各潜在供应商： ******受郑州商品交易所的委托，就期货大厦信息系统信息安全产品采购项目拟进行公开招标，现将招标项目的具体要求进行公示，请各潜在供应商对公示的内容是否有倾向性、歧视性等内容提出意见或建议。所有意见或建议应于 ****年*月**日**：**时前以书面形式(加盖单位公章)递交至******，由法定代表人或其授权代表携带企业营业执照副本原件及本人身份份（原件）（******），一并提交（邮寄或传真件不予受理），逾期不予受理。联系人：张中平电话：****-************** 二〇一三年四月十二日此次招标设备均用于郑州商品交易所期货大厦信息系统建设，包括集成安全网关、网络防火墙、入侵防御设备、抗Dos攻击防御设备、入侵检测设备、双向物理隔离网闸、运维堡垒机、桌面终端安全管理系统。产品需满足郑州商品交易所信息系统的安全稳定运行，如不满足，可导致废标(说明：其中加“★”项为必须满足指标，如有不满足文件要求的，将导致废标)。信息安全产品一 集成安全网关序号指标项技术指标要求重要性* 产品资质投标产品应该是经过市场考验的成熟产品，产品上市时间不少于*年，须提供销售许可证或软件著作权证书等有效证明材料；★* 投标产品具备以下的资质，要求提供有效证书的复印件：具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》；★* 产品在郑州商品交易所交易业务系统有过部署；* 产品规格防火墙的软、硬件部分为同一厂家产品，并且是一体化设计的产品★* 采用ASIC专用安全硬件平台，非x**通用PC / 服务器架构★* 使用专用安全操作系统，非通用操作系统（Linux, BSD, NT等）★* 机架式硬件设备，交流冗余双电源。设备至少提供*个GE工作电口、至少*个SFP插槽，至少具备一个专用的管理接口；★* 产品性能两接口间吞吐量（小包**字节）不小于*Gbps；★* 两接口间吞吐量（大包）不小于*Gbps；★** 设备最大并发连接数不少于***万；★** 设备每秒新建最大连接数不少于*.*万；★** 最大并发VPN隧道数不少于*万；** *DES+SHA-* VPN性能不低于*G；** AES***+SHA-* VPN 性能不低于*G；** 最大访问控制策略不少于*万条；** 产品部署支持透明、路由、混合三种部署模式；★** 产品功能采用深度检测技术；★** 具有应用层攻击防护能力，对检测到的应用层攻击具有基于会话的阻断能力；★** 可基于每一条访问控制策略选择是否进行应用层攻击检测；★** 可基于每一条访问控制策略选择进行哪种类型的攻击检测** 可基于每一条访问控制策略选择针对攻击事件的响应方式，至少应该包括对当前恶意数据包的实时丢弃，或对当前恶意会话的实时丢弃** 可基于每一条访问控制策略选择是做IDS TAP处理还是IDP In-line处理** 具有对攻击特征的自定制能力★** 具有Session Flood攻击防护能力，可基于源或目的地址控制Session数量** 可扩展具备完整的入侵防护产品 (IDS/IDP)所具备的所有功能，支持***多种应用协议，识别****种以上的攻击手法。 基于双CPU和FPGA处理，提供*G的IDP处理能力。** 实施完整的IDP功能的多块硬件模块可以自动实现负载分担和冗余** 支持基于ASIC的内置防病毒/蠕虫功能★** 支持针对P*P行为的识别控制；** 支持基于源/目的IP地址、MAC地址、端口和协议、时间、用户的访问控制；★** 动态端口支持协议：FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP；★** 支持双向NAT。支持动态地址转换和静态地址转换；支持多对一、一对多和一对一等多种方式的地址转换；★** 支持基于访问控制规则的NAT配置★** 支持LDAP, Radius, SecureID，同时支持主动认证与被动认证方式** 支持***.