项目名称

福建省地质医院（福建省华侨医院）网络安全等级保护（三级）建设项目

进口/国产

国产

预算

295.6万元

采购数量

1套

采购方式

公开招标

评审办法

综合评标法

本项目技术要求

1 下一代防火墙

1.1 标准1U机架式设备，网络接口：≥6个千兆电口、≥4个千兆光口，三层吞吐量≥8 Gbps，应用层吞吐量≥2 Gbps，并发连接数≥210万，新建连接数≥10万，单电源；

1.2 支持高级威胁事件分析，并展示热点事件详情，如持续性攻击、黑链大面积病毒感染等，并将高危事件推送到运维管理员手机微信端进行预警；

1.3 支持从多维度聚合分析主机的中毒情况，并根据主机的夜间外联次数，恶意访问IP分布，云鉴情报等多个维度；

1.4 支持安全运营中心功能，可以对全网所有的服务器和主机的威胁进行全面评估，管理员通过一键便可完成对服务器和主机的资产更新识别、脆弱性评估、策略动作的合理化监测、当前服务器和用户的保护状态、当前的服务器和主机的风险状态及需要管理员待办的紧急事项等，可以自动化直观的展示最终的风险；

1.5 支持用户账号全生命周期保护功能，包括用户账号多余入口检测、用户账号弱口令检测、用户账号暴力破解检测、失陷账号检测，防止因账号被暴力破解导致的非法提权情况发生；

1.6 支持蜜罐功能，能够定位内网感染僵尸网络病毒的真实主机IP地址，支持分析和统计每个攻击阶段的攻击内容和攻击次数；

1.7 支持ftp协议命令控制功能，至少包含delete、rmdir、mkdir、rename、mget、dir、mput、get、put等，保护对外服务不被恶意篡改；

1.8 具备勒索软件通信防护功能，能够对勒索病毒通信域名进行记录并限制访问；

1.9 具备网端云协同联动功能，能够联动本次项目中的终端安全管理系统进行主机终端风险分析与处置，并将下一代防火墙产品识别到的恶意网络行为，在终端进程级定位与之相关的进程文件特征，并借助云端威胁情报协助判定，针对同类型的威胁进行智能免疫，并通过微信预警机制基于移动端将风险一键处置闭环，快速简单有效的进行响应。

2 入侵防御系统

2.1 标准1U机架式设备，网络接口≥6个千兆电口、≥4个千兆光口，网络层吞吐量≥6 Gbps，IPS吞吐量≥650 Mps，并发连接数（TCP）≥180万，新建连接数≥6万，单电源；

2.2 支持连接会话展示，可针对具体的IP地址进行会话详情查询，支持封锁异常会话信息，并支持设置监听具体IP的会话记录；

2.3 支持对终端已被种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为；

2.4 支持细致的服务器敏感数据识别，识别维度包含服务器IP、业务重要性、识别方式、开放的服务与端口、敏感数据页面数以及更新时间等，并且可以进行详细的页面URL以及页面信息举证；

2.5 具备口令暴力破解防护功能，支持对常见应用服务（HTTP、FTP、SSH、SMTP、IMAP、POP3、 RDP、Rlogin、SMB、Telnet、Weblogic、VNC）和数据库软件（MySQL、Oracle、MSSQL）的口令暴力破解防护；

2.6 具备恶意链接防护功能，能够有效识别网页盗链/黑链的行为（包括钓鱼及恶意网站、漏洞利用、挖矿页面、恶意跳转、跨站脚本攻击和病毒文件），避免网页资源被滥用，支持实时阻断和告警。

3 上网行为管理系统

3.1 标准1U机架设备，网络接口：≥4个千兆电口，≥2个千兆光口，硬盘≥128G minisata SSD，网络吞吐量≥2.4Gb，应用层吞吐量≥225Mb，最大并发连接数≥200万，每秒新建连接数≥1200，支持用户规模≥600人，配置单电源；

3.2 为了满足国家相关法律法规对行为审计的相关要求，行为管理需要对外部访客上网行为进行审计，同时保障访客的用户体验，支持二维码认证，管理员扫描访客的二维码后对其网络访问授权；

