序号

物资名称

规格型号

计量单位

数量

备注

1

网络安全设备

/

套

1

详见网络安全设备技术参数要求

序号

名称

参考型号

主要参数

单位

数量

1

日志审计

LAS-R32

1、标准配置≥6个千兆电口，≥2个扩展插槽，1个Console接口；内置≥4T硬盘。

2、事件采集≥*****EPS，事件处理最高≥3000EPS。

3、支持单一部署，也支持级联部署。

4、管理中心内嵌数据库，用户无需另外安装数据库管理系统。

5、能够对企业和组织的IT资源中构成业务信息系统的各种网络设备、安全设备、安全系统、主机操作系统、数据库、中间件以及各种应用系统的日志、事件、告警等安全信息进行全面的审计。

6、支持审计各种网络设备和安全设备的配置日志、运行日志、告警日志等。

7、支持审计各种主机操作系统、数据库、中间件、应用系统的配置日志、运行日志、告警日志等。

8、支持各种业务系统的日志、事件、告警等安全信息进行全面的审计。

9、支持通过syslog、snmp trap、netflow、jdbc、odbc、agent代理、wmi等多种方式完成各种日志的收集功能。

10、对windows服务器（系统、应用和安全）日志和文件类型日志，可免日志代理或插件，支持用户环境中EVT格式的业务系统日志采集。

11、按照设备资产重要程度和管理域的方式组织设备资产，提供便捷的添加、修改、删除、查询与统计功能。

12、支持资产信息的批量导入和导出，便于安全管理和系统管理人员能方便地查找所需设备资产的信息，并对资产进行关键度赋值。

13、支持采集一化后的日志和保留原始日志，方便用户对关键日志快速定位，和事后取证。

14、支持对事件名称、源地址、源端口、目的地址、目的端口相同的进行归并，条件可以多种组合；支持对指定设备类型或者符合指定条件的日志进行归并，其他设备发送的将不进行归并；支持对事件个数深度和事件时间深度进行归并。

15、所有日志采用统一的日志查询界面，支持自定义查询场景，并以树形结构组织保存。

16、支持实时的日志滚动显示，可通过雷达图等直观显示目前日志量和日志详细信息。

17、支持对实时展示的字段进行选择，调整字段顺序，修改显示字段别名。

18、可对收集的日志进行分类实时分析和统计，从而快速识别安全事故；分析统计结果支持柱图、饼图、曲线图等形式并自动实时刷新，图表数据支持数据下钻；支持统计分析的时长设定，分析结果支持导出报表PDF，HTML，RTF,XLS,PNG,DOCX,XLSX。

19、用户在实时监视的过程中如果发现某条事件的相关属性需要持续予以关注，可以将该事件分配到黑白名单中。

20、系统支持异常行为分析，维护一个与用户信息系统相关的合法账号的正常行为集合，以此区分入侵者的行为和合法用户的异常行为。

21、支持使用在线和离线方式存储数据，支持数据备份到远程服务器。

22、当磁盘空间日志存储量达到一定百分比时可设定为删除磁盘中的历史日志或接收的日志不再入库，并进行告警；手动备份和恢复时，可以显示恢复和备份的进度。

23、配置≥100节点系统授权。

24、提供三年原厂维保服务。

台

1

2

企业版杀毒软件

终端安全管理系统V2.0企业版

1、控制中心，多级中心， 全网威胁趋势展示，终端管理，查杀任务管理、全网日志、远程控制管理、外设管理、全网终端防火墙统一调度策略，文件分发，消息通知等。

2、病毒查杀，操作系统损坏或破破坏修复，文件实时监控，宏病毒查杀，病毒启发式扫描，恶意程序或行为监控，U盘保护及禁用，下载保护，邮件监控，系统加固，恶意软件安装拦截，浏览器保护，自动黑客入侵拦截并告警，本机对外攻击检测，恶意网站拦截，远程桌面登录二次防护，本身外设备管控（可禁用或强制启用），全网终端防火墙可通过控制台统一管理，可下发防火墙策略进行IP协议控制，IP黑名单，终端登陆二次验证，可统一下发指令对终端右键管理，垃圾清理，文件粉碎，弹窗广告拦截，启动项管理，网络流量管理，漏洞自动修复，文件分发，消息通知。

