1、政 府 采 购肇庆市高要区不动产信息登记基础平台安全基础设施建设项目(第二、三期)采购项目编号:441283-201810-140-0084招标项目编号: 0692-189BZQD50097招 标 文 件(招 标 机 构 签 章 位 置 )温馨提示一、 如无另行说明,投标文件递交时间为投标截止时间之前 30 分钟内。二、 投标截止时间一到,政府采购代理机构不接收投标人的任何相关报价资料、文件。为此,请适当提前到达。三、 投标保证金必须于投标截止时间前到达广东省机电设备招标中心有限公司账户(开户行及账号见投标须知)。由于转账当天不一定能够达账,为避免因投标保证金未达账而导致投标被拒,建议至少提前
2、 2 个工作日转账。四、 请正确填写投标报价表。多子包项目请仔细检查子包号,子包号与子包名称必须对应。2五、 请仔细检查投标文件是否已按招标文件要求盖章、签名、签署日期。六、 投标文件应按顺序编制页码。七、 如所投产品属于许可证管理范围内的,须提交相应的许可证复印件。八、 如投标人以非独立法人注册的分公司名义代表总公司盖章和签署文件的,须提供总公司的营业执照副本复印件及总公司针对本项目投标的授权书原件。九、 投标人请注意区分投标保证金及招标代理服务费收款账号的区别,务必将保证金按招标文件的要求存入指定的保证金专用账户,招标代理服务费存入中标通知书中指定的服务费账户。切勿将款项转错账户,以免影响
3、保证金退还的速度。十、 为了提高政府采购效率,节约社会交易成本与时间,本中心希望购买了招标文件而决定不参加本次投标的供应商,在投标文件递交截止时间的 3 日前,按投标邀请函中的联系方式,以书面形式告知政府采购代理机构。十一、 本公司将严守法律法规及行业规范完成本项目代理服务,未经委托单位书面同意不增加任何收费项目;严禁员工以口头、书面或暗示等任何形式向招投标相关人员表达有可能影响公开、公平、公正的行为;严禁员工直接或间接接受钱财物品;如有发现,请拨打投诉电话 020-66341917 向我们反映,谢谢!十二、 根据广东省财政厅有关规定,请各相关供应商在参与广东省政府采购活动前,务必在广东省政府
4、采购网(http:/)的“供应商库”进行注册登记。十三、 肇庆市公共资源交易中心网供应商注册:如在肇庆市公共资源交易中心网站未注册登记的供应商,请登录 http:/ 录第一部分 投标邀请函第二部分 用户需求书第三部分 投标须知第四部分 评标方法第五部分 合同书格式第六部分 投标文件格式2第一部分投 标 邀 请 函3投标邀请函广东省机电设备招标中心有限公司受肇庆市国土资源局高要分局的委托,对肇庆市高要区不动产信息登记基础平台安全基础设施建设项目(第二、三期)进行公开招标采购,欢迎符合资格条件的供应商投标。一、采购项目编号:441283-201810-140-0084二、采购项目名称:肇庆市高要区
5、不动产信息登记基础平台安全基础设施建设项目(第二、三期)三、采购项目预算金额(元):1,850,000.00;四、采购数量:一项五、采购项目内容及需求:(采购项目技术规格、参数及要求,需要落实的政府采购政策)1. 采购内容:肇庆市高要区不动产信息登记基础平台安全基础设施建设(第二、三期);2. 本次采购的货物必须是产自中华人民共和国境内的货物。技术要求详见招标文件第二部分“用户需求书”的采购项目内容;3. 合格的投标人应对所有采购货物和服务进行报价,不允许只对部分货物和服务报价;4. 本项目不允许提交备选方案。六、供应商资格:1. 供应商应具备政府采购法第二十二条规定的条件;2. 供应商未被列
6、入“信用中国”网站()“记录失信被执行人或重大税收违法案件当事人名单或政府采购严重违法失信行为”记录名单;不处于中国政府采购网()“政府采购严重违法失信行为信息记录”中的禁止参加政府采购活动期间。(以代理机构于投标截止日当天在“信用中国”网站( )及中国政府采购网 ()查询结果为准,如相关失信记录已失效,供应商需提供相关证明资料);3. 本项目不接受联合体投标;4. 已登记报名并购买了招标文件。说明:本项目采用网上注册报名,投标供应商在购买招标文件之前,登陆广东省机电设备招标中心有限公司网站(http:/)具体流程操作见网站 “投标人自助操作指南”的对应栏目,相应准备资料如下:企业营业执照、税
