网络安全设备清单.docx
- 文档编号:29770334
- 上传时间:2023-07-26
- 格式:DOCX
- 页数:25
- 大小:28.52KB
网络安全设备清单.docx
《网络安全设备清单.docx》由会员分享,可在线阅读,更多相关《网络安全设备清单.docx(25页珍藏版)》请在冰豆网上搜索。
网络安全设备清单
标项一:
网络安全设备
序号
名称
品牌
型号
参数要求
数量
一
上网行为管理
网康
NI5100-KH8
详见招标参数清单
1台
二
上网行为管理
网康
NI3100-HK2
详见招标参数清单
1台
三
防火墙
网康
NF-HD3
详见招标参数清单
1台
四
电脑
联想
A7300-N000
详见招标参数清单
2台
备注:
以上物品为现货供应,中标公示结束后15历天完成安装调试。
一、网康NI5100-KH8上网行为管理参数
项目
指标
具体要求
硬件要求
品牌型号
网康NI5100-KH8
接口
要求至少提供6个千兆电口,4个千兆光口。
设备必须可以提供独立于LAN,WAN,DMZ接口的管理口
要求至少提供1个RJ45接口的Console口
非断电Bypass
提供面板Bypass按钮,便于设备巡检或者设备故障时,管理员无需关机和断电操作即可恢复网络通畅,另外确保在任何情况下都不会导致用户的网络中断
web界面bypass
支持远程登录在web界面实现bypass,并可进行切换
性能要求
最大吞吐量
≥2Gbps
可管理用户数
≥3000人
最大并发连接数
≥200万
短信认证白名单
只允许一个或多个特定手机号的用户进行短信认证
终端识别及认证
根据不同的终端类型(PC、移动终端)选择不同的用户认证或者用户识别方式。
网页管理
网址过滤
网址过滤,必须具备较完整的上网行为管理URL数据库,官网承诺URL条目不少于3000万,支持云模式URL实时在线分类,按照文化、科技、内容的敏感程度、法律等分类,支持不少于140个分类,提供截图和网页过滤技术自主知识产权证明,并加盖原厂商公章
多阻塞跳转页面
可以建立多个认证页面,供不同的网页策略引用,支持不同用户的不同网页被阻塞后会跳转不同的阻塞页面。
支持用户完全自定义
策略管理
策略配置
支持内置的常用模板策略,方便管理员快速生成策略和支持策略的复制
审计
IM审计
支持对QQ,MSN,webQQ,Yahoo等聊天进行审计,可针对QQ号码进行设置审计或封堵策略
敏感信息审计
可记录论坛发帖账号、发帖内容,并基于关键字过滤发帖内容,对包含敏感关键字的论坛发帖内容在封堵的同时进行声音、邮件、指示灯等多种方式的实时多级报警,方便管理员对违规论坛发帖行为作出快速响应(国家版权局颁发的《数据防泄漏系统软件著作权》),可审计、控制MySQL、Oracle、SQLServer、Postgre等数据库的访问及操作,包括添加、删除、修改、查询等。
移动终端审计分析
能够对网络中移动终端的使用情况做统计分析,能够体现出现网中各种操作系统的移动终端数量、流量占比分布情况
应用管理
应用封堵
支持对游戏、炒股、期货、聊天、在线视频,移动应用等应用的封堵;产品内置应用协议库规模不得少于3000条
应用带宽
支持对游戏、炒股、期货、聊天、在线视频、OA、视频会议、移动应用等应用的带宽通道设置,便于限制或者保障应用的带宽。
产品内置应用协议库规模不得少于3000条
BYOD管理
禁止没有事先允许的设备访问互联网,并产生报警
BYOD智能展示
能展示出移动终端的分布情况、终端流量排名和移动应用流量排名
支持802.X认证
支持802.X认证
分析周期和频率
可自由设置私接路由器的分析周期和频率。
监控展示
能实现监控列表、私接日志效果展示,
日志分析
日志查询
可对日志进行排序查询,提供国家版权局颁发的《日志分析中心软件著作权》
安全访问敏感日志
内置日志查询和外界日志中心的日志查询都采用https加密方式进行访问
