支持shopex虚拟主机

3河池市人民医院网络安全设备采购项目需求参数序号货物名称数量技术参数及性能(配置)要求1WEB应用防火墙1套性能指标要求1.
产品应采用1U标准19"机架式硬件平台,≥4个千兆电口,≥1个接口扩展插槽.
产品至少提供2路web应用防护能力;1个专用以太网管理口,1个专用管理串口,硬盘不少于1TB;2.
产品吞吐量(512字节)≥2.
8Gbps;最低应用层处理能力≥800Mbps;3.
要求提供产品原生产厂家三年免费售后服务,免费售后维护服务含软硬件维护和系统软件、规则库、特征库升级服务,请详细说明售后服务的内容.

二、功能指标要求1.
支持HTTP1.
0/1.
1,且可根据现网环境配置协议降级;2.
支持基于规则体系构建黑名单安全策略;支持基于智能用户行为识别的动态防护机制;支持自学习白名单机制.
产品自学习应该能够支持host,url,httpmethod,请求响应码,请求参数名称及其对应的值,cookie参数名称及其对应值,refer等信息;(请提供产品功能界面截图)3.
基于机器学习和语义分析的智能检测引擎,提升SQLi和XSS检测精度;4.
可根据已知自身业务地理分布的客户,对特定区域访问进行控制,有效拦截地域性的攻击;5.
系统提供可配置的内置规则;且支持自定义规则,规则属性要求支持"检测方向(请求或响应)"、"检测对象(URI/URI-path/Host/参数名/参数/Header-name/Header/Cookie名/Version/请求方法/Request-Body)"、匹配操作、特征签名等丰富要素;6.
支持基于五元组(源IP地址、目的IP地址、源端口、目的端口、协议类型)及接口的网络层访问控制功能;7.
支持对HTTP协议合法性进行验证,提供HTTP协议防护功能,支持对HTTP协议的URI、HOST、UA、Cookie、Referer、Content、Accept、Range、其他头部和参数在内的元素、参数进行检测与处理.
且支持非法编码和解码的灵活控制与处理;8.
支持针对主流Web服务器及插件的已知漏洞防护.
Web服务器应覆盖主流服务器:apache、tomcat、lightpd、NGINX、IIS等,插件应覆盖:dedecms、phpmyadmin、PHPWind、shopex、discuz、ecshop、vbulletin、wordpress等,提供Java反序列化漏洞(Jboss)防护插件;9.
支持HTTP访问控制功能,可以提供针对HTTP元素和客户端的组合访问控制策略.
支持对多种HTTP方法执行访问控制,包括:GET、POST、HEAD、PUT、DELETE、MKCOL、COPY、MOVE、OPTIONS、PROPFIND、PROPPATCH、LOCK、UNLOCKTRACE、SEARCH、CONNECT;10.
支持对注入(包括SQL注入、LDAP注入、XPATH注入及命令行注入)、XSS、SSI指令、路径穿越、远程文件包含、WebShell防护;11.
支持CSRF(跨站请求伪造)防护;12.
支持非法文件上传防护,有效识别文件上传行为,并对上传行为的内容做安全检测,可以根据需要,禁止上传以下文件类型:PE(windowsExecutableFile)、ELF(linuxExecutableFile)、PHPwebshell、Linuxshell、Powershell(windowsScriptFile)、Javashell、Aspshell、Perlshell、Pythonshell及Rubyshell;(请提供产品功能界面截图)13.
支持非法下载防护,可以根据文件大小、MIME类型及文件扩展名灵活定义下载限制策略,限制用户非法获取网站的关键数据(比如数据库文件,配置文件等);14.
支持Cookie安全机制,包括Cookie加密和Cookie签名的防护算法.
支持过期兼容时间配置以及*配置;(请提供产品功能界面截图)15.
支持暴力破解防护,可针对指定URL进行暴力破解防护,支持多种方式的登陆,支持referer检测,支持阈值和检测周期的设置;(请提供产品功能界面截图)16.
支持敏感信息过滤,对用户的个人隐私信息(信用卡卡号、手机号、身份证号码)泄露进行检测、阻断或替换;17.
支持XML基础校验,包括最大树深度、元素名长度、元素个数、子节点个数等参数配置.
支持Schema校验,支持SOAP校验;(请提供产品功能界面截图)18.
基于专利技术实现的Web扫描防护,支持以统计算法分析扫描行为的扫描防护;19.
可根据会话标识、浏览器标识进行会话跟踪,还原攻击场景;20.
提供默认策略模板,方便客户快速对站点组及虚拟站点进行web安全防护策略配置.
支持严格模板、标准模板及宽松模板;21.
支持多达七种的防护动作,包括了放过、阻断、接受、重定向、伪装、清除和替换.
可针对不同安全风险提供多种可选方案;(请提供产品功能界面截图)22.
支持对攻击源地址的智能阻断,支持永久封禁或者自定义IP封禁时间(秒/分钟/小时),并且可以手工解除解禁;23.
支持透明在线部署,不更改网络或网站配置,且提供完整安全防护功能(如HTTPS防护、Cookie安全、CSRF防护、敏感信息过滤等);24.
支持旁路部署,支持流量牵引、二层回注、跨接回注及PBR回注方式;25.
支持紧急模式,可配置并发连接数阈值,当并发连接数超过设置阀值时,WAF自动进入紧急模式,已经代理的连接正常代理,对新增的请求不进行代理,直接转发,防止WAF成为访问瓶颈.
当连接数恢复正常时,自动退出紧急模式;(请提供产品功能界面截图)三、产品及产品生产厂商资质要求1.
产品取得中华人民共和国公安部的《计算机信息系统安全专用产品销售许可证》,请提供证书复印件.
2.
产品获得中国信息安全测评中心颁发的《国家信息安全测评信息技术产品安全测评证书(EAL3+级)》,请提供证书复印件.

