技术要求响应表点对点应答.docx
《技术要求响应表点对点应答.docx》由会员分享,可在线阅读,更多相关《技术要求响应表点对点应答.docx(21页珍藏版)》请在冰豆网上搜索。
技术要求响应表点对点应答
附件三
网络信息安全解决方案招标项目及要求
技术要求响应表
产品
技术要求规
投标产品技术规描述
偏离情况
网安全管理
产品应可以做到安全准入认证与控制(非ARP欺骗方式),可以限制未授权的电脑访问公司网络
ProVisa网安全管理(以下简称ProVisa)支持软硬件方式的准入控制,可以限制未授权的电脑访问公司网络及互联网,非法联的控制非采用ARP欺骗的方式
满足
产品应包括身份认证、安全准入检查、网安全管理、桌面应用程序管理、移动外设管理、资产管理、网审计功能,满足网安全管理的要求
ProVisa网安全管理分为准入控制、网安全、上网行为管理、桌面管理、拓扑管理五大模块,能够实现身份认证,安全准入检查、网安全管理、桌面应用程序管理、移动外设管理、资产管理、网审计功能,可以满足用户对网安全管理的需求
满足
身份认证应支持基于用户名、密码、IP、MAC、系统硬件特征等认证方式;支持AD认证;支持多因素认证;支持IP地址与MAC地址的绑定
ProVisa网安全管理支持多因素身份,包括基于账号、密码、IP、MAC地址、硬盘序列号灯的认证;支持AD、LDAP认证;支持多因素身份认证,如USBkey;支持角色身份的绑定,如IP与MAC地址绑定,IP与系统特征绑定等。
满足
产品应具备安全准入检查功能,包括:
系统漏洞检查、杀毒软件使用检查、危险进程检查、ARP欺骗检查等,发现不符合安全准入策略的终端禁止接入网络
ProVisa支持Windows系统漏洞检查、支持杀毒软件的检查,发现未开启杀毒软件禁止进入网络;支持危险进程的检查;支持ARP欺骗的检查、隔离、报警。
满足
产品应能够自动检测ARP欺骗行为,发现ARP欺骗行为后可以自动报警并提示用户;同时客户端可以自动阻止ARP欺骗包的外发,保证网不受ARP欺骗的侵扰
ProVisa能够自动检测客户端ARP发包行为,发现欺骗包自动隔离,并且可以给客户端、服务端告警。
满足
产品应支持按照不同的用户、部分进行划分,对不同级别的用户、部门可以授予不同的权限
ProVisa按照验证状态支持已验证组、未验证组的划分;
已验证组中,可以按照部门、用户划分并分配不同的权限
满足
产品应支持远程协助功能,管理员可以通过远程协助操作客户端电脑
ProVisa支持远程协助功能,管理员可以通过远程协助操作客户端电脑
满足
产品应支持桌面进程的管理、窗口的管理,支持对P2P类软件、IM类软件、股票类等各类软件的使用控制,支持基于不同的时间段定义控制策略
ProVisa支持基于进程、窗体的管理,能够对P2P类软件、IM类软件、股票类软件进行控制,并可根据不同的时间段定义不同的控制策略
满足
产品应支持对外设的管理,如USB、光驱、打印、红外、1394接口等,可以禁止或者允许外设接口的使用
ProVisa支持对外设的管理、如USB、光驱、打印、红外、1394接口等,可以根据需求禁用或者启用外设接口
满足
产品应支持分组、全局的消息通知、软件分发
ProVisa支持基于全局、分组、用户的消息通知、软件分发;软件分发支持自动安装,提示安装
满足
产品应支持网页访问,文件上传下载等的日志记录,应可以记录访问源用户,源IP、目的IP、URL、访问时间、访问容、动作等,并可以根据条件检索
ProVisa支持上网行为记录,能够记录网页访问日志、文件上传下载记录,可以记录用户、IP、URL、访问时间、访问容、动作等,并可以根据条件进行检索
满足
支持实时带宽监控,支持实时动态带宽图;支持历史带宽查询、用户带宽统计
ProVisa支持实时带宽功能,管理员可以实时看到用户上行、下行带宽;网、外网带宽;并支持用户、部门的历史带宽查询;支持用户带宽统计
