韶关市公安信息网边界接入平台系统建设和检测项目

《韶关市公安信息网边界接入平台系统建设和检测项目》由会员分享，可在线阅读，更多相关《韶关市公安信息网边界接入平台系统建设和检测项目（21页珍藏版）》请在装配图网上搜索。

1、韶关市公安信息网边界接入平台系统建设和检测项目一、项目概述本项目为市公安边界接入平台，包括： 一是构建市级边界接入平台。按照边界安全接入的规范要求，采取区分 链路安全防御的方法，构建集边界保护、身份认证、应用安全、安全隔离和 平台自身安全防护等功能的边界接入平台。二是建设边界接入平台监控和管理系统。按照统一接入管理、统一应用 审计、统一运行监控、统一策略部署的要求，建设边界接入平台的集中监控 和审计系统。二、项目内容根据接入对象不同，边界接入业务划分为社会企 / 事业单位接入、党 / 政 / 军机关接入和公安驻地外用户接入方式。三、技术要求基本技术要求1) 平台建设方案要完全符合公安部颁发的公

2、安信息通信网边界接入安 全规范要求；2) 平台安全体系满足三重防护体系和两个基础设施的安全要求；3) 平台集中监控与审计系统支持部 /省/ 市三级接入平台体系；4) 平台的关键设备：可信边界安全网关、数据交换系统、集中监管与审 计系统通过公安部指定的公安部等级评估保护中心的权威检测，并经 公安部同意在全国公安信息通信网边界接入平台建设中广泛使用。边 界接入平台其他产品也应是获得公安部销售许可的产品。功能要求1) 投标人必须严格按照公安部关于安全接入平台建设的有关文件公安 信息通信网边界接入平台安全规范的边界接入平台要求实施项目建 设，并负责将所有设备按照公安部对边界接入平台的建设要求进行项 目

3、集成。2) 平台必须实现涵盖数据交换和授权访问两类应用、三类接入业务(社 会企事业单位接入、党政军机关接入、公安驻地外接入)完整功能的 平台，外部网络接入业务上，需覆盖包括社会企事业单位接入、党政 军机关接入和公安驻外地接入等各种业务的安全接入。3) 可信边界安全网关实现用户身份认证， 与公安 PKI/PMI 系统同一厂商， 支持证书链认证，支持证书撤销列表(CRL下载、验证，保证接入用 户身份的合法性；4) 可信边界安全网关实现设备认证， 依据设备注册登记信息对通过专线、 vPDr拨号等各种线路方式接入的终端设备进行认证，保证接入设备的 合法性；5) 可信边界安全网关可以根据边界接入的需要，

4、设置角色，指定相应的 资源访问权限，防止非授权访问和越权访问；6) 可信边界安全网关基于角色、权限分配，设置细粒度访问控制策略， 达到非法用户不能访问，合法用户不能越权访问的目的；7) 可信边界安全网关实现传输保护，与客户端之间使用SSL协议对通信过程进行加密和完整性保护，保证数据传输的安全性；8) 数据交换系统可实现不同类型文件、 数据库间的同步和交换， 如 Oracle 数据库、SQL Server数据库、DB2 SY BASE等，能够设置一对多数据 同步,多对多数据同步，支持全表双向同步 . 支持数据库增删改同步。9) 数据交换系统业务扩展性强，接入新的前置业务时，只需在数据交换 系统上

5、作适当的配置即可实现新业务的数据交换， 且不需要增加投资。 源目标数据库表结构一致情况下自动快速匹配，减少配置难度。10) 数据交换系统应实现丰富灵活的内容检查、病毒查杀、格式检查。内 容检查必须能够根据预先定义的规则进行内容过滤检查； 病毒查杀能 够查杀病毒木马等恶意程序 , 并能够更新病毒库； 格式检查支持字段长 度检查、数值范围检查、基于自定义布尔条件判断检查、身份证特定 格式检查、大字段内容还原格式检查、不依赖扩展名文件格式检查。11) 数据交换系统应支持多业务复用： 必须支持多业务接入后 , 各业务之间 不冲突,单独启停其他业务不会影响正常业务 .底层通道独立 .12) 数据交换行为

6、可回溯： 数据交换行为可追溯包括 : 数据来源 , 交换时间 , 是否授权,交换内容, 交换成功等 .13) 数据交换的文件交换支持单向双向文件同步 , 支持各种常见文件类型 , 支持不同操作系统下的文件同步 , 传输文件大小无限制 .14) 数据交换必须支持单向的授权访问功能； 支持TCP/UD协议代理，同时 也用该支持常见协议代理 , 代理需做授权认证 .15) 集中监管与审计系统提供接入平台注册管理功能， 包含平台信息注册、 业务信息注册、使用单位信息注册、设备信息注册、接口信息注册。16) 集中监管与审计系统提供流量监测，能够监测整个平台以及平台内部 各个链路和业务的流量信息。17)

