发布公告
比比招标网> 变更公告 > 缙云县国土资源局业务系统信息安全等保建设政府采购项目更正公告
| 更新时间 | 2017-10-31 | 招标单位 | 我要查看 |
| 截止时间 | 我要查看 | 招标编号 | 我要查看 |
| 项目名称 | 我要查看 | 代理机构 | 我要查看 |
| 关键信息 | 我要查看 | 招标文件 | 我要查看 |
每天更新 70000 条招标信息
涵盖超过 1000000 家招标单位
原采购文件主要设备参数指标要求
*、服务器区防火墙:*台
| 指标项 |
指标要求 (▲为关键指标项,不允许负偏离) |
| ▲系统架构 |
系统采用多核***+架构架构,硬件设计采用高性能*体化智能安全处理引擎,要求提供计算机软件著作权登记证书,证书上要求有“高性能*体化智能安全处理引擎”字样 |
| ▲硬件规格 |
标准机架式**机箱 |
| 要求配置≥*个**/***/********-*接口,*个***插槽,支持扩展双电源,本次配置为单电源 |
|
| ▲处理性能 |
网络处理能力≥*** |
| 并发连接数≥***万 |
|
| 每秒新建连接≥**万/秒 |
|
| 网络适应能力 |
产品支持路由、透明、交换以及混合模式接入,满足复杂应用环境的接入需求 |
| 产品支持多个纯透明子桥 |
|
| 支持桥接口 |
|
| 支持***.**标准生成树协议,支持**** *****功能,支持****接口,支持****子接口 |
|
| 支持子接口 |
|
| ▲*层接口**地址支持*****和******类型(要求提供功能截图) |
|
| 支持**** ******和**** ****** ****** |
|
| 接口支持配置***个**地址 |
|
| 支持聚合接口,聚合接口支持路由和交换两种工作模式 |
|
| 聚合模式(*******模式)支持*种:轮询、热备、***.*** |
|
| ▲***.***方式支持*种负载算法:根据源目的***组合、根据***和**组合、根据**和***/***端口组合(要求提供功能截图) |
|
| 支持安全域的配置,包括*层安全域和*层安全域 |
|
| 支持隧道接口 |
|
| ▲支持使用命令对策略路由默认优先级进行调整(要求提供功能截图) |
|
| ▲要求系统具备*种安全网关中进行安全策略统*处理的方法及装置技术,为避免虚假应标,必须提供自主知识产权证明复印件 |
|
| ▲支持根据应用进行智能选路(要求提供功能截图) |
|
| 支持基于权重的路由负载均衡,算法支持:轮循、源地址****、源目的地址**** |
|
| ****支持 |
支持****地址配置 |
| 支持****邻居的动态管理和静态配置 |
|
| 支持*****和*****(要求提供功能截图) |
|
| 支持****静态路由 |
|
| ▲支持****安全策略,要求提供高性能****防火墙系统计算机软件著作权登记证书复印件 |
|
| 访问控制能力 |
▲支持基于源目的**地址、源目的安全域、**** **、***地址、时间、用户、地理区域、服务协议及应用等多种方式进行访问控制 |
| 支持基于用户及应用的安全策略 |
|
| 支持基于地理区域的安全策略 |
|
| 支持可按时间生效的**地址黑名单及***地址黑名单 |
|
| 支持基于安全域的**-***绑定 |
|
| 链路冗余能力 |
支持多路由负载均衡,最大可支持*条链路负载,支持自定义负载权重 |
| 支持基本网关配置,支持*种均衡方式:最优路径、流量、会话、主机 |
|
| ▲最优路径的负载均衡方式支持*种链路探测类型:****、***、****,探测失败可自动进行链路负载重置、备份链路切换操作(要求提供功能截图,) |
|
| 最优路径支持链路带宽、繁忙占用比例、探测地址和最优链路出接口的配置 |
|
| 支持***路由负载均衡,最大可支持*条链路负载,支持自定义负载权重 |
|
| 支持***路由链路备份,支持自定义优先级 |
|
| 虚拟防火墙功能 |
可支持***个虚拟系统 |
| 支持虚系统接口 |
|
| 支持系统资源(***、内存和存储空间)的分配 |
|
| 支持基础防火墙功能(路由、安全策略、***)的独立配置 |
|
| 支持攻击防护、黑名单和入侵防御功能的独立配置 |
|
| 支持虚系统配置、日志及监控统计的独立管理 |
|
| 虚拟安全防护 |
支持虚拟*层安全域、虚拟*层安全域,可实现业务的分组与隔离 |
| 支持构建虚系统来实现业务的分组与隔离、管理的分组与隔离,以及各个虚系统防护策略的可定制化 |
|
| ****功能 |
可支持**** **、***、** |
| 可支持**、***、**下的****功能 |
|
| 支持通过****协议进行日志审计、配置管理以及状态监控 |
|
| 高可用性 |
▲系统支持双机热备功能,要求支持路由和透明模式下的“主-备”、“主-主”模式,要求系统必须具备自主研发的多防火墙负载均衡技术,须提供相应证明文件 |
| 支持配置、动态信息的自动同步 |
|
| 支持抢占模式和非抢占模式 |
|
| 支持**中基于权重的接口监控 |
|
| 支持**中基于权重的链路探测 |
|
| 抗攻击能力 |
支持基于安全域的攻击防护配置 |
| 可抵御*** *****、**** *****、*** *****、** *****、**地址扫描攻击、端口扫描、**** ** *****、********、**选项、***异常、*****、*******、****、*******等多种攻击 |
|
| 支持*** ******设置 |
|
| 防病毒 |
提供全面、强劲的病毒检测及防护功能,支持通过对****和***方式上传、下载文件、页面,或****、****、****协议发送的电子邮件及其附件等进行病毒扫描,并可以根据扫描结果进行相应的处理 |
| 支持的压缩文件解压层数,默认为*。最大支持*层 |
|
| ▲支持病毒云查杀(要求提供功能截图) |
|
| ▲基于安全云的威胁防护与系统联动 |
支持与终端防护系统进行联动,可通过终端部署的终端防护系统搜集分析用户终端产生流量的*元组信息、终端进程信息及应用的***信息等,统*传递至防火墙后再提交安全云中心,之后*方面由云中心对应用进行检测识别,记录相关信息;另*方面扫描检测存在的已知或未知的病毒、****漏洞、未知恶意代码和***攻击等信息。然后将所有信息传递至防火墙,动态生成对应的应用管控策略或木马查杀策略 |
| 木马专项防护 |
▲支持与终端防护系统进行联动及木马云查杀功能生成日志或者动态策略。生成的木马专项查杀动态策略可以在数据被监测携带木马时,根据动态策略配置阻断数据或者记录日志(要求提供功能截图) |
| 防弱口令扫描 |
支持针对***、****、****、****协议防弱口令扫描功能,可以帮助用户记录或者拦截网络中猜测***用户名密码,邮件用户名密码的行为。并支持生成动态策略,下发给防火墙,再次受到相同攻击时,用户可以选择禁止还是允许口令猜测的行为 |
| 动态策略 |
▲防火墙动态策略功能,可以通过与入侵防护策略、防弱口令扫描、***天眼系统联动,生成动态策略信息,根据用户在基本配置中配置的动态策略动作,命中动态策略的数据将会被阻断或者记录日志(要求提供功能截图) |
| 系统管理能力 |
支持管理员的*权分立,支持多种管理员角色权限:超级、审计、安全、配置、账户、虚系统配置、虚系统审计管理权限 |
| ▲支持自定义管理权限,包括模块:系统、网路、路由、对象、安全、***、***、用户认证、行为管理、应用安全、日志、监控、账户、虚系统(要求提供功能截图) |
|
| ▲支持特征库在线升级,支持指定升级服务器和代理服务器(要求提供功能截图) |
|
| 支持历史配置保存,可记录*个不同时间点的历史配置文件(要求提供功能截图) |
|
| 日志审计能力 |
安全日志、***日志和攻击日志可按照策略中的各个元素(如**、服务、用户、攻击名等)进行高级过滤查看 、 |
| 可提供自有品牌管理软件对日志进行收集、分析,并能提供详尽日志统计报表 |
|
| 支持****告警和邮件告警 |
|
| 支持***、磁盘空间、内存*种告警阈值设定 |
|
| 系统监控能力 |
支持设备首页全局监控,包括:*.设备面板监控;*.接口信息监控;*.系统信息监控;*.资源状态监控;*.并发连接数监控;*.入侵防御监控;*.基于流量的应用排行;*.基于用户的应用排行 |
| 支持对在线认证用户的监控,可显示用户的客户端地址、认证服务器、引用个数及在线时长等信息 |
|
| 安全诊断能力 |
支持在***下的在线抓包 |
| 支持在***下的调试工具 |
|
| 产品资质要求复印件加 |
▲计算机信息系统安全专用产品销售许可证 |
| ▲国家信息安全测评信息技术产品安全测评证书(****+级) |
|
| 中国国家信息安全产品认证证书(*级) |
|
| 软件产品登记证书 |
|
| 厂商资质要求复印件 |
设备制造商要求国家密码管理局《***** ***技术规范》以及《*** ***技术规范》编制单位 |
| 设备制造商要求具备********信息技术服务管理体系认证证书 |
|
| 设备制造商要求具备中国通信企业协会通信网络安全服务能力评定证书(安全设计与集成乙级) |
|
| ▲其他要求 |
*年原厂质保,中标后提供原厂商出具的售后服务承诺函并加盖原厂商公章 |
*、入侵防御***:*台
| 指标项 |
技术参数(带★的指标必须满足,不允许负偏离) |
| ▲设备基本要求 |
采用多核处理器硬件构架,采用专用多核并行安全操作系统软件架构,具备多核多平台并行安全操作系统著作权证书(投标时提供相关证书,必须要有“多核多平台并行”字样) |
| 至少具备*个**/***/*****自适应以太网口,*个扩展槽 |
|
| 至少支持*路***或*路*** |
|
| 支持内置******功能 |
|
| 吞吐量≥**** **** |
|
| 工作模式 |
支持***模式、***学习模式、***模式、***监视模式、*******模式、******模式等多种模式,支持直路和旁路同时部署 |
| 具有完整且互不影响的虚拟***能力,*台设备虚拟多个设备,每个虚拟设备不同内存空间,不同检测策略,不同时间控制,应对不同网络环境。 |
|
| 安全策略 |
内置****种以上的签名特征, 内置僵尸网络(******)特征库,僵尸网络(******) 特征规则数大于***条,提供产品界面截图 |
| 可自定义入侵攻击和应用软件的特征,可依据:**、***、***、****、****等**、**各项参数制订特征。制订选项完全符合***/**通讯协议标准,也可全面制订***/**应用层的特征比对内容,不受通讯协议之限制。 |
|
| 系统内置多种安全策略模板,******* *** 模板、******* *** 模板、***系统防护模板、探测扫描攻击防护模板、综合网络防护模板、***应用模板、**及恶意网站访问控制模板等至少*种有针对性的策略模板,并提供产品界面截图 |
|
| 可自定义管理政策以及策略运行时间 |
|
| 基于安全区、**地址(组、段)、规则(组、集)、时间、动作等对象,制定不同的规则和响应方式,提供产品功能截图 |
|
| ****支持 |
▲支持****及****网络环境运行,并可同时检测****及****的网络数据包。提供产品功能截图 |
| ▲安全事件监控 |
对事件的监控必须支持统计分析监控和实时监控,采用了专用网络入侵行为检测的方法(投标时提供公安部、国家保密局或国家知识产权局出具的相关证明文件复印件) |
| 统计监控器要能在*个配置页面中综合显示网络流量监控、告警等级统计、威胁分布图、攻击源**统计、目的**地址统计,此监控必须是通过实时采样及统计分析的实时数据,而且报表统计或历史数据查询,并提供产品界面截图 |
|
| 基本检测功能 |
采用全面深入的协议分析技术,结合模式匹配、协议识别、协议异常检测、关联分析等多种技术,准确识别各种攻击,能够检测各种主要的网络应用层协议; |
| 协议分析:支持对****、****、***、***、***、***、****、***、 ****、****、****等各种协议的分析 |
|
| 阻断蠕虫传播 防御操作系统漏洞攻击 |
在不影响合法流量正常通信的前提下,可以阻止拦截蠕虫、网络病毒、间谍软件、木马、**即时通讯、网络在线游戏、***下载、***在线视频 |
| ▲系统须具备双向检测能力﹐并可自定义检测方向,以检测来自外部网络的入侵攻击与管理内部网络的蠕虫感染与网络应用,提供产品功能截图, 产品支持*种网络入侵行为检测系统及检测方法,提供第*方权威机构的相关证明文件 |
|
| 系统须可支持在**** ***.** ****环境内进行检测 |
|
| ***能发现蠕虫入侵,并能立即丢弃尝试入侵的数据包,让蠕虫无法顺利扩散,能对***** ****、 ** *** ******* ****等蠕虫进行检测和控制; |
|
| 可针对*******、****、*****等操作系统的弱点进行防御,弱点类型包含了***** *** **** ****** ********、****** ****** *****、****** ****** *****、****** **********、 ****** ******* *** ****** ********等 |
|
| ***系统攻击防御 |
可针对***、******等不同的***服务器程序弱点进行防御,并可追踪管理 ***服务器对数据库的存取行为,禁止外部***注入请求 |
| 防御木马 |
检测基于*******、***、***、****等漏洞,可阻止访问者在浏览网站时被诱使植入木马的攻击;检测利用*******技术隐藏木马的********* ******文件,可阻止下载并启动这些文档;具有丰富的漏洞特征库可以实现对木马的精准拦截 |
| 间谍软件 |
可通过监测下载可执行程序、*******、**** ******等可以的活动,实现阻止间谍软件通过广告、浏览器漏洞、自定义*******插件等渠道实现安装 |
| ▲攻击防护 |
可依据******僵尸网络联机黑名单(***)以及特征码,侦测并切断僵尸网络联机。提供僵尸网络***功能截图 |
| 要求双向阻断***/***/****/****/** ********、***/**** ********等各种类型的***/****的攻击,要求类型包括****、*********、****** 等**种以上。提供产品功能截图 |
|
| 虚拟通道管理 |
▲支持对*** *********、 *******、 *******、 ******** 、 ****-******等流行的虚拟通道实现阻断管理,提供产品功能截图 |
| 异常流量监控及带宽管理 |
▲提供流量监控功能,可以根据协议、端口、源/目的**地址、网段、时间及带宽等因素,实现基于内容、面向对象的流量保护策略,支持的常用软件包括*******、*****、 *****、******(*****)、*****、*******、**********、*********等**余种;针对***引用的带宽限流,可精准到*****。提供产品功能截图 |
| 响应方式 |
支持丢弃数据包、中断连机、事件监视/记录 |
| 支持与防火墙联动 |
|
| 限制连接传输宽带、限制传输总量等多种处理方式 |
|
| 管理/报表 多级管理 和集中管理 |
系统须具备实时警报功能,可透过管理*******、*-**** *****等方式通知管理者,并可显示实时攻击事件信息﹐及透过****警示设备本身状况。 可生成多种格式的统计报表。并支持定时自动发送报表; |
| 系统可支持管理者自行定义或修改事件响应方式;支持***界面及命令行下的管理,***管理界面为全中文界面。 |
|
| ▲支持******日志处理功能,具备高性能的******日志处理和存储方法,能够快速处理日志信息的数据(投标时提供公安部、国家保密局或国家知识产权局出具的相关证明文件复印件) |
|
| 支持集中控制、集中管理功能,可实现集中式安全监控管理和配置管理。 |
|
| 可靠性要求 |
支持硬件******,保证设备在断电或宕机的情况下,不会引起网络中断 |
| 支持软件******,保证设备在下发策略、编译应用策略时,不影响网络以及探测器与管理器之间的正常通讯。 |
|
| 支持双机热备,基于**网络物理接口,可实现在设备宕机、端口坏等故障下的主机和从机的及时切换,切换时间小于*秒钟 |
|
| 设备的升级 |
厂商提供对规则库的升级更新,频率不低于每周*次; |
| 支持设备在线升级。 |
|
| ▲产品资质要求(投标时提供相关资质复印件) |
公安部销售许可证(*级) |
| 信息技术产品安全测评证书****级 |
|
| 国家保密局涉密信息系统产品检测证书 |
|
| ▲其他要求 |
*年原厂质保,*年特征库升级,中标后提供原厂商出具的售后服务承诺函并加盖原厂商公章 |
*、日志审计:*台
| 指标项 |
技术参数(带▲的指标必须满足,不允许负偏离) |
|
| ▲硬件和性能技术指标 |
采用多核处理器硬件构架,采用专用的多核多平台并行安全操作系统(投标时提供相关证书,必须要有“多核多平台并行”字样) |
|
| 事件采集性能:每秒采集****条事件 |
||
| 事件分析性能:每秒实时关联分析****条事件 |
||
| 端口配置≥*个**/***/***** ****-*电口。 |
||
| 存储空间≥*** |
||
| 本次采购**个审计节点许可 |
||
| 用户使用模式 |
界面***%都是*/*模式,无需安装客户端,使用**浏览器访问管理中心,浏览器端无需安装****运行环境。 |
|
| 管理范围 |
能够对企业和组织的**资源中构成业务信息系统的各种网络设备、安全设备、安全系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警等安全信息进行全面的审计。 |
