Embed Size (px)
Citation preview
第六章 采购需求及技术要求
1. 概述1.1. 项目背景
近年来,国家和北京市对网络信息安全非常重视,网络信息安全保障工作
和形势比较严峻。北京市小客车指标调控管理信息系统(以下简称“小客车系
统 ”)是北京市交通委员会面向社会服务的重要信息化系统,社会关注度高、
用户量大、公民个人信息多,小客车系统的信息安全问题一直备受关注。随着
网络信息技术的提高,网络风险隐患逐年增加,系统的网络信息安全防护能力
也应随之不断提升,进一步消除系统存在的安全隐患。另外,小客车系统是信息安全等级保护三级系统,按照《信息安全等级保
护管理办法》相关要求,系统应具备一定的软硬件防护措施,且每年至少进行
一次安全等级符合性测评,根据测评结果制定相关方案进行整改。1.2. 网络及安全设备现状
小客车系统于 2011 年 1 月 1 日投入运行,是按照信息安全三级等保要求
进行建设和运维的系统。小客车系统的硬件设备多购置于 2010 年底,至今已
平稳运行 8 年,设备型号老旧且设备功能已经落后。近期,部分安全设备已全
面停产,且相关配件也已停产,新型的网络攻击及木马病毒将无法被有效拦截。
2. 采购需求2.1. 采购设备清单
序号 设备名称 单位 数量 核心产品 信息安全产
品1 负载均衡设备 1 台 2 是 否2 负载均衡设备 2 台 4 是 否3 防火墙设备 1 台 2 是 是4 防火墙设备 2 台 6 否 是5 防火墙设备 3 台 3 否 是6 防病毒网关 台 4 是 否7 应用层防护设备 台 4 是 否8 VPN 设备 台 2 是 否9 防 DDOS 攻击设
备 台 2 是 否10 IPS 入侵防御设备 台 2 是 是11 IDS 入侵检测设备 台 2 否 是12 网络审计设备 台 2 否 是13 日志审计设备 台 1 否 否14 数据库审计设备 台 1 否 是15 漏洞扫描设备 台 1 否 是16 堡垒机 台 1 否 否17 安全管理中心 台 1 否 否18 Ukey 个 75 否 否
▲信息安全产品均须提供由中国网络安全审查技术与认证中心(原中国信息安
全认证中心)出具的中国国家信息安全产品认证证书复印件。
2.2. 采购设备参数(1)负载均衡设备1
序号 指标项 技术指标
1 硬件要求机箱:标准机架式设备电源:双电源千兆以太网端口:≥6 个万兆光口:≥4 个
2 性能要求四层每秒新建会话数:≥65 万 (tps)七层每秒新建会话数:≥300 万(tps)吞吐量:≥32 Gbps并发会话数:≥780 万
3 功能要求 同时支持透明模式、反向代理模式以及三角传输模式。必须支持旁路连接方式(单臂模式)和串连连接方式(双臂模式)支持VRRP协议,支持多种高可用性模式:A/A模式,A/S模式,支持 32 台设备的集群;双机 failover切换功能,能够及时发现设备故障。双机切换时间小于 40ms。支持会话同步。设备必须支持N+1 高可用工作模式单一设备即可同时支持包括服务器负载均衡、链路负载均衡和全局负载均衡的功能支持 IPv4/IPv6 双协议栈;支持 IPv4/IPv6,IPv6/IPv4协议转换;支持四、七层 SLB 及健康检查;支持 IPv6动态路由;支持IPv6业务的高可用性及连接同步;支持 IPv6、IPv4链路混用;支持DNS64/NAT64 功能支持 L2、L3、L4、L7 服务器负载均衡。支持负载均衡算法,如轮询、加权轮询、最小连接数、最快响应时间、哈希、URL、SNMP、Hostname、Cookie、Header、正则表达式等负载均衡算法支持丰富的四、七层会话保持功能,包括基于 Persistent TCP Option、Hash (IP+Port)、Insert Cookie、Persistent Cookie、Rewrite Cookie、Persistent Hostname、Hash Query、SSL Session ID、raduname、radsid、sipcid、sipuid等多种会话保持技术
必须支持丰富的健康检查方法,包括但不限于:ICMP、TCP、UDP、HTTP、HTTPS、FTP、SNMP、DNS、Radius、SIP、LDAP 等多种服务器健康检查方式,且设备能够支持通过SCRIPT-TCP、SCRIPT-UDP 应用脚本方式,对服务器的 FTP, SMTP, LDAP, RADIUS, POP3, DNS, TELNET 等多种应用进行检查。必须支持基于内容的服务器健康检查。支持附加服务器健康检查设备必须支持 SSL 多卡硬件加速功能。设备必须支持RSA 和 ECC加密算法,设备必须支持RSA 证书 Key-Size包括:1024, 2048。设备必须支持英文证书、中文证书及其他字符类型的证书。设备必须支持 SLB两端加密。设备必须支持基于客户端的证书校验。设备必须支持基于服务器端的证书校验。设备必须支持证书校验、证书链、CRL 及 OCSP。设备必须支持将客户端证书通过HTTP header, cookie, URL字段传送到后台服务器。设备支持一个站点使用多 CA,并且可以以不同方式检查不同CA颁发的证书。设备支持 TLS1.0、TLS1.1 和 TLS1.2算法。设备必须支持指定会话最短密钥长度▲设备支持 Full DNS 功能,支持标准 DNS 设备工作模式,包括:可作为智能 DNS 服务器,可作为DNS 服务器代理,可作为最终DNS解析设备,可作为DNS转发器(DNS Forwarder)。设备支持DNSSEC(须提供产品功能界面截图并加盖原厂商公章)▲设备必须支持NAT地址转换功能,其中包括源地址转换、目的地址转换、静态地址转换。设备必须支持大于 1024条NAT策略(其中静态NAT支持 512条,nat port支持 512条)(须提供产品功能界面截图并加盖原厂商公章)支持健康检查算法,包括基于 ICMP协议、DNS协议、TCP 端口;支持全路径健康检查方式,无跳数限制;支持附加链路健康检查
4 资质要求 ▲具有国家版权局颁发的计算机软件著作权登记证书(提供证书复印件)
(2)负载均衡设备2
序号 指标项 技术指标
1 硬件要求机箱:标准机架式设备电源:双电源千兆以太网端口:≥6 个千兆光口:≥2 个
2 性能要求 四层每秒新建会话数:≥18 万 (tps)
七层每秒新建会话数:≥65 万(tps)吞吐量:≥9 Gbps并发会话数:≥380 万
