交通运输部南海航海保障中心广州通信中心服务器网闸IPS...

交通运输部南海航海保障中心广州通信中心服务器网闸 IPS 项目要求
一、资质要求：
1.本项目不接收联合体报价，不允许只对部分内容进行报价。

2.上传营业执照、组织机构代码证、税务登记证。

3.因设备需要及时提供售后服务,要求是广州地区或在广州有服务机构的供应商参与。

4. 为保证产品质量和售后服务，竞价时，服务器、网络安全隔离与信息交换产品和网络入侵防御产品须提供原厂商（戴尔）（网神）针对本项目的售后服务承诺函并上传扫描件.
三、技术参数
1、商品分类：服务器
参考品牌：DELL
规格型号：PowerEdge R820
数量：2
服务：3年当日 4小时（24X7）上门服务（配件+人力)，人工、配件、交通等任何费用全免；高级软件支持；原厂本地技术客户经理24×7电话支持；要求提供原厂商正式服务承诺函；
备注：★整体要求
2U机架式，国际知名品牌，2013年国内市场X86服务器出货量前三名；需提供IDC 盖章的报告证明。

★CPU:4颗英特尔至强E5-4607v2 CPU
★内存: 64GB (8x8 GB) 1333 MHz单列，内存镜像, 交叉存取, 内存热备用（48个内存插槽，最大支持1.5TB，最高1600 MHz)
RAID :支持RAID 0,1,5,10, 50 512MB NV 高速缓存（缓存支持1GB，闪存保护）；支持双RAID卡技术
网卡集成四口千兆以太网卡；可选intel或Broadcom；可选10G网卡光口或电口；扩展槽6* PCIe G2
硬盘:8*300 GB 2.5英寸15K RPM 6Gbps SAS热插拔硬盘，最高支持16块SAS/SATA 2.5硬盘扩展
HBA:2张双口4Gb FC HBA卡
光驱:内置DVD ROM 光驱
操作系统：Microsoft Windows Server 2008 x64 R2 SP1
PCI-E硬盘：支持PCI-E SSD热插拨硬盘，最多可以支持四块
SD卡：支持内置双SD卡模块，可用于快速虚拟化部署
风扇：支持免工具维护的热插拔冗余风扇系统，支持动态智能风扇调速
管理功能：可选远程管理卡，具有单独的管理网口，不依赖主机操作系统进行远程操作，独立远程管理卡不占用PCI插槽，支持视频重定向，服务器复位、重新启动、开机/关机，远程虚拟介质(CD/DVD/软驱/USB存储固态盘)，可选内置不低于8GB闪盘，用于紧急的软件诊断，存放常用驱动程序，升级补丁，操作系统映像文件等，支持加密连接 (SSL)。

