《仙采招[XXXX]4号仙居县国土资源局业务内网及视频系统建设.docx》由会员分享,可在线阅读,更多相关《仙采招[XXXX]4号仙居县国土资源局业务内网及视频系统建设.docx(60页珍藏版)》请在三一办公上搜索。
1、目录第一部分 招标公告1第二部分 采购需求3第三部分 投标人须知28前附表28一、说明29二、招标文件29三、投标文件30四、投标文件的递交33五、开标和评标33六、合同签订36第四部分 评标办法及评分标准38第五部分 合同基本条款43第六部分 投标文件格式47附件一:投标函47附件二:开标一览表49附件三:资格、资质证明文件50附件四:投标人情况表51附件五:项目实施人员情况表52附件六:项目负责人简历表53附件七:技术参数对照表54附件八:售后服务的措施、承诺及优惠内容55附件九:授权委托书56附件十:投标文件封面样式57附件十一:文件袋封面样式58第一部分 招标公告公告日期:2010年
2、月 日根据中华人民共和国政府采购法等有关规定,仙居县招投标中心受仙居县国土资源局委托,就业务内网及视频会议系统建设项目进行公开招标,欢迎国内合格的供应商前来投标。一、招标项目编号:仙采招20104号 采购组织类型:政府集中采购二、招标项目概况(内容、用途、数量、简要技术要求等):本次招标主要产品:路由器1台、UTM防火墙1台、桌面管理系统1套、数据库日志审计系统1套、入侵防御系统1台、视频会议系统1批等设备。(详见公开招标文件内容)三、投标供应商资格要求:1、具有独立法人资格的公司且注册资金在300万元人民币(含)以上;2、本项目实施人员中至少有一名H3C原厂认证工程师且必须为投标单位正式员工
3、;3、符合中华人民共和国政府采购法第二十二条规定的条件。四、招标文件的发售时间及地点等:1、招标文件发售时间:2010年 月 日至2010年 月 日(双休日及法定节假日除外)上午:8:00-11:30下午:14:00-17:002、地点:仙居县招投标中心(仙居县环城西路50号县人民政府办事大厅三楼)3、标书售价(元):300(售后不退)五、投标截止时间:2010年 月 日09:00六、投标地点:仙居县招投标中心(仙居县环城西路50号县人民政府办事大厅三楼)七、开标时间:2010年 月 日09:00八、开标地点:仙居县招投标中心九、投标保证金:投标保证金:5000元十、其他事项:投标人购买标书时
4、应提交的资料:1、供应商已在仙居县招投标中心登记备案的(获取有效的政府采购供应商登记证),凭政府采购项目报名表购买,此表可到“仙居县招投标网”首页“资料下载”中下载。2、未登记备案的供应商,可先到仙居县招投标中心办理登记备案手续,资料齐全即办。办理登记备案手续所需资料:有效的营业执照(副本)原件及复印件(加盖单位公章);有效的税务登记证(副本)原件及复印件(加盖单位公章);有效的组织机构代码证原件及复印件(加盖单位公章);单位介绍信或法人授权委托书、办理人的身份证原件及复印件;政府采购供应商申请登记表(加盖单位公章),此表可到“仙居县招投标网”首页“资料下载”中下载。联系方式采购人:仙居县国土
5、资源局联系人:王卫明联系电话:0576-87791220传真:0576-87774624采购代理机构名称:仙居县招投标中心地点:仙居县环城西路50号(县人民政府办事大厅三楼)联系人:林波联系电话:0576-87716503传真:0576-87716500第二部分 采购需求一、项目概述根据省国土资源厅2010年全省国土资源信息化工作要点(厅函2009231号)文件精神,2010年,全省国土资源信息化工作按照“突出应用、强化监管、服务民众、加强安全”的总要求,加快电子政务平台建设、突出业务系统应用与整合;完成业务内网和数据中心基础建设;推进和完善政务信息公开的集群化;完善地质灾害预警预报远程会商和
