序号 | 指标项 | 技术规格参数 |
1. | 性能参数 | HTTP吞吐量:≥850Mbps |
最大HTTP并发数:≥40万 |
HTTP事务速率:≥13000/秒 |
支持站点数:不限制 |
2. | 硬件规格 | 网络接口:4*10/100/1000M电口,4*10/100/1000M光口 |
Console接口:1个 |
存储介质(硬盘):500G |
机箱高度:2U |
3. | 部署能力 | 支持透明(透明桥)部署模式,支持反向代理,支持混合部署,支持静态路由的配置 |
4. | 网络自适应能力 | 支持VLAN解码,在Trunk线路上部署并提供防护 |
支持端口汇聚(Trunk),显著提高设备间的吞吐能力 |
5. | 高可用性 | 支持主从部署模式 |
支持链路是否正常的监控 |
支持双机配置自动同步 |
内置bypass模块,设备故障直接切换到bypass模式 |
6. | 检测引擎 | 高性能攻击特征检测引擎 |
系统提供完善的内置规则 |
提供高度灵活的自定义规则向导,适用于高级用户 |
基于智能用户行为识别的动态防护机制,识别并彻底阻断黑客的攻击行为 |
支持自学习设置,可自定义是否启用自学习功能,启用后系统对URL/Cookie信息进行自学习并构建模型,禁止违反现有模型的行为 |
支持要进行自学习的白名单设置 |
支持生成自学习结果并由系统自动调用 |
7. | 安全监控 | 支持针对Web安全事件的实时监控 |
支持针对Web应用连接状况和流量信息的实时监控。 |
支持设备资源使用情况的实时监控,系统CPU、内存及磁盘使用率 |
支持Web安全事件的分级上报、监控、统计功能 |
对Web服务器向外自动发起连接的可疑行为进行实时监控分析(提供界面截图并加盖原厂公章) |
可以针对指定的端口进行检测 |
能根据源IP、目标IP进行黑白名单设置 |
分析和统计受保护服务器对外发起连接的次数并显示目的IP所在的物理位置 |
支持对网站主页和指定页面进行页面级可用性监测 |
可根据配置的检测任务,对指定的网站进行定时测试,检测网站的服务质量,包括监控目标的URL、请求执行时间、结束时间、耗时、状态等信息 |
8. | HTTP协议防护 | 支持针对HTTP的请求头信息进行合规性检查 |
支持对HTTP请求信息中的方法及参数长度等信息进行检测与记录 |
HTTP RFC符合性 |
HTTP请求类型防护 |
9. | Web基础架构防护 | 蠕虫、缓冲区溢出、CGI信息扫描、目录遍历等Web通用攻击防护 |
10. | Web应用安全防护 | 具备SQL注入攻击检测与防御能力 |
具备XSS攻击的检测与防御能力 |
支持跨站请求伪造(CSRF)攻击防护 |
支持多类型爬虫的防护 |
支持网站盗链行为的检测与防御 |
缓冲区溢出防护 |
Webshell行为拦截 |
外部非法扫描防护 |
11. | Web访问控制 | 基于规则的ACL |
基于来源IP的ACL,目的IP的ACL |
目的URL的ACL |
主动阻断方式,丢弃数据包、阻断TCP连接、禁止恶意IP的后续访问 |
12. | 防CC攻击防护 | 基于来源IP攻击防护 |
基于特定URI攻击防护 |
基于阀值禁止黑名单IP地址对受保护Web服务的任何后续访问 |
13. | 抗拒绝服务攻击 | TCP/UDP Flood防护,基于最大上限阀值设置,而非DDOS特征库 |
14. | 服务器安全 | 屏蔽和隐藏服务器版本信息、服务信息及安全漏洞信息,防止服务器系统一些关键信息泄露给攻击者,杜绝为黑客提供攻击线索 |
15. | 内容安全 | 内置敏感关键字内容,支持用户自定义设置关键字过滤内容 |
16. | 在线取证 | 支持获取当前系统基本信息、网络连接状态、当前打开网络服务端口的应用程序、当前访问网络的应用程序、当前被打开的文件、当前打开文件的应用程序、当前正在运行的进程、内存中存储的信息(包括物理内存和各个应用程序)、系统自启动应用程序等各种易丢失数据。支持存储易丢失数据快照,支持将当前获取的易丢失数据快照与以前获取的易丢失数据快照进行比较,发现数据差异; 提供国家版权局颁发的自主知识产权证书; |
17. | Web应用漏洞扫描 | 能够对目标网站进行漏洞扫描,包括SQL注入、CGI、跨站脚本(XSS)、Web后门、网页挂马、外部内容嵌入等应用层漏洞扫描 |
