01-1 审计一体机(1套):
★1、硬件参数:标准机架机箱,双电源,标准配置:≥6个千兆自适应电口,≥1个Console口,≥两个扩展槽位(每个槽位可扩展4个万兆接口),≥4TB磁盘存储空间,支持液晶屏;
★2、性能参数:事件处理≥*****条/秒;审计授权数量无限制。
3、系统可同时支持IPv4和IPv6的网络环境下数据库的审计;
★4、系统支持通过Agent审计到回环接口的流量(提供功能截图并加盖公章);
★5、支持全文检索数据库solr的审计,可审计到solr的查询、插入行为的操作信息;全面支持后关系型数据库Cache的审计,包括terminal、portal、studio、Sqlmanager、MedTrak等工具访问的审计,Portal可审计Sql语句、查询Global变量以及二者的返回内容,Terminal可审计M语句及返回内容,MedTrak可审计工号、操作报表以及二者的返回内容,studio可审计到编译、代码更改等操作,Sqlmanager可审计数据库账号和操作的sql语句;(提供功能截图并加盖公章)
★6、支持B/S架构Http应用三层审计,可提取包括应用系统的人员工号(账号)的身份信息,精确定位到人,并可获取XML返回结果, 支持框架:tomcat、apache、weblogic、jboss;支持C/S架构COM、COM+、DCOM组件的审计,可提取应用层工号(账号)的身份信息,精确定位到人;(提供功能截图并加盖公章)
7、支持对指定时间段风险数据按不同维度进行统计排行,统计维度包括:风险最多的规则类型TOP5、触发风险最多的保护对象TOP5、触发风险最多的IP TOP5、触发风险最多数据库账户TOP5、触发风险最多应用账户TOP5、触发风险最多工具TOP5;
8、支持以时间轴的方式将每月的风险数量以柱状图展示,默认以不同颜色展示高中低三种风险,支持手动选择展示风险等级;
★9、审计规则支持24种以上分项响应条件;可支持规则类型(普通规则、组合规则)、风险级别(高、中、低、一般行为、关注行为五种级别)、数据库操作命令(包括select、create、delete等40种以上命令);关键字审计、语句长度、语句执行回应(包含成功、失败、阻断等)、语句执行时间(支持配置1-******ms阈值)、返回内容、返回行数(支持配置1-9999阈值)、数据库名、应用账户、服务器端口、客户端操作系统主机名、客户端操作系统用户名、客户端MAC、客户端IP、客户端端口、客户端进程名、时间(含开始结束日期)、数据库表、包、存储过程、函数、视图、字段、索引等(提供功能截图并加盖公章);
10、事件回放支持以正序/倒序方式回放,并且支持设置回放时间,针对记录前后1/2/5/30/60分钟进行回放;
11、提供用户界面告警、Syslog告警、SNMP告警、邮件告警、短信系统、短信猫告警等六种方式;
★12、支持Hadoop架构下的大数据库Hbase审计;支持solr(全文检索数据库)审计;支持HIVE(数据仓库工具)的审计;支持Hive-hwi、Hive-view、Hive-hue,可审计Hadoop Hive sql创建数据库、建表、删除表、修改表结构、创建/删除视图、数据表内加载文件、将查询结果插入Hive表中、基本查询等操作(提供功能截图并加盖公章);
01-2 上网行为管理(1套):
★1、性能参数:网络层吞吐量≥10Gb,应用层吞吐量≥1.5Gb,带宽性能≥1Gb,支持用户数≥4000,包转发率≥144Kpps,每秒新建连接数≥*****,最大并发连接数≥*******,含三年URL&应用识别规则库升级。
★2、硬件参数:内存≥4G,硬盘容量≥64GSSD+960GSSD,千兆电口≥6个,SFP光口≥2个。
3、支持网关模式,支持NAT、路由转发、DHCP、GRE、OSPF等功能。
2、支持网桥模式,以透明方式串接在网络中,支持电口bypass。
4、支持部署在IPv6环境中,设备接口及部署模式均支持ipv6配置,所有核心功能(上网认证、应用控制、流量控制、内容审计、日志报表等)都支持IPv6;
5、可设置四类管理员,分别为配置管理员、管理员、日志管理员,以及多种权限的超级管理员;管理员支持分级,高级别管理员的策略配置优先生效,并可修改低级管理员的策略。
6、提供设备实时CPU、内存、磁盘占有率、在线用户数、系统时间、网络接口等信息。
★7、支持通过OAuth认证协议对接,支持阿里钉钉,口袋助理,企业微信第三方账号授权认证(提供功能截图并加盖公章);
8、支持自动检查终端是否能PING通互联网地址,对不满足检查要求的终端强制断网,支持向管理员告警,并弹窗提示用户;;
