网络安全防护系统与日志审计系统项目性能指标技术参数一览表
序号
设备名称
数量
交货地点
1
入侵防护系统(IPS+WAF)
1套
用户指定地点
2
安全态势感知平台
1套
3
威胁检测探针
1套
4
综合日志审计系统
1套
5
堡垒机
1套
6
漏洞扫描系统
1套
7
终端检测与响应(EDR)系统
700终端数
8
安全交换机Ⅰ
3套
9
安全交换机Ⅱ
6套
10
安全监控显示系统
10套
11
上网行为管理设备软硬件升级维保服务(先将设备软件和URL库升级至最新版,再将URL库升级服务期以及硬件质保期延长3年。同时提供上网行为日志管理分析软件,要求见技术参数表。)
2套
12
数据中心安全网关现场服务(将设备软件、特征库升级至最新版;并根据需求重新调整安全区域划分和安全策略配置,培训设备管理员2名。)
2套
序号
设备目录
性能指标、技术参数及其他要求
数量
备注
1
入侵防护系统(IPS+WAF)
硬件规格
★19英寸标准机架式硬件设备,标配至少4个千兆电口、8个千兆光口(光模块满配,类型按需提供)、4个万兆光口(光模块满配,类型按需提供),提供设备连接所需的光纤跳线。配置冗余电源。
1套
功能模块
★要求设备同时开通IPS入侵防御功能模块,WEB应用防护功能模块,实时漏洞检测功能模块,僵尸网络检测模块,防病毒模块等。
性能参数
★网络层吞吐量≥20Gbps,并发连接数≥800万,每秒新建连接数≥32万。
部署方式
支持路由、网桥、单臂、旁路、虚拟网线以及混合部署方式。本项目采用串接方式部署于数据中心出口。
路由支持
(1)提供静态路由,ECMP等价路由。
(2)提供RIPv1/v2,OSPFv2/v3,BGP等动态路由协议。
(3)提供多链路出站负载功能,提供基于源/目的IP、源/目的端口、协议、应用类型以及国家地域等策略路由选路功能。
基础功能
(1)访问控制规则提供基于源/目的IP、源端口、源/目的区域、用户(组)、应用/服务类型、时间组等细化控制方式,提供长连接功能并可以配置连接时长功能。
(2)提供根据国家/地区来进行地域访问控制功能。
(3)提供访问控制失效规则识别功能,能够及时发现规则内容存在冲突、规则生效时间过期、规则长时间未有匹配等不良规则。
(4)提供DNS-Mapping功能。
(5)提供基于应用类型、网站类型、文件类型进行流量控制功能,提供基于IP段、时间、国家/地区、认证用户、子接口和VLAN进行流量控制功能。
(6)提供IPSec VPN,SSL VPN,GRE,GRE over OSPF,GRE over
IPSec等VPN接入方式。IPsec VPN提供子接口、VLAN口、聚合口,能够实现双机环境下vpn组网。提供在防火墙上配置VPN安全策略对加密隧道内的流量进行清洗功能。
(7)能够识别管控的应用类型超过1200种,应用识别规则总数超过3000条。
(8)具备IPv4/v6
NAT地址转换、源目的地址转换、目的地址转换和双向地址转换等功能,具备针对源IP或者目的IP进行连接数控制功能。
内容安全
(1)具备URL过滤功能,能够实现GET、POST请求过滤和HTTPS网站过滤。
(2)具备文件过滤功能,能够进行文件上传和下载方向过滤,支持多种文件类型至少包括avi、mp3、php、jpg、imap、pop3、mdf、pdf、文件驱动、核心驱动等并允许用户自定义。
(3)具备针对SMTP、POP3、IMAP邮件协议的内容检测功能,至少包括邮件附件病毒检测、邮件内容恶意链接检测、邮件账号撞库攻击检测等,并给出恶意邮件的提示,支持根据邮件附件类型进行文件过滤。
(4)识别管控的应用类型≥1200种,应用识别规则总数≥3000条。
(5)具备自定义应用规则功能。
(6)具备主流视频协议识别功能,至少包括海康、大华等摄像头协议,具备进行视频内容单向传输的访问控制功能。
(7)具备应用协议命令级控制功能, FTP可细化到rmdir、get、put等命令级控制。
(8)具备对《GB 35114-2017
公共安全视频监控联网信息安全技术要求》视频协议的信令进行控制功能,如标准中明确规定的SIP视频协议中注册REGISTER,邀请INVITE等信令的访问控制。
入侵防护
功能
(1)设备具备独立的入侵防护漏洞规则特征库,特征总数≥7400条。
(2)具备同防火墙访问控制规则进行联动功能,能够针对检测到的攻击源IP进行联动封锁,并能自定义封锁时间。
(3)具备对服务器、客户端、口令暴力破解、恶意软件等漏洞攻击防护功能。
(4)具备对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP、POP3、
RDP、Rlogin、SMB、Telnet、Weblogic、VNC等)和数据库软件(MySQL、Oracle、MSSQL等)的口令暴力破解防护功能。
(5)具备防护常见网络协议(SSH、FTP、RDP、VNC、Netbios)和数据库(MySQL、Oracle、MSSQL)的弱密码扫描功能。
(6)具备多种防web扫描能力,至少包括爬虫、CGI和漏洞扫描等,并能设置至少4个不同级别的扫描容忍度/扫描敏感度。
(7)提供最新的威胁情报信息,能够对新爆发的流行高危漏洞进行预警和自动检测,发现问题后能够一键生成防护规则。
僵尸主机检测
(1)具备调用Google Safe Browsing API接口过滤恶意URL链接功能。
(2)自带内置恶意URL链接库,恶意链接库能够做到每日实时更新。
(3)具备通过静态特征识别定位僵尸恶意软件功能,恶意软件识别特征总数≥50万条。
(4)具备通过随机域名算法、DGA域名检测算法和动态域名分析等行为识别技术定位僵尸主机功能。
(5)具备对已被种植了远控木马或者病毒等恶意软件的终端进行检测功能,能够对检测到的恶意软件行为进行深入的分析,能够展示外部命令控制服务器的交互行为和其他可疑行为。
(6)对于未知威胁具备同云端安全分析引擎进行联动的能力,能够上报可疑行为,在云端进行沙盒检测,下发威胁行为分析报告。
(7)能够通过云端的大数据分析平台,发现和展示整个僵尸网络的构成和分布,定位僵尸网络控制服务器的地址。
DoS/DDoS攻击防护
(1)具备Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP
Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Flood、ARP
Flood攻击防护功能。
(2)具备IP地址扫描、端口扫描防护功能,具备ARP欺骗防护、IP协议异常报文检测和TCP协议异常报文检测功能。
(3)具备内网访问控制功能,能够配置内网区域只允许指定的IP地址或IP范围对外进行访问,防止内部伪造源IP对外DoS攻击的情况发生。
(4)具备对信任区域主机外发的异常流量进行检测功能,至少能够发现ICMP、UPD、SYN、DNS
Flood等DDoS攻击行为。
威胁地理位置感知
能够将检测到的应用层攻击行为按照IP地址的地理位置信息进行动态展示,实时监测和展示最新的攻击威胁信息。
漏洞风险
评估
具备服务器的漏洞风险评估功能,能够采取被动漏洞检测方式,通过进行报文特征匹配、协议异常检测。
Web应用安全防护
(1)具备OWASP定义的10大web安全威胁防御功能,如SQL注入防护、XSS攻击防护、CSRF攻击防护等,保护服务器免受基于Web应用的攻击,
(2)具备根据网站登录路径保护口令暴力破解、脚本过滤功能,能够实现基于操作类型的脚本过滤,如注册表读写、文件读写、变形脚本、威胁对象调用、恶意图片等。
(3)具备Web漏洞扫描功能,能够扫描检测网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞。
(4)具备独立的WEB应用防护识别库,特征总数≥3500条。
(5)具备HTTP
1.0/1.1,HTTPS协议的安全威胁检测和防护功能。能够进行HTTP异常协议检测,如Content-Type、multipart头部字段重复,URL、HTTP头部溢出等,并可对HTTP方法进行过滤。
(6)具备APT检测功能,防止僵尸网络感染PC终端用户
(7)具备口令防护功能,至少包括FTP弱口令检测、WEB登录弱口令检测、WEB登录明文传输检测、口令暴力破解防护等功能。
(8)具备CC攻击、CSRF攻击、COOKIE攻击等攻击防护功能。
(9)具备抵御SQL注入、XSS、系统命令等注入型攻击功能。
(10)具备对网站黑链进行检测功能。
(11)能够基于所有安全模块的检测结果进行恶意IP联动封锁,包含高危封锁和所有封锁。
(12)具备热点威胁实时处理检测与快速响应功能。
安全产品联动
★(1)实现与学校现有的上网行为管理系统的联动,至少包括认证同步机制、单点登录、全网不安全行为阻断、用户不安全信息反馈等功能(需提供上网行为设备原厂出具的兼容设备列表和查询链接地址,并加盖厂商公章)。或者,允许采用其它更科学合理的替代方案(提供实施方案并加盖设备厂商公章)。验收会现场进行实现效果演示。
★(2)实现与本次采购的安全态势感知平台的联动,本设备能够以标准syslog格式将威胁数据上传到态势感知平台,供态势感知系统进行深度关联分析,并对恶意威胁实现联动封锁。能够直接从安全态势感知平台上直接下发应用控制策略到本设备。(需提供相关功能截图证明并加盖厂商公章)。验收会现场进行实现效果演示。
★(3)实现与本次采购的终端检测与响应(EDR)系统的联动,当本设备发现僵尸网络或者勒索病毒违规向主控端连接时,能联动EDR对终端进行扫描和取证,对威胁进行隔离、处置,同时在本设备上展示威胁处理的详情结果(需提供相关功能截图证明并加盖厂商公章)。验收会现场进行实现效果演示。
安全可视
