| 泰州市公共资源交易中心受泰州市人民政府办公室的委托,即将对其所需泰州市政府间数据交换平台项目进行公开招标采购。现将该项目业务需求及有关事项预告如下,各潜在投标商如发现有遗漏,错误或歧视性条款,请在****年**月**日**:**前将意见反馈至本中心。 联系人:舒女士 联系电话:****-******** *、项目名称及编号 *、项目名称:泰州市人民政府办公室泰州市政府间数据交换平台 *、项目编号:*********** *、投标人资质要求 参加本次政府采购活动供应商必须符合《中华人民共和国政府采购法》第***条以及《中华人民共和国政府采购法实施条例》第**条的相关规定及以下要求: ⑴在中华人民共和国境内注册,具有独立法人资格的企事业法人; ⑵ 投标人具有系统集成*级或以上资质; ⑶至少提供*份****年以来江苏省内安全数据交换项目合同和验收报告复印件(原件备查); (*)本项目不接受联合体投标。 *、招标项目简要说明 公安信息化资源不但要服务于公安机关本身,还必须为整个社会提供及时有效的信息服务,与其他政法部门、政府机关实现安全、有效的信息共享。为解决目前公安信息网边界接入出现的安全问题,确保公安信息网的边界安全,实现公安信息网与电子政务网络的安全、有效的数据交换,按照公安部统*规范,建设*条独立的党政军机关交换通道,实现公安信息网外部信息的采集、交换和共享,为其他政府部门和社会提供信息支持与服务。 *、建设需求 *、实现各类政务网接入对象与公安信息网的安全接入。 根据接入用户的不同性质和接入方式,采用物理分离的安全通道,构建公安信息网边界接入平台,通过多层安全防护技术,实现外部网络与公安信息网的安全接入。主要提供信道加密、接入接口、接入认证、防范攻击、网络隔离、安全监测和防护等安全接入功能。 *、实现党政军机关对公安数据的安全实时交换及授权访问。 根据接入用户对数据交换类接入业务的需求,提供不同类型数据的交换服务功能,实现内外数据的安全实时交换。主要提供数据库同步交换(包括异构数据库同步交换)、文件数据交换等安全交换功能。提供对数据交换对象的认证,实现对所交换数据的加密,对所交换的数据全面过滤并实现交换行为可追溯。政务网客户通过可信边界网关设备对公安内网部分资源进行授权访问。 *、实现政务网对视频专网中视频资源的安全实时调用。 根据用户的需求,实现在政务内网调用图像专网的视频资源,图像专网中的视频系统可以跟公安内网视频系统实现实时对接调用。 总体架构 边界接入平台作为本地公安信息通信网边界接入的统*出入口,位于公安信息通信网与外部链路之间,其系统构架如下图所示: 边界接入平台由路由接入区、边界保护区、应用服务区、安全隔离区和监测管理区等*个部分组成。 党/政/军机关接入 接入对象为党/政/军机关用户。例如:党委、法院、检察院、安全部、司法部、海关、军队等部门。 此类接入对象的特点如下: *)除了采用数据交换方式外,还可以采用授权访问方式访问公安信息通信网。 *)只能采用专线连接 *)并发量小,数据总量大 视频图像专网接入政务网 视频图像专网:是指采用专线方式或非公共网络基础上的***虚拟专网方式建设的、专用于支撑视频监控服务或汇接视频监控系统的网络。实现对各类图像资源的汇聚管理、控制切换和共享使用,实现对重点车辆的自动查比和动态管控、对异常车辆行踪的自动研判预警、对特定车辆行车轨迹的自动生成、对重要节点道路交通信息的远程再现、对基层单位的勤务实施管理等建设目标,为交通管理、治安管控、政府应急等各项工作提供服务保障。 此类接入对象的特点如下: *)视频流单向接入,即视频流从视频图像专网单向接入至政务网。 *)终端众多,分布比较广,需通过运营商网络,采用***专线接入。 安全需求 *、终端安全需求 由于平台接入用户类型多,场所物理环境不安全,人员复杂,所以终端安全的风险较大;接入终端存在非法使用、非授权访问,甚至存在伪造终端接入,并有可能发展为木马、病毒的传播来源。 终端安全需要做到如下几点: *)接入终端在联接接入平台同时不得联接互联网或其他网络,建议采用专用终端并进行安全加固 *)对接入平台的终端设备进行注册,只有注册过的终端设备才可以与平台进行通信。确定接入终端的合法性。 *、链路安全需求 边界接入平台的外部接入链路分为两类,分别是专线和拨号。 专线是指采用公安自建的或公共通信网运营商提供的专用通信线路、带宽接入,其端点物理位置固定,电路专用,例如专用光缆、公安专用****虚电路等。 拨号是指有线拨号,例如固定电话拨号(****)、****等。其特点为通过公共通信网进行,中间链路存在共享。 链路安全需要做到如下几点:采用拨号类接入的在外部通信链路上必须采用专用****或者电话拨号回拨认证等链路安全机制保证链路安全。接入平台内部为不同接入对象提供服务的链路必须根据接入对象安全级别和业务操作方式(数据交换或授权访问)加以区分。为社会企事业单位接入提供服务的链路应与为党政军机关和公安机关驻地外接入点提供服务的链路物理隔离。接入平台内用于入侵保护或者集中监控的各种检测设备不能造成平台内部链路的旁路。 *、传输安全需求 如果数据传输的机密性、完整性缺乏保障机制,敏感信息在传输过程中就存在被泄露或篡改的风险。 传输安全需要做到如下几点:在网络传输过程中,外部终端与接入平台间通信内容必须实现机密性保护。 在网络传输过程中,必须保证传输过程中报文的完整性,并具备防止重发攻击、篡改和伪造等功能。 *、身份认证需求 对于各类接入用户,如果没有实现身份认证,则权限管理和访问控制就没有了基础,也无法保证接入用户的合法性。 平台的身份认证需要做到如下几点: *)对社会企事业单位终端的身份认证,可以采用用户名/口令、动态令牌、数字证书等多种形式。 *)对党政军机关终端的身份认证,基于公安机关颁发的定制类型数字身份证书,认证协议基于***双向认证协议。 *)对公安机关驻地外终端的身份认证,基于民警专用数字身份证书,认证协议基于***双向认证协议。 *、访问控制需求 即便是接入终端通过了身份认证,也不是公安信息通信网内的所有信息资源都能被它访问,还是需要根据接入终端具体权限进行访问控制,否则很容易造成越权访问、信息泄密。 平台的访问控制需要做到如下几点: *)未通过身份认证的外部终端不能进入平台访问。 *)外部终端的网络连接终止于接入平台内,无法直接访问公安信息通信网或与公安信息通信网交换信息。 *)通过身份认证的外部终端只能访问平台内的指定设备,并且只能进行允许的操作,非授权的访问应被阻断。 *、设备安全需求 接入平台内所有的安全设备都应满足国家或公安行业相关的技术标准和要求,具备国家相应权威部门出具的产品证书和安全检测报告,并在检测报告允许的范围内使用,关键安全设备必须接受监管系统的监管和审计。 *、应用安全需求 应用安全需求分为对数据交换方式的安全需求和对授权访问方式的安全需求两类。 数据交换应用安全要求 在与公安信息通信网进行数据交换之前,接入平台必须对接入业务的数据流量先实现通信协议的剥离,并按照业务预先注册的数据格式要求,对数据的类型、格式进行严格检查,对数据内容进行过滤,限制所有不符合要求的数据传入接入平台。 公安信息通信网内及接入平台内接入业务应用信息系统应完善自身的安全性和健壮性,尽量确保通过接入平台的业务信息数据的机密性、完整性。 必须实现应用级日志记录,并报送集中监控与管理系统。 授权访问应用安全要求 必须实现应用级身份认证、访问控制和授权管理,并能依据安全策略细粒度控制访问范围、应用类型和内容,防止敏感信息的泄漏,使用可信边界安全网关实现以上功能。 必须不影响公安信息通信网内信息资源及应用系统基于公安***/***系统的认证、授权、审计等工作的正常运行。并且,公安信息通信网内及通过接入平台的接入业务应用信息系统应完善自身的安全性和健壮性。 必须实现应用级日志记录,并报送集中监控与管理系统。 视频专网接入应用安全要求 视频数据与视频控制信令分别处理和传输 视频数据与视频控制信令必须按照不同的安全策略严格区分,分别进行处理和传输,其中视频数据采用单向传输。 视频数据传输方向 视频接入链路必须严格控制视频数据的传输方向,禁止公安信息通信网内数据资源通过视频接入链路向外传出,防止敏感数据外泄。 视频控制信令格式检测 在与公安信息通信网进行视频单向传输前,要按照预先注册的视频控制信令的类型、格式和内容,对控制信令进行“白名单”方式的格式检查和内容过滤,仅允许符合格式要求的控制信令数据通过,对不符合格式的数据进行阻断和报警。 视频数据格式检测 视频数据格式检测按照预先注册的视频数据格式,对所传输的视频数据进行实时分析和过滤,对不符合格式的视频数据进行阻断和报警。 视频数据病毒木马检测 采取必要的安全技术防范措施,防止视频数据夹杂恶意代码进入公安信息通信网。 *、设备清单 | 序号 | 产品 | 数量 | 规格 | | * | 安全数据交换系统 | * | 套 | | * | 集中监控与管理系统探针 | * | 套 | | * | 可信边界网关 | * | 套 | | * | 数据交换前置机 | * | 台 | | * | 万兆防火墙 | * | 台 | | * | 隔离网闸 | * | 台 | | * | 入侵检测系统 | * | 台 | | * | 入侵防御系统 | * | 台 | | * | 万兆*层交换机 | * | 台 | | ** | 视频安全接入系统 | * | 套 | | ** | 防火墙 | * | 台 | | ** | 调试终端 | * | 台 | *、系统功能参数要求 打★号为必须满足的关键参数,不满足则视为未响应标书要求作无效响应文件处理。 (*) 安全数据交换系统 | 项 目 | 安全数据交换系统配置及参数要求 | | 硬件参数 | *、标准**机架式,双主机**架构 *、*个千兆以太网接口,*个万兆光纤口 *、至强*核***,主频****或以上 *、内存≥**** *、服务器双电源 | | ★资质要求 | *. 设备原厂商通过公安部信息安全等级保护评估中心检测并具有合格《测评报告》 *. 产品须提供中国信息安全测评中心评估报告(****) *. 产品须提供商用密码产品型号证书 | | 功能要求 | *. 安全数据交换系统必须支持市场上主流的安全隔离网闸。 *. 单向通道设计,只允许内向外的连接,在网闸的外网端不能打开任何监听端口,提高系统的安全性。 *. 能够事先定义业务的过滤规则,并根据过滤规则对数据进行严格的格式检查和过滤,并内建杀毒引擎查杀病毒。 *. 采用证书对数据交换服务器进行认证,保证交换数据库机密性和完整性。 *. 支持优先级和故障隔离机制。支持接入业务多个优先级配置,保证实时性高的业务能优先传输。多个业务同时运行,各业务之间能够独立的启停,单个业务的故障不会影响到其它业务的数据交换。 *. 支持交换系统中间多网闸模式。在多个网闸的情况下,可以指定某个业务用哪个网闸做交换,无指定时为默认的负载均衡状态。 *. 支持多套交换系统的负载均衡、互为热备模式。即流量能根据设备负载自动在各交换系统分流,*旦其中*套交换系统出现故障,所有连接能无缝切换到另*套正常的交换系统上。 *. 支持断点重传功能,在出现断电或传输中断等情况下,能够保证系统恢复时,交换的数据能重传或续传且不出数据丢失现象。 *. 在文件同步模式中,在不影响整个平台安全性前提下,支持由文件前置机主动向交换系统发起连接,*旦文件前置机接收到文件马上发送,提高数据交换的实时性。 **. 数据交换行为可追溯,能够提供对整个数据交换行为的完整审计,包括所交换数据记录的业务名、表名(文件名)、主键值、交换时间、交换状态等。 **. 对交换失败的记录或文件,要指明交换失败的原因和提供可查到该记录的主键字段值或文件名。 **. 采用具有人性化的*/S管理界面,可以在统*界面上起停、监控、统计、查询所有业务。 **. 支持多种同步方式:触发器方式,同表双向的数据同步,主从表的数据同步,删除源数据方式和基于****** *******日志同步方式等。不允许在源端数据库建触发器,通过分析数据库日志实现无干扰的数据库同步。 **. ★支持多种主流数据库,包括:******、** *** ******等。必须支持武汉达梦、南大通用、*****等数据库与******数据库的同步。 **. 支持异构数据库的数据类型转换(表名、表字段、表字段类型、表主键、表外部键不同);支持****、****、****、****、*****等大字段的异构,支持不同字符集的异构。 **. ★能够在同步过程发生错误时,会重试或报警。报警可以按要求以多种形式发送,如邮件、短信、声音。支持短信方式报警。 **. 任务调度粒度秒级 支持******、**** **/**。 **. 在配置新任务时,能提供测试功能。测试新配置的业务能正常对表中的记录、文件进行写入或删除的操作。 **. ★系统内置加密卡必须采用国家密码局允许使用的算法对传输数据进行加密,提供证明文件。 **. ★必须和泰州市公安局现有数据交换系统组成冗余链路,互为备份和负载均衡,双链路同时提供高可用性。 | | 性能要求 | *. ****&**;*****小时 *. 实现*******的交换能力 *. ****个并发会话 *. 数据库到数据库交换记录数≥****条/秒 *. 数据文件处理文件数≥****个/秒 *. 最大数据文件≥*** *. 最大传输延时&**;**** | (*) 集中监控与管理系统探针 | 项 目 | 配置及参数要求 | | 硬件参数 | *. 标准**机架式机箱,集成*个***/****/********千兆网络接口,安全加固*****系统。 *. ****(平均无故障时间间隔)&**; *****小时 *. 支持******协议 *. 支持**** **/**** **协议 *. ★必须与泰州市公安局原建集中监控系统对接,将链路信息实时上传到集中监控系统,能在泰州市公安局集控系统界面中显示链路实时动态。 | (*) 可信边界网关 | 项 目 | 配置及参数要求 | | 功能要求 | *. 能够通过数字证书标识用户身份,可信边界安全网关对用户持有的数字身份进行完整认证,包括验证数字证书的信任域、有效期、证书状态。 *. 能够支持标准****协议,能定时下载证书撤销列表到网关内,用户发起接入请求时,在网关内实现证书状态验证。 *. 能够支持标准****协议,能实时验证证书状态,当用户发起接入请求时,网关向****服务器发起请求,并返回证书状态。 *. 能够通过资源定义对用户进行访问控制。资源指的是内网对外网开放的**地址或允许内网访问外网的**地址。 *. 能够支持黑、白名单,黑名单是不允许通过认证网关的*组证书地域属性列表。白名单与黑名单对应,只有白名单中允许的用户地域属性才可以找到相应的服务对应的网络资源。 *. 可信边界安全网关支持穿透模式和代理模式。 *. 能够支持多种结构业务系统,支持*/*、*/*结构业务系统; *. 不影响原有业务,安全保护只对用户身份和数据传输做处理,不修改业务功能; *. 能够提供标准接口支持应用系统无缝接入; **. 能够支持业务系统*改造,通过简单配置即可实现业务系统安全加固。 **. 通过黑名单和白名单策略,对用户能否访问业务系统做入门级控制; **. 基于***技术,对系统资源进行内容访问控制; **. 与权限管理系统联合,完成用户访问业务系统的细粒度控制; **. 控制管理员**地址,保证认证网关管理安全。 **. 能够记录本地日志信息,本地审计日志提供查询功能和备份功能,管理员可以对审计信息进行审计管理。 **. 能够支持标准日志输出,可将日志信息发送到远程审计系统,进行集中、统*审计管理,为事后鉴定提供有效数据。 **. 可信边界安全网关可以基于连接的状态进行数据包过滤,极大地提高了系统的性能。 **. 双机热备是认证网关高可靠性的*种处理方式。双机热备功能必须有两台网关协助完成工作,*台为主,另*台为备,两台网关通过串口连接,互相实时监测,当主网关发生故障时,备份网关自动接管主网关并进入工作状态,保证网络和业务的不间断性。 **. 与公安现有的****服务器无缝连接,能够实时得到***(证书撤销列表)。 **. 与公安现有的***系统无缝连接,公安内网对***系统的授权策略也可以同步到网关上。 **. ★必须和泰州市公安局现有数据交换系统组成冗余链路,互为备份和负载均衡,双链路同时提供高可用性。 | | 性能要求 | *. 最大新建连接数≥****次/秒 *. 最大并发连接数≥****条 *. 每秒事务数目(***)≥****次 *. 最大接入用户数≥***** *. 最大吞吐量≥******* | (*) 数据交换前置机 | 项 目 | 配置及参数要求 | | 硬件参数 | *. 机架式应用服务器 *. *颗**位***,单颗核数**核以上,单核主频*.***以上 *. 不小于**** 内存 *. *块**** *****转***硬盘 *. *****卡缓存***带电池保护功能 *. 个千兆以太网接口、键盘、鼠标、≥*个****.*口、冗余电源、冗余风扇并支持热插拨,集成系统管理 | | 安全要求 | 支持基于操作系统内核加固软件,满足等保*级技术要求,具有原厂自主知识产权,要求操作系统安全等级不低于公安部信息安全等级保护第*级,提供*年不回收硬盘原厂保修 | | ★功能列表 | *.