就业管理服务处综合业务平台硬件设备采购项目招标文件

就业管理服务处综合业务平台硬件设备采购项目招标文件内容摘要：

源文件。 桐庐县就业管理服务处综合业务平台硬件设备项目 第 13 页 共 47 页 功能点 指标性能要求 数据库传输功能 数据库支持：提供对主流数据库 SQL Server， Oracle， Sybase， DB2 等的支持，具有数据库单向、双向访问和同步技术；数据库同步应支持全表复制、增量更新、全表更新、标识更新；要求具备普遍适用性， 部署网闸无需更改数据库环境设置 安全浏览功能 实现内网用户安全浏览外网资源，支持基于 CHAP、 Radius、 LDAP 等认证方式，提供对 URL、 ActiveX、 Cookie、 JavaApplet 等的过滤功能。 系统可扩展内置 WEB Application 应用保护系统，支持全面的 WEB保护功能，包括： DLL、 ASP/JSP脚本控件、 WebService、等函数中方法调用的安全过滤；对多次认证失败的用户可锁定其 IP或用户名 安全管理和访问功能 支持集中式管理，支持基于 SSL的加密安全管理； 通过 SAT、 Proxy安全访问方式实现隔离系统两端数据交换 WEB站点保护功能 支持全面的 WEB保护功能，包括： URL字段、 Webservice安全过滤功能、cookies 加密、 WEB目录、活动脚本访问权限控制、防 WEB漏洞攻击以及智能学习等功能。 定制访问功能 实现特定 TCP、 UDP协议的数据隔离交换，可合作定制开发针对特定协议的安全检测，如黑白名单控制、关键字过滤等。 上网用户身份认证功能 严格控制上网用户，采用专用 VIIE认证客户端浏览网页，用户列表存储在网闸设备上，未经授权的用户和使用普通 IE用户将无法 上网。 邮件收发认证功能 严格控制邮件收发，采用专用 VIMAIL邮件客户端，对收发邮件的用户进行身份认证，用户列表存储在网闸设备上，未经授权的用户和使用普通OUTLOOK和 FOXMAIL等邮件客户端的用户将无法正常收发邮件。 传输控制 双向可控 :支持单向，内到外 ,外到内两个方向的数据交换随意控制 协议检查 应采用独有的协议分析技术全面检测应用层攻击并及时予以阻断，作裸数据的转发，并且有详细的协议分析和控制。 支持高达 30多种协议检查功能。 AI安全过滤功能 提供包括应用层协议命令检查、应用层协 议分析、内容过滤、控制字符过滤等在内的 AI安全过滤功能 攻击防御 入侵检测功能 主机系统内置独立的入侵检测模块具有实时入侵检测与防御机制。 内置IDS系统并与隔离网闸形成联动对入侵行为做出及时处理 抗 DDoS攻击 具有抗 DoS、 DdoS攻击功能，当拒绝服务攻击发生时能保障对正常应用请求的应答。 管理方式 安全可靠的管理方式 采用 GUI图形界面管理方式，非 WEB方式。 管理策略后置于可信端计算机，非可信端计算机不能控制访问策略。 内网主机系统具有唯一的管理接口，管理配置采用可信端内网管理，外网系统不允许管理 配置网闸（非桐庐县就业管理服务处综合业务平台硬件设备项目 第 14 页 共 47 页 功能点 指标性能要求 内外网点对点配置）。 为保证系统配置的安全性，不能使用 USB等任何带有底层链路的设备进行管理配置。 其他 功能 接入方式 支持应用层透明接入，实现透明访问，网络部署简单。 系统透明支持TCP/IP 以上的应用层协议，无需二次开发 ,必须支持 HTTP、 SMTP/POPDNS、 FTP、 TELNET、 SSH、各类数据库、 MQ、 MMS、 NFS等协议全面控制命令的访问控制，包括 HTTP中的 WEBDAV命令的访问控制 IP/MAC地址绑定 支持 IP/MAC地址绑定，具有自动学习功能。 时间控制 具备定 时开关功能，支持定时启动 /终止网络服务（不是加电，断电），可设置多个时间点来控制网闸网络服务的启动、终止 ,如果不设置，默认网闸正常使用 访问控制功能 支持包括 IP、子网、时间、协议端口等在内的安全访问控制功能 扩展功能 能够扩展支持进程绑定和私有协议功能，可严格限定用户端的访问程序，只有指定的合法程序才能访问指定设备；可扩展支持远程移动用户安全接入应用，提供对远程客户端进行有效认证功能； 可靠性 双机热备 /负载均衡 最大支持 32台设备实现双机热备或者负载均衡。 