关于“宜宾市职业技术学院网络安全管理系统和技防设备及安.doc

关于“宜宾市职业技术学院网络安全管理系统和技防设备及安装系统采购项目”征求意见公告致有关供应商：受采购人委托，宜宾市政府采购中心将对“宜宾市职业技术学院网络安全管理系统和技防设备及安装系统采购项目”以公开招标方式进行采购为了保证政府采购当事人合法权益，确保政府采购程序公开、公平、公正，现就该项目的资格条件和技术需求（详见附件）广泛征求各供应商的意见如您认为该项目的资格条件和技术需求存在倾向性或不合理性，请具体指出存在倾向性或不合理性的内容，并进行说明所提意见请在 2009 年 3 月 16 日下午 17 时前，以书面形式向宜宾市政府采购中心提出非常感谢您的参与宜宾市政府采购中心联系方式：通讯地址：宜宾市南岸叙府路 13 号联系：（0831）5108127传 真：（0831）2339369邮 编：644002邮 箱：ybcg2004@联 系 人：陈智宜宾市政府采购中心二〇〇九年三月九日注：公告中的“ 投标截止日期 ”应理解为接受意见反馈的截止日期附件：投标商资格条件和项目技术需求宜宾市职业技术学院网络安全管理系统采购项目一、项目概况宜宾市职业技术学院网络安全管理系统采购。

二、投标商资格条件提供生产厂家针对该项目的销售授权书原件以及售后服务书原件三、项目技术需求一、硬件设备1、设备名称：网络安全管理系统2、型号：T5000 3、数量：1 台4、设备主要参数：数据包捕获速度 10 万 pps线速处理带宽 1000M 最大连接数 100 万 可管理用户数 5000 以上数据保存时间 ≥60天 流控模块 可支持 终端上网认证器 可支持 终端读卡器 可支持 权限管理器 支持（附 USB 电子钥匙） 端口数量 通讯口：千兆×1，电口捕包口：千兆×1，电口网络扩展口：千兆×1，电口；千兆×1 ，光口其他端口可定制 尺寸(mm) 895*675*298电压及频率 100~240V AC；47~63Hz输入最大电流 8A~4A最大功率 480W 二、特殊要求1、必须是四川省公安厅相关文件指定的品牌，能与宜宾市网监处的后台进行相连，并获得宜宾市网监处的认可，附宜宾市网监处认可证明2、提供生产厂家针对该项目的销售授权书原件以及售后服务书原件三、提供产品厂家荣誉资质要求1．中国计算机信息防护联盟会员单位2．国家高技术产业化示范工程3．中国内网安全市场优秀推荐品牌4．中国国际软件博览会金奖5．质量管理体系认证证书（ISO9001）6．涉及国家秘密的计算机信息系统资质7．信息产业部的计算机信息系统集成资质8．涉密信息系统产品检测证书四、主要功能1、网络行为控制（1）全局的网络控制策略对局域网内的所有机器进行设置的互联网访问权限。

可设置是否允许许访问包含色情、暴力、毒品等的不良站点；是否允许使用 MSN、Yahoo Messenger、、ICQ、网易泡泡、GoogleTalk、Skype 等国内外流行的十多种即时通信工具；是否可以进行 游戏、中游、联众、远航、浩方、茶苑、CS、魔兽等国内外流行的二十多种网络游戏；是否允许使用 p2p 下载；是否可以使用 Google、百度等常用搜索引擎搜索指定的关键字；是否允许使用指定的 webmail；是否允许进行 Live、PPLive 等音视频；对指定的邮件服务器（pop3/smtp ）实施只开放或只封堵的策略2）机器管理在设备接入网络后，即可主动搜索和被动监听网络中存在的所有计算机，对局域网内的机器进行分组；并可绑定计绑定计算机的 IP、MAC 地址、机器名等信息3）上网帐号管理对于使用 DHCP，或者多人共享一台计算机上网的情况，可以设置上网帐号管理模式，为每一个上网用户分配用户名与密码，用户只有经过验证以后才可以上网认证模式支持本机验证、LDAP 服务器（WINDOWS 主域服务器、LOTUS NOTES 服务器、Sun Planet 等）验证，支持机器、帐号及混合模式管理。

