|
详细内容:
|
根据天峨县财政局业务开展需要,我局拟面向社会公开遴选VPN设备供应商,现将询价有关事项公告如下:
一、项目基本情况
1.项目名称:VPN设备购置
2.采购需求:具体要求详见附件《参数要求一览表》。
二、供应商的资格要求:
1.国内注册(指按国家有关规定要求注册),具备独立承担民事行为能力,具有履行合同所必需的设备和专业技术能力的供应商。
2.有依法缴纳税收和社会保障金的良好记录。
3.参加本次采购活动前三年内在经营活动中无重大违法记录。
4.对在“信用中国”网站(www.creditchina.gov.cn)、(www.ccgp.gov.cn)等渠道列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单的供应商,不得参与本项目采购活动。
三、报名资料
营业执照、报价函(原件)、法人代表身份证、纳税证明、社保证明、无违法失信证明等相关资料加盖公章的复印件1套。报名文件应密封装订成册,装订应牢固、不易拆散和换页,不得采用活页装订。
四、响应文件递交时间及地点
1.时间:自本公告发布之日起5个工作日,不接受电话报名。
2.地点:天峨县六排镇城西路127号(天峨县财政局306室国库股)。联系人:黄源 电话:0778-7825926。
若有意参加投标的单位,请持相关资质材料并编制好响应文件,用信封密封盖章后于2025年6月6日下午17:30前将响应文件送到天峨县财政局国库股(可邮寄),逾期不再受理。
五、标机构确认。
根据报名情况对参加遴选供应商的资质条件、报价、技术、企业实力等方面进行综合评审,由单位领导班子暨“三重一大”会议确定最终供应商,对未获得该项目供应商的不再另行通知,报名材料不退还。
本公告通过天峨县人民政府网公开发布。
天峨县财政局
2025年5月28日
附件:
参数要求一览表
一、合规性要求
1.等级保护制度(等保2.0)。根据财政网络业务场景,明确VPN设备的安全边界和防护对象。支持相应安全防护能力,结合等保2.0三级要求,制定《VPN安全配置基线》。包括:身份鉴别、访问控制、安全审计、入侵防范、数据完整性保护等。
2.密码法合规。使用国家密码管理局(OSCCA)批准的商用密码算法,支持国产密码协议(如IPSecVPN国密化改造)。
3.数据本地化与跨境限制。确保财政数据存储和处理位于中国境内,禁止未经批准的跨境传输。
二、核心技术标准
1.加密与通信安全。优先选择具备国密资质和等保三级适配案例的厂商。国密算法优先:支持SM2/SM3/SM4,国际算法(如AES256)可作为辅助。协议安全:IPSecVPN需配置IKEv2, SSLVPN需支持TLS1.3,支持国产硬件密码模块(如SM2/SM4专用加密卡)。支持优化TCP协议,增强隧道抗丢包、抗抖动特性,实现弱网环境的访问加速,支持将短隧道资源新建连接耗时优化至 0RTT,大幅降低业务访问的网络时延,实现同等网络环境下访问速度达到直连访问。可扩展文件加密功能,文件加密支持“一文一密”即每个文件独立密钥,以确保沙箱组件被卸载、模块驱动被摘除的情况下,终端用户仍无法明文取出文件;
2.身份认证与访问控制。基于角色的权限控制(RBAC):细化用户权限,最小化访问范围。零信任架构:支持持续身份验证(如终端环境检测、行为分析)。动态访问控制策略支持“与”、“或”条件嵌套,并可通过单一条件或条件组的方式灵活组合嵌套,可支持的条件变量应包括但不限于:终端名称、MAC地址、终端本地IP列表、操作系统版本、终端资产类型、终端标签类型、存在指定文件、操作系统安装的补丁、运行进程、运行指定杀毒软件、运行任一杀毒软件、零信任客户端版本、安装指定软件、开启系统防火墙、开放的操作系统端口、windows操作系统注册表、用户接入城市、用户登录国家、用户登录时间、授信终端、授信域环境、异常时间登录、新地点登录、非常用地点登录等;