3.3 支持关键字过滤功能，可以预置几组关键字，当审计日志中出现这些关键字时，将定期以邮件的方式发送报告给指定邮箱；支持查询基于服务器名称、终端类型、应用类型等维度的服务器外联日志查询，包括请求内容、返回内容；

3.4 支持针对上网权限策略进行检测分析，查看各个应用是否匹配相关策略；

3.5 支持针对用户认证的故障进行分析，给出错误详情以及处置建议；

3.6 对网络接入的终端进行可视化管理，展示终端详细信息、合规状态等，支持查看终端类型，以及终端详细信息（厂商，系统，端口等）；

3.7 为了简化运维工作的工作量，快速定位内部用户访问网络速度缓慢原因，需支持对内网用户的访问质量进行检测，对整体网络提供清晰的整体网络质量评级；支持以列表形式展示访问质量差的用户名单，支持对单用户进行定向访问质量检测；

3.8 识别并过滤SSL加密的钓鱼网站、非法网站等，支持将违规https访问重定向到告警页面；

3.9 支持通过抑制P2P的下行丢包，来减缓P2P的下行流量，从而解决网络出口在做流控后仍然压力较大的问题；

3.10 支持在设置流量策略后，根据整体线路或者某流量通道内的空闲情况，自动启用和停止使用流量控制策略，以提升带宽的高使用率；空闲值可自定义；

3.11 具备泄密追溯分析及实时监控功能，能够通过关键字查询有过相关外发记录的人员，并通过相似度匹配给出风险人员排行；支持分析显示已接入用户人数、终端类型、带宽质量分析、应用流量排名、资产类型分布、新设备发现趋势、泄密风险、共享接入、违规访问等信息。

4 终端安全管理

4.1 客户端系统支持Windows XP/WIN7/WIN8/WIN10，PC客户端授权≥300个，含五年升级许可；

4.2 支持对指定终端/终端组进行终端基线合规性检查；针对Windows系统提供如下安全基线合规检查：身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范；支持windows系统永恒之蓝漏洞（MS17-010）的检测；针对Linux系统提供如下安全基线合规检查：身份鉴别、访问控制、安全审计、SSH策略检测、入侵防范、恶意代码防范；

4.3 支持单个攻击源和分布式攻击源的暴力破解检测；支持开启暴力破解实时检测，自动封堵攻击源的IP地址，封停时间支持配置；

4.4 具备全网风险展示功能，包括但不限于未处理的勒索病毒数量、暴力破解数量、WebShell后门数量、高危漏洞及其各自影响的终端数量；

4.5 具备终端安全可视功能，支持展示全球热点风险事件在网内终端的爆发情况；

4.6 提供勒索病毒整体防护体系入口，直观展示最近七天勒索病毒防护效果，包括已处置的勒索病毒数量、已阻止的勒索病毒行为次数、已阻止的未知进程操作次数、已阻止的暴力破解攻击次数；

4.7 支持对系统账号信息进行梳理，了解账号权限分布概况以及风险账号分布情况，可按照隐藏账号、弱密码账号、可疑root权限账号、长期未使用账号、夜间登录、多IP登录进行账号分类查看，支持统计最近一年未修改密码的账户；

4.8 支持客户端的错峰升级或自定义升级，可根据实际情况控制客户端同时升级的数量，避免大量终端程序同时更新造成网络拥堵或I/O风暴；

4.9 支持禁止黑客工具自启动，包含：冰刃、xuetr、ProcessHacker、PCHunter、火绒剑、Mimikatz，防止黑客使用相关工具进行攻击；

4.10 具备无特征检测技术，支持基于人工智能检测引擎进行多维度检测。

5 服务器安全加固

5.1 支持同时管理PC和服务器终端，并适配多种类型操作系统，可联动其他安全产品对高级威胁、勒索病毒等进行检测和处置。服务器授权≥60个，含五年软件升级服务；

5.2 支持基于勒索病毒攻击过程，建立多维度立体防护机制，提供事前入侵防御-事中反加密-事后检测响应的完整防护体系，展示勒索病毒处置情况，对勒索病毒及变种实现专门有效防御；