前面板上配备有可编程液晶屏，可显示默认或定制信息，包括IP地址、服务器名称、金牌支持服务编号等。

如果系统发生故障，该液晶屏上将显示关于故障的具体信息。

主板集成嵌入式管理控制器，可一站式地完成操作系统的部署，包括内建驱动程序安装、固件更新、硬件配置和问题诊断。

不需要辅助光盘，在内嵌管理器中快速部署驱动、RAID、Firmware；不需要辅助光盘/软盘，实现快速安装系统。

电源：热拨插冗余双电源模块（1100W）,可选直流电源
2、商品名称：安全隔离与信息交换系统
参考品牌：网神
参考型号：G1500-E026P-GS
数量：1
服务：厂家三年保修
备注：硬件规格:系统内部采用“2+1”模块结构设计，即包括外网主机模块、内网主机模块和隔离交换模块；内外端机为网络协议终点，彻底阻断各种网络协议，保证信任网络和非信任网络之间链路层的断开，彻底阻断TCP/IP协议以及其他网络协议自主研发的基于安全芯片的专用隔离部件，无操作系统，外部无法编程控制，全硬件交换
内外网主机系统与专用隔离部件之间采用高性PCI-E总线连接，消除性能瓶颈
★网闸内网：6个10/100/1000M Base-T端口，2个SFP插槽，1个Console口，2个USB口；
★网闸外网：6个10/100/1000M Base-T端口，2个SFP插槽，1个Console口，2个USB口
标准2U机箱，单电源
内、外网分别具有液晶屏，能够显示产品品牌、型号、CPU/内存占用率、网络接口状态等信息
内、外网分别具有独立的HA口，实现双机热备及负载均衡
性能参数:内部交换带宽5Gbps，吞吐量420Mbps
系统要求:采用基于linux内核的多核并行安全操作系统SecOS
安全管理:内、外网分别具有独立的管理接口，而不是通过网络接口管理，也不是通过内网一个管理接口完成全部管理
提供基于https的图形化安全管理，支持用户名/口令、数字证书等多种认证管理方式
支持跨网段管理，实现管理终端IP地址和端口的访问控制
管理员及审计员区分并独立，支持分权管理，对管理员角色定制，可以添加多个管理员角色，并定制权限
支持管理员登录失败锁定次数、锁定时间和超时时间的设定
主模块:支持配置管理，能够对单独模块及全部模块配置进行配置导入导出具有系统补丁管理功能
支持设备诊断信息导出
支持许可证下载，方便维护管理
通过WEB管理界面进行设备的远程关闭及重启功能
支持NTP网络时间同步；
支持内外端机系统时间同步
提供调制工具，其中包括：trace、connect、tcpdump、ping、arp等
提供设备运行状态检测、系统资源监控
支持对网络接口模式进行设定（支持网闸同一侧网络接口桥模式设定或bonding设定）、MTU修改，进行灵活部署
支持默认路由、静态路由及基于源地址的策略路由功能
支持IP/MAC地址绑定和自动探测
文件交换:支持文件传输方向控制：单向传输和双向同步
★支持NFS、SMB、FTP等文件传输协议实现文件同步。

支持不同文件传输协议之间的文件同步，如：NFS与SMB之间的文件同步(提供证明截图)
文件交换:模块支持病毒检测功能，支持通过文件大小控制病毒查杀
★支持多种同步模式：完全一致、完全复制、首次复制+新增、源端移动、源端删除等多种模式
文件交换支持传送优先级，可根据文件大小、后缀名等多种方式进行优先级排序传输支持断点续传
支持无客户端传输方式，不需要安装任何客户端软件
支持专用文件交换客户端，通过与网闸之间认证、数据加密后实现文件交换
支持被动传输方式，设备提供共享空间被动接受用户提交的文件
支持子目录同步控制和二进制文件同步控制
支持空间限制、文件类型限制、文件数量限制、文件大小限制、修改时间限制
可以设定同步任务的循环周期和开始时间
支持暂缓传输文件控制
提供关键字、黑白名单信息过滤，发送白名单、发送黑名单、接收白名单、接收黑名单等多种组合控制方式
支持文件名及后缀名过滤，同时支持文件类型识别过滤，即不基于后缀名的过滤
支持任务运行标记
数据库同步支持Oracle、SQL Server等多种主流数据库同步
不需要更改数据库结构和添加数据表，不影响数据库服务器性能
★同步由网闸主动发起并完成，不需要第三方软件支持（无需在数据库安全任何第三方软件，支持windows、linux、unix等多种数据库操作系统类型
网闸不需要开放任何服务端口，避免造成漏洞
支持异构数据库同步，实现不同表结构和不同数据库类型之间的转化
支持一对一、一对多、多对一数据库同步
支持周期复制、实时复制、增量更新等多种同步方式
支持同步冲突策略，可自定义覆盖、丢弃冲突策略
支持设定同步时间和同步周期
支持大字段和二进制字段的数据同步
支持字段级同步
支持双向同步
邮件访问:
邮件模块支持病毒检测功能；支持通过文件大小控制病毒查杀；支持超长邮件限定是否接受
支持SMTP、POP3通用协议，支持SMTP认证
支持垃圾邮件过滤，支持对邮件内容和附件的过滤
支持SMTP、POP3用户名过滤
支持对邮件的数字签名
支持邮件地址、主题、内容及附件关键字过滤
支持对附件及其附件的大小和类型进行过滤控制
能够对邮件访问的源/目的地址、端口进行访问控制
支持任务运行标记
支持任务运行时间控制
数据库访问:
支持SQL、ORACLE、DB2、SYBASE等主流数据库的访问
支持访问用户名过滤
支持数据通道配置
支持任务运行标记
支持任务运行时间控制
FTP模块:★支持透明模式、代理模式及混合模式(提供证明截图)
FTP访问模块支持病毒检测功能，支持通过文件大小控制病毒查杀；
支持FTP主动、被动工作模块转换
★支持禁止文件断点续传功能
采用端到端的安全通道式访问
支持对访问用户的限制
不仅支持传输文件扩展名过滤，而且可以根据文件内容识别进行文件类型过滤
支持PORT命令端口范围控制
支持传输文件中文件名控制
支持FTP访问命令过滤
支持访问时间控制
支持对访问的FTP服务器地址的重定向
支持源地址和目的地址控制
支持最大连接数控制
支持单个IP最大连接数限制
支持任务运行标记
安全浏览:支持代理模式、透明模式
安全浏览模块支持病毒检测功能，支持通过内容长度控制病毒查杀；支持图片文件、媒体文件等文件类型病毒检查；可设定病毒扫描内容最大长度。

