某市现代教育技术中心入侵检测防护系统投标书(昭阳)

1、 投标文件（项目编号：JSZB-2008-11-148）PAGE PAGE - 23 -上海市普普陀区现现代教育育技术中中心入侵侵检测防防护系统统投标文件件招标编号号：JSSZB-20008-111-1148投标方：上海昭昭阳信息息技术有有限公司司二八八年十二二月十八八日目录TOC o 1-2 h z u HYPERLINK l _Toc217234376 投标文件件声明 PAGEREF _Toc217234376 h - 22 - HYPERLINK l _Toc217234377 开标一览览表 PAGEREF _Toc217234377 h - 44 - HYPERLINK l _Toc2

2、17234378 投标报价价明细表 PAGEREF _Toc217234378 h - 55 - HYPERLINK l _Toc217234379 货物说明明一览表 PAGEREF _Toc217234379 h - 66 - HYPERLINK l _Toc217234380 配件价格格表 PAGEREF _Toc217234380 h - 77 - HYPERLINK l _Toc217234381 技术服务务项目报价表 PAGEREF _Toc217234381 h - 88 - HYPERLINK l _Toc217234382 技术参数数偏离表 PAGEREF _Toc217234

3、382 h - 99 - HYPERLINK l _Toc217234383 售后服务务计划书 PAGEREF _Toc217234383 h - 112 - HYPERLINK l _Toc217234384 关于资格格的声明函 PAGEREF _Toc217234384 h - 114 - HYPERLINK l _Toc217234385 相关证件件 PAGEREF _Toc217234385 h - 115 - HYPERLINK l _Toc217234386 法人代表表授权书 PAGEREF _Toc217234386 h - 116 - HYPERLINK l _Toc21723

4、4387 项目经理理负责人人情况表表 PAGEREF _Toc217234387 h - 117 - HYPERLINK l _Toc217234388 商务对比比表 PAGEREF _Toc217234388 h - 118 - HYPERLINK l _Toc217234389 方案设计计 PAGEREF _Toc217234389 h - 199 - HYPERLINK l _Toc217234390 1、概述述 PAGEREF _Toc217234390 h - 119 - HYPERLINK l _Toc217234391 2、设备备选型 PAGEREF _Toc217234391

5、h - 199 - HYPERLINK l _Toc217234392 3、产品品清单 PAGEREF _Toc217234392 h - 200 - HYPERLINK l _Toc217234393 4、产品品部署 PAGEREF _Toc217234393 h - 200 - HYPERLINK l _Toc217234394 5、MccAfeee IIntrruShhielld网络络入侵防防护产品品简介 PAGEREF _Toc217234394 h - 211 -投标文件件声明致：_上上海市普普陀区教教育资产产管理中中心根据贵方方上海市市普陀区区现代教教育技术术中心入入侵检测测防护系

6、系统项目目招标采采购的 入侵检检测防护护系统 货物的的投标邀邀请（招招标编号号为: JSSZB-20008-111-1148），现正正式授权权的下列列签字人人刘建平平、客户经理理(全名、职务)代表投投标人 上海昭昭阳信息息技术有有限公司司(投标人人名称)，提交交下述文文件正本本1份和副副本4份。(1) 投标文文件声明明；(2) 开标一一览表；(3) 投标报报价明细细表；(4) 货物说说明一览览表；(5) 配件价价格表；(6) 技术服服务项目目报价表表；(7) 技术参参数偏离离表；(8) 售后服服务计划划书；(9) 资格证证明（附附件九、十二、十三）；(10) 相关关证件；(11)项目负负责人情

7、情况表；(12) 商务务对比表表；(13）投标设备备样本（含设备备彩图、设备说说明书）及其它它部分（投标人人认为设设备符合合“招标文文件”规定的的证明文文件，以以及投标标人认为为需要加加以说明明的其他他内容）。（14）“投标人人须知”第10条要要求投标标人提交交的全部部文件。据此函，签字人人兹宣布布同意如如下：（A）按按招标文文件的规规定提交交货物、运输装装卸和布布线、安安装调试试及售后后服务费费用(含除设设备、材材料之外外的各种种辅助性性附件费费用)及提供供技术服服务的投投标总价价:伍拾贰贰万肆仟仟肆佰元元整（￥52444000）。（B）投投标人将将按“招标文文件”的规定定履行合合同责任任和

8、义务务。（C）投投标人已已详细审审核了全全部“招标文文件”，包括括修改文文件以及及全部参参考资料料和有关关附件，我们知知道必须须放弃对对上述文文件中所所有条款款提出存存有含糊糊不清或或不理解解之问题题的权利利。（D）我我们同意意在“投标人人须知”第22条所所述的开开标日期期起遵循循本投标标文件的的规定，并在“投标人人须知”第16条规规定的投投标有效效期届满满之前均均有约束束力，而而且有可可能中标标。（E）如如果在开开标后规规定的投投标有效效期内撤撤回投标标，我们们的投标标保证金金可被贵贵方没收收。（F）同同意进一一步提供供贵方可可能要求求的与投投标有关关的任何何数据证证据或资资料。（G）我我们

