四家单位信息安全等级保护设备采购技术要求模板.docx

1、四家单位信息安全等级保护设备采购技术要求模板四家单位信息安全等级保护设备采购技术要求品目一 1、IPS入侵防御系统性能及配置要求（数量1套）主机相当于推荐品牌：XXX XX XXX指标项指标要求设备基本要求硬件和软件保障采用基于多核处理器硬件平台，支持硬件模块化设计，可实现现场硬件端口扩展,无需返厂；采用软件模块化设计，可实现功能模块的现场升级；采用完全自主版权的操作系统，具备操作系统著作权证书，可提供相关证书；提供主、备双操作系统，提高设备自身可靠性和网络的可用性；端口数量和扩展能力标配4个 10/100/1000BASE-TX端口；4个Bypass功能口和1个扩展插槽位；最大配置为10个接

2、口； 攻击规则库支持2500条以上的攻击事件,600条以上的防蠕虫攻击规则性能参数最大并发连接数800000，IPS性能1GMbps功能要求网络适应性网络接入透明，路由，虚拟线，IDS监听，混合；端口工作模式可进行灵活的配置路由支持源、目的地址的静态路由，支持基于源、目的地址、源、目的端口和协议策略路由;支持Vlan路由，能够在不同的VLAN虚接口间实现路由功能；二层协议支持802.1Q VLAN、支持 CISCO ISL字段的解读;支持支持PVST和CST 等生成树协议 防火墙功能访问控制基于状态检测的动态包过滤；基于源/目的IP地址、端口、协议、时间的访问控制；支持IP/MAC自动收集和绑

3、定；NAT支持双向NAT、动态地址转换和静态地址转换；支持协议包括H.323、SIP、FTP、RTSP、SQLNET、MMS、RPC、TFTP、PPTP等。入侵防御功能引擎支持基于源、目的、规则集、动作的入侵防御规则；木马(Trojan)具备丰富的木马特征库，能识别包括灰鸽子、PCShare、Gh0st、上兴、Byshell、Npch、Downloader等多种热点木马及其变种，以及识别多种网页挂马攻击；RPC能对当前主流的RPC漏洞攻击做检测和阻断，例如：RPC 0x82-dcomrpc_usermgret、RPC Immunity_svchostkill等；系统漏洞支持识别针对FTP、Ne

4、tbios、IMAP、Samba等应用安全漏洞的攻击；拒绝服务(DOS/DDOS)能对当前主流的拒绝服务做检测和阻断，例如：WinNUKE攻击、UDP Flooding、SYN Flooding等；溢出(bufferoverflow)支持识别多种IIS、Apache、RPC、Oracle、SQL等应用系统类溢出攻击；HTTP能对当前主流的HTTP类攻击做检测和阻断，例如：HTTP Apache 批处理文件漏洞、Apache2.0.39及以前版本存在目录遍历漏洞、Cart32 管理员口令泄露漏洞等；自定义攻击可根据用户需求自行设置攻击规则，能对有害攻击行为做检测和阻断。默认系统规则预置系统规则集

5、包含认证类、木马类、拒绝服务类、即时通讯类、p2p类、溢出攻击类、扫描类、系统漏洞类、webcgi类、蠕虫类、游戏类、HTTP攻击类、RPC攻击类、高风险类、中风险类、低风险类等事件类；DDOS防御非法报文攻击：land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof；统计型报文攻击：Synflood、Icmpflood、Udpflood、Portscan、ipsweep；支持主机连接数和半连接数的限制；动作支持阻断drop，报警Alert，TCP Reset，日志Log，记录报文，防火墙联动以及支持自

