安全规范:UL Listed(美国)或EN 60950(国际); 质量标准:ISO 9000认证。
1.2.6 投标人必须提供下列技术资料:
各种设备机架(柜)外形尺寸、质量、面板布置、进出线方式; 所需电源种类、功耗、电压、地线要求; 机房荷重、环境要求;
设备安装方式和抗震措施;
设备、线缆、端口等的实施维护标识办法。
1.2.7 投标人应提供由中国信息安全测评中心或电力行业内专业测评机构出具的覆盖全部技术指标项的测评报告。
1.2.8 如果应答设备要求使用特别接头、插座等,由投标人提供。另外,所投设备的用电保护超过一般线路保护,保护设备也由投标人提供。
1.2.9 设备/产品基于国际标准或工业标准,成熟、互联性强、易扩充。
1.2.10 投标人必须提供产品相应的、配套的、正式的中文版技术参考手册、安装及管理维护手册和使用手册,如无中文版需提供英文版。
1.2.11 所有软件系统如果有使用时限和使用租金的问题,必须在应答书中明确说明。所有软件产品必须提供符合项目目标环境的安装介质,必须提供相应配套的、正规出版的中文或英文版技术参考手册、安装及维护管理手册和招标人使用手册。
1.2.12 投标人提供的所有硬件设备必须是全新的、出厂的新设备,软件产品应是最新版的商用版本,提供的产品准许在中华人民共和国境内销售、能够在中国境内和合法使用,且在性能及质量方面能提供可靠证明,并享有设备制造商承诺的质量保证。同时,应对此软、硬件所涉及的专利、知识产权等法律条款承担义务,招标人对此不承担任何责任。
1.2.13 投标人需提供应答设备及推荐设备的产品销售许可证书。
1.2.14 提供图纸,制造和质量保证过程的一览表以及标书规定的其他资料。 1.2.15 提供设备管理和运行所需有关资料。 1.2.16 所提供设备应发运到规定的目的地。
1.2.17 如标准、规范与本标书的技术规范有明显的冲突,则投标人应在制造设备前,用书面形式将冲突和解决办法告知需方,并经需方确认后,才能进行设备制造。
1.2.18 在更换所用的准则、标准、规程或修改设备技术数据时,投标人有责任接受需方的选择。 1.2.19 现场服务。 2 技术规范要求
2.1 环境要求
安全扫描如为硬件形式,设备要需要符合如下运行要求:
2.1.1 设备储存温度:?40℃~+55℃; 2.1.2 设备工作温度:0~+45℃; 2.1.3 大气压力:86kPa~106kPa; 2.1.4 相对湿度:30%~85%;
2.1.5 抗地震能力:地面水平加速度0.3g,垂直加速度0.15g同时作用。 2.2 电源要求
安全扫描如为硬件形式,设备采用交流电源供电,并在下列供电变化范围内正常工作: 交流:220V±10%,50Hz±5%。
投标人应详细说明所供设备本期配置功耗及满配功耗。
2.3 安全扫描基本要求
2.3.1 安全扫描如为硬件形式,装置至少应满足表1中最新版本的规定、规范和标准的要求,但不限于表1中规范和标准。
表1 投标人提供的设备和附件需要满足的主要标准
标 准 号 IEC 529 IEC 61000-4-2 IEC 61000-4-3 IEC 61000-4-4 IEC 61000-4-5 GB/T 13702 GB/T 15532 GB/T 2423 GB/T 2887 GB/T 6593 GB/T 4798.3 YD/T 1130 YD/T 1163 YD/T 1171 YD/T 1190 GB/T 15153.1 防护等级 静电放电试验 辐射静电试验 快速瞬变干扰试验 浪涌抗扰性试验 计算机软件分类与代码 计算机软件测试规范 电工电子产品基本环境试验规程 电子计算机场地通用规范 电子测量仪器质量检验规则 电工电子产品应用环境条件 第3部分:有气候防护场所固定使用 基于IP网的信息点播业务技术要求 IP网络安全技术要求——安全框架 IP网络技术要求——网络性能参数与指标 基于网络的虚拟IP专用网(IP-VPN)框架 远动设备及系统 第2部分:工作条件 第1篇:电源和电磁兼容性 标 准 名 称
2.3.2 提供产品的软、硬件形式说明。投标产品若是硬件,则应基于专用硬件平台,机架式设备。 2.3.3 安全扫描功能模块应能够灵活配置,具有良好的可扩展性。 2.3.4 安全扫描应易于安装、配置和管理,并有详细的技术文档。
2.3.5 安全扫描应支持全中文的操作界面以及中文详细的解决方案报告,提供在线帮助。 2.4 漏洞检测能力
