项目名称

系统名称

预算金额

(人民币)

简要技术要求

等保测评项目

两个第 * 级（综合办公系统、慢病信息化管理系统）、 * 个第 * 级（公共卫生检测服务平台）

* 万元

服务内容：本项目采购的信息安全服务包括：网络安全等级保护备案、 (略) ，安全培训等。

序号

安全子类

测评指标描述

1

物理位置选择

通过访谈物理安全负责人，检查机房，测 (略) 所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。

2

物理访问控制

通过访谈物理安全负责人，检查机房出入口等过程，测评信息系统在物理访问控制方面的安全防范能力。

3

防盗窃和防破坏

通过访谈物理安全负责人，检查机房内的主要设备、介质和防盗报警设施等过程，测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。

4

防雷击

通过访谈物理安全负责人，检查机房设计/验收文档，测评信息系统是否采取相应的措施预防雷击。

5

防火

通过访谈物理安全负责人，检查机房防火方面的安全管理制度，检查机房防火设备等过程，测评信息系统是否采取必要的措施防止火灾的发生。

6

防水和防潮

通过访谈物理安全负责人，检查机房及其除潮设备等过程，测评信息系统是否采取必要措施来防止水灾和机房潮湿。

7

防静电

通过访谈物理安全负责人，检查机房等过程，测评信息系统是否采取必要措施防止静电的产生。

8

温湿度控制

通过访谈物理安全负责人，检查机房的温湿度自动调节系统，测评信息系统是否采取必要措施对机房内 (略) 控制。

9

电力供应

通过访谈物理安全负责人，检查机房供电线路、设备等过程，测评是否具备为信息系统提供 * 定电力供应的能力。

*

电磁防护

通过访谈物理安全负责人，检查主要设备等过程，测评信息系统是否具备 * 定的电磁防护能力。

序号

安全子类

测评指标描述

1

网络架构

(略) (略) 段划分、隔离等情况的合理性和有效性。

2

通信传输

测评通信过程中的完整性、保密性等。

3

可信验证

基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等 进行可信验证，并在应用程 (略) (略) 动态可信验证。

序号

安全子类

测评指标描述

1

边界防护

测评分 (略) 络边界安全防护的状况。

2

访问控制

测评分析 (略) 络区域 (略) 络隔离与访问控制能力。

3

入侵防范

测评分析信息 (略) (略) 理情况。

4

恶意代码和垃圾邮件防范

测评分 (略) 络 (略) 段对病毒等恶意代码及垃圾邮件的防护情况。

5

安全审计

测评分析信息系统审计配置和审计记录保护情况。

6

可信验证

基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等 进行可信验证，并在应用程 (略) (略) 动态可信验证。

序号

安全子类

测评指标描述

1

身份鉴别

检查服务器的身份标识与鉴别和用户登录的配置情况。

2

访问控制

检查服务器的访问控制设置情况，包括安全策略覆盖、控制粒度以及权限设置情况等。

3

安全审计

检查服务器的安全审计的配置情况，如覆盖范围、记录的项目和内容等；检查安全审计进程和记录的保护情况。

4

入侵防范

检查 (略) 过程中的入侵防范措施，如关闭不需要的端口和服务、最小化安装、部署入侵防范产品等。

5

恶意代码防范

检查服务器的恶意代码防范情况，如服务器是否安装统 * 管理的恶意代码防范软件，是否及时升级病毒库等。

6

可信验证

基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等 进行可信验证，并在应用程 (略) (略) 动态可信验证。

7

数据完整性

测评操作系统、数据库管理系统的管理数据、鉴别信息和用户数据在传输和保存过程中的完整性保护情况。

8

数据保密性

测评操作系统和数据库管理系统的管理数据、鉴别信息和用户数据在传输和保存过程中的保密性保护情况。

9

数据备份恢复

测评信息系统的安全备份情况，如重要信息的备份、硬件和线路的冗余等。

*

剩余信息保护

测 (略) 在的存储空间被释放或重新分配前是否得到完全清除。

*

个人信息保护

测评是否仅采集和保存业务必需的用户个人信息；是否禁止未授权访问和使用用户个人信息。

序号

安全子类

测评指标描述

1

系统管理

测评信息系统的系统管理员对系统的管理情况。

2

审计管理

测评信息系统的安全审计员对系统的审计情况。

3

安全管理

测评信息系统的安全管理员对系统的安全策略的配置情况。

4

集中管控

(略) 络链路、安全设备、网络设备和服务器 (略) 状况的集中监测、分析、报警等。

序号

项目阶段

文档产出

1

项目准备

《项目计划书》

2

《基础信息调研表》

3

《选用项目实施工具清单》

4

定级备案

《信息系统定级报告》

5

《信息系统备案表》

6

《专家评审意见》

7

《信息系统备案证明》

8

项目方案编制

《测评实施方案》

9

初测评（差距分析和渗透漏扫）

《信息系统差距分析报告》

*

《信息系统出测评报告》

*

《渗透测试报告》

*

《安全配置核查记录》

*

《工具测试扫描记录》

*

《漏洞扫描报告》

*

《安全问题分析汇总及整改建议》

*

《 (略) (略) 环境的安全分析报告》

*

整改阶段

《信息系统安全整改设计方案》

*

《系统安全加固方案》

*

《安全管理制度文件》修订版

*

《安全 (略) 记录》

*

等级测评

《现场测评结果记录》

*

《等级保护测评报告》

*

项目验收

《验收报告》

序号

信息系统名称

业务信息安全保护等级定级

1

公共卫生检测服务平台

第 * 级

2

综合办公系统

第 * 级

3

慢病信息化管理系统

第 * 级

序号

服务综述

服务名称

服务内容

工作成果

* 个 * 级系统报（元）

* 个 * 级系统报价（元）

1

网络安全等级 (略) 服务

(略)

系统梳理；编写定级报告和基础信息调研表；

协助邀请专家，召开等级保护定级专家评审会；协助整理定级备案材料，完成正式的定级备案等工作。

《定级报告》

《备案证明》

《定级评审会相关材料》

漏洞扫描

对被测系 (略) (略) 全面的漏洞扫描服务，针对发现的问题协助开展安全加固整改工作。

《漏洞扫描报告》

等级保护差距分析

根据等级保护相应级别的基本要求对被测系统从物理环境、网络、主机、应用和数据以及管理等 (略) 差距分析，明确被测系统安全现状与等级保护要求之间的差距。

《差距分析报告》

安全整改和加固

依据等级保护差距分析、漏扫结果最终编制等级保护整改方案，对被测系统提出整改和加固建议，并为安全整改和加固工作提供指导。

《等级保护整改方案》

制度、 (略)

(略) 络安全等级保护相关标准，梳理被测评系统现有安全管理制度和文档， (略) 络安全等级保护相关的制度、规定和流程等。

安全制度、规定和流程的梳理和制定

信息安全等级保护测评

(略) 络安全等级保护相关标准，在对被测系统充分了解、准确掌握被测系统相关安全情况的基础上，通过安全 (略) 络安全等级保护测评工作并出具《等级保护测评报告》。

《信息系统安全等级保护测评报告》

等级保护工作支持

为 * 方在等级保护工作 (略) 支持。

(略) 支持

序号

服务综述

服务名称

服务内容

工作成果

总价（元）

1

信息系统

(略)

安全

方案制订

依据信息安全相关要求和标准，在深入了解目标信息系统前提下，对 (略) 信息安全规划。本次为 * 个应用系统安全规划的报价。

《信息系统安全建设方案》

专家评审

(略) 络安全等级保护等领域专家，对目标系统相关建设方案在信息安全方面提供专家评审。本次为 * 个应用系统安全评审的报价。

《专家评审意见》

2

信息

安全培训

信息安全培训

(略) (略) 络安全培训。培训 (略) 络安全等级保护最新体系和要求，风险评估最新体系及要求，信息安全保障体系 (略) 络现状， (略) (略) 研判，对最新的 (略) 介绍等。本次为每年 * 次安全培训的报价。

《培训

方案》

项目名称

预算金额

(人民币)

简要技术要求

信息系统安全等级保护建设及测评（网络安全设备采购）

* . * 万元

通过采购数据库审计、日志审计、网闸、堡垒机、入侵检测、灾备 * 体机、 (略) 关、APT攻击检测、实施设备集成和安全策略优化，使 (略) 区疾 (略) 单位两个第 * 级（综合办公系统、慢病信息化管理系统）、 * 个第 * 级（公共卫生检测服务平台）达到相应的等级保护要求，通过相应的等级保护测评， (略) 络安全法、网络安全等级保护管理办法等法律、法规的要求。

序号

货物名称

主要配置、参数

单位

数量

应用地点

1

数据库审计设备

标准机架式硬件设备，含单交流电源，2*USB接口，1*RJ * 串口，1*GE管理口，6*GE电口，1个接口扩展槽位，2T SATA硬盘。包含数据库审计功能，包含产品安装、调试、培训， (略) 软件升级及硬件质保。

套

1

(略) (略)

2

日志审计系统

标准机架式设备，含交流冗余电源模块，2*USB接口，1*RJ * 串口，2*GE管理口，4个千兆电口，3个接口扩展槽位，4TB SATA硬盘，授权接入 * 个日志源。包含产品安装、调试、培训， (略) 软件升级及硬件质保。

套

2

(略) (略) 、 (略)

3

安全隔离与信息交换系统（网闸）

标准机架式硬件设备，采用双主机架构， (略) 各6个千兆电口，共2个RJ * 串口和4个USB2.0口，冗余电源， * Mbps吞吐量， (略) 功能模块。含安装、调试、培训；原厂3年升级服务、原厂3年维保服务。

套

1

(略) (略)

4

堡垒机（安全运维管理系统）

标准机架式硬件设备，含单交流电源，2*USB接口，1*RJ * 串口，1*GE管理口，4*GE电口，2T SATA硬盘， (略) 络接口扩展槽。授权管理 * 台设备。含安装、调试、培训；原厂3年升级服务、原厂3年维保服务。

套

2

(略) (略) 、 (略)

5

网络入侵检测系统

标准机架式设备，含交流冗余电源模块，2*USB接口，1*RJ * 串口，1*RJ * 管理口，6*GE（Bypass）接口，1个接口扩展槽位。1TSATA硬盘。含入侵防护特征库 * 年升级服务，包含产品安装、调试、培训， (略) 软件升级及硬件质保。

套

1

(略) (略)

6

灾备 * 体机

标准机架式设备；4个磁盘槽位3.5" SAS、SATA磁盘接口；配4块4TB企业级硬盘；Intel (略) 理器； * G高速缓存；RAID支持1、5、6、 * 模式；双端 (略) ；4个智能冷却风扇模块；1个PCIE扩展插槽；包含X * /虚拟机的整机备份、文件备份、数据库备份功能、提供备份文件验证功能、可开启 * 个虚拟化验证主机，提供备份数据去重与合并功能、提供WindowsSever、windows和linux备份代理程序，提供无系统X * /虚拟机/云主机裸机、WindowsSever、linux、windows还原代理、可实现单/批量文件恢复和下载、提供异构主机间的全量和快速灾难恢复功能，支持异地远程复制容灾功能、备份数据归档功能；8T备份容量授权；CDP实时备份授权，且不限制客户端个数；系统应急接管容灾功能授权；含安装、调试、培训；原厂3年升级服务、原厂3年维保服务。

套

1

(略) (略)

7

(略) 关

最大支持加密流量（Mbps）： * ，授权支持并发用户数： * ，IPSec加密最大流量（Mbps）： * ，设备整机最大吞吐量： * Mbps，设备整机最大并发会话数： * w。 硬件参数：内存大小：2G，硬盘容量： * G minisata SSD，电源：单电源，接口：4千兆电口。含安装、调试、培训；原厂3年升级服务、原厂3年维保服务。

套

1

(略) (略)

8

未知威胁防御系统（APT攻击检测系统）

标准机架式设备，含交流电源模块，设备吞吐性能 * Mbps，内存大小 * G，硬盘容量2TB SATA，6千兆电口+2千兆光口SFP。设备定位为客户的APT防护 * 体机， (略) 络行为，及时检测和响应。含安装、调试、培训；原厂3年升级服务、原厂3年维保服务。

套

1

(略) (略)

要求类别

功能及技术描述

硬件指标★

系统应为标准式机架硬件设备，全内置封闭式结构，具有国产化的操作系统、硬件平台

接口要求：千兆电口≥6个，1个扩展插槽，可支持扩展4千兆光口或4千兆电口

硬盘存储空间≥2T，内存≥ * G

性能指标★

(略) 理能力≥ * 0条/秒， (略) 络吞吐量：峰值≥ * Mbit/秒。

数据库类型

支持主流国产化数据库：DM、Oscar、Kingbase、Gbase，HighGo DB以及Oracle、SQL Server、MySQL、DB2、Sybase、PostgreSQL、Informix、、Hbase、MongoDB、HIVE、Redis、Cache

部署方式

(略) 署模式下无须在被审计数据库系统上安装任何代理即可实现审计

#支持在目标数据库安装Agent解决无法通过旁路镜像 (略) 景， (略) 署数据库和应用系统、云环境、 (略) 景下数据库的审计，需提供web界面功能截图。

审计能力

支持在IP (略) 署， (略) 有数据库IPV6协议的审计。

#通用 (略) 规则集，通过分配和指定作用于特定审计对象，非通用规则置于具体审计对象中，需提供web界面功能截图。

# (略) 为基线包括数据库账号、访问终端及 (略) 为特征，需提供web界面功能截图。

#对超出 (略) 为基线的操作可自动识别，并采取记录、告警及阻断措施，需提供web界面功能截图。

支持数据库请求和返回的双向审计，特别是返回字段和结果集、执行状态、 (略) 数、执行时长等内容，支 (略) 数和内容大小控制返回结果集大小。

会话的终端信息：IP、MAC、Port、工具名称（程序名）。

会话的主机信息、IP、MAC、Port、数据库名（实例名）。

会话的其它信息：登录时间、会话时长。

操作信息：操作类型（DDL、DML、DCL等）、操作时间、执行时长、操作成功与失败、操作对象（表、函数、存储过程名称）、SQL语句。

操作影响范围信息：查询、修改、删除 (略) 数, (略) 数。

#审计要素： (略) 人、执行内容、执行时间、执行地点、执行方式、影响范围、执行结果等要素审计，需提供web界面功能截图。

支持以完全精确方式，审计到应用端相关信息，包括应用用户等。

#支持MySQL数据库的SSL/TSL加密链路审计，需提供web界面功能截图。

#能对基于数 (略) (略) 为监测和告警，默认支持 * 个以上的数据库漏洞攻击规则库，需提供web界面功能截图。

告警能力

#支持风险语句告警策略。（黑白名单效果），需提供web界面功能截图。

自定义添加风险语句和可信语句（黑白名单效果）；

根据风险操作、SQL注入、漏洞攻击检测、语句管理等模块定义告警规则。

审计结果展示查询

操作记录的信息：审计结果中包括：告警级别、事件发生时间、客户端IP、目标数据库IP、操作类型、客户端MAC地址、客户端端口号、返回状态、结果信息、 (略) 命令等详细信息内容。

#对审计结果集敏 (略) 屏蔽，需提供web界面功能截图。

对详细信息中的SQ (略) 客户化翻译。

支持客户单IP建立别名。

报表统计分析

支持定时自动生成报表，并发送到指定邮箱。

#风险分析：根据风险语句、sql注入、漏洞攻击、风险操作等维度以时间维度统计数据库分析信息。支持规则命中查询、支持风险查询，需提供web界面功能截图。

#会话分析：基于客户端IP、数据库用户、访问程序统计会话、支持会话检索；失败会话和并发会话统计；支持应用层关联会话查询，需提供web界面功能截图。

支持风险语句挖掘和超链接钻取。

基于总体概况、性能、会话、语句、风险多层面展现报表，支持图表结合展现，支持柱形图、饼状图、条形图，双轴折线图等多种统计图展现形式。

#语句分析：基于SQL语句的操作类型统计，支持失败sql统计、Top sql统计；支持针对新型语句、语句审计模板检索，需提供web界面功能截图。

#支持报表自定义，自定义项不少于 * 种，需提供web界面功能截图。

数据维护

支持自动备份数据到FTP服务器，可设置FTP服务器地址、备份开始时间、时间间隔等。

支持基于阈值的日志自动清理能力。

支持手动清理日志信息。

产品安全性

根据 * 权分立的原则。提供系统管理员、安全管理员和审计管理员不同的用户身份验证。系统针对产品操作 (略) (略) 审计记录，可以由审 (略) 查询，具有自身安全审计功能。提供审计数据管理功能，能够实现对审计数据的自动备份、删除和导入。

