关于司法行政信息系统公开招标

序号

名称

产 品 描 述

数量

采购预算(元)

1

外网防火墙

设备支持整机吞吐量≥3Gbps，七层吞吐量≥500Mbps，并发连接数≥1,200,000，每秒新建连接数≥60,000,标准1U机架设备,配置接口： ≥4个千兆电口，≥2个千兆光口，≥2个高速USB2.0接口，≥1个console口,功能标准描述：软件具备良好的功能扩展性，包括：内置IPS漏洞特征识别库，特征库数量4000条以上，并支持“云分析引擎联动”，具备专业攻防团队每1-2周进行规则库和紧急漏洞更新，需提供官网更新数据以确保更新的频率；传统防火墙功能、VPN、僵尸网络检测、IPS、WEB应用防护、网站篡改防护、邮件防护、风险分析、实时漏洞分析、安全事件防护、流量管理功能；具备实时漏洞分析功能，列举配置实例，该功能可以通过被动检测的方式进行业务系统脆弱性评估，避免传统漏洞扫描设备在系统运行时进行漏洞检测可能对系统造成的稳定性影响的风险；要求支持WEB应用防护，能够实现SQL注入攻击、XSS攻击检测、网页木马、网站扫描、WEBSHELL、CSRF攻击、系统命令注入、文件包含攻击、目录遍历攻击、信息泄露攻击的WEB攻击防护；设备同时具备硬件网关型网站防篡改和客户端网站防篡改功能，列举配置实例，网关型篡改检测需要支持精确匹配和模糊匹配的方式，当检测到网页篡改时能提供邮件/短信告警；对可疑邮件和信息进行标注，并可建立相应的规则进行例外处理；能够规避网络、系统和应用层面普遍存在的安全漏洞和隐患，包括但不限于SQL注入、跨站脚本攻击。提供用户身份验证功能；当用户多次提交失败后，支持自动锁定功能，并可自定义策略，解除锁定。为保障web防护功能的完整性，要求web防护规则库不少于3000条；为实现各功能模块防护作用最大化，保障传统防火墙模块与IPS入侵防御模块、Web应用防护模块、僵尸网络检测模块实现智能联动，可智能生成临时规则联动封锁攻击源IP，临时封锁时间可自定义，为了保证服务器访问体验与安全性，要求设备具备黑链检测功能，并要求在设备上可查询最近一周内的黑链风险情况，导出报表中具有黑链详情；基于应用识别类型、用户名、接口、安全域、IP地址、端口、时间进行应用访问控制列表的制定，支持应用更新版本后的主动识别和控制；支持脚本过滤和ActiveX过滤，并能识别并封堵含有恶意插件的网络访问行为，必须能识别并封堵含有恶意脚本、挂载木马危险网页访问行为；为提升windows漏洞防护能力，以便能够提前得知windows漏洞信息并实施及时防护，设备内置应用特征识别库，规则总数至少具备3000条以上；要求支持僵尸网络检测，检测到内网中病毒的机器后，可免费提供反僵尸网络软件，专业查杀僵尸网络病毒，可实现木马远控、恶意链接、移动安全、异常流量外发的恶意流量进行检测识别，检测到攻击后支持拒绝发送功能并生成日志记录。

