1、网络安全设备清单标项一:网络安全设备序号名称品牌型号参数要求数量一上网行为管理网康 NI5100-KH8详见招标参数清单1台二上网行为管理网康 NI3100-HK2详见招标参数清单1台三防火墙网康NF-HD3详见招标参数清单1台四电脑联想 A7300-N000 详见招标参数清单2台备注:以上物品为现货供应,中标公示结束后15历天完成安装调试 。一、网康NI5100-KH8上网行为管理参数项目指标具体要求硬件要求品牌型号网康NI5100-KH8接口要求至少提供6个千兆电口,4个千兆光口。设备必须可以提供独立于LAN,WAN,DMZ接口的管理口要求至少提供1个RJ45接口的Console口非断电B
2、ypass提供面板Bypass按钮,便于设备巡检或者设备故障时,管理员无需关机和断电操作即可恢复网络通畅,另外确保在任何情况下都不会导致用户的网络中断 web界面bypass支持远程登录在web界面实现bypass,并可进行切换 性能要求最大吞吐量2Gbps可管理用户数3000人最大并发连接数200万短信认证白名单只允许一个或多个特定手机号的用户进行短信认证 终端识别及认证根据不同的终端类型(PC、移动终端)选择不同的用户认证或者用户识别方式。 网页管理网址过滤网址过滤,必须具备较完整的上网行为管理URL数据库,官网承诺URL条目不少于3000万,支持云模式URL实时在线分类,按照文化、科技、
3、内容的敏感程度、法律等分类,支持不少于140个分类,提供截图和网页过滤技术自主知识产权证明,并加盖原厂商公章多阻塞跳转页面可以建立多个认证页面,供不同的网页策略引用,支持不同用户的不同网页被阻塞后会跳转不同的阻塞页面。支持用户完全自定义 策略管理策略配置支持内置的常用模板策略,方便管理员快速生成策略和支持策略的复制 审计IM审计支持对QQ,MSN,webQQ, Yahoo等聊天进行审计,可针对QQ号码进行设置审计或封堵策略 敏感信息审计可记录论坛发帖账号、发帖内容,并基于关键字过滤发帖内容,对包含敏感关键字的论坛发帖内容在封堵的同时进行声音、邮件、指示灯等多种方式的实时多级报警,方便管理员对违
4、规论坛发帖行为作出快速响应(国家版权局颁发的数据防泄漏系统软件著作权),可审计、控制MySQL、Oracle、SQL Server、Postgre等数据库的访问及操作,包括添加、删除、修改、查询等。 移动终端审计分析能够对网络中移动终端的使用情况做统计分析,能够体现出现网中各种操作系统的移动终端数量、流量占比分布情况 应用管理应用封堵支持对游戏、炒股、期货、聊天、在线视频,移动应用等应用的封堵;产品内置应用协议库规模不得少于3000条 应用带宽支持对游戏、炒股、期货、聊天、在线视频、OA、视频会议、移动应用等应用的带宽通道设置,便于限制或者保障应用的带宽。产品内置应用协议库规模不得少于3000
5、条 BYOD管理禁止没有事先允许的设备访问互联网,并产生报警 BYOD智能展示能展示出移动终端的分布情况、终端流量排名和移动应用流量排名 支持802.X认证支持802.X认证 分析周期和频率可自由设置私接路由器的分析周期和频率。监控展示能实现监控列表、私接日志效果展示, 日志分析日志查询可对日志进行排序查询,提供国家版权局颁发的日志分析中心软件著作权安全访问敏感日志内置日志查询和外界日志中心的日志查询都采用https加密方式进行访问 用户信息查询支持按照用户维度汇总该用户的所有执行的策略,包含但不限于网络流量、发帖数量、搜索数量、IM数量,且可进行多递进式( Drill-down )统计和分析
