[南昌县]南昌县房管局设备

序号

产品名称

产品技术参数及要求

1

下一代应用安全网关

1.基本要求

设备部署网络最外层，自身必须安全可靠，通过了EAL4+级安全认证。（提供证书复印件，并加盖厂商公章证明）

1U机架式，冗余电源；实际配置6个10/100/1000M电口、8个SFP光口插槽。

2.系统性能

网络吞吐量≥6Gbps、应用层安全防御性能(FW+AI+IPS)≥2.2Gbps、病毒防御性能≥600Mbps、并发连接数≥200万、新建TCP连接数≥3万/秒。

3.网络接入

支持路由、交换、混合、虚拟线工作模式，支持IPv4/IPv6双栈工作模式；

支持静态路由、ISP路由及动态路由协议，支持802.1q、QinQ模式。（提供相关界面截图，并加盖厂商公章）

支持基于源/目的地址、源/目的端口、用户、应用的策略路由，保证关键业务流量通过优质链路转发；

支持一对一SNAT、多对一SNAT、一对一DNAT、双向NAT、NoNAT等多种转换方式；支持Sticky NAT开关，使相同源IP的数据包经过地址转换后为其转换的源 IP 地址相同；

支持智能DNS及DNS Docting功能，能够将来自内部网络的域名解析请求定向到真实内网资源，提高访问效率，同时支持通过配置多条 DNS Doctoring，实现内网资源服务器的负载均衡。（提供相关界面截图，并加盖厂商公章）

4.用户管理

内置强大的用户身份管理系统，支持本地认证、证书认证及免认证等方式，同时支持RADIUS、LDAP、TACACS等多种第三方外部认证设置；

支持设置密码有效性，如首次登陆修改密码、密码定期修改、密码有效时间等设置，用户忘记密码时，支持密码找回；

5.应用流量和行为管控

内置应用识别引擎，综合运用端口识别、行为识别、特征识别、关联识别等技术手段，可准确识别≥2000种应用，如：P2P、web应用、移动应用、云应用及各种加密类型的应用流量等(提供1年应用特征库免费更新授权)。

支持基于IP/IP组、用户/用户组、服务/服务组、应用/应用组和时间等配置带宽策略，支持带宽策略优先级，可配置包含链路、父通道、子通道的5层多级带宽策略，对流量进行细分管理，保证带宽的利用率；

为保护内部网络资源以及合理分配设备系统资源，需支持对指定的源/目的IP地址、MAC地址、应用制定相应的连接限制策略，策略包含三种限制类型：单个IP每秒新建连接限制、单个IP连接数限制及连接总数限制；

内置互联网URL分类库，支持超过100大类、2000万条的URL地址分类库，可根据网站类别，对自身网络的WEB应用实施全面化管控，杜绝非法、违规网站的访问行为，净化网络应用环境。 (提供1年URL库免费更新授权)

内置文件过滤引擎，支持对即时通讯、社交网络、网络硬盘、网页邮箱、IM文件传输等应用类型以及HTTP/FTP/SMTP/POP3等标准协议进行检测，识别可执行文件、office文件、视频文件、图片文件、帮助文件、压缩文件、数据文件等超过50种文档类型的文件过滤；

支持基于http、ftp、telnet、smtp、pop3等协议的内容过滤策略，可对微博、贴吧上传的内容及附件进行过滤，可对FTP上传/下载的文件名进行过滤，同时支持过滤FTP信令：上传文件、下载文件、删除文件、重命名文件、创建目录、删除目录、列出目录等，邮件过滤支持对发件人、收件人、主题、内容、附件等进行过滤；

支持网站访问审计：审计指定类别的 URL 地址、审计命中指定关键字的网页标题和网页内容；

支持邮件内容审计：对接收/发送邮件行为及邮件内容进行审计；FTP审计：对FTP上传/下载行为及文件内容进行审计；

支持网盘审计：对主流网盘应用如百度网盘等上传内容进行审计；

提供完善的审计数据查询功能，方便管理员对用户的上网行为进行审查和分析。支持对用户上网行为进行完整的审计数据查询，包括访问网站、邮件收发、论坛微博、 FTP、 网盘、 TELNET等；同时支持对用户上网流量时长进行完整的审计数据查询，包括服务端IP、用户名、协议、上行流量、下行流量、总流量、时间等。

