北京大学计算中心web应用防火墙及核心交换机招标采购项目

招标文件编号:2013[042]北京大学实验室与设备管理部二〇一三年十一月三十日目录第一部分投标邀请2第二部分招标文件3第三部分投标须知4第四部分货物需求一览表及技术规格9第五部分技术规格偏离表16第一部分投标邀请公告日期:2013年11月30日项目名称:北京大学计算中心web应用防火墙及核心交换机招标采购项目招标编号:2013[042]招标机构名称:北京大学实验室与设备管理部地址:北京市海淀区颐和园路5号北京大学(红1楼、红2楼之间216室)邮编:100871电话:62758587,;传真:62751411联系人:张宇波刘雪蕾北京大学实验室与设备管理部就"北京大学计算中心web应用防火墙及核心交换机招标采购项目"相关货物和有关服务进行招标采购,邀请合格投标人就该项目的货物和有关服务提交密封投标.
有关问题说明如下:招标货物名称、数量、交货期及地点:招标货物名称:web应用防火墙及核心交换机;技术规格要求:详见第四部分;交货期:按合同约定;交货地点:按合同约定.
合格投标人必须符合《中华人民共和国政府采购法》第二十二条之规定.

招标文件的获取:2013年11月30-12月19日,上午8:30-11:30,下午13:30-16:30(北京时间).
北京大学实验室与设备管理部购买招标文件,每套200元人民币,售后不退.

投标人可从北京大学招标公告栏或实验室与设备管理部网站下载本次招标的电子版标书(http://www.
lab.
pku.
edu.
cn/zbcg/zbxxgs/).

投标人购买一份标书只能投一个方案,一份标书投2个或以上方案视为无效.

投标截止时间:2013年12月20日上午8:30前(北京时间),逾期不接受.
开标时间:2013年12月20日上午8:30.
投标地点和开标地点:北京大学实验室与设备管理部B08会议室.
第二部分招标文件的说明招标文件构成:招标文件共六部分,内容如下:第一部分投标邀请第二部分招标文件的说明第三部分投标须知第四部分货物需求一览表及技术规格第五部分技术规格偏离表投标人应认真阅读招标文件中所有的事项、格式、条款和技术规范等.
投标人没有按照招标文件要求提交全部资料,或者投标没有对招标文件在各方面都做出实质性响应是投标人的风险,并可能导致其投标被拒绝.

招标文件的澄清任何要求对招标文件进行澄清的投标人,均应以书面形式通知北京大学实验室与设备管理部;在投标截止期以前收到的对招标文件的澄清要求均以书面形式予以答复,同时将书面答复发给每个购买招标文件的投标人.

招标文件的修改在投标截止期前的任何时候,无论出于何种原因,招标机构可主动地或在解答投标人提出的澄清问题时对招标文件进行修改.

招标文件的修改将以书面形式通知所有购买招标文件的投标人,并对其具有约束力.
投标人在收到上述通知后,应立即向招标机构回函确认.

为使投标人准备投标时有充分时间对招标文件的修改部分进行研究,招标机构可自行决定是否延长投标截止期.

第三部分投标须知说明适用范围本招标文件仅适用于本投标邀请函中所叙述项目的货物、工程及服务.

定义"招标人"系指北京大学.
"投标人"系指按照招标文件的规定,获得招标文件,并向招标人提交投标文件的企业或事业或科研单位的独立法人.

"中标人"系指由评标委员会评审符合招标文件要求,综合竞争实力最强、赢得供货合同的投标人.

"用户"系指北京大学.
"货物":就本招标文件而言,投标人在合同项下需要提供、安装的、包括与本次招标设备有关的硬件、软件,以及所有有关的文件,统称为"货物".

"服务":由投标人提供的有关运输、保险、安装调试、培训、技术支持、维护、维修以及其它使货物正常运转所必需的服务,统称为"服务"投标费用无论投标结果如何,投标方自行承担所有与参加投标有关的全部费用.
中标服务费中标商应在合同生效后5个工作日内,依照合同金额采用差额定率累进计费方式向北京大学交纳中标服务费.
具体计算方式:100万元人民币以下部分按1%收取;100-500万元人民币部分按0.
8%收取;500万元以上人民币部分按0.
6%收取授权参与投标的代理商须持有制造商针对本次投标的授权,或在有效期内的长期授权.

投标方条件投标人必须是具有法人资格的企业或事业或科研单位的独立法人,进行工商税务登记且年检合格.

