序号

设备名称

主要技术参数

数量

1

网络安全态势感知与管控平台

1、配置要求：2U设备， 内存≥32G，硬盘≥16T，≥1个DB9串口，≥2个千兆电口；网口可扩展3组，每组最多4光（或4电），包含200个异构设备日志接入授权。

2、态势感知呈现：安全态势感知支持从失陷态势感知、网络威胁态势感知、数据安全态势感知、业务安全态势感知、行为风险态势感知、脆弱性态势感知和病毒态势感知等维度来进行安全感知。

3、第三方设备日志接入：①支持syslog、snmp trap、wmi、netflow、sftp、文件、数据库等多种接入方式；②日志采集支持可定义接入的采集端口情况，比如可以通过514端口接日志，也可以自定其它端口；③系统支持第三方日志接入，日志接入大于600种设备类型，包括不限于以下设备安全设备：启明WAF防火墙、绿盟IDS、华为防火墙、Juniper防火墙、天融信防火墙等；操作系统：Linux、Windows、Window server、Uinx等操作系统、数据库：Oracle、MySQL、SQLServer等、应用系统：如Apache、Tomcat、IIS、weblogic等；网络设备：主流的路由器、交换机、负载均衡等网络设备等，如Cisco、华为、juniper等。

4、漏洞扫描：漏洞扫描功能，插件库大于70000条，支持对各类主机漏洞进行检测，检测的目标系统包含主流操作系统、数据库系统、Web中间件等，主机漏洞中至少包含名称、级别、CVE等编号、描述、受影响系统、解决方案等内容；检查的类型包括但不限拒绝服务、缓冲区溢出、任意文件上传、远程任意执行、反序列化、后门等。

5、基线检查：支持对主机、数据库系统、Web中间件、网络设备、安全设备、域名服务等的配置基线检查；检查的类型包括但不限于账号管理、口令设置、权限设置、日志设置等。

6、检查任务管理：支持定义漏洞扫描和安全配置（配置基线）检查任务，任务包括名称、执行周期等属性；在任务检查期间可以查看进度，检查完毕可以查看检查报告并和历史检查报告进行比对。

7、失陷分析：①支持对于设备失陷分析、邮箱等账号失陷情况进行分析，在账号分析中应可以指定或过滤相关账号来源。；②支持对于邮箱等账号失陷情况进行分析，在账号分析中应可以指定或过滤相关账号来源。

8、监控大屏：支持态势感知概览、外部威胁、外连威胁、内部互连威胁、脆弱性威胁等方式输出到监控大屏。

9、资产管理：支持资产管理功能，可以添加、修改、删除资产对资产的基本属性进行维护资产可以增加自定义属性；支持资产发现功能，对相关资产的系统类型进行一定的猜测，生成预备资产列表；用户可以根据列表并补全相关信息以生成正式资产。

10、网络管理：支持定义多个网段，并可以将这些网段与资产或采集设备进行关联；可以设置网段的管理属性，如服务器或终端等。

11、云端管理：支持将本地相关信息送到云端进行统一管理，这些信息包括但不限于各类安全事件、漏洞、产品的运行状态等。

12、关联分析：为了挖掘不同类型、来源于不同设备或系统的日志或安全事件之间可能存在的关联关系，系统提供了GUI方式的关联规则设置功能，关联的类型包括基于规则和基于统计的，支持基于因果式的状态关联分析。

13、攻击溯源：支持全球地理位置库，能够在世界地图、中国地图实时攻击日志的定位源和目的的地理位置信息。

14、流量分析：支持流量探针数据接入，包括攻击检测、网络会话接入等。

15、日志过滤归并：支持日志过滤和归并，支持全文检索。

16、合规审计：支持定义各类对象，包括时间、地点等对相关数据进行合规审计，符合规则的则产生审计记录。

17、综合报表：支持报表功能，支持以失陷为中心、南北向以及东西向所有安全威胁的综合安全报表，支持对IP地址及地址段的筛选，另外可以自定义标题、章节选择以及发送邮箱选择。

18、漏洞知识库：支持漏洞知识库、攻击事件知识库、配置安全知识库等类型的知识库。

19、工单管理：支持工单管理，工单处理包括接收、打回、结束、关闭工单等

20、威胁情报：①支持威胁情报云查溯源，支持恶意IP、恶意域名、恶意URL、恶意文件溯源查询，呈现威胁情报详细信息，包含情报历程、恶意标签、相关事件、相关样本等。②支持威胁情报云数据hash量级：hash鉴定历史不少于1000亿，存储样本150亿，存储黑样本数据不少于40亿，白样本不少于20亿，样本数据覆盖PC，移动等领域，日均新增黑样本数量不低于30万。