*x协议** 支持静态路由、动态路由；支持基于源/目的地址、源/目的端口、协议类型、接口的策略路由；支持单臂路由，可通过单臂模式接入网络，并提供路由转发功能；支持Vlan路由，能够在不同的VLAN虚接口间实现路由功能； ★** 支持RIP、OSPF、BGP** 支持Interface Based Track IP** 支持与交换机的Trunk接口对接，并且能够实现Vlan间通过安全设备传播路由；★** 支持QinQ技术（vlan-vpn），对报文进行二次基于***.*Q封装；** 支持***.*D、PVST生成树协议；★** 支持基于访问控制策略的组播通讯；** 支持PIM-SM,PIM-SSM；** 支持IGMP；** 支持L*TP, IPSec VPN；** 支持基于路由(Route-Based)的 VPN；** 支持VPN隧道通过动态路由协议自动恢复；** 支持冗余VPN 网关；** 支持双机热备，支持负载均衡模式；支持系统故障切换，包括主设备抢状态开关功能（preempt）；★** HA切换速度快，可保持应用会话不中断；★** 支持HA的状态同步，包括Session同步、ARP Cache同步、NAT Catch同步、IPSec SA同步；★** 产品管理系统基于B/S的管理架构，采用https的安全管理方式，Web界面支持 MS IE浏览器；★** 提供CLI（命令行）配置模式，支持SSH远程调试模式；★** 支持设备的所有配置都集中保存和下发，策略集中配置分发，状态集中监控，实时了解设备实际配置和集中管理服务器上的配置是否同步，并且可以分析区别点，日志集中收集审计；可以集中对设备进行软件升级；所有设备支持的命令都可以用集中管理的方式下发；** 提供标准syslog接口，可接受第三方管理平台的集中事件管理；★** 售后服务提供*年免费人工、部件，*x**x* 带备件上门的原厂服务，首次原厂工程师免费上门安装服务。★信息安全产品二 网络防火墙（FW）序号指标项技术指标要求重要性* 制造商厂商具备针对安全事件的远程和现场的紧急响应能力，获得中国信息安全认证中心颁发的一级应急处理服务资质证书和一级风险评估服务资质证书。要求提供有效证书的复印件；* 为保障安全产品的“异构性”，要求与“信息安全产品三 入侵防御系统（IPS）”、 “信息安全产品四 抗Dos攻击防御设备”是不同品牌产品；★* 产品资质投标产品应该是经过市场考验的成熟产品，产品上市时间不少于*年，须提供销售许可证或软件著作权证书等有效证明材料；★* 投标产品具备以下的资质，要求提供有效证书的复印件：具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》；具有中国信息安全测评中心颁发的《国家信息安全测评信息技术产品安全测评证书》、并获得EAL*级别或以上认证；具有中华人民共和国国家版权局颁发的《计算机软件著作权登记证》；★* 产品在郑州商品交易所互联网服务系统有过部署；* 产品规格机架式硬件设备，设备至少提供*个GE工作电口、至少*个SFP插槽；★* 产品性能设备整机吞吐量（小包）不小于*.*Gbps；★* 设备最大并发连接数不少于***万；★* 设备每秒新建最大连接数不少于*万；★** 产品部署支持透明、路由、混合三种部署模式；★** 产品功能采用完全内容检测（Complete Content Inspection）技术；支持基于流、数据包、透明代理的过滤方式；★** 支持对HTTP、SMTP、POP*、IMAP、FTP等协议的深度内容过滤；★** 支持DNS过滤、支持DNS中继；** 支持web重定向、支持伪装http连接识别；** 支持针对P*P行为的识别控制；** 支持基于源/目的IP地址、MAC地址、端口和协议、时间、用户的访问控制；★** 动态端口支持协议：H.***、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP；★** 支持会话收集整理，由收集数据生成访问控制策略；** 支持对于策略重复和策略冲突的检查；** 策略命中统计，和控制放行的并发连接数；** 支持双向NAT。