中国电信2014年北京研究院信息安全工程和无线局域网建设工程项目(硬件设备)的资格预审公告 中国电信2014年北京研究院信息安全工程和无线局域网建设工程项目招标人为中国电信股份有限公司,招标代理机构为中捷通信有限公司。项目资金由招标人自筹,项目已具备招标条件,现进行公开招标,特邀请有意向的潜在投标人(以下简称申请人)提出资格预审申请。 1. 项目概况和招标范围 项目概况:按照中国电信IT安全保障体系建设规范和IT安全基线C级达标要求,采购北京研究院新址所需的无线局域网设备、信息安全设备和系统集成服务。 本次招标范围具体如下: 序号 | 标包名称 | 数量 | 1 | 无线控制器+AP 无线覆盖设备 | 1套 | 2 | 用户上网行为管理设备 | 1台 | 3 | 垃圾邮件网关设备 | 1台 | 4 | 安全审计(堡垒机)设备 | 2台 | 5 | 数据库安全防护设备 | 1台 |
2. 申请人资格要求 2.1 申请人基本资格要求 2.1.1 申请人应为中华人民共和国境内(不含香港、澳门、台湾地区)法律上和财务上独立的法人或依法登记注册的组织,合法运作并独立于招标人和招标代理机构。申请人应具有良好的银行资信和商业信誉。注册资本或开办资金应不低于1000万元(含)人民币(如注册资本或开办资金为其他外币的,按照资格预审文件递交截止之日中国人民银行公布的银行间外汇市场人民币汇率中间价折算为等值人民币)。 2.1.2 申请人的法定代表人或负责人为同一人或者存在控股、管理关系的不同申请人,不得参加同一标包投标或者未划分标包的同一招标项目投标。 2.1.3 申请人应提供近两年(2013年、2014年)经会计师事务所或审计机构审计的财务会计报表。(如尚未完成或公布经会计师事务所或审计机构审计的2014年度财务报表的,则提供经会计师事务所或审计机构审计的2012年、2013年的财务会计报表)。 2.1.4 申请人可以就上述1至5标包中的任意标包提出资格预审申请。 2.1.5 本次资格预审不接受联合体资格预审申请。 2.1.6 本次资格预审原则上不接受代理商资格预审申请,以下特殊情况除外:投标产品制造商注册地在中华人民共和国境外(与中华人民共和国有正常贸易与往来的国家或地区)及香港、澳门、台湾地区且必须使用代理商投标和签订销售合同的,或投标产品制造商注册地在中华人民共和国境内的外资或台港澳资企业且必须使用代理商投标和签订销售合同的。上述情况应由投标产品制造商出具使用代理商投标理由的说明文件并承诺对代理商投标承担连带责任。代理商申请资格预审的,应满足下列要求: 同一标包仅允许代理唯一制造商申请资格预审,且该制造商不得再委托其它申请人申请资格预审。 2.1.7 申请人应能够开具增值税专用发票,并承诺中标后向招标人开具符合招标人要求的增值税专用发票。 2.2 申请人不得存在下列情形之一 (1) 申请人被责令停业或破产状态的; (2) 申请人被暂停或取消投标资格的; (3) 申请人财产被重组、接管、查封、扣押或冻结的; (4) 申请人在最近三年内严重违反合同约定的; (5) 申请人在最近三年内有骗取中标的; (6) 申请人在与中国电信或其他电信运营商合作过程中出现过重大问题且尚未妥善解决的; (7) 投标产品在中国电信或其他电信运营商现网使用过程中出现过重大质量问题且未妥善解决的。 申请人是代理商的,本条所指的申请人也包括其所代理的制造商。 2.3 投标产品资格要求 2.3.1 投标产品应是来自中华人民共和国或是与中华人民共和国有正常贸易与往来的国家或地区的产品。 2.3.2 投标产品应符合中国电信相关技术要求,并满足以下关键技术指标: (1)新购无线控制器+AP 无线覆盖设备 技术指标 | 具体要求 | 办公基本需求 | 1、新WIFI方案中可配置多个SSID
2、多个SSID可实现各自独立的MAC地址管理
3、各个SSID可单独设置带宽
4、每个SSID可绑定集成身份认证
5、集成身份验证支持混合使用,即 MAC地址绑定可与WEP/WPA和WPA2认证、WEB 认证、微软活动目录(AD)、短信验证码、免认证等组合使用
6、用户访问记录可查询
7、SSID可按2.4G和5.8G频段划分和使用
8、AC可远程管理和设置AP各项参数,支持远程升级AP
