葫芦岛市中级人民法院安全隔离交换平台系统装备购置招标公告

序号

品目

参数配置

数量

1

防火墙系统

硬件形态：

★标准2U机架式设备，接口≥10个10/100/1000M Base-TX，≥6个SFP千兆光插槽、≥1个扩展槽，最大整机吞吐量≥20Gbps；最大并发连接数≥800万，新建连接数≥15万/s。
产品功能：
1.支持一体化安全策略配置，可以通过一条策略实现用户认证、IPS、URL过滤、协议控制、流量控制、并发、新建限制、垃圾邮件过滤、审计等功能,简化用户管理；（提供功能截图）
2.支持以组的方式管理安全策略，支持安全策略组的增、删、改操作，简化大量安全策略管理；
★3.支持根据IP地址进行策略查询、支持根据服务端口进行策略查询；
4.支持根据规则序号、规则名、源地址、目的地址、入侵防护策略、服务、认证用户、认证用户组、所属策略组、备注进行规则查询；
5.支持查看资源被访问控制策略引用情况；
6.支持IPv4和IPv6双栈协议下的入侵检测与防护；
7.支持基于策略的入侵检测与防护，可针对不同的源目IP地址、源MAC地址、服务、时间、安全域、用户等，采用不同的入侵防护策略；
8.支持无需重启IPS引擎的情况下灵活修改策略，保障在配置维护的时候也能够进行攻击保护；
9.产品应采用业界领先的入侵检测技术，并已取得网络入侵检测系统相关专利，支持IP碎片重组、TCP流重组、会话状态跟踪、应用层协议解码等数据流处理方式；支持模式匹配、异常检测，统计分析，以及抗IDS/IPS逃逸等多种检测技术；
10.内置IPS特征库，特征规则数量不少于3,600条，特征库可按分组进行管理，连续10条以上特征库数量；

11.系统支持实时状态查询，即在系统管理模块的状态一栏中包含系统状态、设备资产防护状态、核心资产防护状态和最新事件等分类，供用户快速查询信息；（提供功能截图）

12.支持设备资产防护状态查询，在查询界面中至少包含风险等级/风险事件曲线展示、攻击源地理分布展示、安全事件统计展示和安全事件分类，并且安全事件统计类型，至少包括15种供用户自定义选择。（提供功能截图）。

1套

2

入侵防护系统

硬件形态：

★标准2U机架设备，双电源，接口≥4个10/100/1000M Base-TX，≥4个光口插槽，≥3个扩展插槽；

产品性能：

最大整机吞吐量≥16G,IPS吞吐量≥2G,并发连接数≥300万，每秒新建连接数≥1.5万；
产品功能：
1.系统应提供扩展静态恶意代码（APT）检测引擎，针对http、ftp、SMTP等协议中包含的未知恶意文件进行检测；
2.系统应支持可扩展恶意样本自学习功能，除通过网络文件捕获外，还支持通过系统直接上传文件，自动识别黑白文件并提供简要信息；
3.系统应支持可扩展未知C&C通道（隐蔽通道）检测功能，能够提供C&C通道的危险级别、连接建立时间、连接持续时间、控制端IP地址和端口、受控端IP地址和端口等C&C通道信息；
4.系统除具备可扩展的本地恶意代码检测功能外，还应具备云查杀、云检测等防御机制；

5.系统应支持与动态恶意代码（APT）检测系统联动功能，通过联动功能可将恶意样本发送到动态APT引擎进行深度检测，并将检测结果生成攻击特征样品进行动态拦截。

6.系统应支持自定义事件升级内容。针对新增加的事件特征，升级界面中至少包含高中低三种级别事件的升级启用选项。并支持可自动修改动作为通过，满足业务高连续要求下的事件监测要求。