6.应用安全防护

内置高度集成的一体化智能过滤引擎技术，实现在同一条访问控制策略中配置传统的五元组信息、用户、域名、应用、服务、时间、安全引擎（入侵防御、URL过滤、病毒过滤、数据防泄漏DLP、内容过滤、文件过滤、审计、APT）的识别与控制；

提供智能策略分析功能，支持策略命中分析、策略冗余分析、策略冲突检查，并且可在WEB界面显示检测结果，如：红色为冗余策略，绿色为冲突策略；（提供相关界面截图，并加盖厂商公章）

内置流量检测清洗引擎，支持基于IP、ICMP、TCP、UDP、DNS、HTTP、NTP等众多协议类型的防护策略；提供丰富的策略模板，且支持策略模板自定义；

内置攻击检测引擎，含WEB应用攻击防护（包括：跨站脚本攻击、SQL注入攻击、CSRF攻击、WEB服务程序漏洞攻击等），且内置攻击特征库≥4000条记录，确保每周至少更新1次(提供3年攻击特征库免费更新授权)。

7.日志报表

支持日志本地存储，可对不同类型日志设置存储空间；同时支持外发至SYSLOG服务器，可将多条日志合并成一条日志传送到日志服务器中，可选择对日志传输是否加密，设定8位的加密密钥；

日志查看可划分为管理日志、系统日志、策略日志、应用行为日志等四大模块，具体包含用户、连接、流量、NAT、审计、HA、APT、未知威胁等日志类别；

内置15类预定义报表模板，支持根据通信流量、上网行为、威胁统计等来源数据库自定义报表模板；支持一次性报表及周期性报表，可自定义统计时间；

支持向安全感知平台发送安全事件，作为安全感知平台基础数据。

8.系统管理

支持多个配置文件并存，配置文件数量不少于3个；

支持多个系统升级包并存，系统升级包文件数量不少于2个；

支持根据应用对通过设备的数据报文流量进行统计，包括应用总流量排名和各个应用的协议名称、总流量、上行流量、下行流量、新建连接数、当前会话数以及流速；

支持根据用户/用户组对通过设备的数据报文流量进行统计，包括用户总流量排名和各个用户的用户名、认证类型、上行流量、下行流量、新建会话数、当前会话数以及流速；

在WEB界面提供资源监控开关，可对cpu占用率、内存占用率、磁盘占用率设置阈值；

2

云堡垒机

1.架构部署

系统架构

基于软件形态提供，支持在虚拟化、云平台中安装

支持至少50个设备/主机的管理

支持集群分布式存储审计记录和文件

支持实时全文检索审计记录

支持HTML5方式的SSH/RDP/VNC/Telnet单点登录

支持图形化检索/呈现授权访问关系

高可用性

支持集群部署，可平滑性能扩展

内置负载均衡，简化网络部署

支持网络N+1冗余，单节点故障不断业务、不丢数据

访问方式与安全性

支持B/S访问：SSH/RDP/VNC/Telnet/SFTP/FTP

B/S采用HTTPs加密方式，无需安装客户端或插件

支持C/S访问：SecureCRT、XShell

2.单点登录

运维客户端

支持Windows、Linux、MAC操作系统的在线单点运维

支持协议

支持SSH、Telnet等字符协议，RDP、VNC、X11等图形协议，FTP、SFTP等文件传输协议，和ORACLE、MSSQL、Sybase、Mysql、DB2、Informix等数据库远程访问协议的单点登录

协议扩展

支持网络设备及Unix/Linux设备的特权模式跳转

支持通过外置应用发布进行协议扩展

支持PL/SQL、TOAD、SQL *PLUS、SQL Server Management Studio账号密码代填

运维面板

支持资产运维协议健康状态探测、告警状态呈现

支持资产运行状态监控(CPU/内存/磁盘/网络/进程)