#产品资质

信息系统安全专用产品销售许可证，提供证书复印件；

中国国家信息安全产品认证证书（ISCCC），提供证书复印件；

网络 (略) 络安全专用产品安全认证（增强级），提供证书复印件；

国测信息技术产品安全测评证书-EAL3+，提供证书复印件；

IPv6 Ready Logo认证证书，提供证书复印件；

#厂商资质

厂商应具备足够的信息安全服务技术实力及安全服务保障能力，获得中国信 (略) 颁发的信息安全服务安全工程类 * 级资质证书，提供证书复印件。

为保障技术可靠性， (略) 商具备CMMI L5认证证书，提供证书复印件。

厂商应具备足够的信息安全服务技术实力及安全服务保障能力，获得中国信 (略) 颁发的信息安全服务安全开发类 * 级及以上资质证书，提供证书复印件。

(略) 络安全应急服务支撑单位， (略) 络安全应急服务支撑单位证书（国家级），提供证书复印件。

(略) 商应是微软MAPP（Microsoft Active Protection Program）计划战略 (略) 伙伴， (略) 页截图。

项 (略) 质保

厂商针对本项目出具的授权 (略) * 年质保和售后服务承诺书 ， (略) 家公章

要求类别

功能及技术描述

硬件指标★

系统应为标准式机架硬件设备，全内置封闭式结构，具有完全自主知识产权的专用安全操作系统；

系统应支持冗余电源，避免电源硬件故障时设备宕机，提高设备可用性；

系统应至少包含1个RJ * 串口，2个GE口，1个CF卡，4个接口扩展槽位；

系统硬盘容量应不低于4TB，应支持扩容。

性能指标★

系统应默认支持审计 * 个以上日志源接入，应可扩展日志源接入数量；

系统应支持不低于每秒 * EPS (略) 理能力。

系统架构

系统支持软件版和虚拟化环境安装，支持本地认证、云端认证等授权方式；

系统应基于大数据平台架构，具备海量数据收集与快速检索能力；

系统应基于B/S架构，支持SSL加密模式访问，通过web方式直 (略) 管理；

(略) 闸、 (略) 景的日志采集。

日志采集

系统支持的数据采集范围包 (略) 络安全设备、交换设备、路由设备、操作系统、应用系统等。

系统支持的数据采集方式包括但不限于SYSLOG、RSYSLOG、SNMP Trap、FTP、ODBC、JDBC、Net flow、WMI、 * 进制数据、专用Agent等方式采集日志。

系统支持 (略) 家包括但不限于：Venustech(启明星辰)、Topsec(天融信)、DBAPPSecurit(安恒)、SANGFOR(深信服)、NSFOCUS(绿盟科技)、Hillstone( (略) 科)、东软、瑞星、 (略) 、网康、 (略) 神、Dptech(迪普)、 (略) 信、Imperva、Juniper( (略) 络)、F5、Symantec(赛门铁克)、Deep Security(趋势科技)、MaAfee(迈克菲)、Fortinet(飞塔)、Windows、Linux/Unix、Cisco(思科)、HUAWEI(华为)、H3C(华 * )、中兴、Apache、nginx 、IIS、WebLogic、Vmware、Kvm、Xen、OpenStack、Hyper-V、华为FusionSphere、Oracle、MySQL、PostgreSQL、SQL Server、Bind等。

日志管理

系统应能实现海量日志数据的采集并保存原始日志数据，对异构 (略) (略) 理并 (略) 理后的日志数据。

#系统支持界面配置即可完成未识别日志接入，无需编写xml，需提供web界面功能截图。

#系统支持NAT环境下的 (略) 署模式，需提供web界面功能截图。

系统支持范式化日志多级提取。

系统支持正则、KV、格式串等多种灵活的提取方式。

系统支持自动生成正则以高效的辅助提取。

#系统应能够实现范式化日志的枚举值管理，实现对范式化日志字段的灵活翻译，需提供web界面功能截图。

系统应支持IPv4、IPv6日志数据的采集、范式化、分析、展示。

#系统应支持日志源监控能力，包括采集器维度及资产维度的监控，资产维度支持展示资产详细信息，需提供web界面功能截图。

日志转发

系统应提供日志转发功能，应支持日志转发多个目标地址，可实现原始日志、范式化日志的转发，且不丢失原始日志源IP信息。

日志备份恢复

系统应支持按类型、按日期(天)，手动、自动备份日志。

系统应支持设置日志存储备份策略，可设置备份周期、备份日志类型。

系统应支持备份日志导入查询。

系统应支持日志备份远程服务器，如传送到FTP服务器。

#系统应支持日志存储扩展， (略) 络共享存储扩展，需提供web界面功能截图。

日志查询分析

系统应支持实时日志查询、历史日志查询。

系统应支持原始日志、范式化日志查询。

系统应支持自定义查询规则。

#系统应支持全文检索、模糊检索、正则检索等多种方式，需提供web界面功能截图。

系统应支持日志检索结果存储为日志监控视图。

事件告警

#系统应内置事件分类，并支持自定义事件分类，可定义事件分类的风险级别，需提供web界面功能截图。

系统应内置丰富的事件规则，应支持自定义事件规则。

#系统应支持多源事件关联分析能力，包括单源过滤模式、多源时序模式和多源关联模式，需提供web界面功能截图。

系统应支持基于事件分类的告警规则，支持短信、声音、邮件、界面提示等多种告警方式。

系统应支持告警抑制。

系统应支持查询实时事件，并可以很方便的下钻事件规则以及原始日志信息。

资产管理

系统应支持资产属性配置。

系统应支持资产标签，且至少6种标签以上，根据标签可快速查询资产。

系统应支持手工注册资产，支 (略) 修改/删除、批量导入/导出/添加/修改/删除等多种方式的管理。

系统应支持 (略) 资产发现。

#系统应支持资产以拓扑图形式展示，鼠标移动至资产图标可展示对应的资产信息，需提供web界面功能截图。

报表管理

系统应能够按照多种维度统计日志信息。

系统应支持统计分析报表与多种文件格式导出。

系统应能支持用户上传自定义报表模板。

#系统应能支持自定义报表目录、LOGO等，需提供web界面功能截图。

统计项管理

系统应支持生成折线图、趋势图、饼图、柱状图、表格等统计项。

#系统应支持统计项引用到报表，需提供web界面功能截图。

用户管理

系统应支持用户自定义账号。

系统应支持管理员、审计员、操作员多种权限设置。

系统应支持超时退出机制。

系统应支持来访IP限制，对暴力猜测 (略) 锁定。

系统自身安全性管理

系统应支持自身日志记录并可查询、自身CPU、内存和磁盘使用率可监控并以图形化方式动态显示，且支持状态监控和主动告警。

系统应支持系统基本参数管理、基本配置管理。

#产品资质

产 (略) 销售许可证

产品具有中国国家信息安全产品认证证书；

产品具有国家信息技术产品安全测评证书（EAL3+）；

以上均需提供相关证明材料。

#厂商资质

厂商应具备足够的信息安全服务技术实力及安全服务保障能力，获得中国信 (略) 颁发的信息安全服务安全工程类 * 级资质证书，提供证书复印件。

厂商应具备足够的信息安全服务技术实力及安全服务保障能力，获得中国信 (略) 颁发的信息安全服务安全开发类 * 级及以上资质证书，提供证书复印件。

为保障技术可靠性， (略) 商具备CMMI L5认证证书，提供证书复印件。

(略) 络安全应急服务支撑单位， (略) 络安全应急服务支撑单位证书（国家级），提供证书复印件。

(略) 商应是微软MAPP（Microsoft Active Protection Program）计划战略 (略) 伙伴， (略) 页截图。

项 (略) 质保

厂商针对本项目出具的授权 (略) * 年质保和售后服务承诺书 ， (略) 家公章

要求类别

功能及技术描述

系统架构

1、采用2+1系 (略) 单元+外网单元+FPGA专用隔离硬件。 (略) 线等形式直通。

2、采用基于linux内核的多核多线程专用安全操作系统，加固内核。

硬件指标★

标准机架式机箱，冗余电源，内网 6个GE接口，外网 6个GE接口，

2个RJ * 串口，4个USB2.0接口。

性能指标★

并发连接数> * 万

开关切换时间< * ns

系统延时< 1ms

无用户数限制

最大吞吐量≥ * Mbps

内置模块

系统内置安全浏览、文件同步、实时数据库、关系数据库、邮件模块、MODBUS、组播代理、用户自定义等应用模块,并可控制协议的的动作、参数、内容。

文件交换

支持Samba、FTP等多种文件协议， (略) (略) 、 (略) 、双向的文件传送。

支持病毒检测。

#支持对文件类型的黑白名单控制，根据文件 (略) 过滤，并且不依赖于文件扩展名，需提供web界面功能截图。

支持文件内容深度检测，对包含关键字内 (略) 过滤。

支持增量传输、传输后删除等传输策略。

支持目录内子目录同步，子目录级别不受限制。

支持文件交换容错和告警功能，交换出错能够自动重传，出现异常能够告警提示并记录日志。

可通过专用客户端或共享方式提供安全的文件同步功能。

视频应用

支持视频会议。

支持平台级联和视频点播功能。

支持RTP/RTCP、H * 等协议。

#符合GB/T * 1国家标准， (略) 商协议规范，需提供web界面功能截图。

#支持SIP信令控制，可控制云台，需提供web界面功能截图。

支持海康、大华、华为、华 * 、 (略) 、天地伟业、天视达、宇视、科达、数码视讯、藏愚、合众、 (略) 商。

关系型数据库

#支持Oracle、SQLServer、Mysql、Sybase、DB2、Postgresql等多种主流国外数据库的同步和国产达梦数据库、人大金仓数据库的同步，需提供web界面功能截图。

支持同构、异构数据库之间的同步，如Mysql同步至Oracle。

支持字段级数据同步，仅同步表中某几个字段。

支持BLOB、CLOB等大字段的同步。

# (略) 闸主动发起并完成，无需在数据库安装方软件，支持Windows、Linux、Unix 等多种数据库操作系统，且网闸无需开放端口以杜绝安全隐患，需提供web界面功能截图。

同时支持客户端方式，提供更高性能的数据库同步。

支持数据库同步实时日志记录，提供日志审计、查询。

邮件交换

支持SMTP、POP3协议。

支持病毒检测功能。

支持邮件地址、附件、主题、 (略) 过滤。

支持附件大小、附件格式控制；支持发件人、收件人过滤。

MODBUS模块

支持MODBUS协议，可按照用户需求控制具体功能代码及值域等参数，比如只允许读取，不能设置，只允许设置某 * 线圈的值在某个范围等。

实时数据库

支持实时数据库代理。

时间模式

#支持根据时间自动切换的安全策略。支持时间段以 * 小时制，支持以星期为周期，支持指定时间 (略) ；，需提供web界面功能截图。

诊断工具

#系统提供ping ,traceroute ,TCP端口探测、抓包等工具方便管理员在配置 (略) 络时排查问题，需提供web界面功能截图。

日志审计

系统可存储和审计包含：系统日志；管理日志；网络活动日志； (略) 理日志；访问控制日志。

双机热备

支持双机热备及多机热备功能，最大化的保障业务可用性。

声控报警

支持磁盘空间超过预定值时，产生蜂鸣器报警。

支持双机热备工作时蜂鸣器报警，备机接替主机工作时，备机产生周期性鸣笛报警；主机恢复工作后，备机停止工作，同时停止鸣笛告警。

#产品资质

1产品应具有中华人民 (略) 颁发的增强级《计算机信息系统安全专用产品销售许可证》，提供有效证书的复印件。

2产品应具有中华人民共和 (略) 颁发的《计算机软件著作权登记证》，提供有效证书的复印件。

3产品 (略) 安全与警用电子产 (略) 颁发的《软件测试报告》（符合GB/T 点击查看>> 6公共安全 (略) 系统信息传输、交换、控制技术要求），提供有效证书的复印件。

#厂商资质

厂商应具备足够的信息安全服务技术实力及安全服务保障能力，获得中国信 (略) 颁发的信息安全服务安全工程类 * 级资质证书，提供证书复印件。

厂商应具备足够的信息安全服务技术实力及安全服务保障能力，获得中国信 (略) 颁发的信息安全服务安全开发类 * 级及以上资质证书，提供证书复印件。

为保障技术可靠性， (略) 商具备CMMI L5认证证书，提供证书复印件。

(略) 络安全应急服务支撑单位， (略) 络安全应急服务支撑单位证书（国家级），提供证书复印件。

(略) 商应是微软MAPP（Microsoft Active Protection Program）计划战略 (略) 伙伴， (略) 页截图。

项 (略) 质保

厂商针对本项目出具的授权 (略) * 年质保和售后服务承诺书 ， (略) 家公章

要求类别

功能与技术描述

硬件指标★

机架式设备，单交流电源

≥1个RJ * 串口，≥1个GE管理口，≥4个GE电口，≥ (略) 络接口扩展槽，2T SATA硬盘

性能指标★

字符并发会话数≥ * 个，图形并发会话数≥ * 个。

默认支持管理设备≥ * 台，最大可管理设备数≥ * 台。

系统配置架构要求

采用物 (略) 署， (略) 络结构。

支持运维审计日志集中管理运维审计 (略) 署方式。

#支持双机冗 (略) 署，故障切换时间在秒级完成，不超过1秒钟，需提供web界面功能截图。

#数据配置支持手动和实时同步，数据配置同步时间分钟级完成，不超过2分钟，需提供web界面功能截图。

支持IP和端 (略) (略) 署，通过映射后的IP和端口信息能够访问堡垒机。

支持域名方式web访问到堡垒机，并支持托管设备运维操作。

为了保证运维人员的运维习惯，必须支持B/S浏览器登录运维以及C/S客户端统 * 接入两种方式的运维方式。无需安装客户端。

系统可自带应用平台发布服务器，内置多种数据库客户端工具。

# (略) 商同品牌防火墙组成联动方案，可单点登录堡垒机后直接运维托管设备，解 (略) 运维问题，需提供web界面功能截图。

用户权限管控要求

系统默认自带 * 权分立用户，系统管理员、运维管理员和审计管理员权限相互制约。

#用户登录堡垒机支持多种认证方式，包括本地静态密码认证、LDAP认证、RADIUS认证、证书认证、USBKEY认证、短信认证等身份认证方式；支持可知因素和不可知因素的双因素认证；需提供web界面功能截图。

运维审计功能要求

自动登录目标设备：运维人员不必知道目标设备帐号及密码， (略) * 次登录认证，实现单点登录。

手工登录目标设备：运维人员每次通过堡垒机登录目标设备都需要手工输入目标设备用户名密码。

半自动登录目标设备：即第 * 次登录目标设备时运维人员需手工输入目标设备帐号和密码并允许堡垒机保存该帐号密码，运维人员就可以自动登录目标设备

密钥登录方式：在登录目标服务器时，使用的是秘钥登录，而非密码。在既可以使用密码，又可以使用秘钥的环境，可以自由选择登录认证方式。

支持WEB调用本地客户端程序如putty,securecrt,xshell,winscp,xftp,mstsc等客户端单点登录堡垒机运维目标设备。

支持本地图形客户端程序，如mstsc、remmina等客户端直接访问堡垒机选取 (略) 运维。

支持本地字符客户端程序，如putty,xshell,securecrt,winscp,xftp等客户端直接访问堡垒机选取 (略) 运维。

#支持本地文件客户端程序，如winscp,xftp等客户端直接访问堡垒机选取 (略) 运维，需提供web界面功能截图。

支持批量导入/导出目标设备信息；可批量修改设备类型、IP、部门、登录方式、会话空闲时间等属性信息。

支持的协议

字符型远程操作协议：SSH(V1、V2)、TELNET，Rlogin。

图形化远程操作协议：RDP、VNC、X * ，并支持RDP和VNC运维下文件共享；可支持RDP、VNC的客户端直接访问堡垒机。

文件传输协议：FTP、SFTP、SCP、Samba；可支持客户端Wincp直接访问堡垒机。

支持达梦等国产数据库运维。

支持Oracle、MS SQL Server、IBM DB2、Sybase、IBM Informix Dynamic Server、MySql、PostgreSQL等数据库。

