技术要求响应表点对点应答

1、技术要求响应表点对点应答附件三网络信息安全解决方案招标项目及要求技术要求响应表产品技术要求规范投标产品技术 规范描述偏 离 情 况内网 安全 管理产品应可以做到安全 准入认证与控制（非 ARP欺骗方式），可以 限制未授权的电脑访 问公司网络ProVisa 内网 安全管理（以下 简称 ProVisa） 支持软硬件方 式的准入控制， 可以限制未授 权的电脑访问 公司网络及互 联网，非法内联 的控制非采用 ARP欺骗的方 式满 足产品应包括身份认证、 安全准入检查、内网安 全管理、桌面应用程序 管理、移动外设管理、 资产管理、内网审计功 能，满足内网安全管理 的要求ProVisa 内网满 安全管理分

2、为足 准入控制、内网 安全、上网行为 管理、桌面管 理、拓扑管理五 大模块，能够实 现身份认证，安 全准入检查、内 网安全管理、桌 面应用程序管 理、移动外设管 理、资产管理、 内网审计功能， 可以满足用户 对内网安全管 理的需求身份认证应支持基于ProVisa 内网满用户名、密码、IP、安全管理支持足MAC、系统硬件特征多因素身份，包等认证方式；支持AD括基于账号、密认证；支持多因素认码、IP、MAC地证；支持IP地址与址、硬盘序列号MAC地址的绑定灯的认证；支持 AD LDAP认证； 支持多因素身 份认证，如USE key ;支持角色 身份的绑定，如 IP与MAC地址 绑定，IP与系 统特

3、征绑定等。1产品应具备安全准入 检查功能，包括：系统 漏洞检查、杀毒软件使 用检查、危险进程检 查、ARP欺骗检查等， 发现不符合安全准入 策略的终端禁止接入 网络ProVisa 支持 Windows 系统 漏洞检查、支持 杀毒软件的检 查，发现未开启 杀毒软件禁止 进入网络；支持 危险进程的检 查；支持ARF 欺骗的检查、隔 离、报警。满 足产品应能够自动检测ARP欺骗行为，发现 ARP欺骗行为后可以 自动报警并提示用户； 同时客户端可以自动 阻止ARP欺骗包的外 发，保证内网不受 ARP欺骗的侵扰ProVisa 能够自动检测客户 端ARP发包行 为，发现欺骗包 自动隔离，并且 可以给客户端

4、、 服务端告警。满 足产品应支持按照不同 的用户、部分进行划 分，对不同级别的用 户、部门可以授予不同 的权限ProVisa 按照验证状态支持 已验证组、未验 证组的划分； 已验证组中，可 以按照部门、用 户划分并分配 不同的权限满 足产品应支持远程协助 功能，管理员可以通过 远程协助操作客户端 电脑ProVisa 支持 远程协助功能， 管理员可以通 过远程协助操 作客户端电脑满 足产品应支持桌面进程 的管理、窗口的管理， 支持对P2P类软件、 IM类软件、股票类等 各类软件的使用控制， 支持基于不同的时间 段定义控制策略ProVisa 支持 基于进程、窗体 的管理，能够对P2P类软件、IM

5、类软件、股票类 软件进行控制， 并可根据不同 的时间段定义 不同的控制策 略满 足产品应支持对外设的 管理，如USB、光驱、 打印、红外、1394接 口等，可以禁止或者允 许外设接口的使用ProVisa 支持 对外设的管理、 如USB光驱、 打印、红外、 1394接口等， 可以根据需求 禁用或者启用 外设接口满 足产品应支持分组、全局 的消息通知、软件分发ProVisa 支持 基于全局、分 组、用户的消息 通知、软件分 发；软件分发支 持自动安装，提 示安装满 足产品应支持网页访问， 文件上传下载等的日 志记录，应可以记录访 问源用户，源IP、目 的IP、URL、访问时 间、访问内容、动作等，

