1、项目总体设计3.1 系统总体框架二期工程在一期工程基础上,以标准、制度和安全体系为保障,以行政审批、人事考勤、统计分析、绩效评估、日常办公、审批公共服务数据库等各类数据为基础,以各项审批和监督业务流程信息化为主线,形成互联互通,贯穿上下的行政审批、绩效考核、社会服务信息化体系,总体框架如图 1 所示。图 1 温州市网上审批系统二期工程总体框架1、物理层物理层是系统构建的软件、硬件基础,包括服务器平台、系统软件平台等。市审批中心将对进行机房基础设备进行升级改造;市审批服务中心网络与各业务单位内部网络间将依托于市电子政务信息网进行信息交互。 2、数据层数据层主要由行政审批、业务管理、业务督查、日常
2、办公等过程中所产生的各类数据组成,包含基础数据、审批公共数据、审批文件数据、行政审批业务数据、行政审批过程数据、日常办公数据、绩效评测规则数据、辅助数据、人事考核数据等。3、支撑软件层支撑软件层包括数据共享与交换平台、消息平台、工作流平台和表单管理平台。应用支撑平台是应用系统开发的基础平台,为各模块提供组件及服务,同时开发各系统模块的公共应用,统一架构,便于管理和功能扩展。为各个业务系统之间、与各个横向审批单位的相关审批系统之间的数据共享和交换提供支撑。4、应用层在统一的数据环境体系基础上,架构各应用系统,通过内在的数据共享和协作关系,将各个应用连接起来构成一个既相对独立又密切协作的网上审批系
3、统。3.2 系统运行硬件基础平台建设系统运行硬件基础平台建设是网上审批系统建设的重要内容之一,负责为基础数据库系统的数据管理、数据处理、数据分发等环节提供系统资源与运行环境,为应用软件的设计提供计算机、网络、存储、数据库管理等系统资源。3.3 应用系统建设经过对来自申报人、业务办理单位、中心业务管理部门、中心督查部门、中心窗口等的需求进行分析,系统应用系统建设内容分为:审批监察与决策支持系统、行政审批服务中心 OA 系统、网上审批系统、审批管理系统、业务督查系统、绩效考核系统、网上大厅和虚拟大厅管理系统等七部分。具体应用结构如图 2 所示:图 2 温州市区域一体网上审批系统应用结构图一期工程中
4、已实现审批监察与决策支持系统、行政审批服务中心 OA 系统、网上审批系统、审批管理系统,采用“用户名+密码+ 验证码 ”的登录方式,同时提供 CA认证登录方式,用户密码在数据库中均为加密存储。二期工程主要完成对业务监督系统、绩效考核系统、网上大厅及虚拟大厅管理系统的建设。3.4 网上办事大厅市民和企事业单位通过访问市行政审批服务中心网上办事大厅,及时了解行政审批服务中心的各种公共信息如机构设置、工作职责、政策规定、办事指南、工作承诺、政务信息、以及其他的便民服务等;也可以通过网上办事大厅来进行表格下载、办件预申报,了解审批流程和必要条件;查询办件情况;反馈各种意见乃至投诉等。社会公众在网上办事
5、大厅注册后(CA 认证用户不需注册) ,在线填写想要公开的政策法规或办理事项等信息,提交申请后,申请信息通过数据交换平台传输到审批系统,并由中心指定的受理窗口进行处理,公开可采取网上公开、电子大屏公开等方式进行,同时系统自动以短信或站内消息的方式通知申报人。虚拟大厅整合在中心网站上,设置成专栏;行政审批服务中心虚拟大厅进入后以整站 flash 方式,模拟温州市行政审批服务中心实际物理场景,引导社会公众完成办事流程查看、办事咨询、表格下载、网上预申报等操作;虚拟大厅要求与市行政审批服务中心门户网站、网上审批系统进行数据共享,实现信息同步更新。3.5 数据库建设网上审批系统的所有运用均需要后台数据
6、库做支撑,因此数据库建设是系统建设的核心内容。为了更好地服务于前台运用,满足项目需求,核心数据层包括:基础数据库、审批业务数据库、审批辅助数据库、办公数据库。四、项目采购清单及参数1、主机与备份存储系统建设根据二期工程需要,主机与备份存储系统主要包括新增业务应用服务器、OA/监管服务器、语音/短信服务器、数据前置交换机、备用服务器等服务器群,另外还包括虚拟带库、磁盘阵列在内的备份存储设备升级,详见下表:(1)主机系统 业务应用服务器(2 台)指标项 规格要求品牌 国际知名品牌外观 机架式 4U 服务器CPU当前配置 4 路六核处理器,性能不低于 E7530,最大可支持四路英特尔至强六核或八核处
