天津市公安局身份认证与访控硬件升级项目征求意见函
致有关采购当事人:
为了保障政府采购各方当事人合法权益和采购程序的公开、公平、公正,我中心受采购人委托将对天津市公安局身份认证与访控硬件升级项目实施政府采购。现将采购人提供的项目需求原文转发(详细技术需求见附件——项目需求书),广泛征求各方意见,诚请相关采购当事人提出项目需求书中存在的问题。征求意见时间自2012年4月12日8:30至2012年4月16日16:00(法定节假日除外)。我中心将对提出的意见上网公示并转交采购人,并请采购人依据相关法律法规按照实际情况完善修改技术需求以符合法律要求。本中心将以修改后符合法律法规要求的项目需求实施采购。
采购当事人提出的意见函应符合以下条件:
1、在征求意见有效期内(三个工作日)提出。
2、项目整体需求不满足三个品牌产品或三家供应商的、需求中个别条款的描述具有倾向性或排斥性的,供应商可提出意见且需明确指明可能涉及的品牌或供应商。
3、供应商提出的意见函须提交原件。意见函件应注明联系人和联系方式。
请贵单位在征求意见有效期内将意见函加盖公章送至我中心,并将电子版发送到我中心邮箱,我中心将给予保密,逾期送达、匿名送达以及其他不符合上述条件的意见函件我中心不予受理。
感谢您的参与。
征求意见受理部门:信息资源部
时限:三个工作日
联系电话:***-********
征求意见回复部门:招标部
时限:三个工作日
联系电话:***-********
邮箱地址:pc@tjgpc.gov.cn
天津市政府采购中心
天津市公安局身份认证与访控硬件升级项目需求书供应商意见函
天津市政府采购中心:
天津市公安局身份认证与访控硬件升级项目需求书,现提出意见如下:
项目需求书
一、商务需求
1、实质性商务需求
序号 实质性需求条款 原因说明
1 投标人须具备计算机信息系统集成三级以上(含三级)资质 涉及网络建设硬件升级,根据行业资质要求
2、一般商务需求
序号 需求条款
1 提供五个公安系统规模相当的成功案例
2 供应商应指定技术类工作人员全程参与本项目的实施与维护工作。
供应商对此次项目中所有硬件设备提供安装、调试工作。
供应商的集成服务具体包括如下:
做好原有系统及新购系统的规划、调试;
做好操作系统和基础数据库软件安装、配置;
做好主机设备,安全设备、网络设备等的安装调试规划和实施协调;
做好相关设备升级和维护工作;
准备采购人安装设备的现场条件;
做好各供货厂商的组织协调及责任范围内的售后服务;
做好软件供应商的协助配合工作;
做好其他需要集成的工作,保证系统正常稳定运行。
中标供应商详细整理本项目涉及的设备使用说明、技术手册、实施工作报告、故障维护报告等全部相关文档,按要求交付用户(包括纸质的和电子的)。
提前制定并提交本项目实施方案,绘制拓扑图。
本项目提供3年免费上门保修,终身维护。免费培训。
签订合同后15日内完成。
二、技术需求
1、实质性技术需求
序号 采购项名称 数量 实质性需求条款 原因说明
1 无
2、一般技术需求
序号 采购项名称 数量 需求条款
1 设备 具体需求详见附件。
2 服务器 17 详细参数详见附件
3 其他 本次采购系统平台搭建所需的网络设备、安全设备、服务器设备等,投标商需要结合应用平台提出清晰的拓扑结构、详细的产品技术资料、硬件设备的集成方案、项目组织计划和技术服务方案。
按照项目需求书中的要求,须在投标文件中对所投产品的名称、品牌、生产厂家、产地、主要技术性能指标及其在技术、安全、性能、管理、使用年限及售后服务等方面情况提供详细的技术文件、图纸及产品彩图等相关资料。
投标人须提供所投产品详细的配置清单。
投标人须提供本项目相关技术人员职称、认证资格及参与项目经历。
本项目为交钥匙工程,中标集成商需配合厂商完成整体系统的集成工作,并配合软件厂商实现系统上线运行。
附件:详细参数:
一、 项目背景:
2004年在公安部的统一部署下,天津市公安局完成了公安身份认证与访问控制管理系统(简称PKI/PMI系统)建设。经过近7年的运行发展,截止2011年10月,已完成了几万张数字身份证书的签发工作,利用PKI/PMI系统平台已改造多个应用系统,实现了数字证书在应用上的身份认证与访问授权应用。
天津市公安局身份认证与访问控制管理系统已经建成了包括CA证书签发中心及密钥管理中心等基础设施。随着公安数字证书制作和发放数量的增加,应用系统接入PKI/PMI系统平台的规模逐步扩大,陆续出现的功能不足、服务能力弱、运维管理困难、应用模式单一的问题,以及基于数字证书技术的应用逐渐拓展,对公安系统功能扩展、应用系统认证授权模式及平台本身维护管理工作都提出了新的要求,需要对原系统进行升级扩容建设。
根据《全国公安身份认证与访问控制管理系统升级扩容建设任务书》(公金盾[2009]110号)要求,天津公安PKI/PMI系统平台升级扩容采购建设将完成PKI/PMI软件升级、LDAP目录服务软件升级、应用接入升级、证书综合审计查询系统升级、新建证书在线更新子系统和证书驱动升级子系统.
