附件： 四川省环境信息中心电子政务网安全系统建设内容及要求 供应商和产品资格条件：1、投标人须具备《政府采购法》第二十二条规定的条件。2、投标人须在成都本地设有分公司。3、投标人必须具有计算机信息系统集成二级或以上资质。4、投标人必须通过ISO9000系列认证和通过ISO14000系列认证，其认证在有效期内。5、该项目采购的一级防火墙、二级防火墙、流量控制网关、链路负载均衡、SSL VPN网关、入侵防护系统、漏洞扫描系统、网络与数据库审计系统、终端安全管理和安全管理平台等安全设备及软件非投标人生产的，必须获得投标产品原厂商针对此次项目的专项授权书和原厂三年售后服务承诺函。第一包：电子政务网安全系统建设数量：一批一、总体要求本项目为交钥匙工程（由于采购人自身需求发生变化除外），本项目报价为包干价；投标人在中标后15个工作日内出具项目需求方案及详细设计方案；在项目实施过程中，投标人必须按投标文件中明确的项目经理派驻到现场，直到项目终验为止，项目实施过程中禁止更换项目经理。售后服务要求：项目涉及的一级防火墙、二级防火墙、流量控制网关、链路负载均衡、SSL VPN网关、入侵防护系统、漏洞扫描系统、网络与数据库审计系统、终端安全管理和安全管理平台等安全设备及软件产品需提供原厂三年质保服务，投标方需要提供三年免费技术支持服务，一年驻场运维服务，服务期自项目最终验收确认之日开始。交货时间、地点及付款方式：交货时间、地点：四川省内业主指定地点付款方式：1、合同生效后7个工作日内，甲方支付合同价款30%给中标单位；2、设备到货验收后支付合同价款20%给中标单位；3、集成部署完毕，且项目通过初步验收并合格后，支付合同总价的30％给中标单位；4、项目三个月试运行结束、通过终验后支付合同总价15%给中标单位；5、最后合同总价的5％作为质保金，项目终验一年后10个工作日内支付质保金给中标单位。项目概述：根据四川省环境信息系统的安全需求，基于信息系统安全保障理论，采用信息安全保护技术，按照一定规则和体系化的信息安全防护策略，进行四川省环境信息安全体系的整体设计和建设。1、在遵循信息安全等级保护三级要求，通过采购网络安全实现省厅全网络安全域划分；实现省厅互联网接入、环保业务专网接入的边界安全防护以及安全策略配置；实现互联网与环保业务专网的逻辑安全隔离，保证省厅办公终端设备可以无缝安全访问互联网和业务专网；在互联网接入区建立DMZ区实现环保厅门户网站、评估中心门户网站等外网门户的安全访问、运行；基本实现省控重点污染源自动监控系统、总量数据资源中心和省厅内网办公门户系统的等保三级安全防范；建立省厅全网安管中心实现省厅基础网络安全设备的统一监控管理；2、针对四川省环境保护厅现有国控重点污染源自动监控系统、排污收费系统、12369系统和国家环境信息统计能力项目，根据信息安全等级保护三级要求，提供等保三级安全咨询规划，形成整改和迁移方案；3、按照信息安全等级保护三级要求，建立符合四川省环境保护厅信息化建设现状的安全等级保护管理体系。项目概述项目背景随着当今社会信息技术的飞跃发展，信息资源已对人们工作、生活产生了至关重要的影响，成为国民经济和社会发展的重要战略资源。四川省环境保护厅管理和维护的这些信息资源和数据涉及社会经济、环境等敏感信息，这些敏感信息一旦被别有用心的入侵者获取、散布、扩散将给国家安全、社会稳定、公共利益带来不可估量的损失。因此加强环保信息安全是关系维护国家安全、社会稳定和公共利益的重要安全保障，是提高相关环保信息化系统安全意识，规范各级环境信息化安全制度的长期课题。四川省环境信息中心作为四川省环境保护厅直属单位，承担着四川省环境信息化建设，环境信息的收集、存储、加工和传输工作，为省政府和省级有关部门提供环境信息，指导全省环境信息化建设等工作。同时承担着四川省环保厅信息系统安全管理、环保厅网络安全的管理与维护工作。借助新办公楼搬迁之际，信息中心以安全等保三级为标准，拟建设四川省环境保护厅信息安全体系，运用技术和管理的手段保护我厅信息的安全。项目目标整个项目应以省厅信息系统的实际情况和现实问题为基础，遵照国家的法律法规和标准规范，参照国际的安全标准和最佳实践，依据相应等级信息系统的基本要求和安全目标，设计出等级化、符合系统特点、融管理和技术为一体的整体安全保障体系，指导信息系统的等级保护建设工作。信息安全体系建设项目应该具有的基本安全保护能力将通过体现基本安全保护能力的安全目标的提出以及实现安全目标的具体技术要求和管理体系要求的描述得到具体化。实现如下安全目标： 总体目标（1）依据信息系统所包括的信息资产的安全性、信息系统主要处理的业务信息类别、信息系统服务范围以及业务对信息系统的依赖性等指标，进行信息安全需求分析，设计合理的、符合四川省环保厅安全要求的信息安全建设方案，确保信息系统的安全性，并用以指导后续的信息系统等级保护安全建设工程实施。（2）实现省厅所有主要业务应用系统达到公安部关于信息系统安全保护等级保护三级相关要求。安全技术体系目标按照公安部、环保部和相关国家部门关于信息系统在物理、网络安全运行、信息保密和管理等方面的总体要求，科学合理评估四川省环保厅信息系统风险，协助其合理确定安全保护等级，在此基础上科学规划设计一整套完整的安全体系建设方案。安全体系需要全面保卫网络和基础设施、边界和外部接入、支持性基础设施、主机、数据等方面内容，实现信息资源的机密、完整、可用、不可抵赖和可审计性，基本做到“进不来、拿不走、改不了、看不懂、跑不了、可审计、打不垮”。具体包括：?保障基础设施安全，保障网络周边环境和物理特性引起的网络设备和线路的持续使用。?保障网络连接安全，保障网络传输中的安全，尤其保障网络边界和外部接入中的安全。?保障主机系统的安全，保障操作系统、数据库、服务器、用户终端及相关关键资产的安全。?保障应用系统安全，保障应用程序层对网络信息的保密性、完整性和信源的真实的保护和鉴别，防止和抵御各种安全威胁和攻击手段，在一定程度上弥补和完善现有操作系统和网络信息系统的安全风险。?安全管理体系保障，根据国家有关信息安全等级保护方面的标准和规范要求，结合四川省环保厅的实际情况，建立一套切实可行的安全管理体系。安全管理体系目标四川省环保厅信息系统对安全性有较高的要求，在系统安全的各项建设内容中，安全管理体系的建设是关键和基础。没有健全的安全管理，系统的安全性是很难保证的，任何网络系统仅在技术上是无法实现完整的安全要求的。为此，建立一套科学的、可靠的、全面而有层次的安全管理体系是四川省环保厅信息安全建设的必要条件和基本保证。 通过有效的安全管理体系建设，实现动态的、系统的、全员参与的、制度化的、以预防为主的安全管理模式，从而在管理上确保全方位、多层次、快速有效的网络安全防护。 安全管理体系主要包括安全管理机构、安全管理制度、安全标准规范和安全教育培训等方面。 通过组建完整的信息网络安全管理机构，设置安全管理人员，规划安全策略、确定安全管理机制、明确安全管理原则和完善安全管理措施，制定严格的安全管理制度，合理地协调法律、技术和管理三种因素，实现对系统安全管理的科学化、系统化、法制化和规范化，达到系统安全的目的。建设内容以四川省环境保护厅省本级建设为重点，保障系统设备安全可靠。从安全技术体系和安全管理体系两方面入手，大力加强省级环境信息安全建设。