国家电子政务外网平台二期工程云平台（公共区基础部分）.DOC

资源描述

1、国家电子政务外网平台二期工程云平台（公共区基础部分）安全设备采购项目采购需求（货物类）一、项目介绍1、资金来源：中央预算内资金2、预算金额：499.9 万元3、所要达到的目标前景：国家电子政务外网横向连接各级党委、人大、政府、政协、法院和检察院等政务部门，纵向覆盖中央、省、地（市）、县，为部门业务应用提供网络承载服务，支持业务网络的互联互通，支持跨地区、跨部门的业务应用、信息共享和业务协同，满足各级政务部门社会管理、公共服务等方面的需要。中央级政务外网划分为不同的业务分区：通过公用网络区满足政务部门各类业务应用的需求并实现各部门间的信息交换和业务协同；通过专用网络区满足政务部门相对独立、信

2、息敏感的业务需求；通过互联网接入区满足政务部门通过互联网发布信息、采集数据等业务需求。拟通过本次采购，新增或更替中央级政务外网公用网络区防火墙、IPS 等安全设备，进一步提升政务云平台的安全防护强度和安全监测能力，落实信息安全等级保护第三级的基本要求，达到可管理、可控制、可追溯的安全管理目标及全天候全方位感知网络安全的要求。二、项目履约时间、地点1、履约时间：合同签订后 20 天内交货，并完成安装调试，具备验收条件。2、履约地点：北京市西城区三里河路 58 号3、现场踏勘：否三、采购人信息单位名称：国家信息中心单位地址：北京市西城区三里河路 58 号联系人姓名：邵国安联系电话：010-68

3、557183电子邮箱：四、采购产品一览表序号货物名称是否为主要产品单位数量产地（国产/进口）1. 万兆防火墙（FW1）是台 4 国产2. 万兆应用防火墙（WAF）是台 2 国产3. 网络审计否台 2 国产4. 万兆入侵防御（IPS）是台 4 国产5. 访问控制网关否台 4 国产6. 数据库审计否台 2 国产7. 漏洞扫描系统否台 1 国产8. 千兆防火墙是台 4 国产9. 万兆防火墙（FW2）是台 4 国产10. 数据采集前端否台 2 国产11. 日志存储转发与查询系统否套 1 国产12. 安全态势感知威胁预警平台是套 1 国产13.

4、网络防病毒系统否套 1 国产14. 服务器加固(物理机及宿主机)否个 7 国产15. 服务器加固(虚拟机) 否个 15 国产五、产品清单及指标要求重要性分为“” 、 “#”和一般无标示指标。代表最关键指标，不满足该指标项将导致投标被拒绝，#代表重要指标，无标识则表示一般指标项。1、万兆防火墙（FW1）数量：4 台序号重要性指标项指标要求备注基本参数1 设备要求标准机箱2 电源电压 AC220V。3 # 防火墙吞吐量(bps) 防火墙吞吐量(bps)不小于 40G4 IPS 吞吐量(bps) IPS 吞吐量(bps)不小于 12G5 # 防病毒吞吐量(bps) 防病毒吞吐量

5、(bps)不小于 8G端口参数6 # 端口结构可扩展板卡接口7 配置不少于 4 个万兆接口 SFP+（含光模块），8 #端口数量万兆接口最大 24SFP+，配置不少于 4 个千兆SFP，SFP 接口最大 48SFP，配置不少于 4 个千兆 GE 电接口，千兆 GE 电接口标配 1GE，最大 49GE，百兆 FE 电接口 NA功能参数9 网络适应性必须支持基于文件类型和应用的策略路由，可实现为不同的应用类型智能选择相应的链路。10 网络访问控制支持一体化安全策略配置，可以通过一条策略实现用户认证、IPS、AV、URL 过滤、协议控制、流量控制、并发限制、新建限制、垃圾邮件过滤、审计等功能,简

6、化用户管理。11# VPN 功能支持通过 IPSecVPN 方式接入，分支支持通过 IPSec VPN 方式接入，要求设备厂商应具备国家商用密码产品生产定点单位证书12 流量控制与优化支持针对用户/用户组进行 URL、文件类型、应用的流量管理。13 关联安全应用支持与终端管理系统协同工作，实现对终端的网络准入认证控制。14 # 防护要求支持敏感数据防泄密功能，支持敏感信息自定义，支持根据文件类型和敏感关键字进行信息过滤15 集中管理实现对网关设备的集中监控、安全事件管理、统一升级等功能。16 高可用性自动同步、心跳接口多级（3 级）物理备份。17 # 特征库升级支持本地和远程特征库

7、升级，支持用户自定义升级服务器及服务器地址配置。其他要求18 资格证书投标产品具有公安部颁发的计算机信息系统安全专用产品销售许可证认证等级为三级；投标产品具有中国信息安全认证中心颁发的中国国家信息安全产品认证证书认证等级为三级。2、万兆应用防火墙（WAF ）数量：2 台序号重要性指标项指标要求备注基本参数1 品牌规格准机架式设备，设备大小不超过 2U2 网络吞吐量网络吞吐量大于 10Gbps。3 最大并发数最大并发数大于 200 万。4 新建连接数每秒新建连接数 3 万。5 # 电源规格冗余双电源端口参数6 # 端口结构可扩展板卡接口7 端口数量配置不少于 1 个 HA