18. | Web云加速 | 提供基于云平台的CDN网络加速服务,将缓存文件就近分发给终端用户,从而达到加速网站访问、减轻服务器访问压力的效果 |
19. | 网页防篡改集成能力 | 提供与网页防篡改集成的一体化方案和能力,实现更安全、有效的网站安全整体防护体系 |
20. | 报表功能 | 提供丰富的系统报表(入侵统计、按入侵类别统计、被攻击主机、攻击来源IP和地理位置、页面访问次数、网络接口流量趋势),可以充分满足用户的需求 |
提供多种展现图形经报表类型,包括柱状图、折线图、饼状图 |
按事件类型、统计目标或周期类型条件进行统计 |
可按天、周、月等时间周期输出指定报表类型 |
支持将生成的报表以HTML、Word、PDF等通用格式输出 |
21. | 日志系统 | 系统日志、审计日志和安全防护日志(入侵记录、攻击源IP所处地理位置、页面统计、网络流量、防篡改日志、DDoS防护日志、防CC日志、非法外联日志等) |
可基于时间、IP、端口、协议、动作、规则集、规则集类别、危害等级、请求方法等条件进行日志查询 |
日志导出、清空、自动磁盘日志清理 |
22. | 系统维护 | 提供ping、arp、traceroute、nslookup等网络工具,用于分析网络状况 |
支持系统配置的备份与导入功能 |
当设备故障时,支持用户快速向厂商发出技术协助请求。用户可一键生成应急技术支持包,系统自动生成故障原因并自动发送至服务厂商,方便厂商快速排除系统故障 |
23. | 管理能力 | 支持B/S方式管理 |
支持标准SNMP trap 和Syslog接口 |
24. | 联动功能 | 为了便于统一安全管理联动,与网页防篡改保护系统同一品牌,提供原厂商联动证明原件。 |
25. | 产品资质 (出具加盖厂商公章的复印件) | 具备公安部信息安全产品销售许可证; 具备国家保密局涉密信息系统安全保密测评中心颁发的涉密信息系统产品检测证书; 具有ISCCC国家强制性认证证书(增强型); 具备军用信息安全产品认证证书; 具备IPV6认证证书。 |
26. | 厂商资质(出具加盖厂商公章的复印件) | 具备CMMI 3级或以上证书; 具备国家保密局颁发的涉密计算机信息系统集成甲级资质; 具备ISO9001质量管理体系认证证书(质量体系范围包含软件的设计开发、信息安全应急处理服务及信息系统安全集成)、ISO20000信息技术服务管理认证证书、ISO27001信息安全管理体系认证证书及ISO14001环境管理体系认证证书; |
序号 | 指标项 | 技术规格参数 |
1. | 总体要求 | 产品需为软硬件一体化的专业防毒墙,非病毒扫描功能建立在防火墙基础上的设备。 |
具有专用的操作系统 |
产品对通过文件、邮件附件、网页浏览等方式传播的木马、病毒、后门、蠕虫、间谍软件等恶意软件实时扫描并拦截,同时可分析网内各种应用协议使用情况,以及防御SQL注入、XSS跨站脚本等针对WEB服务器的攻击。 |
2. | 硬件要求 | 标准2U机架式设备,支持多核,提供端口不少于4个电口、4个光口,具有2对Bypass功能,支持双机热备; 转发吞吐量不少于1Gbps,HTTP吞吐量不小于800Mbps,SMTP吞吐量1000万/小时。支持并发用户数不少于2000个。 |
设备支持基于端口的VLAN和基于802.1Q 的VLAN。 |
设备支持直连、旁路、混合部署模式,要求部署时无需改变现有DNS配置和网络结构。 |
3. | 功能要求 | 支持对HTTP/HTTPS/FTP/SMTP/POP3五种协议实现木马、病毒、后门、间谍软件、蠕虫等恶意软件的扫描和过滤 |
支持HTTP/HTTPS POST和Get的双向实时检测,并允许用户自定义检测规则 。 |
设备自身可加载病毒特征库≥10,000,000条。 |
过滤引擎为深度内容检测(DCI)与病毒特征匹配工作方式,非串流过滤引擎。 |
支持通过分析软件的行为和特征判定是否为恶意软件的启发式扫描技术。 |
能防止web服务器被挂马、攻击,植入病毒、恶意代码、间谍软件等 |
支持恶意网页和URL过滤功能,要求整合Google安全浏览数据库,并支持自定义黑白名单 |
支持DNS校验监控,要求当有对已知恶意网页或站点的DNS server 发生请求时,可实现监控并记录。 |
支持隔离保存通过http/https/FTP传输的文件,以及隔离邮件和邮件附件,且隔离区里的文件和邮件能够下载。 |
支持365天不间断更新,要求支持80端口加密升级,每天不少于6次,并无需改变防火墙等网络设备的访问控制策略。 |