为保证上述软件系统正常运行,需采购硬件设备,进一步拓展应用范围等工作。
专网身份认证与访问控制管理系统扩容建设项目建成后,应解决如下问题:
1.通过运行环境的优化和系统双机容错的建设,解决PKI/PMI系统单点故障问题,提高运行环境稳定性和系统可靠性。
2.更新服务器设备,解决现有系统超负荷性,提高系统的稳定性和可用性。
结合系统设计要求,我们认为本次平台系统建设的方案设计应该遵循以下原则:
1.按照先进、实用的原则、采用成熟的技术和开放体系结构;
2.系统具有高可靠性、高可用性、高可维护性;
3.性能优良、配置合理、具备良好的性能价格比和扩充能力;
二、设备采购清单
序号 设备描述 数量 备注
1 千兆防火墙 2 详细参数详见下节
2 百兆防火墙 1 详细参数详见下节
3 百兆网闸 1 详细参数详见下节
4 千兆交换机 2 详细参数详见下节
5 百兆交换机 3 详细参数详见下节
6 机柜 5 详细参数详见下节
7 KVM及液晶套件 2 详细参数详见下节
8 服务器1 4 详细参数详见下节
9 服务器2 1 详细参数详见下节
10 服务器3 8 详细参数详见下节
11 服务器4 2 详细参数详见下节
12 服务器5 2 详细参数详见下节
13 操作系统 1 详细参数详见下节
14 加密机 3 详细参数详见下节
15 入侵监测 1 详细参数详见下节
16 安全审计系统 1 详细参数详见下节
三、设备参数:
千兆防火墙: 2台
指标 指标项 规格要求
设备基本要求 专用的硬件和软件保障 《采用专用硬件架构(X86结构),专用安全操作系统,基于操作系统内核的完全检测技术;专用的安全操作系统具有自主知识产权;硬件设备可以机架安装》。
双操作系统 采用双安全操作系统,防止配置不当或防火墙系统故障造成的网络中断,充分保证了系统的稳定性。
软件模块化设计 软件采用模块化结构设计,可以根据需要组合,可以扩展IPSEC VPN、安全审计等功能。
硬件模块化设计 硬件采用模块化设计,设备在用户现场就可以进行接口的扩展。
端口数量和扩展能力,电源要求 至少6个10/100/1000BASE-T接口, 4个千兆SFP插槽,最多可以提供不少于26个千兆网络接口,机箱电源:冗余电源。
MTBF 不少于80000小时。
性能要求 网络吞吐量 不少于8Gbps。
最大并发连接数 不少于220万。
每秒最大新建连接数 不少于6万。
功能要求 灵活的接入方式 防火墙系统可以提供对复杂环境的接入支持,包括路由、透明以及混合接入模式。
强大的访问控制 支持基于源IP地址、目的IP地址、源端口、目的端口、时间、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行访问控制。
支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤,支持URL、关键字过滤。
支持对移动代码如Java applet、Active-X、VBScript、Jscript、Java script的过滤。
动态端口支持协议:H.323、SIP、FTP、RTSP、SQL*NET、MMS、TFTP、RPC(msrpc,dcerpc)等。
可屏蔽受保护主机/服务器系统信息,可以替换服务器(FTP、SMTP、POP3、Telnet,HTTP)的BANNER信息。
可实现静态或自动的IP/MAC绑定。
完善的网络地址转换能力 防火墙系统有完善的地址转换能力,可以支持正向、反向地址/端口转换、双向地址转换等,能够提供完整的地址转换解决方案。
多种身份认证方式 防火墙系统要支持多种、灵活的身份认证技术,至少包括Radius/OTP/LDAP/TACACS+/SecuID/数字证书/本地认证等。
完善的路由功能 支持静态和动态路由,动态路由至少包括:RIP和OSPF动态路由协议;静态路由协议支持基于源地址、目的地址、METRIC值、网络接口的路由。
VLAN和生成树 支持802.1d生成树,能进行802.1d的生成树协商;支持与交换机的Trunk接口对接,并且能够实现Vlan间通过防火墙设备进行路由;支持802.1q,能进行802.1q的封装和解封装;支持ISL,能进行ISL的封装和解封装。
链路备份 支持链路备份功能,可以在用户的多条网络出口之间进行自动的切换。
高可用性 支持双机热备功能,包括主备模式(A/S),主主模式(A/A) 。
支持VRRP协议。
支持对服务器的负载均衡,支持轮询、加权轮询、最少连接、加权最少链接、基于源IP地址HASH调度等多种负载均衡方式。
防火墙系统要对长连接的提供全面的解决方案。
DHCP功能 支持DHCP SERVER/CLIENT/RELAY功能。
强大的抗攻击能力 支持OPSEC或TOPSEC等类似联动协议,能够与主流入侵检测产品进行联动。
可以识别并阻断以下攻击行为:
防非法报文攻击:land 、Smurf、Pingofdeath、winnuke 、tcp_sscan、ip_option、teardrop、targa3、ipspoof。
防统计型报文攻击:Synflood、Icmpflood、Udpflood、Portscan、ipsweep。
端口阻断:可以根据数据包的来源和数据包的特征进行阻断设置。
告警能力 支持告警信息分类、分级;当发生安全事件的时候支持以邮件、NETBIOS、声音、SNMP、控制台等方式告警。
管理功能 可以提供多种方式的管理界面,包括GUI、WEBUI、CONSOLE、SSH、TELNET等。
远程集中监控管理功能:支持远程集中管理监控功能,在同一个管理平台下能够对所管理网络中所有的防火墙设备进行管理和监控,提供远程升级和配置变更方法,非常方便用户对防火墙软件版本和配置变更的管理。
支持SNMP 的v1 、v2 、v2c 、v3 等不同版本,并与当前通用的网络管理平台兼容,如HP Openview 等。
各类资源对象、安全策略可单独导入、导出,可以提供简单方便的配置备份与恢复机制,并且可以恢复到出厂设置。
