序号

设备名称

设备规格参数

数量

单位

1

下 * 代防火墙

1) 标准机架式设备，占用机柜空间≤1U, 单交流电源；≥6个 * / 点击查看>> M Base-TX；至少支持 * 个扩展槽位;支持面板液晶屏显示；

具备防火墙模块、入侵防御模块、防病毒模块、 (略) 为管理模块，并提供特征库升级授权及维保服务；整机吞吐≥5Gbps，并发连接数≥ * 万，每秒新建连接数≥2万；IPS吞吐量≥3Gbps，防病毒吞吐量≥1.2Gbps，VPN Ipsec隧道数≥ * 条.

2)提供基于应用的路由选路功能，可为不同应用协议、传输的不同格式文件、不同的URL访问智能选择相应的链路；

3) (略) 捆绑技术，支持手动捆绑和 * .3ad协议自动协商捆绑，至少支持基于IP&MAC\MAC\IP&PORT的负载算法；（截图证明）

4) 支持系统主要防护功能的统 * 化模版设置，模版分为高、中、低 * 个级别，分别对应不同防护强度，可通过Web界面单击选择切换（提供web界面功能截图）

5)支持基于数据包的安全域、地址、用户及用户组、MAC、端口号、服务、 (略) 安全策略控制；

6) 为降低配置和运维难度，提升设备整体性能，必须尽可能减少设备配置规则数量（规则越多设备实际性能越低），要求必须通过 * 条策略实现用户认证、入侵防护、病毒防护、 (略) 为管理、邮件审计、垃圾邮件过滤、流量控制、连接数控制、审计等功能；（截图证明）

7) 支持标准的IPSec VPN功能，支持DMVPN，在增加 * 个新 (略) 关后， (略) 网关更改任何配置，且支持路由推送，实现spoke to spoke互通，不必建立额外隧道；（截图证明）

8) 支持syslog，为实现日志冗余措施，应支持同时向3个以上syslog服务器发送syslog日志；（截图证明）

9)支持新建连接数限制， (略) 或 (略) 限制，对于超 (略) 为，可 (略) 日志提醒，（截图证明）

* )入侵防御事件库至少应包括木马后门、间谍软件、 (略) 为、 (略) 络数据库攻击等的特征事件；提供相关界面截图证明。（截图证明）；

* ) 支持IPv4和IPv6双栈协议下的病毒扫描与防护，支持快速扫描、全面扫描模式。采用自有知识产权的病毒防护引擎，包括病毒检测引擎和病毒分析引擎，且病毒库不少于 * 万种病毒特征（提供相关专利证明）

* )支持HTTP Flood攻击防御，能够根据源主机GET、POST速率等参数定义防御级别；支持抗攻击流量清洗，并能够实时呈现攻击流量和感兴趣流量的比例，（截图证明）

* ) 必须支持 * 权分立功能，内置系统管理员、安全保密管理员、安全审计管理员；在 * 权分立模式下，对日志文件以加密方式导出。为方便运维管理操作，要求产品支持中英文界面，且支持基于WEB界面的 (略) 功能, 能够通过w (略) debug、traceroute、a (略) 络调试。(截图证明)

* ) 产品具有中国信 (略) 颁发的《信息技术产品安全测评证书EAL3+》；提供证书复印件证明

* ) 产品具有中 (略) (略) 颁发的《涉密信息系统产品检测证书》；提供证书复印件证明

* ) 产品要求符合“GB/T 点击查看>> 6信息安全技术防火墙技术要求和测试评价方法( * 级) (略) 关检测报告。提供证明文件

* ）产品 (略) 颁发的信息安全专用产品销售许可证；（增强级）提供证书复印件证明，

* ) 厂商资质：为保证产品成熟稳定， (略) 商应属于微软MAPP (略) 伙伴，可优先获得微软安全威胁第 * 手资料，用于提升安全产品检测能力；具备中国信息安 (略) 颁发的《国家信息安全认证信息安全服务资质证书》（安全工程类 * 级）； (略) 商加入云安全联盟CSA（Cloud Security Alliance）, 作为该联盟成员，可及时获得病毒、木马、 (略) 、 (略) 络等样本信息，为用户提供更及时的安全防护；（提供证明资料）

1

套

2

运维堡垒机

1、1U机架式软硬 * 体设备，单电源, 至少支持6个千兆电口，具有 * 个扩展插槽; 硬盘容量1TB；字符协议不低于 * 个；图形协议不低于 * 个; 可管理设备数不低于 * 台.

2、部署方式支持物理旁路，逻辑串联模式，不影响正常业务流量;支持HA双机热备; (略) 署：支持添加多台（≥3台）协议代理服务器， (略) 性能压力；并支持通过不同的协议代理服务器节点访问不同的资源，多协议代理服务器节点可访问相同资源时实现自动负载均衡（需提供截图）

3、支持NA (略) 署，通过映射后的IP地址访问堡垒机

4、支持协议审计有，字符协议：SSHv1、SSHv2、TELNET、RLOGIN

图形协议：RDP、VNC、X *

文件传输协议：FTP、SFTP

数据库协议：支持Oracle、MS SQL Server、IBM DB2、Sybase、IBM Informix Dynamic Server、MySQL、PostgreSQL、TeraData等数据库类型.

