2024年1月5日发(作者:)
招标项目清单与技术要求
序号
设备名称
主要参数 数量
一、网络改造
1
2
3
集群业务子
卡
堆叠电缆
24口电接口板
接入交换机
集群业务子卡
QSFP高速电缆-10m
4块
8条
24端口百兆/千兆以太网电接口板(FA,RJ45)
1块
交换容量≥256Gbps,包转发率108Mpps
24×10/100/1000Base-T,
4个复用的千兆SFP Combo
硬件规格:★标准1U机架式设备,标配至少4
个千兆电口,2个千兆光口,单电源;
性能参数:★网络层吞吐量≥3Gbps,并发连
接数≥100万;
部署方式:支持路由,网桥,单臂,旁路,虚
拟网线以与混合部署方式;
路由支持:支持静态路由,ECMP等价路由;支
持RIPv1/v2,OSPFv2/v3,BGP等动态路由协
议;支持多链路出站负载,支持基于源/目的
IP、源/目的端口、协议、应用类型以与国家
地域 来进行选路的策略路由选路功能;
4
4台
5
防火墙
基础功能:访问限制规则支持基于源/目的
1台
IP,源端口,源/目的区域,用户(组),应
用/服务类型,时间组的细化限制方式;支持
依据国家/地区来进行地域访问限制;能够识
别管控的应用类型超过1200种,应用识别规
则总数超过3000条;支持IPv4/v6 NAT地址
转换,支持源目的地址转换,目的地址转换和
双向地址转换,支持针对源IP或者目的IP进
行连接数限制;
DDoS攻击防护:支持Land、Smurf、Fraggle、
WinNuke、Ping of Death、Tear Drop、IP
Spoofing攻击防护、支持SYN Flood、ICMP
Flood、UDP Flood、DNS Flood、ARP Flood攻
击防护,支持IP地址扫描,端口扫描防护,
支持ARP欺瞒防护功能、支持IP协议异样报
文检测和TCP协议异样报文检测;
入侵防护功能:入侵防护漏洞规则特征库数量
在4000条以上;支持对常见应用服务(
FTP、SSH、SMTP、IMAP)和数据库软件(MySQL、
Oracle、MSSQL)的口令暴力破解防护功能;
具备防护常见网络协议(SSH、FTP、RDP、VNC、
Netbios)和数据库(MySQL、Oracle、MSSQL)
的弱密码扫描功能;支持同防火墙访问限制规
则进行联动,可以针对检测到的攻击源IP进
行联动封锁,支持自定义封锁时间;★可供应
最新的威逼情报信息,能够对新爆发的流行高
危漏洞进行预警和自动检测,发觉问题后支持
一键生成防护规则;
僵尸主机检测:支持调用Google SafeBrowsing
API接口过滤恶意URL链接;支持内置恶意URL
链接库,恶意链接库能够做到每日实时更新;
支持通过静态特征识别定位僵尸恶意软件,恶
意软件识别特征总数在50万条以上;支持通
过随机域名算法,DGA域名检测算法和动态域
名分析等行为识别技术定位僵尸主机;支持对
终端已被种植了远控木马或者病毒等恶意软
件进行检测,并且能够对检测到的恶意软件行
为进行深化的分析,展示和外部吩咐限制服务
器的交互行为和其他可疑行为;对于未知威逼
具备同云端平安分析引擎进行联动的实力,上
报可疑行为并在云端进行沙盒检测,并下发威
逼行为分析报告;★支持通过云端的大数据分
析平台,发觉和展示整个僵尸网络的构成和分
布,定位僵尸网络限制服务器的地址;所投下
一代防火墙入围2016年Garnter企业级防火
墙魔力象限,供应魔力象限报告;
威逼地理位置感知:★支持将检测到的应用层
攻击行为依据IP地址的地理位置信息进行动
态展示,实时监测和展示最新的攻击威逼信
息 ;
高可用性:双机支持A/S,A/A方式部署;支
持配置同步,会话同步和用户状态同步;支持
双机心跳线冗余;
系统配置:支持管理员权限分级,支持平安管
理员、审计员、系统管理员三种权限;支持自
动备份配置,最大支持十五天内的配置复原;
支持内置规则库的手动/自动更新;支持邮件
和短信告警;
产品资质:产品应具备计算机信息系统平安专
用产品销售许可证。
6
千兆多模模块
千兆多模跳线
机架式光纤收
发器
辅材
光模块-eSFP-GE-多模模块(850nm,0.5km,
20个
LC)
LC-FC接口,5m
LC-LC接口,5m
含8个SC接口类型光电转换器
六类网线,六类水晶头等
安装部署:1、操作平台:服务端:支持部署
在Windows Server版本和主流Linux版本上。
含管理中心,并支持500点终端运行;客户端:
支持常见的32位和64位操作系统:Windows XP
