海城市中心医院网络安全相关设备采购项目
技术参数要求
一、动态防御设备参数要求:
1. 标准 1U 机架式设备,板载 10 个 GE 接口, 1 个 CON 口
2. 吞吐量不小于 4Gbps, 接入终端数不少于 200 ,总连接数不少于 50 万,新建连接数不小于 2 万 / 秒
3. 支持透明桥接、旁路、双机等多种部署模式,支持高可靠数据传输,系统具备软、硬件 Bypass 能力,未保护终端默认透明传输,适配各类网络环境。兼容 IPv4 和 IPv6 网络环境。
4. 支持配置批量添加功能、导入和导出功能等。支持策略配置克隆操作,可快速完成相似策略配置。支持规则库功能,通过对 IP 薄、端口薄、蜜罐簿和全息主机簿的配置,快速生成规则池,供各类策略调用。
5.支持基于5元组的东西向、南北向端到端的访问控制,被保护的网络内任何两台主机间的访问可被管控。
6.支持被保护终端准入功能,包括ip、mac、ip+mac等多种模式,只有备案后的信息节点(终端和服务器等)才允许接入网络并使用网络; 支持批量准入开启 / 关闭、模式修改、准入提示信息推送等功能;支持准入推送信息提醒,提示信息内容支持自定义设置。
7.支持白名单功能, 特定用户被允许使用网络探测或安全扫描,支持封堵白名单和虚假响应白名单,非特定授权用户默认拒绝。
8. 支持地址重构技术,具备静态和动态两种模式,可将被保护终端进行网络隔离,并实现网络虚拟变化;支持地址重构策略自定义,指定被保护终端的通信逻辑及方向,被保护网络可具备多重属性,如虚拟网络、动态网络等,实现虚拟网络、动态网络和真实网络的通信自定义。
9. 支持虚拟地址通讯技术,被保护终端通过虚拟地址进行相互通信,每个终端分别对应真实 IP 、虚拟 IP 、动态 IP 三类不同的地址。
10. 支持自定义端口虚开,单个节点最高虚开端口数量超 6 万,将网络中真实终端的开放端口隐藏起来,提前做好替身,防止网络攻击者探测到终端的真实端口服务。
11. 支持千万级虚拟组网,支持构建千万级虚拟网络,用来迷惑和误导攻击者及快速定位攻击源;
12. 支持动态域名通讯技术,动态域名对应动态 IP ,解决被保护主机之间临时性的互访需求,通过端与端之间信任关系(通过为终端分配动态域名,信任用户可以通过带外方式获取)才能互访,减少重要资源被攻击的可能性。
13.支持服务器全息复制,通过克隆多个虚假服务器部署在真是服务器周边,并虚拟开放高危的端口对攻击者进行诱捕,针对单个服务器可克隆数量超 1000 ,针对单个服务器端口虚开数量超 6 万。
14. 支持网络路径混淆功能,具备指定路径网络、路径跳数、变换混淆路径时间间隔等能力,虚拟网络与真实网络混淆结合,使网络路径等信息难以被攻击者嗅探捕获。
15. 支持数据包混淆功能,可自定义数据包混淆网络范围、数据包混淆密度等,混淆数据包与被保护网络内的真实数据包深度结合,保障数据信息难以被攻击者捕获分析。
16. 支持动态封堵功能,可实现攻击行为自动封堵,支持多种自定义封堵规则,如封堵时间(持续封堵、计时封堵)和封堵方向(内部、外部)等,封堵时间可配置(分钟级);支持封堵页面推送功能,提供封堵终端关联原因,推送页面内容可自定义配置及预览显示风格。
17. 支持秒级动态变换,动态 IP 、动态域名持续变化,变化间隔可配置(秒为单位);支持动态域名后缀自定义。
18.支持虚拟响应,支持伪装虚假相应MAC前缀,MAC前缀可配置,支持动态学习网络资产生成相似的虚假网络资产,支持同网段虚拟响应,多网络虚拟响应。
19. 具备攻击溯源能力,快速定位攻击源,包括攻击方向、攻击次数、攻击时间、攻击信息等。
20. 支持第三方蜜罐主机对接,不基于特征库的防御方式,不基于 URL 库的防御方式,不基于病毒库的防御方式,不基于流量分析的防御方式。
