| 序号 | 物资名称 | 性能参数 | 单位 | 数量 | 品牌 | 型号 | 含税单价(元) | 合计(元) | 税率% | 备注 |
| 一 | 路段分中心 |
| 1 | 防火墙 | 1、网络吞吐率不低于10Gbps,不低于4个千兆光口及光模块,4个千兆电口,配备防病毒模块。
2、支持二层透明、路由、混合等接入方式,适应各种网络环境需求。
3、支持基于策略的双向NAT、动态/静态NAT、端口PAT,支持汇聚接口,支持WEB界面设置静态路由及OSPF、RIP、BGP动态路由协议。
4、能够在一条策略里配置源/目的IP地址、安全区、应用/应用组、协议/端口、时间、用户、安全模板/模板组。
5、支持木马病毒、蠕虫病毒、宏病毒、脚本病毒等各种病毒的查杀,支持HTTP、FTP、POP3、SMTP等协议的病毒查杀。支持查杀邮件正文/附件、网页及下载文件中包含的病毒。
6、支持应用过滤器,且能够将通过应用过滤器筛选出来的应用直接生成模板供用户统一管理使用。
7、支持流控功能,可对应用流量实行带宽限制、带宽保证等策略。
8、支持事件关联分析,能够对防火墙的日志进行关联分析,在事件关联分析中,可以设置自定义应用、目的IP、源IP,即使不在TOP排名里面,同样可以进行统计及数据挖掘。
9、支持IPv6 安全控制策略设置,能针对IPV6 的目的/源地址、目的/源服务端口、服务等条件进行安全访问规则的设置。
10、提供3年原厂质保及病毒库升级服务。 | 台 | 4 | | | | | | |
| 2 | 入侵防御系统 | 1、整机吞吐率不低于10Gbps,不低于4个千兆光口及光模块,4个千兆电口。
2、入侵防御事件库事件数量不少于4000条。
3、支持入侵防御事件库在线自动升级和手工导入,入侵事件特征库升级频率不少于一周一次。
4、系统应支持弱口令检测功能,需支持至少8种网络协议并支持至少7种弱口令检测元素。
5、提供SQL注入攻击、XSS攻击的检测和防御,对Web服务系统提供保护。
6、系统内置恶意样本快速检测功能,无需搭配硬件检测模块,能对流经的http、ftp、邮件协议中包含的office文档、图片文档及压缩文档进行恶意代码快速检测,对可疑文件进行报警,报警信息应包括源目的IP、协议类型、文件基本信息、危险等级及文件的应用的详细信息(如邮件的发件人、收件人、标题等),方便对恶意文件进行追踪。
7、系统应支持单独的恶意样本检测规则升级功能,方便对恶意样本检测功能进行扩充。
8、集中管理中心报表支持客户个性化设置,集中管理中心需提供多种报表格式,满足客户对不同格式的需求,需包括html、doc、xls、CSV和pdf。
9、提供3年原厂质保及入侵防御特征库升级服务。 | 台 | 2 | | | | | | |
| 3 | 堡垒机 | 1、不低于2个管理口,4个千兆电口,4个光口; 管理设备数量不低于100个,运维用户数无限制。
2、设备采用旁路部署,不得影响业务环境。
3、堡垒机须内嵌动态令牌和usbkey认证引擎,可同时使用动态令牌和USBkey;基于不同的用户设置不同的双因子认证模式,如user1用USBkey、user2用手机APP动态口令、user3用动态令牌认证。
4、支持DB2、oracle、mysql、sqlserver主流数据库协议代理运维,可直接调用本地windows系统的数据库客户端工具,支持自动登录、无需应用发布前置机。支持自动收集设备IP、运维协议、端口号、账号、密码、与用户的权限关系,甚至可自动完成授权。
5、需提供用户、资产、授权的增删改查等API接口,允许第三方平台调用堡垒机的API接口,实现用户、资产、权限自动同步到堡垒机,简化堡垒机配置工作量。
6、支持通过堡垒机页面直接调用本地Windows系统里的plsql、sqlplus、sqlwb、ssms、mysql.exe等数据库客户端工具。
7、支持对运维操作会话的在线监控、实时阻断、日志回放、起止时间、来源用户、来源IP、目标设备、协议/应用类型、命令记录、操作内容(如对文件的上传、下载、删除、修改等操作等)的详细行为日志。
8、支持审计主流数据库(如DB2、oracle、mysql、sql server)运维中的SQL语句,可进行关键信息定位查询。
9、支持保存SSH的sz/rz命令(zmodem)传输的原始文件。
10、提供3年原厂质保服务。 | 台 | 1 | | | | | | |
