第三部分
用 户 需 求 书
一、项目概述
随着广东省药品检验所(以下简称省药检所)的信息化发展,业务系统对信息系统的依赖程度也越来越高;同时,原有的网络安全措施已经无法满足与日俱增的业务需求,省药检所充分认识到了现业务系统的安全防护手段的不足,决定将业务网络和互联网络分离,实施内外网物理隔离。
同时依据等级保护建设相关要求,建立相对完善的信息安全保障体系,以增强内网和外网信息安全风险防范能力,做到有效防范和化解风险,保证数据的安全,进而保证省药检所信息系统全省数据的平稳运行和业务持续开展。
二、项目需求和技术指标
2.1 项目需求清单
序号
产品名称
产品描述
数量
(单位)
备注
1
外网防火墙
作为隔离后的外网防火墙,接入互联网出口
1(台)
2
外网上网行为管理设备
外网上网行为管理、审计以及非法外联阻断
1(台)
3
本部外网核心交换机
作为本部外网核心交换机
1(台)
4
科学城外网核心交换机
作为科学城外网核心交换机
1(台)
5
外网二层接入交换机
接入各个楼层外网用户
12(台)
本部和科学城外网需要新增10台,2台备用。
6
综合布线
增加本部大楼分别与大院内业务技术管理科、设备管理科、科研管理科、标准与标准物质管理科、质量管理科、迁建办连接的光纤线路。增加科学城主楼与园区内动物房连接的光纤线路。为内外网隔离改造新增约15个布线点以及完成内外网隔离的网线整理。
1(项)
2.2 项目主要产品技术指标要求
(1)外网防火墙:1台,要求如下
序号
技术指标项
技术规格要求
1、设备基本要求
专有硬件平台
硬件平台采用先进的多核网络专用架构,硬件平台采用多核处理器,使用64位MIPS多核处理器
USB接口
USB接口 ≥1个,支持不依赖网络的外接U盘方式进行系统升级
接口数量
配备至少5个千兆电口、4个SFP接口
电源
标配单电源,在不返厂的情况下可扩展为双电源
设备尺寸
必须为1U标准机架设备
2、性能要求
吞吐量
≥4.5Gbps(要求提供原厂商彩页证明和原厂商官方网站证明)
IPS吞吐
≥1.2Gbps(要求提供原厂商彩页证明和原厂商官方网站证明)
AV防病毒
≥1Gbps(要求提供原厂商彩页证明和原厂商官方网站证明)
IPsec VPN吞吐率(AES256+SHA-1)
≥2Gbps(AES256+SHA-1)
最大并发会话数
≥100万,最大可扩展到200万
最大IPSEC VPN隧道数
最大可支持2000条隧道
每秒新建会话数
≥6万
SSL VPN用户数
最大需支持不少于1000个并发用户,本次要求提供10个并发用户许可
3、网络适应性
工作模式
必须支持透明、路由、混合、工作模式(提供界面截图)
链路聚合
可在透明、路由模式下支持多条链路带宽进行捆绑
端口镜像
必须支持将任意接口数据完全镜像到设备自身的其余接口,用于抓包分析
NAT(网络地址转换)
要求必须支持多对多的NAT,且公网地址池可选择逐一使用和同时使用两种模式
为解决公网IP地址资源问题,要求必须支持NAT的端口扩展技术,突破传统单个公网地址64512个端口的瓶颈,而可以达到更大值。
动态路由
必须支持OSPF、BGP、RIPv1/v2(动态路由
协议
离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载
非透传)路由(提供界面截图)
策略路由
必须支持基于会话的原路回包功能,可设置优先于路由策略而通过会话表中的入接口进行回包。
必须支持基于角色、用户、用户组的策略路由
支持基于非固定端口的应用决定下一跳的策略路由
ISP 路由
设备内置支持ISP路由表(提供界面截图)
BFD协议
支持OSPF/BGP(提供界面截图)
HA高可用性
支持A-P模式,A-A模式
应用识别
具备对应用程序的识别和控制能力。应用程序特征库不少于1300种,并支持在线/手动更新
4、访问控制
抗DDOS攻击
抗DDOS攻击:必须支持抵御下所列所有攻击类型,包括:DNS Query Flood、SYN Flood、UDP Flood、ICMP Flood、Ping of Death、Smurf、WinNuke
