机房网络及数据安全设备采购变更公告(一)
机房网络及数据安全设备采购变更公告(一)
各投标人:
一、项目名称: (略) 络及数据安全设备采购
二、项目编号:GXDYZC-2017-(N)83
三、首次公告日期: * 日
四、更改事项、内容:1、原竞标文件:第二章 货物需求一览表,现更改为:
一、项目要求及技术需求条款 |
|||||
序号 |
采购货物名称 |
型号规格、技术参数、性能配置(不应针对特定品牌,不能根据某一品牌的 (略) 转换,不得以不合理的条款限制或者排除潜在的供应商) |
单位 |
数量 |
备 注 |
1 |
账号集中管理与审计系统 |
1、 1U机箱,单电源,4个百兆/千兆自适应电口,管理资产数≤40,并发用户数≥1000,字符连接最大并发数≤50,图形连接最大并发数≤20,日志存储空间≥500GB。 2、 终端命令操作:Telnet、SSH,远程桌面:RDP、VNC,文件上传和下载:FTP、SFTP,WEB应用协议:HTTP、HTTPS。 3、 支持Oracle、MYSQL、IBM DB2等数据库。 4、 用户帐号实名制:根据具体的维护人员添加唯一与其身份对应的用户,实现维护人员身份的唯一性管理。 5、 可以设定活动、禁用两种用户帐号状态,当用户在一定时间内连续输错密码时,可以自动禁用该用户帐号。 6、 支持静态密码、USBKEY形式双因子、AD域、LDAP域等认证方式。 7、 支持忘记密码后通过邮箱找回密码。 8、 支持三权分立的原则和要求,审计员、管理员、运维人员职、权分离。 9、 批量或定时修改设备密码,允许用户在特定的时间点对指定设备的 (略) 自动修改,修改后的设备密码可以以邮件的方式发送给密码管理员。 10、 支持域用户管理,通过加入域控制器导 (略) 登 * 管理的方式。 11、 用户帐号支持导入导出功能。 12、 能对IP (略) 扫描,识别出该IP地址段内开放的应用类型、服务、端口等信息,支持一键添加管理功能。 13、 可以精确到用户、设备、账号、协议及时间的访问控制粒度。 14、 保持用户原有运维习惯,利用已有的运维工具访问审计系统,如SecureCRT、putty、mstsc等客户端。 15、 支持零客户端方式,通过WEB界面单点登 * (略) 署额外的审计客户端。 16、 设备信息支持导入和导出功能。 17、 支持SSH、Telnet字符命令界面操作审计,支持FTP、SFTP文件上传、下载、删除、改名等操作的审计。 18、 支持VNC、RDP远程桌面操作审计。 19、 支持HTTP、HTTPS操作审计。 20、 支持FTP/SFTP方式文件上传的副本备份,可供审计员审计查看。 21、 ★支持磁盘映射方式文件上传的副本备份,可供审计员审计查看 22、 审计包括访问起始和终止时间、用户名、用户IP地址、目标设备IP、设备名称、数据库类型、操作内容等;支持操作内容录像回放。 23、 IP策略:可以允许或拒绝指定的IP登录管理界面,还可以按照用户的需要指定用户或设备在一个指定IP或IP段下才可 (略) 访问管理。 24、 密码策略:可以指定密码有效期、密码复杂度设置。 25、 防绕策略:可以指定IP或IP (略) 防绕是否阻断与是否产生告警记录的选择。 26、 ★双重防绕:防止客户端直接访问管理设备,对绕过堡垒机直接访问设备的连接及时阻断和告警。 27、 时间策略:可以指定用户或设备在一个指定的时间段内有效。可以按照用户的需要定制时间白名单。 28、 支持对ssh或telnet (略) 检测,对客户自定义的 (略) 拦截或者产生后台告警。 29、 ★支持ftp或sftp方式下对文件/文件夹标题及内容检测,及时发现敏感信息,对违规的下载或 (略) 拦截或者产生后台告警,避免重要数据泄露。 30、 ★支持对远程桌面 (略) 提取和记录,并能记录相应的时间点。 31、 ★实现对远程桌面中的客户端 (略) 识别分类等,能够识别文件的打开、删除、重命名,活动窗口的检测、菜单点击,键盘输入检测等动作。审计人员能够通过关键信息快速过滤和定位到目标位置,查看关键操作,提升审计效率。 32、 ★支持工单申请和下发,授权运维人员根据授权在指定时间内访问指定资源,申请内容包括设备IP、设备账户、运维有效期、备注事由等,运维工单可以邮件方式通知管理员。 33、 ★可通过无感知应用发 (略) 协议扩展,支持B/S和C/S方式的通用及专有的运维客户端程序,支持远程应用本地化展示、支持应用的单点登 * 功能。 34、 ★通过设备管理向导完成设备从添加到授权的步骤;通过应用管理向导可以完成应用从录制配置文件到授权的步骤。 35、 ★首页访问关系图形展示,根据用户、设备、应用的不同颜色区分,通过连接图形直观展示用户对设备或应用的访问关系。 36、 管理员可以根据设备/设备组、系统账号、时间、脚本内容(自定义),创建自动脚本任务;该任务 (略) ,执行的结果自动发送给相关管理员。 37、 ★即可以要求用户登录目标设备时,必须填写备注, (略) 运维的原因或内容等,备注信息可以在审计记录里面查看到。 38、 ★支持重要用户登 * 、核心设备访问的双人授权和高危 (略) 双人复核。 39、 支持邮件、页面、短信发送告警信息。 40、 支持Web界面下的审计回放, (略) 下的审计回放,支持离线审计播放。 