| 4 | 日志审计 | 1、标准机架式设备,至少配备6个100/1000M自适应电口,1个console口,磁盘2T*1,双电源。
2、支持不少于100个资产源的审计,每秒日志解析能力、4000EPS;峰值日志解析能力、5000EPS。
3、支持代理(agent)、Syslog、SNMP Trap、OPSec、FTP协议日志收集,支持目前主流的网络安全设备、交换设备、路由设备、操作系统、应用系统等;支持如Xen、VMWare、Hyper-V等常见虚拟环境下的日志收集。
4、系统具备基于设备异常、系统登录、系统攻击、可用性、系统弱点等模型下安全评估。可以根基评估的结果显示总体评分和历史评分。可根据评分结果查看具体的加分和扣分点。
5、系统支持自动关联分析,关联分析规则是根据资产漏洞、资产价值、安全事件三个角度进行分析,关联分析规则和算法都是根据CVE等权威机构为基础。
6、设备支持按时间范围、设备类型、日志类型、日志来源、威胁值、源地址、目的地址、事件类型、技术效果、操作对象、技术方式、技术动作、日期、时间、攻击类型、地理城市等条件查询日志,可以根据多个条件组合进行查询,设备支持根据任意关键字在亿级的日志量里快速的返回查询结果。
7、支持Windows、Linux、Aix、FeeBSD、HP-UX/Tru64、Max OS、Sun Solaris等操作系统、mysql、oracle等数据库、weblogic、tomcat等应用和web服务器的性能监控。
8、系统内置1000余中合规性报表,支持用户自定义报表;支持的安全解决方案包有SOX、ISO*****、WEB安全等;内置网络安全等级保护合规性报表。
9、可自定义日志存储备份的策略。可以根据保存时间、磁盘使用率等条件设置日志的保存策略。
10、提供3年原厂质保服务。 | 台 | 1 | | | | | | |
| 5 | 入侵检测设备 | 1、标准机架式设备,不低于6个100M/1000M电口,吞吐量不低于5GB,采用旁路部署模式。
2、支持根据添加探测器情况,自定义探测器名称等信息,并可显示不同探测器的IP。
3、支持全流量审计,包含数据链路层至应用层等数据流量,并详细记录所有的审计数据包、基于丰富的特征库和识别库对全流量行为审计与深度匹配。
4、支持解析应用层协议并进行深层解析还原,包含但不仅限于、ICMP、DNS、IRC、TFTP、TCP/UDP、HTTP、FTP、SMTP、POP3。
5、支持对传输层和网络层流量进行流量统计。
6、支持对关键字、数据来源等的自定义,通过深度匹配流量中的敏感信息,并对敏感信息快速定位,实现对敏感信息访问行为的有效监测。
7、支持采用特征库比对、威胁情报库、机器学习、流量基线等安全技术。
8、支持APT静态检测,通过特征匹配或检测算法对被检测文件的文件内容进行检测,其中文件类型识别基于文件特征而非扩展名,更改文件扩展名后仍可有效识别,文件类型包含 doc,pps,ppt,pub,xla,xls,docm,docx 等。
9、支持流量异常行为检测,如僵木蠕、后门间谍软件、漏洞、跨站攻击、sql注入,dos攻击等。
10、支持详细展现发现的威胁内容,包含时间、攻击源IP、攻击目的IP、协议、规则、风险相关等参照信息。
11、提供3年原厂质保及入侵检测特征库服务。 | 台 | 1 | | | | | | |
| 6 | ETC门架安全可信接入系统 | 1、不低于6个10/100/1000M BASE-T端口,支持2路BYPASS,4个SFP插槽,具备2个扩展槽位,具备万兆板卡扩展能力,实配交流冗余电源。
2、整机吞吐率≥40Gbps,国密加密吞吐率≥1G,最大并发连接数≥400万,每秒新建连接数≥ 26万,可接入ETC门架管控设备数≥500个。
3、支持扩展硬件可信计算卡,提供可信计算环境。
4、支持与甲方指定的CA系统对接,为每台设备支持导入交通行业专用商密证书;支持与ETC门架安全接入防护系统建立商密加密链路。
5、支持基于商密的ETC业务流量加密传输,并支持与ETC门架安全接入防护设备互联互通。
6、加密算法支持国家商用密码算法SM1-SM4。
7、提供3年原厂质保服务。 | 台 | 2 | | | | | | |
| 7 | 漏洞扫描设备 | 1、不低于6个千兆电口和2个千兆光口,并发50IP,并发不低于10个扫描任务。
