序号

产品名称

功能及技术参数

单位

数量

免费质保期

1

跨网文件安全交换系统

详见技术及功能要求

套

1

三年

2

VPN

详见技术及功能要求

台

1

三年

3

堡垒机

详见技术及功能要求

台

1

三年

4

终端杀毒软件续费服务

详见技术及功能要求

点

900

三年

5

服务器杀毒软件

详见技术及功能要求

点

300

三年

6

终端准入系统

详见技术及功能要求

台

1

三年

7

桌面管理系统

详见技术及功能要求

套

1

三年

8

汇聚交换机

详见技术及功能要求

台

2

三年

9

原有数据中心防火墙、边界防火墙、数据库审计、准入网关、日志审计、SIP、STA、外网防火墙的续保及规则库等升级服务

详见技术及功能要求

年

1

一年

10

安全驻场服务（提供一人驻场）

详见技术及功能要求

年

1

一年

11

安全运营服务

详见技术及功能要求

年

1

一年

12

光纤铺设服务

详见技术及功能要求

套

1

一年

13

安全集成服务

详见技术及功能要求

套

1

一年

14

网络基础架构调整服务

详见技术及功能要求

套

1

一年

序号

指标项

技术参数或服务要求

1

系统构架

系统为B/S架构，为了保证满足等级保护的相关要求，系统需为内、外网各一台设备，内、外网设备之间可以过网闸进行文件交换。

2

硬件配置

两台设备，单台配置： CPU≥8核，内存≥16G，硬盘≥20TB硬盘，国产化操作系统，自带软件防火墙。

3

用户数

不限制用户数，不限制并发数。

4

传输方向

系统必须支持内、外网文件双向传输。

5

文件传输类型

系统支持用户将文件进行内、外网互传，也支持将文件发送给系统内部的其他用户。

6

同步方式

系统支持自动同步与手动同步。自动同步：用户上传文件后，后自动同步到对向。手动同步:用户上传文件后，选择文件手动同步到对向。

7

文件杀毒

系统内置杀毒引擎，并支持第三方杀毒引擎；在文件从医院外网传输到医院内网时，产品能对文件进行病毒和木马检测，识别可能导致系统风险的恶意文件。一旦发现可疑文件，可自动阻止文件交换。

8

加密存储

为了保证系统中存储文件的安全性，系统采用落地加密技术，当文件上传到设备上时，设备需以加密的方式保存在硬盘上。

9

登录IP保护

管理员可以设置每个部门用户登录的IP地址范围，防止用户账号在非可控区域登录，给单位内部数据安全带来隐患。

10

文件类型保护

文件上传到系统时，系统会对文件后缀名进行进行分析，可以准确判断文件类型是否被伪造，如果当前文件类型与真实类型不符，文件即刻被删除，禁止传输。

11

移动端支持

文件外网端支持APP客户端，用户可以用手机通过公网IP连接外网设备，选择文件，审批后传输内网；支持用户将微信中的文件通过APP申请，审批后传入内网；支持安卓、IOS系统APP；支持钉钉、企业微信、微信小程序端应用。

12

白名单

管理员可以设置用户上传文件类型的白名单，用户只能上传指定类型的文件。

13

账号角色

系统具备管理员、审批员、普通用户三种角色。管理员可以对于系统进行管理，普通用户可以对于文件传输进行申请，审批员可以对于申请进行审批。

14

个人空间

可以存储个人的文档，用户可以对于文档进行备注说明。系统可以显示这个文档被下载的次数。

15

公共空间

管理员可以建立多个目录，给不同的部门设置不同的权限，包括查阅、管理、上传、下载等权限，也可以设置指定的用户的例外权限。

16

收藏

用户对于自己常用的文件可以进行收藏操作。

17

在线编辑

用户可以在线编辑系统中存储的文档，包括WORD、EXCEL、PPT等文件，支持多人协同编辑。

18

版本管理

所有文件在线修改都会进行版本备份，用户可以选择历史版本进行版本恢复。

19

子管理员

系统具备子管理员权限，子管理员可以对于下属分之机构进行管理，包括下属分支机构的组织构架、用户权限等，也可以查询下属分之机构的文件传输记录。

20

互联网安全接入

系统自带虚拟隧道安全访问功能，用户在互联网直接访问系统时，系统的端口为隐藏的，用户无法访问系统。用户需要专用的身份验证客户端进行身份验证，验证成功后系统才会对这个终端开放访问端口，用户才可以访问系统登录页面。

21

账号安全

账号安全可以对用户进行密码复杂度和登录验证项进行设置，可以设置密码密码需要包含数字、字母、特殊符号、大小写、以及密码，登录验证项设置可以设置是否绑定手机号、第一次登录校验姓名、手机号，以及设置是否禁止一共账号多人登录、页面超时自动退出、登录失败次数设置，并可以设置在登录页是否展示APP下载二维码。

22

审批管理

管理员可以设置申请外传文件的审批流程，文件外发申 请后，管理员审批后，文件就进行内外网文件交换。

23

水印管理

管理员可以设置水印展示的内容，包括IP地址、用户名、时间，文件从内网传输到外网时，文件会自动加上水印。

24

审计功能

产品支持对个人的文件交换行为进行审计，审计信息包括，上传时间、文件名称、用户名称，操作类型（上传文件、下载文件、删除文件、新建目录、共享文件、移动文件）、终端IP、终端位置（外网、内网）、终端名称等信息；且支持内容审计；

25

自动审批

当用户申请外发时，系统会进行自动审批，所有申请操作都会形成审计记录保存。

26

日志管理

传输日志：可查看用户传输的文件，可以进行下载和查询。

27

上传日志：显示用户上传的所有文件，支持所有字段模糊查询

28

下载日志：显示用户下传的所有文件，支持所有字段模糊查询

29

邮件日志：可以查看到通过跨网邮件发送的文件、主题、接收人、发送人和状态。

30

审批日志：审批日志中可以查看需要审批的文件的信息，审核状态也可以下载，可以查看该文件目前的审批状态。

31

系统日志：可以查看哪个用户操作了那些功能，以及该用户登录的ip，和操作此功能的时间

32

删除审计：在回收站中将文件删除，可以在删除审计中将文件恢复到原目录，删除审计中文件删除后，文件将无法恢复。

33

统计管理

用户统计：可以以列表，柱状图等形式展示用户上传文件数量信息。可导出列表。

34

上传文件统计：可以以列表，柱状图等形式展示部门上传文件数量信息。可导出列表。

35

审批信息统计：可以以列表，柱状图等形式展示所有用户和部门上传文件的审批信息，可导出列表。

36

文件类型统计：可以以列表，柱状图等形式展示所有上传文件类型信息。可导出列表。

37

每日上传统计：可以以列表，柱状图，饼状图三种形式展示近10天所有上传文件数量信息。可导出列表。

38

通知通告

管理员可自定义通知通告信息，通知通告信息会在个人空间上方展示。

39

用户权限

权限设置可以针对用户进行公告空间使用权限的配置，包括：查看、预览、在线编辑、下载、上传、删除权限。也可以针对用户设置是否展示功能空间、是否展示回收站。

40

外链分享

管理员设置某个部门具有分享外链权限，具有分享权限的内部人员文件所有者需通过生成Web链接的方式将文件或文件夹分享给外部人员，并设置链接的有效期，外部人员可以访问链接和密码验证来获取文件；可配置邮件平台通知被分享外链的人员去下载；

41

回收站机制

用户删除的文件会进入回收站中，回收站的文件删除掉后，用户的个人空间会释放掉，文件信息会进入删除审计中，删除审计中的文件默认保存六个月，管理员可以对于保存时间进行设置，可以将删除审计中的文件下载，支持在线预览。

42

统计报表

系统可以生成相关的统计报表，包括文件传输报表、管理员审批报表、传输文件信息报表等

43

快捷登录

用户可以将账号与微信绑定，实现通过微信扫码登录系统。

44

数据防泄漏

系统具备数据防泄漏功能，内置对于身份证号、银行卡号等多种检测规则，用户传输文件时，系统会对于文件进行检测，含有敏感信息的文件将不能外传。

45

系统API

系统具备接口实现与第三方系统实现对接，包括：组织架构导入、审批、文件上传、下载等接口。

46

备注

★原厂三年质保服务，并在中标后签订合同时提供原厂质保函文件。

序号

指标项

技术参数或服务要求

1

规格要求

★≥1个RJ-45Console口，≥2个10/100/1000M自适应电口，≥2个千兆SFP插槽，≥1个网络接口扩展槽位，≥1个USB口，交流冗余电源；IPSec/SSL国密加解密吞吐240Mbps，推荐并发用户数1000，实配300并发用户授权，整机吞吐3Gbps；标配硬件加密卡，支持国家商用密码算法SM1、SM2、SM3、SM4，具备国家密码管理局发布的商用密码产品认证证书，三年硬件保修和基础型技术支持服务。

