韶关市公安信息网边界接入平台系统建设和检测项目

　 韶关市公安信息网边界接入平台系统建设和检测项目

　一 、项目概述

　本项目为市公安边界接入平台，包括：

　一是构建市级边界接入平台。按照边界安全接入的规范要求，采取区分链路安全防御的方法，构建集边界保护、身份认证、应用安全、安全隔离和平台自身安全防护等功能的边界接入平台。

　二是建设边界接入平台监控和管理系统。按照统一接入管理、统一应用审计、统一运行监控、统一策略部署的要求，建设边界接入平台的集中监控和审计系统。

　二 、项目内容

　根据接入对象不同，边界接入业务划分为社会企/事业单位接入、党/政/军机关接入和公安驻地外用户接入方式。

　三、 技术要求

　1 3.1 基本技术要求

　1) 平台建设方案要完全符合公安部颁发的《公安信息通信网边界接入安全规范》要求； 2) 平台安全体系满足三重防护体系和两个基础设施的安全要求； 3) 平台集中监控与审计系统支持部/省/市三级接入平台体系； 4) 平台的关键设备：可信边界安全网关、数据交换系统、集中监管与审计系统通过公安部指定的公安部等级评估保护中心的权威检测，

　并经公安部同意在全国公安信息通信网边界接入平台建设中广泛使用。边界接入平台其他产品也应是获得公安部销售许可的产品。

　2 3.2 功能要求

　1) 投标人必须严格按照公安部关于安全接入平台建设的有关文件《公安信息通信网边界接入平台安全规范》的边界接入平台要求实施项目建设，并负责将所有设备按照公安部对边界接入平台的建设要求进行项目集成。

　2) 平台必须实现涵盖数据交换和授权访问两类应用、三类接入业务（社会企事业单位接入、党政军机关接入、公安驻地外接入）完整功能的平台，外部网络接入业务上，需覆盖包括社会企事业单位接入、党政军机关接入和公安驻外地接入等各种业务的安全接入。

　3) 可信边界安全网关实现用户身份认证，与公安 PKI/PMI 系统同一厂商，支持证书链认证，支持证书撤销列表（CRL）下载、验证，保证接入用户身份的合法性； 4) 可信边界安全网关实现设备认证，依据设备注册登记信息对通过专线、VPDN 拨号等各种线路方式接入的终端设备进行认证，保证接入设备的合法性； 5) 可信边界安全网关可以根据边界接入的需要，设置角色，指定相应的资源访问权限，防止非授权访问和越权访问； 6) 可信边界安全网关基于角色、权限分配，设置细粒度访问控制策略，达到非法用户不能访问，合法用户不能越权访问的目的；

　7) 可信边界安全网关实现传输保护，与客户端之间使用 SSL 协议对通信过程进行加密和完整性保护，保证数据传输的安全性； 8) 数据交换系统可实现不同类型文件、数据库间的同步和交换，如Oracle 数据库、SQL Server 数据库、DB2、SYBASE 等，能够设置一对多数据同步,多对多数据同步，支持全表双向同步.支持数据库增删改同步。

　9) 数据交换系统业务扩展性强，接入新的前置业务时，只需在数据交换系统上作适当的配置即可实现新业务的数据交换，且不需要增加投资。源目标数据库表结构一致情况下自动快速匹配，减少配置难度。

　10) 数据交换系统应实现丰富灵活的内容检查、病毒查杀、格式检查。内容检查必须能够根据预先定义的规则进行内容过滤检查； 病毒查杀能够查杀病毒木马等恶意程序,并能够更新病毒库；格式检查支持字段长度检查、数值范围检查、基于自定义布尔条件判断检查、身份证特定格式检查、大字段内容还原格式检查、不依赖扩展名文件格式检查。

　11) 数据交换系统应支持多业务复用：必须支持多业务接入后,各业务之间不冲突,单独启停其他业务不会影响正常业务.底层通道独立. 12) 数据交换行为可回溯：数据交换行为可追溯包括:数据来源,交换时间,是否授权,交换内容,交换成功等. 13) 数据交换的文件交换支持单向双向文件同步,支持各种常见文件类型,支持不同操作系统下的文件同步,传输文件大小无限制.

　14) 数据交换必须支持单向的授权访问功能；支持 TCP/UDP 协议代理,同时也用该支持常见协议代理,代理需做授权认证. 15) 集中监管与审计系统提供接入平台注册管理功能，包含平台信息注册、业务信息注册、使用单位信息注册、设备信息注册、接口信息注册。

　16) 集中监管与审计系统提供流量监测，能够监测整个平台以及平台内部各个链路和业务的流量信息。

　17) 集中监管与审计系统提供在线用户统计分析，用户行为审计，业务应用审计，设备安全审计，异常行为审计，系统备份恢复功能，日志收集和导出功能和集中管理等功能。

　18) 平台信息统计分析能够对平台本身进行相关信息统计和分析，包括设备运行状况，负载情况。

　19) 实现与公安信息网络运行管理系统对接。内置集成级联上报功能。

　3 3.3 安全要求

　1 3.3.1 系统安全要求

　1) 提供有效手段保障网络通信基础设施、网络上的各种系统以及系统上各种应用的正常运行，防止对公安专网信息资源进行非授权访问和操作，防止通过外网对公安专网的各种攻击行为。包括访问控制、病毒防护、审计与跟踪、可用性保障等内容。

