四家单位信息安全等级保护设备采购技术要求.doc

四家单位信息安全等级保护设备采购技术要求品目一 1、IPS入侵防御系统性能及配置要求（数量1套）主机相当于推荐品牌：山石网科 绿盟 天融信指标项指标要求设备基本要求硬件和软件保障采用基于多核处理器硬件平台，支持硬件模块化设计，可实现现场硬件端口扩展,无需返厂；采用软件模块化设计，可实现功能模块的现场升级；采用完全自主版权的操作系统，具备操作系统著作权证书，可提供相关证书；提供主、备双操作系统，提高设备自身可靠性和网络的可用性；端口数量和扩展能力标配4个 10/100/1000BASE-TX端口；4个Bypass功能口和1个扩展插槽位；最大配置为10个接口； 攻击规则库支持2500条以上的攻击事件,600条以上的防蠕虫攻击规则性能参数最大并发连接数800000，IPS性能1GMbps功能要求网络适应性网络接入透明，路由，虚拟线，IDS监听，混合；端口工作模式可进行灵活的配置路由支持源、目的地址的静态路由，支持基于源、目的地址、源、目的端口和协议策略路由;支持Vlan路由，能够在不同的VLAN虚接口间实现路由功能；二层协议支持802.1Q VLAN、支持 CISCO ISL字段的解读;支持支持PVST和CST 等生成树协议 防火墙功能访问控制基于状态检测的动态包过滤；基于源/目的IP地址、端口、协议、时间的访问控制；支持IP/MAC自动收集和绑定；NAT支持双向NAT、动态地址转换和静态地址转换；支持协议包括H.323、SIP、FTP、RTSP、SQLNET、MMS、RPC、TFTP、PPTP等。入侵防御功能引擎支持基于源、目的、规则集、动作的入侵防御规则；木马(Trojan)具备丰富的木马特征库，能识别包括灰鸽子、PCShare、Gh0st、上兴、Byshell、Npch、Downloader等多种热点木马及其变种，以及识别多种网页挂马攻击；RPC能对当前主流的RPC漏洞攻击做检测和阻断，例如：RPC 0x82-dcomrpc_usermgret、RPC Immunity_svchostkill等；系统漏洞支持识别针对FTP、Netbios、IMAP、Samba等应用安全漏洞的攻击；拒绝服务(DOS/DDOS)能对当前主流的拒绝服务做检测和阻断，例如：WinNUKE攻击、UDP Flooding、SYN Flooding等；溢出(bufferoverflow)支持识别多种IIS、Apache、RPC、Oracle、SQL等应用系统类溢出攻击；HTTP能对当前主流的HTTP类攻击做检测和阻断，例如：HTTP Apache 批处理文件漏洞、Apache2.0.39及以前版本存在目录遍历漏洞、Cart32 管理员口令泄露漏洞等；自定义攻击可根据用户需求自行设置攻击规则，能对有害攻击行为做检测和阻断。默认系统规则预置系统规则集包含认证类、木马类、拒绝服务类、即时通讯类、p2p类、溢出攻击类、扫描类、系统漏洞类、webcgi类、蠕虫类、游戏类、HTTP攻击类、RPC攻击类、高风险类、中风险类、低风险类等事件类；DDOS防御非法报文攻击：land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof；统计型报文攻击：Synflood、Icmpflood、Udpflood、Portscan、ipsweep；支持主机连接数和半连接数的限制；动作支持阻断drop，报警Alert，TCP Reset，日志Log，记录报文，防火墙联动以及支持自定义组合动作。应用监控跟踪控制P2P应用支持识别BT、迅雷、Napster、Popo、Kazaa等P2P类应用；IM支持识别QQ、MSN、ICQ、UC以及Google Talk等IM类应用；可根据QQ和MSN帐户进行控制；游戏支持识别魔兽世界、征途、劲舞团、跑跑卡丁车、梦幻西游以及QQ游戏等网络游戏；异常流量能对设备的异常流量进行分析、阻断。