招标项目内容及技术要求.DOC

1、1第二部分 招标项目内容及技术要求招标项目内容及技术要求附表2017 年度政法转移支付资金业务装备项目（第一标包）序号 产品名称 单位 数量 功能参数1网络健康及协议分析平台台 1总体要求：1、总体功能：能够分布式部署在关键的网络节点，长期实时分析并捕获流量，同时对捕获到的网络通讯数据包进行长期存储，从而提供对任何时间点的通讯数据进行回溯分析的能力。2、界面要求：支持全中文界面和资料文档，要求提供全中文的分析界面，要求提供全中文的文档资料。支持中英文双语协议解码功能。3、 产品架构：标准机架式独立硬件设备，存储容量 2TB；采集端口：2 个千兆电口；管理端口：2 个千兆电口；系统部署：1、分布

2、式部署，要求能够部署在远程网络中进行长期实时分析，通过专用的2、控制台软件通过网络进行远程分析。3、要求能支持流量镜像、分路器等方式部署。4、在采用镜像方式进行部署时，能够通过设定本地网络，区分 ip 地址，并分别统计上行和下行流量。5、能够实现链路聚合功能，能将多网卡的流量聚合捕获分析。6、支持多任务分析，能够针对某网络接口支持多个捕获和分析任务同时进行分析。集中管理系统：1、基于 Web 的集中管理，能够集中管理所有分布式网络流量监测分析系统，收集监测结果数据。2、集中用户管理，添加，配置用户权限，实现用户的权限管理。3、集中的监测数据呈现，图形化警报数据呈现，警报日志呈现。应用定义：1、

3、能够灵活的自定义应用，针对自定义的应用进行流量监测分析。2、可根据 TCP/UDP 端口或端口范围、端口组自定义应用。3、可根据 IP 地址、地址组、地址范围自定义应用。4、可根据 IP 地址+端口自定义应用。5、可根据网段、网段组自定义应用。2数据捕获保存：1、能够实时捕获并保存网络中的通讯数据包。2、网络中的通讯数据包能够长期保存，设备的存储容量不低于 2Tbytes。3、数据包以专用格式存储，只能采用专用的控制台软件读取和导出，不能用其他工具读取并导出。4、数据包保存的性能要求能够实现 300Mbps 线速保存能力，数据包处理性能不低于100,000pps。5、能实时长期保存网络中的所有

4、的网络总体流量统计数据包括比特率（上下行）、数据包率（上下行）、网络中 TCP SYN 数量、TCP SYN ACK 数量、TCP SYN RST 数量，总体流量统计数据要求能保存至少 1 个月。6、能实时分析并长期保存网络中的所有数据流统计数据，包括详细的 IP 会话流、TCP 会话流、UDP 会话流数据，数据精度到秒级，数据流统计数据要求能保存至少 1 个月。7、捕获数据包时能够根据条件过滤捕获，包括根据 IP 地址、地址段、通讯协议、TCP/UDP 端口等条件过滤捕获。数据检索分析要求：1、能够方便的检索捕获的任意时间范围的网络通讯数据。2、能够检索捕获的流量的趋势，包括总体流量的趋势，

5、可区分网络的上行流量和下行流量；数据包趋势，可区分网络的上行数据包和下行数据包；TCP 参数趋势，包括 TCP 同步数据包个数、TCP 同步确认数据包个数、TCP 同步重置数据包个数；利用率趋势，可区分网络的上行利用率和下行利用率。3、能够检索指定时间范围的所有应用的通讯流量信息，包括接收发送流量，接收发送数据包等，用户可以根据自己的需求进行应用定义，定义条件包括 IP 地址、TCP/UDP 端口、IP 地址组和地址段、端口组或范围，以及多种条件的组合。4、能够检索指定时间范围的所有 IP 主机的通讯流量信息，包括接收发送流量，接收发送数据包，比特率，数据包率，tcp 连接请求数量，tcp 同

