1、1韶关市公安信息网边界接入平台系统建设和检测项目一、项目概述本项目为市公安边界接入平台,包括:一是构建市级边界接入平台。按照边界安全接入的规范要求,采取区分链路安全防御的方法,构建集边界保护、身份认证、应用安全、安全隔离和平台自身安全防护等功能的边界接入平台。二是建设边界接入平台监控和管理系统。按照统一接入管理、统一应用审计、统一运行监控、统一策略部署的要求,建设边界接入平台的集中监控和审计系统。 二、项目内容根据接入对象不同,边界接入业务划分为社会企/事业单位接入、党/政/军机关接入和公安驻地外用户接入方式。三、技术要求3.1 基本技术要求1) 平台建设方案要完全符合公安部颁发的公安信息通信
2、网边界接入安全规范要求;2) 平台安全体系满足三重防护体系和两个基础设施的安全要求;3) 平台集中监控与审计系统支持部/省/市三级接入平台体系;4) 平台的关键设备:可信边界安全网关、数据交换系统、集中监管与审计系统通过公安部指定的公安部等级评估保护中心的权威检测,2并经公安部同意在全国公安信息通信网边界接入平台建设中广泛使用。边界接入平台其他产品也应是获得公安部销售许可的产品。3.2 功能要求1) 投标人必须严格按照公安部关于安全接入平台建设的有关文件公安信息通信网边界接入平台安全规范的边界接入平台要求实施项目建设,并负责将所有设备按照公安部对边界接入平台的建设要求进行项目集成。2) 平台必
3、须实现涵盖数据交换和授权访问两类应用、三类接入业务(社会企事业单位接入、党政军机关接入、公安驻地外接入)完整功能的平台,外部网络接入业务上,需覆盖包括社会企事业单位接入、党政军机关接入和公安驻外地接入等各种业务的安全接入。3) 可信边界安全网关实现用户身份认证,与公安 PKI/PMI 系统同一厂商,支持证书链认证,支持证书撤销列表(CRL)下载、验证,保证接入用户身份的合法性;4) 可信边界安全网关实现设备认证,依据设备注册登记信息对通过专线、VPDN 拨号等各种线路方式接入的终端设备进行认证,保证接入设备的合法性;5) 可信边界安全网关可以根据边界接入的需要,设置角色,指定相应的资源访问权限
4、,防止非授权访问和越权访问;6) 可信边界安全网关基于角色、权限分配,设置细粒度访问控制策略,达到非法用户不能访问,合法用户不能越权访问的目的;37) 可信边界安全网关实现传输保护,与客户端之间使用 SSL 协议对通信过程进行加密和完整性保护,保证数据传输的安全性;8) 数据交换系统可实现不同类型文件、数据库间的同步和交换,如Oracle 数据库、SQL Server 数据库、DB2、SYBASE 等,能够设置一对多数据同步,多对多数据同步,支持全表双向同步.支持数据库增删改同步。9) 数据交换系统业务扩展性强,接入新的前置业务时,只需在数据交换系统上作适当的配置即可实现新业务的数据交换,且不
5、需要增加投资。源目标数据库表结构一致情况下自动快速匹配,减少配置难度。10) 数据交换系统应实现丰富灵活的内容检查、病毒查杀、格式检查。内容检查必须能够根据预先定义的规则进行内容过滤检查; 病毒查杀能够查杀病毒木马等恶意程序,并能够更新病毒库;格式检查支持字段长度检查、数值范围检查、基于自定义布尔条件判断检查、身份证特定格式检查、大字段内容还原格式检查、不依赖扩展名文件格式检查。11) 数据交换系统应支持多业务复用:必须支持多业务接入后,各业务之间不冲突,单独启停其他业务不会影响正常业务.底层通道独立.12) 数据交换行为可回溯:数据交换行为可追溯包括:数据来源,交换时间,是否授权,交换内容,
6、交换成功等.13) 数据交换的文件交换支持单向双向文件同步,支持各种常见文件类型,支持不同操作系统下的文件同步,传输文件大小无限制.414) 数据交换必须支持单向的授权访问功能;支持 TCP/UDP 协议代理,同时也用该支持常见协议代理,代理需做授权认证.15) 集中监管与审计系统提供接入平台注册管理功能,包含平台信息注册、业务信息注册、使用单位信息注册、设备信息注册、接口信息注册。16) 集中监管与审计系统提供流量监测,能够监测整个平台以及平台内部各个链路和业务的流量信息。17) 集中监管与审计系统提供在线用户统计分析,用户行为审计,业务应用审计,设备安全审计,异常行为审计,系统备份恢复功能
