包河区法院网站设备采购需求（仅供参考，具体以招标文件为准）序号内容说明与要求1付款方式付款方式：合同签订后付50%，其余在验收合格后一次性付清。投标人提交的投标文件中如有关于付款条件的表述与招标文件规定不符，投标无效。2评标办法有效最低价前注：1） 本需求中提出的技术方案仅为参考，如无明确限制，投标人可以进行优化，提供满足用户实际需要的更优（或者性能实质上不低于的）技术方案或者设备配置，且此方案或配置须经评委会审核认可； 2） 为鼓励不同品牌的充分竞争，如某设备的某技术参数或要求属于个别品牌专有，则该技术参数及要求不具有限制性，投标人可对该参数或要求进行适当调整，并应当说明调整的理由，且此调整须经评委会审核认可；3） 为有助于投标人选择投标产品，项目需求中提供了推荐品牌（或型号）、参考品牌（或型号）等，但这些品牌（或型号）仅供参考，并无限制性。投标人可以选择性能不低于推荐（或参考）的品牌（或型号）的其他品牌产品，但投标时应当提供有关技术证明资料，未提供的可能导致投标无效； 4） 投标人应当在投标文件中列出完成本项目并通过验收所需的所有各项服务等明细表及全部费用。中标人必须确保整体通过用户方及有关主管部门验收,所发生的验收费用由中标人承担；投标人应自行踏勘施工建设现场，如投标人因未及时踏勘现场而导致的报价缺项漏项废标、或中标后无法完工，投标人自行承担一切后果； 5）如对本招标文件有任何疑问或澄清要求，请按本招标文件“投标人须知前附表”中的约定联系采购中心，或接受答疑截止时间前联系采购人。否则视同理解和接受。 采购需求：序号产品名称数量单位技术参数1网络入侵防御设备1台系统应为机架式独立IPS硬件设备，全内置封闭式结构，具有完全自主知识产权的专用安全操作系统，稳定可靠。板载6个GE口, 扩展接口规格: 4GE/4SFP/8GE/8SFP;扩展提供4个SOLT插槽,提供8个10/100/1000M电口；本次配置提供4路电口防护，支持BYPASS；网络吞吐量3Gbps,HTTP吞吐量:1.5Gbps/最大并发TCP会话:300万/每秒新增TCP会话:100,000/时延:40 μs,含IM/P2P管理模块,含防病毒模块，含Web安全模块，及Web信誉库和URL分类库的三年升级及三年产品上门巡检服务。 （具体要求详见附件）2网站应用防火墙1台产品应为自主研发的专用机架式硬件设备，系统硬件为全内置封闭式结构。业务接口: 8×1000M端口（4GE 4SFP）支持1块4GE或4SFP扩展板卡,提供四路防护。应用层吞吐量：1.5Gbps , 时延60 us, 新建能力（CPS）:28000, 并发能力:60000。提供抗拒绝服务攻击模块，提供TCP Flood及HTTP Flood攻击防护功能模块，提供网页篡改防护以及服务器侧恶意代码过滤功能。为了与IPS联动，网站防火墙必须与网络入侵防御设备产品为统一品牌。（具体要求详见附件）3网页防篡改1套产品要求自主开发，具备自主知识产权。产品要求界面友好，易于安装、配置和管理，并有详尽的技术文档。短信告警模块，WAVECOM GSM MODEM无线终端，提供短信发送功能,含客户端软件。产品图形界面以及各类技术文档均应为中文或配备中文说明书。为了协同防御，网站防篡改与网站防护防火墙与必须为统一品牌。（具体要求详见附件）4Web服务器2套机架式，高度≥4U，含机架导轨及相关套件；处理器配置2颗六核INTEL至强64位处理器，主频≥1.86G。配置32G 10600R 服务器内存；支持至少16个内存插槽。配置4个1000M网卡,电口；阵列卡：独立SAS阵列卡;支持RAID0,1,5;电源：全冗余电源,全冗余风扇；支持8块硬盘扩展，本次配置硬盘祼容量≥1.8TB; 要求热插拔SAS硬盘转速≥15000转；提供独立的远程管理端口，要求能实现远程开关机，远程虚拟介质，虚拟KVM功能；含授权许可；正版Windows 2008操作系统，25用户，提供正版光盘介质及License，要求所有配件为原厂配件，3年7*24*4保修服务5网络安全行为管理系统1台服务器为硬件标准1U设备，采用嵌入式Linux系统设计；2-4个千兆光口（可扩展光模块）、4个以上千兆电口；提供断电保护机制，确保服务器断电后不影响正常网络工作，如心跳、Bypass等；客户端支持X32\X64平台的 Win2000/2003/XP/Vista/WIN7操作系统；客户端与服务器、控制台之间策略更新时间小于5秒钟；（具体要求详见附件）6等级保护安全制度建设与服务及安全培训1套项目实施期限内至少制定和完善以下制度：1、制度规范制定：⑴数据安全规范、⑵网络安全管理规范、⑶网络设备配置规范、⑷系统安全管理规范、⑸数据备份制度、⑹应急响应制度、⑺信息系统建设管理办法、⑻操作系统安全管理、⑼数据库安全管理、⑽安全事件处理规范2、安全配置核查：根据用户方当前专网安全配置规范要求，针对主机、网络设备和核心业务系统提供每年不少于6次的专业安全配置核查服务并提供加固建议。3、漏洞扫描服务三年内，中标方每年6次使用专业漏洞扫描设备，对现有网络的服务器，数据库，网络设备，安全设备等进行系统和应用层面的漏洞扫描，依据结果向用户方提出安全建议并协助完善。4、应急响应服务：结合相关主管单位和信息系统等级保护的具体内容，组织相关技术力量完成应急响应指南和具体操作规程，三年内每年至少组织二次应急响应演练。在应急响应演练前需提交应急演练计划、实施方案，完成应急演练后需提交演练报告，并进行总结。对重大安全问题的响应和处理，服务人员到达现场不超过一小时；安全事件处理完毕后，协助用户方进行事件原因调查，以及系统恢复等后期工作，以建立正常的业务运行环境，并提供相关事件分析报告。5、安全监控服务：三年内，在重大节日前完成安全巡检，并在“五一”、“十一”等特殊时期时提供远程值守工作。在每年两会敏感时期内派专人并配备相关安全设备进行现场服务，执行零报告制度，实行一日一报。