41、 当硬盘可用空间少于40G时自动发送邮件。 42、 在登 * WEB界面时会弹出警告。 43、 支持通过时间、用户、账号、源IP、目标IP、 (略) 会话浏览排名统计。 44、 支持应用浏览的排名统计和播放、下载。 45、 提供拦截日志和防绕日志的查询和报表导出。 46、 提供登 * 日志、操作日志等多种报表,给企业考核提供依据。 47、 产 (略) 颁发的《计算机信息系统安全专用产品销售许可证》,具备ISCCC中国国家信息安全产品认证证书,具备中国人民 (略) 军信息安 (略) 颁发的军用信息安全产品认证证书,具备软件产品登记证报告和软件著作权证书,具备IPV6 Ready认证( (略) 商公章的复印件,原件备查)。 48、 投标人必 (略) 家针对本项目的授权及售后服务承诺。 |
套 |
1 |
|
2 |
数据库安全审计系统 |
1、 1U机箱,冗余电源,4个百兆/千兆自适应电口,最大吞吐量≥100Mbps,入库速度≥4000条/秒,最大可存储日志数量≥10亿条,日志存储空间≥500GB。 2、 独立完成审计数据采集,不依赖于数据库自身的日志系统。 3、 审计工作不影响数据库的性能、稳定性或日常管理流程。 4、 审计结果存储于独立存储空间。 5、 支持端口镜像、分光器、TAP等采集数据。 6、 (略) 署、集中式管理模式。 7、 主流数据库:oracle、SQLserver、Mysql、DB2、infomix、Sybase、CACHE、PostgreSQL、MongoDB、MariaDB;数据仓库:teradata;国产数据库:达梦、人大金仓、Oscar(神通)、南 (略) 用。 8、 ★其他数据库运维防护协议:HTTP、Telnet、SMTP、POP3、FTP、DCOM。 9、 能够基于TNS、TDS等数据库协议精确还原数据库操作语句。 10、 支持数据库操作请求、数据库操作响应实时动态审计,包括对原始SQL语句、包长度、请求时间、客户端IP地址、MAC地址、操作系统用户名、主机名、端口、使用工具、数据库用户名、终端名等数据库操作请求信息审计;支持对SQL (略) 结果、SQL (略) 时间、 (略) 数、SQL (略) 异常等数据库操作响应信息的审计。 11、 不仅支持对数据请 (略) 审计,同时支持返回结果审计,以帮助审计人员判断敏感信息泄漏情况, (略) 状态、 (略) 数、执行时长等内容,并能够根据返回结果设置审计策略。 12、 ★能够支持对调用绑定变量的数据库操作和赋值过程, (略) 关联分析。 13、 支持对超长SQL语句完整解析。 14、 ★支持角色自定义功能, (略) 属角色自定义用户权限范围,对 (略) 细粒度划分,权限可控制到菜单级。 15、 ★支持oracle、SQLserver、Mysql等数据库漏洞检测识别,能够扫描的数据库漏洞不少于1000种。 16、 数据库安全配置检测,数据库潜在弱点检测,数据库用户弱口令检测, (略) 在主机漏洞检测。 17、 ★ (略) 在主机、数 (略) (略) (略) 实时检测,支持对SQL注入、跨站脚本攻击、 (略) 等攻击方式,对任何尝试的攻击操作都会产生告警。 18、 ★黑客追踪功能:具备入侵痕迹分析、自动投放、获取目标主机静态信息、获取目标主机动态信息、监 (略) 络通信、主机类型分析、入侵痕迹提取分析、远程控制等功能,黑客追踪系统具 (略) 颁发的《软件著作权登记证书》 (略) (略) (略) 门颁发的《科技研究成果登记证书》,提供证书复印件 19、 预置telnet、FTP高危指令检测规则, (略) 在服务器的运维发生高危指令时立即告警。 20、 ★数据库访问基线自动建模,可根据访问端IP、数据库用户名等对数据库的访问规律(如:访问流量、增删改查操作量、访问的数据库、表、字段等属性)进行动态学习,建立数据库正常访问的使用基线, (略) (略) 为的判断。 21、 该模型锁定后,可以根据设 (略) 动态更新,减少管理员的手工维护工作。 22、 支持客户端、WEB应用服务器、数据库服务器(应用层、中间层、数据库层)三层架构环境全方位的三层访问审计,通过三层审计可实现数据操作原始访问者的精确定位。 23、 支持HTTP请求审计,提取URL、POST/GET值、原始客户端IP、MAC地址等。 24、 支持B/S三层审计中应用层操作与数据库层操作的自动关联,形成客户端信息、客户端访问URL、WEB服务器信息、访问sql语句、数据库服务器信息一条完整链路,实现前端用户与数据库操作的关联,精确定位原始操作者。 25、 ★支持通 (略) 署方式实现三层B/S系统100%准确关联,支持Java、PHP、.NET等探针类型。 26、 三层关联同时支持手动和自动关联,以提升关联准确度和审计人员追踪索源准确度。 27、 支持通过加密方式访问数据库的审计,包括用户名、源地址、对象(数据库服务器、库、表、存储过程、函数、包等)、目的地址、日期、时间、操作类型、操作内容和返回结果审计,支持对加密数据内容检测,及时发现敏感信息并产生后台告警。 28、 支持对触发高危操作、 (略) 定义策 (略) 阻断。 29、 规则支持导入导出功能,方便规则的迁移和配置,规则支持分组,且可以根 (略) 导出,规则必须支持优先级的调整,以防止误报、漏报等发生,支持规则的批量加载、卸载功能。 