天台县房地产管理处网络安全项目需求天台县房管局网络安全项目.docx

天台县房地产管理处网络安全项目需求天台县房管局网络安全项目.docx

《天台县房地产管理处网络安全项目需求天台县房管局网络安全项目.docx》由会员分享，可在线阅读，更多相关《天台县房地产管理处网络安全项目需求天台县房管局网络安全项目.docx（39页珍藏版）》请在冰点文库上搜索。

天台县房地产管理处网络安全项目需求天台县房管局网络安全项目

天台县房管处网络安全设备采购项目

一、采购内容：

天台县房地产交易管理中心软、硬件采购及系统集成。

其内容主要为：

软、硬件采购、安装调试、系统集成、服务器热备软件安装、运行维护、项目验收、技术培训及不少于一年7*24小时免费设备保修和售后现场技术服务等。

本次投标加★为关键参数，不允许负偏离。

如果投标商所投产品无法满足采购人的指标要求,采购人有权不与中标人签订采购合同，并以弄虚作假行为追究相关的经济和法律责任。

二、投标人资格

（一）企业注册资金不少于300万元;

（二）具有与本招标须知相适应的商品经营能力（包括供应能力、售后服务能力等）生产厂家或经营商。

（三）符合《中华人民共和国政府采购法》有关规定的。

（四）本项目不接受联合体投标。

三、采购方式：

公开招标

四、评分规则：

综合评分法

五、网络拓扑图

前附表

序号

项目

内容

1

项目名称

天台县房管处网络安全设备采购

2

招标内容

网络安全设备（网闸、防火墙、IPS、备份软件、UPS、杀毒软件、网管+桌管+文件加密系统软件、交换机），并安装调试至系统正常运行。

3

招标方式

公开投标

4

供货期

合同签订之日起20天内按采购人要求完成供货并安装调试至系统正常运行，并通过合格验收。

5

质保期

整个系统提供一年质保期

6

付款方式

本项目需求的所有货物到货并初验合格后五个工作日内，支付合同金额的60%；项目验收通过后五个工作日内支付合同金额的35%；项目验收通过正常运行满12个月后五个工作日内支付合同金额的5%

7

评标办法

综合评分法

8

实质性条款

带★是实质性条款，投标人不得负偏离，否则将失去中标资格。

六、设备清单：

序号

项目名称

品牌

单位

数量

1

网闸

伟思、北京海达、金电网安

台

1

2

防火墙

网神、伟思、天融信

台

1

3

IPS

启明、网神、天融信

台

1

4

备份软件

NetStor®HA、ROSE、Symantec

套

1

5

网管系统、桌管系统、文件加密系统

WISEWORK、盈高、天融信

套

1

6

UPS

APC、安讯、梅兰日兰

台

1

7

三层交换机

思科、上海博达、华三

台

1

8

网络版杀毒软件

Symantec、熊猫、卡巴斯基

套

1（60点）

9

智能交换机

思科、上海博达、华三

台

5

七、具体设备技术要求：

1，网闸技术要求：

功能点

指标性能要求（★为关键指标，不允许负偏离）

★硬件配置和性能指标

机型规格

标准2U机架式，千兆安全隔离与信息交换系统硬件设备

接口

4个以上100/1000Mbase-TX以太接口，内外网可信端具有唯一1个RS-232管理口；为保证系统配置的安全性，不能使用USB等任何带有底层链路的附加设备接口进行管理配置。

（提供产品照片）

网络吞吐量

≥800Mbps

并发连接数

≥20000

内部交换带宽

≥5GB

液晶面板

设备提供液晶显示面板，可直观显示硬件故障提示报警，如通讯故障、硬件故障、系统故障等；而非IP地址等简单信息。

时延

系统延时纳秒级，<5ns

★产品架构

系统结构

采用“2+1”主机架构，主机系统采用安全加固的LINUX操作系统，主机系统间采用专有协议“摆渡”数据，确保信任网络和非信任网络之间任何连接的断开，彻底阻断TCP/IP协议及其他网络协议。

