PDF格式
Excel格式
Word格式
原采购文件主要设备参数指标要求
1、服务器区防火墙:1台
| 指标项 | 指标要求 (▲为关键指标项,不允许负偏离) |
| ▲系统架构 | 系统采用多核AMP+架构架构,硬件设计采用高性能 * 体 (略) 理引擎,要求提供计算机软件著作权登记证书,证书上要求有“高性能 * 体 (略) 理引擎”字样 |
| ▲硬件规格 | 标准机架式2U机箱 |
| 要求配置≥5个 * / *** Base-T接口,4个SFP插槽,支持扩展双电源,本次配置为单电源 | |
| ▲处理性能 | (略) 理能力≥ * G |
| 并发连接数≥ * 万 | |
| 每秒新建连接≥ * 万/秒 | |
| 网络适应能力 | 产品支持路由、透明、交换以及混合模式接入,满足复杂应用环境的接入需求 |
| 产品支持多个纯透明子桥 | |
| 支持桥接口 | |
| 支持 * .1d标准生成树协议,支持VLAN Trunk功能,支持VLAN接口,支持VLAN子接口 | |
| 支持子接口 | |
| ▲ * 层接口ip地址支持float和static类型(要求提供功能截图) | |
| 支持DHCP Server和DHCP Server Client | |
| 接口支持配置 * 个IP地址 | |
| 支持聚合接口,聚合接口支持路由和交换两种工作模式 | |
| 聚合模式(Channel模式)支持 * 种:轮询、热备、 * .3ad | |
| ▲ * .3ad方式支持3种负载算法:根据源目的mac组合、根据mac和ip组合、根据ip和TCP/UDP端口组合(要求提供功能截图) | |
| 支持安全域的配置,包括 * 层安全域和 * 层安全域 | |
| 支持隧道接口 | |
| ▲支持使用命令对策略路由默 (略) 调整(要求提供功能截图) | |
| ▲要求系统具 (略) (略) 安 (略) 理的方法及装置技术,为避免虚假应标,必须提供自主知识产权证明复印件 | |
| ▲支持 (略) 智能选路(要求提供功能截图) | |
| 支持基于权重的路由负载均衡,算法支持:轮循、源地址HASH、源目的地址HASH | |
| IPv6支持 | 支持IPv6地址配置 |
| 支持IPv6邻居的动态管理和静态配置 | |
| 支持NAT * 和DNS * (要求提供功能截图) | |
| 支持IPv6静态路由 | |
| ▲支持IPv6安全策略,要求提供高性能IPV6防火墙系统计算机软件著作权登记证书复印件 | |
| 访问控制能力 | ▲支持基于源目的IP地址、源目的安全域、VLAN ID、MAC地址、时间、用户、地理区域、服务协议及应用等 (略) 访问控制 |
| 支持基于用户及应用的安全策略 | |
| 支持基于地理区域的安全策略 | |
| 支持可按时间生效的IP地址黑名单及MAC地址黑名单 | |
| 支持基于安全域的IP-MAC绑定 | |
| 链路冗余能力 | 支持多路由负载均衡,最大可支持5条链路负载,支持自定义负载权重 |
| (略) 关配置,支持4种均衡方式:最优路径、流量、会话、主机 | |
| ▲最优路径的负载均衡方式支持3种链路探测类型:ICMP、TCP、HTTP,探测失 (略) 链路负载重置、备份链路切换操作(要求提供功能截图,) | |
| 最优路径支持链路带宽、繁忙占用比例、探测地址和最优链路出接口的配置 | |
| 支持ISP路由负载均衡,最大可支持5条链路负载,支持自定义负载权重 | |
| 支持ISP路由链路备份,支持自定义优先级 | |
| 虚拟防火墙功能 | 可支持 * 个虚拟系统 |
| 支持虚系统接口 | |
| 支持系统资源(CPU、内存和存储空间)的分配 | |
| 支持基础防火墙功能(路由、安全策略、NAT)的独立配置 | |
| 支持攻击防护、黑名单和入侵防御功能的独立配置 | |
| 支持虚系统配置、日志及监控统计的独立管理 | |
| 虚拟安全防护 | 支持虚拟 * 层安全域、虚拟 * 层安全域,可实现业务的分组与隔离 |
| 支持构建虚系统来实现业务的分组与隔离、管理的分组与隔离,以及各个虚系统防护策略的可定制化 | |
| SNMP功能 | 可支持SNMP v1、v2c、v3 |
| 可支持v1、v2c、v3下的Trap功能 | |
| 支持通过SN (略) 日志审计、配置管理以及状态监控 | |
| 高可用性 | ▲系统支持双机热备功能,要求支持路由和透明模式下的“主-备”、“主-主”模式,要求系统必须具备自主研发的多防火墙负载均衡技术,须提供相应证明文件 |
| 支持配置、动态信息的自动同步 | |
| 支持抢占模式和非抢占模式 | |
| 支持HA中基于权重的接口监控 | |
| 支持HA中基于权重的链路探测 | |
| 抗攻击能力 | 支持基于安全域的攻击防护配置 |
| 可抵御SYN Flood、ICMP Flood、UDP Flood、IP Flood、IP地址扫描攻击、端口扫描、ping of death、Teardrop、IP选项、TCP异常、Smurf、Fraggle、Land、Winnuke等多种攻击 | |
| 支持SYN Cookie设置 | |
| 防病毒 | 提供全面、强劲的病毒检测及防护功能,支持通过对HTTP和FTP方式上传、下载文件、页面,或SMTP、POP3、IMAP协议发送的电子邮件及 (略) 病毒扫描,并可以根据 (略) (略) 理 |
| 支持的压缩文件解压层数,默认为3。最大支持6层 | |
| ▲支持病毒云查杀(要求提供功能截图) | |
| ▲基于安全云的威胁防护与系统联动 | 支持与终端 (略) 联动, (略) 署的终端防护系统搜集分析用户终端产生流量的N元组信息、终端进程信息及应用的MD5信息等,统 * 传递至防火墙后再 (略) ,之后 (略) (略) 检测识别,记录相关信息;另 * 方面扫描检测存在的已知或未知的病毒、0day漏洞、未知恶意代码和APT攻击等信息。 (略) 有信息传递至防火墙,动态生成对应的应用管控策略或木马查杀策略 |
| 木马专项防护 | ▲支持与终端 (略) 联动及木马云查杀功能生成日志或者动态策略。生成的木马专项查杀动态策略可以在数据被监测携带木马时,根据动态策略配置阻断数据或者记录日志(要求提供功能截图) |
| 防弱口令扫描 | 支持针对FTP、SMTP、POP3、IMAP协议防弱口令扫描功能,可以帮助用户记 (略) 络中猜测FTP用户名密码,邮件用 (略) 为。并支持生成动态策略,下发给防火墙,再次受到相同攻击时,用户可以选择禁止还是允许 (略) 为 |
| 动态策略 | ▲防火墙动态策略功能,可以通过与入侵防护策略、防弱口令扫描、 * 天眼系统联动,生成动态策略信息,根据用户在基本配置中配置的动态策略动作,命中动态策略的数据将会被阻断或者记录日志(要求提供功能截图) |
| 系统管理能力 | 支持管理员的 * 权分立,支持多种管理员角色权限:超级、审计、安全、配置、账户、虚系统配置、虚系统审计管理权限 |
| ▲支持自定义管理权限,包括模块:系统、网路、路由、对象、安全、VPN、PKI、用户认证、行为管理、应用安全、日志、监控、账户、虚系统(要求提供功能截图) | |
| ▲支持特征库在线升级,支持指定升级服务器和代理服务器(要求提供功能截图) | |
| 支持历史配置保存,可记录 * 个不同时间点的历史配置文件(要求提供功能截图) | |
| 日志审计能力 | 安全日志、NAT日志和攻击日志可按照策略中的各个元素(如IP、服务、用户、攻击名等)进行高级过滤查看 、 |
| 可提供自有品牌管理软 (略) 收集、分析,并能提供详尽日志统计报表 | |
| 支持Trap告警和邮件告警 | |
| 支持CPU、磁盘空间、内存 * 种告警阈值设定 | |
| 系统监控能力 | 支持 (略) 监控,包括:a.设备面板监控;b.接口信息监控;c.系统信息监控;d.资源状态监控;d.并发连接数监控;e.入侵防御监控;f.基于流 (略) ;g.基于用 (略) |
| 支持对在线认证用户的监控,可显示用户的客户端地址、认证服务器、引用个数及在线时长等信息 | |
| 安全诊断能力 | 支持在CLI下的在线抓包 |
| 支持在CLI下的调试工具 | |
| 产品资质要求复印件加 | ▲计算机信息系统安全专用产品销售许可证 |
| ▲国家信息安全测评信息技术产品安全测评证书(EAL3+级) | |
| 中国国家信息安全产品认证证书( * 级) | |
| 软件产品登记证书 | |
| 厂商资质要求复印件 | 设备制造商要求国 (略) 《IPSec VPN技术规范》以及《SSL VPN技术规范》编制单位 |
| 设备制造商要求具备ISO * 0信息技术服务管理体系认证证书 | |
| 设备制造商要求具备中 (略) (略) 络安全服务能力评定证书(安全设计与集成 * 级) | |
| ▲其他要求 | (略) 质保,中 (略) 商出具的售后服务承诺 (略) 商公章 |
2、入侵防御IPS:1台
| 指标项 | 技术参数(带★的指标必须满足,不允许负偏离) |
| ▲设备基本要求
| (略) 理器硬件构架,采用 (略) 安全操作系统软件架构,具备多 (略) 安全操作系统著作权证书(投标时提供相关证书,必须要有“多 (略) ”字样) |
| 至少具备5个 * / *** M (略) 口,1个扩展槽 | |
| 至少支持2路IPS或5路IDS | |
| 支持内置Bypass功能 | |
| 吞吐量≥ * Mbps | |
| 工作模式 | 支持IPS模式、IPS学习模式、IDS模式、IDS监视模式、Forward模式、Mirror模式等多种模式,支持直路 (略) 署 |
| 具有完整且互不影响的虚拟IPS能力, * 台设备虚拟多个设备,每个虚拟设备不同内存空间,不同检测策略,不同时间控制, (略) 络环境。 | |
| 安全策略 | 内置 * 种以上的签名特征, (略) 络(Botnet)特征库, (略) 络(Botnet) 特征规则数大于 * 条,提供产品界面截图 |
| 可自定义入侵攻击和应用软件的特征,可依据:IP、TCP、UDP、IGMP、ICMP等L3、L4各项参数制订特征。制订选项完全符合TCP/IP通讯协议标准,也可全面制订TCP/IP应用层的特征比对内容,不受通讯协议之限制。 | |
| 系统内置多种安全策略模板,default IDS 模板、default IPS 模板、web系统防护模板、探测扫描攻击防护模板、 (略) 络防护模板、P2P应用模板、 (略) 站访问控制模板等至少7种有针对性的策略模板,并提供产品界面截图 | |
| 可自定义管理政策 (略) 时间 | |
| 基于安全区、IP地址(组、段)、规则(组、集)、时间、动作等对象,制定不同的规则和响应方式,提供产品功能截图 | |
| IPv6支持 | ▲支持IPv4 (略) (略) ,并可同时检测IPv4及 (略) 络数据包。提供产品功能截图 |
| ▲安全事件监控 | 对事件的监控必须支持统计分析监控和实时监控, (略) (略) 为检测的方法(投标 (略) 、 (略) 或国 (略) 出具的相关证明文件复印件) |
| 统计监控器要能在 * 个配置页面 (略) 络流量监控、告警等级统计、威胁分布图、攻击源IP统计、目的IP地址统计,此监控必须是通过实时采样及统计分析的实时数据,而且报表统计或历史数据查询,并提供产品界面截图 | |
| 基本检测功能 | 采用全面深入的协议分析技术,结合模式匹配、协议识别、协议异常检测、关联分析等多种技术,准确识别各种攻击,能够检测 (略) 络应用层协议; |
| 协议分析:支持对VLAN、MPLS、ARP、TCP、UDP、RPC、WCCP、GRE、 QinQ、IPV6、SMTP等各种协议的分析 | |
|
阻断蠕虫传播 防御操作系统漏洞攻击 | 在不影响合法流量正常通信的前提下,可以阻止拦截蠕虫、网络病毒、间谍软件、木马、IM即时通讯、网络在线游戏、P2P下载、P2P在线视频 |
| ▲系统须具备双向检测能力﹐并可自定义检测方向,以 (略) 网络的入侵攻 (略) 网络的 (略) 络应用,提供产品功能截图, 产 (略) (略) 为检测系统及检测方法,提供第 * 方权威机构的相关证明文件 | |
| 系统须可支持在IEEE * .1Q VLA (略) 检测 | |
| IPS能发现蠕虫入侵,并能立即丢弃尝试入侵的数据包,让蠕虫无法顺利扩散,能对Zotob worm、 MS SQL Slammer Wor (略) 检测和控制; | |
| 可针对Windows、Unix、Linux等操作系 (略) 防御,弱点类型包含了Stack and Heap Buffer overflow、Format string error、Memory access error、Memory corruption、 Access control and Design weakness等 | |
| Web系统攻击防御 | 可针对IIS、Apache等不同的Web服务器 (略) 防御,并可追踪管理 Web服务器对数 (略) 为, (略) SQL注入请求 |
| 防御木马 | 检测基于ActiveX、XML、VML、MDAC等漏洞,可阻止访 (略) 站时被诱使植入木马的攻击;检测利用Dropper技术隐藏木马的Microsoft Office文件,可阻止下载并启动这些文档;具有丰富的漏洞特征库可以实现对木马的精准拦截 |
| 间谍软件 | 可通过监 (略) 程序、ActiveX、Java applet等可以的活动,实现阻止间谍软件通过广告、浏览器漏洞、自定义ActiveX插件等渠道实现安装 |
| ▲攻击防护 | 可依据Bot (略) 络联机黑名单(RBL)以及特征码,侦测 (略) 络联机。 (略) 络RBL功能截图 |
| 要求双向阻断TCP/UDP/IGMP/ICMP/IP Flooding、UDP/ICMP Smurfing等各种类型的DoS/DDoS的攻击,要求类型包括XDoS、SUPERDDoS、FATBOY 等 * 种以上。提供产品功能截图 | |
| 虚拟通道管理 | ▲支持对VNN SoftEther、 Hamachi、 TinyVPN、 PacketiX 、 HTTP-Tun (略) 的虚拟通道实现阻断管理,提供产品功能截图 |
| 异常流量监控及带宽管理 | ▲提供流量监控功能,可以根据协议、端口、源/目的IP地址、网段、时间及带宽等因素,实现基于内容、面向对象的流量保护策略,支持的常用软件包括Thunder、eMule、 WinMX、QQLive(China)、Skype、eDonley、BitTorrent、Mldornkey等 * 余种;针对P2P引用的带宽限流,可精准到1Kbps。提供产品功能截图 |
| 响应方式 | 支持丢弃数据包、中断连机、事件监视/记录 |
| 支持与防火墙联动 | |
| 限制连接传输宽带、限制传输 (略) 理方式 | |
| 管理/报表 多级管理 和集中管理 | 系统须具备实时警报功能,可透过管理Console、E-Mail Alert等方式通知管理者,并可显示实时攻击事件信息﹐及透过SNMP警示设备本身状况。 可生成多种格式的统计报表。并支持定时自动发送报表; |
| 系统可支 (略) 定义或修改事件响应方式;支持web (略) 下的管理,web管理界面为全中文界面。 | |
| ▲支持sys (略) 理功能,具备高性能的sys (略) 理和存储方法, (略) 理日志信息的数据(投标 (略) 、 (略) 或国 (略) 出具的相关证明文件复印件) | |
| 支持集中控制、集中管理功能,可实现集中式安全监控管理和配置管理。 | |
| 可靠性要求 | 支持硬件Bypass,保证设备在断电或宕机的情况下, (略) 络中断 |
| 支持软件bypass,保证设备在下发策略、编译应用策略时, (略) 络以及探测器与管理器之间的正常通讯。 | |
| 支持双机热备, (略) 络物理接口,可实现在设备宕机、端口坏等故障下的主机和从机的及时切换,切换时间小于1秒钟 | |
| 设备的升级 | 厂商提供对规则库的升级更新,频率不低于每周 * 次; |
| 支持设备在线升级。 | |
| ▲产品资质要求(投标时提供相关资质复印件) | (略) 销售许可证( * 级) |
| 信息技术产品安全测评证书EAL3级 | |
| (略) 涉密信息系统产品检测证书 | |
| ▲其他要求 | (略) 质保,3年特征库升级,中 (略) 商出具的售后服务承诺 (略) 商公章 |
3、日志审计:1台
| 指标项 | 技术参数(带▲的指标必须满足,不允许负偏离) |
|
| ▲硬件和性能技术指标 | (略) 理器硬件构架,采用专用的多 (略) 安全操作系统(投标时提供相关证书,必须要有“多 (略) ”字样) |
|
| 事件采集性能:每秒采集 * 条事件 |
| |
| 事件分析性能:每秒实时关联分析 * 条事件 |
| |
| 端口配置≥6个 * / *** M Base-T电口。 |
| |
| 存储空间≥1TB |
| |
| 本次采购 * 个审计节点许可 |
| |
| 用户使用模式 | 界面 * %都是B/S模式,无需安装客户端,使用IE浏览 (略) ,浏览器端无需安装 (略) 环境。 |
|
| 管理范围 | 能够对企业和组织的IT资源中构成业务信息 (略) 络设备、安全设备、安全系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警等 (略) 全面的审计。 |
|
| ▲日志审计对象 | (略) 络设备(路由器,交换机)、安全设备(包括防火墙,VPN,IDS,IPS, (略) 关)、安全系统(Symantec、瑞星、江民、微软ISA、Windows防火墙)、主机操作系统(包括Windows, Solaris, Linux, AIX, HP-UX)、数据库(Sql Server)以及各种应用系统(邮件,Web,FTP,Telnet)的日志、事件、告警等 (略) 全面的审计。具有高性能的Sys (略) 理和存储方法,提供支持此技术的相关知识产权证明或检测报告复印件投标 (略) 、国 (略) 或 (略) 出具的相关证明文件复印件,如专利证书、检测报告等 |
