产品

指 标

综合

日志

安全

审计

产品

架构

系统架构

*要求为国内开发，具备自主知识产权；标准机架式设备，千兆多核并行软硬件平台

业务端口

*独立千兆电口≥4个、可扩展到8个千兆电口或4个千兆光口

性能

事件采集性能

≥30,000条/秒

事件分析性能

≥6,000条/秒

事件存储性能

≥800G，存储容量仅取决于磁盘空间大小

并发用户数

≥50

系统

配置

存储配置

*热插拔硬盘容量≥2TB（可选支持RAID5冗余）

支持容量运行时动态扩展技术

支持外接FC SAN等存储设备

数据库配置

*内嵌数据库

硬件冗余

*双冗余电源

功能

管理范围

*能够对构成业务信息系统的各种网络设备、安全设备、安全系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警等安全信息进行全面的审计

日志采集方式

通过 SNMP、Syslog、数据库、文件、NetFlow、OPSEC、软件日志采集器、硬件探针等多种方式完成数据收集功能

日志审计对象

支持对主流厂家各类网络设备（路由器，交换机等）、安全设备（包括防火墙，VPN，IDS，IPS，防病毒网关等）、安全系统（瑞星、江民、金山等）、主机操作系统（包括Windows, Solaris, Linux, AIX, HP-UX等）、数据库以及各种应用系统（邮件，Web，FTP，Telnet等）的日志、事件、告警等安全信息进行全面的审计

需提供Unix系统安全审计著作权证书

监控界面

*提供从总体上把握整体安全情况的界面。通过监控界面，可以快速导航到系统的各个功能界面，看到当前系统整体安全等级；可对监控界面显示的内容和布局任意定制；可定义多个监控频道。

*需提供加盖厂家公章的配置截图

拓扑管理展现

能自动网络拓扑发现，将采集设备在网络拓扑中展现，并直观显示各设备之间的连接关系；支持分层显示和全局显示两种展现方式；能够进行拓扑编辑，通过拓扑实时查看被审计设备运行状态

数据库审计

*支持收集Oracle、DB2、SQL Server、MySQL等数据库系统的日志；可以对数据库系统的用户登录、注销、数据查询、插入、数据修改、数据删除、修改配置、应用操作等进行审计

*需提供数据库审计著作权证书

日志归一化处理

日志收集后对操作类型（错误、警告、信息、成功审核和失败审核）和安全等级（无危险、低危险、一般危险、比较危险和非常危险）进行归一化处理，同时保留原始日志，方便对关键日志快速定位

关联分析

系统必须对事件进行归一化处理，屏蔽来自不同厂家和型号设备事件的差异，并且通过关联分析进行实时安全态势监控。系统支持同种事件关联、异种事件关联、统计关联、递归关联、时序关联、资产关联等算法

日志查询

采用统一的日志查询界面

日志实时分析和统计

可通过日志分析对所有的日志进行实时查询、分析和统计，快速识别安全事故；可以通过多种形式形象地展示分析结果，并自动实时刷新

安全事件可视化展现

除了能够将事件以柱、饼等常见图形统计事件信息外，还能够通过定制地图界面定位IP地址，通过事件攻击图展示网络安全态势，并支持雷达图反映当前事件流量

资产管理

标明关键业务路径上的各资产等级，可以分清告警信息处理的轻重缓急，按资产等级排列事件处理顺序,可按设备资产重要程度和管理域等方式组织设备资产，提供添加、修改、删除、查询与统计功能，便于管理人员快速定位设备资产信息

日志在线挖掘

可通过事件调查工具对某条感兴趣的日志中的源IP地址、目的IP地址、或者目的端口进行关联检索

可对关联事件进行追溯，查看导致该关联事件的所有原始事件

实时定位事件源/目的IP地址的物理拓扑位置

可对安全事件进行知识库关联检索

趋势分析

可通过采集NetFlow数据，对最近一段时间的网络流量或者网络连接数进行统计，并描绘趋势曲线；通过某个IP地址的流量趋势分析获悉该IP地址的访问流量模型，并发现异常流量和行为

规则管理

提供可视化规则编辑器，对规则进行增删改查；在事件分析引擎的驱动下，根据事件关联规则，针对海量事件进行关联分析，抽取出对于安全管理人员真正有用的安全信息，从而协助安全管理人员快速识别安全事故