7、,日志收集和导出功能和集中管理等功能。18) 平台信息统计分析能够对平台本身进行相关信息统计和分析,包括设备运行状况,负载情况。19) 实现与公安信息网络运行管理系统对接。内置集成级联上报功能。3.3 安全要求3.3.1 系统安全要求1) 提供有效手段保障网络通信基础设施、网络上的各种系统以及系统上各种应用的正常运行,防止对公安专网信息资源进行非授权访问和操作,防止通过外网对公安专网的各种攻击行为。包括访问控制、病毒防护、审计与跟踪、可用性保障等内容。2) 用户身份认证:能与公安 PKI/PMI 体系无缝集成,支持证书链认证,支持证书撤销列表(CRL)下载、验证,保证接入用户身份的合法5性。整
8、个平台须与公安 PKI/PMI 无缝集成,使平台接入终端在通过边界接入平台安全认证后可使用 PKI/PMI 系统的数字身份证书访问公安信息网资源。3) 设备认证:能依据设备注册登记信息对通过专线、ADSL 拨号、3G无线等各种线路方式接入的终端设备进行认证,实现设备唯一性认证,防止非法设备接入。访问控制:能对用户访问公安信息通信网进行细粒度访问控制。通过身份认证的接入终端只能访问接入平台内的指定设备,并且只能进行允许的操作,非授权的访问应被阻断。4) 配置安全:单向 UTC,外网服务器不提供任何服务端口,不接受任何服务请求,所有服务请求由内网信任服务器发起.5) 安全信任链:内外网服务器与安全
9、隔离网闸联动,通过证书建立信任关系,在数据交换唯一通道形成一条安全信任链.增加系统健壮性。3.3.2 通信安全需求1) 保障用户在接入公安专网过程中的身份的鉴别、数据传输中的保密性、数据完整性验证等。2) 数据通道保护:基于角色、权限分配、设置细粒度访问控制策略,能达到非法用户不能访问,合法用户不能越权访问的目的。在客户端和可信边界安全网关之间建立高强度的安全加密通道,能保证数据传输的机密性、完整性,防止公安敏感信息在传输过程中被泄露6或被篡改。3) 链路认证:能对应用访问链路进行认证,防止非法链路接入。网络安全需求。3.3.3 网络安全需求1) 需实现包括社会企事业单位接入、党政军机关接入、
10、移动警务办公接入等在内的各类业务从链路安全、网络安全、主机安全、应用安全等层面的安全措施,并将社会企事业单位接入与其他接入链路从物理链路上隔离建立安全通道,确保链路安全。2) 网络安全防护:需实现通过探针等对接入的行为进行分析,防止非法和恶意的入侵行为;防病毒服务器对接入流量进行扫描,阻止病毒、恶意代码对公安信息通信网的渗透,为边界接入平台提供病毒防范功能。四、设备清单本次招标采购的软硬件货物具体清单:表 1-1 货物清单序号 设备名称 数量 单位 性能指标1 数据交换系统 2 套 详见以下表 1-22 集中监控与管理系统 1 台 详见以下 表 1-33 集控探针 2 台 详见以下表 1-44
11、 可信边界安全网关 2 台 详见以下 表 1-55 CA 身份认证服务器 1 台 详见以下 表 1-66 安全隔离与信息交换系统 2 台 详见以下表 1-77 防火墙 2 台 详见以下 表 1-88 IDS 入侵检测系统 1 台 详见以下 表 1-99 二层交换机 2 台 详见以下 表 1-1010 路由器 1 台 详见以下 表 1-1111 三层交换机 2 台 详见以下 表 1-1212 服务器 4 台 详见以下 表 1-13713 机柜 2 套 详见以下 表 1-1414 三层交换机 1 台 详见以下 表 1-15五、软硬件技术指标要求5.1 数据交换系统表 1-2 数据交换系统指标项 详
12、细要求规格 主机 包括两台主机,分别部署在两个网络之间,连接两个网络中应用服务器传输数据,主机之间部署安全隔离网闸实现隔离环境下进行数据安全交换I/O 设备 网络 每台设备具备 2 个千兆高速以太网网络接口,可扩展至最多4 个其他 操作系统 使用安全加固的 TopOS 安全 Linux 操作系统数据库同步 支持 SQLServer、Oracle、Sybase、DB2 等的单、双向数据交换;无需修改数据库表结构,不涉及代码修改;可同时发送和接收多个数据库中多个表;支持多种增量方式;可分别定义增加、删除、修改的数据传输;根据指定字段值进行条件传输;支持大字段数据同步交换;支持异构数据库安全传输;数
