货物公开招标
公开招标
招 标 文 件
(论证确定版)
项目编号
:
YXCG-20190603
项目名称
:
阳江市公安局信息系统安全等级保护(三级)建设项目
采购人
:
阳江市公安局
采购代理机构
:
广东业信采购招标有限公司
二○一九年六月
温馨提示:特别注意事项
1、
请供应商特别留意招标文件上注明的投标截止和开标时间,逾期送达或邮寄送达的投标文件,招标采购单位恕不接收。因此,请供应商适当提前到达开标会议室。
2、
参与投标且尚未在广东省政府采购网登记注册的供应商,应在报名成功后登录广东省政府采购网进行注册,注册过程中如有任何疑问,可咨询广东省政府采购网技术部。
3、 招标文件中标有“★”的条款,供应商必须一一响应。若有一项带“★”的指标要求未响应或不满足,其投标将按无效投标处理。
4、 请正确填写《开标一览表》,如含有包组的投标项目建议分开报价,报价要求详见招标文件《开标一览表》。
5、
请仔细检查《投标函》、《开标一览表》、《法定代表人(负责人)证明书》、《法定代表人(负责人)授权书》等重要格式文件是否有按要求盖公章或签名。
6、 投标人为中型、小型、微型企业的,请提交《中小微企业声明函》(详情见《政府采购促进中小企业发展暂行办法》)。
7、 建议将投标文件按目录格式顺序编制页码。
8、 分公司作为投标人的,需提供具有法人资格的总公司的营业执照副本复印件及授权书。
9、
投标人请注意区分投标保证金及招标代理服务费收款账号的区别,务必将保证金按招标文件的要求缴纳,招标代理服务费存入招标文件指定的服务费账户。切勿将款项转错账户,以免影响采购活动。
10、
我司为采购代理机构,不对供应商购买招标文件时提交的相关资料的真伪做出判断,如供应商发现相关资料被盗用或复制,建议遵循法律途径解决,追究侵权者责任。对一家供应商递交两份不同投标方案的,评标委员会将对其投标按无效投标处理(如有特殊要求的除外)。
(本提示内容非招标文件的组成部分,仅为善意提醒。如有不一致,以招标文件为准)
(第 1 页 共 112 页)
(第 4 页 共 112 页)
目 录
第一部分 投标邀请函5
第二部分 采购项目内容7
A 商务要求7
B 技术要求9
第三部分 投标人须知69
投标人须知前附表69
A说明70
1适用范围和资金来源70
2定义70
3合格的投标人70
4投标费用71
B招标文件说明71
5招标文件的构成71
6招标文件的澄清、修改71
C投标文件的编制72
7要求72
8投标语言及计量单位72
9投标文件的构成72
10投标文件格式72
11资格证明文件72
12货物和服务的证明文件73
13投标报价与投标货币73
14投标保证金74
15投标有效期74
16投标文件的签署及规定74
D投标文件的递交75
17投标文件的密封和标记75
18递交投标文件的时间、地点及截止时间75
19迟交的投标文件75
20投标文件的修改和撤回75
E开标和评标76
21开标76
22评标委员会76
23对投标文件的初审和响应性的确定76
24投标报价的审核77
25询标及投标文件的澄清77
26评标原则77
27评标标准和办法78
28评标注意事项78
29接受和拒绝投标的权利78
30发布中标结果公告和发放中标通知书78
31投标人对中标结果的质疑、投诉78
F 授予合同80
32合同授予标准80
33签订合同80
G、政府采购政策81
H、评标细则83
第四部分 采购项目合同(参考范本)85
第五部分投标文件格式87
资格审查封面格式87
第一章自查表89
资格性自查表89
(一)资格审查文件要求提交的有效证明文件90
(二)无重大违法记录声明函91
第二章投标文件商务及技术部分92
商务及技术封面格式92
符合性自查表94
评审项目投标资料表95
(一)法定代表人(负责人)证明书96
(二)法定代表人(负责人)授权书97
附件一:投标函98
附件二:开标一览表99
附件三:投标分项报价表100
附件四:商务条款偏离一览表101
附件五:技术条款偏离一览表102
附件六:同类业绩一览表103
附件七:中小微企业声明函104
附件八:残疾人福利性单位声明函105
附件九:中标服务费承诺106
附件十:投标人提交的其它商务和技术资料107
其 他 格 式108
投标保证金退付书109
第2页共70页
第一部分 投标邀请函
广东业信采购招标有限公司(以下简称“代理采购机构”)受阳江市公安局(以下简称“采购人”)的委托,就阳江市公安局信息系统安全等级保护(三级)建设项目进行公开招标(项目编号:YXCG-20190603),欢迎符合条件的投标人参加。有关事项如下:
一、招标项目的名称、用途、数量、采购方式
1. 项目名称:阳江市公安局信息系统安全等级保护(三级)建设项目
2. 项目编号: YXCG-20190603
3. 投标报价上限:人民币4490461.70元(超出该上限的投标报价将作为无效投标处理)
4. 数 量:一项
5.
完工期:总工期360个日历日。签定合同之日起30个日历日内所有设备/货物运送到交货地点,至60个日历日内完成所供设备/货物的生产、安装、调试等工作,至270个日历日内完成首次差距测评并提交差距测评报告,至360个日历日内完成项目所有工程,并交付采购人验收使用(超出该完工期将作为无效投标处理)。
6. 项目采购方式:公开招标
二、投标人资格要求为:
1.投标人应具备《中华人民共和国政府采购法》第二十二条规定的条件:
1)具有独立承担民事责任的能力;2)具有良好的商业信誉和健全的财务会计制度;3)具有履行合同所必需的设备和专业技术能力;4)有依法缴纳税收和社会保障资金的良好记录;5)参加政府采购活动前三年内,在经营活动中没有重大违法记录;6)法律、行政法规规定的其他条件。
2.投标人必须是在中华人民共和国境内注册,能独立承担民事责任的法人、其他组织或者自然人,3.具有从事本项目的经营范围和能力;
4.本项目不接受联合体投标;
5.投标人须在招标代理机构登记并购买招标文件。
三、招标文件的公示
1、招标文件公示时间及下载:2019年6月26日至2019年7月3日。
2、根据《广东省实施〈中华人民共和国政府采购法〉办法》第三十五条的规定,投标人认为政府采购文件的内容损害其权益的,可以在公示期间或者自期满之日起七个工作日内以书面形式向采购人或代理采购机构提出质疑。质疑函应当由质疑投标人的法定代表人或主要负责人签字并加盖单位公章,留有联系人及联系电话并提供营业执照复印件、法定代表人(负责人)证明书、授权书、法定代表人(负责人)被授权人身份证复印件,并与代理采购机构工作人员做好确认工作,未被确认的质疑将作为无效质疑,采购人或代理采购机构可不予作答。
4、 购买招标文件的时间、地点、方式及招标文件售价
1.购买招标文件时间:2019年6月26日至2019年7月3日,上午8:30~11:00,下午2:30~5:00(节假日除外)(北京时间)。
2.购买招标文件地点:阳江市江城区康泰路60号四楼405室。
3.招标文件售价:招标文件每套人民币300元,售后不退。
4.招标文件获取方式:现场发售。
5.购买招标文件必须携带:
1)法定代表人(负责人)证明书原件、法定代表人(负责人)授权委托书原件、法定代表人(负责人)身份证复印件、授权委托人身份证复印件、营业执照副本复印件和相关资质证书复印件及《购买标书登记表》(http://www.yjcg.cc政府采购资料下载专区)加盖公章到指定地址购买。报名时投标单位的资料与以上报名条件不符合、不齐全、复印件不清晰或未盖红色公章的将不予受理。
2)供应商须提供未被列入“信用中国”网站(www.creditchina.gov.cn)“记录失信被执行人或重大税收违法案件当事人名单或政府采购严重违法失信行为”记录名单;不处于中国政府采购网(www.ccgp.gov.cn)“政府采购严重违法失信行为信息记录”中的禁止参加政府采购活动期间的截图。(证明文件须加盖投标人公章)(以采购代理机构或采购人查询结果为准,如相关失信记录已失效,供应商需提供相关证明资料);
5、 投标截止时间、开标时间及地点
1.递交投标文件时间:2019年7月17日9:00-9:30 (北京时间)。
2.投标截止时间、开标时间:2019年7月17日9:30(北京时间)。
3.递交投标文件地点、开标地点:阳江市江城区康泰路60号四楼开标室。
六、采购人、代理采购机构的名称、地址和联系方式
1、采购人联系方式:
名 称:阳江市公安局
联 系 人:冯永睿
联系电话:0662-3316200
2、代理采购机构联系方式:
名 称:广东业信采购招标有限公司
地 址:阳江市江城区康泰路60号四楼
联 系 人:冯国辉
联系电话:0662-3167266/13902528444
传 真:0662-2669666
网 址:http://www.yjcg.cc
广东业信采购招标有限公司
2019年6月26日
第二部分 采购项目内容A 商务要求
序号
项目
主要内容
1
投标人投标资格要求
详见第一部份《投标邀请函》。
2
完工期
详见第一部份《投标邀请函》。
3
货物要求
1、货物/设备为原制造商制造的全新产品,整体无污染,无侵权行为、表面无划损、无任何缺陷隐患,在中国境内可依常规安全合法使用。货物/设备为原厂商未启封全新包装。应附用户手册、保修手册、有关单证资料及配备件、随机工具等,设备使用操作及安全须知等重要资料应附有中文说明。
2、中标人需免费送货上门至采购人指定地点,并将设备安装、调试到最佳状态。
3、投标人须在报价文件中说明所投货物/设备(配置)的品牌、产地、型号规格、详细的技术指标等,并提供技术图片的技术说明等资料。
