项目编号

S2019

设备明细及参数要求

内网安全感知分析平台

安全感知平台：1台

1. 硬件指标：小于等于2U，≥ 32G内存，≥SSD 128G系统盘、≥SATA 16T存储，≥6个千兆电口2. 资产主动识别：主动发现内网未被定义的设备资产的IP地址，分钟级发现未配置资产；可以识别内网服务器资产的IP地址，操作系统，开放端口以及传输使用协议和应用；能够按资产IP地址/地址段，组合成为特定的业务组。3. 访问关系展示：通过访问关系学习展示用户、业务系统、互联网之间访问关系，能够识别访问关系的who,what,when,how。通过颜色区分不同危险等级用户、业务系统。4. 支持全网业务可视化，可以呈现全网业务对象的访问关系与被入侵业务的图形化展示。支持用户自定义的业务资产管理的可视化5. 内网违规访问，攻击行为，异常流量的图形化展示：展示内网针对不同业务资产的正常访问，违规访问，攻击行为，异常流量，并用颜色区分。6. 安全日志：支持所有安全设备的安全日志汇总，并能够通过时间、类型、严重等级、动作、区域、ip、用户、特征/漏洞ID、回复状态码、域名/URL、设备名称等多个条件查询过滤日志。7. 大屏展示功能：全网攻击监测大屏：支持安全态势感知，对全网安全事件与攻击的地图展现与可视化展现。按攻击事件、攻击源、攻击目标、攻击类型、危害级别进行统计与展示；业务外连监控大屏：展示资产/业务被外网攻击的实时动态地图，图形化大屏展示。可以可视化展示业务系统的外连区域，外连应用以及对应关系（提供截图证明并加盖制造商公章）8. 风险用户可视化：对高危用户进行可视化展示，对高危用户的风险操作，攻击行为，违规行为，影响业务进行可视化展现，并按确定性分类为失陷用户，高危用户，可疑用户。9. 设备制造商研发体系通过国际认证；（提供证书复印件并加盖制造商公章）10. 设备制造商具备国家应急中心应急支撑单位CNCERT证书（国家级）；（提供证书复印件并加盖制造商公章）11. 厂商需是中国反网络病毒联盟ANVA成员单位；提供证明截图并加盖厂商公章12. 厂家需是国家信息安全漏洞共享平台(CNVD)技术组成员，提供证明截图并加盖厂商公章13. 为了便于维护，需在招标后签订合同前提供产品制造商针对本项目的售后服务承诺函加盖制造商鲜章

安全感知探针：2台

1. 性能与硬件规格：包转发率≥1.5Gbps，小于等于2U，SATA ≥1T，≥4个千兆电口,≥4个千兆光口2. 基础检测功能：具备报文检测引擎,可实现IP碎片重组、TCP流重组、应用层协议识别与解析等, 具备多种的入侵攻击模式或恶意URL监测模式,可完成模式匹配并生成事件,可提取URL记录和 域名记录,在特征事件触发时可以基于五元组和二元组(IP对)进行原始报文的录制。3. 监测识别规则库：能够识别应用类型超过1100种，应用识别规则总数超过3000条，具备亿万级别URL识别能力。漏洞利用规则特征库数量在4000条以上，漏洞利用特征具备中文相关介绍，包括但不限于漏洞描述，漏洞名称，危险等级，影响系统，对应CVE编号，参考信息和建议的解决方案4. 异常会话监测：可实现对外联行为分析、间歇会话连接分析、加密通道分析、异常域名分析、上下行流量分析等在内 的多场景网络异常通信行为分析能力。5. web应用安全检测能力：支持针对B/S架构应用抵御SQL注入、XSS、系统命令等注入型攻击；支持跨站请求伪造CSRF攻击检测；支持对ASP,PHP,JSP等主流脚本语言编写的webshell后门脚本上传的检测；支持其他类型的Web攻击，如文件包含，目录遍历，信息泄露攻击等的检测；6. 产品应具备独立的Web应用检测规则库；支持敏感数据泄密功能检测能力，支持敏感信息自定义，支持根据文件类型和敏感关键字进行信息过滤；7. 支持对终端种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为；8. 违规访问检测：能够针对IP，IP组，服务，端口，访问时间等策略，主动建立针对性的业务和应用访问逻辑规则，包括白名单（哪些访问逻辑是正常的）和黑名单（哪些访问逻辑肯定是异常的）两种方式，并对检测到的违规访问进行实时告警。9. 流量记录：能够对网络通信行为进行还原和记录，以供安全人员进行取证分析，还原内容包括：TCP会话记录、Web访问记录、SQL访问记录、DNS解析记录、文件传输行为、LDAP登录行为。10. 设备制造商研发体系通过国际认证；（提供证书复印件并加盖制造商公章）；具备国家应急中心应急支撑单位CNCERT证书（国家级）；（提供证书复印件并加盖制造商公章）11. 为便于与安全感知平台日志分析，需与安全感知分析平台兼容且为同一品牌。

