★一、品目清单:
| 序号 | 系统名称 | 数量 |
| * | 全国公安“一机两用”监控及设备资源管理系统 | *套 |
| * | 威胁检测系统 | *套 |
| * | 视频应用安全审计系统 | *套 |
| * | 图像应用安全审计系统 | *套 |
| * | 视图库安全审计系统 | *套 |
| * | 视频专网防火墙 | *套 |
| * | 入侵防御系统 | *套 |
| * | 互联网边界防火墙 | *套 |
| * | 日志审计分析系统 | *套 |
| ** | 视域边界安全接入管理平台 | *套 |
| ** | 视域资产发现及漏洞扫描管理平台 | *套 |
| ** | 视频安全检查工具 | *套 |
| ** | 入侵防御系统 | *套 |
| ** | 账号集中管理与审计系统 | *套 |
| ** | 网络交换机 | *台 |
★二、商务条款:
*、供货时间:自合同签订之日起**个日历日内。
*、交货地点:***
*、付款方式及条件:自采购人验收合格后并收到乙方提供的发票后,一次性支付合同金额***%。
*、提供*年产品保修服务
三、技术参数
*、全国公安“一机两用”监控及设备资源管理系统
(*)防火墙防护
支持对于数据流向的访问控制,可以对出站和入站分别进行允许和拒绝链接;
支持针对域名和ip的禁止访问,实现对某指定域名和ip的禁止通讯,有效防止数据外泄;
支持控制端口的数据流向,通过黑白名单的方式防止恶意的端口开放;
(*)注册表防护
支持对网内设备的注册表进行统一设置,支持添加需要的注册表项和键值;
支持删除和修改指定的注册表项和键值;
支持对注册表检查结果的审计和上报;
(*)IP防护
支持IP-MAC绑定功能,指定的电脑始终保持现有IP不变,如果被恶意修改,可自行恢复、提示、断网等方式处理;
支持绑定终端网关地址、子网掩码和DNS地址;
支持IPV*/IPV*协议属性中,IP地址修改界面,确认按钮为灰色
支持禁用自动获取DHCP,保持IP地址为静态配置模式;
(*)外设控制
支持识别外设类型,并根据策略配置进行管控,审计外设控制记录;
支持单独、组合、全部进行外设的禁用与启用;
支持受控外设包括:光驱、USB移动存储、USB非移动存储、鼠标/键盘、本地打印机、网络打印机、串口、并口、****接口、红外、蓝牙、PCMCIA、冗余硬盘、无线网卡、普通网卡、图像设备、读卡器、未知设备等;支持针对指定设备进行例外放行;
支持设备管理器的的拦截操作,被禁用的设备,禁止启动。
★(*)网络隔离
支持禁用计算机DHCP服务和启动路径,支持DHCP服务被启动时进行拦截;
支持禁用IPV*地址,禁止使用IPV*地址;
支持禁止禁用手机、平板等便携设备;
支持禁用创建WIFI热点,支持控制WIFI热点的连接和告警;
(*)账户防护
支持检查开机密码是否是弱口令,支持提示和强制修改弱口令密码,以保障系统不因为弱口令被病毒和黑客攻击。支持强制密码历史,密码最长使用期限,密码最短使用期限,最短密码长度,密码复杂性要求进行自动设置;
▲(*)资源监控
支持终端系统运行资源查看,能够监控终端CPU温度和使用率、内存使用率、剩余硬盘比率、硬盘温度和读写速度;支持对终端的CPU、内存、硬盘读写速度和剩余空间进行监控,设定危险等级报警阀值,当终端资源超出阈值进行违规处理并上报给服务器;
▲(*)客户端集成
支持与一机两用系统客户端集成,无需单独部署独立客户端。并提供一机两用系统原厂的对接接口服务文档。
(*)支持批量制定白名单规则和黑名单规则;
(**)支持超级端口和超级ip,可以不受黑名单中的管控;
▲(**)支持自动检测和识别存在多网卡的终端,自动选择网卡,禁用其他网卡;
▲(**)支持禁用PPPOE拨号协议,能够对拨号类型设备进行阻断控制;