可扩展性和高可用性扩展功能支持对AV、VPN等功能模块的扩展； 双机热备支持双机热备（Active-Active模式）；支持连接同步；Bypass支持光电接口的硬件ByPass功能和软件的ByPass功能，保障业务的可持续运行；系统维护功能管理方式支持本地和远程的各种管理方式，如WEB、TELNET、SSH以及SSL等；SNMP支持SNMP 的v1 、v2 、v2c 、v3 版本；监控和报警支持WEB页面上显示历史CPU、内存、会话数和接口流量的矩阵图； 支持邮件、SNMP、控制台等多种组合报警方式；日志存储和输出支持Welf、Syslog等多种日志格式的输出；设备本身可支持大于500G的存储空间； 维护支持WEB页面上的调试功能，可支持PING、Traceroute和TCPDUMP等；支持TFTP、FTP、HTTP方式升级；支持配置文件的下载和恢复功能；规则库维护具有独立应用程序识别库和攻击检测规则库；支持自定义规则库导入、导出；支持系统规则库手动、自动升级；报表WEB页面具有独立应用程序和入侵防御的中文事件报表；Webui支持实时显示按发生次数累计的攻击事件排名；支持Top10攻击者、Top10被攻击者、Top10事件统计报表；支持按时间统计的IPS流量报表；支持选定时间、网络攻击分类的统计报表；支持日报、周报、月报、季报等统计报表；支持报表输出，输出格式可以为PDF、DOC、HTML格式；资质及服务要求产品资质具有公安部颁发的计算机信息系统安全专用产品销售许可证；具有中国国家保密局测评中心颁发的涉密信息系统产品检测证书；具有IPv6产品测试认证具有ISCCC产品认证证书具有国家信息安全测评中心的EAL3等级认证证书；国家版权局颁发的入侵防御系统计算机软件著作权登记证书;国家版权局颁发的专用安全操作系统计算机软件著作权登记证书;具有入侵防御系统的CVE认证证书投标时需提供以上资质证书复印件，并加盖原厂商公章；公司资质和服务信息安全管理体系27001认证原厂商具备信息安全服务二级资质；CMMI 2级厂家具有国家级一级应急处理服务资质支撑单位；必须在宁波 (或杭州)有注册的分公司，可以提供本地原厂紧急响应服务，响应时间小于2小时，分公司有技术人员15人以上，且必须具有至少5人具备CISP（注册信息安全工程师）或BS7799认证工程师资格（以宁波 (或杭州市)本地社保为凭证）；保修服务及授权3年原厂商免费上门技术服务，投标时出具原厂商3年免费软件升级和免费硬件售后服务承诺函，和原厂商针对此项目的授权书2、网络VPN远程登陆系统系统性能及配置要求（数量1套）主机相当于推荐品牌：深信服、冰峰科技、天融信指标项指标要求硬件特性要求VPN安全网关系IPSec VPN和SSL VPN二合一安全网关，同时支持IPSec VPN和SSLVPN两种VPN协议SSL VPN可支持加密速度=100MbpsSSL VPN可支持并发用户数=300，本项目采购100个并发用户许可SSL VPN每秒新建用户数=60IPSec VPN可支持加密速度=75MbpsIPSec VPN可支持隧道数=3,000防火墙吞吐量=150Mbps并发会话数=350,000网络接口4个千兆电口尺寸标准机架式支持完整性支持对基于TCP、UDP、ICMP的所有B/S、C/S应用系统的支持，例如视频、语音、Ping等服务；支持Web参数修正，可针对Flash、Java、Applet、视频等对象进行修正，无需安装插件访问B/S应用；支持包括Win7、Mac、Linux等操作系统，使用Firefox、Safari、Google Chrome、Opera浏览器来登录SSLVPN系统，并完整支持该操作系统下的各种IP层以上的B/S和C/S应用；(提供证明并加盖公章)支持Windows Mobile、IPhone OS、Symbian、Android操作系统的智能手机、PDA等移动终端的SSL VPN接入支持对移动终端平台Andriod、IOS开发APP程序，为保障APP接入安全性，可提供与SSL VPN结合的软件开发工具包SDK产品应支持主流的商业加密算法，包括：AES、DES、3DES、DH、RSA、RC4、MD5、SHA1等，并支持加载扩展SM1等其他安全算法模块。