巢湖二中初中部校园网络保障更正公告42025
安徽
巢湖二中初中部校园网络保障更正公告 4
一、项目基本情况
原公告的采购项目编号: 2025AMMHZ00077
原公告的采购项目名称:巢湖二中初中部校园网络保障
首次公告日期: 2025 年 06 月 05 日
二、更正信息
更正事项:☑采购公告 ☑采购文件 □采购结果
更正内容:
一、现针对本项目少数投标人对本项目的疑问作如下答复:
(一)网关
关于参数“ 1. 硬件架构:传输速率 : 10/100/1000Mbps ,支持千兆以太网 ;转发性能 :包转发率 10Gbps ,交换容量 320Gbps ;硬件架构 :基于 CPU+NP 异构转发架构,控制与转发分离,单槽位带宽最大 10Gbps ; 4 × SIC 插槽、 2 × WSIC 插槽、 2 × XSIC 插槽 ;支持扩展至 6 × WSIC 插槽、 4 × XSIC 插槽 ; 4 × 10GE 光口(可切换为 GE 光口)、 8 × GE 电口(支持 WAN/LAN 切换);内置防火墙,支持 VPN 、 QoS 策略 ;融合能力 :集成路由、交换、安全、 WLAN 等功能,支持多业务一体化 ; ”
疑问1: 根据客户实际的部署位置需求,以上要求中提出的业务端口数量无需过多,满足客户实际业务需求即可的问题;
答复1: 业务端口数量不仅仅需要满足现有业务需求,还要考虑未来 3-5 年的业务拓展需要。目前校园办公、装备等信息化程度越来越高,且随着管理的精细化要求,需预留足够的端口数量以满足后期业务拓展需要。且通过对市场的调研,确认有三家及以上设备生产厂家的产品完全符合我方招标文件中技术参数要求,参考厂家品牌有:山石网科、长亭科技、中电安科。故保持该参数不变,不予修改。
关于参数“ 2. 产品具备≥ 4 个千兆电口,≥ 4 个光电复用接口;≥ 1 个 MGT 接口;支持扩展 500G/1T/2T 硬盘;支持扩展双冗余电源;防火墙吞吐量≥ 2Gbps ,最大并发连接数≥ 200 万,每秒新建连接数≥ 1.9 万;标配 IPSECVPN 4000 条隧道授权,标配 8 个 SSL VPN 用户授权, SSL VPN 并发用户数最大支持扩展到 1000 个。(合同签订后供货前提供配置与检测效果截图)”
疑问2: 要求供应商在合同签订后供货前提供包含上述性能参数的功能界面截图,既不符合安全产品的实际技术特性,也难以保证截图的真实性与代表性的问题。
回复2: 要求提供“合同签订后供货前提供功能界面截图”为了防止少数投标人虚假应标、虚假响应等情况发生,节约后期对产品质量审核的成本和精力,切断不诚信行为发生。
(二)防火墙
关于参数“■ 1. 硬件架构:产品具备≥ 8 个 10/100/1000 自适应电口,≥ 8 个 SFP 接口,≥ 2 个 SFP+ 接口;防火墙吞吐量≥ 10Gbps ,最大并发连接数≥ 320 万,每秒新建连接数≥ 13 万;标配 IPSECVPN 6000 条隧道授权,标配 10 个 SSL VPN 用户授权, SSL VPN 并发用户数最大支持扩展到 5000 个。(响应文件中提供功能界面截图)”
疑问1: 要求供应商在合同签订后供货前提供包含上述性能参数的功能界面截图,既不符合安全产品的实际技术特性,也难以保证截图的真实性与代表性的问题。
回复1: 要求提供“合同签订后供货前提供功能界面截图”为了防止少数投标人虚假应标、虚假响应等情况发生,节约后期对产品质量审核的成本和精力,切断不诚信行为发生。
关于参数“ 2. 服务器负载均衡:提供智能 Smart DNS 功能,实现当外部用户访问内部服务器时,指定运营商用户解析成对应的运营商 IP ;