▲(**)支持离网控制功能,对公安网设备进行控制,可根据管理人员的需要设置离开公安网的生命周期,对超过生命周期的计算机进行锁屏、锁屏并断开网络等手段来控制;
*、威胁检测系统
★(*)部署方式:旁路部署,系统应具备接入流量镜像口、分光器的条件。
★(*)*U,国产自主可控芯片及国符合测评要求并且安全可靠的国产操作系统,内存≥**G,机械硬盘≥*TB,mSATA卡≥***G,≥*个千兆电口(含HA和管理口),≥*个千兆光口插槽,冗余电源,≥*个扩展槽位,APT性能:≥*Gbps,并发连接:≥**W,新建连接:≥*W/S,静态检测:≥**样本/天。含≥*年打包升级许可,包含攻击检测规则库、应用识别库、地理信息库、僵尸主机规则库、威胁情报库。
包括:抓包数量、协议类型、源IP、源端口、目的IP、目的端口、源或目的IP、源或目的端口、接口、VLAN ID等。支持单个或多个PCAP文件导出。
(*)支持固网恶意程序检测智慧引擎、移动恶意程序检测智慧引擎、DGA恶意域名检测智慧引擎、恶意TLS流量检测智慧引擎、SQL注入检测智慧引擎、XSS攻击检测智慧引擎、命令注入检测智慧引擎、HTTP隧道检测智慧引擎、WEBSHELL上传检测智慧引擎。
(*)支持攻击者画像分析,包括:受害者、恶意文件、安全事件、横向攻击、攻击阶段(侦查跟踪、载荷投递、漏洞利用、命令与控制、目标达成)、热点事件、受害者TOP*等条件综合分析攻击者画像分析信息。
(*)支持事件聚合,内容包括:事件名称、风险等级、事件类型、最近发生时间、历史总数、新增、最近处置时间、最近处置内容等。支持按照新增数量排序,支持下钻查看事件详情信息。
▲(*)支持对压缩文件分析,包括:多级压缩文件、压缩文件中衍生文件,可支持不小于**级压缩,可对压缩包内的文件进行独立检测。
(*)支持非标端口通信检测,对HTTP、FTP、SMTP、IMAP、POP*、TELNET等服务的非标端口通信检测。
(*)支持针对SMTP、POP*、IMAP等协议的钓鱼邮件检测,识别发件人欺骗、URL欺骗、钓鱼URL等信息,判断可疑钓鱼邮件。
(**)支持爬虫检测,涵盖超过****种爬虫类型。
▲(**)支持恶意加密流量检测,采用恶意TLS流量智慧引擎、SSL异常检测恶意加密流量。
(**)支持对物联网协议审计,包括:MQTT、XMPP、COAP等协议。
*、视频应用安全审计系统
★(*)标准机架式设备,不少于*个千兆电口,不少于*个*兆光口;CPU:国产自主可控芯片,核心数不低于**核,主频数不低于*.*GHZ;操作系统:符合测评要求并且安全可靠的国产操作系统;存储容量:≥*TB,内存:≥**GB;
★(*)抓包速率:≥*Gbps,数据包解析能力:≥*****条/秒,保存速度:≥***条/秒。
★(*)支持还原解析GB/T *****、SIP标准视频应用协议,支持对海康、大华等主流视频厂商的私有协议定制化解析;
★(*)支持对C/S架构的视频监控系统操作行为审计记录,记录包括登录账号、终端IP操作时间、操作类型、操作详细信息等。其中,操作类型包括视频浏览、录像下载、云镜控制(上、下、左、右转动)、回放媒体流及相应的起止时间、摄像头编码、摄像机名称、原始操作控制信令等信息;
(*)支持基于摄像机被访问行为形成存储档案并提供档案查询功能,记录终端IP、登录账号、操作次数、操作类型、操作时间、摄像机IP、摄像机名称、摄像机编码ID、操作原始信令等信息;
(*)支持基于终端操作形成存储档案并提供档案查询功能,记录涵盖登录账号、操作次数、操作关联的摄像机数量、操作类型、操作时间等信息;可识别同一账号多终端登录、多账号同一终端登录等行为;
