招标
广州医科大学附属第三医院信息化建设项目
金额
-
项目地址
广东省
发布时间
2022/06/13
公告摘要
项目编号zb-10-04f-2022-d-e10529
预算金额-
招标公司中国银行股份有限公司广东省分行
招标联系人邓经理
招标代理机构公诚管理咨询有限公司
代理联系人梁慧姗13622838725
标书截止时间2022/06/20
投标截止时间2022/06/24
公告正文
广州医科大学附属第三医院信息化建设项目
(招标编号:ZB-10-04F-2022-D-E10529)
项目所在地区:广东省,广州市
一、招标条件
本广州医科大学附属第三医院信息化建设项目已由项目审批/核准/备案机关批
准,项目资金来源为其他资金/,招标人为中国银行股份有限公司广东省分行。
本项目已具备招标条件,现招标方式为其它方式。
二、项目概况和招标范围
规模:广州医科大学附属第三医院信息化建设项目
范围:本招标项目划分为1个标段,本次招标为其中的:
(001)广州医科大学附属第三医院信息化建设项目;
三、投标人资格要求
(001广州医科大学附属第三医院信息化建设项目)的投标人资格能力要求:1.
具有独立承担民事责任的能力。
2.遵守法律法规,具有良好的商业信誉和健全的财务会计制度。
3.
在参加我行采购活动前3年内,经营活动中没有重大违法违规记录或涉及环境保
护、劳动用工等方面的违法违规行为,以及没有被我行认定为损害我行权益的
行为。
4.提供的货物、工程或服务符合国家、行业标准及我行要求。
5.具有为我行提供货物、工程或服务所必需的设备和专业技术能力。
6.
截至本项目公告发布之日,未被禁止参与我行采购活动(已解除处罚的除外)
。
7.不接受联合体参加。
8.未经采购方同意不得将本项目以任何方式进行转包或分包。
9.
供应商应主动披露与其存在关联关系的其他供应商。对于存在关联关系的不同
供应商,不得同时参加同一子包采购或者未划分子包的同一项目采购。关联关
系企业包含以下情况之一:
(1)与本单位的单位负责人(含法人)为同一人的其他单位;
(2)与本单位存在直接控股、管理关系的其他单位,含母公司与全资子公司或
由其控股的子公司(但国家控股的企业之间不仅因为同受国家控股而具有关联
关系)。
10.
供应商应主动披露其与我行人员利益关系,对于存在下列情形之一的供应商,
我行保留不接受其参与本项目的权利:
(1)供应商的法定代表人、董事、监事、主要控股股东、实际控制人或拟派项
目团队人员曾经与我行(含辖属分支机构)存在劳动关系;
(2)供应商的法定代表人、董事、监事、主要控股股东、实际控制人或拟派项
目团队人员与中国银行广东省分行财务管理部、广州分行、广州荔湾支行管理
层成员或利益关联人员有夫妻、直系血亲关系。
;
本项目不允许联合体投标。
四、招标文件的获取
获取时间:从2022年06月14日09时00分到2022年06月20日17时30分
获取方式:公诚管理咨询有限公司“诚E招”电子采购交易平台(www.chen
gezhao.com),符合资格的供应商应当在规定时间内前往诚E招电子采购交易平
台完成报名登记并获取竞争性磋商文件。
五、投标文件的递交
递交截止时间:2022年06月24日09时30分
递交方式:广州市东风西路197号广州国际金融大厦附属综合楼三楼纸质文
件递交
六、开标时间及地点
开标时间:2022年06月24日09时30分
开标地点:广州市东风西路197号广州国际金融大厦附属综合楼三楼
七、其他
公诚管理咨询有限公司受中国银行股份有限公司广东省分行的委托,对广州医
科大学附属第三医院信息化建设项目进行竞争性磋商采购。欢迎符合资格条件
的供应商参加。
一、项目基本情况
1、项目编号:ZB-10-04F-2022-D-E10529
2、项目名称:广州医科大学附属第三医院信息化建设项目
3、项目内容及需求:本项目选取1家供应商,为广州医科大学附属第三医院提
供信息化建设,具体服务要求详见磋商文件第二部分《用户需求书》。
二、供应商资格条件:
(一)供应商基本要求
1.具有独立承担民事责任的能力。
2.遵守法律法规,具有良好的商业信誉和健全的财务会计制度。
3.
在参加我行采购活动前3年内,经营活动中没有重大违法违规记录或涉及环境保
护、劳动用工等方面的违法违规行为,以及没有被我行认定为损害我行权益的
行为。
4.提供的货物、工程或服务符合国家、行业标准及我行要求。
5.具有为我行提供货物、工程或服务所必需的设备和专业技术能力。
6.
截至本项目公告发布之日,未被禁止参与我行采购活动(已解除处罚的除外)
。
7.不接受联合体参加。
8.未经采购方同意不得将本项目以任何方式进行转包或分包。
9.
供应商应主动披露与其存在关联关系的其他供应商。对于存在关联关系的不同
供应商,不得同时参加同一子包采购或者未划分子包的同一项目采购。关联关
系企业包含以下情况之一:
(1)与本单位的单位负责人(含法人)为同一人的其他单位;
(2)与本单位存在直接控股、管理关系的其他单位,含母公司与全资子公司或
由其控股的子公司(但国家控股的企业之间不仅因为同受国家控股而具有关联
关系)。
10.
供应商应主动披露其与我行人员利益关系,对于存在下列情形之一的供应商,
我行保留不接受其参与本项目的权利:
(1)供应商的法定代表人、董事、监事、主要控股股东、实际控制人或拟派项
目团队人员曾经与我行(含辖属分支机构)存在劳动关系;
(2)供应商的法定代表人、董事、监事、主要控股股东、实际控制人或拟派项
目团队人员与中国银行广东省分行财务管理部、广州分行、广州荔湾支行管理
层成员或利益关联人员有夫妻、直系血亲关系。
三、本项目磋商文件获取方式:
1、时间:2022年6月14日至2022年6月20日,每天上午9:00至12:00,下午12:00
至17:30(北京时间,法定节假日除外)。
2、地点:公诚管理咨询有限公司“诚E招”电子采购交易平台(www.chengezha
o.com)。
3、方式:符合资格的供应商应当在规定时间内前往诚E招电子采购交易平台完
成报名登记并获取竞争性磋商文件。
(1)“诚E招”注册方式详见【诚E招电子采购交易平台-帮助中心-操作指南-
注册指引】,注册成功后请登录,登陆后可在【常用文件】处下载《投标人&供
应商操作手册》;“报名登记”方式详见《投标人&供应商操作手册》-
“3.1.1”;“购买文件、支付及下载文件”方式详见《投标人&供应商操作手
册》-“3.2”。
(2)在诚E招电子采购交易平台完成购买竞争性磋商文件即完成投标登记。
(3)平台操作若有疑问,可致电客服热线:020-89524219。服务时间8:30-
17:30(法定公休日、法定节假日除外)。
4、售价:免费。
四、响应文件提交
1、截止时间:2022年6月24日9时30分(北京时间)
2、地点:广州市东风西路197号广州国际金融大厦附属综合楼三楼
五、磋商时间
1、时间:2022年6月24日9时30分(北京时间)
2、地点:广州市东风西路197号广州国际金融大厦附属综合楼三楼
六、其他补充事宜
无。
七、代理机构联系方式
项目负责人:梁慧姗
电话:[13622838725];
邮箱:[gczx_zbywb@163.com];
联系地址:[广州市东风西路197号中国银行广东省分行综合楼三楼集中采购中
心];
采购代理机构:公诚管理咨询有限公司
发布时间:2022年6月13日
八、监督部门
本招标项目的监督部门为/。
九、联系方式
招标人:中国银行股份有限公司广东省分行
地址:广州市越秀区东风西路197—199号
联系人:邓经理
电话:/
电子邮件:/
招标代理机构:公诚管理咨询有限公司
地址:广州市天河区天河北路423号远晖大厦8楼
联系人:梁小姐
电话:13622838725
电子邮件:gczx_zbywb@163.com
招标人或其招标代理机构主要负责人(项目负责人):(签名)
招标人或其招标代理机构:(盖章)
广州医科大学附属第三医院信息化建设项目合作一期投入
采购需求书
一、建设背景
根据广州市信息安全等级保护工作协调小组办公室关于进一步规范全市网
络安全等级保护工作的通知,开展广医三院等保2.0升级改造项目建设。
二、建设清单
数据库安全防护与访问控制设备,支持主流的关系型数据
库(Oracle、SQL
server、DB2、Mysql、Sybase、Informix),能够对进出
核心数据库的双向访问流量进行高效精准的解析、访问控
5数据库防火墙套1
制和攻击特征检测,根据内置的各种漏洞攻击特征策略以
及自定义策略实时的对数据库的请求进行精准处理判断,
一旦引擎识别到访问请求属于违规访问或者攻击行为将实
时告警阻断
精准管控员工的上网行为,比如:禁止上班时间访问游戏
、抖音等无关应用、审计上网记录、P2P下载限速、预警
6上网行为管理套1
邮件/办公协同等应用中的敏感内容,防止公司文件泄密
等。
可以给运维管理人员提供网络管理、业务应用管理、机房
7运维系统套1
环境等资源监控系统的集中展现与处理平台
8外联防火墙套2对银行、医保等外联单位接入区域进行安全边界防护
三、具体功能要求及参数指标
1、网络准入与桌面终端管控
货物需求一览表
三、具体功能要求及参数指标
1、网络准入与桌面终端管控
货物需求一览表
产品类别描述套数
1)软硬件一体机,冗余电源,4个千兆网口,2个万兆光口,保修36个月;
2)最大支持5000台设备的管理;
PC终端安全管理平台1
3)内置管理控制中心许可;
4)内置系统所需的操作系统和数据库软件。
1)基于802.1x的LAN接入准入控制
2)基于802.1x的WLAN网络准入控制
3)基于EoU认证的网络准入控制(可解决HUB、VPN、WAN、无线AP、NAT等各种接入方式的准入控制)
网络准入控制(安卓、IOS、MacOS设备、哑终端)许可4)基于客户机认证的准入2500
5)支持终端识别、安全检查、安全隔离、安全修复(如需补丁自动修复,须购买UA-MSP-
X微软补丁模块)、安全接入等网络准入控制流程
6)终端识别支持用户名、终端软硬件ID与交换机端口信息绑定
网络准入控制、终端安全管理技术功能需求清单
66在局域网和NAT环境下,终端用户可发起远程请求。
管理员可发起远程,并支持远程确认模式。远程管理员发起的
67远程请求必须由终端用户进行确认,才能建立远程连接;支持
远程
在锁屏、注销、系统未登录状态下发起远程协助;
模式
在局域网和NAT环境下,支持多对一模式,多个管理员可同时对
68一个终端进行远程协助;支持一对多模式,一个管理员可同时
对多个终端进行远程协助;
远程
