1、1新昌县人民法院信息安全等级保护整改项目采购要素一、投标人资格(1)投标人必须符合中华人民共和国政府采购法第 22条规定的要求;(2)计算机信息系统集成资质三级及以上;(3)本项目不接受联合体投标。二、采购需求一、项目概况本招标项目为新昌县人民法院信息安全等级保护整改项目,主要包含:防火墙、入侵防御系统、安全管理系统、堡垒机、漏洞扫描、准入控制系统、桌面云、调试笔记本、工作站等。预算金额为 100万元整。二、项目需求中华人民共和国计算机信息系统安全防护条例 (国务院令第 147号)明确规定我国“计算机信息系统实行安全等级保护” 。依据国务院 147号令的要求而制订发布的强制性国家标准计算机信息
2、系统安全防护等级划分准则(GB17859-1999)为计算机信息系统安全防护等级的划分奠定了技术基础。 国家信息化领导小组关于加强信息安全保障工作的意见 (中办发200327 号)明确指出实行信息安全等级保护, “要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度” 。关于信息安全等级保护工作的实施意见 (公通字200466 号)和关于印发的通知 (公通字200743 号)确定了实施信息安全等级保护制度的原则、工作职责划分、实施要求和实施计划,明确了开展信息安全等级保护工作的基本内容、工作流程、工作方法等。信息安全等级保护相关法规、政策文
3、件、国家标准和公共安全行业标准的出台,为信息安全等级保护工作的开展提供了法律、政策、标准保障。为贯彻落实关于印发的通知 (公通字2200743号)和关于开展全国重要信息系统安全等级保护定级工作的通知(公信安2007861 号),我单位开展了信息系统安全测评工作,目前预测评工作已经完毕,等保公司已经出具了测评报告,后续需要根据等保报告对我单位的信息安全进行整体的规划,进一步完善我单位的信息安全防御体系,从而满足等保的要求。本期项目主要采购需求包含:防火墙、入侵防御系统、安全管理系统、堡垒机、漏洞扫描、数据库审计系统、桌面云、调试笔记本、工作站等。在整体集成建设过程中,依据现有设备的集成总体情况,
4、使得我单位通过国家信息系统安全保护测评。三、采购一览表序号 名称 采购需求 数量单位1 防火墙千兆中端防火墙,标准 1U机架,冗余电源,网络处理能力:6Gbps,并发连接数 220万,标配 6个10/100/1000自适应电口和 4个 SFP光纤插槽,三年硬件维修服务。2台2入侵防护系统标准 1U机箱, IPS 吞吐量:2Gbps,标准配置 2个千兆 SFP插槽,内置 2路 bypass,6个10/100/1000M自适应电口,三年硬件维修服务。2台3安全管理系统软硬件一体化系统,标配 6个 10/100/1000自适应电口,内置 1TB存储空间,包含监控节点和审计节点至少 50个许可,三年原
5、厂质保服务。1台4漏洞扫描标准 1U机架设备,产品提供 6个千兆电口,2 个千兆 SFP接口插槽,1 个 CONSOLE口,三年原厂商硬件保修服务。1台5数据库审计系统采用标准 1 U机架式架构,配置 4个10/100/1000BASE-T电口采集口,内置 500G存储空间,含 3年应用特征库升级许可,记录事件数30000 条/秒,总记录事件4 亿条,可审计并发数据库用户数200 个,三年原厂商硬件保修1台3服务。6 堡垒机50个主机/设备审计节点许可。专用千兆多核硬件平台和安全操作系统,内置 500GB磁盘存储空间,4 个千兆电口,三年原厂商硬件保修服务。1台7 桌面云 10个用户授权和 1
