湖州市人民检察院网络安全和容灾系统采购<95.45万
|
第二章 招标项目内容、数量、规格和技术要求
一、WEB安全防护设备1套
|
||
|
指标项
|
规格要求
|
|
|
★
WEB安全防护设备包括WEB应用防火墙系统和WEB应用弱点扫描器系统,考虑到产品之间的兼容性,要求WEB应用防火墙系统和WEB应用弱点扫描器系统为同一品牌。
|
||
|
1、
WEB应用防火墙系统
|
||
|
★厂商资质要求
|
l 投标产品需获得公安部计算机信息系统安全产品销售许可证,提供证书复印件并加盖原厂公章;
l 投标产品通过中国国家信息安全测评认证中心认证检测并获取相应
3C证书,提供证书复印件并加盖原厂公章;
l 投标产品通过军用信息安全产品检测并获得军用信息安全产品认证证书,提供证书复印件并加盖原厂公章。
l 投标产品制造商具有中国信息安全认证中心颁发的应急处理服务资质,提供证书复印件并加盖原厂公章;
l 投标产品制造商具有国家信息安全测评信息安全服务资质证书,提供证书复印件并加盖原厂公章。
|
|
|
架构要求
|
l 采用高性能应用架构设计,满足防御的实时性要求;
l 单台设备可支持多个
WEB应用的防御。
|
|
|
★硬件规格
|
l 标准
2U专用千兆硬件平台;
l 吞吐量:
500Mbps及以上;
l HTTP最大并发数:
50000及以上;
l 网口数量:
6个千兆以太网口;
l 双电冗余电源。
|
|
|
性能及环境
要求
|
l 网络流量及保护对象支持:
500M及以上,支持8台以上网站服务器的保护需求;
l 编码支持:系统至少支持中文简体和英文
, UTF8三种编码的分析处理;
l 支持所有的
WEB应用开发环境,如:Asp、Jsp、.Net、J2EE、Php等;
l 支持所有典型数据库的注入攻击检测,如:
oracle9i/10g、Sql Server等。
|
|
|
负载均衡
|
工作在网关模式,对保护的多台负载
WEB服务器,达到平均分发、按比例分发、热备等多种负载均衡模式。
|
|
|
部署方式
|
支持全透明直连部署、端口镜像部署、网关模式部署。
|
|
|
防护对象
|
支持多条链路数据的防护,最大可防护
2路物理链路,防护网段数量不限。
|
|
|
防御功能
|
l 采用专利级
WEB入侵异常检测引擎;
l 系统能够识别和阻断跨站脚本
(XSS)、注入式攻击(包括SQL注入、命令注入 、Cookie 注入等)、敏感信息泄露、恶意代码、错误配置、隐藏字段、会话劫持、参数篡改、缓冲区溢出、应用层拒绝服务、弱口令其他各类变形的应用攻击。
|
|
|
站点隐藏
|
可以灵活定义
HTTP/HTTPS错误返回的默认页面,避免因为WEB服务异常,导致敏感信息(如:WEB系统配置信息、WEB应用安装目录、WEB服务器版本信息等)的泄露,达到站点隐藏。
|
|
|
篡改监控
|
系统提供防篡改功能,能够防止被篡改内容被浏览者访问到
,一旦检测到被篡改,实时发送告警信息给管理员。
|
|
|
加速功能
|
Web应用加速:系统内嵌应用加速模块,通过对各类静态页面及部分脚本高速缓存,大大提高访问速度。
|
|
|
支持要求
|
全面支持
HTTPS,支持阻断、告警、By-Pass等多种应用模式。
|
|
|
管理与审计功能
|
l 系统管理员应该能够自定义相关策略对各类网络层和应用层元素进行灵活定制;
l 系统除了具有实时监控
, 告警和防御的能力外, 还应支持事后的追溯和审计的能力;
l 报表方式:支持自定义报表,支持各类导出格式(
WORD,PDF等);
l 用户界面:要求为中文界面;
l 管理方式:支持
B/S方式;
l 升级模式:同时支持自动升级和手动升级。
|
|
|
系统运维
|
l 设备提供相关自身运行状况信息,包括
CPU、内存、硬盘等使用情况;
