中国邮政集团有限公司邮政研究中心
漏洞扫描系统等5台设备采购项目
采前公示公告
各潜在投标人:
中国邮政集团有限公司邮政研究中心拟于近期启动“漏洞扫描系统等5台设备采购项目”的招标采购工作,现对该项目供应商主要资格条件要求及产品主要技术要求等相关内容予以公示。如潜在投标人对公示内容存疑,可在公示期内,通过公示受理渠道反馈。
一、拟采购的内容
拟采购漏洞扫描系统、综合日志审计平台、网络准入服务器、防火墙、核心交换机各1台,共5台网络设备。
二、公示内容
(一)供应商主要资格条件要求
供应商须为拟投设备的原厂商或获得原厂正式授权的经销商;
供应商须具备实施过与本项目类似的相关业绩。
(二)产品主要技术要求
1. 漏洞扫描系统
序号 | 重要性 | 指标项 | 指标要求 |
1 | ★ | 硬件规格 | 标准机架式设备,标准机架(≤2U),内存≥16GB,≥1T硬盘。 |
2 |
| 资产管理 | 支持IP分类管理,可预先进行配置存放至管理模块,下发扫描任务时能对该部分资产扫描结果进行归类。 |
3 | # | 扫描性能 | 支持无限制IP扫描授权,并发扫描≥15个系统扫描任务,并发扫描≥500个IP地址;支持200个Web域名扫描授权,并发扫描≥10个web扫描任务;支持≥500点基线配置核查授权 |
4 |
| 功能授权 | 应支持系统扫描、口令猜解、数据库扫描和Web扫描功能,可以扩展基线核查功能。 |
5 | # | 报告类型 | 支持导出的报告类型≥4种,包括HTML、WORD、EXCEL、PDF报告格式。 |
6 |
| 系统扫描 | 厂商漏洞特征库(或漏洞数)大于26万条;提供详细的漏洞描述和对应的解决方案描述;漏洞知识库与CVE、CNNVD、Bugtraq、CNCVE、CNVD等国际、国内漏洞库标准兼容。 |
7 |
| 系统内置不同的策略模板如针对Linux操作系统、Windows操作系统、虚拟化、数据库扫描等模板。 | |
8 | # | 支持麒麟,统信, openEuler,bclinux,EulerOS,中科方德,中兴新支点,深度等国产操作系统漏洞扫描(提供证明材料) | |
9 |
| 支持对各种网络主机、操作系统、网络设备(如交换机、路由器、防火墙等)、常用软件以及应用系统的识别和漏洞扫描。 | |
10 |
| Web扫描 | 支持常见Web漏洞类型的扫描,包括SQL注入、跨站脚本、命令执行、命令注入、代码注入、弱口令、目录遍历、URL跳转、反序列化漏洞、文件上传、信息泄露等。支持主流安全漏洞扫描。 |
11 |
| 支持将漏洞高危、中危、低危、信息进行危害程度的分类 | |
12 | # | 数据库扫描 | 系统应支持主流数据库漏洞的检测,应包括但不限于:Oracle、MySQL、SQLServer、DB2、Informix、PostgreSQL、Sybase、达梦、人大金仓、优炫,神通,瀚高等。 |
13 |
| 数据库扫描的漏洞库数量大于3000条,提供详细的漏洞描述和对应的解决方案描述;漏洞知识库与CVE、CNNVD等国际、国内漏洞库标准兼容 | |
14 | # | 弱口令扫描 | 具备弱口令扫描功能,支持弱口令扫描协议数量≥20种,包括SMB、RDP、SSH、TELNET、Oracle、 |
15 | # | 基线配置核查 | 支持对Windows、Linux、Kylin等操作系统按照等保要求实施基线配置核查。 支持对Oracel、MySQL、DB2、SQL Server、MySQL等数据库按照等保要求实施基线配置核查。(提供证明材料) |
# | 产品资质(16、17需满足其一) | 产品获得中国网络安全审查技术与认证中心颁发的《中国国家信息安全产品认证证书》 | |
17 | 产品具备中国网络安全审查认证和市场监管大数据中心颁发的产品信息安全认证证书评估保障级别(EAL):EAL3 增强级 | ||