投标人应遵守《中华人民共和国招标投标法》、《中华人民共和国合同法》等有关的中国法律法规.
具备良好的供应和施工能力,具有完善的售后服务和良好的信誉,无不良经营行为.
有能力提供相应商品和服务的制造商或制造商针对本次招标采购的授权代理商且具有良好的商业信誉.

投标人需具有本次招标设备的生产、安装经验以及成功案例.
必须具有良好的售后服务保障体系.

投标文件的编写要求投标文件的语言与计量单位投标文件、资料、往来信函等使用语言为中文.
除招标文件有特殊要求外,投标文件中所使用的计量单位、图形符号等应使用中华人民共和国法定计量单位及通用图形符号.

投标文件中,由于未作解释或解释不当而产生的歧义,招标人可朝对招标人有利的方向理解.

文字(或结合图)说明自己设计的具体优点.
投标文件的组成投标书a)投标设备报价表;b)投标货物名称及规格、国别、生产厂家、工作参数、具体性能指标等;c)投标货物的生产许可证(复印件)或产品代理授权证明;d)售后服务承诺以及兑现这些承诺所具备的条件和保障措施;e)技术与商务偏离表;f)投标人能够给予招标人的其他优惠条件;g)生产、制造、安装、验收标准;h)投标人情况一览表;i)开标一览表.
资格证明文件:a)营业执照(复印件);b)法人资格证明或法人代表授权书;c)税务登记证明(复印件);d)法定代表人或授权代表的身份证(复印件);e)投标货物(技术)的鉴定证书(复印件);f)投标货物(技术)获优、奖等荣誉证书(复印件);g)有关技术人员及参与项目管理、施工人员的资格证明;h)投标人认为有必要的其他证明文件.
投标书a)详细的交货清单;b)备件清单;c)专用工具清单;d)交货时间;e)投标货物近三年在中国境内外销售业绩;f)投标人认为需要陈述的其他内容.
有关投标报价的规定所有投标均以人民币报价.
投标报价应是货物(技术)交付之前包括货物及运输、系统集成、安装调试、人员培训等的最终报价.

投标报价应提供单价及本次投标总价.
投标人应详实提供设备投标报价表.
招标人不接受投标人对任何未办理正常进口手续的非中华人民共和国境内生产的货物的投标报价.

未经考验的新产品、试制品不能参加投标.
投标报价为一次性报价.
招标人不保证最低报价中标.
有关投标的其他规定投标文件正本必须用不退色的墨水填写或打印,幅面规格A4并装订成册,副本可用复印件.
投标文件须一式6份(正本1份,副本5份),分别加盖"正本""副本"印章.
正本与副本如有差别,以正本为准,责任由投标人自负.

投标文件中不许有加行、涂抹或改写.
若修改错漏处,须由法定代表人或其授权代表签字并加盖单位公章方可生效.

投标文件封面应标明"正本"或"副本"字样.
为方便开标唱标,投标人应将开标一览表单独密封提交,并在信封上标明"开标一览表"字样.

全部投标文件应装入同一密封袋内,密封包装,封口处应有投标人法定代表人或其授权代表签字并加盖投标单位公章;封面注明招标项目名称和编号,投标人的名称、地址、邮编、传真、联系电话、联系人.

开标和评标开标开标仪式由招标人主持,在投标邀请函中规定的地点和时间开标.
开标时当众查验投标文件密封情况,确认无误后拆封.
评标评标委员会:招标人将依照《中华人民共和国招标投标法》、国家计委等七部委制定的《评标委员会和评标方法暂行规定》、《北京大学招标采购管理办法》等法律法规的有关规定组建评标委员会;评标委员会成员由五名专家组成.

评标原则:评标委员会按照有关法律、法规规定和招标文件要求,遵循公平、公正、科学、择优的原则,采用相同的程序和标准,不受外界任何因素干扰和影响独立对投标文件进行评审.

评标主要内容:对投标文件的初审、质疑、综合评审、择优定标.
具体内容:技术性能、相关业绩、综合商务及投标报价.

评标办法:本次招标采用综合评分法,是指在最大限度地满足招标文件实质性要求前提下,按照招标文件中规定的各项因素进行综合评审后,以评标总得分最高的投标人作为中标候选供应商或者中标供应商的评标方法.