7、理器;总线 1066 MHz 前端总线内存 当前配置 8GB DDR3 RDIMM 内存,单机最大可扩充至 256GB磁盘当前配置3 块 300GB 10K SAS 2.5“双端口热插拔硬盘;配置 8 槽位 SFF SAS 硬盘笼,最多可支持 8 个 SAS/SATA 热插拔硬盘阵列控制器配置 RAID 缓存 512MB, (RAID 缓存保护电池模块,支持 72 小时数据保护),支持 RAID0,1,5,6,10I/O 扩展 当前配置 7 个可用 I/O 插槽网卡 至少提供 4 个双口多功能千兆网卡,支持 TCP/IP Offload Engine(TOE)输入输出 超薄 SATA DVD-
8、ROMHBA 卡 2 块单口 4GB HBA 卡可靠性 当前配置 2 个热插拔电源、冗余系统风扇服务提供 3 年 7244 小时的原厂商现场保修服务(含备件更换和现场人工服务) ,提供原厂售后服务承诺函原件。 语音短信服务器(1 台)指标项 规格要求品牌 国际知名品牌外观 机架式 2U 服务器CPU当前配置 2 路 4 核英特尔 Xeon E5530(2.40 GHz,8 MB 三级高速缓存,80瓦)处理器;总线 1066 MHz 前端总线内存 当前配置 12GB DDR3 RDIMM 内存,单机最大可扩充至 96GB磁盘当前配置2 块 300GB 10K SAS 2.5“双端口热插拔硬盘;最
9、多可支持 5 个以上 SAS/SATA 热插拔硬盘阵列控制器 配置 RAID 缓存 256 MB,支持 RAID0,1,5,6,10,支持热备盘技术I/O 扩展 当前配置 7 个可用 I/O 插槽网卡 提供 2 个双口多功能千兆网卡,支持 TCP/IP Offload Engine(TOE)输入输出 超薄 SATA DVD-ROM 可靠性 当前配置 2 个热插拔电源、冗余系统风扇。服务提供 3 年 7244 小时的原厂商现场保修服务(含备件更换和现场人工服务) ,提供原厂售后服务承诺函原件。 OA/监管服务器(1 台)指标项 规格要求品牌 国际知名品牌外观 机架式 2U 服务器CPU当前配置
10、2 路 4 核英特尔 Xeon E5530(2.40 GHz,8 MB 三级高速缓存,80 瓦)处理器;总线 1066 MHz 前端总线内存 当前配置 12GB DDR3 RDIMM 内存,单机最大可扩充至 96GB磁盘当前配置2 块 300GB 10K SAS 2.5“双端口热插拔硬盘;最多可支持 5 个以上 SAS/SATA 热插拔硬盘阵列控制器 配置 RAID 缓存 256 MB,支持 RAID0,1,5,6,10,支持热备盘技术I/O 扩展 当前配置 7 个可用 I/O 插槽网卡 提供 2 个双口多功能千兆网卡,支持 TCP/IP Offload Engine(TOE)输入输出 超薄
11、SATA DVD-ROM可靠性 当前配置 2 个热插拔电源、冗余系统风扇。服务提供 3 年 7244 小时的原厂商现场保修服务(含备件更换和现场人工服务) ,提供原厂售后服务承诺函原件。 数据交换前置服务器(2 台)指标项 规格要求品牌 国际知名品牌外观 机架式 2U 服务器CPU当前配置 2 路 4 核英特尔 Xeon E5530(2.40 GHz,8 MB 三级高速缓存,80 瓦)处理器总线 1066 MHz 前端总线内存 当前配置 12GB DDR3 RDIMM 内存,单机最大可扩充至 96GB磁盘当前配置2 块 300GB 10K SAS 2.5“双端口热插拔硬盘;最多可支持 5 个以
12、上 SAS/SATA 热插拔硬盘阵列控制器 配置 RAID 缓存 256 MB,支持 RAID0,1,5,6,10,支持热备盘技术I/O 扩展 当前配置 7 个可用 I/O 插槽网卡 提供 2 个双口多功能千兆网卡,支持 TCP/IP Offload Engine(TOE)输入输出 超薄 SATA DVD-ROM可靠性 当前配置 2 个热插拔电源、冗余系统风扇服务提供 3 年 7244 小时的原厂商现场保修服务(含备件更换和现场人工服务) ,提供原厂售后服务承诺函原件。 备用服务器(2 台)指标项 规格要求品牌 国际知名品牌外观 机架式 2U 服务器CPU 当前配置 2 路 4 核英特尔 Xe
