山西博物院网络回溯分析系统采购项目采购需求征询意见公告
山西省省级政府采购中心
网络回溯分析系统采购项目采购需求
征询意见公告

项目名称：网络回溯分析系统
项目编号：晋政采【2013-144】G78-A114
山西省省级政府采购中心 (以下简称采购中心) 受山西博物院的委托，拟于近期对网络回溯分析系统项目进行国内公开招标，现就该项目拟招标采购需求公开征求意见。
一、本次征求意见涉及到的产品及需求（内容详见附件一）。
二、关于修改意见的回复：
对拟招标网络回溯分析系统采购项目采购需求的意见或建议（格式详见附件二），请于2013年5月10日17：00时前以书面形式包括直接送达和传真报送山西省省级政府采购中心。书面材料必须加盖单位公章，同时附电子文档，逾期送达的意见或建议书恕不接受。
三、联系人及联系方式：
项目联系人： 蔡雨龙
地 址：山西省太原市迎泽大街330号（省城联社五层５０８室）
电话及传真：****-*******
电子邮件： caiyulong115@163.com

山西省省级政府采购中心
二〇一三年五月七日
附件一：政府采购项目需求书
附件二：关于网络回溯分析系统采购项目采购需求的修改建议


















附件一：
一、资格要求：
具有软件企业资质证书。
二、交货时间：
合同签订后30天内。
三、交货地点：
用户指定地点。
四、付款方式：
供货后支付合同款70%，系统安装、调试完成后再付合同款的25%。质保金：5%作为质保金，自验收合格之日起半年后无息支付。
五、其他要求：
投标人具备2名以上工信部认定的高级项目经理承担本次项目的实施、运行维护工作。
六、服务要求：
1． 服务政策:
投标人提供三年免费质保以及三年免费软件升级，终身免费上门服务。
2．培训：投标人对使用单位技术人员进行现场培训到能熟练使用
3．投标人在预中标公承诺示期满后的2个工作日内，携带产品技术白皮书、原厂三年免费售后服务书原件与样机到客户应用环境中测试，测试一周后，出具网络回溯分析报告。经测试与检查能满足本次招标中要求的所有功能与参数、为测试合格，否则，视为不实质性响应招标要求。



















七、技术要求：
序号 货物名称 需求或性能描述 单位 数量
1 网
络
回
溯
分
析
系
统 1、总体要求：
总体功能
能够分布式部署在关键的网络节点，长期实时分析并捕获流量，同时对捕获到的网络通讯数据包进行长期存储，从而提供对任何时间点的通讯数据进行回溯分析的能力。
界面要求
支持全中文界面和资料文档，要求提供全中文的分析界面，要求提供全中文的文档资料。支持中英文双语协议解码功能。支持“我的导航”功能，用户创建常用菜单的快捷方式在“我的导航”页面中，提高使用效率。必须支持安装向导功能，用户可以按照设备提示进行产品配置；系统所有页面必须动态生成；支持在线帮助文档功能；
产品架构
2U标准机架式独立硬件设备，存储容量4TB；监控端口：2个千兆光口，2个千兆电口；支持RAID5存储，可热插拔；冗余电源。
2、系统部署：
2.1.分布式部署，要求能够部署在远程网络中进行长期实时分析，通过设备自带的专用的控制台软件通过网络进行远程分析。
2.2.要求能支持流量镜像、分路器等方式部署。
2.3.在采用镜像方式进行部署时，能够通过设定本地网络，区分内部和外部IP地址，并分别统计上行和下行流量。
2.4.能够实现链路聚合功能，能将多网卡的流量聚合捕获分析。支持多任务分析，能够针对某网络接口支持多个捕获和分析任务同时进行分析。路由部署:支持路由模式，必须提供路由转发、NAT、DHCP、即插即用等功能；网桥部署:支持网桥模式，以透明方式串接在网络中；旁路部署:支持旁路模式，无需更改网络配置，实现网络行为审计和部分控制功能；双机热备（HA）:支持两台设备同时做主机的部署模式；混杂部署:必须支持路由、网桥混杂部署，串联、旁路混杂部署；
2.5.集中管理:支持分布式部署，上级设备统一下发策略，并监控下级所有设备状态；下级设备定时上传分支机构的日志记录；