4、投标文件中提供投标人在广东地区有完善的维修服务中心和售后服务网络。
5、采购人在中标人实施过程中一经发现与应标时承诺不符,采购人有权终止本项目中标合同,并报相关部门进行处理,由此引发的所有损失由中标供应商负责。
4
投标报价包括
供货、安装、随机零配件、标配工具、运输保险、调试、培训、质保期服务、各项税费、合同实施过程中不可预见费用等一切费用,采购人不再支付其他任何费用。
5
合同签订要求
采购合同由中标人与采购人双方签订,签订时间为中标人收到《中标通知书》后20个日历日内。
6
完工地点
阳江市公安局。
7
付款方式
1、设备/货物运送到完工地点并现场安装调试完毕,全部设备正常运行30个日历日后进行初验,初验合格后30个工作日内支付合同总金额的50%;
2、项目完工通过甲方验收后,根据验收结算价,由中标人向采购人缴交一份金额为验收结算价5%的“见索即付”银行保函(为期37个月),采购人在30个工作日内向中标人支付至验收结算价的100%。付款方式采用支票、银行汇付(含电汇)等形式。
注:
(1)以上付款以银行转账、银行汇票等方式进行支付。
(2)每期申请支付合同款项时,中标人须向采购人提供与当期支付款项金额等值的中华人民共和国大陆地区合法有效发票。
(3)合同付款时间为采购人向政府采购支付部门提出支付申请的时间(不含政府采购支付部门的审核和支付时间),在规定时间内提交付款申请即视采购人已履行。
8
安全责任
本项目安全措施由投标人制定方案及组织实施,并承担全部安全责任,采购人不负责任何伤亡、劳保福利以及施工中材料被盗等责任。
9
验收要求
交付验收标准依次序对照适用标准为:
1.符合中华人民共和国国家安全质量标准、环保标准或行业标准;
2.符合采购文件和响应承诺中采购方认可的合理最佳配置、参数及各项要求;
3.货物来源国家官方标准。
10
售后服务
1、质保期:设备整机提供三年质保,质保期内负责对所供货物实行包修、包换、包退、包维护保养,期满后可同时提供终身有偿维修保养服务,并按国家相关的法律法规要求执行;
2、投标方应具有本地化服务能力,在本地派常驻售后服务机构,并提供服务机构地址、人员名单、联系电话等。外地市公司没设置的应书面承诺中标后,在项目竣工前验收前设置;
3、质保期内,所有硬件设备的维修均为免费,所有设备维修服务均为上门服务,由此产生的费用均不再收取;
4、在任何时候,投标人均不能免除因货物本身的缺陷所应负的责任。货物在质保期内发生质量问题,投标人须无条件给予退换;
5、设备故障报修的响应时间:7*24响应及现场服务。接到报障后,投标人的工程师必须2小时内到达服务现场,并24小时内解决故障。如24小时内不能解决故障,投标人应提供不低于故障设备规格型号档次的备用设备供用户使用,直至故障设备修复。
11
投标保证金
(应当以支票、汇票、本票或者金融机构、担保机构出具的保函等非现金
形式提交)。
提交主体:必须以投标人自身名义提交,应注明“(项目编号)投标保证金”。
保证金数额
人民币肆万伍仟元整(¥45000.00元)
开户名称
广东业信采购招标有限公司
账 号
9550880202409700149
开户银行
广发银行阳江江城支行
交纳时间
投标保证金作为供应商投标的组成部分,与投标文件一同递交。
12
中标服务费
(以银行转账、电汇方式提交)
收费标准:
根据发改价格[2011]534号文的规定,招标代理服务费按差额定率累进法计算。中标服务费由中标人在领取中标通知书前以银行转账方式一次性支付。
开户名称
广东业信采购招标有限公司
账 号
44547801040002249
开户银行
中国农业银行股份有限公司阳江城北支行
B 技术要求
注:“商务要求”中的内容有与“技术要求”中的内容不一致的,以“技术要求”中的要求为准。
一、项目建设背景
2003年中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)指出“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2004年9月由公安部、国家保密局、国家密码管理局、国务院信息化办公室联合签发的《关于信息安全等级保护工作的设计意见》(公通字[2004]66号)中再次强调“信息安全等级保护制度是国家在国民经济稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度”。
2009年4月广东省公安厅、省保密局、密码管理局和省信息化工作领导小组联合发文《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45号)中又再次指出,“通过深化信息安全等级保护,全面推动重要信息系统安全整改和测评工作,增强信息系统安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,提高信息安全保障能力,维护国家安全、社会稳定和公共利益,保障和促进信息化建设”。
为贯彻落实公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于印发<信息安全等级保护管理办法>的通知》(公通字〔2007〕43号)和《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)要求,贯彻落实阳江市公安局《管理信息系统安全等级保护标准》体系,提高阳江市公安局网络和信息系统的信息安全保护能力和水平,规范阳江市公安局信息系统安全保障体系,阳江市公安局提出了“合规”、“需求”、“整合”的信息化安全建设思路。一方面严格执行国家等级保护相关标准,参照有关国际准则;一方面自身业务的要求考虑,通过技术手段来提高信息安全保障水平,为信息系统提供安全、稳定的运行环境的方针开展信息安全等级保护建设。
阳江市公安局信息系统的安全状况,关系到国家机关社会管理、公共服务的工作秩序以及社会成员接受的公共服务,因此,等级保护安全整改和等级保护测评工作已经迫在眉睫。
本方案通过对阳江市公安局的重要信息系统技术层面及管理层面的全面评估和了解,整理出高风险的安全需求,并结合用户的实际业务要求,对阳江市公安局整体信息系统的安全工作进行规划和设计,并逐步完成安全建设,以满足阳江市公安局的信息安全目标及国家相关政策和标准的要求,同时为全面提高信息安全管理水平和控制能力打下坚实的基础。
二、项目建设目标
通过本次项目,将充分了解阳江市公安局自身信息安全现状、信息安全风险和安全需求,构建和设计信息技术安全管理体系、安全技术体系和安全运维体系,为将来全面提高信息安全管理水平和控制能力,适应并符合不断发展变化的业务新需求。同时,遵循国家等级保护政策法规和标准建立一整套适合阳江市公安局的信息系统等级化安全保障体系,并为通过国家等级保护安全测评备案工作做好前期准备。
三、项目建设依据
本文参考的国家信息安全政策法规、信息安全标准以及相关规范:
· 政策法规
· 《中华人民共和国计算机信息系统安全保护条例》(国务院[1994]147号)
· 《国家信息化领导小组关于加强信息安全保障工作的意见》(申发办[2003]127号)
· 《信息安全等级保护管理办法》(公通字[2007]43号)
· 标准规范
· 《信息安全技术 信息系统安全等级保护基本要求》GB/T 22239-2008
· 《信息安全技术 信息系统安全等级波爱护设计指南》GB/T 25058-2010
· 《信息系统安全等级保护测评要求》(GB/T28448-2012)
· 《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006)
· 《信息安全技术 网络基础安全技术要求》(GB/T20270-2006)
· 《信息安全技术 操作系统安全技术要求》(GB/T20272-2006)
· 《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2006)
· 《计算机信息系统安全保护等级划分准则》(GB17859-1999)
· 《信息系统安全保护等级定级指南》(GB/T 22240-2008)(辅助标准)
· 《信息系统安全等级保护设计指南》(辅助标准)
· 《信息系统安全等级保护测评准则》(辅助标准)
· 《电子政务信息系统安全等级保护设计指南(试行)》
· 《信息系统安全安全管理要求》(GB/T20269)
· 《信息系统安全工程管理要求》(GB/T20282)
· 《信息安全技术 服务器技术要求》(GB/T21082)
四、需求清单
1. 安全产品清单
★为方便系统维护及系统兼容性的考虑,本次采购的安全产品硬件和软件,包括万兆防火墙、入侵防御系统及规则特征库升级、防病毒网关及升级、web应用安全防护系统及规则特征库升级、数据库防火墙、运维安全审计系统、日志收集与分析系统、上网行为管理系统及相应升级、漏洞扫描系统及升级、千兆防火墙要求均为同一品牌(利旧产品除外)。
序号
产品名称
数量
参数配置
1
万兆防火墙
2
2U机箱,最大配置为34个接口,默认包括4个可插拨的扩展槽和2个10/100/1000BASE-T接口,标配模块化双冗余电源,防火墙吞吐率:不小于40Gbps,应用层吞吐率(FW+APP):不小于24Gbps,并发连接数:不小于800万;三年原厂质保服务;
4
万兆接口扩展卡:2个SFPplus插槽;
8
万兆多模光口SFPplus模块(850nm,300m,LC);
2
千兆接口扩展卡:8个10/100/1000BASE-T(100m,RJ45);
2
入侵防御系统
1