7、集中监管与审计系统提供在线用户统计分析，用户行为审计，业务应 用审计，设备安全审计，异常行为审计，系统备份恢复功能，日志收 集和导出功能和集中管理等功能。18) 平台信息统计分析能够对平台本身进行相关信息统计和分析，包括设 备运行状况，负载情况。19) 实现与公安信息网络运行管理系统对接。内置集成级联上报功能。安全要求3.3.1 系统安全要求1) 提供有效手段保障网络通信基础设施、网络上的各种系统以及系统上 各种应用的正常运行，防止对公安专网信息资源进行非授权访问和操 作，防止通过外网对公安专网的各种攻击行为。包括访问控制、病毒 防护、审计与跟踪、可用性保障等内容。2) 用户身份认证：能与公安

8、 PKI/PMI 体系无缝集成，支持证书链认证， 支持证书撤销列表(CRL下载、验证，保证接入用户身份的合法性。 整个平台须与公安 PKI/PMI 无缝集成，使平台接入终端在通过边界接 入平台安全认证后可使用 PKI/PMI 系统的数字身份证书访问公安信息 网资源。3) 设备认证：能依据设备注册登记信息对通过专线、ADSL拨号、3G无线 等各种线路方式接入的终端设备进行认证，实现设备唯一性认证，防 止非法设备接入。访问控制：能对用户访问公安信息通信网进行细粒 度访问控制。通过身份认证的接入终端只能访问接入平台内的指定设 备，并且只能进行允许的操作，非授权的访问应被阻断。4) 配置安全：单向UT

9、C外网服务器不提供任何服务端口 ，不接受任何服 务请求 , 所有服务请求由内网信任服务器发起 .5) 安全信任链：内外网服务器与安全隔离网闸联动 , 通过证书建立信任关 系, 在数据交换唯一通道形成一条安全信任链 . 增加系统健壮性。3.3.2 通信安全需求1) 保障用户在接入公安专网过程中的身份的鉴别、 数据传输中的保密性、 数据完整性验证等。2) 数据通道保护：基于角色、权限分配、设置细粒度访问控制策略，能 达到非法用户不能访问，合法用户不能越权访问的目的。在客户端和 可信边界安全网关之间建立高强度的安全加密通道，能保证数据传输 的机密性、 完整性，防止公安敏感信息在传输过程中被泄露或被篡

10、改。3) 链路认证：能对应用访问链路进行认证，防止非法链路接入。网络安 全需求。3.3.3 网络安全需求1) 需实现包括社会企事业单位接入、党政军机关接入、移动警务办公接 入等在内的各类业务从链路安全、网络安全、主机安全、应用安全等 层面的安全措施，并将社会企事业单位接入与其他接入链路从物理链 路上隔离建立安全通道，确保链路安全。2) 网络安全防护：需实现通过探针等对接入的行为进行分析，防止非法 和恶意的入侵行为；防病毒服务器对接入流量进行扫描，阻止病毒、 恶意代码对公安信息通信网的渗透，为边界接入平台提供病毒防范功四、设备清单本次招标采购的软硬件货物具体清单:表1-1货物清单序号设备名称数量

11、单位性能指标1数据交换系统2套详见以下2集中监控与管理系统1台详见以下3集控探针2台详见以下4可信边界安全网关2台详见以下5CA身份认证服务器1台详见以下6安全隔离与信息交换系统2台详见以下7防火墙2台详见以下8IDS入侵检测系统1台详见以下9二层交换机2台详见以下10路由器1台详见以下11三层交换机2台详见以下12服务器4台详见以下13机柜2套详见以下14三层交换机1台详见以下五、软硬件技术指标要求数据交换系统表1-2数据交换系统指标项详细要求规格主机包括两台主机，分别部署在两个网络之间，连接两个 网络中应用服务器传输数据，主机之间部署安全隔离 网闸实现隔离环境下进行数据安全交换I/O设备网

12、络每台设备具备2个千兆高速以太网网络接口，可扩展 至最多4个其他操作系统使用安全加固的TopOS安全Linux操作系统数据交换数据库同步支持 SQLServer、Oracle、Sybase DB2等的单、双向 数据交换；无需修改数据库表结构，不涉及代码修改； 可同时发送和接收多个数据库中多个表； 支持多种增量方式；可分别定义增加、删除、修改的 数据传输；根据指定字段值进行条件传输； 支持大字段数据同步交换； 支持异构数据库安全传输；数据传输高度可靠，米用文件落地缓存确认机制进行 保证。文件同步支持多种文件传输方式：专用客户端、FTP SambaNFS高可靠文件传输，文件完整性校验； 文件内容识

