第五章 采购需求

序号

名称

主要参数

数量

1

堡垒机

1.   产品结构：2U标准机架式结构，软硬件一体化产品，自主研发非OEM产品；CPU不低于四核，内存≥4GB，硬盘≥2TB，≥4个千兆电口，图形会话并发数≥200，字符操作并发数≥600个；要求至少支持1300个主机/设备管理授权；

2.   ★高可用性: 支持双机热备（必须满足配置及日志都能实时同步）、当主机发生故障时，主备自动切换，并且用户仍然通过原服务IP访问审计系统；支持集群方案；支持分级部署；

3.   ★移动运维：支持专用移动端APP运维，要求具有厂商专有知识产权保护的app软件，且该app软件在Apple商店或安卓平台发布；只需安装厂商发布的一个app即可实现对Linux资产、windows资产、数据库及其它应用资产的统一运维（提供相关截图证明）；

4.   系统角色需按法案要求进行划分，至少有系统管理员、密码管理员、配置管理员、审计管理员、普通用户等多种角色，可以根据需要自定义堡垒机角色和管理权限；

5.   系统支持对系统用户的密码进行自动定期修改，确保用户密码的安全性要求，并满足合规性要求。密码策略包括：执行周期（按每月、每天、定时），密码生成（随机密码、指定密码），密码复杂度（长度、数字、大小写字母、特殊字符）；

6.   支持RDP/Telnet/SSH等协议的单点登录控制和统一用户管理、支持集合用户/用户组到资源/资源组的授权访问控制、支持对Windows/Linux/网络设备的账号口令统一管理；

7.   内含应用发布，支持SQL Server等应用程序发布；支持会话的实时屏幕监控和随时会话阻断；支持危险操作指令过滤；支持对资源访问的命令日志和图形会话回放等运维操作审计；支持对用户访问的认证管理；

8.   文件操作审计内容：包括访问起始和终止时间、用户名、用户IP地址、目标设备IP、设备名称、协议类型、事件等级、操作内容（如对文件的上传、下载、删除、修改等操作等）；

9.   ★支持本地认证、radius、AD域、数字证书、USBKEY、动态令牌、手机令牌、多因子认证，能够支持对上海方立、万讯博城等指纹认证模块认证、Google手机动态令牌认证（提供相关截图证明）；

10. 支持任意检索用户或资产帐号显示与其对应的权限树，清晰定位搜索某个人拥有哪些资产权限、或某个资产的帐号关联了哪些使用人；

11. 图形标题栏识别（OCR）：系统应具备对图形运维中的标题名进行智能提取，并可以从任意一个标题名开始回放。可支持中英文操作系统的标题栏体系；

12. ★使用运维工具时，无需安装JAVA等特定工具，不改变用户使用习惯（提供相关截图证明）；

13. 支持批量设备帐号修改；支持设备帐号属性添加和修改，包括帐号密码、应用参数、帐号状态、会同信息、改密脚本、特权帐号、应用端口、应用密码提示、帐号类型、帐号提示符、帐号同步；

14. ★系统自身安全：系统支持IP自动禁止功能，对连续登陆账号密码错误的来源IP自动屏蔽，可通过管理员解除屏蔽（提供相关截图证明）；

15. 提供禁审功能，可对部分设定的控制策略的会话不审计录像，防止机密信息二次泄露；

16. 数据库运维SQL命令，系统应具备审计到详细的SQL语句，而非键盘符指令，并要求记录到SQL语句的执行时间；

17. 中英文管理界面，支持中英文切换WEB管理，为管理员和运维人员提供操作向导模式，方便用户进行设备管理和使用（提供相关截图证明）；

18. 传输文件备份：系统应具备审计到FTP/SFTP传输的原始文件，并可以在审计系统上进行备份，可下载查看其具体内容。支持人工开关自由选择是否备份原文件；

19. 密函打印：支持将目标设备资产的账号密码进行密函打印导出；

20. ★不需要单独安装前置应用发布服务器，系统自身能够支持的单点登陆的应用包括：Oracle：PLSQL、TOAD、SQLPLUS、SQLDEVELOPER；Informix：DBACCESS；Mysql：MYSQLFRONT、HIDESQL；Sqlserver：SQLserver（2000-2012）；Sybase：SCVIEW4；DB2：DB2CMD、DB2QUEST；WEB：HTTP、HTTPS；其它应用：AS400、REALVNC、PGADMIN、PCANYWHERE、RADMIN、DameWare、CiscoASDM、VMware vSphere Client（提供相关截图证明)；

21. http和https可支持用chrome打开进行运维；

22. 可以扩展支持IPV6，具有IPV6设备管理功能；

23. 资质证明：产品厂商须具备ISO9001质量管理体系认证；所投产品须具有公安部颁发的计算机信息系统安全专用产品销售许可证；具有中国国家信息安全产品认证证书；计算机软件著作权登记证书（提供以上有效期内资质证书清晰的扫描件）；

24. 专利要求：具备相关单点登录先进性的专利，提供实现一种安全的单点登录访问系统证明先进性证明，提供相关证明材料；

25. 投标人须免费提供原厂商的3年硬件质保和软件升级，并提供3年7*24小时原厂售后支持服务承诺函。

3台

2

数据库

防火墙

1、产品结构：2U标准机架式结构，软硬件一体化产品，冗余电源，自主研发非OEM产品；CPU不低于八核*2，内存≥64GB，硬盘≥4TB，千兆以太网接口≥8个，至少2个管理口，2个BYPASS网口，扩展槽≥2个，网络吞吐能力≥10G，SQL语句交易量≥80000条/秒；