支持动态地址转换和静态地址转换；支持多对一、一对多和一对一等多种方式的地址转换；★** 支持静态路由、动态路由；支持基于源/目的地址、源/目的端口、协议类型、接口的策略路由；支持单臂路由，可通过单臂模式接入网络，并提供路由转发功能；支持Vlan路由，能够在不同的VLAN虚接口间实现路由功能； ★** 支持与交换机的Trunk接口对接，并且能够实现Vlan间通过安全设备传播路由；★** 支持QinQ技术（vlan-vpn），对报文进行二次基于***.*Q封装；** 支持***.*D、PVST生成树协议；★** 支持对物理端口的聚合，且每个聚合组的端口数不做限制；** 支持双机热备，支持负载均衡模式；支持系统故障切换，包括主设备抢状态开关功能（preempt）；★** HA切换速度快，可保持会话不中断；★** 支持HA的状态同步；** 可以根据IP、协议、网络接口、时间定义带宽分配策略，且有优先级功能。支持最小保证带宽和最大限制带宽；** 产品管理系统基于B/S的管理架构，采用https的安全管理方式，Web界面支持 MS IE浏览器；★** 提供CLI（命令行）配置模式，支持SSH远程调试模式；★** 提供标准syslog接口，可接受第三方管理平台的集中事件管理；★** 售后服务提供*年免费人工、部件，*x**x* 带备件上门的原厂服务，首次原厂工程师免费上门安装服务★信息安全产品三 入侵防御系统（IPS）序号指标项技术指标要求重要性* 为保障安全产品的“异构性”，要求与“信息安全产品二 网络防火墙”、 “信息安全产品四 抗Dos攻击防御设备”是不同品牌产品；★* 产品资质投标产品应该是经过市场考验的成熟产品，产品上市时间不少于*年，须提供销售许可证或软件著作权证书等有效证明材料；★* 投标产品具备以下的资质，要求提供有效证书的复印件：具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》；★* 产品在郑州商品交易所互联网服务系统有过部署； * 产品规格防火墙的软、硬件部分为同一厂家产品，并且是一体化设计的产品；★* 机架式硬件设备，设备至少提供*个GE工作电口，具备至少一个专用的管理接口；★* 产品性能网络吞吐量不小于*Gbps；★* 网络延迟小于***us；* IDS/IPS吞吐量不小于***Mbps；★** 安全会话上下文不小于**万；★** 每秒新建数最大连接数不小于*****；** 最大并发连接不小于***万；★** 最大支持*条链路清洗；★** 产品功能支持最新的ZDI（零时攻击）攻击保护；★** 支持至少****种数字疫苗★** 内置断电保护装置，具有BYPASS功能；★** 提供CLI（命令行）配置模式，支持SSH远程调试模式；★** 提供标准syslog接口，可接受第三方管理平台的集中事件管理；★** 售后服务提供*年免费人工、部件，*x**x* 带备件上门的原厂服务，首次原厂工程师免费上门安装服务★信息安全产品四 抗Dos攻击防御设备序号指标项技术指标要求重要性* 制造商厂商具备针对安全事件的远程和现场的紧急响应能力，获得中国信息安全认证中心颁发的一级应急处理服务资质证书和一级风险评估服务资质证书。要求提供有效证书的复印件。* 为保障安全产品的“异构性”，要求与“信息安全产品二 网络防火墙”、 “信息安全产品三 入侵防御设备（IPS）”是不同品牌产品；★* 产品资质投标产品应该是经过市场考验的成熟产品，产品上市时间不少于*年，须提供销售许可证或软件著作权证书等有效证明材料；★* 投标产品具备以下的资质，并提供有效证书的复印件：中国人民共和国公安部颁发的的《计算机信息系统安全专用产品销售许可证》；中国信息安全测评中心颁发的《国家信息安全测评信息技术产品安全测评证书》、并获得EAL*级别或以上认证；中华人民共和国国家版权局颁发的《计算机软件著作权登记证》；★* 产品在郑州商品交易所互联网服务系统有过部署；* 产品规格机架式硬件设备，交流冗余双电源，提供*个RJ**串口、至少*个GE管理口、至少*个GE工作口；★* 