AC1.96招标功能技术参数-简单版-20090417.doc

上网行为管理招标要求说明：如下招标参数仍然较冗长，可以有选择性的删减部分内容后再交给客户，其中标识*号的指标是AC的差异化功能指标。一、总体要求我单位部署上网行为管理系统是为更好的管理互联网出口，管理用户的互联网访问行为，避免滥用网络资源、违反互联网法律法规、泄露敏感信息，以及逼免黑客的侵扰和防范计算机病毒等。二、部署位置 上网行为管理设备将部署在机房的Internet出口线路上，对我单位工作区内所有互联网用户进行有效的技术监管和审计。三、厂商与产品资质要求1. *设备生产商注册资本必须不少于5000万；2. *设备生产商必须提供国密办商用密码产品生产定点单位证书3. *设备生产商必须提供国密办商用密码产品销售许可证4. *设备生产商必须提供所投产品的自主知识产权证明5. *所投产品必须提供国家信息安全认证产品型号证书6. *所投产品必须提供中华人民共和国公安部的计算机信息系统安全专用产品销售许可证；7. *所投产品必须提供中华人民共和国公安部计算机信息系统安全产品质量监督检测中心检验报告；8. *所投产品必须提供中国信息安全产品评测认证中心的国家信息安全认证产品型号证书9. *所投产品必须提供国家保密局涉密信息系统安全保密测评中心的涉密信息系统产品检测证书10. *必须提供上述有效证书的复印件并加盖生产商公章。四、技术要求(一) 基本要求1. *上网行为管理系统一套，支持内网并发用户数量不少于：三万个；2. 采用标准机架结构与专用操作系统(非Windows操作系统)；3. *产品控制界面采用SSL加密的WEB方式；产品配置界面及操作手册等均支持中文/英文；4. *支持多种部署方式，包括但不限于网关模式、网桥模式、旁路模式、多路桥接（即网桥模式下设备同时支持至少二个内网口和二个外网口的部署方式）等部署方式5. *设备生产商须在互联网信息安全领域有着丰富的经验与先进的技术，所投产品要求在中华人民共和国境内开发，具备自主知识产权。(二) 硬件与性能要求1. 采用1U或2U标准机架尺寸；2. 处理器：支持双处理器；内存：2GB以上；3. *网络接口：至少4个千兆电口、4个千兆光口4. *需要在功能开启情况下，满足1Gbps并发实际流量的处理能力，并在预中标后提供设备在实际网络环境中测试与验证；(三) 设备管理要求1. *管理员分级管理：设备各功能模块查看/配置权限支持授予不同管理员；不同管理员查看/配置不同用户组的成员/上网权限等；2. *集中管理：多台设备可被统一平台集中管理，且设备加入统一平台必须基于硬件证书验证其身份；3. *日志中心管理员双因素身份认证：基于USB-Key认证接入日志中心的管理员身份；4. *支持时间服务器：确保设备与时间服务器保持同步；5. 自动告警：支持对攻击（DOS攻击、ARP欺骗）、病毒、含有指定关键字的Web上传、指定类型的文件上传、发送泄密邮件等行为进行自动邮件告警；6. *回馈系统：必须具备将未知网页/未知应用自动反馈给厂商的回馈系统；(四) 设备安全功能要求1. *设备必须具有防火墙功能等自我保护机制，防止成为黑客攻击我内部网的跳板；2. *设备必须具有网关杀毒功能，以实现与内网桌面杀毒软件构成统一的防毒体系；3. 设备必须能够防御来自互联网和内网的DOS攻击，避免设备被DOS攻击瘫痪；4. *设备自身应能防御ARP欺骗，并能保证三层网络环境中终端对ARP欺骗的防御能力；5. *设备必须能够防御IP碎片攻击、Ping of Death、TCP连接攻击等，从而保障设备本身的可靠性和可用性；6. *设备必须能够检测内网感染的木马、间谍软件等通过网页、邮件、FTP端口外传信息的行为，并能报警和阻断；7. *设备必须能够识别内网垃圾邮件发送源，并能阻断其垃圾邮件外发行为；(五) 上网行为管理功能要求A. 用户管理要求1. 