3 功能要求 支持VRRP协议,支持多种高可用性模式:A/A模式,A/S模式,支持 32 台设备的集群;双机 failover切换功能,能够及时发现设备故障。双机切换时间小于 40ms。支持会话同步。设备必须支持N+1 高可用工作模式支持 IPv4/IPv6 双协议栈;支持 IPv4/IPv6,IPv6/IPv4协议转换;支持四、七层 SLB 及健康检查;支持 IPv6动态路由;支持IPv6业务的高可用性及连接同步。支持 IPv6、IPv4链路混用。支持DNS64/NAT64 功能▲支持 L2、L3、L4、L7 服务器负载均衡。支持负载均衡算法,如轮询、加权轮询、最小连接数、最快响应时间、哈希、URL、SNMP、Hostname、Cookie、Header、正则表达式等负载均衡算法(原厂商需提供产品功能界面截图并加盖原厂商公章)支持丰富的四、七层会话保持功能,包括基于 Persistent TCP Option、Hash (IP+Port)、Insert Cookie、Persistent Cookie、Rewrite Cookie、Persistent Hostname、Hash Query、SSL Session ID、raduname、radsid、sipcid、sipuid等多种会话保持技术▲必须支持丰富的健康检查方法,包括但不限于:ICMP、TCP、UDP、HTTP、HTTPS、FTP、SNMP、DNS、Radius、SIP、LDAP 等多种服务器健康检查方式,且设备能够支持通过SCRIPT-TCP、SCRIPT-UDP 应用脚本方式,对服务器的 FTP, SMTP, LDAP, RADIUS, POP3, DNS, TELNET 等多种应用进行检查。必须支持基于内容的服务器健康检查。支持附加服务器健康检查(须提供产品功能界面截图并加盖原厂商公章)设备必须支持 SSL 多卡硬件加速功能。设备必须支持RSA 和 ECC加密算法;设备必须支持RSA 证书 Key-Size包括:1024, 2048。设备必须支持英文证书、中文证书及其他字符类型的证书。设备必须支持 SLB两端加密。设备必须支持基于客户端的证书校验。设备必须支持基于服务器端的证书校验。设备必须支持证书校验、证书链、CRL 及 OCSP。设备必须支持将客户端证书通过HTTP header, cookie, URL字段传送到后台服务器。设备支持一个站点使用多 CA,并且可以以不同方式检查不同CA颁发的证书;设备支持 TLS1.0、TLS1.1 和 TLS1.2算法。设备必须支持指定会话最短密钥长度
支持入向链路负载均衡(Inbound)算法,应包括但不限于以下算法:轮询算法(RR)、加权轮询算法(WRR)、就近性算法 (PROXIMITY)
支持出向链路负载均衡(Outbound)算法,至少包括轮询算法、加权轮询算法、最短响应时间算法、动态探测算法(Dynamic Detect);同时必须支持网络就近性(Eroutes)算法,且能够实现动静结合功能。支持最多 32条出向链路间的负载均衡支持健康检查算法,包括基于 ICMP协议、DNS协议、TCP 端口;支持全路径健康检查方式,无跳数限制。支持附加链路健康检查
4 资质要求 ▲具有国家版权局颁发的计算机软件著作权登记证书(提供证书复印件)
(3)防火墙设备1
序号 指标项 技术指标
1 硬件要求
机箱:2U 机箱电源:双冗余电源拓展槽数量:≥2 个可插拔的拓展槽存储:≥1T电口数量:≥5 个 10/100/1000BASE-T千兆光口数量:≥2 个 SFP插槽
2 性能要求防火墙吞吐率:≥10Gbps应用层吞吐率(FW+APP):≥5Gbps并发连接数:≥280 万
3 功能要求 工作模式:支持路由、交换、混合、虚拟线工作模式地址转换:支持一对一 SNAT、多对一 SNAT、一对一 DNAT、双向 NAT、NoNAT 等多种转换方式;支持 Sticky NAT开关,使相同源 IP 的数据包经过地址转换后为其转换的源 IP 地址相同智能 DNS:支持智能 DNS 及 DNS Docting 功能,能够将来自内部网络的域名解析请求定向到真实内网资源,提高访问效率,同时支持通过配置多条 DNS Doctoring,实现内网资源服务器的负载均衡访问控制:支持 IPv6 安全控制策略设置,能针对 IPv6 的目的/源地址、目的/源服务端口、区域、服务、时间、扩展头属性等条件进行安全访问规则的设置
资源虚拟化:支持在一台物理设备上划分出 128 个相互独立的虚拟系统,可根据连接配额及连接新建速率为每个虚拟系统分配资源用户管控:支持本地 CA 和第三方 CA,支持作为 CA 认证中心为其他人签发证书,也可采用第三方 CA为其他人签发证书;支持标准CRL列表,支持 CRL手工更新,同时支持 CRL自动下载,通过HTTP或者 LDAP 方式定时自动下载更新 CRL文件应用识别:内置强大应用识别引擎,综合运用端口识别、行为识别、特征识别、 关联识别等 技 术手段, 准确识别传统 应 用如P2P、web 应用、移动应用、云应用、加密应用;内置独立应用识别特征库,总数 2100种以上,支持应用特征库在线或本地更新,支持应用特征自定义一体化访问控制:内置高度集成的一体化智能过滤引擎技术,实现在同一条访问控制策略中配置传统的五元组信息、用户、域名、应用、服务、时间、安全引擎(入侵防御、URL过滤、病毒过滤、内容过滤、文件过滤、审计、APT)的识别与控制连接控制:支持监控功能,显示最近被拦截的 IP、地址对象及应用的节点信息;同时支持对连接数限制策略匹配信息进行分类统计,方便管理员根据统计分析结果进行相应的防护控制未知威胁防御:支持 APT 防御,不依赖于攻击、恶意代码等特征库进 行 检 测 , 通过沙箱 技 术 对 于未知漏 洞 攻 击 ( 0day/1day 漏洞)、木马、病毒具有检测能力;可根据用户环境,将 APT 工作模式设置为深度模式或者智能模式DDOS 防 御 : 内 置 流 量 检 测 清 洗 引 擎 , 支 持 基 于IP、ICMP、TCP、UDP、DNS、HTTP、NTP 等众多协议类型的防护策略;提供丰富的策略模板,且支持策略模板自定义▲内容过滤:支持基于 http、ftp、telnet、smtp、pop3 等协议的内容过滤策略,可对微博、贴吧上传的内容及附件进行过滤,可对 FTP上传/下载的文件名进行过滤,同时支持过滤 FTP 信令:上传文件、下载文件、删除文件、重命名文件、创建目录、删除目录、列出目录等,邮件过滤支持对发件人、收件人、主题、内容、附件等进行过滤(须提供产品功能界面截图并加盖原厂商公章)报表:内置 15类预定义报表模板,支持根据通信流量、上网行为、威胁统计等来源数据库自定义报表模板;支持一次性报表及周期性报表,可自定义统计时间审计:支持邮件内容审计:对接收/发送邮件行为及邮件内容进行审计;FTP 审计:对 FTP上传/下载行为及文件内容进行审计;以及支持网站访问审计:审计指定类别的 URL 地址、审计命中指定关键字的网页标题和网页内容▲审计:提供完善的审计数据查询功能,方便管理员对用户的上网
行为进行审查和分析。支持对用户上网行为进行完整的审计数据查询,包括访问网站、邮件收发、论坛微博、 FTP 等;(提供截图)同时支持对用户上网流量时长进行完整的审计数据查询,包括服务端 IP、用户名、协议、上行流量、下行流量、总流量、时间等(须提供产品功能界面截图并加盖原厂商公章)日志:日志查看可划分为管理日志、系统日志、策略日志、应用行为日 志 等 四 大模块, 具体包含用 户 、连接、流量 、 NAT 、 审计、HA、APT、未知威胁等 20 个日志类别威胁统计:支持根据按照病毒防御、入侵防御、APT 防御、ADS 攻击进行威胁统计,可按照威胁类型/攻击者/受害者三种方式进行威胁排名
