天津市地震局综合网络安全系统招标技术要求.docx
《天津市地震局综合网络安全系统招标技术要求.docx》由会员分享,可在线阅读,更多相关《天津市地震局综合网络安全系统招标技术要求.docx(82页珍藏版)》请在冰点文库上搜索。
天津市地震局综合网络安全系统招标技术要求
一、 天津市地震局综合网络安全系统招标技术要求:
1、所有产品都必须具备中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》;
2、鉴于安全类产品牌投众多,性能差异较大,因此投标产品必须列出所投产品与招标要求差异,对于承诺可实现指标在实际工作中达不到要求的,甲方有权更换或退货;
3、此包产品共涉及10项内容,其中第6项防病毒软件为现有瑞星软件升级,根据多重防毒要求,因此第10项产品――网络防毒墙的杀毒模块不能采用瑞星系统;
4、产品的1、2、3项必须为同一品牌;
5、此包部分产品部署拓扑图为:
6、根据上图要求,系统中的IPS系统必须各具备独立2路控制功能(或实现4路虚拟IPS技术),从而实现对DMZ服务器、内网服务器及外网出口的防护。
7、防火墙产品必须提供虚拟防火墙功能,不能用安全域功能代替。
序号
名称
描述
数量
单价
小计
1
防火墙
(可为插卡式防火墙)
采用专用硬件架构与专用安全操作系统
至少10个10/100/1000M接口(如为插卡式可采用交换机端口),扩展接口能力不低于16个千兆端口
吞吐量≥5Gbps
最大连接数≥180万
每秒新建连接数≥50000
支持VPN技术,包含2000VPN隧道许可
支持不少于256个虚拟防火墙
支持基于源IP地址、目的IP地址、源端口、目的端口、时间、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行访问控制;
支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤,支持URL、关键字过滤
支持对移动代码如Javaapplet、Active-X、VBScript、Jscript、Javascript的过滤
动态端口支持协议:
H.323、SIP、、SQL*NET、MMS、T(msrpc,dcerpc)等
支持MSN、QQ、新浪UC、阿里旺旺、googletalk等InstantMessenger通信,并可以对于这些应用进行登陆限制,支持根据登陆等帐号进行登陆限制
支持对MSN,QQ等IM应用通信的连接统计,支持对指定IP地址的IM应用通信的连接统计
可限制BT,eMule,eDonkey、讯雷等多种P2P应用,可以统计P2P流量和连接数,可以控制P2P流量的带宽
可屏蔽受保护主机/服务器系统信息,可以替换服务器(、POP3、Telnet,HTTP)的BANNER信息
可实现静态或自动的IP/MAC绑定
有完善的地址转换能力,可以支持正向、反向地址/端口转换、双向地址转换等,能够提供完整的地址转换解决方案
支持静态和动态路由,动态路由包括:
RIP、OSPF、BGP动态路由协议;静态路由协议支持基于源地址、目的地址、METRIC值、网络接口的路由
支持链路聚合功能,实现多条链路的负载均衡及备份
在透明、路由、混合模式下支持主备模式(A/S),主主模式(A/A),两种模式都能支持防火墙配置的自动同步
支持对服务器的负载均衡,支持轮询、加权轮询、最少连接、加权最少链接、基于源IP地址HASH调度等多种负载均衡方式
支持DHCPSERVER/CLIENT/RELAY功能
支持告警信息分类、分级;当发生安全事件的时候支持以邮件、NETBIOS、声音、SNMP、控制台等方式告警
可以提供多种方式的管理界面,包括GUI、WEBUI、CONSOLE、SSH、TELNET等
远程集中监控管理功能:
支持远程集中管理监控功能,在同一个管理平台下能够对所管理网络中所有的防火墙设备进行管理和监控,提供远程升级和配置变更方法,非常方便用户对防火墙软件版本和配置变更的管理
支持远程T、HTTP等方式升级
日志分级、分类;系统要能够提供多种日志存储方式,可以缓存在设备本地,也可以将日志以专用格式/Welf/Syslog等多种日志格式的输出;具有完善的日志收集、传输、存储、分析、报告等解决方案
如为独立产品需提供冗余电源