5、支持通过 (略) 协议审计，记录命令详情，包括字符协议和数据库协议等，审计回放支持协议回放和图形回放.

6、支持web页面防跳转功能，进行http/https访问过程中，运维人员仅允许访问授权地址。

7、支持Oracle、postgresql、sybase、mysql、sqlserve (略) (略) 数和oracle数据库变量绑定。（需提供截图）

8、支持运维客户端功能，运维操作过程不依赖浏览器和JAVA环境。（需提供截图）

9、支持通过堡垒机web页面内嵌SSH、FTP、TELNET运维工具访问目标资源.

* 、RDP协议支持windows服务端开启安全层SSL加密，加密级别符合FIPS标准， (略) (略) 络级别身份验证的远程桌面的计算机连接。（需提供截图）

* 、系统级账号 * 权分立，系统级账号包括：系统账号管理员，系统审计员，系统管理员；业务管理员以业务管理权限范围实现不同业务管理员权限的完全隔离，可设置业务管理员可管理的用户组和资源组范围。（需提供截图）

* 、从账号密码代填自动登录，使用人员不必知道服务器帐号及密码（包括http/https访问的账号密码代填）.

* 、基于用户、用户组、目标设备、系统帐号、协议类型、生效时间范围、IP地址限制等设置访问控制策略.

* 、按用户、目标设备、系统帐号、命令集和生效时间等内容或按访问授权策略设定安全事件规则；支持指令黑白名单.

* 、对违规或高危操作的指令（黑名单）进行日志提醒、忽略命令、阻断会话或 * 次审批支持对违规或高危指令的正则表达式设置匹配规则。（需提供截图）

* 、支持运维用户和用户组的管理，包括添加、修改、删除、启用/停用、移动资源和移除组成员功能；支持运维用户账号的批量导入导出功能

* 、支持运维用户使用有效期配置；支持运维用户客户端IP和MAC限制。（需提供截图）

* 、支持运维用户密码策略，包括：最小密码长度、密码复杂度、密码周期、历史比对和登录锁定;

* 、以WEB在线视频回放方式重现维护人员 (略) 有操作过程，无须在客户端安装播放客户端软件.

* 、以CSV、HTML方式生成并导出报表；管理员自定义审计报表；以日报、周报、月报的方式自动生成周期性报表. （需提供截图）

* 、支持数据备份，具备空间自管理功能，存储空间不足时能够自动清理历史数据， 可自定义清理存储空间的阀值（需提供截图）

* 、产品须获 (略) 涉密信息系统安 (略) 《涉密信息系统产品检测证书》；并提供证书复印件

* 、产品须具有中国信 (略) 《信息技术产品安全测评证书》EAL3+级；并提供证书复印件

* 、厂商资质：为保证产品成熟稳定， (略) 商应属于微软MAPP (略) 伙伴，可优先获得微软安全威胁第 * 手资料，用于提升安全产品检测能力；具备中国信息安 (略) 颁发的《国家信息安全认证信息安全服务资质证书》（安全工程类 * 级）； (略) 商加入云安全联盟CSA（Cloud Security Alliance）, 作为该联盟成员，可及时获得病毒、木马、 (略) 、 (略) 络等样本信息，为用户提供更及时的安全防护；（提供证明资料）

1

套

3

内网安全

管理系统

1、要求平台软件集合传统桌面管理，终端防病毒为 * 身，能从根本上解决了终端计算机对蠕虫病毒的主动防御、Windows补 * 管理、非授权访问控制、端点准入控制、 (略) 环境的标准化、数据防泄露和自动化管理等 * 系列问题，满足等保主机防护要求。

2、客户端支持Windows XP SP3，Windows 7, Windows 8, Windows (略) 署。提供 * 个终端数授权

3、支持Windows、Linux、Android、iOS等系统平台自带的 * .1X客户端 (略) 认证。支持的目录服务包括本地目录服务和AD域等第 * 方目录服务。如果计算机终端未安装客户端程序，则会被重新定向UR (略) 页下载 (略) 安装，在此基础上修复安全漏洞。

4、支持多种方式 (略) (略) 审计和告警，告警方式包括：手机短信、电子邮件和声音告警。（提供界面截图）

5、具备Windows服务管理功能。能够禁用或启用终端指定软件服务。能够启用和修改Windows本地策略中的“审核策略”和账户策略及选项；能够启用或禁用Windows本地策略中的“安全选项”中“隐藏上次登录用户名”和“关机时清理虚拟内存页面文件”选项，能够对Windows本地策略中的“用户权限分配”进行设置。

6、 (略) (略) 监控和管理，可以根据终端应用系统终端带宽阀值，保证关键应用系统带宽资源，阻断终端异 (略) 的阻塞。将蠕虫病毒或非 (略) 络的影响减到最小。