30、 精细到表、字段、具体报文内容的细粒度审计规则,实现对敏感信息的精细监控。 31、 基于IP地址、MAC地址设置规则。 32、 提供可定义作用数量动作门限,如SQL操作返回的记录数 (略) 数大于等于10000行时触发策略。 33、 提供可设定关联表数目动作门限,如SQL操作涉及表的个数大于等于4时触发策略设定。 34、 可根据SQL执行的时间长短设定规则; (略) 时长超过30 (略) 告警。 35、 可根据SQL执行的结果设定规则。 36、 支持审计数据查询,包括基本事件查询、SQL查询、HTTP查询。 37、 支持操作日志查询和操作回放。 38、 支持风险数据查询,包括风险策略日志查询、文件传输检测日志、电子邮件检测日志、TELNET检测日志、 (略) 为检测日志、阻断日志。 39、 (略) 全面安全风险扫描,然后对对存在的失败数据、违规风险、数据外泄、 (略) 为、漏洞扫 (略) 全面的分析。 40、 ★提供SQL语句的语义分析,将复杂的SQL操作语句翻译成通俗 (略) 为,直观理解操作内容。 41、 ★定期自动对数 (略) 全面多维度的安全扫描和模型分析, (略) 测定评分,对 (略) 对比分析,展示数据库的安全趋势。 42、 ★ (略) 络拓扑真实展现客户 各业务系统的逻辑架构,动态展示业务系统中应用系统、网络、数据库的性能、状态和安全告警事件。 43、 ★对敏感 (略) (略) 理,避免敏感信息在非授权人员操作或在运维阶段二次泄密。 44、 ★支持风险日志设置危险级别,风险日志信息包括用户名、源地址、对象(数据库服务器、库、表、存储过程、函数、包等)、目的地址、日期、时间、事件描述、危险级别。 45、 支持邮件、短信、SYSLOG、SNMP、FTP、屏幕告警方式、声音提醒,支持告警信息重新发送、告警信息发送测试、告警信息发送情况统计等,支持告警信息同时发送到多个管理对象。 46、 支持用户名、操作类型、IP地址、客户端工具、操作系统用户名、主机名、MAC地址、SQL语句等条件设置白名单。 47、 白名单可以应用到单条规则、单个主机或者主机群组。 48、 可以从风险日志列表中对各种级 (略) 一键白名单操作,迅速 (略) 处理。 49、 支持通过数据库操作的访问量统计、日志量对比分析、操作对象统计、访问用户数和访问IP (略) 数据库服务器的性能分析,方便审计人员实时了解数据库服务器的性能情况,为管理员优化数据库服务器提供依据。 50、 支持通过数据库操作登入登 (略) 数据库访问源的分析;使审计人员迅速掌握数据库访问者的定位和操作情况。 51、 支持通过数据库访问查询量、客户端访问工 (略) 分析,让管理人员及时掌握数各种访问方式访问数据库的情况。 52、 支持通过对数据库DCL操作、DDL操作、DML (略) 数据库特权操作分析,管理人员可以掌握特权操作是否有越权和滥用情况。 53、 支持通过对数据库登 * 失败、语句出错的情 (略) 数据库异常分析,帮助审计人员了解数据库的异常情况。 54、 支持严格按照塞班斯(SOX)法案、等级保护标准要求生成综合报告,通过一个报告即可满足相关法案检测要求,而不是简单TOP10排行的零散报表。 55、 支持按照时间曲线统计每台数据库服务器的流量、在线用户数、并发会话、在线源IP地址、DDL操作数、DML操作数、执行量最多的SQL语句等报表,为数据库管理员(DBA)优化数据库提供依据。 56、 ★支持按自定义关键字作为查询和统计条件,根据自定义关键字自动生成报表。 57、 提供缺省的报表模板库,供用户选择使用,报表能够支持Word、Excel、PDF等各种格式导出。 58、 支持点线图、柱状图、饼图等图文并茂式报表展现。 59、 ★自动识别流量中存在的数据库,也可通 (略) 络中的数据库,一键添加管理功能。 60、 ★系统支持登 * 源限制功能,WEB可以限制登 * 的IP/IP段和登 * 时间,控制台可以限制登 * 的IP和登 * 账号。 61、 ★支持通过一键 (略) 初始配置,快速完成系 (略) 署。 62、 ★支持审计数据外送与第三方日志分析平台联动,支持syslog全量外送或通 (略) 分外送,支持syslog、snmp、ftp、 trap方式。 63、 ★支持对数据库用户活动、业务系统及数据库服务器CPU、内存、文件系统、中间件性能、响应能力的监控,帮助 (略) 性能诊断。 64、 根据三权分立的原 (略) 职、权分离,对 (略) 分角色定义,如管理员只负责完成设备的初始配置,规则配置员只负责审计规则的建立,审计员只负责查看相关的审计结果及告警内容;日志员只负责完成对系统本身的用户操作日志管理。 65、 根据事件发生的时间、用户、访问方式(客户端、TELNET、FTP)、用户IP、服务器等组合查询, (略) 回放和追溯。 66、 支持IPV6环境下数据库的审计。 67、 支持手动备份以及基于时间参数的自动备份。 68、 支持将备份数据通过FTP等方式自动外送到其他备份设备。 69、 数据安全性很高,要打开审计文件,原则上必须将原文件导入生成该文件的设备中,而且审计的内容不允许随便删除、修改。 70、 支持备份查看,以及自定义备份风险审计策略配置。 71、 当磁盘空间达到一定的阀值,支持自动清理最早的数据释放空间。 