序号

名称

产品描述

数量

1

万兆防火墙

1.接口：≥2U机箱，≥6个10/100/1000BASE-T电口以上,≥4个千兆SFP插槽，双冗余电源；≥2个万兆SFP插槽，2个万兆多模SFP模块；最大可配置34个接口，4个扩展槽位，可扩展4个万兆插槽用于主干网链路冗余、双机热备；吞吐率≥24G，并发≥600万;
2.系统：要求基于多核多平台并行安全操作系统；采用双安全操作系统设计；
3.支持路由模式、交换模式、混合模式、虚拟线模式，至少支持四对虚拟线配置；
持静态路由、PBR与多播路由，以及RIPv1/2、OSPF、BGP等多种动态路由协议；支持ISL、802.1Q二层协议封装以及VLAN-VPN功能；
4.至少支持8路ADSL拨号接入，可对各ADSL链路之间通过WCMP与ECMP方式进行路由均衡；
5.具有接口联动特性，使同一联动组内所有物理接口的UP/DOWN状态同步变化；
6.支持多链路接入环境下的出站多运营商智能选路与入站智能DNS；
7.支持服务器负载均衡功能，并至少提供10种以上服务器负载均衡算法；
8.能够基于访问控制策略对最大并发连接数限制；
9.支持在WEB界面中查看每条策略所匹配的当前会话、历史会话与报文统计信息；
10.具有策略自学习功能，并且能够根据自学习结果直接生成访问控制策略；
11.支持策略冲突检测功能；
12.具有防共享接入特性，能够有效识别、报警并阻断局域网网络共享行为；
13.支持免客户端方式实现跨越路由（或其他三层设备）进行IP/MAC绑定功能；
14.至少支持254个虚拟防火墙，虚拟防火墙支持IPv4/IPv6双栈部署，并能够实现IPv4/IPv6双栈的各种安全控制，虚拟防火墙同样支持策略自学习功能；
15.需具备针对单条策略设置最大并发连接数、策略命中数统计与策略重复检查功能；支持系统管理员能够通过“用户名＋口令＋图形认证码”方式认证进行登录管理；
16.支持管理员分权管理，能够自定义管理员权限模板，所有功能模块组合可由管理员自由组合配置；支持本地多配置文件存储及配置回滚功能，并且可以有选择性的下载“运行配置”、“保存配置”、“备份配置”、配置文件加密下载以及按对象、策略等分类的部分配置文件下载/上传功能；要求具有配置文件自动定时上传到指定外部服务器功能；
17.具备三权分立管理；
18.内网认证客户端支持一次性口令认证（OTP）、本地认证、证书认证和免客户端方式认证，同时支持RADIUS、LDAP、TACACS、SECURID等第三方外部认证设置；
19.支持用户口令复杂度设置、口令长度设置、密码过期时间设置与首次登陆口令修改设置，并能够以短信与邮件方式进行密码找回；
20.支持本地CA和第三方CA，可为其他设备或移动用户签发证书，可生成、吊销、删除证书，并支持本地CA和第三方CA根证书、根私钥的更新；
21.支持证书废弃，支持生成标准CRL列表，可以同时导入多个第三方CRL列表，对不同CA证书用户进行身份认证，支持通过HTTP协议定时下载CRL列表（；支持证书请求的生成，由第三方CA进行签名；支持通过OCSP/LDAP等协议在线认证证书；
22.支持主备、负载均衡和连接保护等双机或多机的高可用性部署，可实现多心跳接口备份与负载均衡；支持基于接口度量值方式的双机切换条件设置；
23.支持防ARP欺骗与防路由欺骗功能；支持对Synflood、Icmpflood、Udpflood、Portscan、Ipsweep、Land、Smurf、Pingofdeath、Winnuke、Tcp_sscan、Ip_option、Tear！、Targa3、Ipspoof等等网络攻击进行实时检测，并且通过智能策略联动机制对攻击行为进行动态阻断；
24.支持基于接口、应用层协议等流量异常检测功能，能够根据流量阀值、连接数阀值、协议比例异常阀值等条件触发报警规则，并在管理页面上亮起报警灯；
25..支持对URL最大长度进行限制以及对FTP命令进行过滤，包括上传、下载、追加、删除文件、重命名、列表、创建目录、删除目录等；
26.支持HTTP、FTP、Telnet、SMTP、POP3、IMAP等协议进行登陆标题信息替换；
27.支持Syslog、SNMP Trap、Netflow、JDBC等协议日志收集；特殊协议支持订制；原始日志支持长期存储；存储策略可以通过管理平台配置；可以针对不同的日志源制定不同的存储策略；
28.可以通过管理平台首页可以清晰查看到单日安全事件概况、系统逻辑拓扑图、实时告警信息；可以实时查看审计中心主机的CPU、内存、流量以及磁盘等的使用情况；
29.支持在查询结果页面上直接下钻二次查询，快速定位关键日志，还可以返回上次查询条件；
30.管理员可以查看系统内置的各种类型的报表。系统内置高达500多种报表模板。报表生产成时间小于20秒；

1

2

万兆入侵防御系统

1．系统平台要求：采用多核硬件平台，内置SSD固态硬盘存储日志。
2．接口性能要求：≥2U机箱，≥6个10/100/1000BASE-T电口以上,≥4个千兆SFP插槽，≥2个万兆SFP插槽；双冗余电源；2个万兆多模SFP模块；设备扩展最大可配置32个接口，可扩展4个万兆插槽用于主干网链路冗余、双机热备；吞吐率≥18G，并发≥400万；
3.要求支持直连、路由、VLAN、旁路监听、混合部署等多种接入模式。
4.要求支持多端口链路聚合；
5.要求支持基于源/目的地址、接口的策略路由。
6.要求支持VLAN、MPLS、PPPoE网络，能够在该网络环境中检测出攻击事件。
7.要求支持IPv6、IPv6 over IPv4、IPv6和IPv4混合网络，能够在该网络环境中检测出攻击事件；要求攻击规则库单独分开，可支持手动、自动、以及离线升级；
8.要求能够检测包括溢出攻击类、RPC攻击类、WEBCGI攻击类、拒绝服务类、木马类、蠕虫类、扫描类、9.网络访问类、HTTP攻击类、系统漏洞类等在内的超过3500种攻击事件。
10.支持丢弃报文、记录日志、禁止连接、TCP reset等多种响应动作
11.要求支持自定义攻击检测规则。
12.支持黑名单，将攻击源加入黑名单，一段时间内禁止访问。
13.支持攻击报文取证功能，检测到攻击事件后将原始报文完整记录下来，作为电子证据。
14.支持检测包括land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、tear！、targa3、ipspoof、Synflood、Icmpflood、Udpflood、Portscan、ipsweep等在内的DOS/DDOS攻击。
15.支持DHCP flood、DNS Flood、CC攻击防御。
16.支持主机并发连接数和半连接数的限制；
17.支持DDOS机器人自学习功能，学习时间可设置；
18.根据数据内容而非端口智能识别包括P2P（迅雷,FlashGet)、即时通讯、流媒体、股票交易、网络游戏、19.网络电视等在内的超过150种应用。
20.支持对应用协议的阻断和流量管控。
21.支持URL地址分类库，超过600万种。
22.支持黑白名单，精确匹配和模糊匹配。
23.支持阻断、URL重定向、返回默认页面、返回自定义页面等多种动作。
24.支持WEB站点漏洞扫描功能，内置爬虫、支持关键字自学习和HTML分析；
25.支持网页防篡改功能（不需要在WEB服务器上装载任何软件）；
26.支持web页面的实时显示攻击事件；
27.支持B/S或C/S管理模式，可实现多级部署
28.支持设备温度监视以及报警，可以自定义温度阀值；
29.支持实时查看网络流量/攻击状况

