安全审计系统

第二章招标项目内容、数量、规格和技术要求

核心数据和核心设备的安全是数据中心管理的重中之重。05年以来我市劳动保障数据中心网络安全防护管理不断加强，陆续配置了防火墙、防毒墙、网闸等安全设备，建立了数据级异地容灾系统，较好地保障了劳动保障网络信息系统的稳定安全运行。但因经费等原因，数据中心在核心设备和核心数据安全防护方面还相对较弱，按照劳动保障网络信息系统安全等级保护的要求和数据中心网络安全管理实际需要，为进一步完善劳动保障网络信息系统安全防护体系，提出本次网络安全设备采购需求。

一、网络安全设备采购需求

（一）网络安全设备采购清单：

分类设备名

称

基本目的基本参数要求

数量

备注

网络安全防御

千兆

防火墙

防护核心数据安

全，提高整个网络

可靠性

2U机架式结构；最大配置不少于24个接口，现

配8个千兆SFP（含4个原厂SFP光模块）和8

个10/100/1000BASE－TX电接口，2个

10/100/1000BASE－TX管理口。要求接口支持STP

协议。网络吞吐量不少于5G，最大并发连接数不

少于200万，每秒最大新建连接数不少于5万，

现配置双电源。

2台原厂

三年

质保

IPS入侵

防御系

统

抵御网络攻击，防

护网络系统安全

1U机架式结构，最大配置不少于24个接口，现

配4个SFP口（含4个原厂SFP光模块）和4个

10/100/1000BASE－TX接口，支持4路Bypass

功能，2个10/100/1000BASE－TX管理口，吞吐

量不少于6G，具有3000条以上的攻击事件，三

年特征库升级服务

1台原厂

三年

质保

网络交换设备24口二

层交换

机

根据网络整合需

要添置，与核心交

换机H3C 9508对

接

H3C S5100-24P-SI 24个10/100/1000Base-T以

太网端口和4个复用的1000Base-X SFP千兆以

太网端口（Combo）

4台原厂

三年

质保

48口二层交换

机根据网络整合需

要添置，与核心交

换机H3C 9508对

接

H3C S5100-48P-SI 48个10/100/1000Base-T以

太网端口和4个复用的1000Base-X SFP千兆以

太网端口（Combo）

3台原厂

三年

质保

SFP光纤

单模模块用于H3C光纤连接

用，10KM

H3C 光纤单模模块，有效距离10KM 4个原厂

三年

质保

数字认证

系统

数字认

证系统用于浙江省社会

保险网上申报系

统统一软件安全

认证

网关支持多种签名数据，支持原文包含模式及原

文分享模式的PKCS＃7签名的验证。

并发用户数>200，最大吞吐量>50Mbit/s。

支持B/S结构和C/S结构。

支持符合X509标准的各种数字证书的签名验证。

支持国内多种数字证书的签名验证，如：ZJCA、

CFCZ、SHECA颁发的证书。

多种开发接口支持，如：C/C++、、JAVA、

VB、DELPHI、POWERBUILDER等。

验证结果除了包括是否正确值外，还需要包括：

签名用户的证书、原文、签名值(1024bit)等。

1台原厂

三年

质保

行为

审计设备网络访

问行为

审计系

统

对用户上网行为

进行审计

2U机架式结构；包括2个可插拨的扩展槽, 可在

用户现场升级端口无需返厂，配置2个

10/100/1000BASE－TX数据采集口，2个

10/100/1000BASE－TX管理口，最少400G存储空

间，支持双电源。

1台原厂

三年

质保

安全

管理软件安全设

备与策

略管理

系统

实现劳动保障网

络系统内所有安

全设备的分级部

署和集中监控管

理

系统要求能实现整网安全设备的网络拓扑管理、

设备策略管理、用户管理、CA管理、日志管理，

具有设备监控报警、设备升级管理、查询及统计

分析功能。要求界面美观、简洁易操作，支持基

于角色的权限划分和管理。

1套原厂

三年

质保

（二）采购主要设备技术参数要求

1、千兆防火墙

指标项

技术指标要求

系统架构★采用专用硬件架构与专用安全操作系统，基于操作系统内核的会话检测技术，专用的安全操作系统具有自主知识产权，硬件设备可以机架安装。

★采用双安全操作系统，防止配置不当或防火墙系统故障造成的网络中断，充分保证了系统的稳定性。

★软件采用模块化结构设计，可以扩展IPSEC VPN，SSL VPN，AV等功能。

性能指标★2U机架式结构；最大不少于24个接口,包括3个可插拨的扩展槽, 可在用户现场升级端口无需返厂，现配8个千兆SFP（含4个原厂SFP光模块）和8个10/100/1000BASE－TX 电接口，2个10/100/1000BASE－TX管理口。接口支持STP协议。配双电源。

★网络吞吐量不少于5G

最大并发连接数不少于200万

每秒最大新建连接数不少于5万

FW功能参数工作模式支持透明、路由、透明及路由混合模式

支持单对单、单对多、多对多的地址转换功能

支持路由、透明模式下的虚拟系统功能，支持NAT模式下的虚拟系统功能

支持每个虚拟系统具备独立的管理权限、安全策略，且虚拟系统间互不干扰

可对DMZ区服务器实现保护，如替换服务器（FTP、SMTP、POP3、telnet,HTTP）的BANNER 信息

支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤；支持对移动代码如Java applet、Active-X、VBScript、Java script的过滤

动态端口支持协议：H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP，并对其实现安全控制

支持服务器负载均衡功能，在没有专业均衡设备的条件下，通过防火墙实现多台服务器的性能叠加

支持多链路备份功能，以实现链路层高可用性

支持H.323/SIP的高可用性

支持策略路由，可基于源地址选择路由

支持动态路由协议RIP/OSPF/BGP等

★具有MPLS网络数据的安全控制

支持使用一次性口令认证（OTP）、本地认证、双因子认证（SecureID）以及数字证书（CA）等常用的安全认证方、支持RADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方式；

IPS功能具有对HTTP、SMTP、POP3、FTP等协议的深度内容过滤，具有URL、关键字过滤

支持对移动代码如Java applet、Java script等的过滤

具有MSN、QQ、阿里旺旺、google talk等Instant Messenger通信，并可以对于这些应用进行登陆限制,支持根据登陆等帐号进行登陆限制

可限制BT，eMule，讯雷等多种P2P应用，可以统计P2P流量和连接数，可以控制P2P流量的带宽

可以识别并阻断以下攻击行为：

land 、Smurf、Pingofdeath、ip_option、teardrop、targa3、ipspoof、Portscan等

VPN功能（IPSEC ）支持与防火墙、SSL VPN统一的认证体系，支持本地认证、双因子认证（SecureID）以及数字证书（CA）等常用的安全认证方、支持LDAP、域认证等安全认证方式；

支持多路VPN隧道间备份、负载均衡；

支持链路叠加、支持手工及智能选路；