温州市网上审批系统二期工程总体设计.doc

温州市网上审批系统二期工程总体设计及中标报价信息3.1系统总体框架二期工程在一期工程基础上，以标准、制度和安全体系为保障，以行政审批、人事考勤、统计分析、绩效评估、日常办公、审批公共服务数据库等各类数据为基础，以各项审批和监督业务流程信息化为主线，形成互联互通，贯穿上下的行政审批、绩效考核、社会服务信息化体系，总体框架如图1所示。图1 温州市网上审批系统二期工程总体框架1、物理层物理层是系统构建的软件、硬件基础，包括服务器平台、系统软件平台等。市审批中心将对进行机房基础设备进行升级改造；市审批服务中心网络与各业务单位内部网络间将依托于市电子政务信息网进行信息交互。 2、数据层数据层主要由行政审批、业务管理、业务督查、日常办公等过程中所产生的各类数据组成，包含基础数据、审批公共数据、审批文件数据、行政审批业务数据、行政审批过程数据、日常办公数据、绩效评测规则数据、辅助数据、人事考核数据等。3、支撑软件层支撑软件层包括数据共享与交换平台、消息平台、工作流平台和表单管理平台。应用支撑平台是应用系统开发的基础平台，为各模块提供组件及服务，同时开发各系统模块的公共应用，统一架构，便于管理和功能扩展。为各个业务系统之间、与各个横向审批单位的相关审批系统之间的数据共享和交换提供支撑。4、应用层在统一的数据环境体系基础上，架构各应用系统，通过内在的数据共享和协作关系，将各个应用连接起来构成一个既相对独立又密切协作的网上审批系统。3.2 系统运行硬件基础平台建设系统运行硬件基础平台建设是网上审批系统建设的重要内容之一，负责为基础数据库系统的数据管理、数据处理、数据分发等环节提供系统资源与运行环境，为应用软件的设计提供计算机、网络、存储、数据库管理等系统资源。3.3应用系统建设经过对来自申报人、业务办理单位、中心业务管理部门、中心督查部门、中心窗口等的需求进行分析，系统应用系统建设内容分为：审批监察与决策支持系统、行政审批服务中心OA系统、网上审批系统、审批管理系统、业务督查系统、绩效考核系统、网上大厅和虚拟大厅管理系统等七部分。具体应用结构如图2所示：图2 温州市区域一体网上审批系统应用结构图一期工程中已实现审批监察与决策支持系统、行政审批服务中心OA系统、网上审批系统、审批管理系统，采用“用户名+密码+验证码”的登录方式，同时提供CA认证登录方式，用户密码在数据库中均为加密存储。二期工程主要完成对业务监督系统、绩效考核系统、网上大厅及虚拟大厅管理系统的建设。3.4网上办事大厅 市民和企事业单位通过访问市行政审批服务中心网上办事大厅，及时了解行政审批服务中心的各种公共信息如机构设置、工作职责、政策规定、办事指南、工作承诺、政务信息、以及其他的便民服务等；也可以通过网上办事大厅来进行表格下载、办件预申报，了解审批流程和必要条件；查询办件情况；反馈各种意见乃至投诉等。社会公众在网上办事大厅注册后（CA认证用户不需注册），在线填写想要公开的政策法规或办理事项等信息，提交申请后，申请信息通过数据交换平台传输到审批系统，并由中心指定的受理窗口进行处理，公开可采取网上公开、电子大屏公开等方式进行，同时系统自动以短信或站内消息的方式通知申报人。虚拟大厅整合在中心网站上，设置成专栏；行政审批服务中心虚拟大厅进入后以整站flash方式，模拟温州市行政审批服务中心实际物理场景，引导社会公众完成办事流程查看、办事咨询、表格下载、网上预申报等操作；虚拟大厅要求与市行政审批服务中心门户网站、网上审批系统进行数据共享，实现信息同步更新。3.5 数据库建设网上审批系统的所有运用均需要后台数据库做支撑，因此数据库建设是系统建设的核心内容。为了更好地服务于前台运用，满足项目需求，核心数据层包括：基础数据库、审批业务数据库、审批辅助数据库、办公数据库。四、项目采购清单及参数1、主机与备份存储系统建设根据二期工程需要，主机与备份存储系统主要包括新增业务应用服务器、OA/监管服务器、语音/短信服务器、数据前置交换机、备用服务器等服务器群，另外还包括虚拟带库、磁盘阵列在内的备份存储设备升级，详见下表：（1）主机系统 业务应用服务器（2台）指标项规格要求品牌国际知名品牌外观机架式4U服务器CPU当前配置4路六核处理器，性能不低于E7530，最大可支持四路英特尔至强六核或八核处理器；总线1066 MHz 前端总线内存当前配置8GB DDR3 RDIMM内存，单机最大可扩充至256GB磁盘当前配置3块300GB 10K SAS 2.5双端口热插拔硬盘；配置8槽位SFF SAS硬盘笼，最多可支持8个SAS/SATA热插拔硬盘阵列控制器配置RAID缓存512MB，（RAID缓存保护电池模块，支持72小时数据保护），支持RAID0，1，5，6，10I/O扩展当前配置7个可用I/O插槽网卡至少提供4个双口多功能千兆网卡，支持TCP/IP Offload Engine（TOE）输入输出超薄SATA DVD-ROMHBA卡2块单口4GB HBA卡可靠性当前配置2个热插拔电源、冗余系统风扇服务提供3年7244小时的原厂商现场保修服务（含备件更换和现场人工服务），提供原厂售后服务承诺函原件。 