6、。提供分析流程。发帖信息查询支持按照发帖内容、发帖账号、时间、IP等信息进行查询,支持按照用户、终端类型、发帖地址、发帖站点等维度进行多递进式( Drill-down )统计和分析。 多种方式报警支持声音告警、邮件告警、指示灯告警等多种方式报警报警事件根据影响程度进行区分,提供至少三种报警级别,请提供加盖原厂商公章相关证明系统状态报警对CPU、内存、硬盘等系统运行状态进行监控,对系统故障进行多种级别多种方式报警, 平台要求和易用性操作设备面板提供物理bypass按钮,机房人员无需登录即可快速旁路排障;方便管理员排查网络问题,提供该功能必须的第三方评测报告扫描件。设备采用64位专用行为管理操作系
7、统平台,采用双审计引擎设计,提供内置审计系统自主知识产权证明和相关产品证明安全管理三权分立安全管理体系审计系统设计内部机密,需内置管理员,审计员,审核员三种权限;管理员无法越过审核员私开审计权限。避免超级管理员的权限过大,降低管理员风险,避免管理端的运维风险, 满足公安部82号令要求满足公安部82号令要求提供URL分类自主知识产权、网页过滤技术自主知识产权、内置审计系统自主知识产权证明,以证明厂家满足公安部82号令的安全日志存储需求 可靠性双系统冗余热备核心系统应固化在电子芯片内,在硬盘损坏的情况下,系统应该能够正常运行管理。提高设备可靠性。双系统冗余热备必须通过权威第三方评测,要求提供测试报
8、告扫描件软件升级URL库定期升级支持URL库的自动及手动更新,支持自定义更新时间计划,避开业务高峰;URL条目数不少于3000万条,在官网上有公开的URL库更新情况详细说明; 应用协议库升级支持应用协议库的自动及手动更新,支持自定义更新时间计划,避开业务高峰。在官网上有公开的应用协议库更新情况详细说明。 计算机销售许可证提供国家公安部颁发的计算机信息系统安全专用产品销售许可证下一代互联网专项信息安全资质上网行为管理设备提供中国人民解放军信息安全测评认证中心颁发的军用信息安全产品认证证书信息技术产品安全测评证书产品需提供国家信息安全测评中心的检测证书信息技术产品安全测评证书级别为EAL3上网行为
9、管理自主知识产权分别提供URL分类自主知识产权、网页过滤技术自主知识产权、内置审计系统自主知识产权证明,以证明产品满足公安部82号令的安全日志存储需求(提供相应证书)Ipv6证书提供由全球Ipv6测试中心颁发的Ipv6 Ready证书涉密信息系统产品检测证书产品需提供国家保密局涉密信息系统安全保密测评中心颁发的涉密信息系统产品检测证书 云端联动云端数据存储设备端一键开启日志远程云端存储功能,可按月、按年使用安全、可靠的日志存储服务,日志至少存有2份拷贝;通过Https方式登陆云端日志 云端支持不同源设备接入云端同时支持不同安全功能设备的日志数据接入,并且通过浏览器访问云端同一域名可以查看用户不
10、同设备的日志数据信息 云端数据分析通过浏览器登陆云端,云端提供实时查询本周在线人数和人均上网时长、用户低效指数和TOP低效行为、TOP10低效团队和TOP10低效用户以及低效指数变化趋势图 云端决策支持数字化(工作效率值/低效指数)对比展现应用封堵前后的效果,为公司管理者提供员工上网行为管控的决策依据;可自定义团队,也可按照树状的组织结构的方式展示对比工作效率,优化团队上网行为模式;服务售后要求合同签订时提供原厂授权函并提供原厂3年质保函,支持系统、应用协议库、URL地址库的在线自动升级;提供3年免费URL及应用识别规则库升级;协议库每二周至少能升级一次,客户发现有不能封堵的应用,厂商应在一周
