细目号

名称

主要技术规格

单位

数量

备注

413-1

防火墙

整机吞吐量≥20Gps，并发连接数≥400万，每秒新建连接数≥15万。
接口:配置≥8个千兆电口，≥16个非复用千兆光口，≥2个扩展槽，可扩展万兆
端口，1个RJ45串口，冗余电源。
全内置封闭式结构,采用MIPS多核架构(非x86多核架构)
支持源IP地址转换、目的IP地址转换、一对一IP地址转换、多对多地址转换;
支持FTP、GTP、H.323、IRC、MMS、PPTP、RPC、DNS、TFTP、SIP等预定义协议的
ALG功能,且支持自定义ALG协议;
支持端口块NAT，能够提供NAT 溯源特性;支持组播源 NAT、组播目的NAT功能;
支持NAT64、NAT66、DS-Lite等IPv6环境下的地址转换技术;
支持静态路由、RIP、OSPF、BGP、ISIS、MPLS、PBR等IPv4单播路由协议，支持IGMP、
PIM、MSDP等IPv4组播路由协议;
支持静态路由、RIPng、OSPFv3、PBR 等IPv6单播路由协议，支持MLD、PIM 等IPv6
组播路由协议;
支持STP、RSTP、MSTP等生成树协议，支持显示生成树状态:
支持对LAND攻击、死亡之Ping、IP分片重叠攻击、UDP Fraggle攻击、WinNuke
攻击、ICMP Smurf 攻击、Tear Drop攻击的防护;
支持IPv4、IPv6环境下的黑名单功能，支持黑名单配置自动下发和查询;支持对应用协议的最大并发连接数进行限制，以控制设备内存资源;
支持对整个安全域内的IP对象或整个用户组内的IP对象进行每IP会话数量的限
制、并发连接数的限制、新建连接数的限制;
支持在二层网络环境及三层网络环境下自动学习IP 与MAC的对应关系,也支持手工
方式配置IP与MAC、用户与IP、用户与MAC之间的对应关系，支持拦截日志查询;支持基于漏洞的入侵防御技术，支持孀虫、木马、恶意软件等应用层入侵防护;
支持IT防护对象的灵活选择，支持操作系统、办公软件、应用软件、数据库、WEB
应用、浏览器、右键服务器、网络爬虫等50种以上的IT资源分类;
支持应用协议类型的灵活选择,支持IP、IGMP、GCP、TCP、UDP. SSH、Telnet、Finger.
RPC、SunRPC、Mount、NFS、RSTP、PoP3、Ncube、login、NetBios等50种以上协议;
支持攻击类型的灵活选择，支持漏洞利用类、恶意代码类、信息搜集类、协议异常
类、网络监控类、拒绝服务类、Web攻击类等28种以上常见的攻击类型;
·支持能够基于IT保护对象、应用协议和攻击类型，分别对致命特征的策略工作、严
重特征的策略动作、一般特征的策略动作、告警特征的策略动作进行定义;
支持按攻击ID、名称、CVE编号、级别、攻击手段分类、攻击目标分类为维度进行
搜索查看;支持一键修改特征库级别:警告、一般、严重、致命;支持配置入侵防御还原点，该功能用于备份IPS规则、自定义IPS特征、接口IPS策略、全局
IPS策略、IPS 黑名单联动、IDS联动、协议防护策略、IPS协议端口、IP仿冒的
配置信息;