8、口，1 个 RJ-45 Console 口,配置 4 个千兆光口、 12 个千兆电口, 2 个万兆光口 SPF+扩展板卡。8 控制端口 1 个 10/100/1000 Base-T 带外管理口9 扩展模块 2 个扩展槽10 # 接入模式应支持透明、代理模式、旁路部署。应支持 SSL 代理。应支持静态路由、地址映射配置。应支持 NAT 环境下的用户识别能力。功能参数11 协议识别与分析应采用基于行为分析的检测技术，对0day 攻击能够很好地防范。应支持对Web 相关应用协议进行自定义，并提供详细协议分析变量。12 网络层访问控制应具备基础的网络层访问控制功能。应具备黑白名单全局访问控制功能。1

9、3 # Web 攻击防护应具备 SQL 注入攻击的检测与防御能力。应具备 XSS 攻击的检测与防御能力。应具备 HTTP 协议详细字段分析能力同时支持自学习功能。应具备 XML DoS 检测与防御能力。3、网络审计数量：2 台序号重要性指标项指标要求备注基本参数1 设备高度标准机箱，大小不超 2U。2 电源电压 AC220V。3采用旁路部署方式对原有网络不造成影响，网络审计产品的故障不影响被审计系统的正常运行4 支持透明部署，支持 Bypass5 支持混合模式部署，可在线和旁路方式同时使用6部署管理可 HA 部署，产品支持主备方式端口参数7 端口数量 2 个千兆电口监听口、1 个千

10、兆管理口、14 # Web 非授权访问防护应具备 CSRF 攻击检测与防御能力，CSRF 支持自学习功能。15 # Web 恶意代码防护应具备 WebShell 检测与防御能力。应支持 Web 表单关键字过滤功能。16 # Web 应用交付应支持基于 URL 的流量控制功能。17 # VPN 功能支持通过 IPSecVPN 方式接入，要求设备厂商应具备国家商用密码产品生产定点单位证书18 实时响应应支持获取 Web 安全事件的原始攻击信息。19 实时监控应支持针对 Web 应用连接状况和流量信息的实时监控。20 Web 安全事件统计分析与报表 Web 安全事件日志存储，应支持主流的服

11、务器操作系统及主流的数据库类型。21 双机热备应支持透明模式下的 HA。应支持主主模式, 应支持主备模式22 产品安全性应需保证设备自身安全。应对登陆用户提供防暴力猜解功能。其他要求23 资格证书投标产品具有公安部颁发的计算机信息系统安全专用产品销售许可证认证等级为三级；投标产品具有中国信息安全认证中心颁发的中国国家信息安全产品认证证书认证等级为三级。双电源、4 个千兆光口、4 个千兆电口8 端口要求配置不少于 1 个千兆电口，1 个千兆光口，1 个万兆光口9 控制端口配置不少于 1 个千兆电口管理口10 数据存储数据存储量不低于 3*1T、支持 RAID511 记录事件数记录事件

12、数70000 条/秒，总记录事件20 亿条功能参数12 网络协议审计支持 Telnet 协议的审计，能够审计用户名、操作命令、命令响应时间、返回码等；支持对 FTP 协议的审计，能够审计用户名、命令、文件、命令响应时间、返回码等支持审计网络邻居的用户名、读写操作、文件名等支持审计 NFS 协议的用户名、文件名等支持审计 Radius 协议的认证用户MAC、认证用户名、认证 IP、NAS 服务器 IP支持审计 HTTP/HTTPS 协议的 URL、访问模式、cookie、页面内容、Post 内容支持 RDP 协议审计，可审计关键的键盘输入，记录会话过程。支持 SSH 协议审计，能够审计用户名、操

13、作命令、命令响应时间、返回码等；支持 SCP 和 SFTP 协议审计，能够审计用户名、命令、文件、命令响应时间、返回码等支持 IP-MAC 绑定变化情况的审计13 日志查询统计支持按时间、级别、源目的 IP、源目的 MAC、协议名、源目的端口为条件进行查询支持查询、统计的条件模板编辑与应用支持多个查询、统计任务同时进行web 访问日志，支持按 URL、访问模式、cookie、页面内容、Post 内容等作为查询和统计条件支持按自定义关键字作为查询和统计条件14 自身管理提供管理员权限设置和分权管理，提供三权分立功能，系统可以对使用人员的操作进行审计记录，可以由审计员进行查询，具有自身安全审计功

14、能15 第三方接口支持 SNMP 方式，提供系统运行状态给第三方网管系统支持 Syslog 方式向外发送审计日志支持 Syslog 方式接收第三方审计日志支持 SNMP Trap 方式向外发送审计日志支持连接外置存储，以扩展日志存储能力支持 NTP 时间同步其他要求16 资格证书投标产品具有公安部颁发的计算机信息系统安全专用产品销售许可证认证等级为三级；投标产品具有中国信息安全认证中心颁发的中国国家信息安全产品认证证书。4、万兆入侵防御（IPS）数量：4 台序号重要性指标项指标要求备注基本参数1 设备高度标准机箱，大小不超 2U。2 电源电压 AC220V。3 最大并发连接数最大并