(1)提供基于业务安全和用户安全维度的风险展示功能。具备针业务安全的风险汇总能力,至少包括存在风险的业务数量、哪些业务存在漏洞、哪些已经遭受攻击、哪些已经失陷等。具备用户安全进行风险汇总,实施攻击终端的事件类型统计,展示哪些用户存在高危行为,哪些用户已经被攻陷等。能够展示风险详情,明确给出对应的解决建议。
(2)提供对业务详情展示功能,能够展示业务存在关键的风险,能够提供具体的攻击链过程并对攻击进行举证。
(3)能够对检测到的攻击行为按照IP地址的地理位置信息进行威胁信息动态展示,实时监测和展示最新的攻击威胁信息。
(4)能够基于全球地图进行攻击信息展示,并可以基于攻击地图进行直接选择,定位攻击者的IP、影响的业务/服务器、攻击起止时间以及应急处置方法,同时可展示攻击次数TOP5排名。
(5)具备业务服务器的自动发现、业务服务器脆弱性、服务器开放端口自动识别、包含敏感数据业务识别等功能。
★(6)提供安全运营中心功能,能够对全网所有服务器和主机的威胁进行全面评估,管理员通过一键便可完成对服务器和主机的资产更新识别、脆弱性评估、策略动作的合理化监测、当前服务器和用户的保护状态、当前的服务器和主机的风险状态及需要管理员待办的紧急事项等,可以自动化直观地展示总体风险概况。验收会现场进行实现效果演示。
(7)具备自动生成综合安全风险报表功能,报表内容能够体现被保护对象的整体安全等级,发现漏洞情况以及遭受到攻击的统计,提供有效攻击行为次数统计和攻击举证能力。具备自动生成管理员操作报表功能,并提供HTML、PDF、EXCEL等导出方式。能够实现基于天/周/月的报表订阅并发送到指定邮箱,提供自定义报表内容及自定义报表Logo功能。
IPV6支持
★全面支持IPv6协议,具备IPv6/IPv4双协议栈功能,能同时辨识IPv4和IPv6通讯流量。提供IPv6
安全控制策略设置功能,能针对 IPV6 的目的/源地址、目的/源服务端口、服务、等条件进行安全访问规则设置;具备双栈、6to4 及
6in4 隧道实现IPv6 网络与 IPv4 网络访问等。提供IPv6-Ready 认证证书。(提供证书复印件并加盖厂商公章)
厂商资质
★(1)网络安全产品的运行完全依赖厂商的在线支持和特征库实时更新,如果厂商不存在了,产品就立即失去作用。为保证网络安全厂商有足够强的技术实力和足够长的生命力,要求厂商具备CMMI
L5认证证书。(提供证书复印件并加盖厂商公章)
★(2)为保证漏洞库具有较高的质量和时效性,谢绝使用OEM贴牌漏洞库,要求厂商是国家信息安全漏洞共享平台(CNVD)技术组成员,提供官网查询链接地址和官网查询结果截图并加盖厂商公章。
培训与售后服务
★(1)提供设备生产商针对本产品的五年原厂售后服务,包含5年硬件质保,5年系统软件升级,5年入侵防御规则库升级,5年WEB攻击特征库升级,5年漏洞识别库升级。提供重大节假日的安全保障服务,每季度至少1次的设备安全巡检服务等。如果投标人增加了免费质保服务年限,则必须为原厂质保服务,非原厂质保服务被视为无效承诺。提供设备生产商针对本项目的授权书和五年原厂售后服务承诺函(均加盖厂商公章)。验收时实行系统内部授权、售后服务承诺函、400售后服务电话三对照,最终用户名必须为信阳师范学院,授权年限必须三者一致。
(2)设备生产商必须在省内设有直属的服务办事机构,提供7*24小时快速上门服务和2小时内快速响应服务(官网上必须可查询到办事机构地址)
。
(3)培训设备管理员2名以上,使之能够进行设备配置调整,满足日常运维工作需要。
2
安全态势感知平台
性能指标
★(1)19英寸标准机架式硬件设备,硬盘容量≥32TB,CPU≥16核,内存≥96GB,系统盘≥128GB
SSD。配置冗余电源。
1套
(2)单台设备具备每天亿级实时日志分析和3TB以上数据量处理能力。
★(3)配置≥4个千兆电口,≥2个万兆光口(光模块满配,类型按需提供)、≥1个串口、≥3个USB口。提供设备连接所需的光纤跳线。
(4)具备集群部署功能,集群节点≥64个。
(5)全面支持IPv6,提供IPv6/IPv4双协议栈功能,实现IPV6安全态势感知。
大屏可视
(1)具备综合安全态势大屏展示功能,至少包括资产态势、脆弱性态势、网络攻击态势、安全事件态势、外连态势、横向威胁态势等。
(2)具备安全事件态势大屏展示功能,至少包括安全事件、事件等级分布、安全事件态势、安全事件TOP5、威胁最大事件TOP10、事件类型TOP5、风险业务/终端TOP5等。
(3)具备业务脆弱性态势大屏展示功能,至少包括漏洞风险态势、漏洞类型TOP5、高危漏洞TOP5、业务总览、脆弱性业务TOP5、实时脆弱性监测等。验收会现场进行实现效果演示。
(4)具备业务外连态势大屏展示功能,至少包括外连风险总览、外连威胁TOP10、外连态势、外连地区TOP5、实时威胁监控,并提供国际、国内地图自主切换功能。验收会现场进行实现效果演示。
(5)具备资产态势大屏展示功能,至少包括服务器操作系统分布、业务开发服务TOP5、最新资产动态、最近变动资产等。
(6)具备网络攻击态势大屏展示功能,至少包括攻击者、攻击总数、残余攻击、被攻击服务器、被攻击服务器TOP5、攻击态势,并提供攻击全景地图展示。
(7)具备正常横向访问和正常外连监控大屏展示功能,至少包括被访问最多业务TOP5、最活跃终端TOP5、应用TOP5、实时访问监控、外连最多的业务TOP5、外连最多终端TOP5、外连态势、外连国家TOP5,并提供国际、国内地图切换功能。
(8)提供横向威胁态势图形化大屏展示功能,至少包括业务与终端访问、发起威胁终端TOP5、遭受威胁业务TOP5、访问趋势图等,并能用不同颜色标注横向攻击、违规访问、可疑行为、风险访问等。
(9)具备全网态势多视角展示功能,至少包括综合安全态势、分支安全态势、安全事件态势、网络攻击态势、外连风险态势、横向威胁态势、脆弱性态势、资产态势等8个独立的大屏展示功能,并支持大屏自动轮播。
资产中心
(1)具备业务/服务器资产感知功能,可定义IP地址、所属分支、主机名、责任人、责任人邮箱、所属业务、操作系统、服务与端口等信息,并能够基于流量自动识别操作系统、开放的服务与端口。
(2)具备终端资产感知,可定义终端/ip组、主机名、用户名、用户邮箱等信息,并能够基于流量自动识别终端。
(3)具备安全域维度感知资产功能,可定义安全域名称、安全域属性、责任人、责任人邮箱、IP范围、备注等信息,并提供导入导出csv配置文件功能。
(4)具备分支维度感知资产功能,可定义分支名称、责任人、责任人邮箱、设备、地理位置地图等信息,能够选择在线地图、离线地图或本地导入地图。
脆弱性感知
(1)具备业务脆弱性风险分布页面展示功能,至少包括不同严重级别业务分布、漏洞类型分布图、漏洞整体态势等,至少提供7天、30天统计能力。
(2)能够通过镜像流量检测业务系统中的弱密码,检测列表包含账号、密码、服务器、所属分析和业务、最近登录源IP、类型、最近发现时间等信息,密码星号显示需超级管理员才可查看,并提供储存数据包内容。
(3)能够根据镜像流量检测web流量中是否存在可截获的口令信息,检测列表包含对应域名/URL、服务器IP,所属分支和业务,数据包举证等信息,避免因明文传输导致信息泄露的风险。
处置中心
★(1)具备失陷(业务和用户)主机详细分析功能,至少包含攻击阶段分布、风险等级趋势、安全事件举证、遭受的外部攻击、存在的漏洞风险、行为画像(UEBA)、开放端口等信息。攻击阶段至少包含存在漏洞、遭受攻击、C&C通信、黑产牟利、内网探针、内网扩散、盗取数据等信息。存在的漏洞风险至少包含漏洞风险、配置风险、明文传输、弱密码等信息。行为画像UEBA至少包含外连、横向被访问、横向主动访问等信息。能够提供对每个安全事件详细举证分析,至少包含风险危害、处置建议、专杀工具、安全知识库等。验收会现场进行实现效果展示。
(2)能够展示终端IP、所属分支、所属终端组、风险等级、安全事件标签、处理状态、联动状态等失陷终端信息,风险等级包含已失陷、高危、中危、低危、信息等。并提供终端的详细分析功能,至少包含风险评估、对内网影响、攻击阶段分布、风险等级趋势、安全事件举证等信息。
(3)能够展示安全风险,至少包含安全域列表、安全域评分、事件类型TOP5、IP地址、IP类型、风险等级、关键风险、状态等信息。
分析中心
(1)具备外部威胁感知展示功能,至少包含高危攻击、残余攻击、暴力破解、成功的事中攻击、邮件威胁、文件威胁、外部风险访问等。
(2)具备横向威胁感知展示功能,至少包含横向威胁总览、横向攻击、违规访问、可疑行为、风险等。能够具体显示发起与遭受横向威胁主机TOP5,发起视角包含发起者IP、发起者类型、所属分析、所属业务/终端组、横向威胁类型、遭受者数、遭受者类型、日志数等。
(3)提供外连威胁感知功能,至少包含对外威胁总览、对外攻击、APTC&C通信、可疑行为、隐蔽通信、违规访问、服务器风险访问。其中外连威胁总监包括外连威胁主机类型分布、存在外连威胁IP
TOP5、外连目标地区(国外)TOP5、外连威胁类型分布、非正常时间段外连主机TOP5、外连威胁趋势。
(4)提供访问关系可视化功能,包含横向访问关系可视、外连可视,可具体到基于访问次数和流量大小被访问最多业务TOP5、最活跃终端TOP5,外连可视包含外连最多的业务TOP5、外连最多终端TOP5、外连趋势等。提供服务器外连支持7天、30天服务器外连流量趋势,外连地域分布,细化到请求流量、响应流量、流量请求响应比分析等功能。
(5)提供完备的日志检索功能功能,至少包含漏洞利用攻击、网站攻击、僵尸网络、业务弱点、DOS攻击、邮件安全、文件安全、网络流量、DNS日志、HTTP日志、用户日志、数据库日志、文件审计日志、POP3日志、SMTP等各类日志,并可按照以上类型日志的各个关键字段搜索日志。能够基于时间、攻击类型、严重等级等选择项进行组合查询,能够基于具体设备、来源/目的所属、IP地址、特征ID、URL进行具体条件搜索。