l 提供设备各部件的性能分析及各个工作口的流量统计,方便实行有效运维和管理维护。
|
|
|
自身安全性要求
|
l 自身安全性保障能力;
l 内部通讯检查机制,传输加密;
l 通过
RS323接口更改系统配置;
l 管理界面与其他功能模块分离;
l 对使用人员的操作进行记录,具有自身审计功能。
|
|
|
★售后服务和培训要求
|
l 要
求投标产品制造商在浙江省内有常驻机构为本地用户提供快速及时的现场服务(须提供企业登记注册证明),本地应急响应时间<=4小时,提供不少于三年的原厂商免费服务和版本升级(签订合同时需提供原厂承诺函)。提供安装调试后1天本地操作培训;
l 要求投标产品制造商工程师实施和提供不少于三年的上门
7*24小时现场服务支持;
l 提供投标产品制造商产品培训服务,培训讲师应具有
OWASP颁发的WEB应用安全认证专家资质或CISA资质;
l 常驻浙江省内不少于
5个CISP工程师(须提供社保证明)。
|
|
|
2、
WEB应用弱点扫描器招标参数
|
||
|
★品牌资质要求
|
l 投标产品通过公安部检测并获得国家公安部计算机信息系统安全专用产品销售许可证,提供证书复印件并加盖原厂公章;
l 提供不少于
2个投标产品浙江省内等级保护测评机构使用案例,提供合同复印件并加盖原厂公章;
l 投标产品拥有国内自主知识产权;
l 提供投标产品
2009年以后浙江省内不少于5个政府单位应用案例,提供合同复印件并加盖原厂公章。
|
|
|
★总体技术要求
|
要求
WEB应用弱点扫描器为windows平台纯软件产品,无需其他任何硬件载体;
|
|
|
支持无限代理服务器,能够穿透防火墙,支持取证式扫描;
|
||
|
提供任何基于
http或者https协议的扫描;
|
||
|
支持常见的
WEB应用弱点检测,支持OWASP TOP 10等主流安全漏洞,如:SQL注入、XSS跨站脚本、伪造跨站点请求(CSRF)、网页木马、隐藏字段、表单绕过、AJAX注入、弱配置、敏感信息泄漏、HI-JACK攻击、弱口令、Xpath注入、LDAP注入、框架注入、操作系统命令注入、Flash源代码泄漏、Flash跨域攻击、Cookie注入、敏感文件、第三方软件、其他各类CGI漏洞等各种类型;
|
||
|
支持网页木马检测。
|
||
|
★性能
|
支持不少于
10个IP扫描。
|
|
|
★扫描对象
|
支持所有的应用服务器,如:
IIS、Websphere、Weblogic、Apache等;
|
|
|
支持所有的
WEB应用编程语言,如:Asp、Jsp、.Net、J2EE、Php等。
|
||
|
★扫描功能
|
支持主动扫描、被动扫描两种模式的深度扫描;支持多域名批量扫描;
|
|
|
支持多任务并发扫描:单个程序可执行多个扫描任务同时并发扫描;
|
||
|
支持定制扫描:用户可根据目标扫描网站的特点以及所在的网络环境,对扫描过程进行定制,如爬行、检测、过滤、网络环境等;
|
||
|
支持
WEB2.0扫描:采用自主研发的网页执行模块,执行网页中的JavaScript脚本获取其中的链接,也可通过正则表达式匹配页面中的链接;
|
||
|
支持
WAP网站扫描:WAP协议以及WMLScript脚本的解析,用户只需要提供链接到WAP网站的网络环境,即可对WAP网站进行扫描;
|
||
|
支持
HTTPS协议:能够自动获取所有必须的要素,对基于SSL传输的内容进行分析,可对网银、证券交易等基于HTTPS协议的WEB应用进行自动安全评估;
|
||
|
支持多种网站认证方式:支持包括
Basic、Digest、NTLM在内的认证方式,支持HTTP和SOCKS代理,并支持各种代理的认证方式;
|
||
|
支持
Flash解析:对Flash对象进行完全快速解析,可以以非常快的速度提取Flash对象中的链接;
|
||
|
