侦查信息网安全体系
一、商务要求:
1、项目整体质保至少三年;
2、本项目不接受联合体报价;
3、投标人中标后必须提供下面技术参数表中明确要求提供的有关设备和软件的针对此项目的授权(原件)和售后服务质保函(原件);
4、投标时技术参数中须提供资质、截图等证明文件的,证明文件上必须加盖厂商公章原件。
二、设备名称、技术参数、数量:
设备名称 | 参数 | 数量 |
服务器 | 2路CPU(8核/路),共12核,主频为2.2GHz以上;配置内存32GB;配置4*600GB 热插拔SAS接口硬盘,转速≥10KRPM,阵列卡;2个1000BASE-T网络接口;DVD-ROM一台;冗余电源和风扇;带远程管理口;分别用于主机安全系统、应用安全系统等相关软件的部署。 | 2 |
防火墙 | 1、★基本要求:设备硬件平台采用先进的多核处理器全并行架构,非X86多核或ASIC架构(提供证明多核CPU并行处理的命令行截图);配置1 个CON 接口, 1 个USB 口,15个千兆电口,配置1个接口扩展插槽和1个存储扩展插槽,千兆电口最大可扩展到24个,千兆SFP光口最大可扩展到8个;可扩展不小于160G硬盘卡(提供设备前后面板及扩展模块截图) 2、性能要求:吞吐量≥8Gbps,最大并发连接数≥300万,每秒新建会话≥8万,IPsec VPN吞吐率≥1.5Gbps,最大IPsec VPN隧道数≥2000,SSL VPN并发用户数可扩展到至1000个。 3、功能要求:支持透明、路由/NAT工作模式和基于三层交换技术的混合工作模式;★支持基于国家地理位置的访问控制,能够精确识别攻击源/ 目的IP 所处的国家地理位置,从而可以根据业务通信要求实施基于国家地理位置的访问控制,快速阻断攻击流量(提供截图);支持双机热备、端口聚合、IPV6、虚拟防火墙功能;支持非等价链路的智能链路负载均衡,包括出站动态探测、TCP Track、入站SmartDNS,支持虚拟路由器且具备独立路由表,支持虚拟交换机且具备独立MAC表;支持NAT端口扩展技术,单IP可支持N*64500个并发连接;可扩展入侵防御、流量控制和防病毒等功能模块;支持对设备自身CPU使用率、内存使用率、存储空间、机箱温度、CPU温度、新建连接数、并发连接数、接口流量等资源的主动检测, 计算全网健康指数,生成检测报告(提供截图);★支持IPSec VPN、SSL VPN、L2TP VPN、GRE VPN、L2TP over IPSec VPN、GRE over IPSec VPN、Hub and Spoke、Dial-up等VPN组网,要求支持IPv6 6to4 、IPv4 4to6 隧道配置,严格遵循RFC国际标准,其支持的算法必需包括3DES、AES128、AES192、AES256,SHA-256、SHA-384、SHA-512(提供截图);提供Android/IOS手机APP远程监控运维防火墙,支持通过APP监控防火墙CPU利用率、内存利用率、网络流量、应用流量排名、用户流量排名、网络威胁信息、日志查询等(提供功能截图);★支持基于沙箱威胁检测引擎查看威胁日志(提供产品界面截图);支持每个虚拟防火墙可自定义CPU资源、会话数、策略数、安全域数、源NAT数、目的NAT数、IPSEC VPN隧道数、会话限制规则数、IPS功能、URL功能、关键字类别、威胁日志等(提供产品界面截图)。 4、资质要求:需提供《计算机信息系统安全专用产品销售许可证》千兆三级;中国信息安全产品认证中心颁发的《中国国家信息安全产品认证证书》(千兆三级);IPV6 Ready认证;涉密信息系统产品检测证书(千兆);★具有自主知识产权的64位安全操作系统,需提供国家版权局颁发的相应著作权证书证明;★提供原厂商对本项目的授权和三年售后服务承诺函。 | 3 |
