招标
国家税务总局山东省税务局网络安全设备采购项目需求公示
金额
-
项目地址
山东省
发布时间
2022/09/23
公告摘要
公告正文
一、项目概况
目前我局数据中心现运行的网络安全设备已运行多年,进入故障高发期,为保证我省数据中心业务系统稳定运行,需采购12台防火墙、2台WAF、20个网页防篡改节点、2台数据库防火墙、1台数据库审计设备、1台数据库风险评估设备。
二、采购标的具体情况
采购数量和设备单台具体参数如下表:
1.防火墙设备,单台技术指标如下:
2.WAF设备,单台技术指标如下:
3.网页防篡改节点,技术指标如下:
4.数据库防火墙,单台技术指标如下:
5.数据库审计设备,单台技术指标如下:
6.数据库风险评估设备,单台技术指标如下:
三、公示期
本需求公示期为3个工作日,自2022年9月26日至2022年9月28日
四、意见反馈方式
潜在供应商如有意见,请将意见加盖单位公章后将扫描件发送至sdswjzfcg@163.com。
联系电话:0531-85656101
国家税务总局山东省税务局
2022年9月23日
目前我局数据中心现运行的网络安全设备已运行多年,进入故障高发期,为保证我省数据中心业务系统稳定运行,需采购12台防火墙、2台WAF、20个网页防篡改节点、2台数据库防火墙、1台数据库审计设备、1台数据库风险评估设备。
二、采购标的具体情况
采购数量和设备单台具体参数如下表:
1.防火墙设备,单台技术指标如下:
| 分类要求 | 详细说明 |
| 硬件 要求★ | 标准机架式设备,配备千兆电口≥4个,千兆光口SFP插槽≥2个,万兆光口SFP+插槽≥6个,并实配相应数量的光模块,模块化双冗余电源。防火墙吞吐率≥50Gbps,并发连接数≥1500万,每秒新建连接35万,含原厂五年质保服务。 |
| 功能 要求 | 支持路由模式、透明(网桥)模式、混合模式,支持静态路由、策略路由、RIP、OSPF、BGP等路由协议。 |
| 支持多种地址转换,支持源/目的NAT、双向NAT、NoNAT转换方式;支持源IP转换同一性;支持端口块地址转换和EIM地址转换。 | |
| 支持IPS及AV防病毒功能,开启IPS及AV防病毒功能后,吞吐性能至少18Gbps。 | |
| 支持主/主模式、主/备模式部署,支持配置同步、会话同步,实现高可用性,支持WEB界面防火墙配置同步,支持主备防火墙会话同步。 | |
| 支持多维度流量控制功能,支持基于IP地址、用户、应用、时间设置流量控制策略,保证关键业务带宽日常需求。 | |
| 支持与WAF、数据库审计产品联动,获取检测到的具有威胁的五元组信息,防火墙进行动态阻断。(提供证明材料并加盖公章) | |
| ▲提供防火墙设备集中管理平台,集中管理平台支持下发访问控制策略与设备端策略进行对比合并,支持安全域大屏展示,安全域拓扑展示,态势地图展示。(提供证明材料并加盖公章) | |
| ▲产品内置超过3000种以上的WEB应用攻击特征,支持对跨站脚本(XSS)攻击、SQL注入、文件包含攻击、信息泄露攻击、WEBSHELL、网站扫描、网站木马等攻击类型进行防护。 | |
| 支持策略风险调优,支持安全策略优化分析,支持策略冗余及命中分析,支持基于应用风险的自动批量和手动逐条策略调优,可根据流量、应用、风险类型等细粒度展示,便于更好的管理安全策略。(提供证明材料并加盖公章) | |
| ▲支持虚拟防火墙功能,支持为不同业务应用设置虚拟系统并配置虚拟防火墙,提供东西向的流量隔离和安全防护,可以设置过滤规则、NAT设置、访问监控、防DOS攻击、QOS上传下载规则等。(提供证明材料并加盖公章) | |
| 支持NTP DDOS防护,采用阀值检查、源/目的限流、源认证等方式综合进行NTP REQUEST FLOOD、NTP REPLY FLOOD攻击防护,支持SIP DDOS防护,采用阀值检查、源/目的限流、源认证方式进行SIP FLOOD攻击防护。(提供证明材料并加盖公章) | |
| ▲内置APT高级威胁防护,可对DGA、隐蔽信道、恶意加密流量进行检测,支持监控高级威胁检测数据,并进行可视化展示。(提供证明材料并加盖公章) | |