用户信息查询
支持按照用户维度汇总该用户的所有执行的策略,包含但不限于网络流量、发帖数量、搜索数量、IM数量,且可进行多递进式(Drill-down)统计和分析。
提供分析流程。
发帖信息查询
支持按照发帖内容、发帖账号、时间、IP等信息进行查询,支持按照用户、终端类型、发帖地址、发帖站点等维度进行多递进式(Drill-down)统计和分析。
多种方式报警
支持声音告警、邮件告警、指示灯告警等多种方式报警
报警事件根据影响程度进行区分,提供至少三种报警级别,请提供加盖原厂商公章相关证明
系统状态报警
对CPU、内存、硬盘等系统运行状态进行监控,对系统故障进行多种级别多种方式报警,
平台要求和易用性操作
设备面板提供物理bypass按钮,机房人员无需登录即可快速旁路排障;方便管理员排查网络问题,提供该功能必须的第三方评测报告扫描件。
设备采用64位专用行为管理操作系统平台,采用双审计引擎设计,提供内置审计系统自主知识产权证明和相关产品证明
安全管理
三权分立安全管理体系
审计系统设计内部机密,需内置管理员,审计员,审核员三种权限;管理员无法越过审核员私开审计权限。
避免超级管理员的权限过大,降低管理员风险,避免管理端的运维风险,
满足公安部82号令要求
满足公安部82号令要求
提供URL分类自主知识产权、网页过滤技术自主知识产权、内置审计系统自主知识产权证明,以证明厂家满足公安部82号令的安全日志存储需求
可靠性
双系统冗余热备
核心系统应固化在电子芯片内,在硬盘损坏的情况下,系统应该能够正常运行管理。
提高设备可靠性。
双系统冗余热备必须通过权威第三方评测,要求提供测试报告扫描件
软件升级
URL库定期升级
支持URL库的自动及手动更新,支持自定义更新时间计划,避开业务高峰;URL条目数不少于3000万条,在官网上有公开的URL库更新情况详细说明;
应用协议库升级
支持应用协议库的自动及手动更新,支持自定义更新时间计划,避开业务高峰。
在官网上有公开的应用协议库更新情况详细说明。
计算机销售许可证
提供国家公安部颁发的《计算机信息系统安全专用产品销售许可证》——下一代互联网专项
信息安全资质
上网行为管理设备提供中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》
信息技术产品安全测评证书
产品需提供国家信息安全测评中心的检测证书《信息技术产品安全测评证书》级别为EAL3
上网行为管理自主知识产权
分别提供URL分类自主知识产权、网页过滤技术自主知识产权、内置审计系统自主知识产权证明,以证明产品满足公安部82号令的安全日志存储需求(提供相应证书)
Ipv6证书
提供由全球Ipv6测试中心颁发的Ipv6Ready证书
涉密信息系统产品检测证书
产品需提供国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》
云端联动
云端数据存储
设备端一键开启日志远程云端存储功能,可按月、按年使用安全、可靠的日志存储服务,日志至少存有2份拷贝;通过Https方式登陆云端日志
云端支持不同源设备接入
云端同时支持不同安全功能设备的日志数据接入,并且通过浏览器访问云端同一域名可以查看用户不同设备的日志数据信息
云端数据分析
通过浏览器登陆云端,云端提供实时查询本周在线人数和人均上网时长、用户低效指数和TOP低效行为、TOP10低效团队和TOP10低效用户以及低效指数变化趋势图
云端决策支持
数字化(工作效率值/低效指数)对比展现应用封堵前后的效果,为公司管理者提供员工上网行为管控的决策依据;可自定义团队,也可按照树状的组织结构的方式展示对比工作效率,优化团队上网行为模式;
服务
售后要求
合同签订时提供原厂授权函并提供原厂3年质保函,支持系统、应用协议库、URL地址库的在线自动升级;提供3年免费URL及应用识别规则库升级;协议库每二周至少能升级一次,客户发现有不能封堵的应用,厂商应在一周内完成协议库更新并解决问题。