7、务登记证、组织机构代码证(或三证合一)彩色扫描件、管理员授权委托书彩色扫描件;符合资格的供应商在网上注册报名成功后方可购买招标文件,购买方式:网上购买,标书款支付方式电汇或网上支付,不接受现金(开户名称:广东省机电设备招标中心有限公司;开户行:建设银行广东省分行;账号:44001863201053034613)。注:我中心只开具对应金额电子增值税普通发票。”七、符合资格的供应商应当在 2018 年 10 月 13 日 至 2018 年 10 月 19 日 期间(上午 9:00 至 12: 00,下午 14 :30 至 17:00,法定节假日除外, 不少于 5 个工作日)到广东省机电设备招标中心
8、有限公司(详4细地址:本项目采用网上注册报名,请登陆广东省机电设备招标中心有限公司网站(http:/)购买招标文件,招标文件每套售价 200 元(人民币),售后不退。八、投标截止时间:2018 年 11 月 2 日 10 时 00 分;九、投标文件递交地点:肇庆市高要区城区府前大街 9 号高要区公共资源交易中心二楼开标室;递交时间:2018 年 11 月 2 日 9 时 30 分至 10 时 00 分; 十、开标时间:2018 年 11 月 2 日 10 时 00 分;十一、开标地点:肇庆市高要区城区府前大街 9 号高要区公共资源交易中心二楼开标室; 十二、本公告期限(5 个工作日)自 201
9、8 年 10 月 13 日至 2018 年 10 月 19 日止。十三、联系事项: (一)采购项目联系人(代理机构):黄小姐 联系电话:0758-2313408采购项目联系人(采购人):纪先生 联系电话:0758-8368388 (2 ) 采购代理机构 :广东省机电设备招标中心有限公司地址:广东省广州市越秀区东风中路 515 号东照大厦 5 楼 501 房联系人:文婉君 联系电话:020-66341917 传真:020-66341967 邮编:510045(3 ) 采购人:肇庆市国土资源局高要分局地址:肇庆市高要区南岸街道府前大街 2 号 联系人:纪先生 联系电话:0758-8368388 传
10、真: 邮编: 526040附件:1、委托代理协议2、招标文件发布人:广东省机电设备招标中心有限公司发布时间:2018 年 10 月 12 日5第二部分用 户 需 求 书6一、项目概述1.本次项目为肇庆市高要区不动产信息登记基础平台安全基础设施建设项目(第二、三期),投标人报价包括设备采购、运输、安装、调试、相关部门验收及保修期内的维护保养等所有费用;投标人应对所有采购货物和服务进行报价,不允许只对部分货物和服务报价,且要提供完整的技术资料。本项目不允许提交备选方案。2.采购预算:本项目的投标报价最高限价为 1,850,000.00 元,超出最高限价的投标报价将被拒绝。3.交货期:签订合同后 1
11、 个月内完成所有硬件及安全网络设备的供货、安装、调试工作并提请采购人组织验收。4.交货地点:肇庆市国土资源局高要分局信息中心(具体位置由采购人指定)。注:投标人不得对本需求书中标注“”的条款作负偏离响应或不响应,否则作无效投标处理。标注“”的条款为重要技术指标,投标人如“不响应”或“负偏离”响应将作为严重扣分的依据。二、项目情况说明2.1.建设背景高要区不动产登记信息管理基础平台网络和安全基础设施建设,是在现有信息化成果的基础上,改造和完善不动产专网网络基础设施和安全保障体系,破除信息共享障碍,实现网络互联互通,促进数据整合共享,统筹业务应用,拓展服务范围,提高安全保障能力。肇庆市国土资源局高
12、要分局已于2017 年度按省厅 117 号文的要求建设完成了一期安全基础设施,实现了省市(区)上下级协同建设,建立了全省联通的 VPN 虚拟专网,部署了必要的边界安全防护措施,有效阻断来自外部的安全攻击,同时部署基本的安全设备,建立不动产登记信息管理基础平台市县级节点基本安全保障体系。为落实广东省国土资源厅广东省国土资源厅关于做好不动产登记专网建设工作的通知(粤国土资登记发2016117 号)、广东省国土资源厅关于印发的通知(粤国土资登记发201857 号)相关要求,我局将积极推进“互联网+不动产登记”应用服务,由于互联网环境开放程度高,网络安全风险隐患大、攻击入口多;不动产登记信息量大面广,