|
| 日志采集方式 | 通过 SNMP、Syslog、数据库、文件、NetFlow、OPSEC、软件日志采集器、硬件探针等多种方式完成数据收集功能。 |
|
| ▲智能监控频道 | 智能监控频道为用户提供了 * 个从总体上把握企业和组织整体安全情况的界面。通过智能监控频道,用户可以快速导航到系统的各个功能界面,可以看到当前企业和组织的整体安全等级;监控频道显示的内容用户可以任意定制,监 (略) 用户也可以定制;用户可以定义多个监控频道,并保存,每个用户登录后可以直接导航他定义的监控频道界面。(要求提供配置界面截图) | |
| 资产管理 | 按照设备资产重要程度和管理域的方式组织设备资产,提供便捷的添加、修改、删除、查询与统计功能,便于安全管理和系统管理人员能 (略) 需设备资产的信息, (略) 关键度赋值。 |
|
| (略) 理 | 日 (略) 字段和安全等 (略) 理,并保留原始日志,方便用户对关键日志快速定位 |
|
| 日志查询 | 日志采用统 * 的日志查询界面,简单实用,快捷方便;用户可以自定 (略) 景,并以树形结构组织。 | |
| 日志实时分 | 监控管理人员可以通过日志分析对来自 (略) (略) 实时查询、分析和统计,从而快速识别安全事故。所有的日志分 (略) 景的方式列举出来,管理人员可以方便的 (略) 景之间快速切换,提高分析工作的效率。管理员可以自定义 (略) 景。对于分析结果可以通过柱图、饼图、曲线图等形式形象地展示出来,并自动实时刷新。 |
|
| 分析和统计 | 日志实时分析在内存中完成,不需借助数据库和文件系统 |
|
| ▲事件可视化展现 | 除了能够将事件以柱图、饼图等图形统计事件信息外,还能够通过世界地图定位IP地址,通过事件 (略) 络安全态势, (略) 为分析图展示 * 段时间内 (略) 为,并支持雷达图反映当前事件流量。(要求提供配置界面截图) |
|
| 日志在线挖掘 | 系统具备事件挖掘能力:管理员通过事件调查工具可以对某条感兴趣的日志中的源IP地址、目的IP地址、或者 (略) 相关性日志检索。 |
|
| 事件追溯 | 对于关联事件, (略) 追溯,查看导致该 (略) 有原始事件 |
|
| ▲事件定位 | 能够在世界地图上实时定位事件源/目的IP地址的地理位置(要求提供配置界面截图) |
|
| 规则管理 | 提供可视化规则编辑器, (略) 增删改查。在事件分析引擎的驱动下,根据事件关联规则,针对来自企业和组织的 (略) 关联分析,抽取出对于安全管理人员真正有用的安全信息,从而协助安全管理人员快速识别安全事故。可对不同类型设备的 (略) 关联分析。 |
|
| 日志采集器管理 | (略) 有注册了的通用日志采集器的 (略) 实时监控,包括采集器的启动、停止,以及配置采集器发送什么类型的 (略) 。 |
|
| 告警和响应管理 | 通过关联分析,对于发现的严重 (略) 自动告警。告警方式包括邮件、短信、SNMP Trap告警的方式通知管理人员。响应方式包括: (略) 预定义脚本,自动将事件属性作为参数传递 (略) 程序。此外,还支持设备联动,即可以在告警后对防火墙/NIDS/网络设备下发联动策略,及时阻断威胁。 |
|
| 报表管理 | 提供丰富的报表管理功能;根据时间、数据类型等生成报表,提供打印、导出以及邮件送达等服务;直观地为管理员提供决策和分析的数据基础,帮助 (略) 络及业务系统的状况。报表可以保存为html,excel,文本,pdf等多种格式。提供自定义报表,用户可根据 (略) 定制。报表可根据 (略) 。 |
|
| ▲产品资质要求 | (略) 《计算机信息系统专用产品销售许可证》增强型(提供相关复印件) |
|
| 中国信 (略) 《中国国家信息安全产品认证证书》(3C)增强级(提供相关复印件) |
| |
| ▲其他要求 | (略) 质保,中 (略) 商出具的售后服务承诺 (略) 商公章 |
|
4、运维审计(堡垒机):1台
| 指标项 | 技术参数(带▲的指标必须满足,不允许负偏离) | |
| 系统架构 | 产品外观 | 标准1U机架式 |
| 产品架构 | 软硬件 * 体化产品 | |
| 部署方式 | (略) 署, (略) 络结构 | |
| 访问方式 | 采用B/S结构,采用HTTPS方式访问,无需安装任何代理 | |
| 网络接口 | 4个 * / *** (略) 网口(1个管理口,1个采集口,1个热备口,1个备口)。1个Console口,支持Console口管理 | |
| 数据安全性 | 专用千兆多核硬件平台和安全操作系统,MTBF不少于6万小时,支持双机热备,支持集群 | |
| 数据存储 | 系统标配 * G硬盘 | |
| ▲性能要求 | 并发会话数 | 图形并发会话数>= * |
| 字符型并发会话数>= * | ||
| 本次配置 * 个审计节点许可 | ||
|
功能要求 | 基础功能 | 提供系统自身状态的监控功能,包括:cpu工作情况,内存使用情况,磁盘使用情况,网卡使用情况,系统自身数据库工作情况,系统自身WEB服务工作情况,系统自身其他关键组件工作情况等。 |
| 可以使用WEB方 (略) 重启和关机。 | ||
| 可以对系 (略) 设置,可以同步ntp服务器上的时间(需打 * 版本升级包)。 | ||
| 支持系统自身程序通过WEB方式升级。 | ||
| 支持日志的备份、导出和恢复。 | ||
| 支持双机热备、冷备、主主模式。 | ||
| 支持协议 | ▲使用远程终端服务:例如telnet、ssh (略) 接口(CLI)。(投标时需要提供功能截图) | |
| 使用文件传输协议:例如FTP、SFTP等。 | ||
| 使用远程窗口和桌面:例如Windows的远程桌面(RDP),和Unix的Xwindow。 | ||
| 使用各种数据库客户端:例如各种数据库的client程序、ODBC、JDBC,以及多种其它数据库工具。 | ||
| 服务器访问方式 | ▲Web访问方式:通过审计系统的Web管理页面直接访问服务器(不需要安装代理,无需安装JDK等)。要求系统具备 * 种基于用户的安全访问控制的方法技术,为避免虚假应标,投标时提供自主知识产权证明复印件 | |
| 支持RDP、VNC、X * 、SSH、TELNET、FTP等访问协议。 | ||
| ▲客户端方式支持RDP、VNC、X * 、SSH、TELENT、FTP、SFTP、Oracle、MySQL、sybase等。(投标时需要提供功能截图) | ||
| 支持客户端(SecureCRT、putty)clone session功能,能够直接clone到目标服务器的访问会话。 | ||
| 登录菜单访问:客户端访问审计系统即可显示用户能访问的资源清单菜单,用户通过字符菜单活图形菜单选择方式直接访问服务器。 | ||
| 菜单访问方式支持RDP、VNC、X * 、SSH、TELNET、FTP等协议。 | ||
| 支持Winodws AD域功能。 | ||
| (略) 为记录 | ▲对SSH、Telnet、x * 、FTP/SFTP、数 (略) 审计。 (略) 络集中管理平 (略) (略) 理方法,投标时提供支持此技术的国家知识产权证明复印件。 | |
| 记录发生时间、源IP、目标IP、源端口、目标端口、操作指令、运维审计系统用户、目标服务器账号、访问结果等消息。 | ||
| 对RDP、VNC、X * 等图形终端操作的 (略) 记录及审计,消息记录访问开始时间、源IP、目标IP、源端口、目标端口、运维审计系统用户、目标服务器账号等信息。 | ||
| 能够记录RDP协议中的活动窗口名称、删除文件等动作,并能记录RDP会话中的键盘输入信息。 | ||
| 会话过程回放 | 支持倍速/低速播放、拖拽、暂停、停止、重新播放等播放控制操作。 | |
| 身份认证及访问授权 | 支持多种认证方式:密码、动态口令、USBKEY、指纹识别。 | |
| 系统支持短信授权操作 | ||
| 支持SSO单点登录功能,使用人员不需要知道服务器账号及密码, (略) * 次登录认证。 | ||
| 支持限制运维用户访问源IP功能。 | ||
| 授权分为运维审计管理功能授权和资源访问授权。内部管理功能授权可以限制到某个树形节点的范围内。 | ||
| 支持授权的流程管理。支持流程申请人、审批人、执行人的委派。授权需要申请人定义申请单,发起事件申请;事件可以多人审批,审批人收到申请后可以同意或拒绝申请,同意时 (略) (略) 实际的管 (略) | ||
| 支持按用户组、资 (略) 访问授权。 | ||
| (略) 管理功能权限支持角色定义,角色可以针对目录树的节点定义,从而使角色即可以限制能够使用的功能项,也达到角色权限只在某个树形节点范围内生效。 | ||
| 资源管理 | 能够添加、修改、删除被管资源。 | |
| 支持自定义添加资源类型和操作系统提 | ||
| 支持应用发布服务器代理方式调用C/S架构并可无限制自定 (略) 业应用软件, (略) 代填实现单点登录提供界面截图 | ||
| 支持资源的分组管理,分组可以树形方式展现,不限制分组层级数量 | ||
| 资源类型支持Windows主机、域控主机、域控内主机、Unix主机、 (略) 络设备、安全设备、网元、数据库等。 | ||
| 支持资源接入的流程管理,支持流程申请人、审批人、执行人的委派。资源的接入需要申请人定义申请单,发起事件申请;事件可以多人审批,审批人收到申请后可以同意或拒绝申请,同意时 (略) (略) 实际的管 (略) 。(需升级到 * 版本) | ||
| 系统支持将堡垒机内的单点登录信息导出为SecureCRT可导入的格式 | ||
| 产品自带SSO单点登录控件, (略) (略) 署SecureCRT、SSHClient等终端仿真程序,即可通过SSH、TELNET、FTP、VNC、XWI (略) 管协 (略) 运维操作。 | ||
| 对于数据库、web、专用C/S客户端程序支持以应用发 (略) 授权和审计。 | ||
| 访问控制及异常告警 | 支持根据IP地质、时间、用户名、操作指令等内容设定安全时间规则。 | |
| 支持黑、白名单控制,可根据黑白名单的命令集限制用户的操作权限。 | ||
| 对违 (略) 告警及自动阻断。 | ||
| 客户端地址策略可以应用于主帐号,也可以应用于从帐号。 | ||
| 实时监控
| 支持实时审计。操作人员对于资源的访问,审计员可以实时查看。 | |
| 实时会话监控列表:显示会话连接状态。显示会话来源、目标地址、账号及访问人信息。(投标时需要提供功能截图) | ||
| 同步监控操作过程:支持对 (略) 同步监控,执行会话回放、监控和阻断操作。 | ||
| 系统状态监控:实时监控审计系统CPU、内存、磁盘的使用情况。 | ||
| 审计系统监控:记录审计系统自身的管理操作,保障审计系统自身安全。 | ||
| 组态报表 | 系统具备组态报表功能,支持用户自定义报表模板,可以通过制定动态模板、静态模板,可以对 (略) 组合查询。查询结果可以导出TXT、HTML、XLS等多种格式报表文件。 | |
| 用命 (略) 审计结果查询时,可以同时输入多个命令,为多命令查询提供便利。 | ||
| 按照预设统计报表模板和命令关键 (略) 查询统计时,可以同时输入多个命令,为多命令的统计报表提供便利。 | ||
| 支持以html或Excel方式输出。 | ||
| 支持自定义模板,支持 * 次开发定制报表。 | ||
| 系统管理功能 | (略) 关配置功能 | |
| 支持金税key认证 | ||
| 支持从WEB管理界面重启、关闭设备。 | ||
| 运维终端安全检查 | ||
| 支持从WE (略) 卡IP设置、静态路由设置等内容。 | ||
| 支持页面超时设置, * 段时 (略) 任何操作后,将自动结束页面登 * 会话。 | ||
| 对外接口 | 对所有审计日志提供外发接口,可以配置只外发字符审计,也可 (略) 有审计(将字符和图形录像的审计日志外发其他设备),并且可以配置对端端口。 | |
| 支持认证接口,可以配置认证服务器地址和端口。 | ||
| 系统扩展 | 支持4A扩展,可以将审计日志输出到4A平台。 | |
| 支持与SOC联动,可以将审计日志输出到SOC平台。 | ||
| 产品资质(投标时提供相关资质复印件)
| (略) 销售许可证 | |
| (略) 络与信息安全信息通报机制技术支撑单位,并提供证明文件。 | ||
| 国家信息安全服务 * 级资质; | ||
| 具备ISCCC * 级应急能力资质; | ||
| 具备ISCCC * 级风险评估服务资质; | ||
| ▲其他要求 | (略) 质保,中 (略) 商出具的售后服务承诺 (略) 商公章 | |
5、数据库审计:1台
| 指标项 | 技术参数要求 |
| ▲硬件规格 | 国产品牌 |
| 标准2U机架 * 体化设备(审计引擎和数据引擎 * 体化) | |
| 具备≥6 (略) 电口 | |
| 1个扩展槽,可扩展2端口万兆、4端口千兆接口板(光/电任选) | |
| >=2T本地存储 | |
| 交流单电源 | |
| ▲性能要求 | (略) 理能力≥ * 0条/秒 |
| 每1T本地存储可提供≥ * 亿条日志存储能力 | |
| 实配不少于 * 个数据据库服务器或实例审计 | |
| 部署方式 | (略) 署集中管理方式 |
| (略) 署 (略) 署方式 | |
| 支持系统危险链路旁路阻断功能和危险链接串联阻断功能 | |
| 支 (略) 署方式 (略) 署方式 | |
| 支 (略) 署方式(主备、主主) | |
| 多合 * 功能 | 单 * 设备即可同时支持包括数据库审计、数据库防火墙、风险扫描、状态监控、数据库透明加密、运维审计等功能,可按需扩展。(需提供设备配置截图证明) ▲投标时提供 * 种SYN洪水攻击的防御方法和装置自主知识产权证明复印件; 提供 * 种事件的检测方法及装置专利证书(投标时提供证书复印件) |
| 数据库兼容性 | 支持Oracle、MSSQL、DB2、Sybase、Informix、MYSQ、人大金仓、南大、神通、达梦等主流数据库审计 |
| 数据库审计 | 数据库访问记录应至少包括发生时间、业务用户名、操作终端主机名及IP地址、终端工具名称、服务器端主机名及IP地址、数据库名、表名、SQL语句、响应时间、返回结果等关键信息 |
| 支持对S (略) 结果(成功/失败)、S (略) 时间、S (略) 异常等数据库操作响应信息的审计 | |
| 支持变量绑定值的记录:很多基于数据库的查询是通过Bind Variable完成的。这就要求审计系统不光要记录查询中Bind Variable的变量的名字,还要记录Bind Variable的数值 | |
| 支持时间、IP地址、用户名、终端名的黑白名单策略,可将已知可信用户、可信时间之外的操作定义为高风险操作 | |
| 支持定义事件类型,每种事件类型可以对应多个事件策略,不同策略命中的事件可以有高、中、低等多个风险级别 | |
| 能够自动记录和分析SQL语句并快速制定安全策略,包括:将SQL语句归纳为不同的集群; (略) 有SQL的相应威胁程度,至少包括高、中、低、提醒等告警级别 | |
| (略) 有SQL日志的归并策略,可以将同类型的多条 (略) 汇聚,并可以限定同类型安全事件的记录条数 | |
| 系统提供白名单规则策略、黑名单规则策略、正则表达式规则策略、关键字表达式规则策略、例外规则策略 | |
| 能够过滤数据 (略) 过程中自动产生的SQL语句,减少不必要的干扰信息 | |
| 基于TDS,TNS等数据库协议识别解析数据库操作语句,而不是基于简单的文本识别 | |
| (略) 细粒度解析,支持审计数据库操作(DM)、对象管理(DD)、控制(DC)等操作语句的审计,解析后的日志记录至少包括访问发生时间、客户端IP地址、客户端MAC、终端程序、访问账号、访问数据库名、操作表名、SQL语句、数据库响应时间以及返回结果等关键信息 | |
| 审计策略与规则 | 设备必须自带默认审计策略,支持用户自定义策略和规则,系统必须支 (略) 为的黑名单、白名单,方便用户灵活配置审计规则 |
| 审计规则设置支持以服务器IP、数据库类型、数据库表、操作类型设定的各种组合审计规则,还支持以关键字设定规则 | |
| 白名单设置 | 支持对于符合条件的SQL (略) , (略) 记录 |
| 支持以操作类型、时间、IP地址、用户名、主机名、终端名、数据库操作类型、数据库表、 (略) 、字符串、认证结果、响应时间、敏感数据、等作为事件识别规则 | |
| 支持时间、IP地址、用户名、终端名的白名单策略,将已知可信用户、可信时间之外的操作识别为高风险操作 | |
| 审计告警 | 内置自动告警设置,允许用户设定威胁自动告警,告警必须提供级别设定,至少提供致命、高风险、中风险、低风险4种告警级别 |
| 支持SYSLOG、SNMP TRAP、邮件、FTP等多种事件告警方式 | |
| 检索 | 支持通过IP地址、用户名、操作类型、关键词、时间等基本条件查询审计事件 |
| 支持通过策略名称、操作来源名称、风险级别、事件类型查询审计事件 | |
| 支持SQL关键字翻译功能,支持将审计记录中SQL语句关键字翻译成中文,便于非专业人员阅读(需提供设备配置截图证明) | |
| 支持将审计日志的 (略) (略) 理,防止敏感数据泄露(需提供设备配置截图证明) | |
| * 亿条日志的任意关键字组合(包括通配符)检索时间< * 分钟 | |
| 提供对风险和危害访问的分析,包括:高危操作分析和追踪、大规模数据泄露分析和追踪、批量数据篡改分析和追踪、 (略) 为分析和追踪 | |
| 审计日志管理 | 支持按日志属性、日志类型、 (略) 数据备份,自动与手动两种备份归档方式 |
| 支持FTP将数据备份到其他存储上,以备本机硬盘空间不够的情况下,数据能够依然保存 | |
| 支持还原转储出去的数据,还原之后数据可在系统中查询 | |
| #数据库防火墙 | 按照SQL操作类型包括Select、Insert、Update、Delete,对象拥有者,及基于表、视图对象、 (略) 权限控制(需提供设备配置截图证明) |
