新院迁建工程信息化建设(一期)-

虚拟主机是什么时间:2020-12-28 阅读:()

网络安全系统采购需求招标人:首都医科大学附属北京天坛医院招标代理机构:中技国际招标有限公司2017年10月目录1系统概述61.
1项目背景61.
2项目必要性62总体功能要求73总体技术要求74网络安全产品功能要求(采购标的需实现的功能)84.
1功能要求84.
1.
1医疗网安全产品功能要求84.
1.
2设备网安全产品功能要求94.
1.
3办公网安全产品功能要求104.
2等保要求104.
3建设目标(采购标的需实现的目标)105设备清单(采购标的的数量)125.
1医疗网设备125.
2设备网设备135.
3办公网设备136技术参数要求(采购标的需满足的质量、安全、技术规格、物理特性等要求)146.
1万兆防火墙(16台)146.
2千兆防火墙(12台)176.
3入侵检测(14台)206.
4网络审计(5台)236.
5漏洞扫描(3台)276.
6数据库审计(4台)296.
7网闸(2台)316.
8堡垒机(3台)336.
9主机安全防护(2套)356.
10终端安全防护(2套)386.
11防病毒(3套)456.
11.
1防病毒(终端版)技术参数456.
11.
2防病毒(主机版)技术参数486.
12办公网杀毒软件(1套)506.
13集中身份管理(2套)536.
14安全管理平台(3套)566.
15办公网入侵防御(2台)606.
16办公网上网行为管理(2台)626.
17办公网WEB防火墙(2台)646.
18办公网VPN(2台)676.
19办公网抗DDOS(2台)696.
20办公网带宽管理(2台)737项目管理要求758项目管理团队要求758.
1项目组织及人员758.
2项目经理要求758.
3技术负责人要求769系统验收(采购标的的验收标准)779.
1总体要求779.
2交付要求(采购项目交付或者实施的时间和地点)779.
3系统初验789.
4系统试运行789.
5系统终验7810培训及文档(采购标的的其他技术、服务等要求)7910.
1培训内容7910.
2培训方式7910.
2.
1现场实施培训7910.
2.
2集中专业培训7910.
3培训方案8011售后服务(采购标的需满足的服务标准、期限、效率等要求)8012为落实政府采购政策需满足的要求81系统概述项目背景首都医科大学附属北京天坛医院新址位于北京市丰台区花乡桥东北角(西南四环内),总建筑面积约35万平方米,包括A区、B区、C区、AB连廊及地下通道.
其中A区为医疗区,建有专科门诊楼、病房楼、医技楼、综合门诊楼、急诊抢救楼、感染疾病科楼、康复医学楼等;B区为干部保健、教育科研区,建有研究所及行政科研楼和干保楼;C区为教学宿舍区,建有教学宿舍楼和阶梯教室.

新院区建成后,总建筑面积相当于现有院区的4倍,设置床位1650张.
同时院区紧邻南四环辅路,周边道路交通与连接线道路通畅,公交线路发达,紧邻地铁10号线,并规划建设1700余个停车泊位,将有助于缓解现有医疗床位紧张与就医停车难的问题.

项目必要性首都医科大学附属北京天坛医院新址即将投入使用,网络安全系统作为新院区信息交互的核心系统显得尤为重要.
本项目需要根据现有医疗系统的需求,以及未来5~10年运营发展需要,建设全新的安全系统.

总体功能要求本包总体功能要求如下(采购标的需执行的国家相关标准、行业标准、地方标准或者其他标准、规范):序号采购项目备注1网络安全系统(必须满足项)所有投标的网络安全产品均须具有公安部颁发的《计算机信息系统安全专用产品销售许可证》(证书在有效期内),投标人须提供许可证复印件(加盖投标人公章)总体技术要求本规范所描述的技术规格及要求,为投标人进行设计、报价和撰写投标文件提供指导性依据,投标人的投标文件应包括但不仅限于本技术部分的要求.

对于招标文件中存在的任何含糊、遗漏或是对于技术规格以及其它内容存在不清楚的细节时,投标人应在规定时间之前向招标人寻求澄清.

本技术规格及要求,并没对于所有技术细节做出规定,也未充分引述有关标准和规范的条文,投标人应保证提供符合本技术规格及要求和有关标准的包含详细解决方案和产品选型的优质成果.

以下给出的系统建设范围说明描述只是概括的,不应被认为是全面的、无缺的.
投标人应深入研究本招标文件中的需求,给出完整的方案,而不应仅适应本技术部分中所列举的内容.

要求投标人按照技术参数要求提供原厂商出具的《售后服务承诺函》(包括所有网络安全设备).

网络安全产品功能要求(采购标的需实现的功能)功能要求北京天坛医院计算机网络系统包括医疗网、办公网和设备网.
为了应对现在层出不穷的网络安全问题,在设计整个网络系统的过程中要充分考虑到利用防火墙、入侵检测、入侵防御、安全审计、主机终端安全防护、统一身份管理、漏洞扫描、流量控制、行为管理、VPN、运维堡垒系统、安全管理中心等以及和杀毒系统的配合使用,解决医院目前现有系统及新建系统的网络安全问题.
基本要做到:故障排除、灾难恢复、查找攻击源、实时检索日志文件、即时查杀病毒、即时网络监控等.

医疗网安全产品功能要求医疗网是医院核心医疗系统.
主要安全区域规划为:核心交换区、应用区、数据区、运维管理区.
接入区为非安全区域;外联网络部分包括外联区和与办公网连接区皆为非安全区域;以此定义安全区域边界和相应安全策略.

设备网安全产品功能要求设备网主要承载医院电视监控信号传输、BA、安防监控、数字化手术室视频等系统.
主要安全区域规划为:核心交换区、应用区.
接入区为非安全区域;以此定义安全区域边界和相应安全策略.

办公网安全产品功能要求办公网原则上是指除医院医疗网之外的所有网络系统,并连接到互联网.
主要安全区域规划为:核心交换区、应用区、运维管理区.
接入区为非安全区域;外联网络部分包括互联网接入区、DMZ区和外联接入区为非安全区域;以此定义安全区域边界和相应安全策略.

等保要求医疗网内的门诊系统按等级保护三级的标准进行建设,其他系统按等级保护二级的标准进行建设.

建设目标(采购标的需实现的目标)1.
故障排除:要求做到一旦网络出现异常,如无法访问网络,网络访问异常等,要能提供及时、有效的服务,在短的时间内恢复网络应用.

2.
灾难恢复:要求做到设备遇到物理损害网络应用异常时通过备品备件,快速恢复网络硬件环境;通过备份文件的复原,尽快恢复网络的电子资源;在最短的时间内恢复整个网络应用.

3.
查找攻击源:要求做到发现网络遭到攻击,需要通过日志文件等信息,确定攻击的来源,为进一步采取措施提供依据.

4.
实时检索日志文件:要求做到能实时查看当时存在的针对本网络的攻击并查找出攻击源.
如果攻击强度超出网络能够承受的范围,可采取进一步措施进行防范.

5.
即时查杀病毒:要求做到网络中出现病毒,通过及时有效的技术支持,在最短的时间内查处感染病毒的主机并即时查杀病毒,恢复网络应用.

6.
即时网络监控:要求通过网络监控,尽可能发现网络中存在的前期网络故障,在故障扩大化以前及时进行防治.

设备清单(采购标的的数量)医疗网设备序号产品名称数量单位备注1医疗网万兆防火墙12台1、万兆防火墙为本项目核心产品;2、投标人需要提供投标产品原厂商出具的《售后服务承诺函》,详见第6条技术参数要求.

2医疗网千兆防火墙6台3医疗网入侵检测8台4医疗网网络审计4台5医疗网漏洞扫描2台6医疗网数据库审计4台7医疗网网闸2台8医疗网堡垒机2台9医疗网主机安全防护2套10医疗网终端安全防护1套11医疗网防病毒2套12医疗网集中身份管理2套13医疗网安全管理平台2套设备网设备序号产品名称数量单位备注1设备网万兆防火墙2台1、万兆防火墙为本项目核心产品;2、投标人需要提供投标产品原厂商出具的《售后服务承诺函》,详见第6条技术参数要求2设备网千兆防火墙2台3设备网入侵检测2台4设备网防病毒1套办公网设备序号产品名称数量单位备注1办公网万兆防火墙2台1、万兆防火墙为本项目核心产品;2、投标人需要提供投标产品原厂商出具的《售后服务承诺函》,详见第6条技术参数要求2办公网千兆防火墙4台3办公网入侵检测4台4办公网入侵防御2台5办公网网络审计1台6办公网漏洞扫描1台7办公网上网行为管理2台8办公网WEB防火墙2台9办公网VPN2台10办公网杀毒软件1套11办公网堡垒机1台12办公网终端安全防护1套13办公网安全管理平台1套14办公网抗DDOS2台15办公网带宽管理2台技术参数要求(采购标的需满足的质量、安全、技术规格、物理特性等要求)万兆防火墙(16台)包括医疗网万兆防火墙12台、设备网万兆防火墙2台、办公网万兆防火墙2台,技术参数要求如下:序号指标项指标要求1设备高度设备为标准≤2U式机架设备;#2设备接口1)配置CON接口1、USB接口≥1个;2)配置独立的管理接口和独立的HA接口;3)设备最大可配置万兆SFP+光接口数≥8,实配独立千兆电接口数量≥4,实配独立的千兆光接口数量≥4,且非combo口,实配万兆SFP+光接口数量≥8,具备可扩展插槽数≤4(插槽前置),配置双冗余热插拔电源.

(投标人需要提供以上指标要求技术应答的技术支持资料:产品彩页并加盖制造商公章)3硬件规格硬件平台采用64位多核处理器,多核核数≥20个.
(投标人需要提供以上指标要求技术应答的技术支持资料:命令行截图并加盖制造商公章)#4性能要求整机最大吞吐量≥38Gbps,最大并发连接≥1100万,转发延时≤50us(投标人需要提供以上指标要求技术应答的技术支持资料:产品彩页并加盖制造商公章)5基本功能具有透明、路由、混合、旁路4种工作模式6具有接口冗余功能,端口聚合功能(如LACP)7具有防火墙策略命中数统计和冗余检查功能,具有反掩码功能,便于管理员维护防火墙策略8支持IPv4和IPv6的静态路由、等价路由、策略路由,以及BGP、RIPv1/v2、OSPF、ISIS等动态IPv4路由协议(非透传),支持ISP路由并内置多运营商路由表9(1)策略路由支持基于指定IP地址、指定应用协议、指定时间表生效;(2)策略路由支持设置至少两条链路基于权重的流量负载分担;10具有虚拟路由功能,每个虚拟路由中拥有独立的路由表11NAT功能(1)具有地址映射(双向NAT)、源地址转换、目的地址转换以及NAPT功能;(2)支持基于策略NAT功能,可限制数据包的出口,源/目的IP及服务类型进一步做地址转换12要求支持NAT的端口扩展技术,支持端口复用功能13NAT地址有效性检测:支持NAT公网地址池中IP有效性检测,避免因NAT地址无法使用导致业务中断14安全控制支持根据源/目的安全域、源/目的IP地址、用户、域名、协议类型、服务和时间对IP数据包进行控制15(1)支持对应用程序的识别和控制能力,提供应用分类和所用特征.
(2)应用程序特征库≥3000种,并具有在线更新.
16必须可以按照根据设定的条件,如源/目的IP,目的端口号,协议种类,将会话清除17支持会话策略,可自定义TCP三次握手各阶段的超时时间18支持基于源/目标地址、应用等条件进行会话并发连接数和新建连接数限制,防止会话泛滥攻击19攻击防护(1)支持抵御所列所有攻击类型,包括:WinNuke、Land、Smurf、PingofDeath、TearDrop、SYNFlood、ICMPFlood、UDPFlood、DNSFlood、ARPFlood等攻击.
(2)支持对不同安全域设定不同阈值和处理模式,处理动作支持告警和丢弃20HA(1)具有A/A和A/S模式的高可用(HA)(2)具有透明模式HA(3)具有配置同步、会话同步技术21系统管理(1)具有友好的中文或英文操作界面;(2)具有console、telnet、SSH管理;(3)具有http或https方式的web管理;22支持通过手机APP对设备运行状况进行监测23具有管理员分权限管理,如系统管理员、系统配置员、系统审计员,支持基于防火墙功能模块自定义管理员权限.

24具有LocalDB、RADIUS、LDAP、ActiveDirectory认证功能25(1)具有生成日报表、月报表等;(2)支持统计系统信息、流量、威胁详情等;(3)支持按时自动发送报表功能,方便管理员查看网络情况;(4)支持PDF等格式报表生成26原厂商售后服务要求投标人需要提供投标产品原厂商出具的《售后服务承诺函》千兆防火墙(12台)包括医疗网千兆防火墙6台、设备网千兆防火墙2台、办公网千兆防火墙4台,技术参数要求如下:序号指标项指标要求1设备高度设备为标准≥2U式机架设备#2管理接口(1)配置CON接口1、USB接口≥1个;(2)配置独立的管理接口和独立的HA接口;(3)最大可配置千兆接口数≥24或最大具有万兆SFP+光接口数≥10,实配独立千兆电接口数量≥4,实配独立的千兆光接口数量≥4,且非combo口.
实配万兆SFP+光接口数量≥2,可扩展插槽数≥4(插槽前置),配置双冗余热插拔电源.

(投标人需要提供以上指标要求技术应答的技术支持资料:产品彩页并加盖制造商公章)3硬件规格硬件平台采用64位多核处理器,多核核数≥8个;(投标人需要提供以上指标要求技术应答的技术支持资料:命令行截图并加盖制造商公章)#4性能要求整机最大吞吐量≥18Gbps,最大并发连接≥560万,转发延时≤50us;(投标人需要提供以上指标要求技术应答的技术支持资料:产品彩页并加盖制造商公章)5基本功能具有透明、路由、混合、旁路4种工作模式6具有接口冗余功能,端口聚合功能(如LACP)7具有防火墙策略命中数统计和冗余检查功能,具有反掩码功能,便于管理员维护防火墙策略.

