1、 采购清单 (网络设备) 序号 设备 名称 技术参数 数量 备注 1 防火墙 1. 与 原有防火墙 实现 HA。 2. 硬件架构:采用非 X86 多核架构,处理器最低配置为 10 核(需说明处理器品牌及型 号 ) ,4G 内存。 3. 接口扩展:扩展插槽 2 个,接口可扩展到 4 个万兆接口 +28 千兆接口,支持硬件电口 Bypass 卡,需提供 Bypass 卡配置截图。 4. 性能指标:吞吐量 5G,最大并发连接数 400 万,每秒新建连接数 8 万。 5. 入侵防御:可识别应用层协议数量 5000 种,基于协议检测支持协议自识别基于协议异常检测,此参数需提供 功能截图。 6. Web
2、安全: Web 病毒防护,提供基于 HTTP/HTTPS/FTP 的内容及病毒检测,此参数需提供功能截图。 7. 日志审计:提供对流量日志、威胁日志、会话日志、策略命中日志等的审计功能,提供满足公安部 82 号令要求日志存储,此参数需提供功能截图。 8. IPv6:支持 IPv6 协议栈和 IPv6 穿越技术,此功能需提供 Ipv6 证书复印件。 9. 虚拟防火墙:支持对每个独立的虚拟防火墙,设置不同的资源,包括会话数、策略数等,此参数需提供功能截图。 10. 动态 VPN:支持动态 VPN,分支之间动态建立 IPSEC 连接,提供 IPSEC VPN级联架构,此参数需提供功能截图。 11.
3、配置管理:支持中文 WEB 界面管理及命令行管理,支持基于 SSL 协议的远程安全管理,命令行管理支持中文帮助。 12. 设备性能:提供 ISCCC 信息安全一级服务资质认证证书、 ISO27001 信息安全管理体系认证证书复印件和 CMMI5 证书 复印件 。 13. 配置 维护 要求: ( 1) 提供设备默认固化 8 个 GE 电口, 4 个 GE 光口, 冗余交流供电 。 ( 2) 提供 4000 条 Ipsecvpn, 100 个虚拟防火墙授权,提供整机线速流量的分析工具。 ( 3) 提供免费升级维护。 1 台 2 上网 行为管 理 技术参数: 1. 标配 6 个千兆以太网电口 +2
4、个 SFP 光口插槽, 自带存储容量 500G; 最1 台 大在线用户数 600 人。 2. 采用多核多平台并行安全操作系统,提供著作权登记证书。支持路由、透明(需支持多桥组)、旁路三种部署方式。 3. 支持 URL 库和应用协议库的自动与手动更新,支持自定义更新时间计划,避开业务高峰。 4. 支持自定义 URL 自动跳转,可根据用户访问不同的 URL 地址,分别重定向到不同的 URL,具有 IPSEC ,L2TP VPN 功能(提供截图)。 5. 支持 IP 即插即用功能,实现对用户上网 PC 的 TCP/IP 参数 零配置 ,即不论内网 PC 终端是否已配置正确 IP、未配置 IP 以及是
5、否配置代理上网等,均可正常访问互联网(提供截图)。 6. 在启用 QQ 封堵策略后,灵活设置允许部分 QQ 号码不限终端、不限网段、不限用户、不限时间进行正常使用。 7. 支持 Web 推送功能,支持自定义推送次数、针对具体 IP 推送、制定用户访问某些网站才推相应的页面,具有对特权用户提供免审计 Usb-key 功能,以解决过度审计的问题。 8. 产品资质:公安部销售许可证(增强级),涉密信息系统产品检测证书。 所供商品须和运维安全审计为同一品牌 3 网页 防篡改 硬件及性能要求: 1. 吞吐量 3Gbps,七层吞吐量 200Mbps,并发连接数 130 万,每秒新建连接 8 万, 4 个千
6、兆电口,管理端口 1 个, 2 个 USB2.0 标准接口,硬盘不小于 320G,多核 X86 架构,标准硬件机架。 2. 具备一体化安全防护能力,包含防火墙、服务器防护、 WEB 防护、网页防篡改、应用协议识别、 URL 过滤功能。(提供功能概要截图) 3. 产品必须为第二代应用防火墙,必须为 公安部第二代防火墙入围品牌 。(提供证明文件) 管理要求: 1. 识别 1000 多种网络应用协议、 2400 多种应用动作,支 持应用更新版本后的主动识别和控制功能(提供界面截图证明及自主知识产权证明); 2. 支持基于应用识别类型、用户名、接口、安全域、 IP 地址、端口、时间进行应用访问控制列表