3.网络安全防护。服务隐身:为了最大程度缩小网络、业务暴露面,零信任平台需提供单包授权能力(SPA),支持UDP+TCP组合的单包授权技术,未授权用户无法连接零信任设备,无法扫描到服务端口,不会出现敲门放大漏洞。PC端和移动端均支持通过安全码激活客户端为授权客户端,从而可进行SPA敲门和连接,安全码支持共享码、一人一码和一次一码等多种模式,支持短信分发安全码,保障业务的安全性。不同安全码模式均应同时支持PC端和移动端使用。分区分域隔离:将财政内部网络划分为安全域,VPN设备需支持逻辑隔离(如VLAN、VXLAN)。流量镜像:支持将用户访问零信任系统的认证及策略类请求加密流量解密后镜像给外部系统,如态势感知等设备,以完善系统的用户行为审计溯源能力。
4.日志与审计。全流量日志记录:记录用户身份、访问时间、操作行为等,日志留存至少6个月。审计功能:支持实时监控和事后追溯,审计记录防篡改。隐私合规:日志中敏感信息(如用户账号)需脱敏处理,符合《中华人民共和国个人信息保护法》。支持用户安全日志提取,审计中心应将具有异常登录行为的用户日志自动打标签为用户安全日志,以便于管理员快速审计定位。用户安全日志包括但不限于:账号安全(应包含账号首次登录、异常时间登录、非常用地点登录、弱密码登录、爆破登录、闲置账号登录、账号在新终端登录等)、中间人攻击、SPA安全(应包含SPA端口扫描、SPA爆破攻击、SPA敲门伪造、SPA重放攻击、SPA安全码泄漏等)、cookie劫持等。
5.应用打开方式:支持配置点击工作台的业务应用即可直接拉起对应的CS程序进行访问,包括但不限于浏览器、远程桌面或其他指定程序,支持Windows、macOS、统信UOS、麒麟kylin、中科方德、Ubuntu等主流操作系统;针对Windows系统,还应支持拉起CS应用时携带启动参数,自动访问管理员设定的地址。
6.行为洞察分析: 可扩展行为洞察分析能力,系统支持通过还原用户接入系统后的会话信息,对用户访问行为进行自动分析并智能生成分析报告,支持展示整个访问过程(包含涉及的用户、终端、IP等实体,登录过程,访问过程等),支持对关联的终端进行整体分析(终端信息、产生过的安全日志、登录过的用户、接入过的IP等)
三、物理与供应链安全
1.国产化要求。优先选择国产自主可控的VPN设备,避免使用存在供应链风险的外国产品。设备须通过国家信息安全产品认证。为了保障用户在国产化终端上的正常业务访问,零信任客户端应兼容主流国产硬件CPU的国产操作系统终端,需提供国产操作系统与零信任厂商的兼容性证明,包括但不限于麒麟V10×龙芯、麒麟V10×龙芯LoongArch、麒麟V10×飞腾、麒麟V10×鲲鹏、麒麟V10×兆芯、麒麟V10×海光、麒麟V10×海思麒麟;统信V20×龙芯(3A3000、3A4000)、统信V20×龙芯(3A5000)、统信V20×飞腾、统信V20×鲲鹏、统信V20×海光、统信V20×兆芯、中科方德×飞腾、中科方德×海光、中科方德×兆芯、中科方德×龙芯等。
2.硬件安全。关键模块(如密码芯片)需通过国家密码检测认证。
四、部署与管理要求
1.高可用性(HA),支持双机热备、负载均衡,保障财政业务连续性。
2.漏洞与补丁管理,定期更新漏洞库,及时修复CNVD/CNNVD通报的安全漏洞。
3.安全运维,运维通道需加密(如SSHv2、HTTPS),禁止明文协议(如Telnet)。
4.设备巡检:对自身的安全状态和策略配置进行巡检,对设备的整体状态进行打分,统计所有检查的正常项、异常项和告警项,并输出巡检报告。支持在设备上查看及下载巡检报告。报告应至少包含检测项、检查状态、存在的问题描述、建议改进措施等。
文件下载:
关联文件:
|
更多
