舊大樓機房網絡改造需求公示

深圳市兒童醫院業務對于醫療信息化高度融合和依賴，為進一步推進深圳市兒童醫院信息化服務水平，為更好的服務患者、提高工作質量提供信息化支撐，發揮信息化得融合、帶動作用，有效貫徹執行《中辦發[2003]27號》文件和《深圳市衛生和計生行業信息系統安全等級保護工作指南》；同時為落實《國家信息化領導小組關于加強信息安全保障工作的意見》中提出的“積極防御、綜合治理”的安全戰略方針，將通過本項目對兒童醫院信息系統機房物理環境方面、主機系統方面、網絡安全方面、應用系統方面和安全管理方面進行安全分析、整改和加固，建立起完善的信息安全保障體系，提升兒童醫院信息安全保障能力。  

（1）投標人必須是已注冊的深圳市網上政府采購供應商； （2）投標人必須具有獨立法人資格（提供相關證明掃描件，原件備查）； （3）投標人近三年內（即至少從2011年7月開始起算，供應商成立不足三年的可從成立之日起算）無行賄犯罪記錄，由供應商營業執照住所地人民檢察院出具《行賄犯罪檔案查詢告知函》。告知函自出具之日起2個月內有效，有效期到期日應在本項目的公告日之后； （4）投標人須具備中國信息安全測評中心頒發的《信息安全服務能力二級（安全工程類）》證書； （5）投標人須具備中國信息安全認證中心頒發的信息系統安全集成服務一級資質證書； （6）投標人具有中國信息安全認證中心頒發的風險評估服務一級資質證書； （7）投標人必須提供生產廠家針對本項目中防火墻、防病毒網關、信手書手寫數字簽名系統、入侵檢測系統、網絡審計系統、備份存儲一體機、堡壘機主機、網管軟件和時間戳服務器的有效授權證書原件復印件加蓋公章和3年質保售后服務承諾函加蓋公章； （8）投標人必須提供由用戶方蓋章確認的基于本項目的機房現場勘查證明； （9）本項目不接受進口產品投標； （10）本項目不接受聯合體投標人。  