13、on E5560(2.80 GHz,8 MB 三级高速缓存,95 瓦)处理器总线 1066 MHz 前端总线内存 当前配置 16GB DDR3 RDIMM 内存,单机最大可扩充至 96GB磁盘 当前配置2 块 300GB 10K SAS 2.5“双端口热插拔硬盘;最多可支持 5 个以上 SAS/SATA 热插拔硬盘阵列控制器 配置 RAID 缓存 256 MB,支持 RAID0,1,5,6,10,支持热备盘技术I/O 扩展 当前配置 7 个可用 I/O 插槽网卡 提供 2 个双口多功能千兆网卡,支持 TCP/IP Offload Engine(TOE)输入输出 超薄 SATA DVD-ROM
14、HBA 卡 2 块单口 4GB HBA 卡可靠性 当前配置 2 个热插拔电源、冗余系统风扇。服务 提供 3 年 7244 小时的原厂商现场保修服务(含备件更换和现场人工服务) ,提供原厂售后服务承诺函原件。(2)备份存储系统 备份系统升级设备名称 规格要求 数量FC 硬盘 扩展到 5TB 光纤硬盘容量,核心数据存储 6 SAN 交换机( 2 台)指标项 规格要求品牌 国际知名品牌端口 至少 24 端口, 8 口可用性能 4GB / 秒,支持 4Gb/s、2Gb/s、1Gb/s 自适应传输速率服务提供 3 年 724 小时的原厂商现场保修服务(含备件更换和现场人工服务) ,提供原厂售后服务承诺函
15、原件。其他 8 个短波 SFP 模块;8 根 15 米光纤电缆。(3)其他设备名称 规格要求 数量IBM 小型机电源模块适用于原有 IBM P650 小型机的电源模块 3无线路由器知名品牌,支持 IEEE802.11b、IEEE802.11g、IEEE802.11n 无线技术,无线传输速度 300Mbps;支持无线 AP 模式,支持 SSID 隐藏、无线 MAC 地址过滤、64/128/位 WEP 加密及 WPA-PSK/WPA2-PSK、WPA/WPA2 安全机制等;适合移动办公使用。10HBA 卡 原有备份服务器升级用,品牌型号与新采购设备中保持一致 22、网络系统建设 核心交换机(2 台
16、)指标项 指标要求国际知名品牌支持 TCP/IP 协议 IP V4,支持 IPv6引擎交换容量720Gbps,包转发率480Mpps满配的万兆接口数量不小于 16 个,满配的千兆接口数量不小于 288 个,方便日后扩展需要;本次配置 24 端口千兆/百兆以太网电接口,至少 4 个SFP(可以光电复用),原厂多模模块(850nm,0.55km,LC)24 个,不接受 OEM产品支持两台物理设备虚拟化为一台逻辑设备,支持统一的管理、跨设备链路聚合。模块化结构,槽位数=8 ,为了便于散热与防尘,采用竖插槽机箱引擎、电源支持冗余;所有组件可热插拔;满足 99.999%的高可靠性。本次配置双电源,单引擎
17、。可支持防火墙模块,入侵检测模块,网络分析模块、负载均衡模块;所配接口板必须是分布式转发工作模式,避免集中式转发的性能瓶颈核心交换机支持 MPLS 功能,胜任高性能 PE 及 MCE 应用;支持三层 MPLS VPN,支持二层 VPLS VPN支持模块的热插拔,任何模块的热插拔不应影响其它模块(引擎除外)支持良好的业务特性和服务质量,至少具备 8 个 QoS 优先级,通过服务质量策略(特别是优先权规则和算法)为关键业务和特定应用预留带宽。支持基于第二层、第三层和第四层的 ACL,支持 VLAN ACL 和 IPv6 ACL;支持出方向 ACL;支持 IEEE 802.1x 和 Portal 方
18、式用户认证, 802.1x 动态VLAN 分配; 可动态或静态划分 VLAN,支持 VLAN TRUNK 和端口汇聚。支持硬件 NAT、PAT 功能,为保证性能,NAT 功能要求由业务板卡实现支持静态组播配置,支持多个组播路由协议,支持组播策略处理,支持IGMP、 PIM-DM、PIM-SM 协议。支持多种路由协议,如 RIP、静态路由、OSPF、ISIS ,支持 BGP 和 Multicast BGP 等支持通过命令行、Web、中文图形化配置软件等方式进行配置和管理支持 IGMP (v1, v2 和 v3) 监听支持 IP/Port/MAC 的绑定功能提供第三方权威测试机构如 Tolly G
19、roup 测试报告,保证投标产品性能指标真实可靠所投产品必须为非 OEM 产品,要求提供信息产业部入网证,入网证上申请单位与生产企业必须为同一厂商,入网时间为两年以上,且能在信产部网站查询。 (以取得信产部入网证时间为准)提供 3 年 7244 小时的原厂商现场保修服务(含备件更换和现场人工服务),提供原厂售后服务承诺函原件。 接入交换机(10 台)指标项 规格要求品牌要求 与核心交换机同一品牌体系结构 固定配置交换机背板容量 交换容量32Gbps端口数量 配置 10/100 电口24;配置 10/100/1000M 电口2;配置千兆光口2,原厂多模模块(850nm,0.55km,LC)2 个
