武警广东省总队医院安全运维审计系统（堡垒机、网闸）项目参数征求意见公告

指标项

指标参数要求

品牌

全球著名厂商产品，***报告****年-****年全球***服务器市场出货量排名前*，需提供***盖章的报告证明

机型

**机架式，配置上架滑轨

处理器

配置*颗英特尔至强银牌***** *.** ******

内存

配置****** *****, ******/*, 内存 **个内存插槽, 最大可扩展***内存容量

硬盘

配置≥*** 数量≥*  *.*  *.** **** ***硬盘。

提供*个及以上*.*寸硬盘插槽

****适配器

*** ****/*

支持设备：硬盘, 磁盘阵列 (****), 固态硬盘

网卡

配置*块*端口***网卡

***-*扩展

支持*个及以上***-* *.*插槽

▲***面板管理功能 

前面板上配备有液晶屏，可显示默认或定制信息，包括**地址、服务器名称、支持服务编号等。如果系统发生故障，该液晶屏上将显示关于故障的具体信息。

▲远程管理

*、配置独立远程管理卡，支持远程虚拟介质及虚拟*** 支持集成**卡，可自动配置更新部件（网卡、****卡、主板等）的固件和驱动，支持查看/导出服务器配置和固件信息 支持远程配置****、网卡和****卡，可实现不依赖主机操作系统进行远程操作(包括开、关机，鼠标键盘操作) 支持安装定制的操作系统映像等

*. 在服务器主板更换时，自动恢复硬件配置和*******信息；通过远程管理卡为技术支持收集和准备所需的硬件，操作系统和存量信息；通过远程管理卡监控***, 内存和**的性能指标；通过远程管理卡监控*** ***和****卡状态；

▲电源

配置*个***瓦热插拔冗余电源，*条电源线

▲售后服务

提供原厂商*年******原厂金牌服务，故障硬盘不返还服务.原厂的针对该项目的授权函和服务承诺函。

指标项

指标参数要求

投标产品资质要求

具备国家保密局涉密信息系统安全保密测评中心出具的《涉密信息系统产品检测证书》，并提供加盖原厂鲜章的登记证书扫描件；

具备中国网络安全审查技术与认证中心颁发的《**产品信息安全认证证书》

软件要求

纯软件，支持******或深信服超融合部署；

≥***个，至少可管理***个目标资产对象；

持通过授权绑定**的形式，来防止虚拟机漂移时*******失效

用户管理

系统内置超级管理员、配置管理员、审计管理员和操作员*种角色，并可根据模块化功能来自定义用户角色；

▲支持内置动态令牌认证和手机令牌认证，其中动态令牌支持国密算法加密，需提供令牌厂商的《商用密码产品型号证书》及相应授权函；需提供加盖原厂鲜章的功能界面截图证明；

支持双因素组合认证，可以将两种认证组合为全新的认证方式；

▲支持**账号的定期自动化同步，当**域中的新增或删除账号时，会自动同步至运维审计系统中，需提供加盖原厂鲜章的功能界面截图证明；

具备账号密码的防爆力破解功能，可在用户持续输错若干次密码后，自动锁定账号或者客户端，锁定时常能够自定义；

支持对用户账号登录**、登录终端***地址的限制；

资产管理

▲支持资产动态视图管理，管理员在设置好资产的层级关系后，系统可自动生成动态全景树状视图；需提供加盖原厂鲜章的功能界面截图证明；

支持资产连通性测试，包括端口测试、密码校验及****检测；

支持目标资产的自动化跳转登录和账号切换登录；

支持应用发布功能，可集中管控各类*/*、*/*应用；

▲支持等价资产管理和等价账号管理，当等价关系设定后，其中*台资产内的账号密码发生变更，等价的资产、账号密码随之自动变更；需提供加盖原厂鲜章的功能界面截图证明；

支持自动同步阿里、华为、腾讯公有云资产；

权限管控

▲支持基于****模式的动态权限管控，管理员可基于用户属性、资产属性、系统账号属性来创建弹性动态权限规则，只要满足相关属性的用户、资产、账号即会被自动赋予对应访问权限；需提供加盖原厂鲜章的功能界面截图证明；