1套

3

防病毒网关

硬件形态：
★板载自带接口：≥GE电口*2，扩展插槽：PCIe（1全高+1半高），

电源≥350W*2；硬盘容量≥1T；

产品性能：

网络层吞吐率≥4Gbps，防病毒吞吐率≥1.5Gbps；
产品功能：

★产品为专业性防毒墙设备及专业性网关防病毒产品资质，而非NGAF、NGFW、UTM设备及资质；

1.支持双防病毒引擎，并可按需切换；

2.支持快速扫描模式和深度扫描模式；

3.支持桥接模式、路由模式、监控模式(旁路模式)；

4.防病毒文件扫描客户可自定义大小，最大可支持2G；

5.支持SSL VPN、Ipsec VPN、PPTP VPN三种VPN技术；

6.支持对VPN传输的内容防病毒扫描；

7.支持双因素认证，保证用户安全性；

8.支持自动/手动在线升级，可配置自动升级周期 ；

9.提供基于策略（源和用户/目标/通讯类型/时段）的流量日志记录/查询/打印/导出；

10.可按照时间，协议，威胁类型等查询条件查询日志；

11.支持Syslog协议，可以实时传输日志到Syslog服务器；

12.提供恶意软件/入侵防御/Web信誉服务违例事件安全报告，前N个用户违例报告，以及按应用程序/URL类别/带宽使用等前N个通信报告；

1套

4

运维安全网关

硬件形态：
★标准1U机架式设备，单电源,接口≥6个千兆电口,≥2个扩展槽；内存≥4G。硬盘容量≥1T，≥50管理授权；

产品性能：

最大并发≥800字符或200图形；
产品功能：
1.支持在IPV4,IPV6，IPV4与IPV6网络环境下部署；
2.实现数据库命令级审计，支持的数据库类型包括：Oracle（支持ORACLE RAC）、SQL Server、IBM DB2、Sybase、IBM Informix Dynamic Server、MySQL、PostgreSQL、Teradata，不需采用数据镜像方式实现，以免增加部署的复杂性和网络负担；
3.支持Oracle、Postgresql、Sybase、MySQL、SQL server数据库下行返回行数记录；
4.支持在Oracle数据库运维，运维人员对变量进行绑定，执行SQL后，堡垒机系统可审计对应SQL中唯一标识符的具体值，协助审计员分析安全事件；
5.支持用户客户端IP和MAC限制；
6.支持从AD域抽取组织机构和用户帐号，方便快速建立组织机构和用户帐号；
★7.支持以资源为视角进行用户访问授权；
★8.支持资源自动发现和添加，便于快速添加资源；
9.支持改密结果自动发送到指定改密计划的管理员邮箱或发送到FTP服务器；密码文件加密保存，需要专用查看工具查看，以保证安全性。

1套

5

安全管理系统

硬件形态：
★标准2U机架设备，冗余电源，接口≥6个10/100/1000M Base-TX、≥1个扩展槽；日志处理性能(平均)≥2000EPS（约合每天86GB），存储容量≥2TB；

产品功能：
1.日志可加密压缩传输支持加密压缩方式转发，定时转发；支持日志源管理功能，对断点日志源可以产生告警；
2.系统需内置不同分析场景，包括各种实时分析场景、历史统计场景、实时统计等。并支持支持自定义场景；
3.系统提供基于资产的拓扑视图，可以按列表和拓扑两种模式显示资产拓扑节点；可查看每个资产设备本身产生的事件信息、关联告警信息，并且支持向下钻取，直接进入事件列表、关联告警列表；
★4.能够根据收到事件的设备地址自动识别新的资产并自动添加到资产库中；
5.系统必须内置基本的仪表板。用户可以在工作台中自定义仪表板，按需设计仪表板显示的内容和布局，可以为不同角色的用户建立不同维度的仪表板；
6.仪表板中的每个显示区域都能够放大、缩小、拖动；
7.支持日志源管理功能，对断点日志源可以产生告警；
★8.支持基于日志查询任务模式的日志导出功能；
9.范式化字段至少应包括事件接收时间、事件产生时间、事件持续时间、用户名称、源地址、源MAC地址、源端口、操作、目的地址、目的MAC地址、目的端口、事件名称、事件摘要、等级、原始等级、原始类型、网络协议、网络应用协议、设备地址、设备名称、设备类型等；针对不支持的事件类型做范式化不需改动编码，通过修改配置文件即可完成。

