招标文件
采 购 需 求
A货物清单一览表
|
序号 |
设备名称 |
数量 |
单位 |
备注 |
|
1 |
防毒墙 |
1 |
台 |
|
|
2 |
入侵安全防御 |
1 |
台 |
|
|
3 |
安全审计系统 |
1 |
台 |
|
|
4 |
边界安全攻击防御 |
1 |
台 |
|
|
5 |
网络版杀毒软件 |
1 |
套 |
60点 |
|
6 |
虚拟化主机安全防护系统 |
1 |
套 |
|
B 招标货物详细参数
一、防毒墙
|
指标项 |
规格要求 |
|
配置要求 |
采用多核架构,自研操作系统。 |
|
1U标准机架式机型,含交流单电源模块,≥1*RJ45管理口,≥6*GE(Bypass)接口,配置≥4个千兆光口;可检测流量≥1.2G。 |
|
|
网络层吞吐量≥5G,并发连接数≥200万。 |
|
|
联动检测能力 |
支持将未知恶意程序或夹带有未知恶意程序的文件传输到APT预警平台进行检测,提供界面配置界面。 |
|
支持与安全大数据管理中心系统互联。 |
|
|
防火墙功能 |
支持虚拟线、二层透明、三层、混合、旁路监听接入方式,适应各种网络环境需求。 |
|
支持Flood防护,包括PING Flood、UDP Flood、SYN Flood、DNS Reply Flood、DNS Req Flood,支持针对以上Flood攻击调整检测阈值(包数)、检测周期(秒)、复位时间(秒)、保护时间(秒)、限制流量(PPS)。 |
|
|
支持8级流控,可对应用流量实行带宽限制、带宽保证等策略。 |
|
|
具备SSL VPN功能,支持WEB代理和L3-VPN两种实现模式。 |
|
|
支持策略路由,策略路由可基于应用进行流量控制。 |
|
|
支持源IP联动封锁。在入侵防御事件中发现源IP存在攻击行为时,可以一键封禁该IP,并设置封禁的时间。 |
|
|
资产风险识别 |
▲支持资产风险识别。可根据用户指定的网络范围,通过自动、手动识别等多种方式,识别资产类型,如PC、移动设备、服务器等等资源类型,提供截图证明。 |
|
▲支持对易受攻击的系统及应用软件进行打分告警、报表分析,如操作系统版本漏洞威胁度、上网浏览器客户端漏洞威胁度等,让用户实时了解当前网络资产资源中的脆弱度,提供截图证明。 |
|
|
▲支持安全加固指导及实施。针对识别出的资产风险,为用户提供一键安全策略生成的功能,并可实时告警和记录入侵安全事件,形成安全事件报表和趋势图,指导用户及时做出加固防护。提供截图证明。 |
|
|
可自定义操作系统、浏览器、杀毒软件的风险等级,并支持预置风险等级。 |
|
|
可为每个内网主机生成风险指数,通过数字直观展示内网主机的风险状态。 |
|
|
可生成内网资产风险报表,提供高风险资产top10,提供操作系统等相关资产信息的数据统计和报表展示。 |
|
|
远程安全运维功能 |
▲支持与堡垒机联动,以VPN模块+堡垒机的方式提供远程运维安全服务。远程维护人员登录VPN后,无需再输入帐号密码即可登录堡垒机,提升运维便捷性;同时,防火墙无需保存任何堡垒机的帐号,保障运维安全性。提供截图证明。 |
|
终端防护 |
支持联动终端安全系统,对终端上的安全状态进行检查,确认符合安全要求后才可连网访问,使得防火墙能够提供端到端的安全防护能力。 |
|
▲在终端安全接入方案的基础上,支持配置白名单(排除范围),如配置一些可以不接收管控的特殊IP地址,或者地址组。便于管理员根据单位的实际情况来进行特殊处理。提供截图证明。 |
|
|
信誉管理 |
支持内置Web信誉库,收录40万+恶意站点。 |
|
支持web信誉的白名单配置。 |
|
|
支持僵尸网络、web信誉的本地及云端查询。 |
|
|
漏洞发现 |
▲支持联动外部扫描器,外部扫描器定期将漏洞推送至防火墙,通过防火墙可查看扫描器上报的内部资产漏洞的拦截情况。提供截图证明。 |
|
一体化安全 |
支持HTTP、FTP、POP3、SMTP等协议的病毒查杀,支持木马病毒、蠕虫病毒、宏病毒、脚本病毒等各种病毒的查杀,支持压缩文件解码查杀。 |
|
支持病毒及名称白名单。 |
|
|
移动端安全运维 |
▲可通过移动端实现设备安全运维监控,APP支持安全设备运行状态监控,监控指标包括CPU使用率、内存使用率、设备IP地址,设备状态,查看安全告警等功能,提供APP下载网页和相关链接以及包括APP相关功能界面的截图证明。 |
|
产品要求 |
产品具备《涉密信息系统产品检测证书》(千兆)。提供有效证书的复印件。 |
|
要求获取CVE证书,且类型为下一代防火墙(Next Generation Firewall)。 |
|
|
提供“多核分布式安全操作系统”的软件制作权登记证书。 |
|
|
产品拥有IPv6 Ready Phase-2 Logo。提供有效证书的复印件。 |
二、入侵安全防御
|
指标项 |
参数 |
功能及技术描述 |
|
硬件 |
系统平台 |
系统应为机架式独立IPS硬件设备,全内置封闭式结构,具有完全自主知识产权的专用安全操作系统,稳定可靠。 |
|
网络接口 |
系统需提供1个RJ45串口,2个1000M管理口,4个1000M以太网电口,1个SLOT插槽。 |
|
|
产品性能 |
网络吞吐量 |
≥3G |
|
最大并发TCP会话 |
≥200万 |
|
|
每秒新增TCP会话 |
≥30000 |
|
|
时延 |
<100 µs |
|
|
应用识别 |
系统应能识别主流的应用程序,识别不少于6000个应用,支持5G应用。须提供界面截图。 |
|
|
抗逃逸功能 |
系统应支持多种抗逃避或欺骗检测技术,能检测出的躲避行为包括但不限于:IP数据包乱序分片、TCP报文乱序分段、RPC分片分段、SMB分片分段、FTP无效命令混淆、HTTP响应消息异常、HTML文件内容多种字符编码混淆、数据流分隔、 协议端口重定位、URL混淆、shell 代码变形等。 |
|
|
网络适应能力 |
