支持windows防火墙作用

网络安全设备技术及资质要求序号名称数量1内网安全管理及网络准入控制系统12上网行为管理13下一代防火墙24漏洞扫描15日志审计11.
内网安全管理及网络准入控制系统,数量1台授权点数可管理终端数400点网络准入技术要求*1.
专用机架式网关准入设备,可支持4路旁路控制;必须支持不改变数据流走向的纯旁路模式准入控制和策略路由方式的准入控制,必须支持VPN、NAT环境下客户端识别和准入;*2.
要求支持基于源IP、目的IP设置设置准入控制流程,未认证设备可以将其隔离,并具备自动化web重定向引导,即所有设备入网设备在认证前,所有web访问均可被强制跳转到引导页面,引导页面必须支持管理员自由更换所属单位的logo图片信息,页面上支持引导入网计算机做3.
"员工认证"和"来宾认证"引导;员工认证:支持自定义员工客户端注册信息,要求可以定义必须填写的注册信息项,包含使用人、单位、部门、资产号、终端类型等;*4.
来宾认证,可通过web页面提交身份信息给管理员来做认证,提交信息至少包含:来宾姓名、来宾单位、联系电话、接待人等,管理员还可自由添加认为需要的认证信息,信息提交后,管理员可为其分配上网码,且该上网码可包含允许访问的网络范围(要求通过IP地址/段、端口号等设定)和上网时长;5.
客户端注册和来宾认证支持审核模式,要求审核需支持:(1)自动审核:员工计算机可通过预先设定agent注册密码做自动审核,访客计算机可通过设定访问安全域进行自动审核客户端;(2)手动审核:管理员根据注册信息,进行手动审核;*(3)短信审核:支持管理员通过短信回复的方式,进行审核,方便管理员随时随地审核,并且支持短信告知用户审核结果.
6.
Web重定向引导的皮肤需内置多套,提供更多的可选性,且支持用户自定义属于本单位的logo和引导标题、告警提示内容;*7.
系统支持接入层交换机管理;有效控制私接路由器、HUB设备下终端准入、防止与合法计算机直连、仿冒合法IP/MAC的违规入网行为;支持MAC地址白名单;支持对IPHONE、IPAD等非windows操作系统的终端实施准入控制;支持哑终端特征码认证准入;8.
安检规范应至少包含杀毒软件安装情况检查、补丁漏洞检查、系统共享资源检查、IE主页修改项检查、guest来宾帐户启用情况检查、远程桌面启用情况检查、系统启动项检查、系统进程检查、违规外联、操作系统、软件安装等,如果存在违规操作,将对其隔离,直至修复.
其中重要安全漏洞如未安装杀毒软件可实现告警并自动下载安装,弱口令用户可自动告警并弹出修改密码对话框,guest账户可自动停用;9.
系统支持Portal、Ukey、IP与MAC绑定的准入认证方式,支持Portal+客户端、Ukey+客户端、IP与MAC绑定+客户端的双重准入认证,同时支持阻断所有设备入网,支持基于源IP进行准入控制,可对白名单IP/MAC地址进行免准入控制,支持入网策略自定义生效时间、终端范围、隔离区域,支持配置同网段终端内联控制策略,禁止同网段的终端互相访问.

支持系统内置软Bypass功能,当系统进程、服务等出现问题,可有迅速重启进程,支持交换机策略路由逃生模式和软旁路逃生模式,支持双机热备功能,当主设备出现问题时,可自动切换至备份设备;10.
支持实名审核功能,根据导入实名信息达到自动验证的目的,并支持自定义审核字段;12.
支持通过管理平台统一管理准入网关,监控所有准入网关及终端准入状态,支持统一策略下发、统一信息收集;支持集中管理、分级控制,支持至少三级的管控平台级联,可以设置不同的管理角色,并授权对不同的区域进行管理.

13.
支持自动发现并绘制全网网络拓扑,并能手动编辑已绘制网络拓扑,支持拓扑节点终端信息统计展示,并能在通过二级面板详细绘制出终端接入点信息,支持不少于五种拓扑展示方式,并能手动切换展示.

14.
带*参数,须附带产品相关截图.