日志采集器管理

可对所有注册的通用日志采集器的工作状态进行实时监控，包括采集器的启动、停止，以及配置采集器发送的日志类型

与外部系统集成

可以与网管、安全设备管理系统集成，实现对安全设备、网络设备、操作系统和应用系统的控制，阻断安全威胁的蔓延；可以与第三方的工单系统和工作流系统集成

系统

自身

安全

防护

系统自身监控

可对系统自身的健康状况监控，包括CPU、内存、磁盘的利用率；支持通过系统自身监控界面实时看到事件接收数量等变化曲线

要求提供加盖厂家公章的配置截图

系统自身日志审计

可对本软件系统的操作进行日志记录并进行持久化存储，便于追踪、审核和告警

系统自身安全

产品内部的各个组件之间通信都支持加密传输，浏览器访问管理中心支持HTTPS，多级管理中心之间采用加密协议进行传输

对采集到的日志进行加密存储，保证数据的完整性和机密性

系统

管理

部署模式

*支持分布式与集中式部署；支持分权分域与集中管理

管理模式

*支持对分布式部署的设备进行集中管理

支持基于角色的权限管理机制，通过角色定义支持多用户访问。

可通过关联分析，对于发现的严重事件可以进行自动告警。告警方式包括邮件、短信、SNMP Trap等。响应方式包括：自动执行预定义脚本，自动将事件属性作为参数传递给特定命令行程序。支持设备联动，即可以在告警后对防火墙/NIDS/网络设备下发联动策略，及时阻断威胁

日志管理

报表与统计

支持日志的远程（如FTP方式）和本地的备份、恢复

支持自定义报表模版；支持以DOC、PDF等格式输出报告

可根据时间、数据类型、事件类型等多条件组合生成报表，提供打印、导出以及邮件送达等服务

产品资质要求

具有备公安部公共信息网络安全监察局颁发的《计算机信息系统安全专用产品销售许可证》

具有国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》

具有中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》

*国家信息安全认证中心颁发的《中国国家信息安全产品认证证书》

*国家信息安全测评中心颁发的《信息技术产品安全测评证书》

*国家信息安全测评中心颁发的数据库审计系统测评证书

*提供国家版权局颁发的多核并行安全操作系统软件著作权登记证书

*国家版权局颁发的安全管理系统计算机软件著作权登记证书

服务

*3年7*24小时全免费上门售后服务及主程序（特征库）更新，要求原厂商服务承诺函

产品授权

*投标人必须具有原厂商该项目的支持授权

产品

指 标

网络

行为

监控

产品

架构

系统架构

*要求为国内开发，具备自主知识产权；标准机架式设备，多核多线程分布式架构

业务端口

*独立千兆电口≥6个

性能

并发连接数

≥80万

吞吐量

≥800Mbps

用户数

≥1,000

Bypass功能

*支持软、硬件Bypass

软件冗余

支持VRRP、基于状态的双机热备；支持路由模式和透明模式的HA

应用

协议

识别

和流

量控

制

IPV6协议

支持IPV6协议方式组网

支持IPV6静态、动态路由协议

P2P协议识别

支持主流P2P下载工具及协议，包括并不限于迅雷、电驴、BT、超级旋风、网际快车等；支持智能P2P识别；可控制加密和未知P2P

IM应用

支持主流IM工具及协议，包括并不限于QQ、ICQ、MSN Messenger、阿里旺旺等

网页搜索

支持主流搜索引擎，包括并不限于Google、百度、yahoo必应等

Email审计

支持主流Web mail协议识别，包括并不限于新浪、网易、搜狐、QQ、Hotmail等

支持本地邮箱，支持SMTP、POP3、IMAP4协议识别

业务审计

支持对用户URL访问历史记录的查询审计，包括提供访问的用户名/IP、网站信息、网页信息、URL信息、网页标题、访问时间等

BBS论坛

支持主流论坛的审计和访问控制，包括并不限于天涯、猫扑、百度贴吧、新浪、搜狐等；支持按照Discuz bbs和phpwind bbs分类的BBS论坛

流量控制

*支持阻断、限流、告警、输出报表等功能；支持基于链路、区域、源/目的IP、IP组、时间、应用等任意组合进行控制

*支持对IM、网络游戏、炒股软件等应用协议进行细粒度控制；支持基于时间、用户、VLAN进行流量阻断、限速控制；支持基于应用级QoS的功能

协议分析技术

*可以识别并检测802.1Q、MPLS、QinQ、GRE等特殊封装的网络报文

安全

防护

病毒防护

集成国际知名防病毒厂商专业防病毒引擎和特征库

攻击防范

支持对Land Attack、Ping of Death、Dear of Drop、SynFlood、ICMP Flood、UDP Flood、IP地址扫描、端口扫描等攻击行为的防范

