AC1.96招标功能技术参数_简单版_20090417.docVIP

上网行为管理招标要求 说明：如下招标参数仍然较冗长，可以有选择性的删减部分内容后再交给客户，其中标识*号的指标是AC的差异化功能指标。 一、总体要求 我单位部署上网行为管理系统是为更好的管理互联网出口，管理用户的互联网访问行为，避免滥用网络资源、违反互联网法律法规、泄露敏感信息，以及逼免黑客的侵扰和防范计算机病毒等。 二、部署位置 上网行为管理设备将部署在机房的Internet出口线路上，对我单位工作区内所有互联网用户进行有效的技术监管和审计。 三、厂商与产品资质要求 *设备生产商注册资本必须不少于5000万； *设备生产商必须提供国密办商用密码产品生产定点单位证书 *设备生产商必须提供国密办商用密码产品销售许可证 *设备生产商必须提供所投产品的自主知识产权证明 *所投产品必须提供国家信息安全认证产品型号证书 *所投产品必须提供中华人民共和国公安部的《计算机信息系统安全专用产品销售许可证》； *所投产品必须提供中华人民共和国公安部计算机信息系统安全产品质量监督检测中心检验报告； *所投产品必须提供中国信息安全产品评测认证中心的《国家信息安全认证产品型号证书》 *所投产品必须提供国家保密局涉密信息系统安全保密测评中心的《涉密信息系统产品检测证书》 *必须提供上述有效证书的复印件并加盖生产商公章。 四、技术要求 基本要求 *上网行为管理系统一套，支持内网并发用户数量不少于：三万个； 采用标准机架结构与专用操作系统(非Windows操作系统)； *产品控制界面采用SSL加密的WEB方式；产品配置界面及操作手册等均支持中文/英文； *支持多种部署方式，包括但不限于网关模式、网桥模式、旁路模式、多路桥接（即网桥模式下设备同时支持至少二个内网口和二个外网口的部署方式）等部署方式 *设备生产商须在互联网信息安全领域有着丰富的经验与先进的技术，所投产品要求在中华人民共和国境内开发，具备自主知识产权。 硬件与性能要求 采用1U或2U标准机架尺寸； 处理器：支持双处理器；内存：2GB以上； *网络接口：至少4个千兆电口、4个千兆光口 *需要在功能开启情况下，满足1Gbps并发实际流量的处理能力，并在预中标后提供设备在实际网络环境中测试与验证； 设备管理要求 *管理员分级管理：设备各功能模块查看/配置权限支持授予不同管理员；不同管理员查看/配置不同用户组的成员/上网权限等； *集中管理：多台设备可被统一平台集中管理，且设备加入统一平台必须基于硬件证书验证其身份； *日志中心管理员双因素身份认证：基于USB-Key认证接入日志中心的管理员身份； *支持时间服务器：确保设备与时间服务器保持同步； 自动告警：支持对攻击（DOS攻击、ARP欺骗）、病毒、含有指定关键字的Web上传、指定类型的文件上传、发送泄密邮件等行为进行自动邮件告警； *回馈系统：必须具备将未知网页/未知应用自动反馈给厂商的回馈系统； 设备安全功能要求 *设备必须具有防火墙功能等自我保护机制，防止成为黑客攻击我内部网的跳板； *设备必须具有网关杀毒功能，以实现与内网桌面杀毒软件构成统一的防毒体系； 设备必须能够防御来自互联网和内网的DOS攻击，避免设备被DOS攻击瘫痪； *设备自身应能防御ARP欺骗，并能保证三层网络环境中终端对ARP欺骗的防御能力； *设备必须能够防御IP碎片攻击、Ping of Death、TCP连接攻击等，从而保障设备本身的可靠性和可用性； *设备必须能够检测内网感染的木马、间谍软件等通过网页、邮件、FTP端口外传信息的行为，并能报警和阻断； *设备必须能够识别内网垃圾邮件发送源，并能阻断其垃圾邮件外发行为； 上网行为管理功能要求 用户管理要求 支持本地认证、LDAP、AD、Radius、POP3、Proxy等第三方认证； *必须支持USB-Key方式的双因素身份认证； *必须无插件实现三层网络环境中用户绑定MAC、用户绑定IP和MAC功能 *必须支持新用户基于源IP段差异化新建策略，包括但不限于新用户差异化认证策略、新用户差异化IP/MAC绑定策略、新用户差异化自动分组策略、新用户差异化账户自动创建策略等，方便设备部署和实施； *支持AD、Proxy、POP3单点登录，且可强制指定用户、指定IP段的用户必须使用单点登录； 支持强制指定用户必须使用AD域账户登录操作系统，否则禁止其访问互联网； *支持自动将AD服务器上指定OU/安全组读入设备的树形用户组织结构中，并与AD定期自动同步； *支持为认证失败用户授予基本权限（即除HTTP外的默认组权限）； 终端管理要求 *设备必须能识别终端操作系统版本及补丁更新情况； *设备必须能识别终端杀毒软件/防火墙软件的安装、运行、更新情况； *设备必须能识别终端硬盘文件情况、系统进程情况、注册表情况； *设备必须能自动周