72、 ★系统内置故障排错系统,帮助管理人员快速排查故障,支持对服务异常、许可证异常、审计异常、配置项异常、数据库 (略) 分常见故障的检测,并可提供快速的解决办法。 73、 产 (略) 颁发的《计算机信息系统安全专用产品销售许可证》,具备ISCCC中国国家信息安全产品认证证书,具备中国人民 (略) 军信息安 (略) 颁发的军用信息安全产品认证证书,具备软件产品登记证报告和软件著作权证书,具备IPV6 Ready认证( (略) 商公章的复印件,原件备查)。 74、 投标人必 (略) 家针对本项目的授权及售后服务承诺。 75、 ★数据库涉及到财政业务系统数据,为保障财政业务 (略) ,投标人必须具备财政业务系统(国库集中支付系统、财政总预算会计核算系统、财政大平台、用 (略) 理系统U8R10、部门预算系统、指标管理系统等)运维能力并提供证明文件。 |
套 |
1 |
|
3 |
下一代防火墙 |
1、 ★性能参数 2、 网络层吞吐量≥8Gbps,应用层吞吐量≥1.6Gbps,并发会话数≥ * ,新建连接数≥110,000,网络接口≥8个千兆电口,1个RJ45串口 ,2个USB接口,标准1U架构。 3、 功能参数 4、 ★设备支持扩 (略) 络特征库、IPS漏洞攻击特征库、WEB应用防护库、数据泄密防护库、实时漏洞分析库,并且支持自动在线升级; 5、 支持安全防护策略智能联动,可智能生成临时规则封锁攻击源IP,临时封锁时间可自定义; 6、 支持基于应用类型的策略路由应用引流;支持多线路链路负载;支持基于应用类型,网站类型, (略) 带宽分配和流控; 7、 支持OWASP定义10大web安全威胁,保护服务器免受基于Web应用的攻击,如SQL注入防护、XSS攻击防护、CSRF攻击防护、 (略) 登录路径保护口令暴力破解; 8、 ★支持对客户端/服务器是否被种植了远控木马或者其他病毒,恶意软件从而形成 (略) 检测,僵尸主机识别特征总数在50万条以上;同时为保证软件成熟度,所投产品需获得CMMI 5级别认证; 9、 支持提供预定义、自定义敏感信息的特征库。预订义特征应内置常见敏感信息的特征,且可自定义敏感信息特征,如用户名、密码、邮箱、身份证信息、MD5密码等; 10、 支持Web网站隐藏,包括HTTP响应报文头出错页面的过滤,web响应报文头可自定义; 11、 ★提供安全报表,报表内容体现被保护对象发现漏洞情况以及遭受到攻击的漏洞统计,可以查看 (略) 为次数和攻击趋势; 12、 支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP)和数据库软件(MySQL、Oracle、MSSQL)的口令暴力破解防护功能; 13、 关键页面双因素认证≥支持管理员页面、管理后台的短信强认证机制,要求至少提供URL、telnet、ssh三种方式的短信认证; 14、 ★支持web弱点扫描功能,可扫描WEB网站sql注入、xss、csrf、目录遍历、文件包含、 (略) 等脚本漏洞; 15、 支持软件防篡改功能,并且也配套软件防篡改客户端,和硬件实现防篡改联动。 16、 可提供最新的威胁情报信息,能够对 (略) (略) 预警和自动检测,发现问题后支持一键生成防护规则; 17、 业务管理与安全管理分离,支持提供管理员业务 (略) 管管理界面分离功能,方便业 (略) 站内容; 18、 支持异常连接检测,对21,22,25,53,69,80/8080,110,143,443等常见端口的协议异常流量检测,并支持RDP和SSH端口反弹链接检测; |
台 |
2 |
|
4 |
交换机 |
1、 一、配置要求 2、 配置24个千兆电口,4个万兆SFP+光口; 3、 满足以上接口要求后,剩余可用的接口槽位数≥1个; 4、 二、技术参数要求 5、 ★整机交换容量≥3.6Tbps;包转发率≥150Mpps,提 (略) 链接地址说明; 6、 ★整机最大支持不少于8个万兆接口; 7、 ★整机最大可用千兆接口数不少于40个,最大可用千兆SFP接口数不少于20个。 8、 支持GE端口、10GE端口聚合,支持静态聚合、动态聚合; 9、 支持IPS模块,防火墙模块; 10、 支持无线控制器业务模块,最大支持≥128 AP管理; 11、 支持虚拟化技术,支持跨设备端口链路聚合; 12、 支持Jumbo 帧和大容量缓存, (略) 的大容量数据交换要求; 13、 支持基于端口、协议、MAC、IP子网的VLAN(4094个),支持QinQ和灵活QinQ,支持Voice VLAN,支持VLAN Mapping(1:1、N:1、2:2); 14、 支持NetStream (略) (略) 分析, 为用 (略) 流分析报表; 15、 路由协议支持RIPng、OSPF V3、IPv6 IS-IS和IPv6 BGP,隧道协议支持IPv6手动隧道、6to4隧道和ISATAP隧道;支持MLD Snooping和IPv6 PIM; 16、 支持BFD for BGP/OSPF/IS-IS/RSVP/VRRP等; 17、 支持等价路由,路由策略,支持反向路由检查; 18、 支持多个镜像观察口,端口的远程镜像(RSPAN),增强型端口的远程镜像(ERSPAN); 19、 ★支持SSH 2.0、EAD,MD5密文认证; |
