行政服务电子监察系统集成招标公告

序号

货物

名称

技 术 参 数

数量

1

内网核心交换机

24 个10/100/1000Base-T以太网端口，4 个复用的SFP 千兆端口（Combo），两个扩展槽位；交换容量（全双工）：不低于192GBPS; 包转发率（整机）：不低于96MPPS； 提供3年原厂售后服务承诺函原件。

1台

2

内网接入交换机

24个百兆以太网端口、2个千兆SFP端口（与后2个千兆以太网端口复用）以及一个Console端口，支持Vlan划分、端口镜像、端口限速、DHCP-Snooping、IP+MAC+端口+VLAN四元素绑定、防ARP欺骗、ACL、VLAN-ACL、STP／RSTP、Voice VLAN、静态LACP等功能，可以通过Telnet、命令行、Web界面、SNMP等多种方式进行管理； 提供3年原厂售后服务承诺函原件。

4台

3

外网核心交换机

24 个10/100/1000Base-T以太网端口，4 个复用的SFP 千兆端口（Combo），两个扩展槽位；交换容量（全双工）：不低于192GBPS; 包转发率（整机）：不低于96MPPS；提供3年原厂售后服务承诺函原件。

1台

4

部门接入交换机

24个百兆以太网端口、2个千兆SFP端口（与后2个千兆以太网端口复用）以及一个Console端口，支持Vlan划分、端口镜像、端口限速、DHCP-Snooping、IP+MAC+端口+VLAN四元素绑定、防ARP欺骗、ACL、VLAN-ACL、STP／RSTP、Voice VLAN、静态LACP等功能，可以通过Telnet、命令行、Web界面、SNMP等多种方式进行管理； 提供3年原厂售后服务承诺函原件。

4台

5

路由器

转发性能：不低于220Kpps；固定以太网路由端口：2个百兆接口；模块插槽：2个；SIC插槽；ESM插槽：1；USB：1；AUX：1；配置口：1；硬件加密：支持；内存：不低于256M；提供3年原厂售后服务承诺函原件。

1台

6

网络机柜

42U标准网络机架

2台

7

内外网防火墙

硬件平台：采用专用多核硬件平台，非X86架构，并采用专用安全操作系统。

知识产权：国产品牌，具备自主知识产权；

市场成熟应用：产品连续三年在中国UTM市场销量排名前三，提供第三方证明文件或市场分析报告；

端口数量：提供不少于4个10/100/1000BASE-T接口。

内存：配置内存不小于1G

MTBF：不少于100000小时

性能要求：

1. 网络吞吐量：不小于2Gbps

2. 最大并发连接数：不少于160万

3. 每秒最大新建连接数 ：不少于2万

功能要求：

1. 支持完善的会话管理功能，可实时查看当前会话状态，支持根据源地址、目的地址、端口号或协议类型查询会话；提供相关界面截图；

2. 支持与内网终端管理系统的联动功能，提供相关界面截图；

3. 支持实时的网络入侵防御功能，设备自带的入侵防御事件库事件数量不少于2000条；提供入侵防御事件库界面截图；

4. 入侵防御事件库至少应包括木马后门、缓冲溢出攻击、脚本攻击、拒绝服务攻击、间谍软件及网络数据库攻击等的特征事件；提供相关界面截图；

5. 支持用户自定义入侵防御事件功能，提供相关界面截图；

6. 安全网关支持完善的终端安全管理功能，实现终端的准入控制、补丁管理、进程管理、行为管理、实时监控、安全防护等功能；

7. 终端准入控制功能：对终端PC的操作系统、防病毒软件、进程、域及终端PC安全配置等进行检查，不符合准入安全策略的终端以及未安装管理软件的终端无法通过网关进行访问； 提供相关界面截图；