9、完全全理解贵贵方不一一定要接接受最低低报价的的投标或或收到的的任何投投标。（H）我我们承诺诺我们提提供的资资格文件件及一切切资料均均真实有有效，如如与实事事不符，我们的的投标将将被视为为无效投投标。我我们愿按按上海海市政府府采购供供应商登登记及诚诚信管理理（暂行行）办法法的规规定接收收处理，并原意意承担由由此引发发的各类类法律责责任。与本投标标有关的的正式通通讯地址址为：地址：上上海市杨杨浦高科科技孵化化基地二二期9004邮编： 22004433电话：0021-5122637718传真： 0021-6566500007电子邮件件：liiujppm被授权人人代表签签字：公章：日期：220088年

10、 112月18日开标一览览表项目名称称：上海海市普陀陀区现代代教育技技术中心心入侵检检测防护护系统投标单位位：_上海昭昭阳信息息技术有有限公司司_投标总价价:￥52244000元（大写伍伍拾贰万万肆仟肆肆佰元整整）招标编号号：JSSZB-20008-111-1488内容价格123456设备（元元）安装调试试费（元元）交货时间间投标保证证金质保期入侵检测测防护系统统￥524440000合同签订订后2周周内￥6,0000三年投标总价价（23）伍拾贰万万肆仟肆肆佰元整整（￥55244400）被授权人人代表签签字：_（盖公章章）日期： 20008年12月 188日投标报价价明 细细 表招标编号号：JS

11、SZB-20008-111-148812345789序号设备名称称数量单价品牌型号号保险费运输费总 价347881入侵检测测防护系系统1￥52444000McAffee InttruSShieeld 2700000￥52444000B安装集成成0投标总价价（元）￥52444000（大写写伍拾贰贰万肆仟仟肆佰元元整）9BB被授权人人代表签签字：_（盖公章章）日期： 20008年12月 188日货物说明明一览表招标编号号：JSSZB-20008-111-1488序号货物名称称型号规格主要技术参数数数量性能说明明备注1入侵检测测防护系系统McAffee InttruSShieeld 27000配置6

12、个个10/1000M网络络端口，2个千千兆端口口，1个个10/1000M管理理端口；1网络吞吐吐量为6600MMbpss；并发发连接数数25万万说明：货货物说明明一览表表中填写写的技术术指标是是真实的的，与投投标设备备实际技技术指标标无偏差差。被授权人人代表签签字：_（盖公章章）日期： 20008年12月 188日配件价格格表招标编号号：JSSZB-20008-111-1148序号配件名称称型 号号单价（元元）1千兆铜缆缆口或千千兆光口口模块10000Basse TTX GGigaabitt Innterrfacce CConvvertter￥4,00002Faill-Oppen模模块Giga

13、abitt Faail-Opeen KKit￥10,8000注：质保保期后主主要零配配件价格格。投标人代代表签字字：_（盖公章章）日期： 20008年12月 188日技术服务务项目报价表招标编号号：JSSZB-20008-111-1148序号技 术 服 务务 项 目报 价（元）1上门费￥50002检查费￥50003保养费￥80004硬件维修修视情况而而定，以以成本价价收取相相关费用用5零配件更更换注：质保保期后维维修服务务收费标标准。被授权人人代表签签字：_（盖公章章）日期：220088年 112月18日技术参数数偏离表招标编号号：JSSZB-20008-111-1148序号设备名称招标文件件

14、技术规规格投标文件件技术规规格偏离说明1.1McAffee InttruSShieeld 27000入侵侵检测防防御系统统性能要求求探测端口口数要求求不少于于6个百兆兆端口，2个千兆兆端口，同时支支持光纤纤端口和和同轴电电缆端口口，并且且有单独独的100/1000Mbbps以以太网管管理端口口McAffee InttruSShieeld 27000：标标配6个百兆兆以太网网口,2个GBIIC千兆兆端口, 同时时支持光光纤端口口和同轴轴电缆端端口，并并且有单单独的110/1100MMbpss以太网网管理端端口无偏离1.2网络流量量在6000Mbbps时时设备仍仍要能正正常运行行，且性性能无可可感

15、觉的的变化McAffee InttruSShieeld 27000最高高性能6600MMbpss无偏离1.3支持的并并发连接接数不少少于2550,0000个个McAffee InttruSShieeld 27000最大大并发连连接数2250，0000个无偏离2.1入侵探测测架构要要求Senssor架架构要求求为基于于ASIIC的硬硬件SeensoorMcAffee InttruSShieeld 27000产品品基于AASICC的硬件件Sennsorr无偏离2.2攻击Siignaaturres数数不低于于40000种McAffee InttruSShieeld 27000防攻攻击Siignaat