台

1

413-2

VPN

标准2U设备,4G内存，64GSSD 硬盘
吞吐量:4Gbps;SSL最大加密流量:68OMbps;SSL理论并发用户数:4800;IPSec最大加
密流量:355Mbps;理论并发会话数:*******
可支持虚拟门户功能，在一台设备上配置不同的访问域名、IP地址，以及控制计划
YJ，不同的使用界面，实现一台设备为多个不同用户群体服务的的使用效果
支持253台不同型号设备间进行集群（A/A），支持路由模式、单臂模式下多线路部
署的集群;支持集群设备间Session同步，一台设备宕机后其上用户无需重新登
录SSLVPN 可继续使用;可扩展分布式集群功能，无需专门的全局负载设备即可实
现异地SSLVPN设备间的接入用户负载分担、速度优选接入,异地设备间互为备份，
分布式集群中用户可通过唯一的一个地址访问到所有加入到分布式集群的SSLVPN设备
产品应支持的密码算法包括: AES、DES、3DES、DH、RSA、RC4、MD5、SHAl
支持基于自组域简化部署VPN网络的方法，即当有多台设备处于VPN网络中时，通
过连接任意节点的VPN 设备，即相当于连入整个VPN网络,该方法解决了传统VPN部署时，需要部署多台
产品必须支持防中间人攻击,产品可在用户登录SSLVPN时智能判断存在中间人攻击
行为，断开被攻击的连接，并可提示异常现象
支持启用多线路时，自动检测故障线路，并自动踢出故障线路;一旦线路恢复，可
在一定时间内自动恢复。支持启用多线路时，自定义用户访问选路策略，包括按
上/下行带宽，轮询，按优先级等方式
支持对终端已被种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到
的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为
访问控制规则支持数据模拟匹配，输入源目的IP、端口、协议五元组信息，模拟策
略匹配方式，给出最可能的匹配结果，方便排查故障，或环境部署前的调试;
设备应具备国家密码管理局颁发的商用密码产品型号证书。（必要)

台

1

413-3

负载均衡

·千兆电口≥6，千兆光口≥4，整机最大可扩展到8个万兆光口
≥1Gbps，最大可平滑扩展至8Gbps
四层处理能力≥200,000 cPs七层处理能力≥300,000 RPs最大并发连接数≥8,000,000支持主主/主备/集群部署模式
设备同时支持服务器负载均衡、链路负载均衡、全局负载均衡及应用加速、安全功
能，无需额外License费用
支持L4/L7负载均衡,支持HTTP的内容分类及HTTP报文的头操作
·≥20种，如轮询、最小连接、加权轮询、加权最小连接、最快响应时间、动态检测、
哈希、UDP强行负载、无状态哈希等
支持节点新建及并发会话数限制，支持节点的温暖启动和优雅关机
支持高级自定义脚本的可编程流量管理，管理界面提供基于某种编程语言（如TCL,
Python语言)自定义的流量控制方法,可通过自定义编程方式来实现的流量控制。支持负载均衡、DNS处理、NAT、路由转发、会话保持等功能的可编程控制，支持通过脚本对具体应用做深层的包检查和转换，进行细粒度的控制。
≥10种全局负载均衡算法支持，如基于地理位置、最快响应时间、站点权重、优先
级等
·≥10种 DNS记录支持，如A记录、NS记录、CNAME-记录、M记录、SRV记录等

台

1

413-4

IPS

具备自主研发的安全操作系统，无已知安全漏洞，且非 OEM 产品
千兆光口≥16个，千兆非复用电口≥8个，扩展插槽≥2个，可扩展万兆接口;
实配3年特征库、病毒库升级授权
吞吐量≥2Gbps，并发连接数≥300w，每秒新建连接数≥5w
内置IPS特征库，特征规则数量不少于5900条
可根据IT资源的类型定义保护规则，支持对操作系统、应用软件、数据库、WEB应
用、浏览器、邮件服务器等IT资源进行保护
支持对漏洞利用类、恶意代码类、信息搜集类、拒绝服务类、WEB类的攻击防护。
支持IPv4、IPv6环境下的攻击检测，支持基于多种协议类型的深度攻击防御。
支持根据报文特征进行自定义攻击防护类型，可以灵活的定义特征流的出入方向、
协议类型
支持IPv4、IPv6环境下对每个IP的新建速率设置阈值并进行监控，支持对SYN
Flood、UDP Flood、ICMP Flood等攻击设置防护策略
支持对会话生成确认时间和会话维持时间参数进行调整，以优化系统资源利用率，
避免设备本身被拒绝服务攻击
具备DDOS自定义指纹防护，可根据报文长度、TTL值、源目的端口和IP、序列号、
flag标记等指纹信息构成的正常流量模型进行防护
可以在IPv4/IPv6双栈、MPLS等复杂网络环境下良好的工作,可以识别并检测QinQ、
PPPoE、MPLS、GRE、V1an 等特殊封装的网络报文，具备面向下一代网络的各种特性
支持病毒库、特征库平滑升级，在设备运行时，升级病毒库、特征库不会导致网络
丢包
具备国家版权局颁发的《计算机软件著作权登记证书》