3.三年内软件免费升级。

4.Windows服务器操作系统、Windows 7及以上操作系统均能使用。

点

300

3

下一代防火墙

NSG5000-TG

1、多核AMP+架构，2U机架式，标准配置≥6个千兆电口，≥4个SFP千兆光口，≥2个万兆光口，≥2个板卡扩展插槽，最大支持≥22个接口；1个Console口；配置≥128G SSD存储硬盘；配置双电源；支持液晶显示屏。

2、网络吞吐量≥10G，并发连接≥300万，每秒新建连接≥18万/秒。

3、产品支持路由、透明、交换以及混合模式接入。

4、支持MPLS流量透传；支持针对MPLS流量的安全审查，包括漏洞防护、反病毒、内容过滤、URL过滤、基于终端状态访问控制等安全防护功能。

5、支持支持802.3ad协议，并可根据：源目的MAC组合、MAC和IP组合或TCP/UDP端口组合等方式实现负载和备份。

6、支持支持静态路由、策略路由及动态路由。策略路由支持用户自定义其优先级，动态路由应至少支持RIP v1/v2/ng， OSPFv2/v3，BGP4/4+协议。

7、支持基于策略的路由负载，支持根据应用和服务进行智能选路，支持源地址目的地址哈希、源地址哈希、轮询、时延负载、备份、随机、流量均衡、源地址轮询、目的地址哈希、最优链路带宽负载、最优链路带宽备份、跳数负载等不少于12种路由负载均衡方式。

8、支持全面的NAT转换配置，包括包括一对一，一对多，多对一的源、目的地址转换，并至少支持FULL_CONE模式和SYMMETRIC模式。

9、支持路由模式、透明模式的HA高可靠性部署，可工作于主备、主主模式，会话、用户、配置可实时同步。

10、支持统计网络中确认被入侵、攻破的主机数量，至少可查看被入侵、攻破的时间、威胁类别、情报来源、威胁简介、被入侵、攻破的主机IP、用户名、资产等信息。

11、支持统计网络内威胁事件的数量及风险等级；支持一键跳转查看威胁详情和处置详情；支持基于受害主机、威胁情报一键跳转威胁活动统计分析。

12、互联网链路不受限制。

13、支持GRE VPN协议，能与集团其他企业通过GRE VPN对接。

14、提供三年原厂维保服务。

台

1

4

漏洞扫描

TVS-*****-SVS

1、配置≥6个千兆电口，≥2个千兆光口，1个console,冗余电源,≥2个扩展槽位,≥2个USB口，≥16G内存，≥1T硬盘，无限制IP数量，并发扫描≥100个IP地址，并发扫描≥5个扫描任务，含3年内系统漏扫规则库免费升级。

2、支持IPv4/IPv6双协议栈地址场景漏洞扫描。

3、可以启用/禁用不同的网络接口，确保不被非法接入。

4、产品漏洞库涵盖目前的安全漏洞和攻击特征，漏洞库具备至少CVE、CNNVD、CNCVE、CNVD、BUGTRAQ 编号。

5、产品扫描信息包括主机信息、用户信息、服务信息、漏洞信息等内容。需给出各类扫描信息的详细列表，支持*****种以上漏洞，其中数据库漏洞库为500种以上。

6、支持资产设备漏洞查询，支持根据节点名称、设备名称、设备IP、设备管理员、设备操作系统、风险等级、漏洞名称、端口号、检测时间段等查看设备漏洞情况，并保存导出。

7、支持数据库登录扫描，至少应包括数据库账号，密码，SYSDBA、SYSOPER、NORMAL认证，SID、数据库名称、实例名称及实例号等登录选项的设置。

8、支持对TELNET、FTP、SSH、POP3、SMB、SNMP、RDP、SMTP服务与Oracle、MySQL、Postgres、MsSQL、DB2、MongoDB数据库的口令猜解。