16、urres数数远远大大于40000，实时签签名更新新无偏离2.3能够解码码的协议议数不低低于1005种McAffee InttruSShieeld 27000能够够解码的的协议数数为1005种无偏离2.4异常探测测支持协协议异常常、应用用异常和和统计探探测方式式McAffee InttruSShieeld 27000支持持协议异异常、应应用异常常和统计计探测方方式无偏离2.5DOS探探测必须须有两种种方式：人工定定义阈值值和自学学习每种种DOSS攻击协协议Prrofiile的的探测方方式，并并且支持持Synn-Coookiie的防防DOSS攻击方方式McAffee InttruSShieeld

17、 27000具有有两种防防DOSS/DDDOS攻攻击的方式，支持SSyn-Coookiee的防DOOS攻击击方式无偏离2.6支持用户户自定义义Siggnatturees用户可以以根据攻攻击特征征自定义义特征库库无偏离2.7支持非对对称路由由下的流流量监控控和Seessiion跟跟踪McAffee InttruSShieeld 27000支持持非对称称路由下下的流量量监控和和Sesssioon跟踪踪无偏离2.8能够探测测加密SSSL攻攻击，并并且不影影响性能能McAffee InttruSShieeld 27000能够够在不影影响设备备性能的的情况下下，对加加密攻击击进行探探测无偏离2.9要求入

18、侵侵防护设设备内没没有硬盘盘McAffee InttruSShieeld 27000硬件件sennsorr内部没没有硬盘盘无偏离2.100支持内部部状态防防火墙的的功能McAffee InttruSShieeld 27000支持持防火墙墙功能无偏离2.111支持基于于TCPP/UDDP 端端口、网网络协议议网络流流量分配配McAffee InttruSShieeld 27000具有有网络流流量分配配功能无偏离2.122支持网络络访问控控制McAffee InttruSShieeld 27000支持持网络访访问控制制无偏离3.1动作响应应防护策略略可以根根据内部部（Innbouund）和外部部端

19、口（Outtbouund）配制不不同的动动作响应应McAffee InttruSShieeld 27000设备备可以对对内部和和外部端端口设置置不同的的响应动动作无偏离3.2入侵防护护设备自自身支持持攻击数数据包DDropp和Sesssioon DDroppMcAffee InttruSShieeld 27000自身身支持攻攻击数据据包Drrop和和Sesssioon DDropp无偏离3.3支持IPP、主机机隔离McAffee InttruSShieeld 27000支持持IP、主主机隔离离无偏离3.4SPANN时支持持TCPP ReeseMcAffee InttruSShieeld 270

20、00以SPAAN方式式部署时时支持TTCP Resse无偏离3.5支持ICCMP通通知攻击击客户端端McAffee InttruSShieeld 27000支持持ICMMP通知知攻击客客户端无偏离4.1接入方式式要求支持Inn-Liine、TAPP、SPAAN和Porrt CClussterringg接入方方式McAffee InttruSShieeld 27000支持持In-Linne、TAPP含SPAAN和Porrt CClussterringg接入方方式无偏离4.2支持虚拟拟IPSS，单台台设备可可以支持持1000个虚拟拟IPSS，虚拟拟IPSS划分必必须能够够支持VVLANN和CIDD

21、R单台设备备最大可可以支持持1000个虚拟拟IPSS，虚拟拟IPSS划分能能够支持持VLAAN和CIDDR无偏离4.3同一台入入侵防护护设备能能够同时时支持IIn-LLinee、Tapp、SPAAN和Porrt CClussterringg部署方方式McAffee InttruSShieeld 27000支持持四种部部署方式式为Inn-Liine、TAPP含（对对应快速速以太网网端口）、SPPAN和和Porrt CClussterringg无偏离4.4探测端口口支持FFaill-OppenMcAffee InttruSShieeld 27000探测测端口具具有Faail-Opeen功能能无偏离

22、4.5设备自身身支持双双机热备备（HAA）功能能McAffee InttruSShieeld 27000支持双双机热备备（HAA）功能能无偏离5.1策略和配配置管理理要求可以依据据用户环环境（OOS、应应用和平平台）选选择已经经定制好好的不同同平台环环境策略略组McAffee InttruSShieeld 27000通过过管理软软件依据据用户环环境（OOS、应应用和平平台）选选择已经经定制好好的不同同平台环环境策略略组无偏离5.2Signnatuure和和策略升升级可以以通过人人工或者者自动方方式Puush到到入侵防防护SeensoorMcAffee InttruSShieeld 27000支

23、持持人工或或自动方方式将ssignnatuure和和策略PPushh到入侵侵防护SSenssor无偏离5.3Signnatuure升升级后不不需重启启入侵防防护SeensoorMcAffee InttruSShieeld 27000 支支持Siignaaturre升级级后不需需重启入入侵防护护Sennsorr无偏离5.4支持Seensoor ssofttwarre的UpggraddeMcAffee InttruSShieeld 27000 支支持Seensoor ssofttwarre的Upggradde无偏离6.1入侵风险险预警功功能支持和漏漏洞管理理系统的的集成McAffee Inttru

