太原市财政局网络终端安全防护系统公开招标采购公告

序号

名称

产 品 描 述

数量

采购预算（元）

1

※防火墙

一、硬件设备可以机架安装，介于设备本身为网络安全设备，面板上不可配置液晶屏，以防止IP、CPU、内存等敏感信息泄露。

二、标准机箱，1U机箱，配置不少于6个10/100/1000BASE-T接口，不少于1个可插拨的扩展槽，单电源；防火墙吞吐率≥1Gbps ，最大并发连接数≥100W。

三、功能要求：

1）特性：支持静态路由、策略路由,要求支持ECMP与WCMP的路由均衡方式，并且能够根据预设探测条件实现动态的链路切换；支持ISL与802.1Q的接口封装和解封；要求至少支持4路ADSL拨号接入，多ADSL链路能够基于ECMP、WCMP进行路由均衡，能够针对每条ADSL链路单独设置保证带宽；

2）网络应用自学习并且能够根据自学习结果生成相关安全策略；

3）具有防共享接入特性，能够有效识别、报警并阻断局域网网络共享行为；

4）具有心跳接口物理备份及二级心跳接口功能；

四、系统管理：

1）要求具有配置文件自动定时上传到指定外部服务器功能；

2）身份认证：认证客户端支持一次性口令认证（OTP）、本地认证、证书认证和免客户端方式认证；认证服务器支持本地认证服务器和第三方认证，如RADIUS、LDAP、TACACS、SECURID等；

3）支持多达4因素的组合捆绑认证（用户名口令、数字证书、短信、硬件特征码、指纹认证）；

4）支持统一用户管理，防火墙、IPSEC VPN和SSL VPN使用同一套用户认证管理系统；

5）支持用户口令复杂度设置、口令长度设置、密码过期时间设置、首次登陆口令修改、密码找回（短信、邮件等）等功能。

2台

60万

2

入侵防御升级

一、入侵防御设备升级防病毒模块；

二、企业版快速扫描查杀病毒模块，含1年病毒库升级服务许可；防病毒吞吐率≥400Mbps；

三、功能要求：

1）要求同时支持文件型和网络型病毒查杀；

2）支持400万以上病毒检测规则；

★3）为保证项目顺利实施，要求投标人本次所投报的产品与用户单位现有的入侵防御系统(天融信入侵检测TopIDP3000)可以兼容。

1套

3

服务器

1、2U机架式高性能服务器；

2、处理器：支持2个英特尔 Xeon E5-2600V4系列处理器，本次配置2颗Intel Xeon E5-2609V4 处理器(8核 1.7GHz，20MB，共享三级缓存，85W)；

3、内存：支持24个内存插槽，支持高级ECC、在线备用内存、内存镜像、故障内存隔离、DDDC/SDDC等高级功能，本次配置32GB DDR4内存；

4、硬盘：支持24个热插拔2.5寸或者12个3.5寸SATA/SAS硬盘，本次配置3块300G 10K SAS硬盘；

5、RAID：支持Raid0/1/10/5/6/50/60以及3个硬盘镜像与调整缓存读写比例等功能，支持服务器在故障断电情况下阵列卡缓存数据保护不受时间限制；支持RAID 6及RAID ADM高级镜像，本次配置 1个智能阵列P440ar（2GB FBWC）；

6、网络：标配1个网卡专用插槽（不占用PCIE扩展槽，非主板集成），本次配置4个10/100/1000M-BaseT 多功能以太网接口；

7、I/O扩展：不少于6个PCI-E 3.0插槽；

电源及配件：支持铂金版热插拔电源，配置1+1冗余电源。

2台

4

终端安全管理系统

1、控制中心：采用B/S架构管理端，具备设备分组管理、策略制定下发、全网健康状况监测、统一杀毒、统一漏洞修复、网络流量管理、终端软件管理、硬件资产管理以及各种报表和查询等功能；

★2、服务器客户端操作系统支持：Windows Server 2003_SP2/Windows Server 2008/Windows Server 2012、中标麒麟/Deepin/SUSE Linux/Red Hat Linux；

3、具备漏洞集中修复过程中的流量控制和保证带宽，补丁分发支持服务端带宽限流与客户端P2P补丁分发加速，有效节省外网带宽资源；

4、支持浏览器防护，对篡改浏览器设置的恶意行为进行有效防御，并可以锁定默认浏览器设置；

5、支持管理员对入网的移动存储介质进行注册，可以对已注册的移动介质进行管理，包括学习注册、授权、启用、停用、删除、取消注册、导出注册列表等；

6、支持根据检查项通过率的百分比评定终端配置的脆弱程度，定性的标准可由管理员自定义；检查项至少包括身份鉴别、安全审计、访问控制、资源控制、入侵防范几个方面并不少于20项，且可进行扩充；

