安全设备及管理需求.docx_咨信网zixin.com.cn

资源描述

(标一) 安全设备及管理需求以下性能指标要求必须满足，不允许负偏离 1. 内网UTM安全网关数量1台序号技术参数详细描述 1 基本要求标准机架式的设备，采用ASIC硬件平台；标配4个10/100M自适应电口, 4个1000M多模光纤接口，具备LCD液晶显示屏；可以通过LCD显示屏直接进行配置。 2 性能并发会话数目≥160万，每秒新建会话数目≥1.5万，防火墙吞吐量≥2Gbps，防病毒吞吐量≥200Mbps，IPS吞吐量≥500Mbps ; IPSEC VPN168位3DES吞吐量≥400Mbps， IPSEC VPN通道数≥1万 3 联动可实现与内网安全管理系统之间的联动 4 入侵防护功能要求 1) 具备3000种以上攻击特征库规则列表，可自定义特征库，特征库可以在线升级，本次投标要求投标商免费提供三年特征库升级； 2) 可以针对不同的特征制定不同的入侵防护系统动作（丢弃、通过、重置、重置客户端、重置服务器、丢弃会话、清除会话、通过会话） 3) 支持对P2P和IM软件的阻断和带宽限制；P2P软件：BT、Edonkey、Emule、Gnutella、KaZaa、WinNY等；IM软件包括：QQ、MSN、YAHOO、AOL、ICQ、Skype等 4) 支持抗DDOS/DOS攻击，可积极防御syn flood、Ping flood、udp flood、teardrop、sweep、land-base、ping of death、smurf、winnuke、圣诞树、碎片等DdoS攻击 5 防病毒功能要求 1) 支持HTTP、FTP、POP3、SMTP、IMAP协议的病毒防护 2) 支持即时通讯协议的病毒过滤：AOL, Yahoo, MSN, 和iCQ 3) 支持对Blaster，Nachi，Nimda，Redcode，Sasser，Slapper，Sqlexp，Zotob等主流蠕虫病毒的过滤和拦截 4) 实现对灰色软件、间谍软件及其变种进行阻断 5) 内置病毒库、病毒库可进行在线升级 6 VPN 1) 支持标准IPSec协议，能够与CISCO等知名厂商VPN设备互联互通 2) 支持多出口VPN并且支持NAT穿越，支持PPTP 、L2TP等VPN连接 3 对VPN加密隧道提供病毒扫描和入侵防护 7 访问控制功能要求 1)支持Radius等第三方认证、本地认证和无客户端软件的Web认证； 2) 实现基于动态域名、IP地址、服务端口、IP协议、用户、时间等安全策略的状态包过滤； 3) 实现基于策略的HTTP、FTP、TELNET、SMTP、POP3等透明代理和深度过滤 4) 实现IP/MAC地址绑定且支持IP/MAC地址对的自动探测和唯一性检查 5) 实现基于IP、协议、服务、接口、时间、应用等安全策略的带宽控制 8 高可靠性要求 1) 支持MRP多重冗余协议 2) 多WAN口备份和负载均衡,且支持多出口VPN 3) 多端口聚合， 4) 双机热备，且切换时间小于1秒钟 5) 支持2～32台UTM的多机集群 9 高可用性要求 1) 支持透明、路由、混合三种工作模式 2) 支持虚拟网关功能，最多支持256个虚拟网关 3) 支持静态路由、策略路由、动态路由（RIP、OSPF、BGP）、单臂路由、组播路由等 4) 支持802.1Q，以及Vlan Trunk，支持IPv6协议 5) 支持DHCP Client、DHCP Relay、DHCP Server 6) 在各种工作模式下均支持H.323（H.323 GK）、MMS、RTSP、UPnP、SIP 、FTP、XDMCP、TNS等多种多媒体协议。 10 生产厂商资质要求原厂商必须拥有五年以上研发和生产安全产品的经验，投标时需提供该厂商第一次拿到的公安部安全产品销售许可证复印件，并加盖原厂商公章。 