2U机箱,最大配置为26个接口,默认包括2个扩展槽位和6个10/100/1000BASE-T接口,2个作为HA口和管理口,4个10/100/1000BASE-TX(100m,RJ45),
接口支持Bypass;4个SFP插槽;标配模块化双冗余电源;默认含:1年攻击规则库特征库升级
,整机吞吐率:不小于12Gbps,最大并发连接数:不小于400W;三年原厂质保服务;
2
IPS规则特征库1年升级许可;
3
防病毒网关
1
2U机箱,最大配置为26个接口,默认包括2个10/100/1000BASE-T接口(作为HA口和管理口)以及4个SFP插槽和4个10/100/1000BASE-T接口;标配冗余双电源,默认电口具有两组BYPASS接口;默认含:企业版查杀病毒功能,包括企业版快速扫描防病毒查杀和企业版深度扫描防病毒查杀,含1年病毒库升级服务许可(快速+深度),防火墙吞吐率:不小于12Gbps,最大并发连接数:不小于400W;三年原厂质保服务;
2
企业版防病毒查杀1年病毒库升级服务许可,包括快速和深度扫描查杀;
4
web应用安全防护系统
1
1U机箱,最大配置为24个接口;默认包括2个可插拨的扩展槽和6个10/100/1000BASE-T接口和2个SFP插槽;接口支持Bypass,单电源;含1年特征库升级服务。内含SQL注入、XSS、CSRF等WEB攻击防护功能、URL访问控制功能、防盗链功能、WEB漏洞扫描功能、DDOS攻击防护功能、网页防篡改功能、服务器负载均衡功能、报表分析及告警功能;并发连接>220万,整机吞吐率>5Gbps,三年原厂质保服务;
2
WAF产品特征库1年升级License;
5
数据库防火墙
1
2U机箱,标配双电源;高性能
CPU、1T硬盘、16G内存;1个管理口;8个10/100/1000BASE-T电口数据口,接口支持Bypass;DB最大并发数:不小于10000;SQL处理能力:不小于15000/s;三年原厂质保服务;
6
利旧原防火墙TG-41609
2
利旧原防火墙
6
增加专业版快速扫描查杀防病毒可1年升级服务许可,无需购买模块
6
IDP攻击规则特征库1年升级许可
7
利旧原入侵检测系统TS-31214
1
利旧原入侵检测系统
2
增加IDS规则特征库1年升级许可(包含应用识别库)
8
运维安全审计系统
1
2U机箱;1个console口,2个USB口;4个10/100/1000BASE自适应电口,1个可扩展插槽;标配双电源,2T存储空间;200个资源许可用户数不受限制,三年原厂质保服务;
9
日志收集与分析系统
1
TopAudit-Log标准版,含日志收集、存储、查询、关联分析、统计分析、告警响应等功能,含Key(licence介质)。综合处理性能:不小于20000EPS综合处理峰值:不小于30000EPS;三年原厂质保服务;
100
一个LIC对应一个日志源
10
上网行为管理系统
1
2U机箱;1TB硬盘;最大配置为34个接口,默认包括4光4电千兆接口扩展卡、3个可插拨的扩展槽和2个10/100/1000BASE-T接口;标配双电源,接口支持Bypass;包含一年系统版本升级、URL库及应用特征库升级许可;包含一年病毒防护许可;吞吐量不小于12Gbps,最大并发连接数不小于450万;三年原厂质保服务;
1
产品增加二年的防病毒功能及病毒特征库升级许可
1
产品增加二年的系统版本、URL库及应用特征库升级许可
11
漏洞扫描系统
1
1U机箱;默认包括1个可插拨的扩展槽和4个10/100/1000BASE-T接口;含1年特征库升级服务。任务不限制IP数量,检测漏洞数:大于56000;三年原厂质保服务;
2
1年漏洞库升级服务。
12
千兆防火墙
1
1U机箱,配置为6个10/100/1000BASE-T接口和2个SFP插槽,2个可插拨的扩展槽,单电源,默认包含应用识别功能,含1年应用特征库升级许可;可以扩展万兆接口;防火墙吞吐率:12Gbps应用层吞吐率(FW+APP):不小于8Gbps,并发连接数:不小于300万三年原厂质保服务;
注:1.全部产品含三年原厂质保服务;
2.达到公安部《网络安全等级保护基本技术要求》标准;
2. 安全服务清单
序号
服务名称
服务描述
数量
备注
1
测评服务
包括26个信息系统的第三方测评服务(等保三级)
26个
2
安全加固服务
对网络设备、安全设备进行安全加固,1年1次;对26个信息系统进行安全加固,1年1次。
3年
3
健全信息安全管理机制
对管理制度、管理机构、人员管理、建设管理、运维管理进行补充完善
1次
4
安全巡检服务
通过系统漏洞扫描、策略检查、web漏洞扫描,对26个信息系统进行周期性巡检,1年1次
3年
5
应急响应服务
通过驻场支持、专家现场服务方式对网络及安全事件进行应急响应支撑,1年至少2次;通过电话热线、电子邮件、远程协助等方式对网络及安全事件进行应急响应支撑无次数限制。
3年
6
安全评估服务
安全评估服务,1年1次(估算)
3年
7
定期安全通告服务
定期安全通告服务,1年2次
3年
8
安全教育培训服务
安全教育培训服务1次
1次
3. 其他产品清单
序号
产品名称
数量
参数配置
1
交换机板块
1块
S7500E 24端口万兆以太网光接口(SFP+,LC)+2端口40G (QSFP+)
2
光纤模块
24个
SFP+万兆多模光模块
3
全万兆交换机
1台
1、24个10GE SFP+光口,2个40GE QSFP+光口
2、2.56Tbps交换容量,720Mpps包转发率
3、双模块化电源
4、支持ND(Neighbor Discovery);支持PMTU;支持IPv6
Ping;支持6to4、ISATAP、手动配置隧道;支持基于源IPv6 地址、目的IPv6
地址、四层端口、协议类型等ACL;支持MLD v1/v2 snooping;
5、支持IPv6静态路由;支持RIPng;支持OSPFv3;支持BGP4+;支持ISISv6;支持IPv4静态路由、RIP
V1/2、ECMP、支持URPF。
4
笔记本电脑
2台
CPU:i7-8565U
硬盘:不低于256G SSD固态硬盘+1T硬盘
内存:≥16G,
显卡:不低于MX150 4G独显
屏幕尺寸:15寸IPS全高清可翻转触控屏,物理分辨率:1920×1080
内存:≥DDR4 2400 SDRAM
显示端口:Micro HDMI
USB3.1 2个
电池:3芯 锂离子电池
净重:≤2.1kg
配无线鼠标、触控笔及电脑包
五、安全产品详细技术要求
1. 万兆防火墙
类别
分项功能
指标参数
基本要求
系统结构
▲为响应产品国产化的号召,产品必须为自主研发(非OEM),产品需拥有自主知识产权(提供软件著权证书、软件产品登记证书复印件并加盖原厂公章),为自主原创产品(提供证书复印件并加盖原厂公章);产品由专用的硬件平台、安全操作系统及功能软件构成。设备采用自主知识产权的专用安全操作系统,采用多核多平台并行处理特性(提供相应资质证明并加盖原厂公章);
操作系统
安全操作系统采用冗余设计(提供产品相关功能截图并加盖原厂公章);出于安全性考虑,多系统需在设备启动过程中进行选择不得在WEB维护界面中设置系统切换选项。
硬件架构
2U机箱,最大配置为34个接口,包括4个可插拨的扩展槽和10个10/100/1000BASE-T接口,4个万兆SFP+光口(含4个万兆光模块),标配模块化双冗余电源;包含应用识别功能,前面板具有独立的带外管理口与双机心跳口;(提供产品实物照片,并保留在投标现场进行实物验证的权利);三年原厂质保服务;
硬件配置
配置性能
防火墙吞吐率:不小于40Gbps,应用层吞吐率(FW+APP):24Gbps,并发连接数:不小于800万,每秒新建连接数:不小于26.5万;
网络
接入
工作模式
支持路由、交换、混合、虚拟线工作模式;
路由交换
支持静态路由、ISP路由及动态路由协议,支持802.1q、QinQ模式;
支持基于源/目的地址、源/目的端口、用户、应用的策略路由,保证关键业务流量通过优质链路转发;
接入功能
支持GRE与IPSEC VPN接入,提供标准算法及国密算法;(提供产品相关功能截图并加盖原厂公章);
链路聚合
为提高链路可靠性,需支持手工链路聚合及LACP链路聚合,提供不少于11种的负载分担算法,灵活实现对聚合组内业务流量的负载分担(提供产品相关功能截图并加盖原厂公章);
IP/MAC绑定
支持手动添加绑定,基于IP、接口的动态探测绑定,支持跨三层IP/MAC绑定,IP/MAC绑定表可导入导出;
地址转换
支持一对一SNAT、多对一SNAT、一对一DNAT、双向NAT、NoNAT等多种转换方式;支持Sticky
NAT开关,使相同源IP的数据包经过地址转换后为其转换的源 IP 地址相同;
支持MAP66功能,将从内部发往Internet的数据包的源IPv6地址修改为全球单播源IPv6地址,实现IPv6网络间的地址转换;
智能DNS
支持智能DNS及DNS Docting功能,能够将来自内部网络的域名解析请求定向到真实内网资源,提高访问效率,同时支持通过配置多条
DNS Doctoring,实现内网资源服务器的负载均衡(提供产品相关功能截图并加盖原厂公章);
IPv6
双栈模式
支持IPv4/IPv6双栈工作模式;
访问控制
支持IPv6安全控制策略设置,能针对IPv6的目的/源地址、目的/源服务端口、区域、服务、时间、扩展头属性等条件进行安全访问规则的设置;
安全防护
支持基于IPv6的应用层检测(FTP\TFTP)、病毒过滤、URL过滤、ADS、IPS检测(提供产品相关功能截图并加盖原厂公章);
虚拟系统
资源虚拟化