本次安全审计产品涉及网络安全,中标产品厂商提供技术支持人员进行标书要求的安全功能验证测试。
现货供应,中标公示结束后15历天完成安装调试。
二、网康NI3100-HK2上网行为管理参数
项目
指标
具体要求
硬件要求
品牌型号
网康NI3100-HK2
接口
要求至少提供6个千兆电口。
设备必须可以提供独立于LAN,WAN,DMZ接口的管理口
要求至少提供1个RJ45接口的Console口
非断电Bypass
提供面板Bypass按钮,便于设备巡检或者设备故障时,管理员无需关机和断电操作即可恢复网络通畅,另外确保在任何情况下都不会导致用户的网络中断。
web界面bypass
支持远程登录在web界面实现bypass,并可进行切换。
性能要求
最大吞吐量
≥1Gbps
可管理用户数
≥400人
最大并发连接数
≥80万
短信认证白名单
只允许一个或多个特定手机号的用户进行短信认证。
终端识别及认证
根据不同的终端类型(PC、移动终端)选择不同的用户认证或者用户识别方式。
网页管理
网址过滤
网址过滤,必须具备较完整的上网行为管理URL数据库,官网承诺URL条目不少于3000万,支持云模式URL实时在线分类,按照文化、科技、内容的敏感程度、法律等分类,支持不少于140个分类,提供网页过滤技术自主知识产权证明,并加盖原厂商公章。
多阻塞跳转页面
可以建立多个认证页面,供不同的网页策略引用,支持不同用户的不同网页被阻塞后会跳转不同的阻塞页面。
支持用户完全自定义
策略管理
策略配置
支持内置的常用模板策略,方便管理员快速生成策略和支持策略的复制
审计
IM审计
支持对QQ,MSN,webQQ,Yahoo等聊天进行审计,可针对QQ号码进行设置审计或封堵策略。
敏感信息审计
可记录论坛发帖账号、发帖内容,并基于关键字过滤发帖内容,对包含敏感关键字的论坛发帖内容在封堵的同时进行声音、邮件、指示灯等多种方式的实时多级报警,方便管理员对违规论坛发帖行为作出快速响应(国家版权局颁发的《数据防泄漏系统软件著作权》),可审计、控制MySQL、Oracle、SQLServer、Postgre等数据库的访问及操作,包括添加、删除、修改、查询等。
移动终端审计分析
能够对网络中移动终端的使用情况做统计分析,能够体现出现网中各种操作系统的移动终端数量、流量占比分布情况。
应用管理
应用封堵
支持对游戏、炒股、期货、聊天、在线视频,移动应用等应用的封堵;产品内置应用协议库规模不得少于3000条。
应用带宽
支持对游戏、炒股、期货、聊天、在线视频、OA、视频会议、移动应用等应用的带宽通道设置,便于限制或者保障应用的带宽。
产品内置应用协议库规模不得少于3000条
BYOD管理
禁止没有事先允许的设备访问互联网,并产生报警。
BYOD智能展示
能展示出移动终端的分布情况、终端流量排名和移动应用流量排名。
支持802.X认证
支持802.X认证。
分析周期和频率
可自由设置私接路由器的分析周期和频率。
监控展示
能实现监控列表、私接日志效果展示。
日志分析
日志查询
可对日志进行排序查询,提供国家版权局颁发的《日志分析中心软件著作权》
安全访问敏感日志
内置日志查询和外界日志中心的日志查询都采用https加密方式进行访问。
用户信息查询
支持按照用户维度汇总该用户的所有执行的策略,包含但不限于网络流量、发帖数量、搜索数量、IM数量,且可进行多递进式(Drill-down)统计和分析。
提供分析流程,并加盖原厂商公章有效。
发帖信息查询
支持按照发帖内容、发帖账号、时间、IP等信息进行查询,支持按照用户、终端类型、发帖地址、发帖站点等维度进行多递进式(Drill-down)统计和分析。
提供分析流程,并加盖原厂商公章有效。
多种方式报警