6、0个瘦终端 1套8调试笔记本I5或 I7,8G 内存,含 SSD,USB3.0 接口,12 或13寸,三年原厂保修 1台9 工作站E3-1231V3,内存 16G,主板 B85,显卡GTX960,240GB SSD+1T HDD,键鼠 1台四、主要技术指标4.1 防火墙(2 台)指标项 指标要求(为关键指标,不允许负偏离)标准 1U机架,冗余电源,标配 6个 10/100/1000自适应电口和 4个 SFP光纤插槽,标配 2个接口扩展插槽,最大可现场再扩展 26个接口性能参数网络层吞吐量6Gbps,新建连接数8 万,并发连接数220 万要求投标产品支持路由、透明、交换以及混合接入模式,满足复杂
7、应用环境的接入需求;要求支持基于源/目的地址、源/目的端口、协议类型、标识值、接口的策略路由;支持通过设置过滤条件对系统当前的连接会话进行查询和统计;要求支持 URL重定向功能,可以根据源地址、目的地址、目的端口等条件将访问重定向到指定 IP地址或域名;要求可按接口、IP 方式进行 IP/MAC对应关系的自动探测,根据探测结果对 IP、MAC 进行单向、双向绑定; 支持双机热备和双机负载均衡功能功能,支持标准 VRRP协议,支持路由、透明模式下“主-备”、“主-主”方式部署,设备支持一种多防火墙的负载均衡方法及装置的技术,提供支持此技术的知识产权证明复印件。功能要求支持全面的 NAT转换功能,
8、支持对源、目的地址、端口的转换,包括一对一,一对多,多对一地址转换方式;4支持服务器负载均衡功能,最大支持对 8个服务器进行负载均衡,负载算法支持轮循、权重轮循、加权随机、源地址 HASH;支持基于应用(ARP/PING/TCP/HTTP 方式)的链路探测,链路探测失败可以自动进行链路负载重置、备份线路切换、服务器负载重置操作,要求提供功能界面截图; 支持日志记录功能,支持高性能的 syslog日志处理和存储方法的技术,提供支持此技术的知识产权证明复印件。可自动检测网段内 IP地址冲突,并报警。(提供配置界面)支持多纯透明子桥和接口联动(提供配置界面)支持 IPSEC VPN、SSL VPN、
9、PPTP 功能,设备支持一种利用 IPSEC将网络路由扩展到远程网络的方法及装置的技术,提供支持此技术的知识产权证明复印件。支持双向 NAT,支持源地址转换、端口映射、IP 映射三种类型的 NAT。支持设定网段内共享的或者任一地址的新建连接限制,支持设定网段内共享的或者任一地址的并发连接限制(提供配置界面)。系统支持安全策略的统一处理,设备支持一种安全网关中进行安全策略统一处理的方法及装置,提供支持此技术的知识产权证明复印件。支持多路由负载均衡(16 条),可以根据链路探测结果自动进行链路切换(提供配置界面)支持基于应用(TCP/HTTP)的链路探测(提供配置界面)支持超级管理员/策略管理员/
10、配置管理员/审计管理员,多级管理内置安全助手,方便管理员了解内网状况(提供配置界面)支持活动主机探测,并能根据探测结果自动生成资源对象和安全策略(提供配置界面)质保服务 三年免费硬件保修服务,中标后提供原厂商质保函公安部计算机信息系统安全专业产品销售许可证(3 级);高性能 IPv6防火墙系统计算机软件著作权登记证书高性能一体化智能安全处理引擎计算机软件著作权登记证书涉密信息系统集成甲级资质要求原厂商为应用安全联盟会员原厂商参与下一代防火墙标准制定,并提供证明文件资质要求(提供证书复印件)设备制造商要求为“信息安全等级保护关键技术国家工程实验室”理事单位4.2 入侵防护系统(2 台)技术指标