6、 并可以根据条件检索ProVisa 支持 上网行为记录， 能够记录网页 访问日志、文件 上传下载记录， 可以记录用户、IP、URL访问 时间、访问内 容、动作等，并 可以根据条件 进行检索满 足支持实时带宽监控，支 持实时动态带宽图；支 持历史带宽查询、用户 带宽统计ProVisa 支持 实时带宽功能， 管理员可以实 时看到用户上 行、下行带宽； 内网、外网带 宽；并支持用 户、部门的历史 带宽查询；支持 用户带宽统计满 足支持多种图形化报告， 用户访问排名、网站访 问排名、网络访问报 表，带宽统计，历史带 宽记录等ProVisa 支持 多种图形化报 表，用户排名、 网站访问排名、 网络访问报

7、表， 带宽统计，历史 带宽记录等。满 足数 据、 文档 保护 系统产品应在不改变用户 原有工作流程和文件 使用习惯的前提下，对 需要保护的文件进行 强制加密保护，并对文 件的使用进行全程监 控，有效防止被动和主 动泄密，消除内部安全 隐患于无形之中前沿文档安全 管理系统（以下 简称前沿）采用 应用层加密技 术，无需改变用 户原有工作流 程、文件使用习 惯，可以对需加 密的文件强制 加密，并对文件 使用过程全程 监控，可有效防 止主动和被动 的泄密满 足产品应支持自动加密、 手动加密、手自一体化 加密；并支持全盘加 密、安装文件格式加密前沿支持自动 加密、手动加 密、手自一体化 加密；并能够支

8、持全盘加密、特 定文件格式加 密、特定部门加 密等满 足产品应支持文档权限 的控制，系统可控制的 操作有文档阅读、文档 编辑、文档复制和文档 打印等；产品应自动屏 蔽键盘截屏键和其他 第三方截屏软件前沿支持文档 权限的控制，可 以控制文档阅 读、编辑、复制、 打印控制等功 能；可以自动屏 蔽系统截屏键 和第三方截屏 软件；满 足使用密文的用户不能 将密文拷贝出单位， 旦拷出文档将无法正 常打开；无论是谁或通 过哪种方式，如邮件、 U盘、光盘刻录、上传、 更改文件后缀名或是 另存为其他格式等，文 件始终保持被加密状 态前沿可以定义 文档不可以被 拷贝，或者拷贝 后未经授权无 法打开；不管是 否更

9、改文件格 式、米用何种途 径传输，文件始 终保持加密状 态满 足员工需要将计算机（笔 记本）带离内部工作环 境时，应向系统提出申 请，等待审核人员审 批。系统提供受保护文 档在外部环境中正常 使用的功能。另外，可 控制离线文档可被使 用的时间与权限前沿支持文件 移动办公审批 功能，可以给离 线用户设置文 件使用权限和 时间范围。满 足产品应支持外发文件 控制，可设置外发文件 的阅读次数，阅读天 数，是否需要密码等设 置，保证文档安全前沿支持文件 外发的审批与 控制，可以设置 外发文件的阅 读次数，阅读天 数，密码保护 等，全方位保证 文档的安全满 足产品应支持将加密文 档与指定的载体（如认 证

10、过的光盘、优盘、笔 记本等）进行绑定，带 离内部环境使用。文档 被拷贝出指定载体后 不能继续使用前沿支持加密 文档与制定的 载体进行绑定， 可以带离公司 环境后继续使 用，文档拷出载 体则无法继续 使用满 足产品应可为离开办公 环境的计算机（已安装 文档安全系统客户端） 提供加密文档的使用 授权，使工作人员可携 带计算机在外部环境 中使用加密文档，方便 工作人员临时使用文 档前沿支持移动 办公授权，可以 使移动办公人 员方便在外部 使用加密文档满 足系统应具有完善日志 记录功能，能够实时、 准确的记录使用者对 文件进行的：新建、打 开、保存、删除、打印、 加密、解密、权限变更、 申请、审批等所

11、有操作前沿具备完善 的日志记录和 审计功能，可以 实时、准确记录 文件使用的事 件，包括：新建、 打开、保存、删 除、打印、加密、 解密、权限变 更、申请、审批 等所有对加密 文档的操作满 足产品应支持日志查询， 系统提供多条件组合 查询方式，如文件名， 计算机名，部门，操作 名称等组合查询。方 便，快捷的查询出用户 需要查询的日志。并可 将日志导出成excel 或txt格式文件前沿支持日志 查询，可提供多 条件组合查询， 如文件名、计算 机名、部门、操 作方式等； 所有的日志都 可以导出为 excel、txt 等 格式或打印满 足设备应采用专用硬件 平台、专业安全系统Juni perSSG3