隔离部件

中间隔离部件是基于ASIC芯片技术设计的专用硬件隔离电子开关系统，具有不可编程性。

不采用SISC、网卡以及任何其他加/解密等方式；隔离区信息交换采用DMA方式实现。

功能模块

★文件交换功能

实现文件的安全交换，支持NFS、SMBFS等文件系统和多种细粒度检测控制功能；支持增量传输方式，可实现只传输修改和增加了的源文件；支持传输后删除方式，可实现传输结束后删除源文件。

数据库传输功能

数据库支持：

提供对主流数据库SQLServer，Oracle，Sybase，DB2等的支持，具有数据库单向、双向访问和同步技术；数据库同步应支持全表复制、增量更新、全表更新、标识更新；要求具备普遍适用性，部署网闸无需更改数据库环境设置；支持数据一对一、一对多、多对多的单向或双向交换和同步；支持实时交换或定时同步的策略定义；数据库同步高可靠性，即使发生网络故障，已变化数据也不会丢失

★安全浏览功能

实现内网用户安全浏览外网资源，支持基于CHAP、Radius、LDAP等认证方式，提供对URL、ActiveX、Cookie、JavaApplet等的过滤功能。

系统可扩展内置WEBApplication应用保护系统，支持全面的WEB保护功能，包括：

DLL、ASP/JSP脚本控件、WebService、等函数中方法调用的安全过滤；对多次认证失败的用户可锁定其IP或用户名

安全管理和访问功能

支持集中式管理，支持基于SSL的加密安全管理；

通过SAT、Proxy安全访问方式实现隔离系统两端数据交换

WEB站点保护功能

支持全面的WEB保护功能，包括：

URL字段、Webservice安全过滤功能、cookies加密、WEB目录、活动脚本访问权限控制、防WEB漏洞攻击以及智能学习等功能。

定制访问功能

实现特定TCP、UDP协议的数据隔离交换，可合作定制开发针对特定协议的安全检测，如黑白名单控制、关键字过滤等。

上网用户身份认证功能

严格控制上网用户，采用专用VIIE认证客户端浏览网页，用户列表存储在网闸设备上，XX的用户和使用普通IE用户将无法上网。

邮件收发认证功能

严格控制邮件收发，采用专用VIMAIL邮件客户端，对收发邮件的用户进行身份认证，用户列表存储在网闸设备上，XX的用户和使用普通OUTLOOK和FOXMAIL等邮件客户端的用户将无法正常收发邮件。

★传输控制

双向可控:

支持单向，内到外,外到内两个方向的数据交换随意控制

★协议检查

应采用独有的协议分析技术全面检测应用层攻击并及时予以阻断，作裸数据的转发，并且有详细的协议分析和控制。

支持高达30多种协议检查功能。

★AI安全过滤功能

提供包括应用层协议命令检查、应用层协议分析、内容过滤、控制字符过滤等在内的AI安全过滤功能

攻击防御

入侵检测功能

主机系统内置独立的入侵检测模块具有实时入侵检测与防御机制。

内置IDS系统并与隔离网闸形成联动对入侵行为做出及时处理

抗DDoS攻击

具有抗DoS、DdoS攻击功能，当拒绝服务攻击发生时能保障对正常应用请求的应答。

管理方式

安全可靠的管理方式

采用GUI图形界面管理方式，非WEB方式。

管理策略后置于可信端计算机，非可信端计算机不能控制访问策略。

内网主机系统具有唯一的管理接口，管理配置采用可信端内网管理，外网系统不允许管理配置网闸（非内外网点对点配置）。

为保证系统配置的安全性，不能使用USB等任何带有底层链路的设备进行管理配置。

其他功能

★接入方式

支持应用层透明接入，实现透明访问，网络部署简单。

系统透明支持TCP/IP以上的应用层协议，无需二次开发,必须支持HTTP、SMTP/POP3、DNS、FTP、TELNET、SSH、各类数据库、MQ、MMS、NFS等协议全面控制命令的访问控制，包括HTTP中的WEBDAV命令的访问控制