支持详细的病毒防护日志记录,要求必须记录日期、病毒名、文件名、源IP地址、目的IP地址、采取的动作等内容。 |
支持详细的Web防护日志记录,要求必须记录日期、源IP地址、目的IP地址、访问方法、攻击URL、攻击名称、采取的动作等内容。 |
支持即时、定期报表生成功能,要求体现病毒威胁变化、各类应用与各IP地址带宽利用率、当前会话数、系统运行状态信息等,并根据报警信息的特征可同时设置多个报警显示界面 |
支持简体中文操作界面和多级管理员权限分配,要求必须但不少于读写帐号、只读帐号及审计帐号。 |
支持带内、带外管理,要求可通过SSL加密的WEB 、SSH 命令行、Console方式管理。 |
4. | 联动功能 | 为了便于统一安全管理联动,与Web应用防护系统同一品牌,提供原厂商联动证明原件。 |
5. | 产品资质 | 具备国家版权局颁发的软件著作权登记证书; 具备公安部颁发的《计算机信息系统安全专用产品销售许可证》; 具备军用信息安全产品认证证书; 具备IPV6 Ready认证。 |
6. | 厂商资质 | 具备CMMI 3级或以上证书; 具备国家保密局颁发的涉密计算机信息系统集成甲级资质; 具备ISO9001质量管理体系认证证书(质量体系范围包含软件的设计开发、信息安全应急处理服务及信息系统安全集成)、ISO20000信息技术服务管理认证证书、ISO27001信息安全管理体系认证证书及ISO14001环境管理体系认证证书; |
序号 | 指标项 | 技术规格参数 |
1. | 性能指标 | 管理端:Win7、Windows2000、Windows2003、windows2008、windows2012、Linux等 |
监控端:Win7、Windows2000、Windows2003、Windows2008、windows2012、Linux等 |
同步端:Win7、Windows2000、Windows2003、windows2008、windows2012、linux等 |
支持的网站服务器类型:IIS、Apache、Weblogic、IBM HttpServer、WebSphere、Tomcat、SunOne、iPlanet、TongWeb、Jboss等 |
2. | WEB应用安全防护 | 支持SQL防注入式攻击,对网络请求进行验证,自动阻止SQL注入攻击,支持SQL自定义选择注入规则库 |
支持防目录遍历,支持自定义选择目录遍历规则 |
支持防跨站脚本攻击,支持自定义选择跨站脚本攻击规则 |
支持防远程文件包含攻击,支持自定义选择远程文件包含攻击规则 |
支持爬虫防护、盗链防护,支持自定义选择爬虫类型、盗链类型 |
支持自定义IP黑白名单 |
防Web服务敏感信息泄露 |
支持用户自定义设置关键字过滤规则 |
支持永远在线功能,用户可自定义设置404页面 |
支持HTTP头字段溢出防护 |
支持网站代理功能,提高网站性能和增强网站安全性 |
支持对WEB攻击事件的详细信息记录和查询 |
3. | 网页文件保护 | 支持用户自定义目录、文件、文件类型的排除保护规则 |
支持网页文件的流出检测 |
4. | 监控与恢复 | 支持站点所有类型文件/目录的自动保护、监控与恢复 |
支持多线程的文件监控与恢复 |
支持实时阻断(增强型事件触发技术) |
具备预先阻止非法篡改的能力 |
支持自定义目录、文件、文件类型、文件修改事件、文件删除事件、文件新建事件模糊匹配等方式的排除监控策略 |
支持超时退出 |
支持防篡改系统自身核心进程的防护 |
支持系统自保护,确保系统自身进程始终有,禁止非法程序对系统自身安装目录进行非法操作 |
支持断线/连线状态下的自动监控与保护 |
支持断线状态下非法行为的恢复操作 |
支持文件恢复的失败重试 |
支持实时文件事件监控,不依赖http请求实时监控、实时恢复受保护文件及内容的非法更改 |
网页文件通过http发送时进行数字指纹验证和文件恢复,确保内容的正确性 |
水印库加密存储,保证水印库不可篡改 |
5. | 同步策略机制 | 支持多站点服务器的集中管理,文件变化自动同步到多个Web服务器 |
支持自定义完全同步和增量同步策略 |
支持自动同步策略,支持自定义目录、文件、文件类型、文件修改事件、文件删除事件、文件新建事件、模糊匹配等方式的排除同步规则 |