对目标网站进行完整深度扫描,获取网站文件列表,在扫描过程中区分目录、文件等大小写设定;
提供“当前
URL、当前子域名、整个域、任何URL”四种不同的选择;可设定强制检测的URL地址;
|
||
|
支持带验证码的应用系统,并可进行录制功能;
|
||
|
支持扫描模板的设定,不同网站进行同类安全检测可直接选择已配置完成的扫描模板。
|
||
|
扫描过程
|
实时显示详细的扫描和检测结果统计数据,并根据弱点危害程度、弱点类型展示相应的统计图表,令扫描结果更加直观;
|
|
|
数据实时储存:扫描过程中实时存储扫描数据和结果,不管是由于程序自身引擎中断、进程人为关闭,还是机器断电引起扫描中断,扫描数据都不会丢失,可以进行断点续描。
|
||
|
内嵌浏览器
|
系统内嵌专用浏览器,不采用操作系统自身浏览器内核
,避免扫描过程中用户自身浏览器遭受攻击或挂马。
|
|
|
★扫描结果比较
|
在同一次任务中,如涉及不同管理部门,应生成分部门报告、部门间横向比较的报告;如仅仅涉及不同系统,应生成分系统报告和汇总报告;
|
|
|
对同一网站的多次扫描的报告合成汇总报告、并进行纵向比较等,纵向比较的内容包括:
l 取值范围为
1~100的网站系统风险值
l 各类型安全漏洞
l 已经修补漏洞的
URL
l 未修补漏洞的
URL
l 新发现漏洞的
URL
|
||
|
木马检测
|
提供网页木马检测与溯源:能够检测到各类常见的网页木马,完成木马溯源
,Iframe、CSS、JS、SWF、ActiveX等;
|
|
|
★渗透测试
|
通过所发现的应用漏洞,模拟黑客使用的漏洞攻击手段,对目标应用进行深入安全分析,利用沙盒技术实施无害攻击,包括后台数据库中的数据提取、执行控制台命令、获取注册表数据、获取目录树、数据库操作、备份数据库、远程文件下载、文件上传等,取得系统安全威胁的直接证据;
|
|
|
配置审计
|
审计::通过当前弱点获取数据库的相关敏感信息,对后台数据库进行配置审计,如弱口令、弱配置等;支持所有的后台数据库类型,如:
Oracle、MSSQL、DB2、Informix、Sybase、Mysql、PostgreSQL、Access、Ingres等。并进行深度的风险取证和审计;
|
|
|
扫描报告
|
提供完备、丰富的扫描报告:
l 报告内容可以自定义;
l 用户可根据需要定义自身符合的报告模板内容;
l 支持各类文件格式的报告导出(如:
PDF、XML、CSV、HML、MHT、DOC、XLS、RPF等);
报告格式:针对扫描出现的弱点问题提供加固建议。
|
|
|
操作维护
|
操作维护:
l 在线帮助文档提供全中文支持;
l 软件自身提供严格的权限管理机制,所有操作必须通过鉴权登录方可执行。
|
|
|
自身安全与更新升级
|
用户管理功能:提供管理员、操作员、审计员三种不同的角色,分配给不同使用需要的用户,合理管理系统的使用权限,防止系统的滥用和误用;
|
|
|
屏幕锁定功能:在扫描过程中,可以在不停止扫描的情况下将锁定屏幕;
|
||
|
在线更新功能:可以手动或自动进行在线更新功能,在线更新方式和频率可配置。
|
||
|
★售后服务
|
售后服务支持:
l 要求原厂商在浙江省内有常驻机构,需要提供企业登记注册证明并加盖原厂公章;
l 常驻浙江省内不少于
8个工程师,提供浙江省内社保证明;
l 提供
3年免费升级与维护服务;
l 提供
24小时支持热线;
|
|
4.2
、容灾存储系统2套
|
指标项
|
规格要求
|
|
容灾存储系统
|
投标产品品牌须具有
6年以上的销售历史。19英寸机架式,企业级一体化多功能存储系统,可以实现各种存储类型的应用和各种灾难性保护,包括各种连接线缆及连接附件
|
|
★存储控制器
|
64位