指標項	技術指標要求
★數量	1臺。
硬件要求	1.   ▲2U機架式結構，基于Intel多核架構，配置8個10/100/1000Base-T業務端口+2個擴展槽;另有2個千兆自適應接口作HA和管理；配置冗余雙電源；配備1個千兆接口擴展卡：8個10/100/1000BASE-T(100m，RJ45)；三年維保。
系統要求	2.   ▲要求基于多核多平臺并行安全操作系統（提供證明），并且采用雙安全操作系統設計（提供功能截圖）；軟件采用模塊化結構設計，可根據需要擴展IPSEC VPN、SSL VPN、防病毒、入侵防御、URL分類過濾等功能；
性能	3.   ▲整機吞吐量>12Gbps,最大并發連接數>300萬，新建連接>16萬/s;HTTP新建連接>14萬/s
網絡特性	4.   支持路由模式、交換模式、混合模式、虛擬線模式，至少支持四對虛擬線配置（提供功能截圖）； 5.   支持靜態路由、策略路由、RIPv1/2、OSPF、BGP等動態路由以及組播路由協議,要求支持ECMP與WCMP的路由均衡方式，并且能夠根據預設探測條件實現動態的鏈路切換； 6.   支持ISL與802.1Q的接口封裝和解封，要求提供VLAN-VPN功能；（提供功能截圖） 7.   ▲支持鏈路聚合功能，對每個聚合端口的物理接口數量無限制，提高聚合組的配置靈活性，并且要求支持至少10種以上的聚合負載算法；（提供功能截圖） 8.   要求至少支持4路ADSL撥號接入，多ADSL鏈路能夠基于ECMP、WCMP進行路由均衡，能夠針對每條ADSL鏈路單獨設置保證帶寬；（提供功能截圖） 9.   ▲支持端口鏡像功能，要求能夠基于IP、網絡協議等條件對鏡像流量進行過濾，并且支持入方向、出方向及雙向流量鏡像（要求功能截圖）
		網絡安全	10. ▲需具備針對單條訪問策略的最大并發連接數限制、策略命中數統計與策略重復檢查功能，支持網絡應用自學習功能并自動生成相關安全策略；（提供功能截圖） 11. ▲要求具有防止共享上網、防ARP欺騙及防路由欺騙功能；（提供功能截圖） 12. 支持免客戶端方式實現跨越三層設備進行IP/MAC綁定功能
		攻擊防護	13. 支持入侵防御功能，以購買License形式獲得升級許可 14. 規則庫包括溢出攻擊類、 RPC攻擊類、WEBCGI攻擊類、拒絕服務類、木馬類、其它類、 蠕蟲類、掃描類、網絡訪問類、HTTP攻擊類、系統漏洞類11大類攻擊類型，規則數量大于3800條，并支持自定義攻擊檢測規則； 15. ▲為適應不同網絡及應用環境，引擎檢測模式可選擇智能檢測或深度檢測，數據處理模式可選擇應用優先或安全優先，并能夠在丟棄報文時發送tcp reset命令； 16. 支持非法報文攻擊防護（如land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof等等）與統計型報文攻擊防護（如Synflood、Icmpflood、Udpflood、Portscan、ipsweep）； 17. 能夠支持ARP攻擊防護、DHCP攻擊防御、DNS異常包防御等特定應用的安全防護功能；
		系統管理	18. 要求系統管理員能夠通過“用戶名＋口令＋圖形認證碼”方式認證進行登錄管理，支持管理員口令強度分級設置，要求分為高、中、低三級，并且口令長度限制可配置；（提供功能截圖） 19. ▲要求具有配置文件自動定時上傳到指定外部服務器功能；（提供功能截圖）
身份認證	20. 認證客戶端支持一次性口令認證（OTP）、本地認證、證書認證和免客戶端方式認證；認證服務器支持本地認證服務器和第三方認證，如RADIUS、LDAP、TACACS、SECURID等； 21. 支持多達4因素的組合捆綁認證（用戶名口令、數字證書、短信、硬件特征碼、指紋認證）；支持統一用戶管理，防火墻、IPSEC VPN和SSL VPN使用同一套用戶認證、管理系統； 22. 支持用戶口令復雜度設置、口令長度設置、密碼過期時間設置、首次登陸口令修改、密碼找回（短信、郵件等）等功能；支持單個賬戶多點登錄地點數、賬戶有效期、登錄地址范圍控制等設置； 23. 支持根據角色、獨立用戶、訪問時間、URL、訪問路徑、訪問文件、訪問動作、外部組映射、證書用戶、證書中字段屬性等細粒度授權； 24. VPN可信接入，對接入主機進行安全檢查，包括安裝的軟件、進程、端口、服務、注冊表、操作系統及補丁、文件、網卡等；支持接入前檢查、接入后檢查、定時檢查等策略；支持可信接入的分級授權；
高可用性	25. 要求支持雙系統引導、切換及系統還原功能； 26. 支持主備、負載均衡及連接保護多種設備高可用機制并支持集群部署（集群設備數量≥8）； 27. 要求具有心跳接口物理備份及二級心跳接口功能；（提供功能截圖）
流量管理	28. 采用基于訪問控制策略的一體化帶寬管理模式，能夠針對用戶、用戶組、IP、MAC、時間、應用等進行帶寬管理，并且支持共享策略、獨享策略、訪問控制獨享策略等多種帶寬策略類型，要求支持基于COS、DSCP方式的數據標識；（提供功能截圖）
PKI	29. ▲支持本地CA（提供功能截圖）和第三方CA，可為其他設備或移動用戶簽發證書，可生成、吊銷、刪除證書；支持本地CA和第三方CA根證書、根私鑰的更新；支持證書鏈管理；本地CA支持SM2算法； 30. 支持證書廢棄，支持生成標準CRL列表，可以同時導入多個第三方CRL列表，對不同CA證書用戶進行身份認證，支持通過HTTP協議定時下載CRL列表；支持證書請求的生成，由第三方CA進行簽名；支持通過OCSP/LDAP等協議在線認證證書；
上網行為管理	31. 支持IM、P2P、傳統協議、股票交易、網絡游戲、網絡電視、網絡電話、流媒體等多種類型主流應用識別和控制，能夠對IM賬號進行過濾；支持基于行為的P2P識別技術和自定義協議識別技術；支持針對HTTP、HTTPS協議的URL過濾、下載文件格式過濾、搜索引擎關鍵字過濾、論壇發帖關鍵字、WEBMAIL關鍵字過濾； 32. 要求支持基于接口、應用層協議等流量異常檢測功能，能夠根據流量閥值、連接數閥值、協議比例異常閥值等條件觸發報警規則，并在管理頁面上亮起報警燈；（提供功能截圖） 33. 支持SMTP、POP3、IMAP協議的收件人、發件人、標題、正文、郵件附件類型進行過濾，并且對不符合規則的郵件轉發到指定郵箱進行審查，對郵件服務器信息可以隱藏和替換；支持基于郵件地址黑白名單、實時黑名單、反向DNS、灰名單方式的反垃圾郵件過濾；（提供功能截圖） 34. ▲支持內置URL分類庫，分類庫包括80大類500萬以上的一級域名數量，支持對惡意網站和掛馬網站進行過濾和行為設置，過濾規則庫以購買License形式獲得升級許可 35. 支持針對訪問目標進行URL重定向，URL重定向時間可設置；支持針對URL長度進行限制功能，防止URL異常攻擊；支持偽裝HTTP協議識別和控制，可以隱藏和替換HTTP服務器版本信息； 36. 支持FTP協議上傳下載文件名過濾，可以對上傳、下載、刪除、重命名、目錄創建等命令進行過濾；對FTP服務器版本信息可以隱藏和替換； 37. 支持TELNET、RSH、DNS協議的關鍵字過濾；
資質要求	38. 公安部-計算機信息系統安全專用產品銷售許可證（三級）； 39. 中國信息安全測評中心-國家信息安全測評信息技術產品安全測評證書（千兆，EAL3）； 40. 國家保密局涉密信息系統安全保密測評中心-涉密信息系統產品檢測證書； 41. 中國信息安全認證中心-中國國家信息安全產品認證證書（ISCCC中英文）（三級）； 42. 國家密碼管理局商用密碼檢測中心-防火墻產品密碼檢測證書； 43. IPv6 Ready產品測試認證； 44. 國家版權局-多核多平臺并行安全操作系統； 45. 中國信息安全測評中心-信息安全產品自主原創證明； 46. ▲產品提供商具備TL9000質量管理體系認證。