(*)支持自定义录入并标记重点摄像头信息,支持对重点摄像头访问行为监测记录并告警,记录访问的重点摄像头唯一编码、关联操作终端IP、登录用户名、操作时间、操作类型等信息;
(*)支持对视频监控系统访问行为日志进行专项分析,发现访问终端、访问用户高频访问、过度关注、跨区访问等异常行为;
(*)支持根据设备类型、客户端IP、操作时间、操作类型、登录账号、操作次数等维度自定义组合设置告警策略,告警信息的内容包括但不限于告警类型、告警级别、事件时间、告警明细信息等,支持全局黑白名单设置;
(**)支持动态可视化展示全网活跃前端摄像头总数、终端总数、用户总数、行为告警总数、操作总数及操作类型占比等信息;
▲(**)支持每月提供视频应用日志专项分析报表,内容包括一终端多用户分析统计、一用户多终端统计、高频访问、持续关注行为统计排名、重点视频点位访问告警展示、网内活跃摄像头/终端/账号等资产统计分析排名等。
*、图像应用安全审计系统
★(*)标准机架式设备,不少于*个千兆电口,不少于*个*兆光口;CPU:国产自主可控芯片,核心数不低于**核,主频数不低于*.*GHZ;操作系统:符合测评要求并且安全可靠的国产操作系统;存储容量:≥*TB,内存:≥**GB;
★(*)抓包速率:≥*Gbps,数据包解析能力:≥*****条/秒,保存速度:≥****条/秒。
★(*)支持还原解析GA/T ****标准视图库应用协议,支持对海康、大华等主流视频图像厂商的私有协议定制化解析;
★(*)支持对以车搜图、以人搜图、以图搜图、身份核查等图像应用行为进行审计记录,记录内容包括操作终端IP、登录账号、检索输入条件(图片及结构化信息)、检索结果(结果图片及结构化信息)、操作动作详情、平台信息、操作时间等信息;
(*)支持自定义录入并标记重点车牌号、敏感人员照片信息,支持对重点车牌号、敏感人员照片查询行为监测记录并告警,记录操作终端IP、登录用户名、操作时间、操作类型等信息;
(*)支持对活跃操作终端、操作用户进行排名展示,支持将检索条件输入次数最多的图片以及检索结果最多的图片进行排名展示,支持对告警类别、告警信息、操作行为类别进行占比统计展示;
(*)支持将查询条件及结果数据自动分类入库保存为人员库、车辆库、检索图片库、检索结果图片库,支持基于终端、用户名、源IP、时间、检索条件图片等维度的自定义查询功能;
(*)支持基于用户名、IP地址、检索时间、图片等多维度自定义设置告警规则策略,支持自定义非工作时间图片检索报警、搜索图片频次超过设定阈值告警,支持全局黑白名单设置;
(*)支持对客户端操作行为关联分析形成终端画像,包括当天终端在各个时间点的访问趋势、终端操作行为占比展示等;
(**)支持对用户操作行为关联分析形成用户画像,包括当天用户在各个时间点的访问趋势、用户操作行为占比展示等;
▲(**)支持每月提供图像业务应用日志专项分析报表,内容包括一终端多用户分析统计、一用户多终端分析统计、高频访问、过度关注行为分析统计、敏感车牌号、敏感人脸信息访问告警展示、网内终端/账号/查询图片/查询关键字等资产统计分析排名;
*、视图库安全审计系统
★(*)标准机架式设备,不少于*个千兆电口,不少于*个*兆光口;CPU:国产自主可控芯片,核心数不低于**核,主频数不低于*.*GHZ;操作系统:符合测评要求并且安全可靠的国产操作系统;存储容量:≥*TB,内存:≥**GB;
★(*)抓包速率:≥*Gbps,数据包解析能力:≥*****条/秒,保存速度:≥****条/秒;
★(*)支持还原解析GA/T ****标准视图库协议,对视图库应用操作行为,记录内容包括终端IP、登录账号、操作类型(订阅,查询,级联,删除)、操作详情、操作时间、原始操作信令等信息;
