项

采购人

采购预算（元）

D1

曲靖市住房公积金中心

*******.00

序号

项目名称

配置参数

数量

1

虚拟化服务器

Intel Xeon E7-4820 v4 肆颗，CPU主频≥2.0GHz，CPU线程：10核心,20线程；CPU 3级(L3)缓存≥25MB：256G（8*32GB）四个内存板，4块300G硬盘 2.5寸 SAS 10K HDD，M5210，支持RAID 0，1，10，512MB缓存，集成4口千兆网卡,1块4口千兆网卡 2块双口8GB光纤通道卡,三年原厂保修。

2台

2

光纤交换机

8个端口激活，共24个端口；性能：8 Gb/s，全双工；光纤通道端口类型：F_Port、FL_Port、E_Port、M_Port；介质类型：可热插拔、工业标准LC 小尺寸可插拔(SFP)。短波激光。长波激光，最远30Km ；支持的操作系统：AIX、HP/UX、Microsoft Windows、Linux；可用性特征：可热更换SFP；线材：8根5米LC-LC光纤跳线；电源：要求符合中国国标交流电源及配套线缆；服务要求：三年原厂保修。

2台

3

虚拟化软件

虚拟机可以实现物理机的全部功能，如具有自己的资源（内存、CPU、网卡、存储），可以指定单独的MAC地址等；支持并配置动态资源扩展功能，系统将自动评估虚拟机的性能情况，当虚拟机性能不足时自动为虚拟机添加CPU和内存资源，确保业务持续高效运行；虚拟化内核基于KVM底层开发；支持配置内存回收机制，实现虚拟化平台内存资源的动态复用，保障虚拟机的性能。；支持虚拟机的无代理备份，能提供至少100个虚拟机的高性能备份功能，支持至少8T的备份数据容量的许可，可将直接将虚拟机备份到磁盘，并支持生成全新虚拟机的方式进行恢复；支持虚拟机卡死及蓝屏的检测功能并实现自动重启，无需人工干预减少运维工作量；支持IO重试，当存储出现故障，导致虚拟机无法读取存储数据时，自动挂起虚拟机，避免业务故障。每个虚拟机都可以安装独立的操作系统，为获得良好的兼容性操作系统支持需要包括Windows、 Linux，并且支持国产操作系统包括：红旗linux、中标麒麟、中标普华等；支持通过专用的快虚/快速还原工具，实现快速将物理机转换为虚拟化平台，并且可实现虚拟化平台快速还原为物理机原有操作系统；支持在线的带存储的虚拟机迁移功能，可以在不停机状态下和非共享存储的环境中，实现虚拟机在集群内的不同物理机和上迁移，保障业务连续性；支持虚拟机跨集群的虚拟机迁移；支持虚拟机的HA功能。当物理服务器发生故障时，该物理服务器上的所有虚拟机，可以在集群之内的其它物理服务器上重新启动，保障业务连续性；支持无代理跨物理主机的虚拟机USB映射，需要使用USB KEY时，无需再虚拟机上安装客户端插件，且虚拟机迁移到其它物理主机后，仍能正常使用迁移前所在物理主机上的USB资源，对于业务的自适应能力、使用便捷性更佳；支持纳管第三方主流虚拟化平台，提供对Vmware平台上的虚拟机进行管理。
支持在本地管理平台实现对VMware vCenter中的虚拟机备份，并能够在超融合的平台实现VMware虚拟机的启动恢复；
支持双向迁移，可将VMware虚拟机在运行状态下迁移到超融合平台上，也可将超融合平台上的虚拟机在运行状态下迁移到VMware vCenter的集群中；采用分布式管理架构，去中心化，管理平台不依赖于某一个虚拟机或物理机部署，采用分布式架构保障平台更可靠；虚拟化管理平台具备监控功能，对资源池中CPU、网络、磁盘使用率等指标进行实时的数据统计；支持对平台虚拟机的精细化权限管理，可根据单个虚拟机开关机、打开控制台、删除等操作设定不同的权限，管理员也可以根据用户需求合理分配权限；支持平台中的集群资源环境一键检测，对硬件健康、平台底层的虚拟化的运行状态和配置，进行多个维度进行检查，提供快速定位问题功能，确保系统最佳状态；虚拟化的管理平台、可以支持扩展同一品牌的网络功能虚拟化、虚拟应用防火墙、虚拟应用负载均衡等功能组件的，并支持统一管理，以保障平台的扩展性和兼容性；提供虚拟路由器、虚拟交换机等设备的连通性探测功能，方便在虚拟化环境中，进行相应的故障排除和恢复，能够定位到出现故障的虚拟网络设备，并且能够排查到acl策略配置错误等层面，方便快速排查问题保障业务的高连续性；服务器虚拟化厂商具备CMMI 5级资质，能够提供资质证书并盖章；服务器虚拟化厂商入围2016 X86服务器虚拟化基础架构魔力象限，能够提供Gartner魔力象限报告证明并盖章；能够提供一年原厂售后服务要求

1套8CPU许可

4

终端安全管理系统

操作系统支持Windows XP_SP3及以上/Windows Vista/Windows 7/Windows 8/Windows 10；控制中心采用B/S架构管理端，具备设备分组管理、策略制定下发、全网健康状况监测、统一杀毒、统一漏洞修复、网络流量管理、终端软件管理、硬件资产管理以及各种报表和查询等功能；支持网页访问部署、离线安装包部署、域推送等部署方式，可自定义部署通知邮件及部署通知公告；文件被加入白名单，客户端不再查杀，加入黑名单，客户端不可执行此文件；要求能够支持漏洞利用防御，尤其对通过文件漏洞（尤其是0day漏洞）的攻击行为进行有效检测与防御；（提供功能截图并盖章）；对敲诈者病毒提供防护机制，同时提供解密工具，解密工具应为自主研发；（提供功能截图并盖章）；要求产品具备本地多引擎查杀能力，且引擎可配置；要求产品具备公有云检测能力，并且公有云特征储备超过100亿；要求产品具有定时修复漏洞功能，同时可以设置筛选高危漏洞、软件更新、功能性补丁等修复类型；产品具备漏洞集中修复，强制修复，自动修复；具备蓝屏修复功能；支持冗余有线网卡、无线网卡、3G网卡、MODEM、ADSL、ISDN等设备的外联控制；违规外联发生时可针对内外网连接状态分别设置违规处理措施；支持终端进程红名单、黑名单、白名单功能，可设置核心进程必须运行，也可保护核心进程不被结束；支持管理员对入网的移动存储介质进行注册，可以对已注册的移动介质进行管理，包括学习注册、授权、启用、停用、删除、取消注册、导出注册列表等；支持移动存储介质外出管理，并可以设置外出使用权限以及外出使用次数与有效时间；硬件安全U盘在身份认证之前不能访问数据区密文。在身份认证过程中，存在口令尝试次数限制，可有效防止暴力破解。口令认证过程受安全芯片保护；支持针对Windows XP系统可带来安全隐患的设计机制进行加固性修复，至少支持10以上防护机制；支持Windows XP热补丁修复，公司拥有自己的热补丁引擎；能够提供一年原厂售后服务

1套（120个授权）

5

虚拟化杀毒

采用B/S架构设计，管理控制中心高度集成化，无需额外安装或外接数据库即可实现日志存储和分析展示，无需额外安装或对接升级服务器即可实现文件、特征库的升级和分发；
采用轻量级Agent部署，无需依赖虚拟化平台API即可实现安全防护；客户端支持手动从控制中心获取安装，也可通过管理控制中心批量远程安装；客户端对windows类、linux类；物理服务器、虚拟服务器、桌面云具备相同的防护和部署模式；产品支持对已防护的主机统计在线率，对虚拟机是否安装客户端统计整体部署率；产品应至少支持VMware 、Ctrix、icrosoft、Huawei、H3C、浪潮等国内外主流虚拟化厂商平台，并能够采用一个管理控制中心进行统一管理；产品提供不少于3种病毒查杀引擎，可根据不同虚拟化环境和查杀要求灵活开启与关闭；同时产品应支持利用CPU虚拟化技术提升系统的安全防护能力；提供主动防御保护，智能监控系统文件操作行为，利用文件审计关联技术，实时对病毒木马及恶意相关文件进行拦截和防护，特别是针对近期流行的敲诈者木马能够进行有效拦截；产品应提供对不同压缩包类型文件的监控防护，压缩包监控防护层级不小于10层，压缩包格式支持不少于30种，支持略过特定大小和特定层数的压缩包文件，并可以自定义添加或删除压缩包格式类型；产品应支持对主机安全缺陷、配置进行扫描评估，通过打分形式展现不合规和风险程度。能够对window操作系统上的策略、服务、组件等进行扫描凭，对linux操作系统上的账号、服务、安全参数、进程、配置等进行扫描评估，并给出修复建议，修复建议包括自动修复和手动提示修复；产品应具备由VMware颁发的VMware Ready兼容性认证，提供官方网站截图或证明材料并盖章