IP/MAC地址绑定

支持IP/MAC地址绑定，具有自动学习功能。

★时间控制

具备定时开关功能，支持定时启动/终止网络服务（不是加电，断电），可设置多个时间点来控制网闸网络服务的启动、终止,如果不设置，默认网闸正常使用

访问控制功能

支持包括IP、子网、时间、协议端口等在内的安全访问控制功能

扩展功能

能够扩展支持进程绑定和私有协议功能，可严格限定用户端的访问程序，只有指定的合法程序才能访问指定设备；可扩展支持远程移动用户安全接入应用，提供对远程客户端进行有效认证功能；

可靠性

双机热备/负载均衡

最大支持32台设备实现双机热备或者负载均衡。

日志审计

日志管理

支持日志信息输出到SysLog、WebTrends外部日志系统，可定义外部服务的接收IP、端口以及0-7级分类日志输出；可通过邮件形式将违反规则的行为发送到管理员报警信箱；提供全面的日志记录，支持日志备份功能。

2、防火墙招标参数：

项目

技术要求（★为关键指标，不允许负偏离，以供货前测试结果为准）

★硬件规格

标准2U机架式结构，最大可扩展为26个接口，包括2个可插拔的扩展槽和4个10/100/1000BAE-T接口和4个SFP插槽，2个10/100/1000BASE-T接口（可作为HA口和管理口），支持热插拔双电源

★操作系统

采用完全自主版权的操作系统，具备操作系统著作权证书，可提供相关证书。

提供主、备双操作系统，提高设备自身可靠性和网络的可用性

★性能要求

整机吞吐量≥6Gbps；最大并发连接数≥220万

功能要求

工作模式支持透明、路由、透明及路由混合模式，安全区域可针对物理接口进行灵活地自定义（内网、外网或DMZ等区域）

★支持防火墙的虚拟系统功能，每个虚拟系统具备独立的管理权限、安全策略、等功能，互不干扰；（投标时提供页面截图，并盖原厂商的公章）

实现IP地址与MAC地址捆绑，自动探测，防止IP地址非法盗用；

可针对IP、MAC、端口、用户、时间对象等进行安全过滤；

支持可根据QQ/MSN帐号进行过滤和审计功能

可根据URL的地址、长度、网页内容关键字等进行过滤；

支持WEB认证，用户在通过WEB认证前禁止一切通过防火墙网络连接；

支持与主流入侵检测产品的联动；

具有日志审计功能：

支持WELF、Syslog等多种日志格式，可记录试图通过防火墙的非法数据包，可记录防火墙操作，支持日志导出功能；

支持基于VRRP协议的双机热备和负载均衡功能；

支持LACP和PAGP协议的链路捆绑功能，可实现端口的冗余和带宽的叠加；

可支持IPSECVPN、SSLVPN、IPS和防病毒等模块的扩展

★IPSECVPN和SSLVPN可同时支持VPN短信模块的认证；（提供页面截图，并盖原厂商的公章）

★支持短信、邮件等方式的密码恢复和取回;

3、IPS（入侵防御）招标参数：

项目

技术要求（★为关键指标，不允许负偏离，以供货前测试结果为准）

★设备要求

最大配置为26个接口，标配10个10/100/1000BASE-T接口，其中4个接口支持BYPASS功能；整机吞吐量为2.6G,并发连接数为160万，

工作模式

透明，路由，虚拟线，IDS监听，混合；端口工作模式可进行灵活的配置

入侵防御功能

具备丰富的木马特征库，能识别包括灰鸽子、PCShare、Gh0st、上兴、Byshell、Npch、Downloader等多种热点木马及其变种，以及识别多种网页挂马攻击