产品性能设备最大可防护不小于*Gbps的**字节小包ddos攻击；★* 产品功能产品支持对于SYN/ACK flood、ICMP flood、UDP flood、DNS Query flood、HTTP GET flood、(M)Stream flood、Connections Flood、CC、LAND等常见DDOS攻击手段的防护；★* 产品能够有效防护CC攻击，并提供etag、http cookies、url验证、ascii图片验证、bmp图片验证、FCS检查和模式匹配检查防护算法以抵御不同程度的攻击。要求提供配置界面截图证明；★** 产品可防范连接耗尽攻击，采用无限并发连接机制，系统没有最大并发连接数指标；** 产品使用智能攻击流量识别的技术进行防护，而不基于特定规则的方式，即当发生未知攻击，无需专门的撰写规则即可对这些攻击进行防护；** 产品提供基于七元组（源IP地址、目的IP地址、源端口、目的源口、协议类型、TOS及接口）以及对数据包payload进行模式匹配的访问控制规则。要求提供配置界面截图证明；★** 产品提供基于针对目标URL的访问控制规则；** 产品具有BYPASS功能；★** 设备支持透明方式串联部署；★** 产品管理系统基于B/S的管理架构，采用https的安全管理方式,Web界面支持 MS IE浏览器；★** 提供CLI（命令行）配置模式，支持SSH远程调试模式；★** 提供实时流量监控、实时攻击事件统计；** 显示物理端口状态，显示系统CPU、内存信息；** 显示攻击流量统计图。并可以针对特定IP，显示当前IP的攻击流量统计图；** 支持对用户登录IP的控制及登录错误次数封禁功能；★** 提供标准snmp trap和syslog接口，可接受第三方管理平台的集中事件管理；★** 提供系统日志；提供操作日志；提供登录日志；提供攻击日志分析功能；提供流量牵引日志；★** 依据自行设置的条件（包括包数、源IP、目的IP、端口、数据接受、丢弃、发送）启动抓包任务，针对DDoS攻击，获取符合抓包条件的网络数据包，为电子取证提供依据。要求提供配置界面截图；** 售后服务提供*年免费人工、部件，*x**x* 带备件上门的原厂服务，首次原厂工程师免费上门安装服务。★信息安全产品五 入侵检测系统（IDS）序号指标项技术指标要求重要性* 制造商厂商具备针对安全事件的远程和现场的紧急响应能力，获得中国信息安全认证中心颁发的一级应急处理服务资质证书和一级风险评估服务资质证书。要求提供有效证书的复印件；* 产品资质投标产品应该是经过市场考验的成熟产品，产品上市时间不少于*年，须提供销售许可证或软件著作权证书等有效证明材料；★* 投标产品具备以下的资质，要求提供有效证书的复印件：具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》；具有中国信息安全测评中心颁发的《国家信息安全测评信息技术产品安全测评证书》、并获得EAL*级别及以上认证；具有中华人民共和国国家版权局颁发的《计算机软件著作权登记证》；★* 入侵检测规则库获得CVE兼容性认证的最高级别证书CVE Compatible。（需提供CVE兼容性证书复印件）；* 产品在郑州商品交易所信息系统有过部署；* 产品规格机架式硬件设备，交流冗余电源，提供*个RJ**串口、至少*个GE管理口、至少*个GE工作电口、至少*个可扩展插槽，至少已开通两路监听；★* 产品性能最大检测能力不小于*Gbps；★* 最大并发会话数不小于***万；★* 每秒新建数最大连接数不小于*万★** 产品功能系统应提供覆盖广泛的攻击特征库，能够针对****种以上的攻击行为、异常事件，以及网络资源滥用流量，进行检测；★** 系统可支持双向检测TCP/UDP/ICMP/ACK Flooding，以及UDP/ICMP Smurfing等常见的DoS/DDoS的攻击；** 系统应支持IP碎片重组、TCP流重组、流量状态追踪技术，基于智能、深入的协议分析，全面检测超过***种以上的应用层协议，能够有效检测运行在非标准端口的协议、数以千记的木马，以及基于Smart