11 认证证书安全网关产品必须具备国内权威机构的相关认证：必须拥有公安部安全网关销售许可证，，投标时提供原厂商加盖公章的证书复印件；并提交以下公安部的检测报告：符合“GB/T 18019-1999信息技术包过滤防火墙安全技术要求”的安全网关检测报告，投标时提供原厂商加盖公章的检测报告复印件；符合“信息技术VPN产品安全检验规范”的安全网关检测报告，投标时提供原厂商加盖公章的检测报告复印件；符合“信息技术入侵防御安全检验规范”的安全网关检测报告，投标时提供原厂商加盖公章的检测报告复印件；符合“GA243-2000《计算机病毒防治产品评级准则》”的安全网关检测报告，投标时提供原厂商加盖公章的检测报告复印件；必须拥有国家信息安全产品测评中心的安全网关型号证书，投标时提供原厂商加盖公章的证书复印件；必须拥有国家知识产权局颁发的网络防病毒技术专利证书；以上证书和测试报告必须提供加盖原厂商公章的复印件； 12 病毒库升级三年免费病毒库升级 13 质保服务原厂商三年免费硬件质保，7×24小时现场服务，0.5小时响应，3小时现场技术支持，故障在修时提供备机直至维修完好后正常使用； 14 服务 1) 该产品生产厂家及投标人必须在杭州地区有注册的分公司或者办事处，具有本地服务条件与技术能力（提供具体措施），投标时需提供经过年检的分公司或者办事处营业执照复印件，加盖原厂商公章； 2) 提供其负责这个项目的原厂商支持工程师劳动合同复印件和缴纳社保证明（要求项目组所有成员均已经在该公司服务一年以上），并加盖原厂商公章； 3) 生产厂家承诺派工程师负责现场实施安装、策略部署、调试，中标商工程师现场陪同； 4) 生产厂家承诺能随时根据用户需求来优化、变更安全策略，提供上门软硬件安全服务（技术服务水平提供案例文档演示）； 5) 生产厂家承诺三年免费质保软件免费升级，7×24小时现场服务，半小时响应，3小时现场； 15 服务保证 1）投标人应标时必须提供原厂商针对本项目的授权书和原厂商三年免费质保承诺函原件； 2）投标人有政府或财税行业项目经验，信誉好。 2、日志审计软件数量内外网各1套，共2套，能够监控30台安全设备日志要求赠送序号技术参数详细描述 2 日志监视支持以图形化方式实时监控日志流量的变化趋势，支持实时监控最近日志列表，支持实时监控系统风险状况，支持实时监控系统风险的变化趋势 3 日志管理支持对安全设备、网络设备、主机系统进行日志数据采集，支持日志数据的格式解析和分类，支持日志数据可视化的存储、备份、恢复、删除、导入和导出操作，日志保存至少三个月 4 统计分析支持对包过滤日志、代理日志、入侵攻击事件、病毒入侵事件等十几种日志进行日志统计分析；提供了几十种以上可以定制的审计报表模板，可以针对访问行为、入侵攻击、流量信息、安全设备管理信息等各类日志生成分析报表，报表支持表格和多种图形表现形式；支持基于部门、源地址、用户对网络访问控制日志进行统计分析对于入侵攻击日志，支持按照入侵攻击事件、源地址、被攻击主机进行统计分析，发现攻击源和被攻击主机；对于入侵攻击日志，可以生成入侵攻击事件趋势分析图、TOP10入侵攻击事件趋势分析图、入侵攻击源地址趋势分析图、TOP10入侵攻击源地址趋势分析图、被攻击主机趋势分析图、TOP10被攻击主机趋势分析图；支持定时生成日志统计报表；支持按照设备运行状况、设备管理操作对安全设备管理信息统计分析 5 在线分析可以定义各种在线分析规则，在线进行日志分析；通过在线分析，可以发现频繁违规访问、频繁攻击探测（例如SQL注入攻击探测）、暴力登录失败(例如防火墙管理登录、FTP登录，SSH登录等)、端口扫描、分布式拒绝攻击、冲击波135端口攻击、CC连接耗尽攻击、蠕虫病毒等各种攻击行为；针对在线分析发现的攻击行为，可以产生告警信息，告警信息可以通过邮件、SYSLOG等多种方式自动发出 6 系统功能要求支持级联管理；支持系统自身帐户的管理；支持系统升级，支持用户web管理；支持报表输出；权限管理：基于角色的管理模式，用户权限控制可以细化到具体一个资源，使用户可以根据不同需要设置角色权限，满足各种权限控制需要，实现多用户多角色分级管理 7 生产厂商资质要求原厂商必须拥有五年以上研发和生产安全产品的经验，投标时需提供该厂商第一次拿到的公安部安全产品销售许可证复印件，并加盖原厂商公章；产品应为国内自主研发，并提供软件著作权登记证书加盖公司章； 8 认证应具备国内权威机构的相关认证：公安部销售许可证、信息安全测评中心认证、保密测评中心测试认证、以上证书需提供加盖原厂商公章的相关证书复印件 9 服务 1) 该产品生产厂家必须在杭州地区有注册的分公司或者办事处，具有本地服务条件与技术能力（提供具体措施），投标时需提供经过年检的分公司或者办事处营业执照复印件，加盖原厂商公章； 2) 提供其负责这个项目的原厂商支持工程师劳动合同复印件和缴纳社保证明（要求项目组所有成员均已经在该公司服务一年以上），并加盖原厂商公章；投标人有政府或财税行业项目经验，信誉好。 