系统须支持IPv6/IPv4双协议栈功能,能同时辨识IPv4和IPv6通讯流量。支持IPv6环境下攻击检测技术和基于IPv6地址格式的安全控制策略,为IPv6环境提供入侵防护。 |
|
|
系统应支持VLAN 802.1Q、BGP、MPLS、QinQ、PPPOE等封装协议的透传,能够适应多种不同的网络环境。 |
||
|
巨帧 |
系统须支持处理有效负载5000字节的以太网帧。 |
|
|
名单 |
黑白名单 |
系统支持手动添加非法IP到黑名单的功能。 |
|
系统支持手动添加非法域名到黑名单的功能。 |
||
|
系统须提供厂商专业积累的黑IP库,允许客户选择加载。 |
||
|
能够提供API接口,支持平台下发一键封堵黑名单列表的能力。 |
||
|
系统具有手动添加白名单IP、域名的能力,对白名单中的条目不进行安全检测。 |
||
|
系统须提供厂商专业积累的预置白名单库,可在流量较大时启用白名单,提高系统实际检测性能。 |
||
|
入侵检测防护 |
入侵检测 |
▲系统攻击特征库数量至少为9000种以上。须提供界面截图。 |
|
▲系统需提供入侵规则分类,帮助更便捷的制定防护策略。如勒索、挖矿、SQL注入、XSS注入、webshell、命令代码执行、内存破坏、类型混淆、反序列化、信息泄露、目录遍历、文件操作漏洞、注入攻击、重定向漏洞、CSRF、僵木蠕、拒绝服务、弱口令、欺骗劫持、扫描类攻击等。须提供界面截图。 |
||
|
规则须支持按CVE、CNNVD、CWE、Bugtraq关联、查询和筛选。 |
||
|
系统须提供规则升级更新内容,如更新规则列表、修改规则的规则ID、名称、缺省动作。以帮助客户了解更新规则的内容 |
||
|
系统应提供入侵行为特征的自定义接口,可根据用户需求定制相应的检测和阻断规则。支持以下自定义:名称、级别、协议类型、协议类型、包长度、正则表达式定义关键字。至少支持IP\TCP\UDP\ICMP\HTTP\POP3\SMTP\MSN\QQTCP\\QQUDP\FTP协议的规则自定义。 |
||
|
系统应能够有效抵御SQL注入、XSS注入、webshell等多种常见的应用层安全威胁,并可配置SQL注入白名单。 |
||
|
▲支持基于SCADA、IEC 61850、IEC 60870-104等工控协议的相关漏洞攻击检测与防护。须提供界面截图。 |
||
|
系统需提供至少五种以上内置规则模板,帮助用户快速上线。如DMZ区服务器、内网客户端、Web服务器、Windows服务器、UNIX服务器防护等规则模板,并可根据内置规则模板直接派生模板。 |
||
|
日志筛选条件可根据规则发布时间进行筛选。 |
||
|
系统可零配置上线,提供策略模板、规则模板,减少配置工作量,提高部署效率。 |
||
|
支持至少七种弱口令配置,支持导入自定义弱口令字典。须支持强密码复杂度限制,如同时包含大小写字母、特殊字符、数字、不能包含用户名等组合方式限制。 |
||
|
攻击响应 |
系统应提供丰富的响应方式,包括:告警、阻断、IP隔离、抓包等,满足用户各种响应需求。 |
|
|
系统应具备攻击快照功能,获取攻击数据包,详细记录触发告警的数据特征,以便做进一步的事件分析。 |
||
|
在线自定义抓包 |
设备能够抓取设定抓包条件下的双向数据包。对于tcp,udp协议能抓到基于源ip,目的ip,源端口,目的端口的双向包。 |
|
|
策略 |
可对源IP/端口、目的IP/端口、源用户、时间段进行安全检测策略匹配配置。 |
|
|
可配置策略直接放行或直接阻断流量。 |
||
|
支持策略导入导出。 |
||
|
地理 |
系统需提供公网地理库,能够在日志中展示攻击源IP的地理信息。能够定义私网IP地址或地址段,避免与公网重合时误展示为公网地址。 |
|
|
用户认证 |
系统应具备用户身份识别能力,支持基于用户身份进行策略配置、日志记录与查询;支持自动与手动获取用户信息列表并生成组织结构图。须提供界面截图。 |
|
|
针对访问网络资源的终端用户,系统应提供增强的身份认证功能,支持RADIUS、LDAP、AD域等接口,及第三方认证平台,实现更灵活、更安全的认证控制。 |
||
|
智能用户识别 |
能够有效识别某IP上登录的用户并将用户名关联在该IP触发的安全事件上。用户信息来源于:网站登录用户、数据库用户、远程登录用户、即时通讯用户、文件传输、邮件用户等。 |
|
|
CDN环境支持 |
CDN场景下入侵事件告警日志能够展示真实的源IP地址。 |
|
|
Dos防御 |
DoS/DDoS |
系统应提供DoS/DDoS攻击防护能力,支持TCP/UDP/ICMP/ACK Flooding,以及UDP/ICMP Smurfing等常见的DoS/DDoS的攻击。 |
|
支持基于阈值和自学习检测。 |
||
|
服务器 |
服务器异常防护 |
系统应提供服务器异常告警功能,可以手动添加或自学习服务器外联行为,并以此为基线检测服务器非法外联行为。 |
|
运维便捷性 |
检测能力 |
系统应提供基于资产的保护,具备资产识别功能,包括操作系统、浏览器、应用类型等客户资产相关信息的识别能力。须提供界面截图。 |
|
运维便捷性 |
手机端监控:支持通过手机客户端了解设备运行状况,支持手机查看攻击事件、统计信息、运行状态监测数据等,提供界面截图证明。 |
|
|
支持误报处置,支持对用户所认为的误报事件进行一键关联反馈,由厂家确认分析。 |
||
|
应支持“一键巡检”功能,可根据设备运行过程中反馈的数据进行全面分析,并生成图表相结合的安全报告。定时进行巡检可发现异常漏洞与受攻击情况,提供界面截图证明;支持对用户所认为的误报事件进行一键关联反馈,由厂家确认分析。提供界面截图证明。 |
||
|
数据泄露防护 |
敏感数据保护 |
系统应提供敏感数据保护功能,能够识别、阻断超过阈值的敏感数据信息(身份证号、银行卡、手机号等)。须提供界面截图。 |
|
文件管控 |
