网络设备技术参数及要求二标段.doc

网络设备技术参数及要求（二标段）项目概况随着新院建成，信息技术的迅速发展，以便于业务更好的发展。提高医院的医疗质量、工作效率，提高管理水平，更好地服务于病人、服务社会大众，并要不断提高医院的科研、技术水平。现由于医院规模和业务的不断发展，用户数量的增加，已有的医院信息化系统硬件已逐渐不能适应现有应用的需求。为了保证医院医疗活动的正常运行，使更多的人可以获益，以及为了在网络上可以支持更多的新一代的应用系统服务，所以在原有的基础上改建，建设新的信息化网络安全系统设备。一、 项目特殊要求根据政府要求医院尽快搬迁，因此本次招标物品为医院核心设备，关系到医院搬迁工期和工程进度，保证所供货物为正规厂商提供，符合医院参数要求，需参与本项目的供应商以书面的形式对卫辉市人民医院做出如下承诺：提供虚假材料谋取中标者或货物非在中国大陆销售的（非行货），一经查实，供应商不再索要投标保证金以及所供货物。二、 需求一览表序号名称数量单位1数据库监控审计系统1台2统一安全管理与运维审计系统1台3网管系统1套4上网行为管理1台5统一容灾系统1套6备份一体机1台7防火墙1台8入侵检测1台 9终端安全管理一体机1台10安全隔离与信息交换系统1台11服务器1台12KVM切换器1台（注：需求一览表中未列出但为正常运转所必须的部分仍由中标人自行提供）四、技术规格与要求1、数据库监控审计系统性能要求设备类型1U机架式一体化设备网口类别4个千兆以太网接口，至少2个管理口，2个审计口网络吞吐能力吞吐能力2000MSQL语句处理能力SQL语句交易量10000条/秒会话并发数2000个硬盘1T 内存4G电源单电源可审计数量数据库IP10个部署部署模式支持旁路侦听模式，无需安装Agent；无需改造数据库、中间件等。系统架构系统形态HTTPS方式访问，无安全漏洞。系统语言需支持中文、英文，可在页面上进行切换。功能要求审计范围覆盖主流商用数据库，包括：Oracle 8/9/10/11等;Sybase所有版本;SQL Server 2000/2005/2008;Informix所有版本;DB2所有版本;MYSQL所有版本；Cache所有版本；达梦所有版本；人大金仓所有版本；南大通用所有版本。资产添加简单安全，仅需填写数据库系统IP、端口和版本即可，无需填写数据库账号和密码。支持安全数据来源过滤，可设定安全来源IP地址，进行数据安全过滤；可设定严重威胁来源IP，进行针对性审计。针对单个IP上的数据库实例数量不进行限定。系统架构数据采集、分析、审计等功能均在同一设备上实现。会话记录以会话为单位详细的记录了数据库的操作过程：精确的时间点、来源网络地址、来源端口、客户端主机名、客户端操作系统用户名、数据库类型、目标地址、目标端口、客户端程序、数据库账号以及完整的操作行为详情。实现数据库管理员行为跟踪和分析，用户行为跟踪和分析，机器行为跟踪和分析，数据库登录行为跟踪和分析。深度解码数据库网络数据流传输协议，完整、细粒度分析并再现用户数据库操作活动会话过程；会话审计内容从访问的发起、连接、到结束进行完整记录。细粒度解析深度解码数据库网络传输协议，完整、细粒度分析并再现用户数据库操作活动过程。完整记录用户数据库会话细节，包括用户数据库登录行为、登出行为、SQL操作用户名称、SQL操作源程序名称、SQL操作源终端名称、SQL操作源终端登录用户名称、SQL会话参数设置、SQL操作语句、SQL操作返回状态、SQL操作涉及表组、字段、视图、索引、过程 、函数、SQL DML操作影响行数、SQL语句执行时间，原始数据库记录包等。审计结果需支持中文表组、列显示。审计结果需展示伴随SQL语句发出的备注语句，以便进行优化。绑定变量解析能够完整、细粒度地解析绑定变量。可以精确定位到操作客体，真正审计到数据发生了什么事情。超级SQL语句解析支持20000字节的SQL语句进行完整审计和解析，保证审计日志的完整性和可靠性，无审计盲点。SQLserver TDS加密协议解析无需提供数据库的账号和密码，即可详细审计出SQLserver2005/2008/2012/2013的TDS交互的数据，包括但不限定数据库账号、访问程序名、来源主机名、完整操作过程等，实现了对数据库的完整审计，确保数据的完整性，做到有据可查。双向审计不仅支持对数据请求的命令进行审计，同时应对请求的返回结果进行审计，如操作回应、影响行数、执行时长、错误代码等内容。系统管理用户可以通过统一监控界面直接查看最新的策略告警，最新违规操作和最新系统告警事件，当新的事件发生时，该监控页面将实时展现最新信息，并提供监控信息过滤。可以直观查看系统存储，并提供存储告警界限，并支持存储任务，定期将日志通过FTP、SFTP进行统一转储。用户管理提供超级管理员、资产管理员和审计管理员权限分离；资产管理员可以添加数据库审计服务器、审计策略制定、审计记录查看等。审计管理员可以查看和审计数据库会话详细信息、统计分析报表、安全操作日志、维护日志。