2.4.1 应能够扫描网络范围内的所有TCP/IP协议的设备,扫描的对象包括常见的操作系统(Windows NT/2000/2003/XP、Linux、Solaris、HP-UX、AIX等)、数据库(Oracle、SQL Server、DB2等)、网络设备(防火墙、路由器、交换机)和应用系统等的安全漏洞。对网络设备和操作系统网络层漏洞的扫描在不更改任何的配置和安装任何类似探针的软件,也不需要提供任何的访问权限的情况下正常工作。
2.4.2 应能够对扫描对象的安全漏洞进行全面检查,检查内容包括缺少的安全补丁、词典中可猜测的口令、不恰当的用户权限、不正确的系统登录权限、操作系统内部是否有黑客程序驻留、不安全的服务配置等。
2.4.3 扫描信息全面完备,包括主机信息、账号信息、服务信息、漏洞信息等内容。
2.4.4 应可以在扫描过程中人工指定包括HTTP、FTP、SMB、Oracle等常见协议的登录口令,使扫描器能够登录到相应的系统中对特定应用进行深入扫描。
2.4.5 内置不同的策略模板,如针对Unix、Windows服务器,便于用户定制扫描策略和扫描参数。用
户可定义扫描范围,扫描策略,实现不同内容、不同级别、不同程度、不同层次的扫描。 2.4.6 可定义扫描端口范围,支持多种方式的口令猜测方式,包括利用Telnet,POP3,FTP,Windows SMB进行口令猜测;允许外挂用户提供的字典库。 2.4.7 具有强大的漏洞库和丰富的漏洞检查列表,漏洞库涵盖当前系统常见的漏洞和攻击特征。并能够每周进行一次检测模块的升级,对重大漏洞支持3天进行升级,支持定期安全漏洞库的全自动和手动升级。
2.4.8 漏洞库应与CVE兼容。
2.4.9 具有多线程扫描能力,采用渐进式多线程任务调度技术;具有断点续扫功能。 2.4.10 支持多种端口扫描模式方法,如TCP Connect,SYN Scan等。
2.4.11 提供定时扫描和多种计划扫描任务功能,按照用户指定的时间对指定的对象自动扫描,并自动生成报告。
2.4.12 可以显示正在扫描任务的详细信息的功能,显示等待扫描任务详细信息;当网络不通时能够缓存扫描结果,当网络正常后再把缓存结果上传给相关模块。 2.4.13 支持跨网段扫描。
2.4.14 支持自动模板匹配技术提高扫描速度和准确率。 2.5 安全扫描管理能力
2.5.1 支持分布式部署,可向上级服务器上传扫描。
2.5.2 支持多个用户使用扫描器,对每个使用者能够设定其允许登陆的范围和允许扫描的范围。 2.5.3 能够定制临时、周期性扫描任务自动扫描网段,找出系统或配置上的漏洞和不安全因素。 2.6 日志与报告能力
2.6.1 内置漏洞知识库,可以从其中快速搜索到指定类型或者名称的漏洞特征信息。
2.6.2 扫描报告可以输出成常用格式文件,应包括针对发现的安全漏洞的详细说明、补救方法步骤、补丁文件的互联网下载连接及国际安全组织关于该漏洞的说明或连接。 2.6.3 产品的检测报告可以能够针对安全漏洞提供安全解决建议。 2.6.4 可针对不同对象生成管理人员、技术人员等不同级别的扫描报告,形成包括柱状图、表格等方式,以直观、清晰的方式从总体上分析网络上的漏洞分布,为管理人员提供方便。 2.7 产品自身安全性
硬件形态的扫描设备应能够抵御Ping of Death,Ping Flood,Land,TCP SYN Floods,Tear Drop, IP Spoofing 等典型DOS攻击。 3 试验和验收
3.1 安装调试
安装地点和环境在买方指定的地点,卖方或制造商应负责设备的安装、调试,保障设备正常运行。卖方需明确以下问题:
3.1.1 设备安装由卖方负责,安装过程中所有电缆及接头均由卖方提供并施工。 3.1.2 卖方负责对施工地点进行现场勘察,提供工程施工和相关安装资料,并负责指导买方人员掌握和使用这些技术资料。卖方应提供下列各种详细资料:
3.1.2.1 设备外形尺寸、质量、面板布置、进出线方式。 3.1.2.2 所需电源种类、功耗、电压、地线要求。 3.1.2.2 机房荷重、环境要求。 3.1.2.3 设备安装方式和抗震措施。
3.1.3 安装调测时使用的工具、设备由卖方提供,通用工具由买方协助解决。双方应协商制定工程进度表,卖方负责按工程进度表进行施工。
3.1.4 设备调试由卖方负责,卖方调试前应提出完整的调试计划并经买方确认,包括设备调试的内容、项目、指标、方法和进度,并提供相应的仪器和工具。卖方有责任对买方的技术人员提出的问题做出解答。调试应进行详细记录,系统调试结束后,由卖方技术人员签字后交给买方验收。 3.2 设备验收
