项目

项目指标要求

硬件平台

产品采用多核并行处理架构，提供中国信息安全测评中心、公安部信息安全产品检测中心、中国软件评测中心、国家版权局之中任意一家机构出具的关于“多核并行安全操作系统”的证书或测试报告。

性能要求

三层吞吐量≥20Gbps，应用层吞吐量≥8Gbps；并发连接数≥220W，新建连接数≥15W；标准1U架构；内存≥8G；冗余电源；接口≥6个千兆电口+2个万兆光口SFP+。含三年规则库升级和硬件质保服务。

工作模式

产品支持多种部署方式，包括路由模式、透明模式、虚拟网线模式、旁路镜像模式等，适应复杂使用环境的接入要求；

链路检测

产品支持链路健康检查功能，支持基于多种协议对链路可用性进行探测，探测协议至少包括DNS解析、ARP探测和PING方式；

路由功能

产品支持策略路由负载，支持基于服务、ISP地址、应用、地域等维度进行智能选路，保证关键业务流量通过优质链路转发，支持加权流量、带宽比例、线路优先等负载均衡调度算法。

应用控制

支持基于对象、区域和地域维度设置安全访问控制策略，允许或拒绝特定国家或者地区的对象访问内部网络，保障业务重大时期安全可靠性

★产品支持基于地区维度设置流控策略，实现多区域流量批量快速管控功能。所投产品必须提供具备CMA认证的第三方权威机构关于“国家/地区的流量管理”功能项的产品检测报告。

安全防护

产品支持对多重压缩文件的病毒检测能力，支持不小于12层压缩文件病毒检测与处置。

★产品支持勒索病毒检测与防御功能，为保障勒索病毒的防御效果，所投产品必须提供具备CMA认证的第三方权威机构关于“勒索软件通信防护”功能项的产品检测报告。

★产品预定义漏洞特征数量超过7650种，支持在产品漏洞特征库中以漏洞名称、漏洞ID、漏洞CVE标识、危险等级和漏洞描述等条件快速查询特定漏洞特征信息，支持用户自定义IPS规则。（需提供产品功能截图证明并加盖原厂公章）

安全策略管理

产品支持策略生命周期管理功能，支持对安全策略修改的时间、原因、变更类型进行统一管理，便于策略的运维与管理。

高可用性

双机支持A/S，A/A方式部署，支持配置同步，会话同步和用户状态同步，支持双机心跳线冗余，支持VRRP协议的双机部署；

产品联动

★为实现安全威胁闭环处置，所投产品能够与我司原有终端检测与响应平台、端点安全软件联动，实现自动病毒查杀。（提供测试报告或承诺函，并加盖公章）

资质要求

★产品应具备计算机信息系统安全专用产品销售许可证；

★要求所投产品的生产厂商具有中国通信企业协会颁发的《应急响应（一级）》证书（提供证书复印件证明）

★要求所投防火墙产品连续6年入围Gartner企业级防火墙魔力象限；（需提供相关资料证明）

原厂服务承诺函

★为使设备发挥最大安全防护作用，从设备到货直至项目最终验收交付所投设备必须为原厂工程师调试交付使用，设备厂商并提供针对本项目的三年售后服务承诺函并加盖厂商公章。

配套安全运维中心

大屏中心

★支持以拓扑大屏形式展示整体网络安全态势，以失陷、风险或者正常等多个维度对资产安全情况进行统一展示；支持以轮播或者弹窗等方式推送待处理事件的告警；支持整体攻击态势和内部漏洞的统计展示；支持同步全网最新威胁情报信息；（需提供产品功能截图证明并加盖原厂公章）

安全中心

★支持统计业务、用户维度的整体安全情况展示；支持安全事件态势分析以及安全事件回溯；黑客攻击情况以及特征总体分析；不定期推送最近流行威胁情况。（需提供产品功能截图证明并加盖原厂公章）

支持通过安全域、资产维度对资产安全进行查看；支持通过资产、安全状况、风险标签对所有资产进行筛选；支持通过资产查看资产相关安全事件情况。

★支持以威胁事件维度对安全事件进行统计；展示攻击源地区TOP5排名；支持以事件、资产、风险以及状态维度进行事件筛选；提供高危安全事件的一键处置。（需提供产品功能截图证明并加盖原厂公章）