|
| ▲日志审计对象 |
支持对各类网络设备(路由器,交换机)、安全设备(包括防火墙,***,***,***,防病毒网关)、安全系统(********、瑞星、江民、微软***、*******防火墙)、主机操作系统(包括*******, *******, *****, ***, **-**)、数据库(*** ******)以及各种应用系统(邮件,***,***,******)的日志、事件、告警等安全信息进行全面的审计。具有高性能的******日志处理和存储方法,提供支持此技术的相关知识产权证明或检测报告复印件投标时提供公安部、国家知识产权局或者国家保密局出具的相关证明文件复印件,如专利证书、检测报告等 |
|
| 日志采集方式 |
通过 ****、******、数据库、文件、*******、*****、软件日志采集器、硬件探针等多种方式完成数据收集功能。 |
|
| ▲智能监控频道 |
智能监控频道为用户提供了*个从总体上把握企业和组织整体安全情况的界面。通过智能监控频道,用户可以快速导航到系统的各个功能界面,可以看到当前企业和组织的整体安全等级;监控频道显示的内容用户可以任意定制,监控频道的布局用户也可以定制;用户可以定义多个监控频道,并保存,每个用户登录后可以直接导航他定义的监控频道界面。(要求提供配置界面截图) |
|
| 资产管理 |
按照设备资产重要程度和管理域的方式组织设备资产,提供便捷的添加、修改、删除、查询与统计功能,便于安全管理和系统管理人员能方便地查找所需设备资产的信息,并对资产进行关键度赋值。 |
|
| 日志归*化处理 |
日志收集后进行字段和安全等级的归*化处理,并保留原始日志,方便用户对关键日志快速定位 |
|
| 日志查询 |
日志采用统*的日志查询界面,简单实用,快捷方便;用户可以自定义各种查询场景,并以树形结构组织。 |
|
| 日志实时分 |
监控管理人员可以通过日志分析对来自企业和组织所有的日志进行实时查询、分析和统计,从而快速识别安全事故。所有的日志分析结果都以场景的方式列举出来,管理人员可以方便的在各种分析场景之间快速切换,提高分析工作的效率。管理员可以自定义日志分析的场景。对于分析结果可以通过柱图、饼图、曲线图等形式形象地展示出来,并自动实时刷新。 |
|
| 分析和统计 |
日志实时分析在内存中完成,不需借助数据库和文件系统 |
|
| ▲事件可视化展现 |
除了能够将事件以柱图、饼图等图形统计事件信息外,还能够通过世界地图定位**地址,通过事件攻击图展示网络安全态势,通过行为分析图展示*段时间内的用户访问行为,并支持雷达图反映当前事件流量。(要求提供配置界面截图) |
|
| 日志在线挖掘 |
系统具备事件挖掘能力:管理员通过事件调查工具可以对某条感兴趣的日志中的源**地址、目的**地址、或者目的端口进行相关性日志检索。 |
|
| 事件追溯 |
对于关联事件,用户可以进行追溯,查看导致该关联事件的所有原始事件 |
|
| ▲事件定位 |
能够在世界地图上实时定位事件源/目的**地址的地理位置(要求提供配置界面截图) |
|
| 规则管理 |
提供可视化规则编辑器,对规则进行增删改查。在事件分析引擎的驱动下,根据事件关联规则,针对来自企业和组织的海量事件进行关联分析,抽取出对于安全管理人员真正有用的安全信息,从而协助安全管理人员快速识别安全事故。可对不同类型设备的日志之间进行关联分析。 |
|
| 日志采集器管理 |
可以对所有注册了的通用日志采集器的工作状态进行实时监控,包括采集器的启动、停止,以及配置采集器发送什么类型的日志到管理中心。 |
|
| 告警和响应管理 |
通过关联分析,对于发现的严重事件可以进行自动告警。告警方式包括邮件、短信、**** ****告警的方式通知管理人员。响应方式包括:自动执行预定义脚本,自动将事件属性作为参数传递给特定命令行程序。此外,还支持设备联动,即可以在告警后对防火墙/****/网络设备下发联动策略,及时阻断威胁。 |
|
| 报表管理 |
提供丰富的报表管理功能;根据时间、数据类型等生成报表,提供打印、导出以及邮件送达等服务;直观地为管理员提供决策和分析的数据基础,帮助管理员掌握网络及业务系统的状况。报表可以保存为****,*****,文本,***等多种格式。提供自定义报表,用户可根据自身需要进行定制。报表可根据设置自动运行。 |
|
| ▲产品资质要求 |
公安部《计算机信息系统专用产品销售许可证》增强型(提供相关复印件) |
|
| 中国信息安全认证中心《中国国家信息安全产品认证证书》(**)增强级(提供相关复印件) |
||
| ▲其他要求 |
*年原厂质保,中标后提供原厂商出具的售后服务承诺函并加盖原厂商公章 |
*、运维审计(堡垒机):*台
| 指标项 |
技术参数(带▲的指标必须满足,不允许负偏离) |
|
| 系统架构 |
产品外观 |
标准**机架式 |
| 产品架构 |
软硬件*体化产品 |
|
| 部署方式 |
旁路部署,不影响原有网络结构 |
|
| 访问方式 |
采用*/*结构,采用*****方式访问,无需安装任何代理 |
|
| 网络接口 |
*个**/***/****自适以太网网口(*个管理口,*个采集口,*个热备口,*个备口)。*个*******口,支持*******口管理 |
|
| 数据安全性 |
专用千兆多核硬件平台和安全操作系统,****不少于*万小时,支持双机热备,支持集群 |
|
| 数据存储 |
系统标配****硬盘 |
|
| ▲性能要求 |
并发会话数 |
图形并发会话数&**;=*** |
| 字符型并发会话数&**;=*** |
||
| 本次配置**个审计节点许可 |
||
| 功能要求 |
基础功能 |
提供系统自身状态的监控功能,包括:***工作情况,内存使用情况,磁盘使用情况,网卡使用情况,系统自身数据库工作情况,系统自身***服务工作情况,系统自身其他关键组件工作情况等。 |
| 可以使用***方式对系统进行重启和关机。 |
||
| 可以对系统的时间进行设置,可以同步***服务器上的时间(需打***版本升级包)。 |
||
| 支持系统自身程序通过***方式升级。 |
||
| 支持日志的备份、导出和恢复。 |
||
| 支持双机热备、冷备、主主模式。 |
||
| 支持协议 |
▲使用远程终端服务:例如******、***之上的命令行接口(***)。(投标时需要提供功能截图) |
|
| 使用文件传输协议:例如***、****等。 |
||
| 使用远程窗口和桌面:例如*******的远程桌面(***),和****的*******。 |
||
| 使用各种数据库客户端:例如各种数据库的******程序、****、****,以及多种其它数据库工具。 |
||
| 服务器访问方式 |
▲***访问方式:通过审计系统的***管理页面直接访问服务器(不需要安装代理,无需安装***等)。要求系统具备*种基于用户的安全访问控制的方法技术,为避免虚假应标,投标时提供自主知识产权证明复印件 |
|
| 支持***、***、***、***、******、***等访问协议。 |
||
| ▲客户端方式支持***、***、***、***、******、***、****、******、*****、******等。(投标时需要提供功能截图) |
||
| 支持客户端(*********、*****)***** *******功能,能够直接*****到目标服务器的访问会话。 |
||
| 登录菜单访问:客户端访问审计系统即可显示用户能访问的资源清单菜单,用户通过字符菜单活图形菜单选择方式直接访问服务器。 |
||
| 菜单访问方式支持***、***、***、***、******、***等协议。 |
||
| 支持******* **域功能。 |
||
| 操作行为记录 |
▲对***、******、***、***/****、数据库操作进行审计。系统支持网络集中管理平台上的事件处理系统及处理方法,投标时提供支持此技术的国家知识产权证明复印件。 |
|
| 记录发生时间、源**、目标**、源端口、目标端口、操作指令、运维审计系统用户、目标服务器账号、访问结果等消息。 |
||
| 对***、***、***等图形终端操作的连接情况进行记录及审计,消息记录访问开始时间、源**、目标**、源端口、目标端口、运维审计系统用户、目标服务器账号等信息。 |
||
| 能够记录***协议中的活动窗口名称、删除文件等动作,并能记录***会话中的键盘输入信息。 |
||
| 会话过程回放 |
支持倍速/低速播放、拖拽、暂停、停止、重新播放等播放控制操作。 |
|
| 身份认证及访问授权 |
支持多种认证方式:密码、动态口令、******、指纹识别。 |
|
| 系统支持短信授权操作 |
||
| 支持***单点登录功能,使用人员不需要知道服务器账号及密码,无需进行*次登录认证。 |
||
| 支持限制运维用户访问源**功能。 |
||
| 授权分为运维审计管理功能授权和资源访问授权。内部管理功能授权可以限制到某个树形节点的范围内。 |
||
| 支持授权的流程管理。支持流程申请人、审批人、执行人的委派。授权需要申请人定义申请单,发起事件申请;事件可以多人审批,审批人收到申请后可以同意或拒绝申请,同意时可以指定执行人进行实际的管理动作的执行 |
||
| 支持按用户组、资源组方式进行访问授权。 |
||
| 运维审计内部管理功能权限支持角色定义,角色可以针对目录树的节点定义,从而使角色即可以限制能够使用的功能项,也达到角色权限只在某个树形节点范围内生效。 |
||
| 资源管理 |
能够添加、修改、删除被管资源。 |
|
| 支持自定义添加资源类型和操作系统提 |
||
| 支持应用发布服务器代理方式调用*/*架构并可无限制自定义添加多种行业应用软件, 但不进行代填实现单点登录提供界面截图 |
||
| 支持资源的分组管理,分组可以树形方式展现,不限制分组层级数量 |
||
| 资源类型支持*******主机、域控主机、域控内主机、****主机、各种网络设备、安全设备、网元、数据库等。 |
||
| 支持资源接入的流程管理,支持流程申请人、审批人、执行人的委派。资源的接入需要申请人定义申请单,发起事件申请;事件可以多人审批,审批人收到申请后可以同意或拒绝申请,同意时可以指定执行人进行实际的管理动作的执行。(需升级到***版本) |
||
| 系统支持将堡垒机内的单点登录信息导出为*********可导入的格式 |
||
| 产品自带***单点登录控件,运维工作站不需要安装部署*********、*********等终端仿真程序,即可通过***、******、***、***、*******等网管协议对资源进行运维操作。 |
||
| 对于数据库、***、专用*/*客户端程序支持以应用发布的方式进行授权和审计。 |
||
| 访问控制及异常告警 |
支持根据**地质、时间、用户名、操作指令等内容设定安全时间规则。 |
|
| 支持黑、白名单控制,可根据黑白名单的命令集限制用户的操作权限。 |
||
| 对违规的事件进行告警及自动阻断。 |
||
| 客户端地址策略可以应用于主帐号,也可以应用于从帐号。 |
||
| 实时监控 |
支持实时审计。操作人员对于资源的访问,审计员可以实时查看。 |
|
| 实时会话监控列表:显示会话连接状态。显示会话来源、目标地址、账号及访问人信息。(投标时需要提供功能截图) |
||
| 同步监控操作过程:支持对操作过程进行同步监控,执行会话回放、监控和阻断操作。 |
||
| 系统状态监控:实时监控审计系统***、内存、磁盘的使用情况。 |
||
| 审计系统监控:记录审计系统自身的管理操作,保障审计系统自身安全。 |
||
| 组态报表 |
系统具备组态报表功能,支持用户自定义报表模板,可以通过制定动态模板、静态模板,可以对各种数据进行组合查询。查询结果可以导出***、****、***等多种格式报表文件。 |
|
| 用命令关键字进行审计结果查询时,可以同时输入多个命令,为多命令查询提供便利。 |
||
| 按照预设统计报表模板和命令关键字等条件进行查询统计时,可以同时输入多个命令,为多命令的统计报表提供便利。 |
||
| 支持以****或*****方式输出。 |
||
| 支持自定义模板,支持*次开发定制报表。 |
||
| 系统管理功能 |
支持短信网关配置功能 |
|
| 支持金税***认证 |
||
| 支持从***管理界面重启、关闭设备。 |
||
| 运维终端安全检查 |
||
| 支持从***界面修改网卡**设置、静态路由设置等内容。 |
||
| 支持页面超时设置,*段时间页面未进行任何操作后,将自动结束页面登*会话。 |
||
| 对外接口 |
对所有审计日志提供外发接口,可以配置只外发字符审计,也可以配置外发所有审计(将字符和图形录像的审计日志外发其他设备),并且可以配置对端端口。 |
|
| 支持认证接口,可以配置认证服务器地址和端口。 |
||
| 系统扩展 |
支持**扩展,可以将审计日志输出到**平台。 |
|
| 支持与***联动,可以将审计日志输出到***平台。 |
||
| 产品资质(投标时提供相关资质复印件) |
公安部销售许可证 |
|
| 国家网络与信息安全信息通报机制技术支撑单位,并提供证明文件。 |
||
| 国家信息安全服务*级资质; |
||
| 具备******级应急能力资质; |
||
| 具备******级风险评估服务资质; |
||
| ▲其他要求 |
*年原厂质保,中标后提供原厂商出具的售后服务承诺函并加盖原厂商公章 |
|
*、数据库审计:*台
| 指标项 |
技术参数要求 |
| ▲硬件规格 |
国产品牌 |
| 标准**机架*体化设备(审计引擎和数据引擎*体化) |
|
| 具备≥*个千兆以太网电口 |
|
| *个扩展槽,可扩展*端口万兆、*端口千兆接口板(光/电任选) |
|
| &**;=**本地存储 |
|
| 交流单电源 |
|
| ▲性能要求 |
***处理能力≥*****条/秒 |
| 每**本地存储可提供≥**亿条日志存储能力 |
|
| 实配不少于**个数据据库服务器或实例审计 |
|
| 部署方式 |
支持分布式部署集中管理方式 |
| 支持旁路部署方式和串联部署方式 |
|
| 支持系统危险链路旁路阻断功能和危险链接串联阻断功能 |
|
| 支持本地探针部署方式和远程探针部署方式 |
|
| 支持双机热备部署方式(主备、主主) |
|
| 多合*功能 |
单*设备即可同时支持包括数据库审计、数据库防火墙、风险扫描、状态监控、数据库透明加密、运维审计等功能,可按需扩展。(需提供设备配置截图证明) ▲投标时提供*种***洪水攻击的防御方法和装置自主知识产权证明复印件; 提供*种事件的检测方法及装置专利证书(投标时提供证书复印件) |
| 数据库兼容性 |
支持******、*****、***、******、********、****、人大金仓、南大、神通、达梦等主流数据库审计 |
| 数据库审计 |
数据库访问记录应至少包括发生时间、业务用户名、操作终端主机名及**地址、终端工具名称、服务器端主机名及**地址、数据库名、表名、***语句、响应时间、返回结果等关键信息 |
| 支持对***语句执行结果(成功/失败)、***语句执行时间、***语句执行异常等数据库操作响应信息的审计 |
|
| 支持变量绑定值的记录:很多基于数据库的查询是通过**** ********完成的。这就要求审计系统不光要记录查询中**** ********的变量的名字,还要记录**** ********的数值 |
|
| 支持时间、**地址、用户名、终端名的黑白名单策略,可将已知可信用户、可信时间之外的操作定义为高风险操作 |
|
| 支持定义事件类型,每种事件类型可以对应多个事件策略,不同策略命中的事件可以有高、中、低等多个风险级别 |
|
| 能够自动记录和分析***语句并快速制定安全策略,包括:将***语句归纳为不同的集群;支持定义所有***的相应威胁程度,至少包括高、中、低、提醒等告警级别 |
|
| 能够定义所有***日志的归并策略,可以将同类型的多条安全事件进行汇聚,并可以限定同类型安全事件的记录条数 |
|
| 系统提供白名单规则策略、黑名单规则策略、正则表达式规则策略、关键字表达式规则策略、例外规则策略 |
|
| 能够过滤数据库客户端运行过程中自动产生的***语句,减少不必要的干扰信息 |
|
| 基于***,***等数据库协议识别解析数据库操作语句,而不是基于简单的文本识别 |
|
| 可对日志进行细粒度解析,支持审计数据库操作(**)、对象管理(**)、控制(**)等操作语句的审计,解析后的日志记录至少包括访问发生时间、客户端**地址、客户端***、终端程序、访问账号、访问数据库名、操作表名、***语句、数据库响应时间以及返回结果等关键信息 |
|
| 审计策略与规则 |
设备必须自带默认审计策略,支持用户自定义策略和规则,系统必须支持配置操作行为的黑名单、白名单,方便用户灵活配置审计规则 |
| 审计规则设置支持以服务器**、数据库类型、数据库表、操作类型设定的各种组合审计规则,还支持以关键字设定规则 |
|
| 白名单设置 |
支持对于符合条件的***语句直接放行,不进行记录 |
| 支持以操作类型、时间、**地址、用户名、主机名、终端名、数据库操作类型、数据库表、影响的行、字符串、认证结果、响应时间、敏感数据、等作为事件识别规则 |
|
| 支持时间、**地址、用户名、终端名的白名单策略,将已知可信用户、可信时间之外的操作识别为高风险操作 |
|
| 审计告警 |
内置自动告警设置,允许用户设定威胁自动告警,告警必须提供级别设定,至少提供致命、高风险、中风险、低风险*种告警级别 |
| 支持******、**** ****、邮件、***等多种事件告警方式 |
|
| 检索 |
支持通过**地址、用户名、操作类型、关键词、时间等基本条件查询审计事件 |
| 支持通过策略名称、操作来源名称、风险级别、事件类型查询审计事件 |