6、视频会议系统建设;健全安全管理,构建安全、稳定的信息化运行环境。省厅关于加快建设国土资源业务内网与视频会议系统的通知(厅函2009140号)文件也明确规定了县级国土资源管理部门必须在2010年6月底前完成业务内网及视频会议系统建设,确保业务内网同省厅、台州市局之间的互联互通。省厅将择机把所有系统迁移到业务内网运行,因此,我局必须进一步完善网络安全、系统安全管理措施,配备必要的软、硬件,确保网络互联互通和信息安全,为国土资源电子政务建设提供基础保障。根据省厅和台州市局的统一部署,结合我局网络建设的现状,本次业务内网及视频会议系统建设项目主要包括了业务内网建设、局域网网络安全设备建设、视频会议系统
7、建设等。项目拓扑示意图如下:本项目建设主要实现以下预期目标:(1) 建立国土资源业务内网,包括上联省厅和台州市国土资源局、下联下属各国土所,实现省、市、县、所国土资源系统之间网络的互联互通;(2) 完成视频会议系统建设,确保省、市、县之间视频会议系统的连通;(3) 通过建立数据容灾备份系统,使国土数据的安全性得到了进一步加强;(4) 建立防火墙、入侵防御、数据库日志审计、内网安全桌面管理等网络安全和管理体系,包括:检测来自内部和外部的黑客入侵行为,监视数据库系统及应用系统的运行情况,确保网络和各业务应用系统的安全和管理。二、业务内网建设开展全省国土资源业务内网和视频会议系统建设,是国土资源部主
8、干网和远程会商的重要组成部分、是金土工程二期的重要内容,也是我省国土资源业务系统运行和数据交换的主要网络载体和远程会议会商平台。我局现有网络系统无法满足当前开展全省国土资源业务内网和视频会议系统建设要求,势必增补部分设备作为承载国土资源业务系统运行和远程会议会商的平台。根据目前省厅的部署,需要在国土资源业务内网运行的主要系统有:建设用地报批系统、建设用地批后监管系统、信访系统、土地利用规划管理信息系统等。因此,仙居县国土资源局业务内网系统建设,要综合考虑网络子系统、安全子系统等系统的建设;选择现今主流的组网技术、各子系统相关设备选择能满足系统需要的主流厂商性价比较高的设备。 网络建设省厅将全省
9、国土资源业务内网拓扑分为三级结构:即省厅为中心节点、市局为汇聚节点、县(市、区)局为接入节点。此次网络建设采用专线连接,省国土资源厅与台州市国土资源局采用点对点相联、仙居县国土资源局与台州市国土资源局同样采用点对点相联。市级节点负责下属各个县(市、区)级节点的数据交互,同时是县(市、区)级节点的汇聚核心,并负责与省厅进行数据交互。县(市、区)级节点是浙江省整个国土资源业务内网的接入层,负责各个县(市、区)局国土资源系统业务的接入。根据上述业务内网的拓扑结构和线路要求,我局将通过租用电信线路(采用MSTP技术)进行组网,实现上联省厅和台州市局、下联各国土所。在业务内网建设的同时,为保证视频会议系
10、统的稳定性,满足视频会议对链路带宽的需求,将租用电信的链路分为两部分,一部分用于传输国土业务数据、满足业务应用系统的需要(设为A线路);另一部分单独用于连接视频会议系统,确保视频会议系统的稳定(设为B线路)。因此,在局业务内网入口处部署路由器一台(H3C MSR3040),用于上联台州市局,在路由器的出口处设置双进程动态路由协议(业务网OSPF 进程为20、视频会议OSPF 进程为21),并设置相应的策略,保证业务内网省、市、县三级联网只能跑A 线路,而视频会议网络省、市、区(县)三级联网只能跑B线路,不会出现线路交叉混合走的现象。为保障业务内网的网络安全,在边界网关采用UTM防火墙一台,再接
11、入IPS等一整套安全产品,保证内网安全。三、采购内容及要求序号设备数量技术指标1出口路由器1台详见技术指标(一)2UTM防火墙1台详见技术指标(二)3入侵防御系统1台详见技术指标(三)4桌面管理系统1套详见技术指标(四)5数据库日志审计系统1套详见技术指标(五)6视频会议系统网络视频终端1套详见技术指标(六)液晶显示器2台机柜1台附材1批包括整个视频会议系统的安装调试(一)所投品牌产品必须达到或优于采购人的技术参数要求,否则该投标人投标文件作无效标处理。(二)除采购文件已明确的推荐品牌外,欢迎其他能满足本项目技术需求且性能与所明确推荐品牌相当的产品参加(已指定单一品牌的产品除外)。(三)本次设