支持HTTP、HTTPS操作审计，HTTP/HTTPS协议可以直接代理。

应用发布

支持通过应用发 (略) 协议扩展，无需定制即可支持其他通用及专有的运维客户端程序（无SSO）。

支持内置应用发布服务器，可定制支持其他通用及专有的运维客户端程序（可SSO）。

(略) 为记录

#RDP协议运维可审计用户运维过程中键盘操作信息，审计内容包括时间和键盘输入信息，并 (略) 为关键字搜索定位录像回放，需提供web界面功能截图。

RDP协议运维可审计用户上 (略) 为，审计内容包括时间、操作文件和共享目录信息。

文件操作审计内容：包括访问起始和终止时间、用户名、用户IP地址、目标设备IP、设备名称、协议类型、事件等级、操作内容（如对文件的上传、下载、删除、修改等操作等）。

web服务器运维管控

可控制用户访问web服务器的url地址，防范运维人员违规访问web服务器

可控制用户上传/下载文件到web服务器。

#产品资质

(略) 销售许可证，提供证书复印件；

中国国家信息安全产品认证证书，提供证书复印件；

国家信息安全测评信息技术产品安全测评证书（EAL3+），提供证书复印件；

以上均需提供相关证明材料。

#厂商资质

厂商应具备足够的信息安全服务技术实力及安全服务保障能力，获得中国信 (略) 颁发的信息安全服务安全工程类 * 级资质证书，提供证书复印件。

厂商应具备足够的信息安全服务技术实力及安全服务保障能力，获得中国信 (略) 颁发的信息安全服务安全开发类 * 级及以上资质证书，提供证书复印件。

为保障技术可靠性， (略) 商具备CMMI L5认证证书，提供证书复印件。

(略) 络安全应急服务支撑单位， (略) 络安全应急服务支撑单位证书（国家级），提供证书复印件。

(略) 商应是微软MAPP（Microsoft Active Protection Program）计划战略 (略) 伙伴， (略) 页截图。

项 (略) 质保

厂商针对本项目出具的授权 (略) * 年质保和售后服务承诺书 ， (略) 家公章

要求类别

功能及技术描述

硬件指标★

系统应为机架式独立IPS硬件设备，全内置封闭式结构，具有完全自主知识产权的专用安全操作系统，稳定可靠。

系统需提供不少于1个GE管理口，1个RJ * 串口，6个GE电口，1个SLOT插槽（可选配：4电口、8电口、4千兆光口、8千兆光口）。冗余电源。

性能指标

产品性能不小于：网络吞吐量 * G，应用层吞吐量1Gbps，最大并发TCP会话 * 万，每秒新增TCP会话4万。

部署能力

系统应支持独立式多路IPS工作模式，各路IPS相互独立，可单独配置策略。

系统应支持VLAN * .1Q、BGP、MPLS、QinQ、PPPOE等封装协议的透传，能够适应 (略) 络环境。

入侵检测

#系统应提供覆盖广泛的攻击特征库， (略) 络病毒、蠕虫、间谍软件、木马后门、扫描探测、暴力破解等 (略) 检测和阻断，攻击特征库数量至少为 * 种以上。需提供web界面功能截图。

系统应支持多种抗逃避检测技术。

#支持基于SCADA等工控协议的相关漏洞攻击检测与防护。需提供web界面功能截图。

系统应能够有效抵御SQL注入、XSS注入、webshell等多种常见的应用层安全威胁，并可配置SQL注入白名单。

规则须支持按CVE、CNNVD、CWE、Bugtraq关联、查询和筛选。

系统 (略) 为特征的自定义接口，可根据用户需求定制相应的检测和阻断规则；支持以下自定义：名称、级别、协议类型、协议类型、包长度、正则表达式定义关键字；支持IP\TCP\UDP\ICMP\HTTP\POP3\SMTP\MSN\QQTCP\\QQUDP\FTP等协议的规则自定义。

防病毒能力

支持流式防病毒，且病毒库在 * 万以上 防病毒；具有防病毒能力，支持HTTP、FTP、SMTP、POP3、IMAP、NFS、SMB2、工控（IEC- * 0、IEC * 0）等协议。

支持病毒文件样本留存，并可导出用于跟踪分析。

支持防病毒库实时更新，实 (略) 署、应对热点突发病毒，

数据泄露防护

系统应提供服务器异常告警功能，可以自学习服务 (略) 为，并以此 (略) 服务 (略) 为。

#系统应提供敏感数据保护功能，能够识别、阻断通过自身的敏感数据信息（身份证号、银行卡、手机号等）需提供web界面功能截图。

#系统应提供关键文件保护功能，能够识别、阻断通过自身的关键文件，以防 (略) 为。能识别的关键文件类型应包含至少以下几类：文档类如Excel、PDF、PowerPoint、Word等，压缩文件类如CAB、GZIP、RAR、ZIP、JAR等，图像类如BMP、GIF、JPEG等，音频视频类如MP3、AVI、MKV、MP4、MPEG、WMV等，脚本类如BAT、CMD、WSF等，程序类如APK、DLL、EXE、JAVA_CLASS等。需提供web界面功能截图。

系统应提供URL分类库， (略) 页过滤数据库，实现高风险、 (略) 过滤。

DOS防御

系统应提供DoS/DDoS攻击防护能力，支持TCP/UDP/ICMP/ACK Flooding，以及UDP/ICMP Smurfing等常见的DoS/DDoS的攻击。

支持基于阈值和自学习检测。

服务器异常防护

#系统应提供服务器异常告警功能，可以手动添加或自学习 (略) 为，并以此为基线检测服务 (略) 为。需提供web界面功能截图。

未知威胁防护

#支持提供恶意软件分析服务、对未知可疑文件统计。需提供web界面功能截图。

#支持与本地沙箱的联动配置。需提供web界面功能截图。

响应能力

系统应提供丰富的响应方式，包括：会话阻断、IP隔离等功能，满足用户各种响应需求。

#系统应具备攻击快照功能，详细记录触发告警的数据特征，以便做进 * 步的事件分析。需提供web界面功能截图。

#产品资质

(略) 销售许可证；

国家信息安全测评信息技术产品安全测评证书-EAL3+；

网络 (略) 络安全专用产品安全认证证书；

国家信息安全漏洞库CNNVD兼容性证书；

以上均需提供相关证明材料。

#厂商资质

厂商应具备足够的信息安全服务技术实力及安全服务保障能力，获得中国信 (略) 颁发的信息安全服务安全工程类 * 级资质证书，提供证书复印件。

厂商应具备足够的信息安全服务技术实力及安全服务保障能力，获得中国信 (略) 颁发的信息安全服务安全开发类 * 级及以上资质证书，提供证书复印件。

为保障技术可靠性， (略) 商具备CMMI L5认证证书，提供证书复印件。

(略) 络安全应急服务支撑单位， (略) 络安全应急服务支撑单位证书（国家级），提供证书复印件。

(略) 商应是微软MAPP（Microsoft Active Protection Program）计划战略 (略) 伙伴， (略) 页截图。

项 (略) 质保

厂商针对本项目出具的授权 (略) * 年质保和售后服务承诺书 ， (略) 家公章

序号

指标项

需求描述

1

配置要求★

机架式设备；4个磁盘槽位3.5" SAS、SATA磁盘接口；配4块4TB企业级硬盘；Intel (略) 理器； * G高速缓存；RAID支持1、5、6、 * 模式；双端 (略) ；4个智能冷却风扇模块；1个PCIE扩展插槽；裸容量空间≥ * T

2

灾备系统兼容性

支持对X * 架构下的物理机、虚拟机、超融合、私有云和公有云提供统 * 的将主机的操作系统、应用系统、数据库和数据作为 * 个整体的、基于磁盘数据块复制技术的 * 致性灾备保护，安装、卸载、备份过程不需要重启动的业务系统，对虚拟机和云主机提供CDP实时数据保护且备份时间粒度最小可达微秒级；

#不需区分业务系统的类型、部署方法、业务系统间的数据交互机制、数据结构/逻辑关系和数据库的品牌/版本等，Windows Sever * 及以上和Linux2.6. * 及以上操作系统上分别采用统 * 的agent的对任意应用系统和数据提供整机灾备保护，实现对现有及未来新上业务系统的保护兼容性；（需提供截图证 (略) 商公章）

#支持SQL Server、Oracle、Sybase、Exchange Server、MongoDB、Lotus Notes/Domino、DB2、MySQL、 AD等 国产数据库包括达梦数据库、神通数据、南 (略) 用、人大金仓和Gbase等数据库的数据备份与恢复;（需提供截图证 (略) 商公章）

#对Oracle Rac数据库系统、配置、日志及数据实现整体、 * 致的定时和CDP持续数据保护；（需提供截图证 (略) 商公章）

能够对WindowsXP/7/8/ * 操作系统主机提供整机 * 致的灾备保护，按照策略实现历史时间点的整机回滚恢复；

3

灾备系统功能

支持多台灾备系统本地、异地之间的数据同步，可 (略) 配置复制频率，可对同步频率、存储保留时间策略、备份点数量策略、传输是否加密和带宽 (略) 设置；

提供文件恢复和卷恢复功能，可直接恢复指定的文件和卷；

数据传输采用加密技术，灵活的完整备份和增量备份策略，支持数据重删和断点续传；

4

应急接管功能#

无需额外服务器、 (略) 署虚拟化系统、无需停止对原机的数据备份，即可配置多个应急接管业务虚拟机同时接管多个业务系统，全Web操作完成虚拟机创建、接管备份点的选取、IP和路由配置、虚拟机开机等接管业务的全流程，可为应急接管主机提供CDP保护，新增的数据可形成增量备份点或CDP保护点；（需提供截图证 (略) 商公章）

5

热备功能#

支持在任意品牌/技术/芯片组的X * 物理机、虚拟机和云主机之间配置整机热备HA架构，备机和原机实时数据同步，原机故障时可秒级业务切换到备机保障业务服务的连续性，且具备数据历史点回切能力；（需提供截图证 (略) 商公章）

6

灾备系统备份点可靠性验证#

管理员可将选定的备份点加载为CIFS (略) 络共享在WEB浏览器中访问，也可在灾备系统中自建隔离私有虚拟化验证系统，无需停止备份任务可将选定验证的备份点整机启动，模拟真实生产环境登录系统验证备份的可靠性和 * 致性；（需提供截图证 (略) 商公章）

7

灾备演练和灾难重建#

提供异构目标机间、无预置灾备演练或灾难重建环境（目标机无操作系统、目标机和原机操作系统不 * 致、目标机无应用系统、目标机无数据库等）可即时开展的整机灾难演练或灾难重建，在灾备系统的Web控制台上为目标机做差异硬件驱动配置、系统IP/路由配置和脚本配置等各种必要的配置，无需逐步手工安装、配置操作系统、应用系统、数据库，实现任意品牌/技术的X * 服务器、虚拟机和云主机之间的异构、整机、自动化灾难重建， (略) 络环境中无论数据量大小可 * 分钟内将灾备点应用系统重建至异构主机上并实现系统服务恢复；（需提供截图证 (略) 商公章）

8

安全运维管理

具备系统管理员和业务管理员双管理员角色，用户可设定字母+数字组合复杂登录密码，支持配置登 * 超时锁定策略、登录失败锁定，支持密码时限配置，最大限度确保系统安全；

中文界面，基于https的WEB管理模式实现业务管理员管理、存储管理、备份任务管理、远程复制管理及权限管理等，支持以邮件告警的方式对备份存储系统的软件故障、存储空间、备份任务、操作状态等提供通知；

9

平台安全性

存储备份系统的专用嵌入式操作系统维护后台采用动态口令机制，动态口令由设备 (略) 口令组成，原厂口令随着设备管理员的改密码操作而变化，确保灾备系统后台不被非法登入；

*

异地容灾#

(略) 提供云端备份数据和应用的仿真验证演练、云上应用级容灾，出口带宽不低于 * M及相关服务承诺函；（提供相关服务承诺函并加盖 (略) 公章）；

(略) 的运营单位需提供具有中华人民共和国增值电信业务经营许可证、 (略) (略) 络环境安全等级保护备案 * 级、 (略) 场地基础设施A评价证书、ICP许可证及ISO * 1业务联系性管理体系认证（提供 (略) 相关资质证明并加盖 (略) 公章）；

*

资质要求#

产品为自主研发产品，非OEM，提供《计算机软件著作权登记证书》复印 (略) 公章；

提供产品计算机信息系统安全专用产品销售许可证，证书复印 (略) 公章。

(略) 商ISO * 体系认证，证书复印 (略) 公章。

*

项 (略) 质保

厂商针对本项目出具的授权 (略) * 年质保和售后服务承诺书 ， (略) 家公章

技术指标

指标要求

性能要求★

标准机架式设备，标配千兆电口≥4个，SSL VPN加密流量≥ * Mbps， 理论最大SSL VPN并发用户数≥ * 个 ，实配不少于 * 个SSL并发接入授权，标配单电源。

基本特性

专业VPN设备，采用标准SSL、TLS 协议，同时支持IPSec VPN、SSLVPN两种VPN，非插卡或防火墙带VPN模块设备；

支持PC终端使用包括Windows * 、Windows8、Windows7、Windows Vista、Windows xp、Mac OS、Linux 等主流操作系统来登录SSLVPN系统，并完整支持该操作系统下的各种IP层以上的B/S和C/S应用；支持Windows、IOS、Android、塞班、黑莓等操作系统的智能手机、PDA、平板电脑（PAD）等移动终端的SSL VPN接入，或通过PPTP、L2TP VPN方式接入；

#支持终端使用包括IE6、7、8、 * 、 * 或其他IE内核的浏览器，以及最新版本的非IE内核浏览器，如Windows EDGE，Google Chrome， Firefox，Safari，Opera最新版登录SSLVPN系统，登录后可完整支持各种IP层以上的B/S和C/S应用；（需提供相关功能截图证明并加盖公章）

产品应支持国际通用标准的密码算法，包括：AES、DES、3DES、DH、RSA、RC4、MD5、SHA1等；

易用性

可支持虚拟门户功能，在 * 台设备上配置不同的访问域名、IP地址，以及不同的使用界面，实现 * 台设备为多个不同用户群体服务的的使用效果；

支持断线重连自动技术，防止用户误操作关闭浏览器导致VPN隧道断开；防止 (略) (略) 络正常切换时VPN隧道断开；

支持智能递推技术，针对多 (略) (略) 动态嗅探页面内的链接并完成资源自动授权，防止资源漏访；支持Web参数修正，可针对Flash、Java、Applet、或视频 (略) 引用 (略) 修正，避免无法播放的问题；

#产品应提供环境检测、自动修复工具，支持对Windows的环境兼容性 * 键检测能力，以及对 (略) * 键修复的能力，避免由于用户操作系统环境存在问题影响SSL VPN的使用，减轻运维工作。（需提供相关功能截图证明并加盖公章）

终端安全

产品必须支持防中间人攻击，产品可在用户登录SSLVPN时智能判断存在 (略) 为，断开被攻击的连接，并可提示异常现象；

支持客户端注销 (略) 有缓存、Cookies、浏览器历史记录、保存的表单信息，实现零痕迹访问；

支持VPN专线功能，可配置用户在接入SSL VPN的同时，断开与Internet其他连接；

权限、服务器安全

产品应具有用户/用户组细粒度的权限分配功能：可以针对被访问资源的IP地址、端口、提供的服务、UR (略) 权限控制；针对同 * B/S资源，可对不同用户做到细致到URL级别的授权；

产品应具有角色授权机制，支持在用户组的基础上，根据角色的不同，组合关联不同的资源权限；

支持主从认证账号绑定，必须实现SSL VPN账号与应用系统账号的唯 * 绑定，VPN资源中的系统只能以指定账号登 * ，加强身份认证，防止登录SSL VPN后冒名登录应用系统；

身份认证

产品必须支持Local DB 、USB KEY、短信认证、硬件特征码、动态令牌、数字证书认证、LDAP、RADIUS、等认证方式；可针对用户/用户组设置认证方式的与、或组合， (略) 用户名/密码、LDAP、USB KEY、硬件特征码、短信认证或动态令牌的 * 因素捆绑认证；

(略) 必须支 (略) ，便于数字证书认证平台搭建；

单台VPN设备可扩展同时支持5套以上CA根证书；

高速性

必须支持至少4 (略) 多线路配置；并 (略) 署模式下，多线 (略) 关，仅依靠SSLVPN设备同样可实现SSLVPN接入用户的多线路自动优选功能；

#支持HTP快速传输协议，大幅优化无线环境（CDMA、GPRS、WIFI、3G）、高丢包、 (略) 络环境下传输速度及效率； (略) 络境自动选择并切换至最优的传输协议。（需提供相关功能截图证明并加盖公章）

支持针对不同的w (略) 数据优化，支持动态压缩技术，基 (略) 压缩，减少不必要的数据传输；

针对B/S资源支持WebCache技术，动态缓存页面元素，提高Web页面响应速度。支持流缓存技术， (略) 关、网关与移动客 (略) 多磁盘、双向、基于分片数据包的字节流缓存加速，削减冗余数据，降低带宽压力的同时提高访问速度；支持共享流缓存功能， (略) (略) 共享流缓存数据，提高流缓存效果；

资质要求

提供中华人民 (略) 颁发的《计算机信息系统安全专用产品销售许可证》；

提 (略) 颁发的《计算机软件著作权登记证》；

#为保障技术可靠性，要 (略) 商具备CMMI L5认证证书，提供证书复印件并加盖公章。

#为保障安全服务能力，要 (略) (略) 络安全应急服务支撑单位（国家级），提供证书复印件并加盖公章。

#为保障安全开发能力， (略) 投 (略) (略) 络安全审查 (略) （CCRC）颁发的《软件安全开发服务》资质证书，提供证书复印件并加盖公章。

项 (略) 质保

厂商针对本项目出具的授权 (略) * 年质保和售后服务承诺书 ， (略) 家公章

指标项

指标要求说明

性能要求

★标准机架式设备，配置 * / 点击查看>> Base-T接口≥6个，SFP接口≥2个，内存≥ * G，吞吐量≥ * Mbp，硬盘容量≥2TB SATA， (略) 署，支持同时接入多个镜像口，每个口相互独立不影响。要求实配不少于 3 年特征库升级服务，3 (略) 服务。