4 其它要求具有公安部颁发的计算机信息系统安全专用产品销售许可证书(增强级)(提供证书复印件)▲具有信息技术产品 EAL4+证书(提供证书复印件)
(4)防火墙设备2
序号 指标项 技术指标
1 硬件要求
机箱:1U 机箱电源:单电源拓展槽数量:≥2 个可插拔的拓展槽存储:≥1T电口数量:≥5 个 10/100/1000BASE-T千兆光口数量:≥2 个 SFP插槽
2 性能要求防火墙吞吐率:≥5 Gbps应用层吞吐率(FW+APP):≥2.8Gbps并发连接数:≥200 万
3 功能要求 工作模式:支持路由、交换、混合、虚拟线工作模式地址转换:支持一对一 SNAT、多对一 SNAT、一对一 DNAT、双向 NAT、NoNAT 等多种转换方式;支持 Sticky NAT开关,使相同源 IP 的数据包经过地址转换后为其转换的源 IP 地址相同智能 DNS:支持智能 DNS 及 DNS Docting 功能,能够将来自内部网络的域名解析请求定向到真实内网资源,提高访问效率,同时支持通过配置多条 DNS Doctoring,实现内网资源服务器的负载均衡
访问控制:支持 IPv6 安全控制策略设置,能针对 IPv6 的目的/源地址、目的/源服务端口、区域、服务、时间、扩展头属性等条件进行安全访问规则的设置资源虚拟化:支持在一台物理设备上划分出 128 个相互独立的虚拟系统,可根据连接配额及连接新建速率为每个虚拟系统分配资源用户管控:支持本地 CA 和第三方 CA,支持作为 CA 认证中心为其他人签发证书,也可采用第三方 CA为其他人签发证书;支持标准CRL列表,支持 CRL手工更新,同时支持 CRL自动下载,通过HTTP或者 LDAP 方式定时自动下载更新 CRL文件▲应用识别:内置强大应用识别引擎,综合运用端口识别、行为识别、特征识别、关联识别等技术手段,准确识别传统应用如 P2P(提供 P2P流量识别技术相关的专利证明)、web 应用、移动应用、云应用、加密应用(提供截图与加密流量识别相关的专利证明);内置独立应用识别特征库,总数 2100种以上,支持应用特征库在线或本地更新,支持应用特征自定义(须提供产品功能界面截图并加盖原厂商公章)一体化访问控制:内置高度集成的一体化智能过滤引擎技术,实现在同一条访问控制策略中配置传统的五元组信息、用户、域名、应用、服务、时间、安全引擎(入侵防御、URL过滤、病毒过滤、内容过滤、文件过滤、审计、APT)的识别与控制连接控制:支持监控功能,显示最近被拦截的 IP、地址对象及应用的节点信息;同时支持对连接数限制策略匹配信息进行分类统计,方便管理员根据统计分析结果进行相应的防护控制未知威胁防御:支持 APT 防御,不依赖于攻击、恶意代码等特征库进 行 检 测 , 通过沙箱 技 术 对 于未知漏 洞 攻 击 ( 0day/1day 漏洞)、木马、病毒具有检测能力;可根据用户环境,将 APT 工作模式设置为深度模式或者智能模式DDOS 防 御 : 内 置 流 量 检 测 清 洗 引 擎 , 支 持 基 于IP、ICMP、TCP、UDP、DNS、HTTP、NTP 等众多协议类型的防护策略;提供丰富的策略模板,且支持策略模板自定义 ▲内容过滤:支持基于 http、ftp、telnet、smtp、pop3 等协议的内容过滤策略,可对微博、贴吧上传的内容及附件进行过滤,可对 FTP上传/下载的文件名进行过滤,同时支持过滤 FTP 信令:上传文件、下载文件、删除文件、重命名文件、创建目录、删除目录、列出目录等,邮件过滤支持对发件人、收件人、主题、内容、附件等进行过滤(须提供产品功能界面截图并加盖原厂商公章)报表:内置 15类预定义报表模板,支持根据通信流量、上网行为、威胁统计等来源数据库自定义报表模板;支持一次性报表及周期性报表,可自定义统计时间
审计:支持邮件内容审计:对接收/发送邮件行为及邮件内容进行审计;FTP 审计:对 FTP上传/下载行为及文件内容进行审计;以及支持网站访问审计:审计指定类别的 URL 地址、审计命中指定关键字的网页标题和网页内容审计:提供完善的审计数据查询功能,方便管理员对用户的上网行为进行审查和分析。支持对用户上网行为进行完整的审计数据查询,包括访问网站、邮件收发、论坛微博、 FTP 等;同时支持对用户上网流量时长进行完整的审计数据查询,包括服务端 IP、用户名、协议、上行流量、下行流量、总流量、时间等日志:日志查看可划分为管理日志、系统日志、策略日志、应用行为日 志 等 四 大模块, 具体包含用 户 、连接、流量 、 NAT 、 审计、HA、APT、未知威胁等 20 个日志类别威胁统计:支持根据按照病毒防御、入侵防御、APT 防御、ADS 攻击进行威胁统计,可按照威胁类型/攻击者/受害者三种方式进行威胁排名
4 其它要求具有公安部颁发的计算机信息系统安全专用产品销售许可证书(增强级)(提供证书复印件)▲具有信息技术产品 EAL4+证书(提供证书复印件)
(5)防火墙设备3
序号 指标项 技术指标
1 硬件要求机箱:1U 机箱电源:单电源电口数量:≥5 个 10/100/1000BASE-T
2 性能要求 防火墙吞吐率:≥2Gbps并发连接数:≥68 万
3 功能要求 工作模式:支持路由、交换、混合、虚拟线工作模式地址转换:支持一对一 SNAT、多对一 SNAT、一对一 DNAT、双向 NAT、NoNAT 等多种转换方式;支持 Sticky NAT开关,使相同源 IP 的数据包经过地址转换后为其转换的源 IP 地址相同智能 DNS:支持智能 DNS 及 DNS Docting 功能,能够将来自内部网络的域名解析请求定向到真实内网资源,提高访问效率,同时支持通过配置多条 DNS Doctoring,实现内网资源服务器的负载均衡访问控制:支持 IPv6 安全控制策略设置,能针对 IPv6 的目的/源地
址、目的/源服务端口、区域、服务、时间、扩展头属性等条件进行安全访问规则的设置资源虚拟化:支持在一台物理设备上划分出 128 个相互独立的虚拟系统,可根据连接配额及连接新建速率为每个虚拟系统分配资源用户管控:支持本地 CA 和第三方 CA,支持作为 CA 认证中心为其他人签发证书,也可采用第三方 CA为其他人签发证书;支持标准CRL列表,支持 CRL手工更新,同时支持 CRL自动下载,通过HTTP或者 LDAP 方式定时自动下载更新 CRL文件▲应用识别:内置强大应用识别引擎,综合运用端口识别、行为识别、特征识别、关联识别等技术手段,准确识别传统应用如 P2P(提供 P2P流量识别技术相关的专利证明)、web 应用、移动应用、云应用、加密应用(提供截图与加密流量识别相关的专利证明);内置独立应用识别特征库,总数 2100种以上,支持应用特征库在线或本地更新,支持应用特征自定义(须提供产品功能界面截图并加盖原厂商公章)一体化访问控制:内置高度集成的一体化智能过滤引擎技术,实现在同一条访问控制策略中配置传统的五元组信息、用户、域名、应用、服务、时间、安全引擎(入侵防御、URL过滤、病毒过滤、内容过滤、文件过滤、审计、APT)的识别与控制连接控制:支持监控功能,显示最近被拦截的 