(*)支持对应用系统调取视图库数据行为监测审计,记录内容涵盖应用系统名称、应用系统IP地址、请求连接数量、请求次数、请求流量等信息,可按时间节点统计和展示各图像应用系统请求次数、流量大小等信息;
(*)支持对其它视图库系统通过级联接口调取本地视图库数据行为监测审计,审计记录内容涵盖视图库系统IP地址、请求连接数量、连接次数、请求URL、请求流量等信息,可按时间节点统计和展示各视图库系统请求次数、流量大小等信息;
(*)支持对个人用户访问视图库直查人/车信息进行记录,记录查询条件、查询结果、终端IP、登录账号、操作时间、操作类型等信息;
★(*)支持对视图库数据的布控/撤控操作行为进行审计记录,记录布控资产、撤控资产、操作终端IP、布/撤控时间、关联账号等信息;
(*)支持基于用户登录的操作行为归档,包括登录用户名、常登录终端数、用户类型、所属应用等;
(*)支持自定义告警策略设置,基于终端IP、账号、应用系统IP、时间范围、操作类型等维度设置告警策略;
▲(**)支持每月提供视图库应用日志专项分析报表,内容包括一终端多用户分析统计、一用户多终端分析统计、高频访问、过度关注行为分析统计、布控/撤控资产统计分析排名、网内终端/账号/应用系统/视图库系统等资产统计分析排名。
*、视频专网防火墙
★(*) ≥*U, 国产自主可控芯片及国符合测评要求并且安全可靠的国产操作系统,内存≥**G、系统盘msata卡≥**G,机械硬盘≥*T,≥*个MGMT口、≥*个HA口、≥*个千兆电口、≥*个千兆光口(满配千兆多模模块)和≥*个*兆光口(满配*兆多模模块),冗余电源,≥*个扩展槽位,防火墙吞吐≥**G,并发连接≥*****,每秒新建连接≥***,应用层吞吐量≥**G,默认包含应用识别功能,含*年应用特征库升级许可。默认带**个月硬件维保。
(*)支持路由、交换、虚拟线、Listening、混合工作模式;
(*)支持手动和LACP链路聚合,可根据源/目的MAC、源/目的IP、源/目的端口、五元组、端口轮询等条件提供不少于**种链路负载算法。
(*)支持IP/MAC绑定,支持跨三层绑定,支持IP/MAC绑定表导入导出,以便对IP/MAC绑定关系进行批量操作。
▲(*)支持DNS Doctoring功能,能够将来自内部网络的域名解析请求定向到真实内网资源,提高访问效率,同时支持通过配置多条 DNS Doctoring,实现内网资源服务器的负载均衡。
▲(*)支持在一台物理设备上划分出不低于***个相互独立的虚拟系统,可根据连接配额及连接新建速率为每个虚拟系统分配资源,实配不少于**个虚拟防火墙授权。
▲(*)支持对达梦、人大金仓等数据库应用、P*P、移动应用、迅雷加密流量、向日葵/Teamview等远程控制软件、Modbus/IEC/OPC等工控物联网协议进行识别控制,支持自定义应用特征。
▲(*)支持NTP DDOS防护,采用阀值检查、源/目的限流、源认证等方式综合进行NTP QUERY FLOOD、NTP REPLY FLOOD攻击防护。
▲(*)支持独立审计策略,支持审计白名单。
(**)支持对接收/发送邮件内容进行审计;对FTP上传/下载文件内容进行审计。
(**)支持CPU利用率、内存利用率、磁盘利用率、会话数告警及CPU利用率、内存利用率、磁盘利用率等硬件资源实时利用率及其历史使用情况追踪。
(**)内置行为分析功能,对会话、流量等数据进行统计分析,建立业务行为基线,对异常行为进行告警;支持行为分析监控展示,可展示不同行为分析策略的实时数据和基线数据趋势。
*、入侵防御系统
★(*)标准机架式、国产自主可控芯片。
★(*)千兆网络接口不少于*个,*兆网络光口不少于*个,不少于*个*兆光模块;
★(*)整机吞吐率不小于**G,最大并发连接数****;
(*)能够检测包括溢出攻击类、RPC攻击类、WEBCGI攻击类、拒绝服务类、木马类、蠕虫类、扫描类、网络访问类、HTTP攻击类、系统漏洞类攻击事件;