2

部署方式

采用国产化处理器及操作系统平台，产品支持路由模式、透明模式、冗余模式、Trunk模式四种工作部署模式。

3

基本功能

专业 IPSec VPN和 SSL VPN二合一设备，采用符合国际标准SSL、TLS 协议，同时支持IPSec VPN和SSL VPN功能，为非插卡或防火墙带VPN模块设备。

4

▲客户端支持龙芯、兆芯、飞腾、鲲鹏等国产化CPU平台，支持中标麒麟，银河麒麟、普华、深度OS、优麒麟、UOS统信、中科方德等国产化操作系统客户端。（提投标文件中须提供体现上述功能及配置选项的功能图片佐证；重点至少三种国产化操作系统或者国产化CPU平台的厂商互认证明）

5

▲SSL VPN客户端同时支持国际算法和国密算法，可由用户自定义选择。（投标文件中须提供体现上述功能及配置选项的功能图片佐证；重点提供国际算法、国密算法的截图）

6

支持去除ICMP重定向、抗ARP攻击、IP地址冲突检查等功能，避免VPN设备被攻击或者仿冒。（投标文件中须提供权威检测机构（具有CNAS、CMA、ilac-MRA等标识）出具的检测报告，重点标识报告中以上内容）

7

系统管理

支持多系统引导，可在管理员界面直接配置启动顺序，支持两个操作系统，管理员可自由选择当前启动系统，每个系统拥有独立的配置文件，且配置文件分别支持加密导入导出。

8

支持管理员分权管理，支持三权分立，包括系统管理员，安全管理员，审计管理员；支持自定义权限模板，为管理员分配管理权限。

9

产品支持去除ICMP重定向、抗ARP攻击、IP地址冲突检查等功能，避免VPN设备被攻击或者仿冒。

10

产品支持全局配置安全检测，针对检测结果支持一键优化或者一键锁定风险配置项。

11

SSL VPN

支持配置多种资源类型，包括WEB应用、WebVPN应用、TCP/UDP应用，NC应用；同时支持资源负载均衡，可控制终端接入类型，如PC端（浏览器/独立客户端）、移动端（Android/iOS）、SDK。

12

支持单点登录功能（SSO）,支持移动用户登录VPN后再登录内部B/S、C/S应用系统时不需要二次重复认证。支持针对不同的访问资源设定不同的SSO用户名和密码，支持用户自行修改SSO账号。

13

支持内置PKI，内置CA可根据请求文件离线签发证书，同时支持在线申请证书，支持导入第三方CA，支持基于SCEP协议在线获取数字证书。

14

支持主从认证账号绑定，必须实现SSL VPN账号与应用系统账号的唯一绑定，VPN资源中的系统只能以指定账号登陆，加强身份认证，防止登录SSL VPN后冒名登录应用系统。

15

用户认证

支持IPSec、SSL 、PPTP、L2TP VPN的统一用户管理和认证体系，实现用户名口令一次配置，即可适用于全部VPN类型接入，无需分别购买不同类型VPN接入授权。

16

支持口令认证、Radius、LDAP/AD、CAS、OAuth、第三方动态令牌、CA证书、短信、邮件、钉钉、企业微信等认证方式，支持多因素认证方式自由组合，支持调整认证顺序。（提供具有CNAS、CMA、ilac-MRA认证的权威检测机构出具的检测报告复印件）

17

IPSec VPN

IPSec VPN支持网关、单臂部署模式，IPSec VPN支持透明、路由、冗余等网络接入方式

18

支持IPSec手动隧道，手动输入密钥参数，无需协商，可以满足IPSec VPN跨越单向光闸传输加密要求

19

支持IPSec隧道例外规则添加，支持在大网段中设定例外地址流量不进入加密隧道

20

终端安全

支持终端认证功能，包含硬件特征码、IP、MAC、主机绑定，特征码信息无需用户手动设置输入可自动生成，支持自定义用户绑定终端数量。支持硬件特征码批量导入导出。

21

备注

★原厂三年质保服务，并在中标后签订合同时提供原厂质保函文件。

序号

指标项

技术参数或服务要求

1

规格要求

指标参数

★国产CPU；≥32G内存，≥4T硬盘；国产操作系统；冗余电源；不少于2个千兆自适应电口，≥200图形并发，≥1200字符并发;不限制用户数；含双因素认证模块；支持应用发布模块,支持C/S客户端工具的操作审计；数据库审计模块,支持针对数据库管理员的数据库操作审计；三年原厂升级、维护、质保。