易用性为减少管理人员的维护工作量，实现设备的最大利用率，要求投标产品支持虚拟站点功能，即一台设备可虚拟成多台设备，分别使用不同的IP地址和页面进行登录，各虚拟设备之间的用户、资源相互独立。每一台虚拟设备都支持独立的管理员进行管理。支持远程应用发布功能：只传输鼠标、键盘操作和显示数据，无需安装客户端即可支持C/S模式软件系统的远程使用。支持客户端、服务端权限细化控制、远程存储，支持虚拟打印机、本地输入法映射；支持远程应用单点登录。支持Web文件共享功能，用户登录SSL VPN后无需安装插件即可使用，进行文件打包下载、上传、删除、重命名、剪切、复制、粘贴、新建文件夹等常用文件操作 为减少用户每次使用业务系统所需录入用户名密码的次数，本次招标产品需支持单点登录功能（SSO）,支持移动用户登录VPN后再登录内部B/S、C/S应用系统时不需要二次重复认证。支持针对B/S单点登录用户名密码加密传输，保证安全；支持智能手机等移动终端的B/S单点登录；支持针对不同的访问资源设定不同的SSO用户名和密码，支持用户自行修改SSO账号。 为方便用户使用，本次招标产品需提供一定技术，防止用户误操作关闭IE浏览器导致VPN隧道断开，如：用户误操作时，将IE最小化到系统托盘或悬浮窗口。（提供产品配置界面证明）。支持用户自行设置SSL VPN开机自登录、桌面快捷方式，避免SSLVPN登录的繁琐；支持SSLVPN C/S客户端方式启动，SSLVPN登录过程脱离浏览器。支持智能递推技术，针对多外链的业务系统进行动态嗅探页面内的链接并完成资源自动授权，防止资源漏访（提供产品配置界面证明）安全性为保障访问我单位业务系统时的安全性，要求设备支持安全桌面功能，强制受保护的指定资源仅可在安全桌面下使用；安全桌面下默认仅可与SSLVPN通信，断开接入网的外联连接；在安全桌面内默认禁止外网和本地局域网通讯，禁止和本机默认桌面的通信，防止使用包括USB口设备、打印机等外设的信息外泄。退出安全桌面后清除安全桌面内一切操作和遗留的痕迹，保证重要应用使用的安全性。安全桌面根据用户需要自行配置按用户组、单独用户启用；可配置安全桌面下可访问的指定网段；可配置允许使用COM端口、允许使用打印机、允许与切换到默认桌面、允许本地通信；支持更换安全桌面壁纸、文件明文导出及审计、数据加密保存、离线访问等功能。（提供产品配置界面证明）为确保远程客户端用户接入单位内网时不会将当前网上的各种威胁，如病毒、木马、黑客攻击等引入内网，要求本次招标产品支持用户登陆前和登陆后的客户端安全性检测，检测范围包括：进程、文件、注册表、操作系统等，可以根据检测出来的安全级别不同给予不同的访问资源控制。（提供产品配置界面证明）为保障我单位内务业务系统的账号安全，要求SSL VPN账号能够与业务系统账号进行一一绑定，防止业务系统账号的冒用。（提供自主知识产权或者专利申请受理证明）为了确保用户接入的安全性，要求产品支持和浙江省CA中心电子签名结合，支持USB Key、 Secure ID(动态令牌认证) 、短信等多种认证方式，并支持最多五种认证方式的“与”组合认证。为满足不同级别用户的不同安全级别需求，要求支持客户端主机硬件特征码认证，通过获取客户端的硬件信息生成HARDCA证书，实现HARDCA证书和用户账户的绑定，实现接入终端的唯一性控制。为确保后续VPN用户认证能够和用户原有系统结合，要求本次招标产品支持LDAP(MS/OPEN/SUN)/AD， Radius等第三方认证。并要求支持支持多级分级管理，各级管理员均可以配置其可管理的模块，资源，用户及角色。扩展性为保证本次采购的设备性能的可扩展性，要求设备支持双机热备、多机非对称集群等部署方式。（例如设备支持3000并发用户，如今后增加到5000并发用户,则仅需要购买一台支持2000并发用户的设备，与原设备组成非对称集群即可，两台设备必须同时激活。）