1

3

千兆防病毒网关

1.硬件要求：≥2U机箱，≥4个10/100/1000BASE-T端口，≥4个SFP光纤插槽,最大可扩展28个网络接口；并含2个高速USB2.0接口，可接移动存储进行日志存储，双冗余电源；吞吐量>8Gbps，最大并发连接数>320万，每秒新建>6万/秒；
2.支持多系统（≥3个）引导，并可配置启动顺序，支持系统分区备份，支持将系统A克隆至系统B，支持多个系统配置文件，可导入导出恢复配置多系统设置可在Web界面上完成全部操作；
3.要求旁路接入，实现对http、ftp、pop3、smtp、imap协议相关的通讯流量的计算机病毒检测预警功能；支持透明、路由、混合三种工作模式;支持多透明桥，支持端口聚合;支持DHCP Client、DHCP Relay、DHCP Server;
支持PPPoE接入，并具备自动断线重连技术，支持多路ADSL拨号;支持静态路由，动态路由（OSPF、RIP等），支持RIPing、OSPFv3,VLAN间路由，单臂路由，组播路由等;支持基于源/目的地址、接口、Metric、服务的策略路由;支持200个以上的路由表、29999个以上的路由策略选择;支持多出口路由负载均衡;
4.支持ISP服务商路由，要求内置ISP地址列表，可通过Web界面选择不同的ISP服务商实现快速切换;
5.支持802.1Q和ISL VLAN封装协议，支持两种封装的互换以及Vlan Trunk;
6.支持802.11B,802.11G协议，支持设备作为WiFi热点（即AP），为客户机提供无线安全接入服务;
7.支持3G(CDMA2000)协议，支持用户通过3G提供上行网络接入;
8.支持IPv6地址、地址组配置，支持持IPv6安全控制策略设置，能针对IPV6的目的/源地址、目的/源服务端口、服务、扩展头属性等条件进行安全访问规则的设置，.支持双栈、6to4隧道实现IPv6网络与IPv4网络访问；
9.支持HTTP,SMTP,FTP,PO3P,IMAP等多种协议下病毒防护，并支持自定义非标准端口下的病毒防护。支持快速扫描、全面扫描模式。采用自有知识产权的病毒防护引擎，包括病毒检测引擎和病毒分析引擎。病毒库不少于30万种病毒特征，支持根据用户需求自定义病毒特征，病毒特征安全可控，具备自主研究分析病毒特征的能力。对检验用样本库，病毒检测率不低于%95。系统支持3种病毒防护模板，支持自定义病毒防护模板。支持tar、gzip、rar、zip等压缩格式的病毒扫描。支持基于病毒防护规则设置阻断、清除、记录日志，发送电子邮件报警等。
10.支持与终端管理系统协同工作，实现对终端的网络准入认证控制;支持设备集中管理；设备支持微软MAPP计划能在最短时间内得到相关漏洞的详细信息，把准确的特征码提供给用户，提高防御能力；设备支持云计算安全，并在最短时间内提交解决问题的方法。
11.支持WEBUI/SSH/Telnet管理，支持证书和电子钥匙认证方式。支持一键式管理，机箱前面板提供外置按键配置方式，每个按键均对应一个已预设的策略模板。
12.支持基于802.3ad标准的多端口聚合。支持链路备份、端口备份、热备份、集群备份等。支持A-A,A-S模式，且切换时间小于2秒。
13.支持本地和远程特征库升级，升级周期最长不超过1周

1

4

远程安全评估系统（漏洞扫描）

1.产品需使用专门1U机架式硬件设备,提供接口数不小于6个电口，1个接口扩展槽位，1个RJ45串口。
2.允许最大并发任务数≥10个，最大并发扫描主机数≥60，单个任务允许扫描的最大扫描范围不小于一个B类IP地址。最大存储任务数超过1000个。
3.产品应支持多路扫描，可以同时对多个隔离网络进行漏洞扫描。
4.可以通过资产仪表盘直观展示资产的风险值、主机风险等级分布、资产风险趋势、资产风险分布等内容。
5.漏洞知识库漏洞信息大于13000条，提供详细的漏洞描述和解决方案描述；漏洞知识库与CVE、CNCVE、CNNVD、CNVD、Bugtraq等主流标准兼容。
6.能够把资产管理和组织结构或者网络拓扑结构紧密结合；支持IP地址、域名和资产树等多种资产管理方式；支持通过Excel等文件将地址导入到资产树功能。
7.支持资产树等多种资产管理方式，支持通过资产树对指定资产或资产组展开漏洞扫描，查看主机风险。
8.提供备份恢复机制，能够对扫描结果、日志、扫描模板、参数集等配置文件进行导出和导入操作；能够对系统创建还原点对系统进行备份和还原。
9.可以多维度搜索并定位资产，包括并不限于：节点或设备名称、资产IP范围、资产管理员、资产操作系统类型、资产风险等级、漏洞名称、开放的端口、资产banner信息等。
10.提供漏洞知识库中包含的主流操作系统、数据库、网络设备的列表信息。漏洞知识库从设备类型、应用服务、信息收集、威胁等级、威胁利用情况等多个视角进行分类，支持对漏洞信息的检索功能，可以从其中快速检索到指定类别或者名称的漏洞信息。
11.能够扫描主流虚拟机管理系统的安全漏洞，如：VMWareESX/ESXi，要求能够扫描大于200条相关漏洞，并提供详细的漏洞列表。
12.可提供资产树功能，通过资产树直观呈现网络资产的安全风险。
13.可定义扫描端口范围、端口扫描策略。
14.可以智能发现非默认端口启动的服务，并调用相应扫描插件进行扫描。
15.具备单独口令猜测扫描任务，支持多种口令猜测方式，包括利用SMB、TELNET、FTP、SSH、POP3、TOMCAT、SQL SERVER、MYSQL、ORACLE、SYBASE、DB2、SNMP等协议进行口令猜测，允许外挂用户提供的用户名字典、密码字典和用户名密码组合字典。
16.能够对扫描结果数据进行在线分析，能够根据端口、漏洞、BANNER信息、IP地址等关键字对主机信息进行查询并能将查询结果保存。
17.报表中对综述、主机、漏洞、状态等信息进行分类显示；综述报表中应对风险类别和操作系统分布进行定量统计分析并展示；主机报表中应提供单主机的漏洞分布、风险值和风险等级信息，并能列出单主机的详细漏洞描述和解决建议，同时提供详细的安装软件信息、端口信息等，方便统一查看，了解资产信息；漏洞中应提供漏洞详细信息并可进行误报修正。
18.产品应支持多种维度对漏洞进行检索，包括：CVE ID、BUGTRAQ ID、CNCVE ID、CNVD ID、CNNVD ID、MS编号、风险等级、漏洞描述、是否为危险插件、漏洞发布日期等信息。
19.支持和微软WSUS补丁系统的联动，能够在发给主机管理员的邮件中附带自动配置WSUS的注册表文件，方便进行自动化的补丁修补。