支持用户根据自身环境和要求自定义角色，支持角色按功能模块灵活授权。支持按用户授权可管理的数据库资产，实现不同数据库管理和审计权限的独立。策略告警提供全方位的策略规则匹配，策略因子包括：数据库操作来源IP地址、数据库登录用户名称、数据库操作源程序名称、数据库操作源终端名称、数据库操作源终端用户名称、SQL操作语句（DDL、DML、DCL）、数据库表组（表、条件）、SQL语句返回行数、SQL语句执行时间等告警匹配条件。多形式的实时告警：当检测到可疑操作或违反审计规则的操作时，系统可以通过监控中心告警、WEB声音提示告警、邮件告警、SYSLOG告警等方式通知数据库管理员。数据库实时监控提供数据库实时监控功能，可以针对被审计的全部数据库、数据库类型、数据库组别、单个数据库进行实时监控，监控其网络流量、数据包、突发链接、并发连接数、SQL语句数，并提供动态波形图展示，用户能够直观地了解当前数据库运行状态。提供最近一周内数据库的网络流量、数据包、突发链接、并发连接数、SQL语句数波形图，并可供下载查看。数据库实时监控无需在数据库服务器安装引擎，对数据库服务器无任何影响。查询和报表全文搜索提供全文检索功能，可以做到对海量的数据记录进行更加快速、方便的查询与定位。支持“精确搜索”，可对时间、IP、端口、客户端程序、数据库账号、数据库类型、消息长度（SQL语句长度）、SQL语句关键词等详细检索条件。检索SQL语句支持SQL命令、表列名、执行条件，返回命令等进行匹配查询结果和会话进行关联分析，可通过会话查看命令的上下文内容。概要统计提供会话总数、策略告警总数、异常告警总数、资产总数、用户数量、操作日志数量等信息统计，并能够按天进行统计分析，列表展现。统计报表可根据数据库地址、数据库名称、访问源IP地址、用户名称、源程序名称、源终端名称等排序、统计和报表，可生成月报、周报和日报，可对特定数据库、用户名称等进行报表统计。内置报表需包含且不限于等级保护合规、数据库访问详情、数据库访问统计等类型，每种类型不少于5种。提供自定义报表向导，制定符合实际要求的各类型报表。报表可从会话日志、策略告警日志、异常告警日志、系统事件日志进行报表来源统计。统计报表以3D饼状图、柱状图、表格形式输出，统计结果支持HTML、PDF、EXCEL等格式导出。产品扩充性供货厂商需具备更为先进有效的数据库安全产品，以便后续升级换代，可即时阻断非法连接和危险操作。2、统一安全管理与运维审计系统项目基本要求设备类型1U机架式一体化设备，内置应用发布中心可管理设备数300个网络接口4个千兆自适应电口硬盘容量内置存储1TB电源要求单电源高可靠性要求支持双机热备，支持系统配置以及审计日志实时同步。支持集群部署，系统策略支持统一下发，后期升级扩容方式支持单节点扩容，无需进行软硬件的二次升级即可完成。支持第三方负载均衡，并支持集群自带的负载均衡模块。项目基本参数支持协议类型图形终端协议：RDP、VNC、X11字符终端协议：Telnet、SSH文件传输协议：FTP、SFTP数据库类型：Oracle：PLSQL、TOAD、SQLPLUS、SQLDEVELOPER；Informix：DBACCESS；Mysql：MYSQLFRONT、HIDESQL；SQL Server：SQLserver（2000-2012）；Sybase：SCVIEW4；DB2：DB2CMD、DB2QUESTWEB应用：HTTP、HTTPSKVM类:DSR、DSVIEW、RARITAN、RARITAN_CC等其它应用：AS400、REALVNC、PGADMIN、PCANYWHERE、RADMIN、DameWare、CiscoASDM、VMware vSphere Client单点登录上述所有协议类型均可实现单点登录，图形化应用无需安装任何客户端和控件即可实现单点登录，即通过堡垒机实现图形化应用发布功能支持IE代填类型包括 JS、flash、HTML5等特殊登录页面。无缝应用发布功能要求以上所有图形化应用在实际操作环境中均可以正常使用且可自由调整应用的窗口大小，做到无缝发布，拖拽窗口应自然流畅，无卡顿现象，像是在本地运行应用程序一样。系统自身安全性IP自动禁止功能系统支持IP自动禁止功能，对连续登陆账号密码错误的来源IP自动屏蔽，可通过管理员解除屏蔽。帐号自动禁止和锁定功能支持账号自动锁定功能，用户1分钟内连续输入账号密码错误，自动锁定该账号自身健康检测支持对应用中心状态、审计状态和端口状态是否正常工作进行一键检查。console口管理保证在特殊情况下通过console口连接。保证紧急情况能够用过console管理员密码或网络IP地址。运维管理运维方式支持C/S与B/S运维方式工具属性支持支持字符类putty、SecureCRT等工具的各类属性：终端属性、字符编码、窗口大小随意调整等等；图形类mstsc工具的原有属性：自定义开启/关闭磁盘映射、剪切板等，支持窗口大小随意调整、声音传输等等授权审核可以指定系统用户查看该用户可管理的资产信息；可以指定资源名/资产IP/账号名查看资产属于哪些系统用户管理。