2、提供高级漏洞模板过滤器,支持将符合筛选条件的漏洞自动加入到自定义漏洞模板中,及后续插件升级包中的漏洞也可以自动加入到模板中。
3、内置不同的漏洞模板针对Unix、Windows操作系统、网络设备和防火墙等模板,同时支持用户自定义扫描范围和扫描策略。
4、支持扫描国产操作系统、应用及软件的安全漏洞,如红旗、麒麟、起点操作系统。
5、支持针对大数据组件框架的漏洞检测。
6、支持扫描主流虚拟机管理系统的安全漏洞。
7、支持Oracle、MySQL、MS SQL、DB2、Sybase数据库漏洞检查。
8、支持智能端口挖掘,可以智能发现非默认端口启动的服务。
9、具备单独口令猜测扫描任务,支持多种口令猜测方式,包括利用SMB、TELNET、FTP、SSH、POP3、TOMCAT、SQL SERVER、MYSQL、ORACLE、SYBASE、DB2、SNMP等协议进行口令猜测,允许外挂用户提供的用户名字典、密码字典和用户名密码组合字典。
10、提供通过资产树对资产进行分级管理,支持设备权重设置和可信设备登记,支持将资产信息批量导入到资产树,可在资产树上直接指定主机开展扫描任务。
11、可以通过多种维度搜索定位资产和查看资产风险,包括并不限于、节点或设备名称、资产IP范围、资产管理员、资产操作系统类型、资产风险等级、漏洞名称、开放的端口、资产banner信息等。
12、支持通过仪表盘直观展示资产风险值、主机风险等级分布、资产风险趋势、资产风险分布趋势等内容,并可查看详情。
13、支持高级数据分析,可对同一IP的两次扫描结果进行风险对比分析,并可在线查看同一IP的多次历史扫描结果。
14、支持多用户分级权限管理,可为每个用户角色分配账号、任务级的权限分配、允许登录的IP范围和允许扫描的IP范围等。
15、提供3年原厂质保及漏洞库升级服务。 | 台 | 1 | | | | | | |
| 8 | 网络准入设备 | 1、接口不少于6个千兆电口,2个千兆光口,支持最大用户数500。
2、支持有线网络准入、无线网络准入、VPN网络接入、分支机构网络准入;支持PC准入控制、手机准入控制、办公设备准入控制。
3、能够自动收集终端设备,包括、终端、手机、平板、交换机,并根据设备类型自动分类。
4、支持当前主流智能终端设备的安全准入控制,能够提供移动终端入网的设备注册、认证、授权功能。
5、支持短信、证书、动态密码卡、CA KEY、USB KEY等双因素认证,支持AD、LDAP、SQL、Web系统联动认证。
6、支持对网络中的哑终端进行主动探测识别,学习哑终端地址及指纹信息,通过主动探测与被动监听方式相结合,精准识别哑终端设备,包括打卡机、打印机、扫描仪、门禁、摄像头、车管终端等,并自动进行分类。
7、 操作系统级可识别、Windows XP、Window 7、Windows 8、Windows10、Windows Sever 2003、Windows Server 2008、Windows Server 2012以及Kylin、Ubuntu、RedHat、FreeBSD、CentOS等及部分特殊系统。
8、识别哑终端指纹信息包括但不限于数据流量、流向、协议、IP、MAC、厂商、系统、类型等。
9、实时监测哑终端指纹信息的变化,当哑终端指纹信息变化时,可及时对其进行告警或阻断,支持针对网络流量的识别功能,发现资产及连接关系、通信协议、应用层访问指令等,并可以根据学习信息辅助生成安全访问控制规则,自动判断网络中哑终端的异常行为及偏离程度,并对风险进行告警或阻断。
10、提供3年原厂质保服务。 | 台 | 1 | | | | | | |
| 9 | 终端管控系统 | 1、具备自动检测和识别存在多网卡的终端功能,自动选择网卡,禁用其他网卡,并可以对 VPN、PPPoE 等虚拟网卡例外。
2、具备探测方式进行非法外联监控,并可以检测到外联时提示用户、断网和告警。
3、操作系统开机即时进行非法外联检测,防止终端利用系统未启动进行外联传输数据。
4、具备软件红名单,要求终端至少安装一个红名单策略里的软件。
5、具备软件黑名单,禁止终端安装黑名单策略里面的任何软件,针对已安装的终端可进行“提示“、”仅记录“以及“拦截与卸载”三种动作。
6、具备软件白名单,要求终端安装的软件必须是在白名单策略设置的范围之内,对于非白名单软件可进行“提示”、“仅记录”“拦截与卸载”三种动作。