15、发连接数：300 万。4 IPS 吞吐率 IPS 吞吐率不小于 10Gbps。5 部署方式系统应提供旁路部署及在线、旁路混合部署等部署方式。系统应支持 IP 地址转换（NAT）功能，包括：源地址转换、目的地址转换、静态地址转换。系统应支持桥组部署方式，并支持 STP 协议。系统应支持路由模式，至少包括：静态路由、策略路由、ISP 和 OSPF 路由协议。需系统应支持端口聚合/链路捆绑协议，并提供手工方式和 LACP 两种配置方式。系统应支持完善的会话管理功能，可实时查看当前会话状态，支持根据源地址、目的地址、端口号或协议类型查询会话；端口参数6 端口数量配置不少于 2 个万兆光口，4 个千兆

16、光口，4 个千兆电口，1 个 RJ-45 Console 口，4 个具备 BYPASS 功能的10/100/1000Base-T 接口7 控制端口 2 个 10/100/1000 Base-T 带外管理口8 扩展模块 1 个网络接口板扩展槽位功能参数9 系统入侵防御事件库事件数量不少于 4000 条，10 #入侵防御功能漏洞特征库不少于 4000，并且能够自动或者手动升级。系统应内置未知恶意代码检测引擎，支持恶意样本自学习功能，支持与恶意代码动态检测系统联动，支持未知 C&C 通道（隐蔽通道）检测功能，可基于 IP 地址、网段、时间、VLAN、协议类型等条件设定 IPS 检测及响应方式。系统应

17、提供 SQL 注入攻击、XSS 攻击的检测和防御功能，对 Web 服务系统提供保护。11 部署方式系统应提供旁路部署及在线、旁路混合部署等部署方式。系统应支持桥组部署方式，并支持 STP 协议。系统应支持路由模式，至少包括：静态路由、策略路由、ISP 和 OSPF 路由协议。12 防病毒功能系统应支持通过授权扩展支持对HTTP、FTP、SMTP、POP3、IMAP 协议的病毒检测和过滤功能；系统应支持 VLAN、VoIP 数据流病毒过滤；系统应支持对文件感染型病毒、蠕虫病毒、脚本病毒、宏病毒、木马、恶意软件等过滤，病毒库数量不少于40 万。13 内容防护系统应支持 Web 过滤功能，至少支持黑

18、白名单、关键字过滤、禁止 HTTP 代理、URL 分类过滤外，还支持Script、Java Applet 等过滤，并能通过统一模版设置，15 高可用性系统应支持双机热备和双机主备功能，并且主备热备时需支持连接状态和配置同步。系统应支持硬件 BYPASS。在设备故障、重启及断电的情况下可保障网络畅通，能够手动配置 BYPASS 的启停。系统应支持软件 Bypass 功能，通过 CPU 和内存阈值实现软件 Bypass 的开启，提供不同的阈值计算方式（最高值/平均值、时间区间等）。16 管理功能系统应支持在线管理员数目限制和管理员唯一性检查功能。其他要求17 资格证书投标产品具有公安部颁发的计算

19、机信息系统安全专用产品销售许可证认证等级为三级；投标产品具有中国信息安全认证中心颁发的中国国家信息安全产品认证证书。5、访问控制网关数量：4 台序号重要性指标项指标要求备注基本参数1 设备高度标准机箱，大小不超 2U。2 电源电压 AC220V。3 # 国家密码管理局颁发的产品型号证书（支持 SM2 算法）4 基于硬件加密卡，支持 RSA（2048 位）及 SM2（256 位）密码算法。5 支持国家政务外网 CA 系统及其子系统所发数字证书6 # 为业务系统提供基于证书的强身份统一认证7 #产品认证与政务外网证书无缝对接8 最大并发连接数最大并发连接数：5000 以上端口参数9 端口

20、数量配置不少于 6 个千兆电口，4 个千兆光口，2 个万兆光口10 扩展模块可扩展功能参数11 防护对象基于资源服务管理系统的可信资源，资源访问控制网关对网络环境中对相关的资源进行基于数字证书的身份认证，满足各地区各部门的机构身份可信、用户身份可信、设备身份可信的需要12 认证方式系统实现基于电子认证基础设施所签发的数字证书实现身份鉴别和认证；13 证书支持支持多证书链功能，可同时支持多个证书颁发机构颁发的证书功能；14 密码算法系统对于通过认证的对象基于密码算法计算身份令牌，该令牌无论在本域或者跨域中与认证实体绑定，且唯一不变；15 验证机制系统支持基于身份认证的结果，对需要确认身份的访问控制执行点提供可信身份证明的资源身份验证；16 跨平台支持支持跨平台应用，包括 Windows 系列平台、LINUX、Unix、Solaris 等；17 接口支持提供完善的应用接口：C/C+/C#/VB 及 Java 等开发工具包；18 资源权限资源访问控制：提供专用的应用资源访问控制应对手

展开阅读全文