语音短信服务器（1台）指标项规格要求品牌国际知名品牌外观机架式2U服务器CPU当前配置2路4核英特尔Xeon E5530（2.40 GHz，8 MB 三级高速缓存，80瓦）处理器；总线1066 MHz 前端总线内存当前配置12GB DDR3 RDIMM内存，单机最大可扩充至96GB磁盘当前配置2块300GB 10K SAS 2.5双端口热插拔硬盘；最多可支持5个以上SAS/SATA热插拔硬盘阵列控制器配置RAID缓存256 MB，支持RAID0，1，5，6，10，支持热备盘技术I/O扩展当前配置7个可用I/O插槽网卡提供2个双口多功能千兆网卡，支持TCP/IP Offload Engine（TOE）输入输出超薄SATA DVD-ROM 可靠性当前配置2个热插拔电源、冗余系统风扇。服务提供3年7244小时的原厂商现场保修服务（含备件更换和现场人工服务），提供原厂售后服务承诺函原件。 OA/监管服务器（1台）指标项规格要求品牌国际知名品牌外观机架式2U服务器CPU当前配置2路4核英特尔Xeon E5530（2.40 GHz，8 MB 三级高速缓存，80 瓦）处理器；总线1066 MHz 前端总线内存当前配置12GB DDR3 RDIMM内存，单机最大可扩充至96GB磁盘当前配置2块300GB 10K SAS 2.5双端口热插拔硬盘；最多可支持5个以上SAS/SATA热插拔硬盘阵列控制器配置RAID缓存256 MB，支持RAID0，1，5，6，10，支持热备盘技术I/O扩展当前配置7个可用I/O插槽网卡提供2个双口多功能千兆网卡，支持TCP/IP Offload Engine（TOE）输入输出超薄SATA DVD-ROM可靠性当前配置2个热插拔电源、冗余系统风扇。服务提供3年7244小时的原厂商现场保修服务（含备件更换和现场人工服务），提供原厂售后服务承诺函原件。 数据交换前置服务器（2台）指标项规格要求品牌国际知名品牌外观机架式2U服务器CPU当前配置2路4核英特尔Xeon E5530（2.40 GHz，8 MB 三级高速缓存，80 瓦）处理器总线1066 MHz 前端总线内存当前配置12GB DDR3 RDIMM内存，单机最大可扩充至96GB磁盘当前配置2块300GB 10K SAS 2.5双端口热插拔硬盘；最多可支持5个以上SAS/SATA热插拔硬盘阵列控制器配置RAID缓存256 MB，支持RAID0，1，5，6，10，支持热备盘技术I/O扩展当前配置7个可用I/O插槽网卡提供2个双口多功能千兆网卡，支持TCP/IP Offload Engine（TOE）输入输出超薄SATA DVD-ROM可靠性当前配置2个热插拔电源、冗余系统风扇服务提供3年7244小时的原厂商现场保修服务（含备件更换和现场人工服务），提供原厂售后服务承诺函原件。 备用服务器（2台）指标项规格要求品牌国际知名品牌外观机架式2U服务器CPU当前配置2路4核英特尔Xeon E5560（2.80 GHz，8 MB 三级高速缓存，95 瓦）处理器总线1066 MHz 前端总线内存当前配置16GB DDR3 RDIMM内存，单机最大可扩充至96GB磁盘当前配置2块300GB 10K SAS 2.5双端口热插拔硬盘；最多可支持5个以上SAS/SATA热插拔硬盘阵列控制器配置RAID缓存256 MB，支持RAID0，1，5，6，10，支持热备盘技术I/O扩展当前配置7个可用I/O插槽网卡提供2个双口多功能千兆网卡，支持TCP/IP Offload Engine（TOE）输入输出超薄SATA DVD-ROM HBA卡2块单口4GB HBA卡可靠性当前配置2个热插拔电源、冗余系统风扇。服务提供3年7244小时的原厂商现场保修服务（含备件更换和现场人工服务），提供原厂售后服务承诺函原件。（2）备份存储系统 备份系统升级设备名称规格要求数量FC硬盘扩展到5TB光纤硬盘容量，核心数据存储6 SAN交换机（2台）指标项规格要求品牌国际知名品牌端口至少24端口， 8口可用性能4GB /秒，支持4Gb/s、2Gb/s、1Gb/s自适应传输速率服务提供3年724小时的原厂商现场保修服务（含备件更换和现场人工服务），提供原厂售后服务承诺函原件。其他8个短波SFP模块；8根15米光纤电缆。（3）其他设备名称规格要求数量IBM小型机电源模块适用于原有IBM P650小型机的电源模块3无线路由器知名品牌，支持IEEE802.11b、IEEE802.11g 、IEEE802.11n无线技术，无线传输速度300Mbps；支持无线AP模式，支持SSID隐藏、无线MAC地址过滤、64/128/位WEP加密及WPA-PSK/WPA2-PSK、WPA/WPA2安全机制等；适合移动办公使用。