8(1)支持IPv4和IPv6的静态路由、等价路由、策略路由,以及BGP、RIPv1/v2、OSPF、ISIS等动态IPv4路由协议(非透传);(2)支持ISP路由并内置多运营商路由表9(1)策略路由支持基于指定IP地址、指定应用协议、指定时间表生效;(2)策略路由支持设置至少两条链路基于权重的流量负载分担;10具有虚拟路由功能,每个虚拟路由中拥有独立的路由表11NAT功能(1)具有地址映射(双向NAT)、源地址转换、目的地址转换以及NAPT功能;(1)支持基于策略NAT功能,可限制数据包的出口,源/目的IP及服务类型进一步做地址转换12要求支持NAT的端口扩展技术,支持端口复用功能13NAT地址有效性检测:支持NAT公网地址池中IP有效性检测,避免因NAT地址无法使用导致业务中断14安全控制支持根据源/目的安全域、源/目的IP地址、用户、域名、协议类型、服务和时间对IP数据包进行控制15(1)支持对应用程序的识别和控制能力,提供应用分类和所用特征.
(2)应用程序特征库≥3000种,并具有在线更新16必须可以按照根据设定的条件,如源/目的IP、目的端口号、协议种类,将会话清除17支持会话策略,可自定义TCP三次握手各阶段的超时时间;18支持基于源/目标地址、应用等条件进行会话并发连接数和新建连接数限制,防止会话泛滥攻击19攻击防护(1)支持抵御所列所有攻击类型,包括:WinNuke、Land、Smurf、PingofDeath、TearDrop、SYNFlood、ICMPFlood、UDPFlood、DNSFlood、ARPFlood等攻击.
(2)支持对不同安全域设定不同阈值和处理模式,处理动作支持告警和丢弃20HA(1)具有A/A和A/S模式的高可用(HA)(2)具有透明模式HA(3)具有配置同步、会话同步技术21系统管理(1)具有友好的中文或英文操作界面;(2)具有console、telnet、SSH管理;(3)具有http或https方式的web管理22支持通过手机APP对设备运行状况进行监测23具有管理员分权限管理,如系统管理员、系统配置员、系统审计员,支持基于防火墙功能模块自定义管理员权限.

24具有LocalDB、RADIUS、LDAP、ActiveDirectory认证功能25(1)具有生成日报表、月报表等;(2)支持统计系统信息、流量、威胁详情等;(3)支持按时自动发送报表功能,方便管理员查看网络情况;(4)支持PDF等格式报表生成26原厂商售后服务要求投标人需要提供投标产品原厂商出具的《售后服务承诺函》入侵检测(14台)包括医疗网入侵检测8台、设备网入侵检测2台、办公网入侵检测4台,技术参数要求如下:序号类别指标项指标要求1基本参数硬件(1)要求采用多核硬件平台;(2)≤2U机箱;(3)设备实配≥1个扩展槽位,≥4个10/100/1000BASE-T接口(其中eth2和eth3支持旁路),1个console口,2个USB;2软件(1)设备采用自主知识产权的专用安全操作系统,采用多核多平台并行处理特性;(2)自主知识产权证明为:投标人需要提供该软件著作权登记证书复印件.

3性能(1)整机吞吐率:≥6Gbps(2)最大并发连接数:≥100万(3)IPS吞吐率:≥1.
5Gbps(投标人需要提供以上指标要求技术应答的技术支持资料:产品技术说明文件并加盖制造商公章)4设备部署接入模式要求支持直连、路由、VLAN、旁路监听、混合部署等多种接入模式.
5要求支持多端口链路聚合,支持不少于11种链路负载均衡算法.
6部署环境要求支持IPv6、IPv6overIPv4、IPv6和IPv4混合网络,能够在该网络环境中检测出攻击事件.
7规则库攻击规则库要求攻击规则库单独分开,可支持手动、自动、以及离线升级.
8应用识别规则要求应用识别规则库单独分开,可支持手动、自动、以及离线升级.
9URL过滤库要求URL过滤库单独分开,可支持手动、自动、以及离线升级.
10病毒库支持病毒库,单独分开,可支持手动、自动、以及离线升级.
11入侵检测能力入侵检测引擎应涵盖广泛的攻击特征库、能够针对3500种以上攻击的攻击行为、异常事件,以及网络资源滥用流量,进行检测.

12要求支持丢弃报文、记录日志、禁止连接、TCPreset结束TCP会话等多种响应动作13要求支持自定义攻击检测规则.
14要求支持黑名单,将攻击源加入黑名单,一段时间内禁止访问15要求支持攻击报文取证功能,检测到攻击事件后将原始报文完整记录下来,作为电子证据.

16病毒检测能力病毒检测类型要求能够检测主流FTP、HTTP、SMTP、POP3协议的病毒.
17URL过滤URL过滤引擎系统应具备独立的URL检测过滤引擎.
18支持黑白名单,精确匹配和模糊匹配19URL特征库支持URL地址分类库≥600万种.
20应用管控功能应用识别系统能够根据数据内容而非端口智能识别包括P2P、即时通讯、电子商务、股票交易、网络游戏、网络电视、移动应用等在内的23大类超过1200种应用.
(系统能够根据数据内容而非端口智能识别≥1200种应用,至少应包括P2P、即时通讯、电子商务、股票交易、网络游戏、网络电视、移动应用等大类应用)21应用管理系统应支持灵活的应用管理策略配置功能,实现基于主机地址、区域、时间、应用等多维度的全面、细致监控.

22支持对应用协议的阻断和流量管控以及记录应用日志.
23自定义应用支持协议自定义功能.
24日志和报表系统日志管理系统应支持多种形式的日志存储,本地存储、发送至日志服务器、本地日志服务器双存储、自动方式判断日志服务器状态自动决定日志的记录方式.

25系统应提供基于告警级别、时间、IP地址、事件类型、等条件的日志检索功能,具备日志导出备份、清除功能.

26系统应具备日志归并功能,避免日志风暴.
27报表系统系统应支持按照时间、源IP、源端口、目的IP、目的端口、网络接口、风险级别等条件生成统计分析报表,报表内容包括攻击防护、病毒过滤、应用管控、URL过滤四大类.

28系统应支持生成日报、周报、月报.
29系统应支持报表以word、html格式导出.
30系统应提供报表定时通过邮件方式自动发送.
31管理监控管理支持SNMP的v1、v2、v2c、v3版本.
32支持规则库手动、自动更新33监控应支持实时查看网络流量/攻击状况.
34应支持基于主机、区域的攻击与被攻击的统计显示.
35应支持基于协议的应用识别统计监控.
36应支持基于web类型分类的控制监控.
37原厂商售后服务要求投标人需要提供投标产品原厂商出具的《售后服务承诺函》网络审计(5台)包括医疗网网络审计4台、办公网网络审计1台,技术参数要求如下:序号类别指标项指标要求1基本要求设备规格和性能(1)要求采用专用硬件平台和专用操作系统,≤2U机架式独立硬件(2)设备实配≥2个10/100/1000BASE-TX管理口,≥4个SFP插槽,≥4个1000BASE电口采集口,≥1T内置硬盘存储日志,冗余电源(3)吞吐量≥3500Mbps(投标人需要提供以上指标要求技术应答的技术支持资料:产品技术说明文件并加盖制造商公章)2审计能力审计关联支持网络环境主动扫描,可自动对审计环境范围内包括IP地址、MAC地址、表名、计算机名、数据库名、程序名等在内的资源信息进行提取;3支持对单个事件、多个类型不同事件进行交叉关联分析;4支持事件频率和次数统计分析的功能,可统计分析同类事件的发生频度,并产生告警;5支持基于HTTP的WEB审计,可审计http多种请求方法.
6支持URL自动分类,内置URL分类库,分类至少包括:新闻、论坛、色情等;7支持≥300种国内常见应用协议行为的自动识别与审计记录;8支持应用协议行为识别,可以把应用协议分组进行审计,用户可以根据需求自行选择审计内容;9(1)支持SMTP、POP3、IMAP的邮件审计功能,可对邮件客户端收发邮件的行为进行审计,审计内容包括但不限于:发件人、收件人、抄送人、邮件主题和;(2)可以对邮件进行还原,还原可看到邮件正文及内容;10支持WEBMAIL审计,审计内容包括但不限于:WEBMAIL发件人、WEBMAIL收件人、抄送、密送、WEBMAIL主题、邮件正文、名称、服务提供商;11(1)支持FTP文件传输协议审计,可针对FTP协议进行文件传输的网络行为进行审计,审计内容包括但不限于:文件名、FTP命令、传输用户等;(2)可以对上传下载的文件进行还原,提供下载;12支持审计Radius协议的认证用户MAC、认证用户名、认证IP、NAS服务器IP;13(1)支持Telnet协议的审计,可审计内容包括但不限于:用户名、操作命令、命令响应时间、返回码等;14(2)支持对即时通讯的审计,可对使用即时消息通讯协议的网络行为审计;15(1)支持共享协议(Netbios文件共享、NFS共享)审计;(2)审计内容包括但不限于:请求主机名、请求主机域名、请求主机操作系统、请求主机共享协议、应答主机名、应答主机域名、应答主机操作系统、应答主机共享协议、操作命令、登陆用户、原文件名、现文件名、文件名、文件类型;16(1)支持对网络入侵行为进行监听,并实时报警;(2)支持对网络入侵检测规则进行管理;17支持流量趋势分析、IP分组流量统计,可以对接口、传输协议、应用协议、应用协议组、源目的地址、源目的端口进行统计分析,可以多条件组合分析;18告警与报表报表支持WORD、PDF、CVS、EXCEL等格式导出报表;19支持邮件方式自动发送报表;20支持频率趋势图、概率统计图、饼图方式进行报表展现,并可导出统计结果报表;21支持自定义报表,可以根据客户需求定制更多有实际意义的报表;22支持按照源IP地址、客户端工具等源信息生成报表;23支持审计结果的多条件组合查询,可以事件发生的时间、用户、访问方式(客户端、TELNET、FTP)、用户IP、服务器等为查询条件进行组合;24告警功能支持通过邮件、syslog、SNMP等方式进行告警;25支持对告警信息的发送方式进行设置,以防止告警信息过多、增加邮件服务器压力,至少具备单条发送、归并发送两种方式;26支持告警信息同时发送到多个管理对象;27支持告警阀值设置,可设置内容包括:连接数值、流量阀值、系统状态阈值(例如:CPU阀值设置、硬盘空间阀值空间设置、内存空间阀值设置等);28支持报警事件插件的配置管理,例如:事件接收、外发、统计分析、存储等插件;#29报警规则支持系统报警规则修改,可自定义报警规则,并定义告警级别、处理方式:系统阻断/放行(旁路)、防火墙联动阻断/放行;(投标人需要提供以上指标要求技术应答的技术支持资料:界面截图并加盖制造商公章)30告警规则支持根据审计结果的属性配置告警规则,告警规则匹配方式包括:与或关系匹配、正则匹配、范围匹配等;31支持告警的统计分析功能,可自定义在线查看统计分析结果,并可根据统计结果生成报表;32支持告警分类,告警类型至少分为三类:审计报警、日志报警、流量报警;33支持系统报警的自定义查询功能,可自定义查询系统内所有报警事件内容,包括:事件主体、事件客体、报警内容、报警级别、报警触发规则名称等;34系统管理系统管理系统应提供配置向导,简化策略配置过程;35支持WEB登录锁定配置,可自定义用户名/密码尝试次数和登录锁定时间;36支持WEB登录超时自动登出功能,可自定义WEB端登录超时时间;37支持静态密码认证,并对密码的复杂性进行强制要求,比如大小写、数字、特殊字符、长度等;38支持角色自定义功能,可对角色权限进行细粒度划分,权限可控制到菜单级;39支持系统状态的监控功能,可监控系统的CPU、内存、磁盘、网口、运行状态等信息;40支持本地磁盘状态的查询和显示,可查询设备磁盘的空间利用率,可通过饼状图、柱状图显示磁盘空间占用情况;41支持磁盘规划功能,可通过饼状图、柱状图显示磁盘空间利用率,本地磁盘中的数据可根据对象进行分类并独立进行备份、清理等操作;42支持系统管理员IP黑白名单,对于无权访问的IP可以隐藏设备自身IP地址;43支持系统自审计功能,系统可以记录用户登录操作、系统自动操作、CLI命令操作以及系统状态情况的自审计日志,管理员可以通过查看自审计日志,随时了解系统的操作情况和运行状态;44支持审计系统与管理系统一体化,不需要安装额外的管理软件,不需要单独的管理设备,无需在被审计系统上安装任何代理;45升级方式提供系统升级功能,能够通过升级包的方式实现升级;46第三方接口支持Syslog方式向外发送审计日志;47支持SNMPTrap方式向外发送审计日志;48支持NTP时间同步;49支持以SNMP方式,将系统运行状态提供给第三方网管系统;50支持原始数据包留存,可通过sftp方式从设备中取得已记录的原始数据包;51支持基于流的流量分析功能,可对其他设备发送的Netflow进行分析,支持对Netflowv5/v9版本的流量分析;52支持自动备份审计日志,可通过FTP方式外送到外部设备,备份文件进行加密,且必须导入设备才能够进行恢复查看;53部署方式单点部署支持旁路镜像模式部署,不影响网络性能和网络架构,网络审计产品的故障不影响被审计系统的正常运行54多点多级部署(1)上级设备可下发策略;(2)上级设备也可查看下级设备的统计分析结果等;(3)任一设备可作管理中心,其他设备作为代理点,管理中心负责策略的下发,数据查询等.

(4)用户可根据自身情况,决定代理点是将审计事件发送给管理中心还是存储在代理点本地;55规则及策略规则支持审计规则的优先级的调整,以防止误报、漏报等发生;56支持审计策略的自定义,可将时间、源IP、目的IP、协议、端口、登陆账号、命令作为响应条件进行策略设置;57支持数据采集规则定义,对于不关心的数据可以不采集,有效保证系统审计的稳定性与针对性.