1套（40个授权）

6

运维管理软件

平台必须采用全中文界面、B/S架构设计；支持Windows、Linux、国产化麒麟操作系统三种平台运行，可自带数据库，同时支持Oracle数据库、神州通用数据库、MySQL数据库；系统支持在XEN或EXI虚拟化环境独立部署，不需要其它任何硬件或软件资源；应满足国产化要求：支持采用国产化中间件东方通TongWeb运行在国产操作系统麒麟和国产数据库神州通用上；支持分布式采集，在分布式部署情况下，在网络故障时，采集器支持对所有采集数据进行本地缓存，当网络恢复后将数据传回服务器，保证数据的完整性；系统对外提供了各类接口；接口满足ITSS规范。内置了可扩展的资源能力库模型，对于不满足的厂家、型号和指标，系统无需二次开发即可通过系统配置实现，支持对SNMP方式、JDBC方式、JMX方式的指标自定义扩展；支持用户进行展示内容的自定义，可以定义每个展示框的展示内容、定义展示框的排列顺序，支持拖拽式布局、支持设置布局样式等。
提供内置的组件库，包括柱状图、饼状图、图表等展示类型，涵盖网络性能、主机性能、告警等内容；首页组件支持自由拖动和缩放，可自由添加系统内置视图和图表及嵌入的第三方页面，可轻松实现 六宫格，九宫格等布局。首页提供大屏模式，支持多张大屏页面轮询，并支持切换效果设置，同时给用户提供了可定制个性化首页功能，并可将定制首页共享给其他用户；极简模式的操作界面，分别提供工程师工作视图、管理者工作视图，能将复杂的操作与配置等功能通过流程化操作来引导用户使用，使工程师聚焦于发现问题、分析问题和解决问题的过程，而管理者聚焦于核心资源的管理和业务的把控，从人员、资源、技术等方面宏观调配，保障业务的可靠运行；能针对网络故障、网络性能、网络配置进行实时监控，及时发现网络故障、流量异常；支持对资源信息进行手工刷新；资源支持自动刷新，当对板卡、硬盘等组件增删时，系统支持自动发现该变更内容并刷新设备的信息；系统必须具备拓扑自动发现和管理功能，应提供快速准确的拓扑发现，拓扑搜索功能可以切换到后台运行，以便拓扑搜索时不影响其他功能的操作和运行；提供快速准确的拓扑发现，并提供二层拓扑、三层拓扑等；提供全国地图自动绘制功能，包括全国、省、市、区县四级拓扑显示，支持地图上各地域节点与资源的一对一映射绑定，支持各地域节点间的核心链路绘制与运行动态实时监控，支持逐层钻取和投放大屏显示；系统支持网络设备的端口流量的分析管理，可以对所有端口的状态设置告警，系统提供网络设备的所有端口的历史流量查看功能，可以通过鼠标单击端口等简单操作，快速调出端口1小时，一天，或者任意时间段的流量情况，出流量和入流量通过不同颜色在同一窗口展示；支持对Windows、Sun Solaris、IBM AIX、HP-UX、SCO UnixWare、RedHat、CentOS、SUSE、Fedora、Ubuntu、FreeBSD、SCO Openserver、Neokylin等操作系统的监控；支持对IBM X86服务器、IBM小机、HP服务器、HP刀片服务器、DELL服务器、方正服务器，华为服务器、浪潮服务器、曙光服务器、思科服务器、SUN服务器、联想服务器、富士通服务器等服务器硬件监控。
支持对Oracle、Oracle RAC、DB2）Informix、Sybase、SQLServer、MySQL、PostgreSQL、神州通用、Cache、达梦等数据库的监控；支持对Apache、Tomcat、Nginx、Lighttpd、Weblogic、WebSphere AS、WebSphere Portal Server、Oracle AS、Sun JES AS、JBoss AS、Resin、TongWeb、Nginx、ActiveMQ、RabbitMQ、Webspere MQ、 Oracle AS、CICS 7、TongLINK/Q、SharePoint、ICE、Tuxedo等监控；支持对通用和基础应用Ping、URL、Port、FTP、DNS、POP3、SMTP、端到端Remote Ping 标准应用等的监控；提供多种告警方式，支持声光报警、短信网关、告警客户端
支持对主流虚拟化资源的监控管理，系统必须能够支持虚拟化设备的监控管理，包括VMWare ESX/VCenter、Xen、FusionComputeSite、KVM等，支持自动发现宿主机下的虚拟机，支持对虚拟化平台的Cluster集群、主机、数据存储、虚拟主机等资源监控管理；支持自动发现宿主机、虚拟机、虚拟存储等的变化，当新增虚拟机、删除虚拟机等情况时，新增的虚拟机自动加入监控，删除的虚拟机自动进行删除；系统必须支持对Nas存储的监控管理，提供对主流厂商存储设备的监控。包括：IBM DS磁盘阵列、IBM NetAPP磁盘阵列、EMC VNX/UNX/CX/NS磁盘阵列、HP MSA磁盘阵列、HP 3PAR磁盘阵列、日立HDS磁盘阵列、华为OceanStor磁盘阵列、浪潮AS磁盘阵列、浪潮AS鲸鲨存储、Synology(群晖) NAS、富士通磁盘阵列、海康威视DS磁盘阵列等存储设备；提供性能报告、告警统计报告、TOPN报告、可用性报表、趋势报告、分析报告、综合报告等报表；对所监控资源可以进行分类报表，也可以统一报表，在一张报表对系统中所管理的所有资源数据进行统一呈现，可以根据需求定制需要展现的各类资源；表提供章节定义，可以根据需要定义不同的章节、定义指标的汇总数据、指标的详细数据；提供报告/报表订阅功能，用户可以订阅需要的报告。系统会自动生成相应的报告，发送给相关人员；报表支持Word、PDF、Excel等格式进行导出；可以满足各类业务的报表需求；支持对所有资源日志的存储、查询、统计、分析和告警并支持对日志数据进行定制开发；系统具备自身日志审计功能，包括登录日志和用户操作日志，支持备份和还原功能；能够提供一年原厂售后服务。

1套

7

业务监控软件

IT服务综合管理系统应基于Web的集中管理模式，遵循面向对象的设计结构；系统应融合主机系统管理、应用服务管理等各种IT因素的统一管理平台，能够实现上述各项管理数据的共享集中、互通互融，能够综合量化用户IT基础设施和业务的总体服务品质。通过使用该系统，使用户能实现对服务器、业务系统等进行集中统一的管理；使用户能实现从业务角度来管理IT基础架构；技术要求：
1.J2EE企业级平台开发，产品支持跨操作系统、支持多数据库、支持分布式部署。
2.支持插件化开发。
3.工作流组件，集成activiti工作流引擎。
4.用户权限，强大的数据权限，实现不同人看不同数据，不同人对同一页面操作不同功能。
5.简易EXCEL导出。
6.移动图表，图表采用echarts技术，可以手机端查看。
7.支持多种浏览器：IE10/11，Chrome，Firefox，Safari等。
8.环境支持：jdk1.7+，WebSphere，DB2
主要功能：
1.能够支持统一集中的事件管理，系统能够对不同渠道发出的预警信息和故障信息进行整合和自动化的处理，实现过滤和相关性分析的处理；系统应将上述告警信息进行统一格式化后实现集中统一的管理，减少单个事件多处报警、多次报警造成的区划不明、责任不清重复排查的情况。
2.能够定时任务集中管理；系统可针对不同类型的事件对象配置多种定时策略，相对传统的每台主机配置定时任务的模式，统一管理定时任务的方式可使管理者对所有被管理对象将要执行的任务一目了然，并极大的简化了对分散的主机中定时任务的修改、删除操作。
4.能够支持统计分析；系统提供所有管理信息的各种统计分析报告，展示格式应包括：曲线图、直方图、线面图、数据表、仪表图、EXCEL文件等；并提供历史数据的查询和导出；统计时段单位可以是年、月、日、小时，分钟等。该功能能够使管理者更加直观的了解已经配置的管理数据内容。
5.能够支持分级分域，权限管理；不同岗位的管理者所需管理的对象、以及各自的操作职权都不尽相同。用户和角色管理：为保证安全性，所有登录的用户均采用统一的安全认证。通过用户和角色控制每个管理员的权限，实现用户和角色的多对多管理，严格划分职责和权限。超级管理员可以创建角色和用户，并为不同的角色分配不同的功能权限和管理域权限。角色的功能权限分配：功能权限是指管理员在系统管理页面中能进行哪些功能操作。超级管理员可以为不同的角色分配不同的功能权限。不同权限的管理员通过Web登录系统后将看到完全不同的功能页面。系统采用三权分立机制，避免信息安全问题。能够提供一年售后服务