支持在一台物理设备上划分出最大4094个相互独立的虚拟系统,可根据连接配额及连接新建速率为每个虚拟系统分配资源;(提供产品相关功能截图并加盖原厂公章);
功能虚拟化
支持配置文件、系统服务等系统功能虚拟化,支持路由、链路聚合等网络功能虚拟化,支持安全策略、NAT策略、带宽管理、认证策略、IPV6功能、URL过滤、异常行为分析、病毒过滤、内容过滤、审计、报表等安全功能虚拟化;(提供产品相关功能截图并加盖原厂公章);
用户管控
认证方式
内置强大的用户身份管理系统,支持本地认证、证书认证及免认证等方式,同时支持RADIUS、LDAP、TACACS等多种第三方外部认证设置;(提供产品相关功能截图并加盖原厂公章);
用户管控
综合运用身份认证与访问控制技术,通过内置智能过滤引擎实现基于用户身份的安全防护策略部署与可视化监控;支持手动创建用户、批量导入导出用户,同时支持设备扫描方式创建用户;(提供产品相关功能截图并加盖原厂公章);
支持设置密码有效性,如首次登陆修改密码、密码定期修改、密码有效时间等设置,用户忘记密码时,支持密码找回;
支持本地CA和第三方CA,支持作为CA认证中心为其他人签发证书,也可采用第三方CA为其他人签发证书(提供产品相关功能截图并加盖原厂公章);支持标准CRL列表,支持CRL手工更新,同时支持CRL自动下载,通过HTTP或者LDAP方式定时自动下载更新CRL文件;
应用管控
应用识别
▲内置强大应用识别引擎,综合运用端口识别、行为识别、特征识别、关联识别等技术手段,准确识别传统应用如P2P(提供P2P流量识别技术相关的专利证明)、web应用、移动应用、云应用、加密应用等;内置独立应用识别特征库,总数2100种以上,支持应用特征库在线或本地更新,支持应用特征自定义(提供产品相关功能截图并加盖原厂公章);
带宽管理
支持基于IP/IP组、用户/用户组、服务/服务组、应用/应用组和时间等配置带宽策略(提供产品相关功能截图并加盖原厂公章);,支持带宽策略优先级,可配置包含链路、父通道、子通道的5层多级带宽策略,对流量进行细分管理,保证带宽的利用率(提供产品相关功能截图并加盖原厂公章);
连接控制
支持对单条访问控制策略进行最大并发连接数限制(提供产品相关功能截图并加盖原厂公章);
为保护内部网络资源以及合理分配设备系统资源,需支持对指定的源/目的IP地址、MAC地址、应用制定相应的连接限制策略,策略包含三种限制类型:单个IP每秒新建连接限制、单个IP连接数限制及连接总数限制;
支持监控功能,显示最近被拦截的IP、地址对象及应用的节点信息;同时支持对连接数限制策略匹配信息进行分类统计,方便管理员根据统计分析结果进行相应的防护控制;(提供产品相关功能截图并加盖原厂公章);
访问控制
一体化访问控制
内置高度集成的一体化智能过滤引擎技术,实现在同一条访问控制策略中配置传统的五元组信息、用户、域名、应用、服务、时间、安全引擎(入侵防御、URL过滤、病毒过滤、数据防泄漏DLP、内容过滤、文件过滤、审计、APT)的识别与控制;(提供产品相关功能截图并加盖原厂公章);
访问控制策略执行动作支持允许、禁止及认证,对符合条件的流量进行Web认证,在策略中可设置用户 Web 认证的门户地址;
提供智能策略分析功能,支持策略命中分析、策略冗余分析、策略冲突检查,并且可在WEB界面显示检测结果:冗余策略和冲突策略需通过不同颜色显示;(提供产品相关功能截图并加盖原厂公章);
支持黑名单功能,可设置多个对象条件,如:五元组信息、地址范围、应用、用户等,实现对特定报文进行快速过滤;(提供产品相关功能截图并加盖原厂公章);
安全防护
入侵防御
▲内置攻击检测引擎,采用协议分析、模式识别、统计阀值和流量异常监视等综合技术手段来判断入侵行为;支持web攻击识别和防护,如跨站脚本攻击、SQL注入攻击;支持超过4200+攻击特征库(提供产品相关功能截图并加盖原厂公章),同时支持自定义特征库,且厂商具备强大的漏洞和功放研究能力,为CNNVD一级支撑单位(提供官网链接),能够确保每周至少更新1次攻击特征库。
未知威胁防御
支持APT防御,不依赖于攻击、恶意代码等特征库进行检测,通过沙箱技术对于未知漏洞攻击(0day/1day漏洞)、木马、病毒具有检测能力;可根据用户环境,将APT工作模式设置为深度模式或者智能模式(提供产品相关功能截图并加盖原厂公章);
支持异常行为检测,内置统计智能学习算法,对特定地址对象建立监控策略,基于新建、并发、流量等数据与上一周期记录值进行比较判定是否异常,如果存在异常则报警;(提供产品相关功能截图并加盖原厂公章);
DDOS防御
内置流量检测清洗引擎,支持基于IP、ICMP、TCP、UDP、DNS、HTTP、NTP等众多协议类型的防护策略;提供丰富的策略模板,且支持策略模板自定义;(提供产品相关功能截图并加盖原厂公章);
支持基于IP协议的检测清洗,包括但不限于:IP Flood、IP Frag Flood、端口扫描、IP
地址扫描,以及Fraggle、icmp redirect、icmp unreachable、land、ping of
death、smurf、route record、source route、tcp
flag、tracert、winnuke等异常报文攻击;(提供产品相关功能截图并加盖原厂公章);
支持基于TCP协议的检测清洗,包括但不限于:TCP Flood、SYN Flood、SynACK Flood、ACK
Flood、FIN Flood、RST Flood、新建SESSION Flood、SESSION
Flood等;支持SYN源认证技术,认证模式可设置为基本模式或者高级模式,以防止虚假源攻击;(提供产品相关功能截图并加盖原厂公章);
支持基于UDP协议的检测清洗,包括对源、目的限速,对UDP最大及最小报文限制;同时支持UDP关联认证,要求所有去往服务器的UDP报文,必须首先与该服务器的TCP端口建立TCP连接,对源地址进行合法性认证;
支持基于DNS协议的检测清洗,包括但不限于:DNS QUERY FLOOD、DNS REPLY
FLOOD、DNS投毒攻击、DNS格式检查、DNS NX异常比率检测等;支持DNS QUERY源认证、DNS
REPLY源认证,认证方式可选基本源认证或者cname认证;(提供产品相关功能截图并加盖原厂公章);
支持基于HTTP协议的检测清洗,包括但不限于:HTTP
Flood、HTTP新建连接Flood、HTTP并发连接Flood、HTTP URI CC等攻击检测,同时支持对HTTP
slow-header和HTTP
slow-post设置最大传输时间以及异常会话数阈值,有效防御慢速攻击;(提供产品相关功能截图并加盖原厂公章);
支持基于NTP协议的检测清洗,包括NTP REQUEST FLOOD、NTP REPLY
FLOOD等攻击检测,支持基于NTP请求限速、NTP响应限速、源认证、会话认证的防御策略;(提供产品相关功能截图并加盖原厂公章);
支持根据DOS/DDOS攻击行为自动添加动态黑/白名单功能,可自定义动态黑/白名单超时时间;(提供产品相关功能截图并加盖原厂公章);
病毒过滤
内置病毒检测引擎,支持HTTP/SMTP/POP3/FTP/IM等协议的病毒防御,对每种协议数据流的检测方向可选双向、上传、下载;(提供产品相关功能截图并加盖原厂公章);
内置至少2种专业反病毒厂商或研究机构的病毒特征库,符合等级保护相关标准对网关防病毒特征库和主机防病毒特征库异构的要求。(提供至少2家专业防病毒厂商或研究机构的合作文件复印件)病毒特征库规模超过400万(提供产品相关功能截图并加盖原厂公章);
支持病毒白名单,用户可以根据实际业务需求将特定威胁进行排除(提供产品相关功能截图并加盖原厂公章);
URL过滤
内置互联网URL分类库,支持超过80大类、2500万的URL地址分类库,用户可根据上述网站类别,对自身网络的WEB应用实施全面化管控,杜绝非法、违规网站的访问行为,从而净化网络应用环境;
文件过滤
内置文件过滤引擎,支持对即时通讯、社交网络、网络硬盘、网页邮箱、IM文件传输等应用类型以及HTTP/FTP/SMTP/POP3等标准协议进行检测,识别可执行文件、office文件、视频文件、图片文件、帮助文件、压缩文件、数据文件等超过50种文档类型的文件过滤(提供产品相关功能截图并加盖原厂公章);
内容过滤
支持基于http、ftp、telnet、smtp、pop3等协议的内容过滤策略,可对微博、贴吧上传的内容及附件进行过滤,可对FTP上传/下载的文件名进行过滤,同时支持过滤FTP信令:上传文件、下载文件、删除文件、重命名文件、创建目录、删除目录、列出目录等,邮件过滤支持对发件人、收件人、主题、内容、附件等进行过滤;(提供产品相关功能截图并加盖原厂公章);
DLP
内置DLP数据防泄漏引擎,可针对发送者或接收者模式配置独立的DLP策略,对数据进行监控识别,达到敏感数据防护目的。
为提高产品的可用性,需支持识别的加密文件格式不少于12种;压缩文件格式不少于25种,如RAR、ZIP、GZ、TAR等;支持识别Linux,Unix等非Winodws的文件类型;支持识别异常文件格式类型;支持识别自定义文件类型;(提供产品相关功能截图并加盖原厂公章);
配置维护
支持多个配置文件并存,配置文件数量不少于20个(提供产品相关功能截图并加盖原厂公章);
升级维护
支持多个系统升级包并存,系统升级包文件数量不少于5个(提供产品相关功能截图并加盖原厂公章);
系统诊断
支持分别针对网络层、传输层和应用层提供诊断系统网络连通性的工具,包括 PING、 TRACEROUTE、 TCP、 HTTP 和
