2.2网络安全二期招标文件

2023年8月1日发(作者：)

项目需求和技术方案要求

资质要求：具备信息系统安全集成服务资质二级及以上。

一、山东省高级人民法院网络安全二期项目需求

（一）项目背景

《人民法院信息化建设五年发展规划（2016-2020）》要求打造“全面覆盖、移动互联、跨界融合、深度应用、透明便民、安全可控”的人民法院信息化3.0版，全面实现人民法院信息化建设转型升级，为人民法院现代化提供坚实的信息科技保障。最高人民法院下发的《全国法院专网跨网信息交换安全保密管理规定》则对跨网信息交换提出了明确的要求，要求不得以任何方式将法院专网与其它网络相连直接进行信息交换，应当建设单独的安全接入平台，采用国家有关部门批准的“安全隔离与信息单向导入系统”以规定的文件格式进行数据交换。

（二）建设目标与建设内容

为保障法院专网、互联网、外部专网、视频专网等各网系之间的安全隔离和业务应用，需要建设边界安全隔离与交换平台，实现不同网系之间业务应用和安全数据交换。为实现在发生信息安全事件时的及时响应和处置，需建立应急保障体系。

（三）项目预算

建设预算231万元。

（四）项目建设地点

建设地点：省法院网络中心机房。

二、设备清单及技术要求

（一）边界安全隔离与交换平台设备清单及技术要求

1、投标人应提供本次投标所涉及设备及系统的技术指标彩页。

2、投标人应该保证所提供材料的真实性,保证所投产品能够满足所有技术要求，采购人将保留对相关材料进一步核查的权利,若发现投标人中标方案中存在虚假信息,将中止合同执行,并追求其法律责任。

投标设备及系统需满足下列技术要求：

序号 设备名称

硬件架构：

技术指标要求

数量

（1）由导入前置机和导入服务器组成；

（2）2U标准机架式设备；

（3）10/100/1000Mbps以太网接口*2，可扩展至最多24个网络接口；

功能要求：

（1）采用具有人性化的B/S管理界面，非信任端与信任端分开管理；

（2）登陆后首页支持系统体检功能，包括系统服务、系统资源、链路、任务是否异常，并能够自动处理修复；（提供界面截图）；

（3）支持文件单向同步，包括客户端与非客户端两种方式，客户端支持Windows和Linux的32位、64位系统，并提供客户端页面下载功能；（提供界面截图）；

（4）支持事先定义任务的过滤规则，对数据内容进行深层次细粒度的过滤检查，可进行文件大小限制、文件名长度限制、关键字过滤、文件后缀名过滤、文件内容黑白名单过滤等安全功能，支持对每日数据流量限制，任务运行时间段的黑白名单控制功能，并支持病毒查杀功能；（提供界面截图）；

1

单向导入（5）提供数据库传输功能，支持主流数据库，包括：Sybase、2

系统

Oracle、SQLServer、MySQL等；

（6）具有灵活的文件交换冲突选项，支持策略：覆盖、放弃、重命名；

（7）支持多种数据库同步方式：触发器方式，全表采集方式，同表单向数据同步，主从表单向数据同步，删除源数据等同步方式；

（8）支持不同类型数据库之间及异构数据库的数据类型转换（表名、表字段、表字段类型、表主键、表外部键不同）；支持BLOB、CLOB、LONG、TEXT、IMAGE等大字段的异构，支持不同字符集的异构；

（9）支持断点重传功能，在出现断电或传输中断等情况下，能够保证系统恢复后，交换数据的重传或续传，防止数据丢失现象；

（10）支持全文审计功能，能够追溯历史传输数据；

（11）单向导入系统能够在数据单向同步过程发生错误时进行报警。报警可以以多种形式发送，邮件、短信（提供界面截图）；

（12）能与集中监控与管理系统无缝对接，支持将日志审计信息、报警信息直接发送到集中监控系统统一管理； （13）客户端与单向导入系统采取双向认证方式，确保客户端的合法性；

数据传输过程采用数据完整性校验机制，保证数据的有效性、正确性、完整性；

（14）支持配置导入导出功能；（提供界面截图）；

（15）支持数据容错功能，可根据时间段或任务名称查询是否丢包、丢包原因及具体丢包时间。（提供界面截图）。

（16）提供标准的syslog日志输出,界面可配置接收syslog日志的IP和端口；

（17）支持页面上传升级包的系统升级方式；

（18）支持UDP代理功能，包括对UDP包大小过滤和流量控制，并提供对关键字的黑白名单过滤功能。支持对每个UDP代理任务按时间段统计，包括：IP连接数、流量统计；

(19)支持对连接单向导入系统的数据服务器进行IP、MAC认证，并可分别对单向导入系统提供的文件服务（如FTP、SAMBA、NFS、客户端）进行终端认证；

（20）系统支持分权管理功能。

（21）为保证兼容性，应与单向隔离光闸为同一品牌。

性能要求：

（1）★应用数据吞吐量≥600Mbps（提供第三方性能检测报告）；

（2）最大并发表≥256；

（3）数据影射最大字段数≥512；

（4）数据库到数据库单向同步速率≥2000条/秒；

（5）传输延迟<1秒；

（6）并发客户端数量>500个；

（7）数据差错率<1Bit/1TBit；

（8）稳定性运行时间(MTBF) >50000小时。

硬件架构：

（1）由导出服务器、审核服务器和汇集服务器组成；

（2）2U标准机架式设备；

（3）10/100/1000Mbps以太网接口*2，可扩展至最多24个网络接口；

2

单向导出2

功能要求：

系统

（1）采用具有人性化的B/S管理界面，非信任端与信任端分开管理；

（2）登陆后首页支持系统体检功能，包括系统服务、系统资源、链路、任务是否异常，并能够自动处理修复；（提供界面截图）； （3）支持文件单向同步，支持samba、FTP等文件共享方式；

（4）支持事先定义任务的过滤规则，对数据内容进行深层次细粒度的过滤检查，可进行文件大小限制、文件名长度限制和关键字过滤、文件后缀名的黑白名单过滤等安全功能，支持对每日数据流量限制，任务运行时间段的黑白名单控制功能，并支持病毒查杀功能；（提供界面截图）；

（5）支持多种主流数据库，包括：Sybase、Oracle、MS SQL

Server、MySQL等；

（6）具有灵活的文件交换冲突选项，支持策略：覆盖、放弃、重命名；

（7）支持多种数据库同步方式：触发器方式，全表采集方式，同表单向数据同步，主从表单向数据同步，删除源数据等同步方式；

（8）支持全文审计功能，能够追溯历史传输数据，全文审计内容可打开或下载；

（9）支持根据预先精确定义的导出数据内容要求，对导出数据内容进行精确审核，包括数据阈值合法性，对于不符合定义的数据进行阻断并告警；提供数据Hash、数据唯一标识和一次一密动态码；

（10）单向导出系统能够在数据单向同步过程发生错误时进行报警。报警可以以多种形式发送，邮件、短信（提供界面截图）；

（11）数据传输过程采用数据完整性校验机制，保证数据的有效性、正确性、完整性；支持对接收的数据与对外发布的数据进行完整性、一致性验证；

（12）支持配置导入导出功能；（提供界面截图）；

（13）支持数据容错功能，可根据时间段或任务名称查询是否丢包、丢包原因及具体丢包时间；

（14）支持UDP代理功能，包括对UDP包大小过滤和流量控制，并提供对关键字的黑白名单过滤功能。支持对每个UDP代理任务按时间段统计，包括：IP连接数、流量统计。