能对当前主流的RPC漏洞攻击做检测和阻断，例如：

RPC0x82-dcomrpc_usermgret、RPCImmunity_svchostkill等；

能对当前主流的拒绝服务做检测和阻断，例如：

WinNUKE攻击、UDPFlooding、SYNFlooding等

支持识别多种IIS、Apache、RPC、Oracle、SQL等应用系统类溢出攻击

能对当前主流的HTTP类攻击做检测和阻断，例如：

HTTPApache批处理文件漏洞、Apache2.0.39及以前版本存在目录遍历漏洞、Cart32管理员口令泄露漏洞等

预置系统规则集包含认证类、木马类、拒绝服务类、即时通讯类、p2p类、溢出攻击类、扫描类、系统漏洞类、webcgi类、蠕虫类、游戏类、HTTP攻击类、RPC攻击类、高风险类、中风险类、低风险类等事件类

非法报文攻击：

land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof；

★管理方式

支持本地和远程的各种管理方式，如WEB、TELNET、SSH以及SSL等；基于设备之间的联动性，要求实现入侵防御和防火墙之间的联动

系统可支持管理者自行定义或修改事件响应方式；支持web界面及命令行下的管理，web管理界面为全中文界面

支持WEB页面上显示历史CPU、内存、会话数和接口流量的矩阵图

规则库维护

具有独立应用程序识别库和攻击检测规则库；

支持自定义规则库导入、导出；支持系统规则库手动、自动升级

报表

WEB页面具有独立应用程序和入侵防御的中文事件报表；

Webui支持实时显示按发生次数累计的攻击事件排名；

支持Top10攻击者、Top10被攻击者、Top10事件统计报表；

支持选定时间、网络攻击分类的统计报表；

支持日报、周报、月报、季报等统计报表；

支持报表输出，输出格式可以为PDF、DOC、HTML格式

4、备份软件招标参数：

节点数量

2

监控模块

双冗余

主机别名

支持

漂移IP

支持

Windows/Linux服务监控

支持

硬件逻辑锁

支持

热备类型

Active/Standby、Active/Active

心跳类型

RS232、TCP/IP

本地IP替换

支持

应用程序接口支持

支持

操作系统支持

MicrosoftWindows2000Server,AdvancedServer,DataCenter

MicrosoftWindows2003Server,AdvancedServer,DataCenter

MicrosoftWindows2003R2Server,AdvancedServer,DataCenter

MicrosoftWindowsStorageServer2003

RedhatLinux9.0

RedhatEnterpriseEnterpriseLinuxAS2/3/4/5

SuSELinuxEnterprise8/9/10

RedFlagDCServer4/5

Asianux1/2

TurboLinuxServer10

应用系统支持

IIS/FTP/Apache/ExchangeServer/Lotus

SQLServer/Oracle/Informix/Sybase等

5、网管+桌管+文件加密系统招标参数：

功能参数

具体描述

安全准入控制

★硬件平台

要求基于嵌入式Linux系统，双机热备的工业级安全准入硬件设备，能够7×24×365不间断运行；

★设备的性能要求

最大接入交换机设备连接数：

1000个

最大认证并发连接数：

5000

网络接口≥4个10/100M自适应电口

支持Fail-Open的紧急故障处理模式。

★准入控制支持网络环境

要求支持交换机802.1x、PORTAL/PORTAL+、EOU等协议，支持与防火墙联动、HUB接入、VPN接入方式。

可支持静态IP地址、动态IP地址方式；支持国内、国外知名品牌的网络设备（例如：

