招标
国家税务总局山东省税务局大数据基础云平台安全合规建设项目需求公示
金额
-
项目地址
山东省
发布时间
2023/08/24
公告摘要
公告正文
一、项目概况
为做好大数据基础云平台安全合规建设和关键涉税数据传输安全,需采购1台安全监测中心、2台防火墙、2台IPS、2台防病毒网关、6台云安全管理网关、1台网络安全回溯流量平台、4台密码机、4台签名验签专用设备。
二、技术参数
单台技术参数如下:
三、公示期
本需求公示期为3个工作日,自2023年8月25日至8月27日。
四、意见反馈方式
潜在供应商如有意见,请将意见加盖单位公章后将扫描件发送至sdswjzfcg@163.com.
联系电话:0531-85656101。
国家税务总局山东省税务局
2023年8月24日
为做好大数据基础云平台安全合规建设和关键涉税数据传输安全,需采购1台安全监测中心、2台防火墙、2台IPS、2台防病毒网关、6台云安全管理网关、1台网络安全回溯流量平台、4台密码机、4台签名验签专用设备。
二、技术参数
单台技术参数如下:
| 序号 | 指标名称 | 指标内容 |
| 产品1 安全监测中心 | ||
| 1 | 基本参数 | 标准机架式设备,存储≥48T,内存≥512G,配备千兆电口≥4个,万兆光口≥6个,满配万兆多模光模块,模块化冗余电源。 |
| 2 | 设备纳管 | 对本项目采购的云平台安全设备产生的风险预警和日志进行统一收集、对接和纳管,实现云平台整体安全形势的展示,对云平台安全状况进行监控。 |
| 3 | 风险展示 | 支持对云平台整体展示各项脆弱性风险、热点漏洞情况、脆弱性风险详情。 支持对云平台风险进行大屏轮播及自定义展示。支持对账号异地登录、账户共享、数据批量查询、岗位变更、账户跨区域操作等数据安全风险项进行预警。 |
| 4 | 可视化呈现 | 支持日志关联分析结果的可视化展示,分析结果可视化展示。 支持全局总览整体安全态势,支持以安全域的视角直观地看清风险所在区域,支持页面跳转到对应态势大屏。 支持安全态势的可视化呈现,以可视化大屏的方式从安全态势、安全事件、网络攻击等方面提供大屏展示界面。 |
| 5 | 自定义报表 | 支持以会话详单、统计数据、应用层协议详单为数据源,灵活自定义筛选条件生成报表。 并支持多个自定义图表组合编排。 |
| 产品2 防火墙 | ||
| 1 | 基本参数 | 标准机架式设备,配备千兆电口≥4个,千兆光口SFP插槽≥4个(满配多模光模块),万兆光口SFP+插槽≥4个(满配多模光模块),模块化冗余电源,吞吐率≥50Gbps,并发连接数≥1500万,每秒新建连接≥35万。 |
| 2 | 部署模式 | 支持主/主模式、主/备模式部署,支持配置同步、会话同步,实现高可用性,支持WEB界面防火墙配置同步,支持主备防火墙会话同步。支持路由模式、透明(网桥)模式、混合模式,支持静态路由、策略路由、RIP、OSPF、BGP等路由协议。 |
| 3 | 地址转换 | 具有多种地址转换功能,支持源/目的NAT、双向NAT、NoNAT转换方式;支持源IP转换同一性。支持端口块地址转换和EIM地址转换。支持IPv4和IPv6双栈工作模式,支持IPv6域名控制,支持对多级域名进行控制,域名对象支持通配符。 |
| 4 | 流量控制 | 具有多维度流量控制功能,支持基于IP地址、用户、应用、时间设置流量控制策略,保证关键业务带宽日常需求。 |
| 5 | 特征库 | 产品内置≥3000种的WEB应用攻击特征,对跨站脚本(XSS)攻击、SQL注入、文件包含攻击、信息泄露攻击、WebShell、网站扫描、网站木马等攻击类型进行防护。 |