防病毒 网关 | 1、基本要求:1U机架式设备,4个10/100/1000BASE-T接口,电口具有一组BYPASS接口,1个可插拨的扩展槽;★设备为专业的防病毒网关产品,非防火墙、UTM、上网行为管理等加配模块的产品,并出具相关的专用资质认证文件;要求基于多核多平台并行安全操作系统(提供证明),并且采用双安全操作系统设计(提供截图);包括企业版快速扫描防病毒查杀和企业版深度扫描防病毒查杀,含3年病毒库升级服务许可 2、功能要求:整机吞吐率:8Gbps,最大并发连接数:380W,病毒检测吞吐率:3Gbps;内嵌双引擎杀毒技术,可单独采用流杀毒(快速扫描)引擎或文件型杀毒(深度扫描)引擎,也可同时支持两种杀毒引擎,能够根据不同的被检测协议采用不同杀毒引擎;支持IPv4和IPv6双栈协议的病毒扫描和过滤(截图证明);支持智能检测应用协议的病毒行为,采用智能方式准确扫描常用协议任意端口的病毒传输行为,而非通过传统手动配置协议端口绑定形式进行病毒扫描;支持通过采用java的 Commons FileUpload或其他类似控件的OA、CRM及其他基于WEB的应用系统(包括WEBMAIL)上传文件时的病毒查杀;要求提供病毒检测率不低于98%的第三方证明;采用国际国内知名主流品牌病毒库,并提供两家以上专业病毒厂商的授权证明文件,病毒库提供商应通过VB100认证(需能够在病毒库提供商的网站首页可查);要求每种扫描引擎具有独立的病毒库,病毒库总数大于1000万(提供截图);要求具有独立的蠕虫防护规则库,并可通过手动或自动方式进行升级;要求能够根据文件内容识别文件真实类型,有效的阻断非法类型的文件进入企业网络,能够防止通过修改文件扩展名的方式逃避过滤(截图证明);要求具有配置文件自动定时上传到指定外部服务器功能(截图证明)。 3、资质要求:计算机信息系统安全专用产品销售许可证(增强级);军用信息安全产品认证证书(军B级);病毒过滤网关IPv6 Ready2资质认证;★厂商通过TL9000认证;★制造厂商入围国家网络安全应急支撑单位;★提供原厂商对本项目的授权和三年售后服务承诺函。 | 1 |
入侵防御 系统 | 1、基本要求:产品应为国产机架式2U独立IPS硬件设备,全内置封闭式结构,具有完全自主知识产权的专用安全操作系统,配置双电源,内置存储扩展模块,存储空间≥1T;接口配置:产品必须提供独立1个RJ45串行Console口、1个千兆独立管理电口及1个千兆HA电口,10/100/1000Base-T千兆工作电口≥8个,所有接口均配置入侵防御及检测授权,电口均应内置硬件BYPASS;提供不少于2个USB口;产品须支持接口扩展,并具备≥3个空余插槽供未来扩展;设备支持千兆GE电口≥16路或千兆SFP光口≥16路或万兆SFP+光口≥4路,支持硬件BYPASS(须提供设备面板图)。 2、性能要求:在入侵防御和防病毒功能开启下,最大吞吐量≥10Gbps,最大并发连接数≥300万个,每秒新建HTTP连接数≥15000个,用户数无限制;入侵防御事件库事件数量不少于3500条(提供事件库界面截图);支持入侵防御事件库在线自动升级和手工导入,入侵事件特征库升级频率不少于一周一次;入侵防御功能须支持恶意样本检测功能,能对流经的http、ftp、邮件协议中包含的office文档、图片文档及压缩文档进行恶意代码检测,对可疑文件进行报警,报警信息应包括源目的IP、协议类型、文件基本信息、危险等级及文件的应用的详细信息(如邮件的发件人、收件人、标题等),方便对恶意文件进行追踪;系统须支持单独的恶意样本检测规则升级功能,方便对恶意样本检测功能进行扩充;可针对源接口、目的接口、协议类型、源地址、目的地址、服务和报文通讯时间等对象设定安全策略;支持无线攻击检测和防护功能扩展,可手工或自动识别和区分内部AP和外部AP,也可以手工或自动识别合法终端,并基于此设定无线准入策略,通过射频信号阻止非法AP、终端的接入;支持无线扫描、欺骗、DoS、破解等常见无线网络攻击行为的检测、告警、阻断功能,同时支持多种类型流氓AP的检测与阻断;具备Web过滤功能,支持黑白名单、关键字过滤、禁止HTTP代理、URL分类过滤、内容过滤等方法,并能通过统一模版设置;具备URL分类过滤功能,可根据实际应用分类,分类不小于60,并支持用户自定义分类。