从环境信息化安全管理规范体系建设、省环保厅网络边界和交互、环境业务系统安全、、安全测评、安全运行维护体系等方面，提高信息系统的安全防御能力和应对、处理各种信息安全突发事件的能力，为环境信息化的健康发展提供坚实的保障。具体建设内容如下：1、在遵循信息安全等级保护三级要求，通过采购网络安全实现省厅全网络安全域划分；实现省厅互联网接入、环保业务专网接入的边界安全防护以及安全策略配置；实现互联网与环保业务专网的逻辑安全隔离，保证省厅办公终端设备可以无缝安全访问互联网和业务专网；在互联网接入区建立DMZ区实现环保厅门户网站、评估中心门户网站等外网门户的安全访问、运行；基本实现省控重点污染源自动监控系统、总量数据资源中心和省厅内网办公门户系统的等保三级安全防范；建立省厅全网安管中心实现省厅基础网络安全设备的统一监控管理；。2、针对四川省环境保护厅现有国控重点污染源自动监控系统、排污收费系统、12369系统和国家环境信息统计能力项目，根据信息安全等级保护三级要求，提供等保三级安全咨询规划，形成整改和迁移方案；设计环保CA系统与省厅自建业务系统的扩容对接方案，编制省厅主要业务系统接入CA认证系统方案。3、按照信息安全等级保护三级要求，建立符合四川省环境保护厅信息化建设现状的安全等级保护管理体系；4、编制四川省环境业务专网接入标准管理办法，规范地市、区县环保单位环保业务专网的使用和维护。5、组织全省21个地市开展安全等级保护技术培训，提升各级环保单位信息化安全管理能力。网络现状随着四川环保厅新大楼的落成，以及“国家环境信息与统计能力项目”环保业务专网的建成，四川环保厅已初步搭建好互联网、环保业务专网和12369 VPN专网。随着省（国）控重点污染源自动监控系统、四川环境保护厅内外门户网站、总量减排环境数据资源中心、排污收费管理系统和12369等项目的建设，环境信息系统越来越多，环境网络越来越复杂，对环境信息安全的要求越来越高。省厅目前全网络网络拓扑如下： 12369系统目前通过VPN专网运行，通过防火墙联接互联网接入交换机，随着环保业务系统的统一规划，网络整合，将计划并入环保业务专网中。电子政务外网不在本次安全体系建设范围。目前省厅与地市、区县环保局通过国家能力建设项目投资建设的环保业务专网进行联通，四川省环保业务专网全省网络拓扑如下： 投标人须在深刻理解、分析四川省环保厅现有网络安全现状，根据信息系统安全等级保护三级要求的进行现状分析。总体要求建设原则主要遵循统一规划、分步实施、立足现状、节省投资、科学规范、严格管理的原则进行安全体系的整体设计和实施，并充分考虑到先进性、现实性、持续性和可扩展性。具体体现为：(1)等级标准性原则构建四川省环保厅信息系统安全保障体系，必须坚持遵循相关的标准。本方案从设计到产品选型都遵循“信息系统安全等级保护——第三级（安全标记保护级）”要求。(2)需求、风险、代价平衡的原则对任一网络，绝对安全难以达到，也不一定是必要的。应对一个网络进行实际分析(包括任务、性能、结构、可靠性、可用性、可维护性等)，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定安全策略。(3)综合性、整体性原则安全模块和设备的引入应该体现系统运行和管理的统一性。一个完整的系统的整体安全性取决于其中安全防范最薄弱的一个环节，必须提高整个系统的安全性以及系统中各个部分之间的严密的安全逻辑关联的强度，以保证组成系统的各个部分协调一致地运行。(4)易操作性原则安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。(5)设备的先进性与成熟性安全设备的选择，既要考虑其先进性，还要考虑其成熟性。先进意味着技术、性能方面的优越，而成熟性表示可靠与可用。(6)无缝接入安全设备的安装、运行，应不改变网络原有的拓扑结构，对网络内的用户应是透明的，不可见的。同时，安全设备的运行应该不会对网络传输造成通信“瓶颈”。(7)可管理性与扩展性安全设备应易于管理，而且支持通过现有网络对网上的安全设备进行安全的统一管理、控制，能够在网上监控设备的运行状况，进行实时的安全审计。(8)保护原有投资的原则在进行四川省环保厅信息系统安全保障体系构建时，应充分考虑原有投资，要充分利用省厅已有的建设基础，规划四川省环保厅信息系统的整体安全体系。(9)综合治理四川省环保厅信息系统安全保障体系构建是社会大环境下一个系统工程，信息网络的安全同样也绝不仅仅是一个技术问题，各种安全技术应该与运行管理机制、人员的思想教育与技术培训、安全法律法规建设相结合，从社会系统工程的角度综合考虑。设备选型依据信息安全等级保护管理办法（公通字【2007】43号第二十一条 第三级以上信息系统应当选择使用符合以下条件的信息安全产品：（一）产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的，在中华人民共和国境内具有独立的法人资格；（二）产品的核心技术、关键部件具有我国自主知识产权；（三）对国家安全、社会秩序、公共利益不构成危害；政策和技术标准依据环保业务系统是关系国计民生的国家重要信息系统，在公通字[2004]66号《关于信息安全等级保护工作的实施意见》和公信安[2007]861号《关于开展全国重要信息系统安全等级保护定级工作的通知》文件要求中，这样的系统都应纳入等级保护体系。四川省环境信息安全等级保护建设遵循依据如下：序 号文件名称1公信安[2007]861号《关于开展全国重要信息系统安全等级保护定级工作的通知》2公通字[2007]43号《信息安全等级保护管理办法》3《计算机信息系统安全保护等级划分准则》（GB 17859-1999）4《信息系统安全等级保护基本要求》（GB/T 22239-2008）5《信息系统安全等级保护定级指南》（GB/T 22240-2008）6《信息系统安全等级保护实施指南》（国标报批稿）7公信安[2007]1360号《信息安全等级保护备案实施细则》8公信安[2009]1429号《关于开展信息安全等级保护安全建设整改工作的指导意见》9《信息系统等级保护安全设计技术要求》（国标报批稿）10《信息系统安全通用技术要求》（GB/T 20271-2006）11《信息系统安全管理要求》（GB/T 20269-2006）12《信息系统安全工程管理要求》（GB/T 20282-2006）技术要求(1)投标人所投设备应全部满足本招标文件技术参数要求；(2)投标人必须针对招标文件提出的技术指标，就符合要求的设备按其配置要求提供设备价格，还须按其配置逐一列出单价及折扣。(3)结合投标设备和项目背景，编写安全技术方案和实施方案；(4)投标人在安全技术方案中应基于网络安全系统建设现状和问题，合理设计四川省环保厅环境信息业务安全系统，对系统现状、应用环境、功能需求、性能要求、系统部署方案等方面进行了全面分析和深入的理解。技术方案要求完整、合理、先进，满足用户需求；(5)提高完善的信息安全等级保护三级安全咨询规划，形成现有业务应用的整改和迁移方案；设计环保CA系统与省厅自建业务系统的扩容对接方案。(6)提供完善的信息安全等级保护方案；可不局限于自己包内设备，从技术、管理和运维三方面描述。(7)实施方案中要对实施人员组成和分工、工程计划和进度、设备的供货、现场勘测、安装调试、验收等实施步骤进行合理安排和规划；(8)提供详细、全面的培训、技术支持和服务方案及故障应急方案；(9)具体设备技术参数有要求如下:备注：加★号项必须满足，否则作无效投标处理，未加★号项允许负偏离，按照招标文件规定进行扣分。