|
| 支持***关键字翻译功能,支持将审计记录中***语句关键字翻译成中文,便于非专业人员阅读(需提供设备配置截图证明) |
|
| 支持将审计日志的敏感字段进行模糊化处理,防止敏感数据泄露(需提供设备配置截图证明) |
|
| **亿条日志的任意关键字组合(包括通配符)检索时间&**;**分钟 |
|
| 提供对风险和危害访问的分析,包括:高危操作分析和追踪、大规模数据泄露分析和追踪、批量数据篡改分析和追踪、***注入行为分析和追踪 |
|
| 审计日志管理 |
支持按日志属性、日志类型、时间范围进行数据备份,自动与手动两种备份归档方式 |
| 支持***将数据备份到其他存储上,以备本机硬盘空间不够的情况下,数据能够依然保存 |
|
| 支持还原转储出去的数据,还原之后数据可在系统中查询 |
|
| #数据库防火墙 |
按照***操作类型包括******、******、******、******,对象拥有者,及基于表、视图对象、列进行权限控制(需提供设备配置截图证明) |
| 基于自学习机制的风险管控模型,主动监控数据库活动,防止未授权的数据库访问、权限或角色升级,以及对敏感数据的非法访问等。 |
|
| 数据加密 |
支持对数据库表中的敏感字段、行、列指定加密算法及权限配置。(需提供设备配置截图证明) |
| 支持对加密过的密文建立索引,提高检索的速度。 |
|
| 数据库状态监控 |
系统界面可以显示数据库的用户、缓冲区击中率、共享内存等变化趋势图。 |
| 系统界面可以显示数据库的索引效率、查询统计、查询缓冲命中率等信息。 |
|
| 系统支持设置数据库状态参数阈值,触发阈值时可快速告警。 |
|
| 数据库状风险扫描 |
内置漏洞扫描功能,无需单独安装软件;支持发现式漏洞扫描,支持漏扫报告生成和导出。(需提供设备配置截图证明) |
| 密文权限控制 |
对于密文数据的操作访问,系统可以进行增强的权限控制,用户必须同时具有***和***的授权,才能对加密字段进行操作访问。 |
| 系统支持增删改查操作,函数、存储过程及主外键、唯*索引、*** **等重要约束透明。 |
|
| ****、****、***等开发接口透明。 |
|
| 报表功能 |
支持对***语句操作类型统计、事件类型统计、风险级别统计、流量统计,同时按在线用户、客户端**、会话、模板数等支持在线信息统计 |
| ▲界面及安全管理 |
支持基于***方式的远程管理方式,采用*****进行安全加密的配置管理 |
| 提供管理员权限设置和分权管理,提供*权分立功能,系统可以对使用人员的操作进行审计记录,可以由审计员进行查询,具有自身安全审计功能 |
|
| 为降低部署、管理复杂度,*台设备完成所有工作,采集(审计引擎)、审计(数据中心)、管理系统等功能均集中在同*设备内,无须部署其他软、硬件 |
|
| 产品资质 |
《计算机信息系统安全专用产品销售许可证》 《计算机软件著作权登记证书》 《软件产品登记证书》 |
| ▲其它 |
中标后*个工作日内,招标人有权要求投标人提供同型号产品进行上述功能要求的逐*测试验证,全部通过后才能执行合同流程,测试中发现虚假应标的行为将予以废标处理并保留对该厂商追究相关责任的权利。 |
| 管理功能 |
具备应用监控管理功能(投标时提供界面截图证明) |
| 具备脆弱性管理功能(投标时提供界面截图证明) |
|
| ▲具备等级保护管理功能(投标时提供界面截图证明) |
|
| 高可靠性 |
所投产品要必须与******安全设备实现双机联动部署,保障整体网络系统的安全可靠不间断运行,全面实现系统业务访问综合安全可靠性;(需在投标文件中阐述实现原理和实施方案)。 |
| 厂商要求(投标时提供证书复印件) |
产品厂家应为******网络安全应急服务支撑单位证书(国家级,**年最新颁发新证) |
| 涉及国家秘密的计算机信息系统集成甲级资质证书 |
|
| 计算机信息系统集成企业*级资质证书 |
|
| 国家信息安全服务资质认证证书_信息安全风险评估服务*级资质 |
|
| 国家信息安全服务资质认证证书_应急处理*级资质 |
|
| 国家信息安全漏洞库技术支撑单位 |
|
| 产品成熟度达到*****认证 |
|
| 中国互联网网络安全威胁治理联盟成员单位证书 |
|
| 厂家通过信息安全等级保护安全建设服务机构能力评估合格认证 |
|
| ▲服务要求 |
*年质保服务,投标时提供*年原厂浙江公司服务承诺函;原厂免费现场服务、产品的安装、培训由原厂工程师完成实施。可通过原质保厂商的官方网站或***电话查询其设备的用户归属为“最终用户的准确名称”;设备的包装箱必须为原厂且注明最终用户的名称为“最终用户的准确名称” |
*、应用负载均衡系统:*套
| 指标项 |
指标要求(▲为关键指标,不允许负偏离) |
| 基本形态 |
软件版▲平台能够支持任何云平台和虚拟化,能*键部署到任何云平台/虚拟化,能跟随虚拟化和云平台出现单点故障时自动漂移到可用的物理服务器上。(支持任何虚拟化和云平台:华为、***、阿里、微软、******,等) |
| 硬件支持 |
▲平台能够支持任何硬件的***和内存和网口(***可支持*颗以上,内存可支持****以上,网口可以支持*个万兆口以上)。能随时根据用户需求调整***颗数和内存的大小。单万兆口负载不低于*.**流量。并发数最大可以支持****万 |
| 负载方式 |
平台支持*-*层应用负载均衡,至少*种负载方式:简单的轮询、权重、最少连接、源**、请求的***、根据请求的***参数、根据****请求头来锁定每*次****请求、很据******(****)来锁定并哈希每*次***请求 |
| 快速转发 |
平台支持***加速、支持响应池、能够实现*复制转发 |
| 压力测试 |
▲平台支持应用压力测试,能对应用服务器进行压力测试,支持端口扫描,能探测应用服务器的所有端口,方便用户进行应用负载配置和对后台服务器的处理性能评估 |
| 配置模式 |
▲平台可以支持代理模式的负载均衡,在不修改应用服务器的任何配置和任何交换机的配置,就能对实际应用服务器负载(跨网段,跨路由) |
| 相关证书 |
提供计算机软件著作权登记证书 |
| 售后服务 |
提供原厂*年服务承诺函,中标方应在中标后*个工作日内提供产品测试,如无法满足招标需求将作为废标处理 |
*、*** ***网关:*台
| 指标项 |
技术参数要求(▲为关键指标,不允许负偏离) |
| *** *** 性能要求 |
******加密速度≥******* |
| ******并发用户数≥*** |
|
| ******每秒新建用户数≥** |
|
| ********加密速度≥****** |
|
| ********并发会话数≥****,********隧道数≥*** |
|
| 防火墙吞吐量≥******* |
|
| 最大并发会话数目≥***,*** |
|
| 网络接口≥*个千兆电口 |
|
| 电源:单电源 |
|
| 尺寸** |
|
| 业务需要 |
为提升我单位信息安全系统的自主可控能力,产品必须支持中国国家标准的商用密码算法(简称“国密”),包括:***(含****),***、***、***。 |
| ▲为保证我单位第*方接入的安全性,保证我单位核心系统数据不外泄,要求设备支持安全桌面功能,强制受保护的业务系统仅可在安全桌面下使用;退出安全桌面后清除安全桌面内*切操作和遗留的痕迹,保证重要应用使用的安全性。支持文件导出的审计、数据加密保存、离线访问等功能。(提供产品配置界面证明) |
|
| ▲为加强我单位身份认证,防止登录*** ***后冒名登录应用系统,必须支持主从认证账号绑定,实现*** ***账号与应用系统账号的唯*绑定,***资源中的系统只能以指定账号登*。(提供产品配置界面证明) |
|
| 我单位具有多条外网线路,要求设备必须支持至少*条以上的外网多线路配置;并在设备单臂部署模式下,多线路接入前置网关,仅依靠******设备同样可实现******接入用户的多线路自动优选功能 |
|
| ▲为保证本次采购的设备性能的可扩展性,支持***台不同型号设备间进行集群(*/*),支持路由模式、单臂模式下多线路部署的集群;要求设备支持多机非对称集群等部署方式。(例如设备支持****并发用户,如今后增加到****并发用户,则仅需要购买*台支持****并发用户的设备,与原设备组成非对称集群即可,两台设备必须同时激活。)(提供界面配置截图并加盖公章) |
|
| ▲为解决我单位对访问中的移动设备(手机、***)管理的难题,必须支持设备注册、数据擦除、丢失告警等移动设备管理功能,同时能够在*** ***登录客户端下载或打开单位移动业务应用(提供界面配置截图并加盖公章) |
|
| ▲为满足我单位已开发的***安全接入业务系统需求,必须提供集成的***于*******、***平台的第*方软件开发包(***),实现对***的***安全模块封装,为减少开发量,代码量不超过**行(要求提供代码****和企业证明);为提升***开发效率,提供***安全模块***封装平台,无需手动开发,实现在***控制后台直接上传***应用并封装(提供界面截图证明),针对我单位***业务安全接入需要,产品必须支持*次开发要求,厂商必须免费提供*次开发技术支持。 |
|
| 基本特性 |
为满足我单位移动用户安全接入及分支机构组网的需求,要求本次招标产品为专业***设备,采用标准***、*** 协议,同时支持***** ***、******两种***,非插卡或防火墙带***模块设备。 |
| 支持对基于****、*****、*********、***、*.***、****、****、******、***等的所有*/*、*/*应用系统,支持基于***、***、****等**层以上的协议的应用,例如即时通讯、视频、语音、****等服务; |
|
| ▲为保证***客户端接入兼容性,必须支持多种终端系统,如*********、*********、********、********、******* *****、******* **、*** **、*****、****.*等及以下版本,使用包括****及以下版本或其他**内核的浏览器,以及非**内核浏览器,如******* ****,****** ******,*******,******,*****最新版登录******系统,登录后可完整支持各种**层以上的*/*和*/*应用。 |
|
| *** ***应具备基于用户的***虚拟专线功能,移动用户在接入***内网的同时断开与********其他连接的功能。支持***断线重连功能。 |
|
| 易用性 |
为保障*台设备为多个不同用户群体服务的使用效果,实现设备的最大利用率,要求投标产品可支持虚拟门户功能,在*台设备上配置不同的访问域名、**地址,以及不同的使用界面,实现*台设备为多个不同用户群体服务的的使用效果。每*台虚拟设备都支持独立的管理员进行管理。 |
| 为减少用户使用业务系统所需录入用户名密码的次数,提升用户体验,本次招标产品需支持单点登录功能(***),支持移动用户登录***后再登录内部*/*、*/*应用系统时不需要*次重复认证。支持针对*/*单点登录用户名密码加密传输,保证安全;支持针对不同的访问资源设定不同的***用户名和密码,支持用户自行修改***账号。 |
|
| 安全性 |
▲为防止不法分子利用********等工具进行***欺骗而突破经过***加密的协议,从而获得单位数据,产品必须支持在用户登录******时智能判断存在此类中间人攻击行为,断开被攻击的连接,并可提示异常现象。(可提供证明材料) |
| 为确保远程移动用户接入单位内网时不会将公网上的各种威胁,如病毒、木马、黑客攻击等引入内网,要求本次招标产品支持用户登*前和登*后的客户端安全性检测,检测范围包括:进程、文件、注册表、操作系统等,可以根据检测出来的安全级别不同给予不同的访问资源控制。 |
|
| 身份认证 |
为满足不同级别用户的不同安全级别需求,产品必须支持***** ** 、*** ***、短信认证、硬件特征码、动态令牌、数字证书认证、****、******、等认证方式;可针对用户/用户组设置认证方式的与、或组合,可进行用户名/密码、****、*** ***、硬件特征码、短信认证或动态令牌的*因素捆绑认证,为保证后期认证的可拓展性,支持多种短信认证平台,如***、****制式短信猫、**********、**********嘉迅版等 |
| 为保障接入我单位核心系统终端的合法性,要求设备支持客户端主机硬件特征码认证,通过获取客户端的硬件信息生成******证书(支持*******、***、*******等系统),实现******证书和用户账户的绑定,实现接入终端的唯*性控制,支持硬件特征码自动生成及自动审批,单台***设备可扩展同时支持*套以上**根证书; |
|
| 高可用性 |
为保障多链路情况下,我单位系统访问的稳定性与高速性,要求设备支持启用多线路时,自动检测故障线路,并自动踢出故障线路;*旦线路恢复,可在*定时间内自动恢复。 |
| ▲为保障我单位***网页访问质量,必须支持针对不同的***页面进行数据优化,通过动态压缩技术,基于数据流进行压缩,减少不必要的数据传输。(提供界面配置截图,并提供自主知识产权证明) |
|
| ▲为避免我单位业务跨平台兼容性,降低多平台开发的工作量,必须支持将移动终端或其他系统无法兼容的业务系统运行于服务器端,办公人员通过无法兼容的系统登录***后直接使用业务系统,同时为保障远程访问的快速性,支持改写远程传输协议(**********),通过有损压缩算法、过滤动态内容技术(***/*****/*****)以减少传输流量(必须提供配置界面截图) |
|
| ▲我单位人员分布广,为保障恶劣网络情况下的接入速度,设备需支持单边加速功能,即在客户端不安装任何插件的情况下,实现跨运营商高丢包、高延时下的快速接入。(提供自主知识产权证明并加盖公章) |
|
| ▲针对我单位*/*资源,为提升访问质量,需支持动态缓存、********等技术,提高***页面响应速度。同时通过流缓存技术,实现网关与网关、网关与移动客户端之间进行多磁盘、双向、削减冗余数据,降低带宽压力(提供界面配置截图,并提供自主知识产权证明)支持针对不同的***页面进行数据优化,支持动态压缩技术,基于数据流进行压缩,减少不必要的数据传输。 |
|
| 为保障高可用性,要求设备在负载均衡集群部署模式下,支持授权漂移,即当集群中*台设备宕机,该宕机设备中的并发授权自动迁移到其他正常的设备中,而无需额外购买授权。 |
|
| 支持**级以上的管理员分级分权限管理,从*****派生树形结构下级管理员; |
|
| 移动智能终端支持 |
针对我单位还未开发***的*/*应用程序,产品必须支持应用虚拟化功能,可以无需*次开发,即把该应用发布到移动智能终端中。 |
| 远程应用发布数据传输过程中使用******协议加密,加密算法支持中国家标准的商用密码算法(简称国密),保证了数据传输的合法性和安全性;远程应用发布客户端应支持***图标发布资源。远程应用发布应该支持云存储,能够将手机、***、**电脑中的文档、照片等上传到云端,或下载到本地终端。 |
|
| ▲产品应该支持企业级“云盘”(又名“网盘”、“文件共享”)功能,即可以通过手机、**、****的客户端,将数据、文件同步到云端或和分享到终端。 |
|
| 日志管理 |
为帮助我单位更好的管理***接入用户,要求设备支持外置独立日志中心进行******实时日志记录,可详细记录用户访问资源记录(用户、主机**、资源、时间)、管理员日志(管理员、主机**、时间、管理行为、对象)、系统日志、告警日志;可根据用户名、主机**等信息进行用户行为查询;可提供用户组/用户流量排行及查询、资源流量排行及查询、资源活跃程度、用户活跃程度等记录;提供暴破登录记录;可提供用户登*******采用非绑定账号访问应用系统的记录 |
| ▲为满足我单位多数据量的保存及等保建设要求,保障日志平台运行稳定且高可用性,必须支持外置数据中心,同时免费提供自有服务器虚拟化软件(提供软件著作权证书)及对应物理***授权,服务器虚拟化能够根据实际用户和流量规模合理分配硬件资源,保障最优资源分配。同时,外置数据中心能够与服务器虚拟化底层联动,优化磁盘读写,提高查询速度 |
|
| 防火墙 |
为保障设备的安全性,产品应具备基于状态监测技术的防火墙功能,能够抵抗常见的网络攻击,能够进行包过滤或***、***、***口之间访问控制;为了避免人为配置错误,产品必须支持对防火墙的过滤规则能够进行在线虚拟测试。 |
| 资质要求 |
提供中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》 |
| 提供公安部信息安全产品检测中心颁发的《**/* ***-****信息安全技术 虚拟专用网安全技术要求》*级或*级以上检测报告(*级以上为*级、*级) |
|
| ▲保障我单位未来****可扩展性,提供**** *****认证证书,在全球****测试中心官网可查 |
|
| 设备生产厂商需为国家密码管理局发布的《*** ***技术规范》起草单位之* |
|
| 设备生产厂商具有国家密码管理局颁发的《商用密码产品生产定点单位证书》 |
|
| 设备生产厂商具有国家密码管理局颁发的《商用密码产品销售许可证》 |
|
| ▲为保障软件开发质量,要求厂商具有*****级认证。(提供证书复印件) |
|
| 品牌及应用成熟度 |
▲为了保证交付质量,必须提供*** ***必须在近*年内至少曾有*年在中国国内*** ***或***硬件市场占有率为前*名,提供权威的第*方机构数据证明 |
*、杀毒系统:*台
| 技术指标项 |
技术参数要求(▲为关键指标,不允许负偏离) |
||
| ▲系统管理 |
控制中心:采用*/*架构管理端,具备设备分组管理、策略制定下发、全网健康状况监测、统*杀毒、统*漏洞修复、网络流量管理、终端软件管理、硬件资产管理以及各种报表和查询等功能,配置***个*******终端许可;*年原厂病毒库免费升级服务,本次配杀毒功能及补丁功能 |
