網絡改造項目招標公告

序號

需求條款

原因說明

1

投標人須具備計算機信息系統集成二級以上（含二級）資質，提供證書復印件。

保證投標單位具備較強系統集成能力

序號

需求條款

1

要求整個系統為交鑰匙工程，中標供應商負責機房內設備安裝及相關其他設備遷移及整理工作，并提供全部本次項目機房整理所需的附件耗材等。

序號

采購項名稱

數量

實質性需求條款

原因說明

1

核心交換機

1

提供國家入網證

網絡產品必備證書

2

防火墻

1

中華人民共和國公安部頒發的《計算機信息系統安全專用產品銷售許可證》

中國國家信息安全測評認證中心頒發的《信息技術產品安全測評證書》認證級別EAL3

中國國家保密局測評中心頒發的《涉密信息系統產品檢測證書》

國家密碼管理局頒發的《國家商用密碼定點生產單位證書》

國家密碼管理局頒發的《國家商用密碼定點銷售單位證書》

國家版權局頒發的防火墻系統計算機軟件著作權登記證書

國家版權局頒發的專用安全操作系統計算機軟件著作權登記證書

IPv6 Ready認證證書

防火墻、入侵防御系統、上網行為管理、防病毒網關要求同一品牌

采用專用硬件架構與專用安全操作系統，采用專用硬件架構（X86+ASIC結構），使用自研的網絡安全專用ASIC芯片；

安全產品必備證書和認證等級，保障系統安全性，提高統一管理性

 3

入侵防御系統

1

CVE證書

IPv6 Ready認證證書

軟件著作權證書（國家版權局）

信息技術產品安全測評證書-EAL3

涉密信息系統產品檢測證書（保密局）

防火墻、入侵防御系統、上網行為管理、防病毒網關要求同一品牌

安全產品必備證書和認證等級，保障系統安全性，提高統一管理性

 4

上網行為管理系統

1

中華人民共和國公安部頒發的《計算機信息系統安全專用產品銷售許可證》　

國家保密局涉密產品檢測證書

防火墻、入侵防御系統、上網行為管理、防病毒網關要求同一品牌

安全產品必備證書和認證等級，保障系統安全性，提高統一管理性

5

防病毒網關

1

計算機信息系統安全專用產品銷售許可證

計算機軟件著作權登記證書

計算機信息系統安全專用產品銷售許可證

計算機信息系統安全專用產品銷售許可證

防火墻、入侵防御系統、上網行為管理、防病毒網關要求同一品牌

安全產品必備證書和認證等級，保障系統安全性，提高統一管理性

6

網站防護系統

1

國產品牌，具備自主知識產權，全中文操作界面

具備《計算機信息系統安全專用產品銷售許可證》

安全產品必備證書和認證等級，保障系統安全性

7

系統安全加固

3

《計算機信息系統安全專用產品銷售許可證》、《計算機軟件著作權登記證》

安全產品必備證書和認證等級，保障系統安全性

8

服務器

2

正版SuseLinux企業版操作系統，含介質；
5年原廠工程師上門服務；

實際需求

9

存儲系統

1

與服務器同一品牌；
5年原廠工程師免費現場服務；

實際需求，保證系統兼容性

序號

采購項名稱

數量

需求條款

1

核心交換機交換機

1

詳見后附技術需求書

2

防火墻

1

詳見后附技術需求書

 3

入侵防御系統

1

詳見后附技術需求書

4

上網行為管理

1

詳見后附技術需求書

5

防病毒網關

1

詳見后附技術需求書

6

網站防護系統

1

詳見后附技術需求書

7

系統安全加固

3

詳見后附技術需求書

8

服務器

2

詳見后附技術需求書

9

存儲系統

1

詳見后附技術需求書

10

虛擬化平臺

1

詳見后附技術需求書

11

數據保護系統

1

詳見后附技術需求書

12

光纖交換機

1

詳見后附技術需求書

13

機柜

1

詳見后附技術需求書

序號

設備名

用途

數量

備注

1

核心交換機交換機

局域網核心交換機

1

具體參數見后

2

防火墻

互聯網防護

1

具體參數見后

3

入侵防御系統

互聯網防護

1

具體參數見后

4

上網行為管理

互聯網防護

1

具體參數見后

5

防病毒網關

互聯網防護

1

具體參數見后

6

網站防護系統

互聯網防護

1

具體參數見后

7

系統安全加固

互聯網防護

3

具體參數見后

8

服務器

應用系統建設

2

具體參數見后

9

存儲系統

應用系統建設

1

具體參數見后

10

虛擬化平臺

應用系統建設

1

具體參數見后

11

數據保護系統

應用系統建設

1

具體參數見后

12

光纖交換機

應用系統建設

1

具體參數見后

13

機柜

應用系統建設

1

具體參數見后

槽位數

整機槽位>=8個，其中業務槽位>=6個，

性能要求

交換容量>=760G，IPv4包轉發速率>=490M

引擎，電源

實配雙引擎，雙電源

接口要求

配置不少于144口千兆電口

IPv4和IPv6三層轉發能力

支持IPv4靜態路由，支持RIPv1/v2，支持OSPFv2，支持IS-IS，支持BGPv4；支持OSPFv3，支持RIPng，支持BGP4+，支持IS-ISv6