Tunnel（智能隧道）的应用协议；★** 系统应具备基于“漏洞保护”的虚拟补丁功能，融合协议异常检测能力，有效检测出缓冲区溢出攻击，以及各类未知攻；** 系统应提供入侵行为和应用软件特征的自定义接口，可根据用户需求定制对其它流量的检测规则；★** 系统应支持全面的流量分析功能，可察看网络实时流量，包括：流量协议分布、流量IP分布、自定义察看某种流量；同时应支持生成日、周和月的流量报表，以便了解一段时间的流量情况** 系统应支持旁路部署；★** 系统应能升级规则库，至少提供自动在线升级、离线升级的升级方式；★** 产品管理系统应提供基于Web的远程GUI管理，以简单、直观的方式完成策略配置、警报查询、攻击响应、集中管理等各种任务；★** 系统应具备用户身份识别能力，支持基于用户身份进行策略配置、日志记录与查询；** 支持基于时间、用户、协议、内容等多种条件的组合审计策略，具有实时告警、信息还原功能；** 应提供完善的日志管理功能，支持自动报表功能，用户可自行定义生成报表的周期、设备、日志类型、日志等级等； ★** 应提供标准syslog接口，可接受第三方管理平台的集中事件管理；★** 可支持无需更换硬件设备，通过电子证书更新，就能完成NIDS向NIPS系统的平滑升级，充分保护入侵检测和防护同类需求的持续投资；** 售后服务应提供*年免费人工、部件，*x**x* 带备件上门的原厂服务，首次原厂工程师免费上门安装服务。★信息安全产品六 双向物理隔离网闸序号指标项技术指标要求重要性* 制造商厂商具备针对安全事件的远程和现场的紧急响应能力，获得中国信息安全认证中心颁发的一级应急处理服务资质证书和一级风险评估服务资质证书。要求提供有效证书的复印件；* 产品资质投标产品应该是经过市场考验的成熟产品，产品上市时间不少于*年，须提供销售许可证或软件著作权证书等有效证明材料。★* 产品资质投标产品具备以下的资质，要求提供有效证书的复印件：具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》；具有中国信息安全测评中心颁发的《国家信息安全测评信息技术产品安全测评证书》、并获得EAL*级别或以上认证；具备中国信息安全产品认证中心《中国国家信息安全产品认证证书》；具有军用信息安全产品认证证书（军B级或以上）；具有中华人民共和国国家版权局颁发的《计算机软件著作权登记证》；★* 产品规格机架式硬件设备，采用“*+*”系统架构，即由两个主机系统和一个隔离交换专用硬件组成；★* 交流冗余电源，提供内外主机各*个RJ**串口、至少*个GE管理口、至少*个GE工作电口，具备至少*个可扩展插槽；★* 产品性能系统吞吐量不小于***Mbps； ★* 最大并发连接数不小于*万；* 产品功能支持文件交换、数据库同步、数据库访问、安全浏览、FTP访问、邮件传输、定制访问、流媒体传输等基本功能；★* 各功能模块均要求具备病毒检测的功能；★** 支持有客户端和无客户端两种文件交换方式；★** 支持文件特征过滤，且不依赖于文件扩展名；支持文件类型检查可扩展模式，以便自主增加特定文件类型；** 支持ORACLE、SQL Server、MySQL等主流数据库间的同种或异种数据库同步，支持单向和双向同步；★** 支持数据容错处理，当数据同步失败时，用户可以查询、复位、删除未能正常传输的数据；** 支持数据库同步数据统计、查询功能；★** 实现安全的FTP访问，支持对访问用户、访问协议命令、上传下载文件类型等访问过滤控制；★** 具有病毒防护引擎，包括病毒检测引擎和病毒分析引擎，病毒库可在线或离线升级；★** 采用专用国产知名病毒库；** 产品无需第三方设备情况下，可支持负载均衡；** 产品支持HA双机热备高可用部署模式，双机切换时，保证应用会话不中断；★** 产品管理系统应提供基于B/S的远程https管理，以简单、直观的方式完成策略配置、警报查询、攻击响应、集中管理等各种任务；★** 提供CLI（命令行）配置模式，支持SSH远程调试模式；** 设备支持健康状态自我检测，并能够进行正常/异常状态指示，且能在异常状态下进行声音报警；** 系统应具备用户身份识别能力，支持基于用户身份进行策略配置、日志记录与查询；** 提供标准syslog接口，可接受第三方管理平台的集中事件管理；★** 售后服务提供*年免费人工、部件，*x**x* 带备件上门的原厂服务，首次原厂工程师免费上门安装服务。