日志 审计 日志 管理 支持日志信 息输出到 SysLog、 WebTrends外部日志系统，可定义外部服务的接收 IP、端口以及 07 级分类日志输出；可通过邮件形式将违反规则的行为发送到管理员报警信箱；提供全面的日志记录，支持日志备份功能。 资质 要求 （单向导入） 2020年公安部关于“安全隔离与数据交换产品”入围资格证明 ISO9001质量管理体系认证 ，并拥有自主知识产权的软件著作权登记证书。 (3C认证 ) （所有证书提供相关证书复印件，原厂商要在这些证书的复印件上盖公章） 产品成熟度要求 原厂商在浙江省必须具备至少一个以上指定的服务机构及维修中心； 在浙江省 内 有 3 个以上的网闸成功案例，并提供证明。 服务 ★ 预中标公示结束前 提供 厂家授权书原件和 三年 原厂家免费维修现场 服务 承诺函原件。 桐庐县就业管理服务处综合业务平台硬件设备项目 第 15 页 共 47 页 千兆防毒墙 功能点 指标性能要求 推荐品牌 网神、熊猫、卡巴斯基 数量 1 台 硬件配置和性能指标 ★ 硬件平台 必须采用 Sun、 HP、 IBM、 Dell服务器硬件平台，不得采用工控机架构硬件平台。 标准 1U大小。 4G以上内存（含 4GB），必须具有独立 硬盘。 满足至少 1000用户数 ★ 网卡模式 必须支持 10/100/1000M自适应 ,全双工 ,半双工模式； 必须支持软硬件故障情况下的 BYPASS功能，不能影响正常业务流量； 病毒库数量 超过 200万种以上病毒种类。 SMTP扫描性能 ≥ 200封 /秒 HTTP扫描性能 ≥ 400 Mbps 功 能 要 求 语 言版本 管理界面必须具有中文、英文。 恶意软件检测种类 必须能够检测病毒，蠕虫，木马，间谍软件，网络钓鱼，拨号软件，玩笑程序，未知威胁，漏洞攻击和黑客工具，必须具有详细的配置选项。 安装部署 必须能支持复杂网络环境： 交换机 TRUNK环境支持，保证能够在 TRUNK环境下扫描病毒并进行Web管理； 双机热备环境支持，保证能够部署在双机热备设备的前后； 采用网桥模式，使得其对网络中的客户和服务透明，无需重新配置DNS或重新路由网络数据流。 默认提供初始 IP管理地址，无需初始化设置。 支持添加静态路由，保 证能够跨网段对进行管理。 配置管理 必须 支持集中管理（设备集中监控管理与策略统一配置）； 必须支持多台设备集中监控（监控设备运行状态、防护状态、连接状态和系统事件的图形化显示） 必须支持分权限管理，可配置多账号并授予不同权限 必须在 Web管理界面提供高级诊断工具： Ping、 Traceroute、 DNS解析 、显示系统网络状态 、 数据包抓捕。 采用加密的 HTTPS方式进行管理。 可以手动导入 /导出配置。 可以根据 用户概况制定不同的配置策略， 允许用户基于一个或者多个准则进行个性化的界定和配置： LDAP用户组 、 树 结构 /个人 LDAP用户 、 IP地址 /组源 /目的地 IP地址 、 域名 /发送者 /接收者电子邮件地址 、 域名列表、网站或者特定的 HTTP页面 桐庐县就业管理服务处综合业务平台硬件设备项目 第 16 页 共 47 页 功能点 指标性能要求 扫描协议 必须支持以下 6 种常用 Inter 协议 : HTTP (包括 Java和 ActiveX)、FTP、 SMTP、 POP IMAP4 和 NNTP、 必须支持非标准端口扫描：支持对以上 6 种协议的非标准端口的病毒扫描； 实时数据统计 实时显示网卡流量，活动连接，已建连接，连接成功率， CPU占用率等系统负载情况。 以曲线、饼图等多种方示显示病毒、垃圾邮件和内容过滤的查杀拦截情况，同 时可以根据协议、任意时间段、恶意程序类型等进行分类查询。 根据不同的检索条件，实时显示前十名用户以及前十名病毒列表 升级方式 支持恶意软件定义文件，防恶意软件引擎，垃圾邮件定义文件，反垃圾邮件引擎和 Web 过滤的版本在线增量式升级，并且提供每日自动更新。 支持离线病毒库更新。 