69支持对管理员的远程会话录像审计功能;
审计
远程支持带宽自动优化功能;支持远程传送文件功能、支持远程即
70
交互时通讯;
多平
支持远程协助Windows、macOS、Linux终端;并且支持在Windows
71台支
、macOS、Linux终端上发起远程;
持
产品资质产品必须同时具备主机监控与审计系统软件著作权证书、公安
72
资质证书部销售许可证,涉密信息系统产品证书。(需提供证书证明)
2、流量镜像交换机
2、流量镜像交换机
要求模块描述
物理接口支持至少48个SFP+的万兆接口(兼容千兆);220V交流1+1,风扇4+1
吞吐量不低于960bps;
复制性能不低于480Gbps;
去重性能不低于75Gbps,可以扩展至150Gbps;
性能指标关键字匹配性能不低于50Gbps,可以扩展至100Gbps;
支持最大扩展10万条IPv4/IPv6通配五元组规则;
功能要求支持最大扩展1000万条IPv4/IPv6精确五元组规则;
所有端口支持100%线速转发无丢包;
系统架构▲设备硬件架构应为可编程交换芯片+ARM处理器架构(提供承诺函,加盖厂商公章)
流量汇聚/复制可将采集的一路或多路网络流量进行复制并分发给不同的工具处理;可将通过不同网络端口采集的网络流量进行汇聚,并分发给单台工具处理;可将采集的多路网络流量进行汇聚之后同时复制成多份输出给不同的工具处理;
3、入侵防御系统
不工作;支持标准802.3ad
链路聚合;(要求提供产品软件界面截图以证明)
支持通过SNMPV1/2/3进行监视管理,支持标准MIB接口。
支持中、英文操作界面在同一版本上实现切换;
具备公安部颁发的《计算机信息系统安全专用产品销售许可证》
投标产品连续获得3年进入Gartner
▲资质IDPS魔力象限,要求提供证明文件复印件;
所投产品具有中国信息安全认证中心颁发的《中国国家信息安全
产品认证证书》
4、杀毒软件企业版
4、杀毒软件企业版
名称功能模块参数要求
(一)性能要求
1、提供2000个端点三年服务授权;
(二)产品成熟度
1、投标产品曾被Gartner评选为端点防护平台(EPP)
的魔力象限入围厂商。(提供相关资料)
2、投标产品需要通过权威防病毒认证机构VB100的认证,且连续通过
80次或以上。(提供供产品资料截图)
3、经销商投标提供原厂项目授权函及售后服务承诺函,并加盖公章。
(三)安装部署
1、反病毒软件提供多种方式的安装。必须支持网页安装、远程推送安
杀毒软
装、MSI方式安装、共享安装、登录脚本安装、域组策略安装等。
件
2、WINDOWS客户端反病毒软件必须具备一键中英文界面切换功能。
3、在同一个控制台下面一个产品授权可同时支持windows、Linux、mac
、IOS、安卓、塞班等操作系统。(提供产品功能截图和厂商盖章证明)
4、自动识别服务器或桌面系统,提供不同的防护功能。
5、产品必须具备从本地或管理端检测和卸载不兼容软件功能,以避免
系统冲突。
6、管理中心可以通过打包防病毒客户端和其他应用软件安装包(如:W
INRAR、Office等软件),并在需要的时候推送安装到目前Windows操作
系统里。
5、数据库防火墙
6、上网行为管理
7、运维系统
序号功能项功能详细描述
微信告警功能;(系统界面截图证明)
同时支持批量策略管理和单个资源策略管理微
告警策
22调;支持被监控IT资源的批量监控,可以用一条
略管理
策略,管理一组同类型的主机;
根据资源、资源类别、性能指标、时段等统计分
析,自定义各类报表;提供线性图、直方图、数据
报表统
23列表等多种图表格式;报表能够导出为Excel表
计分析
格文件、Html或PDF文件。可通过邮件定时发送到
指定接收人
系统必须采用HTTPS加密页面访问,支持本地用
运维系户+LDAP认证,基于IP地址的访问控制,以及用户
统自身操作日志审计。定时对自身运行状态检测汇总,
安全合生产运行报告。
24
规性及支持用户和角色管理;支持用户、角色、部门、资
管理策源域的设置;不同权限用户对应不同的设备资源
略
组、页面视图,并且具有不同的操作权限,如增
加、删除、编辑等。(系统界面截图证明)
大屏展示美观大气,可自行配置展示内容,如网
大屏展
25络拓扑图、业务逻辑视图、实时告警台、资源利
示功能
用率TopN等多个看板,支持动态幻灯片式轮播。
8、外联防火墙
8、外联防火墙
参数指标具体参数要求
★国产品牌所投产品必须为国产品牌;
硬件要求产品采用1U标准机箱,标配双电源;
接口数配备至少9个千兆电口;1个CON接口,1个USB口;
吞吐量≧4Gbps;
IPsecVPN吞吐率≥1Gbps;
IPS吞吐量≥600Mbps;
性能要求
AV吞吐≥400Mbps;
(提供公开
最大并发连接数≧90万;产品彩页)
每秒新建会话数≥2.2万;
最大IPSECVPN隧道数最大支持≥2000条隧道;
SSLVPN用户数,最大支持≥500个并发用户;
四、售后服务要求
1、硬件部分:流量镜像交换机提供五年、其他硬件提供三年原厂现场免费保
修服务,在保修期内更换的任何配件,须为原设备厂家生产。在产品保修期间,
供应商应提供每年度根据院方的需求定期提供技术巡检服务,巡检内容应包含:
对设备使用状况的调查、升级软件、为机器除尘,故障预防等工作。
2、软件部分:三年免费维保服务。在产品保修期间,定期进行巡检、排除故
障,保障系统稳定运行;根据院方需求提供升级服务。
3、软、硬件质保期验收报告上签字之日起开始计算。
4、培训对象包括系统管理员、管理人员、操作员,系统管理人员培训内容为
系统中涉及的相关技术内容;管理人员培训内容为系统流程和相关管理思想;操
作员为系统的操作培训。
5、对于系统发生故障或问题时,供应商故障响应时间为2
小时内,服务期为7*24小时。
6、供应商在履约过程中,必须遵守国家有关法律的规定,如实提供检查所必
须的材料,不得拒绝。
7、硬件故障如现场不能解决,承诺24小时内修复,超过时限提供备用整机。
(招标编号:ZB-10-04F-2022-D-E10529)
项目所在地区:广东省,广州市
一、招标条件
本广州医科大学附属第三医院信息化建设项目已由项目审批/核准/备案机关批
准,项目资金来源为其他资金/,招标人为中国银行股份有限公司广东省分行。
本项目已具备招标条件,现招标方式为其它方式。
二、项目概况和招标范围
规模:广州医科大学附属第三医院信息化建设项目
范围:本招标项目划分为1个标段,本次招标为其中的:
(001)广州医科大学附属第三医院信息化建设项目;
三、投标人资格要求
(001广州医科大学附属第三医院信息化建设项目)的投标人资格能力要求:1.
具有独立承担民事责任的能力。
2.遵守法律法规,具有良好的商业信誉和健全的财务会计制度。
3.
在参加我行采购活动前3年内,经营活动中没有重大违法违规记录或涉及环境保
护、劳动用工等方面的违法违规行为,以及没有被我行认定为损害我行权益的
行为。
4.提供的货物、工程或服务符合国家、行业标准及我行要求。
5.具有为我行提供货物、工程或服务所必需的设备和专业技术能力。
6.
截至本项目公告发布之日,未被禁止参与我行采购活动(已解除处罚的除外)
。
7.不接受联合体参加。
8.未经采购方同意不得将本项目以任何方式进行转包或分包。
9.
供应商应主动披露与其存在关联关系的其他供应商。对于存在关联关系的不同
供应商,不得同时参加同一子包采购或者未划分子包的同一项目采购。关联关
系企业包含以下情况之一:
(1)与本单位的单位负责人(含法人)为同一人的其他单位;
(2)与本单位存在直接控股、管理关系的其他单位,含母公司与全资子公司或
由其控股的子公司(但国家控股的企业之间不仅因为同受国家控股而具有关联
关系)。
10.
供应商应主动披露其与我行人员利益关系,对于存在下列情形之一的供应商,
我行保留不接受其参与本项目的权利:
(1)供应商的法定代表人、董事、监事、主要控股股东、实际控制人或拟派项
目团队人员曾经与我行(含辖属分支机构)存在劳动关系;
(2)供应商的法定代表人、董事、监事、主要控股股东、实际控制人或拟派项
目团队人员与中国银行广东省分行财务管理部、广州分行、广州荔湾支行管理
层成员或利益关联人员有夫妻、直系血亲关系。
;
本项目不允许联合体投标。
四、招标文件的获取
获取时间:从2022年06月14日09时00分到2022年06月20日17时30分
获取方式:公诚管理咨询有限公司“诚E招”电子采购交易平台(www.chen
gezhao.com),符合资格的供应商应当在规定时间内前往诚E招电子采购交易平
台完成报名登记并获取竞争性磋商文件。
五、投标文件的递交
递交截止时间:2022年06月24日09时30分
递交方式:广州市东风西路197号广州国际金融大厦附属综合楼三楼纸质文
件递交
六、开标时间及地点
开标时间:2022年06月24日09时30分
开标地点:广州市东风西路197号广州国际金融大厦附属综合楼三楼
七、其他
公诚管理咨询有限公司受中国银行股份有限公司广东省分行的委托,对广州医
科大学附属第三医院信息化建设项目进行竞争性磋商采购。欢迎符合资格条件
的供应商参加。
一、项目基本情况
1、项目编号:ZB-10-04F-2022-D-E10529
2、项目名称:广州医科大学附属第三医院信息化建设项目
3、项目内容及需求:本项目选取1家供应商,为广州医科大学附属第三医院提
供信息化建设,具体服务要求详见磋商文件第二部分《用户需求书》。
二、供应商资格条件:
(一)供应商基本要求
1.具有独立承担民事责任的能力。
2.遵守法律法规,具有良好的商业信誉和健全的财务会计制度。
3.
在参加我行采购活动前3年内,经营活动中没有重大违法违规记录或涉及环境保
护、劳动用工等方面的违法违规行为,以及没有被我行认定为损害我行权益的
行为。
4.提供的货物、工程或服务符合国家、行业标准及我行要求。
5.具有为我行提供货物、工程或服务所必需的设备和专业技术能力。
6.
截至本项目公告发布之日,未被禁止参与我行采购活动(已解除处罚的除外)
。
7.不接受联合体参加。
8.未经采购方同意不得将本项目以任何方式进行转包或分包。
9.
供应商应主动披露与其存在关联关系的其他供应商。对于存在关联关系的不同
供应商,不得同时参加同一子包采购或者未划分子包的同一项目采购。关联关
系企业包含以下情况之一:
(1)与本单位的单位负责人(含法人)为同一人的其他单位;
(2)与本单位存在直接控股、管理关系的其他单位,含母公司与全资子公司或
由其控股的子公司(但国家控股的企业之间不仅因为同受国家控股而具有关联
关系)。
10.
