项目需求书工作总结.docx

1、项目需求书工作总结项目需求书一、商务需求1、实质性商务需求序号需求条款原因说明1能够实现二次开发能力，即公开硬、软件设备的二次开发接口（第一包）因实验室购置的信息安全设备主要用于培养学生的架构设计能力和基于设备的研发能力，所以本批次招标的第一包有关信息安全产品均需向采购方公开二次开发的接口。23年内随着设备配套课程的开设，根据使用方需求开展架构类、防御类技术类现场实验培训（第一包）信息安全设备的作用需要在形成较为完整架构体系的基础上得以更好体现。另外，运用本批次设备的相关课程及实训有其时间次序的特性。再有，实验、实训内容及其有关设备二次开发技术需要教师们的熟悉过程。所以，设备提供商必须能够提供

2、较长周期技术服务的能力。2、一般商务需求序号需求条款1要求分包投标2产品实行3年质保和升级3见附件二、技术需求1、实质性技术需求序号采购项名称数量需求条款实质性原因说明1无2、一般技术需求序号采购项名称数量需求条款1见附件附件 电子商务实践教学基地设备技术参数第一包 电子商务实践教学基地设备-1一、整体要求： 必须为我国自主研发的信息安全产品，核心技术为自主可控信息安全技术。 能够实现二次开发能力，即公开硬、软件设备的二次开发接口。 投标企业或机构近年具有与高校合作建设信息安全基地（或实验室）的案例，案例中配套有立体防御架构的信息安全自主技术设备，需要出示合作合同及设备配套购置合同。 3年内随

3、着设备配套课程的开设，根据使用方需求开展架构类、防御类技术类现场实验培训。 产品实行3年质保和升级。二、具体设备参数要求为：1.百兆防火墙（数量：3 ）功能模块详细技术要求性能指标端口数：4*10/100/1000M电口吞吐量（Mbps）200M ；VPN性能40Mbps最大并发会话400,000每秒新建会话6,000VPN隧道数60MBTF6万小时，数据包过滤功能，能对通过防火墙的数据进行检测、过滤；智能防御指标能自动统计、分析通过防火墙的各种连接数据，探测出攻击者，并立即断开其与该主机的所有连接；自动反扫描技术，防火墙在内核设计中具有自动反扫描机制，能以最快的速度发现扫描器，即时断开其连接

4、，并将该IP地址列入黑名单，在一定时间（约三分钟）内，该主机无法再对防火墙系统和防火墙保护的内网进行任何访问；能够防御来自内部的攻击；零积累DDoS攻击智能识别防御，能有效抵挡50M带宽以上的Synflood变IP攻击包，并解决了攻击积累问题；变种攻击防御，具变种DDoS攻击的防御能力；物理断开：在紧急情况下，可断开任一网络接口的联接，即时中止该网络接口的任何通信；蜜罐（攻击陷阱）功能，能虚拟WWW、FTP、SMTP、TELNET等网络服务，误导黑客对其进行攻击，同时对黑客的整个攻击过程进行监听、记录，为进一步对黑客的追踪、取证提供了有力的线索和证据；入侵检测和防御：不少于3000多条入侵特征

5、记录，并能够进行在线更新，能够针对目前流行的网络入侵及攻击行为做到有效监控； 支持对IP分片重组检测、TCP流重组检测、端口扫描检测、attack-responses 、backdoor、bad-traffic、chat 、ddos、dns、dos、experimental 、exploit 、finger 、ftp 、icmp-info、icmp、imap、info 、misc 、multimedia 、mysql 、netbios、nntp、oracle 、other-ids、p2p、policy、pop3 、porn 、rpc 、rservices、scan、shellcode、smtp

6、、snmp、sql 、telnet 、tftp、virus 、web-attacks、web-cgi、web-client 、web-coldfusion、web-frontpage 、web-iis、web-misc、web-php 、x11 、all等入侵类别的检测。支持与防火墙的联动功能，并支持用户自定义规则检测功能；可防御Synflood、Icmpflood、Udpflood、Portscan、ipsweep、land 、Smurf、Ping of Death、winnuke 、tcp_scan、ip_option、teardrop、targa3、ipspoof等攻击，可根据数据包来源

7、和特征进行阻断设置；DOS/DDOS防御：使用SYN代理和DOS智能识别功能对内部服务器提供DOS保护，提供以下的防范功能，对DoS(Denial of Services)、DDoS、Land、WinNuke、Ping of Death、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、ARP 欺骗等恶性攻击；防攻击：可支持主机的SYN、ACK攻击数以及最大报文长度的限制；支持根据协议或地址，进行并发连接数、半连接数的限制；根据连接数目进行源地址排名；完善的预防ARP欺骗解决方案；支持反向地址检查；防火墙指标双向NAT、NATP功能；支持端口映射；支持H.3