20、MAC 地址表 16K三层包转发速率 转发率9Mpps。路由协议 支持静态路由、RIPv1/v2VLAN可按动态或静态划分 VLAN,支持 802.1Q,支持 VLAN TRUNK 和端口汇聚。VLAN ID 范围 4KQoS 支持 支持 IEEE802.1p;支持端口限速访问控制支持基于源 MAC 地址、目的 MAC、 MAC 地址范围、源 IP 地址、目的 IP地址、IP 协议类型、物理端口、TCP/UDP 端口、 TCP/UDP 端口范围、VLAN 等定义 ACL;支持基于时间的 ACL;支持基于 VLAN 下发 ACL,有效简化 ACL 配置过程;支持 IPv6 的 ACL 和 QoS
21、ARP 防御支持 ARP 入侵检测,配合 DHCP Snooping 动态防御各种 ARP 攻击支持 ARP 报文限速,防止 CPU 受到大量 ARP 报文冲击安全特性支持 802.1X 认证;支持端口隔离;支持 IP/MAC/端口的绑定支持控制端口下允许接入的最大 MAC 地址数,防止攻击者恶意占用 MAC 表项设备管理支持命令行接口(CLI) ,Telnet,Console 口进行配置;支持SNMPv1/v2/v3,WEB 网管;支持中文图形界面网管入网证书所投产品必须为非 OEM 产品,要求提供信息产业部入网证,入网证上申请单位与生产企业必须为同一厂商,入网时间为两年以上,且能在信产部网
22、站查询。 (以取得信产部入网证时间为准)服务提供 3 年 724 小时的原厂商现场保修服务(含备件更换和现场人工服务) 。提供 724 小时保障服务,遇到用户问题立即提供服务响应,并在 24 小时内解决发生的故障。 服务器接入交换机(1 台)指标项 规格要求品牌要求 与核心交换机同一品牌体系结构 固定配置交换机背板容量 交换容量16Gbps端口数量配置 10/100 电口24;配置 10/100/1000M 电口2;配置千兆光口2(可以和千兆电口复用)MAC 地址表 8K三层包转发速率 转发率6.5MppsVLAN可按动态或静态划分 VLAN,支持 802.1Q,支持 VLAN TRUNK 和
23、端口汇聚。VLAN ID 范围 4KQoS 支持 支持 IEEE802.1p;支持端口限速访问控制支持基于源 MAC 地址、目的 MAC、 MAC 地址范围、源 IP 地址、目的 IP地址、IP 协议类型、物理端口、TCP/UDP 端口、 TCP/UDP 端口范围、VLAN 等定义 ACL;支持基于时间的 ACL;支持基于 VLAN 下发 ACL,有效简化 ACL 配置过程;支持 IPv6 的 ACL 和 QoS。ARP 防御支持 ARP 入侵检测,配合 DHCP Snooping 动态防御各种 ARP 攻击;支持 ARP 报文限速,防止 CPU 受到大量 ARP 报文冲击安全特性支持 802
24、.1X 认证;支持端口隔离;支持 IP/MAC/端口的绑定;支持控制端口下允许接入的最大 MAC 地址数,防止攻击者恶意占用 MAC 表项设备管理支持命令行接口(CLI) ,Telnet,Console 口进行配置;支持SNMPv1/v2/v3,WEB 网管;支持中文图形界面网管;支持通过虚电缆检测功能快速准确定位网络中故障电缆的短路或断路点,并支持单向链路检测IPv6 管理特性支持 IPv6 host 特性族,包括 IP v6 单播地址配置,ICMP v6,IP v6 邻居发现协议(ND) ,TCP v6,TFTP v6,TRACERT v6 管理特性入网证书所投产品必须为非 OEM 产品,
25、要求提供信息产业部入网证,入网证上申请单位与生产企业必须为同一厂商,入网时间为两年以上,且能在信产部网站查询。 (以取得信产部入网证时间为准)服务提供 3 年 724 小时的原厂商现场保修服务(含备件更换和现场人工服务) 。提供 724 小时保障服务,遇到用户问题立即提供服务响应,并在 24 小时内解决发生的故障。3、安全系统建设(1)千兆防火墙(2 台)指标项 规格要求品牌要求 国内知名品牌采用专用 2U 机架式硬件平台,支持硬件模块化设计,可实现功能扩展采用完全自主版权的操作系统,具备操作系统著作权证书,可提供相关证书系统架构提供主、备双操作系统,提高设备自身可靠性和网络的可用性标配 6