| 基于自学习机制的风险管控模型,主动监控数据库活动,防止未授权的数据库访问、权限或角色升级,以及对敏感数据的非法访问等。 | |
| 数据加密 | 支持对数据库表中的敏感字段、行、列指定加密算法及权限配置。(需提供设备配置截图证明) |
| 支持对加密过的密文建立索引,提高检索的速度。 | |
| 数据库状态监控 | 系统界面可以显示数据库的用户、缓冲区击中率、共享内存等变化趋势图。 |
| 系统界面可以显示数据库的索引效率、查询统计、查询缓冲命中率等信息。 | |
| 系统支持设置数据库状态参数阈值,触发阈值时可快速告警。 | |
| 数据库状风险扫描 | 内置漏洞扫描功能,无需单独安装软件;支持发现式漏洞扫描,支持漏扫报告生成和导出。(需提供设备配置截图证明) |
| 密文权限控制 | 对于密文数据的操作访问, (略) 增强的权限控制,用户必须同时具有DBA和DSA的授权,才能对 (略) 操作访问。 |
| 系统支持增删改查操作,函数、存储过程及主外键、唯 * 索引、NOT NU等重要约束透明。 | |
| JDBC、ODBC、OCI等开发接口透明。 | |
| 报表功能 | 支持对SQL语句操作类型统计、事件类型统计、风险级别统计、流量统计,同时按在线用户、客户端IP、会话、模板数等支持在线信息统计 |
| ▲界面及安全管理 | 支持基于WEB方式的远程管理方式,采用H (略) 安全加密的配置管理 |
| 提供管理员权限设置和分权管理,提供 * 权分立功能,系统可以对使用人 (略) 审计记录,可以 (略) 查询,具有自身安全审计功能 | |
| (略) 署、管理复杂度, * (略) 有工作,采集(审计引擎)、审计( (略) )、管理系统等功能均集中在同 * 设备内, (略) 署其他软、硬件 | |
| 产品资质 | 《计算机信息系统安全专用产品销售许可证》 《计算机软件著作权登记证书》 《软件产品登记证书》 |
| ▲其它 | 中标后 * 个工作日内,招标人有权要求投标人提供同 (略) 上述功能要求的逐 * 测试验证,全部通 (略) 合同流程,测试中发现 (略) 为 (略) 理 (略) 商追究相关责任的权利。 |
| 管理功能 | 具备应用监控管理功能(投标时提供界面截图证明) |
| 具备脆弱性管理功能(投标时提供界面截图证明) | |
| ▲具备等级保护管理功能(投标时提供界面截图证明) | |
| 高可靠性 | 所投产品要必须与neteye安全设备实 (略) 署, (略) 络系统的安全可 (略) ,全面实现系统业务访问综合安全可靠性;(需在投标文件中阐述实现原理和实施方案)。 |
| 厂商要求(投标时提供证书复印件) | (略) 家应为C (略) 络安全应急服务支撑单位证书(国家级, * 年最新颁发新证) |
| 涉及国家秘密的计算机信息系统集成 * 级资质证书 | |
| 计算机信息系统集成企业 * 级资质证书 | |
| 国家信息安全服务资质认证证书_信息安全风险评估服务 * 级资质 | |
| 国家信息安全服务资质认证 (略) 理 * 级资质 | |
| 国家信息安全漏洞库技术支撑单位 | |
| 产品成熟度达到CMMI5认证 | |
| (略) 络安全威胁治理联盟成员单位证书 | |
| 厂家通过信息安全等级保护安全建设服务机构能力评估合格认证 | |
| ▲服务要求 | 3年质保服务,投标时 (略) 服务承诺函; (略) 服务、产品的安装、 (略) 工程师完成实施。可 (略) (略) 或 * 电话查询其设备的用户归属为“最终用户的准确名称”;设备的包装 (略) 且注明最终用户的名称为“最终用户的准确名称” |
6、应用负载均衡系统:1套
| 指标项 | 指标要求(▲为关键指标,不允许负偏离) |
| 基本形态 | 软件版▲平台能够支持任何云平台和虚拟化, (略) 署到任何云平台/虚拟化,能跟随虚拟化和云平台出现单点故障时自动漂移到可用的物理服务器上。(支持任何虚拟化和云平台:华为、H3C、阿里、微软、vmware,等) |
| 硬件支持 | ▲平台能够支持任何硬件的CP (略) 口(CPU可支持8颗以上,内存可支持 * G以上,网口可以支持8个万兆口以上)。能随时根据用户需求调整CPU颗数和内存的大小。单万兆口负载不低于9.8G流量。并发数最大可以支持 * 万 |
| 负载方式 | 平台支持4-7层应用负载均衡,至少 * 种负载方式:简单的轮询、权重、最少连接、源IP、请求的URI、根据请求的URl参数、根据HTTP请求头来锁定每 * 次HTTP请求、很据cookie(name)来锁定并哈希每 * 次TCP请求 |
| 快速转发 | 平台支持tcp加速、支持响应池、能够实现零复制转发 |
| 压力测试 | ▲平台支持应用压力测试,能对应 (略) 压力测试,支持端口扫描,能探测应 (略) 有端口, (略) 应用负载配置和对后 (略) 理性能评估 |
| 配置模式 | ▲平台可以支持代理模式的负载均衡,在不修改应用服务器的任何配置和任何交换机的配置,就能对实际应用服务器负载(跨网段,跨路由) |
| 相关证书 | 提供计算机软件著作权登记证书 |
| 售后服务 | (略) * 年服务承诺函,中标方应在中标后 * 个工作日内提供产品测试, (略) 需求 (略) 理 |
7、SSL (略) 关:1台
| 指标项 | 技术参数要求(▲为关键指标,不允许负偏离) |
| SSL VPN 性能要求 | SSLVPN加密速度≥ * Mbps |
| SSLVPN并发用户数≥ * | |
| SSLVPN每秒新建用户数≥ * | |
| IPSecVPN加密速度≥ * Mbps | |
| IPSecVPN并发会话数≥ * ,IPSecVPN隧道数≥ * | |
| 防火墙吞吐量≥ * Mbps | |
| 最大并发会话数目≥ * , * | |
| 网络接口≥4个千兆电口 | |
| 电源:单电源 | |
| 尺寸1U | |
| 业务需要 | 为提升我单位信息安全系统的自主可控能力,产品必须支持中国国家标准的商用密码算法(简称“国密”),包括:SM1(含SCB2),SM2、SM3、SM4。 |
| ▲为保证我单位第 * 方接入的安全性,保证我单位核心系统数据不外泄,要求设备支持安全桌面功能,强制受保护的业务系统仅可在安全桌面下使用;退出安全桌面后清除安全桌面内 * 切操作和遗留的痕迹,保证重要应用使用的安全性。支持文件导出的审计、数据加密保存、离线访问等功能。(提供产品配置界面证明) | |
| ▲为加强我单位身份认证,防止登录SSL VPN后冒名登录应用系统,必须支持主从认证账号绑定,实现SSL VPN账号与应用系统账号的唯 * 绑定,VPN资源中的系统只能以指定账号登 * 。(提供产品配置界面证明) | |
| 我单位 (略) 线路,要求设备必须支持至少4 (略) 多线路配置;并 (略) 署模式下,多线 (略) 关,仅依靠SSLVPN设备同样可实现SSLVPN接入用户的多线路自动优选功能 | |
| ▲为保证本次采购的设备性能的可扩展性,支持 * 台不同型 (略) 集群(A/A),支持路由模式、单臂模 (略) 署的集群;要求设备支持多机非 (略) 署方式。(例如设备支持 * 并发用户,如今后增加到 * 并发用户,则仅需要购买 * 台支持 * 并发用户的设备,与原设备组成非对称集群即可,两台设备必须同时激活。)(提供界面配置截图并加盖公章) | |
| ▲为解决我单位对访问中的移动设备(手机、PAD)管理的难题,必须支持设备注册、数据擦除、丢失告警等移动设备管理功能,同时能够在SSL VPN登录客户端下载或打开单位移动业务应用(提供界面配置截图并加盖公章) | |
| ▲为满足我单位已开发的APP安全接入业务系统需求,必须提供集成的VPN于Android、IOS平台的第 * 方软件开发包(SDK),实现对APP的VPN安全模块封装,为减少开发量,代码量 (略) (要求提供代码Demo和企业证明);为提升APP开发效率,提供VPN安全模块APP封装平台,无需手动开发,实现在VPN控制后台直接上传APP应用并封装(提供界面截图证明),针对我单位APP业务安全接入需要,产品必须支持 * 次开发要求,厂商必须免费提供 * 次开发技术支持。 | |
| 基本特性 | 为满足我单位移动用户安全接入及 (略) 的需求, (略) 产品为专业VPN设备,采用标准SSL、TLS 协议,同时支持IPSec VPN、SSLVPN两种VPN,非插卡或防火墙带VPN模块设备。 |
| 支持对基于HTTP、HTTPS、FileShare、DNS、H. * 、SMTP、POP3、Telnet、 (略) 有B/S、C/S应用系统,支持基于TCP、UDP、ICMP等IP层以上的协议的应用,例如即时通讯、视频、语音、Ping等服务; | |
| ▲为保证VPN客户端接入兼容性,必须支持多种终端系统,如windows * 、Windows * 、Windows8、Windows7、Windows Vista、Windows xp、Mac OS、Linux、ios9.x等及以下版本,使用包括IE * 及以下版本或其他IE内核的浏览器,以及非IE内核浏览器,如Windows EDGE,Google Chrome,Firefox,Safari,Opera最新版登录SSLVPN系统,登录后可完整支持各种IP层以上的B/S和C/S应用。 | |
| SSL VPN应具备基于用户的VPN虚拟专线功能,移动用户在接 (略) 的同时断开与Internet其他连接的功能。支持VPN断线重连功能。 | |
| 易用性 | 为保障 * 台设备为多个不同用户群体服务的使用效果,实现设备的最大利用率,要求投标产品可支持虚拟门户功能,在 * 台设备上配置不同的访问域名、IP地址,以及不同的使用界面,实现 * 台设备为多个不同用户群体服务的的使用效果。每 * 台虚拟设备都支持独立 (略) 管理。 |
| 为减少用户使 (略) 需录入用户名密码的次数,提升用户体验,本次招标产品需支持单点登录功能(SSO),支持移动用户登录VPN (略) B/S、C/S应用系统时不需要 * 次重复认证。支持针对B/S单点登录用户名密码加密传输,保证安全;支持针对不同的访问资源设定不同的SSO用户名和密码, (略) 修改SSO账号。 | |
| 安全性 | ▲为防止不法分子利用sslstri (略) arp欺骗而突破经过ssl加密的协议,从而获得单位数据,产品必须支持在用户登录SSLVPN时智能判断存在此类 (略) 为,断开被攻击的连接,并可提示异常现象。(可提供证明材料) |
| 为确保远程移动用户 (略) (略) 上的各种威胁,如病毒、木马、黑客攻 (略) , (略) 产品支持用户登 * 前和登 * 后的客户端安全性检测,检测范围包括:进程、文件、注册表、操作系统等,可以根据检测出来的安全级别不同给予不同的访问资源控制。 | |
| 身份认证 | 为满足不同级别用户的不 (略) 全级别需求,产品必须支持Local DB 、USB KEY、短信认证、硬件特征码、动态令牌、数字证书认证、LDAP、RADIUS、等认证方式;可针对用户/用户组设置认证方式的与、或组合, (略) 用户名/密码、LDAP、USB KEY、硬件特征码、短信认证或动态令牌的 * 因素捆绑认证,为保证后期认证的可拓展性,支持多种短信认证平台,如GSM、CDMA制式短信猫、webservice、webservice嘉迅版等 |
| 为保障接入我单位核心系统终端的合法性,要求设备支持客户端主机硬件特征码认证,通过获取客户端的硬件信息生成HARDCA证书(支持windows、IOS、Android等系统),实现HARDCA证书和用户账户的绑定,实现接入终端的唯 * 性控制,支持硬件特征码自动生成及自动审批,单台VPN设备可扩展同时支持5套以上CA根证书; | |
| 高可用性 | 为保障多链路情况下,我单位系统访问的稳定性与高速性,要求设备支持启用多线路时,自动检测故障线路,并自动踢出故障线路; * 旦线路恢复,可在 * 定时间内自动恢复。 |
| ▲为保障我 (略) 页访问质量,必须支持针对不同的w (略) 数据优化,通过动态压缩技术,基 (略) 压缩,减少不必要的数据传输。(提供界面配置截图,并提供自主知识产权证明) | |
| ▲为避免我单位业务跨平台兼容性,降低多平台开发的工作量,必须支持将移动终端或其他系统无法兼容的 (略) 于服务器端,办公人员通过无法兼容的系统登录VPN后直接使用业务系统,同时为保障远程访问的快速性,支持改写远程传输协议(WindowsRDP),通过有损压缩算法、过滤动态内容技术(gif/flash/video)以减少传输流量(必须提供配置界面截图) | |
| ▲我单位人员分布广, (略) 络情况下的接入速度,设备需支持单边加速功能,即在客户端不安装任何插件的情况下,实现跨运营商高丢包、高延时下的快速接入。(提供自主知识产权证明并加盖公章) | |
| ▲针对我单位B/S资源,为提升访问质量,需支持动态缓存、WebCache等技术,提高Web页面响应速度。同时通过流缓存技术, (略) 关、网关与移动客 (略) 多磁盘、双向、削减冗余数据,降低带宽压力(提供界面配置截图,并提供自主知识产权证明)支持针对不同的w (略) 数据优化,支持动态压缩技术,基 (略) 压缩,减少不必要的数据传输。 | |
| 为保障高可用性,要求设备在负 (略) 署模式下,支持授权漂移,即当集群中 * 台设备宕机,该宕机设备中的并发授权自动迁移到其他正常的设备中,而无需额外购买授权。 | |
| 支持 * 级以上的管理员分级分权限管理,从Admin派生树形结构下级管理员; | |
| 移动智能终端支持 | 针对我单位还未开发APP的C/S应用程序,产品必须支持应用虚拟化功能,可以无需 * 次开发,即把该应用发布到移动智能终端中。 |
| 远程应用发布数据传输过程中使用SSLVPN协议加密,加密算法支持中国家标准的商用密码算法(简称国密),保证了数据传输的合法性和安全性;远程应用发布客户端应支持IOS图标发布资源。远程应用发布应该支持云存储,能够将手机、PAD、PC电脑中的文档、照片等上传到云端,或下载到本地终端。 | |
| ▲产品应该支持企业级“云盘”(又名“网盘”、“文件共享”)功能,即可以通过手机、PC、IPAD的客户端,将数据、文件同步到云端或和分享到终端。 | |
| 日志管理 | 为帮助我单位更好的管理VPN接入用户,要求设备支持外 (略) 进行SSLVPN实时日志记录,可详细记录用户访问资源记录(用户、主机IP、资源、时间)、管理员日志(管理员、主机IP、时间、 (略) 为、对象)、系统日志、告警日志;可根据用户名、主机I (略) (略) 为查询;可提供用户组/ (略) 及查询、 (略) 及查询、资源活跃程度、用户活跃程度等记录;提供暴破登录记录;可提供用户登 * SSLVPN采用非绑定账号访问应用系统的记录 |
| ▲为满足我单位多数据量的保存及等保建设要求,保障 (略) 稳定且高可用性,必须支 (略) ,同时免费提供自有服务器虚拟化软件(提供软件著作权证书)及对应物理CPU授权,服务器虚拟化能够根据实际用户和流量规模合理分配硬件资源,保障最优资源分配。同时, (略) 能够与服务器虚拟化底层联动,优化磁盘读写,提高查询速度 | |
| 防火墙 | 为保障设备的安全性,产品应具备基于状态监测技术的防火墙功能,能够 (略) 络攻击, (略) 包过滤或WAN、LAN、DMZ口之间访问控制;为了避免人为配置错误,产品必须支持对防火墙的过滤 (略) 在线虚拟测试。 |
| 资质要求 | 提供中华人民 (略) 颁发的《计算机信息系统安全专用产品销售许可证》 |
| (略) 信息安 (略) 颁发的《GA/T *** 信息安全技术 (略) 安全技术要求》 * 级或 * 级以上检测报告( * 级以上为 * 级、 * 级) | |
| ▲保障我单位未来IPV6可扩展性,提供IPV6 Ready认证证书,在全球I (略) 官网可查 | |
| (略) 商需为国 (略) 发布的《SSL VPN技术规范》起草单位之 * | |
| (略) 商具有国 (略) 颁发的《商用密码产品生产定点单位证书》 | |
| (略) 商具有国 (略) 颁发的《商用密码产品销售许可证》 | |
| ▲为保障软件开发质量, (略) 商具有CMMI5级认证。(提供证书复印件) | |
| 品牌及应用成熟度 | ▲为了保证交付质量,必须提供SSL VPN必须在近 * 年内至少曾有 * 年在中国国内SSL VPN或V (略) 占有率为前 * 名,提供权威的第 * 方机构数据证明 |
8、杀毒系统:1台
| 技术指标项 | 技术参数要求(▲为关键指标,不允许负偏离) | ||
| ▲系统管理 | (略) :采用B/S架构管理端,具备设备分组管理、策略制定下发、全网健康状况监测、统 * 杀毒、统 * 漏洞修复、网络流量管理、终端软件管理、硬件资产管理以及各种报表和查询等功能,配置 * 个windows终端许可; (略) 病毒库免费升级服务,本次配杀毒功能及补 * 功能 | ||
| 客户端: (略) 通信, (略) (略) 需的相关数据信息;执行最终的木马病毒查杀、漏洞修复等安全操作。 | |||
| 病毒、恶意代码、木马防护 | ▲要求产品本身具备病毒检测功能,并且通过CheckMark、ICSA、OPSWAT等各大国际评测机构联合认证。(要求提供证明文件) | ||
| 要求产品具备本地引擎查杀能力 | |||
| 要求产品具备公有云检测能力,并且公有云特征储备超过 * 亿。 | |||
| 支持私有云查杀,预置至少4亿黑名单及 * 万全面的白名单,终端威胁 (略) 查 (略) 查杀 | |||
| ▲要 (略) 状态下具备不依赖病毒库特征的情况下对未知病毒查杀的能力(提供国 (略) 的专利受理证明与国际PCT专利受理证明) | |||
| 要求产品具备主动防御技术(提供至少3项以上技术专利受理证明) | |||
| 要求产品具备应用级沙箱技术 | |||
| 按病毒、木马 (略) 涉及的终端,可查 (略) 木马、加入信任;按终端 (略) 每个终端存在的病毒、木马及可查杀的 | |||