(略)

#具备失陷(业务和服务器)主机详细分析，包含攻击阶段分布、风险等级趋势、安全事件举证、开放端口等信息。攻击阶段包含存在漏洞、遭受攻击、C&C通信、黑产牟利、内网扫描、内网扩散、盗取数据支持对每个安全事件详细举证分析，包含风险危害、处置建议、专杀工具等（提供功能界面截图并加盖公章）；

(略) 置安全事件描述、事件标签、攻击阶段、事件分类、失陷确定性、威胁等级、风险主机统计、发生时间、处理状态以 (略) 置事件；支持攻击阶段分布和事件类型分布，热点事件统计

#不区分主机类型，仅以安全事件的视角， (略) 有安全事件。 (略) 有安全事 (略) 置状态，威胁等级，确定性等级，时间这 * 个字段排序，并结合事件类型、攻击结果、攻击阶段、处置状态、事件统计和事 (略) 统计和过滤显示、可设置关注的安全事件，可实时监控发生的安全事件，能复制攻击IP、XFF代理，并能够基于HTT (略) 事件筛选（提供功能界面截图并加盖公章）

(略)

#针对挖矿做专项性分析，比如挖矿的币种分布，威胁趋势分析。

#支持对勒索病毒的安全告警做专项性分析，比如中了勒索病毒的风险主机分布、威胁趋势分析， (略) 有安全事 (略) 置状态，威胁等级，确定性等级，攻击结果、事件类 (略) 筛选展示，并结合攻击阶段、事件统计和事 (略) 统计和显示、可实时监控发生的安全事件（提供功能界面截图并加盖公章）

支持对威胁情报的安全告警做专项性分析，比如通过情报匹配的风险主机分布、威胁趋势分析， (略) 有安全事 (略) 置状态，威胁等级，确定性等级，攻击结果、事件类 (略) 筛选展示，并结合攻击阶段、事件统计和事 (略) 统计和显示、可实时监控发生的安全事件。

#支持沙盒文件检测，能够对 (略) 文件、dll应用程序扩展、 (略) 理文件、PDF、office、VB脚本、 (略) 页脚本、P (略) 检测（提供功能界面截图并加盖公章）

#支持邮件威胁分析，可展示收件人TOP5、发件人账号TOP5、恶意邮件类型分布、 (略) 置建议；支持对恶意邮件详情分析，包含收件人账号、恶意邮件数量、发件人账号、附件名称、病毒名称、恶意链接名称等，并支持导出分析结果；

#支持对隐蔽隧道的告警做专项性分析，比如攻击者利用 (略) 隐蔽通信以及威胁趋势分析， (略) 有安全事 (略) 置状态，威胁等级，确定性等级，攻击结果、事件类 (略) 筛选展示，并结合攻击阶段、事件统计和事 (略) 统计和显示、可实时监控发生的安全事件（提供功能界面截图并加盖公章）

联动响应

#支持接入防火墙，支持与同品 (略) 联动响应，支持系统下发安全策略到防火墙上，阻断攻击流量（提供功能界面截图并加盖公章）

(略) 商资质要求

(略) 《计算机信息系统安全专用产品销售许可证》；

(略) 《计算机软件著作权登记证书》

#为保障技术可靠性，要 (略) 商具备CMMI L5认证证书；

#为保障安全服务能力，要 (略) (略) 络安全应急服务支撑单位（国家级），提供证书复印件；

#为保障安全开发能力， (略) 投 (略) (略) 络安全审查 (略) （CCRC）颁发的《软件安全开发服务》资质证书，提供证书复印件并加盖公章。

项 (略) 质保

厂商针对本项目出具的授权 (略) * 年质保和售后服务承诺书 ， (略) 家公章

项目名称

预算金额

(人民币)

简要技术要求

信息系统安全等级保护建设及测评（无线控制与 (略) 络架构整改优化服务）

* 万元

服务内容：通过对 (略) 新采购无线准入与终端准入系统设 (略) 络与安全设备（天融信、华为、华 * ） (略) 设备策略调整与监督， (略) 络安全等级保护要求， (略) 络安全规划与调整，做到分区分域、 (略) (略) 分离、 (略) (略) 合理规划、 * 级平台系统按照 (略) 内部分布调整、 * 个系统等保测评差距分析报告的高危风险与高危漏洞的安全整改加固等服务， (略) 络安全法、网络安全等级保护管理办法等法律、法规的要求，并协助通过等级保护测评，使 * 级系统达到 * 级等保标准，另外， * 个等保 * 级系统达到 * 级等保的管理要求。

指标项

指标要求

基本要求

系统要求

具有独立自主知识产权，须为标准机架式硬件产品。

性能要求★

机架结构；标准配置交流电源，标准配置2个 * MBASE-T接口(管理口、HA口)，可配置4个接口卡，设备支持不少于 * 个千兆电口,可扩展万兆口；每秒事务数(TPS):≥ * (次/秒)，最大吞吐量:≥0.5Gbps，最大并发连接数: * (条)；设备最大支持不少于 * 终端设备接入和管理

IPv6支持

#支持在IPv4和IPv6双栈环境下的终端准入控制、重定向、认证、安检、修复等。（提供支持IPv6的证明文件）

高可用性

准入设备必须具备HA模式，HA须支持主备机心跳IP检测及虚地址管理模式。

#提供第 * 方监控平台，在出现重大异常情况时 (略) (略) 络。（提供功能截 (略) 公章）

#支持多个设 (略) 署（提供功能截 (略) 公章）

(略) 署

#准入设备应至少提供安全客户端（Agent）、安全控件、无客户端等多种 (略) 署和管理的模式。（提供功能截 (略) 公章）

使用安全 (略) 署时，客户端程序应支持功能定制，以降低系统资源耗用，提升客户端兼容性。

准入

架构

终端发现

能够实时监测并 (略) 的PC、移动终端、其他IP设备等终端。

对自动发现的终端能够按照类别自动归类， (略) 络终端的统计管理。

#能够通过自定义将不同的设备分组到不同的大类中，实现客制化的设备类型管理。支持分类不少于 * 个大类， * 小类/大类（提供功能截 (略) 公章）

准入技术

准入设备须支持 * .1x协议准入方式，无需第 * 方RADIUS服务器支持。

#准入设备 (略) 商Virtual Gateway的VLAN隔离技术，实现无客户端下端口级准入控制。（功能截图及专利证 (略) 公章）

准入设备支持基于策略路由技术的准入控制模式，入网 (略) 内关键资源时，将被强制隔离、引导至认证管理页面；

#支持交换机接口动态VLAN下发、端口 (略) 络边界管理。（提供功能截 (略) 公章）

支持通过MAC (略) ACL下发的准入控制。

多路支持

单台准入设备可支持至少4路策略路由准入控制。

单台准入设备可支持至少4 (略) 准入控制。

#单台准入控制设备支持至少2种准入技术组合使用，以增强环境的兼容性。

定向引导

(略) IE浏览器重定向引导， (略) 页时能够自动转向到指定的页面或地址，并支持http代理及多重重定向引导。

可根据用户的实际环境自定义非 * 端口的Web服务端口号及用户重定向引导。

#支持 (略) (略) 重定向，可以实现准入服务器IP地址变动的环境下；（提供功能截 (略) 公章）

#能通过浏览器完成身份认证、控件安装、设备注册、安全检查、检查结果展现等全流程引导管理。（提供功能截 (略) 公章）

违规外联

违规外联

能够针对3/4G拨号、双网卡、随身WIFI、代理等 (略) 行为做实时检测，为了防止漏判不使用间歇性 (略) 地址的探测方式。

能够针对违规 (略) (略) ，断网方式应支持断开链接、重启计算机等多级模式，并能够设置报警通知管理员。

准入设备能够支持按照用户角色定义，结合自定义安全域，限 (略) 访问范围，防止其越权访问操作。

#SSID白名单，可对连接到白名单 (略) (略) 阻断。（提供功能截 (略) 公章）

设备特征指纹

设备特征指纹

具有非智能IP终端信息库，能 (略) 络打印机、网络摄像头、IP电话等设备，并根据 (略) 自动匹配和归类。

设备指纹自定义

能够通过自定义多种探测信息 (略) 匹配

#定义信息至少包括：IP地址、MAC地址、操作系统、网页标题、Telnet输出、FTP输出、SSH输出、端口、网页内容（提供功能截 (略) 公章）

边界管理

IP/MAC绑定

(略) 设备自动学习功能，支持IP/MAC/端口 * 者强制绑定，以及违规终 (略) VLAN，防止终端仿 (略) 络或移动设备位置。

支持在DHCP环境下的IP、MAC绑定功能

NAT设备

#具有NAT识别和检测机制， (略) 内私接的NAT小路由器设备。（提供功能截 (略) 公章）

对通 (略) 的计算机可以实现准入控制、安全评估和修复等流程化管理

Hub管理

(略) 私接的Hub、傻瓜 (略) 管设备，当多台计算机通过 (略) 络时，能够及时产生告警通知管理员。

#支持对连接HUB的交换机端口采用关闭端口或者VLAN切换来控制终端接入（提供功能截 (略) 公章）

网络

管理

网络设备管理

支持对：交换机、路由器、防火墙等， (略) 添加归类管理和展示。

支持设备管理模板的定义功能，能够通过SNMP、SSH、TELNET等方式自动、 (略) 络设备。

#支持通过web界面手动修改交换机命令库以匹配新的交换机。（提供功能截 (略) 公章）

(略) 络拓扑

#能够在拓扑图上选取设备查看其基本状态信息、设备型号、所处位置、子节点、路由表、ARP表等信息。

#支持在界面 (略) (略) TELNET、SSH等管理。（提供功能截 (略) 公章）

# (略) 络拓扑图上由用户自定义显示的节点类型，方便用户通过不同方式查看拓扑连接。（提供功能截 (略) 公章）

交换机状态展现

(略) 管型交换机面板图形化展现各接口状态（up、down、trunk、单/多MAC等），以及各接口下联的终端详细信息（IP、地址、MAC地址等）。

能够支持自上而下逐级查找终端的具体位置、安全状态、认证用户、上下线时间等信息。

DHCP地址释放

#支持DHCP通过管理服务器手动操作， (略) 某台主机的IP地址释放。实现IP地址充分利用。

认证管理

联动认证

能够全面结合用户已有的认证或业务系统，可以与RADIUS、LDAP、邮件、AD、WEB系统做联动认证。

AD域单点登录

能够与用户现有的AD域相结合，当用户登录到AD域后，无需 * 次 (略) ，避免多次认证的繁琐流程。

(略) (略) 是否A (略) 检查。

证书认证

(略) Ukey认证时，支持多个合法的根证书。终端用户认证时， (略) 根证书的匹配。

支持采用软证书认证。

短信认证

支持短信认证模式

接入审核

能够针对不同的角色或设备状态有选 (略) 审核功能，待审核的用户或设备必须经过管理员 (略) 。

(略) 审核流程调整。

认证控制

支持某类（角色）账户只能在指定的时间段、I (略) 。

自助账号申请

#支持用户在 (略) 进行账号的申请。

(略) 提交用户名、密码、姓名、电话、部门、E-Mail等信息。管理员审核通过后，用户即可使 (略) 认证。有效解决用户账号和密码创建和分发的困难。

(略) 管理

(略) 角色

能够提供 (略) 角色选择，能够设定 (略) 设备的访 (略) 时长

(略) 码

员工可以为 (略) 申请 (略) 码， (略) 使用 (略) (略) 络；

能够设定那些角色的用户能够申请 (略) 码。

* 维码认证

# (略) 员工可以通过扫描 (略) 终端上 * 维码，放行 (略) （提供功能截 (略) 公章）

终端

安全

管理

安全检查库

#准入设备须提供系统安全配置、 (略) 为规范等类别检查项，至少提供 * 种以上安全检查项。

系统补 *

准入设备具有完整的补 * 管理子系统，无需第 * 方补 * 服务器支持，自身即可以提供完整的流程化补 * 管理，包括同步更新、补 * 分发表等功能。

准入设备能 (略) 分级，分为：严重、重要、中等的类别。

能够在终端的浏览器 (略) 终端的补 * 检查情况。

#准入系统自身能够支持office系列补 * 库、补 * 检查和补 * 分发安装。

防病毒软件

支持主流的 * 种以上的杀毒软件检查，包括微软MSE、可牛、Avast等，支持杀毒软件版本、 (略) 情况的检查，能够在页面显示出检查结果。

终端安全加固

支持Guest (略) 帐户、WSUS更新配置、密码策略设置、屏幕保护设置、弱口令帐户、网卡绑定、系统 (略) 检查加固

计算机

健康性检测

支持对终端的磁盘使用率、垃圾文件、IE主页、网络监听端口等安 (略) 检查和修复

自定义安全检查

#通过检测终端文件、指定文件版本、大小、MD5，注册表的项、注册表值，进程、 (略) 检查。通 (略) 、 (略) 点、开关服务、关闭进程、执行文件、删除文件、修 (略) 修复。可以灵活 (略) 安全检查和修复。（提供功能截 (略) 公章）

终端安全修复

能够提供多种修复方式， (略) 修复、自动修复。

攻击威胁检测

攻击检测类别

支持超过 * 条攻击检测库信息，至少包括如下类别：DOS攻击类(DOS)、弱点利用类(EXPLOIT)、恶意代码类(MALWARE)、移动恶意代码类(MOBILE_MALWARE)、RPC攻击类(RPC)、扫描类(SCAN)、SQL攻击类(SQL)、木马类(TROJAN)、蠕虫类(WORM)

攻击检测方法

#无需安装客户端， (略) 络流量监 (略) 流量采集

攻击检测展示

#能够通过多种方式对攻击检 (略) 展示，至少包括：动态云图、攻击信息列表、攻击统计信息。（提供功能截 (略) 公章）

资产管理

资产管理

(略) 计算机上安 (略) 统计，可以按照名称、许可状态提供精确查询以及软件资产报表的导出。

可对 (略) 授权数量和使用数量的统计、管理。

能够通过多 (略) 终端 (略) 统计。包括：每台终端的硬件信息列表，每 (略) 对应的终端。

资产变动

准入设备能够针对软硬件资产变动、资产异常情况提供了丰富多样的报警方式，便于管理员及时迅速了解资产信息。

变动确认

#支持管理员对每 * 条软 (略) 确认操作，已确认的条目显示已确认， (略) 确认操作的确认人。对变动和变 (略) 报表统计（提供功能截 (略) 公章）；

资源

管理

软件检查

通过安全检查检测终端软件安装、使用状态

为终端指定修复的安装 (略) 络站点

软件产品授权， (略) windows、office、WPS产品 (略) 检查

IP地址管理

提供IP地址分配矩阵图。

可以通过组织架构为维度查看IP地址分配矩阵图

能够直接、快 (略) 终端历史上线、下线、在线时长等详细的IP使用情况。

能耗管理

提供未关机终端自动统计功能， (略) 门、时间段等条件生成统计报表。

能够对设备类型、 (略) 统计设置

运维

管理

移动终端管理

支持移动终端专用平台管理页面，方便使用平板、 (略) 准入设备基本操作。

#可实现设备快速定位、设备审核、实时报警监控、小助手确认码生成、准入控制器管理、平台基本信息、关机与重启（提供功能截 (略) 公章）

管理角色控制

准入设备须采用系统管理员、安全管理员、审计员 * 权分立机制，防止单个角色管理者权限滥用。

网络诊断工具

#支持通过Web (略) ping、抓包、traceroute、nslookup等功能，并可以设置 (略) 相关调试。

软件分发

准入设备应具有 (略) 署功能，管理员可以预定义软件分发的路径、运行参数、 (略) 等任务策略， (略) 署效率。

能够自动判断并统计软件分发、部署的成功率，支持进程、注册表、文件等多种参数的组合判断。

报警

报表

管理

安全管理报表

能够支持自定义多个不同的报表模板；

准入设备后台 (略) 报告、 (略) 报告、 (略) 报告。

报警信息

支持系统报警、网络报警、终端报警等报警类型，超过 * 种以上自定义报警类型。

#支持报警信息通过Syslog、邮件、 (略) 输出。

第 * 方产品联动

支 (略) 行为管理系统深度联动， (略) 准入、准出的全面安全管理体系。

支持与国内外主流U-Key联动认证，终端可以使用UKEY认证。

产品要求#

(略) 《计算机信息系统安全专用产品销售许可证，提供证明复印 (略) 公章。

中国国家信息安全产品认证证书，提供证明复印 (略) 公章。

项 (略) 质保

厂商针对本项目出具的授权 (略) * 年质保和售后服务承诺书 ， (略) 家公章

项目名称

系统名称

预算金额

(人民币)