8. 终端补丁管理功能：支持手工、自动、定期等方式强制终端PC进行补丁升级；提供相关界面截图；

9. 终端进程管理功能：支持进程红名单（必须运行的进程）及进程黑名单（禁止运行的进程）功能，并支持基于进程的带宽控制功能；提供相关界面截图；

10. 终端行为管理功能：通过源地址、目的地址、目的端口、进程等要素进行行为控制及带宽管理，例如可限制终端PC的迅雷进程只能占用10K带宽；提供相关界面截图；

11. 终端实时监控功能：可实时显示、查询、管理终端PC的操作系统、运行进程、运行服务、IP地址/MAC地址、补丁状态等信息；提供相关界面截图；

12. 终端安全防护功能：支持ARP欺骗防护及网关MAC自动绑定功能，彻底解决ARP病毒危害；支持阻止对终端的匿名访问和非安全主机访问；提供相关界面截图；

13. 支持对HTTP、FTP、SMTP、POP3、IMAP协议的病毒检测和过滤功能；提供相关界面截图；

14. 支持对文件感染型病毒、蠕虫病毒、脚本病毒、宏病毒、木马、恶意软件等的过滤，病毒库数量不少于15万，提供病毒库界面截图；

15. 对于HTTP协议和邮件协议，提供信息替换功能，用以通知用户病毒被阻断，管理员可以自行设置替换信息；提供相关界面截图；

16. 支持通过应用层检测来阻断或控制P2P下载，如BitTorrent、BitComet、eMule等；可单独设定P2P下载占用的带宽；提供相关界面截图；

17. 支持通过应用层检测来阻断流媒体应用，如PP-live、QQ直播等；可单独设定流媒体应用占用的带宽；提供相关界面截图；

18. 支持基于贝叶斯算法的垃圾邮件过滤功能；提供相关界面截图；

19. 支持基于反向地址查询的垃圾邮件过滤功能；提供相关界面截图；

20. 支持防邮件炸弹功能，可设定邮件发送、接受阈值；

21. 支持IPSec VPN、L2TP VPN及SSL VPN功能；提供相关界面截图；

22. 同时支持网关到网关模式的SSL VPN和客户端到网关的SSL VPN应用；提供相关界面截图；

23. 支持集中管理功能，可同时监控所有安全网关的运行状态，并支持对所有设备进行统一安全策略配置及进行版本升级；

24. 设备具有液晶显示器，可在不登陆设备的情况下实时显示设备运行状态、系统流量、管理地址等信息；

25. 支持本地日志、SYSLOG日志及NetFlow日志功能，支持在外接移动存储设备上存放本地日志；支持邮件报警功能，所发送邮件支持以加密方式传送；

1. 资质要求
厂家资质：生产厂家出具的经销资格证明文件和技术确认书。

2. 销售许可：产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》；

3. 型号证书：产品具有中国国家信息安全测评认证中心颁发的《国家信息安全认证产品型号证书》

4. EAL3证书：产品具有中国国家信息安全测评认证中心颁发的《信息安全产品EAL3等级认证证书》

5. 军用认证证书：产品具有中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》

中国采招网（bidc enter.com.cn）~

6. 保密局检测证书：产品具有中国国家保密局测评中心颁发的《涉密信息系统产品检测证书》

7. 版权证书：产品具有国家版权局颁发的《计算机软件著作权登记证书》

2台

8

网闸

功能

专有硬件安全隔离体系架构：采用2+1硬件体系架构

安全操作系统：安全加固的专有操作系统

黑白名单策略：支持IP、MAC地址黑白名单访问控制

网络过滤和访问控制 ：提供细粒度的访问控制机制

应用层协议检测：解析应用层协议，实现安全访问控制

病毒检测：支持病毒检测

信息过滤和检测功能：支持文件属性控制和关键字内容过滤

通用访问子系统：实现TCP、UDP基本访问以及安全控制

网页安全浏览子系统 ：实现WEB浏览以及安全控制

邮件安全交换子系统：实现邮件收发以及安全控制

数据库安全访问子系统：：支持Oracle、MS_SQLServer、Sybase、DB2、MySQL、PostGreSql等

文件安全交换子系统：实现网闸两端文件的同步以及安全控制

视频会议子系统：解析H.323，支持视频会议、视频监控等应用

SOCKS访问子系统：实现SOCKS代理访问以及安全控制

数据库安全交换子系统：实现Oracle、MS_SQLServer、Sybase、DB2数据库数据同步

独立管理接口：管理接口和业务接口分离

WEB加密管理： Https方式管理，保障管理数据加密传输

基于数字证书的远程安全管理 证书方式安全管理

定时锁定管理控制台机制 管理界面超时设置，安全管理

多用户分权管理机制 管理员、日志管理员权限分离

强大的日志和审计功能 日志查询、分析，本地、远程备份等

管理配置的导入导出 完整配置信息保存，方便管理

升级更新：提供升级接口，方便系统升级

容错功能：双机热备 支持双机热备，增强系统容错能力

负载均衡：支持负载均衡，增强系统可以性

MTBF >=60000小时

尺寸 430(W)*550(L)*88(H)mm

温度 32°-104° F, 0°-40° C

海拔 0-14,800 英尺

湿度 10-90%RH

抗干扰 支持IEC-1000-4-x系列抗干扰设计

1　台

9

安全管理系统

资质要求

1. 产品自主知识产权证书

2. 计算机信息系统安全专用产品销售许可证；

3. 涉密信息系统产品检测证书；

4. 计算机软件著作权登记证书；

5. 信息技术产品安全评测证书EAL2级。

6. 经销资质：厂家为出具的经销资格证明

7. 技术性能确认：厂家出具的技术性能与功能确认书

性能与功能要求

1. 能够内置到同品牌的USG网关设备中运行

2. 与内外网防火墙设备为同一品牌

3. 支持三权分立与Windows集成认证两种认证模式，支持通过https方式访问Web控制台。

4. 支持离线策略，当检查到终端处于离线状态时，客户端自动切换到离线模式，并启用离线策略，确保终端在离线时也受到正确的控制和保护。

5. 支持本地安全防护规则，管理员可授权终端用户从弹出窗口自定义网络访问规则以及从编辑界面自行添加、或修改基于进程或端口的连入或连出的自定义网络访问规则。但管理员定义的全局规则优先级高于本地安全防护规则。