| 补 * 分发与漏洞修复 | (略) 具备微软热补 * 修复功能(至少需要 * 个以上为用户提供Windows漏洞修复的热补 * 案例证明文件) | ||
| (略) 具备面向微软官方级别漏洞发现能力(提供 * 年至今少 * 个以上微软漏洞发现案例与相关截图,与微软官方确认截图) | |||
| 产品具备漏洞集中修复,强制修复,定时修复;具备蓝屏修复功能(要求提供截图) | |||
| 产品具备漏洞集中修复过程中的流量控制和保证带宽,补 * 分发支持服务端带宽限流与客户端P2P补 * 分发加速, (略) 带宽资源 | |||
| 资产管理 | 单点维护 | 按终端维度展示终端的硬件、软件、操作系统、网络、进程等信息;可监控CPU温度、硬盘温度和主板温度 | |
| 支持硬件变更,展示终端硬件变动记录,可确认变更或删除记录 | |||
| 支持软件变更,展示终端软件变动记录,可确认变更或删除记录 | |||
| 支持插件清理,按插件 (略) 存在的插件和涉及的终端,可清 (略) 插件、加入信任;按终端 (略) 每个终端存在的插件,可清理插件(提供产品界面截图) | |||
| 支持远程协助终端、远程关机、重启终端 | |||
| 终端发现 | 支持手动配置服务器、扫描参数、进行周期性扫描,可手动配置发现的终端类型 | ||
| 支持统计指 (略) 的终端扫描数、终端安装数、未安装终端数及安装率。 | |||
| 软件管理 | 支持软件监控,按软件 (略) 安装的软件和涉及的终端;按终端 (略) 每个终端安装的软件 | ||
| 支持软件分发, (略) 终端分发软件,支持终端接收软 (略) ,支持 (略) 参数 | |||
| 支持文件黑白名单,管理员自定义文件的黑白属性,黑名单中的 (略) ,白名单中的 (略) | |||
| 支持文件审计, (略) (略) 有文件保持完整的审计,方便鉴定恶意软件从何而来并立即阻止恶意 (略) | |||
| 支持进程管控功能,支持设置进程黑名单,在黑名单里面的 (略) ;可设置核心 (略) ,也可保护核心进程不被结束 | |||
| 终端安全运维管控 | 流量管理 | (略) 终端或终端应用程序的上传,下载速度与流量;可限 (略) 终端的上传及下载速度 | |
| 非法外联 | 支 (略) 卡、 (略) 卡、 (略) 卡、MODEM、ADSL、ISDN等设备的外联控制;违规外联发生时 (略) 连接状态分 (略) 理措施 | ||
| 应用程序安全 | 支持终端进程红名单、黑名单、白名单,确保在线、离线终端合规 | ||
| 网络安全防护 | (略) 址白名单, (略) 址白名单可 (略) (略) 址,加入信任后终 (略) 址视为威胁 | ||
| 外设管理 | 支持对终端各种外设(USB存储、硬盘、存储卡、光驱、打印机、扫描仪、摄像头、手机、平板等)、接口(USB口、串口、并口、 * 、PCMIA)设置使用权限 | ||
| 桌面安全加固 | 支持对终端桌面系统的账号密码、本地安全策略、控制面板、屏保与壁纸、浏览器安全、杀毒软件检查 | ||
| 移动存储介质管理 | 支持客户端自主申请移动存储介质注册; | ||
| XP防护 | 支持对 (略) 系统加固、热补 * 修复、危险应用隔离、“非白即黑”安全策略 * 大修复措施 | ||
| 终端准入 | 支持旁 (略) 署方式, (略) (略) 署单点故障; | ||
| 支持基于终端的ACL,可以基于协议、端口来控制终端流量,从而无需操作交换 (略) 络控制目的 | |||
| (略) 健康检查策略,策略检查项至少包括:远程桌面、 (略) 、防火墙、IP获取方式、文件共享、屏幕保护、空密码、IE代理;支持终端修复向导,对不合规的终端提供软隔离, (略) 修复向导和 * 键修复功能 | |||
| 安全审计 | 支持指定扩展名的文件访问、修改、删除、 (略) 为的审计 | ||
| (略) 络共享输出控制与审计 | |||
| 支持特定路径或扩展名的文件访问、修改、删除、 (略) 为的限制并审计 | |||
| 日志报表 | (略) 终端健康状态、报警信息;可方便的查看不健康、亚健康终端列表; | ||
| 展示指定时间段内指定终端修复漏洞,病毒查杀,木马查杀的情况 | |||
| 支持大数据引擎系统, (略) 终端日常运维数据汇聚存储分析,并根据客 (略) 需的要求定制报表 | |||
| 其它 | 支持与旁路威胁检测系统设备联动,达到边界联动防御效果 | ||
| (略) 数据恢复与备份 | |||
| 产品资质和 公司资质(提供证书复印件) | 销售许可证、软件著作权、军B+ | ||
| 网络安全应急服务支撑单位(国家级) | |||
| 中国国家信息安全漏洞库支撑单位 | |||
| 国家信息安全漏洞共享平台技术组成员 | |||
| 微软MAPP伙伴 | |||
| CSA联盟会员 | |||
9、网络接入控制系统:1台
| 指标项 | 技术规格要求(▲为关键参数,不允许负偏离) |
| ▲性能参数 | 标准机架设备, 至少满足6个千兆电口,1个RJ * 串口; |
| 整机吞吐量≥ * Mbps,支持准入终端数量≥ * | |
| 准入方式 | 1. ▲ 支持有线、无线基于应用协议准入方式,准入配置支持保护服务器区域、例外终端等灵活的配置方式。(要求提供截图) 2. 支持基于应用协议的访问控制,并提供灵活的访客控制列表。 3. 支持基于 (略) 流程配置,区分 (略) 络,能够针对 (略) 络分别采用有客户端和无客户端方式准入。 4. 支持临时用户的接入请求,并且可以限制 (略) 时间长和强制临时用户下线。 5. 支持标准 * .1X准入,终端提 (略) 合规性检查报告,支持动态VLAN、动态ACL下发,且无需登录交换机。支持账号同时在线用户上限、账号有效时长等限制。 |
| 入网合规性检查 | 1. ▲入网条件必须符合健康检查策略,策略检查项至少包括:远程桌面、 (略) 、防火墙、IP获取方式、文件共享、屏幕保护、空密码、IE代理。(要求提供截图) 2. (略) (略) 安装的软件、服务、进程设置黑白名单,管理员可以自己编辑黑白名单。 3. 支持基于终端的ACL,可以基于协议、端口来控制终端流量,从而无需操作交换 (略) 络控制目的。 4. (略) 分数配置,检查项分值配置,并提供 (略) 的操作 界面。 5. 支持终端修复向导,对不合规的终端提供软隔离, (略) 修复向导和 * 键修复功能。 6. 支持用户和VLAN绑定、用户和ACL绑定、用户和健康检查策略绑定等灵活配置。 |
| 联动功能 | 1. 支持与终端安全管理系统联动,无需额外安装客户端。终端安全管理系统至少包括集成杀毒和主动防御,完成对用户终端的全方位立体保护。 2. ▲支持与本地LDAP连接、第 * 方LDAP连接、 AD域等联动,来完成用户鉴别功能,以达到终端用 (略) 。(要求提供截图) |
| 客户端功能 | ▲支持基准变更, (略) 硬件变更记录加入基准,下次判断硬件是否有变更时根据新的基准来判断(要求提供截图) 可 (略) 存在的漏洞和涉及的终端,可修 (略) 漏洞、忽 (略) 漏洞;按 (略) 每个终端存在的漏洞,可取消忽略原来忽略过的漏洞,可设置预先忽略补 * ,可设置关闭 windows update,提供蓝屏修复功能(要求提供截图) 可设 (略) 终端使用U盘的权限,分为可读写、只读和禁用 * 种权限;可查询指定时间范围内终端使用U盘的情况(要求提供截图) (略) 终端体检,可在集中管 (略) 全网体检, (略) 有终端状态 (略) 存在的木马和涉及的终端,可查 (略) 木马、加入信任;按终端 (略) 每个终端存在的木马,可查杀木马。(要求提供截图) 支持硬件监测,按终端维度展示终端的硬件,包括电脑型号、CPU、内存、硬盘、设备SN等;可监控CPU温度、硬盘温度和主板温度(要求提供截图) ▲支持软件监控,按软件 (略) 安装的软件和涉及的终端;按终端 (略) 每个终端安装的软件(要求提供截图) |
| 系统管理功能 | 1. 支持 (略) cpu、内存等信息展示功能。 2. 支持系统用户添加、修改密码、修改系统时间、 (略) 卡IP、配 (略) 关等管理功能。 3. 支持系统中重点服务的展示、启用、停止等功能。 |
| 高可用性 | 1. 支持系统双机热备、数据同步等功能 2. 支持逃生机制 |
| (略) 署 | 支持界面升级、部署方式方便简洁, (略) 络。 |
| 系统日志 | 支持查看违规访问日志、心跳日志、认证日志等系统日志记录 |
| ▲联动性 | 考虑用户终端性能问题,终端杀毒软件与准入控制必须为同 * 品牌 |
| 资质要求 | (略) 计算机信息系统安全专业产品销售许可证 |
| 产品具有计算机软件著作权登记证书 | |
| (略) 络安全应急服务支撑单位(国家级) | |
| 中国国家信息安全漏洞库支撑单位 |
* 、云网络监测系统:1台
| 技术指标 | 指标要求 |
| 系统构架 | 标准B/S结构、支持VPN/拨号监测。 |
| ▲基本要求 | 网络版,提供1套 (略) 管理许可证,配置不低于 * 个监测节点,监测节点无需安装任何agent或客户端;支持vmware、hyper-v、H3C、阿里云 (略) 署。 |
| ▲功能要求 | 权限分配:支持建立用户组权限,根据权限不同分配不同的功能模块给不同用户或组使用,用户建立不限制数量,根据等保要求可实现 * 权分离。 |
| 无代理自动巡检:可以巡检任何应用、线路、设备,出现问题手机短信通知,网 (略) 日常维护时调整时后台 (略) 有的自动巡检,防止误报。 | |
| 实时流量管理:实时查看监测节点设备端口的即时流量信息;可根据自定义阀质实现流量告警。 | |
| IP地址管理:IP地址列表: (略) 有机器的IP地址,并显示 (略) 对应机器的设备类型;地址关联性:针对有地址映射的服务器能快速识别地址对应关系;IP MAC地址关联:将设备的IP地址与M (略) 自动关联,当设备修改IP地址或更换设备后MAC地址或IP地址自动更新。支持地址批量导入和导出 | |
| 资产管理:自动生成监测节点的硬件基本资产信息, (略) 维护,可添加设备的购买时间、上线时间、 (略) 门及维保信息等,详细记录监测节点的硬件维修信息。 | |
| 配置管理:各监测节点设备配置文件可 (略) 管理端,支持定时抓取设备配置信息,配置信息支持按不同时间版本自动存放。 | |
| (略) 门工单:支持将设备问题转化为工单,自动分配, (略) 理,详细记录;并自动通过手机短信提 (略) 理。 | |
| 自动合同管理:根据设备项目合同情况,实现合同服务内容到期短信提醒 * 方服务,合同终止则自动停止提醒;如定期巡检合同内容。 | |
| IT知识库:日常维护操作知识可添加插入到知识库,支持知识库冗余性、矛盾性自动对比。 | |
| 产品质保及相关证书: | 提供计算机软件著作权登记证书。 中标后采购人有权要求中标人提供产品测试; 中 (略) * 年服务承诺函。 |
* 、DELL R * 服务器内存扩容:1项
| 指标项 | 技术参数要求 |
| 内存 | 原有2台服务器内存升级,DELL R * 服务器原装内存条 * 根。 |
* 、动环监控系统:1套
| 技术指标 | 指标要求 |
| 基本要求 | 环境监控1套(5个温湿感、1个烟感、1个漏水、1个高低温声光报警器) |
| 监控平台功能要求 | 要求实现集中监控以下内容: ? 机房温湿度 5点 ? 漏水监测 1点 ? 烟雾报警 1点 ? 高低温声光报警 1点 机房环境监测系统需要完成对上述设备的监测,集中反映工作状态,收集和分发 (略) 理信息和其它值得关注的情况, (略) 信息,追踪设备工作历史状态 |
* 、视频监控系统:1套
| 技术指标 | 指标要求 |
| 基本要求 | 包 (略) 络视频监控录像主机1台; (略) 络视频摄像机2个。 |
| 视频监控录像主机要求 | (略) 络视频输入,网络视频接入带宽不少于 * Mbps; 不少于1路HDMI输出;分辨率支持:4K( * ), * ;1路VGA输出接口; 录像分辨率支持:5MP/4MP/3MP/ * p/UXGA/ * p/VGA等; 同步回放不少于8路;回放模式支持:即使回放、常规回放、事件回放、标签回放、日志回放; 录像管理:支持手动录像、定时录像、事件录像、移动侦测录像、动测或报警录像、动测且报警录像; 硬盘驱动器:配置1块不少于4T SATA接口硬盘; 接口:1个RJ * , * / *** (略) 络接口;1个USB2.0接口,1个USB3.0接口;支持语音对讲输入。 POE接口,8个RJ * * / * (略) 口, * V POE供电; |
| (略) 络视频摄像机 | * 万像数高清红摄像机;最小照度 0. * Lux @(F1.2,AGC ON) ,0 Lux with IR;0.1 Lux @(F1.4,AGC ON), 0 Lux with IR;镜头 4mm、 (略) 角: * .5°(6mm,8mm, * mm,可选);红外照射距离 * 米;工作温度和湿度 - * ℃~ * ℃,湿度小于 * %(无凝结);电源供应 DC * V± * %/ PoE( * .3af)。 |
* 、实施辅材: 1项
| 技术指标 | 指标要求 |
| 配套辅材 | 精密空调外机风叶, (略) 等配件,以及包 (略) 需的光纤跳线、 (略) 络跳线以及扎带、标签等;包括安装、 (略) 涉及的 * 切费用。 |
* 、安全服务:1项
| 技术指标 | 指标要求 |
| ▲基本要求 | (略) 络 (略) 优化调整。依据国家标准GB/T *** 8《信息安全技术信息系统安全等级保护基本要求》且满足以下需求: 要求按照等级保护 (略) 网络按照安全域划分, (略) 隔离方案 (略) (略) 。 安全域实现方式以划分逻辑区域为主,旨在实现各安全区域的逻辑划分,明确边界以对各安全域分别防护, (略) 域间边界控制。 进行等保测评时,现场配合测评,并按要求免费 (略) 支持。 |
| 安全域的划分 | 防火墙安全隔离:采用防火墙 进行边界隔离,在每两个安 (略) 署防火墙分别与不通的安 (略) 访问控制,防火墙采取 * 权分立原则; 虚拟防火墙隔离:采用虚拟防火墙实现各安全域边界隔离,将 * 台防火墙在逻辑上划分为多台虚拟的防火墙,每个虚拟防火墙系统都可以被看成 * 台完全独立的防火墙设备,可以拥有独立的系统资源、安全策略等; (略) 闸:不同的安全 (略) (略) 闸,安全域互相独立。 |
| (略) 络环境,网络设备, (略) 检测,有问题或者漏洞补 * 更 (略) 理: | |
| (略) 络设备: | 启用访问控制功能,依据安全策略控制用户对资源的访问; 关闭防火墙设备、交换机的telnet服务,启用安全的SSH和https管理服务; (略) (略) 时的默认口令,且口令应满足长度不小于8为、含字母数字和字符的复杂强度要求; 网络设备,防火墙交换机等要求开启日志审计功能,并配置日志服务器保存日志信息; 要求调整现有审计设备,审计范围覆盖到服务器和重要客户端的每个操作系统用户; 要求审计内容包 (略) 为、系统资源的异常使用和重要系统命令的使用等系统内的重要相关时间; 要求审计记录包含事件的日期、时间、类型、主体标识、客体标识和结果等; (略) 络设 (略) 络设 (略) 理功能、限制非法登录次数、当网络登录连接超时时自动退出等措施; |
| 针对操作系统 | 结合 (略) 络设备或系统; 要求实现操作系统特权用户的权限分离,即 * 权分立; 要求限制默认账户的访问权限,重命名系统默认账户,修改账户的默认口令; 要求及时删除多余的、过期的账户、避免共享账户的存在; 要求对主机的登录要有严格的身份标识和鉴别; 要求有严格的访问控制策略限制用户对主机的访问与操作; 要求有严密的安全审计策略保证主机出现故障时可查; |
| 信息安全风险评估 | (略) 有信息资产(包括硬件、软件、文档和数据、人力、业务应用、物理环境、组织管理等)的稳定性、可靠性、保密性、可用性、完整性等安全属性,对涉及安全的 (略) 确认和划控。 |
| 对资产(包括硬件、业务应用、物理环境、组织管理等)面临哪些潜在威胁,导致 (略) 在,威胁发生的可能性有多 (略) 分析。 | |
| 从技术方面,全面分析系统存在的各种脆弱性,分析弱点被利用的可能性。 | |
| 分析已有的安全措施对安全风险的控制作用; | |
| 分析当前系统仍存在的风险并给出相应控制和管理风险的建议; | |
| 提供评估报告; | |
| 信息系统加固修复 | 对现有信息安全管理体系中存 (略) 优化和完善,并协助 * 方完成相关文档的编写和宣传 |
| (略) 络设备和 (略) 修复加固和漏洞扫描 | |
| 确认主机操作系统、应用系统的安全策略未被更改或还原 | |
| 查找现有信息安全管理制度与 * 级要求之间的差距 | |
更正为:
1、服务器区防火墙:1台
| 指标项 | 指标要求 (▲为关键指标项,不允许负偏离) |
| ▲系统架构 | 系统采用多核AMP+架构架构,硬件设计采用高性能 * 体 (略) 理引擎,要求提供计算机软件著作权登记证书,证书上要求有“ (略) 理引擎”字样 |
| ▲硬件规格 | 标准机架式2U机箱 |
| 要求配置≥5个 * / *** Base-T接口,4个SFP插槽,支持扩展双电源,本次配置为单电源 | |
| ▲处理性能 | (略) 理能力≥ * G |
| 并发连接数≥ * 万 | |
| 每秒新建连接≥ * 万/秒 | |
| 网络适应能力 | 产品支持路由、透明、交换以及混合模式接入,满足复杂应用环境的接入需求 |
| 产品支持多个纯透明子桥 | |
| 支持桥接口 | |
| 支持 * .1d标准生成树协议,支持VLAN Trunk功能,支持VLAN接口,支持VLAN子接口 | |
| 支持子接口 | |
| ▲ * 层接口ip地址支持float和static类型(要求提供功能截图) | |
| 支持DHCP Server和DHCP Server Client | |
| 接口支持配置 * 个IP地址 | |
| 支持聚合接口,聚合接口支持路由和交换两种工作模式 | |
| 聚合模式(Channel模式)支持 * 种:轮询、热备、 * .3ad | |