(6)提供网络流量日志审计功能,能够进行基于时间、访问类型、应用类型等选择项的组合查询,能够实现基于具体设备、来源/目的所属、IP地址、端口进行具体条件搜索。
(7)提供安全日志备份功能,能够FTP方式进行远程备份,具备每天定期自动备份功能。
(8)具备基于潜伏威胁可视化功能,能够通过大数据分析和关联检索技术,直观展示失陷主机的威胁影响面,至少包括攻击、违规访问、风险访问、可疑行为、正常访问等细节。同时支持攻击溯源功能,分析出首次失陷、疑似入口点、首次遭受攻击等信息,帮助管理人员及时了解威胁的影响,并找到攻击入口点。
报告中心
(1)提供主机安全风险报告,内容至少包括业务与终端风险摘要、业务风险与终端详情分析,提供危害解释和参考解决方案,为运维人员日常处理安全问题支撑服务。
(2)提供脆弱性感知报告,分析具体的业务系统存在的脆弱性风险,内容至少包括脆弱性检测总览、业务脆弱性详情分析等,为运维人员提供危害解释和参考解决方案。
(3)提供整体安全状况统计和态势的摘要报告,内容包含总体摘要、安全感知详情、UEBA行为画像、安全规划建设建议等,从整体展示安全状况,帮助为运维人员快速了解业务和网络的安全风险。
(4)提供综合风险报告,完整展示网络的安全态势和详情的综合风险,内容至少包括平台说明、安全风险概括、业务与终端安全详情分析、安全规划建设建议等。
★(5)提供等级保护管理服务功能,能够对等级保护建设整改过程中系统定级、差距评估、备案、整改、测评过程中产生的文档结论进行统计归档,并使用可视化的统一界面进行展现与管理,最大程度发挥安全措施的保护能力。验收会现场展示实施效果。
威胁检测
(1)提供DNSFlow分析引擎,能够利用机器学习算法结合威胁情报,能够从大量的样本中进行学习,总结其伪装的规律,从而发现伪装的恶意DNS协议。
(2)提供SMBFlow分析引擎,能够发现主机传输可疑文件、恶意软件行为、文件或关键目录的可疑操作行为以及SMB暴力破解等。
(3)具备AD域控服务器安全检测功能,能够发现主机对域控服务器DNS探测、SMB会话枚举、账户探测、暴力破解等攻击行为。
★(4)提供独立文件威胁鉴定模块,内置病毒检测引擎、人工智能检测引擎等,能够实现基于HTTP、邮件、FTB、SMB等协议的文件威胁深度检测,记录恶意文件TOP5、文件名、病毒病毒、发现次数、传播协议、感染源等信息,并能够导出分析结果。验收会现场展示实施效果。
(5)提供独立邮件威胁模块,能够通过机器学习技术发现主机发送可疑附件的邮件、伪造发件人发送邮件、发送钓鱼网站邮件和垃圾邮件等行为;能够提供接收恶意邮件TOP5、恶意附件TOP5、危害和处置建议;能够对恶意邮件详情分析,至少包含收件人账号、恶意邮件数量、发件人账号、附件名称、病毒名称、恶意链接名称等,能够导出分析结果。
(6)提供独立威胁情报分析模块,内置威胁情报数据≥800K,能够展示历史威胁情报命中数、今日命中数、命中威胁情报类别TOP10、命中趋势、活跃威胁情报TOP20等信息。允许自定义威胁情报,可定义域名、IP、URL、文件MD5、确定性等级、威胁等级、事件类型、危害描述、处置建议等信息。
(7)能够对业务服务器内网横向被访问、横向主动访问、外连等建立行为基线,至少包括访问流量趋势、访问次数趋势、自定义非正常时间段、常见访问源网段、访问源主机、应用TOP5、目的端口TOP5等信息。
(8)提供独立的SIEM管理模块,具备接入第三方安全设备、网络设备、DHCP服务器、蜜罐、中间件等日志接入和解析功能,能够导入正则文件解析主流设备日志,提供syslog、wmi、https等接入方式,自带暴力破解、新增/修改/删除账号/账号提权、高危操作等内置关联分析规则。
联动响应
★(1)与本次采购的入侵防护系统实现联动响应,能够实现从入侵防护系统采集危险情报,并下发安全策略到入侵防护系统阻断攻击流量,实现联动封堵。(需提供设备原厂出具的兼容设备列表和查询链接地址,并加盖厂商公章)
★(2)与本次采购的终端检测与响应(EDR)系统实现联动响应,从终端检测与响应(EDR)系统采集危险情报,并通知终端检测与响应(EDR)系统禁止攻击流量出站或入站,具备一键扫描和主机隔离功能,防止风险扩展,实现EDR联动查杀。(需提供设备原厂出具的兼容设备列表和查询链接地址,并加盖厂商公章)
(3)能够从本次采购的漏洞扫描系统获取漏洞情报,把漏洞扫描系统作为自己的探针。
(4)能够从本次采购的综合日志审计系统获取危险情报,把综合日志审计系统作为自己的探针。
★(5)与学校原有的上网行为设备实现联动响应,同步上网行为管理设备认证用户,实现用户名与安全事件的关联,并能够通过上网行为设备以网页形式向用户浏览器推送威胁提醒,必要时冻结用户上网行为(需提供设备原厂出具的兼容设备列表和查询链接地址,并加盖厂商公章)。或者,本条款目的在于实现全网不安全行为阻断、用户反馈等功能,允许采用其它更科学合理的替代方案(提供实施方案并加盖设备厂商公章)。验收会现场进行实施效果展示。
(6)具有完善的安全组件接入管理功能,支持防火墙、上网行为管理、终端EDR、WAC无线控制器、DAS数据库审计和威胁检测探针等设备的接入管理,能够在页面中显示安全组件接入的数量和状态。
设备管理
(1)提供完善的IPS漏洞特征识别库、WEB应用防护识别库、僵尸网络识别库、实时漏洞分析识别库、URL库、应用识别库、恶意链接库、白名单库,其中漏洞特征识别库规则≥9000条,僵尸网络识别库规则≥35万条,支持定期自动升级或离线手动升级。
(2)提供安全日志分析引擎、DnsFlow行为分析引擎、HttpFLow分析引擎、NetFLow分析引擎、MailFLow分析引擎、SmbFLow分析引擎、威胁情报分析关联引擎、第三方安全检测引擎、文件威胁检测引擎等深度检测引擎,并具备定期自动升级或离线手动升级功能。
(3)能够对安全探针和接入的安全组件(包括EDR、上网行为管理、无线控制器、VPN等设备)进行统一的升级管理,支持配置向导功能,通过系统检测功能,检测设备基础配置、设备资源、设备接入情况、设备流量等是否有异常,并导出上架检测报告,同时支持监控探针和各类安全组件的运行状态,包含日志传输模式、日志传输量、最近同步信息等。
(4)能够对平台的CPU、内存、磁盘等硬件资源利用率进行实时监控,并能对核心进程的资源占用率进行实时分析。
(5)提供上下级平台级联功能,下级平台可上报资产信息、安全事件、脆弱性风险到上级平台,并能够展示级联状态、最近上报时间等信息。
(6)能够通过SNMP协议对多种网络设备、安全设备的运行状态进行监控,至少包括设备机器名、CPU负载、内存和流量等,允许自定义OID,同时基于小时、天、周等维度监控设备运行状态趋势。
(7)具备分支权限管理功能,允许自定义分支管理权限。分支管理员具备独立的管理页面,只能管理和查看所分支所属的业务和终端的安全信息。超级管理员能够实现查看全局的安全信息,并能够通过页面跳转各个分支的独立管理页面。
(8)提供云端安全服务分析功能,无需对外映射管理端口或借助第三方远程协助软件,只需平台开启远程控制服务,填写云端安全专家提供的企业ID、账号和密码即可远程分析平台数据。
(9)能够通过RESTful
API接口对平台数据资源的“开放”与“共享”,第三方平台可获取受监控IP组、资产信息、风险业务与终端、漏洞详情、弱密码和明文传输等信息,实现数据更大价值。
厂商资质
★(1)网络安全产品的运行完全依赖厂商的在线支持和特征库实时更新,如果厂商不存在了,产品就立即失去作用。为保证网络安全厂商有足够强的技术实力和足够长的生命力,要求厂商具备CMMI
L5认证证书。(提供证书复印件并加盖厂商公章)
★(2)为保证漏洞库具有较高的质量和时效性,谢绝使用OEM贴牌漏洞库,要求厂商是国家信息安全漏洞共享平台(CNVD)技术组成员,提供官网查询链接地址和官网查询结果截图并加盖厂商公章。
培训与售后服务
★(1)提供设备生产商针对本产品的五年原厂售后服务,包含5年硬件质保,5年系统软件、漏洞特征识别库、WEB应用防护识别库、僵尸网络识别库、实时漏洞分析识别库、URL库、应用识别库、恶意链接库、白名单库等所有内置特征库的升级。提供重大节假日的安全保障服务,每季度至少1次的设备安全巡检服务等。如果投标人增加了免费质保服务年限,则必须为原厂质保服务,非原厂质保服务被视为无效承诺。提供设备生产商针对本项目的授权书和五年原厂售后服务承诺函(均加盖厂商公章)。验收时实行系统内部授权、售后服务承诺函、400售后服务电话三对照,最终用户名必须为信阳师范学院,授权年限必须三者一致。
(2)设备生产商必须在省内设有直属的服务办事机构,提供7*24小时快速上门服务和2小时内快速响应服务(官网上必须可查询到办事机构地址)。
(3)培训平台管理员2名以上,使之能够进行平台配置调整,满足日常运维工作需要。
3
威胁检测探针
品牌要求
(1)本设备为安全态势感知平台的配套组件,必须与本次采购的安全态势感知平台同品牌。
1套
性能指标
(2)19英寸标准机架式硬件设备,CPU≥8核,物理内存≥16G,硬盘容量≥1T,配置冗余电源。
★(3)标配至少6个千兆电口、4个千兆光口(光模块满配,类型按需提供)、2个万兆光口(光模块满配,类型按需提供),提供设备连接所需的光纤跳线。
★(4)吞吐量≥6.0Gbps,包转发率≥11.9Mpps,每秒新建连接≥35w,最大并发连接数≥800w。
★(5)具备IPV6/V4双栈同时工作能力,能够进行IPV6流量分析,在IPV6环境中实现IPV4环境中的所有流量分析功能。
部署模式
能够通过旁路部署方式对全流量信息进行采集,允许探针同时接入多个镜像口,每个口相互独立不影响。允许将多台采集器同时部署于客户网络不同位置并将数据传输到同一套分析平台。
