2024年10月31日发(作者:旁天欣)
镇江市残疾人联合会网络安全设备采购需求
一、设备清单
序号
1
品名
下一代防火墙
参考品牌型号
360网神
NSG3500-TE11F
数量
1
单价
46000
总价
46000
2
3
上网行为管理
门禁主控器
360网康NI3000
1
司创SC1101 5
39500
2800
39500
14000
二、设备参数
1、下一代防火墙
指标项
软件架构及
系统要求
规格要求
系统要求
基于X86架构,采用高性能的intel多核CPU,采用多核操作系统,提供具有
自主研发的SecOS多核并行安全操作系统
硬件要求
多核AMP+架构,网络处理能力3G,并发连接≥100万,每秒新建连接3万/
硬件规格
秒,标准1U机箱,单电源,标准配置4个10/100/1000M自适应电口,1个
Console口。
功能要求
产品支持路由、透明、交换、旁路以及混合模式接入
三层接口ip地址支持float和static类型
支持聚合接口,聚合接口支持路由和交换两种工作模式,聚合模式(Channel
模式)支持三种:轮询、热备、802.3ad,其中802.3ad方式支持3种负载算
网络适应能力
法:根据源目的mac组合、根据mac和ip组合、根据ip和TCP/UDP端口组
合
支持接口镜像(mirror接口)
★支持软件Bypass和硬件Bypass
支持手动MAC地址表和手动ARP地址表设置
支持IPv6地址配置
支持使用IPv6地址进行设备管理
IPv6支持
支持IPV6的本地认证
支持IPV6下静态路由及策略路由
支持IPv6 Web认证
访问控制能力
支持基于源目的IP地址、源目的安全域、VLAN ID、MAC地址、时间、用户、
地理区域、服务协议及应用等多种方式进行访问控制
支持按源目的IP、源目的接口、用户、地理区域及应用进行流量排名,并显
示流量统计
支持基于时间维度的IP或MAC的黑名单设置;
支持域名黑白名单
★链路冗余能
力
支持服务器负载均衡功能,最大支持对8个服务器进行负载均衡,负载算法
支持轮循、权重轮循和源地址HASH等
支持静态路由的负载均衡
支持802.1x认证,支持两种接口控制方式:端口和MAC
支持用户自助修改登录密码,支持自定义身份验证登录页面,包括用户LOGO
定制
支持对用户的登录地址、可访问目的地址、可访问应用、可使用服务、可用
带宽及访问生效时间等通过规则进行限制
应用特征库1800种
支持较多国内主流应用
支持对MSN、QQ、WebQQ、米聊PC版、阿里旺旺、百度Hi、雅虎通、飞信等
即时通信应用限制
支持通过预定义的URL类,及用户自定义的URL类,对URL进行过滤。实现
仅允许用户打开某一些网页,或者禁止用户打开某一些网页
预置86大类URL资源库,可手动离线或自动在线进行更新升级
支持自定义URL过滤
支持URL云查询,支持云端URL查询分析
支持双机热备功能,支持路由和透明模式下的“主-备”、“主-主”模式
高可用性
支持配置、状态信息的自动同步
支持抢占模式和非抢占模式
IPS特征库不少于3000条特征值
支持对拒绝服务、缓冲区溢出、恶意扫描、木马后门、病毒蠕虫、僵尸网络、
入侵防御能力
跨站脚本、SQL注入、WEB攻击等的防御
具备针对DNS、FTP、ICMP、IMAP、SQL、NNTP、POP、SMTP、SNMP等协议类型
的入侵检测与防御
支持针对FTP、SMTP、POP3、IMAP、MYSQL协议防弱口令扫描功能,可以帮助
用户记录或者拦截网络中猜测FTP用户名密码,邮件用户名密码的行为。并
防弱口令扫描
支持生成动态策略,下发给防火墙,再次受到相同攻击时,用户可以选择禁
止还是允许口令猜测的行为
防火墙动态策略功能,可以通过与入侵防护策略、防弱口令扫描、终端系统
动态策略 的联动,生成动态策略信息,根据用户在基本配置中配置的动态策略动作,
命中动态策略的数据将会被阻断或者记录日志
支持终端协同,通过与终端联动收集终端信息,让防火墙自主学习网络环境,
★基于 安全
并主动防护整体系统。
云的威胁情报
防护与系统联
增加情报接收及查询两种模式的与云端情报系统联动功能,实现基于安全情
动
报纬度的安全管控,情报包含URL、文件、DNS等黑白名单
