【招标结果】陕西职业技术学院采购应用系统安全防护平台(WAF)网上询价项目网上询价成交公告
【招标结果】陕西职业技术学院采购应用系统安全防护平台(WAF)网上询价项目网上询价成交公告:本条项目信息由剑鱼标讯陕西招标网为您提供。登录后即可免费查看完整信息。
基本信息
地区 | 陕西 汉中市 | 采购单位 | 陕西职业技术学院 |
招标代理机构 | 项目名称 | 陕西职业技术学院采购应用系统安全防护平台(WAF) | |
采购联系人 | *** | 采购电话 | *** |
中标信息
中标单位 | 陕西志成新业网络技术有限公司 | 中标金额 | *** |
联系方式 | *** |
一、项目概述
网上询价询价编号:SHAX-JJ-2023-103078
项目名称:陕西职业技术学院采购应用系统安全防护平台(WAF)网上询价项目
采购单位:陕西职业技术学院
所属区域:陕西省本级
预算金额(元):230,000.00
网上询价开始时间:2023-11-24 08:53:01
网上询价截止时间:2023-11-27 08:53:00
采购人及联系方式:张明经 13669237836
采购计划备案书/核准书编号:ZCBN-省本级-2023-10035
采购方式:电子卖场(网上询价)
二、项目要求
(一)报价须知
1.所投产品必须为原装正品,必须按生产厂家承诺的售后服务条款提供各项售后服务。
2.报价应包括对投标产品的运输、安装、售后服务、技术支持、保险、利润、税金及合同包含的所有风险、责任等各项应有费用。
3.如项目成交,则成交供应商依据成交确认书在十个工作日内与采购人签订协议供货合同;成交供应商必须在合同签订之日起五个工作日内按照采购人指定的地点供货。
4.供应商必须响应所有的询价需求。
(二)其它
1.所投设备型号生产厂家如已停产,请供货商在备注一栏内写明替代产品型号及详细配置。
2.如果设备型号配置有歧义,请供货商务必在报价前与采购单位联系落实或报价时明确所报设备型号,否则视为废标。
3.供货商在报价时,报价总价不得超过预算金额,不得以低于成本价的方式谋取中标。
三、需求明细
四、商务需求
五、供应商响应情况
六、采购结果
中标供应商:陕西志成新业网络技术有限公司
成交时间:2023-11-27 08:53:00
成交金额:125,700.00,大写(人民币):。
采购单位:陕西职业技术学院
2023年12月02日
网上询价询价编号:SHAX-JJ-2023-103078
项目名称:陕西职业技术学院采购应用系统安全防护平台(WAF)网上询价项目
采购单位:陕西职业技术学院
所属区域:陕西省本级
预算金额(元):230,000.00
网上询价开始时间:2023-11-24 08:53:01
网上询价截止时间:2023-11-27 08:53:00
采购人及联系方式:张明经 13669237836
采购计划备案书/核准书编号:ZCBN-省本级-2023-10035
采购方式:电子卖场(网上询价)
二、项目要求
(一)报价须知
1.所投产品必须为原装正品,必须按生产厂家承诺的售后服务条款提供各项售后服务。
2.报价应包括对投标产品的运输、安装、售后服务、技术支持、保险、利润、税金及合同包含的所有风险、责任等各项应有费用。
3.如项目成交,则成交供应商依据成交确认书在十个工作日内与采购人签订协议供货合同;成交供应商必须在合同签订之日起五个工作日内按照采购人指定的地点供货。
4.供应商必须响应所有的询价需求。
(二)其它
1.所投设备型号生产厂家如已停产,请供货商在备注一栏内写明替代产品型号及详细配置。
2.如果设备型号配置有歧义,请供货商务必在报价前与采购单位联系落实或报价时明确所报设备型号,否则视为废标。
3.供货商在报价时,报价总价不得超过预算金额,不得以低于成本价的方式谋取中标。
三、需求明细
序号 | 商品名称 | 技术参数或配置要求 | 建议品牌及型号 | 单位 | 数量 |
---|---|---|---|---|---|