Professional SP3、 Windows Vista SP2、
Windows 7 Professional 、 Windows 8
7
18对
2对
1台
1批
8
9
10
杀毒软件
Professional、Windows Server 2003、Windows
1套
Server 2008、Windows Server 2012、Linux
等。2、客户端部署方式:支持多种安装方式,
至少包括下载安装、远程安装、脚本登录安装
和域组策略安装。3、数 据 库 :服务端安装包
供应内置数据库支持,不须要额外安装诸如
SQL Server、MSDE、MySq1、ACCESS等数据库
软 件 。
管理实力:1、管理端扩展性:有良好的可扩
展性和易用性,支持大型网络跨地域、跨网段
的部署和管理。支持无限层网络架构,支持C/S
与B/S两种模式对客户端进行管理。2、私有
云 :杀毒软件须具备企业内部私有云建设实
力,包括云端病毒库、木马库、漏洞库等。可
帮助用户管理黑白名单模板。3、通信平安:
杀毒软件服务端能对全部客户端进行集中管
控,通过限制台干脆给客户端发送吩咐,指令
采纳国际标准的SSL方式加密。★支持标准
syslog格式数据上报到安管平台。4、统一管
理 :杀毒软件管理端须具备集中管理实力,支
持对已部署的全网各级各类终端进行集中统
一的管控,终端类型包括各版本的windows,
linux,以与主流国产操作系统等。杀毒软件
服务端能够实时监控客户端病毒查杀信息,并
具备病毒日志查询与统计功能,可对网络中病
毒动态进行查询统计,能按时间、按IP地址、
机器名、按病毒名称、病毒类型进行统计查询,
能将查询结果打印或导出。5、策略定制:具
备订制化平安策略实力,可依据企业用户环
境,可自由定制特性化的终端平安防护策略,
为企业打造私有云平安模型以提高计算机平
安等级。具备使终端强制执行中控所下发策略
的实力。杀毒软件服务端可以对所供应的不同
系统平台以与应用系统下的防护终端进行策
略配置,在配置胜利后,管理员可自定义锁定
客户端策略与权限,强制终端用户执行策略。
具备供应多维度,多粒度的病毒情报展示实
力,可按边界类型、病毒类型、时间范围、终
端组织结构等等参数对病毒情报进行具体筛
选,能对选定项进行清除或者加白,能导出报
表。6、审计日志:具备供应多维度,多粒度
的日志汇总报表与分析报表的实力。并供应两
可折线图,饼状图等图表导出终端部署状况,
日活统计,病毒库版本统计,病毒排名,感染
状况统计等数据。具体日志:可展示全部终端
种展示方式,图形报表和具体日志。图形报表:
的操作日志,通过触发缘由,操作类型,操作
状态,时间戳,操作员账户,终端名等搜寻条
件来筛选用户须要的信息,筛选完成后,可导
出报表。智能追溯:具备病毒文件审计追踪实
力,可智能快速定位病毒,与早处理感染源,
削减病毒爆发造成的损失。自动升级:具备自
定义病毒/软件版本升级时间实力,并且升级
过程已进行智能负载均衡处理,避开占用过多
内网带宽资源。定时扫描:具备自定义全网病
毒查杀参数的实力。在指定的时间自动下发查
杀指令至指定的终端进行病毒扫描,可配置扫
描时间,扫描类型等。发觉病毒的处理方式:
具备自定义病毒处理方式的实力,如通过下发
查杀指令或定时扫描等方式发觉了病毒,可设
置是否干脆自动清除。终端密码爱护:具备爱
护终端不被非法退出或卸载的实力。用户在终
端执行退出或卸载软件时,须要通过密码验
证。平安报警:具备将风险警报或者系统日志
发送给管理员的实力。可在内网威逼程度满意
触发条件时发送邮件告警或系统日志至指定
收件人,使管理员能快速响应并处理计算机病
毒。服务器迁移:具备服务器IP地址迁移后,
终端仍能接受管理的实力。如管理端的IP地
址发生变动,快速修改终端配置进行并正确的
连接,确保全网终端的可控性。★自动清理:
具备自动清理无效终端的实力。可自定义时间
范围,自动清除长期未连接过限制中心的终
端,可削减服务器冗余数据,提高管理效率。
查杀实力:1、人工智能学习技术:★杀毒软
件须具备机器学习实力,通过CNN深度学习算
法以与大数据分析技术,来实现人工智能引
擎,可有效应对未知病毒,在获得较高的检出
率的同时能够有效地降低误报率,误报率低于
万分之二。2、特征云查杀技术:私有云查杀
引擎须具备特征查杀实力。特征云查杀引擎:
基于启发式引擎原理,通过对样本特征关联性
分析,具备识别未知病毒实力。3、多步主防
技 术 :杀毒软件须具备基于多步行为推断的主
动防卫技术,依据样本一系列的行为特征来进
行综合的风险判定,其监控和推断实力由后台
的大数据训练集群支持。★宏病毒专杀实力:
杀毒软件须供应宏病毒专杀引擎,可以解析
office全部常用版本的文档,处理被感染的文
档,将恶意代码清除而保留正常文档。清除操
作的粒度可以到清除excel公式、宏脚本中某
个函数等。漏洞防护实力:对未安装的已知补
丁进行防护,还支持通过系统内核加固、应用
加固等手段对0day漏洞或未知漏洞进行防护。
压缩包查杀实力:具备压缩包查杀功能,支持
25种解压缩格式,涵盖压缩包、安装包、文档
格式解析实力。支持安装脚本级查杀,拦截流
氓软件捆绑。实时防护:具备主动防卫模块,
能够监控和清除来自各种途径的病毒、木马、
广告软件、恶意插件、隐藏软件、黑客工具、
风险程序等。具备边界防护,对网页访问、程
序下载、文件拷贝等敏感系统边界入口的实时
监控,拦截危急文件的落地。
产品更新:1、病毒库软件更新协定:在与用
户协定的服务期内,供应完全免费的病毒库更
新和产品升级信息服务。2、病毒库互联网更
新 :拥有多个主干道服务器,保证企业中控平
台自动选择最快的更新服务器,运用最快的速
度获得最新的反病毒数据库。3、病毒库更新
断点续传:反病毒软件在更新过程中遇不行抗
力等意外状况下中断,在下次重新运行更新
时,可运用增量更新技术,在中断之前更新的
基础上接着更新,提高更新效率,节约网络流
量 。 4 、与时推送病毒库:服务端更新后,能
够自动快速完成全网杀毒客户端的更新。5、
病毒库更新周期:要求有快速的反应实力,病
毒库要求常规状况下,平均每周更新一次,反
病毒更新模块允许从Internet或当地的服
务器下载最新的反病毒数据库和组件。6、自
定义病毒库更新源:可以对反病毒数据库更新
源进行定制(互联网更新服务器、本地文件夹、
网络共享文件夹、内部更新站点、U盘光盘等
移动存储介质)。
服务、资质与培训:1、订制化开发服务:具
备快速响应用户需求,订制化开发企业内部所
需的好用功能的实力。2、病毒专杀服务:具
备开发定制专杀工具的实力,针对企业网络内
已爆发的高危病毒, 一般查杀手段下无法彻底
的状况,可为用户定制开发专杀工具。厂商拥
有解决勒索病毒的实力,供应勒索病毒专杀工
具和复原工具 。 3 、厂家资质 :厂商具有
《CMMI-DEV ML3》级或以上认证证书,信用等
级证书达到AAA级与以上。4、产品培训服务:
供应三年免费服务,免费供应产品培训服务,
并帮助快速熟识理解杀毒产品。
系统功能:1、支持策略级联管理功能,上级
管理服务器可强制定制策略并下发给下级管
理服务器;下级管理服务器的报警和统计信息
11
内网管理软件
级联上报,同时支持上级干脆登录下级管理服
1套
务器,以进行具体数据查询,要求≥500终端。
2、★支持多级级联管理,至少支持三级以上
多个管理限制台的数据级联上报和平安策略
的下发执行,单台服务器独立管理网络要求达
15000台以上计算机的管理实力,体现产品的
抗压与稳定性。。3、具备对管理员分权限管理,
达到管理员、审计员权限分立,互不交叉。供
应系统运行审计和操作审计机制,保证系统的
稳定运行,系统管理员登录要求支持IP地址
访问限定,只有获得授权的计算机才能进入系
统限制台。4、★策略漫游功能:当计算机从
当前管理器服务器管理区域变换至其它管理
器的管理区域后,干脆接受该区域管理服务器
的接管,并自动获得和执行新管理服务器理的
管理策略。5、系统兼容32、64位Windows
vista, Windows 7、8、10等新版本Windows
系 统 。
补丁管理与文件分发:1、★产品拥有自主研
发的补丁自动分发功能,不依靠于第三方产品
实现。2、支持对互联网补丁进行增量分别下
载,经过病毒检测后将补丁导入内网,建立、
更新内网补丁库。3、系统自动对新导入补丁
供应平安性测试。测试完成后再大面积下发补
丁。4、对于长期不打补丁的客户端,要求阻
挡其接入内网的行为;对新接入网络的计算机
要求马上安装补丁,否则阻断其入网;5、具
备终端代理转发技术功能(即补丁可由终端转
发补丁给其它终端),限制补丁分发流量;6、
支持依据不同类别对补丁进行归类(系统补
丁、IE补丁、应用程序补丁以与网管自定义补
丁组等),并具体列表补丁信息。7、支持补丁
自动分发安装,在指定时间、指定网络范围内
以不同方式(如推、拉)分发补丁,或者依据
脚本策略统一限制客户端下载补丁。当系统监
测到有客户端未打补丁时,可对漏打补丁客户
端进行推送补丁。8、具备终端补丁自检测,
终端用户可以通过内网 方式访问查找自
身漏打补丁的具体信息,并可便利的进行补丁
下载安装;管理员也可远程检测终端补丁安装
首先分发部分补丁至部分设备,如无问题反