3) 生产厂家承诺派工程师负责现场实施安装、策略部署、调试，中标商工程师现场陪同； 4) 生产厂家承诺能随时根据用户需求来优化、变更安全策略，提供上门软硬件安全服务（技术服务水平提供案例文档演示）； 5) 生产厂家承诺三年免费质保软件免费升级，7×24小时现场服务，半小时响应，3小时现场； 10 服务保证 1）投标人应标时必须提供原厂商针对本项目的授权书和原厂商三年免费质保承诺函原件； 2）投标人有政府或财税行业项目经验，信誉好。 3.内网边界防火墙数量1台序号规格及技术参数要求 1 网络处理能力≥600M，并发连接数≥140万，IPSec隧道数≥1000 2 ≥4个10/100BASE-TX端口，并同时满足≥4个10/100/1000BASE-TX端口； VPN隧道数3000； 3 具有自主研发产权的安全操作系统 4 支持NAT，端口映射和IP映射功能。支持静态NAT并提供NAT地址池 5 支持远程WEB GUI管理方式，支持由集中管理中心统一下发策略或规则 6 设备本身具有IPSec VPN模块，同时也具有SSL VPN功能模块。 7 支持分级带宽管理，可以利用防火墙对带宽进行精细的控制；支持对某一网络对象的保证带宽设定；产品支持对某一网络对象的最高带宽限定 8 设备本身具有端口冗余，保证端口的高可用；同时要求设备本身支持多端口聚合，实现零成本扩展带宽。 9 安全规则可以按时间定义生效，支持一次性与周期两类时间控制 10 支持SSH和串口命令行配置 11 防火墙自身可以实现2～32台防火墙的多机集群，支持防火墙多WAN口备份和负载均衡,且支持多出口VPN 12 日志可查，可审计，可以可视化可编辑方式导入导出，自动保存至少三个月 13 支持多种工作模式（如：透明模式、纯路由模式、混合模式），满足复杂网络环境的要求 14 具备完全内容过滤功能，对邮件、文件等进行过滤，并支持URL黑/白名单过滤策略。能够对blaster，nachi，nimda，redcode，sasser，slapper，sqlexp，zotob等主流蠕虫病毒的过滤和拦截。 15 可通过安全管理系统实现对防火墙的集中设备监控、集中日志审计、安全报警以及防火墙、VPN的策略分发等功能 16 该产品应具备国内权威机构的相关认证：公安部千兆防火墙销售许可证、信息安全测评中心千兆防火墙认证、保密测评中心测试认证、以上证书需提供加盖原厂商公章的相关证书复印件 17 1) 该产品生产厂家及投标人必须在杭州地区有注册的分公司或者办事处，具有本地服务条件与技术能力（提供具体措施），投标时需提供经过年检的分公司或者办事处营业执照复印件，加盖原厂商公章； 2) 提供其负责这个项目的原厂商支持工程师劳动合同复印件和缴纳社保证明（要求项目组所有成员均已经在该公司服务一年以上），并加盖原厂商公章； 3) 生产厂家承诺派工程师负责现场实施安装、策略部署、调试，中标商工程师现场陪同； 4) 生产厂家承诺能随时根据用户需求来优化、变更安全策略，提供上门软硬件安全服务（技术服务水平提供案例文档演示）； 5) 生产厂家承诺三年免费质保软件免费升级，7×24小时现场服务，半小时响应，3小时现场； 18 1）投标人应标时必须提供原厂商针对本项目的授权书和原厂商三年免费质保承诺函原件； 2）投标人有政府或财税行业项目经验，信誉好。 4、服务器区域入侵防御IPS 数量1台分类特性/功能详细要求产品架构硬件架构主机不带有硬盘，以减少设备的故障机率操作系统采用专用通用安全平台；采用非开放式操作系统，以确保防御设备自身的稳定性接口接口配置 2U机箱，热备冗余电源； 4个SFP插槽（SFP模块未标配，须按需另行购买，可选择插入千兆SFP多模光口/单模光口/电口模块，2对IPS接口，不支持旁路保护功能），6个10/100/1000M自适应电口，（包括2对IPS接口，每对的两接口之间支持旁路保护功能，1个IDS和HA共用接口，1个管理接口）。