2

管控能力指标

管理
资源数

★≥500个并且支持内网外网同时管理。

3

用户管理

角色管理

默认支持超级管理员、配置管理员、审计管理员、自动化管理员及操作员等角色。

4

根据工作实际需要，能够支持自定义用户角色，并且能够选择将功能模块赋予该角色（如访问资产、审计、账号改密、文件传输、API、系统设置等功能）。

5

身份认证

支持本地密码、AD/LDAP、RADIUS、动态令牌、手机令牌、USBKey、短信、X.509等认证方式。

6

支持使用国密令牌认证，并且能够和本地密码或者其他认证方式组成双因素认证。

7

手机短信能够支持http短信网关、阿里云短信网关、腾讯云短信网关。

8

支持AD账号的定期自动化同步，当AD域中的账号有变更时，会被自动同步的系统中，并加入预定义的用户分组。

9

账号安全

具有防暴力猜测功能，支持密码错误锁定、客户端锁定（基于同一客户端不同账号登录失败次数），可以设置锁定时长。

10

支持自定义弱口令，用户口令不能设置为弱口令中的任何口令。

11

密码过期提醒

可以设定用户密码过期前多少天前，当用户登录后主动弹窗提醒用户修改密码。

12

密码找回

支持用户通过邮箱找回账号密码。

13

资源管理

资源类型

支持对windows、linux、unix、网络及安全设备、数据库以及各类B/S应用的管理。

14

等价配置

支持将属于同一业务组或者HA类的设备设置为等价资产，通过等价账号在账号密码变更时能够直接同步。

15

权限管控

访问权限

支持以用户（用户组）、目标设备（设备组、程序）、系统账号、服务等维度灵活设置访问策略。

16

支持运维权限克隆，提升配置效率。

17

管理员可基于自定义的用户属性、资产属性和账号属性来创建弹性动态权限规则，只要满足相关属性即会被自动赋予对应访问权限。

18

权限查看

支持按用户和按照资产来展示运维权限。

19

密码管理

密码托管

支持系统账号密码触发式校验功能，对托管的口令进行验证。

20

自动改密

支持自动改密功能，管理员可自定义密码策略、改密周期、密码备份方式。

21

密码申请

如需要临时使用被管理设备的密码，可以通过密码申请工单申请，填写需要使用密码的开始、结束时间，支持通过密码分段将密码分为2段分别发送给不同的管理员用户。

22

应用发布

应用发布类型

支持以Windows Server 2008/2012/2016/2019作为应用发布服务器。

23

应用发布集群

支持多台应用发布服务器以集群的方式部署，且自动提供负载均衡的策略。

24

资源访问

访问管理

支持Web、Mstsc、SSH Client等多种模式登录堡垒机后访问目标资产。支持HTML5方式运维，无需安装任何插件。

25

针对字符会话要求支持调用本地Xshell、SecureCrt及MobXterm。

26

支持批量启动功能，可一次性登录选择好的多个目标设备。

27

支持设置访问视图展示方式，可选按资产类型、资产组及动态权限展示访问视图。

28

支持设备收藏功能，用户可以对经常需要访问的目标设备做一键收藏，以便于下次可以直接在收藏夹中找到。

29

文件传输

支持基于云盘模式的文件向linux系统传输和下载文件：用户将文件暂存在系统上，再经由系统，一键上传到目标系统或者一键下载到用户本地。

30

支持对传输文件的大小进行配额限制。

31

行为审计

审计安全

能够设置审计管理员的审计范围，只允许审计选中的资产（资产组）。

32

实时审计

能够实时显示在线会话、在线字符会话、在线图形会话、在线数据库会话数量，能够直接点击查看审计会话。

33

图形操作审计

windows系统在登录前，能够查看目前在线运维会话数量。

34

支持开启或者关闭键盘记录。

35

字符操作审计

确保对各种非常规指令操作的100%识别，特别是TAB补全、长命令的行内编辑、上下箭头等操作。

36

文件传输审计

支持文件传输审计和留痕，可以设置是否留痕以及留痕大小阈值设置。

37

数据库审计

由于实际业务中数据库操作比较频繁，需要可以根据任意sql语句中的内容为关键字进行会话查询，查询结果可直接定位到相关操作画面。

38

审计分析

支持运维数据风险直观展示，能够以topN方式展示TOP资产、TOP用户和TOP敏感操作。

39

为了提升审计效率，支持将长时间的图形操作会话日志以1M-10M大小对图形会话进行切片展示功能，管理员点击任意切片，即可直接定位到对应操作片段。

40

系统维护

控制台

可以自定义控制台首页显示内容模块，如性能监控（CPU、内存）、在线会话数、TOP用户、TOP资产等。

41

API安全

支持设置API权限，指定是否允许GET、PUT、POST、DELETE。

42

性能监控

支持在WEB页面查看系统处理器（CPU）、内存、磁盘使用情况统计。

43

支持在WEB页面查看所有进程状态，能够显示每个进程的内存占用及CPU使用率。

44

负载限制

可以在全局模式下设置会话占用系统资源限制，如图形会话、字符会话、数据库会话占用系统CPU、内存负载限制；也可以按照单会话，设置普通用户和VIP用户对CPU、内存负载限制。

45

问题诊断

支持WEB页面选择天数后一键采集系统日志。

46

能够在WEB页面直接显示出存在故障的服务。

47

部署管理

HA模式

支持主、备部署模式

48

多站点模式

支持2台（套）以上组成多站点模式部署，各个站点自动同步配置数据（用户、资产和权限等），同时各个站点都能对外提供登录运维。

49

数据迁移

要求

要求投标产品支持将原有旧堡垒机数据无缝迁移到新设备上。

50

51

备注

★原厂三年质保服务，并在中标后签订合同时提供原厂质保函文件。

序号

指标项

技术参数或服务要求

1

平台环境要求

产品形态

独立的管理控制中心，支持Windows、Linux等操作系统的主流版本；包括操作系统支持Windows Server 2008 R2/2012/2012 R2/2016的64位版本（简体中文版）；提供3年免费版本升级，

2

授权中心

★不低于900台windows客户端授权,包含防病毒+补丁管理+主机防火墙+终端管控+移动存储+停服系统加固功能。维保升级3年软件授权。

3

控制中心

支持对单个客户端进行维护，终端视角查看终端基本信息，包括计算机名、型号、IP、MAC地址、工作组、域信息、本次开机时间、上次关机时间、应用功能、在线状态；硬件信息展示，

4

管理控制中心当登录账号输入密码错误次数超过锁定阈值后账号将被锁定，且可设置锁定时间，该时间内账号登录请求不被接受。同时应支持双因子认证登录方式，提高安全性。

5

支持终端用户和管理员是一套账号管理系统，简化账号管理复杂度，一个账号解决所有身份认证，既可以用于终端登录，也可以用于管理管理中心。

6

客户端管理

▲支持终端密码保护功能，支持终端“防退出”密码保护、“防卸载”密码保护、防安装密码保护。支持设置自我保护功能，可有效防止客户端进程被恶意终止、注入、提高客户端进程、数据、配置的安全性。（投标文件中须提供体现上述功能及配置选项的功能图片佐证，重点提供防退出、自我保护配置页面截图）

7

支持自定义定制客户端标题、皮肤、语言、产品LOGO、企业LOGO、认证弹窗LOGO

8

防病毒防护

病毒防护概况

病毒防护概况：终端基础信息、病毒库版本、发现病毒数、未处理病毒数、最后查杀时间、文件防护状态、引擎使用状态、扩展病毒库版本

9

病毒扫描

支持信任区设置，病毒扫描或实时防护时不扫描目录或文件。

10

病毒扫描支持扫描所有文件和仅扫描程序及文档文件设置，支持对压缩包文件设置最大扫描层数和大小，当发现压缩包内存在病毒时，还需继续扫描压缩包内其他文件。

11

支持对终端当扫描到感染型病毒、顽固木马时，自动进入深度查模式，可设置禁止终端用户管理路径或文件白名单、禁止终端用户管理扩展名白名单、扫描时不允许终端用户暂停或停止扫描任务。

12

支持扫描资源占用设置，可设置不限制、均衡型、低资源三种模式。

13

主动防御

支持对进程防护、注册表防护、驱动防护、U盘安全防护、邮件防护、下载防护、IM防护、局域网文件防护、网页安全防护、勒索软件防护。

14

网络防护

支持自动阻止远程登录行为，防护黑客远程爆破和拦截恶意的远程登录。

15

16

支持网络入侵拦截对流入本机的网络包数据和行为进行检测，根据策略在网络层拦截漏洞攻击、黑客入侵等威胁。

17

支持僵尸网络攻击防护，对流出本机的网络包数据和行为进行检测，根据策略在网络层拦截后门攻击、C2连接等威胁。

18

支持防护对流出本机的网络包数据和行为进行检测，根据策略在网络层拦截后门攻击、C2连接等威胁。

19

支持ARP攻击防护根据策略检测和拦截局域网中的ARP欺骗攻击行为。

20

终端病毒处理弹窗

客户端弹窗支持免打扰模式和智能模式，使用免打扰模式可以对不能弹窗的终端设备中避免弹窗。使用智能模式是智能调整弹窗，对已知的病毒自动处理，对未知的病毒提示处理。

21

杀毒引擎

支持不少于三个杀毒引擎混合使用，提高病毒检出率。

22

XP防护

支持针对Windows XP系统可带来安全隐患的设计机制进行加固性修复，支持远程漏洞攻击防护、本地钓鱼攻击防护和浏览器漏洞攻击防护。

23

WIN7防护

支持针对Windows 7系统可带来安全隐患的设计机制进行加固性修复，支持远程漏洞攻击防护、本地钓鱼攻击防护和浏览器漏洞攻击防护。

24

补丁管理

补丁语言

补丁语言种类需支持中文，繁体中文，英文。

25

灰度发布

支持管理员预先设置好灰度发布批次和漏洞修复策略（分时间段、按级别、排除有兼容性问题的补丁等），每当控制台更新补丁库，自动化编排完成漏洞修复——将全网终端划分为由小到大的多个批次，根据企业环境，自动先推送给第一个小批次分组，如无问题自动推送给下一个批次，直到推送给全网。如有问题，只需将有问题的补丁添加到排除列表和卸载已安装的终端即可。整个推送安装过程自动化编排，无需管理员过多参与，只需在有问题时添加排除列表和下发卸载补丁任务。

26

补丁日志

支持展示终端信息、补丁号、补丁级别、补丁类型、安装日期、事件上报时间、事件类型、结果、详细描述。

27

支持按照补丁的维度统计补丁安装情况，包括补丁号、系统类型、补丁类型、补丁级别、补丁名称、补丁描述、发布日期、漏洞CVE编号、漏洞CNNVD编号、未安装、已安装、已安装未生效、已排除、未更新补丁库。并支持导出统计报表。

28

主机防火墙

支持主机防火墙功能，通过添加IP、域名规则、支持允许/拒绝规则、支持任意流向拦截和允许，支持TCP、UDP、TCP+UDP、ICMP、多播和组播，支持自定义端口范围、支持自定义目标IP，支持输入IP范围。

29

支持根据需要来设置是否接管系统防火墙，支持根据规则的重要程度设置规则的优先级。

30

支持展示防火墙上报日志，展示终端基础信息、拦截规则名称、拦截时间、操作、协议、源地址，目的IP/域名、源端口、目的端口。

31

为了避免规则过大，导致日志上报造成网络堵塞或撑满服务器，支持设置日志上报频率。

32

终端管控

外设管理

支持对终端各种外设（USB存储、硬盘、存储卡、光驱、打印机、扫描仪、摄像头、手机、平板等）、接口（USB口、串口、并口、1394、PCMIA）设置使用权限，并支持生效时间设置。