台 |
1 |
|
各投标人:
一、项目名称: (略) 络及数据安全设备采购
二、项目编号:GXDYZC-2017-(N)83
三、首次公告日期: * 日
四、更改事项、内容:1、原竞标文件:第二章 货物需求一览表,现更改为:
一、项目要求及技术需求条款 |
|||||
序号 |
采购货物名称 |
型号规格、技术参数、性能配置(不应针对特定品牌,不能根据某一品牌的 (略) 转换,不得以不合理的条款限制或者排除潜在的供应商) |
单位 |
数量 |
备 注 |
1 |
账号集中管理与审计系统 |
1、 1U机箱,单电源,4个百兆/千兆自适应电口,管理资产数≤40,并发用户数≥1000,字符连接最大并发数≤50,图形连接最大并发数≤20,日志存储空间≥500GB。 2、 终端命令操作:Telnet、SSH,远程桌面:RDP、VNC,文件上传和下载:FTP、SFTP,WEB应用协议:HTTP、HTTPS。 3、 支持Oracle、MYSQL、IBM DB2等数据库。 4、 用户帐号实名制:根据具体的维护人员添加唯一与其身份对应的用户,实现维护人员身份的唯一性管理。 5、 可以设定活动、禁用两种用户帐号状态,当用户在一定时间内连续输错密码时,可以自动禁用该用户帐号。 6、 支持静态密码、USBKEY形式双因子、AD域、LDAP域等认证方式。 7、 支持忘记密码后通过邮箱找回密码。 8、 支持三权分立的原则和要求,审计员、管理员、运维人员职、权分离。 9、 批量或定时修改设备密码,允许用户在特定的时间点对指定设备的 (略) 自动修改,修改后的设备密码可以以邮件的方式发送给密码管理员。 10、 支持域用户管理,通过加入域控制器导 (略) 登 * 管理的方式。 11、 用户帐号支持导入导出功能。 12、 能对IP (略) 扫描,识别出该IP地址段内开放的应用类型、服务、端口等信息,支持一键添加管理功能。 13、 可以精确到用户、设备、账号、协议及时间的访问控制粒度。 14、 保持用户原有运维习惯,利用已有的运维工具访问审计系统,如SecureCRT、putty、mstsc等客户端。 15、 支持零客户端方式,通过WEB界面单点登 * (略) 署额外的审计客户端。 16、 设备信息支持导入和导出功能。 17、 支持SSH、Telnet字符命令界面操作审计,支持FTP、SFTP文件上传、下载、删除、改名等操作的审计。 18、 支持VNC、RDP远程桌面操作审计。 19、 支持HTTP、HTTPS操作审计。 20、 支持FTP/SFTP方式文件上传的副本备份,可供审计员审计查看。 21、 ★支持磁盘映射方式文件上传的副本备份,可供审计员审计查看 22、 审计包括访问起始和终止时间、用户名、用户IP地址、目标设备IP、设备名称、数据库类型、操作内容等;支持操作内容录像回放。 23、 IP策略:可以允许或拒绝指定的IP登录管理界面,还可以按照用户的需要指定用户或设备在一个指定IP或IP段下才可 (略) 访问管理。 24、 密码策略:可以指定密码有效期、密码复杂度设置。 25、 防绕策略:可以指定IP或IP (略) 防绕是否阻断与是否产生告警记录的选择。 26、 ★双重防绕:防止客户端直接访问管理设备,对绕过堡垒机直接访问设备的连接及时阻断和告警。 27、 时间策略:可以指定用户或设备在一个指定的时间段内有效。可以按照用户的需要定制时间白名单。 28、 支持对ssh或telnet (略) 检测,对客户自定义的 (略) 拦截或者产生后台告警。 29、 ★支持ftp或sftp方式下对文件/文件夹标题及内容检测,及时发现敏感信息,对违规的下载或 (略) 拦截或者产生后台告警,避免重要数据泄露。 30、 ★支持对远程桌面 (略) 提取和记录,并能记录相应的时间点。 31、 ★实现对远程桌面中的客户端 (略) 识别分类等,能够识别文件的打开、删除、重命名,活动窗口的检测、菜单点击,键盘输入检测等动作。审计人员能够通过关键信息快速过滤和定位到目标位置,查看关键操作,提升审计效率。 32、 ★支持工单申请和下发,授权运维人员根据授权在指定时间内访问指定资源,申请内容包括设备IP、设备账户、运维有效期、备注事由等,运维工单可以邮件方式通知管理员。 33、 ★可通过无感知应用发 (略) 协议扩展,支持B/S和C/S方式的通用及专有的运维客户端程序,支持远程应用本地化展示、支持应用的单点登 * 功能。 34、 ★通过设备管理向导完成设备从添加到授权的步骤;通过应用管理向导可以完成应用从录制配置文件到授权的步骤。 35、 ★首页访问关系图形展示,根据用户、设备、应用的不同颜色区分,通过连接图形直观展示用户对设备或应用的访问关系。 36、 管理员可以根据设备/设备组、系统账号、时间、脚本内容(自定义),创建自动脚本任务;该任务 (略) ,执行的结果自动发送给相关管理员。 37、 ★即可以要求用户登录目标设备时,必须填写备注, (略) 运维的原因或内容等,备注信息可以在审计记录里面查看到。 38、 ★支持重要用户登 * 、核心设备访问的双人授权和高危 (略) 双人复核。 39、 支持邮件、页面、短信发送告警信息。 40、 支持Web界面下的审计回放, (略) 下的审计回放,支持离线审计播放。 41、 当硬盘可用空间少于40G时自动发送邮件。 42、 在登 * WEB界面时会弹出警告。 43、 支持通过时间、用户、账号、源IP、目标IP、 (略) 会话浏览排名统计。 44、 支持应用浏览的排名统计和播放、下载。 45、 提供拦截日志和防绕日志的查询和报表导出。 46、 提供登 * 日志、操作日志等多种报表,给企业考核提供依据。 47、 产 (略) 颁发的《计算机信息系统安全专用产品销售许可证》,具备ISCCC中国国家信息安全产品认证证书,具备中国人民 (略) 军信息安 (略) 颁发的军用信息安全产品认证证书,具备软件产品登记证报告和软件著作权证书,具备IPV6 Ready认证( (略) 商公章的复印件,原件备查)。 48、 投标人必 (略) 家针对本项目的授权及售后服务承诺。 |
