1、濉溪县不动产登记信息平台安全“等级保护”项目采购需求采购编号:SXZC-HGK18078 序号 货物名称 技术参数 数量 单价 金额1 综合安全网 关1:标准机架设备;标配 18个 10/100/1000M Base-TX和 12个 SFP光口插槽,默认支持 IPSec VPN;默认支持上网行为管理模块;并发连接数 250万,最大吞吐量8Gbps,并发连接数220 万,每秒新建连接数5 万;2:支持系统主要防护功能的统一化模版设置,模版分为高、中、低三个级别,分别对应不同防护强度,可通过 Web界面单击选择切换及通过外置按键一键切换(截图以及外置按键面板照片证明) ;支持一体化安全策略配置,可
2、以通过一条策略实现用户认证、IPS、AV、URL 过滤、协议控制、流量控制、并发、新建限制、垃圾邮件过滤、审计等功能,简化用户管理(提供配置界面截图) ;3:必须支持基于动态端口应用协议的策略路由,能够为不同的应用类型智能选择相应的运营商网络、必须支持基于 web地址的策略路由,能够将不同类型的网站流量智能分配到不同的运营商网络、必须支持基于文件类型的策略路由,能够将预定义或者自定义的文件按照不同的分类进行智能选路(提供以上参数配置界面截图)4:必须支持 IPv4和 IPv6双栈协议下的入侵检测与防护、支持多接口的攻击行为监听检测方式,可并行旁路检测多个网段内的网络攻击行为,用于高可靠性要求的
3、旁路应用环境(提供截图) ;5:支持 IPv4和 IPv6双栈协议下的病毒扫描与防护、支持多接口可旁路的病毒文件传输监听检测方式,可并行监听并检测多个网段内的病毒传输行为,用于高可靠性要求的旁路应用环境(提供配置界面截图) ;1台26:Web 安全:必须可对 SQL注入攻击行为进行防护、具备对 XSS跨站脚本攻击行为的防护能力;7:支持用户的 AD域和 POP3登陆认证单点登录,支持自定义单点登录监听端口(提供配置界面截图) ;支持用户可配置的 WEBUI接口,提供多套皮肤设置(提供配置界面截图) ;8:产品具备一体化安全网关公安部销售许可证(增强型) 、国家密码管理局防火墙商用密码产品型号证
4、书(非 VPN产品型号证书) 。9:产品原厂商需具备国家级网络安全应急服务支撑单位 、 信息安全服务资质证书(安全工程类三级) ;原厂商需具备信息安全服务资质(安全开发类一级) ;厂商必须具有攻防实验室,具备独立的漏洞研究能力及积累,自主发现的 CVE漏洞数量不少于 124个,需提供列表清单及查询链接以验证;请提供自主发现的 CNNVD安全漏洞列表及证书,要求数量不少于 30个;所投品牌必须是下一代防火墙国家标准制定者之一,提供证明。2 防火墙1:支持多系统(3 个)引导,并可配置启动顺序;多系统设置可在 Web界面上完成全部操作(提供配置界面截图) ;标准机架设备;标配 18个 10/100
5、/1000M Base-TX和 12个 SFP光口插槽;最大吞吐量5Gbps,并发连接数230 万,每秒新建连接数4 万;2:支持系统主要防护功能的统一化模版设置,模版分为高、中、低三个级别,分别对应不同防护强度,可通过 Web界面单击选择切换及通过外置按键一键切换(截图及外置按键面板照片证明) ;3:支持 IPv4和 IPv6双栈协议下的入侵检测与防护、支持多接口的攻击行为监听检测方式,可并行旁路检测多个网段内的网络攻击行为,用于高可靠性要求的旁路应用环境(提供配置界面截图) ;支持 IPv4和 IPv6双栈1台3协议下的病毒扫描与防护、支持多接口可旁路的病毒文件传输监听检测方式,可并行监听