||
| 客户端:与安全控制中心通信,提供控制中心管理所需的相关数据信息;执行最终的木马病毒查杀、漏洞修复等安全操作。 |
|||
| 病毒、恶意代码、木马防护 |
▲要求产品本身具备病毒检测功能,并且通过*********、****、******等各大国际评测机构联合认证。(要求提供证明文件) |
||
| 要求产品具备本地引擎查杀能力 |
|||
| 要求产品具备公有云检测能力,并且公有云特征储备超过***亿。 |
|||
| 支持私有云查杀,预置至少*亿黑名单及****万全面的白名单,终端威胁统*到控制中心查询黑白并进行查杀 |
|||
| ▲要求产品在断网状态下具备不依赖病毒库特征的情况下对未知病毒查杀的能力(提供国内知识产权局的专利受理证明与国际***专利受理证明) |
|||
| 要求产品具备主动防御技术(提供至少*项以上技术专利受理证明) |
|||
| 要求产品具备应用级沙箱技术 |
|||
| 按病毒、木马显示展示全网涉及的终端,可查杀指定或全部木马、加入信任;按终端显示展示全网每个终端存在的病毒、木马及可查杀的 |
|||
| 补丁分发与漏洞修复 |
要求产品生产公司具备微软热补丁修复功能(至少需要**个以上为用户提供*******漏洞修复的热补丁案例证明文件) |
||
| 要求产品生产公司具备面向微软官方级别漏洞发现能力(提供****年至今少**个以上微软漏洞发现案例与相关截图,与微软官方确认截图) |
|||
| 产品具备漏洞集中修复,强制修复,定时修复;具备蓝屏修复功能(要求提供截图) |
|||
| 产品具备漏洞集中修复过程中的流量控制和保证带宽,补丁分发支持服务端带宽限流与客户端***补丁分发加速,有效节省外网带宽资源 |
|||
| 资产管理 |
单点维护 |
按终端维度展示终端的硬件、软件、操作系统、网络、进程等信息;可监控***温度、硬盘温度和主板温度 |
|
| 支持硬件变更,展示终端硬件变动记录,可确认变更或删除记录 |
|||
| 支持软件变更,展示终端软件变动记录,可确认变更或删除记录 |
|||
| 支持插件清理,按插件显示展示全网存在的插件和涉及的终端,可清理指定或全部插件、加入信任;按终端显示展示全网每个终端存在的插件,可清理插件(提供产品界面截图) |
|||
| 支持远程协助终端、远程关机、重启终端 |
|||
| 终端发现 |
支持手动配置服务器、扫描参数、进行周期性扫描,可手动配置发现的终端类型 |
||
| 支持统计指定分组或全网的终端扫描数、终端安装数、未安装终端数及安装率。 |
|||
| 软件管理 |
支持软件监控,按软件显示展示全网安装的软件和涉及的终端;按终端显示展示全网每个终端安装的软件 |
||
| 支持软件分发,向指定或全网终端分发软件,支持终端接收软件后自动运行,支持定义软件运行参数 |
|||
| 支持文件黑白名单,管理员自定义文件的黑白属性,黑名单中的文件不能运行,白名单中的文件可以运行 |
|||
| 支持文件审计,对全网终端的所有文件保持完整的审计,方便鉴定恶意软件从何而来并立即阻止恶意软件继续运行 |
|||
| 支持进程管控功能,支持设置进程黑名单,在黑名单里面的进程不可运行;可设置核心进程必须运行,也可保护核心进程不被结束 |
|||
| 终端安全运维管控 |
流量管理 |
可统计全网终端或终端应用程序的上传,下载速度与流量;可限制指定或全网终端的上传及下载速度 |
|
| 非法外联 |
支持冗余有线网卡、无线网卡、**网卡、*****、****、****等设备的外联控制;违规外联发生时可针对内外网连接状态分别设置违规处理措施 |
||
| 应用程序安全 |
支持终端进程红名单、黑名单、白名单,确保在线、离线终端合规 |
||
| 网络安全防护 |
支持网址白名单,通过信任网址白名单可以管理企业网络内信任的网址,加入信任后终端不再将此网址视为威胁 |
||
| 外设管理 |
支持对终端各种外设(***存储、硬盘、存储卡、光驱、打印机、扫描仪、摄像头、手机、平板等)、接口(***口、串口、并口、****、*****)设置使用权限 |
||
| 桌面安全加固 |
支持对终端桌面系统的账号密码、本地安全策略、控制面板、屏保与壁纸、浏览器安全、杀毒软件检查 |
||
| 移动存储介质管理 |
支持客户端自主申请移动存储介质注册; |
||
| **防护 |
支持对**系统进行系统加固、热补丁修复、危险应用隔离、“非白即黑”安全策略*大修复措施 |
||
| 终端准入 |
支持旁路终端准入部署方式,避免串行设备部署单点故障; |
||
| 支持基于终端的***,可以基于协议、端口来控制终端流量,从而无需操作交换机达到终端网络控制目的 |
|||
| 支持入网健康检查策略,策略检查项至少包括:远程桌面、*盘自动运行、防火墙、**获取方式、文件共享、屏幕保护、空密码、**代理;支持终端修复向导,对不合规的终端提供软隔离,并进行修复向导和*键修复功能 |
|||
| 安全审计 |
支持指定扩展名的文件访问、修改、删除、移动等行为的审计 |
||
| 支持网络共享输出控制与审计 |
|||
| 支持特定路径或扩展名的文件访问、修改、删除、移动等行为的限制并审计 |
|||
| 日志报表 |
展示全网终端健康状态、报警信息;可方便的查看不健康、亚健康终端列表; |
||
| 展示指定时间段内指定终端修复漏洞,病毒查杀,木马查杀的情况 |
|||
| 支持大数据引擎系统,可将全网终端日常运维数据汇聚存储分析,并根据客户运维管理所需的要求定制报表 |
|||
| 其它 |
支持与旁路威胁检测系统设备联动,达到边界联动防御效果 |
||
| 支持控制中心数据恢复与备份 |
|||
| 产品资质和 公司资质(提供证书复印件) |
销售许可证、软件著作权、军*+ |
||
| 网络安全应急服务支撑单位(国家级) |
|||
| 中国国家信息安全漏洞库支撑单位 |
|||
| 国家信息安全漏洞共享平台技术组成员 |
|||
| 微软****伙伴 |
|||
| ***联盟会员 |
|||
*、网络接入控制系统:*台
| 指标项 |
技术规格要求(▲为关键参数,不允许负偏离) |
| ▲性能参数 |
标准机架设备, 至少满足*个千兆电口,*个****串口; |
| 整机吞吐量≥*******,支持准入终端数量≥*** |
|
| 准入方式 |
*. ▲ 支持有线、无线基于应用协议准入方式,准入配置支持保护服务器区域、例外终端等灵活的配置方式。(要求提供截图) *. 支持基于应用协议的访问控制,并提供灵活的访客控制列表。 *. 支持基于受控域的入网流程配置,区分有线和无线网络,能够针对有线和无线网络分别采用有客户端和无客户端方式准入。 *. 支持临时用户的接入请求,并且可以限制临时用户入网时间长和强制临时用户下线。 *. 支持标准***.**准入,终端提供详细的入网合规性检查报告,支持动态****、动态***下发,且无需登录交换机。支持账号同时在线用户上限、账号有效时长等限制。 |
| 入网合规性检查 |
*. ▲入网条件必须符合健康检查策略,策略检查项至少包括:远程桌面、*盘自动运行、防火墙、**获取方式、文件共享、屏幕保护、空密码、**代理。(要求提供截图) *. 支持对入网终端所安装的软件、服务、进程设置黑白名单,管理员可以自己编辑黑白名单。 *. 支持基于终端的***,可以基于协议、端口来控制终端流量,从而无需操作交换机达到终端网络控制目的。 *. 支持终端入网分数配置,检查项分值配置,并提供友好的操作 界面。 *. 支持终端修复向导,对不合规的终端提供软隔离,并进行修复向导和*键修复功能。 *. 支持用户和****绑定、用户和***绑定、用户和健康检查策略绑定等灵活配置。 |
| 联动功能 |
*. 支持与终端安全管理系统联动,无需额外安装客户端。终端安全管理系统至少包括集成杀毒和主动防御,完成对用户终端的全方位立体保护。 *. ▲支持与本地****连接、第*方****连接、 **域等联动,来完成用户鉴别功能,以达到终端用户实名制入网。(要求提供截图) |
| 客户端功能 |
▲支持基准变更,将指定或全部硬件变更记录加入基准,下次判断硬件是否有变更时根据新的基准来判断(要求提供截图) 可显示展示全网存在的漏洞和涉及的终端,可修复指定或全部漏洞、忽略指定或全部漏洞;按终端显示全网每个终端存在的漏洞,可取消忽略原来忽略过的漏洞,可设置预先忽略补丁,可设置关闭 ******* ******,提供蓝屏修复功能(要求提供截图) 可设置指定或全网终端使用*盘的权限,分为可读写、只读和禁用*种权限;可查询指定时间范围内终端使用*盘的情况(要求提供截图) 支持全网终端体检,可在集中管理端主页进行全网体检,安全监控所有终端状态 可展示全网存在的木马和涉及的终端,可查杀指定或全部木马、加入信任;按终端显示展示全网每个终端存在的木马,可查杀木马。(要求提供截图) 支持硬件监测,按终端维度展示终端的硬件,包括电脑型号、***、内存、硬盘、设备**等;可监控***温度、硬盘温度和主板温度(要求提供截图) ▲支持软件监控,按软件显示展示全网安装的软件和涉及的终端;按终端显示展示全网每个终端安装的软件(要求提供截图) |
| 系统管理功能 |
*. 支持系统自身运行***、内存等信息展示功能。 *. 支持系统用户添加、修改密码、修改系统时间、配置系统网卡**、配置系统默认网关等管理功能。 *. 支持系统中重点服务的展示、启用、停止等功能。 |
| 高可用性 |
*. 支持系统双机热备、数据同步等功能 *. 支持逃生机制 |
| 升级部署 |
支持界面升级、部署方式方便简洁,不影响用户网络。 |
| 系统日志 |
支持查看违规访问日志、心跳日志、认证日志等系统日志记录 |
| ▲联动性 |
考虑用户终端性能问题,终端杀毒软件与准入控制必须为同*品牌 |
| 资质要求 |
公安部计算机信息系统安全专业产品销售许可证 |
| 产品具有计算机软件著作权登记证书 |
|
| 公司具备网络安全应急服务支撑单位(国家级) |
|
| 中国国家信息安全漏洞库支撑单位 |
**、云网络监测系统:*台
| 技术指标 |
指标要求 |
| 系统构架 |
标准*/*结构、支持***/拨号监测。 |
| ▲基本要求 |
网络版,提供*套安装介质和中心管理许可证,配置不低于****个监测节点,监测节点无需安装任何*****或客户端;支持******、*****-*、***、阿里云等环境快速部署。 |
| ▲功能要求 |
权限分配:支持建立用户组权限,根据权限不同分配不同的功能模块给不同用户或组使用,用户建立不限制数量,根据等保要求可实现*权分离。 |
| 无代理自动巡检:可以巡检任何应用、线路、设备,出现问题手机短信通知,网络或应用进行日常维护时调整时后台可*键关闭所有的自动巡检,防止误报。 |
|
| 实时流量管理:实时查看监测节点设备端口的即时流量信息;可根据自定义阀质实现流量告警。 |
|
| **地址管理:**地址列表:扫描网络中所有机器的**地址,并显示该**地址所对应机器的设备类型;地址关联性:针对有地址映射的服务器能快速识别地址对应关系;** ***地址关联:将设备的**地址与***地址进行自动关联,当设备修改**地址或更换设备后***地址或**地址自动更新。支持地址批量导入和导出 |
|
| 资产管理:自动生成监测节点的硬件基本资产信息,并可进行维护,可添加设备的购买时间、上线时间、所属部门及维保信息等,详细记录监测节点的硬件维修信息。 |
|
| 配置管理:各监测节点设备配置文件可自动存储到中心管理端,支持定时抓取设备配置信息,配置信息支持按不同时间版本自动存放。 |
|
| **部门工单:支持将设备问题转化为工单,自动分配,流转处理,详细记录;并自动通过手机短信提醒维护人员处理。 |
|
| 自动合同管理:根据设备项目合同情况,实现合同服务内容到期短信提醒乙方服务,合同终止则自动停止提醒;如定期巡检合同内容。 |
|
| **知识库:日常维护操作知识可添加插入到知识库,支持知识库冗余性、矛盾性自动对比。 |
|
| 产品质保及相关证书: |
提供计算机软件著作权登记证书。 中标后采购人有权要求中标人提供产品测试; 中标后提供原厂*年服务承诺函。 |
**、**** ****服务器内存扩容:*项
| 指标项 |
技术参数要求 |
| 内存 |
原有*台服务器内存升级,**** ****服务器原装内存条**根。 |
**、动环监控系统:*套
| 技术指标 |
指标要求 |
| 基本要求 |
环境监控*套(*个温湿感、*个烟感、*个漏水、*个高低温声光报警器) |
| 监控平台功能要求 |
要求实现集中监控以下内容: ? 机房温湿度 *点 ? 漏水监测 *点 ? 烟雾报警 *点 ? 高低温声光报警 *点 机房环境监测系统需要完成对上述设备的监测,集中反映工作状态,收集和分发设备发出的处理信息和其它值得关注的情况,记录运行信息,追踪设备工作历史状态 |
**、视频监控系统:*套
| 技术指标 |
指标要求 |
| 基本要求 |
包括*路高清网络视频监控录像主机*台;高清网络视频摄像机*个。 |
| 视频监控录像主机要求 |
*路带网络视频输入,网络视频接入带宽不少于******; 不少于*路****输出;分辨率支持:**(*********),*********;*路***输出接口; 录像分辨率支持:***/***/***/*****/****/****/***等; 同步回放不少于*路;回放模式支持:即使回放、常规回放、事件回放、标签回放、日志回放; 录像管理:支持手动录像、定时录像、事件录像、移动侦测录像、动测或报警录像、动测且报警录像; 硬盘驱动器:配置*块不少于** ****接口硬盘; 接口:*个****,**/***/*****自适应网络接口;*个****.*接口,*个****.*接口;支持语音对讲输入。 ***接口,*个**** **/****自适应网口,*** ***供电; |
| 高清网络视频摄像机 |
***万像数高清红摄像机;最小照度 *.***** @(**.*,*** **) ,* *** **** **;*.* *** @(**.*,*** **), * *** **** **;镜头 ***、水平视场角:**.*°(***,***,****,可选);红外照射距离**米;工作温度和湿度 -**℃~**℃,湿度小于**%(无凝结);电源供应 *****±**%/ ***(***.***)。 |
**、实施辅材: *项
| 技术指标 |
指标要求 |
| 配套辅材 |
精密空调外机风叶,内机过滤网等配件,以及包含项目实施所需的光纤跳线、*类网络跳线以及扎带、标签等;包括安装、调试所涉及的*切费用。 |
**、安全服务:*项
| 技术指标 |
指标要求 |
| ▲基本要求 |
对原有的网络安全设备进行优化调整。依据国家标准**/******-****《信息安全技术信息系统安全等级保护基本要求》且满足以下需求: 要求按照等级保护规定将国土局网络按照安全域划分,按照双网隔离方案分为信息内网和信息外网。 安全域实现方式以划分逻辑区域为主,旨在实现各安全区域的逻辑划分,明确边界以对各安全域分别防护,并且进行域间边界控制。 进行等保测评时,现场配合测评,并按要求免费提供技术现场支持。 |
| 安全域的划分 |
防火墙安全隔离:采用防火墙 进行边界隔离,在每两个安全域的边界部署防火墙分别与不通的安全域连接进行访问控制,防火墙采取*权分立原则; 虚拟防火墙隔离:采用虚拟防火墙实现各安全域边界隔离,将*台防火墙在逻辑上划分为多台虚拟的防火墙,每个虚拟防火墙系统都可以被看成*台完全独立的防火墙设备,可以拥有独立的系统资源、安全策略等; 隔离网闸:不同的安全域级别之间部署隔离网闸,安全域互相独立。 |
| 要求定期对网络环境,网络设备,系统进行检测,有问题或者漏洞补丁更新做到及时处理: |
|
| 针对网络设备: |
启用访问控制功能,依据安全策略控制用户对资源的访问; 关闭防火墙设备、交换机的******服务,启用安全的***和*****管理服务; 修改网络设备出厂时的默认口令,且口令应满足长度不小于*为、含字母数字和字符的复杂强度要求; 网络设备,防火墙交换机等要求开启日志审计功能,并配置日志服务器保存日志信息; 要求调整现有审计设备,审计范围覆盖到服务器和重要客户端的每个操作系统用户; 要求审计内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内的重要相关时间; 要求审计记录包含事件的日期、时间、类型、主体标识、客体标识和结果等; 所有网络设备均应开启网络设备登录失败处理功能、限制非法登录次数、当网络登录连接超时时自动退出等措施; |
| 针对操作系统 |
结合我单位现有网络设备或系统; 要求实现操作系统特权用户的权限分离,即*权分立; 要求限制默认账户的访问权限,重命名系统默认账户,修改账户的默认口令; 要求及时删除多余的、过期的账户、避免共享账户的存在; 要求对主机的登录要有严格的身份标识和鉴别; 要求有严格的访问控制策略限制用户对主机的访问与操作; 要求有严密的安全审计策略保证主机出现故障时可查; |
| 信息安全风险评估 |
分析机房所有信息资产(包括硬件、软件、文档和数据、人力、业务应用、物理环境、组织管理等)的稳定性、可靠性、保密性、可用性、完整性等安全属性,对涉及安全的关键资产进行确认和划控。 |
| 对资产(包括硬件、业务应用、物理环境、组织管理等)面临哪些潜在威胁,导致威胁的问题所在,威胁发生的可能性有多大等问题进行分析。 |
|
| 从技术方面,全面分析系统存在的各种脆弱性,分析弱点被利用的可能性。 |
|
| 分析已有的安全措施对安全风险的控制作用; |
|
| 分析当前系统仍存在的风险并给出相应控制和管理风险的建议; |
|
| 提供评估报告; |
|
| 信息系统加固修复 |
对现有信息安全管理体系中存在的问题进行优化和完善,并协助甲方完成相关文档的编写和宣传 |