58(1)系统内置高危SQL查询和注入、远程命令执行、跨站脚本攻击、FTP和telnet高危指令等告警规则;59(2)支持以字段名称和字段值作为分项响应条件进行审计策略设置(非正则表达式方式);#60策略系统具备灰名单功能,可将系统自身无法辨别的安全事件纳入灰名单,并可对灰名单中的内容自定义识别模板,实现对事件类型的辨别扩展功能;(投标人需要提供以上指标要求技术应答的技术支持资料:功能界面截图并加盖制造商公章)61原厂商售后服务要求投标人需要提供投标产品原厂商出具的《售后服务承诺函》漏洞扫描(3台)包括医疗网漏洞扫描2台、办公网漏洞扫描1台,技术参数要求如下:序号类别指标项指标要求1硬件要求产品规格(1)设备≤2U标准高度,设备实配≥4个10/100/1000BASE-T采集接口,≥4个SFP插槽,≥2个可插拨的扩展槽,标配冗余电源;(2)扫描IP无限制(3)最大允许并发扫描≥64个IP地址(4)最大允许并发扫描≥128个线程(5)最大允许≥15个扫描任务并发(6)检测漏洞数≥13000(投标人需要提供以上指标要求技术应答的技术支持资料:产品技术说明文件并加盖制造商公章)2功能要求部署(1)旁路接入网络,无需改变原有的网络架构.
(2)产品的使用无需安装任何类似探针的软件、光盘(3)基于B/S模式通过浏览器就可以对系统进行远程管理控制;3扫描方式(1)可以限制可扫描的IP地址范围;(2)可以限制用户的登录IP地址;4扫描引擎支持智能端口识别、多重服务检测、知识依赖检测、安全优化扫描、断点恢复扫描、拒绝服务脚本顺序扫描、递进式扫描等功能5扫描策略应允许用户根据需要定制、编辑扫描策略;6扫描结果管理(1)应支持手动指定telnet、ftp、smb等常见协议的登录口令;(2)自定义扫描所采用的扫描方式;(3)自定义端口扫描的类型、范围等参数;#7漏洞管理产品可扫描的漏洞应≥7000条,漏洞库与国际CVE标准兼容;应具有至少20种扫描策略,方便用户迅速检测目标网络上是否有这20大常见漏洞,以有效识别网络安全风险所在;(以上需提供功能界面截图并加盖制造商公章)8报表支持用户自己自定义报表模板;9应支持html(打印)、html(浏览)、word、pdf等多种格式,10并提供xml报表格式供用户二次开发;11扫描速度单台主机≤30秒(100M局域网,扫描多台主机取平均值)121-10台≤5分钟1311-20台≤8分钟1421-40台≤18分钟15负面影响网络性能影响比率≤3%;主机性能影响比率≤5%;网络带宽占有量≤30k/s;16原厂商售后服务要求投标人需要提供投标产品原厂商出具的《售后服务承诺函》数据库审计(4台)包括医疗网数据库审计4台,技术参数要求如下:序号类别指标项指标要求1基本要求硬件要求设备≤2U标准高度,实配≥4个10/100/1000M电口采集口(其中两个电口作为HA口和管理口),≥4个SFP插槽,≥500G存储空间,≥1个扩展槽位;2性能要求(1)吞吐率≥960Mbps(2)记录事件≥40000条/秒(3)总记录事件≥300亿条3功能要求数据库审计支持支持审计ORACLE、SQLServer、MySQL、DB2、Sybase、Informix、Kingbase、Dameng等各类主流数据库系统.

4数据库安全支持对针对数据库的XSS攻击行为进行审计,并实时报警5支持对针对数据库的SQL注入攻击行为进行审计,并实时报警6支持数据库账号登陆成功、失败的审计7支持IPV6环境数据库审计系统全部功能8审计能力内置SQL语法解析器,可分析SQL语句的操作类型,操作对象等信息9支持自定义SQL语法解析规则,可以分析用户特有SQL操作10审计事件基本信息包括:源地址、目的地址、源端口、目的端口、源MAC、目的MAC、时间11(1)支持SQL操作响应时间的审计;(2)支持Update、Insert、Delete操作返回行数的审计;(3)支持数据库操作成功、失败的审计;(4)分析、提取SQL语句中绑定变量,并可完全监测还原SQL操作语句包括源IP地址、目的IP地址、访问时间、MAC地址、数据库用户名、客户端名称、服务端名称、数据库操作类型、数据库表名、字段名等12统计分析支持自定义多维度统计分析场景.
13事件实时统计,查看统计结果时快速返回,操作人员无需等待.
14统计结果以饼图、柱图展示,可导出统计结果报表.
15支持统计分析的下钻与上卷.
16响应方式Syslog告警17SNMPtrap告警18邮件告警19支持旁路阻断20系统管理提供系统升级功能,能够通过升级包的方式实现升级21第三方接口支持SNMP方式,提供系统运行状态给第三方网管系统22支持Syslog方式向外发送审计日志23原厂商售后服务要求投标人需要提供投标产品原厂商出具的《售后服务承诺函》网闸(2台)包括医疗网网闸2台,技术参数要求如下:序号类别指标项指标要求1硬件要求硬件架构硬件架构由内端机、外端机、专有隔离硬件三部分组成,基于光隔离技术专有硬件进行隔离和数据交换.

2接口和性能指标设备实配内网≥6个10/100/1000MRJ45接口(要求包含管理口),≥1个串口,≥2个SFP插槽;设备实配外网≥6个10/100/1000MRJ45接口(要求包含HA口),≥1个串口,≥2个SFP插槽;网络吞吐量:≥1000Mbps;系统整体时延:≤5毫秒;所有协议通道并发连接数:≥80000(投标人需要提供以上指标要求技术应答的技术支持资料:产品技术说明文件并加盖制造商公章)3功能要求安全上网功能(1)支持HTTP/HTTPS访问,支持HTTP协议的内部命令控制;(2)内置SSL模块从https协议中分离出正常的加密数据流,屏蔽自由门和翻墙软件.

4安全邮件功能提供安全的邮件访问,支持POP3、SMTP协议.
5文件传输功能支持FTP文件传输协议,支持主动被动两种模式.
6文件同步功能(1)支持文件变动实时同步、指定时间间隔同步、可移动设备触发同步、计算机空闲时间同步等多种智能同步方式.

(2)同步出错能够自动重传并设置重传次数,出现异常同步状况告警并记录日志.

7数据库访问功能(1)提供对多种主流数据库,如:MYSQL、SQLSERVER、ORACLE、DB2、SYBASE等系统的安全访问;(2)支持SQL语句白名单控制.
8数据库同步功能(1)提供专用客户端软件,支持BLOB大字段同步,支持同构异构单向双向跨平台同步.

(2)数据库同步机制基于临时表和触发器原理,支持数据表拷贝,支持数据字段插入、修改、删除权限设置和管理.

9视频监控内置多媒体应用处理模块,兼容主流视频传输及控制协议,能够支持基于范围端口、动态端口、随机端口传输的流媒体视频应用.

10OPC工控应用支持DCS/OPC工业以太网标准,能够实现标准OPC应用数据的传输.
11内容过滤(1)支持URL、关键字、文件后缀名、扩展名过滤.
(2)支持EXE、RAR、ZIP、DLL四种格式文件特征识别(修改后缀名扩展名也能过滤).

12协议过滤(1)支持smtp、pop3、ftp、sqlserver、oracle等应用协议内部命令黑白名单控制.

(2)控制粒度细化到详细参数.
13自定义功能支持自定义的TCP、UDP协议的数据隔离交换,能够以用户定制的命令、参数等协议解析方式绑定用户自定义应用特征.

14管理配置(1)专用硬件管理接口(2)C/S客户端专有协议管理(3)双重密码认证(4)网闸管理口无IP(5)客户端自动查询设备管理不依赖ip地址.
#15工作模式网闸设备支持代理模式、透明代理、路由模式三种工作模式.
(投标人需要提供以上指标要求技术应答的技术支持资料:功能界面截图并加盖制造商公章)16扩展日志审计(1)支持系统事件、成功事件、报警事件详细审计,能生成相应的审计报告.
支持私有数据报格式日志和sylsog格式日志外发.

(2)可提供独立日志审计扩展模块,能够导出csv格式月报表呈现每日最大并发连接数、最大流量、总数据流量;(3)能够审计并实时查询用户所有访问记录,审计查询内容包括访问时间、访问ip地址、访问端口、执行动作、访问资源等;(4)支持csv格式的用户访问记录导出.
17原厂商售后服务要求投标人需要提供投标产品原厂商出具的《售后服务承诺函》堡垒机(3台)包括医疗网堡垒机2台和办公网堡垒机1台,技术参数要求如下:序号类别指标项指标要求1基本要求系统架构WEB方式管理,对常见的资源访问方式提供代填登录.
支持集群部署.
2硬件规格设备≤2U标准高度,设备实配≥4个10/100/1000BASE自适应电口,≥2个可扩展插槽,2个10/100/1000BASE-TX管理口,1个console口,2个USB口,≥2T存储空间,冗余电源;配置≥1000个主机或设备许可,用户数许可不限制(投标人需要提供以上指标要求技术应答的技术支持资料:产品技术说明文件并加盖制造商公章)#3功能要求基础功能提供堡垒机运维审计系统自身状态的监控功能;支持管理配置的批量功能;支持WEB方式升级.

(投标人需要提供以上指标要求技术应答的技术支持资料:功能界面截图并加盖制造商公章)4帐号管理(1)帐号的整个生命周期管理,对主帐号进行增加、修改、删除及锁定、解锁等操作.

(2)能够对各种资源上的帐号进行推、拉、同步.
(3)账号可以添加时间策略、地址策略、命令策略进行细粒度的权限控制.

5认证管理堡垒机运维审计系统本身可以提供证书认证,并可以和现有的其他证书认证结合:如生物特征认证、OTP认证、AD域、MAC地址、智能卡等6授权管理(1)可以将资源和资源的从帐号授权给主帐号.
授权给主帐号的资源可以新增和删除.
授权时可以按照树形组显示资源,方便资源的选择.

(2)授权分为堡垒机运维审计系统管理功能授权和资源访问授权.
内部管理功能授权可以限制到某个树形节点的范围内.

7审计及报表(1)审计结果支持按照如下关键字进行查询:主帐号名称、资源名称、资源IP、从帐号名称、起始时间、终止时间、命令关键字.

(2)支持对象变更操作报表功能,变更操作包括但不限于自然人变更、资源变更、从账号变更、角色变更、授权关系变更等.
报表可按照时间段、操作等条件生成与排序,且可以Word、Pdf等格式导出.

8单点登录(1)主帐号WEB方式登录堡垒机运维审计系统后,可以展现所有已经授权给自己的资源,包括字符型和图形的授权资源.

(2)SSO单点登陆,采用一次性会话号机制,提高安全性.
(3)单点登录后,支持目标资源的地址提示,方便同时开启多个目标资源的连接窗口时区分出不同的连接对象.

(4)支持对SSH、TELNET、RDP等协议的实时会话监视和阻断功能.
9批量管理(1)支持批量录入和配置自然人信息;(2)支持批量录入和配置资源信息;(3)支持批量的录入和修改资源从账号信息;10对外接口(1)可以将审计日志以SYSLOG方式外发,支持SYSLOG发送的目标和端口.
(2)对所有审计日志提供外发接口,可以配置只外发字符审计,也可以配置外发所有审计(将字符和图形录像的审计日志外发其他设备),并且可以配置对端端口.

(3)支持认证接口,可以配置认证服务器地址和端口.
#11VPN功能内置VPN模块,可以实现外网专线连接堡垒机运维审计系统.
(投标人需要提供以上指标要求技术应答的技术支持资料:功能界面截图并加盖制造商公章)12其他功能Windows文件夹共享,资源文件夹共享后,可以授权给堡垒主机主账号.
13支持磁盘映射,便于终端与服务器之间的文件交互.
14双人共管模式,实现重要服务器两个人确定,方可访问资源,同时,第二方人员可以实时监控和阻断操作.

15安全性自身安全性(1)产品自身不允许开放Telnet(23)、FTP(21)等高危服务端口;(2)应支持设定密码登录错误次数.
当重复登录错误达到设定次数后,系统将锁定账号;(3)系统具有自身审计功能,能记录所有管理账户的登录、操作、退出等行为,且不可删除;16扩展性系统扩展(1)要求支持与邮件服务器的联动,可以将告警信息以邮件形式发送.
(2)要求支持与外接存储设备联动,可直接将审计信息直接存储到外接存储设备上,至少支持Linux和Windows两种类型的外接存储服务器.

(3)要求支持与SOC联动,可以将审计日志输出到SOC平台.
17原厂商售后服务要求投标人需要提供投标产品原厂商出具的《售后服务承诺函》主机安全防护(2套)包括医疗网主机安全防护1套≥150点、医疗网主机安全防护1套≥50点,技术参数要求如下:序号指标项指标要求1总体要求(1)采用主动防御机制,使用基于操作系统内核级的安全加固技术,对文件的保护、应用程序的控制等安全手段应从操作系统内核着手.

(2)主机安全防护1套≥150点(3)主机安全防护1套≥50点2自身安全要求(1)具有自我保护机制,对产品自身文件、重要敏感信息进行安全隔离保护,禁止对产品自身的非法操作;(2)具备防非法卸载的能力.
3系统兼容性支持操作系统应包含:主流Windows、Linux、Unix等系统.
4身份鉴别要求提供基于硬件USB-KEY的用户身份标识,支持将硬件USB-KEY与用户身份、服务器平台进行绑定,控制用户登录权限;5本地双因素认证:用户在本地运维节点时,需要将硬件USB-KEY插入USB口,由本地身份鉴别机制进行识别,对用户名、密码、USB-KEY、pin码统一认证后才可登陆操作系统中.

6远程认证远程双因素认证:用户在远程运维节点时,需要在运维终端将硬件USB-KEY插入USB口,由远程服务器或终端身份鉴别机制进行识别,对用户名、密码、USB-KEY、pin码统一认证后才可登陆远程的操作系统中.

7USB-KEY提供拔KEY锁屏功能,当授权用户离开时拔除USB-KEY自动锁定用户工作环境.

8提供将硬件USB-KEY作为用户的主体安全标记,使用此主体安全标记实施基于用户的强制访问控制.

9执行程序控制要求(1)提供执行程序可信度量,对程序进行hash值校验,采用白名单的方式对执行程序实施可信度量,严格控制,阻止非授权程序的运行;(2)支持对执行程序白名单的添加、删除操作;(3)提供异常程序审计.
10提供对已知/未知病毒、木马、攻击程序等恶意代码的防护能力.
11提供对可信代码的防篡改保护,拒绝对可信代码的修改、删除等操作.
12提供程序安装接口,控制程序安装行为,禁止非授权的程序安装行为.
13升级接口提供软件升级接口,可通过软件升级接口实现程序的自动升级或手动升级,并将升级后的程序自动更新到白名单.

14接口提供白名单维护接口,可通过白名单维护接口实现白名单的增删改查.
15提供目录扫描接口,可通过目录扫描接口扫描绿色软件,并将绿色软件自动添加到白名单16安全标记要求提供敏感度标记;17提供可信度标记;18标记覆盖范围应包含:全部主客体.
19安全范畴要求持多个安全范畴;20应提供基于安全标记的范畴权限控制.
21文件访问控制要求(1)提供主体、客体安全标记功能:主体标记范围为用户、进程,客体标记范围为文件、目录;(2)安全标记具备唯一性,支持对安全标记的添加、删除、修改操作.
22(1)支持自定义主体标记安全级别、客体标记安全级别;(2)根据主体标记和客体标记安全级别的不同,制定强制访问控制策略,安全策略包括读、写、拒绝访问;(3)支持对强制访问控制策略的添加、修改、删除操作.
23进程强制访问控制(1)应提供进程访问文件进行强制访问控制,根据安全级别的不同,对进程访问文件制定强制访问控制策略,安全策略包括读、写、拒绝访问;(2)支持对强制访问控制策略的添加、修改、删除操作.
24移动介质控制要求Windows操作系统可支持移动介质授权管理,提供移动介质注册上报接口,移动介质在使用前须经过授权.

