项目名称：福******内外网二级等保产品需求采购（重新招标）项目编号：****FZDYCG-**-*一、项目联系方式：项目联系人：吴工项目联系电话：***********二、原公告名称及地址时间等：首次公告日期：****年**月**日本次变更日期：****年**月**日原公告项目名称：福******内外网二级等保产品需求采购（重新招标）原公告地址：http://***.******.***.cn/GS*/BidInfo/preview*?bidId=*c****a***db*fe**********f***a*c三、更正事项、内容：福******内外网二级等保产品需求采购（重新招标）补充通知*本补充通知作为福******内外网二级等保产品需求采购（重新招标）（招标编号：****FZDYCG-**-*）招标文件的澄清、补充和修改，是招标文件的组成部分。本补充通知与招标文件有不一致之处，以本补充通知为准。*、本项目原招标文件第三章招标内容及要求新增技术和服务要求如下： 序号 设备名称 设备规格参数 数量 单位 * 下一代防火墙 *) 标准机架式设备，占用机柜空间≤*U, 单交流电源；≥*个**/***/****M Base-TX；至少支持一个扩展槽位;支持面板液晶屏显示；具备防火墙模块、入侵防御模块、防病毒模块、上网行为管理模块，并提供特征库升级授权及维保服务；整机吞吐≥*Gbps，并发连接数≥***万，每秒新建连接数≥*万；IPS吞吐量≥*Gbps，防病毒吞吐量≥*.*Gbps，VPN Ipsec隧道数≥****条.*)提供基于应用的路由选路功能，可为不同应用协议、传输的不同格式文件、不同的URL访问智能选择相应的链路；*)支持以太网捆绑技术，支持手动捆绑和***.*ad协议自动协商捆绑，至少支持基于IP&MAC\MAC\IP&PORT的负载算法；（截图证明）*) 支持系统主要防护功能的统一化模版设置，模版分为高、中、低三个级别，分别对应不同防护强度，可通过Web界面单击选择切换（提供web界面功能截图）*)支持基于数据包的安全域、地址、用户及用户组、MAC、端口号、服务、域名等进行安全策略控制；*) 为降低配置和运维难度，提升设备整体性能，必须尽可能减少设备配置规则数量（规则越多设备实际性能越低），要求必须通过一条策略实现用户认证、入侵防护、病毒防护、上网行为管理、邮件审计、垃圾邮件过滤、流量控制、连接数控制、审计等功能；（截图证明）*) 支持标准的IPSec VPN功能，支持DMVPN，在增加一个新的分支节点网关后，不需要在中心网关更改任何配置，且支持路由推送，实现spoke to spoke互通，不必建立额外隧道；（截图证明）*) 支持syslog，为实现日志冗余措施，应支持同时向*个以上syslog服务器发送syslog日志；（截图证明）*)支持新建连接数限制，并可选择全局或者每IP进行限制，对于超出限制值的行为，可选择是否进行日志提醒，（截图证明）**)入侵防御事件库至少应包括木马后门、间谍软件、可疑行为、安全漏洞及网络数据库攻击等的特征事件；提供相关界面截图证明。（截图证明）；**) 支持IPv*和IPv*双栈协议下的病毒扫描与防护，支持快速扫描、全面扫描模式。采用自有知识产权的病毒防护引擎，包括病毒检测引擎和病毒分析引擎，且病毒库不少于***万种病毒特征（提供相关专利证明）**)支持HTTP Flood攻击防御，能够根据源主机GET、POST速率等参数定义防御级别；支持抗攻击流量清洗，并能够实时呈现攻击流量和感兴趣流量的比例，（截图证明）**) 必须支持三权分立功能，内置系统管理员、安全保密管理员、安全审计管理员；在三权分立模式下，对日志文件以加密方式导出。为方便运维管理操作，要求产品支持中英文界面，且支持基于WEB界面的CLI命令行功能, 能够通过web界面进行debug、traceroute、arp探测等网络调试。(截图证明)**) 产品具有中国信息安全测评中心颁发的《信息技术产品安全测评证书EAL*+》；提供证书复印件证明**) 产品具有中国国家保密局测评中心颁发的《涉密信息系统产品检测证书》；提供证书复印件证明**) 产品要求符合“GB/T *****-****信息安全技术防火墙技术要求和测试评价方法(三级)的安全网关检测报告。