24、SShieeld 系列产产品可以以和漏洞洞扫描系系统集成成无偏离6.2能够将内内部计算算机网络络漏洞评评估报表表载入到到IPSS管理端端，在报报警管理理窗口中中有专门门的栏目目标记和和内部网网络存在在的漏洞洞相关的的攻击McAffee InttruSShieeld 27000 能能够将内内部计算算机网络络漏洞评评估报表表载入到到IPSS管理端端，在报报警管理理窗口中中有专门门的栏目目标记和和内部网网络存在在的漏洞洞相关的的攻击无偏离7.1报警管理理要求支持实时时报警McAffee InttruSShieeld 27000 具具有实时时报警功功能无偏离7.2支持报警警图形显显示McAffee I

25、nttruSShieeld 27000支持持报警图图形显示示无偏离7.3支持攻击击状态结结果显示示McAffee InttruSShieeld 27000 攻攻击状态态分类结结果显示示无偏离7.4报警管理理器支持持向下挖挖掘详细细信息的的“Driill Dowwn”功能McAffee InttruSShieeld 系统报报警管理理器支持持向下挖挖掘详细细信息的的“Driill Dowwn”功能无偏离7.5要求无最最大报警警数限制制McAffee InttruSShieeld 27000报警警数无限限制无偏离7.6报警可以以根据攻攻击类型型、IPP地址、端口、方向等等用不同同颜色标标记，便便于查

26、找找和管理理报警可以以以攻击击级别、攻击类类型、IIP地址址、端口口、方向向等用不不同颜色色标记，便于查查找和管管理无偏离8.1报表要求求要求报表格式式支持PPDF和和HtmmlMcAffee InttruSShieeld 支持多多种报表表格式，包括PPDF和和Htmml、CSVV格式及及中文报报表无偏离8.2已有固定定的报表表格式拥有固定定的报表表格式无偏离8.3具有用户户自定义义报表模模板McAffee InttruSShieeld 系统可可以自定定义报表表格式无偏离8.4开放数据据库ScchemmaMcAffee InttruSShieeld 支持开开放数据据库Scchemma无偏离8.

27、5支持通过过邮件定定时向指指定人员员发送自自动产生生的指定定报表McAffee InttruSShieeld 通过电电子邮件件向指定定人员定定时发送送报表无偏离9.1服务要求求原厂商三三年服务务，7*24服服务，紧紧急情况况下4小小时当日日上门服服务提供三年年质保，7*224服务务，紧急急情况下下4小时时当日上上门服务务无偏离9.2中标方提提供7天天x244小时热热线支持持和专门门的项目目经理负负责提供7天天x244小时热热线支持持和专门门的项目目经理负负责无偏离被授权人人代表签签字：_（盖公章章）日期：220088年 112月18日售后服务务计划书主要内容容应包括括：公司简介介上海昭阳阳信息

28、技技术有限限公司注注册于杨杨浦高新新技术产产业园区区，是一一家集计计算机系系统集成成、硬件件分销、软件开开发、技技术服务务为一体体的高科科技公司司，是杨杨浦区科科委重点点支持企企业。 上海昭阳阳信息技技术有限限公司是是一家优优秀的信信息技术术产品的的提供商商公司一一贯倡导导将全球球最先进进的、最最好的产产品提供供给用户户，先后后和许多多国际知知名的计计算机及及网络产产品供应应商达成成合作伙伙伴关系系。公司司19997年与与联想公公司签约约，目前前是联想想全系列列产品的的行业增增殖服务务商。从从20002年公公司陆续续和IBBM、DDELLL、HPP国际知知名ITT厂商建建立战略略合作伙伙伴关系

29、系，在政政府、教教育行业业、企业业领域我我们是DDELLL和HPP产品的的指定系系统集成成合作商商。 上海昭阳阳信息技技术有限限公司是是一家优优秀的信信息技术术服务商商。公司司背靠复复旦大学学的科研研实力，专注致致力于教教育、政政府机关关、医疗疗、大中中型企业业等领域域的信息息化推广广。特别别在教育育、企业业行业有有很强的的软件开开发、系系统集成成的经验验与实力力。公司司在网络络布线、多媒体体安防监监控、多多媒体视视频会议议、多媒媒体数字字化教学学领域获获得了220055年国家家高新技技术创新新基金的的支持。项目在在浦东干干部管理理学院、长宁区区政府、长宁教教育局、闵行区区教育局局、黄浦浦区政

30、府府、教育育局、扬扬浦区政政府、教教育局都都有广泛泛的应用用。售后服务务机构（名称、人员配配备、联联系地址址、电话话）；上海昭阳阳信息技技术有限限公司 售后后服务部部地址：上上海市杨杨浦高科科技孵化化基地二二期9004电话：0021-5122637718人员安排排：刘建平 项目目经理 133918880002400赵悦诚 技术术支持 133761126226099中标方承承诺提供供7x224小时时热线支支持和专专门的项项目经理理负责；上海昭阳阳信息技技术有限限公司承承诺中标标后，提提供三年年的7*24小小时热线线支持，电话：0211-51126337188（工作作日）、非工作作日：113911