授权关系导出（可以导出用户和设备授权关系进行查看，导出展现形式excel）授权审批运维人员可以在系统Web界面填写授权审批流程单，填写内容至少应包括：设备资源、系统账号、协议类型、时间窗口；审批通过后，运维人员可立即取得相应访问权限向导模式为管理员和运维人员提供操作向导模式，方便用户进行设备管理和使用。中英文管理界面支持中英文切换WEB管理自动化运维可以制定计划任务，至字符类资产执行事先编辑好的脚本。脚本超时执行时间为每个计划在单台机器上的超时时间。执行超过超时间后会断开连接可以通过手动登录某台资产，登录后会触发机器自行执行预先设置好的脚本。可关联相应堡垒机运维帐号及资产帐号。用户帐号管理用户角色系统角色需按法案要求进行划分，至少有系统管理员、密码管理员、配置管理员、审计管理员、普通用户等多种角色。身份认证系统提供身份认证，自然人（员工帐户）登录系统时支持静态口令、Radius认证、LDAP、AD域、数字证书认证、动态令牌认证、USBKEY认证、指纹认证和Google手机动态令牌认证。支持指纹认证：至少支持三个厂商的指纹认证。系统内置PKI证书认证功能，用户只需配置USB-KEY即可实现证书登陆认证，实现双因素认证（USB-KEY+PIN码）。系统内置动态令牌认证，用户不需要额外部署认证服务器，通过配置动态令牌实现双因素认证；同时可支持Google手机动态令牌认证。支持多因子认证自定义组合，可为不同用户组分配不同的认证策略，支持单因素，双因素和多因素的认证策略批量管理支持以excel格式批量导入和导出用户帐号用户帐号自动改密，可制定改密计划对用户帐号进行定期改密，并发送邮件通知用户。在线批量编辑，提供堡垒机用户的批量编辑功能，以方便用户管理员批量修改帐号属性及关联信息，包括会同权限、用户状态、有效时间。支持从AD服务器批量导入用户帐号。设备及账号密码管理批量管理支持批量导入导出运维用户、目标设备、账号密码等，支持目标设备账号批量新增。支持在线批量设备帐号修改；支持设备帐号属性添加和修改，包括帐号密码、应用参数、帐号状态、会同信息、改密脚本、特权帐号、应用端口、应用密码提示、帐号类型、帐号提示符、帐号同步。SSH公钥登录通过ssh-keygen产生公钥和私钥密码对，上传堡垒机，可实现免密码登录服务器。密函打印支持将目标设备资产的账号密码进行密函打印导出。设备账号自动改密支持linux、unix、网络设备、windows2000/2003/2008的自动改密功能；无需通过插件、引擎或特殊端口对目标设备进行自动改密。在系统完成密码修改之后，自动进行新密码登录测试，以便进一步校验密码修改结果。权限管理分权管理支持系统管理员按部门进行分权管理，各部门系统管理员只能管理和授权本部门管辖内的设备资源；支持审计管理员分权管理，只能审计被授权的设备。访问控制功能系统提供访问控制功能，支持对系统的用户登录进行可配置的策略设置，根据策略因子：用户或用户组、日期、每月、每周、时间、源地址、目标地址、目标端口、目标账号、动作(接受、拒绝)来定制访问策略对用户或用户组行为进行控制。提供禁审功能，可对部分设定的控制策略的会话不审计录像，防止机密信息二次泄露。命令控制功能系统可以对字符操作的命令进行控制，通过制定命令黑白名单实现对命令的有效管理，可以对命令集合进行告警或者自动阻断，支持正则表达式匹配。SFTP和FTP目录锁定默认规定用户登录后，只能在其目录下进行操作，不能随意跳转至其他目录进行操作，也可通过开关打开限制。会同功能系统应具备会同功能。如运维人员需要访问目标设备，首先需要向管理员申请连接会话，得到管理员同意后，运维人员才能对目标设备进行运维操作。会话会同支持会同生效时间，且支持以web弹窗的方式通知会同授权人。会同人收到会同请求时，刷新页面或登录时会在页面弹窗提示。日志审计命令记录支持命令记录：字符终端命令记录、图形终端键盘操作记录、数据库运维SQL命令、图形标题栏识别（OCR）字符终端命令记录：用户可以从任意命令开始查看本命令输出结果或播放；命令分析功能将输入命令和输出结果的智能分离，可以只查看字符命令，也可以显示该命令的返回结果图形终端键盘操作记录：支持图形终端键盘操作记录，完整记录键盘动作。数据库运维SQL命令：系统应具备审计到详细的SQL语句，而非键盘符指令，并要求记录到SQL语句的执行时间。图形标题栏识别（OCR）：系统应具备对图形运维中的标题名进行智能提取，并可以从任意一个标题名开始回放。可支持中英文操作系统的标题栏体系。录像记录WEB在线回放完整会话；字符终端操作会话支持倍速播放；图形操作会话支持拖拉定位播放；支持暂停、停止、重新播放等播放控制操作。审计录像采用数据流回放技术，空闲操作（无屏幕变化）日志无增长，节省了日志空间。传输文件备份系统应具备审计到FTP/SFTP传输的原始文件，并可以在审计系统上进行备份并下载查看其具体内容。