25支持将移动介质与用户身份进行绑定,控制移动介质的使用行为.
26系统资源监测要求应支持cpu使用率实时查询,图表展示,提供阈值报警.
27应支持内存使用率实时查询,图表展示,提供阈值报警.
28应支持网络数据发送实时查询,图表展示,提供阈值报警.
29应支持网络数据接收实时查询,图表展示,提供阈值报警.
30应支持管理中心的CPU、内存、网络、磁盘空间的实时查询,图表展示,提供阈值报警.

31应支持磁盘分区使用率实时查询,图表展示,提供阈值报警.
32应支持cpu使用率历史查询,图表展示.
33应支持内存使用率历史查询,图表展示.
34应支持网络数据发送历史查询,图表展示.
35应支持网络数据接收历史查询,图表展示.
36安全审计要求用户登录审计应包含:平台名、用户名、操作结果、时间、IP.
37文件操作审计应包含:平台名、用户名、进程名称、路径、操作、操作结果、时间.

38进程控制审计应包含:平台名、用户名、进程名称、路径、操作结果、时间.

39移动存储审计应包含:平台名、用户名、进程名称、U盘名称、路径、操作、操作结果、时间.

40策略加载审计应包含:平台名、用户名、策略类型、操作结果、时间.
41资源异常审计应包含:平台名、IP、资源类型、阈值、当前值、时间.
42管理中心自审计应包含:用户名、操作对象、操作类型、操作结果、时间、IP.

43应支持审计信息统一管理.
44应支持审计信息自动备份.
45管理功能要求采用三权分立管理模式,实现管理员职责分离,具备管理员行为的自审计.

46(1)具备服务器统一管控能力,采用B/S管理模式,能够对系统中的所有服务器进行统一策略配置;(2)支持策略实时更新、策略导入和导出功能.
47应采用加密会话的方式连接管理中心.
48在访问管理平台时,应支持对访问终端IP地址、访问时间段进行控制.
49具备系统管理功能,包括用户身份管理、平台身份管理、平台权限管理、移动介质管理等.

50(1)具备标记管理功能,提供主体、客体标记管理功能;(2)支持自定义主体安全级别、客体安全级别.
51(1)具备授权管理功能,包括用户登录权限、访问控制权限、执行程序授权等授权操作;(2)提供对授权的查询功能.
52(1)具备审计管理功能,可自定义审计策略;(2)审计信息应包括用户登录审计、文件操作审计、进程控制审计、移动存储设备审计等;(3)审计内容应包括用户、平台、时间、对象、操作结果等;(4)提供按平台、用户、操作结果、时间等条件查询审计信息的功能;(5)支持历史审计信息的导入、导出功能,可配置需要进行导出的审计类别、导出频率、导出路径等内容.

53原厂商售后服务要求投标人需要提供投标产品原厂商出具的《售后服务承诺函》终端安全防护(2套)包括医疗网终端安全防护1套(≥2500点)、办公网终端安全防护1套(≥1500点),技术参数要求如下:序号指标项指标要求1管理要求(1)具备策略级联管理功能,上级管理服务器可强制定制策略并下发给下级管理服务器;(2)下级管理服务器的各类报警和统计信息级联上报,同时支持上级直接登录下级管理服务器,以进行详细数据查询,应支持三级以上级联.

2具备服务器自我保护功能,可以防止IP占用、DDos攻击.
3授权数量(1)单独管理服务器要求达到支持≥10000台计算机终端的能力.
(2)本次配置终端数量≥2500点4资产管理具备硬件资产管理功能,能够自动获取硬件资产信息,并对资产变更信息进行报警.

5具备软件资产管理功能,能够获得计算机软件安装信息,并支持对软件的远程卸载.

6能够识别并控制经公安部许可的主流防病毒系统安装情况,并监控其运行.

7桌面防火墙具备桌面防火墙功能,实现协议、端口、IP访问控制功能.
8桌面监控具备终端非法外联行为监控功能,实时检测内部物理隔离网络用户通过调制解调器、ADSL、双网卡等设备非法外联互联网行为,并立即阻断和告警;9桌面安全具备用户口令监控功能,检测口令长度、复杂度、存留期、弱口令、Guest账号等.

10具备用户权限监控功能,检测用户/用户组权限的增加、减少、改变等,并可以提示上报.

11具备IP/MAC绑定功能,禁止终端用户修改IP地址、网关等网络通讯关键参数的功能,如用户修改这些参数可自动由系统的客户端软件将这些参数恢复等操作.

12具备禁止修改网关、禁用冗余网卡管理功能.
13具备注册表项的键名与键值的监控与保护功能,防止恶意代码的侵入、具备注册表强制修改功能.

14终端运维具备硬件接口控制功能,控制外设接口的使用,管理员启用或禁用软驱、光驱、U盘、USB接口、打印机、Model、串口、并口、1394接口、红外接口等硬件设备.

15终端管理具备远程对终端的网络数据包协议分析.
16具备远程管理功能,可获取终端进程、服务及所开放的端口等,并进行控制.

17(1)具备终端流量管理功能,对网络异常流量终端和异常连接数进行监控和控制;(2)对可疑发包(蠕虫病毒等)行为、多并发连接提供检测、报警、断网功能.

18具备终端流量统计和流量排名功能.
19具备终端文件备份功能,终端可以将指定目录下的指定文件或文件夹备份到其他终端.

20具备管理员呼叫帮助平台,终端用户可以主动请求管理员提供远程帮助.

21具备进程管理功能:支持对(指定公司名称、源文件名、产品名称、MD5探测)进程进行黑白名单的控制,黑名单内的进程自动被禁止,指定执行目录下的白名单内进程自动启动,主要支持除白名单中进程与系统进程外,不允许其他进程执行.

22主机安全审计具备对用户的网页访问行为进行控制并对用户访问的网页进行本地审计和记录上报.

23具备检测网络地址,支持IE缓存、IE历史记录、Cookie信息、收藏夹、拨号连接记录的审计和记录.

24(1)具备对终端的系统、软件和共享等目录中的文件具有保护功能,设定访问、删除、修改权限;(2)支持对设定目录文件的操作审计,包括文件创建、打印、读写、复制、改名、删除、移动等的记录,同时将信息上报管理信息库供查询;(3)支持全盘文件禁止删除,审计自定义文件扩展名.
25具备禁止、审计和记录将文件拷贝到网络盘.
26(1)具备对主机发送的邮件进行控制.
(2)审计发送邮件地址、主题、ip等信息进行控制审计和记录.
27具备对主机打印行为进行监控审计,防止非授权的信息被打印,同时可以备份打印内容.

28(1)具备文件内容涉密信息检查的功能,设定对指定目录或盘符下的指定类型文件进行内容检查,检查是否包含涉密内容,支持"或"、"与"等多中逻辑监测.

(2)支持对已删除文件进行检查.
(3)支持进程白名单、文件夹白名单,对违规内容进行相应的处理.
29具备对QQ、MSN等聊天软件的通讯记录进行审计的功能.
30具体审计用户/组权限更改,操作系统内用户/组增加和删除操作.
31(1)具备对系统日志、应用日志、安全日志审计和读取查看的功能.
32补丁与文件分发管理(1)具备补丁自动分发安装,同时支持补丁分发策略制订;(2)支持用户自定义补丁策略并自主配置分发,系统可基于客户端网络IP范围、操作系统种类、补丁类别等多种方式制订策略,策略发送至客户端后统一按策略执行应用,系统可在指定时间、指定网络范围内分发补丁.

33具备终端代理转发技术功能(即补丁可由安装完补丁的客户端转发补丁给其它客户端),控制补丁分发流量,以免占用汇聚层太大带宽,影响网络正常工作.

34(1)具备终端补丁自检测,终端用户可以在内网通过HTTP方式访问查找自身漏打补丁的详细信息,并可方便的进行补丁下载安装;(2)管理员也可远程检测终端补丁安装状况.
35具备补丁的增量更新导入.
36具备终端补丁最大连接限制和最大流量控制.
37具备补丁安装情况与未打补丁情况汇总统计.
38具备补丁内网自动测试功能,即用户可自主选定内网部分设备为补丁安装测试设备,系统将新获得的补丁自动发送给这些设备,在测试设备安装指定时间间隔后再自动分发给其他设备.

39具备普通文件分发功能,且管理员自定义分发成功的判断条件,具体包括对注册表是否写入及文件是否更新等条件进行判断.

40移动存储管理系统具备认证标签和策略相结合的方式对移动存储设备接入进行管理,实时发现并管理接入网络中的移动存储设备(如U盘、移动硬盘等).

41具备移动存储设备在格式化和重新分区时授权标签不可被擦除.
42具备标签和策略相结合的方式,对移动存储的使用权限进行控制(禁止使用、只读使用、读写使用).

43具备对移动存储介质标签进行分部门管理,打过标签的移动存储设备只能在策略指定的范围内使用.

44(1)具备将通用移动存储设备分为交换区和保密区,并可以分别设置不同的密码,以提高信息的安全性.

(2)离网之后,保密区不可见,防止保密区敏感信息泄露.
45具备移动存储介质接入行为审计,提供详细的文件操作审计记录(文件的创建、复制、删除、修改、和重命名等操作),提供详细的移动存储设备的插入和拔出动作的详细记录.

46功能要求具备U盘介质格式化授权管理,防止U盘介质非授权格式化.
47支持操作系统无法直接对U盘存储区文件进行读写,防止病毒拷入U盘,导致病毒传播.

48具备自身与主机双向身份认证,防止主观和客观的数据非法访问.
49具备高强度对称加密算法进行数据加解密,保障存储文件的高安全性.
50支持文件非顺序存储,防止对U盘存储区的结构性破坏.
51具备分发路径全程跟踪,对通过U盘的数据交换行为进行审计.
52具备审计信息记录在安全U盘本身的审计区.
53支持安全U盘在非单位机器上的读写权限控制54电子文档安全具备电子文档创建、使用、流传、归档与销毁全过程的加密保护功能.

55支持电子文档设置唯一密钥,不同单位、部门可采用不同标识.
56支持进程指纹的设置,可以防止非法篡改应用程序文件保障应用程序安全.

57支持用户灵活设定哪些应用程序使用的文件需要加密.
58支持自定义身份认证(域登录和usbkey登录等).
59支持电子文档密级的分级及不同用户管理文档密级的划分.
60支持所有文件类型的文档透明自动加解密.
61支持用户对文档操作方式、被授权者对文件打开次数、文件生命期进行授权.

62支持加密文档外发时密码和证书的双重认证.
63具备如果用户指定FTP客户端,能够实现上传和下载文档时的透明加、解密.

64支持授权文档的名称、文档作者、授权时间、授权权限、授权方式和认证方式进行审计和查询.

65支持对授权文件的操作行为进行审计,包括授权文件名、使用者、授权方式、认证方式、打开方式、对文件操作结果、操作时间等.

66支持对终端文件操作的审计,包括用户名、计算机名、应用程序名称、文件路径及名称、对文件的操作方式、操作时间.

67支持对文档打印的授权控制及监控与审计,包括打印文件的用户名、文件所在计算机名、计算机IP地址、打印结果、打印页数、打印时间和打印文档类型等.
68支持对电子文档安全管理系统登录、注销、更改登录密码等行为详细审计.

69(1)支持内部人员向管理员申请文档操作权限的行为.
(2)管理员可以审计文档管理用户名、申请权限类型、提交申请的计算机IP和提交申请的时间.
70支持用户申请加密权限、文档授权权限、文档解密权限、修改密码权限、离线使用权限等,并可以由系统自动判断是否需要管理员给予权限.

71支持管理员按公司组织结构进行用户划分,同时支持Excel批量添加组织结构和用户.
72支持文档备份、恢复功能.
73支持对打印文件水印显示信息的设定,包括阅读水印或打印水印.
74具备系统设有保护机制,用户无法自行删除注册程序或者通过恶意工具破坏软件进程.

75支持Windows2000、WindowsXP、Windows2003、WindowsVista、Windows7全系列微软操作系统.
76支持模块化的功能定制,可单独部署,也可按客户需要扩展功能.
77支持加密文件差异性实时或定时备份.
78注册管理支持自定义注册信息,要求可以定义必须填写的注册信息项,可根据需要启用/禁用自定义项.

79要求可根据需要自定义客户端注册的服务端地址,客户端可自动识别服务端信息并注册.

80要求支持根据IP、使用人、部门、注册情况、开关机情况等多种组合查询已注册的终端.

81要求必须支持针对IE、QQ登陆及弹出窗口等web形式的访问提供入网重定向提示,提示进行客户端注册.

82资产管理要求支持终端硬件资产统计和查询,统计内容应至少包含CPU、内存、硬盘等基本硬件设备信息以及光驱、显卡、鼠标、网卡、键盘等相关外设信息.

83要求支持终端软件资产统计和查询,统计内容应至少包含操作系统版本、操作系统补丁安装情况、IE版本、主机名称、网卡MAC信息以及设备内安装的应用软件使用情况.

84要求支持设备资产信息变化报警,报警未注册设备、注册程序卸载行为,实时检测硬件设备变化情况(如设备硬件变化、网络地址更改、USB设备接入等).

85必须支持对终端计算机软件安装信息的收集,包括当前软件安装信息和历史安装信息.

86身份认证要求支持本地认证系统,支持自定义本地用户和密码,支持本地认证用户自行修改密码.

87要求支持与Radius认证系统联动进行身份认证,必须支持包含PAP、EAP-MD5、MD5-CHAP等加密认证方式.

88支持与AD域服务器、LDAP服务器实现联动认证89要求支持与CA认证系统联动实现身份认证,必须支持当前主流CA厂家的认证配套流程90(1)要求支持认证超时机制,超时帐户强制自动登出,要求超时时间可以自行配置.

(2)必须支持帐户超期统一登出机制,登出时间可根据需要自行设置.
91要求支持帐户尝试登录限制,要求尝试登录次数可进行配置,尝试登录失败可锁定帐户,锁定时间可按需配置.

92要求支持帐户角色绑定功能,不同用户帐户继承所属角色的访问权限以及安检要求.

93要求支持安检规范定义配置功能,可根据角色属性定制不同的安检规范,安检规范应至少包含杀毒软件安装情况检查、补丁漏洞检查、系统共享资源检查、IE主页修改项检查、guest来宾帐户启用情况检查、远程桌面启用情况检查、系统启动项进程检查等.

94(1)要求支持安全域控制功能,可根据角色属性定制不同的安全域;(2)用户认证成功后,安全域角色控制功能自动生效,相关角色帐户只能访问指定的安全控制域.