3.2.1 项目单位与卖方或制造商对设备到货后共同配合进行开箱检查,出现损坏、数量不全或产品不对等问题时,由卖方或制造商负责解决。
3.2.2 依技术规范要求对全部设备、产品、型号、规格、数量、外形、外观、包装及资料、文件(包括装箱单、保修单、随箱介质等)的验收。
3.2.3 根据技术规范要求,全部设备在技术规范规定的地点和环境下,进行安装、调试,加电实现正常运行,并达到技术规范要求的性能和产品技术规格中的性能。 3.2.4 按规范技术部分要求对产品进行测试检查。设备产品测试中出现性能指标或功能上不符合规范和合同时,项目单位有拒收的权利。
3.2.5 如验收及测试中出现不符合规范和合同要求的严重质量问题时,买方保留索赔权利。
3.2.6 技术文档齐全,包括操作手册、配置参数手册、排错手册、管理维护手册等其他技术文件,如果有中文设备技术文件,必须提供中文版本的设备技术文件,如没有,必须提供英文版设备技术文件。 4 技术服务
4.1 技术服务
4.1.1 技术后援支持
卖方或制造商必须向买方承诺技术后援支持,为今后买方主要软、硬件设备的功能扩充、服务提供至少五年的技术支持。
4.1.2 质保及售后服务 4.1.2.1 质保及售后服务
本技术规范中所有设备必须有以下条件:
质保:所有本规范内包含的产品质保期为36个月,对于设备,包括硬件、软件,在质保期内,提供免费的生产原厂商软件升级包和免费的生产原厂商设备保修备件;质保期自设备通过最终验收之日起计算,其费用计入总价。请卖方或制造商详细描述质保方案。
售后服务:卖方或制造商需提供质保期内免费的7×24技术支持与服务。卖方或制造商必须按照如下格式对服务响应时间进行明确描述。“设备出现故障时必须在2h内对买方所提出的维修要求做出响应,12h内到达现场。对于24h解决不了的问题,应提供备用设备。”卖方或制造商如有其他服务响应可以另加描述。
卖方或制造商详细说明所提供的设备原厂商三年售后服务与技术支持的级别及服务内容。应答人必须提出质保期内的维修、维护内容及服务方式、范围(产品、技术、模块、部件)。
在质保期内,应答人应提供相关软件的免费升级和备品更换服务;应答应人负责对其提供的设备进行现场维修与维护,不收取额外费用;在质保期后应答人应以不高于本合同相应的最优惠价格向买方提供修理和维修合同设备必要的备品备件。
要求各应答人承诺在产品交付时提供针对交付产品的原厂三年质保函。 4.1.2.2 质保期后的质保与售后服务
卖方或制造商按照上述质保与售后服务为标准为买方提供质保期后的维保方案和报价,不计入总价。
在质保期过后,卖方或制造商应以不高于本合同相应的最优惠价格向买方提供修理和维修合同设备必要的备品备件。
原厂商技术支持站点(或办事处)与原厂商备品备件库。
卖方或制造商需提供国家电网公司涉及地理区域范围内的原厂商技术支持站点及原厂商备品备件库。
4.2 培训
4.2.1 培训总则
1) 培训服务为项目单位自愿采购内容。
2) 卖方提供的培训服务必须满足4.2条要求。
3) 卖方必须提供高水平的培训。培训应包括硬件、软件等。所提供的培训课程表随应答文件一起
提交。
4) 卖方派出的培训教员应至少具有三年的相同课程的教学经验。
5) 所有的培训教员必须用中文授课(如果讲师不会讲中文,卖方必须提供中文翻译),除非有其
他的协议规定。
6) 卖方必须为所有被培训人员提供培训用计算机、网络环境、文字资料和讲义等相关用品。所有
的资料必须是中文。 7) 培训场所由卖方提供。
8) 培训时间和日期与招标方协商决定。
9) 培训费用根据培训内容按照每人每天计算。 10)培训费用单独报价,不计入总价。 11)卖方应提供现场免费培训。 4.2.2 培训内容与课程要求
1) 培训内容应包括:卖方所提供的软、硬件设备的相关技术原理、性能、操作使用方法、维护管
理的技术、实际的操作练习等。使买方具备独立进行管理、维护测试和故障处理等工作的能力,以保证卖方所提供的设备能够正常、安全运行。 2) 培训费用包括课程费、资料费等,不计入总价。 3) 提供详细培训体系内容。
附录:专用采购标准固化部分
1. 1104005-0000-a1_二次系统安全防护设备-安全扫描专用
名称 1技术特性表 1.1兼容10/100Base-TX接口(≥个) 1.2漏洞库中漏洞特征描述(≥个) 1.3单IP扫描速度(≤min) 1.4最小并发扫描IP数(≥个) 2 1500 5 5 标准值
二次系统安全防护设备—安全扫描通用技术规范