10HBA卡原有备份服务器升级用，品牌型号与新采购设备中保持一致22、网络系统建设 核心交换机（2台）指标项指标要求核心交换机国际知名品牌支持TCP/IP协议IP V4，支持IPv6引擎交换容量720Gbps，包转发率480Mpps满配的万兆接口数量不小于16个，满配的千兆接口数量不小于288个，方便日后扩展需要；本次配置24端口千兆/百兆以太网电接口，至少4个SFP(可以光电复用)，原厂多模模块（850nm,0.55km,LC）24个 ，不接受OEM产品支持两台物理设备虚拟化为一台逻辑设备，支持统一的管理、跨设备链路聚合。模块化结构，槽位数=8 ,为了便于散热与防尘，采用竖插槽机箱引擎、电源支持冗余；所有组件可热插拔；满足99.999%的高可靠性。本次配置双电源，单引擎。可支持防火墙模块，入侵检测模块，网络分析模块、负载均衡模块；所配接口板必须是分布式转发工作模式，避免集中式转发的性能瓶颈支持MPLS功能，胜任高性能PE及MCE应用；支持三层MPLS VPN，支持二层VPLS VPN支持模块的热插拔，任何模块的热插拔不应影响其它模块（引擎除外）支持良好的业务特性和服务质量，至少具备8个QoS优先级，通过服务质量策略（特别是优先权规则和算法）为关键业务和特定应用预留带宽。支持基于第二层、第三层和第四层的ACL，支持VLAN ACL和IPv6 ACL；支持出方向ACL；支持IEEE 802.1x和Portal方式用户认证， 802.1x动态VLAN分配； 可动态或静态划分VLAN，支持VLAN TRUNK和端口汇聚。支持硬件NAT、PAT功能，为保证性能，NAT功能要求由业务板卡实现支持静态组播配置，支持多个组播路由协议，支持组播策略处理，支持IGMP、PIM-DM、PIM-SM协议。支持多种路由协议，如RIP、静态路由、OSPF、ISIS，支持BGP和Multicast BGP等支持通过命令行、Web、中文图形化配置软件等方式进行配置和管理支持IGMP (v1, v2和v3) 监听支持IP/Port/MAC的绑定功能提供第三方权威测试机构如Tolly Group测试报告，保证投标产品性能指标真实可靠所投产品必须为非OEM产品，要求提供信息产业部入网证，入网证上申请单位与生产企业必须为同一厂商，入网时间为两年以上，且能在信产部网站查询。（以取得信产部入网证时间为准）提供3年7244小时的原厂商现场保修服务（含备件更换和现场人工服务），提供原厂售后服务承诺函原件。 接入交换机（10台）指标项规格要求品牌要求与核心交换机同一品牌体系结构固定配置交换机背板容量交换容量32Gbps端口数量配置10/100电口24；配置10/100/1000M电口2；配置千兆光口2，原厂多模模块（850nm,0.55km,LC）2个MAC地址表16K三层包转发速率转发率9Mpps。路由协议支持静态路由、RIPv1/v2VLAN可按动态或静态划分VLAN，支持802.1Q，支持VLAN TRUNK和端口汇聚。VLAN ID范围4KQoS支持支持IEEE802.1p；支持端口限速访问控制支持基于源MAC地址、目的MAC、 MAC地址范围、源IP地址、目的IP地址、IP协议类型、物理端口、TCP/UDP端口、 TCP/UDP端口范围、VLAN等定义ACL；支持基于时间的ACL；支持基于VLAN下发ACL，有效简化ACL配置过程；支持IPv6的ACL和QoSARP防御支持ARP入侵检测，配合DHCP Snooping动态防御各种ARP攻击支持ARP报文限速，防止CPU受到大量ARP报文冲击安全特性支持802.1X认证；支持端口隔离；支持IP/MAC/端口的绑定支持控制端口下允许接入的最大MAC地址数，防止攻击者恶意占用MAC表项设备管理支持命令行接口（CLI），Telnet，Console口进行配置；支持SNMPv1/v2/v3，WEB网管；支持中文图形界面网管入网证书所投产品必须为非OEM产品，要求提供信息产业部入网证，入网证上申请单位与生产企业必须为同一厂商，入网时间为两年以上，且能在信产部网站查询。（以取得信产部入网证时间为准）服务提供3年724小时的原厂商现场保修服务（含备件更换和现场人工服务）。提供724小时保障服务，遇到用户问题立即提供服务响应，并在24小时内解决发生的故障。 服务器接入交换机（1台）指标项规格要求品牌要求与核心交换机同一品牌体系结构固定配置交换机背板容量交换容量16Gbps端口数量配置10/100电口24；配置10/100/1000M电口2；配置千兆光口2（可以和千兆电口复用）MAC地址表8K三层包转发速率转发率6.5MppsVLAN可按动态或静态划分VLAN，支持802.1Q，支持VLAN TRUNK和端口汇聚。