提供证明文件**）产品应具备公安部颁发的信息安全专用产品销售许可证；（增强级）提供证书复印件证明，**) 厂商资质：为保证产品成熟稳定，要求厂商应属于微软MAPP合作伙伴，可优先获得微软安全威胁第一手资料，用于提升安全产品检测能力；具备中国信息安全产品测评中心颁发的《国家信息安全认证信息安全服务资质证书》（安全工程类二级）；要求厂商加入云安全联盟CSA（Cloud Security Alliance）, 作为该联盟成员，可及时获得病毒、木马、钓鱼网站、僵尸网络等样本信息，为用户提供更及时的安全防护；（提供证明资料） * 套 * 运维堡垒机 *、*U机架式软硬一体设备，单电源, 至少支持*个千兆电口，具有一个扩展插槽; 硬盘容量*TB；字符协议不低于***个；图形协议不低于***个; 可管理设备数不低于**台.*、部署方式支持物理旁路，逻辑串联模式，不影响正常业务流量;支持HA双机热备;支持分布式部署：支持添加多台（≥*台）协议代理服务器，分担审计中心性能压力；并支持通过不同的协议代理服务器节点访问不同的资源，多协议代理服务器节点可访问相同资源时实现自动负载均衡（需提供截图）*、支持NAT地址映射部署，通过映射后的IP地址访问堡垒机*、支持协议审计有，字符协议：SSHv*、SSHv*、TELNET、RLOGIN图形协议：RDP、VNC、X**文件传输协议：FTP、SFTP数据库协议：支持Oracle、MS SQL Server、IBM DB*、Sybase、IBM Informix Dynamic Server、MySQL、PostgreSQL、TeraData等数据库类型.*、支持通过应用发布进行协议审计，记录命令详情，包括字符协议和数据库协议等，审计回放支持协议回放和图形回放.*、支持web页面防跳转功能，进行http/https访问过程中，运维人员仅允许访问授权地址。*、支持Oracle、postgresql、sybase、mysql、sqlserver数据库下行返回行数和oracle数据库变量绑定。（需提供截图）*、支持运维客户端功能，运维操作过程不依赖浏览器和JAVA环境。（需提供截图）*、支持通过堡垒机web页面内嵌SSH、FTP、TELNET运维工具访问目标资源.**、RDP协议支持windows服务端开启安全层SSL加密，加密级别符合FIPS标准，允许运行使用网络级别身份验证的远程桌面的计算机连接。（需提供截图）**、系统级账号三权分立，系统级账号包括：系统账号管理员，系统审计员，系统管理员；业务管理员以业务管理权限范围实现不同业务管理员权限的完全隔离，可设置业务管理员可管理的用户组和资源组范围。（需提供截图）**、从账号密码代填自动登录，使用人员不必知道服务器帐号及密码（包括http/https访问的账号密码代填）.**、基于用户、用户组、目标设备、系统帐号、协议类型、生效时间范围、IP地址限制等设置访问控制策略.**、按用户、目标设备、系统帐号、命令集和生效时间等内容或按访问授权策略设定安全事件规则；支持指令黑白名单.**、对违规或高危操作的指令（黑名单）进行日志提醒、忽略命令、阻断会话或二次审批支持对违规或高危指令的正则表达式设置匹配规则。（需提供截图）**、支持运维用户和用户组的管理，包括添加、修改、删除、启用/停用、移动资源和移除组成员功能；支持运维用户账号的批量导入导出功能**、支持运维用户使用有效期配置；支持运维用户客户端IP和MAC限制。（需提供截图）**、支持运维用户密码策略，包括：最小密码长度、密码复杂度、密码周期、历史比对和登录锁定;**、以WEB在线视频回放方式重现维护人员对服务器的所有操作过程，无须在客户端安装播放客户端软件.