13、涉及个人隐私和商业秘密,关乎政府自身形象,关系百姓切身利益,信息非常敏感,须加强网络安全保护。本方案建设立足于肇庆市国土资源局高要分局网络环境现状,根据广东省国土资源厅转发国土资源部办公厅关于做好不动产登记信息安全工作的通知(粤国土资登记发2015212 号)、广东省国土资源厅关于做好不动产登记专网建设工作的通知(粤国土资登记发2016117 号)及广东省不动产登记信息安全技术规范(试行)实施要求,开展二期、三期网络安全基础设施的建设,从而最终完成不动产登记信息专网安全基础建设,完善本单位的网络安全、主机安全、数据安全、应用安全和物理安全,为不动产统一登记构建一个坚实、安全、可靠的网络环境。2
14、.2.建设依据71、广东省国土资源厅转发国土资源部办公厅关于做好不动产登记信息安全工作的通知(粤国土资登记发2015212 号)2、广东省国土资源厅关于做好不动产登记专网建设工作的通知(粤国土资登记发2016117 号)3、广东省不动产登记信息安全技术规范(试行)4、GB/T22239-2008 信息系统安全等级保护基本要求5、不动产登记信息管理基础平台建设总体方案(国土资发【2015】103 号);2.3.建设目标目前我分局不动产专网已经实现与省厅虚拟专网网络直连,与省国土资源厅网络互联、数据交换。实现了本级住建、农业、林业、海洋等相关管理部门的横向信息协同共享的网络与安全。不动产登记信息管
15、理基础平台网络与安全基础设施建设目标是:1、全面建成不动产登记信息管理基础平台县区级节点“纵深防御、多层防护、全面监测、响应及时”的安全保障体系。2、提高对系统的监控管理能力,实现对不动产登记信息管理基础平台市县区级节点的安全运维和安全监控。3、建设完善的不动产登记信息管理基础平台县区级节点灾备系统,以提高系统的可用性,确保不动产登记数据的安全性。4、确保不动产登记信息管理基础平台本级节点的安全保障能力,满足相关法规要求,达到符合等保要求。2.4.建设任务2.4.1.保障国土资源纵向信息安全运行建立全省不动产登记的 VPN 虚拟专网,在网络边界做好安全防护工作,抵御来自外部的安全攻击,在不动产
16、业务数据中心对数据安全进行多重保护,构建一体化安全防御系统,实时监控保护不动产数据库,保障不动产登记信息管理平台本级节点系统及数据的安全性和系统的可用性。2.4.2.保障横向互联网+不动产登记安全运行面对复杂的互联网信息共享与数据交换业务需求,肇庆市国土资源局高要分局有必要对不动产登记信息安全共享控制平台(以下简称“控制平台”)外部网络接入部署下一代防火墙提供基础安全防护,建设一套互联网+不动产登记跨网数据交换系统对不动产登记信息基础平台提供强隔离安全防护。2.4.3.加强不动产专网本级安全运行按 117 号二、三期建设内容,进一步加强与完善不动产信息登记基础平台数据库服务器区域的安全防护。2
17、.4.4.与“互联网+不动产登记”应用的接口对接开发8本次建设的“互联网+不动产登记登记”跨网数据交换系统需配合软件开发商进行对接的接口适配开发,并与原有控制平台的对接兼容开发,内容需包括 Web Service 接口开发、XML 报文安全检查功能开发,无反馈性报文转发的适配等,确保跨网数据交换系统完全满足广东省国土资源厅关于加强全省不动产登记网络与信息安全保障工作的通知(粤国土资登记函20182642 号)的要求,且须通过广东省不动产登记信息管理基础平台的测评。具体工作包括:1)接口调研:调研原有控制平台对接采用的协议,以及本次项目需要对接的软件开发商的协议,派出技术人员进行调研;2)接口开
18、发:包括原控制平台设备兼容开发,和本次项目对接的软件开发商对接开发;3)接口对接测试,包括与原控制平台设备兼容对接测试;与软件开发商对接的业务测试及安全功能测试,测试结果须通过用户单位组织专家评审认可,中标人需安排充足研发人员现场配合,须一周内对接成功,满足(粤国土资登记函20182642 号)的测评要求。三、安全总体规划根据国家级基础平台建设总体方案的要求,不动产登记信息管理基础平台需面向各级不动产登记机构、不动产审批和交易主管部门、其他相关部门、社会公众四类服务对象,提供登记业务支撑、信息实时互通共享、信息共享交换、信息依法查询服务。根据肇庆市国土资源局高要分局内部网络安全现状,对不动产专