26、个 10/100/1000M 自适应电口,4 个 SFP 扩展口,最多支持 25 个千兆接口,具有专门的 RJ45 终端管理接口和 HA 口网络吞吐量6G性能指标最大并发连接数220 万工作模式支持透明、路由、透明及路由混合模式,安全区域可针对物理接口进行灵活地自定义(内网、外网或 DMZ 等区域) ;支持双向 NAT、动态地址转换和静态地址转换,并支持多对一、一对多和一对一等多种方式的地址转换支持 802.1Q 和 ISL VLAN 封装协议,支持两种封装的互换以及 Vlan Trunk;支持基于五元组(源、目的地址、源、目的端口和协议)的策略路由;支持 RIP/OSPF 等动态路由协议;实
27、现 IP 地址与 MAC 地址捆绑,自动探测,防止 IP 地址非法盗用;可针对 IP、MAC、端口、用户、时间对象等进行安全过滤;可限制 P2P(BT EMULE EDONKEY)/IM(MSN QQ SKYPE)软件应用,可对其实现禁止、限流;防火墙功能识别和控制 QQ、MSN 等常用 IM 软件,一键式阻断 IM 软件机密文件传输炒股软件控制,识别和控制大智慧、同花顺、国泰君安、证券之星、广发证券、指南针、通达信、股票之星、华安证券、和讯报道、钱龙等多种炒股软件可根据 URL 的地址、长度、网页内容关键字等进行过滤;支持对 HTTP、SMTP、POP3、FTP 等协议的深度内容过滤;支持对
28、移动代码如 Java applet、Active-X、VBScript、Java script 的过滤;支持 H.323、SIP、FTP 、RTSP 、SQL*NET、MMS、RPC、TFTP 等动态端口支持协议功能支持 QOS 带宽独享功能; 支持 WEB 认证,用户在通过 WEB 认证前禁止一切通过防火墙网络连接; 支持本地认证、双因子认证(SecureID)以及数字证书(CA)等常用的安全认证方、支持 RADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方式;支持与主流入侵检测产品的联动;具有日志审计功能:支持 WELF、Syslog 等多种日志格式,可记录试图通过防火
29、墙的非法数据包,可记录防火墙操作,支持日志导出功能;防攻击可支持主机的 SYN、ACK 攻击数以及最大报文长度的限制;支持根据协议或地址,进行并发连接数、半连接数的限制;根据连接数目进行源地址排名;完善的预防 ARP 欺骗解决方案;支持反向地址检查;支持链路捆绑功能,可实现端口的冗余和带宽的叠加;支持双机热备;高可靠性支持多链路负载均衡功能,实现多 ISP 链路冗余,可以通过此功能平均分流给各个网关,而对源 IP 则无需考虑;可支持 IPSEC VPN、SSL VPN 、IPS 和防病毒等模块的扩展;支持 IPSEC 隧道内多媒体、OSPF 协议穿越;支持对隧道内数据进行病毒查杀和内容过滤;支
30、持短信、邮件等方式的密码恢复和取回;扩展功能VPN 用户登入可支持不同的登入界面和不同的访问权限的显示;支持多线路 VPN 隧道的智能选路功能;支持多线路 VPN 隧道间备份、负载均衡;支持友好的 Web 图形界面配置支持 SNMP 的 v1 、v2 、v2c 、v3 等不同版本,并与当前通用的网络管理平台兼容,如 HP Openview 等;在 WEB 页面上具有调试功能,可支持 PING 和 Traceroute 等;管理和维护可支持 BANNER 信息保护, 如替换服务器(FTP、SMTP、POP3、telnet,HTTP)的 BANNER 信息;资质要求具有中华人民共和国公安部颁发的计
31、算机信息系统安全专用产品销售许可证 ;具有中国国家保密局测评中心颁发的涉密信息系统产品检测证书 ;具有国家信息安全认证中心 3C 认证证书;提供按照最新国家标准防火墙技术要求和测试评价方法(GB/T 20281-2006) 通过公安部三级评测的检测报告;原厂商具备信息安全服务二级资质;原厂商如果不是浙江省本地厂商,必须在浙江省有注册的分公司、办事处,提供本地服务,投标时需提供经过年检的分公司、办事处营业执照复印件,并加盖原厂商公章;所投产品必须是近三年 IDC 市场排名国内厂商前五位产品,投标时需提供相关证明;投标时需提供以上资质证书复印件,并加盖原厂商公章。保修服务及授权提供 3 年 724