支持动态权限的批量导入，支持动态权限的批量编辑和批量删除；

支持对通过***协议登录到目标资产后的剪贴板控制，可限制剪贴板的文件上行、字符上行、文件下行、字符下行操作； 

支持变更单管理功能，管理员可以基于使用人、资产、系统账号、到期时间，来上传、创建值班表模式的权限变更单，变更单无需审批，但可以自动生成时效性的访问权限； 

支持按用户/用户组/资产/资产组查看访问权限，权限内容含资产、账号、规则模板及对应的权限策略名称，并可通过*****导出相应权限关系；

支持基于*/*角管理模式的双人复核，当用户登录到目标资产时，必须经过复核人的复核确认后才能正常操作；当会话复核人发现操作存在风险，可实时暂停； 

▲针对高敏设备，支持用户登录时候的*次授权；授权码可采用“专用授权***码+内置的动态双因素认证码”，避免授权密码外泄带来的安全风险；需提供加盖原厂鲜章的功能界面截图证明；

支持高危命令权限控制，当用户试图去执行高危命令时，会被系统自动给予告警、放行、拒绝、切断会话、转发给管理员复核；高危命令权限控制支持命令黑白名单和命令正则表达式；

电子工单

内置资产访问工单：用户填写包含工单标题、工单描述、需要访问的资产、需要使用的系统账号、需要访问的时间段的电子工单，经审批通过后可自动生成时效性的访问权限； 

▲内置密码获取工单：申请人可根据需要填写包含目标资产名称、系统账号名称、使用时间段的密码工单；管理员对密码工单审批通过后，系统自动将密码获取链接发送给申请人；申请人打开链接后，可凭借登录密码+解密密码，获取对应的账号密码；工单过期后，系统自动对该账号进行改密操作；需提供加盖原厂鲜章的功能界面截图证明；

支持多级审批模式，管理员可自定义各级审批人，相应工单逐级审批通过后后生效； 

资产访问

支持批量启动功能，可*次性登录选择好的目标资产； 

▲支持导出*********、*********、*********、******客户端透传访问配置，包含****和***协议的透传配置，可导入到相关客户端中进行快速访问；需提供加盖原厂鲜章的功能界面截图证明；

支持***快速访问功能，当操作人员以*****方式访问*******资产时，可在浏览器左侧导航树中选择批量启动或断开，并能在多个会话之间灵活切换； 

支持用户单来源地址限制，使得同*用户账号同时只被允许从*个**地址访问；

▲支持同类会话、单*会话的***、内存负载限制，限定用户通过运维安全管理系统发起的图形、字符、数据库*类操作分别可以占用的最大资源比例，防止因会话负载过高而阻碍运维安全管理系统正常运行；需提供加盖原厂鲜章的功能界面截图证明；

支持在线会话查询功能，用户可自行查询指定资产当前的会话信息，包括在线用户、来源**、在线时长等信息； 

行为审计

▲具备命令识别方面的先进性技术，可实现对命令行操作行为的***%记录；需提供国家知识产权局颁布的技术先进性证明文件扫描件，加盖原厂鲜章；

▲具备数据库审计方面的先进性技术，可实现对******、*********、*****数据库客户端操作行为的***%的***语句还原；需提供国家知识产权局颁布的技术先进性证明文件扫描件，并加盖原厂鲜章；