支持根据资产单点状态（可达）进行一键单点登录

3.工单管理

工单审批

支持运维人员手动创建运维工单

支持运维过程中自动创建运维工单

支持管理员对手动工单和自动工单进行审批、二次审批

工单检索

支持工单列表呈现，支持工单检索

4.用户管理

支持涉密三员管理规定，支持管理员、保密员、审计员、操作员等角色划分

支持运维用户的全生命周期管理，包括添加、修改、删除、停用/启动

支持对用户进行分组，分层次管理，分组以树形方式展现

支持Excel表用户批量导入/导出

角色管理

支持自定义创建、删除、修改、查询角色信息

身份认证

支持本地认证

支持UKey认证

支持短信认证

支持AD域认证

支持LDAP认证

支持Radius认证

支持Google动态令牌

支持双因素认证

5资产管理

支持资产的全生命周期管理，包括添加、修改、删除

支持对资产进行分组，分层次管理，分组以树形方式展现

支持Excel表资产批量导入/导出

资产类型管理

支持内置多种资产类型

支持自定义资产类型

资产监控

支持对资产运维协议的健康状态进行监控（提供截图，加盖厂商公章）

支持资产性能实时监控（CPU/内存/磁盘/网络/进程）

支持性能指标超过阀值后告警（页面闪烁/邮件/短信）

6.密码管理

自动改密

支持根据设备、系统帐号、时间、频率、改密方式生成详细的改密计划，到期自动执行；

支持随机生成不同密码、手动指定密码、根据密码规则生成等；

密码规则

支持设置密码规则（长度、大小写、数字、特殊字符）

7.授权与策略

访问权限

可实现基于用户（用户组）、目标设备（设备组、应用程序）、系统帐号、协议类型进行授权

授权图谱

支持展示单一资产的授权关系图谱（人-账号-协议-资产）

支持资产组/用户组/协议的授权关系图谱（组-人-账号-协议-资产-组）

堡垒机访问策略

支持访问策略的自定义，添加、修改、查询、删除

支持访问IP、地址段、日期、时间、周的策略控制

支持针对指定用户、用户组的限制

支持访问策略的起、停

支持访问策略优先级调整

支持访问策略命中次数统计

运维策略

支持单点策略的自定义，添加、修改、查询、删除

支持访问IP、地址段、日期、时间、周、指令的控制

支持运维策略优先级调整

支持运维策略触发后所进行的操作：告警、阻断、审批

支持运维策略命中策略次数统计

8.告警管理

支持查询告警信息，并支持钻取相关告警事件在事件查询中查询

支持告警通知（页面闪烁/邮件通知/短信通知）

9.操作审计

命令操作审计

支持对字符协议、图形协议、数据库操作进行操作审计

支持RDP会话中的键盘输入信息

支持SFTP/FTP文件传输协议审计

支持命令操作的原始输入输出文本审计

支持针对命令的全文实时检索、统计、分析

图形操作审计

支持针对RDP会话进行OCR指令识别

支持对RDP操作过程中的键盘鼠标操作、剪贴板操作审计

支持录屏回放时，根据指令定位录像播放位置

支持录屏回放以视频流的方式实时播放，不需要加载完成

支持录屏回放视频转换成标准MP4文件并下载

实时监控

支持实时监控图形或字符会话，发现操作高危时，实时切断；

录屏回放

支持任意方式检索会话，回放会话记录

检索方式包括时间、用户名、IP、资产名、协议、关键字

支持以WEB在线视频回放方式重现运维人员对设备的所有操作过程，无须另装播放软件

支持下载回放文件到本地保存

支持专有视频格式（通过专用播放器播放），防泄密

支持标准视频格式（MP4）

支持以键盘输入内容、剪贴板、OCR识别的内容为关键字进行图形搜索

支持搜索结果直接回放（定位到录屏视频的相应位置）

支持倍速/低速播放、拖动、暂停、停止、重新播放等播放控制操作

10.报表管理

定制报表