　2) 用户身份认证：能与公安 PKI/PMI 体系无缝集成，支持证书链认证，支持证书撤销列表（CRL）下载、验证，保证接入用户身份的合法性。

　整个平台须与公安 PKI/PMI 无缝集成，使平台接入终端在通过边界接入平台安全认证后可使用 PKI/PMI 系统的数字身份证书访问公安信息网资源。

　3) 设备认证：能依据设备注册登记信息对通过专线、ADSL 拨号、3G 无线等各种线路方式接入的终端设备进行认证，实现设备唯一性认证，防止非法设备接入。访问控制：能对用户访问公安信息通信网进行细粒度访问控制。通过身份认证的接入终端只能访问接入平台内的指定设备，并且只能进行允许的操作，非授权的访问应被阻断。

　4) 配置安全：单向 UTC，外网服务器不提供任何服务端口,不接受任何服务请求,所有服务请求由内网信任服务器发起. 5) 安全信任链：内外网服务器与安全隔离网闸联动,通过证书建立信任关系,在数据交换唯一通道形成一条安全信任链.增加系统健壮性。

　2 3.3.2 通信安全需求

　1) 保障用户在接入公安专网过程中的身份的鉴别、数据传输中的保密性、数据完整性验证等。

　2) 数据通道保护：基于角色、权限分配、设置细粒度访问控制策略，能达到非法用户不能访问，合法用户不能越权访问的目的。在客户端和可信边界安全网关之间建立高强度的安全加密通道，能保证数据传输的机密性、完整性，防止公安敏感信息在传输过程中被泄露或被篡改。

　3) 链路认证：能对应用访问链路进行认证，防止非法链路接入。网络

　安全需求。

　3 3.3.3 网络安全需求

　1) 需实现包括社会企事业单位接入、党政军机关接入、移动警务办公接入等在内的各类业务从链路安全、网络安全、主机安全、应用安全等层面的安全措施，并将社会企事业单位接入与其他接入链路从物理链路上隔离建立安全通道，确保链路安全。

　2) 网络安全防护：需实现通过探针等对接入的行为进行分析，防止非法和恶意的入侵行为；防病毒服务器对接入流量进行扫描，阻止病毒、恶意代码对公安信息通信网的渗透，为边界接入平台提供病毒防范功能。

　四、设备清单

　本次招标采购的软硬件货物具体清单：

　表 1-1 货物清单 序号

　设备名称

　数量

　单位

　性能指标

　1 数据交换系统 2 套 详见以下 2 集中监控与管理系统 1 台 详见以下

　3 集控探针 2 台 详见以下

　4 可信边界安全网关 2 台 详见以下

　5 CA 身份认证服务器 1 台 详见以下

　6 安全隔离与信息交换系统 2 台 详见以下

　7 防火墙 2 台 详见以下

　8 IDS 入侵检测系统 1 台 详见以下

　9 二层交换机 2 台

　详见以下

　10 路由器 1 台

　详见以下

　11 三层交换机 2 台

　详见以下

　12 服务器 4 台

　详见以下

　13 机柜 2 套

　详见以下

　14 三层交换机 1 台

　详见以下

　五、 软硬件 技术指标 要求

　1 5.1 数据交换系统

　表 1-2 数据交换系统 指标项 详细要求 规格 主机 包括两台主机，分别部署在两个网络之间，连接两个网络中应用服务器传输数据，主机之间部署安全隔离网闸实现隔离环境下进行数据安全交换 I/O 设备 网络 每台设备具备 2 个千兆高速以太网网络接口，可扩展至最多4 个 其他 ★操作系统 使用安全加固的 TopOS 安全 Linux 操作系统 ★数据交换 数据库同步 支持 SQLServer、Oracle、Sybase、DB2 等的单、双向数据交换； 无需修改数据库表结构，不涉及代码修改； 可同时发送和接收多个数据库中多个表； 支持多种增量方式；可分别定义增加、删除、修改的数据传输；根据指定字段值进行条件传输； 支持大字段数据同步交换； 支持异构数据库安全传输； 数据传输高度可靠，采用文件落地缓存确认机制进行保证。

　文件同步 支持多种文件传输方式：专用客户端、FTP、Samba、NFS； 高可靠文件传输，文件完整性校验； 文件内容识别检查过滤； 文件传输加密。

　流数据交换 支持包括网络音频、视频、流媒体在内的多种协议数据传输交换：如 FTP、TNS、POP3、SMTP 等。

　日志收集 收集平台系统内部各网络设备、应用服务器的运行日志，并同步到内部监管系统，用于平台系统日志分析。

　数据传输方向控制 可根据实际应用需求配置应用传输方向，可根据管理员配置实现单向或双向的数据传输交换。

　★数据传输 以静态数据格式方式传输，也可根据需要落地到主机上形成静态文件进行交换。

　★内容过滤、格式检查、病毒查杀 可对交换的数据内容进行检查过滤，识别敏感关键字符；对于数据库记录中的大字段内容可在还原后进行处理；对交换的数据库数据内容可根据用户定义进行格式匹配检查，防止数据被恶意篡改；内嵌病毒查杀引擎，可对不同平台下的病毒进行查杀。