简要技术要求

等保测评项目

两个第 * 级（综合办公系统、慢病信息化管理系统）、 * 个第 * 级（公共卫生检测服务平台）

* 万元

服务内容：本项目采购的信息安全服务包括：网络安全等级保护备案、 (略) ，安全培训等。

序号

安全子类

测评指标描述

1

物理位置选择

通过访谈物理安全负责人，检查机房，测 (略) 所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。

2

物理访问控制

通过访谈物理安全负责人，检查机房出入口等过程，测评信息系统在物理访问控制方面的安全防范能力。

3

防盗窃和防破坏

通过访谈物理安全负责人，检查机房内的主要设备、介质和防盗报警设施等过程，测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。

4

防雷击

通过访谈物理安全负责人，检查机房设计/验收文档，测评信息系统是否采取相应的措施预防雷击。

5

防火

通过访谈物理安全负责人，检查机房防火方面的安全管理制度，检查机房防火设备等过程，测评信息系统是否采取必要的措施防止火灾的发生。

6

防水和防潮

通过访谈物理安全负责人，检查机房及其除潮设备等过程，测评信息系统是否采取必要措施来防止水灾和机房潮湿。

7

防静电

通过访谈物理安全负责人，检查机房等过程，测评信息系统是否采取必要措施防止静电的产生。

8

温湿度控制

通过访谈物理安全负责人，检查机房的温湿度自动调节系统，测评信息系统是否采取必要措施对机房内 (略) 控制。

9

电力供应

通过访谈物理安全负责人，检查机房供电线路、设备等过程，测评是否具备为信息系统提供 * 定电力供应的能力。

*

电磁防护

通过访谈物理安全负责人，检查主要设备等过程，测评信息系统是否具备 * 定的电磁防护能力。

序号

安全子类

测评指标描述

1

网络架构

(略) (略) 段划分、隔离等情况的合理性和有效性。

2

通信传输

测评通信过程中的完整性、保密性等。

3

可信验证

基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等 进行可信验证，并在应用程 (略) (略) 动态可信验证。

序号

安全子类

测评指标描述

1

边界防护

测评分 (略) 络边界安全防护的状况。

2

访问控制

测评分析 (略) 络区域 (略) 络隔离与访问控制能力。

3

入侵防范

测评分析信息 (略) (略) 理情况。

4

恶意代码和垃圾邮件防范

测评分 (略) 络 (略) 段对病毒等恶意代码及垃圾邮件的防护情况。

5

安全审计

测评分析信息系统审计配置和审计记录保护情况。

6

可信验证

基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等 进行可信验证，并在应用程 (略) (略) 动态可信验证。

序号

安全子类

测评指标描述

1

身份鉴别

检查服务器的身份标识与鉴别和用户登录的配置情况。

2

访问控制

检查服务器的访问控制设置情况，包括安全策略覆盖、控制粒度以及权限设置情况等。

3

安全审计

检查服务器的安全审计的配置情况，如覆盖范围、记录的项目和内容等；检查安全审计进程和记录的保护情况。

4

入侵防范

检查 (略) 过程中的入侵防范措施，如关闭不需要的端口和服务、最小化安装、部署入侵防范产品等。

5

恶意代码防范

检查服务器的恶意代码防范情况，如服务器是否安装统 * 管理的恶意代码防范软件，是否及时升级病毒库等。

6

可信验证

基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等 进行可信验证，并在应用程 (略) (略) 动态可信验证。

7

数据完整性

测评操作系统、数据库管理系统的管理数据、鉴别信息和用户数据在传输和保存过程中的完整性保护情况。

8

数据保密性

测评操作系统和数据库管理系统的管理数据、鉴别信息和用户数据在传输和保存过程中的保密性保护情况。

9

数据备份恢复

测评信息系统的安全备份情况，如重要信息的备份、硬件和线路的冗余等。

*

剩余信息保护

测 (略) 在的存储空间被释放或重新分配前是否得到完全清除。

*

个人信息保护

测评是否仅采集和保存业务必需的用户个人信息；是否禁止未授权访问和使用用户个人信息。

序号

安全子类

测评指标描述

1

系统管理

测评信息系统的系统管理员对系统的管理情况。

2

审计管理

测评信息系统的安全审计员对系统的审计情况。

3

安全管理

测评信息系统的安全管理员对系统的安全策略的配置情况。

4

集中管控

(略) 络链路、安全设备、网络设备和服务器 (略) 状况的集中监测、分析、报警等。

序号

项目阶段

文档产出

1

项目准备

《项目计划书》

2

《基础信息调研表》

3

《选用项目实施工具清单》

4

定级备案

《信息系统定级报告》

5

《信息系统备案表》

6

《专家评审意见》

7

《信息系统备案证明》

8

项目方案编制

《测评实施方案》

9

初测评（差距分析和渗透漏扫）

《信息系统差距分析报告》

*

《信息系统出测评报告》

*

《渗透测试报告》

*

《安全配置核查记录》

*

《工具测试扫描记录》

*

《漏洞扫描报告》

*

《安全问题分析汇总及整改建议》

*

《 (略) (略) 环境的安全分析报告》

*

整改阶段

《信息系统安全整改设计方案》

*

《系统安全加固方案》

*

《安全管理制度文件》修订版

*

《安全 (略) 记录》

*

等级测评

《现场测评结果记录》

*

《等级保护测评报告》

*

项目验收

《验收报告》

序号

信息系统名称

业务信息安全保护等级定级

1

公共卫生检测服务平台

第 * 级

2

综合办公系统

第 * 级

3

慢病信息化管理系统

第 * 级

序号

服务综述

服务名称

服务内容

工作成果

* 个 * 级系统报（元）

* 个 * 级系统报价（元）

1

网络安全等级 (略) 服务

(略)

系统梳理；编写定级报告和基础信息调研表；

协助邀请专家，召开等级保护定级专家评审会；协助整理定级备案材料，完成正式的定级备案等工作。

《定级报告》

《备案证明》

《定级评审会相关材料》

漏洞扫描

对被测系 (略) (略) 全面的漏洞扫描服务，针对发现的问题协助开展安全加固整改工作。

《漏洞扫描报告》

等级保护差距分析

根据等级保护相应级别的基本要求对被测系统从物理环境、网络、主机、应用和数据以及管理等 (略) 差距分析，明确被测系统安全现状与等级保护要求之间的差距。

《差距分析报告》

安全整改和加固

依据等级保护差距分析、漏扫结果最终编制等级保护整改方案，对被测系统提出整改和加固建议，并为安全整改和加固工作提供指导。

《等级保护整改方案》

制度、 (略)

(略) 络安全等级保护相关标准，梳理被测评系统现有安全管理制度和文档， (略) 络安全等级保护相关的制度、规定和流程等。

安全制度、规定和流程的梳理和制定

信息安全等级保护测评

(略) 络安全等级保护相关标准，在对被测系统充分了解、准确掌握被测系统相关安全情况的基础上，通过安全 (略) 络安全等级保护测评工作并出具《等级保护测评报告》。

《信息系统安全等级保护测评报告》

等级保护工作支持

为 * 方在等级保护工作 (略) 支持。

(略) 支持

序号

服务综述

服务名称

服务内容

工作成果

总价（元）

1

信息系统

(略)

安全

方案制订

依据信息安全相关要求和标准，在深入了解目标信息系统前提下，对 (略) 信息安全规划。本次为 * 个应用系统安全规划的报价。

《信息系统安全建设方案》

专家评审

(略) 络安全等级保护等领域专家，对目标系统相关建设方案在信息安全方面提供专家评审。本次为 * 个应用系统安全评审的报价。

《专家评审意见》

2

信息

安全培训

信息安全培训

(略) (略) 络安全培训。培训 (略) 络安全等级保护最新体系和要求，风险评估最新体系及要求，信息安全保障体系 (略) 络现状， (略) (略) 研判，对最新的 (略) 介绍等。本次为每年 * 次安全培训的报价。

《培训

方案》

项目名称

预算金额

(人民币)

简要技术要求

信息系统安全等级保护建设及测评（网络安全设备采购）

* . * 万元

通过采购数据库审计、日志审计、网闸、堡垒机、入侵检测、灾备 * 体机、 (略) 关、APT攻击检测、实施设备集成和安全策略优化，使 (略) 区疾 (略) 单位两个第 * 级（综合办公系统、慢病信息化管理系统）、 * 个第 * 级（公共卫生检测服务平台）达到相应的等级保护要求，通过相应的等级保护测评， (略) 络安全法、网络安全等级保护管理办法等法律、法规的要求。

序号

货物名称

主要配置、参数

单位

数量

应用地点

1

数据库审计设备

标准机架式硬件设备，含单交流电源，2*USB接口，1*RJ * 串口，1*GE管理口，6*GE电口，1个接口扩展槽位，2T SATA硬盘。包含数据库审计功能，包含产品安装、调试、培训， (略) 软件升级及硬件质保。

套

1

(略) (略)

2

日志审计系统

标准机架式设备，含交流冗余电源模块，2*USB接口，1*RJ * 串口，2*GE管理口，4个千兆电口，3个接口扩展槽位，4TB SATA硬盘，授权接入 * 个日志源。包含产品安装、调试、培训， (略) 软件升级及硬件质保。

套

2

(略) (略) 、 (略)

3

安全隔离与信息交换系统（网闸）

标准机架式硬件设备，采用双主机架构， (略) 各6个千兆电口，共2个RJ * 串口和4个USB2.0口，冗余电源， * Mbps吞吐量， (略) 功能模块。含安装、调试、培训；原厂3年升级服务、原厂3年维保服务。

套

1

(略) (略)

4

堡垒机（安全运维管理系统）

标准机架式硬件设备，含单交流电源，2*USB接口，1*RJ * 串口，1*GE管理口，4*GE电口，2T SATA硬盘， (略) 络接口扩展槽。授权管理 * 台设备。含安装、调试、培训；原厂3年升级服务、原厂3年维保服务。

套

2

(略) (略) 、 (略)

5

网络入侵检测系统

标准机架式设备，含交流冗余电源模块，2*USB接口，1*RJ * 串口，1*RJ * 管理口，6*GE（Bypass）接口，1个接口扩展槽位。1TSATA硬盘。含入侵防护特征库 * 年升级服务，包含产品安装、调试、培训， (略) 软件升级及硬件质保。

套

1

(略) (略)

6

灾备 * 体机

标准机架式设备；4个磁盘槽位3.5" SAS、SATA磁盘接口；配4块4TB企业级硬盘；Intel (略) 理器； * G高速缓存；RAID支持1、5、6、 * 模式；双端 (略) ；4个智能冷却风扇模块；1个PCIE扩展插槽；包含X * /虚拟机的整机备份、文件备份、数据库备份功能、提供备份文件验证功能、可开启 * 个虚拟化验证主机，提供备份数据去重与合并功能、提供WindowsSever、windows和linux备份代理程序，提供无系统X * /虚拟机/云主机裸机、WindowsSever、linux、windows还原代理、可实现单/批量文件恢复和下载、提供异构主机间的全量和快速灾难恢复功能，支持异地远程复制容灾功能、备份数据归档功能；8T备份容量授权；CDP实时备份授权，且不限制客户端个数；系统应急接管容灾功能授权；含安装、调试、培训；原厂3年升级服务、原厂3年维保服务。

套

1

(略) (略)

7

(略) 关

最大支持加密流量（Mbps）： * ，授权支持并发用户数： * ，IPSec加密最大流量（Mbps）： * ，设备整机最大吞吐量： * Mbps，设备整机最大并发会话数： * w。 硬件参数：内存大小：2G，硬盘容量： * G minisata SSD，电源：单电源，接口：4千兆电口。含安装、调试、培训；原厂3年升级服务、原厂3年维保服务。

套

1

(略) (略)

8

未知威胁防御系统（APT攻击检测系统）

标准机架式设备，含交流电源模块，设备吞吐性能 * Mbps，内存大小 * G，硬盘容量2TB SATA，6千兆电口+2千兆光口SFP。设备定位为客户的APT防护 * 体机， (略) 络行为，及时检测和响应。含安装、调试、培训；原厂3年升级服务、原厂3年维保服务。

套

1

(略) (略)

要求类别

功能及技术描述

硬件指标★

系统应为标准式机架硬件设备，全内置封闭式结构，具有国产化的操作系统、硬件平台

接口要求：千兆电口≥6个，1个扩展插槽，可支持扩展4千兆光口或4千兆电口

硬盘存储空间≥2T，内存≥ * G

性能指标★

(略) 理能力≥ * 0条/秒， (略) 络吞吐量：峰值≥ * Mbit/秒。

数据库类型

支持主流国产化数据库：DM、Oscar、Kingbase、Gbase，HighGo DB以及Oracle、SQL Server、MySQL、DB2、Sybase、PostgreSQL、Informix、、Hbase、MongoDB、HIVE、Redis、Cache

部署方式

(略) 署模式下无须在被审计数据库系统上安装任何代理即可实现审计

#支持在目标数据库安装Agent解决无法通过旁路镜像 (略) 景， (略) 署数据库和应用系统、云环境、 (略) 景下数据库的审计，需提供web界面功能截图。

审计能力

支持在IP (略) 署， (略) 有数据库IPV6协议的审计。

#通用 (略) 规则集，通过分配和指定作用于特定审计对象，非通用规则置于具体审计对象中，需提供web界面功能截图。

# (略) 为基线包括数据库账号、访问终端及 (略) 为特征，需提供web界面功能截图。

#对超出 (略) 为基线的操作可自动识别，并采取记录、告警及阻断措施，需提供web界面功能截图。

支持数据库请求和返回的双向审计，特别是返回字段和结果集、执行状态、 (略) 数、执行时长等内容，支 (略) 数和内容大小控制返回结果集大小。

会话的终端信息：IP、MAC、Port、工具名称（程序名）。

会话的主机信息、IP、MAC、Port、数据库名（实例名）。

会话的其它信息：登录时间、会话时长。

操作信息：操作类型（DDL、DML、DCL等）、操作时间、执行时长、操作成功与失败、操作对象（表、函数、存储过程名称）、SQL语句。

操作影响范围信息：查询、修改、删除 (略) 数, (略) 数。

#审计要素： (略) 人、执行内容、执行时间、执行地点、执行方式、影响范围、执行结果等要素审计，需提供web界面功能截图。

支持以完全精确方式，审计到应用端相关信息，包括应用用户等。

#支持MySQL数据库的SSL/TSL加密链路审计，需提供web界面功能截图。

#能对基于数 (略) (略) 为监测和告警，默认支持 * 个以上的数据库漏洞攻击规则库，需提供web界面功能截图。

告警能力

#支持风险语句告警策略。（黑白名单效果），需提供web界面功能截图。

自定义添加风险语句和可信语句（黑白名单效果）；

根据风险操作、SQL注入、漏洞攻击检测、语句管理等模块定义告警规则。

审计结果展示查询

操作记录的信息：审计结果中包括：告警级别、事件发生时间、客户端IP、目标数据库IP、操作类型、客户端MAC地址、客户端端口号、返回状态、结果信息、 (略) 命令等详细信息内容。

#对审计结果集敏 (略) 屏蔽，需提供web界面功能截图。

对详细信息中的SQ (略) 客户化翻译。

支持客户单IP建立别名。

报表统计分析

支持定时自动生成报表，并发送到指定邮箱。

#风险分析：根据风险语句、sql注入、漏洞攻击、风险操作等维度以时间维度统计数据库分析信息。支持规则命中查询、支持风险查询，需提供web界面功能截图。

#会话分析：基于客户端IP、数据库用户、访问程序统计会话、支持会话检索；失败会话和并发会话统计；支持应用层关联会话查询，需提供web界面功能截图。

支持风险语句挖掘和超链接钻取。

基于总体概况、性能、会话、语句、风险多层面展现报表，支持图表结合展现，支持柱形图、饼状图、条形图，双轴折线图等多种统计图展现形式。

#语句分析：基于SQL语句的操作类型统计，支持失败sql统计、Top sql统计；支持针对新型语句、语句审计模板检索，需提供web界面功能截图。

#支持报表自定义，自定义项不少于 * 种，需提供web界面功能截图。

数据维护

支持自动备份数据到FTP服务器，可设置FTP服务器地址、备份开始时间、时间间隔等。

支持基于阈值的日志自动清理能力。

支持手动清理日志信息。

产品安全性

根据 * 权分立的原则。提供系统管理员、安全管理员和审计管理员不同的用户身份验证。系统针对产品操作 (略) (略) 审计记录，可以由审 (略) 查询，具有自身安全审计功能。提供审计数据管理功能，能够实现对审计数据的自动备份、删除和导入。

