技术要求响应表点对点应答

附件三网络信息安全解决方案招标项目及规定技术规定响应表产品技术规定规范投标产品技术规范描述偏离状况内网安全管理产品应能够做到安全准入认证与控制（非ARP欺骗方式），能够限制未授权的电脑访问公司网络ProVisa内网安全管理（下列简称ProVisa）支持软硬件方式的准入控制，能够限制未授权的电脑访问公司网络及互联网，非法内联的控制非采用ARP欺骗的方式满足产品应涉及身份认证、安全准入检查、内网安全管理、桌面应用程序管理、移动外设管理、资产管理、内网审计功效，满足内网安全管理的规定ProVisa内网安全管理分为准入控制、内网安全、上网行为管理、桌面管理、拓扑管理五大模块，能够实现身份认证，安全准入检查、内网安全管理、桌面应用程序管理、移动外设管理、资产管理、内网审计功效，能够满足顾客对内网安全管理的需求满足身份认证应支持基于顾客名、密码、IP、MAC、系统硬件特性等认证方式；支持AD认证；支持多因素认证；支持IP地址与MAC地址的绑定ProVisa内网安全管理支持多因素身份，涉及基于账号、密码、IP、MAC地址、硬盘序列号灯的认证；支持AD、LDAP认证；支持多因素身份认证，如USBkey；支持角色身份的绑定，如IP与MAC地址绑定，IP与系统特性绑定等。满足产品应含有安全准入检查功效，涉及：系统漏洞检查、杀毒软件使用检查、危险进程检查、ARP欺骗检查等，发现不符合安全准入方略的终端严禁接入网络ProVisa支持Windows系统漏洞检查、支持杀毒软件的检查，发现未启动杀毒软件严禁进入网络；支持危险进程的检查；支持ARP欺骗的检查、隔离、报警。满足产品应能够自动检测ARP欺骗行为，发现ARP欺骗行为后能够自动报警并提示顾客；同时客户端能够自动制止ARP欺骗包的外发，确保内网不受ARP欺骗的侵扰ProVisa能够自动检测客户端ARP发包行为，发现欺骗包自动隔离，并且能够给客户端、服务端告警。满足产品应支持按照不同的顾客、部分进行划分，对不同级别的顾客、部门能够授予不同的权限ProVisa按照验证状态支持已验证组、未验证组的划分；已验证组中，能够按照部门、顾客划分并分派不同的权限满足产品应支持远程协助功效，管理员能够通过远程协助操作客户端电脑ProVisa支持远程协助功效，管理员能够通过远程协助操作客户端电脑满足产品应支持桌面进程的管理、窗口的管理，支持对P2P类软件、IM类软件、股票类等各类软件的使用控制，支持基于不同的时间段定义控制方略ProVisa支持基于进程、窗体的管理，能够对P2P类软件、IM类软件、股票类软件进行控制，并可根据不同的时间段定义不同的控制方略满足产品应支持对外设的管理，如USB、光驱、打印、红外、1394接口等，能够严禁或者允许外设接口的使用ProVisa支持对外设的管理、如USB、光驱、打印、红外、1394接口等，能够根据需求禁用或者启用外设接口满足产品应支持分组、全局的消息告知、软件分发ProVisa支持基于全局、分组、顾客的消息告知、软件分发；软件分发支持自动安装，提示安装满足产品应支持网页访问，文献上传下载等的日志统计，应能够统计访问源顾客，源IP、目的IP、URL、访问时间、访问内容、动作等，并能够根据条件检索ProVisa支持上网行为统计，能够统计网页访问日志、文献上传下载统计，能够统计顾客、IP、URL、访问时间、访问内容、动作等，并能够根据条件进行检索满足支持实时带宽监控，支持实时动态带宽图；支持历史带宽查询、顾客带宽统计ProVisa支持实时带宽功效，管理员能够实时看到顾客上行、下行带宽；内网、外网带宽；并支持顾客、部门的历史带宽查询；支持顾客带宽统计满足支持多个图形化报告，顾客访问排名、网站访问排名、网络访问报表，带宽统计，历史带宽统计等ProVisa支持多个图形化报表，顾客排名、网站访问排名、网络访问报表，带宽统计，历史带宽统计等。