9、产品具有无限IP漏洞扫描能力，并提供相应许可；支持主机存活探测，支持ARP、ICMP ping、TCP ping及UDP ping四种类型。

10、支持每台主机最大并发检测数设置，支持单个任务并发扫描数设置。

台

1

5

WEB应用防火墙

TWF-*****

1、配置≥6个千兆电口， ≥2个千兆光口,单电源,≥2个扩展槽位,应用层吞吐≥500M，网络层吞吐≥3.5G，并发连接≥90万，含3年产品特征库升级许可，含SQL注入、XSS、CSRF等WEB攻击防护功能、URL访问控制功能、防盗链功能、WEB漏洞扫描功能、DDoS攻击防护功能、网页防篡改功能、服务器负载均衡功能、报表分析及告警功能

2、采用专用硬件架构与安全操作系统，基于操作系统内核的完全检测技术；产品为专业性 Web 应用安全防护系统硬件设备，而非下一代防火墙\UTM 类设备集成的 WEB 防护功能模块。

3、支持虚拟线接入，无论任何网络环境可强制数据从一个接口转发到另一个接口，支持提取客户端真实IP头；自动尝试匹配X-Forwarded-For, X-Real-IP, Cdn-Src-Ip 用以获取真实客户端IP。

4、支持HTTP/HTTPS站点防护，在代理模式下支持HTTPS流量解析，支持SSL卸载功能。支持网络层访问控制，支持基于源IP 地址、目的IP 地址、源端口、目的端口、协议类型及目的区域、地理区域等条件的访问控制。

5、支持应用层访问控制功能，针对 HTTP请求字段进行过滤，包括HTTP协议版本，请求方法，Cookie信息等。支持多重编码检查功能，可对多重的编码均进行安全防御检查，有效防止攻击绕过WAF。

6、支持对文件的上传下载进行控制，包括上传及下载最大文件大小、文件扩展名、MIME类型等进行控制；支持对上传文件内容进行病毒检测的功能。支持DDoS攻击动态黑名单功能，检测到DDoS攻击将其攻击源自动加入黑名单。

7、Web界面直观查看WAF扩展卡、接口状态、接口流量、管理口、HA口及业务口的运行状态。支持对防护的WEB服务器进行健康检查，可以实时监测服务器的活跃状态，并且可定期备份健康记录。日志支持以syslog和welf两种格式向远端日志服务器发送日志，日志传输可加密，且管理员可以配置加密密码。

8、针对攻击日志，可对任意一条编辑其行为动作，包括阻断记录日志、阻断不记录日志、继续、警告、临时或永久跳转到某一重定向页面等动作。

9、支持集中管理功能，管理中心支持节点信息监控，节点管理，节点策略配置等功能，方便客户日常运维。

10、支持双机热备，包括主备、主主负载均衡、连接保护等模式。支持两台WAF配置同步，包括全局同步和策略同步两种同步方式。

套

1

6

VPN

NV-*****

1、6个千兆电口,2个千兆光口,单电源,2个扩展槽位,IPSEC吞吐率：1Gbps IPSEC VPN隧道数：***** SSL吞吐率：600Mbps SSL并发用户数：4000

2、支持对设备的运行状态、设备资源状态、并发用户数、客户端类型分布、IPSEC隧道状态、用户流量、安全事件、中国任意省市区县的接入用户数监控

3、管理员分级分权管理，根据不同管理可以管理不同的功能模块；基于用户、用户组、用户角色进行授权，实现用户可访问资源、可信接入和客户端杀毒策略；

4、PC端支持静态用户名口令、数字证书、短信、硬件特征码绑定、图形码、二维码扫描、指纹认证方式；支持使用RADIUS、TACACS/TACACS+、LDAP、域认证第三方安全认证方式；