系统应提供关键文件保护功能,能够识别、阻断通过自身的关键文件,以防止非法外传行为。能识别的关键文件类型应包含至少以下几类:文档类如Excel、PDF、PowerPoint、Word等,压缩文件类如CAB、GZIP、RAR、ZIP、JAR等,图像类如BMP、GIF、JPEG等,音频视频类如MP3、AVI、MKV、MP4、MPEG、WMV等,脚本类如BAT、CMD、WSF等,程序类如APK、DLL、EXE、JAVA_CLASS等。 |
|
|
流量 |
流量管理 |
系统应提供灵活的流量管理功能,可以根据用户、应用、目的IP地址、时间及带宽等因素,实现基于应用、面向对象的流量保护策略。通过流量许可和优先级控制,阻断一切非授权用户流量,并结合最小带宽保证、最大带宽限制、会话限制和每IP设置等功能,有效保证关键应用全天候畅通无阻。 |
|
流量分析 |
系统应支持全面的流量分析功能,可察看网络实时流量,包括:流量协议分布、流量IP分布、基于策略的流量分布,自定义察看某种流量TOP10、常见流量TOP10等同时应支持生成日、周和月的流量报表,以便了解一段时间的流量情况。 |
|
|
系统需支持对超限流量的IP进行一键限速,快速处理异常流量IP。 |
||
|
其他安全能力 |
防病毒(VF-NAV) |
需提供两家及以上防病毒引擎厂商合作证明。 |
|
支持流式防病毒,且病毒库在10万以上 防病毒。 |
||
|
需具备启发式防病毒能力,且病毒库在1300万以上。 |
||
|
具有防病毒能力,支持HTTP、FTP、SMTP、POP3、IMAP、NFS、SMB2、工控(IEC-61850、IEC 60870)等协议。 |
||
|
支持病毒文件样本留存,并可导出用于跟踪分析。 |
||
|
支持防病毒库实时更新,实现快速能力部署、应对热点突发病毒,至少一天更新两次。 |
||
|
▲URL分类(VF-URLFILTER) |
系统应提供URL分类本地库和云端查询能力,可实现高风险、不良网站的过滤,规范上网行为。可提供本地搜索,手动研判可以URL。须提供界面截图。 |
|
|
对阻断、告警的URL页面,可提供重定向页面、可自定义通知页面的内容。 |
||
|
支持与本地沙箱或云沙箱的联动配置。 |
||
|
▲高级未知威胁防护(云沙箱VF-CTAC) |
系统可支持选择对PE类、文档类还是压缩包等进行检测。 |
|
|
系统可支持提供未知恶意软件检测分析报告。支持展示未知恶意软件的传播URL地址。可支持提供高级恶意文件样本下载用于取证。须提供界面截图。 |
||
|
系统可支持检测并展示未知恶意软件中隐含的可疑Callback回连地址。并能选择CallBack地址信息是否用于本地检测。 |
||
|
威胁情报检测(VF-RESPECT) |
系统可支持基于威胁情报的检测能力,能够离线导入情报库做本地检测、也可连动云端做在线检测。 |
|
|
可支持僵尸网络C&C检测,并且可导入或手工配置C&C黑白名单。 |
||
|
可支持Web信誉检测(恶意URL),且可导入或手工配置URL黑白名单。 |
||
|
▲攻击溯源(VF-AST) |
可支持溯源攻击日志中的IP地址、文件MD5、URL等进行溯源;如IP地址溯源,可展示地理信息、开放端口、主机操作系统、对外提供的服务、相关联域名、ASN信息、Whois信息、ICP备案信息等。需要截图证明。 |
|
|
高可靠 |
设备自身安全性 |
投标设备应支持热插拔的冗余双电源,避免电源硬件故障时设备宕机,提高设备可用性。 |
|
系统各组件之间应采用加密安全通道进行通讯,防止窃听,确保整个系统的安全性。 |
||
|
热补丁 |
系统须支持热补丁功能,加载补丁时无需重启不影响业务。 |
|
|
HA部署能力 |
系统应支持A/S(A:Active,S:Standby)高可用部署方式,出现设备宕机、端口失效等故障时,完成主机和备机的即时切换,确保关键应用的持续正常运转。 |
|
|
系统应支持非对称路由功能,在来回路径不一致时实现业务畅通和检测。 |
||
|
BYPASS方案 |
系统网络接口应具备内置bypass特性,产品出现故障时,能自动转变成通路,不影响业务流量的正常传输。 |
|
|
系统应支持外置BYPASS硬件设备(如bypass交换机),扩展形成完整的BYPASS解决方案。 |
||
|
系统支持软件BYPASS功能,系统软件故障时,系统自动实现旁路保护,避免网络中断等事故的发生。 |
||
|
部署 |
部署能力 |
系统应支持IPS和IDS的混合运行模式,同时提供入侵防护和入侵检测功能。 |
|
▲系统须支持旁路在交换机或路由器场景时,具有旁路阻断功能,并支持配置独立的阻断包发送接口。需要截图证明。 |
||
|
监控 |
威胁状态监控 |
可通过各种统计分析呈现当前整体威胁状态:如日志类别整体占比、IPS攻击手段分布、事件发生趋势、危险程度分布、事件发生次数排名、被阻断事件发生次数排名、源/目的 地址按事件发生次数排名等。 |
|
系统状态监控 |
系统需提供证书版本、系统时间、工作模式、HA状态、存储状态、版本信息等基本信息。 |
|
|
系统同时能提供CPU利用率、内存利用率、会话状态、流量状态、风扇/电源/电压状态、板卡状态等监控信息展示。 |
||
|
系统须提供系统资源的告警规则设置,如CPU利用率、内存利用率、CF卡利用率、硬盘利用率等阈值设备。告警信息统一推送到消息中心便于查看和管理。 |
||
|
系统须提供系统状态的告警规则设置。可设置温度、电源、证书、升级管理、高可靠等告警的规则和阈值。并能推送到消息中心。 |
||
|
漏洞公告&情报咨询 |
系统需提供漏洞公告咨询和情报咨询;在漏洞公告中能关联显示已发布的规则,帮助用户更快设置防护策略。 |
|
|
日志 |
日志管理 |
系统各检测模块,应具备实时的日志归并功能,可以根据用户需要,按照告警事件的源/目的IP、事件类型等信息,对告警日志执行归并,有效抵御告警风暴。 |