1套

8

汇聚交换机

交换容量≥340Gbps，整机转发性能≥100Mpps；整机可用端口数≥28，其中千兆电口≥24，千兆光口≥4；要求设备单端口支持的MAC地址用户数≥4k；支持静态路由、RIP、OSPF；为保障设备环境适应能力，要求设备支持0℃-70℃宽温工作，提供第三方权威机构出具的测试报告证明并盖章；为保障设备稳定性，要求采用无风扇设计；支持识别终端接入IP、MAC、端口等信息，并关联用户身份；支持对病毒的网络层传播行为进行溯源及阻断，防止内网病毒扩散；支持防IP扫描、防UDP端口扫描、防TCP端口扫描等异常行为；支持“肉鸡”源主机的溯源及阻断；支持IP仿冒、MAC仿冒溯源与阻断；支持识别IPC等哑终端设备类型，并支持开启终端安全功能，只允许特定类型的设备接入网络；若交换机本身不具备以上功能，需配置具备相应功能的客户端软件，数量应不少于交换机端口数；支持中文管理界面、WEB管理接口、SNMP v1/v2/v3；设备厂商具备国家认监委 -QC080000电气与电子元件和产品有害物质过程控制管理体系认证（证明文件需提供复印件，并盖章）；设备厂商具备《信息安全服务资质证书》（安全工程类二级）（证明文件需提供复印件，并盖章）；能够提供三年原厂售后服务

2台

9

容灾防火墙

采用多核架构，标准2U机箱，单电源，主机带不少于6个10/100/1000Base-T接口，不少于4个SFP插槽，不少于2个扩展板卡插槽，支持液晶屏；吞吐量不低于6G，并发连接数不低于200万，每秒新建连接不低于12万/秒；产品支持路由、桥接、交换以及混合模式接入，并且支持旁路模式；支持链路聚合，采用802.3ad协议，可根据：MAC和IP组合、源目的MAC组合、或TCP/UDP端口组合等方式实现负载和备份；支持完善的地址转换转换配置，并至少支持FULL_CONE和SYMMETRIC模式；支持IPv4到IPv6的目的地址转换和IPv6到IPv4的源地址转换；支持从指定的入接口或源ISP接收到的DNS解析请求，设备可根据自定义的IP、域名对应关系，代理DNS服务器返回查询结果；支持针对IPv6会话访问控制及流量统计；
支持配置虚拟系统接口，虚拟系统之间的连接和访问不占用物理接口；
支持基于源安全域、目的安全域、源用户、源地址/地区、目的地址/地区、服务、应用、隧道、时间、VLAN等多种方式进行访问控制。
支持地理区域对象的导入，且支持地理对象的访问控制；支持对网络中风险主机和失陷主机的统计状态，可查看风险详细信息，并提供一键跳转处置（能够提供截图并盖章）；所投设备需提供关联分析面板，可将Top应用、Top威胁、Top URL分类、Top源地址、Top目的地址等信息关联，并支持以任意元素为过滤条件进行数据钻取；支持自定义一个或多个过滤条件，防火墙上的全部日志进行模糊检索或指定条件的精确检索，快速定位特定目标当前行为是否存在异常，网络中是否存在异常等问题；支持本地、云端病毒查杀； 支持双系统备份，且在系统切换中可实现配置的自动迁移；可记录不同时间点的历史配置文件；支持基于网络活动，威胁活动、阻止活动等多维关联统计及分析，发现异常行为；防火墙产品具有高性能一体化智能安全处理引擎国家版权局软件著作权登记证书及防火墙高性能IPV6防火墙系统软件著作权登记证书，（能够提供证书复印件并盖章）；
能够提供三年原厂售后服务

2台

10

负载均衡

1、 接口及性能要求：吞吐量≥7Gbps；并发会话数≥3,500,000；七层新建会话数≥70,000；四层新建会话数≥150,000；6个千兆电口，4个千兆光口,2U标准机架式设备。
2、支持串接部署、旁路部署；支持三角传输模式
3、必须独立专业负载设备，非插卡式扩展的负载均衡设备。
4、支持轮询、加权轮询、加权最小连接、动态反馈、最快响应、最小流量、带宽比例、哈希、主备、首个可用、UDP强行负载等算法。
5、支持基于链路负荷情况的繁忙保护机制，能根据链路的上行/下行带宽占用率情况执行对出站/入站流量的高级调度策略。
6、支持基于目的域名或ISP地址段来配置出站访问的链路调度策略。
7、支持DNS透明代理功能，可基于负载均衡算法代理内网用户进行DNS请求转发，避免单运营商DNS解析出现单一链路流量过载，平衡多条运营商线路的带宽利用率。
8、支持编程语言（如Lua）自定义的流量编排方法，可通过编程脚本的方式实现负载均衡、会话保持和DNS处理等功能的灵活处理。
9、同时支持国密和通用商密算法。
10、所投产品厂家通过CMMI5认证以保证产品代码质量与稳定性。（能够提供证明材料并盖章）
11、设备生产商的负载均衡类产品入选Gartner应用交付控制器（ADC）魔力象限报告，属于国际市场认可的知名品牌；能够提供证明并盖章。 12、能够提供三年原厂售后服务

2台

11

核心交换机

体系架构：机框式插卡设备，具有专用操作系统，稳定可靠；本次选购设备可以使用主控集成交换芯片的设备，也可以使用交换网板与主控分离的设备，如果使用交换网板与主控分离的设备，需要配置交换网板数量≥4；引擎： 配置主控≥1；电源： 支持冗余交流电源，最大可配置2个交流电源，本次实配电源数≥2；业务槽位数 ≥4；端口要求： 每台配置≥24个GE RJ45；≥24个GE SFP以太网接口模块，≥2个万兆光口，SFP+万兆多模光模块≥2；交换容量：交换容量≥25.6Tbps；整机转发性能：包转发率≥4800Mpps；业务板卡类型要求： 支持防火墙业务板,IPS业务板,审计及流控业务板,负载均衡业务板,WAF(网页防护)业务板，漏洞扫描业务板，SSLVPN、BRAS业务板；IPv4协议： 硬件支持分布式IPv4线速处理，其中路由协议必须支持RIP、OSPF V2、IS-IS和BGP,组播协议必须支持IGMP V1/V2/V3 Snooping、PIM-SM、PIM-DM、PIM-SSM和IGMP Filter ；访问控制： 每板支持8k ACL，支持Ingress/Egress CAR，粒度8Kbps；安全机制 ：支持Web认证，支持MAC认证，支持AAA/Radius，支持SSHv1.5/SSHv2；级联功能： 支持多台设备进行级联，支持跨机框业务板卡级联；VLAN ：支持动态划分VLAN；支持静态VLAN和802.1Q VLAN Trunk；VLAN数≥4K；OS ：每端口支持8个优先级队列，支持SP、WRR、SP+WRR三种队列调度算法；生成树协议 ：支持STP/RSTP/MSTP协议，符合IEEE802.1D、IEEE802.1W、IEEE802.1S标准；组播协议 ：至少支持PIM-DM、PIM-SM,至少支持MSDP，MP-BGP；MPLS VPN ：具备并配置二、三层MPLS VPN；支持分布式 MPLS VPN处理；（如需增加license开启该功能，必须配置相应license）；端口聚合： 支持跨模块的端口聚合，可负载分担的聚合组数不小于128组；虚拟化： 支持多虚一虚拟化、一虚多虚拟化部署，提供第三方专业测试机构的测试报告，提供虚拟化部署用户使用报告≥3份；SDN： 支持Openflow1.3协议标准；端口镜像： 支持多个物理端口的流量镜像到一个端口；支持跨单板的端口镜像；支持跨设备的端口镜像；支持流镜像到端口；可以根据L2-7层协议特征定义业务流，并按需指定流量经过的物理/逻辑业务模块；支持设备在线状态监测机制，实现对包括主控引擎，背板，芯片和存储等关键元器件进行检测；支持主机和业务模块统一IP管理和统一的配置界面，支持统一网管功能，支持紧耦合部署；能够提供三年原厂维保