IP、地址对象及应用的节点信息;同时支持对连接数限制策略匹配信息进行分类统计,方便管理员根据统计分析结果进行相应的防护控制未知威胁防御:支持 APT 防御,不依赖于攻击、恶意代码等特征库进 行 检 测 , 通过沙箱 技 术 对 于未知漏 洞 攻 击 ( 0day/1day 漏洞)、木马、病毒具有检测能力;可根据用户环境,将 APT 工作模式设置为深度模式或者智能模式DDOS 防 御 : 内 置 流 量 检 测 清 洗 引 擎 , 支 持 基 于IP、ICMP、TCP、UDP、DNS、HTTP、NTP 等众多协议类型的防护策略;提供丰富的策略模板,且支持策略模板自定义内容过滤:支持基于 http、ftp、telnet、smtp、pop3 等协议的内容过滤策略,可对微博、贴吧上传的内容及附件进行过滤,可对FTP上传/下载的文件名进行过滤,同时支持过滤 FTP 信令:上传文件、下载文件、删除文件、重命名文件、创建目录、删除目录、列出目录等,邮件过滤支持对发件人、收件人、主题、内容、附件等进行过滤报表:内置 15类预定义报表模板,支持根据通信流量、上网行为、威胁统计等来源数据库自定义报表模板;支持一次性报表及周期性报表,可自定义统计时间审计:支持邮件内容审计:对接收/发送邮件行为及邮件内容进行审
计;FTP 审计:对 FTP上传/下载行为及文件内容进行审计;以及支持网站访问审计:审计指定类别的 URL 地址、审计命中指定关键字的网页标题和网页内容审计:提供完善的审计数据查询功能,方便管理员对用户的上网行为进行审查和分析。支持对用户上网行为进行完整的审计数据查询,包括访问网站、邮件收发、论坛微博、 FTP 等;同时支持对用户上网流量时长进行完整的审计数据查询,包括服务端 IP、用户名、协议、上行流量、下行流量、总流量、时间等日志:日志查看可划分为管理日志、系统日志、策略日志、应用行为日 志 等 四 大模块, 具体包含用 户 、连接、流量 、 NAT 、 审计、HA、APT、未知威胁等 20 个日志类别威胁统计:支持根据按照病毒防御、入侵防御、APT 防御、ADS 攻击进行威胁统计,可按照威胁类型/攻击者/受害者三种方式进行威胁排名
4 其它要求具有公安部颁发的计算机信息系统安全专用产品销售许可证书(增强级)(提供证书复印件)▲具有信息技术产品 EAL4+证书(提供证书复印件)
(6)防病毒网关序号 指标项 技术指标
1 硬件要求
机箱:1U 机箱电源:单电源拓展槽数量:≥2 个可插拔的拓展槽最大接口配置数:≥25 个接口电口数量:≥5 个 10/100/1000BASE-T千兆光口数量:≥2 个 SFP 光插槽
2 性能要求整机吞吐:≥2Gbps并发连接数:≥170 万防病毒吞吐:≥480Mbps
3 功能要求 ▲病毒检测过滤功能:具有双库双引擎病毒检测扫描技术,可选择使用不同的病毒库,而且能够根据不同的被检测协议选择采用不同的扫描引擎(快速扫描引擎或深度扫描引擎)(须提供产品功能界面截图并加盖原厂商公章)病毒检测过滤功能:能够防御病毒、木马、蠕虫、间谍软件等恶意软件,且支持对压缩数据、加壳病毒的检测与处理
病毒检测过滤功能:支持对 HTTP、FTP、POP3、 SMTP、IMAP等常用协议进行病毒检测与过滤病毒检测过滤功能:支持 IPv4 和 IPv6 双栈协议的病毒扫描与检测过滤病毒检测过滤功能:要求对流行病毒检测率不低于 95%,并提供国家专业病毒检测机构的证明内容过滤:支持 URL过滤方式阻止非法数据进入内部网络,并且能够针对“ActiveX”、“Java Applets”及“Script”等控件实施拦截▲内容过滤:支持对邮件内容的过滤,至少具有邮件主题关键字过滤、附件名称过滤、带密码保护的附件过滤等(须提供产品功能界面截图并加盖原厂商公章)网络适用性:支持完全透明部署,即插即用,与客户端 IP 以及MAC地址、端口、认证方式等无关;当网络环境发生变化时,无需再调配病毒网关策略与配置,既可降低实施成本又可降低使用成本网络适用性:支持多接口可旁路的病毒监听检测模式,可并行监听检测多条链路、多个网段内的病毒传输行为网络适用性:支持多通道防护,可利用同一台病毒过滤网关实现多链路多区域的病毒防护,增强企业网络安全性并节省企业的防护成本维护与管理:提供完整的病毒日志、访问日志和系统日志等记录,并可根据日志数据生成图形化统计报表维护与管理:具有针对 FTP流量的病毒检测过滤日志,且过滤日志能定位到具体的文件名,方便管理处理携带病毒的文件维护与管理:提供强大的监控功能,可以监控系统资源、网络流量、当前会话数、当前病毒扫描信息等维护与管理:支持病毒隔离功能,管理员可方便的管理隔离区,可选择把隔离区的内容删除,可选择将隔离内容发送到指定的多个邮箱进行后期的分析处理与取证维护与管理:支持配置文件的备份、下载、恢复与上传,可导出配置文件进行存档,也可定时自动上传到指定服务器进行存档
4 其它要求 ▲具有公安部颁发的计算机信息系统安全专用产品(网关类产品)销售许可证(增强级)(提供证书复印件)
(7)应用层防护设备序号 指标项 技术指标
1 硬件要求
机箱:1U 机箱电源:单电源拓展槽数量:≥2 个可插拔的拓展槽电口数量:≥5 个 10/100/1000BASE-T千兆光口数量:≥2 个 SFP 口
2 性能要求 应用层吞吐:≥480Mbps并发连接数:≥85 万
3 功能要求 支持虚拟线无论任何网络环境可强制数据从一个接口转发到另一个接口支持 IPV6协议下邻居指定支持HTTP/HTTPS站点防护应能识别和阻断 SQL 注入攻击,Cookie 注入攻击,命令注入攻击应能识别和阻断跨站脚本(XSS)攻击▲支持虚拟补丁功能,支持导入 appscan、w3af 等第三方扫描器的扫描结果生成WAF 的规则,对此类网站漏洞直接防护(须提供产品功能界面截图并加盖原厂商公章)可停用或启用任意一条规则,当触发规则后可以制定针对该条规则的动作,包括阻断记录日志、阻断不记录日志、继续、警告、临时或永久跳转到某一重定向页面等动作可以针对服务器 IP地址进行防护,而不需要配置需要防护的网站域名▲支持基线学习,可以自动学习用户 http正常流量阈值模型,并给出推荐阈值配置项(须提供产品功能界面截图并加盖原厂商公章)支持对客户端在单位时间内的访问 URI 的次数做控制配置,防止特定 URI路径被 HTTP Flood恶意 ddos 攻击访问消耗服务器资源导致服务器拒绝服务支持对 SLOW HEADER 和 SLOW POST 的等慢速 ddos 攻击的防护支持对 HTTP/HTTPS Flood 攻击源的发包速度、源新建连接数、源并发连接数做源限速控制配置,且可以阻断攻击或者将攻击 IP 加入黑名单Web界面可以直观查看WAF扩展卡、接口、USB 口、管理口、HA 口及业务口的运行状态可以查看通过WAF 的所有 IPV4 及 IPV6 客户端和服务器 IP地址及端口连接数及状态
可以实时查看设备并发连接数、每秒事务数及 HTTP 应用层吞吐率等数据并以可视化的方式展示支持账号策略自定义,支持定义允许最大登录失败次数、密码错误账号锁定时间、最大在线管理员数、对其他非法在线管理员强制下线、防管理员账号暴力破解支持两台 WAF 配置同步支持同一台 WAF上下接口状态联动(一个接口 down 另外一个接口也同步 down)
