SZTMD2017-X-017苏州市人民政府外事办公室关于web应用防护系统的采购公告

采购项目类别：电脑及办公
编号：SZTMD2017-X-017
受苏州市人民政府外事办公室委托，我公司对其采购的web应用防护系统进行协议供货再竞争询价采购，欢迎供应商参加。
一、采购概况：
1、合格询价响应供应商的条件：
1.1、具有独立承担民事责任的能力；
1.2、具有良好的商业信誉和健全的财务会计制度；
1.3、具有履行合同所必须的设备和专业技术能力；
1.4、有依法缴纳税收和社会保障资金的良好记录；
1.5、参加采购活动前三年内，在经营活动中没有重大违法记录；
1.6、法律、行政法规规定的其他条件；
2、本项目采购预算:150000元
3、采购清单:
序号
产品名称
标准配置及基本参数
数量
1
web应用防护系统
机架设备， 最大配置不少于10个接口；不少于包括1个可插拨扩展槽6个10/100/1000Base-T端口；
3年特征库升级服务，内含SQL注入、XSS、CSRF等WEB攻击防护功能、URL访问控制功能、防盗链功能、WEB漏洞扫描功能、DDOS攻击防护功能、网页防篡改功能、服务器负载均衡功能、报表分析及告警功能，三年原厂质保
1台
具体技术要求：
指标
指标项
规格要求
设备基本要求
专用的硬件和软件保障
采用专用硬件架构与专用安全操作系统，基于操作系统内核的完全检测技术；硬件设备可以机架安装；
硬件模块化设计
硬件采用模块化设计，可以通过扩展卡来增减业务接口。
端口数量和扩展能力
MTBF
不少于450000小时；
性能要求
最大吞吐能力
不小于600M；
并发TCP会话数
不小于100万；
网络部署
部署方式
无IP纯透明模式串联部署、旁路监测模式部署、负载均衡模式部署；
串联部署时防护口不占用IP地址；
串联部署时服务器可以看到真实客户端源IP，而不是WAF的业务IP地址；
网络适应性
支持VLAN划分，支持多VLAN环境下trunk的部署；
支持虚拟线无论任何网络环境可强制数据从一个接口转发到另一个接口；
物理接口支持子接口；
支持链路聚合(Channel)部署，提高链路带宽；支持Trunk链路防护；
支持自定义配置网络接口MTU、双工模式、双工模式等属性；
支持静态路由及策略路由配置；
支持ARP绑定；
支持静态MAC地址表配置；
支持服务器健康检查，可以实时监测服务器的活跃状态；
支持IPV6协议；
支持IPV6协议下邻居指定；
攻击防护
HTTPS支持
支持HTTP/HTTPS站点防护；
协议合规检查
支持请求限制配置通过定义最大请求头长度、最大content-length、最大body长度、最大请求行长度、最大header行长度、最多cookies个数、最多header头个数、最大header长度等来对请用户数据做合规性检查；
WEB安全防护
应能识别和阻断SQL注入攻击,Cookie 注入攻击，命令注入攻击；
应能识别和阻断跨站脚本(XSS)攻击；
支持webshell等后门上传防护、支持对后门连接的阻断；
支持对appscan、awvs等扫描器的扫描防护；
支持远程文件包含、本地文件包含、目录遍历、信息泄露等攻击防护
支持HTTP参数污染攻击、00截断、Struts2命令执行等常见攻击防护
支持爬虫防护且用户可以根据需要可以自定义爬虫
支持盗链防护，且支持攻击源盗链例外配置，及目的服务器URI例外配置。
应能识别和阻断跨站请求伪造(CSRF)攻击
支持IP黑白名单、URL黑白名单控制。
支持对身份证、信用卡、手机电话号码、座机电话号码、邮箱地址等敏感信息做检查，当检查到此类数据后可通过配置特殊字符予以替换隐藏，防止信息泄露。
支持对URL编码、多次编码等方式绕过WAF的编码方式进行识别，防止绕过。
可对文件上传做控制，包括最多上传文件数、最大文件上传大小、最大表单个数、最大表单参数长度、可以通过对上传文件的扩展名、MIME类型及允许请求体编码类型等做上传控制。
多维立体防御机制
与网络防火墙防御策略进行安全联动。
病毒防御能力
内嵌双引擎杀毒技术，可单独采用流杀毒（快速扫描）引擎或文件型杀毒（深度扫描）引擎，也可同时支持两种杀毒引擎，能够根据不同的被检测协议采用不同杀毒引擎（截图证明）；
支持IPv4和IPv6双栈协议的病毒扫描和过滤