12、备安装与系统集成地点为:仙居县国土资源局。(四)产品质保、服务、培训等要求1、所投产品提供3年724小时原厂商免费上门服务;提供原厂商安装服务。2、UTM防火墙提供3年病毒库免费升级服务。3、人员培训供应商须提供不少于2人/次的技术培训,培训内容包括所采购的软、硬件设备的安装、操作、维护管理等。设备安装、调试结束后,供应商应对采购人工作人员进行操作和日常管理与维护的培训。并确保受培训人员能独立、熟练地进行操作和日常维护保养。所有培训应在项目验收合格后半年内完成。投标人在投标文件中应提出具体的培训计划(如:培训师资、教材、课程、人数、地点、日程、交通、食宿等),费用计入总报价中,不再另行支付。四
13、、设备详细技术指标(其中:“”为关键性指标,必须满足,否则做无效标处理)技术指标(一):出口路由器1台(省厅定统一品牌H3C MSR 30-40系列路由器)序号配置说明数量1H3C MSR 30-40 路由器主机(AC) 12H3C MSR30 系列主机软件费用(标准版)13光模块-SFP-GE-多模模块-(850nm,0.55km,LC) 242端口10/100/1000M Base-T电口(RJ45)模块152端口10M/100M以太网电MIM接口模块(RJ45)16存储介质-CF-1G17防病毒安全MIM接口模块18ASM 防病毒安全License 授权函费用(含一年病毒库升级服务)1技
14、术指标(二):UTM防火墙1台(推荐品牌:天融信、网神、东软)分 类指标项性能功能指标要求产品架构硬件架构采用专用的硬件架构,硬件架构采用模块化设计,便于进行接口扩展和硬件升级。具备支持大容量存储介质能力(至少250G)。操作系统专用的安全操作系统,具有自主知识产权。支持双安全操作系统技术。每个安全操作系统支持快速升级及回滚,无需重启。系统软件采用模块化结构设计,可根据需要进行选择。接口接口配置4个10/100/1000自适应电口;可拓展4个电口百兆扩展卡; 电源电源类型交流单电源尺寸硬件尺寸1U性能系统吞吐量不小于500M最大并发连接数100万(可扩展至200万)每秒新建连接数不小于2500
15、0VPN吞吐量不小于100防病毒吞吐量不小于150IPS吞吐量不小于300VSYS数2(可扩展至255)VPN隧道数100(可扩展至15000)防火墙功能工作模式支持透明工作模式,路由/NAT工作模式和基于三层交换技术的混合工作模式;接口与安全域支持至少1000个VLAN接口和基于802.1q协议的Trunk封装;支持PPPOE接口,支持自动拨号和按需拨号两种连接方式。对PPPOE连接提供高可用性支持(包括HA和冗余接口);支持以太网通道技术,通过多个接口的绑定来实现增加带宽和链路备份;支持环回接口,可以通过环回接口对设备进行管理,便于监控和调试,参与动态路由选举;支持基于二层接口和三层接口的
16、安全域划分,便于管理员进行统一的安全控制;网络服务支持DNS Client,DNS中继代理;DNS静态缓存功能,用于提供DNS加速服务;支持DHCP Client,DHCP中继代理和DHCP服务器功能,用于提供DHCP服务;Sflow技术支持基于Sflow的网络流量监控技术,可作为Sflow代理与异常流量分析设备进行联动。带宽管理支持按照虚拟系统设定带宽控制规则;支持按照接口、策略设定QoS规则,通过设定最大带宽,保证带宽,优先级和DSCP值来确保重要业务和应用不被延迟或丢弃,保证网络高效运行;对象采用面向对象技术实现IP地址对象,MAC地址对象,服务对象,协议对象和对象组,便于用户管理与维护
17、。WebAuth支持基于Web页面的用户认证功能,可以单独对认证用户设定访问策略,数据包控制细化到用户一级。策略支持根据安全域,IP地址,MAC地址,以太网帧类型,协议,端口和时间对IP数据包进行控制;支持基于域名的包过滤控制;支持长连接,可针对策略单独设置ICMP,TCP SYN,TCP FIN,TCP EST,TCP CLOSE和UDP的超时时间;支持基于IP地址和MAC地址的黑名单功能,提供临时黑名单和永久黑名单功能,通过简单有效的规则对异常地址进行控制;支持IP/MAC绑定功能;支持基于IP地址和MAC地址的信任地址功能;提供强大的策略管理功能,包括根据多种条件的策略查询功能,策略的分