日志管理为帮助我单位更好的管理VPN接入用户，要求设备支持外置独立日志中心进行SSLVPN实时日志记录，可详细记录用户访问资源记录（用户、主机IP、资源、时间）、管理员日志（管理员、主机IP、时间、管理行为、对象）、系统日志、告警日志；可根据用户名、主机IP等信息进行用户行为查询；可提供用户组/用户流量排行及查询、资源流量排行及查询、资源活跃程度、用户活跃程度等记录；提供暴破登录记录；可提供用户登陆SSLVPN采用非绑定账号访问应用系统的记录防火墙为加强接入设备的安全性，产品应具备基于状态监测技术的防火墙功能，能够抵抗常见的网络攻击，能够进行包过滤或ACL控制（访问控制）。对防火墙的过滤规则能够进行虚拟测试，避免人为配置错误；支持防DOS攻击（提供产品配置界面证明）资质要求提供原厂商售后服务体系ISO9001认证证书；原厂商研发体系通过CMMI 3认证；提供中华人民共和国公安部颁发的计算机信息系统安全专用产品销售许可证；提供公安部信息安全产品检测中心颁发的GA/T 686-2007信息安全技术 虚拟专用网安全技术要求三级或三级以上检测报告（三级以上为四级、五级）；设备生产厂商需为国家密码管理局发布的SSL VPN技术规范起草单位之一；设备生产厂商需为国家密码管理局发布的IPSec VPN技术规范起草单位之一；设备生产厂商具有国家密码管理局颁发的商用密码产品生产定点单位证书；设备生产厂商具有国家密码管理局颁发的商用密码产品销售许可证SSLVPN及IPSec VPN均具有国家密码管理局颁发的商用密码产品型号证书；提供SSL VPN必须在中国国内市场占有率为前三名，保障为市场成熟主流产品（提供权威的第三方机构数据证明）。原厂商在浙江区域设有直属办事处等服务机构，以便于为客户提供完善、及时的售后服务。投标时需提供以上资质证书复印件，并加盖原厂商公章；售后服务支持投标时出具原厂商3年免费软件升级和免费硬件售后服务承诺函，和原厂商针对此项目的授权书，产品的安装、培训由原厂工程师完成实施。3、综合审计系统性能及配置要求（数量1套）主机相当于推荐品牌：安恒 思福迪 天融信指标项指标要求系统架构产品结构：要求为一个完整的软硬件一体化的日志审计系统；无需用户另行提供服务器、操作系统、数据库、防火墙软件、及用户手动升级系统补丁；系统盘与数据盘分离，且系统盘为只读，系统盘存储介质要求为DOM盘或CF卡；（提供设备内部照片，原厂盖章）同时系统盘必需加密；日志生命周期管理：包括日志采集、审计分析、存储备份功能。管理方式：管理界面采用BS架构的中文界面以便于管理，系统支持多种身份管理，相应权限的用户只能查看、管理相应的系统功能；支持第三方动态口令的认证（原厂商出据的证明盖章）一台审计主机平台至少提供2个及以上千兆电口系统功能数据库审计支持数据操作行为日志(Orale8i、9i、10g、11g，SQL-SERVER2000、2003，MYSQL、Informix、SyBase)；旁路部署方式，不需要更改现有网络结构，产品运行不得影响现有网络和业务的正常运行。系统完成审计数据采集，采集数据库自身所有日志以及数据库网络协议数据，不在现有服务器上安装可能带来风险的程序；对各种访问数据的途径（如客户端软件、PL/SQL、SQL*Plus、PB、Toad等各种SQL操作工具）进行记录；系统应能支持对数据库会话的完整审计，可以完整分析出每条数据库会话的会话源IP，源MAC，源Port，目标IP，目标MAC，目标Port，会话起止时间，程序名、数据库用户名、数据库名等会话内容；系统应能支持对数据库SQL操作语句的详细审计，可以分析出每条语句的操作方式、表名、存储过程名，执行时长、操作成功/失败，受影响行数等字段信息，可审计并还原SQL操作语句；系统应能对自身的事件（包括登录、系统参数修改、系统异常等）进行审计，可以审计用户对数据库中的数据库表 、视图、序列、包、存储过程、函数、库、索引、同义词、快照、触发器等的创建、修改和删除等，分析的内容可以精确到SQL操作语句一级；应用（中间件）审计支持所有应用（中间件）日志采集。