第一部分 投标邀请
杭州市余杭区公共资源交易中心作为招标人,受采购人杭州市国土资源局余杭分局委托就"杭州市国土资源余杭分局国土资源业务内网建设项目"进行公开招标采购.具体如下:
1、招标编号:HZYHZFCG-2010-079
2、项目名称:杭州市国土资源余杭分局国土资源业务内网建设项目
3、采购需求: 信息安全产品及相关服务.详见第三部分采购需求.
4、合格的投标人应具备的资格要求:
(1)具有国内独立法人资格和履行合同能力且注册资本在人民币500万元(含)以上,具有良好的商业信誉和健全的财务会计制度,有依法缴纳税收和社会保障资金的良好记录,在前三年内的经营活动中没有重大违法记录;
(2)具有国家信息产业部认证的计算机信息系统叁级(含)以上系统集成资质证书;
(3)具有较强的项目管理、组织实施能力,能够提供主要应标货物原厂商授权的产品经销代理证书或持有原厂商针对本项目的特别授权书(最迟在中标后七个工作日内提供);
(4)具有较强的本地化服务能力,并配有较强的专业技术队伍;
(5)谢绝联合投标.
5、采购方式:竞争性谈判.
6、谈判文件的领取时间: 2010年6月7日至 2010年6月11日 (节假日除外)上午9:00-11:30时,下午14:00-17:00时7、谈判文件领取地点:在杭州市余杭区临平南苑街道东湖南路129号(杭州市余杭区公共资源交易中心).
8、谈判文件售价:免费.
9、领取谈判文件须提供的资料:企业营业执照副本原件(备查)以及复印件(加盖公章)、法人委托书(原件)、受委托人本人有效身份证件原件(备查)以及复印件.
10、本项目最高投标限价为51.4万元(投标报价大于最高限价51.4万元的,其投标价格分为零分) .
11、投标截止时间与地点:
投标截止时间:2010年6月13日上午9:30
投标地址:杭州市余杭区临平街道沿山路186号国土局大楼6楼小会议室.
12、开标时间:2010年6月13日上午9:30
开标地点(投标文件投递地点):杭州市余杭区临平街道沿山路186号国土局大楼6楼小会议室.
13、联系方式
招标代理机构名称:杭州市余杭区公共资源交易中心
详细地址:杭州市余杭区临平南苑街道东湖南路129号邮编:311100
联系人:黄宪臣
电话:0571-89167801
传真:0571-86164008
采购人:杭州市国土资源局余杭分局
详细地址:杭州市余杭区临平街道沿山路186号邮编:311100
联系人:周海明
电话:0571-86237807
传真:0571-86226534
第三部分 采购需求
一、招标概述
本次招标采购为网络及安全项目,投标人应根据谈判文件所提出的设备技术规格、产品、产量和服务要求,综合考虑设备的适应性,选择具有最佳性能价格比的设备前来投标.希望投标人以精良的设备、优良的服务和优惠的价格,充分显示出贵公司的竞争实力.
二、招标产品一览表
序号 货物名称 数量 主要技术规格
路由器 1台 详见"产品详细配置要求"
汇聚交换机
(核心交换机1台,楼层交换机5台) 6台
入侵防御系统 1台
日志审计系统 1台
边界防火墙 1台
安全准入系统 1套
双硬盘隔离卡及硬盘 90块
服务器 2套
笔记本电脑 1台三、产品详细配置要求
3.1 路由器配置要求:
项目 技术要求
品牌H3C MSR 30-40
配置要求 RT-MSR3040-AC-H3 主机
LIS-MSR30-STANDARD-H3系统软件
SFP-GE-SX-MM850-A 光模块3个RT-MIM-2GEF-H3 模块1个RT-MIM-2GBE-H3 模块2个
防病毒安全MIM接口模块1个ASM防病毒安全License授权1年,含一年病毒库升级服务
功能要求 多业务开放路由器
模块化端口架构
支持网络管理、本地管理、用户接入管理
适应温度:0℃-40℃、湿度:5%-90%(不结露)
售后服务 1年免费售后服务
3.2 交换机配置要求:
3.2.1 汇聚交换机配置要求
项目技术要求
参考品牌 H3C LS-3600-28P-EI
配置要求 固定端口24个10/100Base-TX以太网端口,4个1000Base-X SFP千兆以太网端口
1个Console口
所有端口支持线速转发 交换容量32Gbit/s
包转发率9.6Mpps
功能要求 支持一对多的端口镜像(即一个镜像端口,而对被镜像端口的数量没有限制)
支持RSPAN(Remote Switched Port Analyzer,远程交换端口分析)
支持基于端口带宽百分比的广播风暴抑制
VLAN最多支持4K个符合IEEE 802.1Q标准的VLAN
支持基于端口的vlan
支持一个VLAN虚接口
支持基于端口带宽百分比的广播风暴抑制
支持STP/RSTP/MSTP,支持最多16个生成树实例