(*)支持自定义攻击检测规则,支持恶意站点防护功能,可支持手动、自动、以及离线升级;
(*)能够检测出包括land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、Synflood、Icmpflood、Udpflood等在内的DOS/DDOS攻击;
(*)产品具备丰富的报表模板,支持查询报表、统计报表、并支持自动生成报表;
▲(*)支持一体化智能安全策略功能以及流量自学习后自动生成推荐安全策略功能
▲(*)入侵攻击特征库数量≥*****、病毒特征库数量≥***W
*、互联网边界防火墙
★(*)*U, 国产自主可控芯片及国符合测评要求并且安全可靠的国产操作系统,内存≥**G、系统盘msata卡≥**G、机械硬盘≥*T,≥*个MGMT口、≥*个HA口、≥*个千兆电口、≥**个千兆光口(满配千兆多模模块)和≥*个*兆光口(满配*兆多模模块),冗余电源,防火墙吞吐≥**G,并发连接≥****,每秒新建连接≥***,应用层吞吐量≥**G,默认包含应用识别功能,含≥*年应用特征库升级许可。默认带≥**个月硬件维保。
(*)支持路由、交换、虚拟线、Listening、混合工作模式、支持手动和LACP链路聚合,可根据源/目的MAC、源/目的IP、源/目的端口、五元组、端口轮询等条件提供不少于**种链路负载算法。
(*)支持IP/MAC绑定,支持跨三层绑定,支持IP/MAC绑定表导入导出,以便对IP/MAC绑定关系进行批量操作。
▲(*)支持DNS Doctoring功能,能够将来自内部网络的域名解析请求定向到真实内网资源,提高访问效率,同时支持通过配置多条 DNS Doctoring,实现内网资源服务器的负载均衡。
▲(*)支持在一台物理设备上划分出不低于***个相互独立的虚拟系统,可根据连接配额及连接新建速率为每个虚拟系统分配资源,实配不少于**个虚拟防火墙授权。
▲(*)支持对达梦、人大金仓等数据库应用、P*P、移动应用、迅雷加密流量、向日葵/Teamview等远程控制软件、Modbus/IEC/OPC等工控物联网协议进行识别控制,支持自定义应用特征。
▲(*)支持NTP DDOS防护,采用阀值检查、源/目的限流、源认证等方式综合进行NTP QUERY FLOOD、NTP REPLY FLOOD攻击防护。
▲(*)支持独立审计策略,支持审计白名单。
(*)支持对接收/发送邮件内容进行审计;
(**)对FTP上传/下载文件内容进行审计。
(**)支持CPU利用率、内存利用率、磁盘利用率、会话数告警及CPU利用率、内存利用率、磁盘利用率等硬件资源实时利用率及其历史使用情况追踪。
(**)内置行为分析功能,对会话、流量等数据进行统计分析,建立业务行为基线,对异常行为进行告警;
(**)支持行为分析监控展示,可展示不同行为分析策略的实时数据和基线数据趋势。
*、日志审计分析系统
★(*)性能参数:事件入库性能≥****EPS;日志源授权≥***个日志源;
★(*)硬件资源:国产自主可控芯片、≥*TB 硬盘,≥* *GE电口;
(*)支持基于IPIP网段协议端口MAC的阻断或放行策略、顶栏显示日志源数、日志数、告警事件数,并且支持下钻查看详细信息;
(*)可选择基于一天、一周、一月进行展示;
(*)支持用户自定义统计效果;
(*)支持全文检索原始日志;支持任意信息、任意时间进行内容查询匹配,支持可选包含/不包含匹配方式;
(*)支持预定义事件概览和自定义事件概览;
(*)支持用户自定义报表样式,可基于日志、关联事件结果生成**多种维度的自定义统计报告;
▲(*)支持依据当前日志存储容量、日志存储开始时间、日均存储量,预估可存储天数并直观展示。