19、网的总体安全基础设施建设规划如下:虚拟专网电子政务外网信息协同共享单位电子政务外网电子政务外网互联网 / 3 G / 4 G信息共享服务单位虚 拟 专 网 接 入 安 全控 制 平 台对 外 数 据 交 换 和 外 部访 问 安 全 控 制 平 台内 部 用 户 外 访 安 全控 制 平 台移 动 终 端 接 入 安 全控 制 平 台数 据 中 心 边 界 安 全防 护 平 台安全监控区 基础服务区 应用服务区 系统数据服务区运维管理区 认证服务区 数据交换区数 据 中 心 网 络安全区域划分:9在数据中心网络内部,可划分为核心网络域、计算环境域、安全管理域、网络接入域四个安全域。1、核心网络
20、域:是部署数据中心网络设备的区域。2、计算环境域:是部署不动产登记信息平台县区级节点服务器及相关设备的区域。主要包括基础服务区、认证服务区、应用服务区、数据服务区和数据交换区。3、安全管理域:是部署不动产登记信息管理基础平台县区级节点系统管理和安全管理系统(设备)的区域。主要包括安全监控区和运维管理区。4、网络接入域:是其它网络接入数据中心网络的区域。主要包括业务网接入区、虚拟专网接入区、对外服务接入区、移动终端接和外访接入区等区域。4、项目采购需求4.1.采购清单(具体技术参数详见“详细技术参数”章节内容。)序号 名称 功能与用途 数量 单位1外部接入边界下一代防火墙部署在外部共享单位接入网
21、络边界。包括网络防火墙、网络 IPS、网络流量控制和防病毒网关功能。 1 台2上下级接入边界下一代防火墙隔离数据中心网络与上下级虚拟专网,并对它们相互间的访问进行控制。对数据中心网络、上下级虚拟专网间的数据流量进行安全检查,对流量中包含的攻击代码进行过滤。1 台3内部用户外访安全控制下一代防火墙对不动产专网内用户访问其它单位系统、访问互联网进行控制。对从互联网、外单位系统进入不动产专网的文件进行病毒检查和过滤。1 台4 前置交换系统包括内外两端,分别部署虚拟窗口互联网应用区内外侧,其主要作用是实现互联网信息共享各方的接入,提供接入认证,传输加密、文件格式检查、文件病毒检查、敏感信息检查,对外服
22、务接口攻击防护、访问控制等安全防护与安全控制功能。2 套5 单向网闸 用于互联网+不动产登记,内网与互联网数据单向数据交换安全隔离组件。 1 台6 上网行为管理系统 对用户互联网访问准入、行为管理、用户互联网访问行为审计功能 1 台7 APT 攻击检测系统对从信息共享单位或互联网系统进入虚拟专网的流量进行APT 检测,防止虚拟专网及不动产登记信息管理基础平台受到 APT 定向攻击。1 台8 Web 应用防火墙为 Web 应用服务器提供应用级的细粒度安全防护,阻断攻击者对 Web 应用的攻击,增强 Web 应用的安全性。对 Web GIS 应用访问协议进行完全解码。1 台9 堡垒机对专网和不动产
23、登记信息管理基础平台的运维操作进行集中控制,实现双因素身份认证、访问控制、操作审计等功能。1 台10IT 运行集中监控系统(日志审计系统)对专网及不动产登记系统中端到端链路、网络设备、主机(物理/虚拟)、数据库、中间件和应用系统实现全方位、可视化、统一集中监控和管理。1 台10对专网及不动产登记系统中网络设备、主机(物理/虚拟)、数据库、中间件和应用系统实现日志存储。11 漏洞扫描系统用以定期对不动产登记信息管理系统和终端进行漏洞扫描,及时发现存在的漏洞,掌握不动产登记信息管理系统中存在的安全状况。1 台12 终端安全管理系统实现对不动产专网终端的准入控制、资产管理、外设管理和非法外联控制功能
24、,实现对专网全网终端的全面安全管理。1 台13 CDP 灾备系统通过 CDP 灾备系统的镜像、快照、复制等功能防范所有灾难的发生,确保数据不丢失并完整可用,实现数据与应用的快速恢复,必要时通过异地灾备系统实现异地灾难恢复,实现数据与应用的连续运行。1 台14 VPN 网关与广东省不动产登记信息管理基础平台建立基于 VPN 加密认证访问的安全数据汇交通道,标配国密办加密卡。与现有的 VPN 网关实现冗余。1 台15 机柜 42 服务器机柜(高 2000mm/宽 605mm/深 1000mm),黑色。 2 台16 现有 VPN 网关升级服务 对现有 VPN 网关增配国密办加密卡,支持SM1、SM2