| ▲ * .3ad方式支持3种负载算法:根据源目的mac组合、根据mac和ip组合、根据ip和TCP/UDP端口组合(要求提供功能截图) | |
| 支持安全域的配置,包括 * 层安全域和 * 层安全域 | |
| 支持隧道接口 | |
| ▲支持使用命令对策略路由默 (略) 调整(要求提供功能截图) | |
| ▲要求系统具 (略) (略) 安 (略) 理的方法及装置技术,为避免虚假应标,必须提供自主知识产权证明复印件 | |
| ▲支持 (略) 智能选路(要求提供功能截图) | |
| 支持基于权重的路由负载均衡,算法支持:轮循、源地址HASH、源目的地址HASH | |
| IPv6支持 | 支持IPv6地址配置 |
| 支持IPv6邻居的动态管理和静态配置 | |
| 支持NAT * 和DNS * (要求提供功能截图) | |
| 支持IPv6静态路由 | |
| ▲支持IPv6安全策略,要求提供高性能IPV6防火墙系统计算机软件著作权登记证书复印件 | |
| 访问控制能力 | ▲支持基于源目的IP地址、源目的安全域、VLAN ID、MAC地址、时间、用户、地理区域、服务协议及应用等 (略) 访问控制 |
| 支持基于用户及应用的安全策略 | |
| 支持基于地理区域的安全策略 | |
| 支持可按时间生效的IP地址黑名单及MAC地址黑名单 | |
| 支持基于安全域的IP-MAC绑定 | |
| 链路冗余能力 | 支持多路由负载均衡,最大可支持5条链路负载,支持自定义负载权重 |
| (略) 关配置,支持4种均衡方式:最优路径、流量、会话、主机 | |
| ▲最优路径的负载均衡方式支持3种链路探测类型:ICMP、TCP、HTTP,探测失 (略) 链路负载重置、备份链路切换操作(要求提供功能截图,) | |
| 最优路径支持链路带宽、繁忙占用比例、探测地址和最优链路出接口的配置 | |
| 支持ISP路由负载均衡,最大可支持5条链路负载,支持自定义负载权重 | |
| 支持ISP路由链路备份,支持自定义优先级 | |
| 虚拟防火墙功能 | 可支持 * 个虚拟系统 |
| 支持虚系统接口 | |
| 支持系统资源(CPU、内存和存储空间)的分配 | |
| 支持基础防火墙功能(路由、安全策略、NAT)的独立配置 | |
| 支持攻击防护、黑名单和入侵防御功能的独立配置 | |
| 支持虚系统配置、日志及监控统计的独立管理 | |
| 虚拟安全防护 | 支持虚拟 * 层安全域、虚拟 * 层安全域,可实现业务的分组与隔离 |
| 支持构建虚系统来实现业务的分组与隔离、管理的分组与隔离,以及各个虚系统防护策略的可定制化 | |
| SNMP功能 | 可支持SNMP v1、v2c、v3 |
| 可支持v1、v2c、v3下的Trap功能 | |
| 支持通过SN (略) 日志审计、配置管理以及状态监控 | |
| 高可用性 | ▲系统支持双机热备功能,要求支持路由和透明模式下的“主-备”、“主-主”模式,要求系统必须具备自主研发的多防火墙负载均衡技术,须提供相应证明文件 |
| 支持配置、动态信息的自动同步 | |
| 支持抢占模式和非抢占模式 | |
| 支持HA中基于权重的接口监控 | |
| 支持HA中基于权重的链路探测 | |
| 抗攻击能力 | 支持基于安全域的攻击防护配置 |
| 可抵御SYN Flood、ICMP Flood、UDP Flood、IP Flood、IP地址扫描攻击、端口扫描、ping of death、Teardrop、IP选项、TCP异常、Smurf、Fraggle、Land、Winnuke等多种攻击 | |
| 支持SYN Cookie设置 | |
| 防病毒 | 提供全面、强劲的病毒检测及防护功能,支持通过对HTTP和FTP方式上传、下载文件、页面,或SMTP、POP3、IMAP协议发送的电子邮件及 (略) 病毒扫描,并可以根据 (略) (略) 理 |
| 支持的压缩文件解压层数,默认为3。最大支持6层 | |
| ▲支持病毒云查杀(要求提供功能截图) | |
| ▲基于安全云的威胁防护与系统联动 | 支持与终端 (略) 联动, (略) 署的终端防护系统搜集分析用户终端产生流量的N元组信息、终端进程信息及应用的MD5信息等,统 * 传递至防火墙后再 (略) ,之后 (略) (略) 检测识别,记录相关信息;另 * 方面扫描检测存在的已知或未知的病毒、0day漏洞、未知恶意代码和APT攻击等信息。 (略) 有信息传递至防火墙,动态生成对应的应用管控策略或木马查杀策略 |
| 木马专项防护 | ▲支持与终端 (略) 联动及木马云查杀功能生成日志或者动态策略。生成的木马专项查杀动态策略可以在数据被监测携带木马时,根据动态策略配置阻断数据或者记录日志(要求提供功能截图) |
| 防弱口令扫描 | 支持针对FTP、SMTP、POP3、IMAP协议防弱口令扫描功能,可以帮助用户记 (略) 络中猜测FTP用户名密码,邮件用 (略) 为。并支持生成动态策略,下发给防火墙,再次受到相同攻击时,用户可以选择禁止还是允许 (略) 为 |
| 动态策略 | ▲防火墙动态策略功能,可以通过与入侵防护策略、防弱口令扫描、 * 天眼系统联动,生成动态策略信息,根据用户在基本配置中配置的动态策略动作,命中动态策略的数据将会被阻断或者记录日志(要求提供功能截图) |
| 系统管理能力 | 支持管理员的 * 权分立,支持多种管理员角色权限:超级、审计、安全、配置、账户、虚系统配置、虚系统审计管理权限 |
| ▲支持自定义管理权限,包括模块:系统、网路、路由、对象、安全、VPN、PKI、用户认证、行为管理、应用安全、日志、监控、账户、虚系统(要求提供功能截图) | |
| ▲支持特征库在线升级,支持指定升级服务器和代理服务器(要求提供功能截图) | |
| 支持历史配置保存,可记录 * 个不同时间点的历史配置文件(要求提供功能截图) | |
| 日志审计能力 | 安全日志、NAT日志和攻击日志可按照策略中的各个元素(如IP、服务、用户、攻击名等)进行高级过滤查看 、 |
| 可提供自有品牌管理软 (略) 收集、分析,并能提供详尽日志统计报表 | |
| 支持Trap告警和邮件告警 | |
| 支持CPU、磁盘空间、内存 * 种告警阈值设定 | |
| 系统监控能力 | 支持 (略) 监控,包括:a.设备面板监控;b.接口信息监控;c.系统信息监控;d.资源状态监控;d.并发连接数监控;e.入侵防御监控;f.基于流 (略) ;g.基于用 (略) |
| 支持对在线认证用户的监控,可显示用户的客户端地址、认证服务器、引用个数及在线时长等信息 | |
| 安全诊断能力 | 支持在CLI下的在线抓包 |
| 支持在CLI下的调试工具 | |
| 产品资质要求复印件加 | ▲计算机信息系统安全专用产品销售许可证 |
| ▲国家信息安全测评信息技术产品安全测评证书(EAL3+级) | |
| 中国国家信息安全产品认证证书( * 级) | |
| 软件产品登记证书 | |
| 厂商资质要求复印件 | 设备制造商要求国 (略) 《IPSec VPN技术规范》以及《SSL VPN技术规范》编制单位 |
| 设备制造商要求具备ISO * 0信息技术服务管理体系认证证书 | |
| 设备制造商要求具备中 (略) (略) 络安全服务能力评定证书(安全设计与集成 * 级) | |
| ▲其他要求 | (略) 质保,中 (略) 商出具的售后服务承诺 (略) 商公章 |
2、入侵防御IPS:1台
| 指标项 | 技术参数(带★的指标必须满足,不允许负偏离) |
| ▲设备基本要求
| (略) 理器硬件构架,采用 (略) 安全操作系统软件架构,具备多 (略) 安全操作系统著作权证书(投标时提供相关证书,必须要有“多 (略) ”字样) |
| 至少具备5个 * / *** M (略) 口,1个扩展槽 | |
| 至少支持2路IPS或5路IDS | |
| 支持内置Bypass功能 | |
| 吞吐量≥ * Mbps | |
| 工作模式 | 支持IPS模式、IPS学习模式、IDS模式、IDS监视模式、Forward模式、Mirror模式等多种模式,支持直路 (略) 署 |
| 具有完整且互不影响的虚拟IPS能力, * 台设备虚拟多个设备,每个虚拟设备不同内存空间,不同检测策略,不同时间控制, (略) 络环境。 | |
| 安全策略 | 内置 * 种以上的签名特征, (略) 络(Botnet)特征库, (略) 络(Botnet) 特征规则数大于 * 条,提供产品界面截图 |
| 可自定义入侵攻击和应用软件的特征,可依据:IP、TCP、UDP、IGMP、ICMP等L3、L4各项参数制订特征。制订选项完全符合TCP/IP通讯协议标准,也可全面制订TCP/IP应用层的特征比对内容,不受通讯协议之限制。 | |
| 系统内置多种安全策略模板,default IDS 模板、default IPS 模板、web系统防护模板、探测扫描攻击防护模板、 (略) 络防护模板、P2P应用模板、 (略) 站访问控制模板等至少7种有针对性的策略模板,并提供产品界面截图 | |
| 可自定义管理政策 (略) 时间 | |
| 基于安全区、IP地址(组、段)、规则(组、集)、时间、动作等对象,制定不同的规则和响应方式,提供产品功能截图 | |
| IPv6支持 | ▲支持IPv4 (略) (略) ,并可同时检测IPv4及 (略) 络数据包。提供产品功能截图 |
| ▲安全事件监控 | 对事件的监控必须支持统计分析监控和实时监控, (略) (略) 为检测的方法(投标 (略) 、 (略) 或国 (略) 出具的相关证明文件复印件) |
| 统计监控器要能在 * 个配置页面 (略) 络流量监控、告警等级统计、威胁分布图、攻击源IP统计、目的IP地址统计,此监控必须是通过实时采样及统计分析的实时数据,而且报表统计或历史数据查询,并提供产品界面截图 | |
| 基本检测功能 | 采用全面深入的协议分析技术,结合模式匹配、协议识别、协议异常检测、关联分析等多种技术,准确识别各种攻击,能够检测 (略) 络应用层协议; |
| 协议分析:支持对VLAN、MPLS、ARP、TCP、UDP、RPC、WCCP、GRE、 QinQ、IPV6、SMTP等各种协议的分析 | |
|
阻断蠕虫传播 防御操作系统漏洞攻击 | 在不影响合法流量正常通信的前提下,可以阻止拦截蠕虫、网络病毒、间谍软件、木马、IM即时通讯、网络在线游戏、P2P下载、P2P在线视频 |
| 系统须可支持在IEEE * .1Q VLA (略) 检测 | |
| IPS能发现蠕虫入侵,并能立即丢弃尝试入侵的数据包,让蠕虫无法顺利扩散,能对Zotob worm、 MS SQL Slammer Wor (略) 检测和控制; | |
| 可针对Windows、Unix、Linux等操作系 (略) 防御,弱点类型包含了Stack and Heap Buffer overflow、Format string error、Memory access error、Memory corruption、 Access control and Design weakness等 | |
| Web系统攻击防御 | 可针对IIS、Apache等不同的Web服务器 (略) 防御,并可追踪管理 Web服务器对数 (略) 为, (略) SQL注入请求 |
| 防御木马 | 检测基于ActiveX、XML、VML、MDAC等漏洞,可阻止访 (略) 站时被诱使植入木马的攻击;检测利用Dropper技术隐藏木马的Microsoft Office文件,可阻止下载并启动这些文档;具有丰富的漏洞特征库可以实现对木马的精准拦截 |
| 间谍软件 | 可通过监 (略) 程序、ActiveX、Java applet等可以的活动,实现阻止间谍软件通过广告、浏览器漏洞、自定义ActiveX插件等渠道实现安装 |
| ▲攻击防护 | 可依据Bot (略) 络联机黑名单(RBL)以及特征码,侦测 (略) 络联机。 (略) 络RBL功能截图 |
| 要求双向阻断TCP/UDP/IGMP/ICMP/IP Flooding、UDP/ICMP Smurfing等各种类型的DoS/DDoS的攻击,要求类型包括XDoS、SUPERDDoS、FATBOY 等 * 种以上。提供产品功能截图 | |
| 虚拟通道管理 | ▲支持对VNN SoftEther、 Hamachi、 TinyVPN、 PacketiX 、 HTTP-Tun (略) 的虚拟通道实现阻断管理,提供产品功能截图 |
| 异常流量监控及带宽管理 | ▲提供流量监控功能,可以根据协议、端口、源/目的IP地址、网段、时间及带宽等因素,实现基于内容、面向对象的流量保护策略,支持的常用软件包括Thunder、eMule、 WinMX、QQLive(China)、Skype、eDonley、BitTorrent、Mldornkey等 * 余种;针对P2P引用的带宽限流,可精准到1Kbps。提供产品功能截图 |
| 响应方式 | 支持丢弃数据包、中断连机、事件监视/记录 |
| 支持与防火墙联动 | |
| 限制连接传输宽带、限制传输 (略) 理方式 | |
| 管理/报表 多级管理 和集中管理 | 系统须具备实时警报功能,可透过管理Console、E-Mail Alert等方式通知管理者,并可显示实时攻击事件信息﹐及透过SNMP警示设备本身状况。 可生成多种格式的统计报表。并支持定时自动发送报表; |
| 系统可支 (略) 定义或修改事件响应方式;支持web (略) 下的管理,web管理界面为全中文界面。 | |
| ▲支持sys (略) 理功能,具备高性能的sys (略) 理和存储方法, (略) 理日志信息的数据(投标 (略) 、 (略) 或国 (略) 出具的相关证明文件复印件) | |
| 支持集中控制、集中管理功能,可实现集中式安全监控管理和配置管理。 | |
| 可靠性要求 | 支持硬件Bypass,保证设备在断电或宕机的情况下, (略) 络中断 |
| 支持软件bypass,保证设备在下发策略、编译应用策略时, (略) 络以及探测器与管理器之间的正常通讯。 | |
| 支持双机热备, (略) 络物理接口,可实现在设备宕机、端口坏等故障下的主机和从机的及时切换,切换时间小于1秒钟 | |
| 设备的升级 | 厂商提供对规则库的升级更新,频率不低于每周 * 次; |
| 支持设备在线升级。 | |
| ▲产品资质要求(投标时提供相关资质复印件) | (略) 销售许可证( * 级) |
| 信息技术产品安全测评证书EAL3级 | |
| (略) 涉密信息系统产品检测证书 | |
| ▲其他要求 | (略) 质保,3年特征库升级,中 (略) 商出具的售后服务承诺 (略) 商公章 |
3、日志审计:1台
| 指标项 | 技术参数(带▲的指标必须满足,不允许负偏离) |
|
| ▲硬件和性能技术指标 | (略) 理器硬件构架,采用专用的多 (略) 安全操作系统(投标时提供相关证书,必须要有“多 (略) ”字样) |
|
| 事件采集性能:每秒采集 * 条事件 |
| |
| 事件分析性能:每秒实时关联分析 * 条事件 |
| |
| 端口配置≥6个 * / *** M Base-T电口。 |
| |
| 存储空间≥1TB |
| |
| 本次采购 * 个审计节点许可 |
| |
| 用户使用模式 | 界面 * %都是B/S模式,无需安装客户端,使用IE浏览 (略) ,浏览器端无需安装 (略) 环境。 |
|
| 管理范围 | 能够对企业和组织的IT资源中构成业务信息 (略) 络设备、安全设备、安全系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警等 (略) 全面的审计。 |
|
| △日志审计对象 | (略) 络设备(路由器,交换机)、安全设备(包括防火墙,VPN,IDS,IPS, (略) 关)、安全系统(Symantec、瑞星、江民、微软ISA、Windows防火墙)、主机操作系统(包括Windows, Solaris, Linux, AIX, HP-UX)、数据库(Sql Server)以及各种应用系统(邮件,Web,FTP,Telnet)的日志、事件、告警等 (略) 全面的审计。具有高性能的Sys (略) 理和存储方法,提供支持此技术的相关知识产权证明或检测报告复印件投标 (略) 、国 (略) 或 (略) 出具的相关证明文件复印件,如专利证书、检测报告等 |
|
| 日志采集方式 | 通过 SNMP、Syslog、数据库、文件、NetFlow、OPSEC、软件日志采集器、硬件探针等多种方式完成数据收集功能。 |
|
| △智能监控频道 | 智能监控频道为用户提供了 * 个从总体上把握企业和组织整体安全情况的界面。通过智能监控频道,用户可以快速导航到系统的各个功能界面,可以看到当前企业和组织的整体安全等级;监控频道显示的内容用户可以任意定制,监 (略) 用户也可以定制;用户可以定义多个监控频道,并保存,每个用户登录后可以直接导航他定义的监控频道界面。(要求提供配置界面截图) | |
| 资产管理 | 按照设备资产重要程度和管理域的方式组织设备资产,提供便捷的添加、修改、删除、查询与统计功能,便于安全管理和系统管理人员能 (略) 需设备资产的信息, (略) 关键度赋值。 |
|
| (略) 理 | 日 (略) 字段和安全等 (略) 理,并保留原始日志,方便用户对关键日志快速定位 |
|
| 日志查询 | 日志采用统 * 的日志查询界面,简单实用,快捷方便;用户可以自定 (略) 景,并以树形结构组织。 | |
| 日志实时分 | 监控管理人员可以通过日志分析对来自 (略) (略) 实时查询、分析和统计,从而快速识别安全事故。所有的日志分 (略) 景的方式列举出来,管理人员可以方便的 (略) 景之间快速切换,提高分析工作的效率。管理员可以自定义 (略) 景。对于分析结果可以通过柱图、饼图、曲线图等形式形象地展示出来,并自动实时刷新。 |
|
| 分析和统计 | 日志实时分析在内存中完成,不需借助数据库和文件系统 |
|