资产发现
能够主动发送少量探测报文发现潜在的服务器(影子资产)以及学习服务器的基础信息,如:操作系统、开放的端口号等。
基础检测功能
(1)提供报文检测引擎,能够进行IP碎片重组、TCP流重组、应用层协议识别与解析等。
(2)提供多种的入侵攻击模式或恶意URL监测模式,能完成模式匹配并生成事件,能提取URL记录和域名记录,在特征事件触发时能够基于五元组和二元组(IP对)进行原始报文的录制。
监测识别规则库
能够识别应用类型≥1100种,应用识别规则总数≥3000条,具备亿万级别URL识别能力,漏洞特征库规则数量≥4000条以上。漏洞特征具备中文相关介绍,包括但不限于漏洞描述,漏洞名称,危险等级,影响系统,对应CVE编号等。
异常会话检测
具有对外联行为分析、间歇会话连接分析、加密通道分析、异常域名分析、上下行流量分析等在内的多场景网络异常通信行为分析能力。
深度监测能力
(1)提供网络流量的会话级视图功能,可根据网络流量的正常行为轮廓特征建立正常流量模型,判别流量是否出现异常,能对原始流记录进行异常检测,及时发现网络蠕虫、网络水平扫描、网络垂直扫描、IP地址扫描,端口扫描、ARP欺骗、IP协议异常报文、TCP协议异常报文等常见网络异常流量事件类型。
(2)具备节点内部主机外发的异常流量检测和信任区域主机外发的异常流量检测功能,准确发现ICMP,UPD,SYN,DNS
Flood等DDoS攻击行为。
(3)具备对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP)和数据库软件(MySQL、Oracle、MSSQL)的口令暴力破解检测功能。
(4)提供最新的威胁情报信息,能够对新爆发的流行高危漏洞进行预警和自动检测。
高级检测
(1)提供多种种类型日志传输模式,至少包含标准模式、精简模式、高级模式、局域网模式、自定义模式,以适应不同应用场景需求。
(2)提供DNS审计日志、HTTP审计日志、SMB审计日志、SMTP、POP3、IMAP审计日志、AD域协议审计日志,用于为安全态势感知平台dns
flow分析引擎、http flow分析引擎、SMB flow分析引擎、Mail
flow分析引擎、AD域分析引擎等进行安全分析提供数据源支持。
Web应用安全检测能力
(1)具备HTTP 1.0/1.1、HTTPS协议的安全威胁检测能力。
(2)具备针对B/S架构应用抵御SQL注入、XSS、系统命令等注入型攻击的能力。具备跨站请求伪造CSRF攻击检测功能。具备对ASP,PHP,JSP等主流脚本语言编写的webshell后门脚本上传的检测功能。具备其他类型的Web攻击,如文件包含,目录遍历,信息泄露攻击等的检测能力。要求对以上列出的攻击类型进行逐条响应。
(3)具备独立的Web应用检测规则库,Web应用检测规则总数≥3000条。
(4)具备敏感数据泄密功能检测能力,提供敏感信息自定义功能,能够根据文件类型和敏感关键字进行信息过滤。
(5)具备对Web网站是否被挂黑链检测功能。
僵尸网络检测
(1)具备对终端种植了远控木马或者病毒等恶意软件进行检测,能够对检测到的恶意软件行为进行深入的分析,能够直观展示外部命令控制服务器的交互行为和其他可疑行为。
(2)具备独立的僵尸主机识别特征库,恶意软件识别特征总数≥35万条。
(3)具备未知威胁检测能力,能够自动上报可疑行为,在云端进行沙盒检测并下发威胁特征,实施与厂商云端安全分析引擎的联动,
违规访问检测
能够针对IP、IP组、服务、端口、访问时间等策略,主动建立针对性的业务和应用访问逻辑规则,包括白名单和黑名单。
流量记录
能够对网络通信行为进行还原和记录,供安全人员进行取证分析,还原内容至少包括TCP会话记录、Web访问记录、SQL访问记录、DNS解析记录、文件传输行为、LDAP登录行为等信息。
抓包分析
支持通过设备对流量进行抓包分析,可定义抓包数量、接口、IP地址、端口或自定义过滤表达式。
管理功能
(1)能够实现时间同步。
(2)提供设备内置简单命令行管理窗口,便于基础运维调试。能够提供网络管理功能,可进行静态路由配置。
(3)提供用户初次登陆强制修改密码功能。多次登录失败将锁定账号5分钟内不得登录。
(4)提供在线升级和离线升级,并能依托安全感知平台进行统一管控。
(5)能够实时监控设备的CPU、内存、存储空间使用情况,能够监控监听接口的实时流量情况。
★(6)具备安全感知平台对接入探针的统一升级功能,可展示当前所有接入探针的规则库日期、是否过期等,并支持禁用指定探针的升级。
厂商资质
★(1)网络安全产品的运行完全依赖厂商的在线支持和特征库实时更新,如果厂商不存在了,产品就立即失去作用。为保证网络安全厂商有足够强的技术实力和足够长的生命力,要求厂商具备CMMI
L5认证证书。(提供证书复印件并加盖厂商公章)
★(2)为保证漏洞库具有较高的质量和时效性,谢绝使用OEM贴牌漏洞库,要求厂商是国家信息安全漏洞共享平台(CNVD)技术组成员,提供官网查询链接地址和官网查询结果截图并加盖厂商公章。
培训与售后服务
★(1)提供设备生产商针对本产品的五年原厂售后服务,包含5年硬件质保,5年系统软件,5年特征库和规则库升级。提供重大节假日的安全保障服务,每季度至少1次的设备安全巡检服务等。如果投标人增加了免费质保服务年限,则必须为原厂质保服务,非原厂质保服务被视为无效承诺。提供设备生产商五年原厂售后服务承诺函并加盖厂商公章。验收时实行系统内部授权、售后服务承诺函、400售后服务电话三对照,最终用户名必须为信阳师范学院,授权年限必须三者一致。
(2)设备生产商必须在省内有厂家直属的服务办事机构,提供7*24小时快速上门服务和2小时内快速响应服务(官网上必须可查询到办事机构地址)。
(3)培训设备管理员2名以上,使之能够进行平台配置调整,满足日常运维工作需要。
4
综合日志审计系统
性能指标
(1)19英寸标准机架式硬件设备,物理内存≥32GB,系统SSD盘≥64GB。要求为一个完整的软硬件一体化产品,无需用户另外提供服务器、操作系统、数据库、防火墙软件等系统运行必备组件。配置双电源。
1套
★(2)至少具备6个千兆电口(包括数据传输口和系统管理口)、2个万兆光口(光模块满配,类型按需提供)。提供设备连接所需的光纤跳线。
★(3)日志采集能力≥15000条/秒以上。配置1000个主机审计许可证书。
★(4)设备必须自带本地存储,支持RAID 1架构以保证数据可靠性,可用磁盘空间≥24TB(做过RAID
1后的有效容量),日志存储量≥180天。
(5)具备IPv6/IPv4双栈同时工作能力。
管理方式
采用B/S架构, 能够以HTTPS方式进行远程安全管理,无需安装管理客户端。
设备部署
提供旁路接入模式,设备部署不影响原有网络结构。
扩展性设计
(1)当单台网络探测器不能支持大流量的网络访问监听及分析时,可针对不同的访问源区域,进一步增加网络探测器来分担现有探测器压力。
(2)当系统的审计范围扩大或安全事件发生频率的提高、造成系统需要实时接收和分析的日志量超出了系统可支持的日志吞吐量时,系统必须能够将日志采集及实时分析系统模块分离出来,进行多台负载均衡的部署,具备支撑更高并发日志量条件下的审计分析能力。
(3)当用户缓存日志的日志保留天数及数量需要大幅度提高、造成审计人员进行日志检索及报表生成过程中的速度降低时,系统允许对多台缓存日志存储及检索模块的负载均衡。
数据采集
(1)能够通过页面直接将日志文件导入或以syslog方式接收日志信息,允许的日志类型至少包括UNIX和WINDOWS事件[2000、2003、2008、XP、VISTA、Win7及以上版本]、网络及安全设备[深信服、Cisco、Array、Juniper、H3C、神州数码、绿盟、天融信、安氏领信、网神]、AS400日志、WEB访问[Apache、IIS、Tomcat、Nginx、Weblogic、Resin、Websphere]、文件访问[VSftpd、Pureftpd、NCftpd、IISftpd、Proftpd、Glftpd、Serv-u]、数据库服务[Oracle、Mssql、Mysql、DB2、Informix、Sybase]、FTP服务[VSftpd、NCftpd、Proftpd、Glftpd、Serv-u]等。
(2)具备SNMP日志采集功能,日志类型至少包括主流网络及安全设备[深信服、Cisco、Array、Juniper、H3C、神州数码、绿盟、天融信、安氏领信、网神等]。提供Opsec
Lea日志采集功能。
(3)具备镜像数据采集功能,类型至少包括:数据库模块[Oracle、Mssql、Mysql、DB2、Informix、Sybase]、文件传输模块[FTP、SMB、HTTP]、邮件模块[SMTP、POP、HTTP]、即时通讯模块[淘宝旺旺、MSN、QQ]、远程控制模块[Telnet]、网站访问模块[网页浏览、论坛微博]、入侵检测、业务检测、流量监控等。
(4)具备文本型日志文件定时采集功能,可自动将日志文件采集到系统中分析并存储。提供文本型日志原始文件管理功能,可将系统作为日志服务器使用。
监控功能
(1)能够以图表方式(饼图、柱图、曲线图)显示当日日志数据分布情况。
(2)允许自定义配置实时监控的日志类型。
(3)能够对所添加的资产进行实时监控,并能以不同图标显示发生的事件及告警。
(4)能够以图表方式(饼图、柱图、曲线图、清单列表)显示当日安全事件及告警日志数据分布情况。
(5)能够实时监控系统当前运行状态,包括系统CPU、内存、硬盘状态及管理员操作。
报表分析功能
(1)系统内置多种类报表模板。
(2)至少提供动态\静态(日报、周报、月报)两种系统生成方式。
(3)具备报告的邮件转发、生成提醒功能。能够实现多人邮件接收。