套 |
1 |
|
2 |
数据库安全审计系统 |
1、 1U机箱,冗余电源,4个百兆/千兆自适应电口,最大吞吐量≥100Mbps,入库速度≥4000条/秒,最大可存储日志数量≥10亿条,日志存储空间≥500GB。 2、 独立完成审计数据采集,不依赖于数据库自身的日志系统。 3、 审计工作不影响数据库的性能、稳定性或日常管理流程。 4、 审计结果存储于独立存储空间。 5、 支持端口镜像、分光器、TAP等采集数据。 6、 (略) 署、集中式管理模式。 7、 主流数据库:oracle、SQLserver、Mysql、DB2、infomix、Sybase、CACHE、PostgreSQL、MongoDB、MariaDB;数据仓库:teradata;国产数据库:达梦、人大金仓、Oscar(神通)、南 (略) 用。 8、 ★其他数据库运维防护协议:HTTP、Telnet、SMTP、POP3、FTP、DCOM。 9、 能够基于TNS、TDS等数据库协议精确还原数据库操作语句。 10、 支持数据库操作请求、数据库操作响应实时动态审计,包括对原始SQL语句、包长度、请求时间、客户端IP地址、MAC地址、操作系统用户名、主机名、端口、使用工具、数据库用户名、终端名等数据库操作请求信息审计;支持对SQL (略) 结果、SQL (略) 时间、 (略) 数、SQL (略) 异常等数据库操作响应信息的审计。 11、 不仅支持对数据请 (略) 审计,同时支持返回结果审计,以帮助审计人员判断敏感信息泄漏情况, (略) 状态、 (略) 数、执行时长等内容,并能够根据返回结果设置审计策略。 12、 ★能够支持对调用绑定变量的数据库操作和赋值过程, (略) 关联分析。 13、 支持对超长SQL语句完整解析。 14、 ★支持角色自定义功能, (略) 属角色自定义用户权限范围,对 (略) 细粒度划分,权限可控制到菜单级。 15、 ★支持oracle、SQLserver、Mysql等数据库漏洞检测识别,能够扫描的数据库漏洞不少于1000种。 16、 数据库安全配置检测,数据库潜在弱点检测,数据库用户弱口令检测, (略) 在主机漏洞检测。 17、 ★ (略) 在主机、数 (略) (略) (略) 实时检测,支持对SQL注入、跨站脚本攻击、 (略) 等攻击方式,对任何尝试的攻击操作都会产生告警。 18、 ★黑客追踪功能:具备入侵痕迹分析、自动投放、获取目标主机静态信息、获取目标主机动态信息、监 (略) 络通信、主机类型分析、入侵痕迹提取分析、远程控制等功能,黑客追踪系统具 (略) 颁发的《软件著作权登记证书》 (略) (略) (略) 门颁发的《科技研究成果登记证书》,提供证书复印件 19、 预置telnet、FTP高危指令检测规则, (略) 在服务器的运维发生高危指令时立即告警。 20、 ★数据库访问基线自动建模,可根据访问端IP、数据库用户名等对数据库的访问规律(如:访问流量、增删改查操作量、访问的数据库、表、字段等属性)进行动态学习,建立数据库正常访问的使用基线, (略) (略) 为的判断。 21、 该模型锁定后,可以根据设 (略) 动态更新,减少管理员的手工维护工作。 22、 支持客户端、WEB应用服务器、数据库服务器(应用层、中间层、数据库层)三层架构环境全方位的三层访问审计,通过三层审计可实现数据操作原始访问者的精确定位。 23、 支持HTTP请求审计,提取URL、POST/GET值、原始客户端IP、MAC地址等。 24、 支持B/S三层审计中应用层操作与数据库层操作的自动关联,形成客户端信息、客户端访问URL、WEB服务器信息、访问sql语句、数据库服务器信息一条完整链路,实现前端用户与数据库操作的关联,精确定位原始操作者。 25、 ★支持通 (略) 署方式实现三层B/S系统100%准确关联,支持Java、PHP、.NET等探针类型。 26、 三层关联同时支持手动和自动关联,以提升关联准确度和审计人员追踪索源准确度。 27、 支持通过加密方式访问数据库的审计,包括用户名、源地址、对象(数据库服务器、库、表、存储过程、函数、包等)、目的地址、日期、时间、操作类型、操作内容和返回结果审计,支持对加密数据内容检测,及时发现敏感信息并产生后台告警。 28、 支持对触发高危操作、 (略) 定义策 (略) 阻断。 29、 规则支持导入导出功能,方便规则的迁移和配置,规则支持分组,且可以根 (略) 导出,规则必须支持优先级的调整,以防止误报、漏报等发生,支持规则的批量加载、卸载功能。 