评分因素(总分100分):投标报价:25分;综合商务:10分,考虑投标商资质状况;考虑投标人供货方案;考虑投标人近3年来做过的与本项目相同或相似的项目业绩等;技术性能:55分,考虑投标商的设计方案、投标产品的配置、性能等;服务:10分;售后服务,培训等.
中标条件:最大限度满足招标文件要求;投标报价合理;具有综合竞争优势.
废标:遇到下列情况之一时,将予以废标:全部投标厂商均不具备投标资格;全部投标实质上都有不符合招标文件要求;缺乏有效的竞争;投标价格超过预算,招标人无力支付.
授予合同招标人在授标时的权利在授予合同时,招标人有权变更货物数量和服务内容,其增减变更范围不超过10%.
但不对单价或其它的条款和条件做任何改变.

若投标人数达不到法定要求或评标委员会否决所有投标,招标人有权选择其他采购方式.

中标通知评标委员会确定中标厂商后,由招标人签发《中标通知书》.
对未中标的投标人,招标人可以不解释落标原因,投标文件不予退还.
签订合同中标人应按中标通知书规定的时间、地点及其他要求与招标人签订中标经济合同.

投标人接到中标通知后未按规定签订中标经济合同,或要求修改其投标文件,或转包者,招标人有权撤销其中标资格并按开标后撤回投标处理,投标人应承担由此给招标人造成的一切损失.
招标人可另选评标排序第二位的投标人为中标人或另行招标.

验收投标人应提供生产、安装及验收标准以及货物清单;货物运抵安装现场后,招标方提供货物储存和安装调试场所,并对货物质量、规格等技术指标进行检验;中标人未在规定日期进行安装、调试工作的,按如下约定支付违约罚金:推迟一周,违约罚金为合同总额的1%;推迟两周,违约罚金为合同总额的3%;推迟三周,违约罚金为合同总额的5%.
推迟三周以上,每增加一周,违约罚金从合同总额的5%递增合同总额的1%.
第四部分货物需求一览表及技术规格项目要求投标单位提供营业执照、企业资质、银行资信、原厂商针对此项目的授权书以及原厂商服务承诺函(要求盖公章,不允许出现"专用章"等字样)、技术队伍及资质等有关证明材料.
提供实施方案,说明企业概况、项目组织、售后服务、备品备件等情况,提供所投设备的主要用户情况,提供近3年的成功案例,包括案例名称、项目规模、主要用途、业主单位、联系方式等.
投标文件需逐项列出所有设备的品牌、产地、规格、型号、价格、性能特点等指标.
投标产品优于招标要求时,请予以说明.
本项目招系统集成,包括设备的采购、安装和调试,以及售后和维修服务投标方应具有完备的技术支持能力,包括技术支持队伍、备品备件等;所有设备为成熟稳定产品,面向公开市场发售,保障供货质量和安装调试的水平,禁止使用实验室或测试阶段产品;对于投标人在投标文件中承诺的设备性能、指标,招标人有权在商务谈判时要求进行现场测试.
测试不满足投标文件描述的,即视为实质性不响应标书,按废标处理;产品原厂免费保修期限三年,并提供下述服务:提供7*24小时电话技术服务;提供现场维修,到场时间不高于4小时;提供备件更换,保证8小时以内修复故障;免费提供最新版本软件升级服务,包括固件和管理软件的升级服务.
提供免费安装及调试.
包一:设备类型及具体性能指标(带的指标项必须满足,同时必须对技术指标逐条应答,不能简单描述为支持或不支持)技术指标指标要求1、硬件规格产品应为标准机2U架式硬件设备,冗余电源;2、产品性能产品工作在透明模式下的HTTP吞吐量不小于6Gbps;HTTP最大并发连接数不小于1000000;HTTP每秒新建连接数不小于30000;日志处理能力不小于每秒1000条.
产品工作在反向代理模式下的HTTP吞吐量不小于4Gbps;HTTP最大并发连接数不小于300000;HTTP每秒新建连接数不小于10000;日志处理能力不小于每秒1000条.