满足数据、文档保护系统产品应在不变化顾客原有工作流程和文献使用习惯的前提下，对需要保护的文献进行强制加密保护，并对文献的使用进行全程监控，有效避免被动和主动泄密，消除内部安全隐患于无形之中前沿文档安全管理系统（下列简称前沿）采用应用层加密技术，无需变化顾客原有工作流程、文献使用习惯，能够对需加密的文献强制加密，并对文献使用过程全程监控，可有效避免主动和被动的泄密满足产品应支持自动加密、手动加密、手自一体化加密；并支持全盘加密、安装文献格式加密前沿支持自动加密、手动加密、手自一体化加密；并能够支持全盘加密、特定文献格式加密、特定部门加密等满足产品应支持文档权限的控制，系统可控制的操作有文档阅读、文档编辑、文档复制和文档打印等；产品应自动屏蔽键盘截屏键和其它第三方截屏软件前沿支持文档权限的控制，能够控制文档阅读、编辑、复制、打印控制等功效；能够自动屏蔽系统截屏键和第三方截屏软件；满足使用密文的顾客不能将密文拷贝出单位，一旦拷出文档将无法正常打开；无论是谁或通过哪种方式，如邮件、U盘、光盘刻录、上传、更改文献后缀名或是另存为其它格式等，文献始终保持被加密状态前沿能够定义文档不能够被拷贝，或者拷贝后未经授权无法打开；不管与否更改文献格式、采用何种途径传输，文献始终保持加密状态满足员工需要将计算机（笔记本）带离内部工作环境时，应向系统提出申请，等待审核人员审批。系统提供受保护文档在外部环境中正常使用的功效。另外，可控制离线文档可被使用的时间与权限前沿支持文献移动办公审批功效，能够给离线顾客设立文献使用权限和时间范畴。满足产品应支持外发文献控制，可设立外发文献的阅读次数，阅读天数，与否需要密码等设立，确保文档安全前沿支持文献外发的审批与控制，能够设立外发文献的阅读次数，阅读天数，密码保护等，全方位确保文档的安全满足产品应支持将加密文档与指定的载体（如认证过的光盘、优盘、笔记本等）进行绑定，带离内部环境使用。文档被拷贝出指定载体后不能继续使用前沿支持加密文档与制订的载体进行绑定，能够带离公司环境后继续使用，文档拷出载体则无法继续使用满足产品应可为离开办公环境的计算机（已安装文档安全系统客户端）提供加密文档的使用授权，使工作人员可携带计算机在外部环境中使用加密文档，方便工作人员临时使用文档前沿支持移动办公授权，能够使移动办公人员方便在外部使用加密文档满足系统应含有完善日志统计功效，能够实时、精确的统计使用者对文献进行的：新建、打开、保存、删除、打印、加密、解密、权限变更、申请、审批等全部操作前沿含有完善的日志统计和审计功效，能够实时、精确统计文献使用的事件，涉及：新建、打开、保存、删除、打印、加密、解密、权限变更、申请、审批等全部对加密文档的操作满足产品应支持日志查询，系统提供多条件组合查询方式，如文献名，计算机名，部门，操作名称等组合查询。方便，快捷的查询出顾客需要查询的日志。并可将日志导出成excel或txt格式文献前沿支持日志查询，可提供多条件组合查询，如文献名、计算机名、部门、操作方式等；全部的日志都能够导出为excel、txt等格式或打印满足防火墙系统设备应采用专用硬件平台、专业安全系统JuniperSSG320-SH(下列简称SSG320)采用专用的硬件平台，以及专业的安全系统满足产品应最少固定4个10/100/1000Base-T，并可扩展至8个10/100/1000Base-TSSG320标配4个1000Base-T接口，可通过扩展支持到最多20个个1000Base-T接口满足产品性能应不不大于等于下列原则：防火墙性能：400Mbps每秒解决的防火