8、23、SIP、FTP、RTSP、RPC、TFTP等协议；支持802.1Q VLAN，可支持对VLAN的多层封装；支持STP 等生成树协议；IP地址与MAC地址捆绑，能自动探测，防止IP地址非法盗用；支持透明、路由、透明及路由混合工作模式，安全区域可针对物理接口进行灵活地自定义（内网、外网或DMZ等区域）；支持单对单、单对多、多对多的地址转换功能；提供各种保护区域的流量过滤，基于状态检测和深度内容分析；可对IP、MAC、端口、用户、时间对象等进行安全过滤；可限制P2P（BT EMULE EDONKEY.)/IM(MSN QQ SKYPE.)软件应用，可对其进行禁止、限流；支持基于策略的HTTP、

9、FTP、TELNET、SMTP、POP3等透明代理和深度内容过滤；支持对移动代码如Java applet、Active-X、VBScript、Java script的过滤；支持H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP等动态端口支持协议功能；支持Vlan Trunk；基于源/目的IP地址、端口、服务、网口、时间、应用等安全策略的带宽分配策略；支持最小保证带宽和最大限制带宽，支持分层的带宽管理；支持DiffServ及多种schema模式QoS策略，支持QOS带宽独享功能； LAN-LAN和LAN-WAN设置,可设立内外网访问规则；支持VPN的访问策略限定、外部

10、别名、内部别名、端口负载平衡、设备管理规则、支持 SNMP 协议，可通过网管软件对防火墙进行管理；基于源/目的IP地址、MAC地址、域名、端口或协议、服务、网口、时间、用户的访问控制；支持基于策略的网间隔离功能，同一时间内网主机只能访问某一隔离区；支持RIP/OSPF/BGP等动态路由协议；认证指标支持SSL验证、NTLM、Session认证、HTTP会话认证；支持口令认证、本地认证、双因子认证（SecureID）以及数字证书（CA）等常用的安全认证；支持RADIUS、LDAP、AD域等认证及通用LDAP认证；日志审计指标支持Syslog等多种日志格式，可记录试图通过防火墙的非法数据包，可记录

11、防火墙操作，支持日志导出功能；VPN功能指标SSL VPN：支持端口重定向、应用发布、SSL隧道加密等SSL VPN模式；IPSEC VPN：支持工业标准IPSec安全隧道模式；支持对于最新的AES /DES/3DES/Blowfish编码算法,支持非对称编码算法，支持与其他基于标准工业IPSec协议的VPN做无缝连接；PPTP/L2TP VPN：可允许PPTP/L2TP接入，建立PPTP/L2TP隧道访问内部网络；NAT穿透功能：支持隧道的NAT穿透；Clean VPN：支持隧道内数据病毒查杀、内容过滤；VPN其他特性：支持基于策略的VPN通信；支持硬件加速加密AES、DES、3DES、Bl

12、owfish、IDEA加密算法和MD5、RSA、SHA等认证算法；X509证书和PSK论证；支持HUB-SPOKEN方式；集成CA(自带CA)；HMAC MD5 或HMAC SHA认证和数据完整性；自动IKE和手工密钥交换；L2TP客户端软件, 支持动态地址访问，支持IKE；与GDCA等第三方电子数字证书系统实现无缝连接，支持数字证书与帐号（用户名/密码）两种方式并用，达到双重安全保证；管理指标支持对即时通信软件控制功能。具体包括QQ、MSN等即时通信软件的控制功能，设置允许/禁止使用的QQ 、MSN号码；截断的时间参数等；日志记录：日志内容包括事件时间及事件摘要等；远程管理：管理员可以在任何

13、地点对防火墙进行实时监控和配置；非健康信息数据库：具备黄色信息过滤库，能禁止浏览不健康网站；带宽管理功能：对用户访问带宽进行分配及限制。支持CBQ、PRIQ、HFSC等多种调度算法，适应各种网络环境和客户应用需求；支持多出口分流：能同时支持多个公网出口, 按管理员制定的策略对出网数据进行分流；支持多种管理方式，具体包括：GUI管理，Console管理（命令行），Telnet管理（命令行）。Console管理命令能实现GUI管理界面的所有功能，如NAT、ACL设置等；支持多种用户管理权限，具体包括：系统管理员admin、配置管理用户config（可配置、查看配置）；查看用户monitor（只读）