11、技术要求 (为关键指标,不允许负偏离)5标准 1U机箱,6 个 10/100/1000M自适应以太网口和2 个 SFP光口插槽至少提供 3路 IPS或 7路 IDS,不会受 license限制影响防御路数;整机吞吐量6Gbps,IPS 策略开启后吞吐量2Gbps;设备要求最大并发连接数220 万;支持 IPS模式、IPS 学习模式、IDS 模式、IDS 监视模式、Forward 模式、Mirror模式等多种模式,支持直路和旁路同时部署工作模式具有完整的虚拟 IPS功能,一台设备虚拟多个设备,每个虚拟设备不同内存空间、不同检测策略、不同时间控制,满足复杂网络环境;内置 5500种以上的签名特征,
12、 其中内置僵尸网络(Botnet)特征规则数不少于 200条.系统内置 Default IDS 模板、Default IPS 模板、web 系统防护模板、探测扫描攻击防护模板、综合网络防护模板、P2P 应用模板、IM 及恶意网站访问控制模板等至少 7种有针对性的策略模板。可自定义策略以及策略运行时间。安全策略支持基于安全区、IP 地址(组、段) 、规则(组、集) 、时间、动作等对象,定制不同的规则和响应方式对事件的监控必须支持统计分析监控和实时监控;安全事件监控 统计监控器要能在一个配置页面中综合显示网络流量监控、告警等级统计、威胁分布图、攻击源 IP统计、目的 IP地址统计,此监控必须是通过
13、实时采样及统计分析的实时数据。支持国家标准:GB/T 28451-2012(信息安全技术 网络型入侵防御产品技术要求和测试评价方法)标准起草单位,提供证书复印件。产品支持一种网络入侵行为检测系统及检测方法,提供支持此技术的国家知识产权证明复印件。IPS能发现蠕虫入侵,并能立即丢弃入侵的数据包,让蠕虫无法顺利扩散,能对 Zotob worm、 MS SQL Slammer Worm 等蠕虫进行检测和控制;内置 3000种以上的签名特征, 其中内置僵尸网络(Botnet)特征规则数不少于 250条。系统支持一种大规模事件处理的规则群组系统和处理方法,提供支持此技术的国家知识产权证明复印件。基本检测
14、功能支持 Ipv6地址设置,支持 Ipv4及 Ipv6网络环境运行,并可同时检测 Ipv4及 Ipv6的网络数据包。产品必须获得 IPV6 Ready金牌认证,证书上必须标有“Intrusion prevention system”等字样,提供证书复印件。防御木马检测基于 ActiveX、XML、VML、MDAC 等漏洞,可阻止访问者在浏览网站时被诱导植入木马的攻击;具有丰富的漏洞特征库可以实现对木马的精准拦截;6间谍软件 可通过监测下载可执行程序、ActiveX、Java applet等活动,实现阻止间谍软件通过广告、浏览器漏洞、自定义 ActiveX插件等渠道实现安装;阻挡僵尸网络 可依据
15、 BotNet僵尸网络实时黑名单(RBL)以及特征码,侦测并切断僵尸网络连接带宽管理 支持限制连接传输宽带,可精准到 1Kbps,限制传输总量等多种处理方式Web内容检查:可基于 URL、内容等制定黑白名单来对 Web访问进行过滤;支持对指定安全事件的原始信息记录;法医分析可将数据镜像到指定的第三方设备或分析仪记录数据包内容或进一步分析系统须具备实时警报功能,可透过管理 Console、E-Mail Alert等方式通知管理者,并可显示实时攻击事件信息及透过 SNMP警示设备本身状况;支持丢弃数据包、中断连机、事件监视/记录等;响应方式支持与防火墙联动管理/报表可生成查询报表、自动报表、统计报
