山东省某网络设备招标文件.doc

政府采购招标文件 （公开招标—货物类） 第二册 A2包 项目编号：***** 项目名称: 小型机、服务器、磁盘阵列等网络设备、安全管理、系统监控等软件及项目监理 山东省省级机关政府采购中心 二○○八年十二月二日 目 录 第五部分 投标邀请书………………………………………………………………………………………………2 第六部分 投标人须知资料表………………………………………………………………………………3 第七部分 评标方法及评标细则…………………………………………………………………………4 第八部分 合同特殊条款…………………………………………………………………………………………5 第九部分 货物需求及技术规格…………………………………………………………………………6 第五部分 投标邀请书 山东省省级机关政府采购中心就山东省地方税务局所需的网络安全综合监控系统进行国内公开招标，现邀请合格的投标人参加。 一、政府集中采购机构：山东省省级机关政府采购中心 二、项目编号：***** 三、项目名称：小型机、服务器、磁盘阵列等网络设备、安全管理、系统监控等软件及项目监理 四、采购人：山东省地方税务局 五、项目说明：本包为网络安全综合监控系统采购，含本包货物的供货、安装、调试及二次开发，详细需求请详见第九部分货物需求及技术规格。 六、投标人资格要求：中国境内注册、具有独立法人资格，具有良好的信誉和售后服务能力。 七、招标文件获取 时间：2008年12月2至2008年12月21日8:30-11:30，13：00-16：30(节假日除外) 地点：山东省省级机关政府采购中心 标书工本费：200元，不接受汇款，售后不退。 请携带营业执照副本原件。 请携带移动磁盘，以便拷贝招标文件。 八、接受投标时间、投标截止及开标时间 接受投标时间：2008年12月22日上午9：00—10：00(北京时间) 投标截止及开标时间： 2008年12月22日上午 10：00(北京时间) 逾期提交或所提交的投标文件不符合规定，恕不接受。 九、投标及开标地点：山东省省级机关政府采购中心(**市**区**产业园，路线详见第一册附件十五) 十、项目答疑或现场考察：投标人自行进行现场踏勘，地点：**市**路5号，山东省地税局，联系人：** ； 联系电话：**。 联系地址：**市**区**产业园**路1001号 邮政编码：** 电 话：** 传 真：** 联 系 人：**、** 第六部分 投标人须知资料表 本表是关于本项目货物采购的具体资料，是对第一册“投标人须知”的具体补充和修改，如有矛盾，应以本资料表为准。 条款号 内 容 3.7是否允许联合体投标 否 9.2.6)主要产品的制造商授权书 投标人须提供所投产品的原型产品原厂出具的下列文件： （1）针对本项目的授权书原件； （2）对本项目包进行二次开发，达到项目要求的承诺书原件。 9.2.7)其他资格证明文件 软件著作权证书、公安部销售许可证复印件加盖投标人公章。 9.5.3) 是否允许投标人将项目的非主体、非关键性工作交由他人完成 否 11.2是否要求电子文档 否 14.1投标保证金数额 人民币叁万伍仟元整（35,000.00元） 31.3履约保证金退还 履约保证金在货物交付验收合格使用 24 个月无质量问题后退还。 适用于本投标人须知的额外增加的变动： 1 所投原型产品为成熟产品，具有自主知识产权，能够针对采购人需求进行负偏离功能的增加、修改和完善。 2 投标人应根据采购文件要求进行报价的编制，报价应包括采购范围内的全部内容，含系统的定制开发（含原型产品）、安装调试、培训、售后服务及技术支持等所有费用。报价须将全部项目逐一列表。 