指標項	技術指標要求
★數量	1臺
硬件要求	支持標配接口：6×10/100/1000電口、2×SFP光口（含2路bypass），三年維保。
接入方式	▲支持INLINE（串接）和ONLINE（旁路）兩種接入模式，即插即用，適應各種復雜的網絡環境，用戶不需修改原有網絡結構和配置。支持INLINE/ONLINE（串接/旁路）混合部署。支持多路過濾和多路監聽部署模式。支持帶外管理，即無IP接入，產品本身不需要設置任何地址即可進行過濾監控。支持VLAN（包括非對稱VLAN）、HA、單臂路由等網絡環境。
液晶屏顯示	可通過外置液晶屏顯示系統CPU/內存使用率，查詢設備管理IP，提供手動bypass功能。
協議支持	▲支持非端口定義的協議識別，通訊服務端無論采用什么端口，都能正確識別HTTP/FTP/SMTP/POP3/IMAP/ SMB 等多種應用層協議，可根據需求選擇所需監控過濾的應用層協議。（要求截圖）
IPV6支持	全面支持IPV4和IPV6網絡環境。（要求截圖）
病毒過濾	▲精確識別郵件病毒、文件傳輸病毒、網頁病毒等，防止病毒通過最常見 的傳播途徑進入受保護網絡。（要求截圖）
蠕蟲過濾	▲采用入侵防御（IPS）技術、IP/端口/數據包封鎖技術，優化了蠕蟲識別機制，不僅可監測已知蠕蟲，還可以在未知蠕蟲爆發時進行預警。
木馬通訊監控	▲可監控多數常見的木馬通訊，內置數千種木馬通訊協議識別特征，并且通過識別庫不斷再升級，可以識別新型木馬，包括手機木馬。
安全漏洞攻擊監控	▲內置千余種漏洞攻擊規則，可實時監控/防御針對系統級發起的漏洞攻擊，避免因系統漏洞引起業務中斷，或稱為惡意攻擊者“跳板”。
口令探測監控	▲可對常用的網絡服務如：SMTP/POP3/IMAP/FTP/HTTP/SMB等進行口令探測的活動均可被監測，并可觸發相應的阻斷動作，防止口令探測活動的持續進行。
自動阻斷	▲自動阻斷網絡異常流量，防止蠕蟲大量爆發、DoS攻擊、郵件風暴造成 的網絡堵塞，并記錄相關日志，以便后期查詢排錯。（要求截圖）
病毒引擎	▲要求提供防病毒軟件銷售許可證書
軟/硬件容錯	支持軟件Watchdog 硬件網卡Bypass，防止單點故障，可手動切換Bypass狀態。
端口匯聚	支持最大四端口匯聚，支持主備、輪尋、802.3ad、自適應的匯聚模式。
特征庫升級	▲特征庫每天至少更新一次，可根據需求靈活定義更新時間。
通訊加密	提供Https、SSH等加密方式進行配置管理。
管理IP	可以設置管理員IP地址，增加管理的安全性
權限劃分	管理員按讀配置和修改配置進行權限劃為不同管理權限，例如配置管 理、查看狀態、系統維護等
友好界面	管理界面提供對產品硬件本身CPU、內存、磁盤、網卡等運行狀態的數據查詢，提供CPU/內存/交換區負載曲線、網絡流量曲線、過濾統計柱狀圖的查詢。
報表生成	報表系統能夠根據需求生成不同類型匯總性報表，提供多種形式的統計分析報表，例如排名前十位的病毒統計報表等，便于分析管理。
日志分析	通過管理界面，能夠提供不同形式的日志展現及分析內容，包括類型統計、IP統計、趨勢分析和明細查詢等。
資質要求	▲提供公安部《計算機信息系統安全專用產品銷售許可證》
	▲提供防病毒網關國家版權局頒發的《計算機軟件著作權登記證書》 ▲提供防病毒網關具有防病毒核心技術，提供病毒核心軟件著作權證書
	▲提供國家信息安全測評中心頒發的《信息技術產品安全測評證書》