(1)设备采购清单序号设备名称设备表述数量单位1一级防火墙千兆防火墙，具有防DDOS功能，用于互联网出口安全边界防护2台2二级防火墙万兆防火墙，用于省厅安全域划分隔离2台3流量控制网关千兆，用于互联网出口2台4链路负载均衡千兆，用于互联网链路负载2套5SSL VPN网关100用户，用于省厅用户安全访问1套6入侵防护系统用于互联网接入入侵安全检测、防护1套7漏洞扫描系统用于全网漏洞安全扫描1套8网络与数据库审计系统用于网络、主机安全审计1套9终端安全管理300用户，实现对内部用户非授权私自外联行为的实时监控和检查，系统补丁及时自动更新，提高系统自身的安全性1套10安全管理平台50设备，用于安管中心，统一网络安全管理1套(2)一级防火墙技术指标指标要求★硬件硬件要求多核架构标准2U机架式设备，配有2个扩展插槽，可扩展万兆接口8个10/100/1000 Base-T；8个千兆SFP插槽。★性能参数吞吐量≥8Gbps最大并发连接数≥260万每秒新建连接数≥6万网络适应能力支持路由、透明、多纯透明子桥、及混合接入模式，支持接口联动。支持IPv6功能,包括DHCPv6、IPv6路由、策略路由和基于IPv6的安全策略控制，（要求提供界面截图）；支持channel接口，工作模式包括轮询、热备和802.3ad，支持轮询rr算法、xor算法、tlb算法、alb算法、broadcast算法，（要求提供功能截图）；支持虚拟防火墙功能，最大支持256个虚拟防火墙。访问控制能力支持基于源IP地址、目的IP地址、源接口、目的接口、时间、用户、VPN隧道等多种方式进行访问控制；支持URL重定向功能，可以根据源地址、目的地址、目的端口等条件将访问重定向到指定地址或域名；网络地址转换能力支持源、目的地址、端口的转换，包括一对一，一对多，多对一地址转换方式；支持服务器负载均衡功能，最大支持对8个服务器进行负载均衡；带宽管理支持带宽控制功能，可以按用户优先级、保证带宽、最大带宽等条件进行限制；支持对常见P2P、IM应用程序进行流控；多链路负载功能支持多路由负载均衡功能，最大可支持16条链路负载，支持自定义负载权重；支持基于应用（ARP/PING/TCP/HTTP)的链路探测，可以根据探测结果自动进行线路负载切换，支持ADSL多线路接入（最大3条）及自动负载功能，（提供界面截图）抗DDOS攻击能力可阻断syn flood、icmp flood、udp floodudp scan、teardrop、land、ping of death、smurf、winnuke、tcp syn 松散源路由、严格源路由、ip 安全选项、 ip 流攻击、ip时间戳等攻击安全预警要求支持活动主机探测功能，自定义设置探测条件，根据探测结果可进行IP/MAC的单向、双向绑定，支持开放服务探测，可自动检测网段内IP地址冲突，并报警；可靠性支持双机热备功能，要求支持路由和透明模式下的“主-备”、“主-主”模式配置管理支持策略管理员/配置管理员/审计管理员三权分立管理；支持配置的加密导出、部分导出功能；支持当前配置的Web界面显示；系统日志系统要能够提供多种日志存储方式，可以缓存在设备本地，也可以使用远程Syslog的方式收集；产品证书计算机信息系统安全专用产品销售许可证(三级)中国国家信息安全产品认证（3C三级）信息技术产品安全测评证（EAL3级）涉密信息系统产品检测证书军用信息安全产品认证（军B 级）IPV6Ready金牌认证厂家证书国家保密局涉密系统集成甲级证书；信息安全服务证书－安全工程类服务证书（二级）；信息安全服务证书－应急处理服务证书（一级）；信息安全服务证书－风险评估服务证书（一级）；CCID防火墙市场排名前三名证明扫描件（2009-2011年）(3)二级防火墙技术指标指标要求★硬件硬件要求多核架构标准2U机箱，标配冗余电源不少于9个千兆电口，8个千兆SFP光纤插槽，2个万兆SFP 光纤插槽（含万兆光纤模块），具备1个千兆管理电口，1个串口。最多可扩展至10个万兆接口或49个千兆电口（提供本次所投产品照片）★性能要求吞吐量≥40Gbps，最大并发连接数≥400万，每秒新建≥20万/秒，VPN隧道数≥10000条系统要求要求支持双系统引导，同时支持独立的备份系统（要求截图）要求支持具备自主研发的虚拟系统，每个虚拟系统具备独立的管理权限、安全策略等功能（要求截图，并提供国家权威机构出具的相关技术证书）访问控制基于状态检测的动态包过滤支持同一主机源会话、目的会话的分别管理和限制，支持设定网段内共享的或者任一地址的并发连接限制支持应用层访问控制，包括P2P软件、IM软件、炒股软件、网游软件等网络适应性支持透明、路由、混合三种工作模式支持静态路由，动态路由（OSPF、RIP等），VLAN间路由，单臂路由，组播路由等内置ISP地址列表，至少预先定义了联通、电信、移动等ISP地址分类（要求截图）支持服务器负载均衡，至少可支持7种以上技术方式，保证服务器工作高可靠性支持802.11B,802.11G协议，支持设备作为WiFi热点（要求截图）支持IPV6协议，要求通过IPv6 Ready Phase-2认证，即IPv6 Ready第二阶段核心协议金牌认证（提供证书）VPN功能支持标准IPSec、SSL、GRE、PPTP、L2TP协议支持多种认证方式如：预共享密钥、数字证书，基于动态令牌（Token）的双因子认证支持可视化VPN配置，支持VPN状态监控，包括资源状态、在线用户等应用识别控制要求支持P2P下载控制并提供细粒度带宽控制，识别和控制迅雷、BT、eDonkey、eMule等常见P2P下载软件要求支持P2P视频播放控制并提供细粒度带宽控制，识别和控制PPLive、QQLive、PPStream等常见P2P视频播放软件要求支持即时通讯软件控制并提供细粒度带宽控制，识别和控制QQ、MSN等常用IM软件，一键式阻断IM软件机密文件传输要求支持在线游戏、炒股控制，识别和控制魔兽、CS、征途、联众等数十种在线游戏软件，大智慧、同花顺等数十种炒股软件支持基于分类库的URL访问控制，可以对色情、反动等多种负面网站按类别进行选择控制网站过滤支持WEB分类管理至少支持千万以上分类web页面库，包含50种以上的分类库，千万级别分类库特征（截图证明）要求能主动防御病毒网站或攻击源地址抗攻击能力可识别和防御syn flood、Ping flood、udp flood、teardrop、sweep、land-base、ping of death、smurf、winnuke、圣诞树、碎片等多种攻击要求支持防护ARP攻击，支持防护CC攻击高扩展性支持扩展入侵防御、防病毒等功能模块，可提供免费试用，试用功能开启由用户现场完成无需返厂。