13、别检查过滤； 文件传输加密。流数据交换支持包括网络音频、视频、流媒体在内的多种协议数 据传输交换：如 FTP TNS POP3 SMTP等0日志收集收集平台系统内部各网络设备、应用服务器的运行日 志，并同步到内部监管系统，用于平台系统日志分析。数据传输方 向控制可根据实际应用需求配置应用传输方向，可根据管理员配置实现单向 或双向的数据传输交换。数据传输以静态数据格式方式传输，也可根据需要落地到主机上形成静态文件 进行交换。内容过 滤、格式检 查、病毒查 杀可对交换的数据内容进行检查过滤，识别敏感关键字符；对于数据库 记录中的大字段内容可在还原后进行处理；对交换的数据库数据内容 可根据用户定义进

14、行格式匹配检查，防止数据被恶意篡改；内嵌病毒 查杀引擎，可对不同平台下的病毒进行查杀。业务、应 用控制系统可根据管理员配置单独启停数据交换服务；也可根据管理员定义 单独启停任何一个独立的应用。用户认证对系统管理员、普通用户分层次进行管理认证。系统审计对用户、管理员的所有操作均进行审计记录，并对非授权、越权访问 进行记录。系统管理使用基于HTTPS勺安全加密协议进仃管理；可指疋管理终端主机。性能及其它 要求1、稳定性运行时间（MTBF）: 50000小时 2、可实现520Mbps的交换能力，10000个并发会话；数据库到数据库交换最大并发数据表1024；3、数据影射最大字段数256； 4、数据库

15、到数据库交换记录数（100Kb/记录）1000条/秒； 5、数据文件处理文件数（100Kb/记录）800个/秒；数据文件处理吞叶量200Mbps 6、应用层数据交换速度（FTP 200 Mbps； 7、并发客户端数量3000；最大数据文件10G&任务调度粒度为秒级；9、目录监控触发时间1秒；最大传输延时50ms 10、支持 SYSLOGSNMP V2/V311、全国安全隔离网闸制造厂商之一，保证与网闸协议的兼容性。集中监控与管理系统表1-3集中监控与管理系统指标项；详细要求规格主机:标准机架式机箱，1U设备I/O设备网络2个千兆网络接口，可扩展至最多 4个其他:操作系统使用安全加固的TopOS

16、安全Linux操作系统终端认 证对终端用户身份进行认证，只允许合法用户进入平台系统内部提交或米 集数据授权对终端用户进行授权，允许访问指定的应用服务器；对数据交换服务器 授权，允许在指定服务器之间交换应用数据。平台审 计对平台内部所有设备的操作进行审计，包括网络设备、安全设备、服务 器、终端、数据交换服务器等；审计的方式包括系统日志收集等。设备管理对平台内部设备通过SNM或专用客户端进行管理和监控，对平台内部设 备的异常流量、异常关机、异常中断等进行监控。业务管 理对平台内部数据交换服务器上所交换的业务进行集中监管，屏蔽内部数 据交换细节，以业务逻辑方式展现，便于系统管理人员管理、维护。报表输

17、出根据用户选择提供多种形式的图形报表，展现数据交换趋势、汇总数据 交换总量；报表可导出、可打印。系统监管使用动态图形展示整个数据交换平台内部的设备，展示的信息包括：设 备运行状态、设备信息、链路数据吞吐量、终端用户信息；使用拓扑形 式展现，方便系统维护管理人员对系统运行状况实时掌握，易于理解。报警对系统内部出现的异常情况以图形、声音方式报警提示；并可结合网管 系统实现短信报警。级联监管对于同样使用本系统的上下级平台网络系统可直接进行级联监管；对于 其他的平台系统可使用数据库数据导入导出的方式实现（符合公安部标 准）。性能及其 它要求 1、实现对整个内外网数据交换平台的业务、应用、终端、服务器、

18、网络设备监管；并实现对下级系统的管理和向上级网络的级联上报2、稳定性运行时间（MTBF）: 50000小时 3、最大支持业务数量：500； 4、最大监控并发用户数量：2000；5、最大审计用户数量：10000；6、自身内置大型关系型数据库； 7、可在内网实现对全网业务运行状态监控； &可在内网实现对全网设备运行状态监控； 9、可在内网实现对全网设备运行状态的管理； 10、内置级联上报信息系统，满足后期级联上报数据需求。11、全国安全隔离网闸制造厂商之一，保证与网闸协议的兼容性。集控探针表1-4集控探针指标项详细要求规格主机:标准机架式机箱，1U设备I/O设备网络2个千兆网络接口，可扩展至最多

19、4个其他操作系统:使用安全加固的TopOS安全Linux操作系统协议支 持支持SYSLO协议；支持SNMP v2/v3协议性能及其 它要求 1、部署于应用服务区，收集边界接入平台数据交换系统外的网络设备、 应用服务器以及前置机的日志信息，并整理写入到平台监管系统的 数据库2、稳定性运行时间（MTBF）: 100000小时3、全国安全隔离网闸制造厂商之一，保证与网闸协议的兼容性。可信边界安全网关表1-5可信边界安全网关指标项详细要求规格主机标准机架式机箱，1U设备，包括访冋控制模块、审计模块I/O设备网络2个千兆网络接口主要功能 包括用户身份认证、设备认证、访问控制、权限管理、传输加密、终端加