支持远程TFTP、FTP、HTTP等方式升级。
完善的日志审计功能 日志分级、分类;系统要能够提供多种日志存储方式,可以缓存在设备本地,也可以将日志以专用格式/Welf/Syslog等多种日志格式的输出;具有完善的日志收集、传输、存储、分析、报告等解决方案。
资质要求 销售许可 中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》。
安全测评证书 中国国家信息安全测评认证中心颁发的《信息技术产品安全测评证书》认证级别EAL3。
军用认证证书 中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》(军B级)。
保密局检测证书 中国国家保密局测评中心颁发的《涉密信息系统产品检测证书》。
商用密码定点生产单位证书 国家密码管理局颁发的《国家商用密码定点生产单位证书》。
商用密码定点销售单位证书 国家密码管理局颁发的《国家商用密码定点销售单位证书》。
防火墙系统软件著作权登记证 国家版权局颁发的防火墙系统计算机软件著作权登记证书。
安全操作系统著作权登记证 国家版权局颁发的专用安全操作系统计算机软件著作权登记证书。
IPv6认证证书 IPv6 Ready认证证书。
百兆防火墙: 1台
指标 指标项 规格要求
设备
基本
要求 硬件架构及系统要求 安全硬件架构,采用专用多核安全操作系统设计,提供多核安全操作系统证书。
接口数量要求 接口支持8个千兆电口,并具备专用consle管理接口。
机箱电源要求 标准1U机箱。
MTBF 不少于70000小时。
性能
要求 网络吞吐量 吞吐率≥1200Mbps 。
最大并发连接数 最大并发连接数≥160万,在首页上显示支持最大并发连接数和实时连接数数值。
每秒最大新建连接数 新建连接速率≥20,000/秒。
VPN隧道数 支持可扩展VPN隧道数≥3000条。
功能
要求 网络接入方式 可以支持路由、透明以及混合接入模式,满足复杂应用环境的接入需求。
访问控制能力 支持基于源IP地址、目的IP地址、源区域、目的区域、VLAN、MAC、时间、用户、网址、VPN隧道等多种方式进行访问控制;支持设定网段内共享的或者任一地址的新建连接限制,支持设定网段内共享的或者任一地址的并发连接限制;提供连接限制的查询和统计功能;
支持SIP/H.323/H.323网守/FTP/SQL.Net/MMS/RTSP/TFTP等动态协议;支持MSN、QQ、skype、等Instant Messenger通信的限制;可限制BT、eDonkey、kazaa、winmx、讯雷等多种P2P应用限制;可按接口、IP进行IP/MAC对探测,支持单、双向静态地址绑定,防止ARP攻击
安全过滤 支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤,支持收、发信人地址、邮件主题、邮件内容关键字、附件名称过滤;支持ftp的GET、PUT命令控制;
支持对移动代码如Java 、Active-X、Java script的过滤;
用户认证 支持Web/Portal弹出页面(无客户端)认证,支持本地认证和第三方认证,支持LDAP、Radius等认证。
网络地址转换能力 可以支持源、目的地址/端口转换、双向地址转换;
支持一对一,一对多,多对一地址转换方式。
网络适应 网络适应能力 支持多纯透明子桥;
支持802.1d生成树,能进行802.1d的生成树协商;支持与交换机的Trunk接口对接;
支持DHCP服务器、中继及客户端;
带宽管理 可分多级带宽级别。
支持最大保证带宽、最大限制带宽。
支持共享和独享带宽限制。
路由功能要求 支持静态和动态路由,动态路由支持RIP和OSPF动态路由协议;静态路由协议支持基于源地址、目的地址和策略路由。
链路备份能力要求 支持多路由负载均衡,最大可支持16条链路负载。
高可用性要求 支持双机热备功能,包括主备模式(A/S),主主模式(A/A) 。支持VRRP协议;支持桥模式HA,支持HA自动配置同步和实时状态同步;支持服务器负载均衡。
抗攻击能力 可根据接口选择开启并阻断以下攻击行为:
syn flood、icmp flood、udp flood、 tcp scan、 udp scan、 ping sweep、 teardrop、land、ping of death、smurf、winnuke、圣诞树、tcp 无标记、syn fin、无确认fin、松散源路由、严格源路由、ip 安全选项、ip记录路由、 ip 流攻击、ip时间戳等攻击。
病毒 病毒防御能力 具备独立蠕虫过滤功能,对sobig, ramen, welchia, agobot, opaserv, blaster, sadmind, slapper,novarg, slammer, zafi, bofra, dipnet等主流蠕虫病毒的识别、过滤和拦截。
预警机制 当发生安全事件的时候支持以邮件、声音、SNMP、控制台等方式告警。
可自动检测网段内IP地址冲突,并报警。
系统管理能力 支持超级管理员/策略管理员/配置管理员/审计管理员,支持三员分立,支持多级管理;支持多种管理方式,包括远程拨号、中文WEB、本地CONSOLE、远程SSH、TELNET等;可通过同品牌控制软件实现远程集中监控管理功能:支持远程集中管理监控功能,配合在同一个管理平台下能够对所管理网络中所有的防火墙设备进行管理和监控,提供远程升级和配置变更、VPN策略集中下发,非常方便用户对防火墙软件版本和配置变更的管理;支持SNMP 的v1 、v2 、v3 等不同版本;管理员身份认证支持电子钥匙认证和证书认证;各类资源对象、安全策略可单独导入、导出,并且可以恢复到出厂设置;支持系统软件的升级。
日志审计能力 日志可分级、分类;可按设备管理、安全规则、抗攻击等进行分类查看,可按紧急、一般事件分等级查看;