18 | # | 产品资质 | 产品具备《网络关键设备和网络安全专用产品安全认证证书》、提供有效证书的复印件 |
19 | ★ | 售后服务 | 提供5年软硬件售后服务、维保,软件及规则库升级服务。 |
2. 综合日志审计平台
序号 | 重要性 | 指标项 | 指标要求 |
1 | ★ | 硬件规格 | 标准机架式设备≤2U,内存≥16G、≥4T硬盘。 |
2 | ★ | 日志源授权 | 提供≥50个日志源授权。 |
3 |
| 性能要求 | 日志处理能力:≥2500EPS |
4 | # | 日志收集 | 支持主动、被动相结合的数据采集方式,支持通过Agent采集日志数据,支持通过syslog、SNMP Trap、JDBC、WMI、webservice、FTP、SFTP、文件\文件夹读取、Kafka等多种方式完成日志收集 |
5 |
| 日志采集 | 支持安全设备、网络设备、中间件、服务器、数据库、操作系统、业务系统等不少于800种日志对象的日志数据采集。 |
6 |
| 日志转发 | 转发应支持TCP、UDP协议,应支持按照Syslog-NG标准及自有格式原始日志进行转发,可根据IP类型转发。 |
7 |
|
日志分析 | 支持可由用户定义和修改的日志聚合归并逻辑规则 |
8 |
| 可对日志进行细粒度解析,解析后的日志根据具体日志包含但不限于:日期、发生时间、接收时间、设备类型、日志类型、日志来源、威胁值、源地址、目的地址、事件类型、时间范围、特征类型、协议、地理信息 | |
9 |
| 支持网站攻击、漏洞利用、C&C通信、暴力破解、拒绝服务、主机脆弱性、主机异常、恶意软件、账号异常、权限异常、侦查探测等内置关联分析规则,内置关联分析规则数量≥200,支持自定义关联分析规则 | |
10 |
| 日志查询 | 支持重点字段,包括但不限于时间、描述、日志类型、事件名称、日志等级、源IP、源端口等关键字段查询;支持日志查询结果的统计与导出,支持历史备份文件导入查询; 支持自定义过滤条件查询,支持对模糊ip、多个ip、ip地址段、应用、协议、MAC地址等其他字段精准检索,至少支持AND、OR、NOT三种运算符; |
11 |
| 资产管理 | 支持按照实际的用户环境进行编辑发布并可以和资产进行绑定,多维度显示资产采集的事件数量被采集资产的状态等信息 |
12 |
| 压缩存储 | 满足压缩存储,实现180天日志存储量。 |
13 | # | 数据展示 | 支持可视化展示,包括数据分布、安全事件趋势图、关联规则告警趋势图、接入设备概况等,可提供设备专项分析场景。如防火墙外部攻击场景分析、VPN账号异常场景分析、Windows服务器主机异常场景分析等。 |
14 | # | 产品资质(14跟15需满足其一) | 产品获得中国网络安全审查技术与认证中心颁发的《中国国家信息安全产品认证证书》 需符合GB/T 20945-2013 《信息安全技术 信息系统安全审计产品安全技术要求 和测试评价方法》 |
15 | 公安部计算机信息系统安全质量监督检验中心颁发的《网络安全专用产品安全检测证书》 中国质量认证中心有限公司颁发的《中国国家强制性产品认证证书》 | ||
16 | ★ | 售后服务 | 提供3年软硬件售后服务及维保。 |
3. 网络准入服务器
序号 | 重要性 | 指标项 | 指标要求 |
1 | ★ | 硬件规格&性能 | 规格≤2U,内存大小≥8G,硬盘容量≥480G,电源:单电源,接口≥4千兆电口+2千兆光口SFP(并配置2个相应光模块)。吞吐量≥1.5Gbps,带宽性能≥1Gb,包转发率≥132Kpps,每秒新建连接数≥14000,最大并发连接数≥600000。 |