如IIS、APACHE、WEBlogic等;特殊日志格式支持页面自定义配置，无需二次开发。旁路部署方式，不需要更改现有网络结构，产品运行不得影响现有网络和业务的正常运行。系统完成审计数据采集，采集数据库自身所有日志，不在现有服务器上安装可能带来风险的程序；日志信息必需标准化入库记录。应具有如下重要字段：发生时间、发生地址(IP)、访问资源、访问结果，访问客户端等。主机（操作系统）审计支持所有操作系统日显示屏 。如MicSoft windows2000、XP、2003、Vista，HP UNIX、IBM AIX、SUN Solari所有日志标准化。应具有如下重要字段：工具、等级、消息。如有数字内容必需转义为中文。工具、等级必需转义为中文。设备审计支持网络系统运行状态日志(主流安全产品防火墙Juniper、NETSCREEN、Checkpoint、天融信、东方龙马、东软、H3C等，IPS/IDS启明星辰、绿盟，防毒墙趋势、FortiGate、UTMFortinait、启明星辰；网络设备交换机和路由器Cisco、H3C、HUAWEI；所有日志标准化。应具有如下重要字段：工具、等级、消息。如有数字内容必需转义为中文。工具、等级必需转义为中文。安全设备中的消息字段必需进行二次标准化。应具有以下字段：ID、源（IP、MAC、端口）地址、目标（IP、MAC、端口）地址、日志类型等存储要求所供系统设备必须自带本地存储功能；存储系统为自主研发文件系统，须提供计算机软件产品著作权登记证书（考虑数据索引的重要性，占有不考虑使用传统关系型数据库）审计主机物理磁盘空间=300GB；日志存储量至少300000000条(三亿条)；（指标以原厂公开资料为准）日志存储周期三个月以上；RAID1架构以保证数据可靠性（指标以原厂公开资料为准）;基本功能实时功能实时窗口支持自定义布局，多种日志类型分子窗口实时滚动显示；实时滚动显示的明细日志可自定义显示日志字段；审计分析报告系统默认报告数量不少于百种；以图(柱、曲线、饼等)，统计、明细数据的方式表现；支持导出html、Excel、PDF；报告名称以树型菜单统一高效管理；查询检索日志数据全字段检索至少满足500万条入网身份认证安全检查安全结果展示自动修复的完整5步入网流程，上述5步流程不接受任何非浏览器方式的实现；边界管理接入边界管理1. 在不需要配置802.1x环境的情况下，新终端入网时，准入设备能够自动对接入层可网管（支持snmp或CLI）交换机上相应的端口执行动态vlan切换，将新终端划入隔离vlan区，防止恶意入网。2. 支持cisco、H3C全系列的接入层可网管交换机（如cisco 2950、H3C 3100等）。网关边界管理在接入终端产生跨网关访问时，能够自动引导其进行准入管理；来宾管理提供来宾角色选择，能够设定来宾设备的入网时长以及访问权限，提供来宾上网码，能够设定来宾设备与受访人员进行一对一绑定并提供绑定报表；能够设定禁止来宾入网。接入审核设备入网自动产生告警，支持短信以及邮件等多种方式提醒管理员；必须经过管理员审核后方能进入网络；认证管理基本认证方式1 支持准入设备本地用户名密码认证；2 支持LDAP服务器认证；3 支持AD域服务器认证；4 支持邮件服务器认证；5 支持第三方radius服务器认证。U-key认证1. 在终端上插入u-key，能够实现身份认证并入网；2. 拔除u-key后，终端能够在30秒内自动断网。短信认证1、 能够搭建出短信认证体系，用户在登记入网手机号码后，能够在手机上接收到入网的短信验证码，并在IE页面上利用短信验证码实现身份认证入网。Single sign-on1. 用户已建立了AD域的情况下，在终端登录到AD域后，不需要再进行认证就可以自动直接入网，避免多次认证的繁琐流程；2. 同样的环境下，没有登录到AD域的终端必须在IE页面进行认证才能够入网。终端安全管理安全检查库提供至少20个安全检查项；无客户端模式基于Agentless无客户端模式，终端设备不安装常驻的客户端代理，安全检查通过ActiveX或Applet控件方式实现，关闭浏览器后控件自动退出；安全控件必须通过微软签名认证。