指標項		技術指標要求
★數量		1臺
硬件要求		▲支持交流冗余電源模塊，2*USB接口，1*RJ45串口，2*GE管理口，4個接口擴展槽位，4個10/100/1000M電口（2路Bypass），三年維保。
平臺要求		系統應為機架式獨立IDS硬件設備，全內置封閉式結構，具有完全自主知識產權的專用安全操作系統，穩定可靠。
性能要求		▲網絡層吞吐量不小于2Gbps，最大并發TCP會話不小于200萬，每秒新增TCP會話不小于6萬，時延不大于40 µs。
	入侵檢測引擎		系統應具備融合模式匹配、協議分析、異常檢測、會話關聯分析，以及抗IDS/IDS逃逸等多種技術，準確識別各種黑客入侵，為用戶提供2~7層深度入侵檢測。
	攻擊特征庫		系統應提供覆蓋廣泛的攻擊特征庫，能夠針對3700種以上的攻擊行為、異常事件，以及網絡資源濫用流量，進行檢測和防御。
			▲系統攜帶的攻擊特征庫須獲得CVE-Compatible兼容性認證須提供證書復印件。
			▲系統應具備防僵尸網絡功能，從而提高整體安全防護能力，須提供規則界面截圖。
	攻擊防護類型		系統須提供對網絡病毒、蠕蟲、間諜軟件、木馬后門、刺探掃描、暴力破解等惡意流量的檢測。
			系統應具備基于“漏洞保護”的虛擬補丁功能，融合協議異常檢測能力，有效檢測緩沖區溢出攻擊，以及各類未知攻擊。
			系統應具備零日攻擊檢測能力，預防用戶避免遭受新的安全威脅
			系統應能夠有效檢測SQL注入等多種常見的應用層安全威脅
			系統應提供先進的DoS/DDoS攻擊檢測能力，支持雙向檢測TCP/UDP/ICMP/ACK Flooding，以及UDP/ICMP Smurfing等常見的DoS/DdoS的攻擊。
			▲系統應能對環境進行感知。須提供界面截圖。
			系統應提供入侵行為和應用軟件特征的自定義接口，可根據用戶需求定制對其它流量的檢測規則。
	惡意Web流量過濾		▲系統應提供Web信譽機制，在用戶訪問被植入木馬的頁面時，給予及時報警，能夠有效檢測Web安全威脅滲入企業內網。須提供界面截圖。
	URL分類及控制		▲系統應提供中英文網頁過濾數據庫，超過1,000萬條的URL，多種精細分類（如不良言論、色情暴力、網絡“釣魚”、論壇聊天等），實現全面、高效的高風險、不良網站過濾。須提供界面截圖。
	專業防病毒能力		系統應提供防病毒引擎，以提高病毒檢測的準確性。防病毒引擎采用基于特征掃描和啟發式掃描技術，實現針對HTTP、SMTP、POP3和FTP等多種協議的病毒流量監測。
	流量分析		系統應支持全面的流量分析功能，可察看網絡實時流量，包括：流量協議分布、流量IP分布、自定義察看某種流量TOP10、常見流量TOP10等；同時應支持生成日、周和月的流量報表，以便了解一段時間的流量情況。
	基于應用協議的流量控制功能		▲系統應提供靈活的流量管理功能，可以根據用戶、應用、目的IP地址、時間及帶寬等因素，實現基于應用、面向對象的流量保護策略。通過流量許可和優先級控制，阻斷一切非授權用戶流量，并結合最小帶寬保證、最大帶寬限制、會話限制和每IP設置等功能，有效保證關鍵應用全天候暢通無阻。須提供界面截圖。
	應用識別		系統應能識別超過1400種的各類網絡應用，至少應包括：商業系統類應用、協作類應用、互聯網應用、媒體類應用等。
	應用管理		系統應支持靈活的應用管理策略配置功能，實現基于IP地址、用戶、時間、應用等多維度的全面、細致監控。
	自定義應用		▲系統應支持細粒度的自定義應用功能，支持的參數至少應包括：搜索范圍、數據傳輸方向、特征數據等。為實現精確匹配，必須支持與、或等邏輯運算。須提供界面截圖。
	用戶身份識別能力		▲系統應具備用戶身份識別能力，支持基于用戶身份進行策略配置、日志記錄與查詢；支持自動與手動獲取用戶信息列表并生成組織結構圖。須提供界面截圖。
	增強的客戶端身份認證能力		▲針對訪問網絡資源的終端用戶，系統應提供增強的身份認證功能，支持RADIUS、LDAP、AD域等接口，及第三方認證平臺，實現更靈活、更安全的認證控制。須提供界面截圖。
	攻擊響應		系統應提供豐富的響應方式，包括：丟棄數據包、阻斷會話、郵件報警、短信報警、控制臺顯示、聲音報警、日志數據庫記錄、寫入XML文件，運行用戶自定義命令等，滿足用戶各種響應需求。
	第三方管理平臺融合		系統應提供標準snmp trap（V1、V2、V3）和syslog接口，可接受第三方管理平臺的集中事件管理。
			系統應系統應支持CEF通用事件格式，實現與ArcSight系統的無縫融合。
	攻擊取證		▲系統應具備攻擊快照功能，詳細記錄觸發告警的數據特征，以便做進一步的事件分析。須提供界面截圖。
			▲系統應具備原始數據留存功能，在需要進一步分析原始網絡數據時，可根據協議、IP地址、端口等參數將原始網絡數據保存為通用網絡數據分析軟件可讀的文件，留存文件的大小可根據時間、PPS數、BPS數等靈活設定。須提供界面截圖。
	日志管理		系統應支持日志緩存，在網絡通訊中斷的情況下，網絡引擎先將檢測到的攻擊行為保存在本地，等網絡恢復正常后再自動同步到控制臺或日志數據庫中，不會因網絡斷開而丟失日志信息。
			系統應具備實時的日志歸并功能，可以根據用戶需要，按照告警事件的源/目的IP/MAC地址、事件類型等信息，對告警日志執行任意粒度的歸并，有效抵御告警風暴。
			日志信息支持本地主流數據庫，或第三方syslog服務器等多種存儲方式。
			▲系統應提供冗余數據庫功能，日志信息同時寫入多個數據庫，以提高數據的安全性。須提供界面截圖。
			▲系統應提供基于告警設備、時間、IP地址、事件類型、用戶身份等條件的日志檢索功能，具備日志備份、清除和恢復功能。系統應具備遞歸查詢功能，在查詢結果中再次輸入查詢條件獲得更詳細的查詢結果，進行細粒度分析。 須提供界面截圖。
	統計分析告警		▲系統應提供統計分析告警功能，針對告警事件能夠按照攻擊事件、危險程度等條件做進行絕對值統計分析和環比統計分析并產生告警，告警參數應支持用戶自定義。須提供界面截圖。
	自定義分布統計模型		▲系統應提供自定義分布統計模型功能，可自定義實時分布統計中的數據類型，實現靈活的數據展現和統計分析。須提供界面截圖。