此外，如因上级管理机关或地方安全主管部门要求进行现场值守时，提供至少一名人员上门进行技术支持。6、培训内容：⑴信息网络安全状况介绍；⑵信息系统等级保护测评流程讲解；⑶常见操作系统安全，系统安全检查和加固，数据库安全培训，网络设备安全培训，攻击防护安全培训； ⑷等级保护相关内容、数据库安全系统和内控堡垒主机等安全培训与实际操作；1、网络入侵防御设备技术要求：功能要求系统应具备融合模式匹配、协议分析、异常检测、会话关联分析，以及抗IDS/IPS逃逸等多种技术，准确识别各种黑客入侵，为用户提供2~7层深度入侵防御。系统应提供覆盖广泛的攻击特征库，能够针对3700种以上的攻击行为、异常事件，以及网络资源滥用流量，进行检测和防御。系统携带的攻击特征库须获得CVE-Compatible。系统应具备防僵尸网络功能，从而提高整体安全防护能力。系统须提供对网络病毒、蠕虫、间谍软件、木马后门、刺探扫描、暴力破解等恶意流量的检测和阻断。系统应具备基于“漏洞保护”的虚拟补丁功能，融合协议异常检测能力，有效抵御缓冲区溢出攻击，以及各类未知攻击。系统应具备零日攻击防护能力，保护用户避免遭受新的安全威胁系统应能够有效抵御SQL注入等多种常见的应用层安全威胁系统应提供先进的DoS/DDoS攻击防护能力，支持双向阻断TCP/UDP/ICMP/ACK Flooding，以及UDP/ICMP Smurfing等常见的DoS/DdoS的攻击。系统应能对环境进行感知。系统应提供入侵行为和应用软件特征的自定义接口，可根据用户需求定制对其它流量的检测和阻断规则。系统应提供Web信誉机制，非URL库，在用户访问被植入木马的页面时，给予及时报警和阻断，能够有效抵御Web安全威胁渗入企业内网。系统应提供中英文网页过滤数据库，超过1,000万条的URL，多种精细分类（如不良言论、色情暴力、网络“钓鱼”、论坛聊天等），实现全面、高效的高风险、不良网站过滤。系统应提供防病毒引擎，以提高病毒检测的准确性。防病毒引擎采用基于特征扫描和启发式扫描技术，实现针对HTTP、SMTP、POP3和FTP等多种协议的病毒流量监测和控制。系统应支持全面的流量分析功能，可察看网络实时流量，包括：流量协议分布、流量IP分布、自定义察看某种流量TOP10、常见流量TOP10等；同时应支持生成日、周和月的流量报表，以便了解一段时间的流量情况。系统应提供灵活的流量管理功能，可以根据用户、应用、目的IP地址、时间及带宽等因素，实现基于应用、面向对象的流量保护策略。通过流量许可和优先级控制，阻断一切非授权用户流量，并结合最小带宽保证、最大带宽限制、会话限制和每IP设置等功能，有效保证关键应用全天候畅通无阻。系统应能识别超过1400种的各类网络应用，至少应包括：商业系统类应用、协作类应用、互联网应用、媒体类应用等。系统应支持灵活的应用管理策略配置功能，实现基于IP地址、用户、时间、应用等多维度的全面、细致监控。系统应支持细粒度的自定义应用功能，支持的参数至少应包括：搜索范围、数据传输方向、特征数据等。为实现精确匹配，必须支持与、或等逻辑运算。系统应具备用户身份识别能力，支持基于用户身份进行策略配置、日志记录与查询；支持自动与手动获取用户信息列表并生成组织结构图。针对访问网络资源的终端用户，系统应提供增强的身份认证功能，支持RADIUS、LDAP、AD域等接口，及第三方认证平台，实现更灵活、更安全的认证控制。系统应提供丰富的响应方式，包括：丢弃数据包、阻断会话、邮件报警、短信报警、控制台显示、声音报警、日志数据库记录、写入XML文件，运行用户自定义命令等，满足用户各种响应需求。系统应提供标准snmp trap（V1、V2、V3）和syslog接口，可接受第三方管理平台的集中事件管理。系统应系统应支持CEF通用事件格式，实现与ArcSight系统的无缝融合。系统应具备攻击快照功能，详细记录触发告警的数据特征，以便做进一步的事件分析。系统应具备原始数据留存功能，在需要进一步分析原始网络数据时，可根据协议、IP地址、端口等参数将原始网络数据保存为通用网络数据分析软件可读的文件，留存文件的大小可根据时间、PPS数、BPS数等灵活设定。系统应支持日志缓存，在网络通讯中断的情况下，网络引擎先将检测到的攻击行为保存在本地，等网络恢复正常后再自动同步到控制台或日志数据库中，不会因网络断开而丢失日志信息。系统应具备实时的日志归并功能，可以根据用户需要，按照告警事件的源/目的IP/MAC地址、事件类型等信息，对告警日志执行任意粒度的归并，有效抵御告警风暴。日志信息支持本地主流数据库，或第三方syslog服务器等多种存储方式。系统应提供冗余数据库功能，日志信息同时写入多个数据库，以提高数据的安全性。系统应提供基于告警设备、时间、IP地址、事件类型、用户身份等条件的日志检索功能，具备日志备份、清除和恢复功能。系统应具备递归查询功能，在查询结果中再次输入查询条件获得更详细的查询结果，进行细粒度分析。系统应提供统计分析告警功能，针对告警事件能够按照攻击事件、危险程度等条件做进行绝对值统计分析和环比统计分析并产生告警，告警参数应支持用户自定义。系统应提供自定义分布统计模型功能，可自定义实时分布统计中的数据类型，实现灵活的数据展现和统计分析。系统应提供丰富的报表功能，支持TopN事件、TopN源地址、TopN目的地址、TopN服务、事件类型分布与趋势、危险程度分类统计与趋势、风险级别统计与趋势以及交叉报表等多种报表模板；为便于分析，还应支持用户自定义报表模版，能够按照用户需求生成各种风格的统计报表。系统应提供定时自动发送报表功能，支持在指定的时间内将生成的报表以html、word、excel等通用格式通过FTP或邮件发送给指定的管理员，以减少日常维护工作量。系统应提供智能提醒功能，通过设定提醒阈值，在报表上突出显示以提醒管理员快速发现问题。系统应具备地址簿功能，在报表中直观显示IP地址所处国家、地区或某个部门。