内网安全管理技术参数1、支持终端计算机用户信息绑定管理,包含但不限于使用人、单位、部门、位置、设备品牌型号、终端类型、计算机维保编号等,要求提供注册截图,管理员应具备相关配置权限;2、支持杀毒软件检查,要求不合规定终端隔离并自动推送;*3、必需具备补丁自动检测与修复机制,且应为独立的补丁分发平台,不依赖WSUS联动实现,具备终端代理转发技术功能(即补丁可由终端转发补丁给其它终端);支持设定补丁分发的连接数和带宽限制;*4、具备终端补丁自检测,用户可使用客户端检测并安装终端补丁;管理员也可远程检测终端补丁安装状况;5、补丁自动分发安装服务,要求能提供可以应对补丁兼容性问题的处理方案;6、支持软硬件采集及变更报警,支持同交换机联动,自动发现终端所在网络位置;7、支持批量终端的软件分发和软件卸载,要求软件分发支持带宽均衡设置;支持软件静默安装;8、支持对(指定公司名称、源文件名、产品名称、MD5探测)进程进行黑白名单的控制,黑名单内的进程自动被禁止,指定执行目录下的白名单内进程自动启动,主要支持除白名单中进程与系统进程外,不允许其他进程;9、支持实时查询终端的服务运行情况,并可以通过管理控制台远程对服务进行启动、停止和重启,也可以远程设置服务的启动方式;*10、支持口令复杂度统一设定和弱口令检查,弱口令强制修改,以及guest账户禁用;支持批量关闭windows防火墙功能;*11、支持IP与MAC绑定,禁止终端用户修改IP地址;同时要求当计算机位置挪动,如换办公室等常见情况下,可以在不关闭IP绑定策略的前提下,提供快速便捷修改IP的解决方案;*12、支持非法外接互联网行为监控,对违规行为可及时处理,处理方式应包含报警、断网、关机、永久锁定网络等,处理时应区分同时连接内外网和仅处于外网时,以备管理员指定不同处理方式;13、支持基于网络端口、IP范围、域名等指定终端的网络访问权限;支持http和https网站的访问权限控制;*14、支持U盘实名制认证,支持U盘分区加密管理,使得内部交换和外部交换可使用不同分区,支持操作行为记录及拷出数据备份;支持禁用智能手机生成的移动媒体或手机助手等进行数据交互;产品应支持移动介质分区后,针对不同分区可以自动调用本地杀毒软件对登录区域进行杀毒操作;*15、需提供支持同内网安全管理软件联动的同品牌专用安全U盘,该U盘需配置独立的资源管理系统,集成U盘隔离功能,实现加密保护、防病毒和自身的日志审计,同时必需具备细粒度的权限划分,支持内网和外网分别设定不同的访问权限,且权限必需包含只读、只写和读写等;16、产品应具备可部署在终端计算机上的报警平台,对客户端的违规报警信息可通过平台以声音和动态报警图标显示,同时支持同短信收发平台、邮件等联动展现;*17、支持创建远程呼叫平台,为终端用户主动向网管员请求远程提供便捷,支持本地计算机和远程计算机文件互传;18、要求系统管理服务器自身具有防IP占用、抗DDOS攻击的安全防护机制;*19、要求客户端提供建立安全基线功能,支持终端健康体检并提供一键修复功能;具备文件保险箱功能,存放在内的文件全部被保护并隐藏;20、提供B/S式的便捷管理方式;21、带*参数,须附带产品相关截图;22、设备需支持认证点数扩展,最高需支持1000个账户认证点;23、支持网络拓扑发现并图形化显示.
其他要求产品制造商具有公安部《信息安全等级保护安全建设服务机构能力评估合格证书》,开标时需提供证件复印件加盖制造商公章.
2.
上网行为管理,数量1台2上网行为管理1、带宽性能100Mb,IPSECVPN性能20Mb,支持用户数800;硬件指标:1U尺寸,2G内存,128GB-SSD硬盘,单电源,1对ByPass口,4电4光接口,1个串口(RJ45),2个USB2.
02、支持网关部署、网桥部署、旁路部署等多种部署方式,支持两台及两台以上设备同时做主机的部署模式;支持基于虚拟化平台的软件版本;3、针对内网用户的web访问质量进行检测,对整体网络提供清晰的整体网络质量评级,支持以列表形式展示访问质量差的用户名单,支持对单用户进行定向web访问质量检测.