支持对代理上网端口的进行控制
支持URL后缀黑白名单控制
支持MIME类型细粒度控制，如网页中的应用程序、视频、音频、图像、文本等进行细粒度控制
支持对HTML细粒度控制，如网页中的Script脚本、ActiveX脚本、java applet、cookie 等
支持HTTP方法控制，如POST、GET、HEAD、CONNECT等
支持断点续传控制（提供功能截图）
支持用户名口令认证、数字证书认证、LDAP、RADIUS等多种认证方式
支持用户上网的IP控制
支持用户上网时段限制
支持用户连接数限制
防护设置:
支持入侵检测功能，可对网页攻击、缓冲区溢出攻击、后门/木马、P2P、病毒/蠕虫、拒绝服务攻击、扫描类攻击等多种攻击类型进行实时检测并记录日志
具有防病毒模块，支持在线升级、离线升级等病毒库升级方式。

可针对文件交换、安全浏览、FTP访问、邮件访问等多种模块进行病毒防护
抗Dos攻击功能设置
ICMP应答功能设置
告警中心:设备提供告警，支持声音告警、邮件告警等告警方式
厂商资质要求:厂商具备国家保密局颁发的《涉及国家秘密的计算机信息系统集成资质证书》（甲级）
★厂商通过ISO20000信息技术服务管理体系认证，要求提供证明文件
★厂商为互联网安全研究中心应用安全联盟会员，提供会员编号证明；
★具备国家信息安全测评信息安全服务资质（安全开发类一级）；
具备中国信息安全产品测评中心颁发的《国家信息安全认证信息安全服务资质证书》（安全工程类二级
产品资质要求:★公安部计算机信息系统安全专用产品销售许可证(三级)
★国家保密局涉密信息系统产品检测证书
★国家信息安全测评信息技术产品安全测评证书（EAL3千兆）
★中国国家信息安全产品认证证书（二级）
★军用信息安全产品认证证书（军B级）
★参与《军用网络安全隔离交换产品通用要求》标准编制，要求提供证明文件
★国家版权局计算机软件著作权登记证书
3
3、商品名称：网络入侵防御产品
参考品牌：网神
参考型号：P5000-T010P-GS
数量：1
服务：厂家三年保修
备注：接口规格要求：至少满足6个10/100/1000M自适应以太网口
支持IPS/IDS检测路数：至少提供2路IPS或5路IDS；不会受license限制影响防御路数
内置Bypass：支持内置2路电口Bypass功能
机箱电源要求：标准1U机箱,单电源
IPS策略开启后吞吐量：吞吐率≥1Gbps
最大并发连接数：最大并发连接数≥120万
工作模式：支持IPS模式、IPS学习模式、IDS模式、IDS监视模式、Forward 模式、Mirror模式等多种模式，支持直路和旁路同时部署，提供产品界面截图；
具有完整的虚拟IPS功能，一台设备虚拟多个设备，每个虚拟设备不同内存空间、不同检测策略、不同时间控制，满足复杂网络环境
安全策略：内置3000种以上的签名特征, 其中内置僵尸网络(Botnet)特征规则数不少于250条, 提供原厂商盖章的不少于250种僵尸网络特征库的产品界面截图；可自定义入侵攻击和应用软件的特征，可依据：IP、TCP、UDP、IGMP、ICMP等L3、L4各项参数定制特征。