安全助手要求集成安全助手功能，支持对内网服务器、主机进行主动式扫描，发现后门、漏洞等安全隐患（截图证明）安全联动实现与IDS等设备的联动，要求提供国家权威机构出具的相关技术证书管理配置支持友好WEBUI/SSH/Telnet管理，支持数字证书和电子钥匙方式，支持SNMP管理，与当前通用的网络管理平台兼容★高可用性支持链路备份、链路聚合功能，可以在用户的多条网络出口之间进行自动的切换；支持基于双机热备和负载均衡，在NAT、路由、透明模式下支持A-A,A-S模式产品证书具备计算机信息系统安全专用产品销售许可证（万兆）具备中国国家信息安全产品证书 （万兆）具备涉密信息系统产品检测证书（万兆）厂商证书具有计算机信息系统集成证书（壹级）具有涉及国家秘密的计算机系统集成甲级证书具有ISO14001环境管理体系证书(4)流量控制网关技术指标指标要求系统要求要求系统采用多核多线程ASIC并行技术，并提供该安全操作系统的软件著作权产品形态2U标准机架式机箱，双冗余电源★接 口至少4个10/100/1000M自适应电口，至少具有4个千兆SFP插槽，含1个扩展插槽；支持2路硬件电口bypass；★性 能防火墙吞吐量3G，流量控制吞吐量1.5G,最大并发连接数100万，每秒新建连接数大于2万/秒 网络适应性支持透明、路由、混合三种工作模式，支持双向NAT、动态地址转换和静态地址转换★支持智能选择新联通、电信、移动等出口链路，无需手动配置复杂多变的策略路由(要求提供界面截图)高可靠性支持多机集群，集群设备间支持状态表同步支持基于VRRP技术的双机热备和负载均衡，双机热备主从设备切换时间小于1秒支持通过设备面板的HA指示灯查看HA状态应用协议识别P2P下载：包括迅雷、BT、eDonkey、eMule等常见P2P下载软件P2P视频播放：包括PPLive、QQLive、PPStream等常见P2P视频播放软件IM即时通讯软件：包括QQ、MSN等常用IM软件在线游戏：QQ游戏、联众世界、浩方对战平台、魔兽世界、泡泡堂、梦幻西游、劲舞团、新浪游戏、搜狐游戏等流行的在线游戏炒股软件：大智慧、钱龙、同花顺、指南针等股票分析软件采用应用识别规则库，可在线和离线升级规则库流量可视流量可视模块能够显示网络中的各种统计信息，包括session统计，整机流量，IP统计，应用统计，Top10统计等，可以帮助用户全面掌控网络流量健康状况，根据网络当前的和历史情况，有的放矢地配置流量管理策略，实现有效的流量智能管理。支持Flow Monitor三维报表功能，在web上基于时间、应用、空间（安全域、网络接口）、用户等多个维度的实时和历史统计信息(要求提供界面截图)以Netflow或者Syslog的形式采集发给第三方的服务器，对统计数据进行存储、数据挖掘、组合等工作流量建模通过对当前网络应用情况的自定义学习，以及对学习结果的智能分析，自动生成一个优化的流控策略模型，方便用户的操作，减少配置的错误，提高易用性。流量分类可基于管道、IP、用户组、应用、数据流向、时间等条件进行流量分类，实现全网流量精细、精准、精确的控制和管理。流量限制支持基于管道、IP、用户组、应用、时间等条件的流量封堵功能、上行/下行流量限速功能、连接并发总数限制功能、新建连接数速率限速功能。这些功能既可以是基于整个分类的（组模式），也可以是基于该分类中的每个IP的（用户模式）。流量保障支持通过分层共享技术实现的带宽分层控制、相互借用和最低带宽保证和最大带宽限制，支持实时业务优先快速发送，保证关键业务带宽。同时在分层共享技术的基础，可对上行和下行带宽的分别管理。管理配置支持Cli和Web图形界面两种配置方式，支持Telnet、SSH、串口登陆命令行模式配置(要求提供界面截图)，命令行支持中文关键字、支持多行命令粘贴执行。产品证书具备公安部颁发的《计算机信息系统安全专用产品销售许可证》（千兆）具备中国国家信息安全产品证书 （千兆）具备涉密信息系统产品检测证书（千兆）厂商证书具有涉及国家秘密的计算机系统集成甲级证书具有国家信息安全服务二级证书（安全工程类）具有ISO14001环境管理体系证书(5)链路负载均衡技术指标指标要求空间占用=1U★硬件网络接口=8个10/100/1000 Base-T以太网端口=1独立管理接口CPU =四核CPU，频率=2.4GHzUSB接口=2内存=2G★性能要求支持主机数=30,000 最大并发会话数=4,000,000网络端口特性支持802.1q VLAN，VLAN最大数量不少于4094个网络吞吐率=1Gbps应用层协议数=450种协议策略数=2048策略类型支持应用协议控制策略、时间控制策略、带宽通道分配策略、多重带宽分配策略和防火墙策略。工作模式支持透明模式、路由模式、混合模式。均衡算法支持最小响应时间、会话、主机、流量等算法。均衡策略必须支持来源地址或地址组、目标地址或地址组、协议和服务。应用牵引基于应用的双向流量牵引，可以将特定应用的进出双向流量全部引导至某条指定链路上，在优化关键应用访问速度的同时，充分利用每条链路的带宽资源。链路保障链路状态检测、链路恢复检测。链路繁忙控制可以为特定链路设定阀值，使用户流量平均分到每条链路上，达到流量均衡效果。★智能DNS/DNS代理内置DNS服务，并集成智能DNS解析模块，可以解析A、MX、TXT等记录，支持ICMP/DNS探测算法。支持为接入用户实现DNS服务器冗余的同时，也可起到均衡链路流量的功能。地址转换支持地址转换（NAT）、地址映射（PAT）和一对一转换。应用控制/P2P控制支持Bit torrent, Edonkey, POCO, Kugoo, PPLive, PPStream,沸点网络电视, GNUtella, MMS, RTSP, RTP, SIP, HTTP, HTTPS, SMTP, POP3, MSN, SSH等。支持BitComet, BitTorrent, BitTorrent Plus, BitSpirit, BTGetit, TurboBT,eDonkey, eDonkey2000, eMule, POCO 等。带宽/会话管理支持应用带宽上下限、用户带宽上下限、带宽保障、地址及带宽限制、每个地址上限带宽动态均衡、二级带宽限制、TCP窗口控制、TCP和UDP流速控制、动态调整用户带宽、用户会话限制、流量分级。流量分类方式支持应用、端口、时间、地址或地址组、VLAN、方向、IP属性、TCP属性、UDP属性。★P2P流量管理支持完全拦截P2P应用、P2P流量控制上限、基于网络地址段得P2P流量控制、通过一条策略对每个用户的P2P流量控制上传/下载P2P流量分别控制、基于时间段控制P2P应用。信息推送可以根据用户、地址、时间等条件推送信息，可以设定每天、累计推送量，可以采用弹出、内嵌等推送方式。网络防御功能必须支持访问控制、应用访问策略、会话限制、会话保护、抗DOS攻击和包过滤。★监控功能支持实时流量图表、应用分析图表、分区流量统计、双向流量应用分析图表、主机流量监控、用户会话监控、用户会话查询、主机排序（地址、速率、会话）、运行状态监控、历史数据、可以配置需要检测的应用、旁路监控分析。监控报告支持WEB分析图、Excel分析数据导出、监控客户端管理系统软件。日志服务器支持性能数据导出、支持协议分析数据导出、支持带宽通道数据导出、支持会话数数据导出、支持用户数数据导出。WEB管理界面必须支持中文WEB管理界面, 不接受通过插件方式实现中文。安全的管理可以通过HTTPS、SSH、SNMP进行安全的远程管理，本地可以通过CONSOLE终端进行管理。前面板LCD显示必须支持前面板LCD主要系统参数监控，支持使用LCD面板设置管理口IP地址。高可用支持双机冗余。用户权限管理必须支持可以控制到管理界面的每一项。可以严格控制每个管理员可配置和查看的具体项目。配置文件管理支持web方式备份配置文件， 支持web方式导入和导出配置文件。电源单交流电源。