应标公司要求：1. 熟悉我院网络结构和状况（能给出详细的拓扑图，业务流向图）2. 与我院有正式业务往来（复印以往合同佐证）3. 在质保期内提供原厂的安全服务（病毒爆发或安全事件发生时的应急响应服务，安服人员现场支撑，每季度安全策略梳理和调整）4. 负责此次采购的设备上线的安装调试，策略调整，物理线路改造（此过程中需要的跳线等耗材免费提供，不另计费用）。5. 上述所有软硬件质保6年，7*24小时现场服务，所有产品在招标后签订合同前提供原厂授权和售后服务承诺函加盖鲜章。6.所有推荐产品应为拿到我院已测试过的产品

输液系统服务器：1台

C P U： 2*14core2.0以上主频CPU

内 存：64G

网 卡：4个千兆电口

阵列：R1+0 ，1块盘做热备

硬 盘：3T可用空间，SAS盘

电 源：双电源

系 统：64位2012R2（正版激活）

管 理：服务器需带ILO4远程管理芯片及端口并激活

应标公司要求：上述所有硬件质保6年，7*24小时现场服务，在招标后签订合同前提供原厂授权和售后服务承诺函加盖鲜章。

虚拟化集群安全加固微隔离软件：1套

1. 此次采购10颗物理CPU的授权（采用报单价的形式,后期会扩容）授权包含业务模块虚拟化防火墙的永久授权（不得因为任何产品授权过期造成防火墙功能中断，影响正常业务，厂家出具原厂证明加盖鲜章，如因授权到期造成业务中断，须负责所有损失）2. 产品质保6年售后服务维保和相应功能库6年的升级支持（在招标后签订合同前提供原厂售后服务承诺函加盖鲜章）3. 支持随着云平台物理主机规模扩大，系统性能弹性扩展，系统吞吐量依据授权数量最大可扩展至1Tbps；最大可以扩展至3.4亿并发、每秒新建连接数最大可以扩展至600万/秒4. 支持VMware 5.0/5.1/5.5/6.0/6.5/6.7版本的标准环境，无需vShield、NSX Manager组件支持；支持VMware+NSX环境 6.2.x/6.3.x/6.4.x；支持原生OpenStack L/M/O版本5. 管理、主控、业务模块分离的全分布式架构系统，无需在Hypervisor或虚拟机内部安装驱动软件或代理软件6. 支持动态获取虚拟机名字和地址对应关系，实现基于虚拟机名字的访问控制策略，支持基于虚机名称为对象的安全策略控制，且支持通配符方式定义动态地址簿7. 支持透明串接和旁路模式部署、无需改变现有的虚拟机配置和网络结构8. 支持虚拟机迁移(vMotion)时会话不中断，以及支持系统在线不间断（ISSU）升级（提供产品界面截图）9. 支持以逻辑拓扑图的方式展示威胁可视化效果（提供产品界面截图）10. 可以实现同一PortGroup内不同虚机间隔离控制，支持对防火墙策略命中次数进行统计，支持ALG功能，支持策略冗余检测，对策略重叠性检查（提供产品界面截图）11. 支持会话、新建连接的控制功能，要求能够基于源IP/源IP范围、目的IP/目的IP范围、应用协议等条件做会话数限制（提供产品界面截图）12. 支持在线抓包功能，可以自定义抓包条件源目IP、应用、协议、源目端口，可以导出抓包文件（提供产品截图）13. 为保证产品兼容性所投产品品牌必须为vmware认证的partner。（提供VMware官网链接证明及截图。）；具备公安部颁发的“虚拟化云安全防火墙销售许可证”；（需提供复印件证明）；具有虚拟化微隔离系统著作权，以及相关测试报告；（需提供复印件证明）14. 为了便于维护，需在招标后签订合同前提供产品制造商针对本项目的售后服务承诺函加盖制造商鲜章

应标公司要求：1. 熟悉我院网络结构和状况（能给出详细的拓扑图，业务流向图）2. 与我院有正式业务往来（复印以往合同佐证）3. 在质保期内提供原厂的安全服务（病毒爆发或安全事件发生时的应急响应服务，安服人员现场支撑，每季度安全策略梳理和调整）4. 负责此次采购的设备上线的安装调试，策略调整，物理线路改造（此过程中需要的跳线等耗材免费提供，不另计费用）。5. 上述所有软硬件质保6年，7*24小时现场服务，所有产品在招标后签订合同前提供原厂授权和售后服务承诺函加盖鲜章。6.所有推荐产品应为拿到我院已测试过的产品

网络交换机

光纤模块

数据中心交换机：2台

1. 2台数据中心交换机 2. 配置模块化双交流电源，可热插拔3. 配置48个万兆光口向下兼容千兆、6个40G光口4. 支持静态路由、RIP V1/V2、RIPng 、OSPF、OSPFv3、IS-IS、IS-ISv6、BGP、BGP4+，支持策略路由；支持虚拟化，Telnet，Web，SSh管理能力；端口支持QOS限制，端口镜像，绑定MAC，ACL，端口组播和广播抑制，VLAN数据不少于2000个，生成树，硬件支持IPv6 5. 背板带宽≥8Tbps、包转发率≥1600 Mpps，所有端口实配全线速6. 设备选型需考虑与我院现有核心H3C12508的兼容性问题（后期如因兼容性问题，造成业务中断，所有损失需负责）7. 需要在招标后签订合同前提供原厂授权和售后服务承诺函（加盖鲜章）8. 设备外型1U