RISC CPU,XOR双ASIC运算芯片,双PCI-E总线设计。内部无线缆连接,要求采用嵌入式专用存储系统架构,非X86 CISC CPU架构,内核采用UNIX平台(杜绝网络病毒攻击),非虚拟机实现的方式
|
|
★主机接口
|
≥
2个1Gb iSCSI/IP主机接口,≥2个 4Gb FC 主机接口,可扩展到
16个8Gb FC主机接口、16个1/10Gb iSCSI/IP主机接口
|
|
IOPS
|
≥
500,000
|
|
★硬盘数
|
本系统最大可以扩展到
490个以上,本次配置的磁盘柜可实现SAS/SATA/SSD/RDX硬盘混插,提供磁盘漫游功能避免由于任意一个磁盘被错误插拔而导致的数据丢失,提供分层存储功能;
|
|
RAID级别
|
0,
1,1+0,3,5,6,10,30,60,可在线更改Raid级别
|
|
★缓存
|
当前配置≥
16GB,可以扩展到64GB
|
|
LUN、
Partition数
|
LUN≥
2048,提供存储系统主机与逻辑卷映射管理软件,本次配置独立分区数量至少为64个,同时必须满足同时连接64台以上的主机(需在产品配置清单中体现)
|
|
★
Stripe Size
|
根据应用需求不同可以自由调整条带大小达到最优化模式,可实现
4K、8K、16K、32K、64K、128K、256K、512K、1024K、2048K、4096K等不同大小的条带,同时可在线更改RAID组条带大小
|
|
缓存保护
|
配置
160小时以上缓存后备电池保护,交流热插拔冗余电源
|
|
★当前配置容量
|
本次配备
6个1TB SATA企业级硬盘,1个1TB RDX磁盘,未来硬盘阵列扩充容量不得额外收取许可费用
|
|
卷扩容
|
提供现有磁盘卷的动态扩容功能,无需停机、迁移数据和创建新的磁盘卷,能实现在线添加磁盘
,扩展LUN空间
|
|
数据可用性
|
可随时在不停业务系统和不中断保护的状态下
,挂栽存储的数据,验证数据是否可用,确保所有挂栽数据正确可用
|
|
数据库、操作系统
|
支持
MSSQL、Sybase、Oralce、DB2、Domino、Exchange等数据库,支持Windows、AIX、HP-UX、Solaris、Linux等系统
|
|
客户端授权
|
提供
32个以上WINDOWS 主机平台客户端使用授权,2个UNIX客户端授权(产品配置清单中体现)
|
|
★
NAS功能
|
存储设备要求在同一控制器中提供
NAS(NFS、CIFS)功能(需在产品配置清单中体现), 要在方案上提供功能截图。
|
|
★远程启动
|
提供服务器操作系统镜像和快照,可实现远程启动应用等功能
(需在产品配置清单中体现),非虚拟机实现的方式
|
|
多路径功能
|
当前提供原厂专业多路径软件,并配
WINDOWS服务器路径冗余软件≥32套和配置UNIX小机路径冗余软件≥2套(需在产品配置清单中体现)
|
|
★重复数据删除
|
配置重复数据删除功能
(需在产品配置清单中体现)
|
|
★自动精简技术
|
具有超额预定分配功能,能实现高效利用存储空间,减少已分配但是未使用的存储空间
(需在产品配置清单中体现)
|
|
★快照及代理
|
当前配置无限个数的应用软件感知型快照许可,单卷快照≥
2000个,当前配置4套Snapshot Agent for SQL、2套Snapshot Agent for Domino数据库快照代理,保证数据一致性,快照立即可用无须恢复操作,服务器可以直接对快照进行读写操作。同时支持MSSQL、Sybase、Oralce、DB2、Domino、Exchange等数据库,支持Windows、AIX、HP-UX、Solaris、Linux等系统。在技术方案中阐述其基本的实现原理与客户实际应用不符合视为不响应标书要求(需在产品配置清单中体现);提供数据库快照代理实现、快照挂栽等功能截图;中标后提供实际功能测试;
|
|
★数据恢复
