佛山市第一人民医院(web应用防护设备项目)公开采购公告
· 2022-12-28
佛山市第一人民医院信息管理科对(web应用防护设备项目)进行采购,欢迎符合资格条件的供应商参加。
一、采购项目编号:科内采购202254
二、采购项目名称:web应用防护设备项目
三、采购控制价:19.98万元
四、项目内容及需求:(采购项目技术规格、参数及要求)
1. 见附页;
五、评标方法:评标方法为投票法,二次报价后由评标专家独立、无记名投票。
六、供应商资格:
1.供应商应具备《政府采购法》第二十二条规定的条件;
2.供应商须是中国大陆境内非联合体的独立企业法人,具有从事本项目的经营范围和能力;
3.供应商须具有有效的有中华人民共和国企业法人营业执照、且有信息化相关经营许可证;
七、符合资格的供应商应当在2022年12月26日起至2022年12月30日下午5点期间(办公时间内,法定节假日除外)联系信息管理科(详细地址:佛山市禅城区岭南大道北81号1号楼住院部四楼)索取采购文件,同时提交以下资料:
1.《中华人民共和国政府采购法实施条例》第十七条规定的资料;
2.《企业法人营业执照》(正本和副本)或相关资料;
3.厂家资料:1)《企业法人营业执照》(正本或副本)或相关资料; 2)涉及医疗设备或软件需《医疗器械生产许可证》;
4.供应商(含其授权的下属单位、分支机构)必须提供下列资料:1)法定代表人证明、授权代表授权书;2)法人或者其他组织的营业执照、经营范围等证明文件,自然人的身份证明;3)财务状况报告;4)依法缴纳税收和社会保障资金的相关材料(包括税务部门出具的近期的完税证明、授权代表近半年内的个人社保证明及明细);5)没有重大违法记录的书面声明;6)如非原厂来投标,请提供原厂授权书;7)具备履行合同所必需的设备和专业技术能力的证明材料;8)信用中国查询记录;
八、响应文件投递截止时间:2022年12月30日17时
九、响应文件递交地点:禅城区岭南大道北81号信息管理科小会议室
十、评审时间:另行通知
十一、评审地点:1号楼四层信息管理科小会议室
采购联系人:胡先生
采购联系电话:0757-83162423
监督投诉电话:0757-83163838
附件:XXX项目招标文件(含商务、技术参数要求)
序号 | 参数 | 功能和详细描述 |
1. | ★硬件性能接口 | 含交流双电源,≥2*USB接口,≥1*RJ45串口,≥1*GE管理口,网络层吞吐≥4000M,应用层吞吐≥1000M,至少具备6个GE业务电口带BYPASS,并且所有业务接口均无需授权全部可用,需要自带硬盘进行日志存储,硬盘空间不小于1T。 |
2. | 部署能力 | 支持在线部署、旁路部署、VRRP协议、反向代理部署,镜像部署提供配置界面截图盖章证明。旁路部署支持流量牵引、二层回注、跨接回注及PBR回注方式。 |
3. | HA部署能力 | 支持A/S部署模式(链路切换、配置同步);支持VRRP协议。支持非对称路由下的部署 |
4. | 紧急模式 | 支持紧急模式,当并发连接数超过阀值时,WAF自动进入紧急模式,已经代理的连接正常代理,对新增的请求不进行代理,直接转发,防止WAF成为访问瓶颈。当连接数恢复正常时,自动退出紧急模式,提供配置界面截图盖章证明 |
5. | 例外策略 | 支持对安全策略的一键式例外配置。提供配置界面截图盖章证明 |
6. | HTTP RFC符合性 | 支持对HTTP协议合法性进行验证,提供HTTP协议防护功能。需要提供配置截图。 |
规则体系 | 系统提供可配置的内置规则;且支持自定义规则,规则属性要求支持检测方向(请求或响应)、检测对象(URI/URI-path/Host/参数名/参数/Header-name/Header/Cookie名/Version/请求方法/Request-Body)、匹配操作、特征签名等丰富要素。 | |
HTTPS支持 | 支持对SSL(HTTPS)加密会话进行分析。 | |
WEB基础架构防护 | 支持防护:蠕虫、缓冲区溢出、CGI信息扫描、目录遍历等攻击。 | |
WEB应用安全防护 | 支持SQL注入、XSS防护,支持使HTTP头域中的Cookie、Referer、User-Agent,Except字段过防护策略 | |
▲设备的漏洞防护库应有专业漏洞挖掘团队维护,漏洞挖掘团队须有对系统漏洞进行发现、验证、以及提供应急服务的技术能力。自主发现并提交CVE安全漏洞数不少于30个,需提供相关截图并厂商盖章证明。 | ||