5、支持密码代填、身份联合方式单点登录，用户登录VPN后无需二次输入用户名口令即可登录应用系统；支持B/S架构、C/S架构单点登录；支持用户自行修改单点登陆的账户信息；

6、支持会话功能，能够实时监控在线用户的登录时间、登录IP、在线时间、访问流量，登录设备等多种信息；支持DES、3DES、AES、MD5、SHA1、DH GROUP1/2/5、RSA 1024/2048等加密算法；支持国家商密专用的SM2、SM3、SM4算法；支持高效数据流压缩算法；

7、支持基于源/目的IP地址、MAC地址、端口和协议、时间、用户、角色的访问控制；支持动态地址转换和静态地址转换，支持多对一、一对多和一对一等多种方式的地址转换；

8、产品能够详细审计用户登录认证过程、各种认证授权错误、内网资源访问情况等信息；支持多级审计日志，可以灵活配置审计级别

9、支持“管理”、“系统”、“安全”、“策略”、“通信”、“硬件”、“容错”、“测试”等多种触发报警的事件类；支持邮件、NETBIOS、声音、SNMP、控制台等多种组合报警方式；

10、支持服务器的负载均衡，提供轮询、加权轮询、最少连接、加权最少连接、源/目的地址HASH等多种负载均衡方式；

11、需支持手机端接入。

台

1

7

堡垒机

C6100

1、标准配置≥6个千兆电口，≥2个扩展槽位，内置≥4T硬盘，支持液晶屏

2、支持≥150路图形会话或≥400路字符会话并发。实际配置≥200管理节点许可

3、支持对主机及账户批量导入、导出、删除、加入资源组等操作；

4、可通过应用发布实现对IE、Chrome、FireFox、Oracle、MySQL、SQL Server、VNC、Vsphere等应用程序/客户端的扩展支持

5、支持Xshell、putty、MAC terminal等客户端和Remote Broswer（HTML5）访问目标资源

6、支持IOS、安卓的移动终端访问资源

7、支持通过堡垒机同时对多台虚拟机执行相同命令

8、支持本地、RADIUS和AD域等认证类型，支持手机短信和动态令牌等多因子认证

9、支持密码修改计划部门分权，使得不同部门的密码保管员只能修改/保管自己部门的设备上的帐号密码

10、支持审计功能按部门分权，使得不同部门的审计管理员只能审计自己部门、自己直属子部门设备上的操作日志

11、支持对主账户的批量导入、导出、删除、重置密码、部门移动等操作

12、支持单点登录RDP、VNC、Telnet、SSH等协议和应用发布的远程资源

13、支持同时以用户、用户组、资源、资源组、账户、账户组为核心要素，来设置多对多的资源访问授权

14、可根据用户、用户组、部门、角色、资源、IP段、命令集、生效时间为核心要素，来设置详细的命令权限控制策略

15、命令权限控制动作包含拒绝执行、允许执行、告警、动态授权和断开

16、可以对字符协议的设备的操作行为设置告警、断开、拒绝执行、二次授权等访问策略

17、支持用户向管理员主动申请资源的运维权限

18、对操作命令进行精准识别，准确率达到100%，支持以文本形式下载命令操作到本地PC；

19、对图形操作过程中的键盘鼠标操作、剪贴板操作、标题栏操作、图形界面文字模糊识别四大类信息，进行文本审计

20、可对FTP协议进行审计，可对堡垒机自身的文件上传和下载的功能的执行可以被审计

21、支持从一条命令定位到用户的操作过程；回放过程支持暂停和加速播放操作；对用户命令操作的输入输出，在同一界面展示；可根据文本审计的内容为关键字进行图形搜索，可以直接定位到相关图形画面进行回放；支持对同一虚拟机的审计的任意切换

22、可以根据从账户、时间、改密周期、改密方式生成详细的改密计划，到期自动执行；改密方式可以支持随机生成不同密码、随机生成相同密码、手动指定相同密码；支持自动改密结果发送到指定改密计划的管理员邮箱

