乡镇公共服务平台及安全建设项目公开招标采购文件(编辑修改稿)

乡镇公共服务平台及安全建设项目公开招标采购文件(编辑修改稿)内容摘要：

求 SSL VPN 系统（ 1 台） 技术指标 技术要求 (★为关键指标，不允许负偏离 ) 推荐品 牌 网神、深信服、赛蓝 ★硬件规格和性能指标 SSL VPN 加密速度≥ 200Mbps； SSL 新建 /拆除速率（ TPS）≥ 160 次 /秒 本次配置 100个 SSL VPN并发用户许可 ,最大可扩展 300个 SSLVPN并发用户。 IPSEC VPN≥ 100M 密速度 Ipsec VPN 隧道数≥ 1200 个 标配 6 个 10/100/1000 电口，配置 500G 硬盘存储空间。 完整性支持 支持 IPSec VPN 和 SSLVPN 两种 VPN 协议，是 SSL VPN 和 IPSec VPN二合一产品 支持对基于 TCP、 UDP、 ICMP 的所有 B/S、 C/S 应用系统的支持，例如视频、 oa 系统、 Transroute 等，无需安装插件访问 B/S 应用； ★ SSL VPN功能 Web 文件共享功能，用户登录 SSL VPN 后无可以通过 Web 界面访问后台的共享文件服务器， 文件共享服务器支持 ftp 服务器、Windows 文件共享服务，用户通过 Web 界面能够进行文件、文件夹的浏览、新建、下载、上传、删除、重命名操作。 并且用户的上传、下载有日志记录，日志记录中记录上传、下载的文件名，创建、删除、重命名文件 /文件夹时需记录原有文件 /文件夹 名称与新文件 /文件夹名称。 （要求提供产品配置截图） 22 支持自定义用户登录界面、登录后的页面以及管理页面，能够上传自定 logo、应用图标，服务资源列表能够不同的显示方式 支持 B/S 和 C/S 的应用支持单点登录（ SSO），并提供加密认证功能。 访问多个应用，只须输入一次密码，支持针对不同的访问资源设定不同的 SSO 用户名和密码。 支持自动跳转功能，用户登录后自动弹出默认的应用界面 支持 SSL VPN 客户端的方式，用户能够设置开机自启动、创建桌面快捷方式 支持虚拟门户功能，能够按照不同的用户组来定义不 同的虚拟门户，不同的虚拟门户登录界面、访问地址均可以不同。 用户通过不同 URL 登入会获取不同的登入界面，并且每个登入界面可定制。 （要求提供配置截图） 网络接口地址配置支持 IPv6 地址，提供 IPv6 ready 金牌认证复印件，证书上必须明确标明为 SSL VPN 产品 支持 和 ftp 的内容过滤，支持对 、 ftp 的访问内容进行控制（要求提供配置截图） 支持多 ISP 接入，并可根据带宽高低智能选路；并且支持一个域名对应多个 IP，客户端可根据延迟大小选择 IP 地址进行访问 支持用户注册审批和证书注 册审批，用户可在前台页面注册用户或证书，经过管理员审批后，能以邮件形式通知用户注册成功。 用户即可用自己的申请的用户和证书进行登录访问。 （要求提供配置截图） 可单独对每个应用进行负载均衡，应用服务后端由多个服务器提供，多个服务为功能对等的业务服务器，可以实现对此应用负载均衡（要求提供配置截图） 管理员可分为状态管理员，系统配置管理员， VPN 管理员，应用安全管理员，防火墙管理员， IPsec 管理员 ,日志管理员，系统维护管理员，创建管理员可以为其分配相应的管理员权限。 （要求提供配置截图） 23 虚拟安全桌面（要 求提供配置截图） 支持安全桌面功能，在安全桌面内默认禁止外网和本地局域网通讯，防止受保护资源的数据在本机保存或泄漏。 用户退出 SSL VPN后，安全桌面内所有资源交互数据将被销毁，防止数据在终端上的泄漏，保证重要应用在终端访问的安全性 可配置虚拟安全桌面大小 ,以减少安全桌面占用本地空间过大 可禁止虚拟安全桌面的进程 ,以防止数据被非法程序使用 禁止使用包括 USB 口设备、刻录机、打印机、 CDRW 光盘刻录等外设的使用 ,防止数据外发泄漏 采用水印技术防止录屏和截屏 应用安全 支持入侵检测功能，能够 检测网络中出现的攻击行为；具备检测结果的日志，提供特征库的更新功能。 （要求提供配置截图） 支持 Web 防火墙功能，系统能够内置一些 Web 攻击检测的规则，允许管理配置 Web 攻击检测规则。 （要求提供配置截图） ★提供资质证书复印件 公安部销售许可证（三级） 要求具备 SSL VPN 产品《商用密码产品型号证书》，证书上必须明确标明为 SSL VPN 类型产品 具有国家密码管理局 SSL VPN 技术规范标准制定厂商之一（可提供邀请函证明文件） 产品纳入《政府采购自主创新产品目录》，提供证明文件 国家信息 安全测评中心 信息技术产品安全测评 EAL1 证书 厂商资质 （提供复印件） 国家保密局涉密系统集成甲级资质； 国家网络与信息安全信息通报机制技术支撑单位，并提供证明文件。 国家信息安全服务二级资质； 要求加入应用安全联盟 OWASP 成员，并提供证明文件。 具备 ISCCC 一级应急能力资质； 具备 ISCCC 一级风险评估服务资质； 服务 提供原厂商 5 年服务，提供原厂商服务承诺函和授权证明文件 集中日志审计系统（ 1 套） 项目 技术要求 (★为关键指标，不允许负偏离 ) 推荐品牌 为考虑核心系 统的防护高安全性、可靠性和协同防御，要 24 求与“ SSL VPN系统”为同一品牌 形态 产品形态 该系统为一个软件产品，系统内嵌数据库，用户无需另外安装数据库管理系统；管理客户端基于浏览器，无需安装其他客户端软件。 性能 事件采集 峰值可达 5000 条 事件分析 每秒实时关联分析 3000 条事件 事件采集丢包率 每秒采集 4000 条事件时，丢包率小于 % 事件查询 百 GB 日志量查询平均响应时间不超过 1 分钟 事件入库 事件入库性能可达每秒 1 万条； 事件存储 存储容量仅取决于磁盘空间大小，可以在 线分析 800G 的事件量。 功能 管理范围 能够对企业和组织的 IT 资源中构成业务信息系统的各种网络设备、安全设备、安全系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警等安全信息进行全面的审计。 ★ 日志审计对象 支持对各类网络设备（路由器，交换机）、安全设备（包括防火墙， VPN， IDS， IPS，防病毒网关，网闸，防 DDOS攻击， Web 应用防火墙）、安全系统（ Symantec、瑞星、江民、微软 ISA、 Windows 防火墙）、主机操作系统（包括 Windows,Solaris, Linux, AIX, HPUX,UNIX,AS400）、各种应用系统（邮件， Web， FTP， Tel），以及用户自己的业务系统的日志、事件、告警等安全信息进行全面的审计。 ★ 日志采集方式 通过 SNMP、 Syslog、数据库、文件、 NetFlow、 OPSEC 、软件日志采集器等多种方式完成数据收集功能，拥有高性能的 sys log 日志处理和存储方法技术，以便于设备达到最佳日志处理性能，提供支持此技术的专利证明或检测报告。 资产管理 按照设备资产重要程度和管理域的方式组织设备资产，提供便捷的添加、修改、删除、查询与 统计功能，支持资产信息的批量导入，便于安全管理和系统管理人员能方便地查找所需设备资产的信息，并对资产进行关键度赋值。 日志归一化处理 日志收集后进行字段和安全等级的归一化处理，系统归一化字段至少应有 50 个 ,并至少有 5 个可自定义字段 ,收集并归一化后的日志需保留原始日志，方便用户对关键日志快速定位。 系统应提供灵活简单的归一化方式 ,对系统默认不支持的日志只需修改配置文件即可支持 ,不需修改系统程序。 日志审计查询 所有日志采用统一的日志查询界面，用户可以自定义各种查询场景，并以树形结构组织。 查询场景可保存，并可支持在查询结果中继续查询。 查询结果可导出。 25 日志实时监视 系统提供实时的日志滚动显示和查询，可自定义实时监视的日志内容，可查看实时日志详细信息，可通过雷达图等直观显示目前日志量，可以控制日志对管理员账号的可见性管理。 日志实时分析和统计 可对收集的的日志进行分类实时分析和统计，从而快速识别安全事故。 分析统计结果支持柱图、饼图、曲线图等形式并自动实时刷新。 日志实时分析在内存中完成，不需借助数据库和文件系统。 事件可视化展现 支持通过世界地图定位 IP 地址，通过事件攻击图展 示网络安全态势，通过行为分析图展示一段时间内的用户访问行为。 