　★业务、应用控制 系统可根据管理员配置单独启停数据交换服务；也可根据管理员定义单独启停任何一个独立的应用。

　用户认证 对系统管理员、普通用户分层次进行管理认证。

　★系统审计 对用户、管理员的所有操作均进行审计记录，并对非授权、越权访问进行记录。

　系统管理 使用基于 HTTPS 的安全加密协议进行管理；可指定管理终端主机。

　性能及其它要求 1、稳定性运行时间(MTBF)：>50000 小时 ★2、可实现 520Mbps 的交换能力，10000 个并发会话 ；数据库到数据库交换最大并发数据表≥1024； 3、数据影射最大字段数≥256； ★4、数据库到数据库交换记录数（>100Kb/记录）≥1000 条/秒； ★5、数据文件处理文件数（>100Kb/记录）≥800 个/秒；数据文件处理吞吐量≥200Mbps； ★6、应用层数据交换速度（FTP）≥200 Mbps； ★7、并发客户端数量≥3000；最大数据文件≥10G； 8、任务调度粒度为秒级； 9、目录监控触发时间<1 秒；最大传输延时<50ms ★10、支持 SYSLOG、SNMP V2/V3；

　11、全国安全隔离网闸制造厂商之一，保证与网闸协议的兼容性。

　5.2 2 集中监控 与 管理系统

　表 1-3 集中监控与管理系统

　指标项 详细要求 规格 主机 标准机架式机箱，1U 设备 I/O 设备 网络 2 个千兆网络接口，可扩展至最多 4 个 其他 ★操作系统 使用安全加固的 TopOS 安全 Linux 操作系统 ★终端认证 对终端用户身份进行认证，只允许合法用户进入平台系统内部提交或采集数据 授权 对终端用户进行授权，允许访问指定的应用服务器；对数据交换服务器授权，允许在指定服务器之间交换应用数据。

　★平台审计 对平台内部所有设备的操作进行审计，包括网络设备、安全设备、服务器、终端、数据交换服务器等；审计的方式包括系统日志收集等。

　设备管理 对平台内部设备通过 SNMP 或专用客户端进行管理和监控，对平台内部设备的异常流量、异常关机、异常中断等进行监控。

　★业务管理 对平台内部数据交换服务器上所交换的业务进行集中监管，屏蔽内部数据交换细节，以业务逻辑方式展现，便于系统管理人员管理、维护。

　报表输出 根据用户选择提供多种形式的图形报表，展现数据交换趋势、汇总数据交换总量；报表可导出、可打印。

　系统监管 使用动态图形展示整个数据交换平台内部的设备，展示的信息包括：设备运行状态、设备信息、链路数据吞吐量、终端用户信息；使用拓扑形式展现，方便系统维护管理人员对系统运行状况实时掌握，易于理解。

　★报警 对系统内部出现的异常情况以图形、声音方式报警提示；并可结合网管系统实现短信报警。

　级联监管 对于同样使用本系统的上下级平台网络系统可直接进行级联监管；对于其他的平台系统可使用数据库数据导入导出的方式实现（符合公安部标准）。

　性能及其它要求 ★1、实现对整个内外网数据交换平台的业务、应用、终端、服务器、网络设备监管；并实现对下级系统的管理和向上级网络的级联上报 2、稳定性运行时间(MTBF)：>50000 小时

　★3、最大支持业务数量：≥500； ★4、最大监控并发用户数量：≥2000； 5、最大审计用户数量：≥10000； 6、自身内置大型关系型数据库； ★7、可在内网实现对全网业务运行状态监控； ★8、可在内网实现对全网设备运行状态监控； ★9、可在内网实现对全网设备运行状态的管理； ★10、内置级联上报信息系统，满足后期级联上报数据需求。★ 11、全国安全隔离网闸制造厂商之一，保证与网闸协议的兼容性。

　5.3 3 集控探针

　表 1-4 集控探针

　指标项 详细要求 规格 主机 标准机架式机箱，1U 设备 I/O 设备 网络 2 个千兆网络接口，可扩展至最多 4 个 其他 ★操作系统 使用安全加固的 TopOS 安全 Linux 操作系统 ★协议支持 支持 SYSLOG 协议；支持 SNMP v2/v3 协议 性能及其它要求 ★1、部署于应用服务区，收集边界接入平台数据交换系统外的网络设备、应用服务器以及前置机的日志信息，并整理写入到平台监管系统的数据库★ ★2、稳定性运行时间(MTBF)：>100000 小时 3、全国安全隔离网闸制造厂商之一，保证与网闸协议的兼容性。

　4 5.4 可信边界安全网关

　表 1-5 可信边界安全网关

　指标项 详细要求 规格 主机 标准机架式机箱，1U 设备，包括访问控制模块、审计模块 I/O 设备 网络 2 个千兆网络接口 主要功能包括 用户身份认证、设备认证、访问控制、权限管理、传输加密、终端加固、监控审计等，并能支持与安全监控与管理系统的对接。

　★ 用 户 身 份认证 与公安系统现有 PKI/PMI 系统属同一软件厂商，具备良好兼容性，支持对多种证书链的认证，支持证书撤销列表（CRL）下载、验证，保证接入用户身份的合法性。

　★设备认证 依据设备注册登记信息对接入平台的终端设备进行认证，保证接入设备的合法性 ★权限管理 可以根据边界接入的需要，设置角色，指定相应的资源访问权限，防止非授权访问和越权访问

