流量監控設備項目招標公告

受采購人委托，天津市政府采購中心將對天津工業大學流量監控設備項目實施政府采購（詳細技術需求見附件——項目需求書）。
為了保證政府采購當事人合法權益，確保政府采購程序公開、公平、公正，現廣泛征求各方意見，征求意見截止時間為2009年9月10日，本中心將對各方提出的意見進行匯總，并根據實際情況調整技術需求。
本中心將以調整后的項目需求實施本項目采購。
請您盡快將貴單位反饋意見加蓋公章送至我中心，非常感謝您的參與。
聯系電話***
聯 系 人***
 

（1）系統架構
整個系統要求具有兩個模塊架構部署：流量控制模塊與旁路（Bypass）模塊。
（2）性能容量
并發連接數≥2,000,000；
新建連接數≥40,000；
吞吐量：單向≥1Gbps，雙向≥2Gbps。
在設備硬件不變的情況下，管理帶寬可從1Gbps（單向）升級到2Gbps（單向）
（3）網絡端口
流量控制模塊網絡接口數≥ 4x1000M SX；
Bypass模塊網絡接口數≥4x1000M SX；
支持千兆多模光纖接口且光纖模塊配備齊全。
（4）設備管理
可以通過Web瀏覽器、圖形界面（GUI）控制，可實現動態完全自動刷新，實時監控刷新時間≤30秒，無需人工干預；
可以通過Telnet進行管理，可做限制訪問設備的IP地址列表；
設備支持獨立的管理接口，以提高網絡管理的安全性;
設備具有中文界面管理。
（5）流量監控
實時監控功能：設備必須具備實時監控功能，設備能夠對網絡進行實時自動監控（無需人工干預），至多每30秒數據和圖形自動實時更新一次，無需重復打開監控界面；
實時圖表生成能力（包括間隔至多為30秒的最后至少4小時的實時數據，間隔至多為5分鐘的最后至少48小時的實時數據。所有實時數據都是至多每30秒實時在圖表上更新一次。）
可以根據帶寬、流量、協議和應用、連接數、最活躍的IP地址，數據包大小及利用率等來查看圖表；
圖表可查看前30位數據；
可以對網絡內部任何一臺主機，采用圖表的方式查看流量使用情況和應用協議使用情況；
可以對總帶寬及策略管道帶寬進行出入雙向監控；
所有圖表均能夠按照圖形和數據兩種方式顯示；
長期監控功能：設備至少可查看長達一年內的歷史數據圖表；
長期圖表生成能力（包括間隔至多為1小時的的最后至少3個月的數據，間隔至多為1天的最后至少12個月的數據。）
數據、圖表的導出能力：所有監控圖表可以輸出為jpg/pdf/xml/csv/html的文件格式；
報表可以定義手工輸出或者自動按時間點輸出，同時可以定期把報表發送到指定Email地址；
針對流量監控圖形，具有IP、應用協議的深度關聯分析功能。
（6）協議識別
P2P應用：至少應識別BitTorrent、eDonkey、Groove、Aimster、KaZaA，Maze、AudioGalaxy，Gnutella，PPlive，PPStream，QQlive，POCO，Sopcast，TVAnts，CCIPTV，Feidian IPVT，Thunder，Mysee，Kugoo（等中國特有的P2P協議）；
VoIP協議：至少應識別Skype，H.323,SIP,RTP,Net2Phone；
游戲類協議：至少應識別Doom，Diablo，QQ Game，SWAT，Ultima；
多媒體類協議：至少應識別Abacast，iTunes，RTSP，Winamp MMS；
即時消息類協議：至少應識別 MSN-messager，AOL-Instant messager，YahooMsg，ICQ，QQ，IRC，CamFrog等在線聊天系統；
第七層數據庫應用：至少應識別SAP，CORBA，ORACLE，SQL；
二層封裝格式：至少應識別PPPoE、MPLS、802.1q、L2TP、VLAN ID等二層封裝格式包；
設備可通過單一IP地址、多個IP地址、IP子網等對流量進行分類；
可支持識別非IP的網絡協議，如SNA、Novell等；
支持以樹型、層次化的方式直觀地表現流量的分類。
（7）流量控制
能夠精確到對每個IP鏈接數據包的控制；
設備的策略管理可劃分為層次化結構，可對網絡流量進行詳細分組控制；
可以設定每個IP、策略管道的最大、最小帶寬（必須保證帶寬）策略；可以監控每個策略管道的最大連接數和連接建立的速率；
設備的應用協議庫可以基于靜態端口號手工添加并識別；
可以對應用流量雙向設置不同的策略；
可針對視頻、語音類流量做到突發和速率恒定（CBR）兩種控制方式；
在帶寬緊張時可根據優先級的劃分保證高優先級分組流量；