31、880002440；同同时提供供资深的的项目经经理管理理本项目目的实施施、售后后服务等等事项。应急维修修时间安安排，不不能修复复时采取取的措施施；本项目自自项目验验收日开开始为期期三年的的质量保保证服务务，提供供7*224小时时技术支支持和专专门的项项目经理理负责制制，对出出现的产产品缺陷陷的修理理费和材材料费由由昭阳公公司负责责。在质量保保质期内内，一旦旦设备出出现故障障，昭阳阳公司在在接到报报修通知知后，11小时内内响应，4小时时内到达达现场并并在244小时内内负责维维修或更更换损坏坏的零件件、部件件或设备备，保障障网络系系统的正正常运行行。质保期后后主要零零配件价价格；参加本投投标文件件

32、第7页页质保期后后维修服服务收费费标准；参加本投投标文件件第8页免费培训训计划；人员技术术培训作作为工程程实施的的一个重重要环节节，对整整个项目目的实施施至关重重要。在在系统实实施前和和安装实实施完毕毕后, 昭阳公公司及MMcAffee公公司根据据实施情情况和以以往的实实施经验验，在完完善的组组织下，集中优优秀的师师资力量量，对客客户技术术部门人人员进行行免费技术术培训。使技术术人员对对McAAfeee InntruuShiieldd有一个个深入的的理解，同时使使相关技技术人员员能独立立进行MMcAffee InttruSShieeld入入侵防护护产品安安装及策策略配置置、操作作等。培训计划划

33、安排如如下：时间：在工程进进行过程程中根据据客户的的要求进进行现场场技术培培训，并并在项目目实施完完成之后后协商决决定集中中技术培培训的时时间。地点：由用户决决定在某某一培训训场所。师资力量量：具备MccAfeee专业业资格认认证工程程师。课程内容容：技术原理理、初始始配置和和系统设设置功能设备备监控配配置、性性能攻击拦截截监控和和处理日常维护护及故障障诊断、排除实际操作作练习被授权人人代表签签字：_（盖公章章）日期：220088年 112月18日关于资格格的声明函致：_上上海市普普陀区教教育资产产管理中中心关于贵方方20008年11月28日JJSZBB-20008-11-1488(招标编编号

34、)的投标邀邀请，签签字人愿愿意参加加投标，提供招招标文件件规定的的入侵检检测防护护系统(货物名名称)，并证证明提交交的下列列文件及及相关说说明是准准确的和和真实的的。1国内内工商部部门签发发的我方方工商营营业执照照正本(或副本本)复印件件(当年年年检有效效的印鉴鉴并加盖盖公章)一份。2制造造商出具具的授权权书。3本签签字人确确认资格格文件中中的相关关说明是是真实的的、准确确的，如如与实事事不符，我方愿愿承担一一切后果果。投标人名名称（盖盖公章）：上海海昭阳信信息技术术有限公公司 法法人代表表签字：_地址：上上海市杨杨浦高科科技孵化化基地二二期9004室 被授权权人代表表签字：_电话：0021-

35、5122637718传真： 0021-6566500007邮编：_22004433_日期：_220088年122月188日_相关证件件工商局颁颁发的通通过本年年度年审审的营业业执照复复印件；国家有关关部门颁颁发并通通过本年年度年审审相应资资质证书书的复印印件；生产厂针针对本项项目投标标的授权权书。法人代表表授权书本授权书书声明：注册于于 上海海市杨浦浦区中山山北二路路11111号的的上海昭昭阳信息息技术有有限公司司的下面面签字的的窦同力力（法人人代表姓姓名），代表本本公司授授权下面面签字的的刘建平平、客户经理理（被授授权人的的姓名、职务）为本公公司的合合法代理理人，就就上海市市普陀区区现代教教

36、育技术术中心入入侵检测测防护系系统（项项目名称称）投标标及合同同的执行行、完成成和保修修，以本本公司名名义处理理一切与与之有关关的事务务。本授权书书于 220088 年_122_月_18_日签字字生效，特此声声明。（附被授授权人代代表身份份证复印印件）法人代表表签字盖盖章:_代理人（被授权权人）签签字盖章章：_投标人名名称（盖盖公章）：_地址：上上海市杨杨浦高科科技孵化化基地二二期9004日期：220088年12月18日项目经理理负责人人情况表表招标编号号：JSSZB-20008-111-14881一般般情况姓 名刘建平年 龄25技术职务务项目经理理职 务客户经理理为投标人人服务时间间1年学

37、历本科相 关 职 业业 资 格取 得 职 业业 资 格 时时 间2经 历年 份负 责 过 得得 主 要 项项 目该 项 目 中中 任 职备 注注20077年100月长宁教育育局网络络安全建建设项目经理理20088年7月月闵行区教教育局网网络安全全建设项目经理理投标人代代表签字字：_（盖公章章）日期：220088年 112月18日商务对比比表招标编号号：JSSZB-20008-111-1148 投标单单位检查内容容投标单位位填写（投标单单位名称称：上海海昭阳信信息技术术有限公公司）注册资金金（万元元）伍佰万元元投标总价价（元） ￥5244,400设备价（元）￥5244,400安装集成成费（元元）