三年质保与服务(含升级费用)
2
2
入侵防系统
(可为插卡产品或防火墙系统功能模块)
开启全部的安全策略后吞吐量≥1Gbps
支持IPS模式、IDS模式
最大并发连接≥1,500,000
监控能力:
至少具备独立2路IPS监控能力或具备虚拟IPS功能
能对当前主流的拒绝服务(DOS/DDOS)、蠕虫(worm)、后门(Backdoor)、木马(Trojan)、间谍软件(Spyware)、Web攻击(WebAttack)以及自定义攻击拒绝服务做检测和阻断
响应方式支持允许Permit、阻断Block、报警Alert、限制流量RateLimit、日志Log
支持3000种以上的漏洞库
能够控制P2P应用、IM游戏等应用进行跟踪和控制、能对设备的异常流量进行分析、阻断
能够显示实时流量信息、流量大小、字节大小等信息、能够区分Out和In的流量
支持按照时间、攻击类型、IP地址等多种方式的统计报表;支持自定义组合报表功能、支持Top10攻击者、被攻击者统计报表、支持选定时间内网络使用、网络攻击等情况统计报表、支持报表输出,输出格式可以为PDF、DOC、HTML、TXT等格式
支持冗余部署——可工作在Active/Active、Active/Passive模式
三年系统与漏洞库升级
如为独立产品需提供冗余电源
三年质保与服务
2
3
SSL VPN
4个10/100M自适应RJ-45接口
2个10/100/1000M自适应RJ-45接口
加密吞吐量(MB)≥80Mbps
SSL新建/拆除速率(TPS)≥120次/秒
并发用户数(Cus)≥200
在线用户并发连接数量≥2000
延时(ms)≤0.5ms
MTBF(小时)≥10万
200个License
认证方式:
LOCAL、RADIUS、LDAP、AD、证书、双因子
具备动态授权功能
三年质保与服务(含升级费用)
1
4
USB KEY
可配置第3项SSL VPN实现认证功能
234
5
漏洞扫描器
机架式设备
至少2个10/100/1000M网络接口
并发扫描IP地址≥30个
可扫描IP数量不低于1000个
扫描任务并发数≥10个
产品可扫描的漏洞应不小于2700,漏洞库与国际CVE标准兼容
具备分布式部署及信息共享能力
1.漏洞知识库从操作系统、服务、应用程序和漏洞严重程度多个视角进行分类;
2.支持对漏洞信息的检索功能,可以从其中快速检索到指定类别或者名称的漏洞信息;
3.能够扫描常见的网络安全客户端软件(如常见的杀毒软件)的安全漏洞;
4.能够扫描常见的应用软件漏洞(如IE浏览器、MSN、MozillaFirefox、YahooMessenger、MSOffice、多媒体播放器、VMware虚拟机和各种P2P下载软件)的安全漏洞;
5.全中文的规则库提供详细的漏洞描述和详尽的解决方案,用户可以直接点击里面的补丁链接升级系统;
6.漏洞知识库和漏洞检测规则支持手动升级和自动升级,支持本地升级和在线升级,在线升级支持代理方式升级;
7.系统内置不同的策略模板如针对Unix、Windows操作系统等模板,同时允许用户定制扫描策略;用户可定义扫描范围、扫描使用的参数集、扫描并发主机数等具体扫描选项;
8.可以在扫描过程中人工指定包括SNMP、SMB等常见协议的登陆口令,登陆到相应的系统中对特定应用进行深入扫描;
9.具备单独口令猜测扫描任务,支持多种口令猜测方式,包括利用Telnet、Pop3、Ftp、WindowsSMB、SQLServer、MySQL、Oracle、Sybase等协议进行口令猜测,允许外挂用户提供的字典档;
10.允许管理员配置扫描通知,在扫描任务运行开始时向被扫描的资产发送扫描通知;
11.能够对扫描结果数据进行在线分析,能够根据端口、漏洞、BANNER信息、IP地址等关键字对主机信息进行查询并能将查询结果保存;
12.支持高级数据分析,能够进行历史数据查询、汇总查看、对比分析等,方便进行多个扫描任务或多个IP风险对比,能够在多个历史任务中,很快的检索到需要关注的资产IP点;
13.对扫描出来的资产的安全漏洞能够发送邮件给对应的资产管理员,通知其限期内修复漏洞并自动对修复进行验证,实现对漏洞的有效跟踪和验证;
14.能够把资产管理和组织结构或者网络拓扑结构紧密结合,支持通过Excel文件将地址导入到资产树功能.