虛擬化

整機支持虛擬化：支持跨設備鏈路聚合，單一IP管理，虛擬化后所有設備路由表項統一，要求提供支持虛擬化的相關專利證明。

資質證明

提供國家入網證和檢測報告

設備

基本

要求

專用的硬件和軟件保障

采用專用硬件架構與專用安全操作系統《采用專用硬件架構（X86+ASIC結構），使用了自研的網絡安全專用ASIC芯片；專用安全操作系統，基于操作系統內核的完全檢測技術；專用的安全操作系統具有自主知識產權；硬件設備可以機架安裝。》

雙操作系統

采用雙安全操作系統，防止配置不當或防火墻系統故障造成的網絡中斷，充分保證了系統的穩定性。

軟件模塊化設計

軟件采用模塊化結構設計，可以根據需要組合，可以擴展IPSEC VPN、安全審計等功能。

硬件模塊化設計

硬件采用可編程ASIC架構設計

端口數量和擴展能力

至少8個10/100/1000BASE-T接口， 4個千兆SFP插槽

MTBF

不少于80000小時

性能

要求

網絡吞吐量(64字節小包)

不少于5Gbps

最大并發連接數

不少于160萬

每秒最大新建連接數

不少于5萬

功能

要求

靈活的接入方式

防火墻系統可以提供對復雜環境的接入支持，包括路由、透明以及混合接入模式。

強大的訪問控制

支持基于源IP地址、目的IP地址、源端口、目的端口、時間、用戶、文件、網址、關鍵字、郵件地址、腳本、MAC地址等多種方式進行訪問控制；

支持對HTTP、SMTP、POP3、FTP等協議的深度內容過濾，支持URL、關鍵字過濾；

支持對移動代碼如Java applet、Active-X、VBScript、Jscript、Java script的過濾；

動態端口支持協議：H.323、SIP、FTP、RTSP、SQL*NET、MMS、TFTP、RPC(msrpc,dcerpc)等；

支持MSN、QQ、新浪UC、阿里旺旺、google talk等Instant Messenger通信，并可以對于這些應用進行登陸限制,支持根據登陸等帳號進行登陸限制；

支持對MSN，QQ等IM應用通信的連接統計,支持對指定IP地址的IM應用通信的連接統計；

可限制BT，eMule，eDonkey、訊雷等多種P2P應用，可以統計P2P流量和連接數，可以控制P2P流量的帶寬；

可屏蔽受保護主機/服務器系統信息，可以替換服務器(FTP、SMTP、POP3、Telnet,HTTP)的BANNER信息；

可實現靜態或自動的IP/MAC綁定。

完善的網絡地址轉換能力

防火墻系統有完善的地址轉換能力，可以支持正向、反向地址/端口轉換、雙向地址轉換等，能夠提供完整的地址轉換解決方案。

多種身份認證方式

防火墻系統要支持多種、靈活的身份認證技術，至少包括Radius/OTP/LDAP/TACACS+/SecuID/數字證書/本地認證等。

完善的路由功能

支持靜態和動態路由，動態路由至少包括：RIP和OSPF動態路由協議；靜態路由協議支持基于源地址、目的地址、METRIC值、網絡接口的路由；

VLAN和生成樹

支持802.1d生成樹，能進行802.1d的生成樹協商；支持與交換機的Trunk接口對接，并且能夠實現Vlan間通過防火墻設備進行路由；支持802.1q，能進行802.1q的封裝和解封裝；支持ISL，能進行ISL的封裝和解封裝；

鏈路備份

支持鏈路備份功能，可以在用戶的多條網絡出口之間進行自動的切換；

高可用性

支持雙機熱備功能，包括主備模式(A/S)，主主模式(A/A)

支持VRRP協議；

支持對服務器的負載均衡，支持輪詢、加權輪詢、最少連接、加權最少鏈接、基于源IP地址HASH調度等多種負載均衡方式；

防火墻系統要對長連接的提供全面的解決方案；

DHCP功能

支持DHCP SERVER/CLIENT/RELAY功能

強大的抗攻擊能力

支持OPSEC或TOPSEC等類似聯動協議，能夠與主流入侵檢測產品進行聯動；

可以識別并阻斷以下攻擊行為：

防非法報文攻擊：land 、Smurf、Pingofdeath、winnuke 、tcp_sscan、ip_option、teardrop、targa3、ipspoof；

防統計型報文攻擊：Synflood、Icmpflood、Udpflood、Portscan、ipsweep；

端口阻斷：可以根據數據包的來源和數據包的特征進行阻斷設置；

告警能力

支持告警信息分類、分級；當發生安全事件的時候支持以郵件、NETBIOS、聲音、SNMP、控制臺等方式告警。

管理功能

可以提供多種方式的管理界面，包括GUI、WEBUI、CONSOLE、SSH、TELNET等；

遠程集中監控管理功能：支持遠程集中管理監控功能，在同一個管理平臺下能夠對所管理網絡中所有的防火墻設備進行管理和監控，提供遠程升級和配置變更方法，非常方便用戶對防火墻軟件版本和配置變更的管理；

支持SNMP 的v1 、v2 、v2c 、v3 等不同版本，并與當前通用的網絡管理平臺兼容，如HP Openview 等；

各類資源對象、安全策略可單獨導入、導出，可以提供簡單方便的配置備份與恢復機制，并且可以恢復到出廠設置；

支持遠程TFTP、FTP、HTTP等方式升級

完善的日志審計功能

日志分級、分類；系統要能夠提供多種日志存儲方式，可以緩存在設備本地，也可以將日志以專用格式/Welf/Syslog等多種日志格式的輸出；具有完善的日志收集、傳輸、存儲、分析、報告等解決方案。