供应商应主动披露其与我行人员利益关系,对于存在下列情形之一的供应商,
我行保留不接受其参与本项目的权利:
(1)供应商的法定代表人、董事、监事、主要控股股东、实际控制人或拟派项
目团队人员曾经与我行(含辖属分支机构)存在劳动关系;
(2)供应商的法定代表人、董事、监事、主要控股股东、实际控制人或拟派项
目团队人员与中国银行广东省分行财务管理部、广州分行、广州荔湾支行管理
层成员或利益关联人员有夫妻、直系血亲关系。
三、本项目磋商文件获取方式:
1、时间:2022年6月14日至2022年6月20日,每天上午9:00至12:00,下午12:00
至17:30(北京时间,法定节假日除外)。
2、地点:公诚管理咨询有限公司“诚E招”电子采购交易平台(www.chengezha
o.com)。
3、方式:符合资格的供应商应当在规定时间内前往诚E招电子采购交易平台完
成报名登记并获取竞争性磋商文件。
(1)“诚E招”注册方式详见【诚E招电子采购交易平台-帮助中心-操作指南-
注册指引】,注册成功后请登录,登陆后可在【常用文件】处下载《投标人&供
应商操作手册》;“报名登记”方式详见《投标人&供应商操作手册》-
“3.1.1”;“购买文件、支付及下载文件”方式详见《投标人&供应商操作手
册》-“3.2”。
(2)在诚E招电子采购交易平台完成购买竞争性磋商文件即完成投标登记。
(3)平台操作若有疑问,可致电客服热线:020-89524219。服务时间8:30-
17:30(法定公休日、法定节假日除外)。
4、售价:免费。
四、响应文件提交
1、截止时间:2022年6月24日9时30分(北京时间)
2、地点:广州市东风西路197号广州国际金融大厦附属综合楼三楼
五、磋商时间
1、时间:2022年6月24日9时30分(北京时间)
2、地点:广州市东风西路197号广州国际金融大厦附属综合楼三楼
六、其他补充事宜
无。
七、代理机构联系方式
项目负责人:梁慧姗
电话:[13622838725];
邮箱:[gczx_zbywb@163.com];
联系地址:[广州市东风西路197号中国银行广东省分行综合楼三楼集中采购中
心];
采购代理机构:公诚管理咨询有限公司
发布时间:2022年6月13日
八、监督部门
本招标项目的监督部门为/。
九、联系方式
招标人:中国银行股份有限公司广东省分行
地址:广州市越秀区东风西路197—199号
联系人:邓经理
电话:/
电子邮件:/
招标代理机构:公诚管理咨询有限公司
地址:广州市天河区天河北路423号远晖大厦8楼
联系人:梁小姐
电话:13622838725
电子邮件:gczx_zbywb@163.com
招标人或其招标代理机构主要负责人(项目负责人):(签名)
招标人或其招标代理机构:(盖章)
广州医科大学附属第三医院信息化建设项目合作一期投入
采购需求书
一、建设背景
根据广州市信息安全等级保护工作协调小组办公室关于进一步规范全市网
络安全等级保护工作的通知,开展广医三院等保2.0升级改造项目建设。
二、建设清单
序号 | 产品名称 | 单位 | 数 量 | 功能 |
1 | 网络准入与桌 面终端管控 | 套 | 1 | 对应等保2.0要求,应能够对非授权设备私自联到内部网 络的行为进行检查或限制;应能够对内部用户非授权联到 外部网络的行为进行检查或限制 |
2 | 流量镜像交换 机 | 套 | 1 | 由于有多种安全设备需要通过交换机的流量镜像来采集数 据(包括数据库审计、防统方、态势感知平台探针等), 而现有的交换机不能精确定义多组流量镜像,故需要流量 镜像交换机对镜像流量进行筛选,再输出给不同的安全设 备 |
3 | 入侵防御系统 | 套 | 1 | 用于网络入侵攻击检测和防御的安全产品 |
4 | 杀毒软件企业 版 | 套 | 1 | 反恶意软件 + 防火墙 + 设备控制 + 应用控制 + Web网页控制 + 移动设备管理系统(移动端点安全系统 + 移动设备管理系统)+ 数据保护加密系统 + 系统管理平台(补丁管理系统 + 许可证管理系统 + 软件安装系统 + 镜像管理系统 + 漏洞扫描系统) |
数据库安全防护与访问控制设备,支持主流的关系型数据
库(Oracle、SQL
server、DB2、Mysql、Sybase、Informix),能够对进出
核心数据库的双向访问流量进行高效精准的解析、访问控
5数据库防火墙套1
制和攻击特征检测,根据内置的各种漏洞攻击特征策略以
及自定义策略实时的对数据库的请求进行精准处理判断,
一旦引擎识别到访问请求属于违规访问或者攻击行为将实
时告警阻断
精准管控员工的上网行为,比如:禁止上班时间访问游戏
、抖音等无关应用、审计上网记录、P2P下载限速、预警
6上网行为管理套1
邮件/办公协同等应用中的敏感内容,防止公司文件泄密
等。
可以给运维管理人员提供网络管理、业务应用管理、机房
7运维系统套1
环境等资源监控系统的集中展现与处理平台
8外联防火墙套2对银行、医保等外联单位接入区域进行安全边界防护
三、具体功能要求及参数指标
1、网络准入与桌面终端管控
货物需求一览表
产品类别 | 描述 | 套数 |
终端安全管理平台 | 1)软硬件一体机,冗余电源,4个千兆网口,2个万兆光口,保修36个月; 2)最大支持5000台设备的管理; 3)内置管理控制中心许可; 4)内置系统所需的操作系统和数据库软件。 | 1 |
、IOS、MacOS设备、哑终端)许可 | 1)基于802.1x的LAN接入准入控制 2)基于802.1x的WLAN网络准入控制 3)基于EoU认证的网络准入控制(可解决HUB、VPN、WAN、无线AP、NAT等各种接入方式的准入控制) 4)基于客户机认证的准入 5)支持终端识别、安全检查、安全隔离、安全修复(如需补丁自动修复,须购买UA-MSP- X微软补丁模块)、安全接入等网络准入控制流程 6)终端识别支持用户名、终端软硬件ID与交换机端口信息绑定 | 2500 |
5 | 数据库防火墙 | 套 | 1 | 数据库安全防护与访问控制设备,支持主流的关系型数据 库(Oracle、SQL server、DB2、Mysql、Sybase、Informix),能够对进出 核心数据库的双向访问流量进行高效精准的解析、访问控 制和攻击特征检测,根据内置的各种漏洞攻击特征策略以 及自定义策略实时的对数据库的请求进行精准处理判断, 一旦引擎识别到访问请求属于违规访问或者攻击行为将实 时告警阻断 |
6 | 上网行为管理 | 套 | 1 | 精准管控员工的上网行为,比如:禁止上班时间访问游戏 、抖音等无关应用、审计上网记录、P2P下载限速、预警 邮件/办公协同等应用中的敏感内容,防止公司文件泄密 等。 |
7 | 运维系统 | 套 | 1 | 可以给运维管理人员提供网络管理、业务应用管理、机房 环境等资源监控系统的集中展现与处理平台 |
8 | 外联防火墙 | 套 | 2 | 对银行、医保等外联单位接入区域进行安全边界防护 |
三、具体功能要求及参数指标
1、网络准入与桌面终端管控
货物需求一览表
产品类别描述套数
1)软硬件一体机,冗余电源,4个千兆网口,2个万兆光口,保修36个月;
2)最大支持5000台设备的管理;
PC终端安全管理平台1
3)内置管理控制中心许可;
4)内置系统所需的操作系统和数据库软件。
1)基于802.1x的LAN接入准入控制
2)基于802.1x的WLAN网络准入控制
3)基于EoU认证的网络准入控制(可解决HUB、VPN、WAN、无线AP、NAT等各种接入方式的准入控制)
网络准入控制(安卓、IOS、MacOS设备、哑终端)许可4)基于客户机认证的准入2500
5)支持终端识别、安全检查、安全隔离、安全修复(如需补丁自动修复,须购买UA-MSP-
X微软补丁模块)、安全接入等网络准入控制流程
6)终端识别支持用户名、终端软硬件ID与交换机端口信息绑定
管理模块客户端许可 | 1)设备IP/MAC/主机名快速定位; 2)设备软硬件详细配置信息采集; 3)软硬件配置变更管理; 4)远程协助和远程监控,支持NAT环境; 5)软件分发; 6)节能及非工作时间开机管理; 7)通过WSUS下发微软补丁; 8)业务系统发布门户 | 1500 |
口管理控制及连接外网控制)模块客户端许可 | 1)端口管理控制: 拨号上网、USB大容量存储设备、无线网卡、WiFi热点、红外/蓝牙、双网卡、串/并/1394/PCMCIA口; 2)用户自定义的设备类型; 3) 禁止光驱刻录; 4) 网络连接审计与控制功能。 | 1500 |
动存储介质管理 | 1)移动存储设备注册; 2)移动存储文件操作审计与控制; | 1500 |
泄露基本功能模块客户端许可 | 1)支持业务系统数据安全导出管理; 2)适应B/S(IE、Chrome、FireFox)、C/S、数据查询工具三种访问方式; 3)创建加密的保护专区; 4)文件出O盘自动加密或经审批解密; 5)支持文件授权外发,设置文件打开次数、销毁时间和密码,以及编辑,打印等权限; | 10 |
文档追踪客户端许可 | 1)支持对Office文档(包括doc,docx,ppt,pptx,xls, xlsx)、WPS文档和PDF文档进行标签处理; 2)支持对文档的创建者、流转者、泄密者进行定位和追溯; | 10 |
售后服务 | 技术服务费(实施、维保) | 3年 |
网络准入控制、终端安全管理技术功能需求清单
序号 | 功能 分类 | 功能 模块 | 功能描述 |
1 | 系统 要求 | 硬件 要求 | 支持标准机架式硬件产品,冗余电源;单台设备至少包含4个100 0M电口,. |
2 | 管理 要求 | 支持对所有准入控制系统进行集中管理、统一下发准入策略, 可根据用户要求自定义成报表; | |
3 | 支持统一平台下实现准入控制、桌面管理、补丁管理、移动终端 管理、数据防泄露、数字水印等功能一体化管理。(提供系统截 图证明,并加盖公司公章) | ||
4 | 准入 部署 | 网络 环境 | ▲支持802.1x、Cisco EoU、WebAuth、Portal、端口镜像、策略路由等多种准入控制方 式混合使用,一个系统可同时使用多种准入方式适应复杂网络 |
环境;(提供系统截图证明,并加盖厂商公章) | |||
5 | 准入 客户 端 | 支持Windows、macOS、Linux、Android、IOS客户端; | |
6 | 支持对未安装客户端的电脑通过HTTPS协议的Web与邮件重定向 方式进行自动重定向式引导,提醒并帮助用户自助安装; | ||
7 | 支持客户端自我防护机制,客户端文件、进程、注册表、服务等 都无法停止、修改、删除,且安全模式下,客户端策略依然生效 ; | ||
8 | 支持客户端与企业AD域联动,自动获取终端AD域账号并接入网 络,支持Windows及MacOS操作系统; | ||
9 | 身份 认证 | 身份 验证 方式 | 支持多种身份认证源:支持系统内置账号认证,微软AD域帐号、 LDAP帐号认证,邮件服务器账号认证,支持X.509证书或Ukey认 证,第三方RADIUS服务器认证,第三方扩展认证; |
10 | 网络 准入 控制 | 802.1 x准入 控制 | 支持802.1x有线无线网络环境下主流网络设备的动态VLAN切换 (Guest VLAN、修复VLAN、工作VLAN); |
11 | ▲支持802.1x有线无线网络环境下主流网络设备的ACL动态下 发;(提供系统截图证明,并加盖厂商公章) | ||
12 | 支持802.1x技术下,对指定的免检设备通过MAC地址进行准入 放行操作,并下发权限控制策略; | ||
13 | 支持802.1x技术下,思科、华为交换机直接下发ACL动态规则, 无需在交换机预先配置ACL规则; | ||
14 | 支持802.1x技术下,思科、烽火交换机动态下发ACL规则条目数 不限制; | ||
15 | 支持802.1x技术下,终端通过HUB接入场景,每个终端分别进行 认证; | ||