系统管理能力
为提升管理安全,增加设备默认密码修改提示,密码修改规范需包含字母、
数字及特殊符号,密码长度需不小于10字符,提升密码安全性
用户认证
应用识别控制
能力
URL过滤
支持管理员的三权分立,支持多种管理员角色权限:超级、审计、安全、配
置、账户、虚系统配置、虚系统审计管理权限
支持管理员密码复杂度设置及登陆安全策略设定
管理员身份认证支持本地与第三方认证,支持Radius、LDAP服务器及AD认
证,支持管理员采用证书认证方式登录
支持日志导入,便于对历史日志进行审计
可提供自有品牌管理软件对日志进行收集、分析,并能提供详尽日志统计报
日志审计能力
表
支持针对系统资源、配置变更、病毒事件、攻击事件、异常事件及启动事件
等进行邮件告警、硬件声音告警及短信告警
资质要求(提供相关文件证明)
公安部计算机信息系统安全专用产品销售许可证(三级)
中国国家信息安全产品认证证书(三级)
产品资质
国家保密局涉密信息系统产品检测证书
IPv6 Ready金牌认证证书
其他
国家版权局计算机软件著作权登记证书
提供设备三年质保服务证明材料
2、上网行为管理器
指标项
网关模式
镜像模式
设备部
署
网桥模式
多路桥接
IPv6支持
系统管
理
管理员账号
安全
指标要求
设备可部署在网络中提供路由转发和NAT功能,可连接ADSL
线路和专线。
设备可连接一条或多条镜像线路,获取网络信息,进行行为
分析和审计。
设备可直路串联在一条或多条原有网络线路上,进行行为分
析、审计和控制。不改变网络拓扑,路由表项。
支持多路网桥功能,实现X进X出,即X路桥接
能够支持IPv6环境下的网址访问审计、生成分析报表等功能;
能够在IPv6环境下,正确审计显示用户的IPv6地址;能够
正确配置免监控等功能的IPv6地址。
支持管理员账号初始密码检测,如果发现管理员未更改初始
密码,能够进行提醒。
审计日志集
中存储
支持将多台设备日志集中存储于一台日志中心服务器,便于
数据的集中查询与统计。
日志中心支持选择企业级Oracle数据库,访问日志中心数据
必须采用https加密方式访问,避免传输过程被窃取。
日志中心能够对多台设备的日志进行聚合式搜索,用户执行
一次关键字搜索即可在多台设备中搜索出所有具有此关键字
的审计日志
能够实时提供产品CPU、磁盘占有率、接口状态、授权状态等
信息。能够提供24小时内流量状态趋势图。
能够实时提供应用流量排名、网址分类排名、用户流量排名、
应用流量趋势、用户流量趋势等信息
能够提供设备流速趋势、用户实时流速、设备实时日志等信
息。
可以基于IP、MAC等多因素进行用户认证、识别
可识别用户上网设备类型并作为策略条件。
可将IP、IP段、VLAN作为策略条件。
系统状态
网络活动
流量监控
认证策略
针对设备类
型、IP、IP
段、VLAN的
管控
1. 能够与终端管理软件联动,设备检测到未安装终端管理软
件的PC,可将其Web访问自动重定向到特定页面并提示下
载;
2. 设备能够根据终端管理软件检测到的信息配置准入控制
策略,准入规则应包括:
★终端管理
1、系统是否存在某个特定进程
软件联动
2、注册表中是否含有特定内容
3、制定位置是否存在特定文件
4、操作系统类型和版本等
5、系统是否安装了特定的杀毒软件和特定版本
6、系统是否安装了特定的漏洞补丁
7、系统是否开启了文件实施防护功能
当用户的网页访问被网页浏览策略封堵时,用户如果发现分
URL分类反馈
类错误能够在页面中进行反馈
网页管
理
网页内容关可根据网页内容关键字进行审计与过滤,一条策略实现阻断、
键字过滤 记录、告警;每个关键字对象要求可至少录入500个关键字
可针对QQ账号制定策略,对聊天、登录及登出的行为进行记
录与控制;能够对QQ文件传输行为进行审计,并且能够对传
★QQ审计与
输的文件进行备份留存;支持对QQ聊天内容进行审计。可制
IM外发
管理
定多条QQ审计控制策略,实现针对不同的用户匹配不同审计
管理
策略。
Skype审计 支持Skype账号、聊天内容、行为审计与控制。
系统监
控
应用访
问管理
数据库
审计
流量管
理
硬件规
格
支持skype外发文件内容的审计
应用审计及应用协议库包含的应用数量不低于4000种,一级分类不少于