資質

要求

銷售許可

中華人民共和國公安部頒發的《計算機信息系統安全專用產品銷售許可證》

安全測評證書

中國國家信息安全測評認證中心頒發的《信息技術產品安全測評證書》認證級別EAL3

保密局檢測證書

中國國家保密局測評中心頒發的《涉密信息系統產品檢測證書》

商用密碼定點生產單位證書

國家密碼管理局頒發的《國家商用密碼定點生產單位證書》

商用密碼定點銷售單位證書

國家密碼管理局頒發的《國家商用密碼定點銷售單位證書》

防火墻系統軟件著作權登記證

國家版權局頒發的防火墻系統計算機軟件著作權登記證書

安全操作系統著作權登記證

國家版權局頒發的專用安全操作系統計算機軟件著作權登記證書

IPv6認證證書

IPv6 Ready認證證書

注

防火墻、入侵防御系統、上網行為管理、防病毒網關要求同一品牌

指標

指標項

規格要求

 

設備基本要求

硬件參數

 

專用的硬件和軟件保障

2U設備，采用X86多核架構（4核處理器），具有高速的數據并行檢測處理和轉發能力。

端口數量和擴展能力

配置4個10/100/1000BASE-TX端口(支持硬件BYPASS),4個STP插槽，2個接口擴展槽位；最大配置為26個千兆接口或4萬兆接口

性能參數

整機吞吐量>10G

最大并發連接數>220萬

IPS性能> 1.6Gbps

支持監控主機數量>5000

攻擊規則庫

支持3400條以上的攻擊事件。

防病毒

karpersky 網絡病毒庫，采用基于數據流的檢測技術，能夠檢測包括木馬、后門和蠕蟲在內的新近流行的超過20000種網絡病毒

URL過濾

內置一個超過380萬的URL地址分類庫

其它

3年漏洞庫升級服務

功能要求

防火墻功能

訪問控制

基于狀態檢測的動態包過濾；

基于源/目的IP地址、端口、協議、時間的訪問控制；

支持報文合法性檢查；

支持IP/MAC綁定。

NAT

支持雙向NAT；

支持動態地址轉換和靜態地址轉換；

支持多對一、一對多和一對一等多種方式的地址轉換；

支持協議包括H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP等。

支持的攻擊類型

木馬(Trojan)

具備豐富的木馬特征庫，能識別包括灰鴿子、PCShare、Gh0st、上興、Byshell、Npch、Downloader等多種熱點木馬及其變種，以及識別多種網頁掛馬攻擊。

RPC

能對當前主流的RPC漏洞攻擊做檢測和阻斷，例如：RPC 0x82-dcomrpc_usermgret、RPC Immunity_svchostkill等。

系統漏洞（vulnerability）

 支持識別針對FTP、Netbios、IMAP、Samba等應用安全漏洞的攻擊；

拒絕服務（DOS/DDOS）

能對當前主流的拒絕服務做檢測和阻斷，例如：WinNUKE攻擊、UDP Flooding、SYN Flooding等。

溢出（bufferoverflow）

支持識別多種IIS、Apache、RPC、Oracle、SQL等應用系統類溢出攻擊。

HTTP

能對當前主流的HTTP類攻擊做檢測和阻斷，例如：HTTP Apache 批處理文件漏洞、Apache2.0.39及以前版本存在目錄遍歷漏洞、Cart32 管理員口令泄露漏洞等。

自定義攻擊

可以根據用戶需求自行設置攻擊規則，能對其他有害攻擊行為做檢測和阻斷。

應用監控跟蹤控制

P2P應用

支持識別BT、迅雷、Napster、Popo、Kazaa等P2P類應用。

IM

支持識別QQ、MSN、ICQ、UC以及Google Talk等IM類應用。

游戲

支持識別魔獸世界、征途、勁舞團、跑跑卡丁車、夢幻西游以及QQ游戲等網絡游戲。

異常流量

能對設備的異常流量進行分析、阻斷。

入侵防御功能

DDOS防御

非法報文攻擊：land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof；

統計型報文攻擊：Synflood、Icmpflood、Udpflood、Portscan、ipsweep；

支持主機連接數和半連接數的限制。

動作

支持阻斷drop，檢測到策略中設置的數據后，丟棄報文；

支持報警Alert， 檢測到策略中設置的數據后，進行報警；

支持TCP Reset，向攻擊者發TCP Reset包；

支持日志Log，檢測到攻擊事件后記錄日志；

支持記錄報文，檢測到攻擊事件后將原始報文完整記錄下來；

支持防火墻聯動，與防火墻聯動，僅限IDS模式運行；

支持自定義組合，可以將以上操作的組合做為一個新的動作。

報表

Webui支持實時顯示按發生次數累計的攻擊事件排名；

支持Top10攻擊者、Top10被攻擊者、Top10事件統計報表；

支持按時間統計的IPS流量報表；

支持選定時間、網絡攻擊分類的統計報表；

支持日報、周報、月報、季報等統計報表；

支持報表輸出，輸出格式可以為PDF、DOC、HTML格式。

規則庫維護

支持自定義規則庫導入、導出；

支持系統規則庫手動、自動升級。

系統規則

預置系統規則集包含認證類、木馬類、拒絕服務類、即時通訊類、p2p類、溢出攻擊類、掃描類、系統漏洞類、webcgi類、蠕蟲類、游戲類、HTTP攻擊類、RPC攻擊類、高風險類、中風險類、低風險類和所有事件等。