13、据传输高度可靠,采用文件落地缓存确认机制进行保证。文件同步 支持多种文件传输方式:专用客户端、FTP、Samba、NFS;高可靠文件传输,文件完整性校验;文件内容识别检查过滤;文件传输加密。流数据交换 支持包括网络音频、视频、流媒体在内的多种协议数据传输交换:如 FTP、TNS、POP3、SMTP 等。数据交换日志收集 收集平台系统内部各网络设备、应用服务器的运行日志,并同步到内部监管系统,用于平台系统日志分析。数据传输方向控制可根据实际应用需求配置应用传输方向,可根据管理员配置实现单向或双向的数据传输交换。数据传输 以静态数据格式方式传输,也可根据需要落地到主机上形成静态文件进行交换。内容过
14、滤、格式检查、病毒查杀可对交换的数据内容进行检查过滤,识别敏感关键字符;对于数据库记录中的大字段内容可在还原后进行处理;对交换的数据库数据内容可根据用户定义进行格式匹配检查,防止数据被恶意篡改;内嵌病毒查杀引擎,可对不同平台下的病毒进行查杀。业务、应用 系统可根据管理员配置单独启停数据交换服务;也可根据管理员定义单独启8控制 停任何一个独立的应用。用户认证 对系统管理员、普通用户分层次进行管理认证。系统审计 对用户、管理员的所有操作均进行审计记录,并对非授权、越权访问进行记录。系统管理 使用基于 HTTPS 的安全加密协议进行管理;可指定管理终端主机。性能及其它要求1、稳定性运行时间(MTBF
15、):50000 小时2、可实现 520Mbps 的交换能力,10000 个并发会话 ;数据库到数据库交换最大并发数据表1024;3、数据影射最大字段数256;4、数据库到数据库交换记录数(100Kb/记录)1000 条/秒;5、数据文件处理文件数(100Kb/记录)800 个/秒;数据文件处理吞吐量200Mbps;6、应用层数据交换速度(FTP)200 Mbps;7、并发客户端数量3000;最大数据文件10G;8、任务调度粒度为秒级;9、目录监控触发时间50000 小时3、最大支持业务数量:500;4、最大监控并发用户数量:2000;5、最大审计用户数量:10000;6、自身内置大型关系型数据
16、库;7、可在内网实现对全网业务运行状态监控;8、可在内网实现对全网设备运行状态监控;9、可在内网实现对全网设备运行状态的管理;10、内置级联上报信息系统,满足后期级联上报数据需求。11、全国安全隔离网闸制造厂商之一,保证与网闸协议的兼容性。5.3 集控探针表 1-4 集控探针指标项 详细要求规格 主机 标准机架式机箱,1U 设备I/O 设备 网络 2 个千兆网络接口,可扩展至最多 4 个其他 操作系统 使用安全加固的 TopOS 安全 Linux 操作系统协议支持 支持 SYSLOG 协议;支持 SNMP v2/v3 协议性能及其它要求1、部署于应用服务区,收集边界接入平台数据交换系统外的网络
17、设备、应用服务器以及前置机的日志信息,并整理写入到平台监管系统的数据库2、稳定性运行时间(MTBF):100000 小时3、全国安全隔离网闸制造厂商之一,保证与网闸协议的兼容性。5.4 可信边界安全网关表 1-5 可信边界安全网关指标项 详细要求规格 主机 标准机架式机箱,1U 设备,包括访问控制模块、审计模块I/O 设备 网络 2 个千兆网络接口主要功能包括用户身份认证、设备认证、访问控制、权限管理、传输加密、终端加固、监控审计等,并能支持与安全监控与管理系统的对接。用户身份认证与公安系统现有 PKI/PMI 系统属同一软件厂商,具备良好兼容性,支持对多种证书链的认证,支持证书撤销列表(CR
18、L)下载、验证,保证接入用户身份的合法性。10设备认证 依据设备注册登记信息对接入平台的终端设备进行认证,保证接入设备的合法性权限管理 可以根据边界接入的需要,设置角色,指定相应的资源访问权限,防止非授权访问和越权访问访问控制 基于角色、权限分配,设置细粒度访问控制策略,达到非法用户不能访问,合法用户不能越权访问的目的传输加密 与客户端之间使用 SSL 协议对通信过程进行加密和完整性保护,保证数据传输的安全性监控审计 对接入用户的访问过程进行详细的记录,并实时报送给集中监控与审计系统,保证用户访问过程可控、可查、可追溯安全加固 能实现对客户端软件的自动下载,并可实现客户端的自动启动、外联网口关
19、闭及自动断网功能,以实现对客户端的安全加固。性能要求 1、稳定性 MTBF(平均无故障时间间隔)50000 小时;2、支持双机热备、支持负载均衡3、最大新建连接数:1500 次/秒4、最大并发连接数:2500 条5、每秒事务数目(TPS):6500 次6、最大吞吐量:480Mbps7、最大接入用户数:250008、产品必须满足计算机信息系统安全产品第一部分:安全功能检测身份鉴别类标准要求,满足国家保密局涉及国家秘密的信息系统安全中间件产品技术要求 (秘密) ,并能提供同类项目的有效证明性文件。5.5 CA 身份认证服务器表 1-6 CA 身份认证服务器指标项 详细要求规格 主机 标准机架式机箱