20、固、监控审计等，并能支持与安全监控与管理系统的对接。用户身份 认证与公安系统现有PKI/PMI系统属同一软件厂商，具备良好兼容性，支 持对多种证书链的认证，支持证书撤销列表（CRL下载、验证，保证 接入用户身份的合法性。设备认证依据设备注册登记信息对接入平台的终端设备进行认证，保证接入设 备的合法性权限管理可以根据边界接入的需要，设置角色，指定相应的资源访问权限，防 止非授权访问和越权访问访问控制基于角色、权限分配，设置细粒度访问控制策略，达到非法用户不能 访问，合法用户不能越权访问的目的传输加密与客户端之间使用SSL协议对通信过程进行加密和完整性保护，保证 数据传输的安全性监控审计对接入用户

21、的访问过程进行详细的记录，并实时报送给集中监控与审 计系统，保证用户访问过程可控、可查、可追溯安全加固能实现对客户端软件的自动下载，并可实现客户端的自动启动、外联 网口关闭及自动断网功能，以实现对客户端的安全加固。性能要求1、 稳定性MTBF平均无故障时间间隔）50000小时；2、支持双机热备、支持负载均衡 3、最大新建连接数：1500次/秒 4、最大并发连接数：2500条5、每秒事务数目（TPS： 6500次&最大吞叶量：480Mbps7、最大接入用户数：25000 8、产品必须满足计算机信息系统安全产品第一部分：安全功能检 测身份鉴别类标准要求，满足国家保密局涉及国家秘密的信息系统安全中间

22、件产品技术要求（秘密），并能提供同类项目的有效证明性文件。CA身份认证服务器表1-6 CA身份认证服务器指标项详细要求规格主机标准机架式机箱I/O设备网络大于1个百兆网络接口性能及其 它要求包括证书注册模块、证书签发模块、证书发布模块、密钥管理模块等 四个部分，提供了完备的证书管理功能：1、用户信息注册/签发；用户信息更新；2、证书恢复；证书废除；证书重发；3、微软智能卡证书/计算机证书/域控制器证书签发；4、证书注销列表（CRL与CA证书下载；内置LDAPK务；5、产品在未来3年内符合国家密码技术发展要求,支持ECC算法。& 支持最大用户数量20000个，并发用户数1000同时，它具备完备的

23、产品管理功能，如系统备份/恢复、系统在线升级、 系统日志查询、License在线升级、管理员管理、网络配置等安全隔离与信息交换系统表1-7安全隔离与信息交换系统指标项详细要求产品架构系统架构米用“ 2+T系统架构，即由两个主机系统和一个隔离交 换矩阵组成，主机系统采用 VSP通用安全平台，隔离交换 矩阵基于专用交换芯片实现主机系统间采用自有协议摆 渡数据，确保信任网络和非信任网络之间任何连接的断 开，彻底阻断TCP/IP协议及其他网络协议隔离交换矩 阵自主研发的硬件，无操作系统，外界无法编程控制，而不 是米用低安全性的通用可编程硬件，如网线、SCSk USB等。接口接口配置2U机箱；单电源；可

24、扩展为热备冗余电源；软件系统 ：设 备管理配置功能和定制访问功能（可实现访问控制，但无 应用层过滤功能；内网：标配1个10/100M自适应网络接 口 ,1个10/100M自适应网络扩展接口 ,1个10/100M自适 用应管理口 ,1个10/100M自适应HAD（双机热备口）；夕卜 网:标配1个10/100M自适应网络接口 ,3个10/100M自适 应网络扩展接口 ,1个10/100M自适应管理口 ,1个10/100M 自适应HAD （双机热备口）。性能系统吞吐量不小于91Mbps （单向）延时小于5ms功能模块文件交换实现文件的安全交换，支持 NFS SMBFS等文件系统和多 种细粒度检测控制

25、功能。支持改名传输方式，可实现对源文件改名，标明传输状态。支持增量传输方式，可实现只传输修改和增加了的源文 件。支持传输后删除方式，可实现传输结束后删除源文件。数据库同步支持Oracle、SQL Sybase、DB2等主流数据库，支持不 同类型的数据库间、不同结构的表间的内容同步；支持客户端与网闸间的第二方数字证书方式的身份认 证，确保只有被授权的合法用户才能运行；支持客户端与网闸间的SSL加密传输，确保网络数据传 输的安全定制访问实现特定TCP UDP协议的数据隔离交换，可合作定制开 发针对特定协议的安全检测，实现如黑白名单控制、关键 字过滤等消息传输支持基本字符和文本的消息传输，支持二次开