1台

75000

2

内网防火墙

设备支持网络层吞吐量≥2Gbps；设备支持应用层吞吐量≥300Mbps；并发连接数≥25万；新建连接数≥5万；配置接口：≥4个千兆电口，≥2个USB接口，≥1个RJ45串口；尺寸标准：1U标准机架式设备；BYPASS：支持故障时BYPASS；设备采用X86多核硬件架构设计，以满足网络数据高速传输与各项安全防护技术的需求；软件具备良好的功能扩展性，包括：传统防火墙功能、VPN、僵尸网络检测、IPS、WEB应用防护、网站篡改防护、风险分析、实时漏洞分析、安全事件防护、流量管理功能、提供自定义邮件防护策略、自动识别垃圾邮件（规则识别）、对垃圾邮件进行智能化处理；内置IPS漏洞特征识别库，特征库数量4000条以上，并支持“云分析引擎联动”，具备专业攻防团队每1-2周进行规则库和紧急漏洞更新，需提供官网更新数据以确保更新的频率；具备实时漏洞分析功能，列举配置实例，该功能可以通过被动检测的方式进行业务系统脆弱性评估，避免传统漏洞扫描设备在系统运行时进行漏洞检测可能对系统造成的稳定性影响的风险；要求支持WEB应用防护，能够实现SQL注入攻击、XSS攻击检测、网页木马、网站扫描、WEBSHELL、CSRF攻击、系统命令注入、文件包含攻击、目录遍历攻击、信息泄露攻击的WEB攻击防护；设备同时具备硬件网关型网站防篡改和客户端网站防篡改功能，列举配置实例，网关型篡改检测需要支持精确匹配和模糊匹配的方式，当检测到网页篡改时能提供邮件/短信告警；为提升windows漏洞防护能力，以便能够提前得知windows漏洞信息并实施及时防护，设备内置应用特征识别库，规则总数至少具备3000条以上；为保障web防护功能的完整性，要求web防护规则库不少于 3000条；为实现各功能模块防护作用最大化，保障传统防火墙模块与IPS入侵防御模块、Web应用防护模块、僵尸网络检测模块实现智能联动，可智能生成临时规则联动封锁攻击源IP，临时封锁时间可自定义，为了保证服务器访问体验与安全性，要求设备具备黑链检测功能，并要求在设备上可查询最近一周内的黑链风险情况，导出报表中具有黑链详情；支持脚本过滤和ActiveX过滤，并能识别并封堵含有恶意插件的网络访问行为，必须能识别并封堵含有恶意脚本、挂载木马危险网页访问行为；基于应用识别类型、用户名、接口、安全域、IP地址、端口、时间进行应用访问控制列表的制定，支持应用更新版本后的主动识别和控制；要求支持僵尸网络检测，检测到内网中病毒的机器后，可免费提供反僵尸网络软件，专业查杀僵尸网络病毒，可实现木马远控、恶意链接、移动安全、异常流量外发的恶意流量进行检测识别，检测到攻击后支持拒绝发送功能并生成日志记录。

1台

25000

3

上网行为管理

要求设备支持7层吞吐量≥100Mbps，设备支持4层吞吐量≥1Gbps并发会话数≥1,000,000。并发用户数≥500，转发时延≤0.1ms；BYPASS：支持故障时BYPASS，设备接口具备≥6个千兆电口，尺寸标准：1U标准机架式设备要求支持部署模式：网关部署、网桥部署、旁路部署；要求支持基于硬件的免审计功能，要求用户使用硬件免审计设备时，所有上网行为记录不被审计，以保障领导的上网行为机密信息；对软件业务的流转行为进行管理，能够提供软件业务的行为痕迹；要求能够发现共享设备的IP地址、共享用户和共享接入的终端数量，提供可以针对所有终端或仅限PC终端进行共享统计，提供若发现共享行为，可以基于终端数量提供冻结时长，以实现防止用户使用路由器、ccproxy代理、360wifi、百度wifi无线接入设备共享其他终端上网，列举配置实例；要求支持手机短信认证，以满足组织单位营销或免责的需求；为便于对上网人员的上网行为进行管理，要求提供支持基于关键字的过滤，支持百度搜索过滤、HTTP上传关键字过滤，同时发送告警邮件给管理人员，支持数据中心基于关键字的搜索查询，以保证管理人员更好地管理网络；移动终端管理：要求支持发现内网中智能终端热点和接入终端的IP、终端类型；可针对合法的无线wifi添加到信任列表，针对非法接入无线网络的终端，可冻结封堵用户不再允许访问互联网，同时发送告警邮件；要求提供支持识别审计SSL加密的网站、邮件，可以对https的WEB业务进行内容审计，以保证做到对上网用户的更全面审计；页面推送：要求支持公告页面推送，能够自定义公告页面按照时间间隔推送给用户，做到广播通知公告；为保证精确识别网络流量，要求提供支持内置应用特征识别库5000条以上规则；为方便管理，要求支持根据标签选择应用，提供标签分类至少包含安全风险、发送电子邮件、外发文件泄密风险、降低工作效率几大类；且要求支持给每一种应用列上图标，以易于客户了解应用的特征；、支持安全桌面技术，在虚拟安全桌面中，提供可以设置对PC的访问目录控制、ActiveX控件安装控制、网络访问权限控制、文件导出控制，以保证用户安全使用网络；要求设备集成无线控制器，能够对AP进行管理维护，能够提供实时显示接入用户的数量、用户名、接入点状态、射频状态、无线网络状态；要求支持微信认证方式，列举配置实例，提供证明设备在无线接入环境支持微信认证、二维码“扫一扫”、“点一点”方式。

