对用户网络访问行为的审计和部分控制功能
|
|
VLAN支持
|
支持Access、Trunk模式;支持Vlan的穿透和终结
|
|
多路桥接
|
*设备必须支持多路桥接功能,即支持网桥模式下至少二个Lan口,二个WAN口的部署方式
|
|
设备管理
|
WEB管理界面
|
*以SSL加密的WEB图形化界面进行设备配置和管理,支持中文/英文界面
|
|
远程管理
|
支持SSH、Telnet、Web方式远程管理
|
|
分权限管理
|
*支持对设备管理员进行访问权限分级,不同管理员可配置管理不同用户组的各种配置,包括增删用户、权限配置等分级管理。
|
|
自动告警
|
*支持对攻击(DOS攻击、ARP欺骗)、病毒、含有指定关键字的Web上传、指定类型文件上传、发送泄密邮件等行为的自动告警功能
|
|
策略故障排查
|
提供图形化诊断工具,便于管理员发现错误策略、策略故障等问题
|
|
用户认证
|
用户认证方式
|
*支持触发式WEB认证(在WEB认证时支持某些IP范围的用户可不通过WEB认证);支持LocalDB本地自建、LDAP、AD、Radius、POP3、前置PROXY等认证方式
|
|
树形组织结构
|
用户分组支持树形组织结构,支持组内套组,与客户的实际行政架构蕾西,支持父组、子组等。
|
|
AD单点登录
|
*支持无插件的AD单点登录功能
|
|
AD同步
|
支持将AD域控服务器上指定的组织结构读取到设备的树形组织结构中,并保持与AD的自动同步
|
|
USB-Key认证
|
*支持用户采用USB-Key的双因素身份认证
|
|
新用户认证
功能
|
*支持未建帐户的新用户以其计算机名/IP地址作为用户名自动创建帐户。
*支持来自指定IP网段的用户自动创建到指定用户组,并同时绑定IP、MAC等。
|
|
认证重定向
|
支持向认证通过的用户显示指定的URL地址或网页,自动重定向到单位的公告通知网站等。
|
|
公用帐户
|
支持创建公用帐户以允许多人同时使用,并支持帐户有效时间限制
|
|
IP-MAC绑定
|
支持对用户绑定IP、绑定MAC、或同时绑定IP和MAC;
*支持跨三层设备的IP-MAC绑定功能
|
|
单点登录
|
*支持LDAP、AD的单点登录,基于数据包侦听,无需在域控服务器上安装任何插件;支持POP3、PROXY的单点登录
|
|
认证不通过用户
|
支持给未认证通过用户授予基本网络访问权限(默认组权限、除HTTP外)
|
|
帐户导入导出
|
支持从LDAP、AD服务器导入帐户信息;支持文本方式导入帐户、分组、IP、MAC、认证方式、描述、密码等信息
|
|
用户认证管理
|
支持通过WEB界面,查看认证后的用户列表和当前在线用户列表信息
|
|
公告文件显示
|
支持给未通过/通过认证的用户定向显示指定的公告文件页面
|
|
网页控制功能
|
URL(网址)过滤
|
*内置超过千万条预分类的URL库,允许输入新URL地址和创建新分类;支持基于时间段的URL过滤,时间段可自定义
|
|
关键字过滤
|
*可过滤通过搜索引擎搜索指定关键字(关键字可定义);*可针对网页正文关键字进行网页过滤;
*可过滤用户通过BBS、Webmail、Blog等方式发送带有指定关键字的言论
|
|
反钓鱼网站功能
|
*支持对SSL加密的钓鱼网站的识别和过滤(提供自主知识产权证明)
|
|
SSL加密的炒股网站
|
*支持对SSL加密的炒股网站、证券基金网站、在线购物网站的识别和过滤(提供自主知识产权证明)
|
|
文件类型过滤
|
识别和过滤通过HTTP、FTP下载、上传指定类型的文件;
*支持对非标准端口FTP传输文件的识别和过滤
|
|
邮件控制功能
|
邮件地址限制
|
可限制指定后缀的邮件地址通过SMTP发送邮件;
可控制哪些用户可以使用哪些邮箱发送邮件;
|
|
邮件附件过滤
|
可控制用户所发送邮件的附件类型
|
|
邮件关键字过滤
|
*可限制发送含有指定关键字的邮件
|
|
SSL加密邮箱控制
|
*对用户可能使用SSL加密邮箱(如Gmail)的行为进行识别和限制(提供自主知识产权证明)
|
|
Webmail控制
|
可限制用户使用Webmail;