2台

12

服务器防火墙

标准1U机架式硬件设备；基于专用多核处理器、非X86硬件架构，Web界面可显示处理器核心数，且各核心均参与工作；支持自动和手动备份，能够保存5个以上的文件，支持配置回滚；支持针对不同策略、不同流量修改TCP，UDP和ICMP协议的连接超时时间；防火墙吞吐量≥6Gbps；并发连接数≥200万；具备≥24个千兆电口，≥2个千兆光口，并含≥2个高速USB2.0接口，1个RJ45串口 ；包过滤、应用状态检测防火墙；支持Syslog、NAT转换、攻击防范、黑名单、地址绑定等日志；支持组播NAT；支持基于源、目的会话数限制；支持MPLS环境组网；虚拟系统支持独立管理功能
支持FTP、GTP、H.323、IRC、MMS、PPTP、RPC、DNS、TFTP、SIP等预定义协议的ALG功能，且支持自定义ALG协议；支持NAT64、NAT66、DS-Lite等IPv6环境下的地址转换技术； 支持按照会话数量、新建速率、吞吐量、CPU使用率、内存使用率来划分虚拟防火墙； 支持为虚拟系统管理员定义配置范围、配置权限，可以精细化分配每一个虚拟防火墙所支持的功能特性； 支持实时监控和查询网络中各协议的会话信息，支持自动生成趋势图便于管理员查看会话趋势；支持多种路由隔离技术，解决多用户组以及IP地址重叠问题；支持对被保护对象的流量进行分析，发现被保护对象的不同业务流量情况，支持生成和导出相关报告；支持对被保护对象的流量进行分析，通过对流量日志的统计整理，自动生成包过滤策略；支持通过命令行的方式对数据流进行分析，帮助迅速定位网络故障；双机模式下，支持主备两台设备采用同一套IP地址，简化配置，节约公网地址；双机支持A/S，A/A方式部署，支持配置同步，会话同步和用户状态同步；友好的Web图形界面配置，支持SSH、、TELNET、CONSOLE命令行模式配置
支持对设备进行实时监控，并形成基本性能监视视图，对CPU和内存使用率、电源和风扇状态、CPU和主板温度等信息进行监控；支持网管软件统一网管，支持SNMPv1、SNMPv2C、SNMPv3；设备厂商具备国家认监委 -QC080000电气与电子元件和产品有害物质过程控制管理体系认证（以上证明文件需提供复印件，并盖章）；设备厂商具备《信息安全服务资质证书》（安全工程类二级）（以上证明文件需提供复印件，并盖章）；能够提供三年原厂售后服务

2台

13

服务器交换机

交换容量≥340Gbps，整机转发性能≥136Mpps;
整机可用端口数≥52，其中千兆电口≥48，千兆光口≥4;
要求设备单端口支持的MAC地址用户数≥4k;
支持静态路由、RIP、OSPF;
为保障设备环境适应能力，要求设备支持0℃-70℃宽温工作，提供第三方权威机构出具的测试报告证明并盖章;
为保障设备稳定性，要求采用无风扇设计;
支持识别终端接入IP、MAC、端口等信息，并关联用户身份
支持对病毒的网络层传播行为进行溯源及阻断，防止内网病毒扩散，
支持防IP扫描、防UDP端口扫描、防TCP端口扫描等异常行为。
支持“肉鸡”源主机的溯源及阻断;
支持IP仿冒、MAC仿冒溯源与阻断;
支持识别IPC等哑终端设备类型，并支持开启终端安全功能，只允许特定类型的设备接入网络;
若交换机本身不具备以上功能，需配置具备相应功能的客户端软件，数量不少于交换机端口数
支持中文管理界面、WEB管理接口、SNMP v1/v2/v3
设备厂商具备国家认监委 -QC080000电气与电子元件和产品有害物质过程控制管理体系认证(以上证明文件需提供复印件，并盖章)
设备厂商具备《信息安全服务资质证书》（安全工程类二级）(以上证明文件需提供复印件，并盖章)；
能够提供三年原厂售后服务

2台

14

网闸

2U机箱，冗余电源，液晶面板；内网：不少于6个10/100/1000M，4个千兆SFP接口，1个扩展插槽，1个Console口，2个USB口；外网：不少于6个10/100/1000M，4个千兆SFP接口，1个扩展插槽，1个Console口，2个USB口；系统吞吐量≥900Mbps，交换带宽≥5Gbps；
软件功能包含文件交换模块、数据库访问模块、FTP访问模块、邮件访问模块、安全浏览模块、TCP/UDP定制模块；
内、外网分别具有液晶屏，能够显示产品品牌、型号、CPU/内存占用率、网络接口状态等信息。
支持带内管理，可通过业务口进行网闸管理工作；用户可自行选择是否启用带内管理功能；（能够提供截图并盖章）
管理员及审计员区分并独立，支持分权管理，对管理员角色定制，可以添加多个管理员角色，并定制权限
可提供网闸最新事件追踪，方便及时掌握网闸安全策略命中情况、异常告警情况、任务健康状态等信息；
支持设备健康状态追踪，通过可视化界面实时显示设备健康状态；
支持设备诊断信息导出
文件交换支持多种同步模式： 完全一致、完全复制、首次复制+新增、源端移动、源端删除等多种模式。
文件安全策略细分到任务，可按需配置全局策略或细分任务策略；
数据库同步由网闸主动发起并完成，不需要第三方软件支持（无需在数据库安全任何第三方软件）
数据库库名控制、数据库表控制，可以根据用户与数据库表对应关系，进行相应数据库操作过滤；
支持双引擎病毒模块，可根据用户需求选择需要的病毒引擎；(能够提供截图并盖章)
能够提供三年原厂售后服务

1台

15

堡垒机

标准1U机架设备、单电源、2T硬盘，6个千兆电口，三年设备保修服务；
支持字符并发不低于1000，图形并发不低于300，至少支持200个被管资源授权。
专用安全操作系统，软硬件一体化，物理旁路，逻辑串联模式，不影响正常业务流量；
防止堡垒机单网口故障,要求堡垒机具备网口聚合功能；
产品应满足以下我单位使用的运维协议，包括：字符协议：SSHv1、SSHv2、TELNET、RLOGIN；图形协议：RDP、VNC；文件传输协议：FTP、SFTP；数据库协议：支持Oracle（支持ORACLE RAC）、MS SQL Server、IBM DB2、Sybase、IBM Informix Dynamic Server、MySQL、PostgreSQL等数据库类型；
要求应用发布进行协议审计，记录命令详情，包括字符协议和数据库协议等，审计回放支持协议回放和图形回放；
支持web页面防跳转功能，进行http/https访问过程中，运维人员仅允许访问授权地址；
RDP协议支持剪切板、本地磁盘映射功能，所有图形协议支持自适应本地浏览器窗口大小；
RDP协议支持windows服务端开启安全层SSL加密，加密级别符合FIPS标准，允许运行使用网络级别身份验证的远程桌面的计算机连接；
RDP图形操作过程中键盘输入操作记录和鼠标点击行为记录，支持开启或关闭键盘输入审计功能，支持RDP窗口标题审计，并支持窗口标题内容检索定位回放；
分布式部署：支持添加一台或多台协议代理服务器，分担审计中心性能压力；并支持通过不同的协议代理服务器节点访问不同的资源，多协议代理服务器节点可访问相同资源时实现自动负载均衡；
按着国家等级保护三级要求，重要信息系统登陆至少要求两种以上身份证，要求堡垒机在登陆认证方面至少满足以下要求：本地账号+密码认证；内置USB-KEY和动态口令卡，无需再单独配置服务器；短信认证、吉大正元证书认证；北京数字证书认证；格尔证书认证；其它外部认证支持Windows AD/RADIUS/LDAP；支持多种认证方式组合的双因素认证，可自定义组合，且每个用户可单独设置；
产品应满足方便运维使用要求，具备HTTP访问和运维客户端访问两种以上访问功能，在我单位使用浏览器和JAVA环境与堡垒机运行环境冲突时，可使用运维客户端访问，提高运维人员作效率；
根据网络安全法第四十二条网络运营者不得泄露、篡改、毁损其收集的个人信息要求，要求堡垒机具备对oracle,postgresql,sybase,mysql,sqlserver数据库下行返回行数全面记录和oracle数据库变量绑定要求，防止运维人员通过修改数据变量，躲避对数据库操作审计；
能够提供原厂三年售后服务