	報表系統		系統應提供豐富的報表功能，支持TopN事件、TopN源地址、TopN目的地址、TopN服務、事件類型分布與趨勢、危險程度分類統計與趨勢、風險級別統計與趨勢以及交叉報表等多種報表模板；為便于分析，還應支持用戶自定義報表模版，能夠按照用戶需求生成各種風格的統計報表。
			▲系統應提供定時自動發送報表功能，支持在指定的時間內將生成的報表以html、word、excel等通用格式通過FTP或郵件發送給指定的管理員，以減少日常維護工作量。須提供界面截圖。
			▲系統應提供智能提醒功能，通過設定提醒閾值，在報表上突出顯示以提醒管理員快速發現問題。須提供界面截圖。
	地址簿功能		▲系統應具備地址簿功能，在報表中直觀顯示IP地址所處國家、地區或某個部門。支持自定義私有IP地址庫和導入外部公網IP地址庫。須提供界面截圖。
	過濾器模板		系統應支持過濾器模板功能，可將復雜的查詢參數保存為過濾器模板，并支持模板的“與”、“或”等邏輯操作，查詢日志或生成報表時直接調用模板即可，無需重復查詢輸入參數，以減少日常維護工作量。須提供界面截圖。
	工作軌跡記錄		系統應支持工作軌跡記錄功能，記錄管理員執行過的日志查詢和報表生成結果，隨時查看查詢結果，無需再次執行復雜的配置過程，以減少日常維護工作量。須提供界面截圖。
	管理方式		系統應提供基于Web的遠程GUI管理，可以在任何IP可達地點，以簡單、直觀的方式完成策略配置、警報查詢、攻擊響應、集中管理等各種任務。
			系統應提供配套的集中管理平臺，實現設備的集中管理功能，可對管理范圍內的所有引擎設備進行統一的狀態監控、策略配置、系統升級和日志報表管理。須支持集中管理設備的拓撲展示功能，可通過設備連線的顏色直觀顯示設備運行狀態；支持集中管理設備的單點登錄。須提供界面截圖。
			系統應提供分級管理功能，滿足大規模分級部署的需要，實現策略的逐級下發和日志的逐級上報。為實現全網統一策略，上級管理中心下發到下級管理中心的策略優先級高于下級管理中心本地策略，本地用戶無權修改。為保證策略的一致性，須支持從下級管理中心的設備獲取策略。須提供界面截圖。
			系統應提供主輔管理功能，一個主管理平臺對引擎設備進行管理的同時，支持不少于4個輔管理平臺同時監管引擎設備。各管理平臺之間互為備份，以提高系統管理和日志存儲的可靠性。須提供界面截圖。
			系統支持帶外管理（OOB）功能，可以通過專用管理口，進行NIDS引擎管理，解決遠程應急管理的需求并提高系統自身的安全性。
	系統監控		系統應具備系統運行狀態監控功能，能夠實時查看CPU使用率、內存使用率、磁盤剩余空間、系統運行時間、接口狀態、流量等信息。
			▲系統應具備系統健康狀態異常告警機制，能夠實時監控系統CPU、內存等關鍵部件的狀態，并在發現異常狀況時通過聲音、郵件、短信等多種方式及時通知管理員。要求告警觸發條件可設置。須提供界面截圖。
	升級功能		系統應提供多種升級方式，至少提供實時在線升級、自動在線升級、離線升級升級方式
			投標廠商應承諾至少每周定期升級攻擊特征庫，遇到重大安全事件，提供即時升級。廠商官方站點需同時提供升級包下載頁面，并提供詳細的升級事項說明。
			▲系統應支持私有升級中心功能，部署在局域網的設備也能夠實現自動在線升級。須提供界面截圖。
			▲系統應支持歷史版本回滾功能，系統內建歷史版本庫，可保留最近升級的多個歷史版本，并支持回滾到任一歷史版本，提高產品升級過程的可靠性。須提供界面截圖。
	多語言支持		系統的管理、操作界面應支持多語言自由切換，至少支持簡體中文、繁體中文和英文。須提供界面截圖。
	部署模式		▲系統應支持獨立式多路IDS工作模式，各路IDS相互獨立，彼此之間沒有數據交換，可單獨配置策略。
	部署效率		系統應提供規則模板，減少配置工作量，提高部署效率。 須提供界面截圖。
	部署后可維護性		▲系統應提供主動抓包和日志監控功能提高部署后的可維護性。 需提供界面截圖。
	網絡適應能力		▲系統須支持IPv6/IPv4雙協議棧功能，能同時辨識IPv4和IPv6通訊流量。支持多種隧道模式，確保IPv6過渡時代的網絡通暢。支持IPv6環境下攻擊檢測技術和基于IPv6地址格式的安全控制策略，為IPv6環境提供入侵防護。須提供界面截圖。
			系統應支持VLAN 802.1Q、BGP、MPLS、QinQ、PPPOE等特殊封裝協議，能夠適應多種不同的網絡環境
	HA部署能力		系統應支持A/A和A/S兩種高可用部署方式，出現設備宕機、端口失效等故障時，完成主機和備機的即時切換，確保關鍵應用的持續正常運轉。
	設備自身安全性		投標設備應支持熱插拔的冗余雙電源，避免電源硬件故障時設備宕機，提高設備可用性。
			系統各組件之間應采用加密安全通道進行通訊，防止竊聽，確保整個系統的安全性。
	上市時間		▲投標產品應該是經過市場考驗的成熟產品，產品上市時間不少于8年。須提供上市第一年銷售許可證或軟件著作權證書等有效證明材料。
	市場占有率		▲投標產品應該是被廣泛應用的成熟產品，在國內市場具有較高的市場份額，市場占有率排名不應低于前3名。須提供知名第三方機構（如IDC、Frost&Sullivan）出具的市場占有率排名有效證明材料。
	市場榮譽		▲投標IDS產品應該是被認可的成熟產品，如獲得國、內外獎項可提供相應證明。
	產品資質		▲投標IDS產品應具有中華人民共和國公安部頒發的《計算機信息系統安全專用產品銷售許可證》，提供有效證書的復印件。
			▲投標IDS產品應具有中華人民共和國國家版權局頒發的《計算機軟件著作權登記證》，提供有效證書的復印件。
			▲投標IDS產品應具有中國信息安全測評中心頒發的《國家信息安全測評信息技術產品安全測評證書》（千兆），并獲得EAL3級別，提供有效證書的復印件。 說明：要求投標產品的證書上明確標識千兆產品
			▲投標產品應通過國際權威機構NSS Labs的IDS專項測試，獲得Approved認證 說明：要求測試榮譽水晶牌
			投標IDS產品應具有IPv6 Ready Logo證書，提供有效證書的復印件。
	技術能力		廠商須是微軟MAPP（Microsoft Active Protections Program）項目合作伙伴，可以在微軟每月發布安全更新之前獲得漏洞信息，為客戶提供更及時有效的保護。