3 投标人应充分考虑本项目实施期间可能发生的一切费用，并承担由此而带来的风险。凡投标人在报价中未列的项目或遗漏项目，采购人将一律视为已包括在其报价中，在合同执行中将不予考虑。 4 投标人在完成系统验收工作后，须安排1名工程师在采购人现场服务3年，按照采购人要求负责系统日常维护工作。 5 本次采购项目所涉及的全部产品，投标人须书面承诺为采购人提供全部产品6年各种版本免费升级，并根据实际情况调整定制内容。 6 1、投标人提供的培训计划应包含：时间、地点、食宿、方式、教材，教师、场地及实验环境等。培训教师必须是产品原厂商授权培训讲师。 2、市级培训：共约50人，为期不少于5天，重点是系统实施及日常应用培训。 3、专业技术人员培训：不少于25人，为期不少于7天，重点是对系统设计思路、开发方法、软件内部流程等进行高级培训。 4、中标人承担除往返培训地点的交通费用以外的其他培训费用。培训费用需列出明细分项报价，并计入投标总价。 第七部分 评标方法及评标细则 一、评标方法 本项目采用综合评分法，在最大限度地满足招标文件实质性要求的前提下，按照招标文件中规定的各项因素进行综合评审后，以评标总得分最高的投标人作为预中标人的评标方法。 二、评分细则 评标委员会根据评分细则进行打分，总分为100分。投标人的最终得分以所有评委评分去掉一个最高得分和一个最低得分后的算数平均值确定。得分由高到低顺序排列，第一名为预中标人。得分相同的，按投标报价由低到高顺序排列，报价较低的一方为预中标人。得分且投标报价相同的，按技术指标优劣顺序排列，技术指标较优的一方为预中标人。 总分： 100分 总分组成 （1）价格 20分 （2）技术 65分 （3）商务 15分 投标报价20分 20分 以满足招标文件要求且投标价格最低的投标报价为评标基准价，其价格分为满分20分，其他投标人的价格分按照下列公式计算：投标报价得分=（评标基准价/投标报价）×20%×100 技术部分 65分 原型产品符合度 25分 1、原型产品基本满足或优于主要招标需求17-25分； 2、现有产品与我方主要需求存在一定偏差8-16分； 3、现有产品与我方主要需求存在较大偏差0-7分； 二次开发能力 25分 根据项目设计思路及实施方案的合理可行性、对采购人需求把握的准确程度及项目组成员的实力情况，综合进行打分，分为三个评价等级：1、 满足或优于招标文件要求的得16-25分；2、与招标文件要求存在一定偏8-15分；3、 与招标文件要求存在较大偏差0-7分。 技术 培训 5分 对投标人提供的培训方案进行综合比较。分为三个评价等级： 1、满足或优于采购人要求的培训要求的，得5分； 2、与采购人培训要求存在一定偏差3-4分； 3、与采购人培训要求存在较大偏差0-2分； 后续服务支持 10分 对投标人在技术支持及售后服务等方面的投标情况进行综合比较。分为三个评价等级： 1、 满足或优于招标文件要求的得8-10分；2、与招标文件要求存在一定偏差5-7分；3、 与招标文件要求存在较大偏差1-4分。 商务部分 15分 成功案例 5分 同档次项目（须为省级规模部署或5000点以上），具有2个成功案例的得3分，每多一个加1分，最多得5分。（须提供合同及相应证明材料的复印件投标人加盖公章，否则不加分）。 综合实力评价 8分 根据投标人在本领域的专业资质情况、市场占有率、品牌知名度等进行综合评价，得0-8分。 标书制作及答疑 2分 根据以下内容进行比较评价：标书制作是否规范，提供资料是否齐全，文字是否清晰，标书中对技术部分的描述是否准确，询标答疑过程对评委提出需澄清确认的问题答复是否完整、准确。优秀得2分，一般得1分。 第八部分 合同特殊条款 合同特殊条款是对第一册“合同一般条款”的补充和修改。