1台

16

日志审计

2U标准机架式设备；冗余电源；系统具有6个千兆日志采集口；支持Console口管理；系统有效存储容量不少于2TB。默认支持80个审计对象授权。提供3年硬件保修服务。
支持SNMP Trap、Syslog、ODBC\JDBC、文件\文件夹、WMI、FTP、SFTP、NetBIOS、OPSEC等多种方式完成日志收集功能。
能够根据收到事件的设备地址自动识别新的资产并自动添加到资产库中。
系统必须内置基本的仪表板。用户可以在工作台中自定义仪表板，按需设计仪表板显示的内容和布局，可以为不同角色的用户建立不同维度的仪表板；
对不支持的事件类型提供可扩展功能；支持长安全事件格式；对日志设备类型、日志类型、日志级别等可进行重定义；
支持对日志的过滤和合并；合并支持设定合并的时间范围；
系统需内置不同分析场景，包括各种实时分析场景、历史统计场景、实时统计等。并支持支持自定义场景；
统计分析模式下支持柱状图、饼图等形式的统计信息可视化展示；根据统计结果可直接钻取符合条件的日志。
内置报表模板，可预览、导出；系统内置报表编辑器，可以自定义报表。
支持报表调度，即报表可设置首次生成时间和间隔生成时间，生成后可指定直接发送到接收人邮箱。
内置Cisco PIX和交换机的事件编码知识库；内置Windows、Linux、Solaris、AIX操作系统的事件ID知识库；内置Oracle、SQL Server、MySQL、Informix、DB2数据库的事件编码知识库；能够查看系统内置的事件库中事件类型名称及其描述信息。
能够提供三年原厂售后服务

1台

17

安全准入

具有独立自主知识产权，须为标准机架式硬件产品。
1U机架结构；单电源；标准配置6个1000MBASE-T接口；
每秒事务数（TPS)：≥1000（次/秒），最大吞吐量：≥500Mbps，最大并发连接数：1000（条）；授权终端：500个
支持在IPv4和IPv6双栈环境下的终端准入控制
支持客户端和WEB页面显示进行中英文双语切换
1. 支持Virtual Gateway的VLAN隔离技术。
2. 具有自主知识产权的准入控制技术2项。
具有非智能IP终端信息库，并进行自动匹配和归类。
1、 能够自动绘制出网络拓扑图。
2、 交换机面板图形化（up、down、trunk、单/多MAC等），以及各接口下联的终端详细信息（IP、地址、MAC地址等）。
1. 提供独立的智能终端入网引导界面的自主定制功能。
2. 能够提供移动终端入网的设备注册功能。
1、 准入设备至少提供30种以上安全检查项。
2、 必须能够在终端入网前进行安全检查和修复。
能够提供三年原厂保修服务

1套

18

SSL VPN

VPN专用硬件平台，1U 机箱，单电源，不少于4个10/100/1000电口，1个扩展槽，不少于50用户授权。
支持多链路接入、支持策略路由、支持链路聚合
支持动态域名解析，支持希网、花生壳动态域名设置
支持预防"syn flood"攻击，忽略icmp回显请求（不能被ping）。
可单独对每个应用发布业务进行负载均衡，具有轮询、加权轮询、最少连接数、静态就近性、动态就近性等算法来实现
支持基于用户、用户组分配虚拟IP，并且支持虚拟IP绑定功能
支持终端使用Win7、win7 64位、win8、win10、Mac、Linux等操作系统登录，保证登录后能够正常访问SSL VPN发布的服务
支持国产化中标麒麟操作系统客户端APP，在Linux系统平台下不依赖火狐浏览器，具备独立的SSLVPN客户端
支持更细化的用户权限功能，可以对访问的服务的IP地址、域名、端口、应用、URL地址等进行权限控制。
支持组管理员， 组管理员由系统管理员设定。组管理员可以进到配置端查看组信息，可以基于此组建立第二级的子组，可选择用户，选择主机绑定策略；设置终端安全策略；设置隧道控制策略；设置访问控制策略
支持动态令牌APP根据网关配置的安全策略，进行Root、越狱检测，杀毒检测，若不通过，禁止登录和绑定。
为了保障用户账号和硬件DEVID唯一合法性和首次绑定，通过邮箱、短信之间的“与”、“或”验证码完成认证。
支持Android平台杀毒功能，并根据杀毒的结果提示安全和不安全根据IOS或Android的状态root、越狱、杀毒结果进行准入控制
能够提供三年原厂售后服务

1台

19

数据库审计系统

1U机架式设备，单电源，6GE，1×扩展槽位（可扩展4GE/4SFP/2SFP+）。
I5CPU，16G内存，2T存储空间；
纯数据库流量90Mbit，每秒入库量6000条/秒，峰值SQL吞吐量8000条/秒，并发会话3000个；
4亿条在线SQL语句存储支持；
30亿条归档SQL语句存储支持；
支持10个数据库实例，支持2个应用的关联审计；
支持国际主流数据库Oracle、SQL Server、MySQL、DB2、Postgres、sybase、informix、cacheDB等；
国产数据库DM、GBase、KingBase等；
审计内容： 会话的终端信息：IP、MAC、Port、工具名称（程序名）
会话的主机信息、IP、MAC、Port、数据库名（实例名）
会话的其它信息：登录时间、会话时长
操作信息：操作类型（DDL、DML、DCL等）、操作时间、执行时长、操作成功与失败、操作对象（表、函数、存储过程名称）、SQL语句
操作影响范围信息：查询、修改、删除操作的影响行数,以及返回行数
审计策略的要素：
where：IP地址、用户名、端口号、数据库类型
who:用户名
what:表、存储过程、函数、视图、包
when
how：DDL、DML、DCL
other：影响行数、返回行数等
能以完全精确方式，审计到应用端相关信息，包括应用用户等；在并发1000个连接的情况下，准确率应达到100%准确。
支持Weblogic、tomcat、Websphere、Jboss等主流的应用服务器。
能对基于数据库漏洞进行攻击行为监测和告警，默认支持400个以上的数据库漏洞攻击规则库。
对以下高危行为，可自动识别并进行风险处理、告警通知:
1. 批量数据导出：对超过特定行数阀值的批量数据导出行为
2. 高危操作：对超过特定行数阀值的批量数据修改、删除，或全表Update、Delete行为等
3. 新型语句的识别
4. SQL注入行为的识别
基于数据库设置，从优先级和规则类别两个层面创建并查询审计规则
根据风险忽略、高风险、中风险、低风险四个层级逐级命中规则；
风险操作支持多条规则逻辑关联，根据排列顺序区分优先级；
支持SQL注入监测：根据IP，sql特征和正则表达式自定义SQL注入
支持数据库漏洞监测和审计语句统一管理。
三个纬度的导航：
会话维度、风险纬度、sql分布
操作记录的信息：审计结果中包括：告警级别、事件发生时间、客户端IP、目标数据库IP、操作类型、客户端MAC地址、客户端端口号、返回状态、结果信息、客户端执行命令等详细信息内容。
支持基于时间、IP地址、数据库服务器IP地址、用户名、数据库操作命令、数据库表名，执行结果，应用用户等多种丰富的查询检索条件。
风险分析：根据敏感语句、sql注入、漏洞攻击、风险操作等维度以时间维度统计数据库分信息。支持规则命中查询、支持风险检索。
语句分析：基于SQL语句的操作类型统计，支持失败sql统计、Top sql统计；支持针对新型语句、语句审计模板检索。
会话分析：基于客户端IP、数据库用户、访问程序统计会话、支持会话检索；失败会话和并发会话统计；支持应用层关联会话查询。
提供图表结合的展形式，支持柱状图、饼状图、折线图等多种展示方式.
支持风险语句挖掘和超链接钻取。
支持（系统级）多数据库聚合报表展现和单数据库综合性报表展现。
基于总体概况、性能、会话、语句、风险多层面展现报表。
支持图表结合展现，支持柱形图、饼状图、条形图，双轴折线图等多种统计图展现形式。
支持报表定时推动功能，自定义推送周期以邮件形式推送报表文档。
支持日、周、月 等综合性报表和自定义分析型报表功能。
文档格式：WORD\ PDF\CVS\ HTML\
支持敏感语句告警策略。自定义添加敏感语句和信任语句
根据风险操作、SQL注入、漏洞攻击检测、语句管理等模块定义告警规则
支持高、中、低风险告警。
支持系统资源监控与告警。
告警方式包括：邮件、短信、SYSLOG、SNMP
在旁路部署模式下，通过TAP、SPAN等技术将网络流量映射到审计设备，对数据库流量进行审计和告警。
支持数据库自动发现。设备无需添加、即插即用。
中文界面，B/S架构
检索能力：1亿条数据规模 <20秒
根据三权分立的原则。提供系统管理员、安全管理员和审计管理员不同的用户身份验证。系统针对产品操作人员的操作行为进行审计记录，可以由审计管理员进行查询，具有自身安全审计功能。提供审计数据管理功能，能够实现对审计数据的自动备份、删除和导入。
能够提供三年原厂保修服务

