新市健康保健集团
终端准入扩容、堡垒机、杀毒增加授权项目询标公告
一、项目基本情况
项目名称:终端准入扩容、堡垒机、杀毒增加授权项目
项目编号:XSJBJT-23-059
项目预算:19万
|
序号 |
指标项 |
指标要求 |
|
1. |
基础架构 |
基于linux开发的专用系统,标准机架式硬件产品,所有功能基于 一台设备即可实现,无需额外购买服务器、操作系统及数据库等中间件, 具有独立自主知识产权,要求系统要求符合公安部终端接入控制标准 (GA/T1105-2013)起草厂商(提供相关证明材料),产品功能必须是以 准入控制为核心功能。(提 供相关证明材料,并加盖原厂公章) |
|
2. |
性能参数 |
1U机架结构;配置单电源;标准配置6个1000MBASE -T接口,每秒事务数(TPS):≥3500(次/秒),最大吞吐量:≥1.5Gbps,最大并发连接数:3000(条);终端用户认证数量2000点。 |
|
3. |
高可用 |
支持多种灵活的部署方式,无需改变网络结构,部署方式包括但不限于独立部署、热备部署、探针式部署、负载均衡部署、集群部署、扁平化部署、云化部署。 |
|
4. |
支持智能逃生判断及管理恢复机制,在单位时间内终端异常离线达到指定逃生阀值则放开网络管控,当终端在线数达到阀值临界点时恢复网络管控;可灵活设置策略生效时间。(功能截图 ,加盖厂商公章 ) |
|
|
5. |
提供专属逃生平台对系统服务状态进行实时评估,逃生平台策略被触发时可保障业务的稳定运行;策略包括但不限于系统服务异常等。 |
|
|
6. |
准入技术 |
支持策略路由、端口镜像、透明网桥、802.1X、ARP、DHCP、VLAN隔离、Portal等准入技术,支持准入技术自由组合使用,满足各种复杂网络环境。 |
|
7. |
VLAN隔离技术须实现无客户端下的端口级准入效果,vlan隔离须采用不同正常vlan对应不同隔离vlan的方式,并可对通过小路由器、hub接入的设备实现颗粒度管控,不得采用全禁全放的风险行为。(功能截图 ,加盖厂商公章 ) |
|
|
8. |
终端通过有线或无线申请接入,可无需用户操作,自动引导终端设备至认证入网页面。 |
|
|
9. |
支持划定关键业务范围,针对终端用户发起的访问请求可强制要求二次认证校验。(功能截图 ,加盖厂商公章 ) |
|
|
10. |
管理 |
管理页面布局及内容支持自定义,内容包括但不限于系统自身接口状态、流量等。 |
|
11. |
在多管理员状态下,支持设置私有、公有规范策略。私有规范只有创建账号有权限更改、删除,公有规范所有管理员均可更改或删除。(功能截图 ,加盖厂商公章 ) |
|
|
12. |
提供移动端专属平台管理页面进行便捷管理,包括但不限于:设备快速定位、设备审核、实时报警监控、客户端卸载确认码生成等。(功能截图 ,加盖厂商公章 ) |
|
|
13. |
客户端 |
支持安全客户端(Agent)、安全控件、无客户端等多种模式;提供Windows、linux、MAC OS、安卓、IOS专属客户端及APP。 |
|
14. |
提供中标麒麟(龙芯)、银河麒麟(飞腾)、统信UOS等国产操作系统专属客户端。 |
|
|
15. |
支持灵活的客户端卸载策略,包括但不限于万能卸载码,一对一卸载码,无需卸载码等多种模式。支持设置离线客户端策略,包括但不限于超过指定时间后客户端自动卸载,提醒用户确认是否卸载等。(功能截图 ,加盖厂商公章 ) |
|
|
16. |
客户端支持自定义菜单栏及终端用户故障诊断,诊断过程支持录屏,诊断结果支持一键压缩打包。(功能截图 ,加盖厂商公章 ) |
|
|
17. |
边界管理 |
支持自动生成全网拓扑图,5分钟自动更新一次网络拓扑信息并刷新。(功能截图 ,加盖厂商公章 ) |
|
18. |