馈,待达到设定时间后自动分发至全部设备。
状况。9、★具备补丁内网自动测试功能,即
10、支持补丁分发流量和并发连接数限制,支
持补丁下载代理转发,以免占用太大带宽,影
响网络正常工作。11、对网内计算机的补丁安
装状况进行整体收集,补丁下发完成后要有信
息回馈,便于查询并导出报表。
移动存储介质管理:1、★支持对移动存储设
备接入管理限制,定义USB标识,必需有特地
U盘制作工具对内部U盘进行加密、分区制作
管理,依据策略禁止非法USB存储,支持通过
移动存储设备认证方式限制本单位与外来移
动存储设备的接入。2、支持移动存储运用权
限限制,能够实现本单位移动存储设备带外无
法运用。3、支持对移动存储数据的读写审计,
审计数据的写入与读出,并可以依据策略定制
进行限制。4、支持移动存储设备读写权限限
制,供应对指定的移动存储设备只读、读写、
禁止运用的权限安排。5、支持对一般移动存
储设备划分交换区、加密区,加密区须要通过
密码认证并安装客户端才能访问。6、支持分
区容量大小调控,可以将移动存储设备设定成
全盘加密。7、支持分过区的移动存储设备,
在接入时可以自动调起本机杀毒软件进行杀
毒。8、支持黑名单功能,即使打过标签的移
动存储设备在黑名单内,在内网依旧不能运
用。9、策略制订后,能够自动分发至网络中
全部注册终端,依据策略类型确定如何执行。
10、要求达到投标产品为具有胜利实施案例的
成熟产品,基于C/S、B/S混合管理模式构架,
便利的对网络中Windows系统客户端进行管
理。11、要求供应系统运行审计和操作审计机
制,保证系统的稳定运行,系统管理员登录要
求支持访问限定,只有获得授权的计算机才能
进入系统限制台。12、要求系统管理服务器具
有自身平安防护机制,网络中出现恶意修改成
与管理服务器相同信息(如相同的IP地址、
相同的MAC地址等)的机器时,出现IP地址
或MAC地址冲突等现象时,管理服务器将不会
被阻断出网(即不会出现地址冲突的现象),
只有发起恶意攻击的设备会被自动阻断,不会
影响管理服务器的正常管理。13、要求支持分
权限管理,依据管理区域、平安策略、权限项
列表等对不同的管理员账户进行安排,如分为
操作、管理和审计等多种角色。14、设备统计
查询要求支持柱状图方式直观显示网络中注
册设备和安装杀毒软件状况,并可以对设备系
统信息(如操作系统和IE类型)和设备硬件
信息(如CUP、内存、硬盘等)进行图形化统
计;对各种日志的导出查询,支持EXCEL、WORD
格式的文件导出。15、系统支持对受控主机的
操作系统、软件和共享等书目中的文件的爱护
功能,设定访问、删除、修改权限;系统支持
对设定书目文件的操作审计,包括文件创建、
打印、读写、复制、改名、删除、移动等的记
录,同时将信息上报管理信息库供查询。16、
★通过对打印、网络共享、邮件等方式进行的
文件输出行为进行审计,并可设定须要检查的
敏感字符串,并执行有关限制。17、可以审计
操作系统账号增减、以与权限的变动。
终端管理:1、支持硬件接口限制,限制外设
接口的运用,管理员启用或禁用软驱、光驱、
U盘、USB接口、打印机、Model、串口、并口、
1394接口、红外接口等。2、★必需能够对USB
接口中的:音频类、CDC限制类、人机接口类
(HID)、物理类、图像类、打印机类、大数据
存储类、集线器类、CDC数据类、智能卡类、
平安类、诊断设备类、无线限制类、特定应用
类与厂商自定义设备等类型的接口进行独立
管控。3、支持对全网介入广域网的计算机流
量统计和流量排名,标示是否发包可疑和当前
并多线程连接数。4、具备文件分发功能,且
管理员自定义分发胜利的推断条件,具体包括
对注册表项是否写入与文件是否存在或更新
等条件进行推断。5、针对绿色免安装软件,
要求能够识别软件的产品名称和源文件名,即
使进程名称发生变更也能进行管理和限制。6、
能够识别具有公安部颁发销售许可证的全部
杀毒软件,并监控这些防病毒软件在客户端的
安装状况、实时运行状况,对未运行杀毒软件
的计算机进行如告警、断网处理。7、要求支
持终端流量监控,对网络客户端流量达到策略
设定阈值时报警或断网,对可疑发包(疑似蠕
虫病毒发包)行为、并发连接数过多进行提示
或断网。8、具备禁止、允许指定软件在注册
表启动项、注册表服务项、(起先)程序菜单
中添加相关值和快捷方式。9、支持进程管理
功能:支持对(指定公司名、源文件名)的进
程进行黑白名单的限制,黑名单内的进程自动
被禁止,指定执行书目下的白名单内进程自动
启动。10、支持给终端计算机指定允许访问的
URL或禁止访问的URL。11、支持客户端防火