21、为加强全网节点安全检测，准确分析定位网络安全问题，实现统一管理与设备联动，建议与网络流量智能分析审计系统为同品牌产品。

22、原厂三年质保和软件免费升级。

1套

2

网络流量智能分析审计系统

1、配置要求：2U设备， ≥32G内存，≥8T硬盘，≥1个DB9串口，≥2个千兆电口，≥2个万兆光口；网口可扩展2组，每组最多4光（或4电），流量处理大于≥2000Mbps。2、部署方式：通过旁路镜像采集网络全部流量，支持在线支持同时接入多个镜像口，每个口相互独立不影响，设备部署不影响原有网络结构。

3、协议解析：①支持HTTP、TLS、SMTP、POP3、IMAP、FTP、SMB、RDP、SSH、Telnet等应用协议的解码、元数据提取及存储、搜索、统计功能；②支持工控协议等应用协议的解码、元数据提取及存储、搜索、统计功能；③TLS数据解码和元数据分析：分析TLS、SSL协议证书、服务器、内容数据等信息；④支持X-Forwarded-For连接方式HTTP协议解析；⑤HTTPS数据解码和元数据分析：分析TLS协议证书、服务器、对HTTP请求的域名、URL、状态码、UserAgent等信息/4、网络会话分析：①支持HTTP网页标题、BBS、威胁情报、DGA、搜索关键词的网络会话分类审计；②支持DNS威胁情报、DGA、解码错误、解码失败、解码超时的网络会话分类审计；③支持TLS证书、TLS威胁情报审计；④支持接入主流数据库网络会话，数据库风险访问、数据库危险SQL的网络会话分类审计，数据中至少应包含登录用户名、操作命令（SQL）等；⑤支持HTTPS网站标题、URL等字段审计；⑥支持FTP账号、口令、路径、命令行等字段审计；⑦支持以图形方式展现网站浏览排行、访问异常分布、网络协议类型分布、南北向及横向互联关系、DNS解析情况；⑧支持全流量的网络会话DPI解析、攻击检测、异常行为分析、存储及检索查询；⑨支持按需（用户自定义数据包保存策略）及系统自动可疑威胁数据包；⑩支持在线解析数据包，并对数据包进行流追踪，深度分析原始数据包。

5、攻击监测：支持攻击检测，包括ActiveX、DNS、端口扫描、拒绝服务攻击、漏洞利用、FTP、TFTP、游戏、ICMP、POP3、SMTP、IMAP、RPC、VOIP、SNMP、恶意、混合、移动端恶意软件、P2P、SQL、木马、蠕虫、ShellCode、Web应用等类别、明文传输检测、弱口令检测、过期系统或软件检测、隐蔽通道检测、电子加密货币活动检测、勒索软件检测、域名快闪检测等。

6、文件监测：支持文件检测，如：Zip、RAR、Dmg、Tar、Gzip、Bizp2、OLE2、Cabinnet、CHM、BinHex、SIS，MS Office文件，Mac Office文件，HTML，Flash，RTF，PDF等；并支持恶意软件检测、文件内容敏感词检测。

7、威胁情报：①支持威胁威胁情报检测，整合威胁情报库，支持对各类恶意IP、恶意域名、恶意URL、证书检测以及恶意邮箱进行检测；检测的类型包括僵尸网络、木马回连、CnC回连、隐蔽通道、电子加密货币矿池等；②支持威胁情报云查溯源，支持恶意IP、恶意域名、恶意URL、恶意文件溯源查询，呈现威胁情报详细信息，包含情报历程、恶意标签、相关事件、相关样本等。③威胁情报云数据hash量级：hash鉴定历史不少于1000亿，存储样本150亿，存储黑样本数据不少于40亿，白样本不少于20亿，样本数据覆盖PC，移动等领域，日均新增黑样本数量不低于30万。

8、异常行为检测：异常流量行为检测，支持智能动态基线、模式信息熵、离群分析等算法；通过一段时间学习，对象的流量特征分析、建模，智能生产该对象多维度的纵深检测机制，从而发现异常协议、异常端口、异常流量。

9、监控功能：支持全面的网络情况可视化，包括网络安全状况可视化、网络带宽占用及网络质量可视化、网络流量可视化，支持实时统计流量使用情况，可通过列表查看每个主机的流入流量、流出流量，总流量；并且可通过下钻单个主机或网段，查询主机或网段的流量趋势，以及进行对比各个时间段的流量情况。

10、失陷分析：支持设备失陷分析，支持Kill-Chain分析技术，支持从整个失陷过程的各个失陷阶段分析失陷原因，追踪溯源，支持时间轴和黄金眼展示，并支持对主机IP自定义配置设备名称。

11、事件分类：支持根据安全事件的影响程度和影响范围分级呈现（极度、重点、中等、一般）所有受害主机，并通过安全知识库指导用户了解相关威胁的原理和解决方案，并支持高级威胁策略定义，可把需要关注的安全事件进行重定义分级展示。

12、策略管理：①支持网络攻击策略及白名单配置、支持威胁情报白名单配置、支持网络质量检测策略配置、支持设置数据包过滤和数据包保存策略配置。②支持网络设备名称配置。

13、系统管理：①支持三权分立的权限设计，支持时间同步页面设置。支持CLI命令行，便于基础运维调试；支持检测结果Syslog转第三方系统。②支持在线及离线升级方式；支持集群配置及集群状态监控。