（投标时原厂商提供样机备测）基本安全检查1. 能够在IE页面检查出终端的杀毒软件情况，支持主流的14种以上的杀毒软件检查，包括微软MSE、可牛、Avast等，支持杀毒软件版本、病毒库和运行情况的检查，能够在IE页面显示出检查结果；2. 在网络中不需要另外提供补丁服务器的情况下，能够在IE页面进行入网终端的补丁检查，补丁均划分为严重、重要、中等的类别，能够在IE页面显示出检查结果；3. 能够在IE页面检查出主流的桌面管理系统客户端（包括landesk、北信源、威盾、盈高、圣博润等）是否安装并正常运行，能够在IE页面显示出检查结果。敏感文件检查1. 能够在IE页面上扫描并检查出包含指定关键字的文件（包括office文档、pdf、jpg等）；2. 能够在扫描到上述包含指定关键字的文件时弹框提示用户，并自动对该文件进行备份或删除操作；能够在准入设备后台查看到敏感文件的检查记录。终端安全加固1. 能够对没有安装杀毒软件的终端通过IE页面自动安装相应的杀毒软件；2. 在不需要网络中另外提供补丁服务器的情况下，能够对检查到未安装补丁的终端通过IE页面自动更新补丁；能够对检查到没有安装桌面管理客户端的终端通过IE页面自动安装相应的桌面管理客户端。网络管理hub管理1. hub发现：在多台计算机通过hub接入网络时，准入设备后台能够产生hub接入的报警记录；2. hub禁止：准入设备能够采用切换vlan，逻辑关闭端口等方式禁止hub接入，hub下的所有计算机均不能访问网络。交换机列表准入设备后台能够添加及配置网络中可网管（支持CLI或SNMP）的交换机，并生成交换机列表，点击列表中的条目能够进入交换机面板视图。交换机查看准入设备后台能够展示网络中可网管交换机的模拟面板，面板中能显示出交换机的各接口状态（up、down、trunk等），以及各接口下联的终端信息（ip地址、mac地址等）。流量管理访问流量控制1. 在不需要在接入终端上安装任何客户端软件的情况下，能够控制接入终端对互联网的访问流量，对访问流量的控制以kbps为单位；2. 能够分别控制上、下行的访问流量。访问流量报表1. 能够自动生成各种报表，包括协议流量分布（TOP 100）、内部主机流量分布（TOP 100）、外部主机流量分布（TOP 100）、连接数分布2. 能够展示最近1小时、1天、1周及1月的流量曲线图，曲线图中包含总流量、下行流量、上行流量、峰线、均值等参数，在鼠标移至图中任何位置时均能够展示出相关时间点及该时刻的统计信息。设备自身管理设备接口管理准入设备后台能够查看到设备自身的网络接口状态。设备资源管理准入设备后台能够查看到设备当前使用的准入技术、设备cpu使用曲线图、磁盘和内存使用等状况。设备访问管理准入设备后台必须支持https方式的访问。设备日志管理准入设备能够支持syslog日志定向输出。第三方接口准入设备后台提供第三方访问接口，第三方系统能够通过准入设备获取到网络中的终端列表、ip信息及违规走势数据等信息。操作员控制准入设备后台配置的安全策略能够设定私有或共享属性,私有策略或规范只能被创建者修改，其他操作员只能查看，防止误操作的发生。管理角色控制准入设备后台至少提供系统管理员、角色管理员、系统审计员3种管理角色，防止单个角色管理者的权限滥用。报表管理安全管理报表1. 准入设备后台提供网络ip地址池图表；2. 准入设备后台提供未关机终端报表；3. 准入设备后台能够按周、月、年统计安全状况走势图；4. 准入设备后台提供每日入网报告、每周入网报告、每月入网报告；报警提醒准入设备能够以邮件、手机短信、页面消息等多种报警方式提醒管理员各种安全异常状态。产品授权及服务提供原厂商针对本项目的授权函及至少三年的售后服务承诺函技术偏离表需原厂家盖章资质要求提供2500点以上大规模部署案例的验收证明2个以上公安部信息安全产品检测报告（访问控制类）公安部计算机信息系统安全专用产品销售许可证国家保密局涉密信息系统产品检测证书（网络安全访问控制产品）国家知识产权局产品专利1项以上(3)、综合审记系统技术要求1. 