系统要能够提供多种日志存储方式,可以缓存在设备本地,也可以将日志以专用格式Syslog输出;
可通过自有品牌软件对日志进行收集、分析,能提供详尽日志统计报表。
综合管理 系统监控功能 支持防火墙系统的实时监控,可以显示每个CPU核的运行状态及统计,支持实时连接状态监控,支持实时路由表查看,支持Web界面导出调试信息功能。
安全管理平台支持 支持与安全管理平台的联动,支持安全管理平台的策略配置,策略统一下发,日志收集,日志查询等功能。
报表功能 从反映网络安全总体状况的角度进行统计和分析,得到网络安全状况报表;从安全设备的运行状况出发,可以得到设备安全信息报表。能够根据用户的需求生成日报表,周报表,月报表和年报表等,报表可以另存为html,excel,文本,pdf等多种格式。支持的报表内容有:
主机访问流量TOP10:统计访问流量最大的前10位主机。
站点被访问流量TOP10:统计被访问流量最大的前10位站点。
拒绝访问类型TOP10:统计被拒绝次数最多的前10种访问类型。
禁访站点访问尝试次数TOP10:统计尝试次数最多的前10位被禁止访问的站点。
VPN
功能
要求 VPN模块要求 防火墙支持内嵌VPN功能模块,并可以提供VPN客户端软件,可方便地建立网关-网关、网关-客户端、客户端-客户端的加密隧道。
VPN扩展要求 支持PPTP、L2TP形式的VPN、支持基于策略和基于路由的VPN。支持 GRE VPN。
兼容性要求 支持密钥交换协议、IPSEC协议的其他 IPSEC VPN设备进行互联、互通。
加密算法要求 要求提供高加密强度,加密算法符合国密办要求;
可支持经国密办认证的硬件加密卡提供的专用加密算法。
认证方式 支持基于证书的认证。
隧道安全 支持安全规则对VPN隧道的引用,能对隧道内数据进行病毒查杀和内容过滤。
产品资质 销售许可 中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》(三级)。
涉密证书 中国国家保密局测评中心颁发的《涉密信息系统产品检测证书》。
3C认证 中国信息安全认证中心颁发的《中国国家信息安全产品认证证书》二级。
商用密码定点生产单位证书 VPN算法符合国密办要求,具备国家密码管理局颁发的《国家商用密码定点生产单位证书》。
商用密码定点销售单位证书 VPN算法符合国密办要求,具备国家密码管理局颁发的《国家商用密码定点销售单位证书》。
自主创新产品证书 省级自主创新产品证书,如北京市颁发的《北京市自主创新产品证书》。
防火墙系统软件著作权登记证 国家版权局颁发的防火墙系统计算机软件著作权登记证书。
百兆网闸: 1台
项目 技术要求
硬件规格 系统内部采用“2+1”模块结构设计,即包括外网主机模块、内网主机模块和隔离交换模块。
自主研发的基于安全芯片的专用硬件,全硬件交换。不同于采用SCSI、USB、1394协议等接口实现安全隔离。
内、外网分别含有5个千兆电口,含独立的管理接口,而不是通过网络接口管理,也不是通过内网一个管理接口完成全部管理,1U机架式设备。
内、外网分别具有独立的HA口,实现双机热备及负载均衡。
内外网主机系统与交换模块之间采用高性能PCI-E连接,消除性能瓶颈。
300M吞吐,内部交换带宽≥5Gbps。
延时≤20us。
主模块 提供基于Web的图形化管理和基于数字证书的远程安全管理。
支持对网络接口模式进行设定,进行灵活部署。
可以通过时间控制功能模块启用和停用网闸功能。
支持管理员角色定制和管理,可以添加多个管理员角色,并定制权限。
支持用户名/口令、数据证书等多种认证管理方式。
支持管理员登录失败锁定次数、锁定时间和超时时间的设定。
实现管理终端IP地址和端口的访问控制。
提供完善的日志审计。
支持Syslog。
支持标准的SNMP协议。
支持配置管理,能够对单独模块进行配置导入导出。
支持系统补丁管理。
支持设备诊断信息导出。
可控制信息流动方向。
支持IP/MAC地址绑定和自动探测。
通过WEB管理界面进行设备的远程关闭及重启功能。
自动同步NTP网络时间或者对端设备的系统时间。
在配置界面提供调制工具,其中包括:tracert;ping;telnet;arp等。
支持软硬件多核技术,通过界面能够查看到多核CPU使用率。
提供设备运行状态检测、系统资源监控。
文件交换模块 支持文件传输方向控制:单向传输和双向同步。
支持多种同步模式: 完全一致、完全复制、新增传输、复制加新增、源端移动、源端删除等模式。
支持无客户端传输方式,不需要用户单独提供服务器,不需要安装任何客户端软件。
支持专用客户端,数据加密传输。
支持被动传输方式,设备提供共享空间被动接受用户提交的文件。
支持子目录同步控制和二进制文件同步控制。
支持空间限制、文件类型限制、文件数量限制、文件大小限制、修改时间限制。
可以设定同步任务的循环周期和开始时间。
支持暂缓传输文件控制。
提供关键字、黑白名单信息过滤,发送白名单、发送黑名单、接收白名单、接收黑名单等多种组合控制方式。
支持文件名与后缀的过滤。
支持任务运行标记。
邮件模块 支持SMTP、POP3通用协议,支持SMTP认证。
支持垃圾邮件过滤,支持对邮件内容和附件的过滤。
支持SMTP、POP3用户名过滤。
支持对邮件的数字签名。
支持邮件地址、主题、内容及附件关键字过滤。
支持对附件及其附件的大小和类型进行过滤控制。
能够对邮件访问的源/目的地址、端口进行访问控制。
支持任务运行标记。
支持任务运行时间控制。
数据库同步模块 支持Oracle、Sybase、SQL Server、MySql、DB2等多种主流数据库同步。
不需要更改数据库结构和添加数据表,不影响数据库服务器性能。
同步由网闸主动发起并完成,不需要第三方软件支持。
网闸不需要开放任何服务端口,避免造成漏洞。
支持异构数据库同步,实现不同表结构和不同数据库类型之间的转化。
支持一对一、一对多、多对一数据库同步。
支持断点续传。
支持周期复制、实时复制、标志更新等多种同步方式。
