招标文件SJC200407122江苏省省级行政机关政府采购中心17第三部分货物清单及相关要求文件一、货物一览表序号设备描述数量备注1网络防病毒系统详见文字说明12漏洞扫描系统详见文字说明13系统补丁自动分发系统详见文字说明14网关级邮件防病毒系统详见文字说明15配套机架式硬件详见文字说明46外网PC详见文字说明17质量保证服务详见文字说明1二、江苏省公安二级主干网防病毒系统安全加固需求书公安计算机网络系统为典型的专用网络系统,与因特网等外网完全物理隔离。江苏公安信息网包括省、市、县、基层单位等各级机关局域网络和连接各级的主干网,上与公安一级网相连。省公安厅机关局域网内现有各类服务器50台,各类个人计算机670台,主干网带宽为千兆,百兆到桌面。随着公安信息化的快速发展和计算机应用普及程度的迅速提高,各项公安业务工作对公安部信息网络的依赖程度越来越大,招标文件SJC200407122江苏省省级行政机关政府采购中心18对网络运行稳定性的要求越来越高。计算机信息系统安全,是一项涉及管理、技术等多层次、多方面的综合性工作。从目前省厅机关网络运行管理的实际情况看,加强网络系统安全技术建设,涉及到网络结构调整,网络设备的合理配置等多方面工作,需要配备防火墙、主机和网关防病毒、系统漏洞扫描,入侵检测等多种安全防范系统工具,资金投入比较大。为在现有条件下,进一步做好公安信息网络的安全防范工作,经过研究,确定当前省公安部厅机关加强信息和网络安全的重点是,通过配备性能优良的网络版主机防病毒系统、邮件网关型防病毒系统,系统和网络漏洞扫描检测系统和补丁自动分发系统,结合相关管理,对计算机系统和网络进行加固,全面提高网络和系统防入侵、防病毒的能力。通过招标,确定1家供货单位,协助做好相关配套服务。具体要求是:1、网络防病毒系统配备企业级防病毒软件一套及配套机架式硬件。软件包括中心管理控制系统,服务器和桌面防病毒系统,实现对所有的PC机、服务器端的防病毒统一管理。要求:①软件产品具有公安部颁发的《计算机信息系统安全专用产品销售许可证》。获得过国内、国际知名安全协会或实验室的认证和奖项。②软件厂商具有全面的防病毒产品,包括各种桌面系统和主机系统、群件系统,网关级防病毒产品,有全面防御病毒的实力招标文件SJC200407122江苏省省级行政机关政府采购中心19和成熟的网络级解决方案。对软件产品具有独立的知识产权,能提供防病毒引擎的不断升级和终生免费的病毒库升级。具有覆盖全球的大范围病毒监测网,能够及时监测来自国际和国内的最新病毒。防病毒软件中的病毒数据库升级及时,对新病毒的反应速度快,能在48小时内推出查、杀新病毒的解决方案。当流行病毒爆发时,病毒定义码更新升级周期小于24小时。③系统应支持DOS、Windows全系列和Unix、Linux等主流操作系统。并与各大软、硬件公司的产品、系统、应用软件和通讯平台具有完全兼容性,技术水平达到国际先进水平。④具有优秀的实时系统防护和查、杀病毒能力。具有一个以上的查杀病毒引擎和多种病毒扫描方式,能高效地检测、查杀各种已知病毒,并可以检测和报告未知新病毒。在支持的各种操作系统下都应具有高效的实时防护、查杀病毒的能力。可全面处理各种DOS、Windows、UNIX病毒,如蠕虫病毒、特洛伊木马程序、宏病毒、幽灵病毒、互联网病毒、黑客程序、恶意代码等、并可检测5重以上压缩文件,包括ZIP、RAR、CAB等多种压缩格式。发现病毒后,有多种处理方法,如自动清除、删除或隔离。能自动修复被蠕虫等病毒修改的系统注册表信息。并具有跟踪病毒源获取详细信息的能力。对无法清除病毒的感染文件能进行隔离,防止该用户的进一步操作,避免病毒在网上传播。⑤能在大型网络中建立自上而下的分层次的多级管理模式,支持分布式(分级)、跨域、跨网段、跨路由的集中管理,单级招标文件SJC200407122江苏省省级行政机关政府采购中心20管理的客户端数量大于1000个。支持多种分发、安装方式,包括本地安装,远程自动分发安装和web安装等功能。