微信告警

支持通过微信公众号接收每日安全情况通知；以外部威胁分析，分析攻击者画像、攻击时间分布统计；以内部资产安全分析，展示内网资产安全情况。

★支持通过微信推送安全事件（包括但不限于黑链，WEBSHELL，僵尸网络）；并可以通过微信公众号进行相关安全事件的一键处置（包括但不限于一键断网、封堵IP、一键隔离恶意文件等）。（需提供产品功能截图证明并加盖原厂公章）

通过事件管理对以往每日安全播报进行复盘查看；查看联动处置的下发状态以及历史记录。

资产中心

★支持通过网关自动识别、云端自编辑的方式展示资产情况。（需提供产品功能截图证明并加盖原厂公章）

支持通过网关自动识别、云端自编辑的方式展示用户组情况。

项目

项目指标要求

硬件平台

产品采用多核并行处理架构，提供中国信息安全测评中心、公安部信息安全产品检测中心、中国软件评测中心、国家版权局之中任意一家机构出具的关于“多核并行安全操作系统”的证书或测试报告。

性能要求

三层吞吐量≥20Gbps，应用层吞吐量≥8Gbps；并发连接数≥220W，新建连接数≥15W；标准1U架构；内存≥8G；冗余电源；接口≥6个千兆电口+2个万兆光口SFP+。含三年规则库升级和硬件质保服务。

工作模式

产品支持路由模式、透明模式、虚拟网线模式、旁路镜像模式等多种部署方式，，适应复杂使用环境的接入要求；

链路检测

产品支持链路健康检查功能，支持基于多种协议对链路可用性进行探测，探测协议至少包括DNS解析、ARP探测和PING方式；

路由功能

产品支持策略路由负载，支持基于服务、ISP地址、应用、地域等维度进行智能选路，保证关键业务流量通过优质链路转发，支持加权流量、带宽比例、线路优先等负载均衡调度算法。

应用控制

支持基于对象、区域和地域维度设置安全访问控制策略，允许或拒绝特定国家或者地区的对象访问内部网络，保障业务重大时期安全可靠性

★产品支持基于地区维度设置流控策略，实现多区域流量批量快速管控功能。所投产品必须提供具备CMA认证的第三方权威机构关于“国家/地区的流量管理”功能项的产品检测报告。

安全防护

产品支持对SMTP、HTTP、FTP、SMB、POP3、HTTPS、IMAP等协议进行病毒防御；

产品支持对多重压缩文件的病毒检测能力，支持不小于12层压缩文件病毒检测与处置。

★产品支持勒索病毒检测与防御功能，为保障勒索病毒的防御效果，所投产品必须提供具备CMA认证的第三方权威机构关于“勒索软件通信防护”功能项的产品检测报告。

★产品预定义漏洞特征数量超过7650种，支持在产品漏洞特征库中以漏洞名称、漏洞ID、漏洞CVE标识、危险等级和漏洞描述等条件快速查询特定漏洞特征信息，支持用户自定义IPS规则。（需提供产品功能截图证明并加盖原厂公章）

★产品支持CC攻击防护功能，为保障勒CC攻击的检测效果，所投产品必须提供具备CMA认证的第三方权威机构关于“CC攻击防护”功能项的产品检测报告。

安全策略管理

产品支持策略生命周期管理功能，支持对安全策略修改的时间、原因、变更类型进行统一管理，便于策略的运维与管理。

高可用性

双机支持A/S，A/A方式部署，支持配置同步，会话同步和用户状态同步，支持双机心跳线冗余，支持VRRP协议的双机部署；

产品联动

★为实现安全威胁闭环处置，所投产品能够与我司原有终端检测与响应平台、端点安全软件联动，实现自动病毒查杀。（提供测试报告或承诺函，并加盖公章）

资质要求

★产品应具备计算机信息系统安全专用产品销售许可证；

★要求所投产品的生产厂商具有中国通信企业协会颁发的《应急响应（一级）》证书（提供证书复印件证明）

★要求所投防火墙产品连续6年入围Gartner企业级防火墙魔力象限；（需提供相关资料证明）

原厂服务承诺函

★为使设备发挥最大安全防护作用，从设备到货直至项目最终验收交付所投设备必须为原厂工程师调试交付使用，设备厂商并提供针对本项目的三年售后服务承诺函并加盖厂商公章。

配套安全运维中心

大屏中心

★支持以拓扑大屏形式展示整体网络安全态势，以失陷、风险或者正常等多个维度对资产安全情况进行统一展示；支持以轮播或者弹窗等方式推送待处理事件的告警；支持整体攻击态势和内部漏洞的统计展示；支持同步全网最新威胁情报信息；（需提供产品功能截图证明并加盖原厂公章）