支持设定同步时间和同步周期。
支持大字段和二进制字段的数据同步。
支持字段级同步。
支持双向同步。
支持具有复杂关联关系的数据库表的同步。
支持自定义任务。
数据库访问模块 支持SQL、ORACLE、DB2、SYBASE等主流数据库的访问。
支持SQL语句内容过滤。
支持访问用户名过滤。
支持任务运行标记。
支持任务运行时间控制。
FTP模块 支持透明模式、代理模式及混合模式。
支持FTP主动模式及被动模式。
采用端到端的安全通道式访问。
支持对访问用户的限制。
支持传输文件扩展名过滤。
支持PORT命令端口范围控制。
支持传输文件中文件名控制。
支持FTP访问命令过滤。
支持访问时间控制。
支持对访问的FTP服务器地址的重定向。
支持源地址和目的地址控制。
支持最大连接数控制。
支持单个IP最大连接数限制。
支持任务运行标记。
安全浏览模块 支持代理模式。
支持透明模式。
支持对代理上网端口的进行控制。
支持URL、URI后缀黑白名单控制。
支持MIME类型细粒度控制,如网页中的应用程序、视频、音频、图像、文本等进行细粒度控制。
支持对HTML细粒度控制,如网页中的Script脚本、ActiveX脚本、java applet、cookie等。
支持关键字网页过滤。
支持HTTP方法控制,如POST、GET、HEAD、CONNECT等。
支持用户名口令认证、数字证书认证、LDAP、RADIUS等多种认证方式。
支持用户上网的IP控制。
支持用户上网时段限制。
支持用户连接数限制。
定制服务 支持TCP定制服务。
支持UDP定制服务。
支持组播的定制服务。
支持广泛的视频应用。
支持任务运行标记。
支持任务运行时间控制。
视频模块 支持SIP、H.323、H.264、TCP、UDP等各种流媒体协议,可支持广泛的视频定制。
视频分辨率支持D1、VGA、2/3D1、1/2D1、SIF等多种分辨率,具有低延迟、低丢包率等特性。
支持视频服务器认证,有效保证非法视频服务器不能接入用户的内部网络。
支持互信互通、南望、先进视讯、华为3COM、天视等多种主流视频控制协议。
支持DB33标准。
Socks代理模块 支持Socks代理模块。
高可用性支持
通过独立的HA端口实现双机热备,支持宕机切换、抜线切换,支持主动链路探测,支持设备优先级设置和自动抢占功能。
支持多机(最多32台)负载均衡,支持负载分担、自动切换、自动恢复等。
支持端口和链路的冗余:无需其他设备支持和配合,实现了在一条链路故障时,业务能够切换到另一条链路上。
防护设置 抗Dos攻击功能设置。
ICMP应答功能设置。
资质要求 公安部销售许可证 (三级)。
国家信息安全测评信息技术产品安全测评证书(百兆)。
国家保密局涉密信息系统产品检测证书。
国家信息安全产品认证证书(二级)。
军B级军用信息安全产品认证证书。
计算机软件著作权登记证书。
自主创新产品证书。
千兆交换机: 2台
指标 指标项 规格要求
背板交换容量 ≥256Gbps
交换容量(全双工) ≥192Gbps
包转发率(整机) ≥96Mpps
业务端口描述 ≥24个10/100/1000Base-T以太网端口,4个复用的1000Base-X千兆SFP端口
扩展插槽 2个扩展插槽
端口聚合 支持LACP
支持手工聚合
支持最多14/26个聚合组,每组支持最多8个GE或4个10GE端口
端口特性 支持IEEE802.3x 流量控制(全双工)
支持基于端口速率百分比的风暴抑制
支持基于PPS的风暴抑制
MAC地址表 支持32K个MAC地址
支持黑洞MAC地址
支持设置端口MAC地址学习最大个数
VLAN 支持基于端口的VLAN(4K个)
支持基于MAC的VLAN
基于协议的VLAN
二层环网协议 支持STP/RSTP/MSTP
堆叠 支持分布式设备管理,分布式链路聚合,分布式弹性路由
支持通过标准以太网接口进行堆叠
支持本地堆叠和远程堆叠
IP路由 支持静态路由
支持RIPv1/v2,RIPng
支持OSPFv1/v2,OSPFv3
支持BGP4,BGP4+ for IPv6
支持等价路由,策略路由
支持VRRP/VRRPv3
IPv6 支持ND(Neighbor Discovery)
支持PMTU
支持IPv6-Ping,IPv6-Tracert,IPv6-Telnet,IPv6-TFTP
支持手动配置Tunnel
支持6to4 tunnel
支持ISATAP tunnel
镜像 支持流镜像
支持N:4端口镜像
支持本地和远程端口镜像
QoS/ACL 支持ACL 支持L2(Layer 2)~L4(Layer 4)包过滤功能,提供基于源MAC地址、目的MAC地址、源IP(IPv4/IPv6)地址、目的IP(IPv4/IPv6)地址、TCP/UDP端口号、VLAN的流分类
支持时间段(Time Range)ACL
支持入方向和出方向的双向ACL策略
支持基于VLAN下发ACL
支持QoS 支持对端口接收报文的速率和发送报文的速率进行限制
支持报文重定向
支持CAR(Committed Access Rate)功能
每个端口支持8个输出队列
安全特性 支持用户分级管理和口令保护
支持802.1X认证/集中式MAC地址认证
支持Guest VLAN
支持RADIUS认证
支持SSH 2.0
管理与维护 支持XModem/FTP/TFTP加载升级
支持命令行接口(CLI),Telnet,Console口进行配置
支持SNMPv1/v2/v3,WEB网管
支持RMON (Remote Monitoring)告警、事件、历史记录
百兆交换机: 3台
指标 指标项 规格要求
固定端口 ≥24个10/100Base-TX以太网端口,4个1000Base-X SFP千兆以太网端口
交换容量 ≥32G
二/三层转发率 ≥9.6Mpps
交换模式 存储转发模式(Store and Forward)
端口 支持IEEE 802.3x流控(全双工)