必须采用“云数据”模式进行零延迟的准确过滤,URL过滤库规模不小于1亿条;支持URL地访问的查询与统计;具备邮件内容过滤功能,有效防止恶意邮件及信息外泄。可根据邮件SMTP命令、发件人、主题、附件、IP及邮件大小进行邮件过滤;支持双机热备功能,支持连接状态同步,支持配置同步;支持硬件BYPASS,在设备故障、重启及断电的情况下可保障网络畅通,支持手动配置BYPASS的启停;★支持双病毒引擎,要求提供防病毒引擎厂商证明;管理功能提供多种方式的管理界面,包括HTTPS、CONSOLE、SSH、TELNET等;提供WEB登录图像验证码功能,防止暴力破解;系统应支持定期修改密码功能;支持集中管理功能,可同时监控所有IPS的运行状态,并支持对所有设备进行统一安全策略配置及进行版本升级;支持自动报表功能,用户可自行定义生成报表的周期、设备、日志类型、日志等级等;生成的报表可自动发送至用户指定邮箱;系统应支持syslog格式修改功能,通过对日志内容裁剪、修改次序,满足用户安全管理平台日志格式要求。 3、资质要求:投标产品应具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可百兆、千兆、万兆),并获得国标三级(要求投标产品的证书上明确标识百兆、千兆、万兆产品);投标IPS产品应具有中国信息安全测评中心颁发的《国家信息安全测评信息技术产品安全测评证书》(EAL3+级别,要求投标产品的证书上明确标识百兆、千兆、万兆产品);★通过CMMI3级(含)以上认证;产品具有中国国家保密局测评中心颁发的《涉密信息系统产品检测证书》(要求投标产品的证书上明确标识百兆、千兆、万兆);★CNCERT网络安全应急服务支撑单位(国家级);★产品生产厂商必须具备入侵防御产品的自主研发能力,被授予或受理的入侵防御相关专利数不少于60项,请提供列表,并可在国家知识产权局网站查询(提供证明材料);★提供原厂商对本项目的授权和三年售后服务承诺函。 | 1 |
漏洞扫描 系统 | 1、基本要求:2U上架设备,配置冗余双电源;标配千兆扫描电口≥5个,1个10/100/1000M管理口(可做扫描口),2个USB接口,具备1个扩展槽,最大支持14个千兆电口或者6个千兆电口加上8个千兆光口、至少可扩展2个万兆接口,SATA硬盘容量≥1T;单次任务可扫描≥100个IP地址,具体IP地址不限,并发扫描≥20IP 2、性能要求: 1、 扫描能力:★漏洞扫描方法应不少于 23000种(提供截图证明),支持在IPv6环境中部署和执行扫描任务,支持扫描IPv6环境中的设备、系统(提供截图证明);集成系统漏洞扫描、Web应用扫描、基线核查于一体(提供截图证明);支持对各种网络主机、操作系统、网络设备(如交换机、路由器、防火墙等)、常用软件以及应用系统的识别和漏洞扫描;★支持云平台扫描,漏洞覆盖OpenStack 、KVM、Vmware、Xen等主流的云计算平台(提供截图证明);★支持python的多个模块的漏洞扫描,如audioop模块 、audioop模块 、rgbimg模块的漏洞(提供截图证明);★支持可扫描IP地址的范围和总数量无限制;支持对意外中断(网络中断、设备断电)的扫描任务恢复后继续进行扫描; 2、 策略管理:支持至少17种以上默认扫描策略,支持灵活的扫描策略自定义功能,提供策略编辑向导和详细漏洞信息,支持以系统类型、漏洞类型、危险级别、CVE等不同视图显示漏洞,支持策略的导入、导出、修改以及合并。 