ALG应用
必须支持所列所有应用,包括:H.323、SIP、FTP、TFTP、RSH、RTSP、SQL Net、HTTP、MS-RPC、PPTP/GRE、SUN-RPC
会话控制
必须支持会话控制功能,要求能够基于源、目的、应用协议三种条件做会话数限制必须支持会话控制功能,要求能够限制会话新建速率
访问控制
支持按照应用、时间、用户帐号、IP地址、服务端口、物理端口等方式对数据进行访问控制
策略命中统计
支持防火墙策略命中数统计功能,便于管理员维护防火墙策略(提供界面截图)
5、IPSec VPN
VPN概述
必须支持GRE和GRE over IPSec,IPSec VPN、SSL VPN、L2TP VPN
免IPSec VPN License
免费支持IPSEC VPN隧道
互通性
严格遵循RFC国际标准,必须支持的算法有DES、3DES、AES128、AES192、AES256,SHA-256、SHA-512等
快速部署
支持速连VPN部署技术,中心端自动下发配置到分支设备而无需手工配置
XAUTH
支持XAUTH协议,支持iOS/Android移动终端接入,通过RADIUS/AD服务器进行用户身份认证
6、SSL VPN
用户认证
支持硬件USB-key的认证方式
支持基于手机短信的登录认证方式
支持文件证书的认证方式
客户端插件兼容性
支持32位和64位Windows 2000/2003/XP/Windows 7操作系统
多出口链路优选
多出口链路下支持选择最快响应链路建立SSL连接
硬件特征码绑定
支持客户端硬件特征码绑定认证
定制网页
支持登录SSL VPN后自动打开可自定义的网页
客户端检测
必须支持对登录SSL VPN的用户端系统进行端点安全检查,至少包括指定文件、指定进程、系统补丁、浏览器版本、杀毒软件等方面
SCVPN功能增强
支持SCVPN客户端退出时清除主机缓存数据功能
SCVPN客户端默认系统证书支持第三方厂商飞天的USB-Key
支持用户多次登录失败后的锁定功能,即用户在1分钟内连续三次登录SCVPN失败,将在2分钟内阻止该用户再次登录
7、流量管理
应用流量识别
支持对以下聊天应用,包括:腾讯QQ、阿里旺旺、百度HI、飞信、谷歌TALK、慧聪发发、网易泡泡、人人桌面、新浪UC等进行识别、控制及带宽管理
支持对以下游戏应用,包括:中国游戏中心、联众游戏、搜狐游戏、三国杀online、泡泡堂、大话西游、穿越火线、地下城与勇士、浩方游戏、梦幻西游、魔兽世界、VS对战平台、传奇世界、完美世界、征途、诛仙、热血江湖、边锋游戏、永恒之塔、赤壁、跑跑卡丁车、FreeStyle街头篮球等主流网游进行识别和控制
支持对以下炒股应用,包括:招商证券交易、益盟操盘手、东方财付通、海通证券交易、和讯股道、华安证券投资赢家、钱龙证券、同花顺 双子星、通达信、未来趋势、证券之星、指南针等在线炒股等主流炒股软件进行识别、控制及带宽管理。
支持对以下Web在线视频应用,包括:BBSee、中国网络电视台、5min视频、芒果TV、酷6网、六间房、Livestream、奇艺、新浪TV、新浪视频、东方宽频、搜狐视频、腾讯视频、土豆网、优米网、56视频、凤凰宽频、激动网、优酷等应用主流在线视频应用进行识别、控制和带宽管理
支持对以下P2P下载类应用,包括:百度下吧、BT、电驴、QQ旋风、DC++、网络快车P4S、汉魅、iTunes 9.1、Kazaa、酷狗、Mute P2P、纳米盘、Photobucket、PPGou屁屁狗、PP点点通、Pando、RaySource、RealLink、优蛋、哇嘎画时代、迅雷等下载应用进行识别、控制及带宽管理。
支持对以下社交网络应用,包括:9158多人视频聊天、开心001农场、呱呱聊天室、HowardForums发帖、Hyves SNS、新浪show等进行识别、控制及带宽管理
支持对以下浏览应用,包括:自由门、HTTP隧道、无界进行识别、控制