7、具备对终端接入的移动存储设备提供认证、授权和审计,确保终端使用认证通过的移动储存设备,对数据进行授权共享,彻底杜绝通过移动存储设备的数据非法外泄。
8、具备对移动存储认证模式至少要具备专用目录加密和全盘加密二种认证模式,以适应不同使用需求的用户和部门;具备移动存储设备分散认证,集中授权。
9、具备对指定目录文件的读、写、新建、复制、删除、改名、移动等操作进行审计,对用户访问网络文件进行审计,对终端的共享目录被访问时进行审计,对指定进程操作进行审计,对终端 FTP 传输行为进行审计,对终端用户的打印行为进行审计,对终端应用程序的使用情况进行审计,审计的应用程序使用情况包括应用程序的名称、运行时间、停止时间和连续运行时间信息等,方便对终端应用程序的使用进行维护和管理。
10、提供3年原厂质保服务。本次配置 100 个客户端授权。 | 套 | 1 | | | | | | |
| 10 | 备份一体机 | 1、备份一体机包含高性能备份磁盘存储、备份软件、备份服务器和集群管理软件。备份磁盘存储和备份软件为同一品牌,非OEM。单台备份磁盘存储配置2个互为冗余的控制器,全冗余无单点故障,配置热插拔SAS盘;单台备份磁盘存储容量27TB。配置27TB的存储虚拟化功能。
2、单台备份一体机存储需配置不少于2个八核INTEL E5以上CPU,不少于64GB内存。 至少配备4个千兆网口,2个万兆口,2个8GB光纤口。备份性能:单台备份设备备份性能≥50TB/h。
3、支持主流Windows、Linux、Unix下的各操作系统裸机备份功能;支持多平台下的主流数据库和应用在线备份,包括:Oracle、SQL Server、MySQL、Exchange、SharePoint、ERP等应用;支持主流虚拟化产品VMWare、Hyper-V的无代理备份。备份服务器必须支持linux操作系统。
4、支持多平台下的主流数据库和应用在线备份,包括:Oracle、SQL Server、MySQL、Exchange、Hana、Sybase等应用; 无需恢复数据到生产存储中,可直接在备份存储上利用备份数据快速启动数据库用于测试或应急,保留的不同时间点的数据副本至少大于14份。
5、备份软件可以对docker容器的持久数据进行备份,软件通过docker认证,需要提供docker 官方对该软件的备份认证报告。
6、集中监控。可以对用户的环境进行无代理数据采集,包括(应用,备份、主机/虚拟机,网络、存储等);关联后的数据可以针对业务数据跟踪到完整的端到端 IT 关系。分析存储、备份、cloud、虚拟机、应用、文件系统的使用情况以及风险。其中备份平台分析兼容各种市面主流的备份容灾产品,包括NetBackup, Backup Exec, Cohesity, Data Domain, FlexClone, Data Protector, Avamar, NetWorker, Simpana, Rubrik, SnapMirror/SnapVault, TSM, Veeam等。从而了解备份风险,敏捷化企业备份分析报告、监控,告警等。提供官网对以上所有类型和产品的兼容性列表截图和官网网址链接。
7、提供3年原厂质保服务。 | 套 | 1 | | | | | | |
| 11 | 防病毒软件控制中心 | 1、企业版服务器网络威胁防御软件,支持针对服务器操作系统进行威胁扫描,提供主动防御系统防护等功能;系统默认支持WindowsServer/LinuxServer,含3年升级许可。
2、提供软件安装硬件服务器及操作系统。
2、产品至少支持WindowsXP、Windows 7、Windows 8、Windows 10等32位/64位终端操作系统,支持Windows2003、Windows2008、Windows2012等32位/64位及linux服务器操作系统。
3、客户端安装支持本地安装,WEB安装,域推送安装方式。
4、支持对终端内部文件进行全盘扫描、快速扫描,自定义扫描三种扫描能力。并具备空闲查杀、断点查杀、后台查杀等功能。
5、支持基于行为的检测和防护技术,支持对已知病毒、未知病毒的查杀能力,包括但不限于、木马病毒、变形病毒、勒索病毒、加壳病毒、宏病毒、注册表病毒、内存或服务类病毒等。