1

5

数据库审计

1.硬件要求：≥2U机箱，≥6个10/100/1000BASE-T电口以上，≥4个SFP插槽；整机吞吐量≥8G;审计DB数≥2000个；6个监听授权口；
2.性能要求：记录事件数≥10万/每秒；总记录事件数≥50亿条；
3.部署方式：支持单点、多点、多级管理模式，支持透明串联、旁路部署方式；不需要安装额外的管理软件，不需要单独的管理设备；
4.系统相关：系统采用专用硬件架构与专用安全操作系统；专用的安全操作系统具有自主知识产权；双操作系统冷备支持。当常用系统出现故障可以使用备用系统恢复；
5.数据库审计支持：支持Oracle数据库审计、SQL-Server数据库审计、DB2数据库审计、Informix数据库审计、Sybase数据库审计、MySQL数据库审计；支持PostgreSQL、人大金仓kingbase、Cache、南大通用Gbase、达梦数据库审计；
6.数据库安全：支持对针对数据库的XSS攻击行为进行审计；支持IPV6环境审计；支持对针对数据库的SQL注入攻击行为进行审计；用户可自定义告警规则，方便发现违规操作，可以针对所有审计结果的属性配置告警规则，规则支持与或关系、正则匹配、范围匹配、名单列表匹配等多种方式；支持原始数据包留存，可通过sftp方式从设备中取得已记录的原始数据包；
7.审计能力：支持数据库绑定变量审计,支持访问数据库的源主机名、源主机用户的审计；内置SQL语法解析器，可分析SQL语句的操作类型，操作对象等信息，同时支持正则与非正则方式；支持自定义SQL语法解析规则，可以分析用户特有SQL操作；可审计SQL操作的客户端名称；支持内网主机扫描，可自动发现IP与主机对应关系；可导入IP与用户对应关系；支持实名审计，可以定位审计事件到人；支持IP归属地审计，可以定位事件到IP所在地，并提供地图展示功能；支持自定义审计界面，方便用户直接审计关心的事件；支持数据采集规则定义，对于不关心的数据可以不采集，有效保证系统审计的稳定性与针对性；
8.统计分析：支持自定义多维度统计分析场景；事件实时统计，查看统计结果时快速返回，操作人员无需等待；统计结果以饼图、柱图展示，可导出统计结果报表；支持统计分析的下钻与上卷；
9.流量分析：基于流的流量分析，提供收集netflow信息的能力；可以对接口、传输协议、应用协议、应用协议组、源目的地址、源目的端口进行统计分析，可以多条件组合分析；支持IP分组流量统计；支持流量分析的下钻与上卷；响应方式：支持Syslog告警、SNMP trap告警、邮件告警、联动协议；支持旁路阻断；
10.系统管理：提供管理员权限设置和分权管理，提供三权分立功能，系统可以对使用人员的操作进行审计记录，可以由审计员进行查询，具有自身安全审计功能；用户可自定义角色，并为角色定义细粒度权限，权限可控制到菜单级；支持系统管理员IP黑白名单，对于无权访问的IP可以隐藏设备自身IP地址；提供审计数据管理功能，可根据时间或磁盘空间状况实现对审计数据的自动备份、删除；

1

6

网络审计系统（网络回溯分析系统）

1.标准机架式独立硬件设备；存储容量≥4TB；旁路接入网络， 不影响网络结构；监控端口： ≥4个千兆电口；管理接口：≥2个千兆电口；支持RAID，可热插拔；
2.可根据TCP/UDP端口或端口范围、端口组，IP地址、地址组、地址范围，IP地址+端口，网段、网段组，HTTP应用请求中的URL值、数据包特征值自定义应用，针对自定义的应用进行流量监测分析；
3.数据包保存的性能要求能够实现2000Mbps线速保存能力；数据包处理性能不低于500,000pps；
4.支持存储过滤器，可以按需基于MAC、IP、协议等保存数据包，支持自定义保存数据包的长度；
5.能实时分析并长期保存网络中的所有数据流统计数据，包括详细的IP会话流、TCP会话流、UDP会话流数据，数据精度到秒级；
6.捕获数据包时能够根据条件过滤捕获，包括根据IP地址、地址段、通讯协议、TCP/UDP端口等条件过滤捕获；
7.数据包以专用格式存储，只能采用专用的控制台软件读取和导出，不能用其他工具读取并导出，；
8.能够检索捕获的流量的趋势，所有应用的通讯流量信息；能够检索指定时间范围的所有IP主机的通讯流量信息；
9.能够针对应用进行进一步的数据挖掘，分析某个应用中IP主机流量、IP会话、TCP会话和UDP会话详细列表；
10.能够对任意时段指定应用的服务质量关键指标进行分析，分类统计指定应用的通讯对象的服务质量关键指标；
11.能够在一个分析界面中展现两个监控链路的关联分析；
12.能够针对一个TCP会话，展现数据包经过不同监控链路的响应时间变化，并提供基于数据包解码的分析能力；
13.能够支持针对HTTP协议的应用交易，可以直观的看到指定应用的交易处理数量、交易处理时间和交易窗台趋势图，以及各种流量参数、会话参数、交易统计参数和CDR日志等信息；
14.能够图形化显示指定HTTP应用的交易处理时间变化趋势，包括平均交易处理时间、最大交易处理时间、最小交易处理时间等；
15.能够通过“与、或”等逻辑关系实现多个流量参数组合对网络中的总体/关键主机/应用流量异常进行监控和报警；
16.能够对可疑域名解析行为，对电子邮件内容进行监测，定义敏感字参数，对TCP/UDP数据流进行监测，通过定义特征值，进行监测产生警报；
17.提供针对TCP/UDP会话的流重组功能，将会话中的数据流重组显示；
18.能够对TCP会话中的详细应用数据传输过程进行深入分析，能够区分每一个应用交易处理请求和响应，对传输过程中的重传、重复的确认进行统计，对应用交易处理间隔响应进行分析；
19.提供针对TCP会话的时序图分析功能，能够图形化的显示TCP会话中的数据交互传输过程，能够图形化显示数据传输中的时间间隔；
20.支持自定义报表功能，能够根据需要组合各个报表组件按需生成报表；
21.支持生成比对报表，可将报表周期内的数据与历史同期或指定的其他时段数据进行比对，并在同一报表内容中展现。例如：日报表可与前一日或上周同天数据比对；
22.提供ARP攻击、蠕虫病毒主机分析，并在单独的分析视图中展现，；
23.支持自动判断存在DOS攻击或被攻击现象的主机的网络行为特征，并在单独的分析视图中展现；
24.支持自动判断存在TCP端口扫描的主机的网络行为特征并在单独的分析视图中展现，提供证明材料加盖原厂公章
25.支持WEB攻击中的SQL注入，强制浏览，跨站脚本，密码攻击等攻击检测；
26.提供对常见互联网协议的协议识别功能，至少能对500种以上的常见互联网协议进行识别；
27.支持IPv6解码分析，能够对使用IPv6协议通讯的网络链路进行实时监控和回溯分析；
28.能够提供数据访问接口，可以将服务器捕获到的数据提供给第三方系统进行二次开发，数据访问接口采用HTTP和HTTPS协议；
29.培训要求：提供4人次CSNA培训认证；提供2人次H3CNE培训认证；