14、阻断防御：支持旁路威胁阻断防御，用户可以根据已命中的安全事件精准对已知和未知攻击进行实时阻断，系统提供多种特征组合的阻断方式，并支持用户查询执行阻断策略的网络会话。

15、应用识别：能够识别应用类型超过700种，应用识别规则总数超过900条；漏洞利用规则特征库数量超过11000+条；Web应用检测规则数量超过7000+条；移动设备恶意软件规则数量超过4000+条，并支持每月规则库更新。

16、安全态势展示：支持基于地图（国内/全球）的安全态势直观展现，以及全面的威胁行为统计，包括威胁次数、威胁趋势、威胁源、威胁目标、威胁目标端口、威胁类型、威胁协议、安全策略类型、命中威胁情报等统计展现。

17、网络质量监控：支持主机网络性能实时监控，以图表的形式监控主机的带宽占用情况、端口/应用的流量吞吐、TCP建连成功率、TCP三次握手时延、TCP重传以及TCP零窗口等，并且支持查询模式回溯历史时间的网络质量情况。

18、流量统计分析：支持实时统计流量使用情况，可通过列表查看每个主机的流入流量、流出流量，总流量，也可以通过配置交换机接口来监控各个网段的流入流量、流出流量、总流量。并且可通过下钻单个主机或网段，查询主机或网段的流量趋势，以及进行对比各个时间段的流量情况。

19、状态监控：支持实时监控系统当前运行状态，包括CPU、内存、硬盘、swap、网络吞吐及网卡状态。

20、内部互联威胁：支持以端口扫描、攻击、口令猜测、异常连接等方式呈现内部互联威胁；内部互联需区分服务器和终端。

21、为加强全网节点安全检测，准确分析定位网络安全问题，实现统一管理与设备联动，要求与网络安全态势感知与管控平台匹配使用，建议为同一品牌。

22、原厂三年质保和软件免费升级。

1套

3

数据中心防护墙

1、系统架构：产品应采用专用机架式硬件设备，系统硬件为全内置封闭式结构，2U，1+1冗余电源。

2、基本网络接口：千兆电口*6（其中2对千兆电口Bypass）, 千兆光口*4, 万兆光口*4；扩展槽≥4个，扩展槽可选配扩展卡，每个扩展槽可以插入8千兆电口/光口扩展卡或4/2万兆光口扩展卡或2口40G光口扩展卡，可再扩展32个千兆接口或16个万兆接口或8个40G光口。