支持声音告警、邮件告警、指示灯告警等多种方式报警
报警事件根据影响程度进行区分,提供至少三种报警级别,提供加盖原厂商公章相关证明
系统状态报警
对CPU、内存、硬盘等系统运行状态进行监控,对系统故障进行多种级别多种方式报警。
平台要求和易用性操作
设备面板提供物理bypass按钮,机房人员无需登录即可快速旁路排障;方便管理员排查网络问题,提供该功能必须的第三方评测报告扫描件。
设备采用64位专用行为管理操作系统平台,采用双审计引擎设计,提供内置审计系统自主知识产权证明和相关产品证明
安全管理
三权分立安全管理体系
审计系统设计内部机密,需内置管理员,审计员,审核员三种权限;管理员无法越过审核员私开审计权限。
避免超级管理员的权限过大,降低管理员风险,避免管理端的运维风险。
可靠性
双系统冗余热备
核心系统应固化在电子芯片内,在硬盘损坏的情况下,系统应该能够正常运行管理。
提高设备可靠性。
双系统冗余热备必须通过权威第三方评测,要求提供测试报告扫描件
软件升级
URL库定期升级
支持URL库的自动及手动更新,支持自定义更新时间计划,避开业务高峰;URL条目数不少于3000万条,在官网上有公开的URL库更新情况详细说明。
应用协议库升级
支持应用协议库的自动及手动更新,支持自定义更新时间计划,避开业务高峰。
在官网上有公开的应用协议库更新情况详细说明。
计算机销售许可证
可提供国家公安部颁发的《计算机信息系统安全专用产品销售许可证》——下一代互联网专项
信息安全资质
上网行为管理设备提供中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》
信息技术产品安全测评证书
产品需提供国家信息安全测评中心的检测证书《信息技术产品安全测评证书》级别为EAL3
上网行为管理自主知识产权
分别提供URL分类自主知识产权、网页过滤技术自主知识产权、内置审计系统自主知识产权证明,以证明产品满足公安部82号令的安全日志存储需求(提供相应证书)
Ipv6证书
提供由全球Ipv6测试中心颁发的Ipv6Ready证书
涉密信息系统产品检测证书
产品需提供国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》
云端联动
云端数据存储
设备端一键开启日志远程云端存储功能,可按月、按年使用安全、可靠的日志存储服务,日志至少存有2份拷贝;通过Https方式登陆云端日志。
云端支持不同源设备接入
云端同时支持不同安全功能设备的日志数据接入,并且通过浏览器访问云端同一域名可以查看用户不同设备的日志数据信息。
云端数据分析
通过浏览器登陆云端,云端提供实时查询本周在线人数和人均上网时长、用户低效指数和TOP低效行为、TOP10低效团队和TOP10低效用户以及低效指数变化趋势图。
云端决策支持
数字化(工作效率值/低效指数)对比展现应用封堵前后的效果,为公司管理者提供员工上网行为管控的决策依据;可自定义团队,也可按照树状的组织结构的方式展示对比工作效率,优化团队上网行为模式;
服务
售后要求
合同签订时提供原厂授权函并提供3年质保函,支持系统、应用协议库、URL地址库的在线自动升级;提供3年免费URL及应用识别规则库升级;协议库每二周至少能升级一次,客户发现有不能封堵的应用,厂商应在一周内完成协议库更新并解决问题。
本次安全审计产品涉及网络安全,中标产品原厂商提供技术支持人员进行标书要求的安全功能验证测试及安装调试。
现货供应,中标公示结束后15历天完成安装调试。
三、网康NF-HD3防火墙参数
指标项
参数要求
品牌型号
网康NF-HD3
配置要求
防火墙吞吐≥2Gbps,应用层吞吐量≥1Gbps,IPS吞吐量≥不小于1Gbps,IPSEC隧道数≥8000;SSLVPN并发用户数可支持300个,本次提供20个并发授权
接口要求