支持从任*条***语句开始,回放用户的操作过程；

支持对用户命令操作的输入输出，在同*界面展示，并能自动以不同颜色标记出被系统拒绝、切断的操作； 

具备***图形识别技术，可以对图形操作过程中的键盘鼠标操作、剪贴板操作、标题栏操作*大类信息，进行文本审计；

支持图形会话的按标题和大小进行切片展示功能，管理员点击任意切片，即可直接定位到对应操作片段；

▲支持可疑会话自动识别，可将超过*定时长，或会话文件超过*定大小的在线会话自动标识为可疑会话，并在审计界面进行可视化展示；需提供加盖原厂鲜章的功能界面截图证明；

支持文件传输审计，可完整记录用户通过系统进行的****、剪切板、磁盘映射、**/***大类文件传输操作，并能对传输的文件信息进行留存（文件留痕的资产范围可配置），以便于事后审计； 

▲支持资产、用户、操作、工单*个维度的问题检索，其中在操作检索层面，支持多关键字，检索结果可以直接定位到相关操作片段，并能将多个操作片段进行*键合并和基于时间的操作排序重组；需提供加盖原厂鲜章的功能界面截图证明；

自动改密

▲支持针对主机、网络设备和**域*类资产的动态自动改密功能，管理员可基于资产属性和账号属性创建弹性动态改密规则，只要满足相关属性的资产和账号即会被自动纳入改密计划；需提供加盖原厂鲜章的功能界面截图证明；

支持自定义密码规则，包括密码策略、是否分段保管、密码备份方式等，密码策略包括随机生成相同密码、随机生成不同密码、指定密码、密码集；密码备份方式支持分段加密外发到邮箱或者文件服务器；

▲具备系统账号历史密码留存功能，可完整记录相应账号历次变更的密码信息，支持在任意密码节点处进行连通性测试及密码备份；需提供加盖原厂鲜章的功能界面截图证明；

支持账号密码定期自动备份；

系统管理

支持定期自动备份审计数据至文件服务器，定期清理过期的审计日志；

支持在***界面自定义设置字符、图形、***等服务的网络端口； 

支持在***界面中查看系统的负载，磁盘占用空间以及关键进程的健康状态；

支持通过*键巡检功能快速获取系统整体健康状况和运行状况； 

支持通过******方式发送告警事件，日志来源包括日志告警包括身份验证、资产访问、命令防火墙、会话截图证明复核、字符审计日志、系统负载告警、配置日志、图形审计日志、数据库审计日志、文件传输日志。

服务要求

*年原厂维保服务，提供原厂售后服务承诺函盖章原件

指标项

指标参数要求

接口要求

标准**设备，单电源；内网接口：不少于*个***/****/*****电口（其中包含*个管理口、*个**口）、*个***插槽、*个*******口、*个***口，管理口与业务口相互独立。

外网接口：不少于*个***/****/*****电口（其中包含*个管理口、*个**口）、*个***插槽、*个*******口、*个***口，管理口与业务口相互独立。

性能要求

系统吞吐量不少于*******，并发不少于*万，延时小于***。

硬件要求

▲提供健康指示灯，提供声音报警装置，设备处于异常状态下，能通过指示灯报警，且能通过报警装置发出声音报警，提供设备健康指示灯、声音报警装置截图；

系统架构

采用“*+*”系统架构，即由两个主机系统和*个隔离交换专用硬件组成；隔离交换矩阵基于专用芯片实现，保证数据在搬移的时间内，内、外网隔离卡与内、外网系统为断开状态。

