A1包网络安全设备.docx
《A1包网络安全设备.docx》由会员分享,可在线阅读,更多相关《A1包网络安全设备.docx(59页珍藏版)》请在冰豆网上搜索。
![A1包网络安全设备.docx](https://file1.bdocx.com/fileroot1/2023-1/3/b897a156-62c9-47eb-812f-ef568ed64899/b897a156-62c9-47eb-812f-ef568ed648991.gif)
A1包网络安全设备
A1包、网络安全设备
一、供应商资格要求
1、符合《中华人民共和国政府采购法》第二十二条的规定。
2、供应商的资质要求:
无
二、技术要求
一、技术要求
序号
产品名称
招标要求的技术指标
数量
1.
上网行为管理
性能规格
吞吐量≥1.5Gbps,并发会话数≥400,000,支持用户数6000,配≥6个千兆电口,1个RJ45串口,支持BYPASS
多主模式
支持两台及两台以上设备同时做主机的部署模式;支持IPv6部署
链路负载
支持按剩余带宽、带宽比例、平均分配、前面优先等方式进行多链路负载;
支持链路故障检测;
Web访问质量检测
针对内网用户的web访问质量进行检测,对整体网络提供整体网络质量评级
支持以列表形式展示访问质量差的用户名单
支持对单用户进行定向web访问质量检测
用户认证
支持触发式WEB认证、静态用户名密码认证、以USB-Key方式实现双因素身份认证、短信认证、微信认证、访客二维码认证等;
支持LDAP、Radius、POP3、Proxy等第三方认证;
支持ISA\lotusldap\novelldap\oracle、sqlserver、db2、mysql等数据库等第三方认证;
共享接入管理(防共享)
设备能够发现私接路由(或者共享软件等)共享网络的行为:
1.支持自定义配置终端数量、冻结时间、添加信任列表;
2.支持显示以IP或用户名的维度统计一段时间内的趋势图。
3.支持例外排除功能。
应用控制
设备内置应用识别规则库,支持≥4000条应用规则数,支持≥2000种应用,≥600种移动应用,并保持每两个星期更新一次;
支持应用标签化,每个应用支持列上图标;
支持应用细分控制;
动态流控
支持在设置流量策略后,根据整体线路或者某流量通道内的空闲情况,自动启用和停止使用流量控制策略;
空闲值可自定义
P2P智能流控
支持P2P流量控制;
流控黑名单
基于“流量”、“流速”、“时长”设置配额,当配额耗尽后,可将用户加入到指定的流控黑名单惩罚通道中。
流控单位
支持灵活配置流控单位(IP或用户名)
SSL加密内容审计
针对SSL加密的网站、论坛发帖、web邮箱以及客户端邮箱(如闪电邮)等内容进行审计;
应用审计
支持记录QQ、MSN等IM聊天行为和传文件的内容;
支持移动APP(IOS和android)审计;
支持金融类应用内容审计。
趋势报表
支持多种维度的流速趋势报表、流控通道趋势报表、应用行为趋势报表、网站分类行为趋势报表等
单用户行为分析针对单用户的行为分析(包括:
应用流速趋势、应用流量排行、域名流量排行、应用时长排行、域名时长排行、行为汇总排行等)
1台
2.
