入侵防御系统

数量

单位

1

基本要求

★国产品牌，专业IPS设备，基于高性能硬件平台和专业安全操作系统；

1

台

★标准1U机架式设备，双电源，1T硬盘，USB2.0接口≥2个，RJ45串口≥1个；配置≥8个千兆电口（包含两个管理口和两组bypass接口）, ≥2个万兆光口，具备≥2个通用扩展槽，最大支持扩展26个千兆接口或10个万兆接口；

★IPS网络层吞吐量≥40Gbps，IPS应用层吞吐量≥12Gbps，最大并发连接数≥300万（可扩展至500万），每秒新建连接数≥16万；

2

入侵防御

支持针对HTTP、SMTP、IMAP、POP3、VOIP、NETBIOS等20余种协议和应用的攻击检测和防御；支持HTTP Get、Head、Put、Post等多种协议方法检查；

支持自定义入侵防御特征：可依据IP、TCP、UDP、IGMP、ICMP等网络层的各项参数设置自定义特征；全面设置TCP/IP应用层的特征比对内容而不受通信协议限制；支持跨数据包检测机制，包括：比对位移(matching offset)、比对长度(matching depth)、比对距离(matching distance)、比对范围(within)；支持基于流的数据包(stream-based)比对技术；

提供8000多种特征的攻击检测和防御，特征库支持网络实时更新；（提供产品功能页面截图有效）

支持威胁详情URI和攻击数据解码；支持IPv6环境下入侵检测和防御；支持IPv6威胁日志显示和下载；支持SSL加密流量的检测和防御；

Web防护

系统具备对网站外链防护功能，可以对Web服务系统提供保护；系统具备对CC攻击的检测和防御能力，可以对Web服务系统提供保护；系统具备对跨站脚本攻击的检测和防御能力，可以对Web服务系统提供保护；系统具备对SQL注入攻击的检测和防御能力，可以对Web服务系统提供保护；（提供产品功能页面截图有效）

系统具备对Referer首部过滤，可以对Refer而白名单之外的HTTP请求进行过滤；系统具备对隐藏 过滤功能，可以对页面中 标签属性做检测；系统具备高频交易访问控制功能，可以对URL访问频率进行限制；（提供产品功能页面截图有效）

应用识别

基于应用特征、行为和关联信息的应用识别；可识别超过3000种以上应用程序；支持SSL加密应用识别与控制；能够准确识别IM、P2P下载、文件传输、邮件、在线游戏、股票软件、流媒体、非法信道等应用；支持针对Android、iOS等移动应用的识别；（提供产品功能页面截图有效）

高可用性

支持接口硬件Bypass；通过外置的组件，支持断电Bypass功能；

支持H-A部署；支持双机热备功能，在单台设备故障时，已建立的会话连接session可以自动切换到HA的另一台设备上，不会引起连接中断；

安全策略

支持在同一条安全策略设置源安全域、目的安全域、用户、服务、应用、入侵防护和反病毒的访问控制； 支持策略命中数统计功能，便于管理员维护策略；支持预定义和自定义安全策略；安全策略规则支持复制、粘贴和移动操作。支持安全策略的冗余检测；支持安全策略的命中数检测；支持安全策略的时间表有效性检测；

支持按照国家地理位置设置安全过滤策略，内置国家地理地址库信息；

系统管理

登陆管理支持HTTPS、SSH、Console等管理方式；支持Radius或Local方式进行管理员身份认证；支持多级管理权限设置功能，预定义系统管理员、操作员、审计员等管理角色；支持SNMP v1、v2c、V3；支持电子邮件、SNMP、SYSLOG及自定义等多种响应方式进行实时推送；同时支持TAP/L2/L3模式的混合部署。L3模式（支持NAT，PAT，路由等），可支持多条线路；需提供中文管理界面、中文化报表及管理接口；特征库可以通过人工或者自动方式进行入侵防御设备的升级，升级过程中不需重启设备。并能保持原有会话连接不中断；

★产品必须支持全功能CLI（SSH、TELNET、CONSOLE等方式）命令配置，以方便快速进行脚本操作和故障调试，且CLI配置必须支持中文输入；（提供产品功能页面截图有效）

★操作界面支持中英文切换，支持2个系统软件并存，避免单一操作系统故障影响业务，支持10个配置文件并存，便于快速恢复不同阶段的设备配置；（提供产品功能页面截图有效）