3.
产品生产厂商须获得由中国信息安全认证中心颁发的《信息安全服务资质认证证书----一级应急处理服务资质》证书,请提供证书复印件.

4.
产品生产厂商须获得中国信息安全测评中心颁发的《国家信息安全测评信息安全服务资质》(安全工程类三级)证书,请提供证书复印件.
5.
产品生产厂商须在信息安全领域有着丰富的经验与先进的技术,具备对操作系统、应用系统或网络设备的漏洞进行发现、验证的能力.
要求厂商自己发现的安全漏洞超过30个,并在CVE官网上能查询到相关漏洞信息,请提供CVE官方链接以及查询结果截图.

6.
为便于后续的服务,要求产品生产厂商须在广西当地有常驻办事处,当地办事处须具备漏洞研究修复能力,提供广西当地办事处的国家计算机网络应急技术处理协调中心提供的漏洞研究证明(CNVD)证书复印件.

2漏洞扫描系统1套性能指标要求1.
产品应采用1U标准19"机架式硬件平台,具有至少4个100/1000M电口工作口,4个千兆SFP插槽(不含SFP模块),要求具有一个专用RJ45配置串口.

2.
扫描器支持IPv4和IPv6的不同协议部署,最大并发扫描数主机不低于30个IP,扫描速度要求不低于5IP/分钟;授权支持512个IP地址或域名扫描,提供1路扫描授权.
支持WEB应用漏洞扫描模块.

3.
要求提供产品原生产厂家的三年免费售后服务,免费售后维护服务含软硬件维护和系统软件、规则库、特征库升级服务,请详细说明售后服务的内容.
产品的安装、培训由原厂商工程师完成实施,并提供原厂商工程师的现场技术支持.

二、功能指标要求1.
能够采用多种不同的方式自动发现网络资产,可以灵活配置资产发现所用技术手段,同时能够将资产的重要性量化,并且能够将资产节点和对应责任人相关联.

2.
能够把资产管理和组织结构或者网络拓扑结构紧密结合;支持IP地址、域名和资产树等多种资产管理方式;支持通过Excel等文件将地址导入到资产树功能.

3.
可以通过多种维度搜索并定位资产,包括并不限于:节点或设备名称、资产IP范围、资产管理员、资产操作系统类型、资产风险等级、漏洞名称、开放的端口、资产banner信息等.

4.
提供高级漏洞模板过滤器,支持将符合筛选条件的漏洞自动加入到自定义漏洞模板中,及后续插件升级包中的漏洞也可以自动加入到模板中.

5.
产品支持扫描主流虚拟机管理系统的安全漏洞,如:VMWareESX/ESXi.
6.
支持扫描国产操作系统、应用及软件的安全漏洞,如红旗、麒麟、起点操作系统.

7.
内置不同的策略模板如针对Unix、Windows服务器,便于用户定制扫描策略;用户可定义扫描范围,扫描策略;支持自动模板匹配技术.

8.
产品具备单独口令猜测扫描任务,支持多种口令猜测方式,包括利用SMB、TELNET、FTP、SSH、POP3、TOMCAT、SQLSERVER、MYSQL、ORACLE、SYBASE、DB2、SNMP等协议进行口令猜测,允许外挂用户提供的用户名字典、密码字典和用户名密码组合字典.

9.
支持扫描时间段控制,只在指定时间段内执行任务,未完成任务在下一时间段自动继续执行.
(请提供产品界面截图)10.
支持立即执行、定时执行、周期执行扫描任务,自定义的周期时间可精确至每*月第*个星期*的*点*分.

11.
支持专门针对已有攻击利用代码的漏洞检测,检测用户资产是否存在可利用的漏洞.

12.
漏洞知识库漏洞信息大于40000条,提供详细的漏洞描述和对应的解决方案描述;漏洞知识库与CVE、CNCVE、CNNVD、CNVD等主流标准兼容,并提供CVECompatible证书.
13.
支持对多个扫描任务并发执行,支持多任务自动调度.
支持定期扫描与周期扫描(周期扫描可细化到隔天、隔周、隔月).
14.
支持复用已有任务配置用于新的扫描任务.
15.
系统提供对资产风险的多次分析能力,能有效地分析网络整体和主机的漏洞分布和风险的趋势.
(请提供产品界面截图)16.
支持自定义风险值计算标准配置,可对主机风险等级评定标准和网络风险等级评定标准进行自定义.
(请提供产品界面截图)17.
产品提供备份恢复机制,能够对扫描结果、日志、扫描模板、参数集等配置文件进行导出和导入操作;能够对系统创建还原点对系统进行备份和还原.

