水利水电第十二工程局有限公司
科研楼数据中心
Web 防火墙设备采购文件
采购人:水电十二局机关水利水电第十二工程局有限公司
采购机构:水利水电第十二工程局有限公司设备物资部
2023年5月
水利水电第十二工程局有限公司科研楼数据中心Web防火墙设备采购项目
受水利水电第十二工程局有限公司(以下简称“采购人”)委托,水利水电第十二工程局有限公司设备物资部(以下简称“采购机构”)以公开竞争性谈判的方式采购公司科研楼数据中心Web防火墙设备。
一、项目概况与采购范围
1.项目概况
项目位于杭州市西湖区三墩镇,东侧为徐家门河、厚诚路,北侧为灯彩街,西侧为嘉仁路,原华东院三墩老基地内,总用地面积 19820.70㎡,项目总建筑面积为 90536㎡,其中地上建筑面积 54630㎡,地下建筑面积35906㎡。
2.采购范围
本次采购范围如下:Web应用防火墙(包含网络层防护、HTTPS防护、攻击检测、HTTP协议规范性检查、Webshell检测、敏感信息泄露检测、应用层安全防护、爬虫扫描器等自动化工具的安全检测、第三方组件漏洞防护、盗链攻击检测、cookie安全、智能语义分析、智能攻击者锁定、CC防护、安全审计、访问审计、日志管理、报表管理等功能)。标的物所涉及的软件和硬件不少于 3 年原厂质保。
3.标的物技术要求
本次采购设备用于公司Web防火墙升级,完成网络安全等级认证。通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。在WAF管理控制台将网站添加并接入WAF,即可启用WAF。启用之后,网站所有的公网流量都会先经过WAF,恶意攻击流量在WAF上被检测过滤,而正常流量返回给源站IP,从而确保源站IP安全、稳定、可用。
4.交货时间
收到成交通知书后10天内具备发货条件,具体交货时间以采购方的发货通知为准,最晚发货时间为2023年6月10日,成交人应按照采购方要求按期交货并提供服务,交货后 10 日内完成安装调试等工作。
5.交货安装地点
项目位于杭州市西湖区三墩镇灯彩街321号。
6.竞谈报价
竞谈响应人的报价为安装调试验收合格后的交货价,报价包含但不限于产品生产运输、安装调试、后续运维等所有费用。
竞谈响应人应在报价方案中明确对项目中所包含设备的保修内容、服务等级及期限,以及过保后售后内容(含服务内容、等级、响应时间等)及相关价格。
7.付款方式
由采购人按下列程序付款:
7.1设备到达合同指定交货地点,经双方指定联系人核实数量、名称、型号规格与合同完全一致,成交供应商开具增值税专用发票后10个工作日内支付合同总额的30%;设备完成安装调试验收合格,成交供应商开具增值税专用发票后10个工作日内支付合同总额的30%;设备正常运行3个月,成交供应商开具增值税专用发票后10个工作日内支付合同总额的30%;剩余10%作为质保金,质保期满后,且标的物无质量问题,或质保期内的出现的质量问题已解决,10天内无息支付。
7.2竞谈响应人如有更优惠付款方式,可另行说明;
7.3成交供应商凭以下有效文件与采购人结算:
7.3.1合同;
7.3.2成交供应商开具的等额增值税专用发票;
7.3.3到货确认单、验收单等材料。
8.培训计划
竞谈响应人应制定详细的系统管理员培训计划,保证知识转移到位,使管理员在培训后能够独立地对系统进行操作、维护和系统配置。竞谈响应人应提供整个系统安装调试时所需的资料,包括但不限于:技术说明书、使用说明书、维护说明书等。
9.售后服务
9.1安装调试:
需要安装、调试的设备,由成交供应商选派合格的技术人员,到现场进行安装、调试、运行等工作,并参加自设备到货至投入使用等全程服务包括技术指导。采购人有权要求成交供应商更换不合格的技术服务人员,由此产生的费用由成交供应商承担。
9.2质保期内发生故障,成交供应商应在接到采购人报修电话通知后3小时内到场检修服务。
9.3竞谈响应人如有更优售后服务方案,可另行说明。
10.解决合同纠纷方式
与本合同有关的或执行本合同发生的一切争议,由双方通过友好协商解决;如双方未经协商或协商后不能达成一致的,双方均同意提交由采购人法人所在地人民法院诉讼解决。