支持自动同步策略,支持自定义目录、文件、文件类型、文件大小上限、文件大小下限、文件创建时间、模糊匹配等方式的排除同步规则 |
支持自动实时发现文件变更并完成同步 |
默认支持多线程并发同步上传 |
6. | 网站安全发布 | 支持网站数据的加密传输 |
支持发布端向多台网站服务器的文件同步 |
网站备份还原 | 支持站点目录文件备份还原 |
支持站点数据库备份还原 |
支持同步备份内容加密 |
支持同步备份过程失败重试 |
支持自定义备份单个/多个目录或文件 |
支持自定义目录、文件、文件类型、文件大小上限、文件大小下限、文件创建时间、模糊匹配等方式的排除备份规则 |
支持网站内容备份到多台同步主机 |
7. | 智能防御 | 支持服务器CPU,内存,硬盘状态监控 |
支持服务器注册表监控,发现非法修改注册表行为并报警,可自定义开启/关闭禁止修改注册表功能 |
8. | 黑客追踪 | 具备入侵痕迹分析、获取目标主机静态信息、获取目标主机动态信息、监听目标主机网络通信、主机类型分析、入侵痕迹提取分析功能 |
具有国家版权局颁发的《软件著作权登记证书》和及公安部科技局颁发的《科技研究成果登记证书》; |
9. | 实时报警 | 支持报警日志的自动记录 |
支持报警类型和报警时间设置 |
支持多种方式报警 |
10. | 网站访问智能分析 | 支持用户来源IP分析 |
支持网站访问用户行为分析 |
支持灵活的网站商业数据查询条件设置 |
支持网站用户来源地区统计 |
支持各站点频道/栏目分析 |
支持网站的总体访问量分析 |
支持网站板块访问统计 |
11. | 管理员权限控制 | 支持多账号管理 |
支持创建不同级别管理员 |
支持各级管理员不同权限划分 |
支持密码设置、修改 |
支持用户增加、修改、删除 |
12. | 日志管理 | 支持保护日志查询审计功能 |
支持自动生成不同类型日志 |
支持日志按主机、网站、WAF、文件/注册表篡改等方式分类 |
支持日志多种管理方式(多种浏览方式) |
支持不同级别管理员的日志操作 |
13. | 分析与报告 | 支持列表、图表等多种展示方式 |
支持提供详尽的安全事件浏览、查询、统计 |
14. | 联动功能 | 为了便于统一安全管理联动,与Web应用防护系统同一品牌,提供原厂商联动证明原件; |
15. | 产品资质 (出具加盖厂商公章的复印件) | 具备国家版权局颁发的软件著作权登记证书; 具备公安部信息安全产品销售许可证; 具有ISCCC国家强制性认证证书。 |
16. | 厂商资质(出具加盖厂商公章的复印件) | 具备CMMI 3级或以上证书; 具备国家保密局颁发的涉密计算机信息系统集成甲级资质; 具备ISO9001质量管理体系认证证书(质量体系范围包含软件的设计开发、信息安全应急处理服务及信息系统安全集成)、ISO20000信息技术服务管理认证证书、ISO27001信息安全管理体系认证证书及ISO14001环境管理体系认证证书; |
序号 | 指标项 | 技术规格参数 |
1 | 系统要求 | 具有独立自主知识产权,须为标准机架式硬件产品,除自身硬件设备外,产品功能的实现无需额外增加服务器等设备。 |
2 | 性能要求 | 1U机架结构;单电源;标准配置6个1000MBASE-T接口,每秒事务数(TPS):≥3500(次/秒),最大吞吐量:≥1.5Gbps,最大并发连接数:3000(条);支持终端认证数:1500(台) |
3 | 高可用性 | 1. 准入设备必须具备HA模式,HA须支持主备机心跳IP检测及虚地址管理模式,支持vrrp管理模式。 2. 提供第三方监控平台,在出现重大异常情况时能及时通知网络设备放开网络。 |
4 | 终端部署 | 1. 准入设备应至少提供安全客户端(Agent)、安全控件、无客户端等多种可供自定义部署、管理模式。 2. 安全客户端模式部署时,客户端程序应支持功能定制,以降低系统资源耗用,提升客户端兼容性。 |
5 | 终端发现 | 1、 能够实时监测并发现接入内网的PC、平板电脑、智能手机、IP设备等终端,能够在第一时间隔离阻断并通知管理员。 2、 对自动发现的终端能够按照类别自动归类,以方便网络终端的统计管理。 |