支持对360安全卫士、360杀毒、Google Desktop、Google Earth、Google Safebrowsing、Google Toolbar等网络应用进行识别、控制及带宽管理
QoS策略
必须支持基于安全域、用户、ip地址以及7层应用进行保证带宽,最大带宽的控制,支持针对7层应用的优先级转发控制
多层QoS功能
多层QoS功能要求包含应用QoS 和IP QoS 是两个独立的数据流控制功能,应用QoS下可以嵌套IP Qos策略;IP QoS可以嵌套应用QoS。
弹性QoS功能
必须支持弹性带宽功能,可自定义阀值来上弹或回收带宽,充分利用网络带宽资源(提供界面截图)
8、管理功能
系统回滚
必须支持2个系统软件并存,并支持系统软件回滚,防止配置不当或系统故障造成的网络中断,充分保证了系统的稳定性。(要求提供产品界面截图)
配置文件保存
支持10个配置文件并存,并支持配置回滚(要求提供产品界面截图)
管理界面
中、英文操作界面
统计
要求支持基于IP地址的流量统计功能,包括即时、1小时、24小时统计
要求支持基于应用的流量统计功能,包括即时、1小时、24小时统计
要求支持基于IP地址的会话统计,包括即时、1小时、24小时统计
要求支持基于应用的会话统计,包括即时、1小时、24小时统计
要求支持自定义统计功能
9、资质
公安部销售许可证
具备公安部颁发的《计算机信息系统安全专用产品销售许可证》
信息安全产品认证证书
中国信息安全认证中心颁发的《中国国家信息安全产品认证证书》千兆
计算机软件著作权登记证书
多核并行操作系统
10、售后服务器
售后服务
含三年原厂维保服务、应用识别库升级和软件升级维护服务,投标时出具原厂售后服务承诺函。
(2)外网上网行为管理设备: 1 台,要求如下
序号
技术指标
技术规格要求
1
设备规格
标准1U机架式设备,标配≥6个千兆电口,≥1个RJ45串口;整机吞吐量≥500Mbps,并发会话数≥120,000,用户规模≥1200人
2
升级和使用许可
本次配置三年上网行为管理升级和使用许可,原厂三年维保服务,投标时提供原厂售后服务承诺函。中标后三个工作日内提供样机测试验证,功能逐条验证。
3
网关管理
多主模式
必须支持两台及两台以上设备同时做主机的部署模式;
4
管理界面
支持SSL加密WEB方式、SSH命令行方式管理设备;
5
分级管理
不同用户组的管理权限支持分配给不同管理员;
6
实时监控
设备资源信息
提供设备实时CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、网络接口等信息;
7
流量状态
实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息;
8
安全状态
实时显示当天的安全状况,最后发生安全事件的时间、类型、总次数、源对象,帮助管理员管理内网安全;
9
上网行为监控
实时显示设置过滤条件的用户上网行为监控,支持手动设置刷新时间;
10
用户管理
本地认证
支持触发式WEB认证,静态用户名密码认证等;
11
第三方认证
支持LDAP、Radius、POP3、Proxy等第三方认证;
支持ISA\ lotus ldap\novel ldap\oracle、sql server、db2、mysql等数据库等第三方认证;
12
无线管理
内置无线控制器功能,直接管理AP
1.支持配置开放式,WPA-PSK/WPA2-PSK(个人)、WPA/WPA2(企业)三种接入方式。
2.对接入点支持配置工作模式、射频参数、负载均衡。
3.支持入侵检测、Dos攻击防御,射频智能调整。
4.支持多种日志,接入点日志,系统日志,安全日志,用户认证日志。
13
基于SSID的策略
支持基于SSID维度的上网权限、上网审计、上网安全、终端提醒、和流控等策略。
14
终端管理
系统识别
支持识别终端操作系统版本、系统补丁安装情况;
15
移动应用的细分控制
支持对移动应用的细分权限控制,微信:微信网页版、微信传文件、微信朋友圈、微信游戏。移动QQ:QQ传文件、QQ视频语音等。
16