▲(**)支持自定义查询条件,内置不少于***种字段进行推荐选择,可同时添加十条过滤条件,多个过滤条件之间关系可用AND/OR方式进行关联。
▲(**)支持按照日志等级(调试、通知、重要、警告、错误、严重、故障、不可用及其他信息)列表展示日志范式化分析结果、下钻支持日志详情。
**、视域边界安全接入管理平台
★(*)标准≥*U,国产自主可控芯片≥*核心处理器,≥*个电口,≥*千兆光口,≥**G内存,≥*T硬盘,≥*个扩展。平台管理账户为确保系统安全管理过程安全性,支持三权分立,具有系统管理员、系统审计员、系统操作员管理账号,满足等级保护与安全管理要求。不少于****路前端监控管理授权。不少于***点视频数据防护客户端授权。
(*)平台支持用户个性化配置,用户可自定义平台名称、登录页背景、系统logo、浏览器标签页图标。
(*)能够根据用户当前的网络安全状态对系统安全情况进行评级,展示评级结果及主要威胁信息,支持用户自定义安全评级规则,可根据业务需求动态调整安全评级策略。
(*)支持ICMP、SNMP等技术实现全网设备快速扫描并发现管理域内的所有设备,精准识别设备类型,同时支持根据业务管理需求实现对某个网段的优先扫描。
(*)支持对设备进行阻断入网、解除阻断操作,支持分别以设备、用户、部门为单位下发终端安全管理策略。
(*)支持事件的统一管理、事前预防管理、事中处置与记录、事后统计管理,支持禁止终端随意修改IP、禁止随意接入外网、禁止随意共享网络等功能。
(*)支持基于IPIP网段协议端口MAC的阻断或放行策略、
(*)支持对全网设备或部门设备进行漏洞扫描,直观有效管理进度与任务,并形成详细的扫描报告与详情结果,同时支持导出。
(*)支持PC硬件资产盘点,支持个性化展示列、部门筛选查看、导出硬件资产信息等功能。
(**)支持以上条件的单一规则或组合规则的黑白名单管理,终端设备自动匹配并获取对应的访问策略;
(**)支持黑白名单的导入、导出,并支持导出内容可再次导入使用。
▲(**)违规外联:支持不依赖客户端的情况下,监测发现系统所在内部网络外联行为。能够自动发现管理网络内同时连接内网和互联网的设备,并上报相关信息。确认存在非法外联行为后,平台会立即采取相应的阻断措施,并触发报警机制,向管理人员发送报警信息。
▲(**)产发现与准入:平台基于ICMP协议向网络中的 设备发送探测请求,根据是否有响应来判断目标主机是否存活,再完成基本的设备存活检测后,进一步使用SNMP协议获取存活设备的MAC地址、品牌、型号等信息。支持在同一页面下可视化展示设备的数据信息,包括基本信息、入网信息(入网状态、入网时间、当前正在使用生效的准入策略)、开放端口信息、持续在线时长、威胁告警信息、近七天在线状态; 支持鉴别设备的合法性,根据准入控制网段、黑白名单(包括IP、MAC、端口、协议等)等参数对终端进行准入控制;支持对非授权入网、IP/MAC伪造等异常行为进行告警及管控。
▲(**)支持屏幕水印功能,当用户进行相关业务操作时可在屏幕显示水印信息,水印信息包括部门名称、用户名、IP地址等,支持水印信息的自定义配置。
**、视域资产发现及漏洞扫描管理平台
★(*)硬件要求:≥*U高机架式硬件架构,双电源,≥**G内存,≥*T硬盘,≥**GE电口(其中*个电口做管理口),≥**GE光口,支持≥*个接口扩展槽位,配置国产自主可控芯片;
(*)性能要求:可扫描≥***地址(含系统和数据库漏扫),系统漏扫并发任务数为≥*,单任务系统扫描最大并发扫描IP数为≥**;
(*)系统应支持检测的系统漏洞数不少于***,覆盖CVE、CVSS、CNVD、CNNVD、CNCVE、Bugtraq多种漏洞标准;