3、 资产管理:支持每个资产历史扫描的风险趋势图显示,缺省显示最后24次扫描结果的趋势显示,支持对部门和资产的添加、删除、编辑等操作,以及对资产的属性自定义功能;支持以txt、csv、dat等格式进行资产列表的导入。 4、 报表功能:报告中的漏洞应具备统一的CVSS国际标准评分,以准确衡量漏洞的危险级别,为漏洞修补工作的优先级提供指导;支持给每个任务报表添加自定义安全结论(提供截图证明);HTML离线报表能够通过点击主机ip链接,自动跳转至该主机的详细报告;支持任务扫描完成后,自动将扫描结果上传至ftp服务器。 5、 web应用防护系统产品升级维护:支持实时提醒当前的系统消息,包括报表下载消息、升级内容消息、日志下载消息等(提供截图证明);支持控制台功能,可以通过控制台对系统进行操作和设置,例如重启和关闭系统、修改系统和网络配置、查看漏扫引擎状态并提供网络诊断工具。 6、 产品漏洞研究要求:提供自主发现的CVE安全漏洞列表,要求数量不少于90个(提供证明材料);★提供自主发现的CNNVD安全漏洞列表及证书,要求数量不少于10个(提供证明材料);提供与系统漏洞扫描、服务识别以及系统风险评估相关的公开专利,要求数量不少于3个(提供证明材料)。 7、 产品资质:中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》,要求为增强型;中国信息安全测评中心颁发的《信息技术产品安全测评证书》,级别EAL3+;★通过CMMI3级(含)以上认证;产品具有中国国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》中国信息安全认证中心的《中国国家信息安全产品认证证书》,要求为增强级;★CNCERT网络安全应急服务支撑单位(国家级);★提供原厂商对本项目的授权和三年售后服务承诺函。 | 1 |
堡垒机(安全运维审计系统) | 1、配置要求:1U设备,支持旁路/分级部署方式;支持B/S加密安全管理;硬件≥6个1000M电口,内存≥8G,硬盘≥1T,审计数据独立加密存储;内置应用发布服务器,支持双机设备高可用性及双网口绑定高负载性。 2、功能要求: 身份管理:支持角分组功能;支持临时账户功能;支持邮件激活账户功能及支持MAC地址绑定。 身份认证:支持静态口令、Radius、RSA双因素、AD域、CA数字证书、动态口令等多种身份认证方式,具备认证失败次数及锁定登录。 访问授权:根据事前预防,事中监控等策略要求,提供精确到人、时间、IP/MAC地址、账户或者协议的自定义访问控制模版,同时对事中访问制定访问限制规则(黑白名单)精细化控制访问范围。 ★ 工单授权:不同级别运维工单,支持管理员的工单授权审批控制,允许/拒绝。 设备管理:支持所有设备及虚拟化管理,可分组;支持设备添加/删除;支持(telnet/ssh/http….)等所有运维管理协议,可修改自定义的协议端口,支持设备及账户的批量导入导出。 运维方式:支持B/S、C/S、字符终端三种运维,分为分组运维、当前运维和最近运维三种视图,清晰展现。 ★ 行为识别:对字符类运维实时分析执行的命令,对于高危行为进行识别,阻断、告警;对图形化运维集成 图形行为识别特征库,并支持动态识别库更新,如遇鼠标或键盘组合执行高危行为(注册表修改,服务进程启停或者安装/卸载/删除)时发现,识别,阻断和告警。 行为控制:通过事中策略要求,对事中的行为进行风险级别设定,对字符命令、图形操作回话支持实时控制,对于触犯规则的进行阻断,告警、记录等动作,审计员可同步监控操作者的回话,并有权中断操作。 ★ 密码管理:代管密码,加密存储,支持自动改密及改密复杂度设置;具备密码恢复技术解决因意外造成密码丢失情况;密码保存支持电子密函和密码信封保存,支持UKey加固防护。 