性能系统吞吐量不小于800Mbps 并发连接数不小于100万延时小于200微秒入侵检测与防护入侵检测引擎采用专用检测引擎，具备基于协议异常、会话状态识别和七层应用行为的攻击识别功能；可自定义检测方向﹐可检测来自外部网络的入侵攻击和管理追踪内部网络的蠕虫感染与网络应用工作模式支持IPS、IDS、IPS Monitor、Forward等多种工作模式特征规则内置IPS特征库，特征规则数量超过2,300条；可自定义入侵攻击和应用软件的特征协议分析支持对VLAN、MPLS、ARP、TCP、UDP、RPC、WCCP、GRE、IPV6、SMTP等各种协议的分析策略时间管理可自定单个策略的运行时间防护攻击类型支持对病毒、蠕虫、木马、间谍软件、广告软件、可疑代码、端口扫描、非法连接等多种攻击的防护对数据包的处理方式支持丢弃数据包、中断连机、事件监视/记录 (可选择记录数据包内容，如Sniffer一般)、限制连接传输带宽、限制传输传输总量等多种处理方式阻断蠕虫传播针对蠕虫具备自动利用系统漏洞入侵的能力，以达到快速将自我扩散到其它系统的特点；IPS能发现蠕虫入侵，并能立即丢弃尝试入侵的数据包，让蠕虫无法顺利扩散，如对Zotob Worm、MS SQL Slammer Worm等蠕虫的控制防御操作系统漏洞攻击可针对Windows、Unix、Linux等操作系统的弱点进行防御，弱点类型包含了Stack and Heap Buffer overflow、Format string error、Memory access error、Memory corruption、 Access control and Design weakness等等防御木马检测基于ActiveX、XML、VML、MDAC等的漏洞，可阻止访问者在浏览网站时被诱使植入木马的攻击；检测利用Dropper技术隐藏木马的Microsoft Office文件，可阻止下载并启动这些文档；具有丰富的漏洞特征库可以实现对木马的精准拦截间谍软件可通过监测下载可执行程序、ActiveX、Java applet等可疑的活动，实现阻止间谍软件通过广告、浏览器漏洞、自定义ActiveX插件等渠道实现安装服务器保护三/四层DoS/DDoS防护支持双向阻断TCP/UDP/IGMP/ICMP/IP Flooding、UDP/ICMP Smurfing等各种类型的DoS/DDoS的攻击，支持类型包括XDoS、SUPERDDoS、FATBOY等50种以上；七层DoS/DDoS防护支持基于限制访问单位时间内访问特定服务次数来，阻断未知类型的DoS/DDoS攻击，如针对Web、DNS等服务的攻击 Web系统攻击防御可针对IIS、Apache等不同的Web 服务器程序弱点进行防御，并可追踪管理Web服务器对数据库的存取行为，如可禁止外部SQL注入请求扫描攻击防护可实时阻断攻击者利用对IP地址和协议端口的扫描寻找服务器漏洞带宽管理流量整形针对VLAN、源/目的IP地址、应用协议端口、七层应用软件（如P2P、FTP、PPlive、PPStream等），支持进行网络传输带宽和网络传输总量两种限制方式 P2P下载管理能够基于软件行为、数据内容，而不是基于协议端口号，来识别P2P的应用，并可针对加密型或非加密型P2P下载进行拦截、限流；拥有完善的P2P特征识别库，支持的常用P2P软件包括Thunder、eMule、WinMX、QQLive (China)、Skype、eDonkey、BitTorrent、Mldonkey等30余种；针对P2P应用的带宽限流，可精准到1Kbps 上网行为管理聊天应用管理能够基于软件行为、数据内容，而不是基于协议端口号，来识别常见的聊天应用，并可针对加密型或非加密型聊天软件进行管理、拦截；能根据不同需求，进行多层次软件控制，不仅可禁止实时聊天程序，还可对它的登陆、聊天、传输文件、实时语音视频等进行分项管理；拥有完善的实时聊天程序特征识别库，支持的聊天程序包括MSN、QQ、Yahoo Messenger、Skype、AIM、TM、Google Talk、PoPo