6、步响应数量，tcp 同步重置数量，数据包的发收比等流量参数，并能够根据参数的大小进行排序。5、能够检索指定时间范围的所有 IP 主机间的通讯流量信息，包括接收发送流量，接收发送数据包等。6、能够检索指定时间范围的所有 TCP 会话和 UDP 会话的通讯流量信息，包括接收发送流量，接收发送数据包等。7、能够针对应用进行进一步的数据挖掘，分析某个应用中 IP 主机流量、IP 会话、TCP 会话和 UDP 会话详细列表。8、能够针对 IP 主机进行进一步数据挖掘分析，分析某个 IP 主机的应用、IP 会话、TCP 会话和 UDP 会话。流量监测报警功能：1、能够对网络中的总体流量异常进行监控和报警。

7、可根据链路的上下行 bps、pps、上下行 pps、利用率、上下行利用率、每秒 tcp syn 个数、每秒 tcp syn ack 个数设定阀值产生警报。警报的触发时间间隔可以为 1 秒，5 秒，15 秒，60 秒。2、能够对网络中关键主机的流量参数进行监测和报警。3、警报流量参数：能够针对关键主机或全局主机的每秒字节数、收发每秒字节数、数据包数、收发每秒数3据包数、平均包长、收发平均包长、数据包发收比、每秒发送 tcp syn 包数、每秒接收 tcp syn 包数、每秒发送 tcp syn ack 包数、每秒接收 tcp syn ack 数据包数等参数设定阀值，产生警报。警报条件：能设定=条

8、件、=条件、条件，多种参数条件的与或关系时间警报。触发时间间隔：1 秒，5 秒，15 秒，60 秒。6、能够对可疑域名解析行为进行监测产生警报，可以定义域名列表、域名地址列表进行监测，发现可疑的域名解析，产生警报。7、能够对电子邮件内容进行监测，定义敏感字参数，监测邮件内容中是否包含敏感信息。8、能够对 HTTP 内容进行监测，定义敏感字参数，监测 HTTP 内容中的敏感信息。9、能够对 TCP/UDP 数据流进行监测，通过定义特征值，监测异常的 TCP/UDP 通讯并产生警报，特征值可以包括十六进制和 ASCII 的特征定义。可定义多种特征的与或关系来监测异常数据流。10、能够通过邮件和Sy

9、slog 将报警信息发给指定接收者。数据分析要求：1、能够对检索到的网络通讯数据包进行深入分析。2、提供物理端点和 IP 端点以及 IP 会话分析视图。3、提供针对 IP 端点的入出流量，bps、pps、总流量、总数据包数分析。4、提供针对 IP 端点的IP 会话数量、TCP 连接数量的统计分析，并可以按大小顺序进行排序。5、提供针对 IP 端点的 tcp 同步包发送/接收数量、同步确认包发送/接收数量、TCP 重置包发送/接收数量的统计，并可以按大小顺序进行排序。6、提供针对 IP 端点的数据包发送/接收比的统计分析，提供针对 IP 端点的字节数发送/接收比的统计分析。7、提供自动的 IP

10、端点分组功能，能将不同网段的 IP 端点按网段自动分组. TCP/UDP 会话分析：1、提供所有的 tcp/udp 会话列表，提供针对每个会话的数据包、字节数等统计参数。2、提供针对 TCP/UDP 会话的流重组功能，将会话中的数据流重组显示。3、能够对 TCP 会话中的详细应用数据传输过程进行深入分析，能够区分每一个应用交易处理请求和响应，对传输过程中的重传、重复的确认进行统计，对应用交易处理间隔响应进行分析。4、提供针对 TCP 会话的时序图分析功能，能够图形化的显示 TCP 会话中的数据交互传输过程，能够图形化显示数据传输中的时间间隔。安全分析要求：1、提供 ARP 攻击分析视图，通过流