下一代防火墙
硬件参数
本次配置千兆电口≥8个,千兆光口≥2个,硬盘≥500G,2U设备,冗余电源。
性能参数
网络层吞吐量≥12Gbps,应用层吞吐量≥3Gbps,并发连接数≥2200000,每秒新建连接数≥220000。
开启入侵防御ips,web应用防护,僵尸网络检测,实时漏洞防护,网页防篡改功能模块,AV杀毒模块。
部署方式
支持路由,网桥,单臂,旁路,虚拟网线以及混合部署方式。
配置IPS功能。
支持链路聚合功能,支持端口联动,支持802.1QVLANTrunk、access接口,子接口。
路由支持
支持静态路由,ECMP路由,支持RIPv1/v2,OSPFv2/v3动态路由协议,支持多链路负载,支持基于应用类型的策略路由选路。
访问控制策略支持基于源/目的IP,源端口,源/目的区域,用户(组),应用/服务类型,时间组的细化控制方式;
DDoS攻击防护
支持Land、Smurf、Fraggle、WinNuke、PingofDeath、TearDrop、IPSpoofing攻击防护、支持SYNFlood、ICMPFlood、UDPFlood、DNSFlood、ARPFlood等攻击防护,支持IP地址扫描,端口扫描防护
入侵防护功能
入侵防护漏洞规则特征库数量≥4000条,入侵防护漏洞特征具备中文相关介绍,包括但不限于漏洞描述,漏洞名称,危险等级等;
可提供最新的威胁情报信息,能够对新爆发的流行高危漏洞进行预警和自动检测,发现问题后支持一键生成防护规则;
Web应用安全防护
支持Web漏洞扫描功能,可扫描检测网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞;
支持对网站黑链进行检测;
支持叠加云端安全服务实现对设备的托管,由云端安全专家对设备进行日志分析和策略配置调整,并按月输出运营月报
僵尸主机检测
支持对终端已被植入远控木马或者病毒等恶意软件进行检测,并且能够对检测到的恶意软件行为进行深入分析,展示和外部命令控制服务器的交互行为和其他可疑行为;
具备对于未知威胁同云端安全分析引擎进行联动的能力,上报可疑行为并在云端进行沙盒检测,并下发威胁行为分析报告;
支持通过云端的大数据分析平台,发现和展示整个僵尸网络的构成和分布,定位僵尸网络控制服务器的地址;
病毒防护
支持对HTTP,FTP,SMTP,POP3等协议进行病毒文件检测;
病毒样本数量≥1000万;
网页篡改防护
具备网页防篡改功能;
安全可视化
支持对经过设备的流量进行分析,发现被保护对象存在的漏洞(非主动扫描),并根据被保护对象发现漏洞数量进行TOP10排名,列出每个服务器发现的漏洞类型以及数量,支持生成和导出威胁报告,报告内容包含对整体发现的漏洞情况进行分析。
2台
3.
隔离网闸
设备要求
★网络吞吐量:
≥1000Mbps;整体时延:
≤1ms;受控协议通道:
≥256种;并发连接数:
≥16000
硬件配置机型2U
内端机端口:
10/100/1000MRJ45接口≥8个;
外端机端口:
10/100/1000MRJ45接口≥8个;
电源:
配置冗余电源;
产品架构
专用传输隔离部件完全自主开发且外部无法编程控制;
操作系统
系统基于可信安全操作平台,提供内核级主动防御;
能够对内外两个主机系统提供安全防护;
采用对象互斥和线程守护技术,保护主要进程的安全性和稳定性;
内置病毒查杀库,可查杀操作系统各种主流病毒;
应用协议支持HTTP、SMTP、POP3、FTP、TELNET、SQL、ORACLE、NULL_TCP等
可定制应用协议检查模块
功能模块
安全上网:
提供安全上网访问,支持HTTP协议及代理等;
访问控制对象:
源地址、目标地址、源端口、目的端目、域名、URL、访问方式、时间等;支持对基于HTTP的SOAP协议进行过滤、支持对安全内容关键字过滤;
脚本过滤:
Javascript、Applet、ActiveX等;
其他过滤策略:
文件类型、页面提交方式等;
认证方式:
支持用户名/密码认证方式;
能够对每个用户的上网带宽进行限定;
安全邮件:
提供安全的邮件访问,支持POP3、SMTP协议;
文件传输:
提供安全的文件传输功能,支持FTP等文件传输协议;
支持用户名/密码认证;
支持用户名/IP-MAC绑定;
支持对传输文件的类型过滤;
支持访问时间控制;
支持指令控制;
支持将所传输的文件保存在网闸本地;
文件同步:
可通过专用客户端或共享方式提供安全文件同步功能;
支持windows平台和linux等平台;
同步传输方向可控,双向或单向;
支持实时扫描传输;
支持一对多或多对一传输;
支持目录内子目录同步,支持≥32级目录;
支持中文文件名或目录同步;
支持文件类型的过滤;
支持增量传输;
支持传输后删除源文件;
提供详细日志审计;
支持对所传输的文件进行MD5码检验
数据库访问
支持对主流数据库(SQLServer、ORACLE、DB2、SYBASE等)安全访问和操作;
数据库同步
基于专用客户端与网闸安全连接方式,提供多种主流数据库(SQLServer、ORACLE、DB2、SYBASE、MySQL等)的数据交换;
同步粒度可以达到表内具体字段;
支持多种增量同步方式;
实现源数据到目标数据之间的实时数据交换,支持数据整合业务;
支持数据一对一、一对多、多对多交换和同步;
支持实时交换或定时同步的策略定义;
采用XML技术,可以通过标准定义、规则定义、通道定义和路由定义进行个性化的数据交换策略定义;
安全功能
支持用户名与密码认证;
支持用户名与IP-MAC绑定;
支持访问时间控制;
支持病毒查杀功能;
支持对每个应用设定带宽及最大连接数
支持对应用服务进行实时状态监控功能
自定义协议
支持用户基于标准TCP、UDP开发的自定义协议软件;
可以根据需求开发新的专用协议处理过滤功能;
支持访问时间控制;
支持SIP协议传输及控制;
实现多机热备
安全审计SNMP模块支持SNMP协议,可与标准网管平台兼容;
SYSLOG模块支持SYSLOG协议,可与标准日志服务器平台兼容,可实时发送网闸运行状态;
可动态实时显示网闸当前各个应用的并发连接数,非总体连接数
发生异常状况时可通过短信以及邮件方式通知管理员;
可通过图形化实时监控设备内部硬件传输带宽占用情况;
安全防御
内置独立的入侵检测模块,可与网闸联动对入侵行为做出处理;
抗攻击模块具有抗DOS、DDOS等功能;
配套管理
管理端和审计端软件支持B/S结构和用C/S结构;
可通过串口终端管理方式对网闸进行维护;
支持指纹登陆身份认证
管理端和审计端需独立与管理口连接使用,不允许使用内端机或外端机上的通讯口对网闸进行配置管理。
2台
4.
堡垒机
设备要求:
2U设备,GE电口(内置电口Bypass)≥6个,接口扩展槽位(4GE/4SFP/8GE/8SFP)≥1个,字符并发会话数≥800,图形并发会话数≥600,硬盘≥2T,授权管理≥200台设备,双电源,内置前置机。
功能要求:
1.支持登录菜单访问。
2.支持Telnet、SSH、RDP、VNC、HTTP、HTTPS等协议审计。
3.支持客户端访问。
4.支持个性化配置运维参数;可选择首页设备分组的默认方式,可配置本地客户端路径;可配置默认账号的登录参数,可配置图形、文件、应用运维默认值。
5.访问策略支持设备视图和用户视图,视图可以按照xls格式导出。
6.支持手工登录目标设备,运维人员每次通过堡垒机登录目标设备都需要手工输入目标设备用户名密码。
7.支持运维人员半自动登录目标设备,即第一次登录目标设备时运维人员需手工输入目标设备帐号和密码并允许堡垒机保存该帐号密码,运维人员就可以自动登录目标设备。
8.支持设备发现,通过IP地址扫描,快速发现指定IP地址范围内的主机、服务器和网络设备,并自动识别启用服务和端口。
10.支持数据库审计功能,能够将网络中的流量通过镜像的方式传到堡垒机,堡垒机以录屏加数据库日志的形式审计运维人员的操作,支持将操作语句与录屏进行实时绑定,能够准确快速的定位数据库语句执行时,整个屏幕的状态。
11.支持批量导入/导出用户帐号及目标设备信息。
12.可通过应用发布的方式进行协议扩展。
13.具备工单系统。
14.针对Linux服务器将采用公钥私钥登录,要求堡垒机支持公钥私钥代理登录。
17.支持和防火墙联动。
1台
5.