检测到攻击后支持阻断、只检测、重定向等动作且动作为阻断时用户可自定义阻断页面。
支持URI策略例外，可针对服务器上URL中的特殊URI地址做单独的策略控制。
支持自学习建模功能，可以通过学习正常URL参数的长度、参数类型、请求方法等数据特点创建白名单模型，如果参数违反白名单模型则认为是非法流量直接阻断。开启自学习建模功能后可生成自学习结果报告。
支持虚拟补丁功能，支持导入appscan、w3af等第三方扫描器的扫描结果生成WAF的规则，对此类网站漏洞直接防护。
可停用或启用任意一条规则，当触发规则后可以制定针对该条规则的动作，包括阻断记录日志、阻断不记录日志、继续、警告、临时或永久跳转到某一重定向页面等动作。
s证书支持直接将证书内容填充到waf内使用，不用再上传或者转换证书使用。
配置易用性
可以针对服务器IP地址进行防护，而不需要配置需要防护的网站域名
支持域名自学习，可以自动学习网络中网站服务器的IP地址及此地址下的域名。
DDoS攻击防护
支持基线学习，可以自动学习用户 正常流量阈值模型，并给出推荐阈值配置项。
对ddos流量支持检测清洗和强制防御两种模式，检测清洗根据是否到达阈值对流量进行清洗，强制清洗对所有流量直接进行流量清洗判断。
支持针对每秒包数、每秒新建连接数、每秒并发连接数对HTTP/HTTPS Flood攻击做控制配置
支持对客户端在单位时间内的访问URI的次数做控制配置，防止特定URI路径被HTTP Flood恶意ddos攻击访问消耗服务器资源导致服务器拒绝服务。
支持对SLOW HEADER和SLOW POST的等慢速ddos攻击的防护。
支持对HTTP/HTTPS Flood攻击源的发包速度、源新建连接数、源并发连接数做源限速控制配置，且可以阻断攻击或者将攻击IP加入黑名单。
支持对HTTP/HTTPS Flood攻击目的服务器的发包速度、源新建连接数、源并发连接数做目的限速控制配置，且可以阻断攻击或者将攻击IP加入黑名单。
支持对HTTP/HTTPS Flood攻击做重定向或验证码验证，将异常流量加入黑名单
网页防篡改
网关型网页防篡改，无需在服务器中安装任何插件，可以对动态网
站及静态网站文件内容进行防篡改，当检测到篡改后可以实时恢复篡改内容。(提供截图证明)
WEB漏洞扫描
支持多种WEB应用漏洞的安全扫描检测，如SQL注入、跨站脚本、目录遍历等。
支持自定义WEB漏洞扫描任务，支持对需要认证登录的web系统进行漏洞扫描，支持自定义每日、每周、每月等扫描周期设置。
可导出web漏洞扫描报告，报告支持pdf,html,txt,xml等格式
负载均衡
支持多服务器的负载均衡，支持轮叫、加权轮叫、原地址散列、最小连接等多种负载均衡算法。
能配合现有的负载均衡设备协同工作，支持任意部署，而不影响客户现有拓扑。
数据分析
网络数据分析
Web界面可以直观查看WAF扩展卡、接口、USB口、管理口、HA口及业务口的运行状态。
可以查看使用业务接口的上下行实时流量。
可以查看通过WAF的所有IPV4及IPV6客户端和服务器IP地址及端口连接数及状态。
可以实时查看设备新建连接数、并发连接数、每秒事务数及HTTP应用层吞吐率等数据并以可视化的方式展示。
设备运行数据分析
可以实时查看设备CPU、内存、SSD固态硬盘等自身使用率情况。
日志报表数据分析
日志支持以syslog和welf两种格式向远端日志服务器发送日志。
日志传输可加密，且管理员可以配置加密密码。
支持系统日志、管理员登录日志、调试日志的记录
流量日志(访问日志)支持记录包括时间、客户端IP、客户端端口、服务器IP、服务器端口、协议类型、服务器IP地址、访问的URL地址、请求方法、服务器响应、接口及发送数据大小等相关信息。
攻击日志支持记录包括时间、严重程度、客户端IP、客户端端口、服务器IP、服务器端口、协议类型、时间类型、触发规则ID、解决建议、处理动作、攻击请求头等相关信息。
支持防篡改日志及抗DDOS日志的记录。
日志支持多条件与查询，支持CSV及XML格式的日志导出，日志支持清空配置。
支持每种攻击时间类型及次数的统计并以柱状图等形式直观展现。
支持最近一小时、一天、三十天等多种条件内攻击源IP攻击次数及攻击分布TOPN的统计。
系统管理
系统管理
支持SSL的WEB界面、SSH、Console多种方式管理。