本部外网核心交换机：2台

1. 2台外网核心交换机（做irf）2. 交换机配置模块化双交流电源3. 交换机配置24个100/1000Base-X SFP光口，8个复用的10/100/1000Base-T以太网端口，4个万兆SFP+口4. 交换机交换容量≥1Tbps、包转发率≥216Mpps；5. 支持静态路由、RIP V1/V2、RIPng 、OSPF、OSPFv3、IS-IS、IS-ISv6、BGP、BGP4+，支持策略路由；支持虚拟化，Telnet，Web，SSh管理能力；端口支持QOS限制，端口镜像，绑定MAC，ACL，端口组播和广播抑制，VLAN数据不少于2000个，生成树，硬件支持IPv66. 需要在招标后签订合同前提供原厂授权和售后服务承诺函（加盖鲜章）7. 设备外型不得大于2U

茶园外网核心交换机：1台

1. 1台核心交换机（需与原来外网核心做IRF） 2. 配置模块化双交流电源 3. 交换机配置48个万兆光口（向下兼容千兆）、6个40G光口 4. 设备外型1U 5. 交换容量≥8Tbps、包转发率≥1600Mpps 6. 支持静态路由、RIP V1/V2、RIPng 、OSPF、OSPFv3、IS-IS、IS-ISv6、BGP、BGP4+，支持策略路由；支持虚拟化，Telnet，Web，SSh管理能力；端口支持QOS限制，端口镜像，绑定MAC，ACL，端口组播和广播抑制，VLAN数据不少于2000个，生成树，硬件支持IPv6，支持NAT，ACL等网络命令 7. 需要在招标后签订合同前提供原厂授权和售后服务承诺函（加盖鲜章）

40G光模块：8块

40G多模40GBASE-LR4 QSFP+ 光模块 100m及以上（适用于H3C和华为交换机）

万兆多模模块：22块

SFP+ 万兆模块(850nm,300m,LC)（适用于H3C和华为交换机）

40G堆叠线缆：4块

40G堆叠电缆（适用于H3C和华为交换机）

万兆单模模块：14块

SFP+ 万兆模块(1310nm,10km,LC)（适用于H3C和华为交换机）

千兆多模模块：10块

光模块-SFP-GE-多模模块-(850nm,0.55km,LC)（适用于H3C和华为交换机）

千兆单模模块：10块

SFP-GE-单模模块-(1310nm,10km,LC)（适用于H3C和华为交换机）

应标公司要求：1. 熟悉我院网络结构和状况（能给出详细的拓扑图，业务流向图）2. 与我院有正式业务往来（复印以往合同佐证）4. 负责此次采购的设备上线的安装调试，策略调整，物理线路改造（此过程中需要的跳线等耗材免费提供，不另计费用）。5. 中标公司负责把新购的交换机与原来的两台交换机设备做IRF。6. 上述所有软硬件质保6年，7*24小时现场服务，所有产品在招标后签订合同前提供原厂授权和售后服务承诺函加盖鲜章。