所有的上网日志信息跟上网帐号绑定4）局部网络控制策略可根据人员帐号、机器、机器组对不同的时间段设置对各类网络应用协议、各类网站、网络游戏、即时通讯工具、p2p 下载、WEBMAIL 邮件、网页文件下载、邮件及 BBS 等的控制2、内容审计（1）收发邮件的审计对邮件的内容、邮箱地址等设定关键字，则局域网内的以HTTP、POP3、SMTP、WEBMAIL 等方式收发的所有邮件，只要含有指定的关键字的将会被全面记录并保存2）WEB 网页审计可设定指定的关键字，则所有含有指定关键字的网页访问页面会被完整记录并保存3）远程登录审计可设定敏感帐号，如果使用指定的帐号 TELNET 远程服务器，则所有的交互内容会被完整记录并保存4）文件传输审计可设定敏感帐号，如果使用指定的帐号 FTP 远程服务器，该则所有的交互内容会被完整记录并保存5）即时聊天工具审计可设定敏感用户 ID 或者号码，如果使用指定的 ID 或号码登陆MSN、 Yahoo Messenger 等即时通讯工具，则所有的聊天内容会被记录并保存6）发贴内容的审计超强的网页外发内容审计功能，应用了独有的表单特征匹配技术框架，摒弃了传统的逐个 WEB 网站分析方式，突破了逐个分析方式带来的有效网站数量限制，可以准确分析出 100%的 POST 外发信息和文件，对 Webmail、网页论坛、网页聊天等应用方式的识别率高达 95%以上。

可设定指定的关键字，则所有含有指定关键字的网页提交、Webmail、论坛、网页聊天、网页登录等 HTTP POST 应用的外发信息和文件会被完整记录并保存7）审计策略对于以上各项，可以设定为不审计、无条件审计或关键字审计还可以根据需要将不同的策略赋予不同的机器或帐号3、黑白名单（1）机器的黑白名单对于被设为黑名单的机器，系统将无条件禁止其与互联网的一切通讯对于被设为白名单的机器，则其的网络访问不受全局或局部策略的影响，在任何条件下都不对其进行封堵，但其网络日志仍将被记录2）站点的黑白名单对于被设为黑名单的站点，则互联网内的所有机器（白名单机器除外）都不能访问此站点对于被设为白名单的站点，则互联网内的所有机器（黑名单机器除外）都可以访问此站点3）日志白名单对于被设为日志白名单的机器，其网络访问不受全局或局部策略的影响，在任何条件下都不对其进行封堵，并且不记录网络日志4）帐号黑白名单对于被设为黑名单的帐号，系统将无条件禁止其与互联网的一切通讯对于被设为白名单的帐号，则其的网络访问不受全局或局部策略的影响，在任何条件下都不对其进行封堵，但其网络日志仍将被记录5）保留地址在封堵特性上类似机器黑名单的功能，但是可针对未来规划的一些网段或IP 地址设置为保留地址，禁止随意使用这些 IP 地址资源，帮助您更加合理的规划和管理网络资源。

4、流量分析（1）当天流量系统以图表或表格的方式显示当天所有机器的流入流量和流出流量，并按总量大小排序可选择任意一台机器，并查看其实时流量及各分协议（HTTP、FTP、SMTP、POP3 等）的流量2）实时流量可实时分析某机器或机器组的流量趋势、某机器组的流量排名系统以折线图、柱状图的方式实时显示某机器或机器组的流量（包括总流量、流入量、流出量）变化趋势，以柱状图的方式实时显示某机器组中各机器的总流量排名3）历史流量系统自动累计各机器，各协议的流量信息，并以日，周，月等进行排名，产生排名报表可以根据历史流量记录，形成流量增长或减少的趋势图可以根据历史流量记录，形成各协议的使用状况图4）自定义协议可自定义用于流量统计的协议及其端口5、日志管理（1）日志查询可根根日志产生时间、网络访问类型、主机对象、关键字等信息组合查询上网日志、音视频日志、上下机日志（帐号管理） 、游戏日志、发贴日志、搜索关键字、封堵日志、系统操作日志等2）日志存储管理可设定日志存储的月数和磁盘空间报警阀值，当日志保存天数超过指定的期限时，系统会自动删除过期的日志如果由于日志量很大，当达到一定的磁盘警戒值时，系统将会发送警告邮件给系统管理员，让系统管理员采取措施。