★信息安全产品七 运维堡垒机序号指标项技术指标要求重要性* 产品资质投标产品应该是经过市场考验的成熟产品，产品上市时间不少于*年，须提供销售许可证或软件著作权证书等有效证明材料；★* 投标产品具备以下的资质，要求提供有效证书的复印件：具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》；具备中国信息安全产品认证中心《中国国家信息安全产品认证证书》；具有中华人民共和国国家版权局颁发的《计算机软件著作权登记证》；产品必须是自主研发而不是采用OEM其他厂商产品；★* 提供至少*个同规模客户成功案例（稳定运行*年以上，管理设备数量规模在****台以上）。要求同时提供项目名称、使用单位名称、证明人和有效联系电话；* 产品规格机架式硬件设备，冗余双电源，*个RJ**串口、至少*个GE管理口、至少*个GE工作电口，具备至少*个可扩展插槽；★* 硬盘≥***T，支持RAID*；★* 四核CPU；★* 内存≥**G；★* 产品性能图形操作并发数≥***个；字符操作并发数≥****个；★* 产品功能之用户帐号管理应至少支持超级管理员、配置管理员、审计管理员、密码保管员、普通用户五种角色，各角色职能分离，相互协作；★** 应支持静态口令认证、SSH密钥认证，并可与AD域、LDAP、radius、证书认证等第三方身份认证方式整合；★** 应支持内置动态双因素认证服务，不需要专门部署认证服务器即可实现用户账号的动态双因素认证；** 应根据需要，为外来人员分配临时用户帐号，临时帐号拥有时效性，过期自动回收；★** 可支持以excel格式批量导入和导出用户帐号；** 可支持从LDAP/AD服务器批量导入用户帐号；** 可支持批量修改用户帐号的属性；** 产品功能之目标设备管理应支持同一台设备同时添加多种访问协议；★** 应支持目标设备系统账号密码托管功能，实现单点登录；★** 可支持批量登录多台协议相同的目标设备；** 可支持不同设备之间的自动跳转登录和同一台设备上不同帐号之间的自动切换登录；** 可支持以Excel格式批量导入和导出目标设备；** 可支持按按递归方式一次性添加多台目标设备；** 可支持批量修改目标设备的状态（禁用、活动）、密码和服务类型；** 产品功能之目标设备密码管理应根据设备（设备组）、系统帐号、时间、频率、改密方式生成详细的改密计划，到期自动执行。具备健壮的容错机制确保改密过程中系统账号密码的安全。★改密方式应可以支持随机生成不同密码、自动设置相同密码、手动指定密码、随机定制密码；自动设置的密码严格遵守密码强度设置；改密结果可以支持加密邮件、密码信封、FTP加密文件的形式外发；密码保管员应可以手动备份设备密码到本地、FTP服务器或者直接打印成密码信封，电子格式保存的密码文件支持采用PGP公钥和ZIP方式加密；★** 产品功能之权限控制应用发布应实现基于用户（用户组）、目标设备（设备组）、系统帐号、协议类型、登录规则等灵活设置访问控制策略；★** 应跟据用户（用户组）、目标设备（设备组）、系统帐号、命令集和生效时间设置详细的命令权限控制策略，支持命令黑白名单；★** 应可以选择启用/关闭windows设备、应用程序的剪贴板上/下行功能；★** 应可以选择启用/关闭windows设备、应用程序的磁盘映射功能；★** 应支持应用发布功能，实现对各类客户端工具的集中管理和权限分配；★** 应支持windows****的RemoteApp方式的应用发布功能；★** 支持对各类常规应用程序的密码代填；** 