陕西职业技术学院采购应用系统安全防护平台(WAF)网上询价项目(网上询价)公告

首页

欢迎来到剑鱼标讯

基本信息
项目名称		省份
业主单位		业主类型
总投资		建设年限
建设地点
审批机关		审批事项
审批代码		批准文号
审批时间		审批结果
建设内容

基本信息

项目名称

省份

业主单位

业主类型

总投资

建设年限

建设地点

审批机关

审批事项

审批代码

批准文号

审批时间

审批结果

建设内容

序号	商品名称	技术参数或配置要求	建议品牌及型号	单位	数量
1	应用系统安全防护平台(WAF)	自定义 : 1、标准机架式设备，网络层吞吐量：≧20G，应用层吞吐量：≧9G，防病毒吞吐量：≧1.5G，IPS吞吐量：≧1.3G，全威胁吞吐量：≧1G，并发连接数：≧200万，HTTP新建连接数：≧9万，IPSec VPN 最大接入数：≧1000，IPSec VPN吞吐量：≧700M。内存大小：≧8G，硬盘容量：≧128G SSD，电源：冗余电源，接口：≧8千兆电口+2万兆光口SFP+。 2、包括但不限于：WEB应用防护识别库、IPS特征库、僵尸网络防护库、实时漏洞分析识别库和URL&应用识别库定期更新，保持设备具备检测防御最新威胁的能力。 3、包括但不限于:Web安全防护、Web扫描、实时漏洞分析、敏感信息防泄漏等针对业务安全保障的功能 4、包括但不限于:恶意IP过滤、恶意域名检测、威胁情报云查功能。 5、支持全部未知DNS、IP流量云端检测，提供云端海量威胁情报、海量的规则+AI智能引擎检测能力。 6、100MS内实现云端已知威胁拦截，未知威胁5分钟全网情报同步。 7、支持针对主流Web服务器及插件的已知漏洞防护。Web服务器应覆盖主流服务器：apache、tomcat、lightpd、NGINX、IIS等插件应覆盖:dedecms、phpmyadmin、PHPWind、shopex、discuz、ecshop、vbulletin、wordpress等，提供Java反序列化漏洞（Jboss）防护规则。 8、支持HTTP访问控制功能，可以提供针对HTTP元素和客户端的组合访问控制策略。支持对多种HTTP方法执行访问控制，包括：GET、POST、HEAD、PUT、DELETE、MKCOL、COPY、MOVE、OPTIONS、PROPFIND、PROPPATCH、LOCK、UNLOCK TRACE、SEARCH、CONNECT。 9、提供盗链防护，应采用Referer和Cookie算法。 10、支持对注入（包括SQL注入、LDAP注入、XPATH注入及命令行注入）、XSS、SSI指令、路径穿越、远程文件包含、WebShell防护。提供配置界面截图证明。 11、支持CSRF（跨站请求伪造）防护，并支持WEB2.0 CSRF防护。 12、支持非法文件上传防护，有效识别文件上传行为，并对上传行为的内容做安全检测，可以根据需要，禁止上传以下文件类型：PE(windows Executable File)、ELF(linux Executable File)、PHP web shell、Linux shell、Power shell(windows Script File)、Java shell、Asp shell、Perl shell、Python shell及Ruby shell，同时可支持源IP封禁、Session封禁和UA封禁。 13、支持非法下载防护，可以根据文件大小、MIME类型及文件扩展名灵活定义下载限制策略，限制用户非法获取网站的关键数据（比如数据库文件，配置文件等）。 14、支持Cookie安全机制，包括Cookie加密和Cookie签名的防护算法。支持过期兼容时间配置以及*配置。 15、支持敏感信息过滤，对用户的个人隐私信息（信用卡卡号、手机号、身份证号码）泄露进行检测、阻断或替换。 16、支持XML防护，包括XML基础校验、Schema校验以及SOAP校验。 17、可根据会话标识、浏览器标识进行会话跟踪，还原攻击场景。 18、支持暴力破解防护，可针对指定URL进行暴力破解防护，支持多种方式的登陆，支持referer检测，支持阈值和检测周期的设置。 19、支持人机识别，可通过JS脚本识别自动化工具，并能够对自动化工具访问请求配置放过、阻断、接受、伪装等处置动作。可以根据客户端环境检测，识别攻击工具，主要包括：市面上主流扫描器，如burpsuite、nessus等，市面上主流自动化工具selenium、phantomjs等，脚本攻击识别。 20、支持页面动态混淆防护，在保证业务和页面展示效果的情况下，对响应页面中的Form表单、a标签、Javascript文件等关键信息进行混淆，支持对例外URL不进行混淆操作。 21、支持XML&JSON格式的API安全检测与防护。 22、支持API资产梳理，可基于API流量进行API资产自学习，可查看API列表和API资产，可识别影子API，支持API接口的导入导出。 23、支持API攻击防护，可查看基于OWASP TOP 10的API安全事件统计，并可查看API安全事件详情。 24、支持TCP Flood防护；支持基于阈值及算法配置的HTTP Flood防护。 25、支持对慢速攻击的防护。 26、提供默认策略模板，方便客户快速对站点组及虚拟站点进行web安全防护策略配置。支持严格模板、标准模板及宽松模板。 27、支持多达七种的防护动作，包括了放过、阻断、接受、重定向、伪装、清除和替换。可针对不同安全风险提供多种可选方案。 28、支持透明部署，旁路部署，反向代理模式以及插件式部署模式。 29、支持SSL卸载及加载，支持对SSL（HTTPS）加密会话进行分析，SSLv2, SSLv2/v3, SSLv3、TLS1.0\1.1\1.2\1.3。 30、支持HTTPS国密算法。 31、支持对响应页面内容进行gzip压缩。 32、支持显示接口状态，引擎状态、系统CPU、内存及硬盘使用率，系统当前时间及系统运行时间。 33、支持安全事件、业务负载、接口流量、系统负载、封禁IP管理、站点访问量统计的实时和历史数据查看及查询。 34、支持标准SNMP V1/V2c/V3以及 trap；支持Syslog接口。 35、支持对于用户登录密码错误的次数进行限制，并可封禁异常登录的账号或IP，封禁时间可以配置。 36、支持紧急模式:支持配置并发连接数阈值，当并发连接数超过设置阀值时，WAF自动进入紧急模式，已经代理的连接正常代理，对新增的请求直接转发；当连接数恢复正常时，自动退出紧急模式。 37、所有设备及软件要求国产一线品牌，非OEM产品。硬件产品质保期不得少于5年，软件质保期不得少于5年。;		台	1

