《郎溪县财政局网络标准化改造及安全等保二级测评采购需求.doc》由会员分享,可在线阅读,更多相关《郎溪县财政局网络标准化改造及安全等保二级测评采购需求.doc(19页珍藏版)》请在金锄头文库上搜索。
1、郎溪县财政局网络标准化改造及安全等保二级测评采购需求一、产品需求及具体配置对于本次招标中的设备清单,投标方除提供设备清单要求的设备外,还需根据技术要求和自身的系统实施方案补充满足自身方案要求的所需设备(应给予详细说明和列示)。供方提供的设备必须是技术先进成熟、质量合格、性能稳定可靠的定型产品。供方应提供各设备的产品合格证书、结构图纸、软件手册和工具备件。投标人可推荐招标要求外的产品,但这些产品的品牌及参数必须优于或等同于招标要求。设备需求:招标文件要求和中标人的投标文件内容,对进场设备进行参数验证和性能鉴定,发现不符合的,招标人有权要求中标人无条件更换;若不能满足要求的,招标人有权解除与中标人
2、签订的合同,中标人承担由此造成招标人的一切损失。注:本项目所采购的所有软、硬件招标技术指标带的均为实质性指标,投标产品任意参数不满足将导致废标。二、采购清单预算价总计为:壹佰伍拾玖万壹仟贰佰元整(1980000元)序号建设内容数量单位设备参数1专网外联区预算单位接入路由器1台1. 固定接口数目3GE(2Combo)IPv4包转发15Mpps;2. 接口模块插槽10个,配置冗余电源;3. 支持网络设备虚拟化功能,支持将多台物理设备虚拟成一台逻辑设备,提升链路利用率,支持跨设备链路聚合,提供官网截图及链接;4. 支持可扩展虚拟局域网络VxLAN技术来完成数据中心二层互联需求,提供第三方测试报告;5
3、. 投标产品供应商需具备科学、系统的知识产权管理体系。能够全面保护、并系统管理知识产权,支撑企业的技术创新能力。投标产品供应商必需通过知识产权管理体系认证,提供知识产权管理体系认证证书;6. 提供原厂三年服务售后承诺函;中标后提供。7. 要求与核心交换机统一品牌。2预算单位接入交换机1台1. 设备固化百兆电口数24个,2个10/100/1000Base-T以太网端口和2个复用的100/1000Base-X SFP端口;2. 交换容量64Gbps,包转发速率14Mpps;3. 支持业界领先的7KV业务端口防雷能力,提供官网截图及链接;4. 原厂商必需通过知识产权管理体系认证,提供知识产权管理体系
4、认证证书;5. 提供原厂授权和原厂三年服务售后承诺函;中标后提供。6. 为便于管理要求与核心交换机统一品牌。3预算单位接入防火墙1台1. 采用3核以上MIPS多核处理器(非X86多核),提供处理器型号;另提供命令行下多核心状态截图;配备5个千兆电口和4个GE/SFP口,双冗余电源;吞吐量4Gbps,并发会话数200万,支持IPS600Mbps,支持AV350M,IPsec VPN吞吐率800Mbps,新建会话数5万。标配IPSEC VPN 2000条免费隧道授权,SSL VPN支持1000个并发用户,标配8个免费用户授权。2. 出站负载均衡:提供P2P引流、WCMP、智能链路负载均衡技术,可动
5、态探测链路响应速度并选择最优链路进行转发;提供多出口DNS透明代理功能,解决链路切换带来的跨运营商解析问题,并结合DNS、HTTP、TCP、接口流量、报文延迟监测进行流量负载均衡;服务器负载均衡:提供智能Smart DNS功能,实现当外部用户访问内部服务器时,指定运营商用户解析成对应的运营商IP;提供加权哈希和轮询、加权最小会话算法,并对服务器健康性进行检测(TCP、UDP、ICMP),提供服务器会话保持与会话过载保护功能,保障业务连续性与过载防护;3. 提供虚拟路由器与虚拟交换机;提供BFD检测;提供OSPF、BGP、ISIS(路由协议非透传)、提供基于时间与应用的策略路由,并可以与监测对象