12、20-SH（以下简 称 SSG 320）采 用专用的硬件 平台，以及专业 的安全系统；满足产品应至少固定4个10/100/1000Base-T，并可扩展至8个10/100/1000Base-TSSG 320标配 4 个 1000Base-T 接口，可通过扩展支持到最多20个 个1000Base-T 接 口满 足防火 墙系 统产品性能应大于等于 以下标准：防火墙性能：400Mbps每秒处理的防火墙数 据包数量：150,000PPS3DES+SHA-1 VPN 性 能：150 Mbps 并发VPN通道：400 最大并发会话数： 64,000最大安全策略数：2000SSG-320 性能 如下：防火墙

13、性能：450Mbps每秒处理包性能: 1750,00PPS3DESVPN性 能：175Mbps并发会话数：500并发会话数：64,000最大安全策略数：2000满 足防火墙应支持路由模 式、NAT模式、透明 模式SSG-320 支持路由、NAT透明模式满 足产品应支持IPSec VPN ; IPSec VPN 应 支持基于策略的 VPN、基于路由的VPNSSG-320 支持 IPSecVPN丄2TP VPN IPSec VPN支持 基于策略、基于 路由的VPN组 网满 足产品应可以防护DOS、DDOS等报文 攻击，如：Syn floodi ng、Icmpfloodi ng、Udpfloodin

14、g、Port scan、 ip sweep等攻击，对于 syn flooding 攻击，应 支持 syn protect、syn proxy、syn cookie 等 多种防护方式SSG 320支持 DOSDDO等攻 击，女口 syn floodi ngICMP flooding、UDF floodi ng 等攻 击，支持syn protects yn proxys yn cookie等多种 防护模式满 足)产品应支持静态路由、 策略路由SSG320支持静 态路由、策略路 由、动态路由满 足产品应支持安全域的 划分，支持安全域的数 量不少于10个SSG320支持安 全区的划分，最 大支持40个

15、安 全区满 足产品应支持双机热备 功能，支持主/备、主/ 主模式，并能实现双机 热备下的配置同步、会 话状态同步SSG320支持主 备、双主模式， 并能实现双机 热备模式下的 配置同步，会话 状态同步满 足产品应支持统一威胁 管理功能，支持入侵检 测功能、URL过滤功 能、防病毒功能、反垃 圾邮件功能等SSG320支持统 一威胁防护，支 持 IPS、URL过 滤、防病毒、反 垃圾邮件等满 足产品应支持 web、SSH、con sole 等方式管理SSG 320支持WEB、 SSH、 CONSOLE 、 telnet 等方式 管理满 足SSLVPN系统产品应具有至少4个1000Mbps 接口联想

16、网域SAG210 （以下简称SAG 210具备 4 个 1000Mbps 接口；满足产品应具备至少80 M bps加密处理性能，支 持200个用户并发登 录SAG210具备 80Mbps以上加 密处理性能，最 大可支持200个用户并发登 录满 足产品应该支持B/S网 络应用访问，访问 Web应用，免客户端、 免控件，实现100%零 客户端SAG210支持B/S网络应用 架构，不需要客 户端即可访问WEB应用满 足产品应该支持C/S网 络应用访问，支持各种 静态、动态协议应用、 包括邮件、数据库、 FTP、文件共享等。支 持TCP、UDP协议SAG210支持C/S网络应用， 支持静态、动态 协议

17、应用，包括 邮件、数据库、 FTP文件共享。支持TCP UDF 协议满 足)产品应该支持隧道方 式全网络连接，实现客 户端对全子网，全端口 范围的应用访问，全网 络连接应支持账号与 虚拟IP地址的绑定SAG210支持隧道方式全网络 连接，可以访问 内网所有端口， 建立全网络联 机。满 足产品应支持 WEB单 点登录，一次认证完成 登录SSL VPN和 Web 服务。支持域认证方 式、表单认证方式和基 本认证方式SAG210支持单 点登录，认证一 次即可访问 SSLVPN系 统和WE酿务。 支持域认证、表 单认证、基本认 证。满 足产品应支持应用程序 关联、WEB跳转，可 定义用户登录SSL V