18.
产品能够通过风险管理功能,在系统自动发给主机管理员的邮件中附带配置WSUS的注册表文件,用户能够非常容易地将对应的补丁安装策略执行,从而实现和微软WSUS系统的联动.

19.
产品支持通过多种维度对漏洞进行检索,包括:CVEID、BUGTRAQID、CNCVEID、CNVDID、CNNVDID、MS编号、风险等级、漏洞描述、是否为危险插件、漏洞发布日期等信息.

20.
支持高级数据分析,可对同一IP的两次扫描结果进行风险对比分析,并可在线查看同一IP的多次历史扫描结果.
(请提供产品界面截图)三、产品及产品生产厂商资质要求1.
产品需获得中华人民共和国公安部的《计算机信息系统安全专用产品销售许可证》,请提供证书复印件.
2.
产品获得中国信息安全测评中心颁发的《国家信息安全测评信息技术产品安全测评证书(EAL3+级)》,请提供证书复印件.

3.
产品获得国家保密科技测评中心颁发的《涉密信息系统产品检测证书》,请提供证书复印件.

4.
产品生产厂商须获得中国信息安全测评中心颁发的《国家信息安全测评信息安全服务资质证书》(安全工程类三级),请提供证书复印件.

5.
产品生产厂商须具备国家计算机网络应急技术处理协调中心颁发的《网络安全应急服务支撑单位(国家级)》证书,请提供证书复印件.

6.
产品生产厂商须在信息安全领域有着丰富的经验与先进的技术,具备对操作系统、应用系统或网络设备的漏洞进行发现、验证的能力.
要求厂商自己发现的安全漏洞超过30个,并在CVE官网上能查询到相关漏洞信息,请提供CVE官方链接以及查询结果截图.

7.
要求产品生产厂商须在广西当地有常驻办事处,当地办事处须具备漏洞研究修复能力,提供广西当地办事处的国家计算机网络应急技术处理协调中心提供的漏洞研究证明(CNVD)证书复印件.

3日志收集与分析系统1套1.
产品应含日志收集、存储、查询、统计分析、告警响应等功能,默认包含60个日志源许可;标准机架式2U服务器,集成IPMI管理模块,冗余电源;网口:千兆电口≥2个,万兆光口≥2个;CPU:两颗IntelSilver4114;内存:标配DDR4内存≥128G;硬盘:内置系统盘≥240GBSSD;SATA数据硬盘≥4TB.
2.
日志采集峰值:35000EPS;日志采集均值:20000EPS;综合处理峰值:35000EPS;综合处理均值:20000EPS.

3.
支持百亿级数据交互式多条件查询,百亿级数据查询响应时间小于5s;4.
产品必须支持主动、被动相结合的数据采集方式;支持Syslog、SNMPTrap、Netflow、SSH、FTP、SCP等方式进行数据采集;5.
产品必须支持对日志流量非常大但是日志重要程度低的syslog类型日志源进行限制接受速率,降低对系统资源的占用,保障重要日志的收集,支持限制速率设置为1000条/秒、3000条/秒和5000条/秒等;6.
产品应支持首页以全国地图、全球地图展示最近24小时日志访问源和访问目的的分布,能根据颜色区分访问来源和访问目的数据量大小,能够通过首页地图快速下钻查询指定省、市的日志详细信息;(请在投标文件中提供产品功能截图证明)7.
产品必须支持根据设备重要程度设置独立设置每个被采集源的数据存储时间为1个月、3个月、6个月和永久保存等参数;8.
产品必须支持安全设备、网络设备、中间件、服务器、数据库、操作系统、业务系统等不少于26类300种日志对象的日志数据采集;9.
产品必须支持自定义存储位置,支持多盘并行存储,当磁盘满后自动切换存储位置,支持磁盘阵列、SAN、NAS等外部高性能存储;10.
产品应支持日志源在线状态监测告警,实时监测日志源的可用性,可显示每个日志源采集日志的最近时间,实时展示每个日志源最近一天日志趋势变化;(请在投标文件中提供产品功能截图证明)11.
产品必须支持存储空间图像化、动态监控,超过阀值进行告警.
支持从存储空间、存储时间多维度进行动态监控;12.
产品必须内置系统运行相关告警规则,包括检测到新日志源、节点掉线、主动日志源长期不外发日志、存储上限告警、主机认证失败等,可启用/禁用规则;13.
产品必须支持手动添加日志源,管理员可以对日志源进行查看、添加、编辑、删除以及启禁用的操作;14.
产品必须支持支持邮件、声音、短信、命令行等多种告警方式;15.
产品必须支持用户按角色管理,支持三权分立;产品必须支持将日志源管理权限分配给不同的操作管理员,不同用户管理不同日志源的日志,互不干扰;16.
产品必须具有防恶意暴力破解账号与口令功能,口令错误次数可设置,超过错误次数锁定,锁定时间可设置;17.
产品必须支持将常用IP地址或IP地址网段标记为自定义名称,在日志查询界面可以在IP列中对应悬浮显示自定义名称;18.
系统支持智能报表创建,每添加一个日志源,系统自动分析日志源类型进行相应报表创建,无需人工干预,报表和资产一一对应;19.
系统内置基础安全事件关联分析规则及知识库,支持图像化、点选方式自定义关联分析规则,支持关联分析结果基于时间轴展示数据分布,能够通过时间轴进行查询分析.