3、集中管理系统
3.1.基于Web的集中管理，能够集中管理所有分布式网络流量监测分析系统，收集监测结果数据。
3.2.集中用户管理，添加，配置用户权限，实现用户的权限管理。
3.3.集中的监测数据呈现，图形化警报数据呈现，警报日志呈现。
3.4.用户签报管理，用户登录，对管辖范围内的警报进行签报。
3.5.监测结果数据的报表，生成图形化日报、周报、月报。必须支持软件bypass功能，保障设备故障时，不影响网络使用；
3.6.支持双机热备的自动切换链路；支持抢占模式和非抢占模式；
3.7.支持恢复出厂设置；支持手工备份；必须支持远程备份；FTP备份；必须支持指定数据库备份；必须支持审计数据日志的存储期限配置，如过了这个时间新日志则覆盖旧的日志；
3.8.支持外接数据库，要求审计数据可直接存储到外围数据库服务器上； 必须支持URL分类库、应用识别库自动在线升级； 必须支持升级日志查询； 必须支持本地升级URL分类库、应用识别库、软件版本、系统平台；必须支持添加多个管理员，不同用户组的管理权限必须支持分配给不同管理员；必须支持浏览、添加、修改、删除、使能、执行六种操作权限；
3.9.必须支持报警日志语言的设置； 必须支持多邮箱接受报警信息；支持网页报警和邮件报警；支持ARP欺骗等网络流量异常报警；提供报警日志查看；支持静态路由、策略路由设置； 必须支持PPPoE拨号功能；支持VLAN穿越；支持NAT地址转换功能；支持DHCP功能；
3.10.* 必须支持即插即用功能。无论用户原有IP是固定还是动态，是正确还是错误，插上网线就可以上网；必须支持按IP进行识别、按MAC进行识别；支持PPPoE用户的识别；支持与三层交换机的联动功能，使系统能够审计到跨三层设备的MAC地址支持认证IP及网段设置；支持免认证IP、网段以及免认证服务器设置；支持单地址和批量地址自动探测功能，并可实现IP、MAC自动绑定；支持触发式WEB认证，除免认证用户外，其他用户必须经过认证后才可上网；支持Radius、LDAP、windows域等第三方认证；支持认证重定向功能，必须支持向认证通过的用户显示指定的URL地址或网页，自动重定向到单位的公告通知网站等；支持递增方式的帐户导入功能；支持批量导入审计用户；支持系统自动搜索局域网内的所有用户并自动按部门归类；
3.11.支持计费策略设置；必须支持费用结算功能；必须支持结算时间设置；必须支持用户缴费功能；必须支持费用结算和用户缴费日志的查看；必须支持预付费和后付费管理；必须支持在指定时间段内，上网最大流量、最长时间以及最高金额的限制；必须支持欠费处理设置；必须支持用户上网的认证计费功能，必须支持按流量，时间，包日，包月多种策略进行计费；
4、应用定义与管理：
4.1.能够灵活的自定义应用，针对自定义的应用进行流量监测分析。
4.2.可根据TCP/UDP端口或端口范围、端口组自定义应用。
4.3.可根据IP地址、地址组、地址范围自定义应用。
4.4.可根据IP地址+端口自定义应用。
4.5.可根据网段、网段组自定义应用。
4.6.支持为用户预先分配流量大小，超过流量限制则禁止上网；必须支持为用户预先分配上网时间，超过该时长限制则禁止上网；
4.7.支持通过连接数数量进行带宽控制；必须支持通过连接速率进行带宽控制； 必须支持基于访问行为的目标IP进行带宽控制； 必须支持策略的下发功能；必须支持带宽租借功能。即，在保证带宽和最大带宽的前提下，结合应用优先级的控制，高优先级可以租借低优先级通道的带宽，从而保证带宽得到合理、高效的使用。必须支持带宽平均分配。即，每一个内网或应用用户平均分配带宽。必须支持带宽共享。即，每一个内网或应用组下的所有用户共享分配的带宽。必须支持协议黑白名单设置；必须能识别SQL Server、MySQL、Oracle、DB2、Sybase、Informix等数据库；必须支持小包阻断，可实现对微博的控制；
4.8.在不安装客户端的情况下，必须支持QQ、雅虎通、ICQ、飞信、MSN的聊天内容记录；
4.9.必须支持SQL Server、MySQL、Oracle、DB2、Sybase、Informix等行为审计记录； 必须支持通过HTTP、FTP、TELNET到数据库的行为审计记录；必须支持数据库操作内容的审计，包括地址、端口、用户名、数据库名、表名、字段名、sql语句、操作行为、操作结果等；必须支持详细记录魔兽世界，跑跑卡丁车，QQ游戏，热血江湖以及网页游戏等开始时间，结束时间；必须能够详细记录钱龙，大智慧，指南针，同花顺，龙卷风，证劵之星等股票软件的使用情况。
4.10.必须支持记录当前主流的网络电视，如：PPlive,PPStream,BBSee,风行等网络电视的开始时间，结束时间。必须支持记录能够记录Skype，SIP通讯的开始时间，结束时间，发送帐号，接收帐号，媒介类型，传输大小，传输工具等；必须必须支持通过Telnet、FTP的网络行为的审计记录，包括用户、客户端IP、MAC地址、服务器IP、开始时间、结束时间、内容等； 必须能记录无界，自由门，花园，洋葱头，世界通，火凤凰等代理软件的上下线时间；