| 支持IPv4和IPv6双栈工作模式,支持IPv6域名控制,支持对多级域名进行控制,域名对象支持通配符。(提供证明材料并加盖公章) |
2.WAF设备,单台技术指标如下:
| 分类要求 | 详细说明 |
| 硬件 要求 | ▲产品为专业的WEB应用防护系统,非防火墙、UTM产品;标准机架式设备,模块化双冗余电源,千兆电口≥4个,千兆光口≥2个,万兆光口≥4个, 并实配相应数量的光模块,USB接口≥2,RJ45串口≥1,硬盘≥1T,吞吐率≥50Gbps,并发连接900万,每秒新建连接数≥10万,含五年产品特征库升级许可,含原厂五年质保服务。 |
| 功能 要求 | 支持透明桥部署,透明代理部署,反向代理部署,端口镜像部署,网关部署,负载均衡部署;在透明部署模式下,防护口不占用IP地址;支持在路由不对称场景下部署;在反向代理模式下,支持不改变客户端源IP,满足会话保持等的业务需要。 |
| 支持HTTPS国密算法,支持HTTP 1.0/1.1,且可根据现网环境配置协议降级。 | |
| 能够识别恶意请求,包含但不限于跨站脚本(XSS)攻击、注入式攻击(包括SQL注入、命令注入、Cookie 注入)、跨站请求伪造等应用攻击行为;能够识别服务端响应内容导致的缺陷,包含但不限于敏感信息泄露、已有的网页后门、错误配置、目录浏览等缺陷;能基于访问行为特征进行分析,能识别防盗链、应用DOS攻击的能力,能识别网站中的网页木马程序,通过策略可防止木马网页被用户访问;内置主流Webshell特征库,对上传内容进行检查,防止恶意Webshell上传。 | |
| ▲支持提取并封禁客户端真实IP头;自动尝试匹配X-Forwarded-For, X-Real-IP, Cdn-Src-Ip 用以获取并封禁真实客户端IP;支持XML防护,包括XML基础校验、Schema校验以及SOAP校验。(提供证明材料并加盖公章) | |
| 支持HTTP/HTTPS站点防护,在代理模式下支持HTTPS流量解析,支持SSL卸载功能。 | |
| 当发现网内出现安全威胁时,产品能够与防火墙进行联动阻断。支持IP惩罚机制,防范恶意扫描防护:通过IP惩罚机制对进行恶意扫描的IP进行智能检测并封禁;支持扫描防护阈值设置和扫描IP的阻断周期设置。(提供证明材料并加盖公章) | |
| 支持主备部署模式和集群部署模式。 | |
| ▲支持BOT防护功能,可过滤机器人自动化攻击流量,并支持用户自定义URL保护范围和保护阈值。 | |
| ▲支持语义引擎用于检测WEB攻击,能够针对不同类型的web攻击如命令注入攻击防护等,单独选择开启或关闭语义引擎检测。(提供证明材料并加盖公章) | |
| ▲支持虚拟补丁功能,支持导入WAF内置扫描器及第三方扫描器的扫描结果生成WAF的防护规则,对此类网站的漏洞扫描发现的漏洞直接防护。(提供证明材料并加盖公章) | |
| 支持对防护的WEB服务器进行健康检查,可以实时监测服务器的活跃状态,并且可定期备份健康记录。(提供证明材料并加盖公章) | |
| 反向代理透明部署:在反向代理模式下,支持不改变客户端源IP,满足客户因会话保持等业务需要,需要网络设备不改变源IP的场景。 | |
| 支持基于日志类型选择不同的日志外发配置。 | |
| 支持Web扫描防护功能,支持以统计算法分析扫描行为的扫描防护。 |
3.网页防篡改节点,技术指标如下:
| 分类要求 | 详细说明 |
| 功能 要求 | 基于B/S架构,支持windows2000/2003/2008/2012/2016/Unix/Linux/Solaries等。支持国产化环境部署,兼容兆芯、飞腾、鲲鹏、中标麒麟、银河麒麟、Uos统信等软硬件平台,提供5年免费规则库升级和系统升级。 |
| 采用基于文件过滤驱动保护技术、增强型事件触发机制相结合方式。 | |
| 支持所有web服务器和中间件,不依赖其具体版本;支持各类网页文件的保护,包括静态和动态网页以及各类文件信息。 | |
| 支持对指定文件夹以及子文件夹的保护,避免上传非法文件及木马等恶意文件或插入恶意代码。 | |
| ▲在驱动遭到破坏文件被篡改的情况下,系统能基于事件触发机制及时恢复被篡改页面,恢复时间小于5MS。(提供证明材料并加盖公章) | |