产品功能之自动配置管理员可以根据设备/设备组、系统账号、时间、脚本内容（自定义），创建自动脚本任务；该任务到期自动执行，执行的结果自动发送给相关管理员；** 可以通过内置的脚本，定期自动备份指定的网络设备上的配置，备份结果自动发送给相关管理员；** 产品功能之复核监控对于重要设备的登录，未经相关人员授权，设备无法正常访问；★** 对于高危命令，未经相关人员复核审批，命令无法执行；** 管理员可在Web界面无延时的实时监控当前任一图形或字符活动会话，发现操作高危时，实时切断；** 对于图形操作会话支持多人会话共享，当前运维人员可以邀请其他用户共享或者协助当前操作会话；** 产品功能之告警用户在登录重要设备时，系统可立即生成一条登录告警；** 对于字符会话，运维人员输入高危命令时，系统可以在主动阻断的同时，立即生成一条操作告警；** 管理员授权用户登录重要设备时，系统可以立即生成一条授权告警；** 告警可以在操作审计里面查看，也可以通过短信、邮件、syslog等方式外发；** 产品功能之操作审计确保对各种非常规指令操作的***%识别，特别是TAB补全、长命令的行内编辑、上下箭头等操作场景；★** 支持全文回放的同时，还能做到从任一条命令点开始回放；★** 输入输出在同一界面展示，并能自动标记出被系统拒绝、切断的操作；** 支持输入/输出结果中的任意字符为关键字进行搜索，搜索结果高亮显示；★** 可以对图形操作过程中的鼠标操作、键盘输入内容、剪贴板操作等进行文本审计，回放过程中相关信息同步展示；★** 可以对图形操作界面的文字内容进行识别并文本记录；★** 大数据量的图形审计结果，也可以进行无延时的前后拖拉定位回放，不需要任何加载过程；★** 可以键盘输入内容、剪贴板操作等为关键字进行图形搜索；搜索结果要求准确定位到相关图形画面进行操作回放；★** 数据库操作审计实现文本方式***%记录数据库客户端操作所对应的每一条SQL语句；★** 可以从任一条sql语句开始定位回放图形操作画面；** 可以根据任意sql语句中的内容为关键字进行会话查询，查询结果可直接定位到相关操作画面；** 产品功能之统计报表可以按时间、统计单位、服务类型、用户（用户组）、设备（设备组）及各类子报表类型定制报表；★** 管理员可以手动定制报表模版，并支持根据不同模版自动生成日报、周报、月报，报表内容；★** 可以统计出某段时间内，用户执行高危命令的情况；** 报表支持HTML、excel、pdf格式导出；★** 产品部署单台设备实现所有功能，无须安装任何审计客户端、代理程序插件等；★** 支持HA双机热备高可用部署模式；★** 售后服务提供*年免费人工、部件，*x**x* 带备件上门的原厂服务，首次原厂工程师免费上门安装服务。★信息安全产品八 桌面终端安全管理系统序号指标项技术指标要求重要性* 产品资质投标产品应该是经过市场考验的成熟产品，产品上市时间不少于*年，须提供销售许可证或软件著作权证书等有效证明材料。★* 投标产品具备以下的资质，要求提供有效证书的复印件：具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》；具有中华人民共和国国家版权局颁发的《计算机软件著作权登记证》；★* 产品在郑州商品交易所交易业务系统有过部署，客户端能与现有的终端管理软件服务器兼容；★* 产品规格一套软件，包括*个服务端和**个客户端授权；★* 基本要求管理后台要求支持中文界面及联机中文帮助，客户端要求支持中文、英文。* Windows****、XP、Win*、****、Vista、****支持微软平台的**位及**位OS, 支持中、英文及其他语言的操作系统★* 要求客户端所有进程所占用内存不超过**M，CPU正常情况下占用不超过*%；★* 应在*分钟内自动发现非法接入设备，并向服务端发出告警。★* 系统的部署，不能改变网络结构，不影响网络性能★** 产品具有网络准入控制、终端安全管理、终端资产管理等功能；★** 产品功能网络准入控制对安装agent的Windows终端，支持基于***.*x的网络准入方式；★** 准入系统需要保持开放性，***.