端口控制
支持根据端口设定用户不允许访问的目标IP组提供的服务;
17
代理控制
1、 不允许使用外部HTTP代理;
2、 不允许使用外部Sock4/5代理;
3、 不允许在HTTP,SSL一些的标准端口上使用其他协议;(比如在80端口上传输非HTTP协议数据,在443端口上传输非HTTPS协议数据等)
18
共享接入管理(防共享)
设备能够发现私接路由(或者共享软件等)共享网络的行为:
1.支持自定义配置终端数量和冻结时间。
2.支持“仅统计电脑”和“统计所有终端”两种模式。
3.支持可选“冻结IP”还是“冻结用户名”。
4.支持添加信任列表
5.支持显示以IP或用户名的维度统计一段时间内的趋势图。
19
网页管理
静态URL库
设备内置海量预分类的URL地址库,支持根据URL类别实现URL过滤;
20
URL智能识别
必须支持未知网页的自动识别与分类;
必须支持根据用户输入的关键字、url、自动分类未知网页;
21
SSL加密网页
识别并过滤SSL加密的钓鱼网站、金融购物网站、非法网站等;
22
自定义URL
设备支持管理者自定义新的URL地址和URL分类;
23
关键字过滤
过滤同时匹配三个以上关键字的搜索行为;
过滤同时匹配三个以上关键字的网页访问行为;
24
文件管理
外发文件告警
支持对HTTP、FTP、Email附件等方式外发文件的识别、报警、过滤等管理措施;
支持根据外发文件类型、关键字等条件的过滤告警,
25
扩展名识别
支持基于外发文件的扩展名识别外发文件类型;
26
无扩展名识别
必须能识别删除扩展名的外发文件类型并报警
27
改扩展名识别
必须能识别篡改扩展名的外发文件类型并报警
28
压缩识别
必须能解压压缩文件后再识别内含真实文件类型并报警;
29
加密识别
必须能识别加密文件外发行为并报警;
30
上网
安全管理
企业安全管理考核细则加油站安全管理机构环境和安全管理程序安全管理考核细则外来器械及植入物管理
上网安全桌面
支持在默认桌面上虚拟出一个新的桌面,在虚拟桌面中上网,在推出安全桌面后,一切还原到干净的默认桌面,防止PC和内网中毒;
支持通过设置安全桌面和默认桌面网络访问权限,实现互联网和内网的内外网隔离;
支持通过设置安全桌面访问默认桌面目录文件访问权限,防止被动泄密;
31
恶意网址过滤
内置恶意网址库,支持对用户访问的URL进行恶意网址匹配和过滤;
32
移动终端管理(非法Wi-Fi热点管控)
设备必须支持能自动发现网络中通过无线上网的热点和移动终端的IP和终端类型;
支持管理员配置热点信任列表;
支持发现信任列表外非法接入的热点和终端,并阻止该热点/终端上网;
支持将非法热点接入网络的行为通过邮件告警通知管理员,并在数据中心支持行为记录和查询;
支持以图表方式显示移动终端接入趋势;
33
病毒查杀
设备必须内置业界知名杀毒引擎
必须支持HTTP下载、FTP下载、POP3、SMTP杀毒;
支持对HTTP、FTP等下载中启用文件类型杀毒;
病毒库支持通过服务器或本地加载病毒库方式定期升级;
34
防火墙
必须具有防火墙功能模块;
35
上网行为审计
网站审计
支持记录全部或者指定类别URL、网页标题等信息;
36
网页审计
必须能审计记录网页正文内容;
必须支持只记录含有指定关键字的网页正文内容;
必须支持记录SSL加密网页的内容;
37
审计分权限
支持对网页过滤和网页审计分开控制;
支持审计指定类型的URL,其他URL类型不予审计,以提高审计效率;
支持在审计时,将行为与内容分离,即可分别设置只审计用户行为还是审计内容;
38
上网日志管理
数据中心
设备必须支持内置数据中心和独立数据中心;
39
高性能日志模式
支持日志高性能模式处理,精简冗余日志;
40
日志分级审查
管理员登录数据中心只能审计指定用户组的上网行为日志;
41
日志审查Key
必须支持以USB-Key方式验证接入数据中心的管理员身份;
支持以USB-Key方式分配管理员的日志审计权限;
(3)本部外网核心交换机: 1 台,要求如下
序号
技术指标项
技术规格要求