产品资质提供计算机信息系统安全专用产品销售许可证三年以上；通过国家信息安全产品强制认证（增强型认证）；提供通过国家保密局涉密信息系统认证三年以上；提供产品计算机软件著作权登记证书提供关于审计系统专利证书至少1个(提供专利数2个及以上将得到更高的评分)2. 厂商资质及要求提供厂商在本省人员社保证明，20人以上。厂商注册资金至少壹仟万。厂商具有（ISO9001:2008）质量管理体系统认证证书。3. 系统架构产品结构：要求为一个完整的软硬件一体化的日志审计系统；无需用户另行提供服务器、操作系统、数据库、防火墙软件、及用户手动升级系统补丁；系统盘与数据盘分离，且系统盘为只读系统盘存储介质DOM盘或CF卡;（提供设备内部照片，原厂盖章）系统盘必需加密；系统架构：所有硬件设备必须相互独立且为同一品牌； 日志生命周期管理：包括日志采集、审计分析、存储备份功能。管理方式：管理界面采用BS架构的中文界面以便于管理，系统支持多种身份管理，相应权限的用户只能查看、管理相应的系统功能。支持第三方动态口令的认证（提供第三方认证厂商出据的证明）4. 审计主机一台审计主机平台至少提供千兆RJ45*25. 数据库审计要求支持数据操作行为日志(Orale8i、9i、10g、11g，SQL-SERVER2000、2003，MYSQL、Informix、SyBase)；旁路部署方式，不需要更改现有网络结构，产品运行不得影响现有网络和业务的正常运行。系统完成审计数据采集，采集数据库自身所有日志以及数据库网络协议数据，不在现有服务器上安装可能带来风险的程序对各种访问数据的途径（如客户端软件、PL/SQL、SQL*Plus、PB、Toad等各种SQL操作工具）进行记录。系统应能支持对数据库会话的完整审计，可以完整分析出每条数据库会话的会话源IP，源MAC，源Port，目标IP，目标MAC，目标Port，会话起止时间，程序名、数据库用户名、数据库名等会话内容系统应能支持对数据库SQL操作语句的详细审计，可以分析出每条语句的操作方式、表名、存储过程名，执行时长、操作成功/失败，受影响行数等字段信息，可审计并还原SQL操作语句系统应能对自身的事件（包括登录、系统参数修改、系统异常等）进行审计，可以审计用户对数据库中的数据库表 、视图、序列、包、存储过程、函数、库、索引、同义词、快照、触发器等的创建、修改和删除等，分析的内容可以精确到SQL操作语句一级6. 应用（中间件）审计支持所有应用（中间件）日志采集。如IIS、APACHE、WEBlogic等;特殊日志格式支持页面自定义配置，无需二次开发。旁路部署方式，不需要更改现有网络结构，产品运行不得影响现有网络和业务的正常运行。系统完成审计数据采集，采集数据库自身所有日志，不在现有服务器上安装可能带来风险的程序日志信息必需标准化入库记录。应具有如下重要字段：发生时间、发生地址(IP)、访问资源、访问结果，访问客户端等。7. 主机（操作系统）审计支持所有操作系统日显示屏 。如MicSoft windows2000、XP、2003、Vista，HP UNIX、IBM AIX、SUN Solari所有日志标准化。应具有如下重要字段：工具、等级、消息。如有数字内容必需转义为中文。工具、等级必需转义为中文。8. 设备审计支持网络系统运行状态日志(主流安全产品防火墙Juniper、NETSCREEN、Checkpoint、天融信、东方龙马、东软、H3C等，IPS/IDS启明星辰、绿盟，防毒墙趋势、FortiGate、UTMFortinait、启明星辰；网络设备交换机和路由器Cisco、H3C、HUAWEI；所有日志标准化。应具有如下重要字段：工具、等级、消息。如有数字内容必需转义为中文。工具、等级必需转义为中文。安全设备中的消息字段必需进行二次标准化。应具有以下字段：ID、源（IP、MAC、端口）地址、目标（IP、MAC、端口）地址、日志类型等9. 