墙功能,对客户端进行端口访问限制、ICMP限
制、IP地址访问限制,由管理员制订统一策略
在客户端执行。12、支持桌面消息通知并回馈,
向客户端发送恳求重新注册、客户端代理程序
升级等消息;能够查询消息回馈状况,了解消
息通知接收效果。13、支持终端点对点信息远
程管理功能,诸如抓包分析、运行进程查看、
当前开放端口察看、安装软件审核、漏打补丁
查看、终端平安审计、客户端网络配置修改等
信息。14、系统供应平安策略制定功能,依据
终端平安防护须要供应平安策略(全局策略、
本地策略、备份策略)。15、策略制订后,能
够自动分发至网络中全部注册终端,依据策略
类型确定如何执行。16、支持策略脱机有效,
比如:某些策略不管终端是否联网或是否在网
内都有效。17、支持策略级联管理功能,上级
管理服务器可强制定制策略并下发给下级管
理服务器;下级管理服务器的报警和统计信息
级联上报,同时支持上级干脆登录下级管理服
务器,以进行具体数据查询。18、支持对客户
端进行系统平安性审计,包括注册表审计:审
计注册表键或者键值是否符合某一条件,对不
符合审计要求的键值进行添加或删除;用户密
码审计:审计系统用户、网络共享、屏幕爱护
等密码是否符合规范;用户权限审计:监控系
统用户与用户组增加、削减的变更。19、支持
系统日志审计,管理员对客户端计算机的日志
(系统日志、应用日志、平安日志等)进行远
程读取查看。20、支持IE的BHO黑名单管理
功能。21、支持审计IE访问记录,检查客户
端访问某一特定地址的历史信息,如访问
sina 后的IE缓存、Cookie信息、保藏夹
等。22、系统支持各类统计(资产统计、平安
策略、设备状态等)能生成多种分析报表,供
应丰富的报表模板,支持管理员从不同方面进
行事务的可视化分析,对于分析结果系统供应
表格与图形表现形式。
产品平安性:1、支持分权限管理,依据管理
区域、平安策略、权限项列表等对不同的管理
员账户进行安排,如分为操作、管理和审计等
多种角色。2、要求供应系统运行审计和操作
审计机制,保证系统的稳定运行,系统管理员
登录要求支持IP地址访问限定,只有获得授
权的计算机才能进入系统限制台。
产品适应性:要求产品采纳IIS技术,基于C/S、
B/S混合管理模式与NET环境的软件构架,供
应中文语言Web图形界面配置,供应集中管理,
供应第三方接口。便利的对网络中Windows系
统客户端与本系统进行管理。
产品与厂商资质要求:1、具备国家版权局颁
发的《计算机软件著作权登记证书》。2、要求
信用等级证书达到AAA级与以上。3、国家密
码总局颁发的《商用密码产品销售许可证》。4、
信息平安管理体系认证证书。5、具有CMMI 3
级或以上认证证书。6、供应三年免费服务。
性能与部署要求:1U机架式,4个1000BASE-T
电口,1个1000BASE-T管理口,1个1000BASE-T
扩展口,2个USB接口, 一 个RS232串口
(RJ-45),硬盘容量500G,单沟通电源;单台
支持500个用户数,最大新建连接数8000个
/S,流量吞吐最大支持500Mbps,40万并发连
接 数 。
注册管理:1、支持自定义注册信息,要求可
以定义必需填写的注册信息项,可依据须要启
用/禁用自定义项。2、要求可依据须要自定义
12
网络接入限制
系统
客户端注册的服务端地址,客户端可自动识别
1台
服务端信息并注册。3、要求供应终端注册的
日志记录功能,并可依据时间、设备名、注册
者、IP与动作等关键字进行记录查询。4、要
求必需支持针对IE、QQ登陆与弹出窗口等web
形式的访问供应入网重定向提示,提示进行客
户端注册。5、★要求支持注册审核管理功能,
已注册终端必需通过管理员手动审核通过之
后才可以接入网络。6、必需支持对终端计算
机软件安装信息的收集,包括当前软件安装信
息和历史安装信息。
身份认证与平安检查:1、★要求支持本地认
证系统,支持自定义本地用户和密码,支持本
地认证用户自行修改密码。2、要求支持与
Radius认证系统联动进行身份认证,必需支持
包含PAP、EAP-MD5、MD5-CHAP等加密认证方
式。3、支持与AD域服务器、LDAP服务器实现
联动认证,并且支持帐户信息的自动同步以与
导入导出。4、要求支持与CA认证系统联动实
现身份认证,必需支持当前主流CA厂家的认
证配套流程。5、要求支持认证超时机制,超
时帐户强制自动登出,要求超时时间可以自行
配置。必需支持帐户超期统一登出机制,登出
时间可依据须要自行设置。6、要求支持帐户
尝试登录限制,要求尝试登录次数可进行配