(需提供相关功能截图证明并加盖厂商公章)4、支持触发式WEB认证,静态用户名密码认证等;支持LDAP、Radius、POP3、Proxy等第三方认证;支持ISA\lotusldap\novelldap\oracle、sqlserver、db2、mysql等数据库等第三方认证;支持以USB-Key方式实现双因素身份认证;支持绑定IP认证、绑定MAC认证,及IP/MAC绑定认证等;支持当用户MAC地址变动时,需要重新认证;同一个账号,支持与指定数量的多个终端进行自动绑定;支持短信认证方式,用户输入手机号作为用户名,通过短信猫或短信平台发送验证码;支持与微信结合的认证方式,用户关注微信公众号后即通过身份认证,后台记录用户ID;支持二维码认证,管理员扫描访客的二维码后对其网络访问授权;支持冻结认证失败次数超过最大值的用户,在冻结时间结束后恢复登录;5、设备内置应用识别规则库,支持超过6000条应用规则数,支持超过2800种以上的应用,1000种以上移动应用,并保持每两个星期更新一次,保证应用识别的准确率;能够对新浪微博等进行细分控制;(需提供相关功能截图证明并加盖厂商公章)6、设备能够发现私接路由(或者共享软件等)共享网络的行为:1.
支持自定义配置终端数量和冻结时间;2.
支持"仅统计电脑"和"统计所有终端"两种模式;3.
支持可选"冻结IP"还是"冻结用户名";(需提供相关功能截图证明并加盖厂商公章)7、支持通过抑制P2P的上行流量,来减缓P2P的下行流量,从而解决网络出口在做流控后仍然压力较大的问题;(需提供相关功能截图证明并加盖厂商公章)8、能基于关键字、发件人地址等识别和过滤使用邮件客户端外发SSL加密邮件的行为;支持对加密HTTPS、SMTP-SSL、SMTP-TLS、SMTP、Gmail、闪电邮客户端的邮件进行关键字过滤和邮件内容审计;9、所投上网行为管理厂商具有良好的安全服务能力,是国家计算机网络应急技术中心的网络安全应急服务支撑单位(省级及以上),公司研发体系通过CMMIL3或CMMIL3以上认证;需提供上述证明材料复印件加盖厂商公章.
【产品证书】:1、所投产品需具有工信部颁发的《电信设备进网许可证》;2、所投产品需具有国家网络与信息系统安全产品质量监督检测中心《信息技术产品安全测评证书EAL3级》3、所投产品需具有ISCCC《IT产品信息安全产品认证证书》以上证书开标时需提供证明文件复印件并加盖制造商公章.
3.
下一代防火墙,数量2台3下一代防火墙1、三层吞吐量2G,应用层吞吐量300M,并发连结数50W,新建连接数(CPS)15000个,SSLVPN接入数(最大)1000个,SSL最大加密流量100M,IPSecVPN隧道数(最大)1000个,IPSecVPN加密速度30M;1U的尺寸,2G内存,SSD64G硬盘,单电源,4电网口;2、支持路由,网桥,单臂,旁路,虚拟网线以及混合部署方式;支持802.
1QVLANTrunk、access接口,VLAN三层接口,子接口;支持链路聚合功能,支持端口联动;支持连接会话展示,可针对具体的IP地址进行会话详情查询,支持封锁异常会话信息,并支持设置监听具体IP的会话记录;支持多链路出站负载,支持基于源/目的IP、源/目的端口、协议、应用类型以及国家地域;来进行选路的策略路由选路功能;3、支持连接会话展示,可针对具体的IP地址进行会话详情查询,支持封锁异常会话信息,并支持设置监听具体IP的会话记录;访问控制规则支持基于源/目的IP,源端口,源/目的区域,用户(组),应用/服务类型,时间组的细化控制方式;访问控制规则支持数据模拟匹配,输入源目的IP、端口、协议五元组信息,模拟策略匹配方式,给出最可能的匹配结果,方便排查故障,或环境部署前的调试,支持根据国家/地区来进行地域访问控制;4、内置病毒样本数量超过200万;支持URL过滤和文件过滤功能,URL过滤支持GET,POST请求过滤和HTTPS网站过滤,文件过滤支持文件上传和下载过滤;支持针对SMTP、POP3、IMAP邮件协议的内容检测,如邮