20.
配套运行服务器配置:标准机架式2U服务器,集成IPMI管理模块,冗余电源;(1)网口:千兆电口≥2个,万兆光口≥2个;(2)CPU:两颗IntelSilver4114;(3)内存:标配DDR4内存≥128G;(4)硬盘:内置系统盘≥240GBSSD;SATA数据硬盘≥4TB.
4原防火墙模块升级1台本项目为下一代防火墙AF-1000-G640系列设备模块升级和软硬件维保.
1.
须提供3年软件升级服务;须提供相关产品维护性版本自动升级服务以及最新系统版本的升级授权,并结合业务需求、使用情况及新版本特性,更新到相应版本.
例如:当前版本:6.
5,由6.
5升级到8.
0,包括WEB应用防护识别库、IPS特征库、僵尸网络与病毒防护库、实时漏洞分析识别库和URL&应用识别库定期更新,保持设备具备检测防御最新威胁的能力.

2.
本地杀毒功能模块一次开通,永久有效.
须提供3年软件升级授权和病毒库更新.

3.
须提供硬件设备三年质保.
5原防火墙模块升级1台本项目为下一代防火墙AF-1000-G640系列设备模块升级和软硬件维保.
1.
须提供3年软件升级服务;须提供相关产品维护性版本自动升级服务以及最新系统版本的升级授权,并结合业务需求、使用情况及新版本特性,更新到相应版本.
例如:当前版本:6.
5,由6.
5升级到8.
0,包括WEB应用防护识别库、IPS特征库、僵尸网络与病毒防护库、实时漏洞分析识别库和URL&应用识别库定期更新,保持设备具备检测防御最新威胁的能力.

2.
本地杀毒功能模块一次开通,永久有效.
须提供3年软件升级授权和病毒库更新.

3.
须提供硬件设备三年质保.
6原防火墙模块升级1台本项目为下一代防火墙AF-1000-D420系列设备模块升级和软硬件维保.
1.
须提供3年软件升级服务;须提供相关产品维护性版本自动升级服务以及最新系统版本的升级授权,并结合业务需求、使用情况及新版本特性,更新到相应版本.
例如:当前版本:6.
5,由6.
5升级到8.
0,包括WEB应用防护识别库、IPS特征库、僵尸网络与病毒防护库、实时漏洞分析识别库和URL&应用识别库定期更新,保持设备具备检测防御最新威胁的能力.

2.
本地杀毒功能模块一次开通,永久有效.
须提供3年软件升级授权和病毒库更新.

3.
须提供硬件设备三年质保.
7原防火墙模块升级1台本项目为下一代防火墙AF-1320系列设备模块升级和软硬件维保.
1.
须提供3年软件升级服务;须提供相关产品维护性版本自动升级服务以及最新系统版本的升级授权,并结合业务需求、使用情况及新版本特性,更新到相应版本.
例如:当前版本:6.
5,由6.
5升级到8.
0,包括WEB应用防护识别库、IPS特征库、僵尸网络与病毒防护库、实时漏洞分析识别库和URL&应用识别库定期更新,保持设备具备检测防御最新威胁的能力.

2.
本地杀毒功能模块一次开通,永久有效.
须提供3年软件升级授权和病毒库更新.

3.
须提供硬件设备三年质保.
8下一代防火墙1套性能参数:1.
性能指标:网络层吞吐量≥20Gbps,应用层吞吐量≥28Gbps;并发连接数≥220W,新建连接数≥15W;2.
硬件指标:1U规格;存储≥SSD128G;单电源;接口:不少于6个千兆电口+6个万兆光口;二、功能参数:1.
支持RIPv1/v2,OSPFv2/v3,BGP等动态路由协议;支持静态路由,ECMP等价路由;支持多播/组播路由协议;2.
支持IPv4/v6NAT地址转换,支持源目的地址转换,目的地址转换和双向地址转换;支持NAT64、NAT46地址转换;3.
访问控制规则支持模拟策略匹配,输入源目的IP、端口、协议五元组信息,模拟策略匹配方式,给出最可能的匹配结果,方便排查故障,或环境部署前的调试;4.
能够识别管控的应用类型超过1200种,应用识别规则总数超过3000条;支持基于应用类型,网站类型,文件类型进行带宽分配和流量控制,支持基于时间、认证用户和VLAN进行流量控制;5.
支持Land、Smurf、Fraggle、WinNuke、PingofDeath、TearDrop、IPSpoofing攻击防护,支持SYNFlood、IPv4和IPv6ICMPFlood、UDPFlood、DNSFlood、ARPFlood攻击防护,支持IP地址扫描,端口扫描防护,支持ARP欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测;6.
支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP、POP3、RDP、Rlogin、SMB、Telnet)和数据库软件(MySQL、Oracle、MSSQL)的口令暴力破解防护功能;7.
具备对常见网络协议(SSH、FTP、RDP、VNC、Netbios)和数据(MySQL、Oracle、MSSQL)的弱密码扫描功能;8.
支持业务安全和用户安全的风险展示;支持全网实时热点事件展示;支持在同一个界面对全网所有服务器和主机的安全状况进行风险评估,支持对当前所有业务的安全防护状态进行动态保护;9.
支持资产的自动发现以及资产脆弱性和服务器开放端口的自动识别,支持包含敏感数据业务的识别;支持对检测到的攻击行为按照IP地址的地理位置信息进行威胁信息动态展示,实时监测和展示最新的攻击威胁信息;10.
支持自动生成安全风险报表,报表内容体现被保护对象的整体安全等级,发现漏洞情况以及遭受到攻击的漏洞统计,具备有效攻击行为次数统计和攻击举证;11.
支持抵御SQL注入、XSS攻击、网页木马、网站扫描、WEBSHELL、跨站请求伪造、系统命令注入、文件包含攻击、目录遍历攻击、信息泄露攻击、WEB整站系统漏洞等攻击;12.
支持企业安全能力图谱,可展示设备对资产防护的有效性,对当前的风险预测、风险防御、风险检测能力进行展示,并对当前资产安全状态进行评级;同时展示当前设备的安全能力等级,展示每日安全能力的更新情况;13.
可提供最新的威胁情报信息,能够对新爆发的流行高危漏洞进行预警和自动检测,发现问题后支持一键生成防护规则;三、服务要求提供原厂3年维保服务、提供3年特征库升级授权;9深信服威胁潜伏探针续保(深信服态势感知平台)1项本项目为下一代防火墙STA-100-B420设备软硬件维保.
1.
须提供3年软件升级服务;须提供相关产品维护性版本自动升级服务以及最新系统版本的升级授权,并结合业务需求、使用情况及新版本特性,更新到相应版本.
包含特征库升级.

