(一)设备清单
序号 | 产品名称 | 数量 | 单位 |
1 | 万兆可信边界安全网关 | 2 | 台 |
2 | 万兆网络数据交换系统 | 1 | 套 |
3 | 探针系统 | 1 | 台 |
4 | 万兆防火墙 | 1 | 台 |
5 | 新一代智慧防火墙 | 2 | 台 |
6 | 万兆IPS | 1 | 台 |
7 | 万兆网闸 | 1 | 台 |
8 | 万兆三层交换机 | 1 | 台 |
(二)技术参数要求
1. 万兆可信边界安全网关
指标项 | 指标要求 |
硬件要求 | 标准机架式设备;高度为2U; 内存不低于16G 存储空间不低于8G 网络接口:千兆电口≥2个及≥2千兆单模光模块,万兆光口≥6个和≥6万兆单模光模块 电源功率≥500W |
性能要求 | 最大新建连接数:8000次/秒; 最大并发连接数≥15000条; 最大吞吐量≥4Gbps。 |
功能要求 | 用户身份认证:支持与公安PKI/PMI体系对接,支持证书链认证,支持证书撤销列表(CRL)下载、验证,保证接入用户身份的合法性; |
设备认证:依据设备注册登记信息对通过专线、ADSL拨号等各种线路方式接入的终端设备进行认证,保证接入设备的合法性。支持IP、MAC方式的设备认证; | |
权限管理:可以根据边界接入的需要,设置角,指定相应的资源访问权限,防止非授权访问和越权访问; | |
访问控制:基于角、权限分配,设置细粒度访问控制策略,达到非法用户不能访问,合法用户不能越权访问的目的; | |
传输保护:与客户端之间使用SSL协议对通信过程进行加密和完整性保护,保证数据传输的安全性; | |
监控审计:对接入用户的访问过程进行详细的记录,并实时报送给集中监控与审计系统,保证用户访问过程可控、可查、可追溯; | |
具备多网阻断功能,能保证客户端与平台连接时与其它网络隔离; | |
需对接入用户的访问过程进行详细的记录,并实时报送给集中监控与审计系统,保证用户访问过程可控、可查、可追溯; | |
能实现对客户端软件的自动下载,并可实现客户端的自动启动、外联网口关闭及自动断网功能,以实现对客户端的安全加固; | |
采用硬件加速方法及处理流程优化技术; | |
▲为保障系统兼容性,须与数据交换系统、探针系统为同一品牌或可提供省级以上权威检测机构出具的针对本项目的兼容性有效证明; | |
▲支持三重防护体系:将身份认证、设备认证、权限管理、访问控制、数据加密等多种安全技术集为一体,与网络数据交换系统等安全设备实现联动(同一品牌),有力支持了应用环境安全、应用区域边界安全和网络通信安全三重防护体系的建立; | |
具有黑名单动态下载功能; | |
实现单点登录功能; | |
实现客户端自动安装; | |
支持双机热备; | |
实现系统配置备份/恢复、日志审计等系统管理功能。 | |
资质要求 | 具备公安部信息安全产品检测中心和公安部计算机信息系统安全产品质量监督检验中心出具的产品检验报告;提供五年原厂质保服务。 |
公安边界入围产品,具备销售许可证; | |
2. 万兆网络数据交换系统
指标项 | 指标要求 |
系统组成 | 由网络数据交换系统前置数据交换服务器和网络数据交换系统后置数据交换服务器2台独立硬件以及相关配套软件组成 |
硬件要求 | 前置数据交换服务器和后置数据交换服务器硬件配置要求: 标准机架式设备,每台硬件高度为2U; 千兆电口≥2个,万兆光口≥4个(可增扩万兆光口)配≥4个单模光模块; 电源功率≥550W电源。 |
性能要求 | 数据库数据增量同步传输速率≥10000条/秒; FTP文件(文件大小为100MB)同步传输平均传输速率≥4Gbps; 支持不同服务器之间数据库≥256张数据表的数据的同步操作; 支持不同服务器之间数据库≥512数据映射字段的同步操作; 支持传输数据文件最大≥100G; 支持同时完成≥64个文件传输任务; |
功能要求 | 工作流管理与调度执行功能:提供基于工作流模式的业务定制,允许用户在可视化界面中定制业务规则,创建新的数据交换规则,直接设计工作流和数据交换处理的业务逻辑,实现系统的快速部署和应用。实现简洁、方便的操作规程定义,按照流程自动实现数据抽取、数据转换、数据整理、数据分发、传输控制等内外网络系统间数据交换过程; |
自负载均衡:针对多节点、大批量数据交换需求,通过建立集来分流数据,以保证负载均衡,保证系统的稳定与安全可靠; | |