1套

20

柜员接入交换机

交换容量≥340Gbps，整机转发性能≥136Mpps；
整机可用端口数≥52，其中千兆电口≥48，千兆光口≥4
要求设备单端口支持的MAC地址用户数≥4k；
支持静态路由、RIP、OSPF；
为保障设备环境适应能力，要求设备支持0℃-70℃宽温工作，提供第三方权威机构出具的测试报告证明并盖章；
为保障设备稳定性，要求采用无风扇设计；
支持识别终端接入IP、MAC、端口等信息，并关联用户身份
支持对病毒的网络层传播行为进行溯源及阻断，防止内网病毒扩散，
支持防IP扫描、防UDP端口扫描、防TCP端口扫描等异常行为。
支持“肉鸡”源主机的溯源及阻断。
支持IP仿冒、MAC仿冒溯源与阻断。
支持识别IPC等哑终端设备类型，并支持开启终端安全功能，只允许特定类型的设备接入网络。
若交换机本身不具备以上功能，需配置具备相应功能的客户端软件，数量不少于交换机端口数
支持中文管理界面、WEB管理接口、SNMP v1/v2/v3
设备厂商具备国家认监委 -QC080000电气与电子元件和产品有害物质过程控制管理体系认证
设备厂商具备《信息安全服务资质证书》（安全工程类二级）
以上证明文件需提供复印件，并盖章；
能够提供三年原厂售后服务

1台

21

管理部交换机

交换容量≥340Gbps，整机转发性能≥100Mpps；
整机可用端口数≥28，其中千兆电口≥24，千兆光口≥4
要求设备单端口支持的MAC地址用户数≥4k；
支持静态路由、RIP、OSPF；
为保障设备环境适应能力，要求设备支持0℃-70℃宽温工作，提供第三方权威机构出具的测试报告证明并盖章。
为保障设备稳定性，要求采用无风扇设计；
认证及安全特性： 支持识别终端接入IP、MAC、端口等信息，并关联用户身份
支持对病毒的网络层传播行为进行溯源及阻断，防止内网病毒扩散。
支持防IP扫描、防UDP端口扫描、防TCP端口扫描等异常行为。
支持“肉鸡”源主机的溯源及阻断。
支持IP仿冒、MAC仿冒溯源与阻断。
支持识别IPC等哑终端设备类型，并支持开启终端安全功能，只允许特定类型的设备接入网络。
若交换机本身不具备以上功能，需配置具备相应功能的客户端软件，数量应不少于交换机端口数；
支持中文管理界面、WEB管理接口、SNMP v1/v2/v3
设备厂商具备国家认监委 -QC080000电气与电子元件和产品有害物质过程控制管理体系认证（以上证明文件需提供复印件，并盖章）
设备厂商具备《信息安全服务资质证书》（安全工程类二级）
（以上证明文件需提供复印件，并盖章）；
能够提供三年原厂售后服务

9台

22

外网防火墙

1. 接口及性能要求：吞吐量≥5.5Gbps,并发连接数≥200万，每秒新建连接数≥60,000，至少具有6个10Mbps/100Mbps/1000Mbps自适应电口, 1U标准式机架式设备。
2. 支持路由，网桥，单臂，旁路，虚拟网线以及混合部署方式。支持链路聚合，上下行接口联动，802.1Q VLAN Trunk、access接口，子接口，支持静态路由，动态路由支持RIP，OSPF，支持基于5元组和应用类型的策略路由；
3. 支持多链路出站负载，支持基于源/目的IP、源/目的端口、协议、应用类型以及国家地域来进行选路的策略路由选路功能；
4. 支持根据国家/地区来进行地域访问控制；
5. 访问控制规则支持数据模拟匹配，输入源目的IP、端口、协议五元组信息，模拟策略匹配方式，给出最可能的匹配结果，方便排查故障，或环境部署前的调试；
6. 支持针对SMTP、POP3、IMAP邮件协议的内容检测，如邮件附件病毒检测、邮件内容恶意链接检测，邮件账号撞库攻击检测等，支持根据邮件附件类型进行文件过滤；
7. 设备具备独立的入侵防护漏洞规则特征库，特征总数在7000条以上；
8. ★支持对常见应用服务（HTTP、FTP、SSH、SMTP、IMAP、POP3、 RDP、Rlogin、SMB、Telne、Weblogic、VNC）和数据库软件（MySQL、Oracle、MSSQL）的口令暴力破解防护功能；
9. 可提供最新的威胁情报信息，能够对新爆发的流行高危漏洞进行预警和自动检测，发现问题后支持一键生成防护规则；
10. 设备具备独立的WEB应用防护识别库，特征总数在3000条以上；
11. 支持针对网站的漏洞扫描进行防护，能够拦截漏洞扫描设备或软件对网站漏洞的扫描探测；
12. 支持Web漏洞扫描功能，可扫描检测网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞；
13. 支持对网站黑链进行检测；
14. 支持Windows和Linux系统下网页防篡改功能；
15. ★支持僵尸主机检测，支持对终端已被种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为；
16. ★支持云端守护，可通过微信实时查看高危安全事件，可通过邮件接收策略调优报告、巡检报告，了解设备运行状态；
17. 支持自动生成安全风险报表，报表内容体现被保护对象的整体安全等级，发现漏洞情况以及遭受到攻击的漏洞统计，具备有效攻击行为次数统计和攻击举证；
18. 支持安全可视化，支持对经过设备的流量进行分析，发现被保护对象存在的漏洞（非主动扫描），并根据被保护对象发现漏洞数量进行TOP 10排名，列出每个服务器发现的漏洞类型以及数量，支持生成和导出威胁报告，报告内容包含对整体发现的漏洞情况进行分析； （能够提供威胁报告并盖章）
19. 所投产品厂商研发实力通过CMMI L5（五级）认证，能够提供证书并盖章；
20. 所投产品厂商应是国家互联网应急响应中心网络安全应急服务支撑单位（国家级），能够提供证书并盖章。
能够提供三年原厂售后服务