2.
须提供硬件设备三年质保.
10网络接入控制系统1套1.
基本要求:(1)机架式千兆硬件平台,设备不少于2U,非Windows系统,内置自主OS安全操作系统;本次配2000个用户准入许可;(2)单台设备支持所有功能,无需再配置服务器或第三方系统软件;(3)可管理128个Vlan,支持2000终端的准入;(4)并发认证性能不低于30000次/分钟,DHCP性能要求不低于10000次/.
2.
网络准入功能:(1)网络中针对不同终端和Vlan分别能同时支持802.
1X接入控制(认证管理)、DHCP准入控制(IP地址管理)、SNMP准入控制(准入管理)、无客户端准入控制(设备管理)等功能;通过启用SNMP全局设置,对于非法接入终端,提供自动阻断(关闭端口)、告警、放行(不处理)等SNMP准入控制策略.

(2)DHCP准入为支持DHCP两次分配IP的准入控制技术,通过结合用户认证,做到根据用户认证结果分配合法IP,不需要交换机配合,并能和802.
1X接入控制和SNMP准入控制、ARP准入同时部署使用在网络中;(3)所有功能的支持,必须是交换机TRUNK中继端口单臂部署,同时管理多个虚拟网(VLAN).

(4)支持在用户终端无需安装任何客户端软件或插件的DHCP网络准入管理,支持实现HUB环境、非802.
1X交换机环境、无线胖AP环境下的合法用户接入控制与非法用户强制隔离;(5)支持设备(网络打印机、网络摄像头、医疗设备等)准入,在不能安装插件的情况下能够识别设备而非PC.

(6)支持终端/设备指纹识别技术,能够识别超过200种终端/设备/操作系统的品牌、型号、系统类型.

3.
IP地址管理:(1)全网IP地址由设备中心统一管理、统一下发,禁止用户私自设置、修改IP;(2)按照用户/用户组/角色分配IP地址,在没有用户认证之前只能分配隔离IP;(3)支持真实用户ID、终端设备ID、IP(绑定MAC)信息准确定位到网络接入设备上(包括定位到:接入交换机、交换机端口、VLAN),实现对非法接入用户通过交换机进行隔离和阻断;提供内网用户ID/设备ID/IP/接入交换机/交换机端口/VLAN信息对照关系表视图、交换机端口对照用户信息(应至少包括用户ID、设备ID、IP、MAC信息)视图,2项软件功能截图;(4)实时监测所有在线IP,能够显示当前登陆用户名、主机名、IP地址等信息、上线下线时间等信息;(5)支持IP地址规划与管理实时状态统计视图,管理员可以在一个视图界面集中掌握网络内部IP资源的使用情况,包括:DHCP可用IP、绑定IP、保留IP与网络设备占用IP状态等,用不同颜色区分;在线IP、异常IP、DHCP已分配IP、员工终端占用IP状态等,用不同图标区分;4.
威胁告警:(1)支持非法用户和终端入网告警,支持终端不合规范告警,支持用户入网不符合绑定策略告警;(2)支持ARP病毒攻击等异常情况自动告警;(3)以上告警威胁可以定位到人和交换机端口,并可自动隔离、禁止威胁入网.

5.
部署与管理:(1)设备必须在旁路单臂Trunk部署下、不改动核心和接入层交换机的配置,实现标书所有要求功能;不需要给准入设备提供交换机的管理密码.

(2)设备要求能够支持HA功能和多设备部署下的异地灾备功能;(3)部署时不断网,不影响用户当前的网络使用.
(4)提供WEB中文管理界面,支持HTTP/HTTPS/Telnet/SSH/SNMP管理.
6.
产品资质:(1)投标产品具备公安部《计算机信息系统安全专用产品销售许可证》;投标时必须提供证书复印件.