1套

6

漏洞扫描系统

硬件形态：
★标准1U机架设备，接口≥6千兆电口，≥1个串口，≥2个USB接口，≥1个网络扩展板插槽，SATA硬盘≥1T；配置可扫描≥100IP，并发扫描≥20IP授权。

产品功能：
★1.支持扫描IPv6环境中的设备、系统；
2.支持灵活的扫描策略自定义功能，提供策略编辑向导和详细漏洞信息，支持以系统类型、漏洞类型、危险级别、CVE等不同视图显示漏洞，支持策略的导入、导出、修改以及合并；
3.支持检测SQL注入漏洞、命令注入漏洞、CRLF注入漏洞、LDAP注入漏洞、XSS跨站脚本漏洞、路径遍历漏洞、信息泄漏漏洞、URL跳转漏洞、文件包含漏洞、应用程序漏洞、文件上传漏洞等；
4.支持对主流数据库的识别与扫描，包括：Oracle、Sybase、SQL Server、DB2、MySQL等，能够扫描的数据库漏洞扫描方法不小于2300种；
5.支持每个资产历史扫描的风险趋势图显示，缺省显示最后24次扫描结果的趋势显示；
6.支持任务扫描完成后，自动将扫描结果上传至ftp服务器。

1套

7

数据安全交换系统（视频请求服务）

★产品架构：双主机架构，独立物理硬件。高度：2U*2

冗余电源：专用冗余电源

视频请求服务内主机接口：≥6个100/1000M Base-TX网络接口

视频请求服务外主机接口：≥6个100/1000M Base-TX网络接口

系统吞吐量：≥600Mbps，并发用户数：≥300，传输时延：<=20ms

接入不同视频监控系统厂商数：4，稳定性运行时间(MTBF)：>50000小时；

视频并发（每路D1画质，2Mbps）：≥300路，USB：2个*2

必须配合单向隔离设备一起使用，实现边界视频的安全传输。

1、支持自主开发的终端认证机制，采用AES加密算法对视频客户端和视频终端设备进行认证；
2、可根据用户的IP将用户分为普通和特权用户，普通用户只能访问一个视频系统，特权可以自定义访问多个视频系统；
3、支持视频客户端CS和BS快捷方式访问，认证成功后可快速打开视频客户端或者浏览器；
4、支持视频服务可信域管理，可自定义可信域IP及端口；
5、支持用户登录超时锁定次数、超时时间设置，WEB界面设置；
6、能直接支持海康、大华、宇视、科达 、互信互通、华为、先进视讯、天视、博康、博路、贝尔等40多种视频协议；
7、能够直接识别各种主流的视频格式，仅允许合法的视频数据通过
★8、可针对视频控制信令SIP RTSP以及视频流格式RTP等配置白名单过滤条件，支持正则表达式；
9、支持流过滤功能，支持　WMV、H264、REAL、AVC、Media、MPEG、MPEG1等20多种编码格式过滤，可勾选配置；
10、支持WEB界面对产品进行版本升级功能；
11、支持VC-1、MPEG-2、MPEG-4、DivX、XviD、WMA-HD、H.264、X264、H.265等业界主流视频编码格式以及QCIF、CIF、2CIF、D1、720P、960P、1080P等不同分辨率的监控视频安全接入；
12、支持WAVE、AIFF、AU、MP3、MIDI、WMA、RealAudio、AAC、APE、ITU-T Rec.G.711、G.722.1、G.723.1、G.729等音频格式安全传输；
13、支持卡口视频的点播回放和云台控制功能、庭审直播、车载GPS信号定位车载视频监控，语音对讲功能；
14、要求产品具备限制视频信令与视频数据剥离，视频信令双向，视频数据单向传输功能；
15、支持自动检测设备内部交换卡，并显示连接状态；
16、要求对用户行为进行审计，包括正常登录，非法登录，非法请求，退出等；
★17、具备集控上报功能，能将系统日志以Syslog方式上报给内网集控系统；
18、具有详细的传输审计功能，能按照时间记录客户端、服务器端IP及端口连入时间及连接时长等信息；
19、具备历史流量统计与小时峰值流量可视化展示功能；
20、具备详细的开机运行、管理员操作、访问阻断、系统告警等审计日志记录，并具备本机、本地内网侧半年以上审计日志硬盘存储功能(内置1TB)硬盘；
21、支持日志的导出及日志文件的加密解密功能；支持提供第三方SYSLOG日志接口，接口信息界面可视化配置。

