东海信息中心网站安全系统竞价设备清单.docx
《东海信息中心网站安全系统竞价设备清单.docx》由会员分享,可在线阅读,更多相关《东海信息中心网站安全系统竞价设备清单.docx(18页珍藏版)》请在冰豆网上搜索。
东海信息中心网站安全系统竞价设备清单
东海信息中心网站安全系统竞价设备清单
产品清单:
序号
商品分类
参考品牌
规格型号
单位
数量
1
入侵检测系统(IDS)
绿盟
NIPS1000A-ZC-2011-02
台
1
2
运维审计服务器
绿盟
以上包含
模块
1
3
网络安全网关
绿盟
SAS1100A-ZC-2011-01
台
1
4
防火墙
绿盟
WAFP300A-ZC-1002
台
1
网络入侵防护系统及高端网络安全网关指标要求:
产品要求
详细说明
设备要求
系统需提供10个千兆业务电口(可选配SFP光、电模块)。
吞吐量≥800Mbps,最大并发TCP会话数≥150万,每秒新增TCP会话数≥3万。
所有配置界面及时间描述均为中文。
入侵防护功能
系统应具备融合模式匹配、协议分析、异常检测、会话关联分析,以及抗IDS/IPS逃逸等多种技术,准确识别各种黑客入侵,为用户提供2~7层深度入侵防御。
应提供覆盖广泛的攻击特征库,能够针对2000种以上的攻击行为、异常事件,以及网络资源滥用流量,进行检测和防御,并支持自定义规则。
支持对网络蠕虫、木马后门、缓冲区溢出、间谍软件等各种攻击行为进行检测及防御,提供先进的DoS/DDoS攻击防护能力,支持双向阻断TCP/UDP/ICMP/ACKFlooding,以及UDP/ICMPSmurfing等常见的DoS/DdoS的攻击。
支持通过应用层检测来阻断或控制P2P下载,流媒体应用,即时通信软件,常见股票软件、网络游戏等。
对于P2P/IM可单独设定占用的带宽,合理利用网络带宽资源。
应提供多种攻击响应方式,至少要包括:
丢弃数据包、阻断会话、邮件报警、短信报警、控制台显示、日志数据库记录等。
防病毒功能
防病毒引擎采用基于特征扫描和启发式扫描技术,实现针对HTTP、SMTP、POP3和FTP等多种协议的病毒流量监测和控制。
(提供产品功能界面截图)
病毒查杀数量≥1400万。
管理功能
系统应提供基于Web的远程GUI管理,可以在任何IP可达地点,以简单、直观的方式完成策略配置、警报查询、攻击响应、集中管理等各种任务。
系统应提供多种升级方式,至少提供实时在线升级、自动在线升级、离线升级的升级方式。
应提供完善的日志管理功能,支持自动报表功能,用户可自行定义生成报表的周期、设备、日志类型、日志等级等;生成的报表可自动发送至用户指定邮箱。
高可用性
系统应支持A/A和A/S两种高可用部署方式,出现设备宕机、端口失效等故障时,完成主机和备机的即时切换,确保关键应用的持续正常运转。
系统应支持HA部署模式下的会话、配置、策略等信息的自动和手动同步。
系统网络接口应具备内置fail-open特性,产品出现故障时,能自动转变成通路,不影响业务流量的正常传输。
投标设备应支持热插拔的冗余双电源,避免电源硬件故障时设备宕机,提高设备可用性。
产品成熟度
投标产品应该是经过市场考验的成熟产品,产品上市时间不少于5年。
须提供销售许可证或软件著作权证书等有效证明材料。
投标产品应该是被广泛应用的成熟产品,在国内市场具有较高的市场份额,市场占有率排名不应低于前3名。
须提供市场占有率排名有效证明材料。
投标IPS产品应该是被认可的成熟产品,如获得国、内外奖项可提供相应证明。
产品资质
中华人民共和国公安部《计算机信息系统安全专用产品销售许可证》
国家保密局涉密信息系统安全保密测评中心《涉密信息系统产品检测证书》(千兆)
中国信息安全测评中心《国家信息安全测评信息技术产品安全测评证书》(千兆)(级别:
EAL3)
中华人民共和国国家版权局《计算机软件著作权登记证书》
厂商资质
中国信息安全认证中心《信息安全服务资质认证证书》(一级应急处理)
中国信息安全认证中心《信息安全服务资质认证证书》(一级风险评估)
中国信息安全认证中心《信息安全服务资质认证证书》(一级安全集成)
