一、系统业务需求
本次采购两台网络隔离设备(一致的品牌、型号、配臵),用于地税局与各电信运营商的互联网专线接入区域的接入防火墙后的内网区域。现将有关业务需求及现状作如下描述:
1)、各运行商分别部署光纤专线,从各运营商核心网络直接连接到我局边界接入防火墙,链路速率100M/1000M。
2)、各运营商负责,在所辖全网(全国范围内)的地址唯一性、路由连通性、扬州地税域名解析的准确性。
3)、在我局的边界接入防火墙上,将端口分为三个区域,外网接入区、内网服务器区、管理控制区。
4)、在我局的边界接入防火墙上,根据对外提供服务的服务器(约10台,分别提供地税网站、网上申报等)实际需求,进行地址映射转换,根据原地址,做策略路由,保证从哪个运营商发起的网络连接,到达服务器,响应后,按照原进入端口,进行返回;同时能对由内网发起的连接按照规则配臵可控地选择出口线路。
5)、在防火墙内网服务器区的接口上,部署网闸。网闸必须支持两种方式接入:使用两个端口之间的二层透明模式,不得涉及网络层连通性;使用路由模式,进行地址转换。在透明模式和路由模式下,两台网闸可做双机热备或负载均衡,杜绝单点故障。
1
6)、经过改造后的实际拓扑图:
广电用户 电信用户 网通用户 移动用户 联通用户 扬州广电出口路由器 各运营商因特网互联区 广电网 电信网 网通网 移动网 联通网 扬州电信出口路由器 扬州网通出口路由 扬州移动出口路由器 器 扬州联通出口路由器 各运营商专线接入区 地税局边界接入防火墙 网闸(待购) 安全隔离区 扬州地税 网站 网闸(现有) 。
2
二、采购产品技术指标及配臵参考(推荐品牌伟思、天行网安等国内一线知名品牌)
技术参数要求 说明 产品资质 必须是具有自主知识产权的国产产品,获得如下资质证书: 计算机信息系统安全专用产品销售许可证 涉密信息系统产品检测证书 计算机软件著作权登记证书 2008年度江苏省电子政务安全保密产品推荐目录 具备硬件物理隔离部件 系统采用2+1架构设计,包括内端机、外端机和独立的硬件隔离信息交换区。 该部件采用专用隔离芯隔离区必须包含基于ASIC设计的电子开关隔离芯片,不硬件 片设计,不支持通用通讯采用SISC、网卡以及任何加/解密等方式。隔离区信息物理隔离 协议,不可编程 交换采用DMA方式实现。 断开内外网TCP/IP连接 设备断开内外网网络TCP/IP连接 内部数据交换速率 >5Gbps 通讯及管理接口;一个包含4个百兆电口,一个管理口 接口 RS232接口 并发连接会话数 >80000 系统性能 系统延时 <20ns 系统带宽 >160M 支持文件交换、数据库同无需二次开发可支持支持文件交换、数据库访问WEB、应用支持 步、消息交换等应用 邮件等各类常见应用和定制化应用 3
支持WEB保护功能 系统内置WEB应用保护系统,并提供厂家使用授权证明文件,以及提供软件著作权登记证书,支持全面的WEB保护功能,包括: DLL、ASP/JSP脚本控件、WebService、等函数中方Web保护 法调用的安全过滤; Cookie加密; Inject攻击保护; 内置WEB系统漏洞库可实现安全过滤/阻断; 符合隔离要求的安全数网闸不允许采用HTTP、SMTP、SQL等通用传输协议或通据摆渡机制 用代理模块进行数据交换 提供IP、时间等对象的访能够通过IP、时间、身份认证等对象进行多因素访问控问控制 制; IP/MAC地址绑定 可实现基于IP+MAC绑定的客户端访问控制 单/双向通讯控制 支持单、双向可选的访问控制 提供隔离网闸联动统一能够提供隔离网闸紧密集成构成联动完整的整体(提供管理 软件注册权登记证书,备查),并进行统一管理。 应用进程绑定功能 提供基于应用进程的绑定功能 采用先进的内核态编程技术通过协议转换客户端实现视安全访问 频通讯协议到隔离网闸消息协议的无缝协议转换功能,控制功能 通讯功能 禁止未安装协议转换客户端的PC与隔离网闸及服务器建立通讯连接,禁止采用任何形式的应用代理客户端。 协议转换客户端必须支持基于用户名口令和USB KEY数身份认证功能 字证书两种方式的身份认证。 访问控制功能 可控制视频客户端可访问的视频服务器IP地址范围。 采用基于用户组策略的安全控制机制实现对访问用户的用户管理 权限管理 管理员可控制最大会话空闲时间,超过设定阀值的系统会话安全 自动断开已建立通讯链路。 管理方式 采用B/S图形化方式进行设备管理 4