15.资产管理能够将资产的重要性量化,并且通过形象的图示将资产的风险值和的风险等级直观地展现出来,并且能够将节点、风险及对应责任人相关联。
具备漏洞修复功能,可与WSUS系统联动
三年质保与服务
三年漏洞知识库升级费
1
6
防病毒软件
现有瑞星网络版软件升级
具备20台windows服务器
40台Linux服务器
250台用户终端的整体病毒防护功能
含三年技术支持及升级服务费
1
7
网页防篡改系统
支持Windows、Linux和Unix(Solaris/HP-UX/AIX)
支持IIS、Apache、J2EE(Weblogic/Websphere)
杜绝网站向外发送被篡改的页面内容;
检测模块内嵌于Web服务器软件中;
可检测静态页面/动态脚本/多媒体文件;
可以按不同容器选择待检测的网页;
网页发布同时自动更新水印值;
网页发送时比较网页和水印值;
能够防范SQL注入式攻击;
支持断线/连线状态下篡改检测;
支持连线状态下网页恢复;
网页篡改时多种方式报警;
能够保护动态脚本文件;
同步和断线时都不影响检测;
不影响原有的网页发布系统;
自动检测文件系统任何变化;
文件变化自动同步到多个Web服务器;
支持虚拟目录/虚拟主机;
可选支持双机冗余部署。
上传文件速度≤5ms(50K文件)
篡改检测时间:
访问时实时检测
篡改恢复时间≤6ms
至少10家省部级以上同类型操作系统政府网站用户成功部署案例
含1台LINUX环境WWW服务器防护许可
含三年技术支持及升级服务费
2
8
综合网络安全管理平台
管理范围:
支持网络设备、安全设备、主机、数据库系统、中间件、各类服务和应用的日志收集与管理(如有License限制,则可管理节点数不低于150个)。
必须能够对此次招标的防火墙、防毒墙、IPS和SSLVPN设备进行统一安全管理
日志审计对象:
支持对各类网络设备(路由器,交换机)、安全设备(包括防火墙,VPN,IDS,IPS,防病毒网关)、安全系统(Symantec、瑞星、江民、微软ISA、Windows防火墙)、主机操作系统(包括windows,solaris,linux,AIX,HP-UX)、数据库以及各种应用系统(邮件,web,)的日志、事件、告警等安全信息进行全面的审计
日志采集方式:
具备强大的数据收集能力,通过SNMP、Syslog、数据库、文件、NetFlow等多种方式完成数据收集功能。
支持软件Agent方式,硬件网络探测器方式采集日志
日志实时关联分析和统计:
系统具备日志实时关联分析功能,每秒实时关联分析不低于15000条事件,可以通过日志分析对来自企业和组织所有的日志进行实时查询、分析和统计,可快速识别安全事故。
对于分析结果可以通过柱图、饼图、曲线图等形式展示
事件可视化展现:
除了能够将事件以柱图、饼图等图形统计事件信息外,还能够通过定位IP地址,通过事件攻击图展示网络安全态势,并支持雷达图反映当前事件流量。
事件挖掘与追踪:
系统提供事件追踪工具,管理员通过事件追踪工具可以对某条感兴趣的日志中的源IP地址、目的IP地址、或者目的端口进行相关性日志检索
趋势分析:
通过采集NetFlow数据,对最近一段时间的网络流量或者网络连接数进行统计,并描绘趋势曲线。
通过某个IP地址的流量趋势分析获悉该IP地址的访问流量模型,并发现异常流量和行为。
告警和响应管理:
通过关联分析,对于发现的严重事件可以进行自动告警。
告警方式包括电话响铃、邮件、短信、电脑语音、SNMPTrap告警的方式通知管理人员。
响应方式包括:
自动执行预定义脚本,自动将事件属性作为参数传递给特定命令行程序。