3、最大吞吐能力：防火墙吞吐量≥50Gbps，开启IPS/AV吞吐量≥20Gbps。

4、并发TCP会话数：≥900万，网络延迟：≤ 0.01毫秒。

5、部署模式：透明部署（基于透明网桥），需即插即用，无需做任何配置即可防护。支持旁路部署。

6、策略路由（支持流量牵引）。

7、网关部署，支持PPPoE拨号。

8、支持旁路镜像部署。

9、基本功能：支持放行、丢弃、拒绝等动作；支持根据接口、协议、源地址、源端口、目的地址、目的端口的访问控制；支持基于时间的计划任务。

10、NAT：支持基于源IP、源端口、目的IP、目的端口、协议的NAT；支持SNAT。

11、支持IP或IP段的MAC绑定。

12、负载均衡：支持服务器负载均衡；支持链路负载均衡。

13、内容缓存加速：提供接口缓存加速，缓存下载重复度较高的HTTP下载资源和网页内容（如图片等），引导用户优先获得本地资源，进一步节省出口流量。

14、用户可自定义缓存的大小，文件后缀名，时间等。支持X-Forword-For字段，解析真实的来源IP地址。

15、准入控制：支持Radius，LDAP认证。

16、IPv6支持：支持IPv6地址管理与防护。

17、DNS高级应用：支持DNS代理功能；支持DNS缓存功能，加速dns解析；支持内网劫持DNS。

18、支持用户自定义DNS转发策略，支持针对域名定义DNS服务器或针对域名直接对应IP地址。。

19、版本管理：支持手动离线升级或在线升级，支持用户自定义在线升级策略包括自动升级、有新版本时提示、关闭自动升级。

20、802.1Q支持：支持VLAN解码，在Trunk线路上部署并提供防护。

21、支持端口汇聚（Trunk），显著提高设备间的吞吐能力。

22、路由配置：支持静态路由、OSPF、RIP 。

23、报表类型：安全报表（入侵统计、按入侵类别统计、被攻击主机、攻击来源IP和地理位置、网络接口流量趋势）。

24、报表查询：按事件类型、统计目标或周期类型条件进行统计。

25、输出格式：支持将生成的报表以HTML、Word等通用格式输出。

26、日志系统：日志类型：系统日志、审计日志和安全防护日志（入侵记录、攻击源IP所处地理位置、网络流量）SSL登陆日志。

27、日志查询：可基于时间、IP、端口、协议、动作、规则、规则类别、危害等级、等条件进行日志查询。

28、系统监控：监控类型：安全事件监控、访问情况监控、设备负载监控，VPN在线用户监控，IPSEC VPN连接状态监控。

29、系统信息：显示网络接口状态，引擎状态、系统CPU、内存及磁盘使用率。

30、维护工具：支持抓包工具，可抓取的网络原始报文，用于分析网络状况。

31、配置备份与导入：支持系统配置的备份与导入功能。

高可用性：HA双机：支持主从部署模式。

32、支持链路是否正常的监控。

33、支持双机配置自动同步。

34、硬件BYPASS：内置bypass模块，设备故障直接切换到bypass模式。

35、要求本设备与学校现有WAF等设备能够进行安全联动，开启联动功能后，可以通过本设备页面统计中获取的URL来补充现有设备的爬虫库，实现统一的安全管理。

36、原厂三年质保和软件免费升级。

1套

4

DNS域名服务系统

一、产品规格参数

1、QPS指标：开启解析日志（Query log）时的QPS不低于12万，且不需要配置独立的日志生成设备。

2、磁盘空间不低于1TB*2,（可扩展1T硬盘）*4；网口：不少于6个10/100/1000M电口；2*可拓展千兆/万兆卡。

3、电源：提供交流冗余电源，单电源模块故障不影响设备正常运行，故障电源更换支持热插拔，不影响系统持续运行。

4、LCD：设备硬件具有可视化、可操作的屏幕面板，支持配置输入和主要运行指标显示。

5、NTP：支持NTP服务，可配置不少于10个IP和域名形式的上一级网络时间服务器，NTP服务器支持基于IP的访问控制。

6、TFTP：支持TFTP服务，可配置服务启停，可通过WEB管理中心进行文件和目录的增删改操作。

7、投标人须提供包含详细描述的完整分布式域名服务系统建设方案，包括网络结构、硬件部署、软件配置等。

8、原厂三年质保和软件免费升级，在质保期内提供免费售后服务。

二、管理功能

1、支持所有设备节点的统一集中管理，通过统一的管理平台上完成所有服务的配置，而不是登录到不同系统单独操作。支持分布式部署，各节点数据统一下发，数据下发支持加密，并能保证数据一致性。

2、采用WEB HTTPS方式对所有服务服务节点进行集中管理，管理端口可灵活指定，提升管理的安全程度。

3、支持密码验证保护，同一账号密码连续多次错误一段时间内禁止登录，账户的禁止状态可手动解除。

4、管理中心具备自动备份所有节点的配置，支持一键恢复任意节点的配置，减少维护复杂度。

5、提供全中文化WEB操作界面，简化操作复杂度。可视化中文界面：用户输入、报表、管理界面、告警事件的信息等均支持中文界面。

6、支持CLI管理，支持console、telnet和SSH终端连接,进行常用管理操作。

7、支持审核工作流，审核人员可对被审核人员在DNS系统中所有的新建，编辑，删除，批量变更等操作进行审批，审批结果支持邮件通知，且可指定审核人员与被审核人员的对应关系，审核记录支持追溯。