中国信息安全测评中心《国家信息安全测评信息安全服务资质证书》(安全工程类二级)
中国信息安全测评中心《国家信息安全测评信息安全服务资质证书》(安全开发类一级)
国家计算机网络应急技术处理协调中心《网络安全应急服务支撑单位证书》(国家级)
运维审计系统指标要求:
参数
功能与技术描述
产品架构
软硬件一体化产品。
部署方式
采用物理旁路模式部署,不影响网络结构。
管理结构
B/S架构,采用HTTPS方式远程安全管理,无需安装客户端。
网络接口
系统需提供6个千兆业务电口(可选配SFP光、电模块)。
数据存储
系统自带内部存储,存储空间不低于1T。
并发访问
图形并发不少于100个;
字符并发不少于500个。
用户角色
堡垒机具有用户多角色划分功能,如堡垒机管理员、设备管理员、普通用户、审计管理员等,对各类角色需要进行细粒度的权限管理。
身份认证
主帐号登录堡垒机应支持本地静态密码认证LDAP认证、RADIUS认证等身份认证方式。
目标设备登录方式
支持自动登录目标设备功能,运维人员不必知道目标设备帐号及密码,无需进行二次登录认证,实现单点登录。
支持手工登录目标设备,运维人员每次通过堡垒机登录目标设备都需要手工输入目标设备用户名密码。
支持运维人员半自动登录目标设备,即第一次登录目标设备时运维人员需手工输入目标设备帐号和密码并允许堡垒机保存该帐号密码,运维人员就可以自动登录目标设备。
主帐号关联
支持以首页中的主账号为基准,支持直接查询并编辑与该主账号相关的策略。
支持以首页中的设备为基准,支持直接查询该主账号有权限运维的所有设备。
支持以首页中的设备为基准,支持直接查询该主账号的所有审计信息。
设备关联
支持以首页中的设备为基准,支持直接查询并编辑与该设备相关的策略。
支持以首页中的设备为基准,支持直接查询有权限运维该设备的所有普通用户。
支持以首页中的设备为基准,支持直接查询该设备的所有审计信息。
目标设备分组展示
用户登录堡垒机后可在首页分组显示该用户有权限管理的目标设备,分组依据应支持按部门、按设备类型、按业务类型分组。
账号维护
支持批量导入用户帐号信息。
设备维护
支持批量导入目标设备信息。
自动修改从账号密码
支持定期自动修改目标设备密码功能。
实时监控
支持实时监控通过SSH、SFTP、RDP、VNC、Telnet、FTP等协议的操作行为;对监控到的非法操作,可实时手工切断。
支持的协议
字符型远程操作协议:
SSH(V1、V2)、TELNET。
图形化远程操作协议:
RDP、VNC、X11。
文件传输协议:
FTP、SFTP。
支持Oracle、MSSQLServer、IBMDB2、Sybase、IBMInformixDynamicServer、MySQL、PostgreSQL等数据库。
支持HTTP、HTTPS操作审计。
应用发布
可通过应用发布的方式进行协议扩展,无需定制即可支持其他通用及专有的运维客户端程序。
支持的设备访问方式
Web访问方式:
支持通过审计系统的Web页面直接访问设备。
客户端访问方式:
支持通过SecurCRT等常用的命令行客户端工具登录堡垒机并访问目标设备。
登录菜单访问:
客户端访问审计系统即可显示用户能访问的资源菜单,用户通过字符菜单或图形菜单选择方式直接访问设备。
操作行为记录
Telnet、SSH审计内容:
包括访问起始和终止时间、用户名、用户IP地址、目标设备IP、设备名称、协议类型、事件等级及操作内容回放。
RDP、VNC、HTTP、HTTPS等协议审计内容:
包括访问起始和终止时间、用户名、用户IP地址、目标设备IP、设备名称、协议/应用类型、事件等级、操作内容等;支持操作内容录像回放。
数据库运维操作审计内容:
包括访问起始和终止时间、用户名、用户IP地址、目标设备IP、设备名称、应用类型、事件等级、操作内容等;支持操作内容录像回放。
文件操作审计内容:
包括访问起始和终止时间、用户名、用户IP地址、目标设备IP、设备名称、协议类型、事件等级、操作内容(如对文件的上传、下载、删除、修改等操作等)。
访问控制及异常告警