18、页显示功能,策略备份功能和策略恢复功能。路由支持静态路由功能;支持多个策略路由表,以入口,TOS,源IP地址,和服务作为策略条件,用户可根据不同策略控制数据流向;支持基于路由的负载均衡技术并提供多方式链路探测功能;支持内部网关路由协议RIP和OSPF和外部网关路由协议BGP。支持CIDR,路由汇总,路由过滤,路由重发布等功能。需要提供完善的动态路由功能,可作为高端路由设备在网络中进行部署。NAT支持地址映射功能;支持一对一,多对一和多对多的源地址转换以及端口转换功能;支持一对一,一对多的目的地址转换以及端口转换功能;支持策略NAT功能,可将方向,源IP地址,目的IP地址,协议,端口和服务类型值
19、做为策略匹配条件,提供精确的地址转换服务;支持基于DNAT的负载均衡技术并提供多方式链路探测功能;支持DNS和NAT的联动;动态端口支持可针对FTP,TFTP,SIP,H.323,RTSP,Tuxedo和Oralce协议设置动态端口打开功能。攻击防御可以检测并阻止攻击者对受保护网络的探测行为,如ip address sweep,TCP SYN port scan,TCP null scan,TCP xmas scan和TCP FIN scan等;支持拒绝服务攻击防御,如SYN Cookie,WinNuke, Ping of Death,Teardrop,ICMP Flood,UDP Flood
20、,SYN Flood,Land ,SMURF ,TCP RST;支持可疑数据包检测与防御,包括:IP碎片数据包攻击,IP选项数据包攻击(记录路由选项,时间戳选项,严格源路由选项,宽松源路由选项,路由跟踪选项)等;提供策略级会话泛滥控制机制,可根据安全域,IP地址或地址段,策略类型和阈值来进行会话限制;可以检测并阻断利用TCP协议缺陷破坏网络连接和数据传输的行为,如Spoofed Reset Protection,Small PMTU,TCP Control Bits Check和TCP Data Overlap;可以防止攻击者利用ICMP协议进行的一些扫描和攻击的行为,如ICMP ISS Pi
21、nger,ICMP Nemesis v1.1 Echo,ICMP Ping NMAP,ICMP Icmpenum v1.1.1和ICMP Webtrends Scanner等;多播提供多播数据包控制技术,可根据源安全域,源IP地址,组播地址和允许安全域设定多播策略。支持针对多播数据流的带宽管理功能。支持对多播数据包进行反向路径转发检查。支持IGMP,IGMP-Snooping技术,提高多播数据包转发效率。支持距离矢量多播路由协议(DVMRP),支持PIM邻居发现功能。虚拟系统支持虚拟接口和虚拟网络功能,虚拟系统之间的通信无需借助外部设备实现;提供三层共享接口技术以解决多虚拟系统接口资源不足的问
22、题;虚拟系统可完全独立在网络中进行部署,系统资源以固定的方式进行分配;每个虚拟系统都需要支持防病毒,反垃圾邮件,URL过滤,内容过滤等应用级别的检测功能;每个虚拟系统都能作为VPN网关在网络中进行部署;HA提供增强的VRRP协议,可与支持VRRP的路由交换设备配置冗余;支持虚拟路由器探测,支持地址探测,接口状态和硬盘状态的探测功能;可实现配置的自动同步和手动同步,时钟同步和会话同步功能;同步信息支持加密与认证,心跳接口支持以太网通道技术;HA支持抢占和非抢占两种模式;支持冗余接口功能;管理功能管理接口支持通过WebUI,telnet,ssh,Console和安全集中管理平台(SCM)进行管理;
23、语言支持支持中问和英文的管理界面,用户可在进行语言切换;日志及报警策略提供Syslog,SNMP Trap,Email和本地多种报警方式;提供多种日志存储方式,本地存储(硬盘,存储卡)和网络存储机制;SNMP支持SNMPv1,v2c和v3;支持通过SNMP用户进行认证,支持认证加密和数据传输加密功能;用户认证支持管理用户,网络用户和SCM用户的本地认证和RADIUS认证功能;支持OTP认证机制;支持智能卡和生物识别进行认证;系统管理与维护支持系统整机和单个虚拟系统的备份与恢复;提供多种系统升级方式,如Web界面,Console和安全集中管理平台统一升级;配置向导提供虚拟系统,HA和VPN等复杂