定制选项完全符合TCP/IP通讯协议标准，也可全面定制TCP/IP 应用层的特征比对内容，不受通讯协议限制；
系统内置Default IDS 模板、Default IPS 模板、web系统防护模板、探测扫描攻击防护模板、综合网络防护模板、P2P应用模板、IM及恶意网站访问控制模板等至少7种有针对性的策略模板；
可自定义策略以及策略运行时间；
支持基于安全区、IP地址（组、段）、规则（组、集）、时间、动作等对象，定制不同的规则和响应方式，提供产品功能截图
安全事件监控：对事件的监控必须支持实时监控；
统计监控器要能在一个配置页面中综合显示网络流量监控、告警等级统计、威胁分布图、攻击源IP统计、目的IP地址统计，此监控必须是通过实时采样及统计分析的实时数据
基本检测功能：采用全面深入的协议分析技术，结合模式匹配、协议识别、协议异常检测、关联分析等多种技术，准确识别各种攻击，能够检测各种主要的网络应用层协议；
系统须可支持在IEEE 802.1Q VLAN、MPLS、QinQ、WCCP、GRE、IPV6环境内进行检测
阻断蠕虫传播 .防御操作系统漏洞攻击: 在不影响合法流量正常通信的前提下，可以阻止拦截蠕虫、间谍软件、木马、IM即时通讯、网络在线游戏、P2P下载、P2P在线视频等系统须具备双向检测能力﹐并可自定义检测方向，提供产品支持双向检测及自定义检测方向的功能；
IPS能发现蠕虫入侵，并能立即丢弃入侵的数据包，让蠕虫无法顺利扩散；
★可针对Windows、Unix、Linux、ios、安卓、windows Mobile、Symbian等操作系统的弱点进行防御，
Web系统攻击防御：可针对IIS、Apache等不同的Web服务器程序弱点进行防御，阻断外部SQL注入攻击
防御木马：检测基于ActiveX、XML、VML、MDAC等漏洞，可阻止访问者在浏览网站时被诱导植入木马的攻击；具有丰富的漏洞特征库可以实现对木马的精准拦截
间谍软件：可通过监测下载可执行程序、ActiveX、Java applet等活动，实现阻止间谍软件通过广告、浏览器漏洞、自定义ActiveX插件等渠道实现安装
阻挡BotNet僵尸网络联机：可依据BotNet僵尸网络实时黑名单（RBL）以及特征码，侦测并切断僵尸网络连接，提供僵尸网络RBL功能
三/四层DoS/DDoS防护：可以双向阻断TCP/UDP/IGMP/ICMP/IP Flooding、UDP/ICMP Smurfing等各种类型的DoS/DDoS的攻击，至少支持包括XDoS、SUPERDDoS、FATBOY 等5种以上DoS/DDoS攻击，提供至少50种Dos/DDos防护产品功能
七层 DoS/DDoS防护：支持基于单位时间内访问特定服务次数来阻断未知类型DoS/DDOS攻击，如针对Web、DNS等服务的攻击
虚拟通道管理：支持对SoftEther、无界、自由门、 TinyVPN、 PacketiX 、HTTP-Tunnel、 VNN等流行的虚拟通道实现阻断管理
带宽管理：支持限制连接传输宽带，可精准到1Kbps，限制传输总量等多种处理方式，提供限制传输总量产品功能
响应方式：系统须具备实时警报功能，可透过管理Console、E-Mail Alert、syslog 等方式通知管理者，并可显示实时攻击事件信息﹐及透过SNMP警示设备本身状况；支持丢弃数据包、中断连接、监控、事件记录等；
支持与防火墙联动；
管理/报表：可生成查询报表、自动报表、统计报表、一键报表、交叉报表。

并支持定时自动发送报表；
支持web界面及命令行下的管理，web管理界面为全中文界面
集中管理：支持集中控制、集中管理功能，可集中进行安全监控管理和配置管理
可靠性要求：支持web界面及命令行下的管理，web管理界面为全中文界面
支持硬件Bypass,保证设备在断电的情况下，不会引起网络中断；
支持软件bypass，保证设备在下发策略、编译应用策略时，不影响网络以及探测器与管理器之间的正常通讯；
支持冗余部署，基于HA网络物理接口，可实现在设备宕机、端口坏等故障下的主机和从机之间及时切换；
厂商资质要求:厂商必须是GB/T 28451-2012（信息安全技术网络型入侵防御产品技术要求和测试评价方法）标准起草单位之一，提供相关证明文件
厂商加入微软MAPP合作伙伴，提供网站链接截图或相关证明文件
具备国家保密局颁发的《涉及国家秘密的计算机信息系统集成资质证书》（甲级）具备中国信息安全产品测评中心颁发的《国家信息安全认证信息安全服务资质证书》（安全工程类二级）
★具备信息安全服务资质认证——应急处理服务资质（一级）
★具备信息安全服务资质认证——风险评估服务资质（一级）
★厂商为“信息安全等级保护关键技术国家工程实验室”参建单位之一，要求提供相关证明文件。