|
本地日志可直接导出为HTML、WORD、EXCEL格式。 |
||
|
日志导出支持多种编码类型,支持UTF-8,ASNI,UNICODE,GB2312。 |
||
|
日志可选择备份到本地PC、日志备份到FTP服务器。可选择备份的日志类型、备份某时间段日志、备份周期、备份是否加密。 |
||
|
系统支持至少四个syslog服务器。可选择发送的日志类型、发送的日志字段、发送格式(连接符和间隔符)等。 |
||
|
日志查询条件可存储模板,用于下次查询。 |
||
|
报表 |
报表情况 |
支持自定义报表模板,可设置报表封面、logo等信息;可选报表维度、可配置过滤条件、可设置执行周期、数据统计区间、并可配置报表格式和输出方式(如本地存储、邮件外发或FTP外发);支持设置手动报表、自动报表。 |
|
支持报表历史记录,可记录创建时间、创建人;可删除、下载、外发等 |
||
|
报表输出格式需支持PDF、html、docx、xlsx。 |
||
|
管理 |
设备管理 |
系统应支持WEB登录图像验证码功能,防止暴力破解。 |
|
系统应支持带外管理功能,可使用业务口管理设备;并支持专用管理口,进行NIPS引擎管理。 |
||
|
系统须支持配置回退。 |
||
|
系统应提供标准snmp trap(V1、V2、V3)和syslog接口,用于第三方管理平台的设备管理和入侵事件管理。 |
||
|
提供覆盖web操作的全面的灵活的RestAPI接口,可供第三方管理平台集中管理。如设备升级、状态监控;策略、对象等的增删改查等操作。 |
||
|
升级功能 |
系统应提供多种升级方式,至少提供自动在线升级、离线升级两种方式。 |
|
|
投标厂商应承诺至少每周定期升级攻击特征库,遇到重大安全事件,提供24小时内的升级服务。厂商官方站点需同时提供升级包下载页面,并提供详细的升级事项说明。 |
||
|
系统应支持私有升级中心功能,部署在局域网的设备也能够实现自动在线升级。 |
||
|
系统支持版本恢复功能,可恢复到出厂时自带的软件版本。须提供界面截图。 |
||
|
角色管理 |
支持配置读、写不同权限的角色,并能为角色分配可以管理的菜单。如设置角色对告警、日志、策略、系统等菜单具有无权限、只读、读写等权限。 |
|
|
多语言支持 |
系统的管理、操作界面应支持多语言自由切换,至少支持简体中文和英文。 |
|
|
管理端 |
多设备集中管理 |
支持对设备进行重启引擎、重启设备、查看设备证书、升级设备、设备配置备份恢复、删除设备等操作。 |
|
拓扑管理 |
支持管理设备地理拓扑和逻辑拓扑。地理拓扑中设备按照设定的地理位置展示、逻辑拓扑仅展示逻辑连线拓扑图。 |
|
|
策略集中管理 |
策略集中管理:可获取设备策略、可配置设备策略、对同版本设备进行批量下发、可导入导出设备策略。 |
|
|
分级管理 |
系统至少支持五级级联管理。应提供分级日志管理功能,下级可上传日志给上级管理平台。 |
|
|
告警方式 |
可配置邮件告警或短信告警方式,并能配置告警日志类型、级别、统计规则、过滤条件等,防止无效垃圾告警。 |
|
|
全局预警 |
支持手动、自动全局预警,预警结果展示、查询。 |
|
|
日志统一管理 |
系统应提供基于告警设备、时间、IP地址、事件类型、用户身份等条件的日志检索功能,具备日志备份、清除和恢复功能。系统应具备递归查询功能,在查询结果中再次输入查询条件获得更详细的查询结果,进行细粒度分析。 |
|
|
威胁分析能力 |
系统应提供统计分析告警功能,能够按照攻击事件、攻击源、攻击目的等,按照一定维度进行统计分析,告警参数应支持用户自定义。 |
|
|
过滤器模板 |
系统报表模块应支持过滤器模板功能,可将复杂的查询参数保存为过滤器模板,生成报表时直接调用模板即可,无需重复查询输入参数,以减少日常维护工作量。 |
|
|
产品要求 |
系统携带的攻击特征库须获得CVE-Compatible兼容性认证,须提供证书复印件。 |
|
|
投标IPS产品应具有IPv6 Ready Logo证书,提供有效证书的复印件。 |
||
|
投标产品应通过国际权威机构NSS Labs的IPS专项测试,获得Approved认证。 |
||
|
投标IPS产品应具有国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》(千兆),提供有效证书的复印件。说明:要求投标产品的证书上明确标识千兆产品。 |
||
三、安全审计系统
|
要求类别 |
功能及技术描述 |
|
产品规格 |
1U架构, 1个RJ45串口,1个GE管理口,2个USB口,4个千兆电口,4个SFP接口。 |
|
审计功能 |
▲支持基于域名、关键字等多种组合的主动内容审计策略,可扫描指定网站,分析网页页面是否含有非法敏感信息。要求提供证明。 |
|
通过扫描指定网站,分析检测网页是否被挂马,并实时告警响应记录。 |
|
|
▲支持审计ORACLE、SQL Server、MY SQL、DB2、Sybase、Informix、Postgresql等各类主流数据库系统。提供截图证明。 |
|
|
灵活的审计策略:支持基于IP地址、时间、用户/用户组、数据库用户名、数据库类型、数据库表名、字段名、关键字等组合审计策略,并实时告警响应。 |
|
|
支持同时审计多种数据库及跨多种数据库平台操作;支持实时审计用户对数据库系统所有操作;支持分析、提取SQL语句中绑定变量,并可完全监测还原SQL操作语句包括源IP地址、目的IP地址、访问时间、MAC地址、数据库用户名、客户端类型、数据库操作类型、数据库表名、字段名等。 |
|
|
具有超过1000万条的英文URL数据库,超过37种分类,如不良言论、色情暴力等;可审计记录非法不良网站,并支持用户添加自定义URL。 |
|
|