24、功能的配置向导,可以协助用户完成复杂功能的配置;一键式技术支持提供一键式技术支持功能,快速收集所需信息,便于设备的管理和维护;监控功能提供仪表盘功能,可实现对接口,拓扑结构,接口流量,路由等信息的监控;提供系统资源利用监控功能,可实时查看CPU和内存占用率,磁盘占用率,进程和资源利用率等信息;虚拟专用网VPN支持自动密钥和手动密钥的隧道,可以实现动态的IKE协商;可以支持多种方式的认证(与共享密钥,证书,Xauth-psk和Xauth-x.509等);支持证书管理功能(添加删除证书和CRL),支持SCEP和OCSP协议;支持失效对端检测,防重放攻击,完美前向保护,可通过VPN隧道对防火墙进行管
25、理;支持3DES(168 位)和AES 加密,MD-5 和SHA-1 验证,手工密钥,IKE,PKI (X.509);支持IPSec 双向NAT 穿越,L2TP over IPsec;支持透明模式VPN,链式VPN,嵌套VPN,远程接入VPN,冗余 VPN 网关,基于域名的动态VPN;支持VPN隧道冗余功能;支持每个虚拟系统都可以作为VPN网关在网络中进行部署;防病毒文件类型控制支持对特定文件类型定义防病毒动作(阻断,扫描和放行);支持对未识别类型文件定义防病毒动作;支持基于魔法数的文件类型特征识别功能;ICAP支持ICAP协议,可以通过配置ICAP服务器实现外部病毒扫描。支持协议SMTP,P
26、OP3,IMAP,FTP和HTTP;病毒样本数量不小于100万病毒库升级提供实时的病毒库升级功能,支持自动和手动两种升级方式确保对所保护网络的最大即时保护。本次配置三年病毒库升级服务病毒文件记录提供扫描结果列表,用户可查询病毒文件的详细信息及设备处理动作;防病毒引擎保护提供防病毒引擎过载保护功能,防止杀毒引擎超负荷时而引起的网络访问缓慢或网络中断;反垃圾邮件允许列表支持基于IP地址和发件人的允许列表;阻断列表支持基于IP地址和发件人的阻断列表;关键字过滤支持基于邮件主题和内容的关键字过滤;反垃圾邮件引擎提供基于IP信誉值和邮件内容的垃圾邮件过滤机制;垃圾邮件文件记录提供反垃圾邮件扫描结果列表,
27、用户可查询反垃圾邮件引擎检测出的垃圾邮件的详细信息及设备处理动作;IPS攻击签名支持根据攻击特征进行的攻击检测技术,对于攻击特征进行有效分类和组织便于用户管理和维护;内置IPS特征库,特征规则数量超过2,000条;信息泄露可以有效防止通讯过程中泄露服务器的敏感信息,如探测服务器类型,隐藏Web错误信息和防止Web服务器的目录检测等行为;至少支持SMTP,POP3,IMAP和HTTP协议;协议限制支持对SMTP,POP3,IMAP,DNS和HTTP应用级别的协议限制和协议异常检测;支持对传输层级别的协议限制和协议异常检测,如TCP;协议限制需提供预定义高,中,低三级的缺省设置以满足用户不同级别的
28、安全需求,并提供自定义选项;内容过滤可针对HTTP协议进行内容过滤,如HTTP头过滤,页面内容过滤;可检测并阻断一些注入攻击,如跨站脚本攻击,LDAP注入,SQL注入和命令注入;可对SMTP,POP3和IMAP协议进行用户定义命令检测和阻断;提供DNS域名黑名单功能,可对黑名单中的域名解析请求进行阻断;支持DNS缓存中毒防御,支持不规则化检测,外部请求限制和不匹配应答限制功能;可根据不同的终端类型,对telnet进行命令限制,阻止带有攻击特征或有风险的命令和参数;上网行为管理IM应用管理支持对于ICQ, IRC, MSN Messenger, QQ,Yahoo!Messenger等协议的特征识
29、别和端口识别,并对以上应用进行阻断。P2P应用管理支持对于BitTorrent,DC,eMule,Gnutella 和 KaZaA等协议的特征识别和端口识别,并对以上应用进行阻断。MSN应用管理支持对MSN流量进行监测,可以对文件传输,白板,应用共享,远程协助和视频音频进行阻断;URL过滤支持用户自定义URL黑白名单功能,支持URL黑白名单的备份与恢复。URL库中存储超过1亿条URL记录且根据网站类型进行分类。支持基于分类的URL过滤,用户可以自定义对于广告、求职、宗教、色情、政治、社交、购物等几十种不同内容类别的URL采用不同的动作(如对于新闻媒体类网站设置为允许,如;对于购物类网站设置为阻