26、发API，支持 SSL加密传输，提供文本消息的内容过滤攻击防御专业检测引 擎主机系统内置USE统一安全引擎关联安全 应用内网管理联 动遵循CSC关联安全标准，实现与内网安全管理系统联动， 通过Leadsec安全管理系统实现集中安全管理可靠性专用冗余 协议支持MRP多重冗余协议，保障设备的咼口靠性链路聚合:物理端口支持标准，实现链路聚合功能其它与防火墙、入侵检测系统IDS为同一品牌，确保统一遵循 安全标准(CSC)，实现无缝联动。证书资质要求具有计算机信息系统安全专用产品销售许可证 具有国家信息安全认证产品型号证书具有涉密信息系统产品检测证书 具有军用信息安全产品认证证书 具有计算机软件着作权登

27、记证书 具有计算机信息系统集成一级资质 具有国家信息安全认证服务二级资质 具有涉及国家秘密的计算机系统集成甲级资质防火墙表1-8防火墙指标项详细要求操作系统要求具备自主研发的安全操作系统，并提供该安全操作系统的 软件着作权及彩页作为证明:产品硬件规格标准1U设备，标配6个10/100/1000BASE-T端口，最大可扩规格展至 8 个 10/100/1000BASE-T 端口最大无故障时间（MTBF）:80000小时性能参数吞吐量(bps);1.1G最大并发连接数；180万每秒新建连接数；16000可支持扩展IPSecVPN与SSL VPN模块绿色 上网P2P下载控制识别和控制迅雷、BT eD

28、onkey、eMule等常见P2P下载软件P2P视频播放 控制识别和控制PPLive、QQLive PPStream等常见P2P视频播放 软件IM即时通讯软 件控制识别和控制QQ MSh等常用IM软件，一键式阻断IM软件机密 文件传输在线游戏控制识别和控制魔兽、CS征途、联众、天堂、梦幻西游、仙剑情 缘、热血江湖、劲舞团、诛仙、浩方、泡泡堂等多种在线游戏 软件炒股软件控制识别和控制大智慧、同花顺、国泰君安、证券之星、广发证券、 指南针、通达信、股票之星、华安证券、和讯报道、钱龙等多 种炒股软件WEB滤支持基于分类库的URL访问控制，可以对色情、反动等多种负 面网站按类别进行选择控制支持50多种

29、分类库，800万级网址智能特征库支持URL独立特征库，支持增量升级管理米用咼速辨认技术，缩短匹配时间，不影响产品整体性能访问控制状态检测基于源/目的IP地址、MACM址、域名、端口或协议、服务、 网口、时间、用户的访问控制基于源/目的IP地址、端口、服务、网口、时间、应用等安全 策略的带宽控制可基于时间和安全域进行安全隔离，同一时间内网主机只能访 问DMZ区或者只能访问外网透明代理实现基于策略的 HTTP FTP TELNET SMTP POP3等透明代理 和深度过滤IP/MAC绑定实现IP/MAC地址绑定，且支持IP/MAC地址对的自动探测和唯 一性检杳用户认证支持基于客户端的本地认证、无客

30、户端软件的 WE认证，并支 持Radius等第二方认证网络 适应 性接入模式支持透明、路由、混合三种工作模式支持 DHCP Client、DHCP Relay DHCP Server支持PPPoE接入，并具备自动断线重连技术支持纯透明桥接功能路由支持静态路由，动态路由（OSPF RIP等），VLAN间路由，单 臂路由，组播路由等支持基于源/目的地址、接口的策略路由支持多出口路由负载均衡NAT支持双向NAT动态地址转换和静态地址转换，并支持多对一、 一对多和一对一等多种方式的地址转换VLAN支持和ISL VLAN封装协议，支持两种封装的互换以及 VianTrunk带宽管理基于IP地址、服务、网口

31、、时间等定义带宽分配策略支持最小保证带宽和最大限制带宽支持分层的带宽管理动态协议在各种工作模式下均支持 （GK）、SIP、FTP MMSRTSP UPnP XDMCP TNS等多种动态协议VPNIPSec VPN支持标准IPSec协议，能够与 CISCO NETSCREE等知名厂商 的VPNS备互联互通支持预共享密钥、证书等认证方式且支持 X扩展认证支持3DES DES AES等加密算法支持AH和ESF封装模式以及MD5 SHA1 SHA2等通用摘要算 法支持DH1024 DH2048 RSA1024 RSA2048等非对称加密算法支持多出口 VPN且支持NAT穿越支持隧道接力，并可通过隧道接

32、力实现分级的树状 VPN结构部 署GRE/PPTP/L2TF 支持 GRE PPTP、L2TP等 VPN连接SSL VPN支持SSL VPN和 IPSec VPN同时使用米用无客户端认证方式实现隧道安全连接能进行个性门户（portal ）定制化处理，可替换图片、文字等VRC（VPb客户 端）IPSec VPN客户端可与所有支持标准IPSec协议的VPN网关互 联互通支持基于USB Key的证书认证方式IPSec VPN 客户端支持 Microsoft Windows 2000/XP、Vista 等操作系统入侵检 测与 防御入侵检测集成基于统一安全引擎（USE的IDS模块，具备1600种以上 攻