**、以CSV、HTML方式生成并导出报表；管理员自定义审计报表；以日报、周报、月报的方式自动生成周期性报表. （需提供截图）**、支持数据备份，具备空间自管理功能，存储空间不足时能够自动清理历史数据， 可自定义清理存储空间的阀值（需提供截图）**、产品须获得国家保密局涉密信息系统安全保密测评中心《涉密信息系统产品检测证书》；并提供证书复印件**、产品须具有中国信息安全测评中心《信息技术产品安全测评证书》EAL*+级；并提供证书复印件**、厂商资质：为保证产品成熟稳定，要求厂商应属于微软MAPP合作伙伴，可优先获得微软安全威胁第一手资料，用于提升安全产品检测能力；具备中国信息安全产品测评中心颁发的《国家信息安全认证信息安全服务资质证书》（安全工程类二级）；要求厂商加入云安全联盟CSA（Cloud Security Alliance）, 作为该联盟成员，可及时获得病毒、木马、钓鱼网站、僵尸网络等样本信息，为用户提供更及时的安全防护；（提供证明资料） * 套 * 内网安全管理系统 *、要求平台软件集合传统桌面管理，终端防病毒为一身，能从根本上解决了终端计算机对蠕虫病毒的主动防御、Windows补丁管理、非授权访问控制、端点准入控制、桌面运行环境的标准化、数据防泄露和自动化管理等一系列问题，满足等保主机防护要求。*、客户端支持Windows XP SP*，Windows *, Windows *, Windows **系统上部署。提供**个终端数授权*、支持Windows、Linux、Android、iOS等系统平台自带的***.*X客户端在系统中进行认证。支持的目录服务包括本地目录服务和AD域等第三方目录服务。如果计算机终端未安装客户端程序，则会被重新定向URL到指定的网页下载客户端并进行安装，在此基础上修复安全漏洞。*、支持多种方式对非法外联行为进行审计和告警，告警方式包括：手机短信、电子邮件和声音告警。（提供界面截图）*、具备Windows服务管理功能。能够禁用或启用终端指定软件服务。能够启用和修改Windows本地策略中的“审核策略”和账户策略及选项；能够启用或禁用Windows本地策略中的“安全选项”中“隐藏上次登录用户名”和“关机时清理虚拟内存页面文件”选项，能够对Windows本地策略中的“用户权限分配”进行设置。*、 能够对终端网络流量进行监控和管理，可以根据终端应用系统终端带宽阀值，保证关键应用系统带宽资源，阻断终端异常流量对内网的阻塞。将蠕虫病毒或非业务流量对网络的影响减到最小。*、能够对终端网络行为异常进行监测和控制，网络行为异常包括但不限于异常的网络连接、异常发包行为、异常的终端流量等，避免因为终端的网络异常导致整个企业内网网络阻塞或者瘫痪。（提供界面截图）*、 自动收集终端软、硬件信息，集中显示统一部署的软件资产情况。支持补丁分发。提供厂商自己的补丁服务器进行补丁下载并分发。*、支持终端主机名策略，能够禁止用户修改主机名，如果违规修改主机名，系统将自动将终端主机名恢复到绑定的主机名程。**、支持对终端接入的移动存储设备提供认证、授权和审计，确保终端使用认证通过的移动储存设备，对数据进行授权共享，彻底杜绝通过移动存储设备的数据非法外泄。**、支持对终端的共享目录、网络拷贝、全盘、本地盘和移动盘的文件操作进行审计。能够对终端的打印行为进行审计和控制，禁止指定终端的打印行为。**、能够对终端磁盘上是否存在涉密信息进行审计。支持用户自定义涉密信息关键字、正则表达式，支持的文档格式包括：支持的文件格式包括：各版本MS Office文档、Wps、Rtf、Pdf、各类文本格式等等。**、涉密信息审计和查询，支持查询终端当前及历史涉密信息，涉密文件的的变更信息。（提供界面截图）**、持以基于中文分词的文件指纹作为涉密标识符，文件指纹支持对文档格式变形和内容变形的审计和阻止。（提供界面截图）**、能够审计并阻止本地文档拷贝至移动盘、本地或网络盘的涉密行为，上报拷贝包含指定关键词、正则表达式、指纹等涉密的文件。并可标识是否拷贝了加密文件（office、压缩包等）。**、能够审计并阻止QQ外发涉密文件的行为，上报QQ外发包含指定关键词、正则表达式、指纹等涉密的文件。