6、并检测多个网段内的病毒传输行为,用于高可靠性要求的旁路应用环境(提供配置界面截图) ;4:Web 安全:必须可对 SQL注入攻击行为进行防护、具备对 XSS跨站脚本攻击行为的防护能力;5:支持用户的 AD域和 POP3登陆认证单点登录,支持自定义单点登录监听端口(提供配置界面截图) ;支持用户可配置的 WEBUI接口,提供多套皮肤设置(提供配置界面截图) ;6:产品具备防火墙系统公安部销售许可证、 信息技术产品安全测评证书-EAL4+级别 、产品测评证书、国家密码管理局防火墙商用密码产品型号证书(非 VPN产品型号证书) 。7:产品需具备国家级网络安全应急服务支撑单位 、信息安全服务资质证书(
7、安全工程类三级) 、具备涉密信息系统集成(软件开发)单项资质;需提供列表清单及查询链接以验证;请提供自主发现的 CNNVD安全漏洞列表及证书,要求数量不少于 30个;所投品牌必须是下一代防火墙国家标准制定者之一,提供证明;3 防病毒网关1、支持多系统(3个)引导(提供截图),并可配置启动顺序,支持系统分区备份,支持将系统 A克隆至系统B;具有模版式配置管理:支持主动防御功能模块、支持病毒防护功能模块、支持系统主要防护功能的统一化模版设置,*模版分为高、中、低三个级别,分别对应不同防护强度,*可通过 Web界面单击选择切换及通过外置按键一键切换(提供功能截图以及外置按键面板照片证明); 2、基于
8、专用多核处理器硬件架构,标准机型;标配18个10/100/1000BASE-T 接口和12个 SFP光口;整机吞1台4吐量不小于5Gbps,最大并发不小于3800,000,延时不高于200US;3、支持无 IP地址的透明桥下的网络病毒检测模式,支持 VPN 模式下的病毒扫描;支持 IPv4和 IPv6双栈协议下的病毒扫描与防护(截图证明) ;4、支持病毒感染主机分析与隔离,防止病毒进一步扩散,提高网络整体安全性;病毒库不少于300万种病毒特征,支持根据用户需求自定义病毒特征,病毒特征安全可控,要求具备自主研究分析病毒特征的能力;采用双病毒防护引擎(提供界面截图证明) ;支持基于病毒防护规则设置
9、病毒隔离(仅在全面扫毒模式下,且为全局配置) 、阻断、清除、记录日志,发送电子邮件报警等。支持基于策略的病毒扫描与防护,可针对不同的源目 IP地址、源 MAC地址、服务、时间、安全域、用户等,采用不同的病毒防护策略(截图证明) ;支持隔离病毒源地址,防止病毒源主机访问内部网络,提高网络整体安全性(截图证明) ;5、产品厂商资质:具备涉密信息系统集成(软件开发)单项资质和信息安全服务资质(安全开发类一级) ;产品原厂商需具备环境管理体系认证证书(ISO14001:2004)具有中国国家信息安全漏洞库(CNNVD)技术支撑单位一级证书信息安全服务资质证书(安全工程类三级) 4 入侵防御系 统 IP
10、S1、标准机架式;6 个 10/100/1000 Base-T电口和 1个扩展插槽,至少支持 4路硬件 BYPASS;含嵌入式软件一台,千兆检测引擎软件一套,NGIPS 数据中心软件一套,最大吞吐量不小于 5Gbps。并发连接数不少于 300万/S2、入侵防御事件库事件数量不少于 4000条(提供截图) ;支持入侵防御事件库在线自动升级和手工导入,入侵事件特征库升级频率不少于一周一次;3、支持无线攻击检测和防护功能扩展(提供截图) ,可手工或自动识别和区分内部 AP和外部 AP,也可以手工1台5或自动识别合法终端,并基于此设定无线准入策略,通过射频信号阻止非法 AP、终端的接入。支持无线扫描、