支持基于端口速率百分比的广播风暴抑制
支持基于pps的广播风暴抑制
端口汇聚 支持LACP
支持手工聚合
支持最大8个聚合组,每个聚合组支持最大8FE
MAC地址 最多支持16K MAC
支持黑洞MAC
支持设置端口MAC学习最大个数
VLAN 支持基于端口的VLAN (4K个)
支持基于协议的VLAN
IP路由 支持静态路由、RIPv1/2、
支持OSPF、ECMP(EI系列)
支持VRRP
二层环网协议 支持STP/RSTP/MSTP协议
支持Smart Link
镜像 支持N:1端口镜像
支持流镜像
RSPAN (Remote Switched Port Analyzer,远程交换端口分析)(EI系列支持)
QoS/ACL 支持ACL 支持L2~L4包过滤功能,提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议类型、VLAN等
支持基于时间段的ACL
支持QoS 支持对端口接收报文的速率和发送报文的速率进行限制
支持报文的802.1p和DSCP优先级重新标记
支持报文重定向
支持CAR功能
支持8个端口输出队列
安全特性 用户分级管理和口令保护
支持IEEE 802.1X认证/集中式MAC地址认证
支持AAA&RADIUS认证
支持MAC地址学习数目限制
支持MAC地址与端口、IP的绑定
管理与维护 支持XModem/FTP/TFTP加载升级
支持命令行接口(CLI)、Telnet、Console口进行配置
支持SNMPV1/V2/V3、WEB网管
支持RMON 1,2,3,9组MIB
机柜: 5台
指标 指标项 规格要求
要求 42U标准服务器机柜,黑色
2*PDU
2套17寸折叠液晶套件
KVM: 2套
指标 指标项 规格要求
要求 每组USB-PS/2控制端可分别直接管理16台服务器,本次共配置两组,及串接线缆,可管理32台服务器。
菊式串联另外31台装置-单一控制端可管理高达512台服务器。
前端面板内建的USB连接埠,使每一台连接的服务器均可轻松存取USB外围设备。
双接口-支持配备PS/2或USB键盘及鼠标的服务器与控制端。
跨平台支持-Windows 2000/XP/Vista、Linux、Mac和Sun 。
Video DynaSyncTM视频动态同步显示-可储存控制端屏幕的EDID信息以最佳化屏幕分辨率 。
支持USB键盘 (PC、Mac和Sun) 。
PS/2及USB接口自动侦测 。
USB与PS/2键盘及鼠标讯号仿真–无论控制端是否切换到该服务器均可确保开无误 。
高视频质量-分辨率高达2048×1536;DDC2B 。
无需安装软件-可透过前端面板按键、键盘热键及多国语言OSD屏幕选单轻松选服务器 。
在菊式串联的架构下,可自动侦测装置机台位置并显示于前端面板的LED上,无需手动进行DIP设定。
当机台顺序改变时,可自动重编连接端口号 。
双层密码安全机制-唯有授权使用者才能浏览与控管服务器;最多提供1位管理和4位用户。
使用者的授权,其拥有各自的设定数据 。
自动扫描模式可持续监控使用者所选择的服务器 。
支持广播模式-可同步对选择的所有服务器传达操作指令 。
支持热插拔-不需关闭电源即可随时增加或移除服务器 。
通过热键和OSD开启/关闭警示音 。
可通过菊式串联线,同步为所有串联的KVM多计算机切换器进行固件更新 。
可安装于19"的系统机架(1U) 。
服务器: 17台
指标 指标项 规格要求
服务器1(4台) 要求 4U机架式服务器;
2颗十二核处理器 主频不低于2.1GHz;最大支持4颗处理器;
32G DDR3 内存;
300G SAS 热插拔*2;最大支持10块热插拔2.5寸SAS硬盘;
RAID1;
3*1000M网卡,支持网络唤醒、网络冗余和负载均衡;
DVD刻录光驱;
服务器备份还原软件,实现应用服务器硬盘和分区的备份还原,支持本地与网络的备份方式;
智能监控系统,进行系统管理、查看日志、实时监控服务器状态;
正版SUSE Linux企业版操作系统;
服务器冗余电源;
5年原厂工程师免费上门服务
服务器2(1台) 要求 4U机架式服务器;
2颗十二核处理器 主频不低于2.1GHz;最大支持4颗处理器;
32G DDR3 内存;
300G SAS 热插拔*9;最大支持10块热插拔2.5寸SAS硬盘;
512M SAS RAID卡,做RAID5;
3*1000M网卡,支持网络唤醒、网络冗余和负载均衡;
DVD刻录光驱;
服务器备份还原软件,实现应用服务器硬盘和分区的备份还原,支持本地与网络的备份方式;
智能监控系统,进行系统管理、查看日志、实时监控服务器状态;
正版Windows Server 2008企业版操作系统;
服务器冗余电源;
5年原厂工程师免费上门服务
服务器3(8台) 要求 2U机架式服务器;
2颗八核处理器 主频不低于2.4GHz;
16G DDR3 内存;
1T SAS 热插拔*2,做RAID1;最大支持12块热插拔SAS硬盘;
2*1000M以太网卡,支持网络唤醒、网络冗余和负载均衡;
DVD刻录光驱;
服务器备份还原软件,实现应用服务器硬盘和分区的备份还原,支持本地与网络的备份方式;
智能监控系统,进行系统管理、查看日志、实时监控服务器状态;
正版SUSE Linux企业版操作系统;
服务器冗余电源;
5年原厂工程师免费上门服务
服务器4(2台) 要求 2U机架式服务器;
2颗八核处理器 主频不低于2.4GHz;
16G DDR3 内存;
1T SAS 热插拔*7;最大支持12块热插拔SAS硬盘;
512M SAS RAID卡,做RAID5;
2*1000M网卡,支持网络唤醒、网络冗余和负载均衡;
DVD刻录光驱;
服务器备份还原软件,实现应用服务器硬盘和分区的备份还原,支持本地与网络的备份方式;
智能监控系统,进行系统管理、查看日志、实时监控服务器状态;
正版SUSE Linux企业版操作系统;
服务器冗余电源;
5年原厂工程师免费上门服务.