组播支持IGMP v1/v2/v3 Snooping
MVR 256个二层组播表项
支持L2~L4包过滤功能,提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议类型、VLAN等支持基于时间段的ACL
QOS支持对端口接收报文的速率和发送报文的速率进行限制;支持报文的802.1p和DSCP优先级重新标记;支持报文重定向;支持CAR功能
支持8个端口输出队列;支持灵活的队列调度算法(SP,WRR,WFQ,SP+WFQ,SP+WRR)
售后服务 1年免费售后服务
3.2.2 楼层交换机配置要求
项目技术要求
参考品牌 H3C 2126-EI
配置要求 固定端口24个10/100Base-TX自适应端口
2个Combo口
1个Console口
所有端口支持线速转发 交换容量5.20Gbit/s
包转发率3.72Mpps
功能要求 支持一对多的端口镜像(即一个镜像端口,而对被镜像端口的数量没有限制)
支持RSPAN(Remote Switched Port Analyzer,远程交换端口分析)
支持基于端口带宽百分比的广播风暴抑制
VLAN最多支持4K个符合IEEE 802.1Q标准的VLAN
支持基于端口的vlan
支持一个VLAN虚接口
支持基于端口带宽百分比的广播风暴抑制
支持STP/RSTP/MSTP,支持最多16个生成树实例
组播支持IGMP v1/v2/v3 Snooping
MVR 256个二层组播表项
售后服务 1年免费售后服务
3.3 入侵防御系统配置要求:
指标 指标项 规格要求
设备基本
要求 硬件参数
专用的硬件和软件保障 采用专用硬件架构与专用安全操作系统;硬件设备可以机架安装.
端口数量和扩展能力 标配4个10/100BASE-TX端口,2个接口扩展槽位;最大配置为8个接口.
攻击规则库 支持2500条以上的攻击事件
防蠕虫攻击 600条以上的防蠕虫攻击规则
性能参数
整机吞吐量 >140Mbps
IPS性能 >120Mbps
最大并发连接数 >1000000
功能要求 支持的攻击类型
木马(Trojan) 具备丰富的木马特征库,能识别包括灰鸽子、PCShare、Gh0st、上兴、Byshell、Npch、Downloader等多种热点木马及其变种,以及识别多种网页挂马攻击.
RPC 能对当前主流的RPC漏洞攻击做检测和阻断,例如:RPC 0x82-dcomrpc_usermgret、RPC Immunity_svchostkill等.
系统漏洞(vulnerability) 支持识别针对FTP、Netbios、IMAP、Samba等应用安全漏洞的攻击.
拒绝服务(DOS/DDOS) 能对当前主流的拒绝服务做检测和阻断,例如:WinNUKE攻击、UDP Flooding、SYN Flooding等.
溢出(bufferoverflow) 支持识别多种IIS、Apache、RPC、Oracle、SQL等应用系统类溢出攻击.
HTTP 能对当前主流的HTTP类攻击做检测和阻断,例如:HTTP Apache 批处理文件漏洞、Apache2.0.39及以前版本存在目录遍历漏洞、Cart32 管理员口令泄露漏洞等.
自定义攻击 可以根据用户需求自行设置攻击规则,能对其他有害攻击行为做检测和阻断.
应用监控跟踪控制
P2P应用 支持识别BT、迅雷、Napster、Popo、Kazaa等P2P类应用.
IM 支持识别QQ、MSN、ICQ、UC以及Google Talk等IM类应用.
游戏 支持识别魔兽世界、征途、劲舞团、跑跑卡丁车、梦幻西游以及QQ游戏等网络游戏.
异常流量 能对设备的异常流量进行分析、阻断.
入侵防御功能
引擎 支持路由、交换、直连、IDS监听四种模式.
支持基于源、目的、规则集、动作的入侵检测规则.
支持时间对象.
支持策略改变引擎自动重起.
DDOS防御 非法报文攻击:land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof.
统计型报文攻击:Synflood、Icmpflood、Udpflood、Portscan、ipsweep.
支持主机连接数和半连接数的限制.
动作 支持阻断drop,检测到策略中设置的数据后,丢弃报文;
支持报警Alert, 检测到策略中设置的数据后,进行报警;
支持TCP Reset,向攻击者发TCP Reset包;
支持日志Log,检测到攻击事件后记录日志;
支持记录报文,检测到攻击事件后将原始报文完整记录下来;
支持防火墙联动,与防火墙联动,仅限IDS模式运行;
支持自定义组合,可以将以上操作的组合做为一个新的动作.