6、定义组合动作。应用监控跟踪控制P2P应用支持识别BT、迅雷、Napster、Popo、Kazaa等P2P类应用；IM支持识别QQ、MSN、ICQ、UC以及Google Talk等IM类应用；可根据QQ和MSN帐户进行控制；游戏支持识别魔兽世界、征途、劲舞团、跑跑卡丁车、梦幻西游以及QQ游戏等网络游戏；异常流量能对设备的异常流量进行分析、阻断。可扩展性和高可用性扩展功能支持对AV、VPN等功能模块的扩展； 双机热备支持双机热备（Active-Active模式）；支持连接同步；Bypass支持光电接口的硬件ByPass功能和软件的ByPass功能，保障业务的可持续运行；系统维护功能管理方式支持本地

7、和远程的各种管理方式，如WEB、TELNET、SSH以及SSL等；SNMP支持SNMP 的v1 、v2 、v2c 、v3 版本；监控和报警支持WEB页面上显示历史CPU、内存、会话数和接口流量的矩阵图； 支持邮件、SNMP、控制台等多种组合报警方式；日志存储和输出支持Welf、Syslog等多种日志格式的输出；设备本身可支持大于500G的存储空间； 维护支持WEB页面上的调试功能，可支持PING、Traceroute和TCPDUMP等；支持TFTP、FTP、HTTP方式升级；支持配置文件的下载和恢复功能；规则库维护具有独立应用程序识别库和攻击检测规则库；支持自定义规则库导入、导出；支持系统规则

8、库手动、自动升级；报表WEB页面具有独立应用程序和入侵防御的中文事件报表；Webui支持实时显示按发生次数累计的攻击事件排名；支持Top10攻击者、Top10被攻击者、Top10事件统计报表；支持按时间统计的IPS流量报表；支持选定时间、网络攻击分类的统计报表；支持日报、周报、月报、季报等统计报表；支持报表输出，输出格式可以为PDF、DOC、HTML格式；资质及服务要求产品资质具有公安部颁发的计算机信息系统安全专用产品销售许可证；具有中国国家保密局测评中心颁发的涉密信息系统产品检测证书；具有IPv6产品测试认证具有ISCCC产品认证证书具有国家信息安全测评中心的EAL3等级认证证书；国家版权局

9、颁发的入侵防御系统计算机软件著作权登记证书;国家版权局颁发的专用安全操作系统计算机软件著作权登记证书;具有入侵防御系统的CVE认证证书投标时需提供以上资质证书复印件，并加盖原厂商公章；公司资质和服务信息安全管理体系27001认证原厂商具备信息安全服务二级资质；CMMI 2级厂家具有国家级一级应急处理服务资质支撑单位；必须在宁波 (或杭州)有注册的分公司，可以提供本地原厂紧急响应服务，响应时间小于2小时，分公司有技术人员15人以上，且必须具有至少5人具备CISP（注册信息安全工程师）或BS7799认证工程师资格（以宁波 (或XX市)本地社保为凭证）；保修服务及授权3年原厂商免费上门技术服务，投标

10、时出具原厂商3年免费软件升级和免费硬件售后服务承诺函，和原厂商针对此项目的授权书2、网络VPN远程登陆系统系统性能及配置要求（数量1套）主机相当于推荐品牌：深信服、冰峰科技、XXX指标项指标要求硬件特性要求VPN安全网关系IPSec VPN和SSL VPN二合一安全网关，同时支持IPSec VPN和SSLVPN两种VPN协议SSL VPN可支持加密速度=100MbpsSSL VPN可支持并发用户数=300，本项目采购100个并发用户许可SSL VPN每秒新建用户数=60IPSec VPN可支持加密速度=75MbpsIPSec VPN可支持隧道数=3,000防火墙吞吐量=150Mbps并发会话数

11、=350,000网络接口4个千兆电口尺寸标准机架式支持完整性支持对基于TCP、UDP、ICMP的所有B/S、C/S应用系统的支持，例如视频、语音、Ping等服务；支持Web参数修正，可针对Flash、Java、Applet、视频等对象进行修正，无需安装插件访问B/S应用；支持包括Win7、Mac、Linux等操作系统，使用Firefox、Safari、Google Chrome、Opera浏览器来登录SSLVPN系统，并完整支持该操作系统下的各种IP层以上的B/S和C/S应用；(提供证明并加盖公章)支持Windows Mobile、IPhone OS、Symbian、Android操作系统的智