支持本地认证、LDAP、AD、Radius、POP3、Proxy等第三方认证；2. *必须支持USB-Key方式的双因素身份认证；3. *必须无插件实现三层网络环境中用户绑定MAC、用户绑定IP和MAC功能4. *必须支持新用户基于源IP段差异化新建策略，包括但不限于新用户差异化认证策略、新用户差异化IP/MAC绑定策略、新用户差异化自动分组策略、新用户差异化账户自动创建策略等，方便设备部署和实施；5. *支持AD、Proxy、POP3单点登录，且可强制指定用户、指定IP段的用户必须使用单点登录；6. 支持强制指定用户必须使用AD域账户登录操作系统，否则禁止其访问互联网；7. *支持自动将AD服务器上指定OU/安全组读入设备的树形用户组织结构中，并与AD定期自动同步；8. *支持为认证失败用户授予基本权限（即除HTTP外的默认组权限）；B. 终端管理要求1. *设备必须能识别终端操作系统版本及补丁更新情况；2. *设备必须能识别终端杀毒软件/防火墙软件的安装、运行、更新情况；3. *设备必须能识别终端硬盘文件情况、系统进程情况、注册表情况；4. *设备必须能自动周期性执行管理者自定义的脚本、程序等，实现对终端的个性化检查；5. *设备必须能阻止不符合管理者要求的终端访问互联网；C. 网页管理要求1. 内置超过800万条的URL地址库；2. *识别并过滤SSL加密的钓鱼网站（及加密的金融、非法网站等）（提供自主知识产权证明，加盖厂商公章）3. *过滤同时匹配三个以上关键字的搜索行为(关键字可定义)；4. *必须具备未知网页的自动识别与分类技术,包括持根据用户训练的关键字自动分类未知网页、根据用户训练的网址自动分类未知网页等；5. *过滤同时匹配三个以上关键字的网络发贴行为；6. *必须支持允许用户浏览帖子但不准发贴功能；7. *必须能封堵浏览器配置公网代理服务器的行为、必须能封堵用户安装代理软件代理他人上网的行为、必须能封堵自由门、无界浏览器行为；D. 文件管理要求1. 支持对HTTP、FTP、Email附件方式外发文件的识别、报警、过滤等管理措施；2. 支持基于外发文件的扩展名识别外发文件类型；3. *必须能识别删除扩展名、修改扩展名的外发文件类型并报警；4. *必须能解压压缩的外发文件后再识别其真实文件类型并报警；5. *必须能识别加密文件外发行为并报警；E. 邮件管理要求1. *支持根据发件人地址、附件类型等过滤外发Email邮件；2. *过滤同时匹配三个以上关键字的邮件外发行为；3. *必须支持根据收件人地址、邮件大小、附件个数、关键字等延迟缓存外发问题邮件，人工审核后再外发（提供自主知识产权证明，加盖厂商公章）；4. *识别和控制SSL加密邮箱5. *支持对接收的邮件进行垃圾邮件过滤；F. 应用管理要求1. *应用规则识别数量不少于20个大类、400条识别规则；2. 能够识别和控制P2P下载工具、IM聊天工具、网银应用、木马和远程遥控等应用行为；3. P2P识别包括：Samba、脱兔、Kwmusic、POCO、PP点点通、百宝、Foxy、腾讯旋风、FlashGet等；4. IM软件识别包括：阿里旺旺、百度Hi、51挂挂、ispeak、Gtalk、Miranda、Gizmo、XChat、Digsby、校内通、Doshow、LAVA、KuBao、慧聪发发、raketu、PalTalt、IceChat、卡盟登录、POCO等；5. *网银识别包括：招商银行、建设银行、农业银行、交通银行、工商银行、华夏银行、中信银行、中国银行、民生银行、上海浦东银行、深圳发展银行、广东发展银行、中国光大银行、兴业银行、北京银行等；6. *木马和远控识别包括：远程桌面、RDP、灰鸽子、DameWare、NetOp9、Radmin、波尔、TeamView、海盗、暗组、DG RAT、Byshell、FreeRat、木马帝国、Cybernetic、炽天使、上兴等；7. *必须提供技术以识别和管理加密P2P、同一种P2P软件的各版本、不常见的P2P、和未来可能出现P2P（提供自主知识产权证明，加盖厂商公章）；G. 