支持自定义私有IP地址库和导入外部公网IP地址库。系统应支持过滤器模板功能，可将复杂的查询参数保存为过滤器模板，并支持模板的“与”、“或”等逻辑操作，查询日志或生成报表时直接调用模板即可，无需重复查询输入参数，以减少日常维护工作量。系统应支持工作轨迹记录功能，记录管理员执行过的日志查询和报表生成结果，随时查看查询结果，无需再次执行复杂的配置过程，以减少日常维护工作量。系统应提供基于Web的远程GUI管理，可以在任何IP可达地点，以简单、直观的方式完成策略配置、警报查询、攻击响应、集中管理等各种任务。系统应提供配套的集中管理平台，实现设备的集中管理功能，可对管理范围内的所有引擎设备进行统一的状态监控、策略配置、系统升级和日志报表管理。须支持集中管理设备的拓扑展示功能，可通过设备连线的颜色直观显示设备运行状态；支持集中管理设备的单点登录。系统应提供分级管理功能，满足大规模分级部署的需要，实现策略的逐级下发和日志的逐级上报。为实现全网统一策略，上级管理中心下发到下级管理中心的策略优先级高于下级管理中心本地策略，本地用户无权修改。为保证策略的一致性，须支持从下级管理中心的设备获取策略。系统应提供主辅管理功能，一个主管理平台对引擎设备进行管理的同时，支持不少于4个辅管理平台同时监管引擎设备。各管理平台之间互为备份，以提高系统管理和日志存储的可靠性。系统支持带外管理（OOB）功能，可以通过专用管理口，进行NIPS引擎管理，解决远程应急管理的需求并提高系统自身的安全性。系统应具备系统运行状态监控功能，能够实时查看CPU使用率、内存使用率、磁盘剩余空间、系统运行时间、接口状态、流量等信息。系统应具备系统健康状态异常告警机制，能够实时监控系统CPU、内存等关键部件的状态，并在发现异常状况时通过声音、邮件、短信等多种方式及时通知管理员。要求告警触发条件可设置。系统应提供多种升级方式，至少提供实时在线升级、自动在线升级、离线升级升级方式投标厂商应承诺至少每周定期升级攻击特征库，遇到重大安全事件，提供即时升级。厂商官方站点需同时提供升级包下载页面，并提供详细的升级事项说明。系统应支持私有升级中心功能，部署在局域网的设备也能够实现自动在线升级。系统应支持历史版本回滚功能，系统内建历史版本库，可保留最近升级的多个历史版本，并支持回滚到任一历史版本，提高产品升级过程的可靠性。系统的管理、操作界面应支持多语言自由切换。系统应支持监听（Monitor）、直通（Direct）和管理（Mgt）三种安全区模式，能够快速部署在各种网络环境中。系统应支持独立式多路IPS工作模式，各路IPS相互独立，彼此之间没有数据交换，可单独配置策略。系统应支持IPS和IDS的混合运行模式，同时提供入侵防护和入侵检测功能。系统应提供规则模板，减少配置工作量，提高部署效率。系统应提供主动抓包和日志监控功能提高部署后的可维护性。系统须支持IPv6/IPv4双协议栈功能，能同时辨识IPv4和IPv6通讯流量。支持多种隧道模式，确保IPv6过渡时代的网络通畅。支持IPv6环境下攻击检测技术和基于IPv6地址格式的安全控制策略，为IPv6环境提供入侵防护。系统应支持VLAN 802.1Q、BGP、MPLS、QinQ、PPPOE等特殊封装协议，能够适应多种不同的网络环境系统应支持A/A和A/S两种高可用部署方式，出现设备宕机、端口失效等故障时，完成主机和备机的即时切换，确保关键应用的持续正常运转。系统网络接口应具备内置fail-open特性，产品出现故障时，能自动转变成通路，不影响业务流量的正常传输。系统应支持外置BYPASS硬件设备，扩展形成完整的BYPASS解决方案系统支持软件BYPASS功能，系统软件故障时，系统自动实现旁路保护，避免网络中断等事故的发生。 投标设备应支持热插拔的冗余双电源，避免电源硬件故障时设备宕机，提高设备可用性。系统各组件之间应采用加密安全通道进行通讯，防止窃听，确保整个系统的安全性。投标产品应该是经过市场考验的成熟产品，产品上市时间不少于8年。是被广泛应用的成熟产品，在国内市场具有较高的市场份额，市场占有率排名不应低于前3名。具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》。具有中华人民共和国国家版权局颁发的《计算机软件著作权登记证》，提供有效证书的复印件。投标IPS产品应具有中国信息安全测评中心颁发的《国家信息安全测评信息技术产品安全测评证书》（千兆），并获得EAL3级别，提供有效证书的复印件。应通过国际权威机构NSS Labs的IPS专项测试，获得Approved认证。投标IPS产品应具有国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》（千兆），提供有效证书的复印件。应具有中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》。应具有IPv6 Ready Logo证书，提供有效证书的复印件。厂商应具备足够的信息安全服务技术实力及安全服务保障能力，获得中国信息安全测评中心颁发的信息安全服务二级资质证书。具备足够的信息安全服务技术实力及安全服务保障能力，获得中国信息安全测评中心颁发的信息安全服务一级资质证书。具备针对安全事件的远程和现场的紧急响应能力，获得中国信息安全认证中心颁发的一级应急处理服务资质证书。具备针足够的风险评估服务能力，获得中国信息安全认证中心颁发的一级风险评估服务资质证书。具备足够的信息安全服务能力，获得中国信息安全认证中心颁发的一级服务资质要求须是微软MAPP（Microsoft Active Protections Program）项目合作伙伴，可以在微软每月发布安全更新之前获得漏洞信息，为客户提供更及时有效的保护。须具备安全漏洞研究团队，具备自主挖掘30个以上漏洞的能力。