6 | 准入技术 | 1. 准入设备须原生支持802.1x标准协议,无需第三方RADIUS服务器支持,可与用户已有的802.1x体系及第三方客户端联动实现802.1x准入控制管理。 2. 准入设备支持基于多厂商Virtual Gateway的VLAN隔离技术,实现无客户端环境下端口级准入控制。 3. 准入设备支持基于策略路由技术的准入控制模式,入网设备在访问网内关键资源时,将被强制隔离、引导至认证管理页面,同时支持交换机接口动态VLAN下发、端口隔离模式的网络边界管理。 4. 单台准入设备可支持至少2个核心交换机进行策略路由准入控制。 5. 准入设备可支持端口镜像准入技术,通过对交换机镜像数据的实时分析,能够及时发现并阻断非授权终端的接入。 |
7 | 定向引导 | 1. 支持终端入网IE重定向引导,当用户访问网页时能够自动转向到指定的页面或地址,并支持http代理及多重重定向引导。 2. 可根据用户的实际环境自定义非80端口的Web服务端口号及用户重定向引导。 3. 能通过浏览器完成身份认证、控件安装、设备注册、安全检查、检查结果展现等全流程引导管理。 4. 具有Mac OS、Linux、iOS、Android等系统专属客户端,支持认证引导和准入管理。 |
8 | 违规外联 | 1. 能够针对3G拨号、双网卡、随身WIFI、代理等多种违规联网行为做实时检测,不接受间歇性ping外网地址的探测方式。 2. 能够针对违规外联终端进行即时断网,断网方式应支持断开链接、关闭连接进程、断网后重启恢复、重启计算机等多级模式,并能够实时通知管理员。 3. 准入设备能够支持按照用户角色定义、限制员工的内网访问范围,防止其越权访问操作。 |
9 | IP/MAC绑定 | 具有入网设备自动学习功能,支持IP/MAC/端口三者强制绑定,以及违规终端VLAN隔离机制,防止终端仿冒IP接入网络或移动设备位置。 |
10 | 主机防火墙 | 1. 终端在准入通过后访问域严格收管理员策略控制 2. 同网段终端无法互相访问,做到精确到端口的高安全性控制 |
11 | 设备特征指纹 | 1. 具有非智能IP终端信息库,能够精准识别网络打印机、网络摄像头、IP电话等设备,并根据设备特征进行自动匹配和归类。 2. 通过伪造合法IP或MAC地址的非法设备和行为,能够被即时发现并阻断。 |
12 | NAT设备 | 1. 具有NAT识别和检测机制能够及时发现网内私接的小路由器、无线AP、随身WIFI等NAT设备,帮助清查通过网中网隐藏的真实网络终端。 2. 对通过NAT入网的计算机可以实现准入控制、安全评估和修复等流程化管理 |
13 | Hub管理 | 1. 能够发现内网私接的Hub、傻瓜交换机等非网管设备,当多台计算机通过Hub接入网络时,能够及时产生告警通知管理员。 2. 准入设备能够采用VLAN隔离、逻辑关闭端口等方式禁止Hub下联计算机接入网络。 3. 支持Hub下多个终端需分别认证才能入网和只需一台认证即可全部入网两种认证机制。 |
14 | 设备识别 | 1. 支持自动识别网络设备类型,包括:交换机、路由器、防火墙等,并按照类别自动进行归类。 2. 支持设备管理模板的定义功能,能够通过SNMP、SSH、TELNET等方式自动、批量添加网络设备。 |
15 | 终端网络拓扑 | 1. 准入设备支持交换机到终端计算机的网络拓扑管理功能,能够自动绘制出网络拓扑图。 2. 能够在拓扑图上选取设备查看其基本状态信息、设备型号、所处位置、子节点、路由表、ARP表等信息。 3. 支持在界面上提供对该网络设备进行TELNET、SSH等管理。 |
16 | 交换机状态展现 | 1. 支持可网管型交换机面板图形化展现各接口状态(up、down、trunk等),以及各接口下联的终端详细信息(IP、地址、MAC地址等)。 2. 能够支持自上而下逐级查找终端的具体位置、安全状态、认证用户、上下线时间等信息。 |
17 | AP联动管理 | 能够与主流的AP设备深度联动,支持AP控制器面板的图形展现,包括AP连接状态、下联终端信息(IP地址、MAC地址等)等。 |
18 | DHCP中继 | 1. 能提供稳定的DHCP服务,并可以通过DHCP二次地址分配机制实现安全准入管理,支持交换机中继认证方式。 2. 能够根据用户、IP/MAC绑定信息等条件,为指定终端设备分配特定的IP地址。 3. 支持DHCP服务器筛选,防止非法DHCP服务器分发错误地址 |
19 | 终端识别 | 支持当前主流智能终端设备的安全准入控制,能够自动识别主流手机、智能终端等设备,并自动进行分类。 |
20 | 移动终端入网 | 1. 提供独立的智能终端入网引导界面的自主定制功能,至少包括界面标题、界面LOGO、界面说明文字等。 2. 能够提供移动终端入网的设备注册功能。 |