11、量特征主动过滤疑似感染 ARP 病毒的主机列表，并在单独的分析视图中展现。2、提供蠕虫病毒主机分析视图，自动判断存在感染蠕虫病毒的主机的网络行为特征4并在单独的分析视图中展现。3、支持自动判断存在 DOS 攻击或被攻击现象的主机的网络行为特征并在单独的分析视图中展现。4、支持自动判断存在 TCP 端口扫描的主机的网络行为特征并在单独的分析视图中展现。5、支持自动判断存在可疑的 HTTP、POP3、SMTP 会话的主机的网络行为特征并在单独的分析视图中展现。 应用日志：1、提供对 HTTP 访问请求的日志记录功能，能记录所有的 HTTP 访问 URL，并记录至日志文件中。2、提供对 DNS 解析

12、请求和响应的日志记录功能，能记录所有的 DNS 请求和响应日志，记录至日志文件。3、提供对 SMTP/POP3 邮件发送接收的日志记录功能，能记录所有的邮件接收发送日志，并能还原保存相应的附件。4、提供对相关协议的即时通的通讯记录功能。协议识别和解析要求：1、提供对常见互联网协议的协议识别功能，至少能对 300 种以上的常见互联网协议进行识别。包括：AARP, AARP Prbe, AARP Request, AARP Response, ACNET, AFP, AH, AIM, ARP, ARP Request, ARP Response, Auditd, BFTP, BGP, BOOTP,

13、 Biff, BitTorrent, CDC, CDP, CFS, CFTP, CGMP, CIFS, CMIP-Agent, CMIP-Man, COPS, CRIP, CRTP, CRUDP, CTF, Cisco-fna, Cisco-sys, Cisco-tna, Citrx ICA, DCCP, DCP, DDP,DECnet, DHCP, DIAG, DNS, DNS Error, DNS Query, DSR, Daytime, Discard, EGP, EIGRP, EIGRP Hello, EIGRP Query, EIGRP Reply, EIGRP Update, ES

14、P, Echo, Emfis-cntl, Emfis-data, Ethernet - Other, Ethernet 802.2, Ethernet 802.3, Ethernet II, Ethernet SNAP, Ethernet SNAP - Other, eMule, FC, FCoE, FCP, FTP, FTP Ctrl, DTP Data, Finger, GDP, GGP, GRE, GTP, Gopher, H.225, H.323, HMP, HSRP, HTTP, HTTP Proxy, HTTPS, Http-mgmt, IBM-app, ICMP, ICMP De

15、stUnreach, ICMP Echo Reply, ICMP Echo Req, ICMP Redirect, ICMP Time Ex, ICMPv6, ICP, IDFP, IDPR, IDRP, IGAP, IGMP, IGRP, IMAP, IAMP3, IAMP4, IMAP4/SSL, IP, IP - Other, IP Fragment, IPX, IPv6, IRC, IRC/SSL, IRTP, ISL, ISMP, ISO-IP, ISO-TP0, ISO-TP4, Kerberos, L2F, L2TP, LDAP, LDAPS, LPD, La-maint, Lo

16、gin, Loopback, MGCP, MPLS, MPLS Etype2, MPM, MPM-snd, MPP, MSN, MSP, MSRDP, MSSQL, Mcidas, Mit-ml-dev, Mnet-discovery, Mobile IP, Msg-auth, NAMP, NARP, NBDGM, NBIPX, NBNS, NBSSN, NCP, NETBLT, NFS, NLSP, NMSP, NNTP, NNTP/SSL, NPP, NSRMP, NTP, Nameserver, NetBEUI, NetBIOS, 提供对网络协议的解码分析能力，提供至少 300 种各种网