11、内完成协议库更新并解决问题。本次安全审计产品涉及网络安全,中标产品厂商提供技术支持人员进行标书要求的安全功能验证测试。现货供应,中标公示结束后15历天完成安装调试。二、网康NI3100-HK2上网行为管理参数项目指标具体要求硬件要求品牌型号网康 NI3100-HK2接口要求至少提供6个千兆电口。设备必须可以提供独立于LAN,WAN,DMZ接口的管理口要求至少提供1个RJ45接口的Console口非断电Bypass提供面板Bypass按钮,便于设备巡检或者设备故障时,管理员无需关机和断电操作即可恢复网络通畅,另外确保在任何情况下都不会导致用户的网络中断。web界面bypass支持远程登录在web
12、界面实现bypass,并可进行切换。性能要求最大吞吐量1Gbps可管理用户数400人最大并发连接数80万短信认证白名单只允许一个或多个特定手机号的用户进行短信认证。终端识别及认证根据不同的终端类型(PC、移动终端)选择不同的用户认证或者用户识别方式。 网页管理网址过滤网址过滤,必须具备较完整的上网行为管理URL数据库,官网承诺URL条目不少于3000万,支持云模式URL实时在线分类,按照文化、科技、内容的敏感程度、法律等分类,支持不少于140个分类,提供网页过滤技术自主知识产权证明,并加盖原厂商公章。多阻塞跳转页面可以建立多个认证页面,供不同的网页策略引用,支持不同用户的不同网页被阻塞后会跳转
13、不同的阻塞页面。支持用户完全自定义 策略管理策略配置支持内置的常用模板策略,方便管理员快速生成策略和支持策略的复制 审计IM审计支持对QQ,MSN,webQQ, Yahoo等聊天进行审计,可针对QQ号码进行设置审计或封堵策略。敏感信息审计可记录论坛发帖账号、发帖内容,并基于关键字过滤发帖内容,对包含敏感关键字的论坛发帖内容在封堵的同时进行声音、邮件、指示灯等多种方式的实时多级报警,方便管理员对违规论坛发帖行为作出快速响应(国家版权局颁发的数据防泄漏系统软件著作权),可审计、控制MySQL、Oracle、SQL Server、Postgre等数据库的访问及操作,包括添加、删除、修改、查询等。 移
14、动终端审计分析能够对网络中移动终端的使用情况做统计分析,能够体现出现网中各种操作系统的移动终端数量、流量占比分布情况。应用管理应用封堵支持对游戏、炒股、期货、聊天、在线视频,移动应用等应用的封堵;产品内置应用协议库规模不得少于3000条。应用带宽支持对游戏、炒股、期货、聊天、在线视频、OA、视频会议、移动应用等应用的带宽通道设置,便于限制或者保障应用的带宽。产品内置应用协议库规模不得少于3000条 BYOD管理禁止没有事先允许的设备访问互联网,并产生报警。BYOD智能展示能展示出移动终端的分布情况、终端流量排名和移动应用流量排名。支持802.X认证支持802.X认证。分析周期和频率可自由设置私
15、接路由器的分析周期和频率。监控展示能实现监控列表、私接日志效果展示。日志分析日志查询可对日志进行排序查询,提供国家版权局颁发的日志分析中心软件著作权安全访问敏感日志内置日志查询和外界日志中心的日志查询都采用https加密方式进行访问。用户信息查询支持按照用户维度汇总该用户的所有执行的策略,包含但不限于网络流量、发帖数量、搜索数量、IM数量,且可进行多递进式( Drill-down )统计和分析。提供分析流程,并加盖原厂商公章有效。发帖信息查询支持按照发帖内容、发帖账号、时间、IP等信息进行查询,支持按照用户、终端类型、发帖地址、发帖站点等维度进行多递进式( Drill-down )统计和分析。