设备接口配6个千兆电口;可拓展支持千兆光接口数量≥32;管理口至少为1个独立管理口和1个独立的HA口
部署方式
支持桥接网关镜像三种模式
管理方式
BS架构,利用谷歌、IE浏览器、火狐可访问设备及内置日志中心
地址转换NAT
支持源地址转换,包括静态、动态地址转换和动态端口转换三种机制;支持目的地址转换,包括地址和端口静态转换映射;支持扩展NAT,1个公网地址可支持60万以上连接的地址转换
支持双向地址转换,支持一条策略完成源和目的地址转换;
路由协议
支持静态路由协议和动态路由协议RIP和OSPF;支持策略路由,需根据ISP地址和TOS字段进行策略路由
基本访问控制
可基于IP(源、目的)、端口(源、目的)、协议配置网络访问控制策略;可划分不同安全级别的安全域,可基于安全域设置访问控制策略;支持应用层协议网关控制包括FTP、PPTP、TFTP、SIP和H.323等
攻击防护
支持针对SYNFlood、ICMPFlood和UDPFlood的攻击防护;支持源目的IP、源目的安全区域、服务和用户的策略方式进行细粒度的DDOS防护和暴力扫描防护
支持流分类模式的DDOS攻击防护,能够针对服务器或主机网络进行针对性的防护;支持对TearDrop、LAND、WinNuke、Smurf、Fraggle和PingOfDeath等攻击的防护;并支持TCP端口、UDP端口和主机Host的扫描防护
IPSECVPN
支持AH、ESP协议,可手工或通过IKE自动建立安全联盟;支持DES、3DES、AES多种加密算法;支持MD5及SHA-1验证算法;支持IKE主模式及野蛮模式;支持NAT穿越;支持数字证书,包括证书请求生成和导入
身份识别
支持IP/MAC地址及身份绑定,识别用户;支持用户名密码进行web方式的认证及DAP\AD\POP3\SMTP\RADIUS方式的联动认证
支持对LDAP\AD\POP3\SMTP\RADIUS\PORTAL\锐捷SAM\H3CCAMS\PPPOE城市热点\各种数据库格式的单点登录
位置识别
可支持位置信息识别和管控,可以方便的识别无线上网用户位置,将用户按照位置属性进行分组和策略配置。
应用识别
可根据应用协议库方式识别P2P、IM、OA办公应用、数据库应用、ERP应用、软件升级应用、木马外连、炒股软件、视频应用、代理软件、SSL、网银、移动互联网等应用,应用协议库规模大于3000条。
可识别P2P、远程管理、代理软件、下载工具和即时通讯等超过200种高风险应用,并且为每个应用提供威胁等级,便于威胁直观可视
应用层访问控制
可基于人员、应用进行应用层访问控制,无需依赖IP和端口,人员出差或服务器变更导致的地址变化不影响原有的安全访问策略
可基于5元组+源和目的安全域+人员及应用或者5元组+虚拟链路+时间+人员及应用合计9个维度进行超级精细化应用层控制
可基于3层嵌套通道实现应用层QOS;可对应用流量分配最小的保障带宽和分配最小的静态预留带宽
可对被封堵的应用连接进行复位操作,避免P2P等应用被阻塞后,产生大量试探性连接的重发而造成网络设备性能下降
链路负载均衡
支持出口多链路的负载均衡,可支持带宽比例和链路优先级方式的负载方法
支持基于应用的链路负载均衡,保证能够支持P2P下载和视频应用的引流
支持链路状态检测,可实现链路实时备份
集成化防护策略
在一条策略中实现对指定应用和用户的访问控制、防病毒、入侵防御、网址过滤。
基于应用的安全体系
无视应用的端口变化,准确针对指定应用进行IPS和病毒查杀、针对HTTP浏览应用进行URL过滤,避免传统IPS、病毒及网址过滤系统被端口变化逃逸;通过应用协议库识别出SSL、WEBPROXY、SOCKET等翻墙协议,避免端口跳变带来的逃逸(提供慧眼云系统软件著作权证书)
应用层QOS
可基于5元组+虚拟链路+时间+人员及应用合计9个维度进行超级精细化应用层控制;
可基于3层嵌套通道实现应用层QOS;