| 对全网的网络设备和安全设备进行修复加固和漏洞扫描 |
|
| 确认主机操作系统、应用系统的安全策略未被更改或还原 |
|
| 查找现有信息安全管理制度与*级要求之间的差距 |
|
更正为:
*、服务器区防火墙:*台
| 指标项 |
指标要求 (▲为关键指标项,不允许负偏离) |
| ▲系统架构 |
系统采用多核***+架构架构,硬件设计采用高性能*体化智能安全处理引擎,要求提供计算机软件著作权登记证书,证书上要求有“智能安全处理引擎”字样 |
| ▲硬件规格 |
标准机架式**机箱 |
| 要求配置≥*个**/***/********-*接口,*个***插槽,支持扩展双电源,本次配置为单电源 |
|
| ▲处理性能 |
网络处理能力≥*** |
| 并发连接数≥***万 |
|
| 每秒新建连接≥**万/秒 |
|
| 网络适应能力 |
产品支持路由、透明、交换以及混合模式接入,满足复杂应用环境的接入需求 |
| 产品支持多个纯透明子桥 |
|
| 支持桥接口 |
|
| 支持***.**标准生成树协议,支持**** *****功能,支持****接口,支持****子接口 |
|
| 支持子接口 |
|
| ▲*层接口**地址支持*****和******类型(要求提供功能截图) |
|
| 支持**** ******和**** ****** ****** |
|
| 接口支持配置***个**地址 |
|
| 支持聚合接口,聚合接口支持路由和交换两种工作模式 |
|
| 聚合模式(*******模式)支持*种:轮询、热备、***.*** |
|
| ▲***.***方式支持*种负载算法:根据源目的***组合、根据***和**组合、根据**和***/***端口组合(要求提供功能截图) |
|
| 支持安全域的配置,包括*层安全域和*层安全域 |
|
| 支持隧道接口 |
|
| ▲支持使用命令对策略路由默认优先级进行调整(要求提供功能截图) |
|
| ▲要求系统具备*种安全网关中进行安全策略统*处理的方法及装置技术,为避免虚假应标,必须提供自主知识产权证明复印件 |
|
| ▲支持根据应用进行智能选路(要求提供功能截图) |
|
| 支持基于权重的路由负载均衡,算法支持:轮循、源地址****、源目的地址**** |
|
| ****支持 |
支持****地址配置 |
| 支持****邻居的动态管理和静态配置 |
|
| 支持*****和*****(要求提供功能截图) |
|
| 支持****静态路由 |
|
| ▲支持****安全策略,要求提供高性能****防火墙系统计算机软件著作权登记证书复印件 |
|
| 访问控制能力 |
▲支持基于源目的**地址、源目的安全域、**** **、***地址、时间、用户、地理区域、服务协议及应用等多种方式进行访问控制 |
| 支持基于用户及应用的安全策略 |
|
| 支持基于地理区域的安全策略 |
|
| 支持可按时间生效的**地址黑名单及***地址黑名单 |
|
| 支持基于安全域的**-***绑定 |
|
| 链路冗余能力 |
支持多路由负载均衡,最大可支持*条链路负载,支持自定义负载权重 |
| 支持基本网关配置,支持*种均衡方式:最优路径、流量、会话、主机 |
|
| ▲最优路径的负载均衡方式支持*种链路探测类型:****、***、****,探测失败可自动进行链路负载重置、备份链路切换操作(要求提供功能截图,) |
|
| 最优路径支持链路带宽、繁忙占用比例、探测地址和最优链路出接口的配置 |
|
| 支持***路由负载均衡,最大可支持*条链路负载,支持自定义负载权重 |
|
| 支持***路由链路备份,支持自定义优先级 |
|
| 虚拟防火墙功能 |
可支持***个虚拟系统 |
| 支持虚系统接口 |
|
| 支持系统资源(***、内存和存储空间)的分配 |
|
| 支持基础防火墙功能(路由、安全策略、***)的独立配置 |
|
| 支持攻击防护、黑名单和入侵防御功能的独立配置 |
|
| 支持虚系统配置、日志及监控统计的独立管理 |
|
| 虚拟安全防护 |
支持虚拟*层安全域、虚拟*层安全域,可实现业务的分组与隔离 |
| 支持构建虚系统来实现业务的分组与隔离、管理的分组与隔离,以及各个虚系统防护策略的可定制化 |
|
| ****功能 |
可支持**** **、***、** |
| 可支持**、***、**下的****功能 |
|
| 支持通过****协议进行日志审计、配置管理以及状态监控 |
|
| 高可用性 |
▲系统支持双机热备功能,要求支持路由和透明模式下的“主-备”、“主-主”模式,要求系统必须具备自主研发的多防火墙负载均衡技术,须提供相应证明文件 |
| 支持配置、动态信息的自动同步 |
|
| 支持抢占模式和非抢占模式 |
|
| 支持**中基于权重的接口监控 |
|
| 支持**中基于权重的链路探测 |
|
| 抗攻击能力 |
支持基于安全域的攻击防护配置 |
| 可抵御*** *****、**** *****、*** *****、** *****、**地址扫描攻击、端口扫描、**** ** *****、********、**选项、***异常、*****、*******、****、*******等多种攻击 |
|
| 支持*** ******设置 |
|
| 防病毒 |
提供全面、强劲的病毒检测及防护功能,支持通过对****和***方式上传、下载文件、页面,或****、****、****协议发送的电子邮件及其附件等进行病毒扫描,并可以根据扫描结果进行相应的处理 |
| 支持的压缩文件解压层数,默认为*。最大支持*层 |
|
| ▲支持病毒云查杀(要求提供功能截图) |
|
| ▲基于安全云的威胁防护与系统联动 |
支持与终端防护系统进行联动,可通过终端部署的终端防护系统搜集分析用户终端产生流量的*元组信息、终端进程信息及应用的***信息等,统*传递至防火墙后再提交安全云中心,之后*方面由云中心对应用进行检测识别,记录相关信息;另*方面扫描检测存在的已知或未知的病毒、****漏洞、未知恶意代码和***攻击等信息。然后将所有信息传递至防火墙,动态生成对应的应用管控策略或木马查杀策略 |
| 木马专项防护 |
▲支持与终端防护系统进行联动及木马云查杀功能生成日志或者动态策略。生成的木马专项查杀动态策略可以在数据被监测携带木马时,根据动态策略配置阻断数据或者记录日志(要求提供功能截图) |
| 防弱口令扫描 |
支持针对***、****、****、****协议防弱口令扫描功能,可以帮助用户记录或者拦截网络中猜测***用户名密码,邮件用户名密码的行为。并支持生成动态策略,下发给防火墙,再次受到相同攻击时,用户可以选择禁止还是允许口令猜测的行为 |
| 动态策略 |
▲防火墙动态策略功能,可以通过与入侵防护策略、防弱口令扫描、***天眼系统联动,生成动态策略信息,根据用户在基本配置中配置的动态策略动作,命中动态策略的数据将会被阻断或者记录日志(要求提供功能截图) |
| 系统管理能力 |
支持管理员的*权分立,支持多种管理员角色权限:超级、审计、安全、配置、账户、虚系统配置、虚系统审计管理权限 |
| ▲支持自定义管理权限,包括模块:系统、网路、路由、对象、安全、***、***、用户认证、行为管理、应用安全、日志、监控、账户、虚系统(要求提供功能截图) |
|
| ▲支持特征库在线升级,支持指定升级服务器和代理服务器(要求提供功能截图) |
|
| 支持历史配置保存,可记录*个不同时间点的历史配置文件(要求提供功能截图) |
|
| 日志审计能力 |
安全日志、***日志和攻击日志可按照策略中的各个元素(如**、服务、用户、攻击名等)进行高级过滤查看 、 |
| 可提供自有品牌管理软件对日志进行收集、分析,并能提供详尽日志统计报表 |
|
| 支持****告警和邮件告警 |
|
| 支持***、磁盘空间、内存*种告警阈值设定 |
|
| 系统监控能力 |
支持设备首页全局监控,包括:*.设备面板监控;*.接口信息监控;*.系统信息监控;*.资源状态监控;*.并发连接数监控;*.入侵防御监控;*.基于流量的应用排行;*.基于用户的应用排行 |
| 支持对在线认证用户的监控,可显示用户的客户端地址、认证服务器、引用个数及在线时长等信息 |
|
| 安全诊断能力 |
支持在***下的在线抓包 |
| 支持在***下的调试工具 |
|
| 产品资质要求复印件加 |
▲计算机信息系统安全专用产品销售许可证 |
| ▲国家信息安全测评信息技术产品安全测评证书(****+级) |
|
| 中国国家信息安全产品认证证书(*级) |
|
| 软件产品登记证书 |
|
| 厂商资质要求复印件 |
设备制造商要求国家密码管理局《***** ***技术规范》以及《*** ***技术规范》编制单位 |
| 设备制造商要求具备********信息技术服务管理体系认证证书 |
|
| 设备制造商要求具备中国通信企业协会通信网络安全服务能力评定证书(安全设计与集成乙级) |
|
| ▲其他要求 |
*年原厂质保,中标后提供原厂商出具的售后服务承诺函并加盖原厂商公章 |
*、入侵防御***:*台
| 指标项 |
技术参数(带★的指标必须满足,不允许负偏离) |
| ▲设备基本要求 |
采用多核处理器硬件构架,采用专用多核并行安全操作系统软件架构,具备多核多平台并行安全操作系统著作权证书(投标时提供相关证书,必须要有“多核多平台并行”字样) |
| 至少具备*个**/***/*****自适应以太网口,*个扩展槽 |
|
| 至少支持*路***或*路*** |
|
| 支持内置******功能 |
|
| 吞吐量≥**** **** |
|
| 工作模式 |
支持***模式、***学习模式、***模式、***监视模式、*******模式、******模式等多种模式,支持直路和旁路同时部署 |
| 具有完整且互不影响的虚拟***能力,*台设备虚拟多个设备,每个虚拟设备不同内存空间,不同检测策略,不同时间控制,应对不同网络环境。 |
|
| 安全策略 |
内置****种以上的签名特征, 内置僵尸网络(******)特征库,僵尸网络(******) 特征规则数大于***条,提供产品界面截图 |
| 可自定义入侵攻击和应用软件的特征,可依据:**、***、***、****、****等**、**各项参数制订特征。制订选项完全符合***/**通讯协议标准,也可全面制订***/**应用层的特征比对内容,不受通讯协议之限制。 |
|
| 系统内置多种安全策略模板,******* *** 模板、******* *** 模板、***系统防护模板、探测扫描攻击防护模板、综合网络防护模板、***应用模板、**及恶意网站访问控制模板等至少*种有针对性的策略模板,并提供产品界面截图 |
|
| 可自定义管理政策以及策略运行时间 |
|
| 基于安全区、**地址(组、段)、规则(组、集)、时间、动作等对象,制定不同的规则和响应方式,提供产品功能截图 |
|
| ****支持 |
▲支持****及****网络环境运行,并可同时检测****及****的网络数据包。提供产品功能截图 |
| ▲安全事件监控 |
对事件的监控必须支持统计分析监控和实时监控,采用了专用网络入侵行为检测的方法(投标时提供公安部、国家保密局或国家知识产权局出具的相关证明文件复印件) |
| 统计监控器要能在*个配置页面中综合显示网络流量监控、告警等级统计、威胁分布图、攻击源**统计、目的**地址统计,此监控必须是通过实时采样及统计分析的实时数据,而且报表统计或历史数据查询,并提供产品界面截图 |
|
| 基本检测功能 |
采用全面深入的协议分析技术,结合模式匹配、协议识别、协议异常检测、关联分析等多种技术,准确识别各种攻击,能够检测各种主要的网络应用层协议; |
| 协议分析:支持对****、****、***、***、***、***、****、***、 ****、****、****等各种协议的分析 |
|
| 阻断蠕虫传播 防御操作系统漏洞攻击 |
在不影响合法流量正常通信的前提下,可以阻止拦截蠕虫、网络病毒、间谍软件、木马、**即时通讯、网络在线游戏、***下载、***在线视频 |
| 系统须可支持在**** ***.** ****环境内进行检测 |
|
| ***能发现蠕虫入侵,并能立即丢弃尝试入侵的数据包,让蠕虫无法顺利扩散,能对***** ****、 ** *** ******* ****等蠕虫进行检测和控制; |
|
| 可针对*******、****、*****等操作系统的弱点进行防御,弱点类型包含了***** *** **** ****** ********、****** ****** *****、****** ****** *****、****** **********、 ****** ******* *** ****** ********等 |
|
| ***系统攻击防御 |
可针对***、******等不同的***服务器程序弱点进行防御,并可追踪管理 ***服务器对数据库的存取行为,禁止外部***注入请求 |
| 防御木马 |
检测基于*******、***、***、****等漏洞,可阻止访问者在浏览网站时被诱使植入木马的攻击;检测利用*******技术隐藏木马的********* ******文件,可阻止下载并启动这些文档;具有丰富的漏洞特征库可以实现对木马的精准拦截 |
| 间谍软件 |
可通过监测下载可执行程序、*******、**** ******等可以的活动,实现阻止间谍软件通过广告、浏览器漏洞、自定义*******插件等渠道实现安装 |
| ▲攻击防护 |
可依据******僵尸网络联机黑名单(***)以及特征码,侦测并切断僵尸网络联机。提供僵尸网络***功能截图 |
| 要求双向阻断***/***/****/****/** ********、***/**** ********等各种类型的***/****的攻击,要求类型包括****、*********、****** 等**种以上。提供产品功能截图 |
|
| 虚拟通道管理 |
▲支持对*** *********、 *******、 *******、 ******** 、 ****-******等流行的虚拟通道实现阻断管理,提供产品功能截图 |
| 异常流量监控及带宽管理 |
▲提供流量监控功能,可以根据协议、端口、源/目的**地址、网段、时间及带宽等因素,实现基于内容、面向对象的流量保护策略,支持的常用软件包括*******、*****、 *****、******(*****)、*****、*******、**********、*********等**余种;针对***引用的带宽限流,可精准到*****。提供产品功能截图 |
| 响应方式 |
支持丢弃数据包、中断连机、事件监视/记录 |
| 支持与防火墙联动 |
|
| 限制连接传输宽带、限制传输总量等多种处理方式 |
|
| 管理/报表 多级管理 和集中管理 |
系统须具备实时警报功能,可透过管理*******、*-**** *****等方式通知管理者,并可显示实时攻击事件信息﹐及透过****警示设备本身状况。 可生成多种格式的统计报表。并支持定时自动发送报表; |
| 系统可支持管理者自行定义或修改事件响应方式;支持***界面及命令行下的管理,***管理界面为全中文界面。 |
|
| ▲支持******日志处理功能,具备高性能的******日志处理和存储方法,能够快速处理日志信息的数据(投标时提供公安部、国家保密局或国家知识产权局出具的相关证明文件复印件) |
|
| 支持集中控制、集中管理功能,可实现集中式安全监控管理和配置管理。 |
|
| 可靠性要求 |
支持硬件******,保证设备在断电或宕机的情况下,不会引起网络中断 |
| 支持软件******,保证设备在下发策略、编译应用策略时,不影响网络以及探测器与管理器之间的正常通讯。 |
|
| 支持双机热备,基于**网络物理接口,可实现在设备宕机、端口坏等故障下的主机和从机的及时切换,切换时间小于*秒钟 |
|
| 设备的升级 |
厂商提供对规则库的升级更新,频率不低于每周*次; |
| 支持设备在线升级。 |
|
| ▲产品资质要求(投标时提供相关资质复印件) |
公安部销售许可证(*级) |
| 信息技术产品安全测评证书****级 |
|
| 国家保密局涉密信息系统产品检测证书 |
|
| ▲其他要求 |
*年原厂质保,*年特征库升级,中标后提供原厂商出具的售后服务承诺函并加盖原厂商公章 |
*、日志审计:*台
| 指标项 |
技术参数(带▲的指标必须满足,不允许负偏离) |
|
| ▲硬件和性能技术指标 |
采用多核处理器硬件构架,采用专用的多核多平台并行安全操作系统(投标时提供相关证书,必须要有“多核多平台并行”字样) |
|
| 事件采集性能:每秒采集****条事件 |
||
| 事件分析性能:每秒实时关联分析****条事件 |
||
| 端口配置≥*个**/***/***** ****-*电口。 |
||
| 存储空间≥*** |
||
| 本次采购**个审计节点许可 |
||
| 用户使用模式 |
界面***%都是*/*模式,无需安装客户端,使用**浏览器访问管理中心,浏览器端无需安装****运行环境。 |
|
| 管理范围 |
能够对企业和组织的**资源中构成业务信息系统的各种网络设备、安全设备、安全系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警等安全信息进行全面的审计。 |
|
| △日志审计对象 |
支持对各类网络设备(路由器,交换机)、安全设备(包括防火墙,***,***,***,防病毒网关)、安全系统(********、瑞星、江民、微软***、*******防火墙)、主机操作系统(包括*******, *******, *****, ***, **-**)、数据库(*** ******)以及各种应用系统(邮件,***,***,******)的日志、事件、告警等安全信息进行全面的审计。具有高性能的******日志处理和存储方法,提供支持此技术的相关知识产权证明或检测报告复印件投标时提供公安部、国家知识产权局或者国家保密局出具的相关证明文件复印件,如专利证书、检测报告等 |