95要求支持认证日志记录和查询功能,可根据认证帐户、认证起止日期、认证起止时间、认证动作行为以及IP地址等组合因素查询认证日志信息.

96要求支持未认证通过用户入网时进行阻断,能够提供web重定向提醒,并说明入网阻断原因.

97要求支持对身份认证通过后的用户终端进行安全检查,并对安检进度提供进度条提示,未通过安检的终端给出未通过项提示并阻断入网,同时给出修复意见和手段.

98准入控制要求支持基于源IP设置准入控制白名单,并且支持基于源IP设置准入控制流程.

99要求支持基于目的IP设置准入控制白名单,对白名单范围内的目的IP不进行准入控制.

100要求必须支持串接和旁路部署模式,支持策略路由、镜像旁路、透明串接等多种准入控制模式.

101要求支持基于IP列表和终端水印认证双重准入判断,发现采用NAT模式入网的终端并强制认证.

102要求支持对路由、无线、AP、HUB等环境下的终端实施准入控制,支持对IPHONE、IPAD等非windows操作系统的终端实施准入控制.

103要求支持采用丢包、ACL以及TCP连接干扰等方式实现准入控制104来宾控制要求支持外来终端或者访客初次入网阻断,并给出入网指导提示105要求支持外来终端或者访客自助申请上网码,只需要提供管理员要求提供的入网申请资料,便可申请上网码,要求管理员可自定义入网申请内容.

106要求支持访客自助查询上网码功能,访客提交入网资料并经管理员审批通过后,可以自助查询上网码.

107要求支持访客上网码自动分配和手动分配模式,针对手动分配模式,可提供访客申请入网邮件提醒功能.

108要求支持设置访客入网的截止时间,时间截止后自动阻断访客接入网络.

109系统监控要求支持对系统本身业务接口的连接状态以及接口速率进行监控,支持对系统本身的CPU以及内存使用率提供仪表盘式图形化实时监控数据,支持数据自动刷新.

110支持根据时间段对终端在线情况提供趋势图表111要求支持对在线终端状态提供图形化实时分析报表,分析内容包含未注册终端数、等待认证的终端数、未通过安检的终端数、等待审核的终端数等.

112要求支持分析结果深度钻取功能,对在线终端分析结果进行深度钻取获取终端的IP列表.

113要求支持终端重新注册、重新认证或者重新安检策略,并可在终端分析结果中进行设置.

114系统安全产品采用自主研发的专业实时操作系统,系统内核应该专为准入控制功能设计,便于减小系统开销,提供优异的准入控制性能,不基于任何现有公用操作系统平台(例如:windiows、linux、unix).

115要求设备提供内置旁路模块,在设备发生异常的情况下能够快速切换到Bypass模式,从而有效地保证网络链路的畅通.

116要求支持多种逃生模式,至少支持交换机策略路由逃生模式和系统一键软旁路逃生模式.

117系统管理要求支持基于https的B/S架构管理、支持基于SSH的命令行操作管理界面、支持基于serial串口的设备后台管理模式118(1)要求支持自定义系统管理员,(2)支持管理员角色定义,(3)支持三权分立的管理员角色管理,(4)支持管理员密码复杂度设置,(5)支持管理员帐户登录尝试次数限制和超时限制,其中尝试次数和时间都可以根据需要进行自定义.

119要求支持系统配置备份、导入和导出,支持一键初始化系统配置120(1)要求支持系统信息查询,查询内容应包含硬件处理器、内存、硬盘、当前登录管理员、系统时间以及系统当前已运行时长等相关信息,(2)支持查询系统软件序列号、过期时间以及当前系统的软性能参数信息.

121支持系统在线升级,支持系统使用手册在线下载122要求提供人性化的日志接口,支持记录所有的管理员操作日志,包括管理员的登录日志、系统操作日志以及各种类型的策略设置日志等信息,日志信息内容简单易懂,方便分析定位故障.

123原厂商售后服务要求投标人需要提供投标产品原厂商出具的《售后服务承诺函》防病毒(3套)包括医疗网防病毒(终端版)1套≥2500点、医疗网防病毒(主机版)1套≥36个CPU许可、设备网防病毒1套(终端版)≥100点防病毒(终端版)技术参数序号指标项指标要求1系统管理控制中心:采用B/S架构管理端,具备设备分组管理、策略制定下发、全网健康状况监测、统一杀毒、统一漏洞修复、网络流量管理、终端软件管理、硬件资产管理以及各种报表和查询等功能.

2(1)客户端:与安全控制中心通信,提供控制中心管理所需的相关数据信息;执行最终的木马病毒查杀、漏洞修复等安全操作.

(2)本次配置医疗网防病毒1套≥2500点(3)本次配置设备网防病毒1套≥100点3产品支持终端保护密码,设置密码后,终端退出或卸载杀毒、或安装控制中心,都需要输入正确的密码方可执行.

4支持网页访问部署、离线安装包部署、域推送等部署方式,可自定义部署通知邮件及部署通知公告5支持自定义默认分组的终端默认功能模块,包括产品功能模块及实用工具等6支持控制中心数据恢复与备份7病毒、恶意代码、木马防护内存防护支持内存实时监控查毒,能够自动隔离感染而暂时无法修复的文件;8启动防护支持抢先加载防毒,在系统未加载前启动文件监控,通常情况下不必重启到安全模式也能清除病毒;9注册表、引导区防护支持文件、引导区、内存、注册表、服务、进程、进出文件、目录、压缩文件、网页等恶意代码、恶意样本查杀10电子邮件防护支持电子邮件内文件检测,可清除隐藏于电子邮件计算机病毒和恶性程序;11网页防护(1)能够对网页提供安全防护,发现网页中的危险行为实时阻断;(2)能够对网页挂马进行拦截,能够自动拦截网页中的钓鱼、欺诈信息;12网络防护(1)拦截下载器自动下载木马程序;(2)拦截恶意推广程序;(3)拦截黑客远程控制本机;(4)拦截盗号木马;13嵌入式防御(1)支持用户添加嵌入杀毒的应用程序;(2)支持FlashGet、NetAnts、WinZip、WellGet、WinRAR等工具的嵌入式杀毒功能;14即时通讯防护支持检测QQ、MSN、阿里旺旺等常用聊天软件传输文件的安全性,确保传输文件不中毒;15移动设备病毒防护要求提供U盘等移动设备接入电脑自动检测功能,全面拦截和清除在移动设备接入系统可能带来的病毒木马;16局域网共享查杀能够对局域网共享文件传输进行检测和查杀;17浏览器防护支持浏览器防护,对篡改浏览器设置的恶意行为进行有效防御,并可以锁定默认浏览器设置18聊天安全防护(1)检测QQ、MSN、阿里旺旺等常用聊天软件传输文件的安全性,确保传输文件不中毒;(2)检测QQ、YY、飞信等聊天软件中对方发来网址的安全性聊天软件传输某些文件会添加".
重命名",如果文件安全,将自动去除".
重命名"19输入法防护(1)要求可以拦截伪装成输入法程序的木马;(2)要求拦截利用输入法启动的木马程序20定时查杀要求能够自定义时间、自定义扫描频率,自定义扫描类型,对终端进行定时查毒,并且可以自定义查杀病毒后的处理方式自定义;21黑白名单例外(1)支持文件与目录自定义黑白名单的方式来管理全网终端的文件;(2)文件被加入白名单,客户端不再查杀,加入黑名单,客户端不可执行此文件;22病毒查杀统计要求支持通过数字签名或者文件名的方式分别显示文件,方便管理员管理全网终端上报的文件;23支持按病毒、木马、终端等维度统计全网病毒感染状况;24要求支持对网内未知文件云查询的控制,可以选择直接连接互联网云查询中心查询,也可以选择采用私有云查杀引擎完成未知文件查询;25要求上报文件至少包括:文件名称、发现时间、鉴定结果、文件大小、数字签名和文件所属源计算机等信息26漏洞利用防御要求能够支持漏洞利用防御,尤其对通过文件漏洞(尤其是0day漏洞)的攻击行为进行有效检测与防御;27压缩包杀毒要求支持文件解压缩病毒查杀,支持对zip、rar、7z等多种格式的压缩文件查杀能力;28宏病毒查杀有针对宏病毒的专杀模块,可以提供针对宏病毒的专属解决方案;29备份区隔离区管理(1)可对备份区、隔离区的文件进行有效管理.
(2)能够对单个、指定的文件和全部文件,进行文件的删除、恢复等多项管理措施.

30敲诈者病毒防御对敲诈者病毒提供防护机制,同时提供解密工具,解密工具应为自主研发;31多杀毒引擎要求产品具备本地多引擎查杀能力,且引擎可配置;32程序自身安全要求控制中心自身具有抵抗各种渗透攻击的安全机制;33病毒库升级管理要求支持服务器端病毒库的定时更新和手动更新两种升级模式.
34要求支持客户端升级时对网络带宽的保护,可以设定服务器端最大升级带宽.

35原厂商售后服务要求投标人需要提供投标产品原厂商出具的《售后服务承诺函》防病毒(主机版)技术参数序号指标项指标要求1无代理杀毒(1)可以对虚拟机进行安全防护,杀毒引擎位于主机端,采用无代理杀毒技术;(2)本次配置主机防病毒1套≥36个CPU许可.
2可以按照虚拟机进行安全配置,无论虚拟机在什么主机上运行,以及IP改变都不影响策略.

3可以指定定期扫描周期,可以做到每天、每周或者每月扫描一次4可以关闭对某虚拟机的无代理杀毒功能5安全防护支持白名单功能6被查杀的病毒需要记录日志,日志需要记录:虚拟机名称、查杀时间、病毒名称、病毒类型、病毒文件名7可以列出Top5被感染虚拟机8可以按照恶意软件类型列出Top59日志可以以柱状图或者饼图形式呈现,譬如发现病毒最多的几台虚机柱状图10报表需要支持项目包括:文件安全事件历史、感染次数最多的虚拟机、感染次数最多的项目/主机池、感染次数最多的恶意软件类别、报表除了支持html格式外,还需要pdf和csv格式11防火墙可以针对虚拟机分别指定安全配置12可以按照IP地址、端口以及入站或者出站来配置防火墙规则13防火墙动作支持阻止、允许以及强制允许三种14可以调整防火墙的规则的优先级15防火墙日志需要记录:虚拟机名称、时间、源地址、源端口、目的地址、目的端口16报表需要支持项目包括:防火墙事件历史、防火墙阻止次数最多的虚拟机、防火墙阻止次数最多的项目/主机池、阻止次数最多的防火墙规则、报表除了支持html格式外,还需要pdf和csv格式17入侵防御可以针对虚拟机指定特定入侵防御策略18用户可以关闭入侵防御策略19策略按照严重性进行分类20策略可以按照操作系统来进行分类21可以选择使用哪些规则对虚拟机进行防御22日志需要记录:虚拟机名称、时间、配置名称、攻击类型、规则编号、严重程度、攻击的源地址、源端口、攻击的目的地址和目的端口23(1)报表需要支持项目包括:入侵防御事件历史、入侵防御次数最多的虚拟机、入侵防御次数最多的项目/主机池和阻止次数最多的入侵防御规则(2)报表除了支持html格式外,还需要pdf和csv格式24应用程序控制可以针对虚拟机指定特定应用程序工作规则25支持≥1000应用协议26可以知道阻止某些应用程序27可以强制放行某些应用程序28配置应用程序时候支持搜索功能29可以按照应用程序对流量进行统计30可以对流量按照应用程序进行排序,至少列出5个31可以对流量按照虚拟机进行排序,至少列出5个32应用程序拦截日志需包括:虚拟机名称、时间、配置名称、应用程序、源地址、源端口、目的地址、目的端口33(1)报表需要支持项目包括:应用程序控制历史、应用程序阻止次数最多的虚拟机、应用程序阻止次数最多的项目/主机池、阻止次数最多的应用程序(2)报表除了支持html格式外,还需要pdf和csv格式34其他(1)可以手动指定某台虚拟机使用指定的安全配置(2)可以从管理中心手动触发虚拟机扫描任务,并支持快速扫描和全盘扫描模式(3)虚拟机管理界面,需要列出:虚拟机的名称、虚拟机启停状态、安全防御是否开启、虚拟机当前使用的安全配置(4)支持OpenStack多租(5)支持异构虚拟化平台,即一个管理系统可以同时管理譬如CitrixXenServer和OpenStack等不同的虚拟化平台35原厂商售后服务要求投标人需要提供投标产品原厂商出具的《售后服务承诺函》办公网杀毒软件(1套)序号指标项指标要求1系统管理控制中心:采用B/S架构管理端,具备设备分组管理、策略制定下发、全网健康状况监测、统一杀毒、统一漏洞修复、网络流量管理、终端软件管理、硬件资产管理以及各种报表和查询等功能.

2(1)客户端:与安全控制中心通信,提供控制中心管理所需的相关数据信息;执行最终的木马病毒查杀、漏洞修复等安全操作.

(2)本次配置办公网防病毒1套≥800点3产品支持终端保护密码,设置密码后,终端退出或卸载杀毒、或安装控制中心,都需要输入正确的密码方可执行.

35原厂商售后服务要求投标人需要提供投标产品原厂商出具的《售后服务承诺函》集中身份管理(2套)包括医疗网集中身份管理2套.
序号指标项指标要求1管理方式管理员和用户均通过WEB方式访问集中身份管理系统.
2自身状态的监控功能包括:cpu使用情况,内存使用情况,磁盘使用情况,网卡使用情况,服务状态等.

3系统升级支持4A系统自身程序通过WEB方式升级.
4日志管理支持日志的手工备份、导出和恢复.
5主账号管理主账号的整个生命周期管理,对主账号进行增加、修改、删除及锁定、解锁等操作.

6主账号的新建和修改时,支持通过配置访问时间策略、访问地址策略,达到限制主账号只能在规定的时间段或地址段内进行资源访问.

7主账号的新建和修改时,支持通过配置访问锁定策略,达到限制主账号密码输入错误次数和锁定时间.

8主账号的新建和修改时,支持通过配置密码策略,达到指定密码有效期和限制主账号密码强度的目的.

9主账号登录4A系统后,可以自助方式修改自身账号信息,包括密码、手机、邮件等基础信息.

10支持主账号的分组管理,分组可以树形方式展现,不限制分组层级数量.
11(1)支持主账号的证书认证,可以灵活配置主账号的认证方式.
(2)集中身份管理系统上定义主账号时可以为主账号生成证书,方便证书认证模式的部署和实施.

(3)可以和其他认证方式结合,做组合认证,提高访问的安全性.
12支持主账号从AD域中抽取,可方便在与AD域进行结合认证时,主账号信息的同步.