满足
支持多种图形化报告,用户访问排名、访问排名、网络访问报表,带宽统计,历史带宽记录等
ProVisa支持多种图形化报表,用户排名、访问排名、网络访问报表,带宽统计,历史带宽记录等。
满足
数据、文档保护系统
产品应在不改变用户原有工作流程和文件使用习惯的前提下,对需要保护的文件进行强制加密保护,并对文件的使用进行全程监控,有效防止被动和主动泄密,消除部安全隐患于无形之中
前沿文档安全管理系统(以下简称前沿)采用应用层加密技术,无需改变用户原有工作流程、文件使用习惯,可以对需加密的文件强制加密,并对文件使用过程全程监控,可有效防止主动和被动的泄密
满足
产品应支持自动加密、手动加密、手自一体化加密;并支持全盘加密、安装文件格式加密
前沿支持自动加密、手动加密、手自一体化加密;并能够支持全盘加密、特定文件格式加密、特定部门加密等
满足
产品应支持文档权限的控制,系统可控制的操作有文档阅读、文档编辑、文档复制和文档打印等;产品应自动屏蔽键盘截屏键和其他第三方截屏软件
前沿支持文档权限的控制,可以控制文档阅读、编辑、复制、打印控制等功能;可以自动屏蔽系统截屏键和第三方截屏软件;
满足
使用密文的用户不能将密文拷贝出单位,一旦拷出文档将无常打开;无论是谁或通过哪种方式,如、U盘、光盘刻录、上传、更改文件后缀名或是另存为其他格式等,文件始终保持被加密状态
前沿可以定义文档不可以被拷贝,或者拷贝后XX无法打开;不管是否更改文件格式、采用何种途径传输,文件始终保持加密状态
满足
员工需要将计算机(笔记本)带离部工作环境时,应向系统提出申请,等待审核人员审批。
系统提供受保护文档在外部环境中正常使用的功能。
另外,可控制离线文档可被使用的时间与权限
前沿支持文件移动办公审批功能,可以给离线用户设置文件使用权限和时间围。
满足
产品应支持外发文件控制,可设置外发文件的阅读次数,阅读天数,是否需要密码等设置,保证文档安全
前沿支持文件外发的审批与控制,可以设置外发文件的阅读次数,阅读天数,密码保护等,全方位保证文档的安全
满足
产品应支持将加密文档与指定的载体(如认证过的光盘、优盘、笔记本等)进行绑定,带离部环境使用。
文档被拷贝出指定载体后不能继续使用
前沿支持加密文档与制定的载体进行绑定,可以带离公司环境后继续使用,文档拷出载体则无法继续使用
满足
产品应可为离开办公环境的计算机(已安装文档安全系统客户端)提供加密文档的使用授权,使工作人员可携带计算机在外部环境中使用加密文档,方便工作人员临时使用文档
前沿支持移动办公授权,可以使移动办公人员方便在外部使用加密文档
满足
系统应具有完善日志记录功能,能够实时、准确的记录使用者对文件进行的:
新建、打开、保存、删除、打印、加密、解密、权限变更、申请、审批等所有操作
前沿具备完善的日志记录和审计功能,可以实时、准确记录文件使用的事件,包括:
新建、打开、保存、删除、打印、加密、解密、权限变更、申请、审批等所有对加密文档的操作
满足
产品应支持日志查询,系统提供多条件组合查询方式,如文件名,计算机名,部门,操作名称等组合查询。
方便,快捷的查询出用户需要查询的日志。
并可将日志导出成excel或txt格式文件
前沿支持日志查询,可提供多条件组合查询,如文件名、计算机名、部门、操作方式等;
所有的日志都可以导出为excel、txt等格式或打印
满足
防火墙系统
设备应采用专用硬件平台、专业安全系统
JuniperSSG320-SH(以下简称SSG320)采用专用的硬件平台,以及专业的安全系统
满足
产品应至少固定4个10/100/1000Base-T,并可扩展至8个10/100/1000Base-T
SSG320标配4个1000Base-T接口,可通过扩展支持到最多20个个1000Base-T接口
满足