|
| 日志采集方式 |
通过 ****、******、数据库、文件、*******、*****、软件日志采集器、硬件探针等多种方式完成数据收集功能。 |
|
| △智能监控频道 |
智能监控频道为用户提供了*个从总体上把握企业和组织整体安全情况的界面。通过智能监控频道,用户可以快速导航到系统的各个功能界面,可以看到当前企业和组织的整体安全等级;监控频道显示的内容用户可以任意定制,监控频道的布局用户也可以定制;用户可以定义多个监控频道,并保存,每个用户登录后可以直接导航他定义的监控频道界面。(要求提供配置界面截图) |
|
| 资产管理 |
按照设备资产重要程度和管理域的方式组织设备资产,提供便捷的添加、修改、删除、查询与统计功能,便于安全管理和系统管理人员能方便地查找所需设备资产的信息,并对资产进行关键度赋值。 |
|
| 日志归*化处理 |
日志收集后进行字段和安全等级的归*化处理,并保留原始日志,方便用户对关键日志快速定位 |
|
| 日志查询 |
日志采用统*的日志查询界面,简单实用,快捷方便;用户可以自定义各种查询场景,并以树形结构组织。 |
|
| 日志实时分 |
监控管理人员可以通过日志分析对来自企业和组织所有的日志进行实时查询、分析和统计,从而快速识别安全事故。所有的日志分析结果都以场景的方式列举出来,管理人员可以方便的在各种分析场景之间快速切换,提高分析工作的效率。管理员可以自定义日志分析的场景。对于分析结果可以通过柱图、饼图、曲线图等形式形象地展示出来,并自动实时刷新。 |
|
| 分析和统计 |
日志实时分析在内存中完成,不需借助数据库和文件系统 |
|
| ▲事件可视化展现 |
除了能够将事件以柱图、饼图等图形统计事件信息外,还能够通过世界地图定位**地址,通过事件攻击图展示网络安全态势,通过行为分析图展示*段时间内的用户访问行为,并支持雷达图反映当前事件流量。(要求提供配置界面截图) |
|
| 日志在线挖掘 |
系统具备事件挖掘能力:管理员通过事件调查工具可以对某条感兴趣的日志中的源**地址、目的**地址、或者目的端口进行相关性日志检索。 |
|
| 事件追溯 |
对于关联事件,用户可以进行追溯,查看导致该关联事件的所有原始事件 |
|
| ▲事件定位 |
能够在世界地图上实时定位事件源/目的**地址的地理位置(要求提供配置界面截图) |
|
| 规则管理 |
提供可视化规则编辑器,对规则进行增删改查。在事件分析引擎的驱动下,根据事件关联规则,针对来自企业和组织的海量事件进行关联分析,抽取出对于安全管理人员真正有用的安全信息,从而协助安全管理人员快速识别安全事故。可对不同类型设备的日志之间进行关联分析。 |
|
| 日志采集器管理 |
可以对所有注册了的通用日志采集器的工作状态进行实时监控,包括采集器的启动、停止,以及配置采集器发送什么类型的日志到管理中心。 |
|
| 告警和响应管理 |
通过关联分析,对于发现的严重事件可以进行自动告警。告警方式包括邮件、短信、**** ****告警的方式通知管理人员。响应方式包括:自动执行预定义脚本,自动将事件属性作为参数传递给特定命令行程序。此外,还支持设备联动,即可以在告警后对防火墙/****/网络设备下发联动策略,及时阻断威胁。 |
|
| 报表管理 |
提供丰富的报表管理功能;根据时间、数据类型等生成报表,提供打印、导出以及邮件送达等服务;直观地为管理员提供决策和分析的数据基础,帮助管理员掌握网络及业务系统的状况。报表可以保存为****,*****,文本,***等多种格式。提供自定义报表,用户可根据自身需要进行定制。报表可根据设置自动运行。 |
|
| ▲产品资质要求 |
公安部《计算机信息系统专用产品销售许可证》增强型(提供相关复印件) |
|
| 中国信息安全认证中心《中国国家信息安全产品认证证书》(**)增强级(提供相关复印件) |
||
| ▲其他要求 |
*年原厂质保,中标后提供原厂商出具的售后服务承诺函并加盖原厂商公章 |
*、运维审计(堡垒机):*台
| 指标项 |
技术参数(带▲的指标必须满足,不允许负偏离) |
|
| 系统架构 |
产品外观 |
标准**机架式 |
| 产品架构 |
软硬件*体化产品 |
|
| 部署方式 |
旁路部署,不影响原有网络结构 |
|
| 访问方式 |
采用*/*结构,采用*****方式访问,无需安装任何代理 |
|
| 网络接口 |
*个**/***/****自适以太网网口(*个管理口,*个采集口,*个热备口,*个备口)。*个*******口,支持*******口管理 |
|
| 数据安全性 |
专用千兆多核硬件平台和安全操作系统,****不少于*万小时,支持双机热备,支持集群 |
|
| 数据存储 |
系统标配****硬盘 |
|
| ▲性能要求 |
并发会话数 |
图形并发会话数&**;=*** |
| 字符型并发会话数&**;=*** |
||
| 本次配置**个审计节点许可 |
||
| 功能要求 |
基础功能 |
提供系统自身状态的监控功能,包括:***工作情况,内存使用情况,磁盘使用情况,网卡使用情况,系统自身数据库工作情况,系统自身***服务工作情况,系统自身其他关键组件工作情况等。 |
| 可以使用***方式对系统进行重启和关机。 |
||
| 可以对系统的时间进行设置,可以同步***服务器上的时间(需打***版本升级包)。 |
||
| 支持系统自身程序通过***方式升级。 |
||
| 支持日志的备份、导出和恢复。 |
||
| 支持双机热备、冷备、主主模式。 |
||
| 支持协议 |
▲使用远程终端服务:例如******、***之上的命令行接口(***)。(投标时需要提供功能截图) |
|
| 使用文件传输协议:例如***、****等。 |
||
| 使用远程窗口和桌面:例如*******的远程桌面(***),和****的*******。 |
||
| 使用各种数据库客户端:例如各种数据库的******程序、****、****,以及多种其它数据库工具。 |
||
| 服务器访问方式 |
△***访问方式:通过审计系统的***管理页面直接访问服务器(不需要安装代理,无需安装***等)。要求系统具备*种基于用户的安全访问控制的方法技术,为避免虚假应标,投标时提供自主知识产权证明复印件 |
|
| 支持***、***、***、***、******、***等访问协议。 |
||
| ▲客户端方式支持***、***、***、***、******、***、****、******、*****、******等。(投标时需要提供功能截图) |
||
| 支持客户端(*********、*****)***** *******功能,能够直接*****到目标服务器的访问会话。 |
||
| 登录菜单访问:客户端访问审计系统即可显示用户能访问的资源清单菜单,用户通过字符菜单活图形菜单选择方式直接访问服务器。 |
||
| 菜单访问方式支持***、***、***、***、******、***等协议。 |
||
| 支持******* **域功能。 |
||
| 操作行为记录 |
▲对***、******、***、***/****、数据库操作进行审计。系统支持网络集中管理平台上的事件处理系统及处理方法,投标时提供支持此技术的国家知识产权证明复印件。 |
|
| 记录发生时间、源**、目标**、源端口、目标端口、操作指令、运维审计系统用户、目标服务器账号、访问结果等消息。 |
||
| 对***、***、***等图形终端操作的连接情况进行记录及审计,消息记录访问开始时间、源**、目标**、源端口、目标端口、运维审计系统用户、目标服务器账号等信息。 |
||
| 能够记录***协议中的活动窗口名称、删除文件等动作,并能记录***会话中的键盘输入信息。 |
||
| 会话过程回放 |
支持倍速/低速播放、拖拽、暂停、停止、重新播放等播放控制操作。 |
|
| 身份认证及访问授权 |
支持多种认证方式:密码、动态口令、******、指纹识别。 |
|
| 系统支持短信授权操作 |
||
| 支持***单点登录功能,使用人员不需要知道服务器账号及密码,无需进行*次登录认证。 |
||
| 支持限制运维用户访问源**功能。 |
||
| 授权分为运维审计管理功能授权和资源访问授权。内部管理功能授权可以限制到某个树形节点的范围内。 |
||
| 支持授权的流程管理。支持流程申请人、审批人、执行人的委派。授权需要申请人定义申请单,发起事件申请;事件可以多人审批,审批人收到申请后可以同意或拒绝申请,同意时可以指定执行人进行实际的管理动作的执行 |
||
| 支持按用户组、资源组方式进行访问授权。 |
||
| 运维审计内部管理功能权限支持角色定义,角色可以针对目录树的节点定义,从而使角色即可以限制能够使用的功能项,也达到角色权限只在某个树形节点范围内生效。 |
||
| 资源管理 |
能够添加、修改、删除被管资源。 |
|
| 支持自定义添加资源类型和操作系统提 |
||
| 支持应用发布服务器代理方式调用*/*架构并可无限制自定义添加多种行业应用软件, 但不进行代填实现单点登录提供界面截图 |
||
| 支持资源的分组管理,分组可以树形方式展现,不限制分组层级数量 |
||
| 资源类型支持*******主机、域控主机、域控内主机、****主机、各种网络设备、安全设备、网元、数据库等。 |
||
| 支持资源接入的流程管理,支持流程申请人、审批人、执行人的委派。资源的接入需要申请人定义申请单,发起事件申请;事件可以多人审批,审批人收到申请后可以同意或拒绝申请,同意时可以指定执行人进行实际的管理动作的执行。(需升级到***版本) |
||
| 系统支持将堡垒机内的单点登录信息导出为*********可导入的格式 |
||
| 产品自带***单点登录控件,运维工作站不需要安装部署*********、*********等终端仿真程序,即可通过***、******、***、***、*******等网管协议对资源进行运维操作。 |
||
| 对于数据库、***、专用*/*客户端程序支持以应用发布的方式进行授权和审计。 |
||
| 访问控制及异常告警 |
支持根据**地质、时间、用户名、操作指令等内容设定安全时间规则。 |
|
| 支持黑、白名单控制,可根据黑白名单的命令集限制用户的操作权限。 |
||
| 对违规的事件进行告警及自动阻断。 |
||
| 客户端地址策略可以应用于主帐号,也可以应用于从帐号。 |
||
| 实时监控 |
支持实时审计。操作人员对于资源的访问,审计员可以实时查看。 |
|
| 实时会话监控列表:显示会话连接状态。显示会话来源、目标地址、账号及访问人信息。(投标时需要提供功能截图) |
||
| 同步监控操作过程:支持对操作过程进行同步监控,执行会话回放、监控和阻断操作。 |
||
| 系统状态监控:实时监控审计系统***、内存、磁盘的使用情况。 |
||
| 审计系统监控:记录审计系统自身的管理操作,保障审计系统自身安全。 |
||
| 组态报表 |
系统具备组态报表功能,支持用户自定义报表模板,可以通过制定动态模板、静态模板,可以对各种数据进行组合查询。查询结果可以导出***、****、***等多种格式报表文件。 |
|
| 用命令关键字进行审计结果查询时,可以同时输入多个命令,为多命令查询提供便利。 |
||
| 按照预设统计报表模板和命令关键字等条件进行查询统计时,可以同时输入多个命令,为多命令的统计报表提供便利。 |
||
| 支持以****或*****方式输出。 |
||
| 支持自定义模板,支持*次开发定制报表。 |
||
| 系统管理功能 |
支持短信网关配置功能 |
|
| 支持金税***认证 |
||
| 支持从***管理界面重启、关闭设备。 |
||
| 运维终端安全检查 |
||
| 支持从***界面修改网卡**设置、静态路由设置等内容。 |
||
| 支持页面超时设置,*段时间页面未进行任何操作后,将自动结束页面登*会话。 |
||
| 对外接口 |
对所有审计日志提供外发接口,可以配置只外发字符审计,也可以配置外发所有审计(将字符和图形录像的审计日志外发其他设备),并且可以配置对端端口。 |
|
| 支持认证接口,可以配置认证服务器地址和端口。 |
||
| 系统扩展 |
支持**扩展,可以将审计日志输出到**平台。 |
|
| 支持与***联动,可以将审计日志输出到***平台。 |
||
| 产品资质(投标时提供相关资质复印件) |
公安部销售许可证 |
|
| 国家网络与信息安全信息通报机制技术支撑单位,并提供证明文件。 |
||
| 国家信息安全服务*级资质; |
||
| 具备******级应急能力资质; |
||
| 具备******级风险评估服务资质; |
||
| ▲其他要求 |
*年原厂质保,中标后提供原厂商出具的售后服务承诺函并加盖原厂商公章 |
|
*、数据库审计:*台
| 指标项 |
技术参数要求 |
| ▲硬件规格 |
国产品牌 |
| 标准**机架*体化设备(审计引擎和数据引擎*体化) |
|
| 具备≥*个千兆以太网电口 |
|
| *个扩展槽,可扩展*端口万兆、*端口千兆接口板(光/电任选) |
|
| &**;=**本地存储 |
|
| 交流单电源 |
|
| ▲性能要求 |
***处理能力≥*****条/秒 |
| 每**本地存储可提供≥**亿条日志存储能力 |
|
| 实配不少于**个数据据库服务器或实例审计 |
|
| 部署方式 |
支持分布式部署集中管理方式 |
| 支持旁路部署方式和串联部署方式 |
|
| 支持系统危险链路旁路阻断功能和危险链接串联阻断功能 |
|
| 支持本地探针部署方式和远程探针部署方式 |
|
| 支持双机热备部署方式(主备、主主) |
|
| 多合*功能 |
单*设备即可同时支持包括数据库审计、数据库防火墙、风险扫描、状态监控、数据库透明加密、运维审计等功能,可按需扩展。(需提供设备配置截图证明) ▲投标时提供*种***洪水攻击的防御方法和装置自主知识产权证明复印件; 提供*种事件的检测方法及装置专利证书(投标时提供证书复印件) |
| 数据库兼容性 |
支持******、*****、***、******、********、****、人大金仓、南大、神通、达梦等主流数据库审计 |
| 数据库审计 |
数据库访问记录应至少包括发生时间、业务用户名、操作终端主机名及**地址、终端工具名称、服务器端主机名及**地址、数据库名、表名、***语句、响应时间、返回结果等关键信息 |
| 支持对***语句执行结果(成功/失败)、***语句执行时间、***语句执行异常等数据库操作响应信息的审计 |
|
| 支持变量绑定值的记录:很多基于数据库的查询是通过**** ********完成的。这就要求审计系统不光要记录查询中**** ********的变量的名字,还要记录**** ********的数值 |
|
| 支持时间、**地址、用户名、终端名的黑白名单策略,可将已知可信用户、可信时间之外的操作定义为高风险操作 |
|
| 支持定义事件类型,每种事件类型可以对应多个事件策略,不同策略命中的事件可以有高、中、低等多个风险级别 |
|
| 能够自动记录和分析***语句并快速制定安全策略,包括:将***语句归纳为不同的集群;支持定义所有***的相应威胁程度,至少包括高、中、低、提醒等告警级别 |
|
| 能够定义所有***日志的归并策略,可以将同类型的多条安全事件进行汇聚,并可以限定同类型安全事件的记录条数 |
|
| 系统提供白名单规则策略、黑名单规则策略、正则表达式规则策略、关键字表达式规则策略、例外规则策略 |
|
| 能够过滤数据库客户端运行过程中自动产生的***语句,减少不必要的干扰信息 |
|
| 基于***,***等数据库协议识别解析数据库操作语句,而不是基于简单的文本识别 |
|
| 可对日志进行细粒度解析,支持审计数据库操作(**)、对象管理(**)、控制(**)等操作语句的审计,解析后的日志记录至少包括访问发生时间、客户端**地址、客户端***、终端程序、访问账号、访问数据库名、操作表名、***语句、数据库响应时间以及返回结果等关键信息 |
|
| 审计策略与规则 |
设备必须自带默认审计策略,支持用户自定义策略和规则,系统必须支持配置操作行为的黑名单、白名单,方便用户灵活配置审计规则 |
| 审计规则设置支持以服务器**、数据库类型、数据库表、操作类型设定的各种组合审计规则,还支持以关键字设定规则 |
|
| 白名单设置 |
支持对于符合条件的***语句直接放行,不进行记录 |
| 支持以操作类型、时间、**地址、用户名、主机名、终端名、数据库操作类型、数据库表、影响的行、字符串、认证结果、响应时间、敏感数据、等作为事件识别规则 |
|
| 支持时间、**地址、用户名、终端名的白名单策略,将已知可信用户、可信时间之外的操作识别为高风险操作 |
|
| 审计告警 |
内置自动告警设置,允许用户设定威胁自动告警,告警必须提供级别设定,至少提供致命、高风险、中风险、低风险*种告警级别 |
| 支持******、**** ****、邮件、***等多种事件告警方式 |
|
| 检索 |
支持通过**地址、用户名、操作类型、关键词、时间等基本条件查询审计事件 |
| 支持通过策略名称、操作来源名称、风险级别、事件类型查询审计事件 |
|
| 支持***关键字翻译功能,支持将审计记录中***语句关键字翻译成中文,便于非专业人员阅读(需提供设备配置截图证明) |
|
| 支持将审计日志的敏感字段进行模糊化处理,防止敏感数据泄露(需提供设备配置截图证明) |
|
| **亿条日志的任意关键字组合(包括通配符)检索时间&**;**分钟 |
|
| 提供对风险和危害访问的分析,包括:高危操作分析和追踪、大规模数据泄露分析和追踪、批量数据篡改分析和追踪、***注入行为分析和追踪 |