系统

管理

部署模式

*支持透明在线模式、网关模式、旁路模式部署；支持分布式与集中式部署；支持分权分域与集中管理

管理模式

*支持对分布式部署的设备进行集中管理

支持对业务审计、攻击日志、网络防病毒日志集中收集，并能通过多种方式直观展示分析

支持将集中软件管理平台的日志及报表信息通过多种方式（Email、手机短信等）将相关告警日志发送给管理员

*每设备需单独配置管理软件

报表与统计

支持自定义报表模版；支持以DOC、PDF等格式输出报告

可生成对终端进行审计的各种报告；可生成操作系统补丁、防病毒补丁的统计报告；可生成关于资产统计的各种统计报告

产品资质要求

具有备公安部公共信息网络安全监察局颁发的《计算机信息系统安全专用产品销售许可证》

具有国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》

具有中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》

*具有国家版权局颁发的《计算机软件著作权登记证书》（须为专业流控、审计类产品及证书；UTM类产品及软件著作权登记证书无效）

服务

*3年7*24小时全免费上门售后服务及主程序（特征库）更新，要求原厂商服务承诺函

产品授权

*投标人必须具有原厂商该项目的支持授权

产品

指 标

桌面安全管理

产品

要求

基本要求

*要求为国内开发，具备自主知识产权；产品要求界面友好，易于安装、配置和管理；有详尽的技术文档；所有的图形界面与文档资料要求均为中文

系统架构

*系统采用C/S与B/S相结合设计，通过浏览器即可进行管理和维护，安装在终端主机的代理软件应能够防卸载、防删除、防篡改（要求提供独立的卸载工具）

*终端主机支持Win2K，Win2K3，Win2K8，XP，VISTA，Win7等主流操作系统

授权

*要求为全功能模块授权

其他

要求客户端在任务栏显示唯一图标并显示运行状态

性能

管理终端数

*单级每服务器可管理最大终端数不低4000个，支持多级部署，多级部署时管理终端数无上限

策略生效时间

≤10秒

控制台操作响应时间

≤15秒

审计响应时间

≤15秒

报表生成时间

≤1分钟

功能

要求

网络接入控制

*能够按照指定的策略控制机器对网络的接入，保证只有认证通过的机器才能够接入网络，提供IEEE802.1x交换环境与非802.1X交换环境的支持。

病毒库同步

*支持主流防病毒软件（瑞星、江民、金山等）的联动或者提供联动接口，强制病毒库与病毒引擎的升级；终端主机不符合病毒库管理要求时能够及时警示或阻断其接入网络

防ARP欺骗

*系统底层阻断各种类型的ARP欺骗行为，可以定位到哪台终端、什么时间、哪个进程发起ARP欺骗攻击，实时定位ARP欺骗病毒源；并且可以保证终端机器不受ARP欺骗的干扰与攻击，保证网络通讯的正常稳定、快速协助管理人员定位网络中存在的问题

外设访问控制

*可对终端所有外设（串口、并口、蓝牙、红外、USB、1394、调制解调器、软驱、光驱等）进行控制；支持IP-MAC地址绑定；可对终端主机的安装软件、启动服务及运行的进程进行监控；能监控终端的非法外连；可控制允许终端访问的网络资源；可控制允许终端使用的端口服务；支持例外终端列表，对列表中的终端不执行策略

*能够对特殊的USB设备作信息采样，在封闭USB端口的前提下可以允许鼠标、打印机、加密狗等设备的使用

移动储存管理

*支持对移动存储注册（仅注册过的移动存储设备才可使用）；支持对移动存储设备加密；支持对接入终端的移动设备进行认证；支持用户移动存储设备的审计功能

非法外联检测

*能够按照外联方式或外联状态进行违规外联检测。外联方式的检测支持按照拨号方式和号码检测，也能够监控网卡配置（本地IP和网关IP）的变化，同时还能监控多网卡情况的发生，发现违规外联时能够及时断网；外联状态的检测适用于在无法预知外联方式时，通过检测当前是否能够联通外网来判断是否已经违规外联，一旦发现能够连通外网则能够立即断网

补丁管理

*要求支持主流操作系统（Win2K，Win2K3，Win2K8，XP，VISTA，Win7）系统补丁、办公套件(OFFICE)、浏览器(IE)、数据库（SQL Server）补丁的自动分发