3、硬件接口产品硬件接口不少于10个(千兆),并授权全部可用;产品支持不少于2对硬件Bypass;4、产品要求产品为专业安全网关设备,非软件类产品;产品拥有自主知识产权,非OEM产品或合作产品;产品是基于专有安全操作系统开发,系统不能存在已知漏洞;4.
1支持多核并行处理技术,并根据系统状态自动进行CPU的动态分配和调度;4.
2采用完整的HTTP应用代理模式:能扫描全面解析和检测URL、URL参数、窗体输入、请求变量、ActiveX、JavaScript、iFrame、Cookie内容、Post内容、服务器响应内容等各种HTTP请求的信息;针对HTTP和HTTPS协议进行扫描检测,可自定义协议端口;4.
3产品系统语言支持中文简体版、中文繁体版,英文版;4.
4产品至少带有不少于250G的硬盘;5、接入模式5.
1支持IPV4/IPV6双协议栈下的HTTP/HTTPS的流量过滤;安全策略可防御IPV6协议下的威胁;5.
2支持IPV6/IPV4之间的地址转化.
通过WAF设备可使IPV6地址的客户端直接访问到IPV4地址的服务端;5.
3支持透明、旁路、反向代理、混合(反向代理及透明同时可部署)部署模式;支持HA(Active-Standby模式);支持多链路、多网段防护;6、Web攻击防御支持防SQL注入;支持防XSS攻击;支持防命令行注入;支持防弱口令攻击;支持防缓冲区溢出攻击;支持Cookie防篡改;支持Cookie防劫持;具备Cookie加密功能,防Cookie内容泄露;具备上传木马过滤功能;具备服务器挂马监控功能,阻止挂马页面的被访问;6.
1支持防御网路爬虫,可通过对HTTP协议头上的User-Agent值中特征字符串的识别来区分不同的爬虫程序,支持用户自定义网络爬虫特征;6.
2具备WebShell侦测功能,不但能阻止入侵者访问调用WebShell文件,还阻止利用WebShell发起的各种攻击或入侵行为:挂马、注入、文件下载、端口扫描、内容篡改等;6.
3支持对HTTP、FTP上传文件的病毒检测;支持阻止特定文件类型下载;支持阻止特定文件类型上传;支持对Web上传内容的关键字(支持中、英文)过滤,避免网站被上传非法、反动等敏感信息;6.
4支持站点隐身,防止渗透扫描,避免暴露服务器信息;具备静态页面防篡改功能;支持DOS/CC攻击防护;支持通过正则表达式防止网站敏感数据泄露;7、数据统计及日志7.
1支持针对所有网站及单URL的正常访问、恶意攻击、爬虫访问进行统计分析攻击行为的数据包括攻击类型、攻击级别、攻击的区域、攻击的时间、攻击源的统计;7.
2访问行为的统计包括访问量、访问时间、访问的区域、访问者、爬虫访问等;7.
3可记录详细的病毒防护日志,包括日期、病毒名、文件名、源IP地址、目的IP地址、采取的动作等.

支持定期报表.
可根据不同的统计周期可以生成日报表、周报表.
报表可以在设备本地保存,也可配置为自动提供到管理员的电子邮件账户中;7.
4支持保存并查看当前硬盘中的所有攻击日志信息;8、漏洞扫描8.
1扫描器可支持的扫描项目包括:SQL注入漏洞、XSS脚本漏洞、Web后门、网页挂马、程序错误信息、内部目录泄露、邮箱地址泄露、无效链接、代码泄露、目录遍历、入侵广告、目录浏览、内部文件泄露、WebDAV启用、典型登录页面、内部IP泄露;可根据系统扫描结果,生成扫描报告;报告支持在线查看、导出、订阅;9、自学习9.
1要求可针对网站的URL目录树、URL、Cookie、文件类型进行自学习,学习结果可以直接引用到安全策略中;9.
2可针对学习的客户端进行黑白名单的设置;9.
3可针对学习的服务器进行黑名单设置10、协议编码支持至少支持HTTP与HTTPS协议;至少支持导入SSL证书(包括PEM和PFX格式);至少支持十六进制编码;至少支持UTF-8编码、%U编码;可指定协议端口;11、系统管理支持多web网站管理员,且有独立的日志与报表;支持批量导入、导出被防护服务器的信息;支持Console、WebUI等管理方式;支持SSL远程加密通信管理模式;具备攻击日志与报表;11.
1支持邮件报警,攻击行为可按照类型进行报警;具备站点访问日志审计功能;支持通过FTP导出Log,包括立即和定期导出;支持日志回滚及日志按列进行多条件查询支持自有图形报表;支持手动和自动生成报表;支持SYSLOG;支持SNMP;报表发送支持英文、简体中文和繁体中文12、产品可用性支持透明模式下的HA配置,可根据HA状态因监测接口状态的变化而改变;支持自动生成技术支持文件;12.
1支持服务器管理.
可自定义服务器名、所在位置、管理员名、电话、邮编、备注;12.
2支持设备联动,可与DDOS设备进行动态及自定义黑名单联动;13、特征库支持内置WEB攻击特征库,可自动升级;13.
1支持内置木马病毒特征库,特征库不少于500万,可自动升级;14、服务及工具公司具备专业的安全研究队伍和实验室,可保障安全策略的及时更新;可提供策略按需定制服务;可提供web站点风险评估服务;可提供web站点运营监测服务;全部覆盖Wildlist的Malware特征;可提供WebShell服务器单机版监测工具;15、资质计算机信息系统安全专用产品销售许可证;Web应用网关的设计开发及服务通过质量管理体系认证证书;软件著作权登记证书;自主创新产品证书;(二)设备配置清单按照分项分别报价,具体清单如下:序号设备类型配置要求数量1Web应用防火墙千兆光接口数量:>=4个千兆电接口数量:>=6个2包二:设备类型及具体性能指标(带的指标项必须满足,同时必须对技术指标逐条应答,不能简单描述为支持或不支持)指标项技术参数类型模块化交换机,至少提供9个插槽1.
单引擎交换容量:≥2Tbps,采用厂商该系列交换机通用引擎,适用于本系列所有机箱.
如果为双引擎配置时,引擎发生故障的时候,不允许出现整体交换容量减半的现象.