　访问控制 基于角色、权限分配，设置细粒度访问控制策略，达到非法用户不能访问，合法用户不能越权访问的目的 传输加密 与客户端之间使用 SSL 协议对通信过程进行加密和完整性保护，保证数据传输的安全性 监控审计 对接入用户的访问过程进行详细的记录，并实时报送给集中监控与审计系统，保证用户访问过程可控、可查、可追溯 ★安全加固 能实现对客户端软件的自动下载，并可实现客户端的自动启动、外联网口关闭及自动断网功能，以实现对客户端的安全加固。

　性能要求 1、稳定性 MTBF(平均无故障时间间隔)>50000 小时； 2、支持双机热备、支持负载均衡 ★3、最大新建连接数：1500 次/秒 ★4、最大并发连接数：2500 条 5、每秒事务数目（TPS）：6500 次 6、最大吞吐量：480Mbps 7、最大接入用户数：25000 ★8、产品必须满足《计算机信息系统安全产品第一部分：安全功能检测身份鉴别类》标准要求，满足国家保密局《涉及国家秘密的信息系统安全中间件产品技术要求》（秘密），并能提供同类项目的有效证明性文件。

　5.5 A CA 身份认证 服务器

　表 1-6 CA 身份认证服务器 指标项 详细要求 规格 主机 标准机架式机箱 I/O 设备 网络 大于 1 个百兆网络接口 ★ 性 能 及 其它要求 包括证书注册模块、证书签发模块、证书发布模块、密钥管理模块等四个部分，提供了完备的证书管理功能：

　1、 用户信息注册/签发；用户信息更新； 2、 证书恢复；证书废除；证书重发； 3、 微软智能卡证书/计算机证书/域控制器证书签发； 4、 证书注销列表（CRL）与 CA 证书下载；内置 LDAP 服务； 5、 产品在未来 3 年内符合国家密码技术发展要求,支持 ECC 算法。

　6、 支持最大用户数量≥20000 个，并发用户数≥1000 同时，它具备完备的产品管理功能，如系统备份/恢复、系统在线升级、系统日志查询、License 在线升级、管理员管理、网络配置等

　5.6 6 安全隔离与信息交换系统

　表 1-7 安全隔离与信息交换系统 指标项 详细要求 产品架构 ★系统架构 采用 “2+1”系统架构，即由两个主机系统和一个隔离交换矩阵组成，主机系统采用 VSP 通用安全平台，隔离交换矩阵基于专用交换芯片实现主机系统间采用自有协议摆渡数据，确保信任网络和非信任网络之间任何连接的断开，彻底阻断 TCP/IP 协议及其他网络协议 隔离交换矩阵 自主研发的硬件，无操作系统，外界无法编程控制，而不是采用低安全性的通用可编程硬件，如网线、SCSI、USB 等。

　接口 接口配置 2U 机箱；单电源；可扩展为热备冗余电源；软件系统:设备管理配置功能和定制访问功能(可实现访问控制,但无应用层过滤功能；内网:标配1个10/100M自适应网络接口,1个10/100M自适应网络扩展接口,1 个 10/100M 自适用应管理口,1 个 10/100M 自适应 HA口(双机热备口)；外网:标配 1 个 10/100M 自适应网络接口,3 个10/100M 自适应网络扩展接口,1 个 10/100M 自适应管理口,1 个10/100M 自适应 HA 口(双机热备口)。

　性能 系统吞吐量 不小于 91Mbps（单向）

　延时 小于 5ms 功能模块 文件交换 实现文件的安全交换，支持 NFS、SMBFS 等文件系统和多种细粒度检测控制功能。

　支持改名传输方式，可实现对源文件改名，标明传输状态。

　支持增量传输方式，可实现只传输修改和增加了的源文件。

　支持传输后删除方式，可实现传输结束后删除源文件。

　数据库同步 支持 Oracle、SQL、Sybase、DB2 等主流数据库，支持不同类型的数据库间、不同结构的表间的内容同步； ★支持客户端与网闸间的第三方数字证书方式的身份认证，确保只有被授权的合法用户才能运行； ★支持客户端与网闸间的 SSL 加密传输，确保网络数据传输的安全 定制访问 实现特定 TCP、UDP 协议的数据隔离交换，可合作定制开发针对特定协议的安全检测，实现如黑白名单控制、关键字过滤等 消息传输 支持基本字符和文本的消息传输,支持二次开发 API，支持 SSL 加密传输，提供文本消息的内容过滤 攻击防御 专业检测引擎 主机系统内置 USE 统一安全引擎 关联安全应用 内网管理联动 遵循 CSC 关联安全标准，实现与内网安全管理系统联动，通过Leadsec 安全管理系统实现集中安全管理 可靠性 专用冗余协议 支持 MRP 多重冗余协议，保障设备的高可靠性 链路聚合 物理端口支持 802.3ad 标准，实现链路聚合功能

　其它 与防火墙、入侵检测系统 IDS 为同一品牌，确保统一遵循安全标准(CSC)，实现无缝联动。

　★证书资质要求 具有《计算机信息系统安全专用产品销售许可证》 具有《国家信息安全认证产品型号证书》 具有《涉密信息系统产品检测证书》 具有《军用信息安全产品认证证书》 具有《计算机软件著作权登记证书》 具有计算机信息系统集成一级资质 具有国家信息安全认证服务二级资质 具有涉及国家秘密的计算机系统集成甲级资质

