安全设备采购清单.doc

硬件设备采购清单如下：（1）边界防火墙 数量：1台序号技术项指标要求1接口性能标准1U机架设备,标配6个千兆电口，并含2个高速USB2.0接口，1个RJ45串口；整机三层吞吐量（大包）3Gbps，应用层吞吐量500Mbps，并发连接数100万，每秒新建连接数9万，硬件Bypass 1对；2网络特性支持路由，网桥，单臂，旁路，虚拟网线以及混合部署方式。支持链路聚合，上下行接口联动，802.1Q VLAN Trunk、access接口，子接口。支持静态路由，动态路由支持RIP，OSPF，支持基于5元组和应用类型的策略路由。3防火墙支持基于八元组的访问控制规则，八元组包括源目的IP，源目的端口，源目的区域，用户（组），应用类型，服务类型；应用识别支持的应用类型超过1000种，应用识别规则总数超过2800条； 支持IPv4v6 NAT地址转换，支持源目的地址转换，目的地址转换和双向地址转换，支持针对源IP或者目的IP进行连接数控制；支持基于应用类型的策略路由应用引流；支持多线路链路负载；支持基于应用类型，网站类型，文件类型进行带宽分配和流控； 4威胁检测特征库必须具备独立的病毒库、URL库、IPS漏洞特征识别库、软件优化、应用识别库、WEB应用防护库、数据泄密防护库、僵尸网络识别库、实时漏洞分析识别库、恶意链接库、威胁情报预警与处理库（每一项需要提供截图证明并加盖厂商公章）； 5内容安全支持URL过滤和文件过滤功能，URL过滤支持GET，POST请求过滤和HTTPS网站过滤，文件过滤支持文件上传和下载过滤；6僵尸主机检测支持对终端种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为； 具备独立的僵尸主机识别特征库，恶意软件识别特征总数在40万条以上；对于未知威胁具备同云端安全分析引擎进行联动的能力，上报可疑行为并在云端进行沙盒检测，并下发威胁行为分析报告（需提供云端恶意软件分析报告样本并加盖厂商公章）； 7服务器防护支持HTTP 1.0/1.1，HTTPS协议的安全威胁检测；支持针对B/S架构应用抵御SQL注入、XSS、系统命令等注入型攻击；支持跨站请求伪造CSRF攻击防护；支持对ASP,PHP,JSP等主流脚本语言编写的webshell后门脚本上传的检测和过滤；支持对网站的扫描防护和防止恶意爬虫攻击；支持其他类型的Web攻击，如文件包含，目录遍历，信息泄露攻击等； 产品应具备独立的Web应用防护规则库，Web应用防护规则总数在3000条以上； 具备针对主流网站内容管理系统CMS的安全防护能力，如dedecms，phpcms，phpwind等；支持的CMS类型数量不少10种； 支持敏感数据防泄密功能，支持敏感信息自定义，支持根据文件类型和敏感关键字进行信息过滤；支持B/S服务漏洞扫描功能，可扫描WEB网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞； 支持对被防护网站是否被挂黑链进行检测； 支持CC攻击防护；8入侵防护入侵防护漏洞规则特征库数量在4600条以上，入侵防护漏洞特征具备中文相关介绍，包括但不限于漏洞描述，漏洞名称，危险等级，影响系统，对应CVE编号，参考信息和建议的解决方案； 支持对常见应用服务（HTTP、FTP、SSH、SMTP、IMAP）和数据库软件（MySQL、Oracle、MSSQL）的口令暴力破解防护功能； 具备对常见网络协议（SSH、FTP、RDP、VNC、Netbios）和数据库（MySQL、Oracle、MSSQL）的弱密码扫描功能； 支持同防火墙访问控制规则进行联动，可以针对检测到的攻击源IP进行联动封锁，支持自定义封锁时间；具备威胁情报预警与处置功能，可提供最新的威胁情报信息，能够对新爆发的流行高危漏洞进行预警和自动检测，发现问题后支持一键生成防护规则； 