20、I/O 设备 网络 大于 1 个百兆网络接口性能及其它要求包括证书注册模块、证书签发模块、证书发布模块、密钥管理模块等四个部分,提供了完备的证书管理功能:1、 用户信息注册/签发;用户信息更新;2、 证书恢复;证书废除;证书重发;3、 微软智能卡证书/计算机证书/域控制器证书签发;4、 证书注销列表(CRL)与 CA 证书下载;内置 LDAP 服务;5、 产品在未来 3 年内符合国家密码技术发展要求,支持 ECC 算法。6、 支持最大用户数量20000 个,并发用户数1000同时,它具备完备的产品管理功能,如系统备份/恢复、系统在线升级、系统日志查询、License 在线升级、管理员管理、网络
21、配置等115.6 安全隔离与信息交换系统表 1-7 安全隔离与信息交换系统指标项 详细要求系统架构 采用 “2+1”系统架构,即由两个主机系统和一个隔离交换矩阵组成,主机系统采用 VSP 通用安全平台,隔离交换矩阵基于专用交换芯片实现主机系统间采用自有协议摆渡数据,确保信任网络和非信任网络之间任何连接的断开,彻底阻断 TCP/IP 协议及其他网络协议产品架构隔离交换矩阵自主研发的硬件,无操作系统,外界无法编程控制,而不是采用低安全性的通用可编程硬件,如网线、SCSI、USB 等。接口 接口配置 2U 机箱;单电源;可扩展为热备冗余电源;软件系统:设备管理配置功能和定制访问功能(可实现访问控制,
22、但无应用层过滤功能;内网:标配 1 个 10/100M 自适应网络接口,1 个 10/100M 自适应网络扩展接口,1 个 10/100M 自适用应管理口,1 个 10/100M 自适应HA 口(双机热备口);外网:标配 1 个 10/100M 自适应网络接口,3个 10/100M 自适应网络扩展接口,1 个 10/100M 自适应管理口,1个 10/100M 自适应 HA 口(双机热备口)。系统吞吐量 不小于 91Mbps(单向)性能延时 小于 5ms实现文件的安全交换,支持 NFS、SMBFS 等文件系统和多种细粒度检测控制功能。支持改名传输方式,可实现对源文件改名,标明传输状态。支持增量
23、传输方式,可实现只传输修改和增加了的源文件。文件交换支持传输后删除方式,可实现传输结束后删除源文件。数据库同步 支持 Oracle、SQL、Sybase、DB2 等主流数据库,支持不同类型的数据库间、不同结构的表间的内容同步;支持客户端与网闸间的第三方数字证书方式的身份认证,确保只有被授权的合法用户才能运行;支持客户端与网闸间的 SSL 加密传输,确保网络数据传输的安全定制访问 实现特定 TCP、UDP 协议的数据隔离交换,可合作定制开发针对特定协议的安全检测,实现如黑白名单控制、关键字过滤等功能模块消息传输 支持基本字符和文本的消息传输,支持二次开发 API,支持 SSL 加密传输,提供文本
24、消息的内容过滤攻击防御 专业检测引擎主机系统内置 USE 统一安全引擎关联安全应用内网管理联动遵循 CSC 关联安全标准,实现与内网安全管理系统联动,通过Leadsec 安全管理系统实现集中安全管理专用冗余协议支持 MRP 多重冗余协议,保障设备的高可靠性可靠性链路聚合 物理端口支持 802.3ad 标准,实现链路聚合功能12其它 与防火墙、入侵检测系统 IDS 为同一品牌,确保统一遵循安全标准(CSC),实现无缝联动。证书资质要求 具有计算机信息系统安全专用产品销售许可证具有国家信息安全认证产品型号证书具有涉密信息系统产品检测证书具有军用信息安全产品认证证书具有计算机软件著作权登记证书具有计
25、算机信息系统集成一级资质具有国家信息安全认证服务二级资质具有涉及国家秘密的计算机系统集成甲级资质5.7 防火墙表 1-8 防火墙指标项 详细要求操作系统 要求具备自主研发的安全操作系统,并提供该安全操作系统的软件著作权及彩页作为证明标准 1U 设备,标配 6 个 10/100/1000BASE-T 端口,最大可扩展至 8 个10/100/1000BASE-T 端口硬件规格最大无故障时间(MTBF):80000 小时吞吐量(bps);1.1G最大并发连接数;180 万每秒新建连接数;16000产品规格性能参数可支持扩展 IPSecVPN 与 SSL VPN 模块P2P 下载控制 识别和控制迅雷、