6. 支持AD、OpenLDAP、iPlanet等LDAP类型的身份认证方式。支持转发认证，无需导入用户数据。

7. 支持基于用户的认证组合管理，能对User-IP-MAC，User-IP，User-MAC，User等多种组合进行认证，在认证的同时还能验证有效期。

8. 支持基于MAC的认证组合管理，能对MAC-IP组合进行认证，在认证的同时还能验证有效期。

9. 支持文件数字证书和U-Key数字证书身份认证方式。支持转发数字证书转发认证，无需导入用户证书。

10. 支持终端发现，能发现安装或未安装客户端的终端，并探测其安全状态是否合格，无论终端上是否运行主机防火墙都能发现。

11. 系统提供丰富的终端相关信息的图形化报告和报表，报告和报表覆盖终端接入信息、资产信息、终端审计信息、终端攻击告警信息、终端资源使用情况信息等等，方便用户及时、全面了解内网终端安全和运行状况。

12. 基于权限的报告和报表管理，管理员只能够查看和导出自己有权限的报告和报表。所有报告和报表均支持以Word、Excel和Html格式导出。

13. 支持进程黑名单，能够有效禁止运行与工作无关的软件。 能够检查DLL的调用，防止修改进程名逃避安全检查。

14. 支持进程红名单，能够确保必须运行的软件的处于正常运行状态。能通过MD5码校验的方式检查进程名，防止用户对程序改名逃避安全检查。

15. 支持软件白名单，强制用户只能运行指定的软件。

16. 支持软件安装黑名单，能够有效禁止安装与工作无关的软件。

17. 支持软件安装红名单，能够确保必须安装指定的软件。能够选择对软件名进行精确匹配或模糊匹配，防止修改软件名称逃避安全检查。支持多个软件进行“或”组合。

18. 支持软件安装白名单，强制用户只能安装指定的软件。

19. 能够自动收集计算机资产状况，安装的硬件和软件。

20. 并准确统计计算机数量。当计算机关键硬件和软件发生变化时，能够自动提供资产变更报警。

21. 支持用户主动发起的远程桌面请求，管理员不能主动连接到用户桌面，在远程帮助全过程中，计算机用户都可以看到维护人员操作，以保护用户隐私。

22. 外设管理 支持对计算机USB、并口、串口、红外、蓝牙、软驱、光驱、WLAN、1394、PCMCIA卡、MODEM等外设的启用及禁用。能够禁用不能识别的USB设备。

23. 能识别USB移动硬盘、业务卡、USB鼠标等USB设备，并分别设置控制策略。能够禁用不能识别的USB设备。

24. 当未认证过的新移动存储设备接入终端时，能自动阻止该移动存储设备被读取或写入数据。 对未认证的移动存储设备，能给用户弹出认证窗口，提示其对设置进行认证。支持对多个移动存储设备进行批量授权和对已经移动存储认证信息进行批量导入和导出

25. 移动存储设备专用目录加密：支持目录加密，涉密移动盘可以在非管理环境使用，但无法使用加密目录的内容。

26. 移动存储设备全盘加密：支持全盘加密，涉密移动盘在非管理环境完全无法使用。能够对移动存储设备只认证，不做加密处理，保证特殊移动存储设备经过认证即可正常使用。

27. 移动存储设备分区表加扰 支持分区加扰，移动盘在非管理环境完全无法使用，分区解扰可快速将加扰盘恢复成普通盘。能够对移动存储设备只认证，不做加扰处理，保证特殊移动存储设备经过认证即可正常使用。

28. 能指定某些特殊终端可以使用未经认证的移动存储设备，提高移动存储管理的灵活性。

29. 管理员能对新设备认证，并对设备的读、写、加密写等操作基于用户进行授权。提供移动存储认证、使用和数据共享全过程的审计。能够指定某些电脑使用非认证的移动存储设备。支持基于用户、IP的使用授权和离线使用授权

30. 文件操作审计与控制，对指定目录文件的读、写、新建、复制、删除、改名、移动等操作进行审计。

31. 对指定目录文件的读、写、新建、删除、改名、移动等操作进行阻断。

32. 终端的共享目录被访问和访问网络文件时进行审计。

33. 对指定进程操作进行审计和阻断。可对指定文件名后缀进行审计或阻断。

34. 审计终端用户上网行为。设置上网白名单和黑名单，即只能访问的网站和禁止访问的网站。控制终端通过http代理上网，规范上网行为。支持任何浏览器。

35. 主机名、IP、MAC变更审计 能够对终端主机名、IP、MAC变化时进行审计，及时发现违规修改计算机配置的违规行为。

1套