1台

87000

4

无线AP

兼容IEEE 802.11a/b/g/n标准最高速率达600Mbps；支持最大合并比（MRC）；支持11n波束成形（beamforming）；支持循环延时/循环移位分集 (CDD/CSD)；支持最大似然解码（MLD）

支持数据包聚合: A-MPDU(Tx/Rx)，A-MSDU(Rx only)；支持802.11 动态频率选择(DFS)；支持20M和40M模式下的ShortGI；基于WMM（Wi-Fi multimedia）即Wi-Fi多媒体标准的映射及优先级调度规则，实现基于优先级的数据处理和转发；支持自动和手动两种速率调节方式，默认方式为自动速率调节方式；支持WLAN信道管理和信道速率调整；支持信道自动扫描功能，自动规避干扰；支持AP中每个SSID可独立配置隐藏功能，支持中文SSID；支持自动隐藏SSID，即当接入终端达到接入上限后，自动隐藏该SSID；支持SST（signal sustain technology）

支持U-APSD节电模式；Fit AP工作模式下支持CAPWAP（control and provisioning of wireless access points）即无线接入点控制协议隧道数据转发；Fit AP工作模式下支持AP自动上线功能；Fit AP工作模式下支持WDS；Fit AP工作模式下支持Mesh；支持Mesh双MPP组网；支持Hotspot2.0；支持802.11k、802.11v协议的智能漫游；符合IEEE 802.3u标准；支持速率和双工模式的自协商，自动MDI/MDI-X 支持根据用户接入的SSID划分VLAN 上行以太网口；支持VLAN ID (1-4094)，每射频可设置8个VAP；支持AP上联口管理通道以tag和untag两种模式组网；支持DHCP Client，通过DHCP方式获取IP地址；支持业务数据的隧道转发和直接转发两种方式；支持同一VLAN中不同的无线终端之间的访问隔离；支持mDNS网关协议，可实现跨VLAN用户间的AirPlay、AirPrint业务共享功能；支持用户访问控制（ACL）；支持LLDP链路发现；支持直接转发模式下的CAPWAP中断业务保持；支持AC统一认证；支持AC双链路备份；支持Native IPv6；支持IPv4/IPv6双协议栈；支持IPv6 Portal；支持IPv6 SAVI；支持IPv4/IPv6 ACL；支持Soft GRE。

8台

12000

5

无线控制器

数据转发性能≥4 Gbps；最大可管理AP的数量≥256，本次配置授权≥8；6个千兆RJ45电口和2个千兆Combo口；提供USB接口，配合U盘使用，可用于开局、传输配置文件、升级文件；支持标准IETF 5415 CAPWAP协议，AP和AC之间支持L2/L3层网络拓扑；支持静态路由，RIP-1/RIP-2，OSPF，BGP，IS-IS，路由策略、策略路由，支持AC内漫游，支持跨AC间漫游，支持跨VLAN的三层漫游，支持WIDS/WIPS，非法AP入侵检测，白名单功能，黑名单功能和无线协议攻击防御，支持设备冗余备份功能，可支持1+1或N+1备份，支持CLI、SNMP V1/V2/V3，支持WEB管理、SSH管理，无线接入控制器8个AP资源授权。

1台

22300

6

司法行政工作信息管理系统

详细参数见第四部分“采购需求说明”附件（标准软件）

1套

500000