7、的制定 (提供界面截图 ) ; 3. 支持对终端发生的危险行为 (木马、间谍软件、垃圾邮件发送 )进行统计和报表输出 (提供界面截图 ); 1 套 Web 防护要求: 1. 能够过滤 web 行为,包括 HTTP GET、 POST、 UNLOCK、 HEAD、 PUT、 LOCK、 CONNECT、TRACE 等 15 种以上行为;能够过滤上传和下载文件;能够过滤 ActiveX 控件、过滤危险脚本等 威胁 (提供界面截图 ); 2. 可基于防泄密特征库定义敏感信息,内置常见敏感信息的特征,且可自定义敏感信息特征,如用户名、密码、邮箱、身份证信息、 MD5 密码等,防止攻击者结合 APT 组
8、合攻击信息数据库进行“拖库”、“暴库” (需提供截图证明 ) 3. 支持 FTP / MySQL / ORACLE / MSSQL / SSH / RDP / 网上邻居 /NetBIOS/VNC等多种应用的弱口令评估与扫描(提供界面截图) 4.数据中心:设备必须支持内置数据中心(需提供截图证明并加盖原厂商公章) 5.必须是微软“ MAPP”会员 ,攻击特征库必须获得 CVE 兼容性认证(提供截图证明); 6.支持实时漏洞检测分析,实时漏洞库不小于 1000 种,通过流量镜像,检测主要业务区系统安全漏洞 (需提供截图证明 ) 网页防篡改要求: 1. 无需在服务器上安装任何插件、并在网关处实现网页
9、防篡改,实时杜绝篡改后网页被访问的可能性;杜绝使用 Web 方式对后台数据库的篡改;支持在网页被篡改后将访问重定向到 web 备份服务器 (提供界面截图 ); 2. 至少支持文件 /特征码 /网站元素 /数字指纹等比对方式,支持不同网页类型各级页面的模糊框架匹配和精确匹配等方式,实时检查篡改行为; 全面保护网站静态和动态网页,支持网页自动发布、篡改检测、应用保护、警告和自动恢复; (提供界面截图 ) 3. 支持短信报警、邮件报警、控制台报警等多种篡改后的报警方式 (提供界面截图 ) 服务器保护要求: 1. 支持 Web 服务隐藏,包括 HTTP 响应报文头和 HTTP 出错页面的过滤;且 we
10、b 响应报文头可自定义 (提供界面截图 );支持 FTP 服务隐藏,包括服务器信息、软件版本信息等 (提供界面截图 ); 2. 支持 web 站点扫描、 web 站点结构扫描、漏洞扫描等扫描防护; (提供界面截图 ); 3. 支持 OWASP 定义 10 大 web 安全威胁,能够保护服务器免 受 Web 攻击,如 SQL注入防护、 XSS 攻击防护、 CSRF 攻击防护,防护能力需获得 owasp 四星认证 (提供证明文件 ); 资质要求:(需提供资质证明) 1. 厂商环境质量体系需通过 ISO 14001 认证 2. 公安部销售许可证 3. 产品需获得国家保密科技评测中心涉密信息系统资质检
11、测报告 4.具有国密办商用密码产品生产定点单位证书 5.国家信息安全测评中心安全服务资质(安全工程类一级) 服务要求: 提供免费升级维护。 4 运维安全审计 1、 产品形态: 专用千兆多核硬件平台和安全操作系统 , 获得高性能一体化智能安全处理 引擎软件著作权登记证书 2、 部署方式: ( 1) 旁路部署;支持 HA 双机热备、支持分级 /群集部署; ( 2) 支持 多机部署智能负载均衡(对当前资源占用情况进行智能化分配调度) ,提供功能截图 3 产品性能 ( 1) 并发会话数:字符协议不低于 650 个;图形协议不低于 380 个;本次配置 30 个主机 /设备审计节点许可 ( 2) 硬盘存
12、储容量不低于 500G,物理内存不低于 8G ( 3) 网络接口:至少 4 个千兆电口 ,可扩展 SFP 光口插槽 ; 4 支持协议 ( 1) 字符协议: SSH、 TELNET ( 2) 图形协议: RDP、 VNC、 X11 ( 3) 文件传输协议: FTP、 SFTP ( 4) 数据 库: ORACLE、 MSSQL、 Sybase、 Mysql、 DB2、 Informix 等数据库远程访问协议 ( 5) 其他:支持通过外置应用发布进行协议扩展,支持定制开发其他访问协议及第三方客户端工具 ( 至少支持 PL/SQL、 TOAD、 SQL *PULS、SQL Server Managem