38、0交货期（合同签签订后22周内）在项目合合同签订订后2周周内交货货付款方式式（响应或或不响应应）供货合同同签订后后2周内内支付合合同总价价的300%作为为预付款款；验收收合格后后支付770%售后服务务计划书书（见投投标文件件_页）见投标书书第122页维修机构构地点上海市杨杨浦高科科技孵化化基地二二期9004质保期后后维修服服务收费费标准参加本投投标文件件第7、8页联系电话话021-5122637718急修到现现场时间间（4小小时内）1小时内内响应，4小时时内到达达现场服服务注：请将将此表填填写后，以电子子文档(谢绝33寸软盘盘)的WWOEDD形式与与“技术对对比表电电子文档档”及“投标保保证金

39、”一起装装入一个个单独密密封的信信封内，此信封封必须封封存于密密封的投投标文件件正本之之内。被授权人人代表签签字：_（盖公章章）日期：220088年 112月18日方案设计计1、概述述绝大多数数人在谈谈到网络络安全时时，首先先会想到到“防火火墙”。防火墙墙得到了了广泛的的部署，并被作作为多层层安全体体系结构构的第一一层防护护，它主主要是作作为一个个访问控控制设备备，允许许特定协协议（例例如 HHTTPP、DNNS、SSMTPP）在一一组源地地址和目目标地址址之间传传递。作作为访问问策略增增强的一一个组成成部分，防火墙墙一般是是通过检检查数据据包头来来制定流流量决策策。一般般来说，它们并并不能检

40、检查数据据包的全全部内容容，因此此，也无无法检测测或拦截截嵌入到到普通流流量中的的恶意代代码。需需要注意意的是，路由器器也是通通过数据据包过滤滤来实现现防护功功能，因因此，它它提供的的也是一一种不完完善的保保护。虽然说基基于防火火墙和路路由器的的数据包包过滤是是全面的的网络安安全拓扑扑结构的的必要组组件，但但仅靠它它们是远远远不够够的。网络入侵侵防护系统统 (IIPS) 产品品能够对对通过网网络的每每一个数数据包的的全部内内容进行行检查，并对恶恶意活动动进行检检测。与与防火墙墙和路由由器相比比，这种种内容检检查技术术能够提提供更加加深入的的数据包包分析。入侵防防护系统统的有效效性体现现在，它它

41、能够检检测出嵌嵌入在常常用协议议（例如如 HTTTP 会话）中的复复杂攻击击，而防防火墙通通常检测测不到这这类攻击击，使它它们能够够轻松地地通过。由此看看来，与与防火墙墙产品相相比，入入侵检测测防护所需需的处理理能力要要高出很很多。现代网络络的种种种不足之之处促使使IPSS产品成成为了一一个最基基本的工工具，它能够够对已知知攻击、未知攻攻击以及及拒绝服服务攻击击进行检检测和预预防，满满足各种种企业网网络和政政府网络络的要求求，协助安安全工程程师进行行检测和和分析，保护网网络免受受恶意攻攻击的骚骚扰。因因此，IIPS 产品在在防火墙墙内外都都得到了了广泛的的部署，并很快快成为了了“最佳”安全网网

42、络实施施的主流流解决方方案。2、设备备选型针对招标标文件要要求，我我公司推推荐用户户使用MMcAffee InttruSShieeld 27000，设备硬硬件见下下图：探测端口口密度：4对监监测端口口（1对对，GBBIC）光口 BBypaass: 通过过外部FFaill-Oppen设设备响应端口口：3个 用作作IDSS部署时时拦截持持续攻击击连接管理端口口： 1 x 1100 Mbpps 管管理端口口并发连接接支持: 255万网络吞吐吐量：6600MMbpss3、产品品清单产品型号号产品描述述数量McAffee InttruSShieeld 27000配置6个个10/1000M网络络端口，2个

43、千千兆端口口，1个个10/1000M管理理端口；网络吞吞吐量为为6000Mbpps14、产品品部署本方案推推荐使用用嵌入式式In-Linne方式式部署MMcAffee InttruSShieeld 27000入侵侵检测防防护系统统。这种部署署方式的的好处是是可以实实时丢弃弃掉异常常流量数数据包、Sesssioon、黑黑客攻击击数据包包（包括括DOSS/DDDOS攻攻击数据据包），同时无无需改变变原有网网络拓扑扑结构，保障网网络改造造的无缝缝衔接。5、MccAfeee IIntrruShhielld网络络入侵防防护产品品简介IntrruShhielld基于于完整的的攻击分分析方法法而构建建，并引