4 其它要求 ▲具有公安部颁发的销售许可证(提供证书复印件)
(8)VPN设备序号 指标项 技术指标
1 硬件要求
机箱:1U 机箱电源:单电源拓展槽数量:≥2 个可插拔的拓展槽电口数量:≥5 个 10/100/1000BASE-T千兆光口数量:≥2 个 SFP 光插槽
2 性能要求IPSEC吞吐:≥1GbpsSSL吞吐:≥550Mbps用户授权数:≥90
3 功能要求 ▲支持国密算法、国际算法、国密/国际混合算法的自由切换(须提供产品功能界面截图并加盖原厂商公章)支持免费的多机多线路隧道支持DDNS动态域名注册支持Windows 系列系统、MAC 系统、Linux 系统支持终端使用包括 IE6、7、8、9、10、11或其他 IE内核的浏览器, 以 及 非 IE 内核浏览器、如 Firefox , Safari , Google Chrome,Opera登录 SSLVPN 系统支持通过WebCache 技术对 web页面进行数据优化,支持智能压缩技术,减少不必要的数据传输▲支持HTTP401 方式、WEB 方式、密码助手方式的单点登录,用户登录 VPN 后无需二次认证,即可登录内部 B/S、C/S 应用系统,支持用户修改单点登陆的账户信息(须提供产品功能界面截图并加
盖原厂商公章)▲支持多达 5因素的组合捆绑认证(用户名口令、数字证书、短信、硬件特征码、人脸识别)(须提供产品功能界面截图并加盖原厂商公章)支持 IPSEC 与 SSL使用同一套用户认证、管理系统支持多达 16 级的管理员三权分立,支持管理员分级分权管理,不同管理员管理不同的功能模块,可自定义管理员权限模板支持隧道安全隔离
4 其它要求 ▲具有公安部颁发的计算机信息系统安全专用产品销售许可证(提供证书复印件)
(9)防DDOS攻击设备序号 指标项 技术指标
1 硬件要求
机箱:2U 机箱电源:双冗余电源拓展槽数量:≥2 个可插拔的拓展槽存储空间:≥1T最大配置:≥25 个接口电口数量:≥5 个 10/100/1000BASE-T(支持 1组 bypass)千兆光口数量:≥6 个 SFP 光插槽(支持 1组 bypass)
2 性能要求 清洗性能:≥3.5Gbps最大保护服务器数量:≥180 台
3 功能要求 支持在线串接、旁路检测和旁路清洗三种模式网 络 层 清 洗 包 括 但 不 限 于 : IP Fragment Flood 、 ICMP FLOOD、UDP FLOOD、UDP碎片防护、TCP SYN FLOOD、TCP ACK FLOOD、TCP RST FLOOD、TCP FIN FLOOD、慢速连接耗尽等▲支持在 IPv6/IPv4 双栈协议下的 HTTPS协议的 DDOS 的防护,包括但不限于:SSL DOS、https client hello flood 攻击等(须提供产品功能界面截图并加盖原厂商公章)▲支持在 IPv6/IPv4 双栈协议下的 SIP协议的清洗防护,包括但不限于:SIP FLOOD、sip register flood 攻击(须提供产品功能界面截图并加盖原厂商公章)
支持基于 http 协议字段的过滤,可过滤字段包括但不限于 :URI、User-Agent、URI-GET、URI-POST、Referer、Cookie 等▲支持 NTP 协议的 防 护 ,包括但不限于 : NTP REQUEST FLOOD、NTP REPLY FLOOD 攻击等(须提供产品功能界面截图并加盖原厂商公章)自动抓包:支持攻击时、流量异常时自动抓包留存电子凭证、并支持自定义抓包数量手动抓包自动流量牵引模式下,流量的牵引在 web界面可实现手动可控支持转储数据为多种格式,包括但不限于:支持 csv格式、HTML格式、XML 等转储格式支持流量日志、攻击日志、牵引日志、联动日志、系统日志等等,并详细记录日志的时间、状态、攻击源等针对每个分组可以纵向深层次配置不同的二级防护对象,针对二级防护对象可详细设置私有策略,并可以继承一级防护策略支持 Ping、traceroute、tcp、http、dns 等命令自检测
4 资质要求▲具有公安部颁发的计算机信息系统安全专用产品销售许可证(抗拒绝服务攻击)(提供证书复印件)具有国家版权局颁发的计算机软件著作权登记证书(提供证书复印件)
(10)IPS入侵防御设备序号 指标项 技术指标
1 硬件要求
机箱:2U 机箱电源:双冗余电源拓展槽数量:≥2 个可插拔的拓展槽存储:内置 SSD固态硬盘存储日志最大配置:≥25 个接口电口数量:≥5 个 10/100/1000BASE-T(支持 1组 bypass)千兆光口数量:≥6 个 SFP插槽(支持 1组 bypass)
2 性能要求整机吞吐:≥5GbpsIPS吞吐:≥2Gbps并发连接数:≥100 万
3 功能要求 要求支持直连、路由、VLAN、旁路监听、混合部署等多种接入模
式要求支持多端口链路聚合,支持 11种链路负载均衡算法要求支持 IPv6、IPv6 over IPv4、IPv6 和 IPv4混合网络,能够在该网络环境中检测出攻击事件要求 URL过滤库单独分开,可支持手动、自动、以及离线升级▲攻击特征库应涵盖广泛的攻击特征库、能够针对 4000种以上攻击的攻击行为、异常事件,以及网络资源滥用流量,进行检测和防御(须提供产品功能界面截图并加盖原厂商公章)支持 400 万以上病毒检测规则系统支持 CC 攻击防御,且能够对 Web 服务器上的指定 URI页面进行防护设置系统支持主机并发连接数和半连接数的限制▲系统能够根据数据内容而非端口智能识别包括 P2P、即时通讯、电子商务、股票交易、网络游戏、网络电视、移动应用等在内的 23大类超过 1200种应用(须提供产品功能界面截图并加盖原厂商公章)系统应支持多种形式的日志存储,本地存储、发送至日志服务器、本地日志服务器双存储、自动方式判断日志服务器状态自动决定日志的记录方式系统应支持按照时间、源 IP、源端口、目的 IP、目的端口、网络接口、风险级别等条件生成统计分析报表,报表内容包括攻击防护、病毒过滤、应用管控、URL过滤四大类系统应提供全方位的包含管理、系统、策略、安全、流量等告警▲应支持设备温度监视以及报警,可以自定义温度阀值(须提供产品功能界面截图并加盖原厂商公章)
4 资质要求
▲具有公安部颁发的计算机信息系统安全专用产品销售许可证(提供证书复印件)具有信息技术产品 EAL3+证书(提供证书复印件)具有国家版权局颁发的计算机软件著作权登记证书(提供证书复印件)
(11)IDS入侵检测设备序号 指标项 技术指标
1 硬件要求 机箱:2U 机箱
接口:10/100/1000M 以太网电口≥6 个;RJ45接口≥1 个;GE管理口≥1 个存储:≥1T 硬盘
2 性能要求网络层吞吐量≥10G最大并发连接数≥180 万每秒新建连接≥55000
3 功能要求