指標項	技術指標要求
★數量	1臺
產品資質	▲公安部《計算機信息系統安全專用產品銷售許可證》 國家保密局涉密信息系統測評中心《涉密信息系統產品檢測證書》 ▲中國信息安全認證中心的《中國國家信息安全產品認證證書》（增強級） ▲國家版權局《計算機軟件著作權等級證書》 ▲中國信息安全測評中心《國家信息安全測評信息技術產品安全測評證書》（EAL3） 請提供上述產品有效證書的復印件。
產品規格	▲含交流冗余電源模塊，2*USB接口，1*RJ45串口，2*GE管理口，4個接口擴展槽位，缺省包含網絡審計和數據庫審計功能模塊，4個千兆SFP插槽（不含光纖接口模塊），支持千兆多模光纖接口模塊、千兆單模光纖接口模塊、千兆電口接口模塊，三年維保。
	支持冗余雙電源，避免電源硬件故障時設備宕機，提高設備可用性
	產品最大監測能力2Gbps
審計功能	支持WEB登錄認證功能，提供本地用戶數據庫和LDAP、RADIUS用戶數據庫集成功能。
	▲支持基于域名、關鍵字正則表達式等多種組合的主動內容審計策略，可掃描指定網站，分析網頁頁面是否含有非法敏感信息。要求提供專利證明文件。
	▲通過掃描指定網站，分析檢測網頁是否被掛馬，并實時告警響應記錄。要求提供掛馬掃描功能截圖。
	▲支持審計ORACLE、SQL Server、MY SQL、DB2、Sybase、Informix、Postgresql等各類主流數據庫系統。要求提供功能截圖。
	靈活的審計策略：支持基于IP地址、時間、用戶/用戶組、數據庫用戶名、數據庫類型、數據庫表名、字段名、關鍵字等組合審計策略，并實時告警響應。
	支持同時審計多種數據庫及跨多種數據庫平臺操作；支持實時審計用戶對數據庫系統所有操作；支持分析、提取SQL語句中綁定變量，并可完全監測還原SQL操作語句包括源IP地址、目的IP地址、訪問時間、MAC地址、數據庫用戶名、客戶端類型、數據庫操作類型、數據庫表名、字段名等。
	支持集中管理，系統應提供專門的安全中心負責集中管理多臺審計設備的審計事件的存儲、分析；安全中心支持基于IP地址、時間、用戶名、數據庫操作類型、操作命令、數據庫名、數據表名、字段名、關鍵字等條件的審計日志搜索查詢分析。
	▲具有超過1000萬條的英文URL數據庫，超過十種分類，如不良言論、色情暴力等；可過濾非法不良網站，并支持用戶添加自定義URL；要求提供功能截圖。
	▲通過對互聯網資源（域名、IP地址、URL等）進行威脅分析和信譽評級，將含有惡意代碼的網站例入Web信譽庫，達到阻止過濾含有惡意代碼的高風險網站，實現對終端用戶的安全保護。要求提供信譽庫功能截圖。
	支持HTTP網頁瀏覽及關鍵字搜索審計：記錄用戶網站訪問行為包括源IP地址、目的IP地址、訪問時間、URL、網頁瀏覽時間等，并提供網頁還原功能。
	支持電子郵件***
	***
	▲支持移動應用審計，能夠識別通過移動熱點所訪問的移動類應用，例如IM類、社交類、網購類、影音類、資訊類等應用，并記錄IP地址、應用名稱、訪問時間等信息；能夠對主流的移動應用進行內容層面的詳細審計，主要是對微博、網頁言論、網頁訪問詳細記錄IP地址、URL地址、訪問時間、訪問或發布的具體內容等信息。要求提供功能截圖。
	支持基于論壇主題、發帖內容的關鍵字審計功能；支持基于用戶/用戶組、時間、關鍵字等多種組合審計策略，可記錄源IP地址、目的IP地址、發帖論壇、發帖人、主題、發帖時間、發帖內容等，并提供內容還原功能。
	支持即時聊天工具審計：可審計QQ、MSN Messenger、ICQ、雅虎通、新浪UC等，支持基于IP地址、用戶/用戶組、時間、關鍵字等組合審計策略，可記錄日志包括即時通訊號碼、上下線時間、文件傳輸名等。
	支持文件傳輸審計：支持HTTP、FTP協議，支持基于用戶/用戶組、時間、關鍵字等多種組合審計策略，用戶可自定義下載文件類型，對文件上傳、下載類型進行審計，可記錄日志包括源IP地址、目的IP地址、時間、傳輸文件名等。
	支持TELNET、FTP等業務操作進行命令級審計，支持基于IP地址、用戶組、時間、關鍵字等組合審計策略。 1)   TELNET：可記錄源IP地址、目的IP地址、帳號、和命令等； 2)   FTP：可記錄源IP地址、目的IP地址、帳號、命令及上傳下載文件名等
	可對P2P下載、在線視頻、網絡游戲、炒股軟件等行為進行審計，支持基于IP地址、用戶組、時間、協議等組合審計策略，記錄日志包括源IP地址、目的IP地址、時間、應用名稱等。
	▲支持流量審計：支持基于時間、協議、IP地址等組合流量審計策略。支持統計各種應用協議的總流量、上下行流量及TOP10排名；針對協議TOP10排名， 可查看使用當前協議的IP及其流量。支持統計各IP的總流量、上下行流量及TOP10排名；針對IP TOP10排名，可查看當前IP使用的協議及其流量。要求提供功能截圖。
系統管理	▲支持用戶識別功能，可將終端IP地址與終端用戶身份綁定，在審計日志中顯示終端用戶身份信息要求提供功能截圖。
	▲支持用戶身份信息智能關聯技術，可將用戶各種身份信息與其終端IP地址進行智能關聯形成用戶身份信息庫，從而提高事件定位的精確度。要求提供智能關聯分析功能截圖。
	▲支持IPv6協議，可識別IPv6協議的數據流，支持基于IPv6地址格式的審計策略。要求提供功能截圖。
	基于B/S的管理架構，靈活方便，適合在任何IP可達地點遠程管理
	▲支持“安全中心”管理，提供圖形用戶界面，以簡單、直觀的方式完成策略配置、警報查詢、攻擊響應、集中管理等各種任務。
	«提供CLI（命令行）配置模式，提供SSH遠程調試模式。
	支持帶外管理（OOB）功能，可以通過專用管理口，進行引擎管理，解決遠程應急管理的需求。
	針對接入外網的終端用戶，系統提供增強的身份認證功能，支持標準的radius和LDAP接口，及第三方認證平臺，實現更靈活、更安全的認證控制。
	提供豐富的響應方式，包括：丟棄數據包、阻斷會話、郵件報警、短信報警、控制臺顯示、日志數據庫記錄、寫入XML文件，運行用戶自定義命令等，滿足用戶各種響應需求。
	提供標準snmp trap、snmp agent（v1、v2c、v3）和syslog接口，可接受第三方管理平臺的集中事件管理。
	提供實時在線升級、自動在線升級、離線升級多種升級方式
	▲支持歷史版本回滾功能，系統內建歷史版本庫，可保留最近升級的兩個歷史版本，并支持回滾到任一歷史版本，提高了產品升級過程的可靠性。要求提供功能截圖。
	管理、操作界面支持簡體、繁體、英語的自由切換