30、止,如);可以对于URL库中未记录的URL设置缺省动作(允许或拒绝);安全集中管理平台管理功能支持对多台设备进行集中管理,策略下发,集中升级等功能。提供用户和角色的管理功能,支持角色自定义和功能权限分配。支持对系统信息和日志信息的自动备份和手动备份功能;支持定时和定量两种备份模式;备份信息需要通过安全的协议进行传输。提供对设备单一管理和分组管理功能,可以对物理设备,虚拟设备和集群设备进行集中管理;支持对设备License的上传下载功能;审计支持对多台防火墙的日志进行集中审计;提供日志检索,过滤和合并等功能便于用户对日志进行管理;支持日志信息的导出备份,支持多种文件格式(至少包括xls,pdf和
31、html格式)和离线浏览功能。提供多种日志属性信息,日志属性信息显示可由用户进行定制显示;提供日志详细信息的浏览功能。支持用户自定义命令功能,可针对日志中参数执行命令相应动作。监控支持对安全设备的数据进行集中收集和实时监控;支持对网关状态进行实时监控,包括设备硬件信息,系统软件信息,CPU和内存使用率以及系统资源占用率等;提供对防火墙流量信息的实时监控功能,支持按照服务,接口,源目IP地址等进行TopN排行;支持对会话信息,VPN隧道信息,策略匹配情况,虚拟系统和安全域等信息进行查看;支持对数据包大小分布状况进行统计;提供计数器及历史计数功能,可以对系统状态,流量,VPN,攻击防御,防病毒和反
32、垃圾邮件等信息进行计数并提供最近一天,一周,一月一年的计数信息查询。支持以图表的方式显示监控和计数信息,提供线性图,柱状图,饼状图等多种图表并支持实时监控信息以多种文件格式导出;提供对VPN隧道状态的监控功能,支持查看所有远程用户的连接状态信息;提供VPN隧道重置功能;支持图形化会话跟踪动画显示功能;支持对ARP表,CAM表,HA状态,接口状态,路由表和会话表等信息的实时监控并提供信息多种格式导出功能。报表提供网络安全,网络活动,VPN,系统信息和反病毒等多种报表类型,每种报表类型中提供不同功能的报表模板;系统提供预定义报表模板,同时支持自定义报表功能;预定义模板类型至少包括:防火墙活动报表,
33、SYN攻击报表,防火墙流量报表,阻断连接报表,应用保护统计报表,TCP顺序验证报表,Small PMTU攻击报表,HTTP异常流量检测报表,持网络活动报表,协议使用报表,FTP应用报表,VPN活动报表,VPN隧道报表,远程VPN用户活动报表,系统信息报表和病毒报表等。生成报表可通过多方式传输,支持email,FTP,SFTP和Web上传;支持设定计划任务,定时自动生成报表;服 务制造商在全国主要城市均设有分支机构或办事处(服务网点分布广)服务体系完善,售后服务承诺,实施方案全面;提供7*24小时技术支持服务;产品资质要求信息安全产品强制性认证计算机信息系统安全专用产品销售许可证涉密信息系统产品
34、检测证书国家信息安全认证产品认证证书EAL3级别)计算机软件著作权登记证书(具备国内自主知识产权)(提供相关证书复印件)厂商资质要求产品的制造商注册资金在5000万人民币及以上;计算机信息系统集成企业资质证书(一级)涉及国家机密的计算机信息系统集成资质证书(甲级)国家信息安全测评信息安全服务资质证书(二级)国家信息安全测评授权培训机构资质证书(提供相关证书复印件)其它要求在投标时必须提供原厂商针对本项目的三年免费服务承诺函原件。技术指标(三): 入侵防御系统1台(推荐品牌:H3C、华为、绿盟)指标项性能功能指标要求基本硬件配置要求1)IPS设备基于多核硬件平台,非X86硬件平台,需提供多核CP