（15）支持对连接单向导出系统的数据服务器进行IP、MAC认证，并可分别对单向导入系统提供的文件服务（如FTP、SAMBA）进行终端认证。

（16）系统支持分权管理功能；

（17）支持硬件U-key加密和密钥存储方式；

（18）为保证兼容性，应与单向隔离光闸为同一品牌。

性能要求：

（1）★应用数据吞吐量≥600Mbps（提供第三方性能检测报告）； （2）最大并发表≥256；

（3）数据影射最大字段数≥512；

（4）传输延迟<1秒；

（6）数据差错率<1Bit/1TBit；

（7）稳定性运行时间(MTBF) >50000小时。

硬件架构：

（1）6个10/100/1000BASE-TX接口，2个COM口；

（2）采用2+1架构和多模分光器隔离技术，属完全自主开发，物理部件通过光单向传输数据；

功能要求：

（1）采用身份认证技术对使用光闸的用户进行身份鉴别，以确保只有合法用户和计算机能使用光闸系统传输数据，包括高强度双重口令认证、CA证书认证等；

（2）支持专用客户端等方式的文件数据物理单向传输（外向内）；

（3）支持实时文件同步；

（4）支持文件类型过滤；

3

单向隔离（6）支持多文件并发传输；支持多级目录（128级）；

光闸

（7）支持中文文件名，长文件名（255字符）；

（8）根据权限划分每个用户的文件传输通道；

（9）数据传输高度可靠，采用缓存确认机制进行保证；

（10）提供日志审计、导出、过滤等强化功能；

（11）支持全文审计功能；

（12）通过B/S方式对光闸进行管理；系统配置信息可导出备份、导入恢复。

性能要求：

（1）★传输性能≥600Mbps（提供第三方性能检测报告）；

（2）数据库传输能力≥2000条/秒；

（3）差错率<1Bit/1TBit；

（4）底层硬件吞吐率≥单向1Gbps；

（5）文件传输延迟<1秒；

（6）稳定运行时间MBTF≥50000小时。

（1）部署于外部网络系统中，用于平台内部设备状态获取以及设备管理；采用安全加固Linux系统；

4 集控探针

（2）不与内部网络之间存在任何网络连接，规避网络旁路风3

险；

（3）标准机架式设备；

（4）10/100/1000Mbps电口*2，可扩展SFP光口*2；

（5）支持文件后缀过滤；

4 （5）稳定性运行时间(MTBF)≥50000小时；

（6）支持SYSLOG /SNMP v2、v3、Telnet、ICMP协议方式的数据和信息采集。

（7）必须与集中监控系统为统一品牌，以实现数据的收集及整理对接。

功能要求：

（1）能够提供边界接入不同层次（接入终端、平台、链路、业务、使用单位等）的信息注册和管理功能。包括对接入平台的基础信息、建设情况、运维情况、链路情况、设备情况进行详细登记；对接入业务的基础信息、扩展信息、协议信息、使用单位信息、终端设备信息进行详细登记；

（2）提供对接入终端的注册信息、设备信息、用户信息、安全状况、网络连接情况、业务应用情况的查询统计；

（3）提供整个平台总拓扑视图，在视图上能够根据链路实时动态监控各种设备当前的运行状况，能显示各个边界接入业务的实时流量，显示整个平台的重要报警信息，要求美观直观，便于汇报演示和管理员查看（提供界面截图）；

（4）能够实时看到各种业务当前的运行状态（正常、异常）和当前日流量、总流量等。并能够按需生产网络流量信息的报表，如果流量超过事先设置的阀值则报警给管理员；

（5）能够根据链路、归属单位、操作方式、接入对象来统计任意时间段内的流量、交换次数、审计次数、报警次数等重集中监管要信息；

1

控制系统

（6）能够实时监控各种设备当前运行状况（包括CPU使用、内存使用、虚拟内存使用、平均负载率、硬盘容量、网络流量等信息）；

采用SYSLOG服务搜集边界接入平台内各个服务器、前置机和网络设备（如三层交换机，防火墙，IDS、网关、光闸等）的日志信息；

（7）能够提供用户行为监控，对用户的登录状态、操作行为、访问资源进行监控并提供查询统计；

（8）能够通过被动采集（SYSLOG和SNMPv2、v3）功能，获取相关设备的日志和网管管理信息，并结合主动安全策略来判断设备是否发生故障，一旦故障则启动报警；

（9）能够通过采集数据安全系统发送的日志信息来判断业务是否停止、内外网资源是否不可访问等故障信息，一旦故障则启动报警；

（10）能够通过采集各种设备发送给监管系统的异常事件信息来判断是否出现安全事件，如病毒、木马被发现，未授权访问请求被接受等，一旦事件发生则启动报警；

（11）能够支持报警信息对外发送功能，包括短信报警和邮5 件报警等，对外报警接口可以进行报警源、报警组件、报警对象和报警规则的配置；

（12）系统提供用户行为审计，即用户信息、用户访问的资源、访问的时间等信息；

（13）系统提供业务应用审计，即业务应用系统信息、数据传输流量、传输时间、传输具体内容等；

（14）对单向导入系统、单向导出系统进行专门的审计。并且对专有设备的syslog信息的内容部分作了更进一步的扩容，实现根据对syslog内容解析获得这些专有设备业务配置信息、业务审计信息、业务报警信息和实时业务状态信息等；