DNS(提供产品相关功能截图并加盖原厂公章);
支持在WEB界面进入CLI模式,执行系统配置、网络诊断、过滤抓包等命令,提高管理员运维效率(提供产品相关功能截图并加盖原厂公章);
管理员
支持系统管理员能够通过本地认证及外部认证方式进行登录管理,外部认证失败时可转本地认证(提供产品相关功能截图并加盖原厂公章);支持管理员分权管理,可自定义管理员权限模板,所有功能模块组合可由管理员自由组合配置(提供产品相关功能截图并加盖原厂公章);
数据中心
报表
内置不少于15类预定义报表模板,支持根据通信流量、上网行为、威胁统计等来源数据库自定义报表模板;支持一次性报表及周期性报表,可自定义统计时间;(提供产品相关功能截图并加盖原厂公章);
支持报表按照PDF、WORD及EXCEL格式导出;(提供产品相关功能截图并加盖原厂公章);
审计
支持独立配置审计策略,同时也可将指定的 IP 地址、 URL、
应用加入白名单,不进行数据审计;(提供产品相关功能截图并加盖原厂公章);
支持网站访问审计:审计指定类别的 URL
地址、审计命中指定关键字的网页标题和网页内容;(提供产品相关功能截图并加盖原厂公章);
支持邮件内容审计:对接收/发送邮件行为及邮件内容进行审计;FTP审计:对FTP上传/下载行为及文件内容进行审计;(提供产品相关功能截图并加盖原厂公章);
支持网盘审计:对主流网盘应用如360云盘、百度网盘、腾讯微云、华为网盘、新浪网盘等上传内容进行审计;(提供产品相关功能截图并加盖原厂公章);
支持telnet审计:对telnet协议命令进行审计;(提供产品相关功能截图并加盖原厂公章);
提供完善的审计数据查询功能,方便管理员对用户的上网行为进行审查和分析。支持对用户上网行为进行完整的审计数据查询,包括访问网站、邮件收发、论坛微博、
FTP、 网盘、
TELNET等;(提供产品相关功能截图并加盖原厂公章);同时支持对用户上网流量时长进行完整的审计数据查询,包括服务端IP、用户名、协议、上行流量、下行流量、总流量、时间等;(提供产品相关功能截图并加盖原厂公章);
日志
支持日志本地存储,可对不同类型日志设置存储空间;(提供产品相关功能截图并加盖原厂公章);同时支持外发至SYSLOG服务器,可将多条日志合并成一条日志传送到日志服务器中,可选择对日志传输是否加密,设定8位的加密密钥;(提供产品相关功能截图并加盖原厂公章);
日志查看可划分为管理日志、系统日志、策略日志、应用行为日志等四大模块,具体包含用户、连接、流量、NAT、审计、HA、APT、未知威胁等20个日志类别,可将日志按照CSV或XML格式导出;(提供产品相关功能截图并加盖原厂公章);
显示监控
资源监控
▲在WEB界面提供资源监控开关,可对cpu占用率、内存占用率、磁盘占用率设置阈值;(提供产品相关功能截图并加盖原厂公章);
流量统计
支持根据应用对通过设备的数据报文流量进行统计,包括应用总流量排名和各个应用的协议名称、总流量、上行流量、下行流量、新建连接数、当前会话数以及流速;(提供产品相关功能截图并加盖原厂公章);
支持根据用户/用户组对通过设备的数据报文流量进行统计,包括用户总流量排名和各个用户的用户名、认证类型、上行流量、下行流量、新建会话数、当前会话数以及流速;
支持根据服务器对通过设备的数据报文流量进行统计,包括各个服务器的服务器 IP、上行流量、下行流量、总流量以及新建会话数;
支持指定监控时间周期,包括:实时、最近1小时、最近1天、最近1周、最近1月等;
威胁统计
支持根据按照病毒防御、入侵防御、APT防御、ADS攻击进行威胁统计,可按照威胁类型/攻击者/受害者三种方式进行威胁排名。(提供产品相关功能截图并加盖原厂公章);
资质要求
▲产品资质
(需提供证书复印件加盖厂家公章)
计算机信息系统安全专用产品销售许可证(至少达到三级);
涉密信息系统产品检测证书
军用信息安全产品认证证书
ISCCC产品认证证书(三级)
防火墙产品密码检测证书
获得国家信息安全测评信息技术产品安全测评证书EAL4+
IPV6金牌认证;
▲厂商资质
(需提供证书复印件加盖厂家公章)
为保障项目的机密性,原厂商须具备涉密信息系统集成甲级资质;
为保证项目设计及集成能力,设备原厂商须具有通信行业安全设计与集成二级资质证书;
为保障厂商的售后服务水平,原厂商需获得ISO27001信息安全管理体系认证、TL9000认证、ISO9001质量管理体系认证、IS020000信息技术服务管理体系认证、IS014001环境管理体系认证;CMMI5认证;
为保证项目的应急响应能力,原厂商须具备网络安全应急服务支撑单位(国家级)资质;
为保证项目安全服务能力,设备原厂商须具备国家信息安全认证信息安全服务资质证书(安全工程类三级),信息安全等级保护安全建设服务机构能力评估合格证书;
为保证本项目后续的厂商培训能力,设备原厂商须具备专业的信息安全技术培训能力,并取得权威的培训资质,应具有国家信息安全测评授权培训机构资质证书,具有(ISC)²官方授权培训服务提供商证书;
▲售后服务
产品须由原厂商提供3年应急响应服务、每季度一次定期巡检服务,具体参考服务要求,提供设备原厂商针对本项目的合法来源证明文件加盖原厂公章。
2. 入侵防御系统
指标
指标项
详细要求
平台要求
硬件
要求采用X86多核硬件平台;
内置SSD固态硬盘存储日志;(需提供界面截图并保留在投标现场进行实物验证的权利)
▲具备机箱温度监控能力;(提供产品相关功能截图并加盖原厂公章);
2U机箱,最大配置为26个接口,默认包括2个扩展槽位和6个10/100/1000BASE-T接口,2个作为HA口和管理口,4个10/100/1000BASE-TX(100m,RJ45),
接口支持Bypass;4个SFP插槽;标配模块化双冗余电源;含:3年攻击规则库特征库升级服务,三年原厂质保服务;
软件
设备采用自主知识产权的专用安全操作系统,采用多核平台并行处理特性(提供相应资质证明并加盖原厂公章);
▲设备采用优化技术“一种建立多核运行环境的方法”,可以使设备具有较高的性能(提供相关证明材料并加盖原厂公章);
支持多操作系统引导,出于安全性考虑,多系统需在设备启动过程中进行选择(提供产品相关功能截图并加盖原厂公章);,不得在WEB维护界面中设置系统切换选项;
系统具有良好的可扩展性,能够扩展支持病毒防御、无线入侵防御功能(提供产品相关功能截图并加盖原厂公章);
性能
整机吞吐率:不小于12Gbps,最大并发连接数:不小于400万,IPS吞吐率:不小于8Gbps;
设备部署
接入模式
要求支持直连、路由、VLAN、旁路监听、混合部署等多种接入模式。
要求支持多端口链路聚合,支持不少于11种链路负载均衡算法。(提供产品相关功能截图并加盖原厂公章);
要求支持基于源/目的地址、接口的策略路由。
部署环境
要求支持VLAN、MPLS、PPPoE网络,能够在该网络环境中检测出攻击事件。
要求支持IPv6、IPv6 over IPv4、IPv6和IPv4混合网络,能够在该网络环境中检测出攻击事件。
流量采集
支持流量采集功能,支持在设备界面对服务器地址、端口、以及采样百分比进行设置(提供产品相关功能截图并加盖原厂公章);
支持流量采集策略设置,对流量采集的方向、时间、源IP地址、目的IP地址、源端口、目的端口进行设置(提供产品相关功能截图并加盖原厂公章);
规则库
攻击规则库
要求攻击规则库单独分开,可支持手动、自动、以及离线升级。
应用识别规则
要求应用识别规则库单独分开,可支持手动、自动、以及离线升级。
URL过滤库
要求URL过滤库单独分开,可支持手动、自动、以及离线升级。(提供产品相关功能截图并加盖原厂公章);
病毒库
支持病毒库,单独分开,可支持手动、自动、以及离线升级。
入侵防御能力
入侵防御引擎
系统应具备:融合模式匹配、协议分析、异常检测、会话关联分析,逃逸等多种技术,准确识别入侵攻击行为,为用户提供2~7层深度入侵防御。
要求支持丢弃报文、记录日志、禁止连接、TCP reset结束TCP会话等多种响应动作
要求支持自定义攻击检测规则。
要求支持黑名单,将攻击源加入黑名单,一段时间内禁止访问
▲要求支持攻击报文取证功能,检测到攻击事件后将原始报文完整记录下来,作为电子证据。(提供产品相关功能截图并加盖原厂公章);
攻击特征库
应涵盖广泛的攻击特征库、能够针对4100种以上攻击的攻击行为、异常事件,以及网络资源滥用流量,进行检测和防御。
攻击防御类型
要求能够检测包括溢出攻击类、RPC攻击类、WEBCGI攻击类、拒绝服务类、木马类、蠕虫类、扫描类、网络访问类、HTTP攻击类、系统漏洞类等
攻击事件
自定义规则
支持自定义规则,并且自定义规则库可以导入导出(提供产品相关功能截图并加盖原厂公章);
病毒防御能力(扩展)
病毒检测引擎
系统应具备独立的病毒检测引擎。
同时支持文件型和网络型病毒查杀。
病毒特征库
支持400万以上病毒检测规则。(提供产品相关功能截图并加盖原厂公章);
病毒检测类型
要求能够检测主流FTP、HTTP、SMTP、POP3协议的病毒。
URL过滤
URL过滤引擎
系统应具备独立的URL检测过滤引擎。
支持黑白名单,精确匹配和模糊匹配
支持阻断、URL重定向、返回默认页面、返回自定义页面等多种动作。
支持包括恶意网站、违反国家政策法规、潜在不安全、浪费带宽、大众兴趣、多种论坛、行业、计算机技术、等多种分类的URL过滤。
URL特征库
支持URL地址分类库,超过1000万种。(提供产品相关功能截图并加盖原厂公章);
流量异常检测
流量异常检测及报警
支持对设备接口流量的阀值进行设置及报警(提供产品相关功能截图并加盖原厂公章);