对大于一定大小的FTP/SFTP运维审计中的文件可进行异地转储，并可记录文件md5值，保障文件的完整性和有效性。支持人工开关自由选择是否备份原文件。日志搜索提供搜索功能，可组合目标主机地址、登录地址、堡垒机用户、远程账号、时间、键盘输入的命令、标题栏等条件进行搜索，快速定位会话记录；搜索条件“用户命令”支持“或”和“与”逻辑关系。字符运维命令返回值搜索和屏幕导出，支持搜索命令的返回值信息，并支持将屏幕信息导出为文本。告警模块图形操作告警支持RDP会话针对操作行为告警（针对标题栏进行告警），可进行告警内容设置。数据库操作告警支持数据库应用针对操作命令进行告警，可进行告警内容设置（告警内容支持动作，表名等）。数据管理数据存储管理存储告警：日志存储超过设置的阀值进行邮件告警，支持定期删除计划，只保留设置时间段的日志。数据备份管理支持通过FTP和SFTP进行系统配置备份和还原，支持FTP和SFTP和本地方式进行审计日志的备份，系统配置和审计日志均可可自定义备份计划。离线播放导出日志可以使用离线播放器进行日志查看和日志检索，包括命令、录像、标题栏内容等。统计报表报表任务周期系统应具备在对系统制定报表任务时，可以配置时间周期，支持以图(柱、饼等)，统计、明细数据的方式表现。3、网管系统产品架构总体要求监控平台采用B/S架构，平台和应用分离，页面采用HTML5技术，平台采用JAVA开发并且提供和语言无关的Restful接口。平台自带数据库，无需额外购买。系统需要具备智能运维分析能力，能充分利用运维数据进行异常分析。产品功能系统平台被管对象加入系统，不需要经过设置，自动进行监管：拓扑中颜色状态变化、性能数据记录、巡检检查、统计分析、生成报表、触发告警即时通知。提供10万KPI，5分钟间隔密度的数据存储1年，并可通过系统界面查看历史数据。要求支持不少于10个并发用户同时登陆系统并进行操作。监控首页必须在同一页面分项显示统计信息，必须包括：被管对象运行状况，未撤销告警，网络设备配置变更，网络设备、线路、主机系统、数据库、标准应用关键指标。每5分钟对所有被管对象运行状况、未撤销告警进行统计。未撤销告警统计项提供可查看到所有未撤销告警。每5分钟对所有网络设备和线路关键指标进行TOP统计，每5分钟对网络设备配置最新变更信息统计。对于配置变更统计项，提供关联操作，可对配置文件内容对比分析。每5分钟对主机系统、数据库、标准应用关键指标进行TOP分析，关键指标至少包括：主机系统CPU负载、内存负载、进程总数、分区/文件系统使用率、磁盘繁忙率，数据库当前会话数、表空间使用率，标准应用响应时间，其中主机系统CPU负载和内存负载需要支持由高到低和由低到高排序。自动巡检对所有被管对象关键指标提供图形化的自动和手动巡检，巡检完成后自动统计分析巡检结果，对于巡检异常对象可直观查看到巡检异常关键指标。系统预置巡检项和阈值，提供基础设置功能，至少包括：每天巡检时间点，排除的巡检日期以及巡检对象，修改预置的巡检项和阈值。拓扑管理要求系统能支持各大设备厂商的各型号设备，支持多厂商设备组成的混合网络、主机系统自动发现，并且可查看到网络设备的真实面板。支持对UPS设备、温湿度探头的监控，提供UPS的网络可达状态、输入输出电压电流、电池的各项参数监控。支持拓扑添加功能，在保留原有拓扑图的基础上，搜索新的网络设备、主机系统并自动添加到网络拓扑上。支持拓扑图自动布局，网络设备可实现星型排布、圆型排布、从上到下树形排布、从左到右树形排布多种自动排布方式；支持创建缩略图和子图。对于设备和主机提供丰富的关联操作，关联操作项不低于15项要求拓扑图上的设备、线路、主机系统支持按照性能参数的不同区间以红、黄、绿颜色进行显示，性能负载可自定义。网络管理支持对所有网络设备CPU负载、内存负载、连续运行时间进行排序，并且可关联查看CPU负载、内存负载变化趋势。支持对全网的网络设备线路按照流量、带宽占用比、丢包率、错包率、广播包等指标的实时负载进行排名，并且可关联查看负载变化趋势。可根据IP或MAC查询某客户端连接在哪个交换机的哪个端口。对网络设备配置进行管理，实现网络设备的配置文件自动备份，并支持对配置文件变更状况进行自动监控，当出现变动时，需要及时通知管理员。主机管理支持对Windows、Linux（redhat、CentOS、Suse、Redflag、麒麟）类型操作系统的监控。可对单个或多个操作系统停止采集、启用采集操作。提供可排序查看主机系统运行状况和关键指标，同时也可分类查看系统运行状况和关键指标，并且可关联查看关键指标变化趋势；对于单个主机系统可图形化详细查看基础信息、运行信息、进程信息、告警信息以及具体参数信息。支持图形化方式显示主机状态以及主机上数据库、中间件、标准应用状态。支持对麒麟操作系统、达梦数据库、Tongweb中间件等国产软件监控。数据库管理支持对SQLServer、Oracle、Sybase、Mysql、Informix、DB2、达梦等数据库的监控。可对单个或多个数据库停止采集、启用采集操作。