11.其它约定
报价函、报价文件、成交通知书、履约保函都是本合同的组成部分,具有同等法律效力。
二、竞谈响应人资格要求
竞谈响应人必须满足的条件:竞谈响应人应具备承担本标的物建设能力。
- 在中华人民共和国境内依法组建、注册、具有独立法人资格的生产厂家或代理供应商,注册资金大于400万元,具有增值税一般纳税人资格。
- 具有法人资格和独立订立合同的能力,财务情况良好。
- 竞谈响应人具有良好的银行资信和商业信誉,近年没有处于被责令停业,财产被接管、冻结、破产状态。
- 竞谈响应人须在杭州设有服务网点。
- 生产厂家与被授权代理商不得同时参加本次采购。
三、竞谈文件的获取
1、凡满足本公告规定的竞谈响应人资格要求并有意参加的竞谈响应人,请于2023-05-29 10:00:002023年5月23日16:00至2023年5月29日10:00(北京时间)在电建集中采购平台(https://ec.powerchina.cn)注册、在线报名并上传下列资料(合并文件上传):
(1)竞谈响应文件经办人身份证和法定代表人签发的针对本采购项目响应文件授权委托书或介绍信(加盖公章)扫描件。
2、已注册、报名、上传合格资料的,请在上述时间内在电建集中采购电子平台(https://ec.powerchina.cn)下载竞谈文件。
四、竞谈响应文件递交
1、纸质版竞谈响应文件递交截止时间(竞谈截止时间,下同)为2023年5月30日9:00,逾期送达的或者未送达指定地点的纸质版竞谈响应文件采购人不予受理。竞谈响应文件递交地址:浙江省杭州市西湖区三墩镇灯彩街321号水电十二局数字中心,收件人:魏小芥,联系电话:15336555017。
2、递交竞谈响应文件前须在中电建集中采购电子平台通过合格供应商审查,成为水利水电第十二工程局有限公司合格供应商后,方能参加本次采购竞谈响应文件递交和谈判。未办妥成为合格供应商造成无法参加本次竞谈采购的,责任由供应商自负。
3、竞谈响应文件(纸制版)正本一份,副本二份,电子竞谈响应文件一份(与纸质版相同)。竞谈响应文件电子版为Word可编辑版本和PDF版各一份。不得采用活页装订。否则,否决其竞谈响应。
五、竞谈响应文件包括
1.法定代表人授权书;
2.法定代表人授权代表身份证复印件;
3.营业执照;
4.竞谈响应人设在杭州服务网点的营业执照或其他证明材料;
5.竞谈响应人资信证明文件(包括但不限于纳税信用等级证明、银行信用等级证明、信用网站信用报告、企业信用信息公示系统企业年度报告、企业信用信息公示系统企业即时信息等);
6.近两年财务报告;
7.项目实施方案;
8.项目技术偏离表;
9.竞争性谈判分项报价表;
10.结算及支付方式;
11.售后服务承诺;
12.代理供应商还需提供生产厂家销售授权文件;
13.近三年的销售业绩合同、服务业绩合同(各不少于3个)
14.竞谈响应人认为需要提供的其他资料。
六、谈判程序
(一)开标
开标时间:2023年5月30日9:00整。
开标地点:浙江省杭州市西湖区灯彩街321号水电十二局13楼会议室。
开标由工作人员主持,由监督人员进行监督,竞谈响应人代表参加。
(二)谈判内容
1、谈判小组由采购人按一定的程序和要求选择的,具有熟悉相关业务的专家及采购人代表组成,成员人数为5人及以上的单数。
2、谈判小组会将遵循“公平、公正、科学、择优”的原则,对所有竞谈响应人的评审都采用相同的程序和标准。
3、谈判小组严格按照竞谈文件的要求和规定进行:
初步审查竞争性谈判响应文件是否设计完整;竞争性谈判响应文件签署的合格性;法人代表或竞谈响应人代表的合法性;竞争性谈判报价的完整性等。主要包含以下内容:
(1)谈判小组在监督人员监督下,统一拆封竞争性谈判响应文件公开首轮报价。
(2)谈判小组按照首轮报价高低顺序(从高到低),分别单独与竞谈响应人就设备选型、安装调试、售后服务等内容进行商谈。
(3)竞谈响应人进行二次密封报价。
(4)谈判小组根据谈判的结果推荐成交供应商。
4、对竞争性谈判响应文件初步审查出现以下情况之一,将被认定为无效,该竞争性谈判响应文件不再参加后续的评审程序:
(1)未提交法定代表人授权委托书、无竞谈响应人法定代表人或合法授权代表签字的;
(2)竞争性谈判报价明显不合理而竞谈响应人不能合理说明的;
(3)资格证明文件不齐全、未能满足谈判文件的要求;
(4)主要指标不满足竞争性谈判文件的要求或商务有重大偏离;
(5)竞争性谈判响应文件弄虚作假、违反谈判纪律的;
七、成交原则
采购人将从产品配置情况、报价情况、售后服务情况等方面对竞谈响应人进行综合评定并推荐成交供应商,但不保证报价最低的竞谈响应人成为推荐供应商,竞谈响应人应予以接受。
八、联系方式
采 购 人:水利水电第十二工程局有限公司
地 址:浙江省杭州市西湖区灯彩街321号水电十二局
联 系 人:魏小芥 15336555017
马 骏 13357132127
电子邮箱:weixiaojie-sd12@powerchina.cn
九、监督机构
监督机构:水利水电第十二工程局有限公司纪委办公室
监督电话:0571-86829047
2023年5月23日
技术标准和要求
1、Web应用防火墙需求
(1)硬件要求:
要求项 | 具体参数 |
硬件规格要求 | 产品必须为标准机架式WAF硬件设备而非软件WAF。 |
网络接口 | 标配2*GE电管理口,标配4*GE电业务口,4*GE光业务口 |
电源 | 双电源 产品不能少于4个10/100/1000M电口, 2个万兆光口 |
防护网站数量 | 不限 |
设备性能 | 网络吞吐量(Mbps)≥8Gbps HTTP应用层吞吐≥6Gbps HTTP最大并发连接数≥150万 HTTP最大新建连接数≥40000 HTTPS应用层吞吐≥3Gbps HTTPS最大并发连接数≥80万 HTTPS最大新建连接数≥5000 TPS每秒事务处理数≥12万 业务时延小于<50ms |
(2)功能要求
要求项 | 具体要求参数 |
部署模式 | 支持透明串接、反向代理、旁路镜像等多种部署模式部署,支持链路聚合 |
高可用 | 支持集群模式、主-主模式、主备模式、硬件BYPASS、软件BYPASS |
保护对象 | 支持多条链路数据的防护,防护网段数量不限 |
支持ipv4/ipv6双协议栈 | |
可通过设置数据缓存、页面压缩进行web加速 | |
可以设置后端TCP连接模式,可根据业务特点设置长连接和短连接,并且可以通过设置连接复用,减轻后端服务器压力 | |
网络层防护 | 支持ARP攻击防护,支持MAC地址绑定。 |
支持基于五元组(源IP地址、目的IP地址、源端口、目的端口、协议类型) | |
HTTPS防护 | 支持HTTPS协议的选择可以选择SSL/TLS协议版本, |
支持HTTPS站点SSL算法自动探测功能。探测时可以设置指定站点及端口,可以显示探测结果 | |
支持透明串接和旁路反向代理下的HTTPS业务的安全防护 | |
支持源地址识别,部署在SSL网关后面,能够解析到真实的访问者IP,并能对真实的IP进行防护和阻断 | |
支持证书批量管理,并且支持证书有效性检测 | |
在单个服务器通过相同的IP地址为多个HTTPS域名提供服务时,WAF可以通过启用SNI,准确确定域名与证书的对应关系 | |
支持HTTPS国密算法 | |
攻击检测 | 支持对跨站脚本(XSS)和注入式攻击(包括SQL注入、命令注入 、代码注入、文件注入、LDAP注入、SSI注入等)的检测防护 |
支持对HTTP请求关键字段进行合规性的检测(包括Host字段、User-Agent、Content-type字段等) | |
支持HTTP请求走私,防止HTTP请求分割攻击,防Content-Length与Transfer-Encoding分割 | |
支持HTTP响应分割,防止提交HTTP响应报文截断攻击 | |
支持防护Session-Fixation攻击,防止提交过期会话进行攻击 | |
支持防护JA/Va反序列化及基于JA/Va的通用攻击 | |
支持XML防护,XML攻击行为包括XML Ddos | |