8、可设定操作日志、系统日志对某些管理员不可见，对记录的日志信息保密。

9、Web前台界面支持启用抓包，可指定节点进行抓包并下载，帮助用户获取运行真实数据分析和处理问题。

三、权威功能

1、系统必须支持标准的 DNS 服务，支持正向解析、反向解析功能。

2、支持常用的记录类型，包括但不限于A, AAAA, CNAME, MX, NS, PTR, TXT, SRV, SPF等，对配置的记录支持设置有效期限。

3、支持URL解析跳转服务，即对指定域名的HTTP访问重定向到相应URL。

4、支持记录排序，即指定多个记录返回的优先顺序。

5、支持子域授权，可以将子域解析权委派到其他DNS服务器。

6、支持基于ACL的标准区域传送（zone transfer），支持AXFR、IXFR。

7、支持多区多视图，支持资源记录的批量修改，支持视图禁用。

8、支持基于视图的访问控制，同一域名记录可跟据不同源IP返回不同的解析结果。

9、支持基于时间的访问控制，将用户请求基于时间引流到不同链路，起到流量调度效果。

10、支持以ZONEFILE格式批量导入解析记录，支持增量导入。

11、支持共享记录，可跨区域一次配置相同前缀记录，修改任一区域的共享记录可联动跨区共享记录的统一增、删、改。删除共享记录可配保留或删除原区中的共享记录。

12、支持源地址的黑白名单过滤。

13、支持记录的禁用、启用，支持批量修改记录。

14、智能化的访问调度，支持DNS多种负载均衡动态就近性、CPU/内存负荷算法，来源就近算法、优先可用算法、返回备用IP算法、加权比率算法等。

15、提供国内主要运营商如电信、联通、铁通、移动、教育网、科技网等的地址库，支持基于运营商的解析负载调度。

16、提供全球所有国家，中国所有省、市的IP地址库，支持基于物理位置的解析负载调度

17、支持基于ICMP、UDP、TCP_SYN、TCP、HTTP、HTTPS、FTP不少于10种健康检测协议和模板定制。

四、递归功能

1、可单独启用或停止递归功能，支持递归黑白名单。

2、支持递归请求失败跳转服务，当解析失败时到指定服务器进行查询。

3、提供递归查询顺序转发/RTT动态转发/转发例外，同时支持转发失败后通过递归迭代继续查询。

4、支持设置基于视图的递归请求的源地址。

5、支持基于视图的存根区、转发区和重定向,并支持URL跳转服务。

6、支持转发服务器分组，支持转发服务器健康探测和异常告警，对异常服务器支持复检，保证异常服务器恢复后快速可用。

7、支持对缓存记录的手动清除，且能针对缓存记录、区进行删除。

8、支持全域名缓存预取，可设定预取记录的TTL，可对热点域名、重点域名进行缓存预取。

五、安全防护功能

1、支持0x20、支持对外递归查询的随机端口、随机ID。

2、支持自动切换为高性能DNS查询模式服务，当DNS资源消耗达到指定阈值时，系统自动将设备并发性能进行提升，每秒并发量提升至少1倍。

六、日志和报表功能

1、要求具有丰富的DNS图形化运行报表，所有节点DNS解析实时展示和统计，通过曲线图、柱状图进行清晰展现，包括但不限于QPS、TOP域名、TOP IP、解析成功率、缓存命中率、解析类型、解析状态、并发递归数等。

2、要求支持中文图形化方式的全局所有子节点监控。可设定报警阈值，发生问题时可实时触发故障报警，要能支持邮件、SNMP TRAP、URL回调、短信等报警方式，所有告警方式都支持设置不同的告警级别,可自定义日志的严重等级，根据等级发送至多台Syslog服务器。

3、支持SYSLOG向多台外部服务器发送日志信息，系统支持按信息的严重性等级将记录发送到不同的外部SYSLOG服务器。

1套

5

网络与服务器运维授权管理平台

1、管理结构：B/S架构，采用HTTPS方式远程安全管理，运维、管理、审计都不需安装客户端（包括 JRE环境）。

2、集中管理：系统支持分布式集中部署管理，在网络中只需输入同一个IP，集中管控平台会根据登录身份自动跳转到分布部署的堡垒机上进行管理。

3、使用方式：支持WebPortal登录方式，支持使用任意运维客户端工具直接登录业务系统，基本上不改变当前运维人员操作习惯。

4、硬件指标：系统以软硬件一体方式提供，千兆电口≥6个，有效存储空间≥4T，1U机架式。

5、性能要求：并发会话数：字符并发会话数支持 800 个，图像并发会话支持 400个。

6、管理设备数量：≥200设备数量。

7、运维管理：支持B/S、C/S两种不同方式的运维接入，适应运维人员的运维习惯，两种运维方式实现无差别保存运维记录，提供相同的操作方式和审计入口。

8、浏览器支持：至少支持除Windows系统下的 IE/Chrome/火狐浏览器运维管理外，还需支持基于Mac OS X系统的Safari浏览器调用本地客户端运维和管理。

9、智能终端：支持基于Android、IOS系统的智能终端接入运维服务。

10、用户角色：系统具有用户多角色划分功能，如系统管理员、设备管理员、普通用户、分组管理员、审计管理员等，对各类角色需要进行细粒度的权限管理。

11、身份认证：除基本口令认证外，还需支持系统生物指纹认证，并在同一页面显示，通过用户名+口令+指纹录入（可组合方式）进行认证并运维使用，达到统一身份认证的安全要求。

12、登录认证日志可以统一审计。

13、系统自身内置指纹身份认证并支持二代居民身份证指纹。

14、动态口令：系统登录需要内置动态口令双因素认证，双因素系统需要内置在系统中，不需要使用其它的服务器（或虚拟机）进行安装，用户建立、令牌导入、令牌配置、令牌绑定等操作，必须在同一个管理界面中完成。

15、认证日志：认证过程需要有详细的过程，为了故障排除，在前台界面至少需要显示出成功登录和认证错误，认证错误至少可以分为：密码错误、Licenses错误、用户名格式错误、来源地址禁止、有效时间禁止等明细的选项。

16、认证模式：各分支机构设备到集中管理中心进行认证，所有的帐号、资源、权限都在集中管理中心进行管控，集中管理中心可以为各分支机构建立组管理帐号，分支机构的组管理帐号只能管理分支机构的设备、用户等资源。

17、支持以主账号为基准，支持直接查询并编辑与该主账号相关的策略。

18、支持以设备为基准，支持直接查询该主账号有权限运维的所有设备。

19、支持以设备为基准，支持直接查询该主账号的所有审计信息。

20、支持以设备为基准，支持直接查询并编辑与该设备相关的策略。

21、支持以设备为基准，支持直接查询有权限运维该设备的所有普通用户。

22、支持以设备为基准，支持直接查询该设备的所有审计信息。

23、命令限制：系统需要支持黑名单、白名单功能黑名单为用户不能执行的命令，用户绑定黑名单后，则不允许执行黑名单的命令，但可以执行除黑名单之外的所有命令，白名单为用户只能执行的命令，用户绑定白名单后，则仅允许执行白名单中的命令。