16 | 支持802.1x技术下,电脑通过串接IP电话连接网络场景,单个 端口下同时支持Data Vlan和Voice Vlan下发; | ||
17 | 支持与思科SDN网络环境集成,实现用户统一认证、动态Vlan授 权和终端安全合规检测,下发用户身份标签实现网络访问控制; | ||
18 | 支持与华为SDN网络环境集成,实现用户统一认证、动态Vlan授 权和终端安全合规检测,下发用户身份标签实现网络访问控制; | ||
19 | 支持与华三SDN网络环境集成,实现用户统一认证、动态Vlan授 权和终端安全合规检测,下发用户身份标签实现网络访问控制; | ||
20 | Porta l准入 控制 | 支持通过Portal/Portal+协议与网络设备或无线AC联动准入, 且支持动态ACL下发、支持HTTPS重定向; | |
21 | 网关 准入 | 支持对指定的免检设备通过IP地址进行准入放行操作,并下发 权限控制策略; |
22 | 控制 | 支持自动判断打印机、网络摄像头、IP电话等,并对这些设备进 行自动入网授权,入网权限按照设备类型分配; | |
23 | 支持对免检设备进行仿冒检查,可检测出通过IP/MAC伪装方 式接入网络的行为,支持基于设备行为特征的仿冒检查,并可 将仿冒设备隔离; (提供系统截图证明,并加盖厂商公章) | ||
24 | 支持自动识别指定AD域、邮件服务器的PC,自动准入发现并下 发权限控制策略; | ||
25 | 准入 安全 检查 | Windo ws安 全检 查 | 支持Windows设备安全检查:防病毒软件检查,终端启用guest 账号检查,终端弱口令账号检查,终端是否加域检查,终端共享 目录检查,终端系统补丁检查,终端系统版本检查,终端服务安 装检查,终端防火墙检测,终端主机名检查; |
26 | Linux 安全 检查 | 支持Liunx操作系统安全检查:防病毒软件检查,软件安装检查 ,进程运行检查,软件、软件组配置检查,终端防火墙检查,终 端主机名检查,屏保检查,系统服务端口检查,系统登录用户检 查; | |
27 | MacOS 安全 检查 | 支持MacOS安全检查:防病毒软件检查,软件安装检查,终端是 否加域检查,进程运行检查,软件、软件组配置检查,终端防火 墙检查,终端主机名检查,屏保检查; | |
28 | 安检 失败 隔离 控制 | 支持终端安全检查失败本地ACL隔离机制,可基于协议、特定地 址、IP范围来控制终端访问权限; | |
29 | 修复 向导 | 支持终端修复向导,内置向导页面内容可编辑,同时也支持url 外链修复页面。 | |
30 | 一键 修复 | 支持Windows终端一键修复,如:软件安装卸载、终端启用guest 账号、终端共享目录、终端系统补丁等;(提供系统截图证明,并 加盖厂商公章) | |
31 | 准入 安全 规则 绑定 | 用户 及接 入控 制点 设备 绑定 | 支持对接入终端、接入用户或部门以及接入控制点设备指定相 应的绑定规则,根据接入终端或用户是否符合接入规则来决定 允许或拒绝其接入; |
32 | 混合 绑定 | 支持用户身份认证凭据(USB- KEY或AD账号)与计算机MAC地址、接入交换机端口号、接入控制 点设备、安全助手生成的主机码和随机码绑定;终端硬件唯一I D、认证用户等进行灵活绑定,并且可支持一对多、一对一、多 对一、多对多绑定; | |
33 | 自主 解绑 | 支持用户自助解绑安全规则,当用户登录设备数量超过限制时 可自行解绑(需提供系统截图证明) |
34 | NAT设 备接 入管 理 | NAT设 备发 现 | 支持NAT识别和检测机制能够及时发现网内私接的小路由器、 无线AP、随身WIFI等NAT设备; |
35 | NAT设 备准 入 | 支持对NAT入网的计算机实现实现基于用户的精细化准入控制 ,每个接入用户都要安装Agent进行认证、安全评估和修复检查 ; | |
36 | 准入 高可 用 | 主备 模式 | 支持管理服务器、DB主备双机运行模式,主机故障,备机自动接 替主机工作,确保高可用性; |
37 | 策略 缓存 | 支持准入控制策略缓存,开机后自动从数据库读取准入控制策 略写到自己的内存,并能够与数据库中的策略实时同步; | |
38 | 用户 缓存 | 支持用户认证信息缓存,当身份认证源服务器中断后,曾经成 功认证过的用户名和密码会缓存在内存中,同时也支持对接多 个身份认证源服务器冗余切换; | |
39 | 一键 逃生 | 支持手动快速逃生方式,可在系统后台一键切换至准入放行模 式; | |
40 | 智能 逃生 | 支持智能应急逃生方式,系统检测到运行中出现的异常和故障 需要能够自动应急:一定时间内连续出现多台终端准入失败自 动临时放行且阈值可自定义(分钟级别),确保企业网络的可用 性; | |
41 | 第三 方逃 生 | 支持轻量级Radius服务器模块部署,当系统出现理故障时,可 以迅速切换到轻量级Radius服务器紧急恢复网络,直接放行所 有网络接入请求; | |
42 | 资产 管理 要求 | 设备 基本 属性 | 支持以设备为维度,展示设备名称、IP、MAC地址、所属用户、所 属部门、连接网络设备、连接网络设备端口、是否安装客户端、 设备是否在线,并可导出系统自检报告; |
43 | 软硬 件资 产管 理 | 支持自动采集终端设备信息,包括:硬件信息、操作系统信息、 软件信息、用户信息、已应用的策略信息、历史IP地址信息等。 | |
44 | 数据 资产 保护 | 支持本地敏感文件强制剪切进安全磁盘保护。无客户端情况下 无法打开加密文件;此功能仅有于部分重要的电脑,只需提供1 0个授权。(提供系统截图证明,并加盖厂商公章) | |
45 | 文档 追踪 | ▲支持根据文档ID定位到唯一的文档;定位到设备ID、用户用 称、ip地址、MAC地址;可根据文档流转ID查询文档的流转过程; 此功能仅有于部分重要的电脑,只需提供10个授权。(提供系统 截图证明,并加盖厂商公章) | |
46 | 非授 权外 联控 制 | 非法 外联 控制 | 支持Windows终端设备的外联接口进行安全管控,包括但不限 于红外、蓝牙、软盘、光盘、串口、并口、网络接口、USB接口以 及其他外联设备; |
47 | 支持禁用终端电脑共享WiFi热点(含windows和macOS) | ||
48 | 支持对无线以太网卡进行禁用、审计、仅在有线网卡工作时禁 用、WiFi白名单、WiFi黑名单控制; | ||
49 | 支持无线SSID仿冒检测; | ||
50 | 支持根据设备的PID、HWID等信息进行禁用和例外;从而达到一 次允许或禁止某个厂家的设备或某一批次的设备; | ||
51 | 支持Linux下U盘禁用,macOS支持禁用U盘并审计、未注册U盘只 读并审计、禁止和审计自建WiFi、禁用和审计无线网卡、WiFi白 名单、蓝牙控制 | ||
52 | 网络 连接 审计 与控 制 | 支持通过PING/TCP/HTTP等方式检测终端是否与互联网连通、 检测终端是否与其他网络连通(含电脑直连方式)、检测终端是 否与特定网络连通; | |
53 | 支持通过在网络内部署监听服务器,检测终端是否与监听服务 器连通; | ||
54 | 支持处置:断网,直到事件恢复或必须由管理员恢复;锁屏,必 须管理员恢复;(提供系统截图证明,并加盖公司公章) | ||
55 | 移动 存储 介质 管理 | U盘注 册 | 支持移动存储设备注册管理,终端用户可在本机自行注册、申 请移动存储设备,并可进一步控制注册移动存储设备只能在指 定的终端或指定的部门使用,防止外来移动存储设备在本单位 使用; |
56 | 批量 注册 | 支持管理员批量注册U盘; | |
57 | 读写 管控 | 移动存储设备读写审计与控制,管理员可定义是否允许读、写 移动存储设备上的文件,并可定义能读、写哪些类型文件; | |
58 | 移动 存储 接入 管理 | 禁用或允许接入移动存储介质、禁用并审计、禁用未注册移动 存储介质、禁用并审计未注册移动存储介质、审计并断网; | |
59 | 文件 操作 管理 | 对未注册移动存储介质、已注册移动存储介质、加密U盘等的读 写操作进行禁用、允许、审计、禁用并审计、备份拷出文件等控 制; | |
60 | 应用 程序 管理 | 对未注册移动存储介质、已注册移动存储介质上的应用程序进 行禁用、允许、审计、禁用并审计等操作; | |
61 | 远程 协助 | 设备 远程 控制 | 支持对设备进行一键远程协助、远程唤醒; |
62 | 支持对设备进行一键远程关闭所属交换机端口; | ||
63 | 支持远程对客户端进行进入特权、退出特权等操作; | ||
64 | 支持远程对客户端进行卸载、重启等操作 | ||
65 | 支持远程获取诊断信息和日志; |
66在局域网和NAT环境下,终端用户可发起远程请求。
管理员可发起远程,并支持远程确认模式。远程管理员发起的
67远程请求必须由终端用户进行确认,才能建立远程连接;支持
远程
在锁屏、注销、系统未登录状态下发起远程协助;
模式
在局域网和NAT环境下,支持多对一模式,多个管理员可同时对
68一个终端进行远程协助;支持一对多模式,一个管理员可同时
对多个终端进行远程协助;
远程
69支持对管理员的远程会话录像审计功能;
审计
远程支持带宽自动优化功能;支持远程传送文件功能、支持远程即
70
交互时通讯;
多平
支持远程协助Windows、macOS、Linux终端;并且支持在Windows
71台支
、macOS、Linux终端上发起远程;
持
产品资质产品必须同时具备主机监控与审计系统软件著作权证书、公安
72
资质证书部销售许可证,涉密信息系统产品证书。(需提供证书证明)
2、流量镜像交换机
描述 | ||
络端口采集的网络流量进行汇聚,并分发给单台工具处理;可将采集的多路网络流量进行汇聚之后同时复制成多份输出给不同的工具处理; |
66 | 远程 模式 | 在局域网和NAT环境下,终端用户可发起远程请求。 | |
67 | 管理员可发起远程,并支持远程确认模式。远程管理员发起的 远程请求必须由终端用户进行确认,才能建立远程连接;支持 在锁屏、注销、系统未登录状态下发起远程协助; | ||
68 | 在局域网和NAT环境下,支持多对一模式,多个管理员可同时对 一个终端进行远程协助;支持一对多模式,一个管理员可同时 对多个终端进行远程协助; | ||
69 | 远程 审计 | 支持对管理员的远程会话录像审计功能; | |
70 | 远程 交互 | 支持带宽自动优化功能;支持远程传送文件功能、支持远程即 时通讯; | |
71 | 多平 台支 持 | 支持远程协助Windows、macOS、Linux终端;并且支持在Windows 、macOS、Linux终端上发起远程; | |
72 | 产品 资质 | 资质 证书 | 产品必须同时具备主机监控与审计系统软件著作权证书、公安 部销售许可证,涉密信息系统产品证书。(需提供证书证明) |
2、流量镜像交换机
要求模块描述
物理接口支持至少48个SFP+的万兆接口(兼容千兆);220V交流1+1,风扇4+1
吞吐量不低于960bps;
复制性能不低于480Gbps;
去重性能不低于75Gbps,可以扩展至150Gbps;
性能指标关键字匹配性能不低于50Gbps,可以扩展至100Gbps;
支持最大扩展10万条IPv4/IPv6通配五元组规则;
功能要求支持最大扩展1000万条IPv4/IPv6精确五元组规则;
所有端口支持100%线速转发无丢包;
系统架构▲设备硬件架构应为可编程交换芯片+ARM处理器架构(提供承诺函,加盖厂商公章)
流量汇聚/复制可将采集的一路或多路网络流量进行复制并分发给不同的工具处理;可将通过不同网络端口采集的网络流量进行汇聚,并分发给单台工具处理;可将采集的多路网络流量进行汇聚之后同时复制成多份输出给不同的工具处理;