14、；认证用户auth（只能登陆，不能配置、查看）；vpn应用用户（用户某类应用的登陆认证）。支持SNMP 的v1 、v2 、v2c 、v3 等不同版本，并与通用的网络管理平台兼容；可靠性指标支持双机/多机热备份和多链路负载均衡，备机切换时对用户透明，用户无须重新建立联接，支持链路层备份。能实现多ISP链路冗余，可以通过此功能平均分流给各个网关，而对源IP则无需考虑；支持链路捆绑功能，可实现端口的冗余和带宽的叠加；产品要求1、 产品为国有自主开发品牌，提供软件产品登记证书复印件；2、 产品通过公安部检测认证，有相应的销售许可证,符合国家行业安全政策规范和行业标准的国产产品；3、 厂商具备二次开发能

15、力，具备ISO20000、ISO27001和CMMI 3级或以上证书；4、 厂商具备信息安全服务二级或以上风险评估服务资质，具备省级或省级以上计算机信息系统安全服务一级资质，为省或省级以上计算机信息网络安全协会的指定服务单位。2.安全扫描系统（数量：）功能模块详细技术要求产品架构指标支持对IBM AIX、 HP-UX、Sun Solaris、Linux 、Windows 等多种操作平台的检测；专用固化的硬件结构，专用的安全操作系统；性能指标管理口：1个10M/100M RJ45端口；扫描口：3个10M/100M RJ45端口漏洞库2500种；扫描速度256个IP/小时；检测功能指标可扫描的漏洞

16、不小于 30000个；漏洞库与CVE、CNCVE和BUGTRAQ标准兼容；检测范围包括：WEB-CGI、FTP、SMTP、RPC、NIS、FINGER等服务攻击检测，SNMP协议漏洞检测，数据库攻击检测，组文件检测，口令文件检测，用户网络配置文件检测，文件修改检测，操作系统补丁版本检测，WEB服务，FTP服务，电子邮件服务，其它网络服务，强力攻击检测，缓冲区溢出检测，路由器配置检测，拒绝服务攻击检测，端口扫描等；支持漏洞验证功能，能够描述漏洞利用过程和风险；可智能识别非常用服务端口所使用的服务类型和软件版本信息；具有垃圾邮件中转服务器检测功能，拥有垃圾邮件服务器检测策略库，能快速检测出互联网上

17、存在垃圾邮件中转缺陷的邮件服务器；能够自动检测网络上正在使用“无界”软件的主机，防止国内主机非法出境，避免境外反动信息的传入；可以定时自动对网络进行安全检测，并按需求生成相应的报表；具有较强的渗透检测能力，能模仿黑客对被检测网络进行强力攻击和渗透，弥补一般漏洞库检测模式的不足；支持对FTP、POP、IPC共享和MSSQL等弱口令探测，可以自定义弱口令内容，并配有强大的弱口令库；能穿透大多数防火墙设备进行主机存活和端口扫描，能对检测目标实施安全漏洞攻击；策略管理指标支持30种以上的默认扫描策略；支持灵活的扫描策略自定义功能，提供策略编辑向导和详细漏洞信息，支持以系统类型、漏洞类型、危险级别、CV

18、SS评分、CVE等不同视图显示漏洞，支持策略的导入、导出、修改以及合并；支持对端口范围、CGI扫描、后门、用户名密码字典、数据库扫描、SNMP扫描、主机存活探测等多种通用扫描参数进行详细自定义；提供解决方案和专家建议安全策略，能够提供相关的技术站点和给用户提出修补弱点和漏洞的解决方法，给用户建议保证系统安全的安全策略；支持用户自定义安全扫描策略，进行有针对性的扫描；报表管理指标报告需包含漏洞详述和修补方案，对于常见补丁类漏洞能够提供相关的补丁下载链接；自动生成多种格式的分析报告，扫描分析目标网络后，给用户提供一份完整的安全性分析报告（如：HTML、TXT、WORD等）。报告将系统地对目标网络系

19、统的安全性进行详细描述，为用户确保网络安全提供依据；支持历史扫描会话的导入操作；报告中的漏洞具备统一的CVSS国际标准评分，以准确衡量漏洞的危险级别，为漏洞修补工作的优先级提供指导；支持基于漏洞和主机维度出具不同的分析报告；用户管理指标支持三权分立。产品具备独立用户管理功能，能够分管理员、操作员、分析员、审计员等角色对用户进行管理，能够调整不同角色用户的系统使用权限；产品还应能够为不同的用户设定其可以扫描的IP地址；具有多用户分组管理能力，支持多用户并行使用，由管理员设置每个用户的权限；能够对登录日志、操作日志（定制和下发任务、生成报告）进行记录和查询；产品升级指标具备独立的升级模块；支持在线