25、、SM3、SM4 国产加密算法。 1 项17 服务器加固服务包括安装最新补丁、删除多余服务和组件、按等保标准对服务器进行安全配置措施,并在系统运行期间,定期进行漏洞检查和安全加固。1 项注明:该项目的核心产品是:单向网闸、堡垒机、漏洞扫描系统。提供相同品牌核心产品且通过资格审查、符合性审查的不同投标人参加同一合同项下投标的,按一家投标人计算,评审后得分最高的同品牌投标人获得中标人推荐资格;评审得分相同的,评标委员会确定投标价格较低的投标人获得中标人推荐资格;评审得分和投标价格均相同的,评标委员会采取随机抽取方式确定获得中标人推荐资格的投标人;其他同品牌投标人不作为中标候选人。4.2.详细技术参
26、数1、下一代防火墙(包括外部接入边界下一代防火墙、上下级接入边界下一代防火墙、内部用户外访安全控制下一代防火墙)指标项 指标要求接口 标准独立式硬件架构平台,配置 6 个 100/1000M 自适应电口,4 个 SFP 插槽,2 个高速USB2.0 接口性能 防火墙系统吞吐量5Gbps,防病毒吞吐1.6Gbps,入侵防御吞吐3.6Gbps,并发连接数220 万采用专用一体化硬件平台,具备自主研发的安全操作系统,要求提供国家版权局颁发的多核多线程 ASIC 并行操作系统软件著作权登记证书复印件并加盖所投产品制造商公章和投标人公章基本要求支持多系统(3 个)引导,并可在 WEB 界面上直接配置启动
27、顺序,除恢复系统之外,还可在 WEB 界面上支持系统完整备份,支持多个系统配置文件,可导入导出恢复配置,配置文件可根据关键的功能模块分别导入导出 访问控制 支持基于状态检测的动态包过滤技术;支持基于策略的HTTP、FTP、TELNET、SMTP、POP3 等透明代理和深度过滤11支持透明、路由、混合三种工作模式(要求提供基于桥的二层交换式防火墙包过滤第三方证明材料并加盖所投产品制造商公章和投标人公章)支持基于源/目的 IP 地址、IP 地址段、端口、服务、网口、时间、应用、URL 类别等安全策略的带宽管理支持 IPv4 和 IPv6 双栈协议下的入侵检测与防护入侵防御事件库至少应包括木马后门、
28、间谍软件、可疑行为、安全漏洞及网络数据库攻击等的特征事件,提供相关界面截图证明并加盖所投产品制造商公章和投标人公章(每种特征一张,共 5 张)支持恶意地址主动屏蔽,以用于提前免疫包括病毒网站或者攻击源地址的攻击,要求提供基于主动识别第三方证明材料并加盖所投产品制造商公章和投标人公章支持 IPS 云防护功能,可将检测出的攻击特征备份至云端进行分析入侵防护支持根据不同的源 IPv4/IPv6 地址、目的 IPv4/IPv6 地址、服务、时间、接口、角色等,采用不同的入侵防护策略支持 IPv4 和 IPv6 双栈协议下的病毒扫描与防护支持 HTTP,SMTP,FTP,PO3P,IMAP,等多种应用协
29、议下病毒防护,支持自定义非标准端口下应用协议的病毒防护支持 MSN(非加密和非压缩模式下)等 IM 协议病毒防护采用自有知识产权的病毒防护引擎,包括病毒检测引擎和病毒分析引擎(提供第三方证明材料并加盖所投产品制造商公章和投标人公章)防病毒支持 AV 云防护功能,可将检测出的病毒文件备份至云端进行分析;具备 1000+针对 Web 服务攻击防护的特征库可发现 Webshell 恶意上传行为并进行拦截,具备 50 种以上的行为特征库Web 安全 识别与分析能力:采用先进的协议分析技术对入侵特征进行分析,可有效防范 DNS请求报文洪泛滥攻击,可有效对系统进行安全性识别,要求分别提供第三方证明材料并加
30、盖所投产品制造商公章和投标人公章提供中国国家版权局颁发的下一代防火墙计算机软件著作权登记证书复印件并加盖所投产品制造商公章和投标人公章产品资质提供 IPv6 Ready 第二阶段核心金牌认证证书复印件并加盖所投产品制造商公章和投标人公章2、前置交换系统序号 指标项 指标要求网络接口:2 个千兆电口1 硬件指标要求标准 2U 机架式设备,安全单电源文件交换:文件交换数量300 个/秒。文件交换吞吐量400Mbps。数据库同步:数据库同步记录数1000 条/秒。数据库同步吞吐量200Mbps。服务接口调用:服务接口调用并发请求数2000 个。服务接口调用吞吐量400Mbps。2 性能指标要求支持以