支持对HTTP头部各字段内容长度进行限制并可以自定义调整限制大小,包括参数名长度、参数值长度、HTTP请求头部长度、URI长度、cookie长度、User-Agent长度、Content-type长度、Host长度等 | |
支持识别HTTP报文常见的编码和编码攻击:URL解码、base64解码、HTML解码、16进制转换、JSON解析、XML解析、PHP反序列解析、UTF-7解码等 | |
HTTP协议规范性检查 | 检查HTTP报文合法性 |
检查HTTP报头是否有缺失或为空 | |
检查允许提交的HTTP方法 | |
检查请求报文是否畸形 | |
通过检查上传和下载的文件类型,防止下载敏感文件和上传webshell文件 | |
检查HTTP报头长度,防止缓冲区攻击 | |
Webshell检测(语义分析) | 内置Webshell检测规则,可以对上传的文件内容进行检查,防止恶意Webshell文件上传,对已经上传的webshell发起请求的行为进行拦截阻断 |
应用层安全防护 | 支持对服务器响应安全设置,可通过选择不同的操作策略对响应头内容进行增删改。在修改响应头时,要保证触发条件的准确性,不得随意修改。 |
支持客户端安全防护,插入特殊的HTTP报头以保护客户端免受某些攻击包括但不限于增加以下安全报头:X-frame-Options(用于防护客户端免受Clickjacking攻击)、X-Content-Type-Options(以防止浏览器将文件解释为内容类型声明以外的其他内容)、X-XSS-Protect(用于当检测到XSS攻击时,指示浏览器停止加载页面)、Content-Security-Policy(用于降低浏览器上的XSS风险和数据注入攻击) | |
爬虫、扫描器等自动化工具的安全检测 | 内置安全规则可有效识别Acunetix、nessus 、WebScan、Webdump、AppScan 等扫描器的扫描行为 |
内置安全规则可有效识别baidu、google、yahoo等常见网络爬虫的访问行为 | |
第三方组件漏洞防护 | 支持防护WEB容器漏洞,防止Nginx、IIS、Tomcat等WEB服务器漏洞 |
支持防护Kuwebs、phpcms、TRS WCM、JBR-CMS、DeDeCMS内容管理系统等开源CMS漏洞 | |
支持防护WEB服务器插件漏洞,防止Apache Struts2漏洞 | |
盗链攻击检测 | 支持多种盗链识别算法能有效解决单一来源盗链、分布式盗链、网站数据恶意采集等信息盗取行为,从而确保网站的资源只能通过本站才能访问 |
cookie安全 | 支持cookie自学习 |
支持cookie防篡改、防劫持 | |
基于时间的访问控制 | 可基于时间设置对客户端IP放行、阻断或检测 |
支持第三方扫描工具结果导入 | 虚拟补丁,支持Appscan扫描结果导入 |
防护动作 | 支持阻断、重定向、智能加黑名单、丢弃、告警、仅检测等动作。不同的防护规则,可以选择不同的防护动作及返回码,也可针对不同规则设置专属URL白名单。 |
链路聚合 | 支持链路聚合,提升网络带宽、增加容错性和链路负载均衡 |
VLAN子接口 | 支持VLAN子接口,业务口可承载多个VLAN通道 |
HA | 支持集群模式、主-主模式、主备模式 |
运行模式 | 透明代理部署下,可支持对全局设置物理直通、网桥直通、纯代理、正常防护模式,也可针对单个保护站点设置不同的运行模式。反向代理部署下,可支持对全局设置纯代理或正常防护模式,也可针对单个设置不同的运行模式。 |
智能语义分析 | 内置对SQL注入、XSS攻击检测的语义分析规则 |
智能攻击者锁定 | 支持智能识别攻击者,对网站连接发起攻击的IP地址进行自动锁定禁止访问被攻击的网站,可配置攻击者锁定时间,可配置将攻击者直接加入网络黑名单 |
CC防护功能 | 支持根据细粒度条件对CC攻击进行检测和防护;匹配条件由URL参数、请求头部字段、目的IP、请求方法、地理位置组成;测量指标由请求速率、请求集中度、请求离散度组成;客户端检测对象由IP、IP+URL、IP+User_Agent等参数组成;支持从请求头字段获取真实源IP地址 |