墙数据包数量：150,000PPS3DES+SHA-1VPN性能：150Mbps并发VPN通道：400最大并发会话数：64,000最大安全方略数：SSG-320性能以下：防火墙性能：450Mbps每秒解决包性能：1750,00PPS3DESVPN性能：175Mbps并发会话数：500并发会话数：64,000最大安全方略数：满足防火墙应支持路由模式、NAT模式、透明模式SSG-320支持路由、NAT、透明模式满足产品应支持IPSecVPN；IPSecVPN应支持基于方略的VPN、基于路由的VPNSSG-320支持IPSecVPN,L2TPVPN；IPSecVPN支持基于方略、基于路由的VPN组网满足产品应能够防护DOS、DDOS等报文攻击，如：Synflooding、Icmpflooding、Udpflooding、Portscan、ipsweep等攻击，对于synflooding攻击，应支持synprotect、synproxy、syncookie等多个防护方式SSG320支持DOS\DDOS等攻击，如synflooding\ICMPflooding、UDPflooding等攻击，支持synprotect\synproxy\syncookie等多个防护模式满足产品应支持静态路由、方略路由SSG320支持静态路由、方略路由、动态路由满足产品应支持安全域的划分，支持安全域的数量不少于10个SSG320支持安全区的划分，最大支持40个安全区满足产品应支持双机热备功效，支持主/备、主/主模式，并能实现双机热备下的配备同时、会话状态同时SSG320支持主备、双主模式，并能实现双机热备模式下的配备同时，会话状态同时满足产品应支持统一威胁管理功效，支持入侵检测功效、URL过滤功效、防病毒功效、反垃圾邮件功效等SSG320支持统一威胁防护，支持IPS、URL过滤、防病毒、反垃圾邮件等满足产品应支持web、SSH、console等方式管理SSG320支持WEB、SSH、CONSOLE、telnet等方式管理满足SSLVPN系统产品应含有最少4个1000Mbps接口联想网域SAG210（下列简称SAG210）含有4个1000Mbps接口满足产品应含有最少80Mbps加密解决性能，支持200个顾客并发登录SAG210含有80Mbps以上加密解决性能，最大可支持200个顾客并发登录满足产品应当支持B/S网络应用访问，访问Web应用，免客户端、免控件，实现100％零客户端SAG210支持B/S网络应用架构，不需要客户端即可访问WEB应用满足产品应当支持C/S网络应用访问，支持多个静态、动态合同应用、涉及邮件、数据库、FTP、文献共享等。支持TCP、UDP合同SAG210支持C/S网络应用，支持静态、动态合同应用，涉及邮件、数据库、FTP、文献共享。支持TCP、UDP合同满足产品应当支持隧道方式全网络连接，实现客户端对全子网，全端口范畴的应用访问，全网络连接应支持账号与虚拟IP地址的绑定SAG210支持隧道方式全网络连接，能够访问内网全部端口，建立全网络联机。满足产品应支持WEB单点登录，一次认证完毕登录SSLVPN和Web服务。支持域认证方式、表单认证方式和基本认证方式SAG210支持单点登录，认证一次即可访问SSLVPN系统和WEB服务。支持域认证、表单认证、基本认证。满足产品应支持应用程序关联、WEB跳转，可定义顾客登录SSLVPN后自动运行所需应用程序；可定义顾客登录后直接转到Web应用页面，简化访问环节；顾客登录后可直接点击快捷标签链接访问内部服务器SAG210支持应用程序关联、WEB跳转，可自定义顾客登录SSLVPN后自动运行所需要的程序，能够定义顾客登录后直接跳转到指定的WEB也没，登录后能够看到快捷标签直接访问内部服务器满足产品应支持虚拟DNS管理，优先使用内部DNS解析，提高访问效率。