★提供手机APP的监控通告服务，服务内容包括：安全资讯、设备监控、告警信息、威胁日志等；要求提供手机APP的截图，提供官网（必须是厂商的官网）下载地址以及苹果APP store截图；

日志与报表

报表需要包含多视角,提供安全风险概览、安全风险详情、威胁类型、网络流量分析、系统运行状况不同维度报表。威胁日志内容至少包含CVE-ID、漏洞描述信息和解决方案；支持日志导出、搜索、日志聚合和过滤搜索；支持威胁日志名称中文显示。（提供产品功能页面截图有效）设备配备大容量硬盘，支持日志报表本地化存储；预定义多种报表类型，支持PDF、word、HTML报表格式，一键生成报表，支持自定义报表；丰富的报表自定义内容，提供配置向导；支持定时自动发送报表、周期性报表输出，以通用格式邮件发送给管理员；支持威胁日志、NAT日志、会话日志、URL日志等日志；支持源、目的IP和威胁ID的日志白名单功能；

监控统计

支持全面的威胁监控，包括攻击名、严重程度、时间、地址、通信协议和解决建议等信息；支持基于用户/IP查看阻断次数以及应用阻断详情；支持用户应用流量、URL访问等统计分析；支持应用的多维度统计监控，包括应用风险、类别、特征、所用技术等；支持实时流量统计和分析功能；支持设备CPU、内存、温度、风扇等状态监控；

路由功能

支持静态路由；支持动态路由；支持源路由、源接口路由；支持基于源、目的、用户、应用、服务和时间表的策略路由；

3

产品资质要求

所投产品具有公安部颁发的《计算机信息系统安全专用产品销售许可证》（三级）； （万兆）

所投产品具有中国信息安全认证中心颁发的《IT产品信息安全认证证书》（三级）；（万兆）

所投产品具有中国信息安全测评中心颁发的《信息技术产品安全测评证书》EAL3+；（万兆）

★所投产品具有国家保密科技测评中心颁发的《涉密信息系统产品检测证书》；（万兆）

4

投标品牌厂商资质

★所投厂商连续3年入围GartnerIDPS魔力象限或Gartner IDPS 市场指南；

★网络安全应急服务支撑单位证书（省级）；

★微软安全响应中心MAPP；

防火墙

数量

单位

1

性能配置

产品为标准机架式设备，需满足多核X86架构。4G内存，64G SSD硬盘+1T SATA，标配6个千兆电口,一个RJ45串口，两个USB2.0，性能配置需满足：

1

台

三层吞吐量≥14G；

应用层吞吐量≥4Gbps

并发连接数≥220W；

每秒新建连接数≥22W；

支持BYPASS

2

硬件平台

★产品采用多核并行处理架构，提供中国信息安全测评中心、公安部信息安全产品检测中心、中国软件评测中心、国家版权局之中任意一家机构出具的关于“多核并行安全操作系统”的证书或测试报告。

部署及网络特性

支持路由，网桥，单臂，旁路，虚拟网线以及混合部署方式，支持链路聚合功能，支持端口联动

基础功能

能够识别应用类型超过1200种，应用识别规则总数超过3000条；

支持多链路出站负载，支持基于源/目的IP、源/目的端口、协议、ISP、应用类型以及国家/地域来进行选路的策略路由选路功能；（需提供截图证明）

支持基于应用类型，网站类型，文件类型进行流量控制，支持基于IP段、时间、国家/地区、认证用户、子接口和VLAN进行流量控制；

支持配置向导功能，并提供攻击源IP的攻击地图展示；攻击地图需包括攻击时间，攻击源归属地和IP，被攻击者IP，攻击类型和危害等级及当日安全事件统计

访问控制

支持一键分析当前访问控制策略异常问题（至少具备策略风险访问、冗余、冲突、重合、端口放通过大等），并针对异常问题划分不同等级，提供问题描述、危害、以及解决方案和关系图例说明；

支持基于对象、区域和地域维度设置安全访问控制策略，允许或拒绝特定国家或者地区的对象访问内部网络，保障业务重大时期安全可靠性。（需提供产品功能截图证明）

DoS攻击防护

支持Land、Smurf、Fraggle、WinNuke、Pingof Death、Tear Drop、IPSpoofing攻击防护、支持SYN Flood、ICMPFlood、UDP Flood、DNS Flood、ARP Flood攻击防护，支持IP地址扫描，端口扫描防护，支持ARP欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测；