12、能手机、PDA等移动终端的SSL VPN接入支持对移动终端平台Andriod、IOS开发APP程序，为保障APP接入安全性，可提供与SSL VPN结合的软件开发工具包SDK产品应支持主流的商业加密算法，包括：AES、DES、3DES、DH、RSA、RC4、MD5、SHA1等，并支持加载扩展SM1等其他安全算法模块。易用性为减少管理人员的维护工作量，实现设备的最大利用率，要求投标产品支持虚拟站点功能，即一台设备可虚拟成多台设备，分别使用不同的IP地址和页面进行登录，各虚拟设备之间的用户、资源相互独立。每一台虚拟设备都支持独立的管理员进行管理。支持远程应用发布功能：只传输鼠标、键盘操作和显示数据，

13、无需安装客户端即可支持C/S模式软件系统的远程使用。支持客户端、服务端权限细化控制、远程存储，支持虚拟打印机、本地输入法映射；支持远程应用单点登录。支持Web文件共享功能，用户登录SSL VPN后无需安装插件即可使用，进行文件打包下载、上传、删除、重命名、剪切、复制、粘贴、新建文件夹等常用文件操作 为减少用户每次使用业务系统所需录入用户名密码的次数，本次招标产品需支持单点登录功能（SSO）,支持移动用户登录VPN后再登录内部B/S、C/S应用系统时不需要二次重复认证。支持针对B/S单点登录用户名密码加密传输，保证安全；支持智能手机等移动终端的B/S单点登录；支持针对不同的访问资源设定不同的SS

14、O用户名和密码，支持用户自行修改SSO账号。 为方便用户使用，本次招标产品需提供一定技术，防止用户误操作关闭IE浏览器导致VPN隧道断开，如：用户误操作时，将IE最小化到系统托盘或悬浮窗口。（提供产品配置界面证明）。支持用户自行设置SSL VPN开机自登录、桌面快捷方式，避免SSLVPN登录的繁琐；支持SSLVPN C/S客户端方式启动，SSLVPN登录过程脱离浏览器。支持智能递推技术，针对多外链的业务系统进行动态嗅探页面内的链接并完成资源自动授权，防止资源漏访（提供产品配置界面证明）安全性为保障访问我单位业务系统时的安全性，要求设备支持安全桌面功能，强制受保护的指定资源仅可在安全桌面下使用；

15、安全桌面下默认仅可与SSLVPN通信，断开接入网的外联连接；在安全桌面内默认禁止外网和本地局域网通讯，禁止和本机默认桌面的通信，防止使用包括USB口设备、打印机等外设的信息外泄。退出安全桌面后清除安全桌面内一切操作和遗留的痕迹，保证重要应用使用的安全性。安全桌面根据用户需要自行配置按用户组、单独用户启用；可配置安全桌面下可访问的指定网段；可配置允许使用COM端口、允许使用打印机、允许与切换到默认桌面、允许本地通信；支持更换安全桌面壁纸、文件明文导出及审计、数据加密保存、离线访问等功能。（提供产品配置界面证明）为确保远程客户端用户接入单位内网时不会将当前网上的各种威胁，如病毒、木马、黑客攻击等引

16、入内网，要求本次招标产品支持用户登陆前和登陆后的客户端安全性检测，检测范围包括：进程、文件、注册表、操作系统等，可以根据检测出来的安全级别不同给予不同的访问资源控制。（提供产品配置界面证明）为保障我单位内务业务系统的账号安全，要求SSL VPN账号能够与业务系统账号进行一一绑定，防止业务系统账号的冒用。（提供自主知识产权或者专利申请受理证明）为了确保用户接入的安全性，要求产品支持和浙江省CA中心电子签名结合，支持USB Key、 Secure ID(动态令牌认证) 、短信等多种认证方式，并支持最多五种认证方式的“与”组合认证。为满足不同级别用户的不同安全级别需求，要求支持客户端主机硬件特征码认