7、为确保病毒发现、查杀效果，投标人所投报产品具有公有云检测能力，并且公有云特征库储备不少于80亿个；

8、支持终端安全准入的注册、认证机制，可以通过入网流程的管理控制接入内网的终端主机；

9、支持移动存储设备、网络共享服务器、本地硬盘特定扩展名或特定目录下的文件访问、修改、删除、移动等行为的审计；支持网络打印操作、本地打印操作、虚拟打印操作审计，记录包含终端IP、文件名称与类型、打印机名称、纸张类型等信息；支持自定义文档类型的打印审计；支持邮件发送审计，通过设置例外，忽略已知类型的可信邮箱，如本企业的内网或外网邮箱等，重点记录未知收件人的邮件日志；

10、产品具备漏洞集中修复，强制修复，自动修复；具备蓝屏修复功能；

11、产品具备面向微软官方级别漏洞发现的能力；

12、本次提供900个PC端、60个Windows服务器三年正版授权。

1套

5

网络安全准入系统

1、设备支持900个终端的准入控制，提供至少6个千兆以太网电口，1TB SATA硬盘；支持与终端安全管理系统联动，可通过统一平台进行一体化管理，管理平台可集成杀毒、管控、审计、准入等模块，需对准入设备集中管理与监测，分权分域管理，实现分布式部署、集中管理的特点，满足大型网络环境下的部署要求；

2、支持NAC的集群化部署、多级集群化管理，批量下发策略，批量升级、授权管理、NAC节点监测；

3、不同区域采用不同组合认证技术方式，分支机构独立认证或混合认证管理机制；

4、支持两种及以上准入技术，每种准入技术均具备完善的逃生机制，防止准入设备本身出现问题后对现有网络业务造成影响；

5、支持有线、无线基于应用准入方式，准入配置支持保护服务器区域、例外终端等灵活的配置方式；

6、支持基于应用协议的访问控制，可基于IP、协议端口进行访问流量控制；

7、支持通过自动审批和管理员手动审批两种方式进行用户申请审核，审批通过邮件进行通知；

8、支持802.1x认证技术上基于终端快速认证，与终端管理客户端联动无需输入账号快速入网，避免重复输入账号口令；

9、支持健康合规检查策略，采用动态检测技术，需支持多种检查机制，至少支持入网检查、定时检查、周期检查机制，针对接入内部网络的计算机终端实行多种安全检查策略，支持分组策略下发控制，拦截不安全终端接入网络。

1台

6

安全管理平台

在网络安全设备部署运行期间，提供六个月的安全管理平台作为安全设备实施的辅助工具，该工具需要具备以下功能：

1、平台必须采用专业的安全管理系统，配置监控对象授权≥30个；不得采用安全设备如防火墙、下一代防火墙、入侵防御系统配套的安全管理软件应标，必须支持第三方网络设备、安全设备、操作系统、数据库、中间件等的监控管理；

★2、系统必须采用B/S架构，管理员只需浏览器即可连接到系统进行各种操作，平台需要使用加密ukey认证登录使用，增加系统安全性，须提供加密U盘的商用密码产品型号证书；

3、在安全管理平台界面中能够显示系统的基本管理信息，包括最近30分钟告警状态雷达图、监控按类型汇总、最近24小时资产告警排行TOP10、最近24小时内业务总体性能趋势，以及虚拟化概览；

4、支持动画方式展示攻击事件回放；

5、支持基于规则的事件关联分析，在编辑规则条件的时候，可以针对事件属性引用规则、应用资产属性、引用资源；

6、支持对网内的安全设备信息进行自动或手动获取，并纳入安管平台，支持多配置版本管理，实现各版本间差异化比对分析。

1套

7

数据安全管理系统

★1、软硬一体化数据备份与恢复产品，非机架式或机框式设备；

2、适用各类笔记本型电脑、IBM PC 兼容机、服务器、Windows XP/Vista/Windows 7/ Windows 8平台，同时适用于支持OTG功能；专门针对Office文字工作者，CDP实时备份，自动连续记录Office文档编辑过程，找回过去任意一秒钟的文档；在电脑中设置文件保护区，用于存放私密文件，凭验证密码开启文件保护区；转储共享数据；

3、备份软件包含：服务器 CDP文件实时备份模块、内存数据自动备份模块、备份数据加密模块、备份数据智能缓存模块、存储块级差异备份模块；

4、支持本地缓存，当USB闪存介质未联机时，先临时备份在本地硬盘缓存，当连接USB闪存介质时，自动转存临时缓存中数据到USB闪存介质，确保数据备份保护不中断；

5、文件保护区可将电脑、服务器中的磁盘空间虚拟成加密盘，放置用户的私密数据，凭保护区密码开启文件保护区；关闭文件保护区后，电脑中看不到保护区盘符；

6、作为网络设备、网络安全设备、存储、服务器等设备日志存放的安全存储空间，设立安全区域。

1套

8

系统

集成费

系统集成

1项