序号

商品名称

技术参数或配置要求

建议品牌及型号

单位

数量

应用系统安全防护平台(WAF)

自定义 : 1、标准机架式设备，网络层吞吐量：≧20G，应用层吞吐量：≧9G，防病毒吞吐量：≧1.5G，IPS吞吐量：≧1.3G，全威胁吞吐量：≧1G，并发连接数：≧200万，HTTP新建连接数：≧9万，IPSec VPN 最大接入数：≧1000，IPSec VPN吞吐量：≧700M。内存大小：≧8G，硬盘容量：≧128G SSD，电源：冗余电源，接口：≧8千兆电口+2万兆光口SFP+。
2、包括但不限于：WEB应用防护识别库、IPS特征库、僵尸网络防护库、实时漏洞分析识别库和URL&应用识别库定期更新，保持设备具备检测防御最新威胁的能力。
3、包括但不限于:Web安全防护、Web扫描、实时漏洞分析、敏感信息防泄漏等针对业务安全保障的功能
4、包括但不限于:恶意IP过滤、恶意域名检测、威胁情报云查功能。
5、支持全部未知DNS、IP流量云端检测，提供云端海量威胁情报、海量的规则+AI智能引擎检测能力。
6、100MS内实现云端已知威胁拦截，未知威胁5分钟全网情报同步。
7、支持针对主流Web服务器及插件的已知漏洞防护。Web服务器应覆盖主流服务器：apache、tomcat、lightpd、NGINX、IIS等插件应覆盖:dedecms、phpmyadmin、PHPWind、shopex、discuz、ecshop、vbulletin、wordpress等，提供Java反序列化漏洞（Jboss）防护规则。
8、支持HTTP访问控制功能，可以提供针对HTTP元素和客户端的组合访问控制策略。支持对多种HTTP方法执行访问控制，包括：GET、POST、HEAD、PUT、DELETE、MKCOL、COPY、MOVE、OPTIONS、PROPFIND、PROPPATCH、LOCK、UNLOCK TRACE、SEARCH、CONNECT。
9、提供盗链防护，应采用Referer和Cookie算法。
10、支持对注入（包括SQL注入、LDAP注入、XPATH注入及命令行注入）、XSS、SSI指令、路径穿越、远程文件包含、WebShell防护。提供配置界面截图证明。
11、支持CSRF（跨站请求伪造）防护，并支持WEB2.0 CSRF防护。
12、支持非法文件上传防护，有效识别文件上传行为，并对上传行为的内容做安全检测，可以根据需要，禁止上传以下文件类型：PE(windows Executable File)、ELF(linux Executable File)、PHP web shell、Linux shell、Power shell(windows Script File)、Java shell、Asp shell、Perl shell、Python shell及Ruby shell，同时可支持源IP封禁、Session封禁和UA封禁。
13、支持非法下载防护，可以根据文件大小、MIME类型及文件扩展名灵活定义下载限制策略，限制用户非法获取网站的关键数据（比如数据库文件，配置文件等）。
14、支持Cookie安全机制，包括Cookie加密和Cookie签名的防护算法。支持过期兼容时间配置以及*配置。
15、支持敏感信息过滤，对用户的个人隐私信息（信用卡卡号、手机号、身份证号码）泄露进行检测、阻断或替换。
16、支持XML防护，包括XML基础校验、Schema校验以及SOAP校验。