21 | 认证检查 | 1. 苹果应用商店提供支持iOS的安全准入app下载安装;支持Android客户端自动生成,以及自动签名等功能。 2. 可提供手机或智能终端强制VPN拨号认证管理。 3. 支持基于Android系统对安全管家、金山手机卫士、NQ Mobile Security、瑞星手机安全软件等安全应用程序的状态安全检查。 4. 支持进行基于Android的安装软件、运行进程等的安全检查。 |
22 | 联动认证 | 能够全面结合用户已有的认证或业务系统,可以与RADIUS、LDAP、STMP/POP等采用标准协议的系统做深度联动认证。 |
23 | AD域单点登录 | 1. 能够与用户现有的AD域相结合,当用户登录到AD域后,无需二次认证即可入网,避免多次认证的繁琐流程。 2. 当用户未登录到AD域时,该终端将一直被隔离,该状态下只有通过IE页面进行认证才能够入网。 |
24 | 短信认证 | 支持短信认证模式,用户在登记入网手机号码后,能够在手机上接收到入网的短信验证码,并在IE页面上利用短信验证码认证入网。 |
25 | 来宾管理 | 能够提供来宾角色选择,能够设定来宾设备的访问权限和入网时长,提供临时入网码,支持来宾设备与受访人员进行一对一绑定功能,并可以生成对应的审计报表。 |
26 | 接入审核 | 能够针对不同的角色或设备类别有选择的开启入网审核功能,待审核的用户或设备必须经过管理员审批才能入网。 |
27 | 安全检查库 | 准入设备须提供系统安全配置、用户行为规范等类别检查项,至少提供24种以上安全检查项。 |
28 | 系统补丁 | 准入设备具有完整的补丁管理子系统,无需第三方补丁服务器支持,自身即可以提供完整的流程化补丁管理,包括同步更新、补丁分类、补丁分发、补丁报表等功能。 能够在IE页面进行入网终端的补丁检查,补丁均划分为严重、重要、中等的类别,能够在IE页面显示出检查结果。 |
29 | 防病毒软件 | 能够在IE页面检查出终端的杀毒软件情况,支持主流的20种以上的杀毒软件检查,包括微软MSE、可牛、Avast等,支持杀毒软件版本、病毒库和运行情况的检查,能够在IE页面显示出检查结果。 |
30 | Windows 组策略检测 | windows密码策略、屏保、共享目录、弱口令、防火墙、网卡配置等系统策略进行检查和修复 |
31 | 计算机 健康性检测 | 对终端的磁盘使用率、垃圾文件、IE主页、网络监听端口等安全性配置进行检查和修复 |
32 | 自定义安全检查 | 通过检测终端文件路径、指定文件版本、大小、MD5,注册表的项、注册表值,进程,服务名称、服务状态,进行检查。通过安装包运行、访问站点、开关服务、关闭进程、执行文件、删除文件、修改注册表进行修复。可以灵活的全访问的对终端进行安全检查和修复。 |
33 | 终端安全加固 | 能够通过傻瓜式的漏洞修复模式为用户提供简单、形象的漏洞自我修复功能,完全不需要管理员的介入即可完成终端安全风险项修补。 |
34 | 桌管系统联动 | 能够在IE页面检查出主流的桌面管理系统(包括Landesk、北信源、威盾、盈高、圣博润等)客户端是否安装并正常运行,能够在IE页面显示出检查结果。 |
35 | 移动存储 设备管理 | 1. 管理员可以通过对存储介质统一注册、授权的方式来加强管理存储介质的使用范围和权限,并支持存储介质分区加密,未经标识的存储介质将不能在企业内正常使用。 2. 针对不同注册状态的存储介质制定不同的控制策略,能够对存储介质进行只读、禁用、放行、脱机生效以及时间范围等做精细控制。 |
36 | 移动存储 设备审计 | 1. 支持查询存储介质的类型、设备名称、设备插入时间、设备拔出时间、设备使用IP地址、类型代码、设备容量、厂家名称、产品名称、该存储介质使用人、操作系统用户名、备注信息。 2. 支持使用存储介质的终端信息显示,包括:设备名称、IP地址信息、所在部门、所在位置、联系人、联系电话、E-Mail地址、设备状态(开机、关机)、最后在线时间等。 |
37 | 资产管理 | 1. 能够对全网计算机上安装的软件进行统计,可以按照部门、名称提供精确查询以及软件资产报表的导出。 2. 能够对终端硬件初始记录、最新记录和变动记录形成报表,支持对硬件变动进行报警,并且能够查询变动的历史。 |
38 | 资产变动 | 准入设备能够针对软硬件资产变动、资产异常情况提供了丰富多样的报警方式,便于管理员及时迅速了解资产信息。 |