置,尝试登录失败可锁定帐户,锁定时间可按
需配置。7、要求支持帐户角色绑定功能,不
同用户帐户继承所属角色的访问权限以与安
检要求。8、要求支持安检规范定义配置功能,
可依据角色属性定制不同的安检规范,安检规
范应至少包含杀毒软件安装状况检查、补丁漏
洞检查、系统共享资源检查、IE主页修改项检
查、guest来宾帐户启用状况检查、远程桌面
启用状况检查、系统启动项检查、系统进程检
查等。9、要求支持平安域限制功能,可依据
角色属性定制不同的平安域,用户认证胜利
后,平安域角色限制功能自动生效,相关角色
帐户只能访问指定的平安限制域。10、要求支
持认证日志记录和查询功能,可依据认证帐
户、认证起止日期、认证起止时间、认证动作
行为以与IP地址等组合因素查询认证日志信
息。11、要求支持未认证通过用户入网时进行
阻断,能够供应web重定向提示,并说明入网
阻断缘由。12、★要求支持对身份认证通过后
的用户终端进行平安检查,并对安检进度供应
进度条提示,未通过安检的终端给出未通过项
提示并阻断入网,支持安检未通过一键修复功
能 。
准入限制:1、要求支持基于源IP设置准入限
制白名单,并且支持基于源IP设置准入限制
流程。2、要求支持基于目的IP设置准入限制
白名单,对白名单范围内的目的IP不进行准
入限制。3、要求必需支持支持串接和旁路部
署模式,支持策略路由、旁路干扰、透亮串接、
DHCP等多种准入限制模式。4、要求支持基于
终端心跳和终端水印认证双重准入推断,自动
发觉采纳NAT模式入网的终端并强制认证。5、
要求支持准入策略制定功能,可依据访问IP
源、目的域以与准入流程进行策略制定,目的
域需是IP、端口以与书目的组合。6、★要求
支持准入流程差异化限制,可依据准入策略限
制终端仅注册、仅认证、注册与认证、注册认
证与安检等差异化准入限制策略。7、要求支
持对路由、无线、AP、HUB等环境下的终端实
施准入限制,支持对IPHONE、IPAD等非windows
操作系统的终端实施准入限制。8、要求支持
采纳丢包、ACL以与TCP连接干扰等方式实现
准入限制。9、支持三层环境下IP和MAC绑定。
访客限制:1、要求支持外来终端或者访客初
次入网阻断,并给出入网指导提示。2、★要
求支持外来终端或者访客自助申请上网码,只
须要供应管理员要求供应的入网申请资料,便
可申请上网码,要求支持管理员自定义入网申
请内容。3、要求支持访客自助查询上网码功
能,访客提交入网资料并经管理员审批通过
后,可以自助查询上网码。4、要求支持访客
上网码自动安排和手动安排模式,针对手动安
排模式,可供应访客申请入网邮件提示功能。
5、要求支持访客上网码短信审核功能,管理
员无需登录管理平台,只需回复短信就可以对
访客入网进行审核。6、要求支持设置访客入
网的截止时间,时间截止后自动阻断访客接入
网络。7、要求支持访客超时帐户处理,对于
超时访客帐户,可设定自动清除机制,到期自
动删除超时访客帐户。
系统监控:1、★要求支持对系统本身业务接
口的连接状态以与接口速率进行监控,支持对
系统本身的CPU以与内存运用率供应仪表盘式
图形化实时监控数据,支持数据自动刷新。2、
支持依据时间段对终端在线状况供应趋势图
表,可以依据终端注册状态进行区分显示,支
持最近一小时,最近一天,最近一周,最近一
月的统计区间。3、支持对终端的安检状态进
行逐项统计,能够统计每条安检项的通过/不
通过次数,支持通过深度钻取记录每条安检项
的终端通过/不通过日志。4、★要求支持对在
线终端状态供应图形化实时分析报表,分析内
容至少包含接入设备、待审核设备、注册设备、
认证设备、访客设备、入网设备、白名单设备、
隔离设备、离线设备等不少于9种状态。5、
要求支持分析结果深度钻取功能,对不同状态
的终端分析结果进行深度钻取获得终端的IP
列表。6、要求支持终端重新注册、重新认证、
重新安检或者一键隔离,并可在终端分析结果
中进行设置。
系统平安:1、产品采纳自主研发的专业实时
操作系统,系统内核应当专为准入限制功能设
计,便于减小系统开销,供应优异的准入限制
性能,不基于任何现有公用操作系统平台(例
如:windiows、linux、unix)。2、要求设备
供应内置旁路模块,在设备发生异样的状况下
能够快速切换到Bypass模式,从而有效地保
证网络链路的畅通。3、要求支持多种逃命模
式,至少支持交换机策略路由逃命模式和系统
一键软旁路逃命模式。
系统管理:1、要求支持基于 s的B/S架构
管理、支持基于SSH的吩咐行操作管理界面、
支持基于serial串口的设备后台管理模式。2、