安全中心

★支持统计业务、用户维度的整体安全情况展示；支持安全事件态势分析以及安全事件回溯；黑客攻击情况以及特征总体分析；不定期推送最近流行威胁情况。（需提供产品功能截图证明并加盖原厂公章）

支持通过安全域、资产维度对资产安全进行查看；支持通过资产、安全状况、风险标签对所有资产进行筛选；支持通过资产查看资产相关安全事件情况。

★支持以威胁事件维度对安全事件进行统计；展示攻击源地区TOP5排名；支持以事件、资产、风险以及状态维度进行事件筛选；提供高危安全事件的一键处置。（需提供产品功能截图证明并加盖原厂公章）

微信告警

支持通过微信公众号接收每日安全情况通知；以外部威胁分析，分析攻击者画像、攻击时间分布统计；以内部资产安全分析，展示内网资产安全情况。

★支持通过微信推送安全事件（包括但不限于黑链，WEBSHELL，僵尸网络）；并可以通过微信公众号进行相关安全事件的一键处置（包括但不限于一键断网、封堵IP、一键隔离恶意文件等）。（需提供产品功能截图证明并加盖原厂公章）

通过事件管理对以往每日安全播报进行复盘查看；查看联动处置的下发状态以及历史记录。

资产中心

★支持通过网关自动识别、云端自编辑的方式展示资产情况。（需提供产品功能截图证明并加盖原厂公章）

支持通过网关自动识别、云端自编辑的方式展示用户组情况。

项目

技术指标要求

性能参数

性能指标：加密流量≥480Mbps；最大并发用户数≥800个；https并发连接数≥50000个；https新建连接数≥120个/s；

硬件指标：1U设备；网络接口≥6个千兆电口+2千兆光口SFP；单电源；内存≥16G；存储≥128GSSD硬盘；含三年规则库升级和硬件质保服务。

设备部署

本次配置零信任接入授权数量400个。

为了满足高可靠性要求，控制中心应支持集群部署，集群功能不需要依赖外置设备，如负载均衡等；

资源发布能力

为了提升员工使用体验，便于用户无感接入，控制中心应支持跨平台免插件访问，支持多资源（http/https/websocket等）免客户端接入；

★为有效抵御恶意软件和有针对性的攻击，应支持WEB资源配置URL黑白名单，且URL黑白名单支持通配符配置（需提供产品功能截图证明并加盖原厂公章）

终端接入

支持主流终端以隧道模式接入访问内网C/S资源，包括Windows7（x86、x64）、Windows10（x86、x64、ARM）、MacOS10.12；

支持不同平台的终端同时在线，管理员可设置可同时在线的终端个数，当超过终端个数时，可以注销最早登录的终端，且被注销的终端有对应的注销提醒；

认证管理

★支持免辅助认证，员工手动勾选信任浏览器后，在该浏览器下30天内不需要重复输入短信验证码，提升用户体验，时长有效期可设置；（需提供产品功能截图证明并加盖原厂公章）

为提高员工使用体验，进一步简化登录操作，支持即使是关机重启，也能自动拉起客户端并自动登录一键上线（强制注销情况除外）；

权限管理

支持员工权限的申请和审批，正式运行时，未获得授权的员工访问提供申请和管理员审批机制（支持管理员分级分权审批，符合业务安全要求），防止员工权限过大，同时简化权限运维工作；

安全特性

★为了最大程度缩小网络、业务暴露面，零信任平台需提供SPA（单包授权机制）即可支持所有用户都必须安装安全专属客户端，经过SPA鉴权之后才能够访问认证登录界面，支持配置源IP地址白名单，白名单内的IP可正常访问（需提供产品功能截图证明并加盖原厂公章）