须具备可持续本地话服务团队及技术研究能力，对云计划、虚拟化等当前热门技术进行跟踪与研究。2、网站应用防火墙技术指标：性能要求1.产品应支持透明、代理模式部署。支持SSL代理，支持多条链路数据的防护。2.支持HTTP 0.9/1.0/1.1，完全解析HTTP事务；支持对SSL（HTTPS）加密会话进行分析。3.支持扩展WEB漏洞扫描功能，支持对SQL注入漏洞、XSS漏洞等WEB脆弱性的扫描。4.支持防护：蠕虫、缓冲区溢出、CGI信息扫描、目录遍历等攻击；支持防护：SQL注入、XSS防护，命令注入、LDAP注入；支持对HTTP各头部信息进行检查；支持CSRF（跨站请求伪造）防护，提供配置界面截图；支持对上传和下载的文件进行检测；支持网站扫描防护；支持Cookie安全机制；支持对网站正常流量进行自学习，并能将学习结果转换成白名单；支持对服务器状态码进行过滤和伪装的安全策略；支持基于五元组（源IP地址、目的IP地址、源端口、目的源口、协议类型）及接口的网络层访问控制功能。5.支持爬虫防护，支持盗链防护，说明所采用的防护算法。6.支持网页防篡改和防挂马功能，说明实现方法。7.支持各类DDOS防护，包括TCP Flood、HTTP Flood防护、CC攻击等，并说明HTTP Flood防护的检测算法。8.可扩展虚拟补丁服务功能，可以与SaaS扫描服务联动，在WAF上定期自动获取专家级、个性化的《WEB漏洞扫描报告》，并转化为WAF可执行的、有针对性的WEB安全防护策略。9.应提供完善的日志管理功能，包括日查询、删除、备份、生成报表等操作，而且要支持自定义报表、自动生成报表等功能。设备厂商应具备国内权威机构的相关认证：《计算机信息系统安全专用产品销售许可证》，提供证书复印件证明；《计算机软件著作权登记证》，提供证书复印件证明；《涉密信息系统产品检测证书》，提供证书复印件证明；《IT产品信息安全认证证书》，要求该证书产品技术标准为《WEB应用防火墙产品安全技术要求》，提供证书复印件证明；《军用信息安全产品认证证书》，提供证书复印件证明。产品获国家信息安全测评中心颁发的EAL3级别证书，提供证书复印件证明。《信息安全服务资质证书（安全工程类二级）》；拥有专业安全漏洞研究团队，维护的中文漏洞库数量应大于19000条，提供相关截图证明；微软MAPP项目合作伙伴，提供网页截图证明；中国信息安全认证中心颁发的--一级应急处理服务资质证书；原厂商必须拥有六年以上研发和生产安全产品的经验，投标时需提供该厂商第一次拿到的公安部安全产品销售许可证复印件，并加盖原厂商公章。所投产品应是经过市场充分检验的成熟产品，产品正式发布上市至少三年以上，以《计算机信息系统安全专用产品销售许可证》上的时间为准。产品国内市场占有率近两年内应保持前5名，并提供第三方权威咨询机构的相关市场报告证明。3、网页防篡改技术要求： 性能要求运行环境：1、操作系统：支持Windows、Linux、HP-Unix、IBM AIX等；2、Web服务器：支持IIS、Weblogic、Websphere、Apache、Tomcat等；3、数据库：支持MSSQL，Oracle、Sybase、Informix、DB2、MySQL等；功能要求：1、支持根据操作类型进行文件防护，文件防护规则支持顺序匹配, 提供Web shell、SQL注入、XSS及非法上传等攻击防护功能；2、文件备份/恢复：支持文件自动/手动备份，支持文件自动恢复。3、网页挂马/后门扫描：应用成熟的爬虫技术和网页挂马检测技术，提供挂马扫描功能，提供后门扫描功能。4、兼容发布系统：兼容不同的网站发布系统，提供手工发布方式，减小对网页发布过程的影响，对需要恢复的数据做增量备份。5、告警功能：告警类型包括：试图进行网页篡改的各种攻击行为；对可视内容的非法增加、删除、修改的行为；对关键资源的访问行为；非法上传文件等行为；告警内容包括事件发生时间、事件类型、访问的资源、 IP源地址等详细内容；告警方式包括Email/声音/屏幕提示/短信。6、系统自我保护：提供进程、注册表、文件及服务的自我保护，具备卸载密码保护，并具备一定的自恢复功能，为了更好保护系统，提供厂商需是微软MAPP项目合作伙伴提供证明。7、审计功能：对下列事件产生审计记录：对保护内容进行增加、删除、修改和恢复等操作行为；对保护内容进行访问等操作行为；管理员登陆后进行的操作行为； 管理员的登录和退出等行为；对安全策略进行添加、修改、删除等操作行为；对管理角色进行增加、删除和属性修改等操作行为；对其他安全功能配置参数的设置或更新等行为。8、报表功能：支持对一定时期（包括年、月、周）的网页篡改攻击进行统计并查询，能够对遭受的网页篡改攻击按照攻击次数、防护的网站、遭受攻击的网页、攻击类型、攻击时间（或者发现攻击的时间）等进行统计并排名，能够根据防护的网站、被篡改内容、篡改内容的类型、试图进行的篡改、成功的篡改、发现的日期、事件发生的日期等条件进行详细信息的查询。可以通过表格以及图形方式进行展现，支持将生成的报表以Excel及打印等通用格式输出。9、性能指标：监控响应时间0.5秒，篡改恢复时间0.5秒，资源占用在对比网页篡改防护系统未运行时的增长20%,业务响应:在对比网页篡改防护系统未运行时的增长须20%。10、厂家具有《计算机信息系统安全专用产品销售许可证》，《涉密信息系统产品检测证书》，《计算机软件著作权登记证》，《国家信息安全测评信息技术产品安全测评证书》，《中国国家信息安全产品认证证书》。须提供销售许可证或软件著作权证书等有效证明材料。