*可以同时分发微软WSUS补丁和终端管理系统自带补丁，即同一套补丁分发系统可同时分发两套不通来源的安全补丁，且不产生冲突

终端审计

全方位审计终端主机的各类事件，为数据防泄密做好事后取证的准备；可对终端的网络访问进行审计；可对终端的文件访问进行审计；可对打印操作进行审计；可对FTP传输操作进行审计；可对终端主机安装与卸载软件进行审计；可对终端共享进行审计；可对终端主机的硬件变更情况进行审计；可对拨号连接进行审计；可对终端主机的系统日志进行审计

安全策略管理

支持全局策略、子策略和时间策略

主机防火墙

使用预先定义规则允许和禁止其连接，通过端口、协议、IP、时间等条件限制终端对网络安全访问控制

应用软件监测

可以监控指定软件的安装使用行为，通过软件名称关键字，对非法安装使用的软件实时监控告警；能够根据预先设置的进程黑名单，实时禁止违规进程的运行，以阻止终端用户运行与工作无关或者不利于内网安全建设的进程和软件

软件分发

用户可以将应用软件的安装包（EXE/MSI格式）分发到指定的机器上并执行安装操作

资产管理

可自动采集资产的软硬件信息；可分类查看资产记录；可发现终端资产变更并可告警

系统性能监测

可以实时监测终端CPU、内存、硬盘性能，发现系统超出设置的占用率，及时告警通知

上网监控

能够记录终端用户浏览的URL，根据HTTP代理监控上网行为，并能够通过关键字检测终端用户是否浏览了带有敏感字眼的网页

系统

管理

部署模式

支持分布式与集中式部署；支持分权分域与集中管理

授权与升级

支持授权安装功能，确保通过确认的合法终端接入

支持服务器与客户端的自动与手工升级功能

管理模式

支持对分布式部署的设备进行集中管理

支持对业务审计、攻击日志、网络防病毒日志集中收集，并能通过多种方式直观展示分析

系统对管理人员的登录行为、操作行为、以及任务的下发情况进行全面的审计。能够定期自动或手动对系统数据库、策略以及系统配置等信息进行备份，必要时能够及时恢复数据

报表与统计

支持自定义报表模版；支持以DOC、PDF等格式输出报告

可生成对终端进行审计的各种报告；可生成操作系统补丁、防病毒补丁的统计报告；可生成关于资产统计的各种统计报告

产品资质要求

具有备公安部公共信息网络安全监察局颁发的《计算机信息系统安全专用产品销售许可证》

具有国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》

具有中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》

*具有国家版权局颁发的《计算机软件著作权登记证书》

服务

*3年7*24小时全免费上门售后服务及主程序（特征库）更新，要求原厂商服务承诺函

产品授权

*投标人必须具有原厂商该项目的支持授权

其他

*要求在评标现场提供演示环境

服务

器

基本要求

*4U机架式（含导轨、理线架）

处理器

*4颗4核E7520处理器

内存

*32G DDR3内存，64个内存插槽以上

硬盘

*6块15K SAS 300G硬盘，做成RAID 5

阵列卡

*支持RAID0，1，10，0+1，5，50

1GB缓存

网卡

*2块千兆自适应网卡+2块万兆自适应网卡

机箱

*集成LED显示屏，方便故障查找定位

电源、风扇

2+2热插拔冗余电源、冗余风扇

光驱

内置DVD光驱

系统管理

主板集成系统引导和驱动程序，简化操作系统安装

服务

*3年免费整机硬件保修，原设备厂商工程师非加盟服务商7×24小时上门服务免费上门服务，硬盘免回收

产品授权

*投标人必须具有原厂商该项目的支持授权

服务

器机

柜

基本要求

*42U标准服务器机柜，含配套电缆和PDU（不少于2X16A）

其他

*配套连接线，与服务器同品牌。

服务

*3年免费整机硬件保修，原设备厂商工程师非加盟服务商7×24小时上门服务免费上门服务，硬盘免回收

产品授权

*投标人必须具有原厂商该项目的支持授权

KVM

基本要求

*8口数字KVM，1个网络端口，1个本地管理端口；8个服务器端口；鼠标、键盘，含折叠17”液晶。

其他

*配套连接线，和服务器同品牌。

服务

*3年免费整机硬件保修，原设备厂商工程师非加盟服务商7×24小时上门服务免费上门服务，硬盘免回收

产品授权

*投标人必须具有原厂商该项目的支持授权