序号

货物名称

规格参数

单位

数量

综合单价（元）

合价（元）

1

日志审计系统

1.事件处理性能≥10000EPS。硬件规格：标准2U机箱，≥4个千兆电口，1块RAID卡，2个扩展插槽，冗余电源，8TB*3块硬盘，使用RIAD5数据保护。要求提供至少200日志源授权节点许可，三年硬件标准维保和三年软件升级服务。

2.软硬一体形态及独立软件版。

3.采用B/S模式，无需安装客户端，使用WEB浏览器访问管理中心，浏览器端无需安装Java运行环境。支持chrome浏览。

4.能够对企业和组织的IT资源中构成业务信息系统的各种网络设备、安全设备、安全系统、主机操作系统、虚拟化、云计算、数据库、中间件以及各种应用系统的日志、事件、告警等安全信息进行全面的审计。

5.支持对资产IP地址（含内网IP）的地理信息进行管理，设置单IP及IP段行政区及经纬度，支持地图显示。

6.系统可自动识别收集的日志并自动选择范化策略，也可由人工设置设备的范化策略。

7.针对匹配的多条范化策略，系统支持用户手工设置策略匹配优先级，保证最佳范化策略匹配。

8.支持对日志中的源和目的IP地址进行自动补全，补全IP地址的资产、国家、区域和城市等信息。

9.可以以图形化的方式展示日志属性之间的聚合关系，并支持手动选择日志属性，显示多维事件分析图；属性可增加或减少，且支持图片大小调整。

10.系统提供基于机器学习的通用行为分析引擎，可针对用户和实体行为进行分析，发现异常行为；

11.必须既支持实时持续分析，也支持历史回溯分析；

12.针对要分析的数据集，支持预先过滤功能，能够基于任意事件属性进行过滤，也能够引用过滤器；

13.行为建模支持个体模式和群组对照模式两种方式。

14.支持多种行为轮廓点的数值计算方式，包括计数函数、唯一性计数函数、最大/最小函数、平均数函数、求和函数、稀有函数等。

15.具备可视化行为模型编辑器，能够对模型进行各种编辑和自定义；

16.具备行为训练管理功能，可展示行为学习概况，可对不同行为分析策略进行实体活跃度分析，展示训练值的时间趋势分布，可对每个时间段的训练值进行管理，可调整基线值；

17.行为分析的告警结果能够进行可视化交互式分析，进行可视化行为调查和事件追溯。系统支持提供安全运维报告，帮助运维人员快速生成日常日志分析和运维报告。

台

1

180000

180000

2

运维审计系统

1.标准1U硬件平台、磁盘空间≥1T；100/1000M自适应电口≥6个；单台堡垒机字符类并发会话≥100、图形类并发会话≥20；设备授权点≥200；

2.支持多台堡垒机异地备份部署，每台设备都能提供运维和审计服务，配置数据自动同步；

3.支持按部门组织架构（至少5个层级的部门）管理用户数据、资产数据、授权数据、审计数据；

4.每个部门的部门管理员可以管理本部门及下级部门的主机、授权关系、策略；

5.支持与AD、LDAP、RADIUS及第三方主流认证系统联动登录堡垒机，支持自动同步AD/LDAP用户；

6.支持域认证与双因子认证结合使用，如同时使用AD/LDAP用户名+AD/LDAP密码+手机APP动态口令登录堡垒机、同时使用AD/LDAP用户名+AD/LDAP密码+短信口令登录堡垒机；

7.可以设置用户密码的长度、复杂度、相关度，其中相关度可以设置密码与用户名的关系，可以选择是否检查历史密码。并可支持密码过期前告警；

8.支持DB2、oracle、mysql、sqlserver主流数据库协议代理运维，可直接调用本地windows系统的数据库客户端工具，支持自动登录、无需应用发布前置机；