产品性能应大于等于以下标准:
防火墙性能:
400Mbps
每秒处理的防火墙数据包数量:
150,000PPS
3DES+SHA-1VPN性能:
150Mbps
并发VPN通道:
400
最大并发会话数:
64,000
最大安全策略数:
2000
SSG-320性能如下:
防火墙性能:
450Mbps
每秒处理包性能:
1750,00PPS
3DESVPN性能:
175Mbps
并发会话数:
500
并发会话数:
64,000
最大安全策略数:
2000
满足
防火墙应支持路由模式、NAT模式、透明模式
SSG-320支持路由、NAT、透明模式
满足
产品应支持IPSecVPN;IPSecVPN应支持基于策略的VPN、基于路由的VPN
SSG-320支持IPSecVPN,L2TPVPN;IPSecVPN支持基于策略、基于路由的VPN组网
满足
产品应可以防护DOS、DDOS等报文攻击,如:
Synflooding、Icmpflooding、Udpflooding、Portscan、ipsweep等攻击,对于synflooding攻击,应支持synprotect、synproxy、syncookie等多种防护方式
SSG320支持DOS\DDOS等攻击,如synflooding\ICMPflooding、UDPflooding等攻击,支持synprotect\synproxy\syncookie等多种防护模式
满足
产品应支持静态路由、策略路由
SSG320支持静态路由、策略路由、动态路由
满足
产品应支持安全域的划分,支持安全域的数量不少于10个
SSG320支持安全区的划分,最大支持40个安全区
满足
产品应支持双机热备功能,支持主/备、主/主模式,并能实现双机热备下的配置同步、会话状态同步
SSG320支持主备、双主模式,并能实现双机热备模式下的配置同步,会话状态同步
满足
产品应支持统一威胁管理功能,支持入侵检测功能、URL过滤功能、防病毒功能、反垃圾功能等
SSG320支持统一威胁防护,支持IPS、URL过滤、防病毒、反垃圾等
满足
产品应支持web、SSH、console等方式管理
SSG320支持WEB、SSH、CONSOLE、telnet等方式管理
满足
SSLVPN系统
产品应具有至少4个1000Mbps接口
联想网域SAG210(以下简称SAG210)具备4个1000Mbps接口
满足
产品应具备至少80Mbps加密处理性能,支持200个用户并发登录
SAG210具备80Mbps以上加密处理性能,最大可支持200个用户并发登录
满足
产品应该支持B/S网络应用访问,访问Web应用,免客户端、免控件,实现100%零客户端
SAG210支持B/S网络应用架构,不需要客户端即可访问WEB应用
满足
产品应该支持C/S网络应用访问,支持各种静态、动态协议应用、包括、数据库、FTP、文件共享等。
支持TCP、UDP协议
SAG210支持C/S网络应用,支持静态、动态协议应用,包括、数据库、FTP、文件共享。
支持TCP、UDP协议
满足
产品应该支持隧道方式全网络连接,实现客户端对全子网,全端口围的应用访问,全网络连接应支持账号与虚拟IP地址的绑定
SAG210支持隧道方式全网络连接,可以访问网所有端口,建立全网络联机。
满足
产品应支持WEB单点登录,一次认证完成登录SSLVPN和Web服务。
支持域认证方式、表单认证方式和基本认证方式
SAG210支持单点登录,认证一次即可访问SSLVPN系统和WEB服务。
支持域认证、表单认证、基本认证。
满足
产品应支持应用程序关联、WEB跳转,可定义用户登录SSLVPN后自动运行所需应用程序;可定义用户登录后直接转到Web应用页面,简化访问步骤;用户登录后可直接点击快捷标签访问部服务器