5.3 支持管理员在本次项目中的下一代防火墙管理界面下发一键隔离指令，对终端恶意文件进行隔离，防止病毒进一步扩散；

5.4 支持对系统账号信息进行梳理，了解账号权限分布概况以及风险账号分布情况，可按照隐藏账号、弱密码账号、可疑root权限账号、长期未使用账号、夜间登录、多IP登录进行账号分类查看，支持统计最近一年未修改密码的账户；

5.5 支持对勒索入侵的主流方式RDP暴破做全方位保护，包括但不限于RDP登录校验、RDP文件加白二次校验等功能；

5.6 支持管理员在本次项目中的上网行为管理平台界面下发推送指令，对指定网段的终端重定向推送客户端软件，支持自定义重定向的地址；

5.7 具备终端安全可视功能，支持按不同时间维度展示病毒查杀事件相关信息，如不同时间维度展示病毒查杀事件爆发趋势和病毒TOP5，并展示对应事件数量和对应终端数量；

5.8 支持windows服务器RDP远程登录保护，可开启RDP远程登录二次认证，以防护黑客对服务器的入侵；

5.9 支持通过智能识别终端环境情况（低配硬件、老旧设备、虚拟化等）和当前服务器资源占用，在实时监控和病毒扫描时，可智能调整服务器安全加固的资源占用（CPU、IO等），为业务让出资源；

5.10 支持控制台动态显示当前未处理的勒索病毒数量、暴力破解数量及其各自影响的终端数量。

6 日志审计系统

6.1 标准2U机架式硬件，可用物理磁盘空间≥4TB，主机审计许可证书≥50个，网络接口：≥6个千兆电口、≥2个万兆光口，单电源；

6.2 支持挖掘不同类型、来源于不同设备或系统的日志或安全事件之间可能存在的关联关系，需支持GUI方式的关联规则设置功能，关联的类型包括基于规则和基于统计的

6.3 支持对每个日志源设置过滤条件规则，自动过滤无用日志，满足根据实际业务需求减少采集对象发送到核心服务器的安全事件数，减少对网络带宽和数据库存储空间的占用；

6.4 支持TLS加密方式进行日志传输，支持日志传输状态、最近同步时间进行监控，可统计每个日志源的今日传输量和传输总量；

6.5 支持通过正则、分隔符、json、xml的可视方式进行自定义规则解析，支持对解析结果字段的新增、合并、映射；

6.6 支持DNS、DGA、解码错误、解码失败、解码超时的网络会话分类展现；

6.7 软件功能需满足安全稳定性要求，包括软件容错性、安全保密性、运行稳定性。

7 堡垒机

7.1 软硬一体化1U机架式设备，网络接口：≥6个千兆电口，≥2个千兆光口，可扩展资产数≥150个，包含50个授权点数，内存≥8G，硬盘≥4TB，单电源；

7.2 支持定期变更目标设备真实口令，支持自定义口令变更周期和口令强度。口令变更方式至少支持手动指定固定口令、通过密码表生成口令、依照设备挂载的口令策略生成随机口令、依照密码策略生成同一口令等方式；

7.3 能够对访问进行审批，支持自定义多级审批流程，可设置一级或多级审批人，每级审批流程可以指定通过投票数，访问关键设备需相关审批人逐级审批通过才允许访问；

7.4 支持对常见设备运维操作进行记录（至少包括windows主机、linux/unix主机、网络设备等），审计信息至少包括以下内容：账户、起止时间、登陆IP、设备IP、设备名称、设备类型、访问账号、访问协议等信息；

7.5 支持NTP系统时间同步配置，保证审计日志拥有可靠的时间戳，支持告警对外转发，转发方式支持syslog、SNMP等方式；

7.6 支持行为审计功能，可生成审计记录以供查阅。

8 数据库审计系统

8.1 标准1U机架式设备，网络接口：≥6个千兆电口、≥2个万兆光口 SFP+，内置≥4TB SATA硬盘，SQL处理能力≥3万条SQL语句／S，日志检索性能≥50万条，单电源；

8.2 支持旁路镜像模式部署，支持多点联合部署，支持集中管理；可集中管理多台审计设备审计事件的存储、分析，实现统一采集数据、统一配置、统一报表、统一查询，支持旁路主动发rest包阻断技术，可灵活针对IP、端口、业务系统做精准阻断；

