怀柔区图书馆关于征集2024年机房设备购置供应商的公告

1

核心

交换机

1、交换容量≥47Tbp，包转发率≥36000Mpps。主控引擎与业务板卡完全物理分离, 采用全分布式转发处理架构，独立主控引擎插槽≥2个，独立业务插槽数≥3个；实配双引擎，双模块化电源，两根万兆AOC线缆，万兆以太网光口≥32个。
2、 主控引擎故障情况下，不能影响整机转发能力。
3、符合业界主流机柜的尺寸规范要求，设备高度≤4U，设备深度≤600mm；
4、为提高设备面板空间利用率，要求采用高密度端口设计，所投产品单张业务卡最大可用物理端口≥52个，整机转发业务物理端口≥156个；
5、支持VXLAN二三层分布式网关，支持EVPN。
6、出厂预置管理软件和业务模板，免安装，极速部署；除了可以实现对网络的业务规划，还可以对接入的交换机实现即插即用、零配置上线、智能零替换以及光链路故障监测预警功能；  
7、为保证IPv6的可部署性和应用性，所投交换机需具备IPv6 Ready Phase2认证证书。
8、支持基础安全保护策略，可实现ARP等各种攻击的自动防御，保护系统各种服务的正常运行；
9、支持专门针对CPU保护机制的功能，可将送CPU的报文，如ARP报文的速率进行限制，使CPU的使用率降低到10%以内，保障了CPU安全。
10、支持静态路由、RIP、RIPng、OSPF、OSPFv3、BGP、BGP4+、ISIS、ISISv6，支持路由协议多实例，支持GR for OSPF/IS-IS/BGP，支持策略路由。

台

2

2

漏洞

扫描系统

最大并发扫描不小于60个主机数，允许最大并发任务不小于10个任务，128IP授权。
支持检测的漏洞数30万条，兼容CVE、CNCVE、CNNVD、CNVD、Bugtraq等主流标准。
同时支持远程扫描和采用SMB、SSH、Telnet、RDP、HTTP、HTTPS、WinRM等协议对Windows、Linux等系统进行登录扫描。
产品应支持通过多种维度对漏洞进行检索，包括：CVE ID、BUGTRAQ ID、CNCVE ID、CNVD ID、CNNVD ID、MS 编号、风险等级、漏洞名称、是否使用危险插件、漏洞发布日期等信息。
内置不同的漏洞模板针对Unix、Windows操作系统、网络设备和防火墙等模板，同时支持用户自定义扫描范围和扫描策略；
支持扫描国产操作系统的安全漏洞，如华为欧拉、open欧拉、统信、麒麟、bclinux、达梦、南大通用、人大金仓、神通、金蝶、东方通等，要求能够扫描大于40000条相关漏洞。
支持通过在目标资产部署终端代理agent方式，实时精准获取资产信息，进一步完成漏洞分析扫描。
支持专门针对DNS服务的安全漏洞检测，包括DNS投毒等漏洞检测能力；支持“幽灵木马”检测
支持Oracle、MySQL、MS SQL、DB2、Sybase、MongoDB数据库漏洞检查。
具备单独口令猜测扫描任务，支持多种口令猜测方式，包括利用SMB、RDP、SSH、Telnet、SQL SERVER、MySQL 、Oracle、Sybase、DB2、MongoDB、Memcached、Redis 、PostgreSQL 、HighGo 、UXDB 、Kingbase 、STDB 、FTP、SFTP、ActiveMQ、POP3、Tomcat、SMTP、IMAP、Onvif、RTSP、 SNMP、SIP、Vmware ESXi、HTTP Digest、Weblogic、Elasticsearch、Websphere等协议进行口令猜测，允许外挂用户提供的用户名字典、密码字典和用户名密码组合字典。
支持自定义风险值计算标准配置，可对主机风险等级评定标准和网络风险等级评定标准进行自定义
支持风险告警和风险闭环处理，可在集中告警平台灵活配置告警内容、告警方式、告警资产范围等，支持邮件和页面告警，支持单个或批量修改风险状态。
支持立即执行、定时执行、周期执行扫描任务，自定义的周期时间可精确至每*月第*个星期*的*点*分。
支持扫描时间段控制，只在指定时间段内执行任务，未完成任务在下一时间段自动继续执行。
支持通过仪表盘直观展示资产风险值、主机风险等级分布、资产风险趋势、资产风险分布趋势等内容，并可查看详情。
支持在线报表，在线查看展示各节点和主机资产风险分布、漏洞分布、配置合规和脆弱账号信息，在线查看设备风险详情。
提供灵活的报表自定义，可定制报表标题、封面logo、报表页眉和页脚、报表各章节显示内容。