SAG210支持应用程序关联、WEB跳转,可自定义用户登录SSLVPN后自动运行所需要的程序,可以定义用户登录后直接跳转到指定的WEB也没,登录后可以看到快捷标签直接访问部服务器
满足
产品应支持虚拟DNS管理,优先使用部DNS解析,提高访问效率。
自建DNS域名IP对应关系,实现用户通过域名访问部应用
SAG21支持虚拟DNS,可设置优先使用部DNS服务器
满足
产品应支持增强的安全认证,包括:
多因子认证,本地口令、RSASecurID、SMS、X.509证书、电子钥匙+证书+口令;短信支持,短信猫、短信网关、SP服务商;增强型口令安全,可提供口令复杂度检测、首次登录修改密码、动态验证码,锁定暴力猜测;多级身份,共享供多人使用,VIP享有优先登录权
SAG210支持增强的安全认证,支持多因子认证,本地口令、RSASecurID、SMS、X.509证书、电子钥匙+证书+口令;短信支持,短信猫、短信网关、SP服务商;增强型口令安全,可提供口令复杂度检测、首次登录修改密码、动态验证码,锁定暴力猜测;多级身份,共享供多人使用,VIP享有优先登录权
满足
产品应支持访问痕迹清除,注销或关闭IE后,自动清除访问记录和缓存,防止在公共场合登录系统导致信息泄漏
SAG210支持访问SSLVPN系统的COOKIE、临时文件清除,防止信息泄露
满足
产品应支持隧道隔离,可定义终端连接SSLVPN后就无法访问其他网络,确保隧道数据安全
SAG210支持隧道隔离,可以定义登录SSLVPN后是否可以访问其他网络
满足
产品应支持安全准入检查,可支持终端操作系统、IE、杀毒软件、补丁、注册表、磁盘文件、硬件特征,系统特征等信息特征检查,支持伪造识别功能
SAG210支持准入安全检查,可以检查操作系统、IE、杀毒软件、补丁、注册表、磁盘文件、硬件特征,系统特征等信息特征检查,支持伪造识别功能
满足
产品应支持个性化门户定制,用户可自己定制门户页面风格,无需额外Web服务器
SAG210支持个性化LOGO、登录主页定制
满足
产品应支持应用防护功能,支持状态跟踪、防SQL注入,过滤灰色控件,屏蔽跨站脚本、杜绝非法URL入侵;支持基于IP、基于并发会话连接控制,有效保抵御DDOS攻击
SAG210支持应用防护功能,支持状态跟踪、防SQL注入,过滤灰色控件,屏蔽跨站脚本、杜绝非法URL入侵;支持基于IP、基于并发会话连接控制,有效保抵御DDOS攻击
满足
产品应支持双机热备方式部署,支持主/备模式、主/主模式部署
SAG210支持双机热备方式部署,支持主/备模式、主/主模式部署
满足
应用层安全网关系统
产品应具有至少3个1000Mbps接口,支持划分为三路链路进行应用层安全防护
AnchivaA206应用层安全网关(以下简称Anchiva206)至少支持6个1000Mbps接口,支持划分为三路链路
满足
产品应至少具备200MbpsHTTP防病毒过滤性能
AnchivaA206产品具备200MbpsHTTP病毒过滤性能
满足
产品应支持bypass功能,至少支持2路bypass
AnchivaA206产品支持bypass功能,至少支持2路bypass
满足
产品应支持防恶意软件功能,能够分析检测并阻止HTTP、HTTPS、FTP、SMTP、POP3双向流量中的病毒、木马、间谍软件、蠕虫、后门等网络威胁
AnchivaA206支持防恶意软件功能,能够分析检测并阻止HTTP、HTTPS、FTP、SMTP、POP3双向流量中的病毒、木马、间谍软件、蠕虫、后门等网络威胁
满足
产品应支持数据安全过滤与审计,具有针对web访问容的审计与关键字过滤功能;具有针对webmail、论坛、Blog等上传容的关键字过滤功能;具有针对SMTP、POP3、FTP上传和下载的审计与关键字过滤功能;具有针对IM的审计功能。
能够在网关处最大程度的保证网络数据的安全