35、U名称和型号。2)IPS设备提供不少于6个千兆电口。3)IPS设备提供独立的管理网口,实现安全的带外管理,且管理网口必须为10/100M/1000M自适应以太电口。4)IPS入侵防御系统可安装于19英寸标准机架。入侵防御功能指标要求1)支持深入七层的分析检测技术,能检测防范的攻击类型包括:蠕虫/病毒、木马、后门、DoS/DDoS攻击、探测/扫描、间谍软件、网络钓鱼、利用漏洞的攻击、SQL注入攻击、缓冲区溢出攻击、协议异常、IDS/IPS逃逸攻击等。2)支持P2P、IM、视频等网络滥用协议的检测识别,支持的网络滥用协议至少包括迅雷、BT、eDonkey/eMule、Kugoo下载协议、多进程下载
36、协议(网络快车、网络蚂蚁)等P2P应用, MSN、QQ、ICQ等IM应用, PPLive、PPStream、HTTP下载视频文件、沸点电视、QQLive等网络视频应用;可在识别的基础上对这些应用流量进行阻断或限流。3)支持专业防病毒功能,集成第三方专业防病毒厂商的专业病毒库,提供针对IPS产品的与专业防病毒厂商的合作证明。4)支持URL过滤功能,可以自定义需要过滤的URL规则,URL过滤可以基于时间、主机,能够精细到单一IP地址。5)支持IP 碎片重组、TCP 流重组、会话状态跟踪、应用层协议解码等数据流处理方式。6)采用全面深入的分析检测技术,结合模式特征匹配、协议异常检测、流量异常检测、事
37、件关联等多种技术,能识别运行在非标准端口上的协议,准确检测入侵行为。7)IPS检测到攻击报文或攻击流量后,支持阻断、限流、捕获原始报文等常规响应方式。8)IPS检测到攻击报文或攻击流量后,支持隔离、Web重定向等响应方式,以实现第一时间隔离有安全威胁的主机,需提供配置界面截图。9)IPS检测到网络滥用流量后,支持阻断、限流的响应方式。10)IPS支持对不同的网段运用不同的入侵防御策略11)IPS可以针对不同的IP或IP网段应用不同的网络滥用带宽控制策略。12)IPS可以针对不同的时间段应用不同的网络滥用带宽控制策略。13)可以识别并检测802.1Q、MPLS、QinQ、GRE等特殊封装的网络报
38、文。14)支持特征库的手动、自动升级,特征库升级后设备无须重启即可生效。15)攻击特征库数量2500+16)病毒特征库数量8000+17)支持的协议识别数量800+IPS设备管理功能指标要求1)IPS支持基于Web的图形化管理方式,支持HTTP、HTTPS登录Web图形管理系统进行管理。2)不需要部署额外的管理系统,通过基于Web的图形化管理方式,即可用普通浏览器登录IPS设备实现完备的单机的设备管理、特征库自动升级、安全策略管理、攻击事件统计分析功能,从而简化单台或少数几台部署时的部署成本和维护成本。3)对多台分布式部署的场景,提供管理软件实现对多台分布式部署的IPS设备进行集中管理。4)I
39、PS的单机管理系统、集中管理系统均支持中文管理界面。5)支持基于串口、SSH、Telnet的命令行管理界面。6)提供全面的系统日志、审计日志功能,日志可导出。7)支持实时的攻击事件归并功能,有效避免事件风暴。8)支持攻击事件的Email告警功能。9)支持攻击事件的Syslog发送接口。10)支持攻击事件统计分析,并可生成图形化的报表,报表可导出到本地。11)内置缺省使能的IPS检测策略,支持策略自定制能力。12)支持细粒度的特征规则设置,可以为单条不同的特征规则设置不同响应方式,包括告警、阻断、隔离、限流、重定向等。13)支持攻击特征库的手动、自动升级,提供管理界面截图。14)支持独立的病毒特
40、征库(有别于攻击特征库)的手动、自动升级,提供管理界面截图。IPS设备高可靠性和自身安全性指标要求1)支持接口同步功能,当IPS的一个接口对上的其中一个接口Down掉时,对应的另一个接口也会自动Down掉。2)支持二层回退功能,当检测引擎在极端情况下失效时,设备可回退到二层模式,保证网络连通。3)支持掉电保护功能,保证设备掉电时,通过掉电保护功能可保证网络连通。4)支持重启时的保护功能,在设备重启时,仍可通过掉电保护装置保证网络连通。5)为确保可靠性,掉电保护装置必须是一个无源设备,提供介绍掉电保护机制的白皮书。6)为确保可靠性,IPS设备的存储介质必须不能是机械式硬盘。7)IPS设备提供独立