指標項	技術指標要求
★數量	1臺
硬件要求	6個10/100/1000M固定電口；支持多端口匯聚功能可選源端口輸出功能，即輸出端口可靈活選擇多個源輸入端口的流量進行匯聚輸出，三年維保。

指標項	技術指標要求
★數量	1套
基礎要求	▲支持c/s和B/S混合架構，全中文界面網絡管理產品； ▲支持系統基于?NET架構，服務器支持Windows 2000、Windows XP等操作系統； 缺省使用內置數據庫，可以選擇輸出到其他流行數據庫（My SQL、SQL server或Oracle）。 ▲支持300個點的授權管理。 ▲一年維保。
部署與恢復	在不改變現有網絡架構且無需在服務器安裝Agent的前提下實現部署；提供拓撲圖及數據備份，確保數據不丟失。
物理拓撲圖生成與管理	▲能管理所有支持SNMP的節點，自動勾畫出整個網絡的物理拓撲結構(支持Cisco CDP拓撲計算)；
	▲必須能夠實現自動拓撲發現并動態顯示，支持多種拓撲算法，并自動生成出整個網絡的準確物理拓撲結構圖，在拓撲圖上可以手動添加設備且能自動定位該設備，可以手動添加連接，可以手動刷新設備，保證物理拓撲圖盡可能準確。
	支持拓撲圖的手工編輯，支持實時編輯顯示規則，并可保存和導出網絡拓撲圖。
	▲支持IP定位，能在拓撲圖中迅速查找設備。能在拓撲圖中迅速查找設備，并提供該PC得物理端口位置，所屬VLAN等參數。
	所有功能實現在統一軟件界面上完成，設備鼠標鍵展開功能直觀、易用。
網絡管理	支持基于事前的網絡故障管理
	必須能夠持續監測網絡設備狀態。以不同的顏色從拓撲圖上區分出網絡設備的狀態（包括連續運行時間、CPU負載、Mem利用率等），并顯示出各鏈路的實時數據流量；
	在拓撲圖上直接顯示各設備間每條線路實時數據流量（包括幀流量、廣播流量、數據丟包情況和出錯包情況等）
	提供對交換機的信息查詢功能，包括接口所連接的設備名及IP地址、系統信息、接口流量分布情況、設備路由表、ARP緩存等信息。以上數據均可按數據表或圖形時間曲線展開數據分析，在數據表方式中，每一列數據均可按用戶要求進行升序、降序，便于尋找峰值數據、最小數據，也可即時提供網絡設備的基本信息；
	▲必須能逼真地顯示Cisco、華為、H3C、港灣等40家以上主流廠商全系列網絡設備的面板圖，無需手動添加，并可直接在面板圖上查看各模塊和端口的信息。
	▲對Cisco 設備支持IP Accounting 的網際數據捕捉和分析功能，支持捕捉跨IP網段的數據實時流動情況；支持用戶定制數據流濾取規則，對指定時段進行數據歷史記錄，篩選有應用分析價值的數據流。對網絡中異常情況（如網絡掃描、大流量下載、非法訪問等能夠進行告警。
	能夠以列表方式顯示設備中所有端口的流量分布情況（包括出入端口的流量、數據幀流量、廣播包流量、丟包情況和錯誤包情況），并且能夠以類Mrtg方式動態顯示端口流量變化和多端口流量變化的對比。
	支持以列表方式顯示設備中所有端口的流量分布情況，支持數據捕捉，分析和統計功能，支持用戶定制數據流濾??；支持針對應用端口的應用流量統計和分析功能；對網絡中異常情況能夠進行告警并且記入日志；
	系統支持基于周期輪詢的系統性能指標的統計，歷史的性能指標數據能夠保存一年以上。管理系統也能夠支持對設備運行性能實時查看，能夠以秒為顆粒度實時的對特定性能指標繪制曲線圖。
	▲支持全網統一IP/MAC/設備端口對照一覽表，支持跨網段、跨地域的IP地址管理，自動、動態、完整提供全網所有活動用戶的網絡連接位置信息，可根據IP地址-機器名-MAC-物理端口唯一對應關系，支持IP全網動態定位，迅速定位其所連接到的交換機端口，便于故障定位和問題查找。（要求截圖）