39 | 软件检查 | 1. 通过安全检查检测终端软件安装、使用状态。 2. 自动强制为终端安装软件。 3. 软件产品授权,支持进行windows、office、WPS的产品授权信息进行检查。 |
40 | IP地址管理 | 1. 提供IP地址分配表,能够通过图示直观的查看各网段中未分配、开机、关机的数量和分布情况。 2. 能够直接、快捷的查看全网终端历史上线、下线、在线时长等详细的IP使用情况。 |
41 | 能耗管理 | 提供未关机终端自动统计功能,并能够按照部门、时间段等条件生成统计报表。 |
42 | 移动终端管理 | 移动端管理平台可实现设备快速定位、设备审核、实时报警监控、小助手确认码生成、准入控制器管理、平台基本信息、关机与重启。 |
43 | 管理角色控制 | 准入设备须采用系统管理员、安全管理员、审计员三权分立机制,防止单个角色管理者权限滥用。 |
44 | 网络诊断工具 | 支持通过Web管理界面提供ping、抓包、traceroute、nslookup等功能,并可以设置命令参数进行相关调试。 |
45 | 消息群发 | 能够支持在指定的一台或者多台终端计算机上产生桌面消息通知,该消息会立即弹出在用户桌面上,对用户进行提醒。 |
46 | 软件分发 | 1. 准入设备应具有软件分发和部署功能,管理员可以预定义软件分发的路径、运行参数、是否执行等任务策略,以提升软件部署效率。 2. 能够自动判断并统计软件分发、部署的成功率,支持进程、注册表、安装路径等多种参数的组合判断。 |
47 | 安全管理报表 | 1. 准入设备后台能够按周、月、年统计安全状况走势图。 2. 准入设备后台提供每日入网报告、每周入网报告、每月入网报告。 |
48 | 报警信息 | 1. 可以提供紧急、重要、次要、提示等多个级别自定义报警模式。 2. 支持系统报警、网络报警、终端报警等类别,超过20种以上自定义报警类型。 3. 支持Syslog报警信息的定向输出。 |
49 | 报警提醒 | 准入设备能够以邮件、手机短信、页面消息等多种报警方式提醒管理员各种安全异常状态。 |
50 | 第三方产品联动 | 支持与主流上网行为管理系统深度联动,构建内网准入、准出的全面安全管理体系; 能够与主流动态口令认证系统相结合,提供动态密码联动认证机制; 支持与国内外主流U-Key联动认证。 |
51 | 资质要求 | 具有公安部颁发的计算机信息系统安全专用产品销售许可证; 具有国家保密局颁发的涉密信息系统产品检测证书; 具有国家版权局颁发的计算机软件著作权登记证书。 |
序号 | 技术规格参数 |
1 | 交换容量≥7.5Tbps,包转发率≥5500Mpps,业务槽位≥6。 |
2 | 配置双主控,2*800W交流电源模块,配置1块48端口百兆/千兆以太网电接口板,1块24端口百兆/千兆以太网光接口和2端口万兆以太网光接口板以,并包含24个千兆多模光模块(850nm,0.5km,LC),并出厂固化Quidway S7700基本件,V100R003交换机操作系统。 |
3 | 考虑到散热效果和设备可靠性,支持风扇1+1冗余,支持风扇模块分区管理,支持风扇自动调速,支持热拔插,单个风扇框在线更换过程中,系统仍有独立风扇框保持运行,采用后出风风道。支持颗粒化电源,支持M+N电源冗余(AC和DC均支持),可配置电源个数≥3, 首次配置在满足主备电源的情况下,后期扩容可以新增电源模块,无需更换电源模块。 |
4 | 支持将多台物理设备虚拟化为一台逻辑设备,虚拟组内可以实现一致的转发表项,统一的管理,跨物理设备的链路聚合;支持交换网集群,不占用业务槽位,集群卡和主控物理分离,集群卡可单独插拔,且能达到单向≥100Gbps集群带宽,提供权威第三方机构的测试报告。 |
5 | 支持整机MAC地址≥1M;支持ARP表项≥64K;支持4K VLAN;支持端口VLAN,协议VLAN,IP子网VLAN;支持Super VLAN;支持Voice VLAN;支持VLAN内端口隔离;支持端口聚合;支持DHCP Client, DHCP Server,DHCP Relay。 |