针对Windows用户，支持虚拟专线功能，当用户登录建立零信任登录零信任客户端之后，自动断开互联网连接，避免互联网威胁影响内网业务系统；

分权管理能力

支持新增/删除/修改管理员角色，内置审计管理员、安全管理员、系统管理员角色；通过管理员角色配置，实现管理员分级分权；

审计能力

支持以syslog方式对接客户自有的外部日志中心，支持TCP、UDP双模式，支持两个日志服务器作为主备，便于实现日志备灾，保护日志数据

设备安全

★提供强安全性的点击图像校验码机制，图形校验码支持中文和英文（需提供产品功能截图证明并加盖原厂公章）

产品联动

★为使原有设备发挥最大性能物尽其用，新增设备与我司原有其他外建厂vpn设备实现无缝对接。（提供测试报告或承诺函，并加盖公章）

★能够通过我司原有终端检测与响应平台进行登录认证，无需安装额外的客户端。（提供承诺函并加盖公章）

资质要求

★提供中华人民共和国公安部颁发的“访问控制（网络-增强级）”品类的《计算机信息系统安全专用产品销售许可证》

★为保证设备厂家技术先进性，要求设备生产厂家为国家密码管理局发布的《SSL VPN技术规范》（GM／T0024-2014）、《IPSec VPN技术规范》（GM／T0022-2014）起草单位之一（提供证明材料并加盖厂商公章）；

★为保证产品对云计算环境的兼容性，所投厂商具备云安全成熟度成熟度模型CS-CMMI 5认证；（提供证书复印件并加盖厂商公章）

原厂服务承诺函

★为使设备发挥最大安全防护作用，从设备到货直至项目最终验收交付所投设备必须为原厂工程师调试交付使用，设备厂商并提供针对本项目的三年售后服务承诺函并加盖厂商公章。

项目

项目指标要求

性能参数

网络吞吐量≥8Gbps，支持用户数≥5000，每秒新建数≥12000，最大并发数≥500000；具备≥6个千兆电口+2个万兆光口SFP+；含三年规则库升级和硬件质保服务。

部署方式

支持网关、网桥、旁路等部署模式，支持NAT、路由转发、DHCP、GRE、OSPF等功能；

网关管理

为提高管理效率，可设置四类管理员，分别为配置管理员、查看管理员、日志管理员，以及多种权限的超级管理员；管理员支持分级，高级别管理员的策略配置优先生效，并可修改低级管理员的策略；

实时监控

★为快速掌握接入用户情况和网络情况，支持首页分析显示接入用户人数、终端类型、认证方式；带宽质量分析、实时流量排名；泄密风险、违规访问、共享上网等行为风险情况；（需提供产品功能截图证明并加盖原厂公章）

用户管理

为方便用户的认证，简化流程，支持终端用户可以使用账号绑定的手机号码，接收短信验证码，然后使用手机号码和验证码完成密码认证；支持在终端用户的账号存在微信绑定关系的情况下，PC端的终端用户可以直接使用微信扫码二维码完成密码认证过程，移动端的终端用户，可以直接打开微信扫码完成密码认证过程;

应用管理

★设备内置应用识别规则库，支持超过10000条应用规则数，支持超过6500种以上的应用，1000种以上移动应用，并保持每两个星期更新一次，保证应用识别的准确率；（需提供产品功能截图证明并加盖原厂公章）