30、 精细到表、字段、具体报文内容的细粒度审计规则,实现对敏感信息的精细监控。 31、 基于IP地址、MAC地址设置规则。 32、 提供可定义作用数量动作门限,如SQL操作返回的记录数 (略) 数大于等于10000行时触发策略。 33、 提供可设定关联表数目动作门限,如SQL操作涉及表的个数大于等于4时触发策略设定。 34、 可根据SQL执行的时间长短设定规则; (略) 时长超过30 (略) 告警。 35、 可根据SQL执行的结果设定规则。 36、 支持审计数据查询,包括基本事件查询、SQL查询、HTTP查询。 37、 支持操作日志查询和操作回放。 38、 支持风险数据查询,包括风险策略日志查询、文件传输检测日志、电子邮件检测日志、TELNET检测日志、 (略) 为检测日志、阻断日志。 39、 (略) 全面安全风险扫描,然后对对存在的失败数据、违规风险、数据外泄、 (略) 为、漏洞扫 (略) 全面的分析。 40、 ★提供SQL语句的语义分析,将复杂的SQL操作语句翻译成通俗 (略) 为,直观理解操作内容。 41、 ★定期自动对数 (略) 全面多维度的安全扫描和模型分析, (略) 测定评分,对 (略) 对比分析,展示数据库的安全趋势。 42、 ★ (略) 络拓扑真实展现客户 各业务系统的逻辑架构,动态展示业务系统中应用系统、网络、数据库的性能、状态和安全告警事件。 43、 ★对敏感 (略) (略) 理,避免敏感信息在非授权人员操作或在运维阶段二次泄密。 44、 ★支持风险日志设置危险级别,风险日志信息包括用户名、源地址、对象(数据库服务器、库、表、存储过程、函数、包等)、目的地址、日期、时间、事件描述、危险级别。 45、 支持邮件、短信、SYSLOG、SNMP、FTP、屏幕告警方式、声音提醒,支持告警信息重新发送、告警信息发送测试、告警信息发送情况统计等,支持告警信息同时发送到多个管理对象。 46、 支持用户名、操作类型、IP地址、客户端工具、操作系统用户名、主机名、MAC地址、SQL语句等条件设置白名单。 47、 白名单可以应用到单条规则、单个主机或者主机群组。 48、 可以从风险日志列表中对各种级 (略) 一键白名单操作,迅速 (略) 处理。 49、 支持通过数据库操作的访问量统计、日志量对比分析、操作对象统计、访问用户数和访问IP (略) 数据库服务器的性能分析,方便审计人员实时了解数据库服务器的性能情况,为管理员优化数据库服务器提供依据。 50、 支持通过数据库操作登入登 (略) 数据库访问源的分析;使审计人员迅速掌握数据库访问者的定位和操作情况。 51、 支持通过数据库访问查询量、客户端访问工 (略) 分析,让管理人员及时掌握数各种访问方式访问数据库的情况。 52、 支持通过对数据库DCL操作、DDL操作、DML (略) 数据库特权操作分析,管理人员可以掌握特权操作是否有越权和滥用情况。 53、 支持通过对数据库登 * 失败、语句出错的情 (略) 数据库异常分析,帮助审计人员了解数据库的异常情况。 54、 支持严格按照塞班斯(SOX)法案、等级保护标准要求生成综合报告,通过一个报告即可满足相关法案检测要求,而不是简单TOP10排行的零散报表。 55、 支持按照时间曲线统计每台数据库服务器的流量、在线用户数、并发会话、在线源IP地址、DDL操作数、DML操作数、执行量最多的SQL语句等报表,为数据库管理员(DBA)优化数据库提供依据。 56、 ★支持按自定义关键字作为查询和统计条件,根据自定义关键字自动生成报表。 57、 提供缺省的报表模板库,供用户选择使用,报表能够支持Word、Excel、PDF等各种格式导出。 58、 支持点线图、柱状图、饼图等图文并茂式报表展现。 59、 ★自动识别流量中存在的数据库,也可通 (略) 络中的数据库,一键添加管理功能。 60、 ★系统支持登 * 源限制功能,WEB可以限制登 * 的IP/IP段和登 * 时间,控制台可以限制登 * 的IP和登 * 账号。 61、 ★支持通过一键 (略) 初始配置,快速完成系 (略) 署。 62、 ★支持审计数据外送与第三方日志分析平台联动,支持syslog全量外送或通 (略) 分外送,支持syslog、snmp、ftp、 trap方式。 63、 ★支持对数据库用户活动、业务系统及数据库服务器CPU、内存、文件系统、中间件性能、响应能力的监控,帮助 (略) 性能诊断。 64、 根据三权分立的原 (略) 职、权分离,对 (略) 分角色定义,如管理员只负责完成设备的初始配置,规则配置员只负责审计规则的建立,审计员只负责查看相关的审计结果及告警内容;日志员只负责完成对系统本身的用户操作日志管理。 65、 根据事件发生的时间、用户、访问方式(客户端、TELNET、FTP)、用户IP、服务器等组合查询, (略) 回放和追溯。 66、 支持IPV6环境下数据库的审计。 67、 支持手动备份以及基于时间参数的自动备份。 68、 支持将备份数据通过FTP等方式自动外送到其他备份设备。 69、 数据安全性很高,要打开审计文件,原则上必须将原文件导入生成该文件的设备中,而且审计的内容不允许随便删除、修改。 70、 支持备份查看,以及自定义备份风险审计策略配置。 71、 当磁盘空间达到一定的阀值,支持自动清理最早的数据释放空间。 