可对应用流量分配最小的保障带宽和分配最小的静态预留带宽;
可对被封堵的应用连接进行复位操作,避免P2P等应用被阻塞后,产生大量试探性连接的重发而造成网络设备性能下降;
集成入侵防御
可防护入侵类型包括蠕虫/木马/后门/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/暴力攻击/SQL注入等
可以对SSL加密数据进行入侵行为检测;
入侵特征实时生效攻击特征超过7000条,并能够自动或者手动升级
集成防病毒
可针对HTTP、FTP、SMTP、POP3、IMAP应用(不依赖端口识别)进行防病毒查杀;能实时查杀大量文件型、网络型和混合型等各类病毒;并能够对ZIP、GZIP和RAR等压缩文件进行查杀
采用云查杀木马病毒引擎和本地木马病毒查杀双引擎,查杀引擎可以在设备上自由切换
病毒库规模大于10万个,可以自动或者手动升级;采用流杀毒引擎,提升杀毒效率,降低网络延迟
集成网址过滤
网页库规模大于3000万条,可分为包含病毒、木马等分类在内的42类或以上,并每天同步更新,且可通过网址关键字、黑白名单过滤恶意网址
支持利用云技术实时过滤木马和钓鱼网站;
威胁可视化
应用威胁风险等级可视:
每个应用需标注威胁风险等级,对应用的威胁风险程度一目了然;便于管理员主动进行进一步威胁防护策略调整。
网络威胁风险等级可视:
管理员登陆防火墙后,可直观看到当前威胁风险等级分数。
威胁风险应用分布可视:
管理员登陆防火墙后,可通过直观图看到当前不同威胁风险等级应用的连接和流量使用构成;便于管理员主动进行进一步威胁防护策略调整
威胁来源可视:
可直观看到威胁风险应用的源国家、目的国家等。
威胁地点来源可视
可直观的看到威胁产生的网络内部地点。
基线对比分析
新增威胁风险应用基线对比
可通过安全基线对比最近突然出现的威胁风险应用,便于及时发现潜在威胁。
消失应用基线对比
可通过安全基线对比最近突然消失的应用,便于及时发现网络问题或潜在威胁变化。
集成关联分析
威胁钻取分析
可根据威胁应用或内容为入口,任意钻取,深度分析威胁构成
一体化防护日志
集成关联分析,FW+AV+IPS+URL日志,可串行发现分散隐藏的威胁入侵,便于发现未知威胁
未知识别及控制
未知威胁应用防护
识别未知TCP和未知UDP的未知应用,能够对其进行一体化的应用层安全控制策略,防御未知威胁
内网威胁检测
对于内网木马或者僵死主机主动定位,提供危险主机的IP或者其他信息,提供危险主机分析报告。
数据防泄密
提供预定义的内容关键字,包括身份证号、信用卡号和银行卡号等
支持对SSL加密数据进行内容过滤
能对用户外发文件和关键字等敏感数据进行内容检测和控制。
智能定位僵尸主机
支持基于僵尸网络的行为分析技术,来定位分析出网络中存在可疑和未知的僵尸网络主机;
支持僵尸网络行为参数配置调整,支持按照每天报告僵尸网络主机;
支持和360杀毒软件进行联动
为更好防护内网终端和边界安全,防火墙支持和360杀毒软件进行联动,进行PC端、手机端杀毒联动。
应用引流
能识别出视频、P2P等应用,并且能够把P2P和视频等应用引流到任意链路上,且引流效果要达到98%以上
BYOD应用识别于控制
可识别包含APPStore,91助手、安卓市场等在内的500种移动应用;可针对移动应用进行应用层访问控制;可阻断在移动设备中产生的加密隧道及翻墙应用
BYOD终端管理
可区分识别并管理移动智能终端和PC终端,并能识别出移动终端的产品型号
可区分识别管理苹果、安卓、塞班、黑莓操作系统的移动终端
BYOD地点管理
可识别出内部人员上网的地点,针对上网地点的合法性进行管理。
实时监控
可用仪表盘方式展示设备CPU、内存、硬盘使用情况和接口状态
可实时监控到24小时内的带宽分布、流量构成比例
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 设备 清单