24、用户黑白名单绑定，需要详细到哪个主帐号，使用哪个从帐号登录到哪个设备。

25、帐号锁定：细颗粒的帐号锁定功能，可以指定哪个主帐号与哪个从帐号的绑定进行了锁定，如果一个绑定关系进行了锁定，则只有当绑定关系解锁时才能正常登录。

26、授权模式：各分支机构设备到集中管理中心进行授权，所有的帐号、资源、权限都在集中管理中心进行管控，集中管理中心可以为各分支机构建立组管理帐号，分支机构的组管理帐号只能管理分支机构的设备、用户等资源。

27、支持的协议：登录协议：RDP、Telnet、SSH V1、SSH V2、VNC等。

28、文件传输协议：FTP、SFTP，FTP,SFTP要求可以记录上传下载文件，同时为了防止存贮占用过大，可以根据上传下载文件大小进行定制选择记录，比如只记录3M以下的文件。

29、支持Oracle、MS SQL Server、IBM DB2、Sybase、MySQL等数据库审计。

30、支持HTTP、HTTPS操作审计。

31、可通过应用发布的方式进行协议扩展，无需定制即可支持其他通用及专有的运维客户端程序。

32、Web访问方式:支持通过审计系统的Web页面直接访问设备。

33、应用发布：支持C/S、B/S应用发布，支持堡垒机内置应用发布服务器，应用发布支持授权、SSO自动登录、录相审计。应用发布系统需要支持http、https、PLSQL等通用软件的自动密码填写。

34、支持控件：系统无需用户在终端安装java运行环境，即可支持IE/chrome/火狐浏览器登录操作使用。

35、支持的设备访问方式：登录菜单访问：客户端访问审计系统即可显示用户能访问的资源菜单，用户通过字符菜单或图形菜单选择方式直接访问设备。

36、Web方式登录：用户可以在Web界面中直接调用至少支持Mstsc、WinSCP、FlashFXP、SecureCRT、Putty、Xshell等客户端，登录到目标系统；直接登录：用户不需要菜单选择、不需要通过WEB界面点击，直接通过客户端登录方式认证要求使用主帐号和密码。

37、操作行为记录：审计人员可以审计所有的人操作，分支管理员只能审计各分支机构设备及人员的操作，各运维人员只可以审计自身的操作。

38、Telnet、SSH审计内容：包括访问起始和终止时间、用户名、来源IP地址、目标设备IP、设备名称、设备用户、协议类型、占用空间、事件类别、详细文件审计以及操作内容回放。

39、RDP、VNC、HTTP、HTTPS等协议审计内容：包括访问起始和终止时间、用户名、用户IP地址、目标设备IP、设备名称、设备用户、协议/应用类型、事件等级、详细文件审计以及操作内容等；支持操作内容录像回放。

40、数据库运维操作审计内容：包括访问起始和终止时间、用户名、用户IP地址、目标设备IP、设备名称、应用类型、事件等级、操作内容等；支持操作内容录像回放。

41、审计回放时，支持完全通过WEB方式的B/S结构，不需要在运维终端上安装任何客户端即可以完成所有操作的回放。

42、支持通过基于时间、IP、用户、设备、设备账号、命令、等组合访问控制策略，授权用户可访问的目标设备。

43、审计模式：集中中心审计员可以审计所有分支机构的操作，各分支机构审计员只可以审计本身支机构的操作，各运维人员只能审计自已的操作。

44、访问控制及异常告警：告警方式至少支持Mail和Syslog。

45、系统需要有用户登录统计功能，可以统计哪些用户被哪些来源IP进行密码登录尝试，统计至少包括以下项目：来源地址、被登录IP、登录协议、尝试用户、尝试次数，可以直接导出为Xls/Html/Pdf/word格式便于查看。

46、系统具有细颗粒的告警功能，可以定义哪个主帐号，登录到哪个设备的从帐号时发送告警。

47、报表输出：系统支持各种报表打印，包括运维报表、主机系统利用率报表、网络利用率报表、应用利用率报表、日志报表等。

48、报表模式：集中管理管理员可以打印所有设备的报表，分支机构管理员只能打印本分支机构的设备报表。

49、原厂三年质保和软件免费升级。

1套

序号

设备名称

主要技术参数

数量

1

上网行为管理系统

1、多核架构设计，采用非X86架构，采用模块化结构设计。

2、支持内置软件Bypass模块，内置两路电口Bypass。在设备异常时，可自动切换到Bypass状态，当设备恢复时，可自动切换回工作状态；双电源。

3、网络吞吐量≥40Gbps，最大并发连接数≥1000万。

4、配置千兆电接口≥12个，千兆SFP光接口≥12个，万兆光口≥4个，万兆多模光模块≥4个；接口无路由/交换/LAN/WAN等固化区分，均可作为二三层接口使用，支持多桥组部署；配置1T硬盘。