4.Web服务器技术要求：性能要求1总体要求国际知名厂商2外型≥4U机架式3处理器配置2颗六核Intel至强64位处理器，主频≥1.86G4内存≥32GB PC3-10600R DDR3寄存式内存 Advanced ECC先进内存保护技术, 支持在线备援内存，内存镜像,双数据更正5存储配置总容量≥1.8TB SAS硬盘，硬盘转速≥15000转SAS磁盘阵列控制器, ≥1GB闪存式缓存,支持无限期数据保存;支持在线调整缓存读写比率, 在线调整LUN容量, 在线更改RAID级别等功能DVD驱动器6I/O标准5个PCI-E插槽,最大11个PCI-E 2.0插槽7网络4个1GB,可选经济型选件可升级至双万兆以太网，多功能网卡支持TOE、iSCSI、RDMA8接口1个串口、至少5个USB2.0接口，1个内部SD接口9可用性冗余电源，电源功率≥1200W，通过能源之星白金认证冗余风扇关键部件: CPU/内存/硬盘支持故障前预报警功能，并对预警的阵列，提前激活备用盘10可管理性独立的远程管理控制端口，支持远程监控图形界面, 可实现与操作系统无关的远程对服务器的完全控制，包括远程的开机、关机、重启、虚拟介质，管理简化服务器设置，健康监测及处理器恢复，电力和热量控制，包括用电上限系统管理软件, 可通过浏览器管理服务器及其他设备, 自动发现、更新网络上服务器和其它设备；监控设备配置和变化；监控硬件、软件运行情况；可以通过颜色、电子邮件方式报警, 安全性高：必须输入帐号、密码才能读写管理信息，传输用SSL加密，可选支持部署、迁移、监测、控制和优化你的IT基础建设,通过一个单一的、简单的管理控制台监控系统可实时监测内部主要部件的状态，包含CPU、内存、PCI槽、风扇、电源、温度等信息11操作系统正版Windows 2008操作系统，25用户，含正版光盘介质及License12服务提供3年免费人工、部件，7x24x4带备件上门的原厂服务包含CPU、内存、硬盘等关键部件的故障前预报警服务13其它原厂完整包装5、网络行为管理技术要求：性能要求产品资质要求计算机软件著作权登记证书公安部信息安全产品检测报告（远程主机检测类）公安部计算机信息系统安全专用产品销售许可证国家保密局涉密信息系统产品检测证书（远程主机监控与审计系统类）国家保密局涉密信息系统产品检测证书(网络接入控制系统类) 硬件平台系统架构标准C/S或B/S结构、或C/S与B/S相结合；支持VPN/拨号接入、分支机构联动管理。系统性能服务器为硬件标准1U设备，采用嵌入式Linux系统设计；2-4个千兆光口（可扩展光模块）、4个以上千兆电口；提供断电保护机制，确保服务器断电后不影响正常网络工作，如心跳、Bypass等；客户端支持X32\X64平台的 Win2000/2003/XP/Vista/WIN7操作系统；客户端与服务器、控制台之间策略更新时间小于5秒钟；部署方式支持旁路、网桥、网关3种部署方式，支持设备多级级联管理。平台要求要求系统平台中符合模块化设计，根据当前和以后需求在一个平台系统中灵活增加模块实现：身份认证，准入控制、IP地址管理、图档加密、图档管控、USB存储管理、行为规范及行为监控管理、IT资产管理、补丁管理、流量管理、网络维护、桌面管理、外设管理、报警管理、此设备需硬件设备类产品。所有功能必须在一个平台上面实现，不可出现第二平台、第二客户端。身份认证，准入控制准入技术采用NACP准入系统，即思科的NAC和微软的NCP技术相结合；产品采用内外安全准入系统，当有非法电脑入网时通过web方式提示入网的终端注册或获取授信入网；实现功能1、终端入网审核：审核终端用户，决定是否放行内网、外网、全部放行或拒绝放行。2、授信审核：审核用户的入网请求，决定是否放开内网、外网、全部放行或拒绝放行。3、临时通行证：对入网的临时用户或未安装客户端的终端以管理员分配的账号通过WEB登陆的方式来获取内外网的访问权限，关闭网页或点击注销后退出网络4、内网安全域：设置内网中可相互正常通信的终端范围，在同一安全域中的机器可相互通信，不在同一安全域的终端不可相互通信。5、网络隔离区：设置需要隔离的终端，在此区域中的机器阻断其一切通信，只保留与本服务器的通信。6、非法入侵终端：实时监测未经审核的用户接入网络，并可对其进行放行内网、放行外网、全部放行或拒绝放行操作。7、授信终端：显示未安装客户端的用户经过审核后放行的授信名单。8、基于终端健康状态检查的身份认证支持，根据客户端以下安全项分值判断是否放行客户端电脑内外网的访问权限，对不符合安全项分值的终端给予自动修复，修复合规后入网：9、基本信息：显示终端用户的基本信息，包括用户名称、所属部门、客户端在线状态、计算机名、IP地址、MAC地址、当前操作系统用户、操作系统版本、安装客户端时间、客户端版本号等情况。10、应用程序：实时显示终端机器正在运行的应用程序情况，即终端用户正在运行哪些程序，方便管理员进行查看，发现非法程序及时制止结束。11、实时进程：可实时查看终端机器的进程情况，管理员可根据查看情况，发现非法进程即可远程关闭。12、实时服务：查看终端用户实时开启的服务情况，方便管理员实时掌握终端机器服务，开启情况，进行相应的停止、启动、手动、自动、禁用、刷新等功能， 可远程对终端用户机器进行相应服务的操作13、共享文件：查看终端用户机器开启的所有共享文件情况，方便管理员对终端机器进行共享文件的管理，发现可疑共享文件即可远程取消其共享。14、终端用户：查看终端机器操作系统中包含的用户情况，例如administrator用户、guest用户等。并且能够进行远程添加账户、密码设置、删除账户、设为管理员等相关设置。15、磁盘信息：显示终端用户机器上的磁盘类型、磁盘文件系统、磁盘使用情况、已用空间、剩余空间等情况，方便管理员进行实时查看，了解终端用户机器磁盘使用情况。16、设备管理器：查看终端机器的设备管理器情况，即终端机器的详细硬件配置信息。17、杀软管理：查看终端机器所安装的杀毒软件名称、版本及运行情况。18、客户端状态信息检查：自动检查客户端的运行状态和完整性，如果发现客户端运行异常或是客户端安装目录不完整，则认为不符合准入规范19、杀软检查：通过灵活设置多项检查参数，对终端用户杀毒软件的使用情况和安全性进行评估，包括杀软种类（名称）、版本号、病毒库版本号等，对不符合检查项要求的终端，自动隔离，并提供修复选项，直到满足要求。