| 6 | 安全策略 | 具有策略风险调优功能,支持安全策略优化分析,支持策略冗余及命中分析,支持基于应用风险的自动批量和手动逐条策略调优,可根据流量、应用、风险类型等细粒度展示。 |
| 7 | 虚拟防火墙 | 具有虚拟防火墙功能,支持为不同业务应用设置虚拟系统并配置虚拟防火墙,提供东西向的流量隔离和安全防护,可以设置过滤规则、NAT设置、访问监控、QOS上传下载规则等。 |
| 8 | API接口 | 提供API接口,接入省局安全管理平台或态势感知平台。 |
| 产品3 IPS | ||
| 1 | 参数要求 | 标准机架式设备,千兆电口≥6个,千兆光口≥4个(满配多模光模块),万兆光口≥4个(满配多模光模块),模块化冗余电源,整机吞吐率≥10Gbps,最大并发连接数≥300W。 |
| 2 | 攻击防御 | 检测包括扫描探测、暴力猜解、拒绝服务攻击、后门控制、溢出攻击、代码执行、非授权访问、注入攻击、URL跳转、跨站攻击、WebShell、浏览器劫持、文件漏洞攻击、工控漏洞攻击、物联网漏洞攻击等在内的16大类≥9000种网络攻击事件,并对规则可设置相应警告、阻断动作。 |
| 3 | 自定义规则 | 支持自定义规则,并且自定义规则库可以导入导出。 |
| 4 | DDoS防御 | 支持用户对DDoS攻击网络流量阈值进行设置。 |
| 5 | 僵尸主机检测 | 对云平台主机异常通信行为进行检测,具有独立的僵尸主机特征库,对≥10000种僵尸主机行为进行监测,包括僵尸网络、木马控制、蠕虫、挖矿、勒索、移动端木马控制、APT等多类型的僵尸主机行为。 |
| 6 | 加密流量防护 | 支持卸载SSL,实现对HTTPS、IMAPS、SMTPS、POP3S、FTP、RDP、MQTT、SIP等加密流量的分析检测防护。 |
| 7 | 连接监控 | 支持IPv4、IPv6连接信息监控功能。 |
| 8 | API接口 | 提供API接口,接入省局安全管理平台或态势感知平台。 |
| 产品4 防病毒网关 | ||
| 1 | 参数要求 | 标准机架式设备,千兆电口≥6个,千兆光口≥4个(满配多模光模块),万兆光口≥4个(满配多模光模块),模块化冗余电源,整机吞吐率≥10Gbps,最大并发连接数≥600W,病毒检测吞吐率≥3.5Gbps。 |
| 2 | 病毒引擎 | 支持双库双引擎,可选择使用不同的扫描引擎和不同的病毒特征库。 |
| 3 | IPv6支持 | 支持IPv6,能够在IPv6网络环境中检测出病毒流量。 |
| 4 | 统计 | 展示网络流量病毒威胁状况。 |
| 5 | 日志 | 记录病毒检测过滤日志,相关日志都能定位到具体携带病毒的文件名和文件路径。 |
| 6 | 文件隔离 | 具有病毒文件隔离功能,能够管理隔离区,下载隔离区文件进行分析处理与取证。 |
| 7 | API接口 | 提供API接口,接入省局安全管理平台或态势感知平台。 |
| 产品5 云安全管理网关 | ||
| 1 | 硬件规格 | CPU≥12核*2颗,内存≥256G,SSD≥480G*4块,硬盘≥40TB,千兆电口≥2个,千兆光口≥2个(满配多模光模块) ,万兆光口≥2个(满配多模光模块),模块化冗余电源。 |
| 2 | 总体要求 | 云安全管理网关持微服务架构部署。 支持三副本存储方式、支持松耦合部署方式。 |
| 3 | 许可管理 | 平台支持的授权模块包含漏洞扫描、数据库审计、日志审计、主机安全、基线扫描、资产发现、上网行为管理等。支持可管理云平台内主机数量≥1000个。 |