管理员可以在网络中任意NT/2000/XP/2003机器上进行远程管理监控,对网络中所有计算机进行集中管理,实现病毒定义码、引擎的统一更新升级。能提供多种更新升级方法,设置多级分发服务器。具有完整升级和增量升级方式,减少网络流量,降低网络负载,对广域网带宽占用小。当被管理节点位于网络防火墙后面,管理服务器也能够实现对节点的集中统一管理。提供客户端定时自动更新、升级功能。为保证连续服务能力,客户端安装、更新、升级后不应重启主机或相关应用进程。特征码文件升级应有升级容错校验功能,防止造成错误升级。具有实时监测网络中所有的客户机和服务器是否安装了防病毒软件功能,并能显示和打印未安装系统客户端的用户名单。具有在授权下能关闭被管理客户端及服务器的病毒传播端口的功能,能够实现自动或人工封闭服务端口、关闭网络共享等操作。在网络中可以设置多个防病毒域,制定不同的网络防病毒策略。管理策略可基于不同的组织单元分别设置不同级别的病毒防护方案和管理权限。对单机用户能提供多种介质和方式的安装、更新、升级方案。⑥系统具有自我保护能力。系统自身具有一定的安全性和病毒防范能力。防病毒管理软件与客户端软件相互间通讯安全可靠,不影响用户系统原有的安全性。系统能以后台服务方式运行,软件安装和卸载有权限控制,不易被用户停止。管理服务器上具招标文件SJC200407122江苏省省级行政机关政府采购中心21备统一锁定节点防病毒软件运行参数的功能,避免节点用户随意修改。系统软件提供完全卸载功能,卸载后不对原系统产生附加影响。⑦支持集中的病毒报警和报告。在管理服务器上能够方便查看全部范围和组范围的病毒报警和报告,包括感染节点的主机名、IP地址、病毒名称、清除情况、被感染文件的路径等。提供诸如网络广播,电子邮件,网络打印机,短信,系统日志等多种报警方式,可以保证系统管理员随时随地得到报警信息。具有单一节点集中报警和日志功能,能生成统计报告。⑧系统提供二次开发的接口。允许用户读取日志等相关信息。⑨系统资源占用率低,正常工作情况下应低于3%。系统资源占用率应可调整,以减轻部分服务器的工作负担。⑩产品用户界面友好,全中文操作界面(包括帮助文件等),安装、配置、使用、管理方便,具有良好的在线帮助和操作提示功能。.⑾本次投标方所提供的防病毒软件应是防病毒软件原厂商发布的最新版本。投标方应提供防病毒系统三年以上软件版本免费升级和病毒库终生的免费升级。2、漏洞扫描系统购置漏洞扫描系统1套及配套硬件,扫描地址范围为招标文件SJC200407122江苏省省级行政机关政府采购中心2210.32.1.1至10.32.255.255。漏洞扫描产品应符合以下要求:①产品应取得公安部的《计算机信息系统安全专用产品销售许可证》,国家信息安全测评认证中心颁发的信息安全产品认证书。具有大型网络使用的成功案例。②具有基于网络设备、操作系统、数据库等全面的风险评估功能,能在大范围内对整个系统的安全状况进行全面地评估,减轻安全管理员、系统管理员和数据库管理员的工作量。③产品应具备识别多种系统类型的能力。能够全面检测、评估包括网络协议、网络设备、防火墙、主流应用程序的安全漏洞,包括HP-UX、AIX、SUNSOLARIS、LINUX、WINDOWS等主流的操作系统,思科、华为、阿尔卡特等主流网络设备,WebServer及SQLServer,Oracle等主流数据库服务器应用。④系统具有端口智能识别能力,能智能识别开放在标准或非标准的网络端口的服务,并能调用针对该服务的相关插件进行扫描,能够最大限度的探测网络的安全漏洞。供货商应提供各类设备能被检测出的安全漏洞的数目,供用户比较参考。⑤产品支持模板定义和参数定义。提供具有指导性的策略模板,如针对Unix、Windows、Web服务器的策略模板,指导用户方便地进行客户化的扫描策略定制。可根据实际需要和所处的网络环境定义、选择不同的扫描模板和扫描参数,并提供扫描策略浏览功能。