产品证书提供设备厂商软件产品登记证书和计算机软件著作权登记证书(6)SSL VPN网关技术指标指标要求基本要求协议要求：采用具有自主知识产权的基于标准SSL协议的远程安全接入（提供由国家权威机构出具的相关技术证书）。处理要求：采用应用层数据处理和加密封装，支持基于高安全的SSL协议建立网关对网关的访问隧道。对于C/S应用在终端访问主机无需安装虚拟网卡驱动，以此证明真正的SSL VPN。★硬件要求不少于6个千兆电口，4个SFP接口，2个串口，2个USB接口。标准2U机架设备，双电源冗余。★性能要求并发用户：≥2000 ，本次配置100用户授权系统吞吐：≥400Mbps每秒新建用户：≥300/秒IPSEC功能SSLVPN产品同时支持IPSec VPN；IPSEC VPN必须符合国家IPSEC VPN标准；能与国际国内知名厂商进行隧道链接；用户可以自行选择采用IPSec或SSL方式移动接入。★应用支持B/S应用访问：访问Web应用时，免客户端、免控件，实现100％零客户端。只要web浏览器支持HTTPS协议就可访问，对终端的主机操作系统和硬件没有要求。C/S应用访问：支持各种静态和动态协议应用。全面支持Windows各版本操作系统的PC机。 要求SSLVPN支持基于谷歌的Android系统；支持及基于微软公司的windows phone系统，windows mobile 5.0以上系统； 访问控制可根据用户、角色、时间、网络位置、认证方式、终端状况等因素，选择赋予用户权限，并予以严格执行。智能选路：在多ISP入口的情况下，可识别接入IP所属ISP运营商（联通、电信、移动、教育网等），智能选择最佳路径，提高访问效率。用户终端绑定：可将用户账号或证书与固定IP地址进行绑定，支持对主机的硬件特征进行绑定，包括MAC地址、CPU ID、硬盘ID、操作系统ID等。并支持绑定信息的自动探测，不用手工输入。VIP帐号：在并发用户达到许可上限时，VIP帐号可继续登录，保证重要用户随时接入SSL VPN网关。安全性终端安全：支持用户终端安全检查，及基于检测结果的访问控制。支持用户账号与终端特征绑定。支持用户访问退出后，清除SSLVPN的所有访问痕迹。隧道隔离：支持用户登录SSL VPN后，断开与外联网络的其他访问连接，确保隧道数据安全，防止跳板攻击。支持客户端主机硬件特征码认证，通过自动或手动输入HASH值获得客户端的硬件特征码，实现硬件特征码和用户账户的绑定，支持硬件特征码与身份的多对多关系，即一个用户可拥有多个硬件特征码，同时一个硬件特征码也可以归属多个用户（提供界面证明）URL访问控制：支持URL访问控制，隐藏服务链接、名称或定义别名。可为Web应用配置子链接快捷访问。同时支持客户端到网关隧道模式和网关到网关隧道模式，且两种隧道模式均采用SSL VPN实现。离线监测：支持CA电子钥匙状态实时监测，电子钥匙拔出后可以自动断开安全隧道。日志审计支持集中网管：设备支持SNMP协议，可远程监控设备的运行状态；通过SNMP管理软件可统一进行日志收集和审计。报表生成：支持html、pdf格式的报表浏览和下载。支持top排名、支持行为分析.易用性★单点登录SSO：支持多Web应用的单点登录功能，可支持NTLM、FORM、BASIC等多种口令提交方式。支持CS服务的单点登录。支持一对多点的主从帐号对应。服务应用账号信息存储于网关，而非客户端中。个性化登录界面：用户可自由定制登录首页和登录后Portal页面的Logo、按钮图片，可在登录页面自定义跳转链接和下载链接，无需额外架设服务器。虚拟DNS：SSL VPN网关可作为DNS服务使用，用户可以通过管理员自定义的域名访问内网服务器。高可用性双机热备：支持设备双机热备。多机集群：采用具有自主知识产权的集群技术，实现设备的高可用性。（提供国家权威机构出具的相关技术证书）产品证书具有国密办商用密码产品生产定点单位证书具有国密办商用密码产品型号证书具有国密办商用密码产品销售许可证具有公安部颁发的《VPN安全网关销售许可证》厂商证书具有涉密计算机系统集成甲级证书具有国家信息安全测评信息安全服务二级证书具有ISO14001环境管理体系证书为了选择更优秀的产品，符合国家规定，厂商必须参与过国家《SSL VPN技术规范》制定工作，提供主管单位国家密码管理局出具的证明文件。(7)入侵防护系统技术指标指标要求规格★ 2U机架式硬件，含交流冗余双电源，至少配置4个100/1000M电口（支持Bypass）和6个千兆SFP插槽 性能吞吐量≥2Gbps，最大并发TCP会话数≥200万，每秒新建连接数≥5万检测防护能力★系统应提供覆盖广泛的攻击特征库（规则库获CVE兼容性证书），能够针对2000种以上的攻击行为、异常事件，以及网络资源滥用流量，进行防御和阻断系统应支持IP碎片重组、TCP流重组、流量状态追踪技术，基于智能深入的协议分析全面检测超过100种以上的应用层协议，以及基于Smart Tunnel智能隧道的应用协议支持基于对象的虚拟系统，针对不同的网络环境和安全需求，制定不同的入侵防御规则和响应方式，实现面向不同对象的智能化入侵防护攻击防护类型系统应能够有效抵御SQL注入、僵尸网络等多种常见的应用层安全威胁提供入侵行为和应用软件特征的自定义接口，可根据用户需求定制对其它流量的检测和阻断规则。攻击取证系统应具备攻击快照功能，详细记录触发告警的数据特征，以便做进一步的事件分析（提供产品界面截图）系统应具备原始数据留存功能，可根据协议、IP地址、端口等参数将原始网络数据保存为通用网络数据分析软件可读的文件。用户管理系统应具备用户身份识别能力，支持基于用户身份进行策略配置、日志记录与查询；支持自动与手动获取用户信息列表并生成组织结构图（提供产品界面截图）针对访问网络资源的终端用户，系统应提供增强的身份认证功能，支持RADIUS、LDAP、AD域等接口，及第三方认证平台，实现更灵活、更安全的认证控制。部署能力系统应支持监听（Monitor）、直通（Direct）和管理（Mgt）三种安全区模式。★系统支持IPv6/IPv4双协议，支持IPv6环境下攻击检测技术和基于IPv6地址格式的安全控制策略（提供产品界面截图）管理功能能同时支持B/S（Web控制台）和C/S（Windows控制台）两种管理模式，Web管理灵活方便，适合在任何IP可达地点远程管理响应方式包括：丢弃数据包、阻断会话、邮件报警、短信报警、控制台显示、日志数据库记录、写入XML文件、打印机输出，运行用户自定义命令等系统支持历史版本回滚功能，系统内建历史版本库可保留最近升级的多个历史版本，并支持回滚到任一历史版本，提高产品升级过程的可靠性（提供产品界面截图）日志管理系统提供冗余数据库功能，日志信息同时写入多个数据库，以提高数据的安全性。