Build、iChat等10多类；并可对基于Web的聊天进行登陆和禁止管理控制，如MSN、Yahoo、ICQ、Google Talk、AIM、eB、iLoveIM.com 等在线游戏管理支持对QQGame（腾讯QQ游戏大厅）、OurGame（联众世界）、C Game（浩方对战平台）、Popkart Game（跑跑卡丁车）等流行的在线游戏实现阻断管理 Web访问检查可基于URL、内容等制定黑白名单来对Web访问进行过滤应用层防火墙防火墙功能支持状态检测防火墙功能，支持基于网络接口、源/目的IP地址、协议、时间等自定义访问控制策略虚拟通道管理支持对VNN、SoftEther、Hamachi、TinyVPN、PacketiX、HTTP-Tunnel、Tor等流行的虚拟隧道，以及对自由门、无界、花园等反动类软件，实现阻断管理。可靠性双机热备基于HA网络物理接口，可实现在设备宕机、端口坏等故障下的主机和从机的及时切换旁路保护支持硬件Bypass、软件Bypass的功能，以避免在任何情况下，因本系统无法正常运作而造成网络中断的情形；硬件Bypass功能，使设备在硬件掉电时，实现旁路保护；软件Bypass功能使设备在系统软件出现故障时，实现旁路保护，可实现启动或关闭管理灵活的管理管理方式基于Java的B/S管理架构，支持图形界面和命令行管理方式，图形管理界面为全中文界面高效的集中管理支持通过专用的安全管理系统，实现全局拓扑生成、集中日志审计、集中设备监控等安全管理直观的状态显示具有显示攻击事件百分比的仪表盘、显示协议流量的柱状图、安全事件趋势分析曲线图、实时事件列表等多种实时状态显示，方便分析网络的现状和趋势设备升级支持通过线升级和本地文件升级方式，来对特征库、管理软件、设备操作系统实现升级报警可实时通过LEMS、邮件、syslog进行报警日志审计报表内置多样化的报表模版，自动定时生成和自定义来生成报表；支持HTML、PDF、CSV等文件格式；可利用邮件或FTP等形式定时外传报表；可导入导出，可自动保存三个月事件查询可根据事件类型、虚拟设备、时间、源/目的IP、攻击名称等信息进行快速问题定位服务特征库升级本次采购要求提供三年免费特征库及操作系统升级服务硬件保修三年免费硬件保修服务产品资质要求 1. 具有备公安部公共信息网络安全监察局颁发的《计算机信息系统安全专用产品销售许可证》 2. 具有中国信息安全产品测评认证中心颁发的《国家信息安全认证产品型号证书》（必须为千兆产品认证） 3. 具有国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》 4. 具有国家版权局颁发的《计算机软件著作权登记证书》投标时提供以上要求证书复印件，并加盖原厂商公章。厂商资质要求 1) 该产品生产厂家及投标人必须在杭州地区有注册的分公司或者办事处，具有本地服务条件与技术能力（提供具体措施），投标时需提供经过年检的分公司或者办事处营业执照复印件，加盖原厂商公章； 2) 提供其负责这个项目的原厂商支持工程师劳动合同复印件和缴纳社保证明（要求项目组所有成员均已经在该公司服务一年以上），并加盖原厂商公章； 3) 生产厂家承诺派工程师负责现场实施安装、策略部署、调试，中标商工程师现场陪同； 4) 生产厂家承诺能随时根据用户需求来优化、变更安全策略，提供上门软硬件安全服务（技术服务水平提供案例文档演示）； 5) 生产厂家承诺三年免费质保软件免费升级，7×24小时现场服务，半小时响应，3小时现场；其他要求 1. 投标人须在投标时能提供样机或者模拟工具，将评委关心的功能演示出来； 2. 投标人应标时必须提供原厂商针对本项目的授权书和原厂商三年免费质保承诺函原件； 3. 投标人有政府或财税行业项目经验，信誉好。 5.应用接入网关 SSL VPN 数量1台需求项目指标要求性能及硬件要求不少于4个千兆接口，提供专门的管理用串口， SSL并发会话数>=8000条； SSL加密吞吐量>=200Mbps 并发用户数>=200个业务处理速率>=200个/秒管理方式要求提供串口方式管理设备。要求提供Web方式管理设备，需提供https方式，同时提供http管理入口管理员配置要求提供默认管理员帐号，该帐号不可删除。支持管理员帐号配置为中文。要求提供口令和证书两种管理员。