2 | ★ | 授权 | 提供≥1500个准入授权。 |
3 |
| 平台自身安全 | 支持管理员账号登录允许尝试次数可配,并支持管理员用户登录进行双因素认证,密码认证加邮件验证码;管理员账号支持TACACS+/RADIUS/LDAP协议外部认证 |
4 |
| 支持网络故障排查,支持PPS异常、丢包异常、ARP异常、内网DOS攻击等异常情况实时监测,显示每日异常事件个数及情况; | |
5 | ★ | 准入控制技术 | 支持多种认证方式,如802.1X、MAB认证等。可实现无客户端场景的二层网络准入控制,未认证前同一交换机下的设备也无法实现相互访问。 |
支持应急逃生方式,系统检测到运行中出现的异常和故障支持自动应急:一定时间内连续出现多台终端准入失败自动临时放行且阈值可自定义(分钟级别),确保企业网络的可用性; | |||
6 |
| 身份认证方式 | 支持统一代理认证,实现在无需设置钉钉、飞书、企业微信等服务器为白名单服务器的场景下,支持PC通过上述APP扫码完成认证。 |
7 |
| 手机快速入网 | 支持手机扫码入网:用户在PC上通过客户端认证入网后,打开客户端的授权入网页面二维码,手机扫描二维码即可完成认证接入网络; |
8 | # | 访客入网管理 | 支持面对面扫码接待:访客与接待人已见面,在会谈时访客需要使用网络,接待人使用手机扫描访客入网页面的二维码,接待访客入网; |
9 | # | 产品资质(9、10需满足其一) | 经过公安部计算机信息系统安全产品质量监督检验中心的安全检测,符合《信息安全技术 网络安全专用产品技术要求》和《信息安全技术 终端接入控制产品安全技术要求》(第三级)中的安全要求,并获得公安部颁发的《网络安全专用产品安全检测证书》(终端接入控制三级)。 |
10 | # | 具有《中国国家信息安全产品认证证书》 | |
11 | ★ | 售后服务 | 提供5年软硬件售后服务、维保,软件及规则库升级服务。 |
4. 防火墙
序号 | 重要性 | 指标项 | 指标要求 |
1 | ★ | 硬件规格 | 千兆电口≥8个(含2对bypass),千兆光口≥8个,万兆光口≥4个(并配置相应4个万兆光模块);配置单独的HA口和MGT管理口,双冗余电源。 |
2 | ★ | 性能 | 最大吞吐量≥16Gbps,最大并发连接数≥250万,每秒新建连接数≥13万。 |
3 | ★ | 服务授权 | 提供应用识别、IPS、AV、 sslvpn功能,提供 100个ssl vpn授权。 |
4 |
| 接入模式 | 支持透明、路由、混合、旁路四种工作模式 |
5 |
| NAT | 支持NAT地址池支持动态探测和可用地址分配 |
6 |
| 支持对系统流量命中SNAT、DNAT规则的时间进行统计,可统计和记录命中时间等相关信息。 | |
7 | # | 攻击防护 | 支持黑名单自动下载更新功能。 |
8 |
| 策略管理 | 支持完全冗余、部分冗余、完全冲突、部分冲突的安全策略冗余检测,并且支持上述检测类型的灵活组合。 |
9 | # | 支持策略统计分析,可统计和记录命中时间等相关信息。 | |
10 |
| 数据包路径检测 | 支持数据包路径检测功能,可通过web界面展示出数据包的处理流程。 支持事后导入数据包进行检测,可显示数据包通过的处理流程及故障原因。 |
11 | # | 产品资质(12、13需满足其一) | 产品获得中国网络安全审查技术与认证中心颁发的《中国国家信息安全产品认证证书》 |
12 | 产品具备中国网络安全审查技术与认证中心颁发的IT产品信息安全认证证书评估保障级别(EAL):EAL4增强级 | ||
13 | ★ | 入网许可证 | 获得工信部颁发的《电信设备进网许可证》 |