报表 Webui支持实时显示按发生次数累计的攻击事件排名;
支持Top10攻击者、Top10被攻击者、Top10事件统计报表;
支持按时间统计的IPS流量报表;
支持选定时间、网络攻击分类的统计报表;
支持日报、周报、月报、季报等统计报表;
支持报表输出,输出格式可以为PDF、DOC、HTML格式.
规则库维护 支持自定义规则库导入、导出;
支持系统规则库手动、自动升级.
系统规则 预置系统规则集包含认证类、木马类、拒绝服务类、即时通讯类、p2p类、溢出攻击类、扫描类、系统漏洞类、webcgi类、蠕虫类、游戏类、HTTP攻击类、RPC攻击类、高风险类、中风险类、低风险类和所有事件等.
自定义规则 支持自定义规则;
支持自定义规则集.
网络适应性
路由 支持静态路由;
支持基于源/目的地址、接口、Metric的策略路由;
支持Vlan路由,能够在不同的VLAN虚接口间实现路由功能.
VLAN 支持802.1Q,能进行封装和解封;
在同一个Vlan内能进行二层交换.
ARP 支持ARP代理、ARP学习;
可设置静态ARP.
高可用性
双机热备 支持双机热备(Active-Active模式);
支持连接同步.
Bypass 提供专业的硬件ByPass功能,保证网络通畅.
负载均衡 支持轮询、加权轮叫、最少连接、加权最少链接等多种服务器负载均衡算法.
备份系统 支持备份系统,主系统破坏后可以通过备份系统启动运行.
系统管理功能
管理方式 支持WEB图形配置、命令行配置;
支持本地配置、远程配置;
支持基于SSH、SSL的安全配置.
SNMP 支持SNMP 的v1 、v2 、v2c 、v3 版本;
与当前通用的网络管理平台兼容,如HP Openview 等;
丰富的私有MIB系统信息.
监控和报警 支持网络接口、CPU利用率、内存使用率等;
内置了"管理"、"系统"、"安全"、"策略"、"通信"、"硬件"、"容错"、"测试"等多种触发报警的事件类;
支持邮件、SNMP、控制台等多种组合报警方式.
日志 支持Welf、Syslog等多种日志格式的输出;
支持通过第三方软件来查看日志;
支持日志分级;
支持对接收到的日志进行缓冲存储.
其它 系统升级,支持远程维护和系统升级;
系统升级,支持TFTP、FTP、HTTP方式升级;
配置恢复,可进行配置文件的备份、下载、删除、恢复和上载;
时钟调整,支持网络时钟协议NTP,可自动根据NTP服务器时钟调整本机时间.
资质
要求 销售许可 中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》
军用认证证书 中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》
保密局检测证书 中国国家保密局测评中心颁发的《涉密信息系统产品检测证书》
应急处理服务证书 中国信息安全认证中心颁发的《信息安全应急处理服务一级资质认证证书》;
安全操作系统著作权登记证 国家版权局颁发的专用安全操作系统计算机软件著作权登记证书
厂商
要求 本地分支机构 在杭州本地有常驻分支机构(非集成商或经销商),投标时需提供经过年检的分支机构营业执照复印件
本地专业服务力量 提供原厂在杭州分支机构5名CISP证书及在杭州社保证明
售后服务 3年原厂免费上门保修,售后服务承诺书
注:打为关键性指标.
3.4 日志审计系统配置要求:
指标 指标项 规格要求
功能
要求 网络工作模式 旁路接入模式
数据库审计 支持的数据库类型:SQL Server、Mysql、Oracle、DB2、Sybase、Informix.
审计条件支持:时间段、源地址、源端口、目的地址、目的端口、数据库用户名、数据库名、数据表名、数据表字段名、sql语句.
审计内容包括:源地址、源端口、目的地址、目的端口、数据库用户名、数据库名、数据表名、数据表字段名、sql语句、数据库操作类别(查询、登录、更新、删除和插入)、数据库操作结果(成功、失败).
网络行为审计 支持自定义审计.
默认支持的协议类型:HTTP、POP3、SMTP、WEB MAIL、FTP、MSN、QQ、TELNET、P2P (BT,emule).
审计条件支持:源地址、源端口、目的地址、目的端口、传输方式(TCP、UDP).
HTTP审计的内容为:源地址、源主机、源端口、目的地址、目的主机、目的端口、浏览行为或发布行为、访问网站的域名、访问的文件名、访问文件的文件类型、访问时附加的用户参数、上传的文件名、发送的信息内容(如论坛发帖的内容)、事件危险级别、事件发生时间.
FTP审计的内容为:源地址、源主机、源端口、目的地址、目的主机、目的端口、登录用户、FTP命令、文件名、命令结果、事件危险级别、事件发生时间.