5、支持路由模式、透明（网桥）模式、混合模式，支持镜像接口，部署模式切换无需重启设备。

6、邮件审计：可基于邮件大小、附件个数、邮件标题及内容关键字过滤。

7、支持静态路由、策略路由、RIP、OSPF、ISP路由，其中ISP路由支持自定义，并可提供基于应用的策略路由；支持IPv6。

8、支持4G扩展网卡。支持在4G接口上运行IPSec VPN。

9、实际配置支持IPSec、支持手机、平板电脑等移动终端VPN接入，内置VPN硬件协处理器，实际配置支持DES、3DES、AES、SM3、SM4等加密算法。

10、支持IM聊天内容审计（包括但不仅限于网页版QQ、微信，客户端QQ、微信、飞信等）。

11、支持即时通讯应用管控的精细化管理，如微信“所有行为”、“语音”、“ 收发消息”、“登录”、“发文件”等行为。

12、支持网络社区应用管控的精细化管理，例如可管控“所有行为”、“登录”、“网页浏览”、“发表”、“上传”等行为。

13、URL数量不少于1290W，应用特征库数量不少于5000+。

14、支持首页大屏展示网络状态、包括在线用户、审计日志类别及数量、流量分析、违规用户信息（策略违规、共享违规、限额违规）等，支持显示系统信息、实时流量、系统资源、接口状态、用户TOP流量、应用TOP流量统计、系统日志信息、审计日志信息等。

15、配置日志分析与管理软件授权；可分析日志数据。

16、配置3年特征库升级服务授权；3年7*24质保服务。

17、为了满足全校统一实名认证及管控，要求网络认证设备、上网行为管理系统和终端认证系统能够实现统一管理与数据联动，建议为同一设备厂商品牌。

1套

2

网络认证设备

1、支持主控板、业务板完全物理分离，主控板、业务板分布在不同的物理槽位。

2、交换容量≥130Tbps，包转发率≥9000Mpps。

3、整机框全物理尺寸的线卡槽位数≥3（非子卡槽位），不含主控、交换网板槽位。

4、满配主控、交换网板、电源；配置万兆光接口数量≥2个（含万兆模块），千兆光口数量≥4。

5、支持子母卡架构，子卡插在母卡上，母卡和子卡均支持热插拔。

6、支持内置交流电源，不能配置外置交流电源。

7、电源系统支持N+M冗余，支持一体化供电方式，支持单电源供电。

8、支持IPV4静态路由、RIPv1/v2、OSPFv2、BGP、IS-IS、路由策略。

9、支持IPv6静态路由、RIPng、OSPFv3、IS-ISv6、BGP4+。

10、支持FE、GE、10Ge（LAN/WAN）、40Ge、100Ge、155M POS、622M POS、2.5G POS、10G POS、CPOS接口、155M ATM、622M ATM、E1等接口。

11、支持将两台物理设备虚拟化为一台逻辑设备，虚拟组内可以实现一致的转发表项，统一的管理，跨物理设备的链路聚合。

12、设备支持框间控制和转发平面均故障时，通过MAD检测发现故障并隔离从框端口功能。

13、为保证业务调度的精细化控制，设备需要支持MPLS SR功能，可以支持13层标签。

14、设备Web认证支持二层、三层组网下IPv4、IPv6一次认证双栈放行功能。

15、设备支持IPoE+Web认证和802.1x在同一接口下的共存，实现用户认证随选功能。

16、设备支持BRAS跨VLAN、跨接口、跨单板、跨机框的漫游功能，设备内置或外置单独DHCP server均支持。

17、设备支持PPPoE、IPoE、Web，802.1x的iTA功能，支持按不同地址段区分业务，实现不同业务的差异化限速，差异化计费功能。

18、3年7*24质保服务。

19、为了满足全校统一实名认证及管控，要求网络认证设备、上网行为管理系统和终端认证系统能够实现统一管理与数据联动，建议为同一设备厂商品牌。

1台

3

终端认证系统

1、认证系统采用软硬件搭配设计方式。

2、配置网络终端准入授权≥10000个。

3、多种802.1X接入认证：支持PAP认证、CHAP认证、EAP-MD5认证、EAP-PAP认证、EAP-TLS认证、EAP-PEAP-MSCHAPV2认证、EAP-PEAP-MD5、EAP-GTC、EAP-TTLS认证，防客户端破解。

4、Portal认证：支持纯Web认证和客户端Portal认证，客户端方式支持可溶解方式，无需安装；支持IPV6纯Portal认证以及NAT环境下的Portal认证。

5、智能终端认证页面定制：定制页面包括认证（或者注册）页面和处理结果页面，根据显示屏幕分为PC、PAD和手机多种页面类型。定制页面属性，包括是否显示服务类型、访客预注册链接、许可条款、短信认证链接等。