系统应提供覆盖广泛的攻击特征库,能够针对 8900 以上的攻击行为、异常事件,以及网络资源滥用流量,进行检测系统应具备攻击快照功能,详细记录触发告警的数据特征,以便做进一步的事件分析系统应能识别主流的应用程序,识别种类不少于 2500种系统须支持 IPv6/IPv4 双协议栈功能,能同时辨识 IPv4 和 IPv6 通讯流量。支持 IPv6环境下攻击检测技术和基于 IPv6地址格式的安全控制策略,为 IPv6环境提供入侵防护。▲系统应提供基于告警设备、时间、IP地址、事件类型、用户身份等条件的日志检索功能,具备日志备份、清除和恢复功能。系统应具备递归查询功能,在查询结果中再次输入查询条件获得更详细的查询结果,进行细粒度分析(须提供产品功能界面截图并加盖原厂商公章)系统须支持 IPv6/IPv4 双协议栈功能,能同时辨识 IPv4 和 IPv6 通讯流量。支持 IPv6环境下攻击检测技术和基于 IPv6地址格式的安全控制策略,为 IPv6环境提供入侵防护。系统应提供多种升级方式,至少提供实时在线升级、自动在线升级、离线升级的升级方式针对访问外网资源的终端用户,系统应提供增强的身份认证功能,支持标准的 RADIUS 和 LDAP接口,及第三方认证平台,实现更灵活、更安全的认证控制。系统应提供灵活的流量管理功能,可以根据用户、应用、目的 IP地址、时间及带宽等因素,实现基于应用、面向对象的流量保护策略。通过流量许可和优先级控制,阻断一切非授权用户流量,并结合最小带宽保证、最大带宽限制、会话限制和每 IP 设置等功能,有效保证关键应用全天候畅通无阻。系统应提供丰富的响应方式,如邮件通知等功能,满足用户各种响应需求系统应提供入侵行为和应用软件特征的自定义接口,可根据用户需求定制对其它流量的检测规则
4 其它要求 ▲具有公安部颁发的计算机信息系统安全专用产品销售许可证(提
供证书复印件)具有信息技术产品 EAL3+证书(提供证书复印件)
(12)网络审计设备序号 指标项 技术指标
1 硬件要求
机箱:2U 机箱电源:双冗余电源拓展槽数量:≥2 个可插拔的拓展槽存储:≥1T电口数量:≥5 个 10/100/1000BASE-T千兆光口数量:≥4 个 SFP 光插槽
2 性能要求 吞吐率:≥1800Mbps3 功能要求 支持实名审计,支持 802.1x,PPPoE,AD 等环境下终端 IP地址
和用户实名信息或主机信息绑定显示,可显示在线用户的 PPPoE账号和 AD域用户等信息支持应用协议行为识别,最少分为 12 大类,可以把应用协议分组进行审计,用户可以根据需求自行选择审计内容支持共享协议(SMB文件共享、NFS共享)审计▲支持对网络入侵行为 IPS规则的管理和侦听,并对攻击信息详细审计(攻击流行程度、风险等级、操作系统、攻击类型等)(须提供产品功能界面截图并加盖原厂商公章)系统内置高危 SQL 查询和注入、远程命令执行、跨站脚本攻击等高危指令告警规则支持基于流的流量分析功能,可对其他设备发送的 Netflow 进行分析,支持对 Netflow v5/v9版本的流量分析支持WORD、PDF、CVS、EXCEL、HTML 等格式导出报表支持通过邮件、syslog、SNMP 等方式进行告警▲支持系统旁路部署下的攻击阻断;支持防火墙联动方式的阻断(须提供产品功能界面截图并加盖原厂商公章)支持双操作系统,当常用系统出现故障可以使用备用系统恢复一体化设备,审计、解析、管理、报警、存储均在一台物理设备上实现支持单点、多点、多级管理模式
支持 IPV6环境部署和 IPV6环境下网络审计系统全部功能的审计
4 资质要求
具有公安部颁发的计算机信息系统安全专用产品销售许可证(提供证书复印件)▲具有中国信息安全认证中心颁发的 ISCCC 证书(提供证书复印件)具有国家版权局颁发的计算机软件著作权登记证书(提供证书复印件)
(13)日志审计设备序号 指标项 技术指标
1 硬件要求机箱:1U 机箱电源:单电源存储:≥4T电口数量:≥5 个 10/100/1000BASE-T
2 性能要求 综合采集处理均值:≥6000EPS日志授权:≥90
3 功能要求
支持 windows 2008/2012(64位)、linux(64位)系统;支持单级部署;支持代理分布式部署采集日志支持主动、 被动相 结 合 的 数 据 采集方 式;支持 Telnet\SSH 、 Syslog 、 SNMP Trap、Netflow、JDBC、SSH、WMI、FTP、SFTP、SCP、文件等方式进行数据采集;支持通过Agent采集日志数据支持安全设备、网络设备、中间件、服务器、数据库、操作系统、业务系统等不少于 26类 300种日志对象的日志数据采集▲支持对日志流量非常大但是日志重要程度低的 syslog类型日志源进行限制接受速率,降低对系统资源的占用,保障重要日志的收集,支持限制速率设置为 1000条/秒、3000条/秒和 5000条/秒等(须提供产品功能界面截图并加盖原厂商公章)支持日志转发给第三方系统平台,支持设置多个日志转发 IP地址,支持转发格式化日志或仅转发原始日志▲支持根据设备重要程度设置独立设置每个被采集源的数据存储存储时间为 1 个月、3 个月、6 个月和永久保存等参数(须提供产品功能界面截图并加盖原厂商公章)支持存储空间图像化、动态监控,超过阀值进行告警。支持从存储空间、存储时间多维度进行动态监控
支持根据级别、规则类型、规则名称、时间范围、事件名、设备IP、源 IP、目的 IP 等方式快速检索安全事件告警,检索结果支持Excel 等格式导出内置系统运行相关告警规则,包括检测到新日志源、节点掉线、主动日志源长期不外发日志、存储上限告警、主机认证失败等,可启用/禁用规则支持邮件、声音、短信、命令行等多种告警方式,支持报警内容引用字段变量参数系统支持智能报表创建,每添加一个日志源,系统自动分析日志源类型进行相应报表创建,无需人工干预,报表和资产一一对应支持首页以全国地图、全球地图展示最近 24 小时日志访问源和访问目的的分布,能根据颜色区分访问来源和访问目的数据量大小,能够通过首页地图快速下钻查询指定省、市的日志详细信息支持在日志查询结果上针对源 IP、目的 IP、操作、源端口、目的端口等字段一键快速统计,以饼图方式展示,对于源 IP 和目的 IP(公网地址)还支持以中国地图、世界地图方式展示,在统计图上能够进行点击下钻查询对应条件的日志结果支持基于拓扑图的日志源相关数据信息快速查看支持用户按角色管理,支持三权分立;
4 资质要求▲具有公安部颁发的计算机信息系统安全专用产品销售许可证(提供证书复印件)具有国家版权局颁发的计算机软件著作权登记证书(提供证书复印件)
(14)数据库审计设备序号 指标项 技术指标
1 硬件要求
机箱:2U 机箱电源:双冗余电源存储:≥1T电口数量:≥5 个 10/100/1000BASE-T千兆光口数量:≥4 个 SFP插槽
2 性能要求抓包速度:≥900M数据入库速度:≥5800条/秒日处理事件数:≥9000 万条
3 功能要求
