采购编号

采购项目

数量

（单位）

采购预算

（人民币）

技术要求

JJJS-NC 点击查看>>

多功 (略) 闸

1台

点击查看>> 元

详见竞争性磋商文件

千兆防火墙

2台

终端管理系统

1台

千兆数据库安全审计系统

1台

自助系统服务器

4台

自助系统磁盘阵列

1台

自助系统磁盘阵列域控机

2台

机柜

1台

采购编号

采购项目

数量

（单位）

采购预算

（人民币）

技术要求

JJJS-NC 点击查看>>

多功 (略) 闸

1台

点击查看>> 元

详见竞争性磋商文件

千兆防火墙

2台

终端管理系统

1台

千兆数据库安全审计系统

1台

自助系统服务器

2台

自助系统磁盘阵列

1台

自助系统磁盘阵列域控机

2台

机柜

1台

评价因素

分值

说明

业绩

10分

供应商提供自2012年以来能够提供5-7份（含7份）单个项目合同金额≧200万元人民币的信息系统集成项目成功案例的得8分，提供第7份以上成功案例的每增加1份加1分，依次类推，最多得10分。

（评审依据：以上均须提供合同复印件加盖公章，并保证上述信息的真实有效，承担就 (略) 引起的一切法律后果）

注册资金

5分

500万元人民币≥供应商注册资金，不得分；

500万元人民币＜供应商注册资金≤1000 万元人民币，得1 分；

1000万元人民币＜供应商注册资金≤2000 万元人民币，得3 分；

2000万元人民币＜供应商注册资金，得5分。

（注：供应商注册资金如为外币，以现实时汇率等值换算）

(略) （6分）

供应商能够为本项目提供良好的售后服务质量并且具备充足良好的 (略) ，团队人员在20人或以上的得2分；团队人员在50人或以上的得6分。

（评审依据：提供售后服务人员名单及在 (略) 范围内缴纳的 (略) 保缴纳证明复印件加盖公章，原件备查）。

评价因素

分值

说明

业绩

10分

供应商提供自2011年以来能够提供5-7份（含7份）单个项目合同金额≧300万元人民币的信息系统集成项目成功案例的得6分，提供第8份或以上成功案例单个项目合同金额为≧500万元每宗，增加1份加1分，依次类推，最多得10分。

（评审依据：以上均须提供合同复印件加盖公章，并保证上述信息的真实有效，承担就 (略) 引起的一切法律后果）

注册资金

5分

500万元人民币≥供应商注册资金，不得分；

500万元人民币＜供应商注册资金≤1000 万元人民币，得1 分；

1000万元人民币＜供应商注册资金≤3000 万元人民币，得3 分；

3000万元人民币＜供应商注册资金，得5分。

（注：供应商注册资金如为外币，以现实时汇率等值换算）

(略) （6分）

供应商能够为本项目提供良好的售后服务质量并且具备充足良好的 (略) ，团队人员在20人或以上的得2分； (略) 中具有5名或以上具备MPM项目经理资格证书的得6分，该项最多得6分。

（评审依据：提供售后服务人员名单、项目经理资格证书及 (略) 保缴纳证明复印件加盖公章，原件开标时核查）。

技术指标

指标要求

硬件规格

★2U标准机架式机箱，全模块化设计，接口可按需灵活组合。 (略) 5个10/ 点击查看>> M RJ45接口，1个串口和2扩展槽；外网5个10/ 点击查看>> M RJ45接口，1个串口和2扩展槽；整机最多可扩展到26个电口，或者10个电口+16个光口(请提供产品外观图，未提供的视为不响应该条技术参数要求。)

系统架构

产品为专用硬件平台、安全操作系统和功能软件系统组成的软硬件一体化形态；采用“2+1”系统架构，即由两个主机系统和一个隔离交换专用硬件组成，采用特有控制逻辑和专用通讯协议控制数据的实时交换，实现安全隔离。

安全浏览

支持用户名+密码+IP+MAC等多种组合认证方式，对多次认证失败的用户可锁定其IP或用户名；支持安全浏览用户管理，可管理在线用户、离线用户、禁用用户、失败用户等；

★支持http命令过滤、网页关键字过滤；支持URL地址过滤；支持MIME类型细粒度控制，如网页中的应用程序、视频、 (略) 细粒度控制；支持对HTML细粒度控制，如网页中的Script脚本、ActiveX脚本、java applet等； (略) 页文件下载控制，可限制下载文件大小、过滤下载文件类型。(提供界面截图，未提供的视为不响应该条技术参数要求。)

支持安全浏览审计日志，详细记录时间、用户、IP、MAC、方法、URL等信息；

邮件访问

支持基于SMTP协议邮件发送和POP3协议邮件接收， (略) 隔离环境下可实现邮件安全收、发；

★支持对邮件地址、主题、正文内容、附件、关键字等过滤；支持附件大小控制、附件扩展名过滤、支持邮箱黑白名单过滤。(提供界面截图，未提供的视为不响应该条技术参数要求。)

支持邮件收发日志记录，详细记录时间、用户、发送者、接收者、IP、邮件主题、附件等信息，方便日志审计和管理；

FTP访问

支持对FTP主动、被动传输模式的转换，并可灵活设置允许或禁止传输；

★支持对FTP命令字的黑名单控制策略，支持对用户、命令、文件类型等细粒度访问控制，支持文件大小、文件名传输控制策略，支持传输文件扩展名过滤。(提供界面截图，未提供的视为不响应该条技术参数要求。)

支持文件传输时的身份认证功能，支持用户分组控制策略，对不 (略) 不同访问控制；

文件同步

★支 (略) 署方式， (略) 闸自身完成，无需开放应用通道，内外端完全隔离；支持Samba、NFS文件共享同步方式， (略) (略) 、 (略) 、双向的文件传送；支持病毒检测、传输后删除、改名传输、删除同步、目标检测等传输策略；支持立即同步、计划同步机制；支持常见文件内容深度检测，根据文件 (略) 过滤，不依赖于文件扩展名。(提供界面截图，未提供的视为不响应该条技术参数要求。)

具有文件同步审计日志，详细记录时间、任务名、同步的文件等信息

文件交换

★设备集成文件交换系统，由网闸本身提供文件交换空间，实现文件安全交换；支持内置、外置的Radius认证；支持用户名、密码、IP、MAC多种组合身份认证方式；支持文件大小、存放时间控制；支持文件病毒扫描；支持文件内容深度检测，能对DOC、DOCX、XLS、XLSX、PPT、PPTX、DBF、BMP、PNG、JPG、MP3、TIF、GIF、WMV等 (略) 检查根据文件 (略) 过滤，不依赖于文件扩展名；支持文件内容关键字过滤。(提供界面截图，未提供的视为不响应该条技术参数要求。)

支持专用文件交换客户端方式，可实现文件手动、自动收发模式；

具有文件交换审计日志，详细记录时间、发送用户名、IP、接收用户、任务名、发送文件名、文件大小等信息

数据库同步

★支持内置方式，无需在服务器上安装同步软件，网闸无需开放应用通道以杜绝安全隐患；支持ORACLE、SYBASE、MySQL、SQLServer、DB2等主流数据库；支持同构数据库、异构数据库的数据同步，无需修改数据库表结构。((提供界面截图，未提供的视为不响应该条技术参数要求。)

支持多种方式同步（如镜像、增量），同步模式支持单向和双向同步；可分别定义增加、删除、修改的数据传输；支持灵活的 (略) 理策略，当关键字数据发生冲突时可选择：覆盖/丢弃；支持任务单独启停管理，不影响数据库同步的 (略) ；

支持数据库同步实时日志记录，提供日志审计、查询；

系统管理

★ (略) 主机系统来 (略) 闸， (略) 闸的IP地址；支持采用硬件USB钥匙加密管理；提供调试工具，至少包括：telnet、traceroute、tcpdump、ping、ARP等调式工具；具有设备诊断功能，可导出诊断日志。（(提供界面截图，未提供的视为不响应该条技术参数要求。）

支持CPU、内存、硬盘、网口状态实时监控。

★ (略) 署模式：代理模式、虚拟路由模式、 (略) 关模式、 (略) 桥模式、 (略) 署模式； (略) (略) 、 (略) 等部署模式； (略) 间 (略) 署模式。（(提供界面截图，未提供的视为不响应该条技术参数要求。）

★设备带有液晶显示屏，可显示CPU、内存、接口IP等系统信息；可直接通过 (略) (略) 复位、关机等操作；液晶屏支持设备异常监测报警等功能。（提供证明图片，未提供的视为不响应该条技术参数要求。）

高级应用

★支持病毒检查：可对 (略) 病毒检测和过滤，支持病毒库在线升级和手动升级；支持入侵检测，可对常见攻击、SMTP攻击、FTP攻击、DNS攻击、DOS/DDOS攻击、 (略) (略) 检测防御；支持双机热备功能，通过独立的热备端口实现双机热备，可实现双机配置同步。（提供界面截图，未提供的视为不响应该条技术参数要求。）

带 (略) ，可采用分组认证授权；支持用户名密码、IP地址、MAC地址、IP与MAC绑定、网页认证、客户端认证等多种方式。

支持socks4/socks5代理；

审计管理

★网闸自带完善的日志审计服务，无需另装日志软件； (略) 浏览、查询、导出、删除操作；可详细记录管理员登录、 (略) 闸配置、网闸报警等操作审计日志；可详 (略) 页浏览、FTP访问、邮件访问、文件同步、文件交换、数据库同步等应用审计日志。（提供界面截图，未提供的视为不响应该条技术参数要求。）

日志支持本地和远程存储，能为第三方提供日志格式，实现日志数据分析；支持SysLog，Mysql标准；

日志可导出为WORD、EXCEL、PDF等格式

服务

(略) 一年售后服务

项目

参数要求

硬件规格

★ (略) 理器硬件构架，标配6个10/ 点击查看>> M自适应电口，4个SFP插槽，支持2个扩展槽，最大支持22个接口，1个Console口；2U机架式设备

性能参数

★整机吞吐率≥6G，并发连接数≥200万，每秒新建连接数≥80000

网络适应能力

产品支持路由、透明、交换以及混合模式接入，满足复杂应用环境的接入需求，支持旁路模式

★支持3G接入，支持3G及有线链路之间的互为备份

★支持物理子接口技术，可以虚拟多个逻辑接口（不依靠vlan区分）( (略) 实现, （提供证明截图，未提供的视为不响应该条技术参数要求。）

聚合模式（Channel模式）支持三种：轮询、热备、802.3ad（提供截图，未提供的视为不响应该条技术参数要求。）

★802.3ad方式支持3种负载算法：根据源目的mac组合、根据mac和ip组合、根据ip和TCP/UDP端口组合（提供截图，未提供的视为不响应该条技术参数要求。）

支持安全域的配置，包括二层安全域和三层安全域（提供截图，未提供的视为不响应该条技术参数要求。）

支持接口镜像（mirror接口）（提供截图，未提供的视为不响应该条技术参数要求。）

★支持DDNS动态域名解析，可实时查看域名、接口及IP的更新状态，支持四家服务商，分别为：oray：花生壳动态域名、pubyun：公云(3322)、changeip、noip

★支持DNS透明代理，防火墙收到客户端DNS请求报文时，防火墙会将请求报文中的DNS地址替换为防火墙指定的代理DNS地址，帮助其实现DNS解析（提供截图，未提供的视为不响应该条技术参数要求。）

★支持使用命令对策略路由默 (略) 调整（提供截图，未提供的视为不响应该条技术参数要求。）

★支持根据应 (略) 智能选路（提供截图，未提供的视为不响应该条技术参数要求。）

★支持基于权重的路由负载均衡，算法支持：源地址目的地址哈希、轮询、源地址哈希、目的地址哈希、源地址轮询、备份、随机、RTT最小、流量均衡（提供截图，未提供的视为不响应该条技术参数要求。）

IPv6支持

★支持IPv6邻居的动态管理和静态配置（提供截图），支持NAT64和DNS64（提供截图，未提供的视为不响应该条技术参数要求。）

访问控制能力

支持通过一条安全策略配置应用控制、入侵防护、URL过滤、病毒检测、内容过滤、 (略) 为管理等高级访问控制功能，且无需编辑即可直观审计策略配置(要求提供截图，未提供的视为不响应该条技术参数要求。)

★支持详尽细化的会话超时时间自定义设置，包括：TCP握手、TCP建立、TCP单向关闭、关闭、UDP单向数据、UDP的DNS、UDP的其他、其他协议、GRE协议、TCP长连接、UDP长连接和其他协议的长连接（提供截图，未提供的视为不响应该条技术参数要求。）

★支持基于地理区域的安全策略，支持地理区域对象的导入（提供截图，未提供的视为不响应该条技术参数要求。）

★支持会话限制功能，可以根据IP地址、安全域（入、出、双向）、应用设定限制策略（提供截图，未提供的视为不响应该条技术参数要求。）

支持对 (略) 有IP的新建和并发连接限制（提供截图，未提供的视为不响应该条技术参数要求。）

支持通过过滤条件对当前的 (略) 查询和统计（提供截图，未提供的视为不响应该条技术参数要求。）

★支持按源目的IP、源目的接口、用户、地理区 (略) 流量排名，并显示流量统计（提供截图，未提供的视为不响应该条技术参数要求。）

网络地址转换能力

支持全面的NAT转换能力，支持对源目的地址、端口的转换；包括一对一，一对多，多对一，多对多地址转换方式

★支持FULL_CONE和SYMMETRIC两种类型的转换方法，默认为SYMMETRIC（提供截图，未提供的视为不响应该条技术参数要求。）

★支持URL云查询，支持云端URL查询分析（提供截图，未提供的视为不响应该条技术参数要求。）

抗攻击能力

支持基于安全域的攻击防护配置

支持攻击防护类型包括：SYN Flood、ICMP Flood、UDP Flood、IP Flood、IP地址扫描攻击、端口扫描、异常包攻击（Ping of Death、Teardrop、IP选项、TCP异常、Smurf、Fraggle、Land、Winnuke、Tracert、ICMP Redirection、IP Snoofing、IP Fragment、ICMP Fragment、DNS异常、ICMP Oversize）、应用层Flood（HTTP Flood、DNS Flood）

★支持对应用层Flo (略) (略) 理动作：警告、阻断、普通防护、增强防护及授权服务器防护（提供截图，未提供的视为不响应该条技术参数要求。）

★支持TC反弹技术和ns重定向技术

★ (略) 域网广播防护， (略) (略) 域网广播防护及基于 (略) 域网广播防护， (略) 域网内广播和多播数据包泛滥， (略) 络正常通信（提供截图，未提供的视为不响应该条技术参数要求。）