1 | 应用系统安全防护平台(WAF) | 自定义 : 1、标准机架式设备,网络层吞吐量:≧20G,应用层吞吐量:≧9G,防病毒吞吐量:≧1.5G,IPS吞吐量:≧1.3G,全威胁吞吐量:≧1G,并发连接数:≧200万,HTTP新建连接数:≧9万,IPSec VPN 最大接入数:≧1000,IPSec VPN吞吐量:≧700M。内存大小:≧8G,硬盘容量:≧128G SSD,电源:冗余电源,接口:≧8千兆电口+2万兆光口SFP+。 2、包括但不限于:WEB应用防护识别库、IPS特征库、僵尸网络防护库、实时漏洞分析识别库和URL&应用识别库定期更新,保持设备具备检测防御最新威胁的能力。 3、包括但不限于:Web安全防护、Web扫描、实时漏洞分析、敏感信息防泄漏等针对业务安全保障的功能 4、包括但不限于:恶意IP过滤、恶意域名检测、威胁情报云查功能。 5、支持全部未知DNS、IP流量云端检测,提供云端海量威胁情报、海量的规则+AI智能引擎检测能力。 6、100MS内实现云端已知威胁拦截,未知威胁5分钟全网情报同步。 7、支持针对主流Web服务器及插件的已知漏洞防护。Web服务器应覆盖主流服务器:apache、tomcat、lightpd、NGINX、IIS等插件应覆盖:dedecms、phpmyadmin、PHPWind、shopex、discuz、ecshop、vbulletin、wordpress等,提供Java反序列化漏洞(Jboss)防护规则。 8、支持HTTP访问控制功能,可以提供针对HTTP元素和客户端的组合访问控制策略。支持对多种HTTP方法执行访问控制,包括:GET、POST、HEAD、PUT、DELETE、MKCOL、COPY、MOVE、OPTIONS、PROPFIND、PROPPATCH、LOCK、UNLOCK TRACE、SEARCH、CONNECT。 9、提供盗链防护,应采用Referer和Cookie算法。 10、支持对注入(包括SQL注入、LDAP注入、XPATH注入及命令行注入)、XSS、SSI指令、路径穿越、远程文件包含、WebShell防护。提供配置界面截图证明。 11、支持CSRF(跨站请求伪造)防护,并支持WEB2.0 CSRF防护。 12、支持非法文件上传防护,有效识别文件上传行为,并对上传行为的内容做安全检测,可以根据需要,禁止上传以下文件类型:PE(windows Executable File)、ELF(linux Executable File)、PHP web shell、Linux shell、Power shell(windows Script File)、Java shell、Asp shell、Perl shell、Python shell及Ruby shell,同时可支持源IP封禁、Session封禁和UA封禁。 13、支持非法下载防护,可以根据文件大小、MIME类型及文件扩展名灵活定义下载限制策略,限制用户非法获取网站的关键数据(比如数据库文件,配置文件等)。 14、支持Cookie安全机制,包括Cookie加密和Cookie签名的防护算法。支持过期兼容时间配置以及*配置。 15、支持敏感信息过滤,对用户的个人隐私信息(信用卡卡号、手机号、身份证号码)泄露进行检测、阻断或替换。 16、支持XML防护,包括XML基础校验、Schema校验以及SOAP校验。 17、可根据会话标识、浏览器标识进行会话跟踪,还原攻击场景。 18、支持暴力破解防护,可针对指定URL进行暴力破解防护,支持多种方式的登陆,支持referer检测,支持阈值和检测周期的设置。 19、支持人机识别,可通过JS脚本识别自动化工具,并能够对自动化工具访问请求配置放过、阻断、接受、伪装等处置动作。可以根据客户端环境检测,识别攻击工具,主要包括:市面上主流扫描器,如burpsuite、nessus等,市面上主流自动化工具selenium、phantomjs等,脚本攻击识别。 20、支持页面动态混淆防护,在保证业务和页面展示效果的情况下,对响应页面中的Form表单、a标签、Javascript文件等关键信息进行混淆,支持对例外URL不进行混淆操作。 21、支持XML&JSON格式的API安全检测与防护。 22、支持API资产梳理,可基于API流量进行API资产自学习,可查看API列表和API资产,可识别影子API,支持API接口的导入导出。 23、支持API攻击防护,可查看基于OWASP TOP 10的API安全事件统计,并可查看API安全事件详情。 24、支持TCP Flood防护;支持基于阈值及算法配置的HTTP Flood防护。 25、支持对慢速攻击的防护。 26、提供默认策略模板,方便客户快速对站点组及虚拟站点进行web安全防护策略配置。支持严格模板、标准模板及宽松模板。 27、支持多达七种的防护动作,包括了放过、阻断、接受、重定向、伪装、清除和替换。