| 4 | 漏洞扫描 | 支持端口与服务发现,可对监控目标进行全端口扫描。 端口扫描方式:支持TCP SYN扫描、Connect扫描、TCP ACK扫描、UDP扫描、TCP FIN扫描、TCP NULL扫描、Xmas Tree扫描、idle扫描等。 系统漏洞扫描:漏洞库≥180000条,覆盖缓冲区溢出漏洞、拒绝服务攻击漏洞、弱口令、信息泄露漏洞等常见漏洞。 数据库漏洞扫描:支持主流数据库:Oracle、SQLServer、MySQL、MongoDB、ElasticSearch、Redis等;支持国产数据库并能够支持对新增国产化数据库类型进行适配。 基线配置核查:支持主流国产操作系统。 |
| 5 | 数据库审计 | 数据库类型支持:支持主流数据库:Oracle、SQLServer、MySQL、MongoDB、ElasticSearch、Redis等;支持国产数据库并能够支持对新增国产化数据库类型进行适配。 支持数据库发现,可通过主动网络扫描及被动流量分析两种模式发现审计对象,并且自动添加到审计范围,无需提供网段、数据库地址等信息。 支持数据库访问行为与返回结果的双向审计,并能够根据返回结果设置审计策略;支持数据库IPv6/IPv4协议的审计;支持6个月结果集数据导出。 支持对所有审计管理员操作审计系统的动作进行审计,并向外发送审计日志。 |
| 6 | 日志审计 | 实现对云平台、云平台主机、云平台相关安全设备等的日志进行收集、存储和分析展示。 支持Syslog、SNMP Trap、HTTP、ODBC/JDBC、WMI、FTP、SFTP、Telnet、SSH协议日志收集。 支持使用代理方式提取日志并收集。 支持对操作系统、数据库、中间件、Web应用和应用程序日志进行收集和解析,并进行关联性分析和生成分析报告。 支持对收集到的重复日志进行自动聚合归并,减少日志量。 支持跨设备进行数据关联分析。 |
| 7 | 主机安全组件 | 提供云主机/服务器的安全防护授权。授权功能包括:主机防病毒防护,主机入侵防御、虚拟补丁、主机加固,能够与云平台主机操作系统兼容,并能够支持轻代理模式。 提供主机防病毒功能:处置措施包括不限于清除、删除、拒绝访问、隔离等。 具备入侵防御功能:内置入侵防御的规则库,支持关联ATT&CK框架。 具备虚拟补丁功能:能够针对0Day漏洞快速定制防御规则,包括不限于签名、特征码、XML等方式,进行0Day的快速防护。 支持对HTTPS流量的识别,支持配置SSL证书进行解密。支持对恶意流量的报文进行捕获,记录 HTTP 流量日志,支持溯源及审查。 对主机上网行为进行管理和记录审计。 |
| 8 | 资产发现 | 对云平台内的主机资产进行主动扫描和发现,实现云内资产统一管理。 |
| 9 | API接口 | 提供API接口,接入省局安全管理平台或态势感知平台。 |
| 产品6 网络安全回溯流量平台 | ||
| 1 | 硬件规格 | 标准机架设备,CPU≥ 12核*2颗,内存≥192G,SSD≥2*960GB,万兆光口≥4个(满配多模光模块),千兆光口≥2个(满配多模光模块),模块化冗余电源,机械硬盘存储总容量≥120TB。 |
| 2 | 数据包捕获 | 支持网络流量数据包捕获,并发流处理性能≥2000万个,新建流处理性能≥5万个/秒。支持根据五元组、VLAN等信息设定捕获过滤规则。支持数据包保序,提供NTP时间戳。支持报文去重。支持IPv6协议识别及分析。 |
| 3 | 数据包存储 | 数据包存储支持自动覆盖循环写入,支持数据包压缩存储,全流量存储到硬盘时,可以选择压缩/不压缩。 |