服务器5(2台) 要求 2U机架式服务器;
1颗六核处理器 主频不低于2.6GHz;
8G DDR3 内存;
1T SAS 热插拔*2,做RAID1;
2*1000M以太网卡,支持网络唤醒、网络冗余和负载均衡;
DVD刻录光驱;
服务器备份还原软件,实现应用服务器硬盘和分区的备份还原,支持本地与网络的备份方式;
智能监控系统,进行系统管理、查看日志、实时监控服务器状态;
正版SUSE Linux企业版操作系统;
服务器冗余电源;
5年原厂工程师免费上门服务
其他 要求 为保证兼容性,上述所有服务器要求同一品牌
加密机: 3台
指标 指标项 规格要求
主要功能 提供1024/2048/4096位RSA密码运算功能;
采用经国家密码管理局办批准使用的SSF33对称密码算法;
采用经国家密码管理局办批准使用的SM1对称密码算法;
支持通用的分组密码算法;
支持SHA1数据摘要算法;
采用物理噪声监测算法,可以生成满足要求的随机数;
提供了1024/2048/4096位RSA安全素数及密钥对生成算法、对称密钥生成等功能,提供了密钥加载和更新功能;
具有密钥导入、导出功能,便于密钥对的备份、恢复及多机并行工作时各密码机密钥的一致。密钥管理采用IC卡方式;
支持10/100/1000M以太网接口,可以在各类服务器上使用,易于安装、使用和维护;
多线程支持及性能扩展,支持多线程、多任务和性能扩展,在高性能使用环境中,可多机并行工作;
工作程序可通过加载的方式在线更换和升级,便于密码机功能的更改和升级;
适用于Windows、Linux、各类UNIX等系统应用环境;
多机构成集群工作时,具有自动负载均衡和冗余热备份功能。
主要技术指标 总线接口 以太网接口:10M/100M/1000M自适应
IC卡接口:符合ISO/IEC 7816-3 T=1协议
密码算法 对称密码算法密钥长度为128位,支持SM1算法、SSF33算法
RSA算法密钥长度位1024位、2048位、4096位
HASH算法为SHA1、SHA256
密码运算速度指标 公钥密码算法运算速度
1024位RSA私钥运算速度:1400次/秒
2048位RSA私钥运算速度: 400次/秒
1024位RSA公钥运算速度:4000次/秒
2048位RSA公钥运算速度:3000次/秒
密钥对生成时间
RSA1024位:0.3秒/对
RSA2048位:3.5秒/对
对称密码算法运算速度
SSF33算法运算速度:15Mb/s
SM1算法运算速度:72Mb/s
杂凑算法
SHA1算法运算速度:大于50Mb/s
API接口 API符合《公钥密码基础设施应用技术体系——密码设备应用接口规范》。
入侵检测设备: 1台
项目 技术要求
硬件规格 可提供4个端口,至少能扩展2个监听口。
一个RJ45串口。
引擎为标准机架式2U硬件设备,并提供冗余电源。
性能指标 最小监控流量1Gbps。
最小TCP并发连接数1000,000。
每秒最大包获取能力1000,000pps。
每秒新建TCP连接数60,000/s。
管理功能 应具备集中管理功能,可实现分布部署、集中式安全监控管理和配置管理,日志报表模块可独立部署 ,适合大规模部署环境
各组件间(管理平台与引擎等)使用加密信道通信。
简便易用的GUI管理界面。
对授权用户根据角色进行授权管理,提供用户登录身份鉴别和防暴力猜解;可以严格按权限来进行管理。
要求对用户分级,并能够调整对不同用户的具体权限,提供不同的操作。对各级权限的用户行为进行审计。
检测能力 事件分析功能要求采用高级模式匹配及先进的协议分析技术对网络数据包进行分析。协议覆盖面广,事件库完备,能够对缓冲区溢出、网络蠕虫、木马软件、间谍软件等各种攻击行为进行检测。
具备基于原理的Web漏洞检测能力,精确识别SQL注入攻击,提供对重点服务器的入侵保护。
支持对国内常见木马/p2p/IM/网络游戏以及其他违规行为的检测和发现 。
具备碎片重组、TCP流重组、统计分析能力;具备分析采用躲避入侵检测技术的通信数据的能力;
采用基于行为分析的检测技术,对0day攻击能够很好防范。具备协议自识别功能。
具备规则用户自定义功能,可以对应用协议进行用户自定义,并提供详细协议分析变量
升级功能 具备独立的升级管理中心,可对控制中心和设备进行升级
控制中心可以统一对下级控制台和设备进行升级
可手动、自动执行产品升级
公司网站提供产品离线升级包下载
应保证每周一次的规则库升级,重大安全事件随时更新
响应能力 应提供多种事件合并条件,避免事件风暴的产生
应支持下列实时响应方式:实时告警
屏幕报警/声音报警、邮件报警、SNMP报警、自定义程序报警等
策略功能 应提供按照检测对象、攻击类型等分类的默认内置检测模版,且默认模版不可修改;提供向导化的策略编制方式。
提供动态策略调整功能,对一些频繁出现的低风险事件,自动调整其响应方式
日志与报表 应支持多种数据库类型,支持独立的日志报表模块部署。同时提供专门的数据库维护功能,
具备自定义报表功能,支持交叉统计和多元组合查询详细事件,支持导出为WORD\EXCEL\PDF \HTML 等常用公文处理格式
产品安全性 需保证通信安全
需保证设备自身安全
应提供可扩展的用户身份鉴别方式接口,为增加用户身份鉴别强度提供支持
产品资质 计算机信息系统安全专用产品销售许可证
国家信息安全认证中心认证证书,国际CVE兼容检测证书
涉密信息系统产品检测证书
计算机软件著作权登记证书
要求厂商提供自主发掘漏洞能力证明
安全审计: 1台
项目 指标 规格要求
要求 硬件规 格 审计引擎采用独立硬件(非Windows平台)
审计数据中心采用独立硬件(非Windows平台)
审计数据的存储空间不得少于1.5T,支持磁盘阵列
审计数据中心与审计引擎双电源支持