自定義規則

支持自定義規則；

支持自定義規則集。

網絡適應性

路由

支持靜態路由；

支持基于源/目的地址、接口、Metric的策略路由；

支持Vlan路由，能夠在不同的VLAN虛接口間實現路由功能。

VLAN

支持802.1Q，能進行封裝和解封；

在同一個Vlan內能進行二層交換。

ARP

支持ARP學習；

可設置靜態ARP。

高可用性

雙機熱備

支持雙機熱備（Active-Standby模式）；

支持配置同步。

Bypass

提供專業的硬件ByPass功能，保證網絡通暢。

備份系統

支持備份系統，主系統破壞后可以通過備份系統啟動運行。

系統管理功能

 

管理方式

支持WEB圖形配置、命令行配置；

支持本地配置、遠程配置；

支持基于SSH、SSL的安全配置。

SNMP

支持SNMP 的v1 、v2 、v2c 、v3 版本；

與當前通用的網絡管理平臺兼容，如HP Openview 等；

豐富的私有MIB系統信息。

監控和報警

支持網絡接口、CPU利用率、內存使用率等；

內置了“管理”、“系統”、“安全”、“策略”、“通信”、“硬件”、“容錯”、“測試”等多種觸發報警的事件類；

支持郵件、SNMP、控制臺等多種組合報警方式。

日志

支持Welf、Syslog等多種日志格式的輸出；

支持通過第三方軟件來查看日志；

支持日志分級；

支持對接收到的日志進行緩沖存儲。

其它

系統升級，支持遠程維護和系統升級；

系統升級，支持TFTP、FTP、HTTP方式升級；

配置恢復，可進行配置文件的備份、下載、刪除、恢復和上載；

時鐘調整，支持網絡時鐘協議NTP，可自動根據NTP服務器時鐘調整本機時間。

資質要求

CVE證書

IPv6 Ready認證證書

軟件著作權證書（國家版權局）

信息技術產品安全測評證書-EAL3

涉密信息系統產品檢測證書（保密局）

注

防火墻、入侵防御系統、上網行為管理、防病毒網關要求同一品牌

要求

1U機架式結構

最大配置為12個接口， 默認包括1個可插撥的擴展槽和4個10/100/1000BASE-T接口；

質保

3年硬件質保，3年的免費軟件及上網行為庫服務

性能參數

整機吞吐量

＞600M

最大并發連接數

＞100萬

用戶數

300用戶的使用許可

管理方式

支持SSL加密管理

通過https方式進行系統配置管理

系統管理功能

要求對系統時間能夠設置

要求能手工更改系統時間

要求通過NTP自動同步時間

要求對系統資源能夠監控

要求能監控CPU占用率

要求能監控內存占用率

要求能監控硬盤占用率

要求能根據接口監控當前實時流量

系統認證后要能顯示系統公告信息，且用戶能自定義公告內容。　

支持超時設置

能夠限制登錄最長時間

能夠限制管理空閑時間

支持外接數據庫

要求審計數據可直接存儲到外圍數據庫服務器上

系統升級　

支持在線、本地兩種方式的URL分類庫升級

支持在線、本地兩種方式的應用識別庫升級

 

 

賬號導入功能

支持遞增方式的帳戶導入功能

權限管理

必須支持添加多個管理員，不同管理員可劃分不同權限，管理員登錄系統時只顯示他所具有權限的頁面，不具有權限的頁面不顯示。

用戶管理

必須支持批量導入審計用戶，支持系統自動搜索局域網內的所有用戶并自動按部門歸類。

網絡管理功能

網絡接入

同時支持透明、路由、NAT、旁路四種接入方式

支持不少于248個VLAN穿越

訪問控制功能

串行接入時可對網絡訪問進行控制

支持IP/MAC綁定

支持單地址和批量地址自動探測功能，并可實現IP/MAC自動綁定。

支持即插即用功能

無論用戶原有IP是固定還是動態，是正確還是錯誤，插上網線就可以上網

網址黑白名單

能夠自定義網址黑名單、白名單

支持聯動功能

要求支持與三層交換機的聯動功能，使系統能夠審計到跨三層設備的MAC地址

帶寬管理功能

能夠根據接口明確區分內、外網　

能夠根據接口設置流入、流出帶寬大小　

能夠自定義應用及應用組協議　

能夠對各種應用、應用組進行帶寬控制　

流量預分配

支持為用戶預先分配流量大小，超過流量限制則禁止上網

上網時長預分配

支持為用戶預先分配上網時間，超過該時長限制則禁止上網

認證功能

認證黑白名單

能夠設置認證IP及網絡

能夠設置免認證IP及網絡

能夠根據服務器名稱、地址、端口、是否代理等條件設置免認證服務器

上網認證功能

支持觸發式WEB認證，除免認證用戶外，其他用戶必須經過認證后才可上網。

認證重定向功能。支持向認證通過的用戶顯示指定的URL地址或網頁，自動重定向到單位的公告通知網站等。

支持LocalDB本地自建、LDAP、AD等認證

支持用戶上網的認證計費功能，支持按流量，時間，包日，包月多種策略進行計費

支持認證用戶的在線監控功能

日志備份

支持多種類型備份選擇

必須支持可以備份整個數據庫，也可單獨備份配置數據，應用數據，郵件數據，IM聊天數據，網頁瀏覽數據等。可按指定時間自動備份，也可手動備份。

支持遠程FTP備份

　