要求提供新创建的管理员首次登录必须修改密码功能并支持密码复杂度检测。要求支持管理员权限分级功能，支持对于每个功能模块可配置可读、可写、无权三种权限。要求支持管理员和IP绑定功能。要求支持服务端口修改功能。要求支持配置备份和恢复功能。要求支持通过管理界面重启、关闭系统、恢复出厂配置。要求支持端口映射功能，同时支持直接映射、单项SSL映射和双向SSL映射方式。要求支持互联网线路功能，能智能识别接入来源选择最优线路。用户管理要求支持中文帐号，用户分组管理。要求支持用户有效时间、用户挂起功能。要求支持特权权帐号。要求支持首次登录强制修改密码功能并对密码复杂度进行检测。要求支持防口令暴力猜测功能，锁定错误口令尝试次数过多的帐号，并支持自动和手工解锁功能。要求支持用户数据库备份和恢复功能。要求支持第三方用数据库处理和批量导入功能。用户认证要求支持多种认证方式，包括口令、动态令牌、证书、电子钥匙、短信、匿名、动态验证码、双因素等。服务管理要求支持不安装客户端软件，不下载运行控件访问B/S类型服务。要求支持客户端访问子网功能，并且要求不配置虚拟IP，不要求服务器网关指向SSL VPN网关。要求支持访问基于80端口和443端口的Web应用。支持透传PKI。要求支持对FTP、SSH、Email、SQL、Oracle等C/S服务，并提供预定义服务选择功能。要求支持用户自定义TCP、UDP端口配置。要求支持服务联通性测试功能要求支持虚拟路径以隐藏服务器真实地址信息功能要求支持服务名称、链接隐藏功能要求支持用户登录后自动运行C/S服务客户端软件功能，运行软件种类由用户自主配置。客户端应用要求支持Windows、Linux等多种操作系统。支持IE和非IE标准的浏览器接入，要求支持智能手机。要求支持HTTP登录入口、HTTP跳转HTTPS登录方式。要求提供登录页面支持认证方式选择功能。要求提供登录页面下载功能。要求支持登录页面文字，LOGO，整个页面风格定制功能客户端安全要求支持客户端检测功能，不符合注入策略拒绝接入。包括操作系统、补丁、进程、浏览器版本、网络端口、系统服务、硬盘文件、注册表等。要求支持防伪造功能。要求支持帐号与MAC地址绑定功能。支持自动绑定。要求支持终端注销后，清除访问痕迹功能。访问控制支持提供默认角色和账户号自动归属默认角色功能，默认角色不可删除。要求支持基于角色的细粒度访问控制，可依据IP地址、服务、URL、用户认证级别、时间、网络位置等因素进行访问控制。要求支持隧道隔离功能。要求支持内网访问外网的控制功能。日志审计要求支持本地、远程日志，日志下载功能，可视化管理，自动保存三个月。要求提供丰富的日志记录类别，如用户日志、管理员日志、系统日志、应用安全日志等。要求提供根据日志级别、日志类别、时间段、关键字等因素进行查询功能。要求提供本地报表功能，可根据时间范围生成报表，支持html、pdf等格式下载。要求支持显示网口速率、会话情况等信息功能。要求支持显示当前在线用户列表，个数统计，来源IP，来源地理位置等信息、支持管理员管理在线用户。报警要求支持邮件、短信方式报警功能。调试要求提供调试模式功能。要求提供调试工具，如ping、http、tcp、arp等高可用性要求支持热备功能、负载功能和集群功能。要求支持压缩、应用缓存等加速功能。安全性支持加密强度选择功能。要求提供过滤应用层不良访问功能，如过滤ActivX控件、SQL注入、Java脚本、跨站脚本、非法URL等。要求支持IP黑名单功能。要求支持基于单IP的最大并发会话控制功能。要求支持基于单用户的最大并发会话控制功能。服务本次采购要求提供原厂三年免费硬件保修和软件硬件升级服务产品资质要求 1. 具有备公安部公共信息网络安全监察局颁发的《计算机信息系统安全专用产品销售许可证》 2. 具有中国信息安全产品测评认证中心颁发的《国家信息安全认证产品型号证书》 3. 具有国家版权局颁发的《计算机软件著作权登记证书》投标时提供以上要求证书复印件，并加盖原厂商公章。