(4)允许自定义审计报告。允许管理员自定义审计报表模板。
(5)能够导出html、Excel、PDF。
查询分析功能
(1)提供多种方式查询检索,至少包括:日志检索、事件检索、告警检索、高级检索及文件检索等。
(2)能够以日志类型、时间范围及条件字段快速检索过滤。
(3)提供高级检索以多条件组合查询方式,可将所有日志字段作为查询条件进行查询。
(4)能够按日志文件的名称、内容进行检索,并提供页面下载原始日志文件功能。
(5)提供查询模版创建、修改、删除功能。
(6)提供查询结果导出功能。
策略管理功能
(1)内置归并策略,能够对HTTP数据进行自动归并处理。
(2)内置关联分析策略,能够设定用户在规定时间内连续多次输入错误口令产生告警或事件。
(3)内置数据策略,能够设定采集多种WEB访问数据,至少包括脚本访问、样式访问、图片访问及地理数据访问等。
(4)允许自定义创建实时审计规则,能够以日志字段为条件预设置分析策略。
(5)在规则条件设定中,允许使用逻辑运算符和正则表达式。
(6)允许自定义三层业务策略,能够通过策略配置识别数据库三层架构中用户信息。
(7)能够以告警页面、短信、邮件、SYSLOG、SNMP等各种方式呈现告警信息。
数据管理功能
(1)能够按日志属性、日志类型、时间范围进行数据备份。
(2)提供WEB界面备份和日志恢复导入功能。
(3)提供自动与手动备份归档方式。
(4)能够以FTP上传方式将归档文件存储到第三方存储系统中。
系统配置功能
(1)具备审计系统用户(组)管理(添加、修改、删除、停用、启用)功能。
(2)具备资产管理功能,能够对所有采集日志源进行管理维护。
(3)提供密码长度、复杂度、密码猜测自动锁定账号以及系统超时设置安全策略。
(4)提供证书页面生成下载功能,能够进行安全页面(SSL)证书下载。
(5)具备系统配置备份恢复功能。
(6)提供时间同步页面配置功能。
(7)能够以WEB页面方式进行系统升级和设备的关闭与重启。
(8)能够通过WEB界面方式查看网卡IP设置,修改静态路由设置等内容。
系统自身安全
(1)系统内置安全防火墙。能够控制访问审计主机范围。
(2)提供内部通讯检查机制,传输128加密。
(3)提供串口或电口管理方式。
(4)管理界面与其他功能模块分离。
日志数据安全
(1)能够审计日志文件存储方式。
(2)允许审计日志以加密方式导出审计系统。
(3)能够对所有审计管理员操作审计系统的动作进行审计。
日志权限
(1)审计员只限于操作权限设置范围内的日志数据,无权限日志数据透明。
(2)能够进行日志类型、IP地址权限设置。
(3)能够以WEB页面方式进行功能模块权限设置。
产品联动
★能够为本次采购的安全态势感知平台提供危险情报和数据源,充当安全态势感知平台的探针。
厂商资质
★(1)网络安全产品的运行完全依赖厂商的在线支持和特征库实时更新,如果厂商不存在了,产品就立即失去作用。为保证网络安全厂商有足够强的技术实力和足够长的生命力,要求厂商具备CMMI
L5认证证书。(提供证书复印件并加盖厂商公章)
★(2)厂商是微软安全响应中心发起的MAPP计划成员,可在微软发布每月安全公告之前获得微软产品的详细漏洞信息,为用户提供更及时的安全防护。(提供相关支撑材料并加盖厂商公章)
培训与售后服务
★(1)提供设备生产商针对本产品的五年原厂售后服务,包含5年硬件质保、5年系统软件、5年特征库升级。如果投标人增加了免费质保服务年限,则必须为原厂质保服务,非原厂质保服务被视为无效承诺。提供设备生产商五年原厂售后服务承诺函。验收时实行系统内部授权、售后服务承诺函、400售后服务电话三对照,最终用户名必须为信阳师范学院,授权年限必须三者一致。
(2)设备生产商必须在省内有厂家直属的服务办事机构,提供7*24小时快速上门服务和2小时内快速响应服务(官网上必须可查询到办事机构地址)。
(3)培训设备管理员2名以上,使之能够进行平台配置调整,满足日常运维工作需要。
5
堡垒机
规格性能
★(1)19英寸标准机架式硬件设备,软硬一体化设计,至少提供6个1000Mbps电口、2个万兆光口(光模块满配,类型按需提供)。提供设备连接所需的光纤跳线。
1套
(2)并发处理能力:字符协议≥1500个,图形协议≥400个。
★(3)配备1000个主机/设备许可,支持licence再扩容。
支持类型
(1)能够管理windows系统、linux/unix系统、以及主流厂商网络设备。
(2)具备KVM、Vmware、数据库、http/https等管理功能。
(3)能够IPV6/V4双栈同时工作。
用户与资产管理
(1)能够对用户信息和设备信息进行批量导入、导出。
(2)能够从windows AD域抽取用户账号作为主账号,实现用户信息和设备信息的一次性抽取和周期性自动抽取和更新。
(3)能够进行Windows AD域账号与堡垒主机账号的周期比对,自动或手动删除或锁定失效的域账号。
(4)具备资源发现功能,能够自动发现目标网段内的设备。
(5)具备windows系统、网络设备、linux/unix系统、数据库等设备账号的自动收集功能。
运维授权
(1)提供一对一、一对多、多对多等授权方式,能够将单个资产授权多个用户、一个用户授予多个资产、资产组授权给用户组等。
(2)允许跨部门的交叉授权操作。
★(3)提供双人复核登陆功能,登录时必须经过第二人授权后才能登录,第二人可通过远程授权或同终端授权等方式实现授权。验收会现场进行实施效果演示。
认证管理
同时提供本地口令认证、LDAP认证、AD认证、短信认证、Radius、usbkey、动态口令认证等方式。
改密计划
(1)能够定期变更目标设备真实口令,允许自定义口令变更周期和口令强度。能够手动指定固定口令、通过密码表生成口令、依照设备挂载的口令策略生成随机口令、依照密码策略生成同一口令等。
(2)具备密码策略设置功能,能够自定义密码复杂程度,设置密码中包含数字、字母、符号及禁用关键字等内容。
(3)具备口令有效期设置功能,能够强制用户账号口令到期修改口令。
(4)提供密码文件备份功能,密码文件需密文保存,密码包及解密密钥分别发送给不同管理员保存。
访问审批
(1)能够自定义多级审批流程,允许设置一级或多级审批人,每级审批流程均可指定通过数,用户访问关键设备需相关审批人逐级审批通过才允许访问。
(2)提供紧急运维流程,当运维人员需对目标设备进行紧急运维时,可通过紧急运维流程直接访问目标设备,同时记录紧急运维工单,便于相关审批人事后对该流程进行确认以及审计员事后查看。
(3)具备用户访问时间策略、资源访问时间策略、用户IP地址策略。
命令过滤
(1)能够基于单条操作命令或命令组设置行为规则,当运维人员输入违规命令时(包括通过table键、上下键、复制等方式)自动进行告警或阻断。
(2)具备命令审批规则功能,用户执行高危命令时需要管理员审批后才允许执行;命令审批规则可以指定运维人员、访问设备、设备账号及命令审批人。
行为审计
(1)能够对常见设备运维操作进行记录(至少包括windows主机、linux/unix主机、主流厂商网络设备等),审计信息至少包括用户账户、起止时间、登陆IP、设备IP、设备名称、设备类型、访问账号、访问协议等信息。
(2)能够对堡垒主机的配置行为进行审计记录
(3)具备运维审计自查询功能,用户能够查看自身的运维审计历史。
(4)具备自定义审计报表功能,能设置审计报表模板,能生成图形报表并提供EXCAL、CSV、WORD、PDF、HTML等格式导出功能。
备份与维护
(1)能够手动和自动定期备份配置信息,实现配置信息本地备份及异地FTP备份。
(2)具备系统配置还原功能,能够还原至任一备份点。
(3)具有日志防溢出功能,当磁盘空间达到阈值时,可设置停止记录审计日志或日志回滚。
管理能力
(1)具备NTP系统时间同步配置功能,保证审计日志拥有可靠的时间戳。
(2)具备告警对外转发功能,并提供syslog、SNMP等转发方式。
客户端
(1)能够通过动作流配置完美支持所有C/S系统的单点登录功能。
(2)全面支持Windows、linux、国产麒麟系统、Android、IOS、Mac OS等操作系统。
虚拟化部署
具备云端快速部署功能,实现远程运维管理的规范化。能够按照运维人员数量,调整云端服务器配置,实现性能优化。
产品联动
★能够为本次采购的安全态势感知平台提供危险数据源,充当安全态势感知平台的探针。
HA功能
支持双机、多机集群,配置信息能够在多机之间实时同步,配置过程可通过web界面完成。
厂商资质
★(1)网络安全产品的运行完全依赖厂商的在线支持和特征库实时更新,如果厂商不存在了,产品就立即失去作用。为保证网络安全厂商有足够强的技术实力和足够长的生命力,要求厂商具备CMMI
L5认证证书。(提供证书复印件并加盖厂商公章)
★(2)要求厂商是微软安全响应中心发起的MAPP计划成员,可在微软发布每月安全公告之前获得微软产品的详细漏洞信息,为用户提供更及时的安全防护。(提供相关支撑材料并加盖厂商公章)
培训与售后服务
★(1)提供设备生产商针对本产品的五年原厂售后服务,包含5年硬件质保、5年系统软件、5年特征库升级。如果投标人增加了免费质保服务年限,则必须为原厂质保服务,非原厂质保服务被视为无效承诺。提供设备生产商五年原厂售后服务承诺函并加盖厂商公章。验收会现场实行系统内部授权、售后服务承诺函、400售后服务电话三对照,最终用户名必须为信阳师范学院,授权年限必须三者一致。
(2)设备生产商必须在省内有厂家直属的服务办事机构,提供7*24小时快速上门服务和2小时内快速响应服务(官网上必须可查询到办事机构地址)。
(3)培训设备管理员2名以上,使之能够进行平台配置调整,满足日常运维工作需要。
6
漏洞扫描系统
系统要求
(1)19英寸标准机架式硬件设备,无需在被扫描目标系统上安装任何软件。产品功能的实现无需额外增加服务器、软件系统等设备,管理和使用采用B/S架构操作方式,无需安装客户端软件。