| 系统支持对记录日志类型进行选择,并能够对日志中包含的敏感字段进行排除不记录。(提供证明材料并加盖公章) | |
| 支持在客户端断线情况下对监控文件目录进行篡改防护的功能。(提供证明材料并加盖公章) | |
| 支持监控/许可文件的模糊匹配功能。 | |
| 支持守护进程:能够防止防篡改主进程运行异常,保证软件运行稳定。 | |
| 隐藏主进程:能够将系统监控进程进行隐藏。(提供证明材料并加盖公章) | |
| 支持邮件、短信、报警提示框,对非授权用户篡改网页提供实时报警框弹出提示。 | |
| 防篡改系统的安装与卸载过程中,无需重启服务器,保障客户业务的连续性。(提供证明材料并加盖公章) | |
| 支持对服务器的内存、cpu设置阈值告警。(提供证明材料并加盖公章) |
4.数据库防火墙,单台技术指标如下:
| 分类要求 | 详细说明 |
| 硬件 要求 | ▲标准机架式设备,配备冗余电源,千兆GE电口≥4个,千兆光口SFP插槽≥2个,万兆光口SFP+插槽≥4个,并实配相应数量的光模块,空余扩展槽位≥2个,配置不少于2000个数据库授权,DB最大并发数≥120000,SQL处理能力≥140000/s,含原厂五年质保服务及系统升级服务。 |
| 功能 要求 | 产品需支持IPv6过渡网络环境如:双协议栈:IPv4/IPv6双栈网络环境,能够在IPv4/IPv6双栈网络环境下正常工作、协议转换,将IPv4和IPv6两种协议相互转换,能够在协议转换网络环境下正常工作。 |
| 支持国际主流数据库:Oracle、SQL Server、MySQL、DB2、PostgreSQL、Sybase、Informix、CacheDB、HANA等;支持国产数据库:DM、GBase 8a、GBase 8t、KingBase、Oscar等;非关系型数据库:MongoDB、HIVE,支持对新增国产化数据库类型进行适配。 | |
| ▲提供利用CVE上已公开的数据库漏洞,进行攻击拦截的虚拟补丁;支持400个以上的数据库漏洞规则,覆盖Oracle、SQL Server、MySQL等多种数据库类型。(提供证明材料并加盖公章) | |
| 无需数据库DBA权限,且无需在数据库上安装任何插件,即可对数据库安全进行防护控制。 | |
| 动态建模:支持SQL自学习功能,可以自动学习应用程序访问数据库的行为特征,并自动建立安全访问规则,允许合法的访问行为,对异常SQL行为进行跟踪和阻断。(提供证明材料并加盖公章) | |
| 支持结果集内容作为规则判定的条件,结果集包含敏感数据,则直接拦截或阻断。 | |
| 支持数据库自动发现,无需手动添加数据库,可以根据常用端口号、自定义端口号发现指定网段范围内存在的数据库服务,并可直接将发现的数据库服务直接加入到防护引擎。(提供证明材料并加盖公章) | |
| 支持发现审计日志中表或者字段中的敏感信息。(提供证明材料并加盖公章) | |
| 支持按照数据库受影响数据行数(阀值)管控,超出阀值的行为进行阻断或拦截,防止高危操作或大批量数据泄露。 | |
| 支持对数据库进行健康评分。(提供证明材料并加盖公章) | |
| 系统界面显示:可以显示数据库的用户、缓冲区击中率、共享内存、索引效率、查询统计、查询缓冲命中率信息。(提供证明材料并加盖公章) |
5.数据库审计设备,单台技术指标如下:
| 分类要求 | 详细说明 |
| 硬件 要求 | ▲标准机架式设备,千兆GE电口≥4个,千兆光口SFP插槽≥2个,万兆光口SFP+插槽≥4个,并实配相应数量的光模块,审计数据库实例授权≥2000个,冗余交流电源,审计处理能力≥30Gbps,峰值SQL处理能力≥130000条/秒,存储空间≥4T,含原厂五年质保服务及升级服务。 |
| 功能 要求 | 支持旁路镜像部署,agent引流部署,混合部署等。 |
| ▲支持数据库自动发现,可通过主动网络扫描及被动流量分析两种模式发现审计对象,能够从数据库流量中自动识别数据库,从流量分析结果中自动判别包含的数据库类型、版本、地址等信息,并且自动添加到审计范围,无需提供网段、数据库地址等信息。 | |