17、络协议的解码分析能力。特别是如下协议的解码支持：MSN，QQ，Yahoo Messenger，BitTorrent，POP3，FTP，SMTP，HTTP，TELNET 等。厂商要求： 1、要求具有国家信息安全评测中心颁发的信息技术产品安全评测证书52、具有国家版权局颁发的计算机软件著作权登记证书3、必须厂家出具承诺函保证与省检察院的监控分析中心互连互通。提供原厂商针对本项目授权书，质量保障售后服务承诺函。2电子邮件系统（服务器）台 1品牌：国内知名品牌，非 OEM 产品规格 标准 2U规格：机架式服务器，含导轨及安装套件处理器：配置 2 颗 Intel E5-2609v4(1.7GHz/8c)

18、/6.4GT/20ML3 处理器内存：本次配置 32GB DDR4 内存，不少于 20 个内存插槽，最高支持 DDR4-2133 内存，支持四通道交叉存取、内存镜像、内存热备等高级功能硬盘：3 块 1T 硬盘，前置最大支持 24 个热插拔 2.5 寸或者 12 个 3.5 寸 SATA/SAS/SSD 硬盘，同时后置支持2 个热插拔 2.5 寸 SATA/SAS/SSD 硬盘阵列卡:八通道高性能 SAS RAID 卡，支持 Raid0/1/5 等I/O 扩展槽:配置不少于 6 个 IO 插槽，其中 3 个 PCI-E 3.0 x 16网卡:高性能双千兆网卡，支持网络唤醒，网络冗余，负载均衡等网

19、络高级特性；1 个独立的千兆管理口电源:标配白金（可选钛金）电源，可选 1+1 冗余，支持 PMBus 功能技术支持服务:原厂工程师三年 724 售后服务，并在省内设有原厂服务机构3专线网涉密邮件系统套 1三员管理：严格遵循国家保密局对三员分立的管理要求，将管理员分为安全保密员、系统管理员和安全审计员。密级控制：1、严格遵循国家保密局对密级控制的要求，对邮件信息和用户划分不同的密级，并对不同密级用户的行为进行严格控制。严格禁止高密低流。2、支持对邮件密级和附件密级的自动校对。安全审计：对系统的所有应用日志，包括管理员登陆日志、管理员维护日志、用户登录日志、邮件的收发日志（包括邮件的发信 IP、

20、发件人、收件人、主题信息）都做到完善记录，确保管理员的动作，用户的登录6信息、邮件的收发等系统所产生的任何动作都有完备的日志记录可供追溯和查询，提供一个完全记录和留痕的安全邮件系统。内容审核：1、邮件系统应能够提供邮件内容安全审核机制，完成对邮件内容经过邮件审核管理员审核后发送的功能。2、支持多部门、多级别、灵活可变的审批策略。数据存储：1、邮件数据应采用安全性和性能更佳的块文件存储，且对存储的数据进行加密。不应采用一个用户一个目录或文件的存储方式。2、支持邮件空间跨越物理设备的自动扩展。安全性：1、应具备高安全密码策略，可限定密码长度、复杂度、使用期限、错误次数等。2、支持邮件锁屏功能，用户

21、可手工锁屏或一定时间不操作自动锁屏。易用性：1、要求能够完美支持多标签页,比如可以写信同时打开邮件夹、阅读邮件，操作地址簿等，可通过页标签快速切换。2、具备邮件摘要能力，即邮件前端正文能够在列邮件时显示。大附件功能：1、支持单封邮件大小达 2GB 以上。2、要求支持附件批量上传，即一次选中多个附件文件。为保障良好的兼容性，附件上传不允许使用浏览器插件。客户端支持：支持邮件客户端，并在客户端下密级有效（要求提供相关截图，并加盖制造商公章）；知识产权：各项功能均需拥有 100%自主知识产权，要求提供邮件系统、邮件审批系统的著作权证书（复印件加盖制造商公章）。授权方式：本次采购 300 用户授权，所