18、PN后自动运行所需 应用程序；可定义用户 登录后直接转到 Web 应用页面，简化访问步 骤；用户登录后可直接 点击快捷标签链接访 问内部服务器SAG210支持应 用程序关联、 WEB转,可自 定义用户登录SSLVPN后 自动 运行所需要的 程序，可以定义 用户登录后直 接跳转到指定 的WEBL没，登 录后可以看到 快捷标签直接 访问内部服务 器满 足产品应支持虚拟DNS 管理，优先使用内部 DNS解析，提高访问 效率。自建DNS域名 IP对应关系，实现用 户通过域名访问内部 应用SAG21支持虚拟DNS可设置 优先使用内部DNS服务器满 足产品应支持增强的安SAG210支持增满全认证，包括：多

19、因子强的安全认证，足认证，本地口令、RSA支持多因子认SecurlD、SMS、X.509证，本地口令、证书、电子钥匙+证书RSA SecurlD、+ 口令；短信支持，短SMS、X.509 证信猫、短信网关、SP书、电子钥匙+服务商；增强型口令安证书+口令；短全，可提供口令复杂度信支持，短信检测、首次登录修改密猫、短信网关、码、动态验证码，锁定SP服务商；增暴力猜测帐号；多级帐强型口令安全，号身份，共享帐号供多可提供口令复人使用，VIP帐号享有杂度检测、首次优先登录权登录修改密码、 动态验证码，锁 定暴力猜测帐 号；多级帐号身 份，共享帐号供 多人使用，VIP 帐号享有优先 登录权产品应支持访问

20、痕迹 清除，注销或关闭IE 后，自动清除访问记录 和缓存，防止在公共场 合登录系统导致信息 泄漏SAG210支持访 问SSLVPN系统 的COOKIE临 时文件清除，防 止信息泄露满 足产品应支持隧道隔离， 可定义终端连接 SSL VPN后就无法访问其 他网络，确保隧道数据 安全SAG210支持隧 道隔离，可以定 义登录SSLVPN 后是否可以访 问其他网络满 足1产品应支持安全准入 检查，可支持终端操作 系统、IE、杀毒软件、 补丁、注册表、磁盘文 件、硬件特征，系统特 征等信息特征检查，支 持伪造识别功能SAG210支持准 入安全检查，可 以检查操作系 统、IE、杀毒 软件、补丁、注 册表

21、、磁盘文 件、硬件特征， 系统特征等信 息特征检查，支 持伪造识别功 能满 足产品应支持个性化门 户定制，用户可自己定 制门户页面风格，无需 额外Web服务器SAG210支持个 性化LOGO登 录主页定制满 足产品应支持应用防护 功能，支持状态跟踪、 防SQL注入，过滤灰 色控件，屏蔽跨站脚 本、杜绝非法URL入 侵；支持基于IP、基 于帐号并发会话连接 控制，有效保抵御DDOS攻击SAG210支持应 用防护功能，支 持状态跟踪、防 SQL注入，过 滤灰色控件，屏 蔽跨站脚本、杜 绝非法URL入 侵；支持基于 IP、基于帐号并 发会话连接控 制，有效保抵御DDOS攻击满 足产品应支持双机热备

22、方式部者，支持主/备 模式、主/主模式部署SAG210支持双机热备方式部 署，支持主/备 模式、主/主模 式部署满 足应用 层安 全网 关系 统产品应具有至少3个1000Mbps 接口，支持 划分为三路链路进行应用层安全防护An chiva A206 应用层安全网 关（以下简称Anchiva 206）至少支持6个 1000Mbps 接 口，支持划分为 三路链路满 足产品应至少具备200Mbps HTTP 防病毒过滤性能An chiva A206 产品具备 200Mbps HTTF 病毒过滤性能满 足）产品应支持bypass功 能，至少支持2路 bypassAn chiva A206 产品支持

23、bypass 功能， 至少支持2路 bypass满 足产品应支持防恶意软 件功能，能够分析检测 并阻止 HTTP、HTTPS、FTP、SMTP、POP3双向流量中的 病毒、木马、间谍软件、 蠕虫、后门等网络威胁An chiva A206支持防恶意软 件功能，能够分 析检测并阻止HTTP、HTTPS、FTP、 SMTP、POP3 双向流量中的 病毒、木马、间 谍软件、蠕虫、 后门等网络威 胁满 足产品应支持数据安全An chiva A206满过滤与审计，具有针对支持数据安全足web访问内容的审计过滤与审计，具与关键字过滤功能；具有针对web访有针对 webmail、论问内容的审计坛、Blog等上