/外层VLAN、IPv4/IPv6五元组、DSCP字段、VNI字段、MPLS标签值、L3层协议类型、IP分片报文、TCP Flag、报文长度、L4 Port掩码等;支持基于IPv4/v6通配五元组规则设置,通配五元组规则不少于2k条;支持基于IPv4/IPv6精确五元组匹配规则设置,精确五元组规则不少于16k条; | ||
量策略,支持L2/L3/L4/L7层组合策略规则,例如在一次输入到输出的过程中,可以在入接口匹配IACL规则,然后复制多份流量,最后在出接口再匹配EACL规则,从而满足不同后端工具的需要;(注:需提供相应的截图证明, 并说明多级过滤处理的实现机制) | ||
规则,且内层匹配性能不低于880Gbps;支持带GTP扩展头报文的内层匹配过滤;支持过滤Http Get/Post报文; | ||
况下的内层IP五元组负载均衡;支持弹性Hash的负载均衡保护;支持基于IPv6的流量负载均衡输出; | ||
规则的报文截短,从而实现对匹配规则的报文进行截短处理; | ||
480Gbps;针对MPLS可以支持5层封装的剥离; | ||
TP2/REST等;支持GTP头部包含可选字段 | ||
组合 |
特征匹配;支持报文前部浮动特征匹配; | ||
用层协议类型、或URL、或传输层载荷特征码等 | ||
设置忽略比对MAC、TTL、DSCP、TCP层(Seq、Ack、Checksum)等信息,避免不同位置流量采集所带来的影响(提供承诺函,加盖厂商公章) | ||
持双向的乱序重组功能 | ||
3、入侵防御系统
参数指标 | 具体参数要求 |
国产品牌 | 所投产品必须为国产品牌; |
硬件要求 | 基于高性能硬件平台和专业安全操作系统; |
硬件要求 | 产品采用1U标准机箱,标配双电源;电源功率≤250W; |
存储空间 | 具备≥1T存储空间; |
接口数 | 千兆电口≥6个(含2个管理口);1个CON接口,2个USB口; 通用接口扩展插槽≥2个 最大可扩展千兆电口≥22个,最大可扩展千兆光口≥16个,最大可扩展万 兆光口≥8个; |
网络吞吐量≧27Gbps; | |
IPS吞吐量≥18Gbps; | |
AV吞吐≥7Gbps; | |
最大并发连接数≧400万; | |
每秒新建会话数≥28万; | |
地址转换 | 支持路由、透明、混合和虚拟线模式,支持各种NAT转换功能,包 括源NAT、目的NAT转换; |
会话限制 | 支持针对最大并发会话、每秒新建会话配置限制策略(要求提供 产品软件界面截图以证明) |
支持会话控制功能,要求能够基于源、目的、应用协议三种条件做 会话数限制;(要求提供产品软件界面截图以证明) | |
路由支持 | 支持静态、RIP动态路由协议,支持策略路由;(要求提供产品软件 界面截图以证明) |
支持配置源地址路由、源接口路由、目的接口路由、目的地址路由 ;(要求提供产品软件界面截图以证明) | |
支持基于IP掩码、IP范围、主机名称、IP反掩码、国家/地区建立 地址簿;支持地址簿中排除地址成员配置;支持地址组配置; | |
支持基于tcp、udp单个端口号,或者连续端口号自定义服务簿对 象;支持服务组配置; | |
支持自定义应用对象组配置; | |
IPV6 | 支持基于IPV6协议的DHCP、DNS代理功能配置; |
支持基于IPV6的对象簿、安全策略、NDP协议攻击防护等功能; | |
支持Windows、Android、IOS平台多达几千种以上的应用识别及控 制(要求提供产品软件界面截图以证明) | |
应用特征库支持网络实时更新 | |
▲具备13000种以上攻击特征库规则列表,至少支持基于协议类 型、操作系统、攻击类型、流行程度、严重程度、特征ID等方式的 查询 ;(提供承诺函,加盖厂商公章) | |
支持SQL注入、XSS防护,支持HTTP头域中的URL、Cookie、Referer 、POST检查点配置防护策略;(要求提供产品软件界面截图以证明 ) | |
支持屏蔽攻击者,至少支持阻断攻击者IP或服务两种模式; |
支持基于源地址、目的地址、特征ID等配置白名单; | |
支持只记录日志,检测到攻击事件后记录日志; | |
支持CC攻击检测,支持访问限速、代理限速、自定义请求阈值、爬 虫友好等方法,检测到CC攻击时支持JS Cookie、重定向、访问确认、验证码四种认证方法;(要求提供产品 软件界面截图以证明) | |
支持丢网页关键字内容过滤功能;(要求提供产品软件界面截图 以证明) | |
支持针对QQ、微信、新浪微博等IM种类应用进行上网行为日志审 计;(要求提供产品软件界面截图以证明) | |
具备单独的恶意行为模型库;(要求提供产品软件界面截图以证 明) | |
支持WEB认证功能,可支持本地数据库,以及LDAP、Radius、Tacac s+和Windows AD域联动的第三方认证方式; | |
支持策略命中分析,可基于命中数、首次命中时间、最近一次命中 时间、最近未命中天数等维度进行优化统计;(要求提供所投产品 截图证明) | |
支持基于国家地理位置、URL等元素建立安全策略;(要求提供所 投产品截图证明) | |
支持基于源MAC地址、目的MAC地址的流量方向、动作等做访问控 制策略;(要求提供所投产品截图证明) | |
▲支持2个系统软件并存,并支持系统软件回滚,防止配置不当或 系统故障造成的网络中断,充分保证了系统的稳定性;(要求提供 所投产品截图证明) | |
要求支持在WEB界面上监控显示设备的整机流量、接口流量、每秒 新建数、并发连接数信息;(要求提供所投产品截图证明) | |
支持数据包路径检测,可以自定义新建检测对象,检测对象可基 于接口、源地址、源用户、源端口、目的地址、目的URL、目的端口 、协议、应用等参数配置;(要求提供所投产品截图证明) | |
支持在线抓包功能,可基于源地址、目的地址、协议、应用等参数 配置抓包条件;(要求提供所投产品截图证明) | |
支持系统的日志功能记录并输出安全网关的各种日志信息,包括 事件日志、配置日志、操作日志、网络日志、威胁日志、文件过滤 日志、内容过滤日志、上网行为审计日志、流量日志、云沙箱日志 和调试信息日志;(要求提供所投产品截图证明) | |
支持syslog配置外发第三方日志服务器; | |
支持双机热备,支持A-P、A- A路由和透明模式部署,双机热备会话和配置信息同步,在设备发 生切换时,保证业务不中断; | |
支持主备冗余接口配置,同一时间只有一个接口可用,备用接口 |
不工作;支持标准802.3ad
链路聚合;(要求提供产品软件界面截图以证明)
支持通过SNMPV1/2/3进行监视管理,支持标准MIB接口。
支持中、英文操作界面在同一版本上实现切换;
具备公安部颁发的《计算机信息系统安全专用产品销售许可证》
投标产品连续获得3年进入Gartner
▲资质IDPS魔力象限,要求提供证明文件复印件;
所投产品具有中国信息安全认证中心颁发的《中国国家信息安全
产品认证证书》
4、杀毒软件企业版
名称 | 功能模块参数要求 |
杀毒软 件 | (一) 性能要求 1、 提供2000个端点三年服务授权; (二)产品成熟度 1、 投 标 产 品 曾 被 Gartner 评 选 为 端 点 防 护 平 台 (EPP) 的魔力象限入围厂商。(提供相关资料) 2、 投标产品需要通过权威防病毒认证机构VB100的认证,且连续通过 80次或以上。(提供供产品资料截图) 3、 经销商投标提供原厂项目授权函及售后服务承诺函,并加盖公章。 (三)安装部署 1、 反病毒软件提供多种方式的安装。必须支持网页安装、远程推送安 装、MSI方式安装、共享安装、登录脚本安装、域组策略安装等。 2、 WINDOWS客户端反病毒软件必须具备一键中英文界面切换功能。 3、在同一个控制台下面一个产品授权可同时支持windows、Linux、mac 、IOS、安卓、塞班等操作系统。(提供产品功能截图和厂商盖章证明) 4、自动识别服务器或桌面系统,提供不同的防护功能。 5、产品必须具备从本地或管理端检测和卸载不兼容软件功能,以避免 系统冲突。 6、管理中心可以通过打包防病毒客户端和其他应用软件安装包(如:W INRAR、Office等软件),并在需要的时候推送安装到目前Windows操作 系统里。 |
不工作;支持标准802.3ad 链路聚合;(要求提供产品软件界面截图以证明) | |
支持通过SNMP V1/2/3进行监视管理,支持标准MIB接口。 | |
支持中、英文操作界面在同一版本上实现切换; | |
具备公安部颁发的《计算机信息系统安全专用产品销售许可证》 | |
投标产品连续获得3年进入Gartner IDPS魔力象限,要求提供证明文件复印件; | |
所投产品具有中国信息安全认证中心颁发的《中国国家信息安全 产品认证证书》 |
4、杀毒软件企业版
名称功能模块参数要求
(一)性能要求
1、提供2000个端点三年服务授权;
(二)产品成熟度
1、投标产品曾被Gartner评选为端点防护平台(EPP)
的魔力象限入围厂商。(提供相关资料)
2、投标产品需要通过权威防病毒认证机构VB100的认证,且连续通过
80次或以上。(提供供产品资料截图)
3、经销商投标提供原厂项目授权函及售后服务承诺函,并加盖公章。
(三)安装部署
1、反病毒软件提供多种方式的安装。必须支持网页安装、远程推送安
杀毒软
装、MSI方式安装、共享安装、登录脚本安装、域组策略安装等。
件
2、WINDOWS客户端反病毒软件必须具备一键中英文界面切换功能。
3、在同一个控制台下面一个产品授权可同时支持windows、Linux、mac
、IOS、安卓、塞班等操作系统。(提供产品功能截图和厂商盖章证明)
4、自动识别服务器或桌面系统,提供不同的防护功能。
5、产品必须具备从本地或管理端检测和卸载不兼容软件功能,以避免
系统冲突。
6、管理中心可以通过打包防病毒客户端和其他应用软件安装包(如:W
INRAR、Office等软件),并在需要的时候推送安装到目前Windows操作
系统里。
名称 | 功能模块参数要求 |
(四)病毒查杀 1、具备实时监控病毒、木马、广告软件、恶意插件、隐蔽软件、黑客工 具、风险程序等功能; 2、产品具备内网独立沙箱服务器与端点杀毒的联动功能,在防病毒客 户端不能判断是否为恶意软件的时候,由端点上传到本地沙箱服 务器,由沙箱服务器判定是否为恶意软件后,指导端点做查杀处理 (提供产品功能截图和厂商盖章证明) 3、具备勒索病毒加密回滚还原功能。 该测试还包含不开启杀毒功能 通过主动防御技术拦截未知威胁并且当前时间还原已被加密的文 件 体现安全防护能力和技术领先型 4、漏洞曝露阻挡,自动漏洞利用防护功能 5、产品必须具备iSwift或类似扫描技术,以大幅减少扫描时间和资源 占用。 6、▲防病毒客户端可直接扩展EDR模块,实现网络安全溯源、端点安全 事件调查等EDR的功能,无须另外安装代理和控制台(提供产品功 能截图和厂商盖章证明) 7、必须具备主机入侵防护和IDS/IPS功能,响应可疑网络传输行为,阻 止漏洞和零日攻击。 8、可基于应用程序网络行为创建防火墙规则,可为每个WINDOWS系统 设定不同的规则。 9、产品支持主动防御技术,主动防御使用BSS行为流特征码,检测到恶 意软件活动时可选择操作。 10、产品必须支持反网络攻击,检测到攻击时可将攻击计算机加入到 阻止计算机列表,可自定义阻止的时间。 11、产品必须具备启发式检测功能,可对文件、邮件、网页等进行检测 。 |
名称 | 功能模块参数要求 |