要求支持自定义系统管理员,支持管理员角色
定义,支持三权分立的管理员角色管理,支持
管理员密码困难度设置,支持管理员帐户登录
尝试次数限制和超时限制,其中尝试次数和时
间都可以依据须要进行自定义。3、要求支持
级联管理员功能,在部署一台设备的状况下,
可以依据IP范围建立多个级联帐号,级联管
理员只能查看和管理自己IP范围内的数据。4、
要求支持系统配置备份、导入和导出,支持一
键初始化系统配置。5、支持邮件或者短信告
警机制,支持与短信网关联动,当出现访客或
注册待审核信息、设备违规信息、帐号到期、
帐号尝试次数超限锁定等状况,可以以邮件或
者短信告警的方式通知管理员。6、支持系统
界面皮肤设置,系统应支持至少不少于7种皮
肤,并可依据星期模式、时钟模式自动切换界
面皮肤。7、支持OEM自定义功能,供应OEM
设置接口,管理员可随意更换页面LOGO以满
意自身要求。8、要求支持系统信息查询,查
询内容应包含硬件处理器、内存、硬盘、当前
登录管理员、系统时间以与系统当前已运行时
长等相关信息,支持查询系统软件序列号、过
期时间以与当前系统的软性能参数信息。9、
支持系统在线升级,支持系统运用手册在线下
载。10、要求供应人性化的日志接口,支持记
录全部的管理员操作日志,包括管理员的登录
日志、系统操作日志以与各种类型的策略设置
日志等信息,日志信息内容简洁易懂,便利分
析定位故障。
产品与厂商资质要求:1、产品必需具备软件
著作权证书。2、为提高内网平安产品联动性,
要求该产品与内网终端平安管理产品必需为
同一厂商,且客户端一体。三年免费服务。
二、服务器升级改造
2、处理器:配置4颗Intel Xeon E7-4809v4
处理器,单颗内核数量8、主频2.1GHz,最大
支持4颗Intel Xeon E7-4800/8800 V3/V4系
列处理器;
3、芯片组:C602J;
4、内存:配置128GB DDR4 ECC REG内存,
支持32个内存插槽,支持6TB内存,支持内
存爱护、内存镜像、内存热备和内存热插拔;
5、硬盘限制器:配置2GB Cache PCI-E八通
道SAS RAID卡,支持RAID0/1/5/10/50;
6、硬盘:配置2块2T SAS硬盘,支持10块
2.5寸SATA/SAS/SSD硬盘;支持1块M.2 SATA
SSD硬盘
1、规格:4U标准机架服务器;
1
服务器
7、I/0扩展槽:支持7个PCI-E插槽,可支持
3台
GPU卡,支持热插拔PCI-E,全部PCI-E插槽
均支持PCI-E 3.0 X8与以上速率;
8、可维护性:支持内置SD卡,可实时记录备
份主机系统事务信息;支持离线光诊断功能,
可断电环境下诊断主板关键信息故障;
9、网卡:可选各类网络模块,四口千兆、双
口千兆、双口万兆等,配置2个高性能千兆RJ45
网口,支持IOAT、支持网络唤醒、网络冗余、
支持VMDQ网络虚拟化技术等高级特性;
10、HBA卡:配置2块8G单口HBA卡;
11、外设:USB DVD-RW光驱;
12、电源:配置2+1550W高效金牌电源模块,
最大支持4颗,N+N或N+1冗余;支持400WBBU
电池单元,供应二次备援功能;
13、导轨:服务器原配导轨;
14、管理软件:供应原厂商服务器导航软件,
该软件集成了磁盘擦除、对服务器机型自动识
别以与备份还原等功能,支持在服务器上干脆
引导启动,进行RAID配置与系统的安装启动,
支持智能安装操作系统,能够显示系统硬件信
息的扫描检测结果,包含机型处理器、内存、
网卡、硬盘、存储限制器等;
6台IBM X3650M3服务器内存由32G内存升级
服务器升级(内
到64G内存,2台IBM X3850服务器由64G内
1次
存升级)
存升级到128G内存,共升级320G服务器内存
2
3
服务器升级
(HBA卡升级)
6台IBM X3650M3服务器和2台IBM X3850服
务器,每台配置2块8GB HBA卡,共升级配置
1次
16块8GB HBA卡
原厂生产,与原有存储同一品牌,VSP G20024
盘位扩展柜,包含12块SAS 10K 1.8T 2.5英
1台
寸盘
24口光纤交换机,配置全模块,端口激活到24口
2台
4
存储扩展柜
5
光纤交换机
1、标准1U机架式设备,4个千兆以太网电口,
其中2个千兆管理口和2个千兆BYPASS接口,
2T日志存储量;
2、要求数据库防火墙系统支持串联透亮模式,
不添加任何插件和引擎,支持旁路侦听模式,
无需安装agent,并且两种部署模式都可实现
一 、基本要求:
6
数据库防火墙
实时告警和阻断;
1台