23、支持对多个目标主机进行批量执行命令和脚本的操作，并可展示命令和脚本的执行结果；支持将对多个目标主机进行批量执行命令和脚本的操作并保存成运维任务，支持运维任务执行结果的下载；支持托管并执行bash、python脚本；同时能够对多个目标主机的帐号进行推、拉、同步操作。推帐号即从堡垒主机平台向资源上添加帐号；拉帐号即从资源上自动收集所有设备帐号到堡垒主机上；同步帐号完成推拉两个动作，从而保持堡垒主机和资源上帐号的同步

24、提供三年原厂维保服务

台

1

8

上网行为管理

NBM5330X-SP

1、2U硬件，标配≥6个千兆电接口，≥2个万兆光口（其中含1个管理接口和1个HA接口），1个扩展槽，标配≥1T硬盘。

2、≥*****人网络环境使用；最大并发连接数为≥60万，最大新建连接数为≥4万/秒。

3、支持网关模式、镜像模式、网桥模式、多路桥接功能能够实现X进X出，即X路桥接。

4、支持WEB、命令行两种管理方式；WEB可通过IE、谷歌、火狐浏览器访问设备管理界面。

5、可设置多名管理员、审计员角色，根据授权配置局部策略，查看局部日志。

6、支持多台设备可以被集中管理平台统一下发、回收策略。

7、支持内置的常用模板策略，方便管理员快速生成策略；支持策略的复制。

9、支持IP、MAC、web认证、短信认证、微信认证，可以基于IP、MAC等多因素进行用户认证、识别。

10、支持对802.1X、华为controller、Kerberos、LDAP、POP3、SMTP、Radius、PORTAL、PPPOE、城市热点等系统的单点登录。

11、支持记录用户信息，第二次上线无需输入用户名密码即可获取上网权限，可配置永久有效或长期有效时间。

12、根据关键字管理搜索引擎访问，根据URL库及URL关键字进行网址访问管理，可根据网页内容关键字进行审计与过滤。

13、不同网页被阻塞后会跳转不同的阻塞页面；支持用户完全自定义。

14、根据用户、终端类型、时间等多个条件为不同的用户推送Web页面；可以建立多个Web推送页面，供不同的推送策略引用，支持用户完全自定义。

15、应用协议库包含的应用数量不低于4000种，一级分类不少于40种，移动应用数量不低于900种。

16、支持QQ、微信windows版客户端内容审计。

17、支持 https、ftp、telnet、snmp、nfs、netbios协议进行审计和控制。

18、支持动态流控、带宽控制、带宽保障、带宽借用、带宽平均、连接限制、每用户带宽限制。

19、支持对病毒、恶意URL、的云查杀，失陷主机检测。

20、支持显示被监控用户的详细列表，应包含IP、用户、设备总数、PC数量、移动终端数量、发现时间、当前状态等信息。

21、支持显示被堵塞用户的详细列表，应包含IP、用户、阻断开始时间、阻断结束时间、阻断方式等信息。

22、支持基于终端数量和用户数量显示统计图，支持显示阻断/允许用户比例图。

23、能够与终端管理软件联动，设备检测到未安装终端管理软件的PC，可将其Web访问自动重定向到特定页面并提示下载。

台

1

9

备份一体机

DD3300

一、备份软件：

1.支持UNIX,Windows,Linux等各类主流操作系统,和虚拟化的VADP备份

2.支持各种数据库平台（包括DB2、SQL Server、Oracle、Informix、Sybase等）的在线备份

3.支持磁带库、存储、专用备份设备(比如DataDomain)等多种存储备份设备

4.配置双机和集群备份

5.配置LAN Free和LAN的备份方式,支持NAS的备份

6.除传统基于文件系统备份方式，可支持基于数据块的备份方式，并且支持数据块的CBT备份恢复方式

7. 与VMware vCenter集成，支持直接通过vCenter配置备份策略，实现VMware数据定时备份到备份设备中，并且可实现基于CBT方式的备份和恢复

8. 提供备份软件虚机版本，支持直接通过OVF部署，简化备份服务器的部署

9. 配置无限制 Windows/linux/UNIX平台的数据库备份代理，包括Oracle、SQL、Sybase、Exchange、Lutos、MySQL等主流应用备份；