*x技术需要兼容主流网络设备品牌，至少包括：Cisco/h*c/huawei/juniper/ ；★** 支持无线智能终端的***.*x接入认证，可在iPad、iPhone、Android等设备中实现无客户端的***.*x准入认证；** 终端准入身份验证应至少需要兼容微软AD域帐号验证、LDAP帐号验证、X.***证书帐号验证；★** 对安装客户端软件的设备，需要可对以下信息进行准入检查：接入帐号的合法性；接入的硬件信息，包括MAC地址、主机硬件标识等；接入设备的安全设置，包括口令强度、屏幕保护等；防病毒软件的安装与更新信息，支持现有防病毒客户端的准入检查；★** 应可根据接入验证结果，对用户的资源访问权限进行控制，支持基于VLAN切换、VLAN隔离技术的资源访问权限控制；** 应支持通过HTTP和POP*方式提醒访客输入访客码，或提醒未安装Agent的终端安装Agent；★** 应可以防止通过伪造MAC、盗用用户名密码或其它方式绕开准入控制系统，直接接入网络；★** 紧急情况下，应提供逃生功能，允许终端直接接入网络；★** 应可对所有用户接入网络的行为进行审计，内容至少包括：用户名、设备IP地址、设备名称、接入时间、所属部门、连接的交换机、连接的交换机端口等；★** 应能自动分析未经准入控制直接获得网络访问的设备，并给出设备的IP/MAC、位置、接入时间等信息★** 产品功能安全管理应可既支持微软WSUS补丁服务器，同时也有补丁功能，能够自动从微软网站下载补丁，或者通过COPY方式将补丁导入到补丁服务器；★** 补丁应可以支持推、拉的安装方式，能够按照OS版本、补丁级别、补丁是否经过审批、终端设备所在部门或其他分组条件决定补丁是否要在某台设备上安装；支持补丁的卸载和回退；** 应可对普通移动存储介质的使用进行管控，包括禁用、使用审计等管理；★** 应可对普通移动存储介质进行注册与授权，可授权给指定的用户使用，其它用户无法使用；★** 可对普通移动存储介质进行加密，并且要求可区分安全级别：普通加密区：通过密码即可打开；专用加密区：只能在内部环境打开；** 可禁止或审计对于移动存储介质的文件读写功能，要求可单向控制，即要求可控制只读或只写；** 可禁止移动存储介质程序的自动运行，和执行移动存储介质上可执行程序的功能，防范病毒感染；** 应可审计移动存储介质的使用情况，至少需要包括使用的：人、机器、时间等信息，以及所有通过移动存储介质拷贝出去的文件审计及文件上传备份。★** 应对使用：Modem、GPRS、蓝牙、红外等可以联接外网或导致数据外泄的行为进行禁止与审计；★** 可对通过任何方式，包括：以太网卡、Modem拨号、代理等方式与互联网联通的行为进行管控，至少需要支持禁止与审计；** 可在需要使用光驱的情况下，可对光驱刻录数据进行审计；** 应可审计及禁止通过共享、FTP等方式将文件外传；★** 可审计打印的文件名、页数、文件；** 应对终端运行的软件进行管控，支持设置软件黑白名单；★** 应自动对终端实现远程的软件分发，并自动安装； ★** 产品功能资产管理应自动搜集安装了管理软件的终端软、硬件信息，并按照指定的条件进行统计汇总，导出报表；★** 终端的硬件或软件的配置发生变化时，可产生告警；** 可记录并展示资产的履历信息，提供资产的维修、变动、状态、报废等记录信息，实现资产的使用人、硬件变化历史记录等；** 产品管理系统应提供基于B/S的远程https管理，以简单、直观的方式完成策略配置；★** 应在统一的管理界面下，定义面向终端设备、终端用户的各类安全管理策略；★** 应统一展示被管理终端设备的相关数据，能统一查询统计被管理终端设备的状态信息、被应用的各种安全策略、安全漏洞信息，及管理任务所需的各类报表；★** 可统一展示服务设备的运行数据，如网络设备、准入控制设备的运行状态，及管理任务所需的各类报表；** 应统一展示管理员的操作结果和操作审计记录；★** 售后服务应提供*年免费人工、部件，*x**x* 带备件上门的原厂服务，首次原厂工程师免费上门安装服务。★