支持通过基于时间、IP/IP段、用户/用户组、设备/设备组、设备账号、命令关键字、命令关键字正则表达式、内置命令集、危险级别(按危险程度分为高、中、低)等组合访问控制策略,授权用户可访问的目标设备。
支持基于访问权限定义高危操作。
支持基于时间、IP/IP段、用户/用户组、设备/设备组、设备账号、命令关键字、
、命令关键字正则表达式、危险级别等组合条件设置告警规则,当用户越权执行某些特定命令或者使用特权的时候进行告警、记录及阻断。
综合审计报表
堡垒机可以按时间、统计单位、服务类型、用户(用户组)、设备(设备组)及各类子报表类型定制报表,报表支持Word、excel格式导出。
管理员可以统计出某段时间内,高危命令执行的情况;针对被审计对象可以统计出用户信息、设备信息,统计结果支持excle方式导出。
产品资质
中华人民共和国公安部《计算机信息系统安全专用产品销售许可证》
国家保密局涉密信息系统安全保密测评中心《涉密信息系统产品检测证书》
中国信息安全认证中心《中国国家信息安全产品认证证书》(增强级)
中国信息安全测评中心《国家信息安全测评信息技术产品安全测评证书》(级别:
EAL3)
中华人民共和国国家版权局《计算机软件著作权登记证书》
厂商资质
中国信息安全认证中心《信息安全服务资质认证证书》(一级应急处理)
中国信息安全认证中心《信息安全服务资质认证证书》(一级风险评估)
中国信息安全认证中心《信息安全服务资质认证证书》(一级安全集成)
中国信息安全测评中心《国家信息安全测评信息安全服务资质证书》(安全工程类二级)
中国信息安全测评中心《国家信息安全测评信息安全服务资质证书》(安全开发类一级)
国家计算机网络应急技术处理协调中心《网络安全应急服务支撑单位证书》(国家级)
防火墙系统指标要求:
产品要求
详细说明
设备要求
系统需提供4个千兆业务接口。
吞吐量≥200Mbps,每秒最大事务处理数≥6000。
所有配置界面及时间描述均为中文。
产品应支持透明、代理模式部署。
支持SSL代理,支持多条链路数据的防护。
防护功能
支持HTTP0.9/1.0/1.1,完全解析HTTP事务;支持对SSL(HTTPS)加密会话进行分析。
支持扩展WEB漏洞扫描功能,支持对SQL注入漏洞、XSS漏洞等WEB脆弱性的扫描。
支持防护:
蠕虫、缓冲区溢出、CGI信息扫描、目录遍历等攻击;
支持SQL注入、XSS防护,支持使HTTP头部信息进行检查;
支持CSRF(跨站请求伪造)防护,提供配置界面截图;
支持网站扫描防护;
支持Cookie安全机制;
支持对服务器状态码进行过滤和伪装的安全策略;
支持基于五元组(源IP地址、目的IP地址、源端口、目的源口、协议类型)及接口的网络层访问控制功能。
支持爬虫防护,支持盗链防护,说明所采用的防护算法。
支持网页防篡改和防挂马功能,说明实现方法。
支持各类DDOS防护,包括TCPFlood、HTTPFlood防护、CC攻击等,并说明HTTPFlood防护的检测算法。
管理功能
应提供完善的日志管理功能,包括日查询、删除、备份、生成报表等操作,而且要支持自定义报表、自动生成报表等功能。
产品成熟度
原厂商必须拥有六年以上研发和生产安全产品的经验,投标时需提供该厂商第一次拿到的公安部安全产品销售许可证复印件,并加盖原厂商公章。
所投产品应是经过市场充分检验的成熟产品,产品正式发布上市至少三年以上,以《计算机信息系统安全专用产品销售许可证》上的时间为准。
产品国内市场占有率近两年内应保持前5名,并提供第三方权威咨询机构的相关市场报告证明。
产品资质
中华人民共和国公安部《计算机信息系统安全专用产品销售许可证》
国家保密局涉密信息系统安全保密测评中心《涉密信息系统产品检测证书》(百兆)
中国信息安全认证中心《中国国家信息安全产品认证证书》(增强级)
中国信息安全认证中心《IT产品信息安全认证证书》
中国信息安全测评中心《国家信息安全测评信息技术产品安全测评证书》(级别:
EAL3)
中华人民共和国国家版权局《计算机软件著作权登记证书》
厂商资质
中国信息安全认证中心《信息安全服务资质认证证书》(一级应急处理)