1
交换容量
588Gbps
2
转发性能
>=252Mpps
3
电源
支持可插拔双电源,本次配置2个
4
风扇
支持可插拔双风扇,
风扇支持端口侧/端口侧出风
5
性能指标
MAC地址表>=32K
路由表容量>=32K
6
接口类型
端口形态:
48个GE端口,4个万兆SFP+口
万兆端口均固化,万兆端口支持千兆自适应
支持1个扩展插槽
整机最大万兆端口>=12
整机最大40G端口>=2
7
实配接口数量
实配48个千兆以太网电口,4个原厂千兆多模SFP光纤模块
8
板卡类型
2端口40G QSFP+
2端口SFP+
2端口10G-Base-T
8端口SFP+
8端口SFP+
8端口10G-Base-T
9
堆叠
最大堆叠台数>=9台,最大堆叠带宽>=160G
10
支持跨设备链路聚合,单一IP管理,分布式弹性路由
11
支持通过标准以太端口进行堆叠(万兆或40G均支持)
12
支持完善的堆叠分裂检测机制,堆叠分裂后能自动完成MAC和IP地址的重配置,无需手动干预
13
支持远程堆叠
14
VLAN特性
支持基于端口的VLAN,支持基于协议的VLAN;
支持基于MAC的VLAN;
最大VLAN数(不是VLAN ID)>=4094
15
链路聚合
支持最多8个GE口或4个10 GE端口聚合;支持最多128个聚合组;支持LACP
16
镜像功能
支持本地端口镜像和远程端口镜像RSPAN;
支持流镜像
17
同时支持4组多对一的端口镜像
18
组播协议
支持IGMP v1/v2/v3,MLD v1/v2
支持IGMP Snoopingv1/v2/v3,MLD Snooping v1/v2
支持PIM Snooping
支持MLD Proxy
支持组播VLAN
支持PIM-DM,PIM-SM,PIM-SSM
支持MSDP,MSDP for IPv6
支持MBGP,MBGP for Ipv6
19
路由协议
支持IPv4静态路由、RIP V1/V2、OSPF、BGP
20
支持IPv6静态路由、RIPng、OSPFv3、BGP4+
21
支持IPv4和IPv6环境下的策略路由
22
支持IPv6手动隧道、6to4隧道和ISATAP隧道
23
可靠性
支持VRRPv2/v3(虚拟路由冗余协议);
24
支持RRPP(快速环网保护协议),环网故障恢复时间不超过200ms;
25
访问控制策略
支持基于第二层、第三层和第四层的ACL;
26
整机提供ACl条目数不小于4K条;
27
支持基于端口和VLAN的 ACL;
28
支持IPv6 ACL;
29
支持出方向ACL,以便于灵活实现数据包过滤;
30
支持802.1x认证,支持集中式MAC地址认证;
31
Macsec
功能
支持802.1ae Macsec安全加密,实现MAC层安
全加密,包括用户数据加密、数据帧完整性检查
及数据源真实性校验。
无需软件授权
32
有线无线一体化
内置软AC功能,交换平台实现有线无线一体化
集成,配合MC-AC分层模式,消除无线带宽瓶颈
33
SDN/OPENFLOW
支持OPENFLOW 1.3标准
支持普通模式和Openflow 模式切换
支持多控制器(EQUAL模式、主备模式)
支持多表流水线
支持Group table
支持Meter
支持配套的SDN controller,与交换机同一品牌
34
管理和维护
支持SNMP V1/V2/V3、RMON、SSHV2
35
支持OAM(802.1AG,802.3AH)以太网运行、维护和管理标准
36
绿色节能
符合IEEE 802.3az(EEE)节能标准
端口定时down功能(Schedule job)
支持端口休眠,关闭没有应用的端口,节省能源
支持智能风扇调速
37
资质认证
要求提供信产部入网证和检验报告
38
售后服务
三年原厂维保服务
(4)科学城外网核心交换机: 1 台,要求如下
序号
技术指标项
技术规格要求
1
整机交换容量
≥256Gbps
2
转发性能
≥72Mpps
3
电源
支持双电源输入
4
接口类型
