1

采购内容

详见第一章 《公开招标采购公告》

2

单位及数量

详见第一章 《公开招标采购公告》

3

服务期限和服务地点

详见第一章 《公开招标采购公告》

4

需实现的功能或者目标

详见本章内容

5

执行的国家相关标准、行业标准、地方标准或者其它标准、规范

执行的国家相关标准、行业标准、地方标准或者其它标准、规范（如有）

6

技术规格要求

详见本章内容

7

物理特性要求

/

8

质量、安全要求

/

9

服务标准、期限、效率(培训等）

详见本章内容

10

验收标准

详见本章内容

11

现场踏勘

本项目不统一组织现场勘察，供应商可自行对本项目现场和周围环境进行勘察。勘察现场所发生的费用由供应商自己承担。不论何种原因所造成，在勘察过程中，供应商自行对由此次踏勘现场而造成的死亡、人身伤害、财产损失、损害以及任何其它损失、损害和引起的费用和开支承担责任。

12

演示时间及地点

无

13

样品要求

无

14

本项目的核心产品

无

项目

要 求

1、服务期限和服务地点

（1）服务期限：详见第一章 《公开招标采购公告》

（2）实施地点：采购人指定地点。

2、付款方式

（1）合同签订后，首付合同总价的30%（即预付款）；

（2）合同期满，完成所有工作且经采购人验收确认合格后，支付全部尾款。

3、履约保证金

1、履约保证金金额：合同总价的5%；

2、履约保证金形式：银行汇票（电汇）、支票（仅限于使用宁波大市区范围内的银行开具的支票）、保险保单或银行保函。

3、履约保证金的退取：履约保证金在中标人完成合同履约后无息退还（但如中标人未能履行合同规定的任何义务，采购人有权扣除相应履约保证金）。

4、合同终止

中标单位在合同有效期内，不得以任何理由终止合同，确有不可抗力情形的，须提前一个月向采购人提出书面申请，经采购人同意后，方可终止合同，同时酌情扣除履约保证金。

序号

系统

功能模块

数量

1

数据合规应用子系统

网络接入控制

1

违规边界监测

1

数据使用管控（终端行为审计）

1

数据使用管控（业务系统网关审计）

1

终端安全防护

1

移动介质管控

1

2

综合日志审计子系统

日志审计模块

1

▲总体要求

要求与现有的浙江省人力社保厅网络安全管理核心平台实现无缝对接。

硬件参数

采用标准机架式硬件设备；内存容量≥8G DDR4；硬盘容量≥128G；镜像流量≥3Gbps；网口数量≥6个；

网络接口:≥6个1000M电口，USB接口≥2个；

QPS（TPS）≥2000；

准入模式

基于交换机上旁路部署准入控制网关设备，对通过交换机的数据包进行特征分析和身份认证，对不符身份认证和安全要求的接入终端设备限制其访问内部合法的网路资源，并且对应强制跳转到隔离区注册和修复区修复。

基于双向认证的网络准入控制

支持基于双向认证的网络准入控制，由终端代理认证机制和防火墙控制机制实现，终端双方要实现可信通信必须进行终端代理双向认证，并且由认证防火墙阻断其非法的通信请求。（需提供第三方检测机构对该项功能的检测结果作为证明。）