8.3 支持数据库审计SQL模版，支持自动基线学习数据库语义语法，并支持提取参数自动生成SQL模板，可以减少审计日志的重复写入和节省磁盘的存储空间；

8.4 支持白名单审计功能，系统使用审计白名单将非关注的内容进行过滤，不进行记录，降低了存储空间和无用信息的堆砌。白名单策略包括SQL模版、URL地址、数据库条件三大类，包含源IP、业务系统、生效时间、SQL模版、URL地址、客户端程序、数据库用户、数据库名、表名、操作类型等细分策略；

8.5 为保障数据库安全，内置SQL安全规则，包括：导出方式窃取、备份方式窃取、导出可执行程序、备份方式写入恶意代码、系统命令执行、读注册表、写注册表、暴露系统信息、高权存储过程、执行本地代码、查询内置敏感表、篡改内置敏感表等；

8.6 支持TB级日志秒级查询，支持指定源IP、时间日期、客户端程序、业务系统、数据库用户、操作类型等精细日志查询，支持操作类型精细化日志查询、支持风险级别排行统计查询、支持数据库条件的统计查询、支持统计趋势查询分析、支持风险级别查询分析、支持通过多SQL语句的统计查询、支持统计分析下钻、支持业务系统元素统计查询等；

8.7 具备多对象捕获功能，支持多对象捕获功能，支持针对DML类型SQL语句执行者的多个对象进行捕获。

9 Web应用防火墙

9.1 标准1U尺寸，网络层吞吐量≥6Gbps，应用层吞吐量≥430Mbps，HTTP并发连接数≥300万，HTTP新建连接数≥6万，网络接口≥6千兆电口、≥2千兆光口，单电源；

9.2 支持业务模型学习监督功能，通过智能分析引擎对业务流量进行分析学习，建立业务特征模型，解决因WEB应用中因代码不规范和安全检测功能冲突导致的业务误判问题；

9.3 支持对重要业务系统的非WEB登录方式提供二次认证机制，包括SSH、RDP、Telnet、NNTP、PPTP、Rlogin等登录方式；

9.4 支持与本次项目中新一代态势感知产品实现联动，支持以标准syslog形式上传到态势感知平台，供态势感知系统进行深度关联分析并对恶意威胁实现联动封锁；

9.5 支持实时漏洞分析功能，对经过的流量进行非主动扫描的方式检测被保护对象存在的漏洞，具备独立的实时漏洞分析识别库，实时漏洞分析维度至少包含黑链检测、Webshell、漏洞风险、配置风险、弱口令账号；

9.6 支持列出目标服务器发现的漏洞类型以及漏洞风险排行；支持生成和导出服务器安全风险分析报告，报告内容包含对整体发现的漏洞情况进行分析；

9.7 支持对常见Web应用攻击防御，攻击类型至少支持跨站脚本（XSS）攻击、SQL注入、文件包含攻击、信息泄露攻击、WEBSHELL、网站扫描、网页木马等类型；

9.8 具备国家/地域的流量管理功能，支持基于地域维度设置流控策略，实现多区域流量批量快速管控功能；

9.9 具备勒索软件通信防护功能，能够对勒索病毒通信域名进行记录并限制访问；

9.10 支持Cookie攻击防护功能，能够还原被非法篡改的Cookie并进行日志记录。

10 安全隔离与信息交换系统

10.1 标准2U机架式硬件，采用2+1系统架构即内网单元+外网单元+FPGA专用隔离硬件。不能采用网线等形式直通。外网接口≥6千兆电口，内网接口≥6千兆电口，网络吞吐量≥8Gbps，并发连接数≥5万，冗余电源。只能通过内端机上的管理口对安全隔离与信息交换系统进行配置，外端机上禁止配置管理，不可编程控制；

10.2 支持透明、代理及路由三种工作模式，可依据实际网络状况进行相应的部署。

10.3 支持文件交换容错和告警功能，交换出错能够自动重传，出现异常能够告警提示并记录日志；

10.4 系统支持多任务的组播代理功能，可穿透三层交换机网络进行部署，支持PIM协议。

10.5 支持TCP应用层数据单向传输的控制，保证TCP应用数据的0反馈，以满足二次防护对数据传输的安全性需求。

10.6 支持TCP/IP以上的应用层协议，支持自定义的TCP、UDP协议的数据隔离交换，可根据定制命令、参数等协议解析方式来解析自定义应用的通信内容。例如：HTTP、SMB、POP3等。