AnchivaA206支持数据安全过滤与审计,具有针对web访问容的审计与关键字过滤功能;具有针对webmail、论坛、Blog等上传容的关键字过滤功能;具有针对SMTP、POP3、FTP上传和下载的审计与关键字过滤功能;具有针对IM的审计功能。
能够在网关处最大程度的保证网络数据的安全
满足
产品应支持Internet应用控制,应用层安全网关应能分析识别IM、P2P、流媒体、网络游戏、网络炒股等Internet应用或容后,通过基于用户按时间段制订允许、阻断、限流和记录日志等细粒度的策略达到对Internet应用的控制、分析与监控;同时为了满足策略群组中特定用户的需求,还可以设定特定的例外IP或用户
AnchivaA206支持互联网应用控制,支持IM、P2P、流媒体、网络游戏、网络炒股等应用控制,可根据IP、用户等设置阻断、限流、记录日志等策略
满足
产品应支持管理,URL过滤,采用数据云URL过滤技术,云技术智能收集分类平台,使企业能够避免因职员访问聊天类、金融类、购物类、娱乐类等网络容所带来的生产力的损失
AnchivaA206支持分类管理、支持URL过滤,采用URL云过滤技术,智能收集分类表,可以避免生产力流失
满足
产品应该支持带宽管理功能,基于网络应用、URL类别、IP/IP组/IP地址段、用户/用户组、时间段的上行流量和下行流量带宽保证以及带宽限制,不仅能够提供对非关键网络应用的控制和限速,达到为企业网络流量整形的目的,还能够为关键的业务系统或网络应用提供带宽保证,达到网络流量优化和网络应用加速的目的
AnchivaA206支持带宽管理,可基于网络应用、URL类别、IP/IP组/IP地址段、用户/用户组、时间段的上行流量和下行流量带宽保证以及带宽限制,AnchivaA206能够提供对非关键网络应用的控制和限速,达到为企业网络流量整形的目的,还能够为关键的业务系统或网络应用提供带宽保证,达到网络流量优化和网络应用加速的目的
满足
产品应该支持Web攻击防御,通过对进出Web服务器的http/https协议相关容的实时分析监测、过滤,来精确判定并阻止各种Web入侵行为,阻断对Web服务器的恶意访问与非法操作,适应Web2.0时代的主动实时监测过滤风险技术,而不是被动的遭受攻击后的恢复,将恶意代码、非授权篡改、应用攻击等众多因素结合在一起进行综合防,从而做到对Web服务器的保护,防SQL注入,防XSS攻击,防命令行注入,防弱口令攻击、防挂马攻击等
AnchivaA206支持Web攻击防御,通过对进出Web服务器的http/https协议相关容的实时分析监测、过滤,来精确判定并阻止各种Web入侵行为,阻断对Web服务器的恶意访问与非法操作,适应Web2.0时代的主动实时监测过滤风险技术,而不是被动的遭受攻击后的恢复,将恶意代码、非授权篡改、应用攻击等众多因素结合在一起进行综合防,从而做到对Web服务器的保护,防SQL注入,防XSS攻击,防命令行注入,防弱口令攻击、防挂马攻击等
满足
AD域部署
域控制器搭建,安装Windows2008server,在其上安装相应软件并将其搭建为域控制器,安装需要的网络服务确保域控制器能够正常工作
提供Windowsserver2008安装,搭建域控制器,并确保域控制器能够正常运行
满足
创建组织架构,按照电联公司现有的部门管理架构在域控制器上创建相应的OU以及个人账户,并安装账户的密码管理策略给每个用户创建账号、口令
提供AD组织架构创建服务,安装电联现有的部门管理架构和命名规创建相应的OU和个人账户,并安装密码管理策略创建用户账户、口令
满足
工作组到域模式迁移,逐步把电联公司现有的所有电脑(运行在工作组模式下)加入到域,完成从工作组模式到域模式的迁移
提供从工作组模式到域模式的迁移服务,逐步把电联现有的所有电脑(运行在工作组模式下)加入到域,完成从工作组模式到域模式的迁移
满足