| ▲事件可视化展现 | 除了能够将事件以柱图、饼图等图形统计事件信息外,还能够通过世界地图定位IP地址,通过事件 (略) 络安全态势, (略) 为分析图展示 * 段时间内 (略) 为,并支持雷达图反映当前事件流量。(要求提供配置界面截图) |
|
| 日志在线挖掘 | 系统具备事件挖掘能力:管理员通过事件调查工具可以对某条感兴趣的日志中的源IP地址、目的IP地址、或者 (略) 相关性日志检索。 |
|
| 事件追溯 | 对于关联事件, (略) 追溯,查看导致该 (略) 有原始事件 |
|
| ▲事件定位 | 能够在世界地图上实时定位事件源/目的IP地址的地理位置(要求提供配置界面截图) |
|
| 规则管理 | 提供可视化规则编辑器, (略) 增删改查。在事件分析引擎的驱动下,根据事件关联规则,针对来自企业和组织的 (略) 关联分析,抽取出对于安全管理人员真正有用的安全信息,从而协助安全管理人员快速识别安全事故。可对不同类型设备的 (略) 关联分析。 |
|
| 日志采集器管理 | (略) 有注册了的通用日志采集器的 (略) 实时监控,包括采集器的启动、停止,以及配置采集器发送什么类型的 (略) 。 |
|
| 告警和响应管理 | 通过关联分析,对于发现的严重 (略) 自动告警。告警方式包括邮件、短信、SNMP Trap告警的方式通知管理人员。响应方式包括: (略) 预定义脚本,自动将事件属性作为参数传递 (略) 程序。此外,还支持设备联动,即可以在告警后对防火墙/NIDS/网络设备下发联动策略,及时阻断威胁。 |
|
| 报表管理 | 提供丰富的报表管理功能;根据时间、数据类型等生成报表,提供打印、导出以及邮件送达等服务;直观地为管理员提供决策和分析的数据基础,帮助 (略) 络及业务系统的状况。报表可以保存为html,excel,文本,pdf等多种格式。提供自定义报表,用户可根据 (略) 定制。报表可根据 (略) 。 |
|
| ▲产品资质要求 | (略) 《计算机信息系统专用产品销售许可证》增强型(提供相关复印件) |
|
| 中国信 (略) 《中国国家信息安全产品认证证书》(3C)增强级(提供相关复印件) |
| |
| ▲其他要求 | (略) 质保,中 (略) 商出具的售后服务承诺 (略) 商公章 |
|
4、运维审计(堡垒机):1台
| 指标项 | 技术参数(带▲的指标必须满足,不允许负偏离) | |
| 系统架构 | 产品外观 | 标准1U机架式 |
| 产品架构 | 软硬件 * 体化产品 | |
| 部署方式 | (略) 署, (略) 络结构 | |
| 访问方式 | 采用B/S结构,采用HTTPS方式访问,无需安装任何代理 | |
| 网络接口 | 4个 * / *** (略) 网口(1个管理口,1个采集口,1个热备口,1个备口)。1个Console口,支持Console口管理 | |
| 数据安全性 | 专用千兆多核硬件平台和安全操作系统,MTBF不少于6万小时,支持双机热备,支持集群 | |
| 数据存储 | 系统标配 * G硬盘 | |
| ▲性能要求 | 并发会话数 | 图形并发会话数>= * |
| 字符型并发会话数>= * | ||
| 本次配置 * 个审计节点许可 | ||
|
功能要求 | 基础功能 | 提供系统自身状态的监控功能,包括:cpu工作情况,内存使用情况,磁盘使用情况,网卡使用情况,系统自身数据库工作情况,系统自身WEB服务工作情况,系统自身其他关键组件工作情况等。 |
| 可以使用WEB方 (略) 重启和关机。 | ||
| 可以对系 (略) 设置,可以同步ntp服务器上的时间(需打 * 版本升级包)。 | ||
| 支持系统自身程序通过WEB方式升级。 | ||
| 支持日志的备份、导出和恢复。 | ||
| 支持双机热备、冷备、主主模式。 | ||
| 支持协议 | ▲使用远程终端服务:例如telnet、ssh (略) 接口(CLI)。(投标时需要提供功能截图) | |
| 使用文件传输协议:例如FTP、SFTP等。 | ||
| 使用远程窗口和桌面:例如Windows的远程桌面(RDP),和Unix的Xwindow。 | ||
| 使用各种数据库客户端:例如各种数据库的client程序、ODBC、JDBC,以及多种其它数据库工具。 | ||
| 服务器访问方式 | △Web访问方式:通过审计系统的Web管理页面直接访问服务器(不需要安装代理,无需安装JDK等)。要求系统具备 * 种基于用户的安全访问控制的方法技术,为避免虚假应标,投标时提供自主知识产权证明复印件 | |
| 支持RDP、VNC、X * 、SSH、TELNET、FTP等访问协议。 | ||
| ▲客户端方式支持RDP、VNC、X * 、SSH、TELENT、FTP、SFTP、Oracle、MySQL、sybase等。(投标时需要提供功能截图) | ||
| 支持客户端(SecureCRT、putty)clone session功能,能够直接clone到目标服务器的访问会话。 | ||
| 登录菜单访问:客户端访问审计系统即可显示用户能访问的资源清单菜单,用户通过字符菜单活图形菜单选择方式直接访问服务器。 | ||
| 菜单访问方式支持RDP、VNC、X * 、SSH、TELNET、FTP等协议。 | ||
| 支持Winodws AD域功能。 | ||
| (略) 为记录 | ▲对SSH、Telnet、x * 、FTP/SFTP、数 (略) 审计。 (略) 络集中管理平 (略) (略) 理方法,投标时提供支持此技术的国家知识产权证明复印件。 | |
| 记录发生时间、源IP、目标IP、源端口、目标端口、操作指令、运维审计系统用户、目标服务器账号、访问结果等消息。 | ||
| 对RDP、VNC、X * 等图形终端操作的 (略) 记录及审计,消息记录访问开始时间、源IP、目标IP、源端口、目标端口、运维审计系统用户、目标服务器账号等信息。 | ||
| 能够记录RDP协议中的活动窗口名称、删除文件等动作,并能记录RDP会话中的键盘输入信息。 | ||
| 会话过程回放 | 支持倍速/低速播放、拖拽、暂停、停止、重新播放等播放控制操作。 | |
| 身份认证及访问授权 | 支持多种认证方式:密码、动态口令、USBKEY、指纹识别。 | |
| 系统支持短信授权操作 | ||
| 支持SSO单点登录功能,使用人员不需要知道服务器账号及密码, (略) * 次登录认证。 | ||
| 支持限制运维用户访问源IP功能。 | ||
| 授权分为运维审计管理功能授权和资源访问授权。内部管理功能授权可以限制到某个树形节点的范围内。 | ||
| 支持授权的流程管理。支持流程申请人、审批人、执行人的委派。授权需要申请人定义申请单,发起事件申请;事件可以多人审批,审批人收到申请后可以同意或拒绝申请,同意时 (略) (略) 实际的管 (略) | ||
| 支持按用户组、资 (略) 访问授权。 | ||
| (略) 管理功能权限支持角色定义,角色可以针对目录树的节点定义,从而使角色即可以限制能够使用的功能项,也达到角色权限只在某个树形节点范围内生效。 | ||
| 资源管理 | 能够添加、修改、删除被管资源。 | |
| 支持自定义添加资源类型和操作系统提 | ||
| 支持应用发布服务器代理方式调用C/S架构并可无限制自定 (略) 业应用软件, (略) 代填实现单点登录提供界面截图 | ||
| 支持资源的分组管理,分组可以树形方式展现,不限制分组层级数量 | ||
| 资源类型支持Windows主机、域控主机、域控内主机、Unix主机、 (略) 络设备、安全设备、网元、数据库等。 | ||
| 支持资源接入的流程管理,支持流程申请人、审批人、执行人的委派。资源的接入需要申请人定义申请单,发起事件申请;事件可以多人审批,审批人收到申请后可以同意或拒绝申请,同意时 (略) (略) 实际的管 (略) 。(需升级到 * 版本) | ||
| 系统支持将堡垒机内的单点登录信息导出为SecureCRT可导入的格式 | ||
| 产品自带SSO单点登录控件, (略) (略) 署SecureCRT、SSHClient等终端仿真程序,即可通过SSH、TELNET、FTP、VNC、XWI (略) 管协 (略) 运维操作。 | ||
| 对于数据库、web、专用C/S客户端程序支持以应用发 (略) 授权和审计。 | ||
| 访问控制及异常告警 | 支持根据IP地质、时间、用户名、操作指令等内容设定安全时间规则。 | |
| 支持黑、白名单控制,可根据黑白名单的命令集限制用户的操作权限。 | ||
| 对违 (略) 告警及自动阻断。 | ||
| 客户端地址策略可以应用于主帐号,也可以应用于从帐号。 | ||
| 实时监控
| 支持实时审计。操作人员对于资源的访问,审计员可以实时查看。 | |
| 实时会话监控列表:显示会话连接状态。显示会话来源、目标地址、账号及访问人信息。(投标时需要提供功能截图) | ||
| 同步监控操作过程:支持对 (略) 同步监控,执行会话回放、监控和阻断操作。 | ||
| 系统状态监控:实时监控审计系统CPU、内存、磁盘的使用情况。 | ||
| 审计系统监控:记录审计系统自身的管理操作,保障审计系统自身安全。 | ||
| 组态报表 | 系统具备组态报表功能,支持用户自定义报表模板,可以通过制定动态模板、静态模板,可以对 (略) 组合查询。查询结果可以导出TXT、HTML、XLS等多种格式报表文件。 | |
| 用命 (略) 审计结果查询时,可以同时输入多个命令,为多命令查询提供便利。 | ||
| 按照预设统计报表模板和命令关键 (略) 查询统计时,可以同时输入多个命令,为多命令的统计报表提供便利。 | ||
| 支持以html或Excel方式输出。 | ||
| 支持自定义模板,支持 * 次开发定制报表。 | ||
| 系统管理功能 | (略) 关配置功能 | |
| 支持金税key认证 | ||
| 支持从WEB管理界面重启、关闭设备。 | ||
| 运维终端安全检查 | ||
| 支持从WE (略) 卡IP设置、静态路由设置等内容。 | ||
| 支持页面超时设置, * 段时 (略) 任何操作后,将自动结束页面登 * 会话。 | ||
| 对外接口 | 对所有审计日志提供外发接口,可以配置只外发字符审计,也可 (略) 有审计(将字符和图形录像的审计日志外发其他设备),并且可以配置对端端口。 | |
| 支持认证接口,可以配置认证服务器地址和端口。 | ||
| 系统扩展 | 支持4A扩展,可以将审计日志输出到4A平台。 | |
| 支持与SOC联动,可以将审计日志输出到SOC平台。 | ||
| 产品资质(投标时提供相关资质复印件)
| (略) 销售许可证 | |
| (略) 络与信息安全信息通报机制技术支撑单位,并提供证明文件。 | ||
| 国家信息安全服务 * 级资质; | ||
| 具备ISCCC * 级应急能力资质; | ||
| 具备ISCCC * 级风险评估服务资质; | ||
| ▲其他要求 | (略) 质保,中 (略) 商出具的售后服务承诺 (略) 商公章 | |
5、数据库审计:1台
| 指标项 | 技术参数要求 |
| ▲硬件规格 | 国产品牌 |
| 标准2U机架 * 体化设备(审计引擎和数据引擎 * 体化) | |
| 具备≥6 (略) 电口 | |
| 1个扩展槽,可扩展2端口万兆、4端口千兆接口板(光/电任选) | |
| >=2T本地存储 | |
| 交流单电源 | |
| ▲性能要求 | (略) 理能力≥ * 0条/秒 |
| 每1T本地存储可提供≥ * 亿条日志存储能力 | |
| 实配不少于 * 个数据据库服务器或实例审计 | |
| 部署方式 | (略) 署集中管理方式 |
| (略) 署 (略) 署方式 | |
| 支持系统危险链路旁路阻断功能和危险链接串联阻断功能 | |
| 支 (略) 署方式 (略) 署方式 | |
| 支 (略) 署方式(主备、主主) | |
| 多合 * 功能 | 单 * 设备即可同时支持包括数据库审计、数据库防火墙、风险扫描、状态监控、数据库透明加密、运维审计等功能,可按需扩展。(需提供设备配置截图证明) ▲投标时提供 * 种SYN洪水攻击的防御方法和装置自主知识产权证明复印件; 提供 * 种事件的检测方法及装置专利证书(投标时提供证书复印件) |
| 数据库兼容性 | 支持Oracle、MSSQL、DB2、Sybase、Informix、MYSQ、人大金仓、南大、神通、达梦等主流数据库审计 |
| 数据库审计 | 数据库访问记录应至少包括发生时间、业务用户名、操作终端主机名及IP地址、终端工具名称、服务器端主机名及IP地址、数据库名、表名、SQL语句、响应时间、返回结果等关键信息 |
| 支持对S (略) 结果(成功/失败)、S (略) 时间、S (略) 异常等数据库操作响应信息的审计 | |
| 支持变量绑定值的记录:很多基于数据库的查询是通过Bind Variable完成的。这就要求审计系统不光要记录查询中Bind Variable的变量的名字,还要记录Bind Variable的数值 | |
| 支持时间、IP地址、用户名、终端名的黑白名单策略,可将已知可信用户、可信时间之外的操作定义为高风险操作 | |
| 支持定义事件类型,每种事件类型可以对应多个事件策略,不同策略命中的事件可以有高、中、低等多个风险级别 | |
| 能够自动记录和分析SQL语句并快速制定安全策略,包括:将SQL语句归纳为不同的集群; (略) 有SQL的相应威胁程度,至少包括高、中、低、提醒等告警级别 | |
| (略) 有SQL日志的归并策略,可以将同类型的多条 (略) 汇聚,并可以限定同类型安全事件的记录条数 | |
| 系统提供白名单规则策略、黑名单规则策略、正则表达式规则策略、关键字表达式规则策略、例外规则策略 | |
| 能够过滤数据 (略) 过程中自动产生的SQL语句,减少不必要的干扰信息 | |
| 基于TDS,TNS等数据库协议识别解析数据库操作语句,而不是基于简单的文本识别 | |
| (略) 细粒度解析,支持审计数据库操作(DM)、对象管理(DD)、控制(DC)等操作语句的审计,解析后的日志记录至少包括访问发生时间、客户端IP地址、客户端MAC、终端程序、访问账号、访问数据库名、操作表名、SQL语句、数据库响应时间以及返回结果等关键信息 | |
| 审计策略与规则 | 设备必须自带默认审计策略,支持用户自定义策略和规则,系统必须支 (略) 为的黑名单、白名单,方便用户灵活配置审计规则 |
| 审计规则设置支持以服务器IP、数据库类型、数据库表、操作类型设定的各种组合审计规则,还支持以关键字设定规则 | |
| 白名单设置 | 支持对于符合条件的SQL (略) , (略) 记录 |
| 支持以操作类型、时间、IP地址、用户名、主机名、终端名、数据库操作类型、数据库表、 (略) 、字符串、认证结果、响应时间、敏感数据、等作为事件识别规则 | |
| 支持时间、IP地址、用户名、终端名的白名单策略,将已知可信用户、可信时间之外的操作识别为高风险操作 | |
| 审计告警 | 内置自动告警设置,允许用户设定威胁自动告警,告警必须提供级别设定,至少提供致命、高风险、中风险、低风险4种告警级别 |
| 支持SYSLOG、SNMP TRAP、邮件、FTP等多种事件告警方式 | |
| 检索 | 支持通过IP地址、用户名、操作类型、关键词、时间等基本条件查询审计事件 |
| 支持通过策略名称、操作来源名称、风险级别、事件类型查询审计事件 | |
| 支持SQL关键字翻译功能,支持将审计记录中SQL语句关键字翻译成中文,便于非专业人员阅读(需提供设备配置截图证明) | |
| 支持将审计日志的 (略) (略) 理,防止敏感数据泄露(需提供设备配置截图证明) | |
| * 亿条日志的任意关键字组合(包括通配符)检索时间< * 分钟 | |
| 提供对风险和危害访问的分析,包括:高危操作分析和追踪、大规模数据泄露分析和追踪、批量数据篡改分析和追踪、 (略) 为分析和追踪 | |
| 审计日志管理 | 支持按日志属性、日志类型、 (略) 数据备份,自动与手动两种备份归档方式 |
| 支持FTP将数据备份到其他存储上,以备本机硬盘空间不够的情况下,数据能够依然保存 | |
| 支持还原转储出去的数据,还原之后数据可在系统中查询 | |
| #数据库防火墙 | 按照SQL操作类型包括Select、Insert、Update、Delete,对象拥有者,及基于表、视图对象、 (略) 权限控制(需提供设备配置截图证明) |
| 基于自学习机制的风险管控模型,主动监控数据库活动,防止未授权的数据库访问、权限或角色升级,以及对敏感数据的非法访问等。 | |
| 数据加密 | 支持对数据库表中的敏感字段、行、列指定加密算法及权限配置。(需提供设备配置截图证明) |
| 支持对加密过的密文建立索引,提高检索的速度。 | |
| 数据库状态监控 | 系统界面可以显示数据库的用户、缓冲区击中率、共享内存等变化趋势图。 |
| 系统界面可以显示数据库的索引效率、查询统计、查询缓冲命中率等信息。 | |
| 系统支持设置数据库状态参数阈值,触发阈值时可快速告警。 | |
| 数据库状风险扫描 | 内置漏洞扫描功能,无需单独安装软件;支持发现式漏洞扫描,支持漏扫报告生成和导出。(需提供设备配置截图证明) |
| 密文权限控制 | 对于密文数据的操作访问, (略) 增强的权限控制,用户必须同时具有DBA和DSA的授权,才能对 (略) 操作访问。 |
| 系统支持增删改查操作,函数、存储过程及主外键、唯 * 索引、NOT NU等重要约束透明。 | |
| JDBC、ODBC、OCI等开发接口透明。 | |
| 报表功能 | 支持对SQL语句操作类型统计、事件类型统计、风险级别统计、流量统计,同时按在线用户、客户端IP、会话、模板数等支持在线信息统计 |
| △界面及安全管理 | 支持基于WEB方式的远程管理方式,采用H (略) 安全加密的配置管理 |
| 提供管理员权限设置和分权管理,提供 * 权分立功能,系统可以对使用人 (略) 审计记录,可以 (略) 查询,具有自身安全审计功能 | |