22、有服务均应随用户数提供一次性买断的终身用户授权。提供原厂商针对本项目授权书，质量保障售后服务承诺函。74计算机病毒预警平台台 1接口要求：网络接口：610/100/1000 电口；1 个 Console 接口(RJ-45) 、2 个 USB 外置接。性能要求：网络吞吐量1Gbps； 病毒检测吞度量300Mbps； 并发连接80 万；接入方式：旁路接入模式，即插即用，适应各种复杂的网络环境，用户不需修改原有网络结构和配置，支持多路监听部署模式。液晶屏显示：可通过外置液晶屏显示系统 CPU/内存使用率，查询设备管理 IP。协议支持：支持非端口定义的协议识别，通讯服务端无论采用什么端口，都能正确识别

23、 HTTP/FTP/SMTP/POP3/IMAP/ SMB 等多种应用层协议，可根据需求选择所需监控的应用层协议。IPV6 支持：全面支持 IPV4 和 IPV6 网络环境。病毒过滤：精确识别邮件病毒、文件传输病毒、网页病毒等。蠕虫过滤：采用入侵防御（IPS）技术、IP/端口/数据包封锁技术，优化了蠕虫识别机制，不仅可监测已知蠕虫，还可以在未知蠕虫爆发时进行预警。木马通讯监控 可监控多数常见的木马通讯，内置数千种木马通讯协议识别特征，并且通过识别库不断再升级，可以识别新型木马，包括手机木马。僵尸网络监控：基于行为分析感知僵尸主机，通过多维度的数据分析和智能关联技术,实现对僵尸网络威胁的发现,便

24、于用户提早发现网络中潜在的威胁风险。安全漏洞攻击监控：内置千余种漏洞攻击规则，可实时监控针对系统级发起的漏洞攻击。口令探测监控：可对常用的网络服务如：SMTP/POP3/IMAP/FTP/HTTP/SMB 等进行口令探测的活动均可被监测。端口汇聚：支持最大四端口汇聚，支持主备、轮寻、802.3ad、自适应的汇聚模式。特征库升级：特征库每天至少更新一次，可根据需求灵活定义更新时间。通讯加密：提供 Https、SSH 等加密方式进行配置管理。管理 IP：可以设置管理员 IP 地址，增加管理的安全性。权限划分：管理员按读配置和修改配置进行权限划为不同管理权限，例如配置管理、查看状态、系统维护等。友好

25、界面：管理界面提供对产品硬件本身 CPU、内存、磁盘、网卡等运行状态的数据查询，提供 CPU/内存/交换区负载曲线、网络流量曲线、过滤统计柱状图的查询。报表生成：报表系统能够根据需求生成不同类型汇总性报表，提供多种形式的统计分析报表，例如排名前十位的病毒统计报表等，便于分析管理。日志分析：通过管理界面，能够提供不同形式的日志展现及分析内容，包括类型统计、IP 统计、趋势分析和明细查询等。部署模式：能实现与省、市、县互联互通，统一升级统一管理，同时省院平台能够对探针设备的数据进行采集分析等功能，提供原厂承诺函资质要求：要求网关防病毒引擎为国内自主研发，提供防病毒软件著作权证书提供产品国家版权局颁

26、发的计算机软件著作权登记证书提供产品军用信息安全产品认证证书。8提供国家版权局颁发的防病毒软件著作权证书提供原厂商针对本项目授权书、质量保障售后服务承诺函。5 内网计算 机 台 2 屏幕尺寸：14.0 英寸、分辨率：标准屏 1366768、）处理器：Intel I5、内存容量：4G、显卡：2G：硬盘容量：500G92017 年度政法转移支付资金业务装备项目（第二标包）序号 产品名称 单位 数量 功能参数执行监督装备1 系统平台 台 1 平台含视频管理服务器(含视频管理平台软件既监控应用管理模块和数据库管理模块)，集成了用户认证、视频管理、设备管理、控制管理、任务管理、日志管理、报警管理、运维管