能够在拓扑图上选取设备查看其基本状态信息、设备型号、所处位置、子节点、路由表、ARP表等信息;支持在界面上提供对该网络设备进行TELNET、SSH等管理;能够在网络拓扑图上由用户自定义显示的节点类型,方便用户通过不同方式查看拓扑连接。(功能截图 ,加盖厂商公章 ) |
|
|
19. |
支持可网管型交换机面板图形化展现各接口状态(up、down、trunk、单/多MAC等),以及各接口下联的终端详细信息(IP、地址、MAC地址等),交换机型号库100+以上。(功能截图 ,加盖厂商公章 ) |
|
|
20. |
支持自动识别、发现及阻断网络内私接的家用路由器、hub,提供网络定位功能(可直接定位接入的交换机端口 );可一键禁止全网的随身wifi(含软件版)使用。 |
|
|
21. |
身份认证 |
支持用户名密码、Ukey、指纹等认证方式,支持与AD域、LDAP、钉钉、Email联动。与钉钉等作为认证源时,终端认证自动跳转认证服务,无需打开相关app。 |
|
22. |
支持设置来宾专属地址段;来宾入网提供二维码、来宾码、自助申请(管理员审批)多种方式;提供来宾入网审批气泡弹窗提醒功能,被访人点击即可审批。(功能截图 ,加盖厂商公章 ) |
|
|
23. |
与AD域联动支持单点登录;支持管理员自定义域信息属性到认证设备,包括但不限于用户姓名、部门、联系电话等。 |
|
|
24. |
业务安全 |
支持关键业务端口映射,可设置映射的端口及选择映射的协议类型。(功能截图 ,加盖厂商公章 ) |
|
25. |
安全基线检查(windows) |
支持IE控件、IE主页、操作系统版本、磁盘使用、计算机开关机、计算机名称、垃圾文件、服务端口、网络连接、系统时间、远程桌面、主机防火墙、p2p软件、软件黑白名单、黑白进程、系统服务、Guest来宾账户、密码策略、屏幕保护 、弱口令、共享检查。 |
|
26. |
支持主流的杀毒软件版本、病毒库和运行情况的检查,包括但不限于微软MSE、火绒、安天、天融信、赛门铁克、瑞星、卡巴斯基、金山毒霸、江民、NOD32、360、天擎、亚信趋势、小红伞、可牛、Avast等,支持自动下发软件及运行修复功能。(功能截图 ,加盖厂商公章 ) |
|
|
27. |
安检规范支持评分、设置修复期限,终端用户在允许期内即使不修复可正常使用网络。 |
|
|
28. |
支持自定义安全检查项,通过检测终端文件、指定文件版本、大小、MD5,注册表的项、注册表值,进程、服务状态进行检查。通过安装包运行、访问站点、开关服务、关闭进程、执行文件、删除文件、修改注册表进行修复。(功能截图 ,加盖厂商公章 ) |
|
|
29. |
软件产品正版化检查,包括但不限于 windows、office、WPS产品的授权信息正版化检查。 |
|
|
30. |
系统补丁 |
准入设备具有完整的补丁管理子系统,无需第三方补丁服务器支持,自身即可以提供完整的流程化补丁管理,包括同步更新、补丁分发表等功能。 |
|
31. |
准入设备能够对补丁进行分级,分为:严重、重要、中等的类别;能够在终端的浏览器页面显示入网终端的补丁检查情况;准入系统自身能够支持windows系列补丁库、补丁检查和补丁分发安装;支持windows10补丁检查及自动修复。 |
|
|
32. |
安全基线检查(linux/国产操作系统) |
支持操作系统版本、磁盘使用、计算机名称、网络监听端口、系统时间、主机防火墙、必须安装的软件、禁止安装软件、必须允许进程、禁止运行进程、软件白名单、系统服务、密码策略、弱口令检查。 |
|
33. |
安全基线检查(移动终端) |
移动终端可以支持通过将指纹和用户账户绑定的方法,实现用户按压指纹认证入网。(功能截图 ,加盖厂商公章 ) |
|
34. |
支持禁用移动终端入网策略。 |
|
|
35. |
支持移动终端必须安装app、禁止安装app、必须运行进程 、禁止运行进程及杀毒软件检查。(功能截图 ,加盖厂商公章 ) |
|
|
36. |
运维管理 |