★支持DHCP防护， (略) DHCP服务器检查、DHCP请求检查和DHCP请求限速等功能（提供截图，未提供的视为不响应该条技术参数要求。）

★支持SYN Cookie设置（提供截图，未提供的视为不响应该条技术参数要求。）

支持web管理界面下根 (略) 特征检索（提供截图，未提供的视为不响应该条技术参数要求。）

防病毒

提供全面、强劲的病毒检测及防护功能，支持通过对HTTP和FTP方式上传、下载文件、页面，或SMTP、POP3、IMAP协议发送的电子邮件及 (略) 病毒扫描，并可以根据 (略) (略) 理

支持的压缩文件解压层数，默认为3。最大支持6层

★支持病毒云查杀（提供截图，未提供的视为不响应该条技术参数要求。）

防弱口令扫描

★支持针对FTP、SMTP、POP3、IMAP协议防弱口令扫描功能，可以帮助用户记 (略) 络中猜测FTP用户名密码，邮件用 (略) 为。并支持生成动态策略，下发给防火墙，再次受到相同攻击时，用户可以选择禁止还是允许 (略) 为（提供截图，未提供的视为不响应该条技术参数要求。）

木马专项防护

★支持通木马云查杀功能生成日志或者动态策略。生成的木马专项查杀动态策略可以在数据被监测携带木马时，根据动态策略配置阻断数据或者记录日志（提供截图，未提供的视为不响应该条技术参数要求。）

动态策略

★防火墙动态策略功能，可以通过与入侵防护策略、防弱口令扫描、防病毒系统的联动，生成动态策略信息，根据用户在基本配置中配置的动态策略动作，命中动态策略的数据将会被阻断或者记录日志（提供截图，未提供的视为不响应该条技术参数要求。）

系统管理

★支持自定义管理权限，包括模块：系统、网路、路由、对象、安全、VPN、PKI、用户认证、行为管理、应用安全、日志、监控、账户、虚系统（提供截图，未提供的视为不响应该条技术参数要求。）

支持多种管理方式，包括中文WEB、本地CONSOLE、远程SSH、TELNET、HTTP、HTTPS等

★支持按照模块细化导入导出配置（提供截图，未提供的视为不响应该条技术参数要求。），支持配置集中管理与下发（提供截图，未提供的视为不响应该条技术参数要求。）

★支持历史配置保存，可记录三个不同时间点的历史配置文件（提供截图，未提供的视为不响应该条技术参数要求。）支持双系统备份，且在系统切换中可实现配置的自动迁移（提供截图，未提供的视为不响应该条技术参数要求。）

系统监控能力

支持 (略) 监控，包括：a.设备面板监控；b.接口信息监控；c.系统信息监控；d.资源状态监控；d.并发连接数监控；e.入侵防御监控；f.基于流 (略) ；g.基于用 (略)

★支持策略使能按钮，无需编辑策略即可快速启用或禁用策略（提供截图，未提供的视为不响应该条技术参数要求。）

★支持对象与策略引用关系的展示及查看，增加易用性（提供截图，未提供的视为不响应该条技术参数要求。）

安全诊断能力

支持在CLI下的在线抓包

支持在CLI下的调试工具

技术指标

参数要求

系统总体要求

要求支持多级级联管理，至少支持三级以上多个管理控制台的数据级联上报和安全策 (略) ， (略) 络要求达到支持200台（最高支持5000台）以上计算机的管理，包含集中管理平台；

要求系统具备自身服 (略) 监测功能，对服 (略) (略) 监控，如CPU、内存及磁盘 (略) 监控。

要求客户端和服务器端相互通信使用PKI证书双向认证机制，遵循X.509标准,确保客户端唯一性，防止已安装同类客 (略) 络计算 (略) 络，同时也防止模拟的假客户端 (略) 通信。

要求支持目前主流的数据库，如：SQL Server、Oracle 、MySQL 、IBM DB2、PostGreSQL、Gbase；支持双数据库冗余设计为优

★全面支持Windows系列操作系统（必须支持X64位系统），包括支持Windows 2000、XP、vista、 7、8、2003server、2008server 操作系统；

(略) 署和集中分权管理

系统构架上要能够支持采用集中管理、分级 (略) 署的方式，上级可以直接调用查询下级服务器的数据和控制下级服务器策略的功能。

要求系统必须能够实现对管理员基于 (略) 权限设置，可 (略) 分级的权限设置和管理。

★支持根据 (略) 网络区域定义， (略) 络策略、用户策略、主机策略及用户策略（根据登 * 系统用户决定安全策略）终端计算 (略) 处网络， (略) 对应安全策略。

要求支持管理员通过WEB管理界面对注册主机、非法主机、单位资产、接入控制、主机补 (略) 策略定制、下发及系统配置等管理工作。

终端准入控制

★ (略) (略) 授权认证，发现未经授权 (略) 为应能及时发现并 (略) 络，支持交换机基于802.1X的Radius认证

要求必须支持支持 (略) 署模式，支持策略路由、镜像旁路、透明串接等多种准入控制模式。

要求支持基于IP列表和终端水印认证双重准入判断，发现采用N (略) 的终端并强制认证。

要求支持对路由、无线、AP、HUB等环境下的终端实施准入控制，支持对IPHONE、IPAD等非windows操作系统的终端实施准入控制。

★ (略) (略) 工作VLAN的自动切换；

健康状态检查：包括补丁、防病毒和进程，可以根据健康检查结果（通过补丁更新状态、防病 (略) 和病毒库更新状态、以及进程黑/白/红名单控制状态）决定是否允许 (略) 络；

★对Radius认证服务器的支持，系统必须集成Radius认证服务器，不依赖其它第三方认证服务器（如微软的IAS，思科的ACS）即可实现终端计算机接入认证，但必须支持微软的IAS，思科的ACS， (略) 选择。

非法外联

★要求能够对终端计算机 (略) (略) 控制， (略) 用户通过调制解调器、ADSL、 (略) (略) 拨号， (略) 为后，系统自 (略) 阻断。 (略) 连接测试必须支持 (略) 络条件，包 (略) 、脱离工作区 (略) 络等判别条件；支持 (略) 卡行为，可以 (略) 断网。

审计功能

能够支持打印审计，应支持对本地打印，共享打印、 (略) 络打印 (略) (略) 审计；

要求支持对本地计算机的帐户安全 (略) 配置，并可设置弱口令检查，禁用guest用户，对帐户和组 (略) 监控和审计；

文件内容审计和监控，可根据设定的关键字对 (略) 检索，对检 (略) 审计；★文件内容监控：支持Word、Excel、PowerPoint、Pdf、 Txt、Html、Xml等文件类型（包括微软新文件类型docx、xlsx、pptx等）

要求支持软件正版化校验，提供软件许可证定义管理，可 (略) 正版软件检查；

监控功能

要求支持对终端计算机MAC、IP地址、主机名、网关地址、网络掩码、DNS地址及IP地址获取方式(静态、DHCP)绑定（提供界面截图，未提供的视为不响应该条技术参数要求。）;

任何一个参数发生改变，系统将自动报警，报警后自动恢复原有配置；支持ARP攻击、TCP洪水 (略) 络攻击的抵御

支持检查终端计算机共享文件夹功能，可以禁止使用默认共享和用户自建共享文件夹，可强制终端用户以 (略) 共享，并可自动将策略下发之前的可写共享强制为只读共享

★要求对 (略) 控制，控制外设接口的使用，启用或禁用软驱、光驱、U盘、USB接口、打印机、PCMCIA设备、智能卡设备、MODEM、串口、并口、1394接口、红外接口、蓝牙设备等。要求支持对手机、相机、扫描仪等图像设备的接入

要求能够对设备的 (略) 管理，只有在管理员许可的情况下，才可以对设 (略) 操作。

★要求采用进程、服务黑、白、红名单方式对终 (略) 管理；红名单： (略) 进程红名单的进程、 (略) (略) 理(断网保护、关机)。必须支持手动配置进程的MD5唯一校验码， (略) 名、版本、安装路径等信息，防止非法冒用或篡改；

要求对主 (略) 监控，包括CPU、内存及磁盘。可以设置阈值，当上述资源超过设定阈值后，应支持系统报警和 (略) 理方式。

★要求能够对 (略) 监控，可以设置允许、禁止安装的软件，并对 (略) 审计和上报服务器。

要求能够 (略) 监控，可以禁止用户访问、修改注册表，并可以设置注册表自动恢复，对于 (略) (略) 理

★ (略) 健康监控，对终端计算机的安全状况的评分，可根据需要自定义安全评估项的分值，并为终端计算机用户提供手动评估计算机安全状况的手段，并定期生成安全趋势状态报表，以TOP形式体现；

安全服务

★能够远程查看终 (略) 的进程和服务，且支持远程停止进程和服务（提供界面截图，未提供的视为不响应该条技术参数要求。）.

(略) 远程锁定键盘、鼠标等输入设备，禁止终端计算机使用。远程修改终 (略) 络参数， (略) 络连接的修复，并且 (略) 远程注销和关机等。要求远程协助能够支持在线交流互动和文件传送、消息发送功能。

★远程协助途径要求支持WEB和程序工具两种方式都能实现，便于维护人员使用；

支持远程软件分发，必须支持分发任意类型软件，包括：程序生成安装包、MSI安装包、独立软件安装包、各类脚本、文档。同时还需支持在登录用户是普通用户权限（无安装权限）情况下，进行软件自动分发、安装

★要求注册客户端支持重要文件加密备份功能，服务器提供自身备份服务，文件备份服务提供用户身份认证、文件备份、文件恢复、备份文件历史查询等服务,要求支持增量备份及版本控制，禁止 (略) 络文件共享形式的备份。

移动存储管理

(略) 使用的移动存储介质做统一管理，禁止未经过注册的移动存 (略) 中使用。

对移动 (略) 安全级别划分，级别不同或者级别不够，不能正常的访问使用移动存储设备。

★要求能够支持移动存储设备本地认证两种方式

★多分区U盘至少划分为启动区、交换区、保密区。

★交换区至少具备普通数据存储区及专用区，并可设置访问密码。密码输入超过自定义次数限制自动锁定；

补丁管理

★要求支持M (略) 的全系列安全补丁，如Windows系统、Office系列、IE、Exchenge、SQL Server等系统及应用程序的补丁；

★要求支持补丁测试功能，对新下 (略) 真实环境的自动测试，测试完成后确认补丁安全再在指定时间后大面积下发补丁。

要求补丁下发时支持补丁采用P2P技术的就近分发机制；

要求支持补丁迁移，对于 (略) 的服务器，可以通过下载管理器补丁导入导出的方式实现补丁迁移， (略) 增量导入

要求能够实现终端安装补丁情况的自动发现， (略) 缺少补丁的自动下发和安装（静默自动安装或用户手动选择）。

补丁分发支持完整的分发过程跟踪，包括分发状态和非法结果。可按照多种条件检索、查询和统计。

终端防火墙

要求内置防火墙功能，对终端计算机的 (略) 限定，对终 (略) (略) 控制。具有基 (略) 络访问控制能力、 (略) 络访问审计能力、支持策略模板；

资产管理

★要求客户端能够自动采集硬件设备信息（诸如硬盘、CPU、内存等）、位置信息（设备名称、使用人、联系电话、房间号等），客户端注册后可将资产信息存储到数据库中。（提供界面截图，未提供的视为不响应该条技术参数要求。）

★要求能自动收集客户端的软、硬件资产，能够管理包括物理 (略) 有资产类型。可自动搜集的资产信息。

预警与报表管理

系统预警要求能够支持本地消息、 (略) 络、关机、重启、邮件、平台预警、运行脚本等多种报警方式。

要求能够对系统的 (略) 模版定制，方便管理员对日志的管理、维护、查询等工作。要能够根据报表模版定时生成报表，要能够按照日、周、月方式生成报表。至少支持EXCEL、PDF、HTML、JPG格式的文件导出。

服务和资质

(略) 授权和一年售后服务

项目

参数要求

硬件特性

★专用硬件平台和安全操作系统，内置1TB磁盘存储空间。主机带6个千兆自适应电口，1个Console口，2个USB口，支持液晶屏。(请提供产品外观图，未提供的视为不响应该条技术参数要求。)

事件采集能力

★峰值可达10000条/秒

审计范围

★审计包括包括MS SQL Server、Oracle、DB2、Sybase、MySQL、Informix、达梦、Postgresql、Cache等在内的多种数据库（提供功能界面截图，未提供的视为不响应该条技术参数要求。）

数据库审计

★支持Cache数据库集成工具terminal、portal、studio、Sqlmanager、MedTrak工具的审计，其中Portal能审计到sql语句、查询Global、返回结果，Terminal能审计到M语句和返回结果（提供审计界面截图，未提供的视为不响应该条技术参数要求。）

中间件的支持，支持COM、COM+、DCOM组件（提供审计界面截图，未提供的视为不响应该条技术参数要求。）

数据库安全

★支持对SQL注入、跨站脚本攻击等web攻击的识别与告警（提供功能界面截图，未提供的视为不响应该条技术参数要求。）

审计策略

★支持数 (略) 时间、 (略) 回应、最大操作语句长度等作为分项响应条件；支持数据库操作返回内容、 (略) 数作为分项响应条件（提供功能界面截图，未提供的视为不响应该条技术参数要求。）

审计查询

★审计数据支持18种以上查询条件，可支持按数据库操作命令（包括select、create等14个命令）、语句长度、 (略) 回应、 (略) 时间、返回内容、 (略) 数、数据库名、数据库账户、服务器端口、客户端操作系统主机名、客户端操作系统用户名、客户端MAC、客户端IP、客户端端口、客户端进程名、会话ID、关键字、时间（包括开始、结束日期） (略) 查询（提供功能界面截图，未提供的视为不响应该条技术参数要求。）

审计安全

★审计结果隐秘设置，通过*号对审计结果中的 (略) (略) 理，防止非法权限查看（提供审计界面截图，未提供的视为不响应该条技术参数要求。）

★系统本身具备能发现未知仿冒进程工具、防范非法IP地址、防范暴力破解登录用户密码、设置系统黑白名单等安全功能（提供功能界面截图，未提供的视为不响应该条技术参数要求。）