72、 ★系统内置故障排错系统,帮助管理人员快速排查故障,支持对服务异常、许可证异常、审计异常、配置项异常、数据库 (略) 分常见故障的检测,并可提供快速的解决办法。 73、 产 (略) 颁发的《计算机信息系统安全专用产品销售许可证》,具备ISCCC中国国家信息安全产品认证证书,具备中国人民 (略) 军信息安 (略) 颁发的军用信息安全产品认证证书,具备软件产品登记证报告和软件著作权证书,具备IPV6 Ready认证( (略) 商公章的复印件,原件备查)。 74、 投标人必 (略) 家针对本项目的授权及售后服务承诺。 75、 ★数据库涉及到财政业务系统数据,为保障财政业务 (略) ,投标人必须具备财政业务系统(国库集中支付系统、财政总预算会计核算系统、财政大平台、用 (略) 理系统U8R10、部门预算系统、指标管理系统等)运维能力并提供证明文件。 |
套 |
1 |
|
3 |
下一代防火墙 |
1、 ★性能参数 2、 网络层吞吐量≥8Gbps,应用层吞吐量≥1.6Gbps,并发会话数≥ * ,新建连接数≥110,000,网络接口≥8个千兆电口,1个RJ45串口 ,2个USB接口,标准1U架构。 3、 功能参数 4、 ★设备支持扩 (略) 络特征库、IPS漏洞攻击特征库、WEB应用防护库、数据泄密防护库、实时漏洞分析库,并且支持自动在线升级; 5、 支持安全防护策略智能联动,可智能生成临时规则封锁攻击源IP,临时封锁时间可自定义; 6、 支持基于应用类型的策略路由应用引流;支持多线路链路负载;支持基于应用类型,网站类型, (略) 带宽分配和流控; 7、 支持OWASP定义10大web安全威胁,保护服务器免受基于Web应用的攻击,如SQL注入防护、XSS攻击防护、CSRF攻击防护、 (略) 登录路径保护口令暴力破解; 8、 ★支持对客户端/服务器是否被种植了远控木马或者其他病毒,恶意软件从而形成 (略) 检测,僵尸主机识别特征总数在50万条以上;同时为保证软件成熟度,所投产品需获得CMMI 5级别认证; 9、 支持提供预定义、自定义敏感信息的特征库。预订义特征应内置常见敏感信息的特征,且可自定义敏感信息特征,如用户名、密码、邮箱、身份证信息、MD5密码等; 10、 支持Web网站隐藏,包括HTTP响应报文头出错页面的过滤,web响应报文头可自定义; 11、 ★提供安全报表,报表内容体现被保护对象发现漏洞情况以及遭受到攻击的漏洞统计,可以查看 (略) 为次数和攻击趋势; 12、 支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP)和数据库软件(MySQL、Oracle、MSSQL)的口令暴力破解防护功能; 13、 关键页面双因素认证≥支持管理员页面、管理后台的短信强认证机制,要求至少提供URL、telnet、ssh三种方式的短信认证; 14、 ★支持web弱点扫描功能,可扫描WEB网站sql注入、xss、csrf、目录遍历、文件包含、 (略) 等脚本漏洞; 15、 支持软件防篡改功能,并且也配套软件防篡改客户端,和硬件实现防篡改联动。 16、 可提供最新的威胁情报信息,能够对 (略) (略) 预警和自动检测,发现问题后支持一键生成防护规则; 17、 业务管理与安全管理分离,支持提供管理员业务 (略) 管管理界面分离功能,方便业 (略) 站内容; 18、 支持异常连接检测,对21,22,25,53,69,80/8080,110,143,443等常见端口的协议异常流量检测,并支持RDP和SSH端口反弹链接检测; |
台 |
2 |
|
4 |
交换机 |
1、 一、配置要求 2、 配置24个千兆电口,4个万兆SFP+光口; 3、 满足以上接口要求后,剩余可用的接口槽位数≥1个; 4、 二、技术参数要求 5、 ★整机交换容量≥3.6Tbps;包转发率≥150Mpps,提 (略) 链接地址说明; 6、 ★整机最大支持不少于8个万兆接口; 7、 ★整机最大可用千兆接口数不少于40个,最大可用千兆SFP接口数不少于20个。 8、 支持GE端口、10GE端口聚合,支持静态聚合、动态聚合; 9、 支持IPS模块,防火墙模块; 10、 支持无线控制器业务模块,最大支持≥128 AP管理; 11、 支持虚拟化技术,支持跨设备端口链路聚合; 12、 支持Jumbo 帧和大容量缓存, (略) 的大容量数据交换要求; 13、 支持基于端口、协议、MAC、IP子网的VLAN(4094个),支持QinQ和灵活QinQ,支持Voice VLAN,支持VLAN Mapping(1:1、N:1、2:2); 14、 支持NetStream (略) (略) 分析, 为用 (略) 流分析报表; 15、 路由协议支持RIPng、OSPF V3、IPv6 IS-IS和IPv6 BGP,隧道协议支持IPv6手动隧道、6to4隧道和ISATAP隧道;支持MLD Snooping和IPv6 PIM; 16、 支持BFD for BGP/OSPF/IS-IS/RSVP/VRRP等; 17、 支持等价路由,路由策略,支持反向路由检查; 18、 支持多个镜像观察口,端口的远程镜像(RSPAN),增强型端口的远程镜像(ERSPAN); 19、 ★支持SSH 2.0、EAD,MD5密文认证; |
台 |
1 |
|
最近搜索
无
热门搜索
无