33

支持对支持对外设进行多维度的放行，包括设备名称、PID/VID、实例路径，通过添加实现例外或加黑。

34

支持终端进程红名单、黑名单、白名单功能。可设置核心进程必须运行，也可保护核心进程不被结束，违规并告警。

35

违规外联

支持对互联网出口地址探测，支持对违规的互联网出口进行发现、断开网络、终端锁屏、断网+锁屏处理。支持例外白名单添加。

36

能耗管理

支持对终端节能管理，支持对长时间运行、定时关机、空闲节能、工作时间外开机等节能类型设定策略，支持仅提示、关机、注销、锁定、关闭显示器、锁定+关闭显示器、休眠和睡眠处理。并支持提示倒计时弹窗，可设置在终端取消后下一次提醒时间。

37

网络防护

支持对网卡进行防护，支持阻止终端修改IP地址、使用动态IP地址、热点创建和IPV6地址使用等，可自定义提示内容和生效时间。

38

移动存储管理

支持管理员设置自动审批客户端注册请求；不同分组可设置不同审批规则。

39

支持移动存储介质读写权限划分设置，有效控制不明来历的移动存储可能带来的病毒传播等隐患

40

统计移动存储设备的注册信息生成报表，包括U盘插拔日志、管理员注册日志和安全U盘日志

41

备注

★原厂三年质保服务，并在中标后签订合同时提供原厂质保函文件。

序号

指标项

技术参数或服务要求

1

授权数量

★端点安全管理软件授权≥300；

2

产品形态

产品可以纯软件交付，包含管理控制中心软件及终端客户端软件，其中管理控制中心可云化部署；

3

管理控制中心要求

管理平台支持在64位的Centos7或ubuntu操作系统、国产化操作系统环境部署；

4

单一管理控制中心可统一管理分别部署在WindowsPC、Windows服务器、Linux服务器以及国产化服务器的客户端软件；

5

支持国产化操作系统

支持主流国产化操作系统，如中标麒麟、银河麒麟、统信等；

6

多维度威胁展示

支持全网风险展示，包括但不限于未处理的勒索事件数量、高级威胁、Web入侵、待处置漏洞、钓鱼攻击及其各自影响的终端数量；

7

提供勒索病毒整体防护体系入口，直观展示最近七天勒索病毒防护效果，包括已处置的恶意文件数量、已拦截可疑行为次数、已阻止的未知进程操作次数、已阻止的暴力破解攻击次数；

8

资产管理

支持全网视角的终端资产统一清点，便于帮助用户快速发现风险面。清点信息包括操作系统、应用软件和终端账户，其中操作系统和监听端口支持从资产和终端两个视角进行统计和展示；

9

支持收集并展示单个终端的基本信息，包括：主机名、在线/离线状态、IPv4地址、MAC地址、操作系统、终端agent版本、病毒库版本、最近登录时间、最近登录的用户名；终端信息变更能自动更新；

10

支持对系统账号信息进行梳理，了解账号权限分布概况以及风险账号分布情况，可按照隐藏账号、弱密码账号、可疑root权限账号、长期未使用账号、夜间登录、多IP登录进行账号分类查看，支持统计最近一年未修改密码的账户；

11

云端威胁分析

支持跳转链接至云端威胁情报中心，针对已发生的威胁提供详细的分析结果，包含威胁分析、网络行为、静态分析、分析环境和影响分析；

12

终端日志报表

支持根据统计周期、终端名称、IP地址，补丁信息和漏洞等级等多维度的入侵检测日志，杀毒扫描日志，微隔离日志，合规检测日志，管理员操作日志，运维日志，联动日志等的日志查询和检测；

13

威胁检测

具备自研的基于人工智能的检测引擎，支持无特征检测技术，有效应对恶意代码及其变种；

14

支持本地查杀缓存，具备二级缓存机制：终端侧使用全盘文件缓存，加速本地二次扫描速度，减少对本地虚拟化环境的资源消耗；管理平台侧使用全网文件缓存，加速云查杀速度，减少通过互联网进行云查杀的带宽消耗

15

通过智能识别终端环境情况（低配硬件、老旧设备、虚拟化等）和当前终端资源占用，在闲时实时监控和病毒扫描场景，都可智能调整aES的资源占用（CPU、IO等），为业务让出资源，不卡业务，对业务零摩擦；

16

文件实时监控

可实时监控文件的状态，在文件读、写、执行或者进入主机时主动进行扫描，支持根据用户性能偏好设置高、中多种防护级别

17

入侵攻击行为检测

具备终端侧系统层、应用层行为数据采集能力，数据采集面覆盖ATT&CK技术面163项；

18

支持以可视化形式展现攻击故事，提供可视化的进程树溯源，可直观看出攻击入口、相关操作行为、高危实体文件等信息，协助客户进行事件攻击溯源和研判分析；

19

支持基于终端侧采集记录的行为数据，对文件变更、进程变更、网络连接、DNS查询等多种行为，在全网中搜索命中指定条件的端点和行为，进行高级威胁的狩猎对全网终端发起威胁狩猎，挖掘潜伏攻击；

20

支持以事件模式、告警模式两个维度展示攻击事件详情，便于快速了解危害程度和事件详情；

21

磁盘加解密

支持对终端磁盘进行加解密，加解密密钥可在平台统一远控管控；磁盘在脱离管控中断后支持在平台导出密钥使用工具解密；

22

USB设备管控

支持分组的USB存储是管控防护启用，不允许指定终端分组下的终端使用USB存储设备；

23

全网威胁狩猎

支持基于威胁情报的病毒文件哈希值、行为、域名、网络连接等各项终端系统层、应用层行为数据在全网终端发起搜索，挖掘潜伏攻击，快速定位出全网终端感染该威胁的情况；

24

联动处置

▲支持与医院现有态感平台、防火墙设备联动，能够实现封锁拦截、溯源举证等功能（投标文件中须提供体现上述功能及配置选项的功能图片佐证，重点提供联动配置页面截图）

25

备注

★原厂三年质保服务，并在中标后签订合同时提供原厂质保函文件。

序号

指标项

技术参数或服务要求

1

性能参数

★≥2个1000MBASE-T接口，可配置≥1个接口卡，每秒事务数(TPS):≥2800(次/秒)，最大吞吐量:≥1.2Gbps ，最大并发连接数≥2500(条)；授权≥1200 点。

2

高可用

采用国产化处理器及操作系统平台，支持多种灵活的部署方式，无需改变网络结构，部署方式包括但不限于独立部署、热备部署、探针式部署、负载均衡部署、集群部署、扁平化部署、云化部署。

3

▲支持智能逃生判断及管理恢复机制，在单位时间内终端异常离线达到指定逃生阀值则放开网络管控，当终端在线数达到阀值临界点时恢复网络管控；可灵活设置策略生效时间。（投标文件中须提供体现上述功能及配置选项的功能图片佐证，重点提供逃生阈值配置页面截图）

4

提供专属逃生平台对系统服务状态进行实时评估，逃生平台策略被触发时可保障业务的稳定运行；策略包括但不限于系统服务异常等。

5

准入技术

支持策略路由、端口镜像、透明网桥、802.1X、ARP、DHCP、VLAN隔离、Portal等准入技术，支持准入技术自由组合使用，满足各种复杂网络环境。

6

VLAN隔离技术须实现无客户端下的端口级准入效果，vlan隔离须采用不同正常vlan对应不同隔离vlan的方式，并可对通过小路由器、hub接入的设备实现颗粒度管控，不得采用全禁全放的风险行为。

7

终端通过有线或无线申请接入，可无需用户操作，自动引导终端设备至认证入网页面。

8

支持划定关键业务范围，针对终端用户发起的访问请求可强制要求二次认证校验。

9

管理

管理页面布局及内容支持自定义，内容包括但不限于系统自身接口状态、流量等。

10

在多管理员状态下，支持设置私有、公有规范策略。私有规范只有创建账号有权限更改、删除，公有规范所有管理员均可更改或删除。

11

提供移动端专属平台管理页面进行便捷管理，包括但不限于：设备快速定位、设备审核、实时报警监控、客户端卸载确认码生成等。

12

客户端

支持安全客户端（Agent）、安全控件、无客户端等多种模式；提供Windows、linux、MAC OS、安卓、IOS专属客户端及APP。

13

提供中标麒麟(龙芯)、银河麒麟(飞腾)、统信UOS等国产操作系统专属客户端。

14

支持灵活的客户端卸载策略，包括但不限于万能卸载码，一对一卸载码，无需卸载码等多种模式。支持设置离线客户端策略，包括但不限于超过指定时间后客户端自动卸载，提醒用户确认是否卸载等。