2.
单插槽交换容量>=160G(全双工),平台要求支持40G端口线速板卡3.
包转发速率:IPv4≥720Mpps,IPv6≥360Mpps4.
单板卡最大万兆端口数量单板卡支持万兆端口数量>=16;端口最大数量要求最大万兆端口密度≥130,要求最大千兆端口密度≥387;5.
电源支持并配置冗余交流电源,可热插拔,最大功率电源>=6000W,支持POE供电.
6.
路由支持静态、RIP、OSPF、BGP、MBGP路由协议,硬件支持GRE,硬件支持NAT,可作为MPLS网络中P和PE使用,引擎支持VPLS、EoMPLS,EoMPLSTunnel》=16K;本项目所配置所有端口硬件支持MPLS,至少支持8192个VRF.
最大路由表项≥256K,MAC地址≥128K7.
虚拟化支持支持交换机虚拟化功能,可将两台交换机虚拟化为一台,可实现跨机箱链路捆绑,整个系统的吞吐量>=4Tbps且对下联设备无品牌要求.

VLAN支持802.
1Q,支持VTP或者类似技术,支持端口汇聚,VLANID数≥4000个QoS支持至少具备8个QoS优先级,通过服务质量策略(特别是优先权规则和算法)为关键业务和特定应用预留带宽,抑制广播风暴.
支持端口限速,粒度≤10K8.
组播支持IGMP组播、IGMPSnooping、PIM、MSDP协议组播路由数量>=128K协议IEEE802.
1d/802.
1w/802.
1sIEEE802.
1pIEEE802.
3u/IEEE802.
3z/802.
3ab/IEEE802.
3ae安全特性支持IEEE802.
1xLAN/WLAN用户认证,802.
1X动态VLAN分配、802.
1X端口安全控制;支持基于第二层、第三层和第四层的ACL,支持VLANACL,支持端口ACLDHCPServer,DHCPRelayAgent,DHCPSNOOPING,DHCPSNOOPINGwithoption82,IPSourceGuard,动态ARP检测,且支持DHCPSnooping与动态ARP检测联动,交换机通过DHCPSnooping自动生成:IPadd、MACadd和Port的映射关系表.
9.
IPV6支持支持IPv6的网管和IPv6的二层组播,支持IPv6转发和IPv6路由,本项目所配置所有端口支持IPV610.
多功能服务模块支持可支持防火墙、流量分析、服务器负载均衡、无线控制等各种多功能服务模块.

管理特性:支持RemoteSPAN,PortSPAN,VlanSPAN,且支持三层的跨交换机SPAN;支持SNMPv1/v2/v3.
支持通过命令行、Web、图形化配置软件等方式进行配置和管理.
支持LLDP协议11.
流量管理硬件支持sflow或、NetFlow或NetStream,实现2到4层的流量管理,包括基于协议、应用端口、IP网段、IP地址、VLAN、MAC地址等的流量统计等,如需要配置模块实现,本次必须配置,并提供官方网站配置手册.
Netflow/Sflow/netstream的硬件条目数>=400K.

12.
NAT功能要求支持并且配置硬件NAT,PAT(如需通过专业板卡提供该功能,则投标产品中必须包含该板卡).