主动交换:数据交换系统单通道访问设计,所有对外端口全部关闭,采用主动同步方式,能以内网数据交换服务器为主控端,实现面向公安内网的各业务系统间的同构、异构数据、文件的交换功能; | |
传输优先级:系统管理员可根据数据的紧急情况设置数据的传输优先级,数据交换能够根据数据的优先级来安排交换次序;数据交换的消息路由都是独立的线程调度,可以调整线程的优先级; | |
多模式传输控制功能:以可靠传输协议和多任务管理技术为基础,实现多模式传输、优先级控制和路由自动解析,保障交换过程的稳定、可靠、准确; | |
系统安全保障功能:以可信计算技术为基础,具有强大的数据内容清洗、病毒木马过滤、数据加密保护、授权认证管理、数据热备、数据一致性保障和综合安全审计能力,做到数据来源可信、处理平台可信、处理流程可信、数据内容可信,系统用户可信; | |
异构数据语法及语义转换映射功能:实现元数据解析、结构映射、语法转换、语义一致性处理; | |
系统维护功能:提供基于浏览器的本地或远程系统管理与维护操作,实现系统配置、工作流设计与调度、系统状态查询监控; | |
采用配置方式实现所有交换业务,实现零代码开发; | |
支持的业务调度策略:事件触发、时间触发、消息触发;定时、实时、轮询;全量、增量等; | |
▲为保障系统兼容性,须与可信边界安全网关、探针系统为同一品牌或可提供省级以上权威检测机构出具的针对本项目的兼容性有效证明; | |
资质要求 | 公安边界入围厂商产品,具备销售许可证; |
具备公安部信息安全产品检测中心和公安部计算机信息系统安全产品质量监督检验中心出具的检验报告。提供五年原厂质保服务。 | |
3. 探针系统
指标项 | 指标描述 |
硬件要求 | 标准2U机架式设备; 内存≥4G; 千兆电口≥6个; |
性能参数 | 每秒可接收日志条数≥40条; 支持链路数≥1条; 最大可支持业务数≥20个; 最大可支持设备数≥20个。 |
功能要求 | ▲支持对平台的流量信息进行探测和处理; |
能够对平台的设备进行探测,探测设备运行状况的信息; | |
为满足公安部对于边界平台三级(部、省、市)上报的管理要求,本次探针系统必须与滁州市局已建集中监管与审计系统无缝对接,满足安全监控、集中管理与异常报警等要求。探针子系统必须与滁州市局已建的集中监管与审计系统为同一品牌,或可提供省级以上第三方权威检测机构针对本项目出具的可与省厅集中监管与审计系统无缝对接的功能性检测报告,提供五年原厂质保服务。 | |
能够支持SYSlog、snmp等格式的事件信息的集中收集和处理;上报至省厅已建信息负载均衡品牌排行榜 | |
4. 万兆防火墙
指标项 | 指标描述 |
硬件要求 | 标准2U机箱,标配液晶显示屏,≥6个千兆RJ45接口,≥ 4个千兆SFP接口≥4千兆单模光模块, ≥4个万兆SFP+光口及单模光模块,1个扩展插槽,≥1T存储空间; |
性能参数 | 网络吞吐率≥30Gbps,并发连接数≥400万; |
功能要求 | 1、基于源安全域、目的安全域、源用户、源地址/地区、目的地址/地区、服务、应用、隧道、时间、VLAN等多种方式进行访问控制。可基于地理区域配置安全策略,并支持地理区域对象的导入; 2、协同防御能力:支持与私有云联动,实现查杀、URL云识别、应用云识别、云沙箱、情报云检测等功能; 3.路由、透明等接入模式,具有静态IP,3G等多线路失效备份;提供双系统备份,且在系统切换中可实现配置的自动迁移; 4. 入侵防护:包括缓冲区溢出、跨站脚本、拒绝服务、恶意扫描、SQL注入、WEB攻击等六种分类;漏洞防护支持日志、阻断、放行、重置等执行动作,可批量设置针对某一分类或全部攻击签名的执行动作;支持基于FTP、HTTP、IMAP、OTHER_APP、POP3、SMB、SMTP等应用协议的漏洞防护。漏洞防护特征库包含高危漏洞攻击特征,至少包括“永恒之蓝”、“震网三代”、“暗云3”、“Struts”、“Struts2”、“Xshell后门代码”以及对应的攻击的名称、CVEID、CNNVDID、严重性、影响的平台、类型、描述等详细信息; 5. 病毒防护能力:能够对HTTP/FTP/POP3/SMTP/ IMAP/SMB六种协议进行病毒查杀;自定义病毒签名,可将病毒文件MD5值定义为特征签名;支持本地、云端病毒查杀。