#产品资质

信息系统安全专用产品销售许可证，提供证书复印件；

中国国家信息安全产品认证证书（ISCCC），提供证书复印件；

网络 (略) 络安全专用产品安全认证（增强级），提供证书复印件；

国测信息技术产品安全测评证书-EAL3+，提供证书复印件；

IPv6 Ready Logo认证证书，提供证书复印件；

#厂商资质

厂商应具备足够的信息安全服务技术实力及安全服务保障能力，获得中国信 (略) 颁发的信息安全服务安全工程类 * 级资质证书，提供证书复印件。

为保障技术可靠性， (略) 商具备CMMI L5认证证书，提供证书复印件。

厂商应具备足够的信息安全服务技术实力及安全服务保障能力，获得中国信 (略) 颁发的信息安全服务安全开发类 * 级及以上资质证书，提供证书复印件。

(略) 络安全应急服务支撑单位， (略) 络安全应急服务支撑单位证书（国家级），提供证书复印件。

(略) 商应是微软MAPP（Microsoft Active Protection Program）计划战略 (略) 伙伴， (略) 页截图。

项 (略) 质保

厂商针对本项目出具的授权 (略) * 年质保和售后服务承诺书 ， (略) 家公章

要求类别

功能及技术描述

硬件指标★

系统应为标准式机架硬件设备，全内置封闭式结构，具有完全自主知识产权的专用安全操作系统；

系统应支持冗余电源，避免电源硬件故障时设备宕机，提高设备可用性；

系统应至少包含1个RJ * 串口，2个GE口，1个CF卡，4个接口扩展槽位；

系统硬盘容量应不低于4TB，应支持扩容。

性能指标★

系统应默认支持审计 * 个以上日志源接入，应可扩展日志源接入数量；

系统应支持不低于每秒 * EPS (略) 理能力。

系统架构

系统支持软件版和虚拟化环境安装，支持本地认证、云端认证等授权方式；

系统应基于大数据平台架构，具备海量数据收集与快速检索能力；

系统应基于B/S架构，支持SSL加密模式访问，通过web方式直 (略) 管理；

(略) 闸、 (略) 景的日志采集。

日志采集

系统支持的数据采集范围包 (略) 络安全设备、交换设备、路由设备、操作系统、应用系统等。

系统支持的数据采集方式包括但不限于SYSLOG、RSYSLOG、SNMP Trap、FTP、ODBC、JDBC、Net flow、WMI、 * 进制数据、专用Agent等方式采集日志。

系统支持 (略) 家包括但不限于：Venustech(启明星辰)、Topsec(天融信)、DBAPPSecurit(安恒)、SANGFOR(深信服)、NSFOCUS(绿盟科技)、Hillstone( (略) 科)、东软、瑞星、 (略) 、网康、 (略) 神、Dptech(迪普)、 (略) 信、Imperva、Juniper( (略) 络)、F5、Symantec(赛门铁克)、Deep Security(趋势科技)、MaAfee(迈克菲)、Fortinet(飞塔)、Windows、Linux/Unix、Cisco(思科)、HUAWEI(华为)、H3C(华 * )、中兴、Apache、nginx 、IIS、WebLogic、Vmware、Kvm、Xen、OpenStack、Hyper-V、华为FusionSphere、Oracle、MySQL、PostgreSQL、SQL Server、Bind等。

日志管理

系统应能实现海量日志数据的采集并保存原始日志数据，对异构 (略) (略) 理并 (略) 理后的日志数据。

#系统支持界面配置即可完成未识别日志接入，无需编写xml，需提供web界面功能截图。

#系统支持NAT环境下的 (略) 署模式，需提供web界面功能截图。

系统支持范式化日志多级提取。

系统支持正则、KV、格式串等多种灵活的提取方式。

系统支持自动生成正则以高效的辅助提取。

#系统应能够实现范式化日志的枚举值管理，实现对范式化日志字段的灵活翻译，需提供web界面功能截图。

系统应支持IPv4、IPv6日志数据的采集、范式化、分析、展示。

#系统应支持日志源监控能力，包括采集器维度及资产维度的监控，资产维度支持展示资产详细信息，需提供web界面功能截图。

日志转发

系统应提供日志转发功能，应支持日志转发多个目标地址，可实现原始日志、范式化日志的转发，且不丢失原始日志源IP信息。

日志备份恢复

系统应支持按类型、按日期(天)，手动、自动备份日志。

系统应支持设置日志存储备份策略，可设置备份周期、备份日志类型。

系统应支持备份日志导入查询。

系统应支持日志备份远程服务器，如传送到FTP服务器。

#系统应支持日志存储扩展， (略) 络共享存储扩展，需提供web界面功能截图。

日志查询分析

系统应支持实时日志查询、历史日志查询。

系统应支持原始日志、范式化日志查询。

系统应支持自定义查询规则。

#系统应支持全文检索、模糊检索、正则检索等多种方式，需提供web界面功能截图。

系统应支持日志检索结果存储为日志监控视图。

事件告警

#系统应内置事件分类，并支持自定义事件分类，可定义事件分类的风险级别，需提供web界面功能截图。

系统应内置丰富的事件规则，应支持自定义事件规则。

#系统应支持多源事件关联分析能力，包括单源过滤模式、多源时序模式和多源关联模式，需提供web界面功能截图。

系统应支持基于事件分类的告警规则，支持短信、声音、邮件、界面提示等多种告警方式。

系统应支持告警抑制。

系统应支持查询实时事件，并可以很方便的下钻事件规则以及原始日志信息。

资产管理

系统应支持资产属性配置。

系统应支持资产标签，且至少6种标签以上，根据标签可快速查询资产。

系统应支持手工注册资产，支 (略) 修改/删除、批量导入/导出/添加/修改/删除等多种方式的管理。

系统应支持 (略) 资产发现。

#系统应支持资产以拓扑图形式展示，鼠标移动至资产图标可展示对应的资产信息，需提供web界面功能截图。

报表管理

系统应能够按照多种维度统计日志信息。

系统应支持统计分析报表与多种文件格式导出。

系统应能支持用户上传自定义报表模板。

#系统应能支持自定义报表目录、LOGO等，需提供web界面功能截图。

统计项管理

系统应支持生成折线图、趋势图、饼图、柱状图、表格等统计项。

#系统应支持统计项引用到报表，需提供web界面功能截图。

用户管理

系统应支持用户自定义账号。

系统应支持管理员、审计员、操作员多种权限设置。

系统应支持超时退出机制。

系统应支持来访IP限制，对暴力猜测 (略) 锁定。

系统自身安全性管理

系统应支持自身日志记录并可查询、自身CPU、内存和磁盘使用率可监控并以图形化方式动态显示，且支持状态监控和主动告警。

系统应支持系统基本参数管理、基本配置管理。

#产品资质

产 (略) 销售许可证

产品具有中国国家信息安全产品认证证书；

产品具有国家信息技术产品安全测评证书（EAL3+）；

以上均需提供相关证明材料。

#厂商资质

厂商应具备足够的信息安全服务技术实力及安全服务保障能力，获得中国信 (略) 颁发的信息安全服务安全工程类 * 级资质证书，提供证书复印件。

厂商应具备足够的信息安全服务技术实力及安全服务保障能力，获得中国信 (略) 颁发的信息安全服务安全开发类 * 级及以上资质证书，提供证书复印件。

为保障技术可靠性， (略) 商具备CMMI L5认证证书，提供证书复印件。

(略) 络安全应急服务支撑单位， (略) 络安全应急服务支撑单位证书（国家级），提供证书复印件。

(略) 商应是微软MAPP（Microsoft Active Protection Program）计划战略 (略) 伙伴， (略) 页截图。

项 (略) 质保

厂商针对本项目出具的授权 (略) * 年质保和售后服务承诺书 ， (略) 家公章

要求类别

功能及技术描述

系统架构

1、采用2+1系 (略) 单元+外网单元+FPGA专用隔离硬件。 (略) 线等形式直通。

2、采用基于linux内核的多核多线程专用安全操作系统，加固内核。

硬件指标★

标准机架式机箱，冗余电源，内网 6个GE接口，外网 6个GE接口，

2个RJ * 串口，4个USB2.0接口。

性能指标★

并发连接数> * 万

开关切换时间< * ns

系统延时< 1ms

无用户数限制

最大吞吐量≥ * Mbps

内置模块

系统内置安全浏览、文件同步、实时数据库、关系数据库、邮件模块、MODBUS、组播代理、用户自定义等应用模块,并可控制协议的的动作、参数、内容。

文件交换

支持Samba、FTP等多种文件协议， (略) (略) 、 (略) 、双向的文件传送。

支持病毒检测。

#支持对文件类型的黑白名单控制，根据文件 (略) 过滤，并且不依赖于文件扩展名，需提供web界面功能截图。

支持文件内容深度检测，对包含关键字内 (略) 过滤。

支持增量传输、传输后删除等传输策略。

支持目录内子目录同步，子目录级别不受限制。

支持文件交换容错和告警功能，交换出错能够自动重传，出现异常能够告警提示并记录日志。

可通过专用客户端或共享方式提供安全的文件同步功能。

视频应用

支持视频会议。

支持平台级联和视频点播功能。

支持RTP/RTCP、H * 等协议。

#符合GB/T * 1国家标准， (略) 商协议规范，需提供web界面功能截图。

#支持SIP信令控制，可控制云台，需提供web界面功能截图。

支持海康、大华、华为、华 * 、 (略) 、天地伟业、天视达、宇视、科达、数码视讯、藏愚、合众、 (略) 商。

关系型数据库

#支持Oracle、SQLServer、Mysql、Sybase、DB2、Postgresql等多种主流国外数据库的同步和国产达梦数据库、人大金仓数据库的同步，需提供web界面功能截图。

支持同构、异构数据库之间的同步，如Mysql同步至Oracle。

支持字段级数据同步，仅同步表中某几个字段。

支持BLOB、CLOB等大字段的同步。

# (略) 闸主动发起并完成，无需在数据库安装方软件，支持Windows、Linux、Unix 等多种数据库操作系统，且网闸无需开放端口以杜绝安全隐患，需提供web界面功能截图。

同时支持客户端方式，提供更高性能的数据库同步。

支持数据库同步实时日志记录，提供日志审计、查询。

邮件交换

支持SMTP、POP3协议。

支持病毒检测功能。

支持邮件地址、附件、主题、 (略) 过滤。

支持附件大小、附件格式控制；支持发件人、收件人过滤。

MODBUS模块

支持MODBUS协议，可按照用户需求控制具体功能代码及值域等参数，比如只允许读取，不能设置，只允许设置某 * 线圈的值在某个范围等。

实时数据库

支持实时数据库代理。

时间模式

#支持根据时间自动切换的安全策略。支持时间段以 * 小时制，支持以星期为周期，支持指定时间 (略) ；，需提供web界面功能截图。

诊断工具

#系统提供ping ,traceroute ,TCP端口探测、抓包等工具方便管理员在配置 (略) 络时排查问题，需提供web界面功能截图。

日志审计

系统可存储和审计包含：系统日志；管理日志；网络活动日志； (略) 理日志；访问控制日志。

双机热备

支持双机热备及多机热备功能，最大化的保障业务可用性。

声控报警

支持磁盘空间超过预定值时，产生蜂鸣器报警。

支持双机热备工作时蜂鸣器报警，备机接替主机工作时，备机产生周期性鸣笛报警；主机恢复工作后，备机停止工作，同时停止鸣笛告警。

#产品资质

1产品应具有中华人民 (略) 颁发的增强级《计算机信息系统安全专用产品销售许可证》，提供有效证书的复印件。

2产品应具有中华人民共和 (略) 颁发的《计算机软件著作权登记证》，提供有效证书的复印件。

3产品 (略) 安全与警用电子产 (略) 颁发的《软件测试报告》（符合GB/T 点击查看>> 6公共安全 (略) 系统信息传输、交换、控制技术要求），提供有效证书的复印件。

#厂商资质

厂商应具备足够的信息安全服务技术实力及安全服务保障能力，获得中国信 (略) 颁发的信息安全服务安全工程类 * 级资质证书，提供证书复印件。

厂商应具备足够的信息安全服务技术实力及安全服务保障能力，获得中国信 (略) 颁发的信息安全服务安全开发类 * 级及以上资质证书，提供证书复印件。

为保障技术可靠性， (略) 商具备CMMI L5认证证书，提供证书复印件。

(略) 络安全应急服务支撑单位， (略) 络安全应急服务支撑单位证书（国家级），提供证书复印件。

(略) 商应是微软MAPP（Microsoft Active Protection Program）计划战略 (略) 伙伴， (略) 页截图。

项 (略) 质保

厂商针对本项目出具的授权 (略) * 年质保和售后服务承诺书 ， (略) 家公章

要求类别

功能与技术描述

硬件指标★

机架式设备，单交流电源

≥1个RJ * 串口，≥1个GE管理口，≥4个GE电口，≥ (略) 络接口扩展槽，2T SATA硬盘

性能指标★

字符并发会话数≥ * 个，图形并发会话数≥ * 个。

默认支持管理设备≥ * 台，最大可管理设备数≥ * 台。

系统配置架构要求

采用物 (略) 署， (略) 络结构。

支持运维审计日志集中管理运维审计 (略) 署方式。

#支持双机冗 (略) 署，故障切换时间在秒级完成，不超过1秒钟，需提供web界面功能截图。

#数据配置支持手动和实时同步，数据配置同步时间分钟级完成，不超过2分钟，需提供web界面功能截图。

支持IP和端 (略) (略) 署，通过映射后的IP和端口信息能够访问堡垒机。

支持域名方式web访问到堡垒机，并支持托管设备运维操作。

为了保证运维人员的运维习惯，必须支持B/S浏览器登录运维以及C/S客户端统 * 接入两种方式的运维方式。无需安装客户端。

系统可自带应用平台发布服务器，内置多种数据库客户端工具。

# (略) 商同品牌防火墙组成联动方案，可单点登录堡垒机后直接运维托管设备，解 (略) 运维问题，需提供web界面功能截图。

用户权限管控要求

系统默认自带 * 权分立用户，系统管理员、运维管理员和审计管理员权限相互制约。

#用户登录堡垒机支持多种认证方式，包括本地静态密码认证、LDAP认证、RADIUS认证、证书认证、USBKEY认证、短信认证等身份认证方式；支持可知因素和不可知因素的双因素认证；需提供web界面功能截图。

运维审计功能要求

自动登录目标设备：运维人员不必知道目标设备帐号及密码， (略) * 次登录认证，实现单点登录。

手工登录目标设备：运维人员每次通过堡垒机登录目标设备都需要手工输入目标设备用户名密码。

半自动登录目标设备：即第 * 次登录目标设备时运维人员需手工输入目标设备帐号和密码并允许堡垒机保存该帐号密码，运维人员就可以自动登录目标设备

密钥登录方式：在登录目标服务器时，使用的是秘钥登录，而非密码。在既可以使用密码，又可以使用秘钥的环境，可以自由选择登录认证方式。

支持WEB调用本地客户端程序如putty,securecrt,xshell,winscp,xftp,mstsc等客户端单点登录堡垒机运维目标设备。

支持本地图形客户端程序，如mstsc、remmina等客户端直接访问堡垒机选取 (略) 运维。

支持本地字符客户端程序，如putty,xshell,securecrt,winscp,xftp等客户端直接访问堡垒机选取 (略) 运维。

#支持本地文件客户端程序，如winscp,xftp等客户端直接访问堡垒机选取 (略) 运维，需提供web界面功能截图。

支持批量导入/导出目标设备信息；可批量修改设备类型、IP、部门、登录方式、会话空闲时间等属性信息。

支持的协议

字符型远程操作协议：SSH(V1、V2)、TELNET，Rlogin。

图形化远程操作协议：RDP、VNC、X * ，并支持RDP和VNC运维下文件共享；可支持RDP、VNC的客户端直接访问堡垒机。

文件传输协议：FTP、SFTP、SCP、Samba；可支持客户端Wincp直接访问堡垒机。

支持达梦等国产数据库运维。

支持Oracle、MS SQL Server、IBM DB2、Sybase、IBM Informix Dynamic Server、MySql、PostgreSQL等数据库。