应用发布:对于第三方运维管理工具支持该应用和工具的发布功能,同时对于第三方运维协议支持协议发布和端口的配置,支持Vmware等多种虚拟化应用。 ★ 审计管理:支持实时审计、事件审计、会话审计、策略审计、系统自身审计六类审计模式;实时审计支持远程监控功能,可中断违规操作;策略审计支持审计场景自定义,并有自学习功能;审计结果可以按日、周、月、季、年生成报表,报表可订阅,可以PDF格式导出;支持图形审计的全文检索功能,快速定位违规人员;支持rdp屏幕分析,支持图形审计按键记录,屏幕分析结果支持事件方式展现,支持删除文件,创建目录,删除目录,安装软件等事件识别;需要提供功能截图及操作视频。 ★ 网络设备管理:支持网络设备配置文件备份功能,支持定时备份、触发备份两种方式,对备份的配置文件 提供版本比较和分析,支持版本故障回退和审计功能。 ★ KPI考核:支持定制操作者的KPI绩效考核,如违规率,运维时长,响应等;支持定期生成KPI考核报表,为绩效考核提供依据。 ★ 自动巡检:具备对主机设备、网络设备、安全设备、数据库等自动巡检,对巡检数据挖掘,生成巡检报告,提供设备状态趋势分析功能;巡检内容支持硬件状态,软件服务,流量及瓶颈分析等。可定制巡检模板和作业调度策略,巡检报告可定制。 告警方式:所有告警信息支持邮件、短信和APP应用消息的方式通知所管辖人员。 知识库:能够将有价值的运维过程转化为知识点,具备60秒内运维经验自动生成功能,快速提升团队运维技能;知识内容支持文本、多媒体或组合形式,支持全文检索,方便阅读和学习;可以定制视频知识,文本知识或混合知识;支持知识分享。 趋势分析:支持热点推送功能,基于事件三级分类,支持人、指令、系统三个维度热点分析功能;支持Flash动画显示,导出图像;支持本日、周、月、季度热点运维人员、热点设备、操作行为,分析运维安全趋势。 语言翻译:支持技术语言与业务语言的翻译功能。 ★提供原厂商对本项目的授权和三年售后服务承诺函。 | 1 |
数据库 审计系统 | 1、基本要求:1U机架式设备; 4个10/100/1000BASE-T电口采集口,500G存储空间 含1年的URL库、规则库和应用安全规则库,冗余1个扩展槽位,可扩展数据安全管理模块; 2、性能要求:系统采用专用硬件架构与专用安全操作系统;专用的安全操作系统具有自主知识产权(提供证明材料);设备支持双操作系统引导,系统需在设备启动过程中进行选择(提供截图),不得在WEB维护界面中设置系统切换选项;记录事件数>35000条/秒,总记录事件>10亿条、可审计并发数据库用户数>500;★无需在被审计系统上安装任何代理;无需单独的数据中心,一台设备完成所有工作(要求提供截图);★支持实名审计,支持802.1x,PPPoE,AD等环境下终端IP地址和用户实名信息或主机信息绑定显示(要求提供截图);★支持IP归属地审计,可以定位事件到IP所在地,并提供地图展示功能(要求提供截图);★审计设备作为旁路部署,要求支持旁路阻断,通过联动协议,能够与防火墙进行联动阻断(提供截图证明);★支持虚拟服务器环境下的单点、多点、多级部署(要求截图),支持审计ORACLE、SQL Server、MY SQL、DB2、Sybase、Informix、Postgresql、Kingbase、Cache、Gbase、Dameng、Teradata等各类主流数据库系统(提供配置截图证明;★支持对针对数据库的XSS攻击行为进行审计,并实时报警(提供截图);★支持对针对数据库的SQL注入攻击行为进行审计,并实时报警(提供截图);支持数据库事件进行潜在危害分析,对可能潜在的威胁实时告知管理员,支持数据库密码猜错攻击进行告警;支持对单个事件、多个类型不同事件进行交叉关联分析;★支持SQL操作响应时间的审计,支持Update、Insert、Delete操作返回行数的审计, 