16、表、一键报表、交叉报表。并支持定时自动发送报表;支持 web界面及命令行下的管理,web 管理界面为全中文界面;集中管理 支持集中控制、集中管理功能,可实现集中进行安全监控管理和配置管理;支持硬件 Bypass,保证设备在断电或宕机的情况下,不会引起网络中断;支持软件 bypass,保证设备在下发策略、编译应用策略时,不影响网络以及探测器与管理器之间的正常通讯;可靠性要求支持冗余部署,基于 HA网络物理接口,可实现在设备宕机、端口坏等故障下的主机和从机的及时切换;厂商提供对特征库的升级更新,频率不低于每周一次;特征库的升级支持设备在线、离线升级特征库;质保服务 三年免费硬件保修服务,中标后提供
17、原厂商质保函公安部销售许可证(符合国标三级)涉密信息系统集成甲级资质要求原厂商为应用安全联盟会员资质要求(提供证书复印件) 设备制造商要求为“信息安全等级保护关键技术国家工程实验室”理事单位4.3 安全管理系统(1 台)指标项 指标要求(为关键指标,不允许负偏离)7该系统为软硬件一体化产品,标准 1U机架设备,内置 1T硬盘,标配 6个10/100/1000自适应千兆电口。本次配置网络设备、主机服务器、安全设备的监控和日志审计许可,监控和审计的节点数量各配置 50个许可。产品形态分为管理中心和管理客户端,采用 B/S架构。其中,管理中心内嵌数据库,用户无需另外安装数据库管理系统;管理客户端基于
18、浏览器,无需安装其他客户端软件。要求采用 Java开发。标明关键业务路径上的各资产等级,在对成百上千个监控指标进行监控时,可以分清告警信息处理的轻重缓急,按资产等级排列事件处理顺序。用户可以在资产管理界面中查看当前资产树的统计摘要,并能够列举出当前所有资产不同严重等级的事件数量,用户点击数量,即可查看该等级事件明细,并进行深入的事件审计和追溯管理范围能够集中监控和管理网络中的主机设备、网络设备、安全设备、应用系统和机房设备。具体包括:交换机、路由器、防火墙、Windows 服务器、AIX服务器、Linux 服务器、HP-UX 服务器、Solaris 服务器、SQL Server、Oracle、
19、DB2、Sybase、MySQL 数据库系统、webshpere/ weblogic中间件、Mail/Web/FTP/DNS/DHCP/WINS 和 LDAP服务机房物理视图管理除了网络拓扑,还支持机房和机架物理拓扑显示,用户可以直观地看到每个机架上的每台设备的运行状态,一有问题就会闪烁告警。用户点击机架上的每个设备,可以进入这个设备的明细监控界面。管理员可以在机架图和网络拓扑图之间自由切换,实现双向设备位置定位。真实设备面板图用户可以看到设备的真实面板图,并可以针对面板上的接口进行实时监控和设置,进行形象化管理。对于新的设备类型,用户可以自定义设备面板。通过一个控制台,用户就能够监控整个计算
20、环境中所有设备的运行状态和性能分析,并实时获得告警,便于采取应急响应行动。系统支持一种网络集中管理平台上的事件处理系统和方法,提供支持此技术的知识产权证明或检测报告复印件。集中监控所有的监控指标都能够设置独立的轮询间隔。对于每个监控指标都能够设置多级监控阈值,并能够进行门限计数,提升阈值告警的精确性。能够实时不间断地将来自不同厂商的安全设备、网络设备、主机、操作系统、数据库系统、用户业务系统的日志、警报等信息汇集到审计中心,实现全网综合安全审计。安全审计包括日志归一化和实时关联分析,系统支持一种大规模事件处理的规则群组系统及处理方法,提供支持此技术的知识产权证明或检测报告复印件。安全审计支持对