12、支持扫描内存和正在运行的文件,能够扫描和清除内存和文件中 的病毒和蠕虫。 13、支持自动隔离感染文件功能。 (五)端点控制 1、 产品具备允许/禁止应用程序启动功能,防止安装使用未经许可的 应用程序。(提供产品功能截图和厂商盖章证明) 2、 产品提供操作系统和应用程序漏洞检测和修复功能。 3、 产品具备网页控制功能,可以基于网页地址、网页类型、数据类型 、时间和系统账户定制不同策略。 4、 支持按总线类型对外接设备进行精细化控制,包括:串行总线、并 行总线、USB总线等。(提供产品功能截图) 5、 授权指定的程序对文档的创建、读取、修改、删除的权限,防止勒 索病毒对重要文档加密。(提供产品功能截图和厂商盖章证明)。 (六)管理控制 1、采用一个管理中心模式,支持5级以上主从管理架构,避免大型网络 环境下管理中心负载过大,以及分支机构较多情况下的统一管理。 2、虚拟化产品授权方式支持虚拟机和CPU个数两种方式(提供产品功 能截图和厂商盖章证明)。 3、具有病毒日志查询与统计功能,查询机制包括按时间(日、周或任意 时间段)、IP地址、计算机名、病毒名称、病毒类型进行查询。 4、单一防病毒扫描引擎可以跨物理服务器为虚机提供保护,不受物理 服务器的限制,无须在每台物理服务器上部署单独的防病毒引擎, 以节约服务器资源降低性能开销。病毒扫描服务器具备HA能力,当 主扫描服务器出现故障无法工作,备份扫描服务器可以继续进行 病毒防护。(提供产品功能截图和厂商盖章证明) 5、具备客户端快速定位功能,可按IP、IP段、系统信息、计算机感染病 毒情况、安装防病毒程序等进行定位。 |
名称 | 功能模块参数要求 |
6、管理控制中心支持广播消息推送功能。 7、具备网络扫描功能,快速锁定未被保护的电脑。 8、可在指定时间段对管理控制中心的访问流量大小做自定义管理,避 免高峰期杀毒软件对网络流量的过度占用。 9、具备客户端隔离和备份区中文件统一上传至管理控制中心功能,管 理员可统一处理。 10、管理控制中心统一收集漏洞信息,必须支持按漏洞优先级为全部 或单个客户端进行修复。 11、可以建立自动迁移规则,客户端根据条件自动分组,包括IP地址段 ,计算机名、操作系统类型、代理状态、虚拟机类型、已安装应用程 序等。 12、▲一个管理控制中心能够管理包括物理平台(Windows、Linux等操 作系统)、移动平台和虚拟化平台(VMware、Citrix、Hyper- V、OpenStack)在内的所有终端防护产品。(提供集中管理功能截图 和厂商盖章证明) (八)升级更新 1、 在服务期内,提供免费的防病毒库更新和产品升级信息服务。 2、 在国内拥有更新服务器,以保证程序自动选择最快的更新服务器, 使用最快的速度获取最新的防病毒数据库。 3、 支持断点续传,避免因网络中断或系统故障而造成更新失败,重复 更新。 4、 支持防病毒数据库回滚功能,当更新出现故障时,可恢复到上一次 更新时的正常状态。 5、 要求管理控制中心更新后,能够有效、及时、自动地完成全网客户 端的更新。 6、 要求厂商有快速的反应能力,防病毒数据数据库要求常规平均每 个小时更新一次,支持在线或离线下载最新防病毒数据库和组件。 |
名称 | 功能模块参数要求 |
7、 要求厂商防病毒数据库条数至少要达到1500万条以上。 |
5、数据库防火墙
要求项 | 指标参数 |
性能要求 | 2U机架式设备,冗余电源, GE电口≥6(2路bypass),内存≥32G,存储空间≥2T(RAID 1),存储空间支持数据库实例≥16个,SQL峰值处理能力≥25000条/秒 |
支持Oracle、mySQL、SQL Server、DB2、Sybase、informix等主流数据库协议的解析(提供功能截 图证明并加盖厂商公章) | |
支持postgreSQL、Cache、Teradata、HANA等专业数据库协议的解析;( 提供功能截图证明并加盖厂商公章) 支持GaussDB、达梦、人大金仓、南大通用、神舟通用等国产数据库协议 的解析;(提供功能截图证明并加盖厂商公章) 支持主流大数据平台数据库的解析,包括Redis、MongoDB、Hive、Hbase 、Kafka、ES、HBASE等;(提供功能截图证明并加盖厂商公章) | |
支持主流大数据平台数据库的解析,包括Redis、MongoDB、Hive、Hbase 、Kafka、ES、HBASE等(提供功能截图证明并加厂商公章) | |
支持桥接模式、反向代理、桥接代理、路由和旁路阻断部署模式,并均 支持数据风险操作阻断。(提供功能截图证明并加盖厂商公章) | |
支持IPv4 / IPv6网络布署,需提供产品IPv6 Ready Logo认证证书。 | |
支持内置针对Oracle、mySQL、SQL Server、DB2、达梦等各数据库特征的默认防护策略(提供功能截图证明 并加盖厂商公章) | |
支持内置默认的刷库、拖库、撞库的防护策略(提供功能截图证明并加 盖厂商公章) | |
支持基于各类型数据库的客户端语句过滤白名单功能,支持PLSQL Developer、SQL Developer、DBArtisan、SQLPlus、Navicat、SQL Server Management Studio、Console等客户端,超级白名单规则不少于100条。 | |
▲支持TLS链路加密Oracle/MySQL协议的解析和防护。(提供功能截图证 明并加盖厂商公章) | |
支持策略批量导出导入。 | |
支持自定义规则策略配置及管理,可对预设条件进行阻断。预设条件至 少包括访问的时间、执行时长、访问次数、访问客户端IP、客户端操作 系统主机名、MAC地址、客户端操作系统用户名、数据库用户名、数据库 实例、表、列、存储过程等、操作类型:DML、DDL、DCL、SQL语句、SQL 字符串、SQL语句、返回行数、敏感数据状态、关联表个数、响应状态等 (提供功能截图证明并加盖厂商公章) | |
支持SQL注入特征识别,支持基于CVE的SQL注入漏洞检测,支持根据内部 SQL注入特征库进行识别并有效阻断,支持sqlmap注入检测。(提供功能 截图证明并加盖厂商公章) | |
支持包过滤策略,用户可基于五元组进行策略配置(提供功能截图证明 并加盖厂商公章) | |
支持数据库访问二次认证。功能开启后,必须在防火墙页面登录成功后 方可对数据库进行操作(提供功能截图证明并加盖厂商公章) |
要求项 | 指标参数 |
支持虚拟补丁防护,内置多种数据库漏洞补丁,支持特征方式的缓冲区 溢出检测规则以及其它漏洞检测规则,对外来攻击进行识别并有效阻断 支持,Oracle数据库漏洞数量不低于500个。(提供功能截图证明并加盖 厂商公章) | |
支持基于智能学习技术对用户行为进行学习并生成基线规则,支持基线 规则策略与其它防护策略同时生效。支持特征值大小控制。支持特征模 型持续更新、手动修改、例外加入等操作。 | |
支持对基线学习内容的特征展示和修改,特征内容至少包括数据库用户 、源IP、目标数据库 、源应用程序、主机名、系统用户名、表与操作、查询组、特权操作等 。(提供功能截图证明并加盖厂商公章) | |
支持偏离基线的行为检测,包括未授权的源IP特征、偏离基线的主机特 征、操作系统用户特征、源应用程序特征、数据库用户特征、数据库Sch ema特征、表/操作访问特征、查询特征等。支持对于上述基线偏离行为 进行风险级别和应对动作设置,应对动作 支持操作行为阻断并实时告警。(提供功能截图证明并加盖厂商公章) | |
支持日志内容能够详尽的显示访问行为发生的具体特征,包括数据库名 称、操作类型、数据库用户、操作对象、数据库IP、客户端IP、数据库M AC地址、客户端MAC地址、主机名、系统用户名、源应用程序、应用客户 端IP、应用用户、应用URL、客户端端口、捕获时间、执行时长、响应状 态、动作、记录方式、风险等级、匹配策略、SQL内容、SQL结果、SQL模 式、日志ID、数据敏感度、返回行数等 | |
支持根据日志具体特征、策略、风险等级、时间(月、周、日)等进行 条件检索,支持对实时防护数据和历史数据进行监控与查询,并支持结 果导出,支持PDF、EXCEL、WORD等文件格式。 | |
支持日志会话回放功能,还原用户的访问行为。 | |
支持SQL翻译,支持将IP、账号、操作、操作对象等定义为具体的业务行 为以便于提升日志的可读性。 | |
支持以数据源、目标信息和访问信息的方式进行告警日志汇总显示和告 警日志查询,支持以柱状图的形式显示攻击趋势和访问来源趋势。 | |
支持自定义告警的风险等级策略,包括低风险、中风险、高风险、致命 四个等级。 | |
支持根据客户不同业务情况对告警信息进行自定义处理,包括加入基线 、加入虚拟补丁规则例外。 | |
求 | 支持根据内置策略以及数据库漏洞信息,对数据库进行风险配置 及漏洞安全扫描。(提供功能截图证明并加盖厂商公章) |
支持对命中策略的风险生成报表 | |
支持视图、服务器分析、来源分析、数据访问模式、特权操作、其他视 图、基于时间的分析等报表类型的添加和删除操作。支持针对各类型报 表进行详细内容的自定义配置。(提供功能截图证明并加盖厂商公章) | |
支持报表自动生成和自动发送,并可生成定时和周期报表任务。 | |
支持软件byPass,设备运行时软件层面出现异常,自动透传数据库访问 流量,防止单点故障。支持桥接和代理模式下的软ByPass。(提供功能 截图证明并加盖厂商公章) | |
支持硬件byPass,设备断电时,自动透传数据库访问流量,防止单点故 障(提供功能截图证明并加盖厂商公章)。 | |
支持主主、主备、多机负载等高可用模式 | |
支持旁路引流+智能路由模式保障防火墙故障业务无缝切换 |
要求项 | 指标参数 |
支持三权分立,内置系统管理员、安全管理员、审计管理员,以满足合 规要求。支持角色创建,支持针对某些功能页面进行授权。 | |
支持对系统的CPU、内存、磁盘、磁盘读写情况、网络流量进行实时监控 | |
支持审计日志的全量备份 支持的备份方式:手工备份、定时自动备份、自动远程备份; 支持手工方式还原和备份文件手工、自动方式清理(提供功能截图证明 并加盖厂商公章) | |
支持系统时间手工、自动与NTP服务器同步,保证审计日志时间准确性。 | |
支持用户登录安全设置,包括登录次数、超限锁定时间、用户会话超时 等; | |
支持导出文件密码保护。 | |
支持新建用户批量导入。 | |
支持告警配置及多种告警发送方式,至少包括FTP、Email、syslog、SNM P。 | |
支持页面方式进行系统升级并产生记录。 | |
支持系统恢复出厂设置,支持页面关机和重启。 |
6、上网行为管理
项目 | 具体功能要求 | |
性能要求 | 性能参数:网络层吞吐量(大包)≥10Gb,应用层吞吐量≥1. 5Gb,带宽性能≥1Gbps,支持用户数≥6000,包转发率≥132K pps,每秒新建连接数≥14000,最大并发连接数≥600000。 硬件参数:规格≥1U,内存大小≥8G,硬盘容量≥64G + 960G SSD ,电源:单电源,接口≥6千兆电口+2万兆光口SFP。 | |
式 | 多种部署 模式 | 支持网关、网桥、旁路模式部署;网关模式,支持NAT、路由 转发、DHCP、GRE、OSPF等功能 |
多主模式 | 必须支持两台及两台以上设备同时做主机的部署模式; | |
实时网 络状态 | Web访问质 量监测 | ▲针对内网用户的web访问质量进行检测,对整体网络提 供清晰的整体网络质量评级;支持以列表形式展示访问质 量差的用户名单;支持对单用户进行定向web访问质量检 测(需提供产品功能截图证明并加盖厂商公章) |
共享接入管理(防共 享) | 设备能够发现私接路由(或者共享软件等)共享网络的行 为: 1.支持自定义配置终端数量和冻结时间,和添加信任列表 ; 2.支持显示以IP或用户名的维度统计一段时间内的趋势 图。 |
3.支持例外排除功能:如指定例外条件1台PC,2个终端。 当PC或终端数超过例外条件才会被判定为共享。 | ||