	提供完善的性能分析報告平臺，其管理報告能幫助系統管理人員及時預測、發現性能瓶頸，為信息系統的戰略規劃提供依據。提供可定制的報表體系，包括日報、周報、月報和自定義時間段報表、事件統計報表、性能分析報表等，供故障判斷和趨勢分析使用，實現IT資源的集中管理。報表系統能夠生成直觀的曲線圖、柱形圖等多種圖形化的方式對數據進行分析統計。
故障管理	網絡管理系統應能將網絡中的網絡設備及網絡鏈路等設備間的連接等管理對象所產生的告警/事件集中在一個控制臺中進行監控處理，便于進行根源分析和事件整合。能夠實現基于輪詢的狀態告警
	必須提供豐富的故障通知機制。當偵測到故障信息時，能通過告警窗口、語音合成告警 、GSM短消息告警、郵件告警等故障通知機制有效的通知維護人員，并寫入故障日志。
	支持采用遠程管理模式，在遠程管理端支持語音合成告警及全網ip聯動。
	系統應能對管理對象中重要的性能參數自由設置相應的閥值，應能根據要求，實現對所收集到的事件進行自動處理，系統能在網絡故障的情況下自動執行一個或一組動作,支持在告警發生時直接關斷問題源的網絡連接。性能閥值的設置能夠支持一定程度關聯，當連續超樣才產生告警事件，以提高告警的準確性。
	網絡管理系統可對于收集到的管理對象所發生的突發告警/事件進行記錄，并具有對告警/事件進行過濾、分類等處理能力，并可自動啟動相應的事先預設好的自動處理動作。
服務器管理	應能監控網絡設備和服務器的性能信息，對一段時間內某接口的流入流出流量采樣、流入流出數據包采樣、端口數據包錯誤率、丟包率、帶寬利用率等進行分析，以曲線圖來顯示分析統計。對于所收集的關鍵性能參數，系統能夠保存在數據庫中，提供給用戶進行歷史性分析，以定位系統瓶頸和故障。
	可提供Web服務器的可用性以及Web URL的可用性、返回碼等；Email服務器可否完成郵件的正常收發；流媒體有效性監視和告警。
	不加裝Agent的情況下，管理和監視服務器操作系統的運行狀態和性能數據，包括服務器的CPU負載、內存利用率、應用進程、文件系統、文件體積等信息的分析與監視。
	支持自定義數據庫、中間件多種參數的預警監控。 管理和監視服務器上各應用服務的運行狀態和性能數據，包括HTTP、FTP、EMAIL、weblogic、Domino、EAServer等中間件、Oracle、SqlServer、Sybase等數據庫。
遠程管理	▲產品應該提供C/S方式遠程管理網絡的能力，通過提供遠程管理的功能，實現與本地管理完全一樣的操作和功能（在遠程管理端支持語音合成告警），確保在任何可以跟網絡管理服務器連通的地方進行整個網絡的監管，理論上不限制用戶端的數量,每個用戶具有各自獨立的拓撲圖，互不影響。（要求截圖）
	產品還應支持B/S（IE瀏覽）方式的遠程管理網絡的能力，可在遠程任何一臺可以訪問網管系統所在機器的客戶機上運行IE瀏覽器，并輸入相應網址，即可瀏覽實時物理拓樸圖、地址薄、報表、設備參數等信息。并需支持鼠標左右鍵功能性操作。
售后服務	▲除提供上門服務外，出現故障廠商可以立刻提供實時遠程協助，能在用戶的授權下，實時進行連線解決。
軟件資質	▲軟件生產商工信部ITSS全權成員單位資質。
	▲軟件生產商具備具有ISO9001質量體系認證、SOA標準工作組成員單位證書
	▲考慮信息安全因素，要求軟件廠商為國內獨資企業。
	所投標的產品提供國產軟件著作權登記證書、軟件產品登記證書，以及產品登記測試報告及技術測試報告。

 

   

 

 

其他主要事項

1、中標人不得將項目非法分包或轉包給任何單位和個人。否則，采購單位有權即刻終止合同，并要求中標人賠償相應損失。

2、投標人若認為招標文件的技術要求或其他要求有傾向性或不公正性，可在招標答疑階段提出，以維護招標行為的公平、公正。

3、投標人使用的標準必須是國際公認或國家、或地方政府頒布的同等或更高的標準，如投標人使用的標準低于上述標準,評標委員會將有權不予接受，投標人必須列表將明顯的差異詳細說明。