可针对不同安全风险提供多种可选方案。 28、支持透明部署,旁路部署,反向代理模式以及插件式部署模式。 29、支持SSL卸载及加载,支持对SSL(HTTPS)加密会话进行分析,SSLv2, SSLv2/v3, SSLv3、TLS1.0\1.1\1.2\1.3。 30、支持HTTPS国密算法。 31、支持对响应页面内容进行gzip压缩。 32、支持显示接口状态,引擎状态、系统CPU、内存及硬盘使用率,系统当前时间及系统运行时间。 33、支持安全事件、业务负载、接口流量、系统负载、封禁IP管理、站点访问量统计的实时和历史数据查看及查询。 34、支持标准SNMP V1/V2c/V3以及 trap;支持Syslog接口。 35、支持对于用户登录密码错误的次数进行限制,并可封禁异常登录的账号或IP,封禁时间可以配置。 36、支持紧急模式:支持配置并发连接数阈值,当并发连接数超过设置阀值时,WAF自动进入紧急模式,已经代理的连接正常代理,对新增的请求直接转发;当连接数恢复正常时,自动退出紧急模式。 37、所有设备及软件要求国产一线品牌,非OEM产品。 硬件产品质保期不得少于5年,软件质保期不得少于5年。; | 台 | 1 |
四、商务需求
序号 | 商务项目 | 商务需求 |
---|---|---|
1 | 质保期要求 | 提供设备软硬件5年质保,包括系统软件升级、规则库更新等,质保期自终验合格交付使用之日起,在质保期内出现的质量问题由成交供应商负责,费用由成交供应商承担。 |
五、供应商响应情况
排名 | 供应商名称 | 总报价(元) | 报价时间 |
---|---|---|---|
1 | 陕西志成新业网络技术有限公司 | 125,700.00 | 2023-11-25 10:31:56 |
2 | 西安悠逸微影贸易有限公司 | 169,800.00 | 2023-11-26 14:29:53 |
3 | 陕西硕方信息科技有限公司 | 226,800.00 | 2023-11-24 13:07:23 |
4 | 陕西易维计算机技术服务有限公司 | 228,000.00 | 2023-11-24 13:13:05 |
六、采购结果
中标供应商:陕西志成新业网络技术有限公司
成交时间:2023-11-27 08:53:00
成交金额:125,700.00,大写(人民币):。
序号 | 产品名称 | 技术参数或配置 | 品牌型号 | 单位 | 数量 | 单价(元) | 合计金额(元) |
---|---|---|---|---|---|---|---|
1 | 应用系统安全防护平台(WAF) | 自定义 : 1、标准机架式设备,网络层吞吐量:≧20G,应用层吞吐量:≧9G,防病毒吞吐量:≧1.5G,IPS吞吐量:≧1.3G,全威胁吞吐量:≧1G,并发连接数:≧200万,HTTP新建连接数:≧9万,IPSec VPN 最大接入数:≧1000,IPSec VPN吞吐量:≧700M。内存大小:≧8G,硬盘容量:≧128G SSD,电源:冗余电源,接口:≧8千兆电口+2万兆光口SFP+。 2、包括但不限于:WEB应用防护识别库、IPS特征库、僵尸网络防护库、实时漏洞分析识别库和URL&应用识别库定期更新,保持设备具备检测防御最新威胁的能力。 3、包括但不限于:Web安全防护、Web扫描、实时漏洞分析、敏感信息防泄漏等针对业务安全保障的功能 4、包括但不限于:恶意IP过滤、恶意域名检测、威胁情报云查功能。 5、支持全部未知DNS、IP流量云端检测,提供云端海量威胁情报、海量的规则+AI智能引擎检测能力。 6、100MS内实现云端已知威胁拦截,未知威胁5分钟全网情报同步。 7、支持针对主流Web服务器及插件的已知漏洞防护。Web服务器应覆盖主流服务器:apache、tomcat、lightpd、NGINX、IIS等插件应覆盖:dedecms、phpmyadmin、PHPWind、shopex、discuz、ecshop、vbulletin、wordpress等,提供Java反序列化漏洞(Jboss)防护规则。 8、支持HTTP访问控制功能,可以提供针对HTTP元素和客户端的组合访问控制策略。支持对多种HTTP方法执行访问控制,包括:GET、POST、HEAD、PUT、DELETE、MKCOL、COPY、MOVE、OPTIONS、PROPFIND、PROPPATCH、LOCK、UNLOCK TRACE、SEARCH、CONNECT。 