Cisco、H3C、港湾等）

★准入控制支持认证方式

可支持IP、MAC、硬件ID、用户名密码等认证方式，同时可实现多MAC认证方式。

准入控制稳定可靠性

要求准入控制流程的每一个环节都做到无单点故障，要求关键设备做到双机热备。

准入控制效果

外来电脑或者不安全的电脑只能访问受限资源或禁止接入、只有安全的电脑才能正常接入内网。

★批准入网流程

要求支持新终端接入时需要管理员审核批准才能接入网络，否则拒绝接入。

安全准入策略

必须保证接入内部网络的终端符合内网安全策略，如必须打指定级别以上的微软安全补丁或具体的微软补丁、必须安装指定杀毒软件、并更新到最新病毒库等安全准入要求。

准入用户要求

要求控制每一用户在线时的最大TCP会话连接数限制；能控制一个认证帐号可以让多人同时使用，方便测试。

★准入设备状况查询

可以实时了解不符合安全要求的、被隔离待修复的以及正常的设备详细信息。

安全漏洞和安全规则检查

支持检查发现PC的操作系统漏洞；发现PC上是否安装了非法软件；发现PC是否对硬件配置进行改动；

发现PC是否安装防病毒软件，检查病毒特征码是否更新；发现PC是否在执行非法进程；支持对口令强度、屏幕保护、文件写共享等检查。

基本性能及客户端要求

系统架构

基于B/S、C/S混合构架，客户端3层架构，具有较好的系统安全性，管理平台采用WEB方式。

支持多级级联架构，满足分级管理要求。

要求使用的WEB应用服务器应该为Apache，并且是专用的Apache服务，不得与其他应用有冲突。

系统自身安全性

要求管理平台使用B/S结构，同时管理员在登录时需要采用随机校验码，以增加系统自身安全性。

策略的要求

要求所有策略支持在线、离线模式；策略可自定义多条部署，并且可以暂停策略，可以定义策略有效时间、存活时间等。

客户端通信方式

要求客户端不允许开启TCP监听端口，同时要求支持NAT地址转换网络环境，并且能够支持远程控制时客户端也不开启TCP监听端口。

客户端软件对cpu，内存的占用要求

客户端进程数不能超过2个，正常情况下，客户端CPU占用率大部分时间在0%；内存占用在8M以内。

客户端软件自身安全性

要求不能被自动关闭，并且Agent软件的文件具有MD5文件防篡改功能。

与防病毒软件联动

要求能够与国内、外知名防病毒软件联动协同管理。

分级资产管理

自动设备扫描

自动发现接入网络的所有网络设备、主机、桌面PC、其他IP设备；支持混合厂商大规模网络环境；支持跨越路由器、防火墙等复杂环境。

支持资产信息自动采集。

自动采集各计算机的IP地址、计算机名、MAC地址、网卡型号和生产厂商、计算机所在域、操作系统、主要硬件、软件信息；能够提供计算机信息综合查询报表。

硬件、软件配置信息变动报警

对终端硬件、软件资产变更进行报警，在终端第一次注册时把硬软件信息做登记，以后每次作信息的对照。

并且可以查询变动的历史。

资产统计报表

资产统计，对网络内终端的基本情况进行统计。

资产报表展现，多种报表展现统计结果，变更情况，终端资产等各种信息。

支持xls、PDF格式输出，支持报表预览和打印。

安全检查及加固

安全漏洞和安全规则检查

支持检查发现PC的操作系统漏洞；发现PC上是否安装了非法软件；发现PC是否对硬件配置进行改动；

发现PC是否安装防病毒软件，检查病毒特征码是否更新；发现PC是否在执行非法进程；支持对口令强度、屏幕保护、文件写共享等检查。

风险评估权重化

可以支持安全检查项分值化，对每一项的评估采用数值权重展示。

并且支持安全状况图形化。

网络安全管理

流量排行统计及流量异常控制

要求支持对系统网络流量的控制，并给出相应的处理方式，包括流量采样统计策略、流量控制策略。

流量采样时要能够分总流量、外网流量、指定服务器的流量。

网络流量异常控制可以根据ARP包检测、网络流量检测、TCP连接数检测来发现异常行为并且作出相应的控制。

反ARP欺骗