7、 (略) 络 (略) 监测和控制， (略) 为异常包括但不 (略) 络连接、 (略) 为、异常的终端流量等，避免 (略) 络异常导致 (略) 网络阻塞或者瘫痪。（提供界面截图）

8、 自动收集终端软、硬件信息，集 (略) 署的软件资产情况。支持补 * 分发。 (略) 商自己的补 (略) 补 * 下载并分发。

9、支持终端主机名策略，能够禁止用户修改主机名，如果违规修改主机名，系统将自动将终端主机名恢复到绑定的主机名程。

* 、支持对终端接入的移动存储设备提供认证、授权和审计，确保终端使用认证通过的移动储存设备， (略) 授权共享，彻底杜绝通过移动存储设备的数据非法外泄。

* 、支持对终端的共享目录、网络拷贝、全盘、本地盘和移动盘的 (略) 审计。能够对 (略) (略) 审计和控制，禁止指定 (略) 为。

* 、能够对终端磁盘上是否存在 (略) 审计。支持用户自定义涉密信息关键字、正则表达式，支持的文档格式包括：支持的文件格式包括：各版本MS Office文档、Wps、Rtf、Pdf、各类文本格式等等。

* 、涉密信息审计和查询，支持查询终端当前及历史涉密信息，涉密文件的的变更信息。（提供界面截图）

* 、持以基于中文分词的文件指纹作为涉密标识符，文件指纹支持对文档格式变形和内容变形的审计和阻止。（提供界面截图）

* 、能够审计并阻止本地文档拷贝至移动盘、 (略) (略) 为，上报拷贝包含指定关键词、正则表达式、指纹等涉密的文件。并可标识是否拷贝了加密文件（office、压缩包等）。

* 、能够审计并阻止QQ外发 (略) 为，上报QQ外发包含指定关键词、正则表达式、指纹等涉密的文件。能够可禁止QQ发送图片和接收图片（提供界面截图）

* 、能够审计邮件客户端发送详细信息：收件人、抄送人、密送人、主题、正文内容、附件信息；能够审计并阻止邮件内容或附件是否包含关键词、正则表达式、文件指纹等，并可标识是否外发了加密文件（office、压缩包等）能够审计并阻止通过Web邮箱、博客、微博、 (略) 页形式 (略) 为。上报外发文字包含指定关键词、正则表达式、指 (略) 页。（提供界面截图）

* 、能够自定义软件进程列表，审计自定义外发 (略) 为，上报包含指定关键词、正则表达式、指纹的文件外发。,并可标识是否外发了加密文件（office、压缩包等）。

能够控制自定义进程外发 (略) 为，包含指定关键词、正则表达式、指纹的文件不允许外发。

* 、 支持由管理员自定义设置要求终端用户提供准确的身份信息，管理员可以自定义需要终端用户选择和填写客户端注册信息项目内容、注册项排列顺序和必填项。

* 、支持对安装系统的服务器 (略) 实时监控，可以监控和显示服务器的CPU使用率、内存使用率、 (略) 在硬盘分区使用率和数据库可用磁盘空间的状况。

* 、支持的数据库为SQL Server 点击查看>> 5 Express/ 点击查看>> Express。客户端支持Windows * /XP/ 点击查看>> /Vista/Windows 7 /Windows 8的 * 位操作系统和Windows XP/ 点击查看>> /Windows 7 / Windows 8的 * 位操作系统。（提供界面截图）

* 、系统 (略) 后，资源占用小，Agent占用的CPU利用率应< 1％，Memory占用大小应< * M。网络性能影响要求： (略) 后，对网络性能基本无影响。（提供界面截图）

* 、系统具有功能强大的身份认证系统和良好的自身安全性，没有预留的后门，客户端与服务器的 (略) 验证，客户端软件卸载需要提供卸载密码。

* 、产品必须具备有中华人民 (略) 颁发的《计算机信息系统安全专用产品销售许可证》提供证书复印件证明

* 、产品具 (略) 颁发的《计算机软件著作权登记证书》。提供证书复印件证明

* 、为保证产品成熟稳定， (略) 商应属于微软MAPP (略) 伙伴，可优先获得微软安全威胁第 * 手资料，用于提升安全产品检测能力；具备中国信息安 (略) 颁发的《国家信息安全认证信息安全服务资质证书》（安全工程类 * 级）； (略) 商加入云安全联盟CSA（Cloud Security Alliance）, 作为该联盟成员，可及时获得病毒、木马、 (略) 、 (略) 络等样本信息，为用户提供更及时的安全防护；（提供证明资料）