查询设备

可通过IP地址查询设备明细，基于设备明细进行管理，包括保护、导出、整理等。

设备替换告警

包括设备替换告警和IP变化异常，告警均以IP地址为基准，当同一个IP的设备类型发现变化时在设备替换告警中会出现告警日志。

维保/施工人员

维保/施工人员可通过MAC地址关联到自己使用的设备，通过对人员的管理实现频繁出入网络的设备管理。

接入控制日志

开启任意接入控制策略后，可在接入控制日志中查询被控制的设备日志。

卸载密码审核

用于申请和审批客户端卸载密码。

设备批量审核

设备批量审核与卸载密码审核功能类似，申请者通过引导页发起申请，管理员在后台审核，审核后可在引导界面查询状态。

入网申请审核

设备入网申请与卸载密码审核功能类似，申请者通过引导页发起申请，管理员在后台审核，审核后可在引导界面查询状态。

资产发现识别

配置资产发现识别的范围和交换机采集权限。

网关状态

用于集中监测网关的镜像流量大小、延迟，时钟，软件版本。

保护管理

保护状态影响准入状态，保护管理提供自动保护、自动取消保护、手动保护的规则配置。

规范定制

提供入网安全体检配置功能，当前支持配置项包括：杀毒软件配置、补丁检查配置、不可信进程配置、不可信软件配置、账户弱口令、来宾账户、必要服务、必要软件。

安检日志

提供入网安检设备的安检日志查询功能。

入网安全须知

可自定义配置入网安全须知的界面内容，配置完成后自动在引导页生成。

组织机构

用于维护部门树和部门IP范围，部门节点可通过右键组织机构实现添加、编辑、删除部门，通过部门上移、下移可调整部门排序。

部署要求

要求系统在部署过程中不对网络造成任何影响。

授权用户数

支持终端用户认证数量不少于300点。

▲总体要求

要求与现有的浙江省人力社保厅网络安全管理核心平台实现无缝对接。

设备参数

硬件规格

采用标准机架式的硬件设备，全内置封闭式结构，专用安全加固Linux操作系统。

硬件参数

内存容量≥8G DDR4；硬盘容量≥128G 固态硬盘；6个千兆电口，网口数量≥6个。最大镜像流量：≥4Gbps。

违规行为监测

监测方式

必须支持无需安装客户端监测模式，至少支持镜像流量分析和主动探测两种监测方式。

内外网互联发现

▲在无需安装客户端的情况下，支持通过镜像流量分析自动发现管理域内同时连接内网和互联网的设备，可在外联服务器上取证，取证信息包含外联设备内网IP、外联出口IP、首次发现时间和最后更新时间等信息。（需提供第三方检测中心对该项功能的检测结果作为证明）。

不依赖于客户端和镜像流量分析，支持通过主动扫描自动发现管理域内同时连接内网和互联网的设备，可在外联服务器上取证，取证信息包含外联设备内网IP、MAC、外联出口IP、首次发现时间和最后更新时间等信息。

要求能够发现NAT设备下的私网设备同时连接内网和互联网的设备。

支持发现管理域内同时连接内网和互联网的内外网互联设备后通过短信网关发送短信通知相关人员。

非授权外联发现

▲在无需安装客户端的情况下，支持自动发现管理域内曾经脱离内网并且连接过互联网的设备，可在外联服务器上取证，取证信息包含外联设备内网IP、首次发现时间和最后更新时间等信息。（需提供第三方检测机构对该项功能的检测结果作为证明）。

移动设备接入

在无需安装客户端的情况下，支持自动发现管理域内的移动设备接入行为，上报设备的IP、操作系统、厂商类型、发现时间等信息。

信息外泄

自动发现管理域内将内网应用系统或网站页面保存后拷贝至互联网计算机打开的疑似信息外泄行为，可在外联服务器上取证，上报发生外泄信息的设备内网IP、外泄时外网IP、首次发现时间、最后更新时间和外泄网址等信息。

网络边界

NAT边界

支持自动发现管理域内的NAT设备和通过该设备私自搭建的局域网，同时上报其边界点设备IP地址、运行状态、首次发现时间、最后更新时间等信息，并能发现NAT子网中设备的IP地址和操作系统信息。

网闸

支持自动发现管理域内的网闸设备，上报设备内网IP、厂商信息、运行状态、首次发现时间、最后更新时间等信息。

边界备案

支持对上报的边界点进行人工备案管理，包括完善其边界基础信息，明确其责任人、责任部门、联系电话、用途等信息，通过人工报备方式对已知边界进行人工备案管理。

资产管理

综合查询

支持按设备类型、按区域/部门、按自定义组对管辖区域内设备信息进行查询，设备信息包括基础信息（如：IP地址、MAC地址、责任人、联系电话、所属部门、设备类型、在线状态）、扩展信息（如：生产厂商）、开放端口情况、在线/离线审计；