6、智能终端注册页面的属性定制：定制注册页面的属性，包括是否显示、是否作为必填项、配置缺省值（用户姓名、证件号码和密码支持随机生成）。

7、多元素绑定：支持用户名、密码与用户IP、MAC、VLAN、设备IP、设备端口、主机名、域用户、SSID、AD域、硬盘序列号、IMEI、主板序列号等多种元素的绑定认证；支持第一次认证成功时的自学习绑定属性功能。

8、ACL、VLAN等访问权限策略下发：可以在认证通过后下发用户的ACL、VLAN、QoS给接入设备，由设备动态控制用户的访问网络权限。

9、账号接入控制：支持用户同时在线数限制、最大闲置时长限制，支持黑名单限制接入、支持自动加入黑名单、限制接入客户端的类型和版本，支持限制用户修改终端MAC地址和使用代理等策略，支持限制用户组最大开户数量；支持单次最大在线时长限制。

10、基于接入场景的权限控制：可基于用户角色、接入位置、接入终端类型等情境，向联动设备下发事先配置的接入控制策略，按用户不同的情境场景控制用户的网络使用行为；支持一用户多策略授权，从同一地点可获取不同的接入权限，实现内外网隔离场景。

11、在线用户管理：可以在线查看用户状态、连接的网络设备信息以及具体的接入位置信息，对非法用户可以执行发送消息、在线检查、强制下线、关闭端口等操作，支持对离线用户下发消息，支持远程协助。

12、用户管理与拓扑融合：能够提供接入用户网络拓扑，在拓扑上实现在线用户查询、强制下线、下发消息等功能，便于用户的管理。

13、支持不同的访客账号创建方式：支持公共领域访客短信认证模式、企业访客接待员手工开户模式、企业访客自助开户模式、访客开户二维码模式、接待员生成访客二维码方式；支持访客批量管理；支持访客清单打印。

14、支持802.1x、Portal、L2TIP IPSec VPN、SSL VPN、无线等多种网络环境的身份认证，支持基于端口的802.1x和基于MAC地址的802.1x，可管理HUB或非智能交换机下的多个用户。

15、硬件承载平台配置要求：配置2颗Intel CPU，单颗CPU主频≥2.4GHz，核数≥10核；配置64GB内存；配置6*12T SAS 7.2K硬盘；1张2 GB缓存RAID卡；1张含4个千兆电端口网卡。

16、3年7*24质保服务和软件免费升级。

17、为了满足全校统一实名认证及管控，要求网络认证设备、上网行为管理系统和终端认证系统能够实现统一管理与数据联动，建议为同一设备厂商品牌。

1套

4

UPS系统

1、模块化UPS系统由多个UPS功率模块安装在一个机柜内组成，输入包含交流市电和电池组；输出交流380Vac三相四线，所有UPS功率模块输出在机柜内部直接并联；功率模块，旁路模块，控制模块均可热插拔。

2、UPS要求采用集中控制方式，同时采用冗余设计，避免单点故障。单功率模块容量≥50kVA，机架容量≥200kVA，本次UPS系统配置两个功率模块。

3、为保证旁路抗冲击能力及扩容要求，要求采用统一的集中旁路模块，旁路模块应可插拔维护，故障和热插拨时UPS应能正常双变换输出。

4、系统内置手动维修旁路，在自动旁路故障时，进行维护操作。

5、后备电池采用免维护铅酸蓄电池，80节12v100AH蓄电池，含电池开关，电池架、配电柜、电池连接线等，其他材料根据实际施工情况，满足用户实际需求。

6、UPS输入电压：380VAC ±20% ；输入频率：（50±2）Hz。

7、整流器输入性能应符合YD/T1095-2008《通信用不间断电源-UPS》一类UPS标准）。

8、UPS输入谐波及功率因数要求：满载时，输入谐波电流总含量＜3%；输入功率因数＞0.99；半载时，输入谐波电流总含量＜3%；输入功率因数＞0.99；

9、输出电压：380VAC，稳态精度：±1％。

10、输出频率 50Hz±0.1%(内同步), 输出频率应不发生突变, 输出频率范围：在输入频率为50Hz±10%时，输出频率应满足50Hz±0.5，±1，±1.5，±2Hz可调。

11、输出功率因数：100%额定非线性负载≥0.994，50%额定非线性负载≥0.996；

12、系统效率：50%以上负载时≥94%；100％负载时≥94％。

13、逆变器过载能力：≤110%额定电流 60min，≤125%额定电流 10min，≤150%额定电流 60s。

14、设备应能提供全中文监控及操作界面和全中文远程监控管理界面，应提供全中文显示的LCD彩色触摸屏，能够显示输入输出及电池电压、电流和相关运行状态以及故障告警信息等。

15、液晶面板能够显示系统的电气参数有：电量、有功功率、无功功率、视在功率、功率因数、三相电压、电流、频率等。

16、UPS系统（不含电池）的总体外观尺寸满足：高度≤2000mm，深度≤850mm，宽度≤600m。

17、提供免费安装，调试服务和培训。

18、提供三年原厂质保和免费维护服务，并且每年提供4次以上免费巡检服务。

1套