危险管理要求1. 识别并封堵内网终端感染的木马、病毒、间谍软件行为及流量；2. *识别并封堵通过网页端口传输的非网页流量、通过邮件端口传输的非邮件流量、通过FTP端口传输的非FTP流量；3. *识别并封堵内网的垃圾邮件发送源；H. 权限管理要求1. *支持限制用户一天内总上网时长；2. *支持限制用户一天内总上网流量；3. *必须支持上网策略对象的自动过期功能；4. *父组上网策略支持继承给子组，并通过强制继承限制子组无权删除该上网策略对象；I. 流量管理要求1. *支持多线路复用和智能选路技术，最多可同时连接四条公网线路（需提供自主知识产权证明，加盖厂商公章）2. *网桥模式时必须支持将多条公网线路虚拟映射到设备上，以实现分别对公网各线路的流量管理要求；3. 支持基于用户和应用协议的带宽划分与分配策略；4. *支持基于用户和网站类型的带宽划分与分配策略；5. *支持基于用户和文件类型的带宽划分与分配策略； J. 行为记录要求1. *支持记录用户访问的URL地址、网页标题和含有指定关键字的网页内容；2. 记录用户外发网络言论、Email邮件及附件、Webmail邮件及附件、IM聊天内容等；3. *必须能够记录QQ、Skype、MSNShell的聊天内容；4. *必须能记录来自公网访问内网网站的行为；5. *必须能记录来自公网在内网服务器发贴的行为；6. *必须能记录来自公网从内网服务器收发邮件的行为；7. *必须能记录篡改/删除扩展名、压缩/加密后再外发文件的行为；8. *必须能记录网页、邮件、FTP端口中的木马、间谍软件等异常流量行为；9. *必须支持以USB-Key硬件方式为指定用户提供免监控功能；K. 日志管理要求1. *必须支持独立于网关设备的日志中心，且自带MySQL以实现数据库免费安装使用；2. *必须支持以USB-Key验证接入数据中心的管理员身份，且不用USB-Key认证的管理员只能查看行为统计和趋势，不能审查上网行为详细内容；3. *支持丰富的报表工具，报表数量达到800种以上；4. *支持对比报表功能，将用户与前一天/前一周/前一月的行为等对比并输出报表；5. *支持关键字报表，对搜索关键字、网络发贴关键字进行统计、排行和报表输出；6. *支持热帖排行，能对指定时间段内网络热帖进行统计和排行；7. *必须支持风险自动报表，根据用户自定义的风险行为特征自动感知并输出风险行为报表(如自动感知离职风险、泄密风险等用户并输出报表)；8. *必须支持基于三个以上关键字对海量日志定位的功能，且支持对日志中OFFICE、TXT、PDF等附件正文的关键字检索；9. *必须支持将含三个以上关键字的日志检索结果自动周期性发送到指定邮箱；五、技术服务及应急响应为防止版本更新滞后带来不必要的损失，系统必须提供出色更新能力，厂商须提供与之相适应的服务支持。(一) 要求提供三年免费服务，至少包括：1. 三年内免费版本升级；2. 提供在线和离线升级方式；3. 免费服务结束后，每年的升级费用优惠收取。(二) 技术支持及应急响应：1. *我省省会城市必须具有设备生产商直属办事处等服务机构，以便于为客户提供完善、及时的售后服务。保证网络系统在遭遇新型攻击或突发情况下得到及时响应。2. *必须提供724小时800电话支持；本地化应急服务紧急攻击事件2小时内响应，最大限度减少损失；3. 须提供产品相关的使用和技术培训；4. 原厂技术工程师现场安装服务与培训服；五、应标要求及说明1. 招标人将参照预中标结果，按照预中标先后排名顺序对预中标人的投标产品进行测试，必须完全满足招标方需求方可确定为最终中标人。若测试结果不能满足招标方的需求，将选取排名次之的预中标人的投标产品进行测试，直到满足招标方需求即宣布为最终中标商。2. 对照以上招标文件技术规格和要求，必须逐条说明所提供货物和服务已对招标人的技术规格和要求做出了实质性的响应，或申明与技术规格和要求条文的偏差和例外。特别对