15

客户端支持自定义菜单栏及终端用户故障诊断，诊断过程支持录屏，诊断结果支持一键压缩打包。

16

边界管理

支持自动生成全网拓扑图，5分钟自动更新一次网络拓扑信息并刷新。

17

▲能够在拓扑图上选取设备查看其基本状态信息、设备型号、所处位置、子节点、路由表、ARP表等信息；支持在界面上提供对该网络设备进行TELNET、SSH等管理；能够在网络拓扑图上由用户自定义显示的节点类型，方便用户通过不同方式查看拓扑连接。（投标文件中须提供体现上述功能及配置选项的功能图片佐证，重点提供拓扑图查看设备基本信息截图）

18

支持可网管型交换机面板图形化展现各接口状态（up、down、trunk、单/多MAC等），以及各接口下联的终端详细信息（IP、地址、MAC地址等），交换机型号库100+以上。

19

支持自动识别、发现及阻断网络内私接的家用路由器、hub，提供网络定位功能（可直接定位接入的交换机端口 ）；可一键禁止全网的随身wifi（含软件版）使用。

20

身份认证

支持用户名密码、Ukey、指纹等认证方式，支持与AD域、LDAP、钉钉、Email联动。与钉钉等作为认证源时，终端认证自动跳转认证服务，无需打开相关app。

21

支持设置来宾专属地址段；来宾入网提供二维码、来宾码、自助申请（管理员审批）多种方式；提供来宾入网审批气泡弹窗提醒功能，被访人点击即可审批。

22

与AD域联动支持单点登录；支持管理员自定义域信息属性到认证设备，包括但不限于用户姓名、部门、联系电话等。

23

业务安全

支持关键业务端口映射，可设置映射的端口及选择映射的协议类型。（投标文件中须提供体现上述功能及配置选项的功能图片佐证，重点提供端口映射配置页面截图）

24

安全基线检查（windows）

支持IE控件、IE主页、操作系统版本、磁盘使用、计算机开关机、计算机名称、垃圾文件、服务端口、网络连接、系统时间、远程桌面、主机防火墙、p2p软件、软件黑白名单、黑白进程、系统服务、Guest来宾账户、密码策略、屏幕保护 、弱口令、共享检查。

25

支持主流的杀毒软件版本、病毒库和运行情况的检查，包括但不限于微软MSE、火绒、安天、天融信、赛门铁克、瑞星、卡巴斯基、金山毒霸、江民、NOD32、360、天擎、亚信趋势、小红伞、可牛、Avast等，支持自动下发软件及运行修复功能。

26

安检规范支持评分、设置修复期限，终端用户在允许期内即使不修复可正常使用网络。

27

支持自定义安全检查项，通过检测终端文件、指定文件版本、大小、MD5，注册表的项、注册表值，进程、服务状态进行检查。通过安装包运行、访问站点、开关服务、关闭进程、执行文件、删除文件、修改注册表进行修复。

28

软件产品正版化检查，包括但不限于 windows、office、WPS产品的授权信息正版化检查。

29

系统补丁

准入设备具有完整的补丁管理子系统，无需第三方补丁服务器支持，自身即可以提供完整的流程化补丁管理，包括同步更新、补丁分发表等功能。

30

准入设备能够对补丁进行分级，分为：严重、重要、中等的类别；能够在终端的浏览器页面显示入网终端的补丁检查情况；准入系统自身能够支持windows系列补丁库、补丁检查和补丁分发安装；支持windows10补丁检查及自动修复。

31

安全基线检查（linux/国产操作系统）

支持操作系统版本、磁盘使用、计算机名称、网络监听端口、系统时间、主机防火墙、必须安装的软件、禁止安装软件、必须允许进程、禁止运行进程、软件白名单、系统服务、密码策略、弱口令检查。

32

安全基线检查（移动终端）

移动终端可以支持通过将指纹和用户账户绑定的方法，实现用户按压指纹认证入网。

33

支持禁用移动终端入网策略。

34

支持移动终端必须安装app、禁止安装app、必须运行进程 、禁止运行进程及杀毒软件检查。

35

运维管理

软件、消息分发：支持基于部门、角色（分组）、设备或ip段进行软件、消息分发，分发周期支持立即、每天、每周、每月等周期设置。针对分发的源文件支持设置保留或不保留，分发后支持重启或关闭计算机。

36

远程协助：支持管理员或终端用户双向发起远程协助。

37

IP资源管理：支持提供图形化的ip地址台账;支持一键绑定全网ip/mac；支持检查ip/组织架构绑定。

38

提供网络诊断工具，支持通过Web管理界面进行ping、抓包、traceroute、nslookup等。

39

提供IP地址分配矩阵图，可以通过组织架构为维度查看IP地址分配矩阵图；能够直接、快捷的查看全网终端历史上线、下线、在线时长等详细的IP使用情况。

40

报警信息

支持系统报警、网络报警、终端报警等报警类型，超过20种以上自定义报警类型。支持报警信息通过Syslog、邮件进行输出。

41

报表

支持提供每日/周/月入网报告及终端安全评估报告。

42

备注

★原厂三年质保服务，并在中标后签订合同时提供原厂质保函文件。

序号

指标项

技术参数或服务要求

1

终端安全管理系统功能

系统具备丰富的终端安全管理功能，包括日志审计、远程协助，移动存储管理、外设管理、系统盘还原保护、补丁管理、运维管理、水印管理；可纳管PC终端和安卓终端，并在同一个界面上进行管理、提供≥1200个终端管理授权。

2

系统构架

为了能够体现更好的远程运维需求，系统设计为C/S构架，管理员需通过控制台程序对于终端进行管理。支持国产化操作系统环境部署，可以对于信创终端、Windows终端、安卓终端在同一个管理界面上统一管理

3

系统信息

管理端可以查看客户端的系统信息、IP地址、MAC地址、客户端版本号、CPU/内存/硬盘温度。

4

远程屏幕协助

管理员可以快速接管（在1秒钟内接管终端电脑屏幕）远程监看或者（控制效果流畅 ）客户端的计算机。当对终端计算机进行远程控制时，客户互传终端计算机中的文件，针对终端为双屏的电脑，管理员可以点击主/副屏切换进行控制，客户端本地也可以邀请管理员远程操作自己的电脑。管理员可以将本地文件拖拽到远程协助对话框时间文件传输。

5

远程协助安卓设备

管理员可以对于医院的安卓系统的PDA和诊间屏进行远程屏幕控制，管理员可以在一秒内接管移动设备的屏幕，控制速度快，无卡顿。

6

安卓端安全桌面

安卓终端启动后自动进入安全桌面，在安全桌面上展示日期、时间、IP地址、MAC地址、通知通告信息、设备备注信息，及具备刷新按钮功能。

7

安卓端APP白名单

安全桌面只展示白名单中的APP，不能展示非管理员允许的APP。

8

安卓应用商店

管理员可以讲APP上传到应用商店中，终端用户可以在应用商店中找到相应的APP进行下载安装。

9

安卓端WIFI

系统具备WIFI白名单功能，安卓终端只能连接指定的WIFI名称。

10

水印管理

支持屏幕水印，全屏展示机器名、IP、MAC、日期；支持文档水印，文档页面上显示机器名、IP、MAC、日期，可以针对水印的稀疏进行设置；支持打印水印功能，可以在打印出来的纸张上显示机器MAC、日期以及自定义文本内容；可设置水印文字的字体、文字大小、文字倾斜角度、例外打印机名称，并且可设置单行水印的水平垂直坐标及水印平铺的水平垂直间隔。

11

桌面助手

管理端开启桌面助手策略，终端计算机桌面底层一直展示半透明窗口，管理端可以配置窗口上多个快捷方式网址，可以选择打开的浏览器，用户点击每个快捷方式会打开相应系统；管理端可以以九宫格的形式设置桌面助手的固定展示位置。

12

桌面IP展示

支持桌面展示机器名称、IP、MAC、日期、工作组以及自定义内容。显示的文字字体、大小、颜色均可设置，管理员可以通过九宫格的方式设置显示位置。

13

内网聊天

终端用户可以登录自带的聊天模块功能，可以选择医院的其他用户发送、接收即时消息，支持文件发送和接收，可以查看历史消息。

14

多屏墙

管理员可以实时查看多个计算机的电脑屏幕，最大支持64屏同时监看；可灵活设置监控屏数和自动循环播放的时间。

15

系统盘自动还原

对于终端计算机提供系统盘还原功能，每次计算机重启，对于系统盘的写入信息，全部丢弃，系统盘恢复原状。

16

U盘管理

可以设置禁止使用U盘，可以为U盘设置只读，只写权限。U盘插入报警。对于鼠标键盘等USB非存储设备不禁用。支持制作注册U盘，制作后的例外U盘，可以在单位内部按权使用。客户端本地也可向管理员申请例外U盘，管理人员可以收到申请消息，并进行审批。