应用标签 功能分类 管理 | 支持根据标签选择应用,标签分类至少包含安全风险、高 带宽消耗、发送电子邮件、降低工作效率、外发文件泄密 风险、主流论坛和微博发帖6大类;支持给每个应用自定义 标签;支持根据标签选择一类应用做控制;支持对每一种 应用的定义和解释,帮助客户快速定位应用的分类。(需 提供产品功能截图证明并加盖公章) | |
应用识别 规则库 | 设备内置应用识别规则库,支持超过10000条应用规则数 ,支持超过6500种以上的应用,1000种以上移动应用,并 保持每两个星期更新一次,保证应用识别的准确率;(需提 供产品功能截图证明并加盖厂商公章) | |
SSL加密内 容审计和 过滤 | ▲针对SSL加密的网站、论坛发帖、web邮箱的内容进行关 键字过滤和内容审计;(需提供截图证明并加盖厂商公章) 支持SSL硬件加速卡解密,从而可提高SSL全流量解密性能 ; | |
上网流速 提醒 | 用户指定应用上网流速超过预设阈值后,网关自动提醒该 用户; | |
动态流控 | 支持在设置流量策略后,根据整体线路或者某流量通道内 的空闲情况,自动启用和停止使用流量控制策略,以提升 带宽的高使用率;(需提供产品功能截图证明并加盖公章) | |
流控黑名 单 | 基于“流量”、“流速”、“时长”设置配额,当配额耗尽后,将 用户加入到指定的流控黑名单惩罚通道中(需提供产品功 能截图证明及第三方功能检测报告并加盖公章) | |
Wan- lan流控 | 支持把每一个外网IP作为通道内的用户,使得通道的用户 间公平分配带宽,以及单用户最高带宽属性对外网IP有效 ; | |
日志分 析 | 高性能日 志模式 | 支持日志高性能模式处理,精简冗余日志(需提供产品功 能截图证明并加盖公章); |
趋势报表 | 支持基于时间段/用户/用户组/终端类型/位置等多种维 度的流速趋势报表、流控通道趋势报表、应用行为趋势报 表、网站分类行为趋势报表等(需提供产品功能截图证明 并加盖公章) | |
网络整体 状况报表 | 从带宽健康分析、工作效率分析、离职风险分析、合规性 分析四个大块对网络整体状况进行说明 | |
搜索中心 | 基于时间、用户/组、终端类型、位置、日志类型等条件下 的关键字检索定位功能; 必须支持对日志中OFFICE等附件正文内容关键字的检索; | |
关键字订 阅 | 支持预置几组关键字,当审计日志中出现这些关键字时, 将定期以邮件的方式发送报告给指定邮箱(需提供产品功 能截图证明及第三方功能检测报告并加盖公章) | |
泄密追溯 分析 | 支持分析整体外发风险概括,包括外发敏感文件的总次数 、文件类型、外发通路等状况; | |
支持泄密行为追溯,可以上传文件和关键词,查询有过相 关外发记录的人员,通过相似度匹配给出风险人员排行;( 需提供产品功能截图证明并加盖公章) | ||
用户认证 故障排查 | 支持针对用户认证的故障进行分析,给出错误详情以及处 置建议;(需提供产品功能截图证明及第三方功能检测报 告并加盖公章) | |
支持权限 策略故障 排查 | 支持针对上网权限策略进行检测分析,查看各个应用是否 匹配相关策略 |
7、运维系统
序号 | 功能项 | 功能详细描述 | |
1 | ITSM系 统容量 | ★资源监控模块至少提供对500个网元的性能监 控,包括对交换机、路由器、防火墙、服务器(物 理服务器和虚拟机)、存储等设备性能监控,对云 资源系统、应用系统(数据库、中间件、业务软件 )等的性能监控;在授权的网元数范围内,不对网 络设备或者主机、应用等做分类的网元数限制。 |
序号 | 功能项 | 功能详细描述 | |
对Ping,URL、TCP Port、DNS等简单协议监控,不限制许可数量。( 提供承诺函,并加盖厂商公章) | |||
2 | 系统安装平台必须支持国产操作系统(如麒麟等 );后台采用大型关系型数据库,支持开源数据库 和国产数据库。 | ||
3 | 产品大版本上市时间不短于10年,至少提供资源 监控和流量协议分析产品的软件著作权登记证 书; | ||
4 | 所提供产品具备ITSS信息技术服务工具产品注 册符合性证书(监控管理类、运维服务数据交换 和共享类两个证书) | ||
原厂具备CMMI- L5软件成熟度资质证书,通过质量管理体系- ISO27001,ISO20000认证 | |||
以上资质提供扫描件并加盖原厂公章,原件备查 | |||
IT资源集中监控模块功能 | |||
6 | 系统架 构以及 数据采 集原理 | 支持分布式部署,分级管理,要求系统展示Porta l、数据库、数据汇总、数据采集端可以单独安装 在不同的服务器上,之间采用单一应用端口通信 。 | |
同时支持Agent、Agentless (SNMP、WMI、SSH、Telnet、IPMI、SMI- S或多种协议组合等)等采集方式,灵活适配用户 环境;(系统界面截图证明) | |||
7 | IT基础 资源管 理 | 服务器主机监控包括:支持对Windows、Aix 、Unix以及Linux系列服务器、Vmware、KVM虚拟 化系统状态性能监控。主机监测指标包括但不限 于:硬件层面的机箱温度、CPU、风扇状态、电源 功率,操作系统层面的服务、进程、事件日志、性 能(CPU 利用率、内存、I/O等)、磁盘分区、文件、目录容 量、目录更改等; | |
8 | 网络设备监控包括:支持Cisco 、H3C、华为、Hillstone、深信服、信锐等市场主 流网络设备监控。监控指标包括且不限于:设备C PU、内存利用率、无线AP状态、端口状况、端口实 时流量分析、设备故障或者链路阻断,硬件风扇 、机箱温度、电源状态等;支持真实面板; |
序号 | 功能项 | 功能详细描述 | |
9 | 数据库监控:支持对国产达梦、Oracle(含Oracle RAC)、MySQL、SQL Server、MongoDB、PostgreSQL、Redis等数据库 的监控;监测指标包括但不限于:连接数、缓存命 中率、数据文件大小、表空间大小及剩余空间、 连接会话数、死锁、SQL语句消耗内存排序、数据 库特有进程运行状态等;(界面截图证明系统能 监控的数据库类型) | ||
10 | 存储设备监控:支持对华为、浪潮、IBM、HP、EMC、 NetApp等主流厂家的磁盘阵列、带库、虚拟带库 ,存储设备状态及性能监控,指标包括磁盘状态 、控制器状态、FC端口、ISCSI端口、FCOE端口状 态、带宽利用率、I/O实时数据、存储池总空间、 剩余空间等、利用率等; | ||
11 | 针对Openstack云计算平台监控;支持针对docke r、Kubernetes 等容器平台的监控能力; | ||
12 | 其他应用系统监控包括:对各类J2EE中间件的监 控,包括:Weblogic 、Tomcat、IBM WAS、Apache、Nginx等;对邮件服务器的监控包括 :Exchange、Lotus Domino;以及其他标准应用的监控。 | ||
13 | ▲自定义脚本监控:支持调用预定义脚本来实现 对特定应用的监控,以及执行指定的动作。根据 脚本的返回值做匹配来判断应用状态,支持java ,phyon,php多种语言,支持windows、Linux系统 脚本和批处理文件。(系统界面截图证明) | ||
14 | 网络拓 扑管理 | 自动网络拓扑;通过snmp协议扫描网络,发现设 备之间的连接关系,生成准确的网络拓扑;支持 用直线、折线、弧线多种方式展示设备间连接, 以不同颜色的变化和闪烁效果显示链路及设备 的状态,故障严重级别;提供Visio式网络拓扑界 面编辑功能,支持手工绘制和编辑各种管理拓扑 图功能,可任意替换背景、设备图标、设计拓扑 之间的链接跳转。拓扑上可以以标签形式实时展 示链路流量、设备和应用负载等重要信息,(系统 界面截图证明) | |
15 | 图上的资源支持设置常用链接并配置单点登录, 双击即可跳转到设备的管理web界面;(系统界面 截图证明) |
序号 | 功能项 | 功能详细描述 | |
网络拓扑上提供方便的检测工具,如:Telnet、MI B Browser、Ping、SNMP Test 、Traceroute、web管理等工具。 | |||
提供集中式、有效的IP地址管理,快速定位违反 网络IP规划、IP管理规定的事件。 | |||
17 | 流量协 议分析 | 支持NetFlow,NetStream,sFlow,cFlowd,IPFIX ,端口镜像等流量分析方式,采集网络信息流, 分析展现内部网络流量的准确信息,主要包括: 各种网络流量Top N排名;协议分析:包括分布分析、趋势分析、包流 量异常分析、IP地址与协议端口扫描分析、IP协 议端口密集访问分析 | |
18 | 三维机 房管理 | 从机房的角度进行IT环境的监控与管理,集成展 示机房温湿度、电流电压、UPS、空调、漏水等数 据;支持定制机房巡检报告模板,其内容关联监 控指标,以自动填写巡检报告,报告可输出为exc el等格式文件。 | |
▲真实3D互动展示,通过系统H5页面直接3D建模 而不需要导入第三方模型。机柜可关联设备、告 警等信息,通过颜色变化提醒管理员查看;(系统 界面截图证明,如有需要,甲方有权要求厂商进 行演示验证) | |||
19 | 统一日 志管理 | 采集网络设备、服务器主机及应用日志,集中存 储和关键内容分析,发现日志中的关键信息并及 时告警。支持syslog,snmp- trap,对windows操作系统,采用部署agent方式 把事件转换为syslog方式发送到log server; | |
20 | 事件管 理 | 符合ITU-T X.733标准事件管理功能,支持对事件的确认、取 消确认、评注等操作。通过事件一览可以看到所 有IT资源产生的故障事件,包括事件名称、事件 级别、优先级、事件来源、产生时间等; | |
具备事件关联性分析,通过自动分析或者手工建 立资源之间的逻辑关系,如核心交换机Down机造 成关联设备无法访问,则只需要发送核心设备的 故障信息即可。从而减少不必要的告警,压缩事 件噪音(系统界面截图证明) | |||
21 | 告警管 理 | 支持自定义故障告警的信息模板,提供多样化的 告警方式,如短信、邮件、桌面、声光,必须提供 |
序号功能项功能详细描述
微信告警功能;(系统界面截图证明)
同时支持批量策略管理和单个资源策略管理微
告警策
22调;支持被监控IT资源的批量监控,可以用一条
略管理
策略,管理一组同类型的主机;
根据资源、资源类别、性能指标、时段等统计分
析,自定义各类报表;提供线性图、直方图、数据
报表统
23列表等多种图表格式;报表能够导出为Excel表
计分析
格文件、Html或PDF文件。可通过邮件定时发送到
指定接收人
系统必须采用HTTPS加密页面访问,支持本地用
运维系户+LDAP认证,基于IP地址的访问控制,以及用户
统自身操作日志审计。定时对自身运行状态检测汇总,
安全合生产运行报告。
24
规性及支持用户和角色管理;支持用户、角色、部门、资
管理策源域的设置;不同权限用户对应不同的设备资源
略
组、页面视图,并且具有不同的操作权限,如增
加、删除、编辑等。(系统界面截图证明)
大屏展示美观大气,可自行配置展示内容,如网
大屏展
25络拓扑图、业务逻辑视图、实时告警台、资源利
示功能
用率TopN等多个看板,支持动态幻灯片式轮播。
8、外联防火墙
参数指标 | 具体参数要求 |
★国产品牌 | 所投产品必须为国产品牌; |
硬件要求 | 产品采用1U标准机箱,标配双电源; |
接口数 | 配备至少9个千兆电口;1个CON接口,1个USB口; |
吞吐量≧4Gbps; | |
IPsec VPN吞吐率≥1Gbps; | |
IPS吞吐量≥600Mbps; | |
AV吞吐≥400Mbps; | |
最大并发连接数≧90万; | |
每秒新建会话数≥2.2万; | |
最大IPSEC VPN隧道数最大支持≥2000条隧道; | |
SSL VPN用户数,最大支持≥500个并发用户; |
序号 | 功能项 | 功能详细描述 | |