2台

23

WEB防火墙

网络吞吐量不低于6Gbps，应用层处理能力不低于1Gbps，HTTP新建连接数大于10000/s，网络并发并发连接数不低于100万，HTTP并发不低于64万，标准2U机箱，不少于1TB硬盘，单电源，标准配置不少于2个千兆SFP插槽，6个10/100/1000M自适应电口，2组bypass，1个Console口，2个USB口.Web安全保护64个站点。包含不少于2套网页防篡改软件。
产品具备支持旁路流量牵引部署方式，通过BGP路由牵引和SNAT回注方式对流量进行过滤
产品具备支持镜像分析数据并实现旁路阻断功能，产品具备专门的阻断接口设置
产品具备自学习系统，无需人工干预，自动获取网站相关信息
产品具备根据网站流量自动生成网站文件和URL地址的树形结构展示拓扑图
产品具备实时网站流量态势感知监测功能，不需要借助第三方设备就可以对数据分析和展示，并支持全屏效果展示
产品具备全国地理位置的攻击态势实时效果展示效果
产品具备实时攻击趋势展示，提供攻击字数效果展示，并用不同颜色表示低、中、高的攻击趋势效果
产品具备支持SQL注入、跨站脚本、防爬虫、扫描器、信息泄露、溢出、协议完整性等至少7种知识库展示说明
产品具备支持HTTP协议校验细粒度规则检测，至少提供20种HTTP协议校验策略参数，其中要包括Cookies、Response、Range等策略参数
产品具备支持威胁情报中心联动功能，具备FTP、API、key联动方式
产品具备至少提供3个威胁情报中心联动的接口配置功能，同时收集多家数据情报供设备使用
产品具备支持windows、linux的32位与64位操作系统的网页防篡改功能，并提供相应的客户端下载功能
产品具备网页防篡改客户端与Web应用防火墙实时联动，支持断点检测状态检测机制
产品具备对CDN、XFF的IP地址的日志记录功能，为网站攻击溯源提供技术依据
产品具备移动终端对设备的一键管控功能，提供网站一键下线的终端应急措施
能够提供三年原厂售后服务

1台

24

外网柜员接入交换机

交换容量≥340Gbps，整机转发性能≥136Mpps，
整机可用端口数≥52，其中千兆电口≥48，千兆光口≥4
要求设备单端口支持的MAC地址用户数≥4k，
支持静态路由、RIP、OSPF，。
为保障设备环境适应能力，要求设备支持0℃-70℃宽温工作，提供第三方权威机构出具的测试报告证明并盖章。
为保障设备稳定性，要求采用无风扇设计
支持识别终端接入IP、MAC、端口等信息，并关联用户身份
支持对病毒的网络层传播行为进行溯源及阻断，防止内网病毒扩散，
支持防IP扫描、防UDP端口扫描、防TCP端口扫描等异常行为。
支持“肉鸡”源主机的溯源及阻断。
支持IP仿冒、MAC仿冒溯源与阻断。
支持识别IPC等哑终端设备类型，并支持开启终端安全功能，只允许特定类型的设备接入网络。
若交换机本身不具备以上功能，需配置具备相应功能的客户端软件，数量不少于交换机端口数
支持中文管理界面、WEB管理接口、SNMP v1/v2/v3
设备厂商具备国家认监委 -QC080000电气与电子元件和产品有害物质过程控制管理体系认证（以上证明文件需提供复印件，并盖章）
设备厂商具备《信息安全服务资质证书》（安全工程类二级）（以上证明文件需提供复印件，并盖章）；
能够提供三年原厂售后服务

1台

25

上网行为管理

1. 性能参数：设备吞吐量≥250Mbps；并发会话数≥600,000；用户规模数≥600；至少具备4个千兆电口；1U标准机架式设备；
2. 设备支持网关、网桥、旁路等部署模式，支持NAT、路由转发、DHCP、GRE、OSPF等功能，支持基于虚拟化平台的软件版本，支持VMware//zen/KVM的虚拟平台；
3. 支持部署在IPv6环境中，其所有功能（认证、应用控制、内容审计、报表等）都支持IPv6；
4. 具有IPSec VPN远程加密访问和连接的模块，并能提供IPSec VPN客户端授权远程接入访问；支持硬件特征码绑定认证；IPsec VPN支持与LDAP服务器、Radius服务器结合认证；
5. 支持链路负载功能，按剩余带宽、带宽比例、平均分配、前面优先的方式进行多链路负载，支持链路故障检测；
6. 支持Web访问质量检测，可针对内网用户的web访问质量进行检测，对整体网络提供清晰的整体网络质量评级，支持以列表形式展示访问质量差的用户名单，支持对单用户进行定向web访问质量检测，能够提供产品界面截图并盖章；
7. 支持二维码认证，管理员扫描访客的二维码后对其网络访问授权
8. 支持多终端自定绑定，同一个账号可以与指定数量的多个终端进行自动绑定；
9. 针对用户密码管理，支持设置用户密码不能等于用户名，新密码不能与旧密码相同，可设置密码最小长度，可设置密码必须包括数字或字母或特殊字符。
10. 设备具有丰富的应用识别规则库，支持根据标签选择应用，标签分类至少包含安全风险、高带宽消耗、发送电子邮件、降低工作效率、外发文件泄密风险、主流论坛和微博发帖6大类，支持给每个应用自定义标签；
11. 为了保证行为管控的准确率，要求设备内置应用识别规则库，支持超过6000条应用规则数，支持超过2800种以上的应用，1000种以上移动应用，并保持每两个星期更新一次，保证应用识别的准确率；能够提供产品界面截图并盖章。
12. 支持应用细分控制，支持对新浪微博、腾讯微博、网易微博等进行细分控制，如：登录、浏览、发微博、上传附件等，支持对网易网盘、金山快盘、华为网盘等云盘类应用做细分控制，如：登录、上传、下载等。
13. 支持对移动应用的细分权限控制，微信：微信网页版、微信传文件、微信朋友圈、微信游戏，移动QQ：QQ传文件、QQ视频语音等。
14. 设备支持防共享，支持添加信任列表；
15. SSL加密内容过滤，针对SSL加密的网站、论坛发帖、web邮箱以及客户端邮箱（如闪电邮）的内容进行关键字过滤；
16. SSL加密内容审计，针对SSL加密的网站、论坛发帖、web邮箱以及客户端邮箱（如闪电邮）的内容进行审计；
17. 支持办公上网态势分析，直观展示访问次数和在线用户数；支持图形形式，动态显示整体上网态势，包括：总体应用流速趋势、单位流量分布、应用流量分布、热门应用排行等；支持轮播形式显示各部门应用流量分布；至少提供三种页面布局选择，用户可根据需要灵活配置；
18. 设备内置业界知名杀毒引擎，支持HTTP下载、FTP下载、POP3、SMTP杀毒，病毒库支持通过服务器或本地加载病毒库方式定期升级
19. 为了保证产品的成熟稳定，所投产品厂商研发能力通过国际认证CMMI 五级认证，能够提供证书并盖章；
20. 所投产品厂商具备国家级应急中心应急支撑单位CNCERT证书，能够提供证书并盖章；