VLAN ID范围4KQoS支持支持IEEE802.1p；支持端口限速访问控制支持基于源MAC地址、目的MAC、 MAC地址范围、源IP地址、目的IP地址、IP协议类型、物理端口、TCP/UDP端口、 TCP/UDP端口范围、VLAN等定义ACL；支持基于时间的ACL；支持基于VLAN下发ACL，有效简化ACL配置过程；支持IPv6的ACL和QoS。ARP防御支持ARP入侵检测，配合DHCP Snooping动态防御各种ARP攻击；支持ARP报文限速，防止CPU受到大量ARP报文冲击安全特性支持802.1X认证；支持端口隔离；支持IP/MAC/端口的绑定；支持控制端口下允许接入的最大MAC地址数，防止攻击者恶意占用MAC表项设备管理支持命令行接口（CLI），Telnet，Console口进行配置；支持SNMPv1/v2/v3，WEB网管；支持中文图形界面网管；支持通过虚电缆检测功能快速准确定位网络中故障电缆的短路或断路点，并支持单向链路检测IPv6管理特性支持IPv6 host特性族，包括IP v6单播地址配置，ICMP v6，IP v6邻居发现协议（ND），TCP v6，TFTP v6，TRACERT v6管理特性入网证书所投产品必须为非OEM产品，要求提供信息产业部入网证，入网证上申请单位与生产企业必须为同一厂商，入网时间为两年以上，且能在信产部网站查询。（以取得信产部入网证时间为准）服务提供3年724小时的原厂商现场保修服务（含备件更换和现场人工服务）。提供724小时保障服务，遇到用户问题立即提供服务响应，并在24小时内解决发生的故障。3、安全系统建设（1）千兆防火墙（2台）指标项规格要求品牌要求国内知名品牌系统架构采用专用2U机架式硬件平台，支持硬件模块化设计，可实现功能扩展采用完全自主版权的操作系统，具备操作系统著作权证书，可提供相关证书提供主、备双操作系统，提高设备自身可靠性和网络的可用性性能指标标配6个10/100/1000M自适应电口，4个SFP扩展口，最多支持25个千兆接口，具有专门的RJ45终端管理接口和HA口网络吞吐量6G最大并发连接数220万防火墙功能工作模式支持透明、路由、透明及路由混合模式，安全区域可针对物理接口进行灵活地自定义（内网、外网或DMZ等区域）；支持双向NAT、动态地址转换和静态地址转换，并支持多对一、一对多和一对一等多种方式的地址转换支持802.1Q和ISL VLAN封装协议，支持两种封装的互换以及Vlan Trunk； 支持基于五元组（源、目的地址、源、目的端口和协议）的策略路由；支持RIP/OSPF等动态路由协议；实现IP地址与MAC地址捆绑，自动探测，防止IP地址非法盗用；可针对IP、MAC、端口、用户、时间对象等进行安全过滤；可限制P2P（BT EMULE EDONKEY.)/IM(MSN QQ SKYPE.)软件应用，可对其实现禁止、限流；识别和控制QQ、MSN等常用IM软件，一键式阻断IM软件机密文件传输炒股软件控制，识别和控制大智慧、同花顺、国泰君安、证券之星、广发证券、指南针、通达信、股票之星、华安证券、和讯报道、钱龙等多种炒股软件可根据URL的地址、长度、网页内容关键字等进行过滤；支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤；支持对移动代码如Java applet、Active-X、VBScript、Java script的过滤；支持H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP等动态端口支持协议功能支持QOS带宽独享功能； 支持 WEB 认证，用户在通过WEB认证前禁止一切通过防火墙网络连接； 支持本地认证、双因子认证（SecureID）以及数字证书（CA）等常用的安全认证方、支持RADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方式；支持与主流入侵检测产品的联动；具有日志审计功能：支持WELF、Syslog等多种日志格式，可记录试图通过防火墙的非法数据包，可记录防火墙操作，支持日志导出功能；防攻击可支持主机的SYN、ACK攻击数以及最大报文长度的限制；支持根据协议或地址，进行并发连接数、半连接数的限制；根据连接数目进行源地址排名；完善的预防ARP欺骗解决方案；支持反向地址检查；高可靠性支持链路捆绑功能，可实现端口的冗余和带宽的叠加；支持双机热备；支持多链路负载均衡功能，实现多ISP链路冗余，可以通过此功能平均分流给各个网关，而对源IP则无需考虑；扩展功能可支持IPSEC VPN、SSL VPN 、IPS和防病毒等模块的扩展；支持IPSEC隧道内多媒体、OSPF协议穿越；支持对隧道内数据进行病毒查杀和内容过滤；支持短信、邮件等方式的密码恢复和取回;VPN用户登入可支持不同的登入界面和不同的访问权限的显示；支持多线路VPN隧道的智能选路功能；支持多线路VPN隧道间备份、负载均衡；管理和维护支持友好的Web图形界面配置支持SNMP 的v1 、v2 、v2c 、v3 