台

1

413-5

日志审计系统

独立完成审计日志采集，不依赖于设备或系统自身的日志系统。审计工作不影响被审计对象的性能、稳定性或日常管理流程
审计结果存储于独立存储空间
自身用户管理与设备或主机的管理、使用、权限无关联
提供全中文wEB管理界面，无需安装任意客户端软件或插件。2个工作管理口，1个console口。
内存:16GB，磁盘:2T*2 raid1.
双电源
可扩展项:内存可扩展至32GB
单个磁盘可扩展至4T(4个盘位)，支持HBA卡扩展。网口可扩展〔4电4光、8电、8光、2万兆光)
·支持审计200个日志源
平均处理能力（每秒日志解析能力EPS） : 900OEPS峰值处理能力（每秒日志解析能力EPS） : *****EPS
支持Syslog、SNMP Trap、OPSec、FTP协议日志收集支持使用代理（Agent）方式提取日志并收集
支持目前主流的网络安全设备、交换设备、路由设备、操作系统、应用系统等·支持常见的虚拟机环境日志收集，包括Xen、VMWare、Hyper-v等。
支持自定义条件的事件进行聚合
进行关联分析的规则可定制
可设置日志存储备份策略，包括系统日志保存期(天）、磁盘使用率百分比。支持日志备份自动传送到远程服务器
支持B/S模式管理，支持SSL加密模式访问。
支持按日期、时间、设备类型、日志类型、日志来源、威胁·值、源地址、目的地址、事件类型、时间范围、操作对象、技术方式、技术动作、技术效果、攻击类型、地理城市等参致进行过滤查询。
支持用任意关键字对所有事件进行高性能全文检索支持可指定多个查询条件进行组合查询
支持将查询的条件存储为查询模版，方便再次使用。
支持如下应用的性能监控（Windows、Linux、Aix、FeeBSD、HP-UX/Tru64、Max OS、
Sun Solaris)、数据库（mysql、oracle) 、应用服务器(weblogic、tomcat) 、web服务器（apache)
支持报表导出为PDF和 Word格式文件系统自带自身管理日志
支持集中式管理和升级模式。

台

1

413-6

数据库审计系统

产品采用专用工控机硬件架构，非普通PC服务器，MTBF（平均故障间隔时间》≥*****小时;
系统启动采用CF卡加硬盘方式，保证稳定可靠不可篡改。
处理器:Intel处理器;
内存:≥8GB DDR3 160OMhz:
电源模块:具备冗余热插拔双电源;
硬盘可用容量:2TB，1T*2，支持RAID1，最大支持扩展到4T*4硬盘;
支持千兆网络环境下的监听能力，标配至少4个千兆电口和4个千兆光口;审计性能:能够稳定、流畅地同时支持12数据库数审计能力，不会产生漏审;
峰值处理能力:≥*****条/秒;
审计日志检索能力:≥1500万条/秒;
旁路部署模式下无须在被审计数据库系统上安装任何代理即可实现审计支持分布式部署，管理中心可实现统一配置、统一报表生成、统一查询。
支持大数据平台部署，具有成熟的大数据hadoop平台处理
支持Oracle、SQL-Server、DB2、Informix.Sybase、MySQL六种主流数据库审计支持 PostgresQL、HANA、Teradata、Cache、人大金仓、达梦、南大通用数据库审计
支持 MongoDB、Hbase 非关系型数据库审计
支持主流业务协议HTTP、Telnet、FTP、SMTP、POP3、DCOM
支持对SQL server (2005及以上版本）数据库采用加密协议通讯支持对各种协议自动识别编码及在web 界面手工配置特定编码。
支持数据库操作类、表、视图、索引、存储过程等各种对象的所有SQL操作审计支持数据库请求和返回的双向审计，特别是返回字段和结果集、执行状态、返回行
数、执行时长等内容，
支持定期自动扫描数据库漏洞和不安全配置支持B/S业务系统三层关联审计
内置安全特征库不少于300条，如 SQL注入、缓冲区溢出、弱口令等。具有高效的查询性能,后台采用SPHINX全文检索引擎检索
查询条件易于使用，审计查询条件均为非正则表达式形式进行。
支持基于数据库访问日期、时间、源/目的IP、来源、数据库名、数据库表名、字
段值、数据库登陆账号、SQL关键词、数据库返回码、SQL 响应时间、数据库操作类型、影响行数等条件的审计查询。
内置多种报表模板库，内置的报表不少于30种