|
| 审计日志管理 |
支持按日志属性、日志类型、时间范围进行数据备份,自动与手动两种备份归档方式 |
| 支持***将数据备份到其他存储上,以备本机硬盘空间不够的情况下,数据能够依然保存 |
|
| 支持还原转储出去的数据,还原之后数据可在系统中查询 |
|
| #数据库防火墙 |
按照***操作类型包括******、******、******、******,对象拥有者,及基于表、视图对象、列进行权限控制(需提供设备配置截图证明) |
| 基于自学习机制的风险管控模型,主动监控数据库活动,防止未授权的数据库访问、权限或角色升级,以及对敏感数据的非法访问等。 |
|
| 数据加密 |
支持对数据库表中的敏感字段、行、列指定加密算法及权限配置。(需提供设备配置截图证明) |
| 支持对加密过的密文建立索引,提高检索的速度。 |
|
| 数据库状态监控 |
系统界面可以显示数据库的用户、缓冲区击中率、共享内存等变化趋势图。 |
| 系统界面可以显示数据库的索引效率、查询统计、查询缓冲命中率等信息。 |
|
| 系统支持设置数据库状态参数阈值,触发阈值时可快速告警。 |
|
| 数据库状风险扫描 |
内置漏洞扫描功能,无需单独安装软件;支持发现式漏洞扫描,支持漏扫报告生成和导出。(需提供设备配置截图证明) |
| 密文权限控制 |
对于密文数据的操作访问,系统可以进行增强的权限控制,用户必须同时具有***和***的授权,才能对加密字段进行操作访问。 |
| 系统支持增删改查操作,函数、存储过程及主外键、唯*索引、*** **等重要约束透明。 |
|
| ****、****、***等开发接口透明。 |
|
| 报表功能 |
支持对***语句操作类型统计、事件类型统计、风险级别统计、流量统计,同时按在线用户、客户端**、会话、模板数等支持在线信息统计 |
| △界面及安全管理 |
支持基于***方式的远程管理方式,采用*****进行安全加密的配置管理 |
| 提供管理员权限设置和分权管理,提供*权分立功能,系统可以对使用人员的操作进行审计记录,可以由审计员进行查询,具有自身安全审计功能 |
|
| 为降低部署、管理复杂度,*台设备完成所有工作,采集(审计引擎)、审计(数据中心)、管理系统等功能均集中在同*设备内,无须部署其他软、硬件 |
|
| 产品资质 |
《计算机信息系统安全专用产品销售许可证》 《计算机软件著作权登记证书》 《软件产品登记证书》 |
| ▲其它 |
中标后*个工作日内,招标人有权要求投标人提供同型号产品进行上述功能要求的逐*测试验证,全部通过后才能执行合同流程,测试中发现虚假应标的行为将予以废标处理并保留对该厂商追究相关责任的权利。 |
| 管理功能 |
具备应用监控管理功能(投标时提供界面截图证明) |
| 具备脆弱性管理功能(投标时提供界面截图证明) |
|
| ▲具备等级保护管理功能(投标时提供界面截图证明) |
|
| 高可靠性 |
所投产品要必须与******安全设备实现双机联动部署,保障整体网络系统的安全可靠不间断运行,全面实现系统业务访问综合安全可靠性;(需在投标文件中阐述实现原理和实施方案)。 |
| 厂商要求(投标时提供证书复印件) |
产品厂家应为******网络安全应急服务支撑单位证书(国家级,**年最新颁发新证) |
| 涉及国家秘密的计算机信息系统集成甲级资质证书 |
|
| 计算机信息系统集成企业*级资质证书 |
|
| 国家信息安全服务资质认证证书_信息安全风险评估服务*级资质 |
|
| 国家信息安全服务资质认证证书_应急处理*级资质 |
|
| 国家信息安全漏洞库技术支撑单位 |
|
| 产品成熟度达到*****认证 |
|
| 中国互联网网络安全威胁治理联盟成员单位证书 |
|
| 厂家通过信息安全等级保护安全建设服务机构能力评估合格认证 |
|
| ▲服务要求 |
*年质保服务,投标时提供*年原厂浙江公司服务承诺函;原厂免费现场服务、产品的安装、培训由原厂工程师完成实施。可通过原质保厂商的官方网站或***电话查询其设备的用户归属为“最终用户的准确名称”;设备的包装箱必须为原厂且注明最终用户的名称为“最终用户的准确名称” |
*、应用负载均衡系统:*套
| 指标项 |
指标要求(▲为关键指标,不允许负偏离) |
| 基本形态 |
软件版▲平台能够支持任何云平台和虚拟化,能*键部署到任何云平台/虚拟化,能跟随虚拟化和云平台出现单点故障时自动漂移到可用的物理服务器上。(支持任何虚拟化和云平台:华为、***、阿里、微软、******,等) |
| 硬件支持 |
▲平台能够支持任何硬件的***和内存和网口(***可支持*颗以上,内存可支持****以上,网口可以支持*个万兆口以上)。能随时根据用户需求调整***颗数和内存的大小。单万兆口负载不低于*.**流量。并发数最大可以支持****万 |
| 负载方式 |
平台支持*-*层应用负载均衡,至少*种负载方式:简单的轮询、权重、最少连接、源**、请求的***、根据请求的***参数、根据****请求头来锁定每*次****请求、很据******(****)来锁定并哈希每*次***请求 |
| 快速转发 |
平台支持***加速、支持响应池、能够实现*复制转发 |
| 压力测试 |
▲平台支持应用压力测试,能对应用服务器进行压力测试,支持端口扫描,能探测应用服务器的所有端口,方便用户进行应用负载配置和对后台服务器的处理性能评估 |
| 配置模式 |
▲平台可以支持代理模式的负载均衡,在不修改应用服务器的任何配置和任何交换机的配置,就能对实际应用服务器负载(跨网段,跨路由) |
| 相关证书 |
提供计算机软件著作权登记证书 |
| 售后服务 |
提供原厂*年服务承诺函,中标方应在中标后*个工作日内提供产品测试,如无法满足招标需求将作为废标处理 |
*、*** ***网关:*台
| 指标项 |
技术参数要求(▲为关键指标,不允许负偏离) |
| *** *** 性能要求 |
******加密速度≥******* |
| ******并发用户数≥*** |
|
| ******每秒新建用户数≥** |
|
| ********加密速度≥****** |
|
| ********并发会话数≥****,********隧道数≥*** |
|
| 防火墙吞吐量≥******* |
|
| 最大并发会话数目≥***,*** |
|
| 网络接口≥*个千兆电口 |
|
| 电源:单电源 |
|
| 尺寸** |
|
| 业务需要 |
为提升我单位信息安全系统的自主可控能力,产品必须支持中国国家标准的商用密码算法(简称“国密”),包括:***(含****),***、***、***。 |
| △为保证我单位第*方接入的安全性,保证我单位核心系统数据不外泄,要求设备支持安全桌面功能,强制受保护的业务系统仅可在安全桌面下使用;退出安全桌面后清除安全桌面内*切操作和遗留的痕迹,保证重要应用使用的安全性。支持文件导出的审计、数据加密保存、离线访问等功能。(提供产品配置界面证明) |
|
| ▲为加强我单位身份认证,防止登录*** ***后冒名登录应用系统,必须支持主从认证账号绑定,实现*** ***账号与应用系统账号的唯*绑定,***资源中的系统只能以指定账号登*。(提供产品配置界面证明) |
|
| 我单位具有多条外网线路,要求设备必须支持至少*条以上的外网多线路配置;并在设备单臂部署模式下,多线路接入前置网关,仅依靠******设备同样可实现******接入用户的多线路自动优选功能 |
|
| ▲为保证本次采购的设备性能的可扩展性,支持***台不同型号设备间进行集群(*/*),支持路由模式、单臂模式下多线路部署的集群;要求设备支持多机非对称集群等部署方式。(例如设备支持****并发用户,如今后增加到****并发用户,则仅需要购买*台支持****并发用户的设备,与原设备组成非对称集群即可,两台设备必须同时激活。)(提供界面配置截图并加盖公章) |
|
| ▲为解决我单位对访问中的移动设备(手机、***)管理的难题,必须支持设备注册、数据擦除、丢失告警等移动设备管理功能,同时能够在*** ***登录客户端下载或打开单位移动业务应用(提供界面配置截图并加盖公章) |
|
| ▲为满足我单位已开发的***安全接入业务系统需求,必须提供集成的***于*******、***平台的第*方软件开发包(***),实现对***的***安全模块封装,为减少开发量,代码量不超过**行(要求提供代码****和企业证明);为提升***开发效率,提供***安全模块***封装平台,无需手动开发,实现在***控制后台直接上传***应用并封装(提供界面截图证明),针对我单位***业务安全接入需要,产品必须支持*次开发要求,厂商必须免费提供*次开发技术支持。 |
|
| 基本特性 |
为满足我单位移动用户安全接入及分支机构组网的需求,要求本次招标产品为专业***设备,采用标准***、*** 协议,同时支持***** ***、******两种***,非插卡或防火墙带***模块设备。 |
| 支持对基于****、*****、*********、***、*.***、****、****、******、***等的所有*/*、*/*应用系统,支持基于***、***、****等**层以上的协议的应用,例如即时通讯、视频、语音、****等服务; |
|
| ▲为保证***客户端接入兼容性,必须支持多种终端系统,如*********、*********、********、********、******* *****、******* **、*** **、*****、****.*等及以下版本,使用包括****及以下版本或其他**内核的浏览器,以及非**内核浏览器,如******* ****,****** ******,*******,******,*****最新版登录******系统,登录后可完整支持各种**层以上的*/*和*/*应用。 |
|
| *** ***应具备基于用户的***虚拟专线功能,移动用户在接入***内网的同时断开与********其他连接的功能。支持***断线重连功能。 |
|
| 易用性 |
为保障*台设备为多个不同用户群体服务的使用效果,实现设备的最大利用率,要求投标产品可支持虚拟门户功能,在*台设备上配置不同的访问域名、**地址,以及不同的使用界面,实现*台设备为多个不同用户群体服务的的使用效果。每*台虚拟设备都支持独立的管理员进行管理。 |
| 为减少用户使用业务系统所需录入用户名密码的次数,提升用户体验,本次招标产品需支持单点登录功能(***),支持移动用户登录***后再登录内部*/*、*/*应用系统时不需要*次重复认证。支持针对*/*单点登录用户名密码加密传输,保证安全;支持针对不同的访问资源设定不同的***用户名和密码,支持用户自行修改***账号。 |
|
| 安全性 |
▲为防止不法分子利用********等工具进行***欺骗而突破经过***加密的协议,从而获得单位数据,产品必须支持在用户登录******时智能判断存在此类中间人攻击行为,断开被攻击的连接,并可提示异常现象。(可提供证明材料) |
| 为确保远程移动用户接入单位内网时不会将公网上的各种威胁,如病毒、木马、黑客攻击等引入内网,要求本次招标产品支持用户登*前和登*后的客户端安全性检测,检测范围包括:进程、文件、注册表、操作系统等,可以根据检测出来的安全级别不同给予不同的访问资源控制。 |
|
| 身份认证 |
为满足不同级别用户的不同安全级别需求,产品必须支持***** ** 、*** ***、短信认证、硬件特征码、动态令牌、数字证书认证、****、******、等认证方式;可针对用户/用户组设置认证方式的与、或组合,可进行用户名/密码、****、*** ***、硬件特征码、短信认证或动态令牌的*因素捆绑认证,为保证后期认证的可拓展性,支持多种短信认证平台,如***、****制式短信猫、**********、**********嘉迅版等 |
| 为保障接入我单位核心系统终端的合法性,要求设备支持客户端主机硬件特征码认证,通过获取客户端的硬件信息生成******证书(支持*******、***、*******等系统),实现******证书和用户账户的绑定,实现接入终端的唯*性控制,支持硬件特征码自动生成及自动审批,单台***设备可扩展同时支持*套以上**根证书; |
|
| 高可用性 |
为保障多链路情况下,我单位系统访问的稳定性与高速性,要求设备支持启用多线路时,自动检测故障线路,并自动踢出故障线路;*旦线路恢复,可在*定时间内自动恢复。 |
| ▲为保障我单位***网页访问质量,必须支持针对不同的***页面进行数据优化,通过动态压缩技术,基于数据流进行压缩,减少不必要的数据传输。(提供界面配置截图,并提供自主知识产权证明) |
|
| △为避免我单位业务跨平台兼容性,降低多平台开发的工作量,必须支持将移动终端或其他系统无法兼容的业务系统运行于服务器端,办公人员通过无法兼容的系统登录***后直接使用业务系统,同时为保障远程访问的快速性,支持改写远程传输协议(**********),通过有损压缩算法、过滤动态内容技术(***/*****/*****)以减少传输流量(必须提供配置界面截图) |
|
| ▲我单位人员分布广,为保障恶劣网络情况下的接入速度,设备需支持单边加速功能,即在客户端不安装任何插件的情况下,实现跨运营商高丢包、高延时下的快速接入。(提供自主知识产权证明并加盖公章) |
|
| ▲针对我单位*/*资源,为提升访问质量,需支持动态缓存、********等技术,提高***页面响应速度。同时通过流缓存技术,实现网关与网关、网关与移动客户端之间进行多磁盘、双向、削减冗余数据,降低带宽压力(提供界面配置截图,并提供自主知识产权证明)支持针对不同的***页面进行数据优化,支持动态压缩技术,基于数据流进行压缩,减少不必要的数据传输。 |
|
| 为保障高可用性,要求设备在负载均衡集群部署模式下,支持授权漂移,即当集群中*台设备宕机,该宕机设备中的并发授权自动迁移到其他正常的设备中,而无需额外购买授权。 |
|
| 支持**级以上的管理员分级分权限管理,从*****派生树形结构下级管理员; |
|
| 移动智能终端支持 |
针对我单位还未开发***的*/*应用程序,产品必须支持应用虚拟化功能,可以无需*次开发,即把该应用发布到移动智能终端中。 |
| 远程应用发布数据传输过程中使用******协议加密,加密算法支持中国家标准的商用密码算法(简称国密),保证了数据传输的合法性和安全性;远程应用发布客户端应支持***图标发布资源。远程应用发布应该支持云存储,能够将手机、***、**电脑中的文档、照片等上传到云端,或下载到本地终端。 |
|
| ▲产品应该支持企业级“云盘”(又名“网盘”、“文件共享”)功能,即可以通过手机、**、****的客户端,将数据、文件同步到云端或和分享到终端。 |
|
| 日志管理 |
为帮助我单位更好的管理***接入用户,要求设备支持外置独立日志中心进行******实时日志记录,可详细记录用户访问资源记录(用户、主机**、资源、时间)、管理员日志(管理员、主机**、时间、管理行为、对象)、系统日志、告警日志;可根据用户名、主机**等信息进行用户行为查询;可提供用户组/用户流量排行及查询、资源流量排行及查询、资源活跃程度、用户活跃程度等记录;提供暴破登录记录;可提供用户登*******采用非绑定账号访问应用系统的记录 |
| ▲为满足我单位多数据量的保存及等保建设要求,保障日志平台运行稳定且高可用性,必须支持外置数据中心,同时免费提供自有服务器虚拟化软件(提供软件著作权证书)及对应物理***授权,服务器虚拟化能够根据实际用户和流量规模合理分配硬件资源,保障最优资源分配。同时,外置数据中心能够与服务器虚拟化底层联动,优化磁盘读写,提高查询速度 |
|
| 防火墙 |
为保障设备的安全性,产品应具备基于状态监测技术的防火墙功能,能够抵抗常见的网络攻击,能够进行包过滤或***、***、***口之间访问控制;为了避免人为配置错误,产品必须支持对防火墙的过滤规则能够进行在线虚拟测试。 |
| 资质要求 |
提供中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》 |
| 提供公安部信息安全产品检测中心颁发的《**/* ***-****信息安全技术 虚拟专用网安全技术要求》*级或*级以上检测报告(*级以上为*级、*级) |
|
| ▲保障我单位未来****可扩展性,提供**** *****认证证书,在全球****测试中心官网可查 |
|
| 设备生产厂商需为国家密码管理局发布的《*** ***技术规范》起草单位之* |
|
| 设备生产厂商具有国家密码管理局颁发的《商用密码产品生产定点单位证书》 |
|
| 设备生产厂商具有国家密码管理局颁发的《商用密码产品销售许可证》 |
|
| ▲为保障软件开发质量,要求厂商具有*****级认证。(提供证书复印件) |
|
| 品牌及应用成熟度 |
△为了保证交付质量,必须提供*** ***必须在近*年内至少曾有*年在中国国内*** ***或***硬件市场占有率为前*名,提供权威的第*方机构数据证明 |
*、杀毒系统:*台
| 技术指标项 |
技术参数要求(▲为关键指标,不允许负偏离) |
||
| ▲系统管理 |
控制中心:采用*/*架构管理端,具备设备分组管理、策略制定下发、全网健康状况监测、统*杀毒、统*漏洞修复、网络流量管理、终端软件管理、硬件资产管理以及各种报表和查询等功能,配置***个*******终端许可;*年原厂病毒库免费升级服务,本次配杀毒功能及补丁功能 |
||
| 客户端:与安全控制中心通信,提供控制中心管理所需的相关数据信息;执行最终的木马病毒查杀、漏洞修复等安全操作。 |
|||
| 病毒、恶意代码、木马防护 |
▲要求产品本身具备病毒检测功能,并且通过*********、****、******等各大国际评测机构联合认证。(要求提供证明文件) |
||
| 要求产品具备本地引擎查杀能力 |
|||