6、支持基于虚拟沙盒的高效的本地反病毒引擎, 实现极高的本地查杀能力,支持病毒自动隔离备份功能,客户端能自动将病毒文件隔离到本地隔离区,同时支持恢复隔离文件。
7、支持对压缩文件内的恶意文件扫描,包括但不限于对Arj、bzip2、Lzh、Tar、Zip、Rar等压缩文件格式类型查杀防护,支持扫描和清除各种广告软件、恶意插件、隐蔽软件、黑客工具、风险程序等。
8、支持客户端主动升级及平台即时/定时推送升级;支持全网/以分组、标签为单位/指定某些客户端定制不同版本升级包,实现差异管理、灰度升级;平台支持客户端升级包上传及配置http(s)/ftp 远端同步方式,更新客户端升级包 ,可以根据不同网络环境提供在线获取和隔离网获取相应工具。
9、控制中心支持全网/以分组、标签为单位/指定某些客户端定制策略,支持指定客户端策略锁定;定制策略包括病毒防御(文件实时监控、恶意行为监控、U盘保护、下载保护、邮件监控)、系统防御(系统加固、软件安装拦截、浏览器保护)、网络防御(黑客入侵拦截、对外攻击检测、恶意网站拦截、IP协议控制、IP黑名单)等。
10、支持对客户端上报的安全日志进行审计、告警,可预置字段及自定义字段过滤详细日志,快速定位终端安全状况;定制符合企业敏感程度的告警规则,达到告警阈值,产生告警日志并定制推送,保证告警及时性。
11、支持报表内容、周期、推送、输出格式定制,内容设定模板任意组合包含终端/部门/责任人危险排行统计、防御类型分布统计、病毒类型分布统计、病毒排行统计、病毒趋势统计等统计情景及威胁Top10、Top20、Top30排行;周期设定任意组合日、周、月周期,定时生成报表;推送设定任意接收报表人员;输出格式设定Excel、Word、HTML、PDF等通用格式输出。
12、提供3年原厂质保及病毒库服务。 | 套 | 1 | | | | | | |
| 12 | VPN网关+智能路由服务 | 1、提供无线备用链路服务。 | 套 | 1 | | | | | | |
| 二 | 收费站 |
| 1 | 防火墙(配备防病毒模块) | 1、网络吞吐率不低于10Gbps,不低于4个千兆光口及光模块,6个千兆电口。
2、支持二层透明、路由、混合等接入方式,适应各种网络环境需求。
3、支持基于策略的双向NAT、动态/静态NAT、端口PAT,支持汇聚接口,支持WEB界面设置静态路由及OSPF、RIP、BGP动态路由协议。
4、能够在一条策略里配置源/目的IP地址、安全区、应用/应用组、协议/端口、时间、用户、安全模板/模板组。
5、支持木马病毒、蠕虫病毒、宏病毒、脚本病毒等各种病毒的查杀,支持HTTP、FTP、POP3、SMTP等协议的病毒查杀。支持查杀邮件正文/附件、网页及下载文件中包含的病毒。
6、支持应用过滤器,且能够将通过应用过滤器筛选出来的应用直接生成模板供用户统一管理使用。
7、支持流控功能,可对应用流量实行带宽限制、带宽保证等策略。
8、支持事件关联分析,能够对防火墙的日志进行关联分析,在事件关联分析中,可以设置自定义应用、目的IP、源IP,即使不在TOP里面,同样可以进行统计及数据挖掘。
9、支持IPv6 安全控制策略设置,能针对IPV6 的目的/源地址、目的/源服务端口、服务等条件进行安全访问规则的设置。
10、提供3年原厂质保及病毒库升级服务。 | 台 | 6 | | | | | | |
| 2 | ETC安全防护接入系统 | 1、不低于6个10/100/1000M BASE-T端口,不低于4个SFP光口(含模块),支持2路BYPASS。
2、整机吞吐率≥1Gbps,支持交通运输行业证书接入认证,加密吞吐≧100M。
3、支持扩展硬件可信计算卡,提供可信计算环境。
4、支持与甲方指定的CA系统对接,为每台设备支持导入交通行业专用商密证书;支持与ETC门架安全接入防护系统建立商密加密链路。
5、支持基于商密的ETC业务流量加密传输,并支持与ETC门架安全接入防护设备互联互通。
6、加密算法支持国家商用密码算法SM1-SM4。
7、提供3年原厂质保服务。 | 台 | 4 | | | | | | |
| 3 | 防病毒软件终端授权 | 1、配合防病毒软件控制中心使用,终端授权许可,提供3年的技术支持、软件升级服务。 | 点 | 34 | | | | | | |
| 4 | VPN网关+智能路由服务 | 1、提供无线备用链路服务。 | 套 | 2 | | | | | | |
| 总计(元) | |