9、提供盗链防护,应采用Referer和Cookie算法。 10、支持对注入(包括SQL注入、LDAP注入、XPATH注入及命令行注入)、XSS、SSI指令、路径穿越、远程文件包含、WebShell防护。提供配置界面截图证明。 11、支持CSRF(跨站请求伪造)防护,并支持WEB2.0 CSRF防护。 12、支持非法文件上传防护,有效识别文件上传行为,并对上传行为的内容做安全检测,可以根据需要,禁止上传以下文件类型:PE(windows Executable File)、ELF(linux Executable File)、PHP web shell、Linux shell、Power shell(windows Script File)、Java shell、Asp shell、Perl shell、Python shell及Ruby shell,同时可支持源IP封禁、Session封禁和UA封禁。 13、支持非法下载防护,可以根据文件大小、MIME类型及文件扩展名灵活定义下载限制策略,限制用户非法获取网站的关键数据(比如数据库文件,配置文件等)。 14、支持Cookie安全机制,包括Cookie加密和Cookie签名的防护算法。支持过期兼容时间配置以及*配置。 15、支持敏感信息过滤,对用户的个人隐私信息(信用卡卡号、手机号、身份证号码)泄露进行检测、阻断或替换。 16、支持XML防护,包括XML基础校验、Schema校验以及SOAP校验。 17、可根据会话标识、浏览器标识进行会话跟踪,还原攻击场景。 18、支持暴力破解防护,可针对指定URL进行暴力破解防护,支持多种方式的登陆,支持referer检测,支持阈值和检测周期的设置。 19、支持人机识别,可通过JS脚本识别自动化工具,并能够对自动化工具访问请求配置放过、阻断、接受、伪装等处置动作。可以根据客户端环境检测,识别攻击工具,主要包括:市面上主流扫描器,如burpsuite、nessus等,市面上主流自动化工具selenium、phantomjs等,脚本攻击识别。 20、支持页面动态混淆防护,在保证业务和页面展示效果的情况下,对响应页面中的Form表单、a标签、Javascript文件等关键信息进行混淆,支持对例外URL不进行混淆操作。 21、支持XML&JSON格式的API安全检测与防护。 22、支持API资产梳理,可基于API流量进行API资产自学习,可查看API列表和API资产,可识别影子API,支持API接口的导入导出。 23、支持API攻击防护,可查看基于OWASP TOP 10的API安全事件统计,并可查看API安全事件详情。 24、支持TCP Flood防护;支持基于阈值及算法配置的HTTP Flood防护。 25、支持对慢速攻击的防护。 26、提供默认策略模板,方便客户快速对站点组及虚拟站点进行web安全防护策略配置。支持严格模板、标准模板及宽松模板。 27、支持多达七种的防护动作,包括了放过、阻断、接受、重定向、伪装、清除和替换。可针对不同安全风险提供多种可选方案。 28、支持透明部署,旁路部署,反向代理模式以及插件式部署模式。 29、支持SSL卸载及加载,支持对SSL(HTTPS)加密会话进行分析,SSLv2, SSLv2/v3, SSLv3、TLS1.0\1.1\1.2\1.3。 30、支持HTTPS国密算法。 31、支持对响应页面内容进行gzip压缩。 32、支持显示接口状态,引擎状态、系统CPU、内存及硬盘使用率,系统当前时间及系统运行时间。 33、支持安全事件、业务负载、接口流量、系统负载、封禁IP管理、站点访问量统计的实时和历史数据查看及查询。 34、支持标准SNMP V1/V2c/V3以及 trap;支持Syslog接口。 35、支持对于用户登录密码错误的次数进行限制,并可封禁异常登录的账号或IP,封禁时间可以配置。 36、支持紧急模式:支持配置并发连接数阈值,当并发连接数超过设置阀值时,WAF自动进入紧急模式,已经代理的连接正常代理,对新增的请求直接转发;当连接数恢复正常时,自动退出紧急模式。 37、所有设备及软件要求国产一线品牌,非OEM产品。 硬件产品质保期不得少于5年,软件质保期不得少于5年。; | 台 | 1 | 230,000 | ¥***.00 |
采购单位:陕西职业技术学院
2023年12月02日
剑鱼标讯陕西招标网收集整理了大量的招标投标信息、各类采购信息和企业经营信息,免费向广大用户开放。登录后即可免费查询。