9.支持自动收集设备IP、运维协议、端口号、账号、密码、与用户的权限关系，可自动完成授权（需提供界面相关截图证明并加盖投标人公章）

10.支持对设备进行按设备类型分组、按部门分组，支持设备批量导入/导出；

11.运维人员可以向管理员申请需要访问的设备，申请时可以选择：设备IP、设备账户、运维有效期、备注事由等，并且运维工单以邮件方式通知管理员；

12.支持定期自动修改windows服务器、网络设备、linux/unix等目标设备密码功能；

13.对重要设备启用登录审核功能，运维人员须向管理员申请登录，管理员允许之后才可登录，否则无法登录；

14.支持在mac电脑里使用navicat工具通过堡垒机登录mysql、oracle等数据库服务器。

台

1

95000

95000

3

数据库审计系统

1.专用硬件平台和安全操作系统，事件处理≥25000条/秒，内置≥4TB磁盘存储空间。标准2U机箱，双电源；标配6个千兆自适应电口，1个Console口，支持两个扩展槽位，支持液晶屏。报价中包含三年软件升级和硬件维修服务。

2.系统可同时支持IPv4和IPv6的网络环境下数据库的审计。

3.可通过端口镜像（SPAN）或者分流器（TAP）模式旁路部署或Agent插件方式部署。

4.支持的数据库：Oracle、SQL-Server、DB2、Informix、Sybase、MySQL、PostgreSQL、达梦、人大金仓、南大通用Gbase、神舟通用、Cache等。

5.支持旁路阻断功能（非串联方式），阻断两种模式，宽松模式：对单一会话危险操作阻断；严格模式：源IP操作的所有请求直接阻断。

6.支持通过Agent审计回环地址的流量；（提供功能截图并加盖投标人公章证明）

7.支持Hadoop架构下的大数据库Hbase审计；支持solr（全文检索数据库）审计；支持HIVE(数据仓库工具)的审计；

8.支持全文检索数据库solr的审计，可审计到solr的查询、插入行为的操作信息。

9.系统支持全库检索、条件检索和关键字检索，检索效率达到1亿条数据二十秒内检索出结果，快速定位相应的审计会话内容；

10.全面支持后关系型数据库Cache的审计，包括terminal、portal、studio、Sqlmanager、MedTrak等工具访问的审计，Portal可审计Sql语句、查询Global变量以及二者的返回内容，Terminal可审计M语句及返回内容，MedTrak可审计工号、操作报表以及二者的返回内容，studio可审计到编译、代码更改等操作，Sqlmanager可审计数据库账号和操作的sql语句。

11.支持数据库嵌套、函数、脚本访问以及返回内容等审计；绑定变量：可审计通过隐藏用户名的绑定变量，动静态变量方式访问数据库。

12.支持B/S架构Http应用三层审计，可提取包括应用系统的人员工号（账号）的身份信息，精确定位到人，并可获取XML返回结果，支持框架：tomcat、apache、weblogic、jboss。

13.支持C/S架构COM、COM+、DCOM组件的审计，可提取应用层工号（账号）的身份信息，精确定位到人；

14.内置疑似SQL注入、跨站脚本攻击、字段猜测、代码更改、等近500种风险审计规则库，无需单独配置，直接调用。

15.支持重复操作的统计审计规则，可根据在一定的时间内，重复某项操作达到设定的统计次数进行规则审计告警。

16.支持系统语句的过滤，支持手动添加系统语句。

17.内置疑似SQL注入、跨站脚本攻击、字段猜测、代码更改、等近500种风险审计规则库，无需单独配置，直接调用。

18.支持查询结果自定义报表，支持Word、PDF、xls格式报表导出。

台

1

128000

128000

4

终端安全管理平台

1.基本要求：授权操作系统点位数≥720个；管理中心支持SSL的Web界面；

2.支持的操作系统：Windows server 2003、Windows server 2008、Windows server 2012、Windows server 2016、win xp、win 7、win 8、win 10、Centos 5.0 +、Redhat 5.0 + 、Suse11 +、Ubuntu 14 +、华为鲲鹏、中标麒麟、银河麒麟、凝思等主流操作系统。

