天津市地震局综合网络安全系统招标技术要求.docx

天津市地震局综合网络安全系统招标技术要求.docx

《天津市地震局综合网络安全系统招标技术要求.docx》由会员分享，可在线阅读，更多相关《天津市地震局综合网络安全系统招标技术要求.docx（104页珍藏版）》请在冰豆网上搜索。

天津市地震局综合网络安全系统招标技术要求

一、　天津市地震局综合网络安全系统招标技术要求：

1、 所有产品都必须具备中华人民共和国公安部颁发的《计算机信息系统安全专用产品销

售许可证》；

2、 鉴于安全类产品牌投众多，性能差异较大，因此投标产品必须列出所投产品与招标要

求差异，对于承诺可实现指标在实际工作中达不到要求的，甲方有权更换或退货；

3、 此包产品共涉及 10 项内容，其中第 6 项防病毒软件为现有瑞星软件升级，根据多重防

毒要求，因此第 10 项产品――网络防毒墙的杀毒模块不能采用瑞星系统；

4、 产品的 1、2、3 项必须为同一品牌；

5、 此包部分产品部署拓扑图为：

Internet

防毒墙

虚拟

IPS

防火墙

入侵防御

虚拟

火墙

虚拟

IPS

用户NAT

虚拟

IPS

防火墙

入侵防御

虚拟

火墙

虚拟

IPS

内网服务器

模块化

核心交换机

台站节点区县节点

应用访问控制系统

虚拟

火墙

内网用户

DMZ服务器

模块化

核心交换机

业务系统       办公系统

6、 根据上图要求，系统中的 IPS 系统必须各具备独立 2 路控制功能（或实现 4 路虚拟 IPS

技术），从而实现对 DMZ 服务器、内网服务器及外网出口的防护。

7、 防火墙产品必须提供虚拟防火墙功能，不能用安全域功能代替。

序

号

名称

描述

数量

单价

小计

1

防火墙

（可为插卡式防

火墙）

采用专用硬件架构与专用安全操作系统

至少 10 个 10/100/1000M 接口（如为插卡式可采

用交换机端口），扩展接口能力不低于 16 个千兆

端口

吞吐量≥5Gbps

最大连接数≥180 万

每秒新建连接数≥50000

支持 VPN 技术，包含 2000VPN 隧道许可

支持不少于 256 个虚拟防火墙

支持基于源 IP 地址、目的 IP 地址、源端口、目

的端口、时间、用户、文件、网址、关键字、邮

件地址、脚本、MAC 地址等多种方式进行访问控制；

支持对 HTTP、SMTP、POP3、FTP 等协议的深度内

容过滤，支持 URL、关键字过滤

支持对移动代码如 Java                 applet、Active-

X、VBScript、Jscript、Java script 的过滤

动态端口支持协议：

H.323、SIP、FTP、RTSP、SQL*NET、MMS、TFTP、

RPC（msrpc,dcerpc）等

支持 MSN、QQ、新浪 UC、阿里旺旺、google

talk 等 Instant Messenger 通信，并可以对于这些

应用进行登陆限制,支持根据登陆等帐号进行登陆

限制

支持对 MSN，QQ 等 IM 应用通信的连接统计,支

持对指定 IP 地址的 IM 应用通信的连接统计

可限制 BT，eMule，eDonkey、讯雷等多种 P2P

应用，可以统计 P2P 流量和连接数，可以控制

P2P 流量的带宽

可屏蔽受保护主机/服务器系统信息，可以替换服

务器（FTP、SMTP、POP3、Telnet,HTTP）的

BANNER 信息

可实现静态或自动的 IP/MAC 绑定

有完善的地址转换能力，可以支持正向、反向地

址/端口转换、双向地址转换等，能够提供完整的

地址转换解决方案

支持静态和动态路由，动态路由包括：

RIP、OSPF、BGP 动态路由协议；静态路由协议支

持基于源地址、目的地址、METRIC 值、网络接口

的路由

支持链路聚合功能，实现多条链路的负载均衡及

备份

2

序

号

名称

描述

数量

单价

小计

在透明、路由、混合模式下支持主备模式（A/S），

主主模式（A/A），两种模式都能支持防火墙配置的

自动同步

支持对服务器的负载均衡，支持轮询、加权轮询、

最少连接、加权最少链接、基于源 IP 地址 HASH

调度等多种负载均衡方式

支持 DHCP SERVER/CLIENT/RELAY 功能

支持告警信息分类、分级；当发生安全事件的时

候支持以邮件、NETBIOS、声音、SNMP、控制台等

方式告警

可以提供多种方式的管理界面，包括

GUI、WEBUI、CONSOLE、SSH、TELNET 等

远程集中监控管理功能：

支持远程集中管理监控