(2)投标产品具备国家保密局《网络接入类产品检测证书》;投标时必须提供证书复印件.

7.
产品服务:(1)产品供货时必须提供原厂三年原厂硬件保修服务承诺函,否则不给于验收.

11终端安全管理系统扩容400点1.
控制中心:采用B/S架构管理端,具备设备分组管理、策略制定下发、全网健康状况监测、统一杀毒、漏洞修复、运维管控以及各种报表和查询等功能;配置400个Windows客户端授权,含3年软件升级及病毒库升级服务;扩容产品必须能与原有管理平台无缝对接,否则竞标无效.

2.
客户端支持安装WindowsXP_SP3及以上/WindowsVista/Windows7/Windows8/Windows10;服务器客户端支持安装:WindowsServer2003_SP2/WindowsServer2008/WindowsServer2012/中标麒麟/Deepin/SUSELinux/RedHatLinux;3.
支持网页访问部署、离线安装包部署、域推送等部署方式,可自定义部署通知邮件及部署通知公告;4.
支持内存实时监控查毒,能够自动隔离感染而暂时无法修复的文件;5.
支持linux、国产操作系统杀毒、云桌面产品(要求提供功能界面截图);6.
支持远程协助终端、远程关机、重启终端;7.
支持自定义补丁排除名单,防止终端打补丁后造成系统或业务进程崩溃;8.
对敲诈者病毒提供防护机制,同时提供解密工具,解密工具应为自主研发;(要求提供功能界面截图);9.
支持对网页提供安全防护,发现网页中的危险行为实时阻断;能够对网页挂马进行拦截,能够自动拦截网页中的钓鱼、欺诈信息;10.
支持浏览器防护,对篡改浏览器设置的恶意行为进行有效防御,并可以锁定默认浏览器设置;11.
支持定时修复漏洞功能,同时可以设置筛选高危漏洞、软件更新、功能性补丁等修复类型;12.
支持正版软件的正版序列号的读取功能,确保软件正版化(要求提供功能界面截图);13.
支持按终端维度展示终端的硬件、软件、操作系统、网络、进程等信息;可监控CPU温度、硬盘温度和主板温度;14.
支持自动发现设备的IP-MAC地址的绑定;15.
支持冗余有线网卡、无线网卡、3G网卡、MODEM、ADSL、ISDN等设备的外联控制;违规外联发生时支持对内外网连接状态分别设置违规处理措施;16.
支持对终端各种外设(USB存储、硬盘、存储卡、光驱、打印机、扫描仪、摄像头、手机、平板等)、接口(USB口、串口、并口、1394、PCMIA)设置使用权限;17.
支持3项以上的主动防御技术;18.
支持文件解压缩病毒查杀,支持对zip、rar、7z等多种格式的压缩文件查杀能力;19.
产品具备漏洞集中修复,强制修复,自动修复;具备蓝屏修复功能(要求提供功能界面截图);20.
支持与防火墙、上网行为管理联动,达到网关边界联动防御效果(要求提供功能界面截图);21.
支持邮件报警,可以设定多种触发条件,满足条件后自动发送邮件到相关人;邮件触发条件至少包括:一定时间内的病毒数量阈值、一定时间内的未知文件数量阈值、重点关注的终端发现病毒、病毒库超期等;22.
展示指定时间段内指定终端修复漏洞,病毒查杀,木马查杀的情况.
23.
供货时必须提供原厂供货证明,否则不给于验收.
12IT安全运维管理系统扩容400点内网终端安全管理软件配置要求:1.
终端网络准入控制套件:配置400终端授权许可包含5个子模块:拓扑图自动发现及生成,终端发现及定位,终端身份认证绑定硬件、端口,802.
1x准入控制,EoU准入控制.
扩容产品必须能与原有管理平台无缝对接,否则竞标无效.

2.
终端资产管理套件:配置400终端授权许可,包含3个子模块:软硬件资产及变更管理,软件分发,远程协助.

3.
安全管理套件:配置700终端授权许可,包含5个子模块:U盘管控,终端行为管控,文件操作行为管控,系统安全检测、评估与加固,终端补丁管理二、系统功能配置要求:1.
系统具有备份和恢复机制,能够对系统运行、策略配置、IP分组、系统日志等系统信息进行备份,并且支持恢复功能.
当桌面安全管理系统服务器出现故障时,终端用户不受影响.

2.
系统具备自我保护功能,在正常模式和安全模式下客户端能自动启动,用户没有密码不能随意停止和卸载客户端.
具备特权模式,管理员能够快速进入特权模式,取消终端所有策略限制,方便管理员排除故障.