應用審查及過濾功能

網頁審計及過濾功能

支持對網頁瀏覽的記錄，記錄用戶的IP，MAC，訪問時間，類別,URL地址等

可支持對下載文件名關鍵字進行審計/阻斷/郵件報警/網頁報警/免審計

可支持對網頁提交內容關鍵字進行審計/阻斷/郵件報警/網頁報警/免審計

可根據URL分類庫進行分類審計/阻斷/郵件報警/網頁報警/免審計

可支持對網頁游戲進行審計/阻斷/郵件報警/網頁報警/免審計

可支持對搜索內容關鍵字進行審計/阻斷/郵件報警/網頁報警/免審計

網絡發貼記錄

支持對BBS提交內容進行審計/阻斷/郵件報警/網頁報警，并能詳細回放出BBS發帖的全部內容

支持對WEBMail等外發網絡言論進行審計

地下瀏覽

必須能記錄無界，自由門，花園，洋蔥頭，世界通，火鳳凰等代理軟件的上下線時間；

郵件記錄/阻斷/免審計功能

支持對POP3、SMTP、Webmail的記錄，記錄郵件發件人、收件人、標題、正文、附件、大小等外發信息，支持對附件的下載，并可支持關鍵字阻斷/免審計功能

IM審計/阻斷/免審計功能

支持對主流聊天工具記錄賬號、內容上下線時間、聊天持續時間，上傳/下載的文件，包括MSN，ICQ，QQ， Yahoo通，新浪UC，網易泡泡,飛信，淘寶旺旺等。

不加密的聊天工具可以記錄聊天內容。

記錄P2P協議使用情況

支持對BitTorrent、eMule、迅雷、FTP下載、PPlive、酷狗，酷我，PPT點點通等網絡下載工具的開始時間，結束時間，上傳/下載報文數，上傳/下載流量進行記錄。

網絡游戲記錄

支持詳細記錄魔獸世界，跑跑卡丁車，QQ游戲，熱血江湖以及網頁游戲等開始時間，結束時間。　

股票軟件的記錄

必須能夠詳細記錄錢龍，大智慧，指南針，同花順，龍卷風，證劵之星等股票軟件的使用情況。

網絡電話/網絡電視的記錄

支持記錄當前主流的網絡電視，如：PPlive,PPStream,BBSee,風行等網絡電視的開始時間，結束時間。

支持記錄能夠記錄Skepe，SIP通訊的開始時間，結束時間，發送帳號，接收帳號，媒介類型，傳輸大小，傳輸工具等

自定義應用

允許管理者根據應用協議特征字段和特征碼，手工添加新的應用識別規則，實現個性化封堵。

ByPass功能

支持對IP，域名進行上網行為的免審計的bypass功能。　

對于瀏覽網頁的行為審計，要求提供網站白名單bypass功能。即由用戶自行維護白名單，對于列在白名單內的網站，用戶瀏覽網頁時，本設備只記錄該網站的url、或者可選擇BYPASS直接過濾,以減少數據量、并減輕系統壓力。對于未列在白名單內的網站，則要求記錄用戶訪問該網站所有訪問網頁的實際數據。

應用阻斷功能

阻斷模式

支持定義阻斷規則，采用透明、非透明的阻斷方式，即當阻斷時是否提示用戶。

阻斷功能

對Web訪問、郵件、IM聊天、P2P下載進等應用行全面實時阻斷。

告警功能

告警功能

支持對網頁提交，郵件發送等網絡行為告警。

告警方式

支持網頁方式報警和郵件方式報警

對安全事件進行報警

支持ARP欺騙等網絡流量異常報警

可對記錄觸發時間、觸發事由、用戶和IP，MAC地址等形成報警日志

報表功能

數據統計報表

能夠針對用戶及所有應用行為進行數據統計

能夠按照多種條件進行數據查詢

圖形報表功能

能夠根據用戶、應用、流量生成圖形報表

報表查詢

至少包括按部門、IP地址、時間段、域名、關鍵字、帳號等查詢。

產品資質

中華人民共和國公安部頒發的《計算機信息系統安全專用產品銷售許可證》　

國家保密局涉密產品檢測證書

注

防火墻、入侵防御系統、上網行為管理、防病毒網關要求同一品牌

設備

基本

要求

專用的硬件和軟件保障

采用專用硬件架構與專用安全操作系統，基于操作系統內核的完全檢測技術；專用的安全操作系統具有自主知識產權；硬件設備可以機架安裝。

端口數量和擴展能力

2U機架式結構型；

最大配置為22個接口，標配包括2個擴展槽位和2個10/100/1000BASE-T接口，自帶硬件BYPASS功能；2個SFP插槽；2個10/100/1000BASE-T接口（作為HA口和管理口）

病毒代碼庫

可查殺病毒種類≥150萬；

防蠕蟲攻擊

可查殺600多種蠕蟲病毒；

其它

三年軟件免費升級；三年病毒庫升級。

功能

要求

完全的病毒防護

 