存储要求所供系统设备必须自带本地存储功能；存储系统为自主研发文件系统，须提供计算机软件产品著作权登记证书（考虑数据索引的重要性，占有不考虑使用传统关系型数据库）审计主机物理磁盘空间=300GB；日志存储量至少300000000条(三亿条)；（指标以原厂公开资料为准）日志存储周期三个月以上；RAID1架构以保证数据可靠性（指标以原厂公开资料为准）;10. 基本功能实时功能实时窗口支持自定义布局，多种日志类型分子窗口实时滚动显示；实时滚动显示的明细日志可自定义显示日志字段；审计分析报告系统默认报告数量不少于百种；以图(柱、曲线、饼等)，统计、明细数据的方式表现；支持导出html、Excel、PDF；报告名称以树型菜单统一高效管理；查询检索日志数据全字段检索至少满足500万条5秒；支持多条件组合查询方式；支持多日志类型同时查询，以日志类型分别显示；支持日志字段自定义选择显示；分析规则默认规则库数量至少500条；支持自定义规则；规则告警支持屏幕、邮件、短信方式；规则条件支持多条件组合方式；备份归档支持日志属性(原始日志、重要日志、告警日志)、日志类型、存储周期的方式选择备份；支持日志恢复导入；系统管理支持审计系统帐号、组管理（添加、修改、删除）；支持资产管理，即所有采集日志源管理维护；11. 系统安全系统自身安全系统内置安全防火墙；支持控制访问审计主机范围；必需提供内部通讯检查机制，传输128加密；日志数据安全审计日志文件方式存储；审计日志加密导出审计系统；日志权限:审计员只限于操作权限设置范围内的日志数据，无权限日志数据透明；12. 系统升级及二次开发在设备维保期内，厂家提供对系统软件的免费升级服务，保证系统软件为最新版本。根据用户需求定制开发相关内容，包括报表和报表日志的查询等功能。13. 其它系统许可方式永久许可方式，再增加审计用户的情况下不用增加授权许可。产品授权及服务提供针对本项目的原厂授权函。提供原厂三年7*24小时的售后服务承诺。提供三年原厂保修及原厂免费现场服务，产品的安装、培训由原厂工程师完成实施。等保项目案例提供投标产品宁波本地通过等保复评案例三个以上并提供案例清单及联系人便于查证。(4)、漏洞扫描服务、防火墙VPN升级、项目集成指标要求漏洞扫描服务漏扫服务，提供漏扫报告必须含设备、网络、应用，数据库等全面漏洞扫描,以提供最终完整漏洞报告为完成依据，扫描周期为至少2次/年，投标时需提供扫描设备品牌和型号等功能参数VPN模块升级对现有华为USG5530万兆防火墙VPN模块进行扩展升级：万兆防火墙专用VPN License 50个，万兆防火墙专用VPN License KEY 50个。提供原厂授权书及售后服务承诺函系统集成当前系统为象山县城管局智慧城管指挥系统，该网络安全等级保护项目由目前该系统的运维商负责总体调度实施，该项须报价。为确保现有系统的稳定运行，明确责任划分，投标时必须提供该系统运维商出具的智慧城管指挥系统接入许可证明。无此证明则被认为无安全实施能力不推荐为中标候选人。品目三：1机房改造 数量1套序号品名指标要求数量1机房环境GSM报警系统平台短信报警、拨号遥控温度检测短信报警湿度检测短信报警市电停电检测短信报警，市电复电检测短信通知定时巡检，空调短信遥控、自动控制可以直接安装于机架；主机1台,GSM 天线1根,串口通信电缆1根,报警主机设置软件光盘1张,合格证12无线红外传感器安装在室内后面对窗户，当有人在探测区走动时，触发传感器，无线报警给报警主机，再由主机向接警手机发送报警短信。23无线漏水传感器漏水、水浸报警。表面接触性水汽传感器，无线编码报警（固定码）,频率：315MHz，可与多数无线报警器配套使用24灭火器手提式二氧化碳灭火器22 应用防火墙技术参数要求 数量1台技术指标指标要求品牌要求国内知名品牌。接口标准1U机架设备,标配6个10/100/1000 Base-T千兆电口，并含2个高速USB2.0接口，1个RJ45串口性能整机吞吐量7Gbps，七层吞吐量600Mbps，并发连接数2,000,000，每秒新建连接数110