| 要求产品具备公有云检测能力,并且公有云特征储备超过***亿。 |
|||
| 支持私有云查杀,预置至少*亿黑名单及****万全面的白名单,终端威胁统*到控制中心查询黑白并进行查杀 |
|||
| ▲要求产品在断网状态下具备不依赖病毒库特征的情况下对未知病毒查杀的能力(提供国内知识产权局的专利受理证明与国际***专利受理证明) |
|||
| 要求产品具备主动防御技术(提供至少*项以上技术专利受理证明) |
|||
| 要求产品具备应用级沙箱技术 |
|||
| 按病毒、木马显示展示全网涉及的终端,可查杀指定或全部木马、加入信任;按终端显示展示全网每个终端存在的病毒、木马及可查杀的 |
|||
| 补丁分发与漏洞修复 |
要求产品生产公司具备微软热补丁修复功能(至少需要**个以上为用户提供*******漏洞修复的热补丁案例证明文件) |
||
| 要求产品生产公司具备面向微软官方级别漏洞发现能力(提供****年至今少**个以上微软漏洞发现案例与相关截图,与微软官方确认截图) |
|||
| 产品具备漏洞集中修复,强制修复,定时修复;具备蓝屏修复功能(要求提供截图) |
|||
| 产品具备漏洞集中修复过程中的流量控制和保证带宽,补丁分发支持服务端带宽限流与客户端***补丁分发加速,有效节省外网带宽资源 |
|||
| 资产管理 |
单点维护 |
按终端维度展示终端的硬件、软件、操作系统、网络、进程等信息;可监控***温度、硬盘温度和主板温度 |
|
| 支持硬件变更,展示终端硬件变动记录,可确认变更或删除记录 |
|||
| 支持软件变更,展示终端软件变动记录,可确认变更或删除记录 |
|||
| 支持插件清理,按插件显示展示全网存在的插件和涉及的终端,可清理指定或全部插件、加入信任;按终端显示展示全网每个终端存在的插件,可清理插件(提供产品界面截图) |
|||
| 支持远程协助终端、远程关机、重启终端 |
|||
| 终端发现 |
支持手动配置服务器、扫描参数、进行周期性扫描,可手动配置发现的终端类型 |
||
| 支持统计指定分组或全网的终端扫描数、终端安装数、未安装终端数及安装率。 |
|||
| 软件管理 |
支持软件监控,按软件显示展示全网安装的软件和涉及的终端;按终端显示展示全网每个终端安装的软件 |
||
| 支持软件分发,向指定或全网终端分发软件,支持终端接收软件后自动运行,支持定义软件运行参数 |
|||
| 支持文件黑白名单,管理员自定义文件的黑白属性,黑名单中的文件不能运行,白名单中的文件可以运行 |
|||
| 支持文件审计,对全网终端的所有文件保持完整的审计,方便鉴定恶意软件从何而来并立即阻止恶意软件继续运行 |
|||
| 支持进程管控功能,支持设置进程黑名单,在黑名单里面的进程不可运行;可设置核心进程必须运行,也可保护核心进程不被结束 |
|||
| 终端安全运维管控 |
流量管理 |
可统计全网终端或终端应用程序的上传,下载速度与流量;可限制指定或全网终端的上传及下载速度 |
|
| 非法外联 |
支持冗余有线网卡、无线网卡、**网卡、*****、****、****等设备的外联控制;违规外联发生时可针对内外网连接状态分别设置违规处理措施 |
||
| 应用程序安全 |
支持终端进程红名单、黑名单、白名单,确保在线、离线终端合规 |
||
| 网络安全防护 |
支持网址白名单,通过信任网址白名单可以管理企业网络内信任的网址,加入信任后终端不再将此网址视为威胁 |
||
| 外设管理 |
支持对终端各种外设(***存储、硬盘、存储卡、光驱、打印机、扫描仪、摄像头、手机、平板等)、接口(***口、串口、并口、****、*****)设置使用权限 |
||
| 桌面安全加固 |
支持对终端桌面系统的账号密码、本地安全策略、控制面板、屏保与壁纸、浏览器安全、杀毒软件检查 |
||
| 移动存储介质管理 |
支持客户端自主申请移动存储介质注册; |
||
| **防护 |
支持对**系统进行系统加固、热补丁修复、危险应用隔离、“非白即黑”安全策略*大修复措施 |
||
| 终端准入 |
支持旁路终端准入部署方式,避免串行设备部署单点故障; |
||
| 支持基于终端的***,可以基于协议、端口来控制终端流量,从而无需操作交换机达到终端网络控制目的 |
|||
| 支持入网健康检查策略,策略检查项至少包括:远程桌面、*盘自动运行、防火墙、**获取方式、文件共享、屏幕保护、空密码、**代理;支持终端修复向导,对不合规的终端提供软隔离,并进行修复向导和*键修复功能 |
|||
| 安全审计 |
支持指定扩展名的文件访问、修改、删除、移动等行为的审计 |
||
| 支持网络共享输出控制与审计 |
|||
| 支持特定路径或扩展名的文件访问、修改、删除、移动等行为的限制并审计 |
|||
| 日志报表 |
展示全网终端健康状态、报警信息;可方便的查看不健康、亚健康终端列表; |
||
| 展示指定时间段内指定终端修复漏洞,病毒查杀,木马查杀的情况 |
|||
| 支持大数据引擎系统,可将全网终端日常运维数据汇聚存储分析,并根据客户运维管理所需的要求定制报表 |
|||
| 其它 |
支持与旁路威胁检测系统设备联动,达到边界联动防御效果 |
||
| 支持控制中心数据恢复与备份 |
|||
| 产品资质和 公司资质(提供证书复印件) |
销售许可证、软件著作权、军*+ |
||
| 网络安全应急服务支撑单位(国家级) |
|||
| 中国国家信息安全漏洞库支撑单位 |
|||
| 国家信息安全漏洞共享平台技术组成员 |
|||
| 微软****伙伴 |
|||
| ***联盟会员 |
|||
*、网络接入控制系统:*台
| 指标项 |
技术规格要求(▲为关键参数,不允许负偏离) |
| ▲性能参数 |
标准机架设备, 至少满足*个千兆电口,*个****串口; |
| 整机吞吐量≥*******,支持准入终端数量≥*** |
|
| 准入方式 |
*. ▲ 支持有线、无线基于应用协议准入方式,准入配置支持保护服务器区域、例外终端等灵活的配置方式。(要求提供截图) *. 支持基于应用协议的访问控制,并提供灵活的访客控制列表。 *. 支持基于受控域的入网流程配置,区分有线和无线网络,能够针对有线和无线网络分别采用有客户端和无客户端方式准入。 *. 支持临时用户的接入请求,并且可以限制临时用户入网时间长和强制临时用户下线。 *. 支持标准***.**准入,终端提供详细的入网合规性检查报告,支持动态****、动态***下发,且无需登录交换机。支持账号同时在线用户上限、账号有效时长等限制。 |
| 入网合规性检查 |
*. ▲入网条件必须符合健康检查策略,策略检查项至少包括:远程桌面、*盘自动运行、防火墙、**获取方式、文件共享、屏幕保护、空密码、**代理。(要求提供截图) *. 支持对入网终端所安装的软件、服务、进程设置黑白名单,管理员可以自己编辑黑白名单。 *. 支持基于终端的***,可以基于协议、端口来控制终端流量,从而无需操作交换机达到终端网络控制目的。 *. 支持终端入网分数配置,检查项分值配置,并提供友好的操作 界面。 *. 支持终端修复向导,对不合规的终端提供软隔离,并进行修复向导和*键修复功能。 *. 支持用户和****绑定、用户和***绑定、用户和健康检查策略绑定等灵活配置。 |
| 联动功能 |
*. 支持与终端安全管理系统联动,无需额外安装客户端。终端安全管理系统至少包括集成杀毒和主动防御,完成对用户终端的全方位立体保护。 *. ▲支持与本地****连接、第*方****连接、 **域等联动,来完成用户鉴别功能,以达到终端用户实名制入网。(要求提供截图) |
| 客户端功能 |
▲支持基准变更,将指定或全部硬件变更记录加入基准,下次判断硬件是否有变更时根据新的基准来判断(要求提供截图) 可显示展示全网存在的漏洞和涉及的终端,可修复指定或全部漏洞、忽略指定或全部漏洞;按终端显示全网每个终端存在的漏洞,可取消忽略原来忽略过的漏洞,可设置预先忽略补丁,可设置关闭 ******* ******,提供蓝屏修复功能(要求提供截图) 可设置指定或全网终端使用*盘的权限,分为可读写、只读和禁用*种权限;可查询指定时间范围内终端使用*盘的情况(要求提供截图) 支持全网终端体检,可在集中管理端主页进行全网体检,安全监控所有终端状态 可展示全网存在的木马和涉及的终端,可查杀指定或全部木马、加入信任;按终端显示展示全网每个终端存在的木马,可查杀木马。(要求提供截图) 支持硬件监测,按终端维度展示终端的硬件,包括电脑型号、***、内存、硬盘、设备**等;可监控***温度、硬盘温度和主板温度(要求提供截图) ▲支持软件监控,按软件显示展示全网安装的软件和涉及的终端;按终端显示展示全网每个终端安装的软件(要求提供截图) |
| 系统管理功能 |
*. 支持系统自身运行***、内存等信息展示功能。 *. 支持系统用户添加、修改密码、修改系统时间、配置系统网卡**、配置系统默认网关等管理功能。 *. 支持系统中重点服务的展示、启用、停止等功能。 |
| 高可用性 |
*. 支持系统双机热备、数据同步等功能 *. 支持逃生机制 |
| 升级部署 |
支持界面升级、部署方式方便简洁,不影响用户网络。 |
| 系统日志 |
支持查看违规访问日志、心跳日志、认证日志等系统日志记录 |
| ▲联动性 |
考虑用户终端性能问题,终端杀毒软件与准入控制必须为同*品牌 |
| 资质要求 |
公安部计算机信息系统安全专业产品销售许可证 |
| 产品具有计算机软件著作权登记证书 |
|
| 公司具备网络安全应急服务支撑单位(国家级) |
|
| 中国国家信息安全漏洞库支撑单位 |
**、云网络监测系统:*台
| 技术指标 |
指标要求 |
| 系统构架 |
标准*/*结构、支持***/拨号监测。 |
| ▲基本要求 |
网络版,提供*套安装介质和中心管理许可证,配置不低于****个监测节点,监测节点无需安装任何*****或客户端;支持******、*****-*、***、阿里云等环境快速部署。 |
| ▲功能要求 |
权限分配:支持建立用户组权限,根据权限不同分配不同的功能模块给不同用户或组使用,用户建立不限制数量,根据等保要求可实现*权分离。 |
| 无代理自动巡检:可以巡检任何应用、线路、设备,出现问题手机短信通知,网络或应用进行日常维护时调整时后台可*键关闭所有的自动巡检,防止误报。 |
|
| 实时流量管理:实时查看监测节点设备端口的即时流量信息;可根据自定义阀质实现流量告警。 |
|
| **地址管理:**地址列表:扫描网络中所有机器的**地址,并显示该**地址所对应机器的设备类型;地址关联性:针对有地址映射的服务器能快速识别地址对应关系;** ***地址关联:将设备的**地址与***地址进行自动关联,当设备修改**地址或更换设备后***地址或**地址自动更新。支持地址批量导入和导出 |
|
| 资产管理:自动生成监测节点的硬件基本资产信息,并可进行维护,可添加设备的购买时间、上线时间、所属部门及维保信息等,详细记录监测节点的硬件维修信息。 |
|
| 配置管理:各监测节点设备配置文件可自动存储到中心管理端,支持定时抓取设备配置信息,配置信息支持按不同时间版本自动存放。 |
|
| **部门工单:支持将设备问题转化为工单,自动分配,流转处理,详细记录;并自动通过手机短信提醒维护人员处理。 |
|
| 自动合同管理:根据设备项目合同情况,实现合同服务内容到期短信提醒乙方服务,合同终止则自动停止提醒;如定期巡检合同内容。 |
|
| **知识库:日常维护操作知识可添加插入到知识库,支持知识库冗余性、矛盾性自动对比。 |
|
| 产品质保及相关证书: |
提供计算机软件著作权登记证书。 中标后采购人有权要求中标人提供产品测试; 中标后提供原厂*年服务承诺函。 |
**、**** ****服务器内存扩容:*项
| 指标项 |
技术参数要求 |
| 内存 |
原有*台服务器内存升级,**** ****服务器原装内存条**根。 |
**、动环监控系统:*套
| 技术指标 |
指标要求 |
| 基本要求 |
环境监控*套(*个温湿感、*个烟感、*个漏水、*个高低温声光报警器) |
| 监控平台功能要求 |
要求实现集中监控以下内容: ? 机房温湿度 *点 ? 漏水监测 *点 ? 烟雾报警 *点 ? 高低温声光报警 *点 机房环境监测系统需要完成对上述设备的监测,集中反映工作状态,收集和分发设备发出的处理信息和其它值得关注的情况,记录运行信息,追踪设备工作历史状态 |
**、视频监控系统:*套
| 技术指标 |
指标要求 |
| 基本要求 |
包括*路高清网络视频监控录像主机*台;高清网络视频摄像机*个。 |
| 视频监控录像主机要求 |
*路带网络视频输入,网络视频接入带宽不少于******; 不少于*路****输出;分辨率支持:**(*********),*********;*路***输出接口; 录像分辨率支持:***/***/***/*****/****/****/***等; 同步回放不少于*路;回放模式支持:即使回放、常规回放、事件回放、标签回放、日志回放; 录像管理:支持手动录像、定时录像、事件录像、移动侦测录像、动测或报警录像、动测且报警录像; 硬盘驱动器:配置*块不少于** ****接口硬盘; 接口:*个****,**/***/*****自适应网络接口;*个****.*接口,*个****.*接口;支持语音对讲输入。 ***接口,*个**** **/****自适应网口,*** ***供电; |
| 高清网络视频摄像机 |
***万像数高清红摄像机;最小照度 *.***** @(**.*,*** **) ,* *** **** **;*.* *** @(**.*,*** **), * *** **** **;镜头 ***、水平视场角:**.*°(***,***,****,可选);红外照射距离**米;工作温度和湿度 -**℃~**℃,湿度小于**%(无凝结);电源供应 *****±**%/ ***(***.***)。 |
**、实施辅材: *项
| 技术指标 |
指标要求 |
| 配套辅材 |
精密空调外机风叶,内机过滤网等配件,以及包含项目实施所需的光纤跳线、*类网络跳线以及扎带、标签等;包括安装、调试所涉及的*切费用。 |
**、安全服务:*项
| 技术指标 |
指标要求 |
| ▲基本要求 |
对原有的网络安全设备进行优化调整。依据国家标准**/******-****《信息安全技术信息系统安全等级保护基本要求》且满足以下需求: 要求按照等级保护规定将国土局网络按照安全域划分,按照双网隔离方案分为信息内网和信息外网。 安全域实现方式以划分逻辑区域为主,旨在实现各安全区域的逻辑划分,明确边界以对各安全域分别防护,并且进行域间边界控制。 进行等保测评时,现场配合测评,并按要求免费提供技术现场支持。 |
| 安全域的划分 |
防火墙安全隔离:采用防火墙 进行边界隔离,在每两个安全域的边界部署防火墙分别与不通的安全域连接进行访问控制,防火墙采取*权分立原则; 虚拟防火墙隔离:采用虚拟防火墙实现各安全域边界隔离,将*台防火墙在逻辑上划分为多台虚拟的防火墙,每个虚拟防火墙系统都可以被看成*台完全独立的防火墙设备,可以拥有独立的系统资源、安全策略等; 隔离网闸:不同的安全域级别之间部署隔离网闸,安全域互相独立。 |
| 要求定期对网络环境,网络设备,系统进行检测,有问题或者漏洞补丁更新做到及时处理: |
|
| 针对网络设备: |
启用访问控制功能,依据安全策略控制用户对资源的访问; 关闭防火墙设备、交换机的******服务,启用安全的***和*****管理服务; 修改网络设备出厂时的默认口令,且口令应满足长度不小于*为、含字母数字和字符的复杂强度要求; 网络设备,防火墙交换机等要求开启日志审计功能,并配置日志服务器保存日志信息; 要求调整现有审计设备,审计范围覆盖到服务器和重要客户端的每个操作系统用户; 要求审计内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内的重要相关时间; 要求审计记录包含事件的日期、时间、类型、主体标识、客体标识和结果等; 所有网络设备均应开启网络设备登录失败处理功能、限制非法登录次数、当网络登录连接超时时自动退出等措施; |
| 针对操作系统 |
结合我单位现有网络设备或系统; 要求实现操作系统特权用户的权限分离,即*权分立; 要求限制默认账户的访问权限,重命名系统默认账户,修改账户的默认口令; 要求及时删除多余的、过期的账户、避免共享账户的存在; 要求对主机的登录要有严格的身份标识和鉴别; 要求有严格的访问控制策略限制用户对主机的访问与操作; 要求有严密的安全审计策略保证主机出现故障时可查; |
| 信息安全风险评估 |
分析机房所有信息资产(包括硬件、软件、文档和数据、人力、业务应用、物理环境、组织管理等)的稳定性、可靠性、保密性、可用性、完整性等安全属性,对涉及安全的关键资产进行确认和划控。 |
| 对资产(包括硬件、业务应用、物理环境、组织管理等)面临哪些潜在威胁,导致威胁的问题所在,威胁发生的可能性有多大等问题进行分析。 |
|
| 从技术方面,全面分析系统存在的各种脆弱性,分析弱点被利用的可能性。 |
|
| 分析已有的安全措施对安全风险的控制作用; |
|
| 分析当前系统仍存在的风险并给出相应控制和管理风险的建议; |
|
| 提供评估报告; |
|
| 信息系统加固修复 |
对现有信息安全管理体系中存在的问题进行优化和完善,并协助甲方完成相关文档的编写和宣传 |
| 对全网的网络设备和安全设备进行修复加固和漏洞扫描 |
|
| 确认主机操作系统、应用系统的安全策略未被更改或还原 |
|
| 查找现有信息安全管理制度与*级要求之间的差距 |
|
客服热线:400-000-0388
业务合作:0351-2167156
关注比比网公众号
获取一手投标资讯
晋公网安备14019202000101号 Copyright©2015-现在 比比网络 版权所有 bibenet.com 晋ICP备14006571号-7