17、证，通过获取客户端的硬件信息生成HARDCA证书，实现HARDCA证书和用户账户的绑定，实现接入终端的唯一性控制。为确保后续VPN用户认证能够和用户原有系统结合，要求本次招标产品支持LDAP(MS/OPEN/SUN)/AD， Radius等第三方认证。并要求支持支持多级分级管理，各级管理员均可以配置其可管理的模块，资源，用户及角色。扩展性为保证本次采购的设备性能的可扩展性，要求设备支持双机热备、多机非对称集群等部署方式。（例如设备支持3000并发用户，如今后增加到5000并发用户,则仅需要购买一台支持2000并发用户的设备，与原设备组成非对称集群即可，两台设备必须同时激活。）日志管理为帮助我单

18、位更好的管理VPN接入用户，要求设备支持外置独立日志中心进行SSLVPN实时日志记录，可详细记录用户访问资源记录（用户、主机IP、资源、时间）、管理员日志（管理员、主机IP、时间、管理行为、对象）、系统日志、告警日志；可根据用户名、主机IP等信息进行用户行为查询；可提供用户组/用户流量排行及查询、资源流量排行及查询、资源活跃程度、用户活跃程度等记录；提供暴破登录记录；可提供用户登陆SSLVPN采用非绑定账号访问应用系统的记录防火墙为加强接入设备的安全性，产品应具备基于状态监测技术的防火墙功能，能够抵抗常见的网络攻击，能够进行包过滤或ACL控制（访问控制）。对防火墙的过滤规则能够进行虚拟测试，避

19、免人为配置错误；支持防DOS攻击（提供产品配置界面证明）资质要求提供原厂商售后服务体系ISO9001认证证书；原厂商研发体系通过CMMI 3认证；提供中华人民共和国公安部颁发的计算机信息系统安全专用产品销售许可证；提供公安部信息安全产品检测中心颁发的GA/T 686-2007信息安全技术 虚拟专用网安全技术要求三级或三级以上检测报告（三级以上为四级、五级）；设备生产厂商需为国家密码管理局发布的SSL VPN技术规范起草单位之一；设备生产厂商需为国家密码管理局发布的IPSec VPN技术规范起草单位之一；设备生产厂商具有国家密码管理局颁发的商用密码产品生产定点单位证书；设备生产厂商具有国家密码管

20、理局颁发的商用密码产品销售许可证SSLVPN及IPSec VPN均具有国家密码管理局颁发的商用密码产品型号证书；提供SSL VPN必须在中国国内市场占有率为前三名，保障为市场成熟主流产品（提供权威的第三方机构数据证明）。原厂商在浙江区域设有直属办事处等服务机构，以便于为客户提供完善、及时的售后服务。投标时需提供以上资质证书复印件，并加盖原厂商公章；售后服务支持投标时出具原厂商3年免费软件升级和免费硬件售后服务承诺函，和原厂商针对此项目的授权书，产品的安装、培训由原厂工程师完成实施。3、综合审计系统性能及配置要求（数量1套）主机相当于推荐品牌：安恒 思福迪 XXX指标项指标要求系统架构产品结构：

21、要求为一个完整的软硬件一体化的日志审计系统；无需用户另行提供服务器、操作系统、数据库、防火墙软件、及用户手动升级系统补丁；系统盘与数据盘分离，且系统盘为只读，系统盘存储介质要求为DOM盘或CF卡；（提供设备内部照片，原厂盖章）同时系统盘必需加密；日志生命周期管理：包括日志采集、审计分析、存储备份功能。管理方式：管理界面采用BS架构的中文界面以便于管理，系统支持多种身份管理，相应权限的用户只能查看、管理相应的系统功能；支持第三方动态口令的认证（原厂商出据的证明盖章）一台审计主机平台至少提供2个及以上千兆电口系统功能数据库审计支持数据操作行为日志(Orale8i、9i、10g、11g，SQL-SE