可以按时间、统计单位、服务类型、用户（用户组）、设备（设备组）及各类子报表类型定制报表；

自动报表

管理员可以手动定制报表模版，并支持根据不同模版自动生成日报、周报、月报，报表内容自动发送给相关管理员；

报表导出

报表支持TXT、CSV、WORD、HTML、EXCEL、PDF格式导出；

11运维分析

用户追溯

追溯指定用户在指定时间段的运维资产记录

支持以鱼骨图方式展示、钻取该用户所运维的资产清单

支持按时间序列检索、属性聚合、关键字检索运维记录

资产追溯

追溯指定资产在指定时间段的运维用户清单

支持以鱼骨图方式展示、钻取该资产对应的运维人员清单

持按时间序列检索、属性聚合、关键字检索运维记录

授权图谱

支持授权关系图谱呈现、检索（提供截图，加盖厂商公章）

支持用户组、用户、资产组、资产、协议多维度检索

支持授权关系图自动布局（平铺/广度/圆形/矩阵）

支持Top10授权用户展现

支持Top10授权资源展现

12.系统设置

支持发件箱配置

支持从WEB管理界面重启、关闭设备。

支持从WEB界面修改网卡IP设置、静态路由设置等内容。

支持审计信息（包括系统审计及运维审计）对外转发，转发方式包括syslog、snmp

支持设置界面session超时时间设置

支持数据备份，并可对数据库、日志等进行选择备份

支持堡垒机系统自身状态监控，至少包括CPU、内存、磁盘的运行/使用情况，可设置阈值进行告警

支持在线升级，升级过程中出现异常，强制回滚。升级瘫痪无法进行强制回滚时可进行手动触发恢复机制，恢复至升级前状态

支持查看升级情况，并将升级成功失败等相关信息统一展示

支持在线ping功能

支持在线查看当前系统组件运行状态

支持空间自管理功能：存储空间不足时能够自动清理老的数据

支持审计日志自动备份和手动备份，支持以FTP/SFTP方式自动备份至指定服务器

系统扩展

支持4A扩展，可以将审计日志输出到4A平台。

支持与SOC联动，可以将审计日志输出到SOC平台。

13.服务要求

★原厂售后服务，为确保服务的及时性、安全性和规范性 ，要求厂商通过ISO27001和ISO20000认证。（提供相关证书复印件和厂商提供的售后服务承诺书原件）

3

光纤收发器

双模光纤国标. 县房管局机房与不动产机房各放四对

4

机房运维服务

1.     对网络安全设备日志进行收集、分析；网络设备时间同步；网络体系迭代优化；

2.二线技术团队支持：由技术专家组成二线技术支持团队，针对南昌县房产管理局出现的各类设备、中间件、数据库故障提供远程及现场7*24 小时技术支持；

3.数据库中间件季度巡检：每季度由工程师对数据库、中间件进行巡检。对发现的问题给出解决方案，并协助整改；

4.培训服务：每年提供二次技术培训服务，服务内容包括系统、网络、数据库等；

5.信息安全服务：信息系统等级保护咨询、对核心业务系统的服务器进行一年一次的安全漏洞检测。检测完毕后提交相应的安全漏洞分析报告，并配合相关运维厂商进行安全漏洞的加固；

6.设备送修服务：协助进行故障设备的送修并提供安装、配置等服务；

7.提供运维服务流程及服务交付文档（包括但不限于：运维流程文档、运维巡检报告、故障处理报告、性能优化报告等）；

8.7*24 小时电话支持：提供全天候无间断的产品技术咨询、故障申报受理、系统维修受理、培训需求受理、以及服务政策咨询等服务内容；

机房环境检查

9.1;年内随时机房场地内墙顶地门窗照明全面检查

9.2:机房除尘1 年内2次(机房内墙、吊顶、地板和地板下，机柜表面除尘)

9.3:机房电气系统维护1 年内每周一次全部配电柜、 配电箱、列头柜、工业连接器、PDU、电缆、巡检维护

9.4:UPS 及蓄电池系统维护1 年内每月一次,检查 UPS 工作状态、各项运行参数、及蓄电池状态

9.5新风机维修与保养:1 年内每季一次检查保养新风机