【正文】 維人員使用單點登錄前對運維工作站做安全合規(guī)檢查，包括防病毒檢查、系統(tǒng)補丁檢查 、系統(tǒng)配置檢查等，并提供修復(fù)功能。密碼策略可以配置 密碼長度，是否包含字母及字母的長度，是否包含數(shù)字及數(shù)字的長度，是否包 含符號及符號的長度。 訪問鎖定策略可以建立多條，每個主帳號可以應(yīng)用不同的訪問鎖定策略。 客戶端 地址策略可以應(yīng)用于主帳號，也可以應(yīng)用于從帳號。 客戶端地址策略可以配置成可訪問 IP 段方式，也可以配置成不可訪問 IP 段方式。配置時間段時可以配置日期。 主機命令策略配置 FTP的命令時，支持常用命令列表，方便用戶指定 FTP命令策略。 主機 命令策略可以配置成命令的黑名單，也可以配置成指令的白名單。 可以通過制定訪問規(guī)則對（自然人）主賬號和（被管資源）從賬號進行關(guān)系匹配。 可以制定細粒度策略；策略區(qū)分密碼安全策略、“禁止執(zhí)行”類和“允許執(zhí)行”類；安全策略場景對象支持主機命令對象、訪問時間對象、客戶端地址對象、訪問鎖定對象。 系統(tǒng)管理功能權(quán)限支持角色定義，角色可以針對目錄樹的節(jié)點定義，從而使角色即可 以限制能夠使用的功能項，也達到角色權(quán)限只在某個樹形節(jié)點范圍內(nèi)生效。內(nèi)部管理功能授權(quán)可以限制到某個樹形節(jié)點的范圍內(nèi)。同時在規(guī)則內(nèi)可以定義授權(quán)協(xié)議、關(guān)聯(lián)安全策略等。授權(quán)時可以按照樹形組顯示資源，方便資源的選擇。 支持應(yīng)用發(fā)布服務(wù)器的自身授權(quán)管理，支持業(yè)務(wù)系統(tǒng)間授權(quán) 5 授 權(quán) 管理 可以將資源和資源的從帳號授權(quán)給主帳號。 ★對于數(shù)據(jù)庫、 web、專用 C/S客戶端程序支持以應(yīng)用發(fā)布的方式進行授權(quán)和審計。 資源類型支持 Windows主機、域控主機、域控內(nèi)主機、 Unix主機、各種網(wǎng)絡(luò)設(shè)備、安全設(shè)備、網(wǎng)元、數(shù)據(jù)庫等。 4 資 源 管理 支持添加、修改、刪除被管資源。 支持通過配置訪問時間策略，限制使用此從帳號訪問資源時間。 對資源平臺上的帳號進行管理，可以添加、修改、刪除資源上的從帳號。 支持集中認證管理，提供統(tǒng)一的認證接口，便于對用戶認證的管理，而且能夠采用更加安全的認證模式，提高認證的安全性和可靠性。 支持通過配置密碼策略，達到指定密碼有效期和限制主帳號密碼強度的目的。支持對主賬號進行批量操作。 支持網(wǎng)絡(luò)衛(wèi)士運維審計系統(tǒng)自身程序通過 WEB 方式升級；支持日志的備份、導(dǎo)出和恢復(fù)；支持雙機熱備。 系統(tǒng)運行在安全系統(tǒng)平臺，運行過程中自身開放端口數(shù)目不超過 4個 ,為避免虛假應(yīng)標(biāo)，投標(biāo)時需提供產(chǎn)品功能截圖。 廠商具備涉及國家秘密的計算機信息系統(tǒng)集成資質(zhì)證書（甲級） 廠商具備 ISCCC一級信息系統(tǒng)安全集成資質(zhì)； 廠商具備信息安全服務(wù)二級資質(zhì)； 廠商屬于國家級應(yīng)急服務(wù)支撐單位； 廠商具備國家信息安全測評授權(quán)培訓(xùn)機構(gòu)資質(zhì)； 12 廠商必須在杭州有注冊的分公司，可以提供本地原廠緊急響應(yīng)服務(wù)，響應(yīng)時間小于 2小時，杭 州分公司有技術(shù)人員 15人以上，且必須具有至少 6人具備 CISP（注冊信息安全工程師）或 ISO/IEC 27001 認證資格（以杭州市本地社保為憑證） 14 ★廠商質(zhì)保要求 投標(biāo)時提供原廠商針對此項目的授權(quán)函原件和不少于三年質(zhì)保函原件 6 .堡壘主機（數(shù)量 1臺） 序號 指標(biāo)項 技術(shù)要求 1 ★ 性能及架構(gòu)要求 1U 機架式結(jié)構(gòu)型，標(biāo)配 4 個 10/100/1000BASET 電口采集口； 500G 存儲空間，帶 50 個主機 /設(shè)備許可。 ★為保證一致的管 理維護，要求數(shù)據(jù)審計產(chǎn)品與防火墻同品牌。 支持靜態(tài)密碼認證、證書認證、 key認證等雙因子認證。 要求支持自定義審計報告。提供產(chǎn)品功能截圖證明 9 統(tǒng)計分析 要求以圖 (柱、曲線、餅等 )進行統(tǒng)計，明細數(shù)據(jù)的可表現(xiàn)和導(dǎo)出。 保證 90%以上的數(shù)據(jù)庫名和數(shù)據(jù)庫用戶的完整記錄 支持實名審計，支持 ,PPPoE,AD 等環(huán)境下終端 IP地址和用戶實名信息或主機信息綁定顯示。 支持?jǐn)?shù)據(jù)庫事件進行潛在危害分析， 對可能潛在的威脅實時告知管理員，支持?jǐn)?shù)據(jù)庫密碼猜錯攻擊進行告警，提供產(chǎn)品功能截圖證明。 要求對數(shù)據(jù)庫注入行為進行審計和報警，提供產(chǎn)品功能截圖證明。IPv4 雙棧運行，提供產(chǎn)品通過 IPv6金牌測試認證證書和中國信息安全測評中心頒發(fā)的 EAL3 IPv6 測評證書； 6 數(shù)據(jù)庫審計支持 支持?jǐn)?shù)據(jù)操作行為的審計 Orale[8i、 9i、 10g、 11g]， SQLSERVER[202 2022]， MYSQL、Informix、 SyBase、 DB Postgresql、 Teradata、 Gbase、 Cache、 Kingbase 等，提供產(chǎn)品功能截圖證明。 5 ★部署環(huán)境 為了迎合虛擬化的發(fā)展需求，支持虛擬服務(wù)器環(huán)境下的單點、多點、多級部署。 4 部署模 要求管理方式為 B/S 方式；設(shè)備部署能提供旁路接入和透明串連模式，設(shè)備旁路部署不影 11 式 響原有網(wǎng)絡(luò)結(jié)構(gòu)，設(shè)備故障不影響被審計系統(tǒng)的正常運行；并支持旁路對網(wǎng)絡(luò)協(xié)議的阻斷，提供產(chǎn)品功能截圖證明。 3 系統(tǒng)冗余 使用主備操作系統(tǒng)。 記錄事件數(shù) 30000條 /秒，總記錄事件 4 億條，審計數(shù)據(jù)庫并用戶 200個。 8 其他要求 ★ 提供公安部頒發(fā)的《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》（必須是入侵防御產(chǎn)品）； 提供信息技術(shù)產(chǎn)品檢測 EAL3級證書； 廠商具備涉及國家秘密的計算機信息系統(tǒng)集成資質(zhì)證書（甲級） 廠商具備 ISCCC一級信息系統(tǒng)安全集成資質(zhì)； 廠商具備信息安全服務(wù)二級資質(zhì)； 廠商屬于國家級應(yīng)急服務(wù)支撐單位； 廠商具備國家信息安全測評授權(quán)培訓(xùn)機構(gòu)資質(zhì)； 廠商必須在杭州有注冊的分公司，可以提供本地原廠緊急響應(yīng)服務(wù)，響應(yīng)時間小于 2小時，杭州分公司有技術(shù)人員 15人以上，且必須具有至少 6人具備 CISP（注冊信息安全工程師）或 ISO/IEC 27001 認證資格（以杭州市本地社保為憑證） 9 ★廠商質(zhì)保要求 投標(biāo)時提供原廠商針對此項目的授權(quán)函原件和不少于三年質(zhì)保函原件 （數(shù)量 1臺） 序號 指標(biāo)項 技術(shù)要求 1 品牌要求 國內(nèi)知名品牌 , 為保證投標(biāo)產(chǎn)品為國產(chǎn)品牌，安全自主可控， 要求采用 國產(chǎn) 完全自主版權(quán)的操作系統(tǒng)， 提供 操作系統(tǒng)著作權(quán) 和自主知識產(chǎn)權(quán)。 6 日志和報表 ★ 支持 SSD硬盤日志存儲，可實時在線進行日志、報表查詢； 投標(biāo)時需提供產(chǎn)品功能截圖 。 