按照本院采购制度要求,现就上海音乐学院网站安全监测防护项目,以院内比价的方式确定供应商。
一、项目概况
项目名称:上海音乐学院网站安全监测防护项目
采购内容:上海音乐学院网站安全监测防护
项目预算:含税价19万元(报价须含税金、运费、制作费、材料费、安装费、服务费等相关费用)
交付地址:上海音乐学院
二、合格的报价人
1. 具有独立法人资格及相应的经营范围;
2. 具备履行合同所必需的设备和专业技术能力的证明材料;
3. 具有维护、提供营业执照(三证合一)、具有独立法人资格、具有相应经营范围的企业单位;
4. 在本市有固定经营场所、服务机构;并有专业的技术服务队伍,能提供良好的技术支持;
5. 近三年内,在经营活动中没有重大违法记录;
6. 提供主要软件厂商对本项目的授权书,投标单位是代理商的需要提供原厂对于本次项目的授权书,投标单位是厂商的需要提供原厂证明;
7. 本项目不接受联合体投标,投标文件中以上资料复印件需加盖公章;
8. 维修技术人员,能提供良好的技术支持和售后服务;
三、项目投标书须包含以下内容
1. 企业法人营业执照副本复印件(必须)
2. 税务登记证复印件(必须)
3. 法人代表授权委托书(必须)
4. 产品报价及产品介绍(必须)
5. 产品交货期或工程服务的工期完成期限等(必须)
6. 产品代理授权证书(若为代理品牌需提供)
7. 售后服务承诺及保养维修(必须)
8. 同类项目近3年业绩,高校优先(必须)
9. 工程服务、会议策划、设计类项目请列明施工方案,策划方案及设计方案等相关方案(工程服务类必须)
10. 是否能提供相关优惠;
注:以上资料(一式三份)必须加盖公章密封并注明项目名称,若未密封视为无效投标书
四、标书递交地址及截止日期
凡愿参加报价的合格供应商在2019年11月26日下午16:00之前将标书及相关资料送至上海音乐学院
地址:上海市汾阳路20号教学大楼316 室
联系人:王老师
联系电话:64317643
五、开标时间另行通知
六、招标需求及技术要求:
在上海音乐学院建立统一WEB网站安全监测防护体系,使上海音乐学院WEB网站安全监测防护管理工作步入一个可控的、安全的、可监测防护的阶段,保障web网站系统的高可用性、高防篡改性;采购30个web网站1年的安全监测防护服务。
指标项 | 指标要求 |
资质 | ?原厂商注册资金不少于5000万,需提供经年检合格的营业执照副本复印件并盖章 ?原厂商需要具备软件企业认证资质, 并加盖单位公章 原厂商需具备ISO27001管理体系资质,提供证书的复印件,并加盖单位公章 原厂商需要是CNCERT国家级网络安全应急服务支撑单位,应提供相关证明的复印件,并加盖单位公章 原厂商作为中国国家信息安全漏洞库(CNNVD)一级技术支撑单位,应提供相关证书的复印件,并加盖单位公章 原厂商获得中国信息安全认证中心颁发的信息安全一级应急处理服务资质 原厂商须具有云计算安全联盟成员(CSA)证书; |
平台要求 | 全国范围内具备至少20个云防护和CDN加速节点 支持不小于300Gbps拒绝服务攻击流量防护能力(提供证明) 要求安全防御平台为一体化平台,应同时具备网站漏洞监测、可用性监测、攻击防御状态、防护报表、页面防篡改等功能,要求所有的功能集成在同一产品上实现。所要求的功能需要提供可视化界面配置 能为每个网站单独创建用户账号,用于查看网站的安全状况。管理员用户账号可关注、查看学校的网站整体情况。 |
部署方式 | 无需在网站前端安装任何安全设备、软件,通过DNS流量指向到云端进行安全防护 |
支持将防护网站NS解析到云防护DNS服务器,支持将防护网站CNAME别名指向云防护 | |
防御功能 | DDOS畸形报文过滤, 过滤frag flood、smurf、stream flood、land flood、攻击ip畸形包、tcp畸形包、udp畸形包 |