自建DNS域名IP对应关系，实现顾客通过域名访问内部应用SAG21支持虚拟DNS，可设立优先使用内部DNS服务器满足产品应支持增强的安全认证，涉及：多因子认证，本地口令、RSASecurID、SMS、X.509证书、电子钥匙＋证书＋口令；短信支持，短信猫、短信网关、SP服务商；增强型口令安全，可提供口令复杂度检测、初次登录修改密码、动态验证码，锁定暴力猜想帐号；多级帐号身份，共享帐号供多人使用，VIP帐号享有优先登录权SAG210支持增强的安全认证，支持多因子认证，本地口令、RSASecurID、SMS、X.509证书、电子钥匙＋证书＋口令；短信支持，短信猫、短信网关、SP服务商；增强型口令安全，可提供口令复杂度检测、初次登录修改密码、动态验证码，锁定暴力猜想帐号；多级帐号身份，共享帐号供多人使用，VIP帐号享有优先登录权满足产品应支持访问痕迹去除，注销或关闭IE后，自动去除访问统计和缓存，避免在公共场合登录系统造成信息泄漏SAG210支持访问SSLVPN系统的COOKIE、临时文献去除，避免信息泄露满足产品应支持隧道隔离，可定义终端连接SSLVPN后就无法访问其它网络，确保隧道数据安全SAG210支持隧道隔离，能够定义登录SSLVPN后与否能够访问其它网络满足产品应支持安全准入检查，可支持终端操作系统、IE、杀毒软件、补丁、注册表、磁盘文献、硬件特性，系统特性等信息特性检查，支持伪造识别功效SAG210支持准入安全检查，能够检查操作系统、IE、杀毒软件、补丁、注册表、磁盘文献、硬件特性，系统特性等信息特性检查，支持伪造识别功效满足产品应支持个性化门户定制，顾客可自己定制门户页面风格，无需额外Web服务器SAG210支持个性化LOGO、登录主页定制满足产品应支持应用防护功效，支持状态跟踪、防SQL注入，过滤灰色控件，屏蔽跨站脚本、杜绝非法URL入侵；支持基于IP、基于帐号并发会话连接控制，有效保抵抗DDOS攻击SAG210支持应用防护功效，支持状态跟踪、防SQL注入，过滤灰色控件，屏蔽跨站脚本、杜绝非法URL入侵；支持基于IP、基于帐号并发会话连接控制，有效保抵抗DDOS攻击满足产品应支持双机热备方式布署，支持主/备模式、主/主模式布署SAG210支持双机热备方式布署，支持主/备模式、主/主模式布署满足应用层安全网关系统产品应含有最少3个1000Mbps接口，支持划分为三路链路进行应用层安全防护AnchivaA206应用层安全网关（下列简称Anchiva206）最少支持6个1000Mbps接口，支持划分为三路链路满足产品应最少含有200MbpsHTTP防病毒过滤性能AnchivaA206产品含有200MbpsHTTP病毒过滤性能满足产品应支持bypass功效，最少支持2路bypassAnchivaA206产品支持bypass功效，最少支持2路bypass满足产品应支持防恶意软件功效，能够分析检测并制止HTTP、HTTPS、FTP、SMTP、POP3双向流量中的病毒、木马、间谍软件、蠕虫、后门等网络威胁AnchivaA206支持防恶意软件功效，能够分析检测并制止HTTP、HTTPS、FTP、SMTP、POP3双向流量中的病毒、木马、间谍软件、蠕虫、后门等网络威胁满足产品应支持数据安全过滤与审计，含有针对web访问内容的审计与核心字过滤功效；含有针对webmail、论坛、Blog等上传内容的核心字过滤功效；含有针对SMTP邮件、POP3邮件、FTP上传和下载的审计与核心字过滤功效；含有针对IM的审计功效。