应用系统迁移,需要保障电联现有的应用系统,包括个人应用系统与服务器应用系统,如ERP、、OA、财务软件、打印机等完成到域模式迁移后能够正常运行
提供应用系统迁移服务,确保电联现有的应用系统的可用性,包括个人应用系统与服务器应用系统,如ERP、、OA、财务软件、打印机等完成到域模式迁移后能够正常运行
满足
根据电联公司对部电脑的管理要求,定制相应的组策略,实现统一管理
提供策略定制服务,定制相应的组策略,实现统一管理
满足
搭建SUS服务,通过SUS服务的搭建和组策略的定制,实现对Windows系统补丁的统一更新和管理
提供SUS安装配置服务,通过SUS服务的搭建和组策略的定制,实现对Windows系统补丁的统一更新和管理
满足
安全网关
安全网关应具备反垃圾、防病毒以及容过滤技术,能够对入站和出站的电子进行安全检查和过滤;
Symantec8340安全网关(以下简称Symantec8340)具备反垃圾、防病毒、容过滤、即时通讯过滤功能,可对入站、出站的电子、即时消息进行安全检查和过滤
满足
设备应支持不少于1000用户的安全过滤
Symantec8340可以支持不少于1000用户的过滤
满足
设备存储空间应不少于80G,为保证数据安全,要求设备硬盘为raid1模式
Symantec8340硬盘存储采用raid1模式,存储空间80G
满足
设备应具备电子防火墙功能,能够对账号搜集攻击(DHA)进行防护,能进行发件人验证,SMTP连接管理
Symantec8340具备电子防火墙功能,能够对账号搜集攻击(DHA)进行防护,能进行发件人验证,SMTP连接管理
满足
设备应支持黑、白,RBL列表,支持多种语言的垃圾扫描,如中文、英文、日文、文、西班牙语、葡萄牙语等
Symantec8340支持IP、域名、的黑白,支持RBL列表添加,支持多语言垃圾扫描,如中文、英文、日文、文、西班牙语、葡萄牙语等
满足
设备应能对进行病毒扫描,并定义扫描附件的解压缩层级
Symantec8340支持对的病毒扫描,可以定义附件扫描以及解压缩层级
满足
设备应支持基于容的过来,可以定义头、主题、容、附件等的词典过滤器,并支持以上过滤器之间的与、或、非逻辑运算组合
Symantec8340支持基于容的过来,可以定义头、主题、容、附件等的词典过滤器,并支持以上过滤器之间的与、或、非逻辑运算组合
满足
支持隔离通知功能,个人使用者可以用自己的账号登陆个人隔离,并可以根据发件人、收件人、正文、主题、时间等条件搜索隔离
Symantec8340支持隔离通知功能,个人使用者可以用自己的账号登陆个人隔离,并可以根据发件人、收件人、正文、主题、时间等条件搜索隔离
满足
支持WEB管理,支持自定义模板的报告生成和导出
Symantec8340支持WEB、SSH、CONSOLE管理,支持预定义、自定义的报告生成和导出
满足
技术服务
供应商应对本项目中所有产品提供安装部署服务,保证所有产品能够稳定运行,产品安装部署完后应提交安装配置文档
提供所有产品的安装部署服务,保证所有产品能够稳定运行,安装完成后提交安装配置文档
满足
本项目所有产品,要求提供现场的产品培训服务。
本项目中防火墙、VPN系统,供应商应提供专业的产品培训,帮助管理员熟练掌握产品的原理、部署、配置、排错
提供所有产品的现场培训服务,确保管理员能够掌握管理管理功能;
对本项目中的防火墙、VPN系统,免费提供2个名额的产品培训,帮助管理员掌握产品的工作原理、部署、配置、排错
满足
供应商对本项目中所有产品提供7*24小时技术支持,提供技术支持热线,一旦遇到软件、硬件或是相关的网络问题,都可以拨打服务热线,从而得到支持与帮助。
接到问题的请求后,供应商技术支持工程师需在三十分钟通过解决或回答用户所提出的问题。
7*24小时支持应提供不少于2人的技术支持工程师联系方式,并保证7*24小时畅通。
升级会员 