3、由于新安县人民医院数据机房现有HIS、L
IS等核心业务系统,因而要求依据以上业务核
心业务表,对数据库防火墙系统进行平安策略
设 计 ;
4、要求在系统上线后,依据用户业务场景须
要,定制数据库平安状况周报、月报,对数据
库肯定周期内发生的平安事务进行统计和分
析,书面反馈并给出建议,支持以图表等形式
呈现和导出。
二、技术要求:
1、SQL语句处理实力:SQL语句交易量≥4万
条 / 秒 ;
2、支持主流商用数据库,包括:Oracle 8/9/
10/11等;Sybase全部版本;SQL Server 2000/
2005/2008;Informix全部版本;DB2全部版本;
MYSQL全部版本;Postgresql全部版本. ;同时
支持达梦、人大金仓、南大通用、Cache等。
数据库管理可敏捷配置策略,实现选择性管
控,可依据数据库系统IP、端口和版本添加须
要防护的数据库进行防护,无需数据库账号和
密 码 ;
3、以会话为单位采纳流会话方式具体的记录
了数据库的操作过程:精确的时间点、来源网
络地址、来源端口、客户端主机名、客户端操
作系统用户名、数据库类型、目标地址、目标
端口、客户端程序、数据库账号以与完整的操
作行为详情;实现数据库管理员行为跟踪和分
析,用户行为跟踪和分析,机器行为跟踪和分
析,数据库登录行为跟踪和分析;(需供应加
盖公章的功能截图证明)
4、可依据IP五元组进行访问限制策略设置,
必需满意准入白名单自学习功能,能够自动精
准的学习到IP五元组+客户端主机名、客户端
用户名称、客户端连接程序名称与客户端帐号
名称等,可建立准入策略,只允许正常合法用
户连接行为接入;(需供应加盖公章的功能截
图证明)
5、供应全方位的策略规则匹配,依据策略阻
断或告警,策略因子包括:数据库操作来源I
P地址、数据库登录用户名称、数据库操作源
程序名称、数据库操作源终端名称、数据库操
作源终端用户名称、SQL操作语句(DDL、DML、
DCL)、数据库表组(表、条件)、SQL语句执行
时间等匹配条件;(需供应加盖公章的功能截
图证明)
6、虚拟补丁:对数据库的漏洞供应虚拟补丁
防护,对数据库供应一层虚拟防护,可设定告
警或拒绝模式;
7、满意实现对原始会话包的审计,并以PCAP
方式记录,记录至少包括:精确的时间点、来
源网络地址、来源端口、客户端主机名、客户
端操作系统用户名、数据库类型、目标地址、
目标端口、客户端程序、数据库账号以与完整
的操作行为详情,为DBA和网络管理员供应一
个网络分析依据,真正做到有据可查;
8、必需满意能够完整、细粒度地解析绑定变
量。可以精确定位到操作客体,真正审计到数
据发生了什么事情;
9、支持对超过60000字节的SQL语句进行完
整审计和解析,保证审计日志的完整性和牢靠
性,无遗漏;可对超长SQL语句策略:可设定
允许、告警、拒绝三种模式;(需供应加盖公
章的功能截图证明)
10、支持供应数据库实时监控功能,可以对总
体或数据库类型或数据库组别进行实时监控,
监控其网络流量、数据包、突发链接、并发连
接数、SQL语句数;
11、支持供应全文检索功能,可以做到对海量
的数据记录进行更加快速、便利的查询与定
位。"精确搜寻"中可对时间、IP、端口、客
户端程序、数据库账号、数据库类型、消息长
度(SQL语句长度)、SQL语句关键词等具体检
索条件 ;
三、数据分析与集成要求:
要求系统可实现防护报表统计,供应会话总
数、策略告警总数、异样告警总数、资产总数、
用户数量、操作日志数量等信息统计,统计报
表能够以3D饼状图、柱状图、表格等形式输
出,统计结果支持HTML、PDF、EXCEL等格式
导出,形成完整的医院平安管理学问库;
四、资质要求:
1、投标产品必需具备计算机软件著作权登记
证书(供应加盖原厂公章证明)
2、投标产品需供应"基于大数据流量的数据
库防火墙系统"专利证书(供应加盖原厂公章
证明)
3、投标产品需供应基于登录参数的数据库准
入防火墙系统专利受理证书(供应加盖原厂公
章证明)
系统上线后需供应以下输出物作为系统验收
依 据 :
4、《基于服务体系的医院数据库平安综合管理
系统实施方案》
5、《基于服务体系的医院数据库平安综合管理
系统运维手册》
7
8
机柜
42U,含2个PDU,含液晶套件
1台
UPS
数据库集群搭
建
应用系统升级
部署
10KVA电源,配备16块12V100AH电池,可支
1台
持新增加设备2小时供电
0racle数据库集群搭建实施,包含数据迁移,
1次
保证数据不丢失
业务应用系统升级部署实施,包含数据迁移,
1次
保证数据不丢失
9
10
发布评论