安全审计 | 能详细记录攻击事件的HTTP请求头信息,含请求的URL、UserAgent、POST内容,cookie等所有的请求头内容 |
能详细记录服务器响应头信息,服务器响应内容 | |
日志分析 | 根据产生的安全日志进行智能分析,提高人工分析效率,减小规则误判概率 |
日志记录 | 支持记录应用防护日志、网络防护日志、CC防护日志、访问审计日志、防篡改日志、操作日志、系统日志、升级日志 |
访问审计 | 具备审计网站正常访问流量的能力,提供按小时,天、月份生成生成报表 |
能记录、查询所有用户对网站的访问情况,包括访问的URL、客户端IP、服务器返回的状态码 | |
能够统计分析出用户所访问URL/IP TOP10数据 | |
能够统计分析访问流量最大的文件类型 | |
能够统计分析出搜索引擎的TOP10数据 | |
能够统计分析出客户端所使用操作系统的TOP10数据 | |
报表 | 支持报表导出为Word、pdf、html等多种格式 |
支持定时报表,并发送到管理员邮箱 | |
支持攻击事件、告警等级、被攻击服务器IP、攻击者IP、攻击入口等不同报表模板 | |
支持对不同报表模板进行组合生成多维度报表 | |
支持根据PCI DSS标准对网站进行扫描评估并导出PCI DSS合规报表 |
附件1: 分项报价表格式
分项报价表
序 号 | 项目名称 | 项目内容 | 单价 | 单位 | 数量 | 总价 |
1 |
|
|
|
|
|
|
2 |
|
|
|
|
|
|
3 |
|
|
|
|
|
|
| .... |
|
|
|
|
|
|
|
|
|
|
|
|
| 合计 |
| ||||
竞谈响应人名称:(盖章) 竞谈响应人代表签字: 年 月 日
注:1、如果按单价计算的结果与总价不一致,以单价为准修正总价。
2、如果不提供详细分项报价将视为没有实质性竞争性谈判响应文件。
3、竞谈响应人的分项报价表格式仅供参考,竞谈响应人可以按照工程施工的分项报价表格式提供详细分项报价。
附件2:项目技术偏离表
WAF设备型号:
(1)硬件要求:
要求项 | 具体参数 | 偏离情况 |
硬件规格要求 |
|
|
网络接口 |
|
|
电源 |
|
|
防护网站数量 |
|
|
设备性能 |
|
|
(2)功能要求
要求项 | 具体参数 | 偏离情况 |
部署模式 |
|
|
高可用 |
|
|
保护对象 |
|
|
网络层防护 |
|
|
HTTPS防护 |
|
|
攻击检测 |
|
|
HTTP协议规范性检查 |
|
|
Webshell检测(语义分析) |
|
|
应用层安全防护 |
|
|
爬虫、扫描器等自动化工具的安全检测 |
|
|
第三方组件漏洞防护 |
|
|
盗链攻击检测 |
|
|
cookie安全 |
|
|
基于时间的访问控制 |
|
|
支持第三方扫描工具结果导入 |
|
|
防护动作 |
|
|
链路聚合 |
|
|
VLAN子接口 |
|
|
HA |
|
|
运行模式 |
|
|
智能语义分析 |
|
|
智能攻击者锁定 |
|
|
CC防护功能 |
|
|
安全审计 |
|
|
日志分析 |
|
|
日志记录 |
|
|
访问审计 |
|
|
报表 |
|
|
附件3: 法定代表人授权书格式
法定代表人授权书
本授权书声明:注册于(或地区的名称)的(公司名称)的在下面签字的(法定代表人姓名、职务)代表本公司授权(单位名称)的在下面签字的(被授权人的姓名、职务)为本公司的合法代理人,就(项目名称)竞谈,以本公司名义处理一切与之有关的事务。
法定代表人签字:
(单位公章)
被授权人签字:
附件4: 资格证明文件格式
填写须知
1. 所附附件格式中要求填写的全部问题和/或信息都必须填写。
2. 本资格声明的签字人应保证全部声明和填写的内容是真实的和正确的。
3. 谈判小组会将应用竞谈响应人提交的资料根据自己的判断和考虑决定竞谈响应人履行合同的合格性及能力。
4. 竞谈提交的资料将被保密,但不退还。
6. 全部资格证明文件应按竞谈资料表规定的语言和份数提交。