流量分析的最小顆粒度應不大于1K；
具有策略設置的即時生效功能，當策略設置好后立即起作用；
可以根據時間對策略進行自動切換。
（8）流量告警
當網絡出現非正常流量（違反策略）或突發流量時，可以進行流量告警功能，并通知網管人員；
對網絡中的異常情況定義相應的閥值，并定義觸發的動作，例如發送SNMP Trap信息、電子郵件***
（9）可靠性和安全性
設備具備Bypass旁路功能，設備斷電時自動切入旁路，恢復供電后自動切入流量監控狀態；
可通過設備訪問控制策略限制對設備的訪問、操作；
可具備防止拒絕服務類攻擊的能力，如：DOS/DDOS防御功能；
設備必須配置雙電源提供冗余。
（10）其他要求
可提供至少三年免費的系統升級維護、永久免費的協議特征庫升級服務。
產品應獲得中華人民共和國“信息產業部”電信設備入網證。

第二包  防病毒系統一（Windows客戶端3000點）
     一套
（1）操作系統
支持常見的操作系統平臺：Windows NT/2000/XP/Vista，優先考慮同時支持Linux、AIX、Free BSD、Solaris等操作系統，同步支持Windows Server系列操作系統；
支持64位操作系統，如Windows XP-64、Windows Server 2003-64、Windows 2008等；
服務端和控制中心可部署在網絡中的任意操作系統上，如Windows XP/2003等。
（2）安裝方式
產品至少支持中文、英文兩種語言；
支持多種安裝方式：遠程客戶端安裝、Web安裝和文件共享安裝。
（3）集中管理能力
支持多層網絡環境，并能集中、統一管理下一層的客戶端；
單個管理控制臺能夠同時管理客戶端的數量與硬件無關。根據許可證的數量，管理客戶端；
支持管理員分組、分級管理；
支持客戶端的分組功能；
支持遠程/移動式管理；
支持不同組或客戶端采用不同的病毒防護策略；
遠程查殺策略設置，設定客戶端定時查殺病毒；
在控制臺能實時顯示客戶端的狀態、信息；
可以根據實際需要，添加自定義任務（如更新任務和掃描任務等）
管理員可鎖定客戶端的使用權限；
控制臺支持跨網段使用；
支持遠程控制客戶端進行文件掃描、遠程開啟/關閉實時監控，遠程控制客戶端升級病毒庫；
支持遠程安裝、卸載客戶端防病毒軟件；
實時監控客戶端防病毒狀況，并自動生成餅狀、柱狀圖以及其它格式的報告；
可以統計全局發現病毒的報告；可以統計指定對象、在指定的時間內發現病毒的報告；可以統計全局感染病毒最嚴重的計算機的報告；可以統計全局使用程序版本的報告；可以統計全局反病毒數據庫更新的報告；可以統計全局計算機的程序錯誤報告；
全面監控主流郵件服務器、全面監控郵件客戶端；
支持發現安全威脅后遠程報警功能（發郵件到指定郵箱）；
通過管理控制臺，能檢測網絡上已安裝防病毒軟件及搜索網絡中未安裝防病毒軟件的計算機。
（4）升級管理
支持病毒庫無縫主動式智能升級；
支持全網統一自動升級，不需要人為干涉；
支持直接或通過代理服務器從互聯網升級病毒庫；支持從自己局域網內架設的HTTP、本地文件夾等方式升級病毒庫；
病毒庫可進行增量升級。
（5）病毒處理能力
普通文件病毒檢測及清除能力
? 可檢測并清除隱藏于電子郵件***
? 壓縮文件查毒、清毒（不限層數），支持的壓縮格式不少于10種；
? 支持多種加殼文件的病毒查殺、打包文件查殺（不限層數）、內存查殺、文件復制和運行時查殺；
? 能夠有效查殺各類Office文檔中的宏病毒。
郵件病毒檢測及清除能力
? 郵件發送、接收時檢測；
? 郵件文件靜態檢測以及清除；
? 郵箱靜態檢測、清毒；
? 至少同時支持Foxmail、Outlook、Outlook Express、Notes和Netscape等客戶端郵件系統的防（殺）病毒；
? 防止DDoS惡意攻擊，保護重要的郵件服務器資源，不被大量散布的郵件病毒攻擊，維護正常運作；
支持共享文件的病毒查殺，能夠實現立體的多層面的病毒防御體系，能夠準確查殺計算機病毒不少于五萬種；
在計算機掃描時，可后臺運行，不影響正常的工作（如：文件處理、郵件收發等）。
（6）未知病毒檢測及偵測能力
可在病毒庫未能正常升級情況下，能高效偵測出已知的和未知的病毒威脅；
支持族群式變種病毒的查殺。
（7）實時監控能力
具有文件監控、郵件監控、內存監控、網頁監控、引導區和注冊表監控；
具有間諜軟件防護功能。
（8）防病毒軟件整體技術要求
采用自主研發的殺毒引擎技術；
針對操作系統和處理器特殊優化，殺毒速度快；