安全运维感知平台
要求通过平台+探针方式实现威胁感知,本次要求部署1套平台与一套探针。
平台要求:
技术指标
主动发现内网未被定义的设备资产的IP地址。
资可以识别内网服务器资产的IP地址,操作系统,开放端口以及传输使用协议和应用。
能够按资产IP地址/地址段,组合成为特定的业务组。
通过访问关系学习展示用户、业务系统、互联网之间访问关系。
通过颜色区分不同危险等级用户、业务系统。
支持全网业务可视化,可以呈现全网业务对象的访问关系与被入侵业务的图形化展示。
支持用户自定义的业务资产管理的可视化
内网违规访问,攻击行为,异常流量的图形化展示展示内网针对不同业务资产的正常访问,违规访问,攻击行为,异常流量,并用颜色区分。
恶意DNS检测:
具备自学习功能。
安全日志:
支持所有安全设备的安全日志汇总,并能够通过时间、类型、严重等级、动作、区域、ip、用户、特征/漏洞ID、回复状态码、域名/URL、设备名称等多个条件查询过滤日志。
全网攻击监测大屏:
支持安全态势感知,对全网安全事件与攻击的地图展现与可视化展现。
按攻击事件、攻击源、攻击目标、攻击类型、危害级别进行统计与展示。
业务外连监控大屏:
展示资产/业务被外网攻击的实时动态地图,图形化大屏展示。
可视化展示业务系统的外连区域,外连应用以及对应关系。
对高危用户的风险操作和非法访问等行为进行可视化展示;
管理功能:
多次登录失败将锁定账号
支持在线升级和离线升级两种升级方式,并支持定时自动升级
可新增并管理用户,可控制用户使用权限。
可扩展性可扩展安全功能组件:
沙箱,云端大数据,流量溯源,攻击链分析。
探针要求:
技术指标
基础检测功能:
具备报文检测引擎,可实现IP碎片重组、TCP流重组、应用层协议识别与解析等,具备多种入侵攻击模式或恶意URL监测模式,可完成模式匹配并生成事件,可提取URL记录和域名记录,在特征事件触发时可以基于五元组和二元组(IP对)进行原始报文的录制。
监测识别规则库
能够识别应用类型≥1000种,应用识别规则总数≥3000条,具备亿万级别URL识别能力。
漏洞利用规则特征库数量≥4000条,漏洞利用特征具备中文相关介绍,包括但不限于漏洞描述,漏洞名称,危险等级;
异常会话检测
可实现对外联行为分析、间歇会话连接分析、加密通道分析、异常域名分析、上下行流量分析等在内的多场景网络异常通信行为分析能力。
深度监测能力
可提供网络流量的会话级视图,根据网络流量的正常行为轮廓特征建立正常流量模型,判别流量是否出现异常,对原始流记录进行异常检测,可发现网络蠕虫、网络水平扫描、网络垂直扫描、IP地址扫描,端口扫描,ARP欺骗,IP协议异常报文检测和TCP协议异常报文等常见网络异常流量事件类型;
支持对节点检测节点内部主机外发的异常流量进行检测支持对信任区域主机外发的异常流量进行检测,如ICMP,UPD,SYN,DNSFlood等DDoS攻击行为;
支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP)和数据库软件(MySQL、Oracle、MSSQL)的口令暴力破解检测功能;
可提供最新的威胁情报信息,能够对新爆发的流行高危漏洞进行预警和自动检测
Web应用安全检测能力支持HTTP1.0/1.1,HTTPS协议的安全威胁检测;
支持针对B/S架构应用抵御SQL注入、XSS、系统命令等注入型攻击;支持跨站请求伪造CSRF攻击检测;支持对主流脚本语言编写的webshell后门脚本上传的检测;支持其他类型的Web攻击,如文件包含,目录遍历,信息泄露攻击等的检测;
具备独立的Web应用检测规则库,Web应用检测规则总数≥3000条;
支持敏感数据泄密功能检测,支持敏感信息自定义,支持根据文件类型和敏感关键字进行信息过滤;支持对被Web网站是否被挂黑链进行检测
僵尸主机检测
支持对终端植入远控木马或者病毒等恶意软件进行检测,并且能够对检测到的恶意软件行为进行深入的分析,展示和外部命令控制服务器的交互行为和其他可疑行为;
具备独立的僵尸主机识别特征库,恶意软件识别特征总数≥50万条;
对于未知威胁具备同云端安全分析引擎进行联动的能力,上报可疑行为并在云端进行沙盒检测,并下发威胁行为分析报告;
违规访问检测
能够针对IP,IP组,服务,端口,访问时间等策略,主动建立针对性的业务和应用访问逻辑规则,包括白名单和黑名单两种方式,并对检测到的违规访问进行实时告警
流量记录
能够对网络通信行为进行还原和记录。
管理功能
提供网络管理功能,可进行静态路由配置
多次登录失败将锁定账号
支持在线升级和离线升级
支持用户初次登陆强制修改密码功能。
可实时监控设备的CPU、内存、存储空间等使用情况。
能够监控监听接口的实时流量情况
部署
支持旁路部署,对镜像流量进行监听
支持可以将多台探针同时部署于客户网络不同位置并将数据传输到同一套安全感知平台
1套
6.