如果两者之间有抵触，应以特殊条款为准。 条款号 内 容 4. 付款 付款途径：预算内国库集中支付 付款方式：分三次付清，第一次在合同签订后15日内，付合同款项的20%，第二次在项目验收后15日内，付合同款项的70%，第三次在合同3年现场服务期满时，付余款（合同款项的10%）。 5. 交货方式 现场交货 6. 交货安装时间、地点 交货时间：自报最快完成时间。 交货地点：山东省地税局及各市地税局等。 8. 质量 质保期： 6年 23. 争议的解决 提交**仲裁委员会仲裁 第九部分 货物需求及技术规格 一、项目说明 按照山东地税大集中建设总体规划，将在全系统内部网络中建设统一的网络信息安全综合管理监控系统，以进一步加强对内网中所有客户端计算机的管理监控力度，最大限度的保障整个内网边界的清晰和安全，严防各类不安全因素进入内网，将安全隐患和安全威胁发现并消除在初始萌芽状态。 二、现状描述 山东地税系统网络结构分为省、17市、150县（区）和1000余基层分局的四级，其中，省到市级广域网带宽为10M，市到县级为10M，县到基层分局为2M。初步估算全系统内网安装Windows类操作系统的PC和PC 服务器约2万台（其中省局机关约300台，每个市局机关不超过150台，每个县局机关不超过100台，每个基层分局不超过10台），此外，全系统约有近1千台网络设备（包括路由器和交换机，其中绝大多数交换机是可网管交换机）。 三、项目建设的目标任务（★） 通过该项目的建设，对全系统的内网实施统一的管理、监控、报警和审计策略，实现对所有接入内网的计算机设备进行有效的管理和监控，有效地预防非法外联、操作系统漏洞、客户端恶意攻击以及计算机病毒等安全事件的发生，并可以在即将发生时或安全事件发生后，迅速定位安全事件，以便采取有效措施尽快解决，从而保证整个内部网络中的所有计算机能够在安全可控的状态下运行。 四、项目建设的主要功能需求 该项目将主要包含如下十项功能： （一）分级管理和策略分发功能、系统应用要求 1、部署方式 （1）按照“权限集中，分级管理”的方式部署。支持“省、市、县三级”和“省、市两级”部署与管理模式，并可按采购人要求进行部署。 （2）省级管理员具有最高管理权限，上级管理员为下级管理员授权，各级管理员负责制定本级各类相关角色人员的权限并负责管理和处理本级及下级各类安全事件和告警。 （3）上级管理员可以在不需要下级管理员配合的情况下自主监控下级管理平台。 2、安全策略的制定 （1）各级服务器管理员可以定义本级及所属范围内网络及客户端计算机的安全管理策略和安全事件上报策略。 （2）上级汇总下级策略；各级制订的策略应逐级汇总至省局数据库中，并可按照管理权限实现分类保存、查询、下传； （3）各级管理员除可以制定本级的全局策略外，也可以方便的制定本级范围内的针对特定下级或特定客户端计算机（组）的策略，并自动将定义的各策略推送到各下级子系统及客户端计算机，实现安全管理策略的统一部署。 （4）下级管理员不能够更改上级制定的策略，但可在上级策略的基础上，结合当地的实际情况，增加更加严格的本级策略。 （5）需提供有效手段解决可能出现的上下级策略冲突问题。 3、安全策略的执行和告警信息的上报 （1）下级管理员必须严格执行上级下发的统一策略，即使是更加严格的本 地策略，也不得影响上级策略的执行； （2）各级客户端程序和管理平台将按照上级管理平台的策略要求，同时自动向上级管理平台上报各类告警信息，不能通过任何手段进行告警信息的修改或截留。 （3）在整个分级部署过程中，权限和策略是自上而下制定的，告警信息的收集是自下而上收集的，主动权掌握在上级机关。 