SMTP、POP3审计的内容为:网络事件的源IP地址、网络事件的源主机名(或源主机物理所在地)、网络事件的源端口、网络事件的目的IP地址、网络事件的目的主机名(或目的主机物理所在地)、网络事件的目的端口、发信或收信标志、发信人email地址、收信人email地址、抄送email地址、邮件主题、邮件附件名、事件危险级别、事件发生时间.
WEBMail审计的内容为:网络事件的源IP地址、网络事件的源主机名(或源主机物理所在地)、网络事件的源端口、网络事件的目的IP地址、网络事件的目的主机名(或目的主机物理所在地)、网络事件的目的端口、发信或收信标志、访问的Webmail域名(如163、sina、sohu)、发信人email地址、收信人email地址、抄送email地址、邮件主题、邮件附件名、事件危险级别、事件发生时间.
P2P审计的内容为:网络事件的源IP地址、网络事件的源主机名(或源主机物理所在地)、网络事件的源端口、网络事件的目的IP地址、网络事件的目的主机名(或目的主机物理所在地)、网络事件的目的端口、发信或收信标志、上传或下载标志、上传或下载的文件名(部分P2P协议不包含文件名,只包含文件名的HASH值)、源IP用户的P2P客户端软件名、目的IP用户的P2P客户端软件名、事件危险级别、事件发生时间.
TELNET审计的内容为:网络事件的源IP地址、网络事件的源主机名(或源主机物理所在地)、网络事件的源端口、网络事件的目的IP地址、网络事件的目的主机名(或目的主机物理所在地)、网络事件的目的端口、发信或收信标志、telnet用户的用户名、事件危险级别、事件发生时间.
MSN、QQ审计的内容为:网络事件的源IP地址、网络事件的源主机名(或源主机物理所在地)、网络事件的源端口、网络事件的目的IP地址、网络事件的目的主机名(或目的主机物理所在地)、网络事件的目的端口、发信或收信标志、信息发送方账号、信息接收方账号、信息内容、通信工具名(如MSN、QQ)、事件危险级别、事件发生时间.
系统管理 支持B/S方式管理.
支持HTTPS加密.
支持CLI串口管理.
支持SSH下的CLI管理.
支持SNMP管理.
支持日志、声音、闪屏、SNMP Trap、邮件报警、短信报警(需要单独购买短信模块).
支持数据备份和还原.
支持磁盘空间管理.
支持定时备份数据、定时删除数据、定时系统升级.
支持自审计.提供完整的操作日志、系统日志记录,可查看、导入导出.
用户管理 支持基于角色的用户管理.
支持用户分组.
支持基于CA的证书认证.
支持管理者IP白名单.
实时监控 支持数据库操作监控.可监控的数据库包括SQL Server、Mysql、Oracle、DB2、Sybase、Informix等.
支持自定义监控.根据源/目的地址、源/目的端口、协议等定义监控条件,支持条件组合.协议支持HTTP、POP3、SMTP、WEB MAIL、FTP、MSN、QQ、TELNET、P2P (BT,eMule)等.
支持系统资源监控.
流量监控 支持流量监控.可按接口、协议、主机、VLAN、时间段显示流量,并可图形显示网络负载情况和趋势.
审计功能特性 支持实时和事后审计.
支持多种编码方式:Base64、Quoted-Printable、UTF-7、UTF-8、EBCDIC.
支持多种压缩格式:Zip、Rar、Arj、Gz等,支持多层压缩.
支持标准协议碎包的审计.
支持审计结果导出.
数据库行为统计分析 支持统计条件设置.
统计结果可以图形方式显示.
统计报表 支持数据库操作统计报表.
支持数据库操作趋势报表.
支持应用协议报表.可根据不同应用协议进行统计.
支持流量报表.可根据接口、主机、时间段统计数据流量.
配置
要求 硬件配置 2U机架式,2个10/100/1000BASE-TX管理口,2个SFP插槽、配置多模光口模块2个,2个1000BASE电口采集口.500G存储空间.支持双电源.
资质
要求 公安部 计算机信息系统安全专用产品销售许可证
测评中心 国家信息安全认证产品型号证书
保密局 涉密信息系统产品检测证书
军队测评中心 军用信息安全产品认证证书
国家版权局 软件著作权
厂商
要求 本地分支机构 在杭州本地有常驻分支机构(非集成商或经销商),投标时需提供经过年检的分支机构营业执照复印件
本地专业服务力量 提供原厂在杭州分支机构5名CISP证书及在杭州社保证明
售后
服务 3年原厂免费上门保修,售后服务承诺书
注:打为关键性指标.
3.5 边界防火墙配置要求:
指标 指标项 规格要求
基本
要求 专用的硬件和软件保障 标准机架式设备,采用专用硬件架构与专用安全操作系统,基于操作系统内核的完全检测技术.