3. 提供加权哈希和轮询、加权最小会话算法,并对服务器健康性进行检测( TCP 、 UDP 、 ICMP ),提供服务器会话保持与会话过载保护功能,保障业务连续性与过载防护;(合同签订后供货前提供功能与检测效果截图)
■ 4. 提供虚拟路由器与虚拟交换机;提供 BFD 检测;提供 OSPF 、 BGP 、 ISIS (路由协议非透传)、提供基于时间与应用的策略路由,并可以与监测对象关联( TCP /HTTP/DNS 等),监测对象失败时,策略路由失效;具备扩展云端沙箱功能,当设备本身无法判定是否是未知威胁时,由云沙箱引擎提交给云沙箱进行未知威胁检测,返回检测结果,并呈现云沙箱检测未知威胁的完整证据链;移动运维 APP :设备支持手机 APP 巡检,支持定期自动巡检和按 CPU 、内存、会话触发的智能巡检,支持手机 APP 对设备进行监控:包含多设备集中监控 CPU 、内存、 IP 、软件版本;整机流量趋势、会话趋势、接口流量趋势图;应用及用户排名可视化展示;实时告警消息推送;许可证信息及到期提醒。(响应文件中提供功能界面截图;)
5. 功能开发与漏洞修复:要求自主研发产品,可根据安全需求开发新功能和修复产品漏洞,具备: IP 信誉、 URL 过滤,攻击防护,虚拟化网络微隔离安全防护、智能内网威胁感知系统软件著作权,合同签订后供货前提供上述证明;
■ 6. 提供零信任网络接入功能,设备支持 SPA 功能,拥有独立的零信任策略配置界面,可基于用户身份、终端标签和应用资源进行安全管控;拥有独立的终端标签日志界面,支持展示用户名、 IP 、终端 IP 、操作系统等;提供策略优化与策略助手功能;策略优化可对当前策略进行多维度分析,包括策略创建时间、首次命中时间、最近一次命中时间、最近未命中天数等;策略助手支持关联策略 ID 进行获取流量,并支持策略聚合条件,可一键生成策略,满足新业务上线策略梳理要求(响应文件中提供功能界面截图);
■ 7. 基于满足等级保护 2.0 物联网安全扩展要求,支持基于安全域 IoT 策略控制,支持 IoT 终端识别、终端行为、准入名单模板配置;支持 IoT 监控: 终端类型(网络摄像机等)、厂商、型号、 MAC 地址、 IoT 监控模板、认证状态、更新时间、可信、当前上下行流量等,实现 IoT 的管控与可视化;(响应文件中提供上述功能截图)
9. 提供应用识别、智能运维 APP , IPSEC VPN/SSL VPN 功能。
10. ★ 10. 合同签订后供货前需提供实物样品逐条功能演示。”
疑问2: 请提供三家满足上述参数的证明材料并给出合理解释的问题。
回复2: 通过对上述问题进行的市场调研,确认有三家及以上设备生产厂家的产品完全符合招标文件中技术参数要求,参考厂家品牌有:山石网科、长亭科技、中电安科。第十条“合同签订后供货前需提供实物样品逐条功能演示。”在 6 月 17 日项目更正公告中已明确取消,请及时关注项目最新信息。故保持该参数不变,不予修改。
疑问3: 从实际业务角度防火墙为网络边界设备, 6 电 4 光千兆网里完全可以满足要求,另外标配 IPSEC VPN 6000 条隧道, SSL VPN 并发用户数 5000 个,请给出合理的解释。
回复3: 文件中接口要求“产品具备≥ 8 个 10/100/1000 自适应电口,≥ 8 个 SFP 接口,≥ 2 个 SFP+ 接口;”接口方面充分结合了我单位实际情况和需求提出:除业务端口外,需要考虑管理端口、镜像端口(镜像流量供安全设备分析使用)、双机冗余扩展时的心跳接口、部分接口故障时的替代端口,另外考虑光口和电口的不同物理形态,千兆和万兆的不同速率表现,本次招标要求的接口数量已经为最低要求。另外我方在经过充分的市场调研,接口数量多少对产品成本影响微乎其微,市场主流品牌防火墙均能满足上述端口要求。