1

套

序号

服务名称

详细服务内容

数量

单位

1

(略) 服务及安全运维服务

1、资产分析：对参与安全等级保 (略) 资产信息调查、网络结构调查、安全系统调查等，形成最终的资产报告。

（1）资产调查：调查和统计服务范围内的信息资产。

（2）网络调查： (略) 有网络的 (略) 调查，并按统 * 标准绘制成图。

（3）安全系统调查：包括但不限于明确现有安全设备(包括防火墙、防病毒系统、入侵检测系统等)的部署情况和使用情况，编制安全区域图。

提交成果：《信息系统资产调查表》

2、 (略) ：在招标方 (略) 定级的基础上，中标方参照国家和地方对信息系统安全等级保护定级的有关要求，对信息系统开展摸底调查工作，掌握信息系统的基本情况，了解信息系统（ (略) 络）的业务类型、应用或服务范围、用户数量、系统结构、部署方式、安全策略、内控制度等信息，撰写信息系统定级报告，明确信息系统的边界和安全保护等级，说明定级的方法和理由。并收集整理定级系统 (略) 络与信 (略) 安 (略) 需的资料和文档。

提交成果：《信息系统安全等级保护定级报告》

3、协助备案：根据《信息安全等级保护管理办法》，信息系统安全保护等级为第 * 级以上的信息系统运营使用 (略) 门， (略) 网站下载《信息系统安全等级保护备案表》， (略) 方填写《信息系统安全等级保护备案表》，同时协助到公安机关完成备案工作。如需反复多次修改，须按照单 (略) 要求修正。

提交成果：《信息系统安全等级保护备案表》

4、风险评估：

（1）根据《信息系统安全等级保护定级报告》和信息系统安全等级保护要求，采用的技术手段、人工方法和使用的工具，明确评估的具体内容，制订《安全评估方案》，《 (略) 计划》，《安全评估作业指导书》。

（2）根据信息系统安全等级保护基本要求，开展物理环境、网络安全、服务器安全、应用系统安全现状评估。

（3） (略) 评估、脆弱性评估以及渗透测试等 (略) 信息系统安全风险评估分析，编制风险评估报告。

(略) 络入侵检测，在入侵预警日志中能够明确定位入侵事件类别等。

对 (略) 安全风险评估，评估系统的漏洞与脆弱性，采用的服务 (略) 站风险列表和漏洞信息等功能。

进行渗透测试，采用工具扫描+手工验证的方式，模拟黑客攻 (略) 非破坏性质的攻击性测试。

提交成果：《安全评估方案》、《信息系统安全等级保护风险分析报告》

5、差距分析：在安全评估和信息系统定级的基础上，根据《信息系统安全保护等级基本要求》将定级信息系统安全等级保护的各项基本要求与信息 (略) 比较分析，从管理和技术两个层面找出存在 (略) 分析。

对于需要增加投资，部署新的信息安全产品和技术的整改措施，双方根据 (略) 协商和实施。

（1）进行安全差距分析，从物理安全、网络安全、主机安全、应用安全、数据安全以及安全管理深入识别现状与指标库之间的差距情况。

（2） (略) 络安全域分析，将运维管理、开发测试、 (略) 络以及 (略) 逻辑划分和访问控制策略。

（3）进行安全管理制度分析，从信息安全方针、管理体系、安全管理机构的设立、人员管理、重要区域访问控制、信息系统建设管理、产品采购、系统运维管理、恶意代码、备份恢复策略、应急响应等深入识别安全管理制度与指标库的差距情况。

（4）安全建设规划：根据上述风险评估结果，结合信息系统安全等级保护要求，等保规划方案和整改方案。

a)确立保护对象b)保护计算环境c)保护区域边界d) (略) 络e)建设安全管理体系。

提交成果：《信息系统安全等级保护差距分析报告》

6、管理制度编辑服务：

安全管理制度建设，主要包括但不限于信息安全工作职责，信息安全监督、检查机制；辅助用户编写方针、制度、各类记录表格模板在内的 * 层结构的安全管理制度。管理制度包括但不限于：《信息系统安全策略管理》、《安全制度制订流程规定》、《操作系统维护规程》、《数据库系统维护规程》、《机安全管理员岗位职责》、《信息系统安全培训管理》、《安全管理日常维护细则》、《安全审计管理制度》、《第 * 方人员管理制度》、《防病毒紧急响应流程》、《机房监控与管理流程》、《 (略) 管理规范》、《服务器运维管理规范》、《软件开发环境使用管理要求》、《系统交付管理规范》、《资产安全管理规范》、《安全 (略) 置管理规范》、《信息系 (略) 理体系》、《人员安全管理规范》、《信息系统安全运维管理规范》等编辑。

7、策略复查：

（1）派遣专业 (略) 针对加固前后的系 (略) 复查，复查手段包括但不限于协议分析、漏洞扫描、漏洞验证以及配置核查等方法。

（2）复查范围包括：1）技术层面：物理安全、网络安全、主机安全、应用安全、数据安全；2）管理层面：安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。

（3）复查结束后，形成加固前后对比复查报告。

8、 (略) 辅助：在服务期（ * 年）内，用户方如有申请测评，则必须协助测评方完成测评检测、数据采集、和系统安全整改等工作，直至备案系统通过等级测评。同时要求在第 * 次项目系统安全测评通 (略) 服务，确保通过首次等保测评。

1

套

序号

设备名称

设备规格参数

数量

单位

1

下 * 代防火墙

1) 标准机架式设备，占用机柜空间≤1U, 单交流电源；≥6个 * / 点击查看>> M Base-TX；至少支持 * 个扩展槽位;支持面板液晶屏显示；

具备防火墙模块、入侵防御模块、防病毒模块、 (略) 为管理模块，并提供特征库升级授权及维保服务；整机吞吐≥5Gbps，并发连接数≥ * 万，每秒新建连接数≥2万；IPS吞吐量≥3Gbps，防病毒吞吐量≥1.2Gbps，VPN Ipsec隧道数≥ * 条.