可以不在源端数据库建触发器,通过分析数据库日志实现无干扰的数据库同步。 | | *.必须能被原有已建边界接入平台集中监控系统检测到,并在系统自动展现,上报设备信息。 | | *.支持***、*****、武汉达梦、神舟通用、*****等数据库与******数据库进行同步 | (*) 万兆防火墙 | 技术指标 | 指标要求 | | 硬件架构 | 主机系统采用具有自主知识产权的多核多线程****并行操作系统平台,并提供多核多线程****并行操作系统的软件著作权作为证明加盖原厂公章。 | | 接 口 | 标配**个**/***/*********-*电口,*个万兆***模块,最大可扩展*个。 | | 性 能 | 吞吐量≥******,最大并发连接数&**;***万,每秒新建&**;*万/秒,***隧道数&**;****条 | | 系统要求 | 要求具备自主研发的安全操作系统,并提供该安全操作系统的软件著作权,无通用操作系统漏洞。 | | 要求支持*个系统引导,并可***界面上配置启动顺序,要求除恢复系统之外,还可支持系统*键式切换及完整备份 | | 要求支持虚拟系统技术,每个虚拟系统具备独立的管理权限、安全策略、等功能,互不干扰 | | 访问控制 | 基于状态检测的动态包过滤 | | 支持基于用户、用户组的访问控制,用户认证要求支持******、****、******* **域等方式,并内置动态令牌认证服务器,支持基于动态令牌的双因子认证 | | 支持同*主机源会话、目的会话的分别管理和限制,支持设定网段内共享的或者任*地址的并发连接限制 | | 支持应用层访问控制,包括***软件、**软件、炒股软件、网游软件等 | | 网络适应性 | 支持透明、路由、混合*种工作模式 | | 支持静态路由,动态路由(****、***等),****间路由,单臂路由,组播路由等 | | 内置***地址列表,可轻松完成基于***的策略路由 | | 服务器负载均衡支持轮询、加权值、最小连接、源/目的地址****等至少*种算法 | | ****/****双协议栈 | 支持****地址、地址组配置; | | 支持持****安全控制策略设置,能针对****的目的/源地址、目的/源服务端口、服务、扩展头属性等条件进行安全访问规则的设置。 | | 支持****静态路由 | | 支持****/****翻译策略技术,包括支持静态***-**、动态***-**、****-**技术,要求截图证明 | | 支持双栈、****隧道实现****网络与****网络访问 | | ***网站过滤 | 至少有**种分类库,****万级网址特征库 | | 要求支持挂马网站过滤,通过对访问目标***过滤的方式,阻止对含木马/病毒网站、钓鱼网站、僵尸网络的访问 | | 抗攻击能力 | 可识别和防御*** *****、**** *****、*** *****、********、*****、****-****、**** ** *****、*****、*******、圣诞树、碎片等多种攻击 | | 要求支持防护***攻击,通过发送频率有效定位***攻击源,支持防护**各种攻击方式 | | 主动防御 | 要求能主动屏蔽恶意地址,以用于提前免疫包括病毒网站或者攻击源地址的攻击 | | 要求支持主动防御功能,对服务器、主机进行后门、服务探测、文件共享、系统补丁、**漏洞等主动式扫描 | | 漏洞扫描 | 需支持漏洞扫描功能支持后门、服务探测、文件共享、系统补丁、**漏洞等主动式扫描 | | 管理配置 | 支持友好*****/***/******管理,支持数字证书和电子钥匙方式,支持****管理,与当前通用的网络管理平台兼容 | | 支持用户可配置的*****接口,提供多套皮肤设置 | | 高可用性 | 支持链路备份、链路聚合功能,可以在用户的多条网络出口之间进行自动的切换; | | 既支持基于****技术的热备和负载均衡,也支持私有的双机热备协议,在***、路由、透明模式下支持*-*,*-*模式,且切换时间小于*秒 | | 产品资质 | 具备公安部颁发的《计算机信息系统安全专用产品销售许可证》(*级) | | 具备中国信息安全产品认证中心颁发的《中国信息安全产品认证证书》 | | 具备国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》 | | 提供国家版权局颁发的《多核多线程****并行操作系统》 | | 厂商须加入云安全联盟***机构提供证明文件 | | 提供全球****测试中心颁发的**** ***** *****-* | | 国家版权局颁发的下*代防火墙《计算机软件著作权登记证书》 | (*) 隔离网闸 | 技术指标 | 指标要求 | | | 基本要求 | 标准**机架式机箱;必须采用“*+*”系统架构,即由两个主机系统和*个隔离交换专用硬件组成; | | | 支持病毒检测、文件交换、数据库同步、数据库访问、安全浏览、***访问、邮件传输、定制访问、*次开发、流媒体传输等基本功能; 要求提供全功能模块永久授权许可 | | | ★接口 | 不少于**个**/***/*****自适应电口,内外网主机系统分别具有独立的网络口、管理口、**口(热备口) | | | 性能 | 系统吞吐量不小于*****;并发连接数不小于**万; | | | 设备状态自检要求 | 支持设备健康状态实时自我检测,如散热系统状态,并能够进行正常/异常状态指示,且能在异常状态下进行声音报警。 | | | 文件交换 | 支持病毒检测功能,支持有客户端无客户端两种文件交换方式; | | | 支持文件格式特征过滤,并且不依赖于文件扩展名;支持文件类型检查可扩展模式,方便用户自主增加特定文件类型,并提供工具帮助用户识别不常见文件类型; | | | 支持文件格式特征过滤,并且不依赖于文件扩展名;支持重命名策略; | | | 数据库同步 | 支持支持******、*** ****** 、***、******等主流数据库间的同种或异种数据库同步,支持单向和双向同步; | | | 支持病毒检测; | | | 支持数据容错处理,当数据同步失败时,用户可以查询、复位、删除未能正常传输的数据。; | | | 支持字段值按条件进行数据同步,支持字段类型是:数值、字符、日期(固定格式); | | | 支持数据库同步客户端的双机热备技术(不仅仅是网闸的双机热备),为用户提供更高的冗余技术支持; | | | 支持数据库同步数据统计、查询功能; | | | 支持数据库同步事件邮件报警功能; | | | 安全浏览 | 支持病毒检测功能; | | | 支持*****种请求类型(***/****/***/****/*******)的黑白名单控制; | | | 支持文件类型(文件扩展名)的黑白名单过滤;支持***地址黑白单控制; | | | ***传输 | 实现安全的***访问,支持对访问用户、访问协议命令、上传下载文件类型等访问过滤控制; | | | 支持病毒检测功能; | | | 邮件传输 | 支持病毒检测功能,支持邮件地址、、主题、内容等进行过滤。 | | | 强制访问控制 | *)提供专用客户端,与网闸进行认证,支持本地用户名口令认证; *)支持基于动态令牌的双因子认证方式; | | | | | 病毒检测 | 具有病毒检测专用模块,支持自动/手动两种升级模式; | | | 采用自有知识产权的病毒防护引擎,包括病毒检测引擎和病毒分析引擎 | | | 采用专用国产知名病毒库。 | | | 攻击防御 | 具有实时入侵检测机制,实时阻断入侵; | | | 具有抗***、****攻击功能; | | | 管理审计 | 管理方式采用*/*架构的***方式管理,基于数字证书管理;支持命令行方式管理,支持远程***管理; | | | 日志实现按功能模块分组管理;日志支持远程存储,能为第*方提供日志格式,实现日志数据分析;支持******标准; | | | 可靠性 | 支持*-**台设备双机热备,支持负载均衡(无需第*方设备); | | | 支持设备自身物理端口冗余功能; | | | ★产品资质 | *. 具备公安部《计算机信息系统安全专用产品销售许可证》; *. 具备公安部信息安全产品检测中心检测报告(*级); *. 具备保密局《涉密信息系统产品检测证书》; *. 具备《中国国家信息安全产品认证证书》(**)*级; *. 具备中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》(军*级) *. 具备国家信息安全测评信息技术产品安全测评证书的增强级别:****+ *. 通过国家下代互联网信息安全专项(高性能安全隔离与信息交换系统)测试报告; *. 提供全球****测试中心颁发的**** ***** *****-* | | (*) 入侵检测系统 | 技术指标 | 指标要求 | | 产品架构 | 产品由控制台软件和探测器两部分组成,探测器使用专用的*体化硬件平台 | | 探测器引擎的操作系统为***通用安全平台,具备高效、智能、安全、健壮、易扩展等特点 | | 探测器引擎采用高性能的***统*安全引擎 | | 基本配置 | 双冗余电源;管理口:*个**/***/***** ****-**; 监听口:*个***插槽,*个**/***/***** ****-**; | | 吞吐量**,并发连接数***万; | | 网络适应性 | 支持****/** 双协议栈网络地址解析;支持针对 ****/**网络中的数据包解析、支持****/**碎片重组等功能。 | | 支持基于****/**网络的攻击检测。 | | 攻击检测 | 综合运用会话状态检测、应用层协议完全解析、误用检测、异常检测等多种检测技术,并支持自定义协议和检测事件 | | 产品应具有对蠕虫病毒、蠕虫、间谍软件、木马后门、刺探扫描、暴力破解、拒绝服务、缓冲区溢出、欺骗劫持、僵尸网络、***注入、***、*****、网页木马、钓鱼网站、********、数据库攻击、网络设备攻击、****攻击、可疑行为等常见攻击具有高精度的检测能力。 | | 支持**碎片重组、***流重组、引擎级的事件归并、报警缩略再分析、规则阈值修改、多网段定义检测等功能 | | 超过****条的检测规则,全面兼容***、*******等国际标准漏洞库 | | 产品应具有专业的***攻击检测引擎,可对***注入、***及其各种语法变形、语义变形、编码等环境进行精确检测 | | 可按源地址、目的地址、协议、事件类型、风险级别、时间范围、地址范围等条件灵活定义安全策略,实现安全策略的动态调整 | | 探测器提供本地日志缓存,避免因为控制台与探测器断开引擎的报警日志丢失 | | 产品支持基于**-***地址绑定的***攻击检测功能 | | 可对包括****、****、****、******、***等多种应用协议进行报文事后回放,实现对访问行为或网络使用情况的事后分析或取证 | | 安全事件监控 | 攻击事件监控功能要求显示每*条事件的威胁程度、流行程度、事件名称、源**、目的**、发生时间、最近**小时发生次数、最近*分钟发生次数、合并方式,实时事件显示精确到秒。 | | 系统支持事件优化处理功能,可针对达到识别策略的事件进行优化处理,包括对日志的处理和策略的处理。 | | 系统支持事件过滤功能,并可基于事件名称、风险级别进行事件过滤,同时还支持基于引擎名称进行事件过滤。 | | 系统支持重要消息提示功能,通过重要消息实时闪烁,进行报警提示。 | | 智能威胁事件管理 | 产品可提供威胁事件的实时展示功能,可以将引擎检测到的威胁事件在控制台界面进行实时显示,内容包括:威胁事件名称、威胁事件的状态、威胁事件等级、威胁的流行程度、源**、目标**、时间段等信息 | | 产品可提供对威胁事件的自动分析功能,通过系统的自动分析,过滤掉不重要的、对用户价值不高的告警事件,仅显示对用户价值高、具有分析与关注价值的报警事件,以此减少低效告警事件对用户安全运维的干扰 | | 产品可提供对威胁事件的全局预警功能,即:在多级部署环境中,其中*个控制中心监测到某*个攻击之后,可以通过全局预警功能将此攻击事件通告给其它的控制中心 | | 产品可提供对威胁事件的实时响应功能,在监测到攻击之后,系统需提供如下几种响应方式:****、******、写入日志、发送邮件、实时报警、*** ******阻断连接、防火墙联动、捕获原始报文等 | | 产品可支持对威胁事件的闭环管理功能,帮助用户发现威胁、分析威胁、处理威胁,完成威胁管理工作的闭环 | | 系统具有智能新增事件分析、显示功能,可针对阈值的设定,判定是否是新增事件。 | | 日志报表 | 产品可提供基本报表的查询功能,可以将事件发生的详细信息生成报表,有超过**种报表模板,并可自定义报表 | | 报表支持****、****、*****、***等多种导出格式,并支持能过邮件方式发送报表 | | 产品可提供对历史日志进行对比分析的能力,并可基于分析结果自动生成报表,历史事件的周期可以手工设定,该报表用于辅助用户分析*段时间内的威胁 | | 系统支持*维交叉报表功能,基于事件名称+目的地址+源地址;事件名称+源地址+目的地址的*维交叉报表。 | | 支持运行日志和审计日志的导入、导出功能。 | | 系统配置 | 支持对引擎存活状态、***和内存使用率、磁盘使用率进行实时监控 | | 可实时对网络中的流量进行统计,实时数字、图形化显示网络当前状态下的流量 | | 产品可支持在线、离线、代理的升级方式,并可针对不同风险级别的事件进行策略更新; | | 支持分布式部署。*个控制台可以同时管理多个探测器;支持多级管理,报警事件可以多级上报,检测策略可多级下发 | | 系统支持操作系统资产配置与报警自动关联功能,根据配置的目的地址、影响系统与影响设备进行上报事件的过滤。 | | 产品资质 | 具有备公安部公共信息网络安全监察局颁发的《计算机信息系统安全专用产品销售许可证》 | | 具有中国信息安全产品认证中心颁发的《中国国家信息安全产品认证证书》(*****认证) | | 具有中国信息安全测评中心颁发的《信息技术产品安全测评证书》(****级) | | 具有国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》 | | 具有中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》,要求“军*”级(含)以上 | | 提供国家版权局颁发的《多核多线程****并行操作系统》 | | 具有国际权威机构颁发的***兼容证书 | (*) 入侵防御系统 | 技术指标 | 指标要求 | | 产品架构 | 产品由控制台软件和探测器两部分组成,探测器使用专用的*体化硬件平台 | | 探测器引擎的操作系统为***通用安全平台,具备高效、智能、安全、健壮、易扩展等特点 | | 探测器引擎采用高性能的***统*安全引擎 | | 基本配置 | 双冗余电源;管理口:*个**/***/***** ****-**; 监听口:*个***插槽,*个**/***/***** ****-**; | | 吞吐量**,并发连接数***万; | | 网络适应性 | 支持****/** 双协议栈网络地址解析;支持针对 ****/**网络中的数据包解析、支持****/**碎片重组等功能。 | | 支持基于****/**网络的攻击检测。 | | 攻击检测 | 综合运用会话状态检测、应用层协议完全解析、误用检测、异常检测等多种检测技术,并支持自定义协议和检测事件 | | 产品应具有对蠕虫病毒、蠕虫、间谍软件、木马后门、刺探扫描、暴力破解、拒绝服务、缓冲区溢出、欺骗劫持、僵尸网络、***注入、***、*****、网页木马、钓鱼网站、********、数据库攻击、网络设备攻击、****攻击、可疑行为等常见攻击具有高精度的检测能力。 | | 支持**碎片重组、***流重组、引擎级的事件归并、报警缩略再分析、规则阈值修改、多网段定义检测等功能 | | 超过****条的检测规则,全面兼容***、*******等国际标准漏洞库 | | 产品应具有专业的***攻击检测引擎,可对***注入、***及其各种语法变形、语义变形、编码等环境进行精确检测 | | 可按源地址、目的地址、协议、事件类型、风险级别、时间范围、地址范围等条件灵活定义安全策略,实现安全策略的动态调整 | | 探测器提供本地日志缓存,避免因为控制台与探测器断开引擎的报警日志丢失 | | 产品支持基于**-***地址绑定的***攻击检测功能 | | 可对包括****、****、****、******、***等多种应用协议进行报文事后回放,实现对访问行为或网络使用情况的事后分析或取证 | | 安全事件监控 | 攻击事件监控功能要求显示每*条事件的威胁程度、流行程度、事件名称、源**、目的**、发生时间、最近**小时发生次数、最近*分钟发生次数、合并方式,实时事件显示精确到秒。 | | 系统支持事件优化处理功能,可针对达到识别策略的事件进行优化处理,包括对日志的处理和策略的处理。 | | 系统支持事件过滤功能,并可基于事件名称、风险级别进行事件过滤,同时还支持基于引擎名称进行事件过滤。 | | 系统支持重要消息提示功能,通过重要消息实时闪烁,进行报警提示。 | | 智能威胁事件管理 | 产品可提供威胁事件的实时展示功能,可以将引擎检测到的威胁事件在控制台界面进行实时显示,内容包括:威胁事件名称、威胁事件的状态、威胁事件等级、威胁的流行程度、源**、目标**、时间段等信息 | | 产品可提供对威胁事件的自动分析功能,通过系统的自动分析,过滤掉不重要的、对用户价值不高的告警事件,仅显示对用户价值高、具有分析与关注价值的报警事件,以此减少低效告警事件对用户安全运维的干扰 | | 产品可提供对威胁事件的全局预警功能,即:在多级部署环境中,其中*个控制中心监测到某*个攻击之后,可以通过全局预警功能将此攻击事件通告给其它的控制中心 | | 产品可提供对威胁事件的实时响应功能,在监测到攻击之后,系统需提供如下几种响应方式:****、******、写入日志、发送邮件、实时报警、*** ******阻断连接、防火墙联动、捕获原始报文等 | | 产品可支持对威胁事件的闭环管理功能,帮助用户发现威胁、分析威胁、处理威胁,完成威胁管理工作的闭环 | | 系统具有智能新增事件分析、显示功能,可针对阈值的设定,判定是否是新增事件。 | | 日志报表 | 产品可提供基本报表的查询功能,可以将事件发生的详细信息生成报表,有超过**种报表模板,并可自定义报表 | | 报表支持****、****、*****、***等多种导出格式,并支持能过邮件方式发送报表 | | 产品可提供对历史日志进行对比分析的能力,并可基于分析结果自动生成报表,历史事件的周期可以手工设定,该报表用于辅助用户分析*段时间内的威胁 | | 系统支持*维交叉报表功能,基于事件名称+目的地址+源地址;事件名称+源地址+目的地址的*维交叉报表。 | | 支持运行日志和审计日志的导入、导出功能。 | | 系统配置 | 支持对引擎存活状态、***和内存使用率、磁盘使用率进行实时监控 | | 可实时对网络中的流量进行统计,实时数字、图形化显示网络当前状态下的流量 | | 产品可支持在线、离线、代理的升级方式,并可针对不同风险级别的事件进行策略更新; | | 支持分布式部署。*个控制台可以同时管理多个探测器;支持多级管理,报警事件可以多级上报,检测策略可多级下发 | | 系统支持操作系统资产配置与报警自动关联功能,根据配置的目的地址、影响系统与影响设备进行上报事件的过滤。 | | 产品资质 | 具有备公安部公共信息网络安全监察局颁发的《计算机信息系统安全专用产品销售许可证》 | | 具有中国信息安全产品认证中心颁发的《中国国家信息安全产品认证证书》(*****认证) | | 具有中国信息安全测评中心颁发的《信息技术产品安全测评证书》(****级) | | 具有国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》 | | 具有中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》,要求“军*”级(含)以上 | | 提供国家版权局颁发的《多核多线程****并行操作系统》 | | 具有国际权威机构颁发的***兼容证书 | (*) 万兆交换机 | 项 目 | 配置及参数要求 | | 端口 | **个**/***/****以太网端口,配置*个*** 万兆位模块 | | 管理 | 支持端口镜像、可管理 | (*) 视频安全接入系统 | 项 目 | 配置及参数要求 | | 硬件参数 | 标准机架式,由视频安全隔离设备、视频接入认证服务器和视频用户认证服务器*台设备组成。 *个千兆网电口,*个万兆光口 | | ★资质要求 | 视频安全接入系统必须入围公安部视频安全交换产品目录 视频安全接入系统必须具备公安部销售许可证 | | 功能要求 | *. 访问控制:视频专用隔离设备应能够实现访问控制,包括:视频服务器**地址限制、客户端**地址范围限制、访问授权和拒绝。 *. 身份认证:支持基于警用数字身份证书的身份认证 *. 服务器认证:能对提供视频服务的服务器的合法性进行认证,保证非法的外部视频服务器不能接入使用单位内网。 *. 网关过滤和控制功能。具有:内核级智能状态检测和深层次网络过滤;内嵌式入侵检测功能,抵御内、外网络洪水攻击及端口扫描攻击;网络硬件***地址与**地址绑定及多网段访问控制;网络主机或制定地址段分组访问控制;网络过滤及控制策略的优先级选择控制。 *. 网络地址转换功能。具有:源地址转换;目的地址转换;虚拟服务器和静态负载均衡。 *. 应用层过滤功能。具有:视频信号数据过滤;过滤所有非视频数据;系统管理功能;清晰直观的图像化配置管理控制台;完善的日志管理控制台,提供详尽的网络访问日志、管理审计日志、内容过滤日志、病毒检测日志、系统运行日志查询及图形统计功能和扫描攻击声音报警功能。 *. **认证和优先级功能。具有:认证客户端合法**地址,通过用户名/口令获取授权、根据**优先级分组、优先级分配视频带宽等功能。 *. 审计:应至少能对下列可审计事件生成*个审计记录:审计功能的启动和关闭;任何对审计记录进行操作的尝试,包括关闭审计功能或子系统,以及受影响的客体的标识;任何修改、破坏审计记录的尝试;所有对视频专用隔离设备规则复盖的客体(内部或外部网络上的主机)执行操作的请求,以及受影响客体的标识;修改安全属性的所有尝试,以及修改后安全属性的新值;所有使用安全功能中鉴别数据管理机制的请求;所有访问鉴别数据请求,以及访问请求的目标;任何对鉴别机制的使用;所有使用标识机制的尝试;所有对安全功能配置参数的修改(设置和更新),无论成功与否,以及配置参数的新值;对于每*个审计记录,视频专用隔离设备安全功能应至少记录以下信息:事件发生的日期和时间,事件的类型,主体身份和成功或失败的事件。 *. 