9、支持PoE供电 | 科研基本需求 | 1、支持用户和瘦AP分组,组策略设置,按SSID、AP分组自动配置参数
2、支持特定用户单独配置策略
3、支持AP间无缝漫游切换
4、支持负载均衡
5、支持空口加密和防钓鱼检测
6、支持802.11a/b/g/n/ac协议
7、AP实际并发用户数不低于30,最大吞吐量不低于1Gbps;AC最大用户数不低于1200,支持最大接入点数不低于100,最大吞吐量不低于2Gbps | AC开放接口总体要求 | AC提供API接口及文档,方便第三方系统对连接用户及AP设备进行状态查询,参数设置等操作,接口协议应至少支持SNMP、SysLog、HTTP中的一种 | 认证设置 | 1、支持不同AP、同一个AP不同SSID设置不同的重定向HTTP URL
2、支持接收管理平台对终端用户的认证结果,根据认证结果放行或禁止访问网络
3、支持设置AP认证周期,终端用户访问网络时长超过认证周期后,需要重新认证。
4、认证功能开关,关闭后不推送Portal。
5、支持终端用户下线设置,将在线用户踢下线。 | 信息上报 | 1、支持终端用户下线事件上报
2、支持终端流量周期上报或查询,含mac、上下行流量、信号强度等。
3、支持AP心跳周期上报或查询,包含mac、cpu、内存、上下行总流量、运行时间
4、上报检测到的可疑AP信息 | 信息查询 | 1、AP列表及在线状态,即是否在线。
2、AP的 SSID信息,包括SSID名称、BSSID、关联的终端用户(mac)、加密方式、认证方式等
3、AP网段信息,LAN侧网络划分。
4、AP的WAN口IP查询
5、AP的软件版本及固件版本查询
6、终端的IP地址查询 | AP管理 | 1、支持目的IP、域名白名单设置,访问白名单地址时无需认证即可访问。
2、支持源终端MAC黑白名单设置,白名单不作认证,黑名单禁止访问。
3、支持信道设置
4、支持设备重启
5、支持设备无线开启/关闭
6、支持SSID名称修改
7、支持终端访问带宽设置
8、支持AP访问带宽设置
9、支持SSID访问带宽设置 |
(2)新购用户上网行为管理设备 | 技术指标 | 具体要求 | 符合性检查 | 1、对不合格的设备提出警告,警报,限期改进和强制改进。
2、工作站和服务器应具有周期性或强制性检查的能力,产生稽查文件并发送到安全服务器。 | 中 国采招网](bidcenter.com.cn) 终端接入认证 | 1、对于不同应用场合的用户和终端可配置不同的认证方式,如:
用户名/口令认证
MAC认证
802.1X认证
DHCP+Web认证(无需安装代理)
支持AD或者Domino LDAP等第三方认证数据库
2、可以支持在特定应用场合下同时采用一种或几种认证方式的组合 | 终端安全性检查 | 1、对试图接入网络的终端进行控制,在终端接入网络之前必须进行强制性的安全审查
2、可严格限制接入业务网络,支持对不安全终端提供终端修复协助和终端系统的加固 | 终端访问控制 | 1、控制特定用户或用户组对特定业务资源的访问
2、控制特定终端或终端群对特定网络资源的接入
3、对业务资源访问的内容监控和过滤 | 终端行为监控 | 1、可自动检测未经允许的拨号行为,并可根据需要加以阻止,包括Modem电话拨号、VPN拨号、PPPoE、无线拨号的检测,可以通过安全策略限制拨号号码和目的IP,根据需要可以自动切断拨号并告警
2、可监控网络内部设备违规接入Internet的行为
3、可支持对移动设备进行行为审计,可控制USB等移动存储设备的接入与使用,支持对访问的行为和内容进行审计监控
4、支持终端用户上网记录审计,支持对终端用户上网审计数据进行统计分析
5、可支持设置上网内容过滤
6、能够准确的审计当前软件安装状况,明确各个软件与企业安全策略的符合情况
7、对于特定业务终端能够限制其安装任何软件或者限制安装受控软件,对已安装的禁止安装的软件支持强制卸载
8、支持对HTTP(S),SMTP,POP3,IMAP4,FTP,TELNET,SSH等协议的识别和控制 | (3)新购垃圾邮件网关设备 | 技术指标 | 具体要求 | 防病毒和恶意软件 | 1、提供多种防病毒引擎以防止混合式安全威胁