1

7

运维审计系统（堡垒主机）

1.硬件要求：≥2U机箱，≥4个10/100/1000BASE-T电口以上，≥1个扩展槽,≥500G存储空间,双冗余电源，授权点≥300点；
2.系统架构：WEB方式管理，对常见的资源访问方式提供代填登录。提供4A管理平台的认证接口，支持active-stanby方式的HA部署，支持集群部署。
3.基础功能：提供堡垒机运维审计系统自身状态的监控功能。支持管理配置的批量功能。支持WEB方式升级。
4.帐号管理：帐号的整个生命周期管理，对主帐号进行增加、修改、删除及锁定、解锁等操作。能够对各种资源上的帐号进行推、拉、同步。账号可以添加时间策略、地址策略、命令策略进行细粒度的权限控制。
5.认证管理：支持证书认证、堡垒机运维审计系统本身可以提供证书认证、并可以和现有的其他证书认证结合：如生物特征认证，OTP认证、AD域、MAC地址、智能卡等
6.授权管理：可以将资源和资源的从帐号授权给主帐号。授权给主帐号的资源可以新增和删除。授权时可以按照树形组显示资源，方便资源的选择。授权分为堡垒机运维审计系统管理功能授权和资源访问授权。内部管理功能授权可以限制到某个树形节点的范围内。
7.审计及报表：审计结果支持按照如下关键字进行查询：主帐号名称、资源名称、资源IP、从帐号名称、起始时间、终止时间、命令关键字。
8.支持对象变更操作报表功能，变更操作包括但不限于自然人变更、资源变更、从账号变更、角色变更、授权关系变更等。报表可按照时间段、操作等条件生成与排序，且可以Word、Pdf等格式导出。
9.单点登录：主帐号WEB方式登录堡垒机运维审计系统后，可以展现所有已经授权给自己的资源，包括字符型和图形的授权资源。单点登录后，支持目标资源的地址提示，方便同时开启多个目标资源的连接窗口时区分出不同的连接对象。支持对SSH、TELNET、RDP等协议的实时会话监视和阻断功能。
10.批量管理：支持批量录入和配置自然人信息；支持批量录入和配置资源信息；支持批量的录入和修改资源从账号信息；
11.对外接口：可以将审计日志以SYSLOG方式外发，支持SYSLOG发送的目标和端口。对所有审计日志提供外发接口，可以配置只外发字符审计，也可以配置外发所有审计（将字符和图形录像的审计日志外发其他设备），并且可以配置对端端口。支持认证接口，可以配置认证服务器地址和端口。
12.管理功能：目录树结构无线扩展，易于资源分类和定位检索；
13.内置VPN模块，可以实现外网专线连接堡垒机运维审计系统；
14.Windows文件夹共享，资源文件夹共享后，可以授权给堡垒主机主账号；
15.支持磁盘映射，便于终端与服务器之间的文件交互。双人共管模式，实现重要服务器两个人确定，方可访问资源，同时，第二方人员可以实时监控和阻断操作。流程管理，主账号的创建和授权可以支持上级管理员审批流程。
16.自身安全性：产品自身不允许开放Telnet(23)、FTP(21)等高危服务端口。应支持设定密码登录错误次数。当重复登录错误达到设定次数后，系统将锁定账号。系统具有自身审计功能，能记录所有管理账户的登录、操作、退出等行为，且不可删除。
17.系统扩展：要求支持与邮件服务器的联动，可以将告警信息以邮件形式发送。要求支持与外接存储设备联动，可直接将审计信息直接存储到外接存储设备上；至少支持Linux和W indows两种类型的外接存储服务器。要求支持4A扩展，可以将审计日志输出到4A平台。要求支持与SOC联动，可以将审计日志输出到SOC平台。

1

8

Web防护系统（内网WEB防火墙）

1.接口要求：≥2U主机，≥6个10/100/1000BASE-T接口，4个SFP插槽；双电源，1个扩展插槽；吞吐率：6G；并发220万；包含WEB攻击 模块、WEB漏洞扫描模块、DDOS攻击防护模块、网站应用交付模块、数据智能分析模块；
2.基于代理模式的防护引擎支持透明代理，反向代理工作模式；支持串行及旁路部署方式。支持多路部署。
3.HTTPS支持 ，能够对SSL（HTTPS）加密会话进行分析。支持导入SSL证书（包括PEM和PFX格式）；
4.WEB基础架构防护，OS命令注入、远程文件包含、目录遍历等WEB通用攻击防护；WEB应用攻击防护,
5.爬虫防护，能够审计或阻止谷歌、雅虎、百度等20种以上搜索引擎对网站的爬取行为；盗链防护，保护网站中的视频类、音频类及图片类等资源不被盗链。支持Cookie防护及Referer防护两种防盗链算法；
6.恶意扫描防护，能够通过对WEB的请求行为判断是否为恶意扫描。
7.可设置行为参数阀值，超过阀值后自动将攻击IP加为黑名单进行阻断。阻断时间可手动调节；
8.SQL注入、跨站脚本等常见WEB应用攻击防护；漏洞扫描器扫描防护，能够审计或阻止IBM AppScan及Acunetix Web Vulnerability Scanner漏洞扫描工具对网站的扫描行为；
HTTP请求限制，协议规范化。支持对HTTP请求长度、请求方法及请求文件类型等进行限制。支持Cookie安全机制；
9.支持自定义警告页面；支持自定义策略和策略集，不同被保护服务可以应用不同的防护策略集；支持对象自定义，可定义来源地址组、目的URL组、时间段；
10.支持防护syn flood、tcp flood、udp flood、icmp flood等网络层拒绝服务攻击；
11.支持配置参数自学习，可以针对不同的用户网络环境，启动自学习功能，统计挖掘特定网络环境的协议比例、流量比例，进行网络适应性学习、分析，根据自学习的网络流量模型，进行DDoS检测和防御的阈值调整；
12.网站伪装，支持防护cc攻击等应用层拒绝服务攻击；支持代理方式工作模式，客户端不直接和服务器建立连接；支持服务器信息隐藏，客户端得不到服务器版本信息；支持特定页面返回信息隐藏，可返回自定义警告页面；支持网站管理后台隐藏，可定义允许访问网站后台的IP地址；
13.WEB应用扫描，扫描网站的应用层漏洞信息，自动生成网站漏洞分析报告；
15.敏感信息过滤，支持检测网站中的敏感信息，防止泄漏；支持敏感关键字自定义，支持敏感关键字组自定义；支持定时检测，可自定义检测周期；支持单个网站扫描和批量扫描两种方式；
16.服务器状态检测，定时检测服务器访问情况，发生访问异常及时报警；支持ping方式检查，支持访问特定URL方式检查；支持访问URL自定义；支持阀值设置，超过阀值即告警；
17.异常事件告警，支持WEB攻击、DDoS攻击、网页被篡改、网关设备异常、被保护服务器状态异常、漏洞扫描结果、敏感关键字过滤等情况下告警；告警条数多可设置归并条件，可设置告警发送间隔；支持邮件、短信发送告警信息；
18.Cache加速，支持缓存页面方式加快访问速度，减轻服务器访问压力；支持加速率记录和统计功能；
19.负载均衡，支持负载均衡功能，把访问分担到多台WEB服务器上；支持轮询，加权轮询，源地址散列三种负载均衡算法；
20.802.1Q协议支持，支持VLAN解码，在Trunk线路上部署并提供防护；路由配置，支持静态路由的配置；
21.流量分析日志，支持客户端浏览器与非浏览器（包括搜索引擎、蠕虫病毒等）访问流量统计；可记录带宽、访问量、访问响应时间等内容；可分被保护服务、时间段查询，查询结果可生成报表；
22.可根据访问者的源地址统计分析网站页面访问量、文件请求数及访问流量等业务数据；可根据搜索引擎的类型统计分析网站文件请求数及访问流量等业务数据；可根据访问客户端操作系统或浏览器的类型统计分析网站被访问次数等业务数据；
23.可根据访问客户端的地域统计分析网站文件请求数等业务数据，地域划分类型支持国家地区、中国省区及中国城市；
24.支持对网站服务器中死链的情况进行统计分析；
25.攻击分析日志，可记录各种WEB攻击、DDoS攻击等日志；可记录网页防篡改日志；可记录网页敏感关键字过滤日志；可分被保护服务、时间段查询，查询可生成报表；
26.支持B/S管理；提供标准SNMP trap和Syslog接口；支持管理角色分级；支持License控制；
27.系统监控，安全事件监控、访问情况监控及设备负载监控；显示接口状态、系统CPU、内存及硬盘使用率，系统当前时间及系统运行时间；支持7x24小时实时监控服务；
28.系统诊断，Ping工具；可查看实时ARP表、路由表和网卡信息等内容；
29.双机热备，支持主从部署模式；支持链路是否正常的监控；
30.硬件Bypass功能，支持开机及断电bypass模式，光口支持外置bypass模块；
31.直通模式，支持直通模式。当网站有突发流量产生，导致WAF系统性能瓶颈时，可以手动切换为直通模式。此时WAF系统将不再对经过的流量进行过滤，直接转发数据包；