支持CSRF(跨站请求伪造)防护;需要提供配置截图。 | ||
支持扫描防护,可对请求量进行统计分析,判断依据包含: 在一定样本数前提下,通过请求离散率判别 在一定样本数前提下,WEB服务器成功应答比例及失败应答比例 在一定样本数前提下,触发告警数上限 | ||
▲支持识别判定自动扫描行为,在设定周期内采集发送端向网站服务器发送的访问请求消息和网站服务器向发送端返回的响应消息,将设定周期等分为至少两个子周期,依次统计每个子周期内访问请求消息个数,确定发送端请求可信度,判定发送端是否发生了自动扫描的行为。须提供国家权威机构(如工业和信息化部、经济和信息化委员会或国家知识产权局)证明材料,加盖厂家公章。 | ||
支持Cookie安全机制,包括加密和签名的防护方法 | ||
支持盗链防护,可采用Referer和Cookie算法 | ||
支持对服务器状态码进行过滤和伪装的安全策略 | ||
▲产品提供URL访问控制功能,能够基于多种HTTP方法执行访问控制,包括:GET、POST、UNKNOWN、HEAD、PUT、DELETE、MKCOL、COPY、MOVE、OPTIONS、PROPFIND、PROPPATCH、LOCK、UNLOCK TRACE、SEARCH、CONNECT,提供配置界面截图盖章证明 | ||
▲支持完善的漏洞攻击防御库,应支持定期漏洞收集和挖掘升级能力,产品厂商支持获得漏洞情报的一线咨讯,同时自身研究中心最少获得6次微软MBB(漏洞绕过赏金计划),需提供相关证明材料厂商盖章证明。 | ||
暴力破解防护 | 支持暴力破解防护 | |
会话跟踪 | 支持会话追踪能力,能够关联用户的web请求及所有操作,达到攻击链还原,用户行为研究及攻击动机挖掘的目的。 | |
▲能够对会话的类别进行有效识别,支持的会话类别应至少包括:ASP-DOT-NET-session、ASPSESSIONID-session、ColdFusion-session、J2EE-JSESSIONID-Cookie-session、J2EE-JSESSIONID-URL-session、J2EE-session、JWS-ID-session、PHP-BB-MYSQL-session、PHPSESSID-session、PHPSESSIONID-session、SAP-session等。提供配置界面截图盖章证明 | ||
数据泄露防护 | 对流出数据内容进行安全审查,对敏感关键字实施过滤,防止身份证等隐私信息非法泄露 | |
XML防护 | 支持XML基础校验,包括最大树深度、元素名长度、元素个数、子节点个数等参数配置。 | |
网络层访问控制 | 支持基于五元组(源IP地址、目的IP地址、源端口、目的源口、协议类型)及接口的网络层访问控制功能 | |
7. | 第三方日志对接 | ▲支持通过syslog和snmp两种方式将日志发送到第三方日志平台进行分析,Syslog方式支持通过Base64编码进行发送,包含服务器漏洞、 爬虫防护、防篡改、智能补丁、防盗链、Cookie安全、IP信誉控制、Web访问日志、会话追踪、慢速攻击、XML攻击等类型日志,应支持按类别设置是否发送(能够筛选只发送部分的日志)。因Web访问日志量较大,应支持设置Web访问日志量只发送到第三方日志平台,不保存在设备本地存储,提供配置界面截图证明,加盖厂家公章。 |
8. | Base64编码攻击防护 | 为防止web攻击手段采用base64编码混淆真实攻击意图,WAF应支持 Base64编码攻击防护 |
9. | HTTPS支持 | 支持HTTPS国密算法 |
10. | ▲支持镜像监听模式下HTTPS流量的解析 | |
11. | HTTPS支持配置HSTS功能 | |
12. | 网页压缩 | 支持gzip网页压缩 |
13. | 国内web框架及组件 | ▲支持国内广泛使用的本土化自产web框架及组件,如:织梦dedecms、ECShop等系统及其衍生模版的漏洞,应具备防护规则库。提供界面截图及厂商盖章证明 |
14. | GEOIP | 可根据已知自身业务地理分布的客户,对特定区域访问进行控制,有效拦截地域性的攻击; |