11、欺骗、DoS、破解等常见无线网络攻击行为的检测、告警、阻断功能,同时支持多种类型流氓 AP的检测与阻断(提供截图)4、系统应内置未知恶意代码检测引擎,能检测流经的http、ftp、邮件协议中包含的 office文档、图片文档及压缩文档中的未知恶意文件,报警信息应包括源目的IP、协议类型、文件基本信息、检测方法、危险等级及文件的应用的详细信息(如邮件的发件人、收件人、标题等) ,方便跟踪恶意文件(提供截图) ;支持对国内流行木马的检测及防御功能;提供 SQL注入攻击、XSS 攻击的检测和防御,对 Web服务系统提供保护(要求提供SQL注入攻击、XSS 攻击的检测和防御技术(提供截图)5、系统应支
12、持多种防 web扫描能力,包括爬虫、CGI和漏洞扫描等,并支持设置至少 5个不同级别的扫描容忍度/扫描敏感度(提供截图) ;系统应支持 Web过滤功能,至少支持黑白名单、关键字过滤、禁止 HTTP代理、URL分类过滤外,还支持 Script、 Java Applet 等过滤,并能通过统一模版设置(提供截图) ;具备涉密信息系统集成(软件开发)单项资质和信息安全服务资质(安全开发类一级) ;产品需具备环境管理体系认证证书(ISO14001:2004)需具有通信网络安全服务能力评定证书(风险评估二级)信息安全服务资质证书(安全工程类三级) 5 上网行为管控系统设备1、1U 标准机架式,专用硬件平台
13、和安全操作系统,4个 Combo口+10GE(电),存储容量 500G。提供三年的免费软件升级服务;2、部署方式:支持两台设备同时做主机的部署模式,支持双机热备的自动切换链路,支持抢占模式和非抢占模式(提供截图,如功能与截图不符,将视为虚假应标)3、支持安装向导功能,用户可以按照设备提示进行产品配置(需提供截图证明) ;4、支持 bypass功能,保障设备故障时,不影响网络使用;(以上需提供截图证明) ;支持本地升级 URL分类库、应用识别库、软件版本、系统平台;支持升级日志查询(以上需提供截图证明) ;支持 PPPoE拨号功能;1台6(以上需提供截图证明) ;支持带宽租借功能。即,在保证带宽
14、和最大带宽的前提下,结合应用优先级的控制,高优先级可以租借低优先级通道的带宽,从而保证带宽得到合理、高效的使用(以上需提供截图证明) ;支持小包阻断,可实现对微博的控制和审计(以上需提供截图证明) ;在不安装客户端的情况下,支持雅虎通、ICQ、飞信、MSN 的聊天内容记录;提供当前在线用户信息;提供在线用户的会话信息;提供在线用户的应用排行;支持手动控制用户下线;提供在线用户的多终端接入信息,显示多终端具体类型,即用户是否有私接行为;必须支持控制在线用户的临时锁定功能,并且可定义锁定时间;必须支持本地升级 URL分类库、应用识别库、软件版本、系统平台;必须支持浏览权限、配置权限、执行权限三种操
15、作权限(提供截图)。6 服务器安全 加固软件1. 品牌:国产品牌;2. 要基于分权管理模式,不同的管理员账户具备不同权限分配,运用 USB-KEY和静态口令对用户进行双重认证。4.提供对文件/目录和系统用户指定安全级别,不同安全级别用户具备不同的文件/目录访问控制权限,提供软件功能截图说明。5.文件完整性检测,通过记录和对比指定目录中所有文件的基本属性及内容校验和来进行完整性检测,识别被篡改文件,提供软件功能截图说明。6.提供进程访问控制功能,防止非法用户终止进程,具备内核注册表访问控制,有效管理注册表配置进程读写安全策略,提供软件功能截图说明。4套7 数据库审计 系统1、审计系统采用独立硬件