要求能够自动绑定网关，防止其他机器ARP攻击终端；并且能够自动判断终端是否受到外部的ARP欺骗攻击，或者终端受到病毒感染用ARP欺骗方式攻击其他终端。

上网行为控制

能够按全天或指定的时间对指定的网站域名进行禁止，或者采取反选，对指定的网站域名外的网站进行禁止；可以通过星期的控制指定策略的有效星期。

桌面防火墙

能够控制终端禁止开放网络服务（比如：

ftp、telnet、DHCP、http、代理服务等），并且可以禁止终端访问网络协议（比如：

ftp、telnet、DHCP、http、BT、http代理、Socket代理、https等）。

还可以控制本地开放的端口、可访问的远程主机及端口，以及ICMP的控制。

行为审计

文档操作行为审计

能够详细的记录每个员工在本机及网络上操作过的文件，包括访问、创建、复制、移动、改名、删除、恢复以及文档打印等记录。

网站浏览记录

能够详细记录每个员工在本机所有浏览的网站，标题，URL，时间

邮件内容、附件记录

能够记录收发件人、标题、内容、附件等；能够支持POP3/SMTP/Lotus协议

其他功能要求

远程协助

提供网络管理人员通过本地计算机操作远程计算机的功能。

可以支持NAT网络环境下的远程控制，实时查看操作进程、服务、通信端口、网络连接、用户权限等等。

强大的终端安全策略

禁止U盘自动运行、禁止第三方网络联接、禁止指定软件运行、可指网站首页、黑白应用策略、重点进程跟踪策略、异常进程监控策略。

补丁管理

要求自主研发的补丁管理机制，补丁需要经过测试再全网发布。

要求补丁扫描时不影响终端性能，扫描时间在5秒以内。

内网补丁管理

要求有完备的内网补丁管理流程，可以通过补丁包摆渡等升级模式，便捷、高效的实现隔离网络补丁的安装、升级管理。

软件分发

能够支持可执行程序、MSI安装包或者文档数据文件自动下发与安装；能够支持指定组范围、指定时间进行安装；提供打包工具，能够判断检测指定程序是否在运行，如果运行则提示系统需要升级提供一个提示对话框如果按确认则将指定程序退出开始安装，如果选择取消则不安装，如果没运行则马上开始安装。

能够提供带参数运行程序包；能够指定执行安装之后是否重启、关闭机器；能够查询软件分发的详情与历史情况；

6、UPS要求：

项目

技术要求（加★为关键参数，不允许负偏离）

输出

功率容量8000 瓦数/ 10kVA

最大可配置功率8000 瓦数/ 10kVA

额定输出电压230V

输出电压可调范围可设置为220、230或240输出电压

满负载效率92%

输出电压失真低于3%

输出频率（与主频率同步）50/60Hz+/-3Hz用户可调+/-0.1

波峰因数3:

1

波形类型正弦波

旁路支持：

内部旁路（自动会人工）

输出连接

HardWire3-wire（HN+G）

IEC320C13

IEC320C19

IECJumpers

输入

★额定输入电压230V

输入频率50/60Hz+/-5Hz（自动适应）

输入端子类型HardWire3wire（1PH+N+G）、HardWire5-wire（3PH+N+G）

★工作电压范围160-280V

其他输入电压220,240

电池与运行时间

★原装沈阳松下LC-P12100ST

★10KVA6小时

通讯与管理

★接口端口DB-9RS-232,RJ-4510/100以太网接口,灵巧插槽

预装SmartSlot™卡

控制面板LED状态显示带有负荷和电池条状图和“在线”、“电池开”、“更换电池”、“过载”和“旁路”指示器。

有声报警市电停电时报警：

特别的低电池报警overloadcontinuoustonealarm

紧急关断Yes

浪涌保护及滤波

滤波器多级噪声滤波器，符合UL1449标准

环境

工作环境0-40 °C

工作相对湿度0%

操作高度0-3000米

存储温度-15-45 °C

存储相对湿度0%

存储高度0-15000米

听觉噪音距设备表面1m处55.00 dBA

7、交换机要求：

项目：

三层交换机