三年质保与服务(含系统升级)
1
9
应用控制网关
机架式设备,2个扩展插槽
多核多线程CPU
业务接口≥4个10/100/1000M(单机同时提供2路流量监控),可扩充至16个
单机吞吐量≥2G
并发会话量≥1M
在线用户≥64K
支持WEB认证等功能,支持与Radius服务器联动,支持与认证接入服务器实现二次认证
有阻断、限流、干扰、告警、输出报表功能
支持基于用户、区域、源/目的IP、IP组、时间、应用等综合任意组合进行控制
支持对用户URL访问历史记录的查询审计
支持P2P、IM即时消息、网络游戏、网络多媒体、论坛/bbs、文件共享、邮件等协议的行业监控、记录和审计功能,具备特征库升级,具体协议及应用识别要求:
Thunder(讯雷)、腾讯超级旋风下载协议、BitTorent、eMule(电骡)/eDonkey(电驴)、KazaA、PPLive、QQLive、、PPStream及沸点网络电视、QQ、ICQ、MSNMessenger、YahooMessenger及AOLMessenger、Skype、UUCALL、Konge(中桥语音)、SIP、MGCP及H323等协议、MSSQL-Server及Oracle等数据库、Notes、IMAP、POP、SMTP、、Syslog、BigWisdom(大智慧)及StraightFlush(同花顺)、流媒体、WEB访问、FTP下载、网络管理、支持WinGate、WinProxy、WinRoute、TP-Link等(包括NAT方式及Proxy方式)
支持分布式与集中式部署,对于分布式部署可集中管理
支持MPLS环境的组网,可对IP地址有重叠的各个VPN进行管理
冗余电源
三年质保与服务(含升级费用)
1
10
网络防毒墙
用硬件架构与专用安全操作系统
杀毒模块不能为瑞星系统
至少4个10/100/1000M自适应接口
可以建立两条病毒扫描通道,两条通道之间相互隔离,用于不同网络之间的病毒过滤
可查杀病毒种类≥400000种
可查杀蠕虫病毒≥600种
可对SMTP、POP3、IMAP、HTTP和FTP等应用协议进行病毒扫描和过滤
内嵌的内容过滤功能,防垃圾邮件功能
能够提供完整的病毒日志、访问日志和系统日志等记录,并可根据日志数据生成多种格式的统计图形化统计报表
能够提供强大的监控功能,可以监控过滤网关系统资源、网络流量、当前会话数、当前病毒扫描信息等,当某个病毒突然爆发时,防病毒网关能够可向网络管理员发送报警信息
可以快速查明网络内有哪些机器恶意连结攻击其它的计算机
HTTP杀毒吞吐(Mbps)≥220
HTTP最大并发连接数(个/秒)≥7000
HTTP新增连接数(个/秒)≥700
HTTP延迟(ms)<300
FTP杀毒吞吐(Mbps)≥90
FTP最大并发连接数(个/秒)≥2000
邮件数(封/每秒)≥80
SMTP/POP3最大并发连接数(个/秒)≥2000
设备具有硬件BYPASS功能
3年软件和病毒库免费升级
三年质保与服务
1
小计
二、路由器、交换机等网络设备系统
要求:
1、此包所有产品有同一品牌
2、所有产品有提供3年质保与服务
3、所有产品要根据甲方要求进行系统调试与安装
序号
名称
描述
数量
单价
小计
1
路由器
滨海1台
中心1台
模块化路由器,RISC处理器,主频≥533MHz,内存≥256M(可扩充到1G),转发能力≥240kpps,SIC槽位数量≥4,MIM槽位数量≥4,有ESM、VPM和VCPM插槽,有硬件加密功能,CF卡≥256M(可扩充到1G),有2个1000M固定网络接口