(*)系统应支持主流数据库漏洞的检测,应包括但不限于:Oralce、Sybase、SQLServer、DB*、MySQL、Postgres、Informix、达梦、南大通用、人大金仓、神通等;
(*)系统应支持目前主流协议弱口令检测,包含TELNET、FTP、SSH、POP*、SMB、SNMP、RDP、SMTP;
(*) 系统应支持国产操作系统、数据库的扫描,国产操作系统包含中标麒麟、华为欧拉、深度、红旗、中兴新支点,国产数据库包括神通、人大金仓、南大通用、达梦。
▲(*)系统应支持检测的系统漏洞数不少于***,覆盖CVE、CVSS、CNVD、CNNVD、CNCVE、Bugtraq多种漏洞标准。
**、视频安全检查工具
★(*)设备要求:检查工具箱要求采用便携式三防笔记本设备,设备符合IP**标准,配置国产自主可控芯片,符合测评要求并且安全可靠的国产操作系统,设备CPU配置不得低于*核心。内存:*G及以上,存储:***G及以上。
★(*)检测兼容:能够与公安部在线检查平台进行无缝对接,对接内容:包括资产信息(ip,端口,品牌,类型,操作系统类型)、安全漏洞信息、弱口令信息、边界违规信息等。对接方式:采用 BS 架构,采用三层架构技术架构,JAVA、go开发。数据库可通过 API 接口对接。能够将检查的网络资产、弱口令、网络资产脆弱性、网络边界完整性等检查结果导入并上传到公安部在线检查平台。能够依托受检单位现有网络,能够将检查的网络资产、弱口令、网络资产脆弱性、网络边界完整性等检查结果导入并上传到公安部在线检查平台。能够依托受检单位现有网络,灵活部署于目标网络中,无需调整网络架构、无需镜像数据分析、无需部署客户端等代理程序即可完成目标网络的安全检查工作。
▲(*)网络资产摸底检查:要求采用基于网络的远程主动扫描的方式实现。要求能够对网络内部的资产进行自动识别和分类,设备类别至少可自动区分为视频监控设备、终端设备、应用服务设备,网络设备、物联网设备等;支持设备品牌、操作系统类别、设备型号等信息的识别和分类;支持条件组合查询和报表生成。能够通过主动扫描方式对资产特征进行自动聚类,支持人工设定某一类特征的设备指定设备的资产类型、品牌等信息。
(*)网络资产脆弱性检查:要求能够对常见视频监控设备漏洞(如海康、大华等)进行扫描检测。要求能够对常见Windows系统漏洞(如永恒之蓝、BlueKeep等)进行扫描检测;要求能够对常见数据库(如Mysql、MongoDB等)应用安全漏洞检测;
(*)要求能够对常见网络应用的漏洞(如OpenSSH、心脏滴血等)进行扫描检测。要求采用安全扫描检测机制,防止安全检测过程造成被检测对象宕机、重启等问题。;
▲(*)网络边界完整性检查:要求以远程网络扫描方式,不需要部署客户端,不需要在互联网等其他网络部署辅助系统,完成对下列违规行为的检测:支持对网络中以NAT或AP模式接入的无线AP设备进行检测;支持终端PC通过USB共享网络方式或通过无线网卡连接手机热点方式进行的非法外联行为检测;支持对终端设备通过双网卡或者网络代理等方式进行的非法外联行为进行检测等;
(*)统计报表与展示:支持生成专业安全检测报告、资产统计报告、报警信息统计报告,报告支持word、pdf等格式导出;支持生成专业安全检测报告、资产统计报告、报警信息统计报告,报告支持word、pdf等格式导出;支持资产明细数据、报警明细数据的导出,数据导出支持excel格式;提供资产、弱口令、安全漏洞、边界完整性检测等多维度的数据汇总及统计分析;安全检测报告、资产统计报告及报警统计报告提供默认模板,支持自定义报表模板,报表模板支持统计种类、项目内容、项目顺序等方式的自定义设置。支持系统运行过程中的实时信息、历史数据进行条件组合查询与统计展示;