27、理、智能分析、电子地图、电视墙管理、存储管理、媒体转发等功能。2 磁盘阵列 台 1 完全自主产品，采用 linux 存储专用操作系统，不接受 OEM 或联合品牌产品；单设备应配置64 位多核处理器，4GB 内存，内存支持扩展到32GB，需配置冗余金牌电源单设备应标配2 个千兆网口，可增扩4 个万兆口或8 个光纤接口；应支持 FCSAN、IPSAN、NAS 存储功能可接入 2T/3T/4T/6T/8T SATA 磁盘，支持磁盘交错启动和漫游，并支持在线热插拔；应能提供 RAID 0、1、3、5、6、10、50，60、JBOD 模式，支持全局、局部等多种热备选择，支持坏盘自动重构；应能对视音频、图

28、片、智能分析录像的混合直存，无需存储服务器和图片服务器参与；应能接入并存储 1536Mbps 视频图像，同时转发 512Mbps 的视频图像；同时回放 256Mbps 的视频图像；应能支持不低于 200MBps 的图片并发输入，同时不低于 200MBps 图片并发输出应能在 RAID 内丢失 2 块（含）以上硬盘时，无需等待丢失盘恢复，保留盘数据可正常读取，新数据可正常写入 应支持双活功能，单机故障时不影响数据读写，保障数据安全可根据数据对象的重要性、访问频率等属性对数据进行自动分层存储；支持将主流厂商 SDK 封装格式的视频流转成标准（MPEG4、H.264、H.265、SVAC、4K 等编

29、码格式）PS 流输出。10兼容 GB/T28181 国家标准，支持 RTSP/ONVIF/PSIA/SDK 等视频流传输协议，支持iSCSI、CIFS、NFS、FTP、HTTP、AFP、RSYNC 等存储协议，支持 TCP/IP、UDP、RTP、RTCP 等网络传输协议；备注：标项为重要参数项，所投产品需完全满足或高于参数要求。提供公安部型式检测报告、公安部GB/T28181 检测报告和设备 3C、CE、FCC、UL、TUV 证书（需提供复印件，加盖生产厂商驻河南办事机构公章）3 超容量存 储 台 1 完全自主产品，采用 linux 存储专用操作系统，不接受 OEM 或联合品牌产品；单控制器结

30、构，配置 64 位多核处理器，4GB 内存，内存支持扩展到32GB，需配置冗余白金牌电源标配5 个千兆网口，可增扩2 个万兆口；（提供公安部检测报告）单设备提供 128TB 企业级存储空间,每 U 空间不得低于 42TB；提供 RAID 0、1、3、5、6、10、50，60、JBOD 模式，支持全局、局部等多种热备选择，支持坏盘自动重构；应能对视音频、图片及智能分析录像的混合直存，节省存储服务器和图片服务器；应能接入并存储 384Mbps 视频图像，同时转发 384Mbps 的视频图像；同时回放 96Mbps 的视频图像；应能支持不低于 100MBps 的图片并发输入，同时不低于 100MBp

31、s 图片并发输出应能在 RAID 内丢失 2 块（含）以上硬盘时，无需等待丢失盘恢复，保留盘数据可正常读取，新数据可正常写入 可支持对单前端设备 10 路多流冗余存储可根据数据对象的重要性、访问频率等属性对数据进行自动分层存储；支持报警预录功能，可预录报警触发前 10 分钟视频支持 MPEG4、H.264、H.265、SVAC、4K 编码格式的前端设备接入并存储录像支持将主流厂商 SDK 封装格式的视频流转成标准（MPEG4、H.264、H.265、SVAC、4K 等编码格式）PS 流输出。兼容 GB/T28181 国家标准，支持 RTSP/ONVIF/PSIA 等视频流传输协议，支持 TCP/IP、UDP、RTP、RTCP 等网络传输协议；备注：标项为重要参数项，所投产品需完全满足或高于参数要求。提供公安部型式检测报告、公安部