（15）系统提供设备状态审计，即设备的启停时间、次数、流入流出流量、设备资源使用状况等；

（16）系统提供异常行为审计，即异常发生时间、业务信息、设备信息、异常具体内容等；

（17）为保证兼容性，应与单向导入系统、单向导出系统为同一厂商制造；

性能要求：

最大支持业务数量：≥1000；

最大监控并发用户数量：≥5000；

最大审计用户数量：≥20000；

日志审计信息可导入导出。

硬件架构：

由导入前置机和导入服务器组成，包括两台硬件设备；

标准机架式设备；

≥2个万兆以太网光接口（配置多模模块）；4个千兆电口；

内存≥8GB；

硬件开关切换时间：<0.1ms

功能要求：

符合GB/T 28181标准；

支持二次API接口函数的开发，应根据招标人视频平台的安全接入要求免费提供现场接口开发；

安全视频1

支持云台控制、录像回放等功能；

交换系统

支持非标准/标准SIP控制信令；

可实时展现当前在线浏览视频数据的用户，包括用户名，用户来源IP等信息，用户当前视频流量统计信息(提供截图证明)；

可同时支持多个厂商多个应用协议；

支持基于U-key的身份认证,实现只有通过U-key认证的用户才能调取视频图像资源(提供截图证明)；

系统支持配置参数导入方式支持新的视频厂商协议安全接入，提供专门的参数导入操作界面，而无需通过后台操作(提供截图证明)；

6 提供丰富的访问控制功能，包括：控制信令的黑白名单过滤(提供截图证明)；

视频流格式黑白名单过滤(提供截图证明)；

视频流丢帧、插帧安全控制(提供截图证明)；

基于用户身份的黑白名单过滤，可细化至用户访问源目标IP、时间段(提供截图证明)；

基于控制信令关键字的过滤，关键字过滤条件可叠加正则表达式(提供截图证明)；基于源目标IP地址的黑白名单过滤(提供截图证明)；

提供系统重新初始化功能，在系统出现严重错误时可通过重新初始化恢复系统正常使用(提供截图证明)；

视频传输通道动态开放，在用户请求图像时打开，用户请求结束时关闭，提高系统安全性；

网络无关性，可适应各种复杂网络情况，包括网络地址重叠亦不影响系统工作；

使用WEB方式进行系统管理；

只允许在内网进行管理；

提供详细的日志记录功能；

详细记录普通用户的操作行为；

详细记录管理员的操作行为；

支持SYSLOG、SNMP V2/V3；

可扩展支持WEBService管理方式，实现与其他网络管理运维系统之间对接；

性能要求：

内部系统交换带宽：12Gbps

应用层数据传输率：8Gbps

延时：<0.5ms

系统并发连接数（可测试值）：8000

最短无故障间隔时间：50000小时

图像码率支持 <10Mbps（单路）

1400路D1图像传输能力。

硬件架构：

2U标准机架式，采用2+1双主机架构和专用硬件隔离技术；

≥2个万兆以太网光接口；

≥4个千兆以太网电接口；

提供液晶显示屏（提供截图证明）

7 视频网闸

功能要求：

实现视频网络与法院专网之间安全隔离；

支持视频流媒体数据的高效率传输；

支持数据库同步，支持大字段传输，支持异构数据同步；

支持文件传输，采用KFM技术，监控文件服务器系统内核、捕获文件变化；

支持消息传输，提供API函数接口用于二次开发，包括C、JAVA1 接口类型；

支持双机热备。

性能要求：

应用层数据传输率≥12 G；

内部系统交换带宽≥8 G；

延时<0.5ms。

支持1400路D1视频传输。

硬件要求：

≥4个10/100/1000Mbps电口，可扩展至12个电光口；

内存≥8GB内存；硬盘 120G SSD*1；可扩展至最大6硬盘；

1、采用基于Linux内核的安全操作系统；

2、全面支持64位计算技术；支持多核心CPU硬件技术；

3、使用内核级IDS，确保系统关键进程安全，阻止非授权访问；

4、操作系统内核以及关键进程部分进行硬件固化。

功能要求：

8

数据整合1、系统支持对数据的抽取、清洗、整合、装载功能；

4

服务系统

2、支持Sybase、Oracle、SQLserver、Mysql等主流数据库；

3、支持access、Excel、XML、CSV等多种常见文件格式；

4、提供可视化拖拽式任务流程配置；

5、提供标准清洗转换规则，并支持二次开发快速实现新规则并以规则包方式导入至系统；

6、系统支持一对一、一对多和多对一的数据整合功能；

7、支持跨网络交换过程安全交换，防止端口开放和链接建立，符合安全要求；

8、支持服务资源认证，支持移动应用系统访问，支持接入服务资源的管理。

硬件参数：

网络接口：4个10/100/1000以太网络接口，带硬件加速

稳定性：MTBF(平均无故障时间间隔)>50000小时

最大新建连接数：≥2500次/秒

最大并发连接数：≥4000条

每秒事务数目（TPS）：≥6500次

可信安全最大吞吐量：≥650Mbps

网关

最大接入用户数：≥25000

功能要求:

1、可信网关支持多条证书链

2、对外部服务器向平台应用服务器提交数据进行认证及授权审计及链路安全保障

3、身份认证：对用户进行身份认证；

9

2 10 服务器

4、保证外部接入用户的唯一性和真实性；

5、设备认证：对外部接入终端进行认证，保证终端接入的唯一性和真实性；

6、授权访问：对外部接入用户实现基于IP、基于资源的授权访问和控制，对于异常访问进行阻止；

7、集中监控：将接入信息统一报至集中监控与审计系统。

8、能够通过数字证书标识用户身份，可信边界安全网关对用户持有的数字身份进行完整认证，包括验证数字证书的信任域、有效期；

9、能够支持标准LDAP协议，能定时下载证书撤销列表到网关内，用户发起接入请求时，在网关内实现证书状态验证；

10、能够通过资源定义对用户进行访问控制。资源指的是内网对外网开放的IP地址或允许内网访问外网的IP地址；

11、能够支持黑、白名单，黑名单是不允许通过认证网关的一组证书地域属性列表。白名单与黑名单对应，只有白名单中允许的用户地域属性才可以找到相应的服务对应的网络资源；

12、可信边界安全网关支持穿透模式和代理模式；

13、能够支持多种结构业务系统，支持B/S、C/S结构业务系统；

14、不影响原有业务，安全保护只对用户身份和数据传输做处理，不修改业务功能；

15、能够提供标准接口支持应用系统无缝接入；

16、能够支持业务系统零改造，通过简单配置即可实现业务系统安全加固；

17、通过黑名单和白名单策略，对用户能否访问业务系统做入门级控制；

18、基于ACL技术，对系统资源进行内容访问控制；

19、与权限管理系统联合，完成用户访问业务系统的细粒度控制；控制管理员IP地址，保证认证网关管理安全；

20、能够记录本地日志信息，本地审计日志提供查询功能和备份功能，管理员可以对审计信息进行审计管理；

21、能够支持标准日志输出，可将日志信息发送到远程审计系统，进行集中、统一审计管理，为事后鉴定提供有效数据。可信边界安全网关可以基于连接的状态进行数据包过滤，极大地提高了系统的性能。

国有知名品牌，标准4U机架式高性能服务器；

处理器：4颗XeonE7-4850v3(不低于2.2GHz/14c)

内存：配置256GB DDR4内存，支持内存SDDC DDDC镜像热备高级功能，≥32个板载内存插槽；

2

★硬盘：3块600GB 10K 热插拔SAS硬盘，最大支持2.5寸SSD/SAS/SATA热插拔硬盘≥24个；

RAID:标配独立8通道2GB缓存高性能RAID卡，支持RAID0/1/5/6/10/50/60等RAID级别； 网络：集成高性能4千兆网口，支持IOAT2高级网络加速功能和VMDq虚拟化加速功能，支持网络唤醒、网络冗余、负载均衡等高级网络特性；

远程管理：主板集成BMC管理芯片，提供远程管理、远程诊断功能以及KVM OVER IP功能，支持IPMI2.0；

I/O扩展：2块单端口8Gb FC HBA卡和1块双口万兆网卡（含2个SFP+模块）；支持≥12个PCI-E3.0扩展槽；支持全长全高板卡；

电源及外设：配置2+1冗余电源，断电故障查询,

机架安装导轨，配置DVD光驱；

管理软件：多国语言版专业服务器管理软件，支持Windows/Linux系统跨平台管理；跨网段的集中管理，可生成资产报表、管理员日志、进程日志等，支持远程顺序启动服务器，可以远程监控运行状态、多重告警等功能。

数据安全保护软件：服务器原厂配置中文正版数据安全保护软件，保护服务器数据安全，提供软件安装介质和软件著作权证书复印件；

服务：质保三年，质保期内原厂工程师提供7x24小时带配件免费上门服务，质保期内免费提供硬盘损坏更换不回收服务。

（二）应急保障体系建设要求

1、服务内容

提供应急预案设计、应急演练和应急响应三部分工作。紧密贴合招标人业务系统情况，有针对性的设计信息安全应急预案及专项预案。协助招标人定期开展信息安全应急演练作，并在演练总结后优化应急预案。为招标人提供信息安全应急响应服务。

