2015年网络安全加固设备采购需求公示

序号

规格

参数

1

★硬件架构

使用专门的硬件，基于嵌入式安全操作系统，保证系统的工作效率和自身安全性。

产品提供多个网络接口，可以将产品管理网口与检测口进行分开。以做外网检测和内网管理相分离。

2

基本要求

1U，含交流单电源，1*RJ45串口，1*GE管理口，4个10M/100M/1000M自适应以太网电口扫描口，4个千兆SFP插槽（不含SFP模块），默认支持1个授权扫描端口

对Web应用提供专业的漏洞、挂马检测和分析

所投产品没有用户数许可限制

3

★性能要求

Web应用漏洞扫描页面数20万//天

最大扫描链路数6路扫描部署

最大授权扫描无限个IP/域名数

最大可存储任务数1500

4

软件系统

系统稳定可靠，无需额外存储设备即可运行，系统采用B/S设计架构，并采用SSL加密通信方式，用户可以通过浏览器远程方便的对产品进行管理

★产品软件形态，支持直接部署于虚拟化环境中，无需安装第三方操作系统，请具体描述硬件配置要求,提供配置界面截图证明并加盖原厂商公章。

产品无需安装任何控制台和第三方数据库。

支持多路扫描，满足在复杂环境中部署的要求，支持不同网段网站同时检测的需求。

支持Ipv6网络环境部署

5

分布式部署

分布式部署，不需要额外采购第三方管理平台，直接通过角色指定即可实现多台设备的集中管理和报表汇总

分布式集群支持最大节点数≥32个

分布式部署，支持多任务/单任务URL级别的负载均衡扫描方式

支持分布式拓扑图全景查看，提供配置界面截图证明并加盖原厂商公章。

支持对正在执行的扫描任务查看进度情况，包括整体扫描进度、每个引擎的进度等，提供配置界面截图证明并加盖原厂商公章。

上级节点支持查看下级节点设备系统状态（cpu,mem.disk、网口流量）

★支持对正在执行的扫描任务进行多视角实时查看，如网站结构、分类展示已发现网站漏洞及其详细信息、起始时间、扫描时长、剩余时长、网站URL个数等，提供配置界面截图证明并加盖原厂商公章。

支持下级节点批量从上级节点自动系统升级

6

检测范围

1.   支持HTTP 1.0和1.1标准的Web应用系统。

2.   支持Web 2.0（Ajax、Flash、JS） 应用。提供配置界面截图证明并加盖原厂商公章。

3.   支持基于HTTPS应用系统的检测。提供配置界面截图证明并加盖原厂商公章。

4.   支持所有类型的动态及静态页面。

5.   漏洞知识库大于1500条，提供详细的漏洞描述和对应的解决方案描述；漏洞知识库与CVE、CNCVE、CNNVD、CNVD、CVSS等主流标准兼容。

6.   支持SQL注入检测。

7.   支持跨站脚本攻击检测。

8.   支持伪造跨站点请求检测。

9.   支持网页挂马检测。

10.  支持隐藏字段检测。

11.  支持Cookie安全问题检测。

12.  支持网站无效链接发现。

13.  支持Web路径下敏感文件检测。提供配置界面截图证明并加盖原厂商公章。

14.  支持网站外部链接发现。

15.  支持Web服务（如IIS、Tomcat、Apache等）漏洞的检查。

16.  分析器支持常见的字符编码标准，如简体中文（GB18030）、BIG5、UTF-8

7

★检测能力

1.   支持基于basic、NTLM、Cookie等认证方式的Web应用系统安全扫描。

2.   支持预设Cookie和登录预录制检测。

3.   支持HTTP和SOCKS代理扫描。提供配置界面截图证明并加盖原厂商公章。

4.   支持自定义User-Agent设置。支持软证书登录站点的扫描，提供配置界面截图证明并加盖原厂商公章。

5.   同时提供支持深度优先及广度优先爬行顺序的能力。

6.   支持大小写敏感或不敏感（case-sensitive/insensitive）的网页爬行方式。

7.   支持爬取范围的自定义连接扫描（如起始URL，主机名/IP地址，请求延迟，请求失败重试次数，最大爬取深度，文件个数，链接总数等）

8.支持爬取范围的自定义排除链接设置（如指定的主机名/IP地址，URL正则表达式，文件类型等）

9.   支持通过解析flash来获得Web应用的链接。

10.   支持通过JavaScript执行获取链接。

11.  支持自动过滤重复页面。

12.  支持表单类型的发现并相应漏洞的检测。

13.  支持Web路径下的目录扫描，并支持自动学习扩展敏感目录的名称和类型，同时支持自定义设置。

14.  支持重定向的爬虫机制

15.支持自定义扫描速度，来最大程度减少对目标系统的影响，并叙述实现原理

16.支持扫描速度随扫描环境的变化而自动调节，真正实现业务闲忙时的智能扫描，提高扫描效率。请说明实现原理

17.支持自定义最大扫描占用带宽设置，来最大程度减少对目标网络的影响

8

任务管理

1.   支持即时任务、定时任务和周期任务。

2.   支持“一键式”快速下达扫描任务功能，简化操作流程。提供配置界面截图证明并加盖原厂商公章。

3.   支持任务暂停、继续扫描、停止、重新扫描、断点续扫、删除等操作。提供配置界面截图证明并加盖原厂商公章。

4.   支持多个任务同时暂停、继续扫描、停止、重新扫描、断点续扫、删除等操作。提供配置界面截图证明并加盖原厂商公章。

5.   产品支持任务的保存，加载，复制、修改、导入和导出，以将不同设备的任务在多台设备上共享。

支持如上任务管理动作的批量操作

9

报表审计

1.   仪表盘功能，直观展示最近10天整体风险等级、最近10天扫描站点列表、最近30天危险站点TOP10等内容。提供配置界面截图证明并加盖原厂商公章。

2.   支持在线报表和离线报表两种报表形式。离线报表提供针对不同角色的默认模板，允许用户定制报告的内容、报告的格式等。同时支持扫描过程生成中途报表，提供配置界面截图证明并加盖原厂商公章。