20、或手动升级方式；部署管理指标产品软件部分应支持Windows 2000、XP、2003、Vista、2008系列操作系统，可部署于主流PC、笔记本电脑以及服务器之上；具有远程管理能力，具有全中文图形管理界面；联动功能指标为了建立统一安全管理联动平台，与防火墙必须同一品牌，提供原厂商联动证明原件。具备对外接口，可将扫描结果上报给安全运营平台或其它安全产品；产品要求1、 产品为国有自主开发品牌，提供国家版权局软件著作权登记证书复印件；2、 厂商具备二次开发能力，具备ISO20000、ISO27001和CMMI 3级或以上证书；3、 厂商具备信息安全服务二级或以上风险评估服务资质，具备省级或省级以上

21、计算机信息系统安全服务一级资质，为省或省级以上计算机信息网络安全协会的指定服务单位。3.入侵检测系统（数量：）指标项技术规格要求产品架构指标机架式硬件专业IDS入侵检测设备；部署方式：支持旁路监听、透明接入、 NAT、混合模式；支持多网段、跨网段的多路混合部署检测防御；硬件支持HA高可靠性，双机热备，双电源；性能指标指标1*10/100/1000M管理,3*10/100/1000M检测口。并发连接数目=800,000；网络处理能力=500Mbps；监听模式下可达到90%线速；入侵检测指标综合运用会话状态检测、实时显示网络会话，应用层协议完全解析、误用检测、异常检测等多种检测技术, 并支持自定义

22、协议检测事件；支持对VLAN Trunk、SSL加密数据等进行检测；支持IP碎片重组、TCP流重组、报警缩略再分析、规则阈值修改、多网段定义检测等功能；超过1000条的蠕虫病毒检测规则；支持虚拟探测引擎；超过5000条的检测规则, 全面兼容CVE、BugTraq等国际标准漏洞库；对刻意逃避IDS的入侵手段进行精确检测、定位；融合模式匹配、协议分析、异常检测、会话关联分析，以及抗IDS/IPS逃逸等多种技术，准确识别各种黑客入侵，为用户提供27层深度入侵检测；可按源地址、目的地址、协议、事件类型、风险级别、时间范围、地址范围等条件灵活定义安全策略, 实现安全策略的动态调整；入侵防护指标攻击特征库

23、规则列表7000种；可自定义特征库；可防御DOS/DDOS攻击；可主动阻挡攻击；可实现IPS入侵防御功能及透明部署模式；支持在线通讯切断、入侵检测联动、发阻塞包等多种实时防御；攻击检测指标具备基于原理的Web漏洞检测能力，识别SQL注入等攻击，提供对重点服务器的入侵保护；具备碎片重组、TCP流重组、统计分析能力；具备分析采用躲避入侵检测技术的通信数据的能力；采用基于行为分析的检测技术，对0day攻击能够很好防范；具备协议自识别功能；支持对木马/p2p/IM/网络游戏以及其他违规行为的检测和发现；管理功能指标通过Web页面管理；完善的日志及日志管理；支持多种日志方式：包括本地日志记录（可配置硬盘

24、）、日志导出（文本、CSV等格式）、及自动Syslog远程服务器备份；支持邮件发送报表；具备集中管理功能，可实现分布部署、集中式安全监控管理和配置管理，日志报表模块可独立部署，适合大规模部署环境；具备独立的升级管理中心，可对控制中心和设备进行升级；控制中心可以统一对下级控制台和设备进行升级；可手动、自动执行产品升级；支持在线或离线升级方式；分级部署时，可实现上、下级之间消息发送、文件传输，实现全局信息共享；策略功能：提供动态策略调整功能，对一些频繁出现的低风险事件，自动调整其响应方式；响应方式：提供多种事件合并条件，避免事件风暴的产生；网络服务指标支持DHCP服务；支持IP-MAC地址全网及部

25、分绑定；可做DNS代理，支持静态及动态DNS服务，实现对ARP欺骗和IP地址冒用的报警；支持RIP/OSPF/BGP路由及静态路由服务；分析指标多种图形化报表，对入侵源目标、时间、事件进行综合报表分析、排序；进行实时在线式数据挖掘、入侵关联分析、时序分析等高级入侵分析，能够重组黑客入侵过程；联动功能指标为了建立统一安全管理联动平台，与防火墙必须同一品牌，提供原厂商联动证明原件。产品要求1、 产品为国有自主开发品牌，提供自主创新产品证书和国家版权局软件著作权登记证书复印件；2、 产品通过公安部检测认证，有相应的销售许可证,符合国家行业安全政策规范和行业标准的国产产品；3、 产品具备国家保密局涉密