功能，在同一个管理平台下能够对所管理网络中

所有的防火墙设备进行管理和监控，提供远程升

级和配置变更方法，非常方便用户对防火墙软件

版本和配置变更的管理

支持远程 TFTP、FTP、HTTP 等方式升级

日志分级、分类；系统要能够提供多种日志存储

方式，可以缓存在设备本地，也可以将日志以专

用格式/Welf/Syslog 等多种日志格式的输出；具

有完善的日志收集、传输、存储、分析、报告等

解决方案

如为独立产品需提供冗余电源

三年质保与服务（含升级费用）

2

入侵防系统

（可为插卡产品

或防火墙系统功

能模块）

开启全部的安全策略后吞吐量≥1Gbps

支持 IPS 模式、IDS 模式

最大并发连接≥1,500,000

监控能力：

至少具备独立 2 路 IPS 监控能力或具

备虚拟 IPS 功能

能对当前主流的拒绝服务（DOS/DDOS）、蠕虫

（worm）、后门（Backdoor）、木马（Trojan）、间谍

软件（Spyware）、Web 攻击（Web    Attack）以及

自定义攻击拒绝服务做检测和阻断

响应方式支持允许 Permit、阻断 Block、报警

Alert、限制流量 Rate Limit、日志 Log

支持 3000 种以上的漏洞库

能够控制 P2P 应用、IM 游戏等应用进行跟踪和控

制、能对设备的异常流量进行分析、阻断

能够显示实时流量信息、流量大小、字节大小等

信息、能够区分 Out 和 In 的流量

支持按照时间、攻击类型、IP 地址等多种方式的

2

序

号

名称

描述

数量

单价

小计

统计报表；支持自定义组合报表功能、支持

Top10 攻击者、被攻击者统计报表、支持选定时

间内网络使用、网络攻击等情况统计报表、支持

报表输出，输出格式可以为

PDF、DOC、HTML、TXT 等格式

支持冗余部署——可工作在

Active/Active、Active/Passive 模式

三年系统与漏洞库升级

如为独立产品需提供冗余电源

三年质保与服务

3

SSL　VPN

4 个 10/100M 自适应 RJ-45 接口

2 个 10/100/1000M 自适应 RJ-45 接口

加密吞吐量（MB）≥80Mbps

SSL 新建/拆除速率（TPS）≥120 次/秒

并发用户数（Cus）≥200

在线用户并发连接数量≥2000

延时（ms）≤0.5ms

MTBF（小时）≥10 万

200 个 License

认证方式：

LOCAL、RADIUS、LDAP、AD、证

书、双因子

具备动态授权功能

三年质保与服务（含升级费用）

1

4

USB　KEY

可配置第 3 项 SSL　VPN 实现认证功能

234

5

漏洞扫描器

机架式设备

至少 2 个 10/100/1000M 网络接口

并发扫描 IP 地址≥30 个

可扫描 IP 数量不低于 1000 个

扫描任务并发数≥10 个

产品可扫描的漏洞应不小于 2700，漏洞库与国际

CVE 标准兼容

具备分布式部署及信息共享能力

1. 漏洞知识库从操作系统、服务、应用程序和漏

洞严重程度多个视角进行分类；

2. 支持对漏洞信息的检索功能，可以从其中快速

检索到指定类别或者名称的漏洞信息；

3．能够扫描常见的网络安全客户端软件（如常见

的杀毒软件）的安全漏洞；

4．能够扫描常见的应用软件漏洞（如 IE 浏览器、

MSN、Mozilla Firefox、Yahoo Messenger、MS

Office、多媒体播放器、VMware 虚拟机和各种

1

序

号

名称

描述

数量

单价

小计

P2P 下载软件）的安全漏洞；

5. 全中文的规则库提供详细的漏洞描述和详尽的

解决方案，用户可以直接点击里面的补丁链接升

级系统；

6. 漏洞知识库和漏洞检测规则支持手动升级和自

动升级，支持本地升级和在线升级，在线升级支

持代理方式升级；

7. 系统内置不同的策略模板如针对

Unix、Windows 操作系统等模板，同时允许用户

定制扫描策略；用户可定义扫描范围、扫描使用

的参数集、扫描并发主机数等具体扫描选项；

8. 可以在扫描过程中人工指定包括 SNMP、SMB

等常见协议的登陆口令，登陆到相应的系统中对

特定应用进行深入扫描；

9. 具备单独口令猜测扫描任务，支持多种口令猜

测方式，包括利用 Telnet、Pop3、 Ftp、

Windows SMB、SQL

Server、MySQL、Oracle、Sybase 等协议进行口令

猜测，允许外挂用户提供的字典档；

10. 允许管理员配置扫描通知，在扫描任务运行开

始时向被扫描的资产发送扫描通知;