台

1

413-7

网络准入系统

支持管理终端数不小于300;
支持与多台访问控制器设备联动;并发认证数:*****/分钟
网络端口4GE，Console接口1个RJ45
1U设备，非windows 架构
支持DHCP 准入控制;
支持SNMP准入控制;
支持IPAM准入控制;
支持RDP准入控制;支持策略路由准入控制;
支持无客户端、无插件的网络准入，支持各种新旧交换机、HUB、无线AP设备;
非法设备接入时立刻进行强制隔离;
无需安装客户端和插件就能实现HUB环境下非法用户与合法用户强制隔离;
无需安装客户端和插件就能实现域单点登录，禁止未登录域用户入网。
含用户认证功能或模块，支持 RADIUS、LDAP、AD、SQL认证技术;
支持动态令牌认证,短信密码认证; .
全网IP地址统一管理，由中心下发，禁止私自设置IP地址;
按照用户/用户组/角色分配IP地址，可根据用户名、用户组或角色与IP进行绑定，认证后获得该绑定的IP，每次分配时并有相应的IP分配记录:
支持账户、硬件ID、IP、MAC、主机名、交换机端口多元绑定功能，对不满足绑定
条件的终端进行隔离和阻断;
实时监测所有在线IP，能够显示当前登陆用户名、主机名、终端名、IP地址等信息、
上线下线时间等信息;
支持IP地址状态统计视图，管理员可以在一个界面集中掌握IP资源的使用情况:
多主一备模式的 DHCP Failover 部署方式，备机中实时保存所有IP分配信息，当主
设备出现故障后，切换到备机设备后，备机中仍然存有已分配IP的相应信息;
通过IDMonitor软件与windows和liucx系统 DHCP联动，实现 DHCP热备份功能;
支持终端MAC厂商自动识别功能;
无需客户端支持端口主动探测;
支持非法用户和终端入网告警;
支持终端不合规范告警;
支持用户入网不符合绑定策略告警;
支持ARP病毒攻击等异常情况自动告警，当网络出现ARP攻击时，系统能够有相应
的告警日志记录;
以上威胁可以定位到人和交换机端口，并可自动隔离、禁止威胁入网;
旁路Trunk部署，不改变网络结构，不改变网络数据流向，不改动接入层交换机的
配置;
部署时不能断网,不影响用户当前的使用·多台设备支持分布式部署方式，数据集中管理;
强制认证阶段能够按内网、外网的VLAN分步启用准入策珞。