26、信息系统安全保密测评中心颁发的涉密信息系统产品检测证书；4、 厂商具备二次开发能力，具备ISO20000、ISO27001和CMMI 3级或以上证书；5、 厂商具备信息安全服务二级或以上风险评估服务资质，具备省级或省级以上计算机信息系统安全服务一级资质，为省或省级以上计算机信息网络安全协会的指定服务单位。4.VPN：（数量：）特性指标功能特性功能描述快速性WEB应用加速对WEB访问资源的压缩C/S应用加速（CAB技术）通过蓝盾引进的CAB技术对数据进行压缩传输TCP应用加速TCP端口数据压缩SSL VPN隧道流量压缩加速对SSL隧道数据进行压缩传输，提高传输效率安全性安全算法支持支持DES、3

27、DES、AES、MD5、RC4、RSA、签名算法，支持加载扩展安全算法模块多种身份认证支持指纹认证、短信认证、USB KEY认证、U-KEY认证；CA认证、国密办认证体系、动态令牌认证、X.509数字证书认证、LDAP，Radius等第三方服务器认证、E-MAIL账户认证、MAC地址绑定认证、并提供多种混合手段认证密码保护措施采用密码强度检测、周期性更换密码要求、防暴力破解策略、账号锁定解锁功能、管理员密码权限设置、软键盘、图形验证码等输入验证方式；细致的权限控制基于角色、用户组的管理、严格细致控制访问者权限、保障接入安全用户账号有效期策略根据用户角色定义账号使用时间、期限服务器内网保护通过S

28、SL代理访问，服务器可隔离外网访问客户端安全远程用户终端操作系统、杀毒软件版本检测、登陆超时退出功能、自动清除客户端缓存和临时文件，消除上网痕迹、外网隔离功能，用户登陆VPN后自动断开外网连接，防止跳板攻击等。高可用性多平台支持支持3270、5250、VT、HP700 and SINX97801应用，支持LINUX/UNIX应用；支持Windows 98/ 2000/XP/2003/Vista；PDA访问支持B/S应用支持支持所有WEB站点、OA、WEB MAIL系统，支持 Html/Dhtml, Jsp, Asp,Java applet, Activx, Cookies等各种Web技术；支持

29、FTP、Email的Web访问。C/S应用支持支持所有C/S软件和WINDOWS程序的发布。包括：http，Email，Ftp，网上邻居，Notes，Outlook，Oracle, SQL等各种动态和静态的C/S应用；支持内网DNS、支持对应用的透明访问、自动定位URL、支持隐藏服务、应用的快捷方式、自动启动服务。C/S应用WEB化通过设备应用发布，将C/S转化成B/S结构，远程用户无须安装客户端程序IP应用支持支持所有基于TCP/UDP/ICMP协议应用单点登录支持B/S和C/S的应用支持单点登录，并提供加密认证功能。访问多个应用，只须输入一次密码。页面定制可根据需求制作前后台登陆界面，提供

30、模板操作，简单易用。用户导入支持AD/LDAP/RADIUS/SQL/SYBASE/ORACLE等第三方数据库导入账户，并实时进行权限划分；支持文本账户导入，方便大量用户账户建立PPTP支持支持PPTP windows客户端管理方式支持本地及远程的https、Consol、SSH等管理方式统一界面发布支持列表和图标模式发布模式，应用集中管理信息公告登陆前台显示信息公告窗口，企业信息及时发布支持重定向功能用户在输入http 登陆的时候，系统自动跳转到与其对应的https 站点隐藏服务对于重要的应用，可以隐藏发布，避免信息泄漏易管理性Web管理界面支持SSL加密的WEB界面进行设备配置和管理，支持简体中文繁体中午英文界面虚拟站点根据需要配置不同的站点和分站点管理站点开放时间设置站点开放时间策略SNMP集成第三方管理系统，实现更强大的监控功能备份功能支持本地和远程备份及恢复在线升级通过远程进行设备版本升级系统日志提供详细的日志功能。记录访问内容请求，用户访问的时间、访问地址等信息，提供详细的系统信息，调试及错误日志，支持与第三方Syslog日志服务器同步。用户行为管理查看用户行为完全记录，提供查询、排序、过滤等功能；可进行用户信息批量导入及各种数据库第三方导入。细致的用户权限管理根据用户分配接入权限和访问权限，提供基于用户、用户组、角色、资源等多种