3.支持违规外联控制，对网站和IP地址进行管控，告警和阻断，统一下发配置；

4.支持内核级防火墙功能，包括IP、端口、协议、流向等细粒度权限控制。

批

1

16000

16000

5

终端安全管理平台（服务器端）

5.支持Windows server 2008、Windows server 2012、Windows server 2016、Windows server 2019Centos 5.0 +、Redhat 5.0 + 、Suse11 +、Ubuntu 14 +等主流操作系统；

6.支持流量画像，支持全网流量可视化；支持威胁横向扩散路径可视化与一键阻断；支持违规外联路径可视化与一键阻断；

7.提供专门的勒索风险评估功能。至少需要包含：弱口令检测、系统漏洞检测、恶意进程检测、高危端口检测等能力；

8.违规外联支持黑、白名单双模式，白名单模式可配置是否允许访问特定的网站和地址；黑名单模式可自定义恶意IP，支持黑名单告警和阻断；

9.支持登录防护，包括以系统账号为粒度的异常登录防护、支持五个任意维度(任意地理位置，任意IP，任意域名，任意计算机名，任意时间)的系统登录访问策略设置；

10.移动存储介质管理，支持管理员对入网的移动存储介质进行注册，可以对已注册的移动介质进行管理，包括授权、启用、停用、删除、导出注册列表、行为监控及审计等；

11.支持多种扫描模式包括极速模式、低资源占用模式设置，且低资源占用模式可自定义CPU使用率；

12.支持对CPU、内存、磁盘读写、网络上下行流量达到配置阈值时告警。支持对CPU、内存达到一定阈值时客户端自动进行熔断。（提供功能截图并加盖投标人公章证明）

13.提供专门的针对未知勒索病毒的防御引擎，并提供功能开关项，对于未知勒索病毒确保无法加密。支持白名单设置；

14.管理平台支持一键卸载客户端、一键设置客户端卸载密码、一键停止/恢复所有防护、一键解除绑定；

15.支持文件实时监控，在文件执行、文件修改、存储介质连接时自动触发；

16.支持防端口扫描，锁定恶意的端口扫描，并记录告警；

17.至少支持以下帐号管理功能：帐号创建、帐号授权、帐号属性修改和帐号删除；

批

120

165

19800

6

终端安全管理平台（PC端）

1.支持Win 7、Win 8、Win 10等主流操作系统；

2.支持流量画像，支持全网流量可视化；支持威胁横向扩散路径可视化与一键阻断；支持违规外联路径可视化与一键阻断；

3.提供专门的勒索风险评估功能。至少需要包含：弱口令检测、系统漏洞检测、恶意进程检测、高危端口检测等能力；

4.违规外联支持黑、白名单双模式，白名单模式可配置是否允许访问特定的网站和地址；黑名单模式可自定义恶意IP，支持黑名单告警和阻断；

5.支持登录防护，包括以系统账号为粒度的异常登录防护、支持五个任意维度(任意地理位置，任意IP，任意域名，任意计算机名，任意时间)的系统登录访问策略设置；

6.移动存储介质管理，支持管理员对入网的移动存储介质进行注册，可以对已注册的移动介质进行管理，包括授权、启用、停用、删除、导出注册列表、行为监控及审计等；

7.支持多种扫描模式包括极速模式、低资源占用模式设置，且低资源占用模式可自定义CPU使用率；

8.支持对CPU、内存、磁盘读写、网络上下行流量达到配置阈值时告警。支持对CPU、内存达到一定阈值时客户端自动进行熔断。（提供功能截图并加盖投标人公章证明）

9.提供专门的针对未知勒索病毒的防御引擎，并提供功能开关项，对于未知勒索病毒确保无法加密。支持白名单设置；

10.管理平台支持一键卸载客户端、一键设置客户端卸载密码、一键停止/恢复所有防护、一键解除绑定；

11.支持文件实时监控，在文件执行、文件修改、存储介质连接时自动触发；