22、RVER2000、2003，MYSQL、Informix、SyBase)；旁路部署方式，不需要更改现有网络结构，产品运行不得影响现有网络和业务的正常运行。系统完成审计数据采集，采集数据库自身所有日志以及数据库网络协议数据，不在现有服务器上安装可能带来风险的程序；对各种访问数据的途径（如客户端软件、PL/SQL、SQL*Plus、PB、Toad等各种SQL操作工具）进行记录；系统应能支持对数据库会话的完整审计，可以完整分析出每条数据库会话的会话源IP，源MAC，源Port，目标IP，目标MAC，目标Port，会话起止时间，程序名、数据库用户名、数据库名等会话内容；系统应能支持对数据库SQL操作语

23、句的详细审计，可以分析出每条语句的操作方式、表名、存储过程名，执行时长、操作成功/失败，受影响行数等字段信息，可审计并还原SQL操作语句；系统应能对自身的事件（包括登录、系统参数修改、系统异常等）进行审计，可以审计用户对数据库中的数据库表 、视图、序列、包、存储过程、函数、库、索引、同义词、快照、触发器等的创建、修改和删除等，分析的内容可以精确到SQL操作语句一级；应用（中间件）审计支持所有应用（中间件）日志采集。如IIS、APACHE、WEBlogic等;特殊日志格式支持页面自定义配置，无需二次开发。旁路部署方式，不需要更改现有网络结构，产品运行不得影响现有网络和业务的正常运行。系统完成审计

24、数据采集，采集数据库自身所有日志，不在现有服务器上安装可能带来风险的程序；日志信息必需标准化入库记录。应具有如下重要字段：发生时间、发生地址(IP)、访问资源、访问结果，访问客户端等。主机（操作系统）审计支持所有操作系统日显示屏 。如MicSoft windows2000、XP、2003、Vista，HP UNIX、IBM AIX、SUN Solari所有日志标准化。应具有如下重要字段：工具、等级、消息。如有数字内容必需转义为中文。工具、等级必需转义为中文。设备审计支持网络系统运行状态日志(主流安全产品防火墙Juniper、NETSCREEN、Checkpoint、XXX、东方龙马、东软、H3

25、C等，IPS/IDS启明星辰、XX，防毒墙趋势、FortiGate、UTMFortinait、启明星辰；网络设备交换机和路由器Cisco、H3C、HUAWEI；所有日志标准化。应具有如下重要字段：工具、等级、消息。如有数字内容必需转义为中文。工具、等级必需转义为中文。安全设备中的消息字段必需进行二次标准化。应具有以下字段：ID、源（IP、MAC、端口）地址、目标（IP、MAC、端口）地址、日志类型等存储要求所供系统设备必须自带本地存储功能；存储系统为自主研发文件系统，须提供计算机软件产品著作权登记证书（考虑数据索引的重要性，占有不考虑使用传统关系型数据库）审计主机物理磁盘空间=300GB；日志

26、存储量至少300000000条(三亿条)；（指标以原厂公开资料为准）日志存储周期三个月以上；RAID1架构以保证数据可靠性（指标以原厂公开资料为准）;基本功能实时功能实时窗口支持自定义布局，多种日志类型分子窗口实时滚动显示；实时滚动显示的明细日志可自定义显示日志字段；审计分析报告系统默认报告数量不少于百种；以图(柱、曲线、饼等)，统计、明细数据的方式表现；支持导出html、Excel、PDF；报告名称以树型菜单统一高效管理；查询检索日志数据全字段检索至少满足500万条5秒；支持多条件组合查询方式；支持多日志类型同时查询，以日志类型分别显示；支持日志字段自定义选择显示；分析规则默认规则库数量至少