边界网关

临江门边界网关：1台

1. 性能参数：三层吞吐量≥10Gbps，应用层吞吐量≥2Gbps；并发连接数≥220W，新建连接数≥12W；SSL VPN最大并发接入数1000，SSL最大加密流量300Mbps；IPSec VPN推荐接入隧道数≥1000，IPSec VPN加密速度≥300Mbps；2. 硬件指标：硬件外型≥2U；双电源；≥18个千兆电口,≥4个千兆光口，≥1个串口（RJ45），≥2个USB 2.0；3. 产品质保6年售后服务维保和相应功能库6年的升级支持（包括云安全服务）（原厂售后服务承诺函加盖鲜章）4. 支持基本防护和地址转换，VPN等基本功能，路由，网桥，单臂，旁路，虚拟网线以及混合部署方式；支持链路聚合，上下行接口联动；支持802.1Q VLAN Trunk、access接口，子接口；双机支持A/S，A/A方式部署，支持配置同步，会话同步和用户状态同步；访问控制支持基于八元组的访问控制规则，八元组包括源／目的IP，源／目的端口，源／目的区域，用户（组），应用类型，服务类型细化控制方式；访问控制规则支持数据模拟匹配，输入源目的IP、端口、协议五元组信息，模拟策略匹配方式，给出最可能的匹配结果，方便排查故障，或环境部署前的调试；支持同防火墙访问控制规则进行联动，可以针对检测到的攻击源IP进行联动封锁，支持自定义封锁时间；支持设备上抓包分析，考虑与连接链路上的其它安全产品的异构化5. 可提供最新的威胁情报信息，能够对新爆发的流行高危漏洞进行预警和自动检测，发现问题后支持一键生成防护规则；（提供相关功能截图证明并加盖厂商公章）6. WEB应用安全防护： 支持针对网站的漏洞扫描进行防护，能够拦截漏洞扫描设备或软件对网站漏洞的扫描探测；支持Web漏洞扫描功能，可扫描检测网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞（提供相关功能截图证明并加盖厂商公章）；支持对网站黑链进行检测；支持Windows和Linux系统下网页防篡改功能7. 支持对终端被种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为；具备同云端安全分析引擎进行联动的能力，上报可疑行为并在云端进行沙盒检测，下发威胁行为分析报告8. SYSLOG日志功能：提供丰富的日志信息9. 支持资产的自动发现以及资产脆弱性和服务器开放端口的自动识别（提供相关功能截图证明并加盖厂商公章）；支持对检测到的攻击行为按照IP地址的地理位置信息进行威胁信息动态展示，实时监测和展示最新的攻击威胁信息（提供相关功能截图证明并加盖厂商公章）；支持自动生成安全风险报表，报表内容体现被保护对象的整体安全等级，发现漏洞情况以及遭受到攻击的漏洞统计，具备有效攻击行为次数统计和攻击举证（提供相关功能截图证明并加盖厂商公章）10. 要求厂商参与国家公共安全行业标准GA/T 1177- 2014标准起草制定,并具有公安部颁发的第二代防火墙销售许可证，要求所投产品入围三年年Gartner企业级魔力象限；产品Web应用防护能力经过国际知名实验室NSS Labs测试，并获得recommended推荐级别；（提供NSS Labs相关测试报告）11. 为了便于维护，需在招标后签订合同前提供产品制造商针对本项目的售后服务承诺函加盖制造商鲜章

专网边界网关：1台

1.性能参数：三层吞吐量≥3.5G，应用层吞吐量≥600M，并发连结数150W，新建连接数（CPS）≥30000个，SSL VPN接入数（最大）1000个，SSL最大加密流量≥200M ，IPSec VPN隧道数（最大）1000个，IPSec VPN加密速度60M； 硬件参数：≥4G内存，≥SSD 64G硬盘，≥4个千兆电口，≥4个千兆光口2、基础网络特性：支持路由，网桥，单臂，旁路，虚拟网线以及混合部署方式；支持链路聚合，上下行接口联动；支持802.1Q VLAN Trunk、access接口，子接口；双机支持A/S，A/A方式部署，支持配置同步，会话同步和用户状态同步；3、基础防护：访问控制支持基于八元组的访问控制规则，八元组包括源／目的IP，源／目的端口，源／目的区域，用户（组），应用类型，服务类型细化控制方式；访问控制规则支持数据模拟匹配，输入源目的IP、端口、协议五元组信息，模拟策略匹配方式，给出最可能的匹配结果，方便排查故障，或环境部署前的调试；支持根据国家/地区来进行地域访问控制；（提供相关功能截图证明并加盖厂商公章）；4、入侵防护功能：支持对常见应用服务（HTTP、FTP、SSH、SMTP、IMAP、POP3、 RDP、Rlogin、SMB、Telne、Weblogic、VNC）和数据库软件（MySQL、Oracle、MSSQL）的口令暴力破解防护功能；5、具备防护常见网络协议（SSH、FTP、RDP、VNC、Netbios）和数据库（MySQL、Oracle、MSSQL）的弱密码扫描功能； 6、支持同防火墙访问控制规则进行联动，可以针对检测到的攻击源IP进行联动封锁，支持自定义封锁时间；7、可提供最新的威胁情报信息，能够对新爆发的流行高危漏洞进行预警和自动检测，发现问题后支持一键生成防护规则；（提供相关功能截图证明并加盖厂商公章）8、终端安全：支持对终端被种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为；具备同云端安全分析引擎进行联动的能力，上报可疑行为并在云端进行沙盒检测，下发威胁行为分析报告（提供具备相关云端查杀能力的证明并加盖厂商公章）；9、安全可视化：支持资产的自动发现以及资产脆弱性和服务器开放端口的自动识别（需提供相关功能截图证明并加盖厂商公章）；支持对检测到的攻击行为按照IP地址的地理位置信息进行威胁信息动态展示，实时监测和展示最新的攻击威胁信息（需提供相关功能截图证明并加盖厂商公章）；支持自动生成安全风险报表，报表内容体现被保护对象的整体安全等级，发现漏洞情况以及遭受到攻击的漏洞统计，具备有效攻击行为次数统计和攻击举证（提供安全报表并加盖厂商公章）；10、网页防篡改：支持在服务器上安装防篡改插件；客户端插件支持记录尝试修改，删除，新增被保护目录下文件的行为日志；支持在网关设备设置对通过FTP方式登录网站管理后台进行邮件二次认证; 支持在网关设备设置对通过CMS方式登录网站管理后台进行邮件二次认证；11. SYSLOG日志功能：提供丰富的日志信息12、资质要求：设备制造商具备CMMI L5认证证书；设备制造商应为国家级网络安全应急服务支撑单位，提供资质截图并加盖厂商公章；产品Web应用防护能力经过国际知名实验室NSS Labs测试，并获得recommended推荐级别；（提供NSS Labs相关测试报告）；厂商需是中国反网络病毒联盟ANVA成员单位，提供证明截图并加盖厂商公章；厂商需是国家信息安全漏洞共享平台(CNVD)技术组成员，提供证明截图并加盖厂商公章；要求厂商是微软安全响应中心（Microsoft Security Response Center）发起的MAPP（Microsoft Active Protection Program）计划成员，可在微软发布每月安全公告之前获得微软产品的详细漏洞信息，为用户提供更及时的安全防护，提供证明截图并加盖厂商公章