可用千兆电接口数量≥48;千兆光接口数量≥4,本次配置2个原厂千兆多模SFP光纤模块
5
MAC地址表
≥16K
6
VLAN特性
支持基于端口的VLAN,支持基于协议的VLAN;
7
支持基于MAC的VLAN;
8
最大VLAN数≥4094
9
链路聚合
支持最多8个GE口或1个10 GE端口聚合;支持最多12个聚合组;支持LACP
10
镜像功能
支持本地端口镜像和远程端口镜像RSPAN;
11
QOS
每端口支持8个优先级队列;
12
支持802.1P,DSCP/TOS优先级和重新标记能力,支持基于时间段的流分类和QoS控制能力;
13
组播协议
支持IGMP Snooping等协议
14
支持MLD Snooping等IPv6组播协议
15
路由协议
支持IPv4静态路由、RIP V1/V2
16
支持IPv6静态路由、RIPng
17
生成树
支持STP/RSTP/MSTP协议;
18
访问控制策略
支持基于第二层、第三层和第四层的ACL;支持基于端口和VLAN的 ACL;支持IPv6 ACL;
19
支持802.1x认证,支持集中式MAC地址认证;
20
安全特性
支持IP+MAC+PORT的绑定;
21
支持DHCP Snooping,防止欺骗的DHCP服务器;
22
管理和维护
支持SNMP V1/V2/V3、RMON、SSHV2
23
支持虚电缆检测功能(VCT),快速准确定位网络中故障电缆的短路或断路点;
24
支持单向链路检测(DLDP),有效的防止网络中单通故障的发生;
25
支持通过命令行、Web、中文图形化配置软件等方式进行配置和管理。
26
资质认证
要求提供信产部入网证和检验报告
27
要求提供信产部IPv6入网证和检验报告
28
售后服务
三年原厂维保服务
29
其他
与本部外网核心交换机同一品牌,方便维护
(5)外网二层接入交换机: 12 台,要求如下
序号
技术指标项
技术规格要求
1
交换容量
>=32Gbps
2
转发性能
>=6.6Mpps
3
接口类型
可用百兆接口数量>=24
4
上行千兆Combo接口数量>=2
5
MAC
>=8K
6
VLAN
支持基于端口的VLAN、基于MAC的VLAN
7
支持QinQ、灵活QinQ
8
支持GVRP
9
支持VLAN Mapping
10
支持Guest VLAN
11
最大VLAN数(不是VLAN ID)>=4094
12
堆叠功能
支持通过SFP端口进行堆叠技术,最多支持16台设备堆叠,最大扩展至768个10/100M端口
13
镜像功能
支持端口镜像、流镜像
14
QoS
支持端口限速 、流限速,限速粒度<=16kbps
15
支持SP、WRR、SP+WRR调度方式
16
每端口支持8个优先级队列
17
组播协议
支持IGMP Snooping v1/v2/v3、支持快速离开
支持MLD Snooping v1/v2
支持组播VLAN
18
二层环网
支持STP/RSTP/MSTP协议
19
访问控制策略
支持基于第二层、第三层和第四层的ACL;
20
支持基于端口和VLAN下发 ACL;
21
支持IPv6 ACL功能
22
支持802.1x认证,支持集中式MAC地址认证;
23
路由功能
支持IPv4和IPv6静态路由
24
静态路由数量>=16
25
安全特性
支持IP+MAC+PORT+VLAN的多元组绑定;
26
支持DHCP Snooping,防止欺骗的DHCP服务器;
27
支持ARP检测来抵御ARP欺骗攻击
28
支持IP Source Guard
29
支持防DOS攻击
30
支持CPU防护
31
支持MAC地址学习数目限制
32
支持业务端口6KV防雷功能
33
管理和维护
支持SNMP V1/V2/V3、RMON、SSHV2
34
支持通过命令行、Web、中文图形化配置软件等方式进行配置和管理。
35
绿色节能
支持端口节能
支持一键式节能
36
资质认证
要求提供信产部入网证和检验报告
37
售后服务
三年原厂维保服务
38
其他
与本部外网核心交换机同一品牌,方便维护