5、数据捕获保存：
5.1.能够实时捕获并保存网络中的通讯数据包。
5.2.网络中的通讯数据包能够长期保存，设备的存储容量不低于4Tbytes。
5.3.数据包以专用格式存储，只能采用设备自带的专用的控制台软件读取和导出，不能用其他工具读取并导出。
5.4.数据包保存的性能要求能够实现1000Mbps线速保存能力，数据包处理性能不低于200,000pps。
5.5.能实时长期保存网络中的所有的网络总体流量统计数据包括比特率（上下行）、数据包率（上下行）、网络中TCP SYN数量、TCP SYN ACK数量、TCP SYN RST数量，总体流量统计数据要求能保存至少1个月。
5.6.能实时分析并长期保存网络中的所有数据流统计数据，包括详细的IP会话流、TCP会话流、UDP会话流数据，数据精度到秒级，数据流统计数据要求能保存至少1个月。
5.7.捕获数据包时能够根据条件过滤捕获，包括根据IP地址、地址段、通讯协议、TCP/UDP端口等条件过滤捕获。

6、数据检索分析要求：
6.1.能够方便的检索捕获的任意时间范围的网络通讯数据。
6.2.能够检索捕获的流量的趋势，包括总体流量的趋势，可区分网络的上行流量和下行流量；数据包趋势，可区分网络的上行数据包和下行数据包；TCP参数趋势，包括TCP同步数据包个数、TCP同步确认数据包个数、TCP同步重置数据包个数；利用率趋势，可区分网络的上行利用率和下行利用率。
6.3.能够检索指定时间范围的所有应用的通讯流量信息，包括接收发送流量，接收发送数据包等，用户可以根据自己的需求进行应用定义，定义条件包括IP地址、TCP/UDP端口、IP地址组和地址段、端口组或范围，以及多种条件的组合。
6.4.能够检索指定时间范围的所有IP主机的通讯流量信息，包括接收发送流量，接收发送数据包，比特率，数据包率，tcp连接请求数量，tcp同步响应数量，tcp同步重置数量，数据包的发收比等流量参数，并能够根据参数的大小进行排序。
6.5.能够显示Internet IP的区域归属，包括IP地址所属的国家和地区，可以根据国家和地区进行IP地址检索分析。
6.6.能够检索指定时间范围的所有IP主机间的通讯流量信息，包括接收发送流量，接收发送数据包等。
6.7.能够检索指定时间范围的所有TCP会话和UDP会话的通讯流量信息，包括接收发送流量，接收发送数据包等。
6.8.能够针对应用进行进一步的数据挖掘，分析某个应用中IP主机流量、IP会话、TCP会话和UDP会话详细列表。
6.9.能够针对IP主机进行进一步数据挖掘分析，分析某个IP主机的应用、IP会话、TCP会话和UDP会话。

7、流量监测报警功能：
7.1.能够对网络中的总体流量异常进行监控和报警。可根据链路的上下行bps、pps、上下行pps、利用率、上下行利用率、每秒tcp syn个数、每秒tcp syn ack个数设定阀值产生警报。警报的触发时间间隔可以为1秒，5秒，15秒，60秒。
7.2.能够对网络中关键主机的流量参数进行监测和报警。
7.2.1.警报流量参数：能够针对关键主机或全局主机的每秒字节数、收发每秒字节数、数据包数、收发每秒数据包数、平均包长、收发平均包长、数据包发收比、每秒发送tcp syn包数、每秒接收tcp syn包数、每秒发送tcp syn ack包数、每秒接收tcp syn ack数据包数等参数设定阀值，产生警报。
7.2.2.警报条件：能设定>=条件、<条件，多种参数条件的与或关系时间警报。
7.2.3.触发时间间隔：1秒，5秒，15秒，60秒。
7.3.能够对网络中关键应用的流量参数进行监测和报警。
7.3.1.警报流量参数：能够针对关键应用或全局应用的每秒字节数、每秒数据包数、平均包长等参数设定阀值，产生警报。
7.3.2..警报条件：能设定>=条件、<条件，多种参数条件的与或关系时间警报。
7.3.3.触发时间间隔：1秒，5秒，15秒，60秒。
7.4.能够对可疑域名解析行为进行监测产生警报，可以定义域名列表、域名地址列表进行监测，发现可疑的域名解析，产生警报。
7.5.能够对电子邮件内容进行监测，定义敏感字参数，监测邮件内容中是否包含敏感信息。
7.6.能够对HTTP内容进行监测，定义敏感字参数，监测HTTP内容中的敏感信息。
7.7.能够对TCP/UDP数据流进行监测，通过定义特征值，监测异常的TCP/UDP通讯并产生警报，特征值可以包括十六进制和ASCII的特征定义。可定义多种特征的与或关系来监测异常数据流。
7.8.能够通过邮件和Syslog将报警信息发给指定接收者。