支持在线报表的批量修正功能，如自动验证，误报修正等

3.   报表中至少需要提供详细的漏洞描述，CVE ID，风险级别，安全加固建议。

4.   可在界面中列出被检测网站的目录结构，点击相应的结构可以直接呈现当前页面的扫描结果。提供配置界面截图证明并加盖原厂商公章。

5.支持自定义报告，如logo、页眉、页脚、报表模板标题、模板名称描述等

5.   报表输出支持WORD、HTML、PDF、XML、EXCEL等格式。

6.   支持按照国际安全组织OWASP TOP 10-2010、OWASP TOP 10-2013、WASC分类输出报表

7.   支持对多个站点进行横向对比分析并输出报表

8.   支持对单个站点进行时间纵向分析，输出趋势增量统计报表

★9.   产品支持提供漏洞验证功能，直观展示漏洞验证过程信息，验证漏洞真实存在。

支持自定义报表模板，及模板的导入导出。请阐述自定义模板内容

★10.  支持与WAF产品联动，生成报表可供WAF生成安全防护策略，通过漏洞检测和威胁防护的循环式管理，无缝保护站点安全。

11.  提供标准的Web Service接口支持，方便与第三方安全产品或管理平台进行数据采集和调用

10

设备安全性要求

根据三权分立的原则和要求进行职、权分离，对系统本身进行分角色定义，如管理员只负责完成设备的初始配置，规则配置员只负责审计规则的建立，审计员只负责查看相关的审计结果及告警内容；日志员只负责完成对系统本身的用户操作日志管理。

★厂商应能够提供自主研发的云安全中心的移动终端APP（支持android和iphone客户端），帮助用户随时随地掌握网络安全环境的态势。提供APP下载网页和相关链接以及APP使用界面的厂商盖章截图证明

★可提供配套的远程网站安全扫描服务，对站点进行远程网站漏洞扫描、网站挂马监测、网页篡改监测、网页敏感内容监测、网站域名解析监测、网站平稳度监测、钓鱼网站监测、网页测速监测等监测服务。（提供监测服务报告样例复印件并加盖厂商公章）

★为保障业务系统的全面连贯安全性并保证各业务系统稳定运行，更好的实现网络层到应用层的一体化策略规则安全防护，同时为了便于安全资产统一管理，要求与现有的入侵防护系统、远程安全评估系统、WEB应用防护系统为同一品牌,另为了实现安全资产日志报告使用统一管理平台进行日志收集、分析，要求与安全统一管理平台联动协同防护。

11

产品稳定性、安全性、可靠性证明

1.      产品应为国内自主研发，国家版权局颁发的计算机软件著作权登记证书。提供证书复印件证明并加盖厂商公章。

2.      产品具备软件产品登记证书；提供证书复印件证明并加盖厂商公章。

3.  产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》提供证书复印件证明并加盖厂商公章。

★4.      产品获得《涉密信息系统产品检测证书》；提供证书复印件证明并加盖厂商公章。

★5.      产品获得《国家信息安全测评信息技术产品安全测评证书》EAL3+级别证书；提供证书复印件证明并加盖厂商公章。

★6.      产品获得《军用信息安全产品认证证书》；提供证书复印件证明并加盖厂商公章。

★7.为保证产品安全可靠性，要求投标产品规则库通过NSS Labs 高级别认证。提供有效证明并加盖原厂商公章。

★8.产品需入选国际知名第三方咨询机构Gartner魔力象限，提供Gartner引用证明文件并加盖厂商公章。

12

★厂商技术实力

厂商应具备足够的信息安全服务技术实力及安全服务保障能力，获得中国信息安全测评中心颁发的信息安全服务安全开发类二级及以上资质证书。提供有效证书的复印件并加盖厂商公章。

厂商应具备针对安全事件的远程和现场的紧急响应能力，获得中国信息安全认证中心颁发的信息安全应急处理服务二级及以上资质证书。提供有效证书的复印件并加盖厂商公章。

厂商应具备针足够的风险评估服务能力，获得中国信息安全认证中心颁发的信息安全风险评估服务二级及以上资质证书。提供有效证书的复印件并加盖厂商公章。

厂商应具备中国通信企业协会通信网络安全专业委员会颁发的通信网络安全服务能力风险评估类证书

厂商应具备中国通信企业协会通信网络安全专业委员会颁发的通信网络安全服务能力安全设计与集成类证书

厂商须具备安全漏洞研究团队，能够独立发现Microsoft、HP、CISCO、SUN、Juniper等国际著名厂商的重大安全漏洞，具备自主挖掘漏洞的能力（提供证明材料并加盖厂商公章）

厂商须是微软MAPP（Microsoft Active Protections Program）项目合作伙伴，可以在微软每月发布安全更新之前获得漏洞信息，为客户提供更及时有效的保护。满足上述条件需提供MAPP官方网站截图证明并加盖厂商公章。

售后服务保障

★三年原厂免费现场服务，提供三年免费软件升级服务，深圳地区有备件。为保证厂家能够提供快速本地化现场技术支持（2小时内到达用户现场），提供7×24小时技术服务支持，要求提供原厂关于本次投标的授权函及原厂售后服务承诺函。

序号

规格

参数指标

1

设备数量

300个

2

★品牌型号

VPN型号为SANGFOR VPN-3150

3

功能

SSL VPN接入授权