17

保密U盘

持制作保密U盘，制作好的保密U盘只能在认证的计算机中使用，插入到任何非认证的计算机都不能使用。

18

硬件资产管理

管理者可以查询硬件资产统计报表，自动收集硬件资产的变更情况。包括CPU、内存、硬盘、打印设备、串口设备等。可以对于硬件资产信息进行自定义操作，包括设置维保日期，责任人，机器品牌，配备时间，配备方式。

19

软件资产管理

管理者可以查询软件统计报表，自动收集软件的变更情况。可以统计安全软件名称、安装日期、版本号、发布者。

20

杀毒软件检测

管理员可以按计算机模式查看所有客户端的杀毒软件状况，包括是否安装杀毒软件、杀毒软件状态、杀毒软件版本号等。

21

Windows服务

查看客户端的windows服务状况，可以设置WINDOWS服务端状态，如禁用、启用服务等。可以禁止、禁用、启用服务。

22

windows补丁管理

系统可以搜集当前终端计算机的系统漏洞，以折线图的形式展现最近7天全网终端的漏洞数和趋势；以这线图的形式展示最近7天全网终端修复漏洞数；系统可以展示全部补丁信息，管理员可以根据补丁编号、补丁名称、补丁支持的操作系统进行搜索，选择需要的补丁；管理员可以查看每个补丁，在那些计算机上安装了；管理员可以查看所有补丁安装的信息，包括安装成功、安装失败、忽略信息。管理员可以设置补丁的分发速度和分发时间。管理员可以设置补丁的分发部门和分发终端。

23

自动同步时间

客户端自动同步服务器时间。

24

即时通讯管理

可以详细记录QQ、MSN、SKYPE、微信聊天内容和外发文件。

25

文件外发记录/控制

客户端会自动记录用户文档外发行为。包括QQ外发、USB外发、浏览器外发等，同时可以记录外发的源文件。禁止用户通过浏览器外发文件。禁止QQ外发文件。禁止阿里旺旺外发文件。禁止微信电脑版外发文件。禁止MSN外发文件。禁止U盘外发文件。禁止拷贝文件到USB设备。禁止拷贝文件到共享目录。禁止拷贝文件到网络硬盘。禁止从USB拷贝文件到本地计算机。禁止从共享目录拷贝文件到本地计算机。从网络硬盘拷贝文件到本地计算机。限制USB设备拷贝文件的大小。

26

系统提供大屏幕展示功能

以WEB形式展现，支持4K电视机屏幕完美呈现，可以在同一个屏幕上动态展示以下数据：分别以饼状图展示操作系统分布情况、计算机品牌分布情况、杀毒软件分布情况；以跑马灯的形式展示全网终端的健康度；大屏幕可以展示终端计算机维保在1至3年，3至5年，5至10年，10年以上的各个阶段的计算机数量;可以对于为关机电脑数量进行统计。

27

文件操作记录

客户端会自动记录用户文档的操作路径、所在磁盘和所使用的文档编辑程序等，包括创建、访问、复制、剪切、重命名、删除、外发等动作

28

文件操作报表

系统生成文件操作统计报表。

29

管理员管理功能配置

可以设置多个管理员账号，针对不同账号，分配不同可管理的部门和拥有的权限

30

远程执行命令

管理员可以对远程计算机执行命令。

31

远程电源管理

对远程计算机执行开机、关机、重启、注销等操作

32

文件分发

管理员可以对远程计算机进行文件传送。可以自定义文件分发位置。支持多人传送。以任务的形式提交到服务器，对于在线的计算机立刻分发，对于不在线的计算机，开机后自动执行分发任务。

33

软件安装

管理员可以对计算机实行远程推送安装软件。以任务的形式提交到服务器，对于在线的计算机立刻安装，对于不在线的计算机，开机后自动执行安装任务。分发时间可自行设置开始时间与结束时间，分发速度也可限制。

34

屏幕保护

可以远程批量统一分发客户端桌面屏保；管理员可以在系统中上传制作好的屏幕保护文件，以及无操作多长时间后启动屏保。

35

桌面背景

可以远程批量统一分发客户端桌面背景。

36

网址访问黑名单

可以禁止访问添加在黑名单中的网址。

37

网址访问白名单

仅允许人员访问白名单网址库中的网址。

38

网址访问记录

自动记录客户端访问的网站地址，同时管理人员可以方便的打开记录网址。可以记录网址访问路径、标题、访问时间、使用的浏览器名信息。

39

网址访问统计

可以形成多种类型的网址访问统计报表。包括访问网址最多的前20名的计算机、访问最多的网址的前20名。形成饼状图、柱状图和列表。

40

违规网址访问报警

当客户端访问违规网址时，管理机会即时提示报警。报警方式包括软件报警和邮件报警。

41

网络使用控制

管理员可以设置指定的计算机禁止访问外网。内网访问不受控制。

42

实时网络状态

可以查看每台计算机的网络状态，包括使用协议、本地地址、远程地址、本地端口、远程端口、当前状态、占用进程、进程ID等信息。

43

程序访问控制

管理者可以设置员工禁止访问的程序。可以根据动态链接库名称对于程序使用进行控制。也可以根据程序的MD5进行控制。

44

程序MD5搜集

客户端开机可以自动搜集网络内部程序的MD5值，上传到服务器，形成MD5库。

45

程序访问审计

记录客户端程序使用日志。包括程序运行路径、开始时间、结束时间、产品名称、公司名称等信息。

46

程序违规访问报警

对违规程序使用行为进行自动报警。

47

程序日志统计

可以形成多种类型的程序统计报表。包括访使用程序最多的前20名的计算机、使用次数最多的程序前20名，使用时间最多的程序前20名。形成饼状图、柱状图和列表。

48

正在运行进程

可以查看客户端正在运行的程序。且管理员后台可直接结束进程

49

邮件客户端发送记录

详细记录FOXMAIL、OUTLOOK等邮件客户端发送邮件的信息。包括发送时间，主题、收件人、内容、附件。

50

禁用光驱

禁止客户端使用光驱。

51

禁用外设

禁止终端计算机使用软驱，光驱，红外，蓝牙，MODEM，声卡，COM口，禁用图形图像设备，禁用便携式设备，禁用无线网卡。

52

打印操作记录打印操作记录

记录终端计算机的打印信息，包括：打印时间，打印页数，打印文件按名，使用的打印机以及打印的内容形成图片保存到服务器上。

53

开机启动项

查看并管理开机启动项

54

备注

★原厂三年质保服务，并在中标后签订合同时提供原厂质保函文件。

序号

指标项

技术参数或服务要求

1

性能要求

▲交换容量≥75Tbps（以官网最小值为准），包转发率≥8600Mpps，主控引擎≥2；整机业务板槽位数≥6，设备高度≤10U，支持颗粒化电源，整机电源槽位数≥4，独立风扇框数≥2，支持独立的硬件监控板卡, 控制平面和监控平面物理槽位分离。（投标文件中须提供官网功能截图或权威检测机构（具有CMA、CNAS或NAST等标识）出具的检测报告，重点标识报告中以上内容）

2

功能配置

为适应机柜并排部署，设备机箱（包括业务板卡区）采用后出风风道设计；支持独立的硬件监控板卡, 控制平面和监控平面物理槽位分离，支持1+1备份，能集中监控风扇、电源等模块，能调节能耗。

3

支持GE/10GE端口200ms大缓存，支持5级H-QoS。

4

采用国产芯片，自主可控。

5

支持整机MAC地址≥1M，MAC学习速率>8000/s，支持整机ARP表项≥256K，ARP学习速率≥1000/s。

6

▲为简化管理，支持纵向虚拟化技术，支持把交换机和AP虚拟为一台设备，支持两层子节点，且子节点接入交换机支持堆叠。（投标文件中须提供官网功能截图或权威检测机构（具有CMA、CNAS或NAST等标识）出具的检测报告，重点标识报告中以上内容）