| 兼容性:支持国际主流数据库:Oracle、SQLServer、MySQL、MongoDB、ElasticSearch、Redis等;支持主流国产数据库并能够支持对新增国产化数据库类型进行适配。(提供证明材料并加盖公章) | |
| 默认规则组:针对不同数据库提供默认规则支持数据集群多个IP地址统一管理;支持全局策略设置,基于全局策略可以下发给每个数据库设置规则;支持策略的导入、导出设置;支持单项策略的状态管理,手动完成修改、开启和关闭等操作。 | |
| 针对不同数据库提供默认规则支持数据集群多个IP地址统一管理;支持全局策略设置,基于全局策略可以下发给每个数据库设置规则;支持策略的导入、导出设置;支持单项策略的状态管理,手动完成修改、开启和关闭等操作; | |
| 可创建多个审计用户,分配不同的数据库和产品功能权限。实现不同用户审计、管理不同数据库的业务需求 | |
| 支持数据库访问行为与返回结果的双向审计,特别是返回字段和结果、执行状态、返回行数、执行时长等内容,并能够根据返回结果设置审计策略;支持所有数据库IPV6协议的审计;支持结果集保存行数和大小自定义。 | |
| 产品支持对部署的同一品牌的多台审计或者多类型安全设备(版本号、序列号、型号、运行时长、CPU和内存占用、并发和新建连接数、设备流量等)进行远程统一检测,保障各设备的安全稳定运行。(提供证明材料并加盖公章) | |
| 支持等保报表模板以及自定义报表,可以按日、周、月等周期自动生成报表。(提供证明材料并加盖公章) | |
| ▲支持与数据库防火墙联动阻断功能,实现协同防护。(提供证明材料并加盖公章) | |
| 支持对所有审计管理员操作审计系统的动作进行审计,并以Syslog方式向外发送审计日志。 |
6.数据库风险评估设备,单台技术指标如下:
| 分类要求 | 详细说明 |
| 硬件 要求 | ▲配置千兆电口≥4个,千兆光口SFP插槽≥2个,并实配相应数量的光模块,内存≥16G,硬盘≥4T,CPU≥32核,规则库条目总数≥2000条,其中同时具有CVE编号和CNNVD编号的漏洞总数≥1600条,含原厂五年质保服务及升级服务。 |
| 功能 要求 | 提供自动搜索网内数据库的功能,也可以指定IP段和端口的范围进行搜索。自动发现数据库的基本信息包括:端口号、数据库类型、数据库实例名、数据库服务器IP地址等。系统应支持发现的数据库分布按照类型、IP段、组织等统计分析,支持自动发现和静态任务发现数据库趋势统计分析。 |
| 应用CVSS系统,通过漏洞的机密性、完整性、可用性、攻击复杂度、攻击向量、身份认证等评分,定义漏洞的风险等级。(提供证明材料并加盖公章) | |
| 支持10种以上漏洞类型分类:包括缓冲区溢出、SQL注入、信息泄露、拒绝服务、脚本跨站、代码执行、路径遍历、权限提升、访问控制、其他等。(提供证明材料并加盖公章) | |
| 支持按漏洞风险等级和漏洞类型排序。 | |
| 使用具有DBA权限的数据库用户,执行选定的安全策略实现对目标数据库中存在的配置漏洞进行独立检测。(提供证明材料并加盖公章) | |
| 对目标数据库中所有“OPEN”用户进行弱口令检测。(提供证明材料并加盖公章) | |
| 支持自定义表、字段、账号为敏感词,检测数据库是否存在敏感信息。(提供证明材料并加盖公章) | |
| 提供风险评估报告、漏洞明细报告、配置检测报告、口令检测报告、渗透检测报告。(提供证明材料并加盖公章) | |
| 支持数据库连接测试,对已连接的数据库发送SQL语句功能。 | |
| 支持按系统功能模块恢复出厂设置。 | |
| ▲提供数据库安全管理服务,基于采购人数据库安全现状实施安全防护,强化核心数据库访问控制,协助开展数据库安全检测、审计、风险识别、评估、行为监控等。 |
三、公示期
本需求公示期为3个工作日,自2022年9月26日至2022年9月28日
四、意见反馈方式
潜在供应商如有意见,请将意见加盖单位公章后将扫描件发送至sdswjzfcg@163.com。
联系电话:0531-85656101
国家税务总局山东省税务局
2022年9月23日
解决方案
联系我们
返回顶部