台

1

413-8

堡垒机

产品结构:采用先进的双子星硬件架构,要求产品为软硬件一体化的运维审计系统;系统架构:提供用户管理、认证管理、设备管理、授权管理、访问控制、单点登录、
审计管理、动态口令认证系统八大功能模块;
管理方式:B/S方式:
设备部署:提供旁路接入模式,设备部署不影响原有网络结构;
代理操作模式:系统应采用代理模式实现各个功能要求。运维操作人员应首先登录
堡垒机系统，再由堡垒机系统登录后台被管理设备。操作以会话为单位开始、进行和结束。
运维方式:支持统一C/S运维平台与B/S运维平台。系统无需在操作端、被管理设备端安装引擎
设备硬件应为一台标准2U设备，不需要额外配置其他辅助设备。
硬件配置:硬盘1*1T+1*500G，网卡4个以太网电口+2个以太网电口，内存
1*4G+1*4G,CPUl*双核+1*双核,电源1*电源+1*电源:
可管理设备数量:不少于300台;
字符并发数最大1000个、图形并发数最大300个
支持字符型主机操作系统自动改密;支持windows2000/2003/2008/2012的自动改密任何设备或服务器改密功能无需安装服务器引擎,改密机制灵活;改密后生效无需服
务器重启，以免业务中断。
口令代理功能，系统提供用户访问真实资源时的自动登录，从而简便运维操作。
支持AIX，HP-Unix，Solaris，SCO-Unix，Linux，Windows等主机服务器操作系统、
各类网络/安全设备、各类数据库Oracle、SQL Server、DB2、INFOMINX 和Sybase认证方式:内置动态口令与本地密码双因子认证系统
系统对于图形会话的操作审计可以完整记录普通用户的图形操作
支持图形会话中的键盘输入信息审计功能，能够完全记录图形会话操作过程中的键
盘输入信息，支持对记录信息进行检索。
支持微软远程桌面客户端各版本以及各版本RDP通道功能，包括但不限于RDP磁盘
镜像、剪贴板、串行口。
支持RDP控制台操作模式。
支持与第三方认证机制的整合，如: Radius、动态令牌卡、PKI、AD域等。
可以代填各种数据库维护工具(PLSQL/TOAD/SQLPLUS/OEMC/DBACCESS/DB2CMD/Quest
Central for DB2等）的登录账号和密码以实现数据库单点登录
可以控制数据库操作中的SQL脚本上传执行与操作结果的导出行为
可以针对同一台目标数据库的账号和服务进行授权
完全解析sqlplus、PL/SQL.Developer、Quest Toad等客户端工具的访问过程;

台

1

413-9

防病毒软件

建议采用网络防病毒软件，如瑞星、诺顿、360、CA Inoculan 等。50客户端。

套

1

413-10

桌面管理软件

要求本软件客户端集成防病毒功能并且与桌面管理软件无兼容性问题
本次设计客户端数量为300，最大客户端数量大于2000
要求充分考虑本单位的网络及应用情况，支持多级管理架构管理，可通过正式的控制台以及IE进行管理。总部可统一、集中管理所有客户端机器
要求支持客户端包括: Windows 98/ME/NT/2000/XP/2003/Vista/win7/win10全系列;IBM AIX;HP-UX:SUN Solaris; Apple Macintosh; Redhat Linux; SUSE Linux:
良好与AD环境集成功能，可实现域环境及工作组环境混合管理，并能导入LDAP数
据库
支持补丁的种类多样，微软全系列，其他常用的应用程序
终端管理项目功能应包括IT资产管理、软件分发、远程控制、系统部署、软件授权
监控、补丁管理等功能并使用同一控制台进行管理，功能切换在同一主界面上完
成
客户端卸载必须授权后才能进行
支持众多业界的标准或者工业接口如: WMI、DMI、SMBIOS、ASF、AMT、PXE、IPMI，
以获取最详细的资产信息
支持结合可管理的资产信息（如所属LDAP组、IP地址段、部门、机器名、内存大
小等资产信息）定义多种组合条件的图形化的查询方式、以提供最快、最方便的查询功能
要求各种报表可以输出提供不少于5种格式如:PDF、Exce1、Word、Html、RTF等。
被分发的应用程序能够按需出现在用户的桌面上。按照既定策略自动或手动许可安
装，同时支持多种软件分发格式，并能快速地自动安装应用软件，完成应用软件系统参数（如安装应用软件的目录设置和命名等）的自动配置，并实时显示分发
进度。
实现基于策略的软件分发、安装和配置。提供自主定又软件安装力法，用广F足人
安装文件内容、界面、注册表键值、执行条件和安装过程中可执行的命令等，自
动集成软件安装包，格式如MSI 等，任务分发不受客户端用户权限限制
可以手动或自动按照策略设置执行分发软件包下载、分发、部署、状态监控等一系
列管理工作
能够限制使用影响企业工作的非合法软件,同时对于存在源文件名称的程序包能够
实现改名无法突破程序禁用
支持基于PXE的裸机的映像分发安装、不需光驱、软驱启动，实现企业内部操作系
统及应用环境的批量升级及完整迁移;支持远程操作系统映像获取及部署
支持第三方的补丁确认（测试、冲突检测、依赖性分析、安装信息），同时支持自
定义漏洞库补丁分发的功能,以实现对业务软件升级的功能
对最新的微软的严重性安全公告在微软没发布补丁之前，提供智能性的主动预防方
法
·支持与主流防病毒软件联动，实现对检查客户端是否已安装防病毒客户端、其特征
库是否是最新的版本等，并且可通过桌面管理系统强行进行升级
支持软件黑、白名单功能。能进行高级的程序白名单管理,只能允许主机运性特定的
程序,白名单由管理员统一配置管理
客户端部署支持多种方式，包括推及拉等方式，以达到快捷、灵活、方便、高效率
地部署
当软件分发等网络功能传递的数据量大时,很可能造成数据传输的阻塞，因此桌面安全管理系统应有数据压缩、带宽管理功能,减少带宽占用、实现带宽优化