厂商资质要求 1) 该产品生产厂家及投标人必须在杭州地区有注册的分公司或者办事处，具有本地服务条件与技术能力（提供具体措施），投标时需提供经过年检的分公司或者办事处营业执照复印件，加盖原厂商公章； 2) 提供其负责这个项目的原厂商支持工程师劳动合同复印件和缴纳社保证明（要求项目组所有成员均已经在该公司服务一年以上），并加盖原厂商公章； 3) 生产厂家承诺派工程师负责现场实施安装、策略部署、调试，中标商工程师现场陪同； 4) 生产厂家承诺能随时根据用户需求来优化、变更安全策略，提供上门软硬件安全服务（技术服务水平提供案例文档演示）； 5) 生产厂家承诺三年免费质保软件免费升级，7×24小时现场服务，半小时响应，3小时现场；其他有求 1. 投标人能在投标时提供样机或者模拟工具，将评委关心的功能演示出来； 2. 投标人应标时必须提供原厂商针对本项目的授权书和原厂商三年免费质保承诺函原件； 3. 投标人有政府或财税行业项目经验，信誉好。 6.桌面终端管理（内外网各一套，共两套）序号技术参数详细描述 1 数量必须能够管理≥200个终端设备 2 管理模式基于C/S、B/S混合管理模式构架 3 操作系统类型版本客户端：客户端支持windows 98\windows xp\windows 2000\windows 2003\windows vista操作系统；服务器：服务器支持WINDOWS和LINUX。 4 分级管理区域管理员功能，支持管理员的分级管理。管理员可以分配可管理的区域，自然形成分级管理的配置，避免全局管理员的过重负担。 5 角色账户管理账户管理基于角色来实现，任何一个账户都先属于角色，角色可以定义权限，角色权限的改变，可以影响到此类角色所有账户。 6 终端设备接入管理 a) 能自动发现整个网络中的终端系统的IP地址、机器名和MAC地址，允许管理者对终端系统进行登记管理，可自定义计算机分组。网络阻断方式包括ARP干扰、802.1x协议联动、网关联动（防火墙、UTM等安全网关）等多种方式。 b) 支持对客户端MAC和IP地址的绑定管理，并禁止修改IP地址，并有相应功能对ARP病毒的防范。 7 资产管理支持对终端主机软件、硬件信息的收集，支持模糊查询，支持自定义报表和自定义报表模板，系统能查看的所有信息均可输出报表。 8 补丁检测审计与补丁分发支持P2P补丁分发。支持内网补丁升级。可查看各客户机上每个补丁的分发过程，能从控制台终止任一补丁的分发过程。 9 外设与移动存储管理支持对硬件接口控制，支持对外设和移动存储设备分别进行在线和离线管理，支持场景策略管理。移动介质禁用、认证使用。 10 网络连接访问监控上网行为监控，支持黑、白名单，控制对象包括IP、域名、端口等。支持IE以外的任何程序的网络行为监控。支持任何程序的网络访问审计。能按照安全域管理原则，将相同安全级别的计算机归入同一虚拟安全域，按照相同策略进行域边界的访问控制。 11 终端维护功能 a) 支持远程重启动、远程注销、远程关机等操作。要求支持远程锁定计算机。支持远程截取屏幕，屏幕的记录方式支持定时记录和有变化记录。支持远程协助，支持远程控制。 b) 支持安全检查功能，对未安装、运行防病毒程序、未更新病毒库的计算机，以及存在多种安全漏洞而未打补丁的计算机，进行强行隔离、强制修复，不允许接入网络中。网络接入控制范围支持网络连接和边界控制。 c) 当客户机发生违反策略的任何行为时，要求可以自动对其进行断网、锁定等响应。支持范围包括所有策略。 12 行为管理及审计 a) 支持进行软件黑白名单审计管理，禁止黑名单中的软件运行，发现后可报警并可锁定计算机或断网； b) 支持程序保护，保证某些重要程序不被用户关闭。 c) 本地程序行为审计，支持信任程序列表，本地服务监控。 13 日志、报表与分类查询支持应用程序统计、支持网站访问统计、流量统计。系统支持各类统计(资产统计、安全策略、设备状态等)能生成多种分析报表，提供丰富的报表模板，支持管理员从不同方面进行事件的可视化分析，对于分析结果系统提供表格及图形表现形式。支持用户自定义的报表功能。日志及报表能导入导出，可编辑可管理。 14 策略管理策略多级分发，可以分发到客户端，也可以分发到组。支持策略优先级。策略具备时间场景、网络场景、用户场景，可以自动切换。 15 系统拓展遵循相关的国际标准或工业标准，支持对网络安全管理系统的集成，具有开放的API接口。支持防火墙联动扩展；支持对第三方安全管理系统的二次开发。 16 资质证书 1. 