提供可排序查看数据库运行状况，同时也可分类查看数据库运行状况和关键指标，并且可关联查看关键指标变化趋势；对于单个数据库可图形化详细查看基础信息、运行信息、表空间信息、告警信息以及具体参数信息。支持图形化方式显示数据库状态以及所承载的主机状态。中间件管理支持对 WebLogic、Tuxedo、WebSphere、EAServer、Cognos、MQ、Domino、Apache、Tomcat、Jboss、IIS、TongWeb中间件的监控。可对单个或多个中间件停止采集、启用采集操作。提供可排序查看中间件运行状况，同时也可分类查看中间件运行状况和关键指标，并且可关联查看关键指标变化趋势；对于单个中间件可图形化详细查看基础信息、运行信息、告警信息以及具体参数信息。支持图形化方式显示中间件状态以及所承载的主机状态。标准应用管理支持文件传输应用（FTP）、网页服务（HTTP）、邮件服务（POP3、SMTP）、DNS、DHCP、LDAP、JVM、Aspnet、Exchange的监控。支持加密传输协议，包括Sftp、https的监控。可对单个或多个标准应用停止采集、启用采集操作。提供可排序查看标准应用运行状况，同时也可分类查看标准应用运行状况和关键指标，并且可关联查看关键指标变化趋势；对于单个标准应用可图形化详细查看基础信息、运行信息、告警信息。支持图形化方式显示标准应用状态以及所承载的主机状态。智维分析能自动分析出内存泄露主机，并找出具体泄露进程，要求对全部主机有效且无需设置。能主动捕获系统高负载的主机，及时通知用户并给出具体进程使用情况，要求对全部主机有效且无需设置。告警与通知对所有管理对象指标均支持批量告警设置，通知系统预置告警规则，为简化操作并且默认开启部分重要告警规则。系统提供知识库管理功能，当同类型告警出现多次后，能主动提示管理员并收集相关处置意见，并在告警出现后，系统自动提示相关联的处置意见。提供多种告警信息输出方式，至少包含短信、邮件、屏幕通知方式。历史数据查看提供无压缩的数据存储机制，至少支持1年性能数据无压缩存储，间隔不能大于5分钟；提供大数据分析工具，要求5个不同指标在同一时间轴中进行对比分析，支持任意时段数据的拖拽查看；实现任意时段和时长数据的对比分析。报表管理支持报表统计时段自定义功能，实现按照9:00-18：00的统计的日报表，非自然月统计的月报表，同时上述设置无需额外开发；支持报表生成后，通过邮件方式主动推送给预定用户；并支持PDF、HMTL、word、excel多种格式的输出；提供预置报表：网络类、主机类的运行率报表、告警统计分析报表和性能分析报表。同时，提供自定义报表功能，以报表模板为基础，可根据模板，进行内容和报表推送方式的定制。4、上网行为管理指标项具体要求网络接口不少于6个千兆电口+1个扩展板卡槽位，1个RJ45串口性能要求应用吞吐量1Gbps，并发连接120万，新建连接数50000个/秒s用户认证支持对LDAPADPOP3SMTPRADIUSPORTAL锐捷SAMPPPOE深澜城市热点各种数据库格式的用户账号认证识别（AD识别要求不安装客户端或服务器插件）。用户属性管理根据用户的属性（如部门、电话、邮件等）自动进行用户分类，根据分类的结果做审计、控制策略。用户识别支持对802.1X、Kerberos、LDAP、POP3、SMTP、Radius、PORTAL、锐捷SAM、H3C CAMS、PPPOE、城市热点等系统的单点登录。特权用户必须支持key免审计、key免管控、key免认证，或三者的任意组合。网址过滤必须具备海量上网行为管理URL数据库，官网承诺URL条目不少于3200万。搜索关键字过滤可按照新闻、图片、视频、百科等不同搜索类别，制定不同的策略，对搜索引擎指定的关键字进行过滤和审计，有独立的审计日志展示。内容审计过滤可以针对论坛、博客、微博以及邮件的内容进行审计和违规关键字的过滤。防私接路由器可识别私接路由器下挂的主机个数，并可制定策略以私接主机（可区分主机类型分别控制，如PC/手机/PAD等）个数为阀值进行封堵。QQ审计可针对不同的QQ号制定策略，对聊天、登录及文件传输的行为进行记录与控制应用时间控制可以对用户不同的网络应用设置不同的每日上网时长限额。数据库审计控制可审计、控制MySQL、Oracle、SQL Server、Postgre等数据库的访问与操作，包括添加、删除、修改、查询等。多级通道流控可将物理带宽分成至少七级虚拟通道，合理分配物理带宽资源。连接数限制可以对每个人的并发/新建连接数量进行控制。三权分立管理体系将系统管理员、日志查看员、操作审核员三个角色权限分立,相互制衡。Bypass直通保护设备面板具备硬件按钮bypass，帮助管理人员快速定位网络故障点。支持远程登录在界面实现bypass，并可进行切换。技术支持支持厂商工程师在线的远程协助和故障排查，设备界面提供远程协助开关。