24、传内容与关键字过滤的关键字过滤功能；具功能；具有针对有针对SMTP邮件、webmail、论POP3由M牛、FTP上传坛、Blog等上和下载的审计与关键传内容的关键字过滤功能；具有针对字过滤功能；具IM的审计功能。能够有针对 SMTP在网关处最大程度的由M牛、POP3由B保证网络数据的安全件、FTP上传 和下载的审计 与关键字过滤 功能；具有针对 IM 的审计功 能。能够在网关 处最大程度的 保证网络数据 的安全产品应支持 InternetAn chiva A206满应用控制，应用层安全支持互联网应足网关应能分析识别用控制，支持IM、P2P、流媒体、IM、P2P流媒网络游戏、网络炒股等体、网络游

25、戏、In ternet 应用或内容网络炒股等应后，通过基于用户按时用控制，可根据间段制订允许、阻断、IP、用户等设置限流和记录日志等细阻断、限流、记粒度的策略达到对Internet应用的控制、 分析与监控；同时为了 满足策略群组中特定 用户的需求，还可以设 定特定的例外IP或用 户录日志等策略产品应支持网站管理， URL过滤，米用数据 云URL过滤技术，云 技术智能收集分类平 台，使企业能够避免因 职员访问聊天类、金融 类、购物类、娱乐类等 网络内容所带来的生 产力的损失An chiva A206支持网站分类 管理、支持URL 过滤，采用URL 云过滤技术，智 能收集分类表， 可以避免生产 力

26、流失满 足产品应该支持带宽管An chiva A206满理功能，基于网络应支持带宽管理，足用、URL 类别、IP/IP可基于网络应组/IP地址段、用户/用、URL类别、用户组、时间段的上行IP/IP 组/IP 地流量和下仃流量带宽址段、用户/用保证以及带宽限制，不户组、时间段的仅能够提供对非关键上行流量和下网络应用的控制和限行流量带宽保速，达到为企业网络流证以及带宽限量整形的目的，还能够制， Anchiva为关键的业务系统或A206能够提供网络应用提供带宽保对非关键网络证，达到网络流量优化应用的控制和和网络应用加速的目限速，达到为企的业网络流量整 形的目的，还能 够为关键的业 务系统或网络 应

27、用提供带宽 保证，达到网络 流量优化和网 络应用加速的 目的产品应该支持Web攻An chiva A206满击防御，通过对进出支持Web攻击足Web 服务器的防御，通过对进http/https协议相关内出Web服务器容的实时分析监测、过的 http/https 协滤，来精确判定并阻止议相关内容的各种Web入侵行为，实时分析监测、阻断对Web服务器的过滤，来精确判恶意访问与非法操作，定并阻止各种适应Web2.0时代的主Web入侵行动实时监测过滤风险为，阻断对技术，而不是被动的遭Web服务器的受攻击后的恢复，将恶恶意访问与非意代码、非授权篡改、法操作，适应应用攻击等众多因素Web2.0时代的结合在

28、起进仃综合主动实时监测防范，从而做到对过滤风险技术，Web服务器的保护，而不是被动的防SQL注入，防XSS遭受攻击后的攻击，防命令行注入，恢复，将恶意代防弱口令攻击、防挂马码、非授权篡攻击等改、应用攻击等 众多因素结合 在一起进行综AD域部 署域控制器搭建，安装Win dows2008server,在其上安装相 应软件并将其搭建为 域控制器，安装需要的 网络服务确保域控制 器能够正常工作提供 Windows server 2008 安 装，搭建域控制 器，并确保域控 制器能够正常 运行满 足创建组织架构，按照电 联公司现有的部门管 理架构在域控制器上 创建相应的OU以及 个人账户，并安装账户