內嵌強大的雙殺毒引擎，支持150余萬種病毒查殺，防御病毒、木馬、蠕蟲，支持絕大多數壓縮、加殼病毒查殺。

TCP粘合技術

構建在高性能的硬件平臺上，采用高效的掃描算法和TCP粘合技術，TCP粘合技術顯著的提升了透明代理的性能，大大降低了通信延時。連接粘合后的性能接近內核的路由轉發。

即插即用的透明接入方式

采用即插即用的思路設計，以透明網橋方式部署在企業網絡中，無需改變企業內部的網絡配置

支持多路過濾通道

在設備內部可以建立多條病毒掃描通道，多條通道之間相互隔離，用于不同網絡之間的病毒過濾，節省了企業的購買成本

完善的應用協議保護

能夠支持對SMTP、POP3、IMAP4、HTTP和FTP協議進行病毒掃描和過濾，有效地防止可能的病毒威脅。過濾網關采用業界先進的掃描技術，所以具有優秀的掃描性能，對各協議的處理性能表現優越。

內嵌的內容過濾功能

 

支持對數據內容進行檢查，可以采用關鍵字過濾，URL過濾等方式來阻止非法數據進入內部網絡。

可以根據用戶的需要，通過匹配關鍵字來攔截符合條件的數據流通過過濾網關。

阻斷文件列表

常用的識別文件類型的方法是根據文件的擴展名，而這種方法可以通過簡單的修改文件擴展名逃避。過濾網關通過文件內容識別文件類型，有效的阻斷非法類型的文件進入企業網絡。

流量統計

過濾網關支持豐富的流量統計功能，包括接口流量統計、地址流量統計、IP連接數統計。

防垃圾郵件功能

采用業界領先的黑名單技術實時檢測垃圾郵件并阻止其進入企業網絡，為企業節省寶貴的帶寬。

連接數控制

可以對源地址做并發連接數限制，支持單個地址、網段、IP地址范圍。

病毒隔離

支持病毒隔離功能，管理員可以方便的管理隔離區，可以選擇把隔離區的內容發送給管理員或者刪除。

防蠕蟲攻擊

 

可以實時檢測到日益泛濫的蠕蟲攻擊，并對其進行實時阻斷，從而有效防止內部網絡因遭受蠕蟲攻擊而陷于癱瘓。

信任站點

不對信任站點做病毒掃描，大大的降低了病毒掃描引擎的負擔。

友好的管理界面

采用基于Web的管理界面，用戶只需打開瀏覽器，就可以方便地通過HTTPS協議對過濾網關進行有效管理。

自動在線升級

可以按照管理員設定的更新策略自動連接到公

司的升級服務器，升級最新的病毒庫，保證企業網絡得到最有效的保護

病毒庫更新支持電信、網通雙鏈路智能選擇

日志功能

過濾網關提供完整的病毒日志、訪問日志和系統日志等記錄。

統計報表功能

并可根據日志數據生成多種格式 的統計圖形化統計報表，形象直觀，方便管理員的管理工作。

強大的監控功能

過濾網關提供強大的監控功能，可以監控過濾網關系統資源、網絡流量、當前會話數、當前病毒掃描信息等，極大地方便管理員對過濾網關進行監控。

報警功能

報警配置用于當某個病毒突然爆發時，網絡衛士過濾網關可向網絡管理員發送報警信息。

產品性能

最大病毒過濾吞吐量

750M

最大并發連接數

100萬

支持的用戶數（非硬性規定）

1500

資質

公安部公共信息網絡安全監督局

計算機信息系統安全專用產品銷售許可證

中華人民共和國國家版權局

計算機軟件著作權登記證書

公安部公共信息網絡安全監督局

計算機信息系統安全專用產品銷售許可證

公安部公共信息網絡安全監督局

計算機信息系統安全專用產品銷售許可證

注

防火墻、入侵防御系統、上網行為管理、防病毒網關要求同一品牌

系統功能要求

網站防護產品應采用軟件與硬件相結合的產品形態。

網站防護產品應支持對已知/未知木馬、蠕蟲、病毒及其變種的防護能力。

網站防護產品應采用主動防御機制，在惡意行為發生前先行進行阻斷。

網站防護產品應基于主動防護體系，應利用第三代文件過濾驅動技術，實時監控受保護的WEB目錄，禁止對受保護對象進行任何非法操作，保護網頁不被非法纂改，從源頭上杜絕各類的非法篡改行為。