20、Guest账户检查：自动检查终端用户是否启用了Guest来宾账户，如果启用了则认为不符合准入规范。21、系统共享资源检查：自动检查终端是否开启了系统共享功能，如果开启了则认为不符合准入规范。22、弱口令检查：自动检查终端账户密码是否符合复杂性要求，如果不符合则认为不符合准入规范。23、密码策略设置检查：自动检查终端系统的账户密码是否满足设置的密码长度最小值和密码最长保存期的要求，如果不符合要求则认为不符合准入规范。24、IP/MAC 绑定检查：自动检查终端机器的IP/MAC信息是否与管理员设置IP/MAC地址绑定列表信息相同，当终端计算机试图修改IP或者MAC时，系统自动判断为不符合准入标准。25、P2P软件检查：自动检查终端用户P2P软件的安装情况，如果检查到终端安装了P2P软件，则认为不符合入网规范。26、补丁检查：检查终端是否按照系统设置的级别（系统定义“严重”，“重要”，“中等”，“可选”,“低”五个级别）进行补丁安装，如果检查到终端没有安装相关补丁，则认为不符合入网规范。27、必须安装软件检查：检查终端是否安装了管理员要求必须安装的软件，如果检查到终端没有安装必须安装的软件，则认为不符合入网规范。28、网络监听端口检查：系统可以提供默认端口和自定义端口，如果检查到终端开放了不符合要求的端口，则认为不符合入网规范。29、禁止安装软件检查：检查终端是否安装了管理员禁止安装的软件，管理员可以选择程序内置的软件或自定义软件来禁止安装禁止软件的终端入网。系统服务检查：检查终端是否有未许可的系统服务启动，如果检查到终端启动了禁止的windows系统服务，则认为不符合入网规范。30、禁止运行进程检查：检查终端系统中是否运行了管理员不允许的进程。如果检查到终端运行了管理员禁止运行的进程，则认为不符合入网规范。31、必须运行的进程检查：检查终端系统中是否运行了管理员要求必须运行的进程，如果检查到终端没有运行管理员要求必须运行的进程，则认为不符合入网规范。32、计算机名称检查：检查网络中的计算机名称是否按管理员配置的统一命名规则要求进行设置，如果检查到终端的计算机名称不符合规则，则认为不符合入网规范。33、屏幕保护设置：检查终端是否勾选屏幕保护设置的“在恢复时使用密码保护”复选框，如果没有勾选则认为不符合准入规范。34、远程桌面设置：检查终端是否开启了远程桌面访问，如果开启了则认为不符合准入规范。35、禁用telnet：检查终端是否已经禁用telnet功能，如果没有禁用telnet则认为不符合准入规范。36、检查系统时间：检查对比终端系统时间和服务器系统时间，如果相差较大，则认为终端系统时间设置不合理，不符合准入规范。37、磁盘检查：检查终端的磁盘使用率，如果终端磁盘剩余使用空间低于某限值（可自定义设置限值），则认为不符合终端入网规范。38、垃圾文件检查：检查终端存在垃圾文件的情况，可以自定义垃圾文件总数或总大小限值，如果终端的垃圾文件超过限值，则认为不符合终端入网规范。39、检查3G上网卡：检查终端是否在使用3G上网卡，如果终端使用了3G上网卡，则认为不符合终端入网规范。40、违规外联检查：检查终端是否违规连接外网或具备连接外网的能力，如果终端违规连接了外网或具备了连接外网的能力，则认为不符合终端入网规范。健康状态检测实现功能1.显示终端用户的基本信息，包括用户名称、所属部门、客户端在线状态、计算机名、IP地址、MAC地址、当前操作系统用户、操作系统版本、安装客户端时间、客户端版本号等情况。2.实时显示终端机器正在运行的应用程序情况，即终端用户正在运行哪些程序，方便管理员进行查看，发现非法程序及时制止结束。3.可实时查看终端机器的进程情况，管理员可根据查看情况，发现非法进程即可远程关闭。4.查看终端用户实时开启的服务情况，方便管理员实时掌握终端机器服务开启情况，进行相应的停止、启动、手动、自动、禁用、刷新等功能， 可远程对终端用户机器进行相应服务的操作5.查看终端用户机器开启的所有共享文件情况，方便管理员对终端机器进行共享文件的管理，发现可疑共享文件即可远程取消其共享。6.查看终端机器操作系统中包含的用户情况，例如administrator用户、guest用户等。并且能够进行远程添加账户、密码设置、删除账户、设为管理员等相关设置。7.显示终端用户机器上的磁盘类型、磁盘文件系统、磁盘使用情况、已用空间、剩余空间等情况，方便管理员进行实时查看，了解终端用户机器磁盘使用情况。8.查看终端机器的设备管理器情况，即终端机器的详细硬件配置信息。9.查看终端机器所安装的杀毒软件名称、版本及运行情况。IP地址管理实现功能1、IP地址列表：扫描内网中所有机器的IP地址，并显示该IP地址所对应机器的终端类型，是非法入侵终端、安全终端还是授信终端。2、IP MAC地址绑定：将终端用户的IP地址与MAC地址进行绑定，不允许终端用户非法修改IP。3、无线网卡管理：设置终端用户允许或禁止使用无线网卡。4、网络属性管理：设置终端用户允许或禁止使用网络属性功能。5、远程网络配置：远程对终端用户的计算机名称、IP地址、网关、DNS地址以及代理服务器地址进行配置。6、批量网络配置：远程对多个终端用户的网络配置进行统一设置。IT资产管理实现功能1.硬件资产管理：自动生成所有终端用户计算机的硬件资产信息，如终端计算机的处理器、内存、网络适配器、磁盘驱动器、端口（com和ltp）、显示卡、监视器、主板、键盘、鼠标等系统设备。2.软件资产管理：自动生成所有终端用户计算机的软件安装信息、并对软件信息远程做维护管理。3.硬件资产查询：多条件查询所有终端用户的硬件信息。4.软件资产查询：多条件查询终端用户的软件安装信息。5.硬件维修记录：详细记录终端用户的硬件维修信息。补丁管理实现功能1.终端漏洞扫描：查看客户端机器的微软补丁安装情况，并可进行相应补丁的安装与忽略安装操作。2.