　5.7 7 防火墙

　表 1-8 防火墙 指标项 详细要求 ★操作系统 要求具备自主研发的安全操作系统，并提供该安全操作系统的软件著作权及彩页作为证明 产品规格 硬件规格

　标准 1U 设备，标配 6 个 10/100/1000BASE-T 端口，最大可扩展至 8 个10/100/1000BASE-T 端口 最大无故障时间(MTBF):80000 小时

　性能参数 吞吐量(bps);1.1G 最大并发连接数;180 万 每秒新建连接数;16000 可支持扩展 IPSecVPN 与 SSL VPN 模块 绿色上网 P2P 下载控制 ?识别和控制迅雷、BT、eDonkey、eMule 等常见 P2P 下载软件 P2P 视频播放控制 识别和控制 PPLive、QQLive、PPStream 等常见 P2P 视频播放软件 IM 即时通讯软件控制 ?识别和控制 QQ、MSN 等常用 IM 软件，一键式阻断 IM 软件机密文件传输 在线游戏控制 识别和控制魔兽、CS、征途、联众、天堂、梦幻西游、仙剑情缘、热血江湖、劲舞团、诛仙、浩方、泡泡堂等多种在线游戏软件 炒股软件控制 识别和控制大智慧、同花顺、国泰君安、证券之星、广发证券、指南针、通达信、股票之星、华安证券、和讯报道、钱龙等多种炒股软件 WEB 过滤 支持基于分类库的 URL 访问控制，可以对色情、反动等多种负面网站按类别进行选择控制 支持 50 多种分类库，800 万级网址智能特征库

　支持 URL 独立特征库，支持增量升级管理

　 采用高速辨认技术，缩短匹配时间，不影响产品整体性能 访问控制 状态检测 基于源/目的 IP 地址、MAC 地址、域名、端口或协议、服务、网口、时间、用户的访问控制 基于源/目的 IP 地址、端口、服务、网口、时间、应用等安全策略的带宽控制 可基于时间和安全域进行安全隔离，同一时间内网主机只能访问 DMZ 区或者只能访问外网 透明代理 实现基于策略的 HTTP、FTP、TELNET、SMTP、POP3 等透明代理和深度过滤 IP/MAC 绑定 实现 IP/MAC 地址绑定，且支持 IP/MAC 地址对的自动探测和唯一性检查 用户认证 支持基于客户端的本地认证、无客户端软件的 WEB 认证，并支持 Radius等第三方认证 网络适应性 接入模式 支持透明、路由、混合三种工作模式 支持 DHCP Client、DHCP Relay、DHCP Server 支持 PPPoE 接入，并具备自动断线重连技术 支持纯透明桥接功能 路由 支持静态路由，动态路由（OSPF、RIP 等），VLAN 间路由，单臂路由，组播路由等 支持基于源/目的地址、接口的策略路由 支持多出口路由负载均衡 NAT 支持双向 NAT、动态地址转换和静态地址转换，并支持多对一、一对多和一对一等多种方式的地址转换 VLAN 支持 802.1Q 和 ISL VLAN 封装协议，支持两种封装的互换以及 Vlan Trunk 带宽管理 基于 IP 地址、服务、网口、时间等定义带宽分配策略 支持最小保证带宽和最大限制带宽 支持分层的带宽管理 动态协议 在各种工作模式下均支持 H.323（H.323 GK）、SIP、FTP、MMS、RTSP、UPnP、XDMCP、TNS 等多种动态协议 VPN IPSec VPN 支持标准 IPSec 协议，能够与 CISCO、NETSCREEN 等知名厂商的 VPN 设备互联互通 支持预共享密钥、证书等认证方式且支持 X 扩展认证 支持 3DES、DES、AES 等加密算法 支持 AH 和 ESP 封装模式以及 MD5、SHA1、SHA2 等通用摘要算法 支持 DH1024、DH2048、RSA1024、RSA2048 等非对称加密算法 支持多出口 VPN，且支持 NAT 穿越 支持隧道接力，并可通过隧道接力实现分级的树状 VPN 结构部署 GRE/PPTP/L2TP 支持 GRE、PPTP 、L2TP 等 VPN 连接