等不同版本，并与当前通用的网络管理平台兼容，如HP Openview 等；在WEB页面上具有调试功能，可支持PING和Traceroute等；可支持BANNER信息保护， 如替换服务器（FTP、SMTP、POP3、telnet,HTTP）的BANNER信息；资质要求具有中华人民共和国公安部颁发的计算机信息系统安全专用产品销售许可证； 具有中国国家保密局测评中心颁发的涉密信息系统产品检测证书；具有国家信息安全认证中心3C认证证书；提供按照最新国家标准防火墙技术要求和测试评价方法（GB/T 20281-2006）通过公安部三级评测的检测报告；原厂商具备信息安全服务二级资质；原厂商如果不是浙江省本地厂商，必须在浙江省有注册的分公司、办事处，提供本地服务，投标时需提供经过年检的分公司、办事处营业执照复印件，并加盖原厂商公章；所投产品必须是近三年IDC市场排名国内厂商前五位产品，投标时需提供相关证明；投标时需提供以上资质证书复印件，并加盖原厂商公章。保修服务及授权提供3年724小时的原厂商现场保修服务（含备件更换和现场人工服务），提供原厂售后服务承诺函原件。（2）网络防病毒（1套）用户数量服务器license + PC license 200个节点升级期限3年免费品牌要求国际知名品牌一、操作系统支持1支持常见的操作系统平台，客户端可以安装在Windows98/Me，windows NT workstation/server，windows 2000 professional/server，windowsXP，windows server 2003/2008，windows vista，windows 7，同时支持Linux、unix等操作系统上2支持32位和64位操作系统3支持多CPU配置功能二、安装部署1支持多种安装方式，包括下载安装、远程安装、脚本安装、web发布安装、域策略2可通过单一的部署工具来进行安装，即该部署工具包括安装所需的全部组件3可根据网络规模的大小，自动执行对不同网络规模的设置和优化等操作4安装包更新，即支持创建包含最新版本反病毒数据库的客户端程序安装包5通过激活码和授权文件的形式来管理当前网络中的反病毒客户端授权6授权文件支持自动下发机制。管理服务器将自动收集网络中尚未激活或授权过期的计算机进行授权信息的下发7自动语言配置，支持中文和英文等多种语言8在正常实时监控状态下占用操作系统内存需在20M以内，在扫描查杀病毒状态下需有手动或自动调节cpu利用率的机制，以避免影响其他程序的正常运行9客户端及网络代理需提供软件反卸载功能的密码10支持自动卸载第三方不兼容软件，可以扫描网络中其他的软件或不兼容的软件进行卸载11自动扫描网络中不被保护的计算机（ip子网/AD/工作组），确保全网机器安全运行与部署三、集中管理能力1有良好的可扩展性和易用性，支持大型网络跨地域、跨网段的部署和管理2具备跨广域、跨子网并支持VPN的MMC管理，支持无线层网络架构3支持多级控制台（系统中心）、从属服务器的建设，对多级控制台能统一集中管理4单控制台能够同时管理客户端点数至少在5000点以上5控制台能对所有客户端进行集中的管理和远程控制，可以通过控制台直接给客户端发送命令，诸如强制客户端启动、停止、立即杀毒、立即升级等6控制台能够实时显示客户端的状态，当客户端查杀到病毒时，能够实时将病毒信息以报告的形式上报给控制台。同时可将发现的恶意程序或可疑样本上传至管理服务器，供集中分析和处理7支持对客户端进行分组，根据不同的组别可以设定多个不同的策略和执行不同的任务8可以直接针对笔记本等移动用户制定相应策略，在其离开指定网络后激发该策略9具备权限管理能力，能够防止客户端在未经管理员允许的情况下修改策略、关闭和卸载。对任意策略都具备分项授权功能，如控制台可控制客户端是否具备修改扫描、监控、升级等策略的权限10中间层发布功能，可设置网络中的任意数量客户端为更新代理，只能分担中央管理服务器反病毒数据库集中发布的网络负载，节省了整体网络资源11管理服务器支持自动备份/还原和手动备份/还原功能，且提供单独的备份/还原工具12支持更新发布验证。管理服务器在大规模下发更新数据库之前，可自动在指定小规模范围内进行更新验证功能，确定无误后，再执行大规模下发13支持ipv6和无线网络的管理四、病毒查杀能力1反病毒引擎可更新，特殊设计的引擎架构可使反病毒引擎在不重新安装程序的情况下，从日常的反病毒数据库更新中获取最新版本反病毒引擎。以更新最新的清除方法和能力。