31、虚拟化设备方式云端部署基于企业服务总线(ESB)架构,可容易地进行功能扩展和定制开发。支持应用注册、应用管理、消息接收和分发、消息内容转换和数据清洗,支持基于内容的消息路由(此功能需产品厂家出具承诺函)支持对接入用户多种方式的认证和授权,包括 IP 地址、用户名/口令、用户数字证书(GDCA 广东数字认证中心)等,并能据此实施访问控制3 功能要求支持进行系统身份验证和数据加密,支持 SSL 证书12支持前端轮询 FTP 服务器获取文件支持前端按通知访问 FTP 服务器获取文件支持前端作为 FTP 服务器接收文件支持前端发布 Web 服务接口接收文件支持前端轮询 Web 服务接口获取文件支持后端
32、将文件直接写入 FTP 服务器支持后端将文件写入 FTP 服务器后通知应用服务器下载支持后端将文件缓存在本机后通知应用服务器下载支持后端将文件直接提交到应用服务器发布的 Web 服务接口支持前后端使用不同方式进行文件交换的组合使用支持 FTP 文件交换,即 FTP 外置服务器文件交换到 FTP 内置服务器支持 FTP 文件交换辅助通知支持 FTP 交换完整性,即文件交换时会存放在临时目录,交换完成后再迁移支持 Web 服务文件交换,即外部 Web 服务文件同步到内部 Web 服务支持 Web 服务调用数据库交换,即前端发布 Web 服务接口调用后端数据库 JDBC 交换支持 Web 服务调 W
33、eb 服务交换,即前端发布 Web 服务接口调用后端 Web服务接口支持 XML 报文解析调用数据库,即通过对前端收到的 XML 请求报文的解析来调用后端的数据库,并将获得的数据整合到 XML 响应报文中返回给调用者支持 XML 报文解析调用 Web 服务,即通过对前端收到的 XML 请求报文的解析来调用后端的 Web 服务接口,并将获得的数据整合到 XML 响应报文中返回给调用者支持通过对前端收到的 XML、JSON 请求报文的解析获取的信息二次调用数据库获取更多相关信息,并将 XML 请求报文及相关信息发送到审计系统进行查询展示支持前后端访问数据库,进行数据库记录的交换支持前后端访问数据库
34、,实现数据库的同步支持前后端访问数据库,实现多表关联的数据库记录交换支持前后端访问数据库,实现关联的多表数据库记录交换和 FTP 文件交换支持通过数据库触发器实现前后端数据库同步支持通过自定义字段实现前后端数据库同步支持对交换的 Excel 文件进行数据内容检查支持文件常规检查功能,可对交换的文件进行基于正则表达式的文件名及后缀名(扩展名)检查,即在策略配置中用定义好的字符、字符的组合组成一个规则字符串,文件名及后缀名(扩展名)符合规则字符串定义的文件将触发相应处理措施。白名单模式下,文件名及后缀名(扩展名)符合规则字符串定义的文件可进行交换,不符合的文件将被拒绝交换,并记录日志;黑名单模式下
35、,文件名及后缀名(扩展名)符合规则字符串定义的文件将被拒绝交换,记录日志,并触发安全告警,不符合的文件可进行交换。支持限定交换的文件大小区间,在区间内的文件可进行交换,否则将被拒绝交换,记录日志,并触发安全告警。(需提供公安部下属检测机构出具的检验检测报告复印件并加盖该产品厂商公章)支持基于文件特征的文件类型检查功能,即基于文件内容特征检查文件类型,当启用文件特征过滤功能时,文件特征符合策略的文件,将触发相应处理措施。白名单模式下,文件特征在白名单中的文件可进行交换,13文件特征不在白名单中的文件将被拒绝交换,记录日志,并触发安全告警;黑名单模式下,文件特征在白名单中的文件可进行交换,文件特征
36、不在白名单中的文件将被拒绝交换,记录日志,并触发安全告警。(需提供公安部下属检测机构出具的检验检测报告复印件并加盖该产品厂商公章)支持文件内容关键字检查功能,可检查文件内容是否包含指定关键字。当启用文件内容关键字策略并设置相应策略时,内容包含指定关键字的文件,将触发策略中定义的处理措施。(需提供公安部下属检测机构出具的检验检测报告复印件并加盖该产品厂商公章)支持恶意代码扫描功能,可对文件进行病毒、木马等恶意代码检测,当检测到恶意代码时将拒绝交换,记录日志,并触发安全告警。(需提供公安部下属检测机构出具的检验检测报告复印件并加盖该产品厂商公章)支持与国产防病毒系统的联动支持 XML 文件元素检查
37、,即检查 XML 文件中的字段,对含有未在配置项中出现的字段的报文采取禁止通过处理,含有在配置项中出现的字段的报文采取通过处理支持 XML 文件元素数据类型检查,即检查 XML 文档元素的内容是否符合数据类型要求支持 XML 文件元素数据固定值检查,即检查 XML 文档元素的内容是否符合数据固定值要求支持 XML 文件元素内容格式检查,即检查 XML 文档字符串类型元素的内容是否符合字符串的格式要求,支持正则表达式支持 XML 文件元素内容长度检查,即检查 XML 文档字符串类型元素的内容是否符合字符串长度限制要求支持 XML 报文签名验签功能。前端接收 XML 报文,对 XML 报文进行数字