9、支持认证前使用某个组织结构的上网权限,保障未认证用户可使用开放网络资源。
10、支持基于用户组、位置、终端类型、URL类型配置上网策略。
11、支持根据访问的URL、网页关键字进行网页过滤,支持设置拒绝以IP访问网页行为。
12、支持根据不同的应用类型或具体的某种应用设置允许或拒绝。
13、支持在不同线路上,根据不同的应用、目标IP、时间段、日期、用户/用户组、位置、终端类型来保证或者限制流量。
14、支持查询和导出基于指定时间段/用户/用户组的文件审计、邮件收发、访问网站、即时通讯、发帖/微博、搜索关键字等详细用户行为的报表。
15、支持至少20款以上主流杀毒软件的运行情况、软件版本、病毒库更新时间检查,对不满足检查要求的终端可重定向页面修复、弹窗提示、限制权限、禁止上网;
★16、支持802.1x认证,支持对接本地和AD域用户源,支持在旁路模式部署下准入生效;支持以USB-Key方式实现双因素身份认证;
★17、设备必须支持能自动发现网络中通过无线上网的热点和移动终端的IP和终端类型,支持移动终端型号识别;(提供功能截图并加盖公章);
★18、URL数量在3000万以上,包含分类数量150个以上; (提供第三方机构检测报告证明截图并加盖公章);
19、支持针对上网权限策略进行检测分析,各个应用是否匹配相关策略;
20、支持首页分析显示接入用户人数、终端类型;带宽质量分析、实时流量排名;泄密风险、违规访问、共享上网等行为风险情况;
21、支持PPS异常、丢包异常、ARP异常、内网DOS攻击等异常情况实时监测,显示每日异常事件个数及情况;
★22、支持图形化当前内网IP使用情况,帮助管理员减少人工维护IP表的工作量; (提供截图证明并加盖公章)
★23、支持哑终端通过MAC认证的方式接入网络,必须支持在终端管理列表批量绑定设备IP/MAC快捷放通入网;提供技术承诺函并加盖厂商公章;
★24、支持Teamviewer、向日葵、Anydesk、RDP的远程应用的外发文件审计;提供技术承诺函并加盖厂商公章;
★25、设备必须支持知名杀毒引擎,支持防火墙模块,或者单独提供同等性能的防火墙设备,支持检测SYN Flood、ICMP Flood、UDP Flood等泛洪类攻击防护,支持发现异常后告警、封锁主机、推送终端安全软件修复处置;支持对HTTP、HTTPS、FTP、SMTP、POP3、IMAP协议进行病毒检测和查杀;支持告警通知;
01-3 态势感知(1套):
1.1态势感知平台
★1.1.1、2U标准机架硬件,2*CPU≥40线程,内存≥128G,SSD硬盘≥256G,SATA硬盘≥32T,千兆电口≥2,支持RAID,接口扩展槽位≥4,接入日志性能≥5000eps,含三年特征库升级;
★1.1.2、漏洞管理:平台支持向漏洞扫描设备,下发系统漏洞扫描任务、网站安全漏洞扫描任务、口令猜测扫描任务,通过平台进行统一扫描任务监控、管理,对扫描结果可以进行可视化呈现;(提供功能截图并加盖公章);
1.1.3、数据采集:平台应支持内置300+设备日志解析规则以及筛选,包括但不限于网络设备(防火墙、交换机、网关)、安全设备(入侵检测设备、WEB攻击防护设备、APT检测设备、防火墙、网络审计、流量探针等)、终端主机日志、数据库等;
1.1.4、威胁检测与分析:平台应支持规则分析能力,应支持不少于300种内置分析识别规则并支持内置规则的升级,支持用户自定义规则,用户自定义规则可以支持导入导出;平台应支持远程控制控制风险行为的检测,如向日葵、TeamViewer、远程连接windows命令行、远程控制工具等;
1.1.5、资产管理:平台应支持多维度资产管理,进行多维度资产视图分析,系统至少内置五种视图:资产组视图、业务系统视图、组织结构视图、地理位置视图、行业视图,平台应支持资产发现能力,至少具备主动扫描发现资产能力,主动扫描支持联动漏扫设备下发资产扫描策略并上报扫描结果;
1.1.6、态势呈现:平台应支持所监测网络安全情况的态势呈现能力,态势呈现包括但不限于综合态势、威胁态势、脆弱性态势、环境感知态势、运维响应态势;平台应支持对网络环境中威胁、漏洞、资产各种事件多种运维方式的可视化呈现,包括但不限于人工处置的各类型运维事件的状态统计、数量统计、自动化编排和响应的时长统计、数据量统计以及任务数统计等;
★1.1.7、一键封堵:平台应支持针对IP、域名、会话进行封堵,支持主机隔离、流量牵引等方式联动设备进行封堵,设备类型包括但不限于防火墙、抗拒绝服务系统、WEB应用防火墙、网络流量探针等(提供功能截图并加盖公章);