数据库授权数量和监听口授权数量无限制支 持 对 Oracle 、 SQL-Server、DB2、Informix、Sybase、MySQL、PostgreSQL、Teradata 、Cache 数 据 库 进 行 审 计 ,支持人 大金仓 KingBase 、神通(OSCAR)、达梦(DM)、南大通用(GBase)支持 FTP 、 Rlogin 、 Radius 、 NFS 、 X11 等协议审 计 ,支持SSH、SCP、SFTP、SCP 等加密协议审计,支持 RDP协议审计,可审计关键的键盘输入,记录会话过程,支持对邮件协议的审计,包括 pop3、smtp 及 Imap 等▲审计策略支持数据库客户端软件名称、数据库名、数据库表名、数据库字段名、数据库返回码作为响应条件(须提供产品功能界面截图并加盖原厂商公章)支持对超长 SQL语句的审计;支持数据库存储过程自动获取及内容的审计▲支持访问数据库的源主机名、源主机用户、SQL操作响应时间、数据库操作成功、失败的审计(须提供产品功能界面截图并加盖原厂商公章)▲支持数据库并发会话数、并发进程数、并发用户数、并发游标数、并发事务数、数据库锁等超过限制的审计(须提供产品功能界面截图并加盖原厂商公章)支持 Telnet协议的审计,支持对 FTP协议的审计。支持对针对数据库的 XSS、SQL 注入攻击行为进行审计支持根据网络数据流自动建立数据库操作行为基线数据库操作行为基线包括数据库账号、操作类型、源 IP、客户端程序等特征支持对 HTTP 、 HTTPS 、 FTP 、 POP3 、 SMTP 等协议传输的Word、Excel、文本及其压缩格式(RAR、ZIP、TAR)等文件(非加密)中的关键内容审计支持查询、统计的条件模板编辑与应用;支持多个查询、统计任务同时进行支持用户操作轨迹图展示,轨迹图维度可自定义
4 其它要求 ▲具有公安部颁发的销售许可证(增强级)(提供证书复印件)具有信息技术产品 EAL3+证书(提供证书复印件)
(15)漏洞扫描设备
序号 指标项 技术指标
1 硬件要求机箱:1U 机架式设备电源:交流单电源以太网电口:≥5 个 10M/100M/1000M自适应扫描口接口扩展槽位:≥1 个
2 性能要求可支持扫描资产总数:无限授权允许最大并发扫描 IP 数:≥60 个最大并发任务数:≥10 个单个任务最大 IP 数:≥50 个
3 功能要求 支 持 检 测 的 漏 洞 数 大 于 45000 条 , 兼 容CVE、CNCVE、CNNVD、CNVD、Bugtraq 等主流标准,并提供CVE Compatible 证书。▲产品支持对系统漏洞扫描、web 漏洞、配置合规进行检查和综合分析,可输出同时包含漏洞扫描和配置核查结果的报表(须提供产品功能界面截图并加盖原厂商公章)同时支持远程扫描和采用 SMB、SSH、RDP、Telnet 等协议对Windows、Linux 等系统进行登录扫描产 品 应支持通过多种维 度 对 漏 洞 进 行 检索,包括: CVE ID、BUGTRAQ ID、CNCVE ID、CNVD ID、CNNVD ID、MS 编号、风险等级、漏洞名称、是否使用危险插件、漏洞发布日期等信息内置不同的漏洞模板针对 Unix、Windows操作系统、网络设备和防火墙等模板,同时支持用户自定义扫描范围和扫描策略;支持自动模板匹配技术,请提供功能截图支持专门针对 DNS 服务的安全漏洞检测,包括DNS 投毒等漏洞检测能力;支持“幽灵木马”检测▲支持Oracle、MySQL、MS SQL、DB2、Sybase 数据库漏洞检查(须提供产品功能界面截图并加盖原厂商公章)▲具备单独口令猜测扫描任务,支持多种口令猜测方式,包括利用SMB 、 TELNET 、 FTP 、 SSH 、 POP3 、 TOMCAT 、 SQL SERVER、MYSQL、ORACLE、SYBASE、DB2、SNMP 等协议进行口令猜测,允许外挂用户提供的用户名字典、密码字典和用户名密码组合字典(须提供产品功能界面截图并加盖原厂商公章)支持和微软 WSUS补丁系统的联动,能够在发给主机管理员的邮件中附带自动配置 WSUS 的注册表文件,方便进行自动化的补丁修补支持风险告警和风险闭环处理,可在集中告警平台灵活配置告警内
容、告警方式、告警资产范围等,支持邮件和页面告警,支持单个或批量修改风险状态支持将按 IP范围、起止时间、任务名称、任务状态、漏洞模板、用户等筛选扫描任务,并对筛选结果进行汇总,和生成在线及离线报表支持实现显示扫描结果,包括扫描进度、主机存活数、预计扫描时间、漏洞风险信息等支持扫描任务完成后自动生成报表和发送到指定邮箱或上传到 FTP服务器
4 其他要求
▲具有公安部颁发的计算机信息系统安全专用产品销售许可证(增强级)证书(提供证书复印件)具有国家版权局颁发的计算机软件著作权登记证书(提供证书复印件)具有信息技术产品 EAL3+证书(提供证书复印件)
(16)堡垒机设备序号 指标项 技术指标
1 硬件要求
机箱:1U 机箱电源:单电源接口:1 个 console 口,2 个 USB 口;≥5 个10/100/1000BASE-T;≥2 个 SFP插槽拓展槽数量:≥2 个可插拨扩展槽存储:≥1T 存储空间
2 性能要求 授权许可:≥90 个主机设备许可:用户数不限制
3 功能要求 支持旁路单臂部署,以逻辑网关方式工作;不改变现有网络结构,不改变运维人员的运维习惯不限级数的进行分层分级分类管理;支持从 AD域抽取 OU,方便快速建立组织结构资源分组支持以树形方式展现,不限制分组层级数量;资源类型支持 unix资源、网络资源、windows资源、数据库资源、C/S资源、B/S资源、中间件资源、大型机资源等▲资源授权模式基于岗位授权,岗位上绑定资源账号,这样授权可迁移、授权粒度更细;并可针对岗位设置相关安全策略(须提供产品功能界面截图并加盖原厂商公章)运维人员可将经常访问的资源添加到收藏夹,根据自己的登录习惯,更加便捷的定位需要访问的资源支持一键批量登录选中的资源,简化工作量;支持将登录配置保存为默认后,可以一键快速登录目标资源支持 RDP-Tcp属性中的所有功能配置,包括加密级别为客户端兼容、低、高、符合 FIPS 标准等加密级别自身提供证书认证服务,也可与第三方 CA、动态令牌、生物识别、短信认证等方式进行结合。支持组合认证,提高访问的安全性支持上下行剪切板控制、共享磁盘控制、控制台登录控制支持字符命令操作的黑白名单设置,命令权限控制规则应支持正则表达式,并可以对命令的参数进行限制并记录日志支持对 RDP实时会话的锁定和解锁,并可以在锁定解锁时发送即时通讯消息。发现危险操作可立即进行锁定操作▲RDP 审计策略支持关键帧,帧间隔,录像文件压缩比等设置,以
缩小录像文件大小;支持审计录像的画质选择,至少支持真彩,伪真彩,灰度三种画质选择(须提供产品功能界面截图并加盖原厂商公章)对字符命令方式的访问可以审计到所有交互内容,可以还原操作过程的命令输入和结果输出,并且可以高亮显示高危命令支持将重要的资源设置为登录审批,登录访问是需提交工单申请,审批人同意才可登录支持将高危命令设置为执行需审批策略,当指定资源执行高危命令时,需要审批通过后,命令才能执行生效系统预设常用统计报表模板,分为基础业务报表、行为审计报表、信息管理报表三大类。报表提供 Word、Excel、PDF类型下载,支持按单次、周、月定时周期性生成,并且支持将生成报表发送到指定邮箱支持日志数据的外置存储备份,支持 NFS 和 windows文件共享协议,远程审计存储和本地存储对审计员透明