软件、消息分发:支持基于部门、角色(分组)、设备或ip段进行软件、消息分发,分发周期支持立即、每天、每周、每月等周期设置。针对分发的源文件支持设置保留或不保留,分发后支持重启或关闭计算机。 |
|
37. |
远程协助:支持管理员或终端用户双向发起远程协助。 |
|
|
38. |
IP资源管理:支持提供图形化的ip地址台账;支持一键绑定全网ip/mac;支持检查ip/组织架构绑定。 |
|
|
39. |
提供网络诊断工具,支持通过Web管理界面进行ping、抓包、traceroute、nslookup等。 |
|
|
40. |
提供IP地址分配矩阵图,可以通过组织架构为维度查看IP地址分配矩阵图;能够直接、快捷的查看全网终端历史上线、下线、在线时长等详细的IP使用情况。 |
|
|
41. |
设备特征指纹检测 |
支持通过网络扫描的方式对摄像头等哑终端设备类型发现;支持自定义设备特征指纹属性的值,发现路由器、摄像头等不同类型的设备。可定义属性包括:MAC地址、网页标题、端口等。 |
|
42. |
非法外联发现及阻断 |
在无客户端的方式下,可发现终端同时连接内网和外网的行为,在外网违规外联服务器上能够查看到违规外联条目信息;针对违规外联的终端能够阻断起内网连接。 |
|
43. |
支持国产操作系统,windows操作系统的有客户端违规外联检查。 |
|
|
44. |
USB管理 |
可设置策略非存储介质自动放行;管理员可以通过对存储介质注册、授权的方式来加强管理存储介质的使用范围和权限,并支持存储介质分区加密;未经标识的存储介质将不能在企业内使用;针对不同注册状态的存储介质制定不同的控制策略,能够对存储介质进行只读、禁用、放行、脱机生效以及时间范围等做精细控制;所有的流程在线完成,终端用户在线申请,管理员在线审批及策略下发。 |
|
45. |
软硬件资产管理 |
能够对全网计算机上安装的软/硬件进行统计,并能够针对软硬件资产变动进行告警 |
|
46. |
移动远程管理 |
提供对安卓手机和平板的桌面进行远程桌面查看和控制管理 |
|
47. |
主机微隔离 |
根据主机安全状态,动态调整主机东西流量权限,防止威胁横向移动 |
|
48. |
攻击检测 |
检测网络攻击行为,进行攻击结果分析 |
|
49. |
报警信息 |
支持系统报警、网络报警、终端报警等报警类型,超过20种以上自定义报警类型。支持报警信息通过Syslog、邮件进行输出。 |
|
50. |
报表 |
支持提供每日/周/月入网报告及终端安全评估报告。 |
|
51. |
产品资质 |
公安部《计算机信息系统安全专用产品销售许可证》终端接入控制(三级) |
|
52. |
国家保密局《涉密信息系统产品检测证书(接入控制系统)》 |
|
|
53. |
国家版权局《计算机软件著作权登记证书》 |
|
|
54. |
中国国家信息安全产品认证证书 |
|
|
55. |
服务 |
提供三年原厂商服务 |
|
序号 |
内容 |
|
1 |
LogBase BH1600授权点位扩容100点 |
|
序号 |
服务器杀毒 |
||
|
1 |
架构支持 |
许可配置和虚拟化平台支持 |
虚拟化防护软件至少支持H3C、Citrix XEN、VMWare、Ovrit、华为等五种虚拟化平台并可在同一管理平台进行统一管理 |
|
2 |
支持B/S管理架构 |
能够以B/S架构进行虚拟机的管理,管理员只需通过浏览器登陆控制中心,即可对虚拟机进行管理。 |
|
|
3 |
Windows操作系统支持 |
虚拟化防护软件至少支持Windows Server 2003、Windows Server 2008、Windows Server 2012 三个版本操作系统平台的虚拟化环境,并可对Windows xp 和Windows Server 2003提供后续漏洞防护。 |
|
|
4 |
Linux操作系统支持 |