补丁自动分发设置：设置终端用户是否自动进行补丁分发设置。3.已安装补丁信息：详细查看终端用户已安装补丁信息。4.漏洞修复日志：详细记录终端用户漏洞修复日志情况。5.已忽略补丁信息：详细记录终端用户已忽略补丁安装信息。6.更新补丁库：更新服务器中的补丁库信息。网络维护实现功能1.锁定键盘鼠标：锁定终端用户的键盘、鼠标。2.注销 重启 关机：设置终端机器注销、重启、关机或定时关机。3.远程通知：发送远程通知信息给终端用户。4.ARP防火墙：设置内网中的ARP防火墙，防止ARP欺骗攻击。5.ARP拦截日志：详细记录内网中的ARP拦截攻击日志。6.文件分发：远程将文件或程序分发到终端用户机器指定目录内。7.远程调试：远程对终端用户机器进行调试接管操作，像操作本机一样。报警管理实现功能1、终端用户的硬件发生变化后即报警，可进行重启、锁定键盘鼠标、隔离、发通知信息、邮件或短信方式通知管理员等操作。2、终端用户软件发生变化后即报警，可进行重启、锁定键盘鼠标、隔离、发通知信息、邮件或短信方式通知管理员等操作。3、终端用户的IP地址发生变化后即报警，可进行重启、锁定键盘鼠标、隔离、发通知信息、邮件或短信方式通知管理员等操作。4、计算机名称发生变化后即报警，可进行重启、锁定键盘鼠标、隔离、发通知信息、邮件或短信方式通知管理员等操作。5、终端用户的流量超过设置峰值后即报警，可进行重启、锁定键盘鼠标、隔离、发通知信息、限制流量、邮件或短信方式通知管理员等操作。6、终端用户未运行指定程序后即报警，可进行重启、锁定键盘鼠标、隔离、发通知信息、邮件或短信方式通知管理员等操作。7、违规外联报警：当内网机器能连接到Internet时即报警，可进行重启、锁定键盘鼠标、隔离、发通知信息、邮件或短信方式通知管理员等操作。外设管理实现功能1.光驱管理：设置终端机器允许或禁止使用光驱。2.软驱管理：设置终端机器允许或禁止使用软驱。3.刻录机管理：设置终端机器允许或禁止使用刻录机。4.新增加设备管理：设置终端机器允许或禁止新增加设备。5.添加打印机管理：设置终端机器允许或禁止新添加打印机。6.打印机管理：设置终端机器允许或禁止使用打印机。7.红外线接口管理：设置终端用户允许或禁止使用红外线接口。8.蓝牙设备管理：设置终端用户允许或禁止使用蓝牙设备。9.无线上网卡管理：设置终端用户允许或禁止使用无线上网卡。USB存储管理实现功能1、USB外设管理：设置终端用户允许或禁止添加USB外设。2、USB禁用存储：设置终端用户是否禁用所有USB存储设备。3、USB存储认证：注册内部存储U盘只能在内网中指定机器使用，在外网无法使用；授信外部U盘在外网可正常使用，在内部指定机器使用。4、USB文件操作审计：详细记录终端用户在USB存储设备中操作文件的情况，包括创建目录、创建文件、修改、复制、剪切、粘贴、重命名、删除等操作。5、USB应用审计 ：详细记录终端用户插拔USB存储设备的具体时间、盘符、插拔状态、磁盘容量、使用空间、剩余空间等信息。6、USB汇总：详细记录在客户端电脑上插入过的USB设备的序列号、类型等信息。7、USB存储授信端：赋予某台客户端超级USB使用权限，可使用所有注册U盘和非注册U盘。8、外部与内网数据传输通过设置专门的某台机器作为摆渡机实现，内部U盘和外部U盘皆可在摆渡机使用，外部的数据要进入内网首先将数据拷贝到摆渡机中，然后将数据再拷贝到内部U盘，带入内网。桌面管理实现功能1.IE安全设置：指定浏览器主页地址，清除Internet历史记录，为不同区域的WEB内容进行安全等级设置。2.远程桌面设置：远程定制终端用户的桌面背景图片。3.隐藏盘符：定制终端用户需要隐藏的本地磁盘分区。4.新安装软件管理：设置终端用户允许或禁止新安装软件。5.垃圾清理：设置终端用户是否定期清理垃圾文件。6.共享文件管理：设置终端用户允许或禁止共享文件。7.注册表保护：设置终端用户允许或禁止修改注册表。8.屏幕截屏：设置终端用户允许或禁止使用屏幕截屏功能。9.任务管理器：设置终端用户允许或禁止使用任务管理器。10.控制面板：设置终端用户允许或禁止使用控制面板。11.禁用多系统：设置终端用户允许或禁止使用多操作系统。12.禁止添加新用户：设置终端用户禁止添加新用户或启用添加新用户的功能。13.禁止修改计算机名：设置终端用户禁止修改计算机名或启用修改计算机名的功能。决策支持实现功能★报表管理 客户端的基本信息、客户端安全状态、功能策略、系统权限、用户的浏览网站事件、文件操作事件、文件打印事件、应用程序事件、设备使用记录、USB设备内部操作事件、USB设备应用事件、即时通讯工具事件、邮件事件、论坛事件、流量记录、文件加密日志、文件外发日志、授信邮箱日志、文档权限日志、文档备份事件、操作系统漏洞日志、补丁修复日志、补丁库日志、硬件、软件资产信息日志、硬件资产变更、维护日志、ARP拦截日志、终端入网审核日志、授信入网终端日志、非法终端日志、IP变化报警日志、计算机名称变化报警日志、以及其他报警事件等要有详细的统计汇总功能，所有报表日志信息支持以柱形图、饼形图、条形图、数据明细图等三维立体图形显示，方便管理者管理；并支持将报表数据导出到第三方文件以备其他用途。网络行为规范解决方案实现功能1.开机启动： 远程查看终端用户的开机启动项，并可远程禁止开机启动项的运行。2.远程卸载：远程查看终端用户的开机启动项，并可远程禁止开机启动项的运行。3.程序保护： 保护指定程序不允许被非法关闭，如杀毒软件、办公软件、ERP客户端等。4.程序黑名单： 禁止终端用户运行指定程序，可分时段控制，支持模糊关键字，支持标题栏。5.程序白名单： 允许终端用户只运行指定程序，可分时段控制，支持模糊关键字，支持标题栏。6.网站黑名单： 禁止终端用户访问指定网站，可分时段控制，支持模糊关键字，支持标题栏。7.网站白名单： 允许终端用户只能访问指定网站，可分时段控制，支持模糊关键字，支持标题栏。8.