　SSL VPN 支持 SSL VPN 和 IPSec VPN 同时使用 采用无客户端认证方式实现隧道安全连接 能进行个性门户（portal）定制化处理，可替换图片、文字等 VRC(VPN 客户端) IPSec VPN 客户端可与所有支持标准 IPSec 协议的 VPN 网关互联互通 支持基于 USB Key 的证书认证方式 IPSec VPN 客户端支持 Microsoft Windows 2000/XP、Vista 等操作系统 ★入侵检测与防御 入侵检测 集成基于统一安全引擎（USE）的 IDS 模块，具备 1600 种以上攻击特征库规则 遵循关联安全标准(CSC)实现与 IDS 的联动 蠕虫防护 采用基于摘要索引的内容加速算法（DCA 算法）进行蠕虫病毒过滤 采用基于 TCP 连接数管理的侦测技术，对感染蠕虫病毒的异常主机进行定位 实现对 blaster，nachi，nimda，codered，sasser，slapper，sqlexp，zotob 等主流蠕虫病毒的识别、过滤和拦截 抗 DDoS/DoS 攻击 可识别和防御 syn flood、Ping flood、udp flood、teardrop、sweep、land-base、ping of death、smurf、winnuke、圣诞树、碎片等多种攻击 内容过滤 网页过滤 支持对网页关键字和 Java、JavaScript、ActiveX 进行过滤 邮件过滤 支持对邮件地址、主题、正文、附件名、附件内容等进行关键字匹配过滤 支持对中转垃圾邮件进行识别和过滤 FTP 过滤 支持对 FTP 上传和下载文件的控制 ★关联安全应用 关联安全 支持关联安全标准(CSC) 可实现与 IDS 等设备的联动 可实现与内网安全管理系统(ISM)的联动 管理配置 系统管理 支持友好的 Web 图形界面配置 支持远程 SSH 和串口命令行配置 支持数字证书和电子钥匙两种管理员认证方式，支持管理员权限分级 支持 SNMP 管理，与当前通用的网络管理平台兼容 可导出可读的配置文件并进行打印存档 可进行配置文件的备份、下载、恢复和上传 系统监控 支持对 CPU、内存、磁盘、网口、用户在线状态、连接数、路由表等信息的监控

　日志报警 支持设备内存储和专用事件分析服务器两种日志管理方式 支持分级报警，支持 SNMP Trap 和邮件等报警方式 ★集中管理 可通过专用的集中管理系统实现对防火墙的集中设备监控、集中日志审计、安全报警以及防火墙、VPN 部分策略的分发等功能 可通过专用的集中管理系统，实现对网络拓扑的管理，基于域的权限分配和报表自动生成，以及设备的历史状况回放 可提供专用的软件实现对防火墙接入用户认证的集中管理，至少可同时管理 2048 台防火墙 高可用性 负载均衡 支持多重冗余协议(MRP)，实现链路备份、端口备份、热备份、集群备份等 支持防火墙多 WAN 口备份和负载均衡 支持基于 802.3ad 标准的多端口聚合，实现零成本扩展带宽 通过状态同步技术实现 2～32 台防火墙的多机集群 双机热备 在 NAT、路由、透明模式下支持 A-A,A-S 模式，且切换时间小于 1 秒 可在热备和集群工作模式下支持多台防火墙的配置自动同步 其它 防火墙，安全隔离与信息交换系统与入侵检测系统必须为同一品牌。

　★证书资质要求

　具备公安部颁发的《计算机信息系统安全专用产品销售许可证》

　具备国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》

　 具备中国信息安全产品测评认证中心颁发的《国家信息安全认证产品型号证书》

　具备中国人民解放军信息安全测评认证中心颁发《军用信息安全产品认证证书》

　具备国家版权局颁发的《计算机软件著作权登记证书》 具备信息产业部颁发的《计算机信息系统集成一级资质证书》 具备中国信息安全产品测评认证中心颁发的《国家信息安全认证信息安全服务资质证书》（安全工程类二级）

　具备国家保密局颁发的《涉及国家秘密的计算机信息系统集成资质证书》（甲级）

　厂商是中国信息安全产品测评认证中心授权培训机构 投标人必须具有原厂商对该项目的支持授权

　5.8 8

　IDS S 入侵检测系统

　表 1-9 IDS 入侵检测系统 指标项 详细要求 产品架构 系统架构 产品由控制台软件和探测器两部分组成，探测器使用专用的一体化硬件平台 ★操作系统 探测器的操作系统为 VSP 通用安全平台，具备高效、智能、安全、健壮、易扩展等特点

　★检测引擎 探测器采用高性能的 USE 统一安全引擎 监听接口 不少于 3 个 10/100M 自适应电口 性能 最大检测能力 不小于 100Mbps 检测功能 入侵检测 综合运用会话状态检测、应用层协议完全解析、误用检测、异常检测等多种检测技术，并支持自定义协议和检测事件 ★支持对 VLAN Trunk、SSL 加密数据等进行检测 支持 IP 碎片重组、TCP 流重组、引擎级的事件归并、报警缩略再分析、规则阈值修改、多网段定义检测等功能 ★超过 3500 条的检测规则，全面兼容 CVE、BugTraq 等国际标准漏洞库 探测器提供本地日志缓存，避免因为控制台与探测器断开引擎的报警日志丢失；要求缓存空间不小于 80Gb 病毒蠕虫检测 超过 900 条的蠕虫病毒检测规则 支持对已知病毒和未被蠕虫病毒利用的系统漏洞进行检测 虚拟引擎 一台探测器实体可被虚拟成多个独立的虚拟探测引擎 ★每个虚拟探测引擎可应用不同的检测和响应策略 ★并行数据采集 每个虚拟探测引擎支持多监听口并行数据采集，实现了在数据汇聚分析基础上再进行攻击检测，解决了大流量环境引起的交换机镜像丢包问题，以及单臂路由、TAP 分流环境的会话还原问题 ★状态监控

　支持对引擎存活状态、引擎运行时间、CPU 和内存使用率、当前监测会话数、报文流量、检测丢包数等的实时监控和显示 响应方式 被动响应方式 支持实时的邮件、手机短信、报警灯、焦点窗口等多种被动报警响应方式。