虚拟化防护软件至少支持SuSE Linux Enterprise server、Red Hat Enterprise Linux server、Oracle Linux、Ubuntu、Debian 等5个Linux服务器版本并且可以和Windows统一管理。 |
|
|
5 |
垮操作系统部署支持 |
对windows和linux具备相同的代理部署形式,并且具备统一管理的功能。 |
|
|
6 |
国产操作系统支持 |
虚拟化防护软件至少支持中标麒麟、银河麒麟两种国产操作系统。 |
|
|
7 |
国产芯片支持 |
虚拟化防护软件至少支持Mips、Spec两种国产芯片硬件架构 |
|
|
8 |
支持三级缓存架构 |
采用虚拟化防护软件-安全虚拟机(SVM)-管控中心三级架构,以保证虚拟机资源占用较低。 |
|
|
9 |
支持两级云查杀模式 |
支持私有云、公有云查杀模式,有效提高杀毒率并降低系统负载,且私有云支持部署在企业内部的硬件形态。 |
|
|
10 |
支持虚拟机安全策略无缝漂移 |
支持虚拟机根据实际部署需要从一台宿主机飘移到另外一台宿主机后虚拟机的安全策略不发生变化。 |
|
|
11 |
支持业务系统从物理服务器向云端安全策略无缝迁移 |
支持业务系统从物理服务器迁移至虚拟化资源池的过程中无需对安全策略进行任何改动。 可以和杀毒软件设备联动,采集终端数据;提供界面截图证明 |
|
|
12 |
支持安全虚拟机共享 |
同一服务器集群中的多台宿主机可以共享一台安全虚拟机,无需在每一台物理宿主机皆部署安全虚拟机,以提升虚拟化资源利用率 |
|
|
13 |
序列化查毒可配置 |
支持序列化查毒且可配置,能够按需要配置序列化查毒的服务器数量,避免杀毒风暴。 |
|
|
14 |
客户端安全防护 |
客户端自防御能力 |
客户端防护软件具有自防御能力,能够防止被意外结束进程或删除 |
|
15 |
客户端病毒防护轻代理 |
客户端防护代理小于100MB,有效提升虚拟化计算资源使用率。 |
|
|
16 |
支持错峰扫描 |
支持通过管控中心设置同时扫描最大虚拟机数量,仅错峰扫描,降低扫描资源占用率。 |
|
|
17 |
本地缓存支持 |
支持本地杀查缓存,优化本地虚拟化环境支持。 |
|
|
18 |
缓存透传 |
支持同类型操作系统扫描缓存跨物理及虚拟化环境增量共享。 |
|
|
19 |
支持通讯加密 |
支持本地代理与服务器端的通讯协议加密 |
|
|
20 |
支持虚拟机病毒全盘扫描 |
能够对虚拟机内部全部文件进行病毒的扫描 |
|
|
21 |
支持虚拟机病毒快速扫描 |
能够对虚拟机内部系统目录进行病毒的快速扫描 |
|
|
22 |
支持虚拟机病毒监控 |
能够对虚拟机内的文件进行进行监控,防止病毒运行 |
|
|
23 |
支持终端卸载保护 |
能够设置终端卸载或退出时要输入的密码,以防止终端用户随意脱离保护 |
|
|
24 |
支持多种病毒查杀 |
产品提供不少于3种病毒查杀引擎,可根据不同虚拟化环境和查杀要求灵活开启与关闭;同时产品应支持利用CPU虚拟化技术提升系统的安全防护能力,提供截图证明; |
|
|
25 |
文件防护要求 |
产品应内置webshell扫描引擎,针对网站系统恶意webshell、后门等文件进行扫描防护;能够针对webshell文件设定白名单,对文件进行加白处理,避免对核心网站系统文件造成影响; |
|
|
26 |
网络隔离和防护要求 |
产品应须具备防暴力破解,可对来自网络的暴力破解行为进行拦截,支持配置时间、破解次数等阈值,并提供暴力破解IP或IP段的黑白名单设置; 针对近期爆发流行的永恒之蓝攻击,能够进行有效防护; 产品须具备入侵防御,可对来自网络层的拒绝服务、缓冲区溢出、木马后门、web攻击、恶意网络扫描、恶意入侵提权等各类威胁流量的检测与防护。入侵防御规则应不少于11000条,并支持按照攻击类型进行分组分类,支持对每一类攻击类型单独开启或关闭防护; |
|
|
27 |
支持攻击行为告警信息 |
可提供攻击行为的详细信息包括:攻击源、攻击目标、利用漏洞信息、发生时间等信息并可及时通知管理员,为防护攻击提供有效途径。 |