11. 能够对扫描结果数据进行在线分析，能够根据

端口、漏洞、BANNER 信息、IP 地址等关键字对

主机信息进行查询并能将查询结果保存;

12. 支持高级数据分析，能够进行历史数据查询、

汇总查看、对比分析等，方便进行多个扫描任务

或多个 IP 风险对比，能够在多个历史任务中，很

快的检索到需要关注的资产 IP 点;

13. 对扫描出来的资产的安全漏洞能够发送邮件给

对应的资产管理员，通知其限期内修复漏洞并自

动对修复进行验证，实现对漏洞的有效跟踪和验

证;

14. 能够把资产管理和组织结构或者网络拓扑结构

紧密结合, 支持通过 Excel 文件将地址导入到资产

树功能.

15. 资产管理能够将资产的重要性量化，并且通过

形象的图示将资产的风险值和的风险等级直观地

展现出来，并且能够将节点、风险及对应责任人

相关联。

具备漏洞修复功能，可与 WSUS 系统联动

三年质保与服务

三年漏洞知识库升级费

序

号

名称

描述

数量

单价

小计

6

防病毒软件

现有瑞星网络版软件升级

具备 20 台 windows 服务器

40 台 Linux 服务器

250 台用户终端的整体病毒防护功能

含三年技术支持及升级服务费

1

7

网页防篡改系统

支持 Windows、Linux 和 Unix（Solaris/HP-

UX/AIX）

支持 IIS、Apache、J2EE（Weblogic/Websphere）

杜绝网站向外发送被篡改的页面内容；

检测模块内嵌于 Web 服务器软件中；

可检测静态页面/动态脚本/多媒体文件；

可以按不同容器选择待检测的网页；

网页发布同时自动更新水印值；

网页发送时比较网页和水印值；

能够防范 SQL 注入式攻击；

支持断线/连线状态下篡改检测；

支持连线状态下网页恢复；

网页篡改时多种方式报警；

能够保护动态脚本文件；

同步和断线时都不影响检测；

不影响原有的网页发布系统；

自动检测文件系统任何变化；

文件变化自动同步到多个 Web 服务器；

支持虚拟目录/虚拟主机；

可选支持双机冗余部署。

上传文件速度≤5ms（50K 文件）

篡改检测时间:

 访问时实时检测

篡改恢复时间≤6ms

至少 10 家省部级以上同类型操作系统政府网站用

户成功部署案例

含 1 台 LINUX 环境 WWW 服务器防护许可

含三年技术支持及升级服务费

2

8

综合网络安全管

理平台

管理范围：

支持网络设备、安全设备、主机、数

据库系统、中间件、各类服务和应用的日志收集

与管理（如有 License 限制，则可管理节点数不低

于 150 个）。

必须能够对此次招标的防火墙、防毒

墙、IPS 和 SSL VPN 设备进行统一安全管理

日志审计对象：

支持对各类网络设备（路由器，交

1

序

号

名称

描述

数量

单价

小计

换机）、安全设备（包括防火墙，VPN，IDS，IPS，

防病毒网关）、安全系统（Symantec、瑞星、江民、

微软 ISA、Windows 防火墙）、主机操作系统（包括

windows, solaris, linux, AIX, HP-UX）、数据库以及

各种应用系统（邮件，web，FTP，telnet）的日志、

事件、告警等安全信息进行全面的审计

日志采集方式：

具备强大的数据收集能力，通过

SNMP、Syslog、数据库、文件、NetFlow 等多种

方式完成数据收集功能。

支持软件 Agent 方式，

硬件网络探测器方式采集日志

日志实时关联分析和统计：

系统具备日志实时关

联分析功能，每秒实时关联分析不低于 15000 条

事件，可以通过日志分析对来自企业和组织所有

的日志进行实时查询、分析和统计，可快速识别

安全事故。

对于分析结果可以通过柱图、饼图、

曲线图等形式展示

事件可视化展现：

除了能够将事件以柱图、饼图

等图形统计事件信息外，还能够通过定位 IP 地址，

通过事件攻击图展示网络安全态势，并支持雷达

图反映当前事件流量。

事件挖掘与追踪：

系统提供事件追踪工具，管理

员通过事件追踪工具可以对某条感兴趣的日志中

的源 IP 地址、目的 IP 地址、或者目的端口进行相

关性日志检索

趋势分析：

通过采集 NetFlow 数据，对最近一段

时间的网络流量或者网络连接数进行统计，并描

绘趋势曲线。

通过某个 IP 地址的流量趋势分析获

悉该 IP 地址的访问流量模型，并发现异常流量和

行为。

告警和响应管理：

通过关联分析，对于发现的严

重事件可以进行自动告警。

告警方式包括电话响

铃、邮件、短信、电脑语音、SNMP Trap 告警的

方式通知管理人员。

响应方式包括：

自动执行预

定义脚本，自动将事件属性作为参数传递给特定

命令行程序。

三年质保与服务（含系统升级）

9

应用控制网关

机架式设备，2 个扩展插槽

多核多线程 CPU

业务接口≥4 个 10/100/1000M（单机同时提供 2 路

流量监控），可扩充至 16 个

单机吞吐量≥2G

并发会话量≥1M

1

序

号

名称

描述

数量

单价

小计

在线用户≥64K

支持 WEB 认证等功能，支持与 Radius 服务器联

动，支持与认证接入服务器实现二次认证

有阻断、限流、干扰、告警、输出报表功能

支持基于用户、区域、源/目的 IP、IP 组、时间、

应用等综合任意组合进行控制

支持对用户 URL 访问历史记录的查询审计

支持 P2P、IM 即时消息、网络游戏、网络多媒体、

论坛/bbs、文件共享、邮件等协议的行业监控、记

录和审计功能，具备特征库升级，具体协议及应

用识别要求：

Thunder（讯雷）、腾讯超级旋风下载协议、

BitTorent、eMule（电骡）/ eDonkey（电驴）、

KazaA、PPLive、QQ Live、、PPStream 及沸点网

络电视、QQ、ICQ、MSN Messenger、Yahoo

Messenger 及 AOL

Messenger、Skype、UUCALL、Konge（中桥语音）

、SIP、MGCP 及 H323 等协议、MSSQL-Server

及 Oracle 等数据库、

Notes、IMAP、POP、SMTP、FTP、Telnet、Syslo

g、Big Wisdom（大智慧）及 Straight Flush（同花顺）、

流媒体、WEB 访问、FTP 下载、网络管理、支持

WinGate、WinProxy、WinRoute、TP-Link 等（包

括 NAT 方式及 Proxy 方式）

支持分布式与集中式部署，对于分布式部署可集

中管理

支持 MPLS 环境的组网，可对 IP 地址有重叠的各

个 VPN 进行管理

冗余电源

三年质保与服务（含升级费用）

10

网络防毒墙

用硬件架构与专用安全操作系统

杀毒模块不能为瑞星系统

至少 4 个 10/100/1000M 自适应接口

可以建立两条病毒扫描通道，两条通道之间相互

隔离，用于不同网络之间的病毒过滤

可查杀病毒种类≥400000 种

可查杀蠕虫病毒≥600 种

可对 SMTP、POP3、IMAP、HTTP 和 FTP 等应用协议

进行病毒扫描和过滤

内嵌的内容过滤功能，防垃圾邮件功能

能够提供完整的病毒日志、访问日志和系统日志

等记录，并可根据日志数据生成多种格式的统计

1

序

号

名称

描述

数量

单价

小计

图形化统计报表

能够提供强大的监控功能，可以监控过滤网关系

统资源、网络流量、当前会话数、当前病毒扫描

信息等， 当某个病毒突然爆发时，防病毒网关能

够可向网络管理员发送报警信息

可以快速查明网络内有哪些机器恶意连结攻击其

