资格预审公告资格预审名称：中国电信天翼云****年安全数据中心资源池建设工程资格预审公告资格预审编码：HQZGYS************资格预审文件发售起始时间：****-**-** **:**:**资格预审文件发售截止时间：****-**-** **:**:**状态：请先登录终止：否备注：中国电信天翼云****年安全数据中心资源池建设工程资格预审公告*．招标条件 中国电信天翼云****年安全数据中心资源池建设工程项目已批准，招******，建设资金来自招标人自筹，项目已具备招标条件，现进行资格预审，特邀请有意向的申请人（以下简称申请人）提出资格预审申请。 *．项目概况 *.*资格预审编号：**-**-**A-****-D-A*****。 *.*项目概况：本项目采购中国电信天翼云****年安全数据中心资源池建设工程所须的蜜罐及全流量分析。 *.*项目性质：货物招标，资格预审。 *.*项目规模：具体详见下表。 序号标包名称采购内容规格参数数量（套）交货地点交货期***标包：蜜罐蜜罐系统服务、Web应用、数据库服务、漏洞服务、自定义服务；**GE+**GE**广东、内蒙、吉林、辽宁、黑龙江、江苏、贵州、湖北、安徽、云南、河南、上海、北京、河北、山东、山西、天津、甘肃、新疆、陕西、四川、重庆、宁夏、青海、西藏、浙江、广西、福建、海南、江西招标人供货通知发出之日起**个日历日内到货*内蒙古***标包：全流量分析全流量分析支持**G吞吐（网络层），万兆端口;日志处理条数不低于*****条/s**广东、内蒙、吉林、辽宁、黑龙江、江苏、贵州、湖北、安徽、云南、河南、上海、北京、河北、山东、山西、天津、甘肃、新疆、陕西、四川、重庆、宁夏、青海、西藏、浙江、广西、福建、海南、江西支持**G吞吐（网络层），万兆端口;日志处理条数不低于*****条/s*内蒙古*．申请人资格要求*.*申请人基本资格要求 ***.******.***申请人应为中华人民共和国境内（不含香港、澳门、台湾地区）法律上和财务上独立的法人或依法登记注册的其他组织，合法运作并独立于招标人和招标代理机构。申请人应具有良好的银行资信和商业信誉。法人下属不具备法人资格的分支机构参与项目的，应具备法人针对本项目或覆盖本项目的经营事项的有效授权。 ***.******.***申请人的法定代表人或负责人为同一人或者存在控股、管理关系的不同申请人，不得参加同一标包投标或者未划分标包的同一招标项目投标。 ***.******.***申请人须提供合法有效的由公安部颁发的投标产品的《计算机信息系统安全专用产品销售许可证》的复印件。 ***.******.***本次资格预审不接受联合体申请。 ***.******.***本次资格预审不接受代理商申请。 *.*申请人不得存在下列情形之一 （*）为招标人不具有独立法人资格的附属机构（单位）； （*）被依法暂停或取消投标资格的； （*）被责令停产停业、暂扣或者吊销许可证、暂扣或者吊销执照； （*）进入清算程序，或被宣告破产，或其他丧失履约能力的情形； （*）在最近三年内（资格预审申请截止时间前**个月）被相关行业主管部门或司法机关认定有骗取中标、严重违约、重大工程质量或者安全问题的； （*）在最近五年内（资格预审申请截止时间前**个月）被判处单位行贿罪，且行贿行为与采购活动相关的（以“中国裁判文书网”的生效判决为准）； （*）在最近五年内（资格预审申请截止时间前**个月）被判处合同诈骗罪的（以“中国裁判文书网”的生效判决为准）； （*）被最高人民法院认定为失信被执行人的(以“信用中国”网站（***.******.***.cn）或各级信用信息共享平台公布的失信被执行人名单为准)，已执行完毕或不再执行的除外。投标产品资格要求 *.*投标产品资格要求 ***.******.***投标产品应是来自中华人民共和国或是与中华人民共和国有正常贸易与往来的国家或地区的产品。 ***.******.***投标产品业绩要求。 **标包：蜜罐：自****年*月*日起至本次招标公告发布之日止（以合同签订时间为准）,至少具备*个同类产品销售金额不低于**万元（含税）的业绩。同类产品包括：蜜罐、诱捕、伪装欺骗，威胁感知。 **标包：全流量分析：自****年*月*日起至本次招标公告发布之日止（以合同签订时间为准）,至少具备*个同类产品销售金额不低于***万元（含税）的业绩。同类产品包括：全流量分析、威胁检测与管理、威胁分析。 ***.******.***关键技术指标 **标包：蜜罐 指标名称具体指标要求性能需求支持同时开启多个不同类型的蜜罐，并且设备性能满足同时开启不少于**个高交互蜜罐。 高交互蜜罐：指能完全模拟一个真实应用系统，并记录对蜜罐的相关操作行为。部署要求要求设备至少*个**G业务端口。要求设备支持***V交流、***V高压直流及***V交流+***V高压直流混合供电。系统服务伪装功能要求蜜罐支持伪装SSH、Telnet、Samba、Remote Desktop、FTP、VPN服务。 蜜罐受到攻击后，可以查询完整的连接建立与断开记录、用户密码登录记录、用户密钥登录记录、命令执行记录、文件遗留记录等。数据库服务伪装功能要求蜜罐支持伪装MySQL、MongoDB、Redis、PostgreSQL、Memcached、Microsoft SQL Server、Oracle Database服务。 蜜罐受到攻击后，可以查询连接建立与断开记录和完整的数据库操作记录。Web应用伪装功能要求蜜罐支持伪装Wordpress、Joomla、Wiki、Webmin、Weblogic、邮件、CRM、OA、Zabbix、堡垒机等服务、框架或中间件。 蜜罐受到攻击后，可以记录访问请求、Web攻击和账号密码登录等事件。**标包：全流量分析 指标名称具体指标要求详细技术要求本次采购全流量分析为硬件设备，含探针及分析平台*部分功能。要求设备支持***V交流、***V高压直流及***V交流+***V高压直流混合供电。要求设备至少*个**G业务端口。全流量分析设备-探针威胁检测功能要求威胁检测功能是探针的核心，主要基于行为策略，码流特征，包特征，威胁情报特征等，实现对恶意代码以及安全攻击行为的事件分析监测。 *、检测方式要求 *）支持包检测）流检测：实时分析网络异常流量/行为，根据监测规则，在线实时抓取疑似样本，留存样本； *）支持基于恶意代码的检测：实现对海量行为中潜在的威胁攻击行为挖掘； *）支持特征库（病毒库、攻击样本库等）的更新、同步、查找、导入、导出等操作； *）支持威胁情报检测及关联比对功能：对捕获的样本文件、恶意事件信息进行威胁情报库补充比对，通过增加新的恶意信息比对，可以降低对样本文件和恶意事件的误报问题，从而变相提升样本和事件的准确率，同时丰富样本和恶意事件的恶意信息字段，支持威胁情报的更新、同步、查找、增加、删除等操作； *、支持白名单检测过滤功能，支持白名单的更新、查找、增加、删除等操作； *）支持自定义规则抓取原始流量检测：自定义规则内容应包括：源IP/源端口、目的IP/目的端口、匹配类型（字符串、正则表达式）、匹配特征等。 *、检测内容要求 *）支持基于样本文件的国家安全中心定义的*大类恶意代码的检测，文件格式包括但不限于EXE、JAR、APK、CAB、RAR、ZIP、IPA、COD、ALX、PRC、ELF等； *）支持网络攻击检测：支持病毒、木马、蠕虫、僵尸网络、缓冲区溢出攻击、拒绝服务攻击、扫描探测隐蔽信道（DNS，ICMP隐秘隧道的监测，以及DGA域名监测能力）、C&C行为等各种威胁的全面有效检测，支持自定义检测模型； *）支持Web攻击检测：支持SQL注入、XSS攻击、SSI指令、WebShell（ASP、JSP、PHP）、文件操作、弱口令、目录遍历、命令执行、敏感信息获取、CSRF攻击、权限绕过、代码执行、远