11 安全准入系统

11.1 标准1U机架设备，网络接口：≥6个千兆电口、≥2个万兆光口，硬盘≥64G+960G SSD，网络吞吐量≥5.8Gb，最大并发连接数≥50万，每秒新建连接数≥1万，支持用户规模≥2000人，配置单电源。含≥2000个准入授权；

11.2 支持自动发现网络里面的终端，并获取IP、Mac、厂商、操作系统、开放服务、开放端口等信息，设备必须支持PC、移动设备、哑终端、专用设备的发现和型号识别；至少支持Windows、Linux、MAC、瘦客户机等PC；至少支持服务器、交换机、无线控制器等7类网络设备；

11.3 对网络接入的终端进行可视化管理，展示终端详细信息、异常状态等，支持查看终端类型，以及终端详细信息（厂商，系统，端口等），支持查看终端类型分布；

11.4 支持阻断终端使用外设，防止从内网拷贝信息，必须支持便携设备（手机、相机）、存储设备、网络设备、蓝牙设备、摄像头、打印机的使用管控；

11.5 支持检查终端是否使用非法网关（可设置合法网关白名单），对不满足检查要求的终端强制断网，支持向管理员告警，并弹窗提示；

11.6 无需安装客户端，支持通过流量状况检查8款及以上主流杀毒软件的运行情况，对不满足检查要求的终端可重定向页面修复；

11.7 支持windows终端调用管理员指定脚本/程序以满足个性化检查要求，比如检测系统更新是否开启、开放端口、已安装程序列表、终端发通知等对不满足检查要求的终端可弹窗提示、禁止上网；

11.8 支持终端账号绑定手机号码和微信号，绑定后可以通过手机验证码和微信扫码实现上网快捷登录认证；

11.9 支持对终端上U盘和移动硬盘接入设置可读写、拒绝、可读、告警；

12 双因素认证系统

12.1 产品为硬件平台，标准2U机架设备，网络接口：≥6个千兆电口，≥2个千兆光口，系统盘≥240GB SATA SSD，内存≥96GB，冗余电源，支持旁挂方式（非镜像模式，网络可达即可），部署不影响原有的网络结构，支持主备模式实现高可用部署，支持≥500用户数；

12.2 支持用户与设备自动绑定，绑定过程支持邮件、短信验证

12.3 支持设备root，不满足要求设备禁止使用双因素认证系统

12.4 支持用户登录业务系统时，双因素认证系统收到确认消息授权登录方式

12.5 支持运维服务器实现单点登录

12.6 支持查询双因素认证系统登录、应用登录、系统、管理类型的日志，并支持Excel、HTML、PDF方式导出；

13 零信任VPN

13.1 标准1U机架式设备，网络接口：≥6个千兆电口、≥2个千兆光口，最大加密流量≥300Mbps，最大并发用户数≥400，最大并发连接数≥1.5万，新建连接数≥60个/秒，内存≥16G，硬盘容量≥128G SSD，单电源，含300个接入授权；

13.2 为有效抵御恶意软件和有针对性的攻击，应支持WEB资源配置URL黑白名单，且URL黑白名单支持通配符配置；

13.3 为了最大程度缩小网络、业务暴露面，VPN设备需提供SPA（单包授权机制）针对Windows用户，支持虚拟专线功能，当用户登录建立VPN设备登录VPN客户端之后，自动断开互联网连接，避免互联网威胁影响内网业务系统；

13.4 支持独享虚拟IP模式，可配置一个独享IP池，在独享IP池中为用户分配指定的虚拟IP地址，在独享资源池中给用户绑定的虚拟IP不会释放。为方便运维管理，应支持批量导入的方式为用户绑定虚拟IP，并支持导出查看系统配置的虚拟IP对应关系；