具备递归查询功能，在查询结果中再次输入查询条件获得更详细的查询结果，进行细粒度分析高可用性网络接口内置fail-open特性，产品出现故障能自动转变成通路，不影响正常传输产品优势产品成熟度高，上市时间在六年以上（以销售许可证时间为准）《国家信息安全测评信息技术产品安全测评EAL3证书（千兆、万兆）》市场占有率连续在近三年国内IPS市场排名前三位（提供IDC数据引用证明）产品通过国际权威NSS Labs测试和推荐认证(8)漏洞扫描系统技术指标指标要求规格性能★ 1U机架式硬件，B/S架构，安全嵌入式系统，至少1个100/1000M管理口和1个100/1000M扫描口，授权扫描≥500个IP地址，具体IP地址不限资产管理★支持IP地址、域名和资产树等多种资产管理方式，支持通过Excel文件将地址导入到资产树功能（提供产品界面截图）能够将资产的重要性量化，并且通过形象的图示将资产的风险值和的风险等级直观展现出来，并且将节点、风险及对应责任人相关联系统脆弱性扫描★漏洞知识库信息大于3000条，漏洞库与CVE兼容，提供CVE Compatible证书至少每2周进行一次定期升级，给出定期发布升级包列表的网站截图能够扫描常见的网络安全客户端软件（网络防病毒Symantec、TrendMicro、McAfee）的安全漏洞（提供产品界面截图）能够扫描常见的应用软件（如IE、MSN、Mozilla Firefox、Yahoo Messenger、MS Office、多媒体播放器、VMware虚机和各种P2P下载软件）的漏洞提供专门针对DNS服务的安全漏洞的检测支持IPv6/IPv4双协议栈功能，可提供IPv6版测评和证书扫描主流虚拟机管理系统的安全漏洞，如VMWare ESX/ESXi，能够扫描大于50条相关漏洞，并提供详细漏洞列表漏洞管理能够对资产风险的多次分析，有效地分析网络整体和主机漏洞的分布和风险趋势支持和微软WSUS系统联动，能在发给主机管理员的邮件中附带自动配置WSUS的注册表文件，以便自动化补丁修补（提供产品界面截图）扫描报告可以输出到HTML、WORD、EXCEL、PDF等文件，报告可直接下载或通过邮件发给管理人员，同时报表输出支持按任务或按照IP范围，每个输出任务中可进行IP的筛选，直接定位到用户最关心的主机报表产品证书《国家信息安全测评信息技术产品安全测评证书（EAL3级）》《国家信息安全产品证书（增强级）》《军用信息安全产品证书（军B 级）》厂商具备对安全漏洞进行发现验证的能力，能提供所发现安全漏洞的CVE编号、漏洞名称及网站链接，漏洞数量在30个以上 (9)网络与数据库审计系统技术指标指标要求产品形态标准2U机架式设备，双冗余电源★接口要求不少于4个千兆电口，4个千兆SFP扩展插槽，最多4路同时捕包★性能要求处理能力不小于1000Mbps 支持对不少于2000在线用户进行审计磁盘容量不小于500G部署方式支持旁路部署和透明桥接部署，支持分布式部署与集中管理支持Lan、MPLS、GRE、PPPOE、VLAN等网络接入环境行为审计★能够全面详实地记录网络内流经监听出口的各种网络行为，并根据国家有关法规规定保存至少60天，以便进行事后的审计和分析。日志以加密的方式存放，只有管理者才能调阅读取。提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息（提供截图）能够审计的网络协议或应用类型包括：标准协议及其衍生应用（HTTP-GET、HTTP-POST、HTTPS、TELNET、FTP、SMTP、POP3、Samba等）；支持GRE(通用路由协议封装）、MPLS（Multi-Protocol Label Switching，多协议标签交换）、L2TP、PPPoE等封装协议的网络数据审计还原。内容审计支持WEBMAIL、网页论坛等网页提交内容审计，对不能自动识别类型的网页提交应用能自动归到其他类型（提供截图）支持对Google, baidu, sogou, soso等常见搜索引擎的搜索关键字记录，并具备良好的扩展能力，支持用户自定义其它搜索引擎网页提交内容审计不限站点支持邮件附件下载备份功能支持文件还原及下载备份功能支持通过自有协议识别网络中的业务数据（提供国家权威机构出具的相关技术证书）数据库审计★数据库审计类型：支持Sql Server、Oracle、DB2、Sybase、Mysql、Postpresql等主流数据库的审计数据库审计能力：支持数据库绑定变量审计支持访问数据库的源主机名、源主机用户的审计支持SQL操作响应时间的审计 支持Select操作返回行数的审计支持数据库操作成功、失败的审计支持数据库操作类、表、视图、索引、触发器、存储过程、域、Schema、游标、事物等各种对象的SQL操作审计。审计策略支持数据库客户端软件名称、数据库名、数据库表名、数据库字段名、数据库返回码作为响应条件上网认证支持触发式WEB认证，除免认证用户外，其他用户必须经过认证后才可上网（提供截图）支持多种认证方式并存，不同终端PC可分别使用不同的认证方式（提供截图）实名审计支持用户自动识别和管理，支持多级（不少于5级）用户组织架构划分支持三层交换环境下的MAC地址获取，能够将IP/MAC地址等信息与实际用户进行对应，并在审计结果中体现实际用户支持PPPoE、Radius协议的拨号帐号与上网日志关联；支持在网络环境中存在多种代理服务器时能够准确捕获还原网络日志数据，包括ISA代理、Socks4/5、Squid等HTTP Proxy；支持代理服务器与AD域控制器、LDAP帐号的联动，自动获取代理帐号信息并与上网日志关联，以实现审计实名（提供截图）应用阻断可以设置禁止通过HTTP/FTP下载指定类型文件，在封堵日志里可以查看请求被拒绝的记录，并可以开放指定可信任网站下载文件；可以设置禁止或只能通过指定的邮件服务器收发邮件，包括webmail邮件，；支持URL关键字阻断功能可根据电子邮件标题、正文和附件中的内容关键字进行匹配并阻断，防止敏感信息外泄★行为告警可以对HTTP（GET/POST）、SMTP、POP3、TELNET、FTP、MSN、YahooMessenger、数据库（SQL SERVER、Oracle）等常见协议或应用进行内容关键字告警支持弹出页面、手机短信、发送邮件系统管理管理员登陆支持基于Radius协议的集中身份验证，能够自动检测和指定登录密码强度；支持在指定IP地址的计算机上才能登录管理机界面审计日志存储空间耗尽时系统可自动采取保护措施产品证书公安部销售许可证（增强级）涉密信息系统产品检测证书中国 国家信息安全产品证书厂商证书具有涉及国家秘密的计算机系统集成甲级证书具有国家信息安全认证服务二级证书具有ISO14001环境管理体系证书(10)终端安全管理技术指标指标要求★数量许可本次提供不少于300个终端管理授权许可。为方便后期扩展，在服务器端不限制许可上限。内网终端接入管理★支持基于802.1x协议的网络准入控制。基于802.1x网络准入控制需要同时支持有线网络和无线网络接入。有线和无线的网络准入控制，至少支持可信MAC地址、可信GUID（硬件信息），用户，IP，VLAN，文件数字证书，Ukey数字证书，认证有效期，安全状态等多因素绑定认证。支持可信MAC地址和可信GUID的实时授权。★支持交换机端口绑定，支持指定交换机端口只允许接入指定的终端，或者指定的用户通过指定的交换机端口接入网络。支持基于EOU协议的网络准入认证和控制。如果计算机终端未安装客户端程序，则会被重新定向URL到指定的网页下载客户端并进行安装，在此基础上修复安全漏洞。能够对尝试访问Web、Email、DNS和ISA应用系统终端执行应用准入控制，对终端进行身份认证和安全状态检查。能够识别终端是否安装客户端，并能够未安装客户端的终端基于浏览器进行友好提示，引导用户完成客户端安装不得使用ARP欺骗的方式实现客户端提示页面。支持双机热备，当设备出现故障时，设备准入控制功能自动失效，不影响终端的正常网络访问。