中国信息安全认证中心《信息安全服务资质认证证书》(一级风险评估)
中国信息安全认证中心《信息安全服务资质认证证书》(一级安全集成)
中国信息安全测评中心《国家信息安全测评信息安全服务资质证书》(安全工程类二级)
中国信息安全测评中心《国家信息安全测评信息安全服务资质证书》(安全开发类一级)
国家计算机网络应急技术处理协调中心《网络安全应急服务支撑单位证书》(国家级)
服务器指标要求:
参数
功能与技术描述
产品架构
软硬件一体化产品。
部署方式
采用物理旁路模式部署,不影响网络结构。
管理结构
B/S架构,采用HTTPS方式远程安全管理,无需安装客户端。
网络接口
系统需提供6个千兆业务电口(可选配SFP光、电模块)。
数据存储
系统自带内部存储,存储空间不低于1T。
并发访问
图形并发不少于100个;
字符并发不少于500个。
用户角色
堡垒机具有用户多角色划分功能,如堡垒机管理员、设备管理员、普通用户、审计管理员等,对各类角色需要进行细粒度的权限管理。
身份认证
主帐号登录堡垒机应支持本地静态密码认证LDAP认证、RADIUS认证等身份认证方式。
目标设备登录方式
支持自动登录目标设备功能,运维人员不必知道目标设备帐号及密码,无需进行二次登录认证,实现单点登录。
支持手工登录目标设备,运维人员每次通过堡垒机登录目标设备都需要手工输入目标设备用户名密码。
支持运维人员半自动登录目标设备,即第一次登录目标设备时运维人员需手工输入目标设备帐号和密码并允许堡垒机保存该帐号密码,运维人员就可以自动登录目标设备。
主帐号关联
支持以首页中的主账号为基准,支持直接查询并编辑与该主账号相关的策略。
支持以首页中的设备为基准,支持直接查询该主账号有权限运维的所有设备。
支持以首页中的设备为基准,支持直接查询该主账号的所有审计信息。
设备关联
支持以首页中的设备为基准,支持直接查询并编辑与该设备相关的策略。
支持以首页中的设备为基准,支持直接查询有权限运维该设备的所有普通用户。
支持以首页中的设备为基准,支持直接查询该设备的所有审计信息。
目标设备分组展示
用户登录堡垒机后可在首页分组显示该用户有权限管理的目标设备,分组依据应支持按部门、按设备类型、按业务类型分组。
账号维护
支持批量导入用户帐号信息。
设备维护
支持批量导入目标设备信息。
自动修改从账号密码
支持定期自动修改目标设备密码功能。
实时监控
支持实时监控通过SSH、SFTP、RDP、VNC、Telnet、FTP等协议的操作行为;对监控到的非法操作,可实时手工切断。
支持的协议
字符型远程操作协议:
SSH(V1、V2)、TELNET。
图形化远程操作协议:
RDP、VNC、X11。
文件传输协议:
FTP、SFTP。
支持Oracle、MSSQLServer、IBMDB2、Sybase、IBMInformixDynamicServer、MySQL、PostgreSQL等数据库。
支持HTTP、HTTPS操作审计。
应用发布
可通过应用发布的方式进行协议扩展,无需定制即可支持其他通用及专有的运维客户端程序。
支持的设备访问方式
Web访问方式:
支持通过审计系统的Web页面直接访问设备。
客户端访问方式:
支持通过SecurCRT等常用的命令行客户端工具登录堡垒机并访问目标设备。
登录菜单访问:
客户端访问审计系统即可显示用户能访问的资源菜单,用户通过字符菜单或图形菜单选择方式直接访问设备。
操作行为记录
Telnet、SSH审计内容:
包括访问起始和终止时间、用户名、用户IP地址、目标设备IP、设备名称、协议类型、事件等级及操作内容回放。
RDP、VNC、HTTP、HTTPS等协议审计内容:
包括访问起始和终止时间、用户名、用户IP地址、目标设备IP、设备名称、协议/应用类型、事件等级、操作内容等;支持操作内容录像回放。
数据库运维操作审计内容:
包括访问起始和终止时间、用户名、用户IP地址、目标设备IP、设备名称、应用类型、事件等级、操作内容等;支持操作内容录像回放。
文件操作审计内容:
包括访问起始和终止时间、用户名、用户IP地址、目标设备IP、设备名称、协议类型、事件等级、操作内容(如对文件的上传、下载、删除、修改等操作等)。
访问控制及异常告警
支持通过基于时间、IP/IP段、用户/用户组、设备/设备组、设备账号、命令关键字、命令关键字正则表达式、内置命令集、危险级别(按危险程度分为高、中、低)等组合访问控制策略,授权用户可访问的目标设备。
支持基于访问权限定义高危操作。
支持基于时间、IP/IP段、用户/用户组、设备/设备组、设备账号、命令关键字、
、命令关键字正则表达式、危险级别等组合条件设置告警规则,当用户越权执行某些特定命令或者使用特权的时候进行告警、记录及阻断。
综合审计报表
堡垒机可以按时间、统计单位、服务类型、用户(用户组)、设备(设备组)及各类子报表类型定制报表,报表支持Word、excel格式导出。
管理员可以统计出某段时间内,高危命令执行的情况;针对被审计对象可以统计出用户信息、设备信息,统计结果支持excle方式导出。
产品资质
中华人民共和国公安部《计算机信息系统安全专用产品销售许可证》
国家保密局涉密信息系统安全保密测评中心《涉密信息系统产品检测证书》
中国信息安全认证中心《中国国家信息安全产品认证证书》(增强级)
中国信息安全测评中心《国家信息安全测评信息技术产品安全测评证书》(级别:
EAL3)
中华人民共和国国家版权局《计算机软件著作权登记证书》
厂商资质
中国信息安全认证中心《信息安全服务资质认证证书》(一级应急处理)
中国信息安全认证中心《信息安全服务资质认证证书》(一级风险评估)
中国信息安全认证中心《信息安全服务资质认证证书》(一级安全集成)
中国信息安全测评中心《国家信息安全测评信息安全服务资质证书》(安全工程类二级)
中国信息安全测评中心《国家信息安全测评信息安全服务资质证书》(安全开发类一级)
国家计算机网络应急技术处理协调中心《网络安全应急服务支撑单位证书》(国家级)
供应商资质要求及服务:
1、为方便供货和及时的售后服务,本次竞价希望本地供应商或在本地有销售及服务网点的外地供应商参与;
2、为保证产品的质量和售后服务,供应商在竞价须提供原厂商的售后服务承诺函(随附件上传),签合同时需提供原厂商的售后服务承诺函盖章原件,由原厂工程师提供3年上门服务,并保证设备对应的注册用户为国家海洋局东海信息中心;
3、为保证产品的质量和售后服务,投标单位需上传盖章三证(营业执照、税务登记证、组织机构代码);
4、供应商需承诺为网络入侵防护、运维审计、防病毒网关、WEB应用防护系统提供网站安全,包含(远程网站漏洞扫描、远程网页木马检测、网页敏感内容检测、网站平衡度检测、网页篡改检测)五个部分组成,服务器安全加固(每季度一次,一年四次),信息系统安全巡检(每月一次、一次一天,一年12次),安全事件技术应急响应服务,包含,紧急远程响应服务30分钟内提供技术支持,紧急远程响应服务2小时内问题不能解决,工程师需在2小时内上门协助解决、排除故障,故障处理完毕后,正对故障问题出具报告,分析故障原因、已造成影响、处理方法、预防和改进建议。
提供给客户相关人员,远程技术响应提供7×24小时服务,漏洞扫描服务(每季度一次,一年四次),渗透测试服务(每年四次,每季度一次),安全培训服务(每年一次,安全培训,总体服务,产品交货后7天内免费更换。
所有产品提供原厂包修、保修期为3年,并提供免费产品维护服务(安装、调试,提供现场培训,上门去送修服务,设备出现故障时免费提供备机服务)。
在质保期内,提供7×24小时电话技术支持,对产品的故障响应时间不超过2小时,需提供现场服务的,到达现场不超过2小时,并于48小时内解决所有问题。
同时针对该项目提供原厂售后服务承诺函,包括服务细则;
5、投标单位报价中要包含产品的配件、运输、软件安装、系统调试、税费等全部费用。
若在安装调试中再产生其它费用,本单位不予支付;
6、由于设备需要安装调试,中标单位需随货派员到我单位并要求提供原厂认证工程师进行设备安装,调试、培训等服务,若因产品质量问题或安装调试问题导致我单位系统出现故障,中标单位需承担由此造成的一切损失;