7

为了便于用户权限的管理，无论用户位置在哪里，IP地址是什么，用户的网络权限保持不变。

8

交换机支持通过Netstream采集网络数据，上报给网络安全智能系统，进行网络的安全威胁事件信息检测和全网的安全态势感知，同时网络安全智能系统和SDN控制器联动，以实现全网安全协防。

9

支持4K VLAN；支持1：1，N：1 VLAN mapping; 支持端口VLAN，协议VLAN，IP子网VLAN；支持Super VLAN；支持Voice VLAN。

10

支持IEEE 802.1d(STP)、 802.w(RSTP)、 802.1s(MSTP)；支持1:1, 1:N端口镜像；支持流镜像；支持ERSPAN远程镜像。

11

支持静态路由、RIP、RIPng、OSPF、OSPFv3、BGP、BGP4+、ISIS、ISISv6；支持路由协议多实例。

12

支持IGMP Snooping V1,V2,V3；支持IPv6 DHCP SERVER, IPv6 DHCP Relay, DHCP Snooping，支持IPv6 Souce Guard；支持PQ、WRR、DRR、PQ+WRR、PQ+DRR调度方式。

13

支持MPLS L3VPN、MPLS L2VPN(VPLS，VLL)、MPLS-TE、MPLS QoS。

14

实配参数

★实配：双引擎、冗余电源、千兆电口≥48、千兆光口≥48、万兆光口≥24、支持堆叠和虚拟化包含相关堆叠或虚拟化线缆。

15

备注

★原厂三年质保服务，并在中标后签订合同时提供原厂质保函文件。

序号

指标项

技术参数或服务要求

1

数据中心防火墙续保

提供单位内原有2台数据中心防火墙1年原厂硬件质保，1年IPS、AV特征库升级服务。

品牌型号：山石网科 SG-6000-E5260

维保到期日：2024.6.20

2

内网边界下一代防火墙续保

提供单位内原有2台内网边界下一代防火墙1年原厂硬件质保，1年IPS、AV特征库升级服务。

品牌型号：奇安信 网神NSG5000-TG20P(M)-Q

维保到期日：2024.5.30

3

数据库审计续保

提供单位内原有1台数据库审计1年原厂硬件质保服务。

品牌型号：思福迪 Logbase D1700

维保到期日：2023.4.23

4

准入网关续保

提供单位内原有1台准入网关1年原厂硬件质保服务。

品牌型号：盈高 ASM6309

维保到期日：2024.3.20

5

日志审计续保及更换故障硬盘

提供单位内原有1台日志审计的1年硬件质保服务（实际应为2年，需补足维保断档期）及硬盘更换服务。

品牌型号：艾科 L3800

维保到期日：2022.10.18

硬盘要求：8TB

6

态感平台SIP续保

提供单位内原有1台SIP的1年原厂硬件质保、软件升级服务、规则库升级服务。

品牌型号：深信服 SIP-1000-B400

维保到期日：2024.10.16

7

未知威胁探针STA续保

提供单位内原有2台STA的1年原厂硬件质保、软件升级服务、规则库升级服务。

品牌型号：深信服 STA-100-B2300

维保到期日：2024.10.19

8

外网防火墙续保

提供单位内原有1台外网防火墙1年硬件质保，1年AV特征库升级服务。

品牌型号：深信服 AF-1000-B1510

维保到期日：2024.10.26

备注：★以上原厂维保服务，均须在中标后签订合同时提供原厂质保函文件。

序号

指标项

技术参数或服务要求

1

资产收集服务

每月搜集东台市人民医院包含但不限于自有的网络、安全、应用服务系统资产，包含一、二级域名、设备类型、操作系统版本、IP地址、软件负责人、资产拓扑等信息；资产台账要求实时更新实时维护。

2

漏洞扫描服务

通过web扫描器和漏洞扫描设备进行漏洞扫描，可以针对性的发现漏洞；web漏洞扫描器可支持检测如SQL注入、跨站脚本、文件上传、代码执行、越权、信息泄露等各类型的web漏洞；漏洞扫描设备可以发现主机漏洞、web服务器漏洞、CVE编号漏洞等。漏洞扫描对象包括网络设备、操作系统、数据库、中间件等。扫描结果包含版本漏洞、开放端口、开放服务、空/弱口令账户、安全配置等。根据漏洞扫描后的结果进行针对高中低风险进行漏洞验证生成漏洞验证报告以及修复建议。

3

安全巡检服务

包括核心路由配置、核心交换机网络设备配置合理性检测与分析，负载均衡与防火墙等安全设备的配置检测与分析等。服务器配置安全核查包括身份鉴别方式、帐号安全设置；远程管理方式、多余帐号和空口令检查、默认共享检查、文件系统安全、网络服务安全、系统访问控制、日志及监控审计、病毒及恶意代码防护、拒绝服务保护及补丁管理等。定期对设备进行日志检查分析。采用人工访谈、现场检查、工具检查的方式对客户的服务器及网络设备进行评估，收集相关信息进行分析，并结合客户实际需求提供整改建议。定期检查日志服务器、数据库审计服务器等，对出现的异常情况及时进行检查并分析原因。

4

安全加固服务

配合客户对网络结构和信息系统制定相应的系统加固方案，针对不同目标系统，通过打补丁、修改安全配置、增加安全机制等方法，合理进行安全性加固措施。协助软件开发单位对操作系统和数据库系统进行安全配置加固，网络及安全设备安全加固。针对客户补丁管理提供的建议，帮助客户维护补丁管理系统和防病毒系统。

5

应急响应服务

遭到黑客攻击或病毒感染，通过有效的技术手段、组织管理、预案流程、制度规范等综合措施，尽早对有重大危害的计算机和网络安全事件进行发现、分析和确认，并对其进行响应。能够短时间内恢复系统正常运行，追查黑客攻击痕迹，定位安全漏洞，对事故系统进行检查和修复。

6

安全通告预警服务

实时关注最新的安全动态，将最新的漏洞、补丁、安全事项、高危病毒第一时间通报给客户，并给出专业的处置意见，确保用户系统安全。

7

应急演练服务

配合客户和软件单位制定以下针对各类故障应急演练方案、演练记录等。硬件故障演练：机房断电、网络设备故障、线路故障、服务器故障；网络攻击演练：模拟受到信息篡改、拒绝攻击、病毒攻击。

8

重要时期安全保障服务

在国家重要活动、会议时期为活动组织单位、监管单位关键信息系统提供重保组织架构设计、安全检查、积极防御、实时检测、响应处置、攻击预测等安全服务，发现重要保障时期被保障单位信息系统可能存在的安全风险，安全防御体系可能存在的薄弱环节，指导修复，提升安全防御能力，保障重要活动、会议从筹备到执行期间的关键信息系统和数据资产安全，确保重大活动、会议顺利圆满完成。

9

安全培训服务

针对医院IT人员或运维人员进行安全知识以及安全操作知识培训，通过PPT和实际操作进行讲解和演示，使受培训人员的安全意识增加，网络安全操作规范。提高自身的防范意识，免受恶意攻击者的钓鱼、跨站脚本、社会工程学等攻击。授课老师本人须具备攻防演练相关经验，参与并在攻防演练中获得过奖项。

10

安全人员驻场服务

提供1人/年安全驻场服务，驻场人员除完成以上服务内容以外，还需完成以下具体工作：

1、对应资产收集服务，每月出具更新整理后的《资产清单》，并发送至客户电子邮箱；

2、对应漏洞扫描服务，每季度出具《漏洞扫描报告》，并协助东台市人民医院及开发单位进行修复；

3、对应安全巡检服务，每月出具《安全巡检报告》，每天对核心机房、容灾机房进行巡查，对发现的如电源故障、硬盘故障、网络故障、UPS故障、温湿度故障等问题及时联系相关厂商在限定时间内解决；

4、对应安全加固服务，每季度出具《安全加固报告》，对发现的安全问题提出安全加固建议并协助各个厂商进行整改，并将整改的结果反馈给医院信息科负责人；

5、对应应急响应服务，服务期内不限次数，根据实际事件发生时间出具《应急响应报告》；当发生重大安全事件时，现场驻场人员须在规定时间内到达现场，协助用户解决安全事件，提供安全事件的分析和溯源；另外如需要中标单位须配合医院要求指派其他二线安全技术专家共同参与处置；

6、对应安全通告预警服务，服务期内不限次数，每年出具《安全通告汇总》，平时需关注业界动态、国家安全政策及法律法规、第三方漏洞平台、厂商安全通告、行业安全通告、国家级安全漏洞库等，及时给甲方预警并提供解决方案予以解决；