套

1

413-11

网络设备管理软件

可管理节点数量大于200
全中文界面,纯B/S架构，非B/S和C/S混合模式，采用J2EE技术体系，支持在
Windows (32位或64位)下部署
考虑到今后的扩容以及和其余运营分中心运维系统的对接，要求产品能够实现采用
一套软件实现分布式部署，可以通过部署分布式数据采集器的方式实现所有运维数据由中心进行统一的存储和管理
采用全景拓扑技术:CMDB关系树、业务视图、网络视图、应用视图、虚拟化视图和
存储视图通过一张视图展现，完整展现用户统一的IT架构。任意IT资源的任意指标都可以放到全景拓扑中进行展现，通过一张视图，完整展示整体IT架构的运
行态势
在全景拓扑图中，支持设备IT资源的监控指标在设备图标的自定义位置展示;指标
可以单选或多选进行展示。
全景拓扑中的链路可以设定折线展示;用鼠标可以对折线进行拖拽、拉伸，折线和
直线可以实现一键式转换。
通过多种算法自动发现网络拓扑图，支持多核心发现;可通过拓扑直观展现设备性
能状态、可用性状态以及配置变更项和问题事件等;支持设备一览、链路一览以及各类性能参数的TOPN排序。提供IP地址管理和规划功能。SNMP支持 V1、V2、
V3版本。支持基于资源模型的监控模式，对于不支持的网络设备用户可以自定义监控模型的方式来实现对新设备的支持。
拓扑布局支持force-directed layout algorithm自动排布算法，可自动识别用户
的网络结构和层次，实现拓扑自动排布。
支持对Windows、Sun Solaris、IBM AIX、HP-UX、SCO UnixWare、IBM AS400各类
Linux操作系统的监控;提供可视化监控，同时支持Agent方式和Agentless方式，支持对主机进程监视，可设置关键应用进程，支持系统集群进行监测，监测
集群的各个节点状态和告警。支持对主机的变更管理
支持对市面上主流网络厂商设备的监控:
支持对各类J2EE应用服务器的监控;支持对中间件WebSphere MQ，Tuxedo、CICS、
TongLink 的监测。支持对主流数据库的监控;支持对主流邮件系统的监控;支持对IIS，Apache等应用的监控;支持通用日志监控，实现对任一应用或业务系统本身异常监控
支持通过SMI-S协议实现对各厂商主流型号存储设备的监控。并能够自动发现并生
成存储架构图，通过全景拓扑图形化展现各类存储设备实时状态、Fibre channel链路状态、各类KPI指标以及存储架构和其他IT基础架构的关联的关系。
基于IPMI 协议，支持对服务器硬件的监控，监控指标不少于30项
指标扩展至少提供 SNMP OID、脚本监控和SQL语句等三种方式。用户根据自己的需
要，通过可视化界面自定义的指标。可以与其他监控指标在同一页面上显示。巡检报表:可设定固定时间点，获取特定IT资源运行的瞬时性能指标形成报表，形
成的报表可以发送到指定邮箱。
综合报表:通过一张报表，可综合展现网络设备、主机、应用等性能信息，并以日、周、月方式统计展现。