26、BT、eDonkey、eMule 等常见 P2P 下载软件P2P 视频播放控制 识别和控制 PPLive、QQLive、PPStream 等常见 P2P 视频播放软件IM 即时通讯软件控制 识别和控制 QQ、MSN 等常用 IM 软件,一键式阻断 IM 软件机密文件传输在线游戏控制 识别和控制魔兽、CS、征途、联众、天堂、梦幻西游、仙剑情缘、热血江湖、劲舞团、诛仙、浩方、泡泡堂等多种在线游戏软件炒股软件控制 识别和控制大智慧、同花顺、国泰君安、证券之星、广发证券、指南针、通达信、股票之星、华安证券、和讯报道、钱龙等多种炒股软件支持基于分类库的 URL 访问控制,可以对色情、反动等多种负面网站按
27、类别进行选择控制绿色上网WEB 过滤支持 50 多种分类库,800 万级网址智能特征库13支持 URL 独立特征库,支持增量升级管理 采用高速辨认技术,缩短匹配时间,不影响产品整体性能基于源/目的 IP 地址、MAC 地址、域名、端口或协议、服务、网口、时间、用户的访问控制基于源/目的 IP 地址、端口、服务、网口、时间、应用等安全策略的带宽控制状态检测可基于时间和安全域进行安全隔离,同一时间内网主机只能访问 DMZ 区或者只能访问外网透明代理 实现基于策略的 HTTP、FTP、TELNET、SMTP、POP3 等透明代理和深度过滤IP/MAC 绑定 实现 IP/MAC 地址绑定,且支持 IP
28、/MAC 地址对的自动探测和唯一性检查访问控制用户认证 支持基于客户端的本地认证、无客户端软件的 WEB 认证,并支持Radius 等第三方认证支持透明、路由、混合三种工作模式支持 DHCP Client、DHCP Relay、DHCP Server支持 PPPoE 接入,并具备自动断线重连技术接入模式支持纯透明桥接功能支持静态路由,动态路由(OSPF、RIP 等),VLAN 间路由,单臂路由,组播路由等支持基于源/目的地址、接口的策略路由路由支持多出口路由负载均衡NAT 支持双向 NAT、动态地址转换和静态地址转换,并支持多对一、一对多和一对一等多种方式的地址转换VLAN 支持 802.1Q
29、 和 ISL VLAN 封装协议,支持两种封装的互换以及 Vlan Trunk基于 IP 地址、服务、网口、时间等定义带宽分配策略支持最小保证带宽和最大限制带宽带宽管理支持分层的带宽管理网络适应性动态协议 在各种工作模式下均支持 H.323(H.323 GK)、SIP、FTP、MMS、RTSP、UPnP、XDMCP、TNS 等多种动态协议支持标准 IPSec 协议,能够与 CISCO、NETSCREEN 等知名厂商的 VPN 设备互联互通支持预共享密钥、证书等认证方式且支持 X 扩展认证支持 3DES、DES、AES 等加密算法支持 AH 和 ESP 封装模式以及 MD5、SHA1、SHA2
30、等通用摘要算法支持 DH1024、DH2048、RSA1024、RSA2048 等非对称加密算法支持多出口 VPN,且支持 NAT 穿越VPN IPSec VPN支持隧道接力,并可通过隧道接力实现分级的树状 VPN 结构部署14GRE/PPTP/L2TP 支持 GRE、PPTP 、L2TP 等 VPN 连接支持 SSL VPN 和 IPSec VPN 同时使用采用无客户端认证方式实现隧道安全连接SSL VPN能进行个性门户(portal)定制化处理,可替换图片、文字等IPSec VPN 客户端可与所有支持标准 IPSec 协议的 VPN 网关互联互通支持基于 USB Key 的证书认证方式VR
31、C(VPN 客户端)IPSec VPN 客户端支持 Microsoft Windows 2000/XP、Vista 等操作系统集成基于统一安全引擎(USE)的 IDS 模块,具备 1600 种以上攻击特征库规则入侵检测遵循关联安全标准(CSC)实现与 IDS 的联动采用基于摘要索引的内容加速算法(DCA 算法)进行蠕虫病毒过滤采用基于 TCP 连接数管理的侦测技术,对感染蠕虫病毒的异常主机进行定位蠕虫防护实现对blaster,nachi,nimda,codered,sasser,slapper,sqlexp,zotob等主流蠕虫病毒的识别、过滤和拦截入侵检测与防御抗 DDoS/DoS 攻击可识