2、服务要求

投标人应在充分调研招标人业务系统后设计信息安全应急预案，包括综合应急预案和专项应急预案，专项应急预案种类不少于10个。投标人应协助招标人定期开展信息安全专项应急演练工作。当发生信息安全事件时，专业工程师须第一时间响应并在1小时内到达现场启动应急处置工作，给出应对加固、整改方案，并对业务部门的加固整改进行指导，协助相关部门处理安全问题；对已经发生的并处理完毕的安全事件撰写分析处理报告，就风险或事件的描述，危害内容，发生的原因、排查过程、处置方法进行详细说明。

为保证应急演练工作的先进性和可指导性，要求应急演练过程基于安全信息事件与管理平台结合威胁情报方式开展。应急演练工作开展期间投标人应派驻不少于3人的安全分析团队现场进行应急演练和安全分析。投标人须面向招标人信息系统开展威胁识别和分析工作，包括但不限于全网IP流量分析、URL、DNS、恶意爬虫分析、无线系统威胁、敏感信息泄露、社工威胁分析，威胁杀伤链检测等。专项应急演练工作每次开展时间不少于5个工作日。输出威胁战术情报和战略情报，战术威胁情报须按照STIX/TAXII格式输出，威胁情报能够指导信息安全策略回注和安全加固现有网络安全设备。

3、服务期限

服务期自签字合同起1年，服务期内应开展不少于4次信息安全应急演练，需提供全年不限次数的信息安全应急响应服务。

4、成果交付

《山东省高级人民法院综合应急预案》

《山东省高级人民法院专项应急预案》（不少于10个类别）

《山东省高级人民法院应急演练综合计划书》

《山东省高级人民法院应急演练风险控制方案》

《山东省高级人民法院应急演练安全信息事件与管理报告》

《山东省高级人民法院专项应急演练方案》（不少于10个类别）

《山东省高级人民法院专项应急演练报告》（不少于10个类别）

《山东省高级人民法院战术高级威胁情报》

《山东省高级人民法院战略高级威胁情报》

三、系统集成及售后服务要求

1、本项目为“交钥匙”工程，投标人报价除包含设备清单所列产品外，还应包含满足招标人边界平台上相关系统正常使用所需所有系统及设备，以及系统集成所需要的工具、辅材、光纤线缆、相关系统软件、操作系统软件、安装调试、技术支持和售后服务等所有相关费用，如在项目实施过程中发现因设备或系统遗漏而无法满足招标人在招标文件中提出的技术需求和要求，投标人应自行承担所遗漏设备费用。

2、投标人应按照招标人要求免费提供相关设备及系统的配置服务及相关现场接口等开发工作，以满足招标人在该边界平台上的各类应用的使用需求。

3、供货期：合同签订后30个工作日内，安装调试周期：货到25个工作日。

4、投标人应给出详细的施工方案，按照相关标准及招标人要求对本次采购的软硬件设备进行规划、集成、安装、部署，提供全部相关集成服务工作。落实每个阶段实施工作的详细计划及人员安排，进度计划，提供项目软、硬设备的安装、联调测试方案。

5、投标人完成项目实施后应根据招标人要求聘请具有相关资质和授权的安全测评机构对边界交换平台进行安全检测评估，相关测评费用由投标人承担。投标人应保证边界交换平台通过相关安全检测评估，否则由投标人自行承担整改调整相关费用直至边界平台通过安全检测评估。

6、投标人应提供设备及系统原厂免费保修及服务三年，原厂工程师 7x24小时带配件免费上门服务。中标人应提供三年免费保修期内1人现场驻场服务。免费保修期内，由中标人负责日常设备维护管理，对用户的设备免费进行现场维修更换，更换的设备或部件要求使用设备原厂商的全新同型设备或备件，无法维修的设备需免费更换为同档次或更高档次的其他型号产品。质保期内如发生系统升级等情况，投标人应免费负责现场升级和向招标人提供必要的技术资料。

7、投标人应提供三年免费运维服务，服务期内如发生故障需根据招标人要求在指定时间内到达现场。导致业务工作不能正常进行的严重设备故障，必须在8小时内解决故障问题。因中标人提供的产品存在缺陷或在保修期内服务响应不及时给招标人造成的损失，应由中标人承担赔偿责任。

8、保密要求。中标人应提供保密承诺，自签订合同之日起至项目验收，采取必要的控制措施防止因项目实施造成的任何信息泄漏。中标人应提供风险规避声明，自签订合同之日起至服务期结束，采取必要的控制措施防止因项目实施造成的系统运行故障事件发生。对于招标人披露和提供的所有信息应作为商业秘密对待并予以保护，未经招标人授权不得将任何信息泄漏给第三方，否则招标人有权追究中标人由此产生的一切责任。

9、培训要求：提供相关设备及系统现场使用操作培训。

评标方法和评分细则

一、评标方法

本次评标采用综合评分法，将依据投标人投标文件对其资信、业绩、投标产品质量、服务、技术方案、价格等各项因素进行评价，综合评选出最佳投标方案。每一投标人的最终得分为所有评委评分的算术平均值。最高得分的投标人为中标人。得分相同的，报价较低的一方为中标人。得分且投标报价相同的，技术指标较优的一方为中标人。

评 分 因 素

商务部分

技术部分

服务部分

价格部分

合计

分值分配

5

55

10

30

100

评分因素 评分内容

投标人自开标日起近 36 个月签订的同类项目案例，满分

商务部分 每提供 1 个 200 万元及以上合同得 2 分、 100 万元及以上得1 分，最高得 5 分。

投标产品技术指标、功能及配置对招标要求的响应程度，由评委酌情打分，好：得16-20分；较好：得6-15分；一般：得1-5分。

对投标产品的技术先进性、安全性、稳定性、易用、易

5

20

10

维护等性能进行综合评估，由评委酌情打分，好：得技术部分

8-10分；较好：得4-7分；一般：得1-3分。

对投标人提供的技术方案和项目实施方案进行评价，包括技术方案中的项目需求分析、技术实施重点及难点分析；实施方案中的技术力量、实施进度、质量保障机制、验收及测试方案等。由评委酌情打分，好：得8-10分；较好：得4-7分；一般：得1-3分

投标人对技术方案进行现场演示，根据方案讲述的关10

10 键点把握程度、功能描述清晰度、项目实际符合度、逻辑性、内容完整性等方面，由评委酌情打分，好：得8-10分；较好：得4-7分；一般：得1-3分

项目团队人员具备网络工程师、 CISAW、 CISP 、CISSP证书，同时具备得 5分。部分具备得2分，人员不重复计分,提供证书原件备查。

对投标人提供的服务保障体系、技术服务力量、服务服务部分 内容、服务响应时间、重要信息系统安全保护人员培训等情况进行综合打分，评分区间： 1-10 分。

以满足招标文件要求且投标价格最低的投标报价为评标基准价，其价格分为满分 30分，其他投标人的价格部分

价格分按照下列公式计算：投标报价得分=（评标基准价/投标报价）×30%×100

5

10

30

合计 100分

2023年8月1日发(作者：)