12.支持防端口扫描，锁定恶意的端口扫描，并记录告警；

13.至少支持以下帐号管理功能：帐号创建、帐号授权、帐号属性修改和帐号删除；

批

600

75

45000

7

安全运营服务

1.安全扫描服务

采用专业的漏洞扫描工具对学校各种软硬件设备进行网络层、系统层、数据库、应用层面的全面扫描与分析，扫描设备检测规则库及知识库应涵盖CVE、CNCVE、CNVD、CNNVD等标准。主要是对信息安全服务对象（网络中的主机、服务器、网络设备、安全设备、数据库、中间件以及各种应用系统）全面进行安全脆弱性检测与漏洞扫描，以便发现潜在的系统弱点与安全漏洞，扫描结束后汇总编制漏洞分析报表、基于漏洞及解决方法的漏洞分析报表，如发现潜在的系统弱点与安全漏洞，则按弱点与漏洞的重要程度(High,Medium,Low)进行分类，形成安全扫描报告，并根据设定好的安全策略采取相应的安全措施，消除弱点与漏洞，降低安全风险，提高信息系统安全性。

根据安全扫描报告，对安全隐患根据实际情况提供安全加固和系统优化。对需要其他第三方支持的（如需应用开发方修复的、原厂响应的），提供完善建议。

需配合学校完成安全加固和系统优化后进行第二次复测。

安全巡检服务

对门户网站及部门网站群、考试系统、科研管理系统、OA系统、数据中心、服务大厅、教务系统、人事系统、学工系统、大数据中心等我校所有的各类业务系统，网络设备、安全设备、主机设备等业务系统及设备进行的安全巡查，主要内容包括业务系统巡检、安全设备巡检、网络设备巡检、主机基线安全核查、防病毒巡检、数据备份巡检、日志审计等。

检测完成后提供全面的巡检服务报告，针对存在的安全风险提供对应的修复建议。

在安全风险修复完成后进行第二次复检。

针对学校机房物理环境的安全管理、资产设备和介质的生命周期管理管理、网络安全管理、系统安全管理、恶意代码防范以及容灾管理等日常运维工作进行梳理，对安全建设及安全运维过程中面临的风险及安全性挑战、应对措施等提供专项建议。

事件分析与处置服务

对上报的安全事件进行及时响应；实时针对异常流量分析、攻击日志和病毒日志分析，经过海量数据脱敏、聚合发现安全事件；针对分析得到的勒索病毒、挖矿病毒、篡改事件、webshell、僵尸网络等安全事件，通过工具和方法对恶意文件、代码进行根除，帮助客户快速恢复业务，消除或减轻影响。

安全事件应急响应与处置

应急响应：在服务过程中，如客户遇到安全事故，须启动紧急技术支持服务，提供应急技术支撑团队提供紧急支持服务，制定响应措施，半小时内响应，24小时内解决，一般问题2小时解决问题。提供7*24热线支持，现场/远程技术支持最大限度地减少用户风险，快速排除故障。

应急保障服务

提供日常的应急技术和应急响应服务，包括协助建设完整的应急技术保障框架和解决方案，提供应急响应服务，提供必要的应急处置人员和应急保障工具。

在遭遇黑客攻击、服务器劫持、信息窃取、拒绝服务攻击、网络流量异常、病毒爆发、内部安全事件等突发信息安全事件时，及时提供信息安全设备、现场安全处置、协助服务恢复、协助调查取证等应急支撑服务，提供安全加固方案，协助漏洞修复和提供回归测试报告，避免同类信息安全事件再次发生。

重要时期网络安全保障服务

在重要时期（如监管检查、应急演练、安全检查、重大事件、国家重大会议或经济活动期间）提供信息安全保障和支持服务，防范重大网络安全事件的发生，保证重要信息系统的安全稳定运行。如在监管检查、国家重大会议或经济活动等重要时期，提供保障服务内容包括但不限于：增强驻场人员力量、强化保障措施、部署安全保障设备、提供后台技术支持等。在安全检查中，协助制订检查方案，派出检查人员，提供检查工具协助开展现场检查，形成检查报告，提出整改意见，协助被检查单位进行问题整改。