件病毒检测、邮件内容恶意链接检测,邮件账号撞库攻击检测等,支持根据邮件类型进行文件过滤;(需提供相关功能截图证明并加盖厂商公章)5、可提供最新的威胁情报信息,能够对新爆发的流行高危漏洞进行预警和自动检测,发现问题后支持一键生成防护规则;设备具备独立的入侵防护漏洞规则特征库,特征总数在5000;(需提供相关功能截图证明并加盖厂商公章)6、设备具备独立的僵尸网络识别库,特征总数在40万条以上;支持对终端已被种植了远控木马或者病毒等恶意软件进行检测,并且能够对检测到的恶意软件行为进行深入的分析,展示和外部命令控制服务器的交互行为和其他可疑行为;7、支持资产的自动发现以及资产脆弱性和服务器开放端口的自动识别(需提供相关功能截图证明并加盖厂商公章);支持对检测到的攻击行为按照IP地址的地理位置信息进行威胁信息动态展示,实时监测和展示最新的攻击威胁信息;支持自动生成安全风险报表,报表内容体现被保护对象的整体安全等级,发现漏洞情况以及遭受到攻击的漏洞统计,具备有效攻击行为次数统计和攻击举证;支持安全设备的集中管理,包括配置统一下发,规则库统一更新,安全日志,流量日志实时上报等功能;8、所投产品制造商研发体系需通过CMMIL3或CMMIL3以上认证、为国家计算机网络应急技术中心的网络安全应急服务支撑单位(国家级);9、所投产品制造商需是国家信息安全漏洞共享平台CNVD技术组成员单位;【产品证书】:1、所投产品应具有国家网络与信息系统安全产品质量监督检测中心《信息技术产品安全测评证书EAL3级》;2、所投产品需具有ISCCC《IT产品信息安全产品认证证书》;上述证明材料需提供复印件加盖制造商公章.
4、漏洞扫描,数量1台4漏洞扫描硬件要求:1U机架式结构型;2个10/100/1000BASE-TX管理口;10/100/1000BASE自适应电口≥4个;扩展插槽≥1个性能:单个任务可包含128个C类网段最大允许并发扫描60个IP地址;默认40个最大允许并发扫描100个线程;默认75个最大允许10个扫描任务并发;默认8个检测漏洞数:含三年的漏洞库升级服务.

基本功能:1、自身安全性:采用经过系统加固的专有操作系统;基于B/S模式,支持HTTPS安全访问方式;基于SSL的远程管理和扫描;用户多次登录失败时,自动锁定登录IP;可以限制可扫描的IP地址范围;可以限制用户的登录IP地址;提供配置备份恢复机制;2、产品部署:旁路接入网络,无需改变原有的网络架构;产品的使用无需安装任何类似探针的软件、光盘或USB;支持独立式部署方式;支持分布式扫描部署能力,支持用户进行两级和两级上的分布式、分层部署方式;分布式部署中支持下级管理中心自动连接上级管理中心,上下级单位消息发布、接收以及支持连接状态、拓扑结构、下级引擎状态的查看;持策略的统一制定和分发,应提供可编辑的策略模板;3、资产管理:支持资产自动发现功能,支持利用历史扫描过程中所发现的在线主机信息,来添加资产;支持对已有资产的直接扫描;支持显示资产的历史扫描结果,支持显示资产的风险评估值;支持直接查看资产的漏洞扫描情况;4、漏洞管理:产品漏洞库涵盖目前的安全漏洞和攻击特征,漏洞库具备至少CVE、CNNVD、CNCVE、CNVD、BUGTRAQ编号;产品扫描信息包括主机信息、用户信息、服务信息、漏洞信息等内容.
需给出各类扫描信息的详细列表,支持70000种以上漏洞,其中数据库漏洞库为2500种以上;支持Windows系列、苹果操作系统、Linux、AIX、HPUX、IRIX、BSD、Solaris等目标主机的系统进行扫描;支持对Cisco、Juniper、华为、F5、Checkpoint等网络设备扫描;支持对VMware、KVM等虚拟化设备检测;支持主流数据库的检测,应包括但不限于:Oralce、Sybase、SQLServer、DB2等;支持移动设备扫描;支持对国产化操作系统扫描;支持Windows域环境扫描,可针对目标主机的系统配置缺陷及漏洞进行扫描;产品支持对扫描对象安全脆弱性的全面检查,如安全补丁、口令、服务配置等.