13.5 具备访问限制能力，能够对访问用户、时间、地址、次数、动作等进行管控；

13.6 支持初始密码的安全强度配置，管理员在新建或修改本地用户密码时，必须符合强密码规则，不能设置弱密码，增强初始账号的安全性；

13.7 支持全终端浏览器接入并访问WEB资源，包括IE8及以上版本浏览器、Chrome 69及以上版本、Edge、Firefox、Opera、Safari等其他主流浏览器、微信内置浏览器、钉钉内置浏览器、ANDROID、IOS各大手机厂商的自带浏览器、支持国产操作系统浏览器，不需采用专属或指定浏览器才能访问；

13.8 支持将用户访问VPN设备的WEB资源访问流量解密后镜像给本次项目中的新一代态势感知设备，以完善系统的用户行为审计溯源能力，提升设备自身的安全性；

13.9 支持自适应认证，基于网络环境、域环境、受信环境，支持一键上线，免密登陆；支持免除二次认证；支持异常环境下，要求增强认证；

13.10 支持配置应用资源指定的打开方式，如浏览器等；为了适应某些业务系统对浏览器的兼容性，还应支持配置应用打开的指定浏览器类型；

13.11 支持单包授权(SPA)功能，采用UDP+TCP结合的技术，未授权的用户无法连接VPN设备，无法扫描到服务端口。支持通过安全码激活客户端为授权客户端，从而进行SPA敲门和连接；安全码支持共享码模式和一人一码模式；一人一码模式下，若出现用户登录跟安全码不匹配的情况，会被系统识别并记录到安全日志中，进行安全分析检测；

13.12 支持身份标记功能，应具备对请求访问受保护网络资源的用户的用户名、接入方式、接入网络位置、接入时间、接入时使用设备信息 (安装指定软件、运行指定进程等)等进行身份标记的功能；

13.13 具备动态访问控制功能，支持在请求访问网络资源前，能够根据身份标记信息调整访问控制策略，实现对用户请求访问受保护网络资源的动态访问控制。支持对具体的某个或某些受保护网络资源配置单独的访问控制策略，以区分不同的安全防护要求；

13.14 为有效防止木马入侵系统后攻击服务器，需内置一些常见攻击工具进程黑名单，管理员可基于内置的名单进行增减，匹配上此名单的进程访问VPN时会被打上标签，以方便快速定位排查问题终端。

14 新一代态势感知系统

14.1 产品为分布式部署架构，标准2U架构设备，网络接口：≥4千兆电口，≥2个千兆光口，内存≥128G，数据盘≥32T，冗余电源；

14.2 支持免费对接本次项目中的安全设备，包括但不限于：下一代防火墙、入侵防御系统、上网行为管理、终端安全管理、服务器安全加固、日志审计、Web应用防火墙、安全准入系统、数据库防病毒网关等；

14.3 支持对等级保护建设整改过程中系统定级、差距评估、备案、整改、测评过程中产生的文档结论进行统计归档，并使用可视化的统一界面进行展现与管理，最大程度发挥安全措施的保护能力；

14.4 具备独立文件威胁鉴定模块，支持基于HTTP、邮件、FTB、SMB等协议的文件检测，平台内置病毒检测引擎、人工智能检测引擎等，支持记录恶意文件TOP5、文件名、病毒、发现次数、传播协议、感染源等信息，并支持导出分析结果；

14.5 支持与本次项目中的上网行为管理系统进行联动响应，同步上网行为管理设备认证用户，实现与安全事件关联；支持通过浏览器推送用户提醒或冻结用户上网；

14.6 支持资产属性重新识别，当发现资产数据不准确时，可清空该资产属性，如主机名、备注、操作系统、标签、地理位置、硬件信息、应用软件信息、账号信息、责任人信息、端口信息等，重新发起识别后，平台会自动补齐资产属性，可批量操作；

14.7 具备数据库异常行为功能，支持对数据库进行持续学习和监控，并能判断是否存在异常行为；

14.8 支持多维度模糊聚类算法将大量外部攻击日志聚合成少量攻击事件，聚合维度包括攻击IP、攻击地址、攻击目标和目标手法。支持根据自身业务和安全运维经验自定义告警/事件，以便提高告警的精确度，减少运维成本；