支持设备操作：编辑、删除、导出、添加自定义组、设备部门重置。

DHCP服务

提供DHCP服务监测配置，并支持检索查询，展示信息包含：设备基本属性信息、首次发现时间、最后发现时间。

配置管理

资产发现识别

支持信息采集的开关配置，支持手动触发重新扫描；

支持资产扫描范围的配置；

支持服务器区IP范围配置，增加识别服务器设备的准确性；

支持交换机权限配置，配置信息包含：管理口IP、MAC地址、设备名称、设备别名、设备类型、厂商、所属部门、设备型号、负责人、所在位置、SNMP只读团体名；

支持SDK权限配置，配置信息包含：用户名、密码、厂商、其实IP、结束IP。

服务器时间同步

支持服务器与授时服务器地址时间同步功能，同步频率支持10min、30min、60min。

网关状态

监测注册在本服务器的网关设备情况，展示内容包含：在线离线状态、序列号、所在地、时钟快照、镜像流量、镜像延迟、策略、网关版本信息。

组织机构配置

支持本级区域内部门、人员管理；

部门支持：新增、删除、编辑、上移、下移、分配IP范围；

人员支持：新增、删除、编辑，人员信息包含：用户编号、姓名、手机号码、办公电话、编制、状态。

部门人员编制管理

支持部门人员编制的新增、删除，展示内容包含：编制、更新时间。

短信管理

短信配置：包含短信网关地址、短信签名、唯一认证码；

手动发送短信：给指定手机号发送自定义短信内容；

自动发送短信规则支持的业务种类：发现新NAT边界、发现新网闸、发现新非授权外联、发现新内外网互联、发现信息外泄、发现新移动设备接入，支持规则的新增、编辑、删除；

短信池：根据业务种类查看未发送及已发送短信列表，展示内容包含业务种类、接收人、短信内容、短信来源、状态、录入时间、执行时间，支持情况未发送短信的操作。

▲总体要求

要求与现有的浙江省人力社保厅网络安全管理核心平台实现无缝对接。客户端支持与终端安全防护系统的客户端共用。

总体要求

运行环境

产品形态为服务端+客户端，服务端须采用B/S架构，管理员只需浏览器即可连接到系统进行各种操作。

服务端支持Windows64位操作系统。

使用界面

系统须采用基于浏览器的用户界面，要求支持Chrome。

管理范围

客户端授权数≥300点。

应用访问审计

用户与鉴权

支持分权管理，操作员和审计员权限不能全部赋与一个操作者。系统操作员只能进行系统操作和客户端的控制，审计员只能对系统操作员的操作日志进行审计，形成互相制约的权力管理机制。

支持对系统操作员分配角色。分配角色为系统操作员分配可操作的系统功能模块权限。

网站发现与注册

支持主动发现网络内的网站并可自动识别出其中的应用系统，网站内容包括服务器IP、URL地址、网站名称、访问次数等信息。

支持将主动发现的网站注册成需审计的应用系统。

支持根据应用系统名称、URL、IP、类型、区域等特征快速查询和模糊查询，查询的范围可选择全部网站、应用系统等。

应用系统访问内容审计

支持通过安装终端代理用于审计用户访问应用系统的行为和内容，支持终端上IE、chrome、Firefox、360等主流版本的浏览器访问审计。

支持深度记录并分析终端用户访问应用系统行为数据，包括 HTTP 和 HTTPS 协议的请求和响应数据。审计的内容包括应用系统名称、URL地址、服务器地址、终端IP、终端所属部门、终端所属人、访问时间、请求内容、响应内容等。

支持筛选请求内容和相应内容中的关键字信息，包括但不局限于身份证、电话号码等，支持用户自定义添加需审计的关键字规则。

趋势分析

支持以图表方式记录可选时间范围内终端网站访问趋势情况，包括网站访问次数、访问网站数等信息。

网站访问统计

1、支持终端访问网站的统计，包括已注册网站数、未注册网站数、新注册网站数、新发现网站数等信息。

2、支持列表形式展现网站详细信息，包括网站名称、URL、访问次数、最近访问时间等信息。

告警配置

1、支持终端对应用系统频繁查询或访问的告警配置，阈值配置包括在一天内或一段时间内查询关键字超过或等于规定阈值时产生告警、在一天内或一段时间内访问次数超过或等于规定阈值时产生告警，并可配置是否统计应答包含关键字、关键字统计范围及告警级别（严重、重要、普通）。

2、支持终端下班（非工作）时间异常查询或访问的告警配置，可配置非工作时间具体时间段，阈值配置包括访问关键字总数超过或等于规定阈值时产生告警或访问次数超过或等于规定阈值时产生告警，并可配置是否统计应答包含关键字、关键字统计范围及告警级别（严重、重要、普通）。

3、支持终端查询重点关键字的告警配置，可配置需要告警的重点关键字，当终端查询重点关键字时产生告警，可配置告警级别（严重、重要、普通）。

4、支持终端在其不具备权限或不常访问的应用中查询超过阈值时的告警配置，阈值配置包括查询关键字超过或等于规定阈值时产生告警，查询次数超过或等于规定阈值时产生告警，可配置是否统计应答包含关键字、关键字统计范围及告警级别（严重、重要、普通）。

风险预警

1、支持以图表形式展现多种时间纬度的各类告警日志，包括以饼状图方式展示每种告警事件的占比情况以及以表格方式展示每种告警事件的具体数量、告警次数等。

其他终端行为审计

终端直连数据库行为审计

1、支持审计终端电脑通过数据库自带客户端连接服务端数据库（Oracle、SQL server、mysql）行为；

2、支持审计终端电脑通过使用数据库自带客户端通过SQL语句查询关键字请求内容行为审计。

打印行为审计

支持对打印行为审计与管控，审计日志包括打印终端IP、责任人、部门、打印次数、打印时间、打印标题、是否包含敏感信息、打印文件大小等信息。

刻录行为审计

支持对终端刻录行为的审计与管控，审计的日志包括刻录终端IP、责任人、部门、刻录次数、刻录时间、文件名、是否包含敏感信息、文件路径等信息。

移动介质行为审计

支持对终移动介质操作行为的审计与管控，审计的日志包括操作终端IP、责任人、部门、操作次数、操作时间、文件名、是否包含敏感信息、文件路径、文件大小等信息。