網站防護產品應支持禁止內部非授權用戶對網站內容作出任何修改或刪除行為，防止來自內部的非法篡改行為。

網站防護產品應能對Web服務的相關配置文件進行保護，防止通過修改配置文件達到篡改網頁的目的。

網站防護產品應支持對服務器操作系統的完整性進行實時保護。

網站防護產品應提供程序安裝控制。

網站防護產品應提供程序運行控制，并提供程序運行的完整性校驗。

網站防護產品應支持移動介質病毒免疫，防止來自移動介質的病毒入侵。

網站防護產品應支持移動介質權限控制，防止利用移動介質非法拷貝服務器上的敏感信息。

網站防護產品應提供開放區域的設置能力，可將目錄或文件設置為開放區域。

網站防護產品應不改變用戶原有的發布系統。

網站防護產品應可以與門戶網站的后臺錄入系統協同工作，可以識別頁面因正常的后臺維護而發生的改變，不發生誤操作。

網站防護產品應支持開機保護，軟件與系統內核相互依托，安全模塊應隨操作系統一起加載，防止安全機制被旁路的可能。

網站防護產品應具有斷線時的實時篡改檢測能力。

網站防護產品應提供完善的軟件配置、管理功能。提供完善的控制臺用戶管理功能。可在一個遠程控制臺上監控/管理多個Web站點。

網站防護產品應采用內核性能優化和安全加固技術，運行要穩定、高效。對網站資源沒有大的影響，不影響網站系統的運行穩定。

網站防護產品應支持虛擬目錄/虛擬主機。

網站防護產品應支持防SQL注入功能。

網站防護產品應支持防跨站腳本功能。

網站防護產品應支持抗黑客掃描功能。

網站防護產品硬件設備應采用透明橋接方式接入到網絡中，不影響用戶原來的網絡拓撲圖。

網站防護產品硬件設備應支持雙機熱備功能。

網站防護產品硬件設備應支持遠程管理、CLI管理方式。

網站防護產品應支持日志審記功能, 并可進行過濾組合查詢。

網站防護產品應提供日志導出功能，能將日志導出為多種格式。

網站防護產品在檢測到異常變化后，可自動報警并通知管理員。

網站防護產品應支持實時產品狀態檢測功能。

網站防護產品應具有自我保護機制，支持系統自保護，禁止非法程序對網站防護產品自身進行非法操，系統自身具有防卸載能力。

網站防護產品自身應具備身份認證能力。

網站防護產品應支持Windows 2000/NT/2003/XP/2008、Linux、AIX及Solaris等操作系統。

硬件性能要求

支持網絡適配器類型

10/100/1000以太網控制器 RJ45

支持最大接口數

4個1000Base-TX接口,可根據要求擴展

最大并發連接數

≥1，200，000

網絡吞吐率

≥3G

MTBF

≥100,000小時

管理功能要求

包括軟件模塊的策略下發、軟件模塊及硬件模塊的日志收集和報警。

采用B/S模式管理模式，可對軟件及硬件模塊進行集中管理。

按照等級保護要求，采用三權分立式管理方式，即將管理人員劃分系統管理員、安全管理員、安全審計員，三個管理員分別承擔不同的職責，相互制約。

可生成多種格式的中文統計報表。

產品資質要求

國產品牌，具備自主知識產權，全中文操作界面。

產品具備《計算機信息系統安全專用產品銷售許可證》

總體要求

采用主動防御機制，使用基于操作系統內核級的安全加固技術，對文件的保護、應用程序的控制等安全手段應從操作系統內核著手。

國產品牌，具備自主知識產權，全中文操作界面；支持虛擬目錄/虛擬主機。

自身安全要求

具有自我保護機制，對產品自身文件、重要敏感信息進行安全隔離保護，禁止對產品自身的非法操作；具備防非法卸載的能力。

身份鑒別要求

提供基于硬件USB-KEY的用戶身份標識，支持將硬件USB-KEY與用戶身份、服務器平臺進行綁定，控制用戶登錄權限；硬件USB-KEY應支持密碼認證；提供拔KEY鎖屏功能，當授權用戶離開時拔除USB-KEY自動鎖定用戶工作環境。

提供將硬件USB-KEY作為用戶的主體安全標記，使用此主體安全標記實施基于用戶的強制訪問控制。

執行程序控制

要求

提供執行程序可信度量，采用白名單的方式對執行程序實施嚴格控制，阻止非授權程序的運行；支持對執行程序白名單的添加、刪除操作；提供異常程序審計。

提供對已知/未知病毒、木馬、攻擊程序等惡意代碼的防護能力。

提供對可信代碼的防篡改保護，拒絕對可信代碼的修改、刪除等操作。

提供程序安裝接口，控制程序安裝行為，禁止非授權的程序安裝行為。

文件訪問控制要求

提供主體、客體安全標記功能：主體標記范圍為用戶；客體標記范圍為文件、目錄；安全標記具備唯一性，支持對安全標記的添加、刪除、修改操作。

支持自定義主體標記安全級別、客體標記安全級別；根據主體標記和客體標記安全級別的不同，制定強制訪問控制策略，安全策略包括讀、寫、拒絕訪問；支持對強制訪問控制策略的添加、修改、刪除操作。

數據保密性保護要求

提供對重要數據的存儲過程進行加密保護，采用透明加解密方式，加解密動作對用戶和應用透明；加解密算法應符合商用密碼管理條例。

移動介質控制

要求

支持移動介質授權管理，提供移動介質注冊上報接口，移動介質在使用前須經過授權。

支持將移動介質與用戶身份進行綁定，控制移動介質的使用行為。

網絡訪問控制

要求

提供平臺訪問網絡的控制權限，可配置允許訪問的IP地址、URL地址等參數。

提供平臺進程訪問網絡的權限控制。

管理功能要求

采用三權分立管理模式，實現管理員職責分離，具備管理員行為的自審計。

具備服務器統一管控能力，采用B/S管理模式，能夠對系統中的所有服務器進行統一策略配置；支持策略實時更新、策略導入和導出功能。

具備系統管理功能，包括用戶身份管理、平臺身份管理、平臺權限管理、移動介質管理等。

具備標記管理功能，提供主體、客體標記管理功能；支持自定義主體安全級別、客體安全級別。

具備授權管理功能，包括用戶登錄權限、訪問控制權限、平臺訪問網絡權限、執行程序授權等授權操作；提供對授權的查詢功能。

具備審計管理功能，可自定義審計策略；審計信息應包括用戶登錄審計、文件操作審計、進程控制審計、移動存儲設備審計、網絡控制審計等；審計內容應包括用戶、平臺、時間、對象、操作結果等；提供按平臺、用戶、操作結果、時間等條件查詢審計信息的功能；支持歷史審計信息的導入、導出功能，可配置需要進行導出的審計類別、導出頻率、導出路徑等內容。