远程管理 工作模式 实时流量监控 支持基于SSH的远程安全管理 支持桥接和路由两种工作模式 客户端能够实时监控用户访问视频服务器的通讯流量 系统可存储和审计包含: 系统日志; 管理日志; 网络活动日志; 入侵报警及处理日志; 访问控制日志; 无需第三方软件支持内置双机热备功能 系统可为特定应用层协议预留连接数资源 日志与 审计支持 详细日志审计 双机热备功能 高可用性 基于应用层协议的连接数控制 系统管理 操作系统 设备故障检测与报警 系统必须提供液晶显示面板对硬件故障提示报警:通讯故障;硬件故障;软件故障; 采用液晶面板实时显示系统工作状态信息,包括系统启动、故障、攻击行为等; 采用GUI图形管理界面,支持常见安全认证、加密方式的远程管理; 系统不允许采用外网管理端口,只能由内网管理接口统一完成系统内网端和外网端系统配置。 管理平台采用图形化的网络行为监控,可实时监控网络流量、并发连接数、违反规则尝试次数等统计信息 采用经过安全加固的Linux操作系统或自主的私有安全操作系统 设备监控与管理 管理接口 图形化网络行为监控 优化的Linux安全操作系统 以上推荐品牌及具体配臵要求,只作为最基本的需求参考,投标人必须根据具体的网络环境和系统业务需求,进行分析,选择合理的产品及具体配臵,并针对不合理、不科学的需求进行建议和完善,必须保证所选产品的科学性、可靠性、扩展性,能保证顺利接入现有实际网络系统。
报价要求:含产品的所有运输、安装、调试等费用;含必须的售后维护费用及人员培训费用(3人次本地现场培训)。
质保要求:系统集成商对本系统所提供的设备、程序按照国家有关规定实行“三包”。三年内,对本系统免费维修、维护,具体包括维修更换设备、按季度
5
定期巡检、按照我局实际要求进行部署和调整、对于病毒爆发或发生重大安全事件时,专业安全技术人员能在4个小时内到达现场,协助解决问题。 三、时间要求
合同签订后按照扬州市局指定扬州市范围内地点,3日内到货,5日内安装调试结束,并完成全部测试、验收、文档整理工作。 四、公司资质、技术要求
1.具有独立法人资格和具有独立承担民事责任能力; 2.熟悉扬州地税系统现状,有实际网络安全施工、调试经验;
3.投标品牌网闸在江苏省地税系统至少要有4个成功案例(提供合同原件备查);
4.投标方在提供技术、商务标书的同时,必须提供完整的集成、调试、验收方案。
五、付款方式
1、第1次付款:货到现场7个工作日内由买方组织验收、签字确认后,买方支付合同总价的90%;
2、第2次付款:安装调试完毕,验收合格后三个月内,整个系统运行正常,由买方组织最终验收,验收合格后7个工作日内,买方向卖方付清合同总价的10%的余款。 六、其他
1.工程结束,由扬州市地税局邀请省局和其他相关部门人员进行验收; 2.设备供应商须提供本项目的原厂商授权书(提供原件备查);
3.在项目实施过程中,中标方必须负责安全设备的全部系统集成,并保证上
6
述设备配臵清单和具体配臵的科学性、准确性、可行性,如需要增加或修改的,扬州市地税局有权进行调整,一切费用由中标方自付,扬州市地税局不承担任何责任。
4.为防止恶性竞争,以保证产品的质量和售后服务,投标人的报价必须符合目前市场的主流价格水平。
5.在正式实施前,如因不可抗原因,导致该项目暂停或取消的,扬州市地税局不承担任何责任。
7
因篇幅问题不能全部显示,请点此查看更多更全内容