14 | # | 产品资质 | 产品具备《网络关键设备和网络安全专用产品安全认证证书》。 |
15 | ★ | 售后服务 | 提供5年软硬件售后服务、维保及升级服务。 |
5. 核心交换机
序号 | 重要性 | 指标项 | 指标要求 |
| ★ | 硬件规格 | 主控≥2,交流电源模块≥2,≥1*100G QSFP28,≥4*25G SFP28,≥48个万兆光口(满配万兆光模块),≥48个千兆电口。 |
| ★ | 支持颗粒化电源,支持N+N电源冗余(AC和DC均支持),设备整机电源槽位数≥6。 | |
| ★ | 要求设备支持模块化风扇框,可热插拔,保证设备散热,采用气流走向为: 前进后出,独立风扇框数≥2。 | |
| # | 主控引擎≥2,支持采用 1:1 转发备份模式工作,提供数据双转发平面,从而实现业务快速倒换,及单主控故障场景下整机性能无损,要求主控端口支持≥2*40G QSFP+,≥8*10G SFP28;整机业务板槽位数≥6。 | |
| # | 要求设备CPU和转发芯片是国产自主可控芯片。 | |
| ★ | 性能 | 交换容量≥100Tbps,包转发率≥57600Mpps,以官网最小值为准。 |
| ★ | 虚拟化技术 | 支持集群技术,支持虚拟化将多台设备虚拟化为一台逻辑设备。 |
| # | 支持跨设备链路聚合 M-LAG,能够实现多台设备间的链路聚合,从而把链路可靠性从单板级提到设备级。 | |
| ★ | 路由协议 | 支持静态路由、RIP、RIPng、OSPF、OSPFv3、BGP、BGP4+、ISIS、ISISv6。 |
| # | 运维管理
| 支持直接对业务报文进行测量得到 IP 网络的真实丢包率、时延等性能指标;支持提供随流检测能力,真正做到实时监控业务流的时延、丢包等指标情况,提供可视化的运维能力。 |
| # | 支持 Netstream 业务分析功能,满足用户对网络流量实时采集、分析需要。支持实时流量采集、属性分析、流量异常告警等功能,对网络流量进行实时监控、现网设备吞吐分析。 | |
15 | # | 支持Telemetry 技术,实时采集设备数据并上送至网络分析组件平台,通过智能故障识别算法对网络数据进行分析,精准展现网络实时状态,及时定界故障以及故障发生原因,精准保障用户体验。 | |
16 | ★ | 入网许可证 | 获得工信部颁发的《电信设备进网许可证》 |
17 | ★ | 售后服务 | 提供3年软硬件售后服务及维保。 |
注:★项为必须满足的要求(废标项);#项为重点要求;无标号项为一般要求。
(三)技术证明材料要求
针对以上技术性功能及参数要求,供应商应提供有效的证明材料以供评审,未能提供有效证明材料的,在评审时有权不予认可,有效证明材料包括(以下3选1):
1.由第三方权威机构出具的检测报告。第三方权威机构指具备CMACNAS资质的检测实验室,或其他具备法律认可效力的第三方检验机构。供应商须同时给出第三方实验室的CMA或CNAS资质证明,或其具有法律认可效力的其他证明。“
2.产品官方彩页及说明书(网页版亦可)加上产品照片并附相关技术说明。
3.产品管理界面截图加上录屏演示并附相关技术说明。
三、公示起止时间
2025年10月9日至14日
四、公示受理渠道
公示受理邮箱:ykyztb@chinapost.com.cn
联系电话:010-82915301
备注:如需提交反馈信息,请将载明供应商名称、联系人、联系人电话、详细情况描述的书面材料加盖单位公章后,于公示期内将扫描件发送至公示受理邮箱。
五、特别说明
本公告仅为采购意向公开阶段的参考信息,不构成任何形式的招标文件或采购承诺,不做作为后续投标与评审依据。正式采购信息将按相关规定另行发布。