9病毒防护支持对HTTP，FTP，SMTP，POP3协议进行病毒文件检测；病毒库具备的内置病毒特征数量超过100万；支持对常见压缩文件格式的检测，如zip，rar，7z等；支持杀毒文件类型自定义；10网页篡改防护支持网关型和客户端型网页防篡改； 支持在服务器上安装防篡改插件；支持通过采用IRF文件驱动流技术，在插件上配置需要保护的文件目录和允许修改该目录的应用程序，识别修改被保护网站目录的应用程序是否合法；客户端插件支持记录尝试修改，删除，新增被保护目录下文件的行为日志；客户端插件需要保障自身安全性，包括后台进程不允许被强制中止，访问客户端插件管理页面需要进行密码验证，访问客户端插件管理页面需具备自动超时机制；支持在网关设备设置对通过CMS方式登录网站管理后台进行邮件二次认证；支持在网关设备设置对通过FTP方式登录网站管理后台进行邮件二次认证； 支持设置网站后台登录管理白名单，白名单中的用户登录网站管理后台无需经过二次认证；11安全可视化支持对经过设备的流量进行分析，发现被保护对象存在的漏洞（非主动扫描），并根据被保护对象发现漏洞数量进行TOP 10排名，列出每个服务器发现的漏洞类型以及数量，支持生成和导出威胁报告，报告内容包含对整体发现的漏洞情况进行分析； 提供安全报表，报表内容体现被保护对象发现漏洞情况以及遭受到攻击的漏洞统计，可以查看到有效攻击行为次数和攻击趋势； 12自主运维管理支持设备界面有待处理功能，同时支持在首页多维度的展示发现的安全威胁，如攻击风险，漏洞风险，终端安全威胁和数据风险等；支持将所有发现的安全问题进行归类汇总，并针对给出相应的解决方法指引； 13攻击地图展示在设备首页界面可以展示攻击源IP地址，及归属地，并且可以统计TOP5的攻击归属地；以世界地图的方式进行展示，帮助管理员分析攻击者分布； 14高可用性双机支持A/S，A/A方式部署，支持配置同步，会话同步和用户状态同步。15售后服务要求必须在省内有厂家直属的服务办事机构，提供7*24小时快速上门服务和2小时内快速响应服务 16售后服务体系要求生产厂家售后服务体系通过ISO9001认证17产品资质要求所投防火墙产品符合公安部第二代防火墙标准（GAT 1177-2014）的要求，并提供公安部颁发的第二代防火墙销售许可证； 18产品成熟度要求要求所投产品（非投标型号）Web应用防护能力经过国际知名实验室NSS Labs测试，并获得recommended推荐级别； 要求所投防火墙产品通过ICSA Labs的认证； 要求所投防火墙产品入围Gartner企业级防火墙魔力象限，保证产品质量和市场认可度设备生产厂商软件开发能力要求具备CMMI 5要求19其他原厂保修一年；中标后若产品功能不满足招标要，无法通过项目验收，则不予支付合同款项并追究违约责任。（2）WEB应用防火墙 数量：1台序号技术项指标要求1接口性能标准1U机架设备,标配4个千兆电口，2个千兆光口，并含2个高速USB2.0接口，1个RJ45串口；整机三层吞吐量（大包）6Gbps，应用层吞吐量800Mbps，并发连接数100万，每秒新建连接数10万，硬件Bypass 2对；2网络特性支持路由，网桥，单臂，旁路，虚拟网线以及混合部署方式。支持链路聚合，上下行接口联动，802.1Q VLAN Trunk、access接口，子接口。支持静态路由，动态路由支持RIP，OSPF，支持基于5元组和应用类型的策略路由。