控制 40种,移动应用数量不低于900种
应用流量限
可以根据应用协议库限制每个人的应用流量
额
数据库审计可审计、控制Oracle, MySql, SqlServer, PostgreSQL等数
控制 据库的访问与操作,包括添加、删除、修改、查询等。
支持在设置流量策略后,可根据整体线路空闲情况,允许流
动态流控 量通道内的流量突破策略上限,以提升带宽的高使用率;空
闲值可自定义
可以限制P2P、视频等大流量应用的最大带宽上限,减少带宽
带宽控制
的浪费
每用户带宽
可以指定每个人的最大上传、下载带宽
限制
设备必须具备独立的(具备标识的)网络管理接口。所有接
业务接口均被用满后,仍然可以存在独立的管理口可以访问;
设备适用带宽:40M,适用用户:150人,并发连接30万,每
设备配置
秒新建连接1.1万/秒,1U机箱,单电源,标准配置4个
10/100/1000M自适应电口,1个Console口,64G SSD存储空
间。
★硬件设备提供物理硬件bypass按钮,便于设备巡检、设备故障时
bypass按钮 管理员无需重启、关机、断电即可恢复网络通畅。
界面bypass 支持远程登录在界面实现bypass,并可进行切换。
其他 ★提供设备三年质保服务证明材料
三、供货要求
1、供应商对所投的产品应符合国家或行业主管部门对于相关设备的生产、销售、检验
的标准和规定。参加报价的供应商对所投产品必须写明具体品牌型号;
2、本次报价应包含安装、搬运、维保服务及设备安装所需的配件和辅材等所有费用;
3、送货安装要求:合同签订后5个工作日送货安装结束。现场免费安装、配合完成其
他相关设备的接入,安装调试和技术咨询,保证整套设备的正常运行。
四、服务要求
1、质保要求:三年原厂质保(供货时提供三年原厂质保证明材料,自验收合格之日起
计算),如产品出现故障,须在12小时内到达现场并免费解决问题。
2、验收要求:交付使用后7个工作日内,采购人组织相关技术人员及成交供应商,根
据询价通知书技术参数要求逐条验收,如不符合技术参数要求,供应商应在2个工作日内
进行整改,直至符合技术要求方为验收合格。
2024年10月31日发(作者:旁天欣)
镇江市残疾人联合会网络安全设备采购需求
一、设备清单
序号
1
品名
下一代防火墙
参考品牌型号
360网神
NSG3500-TE11F
数量
1
单价
46000
总价
46000
2
3
上网行为管理
门禁主控器
360网康NI3000
1
司创SC1101 5
39500
2800
39500
14000
二、设备参数
1、下一代防火墙
指标项
软件架构及
系统要求
规格要求
系统要求
基于X86架构,采用高性能的intel多核CPU,采用多核操作系统,提供具有
自主研发的SecOS多核并行安全操作系统
硬件要求
多核AMP+架构,网络处理能力3G,并发连接≥100万,每秒新建连接3万/
硬件规格
秒,标准1U机箱,单电源,标准配置4个10/100/1000M自适应电口,1个
Console口。
功能要求
产品支持路由、透明、交换、旁路以及混合模式接入
三层接口ip地址支持float和static类型
支持聚合接口,聚合接口支持路由和交换两种工作模式,聚合模式(Channel
模式)支持三种:轮询、热备、802.3ad,其中802.3ad方式支持3种负载算
网络适应能力
法:根据源目的mac组合、根据mac和ip组合、根据ip和TCP/UDP端口组
合
支持接口镜像(mirror接口)
★支持软件Bypass和硬件Bypass
支持手动MAC地址表和手动ARP地址表设置
支持IPv6地址配置
支持使用IPv6地址进行设备管理
IPv6支持
支持IPV6的本地认证
支持IPV6下静态路由及策略路由
支持IPv6 Web认证
访问控制能力
支持基于源目的IP地址、源目的安全域、VLAN ID、MAC地址、时间、用户、
地理区域、服务协议及应用等多种方式进行访问控制
支持按源目的IP、源目的接口、用户、地理区域及应用进行流量排名,并显
示流量统计
支持基于时间维度的IP或MAC的黑名单设置;
支持域名黑白名单
★链路冗余能
力
支持服务器负载均衡功能,最大支持对8个服务器进行负载均衡,负载算法
支持轮循、权重轮循和源地址HASH等