5、统一容灾系统设备名称技术要求及功能描述统一容灾系统总体要求：国产自主品牌，2U机架式设备，软硬一体化设计；系统软件、主机、存储盘阵集成一体；单台设备包含存储管理、快照管理、应急接管等模块，采用专有Linux操作系统和硬件平台；遵循“应用无关性”原则保护全部应用系统，现有应用程序及应用环境无须任何变更及调整即可实现保护及快速恢复。硬件要求：CPU：2颗Intel Xeon六核CPU；内存及规格：不少于128GB；内置硬盘规格：不少于8盘位，授权12TB空间，SATA/SAS热插拔硬盘；RAID模式：硬件RAID，支持RAID 0、1、5、6；2个千兆以太网接口；2个电源，可扩展支持FC应急；硬件带有应急面板，支持不少于8个硬件应急按钮，具备应急状态指示灯。基本功能要求：业务系统发生故障后，应急最短恢复时间目标（RTO）小于5分钟；要求内置“自主可控KVM”虚拟化平台；需支持单键一键虚拟机快速应急启动。必须满足ISCSI boot网络启动应急模式，通过服务器自身以太网卡进行应急启动，无需外插ISCSI卡，支持跨网段网络启动；支持FC Boot网络启动应急模式，通过FC HBA卡进行应急启动；软件一键虚拟化应急模式，RTO5分钟。主机发生任意灾难，通过一键虚拟机应急，快速恢复业务运行；支持虚拟机P2V动态迁移，每个快照均可以用于虚拟机或网络启动应急；支持备份数据立即可用。备份的数据可立即挂载到用户指定设备上，用户数据恢复和可用性检查；要求支持多种类型操作系统包括Linux、MS Windows系列，支持国产麒麟、红旗等操作系统；支持国产飞腾、龙芯主机服务器；支持定时快照，提供灵活的快照功能，保障数据一致性和应用可恢复，每个策略支持快照功能；要求支持的数据库类型包括Oracle、SQLServer、MySQL等主流数据库，支持国产神州通用、人大金仓、达梦等数据库；支持应急状态下后台恢复，支持ISCSI boot网络启动恢复模式，FC Boot启动恢复模式，支持光盘引导恢复，支持USB引导恢复；支持快照数量扩展；支持存储池扩展，支持外接SCSI、FC等类型磁盘阵列扩展；支持保护文件类型：操作系统、数据库、数据文件等；支持在线备份与还原，不影响正常使用；支持增量备份、全量备份；支持增量备份和全量备份混和备份；支持目录级、分区级多种保护策略；支持演练模式：支持在应急容灾系统进行演练，可以验证当前时间点的数据是否正确、是否可以进行容灾接管，可在演练模式下进行模拟仿真测试、升级维护等操作，且演练模式并不影响现有生产业务的正常运行。需支持中文操作界面，支持Web管理方式。高级功能要求（数据库同步功能）：内置数据库同步复制软件；支持广泛的数据源及多种数据库和各种数据格式，比如各种数据库（Oracle、MS SQL、DB2、PostgreSQL等）、文件（excel、xml、txt、html）等；生产数据库发生故障后，应急最短恢复时间目标（RTO）小于5分钟；支持独立软件设计和部署，支持在Unix、AIX、Linux、Windows等系统下部署；支持异地远程同步，数据库实时同步机制需为逻辑复制，非磁盘拷贝，非CDP；要求具备跨平台异构同步能力，即支持不同存储设备、硬件设备、操作系统和数据库的不同版本环境下的实时同步；支持文件同步，支持异地远程同步；支持数据库在线迁移；支持自定义同步时间，减少数据高峰时段源库的压力；支持目标数据库数据立即可用。同步的数据可即时查看，静态查询验证，用户数据恢复和可用性检查；支持在线实时同步，不影响正常使用；支持应急状态下反向数据恢复；支持快速演练，可随时验证目标数据库的有效性，演练接管时间小于5分钟；支持负载均衡，分担生产库压力。业务持续管理BCM：支持风险评估与分析；支持业务冲击分析；支持应急响应计划；支持业务持续保障计划BCP；支持容灾演练计划；提供业务持续管理BCM知识库功能。6、备份一体机设备名称技术要求及功能描述备份一体机总体要求：国产自主品牌，2U机架式设备，软硬一体化设计。系统软件、主机、存储盘阵集成一体；单台设备包含存储管理、快照管理等模块，采用专有Linux操作系统和硬件平台；遵循“应用无关性”原则保护全部应用系统，现有应用程序及应用环境无须任何变更及调整即可实现保护及快速恢复。硬件要求：CPU：1颗Intel xeon六核CPU；内存及规格：大于或者等于128GB；内置硬盘规格：不少于8盘位，SATA/SAS热插拔硬盘，单台授权32TB备份空间；RAID模式：硬件RAID，支持RAID 0、1、5、6；2个千兆以太网接口；1个电源。基本功能要求：支持备份数据立即可用。备份的数据可立即挂载到用户指定设备上，用户数据恢复和可用性检查；要求支持多种类型操作系统包括Linux、MS Windows系列，支持国产麒麟、红旗等操作系统；支持国产飞腾、龙芯主机服务器；支持定时快照，提供灵活的快照功能，保障数据一致性和应用可恢复，每个策略支持快照功能；要求支持的数据库类型包括Oracle、SQLServer、MySQL等主流数据库，支持国产神州通用、人大金仓、达梦等数据库；支持应急状态下后台恢复，支持ISCSI boot网络启动恢复模式，FC Boot启动恢复模式。