数据库防火墙
设备要求:
2U标准机架,含交流冗余电源模块,1*RJ45串口,≥1*GE管理口,≥6*GE电口,1≥个接口扩展槽位,本次配置≥2个万兆光口板卡(满配万兆多模光模块),≥4TSATA硬盘;支持外部存储设备,在线日志量≥15亿条,归档日志量≥40亿条,纯数据库网络吞吐量:
≥1.5Gbps,并发会话数≥4000个;SQL处理性能≥10000条/秒;
功能要求:
1.具备访问控制功能:
登录控制,对IP、MAC、客户端、用户名、时间等进行限制;
2.具备虚拟补丁功能;
3.具备防SQL注入功能;
4.控制动作:
中断会话:
对需要阻断的访问,中断数据库连接;拦截语句:
对需要阻断的访问,返回防火墙的错误提示信息,并不将命令发送给数据库服务器;
5.系统的审计动作:
审计记录:
对数据库的所有访问语句进行记录
6.具备告警通知功能;
7.具备应用建模功能;
8.部署模式:
透明网桥模式;代理接入模式;旁路模式;混合模式,支持在一台数据库防火墙设备上同时进行串联和旁路两种接入模式。
9.实时运行监控:
提供对风险访问行为统计、SQL吞吐量统计、流量和平均响应时间统计、SQL访问类别统计、告警阻断SQL统计。
10.风险和危害访问分析:
提供对风险和危害访问的分析,包括:
高危操作分析和追踪、大规模数据泄露分析和追踪、批量数据篡改分析和追踪、SQL注入行为分析和追踪
11.会话访问行为分析:
提供会话统计分析和会话访问追踪能力,成功会话分析,失败会话分析
12.提供报表展示:
提供会话行为报表、SQL行为报表、危险行为报表
13.提供审计事件的检索功能,支持按、源IP、源端口、目的IP、目的端口、用户名、时间等进行统计,支持组合条件查询方式
14.图表类型支持支持图表类型,包括曲线、柱形图和饼图及3维数据的图表
15.支持报告导出功能,可支持HTML、cvs、PDF等格式的导出
1台
二、其他要求
1)提供20人次、4天的原厂技术培训,提供培训清单和培训资料(实施本项目的网络拓扑图、原理图、布置图),费用包含在总报价中。
2)投标人承诺在实施安装、调试作业过程中,遵守安全规程,保守采购人秘密,否则承担由此造成的全部责任。
3)投标人须在投标文件中提供本项目完整建设方案和实施计划,确定每个实施阶段的时间表及工作目标;提供项目组成员名单、职务、学历、经历,每个系统建设阶段参与人员名单。
4)在项目实施期间,中标人不得随意更换的项目负责人或者技术员。
5)原厂质保3年,软件免费升级更新。
6)提供7*24小时的电话支持服务、现场技术服务;自接到通知后应在30分钟内响应,1小时内到达故障现场解决问题并提供解决方案,提供定期巡查服务、技术升级服务等。
费用包含在投标总价中。
8)从项目交付验收合格之日起,投标人提供1名技术人员驻场服务,服务期限为3年。
费用包含在投标总价中。
注:
以上加“_________”部分为★条款内容,如不满足,按无效投标处理。
三、投标保证金
1、投标保证金数额:
人民币贰万肆仟圆整(¥24000.00)。
2、投标保证金交纳采用下列形式之一:
银行本票、银行汇票、担保函。
投标保证金为电汇形式的,汇款单上须注明采购项目编号、包号。
若交款人名称与投标人名称不一致,投标人须出具加盖公章的书面材料,退款时,款项退至投标人帐户。
收款单位:
山东省人民政府采购中心
开户银行:
建行济南市高新支行黄金时代分理处
银行帐号:
37001618819059099999
大额联行号:
105451001046
A2包、打印机
一、供应商资格要求
1、符合《中华人民共和国政府采购法》第二十二条的规定。
2、供应商的资质要求:
无
二、技术要求
一、技术要求
序号
产品名称
技术参数
数量
7.