33、击特征库规则遵循关联安全标准（CSC）实现与IDS的联动蠕虫防护米用基于摘要索引的内容加速算法（DCA算法）进行蠕虫病毒 过滤米用基于TCP连接数管理的侦测技术，对感染蠕虫病毒的异常 主机进行疋位实现对 blaster ，nachi，nimda, codered，sasser，slapper， sqlexp，zotob等主流蠕虫病毒的识别、过滤和扌二截抗 DDoS/Do敦击可识别和防御 syn flood、Ping flood、udp flood、teardrop、 sweep Ian d-base、pi ng of death 、smurf、winn uke、圣诞 树、碎片等多种攻击内容 过

34、滤网页过滤支持对网页关键字和 Java、JavaScript、ActiveX进行过滤邮件过滤支持对邮件地址、主题、正文、附件名、附件内容等进行关键 字匹配过滤支持对中转垃圾邮件进行识别和过滤FTP过滤支持对FTP上传和下载文件的控制关联安 全应用关联安全支持关联安全标准（CSC）可实现与IDS等设备的联动可实现与内网安全管理系统（ISM）的联动管理配置系统管理支持友好的Web图形界面配置支持远程SSH和串口命令行配置支持数字证书和电子钥匙两种管理员认证方式， 支持管理员权 限分级支持SNMPT理，与当前通用的网络管理平台兼容可导出可读的配置文件并进行打印存档可进行配置文件的备份、下载、恢复和上

35、传系统监控支持对CPU内存、磁盘、网口、用户在线状态、连接数、路 由表等信息的监控日志报警支持设备内存储和专用事件分析服务器两种日志管理方式支持分级报警，支持SNMP Trap和邮件等报警方式集中管理可通过专用的集中管理系统实现对防火墙的集中设备监控、集中日志审计、安全报警以及防火墙、VPN部分策略的分发等功 能可通过专用的集中管理系统，实现对网络拓扑的管理，基于域 的权限分配和报表自动生成，以及设备的历史状况回放可提供专用的软件实现对防火墙接入用户认证的集中管理，至少可同时管理2048台防火墙咼可 用性负载均衡支持多重冗余协议（MRP）,实现链路备份、端口备份、热备份、 集群备份等支持防火墙

36、多WAN口备份和负载均衡支持基于标准的多端口聚合，实现零成本扩展带宽通过状态同步技术实现232台防火墙的多机集群双机热备在NAT路由、透明模式下支持A-A,A-S模式，且切换时间小 于1秒可在热备和集群工作模式下支持多台防火墙的配置自动同步其它防火墙，安全隔离与信息交换系统与入侵检测系统必须为同一 品牌。证书资质要求具备公安部颁发的计算机信息系统安全专用产品销售许可证具备国家保密局涉密信息系统安全保密测评中心颁发的 涉密 信息系统产品检测证书具备中国信息安全产品测评认证中心颁发的 国家信息安全认 证产品型号证书具备中国人民解放军信息安全测评认证中心颁发 军用信息安 全产品认证证书具备国家版权局

37、颁发的计算机软件着作权登记证书具备信息产业部颁发的计算机信息系统集成一级资质证书具备中国信息安全产品测评认证中心颁发的 国家信息安全认 证信息安全服务资质证书（安全工程类二级）具备国家保密局颁发的涉及国家秘密的计算机信息系统集成 资质证书（甲级）厂商是中国信息安全产品测评认证中心授权培训机构 投标人必须具有原厂商对该项目的支持授权IDS入侵检测系统表1-9 IDS入侵检测系统指标项详细要求产品架 构系统架构产品由控制台软件和探测器两部分组成，探测器使用 专用的一体化硬件平台操作系统探测器的操作系统为 VSP通用安全平台，具备高效、 智能、安全、健壮、易扩展等特点检测引擎探测器米用高性能的USE

38、B 一安全引擎监听接口不少于3个10/100M自适应电口性能最大检测能力不小于100Mbps检测功 能入侵检测综合运用会话状态检测、应用层协议完全解析、误用 检测、异常检测等多种检测技术，并支持自定义协议 和检测事件支持对VLAN Trunk、SSL加密数据等进行检测支持IP碎片重组、TCP流重组、引擎级的事件归并、 报警缩略再分析、规则阈值修改、多网段定义检测等 功能超过3500条的检测规则，全面兼容 CVE BugTraq 等国际标准漏洞库探测器提供本地日志缓存，避免因为控制台与探测器 断开引擎的报警日志丢失；要求缓存空间不小于80Gb病毒蠕虫检测超过900条的蠕虫病毒检测规则支持对已知病