2)提供基于应用的路由选路功能，可为不同应用协议、传输的不同格式文件、不同的URL访问智能选择相应的链路；

3) (略) 捆绑技术，支持手动捆绑和 * .3ad协议自动协商捆绑，至少支持基于IP&MAC\MAC\IP&PORT的负载算法；（截图证明）

4) 支持系统主要防护功能的统 * 化模版设置，模版分为高、中、低 * 个级别，分别对应不同防护强度，可通过Web界面单击选择切换（提供web界面功能截图）

5)支持基于数据包的安全域、地址、用户及用户组、MAC、端口号、服务、 (略) 安全策略控制；

6) 为降低配置和运维难度，提升设备整体性能，必须尽可能减少设备配置规则数量（规则越多设备实际性能越低），要求必须通过 * 条策略实现用户认证、入侵防护、病毒防护、 (略) 为管理、邮件审计、垃圾邮件过滤、流量控制、连接数控制、审计等功能；（截图证明）

7) 支持标准的IPSec VPN功能，支持DMVPN，在增加 * 个新 (略) 关后， (略) 网关更改任何配置，且支持路由推送，实现spoke to spoke互通，不必建立额外隧道；（截图证明）

8) 支持syslog，为实现日志冗余措施，应支持同时向3个以上syslog服务器发送syslog日志；（截图证明）

9)支持新建连接数限制， (略) 或 (略) 限制，对于超 (略) 为，可 (略) 日志提醒，（截图证明）

* )入侵防御事件库至少应包括木马后门、间谍软件、 (略) 为、 (略) 络数据库攻击等的特征事件；提供相关界面截图证明。（截图证明）；

* ) 支持IPv4和IPv6双栈协议下的病毒扫描与防护，支持快速扫描、全面扫描模式。采用自有知识产权的病毒防护引擎，包括病毒检测引擎和病毒分析引擎，且病毒库不少于 * 万种病毒特征（提供相关专利证明）

* )支持HTTP Flood攻击防御，能够根据源主机GET、POST速率等参数定义防御级别；支持抗攻击流量清洗，并能够实时呈现攻击流量和感兴趣流量的比例，（截图证明）

* ) 必须支持 * 权分立功能，内置系统管理员、安全保密管理员、安全审计管理员；在 * 权分立模式下，对日志文件以加密方式导出。为方便运维管理操作，要求产品支持中英文界面，且支持基于WEB界面的 (略) 功能, 能够通过w (略) debug、traceroute、a (略) 络调试。(截图证明)

* ) 产品具有中国信 (略) 颁发的《信息技术产品安全测评证书EAL3+》；提供证书复印件证明

* ) 产品具有中 (略) (略) 颁发的《涉密信息系统产品检测证书》；提供证书复印件证明

* ) 产品要求符合“GB/T 点击查看>> 6信息安全技术防火墙技术要求和测试评价方法( * 级) (略) 关检测报告。提供证明文件

* ）产品 (略) 颁发的信息安全专用产品销售许可证；（增强级）提供证书复印件证明，

* ) 厂商资质：为保证产品成熟稳定， (略) 商应属于微软MAPP (略) 伙伴，可优先获得微软安全威胁第 * 手资料，用于提升安全产品检测能力；具备中国信息安 (略) 颁发的《国家信息安全认证信息安全服务资质证书》（安全工程类 * 级）； (略) 商加入云安全联盟CSA（Cloud Security Alliance）, 作为该联盟成员，可及时获得病毒、木马、 (略) 、 (略) 络等样本信息，为用户提供更及时的安全防护；（提供证明资料）

1

套

2

运维堡垒机

1、1U机架式软硬 * 体设备，单电源, 至少支持6个千兆电口，具有 * 个扩展插槽; 硬盘容量1TB；字符协议不低于 * 个；图形协议不低于 * 个; 可管理设备数不低于 * 台.

2、部署方式支持物理旁路，逻辑串联模式，不影响正常业务流量;支持HA双机热备; (略) 署：支持添加多台（≥3台）协议代理服务器， (略) 性能压力；并支持通过不同的协议代理服务器节点访问不同的资源，多协议代理服务器节点可访问相同资源时实现自动负载均衡（需提供截图）

3、支持NA (略) 署，通过映射后的IP地址访问堡垒机

4、支持协议审计有，字符协议：SSHv1、SSHv2、TELNET、RLOGIN

图形协议：RDP、VNC、X *

文件传输协议：FTP、SFTP

数据库协议：支持Oracle、MS SQL Server、IBM DB2、Sybase、IBM Informix Dynamic Server、MySQL、PostgreSQL、TeraData等数据库类型.