对病毒网站及应用的过滤;能够防范“”蠕虫病毒、“暗云”病毒等,提供私有云病毒查杀引擎软件著作权等类似证书; 6. 风险感知能力:能够统计网络中确认失陷的主机及有风险但不能完全确认为失陷的主机数量及风险等级状态,并支持查看失陷时间、威胁类别、情报来源、威胁简介、失陷主机IP、用户名、资产等信息,并支持一键跳转处置;采用语境关联分析技术,自动将用户网络中产生威胁事件的连接经过防病毒、防漏洞、防间谍软件、URL过滤、文件过滤等安全模块检查的日志集中显示,需提供语境关联分析引擎软件著作权等类似证书; 7. 失陷主机检测: 提供同品牌失陷主机检测工具一套,USB3.0接口硬件客户端设备,支持针对流行病毒、木马、APT高级威胁等进行安全检测。 |
具有公安部销售许可证(高性能增强级)、《国家信息安全信息技术产品测评EAL4+证书》,公安边界入围品牌;提供五年原厂质保服务。 | |
5. 防火墙
新一代智慧防火墙 | 1、硬件特征:多核AMP+架构,网络层吞吐量14G,并发连接≥300万,每秒新建连接数22万, 标准2U机箱,冗余电源,标准配置6个10/100/1000M自适应电口,4个SFP插槽,2个万兆SFP+接口,满配光模块; 2、支持基于源安全域、目的安全域、源用户、源地址/地区、目的地址/地区、服务、应用、隧道、时间、VLAN等多种方式进行访问控制。可基于地理区域配置安全策略,并支持地理区域对象的导入; 3、威胁情报及检测:支持基于主机或威胁情报视图,统计网络中存在安全风险的主机数量以及对应的风险等级;支持基于网络活动,威胁活动、阻止活动等多维关联统计及分析,提挖掘异常用户及异常网络行为;支持统计网络内威胁事件的数量及对应的风险等级,并一键跳转查看威胁详情和处置详情,并对威胁情报发现的恶意主机执行自动阻断。 4、安全事件关联分析: 支持基于网络活动,威胁活动、阻止活动等多维关联统计及分析,发现异常行为,提供关联的威胁事件日志,系统可自动将产生威胁事件的连接经过防病毒、防漏洞、防间谍软件、URL过滤、文件过滤等安全模块检查的日志集中显示,提供相应的功能证明材料; 5、策略处置:可在单条策略中启用病毒防护、入侵防御、网址过滤、文件过滤、文件内容过滤、终端过滤等安全功能选项,支持基于受害主机的一键式阻断链接、记录日志等处置动作。 6、资质:公安边界入围品牌,具备公安部销售许可证(高性能增强级)、中国信息安全产品认证证书(增强级),提供原厂五年免费质保服务。 |
6. 万兆IPS
指标项 | 指标描述 |
硬件要求 | 标准≥2U机架式设备,冗余电源,标配液晶显示屏,≥6个10/100/1000M自适应以太网口,≥4个千兆SFP接口及≥4千兆单模光模块,≥4个万兆SFP+接口并配齐单模光模块; |
性能参数 | 网络吞吐率≥22Gbps,入侵防御吞吐率≥10Gbps,并发链接≥750万,≥1T存储空间,全部日志按天和统一格式存储; |
功能要求 | ▲采用AMP+多核处理器硬件构架,专业IPS设备,支持路由、透明接入、虚拟线、旁路4种工作模式,支持直路和旁路同时部署,旁边部署时能与本次采购防火墙联动,要求与本次采购防火墙同一品牌; |
一体化引擎:支持应用识别、入侵防护、关键字过滤、URL过滤、AV等安全模块一次性扫描,系统整体性能几乎不受功能的增加而降低,支持源IP、目的 IP、源域、目的域、时间、用户、应用,支持入侵防御、防病毒、文件控制、URL过滤、数据防护、挂马防护、僵尸网络; | |
事件取证:支持对单个攻击事件保存其原始报文以供取证分析。 流量趋势:实时流量统计,支持最近10分钟、1小时、24小时跨度的流量趋势图、连接趋势图,支持top10应用、top10用户统计,支持流量趋势统计,能够显示过去24小时的流量趋势。 | |
应用流量统计:实时Top应用,支持最近10分钟、1小时、24小时跨度的应用统计,统计指标包括:平均速率(上行、下行、双向、双向占比)、实时速率、实时包速率、连接数,并支持趋势图、关联用户、关联会话。 | |
安全地图展示:支持按源地区和目的地区展现进行查询。支持地图上展现的威胁类型包括:病毒、入侵攻击、僵木蠕,支持最近一个小时、一天和一个月进行详细查询;支持光标指向该地域的名称及攻击数,点击该地域跳出详细信息列表,支持通过颜区分威胁严重程度。 | |
资质及服务 | 公安部销售许可证(万兆三级),原厂五年质保,免费五年攻击特征库升级服务。 |
7. 万兆网闸
发表评论