|
|
28 |
支持Hypervisor安全防护 |
支持对Hypervisor主机Guest OS进行安全防护,有效提升虚拟化环境安全防护效果,防护虚拟化类型包括华为、VMware、Xen、Hyper-V、H3C等。 |
|
|
29 |
服务器端(控制中心) |
支持客户端统一管理 |
能够对虚拟机客户端进行统一管理,统一下达指令 |
|
30 |
支持虚拟环境感知 |
支持和虚拟化平台管理中心定期感知同步,能够自动感知和保护虚拟环境的变更和迁移维护安全统一性。 |
|
|
31 |
客户端要求 |
产品须具备对已防护的主机统计在线率,对虚拟机是否安装客户端统计整体部署率 |
|
|
32 |
支持混合式集中管控 |
支持对虚拟机和物理服务器进行统一管理,具有集中控管的功能,能够统一的管理和配置,并且相关日志能够统一的在控管平台上展现 |
|
|
33 |
支持跨平台同步导入 |
能够对多平台虚拟化环境下的虚拟机同时同步导入,并进行统一管理。 |
|
|
34 |
支持分组管理 |
能够对虚拟机客户端进行分组管理 |
|
|
35 |
支持通讯时间间隔设置 |
能够支持设置安全终端与控制中心的通讯时间间隔 |
|
|
36 |
支持报表统计 |
能够对虚拟机环境的客户端安全情况进行报表统计 |
|
|
37 |
支持全网统一升级 |
能够支持对虚拟机环境下的客户端版本进行全网统一升级 |
|
|
38 |
支持多种升级方式 |
可以根据不同网络环境提供在线升级和隔离网升级,并提供相应工具 |
|
|
39 |
支持内网限速 |
能够设置虚拟机客户端和控制中心之间的通讯流量,防止大通讯流量影响内网正常业务访问。 |
|
|
40 |
支持升级限速 |
能够设置控制中心访问外网进行升级时的数据下载速度,防止升级对网络出口造成的影响。 |
|
|
41 |
支持自定义黑白名单 |
能够支持用户自定义黑白名单,能够按照用户要求,对任意文件进行黑白名单设置。 |
|
|
42 |
支持专杀工具下发 |
能够支持控制中心对专杀工具的导入,并下发到虚拟机安全客户端对变种病毒等进行自动化查杀。 |
|
|
43 |
自动化运维 |
产品应支持自动化安全运维: 支持自定义安全策略的定时、指定范围执行; 支持对策略、主机组织结构、日志的手动或自动备份 支持手动或自定同步虚拟化平台组织结构 支持手动、自动升级系统文件、引擎版本、特征库信息,能够基于分组、时间设定灰度升级策略,提供截图证明 支持基于时间动态进行调整带宽和网络并发连接,减少控制中心升级对业务网络产生的影响 |
|
|
44 |
售后服务 |
售后服务 |
提供三年病毒库升级服务,签订合同时提供原厂商针对此项目三年病毒库升级服务承诺函 |
|
|
终端杀毒 |
||
|
45 |
系统管理 |
控制中心:采用B/S架构管理端,具备设备分组管理、策略制定下发、全网健康状况监测、统一杀毒、统一漏洞修复、网络流量管理、终端软件管理以及各种报表和查询等功能,本次配置100个终端杀毒+补丁管理许可,3年软件升级服务。 |
|
|
46 |
客户端:与安全控制中心通信,提供控制中心管理所需的相关数据信息;执行最终的木马病毒查杀、漏洞修复等安全操作。 |
||
|
47 |
中标麒麟/银河麒麟/普华/红旗桌面操作系统。 |
||
|
48 |
客户端支持 |
支持苹果MAC OS X系统的病毒防护功能; |
|
|
49 |
至少支持3个以上Linux服务器版本并且可以和Windows统一管理; |
||
|
50 |
支持服务器、PC、虚拟化的同台管理; |
||
|
51 |
病毒、恶意代码、木马防护 |
要求产品本身具备病毒检测功能 |
|
|
52 |
要求产品具备本地引擎查杀能力 |
||
|
53 |
要求产品具备公有云检测能力,并且公有云特征储备超过145亿; |
||
|
54 |