3.
系统具有良好兼容性,客户端能在WindowsXP、WindowsXPE、Windowsvista,Windows7,Windows8,Windowsserver2003,Windowsserver2008及相应的X64版本等Windows系统中安装使用.
并且能够支持liunx系统、移动终端设备;4.
支持客户端首页功能,可以展示电脑的配置、性能状态、业务公告、URL链接、注册状态、安检状态等信息;三、终端网络准入控制套件功能配置要(一)接入认证配置要求:1.
支持多种接入认证方式,能够满足不同的网络环境要求,包括LANWLANVPN广域网等:支持802.
1X的LAN接入方式的准入控制,且支持动态VLAN切换,包括工作VLAN、隔离VLAN、访客VLAN;2.
支持802.
1x下的动态下载ACL功能;能够在未安装客户端或者根据客户端的状态能够动态下载不同的ACL进行终端访问权限的控制;3.
支持远程广域网和VPN接入方式的准入控制;4.
支持802.
1x环境下的HUB接入方式的准入控制;5.
支持802.
1X的WLAN接入方式的准入控制,且无线传输支持动态密钥加密;6.
支持非802.
1x协议的准入控制方式;7.
支持至少三家以上主流无线控制器厂商的准入联动(802.
1x、portal等).
(二)准入认证凭据要求:1.
支持基于微软AD服务器的用户、密码验证;2.
支持基于LDAP服务器的用户、密码验证;3.
支持对终端的硬件ID验证;4、支持基于证书、PKI系统的验证;5.
支持准入绑定功能,用户名与mac、交换机、端口、主机码(硬件ID、软件ID)等绑定认证功能;6.
准入系统部署后,不改变网络结构,不影响网络性能.
安全性高,颗粒级控制;7.
防止通过伪造MAC、盗用用户名密码或其它方式绕开准入控制系统,直接接入网络.

8.
紧急情况,当准入控制服务器出现故障时,提供自动应急逃生功能,允许电脑设备直接接入网络;(三)访客管理要求:1.
支持访客可以分布在不同的地理位置和不同的VLAN中;2.
支持通过HTTP和POP3方式提醒访客输入访客码,或提醒未安装Agent的终端安装Agent;3.
支持访客放行管理,访客可以通过在提醒的WEB页面中输入合法访客码后访问网络,或者通过访客管理员输入管理员账号和密码予以放行;4.
支持放行的访客有时长限制,可以是小时、天数限制,放行的访客有审计纪录.

四、终端资产管理套件功能配置要求:1.
支持自动发现网络设备,自动绘出网络设备的二层连接关系;2.
支持资产变更自动报警.
当终端的软件、硬件配置发生变化,可以自动向管理员报警、提醒.

3.
能够自动已经设备的IP、MAC,甚至主机名、资产的硬件信息、历史IP地址,快速定位设备所在的位置;4.
能禁止并审计Modem、USB存储设备、可刻录光驱、GPRS、CDMA、红外、蓝牙、无线、1394、串行接口、并行接口的使用.

5.
能禁止同时使用两个以上网络端口,并可以在某些场景下进行例外设置,例如:VPN拨号情况下允许多个网络端口.

6.
文件非法外传审计与控制,能够审计及控制通过U盘、光盘、软驱、网络文件共享等方式外传文件;五、安全管理套件功能配置要求:1.
支持口令强度、屏幕保护、文件共享、非法注册表项、可疑文件、是否加入Windows域、补丁是否安装等安全内容的检查等;2.
支持防病毒软件版本、病毒特征库更新、防病毒引擎版本的检查.
3.
支持个人防火墙策略,控制终端的连入、连出通信;4.
打印控制与审计,能够对终端打印的文件名、页数、内容进行审计;5.
Web访问与上传,支持http、https的URL访问控制;6.
论坛发帖内容审计,包括文字、文件内容;7.
QQ/MSN/钉钉/微信等即时通讯软件的内容与文件外发控制与审计;8.
支持远程协助功能,包括服务端和客户端都能主动发起呼叫;9.
支持对管理员的远程会话审计功能;10.
支持NAT环境下远程协助;11.
能够依据终端设备或者用户的属性来决定是否要应用某个策略,例如:用户所在的部门,终端设备的IP、MAC等;12.
能够依据终端设备的所在的场景:在线、离线、上班、下班等条件决定终端需要应用某个安全策略.

六、服务及其他要求:1.
货物采购涉及等级保护项目范畴,投标人必须提供软件著作权登记证书、公安部销售许可证、国家保密局涉密资质;2.
提供原厂商质保一年服务(自验收合格交付使用之日起计算);3.
此项为等级保护系统关键设备,为保障项目的实施、售后服务,投标人投标时必须提供原厂商针对本项目的售后服务承诺书原件或扫描件,投标人交货时必须提供原厂商针对本项目的供货证明原件,并加盖章投标人公章,否则不予验收.