程文件包含等威胁的全面检测； *）支持常见的挖矿协议，例如Stratum(STM)、GetBlockTemplate（GBT）、GetWork（GWK）等，可识别出挖矿主机及域名； *、支持对常见应用服务（HTTP、HTTPS、FTP、SSH、SMTP、IMAP、RDP等）、数据库协议（MYSQL、ORACLE、MSSQL等）的口令暴力检测； *）支持网络流量抗逃逸攻击检测； *）支持对主流WEB服务器及插件的已知漏洞攻击检测； *）支持对常见爬虫特征进行识别检测； *、支持对WEB服务器上的文件下载进行检测； **）支持DDOS检测，支持网络层/应用层DDOS检测和告警； **）支持端口扫描检测，支持TCP/UDP端口扫描检测，结合模型对流量进行检测； **）支持基于代理程序的攻击检测，包括正向代理和反向代理； **、支持威胁情报包括但不限于URL、IP、域名等检测，支持与威胁情报联动，可进行实时流量匹配检测，支持对恶意IP、恶意域名、恶意URL和恶意文件进行检测; **）支持黑白名单检测，支持基于服务、IP等自定义黑白名单，支持白名单规则的自学习； **）支持自定义特征事件检测：支持基于异常时间、异常IP、多IP登录、高频访问、绕行登录等异常行为的特征事件检测； **、支持从流量中识别资产特征功能，识别的信息至少包括资产IP、资产MAC、服务端口号、服务协议和关联用户登录账号等； **）支持各平台下发的特定策略和规则检测，并提取相关恶意软件样本，满足各平台能够实现样本文件内容安全检测功能； **）资产监控 支持资产手动导入/导出、批量导入/导出以及自动嗅探添加，支持对资产进行添加/修改/删除，支持多级分组监控； 支持暴露面资产和未知资产发现：具备自动发现并上报网络资产的IP地址、MAC地址以及是否为暴露面资产信息的能力，支持提取网络资产的指纹信息（包括但不限于IP地址、MAC地址、设备类型、设备厂商、服务端口等）； 失陷资产监控：支持基于资产名称、资产类别、资产IP、失陷时间、攻击类型等进行失陷资产监控，支持失陷资产统计图、失陷攻击类型分布图、失陷资产列表等多个维度的统计，支持失陷资产的查询和处理，支持对失陷资产的处理状态进行标记； **）支持APT情报规则检测，包括但不限于ip、URL、域名、资产名等情报。全流量分析设备-分析平台威胁分析功能要求攻击行为分析 *）支持ATT&CK模型的关联和展示，能够覆盖ATT&CK中的多个个攻击阶段，支持多种攻击技术分析。 *）支持多种机器学习模型的检测，场景至少涵盖DNS隐蔽信道、DGA域名、webshell访问等场景。支持自带攻击行为模型库，支持通过攻击行为模型，识别网络中的异常流量，发现异常访问行为与非标准传输行为，发现潜在的未知威胁。用户行为分析 *）分析平台应具备通过网络流量梳理业务行为与用户行为的能力，基于正常的业务行为与用户行为，建立业务行为模型与用户行为模型，基于针对正常业务行为与用户行为的偏离，发现潜在的威胁，具体要求如下。 *）支持风险账号行为分析，包括异地账号登录、异常时段账号登录、休眠账号登录、邮件登录IP异常、FTP异常用户登录、钓鱼邮件等； *）支持业务风险场景分析，包括Http服务器响应异常、Web服务异常操作序列、异常访问次数、基线外IP访问、非法利用业务端口、主机异常上下线等； *）支持内部威胁分析，包括异常时间拷贝、异常IP访问、数据库弱口令尝试、违规访问等； *）支持多场景的用户异常行为关联分析，并支持异常行为分析场景开发定制。情报联防 *）支持导入威胁情报，包括但不限于IP、URL、Domain、攻击样本MD*、白名单、APT情报等。 *）支持展示情报命中情况，并基于导入情报进行情报回溯。支持对导入情报的命中情况进行下钻查看相关日志。支持基于时间、IP、地域、情报来源、置信度、威胁类型、情报是否命中等维度检索导入的情报数据攻击结果判断 *）平台应支持对攻击事件的精准判断，通过完整地还原整个攻击事件，减少误报，降低安全告警事件数量。