2能够实时监控和清除来自各种途径的病毒、木马、广告软件、恶意插件、隐蔽软件、黑客工具、风险程序等，在程序界面显著位位置以不同颜色区分系统的不同安全状态3客户端具备主动防御技术，启发式分析技术，rootkit/bootkit扫描技术，以具备对位置病毒检测、清除能力、支持对变种病毒的查杀、能够对各种加壳的病毒文件进行病毒查杀4对各种常用压缩格式文件中的病毒能有效实时清除，并能对任意重数压缩文件进行扫描，做到包内清除，处理后不影响压缩包的正常解压等操作5发现病毒后有多种处理方法，例如清除、删除或隔离（隔离区可进行自定义），所有方法可在控制台统一设置和在客户端单独设置6对邮件附件的过滤和拦截，指定部分附件的后缀名进行附件过滤，同时支持过滤后的恢复操作7可以在客户端创建、下载基于linux的应急磁盘，执行数据扫描和备份操作8即时聊天工具防护，支持对msn、icq等即时通讯工具的URL过滤和文件扫描等9支持对通过SSL加密连接进行传播的病毒进行扫描和查杀10客户端具备增量扫描技术ichecker和iswift，可以配置扫描时的优先级，以优化资源占用11系统空闲时扫描，在系统锁定或屏幕保护启动时进行扫描五、病毒防范能力1具备个人防火墙、IDS/IPS功能，保护用户重要数据，阻止恶意入侵对本地计算机造成危害2具备病毒爆发监控功能，一旦客户机连接异常，可以迅速发出报警，激活相应的反病毒策略和任务3具备文件监控、内存监控、网页监控、注册表监控、邮件监控等监控功能，发现病毒能立即处理4具备设备控制功能，可实现对可移动设备（数据存储，游戏设备。I/O设备等）的有效控制；这样就可减少恶意程序感染用户计算机的几率，同时有效避免隐私数据的外泄5在客户端启动时需立即到控制台下载最新控制策略，且可设置同步周期六、资质证明1具有中华人民共和国公安部的计算机信息系统安全专用产品销售许可证、国家信息安全认证产品型号认证证书、保密局涉密信息系统产品检测证书和解放军军用信息安全产品认证证书七、保修服务1原厂三年免费升级更新服务；必须提供原厂针对本项目的三年原厂保修承诺函及软件授权书。（3）内网安全系统（1套）指标项规格要求品牌要求国内知名品牌数量200个客户端系统架构具备对管理员分权限管理，达到管理员、审核员、审计员三权分立。提供系统运行审计和操作审计机制，保证系统的稳定运行，系统管理员登录要求支持IP地址访问限定，只有获得授权的计算机才能进入系统控制台。系统性能在管理构架上支持采用分级部署、分级管理和集中管理相结合的方式，支持多级级联管理，至少支持三级以上多个管理控制台的数据级联上报和安全策略的下发执行，独立管理网络要求达到支持15000台以上计算机的管理，要提供上级直接查询下级数据的功能。统一安全策略系统要求提供安全策略制定功能，根据终端安全防护需要提供安全策略（全局策略、本地策略等）。管理员可按照区域划分，IP地址范围，操作系统类型，自定义组，搜索具体终端设置策略生效或例外的对象。终端设备接入管理能自动发现整个网络中的终端系统的IP地址、机器名和MAC地址，允许管理者对终端系统按部门进行登记管理，形成网络基本情况数据库，并且要求可跨Vlan、跨路由、跨NAT子网进行管理。要求支持对未授权的终端设备接入具有阻断能力（不依赖交换机、路由器），同时提供安全源事件远程阻断，系统在管辖范围内，能够跨越网段并可以跨VLAN对违规联网的计算机设备进行自动阻断支持802.1X方式或接入网关认证方式的两种或两种以上的接入控制管理模式。要求802.1X认证能够同AD域相结合，所有终端均使用独立的域帐户自动进行认证。终端IT资产管理系统要求支持管理网络终端软硬件资产：采集客户端的硬件设备信息（诸如硬盘、CPU、内存等）、位置信息（设备名称、使用人、联系电话、房间号等），注册后存储到数据库中;可自动发现客户端安装的软件，将所有相关数据入库管理；支持在管理中心对注册客户端进行联机卸载，支持设备资产信息变化报警，报警未注册设备、注册程序卸载行为，实时检测硬件设备变化情况（如设备硬件变化、更换网络地址、修改主机名等）移动存储管理移动存储设备在格式化和重新分区时授权信息不可被更改；对移动存储的使用权限进行控制。可以将通用移动存储设备分为交换区和加密区，并可以分别设置不同的密码。要求对移动存储设备的使用进行控制，达到禁用、只读使用、读写使用三种状态。支持对移动存储设备接入管理控制，定义USB标识，根据策略禁止未经认证的USB存储设备的使用，支持通过移动存储设备认证的方式控制本单位与外来移动存储设备的使用。在单位内部，也可通过USB标识，控制移动存储设备在不同部门之间的交叉使用。网络主机运维管理要求支持对网络中客户端流量进行监控报警：对客户端设备流量进行采样并实时排序，监视网络的异常流量和异常连接，客户端输入或输出流量超越管理员设定阈值时报警，对可疑发包、可疑并发连接进行阻断要求支持对重要主机进行运维监控，支持对客户端硬盘、CPU 、内存等系统资源占用状况的监控，在超过管理员设定阈值时自动报警非法外联监控要求支持监控网络中客户端的非法外联行为，实时检测内部网络（包括物理隔离和逻辑隔离网络）用户通过调制解调器、ADSL、双网卡等设备非法外联互联网行为，并远程告警或断网。客户端非法外联支持详细记录非法上网计算机的名称、部门、上网时间，可以在服务器上获知信息，并且可以对客户端进行提示信息，自动关机，断网等处理。