项目需求和技术方案要求

资质要求：具备信息系统安全集成服务资质二级及以上。

一、山东省高级人民法院网络安全二期项目需求

（一）项目背景

《人民法院信息化建设五年发展规划（2016-2020）》要求打造“全面覆盖、移动互联、跨界融合、深度应用、透明便民、安全可控”的人民法院信息化3.0版，全面实现人民法院信息化建设转型升级，为人民法院现代化提供坚实的信息科技保障。最高人民法院下发的《全国法院专网跨网信息交换安全保密管理规定》则对跨网信息交换提出了明确的要求，要求不得以任何方式将法院专网与其它网络相连直接进行信息交换，应当建设单独的安全接入平台，采用国家有关部门批准的“安全隔离与信息单向导入系统”以规定的文件格式进行数据交换。

（二）建设目标与建设内容

为保障法院专网、互联网、外部专网、视频专网等各网系之间的安全隔离和业务应用，需要建设边界安全隔离与交换平台，实现不同网系之间业务应用和安全数据交换。为实现在发生信息安全事件时的及时响应和处置，需建立应急保障体系。

（三）项目预算

建设预算231万元。

（四）项目建设地点

建设地点：省法院网络中心机房。

二、设备清单及技术要求

（一）边界安全隔离与交换平台设备清单及技术要求

1、投标人应提供本次投标所涉及设备及系统的技术指标彩页。

2、投标人应该保证所提供材料的真实性,保证所投产品能够满足所有技术要求，采购人将保留对相关材料进一步核查的权利,若发现投标人中标方案中存在虚假信息,将中止合同执行,并追求其法律责任。

投标设备及系统需满足下列技术要求：

序号 设备名称

硬件架构：

技术指标要求

数量

（1）由导入前置机和导入服务器组成；

（2）2U标准机架式设备；

（3）10/100/1000Mbps以太网接口*2，可扩展至最多24个网络接口；

功能要求：

（1）采用具有人性化的B/S管理界面，非信任端与信任端分开管理；

（2）登陆后首页支持系统体检功能，包括系统服务、系统资源、链路、任务是否异常，并能够自动处理修复；（提供界面截图）；

（3）支持文件单向同步，包括客户端与非客户端两种方式，客户端支持Windows和Linux的32位、64位系统，并提供客户端页面下载功能；（提供界面截图）；

（4）支持事先定义任务的过滤规则，对数据内容进行深层次细粒度的过滤检查，可进行文件大小限制、文件名长度限制、关键字过滤、文件后缀名过滤、文件内容黑白名单过滤等安全功能，支持对每日数据流量限制，任务运行时间段的黑白名单控制功能，并支持病毒查杀功能；（提供界面截图）；

1

单向导入（5）提供数据库传输功能，支持主流数据库，包括：Sybase、2

系统

Oracle、SQLServer、MySQL等；

（6）具有灵活的文件交换冲突选项，支持策略：覆盖、放弃、重命名；

（7）支持多种数据库同步方式：触发器方式，全表采集方式，同表单向数据同步，主从表单向数据同步，删除源数据等同步方式；

（8）支持不同类型数据库之间及异构数据库的数据类型转换（表名、表字段、表字段类型、表主键、表外部键不同）；支持BLOB、CLOB、LONG、TEXT、IMAGE等大字段的异构，支持不同字符集的异构；

（9）支持断点重传功能，在出现断电或传输中断等情况下，能够保证系统恢复后，交换数据的重传或续传，防止数据丢失现象；

（10）支持全文审计功能，能够追溯历史传输数据；

（11）单向导入系统能够在数据单向同步过程发生错误时进行报警。报警可以以多种形式发送，邮件、短信（提供界面截图）；

（12）能与集中监控与管理系统无缝对接，支持将日志审计信息、报警信息直接发送到集中监控系统统一管理； （13）客户端与单向导入系统采取双向认证方式，确保客户端的合法性；

数据传输过程采用数据完整性校验机制，保证数据的有效性、正确性、完整性；

（14）支持配置导入导出功能；（提供界面截图）；

（15）支持数据容错功能，可根据时间段或任务名称查询是否丢包、丢包原因及具体丢包时间。（提供界面截图）。

（16）提供标准的syslog日志输出,界面可配置接收syslog日志的IP和端口；

（17）支持页面上传升级包的系统升级方式；

（18）支持UDP代理功能，包括对UDP包大小过滤和流量控制，并提供对关键字的黑白名单过滤功能。支持对每个UDP代理任务按时间段统计，包括：IP连接数、流量统计；

(19)支持对连接单向导入系统的数据服务器进行IP、MAC认证，并可分别对单向导入系统提供的文件服务（如FTP、SAMBA、NFS、客户端）进行终端认证；

（20）系统支持分权管理功能。

（21）为保证兼容性，应与单向隔离光闸为同一品牌。

性能要求：

（1）★应用数据吞吐量≥600Mbps（提供第三方性能检测报告）；

（2）最大并发表≥256；

（3）数据影射最大字段数≥512；

（4）数据库到数据库单向同步速率≥2000条/秒；

（5）传输延迟<1秒；

（6）并发客户端数量>500个；

（7）数据差错率<1Bit/1TBit；

（8）稳定性运行时间(MTBF) >50000小时。

硬件架构：

（1）由导出服务器、审核服务器和汇集服务器组成；

（2）2U标准机架式设备；

（3）10/100/1000Mbps以太网接口*2，可扩展至最多24个网络接口；

2

单向导出2

功能要求：

系统

（1）采用具有人性化的B/S管理界面，非信任端与信任端分开管理；

（2）登陆后首页支持系统体检功能，包括系统服务、系统资源、链路、任务是否异常，并能够自动处理修复；（提供界面截图）； （3）支持文件单向同步，支持samba、FTP等文件共享方式；

（4）支持事先定义任务的过滤规则，对数据内容进行深层次细粒度的过滤检查，可进行文件大小限制、文件名长度限制和关键字过滤、文件后缀名的黑白名单过滤等安全功能，支持对每日数据流量限制，任务运行时间段的黑白名单控制功能，并支持病毒查杀功能；（提供界面截图）；

（5）支持多种主流数据库，包括：Sybase、Oracle、MS SQL

Server、MySQL等；

（6）具有灵活的文件交换冲突选项，支持策略：覆盖、放弃、重命名；

（7）支持多种数据库同步方式：触发器方式，全表采集方式，同表单向数据同步，主从表单向数据同步，删除源数据等同步方式；

（8）支持全文审计功能，能够追溯历史传输数据，全文审计内容可打开或下载；

（9）支持根据预先精确定义的导出数据内容要求，对导出数据内容进行精确审核，包括数据阈值合法性，对于不符合定义的数据进行阻断并告警；提供数据Hash、数据唯一标识和一次一密动态码；

（10）单向导出系统能够在数据单向同步过程发生错误时进行报警。报警可以以多种形式发送，邮件、短信（提供界面截图）；

（11）数据传输过程采用数据完整性校验机制，保证数据的有效性、正确性、完整性；支持对接收的数据与对外发布的数据进行完整性、一致性验证；

（12）支持配置导入导出功能；（提供界面截图）；

（13）支持数据容错功能，可根据时间段或任务名称查询是否丢包、丢包原因及具体丢包时间；

（14）支持UDP代理功能，包括对UDP包大小过滤和流量控制，并提供对关键字的黑白名单过滤功能。支持对每个UDP代理任务按时间段统计，包括：IP连接数、流量统计。