▲通过对互联网资源(域名、IP地址、URL等)进行威胁分析和信誉评级,将含有恶意代码的网站列入Web信誉库,达到识别含有恶意代码的高风险网站,实现对终端用户的安全评估和保护。提供截图证明。 |
|
|
支持HTTP网页浏览及关键字搜索审计:记录用户网站访问行为包括源IP地址、目的IP地址、访问时间、URL、网页浏览时间等,并提供网页还原功能。 |
|
|
支持电子邮件审计:支持SMTP、POP3、WEBMAIL等协议,支持基于邮箱地址、邮件主题、邮件内容、附件名的关键字审计功能;可记录源IP地址、目的IP地址、时间、邮箱地址、邮件主题、邮件内容、邮件附件等信息;邮件附件格式支持txt, html, htm, office系统 (doc, xls, ppt, docx, xlsx, pptx),wps系列(.wps,wpt, dps, dpt, et, ett), rar ,zip等;也可以无条件完全记录所有邮件内容和附件。 |
|
|
▲支持无线热点发现功能,能够实时、自动发现办公网络内的无线热点,记录无线热点访问网络时所使用的IP地址、认证用户等信息。提供截图证明。 |
|
|
▲支持移动应用审计,能够识别通过移动热点所访问的移动类应用,例如IM类、社交类、网购类、影音类、资讯类等应用,并记录IP地址、应用名称、访问时间等信息;能够对主流的移动应用进行内容层面的详细审计,主要是对微博、网页言论、网页访问详细记录IP地址、URL地址、访问时间、访问或发布的具体内容等信息。提供截图证明。 |
|
|
支持基于论坛主题、发帖内容的关键字审计功能;支持基于用户/用户组、时间、关键字等多种组合审计策略,可记录源IP地址、目的IP地址、发帖论坛、发帖人、主题、发帖时间、发帖内容等,并提供内容还原功能。 |
|
|
支持即时聊天工具审计:可审计QQ、MSN Messenger、ICQ、雅虎通、新浪UC等,支持基于IP地址、用户/用户组、时间、关键字等组合审计策略,可记录日志包括即时通讯号码、上下线时间、文件传输名等。 |
|
|
支持文件传输审计:支持HTTP、FTP协议,支持基于用户/用户组、时间、关键字等多种组合审计策略,用户可自定义下载文件类型,对文件上传、下载类型进行审计,可记录日志包括源IP地址、目的IP地址、时间、传输文件名等。 |
|
|
支持TELNET、FTP等业务操作进行命令级审计,支持基于IP地址、用户组、时间、关键字等组合审计策略。 1) TELNET:可记录源IP地址、目的IP地址、帐号、和命令等。 2) FTP:可记录源IP地址、目的IP地址、帐号、命令及上传下载文件名等。 |
|
|
可对P2P下载、在线视频、网络游戏、炒股软件等行为进行审计,支持基于IP地址、用户组、时间、协议等组合审计策略,记录日志包括源IP地址、目的IP地址、时间、应用名称等。 |
|
|
支持流量审计:支持基于时间、协议、IP地址等组合流量审计策略。支持统计各种应用协议的总流量、上下行流量及TOP10排名;针对协议TOP10排名,可查看使用当前协议的IP及其流量。支持统计各IP的总流量、上下行流量及TOP10排名;针对IP TOP10排名,可查看当前IP使用的协议及其流量。 |
|
|
支持用户识别功能,可将终端IP地址与终端用户身份绑定,在审计日志中显示终端用户身份信息,提供截图证明。 |
|
|
支持用户身份信息智能关联技术,可将用户各种身份信息与其终端IP地址进行智能关联形成用户身份信息库,从而提高事件定位的精确度。提供截图证明。 |
|
|
支持IPv6协议,可识别IPv6协议的数据流,支持基于IPv6地址格式的审计策略。 |
|
|
系统管理 |
基于B/S的管理架构,灵活方便,适合在任何IP可达地点远程管理。 |
|
支持“安全中心”管理,提供图形用户界面,以简单、直观的方式完成策略配置、日志查询、告警查询、集中管理等各种任务。 |
|
|
提供CLI(命令行)配置模式,提供SSH远程调试模式。 |
|
|
支持集中管理,系统应提供专门的安全中心负责集中管理多台审计设备的审计事件的存储、分析。 |
|
|
安全中心支持基于IP地址、时间、用户名、数据库操作类型、数据库名、数据表名等条件的审计日志搜索查询分析。 |
|
|
支持带外管理(OOB)功能,可以通过专用管理口,进行引擎管理,解决远程应急管理的需求。 |
|
|
提供标准snmp trap、snmp agent(v1、v2c、v3)和syslog接口,可接受第三方管理平台的集中事件管理。 |
|
|
提供实时在线升级、自动在线升级、离线升级多种升级方式。 |
|
|
▲支持历史版本回滚功能,系统内建历史版本库,可保留最近升级的两个历史版本,并支持回滚到任一历史版本,提高了产品升级过程的可靠性。提供截图证明。 |
四、边界安全攻击防御
|
指标项 |
规格要求 |
|
配置要求 |
采用多核架构,自研操作系统 。 |
|
1U标准机架式机型,含交流单电源模块,≥1*RJ45管理口,≥6*GE(Bypass)接口,配置≥4个千兆光口;可检测流量≥1.2G。 |
|
|
网络层吞吐量≥5G,并发连接数≥200万。 |
|
|
联动检测能力 |
支持将未知恶意程序或夹带有未知恶意程序的文件传输到APT预警平台进行检测,提供界面配置界面。 |
|
防火墙功能 |
支持虚拟线、二层透明、三层、混合、旁路监听接入方式,适应各种网络环境需求 |
|
支持Flood防护,包括PING Flood、UDP Flood、SYN Flood、DNS Reply Flood、DNS Req Flood,支持针对以上Flood攻击调整检测阈值(包数)、检测周期(秒)、复位时间(秒)、保护时间(秒)、限制流量(PPS)。 |
|
|
支持8级流控,可对应用流量实行带宽限制、带宽保证等策略。 |
|
|
具备SSL VPN功能,支持WEB代理和L3-VPN两种实现模式,并提供两种功能模式配置截图证明。 |
|
|
支持策略路由,策略路由可基于应用进行流量控制。 |
|
|