▲(*)性能指标:单个B类IP地址范围(有效IP数量不小于****)的一个轮次的扫描时间应小于**分钟。要求单台设备能够支持不少于 **台设备资产的发现和资产识别能力。要求单台设备能够支持不少于**个B类网段范围的设备资产发现能力。
**、入侵防御系统
★(*)网络层吞吐性能≥**G,全威胁应用层吞吐(IPS+AV+应用识别) ≥**G,新建连接数≥***/秒,并发连接数≥*****,国产自主可控芯片;
(*)实际配置接口≥**SFP+光口(含*个*兆单模光模块)、冗余电源;≥*年IPS/AV/ACG 特征库升级服务;
(*)实现静态路由、策略路由、RIP、OSPF、等价路由等路由协议;
(*)支持基于URL管控、安全策略支持自动部署,通过自动部署功能可以学习网络上的访问关系,自动生成安全策略,基于学习到安全策略,手工调整细化,达到精细化配置的要求;
(*)支持策略风险调优,支持安全策略优化分析,支持策略数冗余及命中分析;
(*)支持基于应用风险的自动批量和手动逐条策略调优,可根据流量、应用、风险类型等细粒度展示,并给出总体安全评分,便于用户更好的管理安全策略;
(*)支持的协议识别数量≥****;
(*)集成入侵防御与检测、病毒防护、带宽管理等功能;所有特性全面支持IPv* ;
▲(*)支持一体化智能安全策略功能以及流量自学习后自动生成推荐安全策略功能。
▲(**)入侵攻击特征库数量≥*****、病毒特征库数量≥***W
**、账号集中管理与审计系统
★(*)硬件性能:机架式*U设备,接口≥*个****M电口(支持扩展),冗余双电,国产自主可控芯片;管理资源≥***个,支持license扩容。
(*)支持协议:字符协议:SSH、TELNET;图形协议:RDP、VNC;文件传输协议:FTP、SFTP、RDP磁盘映射、RDP剪切板。
(*)用户管理:支持批量导入、导出用户信息;支持用户手动添加、删除、编辑、设定角色、单独指定登*认证方式;用户登*认证方式支持静态口令认证、手机动态口令认证、Usbkey(数字证书)认证、AD域认证、短信认证、动态令牌认证、Radius认证、生物识别认证等认证方式;并支持组合认证。
(*)资源管理:支持unix资源、windows资源、网络设备资源、数据库资源、 C/S资源、B/S资源;支持批量导入、导出资源信息;支持手动添加、删除、编辑、查询资源,支持变更默认运维端口;。
(*)支持定期变更目标设备真实口令,支持自定义口令变更周期和口令强度。 口令变更方式至少支持手动指定固定口令、通过密码表生成口令、依照设备挂载的口令策略生成随机口令、依照密码策略生成同一口令等方式。
(*)支持命令审批规则,用户执行高危命令时需要管理员审批后才允许执行; 命令审批规则可以指定运维人员、访问设备、设备账号及命令审批人。
(*)支持调用SecureCRT、Xshell、Putty等客户端工具实现单点登*,全面支持IPV*,设备自身可以配置IPV*地址供客户端访问,并且支持目标设备配置IPV*地址实现单点登*和审计;
▲(*)针对基于云盘模式的文件传输操作:用户将文件暂存在系统上,然后一键上传到目标系统或者一键下载到用户本地,同时可通过文件分享功能以URL链接的方式将文件分享给其他用户。
**、网络交换机
★(*)核心交换机,国产自主可控芯片,不少于**个千兆电口,不少于*个*兆光口,带不少于*个*兆光模块
▲(*)交换机支持ID指示灯,运维人员可通过后台点亮便于定位运维设备;
▲(*)支持报文的***.*p和DSCP优先级重新标记;
备注:
*、技术参数“★”部分为必须满足项,不满足按无效投标处理。本项以投标文件“技术规格偏离表 ”内的内容为准,不需要提供其他证明材料。
*、本项目不设置单项设备的最高限价(如投标人单项设备报价超过采购人在系统分包信息中设置的品目金额,不作为无效投标依据。)