7、对应应急演练服务，每半年出具一份《应急演练方案及记录》，配合客户进行实操演练，并进行相关记录；

8、对应重要时期安全保障服务，服务期内不限次数，根据所属重保时间出具《重保服务报告》；协助客户关闭互联网上不重要或高危端口，进行公网扫描，及时针对已发现漏洞处置；协助客户配合上级单位或监管单位，填写相关自查和处置报告。

9、投标文件中承诺的人员配置无招标人同意不得随意更换，否则招标人有权立即解除合同，并不退换中标人的保证金。

序号

指标项

技术参数或服务要求

1

资产范围

本次服务主要针对我单位外网、内网全部业务系统IP资产进行线上安全运营服务。

2

服务时效

应提供一年服务期内7*24小时全天威胁监测服务。

3

专家团队

提供专属专家团队：服务方应配备包含1名专属项目经理及2名团队专家负责此项目。

4

监测平台

安全运营服务需接入本院态感平台，中标人须自行协商办理，中标后签订合同时提供接入及兼容性证明。

5

威胁管理

投标方应结合大数据分析、人工智能、高级专家提供安全事件发现服务：依托于安全防护组件、检测响应组件和安全平台，将海量安全数据脱敏，包括脆弱性信息、共享威胁情报、异常流量、攻击日志、病毒日志等数据，经由大数据处理平台结合人工智能和云端安全专家使用多种数据分析算法模型进行数据归因关联分析，实时监测网络安全状态,发现各类安全事件，并自动生成工单。

6

能提供用户界面工单举证（如暴力破解），展示安全事件的基本信息和处置状态，以及受影响资产、当前处理人、响应时间和处置时间等信息。

7

实时监测网络安全状态，对病毒事件自动化生成工单,及时进行分析与预警。病毒类型包含勒索型、流行病毒、挖矿型、蠕虫型、外发DOS型、C&C访问型、文件感染型、木马型。

8

投标方需针对每一类威胁，进行深度分析验证，分析判断是否存在其他可疑主机，将深度关联分析的结果通过邮件、微信等方式告知用户。

9

结合威胁情报，投标方需排查是否对用户资产造成威胁并通知用户，协助及时进行安全加固。

10

投标方需每月主动分析攻击类的安全事件：通过攻击日志分析，发现持续性攻击，立即采取行动实时对抗，当用户无防御措施时，提供攻击类安全事件的处置建议。

11

投标方需每月主动分析漏洞利用类的安全事件并验证该漏洞是否利用成功，提供工具协助处置。

12

投标方需每月主动分析失陷类的安全事件并协助用户处置，并提供溯源服务。

13

策略调配：新增资产、业务变更策略调优服务，业务变更时策略随业务变化而同步更新。

14

策略定期管理：投标方需每月对安全组件上的安全策略进行统一管理工作，确保安全组件上的安全策略始终处于最优水平，针对威胁能起到有效的防护效果。

15

通过攻击日志分析，发现持续性攻击，立即采取行动实时对抗。

16

通过全网大数据分析，发现有境外黑客或高级黑客正在攻击，立即采取行动封锁黑客行为。

17

实时针对异常流量分析、攻击日志和病毒日志分析，经过海量数据脱敏、聚合发现安全事件。

18

事件管理

分析研判包括但不限于对脆弱性、异常流量、攻击日志、病毒日志等数据进行采集和实时分析研判，支持将同一资产的多个告警进行聚合分析发现各类安全事件并生成工单，并在告警详情中展示告警的基本信息，涉及的业务信息、攻击趋势、威胁详情、攻击原理、处置建议等内容，并支持根据客户情况提供备注。

19

实时针对异常流量分析、攻击日志和病毒日志分析，经过海量数据脱敏、聚合发现安全事件。

20

针对分析得到的勒索病毒、挖矿病毒、篡改事件、webshell、僵尸网络等安全事件，通过工具和方法对恶意文件、代码进行根除，帮助我单位快速恢复业务，消除或减轻影响。

21

入侵影响抑制：通过事件检测分析，提供抑制手段，降低入侵影响，协助快速恢复业务。

22

入侵威胁清除：排查攻击路径，恶意文件清除。

23

入侵原因分析：还原攻击路径，分析入侵事件原因。

24

加固建议指导：结合现有安全防御体系，指导用户进行安全加固、提供整改建议、防止再次入侵。

25

蜜罐威胁诱捕

旁路部署外网仿真蜜罐（保证无可利用漏洞），捕获针对用户的外网威胁，形成精准的威胁情报IP表；此外，可帮助用户仿真业务系统，以假乱真，消耗攻击者时间。

26

漏洞无效化

对于无法整改的操作系统漏洞，提供漏洞无效化技术手段：可使扫描器扫得到资产，但扫描不到系统漏洞。

27

实时响应处置

互联网威胁实时封堵：专家关联分析“外网流量告警+外网蜜罐告警”，精准研判互联网威胁告警，联动旁路阻断技术，实时封堵外网攻击IP地址

28

服务监督

投标方提供的服务监控门户（或用户portal）应具备服务质量可视化展示，投标方能通过可视化的数据，清晰的了解安全专家的服务水平，至少包括漏洞闭环率、漏洞平均响应时长、漏洞平均闭环时长、威胁闭环率、威胁平均响应时长、威胁平均闭环时长、事件闭环率、事件平均闭环时长。

29

投标方需为招标方提供的服务成果展示门户（或用户Portal），可以直观的管理服务过程中生产的服务报告和交付物，包括但不限于《准备阶段文件》、《特殊时期值守报告》、《运营周报》、《运营月报》、《运营季报》、《威胁情报》、《年度汇报》、《事件总结报告》。

序号

指标项

技术参数或服务要求

1

光纤铺设服务

铺设中心机房到备用机房24芯单模，包含两端光纤配线架及机柜与机柜间光纤配线架等辅材。

序号

指标项

技术参数或服务要求

1

安全集成服务

提供本项目所有设备的安全架构规划、网络及安全设备集成服务，包含设备上架、安装、初始化配置、联调、迁移、应用测试等。

2

根据等保2.0，网络安全等级保护三级标准基本要求（GB/T*****-2019）对本次项目产品（网络、安全设备）等进行安全加固，包括但不限于安全通信网络（网络架构、通信传输、可信验证）、安全区域边界（边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证）、安全计算环境（身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护）、安全管理中心（系统管理、审计管理、安全管理、集中管控）等方面的等保合规性安全策略配置。

3

提供本次项目中设备及关联产品的光纤跳纤和网线、光模块等。

序号

指标项

技术参数或服务要求

1

网络基础架构调整服务

1. 设备下架、搬迁与上架：将方舱医院现有的两台华为S7703交换机安全下架，同时将这两台设备搬迁至住院A楼汇聚机房。在住院A楼汇聚机房内，将现有的两台Cisco4506交换机下架，将上华为S7703交换机上架。在下架、搬迁、上架过程中，确保所有设备的物理安全，避免任何可能的损坏。

2. 设备安装与初始化配置：完成上架后，将对华为S7703交换机进行详细的安装工作，包括硬件连接、电源接入等。随后，进行初始化配置，设置基础的网络参数、管理IP地址等，确保设备能够正常启动并接入网络。

3. 联调与迁移：在设备成功启动并接入网络后，将进行联调工作，确保两台华为S7703交换机之间以及它们与其他网络设备之间的通信畅通无阻。同时，逐步迁移原有的网络业务至新的交换机上，确保业务连续性不受影响。

4. 技术方案升级：放弃原有的思科VRRP+MSTP方案，转而采用华为的CSS（Cluster Switch System）技术。通过CSS技术，将两台华为S7703交换机虚拟化成一台逻辑上的汇聚交换机，实现设备间的高可用性和负载均衡。同时，确保这台虚拟化的汇聚交换机能够与主机房及备机房的核心交换机实现互通，提升整个网络架构的灵活性和可靠性。

5. 应用测试：迁移完成后，将对所有关键业务进行应用测试，验证新设备在承载业务时的性能和稳定性。通过模拟实际业务场景，确保网络能够正常运行，满足医院的信息系统需求。

6. 网络安全加固：在管理平台、控制平面等关键领域，实施一系列网络安全加固措施。包括加强访问控制、启用安全认证机制、部署防火墙和入侵检测系统等，以防范潜在的网络威胁和攻击，确保医院信息系统的安全稳定运行。

7. 所有的线路必须有清晰且准确的标识，且线路布线必须符合机房线路布线规范。