32、别和防御 syn flood、Ping flood、udp flood、teardrop、sweep、land-base、ping of death、smurf、winnuke、圣诞树、碎片等多种攻击网页过滤 支持对网页关键字和 Java、JavaScript、ActiveX 进行过滤支持对邮件地址、主题、正文、附件名、附件内容等进行关键字匹配过滤邮件过滤支持对中转垃圾邮件进行识别和过滤内容过滤FTP 过滤 支持对 FTP 上传和下载文件的控制支持关联安全标准(CSC)可实现与 IDS 等设备的联动关联安全应用关联安全可实现与内网安全管理系统(ISM)的联动支持友好的 Web 图形界面配置支持
33、远程 SSH 和串口命令行配置支持数字证书和电子钥匙两种管理员认证方式,支持管理员权限分级支持 SNMP 管理,与当前通用的网络管理平台兼容可导出可读的配置文件并进行打印存档管理配置 系统管理可进行配置文件的备份、下载、恢复和上传15系统监控 支持对 CPU、内存、磁盘、网口、用户在线状态、连接数、路由表等信息的监控支持设备内存储和专用事件分析服务器两种日志管理方式日志报警支持分级报警,支持 SNMP Trap 和邮件等报警方式可通过专用的集中管理系统实现对防火墙的集中设备监控、集中日志审计、安全报警以及防火墙、VPN 部分策略的分发等功能可通过专用的集中管理系统,实现对网络拓扑的管理,基于域
34、的权限分配和报表自动生成,以及设备的历史状况回放集中管理可提供专用的软件实现对防火墙接入用户认证的集中管理,至少可同时管理 2048 台防火墙支持多重冗余协议(MRP),实现链路备份、端口备份、热备份、集群备份等支持防火墙多 WAN 口备份和负载均衡支持基于 802.3ad 标准的多端口聚合,实现零成本扩展带宽负载均衡通过状态同步技术实现 232 台防火墙的多机集群在 NAT、路由、透明模式下支持 A-A,A-S 模式,且切换时间小于 1 秒高可用性双机热备可在热备和集群工作模式下支持多台防火墙的配置自动同步其它 防火墙,安全隔离与信息交换系统与入侵检测系统必须为同一品牌。证书资质要求具备公安
35、部颁发的计算机信息系统安全专用产品销售许可证 具备国家保密局涉密信息系统安全保密测评中心颁发的涉密信息系统产品检测证书 具备中国信息安全产品测评认证中心颁发的国家信息安全认证产品型号证书 具备中国人民解放军信息安全测评认证中心颁发军用信息安全产品认证证书 具备国家版权局颁发的计算机软件著作权登记证书具备信息产业部颁发的计算机信息系统集成一级资质证书具备中国信息安全产品测评认证中心颁发的国家信息安全认证信息安全服务资质证书(安全工程类二级)具备国家保密局颁发的涉及国家秘密的计算机信息系统集成资质证书(甲级)厂商是中国信息安全产品测评认证中心授权培训机构投标人必须具有原厂商对该项目的支持授权5.8
36、 IDS 入侵检测系统表 1-9 IDS 入侵检测系统指标项 详细要求产品架构 系统架构 产品由控制台软件和探测器两部分组成,探测器使用专用的一体化硬件平台16操作系统 探测器的操作系统为 VSP 通用安全平台,具备高效、智能、安全、健壮、易扩展等特点检测引擎 探测器采用高性能的 USE 统一安全引擎监听接口 不少于 3 个 10/100M 自适应电口性能 最大检测能力 不小于 100Mbps综合运用会话状态检测、应用层协议完全解析、误用检测、异常检测等多种检测技术,并支持自定义协议和检测事件支持对 VLAN Trunk、SSL 加密数据等进行检测支持 IP 碎片重组、TCP 流重组、引擎级的
37、事件归并、报警缩略再分析、规则阈值修改、多网段定义检测等功能超过 3500 条的检测规则,全面兼容 CVE、BugTraq 等国际标准漏洞库入侵检测探测器提供本地日志缓存,避免因为控制台与探测器断开引擎的报警日志丢失;要求缓存空间不小于 80Gb超过 900 条的蠕虫病毒检测规则病毒蠕虫检测支持对已知病毒和未被蠕虫病毒利用的系统漏洞进行检测一台探测器实体可被虚拟成多个独立的虚拟探测引擎虚拟引擎每个虚拟探测引擎可应用不同的检测和响应策略并行数据采集 每个虚拟探测引擎支持多监听口并行数据采集,实现了在数据汇聚分析基础上再进行攻击检测,解决了大流量环境引起的交换机镜像丢包问题,以及单臂路由、TAP