32、 小时的原厂商现场保修服务(含备件更换和现场人工服务) ,提供原厂售后服务承诺函原件。(2)网络防病毒(1 套)用户数量 服务器 license + PC license 200 个节点升级期限 3 年免费品牌要求 国际知名品牌一、操作系统支持1支持常见的操作系统平台,客户端可以安装在 Windows98/Me,windows NT workstation/server,windows 2000 professional/server,windowsXP,windows server 2003/2008,windows vista,windows 7,同时支持 Linux、unix 等操作系统
33、上2 支持 32 位和 64 位操作系统3 支持多 CPU 配置功能二、安装部署1 支持多种安装方式,包括下载安装、远程安装、脚本安装、web 发布安装、域策略2 可通过单一的部署工具来进行安装,即该部署工具包括安装所需的全部组件3 可根据网络规模的大小,自动执行对不同网络规模的设置和优化等操作4 安装包更新,即支持创建包含最新版本反病毒数据库的客户端程序安装包5 通过激活码和授权文件的形式来管理当前网络中的反病毒客户端授权6授权文件支持自动下发机制。管理服务器将自动收集网络中尚未激活或授权过期的计算机进行授权信息的下发7 自动语言配置,支持中文和英文等多种语言8在正常实时监控状态下占用操作系
34、统内存需在 20M 以内,在扫描查杀病毒状态下需有手动或自动调节 cpu 利用率的机制,以避免影响其他程序的正常运行9 客户端及网络代理需提供软件反卸载功能的密码10 支持自动卸载第三方不兼容软件,可以扫描网络中其他的软件或不兼容的软件进行卸载11 自动扫描网络中不被保护的计算机(ip 子网/AD/工作组) ,确保全网机器安全运行与部署三、集中管理能力1 有良好的可扩展性和易用性,支持大型网络跨地域、跨网段的部署和管理2 具备跨广域、跨子网并支持 VPN 的 MMC 管理,支持无线层网络架构3 支持多级控制台(系统中心) 、从属服务器的建设,对多级控制台能统一集中管理4 单控制台能够同时管理客
35、户端点数至少在 5000 点以上5控制台能对所有客户端进行集中的管理和远程控制,可以通过控制台直接给客户端发送命令,诸如强制客户端启动、停止、立即杀毒、立即升级等6控制台能够实时显示客户端的状态,当客户端查杀到病毒时,能够实时将病毒信息以报告的形式上报给控制台。同时可将发现的恶意程序或可疑样本上传至管理服务器,供集中分析和处理7 支持对客户端进行分组,根据不同的组别可以设定多个不同的策略和执行不同的任务8 可以直接针对笔记本等移动用户制定相应策略,在其离开指定网络后激发该策略9具备权限管理能力,能够防止客户端在未经管理员允许的情况下修改策略、关闭和卸载。对任意策略都具备分项授权功能,如控制台可
36、控制客户端是否具备修改扫描、监控、升级等策略的权限10中间层发布功能,可设置网络中的任意数量客户端为更新代理,只能分担中央管理服务器反病毒数据库集中发布的网络负载,节省了整体网络资源11 管理服务器支持自动备份/还原和手动备份/还原功能,且提供单独的备份/还原工具12支持更新发布验证。管理服务器在大规模下发更新数据库之前,可自动在指定小规模范围内进行更新验证功能,确定无误后,再执行大规模下发13 支持 ipv6 和无线网络的管理四、病毒查杀能力1反病毒引擎可更新,特殊设计的引擎架构可使反病毒引擎在不重新安装程序的情况下,从日常的反病毒数据库更新中获取最新版本反病毒引擎。以更新最新的清除方法和能
37、力。2能够实时监控和清除来自各种途径的病毒、木马、广告软件、恶意插件、隐蔽软件、黑客工具、风险程序等,在程序界面显著位位置以不同颜色区分系统的不同安全状态3客户端具备主动防御技术,启发式分析技术,rootkit/bootkit 扫描技术,以具备对位置病毒检测、清除能力、支持对变种病毒的查杀、能够对各种加壳的病毒文件进行病毒查杀4对各种常用压缩格式文件中的病毒能有效实时清除,并能对任意重数压缩文件进行扫描,做到包内清除,处理后不影响压缩包的正常解压等操作5发现病毒后有多种处理方法,例如清除、删除或隔离(隔离区可进行自定义) ,所有方法可在控制台统一设置和在客户端单独设置6对邮件附件的过滤和拦截,