配置管理

采用B/S管理方式，全中文界面

提供系统升级功能，能够通过升级包的方式实现升级

提供审计数据管理功能，能够实现对审计数据的自动备份、手动备份，支持增量、全量备份方式

能够实现对自动备份、手动备份审计数据的恢复还原

支持对审计数据存储容量达到一定阀值后，对老记录的自动删除功能

提供设备自身CPU、内存、磁盘、网口、运行时间、运行状态等信息的监视功能

提供审计策略和配置的导入导出

响应方式

完整真实地记录及存储审计事件信息

系统管理界面告警

Syslog告警

SNMP trap告警

邮件告警

短信告警

服务

(略) 一年售后服务

技术指标

指标要求

硬件规格

★2U标准机架式机箱，全模块化设计，接口可按需灵活组合。 (略) 4个10/ 点击查看>> M RJ45接口，1个串口和2扩展槽；外网4个10/ 点击查看>> M RJ45接口，1个串口和2扩展槽；整机最多可扩展到26个电口，或者10个电口+16个光口(请提供产品外观图)

系统架构

产品为专用硬件平台、安全操作系统和功能软件系统组成的软硬件一体化形态；采用“2+1”系统架构，即由两个主机系统和一个隔离交换专用硬件组成，采用特有控制逻辑和专用通讯协议控制数据的实时交换，实现安全隔离。

安全浏览

支持用户名+密码+IP+MAC等多种组合认证方式，对多次认证失败的用户可锁定其IP或用户名；支持安全浏览用户管理，可管理在线用户、离线用户、禁用用户、失败用户等；

★支持http命令过滤、网页关键字过滤；支持URL地址过滤；支持MIME类型细粒度控制，如网页中的应用程序、视频、 (略) 细粒度控制；支持对HTML细粒度控制，如网页中的Script脚本、ActiveX脚本、java applet等； (略) 页文件下载控制，可限制下载文件大小、过滤下载文件类型。(提供界面截图，未提供的视为不响应该条技术参数要求。)

支持安全浏览审计日志，详细记录时间、用户、IP、MAC、方法、URL等信息；

邮件访问

支持基于SMTP协议邮件发送和POP3协议邮件接收， (略) 隔离环境下可实现邮件安全收、发；

★支持对邮件地址、主题、正文内容、附件、关键字等过滤；支持附件大小控制、附件扩展名过滤、支持邮箱黑白名单过滤。(提供界面截图，未提供的视为不响应该条技术参数要求。)

支持邮件收发日志记录，详细记录时间、用户、发送者、接收者、IP、邮件主题、附件等信息，方便日志审计和管理；

FTP访问

支持对FTP主动、被动传输模式的转换，并可灵活设置允许或禁止传输；

★支持对FTP命令字的黑名单控制策略，支持对用户、命令、文件类型等细粒度访问控制，支持文件大小、文件名传输控制策略，支持传输文件扩展名过滤。(提供界面截图，未提供的视为不响应该条技术参数要求。)

支持文件传输时的身份认证功能，支持用户分组控制策略，对不 (略) 不同访问控制；

文件同步

★支 (略) 署方式， (略) 闸自身完成，无需开放应用通道，内外端完全隔离；支持Samba、NFS文件共享同步方式， (略) (略) 、 (略) 、双向的文件传送；支持病毒检测、传输后删除、改名传输、删除同步、目标检测等传输策略；支持立即同步、计划同步机制；支持常见文件内容深度检测，根据文件 (略) 过滤，不依赖于文件扩展名。(提供界面截图，未提供的视为不响应该条技术参数要求。)

具有文件同步审计日志，详细记录时间、任务名、同步的文件等信息

文件交换

★设备集成文件交换系统，由网闸本身提供文件交换空间，实现文件安全交换；支持内置、外置的Radius认证；支持用户名、密码、IP、MAC多种组合身份认证方式；支持文件大小、存放时间控制；支持文件病毒扫描；支持文件内容深度检测，能对DOC、DOCX、XLS、XLSX、PPT、PPTX、DBF、BMP、PNG、JPG、MP3、TIF、GIF、WMV等 (略) 检查根据文件 (略) 过滤，不依赖于文件扩展名；支持文件内容关键字过滤。(提供界面截图，未提供的视为不响应该条技术参数要求。)

支持专用文件交换客户端方式，可实现文件手动、自动收发模式；

具有文件交换审计日志，详细记录时间、发送用户名、IP、接收用户、任务名、发送文件名、文件大小等信息

数据库同步

★支持内置方式，无需在服务器上安装同步软件，网闸无需开放应用通道以杜绝安全隐患；支持ORACLE、SYBASE、MySQL、SQLServer、DB2等主流数据库；支持同构数据库、异构数据库的数据同步，无需修改数据库表结构。((提供界面截图，未提供的视为不响应该条技术参数要求。)

支持多种方式同步（如镜像、增量），同步模式支持单向和双向同步；可分别定义增加、删除、修改的数据传输；支持灵活的 (略) 理策略，当关键字数据发生冲突时可选择：覆盖/丢弃；支持任务单独启停管理，不影响数据库同步的 (略) ；

支持数据库同步实时日志记录，提供日志审计、查询；

系统管理

★ (略) 主机系统来 (略) 闸， (略) 闸的IP地址；支持采用硬件USB钥匙加密管理；提供调试工具，至少包括：telnet、traceroute、tcpdump、ping、ARP等调式工具；具有设备诊断功能，可导出诊断日志。（(提供界面截图，未提供的视为不响应该条技术参数要求。）

支持CPU、内存、硬盘、网口状态实时监控。

★ (略) 署模式：代理模式、虚拟路由模式、 (略) 关模式、 (略) 桥模式、 (略) 署模式； (略) (略) 、 (略) 等部署模式； (略) 间 (略) 署模式。（(提供界面截图，未提供的视为不响应该条技术参数要求。）

★设备带有液晶显示屏，可显示CPU、内存、接口IP等系统信息；可直接通过 (略) (略) 复位、关机等操作；液晶屏支持设备异常监测报警等功能。（提供证明图片，未提供的视为不响应该条技术参数要求。）

高级应用

★支持病毒检查：可对 (略) 病毒检测和过滤，支持病毒库在线升级和手动升级；支持入侵检测，可对常见攻击、SMTP攻击、FTP攻击、DNS攻击、DOS/DDOS攻击、 (略) (略) 检测防御；支持双机热备功能，通过独立的热备端口实现双机热备，可实现双机配置同步。（提供界面截图，未提供的视为不响应该条技术参数要求。）

带 (略) ，可采用分组认证授权；支持用户名密码、IP地址、MAC地址、IP与MAC绑定、网页认证、客户端认证等多种方式。

支持socks4/socks5代理；

审计管理

★网闸自带完善的日志审计服务，无需另装日志软件； (略) 浏览、查询、导出、删除操作；可详细记录管理员登录、 (略) 闸配置、网闸报警等操作审计日志；可详 (略) 页浏览、FTP访问、邮件访问、文件同步、文件交换、数据库同步等应用审计日志。（提供界面截图，未提供的视为不响应该条技术参数要求。）

日志支持本地和远程存储，能为第三方提供日志格式，实现日志数据分析；支持SysLog，Mysql标准；

日志可导出为WORD、EXCEL、PDF等格式

服务

(略) 一年售后服务

项目

参数要求

硬件规格

★标准机架式2U硬件,全模块化前置设计，标准配置8个10/ 点击查看>> M接口和2个扩展槽，扩展槽可以扩展8光或8电，或者扩展4个万兆接口，且每个端口均可做独立的安全域;吞吐量(bps):10G，最大并发连接数:180万，每秒新建会话数:3万。(请提供产品外观图)

性能参数

★整机吞吐率≥10G，并发连接数≥180万，每秒新建连接数≥30000

网络适应能力

产品支持路由、透明、交换以及混合模式接入，满足复杂应用环境的接入需求，支持旁路模式

★支持多ISP线路接入,内置电信、移动、联通、 (略) 的4个ISP地址库，能够智能选择电信、移动、联通、 (略) 等多出口链路，支持多ISP链路负载均衡和冗余备份；（提供证明截图，未提供的视为不响应该条技术参数要求。）

★支持物理子接口技术，可以虚拟多个逻辑接口（提供证明截图，未提供的视为不响应该条技术参数要求。）

(略) 桥模式接入，支持PPPoE接入，支持链路备份和链路聚合。

支持双向NAT，支持静态NAT和动态NAT；支持静态路由、VLAN间路由；支持基于接口、IP和服务的策略路由、负载均衡路由；

支持DDNS动态域名解析，支持：花生壳动态域名等

全 (略) 域网（VLAN）技术，能够同交换机的Trunk接口对接，为多个安全域提供安全功能，透明支持802.1q、VLAN协议、VTP协议，动态VLAN协议；

支持VPN功能，提供IPSEC、PPTP、SSL隧道VPN (略) 协议； 支持VPN多链路负载均衡、链路热备份和失效切换；

支持双机热备功能和VRRP协议；支持主主模式、主备模式功能，支持配置同步和会话同步；支持心跳、接口、链路故障监测,并提供界面截图；支持802.3ad链路聚合协议；（提供证明截图，未提供的视为不响应该条技术参数要求。）

IPv6支持

支持IPv6支持NAT64和DNS64

访问控制能力

★支持面向对象的安全策略管理机制以及开放性安全策略规则库，支持IP-MAC绑定，支持自定义正反对象，支持基于源IP地址、源接口、目的IP地址、目的接口、认证用户、服务、时间等多种元素制定灵活的访问控制策略； (要求提供截图，未提供的视为不响应该条技术参数要求。)

采用内核深度包检测（Kernel Deep Packet Inspact）技术，实现从第2层的帧过滤到第7层的应用识别过滤；支持URL级的访问控制，可以使用IP、用户名、时间等条件设定规则；

身份认证：支持PPPoE认证方式；触发式WEB认证方式；支持Web认证页面推送；支持自助注册认证账号，支持强制用户下线；可针对 (略) 带宽预约和控制；支持免认证用户策略

★支持防火墙集中管理，支持安全策略统一下发，支持防火墙日志集中管理；提供全中文、图形化的日志系统软件，支持日志回档和自动归档功能； (略) 络访问、流量、VPN、身份认证、URL信息的日志记录，（提供证明截图，未提供的视为不响应该条技术参数要求。）

支持应用协议流量详细分析：时间、 应用协议、详细用户分析(上行带宽Kbps\下行带宽Kbps\总带宽Kbps)、会话数、流量、带宽，

用户流量详细分析: 时间、 用户、应用协议总数、详细应用协议分析(应用协议、会话数、上行带宽Kbps\下行带宽Kbps\总带宽Kbps)、会话数、流量、带宽；

★支持带宽预约：支持身份识别用户的预约带宽，解决突发紧急带宽需要，按有效时间、使用次数策略，临时抢占带宽，提供更好的策略灵活性；基于用户的带宽控制：支持保证带宽分配、弹性带宽分配等根据优先级按需分配带宽；（提供证明截图，未提供的视为不响应该条技术参数要求。）

★ (略) 络流量趋势统计分析：时间（最近1小时、最近1天、最近1周、最近1月、最近1年）、流量(上行、下行)、带宽（上行、下行）、统计(最大值、最小值、平均值、当前值)，（提供截图，未提供的视为不响应该条技术参数要求。）

网络地址转换能力

支持全面的NAT转换能力，支持对源目的地址、端口的转换；包括一对一，一对多，多对一，多对多地址转换方式

抗攻击能力

支持基于安全域的攻击防护配置

★具有智能化防DoS攻击模块，可抗DoS、DdoS、SYN Flood、UDP Flood、 ICMP Flood、DNS Query Flood、LAND、TearDrop 、WINOOB、IGMPBOOM、SMURF等攻击；支持IDS/IPS联动，安全准入联动，支持第三方安全产品联动；（提供截图，未提供的视为不响应该条技术参数要求。）

支持DHCP防护，自带DHCP服务器， (略) DHCP服务器检查、DHCP请求检查等功能

系统管理

支持多系统冗余、系统版本回溯和切换；

支持多种管理方式，包括中文WEB、本地CONSOLE、远程SSH、TELNET、HTTP、HTTPS等

支 (略) 有配置和规则信息，支持按 (略) 策略配置备份和恢复

支持历史配置保存，可记录三个以上不同时间点的历史配置文件

系统监控能力

支持 (略) 监控，包括：a.接口信息监控；b.系统信息监控；c.资源状态监控；d.并发连接数监控；e.基于用 (略)

★支持策略使能按钮，无需编辑策略即可快速启用或禁用策略（提供截图，未提供的视为不响应该条技术参数要求。）

安全诊断能力

(略) 络诊断工具，包括PING、TraceRoute、Sniffer

技术指标

参数要求

系统总体要求

要求支持多级级联管理，至少支持三级以上多个管理控制台的数据级联上报和安全策 (略) ， (略) 络要求达到支持200台（最高支持5000台）以上计算机的管理，包含集中管理平台；

要求系统具备自身服 (略) 监测功能，对服 (略) (略) 监控，如CPU、内存及磁盘 (略) 监控。

要求客户端和服务器端相互通信使用PKI证书双向认证机制，遵循X.509标准,确保客户端唯一性，防止已安装同类客 (略) 络计算 (略) 络，同时也防止模拟的假客户端 (略) 通信。

要求支持目前主流的数据库，如：SQL Server、Oracle 、MySQL 、IBM DB2、PostGreSQL、Gbase；支持双数据库冗余设计为优

全面支持Windows系列操作系统（必须支持X64位系统），包括支持Windows 2000、XP、vista、 7、8、2003server、2008server 操作系统；

(略) 署和集中分权管理

系统构架上要能够支持采用集中管理、分级 (略) 署的方式，上级可以直接调用查询下级服务器的数据和控制下级服务器策略的功能。

要求系统必须能够实现对管理员基于 (略) 权限设置，可 (略) 分级的权限设置和管理。

支持根据 (略) 网络区域定义， (略) 络策略、用户策略、主机策略及用户策略,终端计算 (略) 处网络， (略) 对应安全策略。

要求支持管理员通过WEB管理界面对注册主机、非法主机、单位资产、接入控制、主机补 (略) 策略定制、下发及系统配置等管理工作。

终端准入控制

(略) (略) 授权认证，发现未经授权 (略) 为应能及时发现并 (略) 络，支持交换机基于802.1X的Radius认证

要求支持基于IP列表和终端水印认证双重准入判断，发现采用N (略) 的终端并强制认证。

要求支持对路由、无线、AP、HUB等环境下的终端实施准入控制，支持对IPHONE、IPAD等非windows操作系统的终端实施准入控制。

(略) (略) 工作VLAN的自动切换；

健康状态检查：包括补丁、防病毒和进程，可以根据健康检查结果（通过补丁更新状态、防病 (略) 和病毒库更新状态、以及进程黑/白/红名单控制状态）决定是否允许 (略) 络；

对Radius认证服务器的支持，系统必须集成Radius认证服务器，不依赖其它第三方认证服务器（如微软的IAS，思科的ACS）即可实现终端计算机接入认证，但必须支持微软的IAS，思科的ACS， (略) 选择。