6、关联(TCP /HTTP/DNS等),监测对象失败时,策略路由失效;4. 提供旁路、虚拟线工作模式;提供8个配置文件并存;NAT的端口扩展技术,突破单个IP地址64512个端口的瓶颈达到更大值,提供NAT地址池中地址有效性探测、NAT 会话保持;提供链路聚合静态和动态LACP动态协商;5. 采用虚拟管道QOS技术,支持两层八级管道,,对多层级管道流量进行带宽限制、最小带宽保证、预留带宽、TOS标记、对端抑制,可根据业务的优先级进行流量的差分服务,对剩余带宽根据优先级进行带弹性分配,按照业务优先级比例借用剩余带宽,充分利用现有网络资源,管理模式支持整形、管制及监控。支持七层应用并发连接数与新建连
7、接数限制;6. ARP攻击防护:为了防御ARP攻击和ARP病毒,提供免费ARP认证客户端进行ARP认证,提供ARP防御功能,自动代替不同主机发送免费ARP包,保护被代理主机免受ARP攻击;7. 安全策略与检测:提供策略冗余检测,策略支持基于国家地区控制;支持针对于SSL 加密流量识别与病毒检测;通过地理位置显示威胁攻击源,威胁信息包括主机操作系统和浏览器,活跃状态,以及威胁信息统计;8. 具备扩展云端沙箱功能,当设备本身无法判定是否是未知威胁时,由云沙箱引擎提交给云沙箱进行未知威胁检测,返回检测结果,并呈现云沙箱检测未知威胁的完整证据链;9. 为了便捷的管理与运维,提供针对防火墙的管理运维移动
8、APP,并将安全设备注册到云端运维平台,通过移动终端实时查看主备防火墙的运行状态,包括实时流量/应用/设备资源使用率等,当出现告警事件,及时推送给移动运维APP,便于管理员快速定位与解决问题;10. 具备扩展智能威胁分析:高级威胁检测:采用高级威胁检测引擎,采用行为分析技术检测无法通过特征方式检测出来的未知网络威胁,提供未知威胁的检测详细说明截图:包括名称、域名、已经恶意URL、恶意威胁URL、恶意软件的可信度等,威胁证据报文显示和下载;风险减缓措施:支持对威胁行为自动采取减缓措施,避免威胁对业务造成严重的影响。支持带宽限制、会话限制(新建和并发)、阻断等减缓动作(提供包含未知威胁分析、异常行
9、为检测、风险减缓等内容的官方技术白皮书);风险减缓特征库为独立文件,支持自动更新;提供网络攻击链的过程化展示,包括漏洞利用、后门植入、命令控制、内网侦测、内容扩散与数据窃取;智能分析诊断(提供技术白皮书):支持数据包路径检测工具通过在线检测、模拟检测等检测手段,图形化展现数据包经过的每个防火墙功能模块的处理过程,以便快速定位异常功能模块; 支持在线抓包工具,可以根据源地址、目的地址、应用、协议、源端口、目的端口、抓包报文文件大小等条件在线抓包;11. 厂商资质:安全网关销售许可证千兆三级,为保证设备稳定性,防止雷击等意外事故,要求通过防浪涌测试,并提供国家无线电监测中心防浪涌检验报告或相关国家
10、权威检测报告(提供检测报告复印件并加盖原厂商公章),厂商为全国信息安全标准化技术委员会会员单位(提供官网截图证明);中标后提供。12.提供QoS流量管理软件,VPN虚拟专用网络软件、攻击防护软件、虚拟化网络微隔离安全防护、虚拟化安全网关、URL过滤软件,网管软件的软件著作权证书;13. 提供应用识别、负载均衡、IPSECVPN/SSL VPN、上网行为管理功能、智能运维APP功能,并提供三年上述特征升级服务的承诺函加盖厂商公章;中标后提供。提供原厂商针对于本项目三年服务承诺函和授权书原件加盖原厂商公章;中标后提供。4预算单位接入入侵防御IPS1台技术参数要求:1、标准1U机架设备,采用专用多核