1

9

Web防护系统（外网WEB防火墙）

1.接口要求：≥2U主机，≥4个10/100/1000BASE-T接口，1个扩展插槽；吞吐率：4G；并发200万；包含WEB攻击 模块、WEB漏洞扫描模块、DDOS攻击防护模块、网站应用交付模块、数据智能分析模块；
2.基于代理模式的防护引擎支持透明代理，反向代理工作模式；支持串行及旁路部署方式。支持多路部署。
3.HTTPS支持 ，能够对SSL（HTTPS）加密会话进行分析。支持导入SSL证书（包括PEM和PFX格式）；
4.WEB基础架构防护，OS命令注入、远程文件包含、目录遍历等WEB通用攻击防护；WEB应用攻击防护,
5.爬虫防护，能够审计或阻止谷歌、雅虎、百度等20种以上搜索引擎对网站的爬取行为；盗链防护，保护网站中的视频类、音频类及图片类等资源不被盗链。支持Cookie防护及Referer防护两种防盗链算法；
6.恶意扫描防护，能够通过对WEB的请求行为判断是否为恶意扫描。
7.可设置行为参数阀值，超过阀值后自动将攻击IP加为黑名单进行阻断。阻断时间可手动调节；
8.SQL注入、跨站脚本等常见WEB应用攻击防护；漏洞扫描器扫描防护，能够审计或阻止IBM AppScan及Acunetix Web Vulnerability Scanner漏洞扫描工具对网站的扫描行为；
HTTP请求限制，协议规范化。支持对HTTP请求长度、请求方法及请求文件类型等进行限制。支持Cookie安全机制；
9.支持自定义警告页面；支持自定义策略和策略集，不同被保护服务可以应用不同的防护策略集；支持对象自定义，可定义来源地址组、目的URL组、时间段；
10.支持防护syn flood、tcp flood、udp flood、icmp flood等网络层拒绝服务攻击；
11.支持配置参数自学习，可以针对不同的用户网络环境，启动自学习功能，统计挖掘特定网络环境的协议比例、流量比例，进行网络适应性学习、分析，根据自学习的网络流量模型，进行DDoS检测和防御的阈值调整；
12.网站伪装，支持防护cc攻击等应用层拒绝服务攻击；支持代理方式工作模式，客户端不直接和服务器建立连接；支持服务器信息隐藏，客户端得不到服务器版本信息；支持特定页面返回信息隐藏，可返回自定义警告页面；支持网站管理后台隐藏，可定义允许访问网站后台的IP地址；
13.WEB应用扫描，扫描网站的应用层漏洞信息，自动生成网站漏洞分析报告；
15.敏感信息过滤，支持检测网站中的敏感信息，防止泄漏；支持敏感关键字自定义，支持敏感关键字组自定义；支持定时检测，可自定义检测周期；支持单个网站扫描和批量扫描两种方式；
16.服务器状态检测，定时检测服务器访问情况，发生访问异常及时报警；支持ping方式检查，支持访问特定URL方式检查；支持访问URL自定义；支持阀值设置，超过阀值即告警；
17.异常事件告警，支持WEB攻击、DDoS攻击、网页被篡改、网关设备异常、被保护服务器状态异常、漏洞扫描结果、敏感关键字过滤等情况下告警；告警条数多可设置归并条件，可设置告警发送间隔；支持邮件、短信发送告警信息；
18.Cache加速，支持缓存页面方式加快访问速度，减轻服务器访问压力；支持加速率记录和统计功能；
19.负载均衡，支持负载均衡功能，把访问分担到多台WEB服务器上；支持轮询，加权轮询，源地址散列三种负载均衡算法；
20.802.1Q协议支持，支持VLAN解码，在Trunk线路上部署并提供防护；路由配置，支持静态路由的配置；
21.流量分析日志，支持客户端浏览器与非浏览器（包括搜索引擎、蠕虫病毒等）访问流量统计；可记录带宽、访问量、访问响应时间等内容；可分被保护服务、时间段查询，查询结果可生成报表；
22.可根据访问者的源地址统计分析网站页面访问量、文件请求数及访问流量等业务数据；可根据搜索引擎的类型统计分析网站文件请求数及访问流量等业务数据；可根据访问客户端操作系统或浏览器的类型统计分析网站被访问次数等业务数据；
23.可根据访问客户端的地域统计分析网站文件请求数等业务数据，地域划分类型支持国家地区、中国省区及中国城市；
24.支持对网站服务器中死链的情况进行统计分析；
25.攻击分析日志，可记录各种WEB攻击、DDoS攻击等日志；可记录网页防篡改日志；可记录网页敏感关键字过滤日志；可分被保护服务、时间段查询，查询可生成报表；
26.支持B/S管理；提供标准SNMP trap和Syslog接口；支持管理角色分级；支持License控制；
27.系统监控，安全事件监控、访问情况监控及设备负载监控；显示接口状态、系统CPU、内存及硬盘使用率，系统当前时间及系统运行时间；支持7x24小时实时监控服务；
28.系统诊断，Ping工具；可查看实时ARP表、路由表和网卡信息等内容；
29.双机热备，支持主从部署模式；支持链路是否正常的监控；
30.硬件Bypass功能，支持开机及断电bypass模式，光口支持外置bypass模块；
31.直通模式，支持直通模式。当网站有突发流量产生，导致WAF系统性能瓶颈时，可以手动切换为直通模式。此时WAF系统将不再对经过的流量进行过滤，直接转发数据包；

1

10

网页防篡改（外网）

1.系统：包括网页防篡改保护系统基础软件包1套，网站防篡改授权点数2个；需配置服务器应用系统，系统不包含服务器；
2.防篡改功:能支持各类网页文件的保护，包括静态和动态网页以及各类文件信息。支持对指定文件夹以及子文件夹的保护，避免上传非法文件及木马等恶意文件或插入恶意代码。在驱动遭到破坏文件被篡改的情况下，系统能基于事件触发机制及时恢复被篡改页面，恢复时间小于5MS。指对系统本身与发布系统协同工作的情况进行说明。系统配置完成后，系统后台运行，支持断线检测。系统支持在断线情况下对网页文件目录的防护功能。系统支持黑白名单设置功能，提供进程黑白名单设置。系统支持对服务进行监控功能。
3.同步功能:系统可以从本地或异地备份文件夹自动同步到监测目录内。系统支持手工文件同步功能。系统支持手工指定文件或文件夹从监测目录到指定目录的备份.系统支持增量备份功能。系统支持通过管理端受限用户进行文件上传下载功能。系统支持添加许可路径，排除保护内容。系统支持各种发布工具或发布方式。系统支持内容管理系统。系统支持网络异常的自动恢复。系统支持发布失败的自动重新发布。系统支持SSL安全协议进行通信和文件传输，保证通信过程安全性。系统支持多虚拟主机/目录的并发同步功能。系统支持跨操作系统平台的同步。系统支持文件变化自动同步到多个Web服务器。
4.系统管理:可支持对web服务器的远程维护管理功能，如远程接管、远程唤醒、远程关机、远程用户注销等(提供截图)。支持对各类网页文件分类。策略下发后，无需重启服务器，实时生效。系统支持高效的一对多集中管理模式。支持对服务器性能实时监控功能，包括：内存、CPU占用率等。支持对服务器实时信息监控，包括：实时进程，服务信息，系统日志。
5.用户管理:系统需支持用户权限分级,只有日志管理员才可查看管理员操作日志,可以设立多个基于文件目录的受控管理员。
6.自身安全性:指系统各个模块之间、进程之间的通讯、交互和自身配置均采用加密传输和保护。卸载时需要提供管理员口令才可执行。支持对系统关键配置信息进行加密保护。支持对备份目录文件的保护。支持系统安装文件保护功能。
7.可扩展模块:保护动态页面模块能够有效防止SQL注入攻击、跨站攻击、溢出代码攻击、对危险文件类型的访问、对危险系统路径的访问、特殊字符构成的URL利用、防止构造危险的Cookie等。
8.报警：支持声音提示报警，对非授权用户篡改网页提供实时声音报警。支持邮件提示报警，对非授权用户篡改网页提供实时邮件报警提示。系统支持报警提示框，对对非授权用户篡改网页提供实时报警框弹出提示。