| 4 | 数据包检索 | 根据五元组等进行高速流检索和报文获取,数据包检索性能≥300TB/s。检索结果中应能体现详细信息,包括检索范围、检索耗时、检索到的数据包数和会话数量。 |
| 5 | 数据包离线分析 | 支持PCAP、PCAPNG格式的离线数据包文件导入分析。 |
| 6 | 溯源分析 | 支持绘制网络访问关系图,并可对图中某重点IP进行下钻追踪。 支持IP画像,对重点IP集中展示来访的IP、外访的IP、开放的端口、外访的端口、应用流量占比、应用连接排名、连接源会话数和数量、连接目标会话数和数量。 支持NAT前后会话自动映射关联,支持源NAT、目的NAT、源和目的双向NAT场景。 支持通过网络会话流记录进行历史会话检索,并关联数据包。 |
| 7 | 网络流量分析 | 支持应用层协议元数据解析,解析结果通过协议详单呈现。 支持网络、逻辑子网的统计分析,支持IP间访问关系图,呈现IP节点间的通信流量、新建会话等信息,能够下钻至会话详单、流量分析、数据包等页面做进一步的分析。 |
| 8 | 数据共享 | 支持通过Syslog/Kafka/ZMQ等协议或API接口,将满足筛选条件的会话日志和协议元数据发送到外部服务器。 支持将接收的网络流量以≥8Gbps速率进行实时转发,转发时支持增加GRE、VXLAN封装。 支持设定回放速率,将原始流量按需进行加速或者减速回放,回放速率支持配置包速率或字节速率,支持≥8Gbps速率回放。 |
| 产品7 密码机 | ||
| 1 | 参数要求 | 100/1000Mbps 自适应RJ45网络接口≥2个;具有USB接口或符合ISO/IEC7816-3协议的IC卡接口;配置双电源;设备具有商用密码产品认证证书。 |
| 2 | 密码算法 | 支持256位SM2公钥密码算法;支持1024、2048位的RSA公钥密码算法;支持SM1、SM4等对称密码算法;支持SM3、SHA256等摘要算法。设备的密钥管理和密码运算功能均由设备内的密码卡完成;提供产生随机数功能,所有随机数采用国家密码管理局批准的硬件物理噪声源生成真正随机数; |
| 3 | 运算速度 | SM2密钥生成速度≥70000对/秒;SM2签名速度≥71000次/秒;SM2验签速度≥64000次/秒;SM2加密速度≥35000次/秒;SM2解密速度≥47000次/秒;RSA 1024位签名速度≥15000次/秒;RSA 1024位验签速度≥75000次/秒;RSA 2048位签名速度≥4000次/秒;RSA 2048位验签速度≥60000次/秒;SM1对称加密速度≥870Mbps;SM4对称加密速度≥880Mbps;并发连接数≥6000。 |
| 4 | 密码运算功能 | 提供对称密钥加解密功能;提供消息鉴别码产生和验证功能;提供数据摘要产生和验证功能;提供非对称密钥数字签名产生和验证功能;提供非对称密钥加解密功能;提供数字信封加解密功能。 |
| 5 | 密钥管理 | 支持密钥安全存储,所有密钥由系统保护密钥加密后存储在密码卡中,不允许密钥以明文形式输出,不以明文形式出现在磁盘、内存以及密码机外部;在满足权限的情况下能够将密码机内的密钥等重要信息加密后进行备份,并且可以恢复到相同型号的密码机中;设备内可存储≥50对的SM2密钥对和≥50对的RSA密钥对;提供密钥生成、密钥存储、密钥备份、密钥恢复、密钥销毁等密钥管理功能。 |
| 6 | API接口 | 提供C/C++接口和符合J2EE规范的相关接口,支持PKCS#11接口、CSP/CNG接口、JCE接口和主流安全协议,支持《公钥密码基础设施应用技术体系密码设备应用接口规范》;符合税务系统数字证书应用相关接口规范要求,对省局应用系统密码安全使用需求进行适配,无需额外业务联调开发工作;支持主流Linux、Unix、Windows等系统环境的调用。 |