2 )“防火墙吞吐量≥ 10Gbps ,最大并发连接数≥ 320 万,每秒新建连接数≥ 13 万;标配 IPSECVPN 6000 条隧道授权,标配 10 个 SSL VPN 用户授权, SSL VPN 并发用户数最大支持扩展到 5000 个。” 此处要求设备吞吐量等技术指标要求直接体现潜在投标人设备数据计算处理能力,综合考虑学校现有需求、未来三至五年的性能扩展、网络高峰期的性能需求、以及在遭受网络攻击时的性能余量设计。根据《 GB/T 22239-2019 信息安全技术网络安全等级保护基本要求》安全通信网络 - 网络架构 - a ):应保证网络设备的业务处理能力满足业务高峰期需要。本次所选设备为我校所需的最低性能,且经过充分的市场调研并参考主流厂家的技术指标, 10Gbps 处理能力在校园网边界防火墙中处于低端性能,并不存在性能浪费,主流厂商均能满足此性能要求。
(三)入侵防御
关于参数“ 1. 标准 1U 机架式设备;配置≥ 8 个千兆电口,≥ 8 个千兆光口,≥ 2 个万兆光口;网络层吞吐量≥ 16Gbps , IPS 吞吐量≥ 5Gbps ,并发会话数≥ 120 万,新建会话数≥ 6 万 , 配置 480G 存储空间用于存储威胁相关日志与报表;(合同签订后供货前提供功能界面截图;)
疑问1: 要求供应商在合同签订后供货前提供包含上述性能参数的功能界面截图,既不符合安全产品的实际技术特性,也难以保证截图的真实性与代表性的问题。
回复1: 要求提供“合同签订后供货前提供功能界面截图”为了防止少数投标人虚假应标、虚假响应等情况发生,节约后期对产品质量审核的成本和精力,切断不诚信行为发生。
关于参数“ 2.Web 防护:系统具备对网站外链防护功能,具备对 CC 攻击的检测和防御能力、跨站脚本攻击的检测和防御能力、 SQL 注入攻击的检测和防御能力,可以对 Web 服务系统提供保护;(合同签订后供货前提供功能与检测效果截图)
■ 3. 入侵防御:支持 HTTP Get 、 Head 、 Put 、 Post 等 20 多种协议方法检查,依据 IP 、 TCP 、 UDP 、 IGMP 、 ICMP 等网络层的各项参数设置特征,全面设置 TCP/IP 应用层的特征比对内容,不受通信协议的限制;提供 16000 多种特征的攻击检测和防御,特征库支持网络实时更新(响应文件中提供功能截图证明);
4. 支持用户自定义报表,支持 PDF 报表格式,支持周期性报表输出,丰富的威胁日志内容,包含 CVE-ID 、漏洞描述信息和解决方案;(合同签订后供货前提供配置与检测效果截图)
■ 5. 具备扩展云端沙箱功能,当设备本身无法判定是否是未知威胁时,由云沙箱引擎提交给云沙箱进行未知威胁检测,返回检测结果,并呈现云沙箱检测未知威胁的完整证据链;应用识别:可识别超过 6000 种以上应用程序;支持 SSL 加密应用识别与控制,支持针对两种及以上移动应用的识别。(响应文件中提供上述配置截图);
■ 6. 为了便捷的管理与运维,提供针对入侵防御的管理运维移动 APP ,并将安全设备注册到云端运维平台,通过移动终端实时查看主备入侵防御的运行状态,包括实时的流量、应用、设备资源使用率等,当出现告警事件,及时推送给移动运维 APP ,便于管理员快速定位与解决问题(响应文件中提供相应功能截图);
7. 病毒过滤:基于流的病毒过滤,支持压缩病毒文件的扫描,超过 220 万的病毒特征库,病毒库支持网络实时更新;