1

11

服务器

规格：19英寸工业标准4U机架式服务器
芯片组：≥288M探听过滤器,支持向上扩展至8颗CPU 64core,显卡：集成16MB缓存显示控制器。
BIOS：采用先进的UEFI替代传统的BIOS，处理器类型：Intel E7-8837八核至强处理器，处理器主频：≥2.67GHz，处理器高速缓存：三级高速缓存≥24MB处理器配置数目：4个，内存:256GB内存;内存类型：支持PC3-10600 DDR3或DDR3L RDIMM。为了保证设备的可靠性和可用性，内存必须支持chipkill、ECC、memory sparing、memory mirroring。内存插槽支持数量：≥192个DIMM。
内存最大支持数目：最大可扩展至8路192个内存插槽(最大支持6TB内存）,4路时96个内存插槽(最大支持3TB内存）。内存保护技术：支持四位纠错(Chipkill)、内存镜像、内存冗余位校验，硬盘：3*600GB 10K SAS热插拔2.5＂硬盘，硬盘类型：热插拔SAS、NLSAS、NLSATA硬盘/支持SSD，硬盘扩展：最大可扩展至8块2.5英寸6Gbps带宽SAS热插拔硬盘，或者16块以上1.8英寸SSD固态闪存盘。硬盘性能：在使用SSD固态盘时提供200K以上IOPS。RAID：支持RAID0，1，5，RAID扩展：通过选件可支持raid5，6，I/O扩展槽：不少于7个I/O插槽, 7个PCI-E 2.0插槽x8, 1个可支持PCI-E 2.0 x16,其中2个支持热插拔,，网络：板载2个双口千兆网卡(RJ45)扩展设备：2块8GB单口光纤HBA卡，电源：2个热插拔冗余电源 ，配件：DVD-RW内置光驱，键鼠套装、配套机架安装导轨，热插拔组件：电源、风扇、硬盘。系统管理：集成系统管理处理器iMM支持：自动服务器重启、风扇监视和控制、电源监控、温度监控、启动/关闭、按序重启、LED控制、本地固件更新、错误日志，LED面板提供系统未来状况的可视显示；
系统维护：对CPU、内存、硬盘驱动器、电源及风扇等关键部分的潜在的故障具有提前预警能力，故障部件的快速诊断功能。 在断电的情况下，能够通过诊断板快速定位故障的部件，提高维修速度。通过软件及内置的IMM控制器实现弹性节点功能，在其中一个服务器节点出现硬件故障时，服务器可以从8路自动降级为4路服务器使用，无需现场人工手工设置即可自动执行。服务：免费原厂商5年7*24小时服务与质保，故障硬盘不返还；

2

12

24口千兆以太网交换机

整机容量≥256Gbps;转发性能≥96Mpps;千兆以太网电接口≥24，1G/10G以太网光口≥4个;MAC表≥16K;支持IPv4/v6静态路由、RIP、RIPng功能;支持路由条数≥512;支持跨设备的链路聚合;支持CAR功能，支持双向端口限速，支持双向流限速；支持sFlow功能，缓存不小于1.5M;支持堆叠，主机堆叠数不小于9台;支持本地堆叠和远程堆叠，堆叠距离≥10KM，支持纵向虚拟化功能；支持IP+MAC+PORT的绑定;支持DHCP Snooping，防止欺骗的DHCP服务器;支持ARP检测来抵御ARP欺骗攻击；支持IP Source Check支持IPv6安全特性；具有IPV6入网证书，包括IPv6环境下的IP＋MAC＋PORT绑定，NP detection，ND Snooping等支持CPU防护支持802.1x认证，支持集中式MAC地址认证；支持Portal认证;支持通过命令行、Web、中文图形化配置软件等方式进行配置和管理。

10

13

48口千兆交换机

整机交换容量≥580Gbps;整机包转发率≥215Mpps;配置千兆电接口数量≥48，1G/10G以太网光口≥4；40GE接口≥2，配置千兆单模模块≥4，千兆多模模块≥4;支持基于端口的VLAN，802.1q Vlan封装，最大Vlan数≥4096;支持GVRP、支持协议VLAN、支持策略VLAN、支持GVRP;支持并配置IPv4静态路由、RIP V1/V2、OSPF、BGP;具有IPV6入网证书，支持并配置IPv6静态路由、RIPng、OSPFv3、BGP4+；支持IPv4、IPv6组播协议;支持多台设备虚拟为逻辑上单台设备实现跨设备链路聚合、统一管理界面、统一转发表项，长距离虚拟化（70km，使用通用以太网口实现）;支持IGMP Snooping、支持组播VLAN；支持SNMPv1/v2/v3，WEB网管;支持基于第二层、第三层和第四层的ACL；支持基于端口和VLAN的ACL；支持IPv6 ACL；支持Portal认证,支持802.1x认证，支持集中式MAC地址认证；支持IP+MAC+PORT的绑定;支持DHCP Snooping，防止欺骗的DHCP服务器;支持网络中故障电缆的短路或断路点定位功能;支持单向链路检测,有效的防止网络中单通故障的发生;支持通过命令行、Web、中文图形化配置软件等方式进行配置和管理;提供厂家原厂5年质保服务。

5

14

24口电接口板

24端口十兆/百兆/千兆以太网电接口板(FA,RJ45)，扩容核心交换机以太网板卡，作为新机房核心交换。

4

15

25口电接口板

24端口百兆/千兆以太网光接口和2端口万兆以太网光接口板(EA,SFP/XFP)扩容核心交换机以太网板卡，作为新机房核心交换。

2

16

维护终端

1.手提电脑维护终端：英特尔酷睿i7-4600U处理器;2.6GHz;系统总线1600MHz;三级缓存4M;内建GPU:Intel核芯显卡;双核;8GB DDR3 1600内存;5400转/分钟硬盘1T;12英寸屏幕;分辨率1366 x 768;LED背光;音频端口:耳机、麦克风二合一接口:显示端口:VGA x 1/ HDMI x 1;1个RJ45;2个USB3.0;内置杜比音效扬声器\麦克；全尺寸键盘；多点触控触摸板；720P摄像头；指纹识别；6芯锂离子电池；续航时间2-5小时；Windows 7专业版操作系统；黑色;提供厂家原厂5年质保服务。
2.台式电脑维护终端：处理器：CPU系列英特尔（酷睿i7 4代系列）、CPU型号Intel酷睿i7 4770、CPU频率3.4GHz、总线DMI 5 GT/s、三级缓存8MB、核心代号Haswell、核心/线程数四核心/八线程、制程工艺22nm；存储设备：内存容量8GB、内存类型DDR3 1600MHz、硬盘容量1TB、光驱类型DVD-ROM、光驱描述支持DVD SuperMulti双层刻录；显卡/声卡：显卡类型独立显卡、显存容量1GB、DirectXDirectX 11、音频系统集成；显示器：20英寸、LED宽屏；网络通信：有线网卡1000Mbps以太网卡；机身规格：立式黑色机箱、前面板I/O接口2×USB2.0、1×耳机输出接口、1×麦克风输入接口、背板I/O接口4×USB2.0、2×USB3.0、1×DVI-D、1×HDMI、1×VGA、1×RJ45（网络接口）、3×S/PDIF输出、1×电源接口；其它参数：键鼠特性光电鼠标;提供厂家原厂5年质保服务。