3防火墙支持基于八元组的访问控制规则，八元组包括源目的IP，源目的端口，源目的区域，用户（组），应用类型，服务类型；应用识别支持的应用类型超过1000种，应用识别规则总数超过2800条； 支持IPv4v6 NAT地址转换，支持源目的地址转换，目的地址转换和双向地址转换，支持针对源IP或者目的IP进行连接数控制；支持基于应用类型的策略路由应用引流；支持多线路链路负载；支持基于应用类型，网站类型，文件类型进行带宽分配和流控（需提供截图证明）； 4威胁检测特征库必须具备独立的病毒库、URL库、IPS漏洞特征识别库、软件优化、应用识别库、WEB应用防护库、数据泄密防护库、僵尸网络识别库、实时漏洞分析识别库、恶意链接库、威胁情报预警与处理库（每一项需要提供截图证明并加盖厂商公章）； 5内容安全支持URL过滤和文件过滤功能，URL过滤；支持GET，POST请求过滤和HTTPS网站过滤，文件过滤支持文件上传和下载过滤；6僵尸主机检测支持对终端种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为； 具备独立的僵尸主机识别特征库，恶意软件识别特征总数在40万条以上；对于未知威胁具备同云端安全分析引擎进行联动的能力，上报可疑行为并在云端进行沙盒检测，并下发威胁行为分析报告； 7服务器防护支持HTTP 1.0/1.1，HTTPS协议的安全威胁检测；支持针对B/S架构应用抵御SQL注入、XSS、系统命令等注入型攻击；支持跨站请求伪造CSRF攻击防护；支持对ASP,PHP,JSP等主流脚本语言编写的webshell后门脚本上传的检测和过滤；支持对网站的扫描防护和防止恶意爬虫攻击；支持其他类型的Web攻击，如文件包含，目录遍历，信息泄露攻击等； 产品应具备独立的Web应用防护规则库，Web应用防护规则总数在3000条以上； 具备针对主流网站内容管理系统CMS的安全防护能力，如dedecms，phpcms，phpwind等；支持的CMS类型数量不少10种； 支持敏感数据防泄密功能，支持敏感信息自定义，支持根据文件类型和敏感关键字进行信息过滤；支持B/S服务漏洞扫描功能，可扫描WEB网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞； 支持对被防护网站是否被挂黑链进行检测（需提供截图证明并加盖厂商公章）； 支持CC攻击防护；8入侵防护入侵防护漏洞规则特征库数量在4600条以上，入侵防护漏洞特征具备中文相关介绍，包括但不限于漏洞描述，漏洞名称，危险等级，影响系统，对应CVE编号，参考信息和建议的解决方案； 支持对常见应用服务（HTTP、FTP、SSH、SMTP、IMAP）和数据库软件（MySQL、Oracle、MSSQL）的口令暴力破解防护功能； 具备对常见网络协议（SSH、FTP、RDP、VNC、Netbios）和数据库（MySQL、Oracle、MSSQL）的弱密码扫描功能； 支持同防火墙访问控制规则进行联动，可以针对检测到的攻击源IP进行联动封锁，支持自定义封锁时间；具备威胁情报预警与处置功能，可提供最新的威胁情报信息，能够对新爆发的流行高危漏洞进行预警和自动检测，发现问题后支持一键生成防护规则（需提供截图证明并加盖厂商公章）； 9病毒防护支持对HTTP，FTP，SMTP，POP3协议进行病毒文件检测；病毒库具备的内置病毒特征数量超过100万；支持对常见压缩文件格式的检测，如zip，rar，7z等；支持杀毒文件类型自定义；10网页篡改防护支持网关型和客户端型网页防篡改； 支持在服务器上安装防篡改插件；支持通过采用IRF文件驱动流技术，在插件上配置需要保护的文件目录和允许修改该目录的应用程序，识别修改被保护网站目录的应用程序是否合法；客户端插件支持记录尝试修改，删除，新增被保护目录下文件的行为日志；客户端插件需要保障自身安全性，包括后台进程不允许被强制中止，访问客户端插件管理页面需要进行密码验证，访问客户端插件管理页面需具备自动超时机制；支持在网关设备设置对通过CMS方式登录网站管理后台进行邮件二次认证；支持在网关设备设置对通过FTP方式登录网站管理后台进行邮件二次认证； 