1套
★(2)标配不少于6个千兆电口,不少于4个千兆光口(光模块满配,类型按需提供),提供设备连接所需的光纤跳线。配置冗余电源。
★(3)具备无限设备和IP地址扫描能力,提供不少于300个设备的并发扫描授权,并发设备扫描授权可扩展至700台以上。
★(4)具备计划性轮流扫描功能,管理员能够配置扫描任务,每个时间段扫描一个IP段范围,分批分期自动执行,在一个时间周期内完成全网扫描,周而复始对全网漏洞进行定期评估。
(5)具备IPV6/V4双栈同时工作功能。能够在IPv6环境中部署和执行扫描任务,完成纯IPv6环境中的设备、系统的漏洞扫描。
(6)具备系统漏洞扫描、Web应用扫描、基线核查模块三合一。
(7)要求扫描不能够对目前系统产生危害,保证业务的稳定性。
(8)能够通过SSL加密对数据传输等进行处理,具备加密存储、备份机制、防篡改机制、HTTPS方式用户密码策略机制等。
资产发现与管理
(1)能够按照自定义资产组管理资产。
(2)提供资产的新增、修改、删除、移动、导入导出、查询等功能。
(3)能够自定义资产类型、资产价值、保护等级、资产编号、所属部门、负责人,以及备注等信息,对资产的基本属性进行维护,并允许自定义资产属性。
(4)支持对IP对象的自动发现功能,并智能识别对象系统类型。
(5)能够查看单个资产的核查历史,对比两次核查的差异,并能够对单个资产进行立即核查。
扫描对象支持
主机类:Windows、Unix、Solaris、HP-Unix、AIX、Linux等;
网络设备:华为、H3C、Cisco、Juniper、中兴等;
防火墙:华为、天融信、H3C、Fortigate、Cisco、Juniper、迪普防火墙等;
数据库:Mysql、DB2、Oracle、Sqlserver、Sybase等;
中间件:Tomcat、IIS、Webservices、Apache、Weblogic、Resin、Nginx等;
虚拟化平台:VMware ESXi、VMware Center、XenServer等。
系统漏洞扫描
(1)漏洞条目30000条以上。
(2)内置丰富的漏洞扫描策略模板,至少包括常规安全扫描、完全扫描、windows主机扫描、类Unix主机扫描、中高危漏洞扫描、高危漏洞扫描、web服务组件扫描、网络设备扫描、云平台漏洞扫描、虚拟化扫描、主机信息收集、攻击性扫描、SQL
SERVER 数据库扫描、Oracle数据库扫描、IBM
DB2数据库扫描、Sybase数据库扫描、MySQL数据库扫描等。同时具备用户自定义扫描范围和扫描策略功能。
(3)具有弱口令扫描功能,提供多种协议口令猜测机制,至少包括SMB、Snmp、IMAP、Rlogin、RDP、Sybase、Tomcat、Telnet、Pop3、SSH、Ftp、RDP、SQL
Server、DB2、MySQL、Oracle、WebLogic、WebCAM等,允许外挂用户提供的字典。
(4)能够扫描常见的网络安全客户端软件(如Symantec、Trend Micro等)的安全漏洞。
(5)能够扫描常见的应用软件漏洞,至少包括IE浏览器、Mozilla Firefox、Yahoo Messenger、MS
Office、多媒体播放器(如Media
Player)、VMware虚拟机和P2P客户端软件(如BitTorrent客户端等)等。
(6)具备python模块漏洞扫描功能,至少包括audioop模块 、audioop模块 、rgbimg模块等。
(7)能够识别正在运行的服务和端口。
(8)提供CVE、CNVD、CNNVD、BugTraq等编号,拥有完备的知识体系。
(9)具备高级数据分析功能,能够对同一IP的两次扫描结果进行风险对比分析,并可在线查看同一IP的多次历史扫描结果。
Web漏洞扫描
(1)支持主流Web应用服务器,至少包括IIS、Websphere、Weblogic、Apache、Tomcat等,支持主流WEB应用编程语言,至少包括ASP、JSP、.NET、J2EE、PHP、JS、HTML等。
(2)能够对Web应用的SQL注入漏洞、系统命令执行漏洞、CRLF注入、LDAP注入、XSS跨站脚本漏洞、资源位置预测漏洞、路径遍历漏洞、信息泄漏漏洞、URL跳转漏洞、配置不当漏洞、文件包含漏洞、应用程序漏洞、文件上传漏洞、struts2命令执行等进行检测。
(3)具备各类CGI漏洞扫描功能。
(4)具备对网站挂马检测功能。
(5)具备网页内暗链的检测功能。
(6)能够检测GET、POST、Cookie等多种方式提交的HTTP请求参数。
(7)能够进行网站资产管理和快捷网站扫描,具备自动网站扫描发现、URL探测功能。
(8)具备WEB1.0、WEB2.0扫描能力。
(9)支持HTTPS协议,能够对基于HTTPS协议的WEB应用进行自动安全评估。
(10)具备灵活的扫描任务制定功能,能够设定检测开始时间、检测入口地址、网站COOKIE、检测周期、任务模式、User_Agent、发包限速、最大检测页面数、最大相似页面数、检测深度等。
(11)具备独立的Web应用检测规则库,Web应用检测规则总数≥3000条。
基线违规核查
(1)基线检查和变更检查提供远程检查、SSH、TELNET、SMB等多种方式,且能够实施离线检查。
(2)能够指定登录用户名和口令进行本地漏扫检查。
(3)基线检查和变更检查具备跳转机跳转功能。
(3)能够以列表方式显示系统内所有的违规信息情况,并能够通过安全基线违规列表,选择某个违规信息,进一步查看该违规的详细信息。
(4)能够查看系统内被监控的重要文件、文件夹、注册表、启动项、进程等变更状态,并通过变更文件列表,选择某条变更项,进一步查看变更的详细信息,确定文件内容变化和相关重要属性变化。
(5)内置丰富基线检查安全策略,并允许新建策略。
任务管理
(1)能够实现漏洞扫描、WEB漏扫、弱口令、安全基线检查、变更检查等任务五合一,并允许五者任意组合。
(2)能够实施一次性任务、立即任务、周期任务等多种调度方式。
(3)能够通过选择系统内部维护的安全对象、手填IP、手填IP地址段、系统视图等多种任务对象模式执行任务。
(4)具备五合一多维度展示任务详情功能,并能导出Word、PDF、HTML等多种报表。
(5)能够对周期任务的多次执行任务结果进行比对,详细展示报告间的异同之处。
告警处理
(1)提供仪表板,支持查看整体安全情况、设备风险情况、告警情况、脆弱性情况、任务概况等。
(2)具备完善的告警处理机制,至少包括清除、确认、告警复核等操作。
(3)能够列表的方式展示告警。
(4)具有告警声音设置功能。
(5)具有告警过滤策略功能。
(6)告警来源至少包括系统漏洞、WEB漏洞、安全基线违规、变更、弱口令等。
(7)系统内置告警策略,并允许自定义策略
(8)具备报表内置实例管理和报表任务管理功能。
知识库管理
系统内置基线问题、安全经验等知识库。并允许自定义增加新知识。
配置管理
(1)能够按照用户组、角色授权。
(2)能够实现三权分立的用户授权机制,管理员只负责完成设备的系统配置,安全管理员负责配置核查,审计员负责对系统本身的用户操作日志管理和审计。
(3)系统具备手动和自动升级功能。
(4)能够将当前系统环境信息中自定义信息完整导出,轻松实现新环境导入和环境迁移。
安全产品联动
(1)能够将全网漏洞日志上传至本次采购的安全态势感知平台,安全感知平台能够对漏洞日志和流量中检测出来的安全事件实施关联分析。
(2)与本次采购的入侵防护系统实现联动响应,发现危情,实现联动封堵。
★(3)与学校原有的上网行为设备实现联动响应,以网页形式向用户浏览器推送漏洞提醒或冻结用户上网行为(需提供设备原厂出具的兼容设备列表和查询链接地址,并加盖厂商公章)。或者,允许采用能实现同样功能的其它更科学合理的替代方案(提供实施方案并加盖设备厂商公章)。
厂商资质
★(1)网络安全产品的运行完全依赖厂商的在线支持和特征库实时更新,如果厂商不存在了,产品就立即失去作用。为保证网络安全厂商有足够强的技术实力和足够长的生命力,要求厂商具备CMMI
L5认证证书。(提供证书复印件并加盖厂商公章)
★(2)为保证漏洞库具有较高的质量和时效性,谢绝使用OEM贴牌漏洞库,要求厂商是国家信息安全漏洞共享平台(CNVD)技术组成员,提供官网查询链接地址和官网查询结果截图并加盖厂商公章。
培训与售后服务
★(1)提供设备生产商针对本产品的五年原厂售后服务,包含5年硬件质保,5年系统软件、特征识别库升级。提供重大节假日的安全保障服务,每季度至少1次的设备安全巡检服务等。如果投标人增加了免费质保服务年限,则必须为原厂质保服务,非原厂质保服务被视为无效承诺。提供设备生产商针对本项目授权书和五年原厂售后服务承诺函(均加盖厂商公章)。验收时实行系统内部授权、售后服务承诺函、400售后服务电话三对照,最终用户名必须为信阳师范学院,授权年限必须三者一致。
(2)设备生产商必须在省内设有直属的服务办事机构,提供7*24小时快速上门服务和2小时内快速响应服务(官网上必须可查询到办事机构地址)。
(3)培训平台管理员2名以上,使之能够进行平台配置调整,满足日常运维工作需要。
7
终端检测与响应(EDR)系统
系统要求
(1)产品是软件形态,由终端软件(Agent)和管理平台(MGR)两部分组成。
700终端数
★(2)配置不少于700个服务器终端授权(其中Windows服务器终端500个,Linux服务器终端200个),可支持扩展至30000个终端数量。
(3)管理平台安装环境为64位的CentOs7或Ubuntu操作系统。
(4)终端软件(Agent)必须支持32位/64位的Windows系统和64位的Linux系统,至少包括winXPsp3、7、8、8.1、10、2003、2008、2008R2、2012、2016,CentOS