支持内核版本在线升级，手动本地升级。 防网络钓鱼 用户可以独立启用 /停用和设置进出邮件的防钓鱼保护。 可以对进出邮件选择不同的操作，这些操作包括：删除，在邮件主题和正文中进行标记，转发，转发且标记，忽略。 对安全威胁软件的保护 对所支持的 6 种协议都进行安全威胁软件的扫描，一旦检测到就会被删除。 （安全威胁软件是那些没有任何实际的用途、还会导致威胁的软件，例如，可以生成病毒或木马的程序。 ） 启发式扫描 启发式扫描技术，可以检测到隐藏在可执行文件中的未知病毒，保证潜在的危险内容被过滤掉。 可以设置启发式扫描的灵敏度级别，一共有三个级别可供选择：高、中、低。 内容过滤 对所有协议（ SMTP、 POP IMAP、 NNTP、 HTTP和 FTP）内容过滤，能够阻止危险文件进入网络，减低带宽 资源的占用。 内容过滤在所有协议中检查以下项目 ：检测 ActiveX控件 、 检测 Java程序 、 检测格式、后缀名和 MIME格式不一致的文件检测多后缀名和和畸形扩展名的文件 、 检测宏文件 、 检测受密码保护的文件 、 检测超过大小限制的文件 、 清除涉及到的外部脚本 、 清除涉及到的外部 URL、 检测具有危险后缀名的文件 、 检测危险 MIME类型的文件 、 检测文本内容的邮件 、 检测变形的邮件（畸形邮件） 、 清除不完整的邮件 、 检测可疑的压缩文件 、 通过收件人数目过滤邮件 、 根据邮件内容进行过过滤。 安全网关 保证能够如下提供针对邮件内容的过滤规则： 能否支持对邮件主题、邮件正文和邮件附件名称的内容进 行过滤，例如：能否检测出邮件主体内容包含“法轮功”的邮件，并且能够进行删除、报告或重定向处理； 能否删除嵌入邮件中的 JavaScript、 VBScript和其它脚本；能否删除对外部脚本的引用；能够根据 IP地址或 URL进行排除检测；能否设定 入站邮件的最大收件人数目，并且超出该数目后自动删除多余邮件； 能否设定 出站邮件的最大收件人数目，并且超出该数目后自动删除多余邮件；能否检测畸形邮件，并且能够进行删除、报告或重定向处理；能否阻断接收拆分邮件； 桐庐县就业管理服务处综合业务平台硬件设备项目 第 17 页 共 47 页 功能点 指标性能要求 反垃圾邮件 分析所有收发的邮件，判定邮件是垃圾邮件，疑似垃圾邮件或 正常邮件，可以在很大程度上屏蔽垃圾邮件，同时避免误报的发生。 对于判定为垃圾邮件的邮件，可采取的动作包括： ； 邮件主题。 而疑似垃圾邮件可以被设置成转发或是标记，以便用户进行核查。 并且可对反垃圾引擎的“训练”将会有效调整过滤结果。 可以手动添加垃圾邮件黑白名单，提高过滤效果。 用户可以定制各自适合的反垃圾邮件策略，例如，通过设置反垃圾邮件系统的灵敏度级别，也可以对企业内部邮件不予检查。 处理虚假来源邮件 当检测到邮件是蠕虫出于传播目的而生成的（称为虚假来源的邮件），将采取下列措施： 1）彻底 删除，不会到达收件人处； 2）无论是对管理员、寄件人还是收件人，都不会生成警告信息。 隔离区功能 必须具有多种隔离区设置：可以分别设置恶意软件、垃圾邮件、内容过滤隔离区 隔离区空间管理：可以实时显示恶意软件、垃圾邮件、内容过滤三种隔离区的剩余空间； 隔离区内容处理：可以观察隔离区的内容，以及可供选择的处理方式：删除和恢复、重定向邮件、扫描恶意软件项目，发送可疑或者未知项目到隔离区、下载这些内容和将他们从移出隔离区。 WEB过滤 监控和阻断 web 页面的访问， 将访问的 Web网站自动划分为不同类型，例如： 色情、购物、犯罪、武器和交通等。 可自定义 黑白名单。 支持 VIP用户排除。 显示中文警告页面，同时支持对警告页面进行编辑 即时通讯软件管理 能够监控并阻断如下即时通讯软件的连接： ICQ/AQL 、 Yahoo Messenger、 MSN Messenger、 Jabber、 Skype、 IRC等 P2P下载软件管理 能够监控并阻断如下 P2P下载软件的使用，组织内网用户滥用网络带宽资源： eDonkey 、 gnutella、 Fast Track 、 Open Nap、 Bit Torrent 等 能够为用户提供阻 断模式选择，以达到最优性能： 最高安。