支持设置网站后台登录管理白名单，白名单中的用户登录网站管理后台无需经过二次认证；11安全可视化支持对经过设备的流量进行分析，发现被保护对象存在的漏洞（非主动扫描），并根据被保护对象发现漏洞数量进行TOP 10排名，列出每个服务器发现的漏洞类型以及数量，支持生成和导出威胁报告，报告内容包含对整体发现的漏洞情况进行分析； 提供安全报表，报表内容体现被保护对象发现漏洞情况以及遭受到攻击的漏洞统计，可以查看到有效攻击行为次数和攻击趋势； 12自主运维管理支持设备界面有待处理功能，同时支持在首页多维度的展示发现的安全威胁，如攻击风险，漏洞风险，终端安全威胁和数据风险等，并支持将所有发现的安全问题进行归类汇总，并针对给出相应的解决方法指引； 13攻击地图展示在设备首页界面可以展示攻击源IP地址，及归属地，并且可以统计TOP5的攻击归属地；以世界地图的方式进行展示，帮助管理员分析攻击者分布； 14高可用性双机支持A/S，A/A方式部署，支持配置同步，会话同步和用户状态同步。15售后服务要求必须在省内有厂家直属的服务办事机构，提供7*24小时快速上门服务和2小时内快速响应服务 16售后服务体系要求生产厂家售后服务体系通过ISO9001认证17产品资质要求所投防火墙产品符合公安部第二代防火墙标准（GAT 1177-2014）的要求，并提供公安部颁发的第二代防火墙销售许可证（提供标准截图证明或者提供网站查询截图）； 18产品成熟度要求要求所投产品（非投标型号）Web应用防护能力经过国际知名实验室NSS Labs测试，并获得recommended推荐级别； 要求所投防火墙产品通过ICSA Labs的认证(提供证书并加盖厂商公章）； 要求所投防火墙产品入围Gartner企业级防火墙魔力象限，保证产品质量和市场认可度设备生产厂商软件开发能力要求具备CMMI 5要求19其他原厂保修一年; 中标后若产品功能不满足招标要，无法通过项目验收，则不予支付合同款项并追究违约责任。（3）上网行为管理设备 数量：1台 项目指标具体功能要求硬件参数性能指标标准1U设备，吞吐量1Gb，用户规模1200人，设备接口6个千兆电口，硬盘500GB, 3对ByPass口；2个USB2.0口，单电源部署方式网关模式支持网关模式，支持NAT、路由转发、DHCP等功能；网桥模式支持网桥模式，以透明方式串接在网络中；旁路模式支持旁路模式，无需更改网络配置，实现上网行为审计；多路桥接必须支持多路桥接功能，最多可支持四进四出四网桥模式；多主模式必须支持两台及两台以上设备同时做主机的部署模式；网关管理管理界面支持SSL加密WEB方式、SSH命令行方式管理设备；分级管理不同用户组的管理权限支持分配给不同管理员；集中管理多台设备支持通过统一平台集中管理、集中配置等；被控设备加入统一平台必须支持以硬件证书验证身份；告警管理支持攻击、泄密告警，危险行为告警、邮件延迟审计告警等；关闭网管在网关重启操作中支持关闭网关。加密连接必须具有IPSec VPN远程加密访问和连接的模块，并能提供IPSec VPN客户端授权远程接入访问（提供界面证明）； 排障工具提供图形化排障工具，便于管理员排查策略错误等故障；上网故障排除系统支持开启直通后，流量控制模块依然生效，避免全部数据直通导致线路流量过大；实时监控设备资源信息提供设备实时CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、网络接口等信息；流量状态实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息；安全状态实时显示当天的安全状况，最后发生安全事件的时间、类型、总次数、源对象，帮助管理员管理内网安全；上网行为监控实时显示设置过滤条件的用户上网行为监控，支持手动设置刷新时间；用户管理本地认证支持触发式WEB认证，静态用户名密码认证等； 