能够可禁止QQ发送图片和接收图片（提供界面截图）**、能够审计邮件客户端发送详细信息：收件人、抄送人、密送人、主题、正文内容、附件信息；能够审计并阻止邮件内容或附件是否包含关键词、正则表达式、文件指纹等，并可标识是否外发了加密文件（office、压缩包等）能够审计并阻止通过Web邮箱、博客、微博、论坛等网页形式发送文字的行为。上报外发文字包含指定关键词、正则表达式、指纹等涉密的网页。（提供界面截图）**、能够自定义软件进程列表，审计自定义外发涉密文件的行为，上报包含指定关键词、正则表达式、指纹的文件外发。,并可标识是否外发了加密文件（office、压缩包等）。能够控制自定义进程外发涉密文件的行为，包含指定关键词、正则表达式、指纹的文件不允许外发。**、 支持由管理员自定义设置要求终端用户提供准确的身份信息，管理员可以自定义需要终端用户选择和填写客户端注册信息项目内容、注册项排列顺序和必填项。**、支持对安装系统的服务器性能状况进行实时监控，可以监控和显示服务器的CPU使用率、内存使用率、系统所在硬盘分区使用率和数据库可用磁盘空间的状况。**、支持的数据库为SQL Server ****/****/**** Express/****/**** Express。客户端支持Windows ****/XP/****/****/Vista/Windows * /Windows *的**位操作系统和Windows XP/****/**** /Windows * / Windows *的**位操作系统。（提供界面截图）**、系统在计算机运行后，资源占用小，Agent占用的CPU利用率应 *％，Memory占用大小应 **M。网络性能影响要求：系统运行后，对网络性能基本无影响。（提供界面截图）**、系统具有功能强大的身份认证系统和良好的自身安全性，没有预留的后门，客户端与服务器的通讯需要进行验证，客户端软件卸载需要提供卸载密码。**、产品必须具备有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》提供证书复印件证明**、产品具有国家版权局颁发的《计算机软件著作权登记证书》。提供证书复印件证明**、为保证产品成熟稳定，要求厂商应属于微软MAPP合作伙伴，可优先获得微软安全威胁第一手资料，用于提升安全产品检测能力；具备中国信息安全产品测评中心颁发的《国家信息安全认证信息安全服务资质证书》（安全工程类二级）；要求厂商加入云安全联盟CSA（Cloud Security Alliance）, 作为该联盟成员，可及时获得病毒、木马、钓鱼网站、僵尸网络等样本信息，为用户提供更及时的安全防护；（提供证明资料） * 套 等级保护咨询服务 序号 服务名称 详细服务内容 数量 单位 * 等级保护咨询服务及安全运维服务 *、资产分析：对参与安全等级保护的系统进行资产信息调查、网络结构调查、安全系统调查等，形成最终的资产报告。（*）资产调查：调查和统计服务范围内的信息资产。（*）网络调查：包括对所有网络的拓扑结构进行调查，并按统一标准绘制成图。（*）安全系统调查：包括但不限于明确现有安全设备(包括防火墙、防病毒系统、入侵检测系统等)的部署情况和使用情况，编制安全区域图。提交成果：《信息系统资产调查表》*、定级咨询：在招标方信息系统自行定级的基础上，中标方参照国家和地方对信息系统安全等级保护定级的有关要求，对信息系统开展摸底调查工作，掌握信息系统的基本情况，了解信息系统（包括信息网络）的业务类型、应用或服务范围、用户数量、系统结构、部署方式、安全策略、内控制度等信息，撰写信息系统定级报告，明确信息系统的边界和安全保护等级，说明定级的方法和理由。并收集整理定级系统参与福建省网络与信息安全测评中心安全等级测评所需的资料和文档。提交成果：《信息系统安全等级保护定级报告》*、协助备案：根据《信息安全等级保护管理办法》，信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门，应到公安部网站下载《信息系统安全等级保护备案表》，中标方需要协助招标方填写《信息系统安全等级保护备案表》，同时协助到公安机关完成备案工作。如需反复多次修改，须按照单位和市公安局要求修正。