16、提供 分析流程,并加盖原厂商公章有效。多种方式报警支持声音告警、邮件告警、指示灯告警等多种方式报警报警事件根据影响程度进行区分,提供至少三种报警级别,提供加盖原厂商公章相关证明系统状态报警对CPU、内存、硬盘等系统运行状态进行监控,对系统故障进行多种级别多种方式报警。平台要求和易用性操作设备面板提供物理bypass按钮,机房人员无需登录即可快速旁路排障;方便管理员排查网络问题,提供该功能必须的第三方评测报告扫描件。设备采用64位专用行为管理操作系统平台,采用双审计引擎设计,提供内置审计系统自主知识产权证明和相关产品证明安全管理三权分立安全管理体系审计系统设计内部机密,需内置管理员,审计员,审核
17、员三种权限;管理员无法越过审核员私开审计权限。避免超级管理员的权限过大,降低管理员风险,避免管理端的运维风险。可靠性双系统冗余热备核心系统应固化在电子芯片内,在硬盘损坏的情况下,系统应该能够正常运行管理。提高设备可靠性。双系统冗余热备必须通过权威第三方评测,要求提供测试报告扫描件软件升级URL库定期升级支持URL库的自动及手动更新,支持自定义更新时间计划,避开业务高峰;URL条目数不少于3000万条,在官网上有公开的URL库更新情况详细说明。应用协议库升级支持应用协议库的自动及手动更新,支持自定义更新时间计划,避开业务高峰。在官网上有公开的应用协议库更新情况详细说明。 计算机销售许可证可提供国
18、家公安部颁发的计算机信息系统安全专用产品销售许可证下一代互联网专项信息安全资质上网行为管理设备提供中国人民解放军信息安全测评认证中心颁发的军用信息安全产品认证证书信息技术产品安全测评证书产品需提供国家信息安全测评中心的检测证书信息技术产品安全测评证书级别为EAL3上网行为管理自主知识产权分别提供URL分类自主知识产权、网页过滤技术自主知识产权、内置审计系统自主知识产权证明,以证明产品满足公安部82号令的安全日志存储需求(提供相应证书)Ipv6证书提供由全球Ipv6测试中心颁发的Ipv6 Ready证书涉密信息系统产品检测证书产品需提供国家保密局涉密信息系统安全保密测评中心颁发的涉密信息系统产品
19、检测证书 云端联动云端数据存储设备端一键开启日志远程云端存储功能,可按月、按年使用安全、可靠的日志存储服务,日志至少存有2份拷贝;通过Https方式登陆云端日志。云端支持不同源设备接入云端同时支持不同安全功能设备的日志数据接入,并且通过浏览器访问云端同一域名可以查看用户不同设备的日志数据信息。云端数据分析通过浏览器登陆云端,云端提供实时查询本周在线人数和人均上网时长、用户低效指数和TOP低效行为、TOP10低效团队和TOP10低效用户以及低效指数变化趋势图。云端决策支持数字化(工作效率值/低效指数)对比展现应用封堵前后的效果,为公司管理者提供员工上网行为管控的决策依据;可自定义团队,也可按照树
20、状的组织结构的方式展示对比工作效率,优化团队上网行为模式;服务售后要求合同签订时提供原厂授权函并提供3年质保函,支持系统、应用协议库、URL地址库的在线自动升级;提供3年免费URL及应用识别规则库升级;协议库每二周至少能升级一次,客户发现有不能封堵的应用,厂商应在一周内完成协议库更新并解决问题。本次安全审计产品涉及网络安全,中标产品原厂商提供技术支持人员进行标书要求的安全功能验证测试及安装调试。现货供应,中标公示结束后15历天完成安装调试。三、网康NF-HD3防火墙参数指标项 参数要求品牌型号网康NF-HD3配置要求防火墙吞吐2Gbps,应用层吞吐量1Gbps,IPS吞吐量不小于1Gbps,I