3）日志备份管理可设定远程 FTP 服务器与帐号，系统定时自动把每日产生的日志上传到指定服务器中，也可手动激活备份4）日志恢复在现有系统日志被清除或破坏的情况下，可以将原来备份好的日志数据传送一份到系统，以使其日志恢复到以前的日志记录5）日志策略可设置各类网络活动是否记录日志6）日志文件管理当日志达到一定量时，可以根据需要将某些日志文件删除6、报表分析根据局域网内的上网日志产生丰富详细的报表，包括分组上网排名、人员上网排名、网络应用统计、访问资源统计、趋势分析、自定义报表等可按年度、月度或者指定范围生成周期性报表可形成各人员、机器使用网络的趋势图报表种类包括柱状图，饼图，曲线图，折线图等报表可以以EXCEL、PDF 、WORD、HTML 等形式导出保存7、网络辅助工具（1）IP 地址查询为了帮助用户了解 IP 地址所属的地理位置，系统提供了改项查询功能，通过查询指定的 IP 地址，可以得到该 IP 地址所属的地理位置，方便用户清楚目的 IP 所处的地理位置2）网络诊断工具为了帮助用户监测系统当前所在网络的状态是否正常，系统在该子功能模块中提供了 ping 和 trace route 两种诊断类型。

3）侦听检测局域网处于侦听模式的机器可能在侦听密码或侦听邮件，甚至侦听业务数据，这一些处于侦听的机器有可能会对网络的安全构成威胁系统能帮助发现侦听的机器，规范网络的使用8、系统管理（1）中心配置如果被安装在使用网络安全中心的大型企业集团内部，则可配置中心的连接 IP，端口，校验码等使接受中心的统一管理2）自定义分类系统提供对自定义分类站点的控制功能，可以在该处自定义需要控制的分类站点3）用户角色与权限管理每个功能模块分为只读、可写、禁止三种权限级别，在此基础上可以根据实际工作中的职位、权责等因素为系统设置多种角色，管理员生成帐号时可根据实际情况为帐号指定角色，此时帐号将自动继承指定角色的全部权限系统在首次安装后管理员可根据实际的权限需求为系统预置多种内置角色，内置角色的数量目前系统没有限制此外，系统还提供 usbkey 的功能模块，即只有拥有 usbkey 的相关人员，才能查看指定权限的内容或相关功能模块的操作，不同的 usbkey 拥有不同的访问权限4）修改密码以某用户名登录后，可以在该处修改此用户的密码5）双机备份系统提供双机冗余备份的功能模块，实现主服务器在非法掉电使得硬件意外损坏时，备份服务器可立刻接替主服务器的工作，保持系统运行的持续性。

该模块为独立模块，可根据需要加载或去掉该模块）（6）电子钥匙配置系统提供 usbkey 功能模块，可对电子钥匙加密文件进行管理、分配电子钥匙、设置需要使用电子钥匙才能查看的模块 （该模块为独立模块，可根据需要加载或去掉该模块）（7）产品升级可设置自动定时或手动升级系统或系统内置的分类站点库8）系统复位当用户由于某种原因需要将该系统恢复到出厂默认值时，系统提供的该项功能可以清除系统里保存的所有上网日志和内容，以及各种策略文件，系统配置参数等，将他们恢复到出厂默认值9）远程维护可以根据需要开启该功能，开启后，我公司维护人员即可通过 VPN 对系统进行维护10）配置向导系统启用后，可以通过该向导来完成各系统参数配置，以使系统正常运行9、附加模块为满足客户不同的需求系统具有：电子钥匙、流控模块、分布式模块、双机备份等一些附件模块从而可以多方面的、满足客户需求主程序默认出厂一般都不包含附加模块1）电子钥匙网络安全管理系统中某些数据信息，如审计结果、日志记录，须保密；单纯通过软件目前难实现，故采取硬件与软件结合授权的方式来实现，即引入webkey：USB 电子钥匙管理，此模块为。