非法外联

★要求能够对终端计算机 (略) (略) 控制， (略) 用户通过调制解调器、ADSL、 (略) (略) 拨号， (略) 为后，系统自 (略) 阻断。 (略) 连接测试必须支持 (略) 络条件，包 (略) 、脱离工作区 (略) 络等判别条件；支持 (略) 卡行为，可以 (略) 断网。（提供证明截图，未提供的视为不响应该条技术参数要求。）

审计功能

能够支持打印审计，应支持对本地打印，共享打印、 (略) 络打印 (略) (略) 审计；

要求支持对本地计算机的帐户安全 (略) 配置，并可设置弱口令检查，禁用guest用户，对帐户和组 (略) 监控和审计；

文件内容审计和监控，可根据设定的关键字对 (略) 检索，对检 (略) 审计；文件内容监控：支持Word、Excel、PowerPoint、Pdf、 Txt、Html、Xml等文件类型（包括微软新文件类型docx、xlsx、pptx等）

要求支持软件正版化校验，提供软件许可证定义管理，可 (略) 正版软件检查；

监控功能

要求支持对终端计算机MAC、IP地址、主机名、网关地址、网络掩码、DNS地址及IP地址获取方式(静态、DHCP)绑定（提供界面截图，未提供的视为不响应该条技术参数要求。）;

任何一个参数发生改变，系统将自动自动恢复原有配置并产生预警信息；支持ARP攻击、TCP洪水 (略) 络攻击的抵御

支持检查终端计算机共享文件夹功能，可以禁止使用默认共享和用户自建共享文件夹，可强制终端用户以 (略) 共享，并可自动将策略下发之前的可写共享强制为只读共享

★要求对 (略) 控制，控制外设接口的使用，启用或禁用软驱、光驱、U盘、USB接口、打印机、PCMCIA设备、智能卡设备、MODEM、串口、并口、1394接口、红外接口、蓝牙设备等。要求支持对手机、相机、扫描仪等图像设备的接入（提供证明截图，未提供的视为不响应该条技术参数要求。）

要求能够对设备的 (略) 管理，只有在管理员许可的情况下，才可以对设 (略) 操作。

要求采用进程、服务黑、白、红名单方式对终 (略) 管理；红名单： (略) 进程红名单的进程、 (略) (略) 理(断网保护、关机)。必须支持手动配置进程的MD5唯一校验码， (略) 名、版本、安装路径等信息，防止非法冒用或篡改；

要求对主 (略) 监控，包括CPU、内存及磁盘。可以设置阈值，当上述资源超过设定阈值后，应支持系统报警和 (略) 理方式。

要求能够对 (略) 监控，可以设置允许、禁止安装的软件，并对 (略) 审计和上报服务器。

要求能够 (略) 监控，可以禁止用户访问、修改注册表，并可以设置注册表自动恢复，对于 (略) (略) 理

(略) 健康监控，对终端计算机的安全状况的评分，可根据需要自定义安全评估项的分值，并为终端计算机用户提供手动评估计算机安全状况的手段，并定期生成安全趋势状态报表，以TOP形式体现；

安全服务

★能够远程查看终 (略) 的进程和服务，且支持远程停止进程和服务（提供界面截图，未提供的视为不响应该条技术参数要求。）.

(略) 远程锁定键盘、鼠标等输入设备，禁止终端计算机使用。远程修改终 (略) 络参数， (略) 络连接的修复，并且 (略) 远程注销和关机等。要求远程协助能够支持在线交流互动和文件传送、消息发送功能。

★远程协助途径要求支持WEB和程序工具两种方式都能实现，便于维护人员使用；（提供证明截图，未提供的视为不响应该条技术参数要求。）

支持远程软件分发，必须支持分发任意类型软件，包括：程序生成安装包、MSI安装包、独立软件安装包、各类脚本、文档。同时还需支持在登录用户是普通用户权限（无安装权限）情况下，进行软件自动分发、安装

要求注册客户端支持重要文件加密备份功能，服务器提供自身备份服务，文件备份服务提供用户身份认证、文件备份、文件恢复、备份文件历史查询等服务,要求支持增量备份及版本控制，禁止 (略) 络文件共享形式的备份。

移动存储管理

(略) 使用的移动存储介质做统一管理，禁止未经过注册的移动存 (略) 中使用。

对移动 (略) 安全级别划分，级别不同或者级别不够，不能正常的访问使用移动存储设备。

要求能够支持移动存储设备本地认证两种方式

★多分区U盘至少划分为启动区、交换区、保密区。

★交换区至少具备普通数据存储区及专用区，并可设置访问密码。密码输入超过自定义次数限制自动锁定；

补丁管理

★要求支持M (略) 的全系列安全补丁，如Windows系统、Office系列、IE、Exchenge、SQL Server等系统及应用程序的补丁；

★要求支持补丁测试功能，对新下 (略) 真实环境的自动测试，测试完成后确认补丁安全再在指定时间后大面积下发补丁。

要求补丁下发时支持补丁采用P2P技术的就近分发机制；

要求支持补丁迁移，对于 (略) 的服务器，可以通过下载管理器补丁导入导出的方式实现补丁迁移， (略) 增量导入

要求能够实现终端安装补丁情况的自动发现， (略) 缺少补丁的自动下发和安装（静默自动安装或用户手动选择）。

补丁分发支持完整的分发过程跟踪，包括分发状态和非法结果。可按照多种条件检索、查询和统计。

终端防火墙

要求内置防火墙功能，对终端计算机的 (略) 限定，对终 (略) (略) 控制。具有基 (略) 络访问控制能力、 (略) 络访问审计能力、支持策略模板；

资产管理

★要求客户端能够自动采集硬件设备信息（诸如硬盘、CPU、内存等）、位置信息（设备名称、使用人、联系电话、房间号等），客户端注册后可将资产信息存储到数据库中。（提供界面截图，未提供的视为不响应该条技术参数要求。）

要求能自动收集客户端的软、硬件资产，能够管理包括物理 (略) 有资产类型。可自动搜集的资产信息。

预警与报表管理

系统预警要求能够支持本地消息、 (略) 络、关机、重启、邮件、平台预警、运行脚本等多种报警方式。

要求能够对系统的 (略) 模版定制，方便管理员对日志的管理、维护、查询等工作。要能够根据报表模版定时生成报表，要能够按照日、周、月方式生成报表。至少支持EXCEL、PDF、HTML、JPG格式的文件导出。

服务和资质

(略) 授权和一年售后服务

项目

参数要求

硬件特性

★全模块化2U标准机架式设备,8个 点击查看>> M电口，2个扩展槽；扩展槽可扩展8光或8电，或者扩展4个万兆口,支 (略) 络环境监听，（可以根据用户的实际环境配置单模或者多模接口）， (略) 理2000W条SQL明细，支持1500人同时访问，配置1T存储。(请提供产品外观图，未提供的视为不响应该条技术参数要求。)

事件采集能力

★峰值可达20000条/秒

审计范围

★支持多种数据库类型包括Oracle，Microsoft SQL Server，DB2，Sybase, Informix、MySQL、人大金仓（Kingbase）、达梦(DM)等，支持对多种不同类型和不同版本的数据库的同时审计。 (略) 络对数据库操作的当前情况可以实时显示，及时发现异常信息。可同时审计HIS,LIC,PACS,OA,EMR等各种业务系统数据库（提供功能界面截图，未提供的视为不响应该条技术参数要求。）

系统采 (略) 和审计引擎一体化的结构，并且支持多引擎数据采集功能，在不同的数据采集点采集审计数据，并保存到审计设备中，实现集中控制查询审计信息功能。

★支持上下 (略) 署，告警信息可自动推送到上级设备，（提供功能界面截图，未提供的视为不响应该条技术参数要求。）

数据库审计

可以对B/S和C/S架构的中间件（比如WebLogic、WebSphere,DCOM等）进行审计。不仅可以审计到中间件服务器对数 (略) 为，还可以对中间件前端的 (略) (略) 审计，配备有自学习功能，可通过一段时间的学习，形成一个三层关联规则库，使三层关联更准确。

★为监察人员提供实时监视页面，支持对最近一段时间内的高、 (略) (略) 实时监视及统计，用户可以通过该页面概要了解最近一段时间内风险事件发生的情况， (略) 逻辑或物理位置追踪(提供相关功能界面截图)

★通过SQL语句合并归类实现对数据库语句共性的抽取，提升查询效率，节省存储空间，提供权威机构认可的原理说明（提供权威机构认可的原理说明的盖章证明文件，未提供的视为不响应该条技术参数要求。）

数据库安全

★产品拥有强大的数据库入侵检测规则库，能够对数十种针对数据库的常见漏洞和 (略) 检测，比如SQL注入，存储过程攻击，版本检测攻击，缓冲区溢出攻击，目录遍历攻击，拒绝服务攻击，权限绕过攻击，文件异常攻击等，（提供功能界面截图，未提供的视为不响应该条技术参数要求。）

审计策略

★支持数 (略) 时间、 (略) 回应、最大操作语句长度等作为分项响应条件；支持数据库操作返回内容、 (略) 数作为分项响应条件（提供功能界面截图，未提供的视为不响应该条技术参数要求。）

★内置强大的防统方规则库，能够 (略) 分HIS系统（如东软、东华、 (略) 置业、易联众、中联、金仕达、成电医星、杭创等），并根据用户的实际情况运用相 (略) 为识别规则库。 (略) (略) 分级预警，并通过 (略) 取证及回放。支持定义对应的黑名单、白名单规则，可以设置过滤规则，对无 (略) 审计。（提供功能界面截图，未提供的视为不响应该条技术参数要求。）

支持GB2312、Unicode、UTF-8、UTF-16等多编码格式的协议同时审计，避免因编码格式不同而导致审计记录出现乱码的情况，保证了审计记录的可读性；

★用户可通过输入关键的敏感信息，系统可自动生成规则（提供功能界面截图，未提供的视为不响应该条技术参数要求。）

允许用户通过操作时间域、操作方式、表名、存储过程、程序名、执行时长、 (略) 数、操作成功/失败、操作内容、数据库用户名、数据库名等配置审计规则或通过输入关键字系统自动生成默认规则。

★支持自定义防统方规则，通过在用户实际环境中一段时间的学习，用户可进一步自主完善防统方规则，自定义统方识别规则，可以对非法 (略) 专门审计，快速定位 (略) 为。（提供功能界面截图，未提供的视为不响应该条技术参数要求。）

审计查询

可以对DQL、DML、DDL、DCL等数 (略) 完整审计分析，同时还可对DBCC、SP_*、OPENDATASOURCE等ORALCE特有操作、用户自定义存储过程、特定 (略) 审计。

★支持对审计 (略) 多条件组合查询，所支持的查询条件包括IP地址、表名、操作方式，计算机名，数据库名，程序名，存储过程等，支持对审计数据 (略) 模糊查询，支持对审计数据的 (略) 二次深度查询，对此类事件统计并生成图表（提供功能界面截图，未提供的视为不响应该条技术参数要求。）

支持对数据库SQL操作语句的细粒度审计，可以分析出每条语句的操作方式、表名、存储过程名、详细操作内容，操作成功/失败等字段信息。

★支持对高危 (略) 二次编辑，使之产生更精确的报表，以图表方式展示各个字段，包括源IP、目标IP、SQL相似度、操作方式、操作对象、规则编号、应用程序名的统计情况，（提供功能界面截图，未提供的视为不响应该条技术参数要求。）

用于筛选数据库访问高危记录的安全过滤规则，支持以源IP、目标IP、SQL相似度、操作方式、操作对象、规则编号、应用程序名作为过滤字段设置过滤规则。

支持对某个 (略) 年、月、日、周和小时范围内的流量趋势分析，分析对象支持如下对象类型：总访问量、数据库用户、数据表、操作方式、程序名、源IP、存储过程等， (略) 年、月、日、周和小时范围内的某类对象的统计排名分析。

支持报表任务定制功能，可以自定义自动生成报表：数据库访问量统计报表和趋势报表、告警规则触发报表、访问源IP统计报表、操作方式统计报表、登录/退出数据库情况统计报表等周期性及一次性任务报表等，同时可以定制多条件组合的报表。

★提供高危报表功能，能够根据安全过滤规则，筛选出数据库访问的高危记录，分析统计后生成高危报表。能够以图表方式展示各个过滤字段（包括：源IP、目标IP、SQL相似度、操作方式、操作对象、规则编号、应用程序名）的高危记录统计情况，查看高危报表详情。（提供功能界面截图，未提供的视为不响应该条技术参数要求。）

允许用户通过操作源IP、操作源MAC、计算机名、程序名、生产数据库名、生产数据库用户名、操作内容、操作方式、表名等关键字段 (略) 数据过滤，只跟踪审计用户关心的数据。

能够分析出数据 (略) 有的SQL语句，对一个数据库操作会话中的整个操作过程一目了然的掌握和回溯，并在同一个窗口中展示会话和明细操作内容。

审计安全

★提供事件追踪页面，通过事件关联追踪排查事件，多维度定位事件状态，包括地点追踪、录像，（提供功能界面截图，未提供的视为不响应该条技术参数要求。）

配置管理

采用B/S管理方式，全中文界面

★支持对系统全集和分量（模块）的配置信息，执行备份与还原，分量包括：规则配置、报表配置、网络配置、用户配置、告警配置；

提供系统升级功能，能够通过升级包的方式实现升级

提供审计数据管理功能，能够实现对审计数据的自动备份、手动备份，支持增量、全量备份方式

能够实现对自动备份、手动备份审计数据的恢复还原

支持对审计数据存储容量达到一定阀值后，对老记录的自动删除功能

支持用户权限分立，实现管理的安全需要，可自定义用户帐号权限，设定权限范围，包括：审计引擎管理范围、审计信息管理范围等。

★支持TB级海量数据多关键字秒级快速检索，检索速度小于3秒，并能对查询结果以 (略) 统计排序；（提供权威机构认可的原理说明的盖章证明文件，未提供的视为不响应该条技术参数要求。）