套

1

413-12

边界网关设备

标准1U设备，2G内存，64GSSD 硬盘
单台配置≥4个千兆电口，单电源
吞吐量:700Mbps ; SSL最大加密流量:220Mbps ;SSL理论并发用户数:1000;IPSec最大
加密流量:120Mbps;理论并发会话数:******
产品应支持的密码算法包括:AES、DES、3DES、DH、RSA、RC4、MD5、SHA1
可支持虚拟门户功能,在一台设备上配置不同的访问域名、IP地址，以及控制计划
YJ，不同的使用界面，实现一台设备为多个不同用户群体服务的的使用效果
产品应提供环境检测、自动修复工具，支持对Windows的环境兼容性一键检测能力，
以及对检测结果进行一键修复的能力
支持启用多线路时，自动检测故障线路，并自动踢出故障线路;一旦线路恢复，可
在一定时间内自动恢复。
支持HTP快速传输协议，大幅优化无线环境(CDMA、GPRS、WIFI、3G)、高丢包、
高延等恶劣网络环境下传输速度及效率;支持根据网络境自动选择并切换至最优的传输协议
产品应具备基于状态监测技术的防火墙功能，能够抵抗常见的网络攻击，能够进行
包过滤或WAN、LAN、DMZ口之间访问控制;
支持改写WindowsRDP协议，经改写的协议必须独立于OS运行环境，避免跨平台兼
容性，针对图像数据，服务端必须支持有损压缩算法;服务端必须能够支持过滤动态内容（gif/flash/video）以减少传输流量，且根据需要配置
登录客户端兼容全平台(windows、mac、linux主流系统），并保持各平台易用性、
用户使用习惯的一致性
单台VPN设备可扩展同时支持5套以上CA根证书
设备应具备国家密码管理局颁发的商用密码产品型号证书。(必要)

台

6

413-13

态势感知数据分析平台

CPU≥8核,千兆光口≥2，千兆电口≥2，内存≥64G，冗余电源，单电源功率≥550W,
硬盘≥8T:单台≥2Gbps流量处理性能
具备大数据架构，采用Hbase、Kafka、Storm、Spark、ElasticSearch大数据功能
组件，平台可监控各组件运行状况;
具备网络安全分析功能，支持单一资产原始流量分析，支持在访问关系维度查看不
同访问方式、不同访问方向的流量统计列表以及访间关系图;
具备资产监控及分析功能，通过流量被动识别、主动探测、手动录入等不少于三种
方式生成现网资产列表
具备高危漏洞的专项检测能力，并针对高危漏洞平台自动化进行验证、判断;
具备溯源取证功能，基于国际先进的攻击链模型和时间轴进行溯源分析;
具备安全态势呈现功能，基于攻击者IP、受害者IP、攻击源端口、攻击目的端口、
攻击类型、攻击名称等属性作为过滤条件进行网络攻击自定义监控;
具备独立的威胁情报检索功能:
具备安全运营功能，支持与省级态势感知平台进行联动，实现所有功能接口的对接，
将相关安全信息上传至省级态势感知平台，并接收省级态势感知平台下发的指令。3年硬件质保
3年平台软件升级