5、支持通过 (略) 协议审计，记录命令详情，包括字符协议和数据库协议等，审计回放支持协议回放和图形回放.

6、支持web页面防跳转功能，进行http/https访问过程中，运维人员仅允许访问授权地址。

7、支持Oracle、postgresql、sybase、mysql、sqlserve (略) (略) 数和oracle数据库变量绑定。（需提供截图）

8、支持运维客户端功能，运维操作过程不依赖浏览器和JAVA环境。（需提供截图）

9、支持通过堡垒机web页面内嵌SSH、FTP、TELNET运维工具访问目标资源.

* 、RDP协议支持windows服务端开启安全层SSL加密，加密级别符合FIPS标准， (略) (略) 络级别身份验证的远程桌面的计算机连接。（需提供截图）

* 、系统级账号 * 权分立，系统级账号包括：系统账号管理员，系统审计员，系统管理员；业务管理员以业务管理权限范围实现不同业务管理员权限的完全隔离，可设置业务管理员可管理的用户组和资源组范围。（需提供截图）

* 、从账号密码代填自动登录，使用人员不必知道服务器帐号及密码（包括http/https访问的账号密码代填）.

* 、基于用户、用户组、目标设备、系统帐号、协议类型、生效时间范围、IP地址限制等设置访问控制策略.

* 、按用户、目标设备、系统帐号、命令集和生效时间等内容或按访问授权策略设定安全事件规则；支持指令黑白名单.

* 、对违规或高危操作的指令（黑名单）进行日志提醒、忽略命令、阻断会话或 * 次审批支持对违规或高危指令的正则表达式设置匹配规则。（需提供截图）

* 、支持运维用户和用户组的管理，包括添加、修改、删除、启用/停用、移动资源和移除组成员功能；支持运维用户账号的批量导入导出功能

* 、支持运维用户使用有效期配置；支持运维用户客户端IP和MAC限制。（需提供截图）

* 、支持运维用户密码策略，包括：最小密码长度、密码复杂度、密码周期、历史比对和登录锁定;

* 、以WEB在线视频回放方式重现维护人员 (略) 有操作过程，无须在客户端安装播放客户端软件.

* 、以CSV、HTML方式生成并导出报表；管理员自定义审计报表；以日报、周报、月报的方式自动生成周期性报表. （需提供截图）

* 、支持数据备份，具备空间自管理功能，存储空间不足时能够自动清理历史数据， 可自定义清理存储空间的阀值（需提供截图）

* 、产品须获 (略) 涉密信息系统安 (略) 《涉密信息系统产品检测证书》；并提供证书复印件

* 、产品须具有中国信 (略) 《信息技术产品安全测评证书》EAL3+级；并提供证书复印件

* 、厂商资质：为保证产品成熟稳定， (略) 商应属于微软MAPP (略) 伙伴，可优先获得微软安全威胁第 * 手资料，用于提升安全产品检测能力；具备中国信息安 (略) 颁发的《国家信息安全认证信息安全服务资质证书》（安全工程类 * 级）； (略) 商加入云安全联盟CSA（Cloud Security Alliance）, 作为该联盟成员，可及时获得病毒、木马、 (略) 、 (略) 络等样本信息，为用户提供更及时的安全防护；（提供证明资料）

1

套

3

内网安全

管理系统

1、要求平台软件集合传统桌面管理，终端防病毒为 * 身，能从根本上解决了终端计算机对蠕虫病毒的主动防御、Windows补 * 管理、非授权访问控制、端点准入控制、 (略) 环境的标准化、数据防泄露和自动化管理等 * 系列问题，满足等保主机防护要求。

2、客户端支持Windows XP SP3，Windows 7, Windows 8, Windows (略) 署。提供 * 个终端数授权

3、支持Windows、Linux、Android、iOS等系统平台自带的 * .1X客户端 (略) 认证。支持的目录服务包括本地目录服务和AD域等第 * 方目录服务。如果计算机终端未安装客户端程序，则会被重新定向UR (略) 页下载 (略) 安装，在此基础上修复安全漏洞。

4、支持多种方式 (略) (略) 审计和告警，告警方式包括：手机短信、电子邮件和声音告警。（提供界面截图）

5、具备Windows服务管理功能。能够禁用或启用终端指定软件服务。能够启用和修改Windows本地策略中的“审核策略”和账户策略及选项；能够启用或禁用Windows本地策略中的“安全选项”中“隐藏上次登录用户名”和“关机时清理虚拟内存页面文件”选项，能够对Windows本地策略中的“用户权限分配”进行设置。

6、 (略) (略) 监控和管理，可以根据终端应用系统终端带宽阀值，保证关键应用系统带宽资源，阻断终端异 (略) 的阻塞。将蠕虫病毒或非 (略) 络的影响减到最小。