双操作系统 采用双安全操作系统,防止配置不当或防火墙系统故障造成的网络中断,充分保证了系统的稳定性.
软件模块化设计 软件采用模块化结构设计,可以根据需要组合,可以扩展IPSEC VPN,SSL VPN,安全审计等功能.
硬件模块化设计 硬件采用模块化设计,设备在用户现场就可以进行接口的扩展.
端口数量和扩展能力 提供4个10/100BASE-T接口,具有两个扩展槽位,最多可以支持8个百兆接口;具有专门的RJ45终端管理接口.
性能
要求 网络吞吐量 不少于400Mbps
并发连接数 不少于100万
每秒新建连接数 不少于1.5万
功能
要求 接入方式要求 防火墙系统可以提供对复杂环境的接入支持,包括路由、透明以及混合接入模式.
访问控制要求 支持基于源IP地址、目的IP地址、源端口、目的端口、时间、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行访问控制;
支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤,支持URL、关键字过滤;
支持对移动代码如Java applet、Active-X、VBScript、Jscript、Java script的过滤;
动态端口支持协议:H.323、SIP、FTP、RTSP、SQL*NET、MMS、TFTP、RPC(msrpc,dcerpc)等;
支持MSN、QQ、新浪UC、阿里旺旺、google talk等Instant Messenger通信,并可以对于这些应用进行登陆限制,支持根据登陆等帐号进行登陆限制;
支持对MSN,QQ等IM应用通信的连接统计,支持对指定IP地址的IM应用通信的连接统计;
可限制BT,eMule,eDonkey、讯雷等多种P2P应用,可以统计P2P流量和连接数,可以控制P2P流量的带宽;
可屏蔽受保护主机/服务器系统信息,可以替换服务器(FTP、SMTP、POP3、Telnet,HTTP)的BANNER信息;
可实现静态或自动的IP/MAC绑定.
网络地址转换能力要求 防火墙系统有完善的地址转换能力,可以支持正向、反向地址/端口转换、双向地址转换等,能够提供完整的地址转换解决方案.
多种身份认证方式 防火墙系统要支持多种、灵活的身份认证技术,至少包括Radius/OTP/LDAP/TACACS+/SecuID/数字证书/本地认证等.
完善的路由功能 支持静态和动态路由,动态路由至少包括:BGP/RIP和OSPF动态路由协议;静态路由协议支持基于源地址、目的地址、METRIC值、网络接口的路由;
VLAN和生成树 支持802.1d生成树,能进行802.1d的生成树协商;支持与交换机的Trunk接口对接,并且能够实现Vlan间通过防火墙设备进行路由;支持802.1q,能进行802.1q的封装和解封装;支持ISL,能进行ISL的封装和解封装;
高可用性 支持链路备份功能,可以在用户的多条网络出口之间进行自动的切换;
支持双机热备功能,包括主备模式(A/S),主主模式(A/A)
支持VRRP协议;
支持对服务器的负载均衡,支持轮询、加权轮询、最少连接、加权最少链接、支持生成树协议,实现链路负载均衡;
防火墙系统要对长连接的提供全面的解决方案;
DHCP功能 支持DHCP SERVER/CLIENT/RELAY功能
完善的日志审计功能 日志分级、分类;系统要能够提供多种日志存储方式,可以缓存在设备本地,也可以将日志以专用格式/Welf/Syslog等多种日志格式的输出;具有完善的日志收集、传输、存储、分析、报告等解决方案.
AV
功能
要求 病毒过滤要求 支持HTTP,FTP,POP3,SMTP,IMAP协议的病毒过滤,病毒库可以定期更新,并支持15万种以上的病毒
报文攻击过滤要求 非法报文攻击过滤:land 、Smurf、Pingofdeath、winnuke 、tcp_sscan、ip_option、teardrop、targa3、ipspoof;统计型报文攻击:Synflood、Icmpflood、Udpflood、Portscan、ipsweep;
SYN代理 对来自定义区域的Syn Flood攻击行为进行阻断过滤;可通过设置端口和阀值阻断CC攻击;
支持用户数 可支持1000用户数
资质
要求 市场占有率 为近三年国内防火墙市场占有率前三名,并提供国际权威第三方调查机构IDC的证明.
销售许可 中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》
EAL3等级认证 中国信息安全产品测评认证中心颁发的《EAL3等级认证证书》
军用认证证书 中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》
保密局检测证书 中国国家保密局测评中心颁发的《涉密信息系统产品检测证书》
应急处理服务证书 中国信息安全认证中心颁发的《信息安全应急处理服务一级资质认证证书》;
防火墙系统软件著作权登记证 国家版权局颁发的防火墙系统计算机软件著作权登记证书
安全操作系统著作权登记证 国家版权局颁发的专用安全操作系统计算机软件著作权登记证书
厂商
要求 本地分支机构 在杭州本地有常驻分支机构(非集成商或经销商),投标时需提供经过年检的分支机构营业执照复印件
本地专业服务力量 提供原厂在杭州分支机构5名CISP证书及在杭州社保证明
售后服务 3年原厂免费上门保修,售后服务承诺书
注:打为关键性指标.