（15）支持对连接单向导出系统的数据服务器进行IP、MAC认证，并可分别对单向导入系统提供的文件服务（如FTP、SAMBA）进行终端认证。

（16）系统支持分权管理功能；

（17）支持硬件U-key加密和密钥存储方式；

（18）为保证兼容性，应与单向隔离光闸为同一品牌。

性能要求：

（1）★应用数据吞吐量≥600Mbps（提供第三方性能检测报告）； （2）最大并发表≥256；

（3）数据影射最大字段数≥512；

（4）传输延迟<1秒；

（6）数据差错率<1Bit/1TBit；

（7）稳定性运行时间(MTBF) >50000小时。

硬件架构：

（1）6个10/100/1000BASE-TX接口，2个COM口；

（2）采用2+1架构和多模分光器隔离技术，属完全自主开发，物理部件通过光单向传输数据；

功能要求：

（1）采用身份认证技术对使用光闸的用户进行身份鉴别，以确保只有合法用户和计算机能使用光闸系统传输数据，包括高强度双重口令认证、CA证书认证等；

（2）支持专用客户端等方式的文件数据物理单向传输（外向内）；

（3）支持实时文件同步；

（4）支持文件类型过滤；

3

单向隔离（6）支持多文件并发传输；支持多级目录（128级）；

光闸

（7）支持中文文件名，长文件名（255字符）；

（8）根据权限划分每个用户的文件传输通道；

（9）数据传输高度可靠，采用缓存确认机制进行保证；

（10）提供日志审计、导出、过滤等强化功能；

（11）支持全文审计功能；

（12）通过B/S方式对光闸进行管理；系统配置信息可导出备份、导入恢复。

性能要求：

（1）★传输性能≥600Mbps（提供第三方性能检测报告）；

（2）数据库传输能力≥2000条/秒；

（3）差错率<1Bit/1TBit；

（4）底层硬件吞吐率≥单向1Gbps；

（5）文件传输延迟<1秒；

（6）稳定运行时间MBTF≥50000小时。

（1）部署于外部网络系统中，用于平台内部设备状态获取以及设备管理；采用安全加固Linux系统；

4 集控探针

（2）不与内部网络之间存在任何网络连接，规避网络旁路风3

险；

（3）标准机架式设备；

（4）10/100/1000Mbps电口*2，可扩展SFP光口*2；

（5）支持文件后缀过滤；

4 （5）稳定性运行时间(MTBF)≥50000小时；

（6）支持SYSLOG /SNMP v2、v3、Telnet、ICMP协议方式的数据和信息采集。

（7）必须与集中监控系统为统一品牌，以实现数据的收集及整理对接。

功能要求：

（1）能够提供边界接入不同层次（接入终端、平台、链路、业务、使用单位等）的信息注册和管理功能。包括对接入平台的基础信息、建设情况、运维情况、链路情况、设备情况进行详细登记；对接入业务的基础信息、扩展信息、协议信息、使用单位信息、终端设备信息进行详细登记；

（2）提供对接入终端的注册信息、设备信息、用户信息、安全状况、网络连接情况、业务应用情况的查询统计；

（3）提供整个平台总拓扑视图，在视图上能够根据链路实时动态监控各种设备当前的运行状况，能显示各个边界接入业务的实时流量，显示整个平台的重要报警信息，要求美观直观，便于汇报演示和管理员查看（提供界面截图）；

（4）能够实时看到各种业务当前的运行状态（正常、异常）和当前日流量、总流量等。并能够按需生产网络流量信息的报表，如果流量超过事先设置的阀值则报警给管理员；

（5）能够根据链路、归属单位、操作方式、接入对象来统计任意时间段内的流量、交换次数、审计次数、报警次数等重集中监管要信息；

1

控制系统

（6）能够实时监控各种设备当前运行状况（包括CPU使用、内存使用、虚拟内存使用、平均负载率、硬盘容量、网络流量等信息）；

采用SYSLOG服务搜集边界接入平台内各个服务器、前置机和网络设备（如三层交换机，防火墙，IDS、网关、光闸等）的日志信息；

（7）能够提供用户行为监控，对用户的登录状态、操作行为、访问资源进行监控并提供查询统计；

（8）能够通过被动采集（SYSLOG和SNMPv2、v3）功能，获取相关设备的日志和网管管理信息，并结合主动安全策略来判断设备是否发生故障，一旦故障则启动报警；

（9）能够通过采集数据安全系统发送的日志信息来判断业务是否停止、内外网资源是否不可访问等故障信息，一旦故障则启动报警；

（10）能够通过采集各种设备发送给监管系统的异常事件信息来判断是否出现安全事件，如病毒、木马被发现，未授权访问请求被接受等，一旦事件发生则启动报警；

（11）能够支持报警信息对外发送功能，包括短信报警和邮5 件报警等，对外报警接口可以进行报警源、报警组件、报警对象和报警规则的配置；

（12）系统提供用户行为审计，即用户信息、用户访问的资源、访问的时间等信息；

（13）系统提供业务应用审计，即业务应用系统信息、数据传输流量、传输时间、传输具体内容等；

（14）对单向导入系统、单向导出系统进行专门的审计。并且对专有设备的syslog信息的内容部分作了更进一步的扩容，实现根据对syslog内容解析获得这些专有设备业务配置信息、业务审计信息、业务报警信息和实时业务状态信息等；