须具备私有云查杀,预置至少8亿黑名单及2亿白名单,终端威胁统一到控制中心查询黑白并进行查杀。 |
||
|
55 |
要求产品在断网状态下具备不依赖病毒库特征的情况下对未知病毒查杀的能力 |
||
|
56 |
要求产品具备主动防御技术 |
||
|
57 |
补丁分发与漏洞修复 |
要求产品生产公司具备面向微软官方级别漏洞发现能力 |
|
|
58 |
产品具备漏洞集中修复,强制修复,自动修复;具备蓝屏修复功能 |
||
|
59 |
产品具备漏洞集中修复过程中的流量控制和保证带宽,补丁分发支持服务端带宽限流与客户端P2P补丁分发加速,有效节省外网带宽资源 |
||
|
60 |
敲诈者病毒防御 |
对敲诈者病毒提供防护机制,同时可提供相关解密工具,解密工具为自主研发; |
|
|
61 |
移动存储介质管理 |
支持客户端自主申请移动存储介质注册; |
|
|
62 |
Linux、国产操作系统杀毒 |
支持Linux、国产操作系统杀毒 |
|
|
63 |
XP盾甲 |
支持对XP系统进行系统加固、热补丁修复、危险应用隔离、“非白即黑”安全策略四大修复措施; 要求能够支持XP系统的漏洞利用防御,尤其对通过文件漏洞(尤其是0day漏洞)的攻击行为进行有效检测与防御; |
|
|
64 |
安全审计 |
支持指定扩展名的文件访问、修改、删除、移动等行为的审计 |
|
|
65 |
支持网络共享输出控制与审计 |
||
|
66 |
支持特定路径或扩展名的文件访问、修改、删除、移动等行为的限制并审计 |
||
|
67 |
日志报表 |
展示全网终端健康状态、报警信息;可方便的查看不健康、亚健康终端列表; |
|
|
68 |
展示指定时间段内指定终端修复漏洞,病毒查杀,木马查杀的情况 |
||
|
69 |
须具备大数据引擎系统,可将全网终端日常运维数据汇聚存储分析,并根据客户运维管理所需的要求定制报表 |
||
|
70 |
其它 |
支持与本次所采购的防毒墙联动,达到网关边界联动防御效果,与现网杀毒软件统一管理 |
|
|
71 |
支持控制中心数据恢复与备份 |
||
|
72 |
产品资质 |
计算机软件著作权证书; |
|
|
73 |
服务 |
供货时须提供相应的售后服务承诺函和授权书。 |
|
三、申请人的资格要求:
满足《中华人民共和国政府采购法》第二十二条规定;未被“信用中国”(www.creditchina.gov.cn)、中国政府采购网(www.ccgp.gov.cn)列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单。本采购包不接受联合体投标。
四、接收报名投递资质材料的截止时间:
各投标单位必须在 2023年 6月19 日 16:00 时之前报名,同时把投标相关的资质证件(工商营业执照、产品注册证、销售授权书、身份证复印件、联系电话等)提交至德清县第三人民医院采购管理中心。
地址:德清县新市镇钱家桥路6号
德清县第三人民医院3号楼1楼 采购管理中心
联 系 人:姚女士 联系电话:0572-8444367
联 系 人:陈先生 联系电话:0572-8440702
五、标书内应包含的材料
1、封面 包含有项目名称、投标公司名称、投标公司公章等。
2、投标公司、生产商提供的产品注册证(或备案凭证)、生产企
业许可证(或备案凭证)、经营企业许可证(或备案凭证)、营业执照等证件复印件(必须加盖经销单位公章),以及生产商(直接或间接)合法销售授权书
3、投标人员的身份证复印件,非法人的需有法人授权书。
4、投标产品的参数、简介,服务内容,交货期,质保维保期等
5、合同期限
6、包括产品配置等的报价函
7、其他投标企业认为需要添加的内容
8、标书一式七份,一正本六副本。所有标书需粘贴装订塑封。
六、询标:
询标时间地点另行通知。
询标人员需提前15分钟到场。
未尽事宜,可电话咨询。联系电话:0572-8444367
新市健康保健集团
采购管理中心
2023年6月13日