场景化分析 *）支持设置、展示、分析属于重保/日常运维等场景的重点事件。针对重保等重要场景，支持展示攻击方、防守方的信息，如攻击来源、攻击手段、攻击目标、封堵处置、情报统计、攻击溯源等情况；支持展示攻防对抗的信息，包括攻击及研判趋势图、攻击地图等。蜜罐捕获到异常访问请求。未知资产发现 *）支持流量分析资产发现。支持资产发现结果资产列表信息展示与导出，如主机资产、网站资产等。支持资产发现结果入库时批量设置资产属性信息：资产组、视图、标签、联系人、安全属性等。支持对资产发现结果的人工选择确认或者忽略。失陷资产分析 *）支持失陷资产分析，分析资产失陷后产生的一些行为，例如病毒木马后门的通信行为、异常外联行为等。 *）持对失陷资产进行判定并提供失陷资产的判定依据，包括但不限于失陷资产概要信息、攻击结果、攻击链分布阶段、失陷资产的攻击过程及过程判定依据如攻击特征、流量上下文、关联的告警日志及流量日志以及pcap包下载，并可快速扩展该失陷资产的全部攻击事件以及该失陷资产攻击者发起的攻击、该失陷资产的同类型威胁事件。 *）支持失陷事件的检测，失陷事件规则覆盖木马连接、后门连接、隐蔽信道、挖矿、蠕虫传播、勒索软件、恶意流量等场景，支持对各类场景事件的分析、跟踪。 *）支持将失陷事件快速过滤展示，集中运维。APT分析 *）支持丰富的特征匹配检测规则，对APT用到的典型的漏洞和常见的攻击工具进行检测。 *）支持APT情报导入和APT情报检测，APT组织的信息包括攻击IOC、攻击工具、利用的漏洞、攻击的对象等信息等。全流量分析设备-探针性能测试*）网络层数据处理能力不低于**Gbps，应用层的数据处理性能不低于**Gbps。 *、HTTP会话处理能力：支持新建数不低于*万/s、并发数不低于***万 *）支持最大TCP并发连接数不低于***万 *）支持威胁情报URL/IP/Domain监测特征库的规则数量不低于**万 *）白名单容量不少于**万条 *）日志传送能力不低于每秒**万条，传输速率不低于*Mbps *、系统接收到数据包后，从协议比对至作出处理动作的整体处理时延不大于***ms *）对于已知的恶意网络活动识别准确率不低于**%，通过明文通信的恶意程序识别准确率不低于**% *）对于威胁情报URL/IP/Domain规则检测命中率必须在**%以上。 **）设备应支持在本地存储至少****小时的上报数据、****小时的操作日志、****小时的原始日志全流量分析设备-分析平台性能要求*）日志处理条数不低于*****条/s（规格一）。 *）日志存储周期不低于*个月。 *）日志处理准确率不低于**%。 *）日志接收错漏比例不高于*%。 *）日志处理条数不低于*****条/s（规格二）。*.*评价检测 ***.******.***本次报名后将对购买资格预审文件的预投标产品进行评价检测，申请人应参加招标人组织的评价检测。评价检测结果未达到本公告*.*投标产品资格条件要求中***.******.***条款技术关键指标要求的，不能通过资格审查。 ***.******.***本项目******委托第三方进行检测，并出具检测报告。 ***.******.***申请人参加评价检测发生的费用全部由申请人自理，检测内容、时间及地点等事宜将另行通知（资格预审文件售卖时间截止后*日内由第三方测试机构通知）。第三方测试机构联系方式为： 测试单位：******上海研究院 测试联系人：汤卓俊 *********** 预投标产品邮寄地址：上海市秀沿西路***号B*一层 *.*法律法规规定的其他要求。 *．资格预审方法（各标包通用） *.*本次资格预审采用合格制，资格审查标准和内容详见资格预审文件。 *.*通过资格审查的申请人可参加本次资格预审范围内本项目相应标包的投标。 *.