日志分析服务

在重要时期保障准备阶段和实施阶段，针对各类网络安全设备的告警信息进行实时分析，以便能及时对监测到的各种告警信息进行分析，出现异常事件及时决策和处置，对外部攻击流量，经过各现有防护体系中的防火墙、WAF进行拦截。针对告警的攻击方IP地址，值守专家将深入分析web访问日志，检查访问行为。一旦发现有异常访问请求、异常注册账号请求、异常登录等行为，立即将IP汇报给客户方，并协助对攻击IP进行阻断。

7×24小时网站监测服务

提供远程网页挂马监测服务、远程网页篡改监测服务、远程网页敏感内容监测服务、远程网站平稳度监测服务、远程网站域名监测服务、远程钓鱼网站监测服务定期出具周期性的监测报告，让采购人能实时掌握网站的风险状况及安全趋势，实时监测和周期度量网站的风险隐患。

提供远程网页挂马监测服务，智能挂马检测技术，高效、准确识别网页挂马，第一时间通知采购人清除，

提供远程网页篡改监测服务，发现被篡改情况，第一时间及时修复。

提供远程网页敏感内容监测服务，实时监测采购人网站页面，发现存在敏感关键词，第一时间通知采购人及时删除。

7×24小时网站防护服务

提供网站防护服务，对各类Web应用攻击、应用层CC攻击等攻击行为进行防护，对SQL注入、跨站脚本、Webshell上传、WEB组件漏洞安全风险进行防护。

提供对网站进行页面资源分析，对各类安全事件进行全面分析感知，包括网马、暗链、敏感言论、网站可用性、健壮性等；支持对相关部门和人员进行定向安全通报功能。

提供共检查HTTP协议检查服务，对异常的请求方法、不同字段的合规性、特殊字符、重点字段的缺失、HTTP方法控制、超长报文造成的溢出攻击以及对高危文件的访问等行为进行检测。

提供URL、参数、Cookie等字段检查服务，对风险系数极高的SQL注入攻击，采用字符偏移技术对代码、命令、文件、LDAP、SSI等注入攻击的检测。

提供对用户提交的脚本检查服务，防止不合法跨站脚本。

提供网站安全可视化态势感知服务，实时了解安全防护状态。

提供访问流量报表、安全防护报表，安全防护报表包含攻击次数态势分析、攻击者区域态势分析、攻击者IP统计、被攻击页面统计、被攻击域名统计、攻击事件统计、攻击威胁等级统计等。

网络安全宣传服务

配合学校进行网络安全宣传服务，让学校师生了解信息系统所面临的严峻安全威胁和挑战，以及如何进行全面有效的安全防护措施。

针对学校要求提供安全意识培训，让师生了解如何进行全面有效的安全防护；（每年1次）

配合学校进行国家网络安全宣传周活动，按照学校要求提供宣传资料（每年1次）

安全事件响应服务

安全事件应急响应服务人员，投标企业配备不低于3人的运行支持团队，需提供对团队人员的从业经验、履历情况；

安全事件应急响应服务时间，0.5小时内电话响应，2小时内到场响应；提供重要信息系统安全事件到场响应服务承诺，承诺书(格式自拟)加盖投标人公章；

网络安全服务提纲：

（1）安全巡检服务（48次/年）

（2）安全扫描服务（48次/年）

（3）应急保障服务（1年）

（4）应急响应与处置（1年）

（5）事件分析与处置服务（1年）

（6）重要时期网络安全保障服务（60次/年）

（7）日志分析服务（1年）

（8）7×24小时网站监测服务（门户网站/1个站点/1年）

（9）7×24小时网站防护服务（门户网站及部门网站群/40个站点/1年）

（10）网络安全宣传服务（1年2次）

（11）安全事件响应服务(根据事件随时响应)

项

1

162000

162000

合计

645800