| (略) 署、管理复杂度, * (略) 有工作,采集(审计引擎)、审计( (略) )、管理系统等功能均集中在同 * 设备内, (略) 署其他软、硬件 | |
| 产品资质 | 《计算机信息系统安全专用产品销售许可证》 《计算机软件著作权登记证书》 《软件产品登记证书》 |
| ▲其它 | 中标后 * 个工作日内,招标人有权要求投标人提供同 (略) 上述功能要求的逐 * 测试验证,全部通 (略) 合同流程,测试中发现 (略) 为 (略) 理 (略) 商追究相关责任的权利。 |
| 管理功能 | 具备应用监控管理功能(投标时提供界面截图证明) |
| 具备脆弱性管理功能(投标时提供界面截图证明) | |
| ▲具备等级保护管理功能(投标时提供界面截图证明) | |
| 高可靠性 | 所投产品要必须与neteye安全设备实 (略) 署, (略) 络系统的安全可 (略) ,全面实现系统业务访问综合安全可靠性;(需在投标文件中阐述实现原理和实施方案)。 |
| 厂商要求(投标时提供证书复印件) | (略) 家应为C (略) 络安全应急服务支撑单位证书(国家级, * 年最新颁发新证) |
| 涉及国家秘密的计算机信息系统集成 * 级资质证书 | |
| 计算机信息系统集成企业 * 级资质证书 | |
| 国家信息安全服务资质认证证书_信息安全风险评估服务 * 级资质 | |
| 国家信息安全服务资质认证 (略) 理 * 级资质 | |
| 国家信息安全漏洞库技术支撑单位 | |
| 产品成熟度达到CMMI5认证 | |
| (略) 络安全威胁治理联盟成员单位证书 | |
| 厂家通过信息安全等级保护安全建设服务机构能力评估合格认证 | |
| ▲服务要求 | 3年质保服务,投标时 (略) 服务承诺函; (略) 服务、产品的安装、 (略) 工程师完成实施。可 (略) (略) 或 * 电话查询其设备的用户归属为“最终用户的准确名称”;设备的包装 (略) 且注明最终用户的名称为“最终用户的准确名称” |
6、应用负载均衡系统:1套
| 指标项 | 指标要求(▲为关键指标,不允许负偏离) |
| 基本形态 | 软件版▲平台能够支持任何云平台和虚拟化, (略) 署到任何云平台/虚拟化,能跟随虚拟化和云平台出现单点故障时自动漂移到可用的物理服务器上。(支持任何虚拟化和云平台:华为、H3C、阿里、微软、vmware,等) |
| 硬件支持 | ▲平台能够支持任何硬件的CP (略) 口(CPU可支持8颗以上,内存可支持 * G以上,网口可以支持8个万兆口以上)。能随时根据用户需求调整CPU颗数和内存的大小。单万兆口负载不低于9.8G流量。并发数最大可以支持 * 万 |
| 负载方式 | 平台支持4-7层应用负载均衡,至少 * 种负载方式:简单的轮询、权重、最少连接、源IP、请求的URI、根据请求的URl参数、根据HTTP请求头来锁定每 * 次HTTP请求、很据cookie(name)来锁定并哈希每 * 次TCP请求 |
| 快速转发 | 平台支持tcp加速、支持响应池、能够实现零复制转发 |
| 压力测试 | ▲平台支持应用压力测试,能对应 (略) 压力测试,支持端口扫描,能探测应 (略) 有端口, (略) 应用负载配置和对后 (略) 理性能评估 |
| 配置模式 | ▲平台可以支持代理模式的负载均衡,在不修改应用服务器的任何配置和任何交换机的配置,就能对实际应用服务器负载(跨网段,跨路由) |
| 相关证书 | 提供计算机软件著作权登记证书 |
| 售后服务 | (略) * 年服务承诺函,中标方应在中标后 * 个工作日内提供产品测试, (略) 需求 (略) 理 |
7、SSL (略) 关:1台
| 指标项 | 技术参数要求(▲为关键指标,不允许负偏离) |
| SSL VPN 性能要求 | SSLVPN加密速度≥ * Mbps |
| SSLVPN并发用户数≥ * | |
| SSLVPN每秒新建用户数≥ * | |
| IPSecVPN加密速度≥ * Mbps | |
| IPSecVPN并发会话数≥ * ,IPSecVPN隧道数≥ * | |
| 防火墙吞吐量≥ * Mbps | |
| 最大并发会话数目≥ * , * | |
| 网络接口≥4个千兆电口 | |
| 电源:单电源 | |
| 尺寸1U | |
| 业务需要 | 为提升我单位信息安全系统的自主可控能力,产品必须支持中国国家标准的商用密码算法(简称“国密”),包括:SM1(含SCB2),SM2、SM3、SM4。 |
| △为保证我单位第 * 方接入的安全性,保证我单位核心系统数据不外泄,要求设备支持安全桌面功能,强制受保护的业务系统仅可在安全桌面下使用;退出安全桌面后清除安全桌面内 * 切操作和遗留的痕迹,保证重要应用使用的安全性。支持文件导出的审计、数据加密保存、离线访问等功能。(提供产品配置界面证明) | |
| ▲为加强我单位身份认证,防止登录SSL VPN后冒名登录应用系统,必须支持主从认证账号绑定,实现SSL VPN账号与应用系统账号的唯 * 绑定,VPN资源中的系统只能以指定账号登 * 。(提供产品配置界面证明) | |
| 我单位 (略) 线路,要求设备必须支持至少4 (略) 多线路配置;并 (略) 署模式下,多线 (略) 关,仅依靠SSLVPN设备同样可实现SSLVPN接入用户的多线路自动优选功能 | |
| ▲为保证本次采购的设备性能的可扩展性,支持 * 台不同型 (略) 集群(A/A),支持路由模式、单臂模 (略) 署的集群;要求设备支持多机非 (略) 署方式。(例如设备支持 * 并发用户,如今后增加到 * 并发用户,则仅需要购买 * 台支持 * 并发用户的设备,与原设备组成非对称集群即可,两台设备必须同时激活。)(提供界面配置截图并加盖公章) | |
| ▲为解决我单位对访问中的移动设备(手机、PAD)管理的难题,必须支持设备注册、数据擦除、丢失告警等移动设备管理功能,同时能够在SSL VPN登录客户端下载或打开单位移动业务应用(提供界面配置截图并加盖公章) | |
| ▲为满足我单位已开发的APP安全接入业务系统需求,必须提供集成的VPN于Android、IOS平台的第 * 方软件开发包(SDK),实现对APP的VPN安全模块封装,为减少开发量,代码量 (略) (要求提供代码Demo和企业证明);为提升APP开发效率,提供VPN安全模块APP封装平台,无需手动开发,实现在VPN控制后台直接上传APP应用并封装(提供界面截图证明),针对我单位APP业务安全接入需要,产品必须支持 * 次开发要求,厂商必须免费提供 * 次开发技术支持。 | |
| 基本特性 | 为满足我单位移动用户安全接入及 (略) 的需求, (略) 产品为专业VPN设备,采用标准SSL、TLS 协议,同时支持IPSec VPN、SSLVPN两种VPN,非插卡或防火墙带VPN模块设备。 |
| 支持对基于HTTP、HTTPS、FileShare、DNS、H. * 、SMTP、POP3、Telnet、 (略) 有B/S、C/S应用系统,支持基于TCP、UDP、ICMP等IP层以上的协议的应用,例如即时通讯、视频、语音、Ping等服务; | |
| ▲为保证VPN客户端接入兼容性,必须支持多种终端系统,如windows * 、Windows * 、Windows8、Windows7、Windows Vista、Windows xp、Mac OS、Linux、ios9.x等及以下版本,使用包括IE * 及以下版本或其他IE内核的浏览器,以及非IE内核浏览器,如Windows EDGE,Google Chrome,Firefox,Safari,Opera最新版登录SSLVPN系统,登录后可完整支持各种IP层以上的B/S和C/S应用。 | |
| SSL VPN应具备基于用户的VPN虚拟专线功能,移动用户在接 (略) 的同时断开与Internet其他连接的功能。支持VPN断线重连功能。 | |
| 易用性 | 为保障 * 台设备为多个不同用户群体服务的使用效果,实现设备的最大利用率,要求投标产品可支持虚拟门户功能,在 * 台设备上配置不同的访问域名、IP地址,以及不同的使用界面,实现 * 台设备为多个不同用户群体服务的的使用效果。每 * 台虚拟设备都支持独立 (略) 管理。 |
| 为减少用户使 (略) 需录入用户名密码的次数,提升用户体验,本次招标产品需支持单点登录功能(SSO),支持移动用户登录VPN (略) B/S、C/S应用系统时不需要 * 次重复认证。支持针对B/S单点登录用户名密码加密传输,保证安全;支持针对不同的访问资源设定不同的SSO用户名和密码, (略) 修改SSO账号。 | |
| 安全性 | ▲为防止不法分子利用sslstri (略) arp欺骗而突破经过ssl加密的协议,从而获得单位数据,产品必须支持在用户登录SSLVPN时智能判断存在此类 (略) 为,断开被攻击的连接,并可提示异常现象。(可提供证明材料) |
| 为确保远程移动用户 (略) (略) 上的各种威胁,如病毒、木马、黑客攻 (略) , (略) 产品支持用户登 * 前和登 * 后的客户端安全性检测,检测范围包括:进程、文件、注册表、操作系统等,可以根据检测出来的安全级别不同给予不同的访问资源控制。 | |
| 身份认证 | 为满足不同级别用户的不 (略) 全级别需求,产品必须支持Local DB 、USB KEY、短信认证、硬件特征码、动态令牌、数字证书认证、LDAP、RADIUS、等认证方式;可针对用户/用户组设置认证方式的与、或组合, (略) 用户名/密码、LDAP、USB KEY、硬件特征码、短信认证或动态令牌的 * 因素捆绑认证,为保证后期认证的可拓展性,支持多种短信认证平台,如GSM、CDMA制式短信猫、webservice、webservice嘉迅版等 |
| 为保障接入我单位核心系统终端的合法性,要求设备支持客户端主机硬件特征码认证,通过获取客户端的硬件信息生成HARDCA证书(支持windows、IOS、Android等系统),实现HARDCA证书和用户账户的绑定,实现接入终端的唯 * 性控制,支持硬件特征码自动生成及自动审批,单台VPN设备可扩展同时支持5套以上CA根证书; | |
| 高可用性 | 为保障多链路情况下,我单位系统访问的稳定性与高速性,要求设备支持启用多线路时,自动检测故障线路,并自动踢出故障线路; * 旦线路恢复,可在 * 定时间内自动恢复。 |
| ▲为保障我 (略) 页访问质量,必须支持针对不同的w (略) 数据优化,通过动态压缩技术,基 (略) 压缩,减少不必要的数据传输。(提供界面配置截图,并提供自主知识产权证明) | |
| △为避免我单位业务跨平台兼容性,降低多平台开发的工作量,必须支持将移动终端或其他系统无法兼容的 (略) 于服务器端,办公人员通过无法兼容的系统登录VPN后直接使用业务系统,同时为保障远程访问的快速性,支持改写远程传输协议(WindowsRDP),通过有损压缩算法、过滤动态内容技术(gif/flash/video)以减少传输流量(必须提供配置界面截图) | |
| ▲我单位人员分布广, (略) 络情况下的接入速度,设备需支持单边加速功能,即在客户端不安装任何插件的情况下,实现跨运营商高丢包、高延时下的快速接入。(提供自主知识产权证明并加盖公章) | |
| ▲针对我单位B/S资源,为提升访问质量,需支持动态缓存、WebCache等技术,提高Web页面响应速度。同时通过流缓存技术, (略) 关、网关与移动客 (略) 多磁盘、双向、削减冗余数据,降低带宽压力(提供界面配置截图,并提供自主知识产权证明)支持针对不同的w (略) 数据优化,支持动态压缩技术,基 (略) 压缩,减少不必要的数据传输。 | |
| 为保障高可用性,要求设备在负 (略) 署模式下,支持授权漂移,即当集群中 * 台设备宕机,该宕机设备中的并发授权自动迁移到其他正常的设备中,而无需额外购买授权。 | |
| 支持 * 级以上的管理员分级分权限管理,从Admin派生树形结构下级管理员; | |
| 移动智能终端支持 | 针对我单位还未开发APP的C/S应用程序,产品必须支持应用虚拟化功能,可以无需 * 次开发,即把该应用发布到移动智能终端中。 |
| 远程应用发布数据传输过程中使用SSLVPN协议加密,加密算法支持中国家标准的商用密码算法(简称国密),保证了数据传输的合法性和安全性;远程应用发布客户端应支持IOS图标发布资源。远程应用发布应该支持云存储,能够将手机、PAD、PC电脑中的文档、照片等上传到云端,或下载到本地终端。 | |
| ▲产品应该支持企业级“云盘”(又名“网盘”、“文件共享”)功能,即可以通过手机、PC、IPAD的客户端,将数据、文件同步到云端或和分享到终端。 | |
| 日志管理 | 为帮助我单位更好的管理VPN接入用户,要求设备支持外 (略) 进行SSLVPN实时日志记录,可详细记录用户访问资源记录(用户、主机IP、资源、时间)、管理员日志(管理员、主机IP、时间、 (略) 为、对象)、系统日志、告警日志;可根据用户名、主机I (略) (略) 为查询;可提供用户组/ (略) 及查询、 (略) 及查询、资源活跃程度、用户活跃程度等记录;提供暴破登录记录;可提供用户登 * SSLVPN采用非绑定账号访问应用系统的记录 |
| ▲为满足我单位多数据量的保存及等保建设要求,保障 (略) 稳定且高可用性,必须支 (略) ,同时免费提供自有服务器虚拟化软件(提供软件著作权证书)及对应物理CPU授权,服务器虚拟化能够根据实际用户和流量规模合理分配硬件资源,保障最优资源分配。同时, (略) 能够与服务器虚拟化底层联动,优化磁盘读写,提高查询速度 | |
| 防火墙 | 为保障设备的安全性,产品应具备基于状态监测技术的防火墙功能,能够 (略) 络攻击, (略) 包过滤或WAN、LAN、DMZ口之间访问控制;为了避免人为配置错误,产品必须支持对防火墙的过滤 (略) 在线虚拟测试。 |
| 资质要求 | 提供中华人民 (略) 颁发的《计算机信息系统安全专用产品销售许可证》 |
| (略) 信息安 (略) 颁发的《GA/T *** 信息安全技术 (略) 安全技术要求》 * 级或 * 级以上检测报告( * 级以上为 * 级、 * 级) | |
| ▲保障我单位未来IPV6可扩展性,提供IPV6 Ready认证证书,在全球I (略) 官网可查 | |
| (略) 商需为国 (略) 发布的《SSL VPN技术规范》起草单位之 * | |
| (略) 商具有国 (略) 颁发的《商用密码产品生产定点单位证书》 | |
| (略) 商具有国 (略) 颁发的《商用密码产品销售许可证》 | |
| ▲为保障软件开发质量, (略) 商具有CMMI5级认证。(提供证书复印件) | |
| 品牌及应用成熟度 | △为了保证交付质量,必须提供SSL VPN必须在近 * 年内至少曾有 * 年在中国国内SSL VPN或V (略) 占有率为前 * 名,提供权威的第 * 方机构数据证明 |
8、杀毒系统:1台
| 技术指标项 | 技术参数要求(▲为关键指标,不允许负偏离) | ||
| ▲系统管理 | (略) :采用B/S架构管理端,具备设备分组管理、策略制定下发、全网健康状况监测、统 * 杀毒、统 * 漏洞修复、网络流量管理、终端软件管理、硬件资产管理以及各种报表和查询等功能,配置 * 个windows终端许可; (略) 病毒库免费升级服务,本次配杀毒功能及补 * 功能 | ||
| 客户端: (略) 通信, (略) (略) 需的相关数据信息;执行最终的木马病毒查杀、漏洞修复等安全操作。 | |||
| 病毒、恶意代码、木马防护 | ▲要求产品本身具备病毒检测功能,并且通过CheckMark、ICSA、OPSWAT等各大国际评测机构联合认证。(要求提供证明文件) | ||
| 要求产品具备本地引擎查杀能力 | |||
| 要求产品具备公有云检测能力,并且公有云特征储备超过 * 亿。 | |||
| 支持私有云查杀,预置至少4亿黑名单及 * 万全面的白名单,终端威胁 (略) 查 (略) 查杀 | |||
| ▲要 (略) 状态下具备不依赖病毒库特征的情况下对未知病毒查杀的能力(提供国 (略) 的专利受理证明与国际PCT专利受理证明) | |||
| 要求产品具备主动防御技术(提供至少3项以上技术专利受理证明) | |||
| 要求产品具备应用级沙箱技术 | |||
| 按病毒、木马 (略) 涉及的终端,可查 (略) 木马、加入信任;按终端 (略) 每个终端存在的病毒、木马及可查杀的 | |||
| 补 * 分发与漏洞修复 | (略) 具备微软热补 * 修复功能(至少需要 * 个以上为用户提供Windows漏洞修复的热补 * 案例证明文件) | ||
| (略) 具备面向微软官方级别漏洞发现能力(提供 * 年至今少 * 个以上微软漏洞发现案例与相关截图,与微软官方确认截图) | |||
| 产品具备漏洞集中修复,强制修复,定时修复;具备蓝屏修复功能(要求提供截图) | |||
| 产品具备漏洞集中修复过程中的流量控制和保证带宽,补 * 分发支持服务端带宽限流与客户端P2P补 * 分发加速, (略) 带宽资源 | |||
| 资产管理 | 单点维护 | 按终端维度展示终端的硬件、软件、操作系统、网络、进程等信息;可监控CPU温度、硬盘温度和主板温度 | |
| 支持硬件变更,展示终端硬件变动记录,可确认变更或删除记录 | |||
| 支持软件变更,展示终端软件变动记录,可确认变更或删除记录 | |||
| 支持插件清理,按插件 (略) 存在的插件和涉及的终端,可清 (略) 插件、加入信任;按终端 (略) 每个终端存在的插件,可清理插件(提供产品界面截图) | |||
| 支持远程协助终端、远程关机、重启终端 | |||
| 终端发现 | 支持手动配置服务器、扫描参数、进行周期性扫描,可手动配置发现的终端类型 | ||
| 支持统计指 (略) 的终端扫描数、终端安装数、未安装终端数及安装率。 | |||
| 软件管理 | 支持软件监控,按软件 (略) 安装的软件和涉及的终端;按终端 (略) 每个终端安装的软件 | ||
| 支持软件分发, (略) 终端分发软件,支持终端接收软 (略) ,支持 (略) 参数 | |||