8、数据分析要求：
8.1.能够对检索到的网络通讯数据包进行深入分析。
8.2.提供物理端点和IP端点以及IP会话分析视图。
8.3.提供针对IP端点的入出流量，bps、pps、总流量、总数据包数分析。
8.4.提供针对IP端点的IP会话数量、TCP连接数量的统计分析，并可以按大小顺序进行排序。
8.5.提供针对IP端点的tcp同步包发送/接收数量、同步确认包发送/接收数量、TCP重置包发送/接收数量的统计，并可以按大小顺序进行排序。
8.6.提供针对IP端点的数据包发送/接收比的统计分析，提供针对IP端点的字节数发送/接收比的统计分析。
8.7.提供自动的IP端点分组功能，能将不同网段的IP端点按网段自动分组，同时能按Internet IP的地域归属进行自动分组，如美国、日本等。

9、TCP/UDP会话分析：
9.1.提供所有的tcp/udp会话列表，提供针对每个会话的数据包、字节数等统计参数。
9.2.提供针对TCP/UDP会话的流重组功能，将会话中的数据流重组显示。
9.3.能够对TCP会话中的详细应用数据传输过程进行深入分析，能够区分每一个应用交易处理请求和响应，对传输过程中的重传、重复的确认进行统计，对应用交易处理间隔响应进行分析。
9.4.提供针对TCP会话的时序图分析功能，能够图形化的显示TCP会话中的数据交互传输过程，能够图形化显示数据传输中的时间间隔。

10、安全分析要求：
10.1.提供ARP攻击分析视图，通过流量特征主动过滤疑似感染ARP病毒的主机列表，并在单独的分析视图中展现。
10.2.提供蠕虫病毒主机分析视图，自动判断存在感染蠕虫病毒的主机的网络行为特征并在单独的分析视图中展现。
10.3.支持自动判断存在DOS攻击或被攻击现象的主机的网络行为特征并在单独的分析视图中展现。
10.4.支持自动判断存在TCP端口扫描的主机的网络行为特征并在单独的分析视图中展现。
支持自动判断存在可疑的HTTP、POP3、SMTP会话的主机的网络行为特征并在单独的分析视图中展现。

11、应用日志：
11.1.提供对HTTP访问请求的日志记录功能，能记录所有的HTTP访问URL，并记录至日志文件中。
11.2.提供对DNS解析请求和响应的日志记录功能，能记录所有的DNS请求和响应日志，记录至日志文件。
11.3.提供对SMTP/POP3邮件发送接收的日志记录功能，能记录所有的邮件接收发送日志，并能还原保存相应的附件。
11.4.提供对MSN/Yahoo Messenger等即时通的通讯记录功能。