（15）系统提供设备状态审计，即设备的启停时间、次数、流入流出流量、设备资源使用状况等；

（16）系统提供异常行为审计，即异常发生时间、业务信息、设备信息、异常具体内容等；

（17）为保证兼容性，应与单向导入系统、单向导出系统为同一厂商制造；

性能要求：

最大支持业务数量：≥1000；

最大监控并发用户数量：≥5000；

最大审计用户数量：≥20000；

日志审计信息可导入导出。

硬件架构：

由导入前置机和导入服务器组成，包括两台硬件设备；

标准机架式设备；

≥2个万兆以太网光接口（配置多模模块）；4个千兆电口；

内存≥8GB；

硬件开关切换时间：<0.1ms

功能要求：

符合GB/T 28181标准；

支持二次API接口函数的开发，应根据招标人视频平台的安全接入要求免费提供现场接口开发；

安全视频1

支持云台控制、录像回放等功能；

交换系统

支持非标准/标准SIP控制信令；

可实时展现当前在线浏览视频数据的用户，包括用户名，用户来源IP等信息，用户当前视频流量统计信息(提供截图证明)；

可同时支持多个厂商多个应用协议；

支持基于U-key的身份认证,实现只有通过U-key认证的用户才能调取视频图像资源(提供截图证明)；

系统支持配置参数导入方式支持新的视频厂商协议安全接入，提供专门的参数导入操作界面，而无需通过后台操作(提供截图证明)；

6 提供丰富的访问控制功能，包括：控制信令的黑白名单过滤(提供截图证明)；

视频流格式黑白名单过滤(提供截图证明)；

视频流丢帧、插帧安全控制(提供截图证明)；

基于用户身份的黑白名单过滤，可细化至用户访问源目标IP、时间段(提供截图证明)；

基于控制信令关键字的过滤，关键字过滤条件可叠加正则表达式(提供截图证明)；基于源目标IP地址的黑白名单过滤(提供截图证明)；

提供系统重新初始化功能，在系统出现严重错误时可通过重新初始化恢复系统正常使用(提供截图证明)；

视频传输通道动态开放，在用户请求图像时打开，用户请求结束时关闭，提高系统安全性；

网络无关性，可适应各种复杂网络情况，包括网络地址重叠亦不影响系统工作；

使用WEB方式进行系统管理；

只允许在内网进行管理；

提供详细的日志记录功能；

详细记录普通用户的操作行为；

详细记录管理员的操作行为；

支持SYSLOG、SNMP V2/V3；

可扩展支持WEBService管理方式，实现与其他网络管理运维系统之间对接；

性能要求：

内部系统交换带宽：12Gbps

应用层数据传输率：8Gbps

延时：<0.5ms

系统并发连接数（可测试值）：8000

最短无故障间隔时间：50000小时

图像码率支持 <10Mbps（单路）

1400路D1图像传输能力。

硬件架构：

2U标准机架式，采用2+1双主机架构和专用硬件隔离技术；

≥2个万兆以太网光接口；

≥4个千兆以太网电接口；

提供液晶显示屏（提供截图证明）

7 视频网闸

功能要求：

实现视频网络与法院专网之间安全隔离；

支持视频流媒体数据的高效率传输；

支持数据库同步，支持大字段传输，支持异构数据同步；

支持文件传输，采用KFM技术，监控文件服务器系统内核、捕获文件变化；

支持消息传输，提供API函数接口用于二次开发，包括C、JAVA1 接口类型；

支持双机热备。

性能要求：

应用层数据传输率≥12 G；

内部系统交换带宽≥8 G；

延时<0.5ms。

支持1400路D1视频传输。

硬件要求：

≥4个10/100/1000Mbps电口，可扩展至12个电光口；

内存≥8GB内存；硬盘 120G SSD*1；可扩展至最大6硬盘；

1、采用基于Linux内核的安全操作系统；

2、全面支持64位计算技术；支持多核心CPU硬件技术；

3、使用内核级IDS，确保系统关键进程安全，阻止非授权访问；

4、操作系统内核以及关键进程部分进行硬件固化。

功能要求：

8

数据整合1、系统支持对数据的抽取、清洗、整合、装载功能；

4

服务系统

2、支持Sybase、Oracle、SQLserver、Mysql等主流数据库；

3、支持access、Excel、XML、CSV等多种常见文件格式；

4、提供可视化拖拽式任务流程配置；

5、提供标准清洗转换规则，并支持二次开发快速实现新规则并以规则包方式导入至系统；

6、系统支持一对一、一对多和多对一的数据整合功能；

7、支持跨网络交换过程安全交换，防止端口开放和链接建立，符合安全要求；

8、支持服务资源认证，支持移动应用系统访问，支持接入服务资源的管理。

硬件参数：

网络接口：4个10/100/1000以太网络接口，带硬件加速

稳定性：MTBF(平均无故障时间间隔)>50000小时

最大新建连接数：≥2500次/秒

最大并发连接数：≥4000条

每秒事务数目（TPS）：≥6500次

可信安全最大吞吐量：≥650Mbps

网关

最大接入用户数：≥25000

功能要求:

1、可信网关支持多条证书链

2、对外部服务器向平台应用服务器提交数据进行认证及授权审计及链路安全保障

3、身份认证：对用户进行身份认证；

9

2 10 服务器

4、保证外部接入用户的唯一性和真实性；

5、设备认证：对外部接入终端进行认证，保证终端接入的唯一性和真实性；

6、授权访问：对外部接入用户实现基于IP、基于资源的授权访问和控制，对于异常访问进行阻止；

7、集中监控：将接入信息统一报至集中监控与审计系统。

8、能够通过数字证书标识用户身份，可信边界安全网关对用户持有的数字身份进行完整认证，包括验证数字证书的信任域、有效期；

9、能够支持标准LDAP协议，能定时下载证书撤销列表到网关内，用户发起接入请求时，在网关内实现证书状态验证；

10、能够通过资源定义对用户进行访问控制。资源指的是内网对外网开放的IP地址或允许内网访问外网的IP地址；

11、能够支持黑、白名单，黑名单是不允许通过认证网关的一组证书地域属性列表。白名单与黑名单对应，只有白名单中允许的用户地域属性才可以找到相应的服务对应的网络资源；

12、可信边界安全网关支持穿透模式和代理模式；

13、能够支持多种结构业务系统，支持B/S、C/S结构业务系统；

14、不影响原有业务，安全保护只对用户身份和数据传输做处理，不修改业务功能；

15、能够提供标准接口支持应用系统无缝接入；

16、能够支持业务系统零改造，通过简单配置即可实现业务系统安全加固；

17、通过黑名单和白名单策略，对用户能否访问业务系统做入门级控制；

18、基于ACL技术，对系统资源进行内容访问控制；

19、与权限管理系统联合，完成用户访问业务系统的细粒度控制；控制管理员IP地址，保证认证网关管理安全；

20、能够记录本地日志信息，本地审计日志提供查询功能和备份功能，管理员可以对审计信息进行审计管理；

21、能够支持标准日志输出，可将日志信息发送到远程审计系统，进行集中、统一审计管理，为事后鉴定提供有效数据。可信边界安全网关可以基于连接的状态进行数据包过滤，极大地提高了系统的性能。

国有知名品牌，标准4U机架式高性能服务器；

处理器：4颗XeonE7-4850v3(不低于2.2GHz/14c)

内存：配置256GB DDR4内存，支持内存SDDC DDDC镜像热备高级功能，≥32个板载内存插槽；

2

★硬盘：3块600GB 10K 热插拔SAS硬盘，最大支持2.5寸SSD/SAS/SATA热插拔硬盘≥24个；

RAID:标配独立8通道2GB缓存高性能RAID卡，支持RAID0/1/5/6/10/50/60等RAID级别； 网络：集成高性能4千兆网口，支持IOAT2高级网络加速功能和VMDq虚拟化加速功能，支持网络唤醒、网络冗余、负载均衡等高级网络特性；

远程管理：主板集成BMC管理芯片，提供远程管理、远程诊断功能以及KVM OVER IP功能，支持IPMI2.0；

I/O扩展：2块单端口8Gb FC HBA卡和1块双口万兆网卡（含2个SFP+模块）；支持≥12个PCI-E3.0扩展槽；支持全长全高板卡；

电源及外设：配置2+1冗余电源，断电故障查询,

机架安装导轨，配置DVD光驱；

管理软件：多国语言版专业服务器管理软件，支持Windows/Linux系统跨平台管理；跨网段的集中管理，可生成资产报表、管理员日志、进程日志等，支持远程顺序启动服务器，可以远程监控运行状态、多重告警等功能。

数据安全保护软件：服务器原厂配置中文正版数据安全保护软件，保护服务器数据安全，提供软件安装介质和软件著作权证书复印件；

服务：质保三年，质保期内原厂工程师提供7x24小时带配件免费上门服务，质保期内免费提供硬盘损坏更换不回收服务。

（二）应急保障体系建设要求

1、服务内容

提供应急预案设计、应急演练和应急响应三部分工作。紧密贴合招标人业务系统情况，有针对性的设计信息安全应急预案及专项预案。协助招标人定期开展信息安全应急演练作，并在演练总结后优化应急预案。为招标人提供信息安全应急响应服务。