11、安全操作系统,提供千兆电口6个;网络吞吐8Gbps,并发会话200万;2、支硬件BYPASS,在设备故障、重启及断电的情况下可保障网络畅通,支持手动配置BYPASS的启停(提供截图证明);3、入侵防御事件库事件数量不少于3500条,提供事件库界面截图;支持IPv6流量的转发及入侵检测(提供截图证明);4、支持无线攻击检测和防护功能扩展,可手工或自动识别和区分内部AP和外部AP,也可以手工或自动识别合法终端,并基于此设定无线准入策略,通过射频信号阻止非法AP、终端的接入。支持无线扫描、欺骗、DoS、破解等常见无线网络攻击行为的检测、告警、阻断功能,同时支持多种类型流氓AP的检测与阻断(提供产品截
12、图证明);5、可基于IP地址、网段、时间、VLAN、协议类型、用户名称等条件设定IPS检测及响应方式,实现虚拟IPS引擎功能;6、支持基于应用层的协议识别功能,支持检测来阻断或控制P2P下载、流媒体、即时通讯软件等;7、提供SQL注入攻击、XSS攻击的检测和防御,对Web服务系统提供保护,要求相关技术具备自主研发专利(提供国家版权局网站查询界面);8、具备基于状态检测技术的防火墙功能,支持静态路由、RIP及OSPF动态路由、策略路由和组播路由,路由、透明、混合接入模式下均支持完整的NAT功能:包括源地址转换、目的地址转换、目的端口转换、静态地址映射等;9、支持扩展对HTTP、FTP、SMTP、
13、POP3、IMAP协议的病毒检测和过滤功能,支持双病毒引擎;10、具备邮件内容过滤功能,有效防止恶意邮件及信息外泄,请提供截图。支持在线部署,旁路部署及在线、旁路混合部署11、资质要求:公安部销售许可证、EAL3证书、CVE证书;厂家具备:国家安全服务二级资质、国家应急响应一级资质; 产品生产厂商必须具备入侵防御产品的自主研发能力,被授予或受理的入侵防御相关专利数不少于90项,请提供列表证明;中标后提供。产品生产厂商必须具备专业的攻防技术研究团队,具备独立的漏洞研究能力及积累,自主发现的CVE漏洞数量不少于120个,需提供自主发掘漏洞清单证明;中标后提供。12、提供原厂商针对本项目的授权书原件
14、及三年售后服务原件;中标后提供。5网络核心区高性能核心交换机2台1. 交换容量5.98Tbps,包转发率252Mpps;提供官网截图及链接证明;2. 每台配置48个10/100/1000BASE-T端口,4个万兆SFP+口,冗余交流电源和冗余风扇。3. 支持集成包括FW,IPS、负载均衡等高性能模块插卡,提供该功能官网截图及链接。4. 无需额外升级软件,可支持RIP、OSPF、BGP、BGP4+、OSPFv3等动态路由;5. 支持EEE(802.3az),端口自动Powerdown功能,端口定时down功能(Schedule job);6. 原厂商应具有TL9000认证和CMMI4认证,ISO
15、20000和ISO27001认证,并提供证书复印件; 7. 原厂商必需通过知识产权管理体系认证,提供知识产权管理体系认证证书; 8. 提供原厂授权和原厂三年服务售后承诺函;中标后提供。6办公接入区终端接入交换机2台1. 设备固化百兆电口数24个,2个10/100/1000Base-T以太网端口和2个复用的100/1000Base-X SFP端口;2. 交换容量64Gbps,包转发速率14Mpps;3. 支持业界领先的7KV业务端口防雷能力,提供官网截图及链接;4. 原厂商必需通过知识产权管理体系认证,提供知识产权管理体系认证证书;5. 提供原厂授权和原厂三年服务售后承诺函;中标后提供。为便于管理要求与核心交换机统一品牌。7堡垒机系统1台1、标准1U机架式设备。千兆电口6个、备自带内部存储容量不小于1T。设备最大并发字符协议不低于700个,最大图形协议不低于200个,可同时管理设备数不低于500个,本次要求配置不少于100个被管资源授权许可。2、须支持的协议审计类型:字符协议包括:SSHv1、SSHv2、TELNET、RLOGIN、TN5250(AS400);图形协议包括:RDP、VNC;文件传输协议包括:FTP、SFTP;数据库协议包括: Oracle、MS SQL Server、