应标公司要求：1. 熟悉我院网络结构和状况（能给出详细的拓扑图，业务流向图）2. 与我院有正式业务往来（复印以往合同佐证）3. 在质保期内提供原厂的安全服务（病毒爆发或安全事件发生时的应急响应服务，安服人员现场支撑，每季度安全策略梳理和调整）4. 负责此次采购的设备上线的安装调试，策略调整，物理线路改造（此过程中需要的跳线等耗材免费提供，不另计费用）。5. 上述所有软硬件质保6年，7*24小时现场服务，所有产品在招标后签订合同前提供原厂授权和售后服务承诺函加盖鲜章。6.所有推荐产品应为拿到我院已测试过的产品

防火墙

临江门内外网隔离防火墙：1台

1. 端口配置：千兆光口≥24个，千兆电口≥8个，扩展槽≥2个（提供产品实物图片，并加盖原厂鲜章）；2. 防火墙性能要求：大包吞吐量（1518字节）≥20Gbps；小包吞吐量（64字节）≥5Gbps；最大并发连接数≥250万；每秒新建连接数≥15万；3. 支持静态路由，等价路由，支持RIP、RIPng；OSPFv2/v3动态路由协议，支持多链路出站负载，支持基于ISP的智能路由选路；4. 支持IPv4／v6 NAT地址转换，支持源目的地址转换，目的地址转换和双向地址转换，支持针对源IP或者目的IP进行连接数控制；5. DDOS攻击防护：支持Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing攻击防护、支持SYN Flood、ICMP Flood、UDP Flood、ARP Flood攻击防护，支持IP地址扫描，端口扫描防护，支持ARP欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测；6. 支持基于源IP、目的IP、MAC、用户、域名、服务、应用、时间段安全策略设置；7. 支持对被保护对象的流量及日志进行分析，发现被保护对象的不同业务流量情况，支持生成和导出相关报告，智能生成包过滤策略，提高运维人员工作效率。（提供界面截图证明，并加盖原厂鲜章）；8. SYSLOG日志功能：提供丰富的日志信息；9. 支持HA高可靠性部署，双机模式下，支持主备两台设备采用同一套IP地址，简化配置，节约公网地址；10. 支持自动和手动备份，能够保存5个以上的文件，支持配置回滚（提供界面截图证明，并加盖原厂鲜章）；11. 产品具备公安部颁发的《计算机信息系统安全专用产品销售许可证》（提供证书复印件证明并加盖原厂鲜章）；12. 设备厂商具有国家信息安全测评中心颁发的安全工程类二级《信息安全服务资质证书》（提供证书复印件证明并加盖原厂鲜章）; 13. 设备厂商具备中国通信企业协会颁发的《风险评估一级》资质证书；14. 设备厂商信息安全设备、系统软件的开发、生产符合TL9000-HS R6.0/R5.5标准；15. 设备厂商具备软件研发能力集成模型资质认证CMMI5；16. 设备厂商具备国家信息安全漏洞库（CNNVD）技术支撑单位等级证书（一级）（提供证书复印件证明并加盖原厂鲜章）；17. 提供原厂6年7*24小时免费电话服务，6年应用所需库免费升级，投标人需在招标后签订合同前提供原厂产品投标授权函原件和售后服务承诺函；