16、,内置审计数据的存储空间不得少于 1T;2、 产品至少配置 6个千兆电口,审计系统审计事件每秒入库速度至少在 6000条/秒以上,日处理审计事件数1台7至少 1000万条;3、支持 MongoDB数据库的审计。需提供截图证明。4、 采用 B/S管理方式,无需在被审计系统上安装任何代理,下级控制台(数据中心)可以设置接受上级管理,上级控制台(数据中心)可以查看所有下级的拓扑和状态,上级控制台(数据中心)可以为下级生成报表,上级控制台(数据中心)可以为下级下发审计对象;5、 至少支持 Oracle数据库审计、SQL-Server 数据库审计、DB2 数据库审计、Informix 数据库审计、Syb
17、ase数据库审计、MySQL 数据库审计、PostgreSQL 数据库审计、Teradata 数据库审计、Cache 数据库所审计、人大金仓数据库的审计、达梦数据库的审计、南大通用数据库的审计、网络邻居审计、NFS 协议审计,提供截图证明;6、 支持对针对数据库的 XSS攻击、SQL 注入攻击行为进行审计。需提供截图证明;支持 IP-MAC绑定变化情况的审计。需提供截图证明。7、支持基于场景的操作异常分析;可直观展现数据库异常、异常账号的访问、同账号多 IP登录、上下班操作量对比异常、操作响应时间超时等信息;需提供截图证明。8、数据库访问日志,支持按数据库名、数据库表名、字段值、数据库登陆账号
18、、数据库操作命令、数据库返回码、SQL 响应时间、数据库返回行数作为查询和统计条件;9、支持连接外置存储,以扩展日志存储能力;10、产品需为成熟稳定并经市场考验的产品,产品市场在售时间不小于 5年;11、产品具有国家信息安全评测 EAL3+证书(产品具有IPv6 Ready logo Phrase 2认证8 运维堡垒机1、设备采用专用安全操作系统,标准机架式设备。至少配置 6个千兆电口和一个扩展插槽(可扩展 2个万 1台9兆接口) 。设备自带内部存储容量不小于 1T;设备最大并发字符协议不低于 700个,最大图形协议不低于 200个,可同时管理设备数不低于 500个,本次要求配置不少于 55个
19、被管资源授权许可;2、需支持的协议审计类型:字符协议包括:SSHv1、SSHv2、TELNET、RLOGIN、TN5250(AS400) ;图形协议包括:RDP、VNC;文件传输协议包括:FTP、SFTP;数据库协议包括: Oracle、MS SQL Server、IBM DB2、Sybase、IBM Informix Dynamic Server、MySQL、PostgreSQL 等;(提供截图) ;支持目标资源访问方式:支持通过堡垒机 web页面内嵌Ssh、Ftp、Telnet、RdpVnc 运维工具访问目标资源(提供截图) ;RDP 协议支持 windows服务端开启安全层SSL加密,加
20、密级别符合 FIPS标准,允许运行使用网络级别身份验证的远程桌面的计算机连接(提供截图) ;3、具备身份认证及访问授权功能:具备本地账号+密码认证功能(提供截图) ,具备其它认证支持AD/RADIUS/LDAP(提供截图) ;深度解析:oracle,postgresql,sybase,mysql,sqlserver数据库下行返回行数和 oracle数据库变量绑定(提供截图) ;4、基于用户、目标设备、系统帐号、协议类型、生效时间范围、IP 地址限制等设置访问控制策略(提供截图);运维用户多次登录失败自动锁定账号功能(提供截图);支持通过应用发布进行协议审计,记录命令详情,包括字符协议和数据库协
21、议等,审计回放支持协议回放和图形回放(提供截图)5、随机生成不同密码、随机生成相同密码以及手工指定相同密码的密码策略,并严格遵守密码强度设置(提供截图) ;支持用户客户端 IP和 MAC限制,非法地址无法登录(需提供截图) ;支持修改系统自身对外提供服务的默认端口,以满足不同环境的部署要求(需提供截10图)6、产品需具备:1)公安部信息安全产品销售许可证(增强级) 、ISCCC 信息安全产品强制认证证书(增强级)、IPv6 Ready 认证证书,提供认证证书复印件;备注:需保证设备间的兼容性。9 漏洞扫描系 统1、接口配置:6 个扫描电口和 1个扩展插槽(可扩展 4个万兆口) ,2 个 USB