内容安全

具备勒索软件通信防护功能，提供具备CNAS（中国合格评定国家认可委员会）资质的第三方权威机构关于“勒索软件通信防护”产品功能检测报告。

支持压缩文件查杀

支持针对SMTP、POP3、IMAP邮件协议的内容检测，如邮件附件病毒检测、邮件内容恶意链接检测，邮件账号撞库攻击检测等，支持根据邮件附件类型进行文件过滤；

支持采用无特征AI检测技术对恶意勒索病毒及挖矿病毒等热点病毒进行检测，给出基于AI技术的病毒检测报告；（需提供截图证明）

入侵防护

为了保证入侵防御系统识别的专业性，要求入侵防护漏洞规则特征库数量在7400条以上，入侵防护漏洞特征具备中文相关介绍，包括但不限于漏洞描述，漏洞名称，危险等级，影响系统，对应CVE编号，参考信息和建议的解决方案；

为了帮助管理员更好的应对一些突发的热点安全事件，要求设备可提供最新的威胁情报信息，能够对新爆发的流行高危漏洞进行预警和自动检测，发现问题后支持一键生成防护规则

Web应用安全防护

具备独立的Web应用防护规则库，Web应用防护规则总数在3500条以上；

支持对web页面黑链进行检测；

支持对网站的恶意扫描防护和恶意爬虫攻击防护；支持其他类型的Web攻击，如文件包含，目录遍历，信息泄露攻击等；

支持针对网站的漏洞扫描进行深度防护，能够拦截漏洞扫描设备或软件对网站漏洞的扫描探测，支持基于目录访问频率和敏感文件扫描等恶意扫描行为进行防护；

★支持服务漏洞检测功能，基于服务器请求和响应内容识别服务器存在的系统安全漏洞和应用安全漏洞。（需提供产品功能截图证明）

设备需要具备web业务自学习能力，可自行判断与标记业务特征，确认业务模型学习趋势；

僵尸主机检测

设备具备独立的热门威胁库，防护类型包括木马远控、恶意脚本、勒索病毒、僵尸网络、挖矿病毒等，特征总数在60万条以上；

为了更好的处理僵尸主机的问题，对于僵尸主机的监测需能够定位内网感染僵尸网络病毒的真实主机IP地址；（需提供截图证明）

支持对终端已被种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为；

支持通过云端的大数据分析平台，发现和展示整个僵尸网络的构成和分布，定位僵尸网络控制服务器的地址；（需提供相关云端大数据分析能力的证明）

安全可视化

★支持安全运营中心功能，可以对全网所有的服务器和主机的威胁进行全面评估，管理员通过一键便可完成对服务器和主机的资产更新识别、脆弱性评估、策略动作的合理化监测、当前服务器和用户的保护状态、当前的服务器和主机的风险状态及需要管理员待办的紧急事项等，可以自动化直观的展示最终的风险；（需提供相关功能截图证明）

可以对全网所有的服务器和主机的威胁进行全面评估，管理员通过一键便可完成对服务器和主机的资产更新识别、脆弱性评估、策略动作的合理化监测、可以自动化直观的展示最终的风险；

支持自动生成综合安全风险报表，报表内容体现被保护对象的整体安全等级，发现漏洞情况以及遭受到攻击的统计，具备有效攻击行为次数统计和攻击举证；

★支持针对用户安全的风险汇总，将失陷类的安全事件按照已失陷、高风险、中风险、低风险等优先级展示给管理员，并通过威胁性和确定性的维度展示失陷主机风险的分布情况；（需提供相关功能截图证明）

3

资质要求

厂商需是国家信息安全漏洞库CNNVD技术支撑单位；（需提供证明材料）

要求所投产品的生产厂商参与制定《信息安全技术第二代防火墙安全技术要求》，需提供证明材料

厂商具备云安全成熟度成熟度模型CSA-CMMI 5认证（提供资质证明）

厂商需是中国反网络病毒联盟ANVA成员单位；（需提供证明材料）

4

其他

中标后七个工作日内需提供合同产品对上述功能进行逐一测试，测试通过后才能执行合同流程，测试中若发现有虚假应标行为，业主保留追究厂商及代理商法律责任的权力