茶园内外网隔离防火墙：1台

1. 标准机架式设备≤1U ，硬件平台采用先进的多核网络专用架构（非X86架构），千兆GE电口≥6个,千兆 SFP光口≥4个，通用扩展槽位≥2个；独立HA接口和CON接口；2. 瞬时最大转发率≥1Gbps吞吐率≥8Gbps（厂家承诺并盖鲜章），最大并发连接数≥300万，每秒新建连接数≥12万，IPsec隧道数≥6000，最大SSL VPN用户数≥4000，本次标配SSL VPN用户数≥6个3. 支持基于五元组以及用户、应用的访问控制策略；支持按照国家地理位置设置安全过滤策略，内置国家地理地址库信息；支持基于域名的安全访问控制策略；支持不少于4000条以上的安全策略数且保持低延迟、高性能；支持策略分组便于策略梳理；（提供界面截图或者证明材料并加盖原厂商鲜章）；4. 支持静态路由，等价路由（ECMP），动态路由支持RIP，OSPF，ISIS，BGP，支持基于5元组和应用类型的策略路由（提供界面截图并加盖原厂商鲜章）5. 带IPS功能：支持多种协议和应用的攻击检测和防御，比如HTTP、DNS、FTP、MSRPC、SMTP、POP3等； IPS特征库数量不少于7000条（提供相关界面及特征库数量截图证明并加盖原厂商鲜章）6. 支持基于源地址、目的地址、生效时间、应用协议等限制新建连接、并发连接数（提供产品界面截图并加盖原厂商鲜章）7. 有带宽管理（QoS），能够针对IP和应用进行流量控制，并相互嵌套，能够根据安全域、接口、地址、用户/用户组、服务/服务组、应用/应用组、TOS、Vlan等信息划分管道8. SYSLOG日志功能：提供丰富的日志信息，包括设备系统（事件、网络、配置）日志、威胁日志、会话日志、NAT、云沙箱等（提供界面截图并加盖原厂商鲜章）9. 支持双机HA部署，支持AP模式、AA模式；（提供白皮书及承诺函并加盖原厂商鲜章）；10. 操作界面需要支持中英文切换，支持2个系统软件并存，避免单一操作系统故障影响业务，支持8份以上个配置文件并存，便于快速恢复不同阶段的设备配置；支持配置文件的导入导出，支持设置定时导出配置至外部服务器（提供产品界面截图并加盖原厂商鲜章）；11. 支持策略命中次数统计以及清零操作，以及策略冗余检查，能够提升策略运维效率（提供产品界面截图并加盖原厂商鲜章）；支持扩展云沙箱功能，将疑似威胁数据上传到云端，通过沙箱来判断文件是否为恶意软件；支持基于沙箱威胁检测引擎查看威胁日志，可以进一步对未知威胁的检测和分析(提供产品界面截图并加盖原厂鲜章)12. 产品资质：中国信息安全认证中心颁发的《中国国家信息安全产品认证证书》；；具备公安部颁发的《计算机信息系统安全专用产品销售许可证》（增强级）；中国信息安全测评中心颁发的《信息技术产品安全测评证书 EAL3+》；国家保密科技评测中心颁发的《涉密信息系统产品检测证书》；投标产品具备防火墙类别的CVE兼容性认证；投标产品在最近4年内（2016-2019）获得NSS Labs（NGFW类别）最高评价推荐级；投标产品制造商具备中国信息安全认证中心颁发的《信息安全服务资质认证证书》（信息安全风险评估三级）；以上证书出具相关证书或者证明材料复印件并加盖原厂鲜章。13. 提供原厂6年7*24小时免费电话服务，6年应用特征库免费升级，投标人需招标后签订合同前提供原厂产品投标授权函原件和售后服务承诺函

应标公司要求：1. 熟悉我院网络结构和状况（能给出详细的拓扑图，业务流向图）2. 与我院有正式业务往来（复印以往合同佐证）3. 在质保期内提供原厂的安全服务（病毒爆发或安全事件发生时的应急响应服务，安服人员现场支撑，每季度安全策略梳理和调整）4. 负责此次采购的设备上线的安装调试，策略调整，物理线路改造（此过程中需要的跳线等耗材免费提供，不另计费用）。5. 上述所有软硬件质保6年，7*24小时现场服务，所有产品招标后签订合同前提供原厂授权和售后服务承诺函加盖鲜章。6.所有推荐产品应为拿到我院已测试过的产品