1套

8

数据安全交换系统（视频请求服务）

产品架构：双主机架构，独立物理硬件，配合单向隔离设备一起使用，实现边界视频的安全传输。

★硬件形态：

标准2U机架设备，冗余电源；
视频请求服务内主机接口：接口≥6个100/1000M Base-TX网络接口，USB≥2个；
视频请求服务外主机接口：接口≥6个100/1000M Base-TX网络接口，USB≥2个；
系统吞吐量≥240Mbps，并发用户数≥120，传输时延≤30ms；
接入不同视频监控系统厂商数≥3个，稳定性运行时间(MTBF)：>50000小时；
产品性能：

视频并发（每路D1画质，2Mbps）≥120路；

产品功能：
1、支持自主开发的终端认证机制，采用AES加密算法对视频客户端和视频终端设备进行认证；
2、可根据用户的IP将用户分为普通和特权用户，普通用户只能访问一个视频系统，特权可以自定义访问多个视频系统；
3、支持视频客户端CS和BS快捷方式访问，认证成功后可快速打开视频客户端或者浏览器；
4、支持视频服务可信域管理，可自定义可信域IP及端口；
5、支持用户登录超时锁定次数、超时时间设置，WEB界面设置；
6、能直接支持海康、大华、宇视、科达 、互信互通、华为、先进视讯、天视、博康、博路、贝尔等40多种视频协议；
7、能够直接识别各种主流的视频格式，仅允许合法的视频数据通过
★8、可针对视频控制信令SIP RTSP以及视频流格式RTP等配置白名单过滤条件，支持正则表达式；
9、支持流过滤功能，支持　WMV、H264、REAL、AVC、Media、MPEG、MPEG1等20多种编码格式过滤，可勾选配置；
10、支持WEB界面对产品进行版本升级功能；
11、支持VC-1、MPEG-2、MPEG-4、DivX、XviD、WMA-HD、H.264、X264、H.265等业界主流视频编码格式以及QCIF、CIF、2CIF、D1、720P、960P、1080P等不同分辨率的监控视频安全接入；
12、支持WAVE、AIFF、AU、MP3、MIDI、WMA、RealAudio、AAC、APE、ITU-T Rec.G.711、G.722.1、G.723.1、G.729等音频格式安全传输；
13、支持卡口视频的点播回放和云台控制功能、庭审直播、车载GPS信号定位车载视频监控，语音对讲功能；
14、要求产品具备限制视频信令与视频数据剥离，视频信令双向，视频数据单向传输功能；
15、支持自动检测设备内部交换卡，并显示连接状态；
16、要求对用户行为进行审计，包括正常登录，非法登录，非法请求，退出等；
★17、具备集控上报功能，能将系统日志以Syslog方式上报给内网集控系统；
18、具有详细的传输审计功能，能按照时间记录客户端、服务器端IP及端口连入时间及连接时长等信息；
19、具备历史流量统计与小时峰值流量可视化展示功能；
20、具备详细的开机运行、管理员操作、访问阻断、系统告警等审计日志记录，并具备本机、本地内网侧半年以上审计日志硬盘存储功能(内置1TB)硬盘；
21、支持日志的导出及日志文件的加密解密功能；支持提供第三方SYSLOG日志接口，接口信息界面可视化配置。

1套

9

安全隔离与信息单向导入系统

★硬件形态：

标准2U机架式机箱，专用安全加固Linux操作系统，冗余电源。
单向光闸内网接口：接口≥1个100/1000M Base-TX管理接口，≥5个100/1000M Base-TX网络接口，≥4SFP接口插槽；

单向光闸外网接口：接口≥1个100/1000M Base-TX管理接口，≥5个100/1000M Base-TX网络接口，≥4SFP接口插槽；
产品性能:

系统吞吐量≥640Mbps、最大支持服务≥60个；
产品功能：
1.系统要求：内、外网主机系统分别采用冗余双系统启动模式，当A系统运行失败后，能从B系统启动，且A、B系统可互为备份，主机系统采用具有自主知识产权的安全操作系统平台；
★2.具有全热备的能力：即两套设备的所有主机中任何一台出现故障，都能被相应的备机替换并正常工作；
3.支持静态文件的单向导入：要求支持Samba共享、FTP、本地FTP、NFS、客户端等多种方式的文件同步服务，（提供功能截图）支持不同操作系统上不同类型文件服务器的灵活搭配进行文件单向导入；
★4.支持异构数据单向导入，包括数据库类型异构、表异构、字段异构和字符异构；（提供功能截图）
5.支持单向UDP同步，支持组播功能；支持UDP包过滤功能：含IP、内容范围、包内容、包大小等；
6.支持数据内容审查，包括身份证审查、枚举值审查、数值范围审查、字段值长度审查等，支持列值转换和行过滤；
7.具有系统状态监测功能，支持网络状态监测功能，系统状态分为红、黄、绿三级，系统实时进行状态监测与结果展示，根据不同颜色来反映当前系统的状态。

8.支持文件快递功能，用户将自己的文件同时单向导入给多个用户，文件快递支持用户登录认证，内网用户可以拒接接收文件；（提供功能截图）。

2台

10

数据安全交换系统（请求）

产品架构：采用内外网双服务器主机架构，包含请求服务内主机、请求服务外主机。高度：2U*2

★冗余电源："服务器专用冗余电源，同时支持交流电和直流电"

请求服务内主机接口≥4个100/1000M Base-TX网络接口

请求服务外主机接口≥4个100/1000M Base-TX网络接口

并发用户数量≥500，最大支持服务个数≥30

稳定性运行时间（MTBF）：＞50000小时，任务调度粒度：秒级

最大传输延时：＜1秒，USB≥6个*2

采用2台独立服务器架构，即请求服务内主机和请求服务外主机。

1、主机系统采用具有自主知识产权的多核多线程ASIC并行操作系统。

2、支持Soap、xml-rpc、restful等协议的请求响应服务。支持请求转文件（XML文件）和应答转文件（XML文件）。

3、系统支持对SOAP协议的格式检查、病毒查杀及内容过滤；防止数据被窃听、被篡改。

4、支持WSDL格式文件导入，如果发现不符合WSDL格式的请求，系统自动阻断连接并报警。

★5、支持多服务并发访问。

6、支持移动应用访问。

7、信息传输过程中，利用先进文件传输技术（UDD模式），提升业务及时性要求。

8、发送端定制协议交换单元和接收端定制协议交换单元通过信息摆渡方式实现信息内外网间数据收发控制信息的交互，并通过SOAP函数调用进行数据交换。

9、业务配置过程中不对外暴露内网的应用系统及账号密码，保障业务安全性。

10、数据交互过程无协议穿透，交互协议转换成私有格式文件落地交换。

11、支持用户管理、不同用户可以分配管理不同的业务权限。

12、支持对接入业务的监控及管理。

★13采用BS架构，支持https安全加密访问，同时支持数字证书及用户名密码等安全认证机制增强产品自身安全性。

1套

11

数据安全交换系统（文件、数据库）

★硬件形态：标准机架式机箱，双服务器主机架构，专用安全加固Linux操作系统，冗余电源。

内网接口≥1个100/1000M Base-TX管理接口，≥1个100/1000M Base-TX网闸接口，≥2个100/1000M Base-TX网络接口。

外网接口≥1个100/1000M Base-TX管理接口，≥1个100/1000M Base-TX网闸接口，≥2个100/1000M Base-TX网络接口。

软件系统：必配设备管理系统；扩展功能模块需要单独购买授权，以实现对不同应用的支持。

性能:交换能力≥600Mbps；最大支持服务≥60个。

产品功能：

1、支持主流数据库交换，包括：Oracle、SQL Server、DB2、SYBASE、MYSQL。

2、支持各种数据库之间的异构数据转换。

★3、支持共享、客户端、FTP等多种模式的文件同步服务，支持文件实时同步。

4、支持对传输数据进行加密。

5、符合等级保护的要求，具有三权分立的管理功能。

1套