27、500条；支持自定义规则；规则告警支持屏幕、邮件、短信方式；规则条件支持多条件组合方式；备份归档支持日志属性(原始日志、重要日志、告警日志)、日志类型、存储周期的方式选择备份；支持日志恢复导入系统管理支持审计系统帐号、组管理（添加、修改、删除）；支持资产管理，即所有采集日志源管理维护；系统安全系统自身安全系统内置安全防火墙；支持控制访问审计主机范围；必需提供内部通讯检查机制，传输128加密；日志数据安全审计日志文件方式存储；审计日志加密导出审计系统；日志权限审计员只限于操作权限设置范围内的日志数据，无权限日志数据透明系统升级及二次开发在设备维保期内，厂家提供对系统软件的免费升级服务，保证系统软

28、件为最新版本。根据用户需求定制开发相关内容，包括报表和报表日志的查询等功能。其它永久许可方式，再增加审计用户的情况下不用增加授权许可。资质要求提供计算机信息系统安全专用产品销售许可证三年以上；通过国家信息安全产品强制认证（增强型认证）；提供通过国家保密局涉密信息系统认证三年以上；提供产品计算机软件著作权登记证书提供高性能日志及行为审计分析系统专利证书投标时需提供以上资质证书复印件，并加盖原厂商公章；售后服务支持投标时出具原厂商3年免费软件升级和免费硬件售后服务承诺函，和原厂商针对此项目的授权书，产品的安装、培训由原厂工程师完成实施。4、漏洞扫描技术服务要求（1年度技术服务）指标项指标要求漏洞扫

29、描技术服务要求针对涉及本单位内网应用系统的各种安全系统，包括服务器主机安全、应用安全、网站服务、网络安全等设备的安全，提供至少一年度2次的漏洞扫描技术服务，并出具符合信息安全等级保护要求的正规漏洞扫描保护，同时提供相关整改意见和技术服务，达到信息安全整改目的。服务提供商要求要求具有国家级一级应急处理服务资质支撑单位的技术服务资格。品目二：一、 项目概述按照国家有关规定，根据信息安全等级保护管理办法、信息系统等级保护安全设计技术要求、信息系统安全等级保护基本要求和电子政务信息安全等级保护实施指南，以及参照XX县城管局智慧城管指挥系统等级保护定级报告对等级保护相关工作提出的要求，通过开展、落实等级

30、保护各项任务，使信息系统按照等级保护相应等级的要求进行设计、规划和实施，达到国家的政策标准要求，以及与XX县城管局智慧城管指挥系统信息安全的需求相结合，进行信息安全等级保护整改，来提高XX县城管局智慧城管指挥系统信息安全的整体防护能力，并满足达到相应信息安全等级的基本保护水平和保护能力。本次项目上，通过在智慧城管指挥指挥系统机房增加一套机房环境集中监控及安全管理设备，对机房环境安全及防护提供保障；以及在智慧城管指挥指挥系统网内部署一套综合审计系统，一套准入控制系统，分别针对智慧城管指挥指挥系统网络的安全审计功能，实现计算机客户端非法准入安全控制管理、信息系统安全日志的管理，有效保障智慧城管指挥指挥系统的综合信息安全，提升XX县城管局智慧城管指挥系统信息化的整体信息安全管理水平。二、技术要求1、项目清单：序号产品名称产品描述数量1机房改造机房环境GSM报警系统平台防盗报警系统、火灾自动报警系统、温度监控、防漏水监控。机房专用灭火器2个。1套2入网准入控制系统标准机架式1U安全准入控制硬件，能够724365不间断运行，6个10/100/1000M自适应电口，一个管理口，支持ByPass，支持HA扩展模块，平均无故障时间50000小时，每秒事