上网时间管理： 自定义客户端机器可以正常上网的时间。可分日期、分时间段定制，例如每周一到五的8点到12点不可上网。9.论坛行为管理： 设置终端用户允许或禁止在论坛发帖屏幕管理解决方案实现功能1.屏幕快照： 远程查看终端用户的当前屏幕影像。2.屏幕跟踪： 远程实时追踪查看终端用户的屏幕影像。3.多屏监控： 远程实时监视终端用户的屏幕运行情况。同时可以监控多个终端用户屏幕，一屏显示支持2X2,3X3,4X4，可多页翻屏显示。4.屏幕录像： 远程实时监视终端用户屏幕并录像，可后台播放所有记录屏幕影像，并可导出为AVI格式的多媒体文件。行为监控解决方案实现功能1.浏览网站审计： 全面记录上网信息并产生相应链接以便管理员查看。对终端所登录的网站包括网站标题、网站地址、访问时间等详细记录。2.文件操作审计： 详细记录终端用户的文件访问、新建、复制、粘贴、剪切、重命名、删除等操作。3.打印文件审计： 全面记录终端用户打印的文件名字、页数、时间及其具体打印文件的内容。4.应用程序审计： 详细记录客户端运行过的应用程序，包括开始运行时间、结束运行时间以及总共运行时长等信息。5.即时通讯审计： 详细记录客户端运行过的应用程序，包括开始运行时间、结束运行时间以及总共运行时长等信息。6.邮件监控审计： 监控终端用户发送邮件的正文、标题、收发件人、发件人以及附件内容等。可监控WEB邮件以及通过FOXMAIL/OUTLOOK/EXHANGE服务器等发送的邮件。7.论坛审计：监控终端用户在任何论坛网站上的发帖评论及相关回、发贴内容。包括发贴时间、人员名称等。图档加解密解决方案实现功能1.自动加解密：下发终端用户所对应的加密策略，强制自动加密终端用户文件。2.手动加解密：可对任何文件进行手动强制加密、解密操作。3.硬盘全加密：对硬盘上所有已选定图档格式的文件，进行全盘加密。4.硬盘全解密：对硬盘上所有已选定图档格式的文件，进行全盘解密。5.图档密级： 将不同类型的图档根据实际情况设置为不同的密级，针对不同密级的文档，只有特定的用户拥有该密级权限方可查看。6.移动外发：满足加密文件脱机使用，提供授权邮箱，离线运行，外网解密等外发解密方式。7.外发审核日志：终端用户外发加密文件需经管理员审核通过后解密，方可进行外发。图档管控解决方案实现功能1.远程文件管理：管理员可远程操作客户端硬盘上的所有文件，包括下载、上传、删除、查看、远程执行等操作。2.图档权限控管：定制终端用户机器的某些文档或目录禁止被剪切、复制、删除、重命名，从而保障文档的安全性，不被误删除或非法删除。3.图档备份：对终端用户机器上的重要文件进行自动备份或手动备份到文档备份服务器。4.备份日志查询：查看终端用户文件备份的详细情况，并可进行文档恢复操作，保证终端文件安全。网络流量解决方案实现功能1.即时流量管理：实时查看终端用户的即时流量信息。2.历史流量管理：分协议详细记录终端用户网络流量使用情况。3.应用程序流量管理：查看终端用户正在运行的应用程序所占用的带宽流量，包括上传流量与下载流量的具体信息。4.互联网流量管理：设置终端用户互联网流量的带宽限制。5.端口扫描：扫描终端用户机器所有端口的开启情况。6.端口协议管理：设置禁止开启终端用户机器的某个端口或协议。本次项目需要的模块功能是:报警管理、IT资产管理、IP地址管理、身份认证准入控制、健康状态检测、USB存储管理、屏幕管理、行为规范及行为监控管理、补丁管理、网络流量管理、网络维护、桌面管理、外设管理、报警管理、决策支持。其他模块图档加解密、图档管控为后期扩容部分，要求系统平台中符合模块化设计，根据当前和以后需求在一个平台系统中灵活增加模块实现。所有功能必须在一个平台上面实现，不可出现第二平台、第二客户端。所投产品厂商必须满足以上全部功能，需提供证明（加盖原厂商公章）。6、等级保护安全制度建设与服务及安全培训要求：要求项目实施期限内至少制定和完善以下制度：1、制度规范制定：⑾数据安全规范、⑿网络安全管理规范、⒀网络设备配置规范、⒁系统安全管理规范、⒂数据备份制度、⒃应急响应制度、⒄信息系统建设管理办法、⒅操作系统安全管理、⒆数据库安全管理、⒇安全事件处理规范2、安全配置核查：根据用户方当前专网安全配置规范要求，针对主机、网络设备和核心业务系统提供每年不少于6次的专业安全配置核查服务并提供加固建议。3、漏洞扫描服务三年内，中标方每年6次使用专业漏洞扫描设备，对现有网络的服务器，数据库，网络设备，安全设备等进行系统和应用层面的漏洞扫描，依据结果向用户方提出安全建议并协助完善。4、应急响应服务：结合相关主管单位和信息系统等级保护的具体内容，组织相关技术力量完成应急响应指南和具体操作规程，三年内每年至少组织二次应急响应演练。在应急响应演练前需提交应急演练计划、实施方案，完成应急演练后需提交演练报告，并进行总结。对重大安全问题的响应和处理，服务人员到达现场不超过一小时；安全事件处理完毕后，协助用户方进行事件原因调查，以及系统恢复等后期工作，以建立正常的业务运行环境，并提供相关事件分析报告。5、安全监控服务：三年内，在重大节日前完成安全巡检，并在“五一”、“十一”等特殊时期时提供远程值守工作。在每年两会敏感时期内派专人并配备相关安全设备进行现场服务，执行零报告制度，实行一日一报。此外，如因上级管理机关或地方安全主管部门要求进行现场值守时，提供至少一名人员上门进行技术支持。6、培训内容：⑴信息网络安全状况介绍；⑵信息系统等级保护测评流程讲解；⑶常见操作系统安全，系统安全检查和加固，数据库安全培训，网络设备安全培训，攻击防护安全培训； ⑷等级保护相关内容、数据库安全系统和内控堡垒主机等安全培训与实际操作；备注：投标文件中所要求提供的原厂商服务承诺函原件，投标文件中如未提供的必须在投标文件中的作出书面承诺：如果我单位中标，我单位将在中标公示期限内向采购人提供，逾期未提供的，按自动放弃中标资格处理，由此产生的一切相关责任均由我公司承担。