38、签名,附加到 XML 报文中,将带有数字签名的 XML 报文交换到后端。对交换的 XML 报文进行数字签名验证,当验证不通过时将拒绝交换,并触发安全告警。(需提供公安部下属检测机构出具的检验检测报告复印件并加盖该产品厂商公章)支持 XML 报文加密解密功能,可对前端收到的带有密文的 XML 请求报文进行解析并解密,根据解析的查询条件查询后端的数据库,根据获得的数据生成 XML 响应报文,对 XML 响应报文的指定内容进行加密,将带有密文的 XML 响应报文返回给调用者。(需提供公安部下属检测机构出具的检验检测报告复印件并加盖该产品厂商公章)支持带签名的 XML 报文的请求响应功能,可对前端收到
39、的带有数字签名的 XML 请求报文进行解析并验证签名,如验证不通过将拒绝请求,记录日志,并触发安全告警,如验证通过则根据解析的查询条件查询后端的数据库。根据获得的数据生成 XML 响应报文,对 XML 响应报文进行数字签名,将带有数字签名的 XML 响应报文返回给调用者。(需提供公安部下属检测机构出具的检验检测报告复印件并加盖该产品厂商公章)支持 XML 报文附件检查功能,可对 XML 报文的附件解析后进行病毒、木马等恶意代码检测,当检测到恶意代码时将拒绝交换,记录日志,并触发安全告警。(需提供公安部下属检测机构出具的检验检测报告复印件并加盖该产品厂商公章)支持身份认证功能,前端发布的 Web
40、 服务支持采用 WS-Security 规范进行用户名/口令及数字证书认证,认证通过方可访问 Web 服务。(需提供公安部下属检测机构出具的检验检测报告复印件并加盖该产品厂商公章)支持黑白 IP 配置,即对访问系统的 IP 进行限制,限制方式有单一 IP、多个单一 IP 以及 IP 段,设置可通过 IP 和不通过 IP,设置规则后白 IP14可以通过,黑 IP 则被自动阻止支持通过设置访问控制进行防火墙规则过滤。可针对不同的管理端口进行 IP 、源端口、目标端口、网络协议类型设定,进行授权及过滤,当启用其中的过滤规则之后,将调用规则过滤,产生安全事件日志支持对接入用户多种方式的认证和授权,包括
41、 IP 地址、用户名/口令、用户数字证书等,并能据此实施访问控制支持数据备份与恢复,即实现系统数据库的备份及系统数据库的恢复支持多前置系统部署(需产品界面截图,并加盖产品厂家公章)支持基于网络防火墙/网闸的内外网隔离方式(需产品界面截图,并加盖产品厂家公章)支持基于光闸的双单向内外网隔离方式(需产品界面截图,并加盖产品厂家公章)支持采用单向设备向审计系统进行单向导入支持协议隔离部件,符合信息安全技术 网络和终端设备隔离部件安全技术要求 GB/T 20279-2006中 5.3.1 协议隔离部件 第三级、信息安全技术 网络和终端设备隔离部件测试评价方法 GB/T 20277-2006中4.3.2
42、 协议隔离部件 第三级所述的有关要求。(需提供公安部下属检测机构出具的检验检测报告复印件并加盖该产品厂商公章)4 接口对接要求需配合互联网+ 不动产登记应用软件开发商对接的接口适配开发,以及后续软件开发商的接口修改与增加等适配开发与维护;需与原有信息安全共享控制平台的无缝对接兼容性开发。确保跨网数据交换系统完全满足广东省国土资源厅关于加强全省不动产登记网络与信息安全保障工作的通知(粤国土资登记函20182642 号)的要求,且须通过广东省不动产登记信息管理基础平台的测评。5 资质要求 需具有国家版权局计算机软件著作权登记证书6 其它要求需与目前高要不动产登记的登记信息基础平台的信息安全共享控制
43、平台集控系统及审计系统无缝对接,接收省厅下发的策略与日志上传指令,并向其上传策略配置和事件日志,实现全省的统一安全防护。(需在投标文件中提供产品制造商出具的承诺函并加盖产品制造商公章)3、单向网闸序号 指标项 指标要求2U 标准机架式机箱安全单电源1 硬件指标要求接口数量:内网 2 个 10/100/1000M BASE-TX 接口外网 2 个 10/100/1000M BASE-TX 接口2 个 RJ45 串口4 个 USB2.0 接口并发连接数10 万开关切换时间10ns系统延时1ms内部交换5Gbps2 性能指标要求最大吞吐量500Mbps15系统架构:1、采用 2+1 系统架构即内网单