支持安全的用户管理功能，包括用户登录失败锁定，以及超时无操作自动注销功能，同时可以对登录失败次数、锁定时间、自动注销时 (略) 设置。

通过界面可清楚看到审计设备的CPU,内存，硬盘的使用情况及设备 (略) 理SQL的事物数。

提供审计策略和配置的导入导出

响应方式

完整真实地记录及存储审计事件信息

系统管理界面告警，支持统一告警平台，安全管理人员通过对统一告警平台的查看，就可以知道数据库安全审计系统的告警情况，方便对 (略) 管理和查看。

Syslog告警

SNMP trap告警

邮件告警，声音告警，Windows消息

短信告警

服务

(略) 一年售后服务

采购编号

采购项目

数量

（单位）

采购预算

（人民币）

技术要求

JJJS-NC 点击查看>>

多功 (略) 闸

1台

点击查看>> 元

详见竞争性磋商文件

千兆防火墙

2台

终端管理系统

1台

千兆数据库安全审计系统

1台

自助系统服务器

4台

自助系统磁盘阵列

1台

自助系统磁盘阵列域控机

2台

机柜

1台

采购编号

采购项目

数量

（单位）

采购预算

（人民币）

技术要求

JJJS-NC 点击查看>>

多功 (略) 闸

1台

点击查看>> 元

详见竞争性磋商文件

千兆防火墙

2台

终端管理系统

1台

千兆数据库安全审计系统

1台

自助系统服务器

2台

自助系统磁盘阵列

1台

自助系统磁盘阵列域控机

2台

机柜

1台

评价因素

分值

说明

业绩

10分

供应商提供自2012年以来能够提供5-7份（含7份）单个项目合同金额≧200万元人民币的信息系统集成项目成功案例的得8分，提供第7份以上成功案例的每增加1份加1分，依次类推，最多得10分。

（评审依据：以上均须提供合同复印件加盖公章，并保证上述信息的真实有效，承担就 (略) 引起的一切法律后果）

注册资金

5分

500万元人民币≥供应商注册资金，不得分；

500万元人民币＜供应商注册资金≤1000 万元人民币，得1 分；

1000万元人民币＜供应商注册资金≤2000 万元人民币，得3 分；

2000万元人民币＜供应商注册资金，得5分。

（注：供应商注册资金如为外币，以现实时汇率等值换算）

(略) （6分）

供应商能够为本项目提供良好的售后服务质量并且具备充足良好的 (略) ，团队人员在20人或以上的得2分；团队人员在50人或以上的得6分。

（评审依据：提供售后服务人员名单及在 (略) 范围内缴纳的 (略) 保缴纳证明复印件加盖公章，原件备查）。

评价因素

分值

说明

业绩

10分

供应商提供自2011年以来能够提供5-7份（含7份）单个项目合同金额≧300万元人民币的信息系统集成项目成功案例的得6分，提供第8份或以上成功案例单个项目合同金额为≧500万元每宗，增加1份加1分，依次类推，最多得10分。

（评审依据：以上均须提供合同复印件加盖公章，并保证上述信息的真实有效，承担就 (略) 引起的一切法律后果）

注册资金

5分

500万元人民币≥供应商注册资金，不得分；

500万元人民币＜供应商注册资金≤1000 万元人民币，得1 分；

1000万元人民币＜供应商注册资金≤3000 万元人民币，得3 分；

3000万元人民币＜供应商注册资金，得5分。

（注：供应商注册资金如为外币，以现实时汇率等值换算）

(略) （6分）

供应商能够为本项目提供良好的售后服务质量并且具备充足良好的 (略) ，团队人员在20人或以上的得2分； (略) 中具有5名或以上具备MPM项目经理资格证书的得6分，该项最多得6分。

（评审依据：提供售后服务人员名单、项目经理资格证书及 (略) 保缴纳证明复印件加盖公章，原件开标时核查）。

技术指标

指标要求

硬件规格

★2U标准机架式机箱，全模块化设计，接口可按需灵活组合。 (略) 5个10/ 点击查看>> M RJ45接口，1个串口和2扩展槽；外网5个10/ 点击查看>> M RJ45接口，1个串口和2扩展槽；整机最多可扩展到26个电口，或者10个电口+16个光口(请提供产品外观图，未提供的视为不响应该条技术参数要求。)

系统架构

产品为专用硬件平台、安全操作系统和功能软件系统组成的软硬件一体化形态；采用“2+1”系统架构，即由两个主机系统和一个隔离交换专用硬件组成，采用特有控制逻辑和专用通讯协议控制数据的实时交换，实现安全隔离。

安全浏览

支持用户名+密码+IP+MAC等多种组合认证方式，对多次认证失败的用户可锁定其IP或用户名；支持安全浏览用户管理，可管理在线用户、离线用户、禁用用户、失败用户等；

★支持http命令过滤、网页关键字过滤；支持URL地址过滤；支持MIME类型细粒度控制，如网页中的应用程序、视频、 (略) 细粒度控制；支持对HTML细粒度控制，如网页中的Script脚本、ActiveX脚本、java applet等； (略) 页文件下载控制，可限制下载文件大小、过滤下载文件类型。(提供界面截图，未提供的视为不响应该条技术参数要求。)

支持安全浏览审计日志，详细记录时间、用户、IP、MAC、方法、URL等信息；

邮件访问

支持基于SMTP协议邮件发送和POP3协议邮件接收， (略) 隔离环境下可实现邮件安全收、发；

★支持对邮件地址、主题、正文内容、附件、关键字等过滤；支持附件大小控制、附件扩展名过滤、支持邮箱黑白名单过滤。(提供界面截图，未提供的视为不响应该条技术参数要求。)

支持邮件收发日志记录，详细记录时间、用户、发送者、接收者、IP、邮件主题、附件等信息，方便日志审计和管理；

FTP访问

支持对FTP主动、被动传输模式的转换，并可灵活设置允许或禁止传输；

★支持对FTP命令字的黑名单控制策略，支持对用户、命令、文件类型等细粒度访问控制，支持文件大小、文件名传输控制策略，支持传输文件扩展名过滤。(提供界面截图，未提供的视为不响应该条技术参数要求。)

支持文件传输时的身份认证功能，支持用户分组控制策略，对不 (略) 不同访问控制；

文件同步

★支 (略) 署方式， (略) 闸自身完成，无需开放应用通道，内外端完全隔离；支持Samba、NFS文件共享同步方式， (略) (略) 、 (略) 、双向的文件传送；支持病毒检测、传输后删除、改名传输、删除同步、目标检测等传输策略；支持立即同步、计划同步机制；支持常见文件内容深度检测，根据文件 (略) 过滤，不依赖于文件扩展名。(提供界面截图，未提供的视为不响应该条技术参数要求。)

具有文件同步审计日志，详细记录时间、任务名、同步的文件等信息

文件交换

★设备集成文件交换系统，由网闸本身提供文件交换空间，实现文件安全交换；支持内置、外置的Radius认证；支持用户名、密码、IP、MAC多种组合身份认证方式；支持文件大小、存放时间控制；支持文件病毒扫描；支持文件内容深度检测，能对DOC、DOCX、XLS、XLSX、PPT、PPTX、DBF、BMP、PNG、JPG、MP3、TIF、GIF、WMV等 (略) 检查根据文件 (略) 过滤，不依赖于文件扩展名；支持文件内容关键字过滤。(提供界面截图，未提供的视为不响应该条技术参数要求。)

支持专用文件交换客户端方式，可实现文件手动、自动收发模式；

具有文件交换审计日志，详细记录时间、发送用户名、IP、接收用户、任务名、发送文件名、文件大小等信息

数据库同步

★支持内置方式，无需在服务器上安装同步软件，网闸无需开放应用通道以杜绝安全隐患；支持ORACLE、SYBASE、MySQL、SQLServer、DB2等主流数据库；支持同构数据库、异构数据库的数据同步，无需修改数据库表结构。((提供界面截图，未提供的视为不响应该条技术参数要求。)

支持多种方式同步（如镜像、增量），同步模式支持单向和双向同步；可分别定义增加、删除、修改的数据传输；支持灵活的 (略) 理策略，当关键字数据发生冲突时可选择：覆盖/丢弃；支持任务单独启停管理，不影响数据库同步的 (略) ；

支持数据库同步实时日志记录，提供日志审计、查询；

系统管理

★ (略) 主机系统来 (略) 闸， (略) 闸的IP地址；支持采用硬件USB钥匙加密管理；提供调试工具，至少包括：telnet、traceroute、tcpdump、ping、ARP等调式工具；具有设备诊断功能，可导出诊断日志。（(提供界面截图，未提供的视为不响应该条技术参数要求。）

支持CPU、内存、硬盘、网口状态实时监控。

★ (略) 署模式：代理模式、虚拟路由模式、 (略) 关模式、 (略) 桥模式、 (略) 署模式； (略) (略) 、 (略) 等部署模式； (略) 间 (略) 署模式。（(提供界面截图，未提供的视为不响应该条技术参数要求。）

★设备带有液晶显示屏，可显示CPU、内存、接口IP等系统信息；可直接通过 (略) (略) 复位、关机等操作；液晶屏支持设备异常监测报警等功能。（提供证明图片，未提供的视为不响应该条技术参数要求。）

高级应用

★支持病毒检查：可对 (略) 病毒检测和过滤，支持病毒库在线升级和手动升级；支持入侵检测，可对常见攻击、SMTP攻击、FTP攻击、DNS攻击、DOS/DDOS攻击、 (略) (略) 检测防御；支持双机热备功能，通过独立的热备端口实现双机热备，可实现双机配置同步。（提供界面截图，未提供的视为不响应该条技术参数要求。）

带 (略) ，可采用分组认证授权；支持用户名密码、IP地址、MAC地址、IP与MAC绑定、网页认证、客户端认证等多种方式。

支持socks4/socks5代理；

审计管理

★网闸自带完善的日志审计服务，无需另装日志软件； (略) 浏览、查询、导出、删除操作；可详细记录管理员登录、 (略) 闸配置、网闸报警等操作审计日志；可详 (略) 页浏览、FTP访问、邮件访问、文件同步、文件交换、数据库同步等应用审计日志。（提供界面截图，未提供的视为不响应该条技术参数要求。）

日志支持本地和远程存储，能为第三方提供日志格式，实现日志数据分析；支持SysLog，Mysql标准；

日志可导出为WORD、EXCEL、PDF等格式

服务

(略) 一年售后服务

项目

参数要求

硬件规格

★ (略) 理器硬件构架，标配6个10/ 点击查看>> M自适应电口，4个SFP插槽，支持2个扩展槽，最大支持22个接口，1个Console口；2U机架式设备

性能参数

★整机吞吐率≥6G，并发连接数≥200万，每秒新建连接数≥80000

网络适应能力

产品支持路由、透明、交换以及混合模式接入，满足复杂应用环境的接入需求，支持旁路模式

★支持3G接入，支持3G及有线链路之间的互为备份

★支持物理子接口技术，可以虚拟多个逻辑接口（不依靠vlan区分）( (略) 实现, （提供证明截图，未提供的视为不响应该条技术参数要求。）

聚合模式（Channel模式）支持三种：轮询、热备、802.3ad（提供截图，未提供的视为不响应该条技术参数要求。）

★802.3ad方式支持3种负载算法：根据源目的mac组合、根据mac和ip组合、根据ip和TCP/UDP端口组合（提供截图，未提供的视为不响应该条技术参数要求。）

支持安全域的配置，包括二层安全域和三层安全域（提供截图，未提供的视为不响应该条技术参数要求。）

支持接口镜像（mirror接口）（提供截图，未提供的视为不响应该条技术参数要求。）

★支持DDNS动态域名解析，可实时查看域名、接口及IP的更新状态，支持四家服务商，分别为：oray：花生壳动态域名、pubyun：公云(3322)、changeip、noip

★支持DNS透明代理，防火墙收到客户端DNS请求报文时，防火墙会将请求报文中的DNS地址替换为防火墙指定的代理DNS地址，帮助其实现DNS解析（提供截图，未提供的视为不响应该条技术参数要求。）

★支持使用命令对策略路由默 (略) 调整（提供截图，未提供的视为不响应该条技术参数要求。）

★支持根据应 (略) 智能选路（提供截图，未提供的视为不响应该条技术参数要求。）

★支持基于权重的路由负载均衡，算法支持：源地址目的地址哈希、轮询、源地址哈希、目的地址哈希、源地址轮询、备份、随机、RTT最小、流量均衡（提供截图，未提供的视为不响应该条技术参数要求。）

IPv6支持

★支持IPv6邻居的动态管理和静态配置（提供截图），支持NAT64和DNS64（提供截图，未提供的视为不响应该条技术参数要求。）

访问控制能力

支持通过一条安全策略配置应用控制、入侵防护、URL过滤、病毒检测、内容过滤、 (略) 为管理等高级访问控制功能，且无需编辑即可直观审计策略配置(要求提供截图，未提供的视为不响应该条技术参数要求。)

★支持详尽细化的会话超时时间自定义设置，包括：TCP握手、TCP建立、TCP单向关闭、关闭、UDP单向数据、UDP的DNS、UDP的其他、其他协议、GRE协议、TCP长连接、UDP长连接和其他协议的长连接（提供截图，未提供的视为不响应该条技术参数要求。）

★支持基于地理区域的安全策略，支持地理区域对象的导入（提供截图，未提供的视为不响应该条技术参数要求。）

★支持会话限制功能，可以根据IP地址、安全域（入、出、双向）、应用设定限制策略（提供截图，未提供的视为不响应该条技术参数要求。）

支持对 (略) 有IP的新建和并发连接限制（提供截图，未提供的视为不响应该条技术参数要求。）

支持通过过滤条件对当前的 (略) 查询和统计（提供截图，未提供的视为不响应该条技术参数要求。）

★支持按源目的IP、源目的接口、用户、地理区 (略) 流量排名，并显示流量统计（提供截图，未提供的视为不响应该条技术参数要求。）

网络地址转换能力

支持全面的NAT转换能力，支持对源目的地址、端口的转换；包括一对一，一对多，多对一，多对多地址转换方式

★支持FULL_CONE和SYMMETRIC两种类型的转换方法，默认为SYMMETRIC（提供截图，未提供的视为不响应该条技术参数要求。）

★支持URL云查询，支持云端URL查询分析（提供截图，未提供的视为不响应该条技术参数要求。）

抗攻击能力

支持基于安全域的攻击防护配置

支持攻击防护类型包括：SYN Flood、ICMP Flood、UDP Flood、IP Flood、IP地址扫描攻击、端口扫描、异常包攻击（Ping of Death、Teardrop、IP选项、TCP异常、Smurf、Fraggle、Land、Winnuke、Tracert、ICMP Redirection、IP Snoofing、IP Fragment、ICMP Fragment、DNS异常、ICMP Oversize）、应用层Flood（HTTP Flood、DNS Flood）

★支持对应用层Flo (略) (略) 理动作：警告、阻断、普通防护、增强防护及授权服务器防护（提供截图，未提供的视为不响应该条技术参数要求。）

★支持TC反弹技术和ns重定向技术

★ (略) 域网广播防护， (略) (略) 域网广播防护及基于 (略) 域网广播防护， (略) 域网内广播和多播数据包泛滥， (略) 络正常通信（提供截图，未提供的视为不响应该条技术参数要求。）