4 其它要求
▲具有公安部颁发的计算机信息系统安全专用产品销售许可证(提供证书复印件)▲具有中国网络安全审查技术与认证中心(原中国信息安全认证中心)颁发的 IT 产品信息安全认证证书(提供证书复印件)具有国家版权局颁发的计算机软件著作权登记证书(提供证书复印件)
(17)安全管理中心序号 指标项 技术指标
1 硬件要求
基于 j2ee 平台构架,具备跨平台性、开放性和扩展性同时支持 IPV4/IPV6 双协议数据信息采集基于 B/S 架构,通过web 方式对本系统实现管理支持windows32/64 平台、支持 linux 平台支持Oracle 数据库、支持mysql 数据库
2 性能要求 事件采集性能≥7500条/秒,处理≥4500条/秒支持通过多极级联部署,支持分权分域分布式部署等方式
3 功能要求 支持以 SNMP、SNMP TRAP、Syslog、ODBC\JDBC、文件\文件夹、WMI/API 等多方式完成日志收集▲日志解析至少包含“接收时间、事件类型、事件名称、报警级
别、来源 IP、目的 IP、设备类型、设备来源 IP”等 200 多属性(须提供产品功能界面截图并加盖原厂商公章)资产管理功能:1) 安全对象基于安全域进行管理,支持安全域树状结构展示,增删改查管理,支持多域层级嵌套管理。2) 安全对象基于安全域管理,支持自定义安全域的机密性价值、完整性价值、保密性价值、脆弱性值、等保级别、以及所有者。3) 支持安全对象分类管理,包含但不限于,安全设备、网络设备、数据库、中间件、服务器主机等▲事件管理功能:支持动画方式展示攻击事件回放、支持基于状态机实时关联分析事件(须提供产品功能界面截图并加盖原厂商公章)脆弱性管理功能:支持内置扫描器通过任务方式自动扫描漏洞。支持解析导入 nessus,xscan、RSAS、wvss 等扫描器的扫描报告风险管理功能:支持以仪表盘的形式显示当前风险值和历史风险平均值。支持显示安全对象或安全域在最近一段时间内的风险告警管理功能:安全告警支持通过配置规则按需实现告警工单管理功能:通过工单实现流程化管理,透明化过程展示。支持安全事件以工单形式通知负责人,形成流程化可跟踪的管理方式关联分析功能:支持基于攻击状态机模型的关联检测模型;支持图形化方式进行攻击回放逻辑拓扑管理:支持自由定义、编辑、修改业务拓扑图,业务拓扑的元素包括主机、网络设备、安全设备等各种类型的服务和应用界面展现模块:基于仪表盘实现展示,基于三维地图实现展示,支持逻辑拓扑展现,支持业务拓扑展现,按需依据配置实现展现。支持实时监控事件,实时展现,支持对监控属性的配置系统管理:支持三权分立,支持分权分域的管理模式▲配置管理模块:支持对网内各类设备信息进行自动或手动获取,并纳入安管平台,支持多配置版本管理,实现各版本间差异化比对分析(须提供产品功能界面截图并加盖原厂商公章)
4 其它要求
▲具有公安部颁发的计算机信息系统安全专用产品销售许可证(提供证书复印件)▲具有中国网络安全审查技术与认证中心(原中国信息安全认证中心)颁发的 ISCCC 产品认证证书(提供证书复印件)具有信息技术产品 EAL3+证书(提供证书复印件)
(18)Ukey
序号 指标项 技术指标1 功能要求 能标识各类政府机关、企事业单位、社会团体等机构的网上身份
包含存储数字证书的客户端存储设备
2.3. 集成工作从小客车系统架构、业务特点、现有设备配置、设备用途等方面进行评估,
提出切实可行的网络安全设备实施方案和计划,并按照实施方案完成系统集成
工作,包括设备的采购、安装、调试工作等。2.4. 服务地点、时间
服务时间:自合同签订之日起 4 个月交货时间:自合同签订生效之日 30 个日历日交货/服务地点:市交通委六里桥机房
3. 服务团队要求投标供应商须为本项目组建稳定的、专业的、独立的实施团队,专门负责
本项目采购与集成工作。团队人员应不少于 10 人,团队人员应根据各自不同
的角色开展采购与集成工作。项目经理应具备 5 年(含)以上信息安全工作经
验,且同时具有高级工程师证书和高级项目经理认证;团队人员须具备 3 年
(含)以上系统集成实施经验,具备相关资格证书(网络认证 CCIE、安全认证
CISP、信息系统项目管理师证书)、熟悉网络、安全、主机和系统的操作,有
能力独立处理和解决出现的各类问题。服务团队人员要严格遵守交通信息中心
的各项规章制度和管理规定,能够与客户进行很好的沟通,具有很强的工作责
任心和客户服务意识。4. 集成服务质量保证
由于信息技术的专业性、复杂性和长期性,在本次小客车系统网络和安全
设备采购与集成服务保障方面,对投标供应商提出了以下服务要求:(1) 拥有一只稳定的服务保障队伍,并具有较强的技术保障实力,遇到突
发情况时能够及时解决问题。(2) 拟派本项目的项目经理及项目组成员须具备丰富的集成服务项目实施
经验,且在项目实施过程中不得更换其已派项目经理。(3) 团队有明确分工和侧重点,基本人员均掌握一般的设备操作方法并能
解决普遍性设备故障问题。(4) 提供项目实施的工作计划,工作内容以及进度安排。(5) 具备提供 7*24 小时应急响应服务能力,针对网络及安全设备出现的突
发故障或问题,在 10 分钟内给予响应,1 小时到现场,4 小时内予以
解决。(6) 能够提供规范的全方位的技术培训。(7) 具有良好的职业道德,不损害用户利益。中标供应商在服务过程中应严格按照相关安全标准,针对服务的各个环节,
有专门的项目质量管理保障,包括完善的项目实施流程、实施文档模版和质量
记录文档。5. 售后服务项目终验前,中标供应商应根据售后服务承诺制定合理的系统运行维护方
案,并在运维过程中严格执行。在投标方案中,应明确如下几点:1、对本项目集成实施所涉及的设备,中标供应商必须提供自最终验收之
日起二年的免费维护服务和技术支持服务。2、在北京设立维护中心,有相应的技术人员,设立维护电话,对设备问
题提供 7*24 小时响应。3、设备出现故障时,技术人员须在 4 小时内到达现场,简单故障 6 小时
内恢复,复杂故障 6 小时内查明故障原因,提出解决方案和措施,24 小时内解
决。6. 保密要求
严格遵守合同规定,执行国家《保密法》及有关保密的法律法规,选派具
有良好职业道德的人员参与和从事本项目工作,教育相关人员恪守职业道德,
服从采购人的管理,严格遵守采购人的保密规定和工作制度,并承担相应的保
密责任。中标供应商应与采购人签订《安全保密协议》,中标供应商必须与所有参
与本项目的服务人员签订《保密承诺书》。中标供应商负责对《保密承诺书》
归档保管,接受采购人检查。中标供应商要对承诺履行情况负有监督责任,一
经发现违反承诺情况,要及时向采购人报告。中标供应商自觉接受采购人的安全保密监督和管理,中标供应商如违反安
全保密条款,采购人将追究其责任,对重大的泄密事件将移交司法部门追究其
法律责任;对中标供应商泄露系统资料,造成伤害的,除依据有关规定追究有
关责任人员法律责任外,还将依法承担相应的民事责任。
7. 验收标准验收时中标供应商应向采购人提交包括但不限于如下资料:到货验收报告、
系统集成方案、测试报告、用户操作手册、设备运维方案等。