13、ent Studio),提供功能截图 5 支持主机: 设备类型: Windows 类主机、域控主机、域控内主机、 Unix 类主机、 Linux 类主机、各种网络设备、安全设备、网元、数据库、 Web 应用等 1 套 所供商品须和上网行为管理为同一品牌 6 产品功能 A 目标资源访问方式: (1) Web 页面方式: 支持通过堡垒机 web 页面内嵌运维工具访问目标资源 Web 页面内嵌 RDP 协议管理工具,支持剪切板、本地磁盘映射、自定义窗口分辨率、全屏自适应 Web 页面内嵌 SecureCRT、 FTP/SFTP、 VNC/X11 管理工具 (2) CLI 菜单选择方式: 使用 SSH
14、安全字符管理页面访问堡垒机系统即可显示用户当前具有访问权的资源列表,通过字符菜单选择方式直接访问目标资源,提供功能截图 ( 3)客户端直连方式: 不改变用户使用习惯,无需登录 Web 页面启用单点登录控件 ,可联动本地SecureCRT 实现透明的单点登录方式,可生成 SecureCRT 会话文件并能够导出至本地使用。 系统支持 SSH 单点登录后,支持自由切换被授权的内部账号(代替命令),自动完成授权检测及密码代填。提供功能截图 系统支持 SSH 协议 rz/sz 文件传输命令,提供功能截图 提供定制第三方客户端工具访问方式的服务 ( 4)半自动 /手动登录方式: 支持“半自动”登录方式,即
15、首次登录目标设备时堡垒机将自动代填已授权账号,对应密码需手动输入,后续登录时无需再次输入 支持“手动”登录方式:每次登陆目标设备均需输入 密码信息,此方式用于临时授权 B 身份认证与访问授权 (1) 堡垒机身份认证方式:本地认证、 RADIUS 认证、 LDAP 认证、 AD 域认证 支持扩展认证方式,可与广东 CA、北京 CA、吉大正元、飞天诚信等证书进行联动认证,支持智能卡、人体特征(指纹、视网膜等)、动态令牌等认证方式 (2) 支持临时授权功能:可申请目标设备的临时访问授权;临时授权可限制授权协议、账号及生效时间等;临时授权申请方式支持通过 Web 页、邮件及短信(短信网关及短信猫)的方
16、式呈交对应设备负责人审批,提供功能截图 (3) 支持访问限制,即同一时间只接受一个 IP 访问 , 支持 IP 集管理,支持按 IP集配置访问控制策略 , 支持时间集管理,支持按时间集配置访问控制策略,支持用户锁定 C 访问控制与告警 (1) 可以制定细粒度策略;支持高危指令对象、访问时间对象、源 IP 地址对象、访问目标设备对象根据“最小授权原则”进行策略合成 (2) 运维工作站安全检查:在运维人员通过堡垒机认证前对运维工作站做安全合规检查,包括非法外联监控、防病毒检查、系统补丁检查、系统配置检查等,提供功能截图 (3) 支持对违规操作进行告警 , 支持以邮件、 SYSLOG、 Snmp T
17、rap、短信方式实时发送告警信息 D 用户及组管理 (1) 支持运维用户的全生命周期管理,包括添加、修改、删除、停用 /启动;支持用户信息批量导入 /导出 (2) 支持用户列表信息按字段自动排序 , 支持对用户进行分组,分层次管理,分组以树形方式展现 E 主机及组管理,提供功能截图 (1) 支持主机列表信息按字段自动排序 , 支持主机管理,包括主机 IP、名称、类型、访问协议、端口、帐号及密码等信息;管理信息字段可自定义扩展 (2) 支持对网络设备配置检查功能,支持检查账户安全策略信息、不必要的服务和端口、版本信息检查、安全审计策略等 , 支持对主机设备按科室、部门等进行独立管理, 提供功能截
18、图。 提供服务器加固系统:全中文操作界面,支持Windows NT 2000/2003/2008/Vista/Linux/Solaris/HP-UX/AIX 等操作系统,可实现对 cpu、 内存、 硬盘 、网络状态的监视和控制,支持防黑客攻击 ,可以提供 FIFO 保护、符号链接保护、硬链接保护、 CHROOT 保护、自动检测混杂模式,保证系统免受攻击;要求国产品牌,具备自主知识产权; 提供服务器加固系统的计算机信息安全产品销售许可证 F 运维脚本管理 (1)支持智能运维脚本管理:支持堡垒机定时自动执行包 含运维指令的脚本,支持脚本执行结果输出,提供功能截图 ( 2)管理员可以根据设备 /设备