提交成果：《信息系统安全等级保护备案表》*、风险评估：（*）根据《信息系统安全等级保护定级报告》和信息系统安全等级保护要求，采用的技术手段、人工方法和使用的工具，明确评估的具体内容，制订《安全评估方案》，《安全评估现场计划》，《安全评估作业指导书》。（*）根据信息系统安全等级保护基本要求，开展物理环境、网络安全、服务器安全、应用系统安全现状评估。（*）通过现场评估、脆弱性评估以及渗透测试等技术手段进行信息系统安全风险评估分析，编制风险评估报告。进行网络入侵检测，在入侵预警日志中能够明确定位入侵事件类别等。对信息系统进行安全风险评估，评估系统的漏洞与脆弱性，采用的服务工具应提供网站风险列表和漏洞信息等功能。进行渗透测试，采用工具扫描+手工验证的方式，模拟黑客攻击的方法进行非破坏性质的攻击性测试。提交成果：《安全评估方案》、《信息系统安全等级保护风险分析报告》*、差距分析：在安全评估和信息系统定级的基础上，根据《信息系统安全保护等级基本要求》将定级信息系统安全等级保护的各项基本要求与信息安全现状进行比较分析，从管理和技术两个层面找出存在的问题并进行分析。对于需要增加投资，部署新的信息安全产品和技术的整改措施，双方根据整改方案另行协商和实施。（*）进行安全差距分析，从物理安全、网络安全、主机安全、应用安全、数据安全以及安全管理深入识别现状与指标库之间的差距情况。（*）进行网络安全域分析，将运维管理、开发测试、办公网络以及生产区域进行逻辑划分和访问控制策略。（*）进行安全管理制度分析，从信息安全方针、管理体系、安全管理机构的设立、人员管理、重要区域访问控制、信息系统建设管理、产品采购、系统运维管理、恶意代码、备份恢复策略、应急响应等深入识别安全管理制度与指标库的差距情况。（*）安全建设规划：根据上述风险评估结果，结合信息系统安全等级保护要求，等保规划方案和整改方案。a)确立保护对象b)保护计算环境c)保护区域边界d)保护通信网络e)建设安全管理体系。提交成果：《信息系统安全等级保护差距分析报告》*、管理制度编辑服务：安全管理制度建设，主要包括但不限于信息安全工作职责，信息安全监督、检查机制；辅助用户编写方针、制度、各类记录表格模板在内的三层结构的安全管理制度。管理制度包括但不限于：《信息系统安全策略管理》、《安全制度制订流程规定》、《操作系统维护规程》、《数据库系统维护规程》、《机安全管理员岗位职责》、《信息系统安全培训管理》、《安全管理日常维护细则》、《安全审计管理制度》、《第三方人员管理制度》、《防病毒紧急响应流程》、《机房监控与管理流程》、《机房运行管理规范》、《服务器运维管理规范》、《软件开发环境使用管理要求》、《系统交付管理规范》、《资产安全管理规范》、《安全事件报告和处置管理规范》、《信息系统安全应急处理体系》、《人员安全管理规范》、《信息系统安全运维管理规范》等编辑。*、策略复查：（*）派遣专业工程师到现场针对加固前后的系统脆弱性进行复查，复查手段包括但不限于协议分析、漏洞扫描、漏洞验证以及配置核查等方法。（*）复查范围包括：*）技术层面：物理安全、网络安全、主机安全、应用安全、数据安全；*）管理层面：安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。（*）复查结束后，形成加固前后对比复查报告。*、等保测评现场辅助：在服务期（三年）内，用户方如有申请测评，则必须协助测评方完成测评检测、数据采集、和系统安全整改等工作，直至备案系统通过等级测评。同时要求在第一次项目系统安全测评通过前提供驻场服务，确保通过首次等保测评。 * 套 （注：所有条款为实质性条款 如一条不符合将导致投标文件无效）招标人：福******（盖章）二〇一八年九月六日四、其它补充事宜：五、联系方式：采购单位名称：福******采购单位地址：福建省福州市仓山区城门镇潘墩路***号采购单位联系方式：吴工 ***********采购代理机构全称：福州大禹******采购代理机构地址：福州市晋安区磐石路**号时代广场*号楼*层采购代理机构联系方式： 林工 ***********