★支持DHCP防护， (略) DHCP服务器检查、DHCP请求检查和DHCP请求限速等功能（提供截图，未提供的视为不响应该条技术参数要求。）

★支持SYN Cookie设置（提供截图，未提供的视为不响应该条技术参数要求。）

支持web管理界面下根 (略) 特征检索（提供截图，未提供的视为不响应该条技术参数要求。）

防病毒

提供全面、强劲的病毒检测及防护功能，支持通过对HTTP和FTP方式上传、下载文件、页面，或SMTP、POP3、IMAP协议发送的电子邮件及 (略) 病毒扫描，并可以根据 (略) (略) 理

支持的压缩文件解压层数，默认为3。最大支持6层

★支持病毒云查杀（提供截图，未提供的视为不响应该条技术参数要求。）

防弱口令扫描

★支持针对FTP、SMTP、POP3、IMAP协议防弱口令扫描功能，可以帮助用户记 (略) 络中猜测FTP用户名密码，邮件用 (略) 为。并支持生成动态策略，下发给防火墙，再次受到相同攻击时，用户可以选择禁止还是允许 (略) 为（提供截图，未提供的视为不响应该条技术参数要求。）

木马专项防护

★支持通木马云查杀功能生成日志或者动态策略。生成的木马专项查杀动态策略可以在数据被监测携带木马时，根据动态策略配置阻断数据或者记录日志（提供截图，未提供的视为不响应该条技术参数要求。）

动态策略

★防火墙动态策略功能，可以通过与入侵防护策略、防弱口令扫描、防病毒系统的联动，生成动态策略信息，根据用户在基本配置中配置的动态策略动作，命中动态策略的数据将会被阻断或者记录日志（提供截图，未提供的视为不响应该条技术参数要求。）

系统管理

★支持自定义管理权限，包括模块：系统、网路、路由、对象、安全、VPN、PKI、用户认证、行为管理、应用安全、日志、监控、账户、虚系统（提供截图，未提供的视为不响应该条技术参数要求。）

支持多种管理方式，包括中文WEB、本地CONSOLE、远程SSH、TELNET、HTTP、HTTPS等

★支持按照模块细化导入导出配置（提供截图，未提供的视为不响应该条技术参数要求。），支持配置集中管理与下发（提供截图，未提供的视为不响应该条技术参数要求。）

★支持历史配置保存，可记录三个不同时间点的历史配置文件（提供截图，未提供的视为不响应该条技术参数要求。）支持双系统备份，且在系统切换中可实现配置的自动迁移（提供截图，未提供的视为不响应该条技术参数要求。）

系统监控能力

支持 (略) 监控，包括：a.设备面板监控；b.接口信息监控；c.系统信息监控；d.资源状态监控；d.并发连接数监控；e.入侵防御监控；f.基于流 (略) ；g.基于用 (略)

★支持策略使能按钮，无需编辑策略即可快速启用或禁用策略（提供截图，未提供的视为不响应该条技术参数要求。）

★支持对象与策略引用关系的展示及查看，增加易用性（提供截图，未提供的视为不响应该条技术参数要求。）

安全诊断能力

支持在CLI下的在线抓包

支持在CLI下的调试工具

技术指标

参数要求

系统总体要求

要求支持多级级联管理，至少支持三级以上多个管理控制台的数据级联上报和安全策 (略) ， (略) 络要求达到支持200台（最高支持5000台）以上计算机的管理，包含集中管理平台；

要求系统具备自身服 (略) 监测功能，对服 (略) (略) 监控，如CPU、内存及磁盘 (略) 监控。

要求客户端和服务器端相互通信使用PKI证书双向认证机制，遵循X.509标准,确保客户端唯一性，防止已安装同类客 (略) 络计算 (略) 络，同时也防止模拟的假客户端 (略) 通信。

要求支持目前主流的数据库，如：SQL Server、Oracle 、MySQL 、IBM DB2、PostGreSQL、Gbase；支持双数据库冗余设计为优

★全面支持Windows系列操作系统（必须支持X64位系统），包括支持Windows 2000、XP、vista、 7、8、2003server、2008server 操作系统；

(略) 署和集中分权管理

系统构架上要能够支持采用集中管理、分级 (略) 署的方式，上级可以直接调用查询下级服务器的数据和控制下级服务器策略的功能。

要求系统必须能够实现对管理员基于 (略) 权限设置，可 (略) 分级的权限设置和管理。

★支持根据 (略) 网络区域定义， (略) 络策略、用户策略、主机策略及用户策略（根据登 * 系统用户决定安全策略）终端计算 (略) 处网络， (略) 对应安全策略。

要求支持管理员通过WEB管理界面对注册主机、非法主机、单位资产、接入控制、主机补 (略) 策略定制、下发及系统配置等管理工作。

终端准入控制

★ (略) (略) 授权认证，发现未经授权 (略) 为应能及时发现并 (略) 络，支持交换机基于802.1X的Radius认证

要求必须支持支持 (略) 署模式，支持策略路由、镜像旁路、透明串接等多种准入控制模式。

要求支持基于IP列表和终端水印认证双重准入判断，发现采用N (略) 的终端并强制认证。

要求支持对路由、无线、AP、HUB等环境下的终端实施准入控制，支持对IPHONE、IPAD等非windows操作系统的终端实施准入控制。

★ (略) (略) 工作VLAN的自动切换；

健康状态检查：包括补丁、防病毒和进程，可以根据健康检查结果（通过补丁更新状态、防病 (略) 和病毒库更新状态、以及进程黑/白/红名单控制状态）决定是否允许 (略) 络；

★对Radius认证服务器的支持，系统必须集成Radius认证服务器，不依赖其它第三方认证服务器（如微软的IAS，思科的ACS）即可实现终端计算机接入认证，但必须支持微软的IAS，思科的ACS， (略) 选择。

非法外联

★要求能够对终端计算机 (略) (略) 控制， (略) 用户通过调制解调器、ADSL、 (略) (略) 拨号， (略) 为后，系统自 (略) 阻断。 (略) 连接测试必须支持 (略) 络条件，包 (略) 、脱离工作区 (略) 络等判别条件；支持 (略) 卡行为，可以 (略) 断网。

审计功能

能够支持打印审计，应支持对本地打印，共享打印、 (略) 络打印 (略) (略) 审计；

要求支持对本地计算机的帐户安全 (略) 配置，并可设置弱口令检查，禁用guest用户，对帐户和组 (略) 监控和审计；

文件内容审计和监控，可根据设定的关键字对 (略) 检索，对检 (略) 审计；★文件内容监控：支持Word、Excel、PowerPoint、Pdf、 Txt、Html、Xml等文件类型（包括微软新文件类型docx、xlsx、pptx等）

要求支持软件正版化校验，提供软件许可证定义管理，可 (略) 正版软件检查；

监控功能

要求支持对终端计算机MAC、IP地址、主机名、网关地址、网络掩码、DNS地址及IP地址获取方式(静态、DHCP)绑定（提供界面截图，未提供的视为不响应该条技术参数要求。）;

任何一个参数发生改变，系统将自动报警，报警后自动恢复原有配置；支持ARP攻击、TCP洪水 (略) 络攻击的抵御

支持检查终端计算机共享文件夹功能，可以禁止使用默认共享和用户自建共享文件夹，可强制终端用户以 (略) 共享，并可自动将策略下发之前的可写共享强制为只读共享

★要求对 (略) 控制，控制外设接口的使用，启用或禁用软驱、光驱、U盘、USB接口、打印机、PCMCIA设备、智能卡设备、MODEM、串口、并口、1394接口、红外接口、蓝牙设备等。要求支持对手机、相机、扫描仪等图像设备的接入

要求能够对设备的 (略) 管理，只有在管理员许可的情况下，才可以对设 (略) 操作。

★要求采用进程、服务黑、白、红名单方式对终 (略) 管理；红名单： (略) 进程红名单的进程、 (略) (略) 理(断网保护、关机)。必须支持手动配置进程的MD5唯一校验码， (略) 名、版本、安装路径等信息，防止非法冒用或篡改；

要求对主 (略) 监控，包括CPU、内存及磁盘。可以设置阈值，当上述资源超过设定阈值后，应支持系统报警和 (略) 理方式。

★要求能够对 (略) 监控，可以设置允许、禁止安装的软件，并对 (略) 审计和上报服务器。

要求能够 (略) 监控，可以禁止用户访问、修改注册表，并可以设置注册表自动恢复，对于 (略) (略) 理

★ (略) 健康监控，对终端计算机的安全状况的评分，可根据需要自定义安全评估项的分值，并为终端计算机用户提供手动评估计算机安全状况的手段，并定期生成安全趋势状态报表，以TOP形式体现；

安全服务

★能够远程查看终 (略) 的进程和服务，且支持远程停止进程和服务（提供界面截图，未提供的视为不响应该条技术参数要求。）.

(略) 远程锁定键盘、鼠标等输入设备，禁止终端计算机使用。远程修改终 (略) 络参数， (略) 络连接的修复，并且 (略) 远程注销和关机等。要求远程协助能够支持在线交流互动和文件传送、消息发送功能。

★远程协助途径要求支持WEB和程序工具两种方式都能实现，便于维护人员使用；

支持远程软件分发，必须支持分发任意类型软件，包括：程序生成安装包、MSI安装包、独立软件安装包、各类脚本、文档。同时还需支持在登录用户是普通用户权限（无安装权限）情况下，进行软件自动分发、安装

★要求注册客户端支持重要文件加密备份功能，服务器提供自身备份服务，文件备份服务提供用户身份认证、文件备份、文件恢复、备份文件历史查询等服务,要求支持增量备份及版本控制，禁止 (略) 络文件共享形式的备份。

移动存储管理

(略) 使用的移动存储介质做统一管理，禁止未经过注册的移动存 (略) 中使用。

对移动 (略) 安全级别划分，级别不同或者级别不够，不能正常的访问使用移动存储设备。

★要求能够支持移动存储设备本地认证两种方式

★多分区U盘至少划分为启动区、交换区、保密区。

★交换区至少具备普通数据存储区及专用区，并可设置访问密码。密码输入超过自定义次数限制自动锁定；

补丁管理

★要求支持M (略) 的全系列安全补丁，如Windows系统、Office系列、IE、Exchenge、SQL Server等系统及应用程序的补丁；

★要求支持补丁测试功能，对新下 (略) 真实环境的自动测试，测试完成后确认补丁安全再在指定时间后大面积下发补丁。

要求补丁下发时支持补丁采用P2P技术的就近分发机制；

要求支持补丁迁移，对于 (略) 的服务器，可以通过下载管理器补丁导入导出的方式实现补丁迁移， (略) 增量导入

要求能够实现终端安装补丁情况的自动发现， (略) 缺少补丁的自动下发和安装（静默自动安装或用户手动选择）。

补丁分发支持完整的分发过程跟踪，包括分发状态和非法结果。可按照多种条件检索、查询和统计。

终端防火墙

要求内置防火墙功能，对终端计算机的 (略) 限定，对终 (略) (略) 控制。具有基 (略) 络访问控制能力、 (略) 络访问审计能力、支持策略模板；

资产管理

★要求客户端能够自动采集硬件设备信息（诸如硬盘、CPU、内存等）、位置信息（设备名称、使用人、联系电话、房间号等），客户端注册后可将资产信息存储到数据库中。（提供界面截图，未提供的视为不响应该条技术参数要求。）

★要求能自动收集客户端的软、硬件资产，能够管理包括物理 (略) 有资产类型。可自动搜集的资产信息。

预警与报表管理

系统预警要求能够支持本地消息、 (略) 络、关机、重启、邮件、平台预警、运行脚本等多种报警方式。

要求能够对系统的 (略) 模版定制，方便管理员对日志的管理、维护、查询等工作。要能够根据报表模版定时生成报表，要能够按照日、周、月方式生成报表。至少支持EXCEL、PDF、HTML、JPG格式的文件导出。

服务和资质

(略) 授权和一年售后服务

项目

参数要求

硬件特性

★专用硬件平台和安全操作系统，内置1TB磁盘存储空间。主机带6个千兆自适应电口，1个Console口，2个USB口，支持液晶屏。(请提供产品外观图，未提供的视为不响应该条技术参数要求。)

事件采集能力

★峰值可达10000条/秒

审计范围

★审计包括包括MS SQL Server、Oracle、DB2、Sybase、MySQL、Informix、达梦、Postgresql、Cache等在内的多种数据库（提供功能界面截图，未提供的视为不响应该条技术参数要求。）

数据库审计

★支持Cache数据库集成工具terminal、portal、studio、Sqlmanager、MedTrak工具的审计，其中Portal能审计到sql语句、查询Global、返回结果，Terminal能审计到M语句和返回结果（提供审计界面截图，未提供的视为不响应该条技术参数要求。）

中间件的支持，支持COM、COM+、DCOM组件（提供审计界面截图，未提供的视为不响应该条技术参数要求。）

数据库安全

★支持对SQL注入、跨站脚本攻击等web攻击的识别与告警（提供功能界面截图，未提供的视为不响应该条技术参数要求。）

审计策略

★支持数 (略) 时间、 (略) 回应、最大操作语句长度等作为分项响应条件；支持数据库操作返回内容、 (略) 数作为分项响应条件（提供功能界面截图，未提供的视为不响应该条技术参数要求。）

审计查询

★审计数据支持18种以上查询条件，可支持按数据库操作命令（包括select、create等14个命令）、语句长度、 (略) 回应、 (略) 时间、返回内容、 (略) 数、数据库名、数据库账户、服务器端口、客户端操作系统主机名、客户端操作系统用户名、客户端MAC、客户端IP、客户端端口、客户端进程名、会话ID、关键字、时间（包括开始、结束日期） (略) 查询（提供功能界面截图，未提供的视为不响应该条技术参数要求。）

审计安全

★审计结果隐秘设置，通过*号对审计结果中的 (略) (略) 理，防止非法权限查看（提供审计界面截图，未提供的视为不响应该条技术参数要求。）

★系统本身具备能发现未知仿冒进程工具、防范非法IP地址、防范暴力破解登录用户密码、设置系统黑白名单等安全功能（提供功能界面截图，未提供的视为不响应该条技术参数要求。）