21、PSEC隧道数8000;SSL VPN并发用户数可支持300个,本次提供20个并发授权接口要求设备接口配6个千兆电口;可拓展支持千兆光接口数量32;管理口至少为1个独立管理口和1个独立的HA口部署方式支持桥接 网关 镜像 三种模式管理方式BS架构,利用谷歌、IE浏览器、火狐可访问设备及内置日志中心地址转换NAT支持源地址转换,包括静态、动态地址转换和动态端口转换三种机制;支持目的地址转换,包括地址和端口静态转换映射;支持扩展NAT,1个公网地址可支持60万以上连接的地址转换支持双向地址转换,支持一条策略完成源和目的地址转换;路由协议支持静态路由协议和动态路由协议RIP和OSPF;支持策略路由,
22、需根据ISP地址和TOS字段进行策略路由基本访问控制可基于IP(源、目的)、端口(源、目的)、协议配置网络访问控制策略;可划分不同安全级别的安全域,可基于安全域设置访问控制策略;支持应用层协议网关控制包括FTP、PPTP、TFTP、SIP和H.323等攻击防护支持针对SYN Flood、ICMP Flood和UDP Flood的攻击防护;支持源目的IP、源目的安全区域、服务和用户的策略方式进行细粒度的DDOS防护和暴力扫描防护支持流分类模式的DDOS攻击防护,能够针对服务器或主机网络进行针对性的防护;支持对TearDrop、LAND、WinNuke、Smurf、Fraggle和PingOfDe
23、ath等攻击的防护;并支持TCP端口、UDP端口和主机Host的扫描防护IPSEC VPN支持AH、ESP协议,可手工或通过IKE自动建立安全联盟;支持DES、3DES、AES多种加密算法;支持MD5及SHA-1验证算法;支持IKE主模式及野蛮模式;支持NAT穿越;支持数字证书,包括证书请求生成和导入身份识别支持IP/MAC地址及身份绑定,识别用户;支持用户名密码进行web方式的认证及DAPADPOP3SMTPRADIUS 方式的联动认证支持对LDAPADPOP3SMTPRADIUSPORTAL锐捷SAMH3C CAMSPPPOE城市热点各种数据库格式的单点登录位置识别可支持位置信息识别和管控
24、,可以方便的识别无线上网用户位置,将用户按照位置属性进行分组和策略配置。应用识别可根据应用协议库方式识别P2P、IM、OA办公应用、数据库应用、ERP应用、软件升级应用、木马外连、炒股软件、视频应用、代理软件、SSL、网银、移动互联网等应用,应用协议库规模大于3000条。可识别P2P、远程管理、代理软件、下载工具和即时通讯等超过200种高风险应用,并且为每个应用提供威胁等级,便于威胁直观可视应用层访问控制可基于人员、应用进行应用层访问控制,无需依赖IP和端口,人员出差或服务器变更导致的地址变化不影响原有的安全访问策略可基于5元组+源和目的安全域+人员及应用或者5元组+虚拟链路+时间+人员及应用
25、合计9个维度进行超级精细化应用层控制可基于3层嵌套通道实现应用层QOS;可对应用流量分配最小的保障带宽和分配最小的静态预留带宽可对被封堵的应用连接进行复位操作,避免P2P等应用被阻塞后,产生大量试探性连接的重发而造成网络设备性能下降链路负载均衡支持出口多链路的负载均衡,可支持带宽比例和链路优先级方式的负载方法支持基于应用的链路负载均衡,保证能够支持P2P下载和视频应用的引流支持链路状态检测,可实现链路实时备份集成化防护策略在一条策略中实现对指定应用和用户的访问控制、防病毒、入侵防御、网址过滤。基于应用的安全体系无视应用的端口变化,准确针对指定应用进行IPS和病毒查杀、针对HTTP浏览应用进行U
26、RL过滤,避免传统IPS、病毒及网址过滤系统被端口变化逃逸;通过应用协议库识别出SSL、WEB PROXY、SOCKET等翻墙协议,避免端口跳变带来的逃逸(提供慧眼云系统软件著作权证书)应用层QOS可基于5元组+虚拟链路+时间+人员及应用合计9个维度进行超级精细化应用层控制;可基于3层嵌套通道实现应用层QOS;可对应用流量分配最小的保障带宽和分配最小的静态预留带宽;可对被封堵的应用连接进行复位操作,避免P2P等应用被阻塞后,产生大量试探性连接的重发而造成网络设备性能下降;集成入侵防御可防护入侵类型包括蠕虫/木马/后门/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/暴力攻击/SQL注入等可