支持数据库操作成功、失败的审计,分析、提取SQL语句中绑定变量,并可完全监测还原SQL操作语句包括源IP地址、目的IP地址、访问时间、MAC地址、数据库用户名、客户端名称、服务端名称、数据库操作类型、数据库表名、字段名等,保证90%以上的数据库名和数据库用户的完整记录;支持云加速功能,云加速功能要求在服务器端安装AGENT,通过AGENT与数据库审计设备之间的智能联动,大幅度提高数据的上传下载速度(提供3个以上相应测试效果截图并加盖厂商公章);支持三层业务关联分析,能够审计到原始用户访问信息;★支持IPV6环境数据库审计系统全部功能(提供截图证明)。 3、资质要求:ISCCC信息安全产品认证证书IPv6 Ready 2金牌认证;公安部颁发的销售许可证;★制造厂商通过TL9000认证;★制造厂商入围国家网络安全应急支撑单位;★提供原厂商对本项目的授权和三年售后服务承诺函。 | 1 |
基层院防火墙 | 1、★基本要求:设备硬件平台采用先进的多核处理器全并行架构,非X86多核或ASIC架构,需提供能证明多核CPU并行处理的命令行截图;1 个CON 接口, 1 个USB 口,8个千兆电口;以上要求提供设备界面截图. 2、性能要求:吞吐量≥2Gbps,最大并发连接数≥180万,每秒新建会话≥1.2万,IPsec VPN吞吐率≥1Gbps,最大IPsec VPN隧道数≥1000,SSL VPN并发用户数可扩展至500个。 3、功能要求:支持透明、路由/NAT工作模式和基于三层交换技术的混合工作模式;★支持基于国家地理位置的访问控制,能够精确识别攻击源/ 目的IP 所处的国家地理位置,从而可以根据业务通信要求实施基于国家地理位置的访问控制,快速阻断攻击流量(提供截图);支持双机热备、端口聚合、IPV6、虚拟防火墙功能;支持非等价链路的智能链路负载均衡,包括出站动态探测、TCP Track、入站SmartDNS,支持虚拟路由器且具备独立路由表,支持虚拟交换机且具备独立MAC表;支持NAT端口扩展技术,单IP可支持N*64500个并发连接;可扩展入侵防御、流量控制和防病毒等功能模块;支持对设备自身CPU使用率、内存使用率、存储空间、机箱温度、CPU温度、新建连接数、并发连接数、接口流量等资源的主动检测, 计算全网健康指数,生成检测报告;★支持IPSec VPN、SSL VPN、L2TP VPN、GRE VPN、L2TP over IPSec VPN、GRE over IPSec VPN、Hub and Spoke、Dial-up等VPN组网,要求支持IPv6 6to4 、IPv4 4to6 隧道配置,严格遵循RFC国际标准,其支持的算法必需包括3DES、AES128、AES192、AES256,SHA-256、SHA-384、SHA-512(提供截图);提供Android/IOS手机APP远程监控运维防火墙,支持通过APP监控防火墙CPU利用率、内存利用率、网络流量、应用流量排名、用户流量排名、网络威胁信息、日志查询等(提供功能截图);★支持基于沙箱威胁检测引擎查看威胁日志(提供产品界面截图)。 4、资质要求:提供《计算机信息系统安全专用产品销售许可证》千兆三级;中国信息安全产品认证中心颁发的《中国国家信息安全产品认证证书》(千兆三级);IPV6 Ready认证;涉密信息系统产品检测证书(千兆);计算机软件著作权登记证书-多核并行操作系统;★具有自主知识产权的64位安全操作系统,需提供国家版权局颁发的相应著作权证书证明;★提供原厂商对本项目的授权和三年售后服务承诺函;★为便于维护管理,保证系统兼容性,要求基层院防火墙和市院防火墙为同一品牌 | 10 |
系统集成费、安装调试费、辅料费 | 1 | |
注:以上★号必须完全满足,否则按废标处理。
发表评论