　主动响应方式 支持与遵循 CSC、TOPSEC、OPSEC、IAP 协议的联想网御、天融信、CheckPoint、Netscreen、Cisco PIX 等国内外品牌主流防火墙的联动 支持 SNMP Trap 协议，报警信息可被 Leadsec、Topsec 等多种安全管理系统接收和处理 其它 与防火墙、安全隔离与信息交换系统必须为同一品牌，确保统一遵循安全标准(CSC)，实现无缝联动。

　★证书资质证书要求 具有《计算机信息系统安全专用产品销售许可证》 具有《国家信息安全认证产品型号证书》 具有《涉密信息系统产品检测证书》 具有《军用信息安全产品认证证书》 具有《计算机软件著作权登记证书》 具有计算机信息系统集成一级资质 具有国家信息安全认证服务二级资质 具有涉及国家秘密的计算机系统集成甲级资质

　5.9 9 二层交换机

　表 1-10 二层交换机 指标项 详细要求 ★交换容量 ≥48Gbps ★转发性能 ≥35Mpps

　★端口配置 可用千兆电接口数量≥24；千兆光接口数量≥4 MAC 地址表 ≥16K VLAN 特性 ★支持基于端口的 VLAN，支持基于协议的 VLAN，支持策略 VLAN，支持Voice VLAN 最大 VLAN 数≥4094； ★链路聚合 支持 GE 口端口动态聚合；支持至少 20 个端口聚合组，每组支持至少 8个 GE；支持 LACP； 镜像功能 支持本地端口镜像和远程端口镜像 RSPAN； 组播 支持 IGMP（Internet Group Management Protocol）

　Snoopingv1/v2；支持组播 VLAN； QOS 每端口支持≥8 个优先级队列； 支持 IEEE 802.1p/DSCP 优先级，支持方式为 SP/SDWRR/SP+SDWRR 的队列调度，支持基于端口/流的限速，最小粒度为 1Kbps 生成树 支持 STP/RSTP/MSTP 协议； 访问控制策略 支持二到四层策略的报文 ACL 功能；支持自动下发 ACL、自动下发 VLAN和自动下发 QoS Profile 功能；

　安全特性 支持 802.1x 认证，支持基于端口的认证和基于 MAC 的认证；端口 mac 地址数目学习限制 支持 DHCP Snooping，防止欺骗的 DHCP 服务器；支持 ARP 入侵检测； 管理和维护 支持 SNMP V1/V2/V3、RMON、SSHV2 ★支持虚电缆检测功能(VCT)，快速准确定位网络中故障电缆的短路或断路点； 支持单向链路检测(DLDP),有效的防止网络中单通故障的发生； 支持通过命令行、Web、中文图形化配置软件等方式进行配置和管理。

　★资质认证 要求提供信产部入网证和检验报告

　5.0 10 路由器

　表 1-11 路由器 指标项 详细要求 ★体系架构 整机接口卡插槽数≥6 ★处理性能 整机包转发能力≥200Kpps 固定接口配置 ≥2GE；USB 接口≥2

　接口要求 支持 E1/T1、FE、GE、POS、CPOS 等接口 链路层协议 支持 PPP、MP、HDLC、ETHERNET、MSTP 等链路层协议 IPv4 协议 支持 IPv4 以及 RIP、OSPF、BGP4 等动态路由协议

　支持 IGMP、PIM-DM、PIM-SM、MBGP、MSDP 等组播路由协议 IPv6 协议 ★支持 IPv6 静态路由、RIPng、OSPFv3、IS-ISv6、BGP4+，

　支持 IPv4 向 IPv6 的过渡技术，包括 IPv6 手工隧道、6to4 隧道、ISATAP 隧道、GRE 隧道、IPv4 兼容自动配置隧道 ★语音路数 ≥120 ★语音协议 支持 H.323、SIP 协议 MPLS

　支持 MPLS VPN，IPSec VPN、GRE、L2TP 等

　★支持 L3VPN：支持跨域 MPLS VPN（Option1/2/3）、嵌套 MPLS VPN、CE 双归属、MCE、多角色主机等

　支持 L2VPN：Martini、Kompella、CCC 和 SVC 方式 支持 MPLS TE、RSVP TE 安全 支持标准和扩展 ACL

　支持包过滤/ASPF 防火墙、URPF 等多种安全特性 QoS 支持流量监管：CAR 限速，粒度可配,GTS 流量整形

　支持拥塞避免算法：Tail-Drop、WRED

　 支持各种队列调度机制 ：FIFO、PQ、CQ、WFQ、CBWFQ 可靠性 支持接口模块热插拔

　支持软件热补丁功能，可在线进行补丁升级

　支持 OSPF/IS-IS/BGP/MPLS LDP GR (Graceful Restart)功能实现主备引擎倒换时无间断转发

　支持 BFD：Static Route/OSPF/ISIS/BGP/VRRP/TE FRR 等 ★业务扩展 支持网流分析、防病毒、WAN 优化等业务处理 管理特性 支持 Console/AUX Modem/Telnet 等管理方式