2、支持Oracle、MSSQL、DB2、Sybase、Informix、MYSQ、金仓、神通、达梦等主流数据库。

3、★数据库访问记录应至少包括捕获时间、数据库实例、数据库类型、数据库用户、操作对象类型、操作对象、数据库IP、客户端IP、客户端程序、主机名、操作系统用户、执行时长、SQL语句、SQL类别、响应状态、返回结果集等关键信息（提供相关截图证明）；

4、支持对SQL语句执行结果（成功/失败）、SQL语句执行时间、SQL语句执行异常等数据库操作响应信息的审计；

5、★支持IPv6网络环境下透明串联和代理模式部署，支持IPv6过渡网络环境，IPv4/IPv6双栈网络环境，能够在IPv4/IPv6双栈网络环境下正常工作；

6、★支持变量绑定值的记录，能够记录查询中Bind Variable的变量的名字和Bind Variable的数值；能够支持跨语句、跨多包的绑定变量审计，可以实现交叉关联分析（提供相关截图证明）；

7、支持时间、IP地址、用户名、终端名的黑白名单策略，将已知可信用户、可信时间之外的操作识别为高风险操作；

8、能够自动记录和分析SQL语句并快速制定安全策略，包括：将SQL语句归纳为不同的集群；支持定义所有SQL的相应威胁程度，至少包括高、中、低、提醒等告警级别；

9、支持对超过指定行数的修改、删除、查询和添加行为进行限制。

10、通过监控数据库系统的服务器信息、软件版本、补丁信息、表空间情况、会话信息、回退信息、SGA、权限信息、告警等信息来判断数据库系统运行是否正常，保证数据库系统的可用性和响应能力，并提供截图证明。

11、具备对某IP过于频繁访问数据库控制的能力，能够对过于频繁访问数据库的IP地址进行访问控制的限定，防止非法访问数据库或口令暴力破解。

12、★产品资质要求：投标产品具有公安部计算机信息系统安全销售许可证，计算机软件著作权登记证书，提供以上相关证书清晰的扫描件；

13、资质证明：产品厂商须具备TL9000资质证明；具备ISO/IEC 20000信息技术服务管理体系认证，通过CMMI4级及以上认证，提供以上相关证书清晰的扫描件；

14、投标人须免费提供提供原厂商的3年硬件质保和软件升级，并提供3年7*24小时原厂售后支持服务承诺函。

2台

3

VPN授权

VPN用户授权数800个，须配套使用在市政务云数据中心硬件设备中。

1项

4

SJJ VPN

一、性能参数

1.配置不少于4个千兆电口，SSLVPN商密算法加密流量≥180Mbps，SSLVPN商密算法并发用户数≥600，商密算法每秒新建用户数≥60,本次提供150个并发授权，IPSec商密算法加密流量≥85Mbps，IPSec商密算法并发隧道数≥3000，标准1U设备。

二、功能参数

1.支持终端使用包括IE6、7、8、10、11或其他IE内核的浏览器，以及最新版本的非IE内核浏览器，如Windows EDGE，Google Chrome，Firefox，Safari，Opera最新版登录SSLVPN系统，登录后可完整支持各种IP层以上的B/S和C/S应用；

2.产品应支持国家商用密码算法包括：SM1,SM2,SM3,SM4算法；

3.专业VPN设备，采用标准SSL、TLS 协议，同时支持IPSec VPN、SSLVPN两种VPN，非插卡或防火墙带VPN模块设备；

4.可支持虚拟门户功能，在一台设备上配置不同的访问域名、IP地址，以及不同的使用界面，实现一台设备为多个不同用户群体服务的的使用效果；

5.★产品应提供环境检测、自动修复工具，支持对Windows的环境兼容性一键检测能力，以及对检测结果进行一键修复的能力，避免由于用户操作系统环境存在问题影响SSL VPN的使用，减轻运维工作；

6.产品必须支持防中间人攻击，产品可在用户登录SSLVPN时智能判断存在中间人攻击行为，断开被攻击的连接，并可提示异常现象；

7.产品应提供HTTPS驱动病毒查杀工具，支持对Windows环境下的针对HTTPS拦截监听的驱动病毒进行扫描查杀，避免因为HTTPS驱动病毒导致无法正常接入和使用SSL VPN；

8.支持主从认证账号绑定，必须实现SSL VPN账号与应用系统账号的唯一绑定，VPN资源中的系统只能以指定账号登陆，加强身份认证，防止登录SSL VPN后冒名登录应用系统；

9.产品必须支持Local DB 、USB KEY、短信认证、硬件特征码、动态令牌、数字证书，减少不必要的数据传输；

10.★针对B/S资源支持WebCache技术，动态缓存页面元素，提高Web页面响应速度。支持流缓存技术，实现网关与网关、网关与移动客户端之间进行多磁盘、双向、基于分片数据包的字节流缓存加速，削减冗余数据，降低带宽压力的同时提高访问速度；支持共享流缓存功能，实现多分支网关在总部共享流缓存数据，提高流缓存效果；

11．★所投设备须支持与市政务云数据中心中VPN做双机集群；

12．支持IPv6/IPv4双协议栈，支持IPv6/IPv4协议下的网关模式、单臂模式、双机模式、集群模式的部署；

13.投标设备需具有国家密码管理局颁发的《商用密码产品型号证书》，且型号与证书对应，提供证书扫描件；

14、产品厂商须通过CMMI4级及以上认证，提供证书扫描件。

三、服务要求

1. 投标人须免费提供提供原厂商的3年硬件质保和软件升级，并提供3年7*24小时原厂售后支持服务承诺函,免费3年上门服务以及特征库的升级。

1台