过滤用户Webmail邮件正文的指定关键字;
*记录Webmail邮件正文及附件;
|
|
邮件监控
|
*可监控所有通过Outlook、Foxmail等发送,接收的邮件;
|
|
邮件延迟审计功能
|
*能对外发邮件进行延迟缓存,审计后才发出,且对发送者完全透明;(提供自主知识产权证明)
支持根据收件人地址、邮件大小、附件个数、关键字等条件进行邮件延迟缓存;
邮件延迟缓存后会自动通知审核人员,并支持在指定时间段未审核后,自动删除邮件或放行邮件
|
|
垃圾邮件过滤功能
|
支持对接收的邮件进行垃圾邮件过滤
|
|
应用识别和管理
|
应用识别规则
|
*至少包括17个大类、180种以上的应用识别规则;
不采用过时的IP和端口识别,通过深度内容检测,根据应用特征码进行应用识别;
|
|
策略对象
|
支持面向策略的上网行为管理;即创建好的策略对象可被多个用户/用户组复用、重用。
|
|
权限继承
|
父组的权限支持继承给子组,并支持强制继承,即子组无权删除强制继承的策略对象
|
|
P2P智能识别
|
*支持对加密P2P、版本泛滥的P2P、未来可能出现的P2P进行识别和控制(提供自主知识产权证明)
|
|
Skype识别
|
必须能够彻底识别和封堵Skype的应用
|
|
P2P识别
|
包括:BT、BitComet、Kugou、eMule、Vagaa、PP点点通、POCO、百度下吧、百宝、Gnutella、Foxy、Kugoo等
|
|
P2P流媒体识别
|
包括:沸点电视、蚂蚁电视、猫眼电视、MySee、51TV、SopCast、QQLive、PPStream、UUSee、PPVod、P2PSrv、PPLive、TVKoo、QVOD、PPRich、PPGou、51TK、风行、球皇、VGO、FastTV等
|
|
IM识别
|
包括:阿里旺旺、雅虎通、QQ、TM、MSN、MSNShell、网易POPO、新浪UC、ICQ、POCO、卡盟等
|
|
网络游戏识别
|
包括:联众游戏、游戏中心、浩方、QQ游戏、MSNGame、边锋游戏、联众好友、新浪游戏大厅、网易泡泡、游戏茶苑、互动游戏中心、TOM在线游戏、UU棋牌、远航游戏等
|
|
炒股识别
|
包括:大智慧、钱龙、股票行情、同花顺、证券之星、富贵满堂、未来趋势、分析家、和讯股道、股道、通达信系列炒股软件、华安证券、银河证券、MSN炒股等
|
|
识别规则自定义
|
*允许管理者根据应用协议特征字段和特征码,手工添加新的应用识别规则,实现个性化封堵
|
|
上网控制
|
*可分组、分时段、分用户控制用户可以使用的网络服务(包括网页、下载、QQ、MSN、游戏、Email等)
|
|
IM控制
|
*可分组、分用户、分时段封堵所有聊天软件
|
|
P2P控制
|
*可分组、分用户、分时段封堵各种P2P工具;
并对加密P2P、版本泛滥的P2P、未来可能出现的P2P提供封堵策略;
|
|
代理控制
|
*识别并禁止使用HTTP、Socks代理;
对HTTP/HTTPS端口中封装的其他协议进行封堵;
*可禁止内网用户使用代理软件代理他人上网
|
|
时间限制
|
支持基于时间段的访问控制策略;
支持对用户的总上网时间的限制策略;
|
|
排除IP
|
支持排除IP功能,即用户访问排除IP的行为将不进行控制和监控
|
|
流量控制功能
|
Internet多线路支持
|
*支持复用四条以上Internet线路,多线路间可互为备份、负载均衡、且能够实现流量的智能选路(提供自主知识产权证明)
|
|
|
带宽通道状态实时查看
|
支持登录控制台即可查看当前流量top 10应用
|
|
应用协议流控
|
*针对不同的用户分组、根据应用协议类型进行带宽分配和流量管理
|
|
网站类型流控
|
*针对不同用户分组、根据其访问的目标网站类型进行带宽分配和流量管理
|
|
文件类型流控
|
*针对不同用户分组、根据其上传下载的文件类型进行带宽分配和流量管理
|
|
基于目标IP的流控
|
*支持基于目标IP的带宽通道划分与分配。
|
|
静态/动态带宽分配策略
|
支持静态带宽预留策略和动态带宽保证策略
|
|
单用户带宽分配
|
支持为组内每用户进行带宽分配,分配策略包括平均分配和自由竞争