终端桌面安全管理及审计要求支持硬件接口控制，控制外设接口的使用，管理员启用或禁用软驱、光驱、U盘、USB接口（键盘鼠标除外）、打印机、Model、串口、并口、1394接口、红外接口等。必须具备禁止、允许指定软件在注册表启动项、注册表服务项、（开始）程序菜单中添加相关值和快捷方式。支持对文件操作行为进行审计，包括记录文件的操作类型：创建、打印、访问、复制、重命名、删除、移动等；对文件拷入、拷出行为进行监控，能够基于文件名、文件内容等安全性关键字规则对网络客户端进行搜索。补丁检测审计与补丁分发拥有自主研发的补丁自动分发体系；（有相应的补丁销售许可，该许可证书名称包含补丁分发字样）要求支持分发普通文件到客户端计算机，在分发软件包时要求能够定义软件安装成功的标志，以便准确了解软件下发后安装情况，并且可以指定软件安装的系统用户类型。系统安全要求达到投标产品为具有成功实施案例的成熟产品，基于C/S、B/S混合管理模式构架，方便的对网络中Windows系统客户端及本系统进行管理要求提供系统运行审计和管理员操作审计机制，保证系统的稳定运行，系统管理员登录要求支持IP地址访问限定，只有获得授权的计算机才能进入系统控制台。统计报表与分类查询系统支持各类数据统计(资产统计、安全策略、设备状态等)，并可生成多种分析报表，提供丰富的报表模板，支持管理员从不同方面进行事件的可视化分析，对于分析结果系统提供表格及图形表现形式产品资质具有公安部计算机信息系统安全专用产品销售许可证；具有中国信息安全产品测评中心认证证书具有国家保密局涉密信息系统产品检测证书；投标时需提供以上资质证书复印件，并加盖原厂商公章；原厂商必须在淅江省内具有二万点以上客户端安全项目（C/S模式），并且有三级级联网络实施的案例，必须可以提供真实的验收证明并可提供用户现场供参观。售后服务及授权提供3年724小时的原厂商现场保修服务（含备件更换和现场人工服务），提供原厂售后服务承诺函原件。（4）IPS入侵防御（1台）指标项规格要求品牌要求国内知名品牌系统架构采用专用2U机架式硬件平台软件系统采用专用安全操作系统，具有自主知识产权本项目采购专业入侵防御系统具有液晶屏管理，可通过液晶屏幕观察主机状态性能指标标配6个10/100/1000BASE-TX端口，配备专用的HA口和管理口。网络吞吐量2G最大并发连接数100万入侵检测功能要求具备IP碎片重组、TCP流重组、会话状态跟踪、应用层协议解码等数据流处理方式；支持模式匹配、异常检测，统计分析，以及抗IDS/IPS逃逸等多种检测技术。支持单对单、单对多、多对多的地址转换功能；要求支持对HTTP、SMTP、POP3、FTP、Telnet、VLAN、MPLS、ARP、TCP、UDP、RPC、GRE等多种协议进行分析。要求攻击特征库数量不少于2,000条，并支持自定义特征。IPS特征库须支持CVE认证，请提供官网截图或者相关证明IPS特征库能够在线进行升级服务，投标时请提供相关配置界面截图; 本次投标报价需含IPS特征库三年在线免费升级服务;要求支持对蠕虫、木马、缓冲区溢出、可疑代码、扫描、非法连接、DoS/DDoS、SQL注入、XSS跨站脚本等多种攻击进行防护。应用跟踪监控功能要求支持URL分类过滤管理功能，支持的URL分类库不少于50个。要求能够识别MSN、QQ、Yahoo Messenger、Google Talk等IM软件。要求能够识别QQ游戏、联众世界、浩方对战平台、魔兽世界、泡泡堂、梦幻西游、劲舞团、新浪游戏、搜狐游戏等流行的在线游戏。要求能够识别Thunder、eMule、eDonkey、BitTorrent等常用P2P软件。要求能够识别qqlive、pplive、ppstream、uusee、沸点等不少于30种常见流媒体软件。要求能够识别大智慧、钱龙、同花顺、指南针等股票分析软件。策略管理功能要求具备地址、时间、服务资源管理的功能，并支持分组管理。要求支持丢弃封包、切断会话、限制带宽、实时报警、记录日志、邮件报警、声音报警等多种响应方式。要求具备基于源地址，目的地址、服务、接口的带宽管理；支持最小保证带宽，最大限制带宽，可以支持带宽优先级的设定。要求支持黑名单和白名单功能。要求支持支持IPS策略的导入导出功能，导出策略为加密格式。高可靠性要求支持双机热备功能，增强网络可靠性。要求支持集群部署，多台设备实施相同的整体安全策略，提高网络的可用性。提供硬件ByPass功能，当产品出现软件故障、硬件故障、电源故障时，设备能自动切换到网络直通，保证网络可用管理和维护要求支持B/S、C/S双管理架构，支持全局拓扑生成；支持串口、远程SSH、SNMP（v1/v2）管理要求具备图形化监控和报警功能，能够图形化显示攻击事件安全等级、安全事件趋势分析曲线图、显示协议流量的曲线图、实时事件列表等多种实时状态显示，方便分析网络的现状和趋势。要求具备升级功能，支持在线升级和离线升级两种方式，能够对特征库、软件、设备操作系统进行升级。