用户也可定义扫描范围、端口范围、目标端口绑定服务等类型的扫描策略。如提供定时及自动周期性扫描,自动完成招标文件SJC200407122江苏省省级行政机关政府采购中心23周期性的网络安全分析,提供分析报告。⑥具有可升级的、符合标准的,采用插件方式的完备漏洞特征库。对各种的安全漏洞有良好的分类,如信息探测、网络设备与防火墙、RPC服务、web服务、CGI问题、文件服务、域名服务、Mail服务、windows远程访问、数据库问题、后门程序、网络拒绝服务(DoS)、其他服务等分类。知识库和漏洞特征库支持网上在线升级或下载到本地进行升级的方式,并与国际标准的漏洞库CVE等保持兼容。厂家对产品有自主知识产权,并有强大的低层研究力量和自主发现安全漏洞的能力,保证漏洞检测的准确和全面。每周至少进行一次检测模块的升级。⑦使用B/S方式进行管理,无需专用客户端软件。支持多用户管理和多任务扫描,能够确保每名管理人员在指定职责内,指定目标范围内进行工作,防范不良企图的越权行为,支持对用户适用的审核。具有任务定制功能,方便为管理人员使用。具有地址本管理功能,使地址信息和网络逻辑及拓扑结构紧密结合,可对预先设置的地址进行扫描。⑧产品应为中文版本,能浏览中文的在线帮助和方便地生成中文漏洞报告。扫描报告产品的漏洞特征库及扫描结果可以集中存放于后台关系型数据库中。支持用户的二次开发,并具有灵活的导出功能,支持多种报告格式(如HTML格式);报告种类应能满足管理人员、技术人员等不同角色的人员的需要,并提供定制客户化报告外观的功能。扫描报告中有针对发现的安全漏洞的详招标文件SJC200407122江苏省省级行政机关政府采购中心24细中文说明、补救方法步骤和补丁文件的互联网下载连接,以及国际安全组织关于该漏洞的说明或连接。支持对扫描结果的趋势分析,给出长期的安全态势报告,并可以自动生成各种形式的统计报表,形成包括柱状图、饼图、报表等,以直观、清晰的方式从总体上分析网络上的漏洞分布,为管理人员提供方便。⑨产品应提供日志功能,以方便地查找扫描过程中可能遇到的网络故障等问题。⑩产品应具有良好的扫描性能,单IP地址加载全部扫描插件的扫描时间应在5分钟以内。支持局域网扫描和广域网扫描,能灵活调整在不同网络环境下扫描并发线程数量,达到提高扫描效率的目的。系统成功检测率不低于90%,误报率不高于5%;对现有网络性能的影响不高于3%,对主机性能的影响不高于5%。3、系统补丁自动分发系统配置系统补丁自动化分发系统1套及配套机架式硬件。①实现对微软各个版本的系统补丁的管理和分发,在较广泛环境中稳定运行。②系统需要安装在windows平台上,便于管理。要求对补丁分发系统的服务器操作系统采取安全加固措施,确保其自身的安全。③提供对补丁分发日志分析的工具,随时了解网络终端的补丁安装状况;招标文件SJC200407122江苏省省级行政机关政府采购中心25④确保在设定的时间内,向未安装补丁的网络终端强制升级打补丁,对网络中的特殊的服务器设定特殊的补丁安装规则,如必须经过手动选择才可以进行补丁安装等;⑤由于公安网与其他网络物理隔离,因此要求能从从微软公司的升级服务器上,下载补丁后进行增量式导入升级;⑥具有完整的补丁管理建设过程说明和其他建设支持的说明。4、网关级邮件防病毒系统配备网关级邮件防病毒系统1套,包括相关的机架式硬件,重点解决邮件防病毒问题。系统应满足:①该网关防病毒产品应与前述防病毒系统相兼容,以便于防病毒系统的集中监控和病毒代码升级的一次完成。②能有效地过滤各类邮件中的各种病毒。针对目前危害最大的蠕虫威胁,不仅能够过滤静态蠕虫代码,而且能够阻断蠕虫动态攻击。③具备垃圾邮件处理功能。能够过滤垃圾邮件,并根据指定的内容进行邮件的内容过滤,防止恶意非法信息的传播。具备防御邮件攻击功能。④具备病毒定义码自动升级功能。病毒特征代码、引擎和入侵阻断特征库能够自动升级,升级周期应小于一周,当病毒爆发流行或其它紧急情况发生时,病毒定义码更新升级周期小于24招标文件S