3.6 安全准入系统配置要求:
功能参数 具体描述
安全
准入
控制 硬件平台 要求基于嵌入式Linux系统,工业级安全准入硬件设备,能够7 X 24不间断运行;
设备的性能要求 最大接入交换机设备连接数:300个
支持最大终端接入数:1000个
最大认证并发连接数:500
MTBF(小时)≥ 80,000
网络接口≥ 4个10/100/1000M自适应电口
支持Fail-Open的紧急故障处理模式.
准入控制支持网络环境 要求支持交换机802.1x、PORTAL/PORTAL+、EOU等协议,支持与防火墙联动、HUB接入、VPN接入方式.可支持静态IP地址、动态IP地址方式;支持国内、国外知名品牌的网络设备(例如:天融信、Cisco、H3C、港湾等)
准入控制支持认证方式 可支持IP、MAC、硬件ID、用户名密码等认证方式,同时可实现多MAC认证方式.准入控制无需安装客户端软件.
准入控制效果 外来电脑或者不安全的电脑只能访问受限资源或禁止接入、只有安全的电脑才能正常接入内网.
批准入网流程 要求支持新终端接入时需要管理员审核批准才能接入网络,否则拒绝接入.
安全准入策略 必须保证接入内部网络的终端符合内网安全策略,如必须打指定级别以上的微软安全补丁或具体的微软补丁、必须安装指定杀毒软件、并更新到最新病毒库等安全准入要求.
准入用户要求 要求控制每一用户在线时的最大TCP会话连接数限制;能控制一个认证帐号可以让多人同时使用,方便测试.
准入设备状况查询 可以实时了解不符合安全要求的、被隔离待修复的以及正常的设备详细信息.
安全漏洞和安全规则检查 支持检查发现PC的操作系统漏洞;发现PC上是否安装了非法软件;发现PC是否对硬件配置进行改动;
发现PC是否安装防病毒软件,检查病毒特征码是否更新;发现PC是否在执行非法进程;支持对口令强度、屏幕保护、文件写共享等检查.
基本性能及客户端要求 系统架构 基于B/S、C/S混合构架,客户端3层架构,具有较好的系统安全性,管理平台采用WEB方式.支持多级级联架构,满足分级管理要求.要求使用的WEB应用服务器应该为Apache,并且是专用的Apache服务,不得与其他应用有冲突.
系统自身安全性 要求管理平台使用B/S结构,同时管理员在登录时需要采用随机校验码,以增加系统自身安全性.
策略的要求 要求所有策略支持在线、离线模式;策略可自定义多条部署,并且可以暂停策略,可以定义策略有效时间、存活时间等.
客户端通信方式 要求客户端不允许开启TCP监听端口,同时要求支持NAT地址转换网络环境,并且能够支持远程控制时客户端也不开启TCP监听端口.
客户端软件对cpu,内存的占用要求 客户端进程数不能超过2个,正常情况下,客户端CPU占用率大部分时间在0%;内存占用在8M以内.
客户端软件自身安全性 要求不能被自动关闭,并且Agent软件的文件具有MD5文件防篡改功能.
非法外联监控 客户端自动监控多网卡和拨号用户,能够以多种手段包括报警、提示、直接断网、锁定计算机、强制关机等方式隔离或监控危险用户.防止用户终端成为内外网互访的桥梁,防止内网外联,避免因此可能造成的信息安全问题.能够监控私设代理用户,隔离或监控危险用户,限制使用代理服务软件和设置IE代理服务器,防止内网外联.
与防病毒软件联动 要求与现有防病毒软件不同品牌,并能够与国内、外知名防病毒软件联动协同管理.
分级资产
管理 自动设备扫描 自动发现接入网络的所有网络设备、主机、桌面PC、其他IP设备;支持混合厂商大规模网络环境;支持跨越路由器、防火墙等复杂环境.
支持资产信息自动采集. 自动采集各计算机的IP地址、计算机名、MAC地址、网卡型号和生产厂商、计算机所在域、操作系统、主要硬件、软件信息;能够提供计算机信息综合查询报表.
硬件、软件配置信息变动报警 对终端硬件、软件资产变更进行报警,在终端第一次注册时把硬软件信息做登记,以后每次作信息的对照.并且可以查询变动的历史.
资产统计报表 资产统计,对网络内终端的基本情况进行统计.资产报表展现,多种报表展现统计结果,变更情况,终端资产等各种信息.支持xls、PDF格式输出,支持报表预览和打印.