支持对网络内的TCP、UDP、其他流量协议占比进行设置及报警(提供产品相关功能截图并加盖原厂公章);
支持对协议组的流量阀值和连接数进行设置及报警,协议组类型包括P2P类、即时通讯类、标准协议类、移动应用类、http应用类、工控互联网类等。(提供产品相关功能截图并加盖原厂公章);
DDOS防御功能
DDOS防御
系统应支持独立的DDOS检测、阻断及防御基线自学习的能力。
系统支持防御包括land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof、Synflood、Icmpflood、Udpflood、Portscan、ipsweep等在内的DOS/DDOS攻击。
系统支持DNS异常包及DNS Flood攻击防御。(提供产品相关功能截图并加盖原厂公章);
系统支持DHCP异常包及DHCP Flood攻击防御。(提供产品相关功能截图并加盖原厂公章);
系统支持ARP异常包及ARP Flood攻击防御。(提供产品相关功能截图并加盖原厂公章);
系统支持CC攻击防御,且能够对Web服务器上的指定URI页面进行防护设置。(提供产品相关功能截图并加盖原厂公章);
系统支持主机并发连接数和半连接数的限制。(提供产品相关功能截图并加盖原厂公章);
系统支持DDOS 机器人自学习功能,学习时间可设置。(提供产品相关功能截图并加盖原厂公章);
应用管控功能
应用识别
系统能够根据数据内容而非端口智能识别包括P2P、即时通讯、电子商务、股票交易、网络游戏、网络电视、移动应用等在内的23大类超过2100种应用。(提供产品相关功能截图并加盖原厂公章);
应用管理
系统应支持灵活的应用管理策略配置功能,实现基于主机地址、区域、时间、应用等多维度的全面、细致监控。
支持对应用协议的阻断和流量管控以及记录应用日志。
自定义应用
支持协议自定义功能。
无线攻击防御功能(扩展)
无线管理
要求支持无线自动扫描分组(提供产品相关功能截图并加盖原厂公章);
无线攻击防御
要求支持检测并阻断Ad-hoc(简单互联)、非法外连、非法内联
要求支持能检测并阻断钓鱼攻击、无线代理攻击。(提供产品相关功能截图并加盖原厂公章);
要求支持无线安全区,对区域内的WIFI接入进行屏蔽、检测无线AP风险配置
无线定位
▲要求支持无线定位功能,定位非法、攻击AP。(提供产品相关功能截图并加盖原厂公章);
防火墙
防火墙功能
系统应支持设置访问控制规则,实现对三到七层的访问控制。(提供产品相关功能截图并加盖原厂公章);
支持连接数控制,并且可以选择源目的区域及源目的地址、协议类型进行控制(提供产品相关功能截图并加盖原厂公章);
系统应支持源、目的地址转换以及双向地址转换。(提供产品相关功能截图并加盖原厂公章);
系统应支持界面配置IP/MAC地址绑定,支持设置协议与非常用端口的绑定策略。(提供产品相关功能截图并加盖原厂公章);
网络冗余
支持双机热备。
日志和报表系统
日志管理
系统应支持多种形式的日志存储,本地存储、发送至日志服务器、本地日志服务器双存储、自动方式判断日志服务器状态自动决定日志的记录方式。(提供产品相关功能截图并加盖原厂公章);
系统应提供基于告警级别、时间、IP地址、事件类型、等条件的日志检索功能,具备日志导出备份、清除功能。
系统支持攻击检测日志中可以直观的展示攻击事件中的攻击特征编码。(提供产品相关功能截图并加盖原厂公章);
支持外发日志服务器时,自定义字符编码格式GBK/UTF8(提供产品相关功能截图并加盖原厂公章);
系统应具备日志归并功能,避免日志风暴。
报表系统
系统应支持按照时间、源IP、源端口、目的IP、目的端口、网络接口、风险级别等条件生成统计分析报表,报表内容包括攻击防护、病毒过滤、应用管控、URL过滤四大类。
系统应支持支持生成日报、周报、月报。
系统应支持报表以word、html格式导出。
系统应提供报表定时通过邮件方式自动发送。
告警系统
系统应提供全方位的包含管理、系统、策略、安全、流量等告警。
系统应提供邮件、声音、snmp多形式的告警方式。
统计
应用统计
支持对应用协议的连接数和流量的报警信息进行展示,红色表示有报警,绿色表示没报警。(提供产品相关功能截图并加盖原厂公章);
支持在应用排名中,展示该应用的主机的IP地址所对应的的主机所属国家,以及连接数、上行流量、下行流量,并且可以对其进行排序。(提供产品相关功能截图并加盖原厂公章);
接口流量统计
支持查看任意接口接受和发送报文字节大小分布图(提供产品相关功能截图并加盖原厂公章);
支持查看近24小时、一周、一个月内历史系统性能件事情况、连接数变化情况及新建会话速率情况
(提供产品相关功能截图并加盖原厂公章);
管理监控
管理
系统支持web、命令行等多形式灵活安全策略配置。
支持B/S或C/S管理模式,可实现多级部署。
支持SNMP 的v1 、v2 、v2c 、v3版本。
支持规则库手动、自动更新
支持登陆界面图形验证码功能,防止管理员账号被暴力破解(提供产品相关功能截图并加盖原厂公章);
监控
应支持系统资源监视。
应支持web页面的实时显示攻击事件。
应支持设备机箱温度监视以及报警,可以自定义温度阀值。(提供产品相关功能截图并加盖原厂公章);
应支持实时查看网络流量/攻击状况
支持攻击统计展示,包括检测报文总数、发现攻击报文总数、以及攻击总数与检测总数百分比。(提供产品相关功能截图并加盖原厂公章);
支持实时基于主机、区域的攻击与被攻击的统计显示,在监控信息中直观显示IP地址所处国家。并支持自定义地址薄导入功能。(提供产品相关功能截图并加盖原厂公章);
支持查看当前连接信息,如当前连接正在建立,正在握手还是已经拆除、当前连接所使用的协议、连接的源/目的地址和端口号、该连接是否应用源
NAT/目的 NAT 策略、
该连接建立过程中源地址发送的数据报文个数、目的地址发送的数据报文的个数等信息(提供产品相关功能截图并加盖原厂公章);
支持查看连接排名,可以查看当前(用户访问此菜单时刻)通过入侵防御系统建立的连接排名信息。每一条连接信息包括如下内容:根据连接数排名方式的不同显示 排名、源IP地址、目的IP地址、协议、端口号、连接数量等信息。(提供产品相关功能截图并加盖原厂公章);
应支持基于协议的应用识别统计监控。
应支持基于web类型分类的统计监控。
资质及服务能力要求
▲产品资质
(需提供证书复印件加盖厂家公章)
产品必须具备中华人民共和国公安部颁发的《计算机信息系统安全产品销售许可证》
产品具有中国国家保密局测评中心颁发的《涉密信息系统产品检测证书》
产品具有国家版权局颁发的《计算机软件著作权登记证书》
产品具有中国人民解放军信息安全测评认证中心《军用信息安全产品认证证书》
产品具有中国信息安全测评中心颁发的《国家信息安全测评信息技术产品检测证书EAL3+》
产品具有IPV6 Ready Phase-2金牌认证
产品具有中国信息安全认证中心颁发的《IT产品信息安全认证证书》
产品具有CVE CompatibilityCertificate
产品具有CNNVD兼容性证书
▲厂商资质(需提供证书复印件加盖厂家公章)
为保障项目的机密性,原厂商须具备涉密信息系统集成甲级资质;
为保证项目设计及集成能力,设备原厂商须具有通信行业安全设计与集成二级资质证书;
为保障厂商的售后服务水平,原厂商需获得ISO27001信息安全管理体系认证、TL9000认证、ISO9001质量管理体系认证、IS020000信息技术服务管理体系认证、IS014001环境管理体系认证;CMMI5认证;
为保证项目的应急响应能力,原厂商须具备网络安全应急服务支撑单位(国家级)资质;
为保证项目安全服务能力,设备原厂商须具备国家信息安全认证信息安全服务资质证书(安全工程类三级),信息安全等级保护安全建设服务机构能力评估合格证书;
为保证本项目后续的制造商培训能力,设备制造商须具备专业的信息安全技术培训能力,并取得权威的培训资质,应具有国家信息安全测评授权培训机构资质证书,具有(ISC)²官方授权培训服务提供商证书;
技术能力
投标厂商具备专业的攻防研究团队,能够对安全漏洞进行持续的挖掘与跟踪。
售后服务
产品须由原厂商提供3年应急响应服务、每季度一次定期巡检服务,具体参考服务要求,提供设备原厂商针对本项目的合法来源证明文件加盖原厂公章。
3. 防病毒网关
类别
招标要求
硬件要求
2U机箱,最大配置为26个接口(非combo光电互斥接口或共享交换接口),默认包括2个10/100/1000BASE-T接口(作为HA口和管理口)以及4个SFP插槽和4个10/100/1000BASE-T接口;标配冗余双电源,默认电口具有两组BYPASS接口;默认含:企业版查杀病毒功能,包括企业版快速扫描防病毒查杀和企业版深度扫描防病毒查杀,含3年病毒库升级服务许可(快速+深度);为便于维护,所有扩展卡插槽均要求位于设备前面板,并且在维护现场即可进行扩展,无需返厂;可扩展至26个千兆端口(非combo光电互斥接口或共享交换接口);
系统要求
▲设备必须为专业的防病毒网关产品,非防火墙/下一代防火墙、UTM、IPS等具有防病毒功能模块的产品(提供产品web管理主界面截图并加盖原厂公章,同时出具网关防病毒类产品销售许可证书或公安部计算机病毒防治产品检验中心的检测报告);提供网关防病毒类产品销售许可证书(增强级)及公安部计算机病毒防治产品检验中心的检测报告;要求基于多核多平台操作系统,支持多核系统,提高硬件资源利用率,支持多操作系统引导,出于安全性考虑,多系统需在设备启动过程中进行选择,不得在web维护界面中设置操作系统切换项;设备内置快速扫描与深度扫描双病毒检测引擎,至少包含3年的病毒库升级服务许可。