能够支持对云台的控制信令,用户在内网可以正常控制云台。 **. 应具备较好的兼容性,支持动态端口。 **. 视频专用隔离设备应能兼容市场上多数主流视频系统,包括:南望、天视、先进视讯、互信互通、博康、华为****(包括*** ****系统和*** *** ****系统)、广东博路、浙江海康、大华和上海贝尔等。 | | 性能要求 | *. 底层硬件数据吞吐量≥***** *. 最大传输延时&**;=**** *. 视频传输能力≥***路并发 *. 编码格式:支持*-****,*****、*.*** *. 视频分辨率:支持**、**、***、*/***、*/***、***、*/***、***、**** *. 视音频:支持同时传输视音频、控制码流 *. 控制协议:支持视频共享平台***控制协议 *. 适用码流:******~*****(支持高清) *. 数据包丢失率&**;*.*‰ **. 客户端身份识别:采用**** **方式 **. 视频源认证:支持 **. 稳定性:支持负载均衡;系统掉电、网络拥塞或中断不会导致系统崩溃,*旦网络重新恢复,系统马上可以使用 | (**)防火墙 | 项目 | 规格要求 | | 架构 | **机框,多核网络专用硬件架构,提供产品多核处理的真实界面截图证明多核且均参与工作;提供多核并行操作系统软件著作权证书 | | 端口 | 至少*个**/***/****自适应电口,*个***接口,最大可扩展到**个千兆接口,*个万兆接口;提供双冗余热插拔电源 | | 性能 | 最大吞吐量****** | | 最大并发连接数***万 | | 最大每秒新建会话数**万 | | ***性能(******算法)****** | | *** ***用户数****个 | | 功能 | 工作模式支持透明、路由、混合、旁路、直连(虚拟线)模式; | | 支持将任意接口数据完全镜像到设备自身的其他接口,用于抓包分析; | | 端口聚合支持对物理端口的聚合,包括静态和****模式,提高带宽利用率 | | 虚拟防火墙 | 支持扩展虚拟防火墙功能,每个虚拟防火墙可自定义***资源、会话数、策略数、安全域数、源***数、目的***数 | | 每个虚拟系统支持防火墙功能、***** ***功能、*** ***功能; | | ***功能 | 支持***地址可用性探测,支持***公网地址池中**有效性检测,避免因***地址无法使用导致业务中断 | | 路由协议 | 支持*** 功能,支持***与静态路由/****/***进行联动。快速检测到与相邻设备间的通信故障,减小设备故障对业务的影响。通过与动态路由协议联动,缩短收敛时间,提升可靠性 | | ****、***、*****/**、****(动态路由协议非透传)和静态路由、支持策略路由、支持***服务商路由;支持基于角色、用户、用户组的策略路由;支持基于迅雷、电驴、**等应用协议的策略路由 | | ★链路负载均衡 | 支持****等价权值负载均衡,针对不同链路的带宽,给予不同的权值,从而实现多链路的负载均衡,提供产品界面截图 | | 支持基于接口时延的动态切换能力:系统从多出接口向外部某*个或多个目的地址探测时延。当自身接口的时延超过配置的阈值时,新建会话的流量就不再从这个接口转发,而是走其它接口。当此接口的时延回落到正常值以下后,新建会话的流量再允许从这个接口转发,提供产品界面截图有效 | | 支持基于应用选择路由下*跳的***引流功能,***流量可指定从某条特定互联网线路访问,提供产品界面截图 | | 支持就近探测算法(根据***报文探测的响应时间和****报文探测的响应时间等方法自动生成静态路由表,并将探测的响应时间生成日志)选择最优路径,提供产品界面截图有效 | | ★必须和泰州市公安局现有数据交换系统组成冗余链路,互为备份和负载均衡,双链路同时提供高可用性。 | | ★产品资质 | 计算机信息系统安全专用产品销售许可证(万兆*级),提供证书复印件证明文件 | | 涉密信息系统产品检测证书(万兆),提供证书复印件证明文件 | | 《中国国家信息安全产品认证证书》(万兆*级或*级以上),提供证书复印件证明文件 | | 防雷击浪涌等级*级,通过国家无线电监测中心检测中心浪涌(冲击)抗扰度(***)测试项目,并出具国家无线电监测中心检测中心委托测试报告 | | 具备信息产业部颁发的电信设备进网许可证,提供证书复印件证明文件 | | 《信息安全产品****等级认证证书》(万兆),提供证书复印件证明文件 | | 全球下*代互联网测试中心**** *****-*第*阶段认证证书,提供证明文件 | (**)调试终端 | 项目 | 规格要求 | | 移动终端 | ***:酷睿**、*.****以上 内存:***,**-**** 硬盘:混合***+***,***+*** 显示器:**.*英寸,**:*,***广角屏 :*****摄像头,扬声器,麦克风,无线网卡,蓝牙,*个以上****.*,***接口,*年的全国联保,*包服务。 | *、其他相关要求 *、中标单位必须安排足够的技术实施力量,按照用户提出的实施要求,在**天内完成系统集成和实施,打“★”号为重要参数,中标单位须在中标后*天内在用户单位完成该功能的展示。 *、中标单位应提供所有产品的全套中文技术资料、使用手册和软件光盘,以及系统集成和实施中形成的完整文档资料。 *、原厂商必须承诺对平台中涉及的软、硬件产品提供*年免费上门保修及升级服务。 *、中标后必须提供安全数据交换系统、防火墙原厂商针对本项目的授权函及*年免费质保承诺函。 | 
发布公告
晋公网安备14019202000101号 Copyright©2015-现在 比比网络 版权所有 bibenet.com 晋ICP备14006571号-7