4、系统本身的安全保证 （1）该系统须通过有效的认证技术保证系统自身的安全性，上下级管理员之间要求有认证技术来保障管理平台的合法可靠，保证所有上下级管理员之间策略库的定时复制（定时间隔可由采购人定制，并支持手工推送）； （2）系统应提供有效的技术手段迅速解决服务器系统崩溃后各相关内容的及时恢复问题。 5、系统实现方式 （1）采用“服务器端程序+客户端程序”的方式。即策略的制定与存储和告警信息的存储等功能在服务器端实现，对客户端计算机的监控、策略的执行等与客户端计算机有关的功能尽可能多的在客户端程序中实现。 （2）客户端程序无法由用户卸载，只能在管理员允许的情况下卸载。 6、系统可扩展性要求：该系统必须提供对CA系统的接口，待将来CA系统部署后，能够实现与CA系统之间的无缝衔接。 7、离线工作要求：计算机上装载的客户端程序支持离线工作，离线状态下按照既有安全策略（本机最新的策略包）对计算机进行安全保护。 8、全面的数据库管理功能和各模块的整合集成，实现一体化管理。能方便采集、存储客户端采集的所有安全信息，并根据用户指定条件进行各类资源信息的汇总统计，同时支持报表的生成和导出。 （二）安全接入功能 为了防止非法主机私自接入内部网络，对于达不到准入策略要求的计算机将根据相关策略要求禁止其访问内部网络，只允许其到一个安全隔离区去进行相关的安全加固操作，只有符合策略要求的计算机才能允许访问内网。 1、对于新接入内部网络的终端系统能够迅速（30秒内）发现并识别，并记录终端系统的IP地址、计算机名和MAC地址等基本信息，形成基本情况数据库。 2、根据设定的安全策略允许（或者禁止）终端接入网络，对于达到客户端接入要求的，允许接入内网；对于达不到客户端接入要求的终端自动转入安全隔离区，并给出达到准入标准需要进行的步骤与方法。 （1）安装终端管理软件客户端程序。 （2）按照客户端程序检测提示要求，逐个任务进行。 3、要求明确所采用的阻断和隔离技术（至少应支持802.1X技术），并阐述工作原理（包括如何处理HUB连接的计算机）。 4、要求能够实时分区域统计已经安装和还未安装客户端软件的计算机，并能够准确迅速的定位需要查找的计算机。 （三）非法外联行为的阻断与报警功能 该系统需要通过有效手段及时监测到任何类型的非法外联行为，并根据策略要求及时自动进行相应的阻断和报警，保障内网与互联网的严格隔离。 1、能够实时监控本级网络范围内的客户端计算机的非法外联行为，实时检测通过调制解调器、ADSL、双网卡、无线网卡、蓝牙等设备非法外联互联网，并 且可以按照策略要求对客户端计算机进行告警或阻断等处理。 2、能够详细记录客户端计算机的非法外联情况，包括非法外联计算机的名称、单位、上网方式等等,相关信息存储到本级数据库中（并按照要求逐级上传），供报警平台中查询使用。 （四）桌面安全管理功能 具有常用的桌面管理系统所具备的基本功能，如对客户端计算机的各种访问行为及程序应用情况进行监控与审计，对各种未经授权的行为或异常的情况根据事先制定的策略做出响应，自动进行软件分发等。 1、能够有效实现注册管理，可按照不同的区域、部门来区分已经注册了的客户端计算机，并可进行单独管理，并进行定期更新清理。 2、系统内的客户端计算机异地工作时，接入当地内网时，应按照当地策略进行检测，通过后可按照权限进入相应的业务系统。 3、具有对单个客户端计算机的IP地址进行绑定的功能，支持IP和MAC地址的绑定、IP和主机名绑定等，其中任意一个发生改变，系统将自动报警，报警后可自动恢复原有IP配置。 4、能够实现对指定的客户端计算机进行网络阻断。系统在管辖范围内，能够跨越网段、跨越VLAN对异常（如大量爆发病毒的高风险终端）的客户端计算机进行手动或自动阻断。 