无限制 Windows/linux/AIX/HPUX/Solaris文件系统备份代理；

无限制VMWare ESX虚拟服务器的备份许可；无限制备份客户端授权

10. 备份软件支持把数据到私有云、混合云以及公有云

11.配置虚机备份API的VADP接口

12.支持在数据源进行的重复数据的删除功能

二、备份存储：

单套设备配置(10x4TB 7200RPM NL-SAS, 40TB裸容量)

内置重复数据消除技术的备份设备

采用单独的固态硬盘加速备份及恢复

采用一体化架构，而不是网关设备；并且要求设备内部组件之间连接简单，无需交换机设备，以保证可管理性、可靠性和简化运维

支持全局重复数据消除，即在单台备份设备内部，所有存放的数据能进行统一的去重操作，以达到最佳的去重率。

采用变长去重技术，以达到最佳去重效果

支持现今主流备份软件：NW，TSM，NBU，DP，Commvault

备份设备支持与VMware的VDP集成，以提高Vmware的备份效能

备份设备支持与Oracle rman的集成，以提高Oracle备份效能

备份设备支持与SAP/SqlServer/DB2/Oracle/Greenplum直接集成，无需备份软件即可实现源端消重备份

具备SNMP、Email等多种方式的报警，如超过空间使用阀值，自动邮件报警

具有复制带宽调整控制功能，可以根据用户要求实现动态链路带宽调整

三、备份服务器

1、2U机架式服务器；

2、配置≥2颗Intel 至强银牌处理器

3、配置≥64G DDR4内存

4、配置≥2块480GB 固态硬盘

5、配置≥1个独立 Raid阵列卡

6、配置≥4个千兆电口，配置≥4个10GbE光口网卡（含光模块））；配置≥2块单端口16GB HBA卡；

四、提供3年原厂维保服务。

套

1

10

工业安全隔离与信息交换系统

ISS3100

配置：冗余电源；内网接口：6个10/100/1000Base-T端口；2个SFP插槽；1个Console口；2个USB口；外网接口：6个10/100/1000Base-T端口；2个SFP插槽；1个Console口；2个USB口；含三年升级授权；系统内部采用“2+1”模块结构设计，即包括外网主机模块、内网主机模块和隔离交换模块；内外端机为网络协议终点，彻底阻断各种网络协议，保证信任网络和非信任网络之间链路层的断开，彻底阻断TCP/IP协议以及其他网络协议。

台

2

11

下一代防火墙

NGFW4000-UF

2U,6个千兆电口， 2个千兆光口,冗余电源,2个扩展槽位,防火墙吞吐12G，并发连接300万，每秒新建连接10万，含3年入侵防御规则库升级授权，三年内防病毒规则库免费升级。

台

2

12

威胁态势感知

TY-TSS*****

威胁感知系统;1Gb流量采集性能;由全流量威胁发现模块、威胁分析模块两个节点组成全流量威胁发现模块：2*GE流量监听电口、2*10GE流量监听光口、2*GE管理电口、20TB SATA 存储硬盘;1*DB9 Console接口。威胁分析模快：4*GE管理电口、16TB SATA 存储硬盘;1*DB9 Console接口。默认含36个月产品标准维保服务和组件规则升级。默认含1年订阅服务（6次/年 远程服务）;包括告警分析、爆破行为分析、web攻击行为分析、数据库攻击行为分析、恶意邮件行为分析。

台

1

13

交换机

S5732-H48XUM2CC

S5732-H48XUM2CC 24个万兆SFP+，24个100M/1G/2.5G/5G/10G Base-T以太网端口 ，4个25GE SFP28 + 2个40GE QSFP+或2个100GE QSFP28 配24个万兆光模块;

台

1