2

17

机房环境保障

购买信息中心机房在用DME12和CM+30艾默生机房精密空调共4台提供24个月原厂免费维修保养、硬件故障维修及每季度更换原厂过滤网一次以上，每年更换加湿水罐、加湿电极和皮带等一次以上服务，确保精密空调为机房提供可靠环境保障。

1

18

安全服务

1、安装调试服务：

系统上线前:根据等级保护前期工作的标准与要求，协助用户进行系统识别描述、系统等级划分、安全等级确定、对终端及网络进行业务梳理，资产统计，完成整体安全实施方案的编写；系统上线检测后：在该项目建设完成前试运行期间对该项目系统进行一次上线前检测，发现系统漏洞提出解决方案，帮助解决安全问题；系统测试期间：按照等级保护的要求，协助用户对主机应用系统、服务器系统，数据库系统，进行常规的安全加固与测试；

2、专业安全服务：

提供安全评估服务，巡检范围为该项目系统，评估内容包括安全检查、漏洞扫描、系统测试（主要针对系统进行系统扫描、路径扫描、弱口令检查、业务测试等）、风险评估并对安全问题提出解决方案，帮助解决安全问题；第一年的专业安全服务不少于3人*30天，第二年及以后每年的专业安全服务不少于2人*5天，该服务时间不包括系统安装调试、故障处理及巡检的时间；

3、日常安全服务：

提供至少一名以上网络安全工程师三年驻场服务，服务范围为信息中心各位网络安全设备，要求该工程师可熟练配置、管理和维护信息中心各类网络安全设备；安全设备厂家提供7*24小时安全应急响应现场服务（要求具有CISP资质工程师，可3小时内到达）,为用户提供全面的故障排除技术服务和故障排除全过程监控(由故障开始直至故障完全排除)；日常安全预警，每周5*8小时；每年4次安全巡检服务；提供5*8小时安全专家顾问服务，提供网络故障分析、网络结构分析、风险评估、技术咨询、全面技术解决方案、疑难问题分析及解决

4、安全培训：维保期内，每年提供8小时以上注册信息安全讲师针对全局网络安全员或全局民警的网络安全专题培训；

1

序号

名称

技术参数

数量

1

导入前置机

使用安全加固的Linux操作系统；
稳定性运行时间(MTBF)：>50000小时；
可实现500Mbps的交换能力，8000个并发会话 ；
数据库到数据库交换最大并发数据表≥2000；
至少支持ORACLE、SQLSERVER、DB2、SYBASE、MYSQL等主流数据库的同步，可实现异构数据库同步，对数据库所在操作系统无任何要求；
数据影射最大字段数≥128；
对数据库同步中的大字段还原进行病毒查杀和内容过滤。
数据库到数据库交换记录数（>100Kb/记录）≥1500条/秒；
数据文件处理文件数（>100Kb/记录）≥200个/秒；
应用层数据交换速度（FTP）≥400 Mbps；
并发客户端数量≥4000；
最大数据文件≥10G；
任务调度粒度为秒级；目录监控触发时间<1秒；
支持对同步文件类型进行细粒度过滤；
内置杀毒软件进行病毒查杀；
最大传输延时<50ms；
支持SYSLOG、SNMP V2/V3
为保证兼容性建议与安全隔离网闸为同一品牌。

2台

2

导入服务器

使用安全加固的Linux操作系统；
稳定性运行时间(MTBF)：>50000小时；
可实现500Mbps的交换能力，8000个并发会话 ；
数据库到数据库交换最大并发数据表≥2000；
至少支持ORACLE、SQLSERVER、DB2、SYBASE、MYSQL等主流数据库的同步，可实现异构数据库同步，对数据库所在操作系统无任何要求；
数据影射最大字段数≥128；
数据库到数据库交换记录数（>100Kb/记录）≥1500条/秒；
数据文件处理文件数（>100Kb/记录）≥200个/秒；
应用层数据交换速度（FTP）≥400 Mbps；
并发客户端数量≥4000；
最大数据文件≥10G；
任务调度粒度为秒级；目录监控触发时间<1秒；
最大传输延时<50ms；
可根据不同类型连接进行内存大小分配；
内置双数据库用于日志的存储；
支持SYSLOG、SNMP V2/V3
为保证兼容性建议与单向隔离光闸为同一品牌。

2台

3

单向隔离光闸

≥6个10/100/1000BASE-TX接口；内外网主机系统分别具有1个console接口；数据传输速率≥800Mbps,并发连接数≥7万，延时<0.5ms
支持FTP、Samba、NFS、专用客户端等多种方式的文件传输
支持文件类型过滤
支持多文件并发传输
支持多级目录（128级）
支持中文文件名，长文件名（255字符）
支持LINUX、WINDOWS病毒查杀及病毒文件隔离功能
支持异构不同数据库之间的数据交换，支持Oracle、SQL Server、DB2和Sybase四种常用的数据库之间的互相交换。
数据库交换模式包含全表机制和触发器机制。
支持对交换的数据进行内容的过滤，根据用户的定义内容黑名单对数据库中的数据进行过滤
支持对数据库数据中的大字段进行格式检查。查看大字段中有没有木马和病毒的特征码的判断和大字段数据的数据具体的文件格式是否符合要求。
可依据用户设置的同步条件判断是否同步以及同步策略

2台

4

集控探针

用于平台内部设备状态获取以及设备管理
标准机架式机箱，1U设备
2个千兆网络接口，可扩展至最多4个
使用安全加固安全Linux操作系统
稳定性运行时间(MTBF)：>50000小时
支持SYSLOG、v2/SNMP v3、Telnet、ICMP协议

2套

5

证书颂发系统（软件）

提供证书签发和管理功能，包括证书的注册、签发、更新、注销、发布和证书实体查询等；
提供黑名单的签发和发布功能；
提供证书模板的新增、修改、删除和查询等功能；
提供证书发放情况的查询和统计功能；
提供对数据库、LDAP及日志的配置功能；
提供系统访问日志和操作日志的查询功能。

1套

6

集中监控与管理系统（软件）

最大支持业务数量：≥500；
最大监控并发用户数量：≥2000；
最大审计用户数量：≥10000；
可在内网实现对全网业务运行状态监控；
可在内网实现对全网设备运行状态监控；
可在内网实现对全网设备运行状态的管理；
须与省厅已建边界接入平台集中监控审计系统无缝对接，满足后期级联上报数据需求；

1套

7

应用安全与异常流量分析系统

标准机架式≥2U设备；
千兆网络探测接口≥3个，并可扩展≥2个SFP接口；
平均无故障时间：≥50000小时；
系统处理性能吞吐量≥1Gbps；
支持双机热备，提供冗余电源；
操作系统基于Linux内核并进行安全加固；
能够全面收集网络运行状态数据，经过收集、整理等步骤将网络信息汇总在统一的数据库中，并自动分类、自动识别主机信息、流量信息和会话信息，为网络和应用监控提供详细、准确、及时的基础数据；
可通过配置报警策略，对应用系统访问行为进行安全监测，包含针对“非法数据篡改、非法文件传输、私开服务端口、异常流量访问、违规代理软件”等行为的报警策略设置；
支持对SMB、NFS、HTTPS、TFTP、FTP、NETBIOS、DHCP、HTTP、TELNET、DNS、LDAP、POP3、SSH、SNMP、SMTP等应用层协议，TCP、UDP传输协议，IP、ICMP、ARP协议的识别；
支持SSE4指令集；
支持SMP对称多处理技术；
支持DPI深度包监测技术；
支持遗传算法、智能网络模型、聚类分析技术，提升数据挖掘效率；
支持对数据库操作命令监测和预警；
支持对一般涉密信息的监测和预警；
支持对攻击代码的监测和预警；
支持对WEB应用操作命令监测和预警；
支持对WEB应用关键字监测和预警；
支持连接数、网络流量波动监测和预警；
支持频率和持续时间监测和预警；
所有策略可自定义，按需配置；
提供关注服务应用的健康度实时监测；
支持自定义报表生成及提供详尽业务负载/应用层/传输层协议/连接情况分析；
可与第三方系统联动，如基础信息库、终端管理系统，实现对终端设备定位和阻断；
支持多级系统级联及数据上报；
支持分别针对应用主机与远端主机进行流量累计和流量阶跃的审计；
支持报警、追踪以及客户端取证功能；
符合公安PKI/PMI，支持公安CA证书登录；