5、6、7,Ubuntu 10.04、11.04、12.04、13.04、14.04、16.04,Debian 6、7,RHEL
5、6、7,Suse 12、Oracle Linux等。
★(5)至少提供终端病毒查杀、文件实时监控防护,设备联动响应、一键文件和终端隔离、全网终端资产管理、Agent性能实时监测、主机安全基线合规审查、多维度日志报表等安全防护模块。
终端软件部署方式
(1)管理平台(MGR)能够提供适用于各类操作系统的所有版本的Agent软件下载。Agent安装工具具有终端操作系统识别能力,自动选择合适的软件版本。
(2)无需安装任何其他软件和专用设备硬件,可直接部署于X86服务器和虚拟服务器。能够在虚拟化平台上通过虚拟机模板实现对虚拟机的镜像部署。
(3)可通过邮件、OA 等方式发布部署通知Web页面,终端用户只需点击链接自行下载Agent 安装包进行安装部署。
(4)能够通过学校已有的上网行为管理系统,将终端Web访问请求重定向至Agent部署通知的web
页面,实现终端Agent软件的强制推广部署。
终端管理
(1)能够自动收集终端资产状况,至少包括主机名、在线/离线状态、IPv4地址、IPv6地址、MAC地址、操作系统、终端Agent版本、病毒库版本、最近登录时间、最近登录的用户名等信息。
(2)允许录入终端所属责任人、责任人联系方式、邮箱、资产编号、资产位置信息,做到准确定位。
(3)能够实时监控终端上Agent对系统的资源消耗情况,包括CPU、内存、硬盘等。
(4)控制台能够显示当前平台终端总数、在线/离线数量、服务器终端/PC终端数量。
全网风险可视
(1)控制台能够动态更新显示全网终端安全状态分布,至少包括终端总数、已失陷、高可疑、低可疑等信息,并支持下钻到对应的终端列表。
(2)控制台能够动态显示当前未处理的勒索病毒数量及其各自影响的终端数量,并可通过点击对应的威胁类别下钻到响应中心对应的威胁事件列表。
(3)能够按照终端风险级别和发生威胁事件数量显示风险终端TOP5。
(4)提供病毒查杀威胁事件趋势和TOP5病毒展示。
安全策略一体化
(1)能够以安全策略模板方式对指定终端/终端组快速部署安全策略,安全策略支持缺省默认模板和自定义模板等多种格式。
(2)能够实现安全策略一体化配置,通过一条策略即可实现不同安全功能的配置,至少包括终端病毒查杀的文件扫描配置和Windows系统下信任区文件目录配置。
终端病毒查杀
(1)提供基于多维度轻量级的无特征检测技术,并能够实现多引擎协同工作,包括基于AI技术的引擎、基于家族基因分析的特征检测引擎、基于虚拟执行和操作系统环境仿真技术的行为引擎、基于大数据分析平台的云查引擎等。
(2)提供极速、均衡、低耗等扫描模式,有效控制扫描时对业务系统CPU资源的占用。
(3)提供快速扫描和全盘扫描任务类型,灵活控制扫描范围。
(4)能够通过管理平台下发立即扫描杀毒的任务,允许针对某一台终端,也可针对某一组终端进行扫描杀毒。
(5)具备错峰扫描功能,可以设置定时扫描任务,实现终端分批错峰扫描、非业务时段扫描等。
(6)能够在安全策略中配置Windows系统下的信任文件或目录,添加至信任区的文件或目录在病毒查杀将被跳过,以提升查杀效率和降低误杀率。
(7)能够展示勒索病毒事件、木马病毒事件、蠕虫病毒事件和其他病毒文件事件及其详情,至少包括病毒文件名称,事件等级,受感染的文件,发现时间,检测引擎,文件Hash值,文件大小,文件创建时间等信息。
(8)能够对病毒文件进行批量勾选,实现一键隔离、信任和忽略操作。能够对已隔离的病毒文件进行批量勾选,实现一键恢复。能够将已信任的病毒文件移出信任区。
(9)能够进行宏病毒和感染型病毒的检测和清除。能够彻底删除已隔离的病毒文件。
(10)能够对风险终端进行终端隔离,避免感染终端对内网其他主机的病毒传播,能够对已隔离终端的实施恢复操作。
系统漏洞检测与修复
★(1)提供Windows系列操作系统漏洞检测与修复功能,能够配置策略实现操作系统漏洞的定时检测和修复,允许从微软补丁服务器、产品制造商补丁服务器和学校本地补丁服务器自动下载补丁并自动修复。验收会现场进行实施效果演示。
(2)能够通过控制台实现Windows终端补丁的批量分发和批量安装。
★(3)中标商必须为学校安装部署本地Windows补丁服务器,软件由中标商提供,硬件学校自备。
基线合规检查
能够依据等级保护的主机安全要求,对指定终端/终端组进行从身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范等多方面进行合规性审查,并对不合规的检查项提供设置建议。
安全联动
★(1)能够将Agent检测出来的恶意文件事件的日志上报到本次采购的安全态势感知平台,在安全态势感知平台进行分析和展示;安全态势感知平台能够下发终端隔离策略到Agent,对终端进行入站、出站或双向的隔离。(需提供相关功能截图证明并加盖厂商公章)。
★(2)能与学校原有的上网行为管理系统实现联动,自动识别没有安装Agent的终端,当终端打开网页时,引导终端用户去下载Agent,直到终端安装了Agent(需提供上网行为设备原厂出具的兼容设备列表和查询链接地址,并加盖厂商公章)。或者,允许采用能实现同样功能的其它更科学合理的替代方案(提供实施方案并加盖设备厂商公章)。验收会现场进行实施效果演示。
★(3)能够实现与本次采购的入侵防护系统实现联动,上传终端Agent检测到的安全事件,下发联动策略对终端恶意文件的进行查杀与隔离,防止风险扩展。(需提供相关功能截图证明并加盖厂商公章)
云安全响应与服务
(1)本产品制造商必须建有云安全服务平台,及时将IOC情报推送给本产品。本产品能根据IOC情报数据快速进行全网威胁定位分析,及时发现和响应最新的热点事件,并且能够根据历史行为数据进行溯源分析。
(2)本产品能及时上报查杀结果到制造商云安全服务平台进行云查杀,云查杀返回查杀结果到本产品,形成云情报共享和安全系统联动。
系统管理
(1)具备场景化的配置向导功能,可以选择不同的终端部署方式和使用场景,实现产品的快速实施。
(2)具备全网终端统一病毒库和引擎组件升级功能。
(3)具备管理员权限分级功能,至少包括超级管理员、普通管理员、审计管理员等权限。
厂商资质
★(1)网络安全产品的运行完全依赖厂商的在线支持和特征库实时更新,如果厂商不存在了,产品就立即失去作用。为保证网络安全厂商有足够强的技术实力和足够长的生命力,要求厂商具备CMMI
L5认证证书。(提供证书复印件并加盖厂商公章)
★(2)为保证病毒库具有较高的质量和时效性,谢绝使用OEM贴牌病毒库,要求厂商是中国互联网协会反病毒联盟(ANAV)的成员,提供官网查询链接地址和官网查询结果截图并加盖厂商公章。
培训与售后服务
★(1)提供设备生产商针对本产品的五年原厂售后服务,包含5年软件版本升级、5年特征库升级。如果投标人增加了免费质保服务年限,则必须为原厂质保服务,非原厂质保服务被视为无效承诺。提供设备生产商五年原厂售后服务承诺函并加盖厂商公章。验收时实行系统内部授权、售后服务承诺函、400售后服务电话三对照,最终用户名必须为信阳师范学院,授权年限必须三者一致。
(2)设备生产商必须在省内有厂家直属的服务办事机构,提供7*24小时快速上门服务和2小时内快速响应服务(官网上必须可查询到办事机构地址)。
(3)培训软件管理员2名以上,使之能够进行系统安装与配置,满足日常运维工作需要。
8
安全交换机Ⅰ
硬件规格
(1)19英寸标准机架式设备,提供2个扩展槽,冗余电源满配。
3套
★(2)固化端口≥28个100/1000Mbps
SFP光口(光模块满配,类型按需提供)、≥8个复用的10/100/1000M自适应电口、≥4个1G/10G
SFP+光口。提供设备宣传彩页(并加盖厂商公章),彩页中的接口类型与数量必须等于或高于此处要求。
★(3)交换容量≥590Gbps,包转发率≥220Mpps,具备28*Gbe+4*10GbE 100%线速转发能力。
(4)整机采用绿色环保设计,满负荷情况下电源功率≤60W。
(5)实配风扇3块以上,具备风扇冗余、风扇调速及风扇故障告警功能。
(6)MAC地址≥64K,ARP表项≥20K,FIB表项≥12K。
链路层特性
(1)内置并许可OpenFlow、NETCONF等协议。
(2)内置并许可4K 802.1Q VLAN、Port based VLAN、MAC based VLAN、Protocol
based VLAN、Private VLAN、Voice VLAN、IP subnet-based
VLAN、GVRP、策略VLAN等VLAN协议。
★(3)具备完整的QinQ协议功能,必须满足学校校园网基于QinQ协议扁平化施工需求。设备宣传彩页中必须明确包含此功能。
(4)内置并许可LACP(802.3ad)链路聚合协议。
(5)具备1对1、1对多、多对1端口镜像功能,能够实施基于流的镜像、RSPAN和ERSPAN端口镜像。
(6)内置并许可STP、RSTP、MSTP生成树协议。
网络层特性
(1)内置并许可DHCP Server、DHCP Client、DHCP Snooping、DHCP Relay、IPv6
DHCP Snooping、IPv6 DHCP、支持IPv6 DHCP Relay等DHCP协议。
(2)内置并许可IPv6编址、邻居发现协议(ND)、ICMPv6、无状态自动配置、Path MTU
Discovery等IPv6基础协议。
★(3)内置并许可RIP、RIPng、OSPFv2、OSPFv3、IS-ISv4、IS-ISv6、BGP4、BGP4+等路由协议,并具备基于包的负载均衡和基于流的负载均衡功能。设备宣传彩页中必须明确列出这些协议。