能够在网关处最大程度的确保网络数据的安全AnchivaA206支持数据安全过滤与审计，含有针对web访问内容的审计与核心字过滤功效；含有针对webmail、论坛、Blog等上传内容的核心字过滤功效；含有针对SMTP邮件、POP3邮件、FTP上传和下载的审计与核心字过滤功效；含有针对IM的审计功效。能够在网关处最大程度的确保网络数据的安全满足产品应支持Internet应用控制，应用层安全网关应能分析识别IM、P2P、流媒体、网络游戏、网络炒股等Internet应用或内容后，通过基于顾客准时间段制订允许、阻断、限流和统计日志等细粒度的方略达成对Internet应用的控制、分析与监控；同时为了满足方略群组中特定顾客的需求，还能够设定特定的例外IP或顾客AnchivaA206支持互联网应用控制，支持IM、P2P、流媒体、网络游戏、网络炒股等应用控制，可根据IP、顾客等设立阻断、限流、统计日志等方略满足产品应支持网站管理，URL过滤，采用数据云URL过滤技术，云技术智能收集分类平台，使公司能够避免因职工访问聊天类、金融类、购物类、娱乐类等网络内容所带来的生产力的损失AnchivaA206支持网站分类管理、支持URL过滤，采用URL云过滤技术，智能收集分类表，能够避免生产力流失满足产品应当支持带宽管理功效，基于网络应用、URL类别、IP/IP组/IP地址段、顾客/顾客组、时间段的上行流量和下行流量带宽确保以及带宽限制，不仅能够提供对非核心网络应用的控制和限速，达成为公司网络流量整形的目的，还能够为核心的业务系统或网络应用提供带宽确保，达成网络流量优化和网络应用加速的目的AnchivaA206支持带宽管理，可基于网络应用、URL类别、IP/IP组/IP地址段、顾客/顾客组、时间段的上行流量和下行流量带宽确保以及带宽限制，AnchivaA206能够提供对非核心网络应用的控制和限速，达成为公司网络流量整形的目的，还能够为核心的业务系统或网络应用提供带宽确保，达成网络流量优化和网络应用加速的目的满足产品应当支持Web攻击防御，通过对进出Web服务器的http/https合同有关内容的实时分析监测、过滤，来精确鉴定并制止多个Web入侵行为，阻断对Web服务器的恶意访问与非法操作，适应Web2.0时代的主动实时监测过滤风险技术，而不是被动的遭受攻击后的恢复，将恶意代码、非授权篡改、应用攻击等众多因素结合在一起进行综合防备，从而做到对Web服务器的保护，防SQL注入，防XSS攻击，防命令行注入，防弱口令攻击、防挂马攻击等AnchivaA206支持Web攻击防御，通过对进出Web服务器的http/https合同有关内容的实时分析监测、过滤，来精确鉴定并制止多个Web入侵行为，阻断对Web服务器的恶意访问与非法操作，适应Web2.0时代的主动实时监测过滤风险技术，而不是被动的遭受攻击后的恢复，将恶意代码、非授权篡改、应用攻击等众多因素结合在一起进行综合防备，从而做到对Web服务器的保护，防SQL注入，防XSS攻击，防命令行注入，防弱口令攻击、防挂马攻击等满足AD域布署域控制器搭建，安装Windowsserver，在其上安装对应软件并将其搭建为域控制器，安装需要的网络服务确保域控制器能够正常工作提供Windowsserver安装，搭建域控制器，并确保域控制器能够正常运行满足创立组织架构，按照电联公司现有的部门管理架构在域控制器上创立对应的OU以及个人账户，并安装账户的密码管理方略给每个顾客创立账号、口令提供AD组织架构创立服务，安装电联现有的部门管理架构和命名规范创立对应的OU和个人账户，并安装密码管理方略创立顾客账户、口令满足工作组到域模式迁移，逐步把电联公司现有的全部电脑（运行在工作组模式下）加入到域，完毕从工作组模式到域模式的迁移提供从工作组模式到域模式的迁移服务，逐步