系统要求

▲内外网主机系统分别支持双系统引导，并可在***界面上直接配置启动顺序，在*系统发生故障时，可以随时切换到*系统；且支持系统(包括配置文件)备份；提供截图证明；

▲系统采用具有自主知识产权的****多核并行操作系统平台，提供该安全操作系统的软件著作权作为证明；

****支持

支持纯****网络环境，能够在纯****网络环境下正常工作。提供《公安部计算机信息系统安全产品质量监督检验中心检测报告》证明；

支持隧道，能够在******和****网络环境下正常工作（提供《公安部计算机信息系统安全产品质量监督检验中心检测报告》证明

▲支持****/****双栈网络环境，能够在****/****双栈网络环境下正常工作（提供《公安部计算机信息系统安全产品质量监督检验中心检测报告》证明

强制访问控制

支持***认证方式和专用客户端两种认证方式；提供功能界面截图证明；

▲支持基于动态令牌的双因子认证方式；提供功能界面截图证明；

▲可对用户的客户端版本和进程进行检查，进行准入控制，提供截图证明；

文件交换

支持文件传输长度及***校验，并支持校验失败自动重传，提供截图证明；

可根据异常条件进行报警，如***校验失败、堆内存占用过高等条件，提供截图证明；

▲可与***检测产品联动，可向***产品上传需要同步的文件，并能提供日志和文件详细分析报告的链接。提供截图证明；

支持文件格式特征过滤；并能提供文件类型判断工具以帮助用户识别不常见文件类型，判断工具支持的特征是可扩展，提供截图证明；

文件快递

对外开启***服务，供用户登录以进行文件上传/下载；

支持审核用户对普通用户（非免审批类型）发送文件申请进行审批，可下载该文件；

数据库同步

支持灵活的数据库冲突处理策略，当关键字数据发生冲突时可选择：覆盖/丢弃；提供截图证明；

▲支持数据库同步客户端的双机热备技术，为用户提供更高的冗余技术支持；提供截图证明；

***访问

支持****、****双协议栈接入

支持用户身份认证

安全浏览

支持访问源地址、目的地址、目的端口的访问控制；

支持页面关键字过滤，支持****类型过滤；

▲支持****请求头部大小限制。提供截图证明；

定制访问

实现特定***、***协议的数据隔离交换，可合作定制开发针对特定协议的安全检测，实现如黑白名单控制、关键字过滤等

支持用户身份认证

安全通道

支持多种安全访问方式，比如普通访问模式、透明访问模式、同*个**多个端口等访问模式；

支持***、*** *****阈值设置

安全防护

▲具有网关防病毒技术（网关级计算机网络病毒防范的方法），提供国家第*方机构颁发的技术证明文件

支持实时入侵检测功能，并可设置自动阻断响应

支持抗****攻击功能

支持系统防暴力破解，对管理员登录失败有次数限制：密码输入错误，超过限定次数，自动锁定设备，阻止非法管理员再次登录，同时根据限定期限，可自动解除锁定。支持管理员登录超时设置。

▲支持抗攻击功能，能够识别和防御*** *****、**** *****等攻击，提供《公安部计算机信息系统安全产品质量监督检验中心检测报告》

安全管理

支持*****的***方式管理，实现远程管理信息加密传输，提供《公安部计算机信息系统安全产品质量监督检验中心检测报告》；

▲支持配置文件以加密的方式导出，提供截图证明；

高可用

支持多台设备实现负载均衡，无需第*方软硬件支持；

支持抢占模式，支持配置同步；

▲具备集群模式下实现网络安全设备高可用性方法的技术证明文件，提供国家权威第*方机构颁发的技术证明文件；

支持主、备状态实时展示；提供截图证明；

日志审计与状态监控

支持中文日志显示，并能实现内外网主机日志同步；提供截图证明；

支持***方式上传日志；提供截图证明；

提供在线用户状态监控，能够对在线用户列表及在线用户时长进行统计

产品资质

具备《计算机信息系统安全专用产品销售许可证》（增强级）；

具备公安部安全与警用电子产品质量监测中心出具的*******-****测试报告

具备**** ******认证证书；

具有密码管理局颁发的《密码检测证书》

▲连续*年（****-****）市场占有率排名前*，提供*****&***;********;调研报告

▲从事网闸产品研发生产时间超过**年，提供公安部销售许可证书影印件证明；

厂商能力

具备国家保密局颁发的《涉及国家秘密的计算机信息系统集成资质证书》（甲级）

具备工业信息安全应急服务支撑能力，提供证明文件

具备*****信息系统安全集成服务资质（*级）

服务要求

*年原厂维保服务，提供原厂售后服务承诺函盖章原件