13支持主账号基本信息、账号授权关系的导入和导出功能.
14应用系统管理能够添加、修改、删除被管理的应用系统资源.
15支持应用系统的分组管理,分组可以树形方式展现,不限制分组层级数量.

16资源类型支持主机系统、B/S应用、C/S应用等.
17对于web、专用C/S客户端程序支持以应用发布的方式进行授权和审计.
18认证管理支持证书认证、集中身份管理系统本身可以提供证书认证、并可以和现有的其他证书认证结合.

19认证方式支持与其他第三方认证方式结合,如生物特征认证、OTP认证、AD域、MAC地址、智能卡、动态令牌等.

20授权管理(1)可以将应用系统资源关联给主账号.
(2)授权给主账号的应用系统可以新增和删除.
(3)授权时可以按照树形组显示,方便选择.
21(1)授权分为4A系统管理功能授权和应用系统访问授权.
(2)内部管理功能授权可以限制到某个树形节点的范围内.
(3)应用系统授权可以授权到人,也可以授权到组.
22主账号登录后,对本主账号授权的资源只能在即符合主账号的访问时间策略、访问地址策略.

23(1)4A系统内部管理功能权限支持角色定义,角色可以针对目录树的节点定义,角色包含的权限可以自定义.

(2)自定义内容包括:分组管理权、自然人管理权、资源管理权、授权管理权、角色定义管理权、计划管理权、审计管理权等等.

24(1)4A系统自身管理权限支持灵活的授权.
(2)可以建立组,并将组的管理权限下放给下级管理员,下级管理员也可以在自己的管理组中建立子组,并下放子组的管理权.

(3)便于大型网络的权限管理和划分.
25访问控制将访问控制配置抽象成2个策略:访问时间策略、客户端地址策略.
26(1)访问时间策略可以配置成可访问时间段方式,也可以配置成不可访问时间段方式.

(2)配置时间段时可以配置日期和小时.
27客户端地址策略可以配置成可访问IP段方式,也可以配置成不可访问IP段方式.
IP段由IP和掩码构成.

28访问锁定策略可以配置访问失败锁定次数,也可以配置锁定后解锁时间.

29访问锁定策略可以建立多条,每个主账号可以应用不同的访问锁定策略.

30(1)密码策略可以配置密码长度,是否包含字母及字母的长度,是否包含数字及数字的长度,是否包含符号及符号的长度.

(2)密码策略还可以配置禁止包含的关键字符.
31审计与报表审计结果支持按照如下关键字进行查询:主账号名称、应用系统名称、资源IP、从账号名称、起始时间、终止时间.

32系统预设常用统计报表模板,可以按照预设统计报表模板,根据时间、主账号、从账号、客户端地址、资源IP地址、协议、命令关键字等条件形成统计报表,统计报表支持报表形式展现和打印.

33(1)支持对象信息报表功能,对象包括但不限于自然人、资源、从账号、角色、授权关系、策略等;(2)报表可按照时间段、操作等条件生成与排序,且可以Word、Pdf等格式导出.

34(1)支持对象变更操作报表功能,变更操作包括但不限于自然人变更、资源变更、从账号变更、角色变更、授权关系变更等.

(2)报表可按照时间段、操作等条件生成与排序,且可以Word、Pdf等格式导出.

35支持认证登录系统报表,可审计出认证登录成功、失败及总次数,并可按照时间段、操作等条件生成与排序,且可以Word、Pdf等格式导出.

36单点登录主账号WEB方式登录4A系统后,可以展现所有已经授权给自己的应用系统.

37主账号登录4A系统后,访问授权应用系统时不必再输入从账号和密码(也可手动输入账号和密码).

38其他业务数据(用户、资源、授权、策略、计划)使用LDAP(轻量级目录协议)存储.

39主账号的存放和传输过程均加密.
40支持双网卡冗余(双网卡虚拟单Ip).
41系统具有自身审计功能,能记录所有管理账户的登录、操作、退出等行为,审计记录不可删除.

42支持与外接存储设备联动,可直接将审计信息直接存储到外接存储设备上.

43原厂商售后服务要求投标人需要提供投标产品原厂商出具的《售后服务承诺函》安全管理平台(3套)包括医疗网安全管理平台2套、办公网安全管理平台1套.
序号类别指标项指标要求1功能要求基本指标(1)支持B/S模式管理安全管理系统;(2)支持SSL加密模式访问安全信息管理系统;(3)全部功能提供联机帮助文档;(4)支持多级部署.
在系统实现多级部署的情况下,可将下级管理中心的一些敏感事件上传至上级管理中心;(5)可识别、处理多种网络、安全厂家的产品日志,并列表说明;(6)支持系统配置导入导出,配置包括安全对象、列集、系统配置、模块管理、安全经验等;(7)支持自定义用户首页;2安全对象管理(1)可定义安全对象信息包括:基本信息,用户列表,安全对象变更信息,类型列表,漏洞列表,补丁列表,接口列表,硬件信息列表,软件信息列表,防病毒软件信息等;(2)可为安全对象增加自定义属性;(3)安全对象可以按业务系统、物理位置、安全对象用户(即所属人)进行分类;(4)支持安全对象按域管理,可定义安全域的机密性价值、完整性价值、保密性价值、脆弱性值、等保级别、所有者;(5)支持业务系统、物理位置、安全对象用户、安全域的增、删、改操作;(6)支持安全对象与业务系统、物理位置、安全对象用户、安全域的关联;(7)可按业务、物理位置、安全对象用户、安全域查看安全对象列表、漏洞列表、漏洞统计信息(按漏洞基本统计、按安全对象统计);(8)支持按补丁查看安全对象列表;(9)支持安全对象的查询方式:按用户基本信息、按安全对象基本信息、按漏洞信息、按补丁信息等;(10)支持安全对象的导入和导出;3用户管理(1)支持三权分立;(2)支持用户按角色管理;(3)支持用户和角色的权限管理;(4)角色的权限可控制到每个主要功能项的读、写、修改删除、执行等操作;(5)可控制每个角色显示不同的功能菜单;(6)可控制用户的登陆IP,登陆次数,有效时间等;(7)支持角色复制;(8)支持密码策略定义;4事件管理支持按预定义的字段显示事件;5支持用SQL92语言定义安全事件过滤器;6(1)安全事件的响应告警方式包括:登录显示、短消息、E-mail、SNMPTrap、声光报警、声音报警、工单处理、命令行告警、辅助决策联动命令、交换机端口启用/禁用操作、防火墙阻断、终端管理补丁升级、终端管理防火墙阻断、WINPOP等;(2)可以根据以下条件选择查看事件:时间,事件名,时间类型,目的地址,源地址,安全对象号,优先级等;(3)支持将安全事件图形化显示;7事件回放支持动画方式展示攻击事件回放;8事件统计(1)支持安全事件实时显示,统计每秒事件数目、阶段时间的事件总数目;(2)支持安全事件导出;(3)支持事件归并技术;(4)支持事件与安全文档的关联;9脆弱性管理(1)支持导入第三方漏洞扫描报告,支持:Nessus、绿盟XScan、McAfeeFoundStone、绿盟极光和榕基五种扫描结果导入;(2)支持使用"Windows检查HotFix脚本"工具检查Windows系统漏洞.
(3)支持使用问卷调查方式搜集脆弱性;(4)支持将漏洞扫描报告和安全对象关联;(5)支持安全对象弱点生命周期管理:新发现、确认、已消除、已防护;(6)支持图形化方式表现安全对象脆弱性统计报表;10实时监控(1)支持实时监控事件;(2)监视事件对象可管理人员自由选择,各种事件和过滤条件可组合在一起,形成监视事件对象;11监控画面显示模式支持:幻灯片模式,框架模式;12监控画面表现形式支持:表格、图表、树形;13可设置图表的颜色、形状、背景色、长度、宽度等;14预警(1)支持预备预警和正式预警;(2)支持手动和自动两种预警发布方式;(3)可指定预警的发送范围,设置该预警的安全对象影响范围、物理位置影响范围、业务系统影响范围;(4)预警的发送方式至少包括:E-mail、SNMPTrap、短信通知和登录显示;15知识库管理(1)支持以分组的方式对系统中的知识文章信息进行管理;(2)知识库分组包括:安全经验库、安全专家库、事故案例库、安全漏洞库、补丁库、病毒库、安全要求库、应急预案库、文档管理库、人工检查、问卷模板、事件类型;(3)支持对知识库的管理,包括:增加、删除、查询、移动、导入、导出、发布等操作;16工单管理(1)支持将需要处理的安全事件以工单的形式下发给负责人,并按照流程化管理工单;(2)可以手工创建、派发工单,也可以设定规则由系统在一定条件下自动创建、派发工单;(3)工单表项至少包括:工单名称,工单级别,当前状态,派单人,当前处理人,处理期限,处理操作,事件信息,历史处理信息等;(4)支持工单响应人在安全管理系统中,看到全部本人待处理的工单;(5)支持派单人查看跟踪工单的处理情况;(6)支持派单人取消工单、关闭工单、重新打开工单和更新工单;(7)工单处理完毕后,可将工单添加到事故案例库中;17风险管理(1)支持以仪表盘的形式显示当前风险值和历史风险平均值;(2)支持显示安全对象或安全域在最近一段时间内的风险走势;(3)支持把当前安全对象或安全域的威胁以列表的形式展示;(4)支持把当前安全对象或安全域的漏洞以列表的形式展示;(5)支持自动对超过既定阀值的风险进行报警;(6)依据风险级别以不同颜色显示在图标中;(7)支持对安全对象或安全域(包含按照业务系统、安全对象用户、物理位置的分组)不同时间的风险值进行对比;18辅助决策根据事件的信息自动匹配辅助决策,由用户决定是否对事件进行处理及如何处理;19报表管理(1)支持事件报表管理和安全对象报表管理;(2)支持按时生成报表,并自动将报表发送到负责人的邮箱中;(3)支持报表文件格式包括:HTML格式,WORD格式,EXCEL格式,PDF格式;(4)支持以任意类型事件+任意过滤条件的组合,生成报表;20关联分析(1)支持基于攻击状态机模型的关联检测技术;(2)支持图形化方式表示攻击回放;(3)支持用户自定义关联分析场景;(4)对于关联分析确认的攻击事件,采取预设响应处理;21网络管理(1)支持网络管理功能,支持的协议包括SNMPTrap、Syslog、Telnet、SSH;(2)支持Telnet、Ping、TraceRoute等辅助工具;(3)支持网络扫描,自动发现网络设备,自动绘制全网络拓扑图;(4)支持子网管理,可列表显示全部子网段;(5)支持IP管理,可列表显示已发现的全部IP地址、MAC地址、掩码等;(6)支持设备管理,可看到设备的名称、操作系统、厂商、版本、CPU使用率、内存使用率、端口、进程、存储、软件等;(7)支持远程监控交换机和路由器的端口状态,并控制打开和关闭端口.
(8)支持监控链路状态和流量信息;(9)支持VLAN管理;(10)支持网络拓扑图编辑管理;(11)支持性能管理、阀值管理;(12)支持设备告警管理;22性能要求管理服务器事件分析能力≥4000条/秒;23代理事件处理能力≥7000条/秒;24原厂商售后服务要求投标人需要提供投标产品原厂商出具的《售后服务承诺函》办公网入侵防御(2台)序号类别指标项指标要求1基本参数硬件(1)≤2U机箱;(2)设备实配≥1个扩展槽位,10/100/1000BASE-T接口≥4个2软件(1)支持多操作系统引导,出于安全性考虑,多系统需在设备启动过程中进行选择;(2)系统具有良好的可扩展性,能够扩展支持病毒防御、网站防护(WEB漏洞扫描及网页防篡改)、无线入侵防御功能;3设备部署接入模式要求支持基于源/目的地址、接口的策略路由.
4部署环境要求支持VLAN、MPLS、PPPoE网络,能够在该网络环境中检测出攻击事件.
5规则库攻击规则库要求攻击规则库单独分开,可支持手动、自动、以及离线升级.
6应用识别规则要求应用识别规则库单独分开,可支持手动、自动、以及离线升级.
7URL过滤库要求URL过滤库单独分开,可支持手动、自动、以及离线升级.
8病毒库支持病毒库,单独分开,可支持手动、自动、以及离线升级.
9入侵防御能力攻击特征库融合模式匹配、协议分析、异常检测、会话关联分析、逃逸等多种技术,准确识别入侵攻击行为,为用户提供2~7层深度入侵防御.

10攻击防御类型要求能够检测包括溢出攻击类、RPC攻击类、WEBCGI攻击类、拒绝服务类、木马类、蠕虫类、扫描类、网络访问类、HTTP攻击类、系统漏洞类等在内的超过3500种攻击事件11病毒防御能力病毒检测引擎系统应具备独立的病毒检测引擎.
12同时支持文件型和网络型病毒查杀.
13病毒特征库支持300万以上病毒检测规则.
14URL过滤URL过滤引擎系统应具备独立的URL检测过滤引擎.
15支持黑白名单,精确匹配和模糊匹配16支持阻断、URL重定向、返回默认页面、返回自定义页面等多种动作.
17支持恶意网站、违反国家政策法规、潜在不安全、浪费带宽、大众兴趣、多种论坛、行业、计算机技术、等多种分类的URL过滤.

18日志告警告警系统系统应提供全方位的包含管理、系统、策略、安全、流量等告警.
19系统应提供邮件、声音、snmp多形式的告警方式.
20管理监控管理系统支持web、命令行等多形式灵活安全策略配置.
21支持B/S或C/S管理模式,可实现多级部署.
22监控支持系统资源监视.
23支持web页面的实时显示攻击事件.
24支持设备温度监视以及报警,可以自定义温度阀值.
25原厂商售后服务要求投标人需要提供投标产品原厂商出具的《售后服务承诺函》办公网上网行为管理(2台)序号类别指标项指标要求1基本要求硬件及性能指标(1)实配端口≥4个千兆电口,≥2个千兆光口;(2)设备具有端口可扩展能力,≥2个可插拨的扩展卡槽;(3)支持旁路;(4)机身高度≤2U;(5)吞吐量≥2Gbps(6)支持路由模式、网桥模式、旁路模式;(7)并发会话数量≥300万2功能要求网络功能(1)支持多链路冗余切换;(2)支持DHCPReplay/Server;(3)支持DNS代理和DNS缓存;(4)支持负载均衡;3代理功能要求支持http代理、https透明代理、socks5代理功能4链路聚合支持链路聚合.
5高可用性系统支持HA模式.
6VPN功能支持IPsecVPN.
7负载均衡(1)支持固定指派链路的自动均衡算法;(2)支持最佳路径的多链路负载均衡算法;(3)支持多链路负载均衡;(4)支持基于轮询的多链路负载均衡算法;(5)支持基于链路的上行、下行、总流量自动均衡的多链路负载均衡算法;8告警功能必须支持详细的告警功能,包含设备状态、流量异常、违规网站、违规帖子、违规文件上传、违规邮件发送以及潜在危害的行为告警9智能DNS对于多IP的DNS解析,根据用户的来路而做出一些智能化的处理,然后把智能化判断后的IP返回给用户,而不需要用户进行选择.
10系统日志要求系统具有完整的操作命令日志、系统事件日志、用户网络日志、黑名单日志、设备状态日志、违规行为日志.