|
|
基于时间段的流控
|
支持根据不同用户分组、不同时间段分别流量管理和带宽分配
|
|
WAN->LAN的流控
|
*支持WANàLAN方向访问行为的流量管理功能
|
|
监控和
审计
|
实时会话监控
|
对用户实时会话数进行排名;
可查看指定用户当前具体会话信息;
|
|
实时流量监控
|
对用户产生的实时流量,包括上行、下行流量,进行排名和查看;
|
|
实时连接监控
|
监控用户的实时连接情况,并能断开指定用户的指定连接;
|
|
异常用户冻结
|
*支持对异常用户进行临时冻结,阻止其网络访问,并能在冻结时间结束后,自动解冻
|
|
访问网站监控
|
*分组、分用户监控用户访问的网址、网页标题或整个网页内容,或只记录含有指定关键字的网页内容
|
|
网络言论监控
|
*分组、分用户监控用户通过BBS、WEBMail、BLog等发送的网络言论
|
|
邮件监控
|
分组、分用户监控用户发送、接收的所有邮件包含附件;
支持对Webmail正文及附件的监控和记录
|
|
IM监控
|
*监控和记录QQ聊天内容,及市面上流行的所有聊天软件的聊天内容,包括:QQ、MSN、Gtalk、新浪UC、网易泡泡、Skype等
|
|
FTP监控
|
分组、分用户监控通过FTP上传的文件(和内容)及FTP上传下载行为
|
|
Telnet监控
|
监控用户的Telnet行为
|
|
其它网络行为监控
|
可监控用户的其它所有网络行为
|
|
管理员/系统日志记录
|
支持对管理员的所有操作日志、系统日志的监控和记录
|
|
免监控功能
|
*支持指定用户使用“免审计key”,实现对该用户所有网络访问行为的免监控功能
|
|
自动邮件告警
|
对特定安全事件支持通过邮件自动告警
|
|
WAN->LAN的审计
|
*支持审计WAN->LAN方向的应用行为,如FTP,HTTP,Mail等,能审计文件名,文件类型,URL和邮件等。
|
|
流量审计
|
*统计指定用户在指定时间段内产生的总流量;
*统计指定用户在指定时间段,使用指定应用协议产生的流量,如使用BT和大智慧产生的流量进行审计
|
|
时间审计
|
*统计指定用户在指定时间段内产生的总上网时间;
*统计指定用户在指定时间段,使用指定应用协议的上网时间,如使用QQ、网游、大智慧的上网时间
|
|
日志审计、报表、检索功能
|
日志集中管理
|
*一个数据中心,支持以WEB方式查看多台网关设备的日志监控数据
|
|
日志中心管理
|
支持通过Dkey认证后才能接入数据中心
|
|
独立日志中心
|
行为日志支持存储于设备本身;
*考虑到设备内置存储空间有限和对性能的影响,必须支持将日志自动转存于第三方独立日志服务器,且必须以数据库形式存储
|
|
图形化日志审计工具
|
日志中心支持通过图形化工具,对日志进行分析、审计、统计、绘图等
|
|
报表导出
|
日志报表、日志查询结果支持PDF、Excel等格式导出
|
|
报表分析功能
|
支持对各种网络监控数据进行报表分析及图形化分析,包括柱状图、饼状图,趋势图等,支持丰富的报表和Excel导出
|
|
内容检索
|
*支持类似百度的搜索工具,实现对海量日志的内容检索;
*支持对日志中所记录附件:OFFICE、TXT、PDF等文档的正文内容的检索
|
|
主题订阅
|
*支持将管理者感兴趣的内容检索结果周期性的自动形成报表结果,发送到指定邮箱
|
|
终端安全检查功能
|
终端安全检查
|
*访问互联网时对存在安全隐患的终端设备进行预检测(检测范围包括操作系统补丁、杀毒软件、注册表、硬盘文件、进程等),只有满足预设安全要求的终端才允许访问互联网(提供自主知识产权证明)
|
|
防火墙基本功能
|
防火墙功能
|
*基于状态检测的防火墙;
防火墙规则可基于时间段生效或失效(时间段可由用户定制)
|
|
路由功能
|
支持以源IP地址、目标IP地址、协议、源端口、目标端口为条件的策略路由功能
|
|
代理上网功能
|
支持代理内网用户访问Internet
|
|
NAT功能
|
支持SNAT、DNAT、PNAT
|
|
DHCP功能
|
支持DHCP功能,为接入用户动态分配IP地址
|