產品資質要求

具備《計算機信息系統安全專用產品銷售許可證》、《計算機軟件著作權登記證》。

服務器

4×AMD八核CPU,主頻>=2.0GHz；
16×4GB DDR3 1333MHz ECC內存；
3×300GB SAS熱插拔硬盤，最大支持10塊2.5寸熱插拔硬盤；
1×獨立256MB SASRAID卡，支持RAID0、1、5、10；
5×1000M以太網口，支持網絡喚醒、網絡冗余和負載均衡；2×8Gb FCHBA；
DVD光驅，鍵盤鼠標；
1+1冗余電源，熱插拔冗余風扇；
服務器備份還原軟件，實現硬盤和分區的備份還原，帶介質；
智能監控系統，采用遠程IP登錄方式進行系統管理、查看日志、實時監控服務器狀態；
正版SuseLinux企業版操作系統，含介質；
5年原廠工程師上門服務；

存儲

雙冗余、熱插拔RAID控制器，Active－Active工作方式，具備鏈路冗余功能；
Cache緩存>=8G，配置2塊熱插拔鋰電池；
基于 Flash cache的永久保護模組，無斷電時間限制；
前端8Gb FC 主機接口>=8個，向下兼容 4Gb、2Gb；
后端SAS 4x 擴展接口>=2個；
SAN 支持能力：支持HA主機接入>=64臺；
支持RAID 級別：RAID0、1(0+1)、3、5、6、1 0、30、50、60 及JBOD；
最大LUN 數>=1024個；
具備快照、卷拷貝、卷鏡像功能；
系統管理軟件：基于Web的嵌入式管理軟件；
系統兼容性：支持Windows Server 2003，Windows Server 2008, 2008 R2 (including Hyper-V)
RedHat Enterprise Linux，SUSE Linux Enterprise，Sun Solaris，Mac OS X，VMware等；
電源及風扇：冗余電源，冗余風扇；
快照數量：每源卷64個快照，每系統1024個快照；
磁盤節能：配置磁盤節能模塊，內置多級磁盤節能技術，依據業務負載，磁盤智能休眠或動態降速；
高度：機架式<=2U；
硬盤配置容量：15KSAS硬盤容量不小于10.8T；
與服務器同一品牌；
5年原廠工程師免費現場服務；

3*4Gb FC HBA

虛擬化平臺

支持裸機運行、硬件虛擬化、64位架構、Linux操作系統的客戶機。
對服務器和存儲資源進行統一管理。支持虛擬機在物理服務器上的實時遷移。可以將虛擬機轉化為模板進行快速部署。可以快速部署應用軟件和測試工具。
資源池可以配置自動的高可用性保護功能。故障主機上的虛擬機可根據優先級和資源可用性在另一臺物理服務器上自動重啟運行。
通過資源池全新的持久性能統計數據，可對虛擬機性能和服務器總體性能進行實時的監控和圖形化趨勢分析。提供電子郵件***
提供虛擬機遷移工具實現物理服務器到虛擬服務器的快速遷移。
要求對所采購的兩臺應用服務器的CPU和內存完成虛擬化部署。
支持裸機運行、硬件虛擬化、64位架構、Linux操作系統的客戶機。
對服務器和存儲資源進行統一管理。支持虛擬機在物理服務器上的實時遷移。可以將虛擬機轉化為模板進行快速部署。可以快速部署應用軟件和測試工具。
資源池可以配置自動的高可用性保護功能。故障主機上的虛擬機可根據優先級和資源可用性在另一臺物理服務器上自動重啟運行。
通過資源池全新的持久性能統計數據，可對虛擬機性能和服務器總體性能進行實時的監控和圖形化趨勢分析。提供電子郵件***
提供虛擬機遷移工具實現物理服務器到虛擬服務器的快速遷移。
要求對所采購的兩臺服務器完成資源虛擬化部署。

支持所有主流的操作系統，支持所有主流的磁帶機和磁帶庫設備。
數據保護軟件的服務器端、客戶端必須支持Unix、Windows、 Linux等。
數據保護軟件采用數據庫作為核心，采用的數據庫是Oracle/SQL/DB2主流數據庫中的一種。
在RMAN備份的情況下，要求能夠實現圖形化的在線時間點表級恢復，而不需要恢復整個數據庫或表空間。
支持UNIX、LINUX、Windows下的數據分級存儲和歸檔功能，且統一管理界面。
支持VMware和Citrix虛擬機的備份和恢復。
根據方案定制所需備份保護模塊，實現對5個Windows操作系統和文件、2個Oracle數據庫、1個SQL數據庫的數據保護，以及2對系統文件的連續數據復制功能，并配置重復數據刪除功能。

FC交換機

24口光纖交換機；支持8Gb、4Gb、2Gb；8口激活，配置8*8Gb SFP

機柜系統

鋁鎂合金整體型材；壓鑄結構、精密制造；
專業的接地設計；
表面采用靜電粉末噴涂處理；
雙側走線單元，方便高度密度線纜有序管理；同時兼容上走線、下走線設計；
可關閉的走線通道，走線尺寸可按需調整
框架尺寸：高2000mm×寬600mm×深1100mm
1U手動伸縮控制臺(17”液晶顯示器、鼠標、鍵盤）KVM切換器
機柜與服務器同一品牌