39、毒和未被蠕虫病毒利用的系统漏洞进行检测虚拟引擎一台探测器实体可被虚拟成多个独立的虚拟探测引 擎每个虚拟探测引擎可应用不同的检测和响应策略并行数据采集每个虚拟探测引擎支持多监听口并行数据采集，实现 了在数据汇聚分析基础上再进行攻击检测，解决了大 流量环境引起的交换机镜像丢包问题， 以及单臂路由、 TAP分流环境的会话还原问题状态监控支持对引擎存活状态、引擎运行时间、CPU和内存使用 率、当前监测会话数、报文流量、检测丢包数等的实 时监控和显示响应方 式被动响应方式支持实时的邮件、手机短信、报警灯、焦点窗口等多 种被动报警响应方式。主动响应方式支持与遵循CSC TOPSECOPSECIAP协议的联

40、想网 御、天融信、CheckPoint、Netscreen、Cisco PIX 等 国内外品牌主流防火墙的联动支持SNMFTrap协议，报警信息可被Leadsec、Topsec 等多种安全管理系统接收和处理其它与防火墙、安全隔离与信息交换系统必须为同一品牌， 确保统一遵循安全标准(CSC)，实现无缝联动。证书资质证书要求具有计算机信息系统安全专用产品销售许可证 具有国家信息安全认证产品型号证书具有涉密信息系统产品检测证书 具有军用信息安全产品认证证书 具有计算机软件着作权登记证书 具有计算机信息系统集成一级资质 具有国家信息安全认证服务二级资质具有涉及国家秘密的计算机系统集成甲级资质二层交换机

41、表1-10二层交换机指标项详细要求交换谷量 48Gbps转发性能 35Mpps端口配置可用千兆电接口数量24;千兆光接口数量4MAC地址表 16KVLAN特 性支持基于端口的 VLAN支持基于协议的 VLAN支持策略VLAN 支持 Voice VLAN最大 VLAN数4094;链路聚合支持GE口端口动态聚合；支持至少 20个端口聚合组，每组支 持至少8个GE支持LACP镜像功能支持本地端口镜像和远程端口镜像 RSPAN组播支持 IGMP ( In ternetGroup Ma nageme nt Protocol )Snoopingv1/v2 ;支持组播 VLANQOS每端口支持8个优先级队列

42、；支持IEEE DSCP优先级，支持方式为 SP/SDWRR/SP+SDWR队 列调度，支持基于端口 /流的限速，取小粒度为1Kbps生成树支持 STP/RSTP/MST协、议；访问控制策略支持二到四层策略的报文 ACL功能；支持自动下发ACL自动下 发VLAN和自动下发QoS Profile 功能；安全特性支持认证，支持基于端口的认证和基于MAC的认证；端口 mac地址数目学习限制支持DHCP Snooping防止欺骗的DHCP艮务器；支持ARP入侵 检测；管理和维护支持 SNMP V1/V2/V3 RMON SSHV2支持虚电缆检测功能(VCT)，快速准确定位网络中故障电缆的 短路或断路点

43、；支持单向链路检测(DLDP),有效的防止网络中单通故障的发生；支持通过命令行、Web中文图形化配置软件等方式进行配置和 管理。资质认证要求提供信产部入网证和检验报告路由器表1-11路由器指标项详细要求体系架构整机接口卡插槽数6处理性能整机包转发能力200Kpps固定接口配置2GE USB接 口2接口要求支持 E1/T1、FE、GE POS CPOS接口链路层协议支持 PPP MP HDLC ETHERNETMSTP等链路层协议IPv4协议支持IPv4以及RIP、OSPF BGP4等动态路由协议支持IGMP PIM-DM PIM-SM MBGP MSD等组播路由协议IPv6协议支持 IPv6

44、静态路由、RIP ng、OSPFv3 IS-ISv6、BGP4+支持IPv4向IPv6的过渡技术，包括IPv6手工隧道、6to4隧道、ISATAP 隧道、GRE隧道、IPv4兼容自动配置隧道语音路数 120语音协议支持、SIP协议MPLS支持 MPLS VPN IPSec VPN、GRE L2TP等支持 L3VPN 支持跨域 MPLS/PN(Option1/2/3 )、嵌套 MPLS/PNCE双归属、MCE多角色主机等支持 L2VPN Martini、Kompella、CCC和 SVC方式 支持 MPLS TE RSVP TE安全支持标准和扩展ACL支持包过滤/ASPF防火墙、URPF等多种安

45、全特性QoS支持流量监管：CAR限速，粒度可配，GTS流量整形支持拥塞避免算法：Tail-Drop、WRED支持各种队列调度机制 ：FIFO PQ CQ WFQ CBWFQ可靠性支持接口模块热插拔支持软件热补丁功能，可在线进行补丁升级支持 OSPF/IS-IS/BGP/MPLS LDP GR (Graceful Restart)功能实现主 备引擎倒换时无间断转发支持 BFD Static Route/OSPF/ISIS/BGP/VRRP/TE FRR 等业务扩展支持网流分析、防病毒、WAN优化等业务处理管理特性支持 Console/AUX Modem/Telnet 等管理方式支持 SNMP v