22、接口;至少可扫描 300个 IP地址,具体 IP地址不限,并发扫描 40IP。产品源厂商应具备多年的漏洞研究经验和专业的攻防技术研究团队,具备独立漏洞发掘的能力。请提供自主发现的 CVE安全漏洞列表,要求数量不少于 124个。请提供自主发现的CNNVD安全漏洞列表及证书,要求数量不少于 30个。2、漏洞扫描方法应不少于 19000 种。集成系统漏洞扫描、Web 应用扫描、配置核查于一体;支持扫描 IPv6环境中的设备、系统(提供截图证明) ;支持云平台扫描,漏洞覆盖 OpenStack 、KVM、Vmware、Xen 等主流的云计算平台(提供截图证明) ;支持 python的多个模块的漏洞扫描
23、,如 audioop模块 、audioop 模块 、rgbimg模块的漏洞(提供截图证明) 。支持对主流数据库的识别与扫描,包括:Oracle、Sybase、SQL Server、DB2、MySQL 等,能够扫描的数据库漏洞扫描方法不小于 800种(提供截图证明) ;支持云计算平台扫描策略(提供截图证明) ;报告中的漏洞应具备统一的CVSS国际标准评分,以准确衡量漏洞的危险级别,为漏洞修补工作的优先级提供指导。支持实时提醒当前的系统消息,包括报表下载消息、升级内容消息、日志下载消息等(提供截图证明) 。3、应支持漏洞验证功能,在扫描结束后,能够对结果中的重要漏洞进行现场验证,展示漏洞利用过程和
24、风险(提供截图证明) 。应支持 Ping、HTTP、GET 请求等网站安全监控功能(提供截图证明) 。1台124、支持 TELNET、SSH、SMB、RDP、WinRM 协议的安全基线配置检查方式;支持对主流网络设备的安全配置核查,包括:cisco 交换机、华为交换机、H3C 交换机、力腾交换机 、锐捷交换机、cisco 路由器、华为路由器、H3C路由器、juniper 路由器;支持 Wlan设备安全配置核查,包括:邦讯、H3C、中兴、国人、 、思科、傲天、华为、大唐;在建立核查任务时支持从“资产库获取、IP段添加、Excel 导入”方式添加核查设备。 (提供截图证明) ;5、支持对数据库和中
25、间件设备安装路径自动探测功能。(提供截图证明) ;密码文件读取:系统提供密码文件模版下载功能,在建立核查任务时提供导入功能,系统读取设备信息后保存在内存中,在任务执行完毕后销毁,做到一次性使用。 (提供截图证明) ;6、产品资质:产品具有中华人民共和国公安部颁发的计算机信息系统安全专用产品销售许可证 ,要求为增强型;产品具有中国信息安全测评中心颁发的信息技术产品安全测评证书 ,级别 EAL3+;中国信息安全认证中心的中国国家信息安全产品认证证书 ,要求为增强级;10 日志审计系 统1、日志采集:支持 SNMP Trap、Syslog、ODBCJDBC、文件文件夹、WMI、FTP、SFTP、NetBIOS、OPSEC 等多种方式完成日志收集功能.;系统必须采用基于浏览器的用户界面,至少支持 IE与 Firefox。为了适应不同用途,用户可以对界面颜色进行选择调整2、资产管理:系统提供基于资产的拓扑视图,可以按列表和拓扑两种模式显示资产拓扑节点【必须提供截图】;可查看每个资产设备本身产生的事件信息、关联告警信息,并且支持向下钻取,直接进入事件列表、关联告警列表;能够根据收到的事件的设备地址自动识别新的资产。拓扑视图可以显示被审计资产之间的网络连接关1套