安全检查
及加固 安全漏洞和安全规则检查 支持检查发现PC的操作系统漏洞;发现PC上是否安装了非法软件;发现PC是否对硬件配置进行改动;
发现PC是否安装防病毒软件,检查病毒特征码是否更新;发现PC是否在执行非法进程;支持对口令强度、屏幕保护、文件写共享等检查.
风险评估权重化 可以支持安全检查项分值化,对每一项的评估采用数值权重展示.并且支持安全状况图形化.
网络安全
管理 流量排行统计及流量异常控制 要求支持对系统网络流量的控制,并给出相应的处理方式,包括流量采样统计策略、流量控制策略.流量采样时要能够分总流量、外网流量、指定服务器的流量.网络流量异常控制可以根据ARP包检测、网络流量检测、TCP连接数检测来发现异常行为并且作出相应的控制.
反ARP欺骗 要求能够自动绑定网关,防止其他机器ARP攻击终端;并且能够自动判断终端是否受到外部的ARP欺骗攻击,或者终端受到病毒感染用ARP欺骗方式攻击其他终端.
上网行为控制 能够按全天或指定的时间对指定的网站域名进行禁止,或者采取反选,对指定的网站域名外的网站进行禁止;可以通过星期的控制指定策略的有效星期.
桌面防火墙 能够控制终端禁止开放网络服务(比如:ftp、telnet、DHCP、http、代理服务等),并且可以禁止终端访问网络协议(比如:ftp、telnet、DHCP、http、BT、http代理、Socket代理、https等).还可以控制本地开放的端口、可访问的远程主机及端口,以及ICMP的控制.
行为审计 文档操作行为审计 能够详细的记录每个员工在本机及网络上操作过的文件,包括访问、创建、复制、移动、改名、删除、恢复以及文档打印等记录.
网站浏览记录 能够详细记录每个员工在本机所有浏览的网站,标题,URL,时间
邮件内容、附件记录 能够记录收发件人、标题、内容、附件等;能够支持POP3/SMTP/Lotus协议
其他功能
要求 远程协助 提供网络管理人员通过本地计算机操作远程计算机的功能.可以支持NAT网络环境下的远程控制,实时查看操作进程、服务、通信端口、网络连接、用户权限等等.
强大的终端安全策略 禁止U盘自动运行、禁止第三方网络联接、禁止指定软件运行、可指网站首页、黑白应用策略、重点进程跟踪策略、异常进程监控策略.
补丁管理 要求自主研发的补丁管理机制,补丁需要经过测试再全网发布.要求补丁扫描时不影响终端性能,扫描时间在5秒以内.
内网补丁管理 要求有完备的内网补丁管理流程,可以通过补丁包摆渡等升级模式,便捷、高效的实现隔离网络补丁的安装、升级管理.
应用安全管理 要求展示所有运行进程的一览表,并且支持可疑进程设置、黑白应用程序包的控制,支持MD5的方式唯一识别应用程序;
软件分发 能够支持可执行程序、MSI安装包或者文档数据文件自动下发与安装;能够支持指定组范围、指定时间进行安装;提供打包工具,能够判断检测指定程序是否在运行,如果运行则提示系统需要升级提供一个提示对话框如果按确认则将指定程序退出开始安装,如果选择取消则不安装,如果没运行则马上开始安装.能够提供带参数运行程序包;能够指定执行安装之后是否重启、关闭机器;能够查询软件分发的详情与历史情况;
资质 产品资质 公安部计算机信息系统安全专用产品销售许可证;
国家保密局涉密信息系统安全保密测评中心的检测;
中国人民解放军信息安全测评认证中心的军用信息安全产品认证证书
售后服务 3年原厂免费上门保修,售后服务承诺书
注:打为关键性指标.
3.7 隔离卡配置要求:
指标项 技术参数
功能要求 支持全面的计算机硬盘(如IDE、SATA一代、二代硬盘);随卡配置160G SATA硬盘一个
全高及半高PCI槽均适用(双支架)
控制硬盘数据线
支持网络接口为10/100/1000M 以太网方式
提供COM口、PCI总线控制方式切换
可提供快速切换功能,内外网系统之间切换时间缩短至<20秒,切换同时清除内存中残留信息,充分保证网络使用安全.
可选是否安装开机选择菜单,由用户自由设定,可以自定义开机菜单图形
可以在系统中选择屏蔽软驱、光驱、USB存储设备、网络.
具有CMOS、BIOS改写警告功能.
切换时可以设置转换密码,加强保密性.
支持UDMA工作模式.
备份主引导记录功能.
网络及硬盘控制使用同一个芯片通道控制,保证网络与硬盘切换同步.
采用专用芯片切换所有硬盘数据线,保证数据安全及具有良好的兼容性.