46、1/V2/V3支持RMON支持NTP协议资质认证提供第三方权威机构测试证明材料提供信产部入网证书三层交换机表1-12三层交换机指标项详细要求交换谷量 192Gbps转发性能 95 Mpps电源支持双电源输入接口类型万兆接口数量4可用千兆电接口数量24,千兆光接口数量4,支持百兆千兆SFP 自适应VLAN特 性支持基于端口的 VLAN支持基于协议的 VLAN支持基于 MAC勺VLAN 最大 VLAN数(不是 VLAN ID) 4094链路聚合支持最多8个GE口或4个10 GE端口聚合；支持最多14/26个聚合 组；支持LACP镜像功能支持本地端口镜像和远程端口镜像 RSPANQOS每端口支持8个

47、优先级队列；支持，DSCP/TOS优先级和重新标记能力，支持基于时间段的流分类 和QoSS制能力；支持出方向的流量限速功能(Egress Car )；提供广播风暴抑制功能；组播协议支持 PIM-DM PIM-SM IGMP IGMP Snooping 等协议支持MLD MLD Snooping等IPv6组播协议路由协议支持 IPv4 静态路由、RIP V1/V2、OSPF BGP支持 IPv6 静态路由、RIP ng、OSPFv3 BGP4+支持IPv4和IPv6环境下的策略路由支持IPv6手动隧道、6to4隧道和ISATAP隧道可靠性支持VRRPv2/v3（虚拟路由冗余协议）；支持RRPP（

48、快速环网保护协议），环网故障恢复时间不超过 200ms支持 STP/RSTP/MST协议；支持IPv6 ACL;支持出方向ACL安全特性支持IP+MAC+POR的绑定；支持DHCP Snooping防止欺骗的DHCP服务器；管理和维护支持 SNMP V1/V2/V3 RMONJ SSHV2支持sFLow,可以对出入方向的报文按比例随机抽样，灵活实现报文采集；支持虚电缆检测功能（VCT），快速准确定位网络中故障电缆的短路或 断路点；支持通过命令行、Web中文图形化配置软件等方式进行配置和管理。资质认证要求提供信产部入网证和检验报告要求提供信产部IPv6入网证和检验报告服务器表1-13服务器指标项

49、详细要求规格主机标准机架式机箱I/O设备网络大于1个百兆网络接口其它要求CPU Quad-Core In tel? Xeon? 5410 内存：4G DDR2 667硬盘：146G SAS网络：Broadcom 10/100/1000M x 2机柜表1-14机柜指标项详细要求其它要求国产主流知名品牌，19英寸、1000mm 42U标准机柜含LCD显示器、海讯16 口 KVM切换器、键鼠、三块隔板、黑色、四个风 扇、2路12 口 PDU 1路24 口配线架三层交换机表1-15机柜指标项详细要求交换谷量 96Gbps转发性能 71Mpps端口配置可用千兆电接口数量48;千兆光接口数量4MAC地址表

50、 16KVLAN特 性支持基于端口的 VLAN支持基于协议的 VLAN支持策略VLAN,支持 Voice VLAN最大VLAN数4094;链路聚合支持GE口动态聚合；支持至少20个端口聚合组，每组支持至 少8个GE支持LACP镜像功能支持本地端口镜像和远程端口镜像 RSPAN组播支持 IGMP ( In ternet Group Ma nageme nt Protocol ) Snoopingv1/v2 ;支持组播 VLANQOS每端口支持8个优先级队列；支持IEEE DSCP优先级，支持方式为SP/SDWRR/SP+SDWR队 列调度，支持基于端口 /流的限速，最小粒度为1Kbps生成树支持

51、 STP/RSTP/MST协议；访问控制策略支持二到四层策略的报文 ACL功能；支持自动下发 ACL自动 下发VLAN和自动下发QoS Profile 功能；安全特性支持认证，支持基于端口的认证和基于 MAC的认证；端口 mac 地址数目学习限制支持 DHCP Snooping防止欺骗的 DHCP服务器；支持 ARP 入侵检测；管理和维护支持 SNMP V1/V2/V3 RMONJ SSHV2支持虚电缆检测功能(VCT)，快速准确定位网络中故障电缆 的短路或断路点；支持单向链路检测(DLDP),有效的防止网络中单通故障的发 生；支持通过命令行、Web中文图形化配置软件等方式进行配置 和管理。资质认证要求提供信产部入网证和检验报告注：以上加“”的技术参数指标必须满足，否则作无效投标处理六、项目要求公安信息网边界接入平台建成后， 须经公安部授权的安全测评机构进行 安全检测合格后方可正式入网运行。(检测费用由中标方承担，并包含在本次 招标总报价当中，采购方不再另行支付任何费用。)七、工期要求合同签订后三十个工作日内完工，并提供详细的完工时间表。八、付款方式签订合同后付 30%，项目验收合格后先付 65%，余款在验收合格后 12 个 月付清。