7、 (略) 络 (略) 监测和控制， (略) 为异常包括但不 (略) 络连接、 (略) 为、异常的终端流量等，避免 (略) 络异常导致 (略) 网络阻塞或者瘫痪。（提供界面截图）

8、 自动收集终端软、硬件信息，集 (略) 署的软件资产情况。支持补 * 分发。 (略) 商自己的补 (略) 补 * 下载并分发。

9、支持终端主机名策略，能够禁止用户修改主机名，如果违规修改主机名，系统将自动将终端主机名恢复到绑定的主机名程。

* 、支持对终端接入的移动存储设备提供认证、授权和审计，确保终端使用认证通过的移动储存设备， (略) 授权共享，彻底杜绝通过移动存储设备的数据非法外泄。

* 、支持对终端的共享目录、网络拷贝、全盘、本地盘和移动盘的 (略) 审计。能够对 (略) (略) 审计和控制，禁止指定 (略) 为。

* 、能够对终端磁盘上是否存在 (略) 审计。支持用户自定义涉密信息关键字、正则表达式，支持的文档格式包括：支持的文件格式包括：各版本MS Office文档、Wps、Rtf、Pdf、各类文本格式等等。

* 、涉密信息审计和查询，支持查询终端当前及历史涉密信息，涉密文件的的变更信息。（提供界面截图）

* 、持以基于中文分词的文件指纹作为涉密标识符，文件指纹支持对文档格式变形和内容变形的审计和阻止。（提供界面截图）

* 、能够审计并阻止本地文档拷贝至移动盘、 (略) (略) 为，上报拷贝包含指定关键词、正则表达式、指纹等涉密的文件。并可标识是否拷贝了加密文件（office、压缩包等）。

* 、能够审计并阻止QQ外发 (略) 为，上报QQ外发包含指定关键词、正则表达式、指纹等涉密的文件。能够可禁止QQ发送图片和接收图片（提供界面截图）

* 、能够审计邮件客户端发送详细信息：收件人、抄送人、密送人、主题、正文内容、附件信息；能够审计并阻止邮件内容或附件是否包含关键词、正则表达式、文件指纹等，并可标识是否外发了加密文件（office、压缩包等）能够审计并阻止通过Web邮箱、博客、微博、 (略) 页形式 (略) 为。上报外发文字包含指定关键词、正则表达式、指 (略) 页。（提供界面截图）

* 、能够自定义软件进程列表，审计自定义外发 (略) 为，上报包含指定关键词、正则表达式、指纹的文件外发。,并可标识是否外发了加密文件（office、压缩包等）。

能够控制自定义进程外发 (略) 为，包含指定关键词、正则表达式、指纹的文件不允许外发。

* 、 支持由管理员自定义设置要求终端用户提供准确的身份信息，管理员可以自定义需要终端用户选择和填写客户端注册信息项目内容、注册项排列顺序和必填项。

* 、支持对安装系统的服务器 (略) 实时监控，可以监控和显示服务器的CPU使用率、内存使用率、 (略) 在硬盘分区使用率和数据库可用磁盘空间的状况。

* 、支持的数据库为SQL Server 点击查看>> 5 Express/ 点击查看>> Express。客户端支持Windows * /XP/ 点击查看>> /Vista/Windows 7 /Windows 8的 * 位操作系统和Windows XP/ 点击查看>> /Windows 7 / Windows 8的 * 位操作系统。（提供界面截图）

* 、系统 (略) 后，资源占用小，Agent占用的CPU利用率应< 1％，Memory占用大小应< * M。网络性能影响要求： (略) 后，对网络性能基本无影响。（提供界面截图）

* 、系统具有功能强大的身份认证系统和良好的自身安全性，没有预留的后门，客户端与服务器的 (略) 验证，客户端软件卸载需要提供卸载密码。

* 、产品必须具备有中华人民 (略) 颁发的《计算机信息系统安全专用产品销售许可证》提供证书复印件证明

* 、产品具 (略) 颁发的《计算机软件著作权登记证书》。提供证书复印件证明

* 、为保证产品成熟稳定， (略) 商应属于微软MAPP (略) 伙伴，可优先获得微软安全威胁第 * 手资料，用于提升安全产品检测能力；具备中国信息安 (略) 颁发的《国家信息安全认证信息安全服务资质证书》（安全工程类 * 级）； (略) 商加入云安全联盟CSA（Cloud Security Alliance）, 作为该联盟成员，可及时获得病毒、木马、 (略) 、 (略) 络等样本信息，为用户提供更及时的安全防护；（提供证明资料）