13汇聚交换机4台1.
交换容量≥336Gbps,包转发率≥120Mpps;2.
24个千兆SFP,8个10/100/1000Base-T以太网端口,4个万兆SFP+;整机36个端口支持同时工作及流量转发;3.
支持MAC地址≥16K;4.
支持ARP表项≥2K;5.
支持4K个VLAN,支持VoiceVLAN,基于端口的VLAN,基于MAC的VLAN,基于协议的VLAN;6.
支持VLAN内端口隔离;7.
支持Smartlink;8.
支持端口聚合,每个聚合组至少8个端口;9.
支持跨设备链路聚合;10.
支持RIP、RIPng、OSPF、OSPFv3路由协议;11.
支持IPv4FIB表项≥4K;12.
支持VRRP;13.
支持IGMPv1/v2/v3Snooping;14.
支持VLAN内组播转发和组播多VLAN复制;15.
支持捆绑端口的组播负载分担;16.
支持可控组播基于端口的组播流量统计;17.
支持防止DOS、ARP攻击功能、ICMP防攻击;18.
支持端口隔离、端口安全、StickyMAC;19.
支持IP/Port/MAC的绑定功能;20.
支持CPU防攻击、CPCAR限速;21.
支持DHCPSnooping,动态ARP检测,源地址认证SAVI等安全特性;22.
支持G.
8032开放环网协议;23.
支持纵向虚拟化,作为纵向子节点零配置即插即用;24.
支持对端口接收报文速率和发送报文速率进行限制;25.
支持SP、WRR、SP+WRR等队列调度算法;26.
支持基于端口的流量监管;27.
支持基于队列限速和端口整形的功能;28.
支持SNMPv1/v2/v3、Telnet、RMON;29.
支持通过命令行、Web、中文图形化配置软件等方式进行配置和管理;30.
支持Telemetry技术,配合网络分析组件通过智能故障识别算法对网络数据进行分析,精准展现网络实时状态,并能及时有效地定界故障以及定位故障发生原因,发现影响用户体验的网络问题,精准保障用户体验;31.
支持基于Python语言的开放可编程系统,可以通过Python脚本对交换机进行运维功能的编程,快速实现功能创新,实现智能化运维.

32.
支持能效以太网EEE,节能环保.
14网络安全咨询及整改服务1项1.
根据测评公司整改方案进行网络结构调整及优化,直至达到三级等保要求;2.
根据设备采购到货情况及项目整体施工要求进行安装部署调试服务,包括机房物品设备设施及主机、网络、应用和数据安全层面的设备设施安装调试部署;3.
根据整改建议书对采购人指定的被测系统相关的原有主机、网络设备和数据库系统及新增设备系统进行安全安全策略调整、优化,包括身份鉴别、访问控制、入侵防范、恶意代码防范、日志审计、资源管理、保密性管理、服务器端口等与等保要求有关的设备优化;4.
为采购人提供重要时期或因业务需要进行的系统重建、改建、扩建时的安全技术咨询服务.

5.
信息安全咨询公司必须配备cisp认证工程师全程参与本项目,工程师要掌握GB/T18336、ISO15408、ISO17799等有关信息安全标准,熟悉等级保护相关法规,具有信息安全服务的能力.

产品要求:1.
投标人所提供的投标产品必须为具备厂家合法渠道的全新正品,投标产品必须完全满足招标文件要求.
招标文件要求提供的相关证书及报告等,投标时提供相关证书复印件或扫描件.

2.
本项目核心产品:序号第8项"下一代防火墙".
3.
标注""号及"必须提供"的条款均为关键性参数或要求,投标人必须满足或优于该要求,否则投标无效.
没标注""号其它参数为一般参数,如不满足,属于负偏离,按评分标准中负偏离的扣分要求处理.

二、售后服务及其他要求:1.
产品供货时,所有产品均严格按中标供应商的响应和承诺的技术参数及性能、国家有关标准及签订的政府采购合同进行验收,达不到要求的视为产品验收不合格,直接做退货处理.

2.
产品按国家有关规定或厂家承诺实行"三包",产品质保期除特别注明外,最短不少于一年(自货物验收合格之日起计算),质保期内全免费上门维修、免费更换零部件;质保期过后提供终身维护.
厂家售后服务承诺函承诺更长质保期的,以承诺函为准.

3.
故障响应时间1小时,8小时内到达故障现场,若36小时内无法排除故障必须提供备用设备以保证系统正常运行.

4.
提供免费安装调试、免费送货上门、为采购人培训1-2名使用及维护人员,培训目标应达到基本掌握全套设备的操作,培训地点:采购人所在地.

5.
采购人在签订合同前有权要求中标供应商提供中标的产品进行整体性能检测并与响应文件核对,如设备不符合响应文件承诺的,采购人有权要求中标供应商对设备进行更换,直至设备符合招标文件承,产生的后果由中标商自己承担.

6.
签订合同时,必须一起提供序号第1、第2项、第3项产品原厂针对本项目供货证明文件和授权函原件,否则将不给与签订合同.

三、交货时间、交货地点及付款方式:1.
交货时间:自合同签订之日起30个工作日内交货并安装完成.
2.
交货地点:广西河池市采购人指定地点.
3.
付款方式:签订合同后,采购人在7个工作日内向中标供应商支付40%的合同货款;项目到货安装完中标付正常使用并验收合格后,采购人凭中标供应商开具的全额发票,在10个工作日内向中标供应商支付剩下60%的合同货款.

4.
总报价应包含设备金额、随配、备品备件、工具、货物运抵指定交货地点的各种费用、装卸费、搬运费、安装及相关材料费、调试费、检验费、培训费、售后服务、税金、利息、环境还原恢复及其它所有成本费用的总和.

5.
供应商必须在响应文件中提供理解和接受本项目"不提供虚假材料否则按虚假应标处理"的承诺函.

6.
进货渠道:必须遵守生产厂商的区域销售代理制度,以保证售后服务质量.

四、其他要求:1.
供应商在采购活动中提供任何虚假材料,以及供货时提供的产品与投标文件不一致的,其响应文件无效,将没收投标保证金,并报监管部门查处;2.
中标后,若中标供应商所供产品及售后服务不按采购文件要求履约的,将按照《中华人民共和国政府采购法》及其实施条例、《政府采购非招标采购方式管理办法》等有关规定严肃处理.