套

1

3

堡垒机

系统

支持协议
1.图形会话操作：Windows RDP、VNC、X-Window
2.字符会话操作：Telnet、SSH
3．文件传输：FTP、SFTP
4.应用发布: HTTP、HTTPS、Pcanywhere、Radmin以及其它任意客户端协议
认证管理 
1.认证模式：系统需要支持静态口令认证、动态口令认证、中文名认证、外部认证等多种认证方式
2.动态口令：系统需要内置动态口令系统，内置的动态口令系统需要与主账号使用共同的用户名和密码，动态口令系统需要支持IOS、安卓APP、微信小程序及windows客户端
3.动态口令支持一次认证后在规定的时间内只需要静态密码即可登录，可以简化运维人员操作复杂度，比如使用一次静态密码登录后，在8小时内，只需要输入静态密码即可以登录
4.需要支持外接LDAP、AD、Radius认证，支持将LDAP、AD、Radius密码自动同步到堡垒机\支持短信和企业微信验证
5.系统支持Radius AAA服务，可以接受路由器、交换机等网络设备认证管理，在堡垒机上创建的AAA用户可以直接登录到路由器、交换机等网络设备上（包括telnet/ssh/console)，认证可以支持动态口令
6.系统支持Linux/aix统一集中认证，可将LINUX/AIX系统认证指到堡垒机上使用堡垒机上加的AAA用户，可直接登录Linux/aix系统(包括ssh/键盘显示器），认证可以支持动态口令
7.堡垒机WEB界面可支持SSL双向证书认证，证书可以绑定堡垒机web用户，堡垒机系统可以自己为堡垒机WEB用户发证书，发证书后只有安装证书的机器才可登录被发证书的用户
权限管理 
1.权限设置:主从账号权限绑定使用主账号、主账号组到从账号、从账号组的绑定方式，从账号组与主账号组绑定用于长期授权，从账号与主账号的绑定用于临时授权
2.登录策略:可以基于主账号到从账号的绑定关系进行策略设置，策略包括来源IP、每周可登录时间、命令黑白名单等
3.黑白名单:系统支持命令黑白名单限制，黑名单至少包括告警(允许执行但记录）、阻断(不允许执行并记录）、断开连接（直接断开连接）三种方式，白名单绑定时只能运行白名单中的命令
使用模式
1.支持模式：系统使用需要支持WebPortal方式和直接启动运维工具二种模式
2.WebPortal模式：WEB方式登录网络安全运维审计系统后，可以展现所有已经授权给自己的资源，支持SSO，访问授权资源时不必再输入从账号和密码
3.工具登录模式：系统需要支持任何工具进行支持登录，不能限管理员只能使用某些工具访问运维平台
4.透明登录：系统使用运维工具登录，在输入堡垒机账号和密码的情况下，可以不使用菜单选择一次登录到目标服务器，用户感觉不到堡垒机的存在
5.系统需要支持纯html5方式页面登录目标设备，当使用ssh/telnet/rdp/vnc/应用发布时，可以不需要本地工具，直接在网页上连接操作
6.堡垒机支持自身URL证书签名，可为自己的URL做签名，签名后当使用浏览器HTTPS堡垒机时，不会出现不安全站点提示
应用发布
1.应用发布模式支持应用登录和桌面登录，应用登录用户无法取得桌面，只能在单一的应用上操作，桌面模式用户可以在桌面上取得所有赋权的应用图标，桌面模式用户除访问赋权的应用外无法访问其它应用
自动改密
1.自动改密: 服务器支持Unix/Linux/网络设备/Windows系统的自动密码修改功能，可以设置基于服务器的改密时间策略
审计管理
1.登录审计：系统需要可以记录主账号登录Web界面的成功、失败事件，可以记录登录FTP/SFTP/SSH/TELNET/RDP/VNC的登录成功失败事件，并且可以记录失败原因
2.文件传输协议：FTP,SFTP要求可以保存上传下载文件，同时为了防止存贮占用过大，可以根据上传下载文件大小进行定制选择记录，比如只记录3M以下的文件
3.字符协议协议：可以不依靠系统提示符进行命令识别记录，可以记录输入命令及回显，并且可以记录操作的整个过程，Telnet/SSH协议回放需要支持top、vi、smit等菜单命令，保证对菜单命令回放时不会出现乱码，Telnet/ssh协议还需要支持指定从哪条命令进行回放，回放需要支持快进、慢放、暂停等操作
4.RDP/VNC协议:键盘录入、鼠标动作及整个操作的过程录相，RDP/VNC协议回放要求支持快进、慢放、暂停等操作
5.应用协议：应用启动停止时间、登录主账号及从账号、键盘录入、鼠标动作及整个操作的过程录相，应用操作回放要求支持快进、慢放、暂停等操作
6.内容搜索：字符协议支持命令、命令回显内容的搜索定位，图形协议支持键盘录入的内容搜索定位，数据库审计支持SQL命令的内容搜索定位
7.实时监控：实时会话监控列表：显示已经连接的会话，运维用户、服务器IP、服务器用户名等, 实时监控支持会话断开，可以切断任意会话
8.审计权限：会话审计采用分组权限，审计员可以审计所有人的操作，分组管理员只能审计所属管理组的主机操作，为了方便运维人员排查故障，运维人员可以查看自己的操作过程

套

1