21、各类网络设备(路由器,交换机) 、安全设备(包括防火墙,VPN,IDS,IPS,防病毒网关) 、安全系统(Symantec、瑞星、江民、微软ISA、Windows 防火墙) 、主机操作系统(包括 Windows, Solaris, Linux, 8AIX, HP-UX) 、数据库以及各种应用系统(邮件,Web,FTP,Telnet)的日志、事件、告警等安全信息进行全面的审计。通过 SNMP、Syslog、数据库、文件、NetFlow、OPSEC、软件日志采集器、硬件探针等多种方式完成数据收集功能,拥有高性能的 sys log日志处理和存储方法技术,以便于设备达到最佳日志处理性能,提供支持此技术
22、的知识产权证明或检测报告复印件。除了能够将事件以柱图、饼图等图形统计事件信息外,还能够通过世界地图定位 IP地址,通过事件攻击图展示网络安全态势,通过行为分析图展示一段时间内的用户访问行为,并支持雷达图反映当前事件流量。能够在世界地图上实时定位事件源/目的 IP地址的地理位置主机监控 IBM AIX、Linux、HP-UX、Solaris、Windows 2000/2003/2008服务器、小型机网络设备监控 所有支持 SNMP协议的网络设备安全设备监控主流防火墙、VPN、IDS、IPS、UTM、LOGBASE、LENDSEC、防病毒网关、网闸、启明星辰-天玥网络安全审计系统、格尔 CA、山石
23、、网康-智能流量控制系统、报表管理提供丰富的报表管理功能;根据时间、数据类型等定期自动生成报表,提供打印、导出以及邮件送达等服务;直观地为管理员提供决策和分析的数据基础,帮助管理员掌握网络及业务系统的状况。报表可以保存为HTML、EXCEL、文本、PDF、WORD、PNG 等多种格式,提供报表模版的导入、导出功能,用户可根据需求自定义相关报表模版进行数据的导入、导出认证管理可以在一个界面集中管理所有监控对象的认证方式,便于管理员进行统一修改。通过集中管理界面可以实现所有设备和应用管理的入口,从而实现设备统一认证和管理IP地址管理 可以管理企业的 IP地址资源,提供了 IP地址查询,IP 地址扫
24、描,实时把握当前 IP使用情况权限管理采用基于角色的权限管理机制,通过角色定义支持多用户访问。角色能够从设备和功能两个维度进行定义,从而达到控制谁可以对什么设备进行什么操作的控制粒度。此外,用户管理支持第三方认证,支持 Windows AD/LDAP/Radius等认证方式系统管理 完成对系统自身的各项配置工作、系统自身日志记录、系统自身运行状态监视等安全管理系统公安部销售许可证信息技术产品安全测评证书 EAL3+设备制造商要求为“信息安全等级保护关键技术国家工程实验室”理事单位国家保密局涉密系统集成甲级资质;资质要求(提供证书复印件)国家信息安全服务二级资质;9服务 三年原厂免费硬件保修服务
25、4.4 漏洞扫描系统(1 台)指标项 指标要求(为关键指标,不允许负偏离)标准 1U机架设备,产品提供 6个千兆电口,2 个千兆 SFP接口插槽,1 个CONSOLE口标准 1U机架设备硬件规格无 WEB扫描域名限制,无 IP地址扫描限制系统架构 产品应是 B/S架构,而不是 C/S架构网络适用性 产品应旁路部署在网络中,可以对 Web、系统进行扫描,不影响网络结构应支持对 Windows系统漏洞进行扫描评估检查应支持对 Linux、Unix 系统漏洞进行扫描评估检查应支持对网络设备(Cisco、Juniper、华为)和防火墙等系统漏洞进行扫描评估检查应支持对数据库、中间件系统的漏洞进行扫描评