支持手工设置时间、本地同步时间、和NTP服务器同步时间
支持ping、TRACEROUTE、TCP、HTTP、DNS等多种故障诊断方式。
支持SNMP的V1、V2、V3管理，支持SNMP陷阱主机功能。
支持WAF本机DNS域名解析。
支持WAF配置文件导入、导出及恢复出厂配置。
支持操作系统WEB方式升级及命令行等方式的离线升级。
支持规则库的在线升级和离线升级
支持攻击日志邮件告警，可以定时将特定攻击类型的攻击日志间隔定一定时间后定时发送至指定邮箱。
支持攻击报表邮件告警，可以定时将攻击报表间隔定一定时间后定时发送至指定邮箱。
告警邮件支持明文传输、支持starttls认证传输、支持ssl的加密传输
账号及认证管理
支持帐号创建、帐号授权、帐号属性修改、帐号删除等账号管理功能。
支持用户身份认证，用户切换角色时，必须进行重新认证。
支持超时重新认证机制并能够定义用户认证尝试的最大允许失败次数。
支持账号策略自定义，支持定义允许最大登录失败次数、密码错误账号锁定时间、最大在线管理员数、对其他非法在线管理员强制下线、防管理员账号暴力破解
高可用性
双机热备
支持双机热备，主备模式、主主负载均衡模式、连接保护模式(主主模式下一边断了，会话表会同步到另一边数据不丢包)。
支持两台WAF配置同步
支持同一台WAF上下接口状态联动(一个接口down另外一个接口也同步down)
两台WAF路由模式接入、两台WAF纯透明交换模式接入
硬件Bypass功能
支持开机及断电bypass模式，光口支持外置bypass模块
注：1、成交供应商须按客户要求运送到客户指定地点，完成安装调试，以及与之相关的一切必要配套工作。
二、质量、技术要求：
1、所有报价设备的生产、制造、安装等，各项技术标准应当符合国家（强制性）标准、各项规范要求；注明单台最高限价的货物还须符合江苏省省级最新一期协议供货中标结果；国家没有相应标准、规范的，可使用行业标准、规定；非标设备按采购文件约定的技术要求和规范。
2．质量保证：报价设备是全新的、未使用过的，并且是非长期积压的库存商品，完全符合采购设备规定的质量、规格和性能的要求，报价方应保证其提供的设备在正确安装、正常使用和保养条件下，在规定的使用寿命期内具有满意的性能。
3．本项目不接受进口产品。
4. 签订合同时成交供应商须提供针对本项目的原厂授权函及质保函原件，否则，采购方有权拒绝签订合同。
三、售后服务要求：
1.交货时间：自采购合同签订之日起15日内交货并完成安装调试，如不能如期供货，采购单位有权终止合同，成交单位须承担由此对采购方造成的损失；
2. 采购货物的验收：
①所有设备外包装箱不得自行拆封，包装箱上所有标签等不得涂改或撕毁，否则采购单位有权拒绝验收。
②验收标准：符合设备本身的规格、技术条件及乙方承诺的其它指标；
③采购货物的验收时间：货到安装调试完成后7工作日内。
3. 成交单位提供7*24小时的售后服务；
四、报价文件组成：
1．企业营业执照副本、组织机构代码证、税务登记证（三证合一只需营业执照副本）。
2．报价单位的法定代表人授权委托书（原件）和法定代表人身份证号码或身份证明，被授权人身份证号码或身份证明。
3. 报价货物的产地、品牌、型号、参数规格、性能、服务等介绍说明。
4．安装、调试、验收方案及售后服务；
5．参加采购活动前三年内，在经营活动中没有重大违法记录的声明书。
6．交付使用日期。
7. 报价明细表。
8. 询价响应函。
五、报价说明：
1．报价响应包括完成该项工作过程中发生的一切费用，包括货物、配件、管理、维护、保险、利润、税金、安装调试达到正常可使用状态、政策性文件规定及合同包含的所有风险、责任等各项应有费用。
2. 本项目的代理服务费按苏财购告【2016】31号规定结算，成交供应商应在领取成交通知书时向代理公司支付代理服务费。供应商在响应报价时应综合考虑该费用。
3．响应时可以对全部标段报价(本次采购为一个标段)，也可以对某一标段进行报价，但所响应标段内所要采购的全部内容应全部进行报价，只响应其中部分内容或出现选择性报价者，其报价将被拒绝。
4．付款方式：
4.1自合同签订后，待全部货物按时到达采购人指定地点，货物安装调试完毕，经验收合格后30个工作日内采购单位一次性支付完毕。
4.2货款结算时，需提供以下资料：
A、需方签收的送货回单。