具备公安部公共信息网络安全监察局颁发的《计算机信息系统安全专用产品销售许可证》 2. 具有中国信息安全产品测评认证中心颁发的《国家信息安全认证产品型号证书》 3. 具有国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》 4. 具有国家版权局颁发的《计算机软件著作权登记证书》投标时提供以上要求证书复印件，并加盖原厂商公章。 17 厂商资质要求 1) 该产品生产厂家及投标人必须在杭州地区有注册的分公司或者办事处，具有本地服务条件与技术能力（提供具体措施），投标时需提供经过年检的分公司或者办事处营业执照复印件，加盖原厂商公章； 2) 提供其负责这个项目的原厂商支持工程师劳动合同复印件和缴纳社保证明（要求项目组所有成员均已经在该公司服务一年以上），并加盖原厂商公章； 3) 生产厂家承诺派工程师负责现场实施安装、策略部署、调试，中标商工程师现场陪同； 4) 生产厂家承诺能随时根据用户需求来优化、变更安全策略，提供上门软硬件安全服务（技术服务水平提供案例文档演示）； 5) 生产厂家承诺三年免费质保软件免费升级，7×24小时现场服务，半小时响应，3小时现场； 18 其他要求 1. 投标人能在投标时提供样机或者模拟工具，将评委关心的功能演示出来 2. 投标人应标时必须提供原厂商针对本项目的授权书和原厂商三年免费质保承诺函原件； 3. 投标人有政府或财税行业项目经验，信誉好。 7.应用系统监控（内外网各1套，合计2套），要求赠送分类功能详细要求监视对象可监视对象数量不少于 2 基本要求完全基于B/S架构（监视及管理），中文界面，风格友好，操作简便采用JAVA架构开发，可运行在Windows、Linux平台上软件必须拥有自带数据库，无须用户额外购买数据库为了不影响业务系统，不允许在被管理服务所在的服务器上安装代理可作为Windows服务运行系统具备自检功能，保证高稳定性和可靠性应用监控在统一的视图上全面管理多种类型、多厂家的应用支持自动发现、手动添加，以及批量导入监视器功能，能够方便地添加要监控的应用可监控以下服务器：Windows，Linux，HP-Unix/Tru64，AIX，FreeBSD，Sun Solaris，Mac OS的CPU使用率、内存使用率、可用性、进程的CPU以及内存使用率等多种参数，同时还可以对网络接口和流量进行监控。可监控以下数据库：DB2，MS SQL，MySQL, Sybase, Oracle的表空间使用率、请求统计、查询命中率等多种参数，还可以通过自定义功能关联除默认属性外的其他参数可监控以下应用服务器IBM WebSphere, BEA WebLogic, BEA WebLogic Integration, OracleAS, Microsoft.NET, Tomcat, Jboss, Web Transactions, Java Runtime的数据库连接池、JVM内存统计等多种参数，同时还可以自定义要监控的参数可以对Apache, IIS, PHP, Web Services等多种Web服务进行监控可监控JMX应用程序，Ping监视器，任意TCP端口，SNMP/网络设备，Telnet等服务可以监控URL可用性，响应时间，URL内容，URL序列监控等具有自定义监视器功能，能够监控具有JMX接口和SNMP接口的应用，还可以监控Windows性能计数器具有脚本监视器功能，可以定期执行远程或者本地服务器上的脚本，分析并监控脚本的结果数据可监控远程或者本地系统的文件及目录故障告警可以对被监控的对象设置阈值，在出现严重问题前及时告警，实现主动监控；且可以为不同严重程度设置不同警告级别，并通过颜色区分告警；可以设置告警产生轮询支持各种通知方式，包括短信，邮件，可以在第一时间将故障报告给管理人员可以生成SNMP陷阱，方便与其它管理软件联动起来可以提取告警，添加注释，或清除告警, 可以批量配置告警，以便节省工作时间, 对于没有及时处理的告警，可以进行告警升级报表功能具备强大的报表功能，可以生成多种基于业务的分组报表，如可用性趋势报表，储运损耗比较报表，历史报表等；基于监视器类型的分组报表；个别监视器报表；或为自定义参数生成报表等

展开阅读全文