流量控制

★能够实时看到各级流控通道的状态：包括所属线路、瞬时速率、通道占用比例、用户数、保证带宽、最大带宽、优先级，启用状态等。（需提供产品功能截图证明并加盖原厂公章）

★支持通过抑制P2P的上行流量，来减缓P2P的下行流量，从而解决网络出口在做流控后仍然压力较大的问题；（需提供产品功能截图证明并加盖原厂公章）

审计

审计SSL网页时，支持加密证书自动分发功能，用户点击网页上的工具即可一次性安装完成。解决管理员给每台PC单独安装证书的问题

上网日志管理

支持基于时间段/用户/用户组/终端类型/位置等维度，针对具体某个域名的访问流量排行；

资产管理

★1、对网络接入的终端进行可视化和管理，展示终端详细信息、异常状态等；

2、支持查看终端类型，以及终端详细信息（厂商，系统，端口等）；

3、支持查看终端类型分布

4、进入终端列表可查看内网的设备分类；（需提供产品功能截图证明并加盖原厂公章）

网安日志对接

内置多套日志模板与各省市网安日志平台对接，至少支持以下平台：派博、任子行、网博、云辰、烽火、中新软件、兆物、新网程、美亚柏科、爱思等。

资质要求

★国家标准《信息安全技术信息系统安全审计产品 技术要求和测试评价方法》的主要起草单位

★为保障软件开发成熟度，厂商通过国际认证CMMI5

★厂商应是第八届国家互联网应急响应中心网络安全应急服务国家级支撑单位；（需提供相关资料证明）

原厂服务承诺函

★为使设备发挥最大安全防护作用，从设备到货直至项目最终验收交付所投设备必须为原厂工程师调试交付使用，设备厂商并提供针对本项目的三年售后服务承诺函并加盖厂商公章。

指标项

指标要求

资料要求

1、提供机房动环监控系统制造厂商出具的授权书和售后服务承诺书。

2、原厂商在采购人所在地市有技术服务机构。

3、投标人所投监控系统原厂商应提供投标产品以下认证证书复印件并加盖原厂商公章：ISO9001认证证书、ISO14001认证证书、OHSAS 18001（或ISO45001）认证证书，CCRC认证证书。

硬件技术规范

硬件设备需与动环监控系统厂家品牌一致，提供CE认证证书及第三方检测机构出具的检测报告复印件。

系统架构要求

1、系统应具备多地联网功能和多级级联功能，具备级联站点数据断点续传能力。

2、系统应支持手机APP管理功能，提供手机APP客户端，需同时支持Android和IOS操作系统，可在苹果APP商店和各种安卓APP商店里直接下载安装。（提供苹果APP商店和安卓应用市场（应用宝、豌豆荚等）安装下载界面截图）

系统性能要求

1、告警准确率99.9%以上。

2、系统应支持windows7及以上主流Windows操作系统。

3、系统应支持SQL Server、MySQL、Oracle等主流数据库.

4、系统日志、报警信息数据等数据均要保存，保存时间应不小于3年。

5、提供系统部署的软硬件需求，提供详细的存储空间和带宽计算公式。

系统功能要求

1、系统需采用B/S和C/S混合架构，即可通过客户端访问，也可无需任何插件，通过WEB浏览器进行访问系统。（提供界面截图）

2、画面分割：系统支持在同一窗口分割显示不同画面，每个画面可自定义显示内容。（提供由国家级测评中心出具的软件测试报告复印件，要求测试报告包含本项功能关键内容。）

3、界面轮询：系统可设定指定的画面按预定义好的顺序、时间间隔轮询。（提供由国家级测评中心出具的软件测试报告复印件，要求测试报告包含本项功能关键内容。）

4、GIS地图：支持展示GIS地图，监控网点区域的GIS地图并能缩放，可在GIS地图点击站点名称跳转至站点机房监控界面。（提供由国家级测评中心出具的软件测试报告复印件，要求测试报告包含本项功能关键内容。）

5、为保证温湿度报警的准确性，同时避免由于其他外界因素造成温湿度数据变化而导致温湿度频繁报警，监控系统需具备对温湿度报警阀值进行自动调整的功能。（需提供由国家级权威机构提供的相关证明文件）

控制管理

1、数值越限联动策略：系统应支持设定当设备参数超过设定值时自动联动控制相关设备动作。（提供由国家级测评中心出具的软件测试报告复印件，要求测试报告包含本项功能关键内容。）

2、数值差越限联动策略：系统应支持设定两个关联参数之差绝对值超过设定值时自动联动控制相关设备动作。（提供由国家级测评中心出具的软件测试报告复印件，要求测试报告包含本项功能关键内容。）

3、时间段控制策略：系统应支持设定固定的时间，自动执行控制指令，如定时开启，定时关闭等。（提供由国家级测评中心出具的软件测试报告复印件，要求测试报告包含本项功能关键内容。）

安全管理

系统应通过业内主流漏洞扫描软件和防病毒软件检测，可以有效避免黑客攻击行为。（提供第三方机构出具的漏洞扫描安全通过检测报告复印件或提供专业杀毒软件扫描通过截图，不少于2家）