　支持 SNMP v1/V2/V3

　支持 RMON

　 支持 NTP 协议 资质认证 提供第三方权威机构测试证明材料

　★提供信产部入网证书

　5.1 11 三层交换机

　表 1-12 三层交换机 指标项 详细要求 交换容量 ≥192Gbps ★转发性能 ≥95 Mpps

　电源 支持双电源输入 ★接口类型 万兆接口数量≥4

　可用千兆电接口数量≥24，千兆光接口数量≥4，支持百兆千兆 SFP 自适应 VLAN 特性 支持基于端口的 VLAN，支持基于协议的 VLAN，支持基于 MAC 的 VLAN；最大 VLAN数(不是 VLAN ID) ≥4094 链路聚合 支持最多 8 个 GE 口或 4 个 10 GE 端口聚合；支持最多 14/26 个聚合组；支持LACP 镜像功能 支持本地端口镜像和远程端口镜像 RSPAN； QOS 每端口支持 8 个优先级队列； 支持 802.1P，DSCP/TOS 优先级和重新标记能力，支持基于时间段的流分类和QoS 控制能力； ★支持出方向的流量限速功能（Egress Car）； 提供广播风暴抑制功能； 组播协议 支持 PIM-DM、PIM-SM、IGMP、IGMP Snooping 等协议 支持 MLD，MLD Snooping 等 IPv6 组播协议 路由协议 支持 IPv4 静态路由、RIP V1/V2、OSPF、BGP 支持 IPv6 静态路由、RIPng、OSPFv3、BGP4+ 支持 IPv4 和 IPv6 环境下的策略路由 支持 IPv6 手动隧道、6to4 隧道和 ISATAP 隧道 可靠性 支持 VRRPv2/v3（虚拟路由冗余协议)； 支持 RRPP（快速环网保护协议），环网故障恢复时间不超过 200ms； 支持 STP/RSTP/MSTP 协议； 支持 IPv6 ACL；支持出方向 ACL 安全特性 支持 IP+MAC+PORT 的绑定； 支持 DHCP Snooping，防止欺骗的 DHCP 服务器； 管理和维护 支持 SNMP V1/V2/V3、RMON、SSHV2 ★支持 sFLow，可以对出入方向的报文按比例随机抽样，灵活实现报文采集； 支持虚电缆检测功能(VCT)，快速准确定位网络中故障电缆的短路或断路点； 支持通过命令行、Web、中文图形化配置软件等方式进行配置和管理。

　资质认证 ★要求提供信产部入网证和检验报告 要求提供信产部 IPv6 入网证和检验报告

　5.2 12 服务器

　表 1-13 服务器 指标项 详细要求 规格 主机 标准机架式机箱 I/O 设备 网络 大于 1 个百兆网络接口 其它要求 CPU：Quad-Core Intel™ Xeon™ 5410 2.33Ghz 内存：4G DDR2 667 硬盘：146G SAS

　网络：Broadcom 10/100/1000M×2 5.3 13 机柜

　表 1-14 机柜 指标项 详细要求 其它要求 国产主流知名品牌，19 英寸、1000mm、42U 标准机柜 含 LCD 显示器、海讯 16 口 KVM 切换器、键鼠、三块隔板、黑色、四个风扇、2路 12 口 PDU、1 路 24 口配线架 4 5.14 三层交换机

　表 1-15 机柜 指标项 详细要求 交换容量 ≥96Gbps ★转发性能 ≥71Mpps

　★端口配置 可用千兆电接口数量≥48；千兆光接口数量≥4 MAC 地址表 ≥16K VLAN 特性 ★支持基于端口的 VLAN，支持基于协议的 VLAN，支持策略 VLAN，支持Voice VLAN 最大 VLAN 数≥4094； ★链路聚合 支持 GE 口动态聚合；支持至少 20 个端口聚合组，每组支持至少 8 个GE；支持 LACP； 镜像功能 支持本地端口镜像和远程端口镜像 RSPAN； 组播 支持 IGMP（Internet Group Management Protocol）

　Snoopingv1/v2；支持组播 VLAN； QOS 每端口支持≥8 个优先级队列； 支持 IEEE 802.1p/DSCP 优先级，支持方式为 SP/SDWRR/SP+SDWRR 的队列调度，支持基于端口/流的限速，最小粒度为 1Kbps 生成树 支持 STP/RSTP/MSTP 协议； ★访问控制策略 支持二到四层策略的报文 ACL 功能；支持自动下发 ACL、自动下发 VLAN和自动下发 QoS Profile 功能；

　安全特性 支持 802.1x 认证，支持基于端口的认证和基于 MAC 的认证；端口 mac地址数目学习限制 ★支持 DHCP Snooping，防止欺骗的 DHCP 服务器；支持 ARP 入侵检测； 管理和维护 支持 SNMP V1/V2/V3、RMON、SSHV2 ★支持虚电缆检测功能(VCT)，快速准确定位网络中故障电缆的短路或断路点； 支持单向链路检测(DLDP),有效的防止网络中单通故障的发生； 支持通过命令行、Web、中文图形化配置软件等方式进行配置和管理。

　资质认证 ★要求提供信产部入网证和检验报告

　 注：以上加“★”的技术参数指标必须满足，否则作无效投标处理。

　六、项目要求

　 公安信息网边界接入平台建成后，须经公安部授权的安全测评机构进行安全检测合格后方可正式入网运行。（检测费用由中标方承担，并包含在本次招标总报价当中，采购方不再另行支付任何费用。）

　七、工期要求

　合同签订后三十个工作日内完工，并提供详细的完工时间表。

　八、

　付款方式

　签订合同后付 30%，项目验收合格后先付 65%，余款在验收合格后 12个月付清。