1

套

序号

服务名称

详细服务内容

数量

单位

1

(略) 服务及安全运维服务

1、资产分析：对参与安全等级保 (略) 资产信息调查、网络结构调查、安全系统调查等，形成最终的资产报告。

（1）资产调查：调查和统计服务范围内的信息资产。

（2）网络调查： (略) 有网络的 (略) 调查，并按统 * 标准绘制成图。

（3）安全系统调查：包括但不限于明确现有安全设备(包括防火墙、防病毒系统、入侵检测系统等)的部署情况和使用情况，编制安全区域图。

提交成果：《信息系统资产调查表》

2、 (略) ：在招标方 (略) 定级的基础上，中标方参照国家和地方对信息系统安全等级保护定级的有关要求，对信息系统开展摸底调查工作，掌握信息系统的基本情况，了解信息系统（ (略) 络）的业务类型、应用或服务范围、用户数量、系统结构、部署方式、安全策略、内控制度等信息，撰写信息系统定级报告，明确信息系统的边界和安全保护等级，说明定级的方法和理由。并收集整理定级系统 (略) 络与信 (略) 安 (略) 需的资料和文档。

提交成果：《信息系统安全等级保护定级报告》

3、协助备案：根据《信息安全等级保护管理办法》，信息系统安全保护等级为第 * 级以上的信息系统运营使用 (略) 门， (略) 网站下载《信息系统安全等级保护备案表》， (略) 方填写《信息系统安全等级保护备案表》，同时协助到公安机关完成备案工作。如需反复多次修改，须按照单 (略) 要求修正。

提交成果：《信息系统安全等级保护备案表》

4、风险评估：

（1）根据《信息系统安全等级保护定级报告》和信息系统安全等级保护要求，采用的技术手段、人工方法和使用的工具，明确评估的具体内容，制订《安全评估方案》，《 (略) 计划》，《安全评估作业指导书》。

（2）根据信息系统安全等级保护基本要求，开展物理环境、网络安全、服务器安全、应用系统安全现状评估。

（3） (略) 评估、脆弱性评估以及渗透测试等 (略) 信息系统安全风险评估分析，编制风险评估报告。

(略) 络入侵检测，在入侵预警日志中能够明确定位入侵事件类别等。

对 (略) 安全风险评估，评估系统的漏洞与脆弱性，采用的服务 (略) 站风险列表和漏洞信息等功能。

进行渗透测试，采用工具扫描+手工验证的方式，模拟黑客攻 (略) 非破坏性质的攻击性测试。

提交成果：《安全评估方案》、《信息系统安全等级保护风险分析报告》

5、差距分析：在安全评估和信息系统定级的基础上，根据《信息系统安全保护等级基本要求》将定级信息系统安全等级保护的各项基本要求与信息 (略) 比较分析，从管理和技术两个层面找出存在 (略) 分析。

对于需要增加投资，部署新的信息安全产品和技术的整改措施，双方根据 (略) 协商和实施。

（1）进行安全差距分析，从物理安全、网络安全、主机安全、应用安全、数据安全以及安全管理深入识别现状与指标库之间的差距情况。

（2） (略) 络安全域分析，将运维管理、开发测试、 (略) 络以及 (略) 逻辑划分和访问控制策略。

（3）进行安全管理制度分析，从信息安全方针、管理体系、安全管理机构的设立、人员管理、重要区域访问控制、信息系统建设管理、产品采购、系统运维管理、恶意代码、备份恢复策略、应急响应等深入识别安全管理制度与指标库的差距情况。

（4）安全建设规划：根据上述风险评估结果，结合信息系统安全等级保护要求，等保规划方案和整改方案。

a)确立保护对象b)保护计算环境c)保护区域边界d) (略) 络e)建设安全管理体系。

提交成果：《信息系统安全等级保护差距分析报告》

6、管理制度编辑服务：

安全管理制度建设，主要包括但不限于信息安全工作职责，信息安全监督、检查机制；辅助用户编写方针、制度、各类记录表格模板在内的 * 层结构的安全管理制度。管理制度包括但不限于：《信息系统安全策略管理》、《安全制度制订流程规定》、《操作系统维护规程》、《数据库系统维护规程》、《机安全管理员岗位职责》、《信息系统安全培训管理》、《安全管理日常维护细则》、《安全审计管理制度》、《第 * 方人员管理制度》、《防病毒紧急响应流程》、《机房监控与管理流程》、《 (略) 管理规范》、《服务器运维管理规范》、《软件开发环境使用管理要求》、《系统交付管理规范》、《资产安全管理规范》、《安全 (略) 置管理规范》、《信息系 (略) 理体系》、《人员安全管理规范》、《信息系统安全运维管理规范》等编辑。

7、策略复查：

（1）派遣专业 (略) 针对加固前后的系 (略) 复查，复查手段包括但不限于协议分析、漏洞扫描、漏洞验证以及配置核查等方法。

（2）复查范围包括：1）技术层面：物理安全、网络安全、主机安全、应用安全、数据安全；2）管理层面：安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。

（3）复查结束后，形成加固前后对比复查报告。

8、 (略) 辅助：在服务期（ * 年）内，用户方如有申请测评，则必须协助测评方完成测评检测、数据采集、和系统安全整改等工作，直至备案系统通过等级测评。同时要求在第 * 次项目系统安全测评通 (略) 服务，确保通过首次等保测评。

1

套