告警管理

1、告警确认：系统应支持确认告警事件，可录入处理意见并屏蔽短信、电话、邮件告警通知。（提供由国家级测评中心出具的软件测试报告复印件，要求测试报告包含本项功能关键内容。）

2、告警定位：系统应支持告警栏查看告警详情，点击报警事件可一键定位到该报警设备监控页面。（提供由国家级测评中心出具的软件测试报告复印件，要求测试报告包含本项功能关键内容。）

3、告警条件：系统需支持多种告警产生条件，包含站点网络不通告警、链路中断告警、设备通讯中断告警、超过设定阀值告警、分组统一告警、数据波动告警、参数异常跳变告警、多条件综合告警、核心服务异常告警（通讯服务、协议分析服务、数据存储服务、事件服务）、数据不变超时告警（应有波动变化的模拟量测点，长时间采集到的数据没有变化，当超过设定时间触发）。（提供由国家级测评中心出具的软件测试报告复印件，要求测试报告包含本项功能关键内容。）

事件分析

1、溯源过滤：系统须能配置事件的关联关系，当系统只有一个报警源引起的多个报警出现时，系统可根据配置进行溯源，对外只发送根源报警，屏蔽其他分支报警信息。（提供由国家级测评中心出具的软件测试报告复印件，要求测试报告包含本项功能关键内容。）

2、告警升级：应支持两种方式告警升级：1）告警关联参数超过预设升级阈值时，触发告警升级，告警升级信息通知给上级管理人员；告警超过预设时间没有处理；触发告警升级，告警升级信息通知给上级管理人员；2）告警事件参数设置不同的区间，每个等级有不重叠的独立区间范围，系统自动根据参数的当前值，动态调整告警事件的等级。（提供配置界面截图）

3、事件时间管理：告警事件需支持关联时间段，只有在设置的时间段范围内，才会触发事件；告警通知需支持时段管理，接收告警通知的不同组别可以设置不同的通知时段，应能独立配置白天管理时段组、晚上管理时段组、工作日管理时段组；报警通知需支持夜间缓存管理：对于夜晚产生的告警级别不高的告警，可缓存到第二天的设定时间再自动通知（提供配置界面截图）

日志管理

系统应支持实时日志显示，在调试窗口需可查看设备通讯、服务器通讯、网络通断、协议分析、系统线程状态、告警通知执行的实时日志，并需可按设备、按链路来独立查看；系统运行日志记录应包含系统运行记录和用户的操作记录；条件记录监控日志，可按设备、指令、ip地址、异常值范围等条件来记录设备运行日志，用于设备故障跟踪分析；（提供界面截图）

报表管理

系统应能根据用户需求对已有数据进行统计，生成日、周、月、年等统计报表，为用户提供直观的数据分析功能。系统应支持报表管理功能，可查询动环监控记录、操作记录、报警记录等内容，并生成Excel报表。

售后服务

招标项目包含的所有软件系统、硬件设备质量保证期为最终验收通过后的三十六个月。

指标项

指标要求

产品规格

支持深信服等保一体机的硬盘校验，可登陆深信服等保一体机系统查询到深信服原厂序列号，单块硬盘存储容量4T，7200转企业级深信服等保一体机专用硬盘，深信服官网质保可查。

指标项

指标要求

产品规格

1.交付三套系统的安全等级测评整改技术方案对应的文档，及其对应的安全等级测评报告原件，协助办理完毕备案证明。提供两年期 7*24 小时等级保护安全加固、应急、咨询、信息通告、安全策略管理、安全检查等上门技术支撑服务。

附：招标设备清单

序号

设备名称

产品型号

产品数量

单位

1

防火墙1

AF-2000-B2132-8Y

1

台

2

防火墙2

AF-2000-B2132-8Y（WAF）

1

台

3

零信任综合网关

aTrust-1000-B1050M-8Y(零信任访问控制系统)

1

台

4

上网行为管理AC

AC-1000-B1750-8Y(上网行为审计系统)

1

台

5

机房动环监控系统

功能要求详见下文

1

套

6

等保一体机硬盘

深信服SDATA-SAFORST4TDM

6

块

7

等保测评

业务系统等级保护测评

3

套