支持静态路由的负载均衡
支持802.1x认证,支持两种接口控制方式:端口和MAC
支持用户自助修改登录密码,支持自定义身份验证登录页面,包括用户LOGO
定制
支持对用户的登录地址、可访问目的地址、可访问应用、可使用服务、可用
带宽及访问生效时间等通过规则进行限制
应用特征库1800种
支持较多国内主流应用
支持对MSN、QQ、WebQQ、米聊PC版、阿里旺旺、百度Hi、雅虎通、飞信等
即时通信应用限制
支持通过预定义的URL类,及用户自定义的URL类,对URL进行过滤。实现
仅允许用户打开某一些网页,或者禁止用户打开某一些网页
预置86大类URL资源库,可手动离线或自动在线进行更新升级
支持自定义URL过滤
支持URL云查询,支持云端URL查询分析
支持双机热备功能,支持路由和透明模式下的“主-备”、“主-主”模式
高可用性
支持配置、状态信息的自动同步
支持抢占模式和非抢占模式
IPS特征库不少于3000条特征值
支持对拒绝服务、缓冲区溢出、恶意扫描、木马后门、病毒蠕虫、僵尸网络、
入侵防御能力
跨站脚本、SQL注入、WEB攻击等的防御
具备针对DNS、FTP、ICMP、IMAP、SQL、NNTP、POP、SMTP、SNMP等协议类型
的入侵检测与防御
支持针对FTP、SMTP、POP3、IMAP、MYSQL协议防弱口令扫描功能,可以帮助
用户记录或者拦截网络中猜测FTP用户名密码,邮件用户名密码的行为。并
防弱口令扫描
支持生成动态策略,下发给防火墙,再次受到相同攻击时,用户可以选择禁
止还是允许口令猜测的行为
防火墙动态策略功能,可以通过与入侵防护策略、防弱口令扫描、终端系统
动态策略 的联动,生成动态策略信息,根据用户在基本配置中配置的动态策略动作,
命中动态策略的数据将会被阻断或者记录日志
支持终端协同,通过与终端联动收集终端信息,让防火墙自主学习网络环境,
★基于 安全
并主动防护整体系统。
云的威胁情报
防护与系统联
增加情报接收及查询两种模式的与云端情报系统联动功能,实现基于安全情
动
报纬度的安全管控,情报包含URL、文件、DNS等黑白名单
系统管理能力
为提升管理安全,增加设备默认密码修改提示,密码修改规范需包含字母、
数字及特殊符号,密码长度需不小于10字符,提升密码安全性
用户认证
应用识别控制
能力
URL过滤
支持管理员的三权分立,支持多种管理员角色权限:超级、审计、安全、配
置、账户、虚系统配置、虚系统审计管理权限
支持管理员密码复杂度设置及登陆安全策略设定
管理员身份认证支持本地与第三方认证,支持Radius、LDAP服务器及AD认
证,支持管理员采用证书认证方式登录
支持日志导入,便于对历史日志进行审计
可提供自有品牌管理软件对日志进行收集、分析,并能提供详尽日志统计报
日志审计能力
表
支持针对系统资源、配置变更、病毒事件、攻击事件、异常事件及启动事件
等进行邮件告警、硬件声音告警及短信告警
资质要求(提供相关文件证明)
公安部计算机信息系统安全专用产品销售许可证(三级)
中国国家信息安全产品认证证书(三级)
产品资质
国家保密局涉密信息系统产品检测证书
IPv6 Ready金牌认证证书
其他
国家版权局计算机软件著作权登记证书
提供设备三年质保服务证明材料
2、上网行为管理器
指标项
网关模式
镜像模式
设备部
署
网桥模式
多路桥接
IPv6支持
系统管
理
管理员账号
安全
指标要求
设备可部署在网络中提供路由转发和NAT功能,可连接ADSL
线路和专线。
设备可连接一条或多条镜像线路,获取网络信息,进行行为
分析和审计。
设备可直路串联在一条或多条原有网络线路上,进行行为分
析、审计和控制。不改变网络拓扑,路由表项。
支持多路网桥功能,实现X进X出,即X路桥接
能够支持IPv6环境下的网址访问审计、生成分析报表等功能;
能够在IPv6环境下,正确审计显示用户的IPv6地址;能够
正确配置免监控等功能的IPv6地址。
支持管理员账号初始密码检测,如果发现管理员未更改初始
密码,能够进行提醒。
审计日志集
中存储
支持将多台设备日志集中存储于一台日志中心服务器,便于
数据的集中查询与统计。
日志中心支持选择企业级Oracle数据库,访问日志中心数据
必须采用https加密方式访问,避免传输过程被窃取。