5、具有硬件接口控制功能，能够控制外设接口的使用，如启用或禁用软驱、光驱、USB接口、打印机、Modem、串口、并口、1394接口、红外接口等。 6、能够对计算机支持黑白名单控制管理 7、能够对软件支持黑白名单控制管理。 8、能够对进程支持黑白名单控制管理。 9、能够对服务进行管理，能点对点获得采购人在线进程、服务及所开放的端口，并可以远程控制指定的进程、服务和端口。 10、具有消息推送功能，能够向客户端计算机推送消息，如向客户端计算机发送请求重新注册、客户端代理程序升级等消息。 11、能够对客户端计算机实现点对点信息远程管理功能，诸如远程帮助、屏幕接管、抓包分析、运行进程查看、当前开放端口查看、安装软件审核、漏打补丁查看、终端安全审计、客户端网络配置修改等信息。 12、具有软件分发功能：能够按需要在一定范围内统一分发软件。 （五）计算机硬件资源告警管理功能 统计记录所有内网计算机硬件配置，并对统计信息进行分类汇总，在计算机硬件配置发生变化时，系统根据相应的策略要求自动进行告警。 1、能够管理客户端计算机的硬件资源：采集客户端的硬件设备信息（诸如硬盘、CPU、内存等）并存储到数据库中。 2、具有客户端计算机硬件资源信息变化报警功能，能够实时检测硬件设备变化情况（包括设备硬件变化、网络地址更改、USB设备接入等），根据制定的安全策略，对硬件资源变化进行记录并告警。 （六）补丁分发功能 通过补丁分发功能，能够及时获取各种微软操作系统及微软工具软件的最新补丁，并尽快为系统内所有内网计算机更新补丁，堵塞系统安全漏洞。同时可以实时监控所辖范围内计算机操作系统补丁的实际安装情况。 1、所有微软操作系统（包括Windows XP home版本）的客户端计算机都可 从相应级别的服务器上自动获得更新补丁，并可以自动安装。 2、支持按策略定义补丁的分发与安装。要求支持补丁分发策略制定，支持用户自定义补丁策略并自动分发，基于客户端网络IP范围、操作系统种类、补丁类别（系统补丁、IE补丁、应用程序补丁等）、风险级别等制定策略，发送至客户端计算机后统一按策略执行应用。 3、能够对网内计算机的补丁安装情况进行整体收集，管理员可以实时统计当前各终端计算机的补丁缺失情况、补丁安装情况等，方便对补丁分发进行过程监控。补丁下发完成后要有信息回馈，便于查询并导出报表。 4、按照采购人要求分级部署补丁分发服务器，且对下发的补丁必须提供代理转发流量控制技术，保障补丁分发的正常进行以及其他业务应用所需要的网络带宽。 5、要求支持对互联网补丁进行增量分离下载，经过病毒检测后将补丁导入内网，建立、更新内网补丁库。 （七）与网络防病毒系统的集成整合 全系统将统一部署网络防病毒产品，实现对全网病毒的有效防范和查杀。本系统应能够与采购人选定的防病毒产品进行有效集成和整合，具体内容包括： 1、能够与防病毒系统进行联动，实现防病毒客户端程序的安装和病毒定义码的统一分级分发。 2、能够对防病毒系统产生的各类事件进行统一的收集、合并，能够通过统一的操作界面实现对所有事件进行分类汇总和分类查询。 （八）计算机终端安全防护功能 通过终端安全防护功能，达到监控计算机终端，防范各类木马、后门等黑客程序对计算机终端的攻击，从而达到终端安全的目的。 1、支持对各类木马、后门等黑客程序的防护、查杀、免疫等功能。 2、能够与补丁分发系统进行联动，自动发现并抵御网络内对各计算机系统的攻击行为。 3、对于外接介质（软驱、光驱、USB存储设备等）可以根据用户需要设置只读取指定的文件类型或特定文件格式的文件，对除此之外的文件完全屏蔽（根本就不可见，更不能够读取或运行）。 4、能够自动进行功能版本的更新升级。 （九）桌面安全评估与加固功能 通过该功能，能够实现对客户端计算机的定时安全评估与检测，查找有危险的服务、端口等隐患，并提出解决方案。 