支持HTTP、HTTPS操作审计，HTTP/HTTPS协议可以直接代理。

应用发布

支持通过应用发 (略) 协议扩展，无需定制即可支持其他通用及专有的运维客户端程序（无SSO）。

支持内置应用发布服务器，可定制支持其他通用及专有的运维客户端程序（可SSO）。

(略) 为记录

#RDP协议运维可审计用户运维过程中键盘操作信息，审计内容包括时间和键盘输入信息，并 (略) 为关键字搜索定位录像回放，需提供web界面功能截图。

RDP协议运维可审计用户上 (略) 为，审计内容包括时间、操作文件和共享目录信息。

文件操作审计内容：包括访问起始和终止时间、用户名、用户IP地址、目标设备IP、设备名称、协议类型、事件等级、操作内容（如对文件的上传、下载、删除、修改等操作等）。

web服务器运维管控

可控制用户访问web服务器的url地址，防范运维人员违规访问web服务器

可控制用户上传/下载文件到web服务器。

#产品资质

(略) 销售许可证，提供证书复印件；

中国国家信息安全产品认证证书，提供证书复印件；

国家信息安全测评信息技术产品安全测评证书（EAL3+），提供证书复印件；

以上均需提供相关证明材料。

#厂商资质

厂商应具备足够的信息安全服务技术实力及安全服务保障能力，获得中国信 (略) 颁发的信息安全服务安全工程类 * 级资质证书，提供证书复印件。

厂商应具备足够的信息安全服务技术实力及安全服务保障能力，获得中国信 (略) 颁发的信息安全服务安全开发类 * 级及以上资质证书，提供证书复印件。

为保障技术可靠性， (略) 商具备CMMI L5认证证书，提供证书复印件。

(略) 络安全应急服务支撑单位， (略) 络安全应急服务支撑单位证书（国家级），提供证书复印件。

(略) 商应是微软MAPP（Microsoft Active Protection Program）计划战略 (略) 伙伴， (略) 页截图。

项 (略) 质保

厂商针对本项目出具的授权 (略) * 年质保和售后服务承诺书 ， (略) 家公章

要求类别

功能及技术描述

硬件指标★

系统应为机架式独立IPS硬件设备，全内置封闭式结构，具有完全自主知识产权的专用安全操作系统，稳定可靠。

系统需提供不少于1个GE管理口，1个RJ * 串口，6个GE电口，1个SLOT插槽（可选配：4电口、8电口、4千兆光口、8千兆光口）。冗余电源。

性能指标

产品性能不小于：网络吞吐量 * G，应用层吞吐量1Gbps，最大并发TCP会话 * 万，每秒新增TCP会话4万。

部署能力

系统应支持独立式多路IPS工作模式，各路IPS相互独立，可单独配置策略。

系统应支持VLAN * .1Q、BGP、MPLS、QinQ、PPPOE等封装协议的透传，能够适应 (略) 络环境。

入侵检测

#系统应提供覆盖广泛的攻击特征库， (略) 络病毒、蠕虫、间谍软件、木马后门、扫描探测、暴力破解等 (略) 检测和阻断，攻击特征库数量至少为 * 种以上。需提供web界面功能截图。

系统应支持多种抗逃避检测技术。

#支持基于SCADA等工控协议的相关漏洞攻击检测与防护。需提供web界面功能截图。

系统应能够有效抵御SQL注入、XSS注入、webshell等多种常见的应用层安全威胁，并可配置SQL注入白名单。

规则须支持按CVE、CNNVD、CWE、Bugtraq关联、查询和筛选。

系统 (略) 为特征的自定义接口，可根据用户需求定制相应的检测和阻断规则；支持以下自定义：名称、级别、协议类型、协议类型、包长度、正则表达式定义关键字；支持IP\TCP\UDP\ICMP\HTTP\POP3\SMTP\MSN\QQTCP\\QQUDP\FTP等协议的规则自定义。

防病毒能力

支持流式防病毒，且病毒库在 * 万以上 防病毒；具有防病毒能力，支持HTTP、FTP、SMTP、POP3、IMAP、NFS、SMB2、工控（IEC- * 0、IEC * 0）等协议。

支持病毒文件样本留存，并可导出用于跟踪分析。

支持防病毒库实时更新，实 (略) 署、应对热点突发病毒，

数据泄露防护

系统应提供服务器异常告警功能，可以自学习服务 (略) 为，并以此 (略) 服务 (略) 为。

#系统应提供敏感数据保护功能，能够识别、阻断通过自身的敏感数据信息（身份证号、银行卡、手机号等）需提供web界面功能截图。

#系统应提供关键文件保护功能，能够识别、阻断通过自身的关键文件，以防 (略) 为。能识别的关键文件类型应包含至少以下几类：文档类如Excel、PDF、PowerPoint、Word等，压缩文件类如CAB、GZIP、RAR、ZIP、JAR等，图像类如BMP、GIF、JPEG等，音频视频类如MP3、AVI、MKV、MP4、MPEG、WMV等，脚本类如BAT、CMD、WSF等，程序类如APK、DLL、EXE、JAVA_CLASS等。需提供web界面功能截图。

系统应提供URL分类库， (略) 页过滤数据库，实现高风险、 (略) 过滤。

DOS防御

系统应提供DoS/DDoS攻击防护能力，支持TCP/UDP/ICMP/ACK Flooding，以及UDP/ICMP Smurfing等常见的DoS/DDoS的攻击。

支持基于阈值和自学习检测。

服务器异常防护

#系统应提供服务器异常告警功能，可以手动添加或自学习 (略) 为，并以此为基线检测服务 (略) 为。需提供web界面功能截图。

未知威胁防护

#支持提供恶意软件分析服务、对未知可疑文件统计。需提供web界面功能截图。

#支持与本地沙箱的联动配置。需提供web界面功能截图。

响应能力

系统应提供丰富的响应方式，包括：会话阻断、IP隔离等功能，满足用户各种响应需求。

#系统应具备攻击快照功能，详细记录触发告警的数据特征，以便做进 * 步的事件分析。需提供web界面功能截图。

#产品资质

(略) 销售许可证；

国家信息安全测评信息技术产品安全测评证书-EAL3+；

网络 (略) 络安全专用产品安全认证证书；

国家信息安全漏洞库CNNVD兼容性证书；

以上均需提供相关证明材料。

#厂商资质

厂商应具备足够的信息安全服务技术实力及安全服务保障能力，获得中国信 (略) 颁发的信息安全服务安全工程类 * 级资质证书，提供证书复印件。

厂商应具备足够的信息安全服务技术实力及安全服务保障能力，获得中国信 (略) 颁发的信息安全服务安全开发类 * 级及以上资质证书，提供证书复印件。

为保障技术可靠性， (略) 商具备CMMI L5认证证书，提供证书复印件。

(略) 络安全应急服务支撑单位， (略) 络安全应急服务支撑单位证书（国家级），提供证书复印件。

(略) 商应是微软MAPP（Microsoft Active Protection Program）计划战略 (略) 伙伴， (略) 页截图。

项 (略) 质保

厂商针对本项目出具的授权 (略) * 年质保和售后服务承诺书 ， (略) 家公章

序号

指标项

需求描述

1

配置要求★

机架式设备；4个磁盘槽位3.5" SAS、SATA磁盘接口；配4块4TB企业级硬盘；Intel (略) 理器； * G高速缓存；RAID支持1、5、6、 * 模式；双端 (略) ；4个智能冷却风扇模块；1个PCIE扩展插槽；裸容量空间≥ * T

2

灾备系统兼容性

支持对X * 架构下的物理机、虚拟机、超融合、私有云和公有云提供统 * 的将主机的操作系统、应用系统、数据库和数据作为 * 个整体的、基于磁盘数据块复制技术的 * 致性灾备保护，安装、卸载、备份过程不需要重启动的业务系统，对虚拟机和云主机提供CDP实时数据保护且备份时间粒度最小可达微秒级；

#不需区分业务系统的类型、部署方法、业务系统间的数据交互机制、数据结构/逻辑关系和数据库的品牌/版本等，Windows Sever * 及以上和Linux2.6. * 及以上操作系统上分别采用统 * 的agent的对任意应用系统和数据提供整机灾备保护，实现对现有及未来新上业务系统的保护兼容性；（需提供截图证 (略) 商公章）

#支持SQL Server、Oracle、Sybase、Exchange Server、MongoDB、Lotus Notes/Domino、DB2、MySQL、 AD等 国产数据库包括达梦数据库、神通数据、南 (略) 用、人大金仓和Gbase等数据库的数据备份与恢复;（需提供截图证 (略) 商公章）

#对Oracle Rac数据库系统、配置、日志及数据实现整体、 * 致的定时和CDP持续数据保护；（需提供截图证 (略) 商公章）

能够对WindowsXP/7/8/ * 操作系统主机提供整机 * 致的灾备保护，按照策略实现历史时间点的整机回滚恢复；

3

灾备系统功能

支持多台灾备系统本地、异地之间的数据同步，可 (略) 配置复制频率，可对同步频率、存储保留时间策略、备份点数量策略、传输是否加密和带宽 (略) 设置；

提供文件恢复和卷恢复功能，可直接恢复指定的文件和卷；

数据传输采用加密技术，灵活的完整备份和增量备份策略，支持数据重删和断点续传；

4

应急接管功能#

无需额外服务器、 (略) 署虚拟化系统、无需停止对原机的数据备份，即可配置多个应急接管业务虚拟机同时接管多个业务系统，全Web操作完成虚拟机创建、接管备份点的选取、IP和路由配置、虚拟机开机等接管业务的全流程，可为应急接管主机提供CDP保护，新增的数据可形成增量备份点或CDP保护点；（需提供截图证 (略) 商公章）

5

热备功能#

支持在任意品牌/技术/芯片组的X * 物理机、虚拟机和云主机之间配置整机热备HA架构，备机和原机实时数据同步，原机故障时可秒级业务切换到备机保障业务服务的连续性，且具备数据历史点回切能力；（需提供截图证 (略) 商公章）

6

灾备系统备份点可靠性验证#

管理员可将选定的备份点加载为CIFS (略) 络共享在WEB浏览器中访问，也可在灾备系统中自建隔离私有虚拟化验证系统，无需停止备份任务可将选定验证的备份点整机启动，模拟真实生产环境登录系统验证备份的可靠性和 * 致性；（需提供截图证 (略) 商公章）

7

灾备演练和灾难重建#

提供异构目标机间、无预置灾备演练或灾难重建环境（目标机无操作系统、目标机和原机操作系统不 * 致、目标机无应用系统、目标机无数据库等）可即时开展的整机灾难演练或灾难重建，在灾备系统的Web控制台上为目标机做差异硬件驱动配置、系统IP/路由配置和脚本配置等各种必要的配置，无需逐步手工安装、配置操作系统、应用系统、数据库，实现任意品牌/技术的X * 服务器、虚拟机和云主机之间的异构、整机、自动化灾难重建， (略) 络环境中无论数据量大小可 * 分钟内将灾备点应用系统重建至异构主机上并实现系统服务恢复；（需提供截图证 (略) 商公章）

8

安全运维管理

具备系统管理员和业务管理员双管理员角色，用户可设定字母+数字组合复杂登录密码，支持配置登 * 超时锁定策略、登录失败锁定，支持密码时限配置，最大限度确保系统安全；

中文界面，基于https的WEB管理模式实现业务管理员管理、存储管理、备份任务管理、远程复制管理及权限管理等，支持以邮件告警的方式对备份存储系统的软件故障、存储空间、备份任务、操作状态等提供通知；

9

平台安全性

存储备份系统的专用嵌入式操作系统维护后台采用动态口令机制，动态口令由设备 (略) 口令组成，原厂口令随着设备管理员的改密码操作而变化，确保灾备系统后台不被非法登入；

*

异地容灾#

(略) 提供云端备份数据和应用的仿真验证演练、云上应用级容灾，出口带宽不低于 * M及相关服务承诺函；（提供相关服务承诺函并加盖 (略) 公章）；

(略) 的运营单位需提供具有中华人民共和国增值电信业务经营许可证、 (略) (略) 络环境安全等级保护备案 * 级、 (略) 场地基础设施A评价证书、ICP许可证及ISO * 1业务联系性管理体系认证（提供 (略) 相关资质证明并加盖 (略) 公章）；

*

资质要求#

产品为自主研发产品，非OEM，提供《计算机软件著作权登记证书》复印 (略) 公章；

提供产品计算机信息系统安全专用产品销售许可证，证书复印 (略) 公章。

(略) 商ISO * 体系认证，证书复印 (略) 公章。

*

项 (略) 质保

厂商针对本项目出具的授权 (略) * 年质保和售后服务承诺书 ， (略) 家公章

技术指标

指标要求

性能要求★

标准机架式设备，标配千兆电口≥4个，SSL VPN加密流量≥ * Mbps， 理论最大SSL VPN并发用户数≥ * 个 ，实配不少于 * 个SSL并发接入授权，标配单电源。

基本特性

专业VPN设备，采用标准SSL、TLS 协议，同时支持IPSec VPN、SSLVPN两种VPN，非插卡或防火墙带VPN模块设备；

支持PC终端使用包括Windows * 、Windows8、Windows7、Windows Vista、Windows xp、Mac OS、Linux 等主流操作系统来登录SSLVPN系统，并完整支持该操作系统下的各种IP层以上的B/S和C/S应用；支持Windows、IOS、Android、塞班、黑莓等操作系统的智能手机、PDA、平板电脑（PAD）等移动终端的SSL VPN接入，或通过PPTP、L2TP VPN方式接入；

#支持终端使用包括IE6、7、8、 * 、 * 或其他IE内核的浏览器，以及最新版本的非IE内核浏览器，如Windows EDGE，Google Chrome， Firefox，Safari，Opera最新版登录SSLVPN系统，登录后可完整支持各种IP层以上的B/S和C/S应用；（需提供相关功能截图证明并加盖公章）

产品应支持国际通用标准的密码算法，包括：AES、DES、3DES、DH、RSA、RC4、MD5、SHA1等；

易用性

可支持虚拟门户功能，在 * 台设备上配置不同的访问域名、IP地址，以及不同的使用界面，实现 * 台设备为多个不同用户群体服务的的使用效果；

支持断线重连自动技术，防止用户误操作关闭浏览器导致VPN隧道断开；防止 (略) (略) 络正常切换时VPN隧道断开；

支持智能递推技术，针对多 (略) (略) 动态嗅探页面内的链接并完成资源自动授权，防止资源漏访；支持Web参数修正，可针对Flash、Java、Applet、或视频 (略) 引用 (略) 修正，避免无法播放的问题；

#产品应提供环境检测、自动修复工具，支持对Windows的环境兼容性 * 键检测能力，以及对 (略) * 键修复的能力，避免由于用户操作系统环境存在问题影响SSL VPN的使用，减轻运维工作。（需提供相关功能截图证明并加盖公章）

终端安全

产品必须支持防中间人攻击，产品可在用户登录SSLVPN时智能判断存在 (略) 为，断开被攻击的连接，并可提示异常现象；

支持客户端注销 (略) 有缓存、Cookies、浏览器历史记录、保存的表单信息，实现零痕迹访问；

支持VPN专线功能，可配置用户在接入SSL VPN的同时，断开与Internet其他连接；

权限、服务器安全

产品应具有用户/用户组细粒度的权限分配功能：可以针对被访问资源的IP地址、端口、提供的服务、UR (略) 权限控制；针对同 * B/S资源，可对不同用户做到细致到URL级别的授权；

产品应具有角色授权机制，支持在用户组的基础上，根据角色的不同，组合关联不同的资源权限；

支持主从认证账号绑定，必须实现SSL VPN账号与应用系统账号的唯 * 绑定，VPN资源中的系统只能以指定账号登 * ，加强身份认证，防止登录SSL VPN后冒名登录应用系统；

身份认证

产品必须支持Local DB 、USB KEY、短信认证、硬件特征码、动态令牌、数字证书认证、LDAP、RADIUS、等认证方式；可针对用户/用户组设置认证方式的与、或组合， (略) 用户名/密码、LDAP、USB KEY、硬件特征码、短信认证或动态令牌的 * 因素捆绑认证；

(略) 必须支 (略) ，便于数字证书认证平台搭建；

单台VPN设备可扩展同时支持5套以上CA根证书；

高速性

必须支持至少4 (略) 多线路配置；并 (略) 署模式下，多线 (略) 关，仅依靠SSLVPN设备同样可实现SSLVPN接入用户的多线路自动优选功能；

#支持HTP快速传输协议，大幅优化无线环境（CDMA、GPRS、WIFI、3G）、高丢包、 (略) 络环境下传输速度及效率； (略) 络境自动选择并切换至最优的传输协议。（需提供相关功能截图证明并加盖公章）

支持针对不同的w (略) 数据优化，支持动态压缩技术，基 (略) 压缩，减少不必要的数据传输；

针对B/S资源支持WebCache技术，动态缓存页面元素，提高Web页面响应速度。支持流缓存技术， (略) 关、网关与移动客 (略) 多磁盘、双向、基于分片数据包的字节流缓存加速，削减冗余数据，降低带宽压力的同时提高访问速度；支持共享流缓存功能， (略) (略) 共享流缓存数据，提高流缓存效果；

资质要求

提供中华人民 (略) 颁发的《计算机信息系统安全专用产品销售许可证》；

提 (略) 颁发的《计算机软件著作权登记证》；

#为保障技术可靠性，要 (略) 商具备CMMI L5认证证书，提供证书复印件并加盖公章。

#为保障安全服务能力，要 (略) (略) 络安全应急服务支撑单位（国家级），提供证书复印件并加盖公章。

#为保障安全开发能力， (略) 投 (略) (略) 络安全审查 (略) （CCRC）颁发的《软件安全开发服务》资质证书，提供证书复印件并加盖公章。

项 (略) 质保

厂商针对本项目出具的授权 (略) * 年质保和售后服务承诺书 ， (略) 家公章

指标项

指标要求说明

性能要求

★标准机架式设备，配置 * / 点击查看>> Base-T接口≥6个，SFP接口≥2个，内存≥ * G，吞吐量≥ * Mbp，硬盘容量≥2TB SATA， (略) 署，支持同时接入多个镜像口，每个口相互独立不影响。要求实配不少于 3 年特征库升级服务，3 (略) 服务。