14.9 支持综合安全风险、主机安全风险、脆弱性感知、外部感知、工单、摘要、处置报告多种方式呈现，也支持自定义时间导出PPT报告

14.10 支持与本次项目中的下一代防火墙、上网行为管理、终端安全管理、服务器安全加固等设备联动，包含联动封锁、访问控制、上网提醒、冻结账号、一键查杀等；

14.11 具备文件威胁分析功能，可展示文件分析过程、文件检测趋势、恶意文件TOP5；支持恶意文件的详情分析，包括支持记录恶意文件感染的主机、所属分支、文件名、病毒名称、传输协议等；支持导出文件威胁分析结果。

15 流量探针

15.1 标准1U机架式设备，网络接口≥6千兆电口、≥2千兆光口，网络层吞吐量≥2Gbps，应用层吞吐≥350Mbps，内存大小≥8G，硬盘容量≥128G minisata SSD，单电源；

15.2 需与本次项目中的新一代态势感知系统为同一品牌产品；使用全新的威胁检测技术对各种攻击行为以及网络威胁具有高精度的检测能力，能够采集网络侧的流量汇聚至新一代态势感知系统进行分析，新一代态势感知系统联动本次项目中的下一代防火墙进行威胁的处置；

15.3 具备安全日志分析引擎、DnsFlow行为分析引擎、HttpFLow分析引擎、NetFLow分析引擎、MailFLow分析引擎、SmbFLow分析引擎、威胁情报分析关联引擎、第三方安全检测引擎、文件威胁检测引擎等，支持定期自动升级或离线手动升级；

15.4 支持敏感数据泄密功能检测能力，可自定义敏感信息，支持根据文件类型和敏感关键字进行信息过滤；

15.5 支持传输协议审计日志，包括https协议日志、http协议审计日志、DNS协议审计日志、邮件协议审计日志、SMB协议审计日志、AD域协议审计日志、WEB登录审计日志、FTP协议审计日志、Telnet协议审计日志、ICMP协议审计日志、LLMNR协议审计日志；

15.6 内置URL库、IPS漏洞特征识别库、应用识别库、WEB应用防护识别库、僵尸网络识别库、实时漏洞分析识别库、恶意链接库、白名单库等；

15.7 支持IP，IP组，服务，端口，访问时间等定义访问策略，主动建立针对性的业务和应用访问逻辑规则，包括白名单和黑名单方式；

16 备份系统

16.1 标准2U机架式设备，CPU型号：CPU型号：≥2.4GHz，单颗CPU≥10核，网络接口：≥4个千兆电口、≥4个万兆光口，内存≥64GB，数据盘≥12*12T SATA盘，冗余电源；

16.2 支持VMware vSphere、Sangfor HCI、H3C CAS、Microsoft Hyper-V、Citrix Hypervisor、RedHat RHV、ZStack、安恒、易讯通、WinHong、Halsign等虚拟化平台备份，支持Oracle、SQLServer（MSSQL）和MySQL数据库备份；支持Windows和Linux系统的文件备份，授权许可不限制客户端数量；

16.3 支持虚拟机副本容灾功能，两节点即可实现数据中心级数据容灾，能够结合虚拟机瞬时恢复功能实现分钟级RTO；

16.4 支持对象行为审计功能，用于记录客户如上传、下载等常规对象操作行为；

16.5 支持数据自动重建机制，当主机或者磁盘故障后，自动利用集群内空闲磁盘空间，将故障数据重新恢复，快速恢复数据的冗余度，确保医院数据的可靠性和安全性；

16.6 支持条带化功能，实现分布式raid0的性能提升效果，并且支持以逻辑卷或LUN为单位设置不同的条带数；

16.7 数据自动平衡，支持数据自动和手动进行热平衡，无需中断业务，自动感知业务IO，智能限速。支持设置平衡时间，利用空闲时间平衡数据

16.8 提供基于磁盘数据块复制技术的整机备份，无需了解主机业务系统类型、部署方法、业务系统间的数据交互机制、数据结构/逻辑关系和数据库的品牌/版本；

16.9 支持一键检测功能，支持运维人员自行检测系统健康状态，检测包括CPU、内存、硬盘、网口等硬件故障、告警等问题，同时支持检测各类存储服务是否正常启动。针对问题能够提出解决推荐办法；