2、支持对于邮件内嵌URL的分析,可对已知或未知的URL链接进行分析,以确认是否为已知或疑似含有间谍软件、恶意软件、钓鱼攻击的内容 | 反垃圾邮 | 1、支持通过反向DNS、黑白名单、防DOS攻击
2、支持基于IP地址及域名定义黑白名单
3、支持对于邮件内嵌的URL进行分类分析
4、支持独立的商业广告邮件处理
5、可以支持邮件附件扫描,并可以支持常见文件类型的过滤,如:ZIP、RAR、JPG、BMP、PNG等
6、可以基于字典库进行邮件内容扫描,可以自行编辑和修改字典库 | 内容过滤(DLP) | 1、支持根据数据防泄漏策略基于邮件的收件者、发件者、标题、内容、附件、邮件头等中的内容进行分析
2、支持基于关键字、规则表达式、自然语言处理、字典库、文件及数据库指纹等分类方式定义敏感内容
3、支持数据泄漏告警提示,并可以通知指定人员,如:发件者、发件者经理、审计人员、管理员等
4、支持数据防泄漏事件及报告管理与病毒、垃圾邮件在同一个管理界面上实现 | 最终用户控制 | 1、隔离通知邮件可以自定义格式和内容,并提供多种选项,如:邮件为误报、将发送者放入黑、白名单等,并可以提供链接以便用户直接进入管理界面
2、支持最终用户自定义私人黑白名单
3、支持LDAP用户验证并与个人邮件管理(IBM Domino)登录集成 | (4)新购安全审计(堡垒机)设备 | 技术指标 | 具体要求 | 处理能力与容量要求 | 1、主账号最少支持50用户,同时必须支持最少25并发用户
2、支持管理至少500节点(主机、数据库、网络设备等)能力,并且可根据需要进行扩容
3、字符型操作延迟≤50ms
4、图形化操作延迟≤500ms | 用户(账号)统一管理 | 1、提供自服务功能。用户可修改自身帐号属性信息,包括修改主帐号密码、主账户密码遗忘时可申请重置等功能。用户通过自服务修改密码时,系统应检查密码安全策略符合性,使之符合安全平台密码策略管理中定义的相应要求
2、提供对主帐号生命周期管理,包括建立、复制、修改、迁移、冻结、删除等功能
3、主帐号和密码的收集、存放应该充分考虑安全性要求,存放和传输过程都应加密
4、应支持按照运维安全管理要求可根据组织架构和岗位分工、用户个体标识自动和手动实现用户账号命名规则
5、提供账号密码强度的管理,包括口令安全设置及修改、组成规则及校验策略等
6、提供账号密码有效期的管理,具备口令有效期验证、提醒以及过期或输错次数锁定、管理员激活、密码重置等功能 | 身份认证 | 1、主帐号的认证采用静态密码+强认证系统进行。应用资源、系统资源的主帐号认证通过安全管理平台的强认证服务或认证枢纽转发到外部强身份认证组件进行
2、可提供设备、应用身份认证和访问控制功能,其中包括为Web、虚拟专用网(VPN)、网络设备、各种主机系统和远程访问拨号用户服务(RADIUS)提供身份认证功能
3、对用户进行分权、分域,实现细粒度的访问控制
4、提供多种身份认证选择,这些选择包括单一用户密码、记忆密码、硬件令牌、软件令牌、短信等
5、认证服务的处理能力至少为120次认证/秒 | 访问授权 | 1、支持对整个安全域内的所有资源(信息、应用、服务等)进行统一管理,资源管理的颗粒度取决于集中授权的对象颗粒度。资源包括应用资源和系统资源,应用资源主要包括相关应用系统,系统资源主要包括数据库、中间件、主机、网络设备、安全设备等
2、安全运营管理平台的实体级授权管理功能提供对系统资源-主机、网络设备、数据库等的授权管理。例如:某一主账号可访问的资源,包含主机IP地址、应用端口、访问时间范围等
3、能够对数据库、Unix系统Shell与网络设备等实体内的资源(如:数据库的表、unix系统的文件等)进行授权管理,对资源可采用的主机命令(Unix/Linux命令)以及SQL语句进行管理;包括操作指令的细粒度授权和数据库操作的细粒度授权。 | 操作审计 | 1、应支持对常见的运维操作审计,协议类型至少包括:SSH、RDP、VNC、SFTP、Telnet、FTP、HTTP、HTTPS等,数据库操作(Oracle、MS SQL Server、IBM DB2、Sybase、IBM Informix Dynamic Server、MySQL、PostgreSQL等),通过日志记录用户进行所有运维操作