*通过资格审查的申请人不足*个时，招标人重新组织资格预审或采用资格后审进行重新招标。 *．资格预审文件的获取(按标包获取) *.*资格预审文件获取时间：****年*月**日**时**分至****年*月**日**时**分（北京时间，下称“资格预审文件登记购买及申领期限”）内完成***.******.***登记购买及***.******.***登记申领工作，并按以下步骤顺序进行操作，获取资格预审文件： ***.******.***登记购买：在资格预审文件登记购买及申领期限内，登录“诚E招电子采购交易平台”完成本项目的登记购买、资格预审文件的费用支付。 （*）注册：输入网址（https://***.******.***），点击新用户注册（注册步骤详见门户网站：投标人操作指南-注册指引）。登陆账号后点击常用文件，下载《投标人&供应商操作手册》。 （*）购买：注册成功后登录平台，点击商机发现，检索本项目并直接支付。 （*）支付：支付方式三选一，①网上支付（微信/支付宝扫码）、②电汇（须上传汇款凭证）、③钱包支付（点击“钱包管理”，充值后即可支付）。 （*）保存支付凭证：请务必在支付成功后保存支付凭证，支付凭证用于 “中国电信电子采购系统”进行资格预审文件的登记申领。 （*）疑问反馈：具体操作若有疑问，可致电客服热线：***-********。服务时间*:**-**:**（工作日）。 （*）免责声明：“诚E招电子采购交易平台”（网址：https://***.******.***/）为本项目购买的唯一渠道，其他平台的购买及支付均属无效。 ***.******.***登记申领：在资格预审文件登记购买及申领期限内，登陆中国电信供应链系统（CTSC）（https://***.******.***.cn/ctsc-portal/ctscPortal）” 后在“我要投标-去投标”模块跳转至中国电信电子采购系统进行本项目资格预审文件的登记申领。未在系统注册的申请人须先进行注册，注册方法详见本公告“*申请人注册”。如有登记申领多标包的，请务必按标包分别申领，否则后续将无法继续参与未申领标包的申请。 ***.******.***资格预审文件下载：招标代理机构对申请人的申领信息确认后，申请人即可登陆“中国电信电子采购系统”下载资格预审文件。如已登记申领多标包的，请务必按标包分别下载资格预审文件，否则后续将无法继续参与未下载资格预审文件的标包申请。 备注： （*）申请人在“诚E招电子采购交易平台”完成项目资格预审文件登记购买及费用支付后，请务必在资格预审文件登记购买及申领期限内，登陆“中国电信电子采购系统”登记申领资格预审文件，只有登记申领成功后，才可以下载资格预审文件，下载后视为资格预审文件购买及获取完成。如申请人未按时按要求登记申领资格预审文件的，后续将无法继续参与项目。在资格预审文件登记购买及申领期限内，无法登记申领的，请及时与招标代理机构项目联系人联系；在资格预审文件登记购买及申领期限结束后，“中国电信电子采购系统”将不再提供资格预审文件申领服务，未成功申领资格预审文件且无法继续参与项目的，可联系招标代理机构申请退还已支付的标书费用。因逾期无法申领资格预审文件，进而影响后续申请文件制作等活动的，由申请人自行承担相关损失。 （*）资格预审文件以“中国电信电子采购系统”登记申领下载的为准。 （*）如申请人无办理CA证书记录的，可在中国电信电子采购系统完成注册后，直接登陆申领资格预审文件，同时应尽快完成CA证书办理，用于申请文件制作及上传；如申请人有办理CA证书记录的，则主账号或子账号均需使用对应的关联CA证书登陆平台并申领资格预审文件。 *.*纸质资格预审文件获取地点：北京市西城区宣武门外大街*号庄胜广场办公楼西翼****室。 ***.******.***申请人委托经办人应持下述文件向招标代理机构了解有关信息并购买纸质资格预审文件。 （*） 单位介绍信/授权委托书以及营业执照副本复印件并加盖公章； （*） 经办人身份证原件。 *.* 资格预审文件费用：每套售价***元人民币，售后不退，如需邮寄资格预审文件的，需要以书面形式通知招标代理机构。招标代理机构在收到资格预审文件费用后*日内寄出，邮寄费用由申请人承担。 *．资格预审申请文件的递交 *.*资格预审申请文件递交截止时间：****年*月**日**时**分。 *.*电子资格预审申请文件的递交：登录中国电信供应链系统（CTSC）（https://***.******.***.cn/ctsc-portal/ctscPortal）后在“我要投标-去投标”模块跳转至中国电信电子采购系统提交，申请人应在资格预审申请文件递交截止时间之前通过电子采购系统完成加密电子资格预审申请文件的上传。申请人未在电子采购系统进行资格预审文件申领登记或电子资格预审申请文件未按照要求加密的，将无法通过电子采购系统提交电子资格预审申请文件。 *.*纸质资格预审申请文件递交地点：北京市西城区宣武门外大街*号庄胜广场西翼****室会议室*。 *.*资格预审文件要求递交纸质资格预审申请文件的，出现以下情形之一时，招标代理机构不予接收： ***.******.***电子资格预审申请文件逾期通过平台递交的； ***.******.***纸质资格预审申请文件逾期送达或者未送达指定地点的； ***.******.***未按照资格预审文件要求密封的； ***.******.***未按照本公告要求获得本项目资格预审文件的。 *．申请人注册 *.*中国电信供应链系统（CTSC）注册 已在中国电信阳光采购网或中国电信电子采购系统注册过的申请人可通过原账号密码登录中国电信供应链系统（CTSC）（https://***.******.***.cn/ctsc-portal/ctscPortal）后在“我要投标-去投标”模块申领本项目资格预审文件。 未在中国电信阳光采购网或中国电信电子采购系统注册过的申请人，请直接在中国电信供应链系统（CTSC）（https://***.******.***.cn/ctsc-portal/ctscPortal）首页完成注册后，方可申领本项目资格预审文件。 *.* CA证书办理 参与电子采购的申请人须提前办理CA证书进行电子资格预审申请文件编制和资格预审申请，并确保CA证书在使用时有效。CA证书办理流程详见中国电信供应链系统（CTSC）“帮助与支持-CA办理” *.*技术支撑联系方式 电子采购系统技术支撑：服务热线**********，服务邮箱zb_support@chinatelecom.cn。 CA证书办理技术支撑：服务热线***-********/***-********/***-********，服务邮箱bfdzyzzy******。 *．发布公告的媒介 本次资格预审公告同时且仅在中国招标投标公共服务平台（http://***.******.***/）、通信工程建设项目招标投标管理信息平台（https://***.******.***.cn/）、中国电信供应链系统（CTSC）（https://***.******.***.cn/ctsc-portal/ctscPortal）上发布，其他媒体转载无效。 *．联系及异议接收方式 *.*联系方式 招标人：****** 招标人地址：北京市海淀区复兴路**号翠微大厦写字楼**层 联系人：姚玮 电话：***-*******招标代理机构名称：****** 招标代理机构地址：北京市西城区宣武门外大街庄胜广场西翼****号 联系人： 徐忠辉 电话： *********** 电子邮件：****** 开户银行：中信银行广州花园支行 账号：******************* *.*异议接收方式 异议接收邮箱：******，或通过中国电信电子采购系统提出异议，路径：我的项目-进入本项目-其他阶段-项目异议。招标代理机构：******（加盖单位公章） ****年**月**日