16.10 内置防病毒能力，支持针对目录开启实时防病毒功能，防止病毒通过文件共享进行传播扩散，有效抵御以勒索病毒为典型的各种病毒；

16.11 支持存储拓扑功能，展示块存储当前授权服务器和LUN之间的对应关系方便用户查看以及故障定位；

16.12 支持执行秒级CDP保护过程，对被保护主机性能影响小于百分之一，防止因CDP持续数据对生产主机造成性能影响。

17 数据库防病毒网关

17.1 标准1U机架式设备，网络接口：≥8个千兆电口、≥2个万兆光口，三层吞吐量≥20 Gbps，应用层吞吐量≥9 Gbps，防病毒吞吐≥1.5G，IPS吞吐≥1.3G，全威胁吞吐≥1G，并发连接数≥200万，HTTP新建连接数≥9万，内存≥8G，硬盘容量≥64G SSD，单电源；

17.2 支持采用无特征AI检测技术对恶意勒索病毒及挖矿病毒等热点病毒进行检测；

17.3 支持针对入侵行为防御、内容安全的高危行为进行联动封锁，自动封锁具有高危行为特征的攻击源IP；支持服务器漏洞防扫描功能，能够针对任意攻击行为联动本次项目中的下一代防火墙进行封锁，对任意有攻击威胁的IP进行封堵；支持手动封锁攻击者IP，封锁时间可自定义；

17.4 支持策略生命周期管理功能，支持对安全策略修改的时间、原因、变更类型进行统一管理，便于策略的运维与管理

17.5 支持杀毒白名单设置，可以例外排除特定MD5和URL的病毒文件，针对特定文件不进行查杀；

17.6 具备勒索软件通信防护功能，能够对访问勒索病毒通信域名的行为进行记录并限制访问。

18 交换机1

18.1 交换容量≥590Gbps，包转发率≥220Mpps，配置≥48个10/100/1000BASE-T端口，4个1G/10GBASE-X SFP Plus端口，≥1个扩展插槽；

18.2 支持双风扇；实配双风扇，单电源、；

18.3 支持基于端口速率百分比的风暴抑制；

18.4 支持基于端口的VLAN，支持基于MAC的VLAN，基于协议的VLAN；

18.5 支持STP/RSTP/MSTP，支持SmartLink，支持RRPP；

18.6 支持静态路由，支持RIPv1/v2，RIPng，支持OSPFv1/v2，OSPFv3；

19 交换机2

19.1 交换容量≥590Gbps，包转发率≥220Mpps，配置≥24个千兆SFP光口（其中8个combo口），≥4个万兆SFP+口，≥1个slot扩展插槽；

19.2 支持可插拔双电源模块、以及可插拔双风扇；实配双风扇，单电源、；

19.3 支持基于端口速率百分比的风暴抑制；

19.4 支持基于端口的VLAN，支持基于MAC的VLAN，基于协议的VLAN；

19.5 支持STP/RSTP/MSTP，支持SmartLink，支持RRPP；

19.6 支持静态路由，支持RIPv1/v2，RIPng，支持OSPFv1/v2，OSPFv3。

本项目供应商及厂商资格条件

1、为保证应急响应能力，供应商或厂商需为最新一期国家互联网应急中心（CNCERT）国家级网络安全应急服务支撑单位；

2、参加本次采购活动前三年内，供应商及厂商在经营活动中没有重大违法违规记录；

3、供应商具有良好的商业信誉和健全的财务会计制度。

征求意见范围

1、是否出现限制性内容；

2、是否出现明显的倾向性意见和特定的性能指标；

3、影响采购“公开、公平、公正”原则的其他情况。

要求

1、供应商如对技术需求提出异议的，需于2022年12月05日下午17：00前提供书面材料并加盖单位公章，附联系电话，经法定代表签字确认后，密封送至福建省福州市仓山区城门黄山福峡路16号福建省地质医院信息科，逾期不予受理；

2、各供应商提出的内容必须是真实的，请于书面材料中附上相关依据。如发现存在提供虚假材料或恶意扰乱采购秩序，一经查实将提请有关采购管理部门，列入不良行为记录；

3、信息科联系人：沈先生，联系电话：0591-********，156*****010。