19、组、系统账号、时间、脚本内容(自定义),创建自动脚本任务;该任务到期自动执行,执行的结果自动发送给相关管理员;提供功能截图 G 密码托管 (1) 支持对用户静态口令的密码复杂度进行管理 , 支持根据目录树选择修改单个设备或多个设备 ,支持本地账号及 AD 域内账号,提供功能截图 (2) 密码策略(方式)支持对网络设备、安全设备、 Windows 系统、 Unix/linux系统及数据库从账号密码自动修改功能;支持生成随机密码以及手工指定密码,并 遵守密码复杂度设置 , 支持改密结果自动发送至密码管理员邮箱;支持手工下载全部或部分主机密码功能,提供功能截图 H 操作审计 (1) 支持对字符协议、
20、图形协议、数据库操作进行操作审计 (2) 支持对 RDP 协议中的活动窗口名称、删除文件等动作进行审计,并能记录 RDP会话中的键盘输入信息 (3) 可以对图形操作界面的文字内容进行模式识别并文本记录,支持 sftp/ftp文件传输协议审计,支持指令检索,并可展现本次会话的所有操作指令,提供功能截图 I 操作回放 (1) 支持以 WEB 在线视频回放方式重现运维人员对设备的所有操作过程,无须另装播放 软件 (2) 支持回放界面中显示键盘输入、特殊按键、鼠标动作 , 支持空闲时间过滤 , 支持回放文件本地保存,支持专用播放器观看 J 操作监控 (1) 支持查看所有会话信息,显示会话状态(连接中、
21、退出、阻断中) , 支持对会话进行实时监控、回放和阻断操作 (2) 支持实时监控堡垒机双机热备的两台机器之间的存活状况(包括网络状态、关键服务、同步信息) , 支持 Web 页面手动切换主备机,切换时间不高于 5 秒 K 操作报表 (1) 内置多种报表模板 , 支持以 word、 excel、 html、 csv 和 pdf 方式生成并导出报表,提供功能截图。产品厂家具有主 动发现漏洞的能力,提供中国国家信息安全漏洞库信息安全漏洞提交证明。 (2) 支持管理员自定义审计报表 , 支持以自定义时间段(任意时间段、日报、周报、月报等)自动生成周期性报表,支持自动调度发送至指定邮箱 L 数据管理 (
22、1) 支持审计日志自动备份和手动备份,支持以 FTP 方式自动备份至指定服务器 (2) 支持堡垒机数据(用户、设备、授权、策略等信息)备份 /恢复 , 支持系统配置的备份 /恢复 M 系统管理 ( 3) 支持 NTP 系统时间同步 , 支持审计信息(包括系统审计及运维审计)对外转发,转发方式包括 syslog、 snmp trap、邮件等 ( 4) 支持通过 Web 页面对堡垒机系统进行重启和关机 产品资质 : 具有中国国家信息安全产品认证证书 (3C 增强级 ),功能截图及证书加盖原厂公章 产品厂家具有中国通信企业协会通信网络安全服务能力评定证书(安全设计与集成乙级); ISO27001 信
23、息安全管理体系认证证书,信息系统安全集成服务资质(一级) 1. 提供升级服务。 注 :本次货物需求一览表中标注 “ ”的技术参数,报价供应商必须完全响应或优于响应,否则报价文件 无效 ;未标 “ ”的技术参数每包最多允许三项负偏离,否则 报价文件 无效 ; 报价供应商在制作报价文件时所报产品参数要逐条对应响应。 售后服务要求: 1、到用户现场安装、调试并在当地培训操作人员或到厂家免费培训; 三年内接到客户要求时,提供如何使用网管软件的咨询培训。 2、定期免费设备维护; 3、 对设备三年应用系统的运行、维护提供实时技术支持 。 4、产品全免费升级服务;提供软件版本的升级,并将最新的版本升级信息及时告知用户。 5、供货商报价函所提供的商品性能参数须等于或优于询价函要求。 6、供货商报价函必须标明所投货物的品牌、型号与参数,保证原产正品供货,提供相关资料 、说明书等。 7、供货商须提供原厂质保,质保期按照国家规定,且不低于所供品牌向用户承诺的质保期限。