44、引入了业业界最为为全面的的网络攻攻击特征征检测、异常检检测以及及拒绝服服务检测测技术，除了可可以探测测攻击，还可以以探测已已知未知知蠕虫和和后门程程序。5.1网网络攻击击特征检检测为了实现现高性能能的网络络攻击特特征检测测，InntruuShiieldd 体系系结构不不仅采用用了创新新的专利利技术，而且集集成了全全面的状状态检测测引擎、完善的的特征规规范语言言、“用户自自定义特特征”以及实实时特征征更新，确保了了 InntruuShiieldd 能够够提供并并维护业业界最为为全面、更新最最及时的的攻击签签名数据据库。特征规范范语言IntrruShhielld以专专用的高高水平特特征规范范语言为

45、为强大支支持。IIntrruShhielld 能能够从应应用程序序软件中中分离出出攻击模模式特征征，在这这个独特特的体系系结构中中，将特特征简单单地转换换为表单单项，从从而可以以通过直直观的用用户界面面实现实实时更新新，并可可被特征征引擎立立即使用用。目前的 IDSS 产品品往往通通过软件件“补丁程程序”来提供供新的特特征，这这不仅降降低了部部署速度度（必须须根据整整个 IIDS 软件应应用程序序进行质质量保证证），而而且也不不利于安安装（必必须重新新启动系系统）。而 IIntrruShhielld 通通过从传传感器软软件中分分离攻击击模式特特征，从从而确保保了高质质量的全全新特征征可以快快速

46、部署署（无需需重新启启动系统统）。同同时，从从传感器器应用程程序代码码中分离离特征也也使得特特征编写写人员能能够将精精力集中中在特征征编写的的“质量”上，而而无需考考虑如何何将特征征构建为为应用程程序更新新补丁。全面的状状态特征征检测引引擎IntrruShhielld 体体系结构构的特征征检测引引擎引入入了强大大的上下下文敏感感检测技技术，在在数据包包中充分分利用了了状态信信息，它它通过使使用多个个令牌匹匹配来检检测超越越了数据据包界限限的攻击击特征，或超出出序列范范围的数数据包流流。用户自定定义网络络攻击特特征IntrruShhielld 使使得网络络安全工工程师能能够通过过一个创创新性的的

47、图形用用户界面面（GUUI）来来编写自自定义签签名，该该界面能能够使用用通过系系统的协协议分析析功能所所获取的的字段和和数据，或者通通过 IIntrruShhielld 的的分析机机制收集集的状态态信息。实时特征征更新IntrruShhielld 提提供的创创新性实实时特征征更新极极大地提提升了管管理软件件的性能能，由 InttruVVertt 更新新服务器器提供的的全新特特征可以以通过策策略控制制自动发发送到整整个网络络，从而而确保了了新的特特征一经经创建，网络即即可获得得最新的的防护功功能。IIntrruShhielld 体体系结构构还允许许网络工工程师决决定何时时，以及及是否在在整个网网

48、络中部部署最新新的签名名。InntruuShiieldd 系统统无需重重新设置置或重新新启动任任何硬件件以便激激活新的的签名，因此，它们能能够自动动地、实实时地进进行部署署。5.2异异常检测测异常检测测技术为为 InntruuShiieldd 体系系结构全全面的签签名检测测过程提提供了完完美的补补充，异异常检测测技术使使得网络络工程师师能够对对突发威威胁或首首次攻击击进行拦拦截，并并创建出出一套完完整的“异常档档案”，从而而保护网网络免受受当前威威胁和未未来攻击击的骚扰扰。IntrruShhielld 体体系结构构提供了了业界最最为先进进、最为为全面的的异常检检测方法法 集成了了针对统统计数据

49、据、协议议及应用用程序的的异常检检测技术术。异常常/未知攻攻击的例例子包括括新的蠕蠕虫、蓄蓄意的隐隐性攻击击、以及及现有攻攻击在新新环境下下的变种种。异常常检测技技术也有有助于拦拦截拒绝绝服务攻攻击（观观察服务务质量的的变动）和分布布式 DDoS 攻击（InttruSShieeld 系统利利用流量量样式变变动（例例如 TTCP 控制数数据包的的统计数数据）来来决定是是否即将将发生海海量的数数据流）。我们们将在下下面的部部分具体体讨论拒拒绝服务务攻击。IntrruShhielld 体体系结构构的异常常检测技技术还能能够针对对其它威威胁提供供保护，这包括括：缓冲冲区溢出出攻击、由木马马程序或或内部

50、人人员安装装的“后门”或恶意意攻击、利用低低频率进进行的隐隐性扫描描攻击、通过网网络中的的多个发发送点传传送表面面正常的的数据包包、以及及内部人人员违反反安全策策略（例例如，在在网络中中安装游游戏服务务器或音音乐存档档）。5.3拒拒绝服务务检测IntrruShhielld 检检测体系系结构的的第三根根“支柱”就是它它完善的的拒绝服服务防护护技术。自动记忆忆以及基基于阀值值的检测测IntrruShhielld 体体系结构构综合利利用了基基于阀值值的检测测技术和和获得专专利的、具有自自动记忆忆功能的的基于配配置文件件的检测测技术，从而使使拒绝服服务检测测更具智智能化。借助基基于阀值值的检测测功能，