双机热备支持抢占模式。非法外联控制能够识别和控制终端各种外设进行控制,能够单独禁用指定的外部设备，也可以禁用所有外部设备，然后只选择启用某些指定的外部设备。支持对未知设备通过设备在线采样，精确对其控制。★能够有效控制网络非法外联行为，阻断终端通过多网卡、WIFI、3G网卡、手机等多种方式网络非法外联访问，杜绝网络非法外联行为发生。★能够禁用可能被用于连接网络非法外联设备的外设接口，至少能够禁用Modem、红外、COM、无线网卡、蓝牙和USB接口。终端威胁管理支持软件安装红名单、黑名单和白名单，确保终端能够按照要求安装指定的软件。支持的防病毒软件至少要包括瑞星、赛门铁克、趋势、微软、江民、卡巴斯基、360杀毒、驱逐舰、McAfee等多种主流防病毒软件。无需对现有网络进行任何调整，即可实现终端安全域划分和管理，支持根据安全终端安全等级保护级别，设置终端安全域内和终端安全域之间细粒度终端访问控制权限，全面提升内网终端安全防护级别。能够对终端网络行为异常进行监测和控制，网络行为异常包括但不限于异常的网络连接、异常发包行为、异常的终端流量等，避免因为终端的网络异常导致整个企业内网网络阻塞或者瘫痪。桌面管理★支持补丁分发支持软件分发流量控制。可以同时向多个客户端分发软件包，也可以指定在某个时间范围内进行软件分发。支持软件分发支持断点续传机制。具备客户端短消息发布功能，方便为终端发送文本信息。支持即时查看短消息的阅读终端数，随时确认短消息效果。终端审计支持对终端的共享目录、网络拷贝、全盘、本地盘和移动盘的文件操作进行审计。支持对指定目录文件的读、写、新建、复制、删除、改名、移动等操作在线和离线进行审计。支持对终端网站访问行为进行审计和控制。支持对含有指定的一个或多个关键字的网站访问进行审计，性能和稳定性要求系统在计算机运行后，资源占用小，Agent占用的CPU利用率应 1％，Memory占用大小应 15M。网络性能影响要求：系统运行后，对网络性能基本无影响。与终端安全的安全系统（例如主流的个人防火墙、防病毒软件等）和应用系统没有冲突，保障业务系统不间断运行。系统具有功能强大的身份认证系统和良好的自身安全性，没有预留的后门，客户端与服务器的通讯需要进行验证，客户端软件卸载需要提供卸载密码。产品证书计算机信息系统安全专用产品销售许可证涉密信息系统产品检测证书计算机软件著作权登记证书厂商证书具有涉密计算机系统集成甲级资具有国家信息安全测评信息安全服务二级证书具有ISO14001环境管理体系证书(11)安全管理平台技术指标指标要求★数量许可支持不少于50个的管理授权许可为方便后期扩展，在服务器端对扩展授权上限不做限制性能指标事件采集性能大于30000EPS事件处理性能大于6000EPS拓扑管理自动网络拓扑发现和网络拓扑图展现，用户可以通过拓扑图进行可视化网络设备监控和连接状态监控。通过拓扑图，用户可以调用设备的http接口、telnet接口、ssh2接口实现对设备的直接访问和控制。支持机房和机架物理拓扑显示，用户可以直观地看到每个机架上的每台设备的运行状态。可以看到设备的真实面板图，并可以针对面板上的接口进行实时监控和设置。资产管理资产信息可以通过网络拓扑发现自动获得，并自动生成资产树，用户也可以手工对资产进行编辑集中监控通过一个控制台，用户就能够监控整个网络环境中所有设备的运行状态和性能分析，并实时获得告警，便于采取应急响应行动；支持监控任务的导入、导出功能，方便用户对监控项目的全面掌控；应用阈值模版可对监控对象进行快速、统一的告警阈值设置，提高了集中监控的应用效率主机监控IBM AIX、Linux、HP-UX、Solaris、Windows 2000/2003/2008服务器、小型机网络设备监控所有支持SNMP协议的网络设备安全设备监控主流防火墙、VPN、IDS、IPS、UTM、防病毒网关、日志审计能够实时不间断地将来自不同厂商的安全设备、网络设备、主机、操作系统、数据库系统、用户业务系统的日志、警报等信息汇集到审计中心，实现全网综合安全审计。告警与响应管理将所有的告警记录按发生时间、告警状态、事件类型、事件等级、源设备IP、源设备类型等信息列表显示，对告警信息进行分析和统计。产生的告警信息能够通过电话响铃、邮件、短信、电脑语音、控制台弹出窗口、SNMP TRAP、防火墙/交换机设备联动、执行预定义参数脚本程序的方式进行自动化响应报表管理提供丰富的报表管理功能；根据时间、数据类型等定期自动生成报表，提供打印、导出以及邮件送达等服务；直观地为管理员提供决策和分析的数据基础，帮助管理员掌握网络及业务系统的状况。报表可以保存为HTML、EXCEL、文本、PDF、WORD、PNG等多种格式，提供报表模版的导入、导出功能，用户可根据需求自定义相关报表模版进行数据的导入、导出认证管理可以在一个界面集中管理所有监控对象的认证方式，便于管理员进行统一修改。通过集中管理界面可以实现所有设备和应用管理的入口，从而实现设备统一认证和管理产品证书计算机信息系统安全专用产品销售许可证涉密信息系统产品检测证书信息技术产品安全测评证书计算机软件著作权登记证书中国国家信息安全产品证书厂商证书国家保密局涉密系统集成甲级证书；信息安全服务证书－安全工程类服务证书（二级）；信息安全服务证书－应急处理服务证书（一级）；信息安全服务证书－风险评估服务证书（一级）；实施周期要求以下时间要求以招标人和中标人签订合同日为起始日期：(1)设备采购到货，1个月；(2)设备安装和调试、安全策略配置，1个月；(3)试运行、编制安全管理体系，3个月；(4)设备质保期36个月。实施要求(1)施工人员要求在项目实施过程中投标人应组织一支技术水平高、业务能力强、服务态度好的实施队伍。实施队伍中明确1名项目经理负总责，同时明确1名技术总监负责现场实施工作，实施工程师不能少于10人。(2)设备到货要求中标人应按合同中规定的到货时间和地点完成所有设备的到货及设备检验/检测工作，所有设备均直接发送至使用单位指定地点。中标人应负责本标书要求的所有设备、软件运输、交验的一切费用。如果签订合同后，设备的型号有变化（但性能不变或优于原投设备性能），与投标设备不一致，投标人必须在设备到货前20天内，向采购人提交《设备变更说明》，得到采购人的批准后，方可继续供货。对于投标人提供的各种型号设备，在供货时如有相应的更新产品，在不超过投标价格的前提下，招标人保留更改设备型号的权力。投标人应承诺，本次所投设备将支持与招标人现有设备有良好的连接，并在项目实施中提供解决方案和服务。对安装有特殊要求的产品，中标人应在产品安装前20天，应以书面形式通知买方，向最终用户提出安装场地环境要求，并对最终用户就安装场地环境准备向最终用户提供技术咨询。(3)设备安装、调试要求投标人应派遣有经验的技术人员组成工作小组到现场实施技术服务，包括设备安装、软硬件的测试和调整服务、设备更新、现场培训等服务。设备安装、调测的主要目标是使整个系统能够正常运行，确保与之相联的全部设备正常联通。中标人在安装和调试设备过程中，应对招标人相关人员进行现场培训。设备安装和调试中连接所需要的线缆（光纤和网线）均由中标人提供解决，根据设备数量和网络结构，明确线缆的类型、数量和价格，并计入投标总价。各投标人必须响应下列安装、调测要求：a.按标书要求对所投产品进行安装、调测检查，并做出安装、调测报告。