29、的密码管理策略给每 个用户创建账号、口令提供AD组织架 构创建服务，安 装电联现有的 部门管理架构 和命名规范创 建相应的OU和 个人账户，并安 装密码管理策 略创建用户账 户、口令满 足工作组到域模式迁移，提供从工作组满逐步把电联公司现有模式到域模式足的所有电脑（运行在工的迁移服务，逐作组模式下）加入到步把电联现有域，完成从工作组模式的所有电脑（运到域模式的迁移行在工作组模 式下）加入到 域，完成从工作 组模式到域模 式的迁移应用系统迁移，需要保 障电联现有的应用系 统，包括个人应用系统 与服务器应用系统，如 ERP、邮件、OA、财 务软件、打印机等完成 到域模式迁移后能够 正常运行提供应用

30、系统 迁移服务，确保 电联现有的应 用系统的可用 性，包括个人应 用系统与服务 器应用系统，如 ERP、由E件、 OA、财务软件、 打印机等完成 到域模式迁移 后能够正常运 行满 足根据电联公司对内部 电脑的管理要求，定制 相应的组策略，实现统 一管理提供策略定制 服务，定制相应 的组策略，实现 统一管理满 足搭建SUS服务，通过 SUS服务的搭建和组 策略的定制，实现对Windows系统补丁的 统一更新和管理提供SUS安装 配置服务，通过 SUS服务的搭 建和组策略的 定制，实现对Windows 系统 补丁的统一更新和管理满 足邮件安全网关邮件安全网关应具备 反垃圾邮件、防病毒邮 件以及内容

31、过滤技术， 能够对入站和出站的 电子邮件进行安全检 查和过滤；Syma ntec 8340 邮件安全网关（以下简称Syma ntec8340）具备反垃 圾邮件、防病毒 邮件、内容过 滤、即时通讯过 滤功能，可对入 站、出站的电子 邮件、即时消息 进行安全检查 和过滤满 足设备应支持不少于1000用户的邮件安全 过滤Syma ntec 8340可以支持不少于1000用户的 邮件过滤满 足设备存储空间应不少 于80G，为保证数据 安全，要求设备硬盘为raid 1模式Symantec 8340 硬盘存储采用 raid 1 模式， 存储空间80G满 足设备应具备电子邮件 防火墙功能，能够对账号搜集攻击

32、(DHA)进行防护，能进行发件人验证，SMTP连接管理Syma ntec 8340 具备电子邮件 防火墙功能，能 够对 账号搜集攻击 (DHA)进行防护，能进行 发件人验证，SMTP连接 管理满 足设备应支持黑、白名 单，RBL列表，支持 多种语言的垃圾邮件 扫描，如中文、英文、 日文、韩文、西班牙语、 葡萄牙语等Syma ntec 8340 支持邮件IP、 域名、邮箱的黑 白名单，支持 RBL列表添加， 支持多语言垃 圾邮件扫描，如 中文、英文、日 文、韩文、西班 牙语、葡萄牙语 等满 足设备应能对邮件进行 病毒扫描，并定义扫描 附件的解压缩层级Symantec 8340 支持对邮件的 病毒

33、扫描，可以 定义附件扫描 以及解压缩层 级满 足设备应支持基于内容 的过来，可以定义邮件 头、主题、内容、附件 等的词典过滤器，并支 持以上过滤器之间的 与、或、非逻辑运算组 合Syma ntec 8340 支持基于内容 的过来，可以定 义邮件头、主 题、内容、附件 等的词典过滤 器，并支持以上 过滤器之间的 与、或、非逻辑 运算组合满 足支持隔离邮件通知功 能，个人邮箱使用者可 以用自己的账号登陆 个人隔离邮件，并可以 根据发件人、收件人、邮件正文、 主题、时间等条件搜索隔离邮件Symantec 8340 支持隔离邮件 通知功能，个人 邮箱使用者可 以用自己的账 号登陆个人隔 离邮件，并可以 根据发件人、收件人、 邮件正文、主题、时间等条件搜索隔离邮件满 足支持WEB管理，支持 自定义模板的报告生 成和导出Syma ntec 8340 支持WEBSSH CONSOL管理， 支持预定义、自 定义的报告生 成和导出满 足技术服务供应商应对本项目中 所有产品提供安装部 署服务，保证所有产品 能够稳定运行，产品安 装部署完后应提交安 装配置文档提供所有产品 的安装部署服 务，保证所有产 品能够稳定运 行，安装完成后 提交安装配置 文档满 足本项目所有产品，要求提供所有产品满提供现场的产品培训的现场培训服足服务。务，