38、分流环境的会话还原问题检测功能状态监控 支持对引擎存活状态、引擎运行时间、CPU 和内存使用率、当前监测会话数、报文流量、检测丢包数等的实时监控和显示被动响应方式 支持实时的邮件、手机短信、报警灯、焦点窗口等多种被动报警响应方式。支持与遵循 CSC、TOPSEC、OPSEC、IAP 协议的联想网御、天融信、CheckPoint、Netscreen、Cisco PIX 等国内外品牌主流防火墙的联动响应方式主动响应方式支持 SNMP Trap 协议,报警信息可被 Leadsec、Topsec 等多种安全管理系统接收和处理其它 与防火墙、安全隔离与信息交换系统必须为同一品牌,确保统一遵循安全标准(C
39、SC),实现无缝联动。证书资质证书要求 具有计算机信息系统安全专用产品销售许可证具有国家信息安全认证产品型号证书具有涉密信息系统产品检测证书具有军用信息安全产品认证证书具有计算机软件著作权登记证书具有计算机信息系统集成一级资质具有国家信息安全认证服务二级资质具有涉及国家秘密的计算机系统集成甲级资质175.9 二层交换机表 1-10 二层交换机指标项 详细要求交换容量 48Gbps转发性能 35Mpps 端口配置 可用千兆电接口数量24;千兆光接口数量4MAC 地址表 16K支持基于端口的 VLAN,支持基于协议的 VLAN,支持策略 VLAN,支持Voice VLANVLAN 特性最大 VLA
40、N 数4094;链路聚合 支持 GE 口端口动态聚合;支持至少 20 个端口聚合组,每组支持至少 8个 GE;支持 LACP;镜像功能 支持本地端口镜像和远程端口镜像 RSPAN;组播 支持 IGMP(Internet Group Management Protocol) Snoopingv1/v2;支持组播 VLAN;每端口支持8 个优先级队列;QOS 支持 IEEE 802.1p/DSCP 优先级,支持方式为 SP/SDWRR/SP+SDWRR 的队列调度,支持基于端口/流的限速,最小粒度为 1Kbps生成树 支持 STP/RSTP/MSTP 协议;访问控制策略 支持二到四层策略的报文 A
41、CL 功能;支持自动下发 ACL、自动下发 VLAN和自动下发 QoS Profile 功能; 支持 802.1x 认证,支持基于端口的认证和基于 MAC 的认证;端口 mac地址数目学习限制安全特性支持 DHCP Snooping,防止欺骗的 DHCP 服务器;支持 ARP 入侵检测;支持 SNMP V1/V2/V3、RMON、SSHV2支持虚电缆检测功能(VCT),快速准确定位网络中故障电缆的短路或断路点;支持单向链路检测(DLDP),有效的防止网络中单通故障的发生;管理和维护支持通过命令行、Web、中文图形化配置软件等方式进行配置和管理。资质认证 要求提供信产部入网证和检验报告5.10
42、路由器表 1-11 路由器指标项 详细要求体系架构 整机接口卡插槽数6处理性能 整机包转发能力200Kpps固定接口配置 2GE;USB 接口218接口要求 支持 E1/T1、FE、GE、POS、CPOS 等接口链路层协议 支持 PPP、MP、HDLC、ETHERNET、MSTP 等链路层协议IPv4 协议 支持 IPv4 以及 RIP、OSPF、BGP4 等动态路由协议支持 IGMP、PIM-DM、PIM-SM、MBGP、MSDP 等组播路由协议IPv6 协议 支持 IPv6 静态路由、RIPng、OSPFv3、IS-ISv6、BGP4+,支持 IPv4 向 IPv6 的过渡技术,包括 IP
43、v6 手工隧道、6to4 隧道、ISATAP 隧道、GRE 隧道、IPv4 兼容自动配置隧道语音路数 120语音协议 支持 H.323、SIP 协议MPLS 支持 MPLS VPN,IPSec VPN、GRE、L2TP 等支持 L3VPN:支持跨域 MPLS VPN(Option1/2/3)、嵌套 MPLS VPN、CE 双归属、MCE、多角色主机等支持 L2VPN:Martini、Kompella、CCC 和 SVC 方式支持 MPLS TE、RSVP TE安全 支持标准和扩展 ACL支持包过滤/ASPF 防火墙、URPF 等多种安全特性QoS 支持流量监管:CAR 限速,粒度可配,GTS