51、网络安安全管理理员就能能够使用用预先编编写的数数据流量量限制来来确保服服务器不不会因负负载过重重而宕机机。同时，自自动记忆忆功能使使得 IIntrruShhielld 体体系结构构能够分分析网络络使用方方法和流流量的模模式，了了解合法法网络操操作中发发生的多多种合法法，但不不常见的的使用模模式。两种技术术的结合合确保了了对各种种 DooS 攻攻击的最最高检测测准确率率 包括分分布式拒拒绝服务务攻击（即恶意意程序员员为了进进攻企业业或政府府网络，同时对对上百个个，甚至至上千个个服务器器发起攻攻击）。IntrruShhielld 准准确的 DoSS 检测测技术具具有非常常重要的的意义，因为很很多网

52、站站和网络络都曾经经历过合合法的（有时是是意外的的）、极极具吸引引力的新新程序、服务或或应用程程序的流流量冲击击。检测技术术的关联联性正如我们们所看到到的，IIntrruShhielld 体体系结构构提供了了多种操操作模式式，使得得系统能能够捕捉捉恶意流流量、提提供全面面的攻击击分析方方法、实实施完整整的智能能化签名名检测、异常检检测以及及拒绝服服务防护护技术。IntrruShhielld 体体系结构构的检测测关联层层连接着着系统的的签名检检测、异异常检测测以及拒拒绝服务务检测功功能 这种种相互关关联性以以及对可可疑流量量的交叉叉检查功功能确保保了攻击击检测的的高度准准确性。单一 IIntrr

53、uShhielld 系系统能够够对防火火墙的公公共网段段、专用用网段以以及 DDMZ 网段进进行全面面的保护护，并提提供这些些网段之之间的相相互关联联性，从从而能够够针对被被拦截的的网络攻攻击或者者进入专专用网络络的网络络攻击提提供准确确的详细细信息。5.4入入侵防护护IntrruShhielld 体体系结构构提供了了业界最最准确的的攻击检检测功能能，构造造了系统统攻击响响应机制制的坚实实基础。没有足足够响应应能力的的 IDDS 产产品只能能为网络络安全管管理员提提供有限限的功能能。现代代的 IIDS 产品必必须能够够检测出出攻击，并提供供偏转和和拦截恶恶意流量量的方法法。IntrruShhi

54、elld 体体系结构构为网络络安全管管理员提提供了一一整套手手动的和和自动的的响应措措施，并并以此构构建起企企业或政政府机构构信息技技术安全全策略的的基础。就攻击检检测来说说，InntruuShiieldd 体系系结构使使系统可可以实现现以下功功能：A. 拦拦截攻击击IntrruShhielld 体体系结构构允许 IDSS 以嵌嵌入模式式工作，因此，它能够够实时地地在攻击击源和目目标之间间拦截单单一数据据包、单单一会话话或数据据流量，从而在在进程中中拦截攻攻击，而而不会影影响任何何其它流流量。B. 终终止会话话IntrruShhielld 体体系结构构允许针针对目标标系统、攻击者者（或二二者同

55、时时）重新新设置并并初始化化 TCCP。网网络安全全工程师师可以对对发送给给源和/或目标标 IPP 地址址的重新新设置数数据包进进行配置置。C. 修修改防火火墙策略略IntrruShhielld 体体系结构构允许用用户在发发生攻击击时重新新配置网网络防火火墙，方方法是临临时改变变用户指指定的访访问控制制协议，同时向向安全管管理员发发出警报报。D. 实实时警报报当网络流流量违反反了安全全策略时时，InntruuShiieldd 体系系结构能能够实时时生成一一个警报报信息，并发送送给管理理系统。合理的的警报配配置是保保持有效效防护的的关键所所在。恶恶性攻击击（例如如缓冲区区溢出以以及拒绝绝服务）往

56、往需需要做出出实时响响应，而而对扫描描和探测测则可以以通过日日志进行行记录，并通过过进一步步的研究究确定其其潜在的的危害和和攻击源源。网络络安全工工程师能能够获得得有关电电子邮件件、寻呼呼程序以以及脚步步警告的的通知，该通知知基于预预先配置置的严重重性水平平或特定定的攻击击类型，例如拒拒绝服务务攻击。基于脚脚步的警警告允许许对复杂杂的通知知过程进进行配置置，从而而能够针针对系统统面临的的攻击向向特定团团体或个个人发出出通知。IntrruShhielld 体体系结构构还提供供了一个个“警报过过滤器”，它允允许网络络安全工工程师根根据安全全事件的的来源或或目标进进行筛选选。例如如，当 IT 部门通通过一个个自有 IP 地址执执行漏洞洞扫描时时，从该该地址生生成的事事件就可可以被过过滤掉。E. 对对数据包包进行日日志记录录在攻击发发生时，或攻击击发生之之后，基基于 IIntrruShhielld 体体系结构构的系统统能够首首先捕获获数据包包，并对对数据