44、元+外网单元+FPGA 专用隔离硬件。不能采用网线等形式直通。2、采用基于 linux 内核的多核多线程专用 SUOS 安全操作系统,加固内核。管理接口:外网端不允许配置任何形式的管理接口,所有管理配置操作均通过专用的网闸内网可信端管理接口进行配置。部署模式:设备支持透明、代理及路由三种工作模式,管理员可依据实际网络状况进行相应的部署。内置应用:产品内置各类应用支持模块,无须用户增加投资,功能模块至少包含:邮件模块、安全浏览模块、视频交换模块、数据库访问模块、数据库同步模块、文件交换模块、OPC 模块、MODBUS 模块、WINCC 模块、组播代理模块、用户自定义应用模块等各类应用模块,并可控
45、制相应应用协议的的动作、参数、内容。数据库代理:支持的数据库种类包括ORACLE、SQLSERVER、MYSQL、SYBASE 等主流数据库支持多种关系型数据库通信。支持 SQL 语句的白名单数据库同步:1.系统支持数据库同步应用,支持ORACLE、SQLSERVER、MYSQL、SYBASE、DB2、POSTGRESQL 等多种主流国外数据库的同步和国产达梦数据库、人大金仓数据库的同步2.支持同构、异构数据库之间的同步,支持大字段的同步。文件同步:支持 Samba、FTP、HTTP 等多种通信协议支持文件类型黑白名单传输控制可通过专用客户端或共享方式提供安全的文件同步功能支持一对多或多对一传
46、输TCP 应用传输:支持 TCP 应用层数据单向传输的控制,保证 TCP 应用数据的 0 反馈,以满足二次防护对数据传输的安全性需求。提供功能界面截图并加盖所投产品制造商公章和投标人公章组播代理:系统支持多任务的组播代理功能,可穿透三层交换机网络进行部署,支持 PIM 协议工业控制应用:1、支持 DCS/SCADA 生产网络与办公网络之间的 OPC 应用数据的传输。支持同步、异步监测数据的传输,只需绑定固定的一个起始端口即可满足动态端口的数据传输。提供功能界面截图并加盖所投产品制造商公章和投标人公章工业控制应用:2、支持 MODBUS 协议传输代理模块,可按照用户需求控制具体功能代码,比如只允
47、许读取,不能控制等。提供功能界面截图并加盖所投产品制造商公章和投标人公章工业控制应用: 3、支持西门子的 WINCC 控制协议传输代理模块,可按照用户需求控制功能代码,比如只允许读取,不能控制等。提供功能界面截图并加盖所投产品制造商公章和投标人公章自定义应用:支持 TCP/IP 以上的应用层协议,支持自定义的 TCP、UDP 协议的数据隔离交换,以用户定制的命令、参数等协议解析方式来解析自定义应用的通信内容。管理用户:采取系统策略配置管理员、安全管理员与日志管理员三种角色分立的权限分配模式,用户只能维护操作本类基础管理角色的功能与操作,权限各不交叉。时间模式:支持根据时间自动切换的安全策略。支
48、持时间段以 24 小时制,支持以星期为周期,支持指定时间点一次性运行;3 功能要求诊断工具:系统提供 ping ,traceroute ,TCP 端口探测、抓包等工具方便管理员在配置策略或调整网络时排查问题;16安全管理:管理口无 IP 地址,采用专用控制台软件才能搜索到设备,并管理设备。图形化管理界面简单易操作,管理员分级管理的集中设备管理方式。系统同时支持加密的 WEB 方式管理。日志审计:系统可存储和审计包含:系统日志;管理日志;网络活动日志;入侵报警及处理日志;访问控制日志。双机热备:支持双机热备及多机热备功能,最大化的保障业务可用性。需具有国家版权局计算机软件著作权登记证书4 资质要求需具有公安部计算机信息系统安全专用产品销售许可证4、上网行为管理系统指标项 指标要求机架式独立硬件设备,采用专用一体化硬件平台,具备自主研发的安全操作系统,要求提供国家版权局颁发的多核多线程 ASIC 并行操作系统软件著作权登记证书复印件并加盖所投产品制造商公章和投标人公章产品结构采用透明部署方式;专用硬件平台和安全操作系统,存储容量 500G,适用于 100M 带宽接入网络,用户数不限制接口 要求至少配置 6 个 10M/100M/1000M 自适应电口;内