所供设备应在合同中所规定的地点和环境下，实现正常运行并达到招标文件及合同要求的性能和功能。b.完成与配套设备的联合调试，构成整体的系统平台，进行相关的配置和系统优化调试。c.当所供设备或软件在安装、调测中出现性能指标或功能上不符合合同时，由中标人负责解决。d.如安装、调测中出现不符合合同要求的严重质量问题时，投标人保留索赔的权利。e.投标人需按照招标人要求，完成现有上网行为管理、网页防篡改等安全设备的集成、调试。(4)项目配合要求① 协助、配合招标人、监理单位和测评机构的工作，按照经招标人同意的技术要求和实施计划要求进行项目实施，并配合相关集成工作。②完成与本项目有关的招标人提出的其他任务。③设备提供第三方接口，满足统一管理的要求。验收要求(1)到货验收要求a. 中标人应在合同规定的交货期内提供所有产品，在用户指定的地点进行产品交付。中标人应对所交付的产品及部件提交生产厂家的检验证书。所交付的产品应包括合同中列出的全部配件、相关资料以及装箱单等。必须保证是合同签订后最新出厂（含最新版本的正版操作系统）的产品；b.依合同要求对所供全部设备的型号、规格、数量、外形、包装及资料、文件（如装箱单、保修单、随箱介质等）进行到货验收；货物开箱后,目测产品应无损伤。核对货物清单,检查交付货物的型号、数量以及相关配件。货物外观受损，货物包括附件与合同货物清单或装箱单不符视为检验不合格；c.当出现上述证明文件不完整或相关手续不全、到货验收时出现不是最新出厂的产品或不符合合同要求的严重质量问题时，招标人保留索赔及退货权利；d.当出现设备损坏、数量不全或产品不符等问题时，由中标人负责解决；(2)初步验收设备到货验收、安装调试完成后，经招标人、监理认可，招标人组织初验。初验前应完成的工作包括但不限于：硬件设备上架安装、系统安装调试，并进行相关的配置和系统优化调试，确保合同项下的设备与其他设备正常联通、系统可正常运行并支持其他系统的正常运行，完成实施过程中所有文档的提交（技术文档、实施文档、用户使用手册等）。中标人在初验前10天提供一份详细的初验方案，经招标人、监理认可后执行。招标人在完成上述工作后即可申请初验。对于技术文档有如下要求：中标人应在初验时向用户随设备或软件交付完整的技术文档，提交的技术文档的内容必须与所提供的产品相一致，并应尽可能详细。所提交的技术文档费用应包括在该品目的基本报价中。为了培训的目的，最终用户有权复制这些资料而不受限制和另付费用。所有技术文档包括但不限于如下内容：① 对产品各项技术指标的测试报告。② 技术文件：产品说明书、产品操作手册、产品维护手册、故障诊断手册、开发手册（如果有）等。③ 详细的产品质量文件：包括材质、材质检验、加工质量、外形尺寸、性能检验、产品合格证明书等文件。④ 安装指南：中标人应向最终用户提供安装调试过程中的各种文档资料,以便最终用户能掌握操作方法和维护方法。有关产品正确安装与详细配置（包括安装方法、安装步骤及各种配置参数等）资料要以易理解的方式（包括详细说明及图示）形成中文文档，交于用户。⑤ 验收文档。(3)试运行设备安装调试完成，通过初步验收后，进入3个月的连续试运行期。在试运行期间，中标人应使任何故障或问题都能在24小时内（节、假日也不例外）被修复和解决，并给出详细修复细节报告。试运行期内如出现重大故障，则试运行期从故障排除之日起重新计算，直到系统连续3个月无重大故障为止。重大故障系指因卖方原因致使设备不能正常运行，影响到买方系统软件的正常安装和运行。所有试运行期间设备的修改和软件变化都应在试运行结束后由中标人写入操作和维护手册中。(4)最终验收试运行期满合格可以进行终验。系统最终验收合格必须满足以下条件：?已提供了合同的全部产品和资料；?提交实施过程中所产生的全部文档，如技术文档、实施文档、用户使用和操作手册等；?从系统初验通过之日起，进行3个月的连续试运行，在此期间要保障系统的正常运行；终验后陆续上线的应用系统在运行时如发现中标人提供货物有质量问题，中标人也必须更换货物或按招标人同意的方式处理货物；?安装、调试、测试和试运行时出现的问题均已被解决；?最终用户单位、监理单位出具的系统可正常运转的说明文件。系统通过终验后，进入质量保证期，质量保证期为36个月。培训投标人应向招标人提供相关培训，以便对工程实施进行有效管理，同时保证招标人能够进行系统的运行管理、操作、维护，故障分析处理等工作。培训方式应包括：①现场培训：投标人在产品安装调试时，对招标方的技术人员进行现场安装调试培训，讲解产品的结构、安装步骤、调试方法和系统配置等。现场培训应该不限制人数。②技术培训：按照等保体系和网络安全技术的要求，提供满足项目实际需要的技术培训，培训人数不得低于50人，培训天数不得低于3天，培训次数不低于3次，每人/天培训费用不得低于260元，培训的具体时间、地点根据招标人要求进行。投标人应详细列出培训内容、人次、费用和教材等，提供各分项的详细报价，费用计入总价，否则视为免费。投标人所提供的讲师必须满足产品原厂商的培训资格要求。原厂标准培训课程需要提供原厂中文教材，若教材为英文版本，投标人应承诺提供中文对照讲义。技术支持与服务(1)试运行的技术支持与服务在产品试运行期间，投标人必须向中标人承诺免费的技术支持和服务，免费服务内容应包括但不限于下述内容：升级服务、调优、故障排除和故障排除所需的备件更换（含备件本身）等。投标人应承诺为最终用户单位、其他集成商等提供免费的技术协助，技术协助的内容包括产品的安装部署上线、与其他系统的集成等。技术协作的方式应包括电话支持、电子邮件支持、文档提供、现场支持等多种以解决实际问题为目的的方式。系统试运行过程中如果发生硬件故障，对故障设备的恢复时间不能超过24小时。故障恢复期间应确保系统不中断。(2)质量保证期内的技术支持与售后服务① 技术支持及售后服务投标人应详细阐述质量保证期的技术支持和售后服务的内容、方式与范围，并指出在质量保证期内那些服务是免费的，那些服务是收费的。技术支持及售后服务内容应包括但不限于下述内容：升级服务、定期巡检、性能调优、故障排除和故障排除所需的备件更换（含备件本身）等，其中：调优服务至少每年提供两次；投标商应承诺提供终身免费电话热线技术支持服务。售后服务的所有报价都需要计入投标总价中，否则视为免费。在质量保证期内投标人必须在2小时内对采购人所提出的维修要求做出实质性反应，及时解决系统运行中的问题。系统运行过程中如果发生故障，对故障的恢复时间不能超过24小时。② 驻场安全运维服务投标人须承诺提供终验后一年期两人本地驻场安全运维服务。设备测试要求为确保中标单位所投设备完全满足招标书中对设备的各项指标要求，在招标结果公示以后，招标人保留邀请具有承担安全产品测试资格的权威性第三方测试服务机构，对中标单位提供的设备进行功能及性能等方面测试的权力。安全设备的测试主要包括对新建连接速率和并发用户数进行测试、吞吐量和时延进行测试、安全策略测试、漏洞检测能力测试、入侵检测规则数目测试、审计事件每秒入库速度测试等。在测试过程中，如发现中标单位提供的设备关键指标不能满足招标书要求，由招标委员会共同协商后，可进行废标处理，并对投标中最终评分排名第二的投标单位进行设备测试。备注：1、标注★号的为本次招标项目的实质性要求，不允许有负偏离。2、技术参数中没有标注★号的认证、证书、检测报告为非实质性要求。3、若技术参数中指定或变相指定品牌、型号、产地等，均不作为招标文件要求。