(4)内置并许可IGMP v1/v2/v3,IGMP v1/v2/v3
Snooping,支持PIM-DM,PIM-SM,PIM-SSM,PIM for IPv6等组播协议。
(5)内置并许可IPv6隧道手工隧道、自动隧道、ISATAP、IPv4 over IPv6 、GRE
tunnel等隧道技术。
(6)内置并许可MPLS L3VPN协议。
访问控制
(1)内置并许可标准IP ACL、扩展IP ACL、MAC扩展ACL、基于时间ACL、ACL80、IPv6
ACL等控制列表协议,能够实施同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、协议类型、时间等灵活组合的硬件ACL。
(2)具备端口流量识别、端口流量限速、802.1p/DSCP/ToS流量分类等QoS功能,能够实现SP、WRR、DRR、SP+WFQ、
SP+WRR、SP+DRR、RED/WRED队列调度。
安全特性
(1)具备IP、MAC、端口三元素绑定和IPv6、MAC、端口三元素绑定功能。
(2)具备过滤非法的MAC地址、ARP报文限速、防网关ARP欺骗、广播风暴抑制、管理员分级管理和口令保护、AAA安全认证(IPv4/IPv6)、端口保护等功能。
管理特性
(1)内置并许可SNMP、CLI(Telnet/Console)、RMON(1,2,4,9)、SSH、Syslog、NTP/SNTP、SNMP
over IPv6、IPv6 MIB support for SNMP 、SSHv6、Telnet v6、FTP/TFTP
v6、DNS v6、NTP for v6、Traceroute v6等管理协议。
(2)具备sFlow网络监测功能,以适应超大网络流量环境下的流量分析,让用户详细、实时地分析网络传输流的性能、趋势和存在的问题。
(3)内置并许可CWMP(TR069)协议标准协议,能够实现设备零配置。
高可靠性
(1)具备CPU的保护机制,能够针对发往CPU处理的各种报文进行流量控制和优先级处理,保护交换机在各种环境下稳定工作。
(2)具备虚拟化功能,至少可将8台物理设备虚拟化为一台逻辑设备统一管理,并且链路故障的收敛时间≤50ms(最快8ms)
(3)内置并许可ITU-TG.8032国际公有环网协议ERPS,并且链路故障的收敛时间≤50ms。
(4)具备电源1+1冗余备份、电源模块热插拔功能。
环保节能
符合国家低碳环保等政策要求,支持IEEE 802.3az标准的EEE节能技术。
售后服务
★提供设备生产商针对本产品的3年原厂硬件质保服务和设备软件版本升级服务。如果投标人增加了免费质保服务年限,则必须为原厂质保服务,非原厂质保服务被视为无效承诺。提供设备生产商3年原厂售后服务承诺函(加盖厂商公章)。
9
安全交换机Ⅱ
硬件规格
(1)19英寸标准机架式设备,固化单交流电源。
6套
★(2)固化10/100/1000M以太网端口≥24个,固化1G/10G
SFP+万兆光接口≥4个(配置1Gbps光模块2个,类型按需提供);整机最大可用千兆口≥24个,最大可用万兆口≥4个。提供设备宣传彩页(并加盖厂商公章),彩页中的接口类型与数量必须等于或高于此处要求。
★(3)交换容量≥330Gbps,包转发率≥90Mpps,设备MAC地址≥16K。
(4)具备风扇调速及风扇故障告警功能。
链路层特性
(1)内置并许可4K 802.1Q VLAN、Port based VLAN、MAC based VLAN、Protocol
based VLAN、Private VLAN、Voice VLAN、IP subnet-based
VLAN、GVRP等VLAN协议。
★(2)具备完整的QinQ协议功能,必须满足学校校园网基于QinQ协议扁平化施工需求。设备宣传彩页中必须明确包含此功能。
(3)内置并许可LACP(802.3ad)链路聚合协议。
(4)具备1对1、1对多、多对1端口镜像功能,能够实施基于流的镜像、RSPAN和ERSPAN端口镜像。
网络层特性
(1)内置并许可DHCP Server、DHCP Client、DHCP Snooping、DHCP Relay、IPv6
DHCP Snooping、IPv6 DHCP、支持IPv6 DHCP Relay等DHCP协议。
(2)内置并许可IPv6编址、邻居发现协议(ND)、ICMPv6、IPv6 Ping、IPv6
Tracert等IPv6基础协议。
★(3)内置并许可RIP、RIPng、OSPFv2、OSPFv3、Routing
Policy等路由协议。设备宣传彩页中必须明确列出这些协议。
访问控制
(1)内置并许可标准IP ACL、扩展IP ACL、MAC扩展ACL、基于时间ACL、ACL80、IPv6
ACL等控制列表协议,能够实施同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、协议类型、时间等灵活组合的硬件ACL。
(2)具备端口流量识别、端口流量限速、802.1p/DSCP/ToS流量分类等QoS功能,能够实现SP、WRR、DRR、SP+WFQ、
SP+WRR、SP+DRR、RED/WRED队列调度。
安全特性
(1)具备IP、MAC、端口三元素绑定和IPv6、MAC、端口三元素绑定功能。
(2)具备过滤非法的MAC地址、ARP报文限速、防网关ARP欺骗、广播风暴抑制、管理员分级管理和口令保护、AAA安全认证(IPv4/IPv6)、端口保护等功能。
管理特性
(1)内置并许可SNMP、CLI(Telnet/Console)、RMON(1,2,3,9)、SSH、Syslog、NTP/SNTP、FTP、TFTP、Web等管理协议。
(2)具备线缆检测和端口休眠功能。
高可靠性
(1)具备CPU的保护机制,能限制非法报文对CPU的攻击,保护交换机在各种环境下稳定工作。
(2)具备VSU虚拟化功能,可实现本地堆叠和远程堆叠,可实现堆叠内跨机箱的链路捆绑。
(3)内置并许可ITU-TG.8032国际公有环网协议ERPS,并且链路故障的收敛时间≤50ms。
环保节能
符合国家低碳环保等政策要求,支持IEEE 802.3az标准的EEE节能技术。
售后服务
★提供设备生产商针对本产品的3年原厂硬件质保服务和设备软件版本升级服务。如果投标人增加了免费质保服务年限,则必须为原厂质保服务,非原厂质保服务被视为无效承诺。提供设备生产商3年原厂售后服务承诺函(加盖厂商公章)。
10
安全监控显示系统
★(1)
全金属外观,Windows、Android双系统一体化设计,外部无任何可见内部功能模块连接线;整机屏幕采用不小于55英寸 LED
液晶屏,显示比例16:9。屏幕图像分辨率达3840*2160(提供国家广播电视产品质量监督检验中心所出具的权威检测报告复印件并加盖厂家公章)。
10套
(2)
采用红外触控技术,支持在Windows与安卓系统中进行十点触控及十点书写。
(3)
整机只需连接一根网线,即可实现Windows及Android系统同时联网。整机无需外接无线网卡,在嵌入式系统下接入无线网络,切换到windows系统下可同时实现无线上网功能,不需手动重复设置。
(4)
整机电视开关、电脑开关和节能待机键三合一,确保用户操作便捷。
(5)
整机具备至少1路前置USB3.0接口,且前置USB接口全部支持Windows及Android双系统读取,将U盘插入任意前置USB接口,均能被Windows及Android系统识别,防止误操作。
(6)
触摸中控菜单上的通道信号源名称支持自定义,方便使用者识别。
(7)
具备信号源名称智能识别功能,用户自定义通道信号源名称后,系统将智能检测,若检测到该名称为系统记录过的常见信号源,将会自动更换该信号源图标,与名称进行匹配。
(8)
可通过遥控器及软件菜单、或者通过前置的实体按键,以组合按键的形式实现置锁定屏幕触摸、实体按键的功能,防止误触。
(9)
具备快速通道跳转功能,整机处于非内置PC通道下,在屏幕侧边可调出PC通道按钮,支持用户一键回到PC通道;同时支持用户自定义设置常用快捷通道,可从侧边栏一键进入该通道,提升会议效率。
(10)
具备手势识别功能,支持用户自定义手势操作,在任意通道下可自动识别上、下、左、右方向的五指滑动,快速实现返回、截图、冻屏、息屏等功能。
(11)
内置非独立外扩展的拾音麦克风,拾音距离至少3米;内置非独立外扩展的摄像头,像素至少500万,支持二维码扫码识别功能,帮助用户调用在线资源。
★(12)
采用模块化电脑方案,抽拉内置式,采用80pin或以上接口,实现无单独接线的插拔;采用按压式卡扣,无需工具即可快速拆卸电脑模块;电脑性能升级只需更换电脑模块。(需提供国家广播电视产品质量监督检验中心出具的检测报告复印件并加盖厂家公章)
★(13)
配置第八代Intel Core i5六核处理器,8G以上 DDR4笔记本内存,256G以上SSD固态硬盘。预装Windows
10开放式操作系统,允许安装第三方Windows应用程序。
(14)
所投产品制造商家符合 IECQ有害物质过程管理程序、温室气体核查认证(低碳体系认证)、知识产权管理体系认证相关要求。
(15)
所投产品制造商家通过知识产权管理体系认证。
(16)
所投产品制造商家获得视觉健康认证。
★(17)
提供设备生产商针对本产品的3年原厂硬件质保服务。提供设备生产商3年原厂售后服务承诺函并加盖厂商公章。如果投标人增加了免费质保服务年限,则必须为原厂质保服务,非原厂质保服务被视为无效承诺。
![恒兆m3[2014 8 30] 1](https://img.pdfslide.tips/doc/110x75/568c56791a28ab4916c6bf85/m32014-8-30-1.jpg)