|
提供持续数据保护和数据回滚功能,可以恢复最近一个月内任意时间点
(毫秒级)的数据。(需在产品配置清单中体现)
|
|
存储镜像
|
配置存储镜像功能,本地存储失效后直接切换到容灾存储,数据立即可用,保障生产应用不中断
(需在产品配置清单中体现)
|
|
★远程数据复制
|
提供基于
TCP/IP的远程同步/异步复制功能,无须额外的协议转换设备,实现远程容灾(需在产品配置清单中体现)
|
|
数据可用性
|
支持随时在不停业务系统和不中断容灾保护的状态下
,挂载容灾存储的数据,验证数据是否可用,确保所有挂载数据正确可用
|
|
★卷共享功能
|
提供八个节点的
ImageSAN或StorNext卷共享软件,结构式共享SAN存储系统,任何一个节点的死机或重起,都不会影响用户对数据的调用。要明确说明本项功能实现的技术原理与客户实际应用不符合视为不响应标书要求(需在产品配置清单中体现),提供Windows、Linux跨平台环境下卷共享的功能截图
|
|
★磁带归档
|
提供
FC和Ultra320磁带库自动归档功能接口用于直接连接磁带库,实现数据的自动归档备份;要求与磁带库直连实现数据的自动归档备份,备份归档完全由磁带库和容灾存储自身来完成,无需其他或第三方软硬件。
|
|
★自动归档
|
配置内置自动归档功能,可内置具有热插拔功能的
RDX磁盘,通过容灾系统的自动归档功能,把数据归档到RDX磁盘上,并保存多个历史时间副本,可实现数据的离线归档、长期保存,同时提供RDX硬件压缩功能和RDX加密功能
|
|
产品成熟度
|
提供
5个以上本地和异地容灾系统在浙江省的成功应用案例。,(标书中需提供合同复印件以及政府采购编号、最终用户联系人和联系电话,合同原件备查)
|
|
认证
|
提供
ROHS认证,ISO14001认证,ISO9001认证,FCC认证,CE认证
|
|
管理
|
基于
LAN的RD GUI Manager可视化图形管理软件,可通过网络对存储系统进行设定、管理、监控,同时提供RS232,10/100M Eth port,CLI等管理方式,具有CallHome功能
|
|
电源
/风扇
|
配齐冗余热插拔电源
/风扇
|
|
★集中容灾系统实现
|
要求通过检察专线网即实现对湖州地区各区县级检察院重要服务器的系统、应用和数据的实时和快照保护
|
|
实施和数据迁移承诺
|
要求项目实施过程中必须在不停机应用系统的情况下完成数据迁移和存储部署
,并由原厂工程师进行实施,并签订实施责任书
|
|
二次开发
|
根据整个涉及到很多重要设备和系统部署,为更好的与现有应用平台融合和个性化需求需要,厂商须免费提供二次开发服务的承诺
(需在原厂服务承诺函中体现)
|
|
★产品测试
|
预中标单位产品,在签订采购合同前必须进行测试,以确保产品实际质量及性能满足需求。如未通过测试取消中标资格,并没收投标保证金,业主保留追究相关法律责任的权力。
|
|
★演练要求
|
在设备质保期内,厂商须免费提供每年一次的演练服务承诺,相关要求由用户单位提出
(需在原厂服务承诺函中体现)
|
|
★其他要求
|
提供投标产品技术偏离表(需原厂盖章)
提供投标产品的配置数量须在需在产品配置清单中体现(需原厂盖章)
投标时必须提供三年原厂
7x24小时质保服务及数据迁移服务等服务承诺原件
|
4.3
、iSCSI 卡4块
|
指标项
|
规格要求
|
|
技术指标
|
1Gbps iSCSI TOE to PCI Express Host Bus Adapter主机适配器,
2.5 GHz,Copper 接口,用于连接容灾存储系统
|
|
具有远程启动和引导功能,能配合容灾存储系统实现系统和应用的远程启动功能
|
|
|
原装行货,三年原厂保修
|
注:以上指标规格要求中带“
★
”号的指标为实质性条款,如未响应将导致无效标。