1、自动发现存在安全隐患的客户端计算机，并提示系统管理员和采购人要采取的弥补措施； 2、能够对客户端计算机进行网络流量异常评估，及时发现异常流量计算机； 3、能够对客户端计算机进行安全配置评估，及时发现安全设置不完善的计算机； 4、支持登录口令强度、Guest帐户、屏幕保护检测，加固主机安全性； 5、禁止各种默认共享、禁止修改IP地址、禁止修改注册表； 6、禁止客户端计算机运行非法进程等； 7、内置客户端计算机个人防火墙，既可限制外部网络直接访问客户端计算机，又可以限制客户端计算机去访问一些不允许的网络服务。 （十）基本的网管功能 通过网络管理功能，可以对网络设备和计算机终端进行分层次图形化精细管理，并能快速定位有故障疑点的网络设备或客户端计算机，从而保证系统网络的安全稳定运行。 1、网络拓扑发现功能：能够智能、快速探测整个网络，自动搜寻网络中活动的结点，获得网络中所有路由交换设备、服务器和客户端计算机，自动迅速生成网络管理图，构建动态的拓扑模型。 2、可以通过网络管理图快速查看网络连接情况和设备运行情况。 3、实现对系统内所有支持SNMP V3协议网络设备及端口管理。 4、对于线路中断或流量异常等故障，能够自动进行各种方式的报警，并且利用该功能准确定位内网中的任何一台有故障疑点的网络设备或客户端计算机。 五、系统运行环境要求 1、硬件要求：省局服务器要求实现双机热备或集群功能，更好地增强系统运行的稳定性和可靠性。 采购人将提供高性能PC服务器（省局4台、大规模市3台、中小规模市2台，含正版操作系统），由本项目中标人负责项目集成及安装部署该系统。 系统运行所需商业软件（OS除外）一律由中标人负责提供（费用计入总报价），并提供正版证明文件。中标人承担系统运行所涉及的全部软件版权责任（OS除外）。 2、对系统总体的性能指标要求 对于占用主机资源和网络资源（尤其是广域网资源）较大的功能模块，要有相应的技术手段在保障核心应用正常运行的同时，保障本系统的正常稳定运行。 3、系统的集成性整合要求 所有功能应通过完整统一的集成展示平台，实现对各项功能的集成管理（包括数据采集、查询、报表、统计汇总、展示等）。 六、项目实施要求 （一）实施内容和进度安排 1、需求制作 投标人须协调各产品供应商成立二次开发项目组，与采购人需求组人员共同对采购人需求进行需求调查、分析和整理汇总，形成《需求分析报告》，经采购人签字确认。 2、二次开发 以中标人及各产品供应商成立二次开发项目组，根据采购人确认后的《需求分析报告》进行定制开发，完成后按照要求提交相关开发文档给采购人。 3、产品测试 开发完成后，产品应首先在厂商内部进行测试，通过后再在采购人搭建环境进行测试，测试通过后出具测试报告。 4、试点部署 测试通过后，根据采购人的实际情况，选择1-2个市，进行试点安装，根据试点过程中发现的问题对产品进行优化调整。 5、全省上线部署和试运行 试点完成后，在全省范围内进行上线部署。 6、验收 验收小组由采购人、中标人、产品原厂商指定代表、该项目监理单位及相关专家共同组成，在系统试运行结束且已经达到稳定运行的目标后，进行项目验收。 由中标人与产品原厂商授权技术人员按照测试方案进行产品功能和性能测试并提交测试报告，然后由验收小组监督按照提交的测试报告进行验收并出具验收报告。 7、后续服务 验收完成后，中标人需提供所有相关产品的6年免费升级服务，以及1名技术人员3年现场服务。 以上1、2、3项时间要求是自签订合同之日起3个月内完成，后续工作根据试点情况由中标人与采购人协商具体的进度要求。 （二）实施地点 实施地点为山东省地税局、17个市地税局和部分区县局。 注：以上加“★”号条款，若任意一款不满足要求，按无效投标处理。