它的计算机

HTTP 杀毒吞吐（Mbps）≥220

HTTP 最大并发连接数（个/秒）≥7000

HTTP 新增连接数（个/秒）≥700

HTTP 延迟（ms）＜300

FTP 杀毒吞吐（Mbps）≥90

FTP 最大并发连接数（个/秒）≥2000

邮件数（封/每秒）≥80

SMTP/POP3 最大并发连接数（个/秒）≥2000

设备具有硬件 BYPASS 功能

3 年软件和病毒库免费升级

三年质保与服务

小计

246

序

号

名称

描述

数量

单价

小计

1

路由器

滨海 1 台

中心 1 台

模块化路由器，RISC 处理器，主频

≥533MHz，内存≥256M（可扩充到 1G），转

发能力≥240kpps，SIC 槽位数量≥4，MIM 槽

位数量≥4,有 ESM、VPM 和 VCPM 插槽，有

硬件加密功能，CF 卡≥256M（可扩充到 1G），

有 2 个 1000M 固定网络接口

支持 IPV6、IPV4 协议下的各类网络路由协

议，支持 MPLS 协议，支持 L2TP、VPDN 协

议，支持语音路由

支持 Telnet、Web、SNMP、RMON、sFlow

等管理功能

主机配置 4 端口 100M 以太网电口 MIM 模

块

三年质保与服务

2

3、 所有产品要根据甲方要求进行系统调试与安装

二、路由器、交换机等网络设备系统

要求：

1、 此包所有产品有同一品牌

2、 所有产品有提供 3 年质保与服务

序

号

名称

描述

数量

单价

小计

2

核心交换机

模块化交换机，整机交换容量≥768G，背板

容量≥2.4Tbps，Ipv4 包转发率≥488Mpps，槽

位数量≥12，业务槽位数量≥10，支持热补丁，

所有单元板可热插拨，支持主控板 1＋1 冗

余，支持电源 1＋1 冗余

二层网络协议：

支持

802.1P，802.1Q，802.1d，802.1w，802.1s，80

2.1ad，802.3x，802.3ab，802.3z，802.3ae，80

2.3ad（链路聚合）和跨板链路聚合，RRPP，

跨板端口/流镜像，支持端口广播/多播/未各

单播风暴抑制，支持

SuperVLAN，PVLAN，Multicast

VLAN+，GVRP，LLDP

IPV4 网络协议：

支持 ARP Proxy,DHCP

Relay,DHCP Server,静态路由，

RIPv1/V2,OSPFv2,IS-IS,BGPv4,支持

OSPF/IS-IS/BGP GR（Graceful Restart 优雅

重启）,支持等价路由、策略路由和路由策略

IPV6 网络协议：

支持 ICMPv6,ICMPv6 重定

向,

DHCPv6,ACLv6,OSPFv3,RIPng,BGP4+,IS-

Isv6,isatap,支持手工隧道，6to4 隧道，Ipv6

和 Ipv4 双栈

支持 Ipv4 和 Ipv6 的组播、ACL/QoS 管理与

控制，支持 MPLS 协议

有主备数据备份机制，支持故障后报警和自

恢复，支持数据日志，支持 IP 地址，VLAN　

ID，MAC 地址和端口等多种组合绑定

支持 Telnet、Web、SNMP、RMON、sFlow

等管理功能

主机配置 3 个板卡，分别 1 个为 24 端口千

兆光接口板卡（含多模光纤模块），1 个 48 端

口千兆电接板卡和 1 个 768G 交换引擎，双

电源供电，配有专业网络管理软件

2

3

接入层交换机

滨海 4 台

中心 2 台

虚拟台网 1 台

地壳网络 1 台

可管理型交换机，整机交换容量≥96G，包转

发率≥71.4Mpps，48 个 100/1000M 接口，4

个可扩展 SFP 接口，含 2 个 1000M 光纤多

模接口模块，有静态路由功能，支持堆叠，

支持 Qos/ACL，支持

Telnet、Web、SNMP、RMON、sFlow 等管理

功能，三年质保与服务

8

4

无线交换机

瘦 AP，100M 网络接口，2dBi 双频天线，支

4

序

号

名称

描述

数量

单价

小计

持 802.11a/b/g 协议，内置信道数≥5，支持

WPA、WAPI 等加密功能，支持多 SSID 隔

离，虚拟 AP 数量不低于 16 个，有广播抑制

功能，支持 802.1x 认证，支持 AP 间切换及

链路完整性，支持 Ipv6，支持 QoS

5

无线控制器板

卡

可实现对地震局原有 H3C 无线 AP 设备的

集中统一控制与管理，可实现 AP 设备配置

文件的统一修改与下发，支持三层漫游，支

持非法 AP 检测，支持认证方式（MAC 地址、

802.1x、Portal、PPPoE、无线 EAD 等），支

持 Ipv6 功能，有 AP 负载分担功能，支持无

线 QoS，有流量监控功能，支持 CAPWAP

协议，支持自动速率调整，AP 可管理数量

不低于 128 个，可扩充至 640 个，支持

SNMP 等管理协议

安装于第 2 项设备中

1

6

节点核心

交换机

地壳网络 8 台

可管理型交换机，整机交换容量≥12.8G，包

转发率≥9.52Mpps，24 个 10/100M 接口，4

个可扩展 SFP 接口，含 1 个 100M 单模光

纤模接口模块，支持 Qos/ACL，支持

Telnet、Web、SNMP、RMON、sFlow 等管理

功能，支持静态路由、RIP、OSPF 等路由协

议，有 DCHP　SERVER