配置管理

采用B/S管理方式，全中文界面

提供系统升级功能，能够通过升级包的方式实现升级

提供审计数据管理功能，能够实现对审计数据的自动备份、手动备份，支持增量、全量备份方式

能够实现对自动备份、手动备份审计数据的恢复还原

支持对审计数据存储容量达到一定阀值后，对老记录的自动删除功能

提供设备自身CPU、内存、磁盘、网口、运行时间、运行状态等信息的监视功能

提供审计策略和配置的导入导出

响应方式

完整真实地记录及存储审计事件信息

系统管理界面告警

Syslog告警

SNMP trap告警

邮件告警

短信告警

服务

(略) 一年售后服务

技术指标

指标要求

硬件规格

★2U标准机架式机箱，全模块化设计，接口可按需灵活组合。 (略) 4个10/ 点击查看>> M RJ45接口，1个串口和2扩展槽；外网4个10/ 点击查看>> M RJ45接口，1个串口和2扩展槽；整机最多可扩展到26个电口，或者10个电口+16个光口(请提供产品外观图)

系统架构

产品为专用硬件平台、安全操作系统和功能软件系统组成的软硬件一体化形态；采用“2+1”系统架构，即由两个主机系统和一个隔离交换专用硬件组成，采用特有控制逻辑和专用通讯协议控制数据的实时交换，实现安全隔离。

安全浏览

支持用户名+密码+IP+MAC等多种组合认证方式，对多次认证失败的用户可锁定其IP或用户名；支持安全浏览用户管理，可管理在线用户、离线用户、禁用用户、失败用户等；

★支持http命令过滤、网页关键字过滤；支持URL地址过滤；支持MIME类型细粒度控制，如网页中的应用程序、视频、 (略) 细粒度控制；支持对HTML细粒度控制，如网页中的Script脚本、ActiveX脚本、java applet等； (略) 页文件下载控制，可限制下载文件大小、过滤下载文件类型。(提供界面截图，未提供的视为不响应该条技术参数要求。)

支持安全浏览审计日志，详细记录时间、用户、IP、MAC、方法、URL等信息；

邮件访问

支持基于SMTP协议邮件发送和POP3协议邮件接收， (略) 隔离环境下可实现邮件安全收、发；

★支持对邮件地址、主题、正文内容、附件、关键字等过滤；支持附件大小控制、附件扩展名过滤、支持邮箱黑白名单过滤。(提供界面截图，未提供的视为不响应该条技术参数要求。)

支持邮件收发日志记录，详细记录时间、用户、发送者、接收者、IP、邮件主题、附件等信息，方便日志审计和管理；

FTP访问

支持对FTP主动、被动传输模式的转换，并可灵活设置允许或禁止传输；

★支持对FTP命令字的黑名单控制策略，支持对用户、命令、文件类型等细粒度访问控制，支持文件大小、文件名传输控制策略，支持传输文件扩展名过滤。(提供界面截图，未提供的视为不响应该条技术参数要求。)

支持文件传输时的身份认证功能，支持用户分组控制策略，对不 (略) 不同访问控制；

文件同步

★支 (略) 署方式， (略) 闸自身完成，无需开放应用通道，内外端完全隔离；支持Samba、NFS文件共享同步方式， (略) (略) 、 (略) 、双向的文件传送；支持病毒检测、传输后删除、改名传输、删除同步、目标检测等传输策略；支持立即同步、计划同步机制；支持常见文件内容深度检测，根据文件 (略) 过滤，不依赖于文件扩展名。(提供界面截图，未提供的视为不响应该条技术参数要求。)

具有文件同步审计日志，详细记录时间、任务名、同步的文件等信息

文件交换

★设备集成文件交换系统，由网闸本身提供文件交换空间，实现文件安全交换；支持内置、外置的Radius认证；支持用户名、密码、IP、MAC多种组合身份认证方式；支持文件大小、存放时间控制；支持文件病毒扫描；支持文件内容深度检测，能对DOC、DOCX、XLS、XLSX、PPT、PPTX、DBF、BMP、PNG、JPG、MP3、TIF、GIF、WMV等 (略) 检查根据文件 (略) 过滤，不依赖于文件扩展名；支持文件内容关键字过滤。(提供界面截图，未提供的视为不响应该条技术参数要求。)

支持专用文件交换客户端方式，可实现文件手动、自动收发模式；

具有文件交换审计日志，详细记录时间、发送用户名、IP、接收用户、任务名、发送文件名、文件大小等信息

数据库同步

★支持内置方式，无需在服务器上安装同步软件，网闸无需开放应用通道以杜绝安全隐患；支持ORACLE、SYBASE、MySQL、SQLServer、DB2等主流数据库；支持同构数据库、异构数据库的数据同步，无需修改数据库表结构。((提供界面截图，未提供的视为不响应该条技术参数要求。)

支持多种方式同步（如镜像、增量），同步模式支持单向和双向同步；可分别定义增加、删除、修改的数据传输；支持灵活的 (略) 理策略，当关键字数据发生冲突时可选择：覆盖/丢弃；支持任务单独启停管理，不影响数据库同步的 (略) ；

支持数据库同步实时日志记录，提供日志审计、查询；

系统管理

★ (略) 主机系统来 (略) 闸， (略) 闸的IP地址；支持采用硬件USB钥匙加密管理；提供调试工具，至少包括：telnet、traceroute、tcpdump、ping、ARP等调式工具；具有设备诊断功能，可导出诊断日志。（(提供界面截图，未提供的视为不响应该条技术参数要求。）

支持CPU、内存、硬盘、网口状态实时监控。

★ (略) 署模式：代理模式、虚拟路由模式、 (略) 关模式、 (略) 桥模式、 (略) 署模式； (略) (略) 、 (略) 等部署模式； (略) 间 (略) 署模式。（(提供界面截图，未提供的视为不响应该条技术参数要求。）

★设备带有液晶显示屏，可显示CPU、内存、接口IP等系统信息；可直接通过 (略) (略) 复位、关机等操作；液晶屏支持设备异常监测报警等功能。（提供证明图片，未提供的视为不响应该条技术参数要求。）

高级应用

★支持病毒检查：可对 (略) 病毒检测和过滤，支持病毒库在线升级和手动升级；支持入侵检测，可对常见攻击、SMTP攻击、FTP攻击、DNS攻击、DOS/DDOS攻击、 (略) (略) 检测防御；支持双机热备功能，通过独立的热备端口实现双机热备，可实现双机配置同步。（提供界面截图，未提供的视为不响应该条技术参数要求。）

带 (略) ，可采用分组认证授权；支持用户名密码、IP地址、MAC地址、IP与MAC绑定、网页认证、客户端认证等多种方式。

支持socks4/socks5代理；

审计管理

★网闸自带完善的日志审计服务，无需另装日志软件； (略) 浏览、查询、导出、删除操作；可详细记录管理员登录、 (略) 闸配置、网闸报警等操作审计日志；可详 (略) 页浏览、FTP访问、邮件访问、文件同步、文件交换、数据库同步等应用审计日志。（提供界面截图，未提供的视为不响应该条技术参数要求。）

日志支持本地和远程存储，能为第三方提供日志格式，实现日志数据分析；支持SysLog，Mysql标准；

日志可导出为WORD、EXCEL、PDF等格式

服务

(略) 一年售后服务

项目

参数要求

硬件规格

★标准机架式2U硬件,全模块化前置设计，标准配置8个10/ 点击查看>> M接口和2个扩展槽，扩展槽可以扩展8光或8电，或者扩展4个万兆接口，且每个端口均可做独立的安全域;吞吐量(bps):10G，最大并发连接数:180万，每秒新建会话数:3万。(请提供产品外观图)

性能参数

★整机吞吐率≥10G，并发连接数≥180万，每秒新建连接数≥30000

网络适应能力

产品支持路由、透明、交换以及混合模式接入，满足复杂应用环境的接入需求，支持旁路模式

★支持多ISP线路接入,内置电信、移动、联通、 (略) 的4个ISP地址库，能够智能选择电信、移动、联通、 (略) 等多出口链路，支持多ISP链路负载均衡和冗余备份；（提供证明截图，未提供的视为不响应该条技术参数要求。）

★支持物理子接口技术，可以虚拟多个逻辑接口（提供证明截图，未提供的视为不响应该条技术参数要求。）

(略) 桥模式接入，支持PPPoE接入，支持链路备份和链路聚合。

支持双向NAT，支持静态NAT和动态NAT；支持静态路由、VLAN间路由；支持基于接口、IP和服务的策略路由、负载均衡路由；

支持DDNS动态域名解析，支持：花生壳动态域名等

全 (略) 域网（VLAN）技术，能够同交换机的Trunk接口对接，为多个安全域提供安全功能，透明支持802.1q、VLAN协议、VTP协议，动态VLAN协议；

支持VPN功能，提供IPSEC、PPTP、SSL隧道VPN (略) 协议； 支持VPN多链路负载均衡、链路热备份和失效切换；

支持双机热备功能和VRRP协议；支持主主模式、主备模式功能，支持配置同步和会话同步；支持心跳、接口、链路故障监测,并提供界面截图；支持802.3ad链路聚合协议；（提供证明截图，未提供的视为不响应该条技术参数要求。）

IPv6支持

支持IPv6支持NAT64和DNS64

访问控制能力

★支持面向对象的安全策略管理机制以及开放性安全策略规则库，支持IP-MAC绑定，支持自定义正反对象，支持基于源IP地址、源接口、目的IP地址、目的接口、认证用户、服务、时间等多种元素制定灵活的访问控制策略； (要求提供截图，未提供的视为不响应该条技术参数要求。)

采用内核深度包检测（Kernel Deep Packet Inspact）技术，实现从第2层的帧过滤到第7层的应用识别过滤；支持URL级的访问控制，可以使用IP、用户名、时间等条件设定规则；

身份认证：支持PPPoE认证方式；触发式WEB认证方式；支持Web认证页面推送；支持自助注册认证账号，支持强制用户下线；可针对 (略) 带宽预约和控制；支持免认证用户策略

★支持防火墙集中管理，支持安全策略统一下发，支持防火墙日志集中管理；提供全中文、图形化的日志系统软件，支持日志回档和自动归档功能； (略) 络访问、流量、VPN、身份认证、URL信息的日志记录，（提供证明截图，未提供的视为不响应该条技术参数要求。）

支持应用协议流量详细分析：时间、 应用协议、详细用户分析(上行带宽Kbps\下行带宽Kbps\总带宽Kbps)、会话数、流量、带宽，

用户流量详细分析: 时间、 用户、应用协议总数、详细应用协议分析(应用协议、会话数、上行带宽Kbps\下行带宽Kbps\总带宽Kbps)、会话数、流量、带宽；

★支持带宽预约：支持身份识别用户的预约带宽，解决突发紧急带宽需要，按有效时间、使用次数策略，临时抢占带宽，提供更好的策略灵活性；基于用户的带宽控制：支持保证带宽分配、弹性带宽分配等根据优先级按需分配带宽；（提供证明截图，未提供的视为不响应该条技术参数要求。）

★ (略) 络流量趋势统计分析：时间（最近1小时、最近1天、最近1周、最近1月、最近1年）、流量(上行、下行)、带宽（上行、下行）、统计(最大值、最小值、平均值、当前值)，（提供截图，未提供的视为不响应该条技术参数要求。）

网络地址转换能力

支持全面的NAT转换能力，支持对源目的地址、端口的转换；包括一对一，一对多，多对一，多对多地址转换方式

抗攻击能力

支持基于安全域的攻击防护配置

★具有智能化防DoS攻击模块，可抗DoS、DdoS、SYN Flood、UDP Flood、 ICMP Flood、DNS Query Flood、LAND、TearDrop 、WINOOB、IGMPBOOM、SMURF等攻击；支持IDS/IPS联动，安全准入联动，支持第三方安全产品联动；（提供截图，未提供的视为不响应该条技术参数要求。）

支持DHCP防护，自带DHCP服务器， (略) DHCP服务器检查、DHCP请求检查等功能

系统管理

支持多系统冗余、系统版本回溯和切换；

支持多种管理方式，包括中文WEB、本地CONSOLE、远程SSH、TELNET、HTTP、HTTPS等

支 (略) 有配置和规则信息，支持按 (略) 策略配置备份和恢复

支持历史配置保存，可记录三个以上不同时间点的历史配置文件

系统监控能力

支持 (略) 监控，包括：a.接口信息监控；b.系统信息监控；c.资源状态监控；d.并发连接数监控；e.基于用 (略)

★支持策略使能按钮，无需编辑策略即可快速启用或禁用策略（提供截图，未提供的视为不响应该条技术参数要求。）

安全诊断能力

(略) 络诊断工具，包括PING、TraceRoute、Sniffer

技术指标

参数要求

系统总体要求

要求支持多级级联管理，至少支持三级以上多个管理控制台的数据级联上报和安全策 (略) ， (略) 络要求达到支持200台（最高支持5000台）以上计算机的管理，包含集中管理平台；

要求系统具备自身服 (略) 监测功能，对服 (略) (略) 监控，如CPU、内存及磁盘 (略) 监控。

要求客户端和服务器端相互通信使用PKI证书双向认证机制，遵循X.509标准,确保客户端唯一性，防止已安装同类客 (略) 络计算 (略) 络，同时也防止模拟的假客户端 (略) 通信。

要求支持目前主流的数据库，如：SQL Server、Oracle 、MySQL 、IBM DB2、PostGreSQL、Gbase；支持双数据库冗余设计为优

全面支持Windows系列操作系统（必须支持X64位系统），包括支持Windows 2000、XP、vista、 7、8、2003server、2008server 操作系统；

(略) 署和集中分权管理

系统构架上要能够支持采用集中管理、分级 (略) 署的方式，上级可以直接调用查询下级服务器的数据和控制下级服务器策略的功能。

要求系统必须能够实现对管理员基于 (略) 权限设置，可 (略) 分级的权限设置和管理。

支持根据 (略) 网络区域定义， (略) 络策略、用户策略、主机策略及用户策略,终端计算 (略) 处网络， (略) 对应安全策略。

要求支持管理员通过WEB管理界面对注册主机、非法主机、单位资产、接入控制、主机补 (略) 策略定制、下发及系统配置等管理工作。

终端准入控制

(略) (略) 授权认证，发现未经授权 (略) 为应能及时发现并 (略) 络，支持交换机基于802.1X的Radius认证

要求支持基于IP列表和终端水印认证双重准入判断，发现采用N (略) 的终端并强制认证。

要求支持对路由、无线、AP、HUB等环境下的终端实施准入控制，支持对IPHONE、IPAD等非windows操作系统的终端实施准入控制。

(略) (略) 工作VLAN的自动切换；

健康状态检查：包括补丁、防病毒和进程，可以根据健康检查结果（通过补丁更新状态、防病 (略) 和病毒库更新状态、以及进程黑/白/红名单控制状态）决定是否允许 (略) 络；

对Radius认证服务器的支持，系统必须集成Radius认证服务器，不依赖其它第三方认证服务器（如微软的IAS，思科的ACS）即可实现终端计算机接入认证，但必须支持微软的IAS，思科的ACS， (略) 选择。