11用户管理(1)可建立与用户组织结构相同的网络组织结构,将用户划分到对应用户组中.

12流量控制(2)支持基于四层服务和根据特征识别的七层服务进行带宽控制和流量阻断;(3)能够根据IP地址/IP地址范围/IP子网/地址簿/用户组的配置来控制网络中单个用户的并发会话数;13流量统计(1)提供专有的报表中心系统;(2)支持前五十名服务流量的实时监控.
(3)支持将各服务分类统计,实时查看服务组流量监控图.
(4)支持前五十名用户的传输速率、新建会话速率、活跃会话数的统计.

14上网行为管理与审计(1)支持网页关键字过滤;(2)支持网页URL过滤;(3)支持文件传输(HTTP/FTP)类型过滤;(4)支持邮件的"发件人/主题关键字/内容关键字/类型"过滤(POP3/SMTP/WebMail);(5)可记录基于个人的行为监控,包括:网页标题记录、发贴记录、网页评论记录、在搜索引擎上的搜索记录、网页文件上传记录、URL访问记录、即时通讯的登录信息/聊天内容/文件传输记录、邮件记录(详细内容、)、FTP登录信息/上传记录/下载记录;15集中管理要求系统具有集中管理功能,支持大范围部署管理.
16配置管理(1)支持HTTP升级方式,支持自动升级;(2)能够实现系统配置、策略配置等数据的备份和恢复.
(3)支持层次化管理方式,不同的管理用户拥有不同的管理权限.
17原厂商售后服务要求投标人需要提供投标产品原厂商出具的《售后服务承诺函》办公网WEB防火墙(2台)序号类别指标项指标要求1设备基本要求专用的硬件和软件保障(1)采用专用硬件架构与专用安全操作系统,基于操作系统内核的完全检测技术;(2)硬件设备可以机架安装.
2端口数量和扩展能力设备≤2U标准高度,设备实配≥4个10/100/1000BASE-T接口,≥4个SFP插槽和≥2个10/100/1000BASE-T接口(作为HA口和管理口),≥2个SFP+插槽,≥2个可插拨的扩展卡槽,冗余电源;3性能要求最大吞吐能力≥5000Mbps4并发TCP会话数≥400万5网络部署部署方式无IP纯透明模式串联部署、旁路监测模式部署、负载均衡模式部署.
6串联部署时防护口不占用IP地址.
7串联部署时服务器可以看到真实客户端源IP,而不是WAF的业务IP地址.
8网络适应性支持VLAN划分,支持多VLAN环境下trunk的部署.
9支持链路聚合(Channel)部署,提高链路带宽;支持Trunk链路防护.
10支持自定义配置网络接口MTU.
11支持静态路由及策略路由配置.
12支持IPV6协议.
13攻击防护HTTPS支持支持HTTP/HTTPS站点防护14WEB安全防护应能识别和阻断SQL注入攻击,Cookie注入攻击,命令注入攻击.
15应能识别和阻断跨站脚本(XSS)攻击.
16支持webshell等后门上传防护、支持对中国菜刀等工具对后门连接的阻断.

17支持对appscan、awvs等扫描器的扫描防护18支持远程文件包含、本地文件包含、目录遍历、信息泄露等攻击防护19支持HTTP参数污染攻击、00截断、Struts2命令执行等常见攻击防护20支持爬虫防护且用户可以根据需要可以自定义爬虫21应能识别和阻断跨站请求伪造(CSRF)攻击22支持对身份证、信用卡、手机电话号码、座机电话号码、邮箱地址等敏感信息做检查,当检查到此类数据后可通过配置特殊字符予以替换隐藏,防止信息泄露.

23支持对URL编码、多次编码等方式绕过WAF的编码方式进行识别,防止绕过.

24检测到攻击后支持阻断.
25支持自学习建模功能,可以通过学习正常URL参数的长度、参数类型、请求方法等数据特点创建白名单模型,如果参数违反白名单模型则认为是非法流量直接阻断.

26支持虚拟补丁功能.
27可停用或启用任意一条规则.
28配置易用性可以针对服务器IP地址进行防护,而不需要配置需要防护的网站域名29支持域名自学习,可以自动学习网络中网站服务器的IP地址及此地址下的域名.

30支持针对每秒包数、每秒新建连接数、每秒并发连接数对HTTP/HTTPSFlood攻击做控制配置31网页防篡改网关型网页防篡改,可以对动态网站及静态网站文件内容进行防篡改,当检测到篡改后可以实时恢复篡改内容.

32WEB漏洞扫描支持多种WEB应用漏洞的安全扫描检测,如SQL注入、跨站脚本、目录遍历等.

33可导出web漏洞扫描报告34负载均衡能配合现有的负载均衡设备协同工作,支持任意部署,而不影响客户现有拓扑.

35系统管理系统管理支持SSL的WEB界面、SSH、Console多种方式管理.
36支持手工设置时间、本地同步时间、和NTP服务器同步时间37支持WAF配置文件导入、导出及恢复出厂配置.
38支持操作系统WEB方式升级及命令行等方式的离线升级.
39支持规则库的在线升级和离线升级40支持攻击日志邮件告警,可以定时将特定攻击类型的攻击日志间隔定一定时间后定时发送至指定邮箱.

41支持攻击报表邮件告警,可以定时将攻击报表间隔定一定时间后定时发送至指定邮箱.

42账号及认证管理支持帐号创建、帐号授权、帐号属性修改、帐号删除等账号管理功能.

43支持用户身份认证,用户切换角色时,必须进行重新认证.
44支持超时重新认证机制并能够定义用户认证尝试的最大允许失败次数.

45高可用性双机热备支持双机热备,主备模式46支持两台WAF配置同步47支持同一台WAF上下接口状态联动(一个接口down另外一个接口也同步down)48硬件断电旁路功能支持开机及断电旁路模式,光口支持外置断电旁路模块49原厂商售后服务要求投标人需要提供投标产品原厂商出具的《售后服务承诺函》办公网VPN(2台)序号类别指标项指标要求1硬件要求接口配置基于64位多核硬件架构,设备≤2U标准高度,设备实配≥6个10/100/1000BASE-T接口,≥4个SFP插槽,≥3个端口扩展卡插槽;2性能指标(1)整机吞吐量≥24Gbps(2)并发连接数≥300W(3)IPSEC最大隧道数≥20000(4)加解密吞吐率≥600Mbps(5)SSL吞吐率≥1Gbps(6)SSL并发用户数≥120003功能参数网络适应性(1)支持路由、单臂模式(2)支持基于源/目的地址、端口、协议及接口的策略路由(3)支持多线路源路返回的智能选路4PKI(1)支持内置CA,可为其他设备或移动用户签发证书,可生成、吊销、删除证书;(2)支持证书链管理;(3)内置CA支持SM2算法5SSLVPN(1)符合国密局制定的《SSLVPN技术规范》,支持国家商用密码算法SM1、SM2、SM3、SM4(2)支持WEB转发、端口转发、全网接入模式;(3)端口转发模式支持TCP、UDP协议(4)支持智能递推(5)支持Android、WindowsMobile智能终端的全网接入模式(非PPTP方式)(6)支持iOS、Android智能终端以及Windows系统的虚拟应用发布方式接入,实现数据不落地,有效保证数据安全(7)支持集群功能,集群能同时提供SSL和IPSEC客户端用户接入;6认证与授权(1)支持短信、动态令牌、硬件特征码;支持≥4因素的组合捆绑认证(用户名口令、数字证书、短信、硬件特征码)(2)支持使用第三方认证,如RADIUS、LDAP、域认证等(3)支持基于时间的访问授权7可信接入支持接入主机的安全检查,包括安装的软件、进程、端口、服务、注册表、操作系统及补丁、文件、网卡等;8IPSECVPN(1)支持ESP/AH/IKE/NATT等标准IPSEC协议,支持隧道模式、传输模式,且网关所有功能都必须是基于标准IPSEC协议(2)符合国密局制定的《IPSECVPN技术规范》,支持国家商用密码算法SM1、SM2、SM3、SM49高可用性(1)支持双机热备、负载均衡、连接保护模式(2)支持系统故障自动切换和抢占功能10原厂商售后服务要求投标人需要提供投标产品原厂商出具的《售后服务承诺函》办公网抗DDOS(2台)序号类别指标项指标要求1规格设备规格设备实配≥4个10/100/1000BASE-T接口(支持旁路),≥4个SFP插槽,≥包括2个可插拔的扩展槽,2个电口作为HA口和管理口;冗余电源;清洗性能≥10Gbps;最大保护服务器数量≥200台;小包防御能力(64字节/pps)≥1480万pps(投标人需要提供以上指标要求技术应答的技术支持资料:产品技术说明文件并加盖制造商公章)2网络支持功能模式支持在线串接、旁路检测和旁路清洗三种模式.
3部署模式支持透明部署、旁路回注、旁路下注、主备、负载、集群等4设备联动(1)支持清洗设备、检测设备的联动(2)支持第三方检测设备联动5接口类型支持二层Vlan模式、MAC子接口模式、端口聚合模式、路由模式、交换模式等6IPv6/IPv4双栈支持IPv4/IPv6双栈方式7流量检测数据采集方式可支持镜像、分光、NetFlow等方式进行数据采集8自学习(1)支持针对防护对象的自学习功能(2)支持针对学习周期自定义(3)支持学习结果自动/手动方式配置防护规则9流量异常检测支持对异常流量的检测,bps、pps、会话数等格式.
10流量清洗网络层清洗包括但不限于:IPFragmentFlood、ICMPFLOOD、UDPFLOOD、TCPSYNFLOOD、TCPACKFLOOD、TCPRSTFLOOD、TCPFINFLOOD、慢速连接耗尽等.
11HTTP协议清洗支持HTTP协议的防护,包括但不限于:HTTPGETFLOOD、HTTPPOSTFLOOD、HTTP代理攻击.
12HTTPS协议清洗支持HTTPS协议的DDOS的防护,包括但不限于:SSLDOS攻击等.
13SIP协议清洗支持SIP协议的清洗防护,包括但不限于:SIPFLOOD攻击.
14NTP协议清洗支持NTP协议的防护,包括但不限于:NTPREQUESTFLOOD、NTPREPLYFLOOD攻击等.
15DNS协议清洗支持DNS协议的防护,如:DNSQUERYFLOOD、DNSREPLYFLOOD、DNSNXDomainFLOOD、DNS投毒攻击等.
16攻击工具防护(1)支持对annoymous攻击工具的防护,包括但不限于:Ddosim、Pyloris、Slowloris、XOIC、TorsHammer、HOIC等(2)支持常见开源攻击工具的防护,Windows操作系统下包括但不限于:Ddos、Webattacker、Blast20、udpflood、CC、xdos、Xflood、Ddoser、dnddos、Hgod、Winnuke等工具;(3)Unix/linux操作系统下包括但不限于:teardrop、jolt、land、tfn2k、Stracheldraht、trinoo、Mstream等工具(4)支持对僵尸工具的防护,包括但不限于:雪花ddos、幽幽DDOS、暴风2010、剑客DDOS等工具17黑名单过滤支持基于ACL的黑名单过滤.
18特征过滤支持基于IP、TCP、UDP、ICMP、HTTP、HTTPS、DNS、SIP、NTP、OTHER等协议的自定义报文特征过滤.
19过滤器支持丢弃、丢弃+黑名单、白名单、限速的等动作.
20支持基于http协议字段的过滤,可过滤字段包括但不限于:URI、User-Agent、URI-GET、URI-POST、Referer、Cookie等.

21源认证支持对真实源的有效认证22黑白名单(1)支持静态黑白名单功能(2)支持动态黑白名单功能.
23大攻击流量迁移(1)可以将攻击流量迁移指定接口转发出去供进一步分析.
(2)支持黑洞路由配置,与对端网络设备联动,将部分大攻击流量根据目的地址迁移至黑洞业务24攻击取证抓包溯源支持抓包溯源与指纹提取,针对抓包文件可以进行攻击源IP溯源25支持抓包任务管理,可定义抓包数量、协议、源/目的IP、源/目的端口及采样比.

26(1)支持抓包文件管理和查询,可以针对防护对象、时间、类型的抓包文件查询(2)支持抓包文件下载和解析.
27抓包方式(1)自动抓包(2)手动抓包28牵引和回注路由牵引(1)支持静态路由牵引(2)支持动态路由PBR、BGP路由牵引.
29牵引可控自动流量牵引模式下,流量的牵引手动可控.
30流量回注支持策略路由(PBR)回注、GRE隧道回注、MPLSLSP回注、二层回注、MPLSVPN回注等.
31日志和报表日志本地存储支持日志本地数据库存储,设备断电日志不丢失.
32外置日志服务器支持配置多个外置日志服务器33日志传输方式支持加密、非加密方式传输34日志满额操作(1)支持滚动记录(2)支持停止写入(3)支持转储数据为多种格式,包括但不限于:csv格式、HTML格式、XML等转储格式35日志分类支持流量日志、攻击日志、牵引日志、联动日志、系统日志等等,并详细记录日志的时间、状态等36日志导出格式支持CSV、XML、HTNL等37报表格式Pdf等格式38报表类型(1)支持日报、周报、月报等(2)支持可针对防护对象、报表内容、报表导出条件等可选择性导出报表.