38、指定部分附件的后缀名进行附件过滤,同时支持过滤后的恢复操作7 可以在客户端创建、下载基于 linux 的应急磁盘,执行数据扫描和备份操作8 即时聊天工具防护,支持对 msn、icq 等即时通讯工具的 URL 过滤和文件扫描等9 支持对通过 SSL 加密连接进行传播的病毒进行扫描和查杀10 客户端具备增量扫描技术 ichecker 和 iswift,可以配置扫描时的优先级,以优化资源占用11 系统空闲时扫描,在系统锁定或屏幕保护启动时进行扫描五、病毒防范能力1具备个人防火墙、IDS/IPS 功能,保护用户重要数据,阻止恶意入侵对本地计算机造成危害2具备病毒爆发监控功能,一旦客户机连接异常,可以迅
39、速发出报警,激活相应的反病毒策略和任务3具备文件监控、内存监控、网页监控、注册表监控、邮件监控等监控功能,发现病毒能立即处理4具备设备控制功能,可实现对可移动设备(数据存储,游戏设备。I/O 设备等)的有效控制;这样就可减少恶意程序感染用户计算机的几率,同时有效避免隐私数据的外泄5 在客户端启动时需立即到控制台下载最新控制策略,且可设置同步周期六、资质证明1具有中华人民共和国公安部的计算机信息系统安全专用产品销售许可证 、 国家信息安全认证产品型号认证证书 、保密局涉密信息系统产品检测证书和解放军军用信息安全产品认证证书七、保修服务1原厂三年免费升级更新服务;必须提供原厂针对本项目的三年原厂保
40、修承诺函及软件授权书。(3)内网安全系统(1 套)指标项 规格要求品牌要求 国内知名品牌数量 200 个客户端系统架构具备对管理员分权限管理,达到管理员、审核员、审计员三权分立。提供系统运行审计和操作审计机制,保证系统的稳定运行,系统管理员登录要求支持 IP 地址访问限定,只有获得授权的计算机才能进入系统控制台。系统性能在管理构架上支持采用分级部署、分级管理和集中管理相结合的方式,支持多级级联管理,至少支持三级以上多个管理控制台的数据级联上报和安全策略的下发执行,独立管理网络要求达到支持 15000 台以上计算机的管理,要提供上级直接查询下级数据的功能。统一安全策略系统要求提供安全策略制定功能
41、,根据终端安全防护需要提供安全策略(全局策略、本地策略等) 。管理员可按照区域划分,IP 地址范围,操作系统类型,自定义组,搜索具体终端设置策略生效或例外的对象。终端设备接入管理能自动发现整个网络中的终端系统的 IP 地址、机器名和 MAC 地址,允许管理者对终端系统按部门进行登记管理,形成网络基本情况数据库,并且要求可跨 Vlan、跨路由、跨 NAT 子网进行管理。要求支持对未授权的终端设备接入具有阻断能力(不依赖交换机、路由器) ,同时提供安全源事件远程阻断,系统在管辖范围内,能够跨越网段并可以跨 VLAN 对违规联网的计算机设备进行自动阻断支持 802.1X 方式或接入网关认证方式的两种
42、或两种以上的接入控制管理模式。要求 802.1X 认证能够同 AD 域相结合,所有终端均使用独立的域帐户自动进行认证。终端 IT 资产管理系统要求支持管理网络终端软硬件资产:采集客户端的硬件设备信息(诸如硬盘、CPU、内存等) 、位置信息(设备名称、使用人、联系电话、房间号等) ,注册后存储到数据库中;可自动发现客户端安装的软件,将所有相关数据入库管理;支持在管理中心对注册客户端进行联机卸载,支持设备资产信息变化报警,报警未注册设备、注册程序卸载行为,实时检测硬件设备变化情况(如设备硬件变化、更换网络地址、修改主机名等)移动存储管理移动存储设备在格式化和重新分区时授权信息不可被更改;对移动存储
43、的使用权限进行控制。可以将通用移动存储设备分为交换区和加密区,并可以分别设置不同的密码。要求对移动存储设备的使用进行控制,达到禁用、只读使用、读写使用三种状态。支持对移动存储设备接入管理控制,定义 USB 标识,根据策略禁止未经认证的 USB 存储设备的使用,支持通过移动存储设备认证的方式控制本单位与外来移动存储设备的使用。在单位内部,也可通过 USB 标识,控制移动存储设备在不同部门之间的交叉使用。网络主机运维管理要求支持对网络中客户端流量进行监控报警:对客户端设备流量进行采样并实时排序,监视网络的异常流量和异常连接,客户端输入或输出流量超越管理员设定阈值时报警,对可疑发包、可疑并发连接进行