要求具备丰富的报表模版，支持查询报表、统计报表、并支持自动生成报表。要求具备日志查询、备份、删除等功能。资质要求具有中华人民共和国公安部颁发的计算机信息系统安全专用产品销售许可证；具有中国国家保密局测评中心颁发的涉密信息系统产品检测证书；具有入侵防御系统的CVE认证证书；原厂商具备涉及国家秘密的计算机信息系统集成资质证书（甲级）原厂商具备信息安全服务二级资质；原厂商具备国家应急处理服务一级资质；投标时需提供以上资质证书复印件，并加盖原厂商公章.保修服务及授权提供3年724小时的原厂商现场保修服务（含备件更换和现场人工服务），提供原厂售后服务承诺函原件。（5）网闸（1台）指标项规格要求品牌要求国内知名品牌系统架构机架式硬件设备，采取主流2+1主机结构，体系结构设计符合物理隔离的要求。软件系统采用专用安全操作系统，具有自主知识产权性能指标不少于6个10/100M自适应电口，内外网主机系统分别具有独立的网络口、管理口、HA口（热备口）、扩展口；内、外网主机系统分别具有1个串口网络吞吐量300Mbps(单向)最大并发连接数2万功能模块实现文件的安全交换，支持NFS、SMBFS等文件系统和多种细粒度检测控制功能实现安全的FTP访问，支持对用户、命令、文件类型等细粒度访问控制支持客户端对多种主流数据库系统的安全访问控制，支持TNS协议支持Oracle、SQL、Sybase、DB2等主流数据库，支持不同类型的数据库间、不同结构的表间的同步；支持客户端与网闸间的SSL加密传输实现用户安全访问邮件服务器，访问过滤选项涵盖邮件地址、主题、正文内容、附件等实现内网用户安全浏览外网资源，支持本地、Radius、LDAP等认证方式，提供对URL、ActiveX、Cookie、JavaApplet等的过滤功能实现特定TCP、UDP协议的数据隔离交换，可合作定制开发针对特定协议的安全检测，实现如黑白名单控制、关键字过滤等支持内核级身份认证，支持本地和RADIUS等多种方式认证，支持用户组管理，支持在线用户信息监控，支持在线用户强制断开支持基本字符和文本的消息传输，支持二次开发API，支持SSL加密传输，提供文本消息的内容过滤攻击防御具有抗DoS、DDoS攻击功能，当拒绝服务攻击发生时能保障对正常应用请求的应答防病毒支持过滤邮件病毒、文件病毒、恶意网页代码、木马后门、蠕虫等多种类型的病毒采用自有知识产权的病毒防护引擎（包括病毒检测引擎和病毒分析引擎），采用国产防病毒厂商的病毒特征库，投标时需提供防病毒厂家出示的证明文件；高可靠性要求支持双机热备功能，保证网闸数据交换的高可用性支持设备自身物理端口冗余功能物理端口支持802.3ad标准，实现链路聚合功能管理和维护灵活多样的管理方式高安全的管理形式统一身份认证认证方式：提供专用客户端，与网闸进行认证；支持IE浏览器，与网闸进行认证；认证服务器：支持本地用户名口令认证；支持第三方Radius认证；提供在线用户查看、管理界面截图病毒检测支持文件扫描和流式病毒扫描两种检测技术，采用自有知识产权的病毒防护引擎（包括病毒检测引擎和病毒分析引擎）；采用国内知名病毒厂商特征库，可检测不少于30万种病毒，国家计算机病毒检验中心测试结果：基本病毒库检测率100%，流行病毒库检测率97.9%，误报率为0 。（提供证明文件，提供功能介面截图）资质要求具有中华人民共和国公安部颁发的计算机信息系统安全专用产品销售许可证；具有中国国家保密局测评中心颁发的涉密信息系统产品检测证书；提供按照最新国家标准网络与终端设备隔离部件安全技术要求（GB/T 20277-2006）通过公安部三级评测的检测报告；原厂商具备国家应急处理服务一级资质；原厂商具备信息安全服务二级资质；原厂商必须在浙江省内有注册的分公司、办事处，提供本地服务，投标时需提供经过年检的分公司、办事处营业执照复印件，并加盖原厂商公章；投标时需提供以上资质证书复印件，并加盖原厂商公章。保修服务及授权提供3年724小时的原厂商现场保修服务（含备件更换和现场人工服务），提供原厂售后服务承诺函原件。（6） VPN（1台）指标项规格要求品牌要求国内知名品牌网络接口具备6个以上10/100/1000 Base-T 千兆网口部署方式网关模式：设备必须支持网关模式，能提供代理上网、防火墙等功能；单臂模式：设备必须支持单臂模式，以在不影响原有网络情况下同时能降低网络单点故障的发生概率。并在此模式下仍能实现多线路功能。性能要求IPSec VPN加密速度350 Mbps（128-bit AES）；IPSec VPN隧道数5200条；并发IPSec客户端数5200个防火墙吞吐量700 Mbps（双向256 bits包）；最大并发会话数800000个；最大防火墙规则数65535个。SSLVPN加密速度150Mbps（128 bits RC4）；SSLVPN并发用户数800；并发许可当前配置100个应用支持要求支持Windows 98/ 2000/XP/