44、流量整形支持拥塞避免算法:Tail-Drop、WRED 支持各种队列调度机制 :FIFO、PQ、CQ、WFQ、CBWFQ可靠性 支持接口模块热插拔支持软件热补丁功能,可在线进行补丁升级支持 OSPF/IS-IS/BGP/MPLS LDP GR (Graceful Restart)功能实现主备引擎倒换时无间断转发支持 BFD:Static Route/OSPF/ISIS/BGP/VRRP/TE FRR 等业务扩展 支持网流分析、防病毒、WAN 优化等业务处理管理特性 支持 Console/AUX Modem/Telnet 等管理方式支持 SNMP v1/V2/V3支持 RMON 支持 NTP 协
45、议资质认证 提供第三方权威机构测试证明材料提供信产部入网证书5.11 三层交换机表 1-12 三层交换机指标项 详细要求交换容量 192Gbps转发性能 95 Mpps 电源 支持双电源输入接口类型 万兆接口数量419可用千兆电接口数量24,千兆光接口数量4,支持百兆千兆 SFP 自适应VLAN 特性 支持基于端口的 VLAN,支持基于协议的 VLAN,支持基于 MAC 的 VLAN;最大VLAN 数(不是 VLAN ID) 4094链路聚合 支持最多 8 个 GE 口或 4 个 10 GE 端口聚合;支持最多 14/26 个聚合组;支持LACP镜像功能 支持本地端口镜像和远程端口镜像 RSP
46、AN;每端口支持 8 个优先级队列;支持 802.1P,DSCP/TOS 优先级和重新标记能力,支持基于时间段的流分类和QoS 控制能力;支持出方向的流量限速功能(Egress Car) ;QOS提供广播风暴抑制功能;支持 PIM-DM、PIM-SM、IGMP、IGMP Snooping 等协议组播协议支持 MLD,MLD Snooping 等 IPv6 组播协议支持 IPv4 静态路由、RIP V1/V2、OSPF、BGP支持 IPv6 静态路由、RIPng、OSPFv3、BGP4+支持 IPv4 和 IPv6 环境下的策略路由路由协议支持 IPv6 手动隧道、6to4 隧道和 ISATAP
47、 隧道支持 VRRPv2/v3(虚拟路由冗余协议);支持 RRPP(快速环网保护协议) ,环网故障恢复时间不超过 200ms;支持 STP/RSTP/MSTP 协议;可靠性支持 IPv6 ACL;支持出方向 ACL支持 IP+MAC+PORT 的绑定;安全特性支持 DHCP Snooping,防止欺骗的 DHCP 服务器;支持 SNMP V1/V2/V3、RMON、SSHV2支持 sFLow,可以对出入方向的报文按比例随机抽样,灵活实现报文采集;支持虚电缆检测功能(VCT),快速准确定位网络中故障电缆的短路或断路点;管理和维护支持通过命令行、Web、中文图形化配置软件等方式进行配置和管理。要求
48、提供信产部入网证和检验报告资质认证要求提供信产部 IPv6 入网证和检验报告5.12 服务器表 1-13 服务器指标项 详细要求规格 主机 标准机架式机箱I/O 设备 网络 大于 1 个百兆网络接口其它要求 CPU:Quad-Core Intel Xeon 5410 2.33Ghz内存:4G DDR2 66720硬盘:146G SAS网络:Broadcom 10/100/1000 M25.13 机柜表 1-14 机柜指标项 详细要求其它要求 国产主流知名品牌,19 英寸、1000mm、42U 标准机柜含 LCD 显示器、海讯 16 口 KVM 切换器、键鼠、三块隔板、黑色、四个风扇、2路 12
49、 口 PDU、1 路 24 口配线架5.14 三层交换机表 1-15 机柜指标项 详细要求交换容量 96Gbps转发性能 71Mpps 端口配置 可用千兆电接口数量48;千兆光接口数量4MAC 地址表 16K支持基于端口的 VLAN,支持基于协议的 VLAN,支持策略 VLAN,支持 Voice VLANVLAN 特性最大 VLAN 数4094;链路聚合 支持 GE 口动态聚合;支持至少 20 个端口聚合组,每组支持至少 8 个GE;支持 LACP;镜像功能 支持本地端口镜像和远程端口镜像 RSPAN;组播 支持 IGMP(Internet Group Management Protocol) Snoopingv1/v2;支持组播 VLAN;每端口支持8 个优先级队列;QOS 支持 IEEE 802.1p/DSCP 优先级,支持方式为 SP/SDWRR/SP+SDWRR 的队列调度,支持基于端口/流的限速,最小粒度为 1Kbps生成树 支持 STP/RSTP/MSTP