39报表发送方式(1)支持报表定时自动发送(2)手动发送方式.
40数据分析威胁分析支持对防护对象、攻击IP、攻击事件的top10排名的分析表41流量分析支持对防护对象、目的IP的top10排名的分析表42连接分析支持对连接状态、协议、ip、端口等43分析数据格式支持柱状图、饼状图、折线图、文字描述等44实时监控(1)支持防护对象流量TopN排名(2)支持IP流量TopN排名(3)支持防护对象攻击TopN排名(4)支持设备状态信息(cpu利用率,内存利用率,磁盘利用率)的图表显示,并且可以详细设置报警阀值(5)支持链路流量的实时显示(6)支持针对攻击威胁分析的实时记录(7)支持对防护IP的攻击类型统计和topN排名45系统管理管理方式(1)支持基于B/S架构的管理模式(2)支持WEB、SSH、telnet等方式(3)支持https的加密的安全登陆方式46统一平台管理系统支持统一平台管理,在集群部署时支持对多台设备的集中管理、日志收集、运行状态监控、策略下发等47客户分组管理(1)支持防护主机群组管理(2)支持对不同(3)分组制定不同的防护策略、不同的过滤规则等48二级防护对象(1)针对每个分组可以纵向深层次配置不同的二级防护对象(2)针对二级防护对象可详细设置私有策略,并可以继承一级防护策略49支持SNMP支持SNMP的v1、v2、v2c、v3版本.
50告警告警内容支持针对设备管理硬件状态、系统状态、攻击信息、通讯错误信息、验证容错信息等告警信息51告警方式(1)支持邮件告警,包括但不限于:多个收件人地址、邮件主题自定义、服务器地址、服务器端口、身份认证、发件人等项的设置(2)支持声音告警,包括但不限于对声音的频率、发声长度、次数、声音间隔等的自定义(3)支持Netbios告警,包括但不限于:主机名称、地址等配置项(4)支持统一管理平台告警(5)支持SNMP方式告警52运维辅助系统诊断支持Ping、traceroute、tcp、http、dns等命令自检测53网络终端支持内置网络终端登录54原厂商售后服务要求投标人需要提供投标产品原厂商出具的《售后服务承诺函》办公网带宽管理(2台)序号类别指标项指标要求1基本要求接口机箱高度≤2U,设备实配≥2个扩展槽位,≥6个10/100/1000BASE-T接口,≥4个SFP插槽,标配冗余电源,支持断电旁路;2性能最大并发连接数≥1000万,吞吐量≥8Gbps;3系统部署要求支持网桥、路由、旁路模式部署要求路由模式部署4要求支持端口镜像功能可将具体应用镜像到设备另外的接口上供审计使用;5接入功能支持PPPOEserverPPPOE旁路系统能够支持支持PPPOEserver、PPPOE旁路功能,实现和AAA认证计费对接6链路负载均衡链路负载类型支持源地址、目的地址、源地址+目的地址、地址+协议等7应用流量控制要求支持带宽预留、带宽保障、带宽限速功能(1)要求支持基于应用协议/协议组和IP/IP群组的速率控制;(2)要求支持单通道中的优先级保障;(3)要求支持单IP动态限速功能;(4)要求支持基于的时间管理控制;8要求支持数据通道功能,可自动释放未使用带宽数据通道功能:可以对某类应用做总体带宽限速或者对某段IP做总流量限速9要求支持出口线路自动加速、减速功能;根据设置的带宽高低阀值系统自动对内网用户急加减速,从而充分利用出口带宽10要求支持多条链接接入时,可按照应用进行流量牵引分流功能(1)系统对P2P、游戏、网络视频、WEB视频四类应用牵引成功率高达95%以上,对其他协议不适合牵引;(2)要求支持基于应用协议的分流:以"流量代理"方式,将指定类型协议经由指定出口转发至外网,实现基于应用的负载均衡11连接数控制要求支持针对应用协议、协议组、IP的TCP、UDP和总并发连接数控制(1)支持限制内网IP到外网特定目标地址的每IP的TCP、UDP和总的应用并发连接数控制,以保护某些易受攻击的外部服务器(2)支持根据数据链路、外网地址、内网地址和应用协议/协议组等参数条件组合的连接数控制策略(3)支持根据时间和在线IP数等参数自动调用相应策略组12HTTP访问控制要求支持URL访问控制、URL重定向、Web信息提示功能(1)通过该功能可以封堵购物网站类;(2)要求支持(HTTP方式)文件类型的上传、下载访问控制;支持以文件上传URL库功能;(3)可根据内网IP、文件类型、上传、下载、目标URL等参数设置控制策略;(4)要求可根据时间段等参数启用相应http控制策略13IPID轨迹检测要求对小路由器、代理等共享环境用户进行管控一拖N设备提供管控功能要求对移动类终端进行识别监控和封堵.
14DNS管控要求支持DNS劫持、DNS请求丢弃功能;支持DNS劫持、DNS请求丢弃功能;15IP/MAC管控支持IP/MAC绑定支持二层网络的IP+MAC绑定16WEB认证功能支持"本地认证"、LDAP认证、RADIUS认证及其他第三方认证等(1)支持设置"直通IP"、"强制下线"、"停止帐号"等动作;(1)最大支持用户认证数≥1.
4万用户;17流量监控分析要求实时显示各协议、IP的当前速率、连接数等统计信息,并自动刷新;要求支持TOPN及所有应用、所有用户排序;(1)除了管理口外,其余端口均可做流量监控端口;(2)可提供最近一天、最近一周和最近一月的流量趋势图表;(3)流量及连接数的趋势图;可根据应用速率、上下行和总流量、连接数等条件进行排序;要求可实时显示某个IP流量速率和当前各个应用的速率明细;(4)要求可实时显示某个IP的当前速率及连接明细,以便于异常流量诊断;(5)要求可提供IP对应的身份信息18集中管理日志软件支持多台设备集中流量监控和日志收集功能要求支持多台设备的流量集中监控;19日志支持流量日志、应用日志、事件日志等、支持不同运营商目标地址的流量流向数据统计要求能根据指定时段统计用户应用行为的分布、上行、下行、总流量、并发连接数、IP流量趋势统计20报表报表导出可以根据网段ip、时间、应用生成报表并用PDF格式导出21管理方式要求支持https和SSH方式管理设备界面支持多种浏览器B/S架构管理22可靠性方面支持旁路功能要求支持开/关机旁路、系统旁路;23原厂商售后服务要求投标人需要提供投标产品原厂商出具的《售后服务承诺函》项目管理要求投标人应给出包括项目管理、人员安排、施工进度、系统规划和安装操作在内的项目详细实施方案,其中安装实施中对于设备部署要求提供文字说明和图示说明.
深入了解招标人系统需求,充分论证项目实施中潜在的风险,制定出有效应对措施,并说明实施过程中的风险管理机制.

对项目阶段做出划分,说明阶段任务与交付物,并结合阶段的划分,对总体项目进度做出规划.
投标人应完成的各种阶段交付物必须经过招标人确认接收.
在项目范围和技术方案不发生变化的情况下,投标人应保证在投标文件承诺的时间内完成该项目.

项目质量对于项目建设至关重要,投标人应建立切实可行的质量保证体系,以确保交付质量和维护质量.
保证项目过程的透明化,接受招标人的监督,从而降低风险,保证项目实施质量.

项目管理团队要求项目组织及人员投标人应提供其项目团队管理的详细组织架构、职员姓名、职务、专职及职员关系,要清楚显示将不同组别联系起来的个人及责任方向.
投标人应提供全部管理及技术人员的姓名、资历及到目前为止的履历.
这些人员应全职受雇于该项目.

投标人的项目管理组织中应至少包括项目经理、技术负责人、文档资料管理人员、专职质量保证人员等.
其中技术负责人应为网络安全设备负责人员.
项目团队人数不少于5人,并至少有3名及以上人员具备IT服务(ITSS)证书.

项目经理要求近5年(2012年1月至本此采购活动招标公告发布前,以合同签订日期为准)至少有3个网络安全系统集成项目建设经验;具备由中国电子信息行业联合会颁发的高级项目经理证书;要专职于本项目,履行合同内应尽的责任,由任职开始,直至质保期结束,投标人需要提供承诺书.

技术负责人要求网络安全系统负责人近5年(2012年1月至本此采购活动招标公告发布前,以合同签订日期为准)至少有1项网络安全系统建设项目;投标人不得随意更换项目管理人员,若确实需更换人员时,应提前七天申请报招标人批准,申请应提出同等或更高资历的替换人员名单.

招标人同意投标人不得更换项目经理及主要技术人员,招标人对投标人擅自更换项目经理及主要技术人员的行为将予以严厉的处罚.
为了项目的最佳实施,招标人有权要求撤换项目经理.

如招标人认为项目管理人员不能胜任其工作责任,招标人有权向投标人提出更换人员的要求.
投标人应在10天内选派资历和经验能被招标人认可的人员接替工作.

系统验收(采购标的的验收标准)总体要求以下内容投标人可根据本次项目实际情况做详细说明.
1、招标内容均包括设备采购及安装.
2、投标人需按招标文件规定的技术要求提供产品,产品必须按相应的国际标准和中国政府国家标准及有关政府部门的规范完成制造和安装.

3、投标产品运抵招标人指定现场后,招标人与投标人共同开箱验货,验货结果须经双方认可.

4、设备安装完成后,经招标人验收,达到本招标文件中的各项技术指标和该设备的产品标准,并满足安全使用防护要求的,方可验收.

5、项目完成后,按双方签订的合同进行最终验收,验收合格后,招标人会签署最终验收报告.

6、投标人需保证投标产品配置的完整性,能满足产品全部功能的使用,备品、备件、随机工具和相关技术资料齐全.

7、根据设备配置情况提供满足项目实施要求的光纤跳线、网线和电源线缆和扎线带等配套辅材,由此产生的一切费用由投标人承担.
需满足所有网络安全设备在医院的部署要求.

8、本项目是市政府重点工程项目,为确保天坛医院新院区在市政府规定的期限内开业,投标人应精心组织设备供应和增加安装调试人员数量,尽量缩短工期.

交付要求(采购项目交付或者实施的时间和地点)投标人应在招标文件规定时间内,将招标人要求范围内的全部工作完成.
在通过双方认可的验收后,将全部交付成果和资料提交给招标人.
本项目交付要求包括:1、满足本项目目标和要求的、完整的、可最终良好运行的网络安全系统.

2、确保系统正常运行所需的管理、运营及维护技术文件.
3、要求投标人应保证在合同签署后45个日历日内完成设备到货、安装及调试等项目实施工作并具备初验条件.

4、项目实施地点为北京天坛医院新院区.
系统初验投标人在完成项目系统建设并经过测试后,由投标人提出书面初验申请,招标人在监理签署同意初验意见后,成立项目初验小组,由招标人、监理单位、投标人等组成.
对项目进行初验.
初验依据是招标文件技术部分、项目实施方案、测试报告.
初验前投标人必须提供完整的项目文档.

系统试运行初验合格后,经招标人同意,系统进入试运行阶段,试运行周期3个月.
投标人要按招标人要求提供培训和技术支持,保证用户能够正确理解和使用系统;投标人必须对试运行中出现的任何问题及招标人提出的修改意见做出响应,并提交解决方案,在招标人确认后实施.
试运行期间如出现重大故障,则试运行期从故障排除之日起重新计算.

系统终验在试运行结束后,由投标人提出项目书面终验申请,招标人在监理签署同意终验意见后,成立项目终验小组,由招标人、监理单位、投标人等组成,对项目进行终验.
终验依据是招标文件、投标文件、采购合同、试运行报告、用户意见.

培训及文档(采购标的的其他技术、服务等要求)培训内容投标人应负责招标人技术人员和管理人员的技术培训,培训内容包括两个层面:1)硬件操作培训:对系统管理人员进行的硬件设备日常操作的培训;2)系统技术培训:对系统管理人员进行的系统操作和维护的技术培训;投标人技术人员应向招标人详细解释有关技术文件、操作维护手册、系统特性,并回答和解决由招标人技术人员提出的有关合同范围内的问题.

招标人将有权委派技术人员直接参加本项目建设的全过程.
投标人有责任和义务对这些技术人员进行培训和指导,使招标人的技术人员了解并完全掌握系统的核心技术和程序的细节.

培训方式现场实施培训培训地点:实施现场.
培训时间:项目实施过程中培训人数:现场人数≥3人培训费用:所有费用由投标人承担.
培训内容包括:设备和系统使用培训、现场的实践技能培训等.
集中专业培训培训地点:招标人指定地点培训时间:≥3天培训人数:人数≥5人培训费用:所有费用由投标人承担.
培训内容包括:设备和系统使用培训、现场的实践技能培训等.
培训方案1、投标人应详细制定人员培训方案,培训方案应包括培训目的、培训时间安排、人数、次数、教材编写(列出培训教材基本内容)、培训课程(包括课程介绍)、培训师资情况(包括教师简历)、培训组织方式等.

2、投标人应指定完善的培训体系,完成对招标人技术人员、系统管理员、系统实施人员、最终用户等的知识转移.

3、制定完备的系统操作管理流程、管理制度等规范性文件,并协助完成相关的培训实施.

4、保证招标人技术管理人员了解项目相关设备的使用方法,能够熟练地对系统进行管理和维护,并且能够解决日常运行中可能出现的常见问题.

5、招标人有权对投标人提出的培训方案和培训计划进行选择和调整.
6、对于提供的所有培训,必须保证师资力量,主要培训教员应有相应的专业资格和实际工作经历.

售后服务(采购标的需满足的服务标准、期限、效率等要求)投标人应说明本项目的技术维护队伍和实施组织方式、服务模式,以及售后服务的开展方式.
投标人应说明各种服务模式的响应时间,现场服务说明到达客户现场的时间.
投标人至少提供1年1人驻场服务.

本项目质量保证期(保修期)为整个系统终验合格后:硬件产品要求原厂提供质量保证期(保修期)至少36个月;安全产品特征库、规则库和病毒库等软件升级服务期至少36个月;其他软件产品服务期至少36个月.
质量保证期过后整个系统的年度售后服务费用不超过本项目合同金额的5%.

具体金额双方商定.
在本项目质量保证期(保修期)内,投标人应保证免费提供合同项下的软硬件产品的维护、升级、更换等,并给予技术指导和必要的论证.
由投标人技术人员给予的技术指导应是正确的,重要的技术指导应记录在工作日记中.
投标人提供的软硬件升级不应造成本系统功能和性能的下降,并应向招标人提供相应的新版本说明书及相关技术文档.

因投标人设计不良而出现错误或发生故障,投标人在收到通知后,应尽快指派合格的技术人员提供免费技术响应,解决问题.

为落实政府采购政策需满足的要求促进中小企业发展政策:根据《政府采购促进中小企业发展暂行办法》规定,本项目投标人为小型或微型企业且所投产品为小型或微型企业生产的,投标人和产品制造商应出具招标文件要求的《中小企业声明函》给予证明,否则评标时不予认可.
投标人和产品制造商应对提交的中小企业声明函的真实性负责,提交的中小企业声明函不真实的,应承担相应的法律责任.

监狱企业扶持政策:投标人如为监狱企业将视同为小型或微型企业,且所投产品为小型或微型企业生产的,应提供由省级以上监狱管理局、戒毒管理局(含新疆生产建设兵团)出具的属于监狱企业的证明文件.
投标人应对提交的属于监狱企业的证明文件的真实性负责,提交的监狱企业的证明文件不真实的,应承担相应的法律责任.

展开全文