(略)

#具备失陷(业务和服务器)主机详细分析，包含攻击阶段分布、风险等级趋势、安全事件举证、开放端口等信息。攻击阶段包含存在漏洞、遭受攻击、C&C通信、黑产牟利、内网扫描、内网扩散、盗取数据支持对每个安全事件详细举证分析，包含风险危害、处置建议、专杀工具等（提供功能界面截图并加盖公章）；

(略) 置安全事件描述、事件标签、攻击阶段、事件分类、失陷确定性、威胁等级、风险主机统计、发生时间、处理状态以 (略) 置事件；支持攻击阶段分布和事件类型分布，热点事件统计

#不区分主机类型，仅以安全事件的视角， (略) 有安全事件。 (略) 有安全事 (略) 置状态，威胁等级，确定性等级，时间这 * 个字段排序，并结合事件类型、攻击结果、攻击阶段、处置状态、事件统计和事 (略) 统计和过滤显示、可设置关注的安全事件，可实时监控发生的安全事件，能复制攻击IP、XFF代理，并能够基于HTT (略) 事件筛选（提供功能界面截图并加盖公章）

(略)

#针对挖矿做专项性分析，比如挖矿的币种分布，威胁趋势分析。

#支持对勒索病毒的安全告警做专项性分析，比如中了勒索病毒的风险主机分布、威胁趋势分析， (略) 有安全事 (略) 置状态，威胁等级，确定性等级，攻击结果、事件类 (略) 筛选展示，并结合攻击阶段、事件统计和事 (略) 统计和显示、可实时监控发生的安全事件（提供功能界面截图并加盖公章）

支持对威胁情报的安全告警做专项性分析，比如通过情报匹配的风险主机分布、威胁趋势分析， (略) 有安全事 (略) 置状态，威胁等级，确定性等级，攻击结果、事件类 (略) 筛选展示，并结合攻击阶段、事件统计和事 (略) 统计和显示、可实时监控发生的安全事件。

#支持沙盒文件检测，能够对 (略) 文件、dll应用程序扩展、 (略) 理文件、PDF、office、VB脚本、 (略) 页脚本、P (略) 检测（提供功能界面截图并加盖公章）

#支持邮件威胁分析，可展示收件人TOP5、发件人账号TOP5、恶意邮件类型分布、 (略) 置建议；支持对恶意邮件详情分析，包含收件人账号、恶意邮件数量、发件人账号、附件名称、病毒名称、恶意链接名称等，并支持导出分析结果；

#支持对隐蔽隧道的告警做专项性分析，比如攻击者利用 (略) 隐蔽通信以及威胁趋势分析， (略) 有安全事 (略) 置状态，威胁等级，确定性等级，攻击结果、事件类 (略) 筛选展示，并结合攻击阶段、事件统计和事 (略) 统计和显示、可实时监控发生的安全事件（提供功能界面截图并加盖公章）

联动响应

#支持接入防火墙，支持与同品 (略) 联动响应，支持系统下发安全策略到防火墙上，阻断攻击流量（提供功能界面截图并加盖公章）

(略) 商资质要求

(略) 《计算机信息系统安全专用产品销售许可证》；

(略) 《计算机软件著作权登记证书》

#为保障技术可靠性，要 (略) 商具备CMMI L5认证证书；

#为保障安全服务能力，要 (略) (略) 络安全应急服务支撑单位（国家级），提供证书复印件；

#为保障安全开发能力， (略) 投 (略) (略) 络安全审查 (略) （CCRC）颁发的《软件安全开发服务》资质证书，提供证书复印件并加盖公章。

项 (略) 质保

厂商针对本项目出具的授权 (略) * 年质保和售后服务承诺书 ， (略) 家公章

项目名称

预算金额

(人民币)

简要技术要求

信息系统安全等级保护建设及测评（无线控制与 (略) 络架构整改优化服务）

* 万元

服务内容：通过对 (略) 新采购无线准入与终端准入系统设 (略) 络与安全设备（天融信、华为、华 * ） (略) 设备策略调整与监督， (略) 络安全等级保护要求， (略) 络安全规划与调整，做到分区分域、 (略) (略) 分离、 (略) (略) 合理规划、 * 级平台系统按照 (略) 内部分布调整、 * 个系统等保测评差距分析报告的高危风险与高危漏洞的安全整改加固等服务， (略) 络安全法、网络安全等级保护管理办法等法律、法规的要求，并协助通过等级保护测评，使 * 级系统达到 * 级等保标准，另外， * 个等保 * 级系统达到 * 级等保的管理要求。

指标项

指标要求

基本要求

系统要求

具有独立自主知识产权，须为标准机架式硬件产品。

性能要求★

机架结构；标准配置交流电源，标准配置2个 * MBASE-T接口(管理口、HA口)，可配置4个接口卡，设备支持不少于 * 个千兆电口,可扩展万兆口；每秒事务数(TPS):≥ * (次/秒)，最大吞吐量:≥0.5Gbps，最大并发连接数: * (条)；设备最大支持不少于 * 终端设备接入和管理

IPv6支持

#支持在IPv4和IPv6双栈环境下的终端准入控制、重定向、认证、安检、修复等。（提供支持IPv6的证明文件）

高可用性

准入设备必须具备HA模式，HA须支持主备机心跳IP检测及虚地址管理模式。

#提供第 * 方监控平台，在出现重大异常情况时 (略) (略) 络。（提供功能截 (略) 公章）

#支持多个设 (略) 署（提供功能截 (略) 公章）

(略) 署

#准入设备应至少提供安全客户端（Agent）、安全控件、无客户端等多种 (略) 署和管理的模式。（提供功能截 (略) 公章）

使用安全 (略) 署时，客户端程序应支持功能定制，以降低系统资源耗用，提升客户端兼容性。

准入

架构

终端发现

能够实时监测并 (略) 的PC、移动终端、其他IP设备等终端。

对自动发现的终端能够按照类别自动归类， (略) 络终端的统计管理。

#能够通过自定义将不同的设备分组到不同的大类中，实现客制化的设备类型管理。支持分类不少于 * 个大类， * 小类/大类（提供功能截 (略) 公章）

准入技术

准入设备须支持 * .1x协议准入方式，无需第 * 方RADIUS服务器支持。

#准入设备 (略) 商Virtual Gateway的VLAN隔离技术，实现无客户端下端口级准入控制。（功能截图及专利证 (略) 公章）

准入设备支持基于策略路由技术的准入控制模式，入网 (略) 内关键资源时，将被强制隔离、引导至认证管理页面；

#支持交换机接口动态VLAN下发、端口 (略) 络边界管理。（提供功能截 (略) 公章）

支持通过MAC (略) ACL下发的准入控制。

多路支持

单台准入设备可支持至少4路策略路由准入控制。

单台准入设备可支持至少4 (略) 准入控制。

#单台准入控制设备支持至少2种准入技术组合使用，以增强环境的兼容性。

定向引导

(略) IE浏览器重定向引导， (略) 页时能够自动转向到指定的页面或地址，并支持http代理及多重重定向引导。

可根据用户的实际环境自定义非 * 端口的Web服务端口号及用户重定向引导。

#支持 (略) (略) 重定向，可以实现准入服务器IP地址变动的环境下；（提供功能截 (略) 公章）

#能通过浏览器完成身份认证、控件安装、设备注册、安全检查、检查结果展现等全流程引导管理。（提供功能截 (略) 公章）

违规外联

违规外联

能够针对3/4G拨号、双网卡、随身WIFI、代理等 (略) 行为做实时检测，为了防止漏判不使用间歇性 (略) 地址的探测方式。

能够针对违规 (略) (略) ，断网方式应支持断开链接、重启计算机等多级模式，并能够设置报警通知管理员。

准入设备能够支持按照用户角色定义，结合自定义安全域，限 (略) 访问范围，防止其越权访问操作。

#SSID白名单，可对连接到白名单 (略) (略) 阻断。（提供功能截 (略) 公章）

设备特征指纹

设备特征指纹

具有非智能IP终端信息库，能 (略) 络打印机、网络摄像头、IP电话等设备，并根据 (略) 自动匹配和归类。

设备指纹自定义

能够通过自定义多种探测信息 (略) 匹配

#定义信息至少包括：IP地址、MAC地址、操作系统、网页标题、Telnet输出、FTP输出、SSH输出、端口、网页内容（提供功能截 (略) 公章）

边界管理

IP/MAC绑定

(略) 设备自动学习功能，支持IP/MAC/端口 * 者强制绑定，以及违规终 (略) VLAN，防止终端仿 (略) 络或移动设备位置。

支持在DHCP环境下的IP、MAC绑定功能

NAT设备

#具有NAT识别和检测机制， (略) 内私接的NAT小路由器设备。（提供功能截 (略) 公章）

对通 (略) 的计算机可以实现准入控制、安全评估和修复等流程化管理

Hub管理

(略) 私接的Hub、傻瓜 (略) 管设备，当多台计算机通过 (略) 络时，能够及时产生告警通知管理员。

#支持对连接HUB的交换机端口采用关闭端口或者VLAN切换来控制终端接入（提供功能截 (略) 公章）

网络

管理

网络设备管理

支持对：交换机、路由器、防火墙等， (略) 添加归类管理和展示。

支持设备管理模板的定义功能，能够通过SNMP、SSH、TELNET等方式自动、 (略) 络设备。

#支持通过web界面手动修改交换机命令库以匹配新的交换机。（提供功能截 (略) 公章）

(略) 络拓扑

#能够在拓扑图上选取设备查看其基本状态信息、设备型号、所处位置、子节点、路由表、ARP表等信息。

#支持在界面 (略) (略) TELNET、SSH等管理。（提供功能截 (略) 公章）

# (略) 络拓扑图上由用户自定义显示的节点类型，方便用户通过不同方式查看拓扑连接。（提供功能截 (略) 公章）

交换机状态展现

(略) 管型交换机面板图形化展现各接口状态（up、down、trunk、单/多MAC等），以及各接口下联的终端详细信息（IP、地址、MAC地址等）。

能够支持自上而下逐级查找终端的具体位置、安全状态、认证用户、上下线时间等信息。

DHCP地址释放

#支持DHCP通过管理服务器手动操作， (略) 某台主机的IP地址释放。实现IP地址充分利用。

认证管理

联动认证

能够全面结合用户已有的认证或业务系统，可以与RADIUS、LDAP、邮件、AD、WEB系统做联动认证。

AD域单点登录

能够与用户现有的AD域相结合，当用户登录到AD域后，无需 * 次 (略) ，避免多次认证的繁琐流程。

(略) (略) 是否A (略) 检查。

证书认证

(略) Ukey认证时，支持多个合法的根证书。终端用户认证时， (略) 根证书的匹配。

支持采用软证书认证。

短信认证

支持短信认证模式

接入审核

能够针对不同的角色或设备状态有选 (略) 审核功能，待审核的用户或设备必须经过管理员 (略) 。

(略) 审核流程调整。

认证控制

支持某类（角色）账户只能在指定的时间段、I (略) 。

自助账号申请

#支持用户在 (略) 进行账号的申请。

(略) 提交用户名、密码、姓名、电话、部门、E-Mail等信息。管理员审核通过后，用户即可使 (略) 认证。有效解决用户账号和密码创建和分发的困难。

(略) 管理

(略) 角色

能够提供 (略) 角色选择，能够设定 (略) 设备的访 (略) 时长

(略) 码

员工可以为 (略) 申请 (略) 码， (略) 使用 (略) (略) 络；

能够设定那些角色的用户能够申请 (略) 码。

* 维码认证

# (略) 员工可以通过扫描 (略) 终端上 * 维码，放行 (略) （提供功能截 (略) 公章）

终端

安全

管理

安全检查库

#准入设备须提供系统安全配置、 (略) 为规范等类别检查项，至少提供 * 种以上安全检查项。

系统补 *

准入设备具有完整的补 * 管理子系统，无需第 * 方补 * 服务器支持，自身即可以提供完整的流程化补 * 管理，包括同步更新、补 * 分发表等功能。

准入设备能 (略) 分级，分为：严重、重要、中等的类别。

能够在终端的浏览器 (略) 终端的补 * 检查情况。

#准入系统自身能够支持office系列补 * 库、补 * 检查和补 * 分发安装。

防病毒软件

支持主流的 * 种以上的杀毒软件检查，包括微软MSE、可牛、Avast等，支持杀毒软件版本、 (略) 情况的检查，能够在页面显示出检查结果。

终端安全加固

支持Guest (略) 帐户、WSUS更新配置、密码策略设置、屏幕保护设置、弱口令帐户、网卡绑定、系统 (略) 检查加固

计算机

健康性检测

支持对终端的磁盘使用率、垃圾文件、IE主页、网络监听端口等安 (略) 检查和修复

自定义安全检查

#通过检测终端文件、指定文件版本、大小、MD5，注册表的项、注册表值，进程、 (略) 检查。通 (略) 、 (略) 点、开关服务、关闭进程、执行文件、删除文件、修 (略) 修复。可以灵活 (略) 安全检查和修复。（提供功能截 (略) 公章）

终端安全修复

能够提供多种修复方式， (略) 修复、自动修复。

攻击威胁检测

攻击检测类别

支持超过 * 条攻击检测库信息，至少包括如下类别：DOS攻击类(DOS)、弱点利用类(EXPLOIT)、恶意代码类(MALWARE)、移动恶意代码类(MOBILE_MALWARE)、RPC攻击类(RPC)、扫描类(SCAN)、SQL攻击类(SQL)、木马类(TROJAN)、蠕虫类(WORM)

攻击检测方法

#无需安装客户端， (略) 络流量监 (略) 流量采集

攻击检测展示

#能够通过多种方式对攻击检 (略) 展示，至少包括：动态云图、攻击信息列表、攻击统计信息。（提供功能截 (略) 公章）

资产管理

资产管理

(略) 计算机上安 (略) 统计，可以按照名称、许可状态提供精确查询以及软件资产报表的导出。

可对 (略) 授权数量和使用数量的统计、管理。

能够通过多 (略) 终端 (略) 统计。包括：每台终端的硬件信息列表，每 (略) 对应的终端。

资产变动

准入设备能够针对软硬件资产变动、资产异常情况提供了丰富多样的报警方式，便于管理员及时迅速了解资产信息。

变动确认

#支持管理员对每 * 条软 (略) 确认操作，已确认的条目显示已确认， (略) 确认操作的确认人。对变动和变 (略) 报表统计（提供功能截 (略) 公章）；

资源

管理

软件检查

通过安全检查检测终端软件安装、使用状态

为终端指定修复的安装 (略) 络站点

软件产品授权， (略) windows、office、WPS产品 (略) 检查

IP地址管理

提供IP地址分配矩阵图。

可以通过组织架构为维度查看IP地址分配矩阵图

能够直接、快 (略) 终端历史上线、下线、在线时长等详细的IP使用情况。

能耗管理

提供未关机终端自动统计功能， (略) 门、时间段等条件生成统计报表。

能够对设备类型、 (略) 统计设置

运维

管理

移动终端管理

支持移动终端专用平台管理页面，方便使用平板、 (略) 准入设备基本操作。

#可实现设备快速定位、设备审核、实时报警监控、小助手确认码生成、准入控制器管理、平台基本信息、关机与重启（提供功能截 (略) 公章）

管理角色控制

准入设备须采用系统管理员、安全管理员、审计员 * 权分立机制，防止单个角色管理者权限滥用。

网络诊断工具

#支持通过Web (略) ping、抓包、traceroute、nslookup等功能，并可以设置 (略) 相关调试。

软件分发

准入设备应具有 (略) 署功能，管理员可以预定义软件分发的路径、运行参数、 (略) 等任务策略， (略) 署效率。

能够自动判断并统计软件分发、部署的成功率，支持进程、注册表、文件等多种参数的组合判断。

报警

报表

管理

安全管理报表

能够支持自定义多个不同的报表模板；

准入设备后台 (略) 报告、 (略) 报告、 (略) 报告。

报警信息

支持系统报警、网络报警、终端报警等报警类型，超过 * 种以上自定义报警类型。

#支持报警信息通过Syslog、邮件、 (略) 输出。

第 * 方产品联动

支 (略) 行为管理系统深度联动， (略) 准入、准出的全面安全管理体系。

支持与国内外主流U-Key联动认证，终端可以使用UKEY认证。

产品要求#

(略) 《计算机信息系统安全专用产品销售许可证，提供证明复印 (略) 公章。

中国国家信息安全产品认证证书，提供证明复印 (略) 公章。

项 (略) 质保

厂商针对本项目出具的授权 (略) * 年质保和售后服务承诺书 ， (略) 家公章