27、以对SSL加密数据进行入侵行为检测;入侵特征实时生效攻击特征超过7000条 ,并能够自动或者手动升级集成防病毒可针对HTTP、FTP、SMTP、POP3、IMAP应用(不依赖端口识别)进行防病毒查杀;能实时查杀大量文件型、网络型和混合型等各类病毒;并能够对ZIP、GZIP和RAR等压缩文件进行查杀采用云查杀木马病毒引擎和本地木马病毒查杀双引擎,查杀引擎可以在设备上自由切换病毒库规模大于10万个,可以自动或者手动升级;采用流杀毒引擎,提升杀毒效率,降低网络延迟集成网址过滤网页库规模大于3000万条,可分为包含病毒、木马等分类在内的42类或以上,并每天同步更新,且可通过网址关键字、黑白名单过滤恶意
28、网址支持利用云技术实时过滤木马和钓鱼网站;威胁可视化应用威胁风险等级可视:每个应用需标注威胁风险等级,对应用的威胁风险程度一目了然;便于管理员主动进行进一步威胁防护策略调整。网络威胁风险等级可视:管理员登陆防火墙后,可直观看到当前威胁风险等级分数。威胁风险应用分布可视:管理员登陆防火墙后,可通过直观图看到当前不同威胁风险等级应用的连接和流量使用构成;便于管理员主动进行进一步威胁防护策略调整威胁来源可视:可直观看到威胁风险应用的源国家、目的国家等。威胁地点来源可视可直观的看到威胁产生的网络内部地点。基线对比分析新增威胁风险应用基线对比可通过安全基线对比最近突然出现的威胁风险应用,便于及时发现潜在
29、威胁。消失应用基线对比可通过安全基线对比最近突然消失的应用,便于及时发现网络问题或潜在威胁变化。集成关联分析威胁钻取分析 可根据威胁应用或内容为入口,任意钻取,深度分析威胁构成一体化防护日志集成关联分析,FW+AV+IPS+URL日志,可串行发现分散隐藏的威胁入侵,便于发现未知威胁未知识别及控制未知威胁应用防护识别未知TCP和未知UDP的未知应用,能够对其进行一体化的应用层安全控制策略,防御未知威胁内网威胁检测对于内网木马或者僵死主机主动定位,提供危险主机的IP或者其他信息,提供危险主机分析报告。数据防泄密提供预定义的内容关键字,包括身份证号、信用卡号和银行卡号等支持对SSL加密数据进行内容过
30、滤能对用户外发文件和关键字等敏感数据进行内容检测和控制。智能定位僵尸主机支持基于僵尸网络的行为分析技术,来定位分析出网络中存在可疑和未知的僵尸网络主机;支持僵尸网络行为参数配置调整,支持按照每天报告僵尸网络主机;支持和360杀毒软件进行联动为更好防护内网终端和边界安全,防火墙支持和360杀毒软件进行联动,进行PC端、手机端杀毒联动。应用引流能识别出视频、P2P等应用,并且能够把P2P和视频等应用引流到任意链路上,且引流效果要达到98%以上BYOD应用识别于控制可识别包含APP Store,91助手、安卓市场 等在内的500种移动应用;可针对移动应用进行应用层访问控制;可阻断在移动设备中产生的加密隧道及翻墙应用BYOD终端管理可区分识别并管理移动智能终端和PC终端,并能识别出移动终端的产品型号可区分识别管理苹果、安卓、塞班、黑莓操作系统的移动终端BYOD地点管理可识别出内部人员上网的地点,针对上网地点的合法性进行管理。实时监控可用仪表盘方式展示设备CPU、内存、硬盘使用情况和接口状态可实时监控到24小时内的带宽分布、流量构成比例