15. | 误报处置 | ▲支持误报分析功能,可通过自动、手动方式对周期内的日志进行分析,并且根据分析结果进行自动策略调整,提升检测精度,减少告警噪音,提供配置界面截图证明,加盖厂家公章。 |
16. | 升级管理 | 系统应提供多种升级方式,至少提供自动在线升级、离线升级两种方式 |
17. | ▲产品生产厂商须与微软建立MAPP(MicrosoftActive ProtectionsProgram)合作伙伴关系,可以在微软每月发布安全更新之前获得漏洞信息,保证产品规则库升级的及时性、有效性,提供厂商盖章证明。 | |
18. | IP信誉 | 利用威胁情报建立IP风险画像,提供6类信誉数据DDos攻击、安全漏洞、垃圾邮件、Web攻击、扫描源、Botnet客户端; |
19. | ▲所使用的信誉库的及时性以及准确率,要求所使用的情报在IDC的安全分析、情报、响应和编排市场占有率排名内为前三,需提供第三方报告证明。 | |
20. | ▲厂商应建立自身的恶意网站信息库,并与非盈利组织(威胁软件阻止stopbadware协会、信息安全产业RSA协会或中国区域科学协会RSAC)进行信息交换,确保恶意网站信息库的准确性,提供信息交换证明并厂商盖章。 | |
21. | 智能补丁联动 | ▲可以与同品牌SaaS扫描服务或者Web漏洞扫描器联动,在WAF上定期自动获取专家级、个性化的《WEB漏洞扫描报告》,并转化为WAF可执行的、有针对性的WEB安全防护策略,提供配置界面截图及厂商盖章证明 |
22. | 流量清洗 | 提供本地清洗服务,能够对用户侧流量型及精细型DDOS攻击进行防护,防护能力应具备如下要求: 支持TCP Flood防护,提供配置界面截图证明 支持HTTP Flood防护,检测算法支持4种,包括:http cookies、url cookies、ascii-image、bmp-image 支持对慢速攻击的防护 |
23. | ▲支持与抗拒绝服务系统联动,对流量进行按需清洗,为保证安全性,提供截图盖章证明 | |
24. | 产品资质 | ★《计算机信息系统安全专用产品销售许可证》(增强级),提供证书复印件证明 |
25. | 产品取得《中国国家信息安全产品认证证书》或网络关键设备和网络安全专用产品安全认证/中国国家信息安全产品认证证书 | |
26. | 《国家信息安全测评信息技术产品安全测评证书》,并获得EAL3级别以上,提供证书复印件证明。 | |
27. | 产品成熟度 | ▲投标产品上市时间不少于10年。须提供销售许可证或软件著作权证书等有效证明材料,提供有效证书的复印件并厂商盖章。 |
28. | ▲产品获得第三方独立测评机构ICSA Labs的WAF产品认证,提供证书复印件证明并厂商盖章 | |
29. | ▲投标产品应该是被广泛应用的成熟产品,在国内市场具有较高的市场份额,连续8年市场占有率排名前三,并提供第三方权威咨询机构的Frost & Sullivan的证明并厂商盖章 | |
30. | ▲2014-2017连续4年入选权威咨询机构(如德勤、普华永道、安永、高德纳咨询公司)的WAF魔力象限,须提供相应证明并厂商盖章 | |
31. | 厂商资质 | ▲厂商应具备安全开发的能力,需提供中国信息安全测评中心关于厂商在安全开发能力评定的证书:国家信息安全服务(安全开发类)二级或以上资质,提供厂商盖章证明; |
32. | 厂商应属于应用安全联盟会员。提供厂商盖章证明 | |
33. | ▲厂商通过ISO20000的安全认证,认证范围包括向外部客户提供整体安全解决方案、安全相关的SaaS及运营服务,提供厂商盖章证明。 | |
34. | 厂商资质具备ISO27001认证证书和ISO9001管理体系认证证书、提供厂商盖章的证书复印件 | |
35. | ▲厂商获得工业信息安全产业发展联盟颁发的工业信息安全测试评估机构(二级)资质。提供厂商盖章证明 | |
36. | ▲厂商应获得职业健康安全管理体系符合GB/T28001-2011标准。提供认证机构提供的认证证明并厂商盖章 | |
37. | ▲参与起草了《信息安全技术WEB应用防火墙安全技术要求》GA/T1140-2014标准,提供截图证明并厂商盖章 参与起草了《标准信息安全技术 WEB应用防火墙 安全技术要求与测试评价方法》GB/T 32917-2016,提供截图证明并厂商盖章 |
文章推荐:
更多商机查看,下载保标APP
扫码关注小程序,获取商机更容易