运维审计

堡垒机

1、软硬一体化机架式设备，至少提供6个1000M电口，可管理资源数≥200个，支持licence扩容（报后期扩容单价）。远程并发≥50；cpu≥双核，3.0G；内存≥16G；硬盘64GB SSD+2TB SATA；2、支持windows系统、linux/unix系统、网络设备；支持KVM、Vmware、数据库、http/https等；3、支持从windows AD域抽取用户账号作为主账号，支持一次性抽取和周期性抽取两种方式（提供截图并加盖厂商公章），支持Windows AD域账号与堡垒主机账号周期比对，自动或手动删除或锁定失效的域账号（提供截图并加盖厂商公章），支持windows系统、网络设备、linux/unix系统、数据库等设备账号的收集功能（提供截图并加盖厂商公章）4、支持一对一、一对多、多对多授权，如将单个资产授权多个用户，一个用户授予多个资产，用户组向资产组授权，支持跨部门的交叉授权操作（提供截图并加盖厂商公章）；5、支持定期变更目标设备真实口令，支持自定义口令变更周期和口令强度。口令变更方式至少支持手动指定固定口令、通过密码表生成口令、依照设备挂载的口令策略生成随机口令、依照密码策略生成同一口令等方式（提供截图并加盖厂商公章）；6、支持自定义多级审批流程，可设置一级或多级审批人，每级审批流程可以指定通过投票数（提供截图并加盖厂商公章），用户访问关键设备需相关审批人逐级审批通过才允许访问；7、支持紧急运维流程，当运维人员需对目标设备进行紧急运维时，可通过紧急运维流程直接访问目标设备，同时记录为紧急运维工单，便于相关审批人事后对该流程进行确认以及审计员事后查看（提供截图并加盖厂商公章）8、支持双人复核登陆，登录时必须经过第二人授权后才能登录，第二人可通过远程授权或同终端授权两种方式实现授权（提供截图并加盖厂商公章）；9、支持基于单条操作命令或命令组设置行为规则，当运维人员输入违规命令时（包括通过table键、上下键、复制等方式）自动进行告警或阻断；10、支持对常见设备运维操作进行记录（至少包括windows主机、linux/unix主机、网络设备等）（磁盘存储空间根据实际情况满足1个月的需求并能扩容），审计信息至少包括以下内容：用户账户、起止时间、登陆IP、设备IP、设备名称、设备类型、访问账号、访问协议等信息；11、支持手动和自动定期备份配置信息，支持配置信息本地备份及异地FTP备份（提供截图并加盖厂商公章）；12、支持云端快速部署，实现远程运维管理的规范化；可按照运维人员数量，调整云端服务器配置，即可实现性能优化；13. SYSLOG日志功能：提供丰富的日志信息14、资质要求：厂商软件研发实力需通过CMMI L5认证；厂商应是国家互联网应急响应中心网络安全应急服务国家级支撑单位；（需提供相关资料证明并加盖厂商公章）；厂家需是国家信息安全漏洞共享平台(CNVD)技术组成员；（需提供相关资料证明并加盖厂商公章）；要求厂商是微软安全响应中心（Microsoft Security Response Center）发起的MAPP（Microsoft Active Protection Program）计划成员（需提供相关资料证明并加盖厂商公章）；厂商需是国家信息安全漏洞库CNNVD技术支撑单位；（需提供相关资料证明并加盖厂商公章）；厂商售后服务体系通过ISO9001认证；（需提供相关资料证明并加盖厂商公章）

日志审计

1、采用标准小于等于2U机架式硬件，深度定制优化的Linux系统，所供系统设备必须自带本地存储功能，可用物理磁盘空间必须满足我院半年的日志存储空间（根据实施过程中的实际需求而定）；日志存储量至少十亿条；支持后期扩展外部存储(IP SAN、NAS、DAS、磁盘阵列等)；资源数≥200个，后期能自由扩展（报扩展单价）2、 审计主机至少提供千兆RJ45*6（一路数据传输口；一路系统管理口）；网络接口支持电口和光口（根据实际需要免费切换）；3、支持通过页面直接将日志文件导入或以syslog方式接收日志信息，支持日志类型：UNIX、WINDOWS事件[2000、2003、2008、XP、VISTA、Win7及以上版本]、网络及安全设备[深信服、山石网科、H3C、华为、绿盟、天融信、迪普、360等]、AS400日志、数据库访问[Mysql]、WEB访问[Apache、IIS、Tomcat、Nginx、Weblogic、Resin、Websphere]、文件访问[VSftpd、Pureftpd、NCftpd、IISftpd、Proftpd、Glftpd、Serv-u]、数据库服务[Oracle、Mssql、Mysql、DB2、Informix、Sybase]、WEB服务[Apache、Tomcat、Nginx、Weblogic、Resin、Websphere]、FTP服务[VSftpd、NCftpd、Proftpd、Glftpd、Serv-u]；4、支持SNMP日志采集，支持日志类型：网络及安全设备[深信服、Cisco、H3C、360、绿盟、山石网科、华为、迪普等；（提供产品页面截图证明并加盖制造商公章）5、支持管理员自定义审计报表模板；（提供相关产品截图证明并加盖制造商公章）6、支持按日志文件的名称、内容进行检索，并提供页面下载原始日志文件，支持查询模版创建、修改、删除功能；（提供产品页面截图证明并加盖制造商公章）7、规则条件设定支持逻辑运算符；（提供产品页面截图证明并加盖制造商公章）8、审计员只限于操作权限设置范围内的日志数据，无权限日志数据透明；（提供产品页面截图证明并加盖制造商公章）9、厂家资质：厂商具有国家信息安全漏洞库（CNNVD）技术支撑单位等级证书（二级）；厂商具有中国信息安全测评中心颁发的信息安全服务资质（安全工程类一级）；厂商具有国家计算机网络应急技术处理协调中心颁发的网络安全应急服务支撑单位证书（国家级），截图证明并加盖制造商公章；厂商具有中国信息安全认证中心颁发的信息安全服务资质，风险评估（二级），截图证明并加盖制造商公章；厂商具有国家信息中心与网络安全部颁发的国信安全服务支撑单位证书