21. 支持脏数据清洗,网络内进行未认证的广播行为将被制止,类似对网络的嗅探、 ARP 欺骗、会话劫持、泛洪攻击等行为将得到有效控制。具备勒索病毒管控能力,无须在终端服务器或网络设备上做任何修改的前提下完全限制勒索病毒的内网攻击(扩散、渗透)行为。
22. 支持通过伪造虚假数据包通信,使攻击者无法有效识别网络资产,致使攻击路径的错误判断,极大概率攻击虚假目标,有效发现并抵御被动式网络攻击。支持微隔离管理,每个信息节点都是一个虚拟网络,快速锁定攻击威胁,防止终端威胁横向扩散。
23. 支持日志外发,同时也支持集群模式下的集中日志分析。支持分析报告功能,可定期生成安全分析报告,实现威胁统计分析。支持攻击日志分析,包括攻击者MAC、IP、攻击类型、攻击端口、攻击次数、攻击时间等。支持主机安全指数分析,实现对被保护终端的安全状态展示。支持操作日志记录,包含操作角色、用户名、 IP 地址、操作行为及操作时间等。具备事件日志,包含设备重启、关机、接口 UP/down 、管理员注销、管理员登陆成功 / 失败、登陆超限、恢复出厂、硬盘事件及授权事件等。支持主机上下线日志记录。
24. 具备公安部颁发的《计算机信息系统安全专用产品销售许可证》
25. 要求国内自主品牌设备,提供所投产品三年硬件质保服务,三年软件升级服务。
拟采购动态防御设备 1 台,价格 26 万元。
二、外网防火墙设备参数要求:
1. 标准 1U 机架式设备,千兆电口≥ 8 个,千兆光口≥ 8 个,万兆光口≥ 2 个, Console 接口≥ 1 个, MGT 管理电口≥ 1 个, USB 接口≥ 2 个;
2. 网络层吞吐率 (bps) ≥ 20Gbps ,最大并发连接数≥ 400 万,每秒新建连接数≥ 25 万,提供 IPSec VPN 隧道数≥ 8000 条,提供不少于 8 个 SSL VPN 并发用户数, SSL VPN 并发用户数支持扩展到不少于 6000 个。
3. 支持静态路由;支持动态路由 RIP 、 OSPF 、 ISIS 、 BGP ;
4. 支持攻击防护,包含 SYN Flood 、 UDP Flood 、 ICMP Flood 、 Ping of Death 、 Smurf 、 ARP 欺骗攻击,扫描与欺骗等;
5. 支持基于 HTTPS 加密流量和 SMTPS 、 POP3S 、 IMAPS 加密邮件的应用识别;
6. 具备会话限制功能,能够基于源 IP 、目的 IP 、协议号、应用等多种条件做会话总数限制和新建会话速率控制,并可提供会话限制日志;
7. 支持丰富高可靠的 VPN 特性,具备 IPSec VPN 、 SSL VPN 、 L2TP VPN 和 GRE 等 VPN 技术;
8. 支持源 NAT/ 目的 NAT 命中分析,可显示 NAT 规则创建时间、首次命中时间、最近一次命中时间、最近未命中天数,支持 NAT 规则命中数清零;
9. 支持策略助手功能,通过安全策略开启流量自学习,生成访问控制精细化策略,细化到协议端口;
10. 支持 WEB 界面故障分析服务,当某个业务不通时,可根据设备对数据包的处理流程自动分析出故障点,便于管理员排查故障,提升运维效率;
11. 支持在 WEB 界面实现在线抓包和报文下载,抓包可选参数包括源、目的 IP 地址,协议源、目的端口,抓包时长等,提升运维效率;
12. 要求国内自主品牌设备,提供所投产品三年硬件质保服务,三年软件升级服务,提供至少 3 年 IPS 入侵防御、 AV 防病毒、 TI 威胁情报升级和维护服务。
拟采购外网防火墙设备 2 台,单价 12 万元,总价 24 万元。
注:设备中标后采购人将对设备进行检测,若提供的设备与招标参数性能要求不符。采购人有权取消中标单位的中标资格,并依据《中华人民共和国政府采购法》等相关法律法规对中标单位进行罚款。