第三方认证支持LDAP、Radius、POP3、Proxy等第三方认证； 支持ISA lotus ldapnovel ldaporacle、sql server、db2、mysql等数据库等第三方认证；双因素认证必须支持以USB-Key方式实现双因素身份认证；IP、MAC认证支持绑定IP认证、绑定MAC认证，及IP/MAC绑定认证等；支持通过SNMP服务器跨三层获取MAC地址；支持当用户MAC地址变动时，需要重新认证；短信认证支持短信认证方式，用户输入手机号作为用户名，通过短信猫或短信平台发送验证码；短信认证能够根据不同用户推送不同认证页面，该认证页面可自定义，编辑内容包括文字、颜色风格、图片，且图片支持轮询播放微信认证支持与微信结合的认证方式，用户关注微信公众号后即通过身份认证，后台记录用户ID新用户认证根据新用户的源IP网段实现新用户差异化账户创建、自动分组、认证规则；公用账户支持多人使用同一帐号登录，且支持重复登陆检测机制；账户有效期指定账户支持有效期限制，并支持自动过期；单点登录支持AD、POP3、Proxy、PPPOE、 H3C IMC/CAMS、锐捷 SAM、城市热点等系统进行认证单点登录，简化用户操作；可强制指定用户、指定IP段的用户必须使用单点登录；强制AD认证指定用户必须用AD域账户登录操作系统，否则禁止上网；安全组嵌套同步支持AD安全组嵌套同步；认证失败支持为认证失败用户提供基本网络访问权限机制；认证后页面跳转认证成功的用户支持页面跳转：1. 跳转到用户原本输入的URL地址；2. 跳转到管理员指定的URL地址；3. 跳转到该用户上网信息排行页面；4. 跳转到注销页面;帐户导入支持从本地导入和扫描导入，支持以CSV格式文件导入帐户/分组/IP/MAC/描述/密码等信息；支持从外部LDAP服务器导入账户及分组信息；组织结构用户分组支持树形结构，支持父组、子组、组内套组等；用户状态查询支持用户登录时间、注销时间、在线时长的查询；自动注销支持自动注销指定时间内无流量的已认证用户；冻结用户支持冻结认证失败次数超过最大值的用户，在冻结时间结束后恢复登录；用户密码强度可设置用户密码不能等于用户名；新密码不能与旧密码相同；可设置密码最小长度；可设置密码必须包括数字或字母或特殊字符； 终端管理系统识别支持识别终端操作系统版本、系统补丁安装情况； 文件识别支持识别终端硬盘指定目录下的文件情况；进程识别支持识别终端系统后台运行的进程信息，防止间谍软件的运行（必须提供自主知识产权证明，加盖厂商公章）；注册表识别支持识别终端系统注册表中指定的表项和键值；自定义识别支持终端调用管理员指定脚本/程序以满足个性化检查要求；终端准入支持win 7 64位操作系统，支持在旁路模式部署下准入生效；支持禁止不满足终端检查要求的用户访问互联网；应用管理应用识别规则库1、 支持根据标签选择应用，标签分类至少包含安全风险、高带宽消耗、发送电子邮件、降低工作效率、外发文件泄密风险、主流论坛和微博发帖6大类；2、 支持给每个应用自定义标签；3、 支持根据标签选择一类应用做控制；4、 支持对每一种应用的定义和解释，帮助客户快速定位应用的分类；5、 支持给每一种应用列上图标，易于客户了解应用的特征。应用控制1、 设备内置应用识别规则库，支持超过1600种以上的应用，200种以上移动应用，并保持每两个星期更新一次，保证应用识别的准确率；2、 支持根据应用的特征智能识别新更新的应用；3、 支持根据IP、端口、协议等自定义应用规则；4、 支持根据不同的应用类型或具体的某种应用设置允许或拒绝；端口控制支持根据端口设定用户不允许访问的目标IP组提供的服务；代理控制1、 不允许使用外部HTTP代理；2、 不允许使用外部Sock4/5代理；3、 不允许在HTTP,SSL一些的标准端口上