| 7 | 系统管理 | 具备完备的系统管理功能,包括配置管理、权限管理等;具备设备访问控制功能,支持通过连接密码及白名单实现对应用服务器的访问授权认证;具备日志管理功能,能够把设备日志信息写入日志服务器;支持设备热备份功能;支持多机并行和负载均衡部署。 |
| 产品8 签名验签专用设备 | ||
| 1 | 参数要求 | 100/1000Mbps 自适应网络接口 RJ45 网络接口≥2个;具有USB 接口或符合ISO/IEC7816-3协议的IC卡接口;配置双电源;具有商用密码产品认证证书。 |
| 2 | 密码算法 | 支持256位SM2公钥密码算法;支持1024、2048位的RSA公钥密码算法;支持SM1、SM4等对称密码算法;支持SM3、SHA256等摘要算法。支持密钥安全存储,所有密钥由系统保护密钥加密后存储在密码卡中,不允许密钥以明文形式输出,不以明文形式出现在磁盘、内存以及密码机外部;在满足权限的情况下能够将密码机内的密钥等重要信息加密后进行备份,并且可以恢复到相同型号的设备中;提供密钥生成、密钥存储、密钥备份、密钥恢复、密钥销毁等密钥管理功能。 |
| 3 | 运算速度 | 验签响应时间≤5ms;身份认证响应时间≤5ms;服务器并发连接数≥4000;SM2 签名速度≥25000次/秒;SM2 验签速度≥15000次/秒;RSA 1024位签名速度≥5500次/秒;RSA 1024位验签速度≥36000次/秒;RSA 2048位签名速度≥1100次/秒;RSA 2048位验签速度≥10000次/秒;SM1 对称加密速度≥850Mbps;SM4对称加密速度≥850Mbps。 |
| 4 | 密码运算功能 | 支持数字签名、签名验证、加密和解密功能;支持指定签名算法、密钥标识或密钥容器;支持自动识别封装成PKCS#7的签名数据包中的RSA或SM2签名算法并验证数字签名;提供PKCS#7、PKCS#1标准格式的签名与验签;支持多种签名报文信息组合方法,包括(原文+签名+签名证书)、(签名+签名证书)、(签名)等;提供包括RAW签名/验签,Attached 签名/验签,Detached签名/验签等多种方式的签名验签方式;提供打包数字信封,解密数字信封,打包带签名的数字信封(Attach带签名),解密带签名的数字信封(Attach带签名)等验证签名功能;提供解析用户证书功能。 |
| 5 | API接口 | 支持主流UNIX、Linux和Windows系统环境的接口调用;支持多种调用接口,提供面向应用系统提供C/C++接口和符合J2EE规范的接口;对省局应用系统签名认证使用需求进行适配。 |
| 6 | 系统管理 | 具备完备的系统管理功能,包括权限管理、网络配置管理等;具备日志管理功能,提供管理日志查看和日志审计等功能;支持设备热备份和多设备负载均衡功能;支持X.509 V2证书撤销列表(CRL);支持配置多个信任CA;支持部署双证书模式;提供证书导入与保存功能,证书符合X.509 V3标准格式;通过将CA证书和其签发证书的导入,建立内部证书信任链。 |
三、公示期
本需求公示期为3个工作日,自2023年8月25日至8月27日。
四、意见反馈方式
潜在供应商如有意见,请将意见加盖单位公章后将扫描件发送至sdswjzfcg@163.com.
联系电话:0531-85656101。
国家税务总局山东省税务局
2023年8月24日
解决方案
联系我们
返回顶部