套

1

413-14

态势感知全流量检测探针

CPU≥8核，千兆光口≥2,千兆电口≥2，内存≥64G，冗余电源，单电源功率≥550W,
硬盘≥1T;单台≥1Gbps流量采集能力;
具备标准模式、增强模式、深度模式、专家模式等不少于四种流量分析策略;
具备全流量检测引擎,可实现IP碎片重组、TCP流重组、应用层协议识别与解析，
能够对网络通信行为进行识别;
具备检测命令注入、目录遍历、口令暴力破解、信息泄露探测、Webshell上传、代
码注入等Web 漏洞攻击能力;
具备目录遍历、跨栈脚本攻击、文件上传、命令注入、SQL注入、配置文件错误等
主机漏洞攻击的正反向检测能力;
具备应用程序漏洞攻击、数据库漏洞攻击、DNS 漏洞攻击、文件漏洞攻击、FTP漏洞攻击等系统及应用层攻击检测的能力;
3年硬件质保。

套

1

413-15

态势感知脆弱性检测探针

双电源，CPU≥4核，内存≥16GB，存储≥1T，USB接口≥2个，千兆电口≥8个，接
口扩展槽≥1个，支持扩展4千兆电口和4千兆光口;
地址扫描授权数不少于256个:
具备丰富资产指纹库及自主研发的识别引擎，可基于A段、B段创建下发资产盘点
任务对目标资产进行多维度信息探测;
具具备高危漏洞的专项检测能力，适用于服务器、业务系统等设备极多的网络环境
下快速安全检测;
具备漏洞自动化验证功能，自动化验证功能不需要任何人进行参与，平台自动对漏
洞进行验证、判断，最后生成包含漏洞验证成果（漏洞截图）的检测报告;
具备边界完整性检查功能,可检测出目标设备连接智能手机热点,通过智能手机 USB
共享网络等违规双网卡共享外联行为，可检测出私接WI-FI、BYOD 设备;
3年硬件质保。

套

1

505-23

安全网关

终端管理:(1)用户管理，安全网关服务端支持用户身份鉴别与身份认证，支持基于USB KEY的双因子认证技术;(2）终端管理，对于安全伴侣（终端）支持通过证书认证方式，仅通过认证的设备方可加入服务端管理及信息发布控制;
证书管理:系统支持本地CA认证，支持兼容第三方CA认证;(1)证书请求;(2）证书导入:(3）证书生成;（4)证书更新与下载;(5）支持本地CA和第三方CA;
◆策略管理:设置本系统采用的加密算法、配置该算法对应的加密策略（源-目的)(1）加密策略配置、管理、策略查询;(2）国际算法及国密算法配置
告警管理:提供设备自身硬件状态时时检测、展示与更新;提供对终端状态的时间检测及告警;提供对网络链路状态的检测;(1）告警信息显示;(2)告警信息查询;(3）配置告警策略
系统管理:服务端系统运行的基础配置模块，软件升级模块及相关调试排查工具。包括网络配置、联动管理、时间管理、配置管理、程序升级、调试工具。
管理工具:(1）安全接入网关中抓取指定条件的网络数据包，用于进行网络分析，抓包后的文件需下载至管理终端本地;(2)通过安全接入网关向其它网络设备发送PING网络数据包，可通过该数据包的返回结果判定当前网络连接状态。
部署支持:支持透明、路由工作模式;支持ESP传输模式和隧道模式;产品尺寸:标准机架设备，可上架;
产品配置:CPU采用Intel I3处理器:内存 DDR3-16G;存储容量SATA 16G;电源类型ATX单电源220v;
◆算法支持:可变情报板安全传输系统符合《GM/T 0022-2014 IPSec VPN技术规范》的相关要求，支持RSA-AES-SHA1、SM2-SM4-SM3等密码算法套件，能平滑接入已完成建设的交通信息发布系统，实现可变情报板的安全防护升级和加固;
◆硬件接口:RJ-45千兆网口x 4，USB,管理网口，RS232接口、电源口等;
部署及集成功能:安全接入网关部署在机房内部，处于网络边界位置，主要用于对终端安全伴侣的身份认证、传输数据加密及认证、断线告警、状态展示等功能。同时支持与情报板信息发布系统进行告警联动。
环境温度
(1）工作温度-10℃~-+60℃;(2)存储温度-20℃~+70C:
(3）相对湿度:5%~95%相对湿度，无冷凝。

套

1

合计

21