千兆审计要求 支持千兆网络环境监听,提供4个电口4个SFP插槽
监听流量支持千兆环境
千兆审计系统审计事件每秒入库速度至少在16000条/秒以上
日处理审计事件数至少600万条
部署和管理 采用旁路部署方式对原有网络不造成影响,网络审计产品的故障不影响被审计系统的正常运行
支持透明部署、支持单臂路由、支持路由模式、支持NAT、支持Bypass
采用B/S管理方式
无需在被审计系统上安装任何代理
审计引擎统一管理、至少支持2个以上的引擎同时管理,审计数据统一存储、查询、分析、统计
多级管理 下级控制台(数据中心)可以设置接受上级管理
上级控制台(数据中心)可以查看所有下级的拓扑和状态
上级控制台(数据中心)可以为下级生成报表
上级控制台(数据中心)可以为下级下发审计对象
数据库审计支持 Oracle数据库审计
SQL-Server数据库审计
DB2数据库审计
Informix数据库审计
Sybase数据库审计
MySQL数据库审计
PostgreSQL数据库审计
Teradata数据库审计
Cache数据库所审计
人大金仓数据库的审计
达梦数据库的审计
南大通用数据库的审计
文件共享审计支持 网络邻居审计
NFS协议审计
运维审计支持 Telnet协议审计
FTP协议审计
Rlogin协议审计
Radius协议审计
RDP协议审计
SSH协议审计
SCP协议审计
SFTP协议审计
业务关联审计 支持自动方式建立web访问和SQL访问之间的对应关系,生成访问行为模型库
对于模型库以外的未知HTTP操作、未知SQL操作可进行标注审计
支持中间件环境下的SQL语句关联到HTTP操作,HTTP操作关联到HTTP-ID,实现中间件环境下的审计追溯
支持事后关联和实时关联两种方式
数据库安全审计 支持对针对数据库的XSS攻击行为进行审计
支持对针对数据库的SQL注入攻击行为进行审计
提供对数据库返回码的知识库和实时说明,帮助管理员快速对返回码进行识别
支持数据库并发会话数、并发进程数、并发用户数、并发游标数、并发事务数、数据库锁等超过限制的审计
支持数据库账号登陆成功、失败的审计
审计策略支持 系统应自带审计规则库,用户可自定义审计策略
审计策略支持时间、源IP、目的IP、协议、端口、登陆账号、命令作为响应条件
审计策略支持数据库客户端软件名称、数据库名、数据库表名、数据库字段名、数据库返回码作为响应条件(非正则表达式方式)
审计策略支持字段值作为分项响应条件(非正则表达式方式)
支持数据库绑定变量审计
支持访问数据库的源主机名、源主机用户的审计
支持SQL操作响应时间的审计
支持Select操作返回行数的审计
审计能力 支持数据库操作成功、失败的审计
支持数据库操作类、表、视图、索引、触发器、存储过程、域、Schema、游标、事物等各种对象的SQL操作审计。
支持Telnet协议的审计,能够审计用户名、操作命令、命令响应时间、返回码等;
支持对FTP协议的审计,能够审计用户名、命令、文件、命令响应时间、返回码等
支持审计网络邻居的用户名、读写操作、文件名等
支持审计NFS协议的用户名、文件名等
支持审计Radius协议的认证用户MAC、认证用户名、认证IP、NAS服务器IP
支持IP-MAC绑定变化情况的审计
响应方式 记录审计事件
记录会话数据
忽略
实时阻断
界面告警
Syslog告警
SNMP trap告警
邮件告警
实时监视 实时监控对实时告警信息,当前会话进行详细察看;有助于管理员及时处置
事件查询统计 支持按时间、级别、源\目的IP、源\目的MAC、协议名、源\目的端口为条件进行查询
支持按数据库名、数据库表名、字段值、数据库登陆账号、数据库操作命令、数据库返回码、SQL响应时间、数据库返回行数作为查询和统计条件
支持按自定义关键字作为查询和统计条件
支持条件之间的与、或、非逻辑组合
系统提供报表模板库
系统支持根据自定义关键字自动生成报表
支持按每天、每周、每月、时刻生成报表
支持生成CSV、Word、PDF、xls、HTML格式的报表导出
支持邮件方式自动发送报表
自身管理 提供管理员权限设置和分权管理,提供三权分立功能,系统可以对使用人员的操作进行审计记录,可以由审计员进行查询,具有自身安全审计功能
管理员登陆支持静态口令认证,支持密码的复杂性管理,比如大小写、数字、特殊字符、长度等
能够对连续失败登陆进行自动锁定,锁定时间可设置
审计系统上存在大量敏感信息,必须对审计管理员进行强度更高的认证,管理员登陆支持硬件令牌认证
提供审计数据管理功能,能够实现对审计数据的自动备份、删除
提供审计报表自动备份功能
提供系统升级功能,能够通过升级包的方式实现升级
提供磁盘存储容量不足、磁盘Raid故障等自动邮件报警
提供CPU、内存、磁盘、网口、运行时间、运行状态等信息的监视功能
提供审计策略和配置的导入导出
第三方接口 支持SNMP方式,提供系统运行状态给第三方网管系统
支持Syslog方式向外发送审计日志
支持SNMP Trap方式向外发送审计日志
支持NTP时间同步
资质要求 产品要求 国产产品,全中文界面
销售许可 产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》;
军用认证证书 产品具有中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》
中国国家信息安全产品认证证书(3C强制认证) 产品具有中国信息安全认证中心颁发的强制认证证书;
保密局检测证书 产品具有中国国家保密局测评中心颁发的《涉密信息系统产品检测证书》
中国国家信息安全测评中心 产品具有中国信息安全测评中心的信息技术产品安全测评证书
版权证书 产品具有国家版权局颁发的《计算机软件著作权登记证书》