微信告警功能;(系统界面截图证明) | |||
22 | 告警策 略管理 | 同时支持批量策略管理和单个资源策略管理微 调;支持被监控IT资源的批量监控,可以用一条 策略,管理一组同类型的主机; | |
23 | 报表统 计分析 | 根据资源、资源类别、性能指标、时段等统计分 析,自定义各类报表;提供线性图、直方图、数据 列表等多种图表格式;报表能够导出为Excel表 格文件、Html或PDF文件。可通过邮件定时发送到 指定接收人 | |
24 | 运维系 统自身 安全合 规性及 管理策 略 | 系统必须采用HTTPS加密页面访问,支持本地用 户+LDAP认证,基于IP地址的访问控制,以及用户 操作日志审计。定时对自身运行状态检测汇总, 生产运行报告。 | |
支持用户和角色管理;支持用户、角色、部门、资 源域的设置;不同权限用户对应不同的设备资源 组、页面视图,并且具有不同的操作权限,如增 加、删除、编辑等。(系统界面截图证明) | |||
25 | 大屏展 示功能 | 大屏展示美观大气,可自行配置展示内容,如网 络拓扑图、业务逻辑视图、实时告警台、资源利 用率TopN等多个看板,支持动态幻灯片式轮播。 |
8、外联防火墙
参数指标具体参数要求
★国产品牌所投产品必须为国产品牌;
硬件要求产品采用1U标准机箱,标配双电源;
接口数配备至少9个千兆电口;1个CON接口,1个USB口;
吞吐量≧4Gbps;
IPsecVPN吞吐率≥1Gbps;
IPS吞吐量≥600Mbps;
性能要求
AV吞吐≥400Mbps;
(提供公开
最大并发连接数≧90万;产品彩页)
每秒新建会话数≥2.2万;
最大IPSECVPN隧道数最大支持≥2000条隧道;
SSLVPN用户数,最大支持≥500个并发用户;
▲必须支持NAT的端口扩展技术,突破传统单个公网地址65535个 端口的瓶颈,而可以达到更大值(需提供功能截图);必须支持多 对多的NAT,且公网地址池可选择逐一使用和同时使用两种模式; 服务器负载均衡为了保障内网服务器安全,要求所投产品支持服 务器负载均衡,可对服务器回话状态进行监控,支持服务器健康 检查和服务器回话保护,支持回话保持,支持加权哈希、加权轮训 、加权最小会话数等算法。(需提供功能截图) | |
支持NAT转换扩展技术,使每个公网IP地址支持的NAT转换端口突 破65535端口的限制,支持NAT资源地址池可用性检测; | |
支持通过ping、tcp、dns等方式进行链路有效性探测,可根据探测 结果使相应接口关闭和路由信息失效;(要求提供产品软件界面截 图以证明) | |
支持通过ping、tcp、dns等方式进行NAT探测,支持基于指定源IP 进行探测,支持对NAT转换后的地址是否有效进行探测; | |
会话限制 | 支持针对最大并发会话、每秒新建会话配置限制策略(要求提供 产品软件界面截图以证明) |
支持会话控制功能,要求能够基于源、目的、应用协议三种条件做 会话数限制;(要求提供产品软件界面截图以证明) | |
支持静态、ISIS、OSPF 、BGP 、RIP等动态路由协议,支持逆向路由功能,支持策略路由,支持IS P路由并内置多运营商路由表,支持基于应用程序类型进行选路 的策略路由;(要求提供产品软件界面截图以证明) | |
支持虚拟路由器功能,可以划分出多个虚拟路由器,每个虚拟路 由中拥有独立的路由表,实现不同区域的路由隔离;(要求提供产 品软件界面截图以证明) | |
支持配置源地址路由、源接口路由、目的接口路由、目的地址路由 ;(要求提供产品软件界面截图以证明) | |
支持基于IP掩码、IP范围、主机名称、IP反掩码、国家/地区建立地 址簿;支持地址簿中排除地址成员配置;支持地址组配置; | |
▲支持基于安全域、源IP地址、目的IP地址、特定协议类型、应用、角色 或用户等进行会话数量限制,并且支持建立会话速率限制(提供功能截图 证明);支持对Policy策略首次命中时间、最近一次命中时间、最近未命 中天数的统计和记录(提供功能截图证明);策略的服务元素支持直接配 置端口和协议,无需单独定义服务对象(提供功能截图证明) | |
支持基于tcp、udp单个端口号,或者连续端口号自定义服务簿对 象;支持服务组配置; | |
支持自定义应用对象组配置; | |
支持域名簿配置;支持域名簿导入功能; | |
IPV6 | 支持基于Ipv6的目的路由、源路由、RIPng路由、OSPFv3路由、BGP 路由、策略路由、ISIS路由等路由配置 |
支持基于IPV6协议的DHCP、DNS代理功能配置; | |
支持基于IPV6的对象簿、安全策略、NDP协议攻击防护等功能; | |
链路负载均衡基Outbound 相关功能 PBR 支持 ECMP、时间以及权重、支持内置 ISP 路由和动态探测;Inbound 相关功能支持 SmartDNS(支持DNS A 记录解析)、支持动态探测;可根据带宽占用及时延情况自动进行 链路切换; | |
链路负载均衡支持通过ARP、Ping、DNS等方法来检测链路状态;( 要求提供产品软件界面截图以证明) | |
支持基于目的NAT技术实现服务器负载均衡技术;(要求提供产品 软件界面截图以证明) | |
支持Windows、Android、IOS平台多达4000种以上的应用识别及控 制(要求提供产品软件界面截图以证明) | |
支持应用过滤器便于配置和维护,至少支持6个维度进行过滤,包 括:名称、类别、子类、所用技术、风险等级、特性;其中应用技术 至少包括:基于浏览器、客户端服务器、网络协议、点对点;风险级 别包括:1、2、3、4、5总共5个等级;特性包括:能够传输文件、已被 大规模使用、大量消耗带宽、易逃逸、易被滥用、被其它应用使用 、存在已知漏洞、被恶意软件利用;(要求提供产品软件界面截图 以证明) | |
应用特征库支持网络实时更新 | |
支持GRE、GRE over IPSec、IPSEC VPN、SSL VPN、L2TP功能; | |
SSLVPN支持安卓、IOS、MAC OS、windows、linux等平台的客户端,提供官网下载证明材料; | |
支持对登录SSL VPN的用户端系统进行端点安全检查,至少包括指定文件、指定进 程、系统补丁、浏览器版本、杀毒软件等方面;(要求提供产品软件 界面截图以证明) | |
支持国密算法SM 2/3/4(提供产品界面截图有效) | |
支持丢网页关键字、WEB外发信息控制、邮件过滤、应用行为控制 等内容过滤功能;(要求提供产品软件界面截图以证明) | |
对通过HTTP、FTP、SMTP、以及POP3协议传输的文件进行检测,对符 合过滤条件的文件进行控制。(要求提供产品软件界面截图以证 明) | |
支持基于文件名称、文件大小、文件类型、协议、动作等参数配置 文件过滤策略;(要求提供产品软件界面截图以证明) | |
支持针对QQ、微信、新浪微博等IM种类应用进行上网行为日志审 计;(要求提供产品软件界面截图以证明) |
支持WEB认证功能,可支持本地数据库,以及LDAP、Radius、Tacacs +和Windows AD域联动的第三方认证方式; | |
支持策略命中分析,可基于命中数、首次命中时间、最近一次命中 时间、最近未命中天数等维度进行优化统计;(要求提供所投产品 截图证明) | |
支持基于国家地理位置、URL等元素建立安全策略;(要求提供所 投产品截图证明) | |
▲运维管 理 | 支持2个系统软件并存,并支持系统软件回滚,防止配置不当或系 统故障造成的网络中断,充分保证了系统的稳定性;(要求提供所 投产品截图证明) 支持10个配置文件并存,并支持配置回滚;(要求提供所投产品截 图证明) 提供SaaS模式的安全运维APP:通过手机可以第一时间获知设备的 实时CPU、内存、流量趋势,以及应用、用户排名、威胁信息等安全 状态、 帮助快速定位问题、安全可视化实时呈现。提供App下载URL。该AP P不能是VPN 客户端软件。该APP不限制使用用户数;(要求提供所投产品截图 证明) 要求支持在WEB界面上监控显示设备的整机流量、接口流量、每秒 新建数、并发连接数信息;(要求提供所投产品截图证明) 支持数据包路径检测,可以自定义新建检测对象,检测对象可基 于接口、源地址、源用户、源端口、目的地址、目的URL、目的端口、 协议、应用等参数配置;(要求提供所投产品截图证明) 支持在线抓包功能,可基于源地址、目的地址、协议、应用等参数 配置抓包条件;(要求提供所投产品截图证明) |
支持系统的日志功能记录并输出安全网关的各种日志信息,包括 事件日志、配置日志、操作日志、网络日志、威胁日志、文件过滤 日志、内容过滤日志、上网行为审计日志、流量日志、云沙箱日志 和调试信息日志;(要求提供所投产品截图证明) | |
支持syslog配置外发第三方日志服务器; | |
支持基于应用的实时和历史的流量和并发会连接数统计功能,支 持以趋势图方式统计每种应用一天内的流量和并发会话趋势; | |
支持本地报表功能,报表可以提供对安全威胁、应用流量和用户 流量的分析统计; | |
支持双机热备,支持A-P、A- A路由和透明模式部署,双机热备会话和配置信息同步,在设备发 生切换时,保证业务不中断; | |
支持主备冗余接口配置,同一时间只有一个接口可用,备用接口 |
不工作;支持标准802.3ad 链路聚合;(要求提供产品软件界面截图以证明) | |
支持通过SNMP V1/2/3进行监视管理,支持标准MIB接口。 | |
支持中、英文操作界面在同一版本上实现切换; | |
具备公安部颁发的《计算机信息系统安全专用产品销售许可证》( 增强级) | |
投标厂商应为国家信息安全漏洞库二级以上技术支撑单位,要求 提供相关证明文件; | |
投标产品连续获得八年进入Gartner防火墙魔力象限,要求提供 证明文件复印件;要求投标品牌连续五年在IDC防火墙或UTM市场 分析报告中,排名前三,提供证明材料 | |
投标产品具备国家保密局涉密信息系统安全保密测评中心颁发《 涉密信息系统产品检测证书》(千兆),要求提供证书文件复印件 并加盖原厂公章有效; | |
所投标防火墙产品具备中国网络安全审查技术与认证中心颁发的 IT产品信安全认证证书EAL4增强级(提供证明文件) | |
投标产品通过国家无线电监测中心检测中心浪涌(冲击)抗扰度(4 KV)测试项目,要求出具国家无线电监测中心检测中心委托测试 报告复印件; | |
所投防火墙厂商参与了中国信息通信研究院与 SDN/NFV/AI标准 与产业推进委员会组织的SD-WAN Ready测试项目,并获得SD-WAN Ready证书,提供证明材料 | |
支持第三方华为、中兴SDN控制器,具备兼容性认证资料,提供证 明文件 | |
所投标防火墙产品具备CVE兼容性认证证书,提供兼容性证明证 书; | |
投标品牌为微软安全响应中心发起的MAPP计划成员,提供微软官 网截图 |
四、售后服务要求
1、硬件部分:流量镜像交换机提供五年、其他硬件提供三年原厂现场免费保
修服务,在保修期内更换的任何配件,须为原设备厂家生产。在产品保修期间,
供应商应提供每年度根据院方的需求定期提供技术巡检服务,巡检内容应包含:
对设备使用状况的调查、升级软件、为机器除尘,故障预防等工作。
2、软件部分:三年免费维保服务。在产品保修期间,定期进行巡检、排除故
障,保障系统稳定运行;根据院方需求提供升级服务。
3、软、硬件质保期验收报告上签字之日起开始计算。
4、培训对象包括系统管理员、管理人员、操作员,系统管理人员培训内容为
系统中涉及的相关技术内容;管理人员培训内容为系统流程和相关管理思想;操
作员为系统的操作培训。
5、对于系统发生故障或问题时,供应商故障响应时间为2
小时内,服务期为7*24小时。
6、供应商在履约过程中,必须遵守国家有关法律的规定,如实提供检查所必
须的材料,不得拒绝。
7、硬件故障如现场不能解决,承诺24小时内修复,超过时限提供备用整机。
返回顶部