支持IPV6、IPV4协议下的各类网络路由协议,支持MPLS协议,支持L2TP、VPDN协议,支持语音路由
支持Telnet、Web、SNMP、RMON、sFlow等管理功能
主机配置4端口100M以太网电口MIM模块
三年质保与服务
2
2
核心交换机
模块化交换机,整机交换容量≥768G,背板容量≥2.4Tbps,Ipv4包转发率≥488Mpps,槽位数量≥12,业务槽位数量≥10,支持热补丁,所有单元板可热插拨,支持主控板1+1冗余,支持电源1+1冗余
二层网络协议:
支持802.1P,802.1Q,802.1d,802.1w,802.1s,802.1ad,802.3x,802.3ab,802.3z,802.3ae,802.3ad(链路聚合)和跨板链路聚合,RRPP,跨板端口/流镜像,支持端口广播/多播/未各单播风暴抑制,支持SuperVLAN,PVLAN,MulticastVLAN+,GVRP,LLDP
IPV4网络协议:
支持ARPProxy,DHCPRelay,DHCPServer,静态路由,RIPv1/V2,OSPFv2,IS-IS,BGPv4,支持OSPF/IS-IS/BGPGR(GracefulRestart优雅重启),支持等价路由、策略路由和路由策略
IPV6网络协议:
支持ICMPv6,ICMPv6重定向,DHCPv6,ACLv6,OSPFv3,RIPng,BGP4+,IS-Isv6,isatap,支持手工隧道,6to4隧道,Ipv6和Ipv4双栈
支持Ipv4和Ipv6的组播、ACL/QoS管理与控制,支持MPLS协议
有主备数据备份机制,支持故障后报警和自恢复,支持数据日志,支持IP地址,VLAN ID,MAC地址和端口等多种组合绑定
支持Telnet、Web、SNMP、RMON、sFlow等管理功能
主机配置3个板卡,分别1个为24端口千兆光接口板卡(含多模光纤模块),1个48端口千兆电接板卡和1个768G交换引擎,双电源供电,配有专业网络管理软件
2
3
接入层交换机
滨海4台
中心2台
虚拟台网1台
地壳网络1台
可管理型交换机,整机交换容量≥96G,包转发率≥71.4Mpps,48个100/1000M接口,4个可扩展SFP接口,含2个1000M光纤多模接口模块,有静态路由功能,支持堆叠,支持Qos/ACL,支持Telnet、Web、SNMP、RMON、sFlow等管理功能,三年质保与服务
8
4
无线交换机
瘦AP,100M网络接口,2dBi双频天线,支持802.11a/b/g协议,内置信道数≥5,支持WPA、WAPI等加密功能,支持多SSID隔离,虚拟AP数量不低于16个,有广播抑制功能,支持802.1x认证,支持AP间切换及链路完整性,支持Ipv6,支持QoS
4
5
无线控制器板卡
可实现对地震局原有H3C无线AP设备的集中统一控制与管理,可实现AP设备配置文件的统一修改与下发,支持三层漫游,支持非法AP检测,支持认证方式(MAC地址、802.1x、Portal、PPPoE、无线EAD等),支持Ipv6功能,有AP负载分担功能,支持无线QoS,有流量监控功能,支持CAPWAP协议,支持自动速率调整,AP可管理数量不低于128个,可扩充至640个,支持SNMP等管理协议
安装于第2项设备中
1
6
节点核心
交换机
地壳网络8台
可管理型交换机,整机交换容量≥12.8G,包转发率≥9.52Mpps,24个10/100M接口,4个可扩展SFP接口,含1个100M单模光纤模接口模块,支持Qos/ACL,支持Telnet、Web、SNMP、RMON、sFlow等管理功能,支持静态路由、RIP、OSPF等路由协议,有DCHP SERVER功能,三年质保与服务