| 支持文件黑白名单,管理员自定义文件的黑白属性,黑名单中的 (略) ,白名单中的 (略) | |||
| 支持文件审计, (略) (略) 有文件保持完整的审计,方便鉴定恶意软件从何而来并立即阻止恶意 (略) | |||
| 支持进程管控功能,支持设置进程黑名单,在黑名单里面的 (略) ;可设置核心 (略) ,也可保护核心进程不被结束 | |||
| 终端安全运维管控 | 流量管理 | (略) 终端或终端应用程序的上传,下载速度与流量;可限 (略) 终端的上传及下载速度 | |
| 非法外联 | 支 (略) 卡、 (略) 卡、 (略) 卡、MODEM、ADSL、ISDN等设备的外联控制;违规外联发生时 (略) 连接状态分 (略) 理措施 | ||
| 应用程序安全 | 支持终端进程红名单、黑名单、白名单,确保在线、离线终端合规 | ||
| 网络安全防护 | (略) 址白名单, (略) 址白名单可 (略) (略) 址,加入信任后终 (略) 址视为威胁 | ||
| 外设管理 | 支持对终端各种外设(USB存储、硬盘、存储卡、光驱、打印机、扫描仪、摄像头、手机、平板等)、接口(USB口、串口、并口、 * 、PCMIA)设置使用权限 | ||
| 桌面安全加固 | 支持对终端桌面系统的账号密码、本地安全策略、控制面板、屏保与壁纸、浏览器安全、杀毒软件检查 | ||
| 移动存储介质管理 | 支持客户端自主申请移动存储介质注册; | ||
| XP防护 | 支持对 (略) 系统加固、热补 * 修复、危险应用隔离、“非白即黑”安全策略 * 大修复措施 | ||
| 终端准入 | 支持旁 (略) 署方式, (略) (略) 署单点故障; | ||
| 支持基于终端的ACL,可以基于协议、端口来控制终端流量,从而无需操作交换 (略) 络控制目的 | |||
| (略) 健康检查策略,策略检查项至少包括:远程桌面、 (略) 、防火墙、IP获取方式、文件共享、屏幕保护、空密码、IE代理;支持终端修复向导,对不合规的终端提供软隔离, (略) 修复向导和 * 键修复功能 | |||
| 安全审计 | 支持指定扩展名的文件访问、修改、删除、 (略) 为的审计 | ||
| (略) 络共享输出控制与审计 | |||
| 支持特定路径或扩展名的文件访问、修改、删除、 (略) 为的限制并审计 | |||
| 日志报表 | (略) 终端健康状态、报警信息;可方便的查看不健康、亚健康终端列表; | ||
| 展示指定时间段内指定终端修复漏洞,病毒查杀,木马查杀的情况 | |||
| 支持大数据引擎系统, (略) 终端日常运维数据汇聚存储分析,并根据客 (略) 需的要求定制报表 | |||
| 其它 | 支持与旁路威胁检测系统设备联动,达到边界联动防御效果 | ||
| (略) 数据恢复与备份 | |||
| 产品资质和 公司资质(提供证书复印件) | 销售许可证、软件著作权、军B+ | ||
| 网络安全应急服务支撑单位(国家级) | |||
| 中国国家信息安全漏洞库支撑单位 | |||
| 国家信息安全漏洞共享平台技术组成员 | |||
| 微软MAPP伙伴 | |||
| CSA联盟会员 | |||
9、网络接入控制系统:1台
| 指标项 | 技术规格要求(▲为关键参数,不允许负偏离) |
| ▲性能参数 | 标准机架设备, 至少满足6个千兆电口,1个RJ * 串口; |
| 整机吞吐量≥ * Mbps,支持准入终端数量≥ * | |
| 准入方式 | 1. ▲ 支持有线、无线基于应用协议准入方式,准入配置支持保护服务器区域、例外终端等灵活的配置方式。(要求提供截图) 2. 支持基于应用协议的访问控制,并提供灵活的访客控制列表。 3. 支持基于 (略) 流程配置,区分 (略) 络,能够针对 (略) 络分别采用有客户端和无客户端方式准入。 4. 支持临时用户的接入请求,并且可以限制 (略) 时间长和强制临时用户下线。 5. 支持标准 * .1X准入,终端提 (略) 合规性检查报告,支持动态VLAN、动态ACL下发,且无需登录交换机。支持账号同时在线用户上限、账号有效时长等限制。 |
| 入网合规性检查 | 1. ▲入网条件必须符合健康检查策略,策略检查项至少包括:远程桌面、 (略) 、防火墙、IP获取方式、文件共享、屏幕保护、空密码、IE代理。(要求提供截图) 2. (略) (略) 安装的软件、服务、进程设置黑白名单,管理员可以自己编辑黑白名单。 3. 支持基于终端的ACL,可以基于协议、端口来控制终端流量,从而无需操作交换 (略) 络控制目的。 4. (略) 分数配置,检查项分值配置,并提供 (略) 的操作 界面。 5. 支持终端修复向导,对不合规的终端提供软隔离, (略) 修复向导和 * 键修复功能。 6. 支持用户和VLAN绑定、用户和ACL绑定、用户和健康检查策略绑定等灵活配置。 |
| 联动功能 | 1. 支持与终端安全管理系统联动,无需额外安装客户端。终端安全管理系统至少包括集成杀毒和主动防御,完成对用户终端的全方位立体保护。 2. ▲支持与本地LDAP连接、第 * 方LDAP连接、 AD域等联动,来完成用户鉴别功能,以达到终端用 (略) 。(要求提供截图) |
| 客户端功能 | ▲支持基准变更, (略) 硬件变更记录加入基准,下次判断硬件是否有变更时根据新的基准来判断(要求提供截图) 可 (略) 存在的漏洞和涉及的终端,可修 (略) 漏洞、忽 (略) 漏洞;按 (略) 每个终端存在的漏洞,可取消忽略原来忽略过的漏洞,可设置预先忽略补 * ,可设置关闭 windows update,提供蓝屏修复功能(要求提供截图) 可设 (略) 终端使用U盘的权限,分为可读写、只读和禁用 * 种权限;可查询指定时间范围内终端使用U盘的情况(要求提供截图) (略) 终端体检,可在集中管 (略) 全网体检, (略) 有终端状态 (略) 存在的木马和涉及的终端,可查 (略) 木马、加入信任;按终端 (略) 每个终端存在的木马,可查杀木马。(要求提供截图) 支持硬件监测,按终端维度展示终端的硬件,包括电脑型号、CPU、内存、硬盘、设备SN等;可监控CPU温度、硬盘温度和主板温度(要求提供截图) ▲支持软件监控,按软件 (略) 安装的软件和涉及的终端;按终端 (略) 每个终端安装的软件(要求提供截图) |
| 系统管理功能 | 1. 支持 (略) cpu、内存等信息展示功能。 2. 支持系统用户添加、修改密码、修改系统时间、 (略) 卡IP、配 (略) 关等管理功能。 3. 支持系统中重点服务的展示、启用、停止等功能。 |
| 高可用性 | 1. 支持系统双机热备、数据同步等功能 2. 支持逃生机制 |
| (略) 署 | 支持界面升级、部署方式方便简洁, (略) 络。 |
| 系统日志 | 支持查看违规访问日志、心跳日志、认证日志等系统日志记录 |
| ▲联动性 | 考虑用户终端性能问题,终端杀毒软件与准入控制必须为同 * 品牌 |
| 资质要求 | (略) 计算机信息系统安全专业产品销售许可证 |
| 产品具有计算机软件著作权登记证书 | |
| (略) 络安全应急服务支撑单位(国家级) | |
| 中国国家信息安全漏洞库支撑单位 |
* 、云网络监测系统:1台
| 技术指标 | 指标要求 |
| 系统构架 | 标准B/S结构、支持VPN/拨号监测。 |
| ▲基本要求 | 网络版,提供1套 (略) 管理许可证,配置不低于 * 个监测节点,监测节点无需安装任何agent或客户端;支持vmware、hyper-v、H3C、阿里云 (略) 署。 |
| ▲功能要求 | 权限分配:支持建立用户组权限,根据权限不同分配不同的功能模块给不同用户或组使用,用户建立不限制数量,根据等保要求可实现 * 权分离。 |
| 无代理自动巡检:可以巡检任何应用、线路、设备,出现问题手机短信通知,网 (略) 日常维护时调整时后台 (略) 有的自动巡检,防止误报。 | |
| 实时流量管理:实时查看监测节点设备端口的即时流量信息;可根据自定义阀质实现流量告警。 | |
| IP地址管理:IP地址列表: (略) 有机器的IP地址,并显示 (略) 对应机器的设备类型;地址关联性:针对有地址映射的服务器能快速识别地址对应关系;IP MAC地址关联:将设备的IP地址与M (略) 自动关联,当设备修改IP地址或更换设备后MAC地址或IP地址自动更新。支持地址批量导入和导出 | |
| 资产管理:自动生成监测节点的硬件基本资产信息, (略) 维护,可添加设备的购买时间、上线时间、 (略) 门及维保信息等,详细记录监测节点的硬件维修信息。 | |
| 配置管理:各监测节点设备配置文件可 (略) 管理端,支持定时抓取设备配置信息,配置信息支持按不同时间版本自动存放。 | |
| (略) 门工单:支持将设备问题转化为工单,自动分配, (略) 理,详细记录;并自动通过手机短信提 (略) 理。 | |
| 自动合同管理:根据设备项目合同情况,实现合同服务内容到期短信提醒 * 方服务,合同终止则自动停止提醒;如定期巡检合同内容。 | |
| IT知识库:日常维护操作知识可添加插入到知识库,支持知识库冗余性、矛盾性自动对比。 | |
| 产品质保及相关证书: | 提供计算机软件著作权登记证书。 中标后采购人有权要求中标人提供产品测试; 中 (略) * 年服务承诺函。 |
* 、DELL R * 服务器内存扩容:1项
| 指标项 | 技术参数要求 |
| 内存 | 原有2台服务器内存升级,DELL R * 服务器原装内存条 * 根。 |
* 、动环监控系统:1套
| 技术指标 | 指标要求 |
| 基本要求 | 环境监控1套(5个温湿感、1个烟感、1个漏水、1个高低温声光报警器) |
| 监控平台功能要求 | 要求实现集中监控以下内容: ? 机房温湿度 5点 ? 漏水监测 1点 ? 烟雾报警 1点 ? 高低温声光报警 1点 机房环境监测系统需要完成对上述设备的监测,集中反映工作状态,收集和分发 (略) 理信息和其它值得关注的情况, (略) 信息,追踪设备工作历史状态 |
* 、视频监控系统:1套
| 技术指标 | 指标要求 |
| 基本要求 | 包 (略) 络视频监控录像主机1台; (略) 络视频摄像机2个。 |
| 视频监控录像主机要求 | (略) 络视频输入,网络视频接入带宽不少于 * Mbps; 不少于1路HDMI输出;分辨率支持:4K( * ), * ;1路VGA输出接口; 录像分辨率支持:5MP/4MP/3MP/ * p/UXGA/ * p/VGA等; 同步回放不少于8路;回放模式支持:即使回放、常规回放、事件回放、标签回放、日志回放; 录像管理:支持手动录像、定时录像、事件录像、移动侦测录像、动测或报警录像、动测且报警录像; 硬盘驱动器:配置1块不少于4T SATA接口硬盘; 接口:1个RJ * , * / *** (略) 络接口;1个USB2.0接口,1个USB3.0接口;支持语音对讲输入。 POE接口,8个RJ * * / * (略) 口, * V POE供电; |
| (略) 络视频摄像机 | * 万像数高清红摄像机;最小照度 0. * Lux @(F1.2,AGC ON) ,0 Lux with IR;0.1 Lux @(F1.4,AGC ON), 0 Lux with IR;镜头 4mm、 (略) 角: * .5°(6mm,8mm, * mm,可选);红外照射距离 * 米;工作温度和湿度 - * ℃~ * ℃,湿度小于 * %(无凝结);电源供应 DC * V± * %/ PoE( * .3af)。 |
* 、实施辅材: 1项
| 技术指标 | 指标要求 |
| 配套辅材 | 精密空调外机风叶, (略) 等配件,以及包 (略) 需的光纤跳线、 (略) 络跳线以及扎带、标签等;包括安装、 (略) 涉及的 * 切费用。 |
* 、安全服务:1项
| 技术指标 | 指标要求 |
| ▲基本要求 | (略) 络 (略) 优化调整。依据国家标准GB/T *** 8《信息安全技术信息系统安全等级保护基本要求》且满足以下需求: 要求按照等级保护 (略) 网络按照安全域划分, (略) 隔离方案 (略) (略) 。 安全域实现方式以划分逻辑区域为主,旨在实现各安全区域的逻辑划分,明确边界以对各安全域分别防护, (略) 域间边界控制。 进行等保测评时,现场配合测评,并按要求免费 (略) 支持。 |
| 安全域的划分 | 防火墙安全隔离:采用防火墙 进行边界隔离,在每两个安 (略) 署防火墙分别与不通的安 (略) 访问控制,防火墙采取 * 权分立原则; 虚拟防火墙隔离:采用虚拟防火墙实现各安全域边界隔离,将 * 台防火墙在逻辑上划分为多台虚拟的防火墙,每个虚拟防火墙系统都可以被看成 * 台完全独立的防火墙设备,可以拥有独立的系统资源、安全策略等; (略) 闸:不同的安全 (略) (略) 闸,安全域互相独立。 |
| (略) 络环境,网络设备, (略) 检测,有问题或者漏洞补 * 更 (略) 理: | |
| (略) 络设备: | 启用访问控制功能,依据安全策略控制用户对资源的访问; 关闭防火墙设备、交换机的telnet服务,启用安全的SSH和https管理服务; (略) (略) 时的默认口令,且口令应满足长度不小于8为、含字母数字和字符的复杂强度要求; 网络设备,防火墙交换机等要求开启日志审计功能,并配置日志服务器保存日志信息; 要求调整现有审计设备,审计范围覆盖到服务器和重要客户端的每个操作系统用户; 要求审计内容包 (略) 为、系统资源的异常使用和重要系统命令的使用等系统内的重要相关时间; 要求审计记录包含事件的日期、时间、类型、主体标识、客体标识和结果等; (略) 络设 (略) 络设 (略) 理功能、限制非法登录次数、当网络登录连接超时时自动退出等措施; |
| 针对操作系统 | 结合 (略) 络设备或系统; 要求实现操作系统特权用户的权限分离,即 * 权分立; 要求限制默认账户的访问权限,重命名系统默认账户,修改账户的默认口令; 要求及时删除多余的、过期的账户、避免共享账户的存在; 要求对主机的登录要有严格的身份标识和鉴别; 要求有严格的访问控制策略限制用户对主机的访问与操作; 要求有严密的安全审计策略保证主机出现故障时可查; |
| 信息安全风险评估 | (略) 有信息资产(包括硬件、软件、文档和数据、人力、业务应用、物理环境、组织管理等)的稳定性、可靠性、保密性、可用性、完整性等安全属性,对涉及安全的 (略) 确认和划控。 |
| 对资产(包括硬件、业务应用、物理环境、组织管理等)面临哪些潜在威胁,导致 (略) 在,威胁发生的可能性有多 (略) 分析。 | |
| 从技术方面,全面分析系统存在的各种脆弱性,分析弱点被利用的可能性。 | |
| 分析已有的安全措施对安全风险的控制作用; | |
| 分析当前系统仍存在的风险并给出相应控制和管理风险的建议; | |
| 提供评估报告; | |
| 信息系统加固修复 | 对现有信息安全管理体系中存 (略) 优化和完善,并协助 * 方完成相关文档的编写和宣传 |
| (略) 络设备和 (略) 修复加固和漏洞扫描 | |
| 确认主机操作系统、应用系统的安全策略未被更改或还原 | |
| 查找现有信息安全管理制度与 * 级要求之间的差距 | |
- 热点推荐
- 热门招标
- 热门关注
今日免费权限已用完
开通VIP·畅看最新项目全文信息
VIP专属特权·加倍提升中标效率
- 畅看精准
优质商机 - 直接对接
项目联系人 - 项目附件
随心下载
限时优惠,最低仅需0.3元/天
开通VIP
以下地区会员已过期2天
- 山东
- 安徽
您不再享受以下会员权益
- 无法畅看精准优质商机
- 无法直接对接项目联系人
- 无法随心下载项目附件
- 无法实时跟进拟建项目
立即续费
VIP会员还剩1天到期
您将失去以下会员权益
- 无法畅看精准优质商机
- 无法直接对接项目联系人
- 无法随心下载项目附件
- 无法实时跟进拟建项目
限时优惠,最低仅需0.3元/天
立即续费
剩余会员时长将自动延长
开通VIP · 即可下载
附件可能包含以下相关资料
-
招标文件
-
采购清单
查看项目完整信息,深度挖掘潜在商机
限时优惠,最低仅需0.3元/天
VIP免费下载
绑定失败
该微信已被账号**使用
请更换新微信号进行账号绑定
重新绑定
绑定失败
该微信已被账号**使用
若只保留一个账号,可点击“合并账号”与进行账号合并
取消
合并账号
账号合并后不会影响您的权益以及其他记录,您原有权益、订阅以及订单等将叠加至新账号。合并账号后需重新登录后可继续使用
账号合并成功
重新登录后可继续使用
重新登录
您的手机号
已绑定其他账号
如需将手机号绑定到当前账号
请联系客服,我们将及时为您处理!
请联系客服,我们将及时为您处理!
扫描添加客服微信
换号绑定
开通会员
现在开通
最低至0.3元/天
最低至0.3元/天
VIP免费发送
- 企业联系方式
- 企业相关项目
联系人
联系电话
更新时间
项目名称
地区
类别
预算/中标金额
时间
操作
您未开通地区会员
限时优惠,最低仅需0.31元/天
立即开通
输入邮箱即可发送
暂无历史邮箱
立即发送
温馨提示
输入邮箱后,即可将此信息详情及附件下载地址(如信息包含)发送至该邮箱,
附件下载链接有效期为48小时,请尽快下载
绑定手机号
查看完整商机
-
获取验证码
绑定手机号
可通过手机号码进行登录、找回密码、验证身份
关注微信公众号
实时获取最新商机
使用微信扫一扫关注
“销邦招标”
您将跳出销邦招标平台
访问原始报名地址
访问原始报名地址
复制链接
直接访问
取消
确定
- APP
- 客服
- 微信
- 反馈
- APP下载
- iPhone应用下载 安卓应用下载
- 联系方式
-
官方客服:010-68960694
客服邮箱:support#bidcenter.cn(把#替换为@)
微信公众号:ixbang_bst
工作时间:周一至周五 9:00-18:00
-
微信公众号
扫码下载APP
法律顾问:北斗鼎铭律师事务所 周正国律师 京ICP证16047275
京公网安备 11010802042560号
京ICP备16047275号-1
京公网安备 11010802042560号
京ICP备16047275号-1
Copyright © 2024 销邦招标平台(北京中胜国建科技有限公司)