41、的管理网口,实现安全的带外管理,且管理网口必须为10/100M/1000M自适应以太电口。IPS设备组网部署指标要求1)支持在线(in-line)部署方式。2)在线部署,支持透明接入,设备在网络路径上无IP、无MAC,实现网络不可见。3)支持旁路部署模式(IDS模式)。4)IPS设备同时支持在线(in-line)部署方式和旁路部署模式,即两种模式可以同时工作。IPS设备性能指标要求1)开启IPS策略后的吞吐量 200M bps2)并发连接数 50万3)新建连接数 5万4)数据处理时延 200us资质要求1)具有中华人民共和国公安部的计算机信息系统安全专用产品销售许可证,要求销售许可证上的产品名
42、称为必须为入侵防御系统或入侵抵御系统(其他UTM类、IDS类、安全网关类的销售许可证无效)。2)具有国家信息安全评测中心认证。3)具有入侵抵御系统软件知识产权证书。4)必须具有环保标准认证证书。5)必须具有安规、电磁兼容标准认证证书。6)提供相同品牌IPS型号的权威媒体的测试报告和报告所在的链接。(提供相关证书复印件)其它要求在投标时必须提供原厂商针对本项目的三年免费服务承诺函原件。技术指标(四): 桌面管理系统套(推荐品牌:Landesk、莱恩塞克、网神)指标项性能功能指标要求非法内联对网络中所有终端进行授权认证,发现未经授权的终端接入行为应能及时发现并阻止其接入网络,支持交换机基于802.
43、1X的Radius认证、终端IP通讯加密及探针阻断多种方式相结合。健康状态检查:包括补丁、防病毒和进程,可以根据健康检查结果(通过补丁更新状态、防病毒软件的运行和病毒库更新状态、以及进程黑/白/红名单控制状态)决定是否允许计算机接入网络;健康检查失败后的处理:对未达到健康标准的代理主机,至少提供三种处理方式:忽略健康状态检查结果、划入修复区、拒绝认证;进入修复区提示:包括弹出本地消息和自动打开浏览器,通过本地消息或指定的URL告知代理端健康状态;对第三方radius认证服务器的支持,至少支持微软的IAS,思科的ACS。非法外联要求能够对终端计算机的非法外联行为进行控制,实时检测内网用户通过调制
44、解调器、ADSL、无线网卡等设备进行拨号,当有拨号行为后,系统自动报警并进行阻断。支持自动发现多网卡行为,可以根据策略进行断网。地址绑定要求支持对终端计算机MAC、IP地址、主机名、网关地址、网络掩码、DNS地址及IP地址获取方式(静态、DHCP)绑定。任何一个参数发生改变,系统将自动报警,报警后自动恢复原有配置,管理员可以批量修改终端的网络掩码、网关地址及DNS。共享管理支持检查终端计算机共享文件夹功能,可以禁止使用默认共享和用户自建共享文件夹,可强制终端用户以只读方式进行共享,并可自动将策略下发之前的可写共享强制为只读共享。外设管理要求对外接设备进行控制,控制外设接口的使用,启用或禁用软驱
45、、光驱、U盘、USB接口、打印机、PCMCIA设备、智能卡设备、Model、串口、并口、1394接口、红外接口、蓝牙设备、无线网卡、冗余网卡、CD-RW刻录机等,并且可设置设备操作权限。要求能够对设备的使用权限进行管理,只有在管理员许可的情况下,才可以对设备的使用进行操作。防病毒软件监控要求能够对当前主流防病毒软件(至少10种)的安装和运行进行监控,并且可以对防病毒软件的病毒库更新状况监控,根据策略对不更新病毒库的终端计算机进行报警、本地提示、阻断网络以及关机等多种处理方式。进程管理要求采用进程、服务黑、白、红名单方式对终端计算机进行管理,黑名单:禁止在计算机上运行黑名单中定义的进程和服务,白名单:只允许运行系统及白名单中所定义的进程和服务,红名单:如果不运行进程红名单的进程、服务将进行隔离处理(断网保护、关机)。性能监控要求对主机的性能进行监控,包括CPU、内存、磁盘和网络流量等。可以设置阈值,当上述资源超过设定阈值后,应支持系统报警和关机等多种处理方式。移动存储管理要求对全网使用的移动存储介质做统一管理,禁止未经过注册的移动存储设备在内网中使用。要求能够支持移动存储设备在线认证和本地认证两种方式。能够支持对移动存储数据的使用次数和使用时间进行控制,超过使用次数后,或