支持光盘引导恢复，支持USB引导恢复；支持快照数量扩展；支持存储池扩展，支持外接SCSI、FC等类型磁盘阵列扩展；支持保护文件类型：操作系统、数据库、数据文件等；支持在线备份与还原，不影响正常使用；支持增量备份、全量备份；支持增量备份和全量备份混和备份；支持目录级、分区级多种保护策略；支持中文操作界面，支持Web管理方式。7、防火墙指标项招标规格要求硬件规格产品网络处理能力2G，并发连接数350万，每秒新建连接2.5万/秒，主机带有4个10/100/1000自适应电口, 1个Console口。功能要求要求投标产品支持路由、透明、交换以及混合接入模式，满足复杂应用环境的接入需求要求三层接口ip地址支持float和static类型支持DHCP地址绑定（根据MAC地址静态分配IP地址）802.3ad方式支持3种负载算法：根据源目的mac组合、根据mac和ip组合、根据ip和TCP/UDP端口组合，要求支持支持隧道接口，支持接口镜像要求支持支持使用命令对策略路由默认优先级进行调整要求支持对称路由要求支持根据应用进行智能选路支持IPv6地址配置；支持IPv6邻居的动态管理和静态配置；支持NAT64和DNS64；支持IPv6静态路由要求支持基于地理区域的安全策略。要求支持地理区域对象的导入、导出，要求支持相对安全域的双向、出域、入域三个方向要求支持通过过滤条件对当前的连接会话进行查询和统计要求支持基本网关配置，支持4种均衡方式：最优路径、流量、会话、主机。要求最优路径的负载均衡方式支持3种链路探测类型：ICMP、TCP、HTTP，探测失败可自动进行链路负载重置、备份链路切换操作。要求最优路径支持链路带宽、繁忙占用比例、探测地址和最优链路出接口的配置。要求支持攻击防护、黑名单和入侵防御功能的独立配置。要求支持虚拟二层安全域、虚拟三层安全域，可实现业务的分组与隔离。要求支持构建虚系统来实现业务的分组与隔离、管理的分组与隔离，以及各个虚系统防护策略的可定制化）。要求支持自定义管理权限，包括模块：系统、网路、路由、对象、安全、VPN、PKI、用户认证、行为管理、应用安全、日志、监控、账户、虚系统。要求可提供自有品牌管理软件对日志进行收集、分析，并能提供详尽日志统计报表要求支持Trap告警和邮件告警要求支持CPU、磁盘空间、内存三种告警阈值设定要求支持策略使能按钮，无需编辑策略即可快速启用或禁用策略要求支持对象与策略引用关系的展示及查看，增加易用性应用识别控制能力应用特征库不少于1000种支持较多国内主流应用支持对MSN、QQ、WebQQ、米聊PC版、阿里旺旺、百度Hi、雅虎通、飞信等即时通信应用限制支持对阿里通、KC网络电话、UUCall网络电话、酷宝网络电话等网络电话类应用做限制支持对常见的在线视频应用，如优酷、优酷客户端、腾讯视频、新浪视频、搜狐视频、奇艺视频（网页版）、PPTV、QQ Live、快播等软件和网站应用控制支持对常见的在线音频应用，如QQ音乐、多米音乐、酷狗电台、百度音乐等软件和网站应用控制带宽管理能力支持基于接口划分的QoS线路; 支持根据IP地址、用户、服务、应用、时间等信息划分虚拟QoS通道进行带宽管理; 支持对所有IP或每IP进行带宽管理; 支持多层级调度类嵌套; 支持对多层级调度类进行最大带宽限制、最小带宽保证防病毒可提供全面、强劲的病毒检测及防护功能，支持通过对HTTP和FTP方式上传、下载文件、页面，或SMTP、POP3、IMAP协议发送的电子邮件及其附件等进行病毒扫描，并可以根据扫描结果进行相应的处理入侵防御能力IPS特征库不少于3000条特征值支持对拒绝服务、缓冲区溢出、恶意扫描、木马后门、病毒蠕虫、僵尸网络、跨站脚本、SQL注入、WEB攻击等的防御具备针对DNS、FTP、ICMP、IMAP、SQL、NNTP、POP、SMTP、SNMP等协议类型的入侵检测与防御支持针对具体的攻击进行日志、阻断、放行、重置方式的动作设定支持web管理界面下根据关键字进行特征检索8、入侵检测指标项招标规格要求规格要求网络吞吐1000Mbps；6个10/100/1000M自适应电口,2个SFP插槽，（其中1个管理口、7个业务接口），业务接口均作为数据收集口使用，无须授权。软件架构及系统要求采用B/S架构，产品分为控制台软件、探测器设备；探测器采用多核操作系统。攻击检测能力内置安全事件规则库，不少于4000条。具备自定义网络特征，对数据包应能够定义数据包长度、包头长度、检查码、分段ID、分段偏移、flags、TOS、TTL、SEQ、ACK、URG Pointer、windows size等数值。支持对Windows、Linux、Unix、安卓系统漏洞攻击的检测。 能够检测常见端口扫描攻击、木马后门、拒绝服务攻击、蠕虫、木马、缓冲溢出、Web攻击、访问控制攻击、SQL注入攻击、p2p、IM、流媒体、网络游戏以及其他违规行为等。支持HTTP、SMTP、POP3、FTP、DNS等协议解码和相关检测,内置特征库。