支持源IP联动封锁。在入侵防御事件中发现源IP存在攻击行为时,可以一键封禁该IP,并设置封禁的时间。 |
|
|
资产风险识别 |
▲支持资产风险识别。可根据用户指定的网络范围,通过自动、手动识别等多种方式,识别资产类型,如PC、移动设备、服务器等等资源类型,提供截图证明。 |
|
▲支持对易受攻击的系统及应用软件进行打分告警、报表分析,如操作系统版本漏洞威胁度、上网浏览器客户端漏洞威胁度等,让用户实时了解当前网络资产资源中的脆弱度,提供截图证明。 |
|
|
▲支持安全加固指导及实施。针对识别出的资产风险,为用户提供一键安全策略生成的功能,并可实时告警和记录入侵安全事件,形成安全事件报表和趋势图,指导用户及时做出加固防护。提供截图证明。 |
|
|
可自定义操作系统、浏览器、杀毒软件的风险等级,并支持预置风险等级。可提供截图。 |
|
|
可为每个内网主机生成风险指数,通过数字直观展示内网主机的风险状态。 |
|
|
可生成内网资产风险报表,提供高风险资产top10,提供操作系统等相关资产信息的数据统计和报表展示。 |
|
|
远程安全运维功能 |
▲支持与堡垒机联动,以VPN模块+堡垒机的方式提供远程运维安全服务。远程维护人员登录VPN后,无需再输入帐号密码即可登录堡垒机,提升运维便捷性;同时,防火墙无需保存任何堡垒机的帐号,保障运维安全性。提供截图证明。 |
|
终端防护 |
支持联动终端安全系统,对终端上的安全状态进行检查,确认符合安全要求后才可连网访问,使得防火墙能够提供端到端的安全防护能力。 |
|
在终端安全接入方案的基础上,支持配置白名单(排除范围),如配置一些可以不接收管控的特殊IP地址,或者地址组。便于管理员根据单位的实际情况来进行特殊处理。提供截图证明。 |
|
|
信誉管理 |
支持内置Web信誉库,收录40万+恶意站点。 |
|
支持web信誉的白名单配置。 |
|
|
支持僵尸网络、web信誉的本地及云端查询,请截图证明。 |
|
|
漏洞发现 |
支持联动外部扫描器,外部扫描器定期将漏洞推送至防火墙,通过防火墙可查看扫描器上报的内部资产漏洞的拦截情况。 |
|
一体化安全 |
入侵防护规则库具有超过4000条攻击规则,每条规则具备详细的攻击规则描述及解决方案。同品牌入侵防护类产品通过国际权威机构NSS Labs的IPS专项测试,提供NSS Labs相关证明复印件。 |
|
产品要求 |
产品具备《涉密信息系统产品检测证书》(千兆)。提供有效证书的复印件。 |
|
要求获取CVE证书,且类型为下一代防火墙(Next Generation Firewall),提供截图证明。 |
|
|
提供“多核分布式安全操作系统”的软件制作权登记证书。 |
|
|
产品拥有IPv6 Ready Phase-2 Logo。提供有效证书的复印件。 |
五、网络版杀毒软件
|
指标项 |
规格要求 |
|
产品技术参数 |
1) 产品能够实时监控并清除来自各种途径的病毒、木马、蠕虫、恶意软件、勒索软件、黑客工具等。 2) 在进行产品安装部署时,无需对主机进行重启操作,避免因为主机重启从而导致对用户应用系统造成经济损失及影响。 3) 客户端支持的操作系统: • Windows XP Professional(x64)SP2版 • Windows Vista Business、Enterprise、Ultimate、Home Basic、Home Premium、Business for Embedded Systems、Ultimate for Embedded Systems(x86/x64)SP2版 • Windows 7 Home Basic、Home Premium、Ultimate、Professional、Enterprise、Professional for Embedded Systems、Ultimate for Embedded Systems、Thin PC(x86/x64)包括或者未包括SP1版 • Windows 8/8.1 Standard、Professional、Enterprise(x86/x64)版 • Windows 10 Home、Professional、Education、Enterprise(x86/x64)版 • Windows Server 2003和Windows Server 2003 R2(x86/x64)SP2版 • Windows Server 2008(x86/x64)SP2版 • Windows Server 2008 R2(x64)SP1版 • Windows Server 2012 和Windows Server 2012 R2 (x64)版 • Windows Server 2016 (x64)版 4) 支持多种安装方式,至少包括下载安装、远程安装、共享安装、Web安装、脚本登录安装和域组策略安装,支持通过管理控制台方式进行远程安装,支持通过WEB方式进行远程安装。 5) 支持对压缩包文件进行扫描,并对常用压缩格式文档中的病毒能有效的进行实时检测和处理。支持主流存档和压缩格式的扫描,包含rar、zip、cab、arj等压缩格式的病毒做到包内实时清除。 6) 防病毒软件必须具备个人防火墙功能,有效阻止各种恶意威胁,对存储在计算机中的个人数据进行实时保护。 7) 产品支持必须自带数据库,安装后可以自行存储各类日志以及相关数据,同时也可以外接MSSQL数据库,保证数据存储的多样性。(提供证明文件) 8) 扫描策略必须包含清除、隔离、删除、更名、不予处理以及拒绝访问等处理措施,以保证对于文件多种操作的选择性。 9) 支持云安全扫描和传统病毒码扫描两种运行方式。 10) 具备病毒爆发防御功能。当最新病毒爆发时,可在病毒代码未完成之前自动对企业网络中的病毒传播端口、共享等进行关闭,切断病毒传播途径,预防最新病毒的攻击。 11) 具备Web信誉评估功能,包含HTTPS通信扫描,结合云安全架构自动识别并屏蔽恶意站点,阻止病毒自动更新。 