2、服务要求

投标人应在充分调研招标人业务系统后设计信息安全应急预案，包括综合应急预案和专项应急预案，专项应急预案种类不少于10个。投标人应协助招标人定期开展信息安全专项应急演练工作。当发生信息安全事件时，专业工程师须第一时间响应并在1小时内到达现场启动应急处置工作，给出应对加固、整改方案，并对业务部门的加固整改进行指导，协助相关部门处理安全问题；对已经发生的并处理完毕的安全事件撰写分析处理报告，就风险或事件的描述，危害内容，发生的原因、排查过程、处置方法进行详细说明。

为保证应急演练工作的先进性和可指导性，要求应急演练过程基于安全信息事件与管理平台结合威胁情报方式开展。应急演练工作开展期间投标人应派驻不少于3人的安全分析团队现场进行应急演练和安全分析。投标人须面向招标人信息系统开展威胁识别和分析工作，包括但不限于全网IP流量分析、URL、DNS、恶意爬虫分析、无线系统威胁、敏感信息泄露、社工威胁分析，威胁杀伤链检测等。专项应急演练工作每次开展时间不少于5个工作日。输出威胁战术情报和战略情报，战术威胁情报须按照STIX/TAXII格式输出，威胁情报能够指导信息安全策略回注和安全加固现有网络安全设备。

3、服务期限

服务期自签字合同起1年，服务期内应开展不少于4次信息安全应急演练，需提供全年不限次数的信息安全应急响应服务。

4、成果交付

《山东省高级人民法院综合应急预案》

《山东省高级人民法院专项应急预案》（不少于10个类别）

《山东省高级人民法院应急演练综合计划书》

《山东省高级人民法院应急演练风险控制方案》

《山东省高级人民法院应急演练安全信息事件与管理报告》

《山东省高级人民法院专项应急演练方案》（不少于10个类别）

《山东省高级人民法院专项应急演练报告》（不少于10个类别）

《山东省高级人民法院战术高级威胁情报》

《山东省高级人民法院战略高级威胁情报》

三、系统集成及售后服务要求

1、本项目为“交钥匙”工程，投标人报价除包含设备清单所列产品外，还应包含满足招标人边界平台上相关系统正常使用所需所有系统及设备，以及系统集成所需要的工具、辅材、光纤线缆、相关系统软件、操作系统软件、安装调试、技术支持和售后服务等所有相关费用，如在项目实施过程中发现因设备或系统遗漏而无法满足招标人在招标文件中提出的技术需求和要求，投标人应自行承担所遗漏设备费用。

2、投标人应按照招标人要求免费提供相关设备及系统的配置服务及相关现场接口等开发工作，以满足招标人在该边界平台上的各类应用的使用需求。

3、供货期：合同签订后30个工作日内，安装调试周期：货到25个工作日。

4、投标人应给出详细的施工方案，按照相关标准及招标人要求对本次采购的软硬件设备进行规划、集成、安装、部署，提供全部相关集成服务工作。落实每个阶段实施工作的详细计划及人员安排，进度计划，提供项目软、硬设备的安装、联调测试方案。

5、投标人完成项目实施后应根据招标人要求聘请具有相关资质和授权的安全测评机构对边界交换平台进行安全检测评估，相关测评费用由投标人承担。投标人应保证边界交换平台通过相关安全检测评估，否则由投标人自行承担整改调整相关费用直至边界平台通过安全检测评估。

6、投标人应提供设备及系统原厂免费保修及服务三年，原厂工程师 7x24小时带配件免费上门服务。中标人应提供三年免费保修期内1人现场驻场服务。免费保修期内，由中标人负责日常设备维护管理，对用户的设备免费进行现场维修更换，更换的设备或部件要求使用设备原厂商的全新同型设备或备件，无法维修的设备需免费更换为同档次或更高档次的其他型号产品。质保期内如发生系统升级等情况，投标人应免费负责现场升级和向招标人提供必要的技术资料。

7、投标人应提供三年免费运维服务，服务期内如发生故障需根据招标人要求在指定时间内到达现场。导致业务工作不能正常进行的严重设备故障，必须在8小时内解决故障问题。因中标人提供的产品存在缺陷或在保修期内服务响应不及时给招标人造成的损失，应由中标人承担赔偿责任。

8、保密要求。中标人应提供保密承诺，自签订合同之日起至项目验收，采取必要的控制措施防止因项目实施造成的任何信息泄漏。中标人应提供风险规避声明，自签订合同之日起至服务期结束，采取必要的控制措施防止因项目实施造成的系统运行故障事件发生。对于招标人披露和提供的所有信息应作为商业秘密对待并予以保护，未经招标人授权不得将任何信息泄漏给第三方，否则招标人有权追究中标人由此产生的一切责任。

9、培训要求：提供相关设备及系统现场使用操作培训。

评标方法和评分细则

一、评标方法

本次评标采用综合评分法，将依据投标人投标文件对其资信、业绩、投标产品质量、服务、技术方案、价格等各项因素进行评价，综合评选出最佳投标方案。每一投标人的最终得分为所有评委评分的算术平均值。最高得分的投标人为中标人。得分相同的，报价较低的一方为中标人。得分且投标报价相同的，技术指标较优的一方为中标人。

评 分 因 素

商务部分

技术部分

服务部分

价格部分

合计

分值分配

5

55

10

30

100

评分因素 评分内容

投标人自开标日起近 36 个月签订的同类项目案例，满分

商务部分 每提供 1 个 200 万元及以上合同得 2 分、 100 万元及以上得1 分，最高得 5 分。

投标产品技术指标、功能及配置对招标要求的响应程度，由评委酌情打分，好：得16-20分；较好：得6-15分；一般：得1-5分。

对投标产品的技术先进性、安全性、稳定性、易用、易

5

20

10

维护等性能进行综合评估，由评委酌情打分，好：得技术部分

8-10分；较好：得4-7分；一般：得1-3分。

对投标人提供的技术方案和项目实施方案进行评价，包括技术方案中的项目需求分析、技术实施重点及难点分析；实施方案中的技术力量、实施进度、质量保障机制、验收及测试方案等。由评委酌情打分，好：得8-10分；较好：得4-7分；一般：得1-3分

投标人对技术方案进行现场演示，根据方案讲述的关10

10 键点把握程度、功能描述清晰度、项目实际符合度、逻辑性、内容完整性等方面，由评委酌情打分，好：得8-10分；较好：得4-7分；一般：得1-3分

项目团队人员具备网络工程师、 CISAW、 CISP 、CISSP证书，同时具备得 5分。部分具备得2分，人员不重复计分,提供证书原件备查。

对投标人提供的服务保障体系、技术服务力量、服务服务部分 内容、服务响应时间、重要信息系统安全保护人员培训等情况进行综合打分，评分区间： 1-10 分。

以满足招标文件要求且投标价格最低的投标报价为评标基准价，其价格分为满分 30分，其他投标人的价格部分

价格分按照下列公式计算：投标报价得分=（评标基准价/投标报价）×30%×100

5

10

30

合计 100分