6 | IPv4路由转发表项≥256K;IPv6路由转发表项≥256K;支持静态路由;支持IP FRR;支持策略路由;支持IPV6,并提供IPV6 Phase II认证;支持IPv6路由协议 RIPng ISISv6 OSPFv3 BGPv4+;支持IPv6过渡技术,IPv4/IPv6双栈、6over4隧道、4 over6隧道;支持IPv6 DHCP SERVER, IPv6 DHCP Relay, DHCP Snooping,支持IPv6 Souce Guard。 |
7 | ACL表项数量≥64K;支持SP, WRR,DWRR,SP+WRR, SP+DWRR调度方式;每端口支持200ms的大缓存,厂商投标设备支持5级H-QoS。 |
8 | 支持DHCP Snooping trust, 防止私设DHCP服务器;支持DHCP snooping binding table (DAI, IP source guard), 防止ARP攻击、DDOS攻击、中间人攻击;支持CPU保护技术,提供权威第三方机构测试报告。 |
9 | 配置精细化控制、安全防护和SSL VPN功能;支持VRRP 支持BFD for VRRP;支持GR for 路由协议;支持独立的硬件监控模块, 控制平面和监控平面物理槽位分离,支持1+1备份,能集中监控板卡、风扇、电源、环境,能调节能耗;支持G.8032开放环或SEP、REP半环协议,可与其他厂商设备混合组网,要求倒换时间≤50ms,提供第三方测试报告;支持G.8032环网保护技术,可与其他厂商设备混合组网,要求倒换时间为≤50ms;支持BFD/OAM,遵循协议标准,3.3ms稳定均匀发包检测,50ms内完成故障倒换,保证设备高可靠性,提供第三方测试报告;支持真实业务流的实时检测技术,秒级快速故障定位。 |
10 | 支持SNMP V1/V2/V3、Telnet、RMON、SSHV2;支持通过命令行、中文图形化配置软件等方式进行配置和管理;支持CF卡存储扩容;支持在线设备批量补丁,配置文件,启动文件等自动按需下发升级;支持坏件零配置更换升级。 |
11 | 支持能效以太网功能,IEEE 802.3az;提供第三方绿色节能认证证书;支持CC认证,认证等级为EAL3+,提供证书支持PCI DSS评估证书,提供证书。 |
12 | 投标交换机入网时间≥1年,提供入网证明。 |
13 | 质保期:货物享有一年原厂保修服务,以及生产厂商的三年硬件现场7×24×4小时服务,保期内,免费提供备品备件及服务。有专业人员对操作人员进行专业的培训。供应商提供详细技术资料并免费对采购单位 2 人进行 1 天技术培训。培训的内容及方案应由双方协商制定。供应商前来进行技术培训人员的费用包括在投标报价中。核心交换机为医院数据中心交互点,为保证货物的稳定性及安全性,中标商中标后货物送达医院时附带原厂供货证明文件以保证产品为原装产品并非OEM品 |
中标人依据《信息系统安全保护等级基本要求》,针对深圳市妇幼保健院的业务应用情况,分析查找现有信息系统(含4个等保二级信息系统;2个等保三级信息系统)的安全保护措施是否满足的相应等级的安全保护要求,找出不完善、不符合的地方。建议借鉴等级测评的方法来对信息系统进行调研分析,从而得出信息系统的安全需求。
明确信息系统的范围和边界,通过调查或查阅资料的方式,了解信息系统的构成,包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等。初步确定信息系统的分析对象,包括整体对象,如机房、办公环境、网络等,也包括具体对象,如边界设备、网关设备、服务器设备、工作站、应用系统等。
中标人协助深圳市妇幼保健院根据信息系统的安全保护等级从信息系统安全等级保护基本要求中选择相应等级的指标,形成评价指标。根据评价指标,结合确定的具体对象制定可以操作的评估方案,评估方案包含(不限)以下内容:
通过观察现场、询问人员、查询资料、检查记录、检查配置、技术测试、渗透攻击等方式进行安全技术和安全管理方面的评估,判断安全技术和安全管理的各个方面与评价指标的符合程度,给出判断结论。整理和分析不符合的评价指标,确定信息系统安全保护的基本需求。
分析威胁利用弱点可能产生的结果,结果产生的可能性或概率,结果造成的损害或影响的大小,以及避免上述结果产生的可能性、必要性和经济性。按照重要资产的排序和风险的排序确定安全保护的要求。
中标人协助深圳市妇幼保健院根据等级保护安全基本要求和确定的系统安全需求,设计系统的整体安全框架,提出系统在总体方面的策略要求、应该实现的安全技术措施、安全管理措施等,是《基本要求》在特定系统的具体落实,总体安全设计形成的文档用于指导系统具体安全建设。