日志在线挖掘 系统具备事件挖掘能力可通过事件调查工具可以对某条感兴趣的日志中的源 IP 地址、目的 IP 地址、或者目的端口进行相关性日志检索。 事件分配 用户在实时监视的过程中如果发现某条事件的相关属性需要持续予以关注，可以将该事件分配到黑白名单中。 ★ 趋势分析 可对收集的日志根据过滤条件，针对设备地址、源地址、目标地址等进行事件数量、流量等的趋势分析，一种网络集中管理平台上的时间处理系统和方法。 提供支持此技术的专利证明或检测报告。 事 件追溯 对于关联告警事件，用户可以进行追溯，查看导致该关联 事件的所有原始事件。 ★ 日志关联分析告警 系统应至少默认有 50 条告警规则，系统提供可视化规则编辑器，对告警规则进行增删改查。 可对不同类型设备的日志之间进行关联分析，支持递归关联，统计关联，时序关联，这几种关联方式能同时应用于一个关联分析规则，系统支持一种大规模事件处理的规则群组系统及处理方法，提供支持此技术的专利或检测报告。 告警和响应管理 通过关联分析，对于发现的严重事件可以进行自动告警。 告警方式包括邮件、短信、 SNMP Trap、 Syslog 等。 响应方式包括：自动执行预定义脚本，自动将事件属性作为参数传递给特定命令行程序。 此外，还支持设备联动，即可以在告警后对防火墙 /NIDS/网络设备下发联动策略，及时阻断威胁。 统一监控主页 系统应提供从总体上把握日志告警和日志统计分析的实时综合性监控界面。 界面由多个监控组件组成，用户可以自定义监控主页。 报表管理 提供丰富的报表管理功能，满足等保等其他合规性要求；根据时间、数据类型等生成报表，提供打印、导出以及邮件送达等服务；直观地为管理员提供决策和分析的数据基础，帮助管理员掌握网络及业务系统 的状况。 报表可以保存为 html， excel，文本， pdf 等多种格式。 提供自定义报表，用户可根据自身需要进行定制。 报表可根据设置自动运行 ,调度生成日报、周报和月报。 26 备份归档 支持数据库备份；支持历史日志恢复导入；支持各种配置项的备份和导入。 当磁盘空间日志存储量达到一定百分比时可设定为删除磁盘中的历史日志或接收的日志不再入库，并进行告警； 权限管理 采用基于角色的权限管理机制，通过角色定义支持多用户访问。 角色能够从设备和功能两个维度进行定义，从而达到控制谁可以对什么设备进行什么操作的控制粒度。 系 统配置 对系统的各项配置工作，包括日志的备份、恢复。 无需借 助第三方数据库管理系统。 系统自身监控 系统自身的健康状况监控。 包括 CPU、内存、磁盘的利用率。 可以对所有注册了的通用日志采集器的工作状态进行实时监控，包括采集器的启动、停止，以及配置采集器发送什么类型的日志到管理中心。 系统认证 支持用户名密码认证方式，认证时需要提供验证码；支持 USB key 双因子身份认证方式。 系统自身日志审计 用户对本软件系统的操作都记录日志并进行持久化存储，便于追踪、审核和告警。 系统日志格式的属性包括：时间、源 IP、用户名、操作类型、操作说明、操作结果（成功 /失败）。 ★ 兼容性 能够与现有环境中正在使用的集中监控管理平台通过标准协议无缝集成，投标时需提供原厂商支持此功能的承诺函并加盖原厂商公章。 产品资质（提供产品复印件） 公安部《计算机信息系统专用产品销售许可证》增强型 国家保密局《涉密信息系统产品检测证书》 提供国家保密局针对安全审计系统的测试报告 中国信息安全认证中心《中国国家信息安全产品认证证书》 国家版权局《计算机软件著作权登记证书》 服务 提供原厂商 5 年服务，提供原厂商服务承诺函和 授权证明文件 数据库审计系统（ 1 台） 项目 技术要求 (★为关键指标，不允许负偏离 ) 推荐品牌 为考虑核心系统的防护高安全性、可靠性和协同防御，要求与“ SSL VPN系统”为同一品牌 产品功能 事件采集能力 峰值可达 4000 条， 事件分析性能 每秒实时关联分析 1000 条事件， 事件存储能力 存储容量取决于磁盘空间大小， 500G 硬盘。 事件查询性能 1GB 事件量查询平均响应时间不超过 10 秒， 硬件规格 硬件特性 网络口： 2 个 千兆 以太网接口 (RJ45)，一个管理口，1 个业务口， 1U 标准机箱 ，单电源。 知名度 品牌知名度 考虑产品主流性、成熟度，提供： CC。