8
7
端点准入防御系统及网管软件
支持基础资源管理、自动拓扑生成与管理、告警管理、性能管理、配置管理、ACL管理等功能
支持802.1x、Portal、VPN、无线等多种认证接入方式;支持用户名/密码、MAC地址、智能卡、数字证书等多种认证方式;
支持IP、MAC、VLAN、接入端口等多元素绑定认证;支持防双网卡、私设代理、IE设置代理等,禁止内网外联行为;支持业内主流防病毒软件杀毒引擎检测、病毒库版本检测;支持与微软WSUS/SMS联动,自动完成终端系统补丁检查和升级;四种安全级别:
下线模式,隔离模式,VIP模式,GUEST模式;具备基于用户(组)的动态权限管理;具备用户安全检查和黑名单控制;支持资产分组、资产管理、软硬件变更统计、资产统计功能;具备终端接入拓扑显示及拓扑控制功能
400用户接入控制能力
含三年技术支持及升级服务费
1
小计
三、数据存储与备份系统
现有系统说明:
网络中心现有EMC CX3-20(2T光纤+7T SATA)FC-SAN存储系统1套,LEGATO备份软件1套
存储系统现有应用:
1、AIX双机ORACLE 10G RAC核心数据库1套
2、WINDOWS2003 LEGATO备份服务器1套
3、SUSE10 NAS应用1套
4、其它LINUX应用N套
网络中心存储要求:
1、网络中心购置不低于15TB存储系统1套,用于对现有EMC系统的近线实时备份
2、实现RAC数据库系统的实时备份
3、购置存储管理平台1套,用于现有EMC系统及新购置存储系统的备份管理,要求部署时不影响业务正常使用,不能改变现有应用系统(RAC)工作模式,可实现近线实时备份,异地多种方式备份功能
4、新系统划分9TB空间用于EMC备份,其余6TB做为新业务系统的存储空间
5、系统包含10块4G FC HBA卡用于现有EMC 系统的应用
6、系统包含2台24口千兆线速交换机用于新存储系统的数据接入
滨海备份网络中心存储要求:
1、购置不低于15TB存储系统1套,用于对网络中心EMC+IP SAN系统的远端数据备份(滨海中心与局网络中心之间有100M光纤通道)
2、新系统划分9TB空间用于远端备份外,其余6TB做为新业务系统的存储空间
3、系统包含2台24口千兆线速交换机用于新存储系统的数据接入
4、两地间的部分应用可以异地使用数据,实现基于IP SAN系统的简单网络应用备份与容灾
其它说明:
1、所投产品不能为停产或淘汰产品
2、提供存储产品原厂商现场安装技术服务,对整个存储系统的所有硬件、软件提供统一的安装调试以及系统联调服务
天津市地震局存储系统示意图
序号
名称
描述
数量
单价
小计(万)
1
存储系统
机架式IP-SAN存储系统
热插拔驱动器≥15,存储容量≥15T,具备扩展功能,具备NAS功能
支持以太网卡和iSCSIHBA卡两种连接方式
主要接口数数量≥4个;支持端口链路聚合,可用于组建SAN存储区域网络
存储控制器采用双核处理器
存储缓存≥4G,高速缓存电池供电时间≥72小时,支持外接UPS模块
机柜单柜容量大于15T,可扩展到60T
业务接口带宽≥1000M
支持3.5英寸SAS和SATAII磁盘混插
支持磁盘热插拔及在线更换故障磁盘,支持启动时磁盘顺序加电和磁盘电源短路保护
冗余电源、冗余风扇,且在故障出现时能保证自动切换
SAN环境中最大主机连接数≥128,提供128台主机连接许可
支持RAID0
升级会员 