12) ▲支持拦截恶意URL功能,检测并阻止恶意的URL链接,并支持URL地址黑白名单功能(提供功能截图)。 13) ▲产品需提供多种扫描引擎等不少于五种,针对于机器学习必须使用独立扫描引擎(提供厂商证明加原厂盖章)。 14) 机器学习能力,提供管理端及客户的的产品界面截屏(提供厂商证明)。 15) 支持对USB、软驱、光驱、网络共享的使用权限进行控制。 16) 为适应配置低的终端需求,不影响生产办公,终端在进行手动以及预设扫描是必须可以设置扫描时CPU占用比例,分高、中、低三个级别。 17) 具有病毒日志查询与统计功能,可以随时对网络中病毒发生的情况进行查询统计,统计显示饼状图、柱状图等,能按时间(日、周或任意时间段)、按IP地址、机器名、按病毒名称、病毒类型进行统计查询,并能将查询统计结果打印或导出。 18) ▲能够有效防御高级持续威胁(APT)的攻击,通过联动机制禁止客户机对命令与控制服务器的外联.具备外接沙盒设备和威胁发现设备的联动能力,可自动提交可疑恶意文件,并可接收。(提供产品界面截屏) 19) ▲需具备防勒索软件防护功能,管理界面提供配置项。(提供产品界面截屏) 20) 产品需具备补丁防护接口,必要时可外接补丁防护产品,提供漏洞防护能力。同时补丁防护及补丁更新功能不能和杀毒软件一体化,避免和第三方桌面管理软件冲突。 21) 支持对COM/LPT端口、IEEE 1394 接口、图像处理设备、红外设备、调制解调器、PCMCIA 卡、打印影屏幕键的使用权限进行控制。 22) 具备数据资产控制,可保护组织的数据资产免遭意外或故意泄漏。数据资产控制允许管理员执行以下操作: 1. 定义要保护的数据资产(正规表达式、关键字、文档属性); 2. 创建用于限制或机密阻止通过网络通道(Email、FTP、HTTP、HTTPS、IM、SMB、Webmail)以及系统通道(数据记录器、对等应用程序、PGP加密、打印机、可移动储存、同步软件、剪贴板)传输数据资产的策略; 3. 按照以建立的标准强制执行合规。 23)▲可疑站点(C&C)识别,监控可疑站点的连接。(提供产品界面截屏) 24) ▲支持客户端更新代理,支持将任意客户端设置为更新代理,其他客户端从更新代理更新病毒码、策略,避免影响网络使用。(提供产品界面截屏) 25) 组件更新恢复,支持扫描引擎和病毒码可以回滚。 26) 支持中断全盘扫描功能,支持扫描到规定时间后即停止扫描。 27) 支持管理用户角色,支持用户权限的灵活设定,可以让不同用户访问在管理界面上访问不同的客户端及配置管理界面。(提供产品界面截屏) 28)支持通过HTTPs方式登录管理控制台,管理控制台访问需进行加密访问。 29) 支持服务器审计日志,针对服务器运行情况进行监控、报警,针对客户端防病毒感染情况进行监控、报警。报警支持邮件、syslog。 30) ▲支持CVE漏洞弱点扫描功能,及时防护经由网页/电子邮件下载的文档漏洞利用(CVE)。(提供产品界面截屏) 31)可扩展支持终端安全管理1.资产管理功能如网内设备发现、资产信息管理、IP地址管理、软件使用管理;2.终端安全管理功能如杀毒软件安装检查、异常进程监控、系统配置安全、软件黑白名单等;3.运维管理功能如软件补丁统一分发、远程运维协助、多方管理;4.违规外联功能如外联行为控制、违规外连访问控制;5.移动存储介质管理功能如外设管理控制、移动存储介质授信管理、移动存储介质安全管理、移动存储介质审计;6.终端审计功能如文档审计、邮件审计、截屏审计、网站审计、录屏审计等。 |
|
厂商及产品要求 |
1) 当最新病毒爆发时,厂商必须提供应急技术支持,如电话、手机短信、邮件等方式。 2) 厂商可根据用户需求提供高级别的服务承诺,如大客户专署服务、主动式服务、快速响应服务、在线技术支持服务等,可提供5×8乃至7×24小时的专业防毒服务。 |
六、虚拟化主机安全防护系统
|
指标 |
指标项 |
|
要求 |
▲投标产品有公安部的安全产品销售许可证,必须是自主开发,拥有自主知识产权,市场主流的,非OEM产品,具有先进性,并成熟可靠。(提供相应证书) |
|
管理控制台要求 |
1.有代理模式下支持所有Hypervisor,支持所有虚拟化平台。 2.无代理AV,DPI(HIPS)功能支持如下虚拟化平台: VMware、华为FusionSphere(Xen,KVM)、 华三CAS (3.0, 5.0)、品高云(7.x)、 Citrix Xen Server (6.x,7.1)、 微软Hyper-v产品支持以上虚拟化平台的统一平台管理。 |
|
功能要求 |
▲产品要求提供完整的主机安全防护,同时支持实体服务器防御和虚拟服务器的主机防病毒、可扩展支持防火墙、虚拟补丁技术、完整性监控、日志审计、EDR\资产管理等功能;提供截图证明。 |
|
可以和 VMware 的 NSX集成,并具有虚拟环境、系统基础建设层集成能力。 a.产品控制台上以虚拟机为单位,进行策略配置、部署和管理。 b.以虚拟机为单位实施客户端/agent安装以及部署。 c.从虚拟主机层提供防护,其中虚拟主机皆无需安全任何客户端/agent便能由主机继承安全策略、防护。 d.主机整体资源与搭载虚拟机数量无直接关系;虚拟资源消耗不会随虚拟机数量成长。 |
|
|
▲产品可扩展支持DPI(深度内容检测)功能,不依赖分布式交换机可以无代理运行,必须可以同时保护操作系统和应用服务(数据库,Web,DHCP等)。提供截图证明。 |
|
|
▲产品可扩展支持防火墙功能,不依赖分布式交换机可以无代理运行,并且可集中控管防火墙策略,策略定制可以针对IP,Mac地址或通讯端口,可保护所有基于IP通讯协议(TCP、 UDP、 ICMP 等)和所有框架类型(IP、ARP 等)。提供截图证明。 |
|
|
▲可扩展支持虚拟补丁功能,可以扫描各虚拟机部署的Windows、Red Hat EL、SuSE Linux、Ubuntu、AWS Linux等操作系统及应用软件的漏洞列表,并可以自动执行漏洞扫描到的虚拟补丁策略进行防护,无需重启。提供截图证明。 |