必須至少五次通過權威的病毒公告牌100%病毒檢測的認證，并提供近5年VB 100％認證的通過次數和失敗次數。
總體要求
1．根據技術要求設計方案，列出采購設備詳細清單；
2．提供與本次項目規模相當的高校成功案例；
3．列出方案實施所用到的服務器的最低配置和需要安裝的操作系統；
4．編制實施進度表；
5．列出質保期過后軟件的升級費用（以年為單位）；
6．列出售后和培訓措施。

  第三包  防病毒系統二（Windows版本客戶端3000點）：
   一套
（1）客戶端安全防護能力要求
客戶端病毒防護安全軟件必須支持Windows 2000/Windows XP/Windows 2003等操作系統平臺；
客戶端軟件具備多層安全防護能力，包括防病毒、防木馬/間諜軟件，個人防火墻、入侵防護、操作系統保護、軟件控制、前瞻性的主動威脅防護等功能；
防病毒引擎在所有Windows平臺上均至少五次通過權威的病毒公告牌100%病毒檢測的認證，提供近5年VB 100％認證的通過次數和失敗次數；
防病毒引擎應具備惡意代碼自動修復的功能；
能夠檢測收發Internet電子郵件***
提供對于未知病毒、惡意代碼的防范能力，支持基于行為的檢測和防護技術：如對于利用U盤進行傳播的病毒可以主動攔截；
可智能識別蠕蟲或者木馬軟件，無需提示用戶操作判斷；
可以鎖定IE設置，防止流氓軟件劫持IE瀏覽器；可以鎖定注冊表、系統目錄、進程，阻止木馬或者流氓軟件試圖更改這些設置；
對于安全風險檢測有詳細的分類，同時有靈活的處理方式，包括清除、隔離以及自動的排除。并能設置威脅的跟蹤功能；
防火墻具備網絡應用程序自學習功能，自定義過濾功能（例如將端口和應用相關聯，以防止木馬程序）；
具有IPS功能，IPS策略能夠及時更新及分發，防止DOS/DDOS攻擊，防止IP地址欺騙，防止MAC地址欺騙，自動禁止攻擊者的IP地址；
IPS具備通用漏洞阻截技術，當木馬、流氓軟件利用IE瀏覽器的漏洞或者系統漏洞進行傳播時可以根據攻擊特征進行阻斷；
具有終端外設管理功能，如禁止用戶使用光驅、軟驅、USB設備、網絡適配器等；
客戶端版本升級無需卸載再安裝，可實現自動在線升級；
當發生新的網絡病毒爆發時，管理員可以設定對文件、注冊表、進程、dll加載等系統操作的控制，制定應急響應措施。
（2）集中管理平臺能力要求
支持中央集中式管理，支持基于Web的管理方式，集中管理所有終端安全防護組件；
支持軟件實現（不依賴于硬件服務器的數量）的分級、分權管理，可將某些客戶端委派給某個管理員進行管理，至少包括策略定義、客戶端狀態查看、報表等權限；
管理軟件具有分組（域）管理客戶端的功能，可對不同的組實施不同的病毒防護策略。支持組下劃分子組，不限制子組的層次（即支持組內嵌套）；
管理服務器支持集群、負載均衡架構，能自動實現冗余；
管理軟件能集中管理和配置防病毒策略、防火墻策略、入侵防護策略、外設管理策略、應用程序控制策略；
支持安全策略導入、導出；
可對客戶端進行授權，允許客戶端獨自管理組織認為適合的安全策略，如用戶可以配置或啟用防火墻規則、特定于應用程序的設置、防火墻通知、防火墻設置、入侵防護設置以及客戶端用戶界面設置等；
可對全網病毒庫更新狀況、安全風險狀況、計算機在線狀態、當前互聯網上首要的安全威脅及互聯網安全威脅狀況等進行統計及生成報告；
支持客戶端軟件版本在線更新；
支持病毒庫等安全內容的在線更新；
提供管理數據庫的備份和恢復工具，支持數據庫自動備份機制。
（3）產品的更新升級能力要求
特征庫定義（包括病毒庫、解壓縮程序特征、主動威脅掃描啟發式特征、主動威脅掃描商業應用程序列表、入侵防護特征等）可自動在線升級；
允許客戶端手動更新特征庫；
特征庫的升級可集中設置，并由客戶端自動調度執行；
客戶端軟件版本可自動在線更新；
提供升級策略定制功能，按需要設置升級批次、時間等；
支持增量更新方式，有效減小升級數據量，節省帶寬。
（4）安全性要求
防病毒產品本身應具有較好的安全性，客戶端和服務器通訊內容應加密傳輸，支持對防病毒軟件自身進程、注冊表、安裝文件等的防篡改保護；
防病毒管理系統本身提供數據庫備份和恢復措施，以防止管理服務器損壞。
總體要求
1．根據技術要求設計方案，列出采購設備詳細清單；
2．提供與本次項目規模相當的高校成功案例；
3．列出方案實施所用到的服務器的最低配置和需要安裝的操作系統；
4．編制實施進度表；
5．列出質保期過后軟件的升級費用（以年為單位）；
6．列出售后和培訓措施。