支持数据包完整性检查、碎片重组检测、VPN检查、端口扫描、IP扫描检查、GRE编码检查能力。具备IDS逃逸攻击的检测。支持同时多个IP地址的网络流量统计，支持查看单个IP的应用流量分布；提供产品支持查看单个IP的应用流量分布的功能。支持基于安卓开发的多种社交软件和应用，如，微信、飞信、新浪微博、网易新闻、百度新闻等。检测引擎监听网卡支持无IP工作。策略功能系统自带缺省检测策略，包括default检测策略、web系统检测策略、探测扫描攻击检测策略、p2P应用策略、IM及恶意网站访问控制策略、综合网络检测策略。提供按照检测对象、攻击类型等分类的默认内置检测模版，且默认模版不可修改。根据不同的网络情况、安全需求自定义检测策略,可以对自定义检测策略集进行重命名和删除等操作。支持策略的导入、导出操作。在更新策略前自动保存设备加载的前一组策略，可以快速恢复设备历史策略。具备多级以上管理功能，报警事件多级上报，策略多级下发。管理功能支持中文的图形化界面，操作简便。支持通过RJ45串口管理探测引擎，进行参数配置。支持一对一和一对多的控制台和探测器的管理模式。组件设备管理采用图形化方式直观的显示组件的拓扑，在系统拓扑图上可以清晰地查看上下级之间、各组件之间的连接状态和部署结构。批量应用策略:可同时对多台设备下发同步策略。批量同步签名:可同时让多台设备与控制台特征库同步。日志与报表支持将网络事件发生的时间、源与目的IP地址等有关攻击信息记录到日志数据库中，留作审计分析和备查之用；具有高性能的Syslog日志处理和存储方法。具备自定义报表功能，支持交叉统计和多元组合查询详细事件，支持导出为常用公文处理格式(HTML、CSV、PDF、word等)。系统自动生成定制报告，支持本地保存，支持通过email和Ftp方式发送给管理员；提供FTP方式自动上传定制报告的功能。审计功能支持用户操作记录。支持设备日志记录。升级管理在多级部署时可以手动统一更新全网设备特征库。支持在线升级和离线升级，应保证每周一次的规则库升级。9、终端安全管理一体机指标项目功能要求描述系统基础要求要求产品必须是由终端管理厂商自主研发的硬件产品（即插即用型），无须单独采购服务器设备。以提高产品的安全性与稳定性。要求终端管理厂商提供基于NAC技术实现的硬件准入控制网关服务器，并且准入控制网关默认集成在终端管理服务器中，无须单独采购准入控制服务器设备。品需要采用高度组件化的积木式架构，以脚本引擎组件为核心，配以任务管理组件、热插拔管理组件、客户端管理组件、通讯组件以及数据中心组件，实现平台的任务交互、调度、解析以及执行。所有的产品功能都以标准功能组件的形式提供，通过热插拔管理组件集中管理调用。如果其中一个功能模块损坏，不会影响其他功能的使用。产品需要支持VPN、NAT及跨互联网等任何网络环境。不能通过硬件设备或软件程序实现不同网络环境的转换。终端管理服务器支持快速修复机制，操作系统、数据库、终端管理平台出现任何问题，都可通过快速修复机制进行恢复，都不需要重新安装。支持多级管理架构，在上级管理平台，能够直观展示各下级单位管理信息，并可以完全接管下级单位的管理平台。要求终端管理厂商为终端管理服务器安装能够稳定运行终端管理平台的正版LINUX操作系统，以及正版MYSQL数据库。产品应符合业界安全标准的SSL加密技术，确保服务器端、控制台及客户端之间的认证及传输安全。系统性能10000台计算机执行任务/策略，全部完成小于5秒，并且策略立即生效。带宽占用：10000台计算机情况下，引擎小于50K/s，客户端小于0.02K/S。客户端内存占用：在没有执行特殊任务的情况下，内存占用量小于10MB。海量数据处理，对10,000,000条记录进行查询和统计，完成时间小于10秒。系统部署要求系统部署方法简单，不影响现有网络架构及网络运行。要求支持复杂网络环境，不依赖于网络设备的支持，不受网络防火墙限制。系统支持服务器双机热备。单台终端管理设备应支持不少于300台PC网络规模的管理。客户端部署客户端安装部署支持默认安装、域服务器安装、重定向安装等多种安装部署方式。客户端部署支持windows xp、win7、win8等系统，兼容32位与64位系统。系统支持客户端在线升级功能。系统支持远程卸载功能，并提供离线状态下的客户端手动删除功能。权限管理系统必须具备对管理员分权限管理，要求产品具有用户及权限管理体系。即除默认管理员外，实现多个用户对不同功能模块的分角色分权限管理。角色基于分权限管理，按照管理区域、管理范围、管理模块、策略模块等对不同的管理员账户进行分配，可分为系统管理员、安全操作员和安全审计员等多种用户，支持账户登陆IP地址绑定功能。准入管理要求对进入局域网的计算机进行入网检测，对于未安装客户端的入网计算机必须提供网页重定向机制，提供自动化的客户端安装提示。要求支持多VLAN、多路由器环境，支持NAT等形式的地址转换环境；不需要修改现有网络配置，不受防火墙限制。有效控制私接路由器、防止与合法计算机直连、仿冒合法IP/