|
|
可以与企业级的目录服务Microsoft Active Director做整合,支持通过多个集成选项向SIEM系统提供详细的服务器级安全事件。 |
|
|
测试可以在控制台上直接按条件查询被隔离的文件,并进行删除、查看、导出、恢复、下载等操作的功能效果。 |
|
|
▲管理中心同时支持Windows平台与Linux平台部署;支持MS SQL Server和Oracle数据库。提供截图证明。 |
|
|
支持将管理中心显示的LOGO替换为本单位自己的LOGO(徽标)的功能效果。 |
|
|
提供预设任务功能,可以设置按每小时/天/周/月/仅一次的频率自动定时执行各类型任务,包括:发送策略、备份、扫描计算机有无完整性修改/建议项目/恶意软件/打开的端口、查找计算机、检查安全更新、检查软件更新、生成和发送报告、运行脚本等;执行任务的对象可以选择:所有计算机、计算机组、使用策略类型、计算机;精细化自动化的执行预设任务,无需管理员干预,保证系统安全性。 |
|
|
提供基于事件的任务功能,可以根据事件类型自动运行任务,包括:已创建计算机、已移动计算机、客户端启动的激活、IP地址更改、NSX安全组更改;可以指定使用的策略;可以根据以下条件执行:ESXi名称、NSX安全组名称、云帐户名称、操作系统平台、文件夹名称、计算机名称等。在新建虚拟机、虚拟机飘移、虚拟机IP地址更改、NSX安全组更改等情况,精细化自动化的执行事件任务,无需管理员干预,保证系统安全性。 |
|
|
提供防御应用层攻击、SQL Injection及跨网站程序代码Cross-site Scripting改写的攻击。 |
|
|
▲能够与Amazon AWS 、VMware vCloud和Microsoft Azure的云平台集成,将数据中心安全策略扩展到云平台。可以实现vCloud环境中的多租户对安全的自助服务。根据用户自助需要新生成了虚拟机后,不需要管理员手工干预安装相关安全软件即可自动得到安全保护,这一过程完全由最终用户自助完成。提供截图证明。 |
|
|
可以保护以下类型WEB服务器:Microsoft IIS、Apache、Tomcat。 |
|
|
可以针对VMware、KVM、XenServer及Hyper-V等虚拟化平台提供统一界面管理控制台,在一个管理控制台上管理多个异构虚拟化安全策略。 |
|
|
具备特征库更新功能,实时追踪并保护最新动态威胁:提供自动扫描功能,针对服务器弱点、漏洞进行安全检测并自动形成防护。 |
|
|
支持基于VMware6.0 & 6.5 & 6.7NSX虚拟化平台底层的无代理安全防护(防病毒、访问控制、虚拟补丁及完整性监控),而非在每台虚拟机中部署安全软件实现防护功能。 |
|
|
▲支持将检测到的可疑文件发送到深度威胁分析系统进行分析并且提供联动:a支持手动或自动将检测到的可疑文件发送到深度威胁分析系统进行分析,以增强针对新威胁的恶意软件防护;b支持深度威胁分析完成联动更新虚拟化安全防护系统的可疑对象列表,实现安全防护;c支持的文件类型包括:Microsoft Office各类文件、jar、JavaScript 文件、JavaScript 编码脚本文件、Microsoft Windows Shell 二进制链接快捷方式、pdf、swf、vbs、vbe、mov等。提供截图证明。 |
|
|
▲可扩展支持配置监视关键操作系统和应用程序文件,如目录、注册表项及数值,以侦测出恶意和未授权的更改;侦测现有文件系统中的修改及新文件的创建,并提供实时报告;可启动按需、计划或实时的侦测,检查文件属性,监控特定目录的。提供截图证明。 |
|
|
▲可扩展支持收集和分析操作系统和应用程序日志中的安全事件;协助遵循规范(PCI DSS 10.6) 优化识别埋在多个日志项下的重要安全事件;将事件转至中央日志服务器,做关联性分析、报告和归档;侦测可疑行为、收集数据中心的安全事件和管理操作,并使用OSSEC 语法来建立高级规则。提供截图证明。 |
|
|
▲产品具备通过预测性机器学习为未知威胁和零日攻击提供增强的恶意软件防护,预测性机器学习使用先进的机器学习技术关联威胁信息并执行深入的文件分析。提供截图证明。 |
|
|
▲支持与NSX安全标记功能联动,一旦检测到恶意威胁,可将NSX安全标记应用于受保护的VM,NSX安全标记可与NSX Service Composer一起使用,以自动执行某些任务,例如隔离受感染的VM。提供截图证明。 |
|
|
▲产品应提供至少19个报表模板,覆盖所有功能,包括数量排名、图形展示,报表生成时可指定任意虚拟机/终端、计算机组、策略、时间段和标记为条件,支持定义报表保密级别,支持生成报表加密,提供报表解密截图证明。 |
|
|
原厂情况和服务要求 |
1.厂家在国内有独立的病毒研发、响应中心和监控中心。(提供证明文件并加原厂盖章) 2.厂商可根据用户需求提供高级别的服务承诺,如大客户专署服务、主动式服务、快速响应服务、在线技术支持服务等,可提供5×8乃至7×24小时的专业防毒服务。 |
|
其他要求 |
投标商不得随意扩大所投产品的技术功能及性能,以官网公布的资料为准;技术偏离表需逐条应答。 |
C商务条款
|
1 |
★质保期 |
本项目所有设备质保期为叁年。 |
|
2 |
★交货地点 |
采购人指定地点。 |
|
3 |
★交货期 |
合同签订后30天内免费送货、安装调试并交付使用(含卸货、搬运费)。 |
|
4 |
★付款条件与方法 |
合同签订后支付合同总价的30%作为预付款;设备到实施地点,经采购人设备清点支付合同总价的40%;安装调试验收合格后,支付合同总价的30%。 |
|
5 |
★售后技术服务要求 |
提供三年免费上门服务,接到用户维修电话1个小时内响应,24个小时内修复。 |
|
6 |
★同意采购人对投标文件内容的真实性和有效性进行监督审查、验证。 |
|
收藏