2、支持用户(B/S、TELNET、SSH)跳转登录行为分析,每次跳转自动生成新的操作SESSION,管理员可以直接查询目标服务器上行为,支持多重嵌套跳转。跳转分析可以方便用户行为跟踪,管理员可以直接查询目标服务器上发生的操作行为
3、系统支持审计 Oracle、MS SQL Server、IBM DB2、MySQL、PostgreSQL 等各主流数据库的操作行为
4、支持字符和图形化界面操作行为回放,图形操作日志支持基于用户账号、IP、访问时间等信息的检索 | (5)新购数据库安全防护设备 | 技术指标 | 具体要求 | 监控、审计与告警 | 1、提供全面记录、审计数据库SQL级操作以及Ftp、Telnet等运维操作,还原出原始SQL语句,同时记录操作相关的各种信息
2、系统可以SMTP/POP3协议进行审计,详细记录邮件收发的信息包括地址、标题、正文、附件名称等。
3、提供双向审计功能。双向审计是对数据库客户端的访问行为,以及数据库的返回结果同时审计
4、系统应支持会话阻断等阻断方式
5、具有漏洞扫描功能,可以针对主流数据库进行漏洞扫描 | 系统部署要求 | 1、系统应不影响接入平台的现有网络。影响范围包括:对接入平台新增或者减少网络设备,改变接入平台的网络路由等
2、系统应不改变用户现有业务操作方式,保证员工沿用现有业务使用习惯,如确因技术等原因,应最大限度的少改变现有业务方式,最大程度保证系统上线后,员工的感知度和认同度
3、数据库安全防护设备应能够通过网络旁路监听或数据库代理的方式,监控对数据库服务器的各类操作行为 |
2.3.3 投标产品还应具备以下条件: 2013年1月1日至2015年5月31日,投标产品具有在国内通信领域信息安全产品的至少1个成功案例。 2.4 法律法规规定的其他要求。 3. 资格预审方法 本次资格预审采用合格制,资格审查标准和内容详见资格预审文件,凡通过本项目资格预审的申请人均可参加本项目相应标包的投标。 4. 资格预审文件的获取 4.1 资格预审文件获取时间:2015年6月24日至2015年6月30日(法定公休日、法定节假日除外),每日上午9时00分至11时00分,下午14时00分至16时00分(北京时间,下同)。 4.2 资格预审文件获取地点:北京市西城区西直门外大街1号院西环广场T1-909中捷通信有限公司。 4.3 资格预审文件获取方式:申请人应委托经办人携带下述文件向招标人/招标代理机构了解有关信息并购买资格预审文件: (1) 单位介绍信、营业执照副本复印件和组织机构代码证的复印件并加盖公章; (2) 经办人身份证原件; (3) 税务信息表并加盖财务专用章,格式如下: 序号 | 类别 | 信息 | 1 | 申请人名称 | 2 | 申请人注册地址 | 3 | 申请人联系电话 | 4 | 纳税人识别号 | 5 | 开户银行 | 6 | 户名 | 7 | 银行账号 | 8 | 开票类型 | 增值税专用发票/增值税普通发票 | 9 | 组织机构代码证号 | 注:由于申请人提供税务信息错误导致的全部损失由申请人承担。 |
(4) 增值税一般纳税人证明文件(增值税一般纳税人须提供)。 4.4 资格预审文件每标包售价300元人民币,售后不退。 5. 资格预审申请文件的递交 5.1 资格预审申请文件递交截止时间:2015年7月6日10时00分。 5.2 资格预审申请文件递交地点:北京市西城区西直门外大街1号院西环广场T1-909中捷通信有限公司会议室。 5.3 逾期送达或者未送达指定地点的资格预审申请文件,招标人或招标代理机构不予受理。 5.4 资格预审申请文件的语言:中文。 7. 联系方式 招标代理机构:中捷通信有限公司 地址:北京市西城区西直门外大街1号院西环广场T1-909 邮编:100044 购买 联系人:林娟、马欣 电话:189*****517、189*****765 项目 联系人:苏京 电话:180*****821 电 子 邮 件:180*****821@189.cn 开 户 银 行:中国工商银行广州庙前直街支行 账号:3602 0010 1920 0328 213 招标代理机构:中捷通信有限公司 2015年6月23日 | 