性能
防火墙吞吐率:不小于12Gbps,最大并发连接数:不小于400W,病毒检测吞吐率:不小于6Gbps
病毒检测过滤功能
▲具有双库双引擎病毒检测扫描技术,可选择使用不同的病毒库,而且能够根据不同的被检测协议选择采用不同的扫描引擎(快速扫描引擎或深度扫描引擎);(提供产品相关功能截图并加盖原厂公章);
能够防御病毒、木马、蠕虫、间谍软件等恶意软件,且支持对压缩数据、加壳病毒的检测与处理;
支持对HTTP、FTP、POP3、 SMTP、IMAP等常用协议进行病毒检测与过滤;
可实时检测日益泛滥的蠕虫攻击,并对其进行实时阻断,从而有效防止内部网络因遭受蠕虫攻击而陷于瘫痪;(提供产品相关功能截图并加盖原厂公章);
支持TCP粘合技术,提升病毒检测效率;(提供产品相关功能截图并加盖原厂公章);
病毒引擎具备自动化的数据解压缩能力,无需手动配置,且至少具备15层的数据解压缩能力;(提供产品相关功能截图并加盖原厂公章);
支持信任站点;
支持IPv4和IPv6双栈协议的病毒扫描与检测过滤;(提供产品相关功能截图并加盖原厂公章);
支持智能检测应用协议的病毒行为,采用自动智能方式准确识别并扫描检测常用应用协议任意端口的病毒传输行为,而非通过传统手动配置协议端口绑定形式进行病毒扫描;(提供产品相关功能截图并加盖原厂公章);
▲要求对流行病毒检测率不低于98%,并提供国家专业病毒检测机构的证明;(提供产品相关功能截图并加盖原厂公章);
病毒库
要求病毒网关默认加载的流行病毒库总数大于600万,可本地化完成病毒地检测过滤与处理,无需发送到云端检测;
要求具有独立的蠕虫防护规则库,并可通过手动或自动方式进行升级;(提供产品相关功能截图并加盖原厂公章);
具有手机病毒特征库;(提供产品相关功能截图并加盖原厂公章);
病毒库提供商应通过VB100认证;(提供产品相关功能截图并加盖原厂公章);
病毒库提供商应通过ICSA认证;(提供产品相关功能截图并加盖原厂公章);
支持手动、本地和远程特征库升级,支持用户搭建升级服务器及自定义服务器地址;(提供产品相关功能截图并加盖原厂公章);
内容过滤
支持URL过滤方式阻止非法数据进入内部网络,并且能够针对“ActiveX”、“Java
Applets”及“Script”等控件实施拦截;
支持对邮件内容的过滤,至少具有邮件主题关键字过滤、附件名称过滤、带密码保护的附件过滤等;(提供产品相关功能截图并加盖原厂公章);
可自定义禁止传输的文件类型;(提供产品相关功能截图并加盖原厂公章);
支持基于IP地址黑白名单、邮件地址黑白名单的垃圾邮件过滤;
网络适用性
支持完全透明部署,即插即用,与客户端IP以及MAC地址、端口、认证方式等无关;当网络环境发生变化时,无需再调配病毒网关策略与配置,既可降低实施成本又可降低使用成本;
支持多接口可旁路的病毒监听检测模式,可并行监听检测多条链路、多个网段内的病毒传输行为;
支持多通道防护,可利用同一台病毒过滤网关实现多链路多区域的病毒防护,增强企业网络安全性并节省企业的防护成本;
(提供产品相关功能截图并加盖原厂公章);
维护与管理
支持中文、英文web管理界面;
支持管理主机地址限制;
具有双系统,且系统支持多核;
设备自身具有在线技术支持功能,便于外部人员远程进行设备维护管理,并且支持远程连接状态查看和手段断开;
提供完整的病毒日志、访问日志和系统日志等记录,并可根据日志数据生成图形化统计报表;
具有针对FTP流量的病毒检测过滤日志,且过滤日志能定位到具体的文件名,方便管理处理携带病毒的文件;
提供强大的监控功能,可以监控系统资源、网络流量、当前会话数、当前病毒扫描信息等;
支持即时报表和定时报表,报表可在线查看也可导出word文档;
支持病毒隔离功能,管理员可方便的管理隔离区,可选择把隔离区的内容删除,可选择将隔离内容发送到指定的多个邮箱进行后期的分析处理与取证;(提供产品相关功能截图并加盖原厂公章);
当出现病毒突然爆发状况时,可向网络管理员发送报警信息,需支持邮件报警、声音报警、SNMP等报警方式;
支持至少3个Syslog远程日志服务器,并且可将不同类型的日志发送到不同服务器;
支持配置文件的备份、下载、恢复与上传,可导出配置文件进行存档,也可定时自动上传到指定服务器进行存档;(提供产品相关功能截图并加盖原厂公章);
▲产品资质
(需提供证书复印件加盖厂家公章)
提供公安部颁发的计算机信息系统安全专用产品(网关防病毒类产品)销售许可证(增强级);
中国人民解放军信息安全测评认证中心-军用信息安全产品(网关防病毒类产品)认证证书(军B级);
病毒过滤网关IPv6 Ready2资质认证
软件产品登记证书
国家版权局-计算机软件著作权登记证书
▲厂商资质
(需提供证书复印件加盖厂家公章)
为保障项目的机密性,原厂商须具备涉密信息系统集成甲级资质;
为保证项目设计及集成能力,设备原厂商须具有通信行业安全设计与集成二级资质证书;
为保障厂商的售后服务水平,原厂商需获得ISO27001信息安全管理体系认证、TL9000认证、ISO9001质量管理体系认证、IS020000信息技术服务管理体系认证、IS014001环境管理体系认证;CMMI5认证;
为保证项目的应急响应能力,原厂商须具备网络安全应急服务支撑单位(国家级)资质;
为保证项目安全服务能力,设备原厂商须具备国家信息安全认证信息安全服务资质证书(安全工程类三级),信息安全等级保护安全建设服务机构能力评估合格证书;
为保证本项目后续的制造商培训能力,设备制造商须具备专业的信息安全技术培训能力,并取得权威的培训资质,应具有国家信息安全测评授权培训机构资质证书,具有(ISC)²官方授权培训服务提供商证书;
4. Web应用安全防护系统
指标
指标项
规格要求
设备基本要求
专用的硬件和软件保障
▲采用专用硬件架构与专用安全操作系统,基于操作系统内核的完全检测技术;硬件设备可以机架安装,产品必须为专业性 WEB
应用防火墙硬件设备,而非下一代防火墙\UTM 类设备集成的 WEB 防护功能;
硬件模块化设计
硬件采用模块化设计,可以通过扩展卡来增减业务接口,而非软件WAF
端口数量和扩展能力
1U机箱,最大配置为24个接口;默认包括2个可插拨的扩展槽和6个10/100/1000BASE-T接口和2个SFP插槽;接口支持Bypass,单电源;含3年特征库升级服务。内含SQL注入、XSS、CSRF等WEB攻击防护功能、URL访问控制功能、防盗链功能、WEB漏洞扫描功能、DDOS攻击防护功能、网页防篡改功能、服务器负载均衡功能、报表分析及告警功能;三年原厂质保服务;
MTBF
不少于450000小时
性能要求
最大吞吐能力
不小于5Gbps;
并发TCP会话数
不小于220万;
网络部署
部署方式
无IP纯透明模式串联部署、旁路监测模式部署、负载均衡模式部署、反向代理模式部署
▲串联部署时防护口不占用IP地址(提供产品相关功能截图并加盖原厂公章);
串联部署时服务器可以看到真实客户端源IP,而不是WAF的业务IP地址(提供产品相关功能截图并加盖原厂公章);
网络适应性
支持VLAN划分,支持多VLAN环境下trunk的部署
支持虚拟线无论任何网络环境可强制数据从一个接口转发到另一个接口(提供产品相关功能截图并加盖原厂公章);
物理接口支持子接口
支持链路聚合(Channel)部署,提高链路带宽;支持Trunk链路防护
支持自定义配置网络接口MTU、半双工模式、全双工模式等属性
支持静态路由及策略路由配置
支持ARP绑定
支持静态MAC地址表配置
支持服务器健康检查,可以实时监测服务器的活跃状态,并且可定期备份健康记录
支持IPV6协议
支持IPV6协议下邻居指定(提供产品相关功能截图并加盖原厂公章);
支持提取客户端真实IP头。自动尝试匹配X-Forwarded-For, X-Real-IP, Cdn-Src-Ip
用以获取真实客户端IP
支持网络层防火墙功能,支持源IP、源区域、目的IP、目的区域等条件的访问控制
攻击防护
HTTPS支持
支持HTTP/HTTPS站点防护(提供产品相关功能截图并加盖原厂公章);
协议合规检查
支持请求限制配置通过定义最大请求头长度、最大content-length、最大body长度、最大请求行长度、最大header行长度、最多cookies个数、最多header头个数、最大header长度等来对请用户数据做合规性检查
WEB安全防护
支持900+条以上的应用层规则(提供产品相关功能截图并加盖原厂公章);
应能识别和阻断SQL注入攻击,Cookie 注入攻击,命令注入攻击(提供产品相关功能截图并加盖原厂公章);
应能识别和阻断跨站脚本(XSS)攻击(提供产品相关功能截图并加盖原厂公章);
支持webshell等后门上传防护、支持对中国菜刀等工具对后门连接的阻断
支持对appscan、awvs等扫描器的扫描防护
支持远程文件包含、本地文件包含、目录遍历、信息泄露等攻击防护
支持HTTP参数污染攻击、00截断、Struts2命令执行等常见攻击防护
支持爬虫防护且用户可以根据需要可以自定义爬虫
支持盗链防护,且支持攻击源盗链例外配置,及目的服务器URI例外配置
应能识别和阻断跨站请求伪造(CSRF)攻击
支持IP黑白名单
支持暴力登录防护
支持对身份证、信用卡、手机电话号码、座机电话号码、邮箱地址等敏感信息做检查,当检查到此类数据后可通过配置特殊字符予以替换隐藏,防止信息泄露
支持对URL编码、多次编码等方式绕过WAF的编码方式进行识别,防止绕过