8. 日志与报表:报表需要包含多视角 , 提供安全风险概览、安全风险详情、威胁类型、网络流量分析、系统运行状况不同维度报表。(合同签订后供货前提供配置与检测效果截图)
■ 9. 支持数据包路径检测工具通过在线检测、模拟检测等检测手段, WEB 界面图形化展现数据包经过的每个设备功能模块的处理过程,以便快速定位异常功能模块;支持在线抓包工具,可以根据源地址、目的地址、应用、协议、源端口、目的端口、抓包报文文件大小等条件在线抓包(响应文件中需要上述提供截图证明);
10. 具有软件著作权登记证书:入侵防御系统、攻击防护软件、 IP 信誉,虚拟化网络微隔离安全防护、智能内网威胁感知系统。合同签订后供货前提供上述相关的证明。”
疑问2: 请给出至少三家满足以上功能的产品具体型号供潜在投标人核查。
答复2: 上述要求均基于软件功能要求,大多数生产厂家均可定制服务或定制开发 , 我方就上述问题对市场厂家进行了充分调研,已确认有三家及以上设备生产厂家的产品完全符合我方招标文件中技术参数要求,参考品牌厂家有:山石网科、长亭科技、中电安科等。故保持该参数不变,不予修改。
(四)上网行为管理
关于参数“ 1. 硬件性能:标配≥ 1 个 MGT 接口,≥ 12 个千兆电口,≥ 12 个千兆光口; 1T 存储空间;网络层吞吐≥ 9.4Gbps ,应用层吞吐≥ 2.8Gbps ,并发连接数≥ 145 万,双电源;(合同签订后供货前提供功能界面截图)”
疑问1: 该参数定制过多的端口的问题。
答复1: 业务端口数量不仅仅需要满足现有业务需求,还要考虑未来 3-5 年的业务拓展需要。目前校园办公、装备等信息化程度越来越高,且随着管理的精细化要求,需预留足够的端口数量以满足后期业务拓展需要。通过市场调研,确认有三家及以上设备生产厂家的产品完全符合招标文件中技术参数要求,参考厂家品牌有:山石网科、长亭科技、中电安科。故保持该参数不变,不予修改。
关于参数“■ 2. 应用特征不少于 7200 个,移动应用不少于 2300 个。支持自定义应用,包括但不限于数据包方向、协议、端口、 IP 地址、目标域名、关键字识别等维度,数据包方向包括任意、请求数据、响应数据,关键字匹配模式支持文本或正则表达式;支持 DNS 域名学习模式,可引用 数据包特征中的目标域名或指定域名;支持针对搜索引擎、 http 、网页内容进行关键字过滤并实时生成日志记录,日志级别包括但不少于紧急、告警、严重、通知、信息、 调试、不记录等,方便管理员快速区分用户上网行为属性和定位日志 级别;(响应文件中提供以上参数 web 界面功能截图) ;
3.VPN 支持 IPSec VPN 、 SSL VPN 、 Gre VPN ,支持手机、平板电脑等移动终端 VPN 接入,功能标配,无需增加功能授权即可使用 ;
4. 支持基于 DNS 前置技术实现在 DNS 解析阶段针对 http 和 https 域 名进行过滤,防止 https 域名过滤逃逸情况,内置恶意 URL 特征库, 管理员可基于策略快速过滤恶意 URL;
5. 支持流量限额功能,可基于用户、源 IP 、目的 IP 、时间、应用等维度,进行日流量总额、月流量总额、当日使用时长、当月使用时长等限额类型进行流量管理;针对达到限额阀值的用户进行弹窗提醒,限额阀值和弹窗提醒频率支持自定义;针对超过限额的用户,管理员可选择禁止上网或者加入至惩罚流控通道 ; (合同签订后供货前提供功能与检测效果截图)
■ 6. 支持 IP 准入、 MAC 准入、 IP+MAC 准入、本地认证、 Portal 认证、 Radius 认证、 LDAP 认证、 POP3 认证、 AD 域单点登录、短信认证、微信公众号认证、 APP 认证、 IC 卡认证、二维码认证、互联网钉钉认证、混合认证和免认证,其中微信公众号认证支持通过小程序获取手机号; 支持对接深澜、城市热点、 PPPOE 、安美等常见认证服务器。(响应文件中提供以上参数 web 界面功能截图)