根據(jù)數(shù)據(jù)內(nèi)容而非端口智能識別包括 P2P（迅雷 ,FlashGet)、即時通訊、流媒體、股票交易、網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)電視等；支持對應(yīng)用協(xié)議的阻斷和流量管控； 支持 URL地址分類庫，支持黑白名單，精確匹配和模糊匹配； ★ 支持無線入侵檢測防御功能，解決無線安全問題； 投標(biāo)時需提供產(chǎn)品功能截圖 ； ★ 支持與本次采購的防火墻進行安 全聯(lián)動； 投標(biāo)時需提供產(chǎn)品功能截圖 ； 支持阻斷、 URL重定向、返回默認頁面、返回自定義頁面等多種動作； 支持 WEB站點漏洞掃描功能，內(nèi)置爬蟲、支持關(guān)鍵字自學(xué)習(xí)和 HTML 分析。 投標(biāo)時需提供產(chǎn)品功能截圖 ； 5 入侵防御功能 要求能夠檢測包括溢出攻擊類、 RPC攻擊類、 WEBCGI攻擊類、拒絕服務(wù)類、木馬類、蠕蟲類、掃描類、網(wǎng)絡(luò)訪問類、 HTTP攻擊類、系統(tǒng)漏洞類等在內(nèi)的超過 3500種攻擊事件； ★ 原廠屬于國家信息安全漏洞共享平臺成員，要求報送漏洞數(shù)量不小于 3500個，要求 提供漏洞報送證明； 支持實時查看流量 /攻擊狀況，可直接由實時數(shù)據(jù)生成防護策略 ； 投標(biāo)時需提供產(chǎn)品功能截圖 ； 要求支持自定義攻擊檢測規(guī)則；支持黑名單，將攻擊源加入黑名單，一段時間內(nèi)禁止訪問； 支持檢測包括 land、 Smurf、 Pingofdeath、 winnuke、 tcp_sscan、 ip_option、 teardrop、targa ipspoof、 Synflood、 Icmpflood、 Udpflood、 Portscan、 ipsweep等在內(nèi)的 DOS/DDOS攻擊； 10 支持 DHCP flood、 DNS Flood、 CC 攻擊防御； 支持主機并發(fā)連接數(shù)和半連接數(shù)的限制； ★ 支持 DDOS 機器人自學(xué)習(xí)功能，簡化用戶配置復(fù)雜性 。 要求支持基于源 /目的地址、接口的策略路由； 3 部署環(huán)境 支持 VLAN、 MPLS、 PPPoE網(wǎng)絡(luò)，能夠在該網(wǎng)絡(luò)環(huán)境中檢測出攻擊事件； 為適應(yīng) IPv6 發(fā)展，要求產(chǎn)品支持 IPv6 環(huán)境接入、支持 IPv6amp。 9 報表 管理 ★安全管理報表 1. 準(zhǔn)入設(shè)備后臺提供網(wǎng)絡(luò) ip地址池圖表； 2. 準(zhǔn)入設(shè)備后臺提供未關(guān)機終端報表； 3. 準(zhǔn)入設(shè)備后臺能夠按周、月、年統(tǒng)計安全狀況走勢圖； 4. 準(zhǔn)入設(shè)備后臺提供每日入網(wǎng)報告、每周入網(wǎng)報告、每月入網(wǎng)報告； 報警提醒 準(zhǔn)入設(shè)備能夠以郵件、手機短信、頁面消息等多種報警方式提醒管理員各種安全異常狀態(tài)。 操作員控制 準(zhǔn)入設(shè)備后臺配置的安全策略能夠設(shè)定私有或共享屬性 ,私有策略 或規(guī)范只能被創(chuàng)建者修改，其他操作員只能查看，防止誤操作的發(fā)生。 設(shè)備日志管理 準(zhǔn)入設(shè)備支持 syslog日志定向輸出。 ★設(shè)備資源管理 準(zhǔn)入設(shè)備后臺能夠查看到設(shè)備當(dāng)前使用的準(zhǔn)入技術(shù)、設(shè)備 cpu 使用曲線圖、磁盤和內(nèi)存使用等狀況。 ★訪問流量報表 1. 能夠自動生成各種報表，包括協(xié)議流量分布（ TOP 100）、內(nèi)部主機流量分布（ TOP 100）、外部主機流量分布（ TOP 100）、連接數(shù)分布等； 2. 能夠展示最近 1小時、 1天、 1周及 1月的流量曲線圖，曲線圖中包含總流量、下行流量、上行流量、峰線、均值等參數(shù)，在鼠標(biāo)移至圖中任何位置時均能夠展示出相關(guān)時間點及該時刻的統(tǒng)計信息。 ★交換機查看 準(zhǔn)入設(shè)備后臺能夠展示網(wǎng)絡(luò)中可網(wǎng)管交換機的模擬面板，面板中能顯示出交換機的各接口狀態(tài)（ up、 down、 trunk等），以及各接口下聯(lián)的終端信息（ ip地址、 mac地址等）。 6 網(wǎng)絡(luò)管理 hub管理 1. hub發(fā)現(xiàn)：在多臺計算機通過 hub接入網(wǎng)絡(luò)時，準(zhǔn)入設(shè)備后臺能夠產(chǎn)生 hub接 入的報警記錄； 2. hub禁止：準(zhǔn)入設(shè)備能夠采用切換 vlan，邏輯關(guān)閉端口等方式禁止 hub接入，hub下的所有計算機均不能訪問網(wǎng)絡(luò)。 ★ 敏感文件檢查 1. 能夠在 IE頁面上掃描并檢查出包含指定關(guān)鍵字的文件（包括 office文檔、pdf、 jpg等 ）； 2. 能夠在掃描到上述包含指定關(guān)鍵字的文件時彈框提示用戶，并自動對該文件進行備份或刪除操作； 能夠在準(zhǔn)入設(shè)備后臺查看到敏感文件的檢查記錄。 5 終端 安全 管理 安全檢查庫 提供至少 20 個安全檢查項； ★無客戶端模式 基于 Agentless 無客戶端模式，終端設(shè)備不安裝常駐的客戶端代理，安全檢查通過 ActiveX或 Applet控件方式實現(xiàn)，關(guān)閉瀏覽器后控件自動退出；安全控件必須通過微軟簽名認證。 短信認證 能夠搭建出短信認證體系，用戶在登記入網(wǎng)手機號碼后，能夠在手機上接收到入網(wǎng)的短信驗證碼，并在 IE頁面上利用短信驗證碼實現(xiàn)身份認證入網(wǎng)。 接入審核 設(shè)備入網(wǎng)自動產(chǎn)生告警，支持以短信以及郵件等多種方式提醒管理員； 必須經(jīng)過管理員審核后方能進入網(wǎng)絡(luò)； 4 認 證 管理 基本認證方式 1． 支持準(zhǔn)入設(shè)備本地用戶名密碼認證； 2． 支持 LDAP服務(wù)器認證； 3． 支持 AD域服務(wù)器認證； 4． 支持郵件服務(wù)器認證； 5． 支持第三方 radius服務(wù)器認證。 2. 支持 cisco、 H3C全系列的接入層可網(wǎng)管交換機（如 cisco 2950、 H3C 3100等）。（以上投標(biāo)時請?zhí)峁┥鲜黾夹g(shù)截圖）； ★設(shè)備入網(wǎng)引導(dǎo)技術(shù)和許可 支持非設(shè)備入網(wǎng)時通過瀏覽器自動進行重定向； 支持打開 或 outlook等郵件客戶端 時自動阻斷并在程序頁面自動顯示重定向 url鏈接。 設(shè)備支持 HA 模式，后臺可以進行雙機熱備的相關(guān)配置。 性能標(biāo)準(zhǔn) 6個千兆電口，一個管理口，支持 ByPass，平均無故障時間（ MTBF）：≥ 40000小時 , ；每秒事務(wù)數(shù)目（ TPS）：≥ 800(次 /秒 )；最大吞吐量：≥ 1Gbps，包括身份認證模塊、訪問控制模塊、安全檢查及智能修復(fù)模塊、補丁庫及規(guī)范更新模塊、審計模塊。 ★ 基本參數(shù) 采用標(biāo)準(zhǔn)機架式的 1U 硬件設(shè)備 +linux系統(tǒng)，必須是國內(nèi)廠商擁有自主產(chǎn)權(quán)的產(chǎn)品。 4 10 安全服務(wù) 1年至少 2次的安全漏洞掃描 : 整改后期的安全加固 規(guī)章制度的制定 1年至少 2次的安全漏洞掃描 應(yīng)急響應(yīng)服務(wù) 1 5 （數(shù)量 1 臺） 序號 指標(biāo)項 技術(shù)要求 1 ★基本要求 交換容量≥ 250Gbps，包轉(zhuǎn)發(fā)率≥ 85Mpps； 單臺配置千兆電接口≥ 4千兆復(fù)用光接口≥ 8；業(yè)務(wù)接口擴展槽≥ 2，可擴展 SFP+萬兆端口≥ 4個；設(shè)備支持 USB口≥ 1個，用于保存日志和快速配置管理 2 VLAN特性 支持 Voice VLAN，支持基于 MAC/協(xié)議 /IP子 網(wǎng) /端口的 VLAN； 3 MAC地址表 支持 MAC 地