可对文件上传做控制,包括最多上传文件数、最大文件上传大小、可以通过对上传文件的扩展名、MIME类型及允许请求体编码类型等做上传控制
可对文件做下载控制,包括最大下载文件大小、禁止下载文件的扩展名、MIME类型等
检测到攻击后支持阻断、只检测等动作且动作为阻断时用户可自定义阻断页面
支持URI策略例外,可针对服务器上URL中的特殊URI地址做单独的策略控制
支持URI的访问控制功能,并且支持URI访问原地址过滤功能
支持自学习建模功能,可以通过学习正常URL参数的长度、参数类型、请求方法等数据特点创建白名单模型,如果参数违反白名单模型则认为是非法流量直接阻断,开启自学习建模功能后可生成自学习网站参数的自学习结果报告
支持虚拟补丁功能,支持导入appscan、w3af等第三方扫描器的扫描结果生成WAF的规则,对此类网站漏洞直接防护(提供产品相关功能截图并加盖原厂公章);
可停用或启用任意一条规则,当触发规则后可以制定针对该条规则的动作,包括阻断记录日志、阻断不记录日志、继续、警告、临时或永久跳转到某一重定向页面等动作(提供产品相关功能截图并加盖原厂公章);
https证书支持直接将证书内容填充到waf内使用,不用再上传或者转换证书使用
配置易用性
可以针对服务器IP地址进行防护,而不需要配置需要防护的网站域名(提供产品相关功能截图并加盖原厂公章);
支持域名自学习,可以自动学习网络中网站服务器的IP地址及此地址下的域名
DDoS攻击防护
支持基线学习,可以自动学习用户http正常流量阈值模型,并给出推荐阈值配置项(提供产品相关功能截图并加盖原厂公章);
对ddos流量支持检测清洗和强制防御两种模式,检测清洗根据是否到达阈值对流量进行清洗,强制清洗对所有流量直接进行流量清洗判断
支持针对每秒包数、每秒新建连接数、每秒并发连接数对HTTP/HTTPS Flood攻击做控制配置
支持对客户端在单位时间内的访问URI的次数做控制配置,防止特定URI路径被HTTP
Flood恶意ddos攻击访问消耗服务器资源导致服务器拒绝服务(提供产品相关功能截图并加盖原厂公章);
支持对SLOW HEADER和SLOW POST的等慢速ddos攻击的防护(提供产品相关功能截图并加盖原厂公章);
支持对HTTP/HTTPS
Flood攻击源的发包速度、源新建连接数、源并发连接数做源限速控制配置,且可以阻断攻击或者将攻击IP加入黑名单(提供产品相关功能截图并加盖原厂公章);
支持对HTTP/HTTPS
Flood攻击目的服务器的发包速度、源新建连接数、源并发连接数做目的限速控制配置,且可以阻断攻击或者将攻击IP加入黑名单(提供产品相关功能截图并加盖原厂公章);
支持对HTTP/HTTPS Flood攻击做重定向或验证码验证,将异常流量加入黑名单
网页防篡改
网关型网页防篡改,无需在服务器中安装任何插件,可以对动态网
站及静态网站文件内容进行防篡改,当检测到篡改后可以实时恢复篡改内容
WEB漏洞扫描
支持多种WEB应用漏洞的安全扫描检测,如SQL注入、跨站脚本、目录遍历等
支持自定义WEB漏洞扫描任务,支持对需要认证登录的web系统进行漏洞扫描,支持自定义每日、每周、每月等扫描周期设置
可导出web漏洞扫描报告,报告支持pdf,html,txt,xml等格式导出
负载均衡
支持多服务器的负载均衡,支持轮叫、加权轮叫、原地址散列、最小连接等多种负载均衡算法
能配合现有的负载均衡设备协同工作,支持任意部署,而不影响客户现有拓扑
数据分析
网络数据分析
▲Web界面可以直观查看WAF扩展卡、接口、USB口、管理口、HA口及业务口的运行状态(提供产品相关功能截图并加盖原厂公章);
可以查看使用业务接口的上下行实时流量
可以查看通过WAF的所有IPV4及IPV6客户端和服务器IP地址及端口连接数及状态(提供产品相关功能截图并加盖原厂公章);
可以实时查看设备并发连接数、每秒事务数及HTTP应用层吞吐率等数据并以可视化的方式展示(提供产品相关功能截图并加盖原厂公章);
设备运行数据分析
可以实时查看设备CPU、内存、硬盘等自身使用率情况
日志报表数据分析
日志支持以syslog和welf两种格式向远端日志服务器发送日志
日志传输可加密,且管理员可以配置加密密码
支持系统日志、管理员登录日志、调试日志的记录
流量日志(访问日志)支持记录包括时间、客户端IP、客户端端口、服务器IP、服务器端口、协议类型、服务器IP地址、访问的URL地址、请求方法、服务器响应、接口及发送数据大小等相关信息
攻击日志支持记录包括时间、严重程度、客户端IP、客户端端口、服务器IP、服务器端口、协议类型、时间类型、触发规则ID、解决建议、处理动作、攻击请求头等相关信息
支持防篡改日志及抗DDOS日志的记录
日志支持多条件与查询,支持CSV及XML格式的日志导出,日志支持清空配置
支持每种攻击时间类型及次数的统计并以柱状图等形式直观展现
支持最近一小时、一天、三十天等多种条件内攻击源IP攻击次数及攻击分布TOPN的统计
系统管理
系统管理
支持SSL的WEB界面、SSH、Console多种方式管理
支持手工设置时间、本地同步时间、和NTP服务器同步时间
支持ping、TRACEROUTE、TCP、HTTP、DNS、抓包工具等多种故障诊断方式
支持SNMP的V1、V2、V3管理,支持SNMP陷阱主机功能
支持WAF本机DNS域名解析
支持WAF配置文件导入、导出及恢复出厂配置
支持操作系统WEB方式升级及命令行等方式的离线升级
支持规则库的在线升级和离线升级
支持攻击日志邮件告警,可以定时将特定攻击类型的攻击日志间隔定一定时间后定时发送至指定邮箱
支持攻击报表邮件告警,可以定时将攻击报表间隔定一定时间后定时发送至指定邮箱
告警邮件支持明文传输、支持starttls认证传输、支持ssl的加密传输
支持短信告警
账号及认证管理
支持帐号创建、帐号授权、帐号属性修改、帐号删除等账号管理功能
支持用户身份认证,用户切换角色时,必须进行重新认证
支持超时重新认证机制并能够定义用户认证尝试的最大允许失败次数
支持账号策略自定义,支持定义允许最大登录失败次数、密码错误账号锁定时间、最大在线管理员数、对其他非法在线管理员强制下线、防管理员账号暴力破解(提供产品相关功能截图并加盖原厂公章);
高可用性
双机热备
支持双机热备,主备模式、主主负载均衡模式、连接保护模式(主主模式下一边断了,会话表会同步到另一边数据不丢包)
支持两台WAF配置同步(提供产品相关功能截图并加盖原厂公章);
支持同一台WAF上下接口状态联动(一个接口down另外一个接口也同步down) (提供产品相关功能截图并加盖原厂公章);
两台WAF路由模式接入、两台WAF纯透明交换模式接入
硬件Bypass功能
支持开机及断电bypass模式,光口支持外置bypass模块
资质要求
▲产品资质
(需提供证书复印件加盖厂家公章)
中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》
中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》
中国信息安全认证中心颁发的《IT产品信息安全认证证书》
国家保密科技测评中心颁发的《涉密信息系统产品检测证书》(专业WAF类)
中华人民共和国国家版权局颁发的《计算机软件著作权登记证书》
中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》(军B级)
OWASP颁发的《web应用防火墙认证证书》
IPV6金牌证书(专业WAF类)
国家信息安全测评信息技术产品安全测评证书(EAL3+)
▲厂商资质
(需提供证书复印件加盖厂家公章)
为保障项目的机密性,原厂商须具备涉密信息系统集成甲级资质;
为保证项目设计及集成能力,设备原厂商须具有通信行业安全设计与集成二级资质证书;
为保障厂商的售后服务水平,原厂商需获得ISO27001信息安全管理体系认证、TL9000认证、ISO9001质量管理体系认证、IS020000信息技术服务管理体系认证、IS014001环境管理体系认证;CMMI5认证;
为保证项目的应急响应能力,原厂商须具备网络安全应急服务支撑单位(国家级)资质;
为保证项目安全服务能力,设备原厂商须具备国家信息安全认证信息安全服务资质证书(安全工程类三级),信息安全等级保护安全建设服务机构能力评估合格证书;
为保证本项目后续的制造商培训能力,设备制造商须具备专业的信息安全技术培训能力,并取得权威的培训资质,应具有国家信息安全测评授权培训机构资质证书,具有(ISC)²官方授权培训服务提供商证书;
5. 数据库防火墙
指标项
指标规格要求
部署方式
支持旁路部署方式和串联部署方式。
支持本地探针部署方式和远程探针部署方式。
支持双机部署方式。
数据库兼容性
支持Oracle、MSSQL、DB2、Sybase、Informix、MYSQL、金仓、神通、达梦等主流数据库审计。
硬件要求
2U机箱,标配双电源;高性能 CPU、≥1T硬盘、≥16G内存;
![· PDF file[INPA] 第 3 页 共2 页 needs 6 seconds to scan out all trouble codes of the car which has CANBUS gateway communication, such](https://img.pdfslide.tips/doc/110x75/5abb64487f8b9af27d8cb206/inpa-3-2-needs-6-seconds-to-scan-out-all-trouble-codes-of-the-car.jpg)
