附件2-黟县.doc

附件七 财政一体化管理信息系统专网改造项目 一、货物一览表： 序号 　 名称 数量 采购单位 采购预算 1 Vpn网关及配套设备 VPN安全网关 1 黟县财政局 18万元 VPN隧道许可 200 密钥存储器 200 核心交换机 2 接入交换机 5 KVM 1 PDU 3 2 业务维护及服务 业务维护 1 3 系统集成 系统集成 1 二、详细技术参数： 序号 项目名称 参数要求 数量 1 VPN 安全网关 ★保证产品接入RJ45或光纤链路，所投标产品网络接口需要满足：固化千兆电接口数≥5个，固化千兆光接口数≥4个，内存≥2G， CF卡≥2G， USB口≥1。 ★设备双向吞吐性能≥740Mbps，单向AES加密速率≥230Mbps。 ★SSL VPN并发隧道数≥400，IPSec VPN并发隧道数≥3000，L2TP VPN并发隧道数≥416，其中所配置SSL VPN、IPSec VPN授权可共用。 最大新建会话数≥50000，最大并发连接数≥1000000。 ★本次配置200条VPN隧道许可、200个密钥存储器。 支持对基于TCP、UDP、ICMP的所有B/S、C/S应用系统的支持，例如视频、语音、Ping等服务；可针对Flash、Java、Applet、视频等对象进行修正，无需安装插件访问B/S应用；并提供该功能配置界面截图。 ★支持终端与浏览器的广泛可用，终端使用包括Win8、Win7、Win XP、Mac、Linux等主流操作系统来登录SSL VPN系统，并完整支持该操作系统下的各种IP层以上的B/S和C/S应用； 可提供VPN设备针对主流操作系统的Windows、Andriod、iOS的SDK（第三方软件开发包）以及API接口； 为满足国家保密性要求，产品需支持SM2、SM3、SM4等国密局保算法，并提供功能配置截图； 可支持虚拟门户功能，在一台设备上配置多个域名或者IP地址，配置不同的使用界面，提供给用户独立的使用体验，并提供功能配置截图； 支持登录用户在资源页面上直接点击资源列表来启动本机的C/S应用系统客户端，减少业务操作，并提供功能配置截图； ★支持单点登录功能（SSO）,支持移动用户登录VPN后再登录内部B/S、C/S应用系统时不需要二次重复认证。支持针对B/S单点登录用户名密码加密传输，保证安全；支持智能手机等移动终端的B/S单点登录；支持针对不同的访问资源设定不同的SSO用户名和密码，支持用户自行修改SSO账号； 支持认证后，直接跳转到用户资源默认服务应用页面，无需出现资源列表，并提供功能配置截图 提供一定技术，防止用户误操作关闭IE浏览器导致VPN隧道断开，如：用户误操作时，将IE最小化到系统托盘或悬浮窗口，并提供功能配置截图； 支持智能递推技术，针对多外链的门户网站进行动态嗅探页面内的链接并完成资源自动授权，防止资源漏访，并提供功能配置截图 支持通过域服务器下发控件，可在只有user权限的机器上安装SSL控件，并提供功能配置截图 支持资源导入导出，单独保存配置，并提供功能配置截图 ★产品必须可在用户登录SSL VPN时智能判断存在中间人攻击行为，断开被攻击的连接，并可提示异常现象和记录攻击日志，并提供功能配置截图； ★支持用户终端登录前、登陆后的安全性检测，检测范围包括：用户接入IP、接入时间、接入线路IP、进程、文件、注册表、操作系统、使用终端，可以检测出客户端是否安装指定的防火墙或杀毒软件，并提供功能配置截图； 针对同一用户/用户组可根据客户端检查结果的安全级别进行不同的资源授权，保护重要资源安全； 可配置用户在接入SSL VPN的同时，断开与Internet其他连接 ★产品应具有用户/用户组细粒度的权限分配功能：可以针对被访问资源的IP地址、端口、提供的服务、URL地址等进行权限控制；针对同一B/S资源，可对不同用户做到细致到URL级别的授权，并提供功能配置截图； 支持主从认证账号绑定，必须实现SSL VPN账号与应用系统账号的唯一绑定，VPN资源中的系统只能以指定账号登陆，加强身份认证，防止登录SSL VPN后冒名登录应用系统，并提供功能配置截图； 支持关键文件保护功能，可针对特定应用关键文件进行锁定，防止用户进行篡改进行越权，并提供功能配置截图； 针对服务器地址保护方面，可支持SSLVPN资源列表界面上的用户授权资源隐藏；针对B/S应用，可进行URL地址伪装，防止服务器真实IP地址泄露； ★产品必须支持Local DB 、USB KEY、短信认证、硬件特征码、动态令牌、数字证书认证、LDAP、RADIUS、CA等认证方式；可针对用户/用户组设置认证方式的与、或组合，可进行LDAP、USB KEY、硬件特征码、