|
防火墙QOS功能
|
*支持智能QOS,可根据源IP地址、目标IP地址、协议、端口对不同业务的数据分优先级投递,保证重要业务
|
|
网关杀毒功能
|
网关防毒功能
|
*集成业界知名杀毒引擎;
支持对HTTP、POP3、SMTP、FTP等协议的网络防毒功能;
对RAR,Gzip等压缩包内文件同样提供病毒查杀支持
|
|
防DOS攻击功能
|
防DOS攻击
|
*不仅防范来自外网的DOS攻击,对于来自内网的DOS攻击同样能够防御;
侦测出内部发起DOS攻击的客户端,并封堵其访问行为及流量
|
|
防ARP欺骗
|
防ARP欺骗
|
*支持对用户终端和网关的双向防ARP欺骗功能,抵御ARP欺骗攻击
|
|
IPS功能
|
IPS功能
|
*支持IPS入侵防御系统,抵御超3000种网络攻击行为
|
注:1、技术参数要求中含有*号的须完全响应,否则按无效处理。
2、推荐品牌仅做参考,如所投产品优于以上参数者也可参与投标。
三、商务要求
1、供应商资格要求:法人授权委托书及联系人的身份证明、营业执照(复印件加盖公章)。
2、报价要求:(1)产品质量必须是国家质量合格产品。(2)报价时必须注明主要技术参数。(3)供应商承诺的供货时间必须完全响应本文件规定,在中标通知书发出15日内完成。
3、供应商报价须知:(1)您的报价一经认可,即为签订合同的最终依据。(2)报价函应由贵单位加盖公章。(3)采购合同由中标单位、采购单位与桐城市招投标中心三方签订。询价函、报价函均为采购合同的组成部分。(4)评标方法:最低评标价法。(5)经调查,当供应商所投产品超过市场价格,业主有权放弃本次采购结果。(6)供应商在采购过程中应遵守诚实信用的原则,在采购及合同履行过程中,如发现供应商有欺诈等不诚实行为及违反合同约定等行为,将会受到列入黑名单、网上通报等处理。希望各竞投供应商在认真阅读询价文件各条款后再进行报价。
4、供应商必须以密封方式报价,报价函一正一副共两份。
5、报价截止时间及开标时间:2015年5月6日上午10时30分。
6、交货期与地点:桐城师范高等专科学校指定地点
四、投标保证金
1、投标保证金为: 5000元,投标人在提交报价函前须将投标保证金从投标企业注册地开户行以转账方式汇至桐城市招投标中心账户,不得从投标企业的分公司、子公司、办事处或其他账户转入。请投标人转账时在转账凭证附言中注明投标项目名称,凭投标保证金回单原件(网银转账打印的回单需到开户银行加盖业务受理章)到桐城市招投标中心办公室换取保证金票据,以备开标时检查。投标保证金须在开标时间前到达桐城市招投标中心账户,否则不接收投标函。2、收款人名称:桐城市招投标中心;开户银行:安徽桐城农村商业银行股份有限公司开发区支行;账号:20000236106310300000018。
五、供应商报价函编制要求:见附件。
六、其他1、投标地点:桐城市招投标中心业务二部(文昌路桐城市人民政府政务服务中心三楼东侧)。
2、付款方式:经验收合格后,按合同付款。
联系电话/传真:0556-6699170 联 系 人:安先生、张先生、王女士
技术咨询:赵先生 联系电话:15955562308
附:询价采购供应商报价函格式
桐城市招投标中心
2015年4月27日
询价采购供应商报价函
采购项目编号:TCCG(2015)036号
致:桐城师范高等专科学校
我公司已认真阅读了贵方发布的桐城师范高等专科学校校园网络安全设备询价采购函,接受贵方“询价须知”提出的各项要求,参与该项目报价。
一、报价表:
|
序号
|
货物名称
|
推荐品牌
|
询价技术要求
|
报价技术配置
|
数量
|
单价
|
金额
|
|
1
|
|
|
|
|
|
|
|
|
2
|
|
|
|
|
|
|
|
|
3
|
|
|
|
|
|
|
|
|
4
|
|
|
|
|
|
|
|
|
合计
|
|
|
|
|
|
|
二、交货期:
合同签订后 日内交货安装调试完毕,交付采购单位验收。
三、技术支持与服务承诺:
四、有关资质证明材料:
法人授权委托书及联系人的身份证明、营业执照。
五、联系方式:
联 系 人: 电 话:
手机号码: 地 址:
供应商名称: (盖章)
法人代表: (签字或盖章)
年 月 日