热敏打印机
产品类型:
80毫米行式热敏打印机;
打印速度:
≥150毫米/秒;
点密度:
≥200dpi×200dpi;
字体:
FontA:
12×24,FontB:
9×17,汉字:
24×24;
纸张尺寸:
≥80mm×dia.80mm;
接口:
USB,RS-232,Ethernet;
传感器:
标配纸将尽传感器;
打印头、切刀可靠性:
打印头平均无故障周期≥6000万行,标配切刀,切刀寿命≥150万次;
平均无故障时间:
≥360000小时。
100台
8.
处方打印机
分辨率:
≥200DPI;
打印方式:
支持热敏和热转印;
打印宽度:
≥100mm;
打印速度:
≥125mm/s;
存储器:
FLASH≥4MB;SDRAM≥64MB;
纸标记探测:
透射传感器和移动式反射传感器;
通讯接口:
USB口;
纸张类型:
连续纸,标签纸,标记纸等;
纸卷外径:
125mm;
★纸卷宽度:
≥130mm;
字符集:
常用字体;
条码:
支持常用一维码、二维码格式打印。
25台
9.
条码打印机
分辨率:
≥200DPI;
打印方式:
支持热敏和热转印;
打印宽度:
≥100mm;
打印速度:
≥125mm/s;
内存:
SDRAM≥64MB;Flash≥4MB;
纸探测传感器:
可移动式反射传感器,固定式透射传感器;
通讯接口:
串口+USB;
纸张类型:
连续纸,标签纸,打孔纸,标记纸等;
纸卷外径:
≥125mm;
纸卷宽度:
≥115mm;
碳带宽度:
≥110mm;
碳带长度:
≥300m;
指令集:
支持BPLA或BPLB指令集;
条码:
支持一维码和二维码的打印;
20台
10.
激光打印机
产品类型:
A4幅面黑白激光打印机;
首页输出时间:
≤6.5秒;
打印速度:
≥38PPM(A4);
分辨率:
≥1200x1200dpi;
内存:
≥128MRAM;
输入:
纸盒≥250页,多功能纸盒≥100页;输出:
出纸盒≥150页;
双面打印:
标配自动双面打印,A4幅面的自动双面打印速度不低于30面/分钟;
打印负荷:
≥80,000页/月;
接口:
USB2.0;
100台
11.
针式打印机
打印机类型:
106列平推证卡打印机,≥24针点阵式;
打印速度:
中文≥220汉字/秒,英文≥440字符/秒;
纸张宽度:
连续纸(宽)101-304mm;单页纸(宽)90-304mm;
进纸方式:
前进前出、后进前出;
最大打印厚度:
≥3.6mm;
复写能力:
1+6联;
打印头寿命:
≥4亿次/秒;
色带寿命:
≥1000万字符;
标配手动导纸旋钮,菜单式纸张切换(单页纸、连续纸、证本);
接口:
USB2.0、IEEE-1284双向并行接口;
进纸方式:
摩擦进纸(前部、后部进纸)/拖纸器进纸(后部进纸);
缓冲区:
≥128KB;
打印控制代码:
ESC/P-K,IBM2390+仿真,OKI5530SC仿真;
平均无故障时间:
≥20000小时;
50台
12.
二维扫描枪
扫描模式:
CMOS影像式;
分辨率:
≥800×600像素;
解码速度:
≥200次/秒;
CPU:
≥3