行为审计

1. 性能指标：带宽≥500Mb， 支持用户数≥4500; 硬件指标：1U，≥4G内存，≥1TB硬盘， 单电源，3对ByPass口，≥6个千兆电口 ，≥1个串口(RJ45) ，≥2个USB2.0（能旁挂记录日志，日志能追溯到终端IP）审计日志根据实际情况保证能保存半年。 2、用户管理及认证：支持触发式WEB认证，静态用户名密码认证等； 支持第三方如LDAP，RADIUS，POP3等认证；支持IP、MAC认证并并支持绑定IP认证、绑定MAC认证、及IP/MAC绑定认证；支持短信认证、支持密码强度设置；支持与微信结合的认证方式，用户关注微信公众号后即通过身份认证，后台记录用户ID（提供产品界面截图并加盖厂商公章）；支持二维码认证，管理员扫描访客的二维码后对其网络访问授权（提供产品界面截图并加盖厂商公章）3、应用管理及识别：支持根据标签选择应用，标签分类至少包含安全风险、高带宽消耗、发送电子邮件、降低工作效率、外发文件泄密风险、主流论坛和微博发帖6大类；支持给每个应用自定义标签；支持根据标签选择一类应用做控制；支持对每一种应用的定义和解释，帮助客户快速定位应用的分类；支持给每一种应用列上图标，易于客户了解应用的特征。设备内置应用识别规则库，并保持每两个星期更新一次，保证应用识别的准确率（提供产品界面截图并加盖厂商公章）； 支持基于SSID维度的上网权限、上网审计、上网安全、终端提醒、和流控等策略（所有项提供产品界面截图并加盖厂商公章）。4、网页管理：设备内置海量预分类的URL地址库，支持根据URL类别实现URL过滤；支持未知网页的自动识别与分类；支持用户训练的关键字、URL、自动分类未知网页；识别并过滤SSL 加密的钓鱼网站、金融购物网站、非法网站等；支持基于关键字过滤SSL 加密的网页、论坛、BBS上的发帖行为。5、流量控制：必须支持在不同线路上，根据不同的应用、用户、用户组来保证或者限制流量；支持根据百分比或数值设置通道带宽，并支持设置各通道的优先级；必须支持流量父子通道技术，且至少支持三级父子通道；支持基于应用类型、网站类型和文件类型划分与分配带宽；支持在设置流量策略后，根据整体线路或者某流量通道内的空闲情况，自动启用和停止使用流量控制策略，以提升带宽的高使用率；支持通过抑制P2P的下行流量，来减缓P2P的上行流量，从而解决网络出口在做流控后仍然压力较大的问题（提供产品界面截图并加盖厂商公章）；支持限制单个IP的最大上行和下行带宽；支持在设置流量策略后，根据整体线路或者某流量通道内的空闲情况，自动启用和停止使用流量控制策略，以提升带宽的高使用率；（提供产品界面截图并加盖厂商公章）8、上网行为审计：支持记录全部或者指定类别URL、网页标题等信息；必须能审计记录网页正文内容；9、支持审计用户的明文或SSL 加密的Webmail邮件外发行为和外发邮件内容；支持审计用户外发的明文或SSL 加密的Email邮件正文及附件；10. SYSLOG日志功能：提供丰富的日志信息11、资质要求：设备生产厂商研发体系通过国际认证CMMI5；国家应急中心应急支撑单位CNCERT证书（国家级）；（提供证明并加盖厂商公章）；国家网络与信息系统安全产品质量监督检测中心《信息技术产品安全测评证书EAL3级》；公安部制定行业标准《信息安全技术网络通信审计产品技术要求》的主要起草单位；要求所投产品在2016-2018年IDC排名满足任意一年排名前三；12. 6年软件升级和硬件质保服务（在招标后签订合同前提供原厂售后服务承诺函）。

应标公司要求：1. 熟悉我院网络结构和状况（能给出详细的拓扑图，业务流向图）2. 与我院有正式业务往来（复印以往合同佐证）3. 在质保期内提供原厂的安全服务（病毒爆发或安全事件发生时的应急响应服务，安服人员现场支撑，每季度安全策略梳理和调整）4. 负责此次采购的设备上线的安装调试，策略调整，物理线路改造（此过程中需要的跳线等耗材免费提供，不另计费用）。5. 上述所有软硬件质保6年，7*24小时现场服务，所有产品在招标后签订合同前提供原厂授权和售后服务承诺函加盖鲜章。6.所有推荐产品应为拿到我院已测试过的产品

网络布线：39点位

网络机柜：1个（2000*600*600mm）；

网络配线架： 24口*4（6类）；

光缆：室外轻恺单模12芯（包含熔纤、终端盒能上架、跳线等耗材，长度以实际使用为准）；

网络点位材料：6类网络模块、面板、水晶头，6类非屏蔽网线；

工艺符合《综合布线系统工程验收规范》。

质保期(全包)

6年

采购方式

院内竞争性谈判

评价方式

综合评价

资格要求

资证材料及入围条件

报名截止时间

2019年7月11日

报名方式及要求

网上报名：通过邮件提交资证材料及设备配置清单供预审

报名邮箱：********85@qq.com

邮件主题：“报名项目-生产厂家-供应商-负责人姓名电话”

书面资料提交方式

现场提交

时间、地点

另行电话或邮件通知

联系方式

电话：***-******** 邮编：400010