44、阻断要求支持对重要主机进行运维监控,支持对客户端硬盘、CPU 、内存等系统资源占用状况的监控,在超过管理员设定阈值时自动报警非法外联监控要求支持监控网络中客户端的非法外联行为,实时检测内部网络(包括物理隔离和逻辑隔离网络)用户通过调制解调器、ADSL、双网卡等设备非法外联互联网行为,并远程告警或断网。客户端非法外联支持详细记录非法上网计算机的名称、部门、上网时间,可以在服务器上获知信息,并且可以对客户端进行提示信息,自动关机,断网等处理。终端桌面安全管理及审计要求支持硬件接口控制,控制外设接口的使用,管理员启用或禁用软驱、光驱、U 盘、USB 接口(键盘鼠标除外) 、打印机、Model、串口、
45、并口、1394 接口、红外接口等。必须具备禁止、允许指定软件在注册表启动项、注册表服务项、 (开始)程序菜单中添加相关值和快捷方式。支持对文件操作行为进行审计,包括记录文件的操作类型:创建、打印、访问、复制、重命名、删除、移动等;对文件拷入、拷出行为进行监控,能够基于文件名、文件内容等安全性关键字规则对网络客户端进行搜索。补丁检测审计与补丁分发拥有自主研发的补丁自动分发体系;(有相应的补丁销售许可,该许可证书名称包含补丁分发字样)要求支持分发普通文件到客户端计算机,在分发软件包时要求能够定义软件安装成功的标志,以便准确了解软件下发后安装情况,并且可以指定软件安装的系统用户类型。系统安全要求达到
46、投标产品为具有成功实施案例的成熟产品,基于 C/S、B/S 混合管理模式构架,方便的对网络中 Windows 系统客户端及本系统进行管理要求提供系统运行审计和管理员操作审计机制,保证系统的稳定运行,系统管理员登录要求支持 IP 地址访问限定,只有获得授权的计算机才能进入系统控制台。统计报表与分类查询系统支持各类数据统计(资产统计、安全策略、设备状态等),并可生成多种分析报表,提供丰富的报表模板,支持管理员从不同方面进行事件的可视化分析,对于分析结果系统提供表格及图形表现形式产品资质具有公安部计算机信息系统安全专用产品销售许可证;具有中国信息安全产品测评中心认证证书具有国家保密局涉密信息系统产品
47、检测证书;投标时需提供以上资质证书复印件,并加盖原厂商公章;原厂商必须在淅江省内具有二万点以上客户端安全项目(C/S 模式) ,并且有三级级联网络实施的案例,必须可以提供真实的验收证明并可提供用户现场供参观。售后服务及授权提供 3 年 724 小时的原厂商现场保修服务(含备件更换和现场人工服务) ,提供原厂售后服务承诺函原件。(4)IPS 入侵防御( 1 台)指标项 规格要求品牌要求 国内知名品牌采用专用 2U 机架式硬件平台软件系统采用专用安全操作系统,具有自主知识产权系统架构本项目采购专业入侵防御系统具有液晶屏管理,可通过液晶屏幕观察主机状态标配 6 个 10/100/1000BASE-T
48、X 端口,配备专用的 HA 口和管理口。网络吞吐量2G性能指标最大并发连接数100 万要求具备 IP 碎片重组、TCP 流重组、会话状态跟踪、应用层协议解码等数据流处理方式;支持模式匹配、异常检测,统计分析,以及抗IDS/IPS 逃逸等多种检测技术。支持单对单、单对多、多对多的地址转换功能;要求支持对HTTP、SMTP、POP3、FTP、Telnet、VLAN 、MPLS、ARP 、TCP、UDP、RPC、GRE 等多种协议进行分析。要求攻击特征库数量不少于 2,000 条,并支持自定义特征。IPS 特征库须支持 CVE 认证,请提供官网截图或者相关证明IPS 特征库能够在线进行升级服务,投标
49、时请提供相关配置界面截图;本次投标报价需含 IPS 特征库三年在线免费升级服务 ;入侵检测功能要求支持对蠕虫、木马、缓冲区溢出、可疑代码、扫描、非法连接、DoS/DDoS、SQL 注入、XSS 跨站脚本等多种攻击进行防护。要求支持 URL 分类过滤管理功能,支持的 URL 分类库不少于 50 个。要求能够识别 MSN、QQ、Yahoo Messenger 、Google Talk 等 IM 软件。要求能够识别 QQ 游戏、联众世界、浩方对战平台、魔兽世界、泡泡堂、梦幻西游、劲舞团、新浪游戏、搜狐游戏等流行的在线游戏。要求能够识别 Thunder、eMule、eDonkey 、BitTorrent 等常用 P2P 软件。要求能够识别 qqlive、pplive、ppstream、uusee、沸点等不少于 30 种常见流媒体软件。应用跟踪监控功能要求能够识别大智慧、钱龙、同花顺、指南针等股票分析软件。策略管理功能 要求具备地址、时间、服务资源管理的功能,并支持分组管理。要求支持丢弃封包、切断会话、限制带宽、实时报警、记录日志、邮件报警、声音报警等多种响应方式。