1.1.8、平台应支持封堵状态获取及,支持判断封堵成功、封堵失败、解封成功、解封失败等状态;平台应针对不同客户场景,平台应至少支持2类以上旁路部署的封堵设备进行联动封堵,当封堵设备发生故障时,不会影响被监测单位的自身业务;
1.1.9、具备安全管理平台类《计算机信息系统安全专用产品销售许可证》(提供证书并加盖公章);
1.1.10、具备中国网络安全审查技术与认证中心颁发的《IT产品信息安全认证证书》(提供证书并加盖公章);
1.2态势流量探针
★1.2.1、硬件架构与性能:标准机架硬件,1个GE管理口,1个RJ45串口,2个USB接口,内存≥16G,硬盘≥1T,千兆电口≥6,接口扩展槽位≥1,网络吞吐量≥20Gbps,最大并发会话数≥1200万,每秒新增会话数≥*****0;
1.2.2、流量采集:支持导入HTTPS证书,对流量进行解密还原支持对http、smtp、imap、pop3、ftp、telnet、dns、icmp、ssl、ldap、mssql、oracle等常见协议的深度解析和还原;支持流量灰名单,关注重点资产流量,对命中灰名单的流量进行还原和威胁检测。灰名单类型包括IP、端口、IP+端口;
1.2.3、文件还原:支持对流量中出现的文件进行发现和还原,支持还原的协议包括:http、smtp、pop3、imap、ftp、webmail、samba;支持还原的文档类型:doc/docx、xls/xlsx、ppt/pptx、pdf、rtf、wpt、pot、wps、pps、mpp、et、dpt、dps、ett、dot;
1.2.4、DoS/DDoS 支持网络层/应用层DDOS检测和告警;支持自定义pingFlood、udpflood、synflood、dnsreplyflood检测模型,支持配置的参数包括检测阈值、检测周期、保护时间、复位时间、限制流量;
★1.2.5、扫描检测:支持自定义TCP端口扫描检测模型,支持配置参数包括检测阈值、检测周期,提供默认配置;支持自定义UDP端口扫描检测模型,支持配置参数包括检测阈值、检测周期,提供默认配置(提供功能截图并加盖公章);
1.2.6、WEB应用检测:内置WEB应用机器学习检测模型,支持对sqli,xss,exec,phprce,ptravel和jeli攻击类型进行分类检测和告警;WEB类告警详情中包含请求和响应信息,在请求和响应信息中能标记规则匹配中的字段信息,便于运维人员快速进行确认攻击事件;
1.2.7、恶意文件检测:内置恶意文件检测引擎,支持对可执行文件、文档、压缩包和网页脚本进行恶意代码检测和告警;
★1.2.8、异常行为检测:支持自定义TCP/UDP行为检测模型,通过自定义内部资产对流量中的异常行为(包括内部向外部发起、内部对内部发起)进行检测和告警,告警信息包含检测类型和威胁事件名称(提供功能截图并加盖公章);
★1.2.9、资产管理:支持从流量中自动识别资产信息和归类,识别的信息至少包括资产IP、资产MAC、资产类型、地理位置、系统名称、系统版本、端口、资产组、资产状态、威胁相关、威胁研判(提供功能截图并加盖公章);
1.2.10、系统监控:系统应具备系统运行状态监控功能,能够实时CPU使用率、内存使用率、磁盘剩余空间、系统运行时间、接口状态、流量等信息;
★1.2.11、备份:支持配置策略的备份,备份数据至少包括全部配置、引擎参数、接口参数和白名单(提供功能截图并加盖公章);
1.2.12、具备《计算机信息系统安全专用产品销售许可证》(提供证书并加盖公章);
1.2.13、具备《软件著作权登记证书》(提供证书并加盖公章);
参加辽宁省政府采购活动的供应商未进入辽宁省政府采购供应商库的,请详阅辽宁政府采购网 “首页—政策法规”中公布的“政府采购供应商入库”的相关规定,及时办理入库登记手续。填写单位名称、统一社会信用代码和联系人等简要信息,由系统自动开通账号后,即可参与政府采购活动。具体规定详见《关于进一步优化辽宁省政府采购供应商入库程序的通知》(辽财采函〔2020〕198号)。
1.本项目采用全流程电子招投标,参与本项目的供应商须自行办理好CA锁,供应商除在电子评审系统上传响应文件外,应在递交响应文件截止时间前提交按采购文件规定的介质形式(U盘)存储的可加密备份文件,并承诺备份文件与电子评审系统中上传的响应文件内容、格式一致,备系统突发故障使用。供应商仅提交备份文件或仅上传响应文件的,响应无效。详见辽宁政府采购网《关于完善政府采购电子评审业务流程等有关事项的通知》辽财采函{2021} 363号。2.供应商自行准备电子设备确保能够自行解密及报价。