B、合格销售发票。
C、由供需双方及采购代理机构签章的《采购合同履行验收报告》。
5. 询价响应评审办法：
5.1 采购人授权评审小组直接确定成交供应商。
5.2 在符合采购需求、质量和服务相等的前提下，且未超采购预算及最高限价，报价最低的单位为成交单位。
注：若满足上述要求的报价一致的响应供应商超过一家时，则由评审小组抽签确定成交供应商。
5.3若满足上述要求的最低报价相同的响应供应商两家及两家以上时，由评审小组抽签确定成交供应商。
5.4如响应单位存在“苏财购字（2013）3号”文件中所列的失信或不良行为，则按以下比例增加其评审价格，增加比例：诚信记录分每减10分，按该供应商报价的2%增加评审价格，增价最多不超过6%。
6．响应文件要求
6.1报价文件的签署和密封要求：
（1）按上述要求制作询价响应文件一正一副，并须装订成册；
（2）询价响应文件均应采用打印或使用不能擦去的黑色或蓝色墨水书写，由响应单位法定代表人或其授权代表在询价文件要求处亲自签署或盖章，并在询价响应文件的每一页上加盖公章，未加盖公章的页视为无效页。
（3）询价响应文件须装袋密封，封口处须加盖单位公章，密封袋及相应文件封面上应注明采购项目名称、采购编号、响应单位名称、地址、联系人、联系电话等。
（4）采购单位有权拒绝未按上述要求制作的询价响应文件。
6.2.响应文件递交：递交时间、地点为：2017年6月9日9：00-11：00（苏州市十梓街327号沧浪科技创业园1号楼604室-苏州市天美达招投标咨询服务有限公司）。递交询价响应文件的必须是报价单位法定代表人或被授权人且投标时携带身份证，询价响应文件未按要求或过时送达为无效报价。
本项目将于2017年6月9日下午13:30在苏州市三香路389号市政务服务中心东区二楼，市公共资源交易中心（政府采购）评审。
6.3. 响应文件错误的修正原则
（1）响应文件的大写金额与小写金额不一致的，以大写金额为准。总价金额与按单价汇总金额不一致的，以单价金额计算结果为准；单价金额小数点有明细错位的，应以总价为准，并修改单价；
（2）对不同文字文本投标文件的解释发生异议的，以中文文本为准。
（3）供应商不同意以上修正的，其询价响应文件将被拒绝。
6.4 响应文件的补充、修改和撤回
供应商在提交询价响应文件截止时间前，可以对所提交的响应文件进行补充、修改或者撤回，并书面通知采购代理机构。补充、修改的内容作为响应文件的组成部分。补充、修改的内容与响应文件不一致的，以补充、修改的内容为准。
6.5响应文件的澄清、说明和更正
询价小组在对响应文件的有效性、完整性和响应程度进行审查时，可以要求供应商对响应文件中含义不明确、同类问题表述不一致或者有明显文字和计算错误的内容等作出必要的澄清、说明或者更正。供应商的澄清、说明或者更正不得超出响应文件的范围或者改变响应文件的实质性内容。
询价小组要求供应商澄清、说明或者更正响应文件应当以书面形式作出。供应商的澄清、说明或者更正应当由法定代表人或其授权代表签字或者加盖公章。由授权代表签字的，应当附法定代表人授权书。供应商为自然人的，应当由本人签字并附身份证明。如响应供应商无法在合理时间内出具上述材料（原件）则视为放弃权利。
7.项目的终止：
出现下列情形之一的，将终止询价采购活动：
7.1因情况变化，不再符合规定的询价采购方式适用情形的；
7.2出现影响采购公正的违法、违规行为的；
7.3在采购过程中符合竞争要求的供应商或者报价未超过采购预算的供应商不足3家的。
8．成交供应商必须于规定时间内与采购方签订合同，采供双方代表在合同上签字盖章后即生效。此外，合同须经苏州市政府采购监管处加盖备案章。如投标人在参加政府采购活动中存在苏财购字（2013）3号文件中所列的失信或不良行为的，将按照江苏省及苏州市政府采购相关规定进行处理。
9. 联系及监督：
9.1采购代理公司为苏州市天美达招投标咨询服务有限公司，联系电话： 65231142 传真: 65231143。联系人：李文祥。
9.2采购单位为苏州市人民政府外事办公室 联系人：郭立安 电话：65195812
9.3苏州市政府采购监管部门监督电话：0512-68615855。
10. 凡涉及询价通知的澄清、修改以及该项目的成交结果，均以苏州政府采购网上发布的信息为准。
11 公告期：公告之日起三个工作日。