1台

26

自助终端机

控制单元模块：工业级工控主机（支持24小时开机）；CPU：i3系列双核处理器及以上或同等规格处理器；内存：4GB ；硬盘：500GB机械硬盘（可选配同等规格固态硬盘） ；串口：十个及以上；USB接口：六个（含）以上（仅用于系统维护，客户操作界面不可见）；网卡：两个（要求100M及以上）。显示触摸一体屏：19英寸电容屏：分辨率：1280×1024 ；支持多点触控；特殊要求：防尘、防暴、防刮擦；支持防窥，防窥可视区域60度
触摸屏：类型： 19寸4:3；电容屏（十点触控)；分辨率：4096*4096；定位精度：2mm；特殊要求：防尘、防暴、防刮擦、防水；寿命：5000万次，不低于10万小时；电磁屏：能以原始轨迹数据、矢量图片方式保存签名数据。笔压感级数：1024级；可提供原笔迹签字功能驱动和开发支持，符合《电子签名法》规定，能够以明文或者密文存储带压感的轨迹数据，提供API把存储的轨迹数据转换为图片或者PDF格式；签字笔：集成手写签字板+电磁感应笔；通过笔写输入，笔迹保真；笔压感级数：1024级；压力范围：30G~500G；接口：USB接口；交互屏：21.5寸TFT液晶显示器（16:9）；分辨率：1920*1080(max)；显示颜色：16.7百万色，亮度：250cd/㎡，防暴、防水、防尘；满足交互及相关政策信息宣传功能；激光打印机：打印方式：黑白高速激光打印；纸盒容量：标准纸盒250张；纸张尺寸：支持A4、A5打印纸；打印速度（A4，黑色）：33页/分钟；首页打印机时间（黑色）：6.5秒；打印机纸盒：增加550页纸仓扩展；盖章模块：印章寿命：>100万次；传输速度：可根据打印机的走纸速度进行调整；盖章数量：可实现一张A4纸张上盖1～3个印章；通道卡纸率：低于1‰；印章材质：印章材质为铜材，坚固耐用，寿命大于100万次；印章数量：2个（横向、纵向各一枚）；封章方式：机械封章；印章位置：一般加盖印章位于回单或对账单右下角（第四象限内），印章上的文字与打印文字方向一致，而且可以根据实际需求灵活调整；安全性：模块通过加锁保护印章；打开锁后需要专用工具才能拆装；自助机具设备配备两把锁，分别用来控制柜门和内部的印章，用户无法直接接触到印章；印油加装方式：通过印油瓶（15ml一瓶）直接滴入印油池，每次加油后可清晰盖章25000个，不需要拆卸部件，方便快捷，可维护性好；盖章合格率优于99.9%；读卡器： 电动式;磁条卡可读,IC卡可读写；ISO7811 标准读/写，1、2、3磁道可读；IC卡标准： ISO 7816（T = 0或 T = 1）CPU卡，符合人民银行颁布的《中国金融集成电路（IC）卡规范》2.0版本；卡位置检测:光电检测；掉电吐卡、超时、非法卡收卡；寿命:150万次或5年。密码键盘：标准EPP硬加密金属小键盘(16键), 其中10只数字键(0－9),6只功能键；支持盲文提示；材质：不锈钢金属；密钥存储方式:可存储16组64位的密钥,只能写入不能读出,应用程序不可读。加密模块从密码键盘拆离时,启动硬件加密模块中的密钥自毁功能,保证密钥不离开自助终端设备,确保密钥的安全；
加密算法支持DES、3DES算法及ANSI X 9.8PIN Block 格式,符合ANSI X9.24安全标准；带密码键盘防窥罩，具有防尘、防水、防暴及防偷窥功能的安全措施；通过中国银行卡检测中心测试认证。吸入式二代证：符合身份证阅读器标准，兼容ISO14443(TypeB)标准；接口：USB接口；图像格式：BMP 、JPG ；输出: 150dpi、200dpi、300dpi灰度或彩色图像，扫描图像支持自动纠偏、裁剪功能，输出图像与证件原始大小一致；波特率：115200bps；阅读距离：0~3cm；阅读时间：<2s；吸入方式：电动吸入式
扫描方式：馈纸方式（探测到证件后自动进卡或者指令控制进卡）,双面扫描，前进前出；支持强制退出键。支持掉电时自动吐证。指纹仪：接口：USB接口；单指纹存储容量：256 字节；指纹图像采集时间（从传感器检测到手指按上至将整个指纹图像读入所需时间）：≤ 1 秒；特征生成时间：≤ 1 秒；指纹匹配时间： 1:1比对模式< 80ms、1：N(512) ≤ 1 秒；
探测技术/探测位置：电容式/真皮层；抗电磁干扰指标：达到国际电工委员会的IEC 6 1000-4-3 标准；支持掉电、过流、过压、短路、极性反接等保护措施。高拍仪：拍摄尺寸：A4幅面；分辨率：2048×1536或以上；
扫描速度：约1秒；图像色彩：24位；图片格式：JPEG、GIF、BMP、TIF等；自动图片矫正功能。支持各类证件、凭证拍照，照片无反光；
传输接口：USB。人脸摄像头：像素≥130万 ；捕获幅面≥1280*720；
视像解析度≥1280*720；数据接口：USB，支持隐蔽化处理；可支持人脸识别、采集、比对功能；全景摄像头：最大分辨率/帧率：130万像素/30fps及以上；视角：120 度广角及以上；具备还原非广角影像功能；
具有视频录制功能。人体感应器：可感知人体接近状态，并通知设备启动/关闭屏幕或切换应用画面或广告画面；感应距离:0~100厘米；感应技术：红外；感应角度：30度；SIU控制板：能获取柜门开关状态；每一个需要与客户交互的必要模块支持通过LED指示灯方式进行操作指引，灯光柔和。话机：支持正常语音通话，响应摘机挂机事件；具有较强降噪功能，能够清晰录音；外形及连接装置支持防盗、防爆；具有电话线收线装置、伸缩线拉出电话线范围内的任意长度可自锁。拾音器：频率范围：100Hz-16KHz；阻抗：≤2.2kΩ；灵敏度：-58dB±3dB (0dB=1Pa)；信噪比：≥60dB；方向性：全指向性。操作系统：预装中文简体Windows 7 操作系统；电源模块：负载稳定度：±1％典型值 ；压稳定度：0.5%典型值 ；纹波及噪声：1％峰峰值 ；输出电压：DC5V，12V，24V；其他功能：过压保护、过流保护、短路保护；机柜柜体：整机采用优质冷轧钢材制造，坚硬厚实，结构厚度1.5mm以上；防水、防锈、防腐、耐磨；模块全部采用拖拉式道轨维护，内部布线整齐规范；独立的通风系统设计。设备辅料：包括设备内需要的喇叭、线缆、风扇、包装、底托等辅助性材料；提供1年原厂免费上门保修

12台

27

系统集成

（一）、实施内容：

对所购置的光纤交换机、交换机、防火墙等安全设备，安装调试并测试，满足应用软件使用需要；
2、按照应用开发商的要求，共同提出适合于本项目应用系统运行的集成方案和系统配置方案，负责服务器虚拟化实施、存储分区规划及实现、Zone划分等硬件设备配置工作；
3、根据应用软件运行、系统连续运行和数据安全需要，进行虚拟机创建，安装数据库、中间件等系统软件，并结合应用特点和负载情况进行优化，提高应用软件运行效率；
4、完成网站、网厅、微信、综合服务平台系统的迁移及测试，保证所迁移系统正常运行；
5、如果软件产品的部署和集成随着系统应用的深入需要不断进行调整，投标方需配合完成部署和集成的调整工作。

（二）、工作要求

1.系统集成步骤按照统筹规划、计划安排、安装配置、系统调优、验收测试、运维管理、现场培训、运维服务。对于上述几个步骤，都必须先编写提交文档，后具体实施，文档要准确无误。

2.系统调优。在系统的开发、测试、上线、调优各阶段工作中，按照应用软件开发商的要求，共同制定硬件系统调整方案并由投标方实施。系统集成期间，若需要更改体系架构，所涉及的系统集成工作，无条件完成。

3.关键时间值班。在整体联调测试、压力测试、系统上线等关键实施期间，要求投标方安排工程师在现场值班以随时排除故障和调整的服务。

（三）项目的工作内容及成果文档的提交

必须提交以下内容：

系统集成实施方案

系统集成测试文档

系统集成运维手册

（四）系统测试

投标方必须制定系统整体测试方案。

（五）项目验收

项目验收工作由住房公积金管理中心与投标方共同组成验收小组，形成到货验收和综合验收报告。

（六）项目人员配置要求

项目人员的组成要求具有相关项目及相关设备的服务经验。

（七）技术培训要求

1、要求投标方负责对用户进行全面的技术培训（培训费用包含在总报价中），使用户可以独立完成硬件设备和系统软件的日常健康检查，遇到故障能进行初步诊断，配合售后服务人员完成故障解决。

2、培训对象为系统管理员和所有系统使用人员，投标方需提供免费的、标准的纸质培训教材。

3、技术培训内容及时间安排：投标方要负责派出具有工程师以上职称并具有教学经验的教员，在用户方指定地点、时间提供培训服务。

4、提供的技术培训内容应包括：所提供硬件产品的操作使用方法，维护管理的技术等。

（八）、售后服务要求

1、系统验收合格后，继续提供1年维护服务。要求建立一整套规范的技术支持服务运作体系和流程，指定稳定的技术服务队伍，提供故障诊断、技术咨询、故障排除、1年2次现场巡检的技术支持服务。

2、服务期内，服务响应时间为1小时，如果需要到达现场，则投标方24小时内派技术人员到达现场解决问题。

3、除现场支持外，投标方还应提供远程支持，通过电话、电子邮件和即时通讯等手段向用户提供服务。

4、应保证所提供的产品不存在任何权利上的瑕疵，其产品的销售和使用不侵犯第三方合法权益。

一次