12、协议识别和解析要求：
12.1.提供对常见互联网协议的协议识别功能，至少能对350种以上的常见互联网协议进行识别。包括：
AARP, AARP Prbe, AARP Request, AARP Response, ACNET, AFP, AH, AIM, ARP, ARP Request, ARP Response, Auditd, BFTP, BGP, BOOTP, Biff, BitTorrent, CDC, CDP, CFS, CFTP, CGMP, CIFS, CMIP-Agent, CMIP-Man, COPS, CRIP, CRTP, CRUDP, CTF, Cisco-fna, Cisco-sys, Cisco-tna, Citrx ICA, DCCP, DCP, DDP,DECnet, DHCP, DIAG, DNS, DNS Error, DNS Query, DSR, Daytime, Discard, EGP, EIGRP, EIGRP Hello, EIGRP Query, EIGRP Reply, EIGRP Update, ESP, Echo, Emfis-cntl, Emfis-data, Ethernet - Other, Ethernet 802.2, Ethernet 802.3, Ethernet II, Ethernet SNAP, Ethernet SNAP - Other, eMule, FC, FCoE, FCP, FTP, FTP Ctrl, DTP Data, Finger, GDP, GGP, GRE, GTP, Gopher, H.225, H.323, HMP, HSRP, HTTP, HTTP Proxy, HTTPS, Http-mgmt, IBM-app, ICMP, ICMP DestUnreach, ICMP Echo Reply, ICMP Echo Req, ICMP Redirect, ICMP Time Ex, ICMPv6, ICP, IDFP, IDPR, IDRP, IGAP, IGMP, IGRP, IMAP, IAMP3, IAMP4, IMAP4/SSL, IP, IP - Other, IP Fragment, IPX, IPv6, IRC, IRC/SSL, IRTP, ISL, ISMP, ISO-IP, ISO-TP0, ISO-TP4, Kerberos, L2F, L2TP, LDAP, LDAPS, LPD, La-maint, Login, Loopback, MGCP, MPLS, MPLS Etype2, MPM, MPM-snd, MPP, MSN, MSP, MSRDP, MSSQL, Mcidas, Mit-ml-dev, Mnet-discovery, Mobile IP, Msg-auth, NAMP, NARP, NBDGM, NBIPX, NBNS, NBSSN, NCP, NETBLT, NFS, NLSP, NMSP, NNTP, NNTP/SSL, NPP, NSRMP, NTP, Nameserver, NetBEUI, NetBIOS, Ni-ftp, OSPF, OSPF DDs, OSPF Hello, OSPF LSA, OSPF LSR, OSPF LSU, PIM, PIP, PIPE, POP2, POP3, POP3/SSL, PPP, PPP CHAP, PPP FCC, PPP IPCP, PPP LCP, PPP LQP, PPP PAP, PPP Padding, PPPoE, PPPoE Discovery, PPPoE Session, PPTP, PPlive, PRM, PTP, PUP, PVP, Password-chg, Pdap, Pwdgen, Q.931, QQ, QQ keep Alive, QQ Login, QQ Logout, QQ Other, QQ Recv Msg, QQ Send Msg, Qotd, RAMP, RAP, RARP, RARP Request, RARP Response, RCP, RDP, RGMP, RIP, RIP Reply, RIP Request, RIPX, RIPv1, RIPv2, RIPv3, RIPv4, RIS, RJE, RLOGIN, RLP, RPC, RSH, RSVP, RSVP_tunnel, RTCP, RTELNET, RTP, RTP AV, RTP Audio, RTP CelB, RTP DVI4, RTP Dynamic, RTP G.711, RTP G.723, RTP G.728, RTP G.729, RTP GSM, RTP H.261, RTP H.263, RTP JPEG, RTP MP2T, RTP MPV, RTP Video, RTSP, Radius, Radius-acct, Radius-dynauth, Re-mail-ck, Rexec, Rtsps, Rwhois, SAP, SAP, SAP Reply, SAP Request, SCC Security, SCCP, SCTP, SDRP, SER, SFTP, SGMP, SGMP-traps, SIP, SKIP, SLP, SMB, SMTP, SMTP/LSA, SMTP/SSL, SNMP, SNMP Trap, SNP, SNPP, SPS, SPX, SQL, SSDP, SSH, SShell, STP, Send, Sflow, Statsrv, Submission, Supdup, Swift-rvf, Systat, T.120, TCP, TCP - Other, TELNET, TFTP, TLSP, TNS, TRIP, Tacacs, Tacacs-ds, Tacnews, Time, Tunnel, UDP, UDP - Other, ULS, UMA, VLAN, VLAN EType2, VRRP, WINS, Who, WhoIs, Windows NLB, X-Window, X.400, XDAS, XNS, XNS-auth, XNS-ch, XNS-mail, XNS-time, Yahoo Messenger
12.2.提供对网络协议的解码分析能力，提供至少350种各种网络协议的解码分析能力。特别是如下协议的解码支持：MSN，QQ，Yahoo Messenger，BitTorrent，POP3，FTP，SMTP，HTTP，TELNET等。
13、产品商务要求：
要求有公安部颁发的《计算机信息系统安全专用产品销售许可证》
具有国家信息安全产品测评证书，具有涉密信息系统产品检测证书。 套 1

附件二：
关于网络回溯分析系统采购项目
采购需求修改建议

序号 条款号 本项目商务、技术需求中的
参数或要求
（请详细标明该内容及该内容在项目需求书中的页码、行数） 修改理由或建议
（请明确说明）

单位(盖章)：
代表(签字或签章)：
联系方式：
日　期：