17、可根据会话标识、浏览器标识进行会话跟踪，还原攻击场景。
18、支持暴力破解防护，可针对指定URL进行暴力破解防护，支持多种方式的登陆，支持referer检测，支持阈值和检测周期的设置。
19、支持人机识别，可通过JS脚本识别自动化工具，并能够对自动化工具访问请求配置放过、阻断、接受、伪装等处置动作。可以根据客户端环境检测，识别攻击工具，主要包括：市面上主流扫描器，如burpsuite、nessus等，市面上主流自动化工具selenium、phantomjs等，脚本攻击识别。
20、支持页面动态混淆防护，在保证业务和页面展示效果的情况下，对响应页面中的Form表单、a标签、Javascript文件等关键信息进行混淆，支持对例外URL不进行混淆操作。
21、支持XML&JSON格式的API安全检测与防护。
22、支持API资产梳理，可基于API流量进行API资产自学习，可查看API列表和API资产，可识别影子API，支持API接口的导入导出。
23、支持API攻击防护，可查看基于OWASP TOP 10的API安全事件统计，并可查看API安全事件详情。
24、支持TCP Flood防护；支持基于阈值及算法配置的HTTP Flood防护。
25、支持对慢速攻击的防护。
26、提供默认策略模板，方便客户快速对站点组及虚拟站点进行web安全防护策略配置。支持严格模板、标准模板及宽松模板。
27、支持多达七种的防护动作，包括了放过、阻断、接受、重定向、伪装、清除和替换。可针对不同安全风险提供多种可选方案。
28、支持透明部署，旁路部署，反向代理模式以及插件式部署模式。
29、支持SSL卸载及加载，支持对SSL（HTTPS）加密会话进行分析，SSLv2, SSLv2/v3, SSLv3、TLS1.0\1.1\1.2\1.3。
30、支持HTTPS国密算法。
31、支持对响应页面内容进行gzip压缩。
32、支持显示接口状态，引擎状态、系统CPU、内存及硬盘使用率，系统当前时间及系统运行时间。
33、支持安全事件、业务负载、接口流量、系统负载、封禁IP管理、站点访问量统计的实时和历史数据查看及查询。
34、支持标准SNMP V1/V2c/V3以及 trap；支持Syslog接口。
35、支持对于用户登录密码错误的次数进行限制，并可封禁异常登录的账号或IP，封禁时间可以配置。
36、支持紧急模式:支持配置并发连接数阈值，当并发连接数超过设置阀值时，WAF自动进入紧急模式，已经代理的连接正常代理，对新增的请求直接转发；当连接数恢复正常时，自动退出紧急模式。
37、所有设备及软件要求国产一线品牌，非OEM产品。
硬件产品质保期不得少于5年，软件质保期不得少于5年。;

台

序号	商务项目	商务需求
1	质保期要求	提供设备软硬件5年质保，包括系统软件升级、规则库更新等，质保期自终验合格交付使用之日起，在质保期内出现的质量问题由成交供应商负责，费用由成交供应商承担。

序号

商务项目

商务需求

质保期要求

提供设备软硬件5年质保，包括系统软件升级、规则库更新等，质保期自终验合格交付使用之日起，在质保期内出现的质量问题由成交供应商负责，费用由成交供应商承担。

省份	陕西	城市	汉中市
招标代理机构		项目名称	陕西职业技术学院采购应用系统安全防护平台(WAF)
采购单位	陕西职业技术学院立即查看	采购联系人	登录即可免费查看
采购电话	登录即可免费查看
拟定单一来源采购供应商

中标单位
中标金额(元)

联系方式