1套

8

存储KEY

加密U盘KEY内置的安全芯片采用国家密码管理局认证的安全芯片，该芯片物理特性、机械特性和电器特性符合ISO/IEC 7816-1、2、3标准，
FLASH擦写寿命大于100，000次，室温下数据保存时间10年以上，存储温度范围25℃-85℃，正常工作温度范围0℃-70℃；
支持加密U盘KEY内硬件生成随机数；
支持1024位RSA钥匙对，支持符合PKC51#1标准的数字签名，验证数字签名及数据加/解密操作；
支持生成1024位RSA密钥对，加密U盘KEY内生成密钥对的统计时间约为3.2秒；

1个

9

防火墙

标准机架式设备，10/100/1000BASE-T端口≥6个，SFP光纤接口插槽≥2个，且每个端口均可连接独立的安全域；
吞吐率≥8G，最大并发连接数≥400万，IPSec VPN隧道数≥5000条；
支持双系统引导，可在WEB界面上配置启动顺序，要求除恢复系统之外，还可支持系统一键式切换及完整备份，支持虚拟系统技术；
内置ISP地址列表，智能选择新联通、电信、教育网等出口链路，支持多出口环境下的复杂策略路由，策略路由条数200条以上，提供真实环境界面系统截图证明；
支持对域名的IP解析，并可作为地址资源被安全规则引用，实现对域名地址的访问控制；
支持完善的会话管理功能，可按照源地址、目的地址、端口号或协议类型实时显示当前会话，提供实时查看会话界面截图证明；如存在地址转换，可按照转换前和转换后的IP对应显示
支持基于IP、协议、连接数的方式统计会话，统计结果可导出，提供统计会话界面系统截图证明，且和上一项截图不应重复
支持会话临时阻断功能

2台

10

入侵防护设备

采用多核硬件平台，内置SSD固态硬盘存储日志；
≥6个10/100/1000Base-T端口（其中eth2和eth3支持bypass），最大配置为12个接口，1个扩展槽；
整机吞吐率≥8G；IPS性能≥5G；最大并发≥400万；
支持直连、路由、VLAN、旁路监听、混合部署等多种接入模式
要求支持多端口链路聚合；
支持基于源/目的地址、接口的策略路由；
支持IPv6、IPv6 over IPv4、IPv6和IPv4混合网络，能够在该网络环境中检测出攻击事件；
攻击规则库单独分开，可支持手动、自动、以及离线升级；
支持病毒库，单独分开，可支持手动、自动、以及离线升级；
能够检测包括溢出攻击类、RPC攻击类、WEBCGI攻击类、拒绝服务类、木马类、蠕虫类、扫描类、网络访问类、HTTP攻击类、系统漏洞类等在内的超过3500种攻击事件；
支持DDOS机器人自学习功能，学习时间可设置；
支持检测包括land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、tear！、targa3、ipspoof、Synflood、Icmpflood、Udpflood、Portscan、ipsweep等在内的DOS/DDOS攻击；
同时支持文件型和网络型病毒查杀，支持100万条病毒规则；
支持设备温度监视以及报警，可以自定义温度阀值；
其中一台用于现有党政军链路的整改；

2台

11

三层网络交换机

标准的网络设备，提供网络通路，VLAN划分连接，物理编址，网络拓扑结构，帧序及流控等。
三层千兆以太网交换机，整机容量≥256Gbps，转发性能≥95Mpps；
千兆以太网电接口≥24个，≥4个10/100/1000Base-T千兆Combo口；4个原厂多模光模块；
MAC表≥16K；支持IPv4/v6静态路由、RIP、RIPng功能，支持路由条数≥512；支持跨设备的链路聚合，支持CAR功能，支持双向端口限速，支持双向流限速；支持sFlow功能，缓存不小于1.5M；
支持堆叠，主机堆叠数不小于9台，支持本地堆叠和远程堆叠，堆叠距离≥10KM，支持纵向虚拟化功能；
支持IP+MAC+PORT的绑定，支持DHCP Snooping，防止欺骗的DHCP服务器；支持ARP检测来抵御ARP欺骗攻击；支持IP Source Check支持IPv6安全特性；包括IPv6环境下的IP＋MAC＋PORT绑定，NP detection，ND Snooping等支持CPU防护支持802.1x认证，支持集中式MAC地址认证；支持Portal认证。

2台

12

UPS

更新机房现有20K UPS主机一套。
1、不接电池，可以模拟开机，提供开机调试；
2、采用先进的DSP数字化控制技术，产品性能更优异、品质更稳定可靠；
3、输出功因0.8，更适合负载的发展趋势；
4、整机效率高达90％，降低UPS的电力损耗，节约用户的使用成本；
5、小型化设计，采用先进的控制技术和制造工艺，大大提升产品的功率密度，减小产品占地面积；
6、智能电池管理：采用先进的智能化充电控制方式，根据电池类型和电池的使用状态来选择最优的充电方式，使电池的使用寿命得以延长，并定期自动对电池做充放电管理
7、自由选择电池电压,电池节数（192V，240V）。
8、宽广的输入电压范围，优异的输入频率范围使UPS能够适应发电机等不同供电设备，能适应恶劣的电网环境；
9、在线维修功能：可以在负载持续供电情况下安全进行在线维修（选配）；
10、强大的抗干扰能力，符合IEC61000-4对于抗电磁干扰的严格要求；
11、完善的故障保护和告警功能：提供输入、输出过压或欠压，电池过充或低压，过载，短路等完备的故障保护和明晰的报警、故障警示功能。
12、丰富的通讯和监控功能-提供RS232通讯接口，可用于本地或远程电源管理。提供智能插槽(Intelligent Slot)，用户可根据需要加载WebPower卡（SNMP卡）、CMC卡、AS400卡（干接点卡）来实现远程管理和监控功能；
额定输出容量:20KVA/16KW;输入方式:单相接地;额定电:380VAC;额定频率:50Hz;输入电压范围:120~275VAC±5;输入频率范围:（45~55）±0.5Hz;旁路电压:80VAC×(1±5%)～285VAC×(1±5%);电池组电压:标准192VDC（可根据用户定制为240V）;电池容量*数量:12VDC*16（可根据用户定制为20节）;充电电流:长效机充电电流2-4A;输出方式:单相接地;输出电压:220/230/240Vac±3%（逆变输出）;输出频率:46-54Hzz（交流输入正常时）50Hz±1%（交流输入异常时）;动态电压瞬变:<5%;动态瞬变恢复时间:< 60ms;波形:正弦波THD <3%（线性负载） 正弦波THD <8%（非线性负载）;输出功率因数:0.8;过载能力:105-125% 1分钟后转旁路;通讯与监控功能:RS232（可转485），干节点，智能插槽（可扩充SNMP，手机短信等多种监控方式）

1台

13

可信边界安全网关维保服务

本设备利旧，购买吉大正元JIT身份认证网关G3.0设备5年的原厂维保服务，所有服务标准要求与本项目中的设备一致。

1项