请详细描述针对主机和网络的扫描类别及项目;支持数据库登录扫描,至少应包括数据库账号,密码,SYSDBA、SYSOPER、NORMAL认证,SID、数据库名称、实例名称及实例号等登录选项的设置;支持SNMP等协议的漏洞检测;5、扫描策略配置:产品要求提供多种缺省扫描策略,并可按照特定的需求,灵活制定目标对象或目标群组,可以同时应用不同扫描策略,并允许自定义扫描策略和扫描参数;支持自动定时扫描和多种计划扫描任务管理功能,可按照指定的时间、对象自动扫描,并自动生成报告;可以并行地检查多个被评估的系统,能够提供扫描策略定制,可以保证扫描的安全性,不影响应用系统和网络业务的正常运行;支持口令猜解功能;产品具有无限IP漏洞扫描能力,并提供相应许可;6、扫描功能:支持扫描范围自定义、资产导入扫描范围、从文件导入扫描范围;支持主机存活探测,支持ARP、ICMPping、TCPping及UDPping四种类型;支持connect、SYN两种端口扫描方式;支持每台主机最大并发线程数设置,至少支持100个线程;支持通知被扫描主机设置,在扫描主机的时候会向被扫描主机发送message消息来通知主机;支持显示扫描剩余时间,随时查看扫描进度结果;支持多个扫描进度并发统计展示;支持查看历史扫描记录;支持登录扫描,支持ssh/smb/telnet/pop/pop3/imap/ftp/rsh/rexec/wsus多种登录方式;支持弱口令扫描;支持对全网扫描结果的集中查询、分析;发现网络设备和主机系统的安全漏洞,并提供安全解决建议;支持多主机、多线程扫描;支持动态的显示扫描结果和实时的查看扫描结果;支持扫描结果自动发送扫描报告至指定邮箱;发送到指定FTP服务器;支持扫描完成后进行SNMPtrap告警;支持扫描结果自动发送短信;支持http短信网关;7、报表功能:支持最大限度报告漏洞;报告应具有易懂的漏洞描述和详尽的安全修补方案建议,并提供相关的技术站点以供管理员参考;应可根据角色需求产生灵活的报告格式,支持用户自定义报表和预定义报表;产品应可灵活定制产生各类报表数据的饼图、柱图等图表信息;扫描报告应可对安全的威胁程度分级,并能够形成风险趋势分析报表和主机间风险对比分析报告;报表具备导出功能,可以导出不同格式的报表,如html、Excel、Word、PDF等;8、升级功能:系统应支持自动和手动升级,支持在线升级和离线升级,支持本地升级,升级内容应包括最新的漏洞库和系统自身的补丁程序;支持SSL的Web界面、SSH和Console多种方式;支持远程技术支持信息提取;支持ping、wget;【厂商资质】1、产品制造商需具有ISCCC《IT产品信息安全产品认证证书》;2、产品制造商需具有ISCCC《信息安全服务资质认证证书》(一级应急处理服务)、ISCCC《信息安全服务资质认证证书》(一级风险评估服务);3、产品制造商需是国家级网络安全应急服务支撑单位;中国国家信息安全漏洞库一级技术支撑单位;4、产品制造商需具有《TL9000质量管理体系认证证书》;5、产品制造商需具有《14001环境管理体系认证证书》;6、软件成熟度达到CMMIL3或CMMIL3以上认证;7、产品制造商具有产品涉密信息系统集成甲级资质;以上证明材料需提供复印件加盖制造商公章.
5.
日志审计,数量1台功能指标参数设备配置软件形态,具有自主知识产权并提供证明材料产品性能日志收集能力大于20000条/秒,日志存储能力为10000条/秒存储速度;20000条/M存储能力(每M空间存储20000条以上日志,压缩存储,压缩比:10:1);日志综合处理能力不少于10000条/秒;授权日志源50个基本功能*支持协议类型:支持Syslog、SNMPTrap、Netflow、JDBC等协议日志收集;特殊协议支持订制;支持日志转发功能(要求提供截面证明)*日志压缩存储功能:日志保存时间可以设置为:1—6个月、一年、永久保存(要求截图);原始日志数据进行高效压缩存储,灵活设置系统日志存储空间上限,达到告警上限提示管理员及时处理,达到删除上限会自动删除最旧日志释放空间(要求截图);日志可通过U盘、ftp导出及读取.

*通过管理平台首页即可清晰查看到单日安全事件概况、系统逻辑拓扑图、实时告警信息(要求截图);通过管理平台首页即可实时查看审计中心主机的CPU、内存、流量以及磁盘等的使用情况(要求截图).