日志中心能够对多台设备的日志进行聚合式搜索,用户执行
一次关键字搜索即可在多台设备中搜索出所有具有此关键字
的审计日志
能够实时提供产品CPU、磁盘占有率、接口状态、授权状态等
信息。能够提供24小时内流量状态趋势图。
能够实时提供应用流量排名、网址分类排名、用户流量排名、
应用流量趋势、用户流量趋势等信息
能够提供设备流速趋势、用户实时流速、设备实时日志等信
息。
可以基于IP、MAC等多因素进行用户认证、识别
可识别用户上网设备类型并作为策略条件。
可将IP、IP段、VLAN作为策略条件。
系统状态
网络活动
流量监控
认证策略
针对设备类
型、IP、IP
段、VLAN的
管控
1. 能够与终端管理软件联动,设备检测到未安装终端管理软
件的PC,可将其Web访问自动重定向到特定页面并提示下
载;
2. 设备能够根据终端管理软件检测到的信息配置准入控制
策略,准入规则应包括:
★终端管理
1、系统是否存在某个特定进程
软件联动
2、注册表中是否含有特定内容
3、制定位置是否存在特定文件
4、操作系统类型和版本等
5、系统是否安装了特定的杀毒软件和特定版本
6、系统是否安装了特定的漏洞补丁
7、系统是否开启了文件实施防护功能
当用户的网页访问被网页浏览策略封堵时,用户如果发现分
URL分类反馈
类错误能够在页面中进行反馈
网页管
理
网页内容关可根据网页内容关键字进行审计与过滤,一条策略实现阻断、
键字过滤 记录、告警;每个关键字对象要求可至少录入500个关键字
可针对QQ账号制定策略,对聊天、登录及登出的行为进行记
录与控制;能够对QQ文件传输行为进行审计,并且能够对传
★QQ审计与
输的文件进行备份留存;支持对QQ聊天内容进行审计。可制
IM外发
管理
定多条QQ审计控制策略,实现针对不同的用户匹配不同审计
管理
策略。
Skype审计 支持Skype账号、聊天内容、行为审计与控制。
系统监
控
应用访
问管理
数据库
审计
流量管
理
硬件规
格
支持skype外发文件内容的审计
应用审计及应用协议库包含的应用数量不低于4000种,一级分类不少于
控制 40种,移动应用数量不低于900种
应用流量限
可以根据应用协议库限制每个人的应用流量
额
数据库审计可审计、控制Oracle, MySql, SqlServer, PostgreSQL等数
控制 据库的访问与操作,包括添加、删除、修改、查询等。
支持在设置流量策略后,可根据整体线路空闲情况,允许流
动态流控 量通道内的流量突破策略上限,以提升带宽的高使用率;空
闲值可自定义
可以限制P2P、视频等大流量应用的最大带宽上限,减少带宽
带宽控制
的浪费
每用户带宽
可以指定每个人的最大上传、下载带宽
限制
设备必须具备独立的(具备标识的)网络管理接口。所有接
业务接口均被用满后,仍然可以存在独立的管理口可以访问;
设备适用带宽:40M,适用用户:150人,并发连接30万,每
设备配置
秒新建连接1.1万/秒,1U机箱,单电源,标准配置4个
10/100/1000M自适应电口,1个Console口,64G SSD存储空
间。
★硬件设备提供物理硬件bypass按钮,便于设备巡检、设备故障时
bypass按钮 管理员无需重启、关机、断电即可恢复网络通畅。
界面bypass 支持远程登录在界面实现bypass,并可进行切换。
其他 ★提供设备三年质保服务证明材料
三、供货要求
1、供应商对所投的产品应符合国家或行业主管部门对于相关设备的生产、销售、检验
的标准和规定。参加报价的供应商对所投产品必须写明具体品牌型号;
2、本次报价应包含安装、搬运、维保服务及设备安装所需的配件和辅材等所有费用;
3、送货安装要求:合同签订后5个工作日送货安装结束。现场免费安装、配合完成其
他相关设备的接入,安装调试和技术咨询,保证整套设备的正常运行。
四、服务要求
1、质保要求:三年原厂质保(供货时提供三年原厂质保证明材料,自验收合格之日起
计算),如产品出现故障,须在12小时内到达现场并免费解决问题。
2、验收要求:交付使用后7个工作日内,采购人组织相关技术人员及成交供应商,根
据询价通知书技术参数要求逐条验收,如不符合技术参数要求,供应商应在2个工作日内
进行整改,直至符合技术要求方为验收合格。