硬件设计,真正实现物理隔离,采用知名品牌硬件和芯片,主控制器芯片ATMEL公司产品、硬盘信号高速电子开关TI公司产品、继电器松下公司产品,保证隔离卡质量.
安全计算机中采用双硬盘及双网线方式、单网线方式连接内外两个网络.
内、外网的切换不需要硬开关,只需点击屏幕上的图标即可实现内外网的转换,切换过程可选择关闭电源方式或直接热启动方式.
每台单布线物理隔离集线器可连接16台终端机.
支持DOS、WINDOWS9.X/ME/NT/2000/XP、LINUX等操作系统.
资质要求 从事物理隔离卡研发和生产至少7年以上,并提供相关证明;
企业注册资金1000万以上;
具有全国范围内提供技术支持能力;
必须是高新技术企业;
必须提供生产型科技企业证书;
必须提供隔离卡与集线器的软件著作权证书;
至少提供2个2000片以上隔离卡实际案例证明;
售后服务 3年原厂免费保修,售后服务承诺书
注:打为关键性指标.
3.8 服务器配置要求:
指标项 技术参数
处理器 配置≥2颗Intel Xeon 四核处理器 E5504以上,主频≥2.4GHz
单颗处理器三级高速缓存≥12MB
总线 系统前端总线:1066MHz,多总线架构
内存 内存类型:ECC 内存
当前配置8GB ECC 内存
通过叠加技术内存可支持≥256 GB内存,可做镜像,热备份
磁盘I/O 内置硬盘类型:热插拔SAS 硬盘
当前配置4块500GB热插拔SAS 硬盘,配置成Raid 5
网络 4口10/100/1000自适应千兆以太网适配器,具有故障恢复和负载平衡功能.网卡可以为多块;
光驱 DVD/CDRW Combo驱动器
配件 上架导轨、16路KVM、抽屉式液晶显示器鼠标键盘、42U标准机柜
系统 安装正版授权操作系统:Windows(R) 2008 Server /Windows(R) 2003 Server
支持的操作系统:MS Windows Sever 2003(32位和64位)、32位和64位版的Red Hat Enterprise Linux 和SUSE Enterprise Linux 、Vmware ESX Server
保修 3年原厂免费上门保修,售后服务承诺书
3.9 笔记本电脑需求:
指标项 技术参数
品牌型号 ThinkPad X200
处理器 P8600(2.40GHz)
内存 2GB
磁盘 250GB
显示器 12.1" WXGA显示屏
显卡 英特尔GMA 4500MHD显示芯片
光驱/软驱 USB COMBO
网络接口 千兆以太网卡+Intel 5100 AGN无线网卡
操作系统 正版授权Windows Vista Home Basic
其他 随机管理软件
蓝牙,三合一读卡器
保修 3年原厂免费保修
3.10 安全服务及其他要求:
谈判文件第17页中路由器为指定品牌,配置要求和功能要求不得出现负偏离,否则视作无效标;
所有功能必须是现有产品已有的成熟功能.每个产品只允许使用一个产品来实现所有功能,多个产品视为无效;
在中标公示期内用户有权要求预中标方提供产品进行实际环境测试,虚假应答将扣留投标保证金,取消预中标资格;技术偏离应答表要求原厂商核实是否存在技术偏离并盖公章(招标要求中指定型号采购的产品除外).
为保证本次安全建设效果,要求中标商提供如下安全服务:
按照国家及国际标准,依靠服务商多年的安全经验积累,进行全面的安全风险评估,出具安全评估报告,同时也能进行全面的安全加固.每季一次对网络及服务器的风险与漏洞进行评估,根据扫描结果对网络及服务器进行安全加固;并出具安全报告;
能够提供强有力的技术支持,包括免费800电话、e-mail及传真等支持,并能够及时发布最新的安全通告.
基于全面的安全产品,多年的等保经验、进行整体的安全解决方案建设,不仅协助国土余杭分局达到等保要求,而且也为国土余杭分局长久的安全保驾护航.
全面参照ISO27001国际标准,依据实际状况,从制度体系建设,到安全技术手段,安全运维管理等,建立高效、合规、一体化安全管理体系.
提供应急响应,及时处理安全事件,制定应急预案,制定备份与恢复管理办法,及时协助演练.
为各部门信息安全管理员提供定制信息安全培训;全年不少于三个工作日的培训.提供一个名额的国家注册信息安全工程师(CISP)认证培训.
工期要求:要求在2010年6月30日前安装调试完备.(中标方逾期交货的,自逾期之日起,向采购方每日偿付逾期设备总价2‰的违约金;逾期10日不能交付的,应向采购方支付总价2 %的违约金,并且不再退还履约保证金;采购方有权终止本协议.)