非法外联

★要求能够对终端计算机 (略) (略) 控制， (略) 用户通过调制解调器、ADSL、 (略) (略) 拨号， (略) 为后，系统自 (略) 阻断。 (略) 连接测试必须支持 (略) 络条件，包 (略) 、脱离工作区 (略) 络等判别条件；支持 (略) 卡行为，可以 (略) 断网。（提供证明截图，未提供的视为不响应该条技术参数要求。）

审计功能

能够支持打印审计，应支持对本地打印，共享打印、 (略) 络打印 (略) (略) 审计；

要求支持对本地计算机的帐户安全 (略) 配置，并可设置弱口令检查，禁用guest用户，对帐户和组 (略) 监控和审计；

文件内容审计和监控，可根据设定的关键字对 (略) 检索，对检 (略) 审计；文件内容监控：支持Word、Excel、PowerPoint、Pdf、 Txt、Html、Xml等文件类型（包括微软新文件类型docx、xlsx、pptx等）

要求支持软件正版化校验，提供软件许可证定义管理，可 (略) 正版软件检查；

监控功能

要求支持对终端计算机MAC、IP地址、主机名、网关地址、网络掩码、DNS地址及IP地址获取方式(静态、DHCP)绑定（提供界面截图，未提供的视为不响应该条技术参数要求。）;

任何一个参数发生改变，系统将自动自动恢复原有配置并产生预警信息；支持ARP攻击、TCP洪水 (略) 络攻击的抵御

支持检查终端计算机共享文件夹功能，可以禁止使用默认共享和用户自建共享文件夹，可强制终端用户以 (略) 共享，并可自动将策略下发之前的可写共享强制为只读共享

★要求对 (略) 控制，控制外设接口的使用，启用或禁用软驱、光驱、U盘、USB接口、打印机、PCMCIA设备、智能卡设备、MODEM、串口、并口、1394接口、红外接口、蓝牙设备等。要求支持对手机、相机、扫描仪等图像设备的接入（提供证明截图，未提供的视为不响应该条技术参数要求。）

要求能够对设备的 (略) 管理，只有在管理员许可的情况下，才可以对设 (略) 操作。

要求采用进程、服务黑、白、红名单方式对终 (略) 管理；红名单： (略) 进程红名单的进程、 (略) (略) 理(断网保护、关机)。必须支持手动配置进程的MD5唯一校验码， (略) 名、版本、安装路径等信息，防止非法冒用或篡改；

要求对主 (略) 监控，包括CPU、内存及磁盘。可以设置阈值，当上述资源超过设定阈值后，应支持系统报警和 (略) 理方式。

要求能够对 (略) 监控，可以设置允许、禁止安装的软件，并对 (略) 审计和上报服务器。

要求能够 (略) 监控，可以禁止用户访问、修改注册表，并可以设置注册表自动恢复，对于 (略) (略) 理

(略) 健康监控，对终端计算机的安全状况的评分，可根据需要自定义安全评估项的分值，并为终端计算机用户提供手动评估计算机安全状况的手段，并定期生成安全趋势状态报表，以TOP形式体现；

安全服务

★能够远程查看终 (略) 的进程和服务，且支持远程停止进程和服务（提供界面截图，未提供的视为不响应该条技术参数要求。）.

(略) 远程锁定键盘、鼠标等输入设备，禁止终端计算机使用。远程修改终 (略) 络参数， (略) 络连接的修复，并且 (略) 远程注销和关机等。要求远程协助能够支持在线交流互动和文件传送、消息发送功能。

★远程协助途径要求支持WEB和程序工具两种方式都能实现，便于维护人员使用；（提供证明截图，未提供的视为不响应该条技术参数要求。）

支持远程软件分发，必须支持分发任意类型软件，包括：程序生成安装包、MSI安装包、独立软件安装包、各类脚本、文档。同时还需支持在登录用户是普通用户权限（无安装权限）情况下，进行软件自动分发、安装

要求注册客户端支持重要文件加密备份功能，服务器提供自身备份服务，文件备份服务提供用户身份认证、文件备份、文件恢复、备份文件历史查询等服务,要求支持增量备份及版本控制，禁止 (略) 络文件共享形式的备份。

移动存储管理

(略) 使用的移动存储介质做统一管理，禁止未经过注册的移动存 (略) 中使用。

对移动 (略) 安全级别划分，级别不同或者级别不够，不能正常的访问使用移动存储设备。

要求能够支持移动存储设备本地认证两种方式

★多分区U盘至少划分为启动区、交换区、保密区。

★交换区至少具备普通数据存储区及专用区，并可设置访问密码。密码输入超过自定义次数限制自动锁定；

补丁管理

★要求支持M (略) 的全系列安全补丁，如Windows系统、Office系列、IE、Exchenge、SQL Server等系统及应用程序的补丁；

★要求支持补丁测试功能，对新下 (略) 真实环境的自动测试，测试完成后确认补丁安全再在指定时间后大面积下发补丁。

要求补丁下发时支持补丁采用P2P技术的就近分发机制；

要求支持补丁迁移，对于 (略) 的服务器，可以通过下载管理器补丁导入导出的方式实现补丁迁移， (略) 增量导入

要求能够实现终端安装补丁情况的自动发现， (略) 缺少补丁的自动下发和安装（静默自动安装或用户手动选择）。

补丁分发支持完整的分发过程跟踪，包括分发状态和非法结果。可按照多种条件检索、查询和统计。

终端防火墙

要求内置防火墙功能，对终端计算机的 (略) 限定，对终 (略) (略) 控制。具有基 (略) 络访问控制能力、 (略) 络访问审计能力、支持策略模板；

资产管理

★要求客户端能够自动采集硬件设备信息（诸如硬盘、CPU、内存等）、位置信息（设备名称、使用人、联系电话、房间号等），客户端注册后可将资产信息存储到数据库中。（提供界面截图，未提供的视为不响应该条技术参数要求。）

要求能自动收集客户端的软、硬件资产，能够管理包括物理 (略) 有资产类型。可自动搜集的资产信息。

预警与报表管理

系统预警要求能够支持本地消息、 (略) 络、关机、重启、邮件、平台预警、运行脚本等多种报警方式。

要求能够对系统的 (略) 模版定制，方便管理员对日志的管理、维护、查询等工作。要能够根据报表模版定时生成报表，要能够按照日、周、月方式生成报表。至少支持EXCEL、PDF、HTML、JPG格式的文件导出。

服务和资质

(略) 授权和一年售后服务

项目

参数要求

硬件特性

★全模块化2U标准机架式设备,8个 点击查看>> M电口，2个扩展槽；扩展槽可扩展8光或8电，或者扩展4个万兆口,支 (略) 络环境监听，（可以根据用户的实际环境配置单模或者多模接口）， (略) 理2000W条SQL明细，支持1500人同时访问，配置1T存储。(请提供产品外观图，未提供的视为不响应该条技术参数要求。)

事件采集能力

★峰值可达20000条/秒

审计范围

★支持多种数据库类型包括Oracle，Microsoft SQL Server，DB2，Sybase, Informix、MySQL、人大金仓（Kingbase）、达梦(DM)等，支持对多种不同类型和不同版本的数据库的同时审计。 (略) 络对数据库操作的当前情况可以实时显示，及时发现异常信息。可同时审计HIS,LIC,PACS,OA,EMR等各种业务系统数据库（提供功能界面截图，未提供的视为不响应该条技术参数要求。）

系统采 (略) 和审计引擎一体化的结构，并且支持多引擎数据采集功能，在不同的数据采集点采集审计数据，并保存到审计设备中，实现集中控制查询审计信息功能。

★支持上下 (略) 署，告警信息可自动推送到上级设备，（提供功能界面截图，未提供的视为不响应该条技术参数要求。）

数据库审计

可以对B/S和C/S架构的中间件（比如WebLogic、WebSphere,DCOM等）进行审计。不仅可以审计到中间件服务器对数 (略) 为，还可以对中间件前端的 (略) (略) 审计，配备有自学习功能，可通过一段时间的学习，形成一个三层关联规则库，使三层关联更准确。

★为监察人员提供实时监视页面，支持对最近一段时间内的高、 (略) (略) 实时监视及统计，用户可以通过该页面概要了解最近一段时间内风险事件发生的情况， (略) 逻辑或物理位置追踪(提供相关功能界面截图)

★通过SQL语句合并归类实现对数据库语句共性的抽取，提升查询效率，节省存储空间，提供权威机构认可的原理说明（提供权威机构认可的原理说明的盖章证明文件，未提供的视为不响应该条技术参数要求。）

数据库安全

★产品拥有强大的数据库入侵检测规则库，能够对数十种针对数据库的常见漏洞和 (略) 检测，比如SQL注入，存储过程攻击，版本检测攻击，缓冲区溢出攻击，目录遍历攻击，拒绝服务攻击，权限绕过攻击，文件异常攻击等，（提供功能界面截图，未提供的视为不响应该条技术参数要求。）

审计策略

★支持数 (略) 时间、 (略) 回应、最大操作语句长度等作为分项响应条件；支持数据库操作返回内容、 (略) 数作为分项响应条件（提供功能界面截图，未提供的视为不响应该条技术参数要求。）

★内置强大的防统方规则库，能够 (略) 分HIS系统（如东软、东华、 (略) 置业、易联众、中联、金仕达、成电医星、杭创等），并根据用户的实际情况运用相 (略) 为识别规则库。 (略) (略) 分级预警，并通过 (略) 取证及回放。支持定义对应的黑名单、白名单规则，可以设置过滤规则，对无 (略) 审计。（提供功能界面截图，未提供的视为不响应该条技术参数要求。）

支持GB2312、Unicode、UTF-8、UTF-16等多编码格式的协议同时审计，避免因编码格式不同而导致审计记录出现乱码的情况，保证了审计记录的可读性；

★用户可通过输入关键的敏感信息，系统可自动生成规则（提供功能界面截图，未提供的视为不响应该条技术参数要求。）

允许用户通过操作时间域、操作方式、表名、存储过程、程序名、执行时长、 (略) 数、操作成功/失败、操作内容、数据库用户名、数据库名等配置审计规则或通过输入关键字系统自动生成默认规则。

★支持自定义防统方规则，通过在用户实际环境中一段时间的学习，用户可进一步自主完善防统方规则，自定义统方识别规则，可以对非法 (略) 专门审计，快速定位 (略) 为。（提供功能界面截图，未提供的视为不响应该条技术参数要求。）

审计查询

可以对DQL、DML、DDL、DCL等数 (略) 完整审计分析，同时还可对DBCC、SP_*、OPENDATASOURCE等ORALCE特有操作、用户自定义存储过程、特定 (略) 审计。

★支持对审计 (略) 多条件组合查询，所支持的查询条件包括IP地址、表名、操作方式，计算机名，数据库名，程序名，存储过程等，支持对审计数据 (略) 模糊查询，支持对审计数据的 (略) 二次深度查询，对此类事件统计并生成图表（提供功能界面截图，未提供的视为不响应该条技术参数要求。）

支持对数据库SQL操作语句的细粒度审计，可以分析出每条语句的操作方式、表名、存储过程名、详细操作内容，操作成功/失败等字段信息。

★支持对高危 (略) 二次编辑，使之产生更精确的报表，以图表方式展示各个字段，包括源IP、目标IP、SQL相似度、操作方式、操作对象、规则编号、应用程序名的统计情况，（提供功能界面截图，未提供的视为不响应该条技术参数要求。）

用于筛选数据库访问高危记录的安全过滤规则，支持以源IP、目标IP、SQL相似度、操作方式、操作对象、规则编号、应用程序名作为过滤字段设置过滤规则。

支持对某个 (略) 年、月、日、周和小时范围内的流量趋势分析，分析对象支持如下对象类型：总访问量、数据库用户、数据表、操作方式、程序名、源IP、存储过程等， (略) 年、月、日、周和小时范围内的某类对象的统计排名分析。

支持报表任务定制功能，可以自定义自动生成报表：数据库访问量统计报表和趋势报表、告警规则触发报表、访问源IP统计报表、操作方式统计报表、登录/退出数据库情况统计报表等周期性及一次性任务报表等，同时可以定制多条件组合的报表。

★提供高危报表功能，能够根据安全过滤规则，筛选出数据库访问的高危记录，分析统计后生成高危报表。能够以图表方式展示各个过滤字段（包括：源IP、目标IP、SQL相似度、操作方式、操作对象、规则编号、应用程序名）的高危记录统计情况，查看高危报表详情。（提供功能界面截图，未提供的视为不响应该条技术参数要求。）

允许用户通过操作源IP、操作源MAC、计算机名、程序名、生产数据库名、生产数据库用户名、操作内容、操作方式、表名等关键字段 (略) 数据过滤，只跟踪审计用户关心的数据。

能够分析出数据 (略) 有的SQL语句，对一个数据库操作会话中的整个操作过程一目了然的掌握和回溯，并在同一个窗口中展示会话和明细操作内容。

审计安全

★提供事件追踪页面，通过事件关联追踪排查事件，多维度定位事件状态，包括地点追踪、录像，（提供功能界面截图，未提供的视为不响应该条技术参数要求。）

配置管理

采用B/S管理方式，全中文界面

★支持对系统全集和分量（模块）的配置信息，执行备份与还原，分量包括：规则配置、报表配置、网络配置、用户配置、告警配置；

提供系统升级功能，能够通过升级包的方式实现升级

提供审计数据管理功能，能够实现对审计数据的自动备份、手动备份，支持增量、全量备份方式

能够实现对自动备份、手动备份审计数据的恢复还原

支持对审计数据存储容量达到一定阀值后，对老记录的自动删除功能

支持用户权限分立，实现管理的安全需要，可自定义用户帐号权限，设定权限范围，包括：审计引擎管理范围、审计信息管理范围等。

★支持TB级海量数据多关键字秒级快速检索，检索速度小于3秒，并能对查询结果以 (略) 统计排序；（提供权威机构认可的原理说明的盖章证明文件，未提供的视为不响应该条技术参数要求。）

支持安全的用户管理功能，包括用户登录失败锁定，以及超时无操作自动注销功能，同时可以对登录失败次数、锁定时间、自动注销时 (略) 设置。

通过界面可清楚看到审计设备的CPU,内存，硬盘的使用情况及设备 (略) 理SQL的事物数。

提供审计策略和配置的导入导出

响应方式

完整真实地记录及存储审计事件信息

系统管理界面告警，支持统一告警平台，安全管理人员通过对统一告警平台的查看，就可以知道数据库安全审计系统的告警情况，方便对 (略) 管理和查看。

Syslog告警

SNMP trap告警

邮件告警，声音告警，Windows消息

短信告警

服务

(略) 一年售后服务