把电联现有的全部电脑（运行在工作组模式下）加入到域，完毕从工作组模式到域模式的迁移满足应用系统迁移，需要保障电联现有的应用系统，涉及个人应用系统与服务器应用系统，如ERP、邮件、OA、财务软件、打印机等完毕到域模式迁移后能够正常运行提供应用系统迁移服务，确保电联现有的应用系统的可用性，涉及个人应用系统与服务器应用系统，如ERP、邮件、OA、财务软件、打印机等完毕到域模式迁移后能够正常运行满足根据电联公司对内部电脑的管理规定，定制对应的组方略，实现统一管理提供方略定制服务，定制对应的组方略，实现统一管理满足搭建SUS服务，通过SUS服务的搭建和组方略的定制，实现对Windows系统补丁的统一更新和管理提供SUS安装配备服务，通过SUS服务的搭建和组方略的定制，实现对Windows系统补丁的统一更新和管理满足邮件安全网关邮件安全网关应含有反垃圾邮件、防病毒邮件以及内容过滤技术，能够对入站和出站的电子邮件进行安全检查和过滤；Symantec8340邮件安全网关（下列简称Symantec8340）含有反垃圾邮件、防病毒邮件、内容过滤、即时通讯过滤功效，可对入站、出站的电子邮件、即时消息进行安全检查和过滤满足设备应支持不少于1000顾客的邮件安全过滤Symantec8340能够支持不少于1000顾客的邮件过滤满足设备存储空间应不少于80G，为确保数据安全，规定设备硬盘为raid1模式Symantec8340硬盘存储采用raid1模式，存储空间80G满足设备应含有电子邮件防火墙功效，能够对账号收集攻击(DHA)进行防护，能进行发件人验证，SMTP连接管理Symantec8340含有电子邮件防火墙功效，能够对账号收集攻击(DHA)进行防护，能进行发件人验证，SMTP连接管理满足设备应支持黑、白名单，RBL列表，支持多个语言的垃圾邮件扫描，如中文、英文、日文、韩文、西班牙语、葡萄牙语等Symantec8340支持邮件IP、域名、邮箱的黑白名单，支持RBL列表添加，支持多语言垃圾邮件扫描，如中文、英文、日文、韩文、西班牙语、葡萄牙语等满足设备应能对邮件进行病毒扫描，并定义扫描附件的解压缩层级Symantec8340支持对邮件的病毒扫描，能够定义附件扫描以及解压缩层级满足设备应支持基于内容的过来，能够定义邮件头、主题、内容、附件等的词典过滤器，并支持以上过滤器之间的与、或、非逻辑运算组合Symantec8340支持基于内容的过来，能够定义邮件头、主题、内容、附件等的词典过滤器，并支持以上过滤器之间的与、或、非逻辑运算组合满足支持隔离邮件告知功效，个人邮箱使用者能够用自己的账号登陆个人隔离邮件，并能够根据发件人、收件人、邮件正文、主题、时间等条件搜索隔离邮件Symantec8340支持隔离邮件告知功效，个人邮箱使用者能够用自己的账号登陆个人隔离邮件，并能够根据发件人、收件人、邮件正文、主题、时间等条件搜索隔离邮件满足支持WEB管理，支持自定义模板的报告生成和导出Symantec8340支持WEB、SSH、CONSOLE管理，支持预定义、自定义的报告生成和导出满足技术服务供应商应对本项目中全部产品提供安装布署服务，确保全部产品能够稳定运行，产品安装布署完后应提交安装配备文档提供全部产品的安装布署服务，确保全部产品能够稳定运行，安装完毕后提交安装配备文档满足本项目全部产品，规定提供现场的产品培训服务。本项目中防火墙、VPN系统，供应商应提供专业的产品培训，协助管理员纯熟掌握产品的原理、布署、配备、排错提供全部产品的现场培训服务，确保管理员能够掌握管理管理功效；对本项目中的防火墙、VPN系统，免费提供2个名额的产品培训，协助管理员掌握产品的工作原理、布署、配备、排错满足供应商对本项目中全部产品提供7*