■ 7. 支持 Portal 逃生,支持选择不逃生、全部用户逃生和已认证用户逃生等方式;可基于 PING 、 TCP 、 DNS 等方式探测认证服务器;支持本地安全防护,包括但不限于入侵防御、病毒查杀、 DDOS 、异常包防护等,入侵防御规则不少于 9000 条,病毒防护规则不少于 400 万 ; (响应文件中提供以上参数 web 界面功能截图)
■ 8. 支持 APP 认证,智能解析用户上网流量,获取 APP 特征和用户名 信息,当存在未安装 APP 或未实名登录 APP 时,系统阻断用户上网请 求并弹送 APP 安装页面;至少支持兼容三种及以上操作系统,支持 IP 和域名白名单,放通与 APP 服务器交付流量。(响应文件中提供以上功能与检测效果截图)
■ 9. 分析范围包括但不限于离职风险、工作效率分析、热门事件挖 掘、非工作时间上网分析、校园网贷分析、沉溺网络分析、用户行为画像等。支持本地安全防护,包括但不限于入侵防御、病毒查杀、 DDOS 、异常包防护等,入侵防御规则不少于 9000 条,病毒防护规则不少于 400 万;(响应文件中提供以上参数 web 界面功能截图)”
质疑理由: 请提供三家满足上述参数的证明材料并给出合理解释。
答复: 上述问题通过市场调研,确认有三家及以上设备生产厂家的产品完全符合招标文件中的技术参数要求,参考厂家品牌有:山石网科、长亭科技、中电安科。故保持该参数不变,不予修改。
(五)终端认证系统
关于参数“ 8. 支持密码防暴力破解功能,认证页面输入 N(N ≥ 3) 次错误密码后,将在指定之间内无法认证成功;
9. 支持设置账号的使用权限,支持设置禁止认证时段,支持直接获取用户物理 mac 地址,防止篡改;
10. 支持广告营销功能,界面自适应各类型终端,支持广告制作,提供模板选择、预览发布功能;”
疑问1: 从实际业务角度上网行为管理为行为审计类设备,客户最多只能用到 4 个电口或者 4 个光口,请给出每个端口的设计用途,给出计算公式和结果。第 2-10 条为个别厂家产品的特有功能,请给出至少三家满足以上功能的证明材料。
答复1: 本次采购上网行为管理设备采用复用设计,即单个产品通过隔离复用串接保护多个网络区域,对不同区域执行不同的防护策略并确保数据隔离。此外需考虑浪涌冲击等导致端口损坏,需要保留一定数量的备用端口。本次招标要求的端口数量为所需最低要求,不存在浪费,且经过调研,市场主流品牌设备均能响应端口需求。上述第 2-10 条要求均基于软件功能要求,大多数生产厂家均可采取定制服务或定制开发 , 我方就上述问题对市场厂家进行了充分调研,已确认有三家及以上设备生产厂家的产品完全符合我方招标文件中技术参数要求,参考品牌厂家有:山石网科、长亭科技、中电安科等。故保持该参数不变,不予修改。
同时建议各潜在投标人对市场中相关产品进行充分调研,避免因调研不足导致错误响应。
二、本项目获取采购文件截止时间延期至 2025 年 7 月 9 日 9:00 ;响应文件提交截止时间及开启时间延期至 2025 年 7 月 9 日 9 点 00 分(北京时间)
更正日期: 2025 年 07 月 02 日
三、其他补充事宜
此公告视同采购文件的组成部分,与采购文件具有同等法律效力。请供应商及时下载。
四、凡对本次公告内容提出询问,请按以下方式联系。
1. 采购人信息
名 称:巢湖市第二中学
地 址:安徽省合肥市巢湖市卧牛山街道健康西路滨湖景城 - 东区西南侧约 210 米