26、估检查应支持对 CGI攻击行为进行扫描评估检查明应支持对邮件、操作系统等本地系统安全进行扫描评估检查应支持对各种系统的远程服务进行扫描评估检查应支持对各种系统服务项进行扫描评估检查系统扫描任务应支持自定义扫描策略、自定义扫描漏洞库。应支持对独立 IP地址、IP 地址段、IP 范围进行系统漏洞扫描应支持对端口号、扫描深度进行自定义系统漏洞扫描应支持自定义每日、每周、每月等时间进行系统漏洞扫描系统扫描应支持在扫描过程中对扫描器端口号、扫描 IP地址、扫描进度进行实时监控应支持对 Oracle、MySQL、SQLserver 等数据库的 SQL注入攻击漏洞进行扫描评估检查应支持对 XSS跨站脚本攻击
27、漏洞进行扫描评估检查应支持对 Apache、Tomcat、IIS 等系统漏洞进行扫描评估检查应支持对网络爬虫、扫描器的信息泄露、目录遍历等攻击方式进行扫描评估检查应支持对 CSRF、Shell 上传文件等漏洞进行扫描评估应支持对独立域名、范围域名进行自定义漏洞扫描评估应支持五种以上 Web扫描深度策略,高危漏洞、中危漏洞、低危漏洞、SQL 注入漏洞、跨站脚本攻击漏洞等应支持三种以上扫描类型,深度扫描、普通扫描、快速扫描等(请提供相应截图证明) 。应支持自定义每日、每周、每月等时间进行 Web扫描应支持在扫描过程对扫描时间、扫描 URL地址、扫描进度进行实时监控Web扫描应支持对在 Web扫描中
28、对空闲的 CPU、内存使用进行手工释放,提高扫描器使用效率审计及告警 应支持对系统漏洞扫描进行日志记录,需有 URL地址、URL 域名、严重级别、漏10洞类型、规则 ID号等详细记录应支持对 Web漏洞扫描进行日志记录,需有 IP地址、漏洞描述、漏洞名称、CVE ID、严重级别、版本号、服务及端口号等详细记录应支持对系统内部操作进行审计日志记录应支持对系统日志进行备份,支持手工备份和自动备份两种模式所有日志记录应支持第三方日志服务器记录,并预留有第三方日志服务器接口应支持对系统漏洞、Web 漏洞进行告警功能,支持SNMPv1、SNMPv2、SNMPv3、Syslog 协议,并以短信、邮件进行实
29、时告警根据系统漏洞、Web 漏洞自动生成报表,报表格式必须支持 PDFWORDEXECLHTML格式报表中需有扫描两次的漏洞对比风险和评估可以根据时间段提供日报、周报、月报、年报,也可以自定义时间节点生成报表报表分析报表可以根据漏洞级别自动生成报表,需支持四种以上漏洞报告,高危漏洞、中危漏洞、低危漏洞、告警漏洞等应支持公有云自动升级服务支持系统离线升级服务应支持公有云自动特征库升级服务支持特征库离线升级服务升级系统每两周提供一次特征库升级,紧急事件第一时间提供特征库升级支持防护联动 可以与 Web应用防火墙进行信息共享,Web 漏洞信息可以发送给 Web应用防火墙,Web应用防火墙根据信息自动
30、生成防护规则支持三权分立管理,必须有管理员账户、审计管理员、配置管理员支持虚拟化管理划分,虚拟多个系统进行设备划分管理账户管理与 认证支持超时重新认证机制并能够定义用户认证尝试的最大允许失败次数支持 SSL的 Web页面、SSL、Console、Webshell 多种方式,并进行相应管理限制管理界面支持中、英文管理界面支持 ping、tcpdump、ifconfig、url 测试等网络工具系统诊断支持远程技术支持信息提取可靠性 支持冗余双系统技术,保证软件不停机计算机信息系统安全专用产品销售许可证设备制造商要求为“信息安全等级保护关键技术国家工程实验室”理事单位国家保密局涉密系统集成甲级资质;资质要求(提供证书复印件) 国家信息安全服务二级资质;4.5 堡垒机(1 台)指标项 指标要求(为关键指标,不允许负偏离)硬件要求 1U机架式结构型,标配 4个 10/100/1000BASE-T电口采集口, 500G 存储空间,50个主机/设备许可。系统架构 支持分(多)级部署,分区域、分权限管理,为避免虚假应标,投标时需提供产品功能截图并加盖原厂公章。