传输层DDoS攻击防护,过滤syn flood、ack flood、udp flood、icmp flood、rstflood | |
连接型DDoS攻击防护,过滤TCP慢速连接攻击、连接耗尽攻击、tcp新建连接限制等攻击和loic、hoic、slowloris、Pyloris、xoic等慢速攻击 | |
特征过滤,4层ip+port过滤和7层payload部分内容过滤 | |
支持检查提交的报文是否符合HTTP协议框架,如异常的请求方法、特殊字符、重点字段的缺失、超长报文造成的溢出攻击以及对高危文件的访问等 | |
支持识别恶意请求含:跨站脚本(XSS)、注入式攻击(包括SQL注入、命令注入 、Cookie 注入等)、跨站请求伪造等应用攻击行为 | |
支持识别服务端响应内容导致的缺陷:敏感信息泄露、已有的网页后门、错误配置、目录浏览等缺陷 | |
支持基于访问行为特征进行分析,能识别盗链、爬虫攻击的能力 | |
支持识别网站中的网页木马程序,通过策略可防止木马网页被用户访问 | |
支持对用户上传的文件后缀名和文件内容进行全方面检查,杜绝Webshell的上传和访问 | |
支持对WEB服务器容器、应用中间件、CMS系统等第三方组件漏洞进行有效防护 | |
支持智能识别攻击者,对网站连接发起攻击的IP地址进行自动锁定禁止访问被攻击的网站 | |
支持一键虚拟补丁功能,网站出现0day漏洞时能快速完成修复 | |
安全审计 | 能详细记录攻击事件的HTTP请求头信息,含请求的URL、UserAgent、POST内容,cookie等所有的请求头内容 |
报表 | 提供全面、详细的统计报表功能,能够提供图形界面进行查询 |
可查看安全防护报告,包含攻击者区域统计、攻击者IP统计、被攻击页面统计、被攻击域名统计、攻击事件统计、攻击威胁等级统计等报告。 | |
可查看可用性监测报告,包括各省的延时数据、可用性、故障次数和故障时长等信息。 | |
可提供日报、周报、月报,并支持导出和自动发送。 | |
可视化展现 | 1.可视化页面需支持投放到大屏幕;可视化页面需要能够依据漏洞类型、安全事件类型、可用性等维度进行挖掘、展现,展现效果包括地图形式、类型排名等; 2.支持对源、目的IP的排序分析,支持对进出口流量、访问和攻击次数的统计与展现; 3. 可查看安全防护报告,包含攻击者区域统计、攻击者IP统计、被攻击页面统计、被攻击域名统计、攻击事件统计、攻击威胁等级统计等报告 |
手机APP管理 | 通过手机APP查看网站整体态势数据,包含网站漏洞监测、可用性监测、攻击防御状态、防护报表、页面防篡改等状态信息 |
告警方式 | 支持Syslog、手机短信、邮件、密信等多种告警方式 |
云监测 | 提供7*24小时安全事件监测,至少包括暗链、黑页、反共等类型的事件,对监测发现的安全事件提供人工审核处理及事件处置的跟踪,并形成可监管的工作流。 |
提供7*24小时可用性监测,至少20个地区节点的监测数据, 数据包括:各地监测可用情况,提供分析报告,展现多节点监测分析结果等内容。 | |
提供应用漏洞检测,并进行风险的修复性验证,跟踪漏洞历史走势; | |
对最新发现的0day漏洞,包含公布的0day以及厂商自发现的漏洞,进行24小时内的快速检测预警并提供在线展示。 | |
提供对网站等信息系统的基础数据进行探测,包括:信息系统域名、域名所有者、域名解析者、网站与业务系统名称、IP地址、资产IP归属地、行政归属地等。 | |
提供按月形成安全态势报告,分析整体安全状态。从0day安全预计、漏洞与测试验证、子域名情况、可用性情况、安全事件以及整体安全态势等角度进行深入分析,宏观掌握整体安全态势,并提供安全问题站点列表。 |
