序号

名称

主要技术指标

数量

单位

1

边界防火墙

（1）1U机架式设备，采用专用设计的硬件平台，多处理器全并行硬件架构，具有自主知识产权的64位安全操作系统。

（2）★配置1 个 CON 口， 1 个 USB2.0 口，9个GE口（要求均为路由口），防火墙吞吐量不低于4Gbps；最大并发连接数不少于180万。提供对应型号宣传彩页扫描件。

（3）具有静态、RIP、OSPF、BGP、基于协议和应用的策略路由功能，内置运营商路由条目。

（4）具有IPSEC VPN功能和SSL VPN功能，IPSEC VPN最大隧道数不低于1000，吞吐量不低于550Mbps，不限制隧道使用数量；SSL VPN支持最大并发用户数不低于500，本次配置100个并发许可。提供移动终端并发接入授权许可，需要同时支持IOS、安卓系统。

（5）可对应用、IP、MAC、端口/协议、用户/角色、时间等元素设置访问控制。

（6）地址转换需支持源地址转换、目的地址转换、IP/端口转换、NAT444功能。

（7）★具有IPS功能，提供 7000种以上特征的攻击检测和防御；IPS吞吐量不低于500Mbps，三年免费升级许可。要求防火墙提供NGFW类别的《CVE兼容性证书》扫描件。

（8）★具有AV功能：支持对HTTP，FTP，SMTP，POP3，IMAP协议进行病毒文件检测；AV吞吐量不低于300Mbps，三年免费升级许可。

（9）★高可用性支持A/A、A/S部署模式，两种模式均需支持同步会话和配置。

（10）具有智能链路负载均衡功能。出站动态探测和入站SmartDNS等功能允许网络访问流量在多条链路上实现智能分担，提升链路利用效率和用户网络访问体验（提供产品界面截图）。

（11）★支持手机APP的监控通告服务，服务内容包括：安全资讯、设备监控、告警信息、威胁日志等；要求提供手机APP的截图，提供官网（必须是厂商的官网）下载地址。

（12）※产品具备开放性，提供丰富的reset api接口，具备与云管平台、SDN控制器、自动化运维管理等平台对接能力，实现自动化运维，提供reset api接口详细说明材料。

（13）★要求防火墙系统为业界领先产品，提供相关证明材料，如获得国际知名安全测评机构NSS Labs下一代防火墙类别“推荐级”证明材料。

（14）★具有必要的防雷措施，至少通过防雷击浪涌等级4级，提供相关证明材料扫描件。

（15）支持防火墙策略命中次数统计，支持防火墙策略冗余检查（提供产品界面截图）；

（16）支持基于国家地理的威胁识别与控制，内置国家地理地址库信息（提供产品界面截图）

（17）具有应用识别功能，3000种以上的网络应用及300种以上的移动应用；支持网络可视化，可通过图形化了解设备的带宽使用情况、流量趋势；支持应用可视化，可对应用的行为和特征实现对应用的识别和控制。

（18）★提供产品《计算机信息系统安全专用产品销售许可证》增强级或者以上证书、《网络关键设备和网络安全专用产品安全认证证书》增强级或者以上认证、《IPv6 Ready测试中心认证证书（阶段二）》、防火墙类别安全技术要求EAL4+或以上分级评估认证证书扫描件。

2

台

2

数据中心下一代防火墙

（1）1U机架式设备，采用专用设计的硬件平台，多处理器全并行硬件架构，具有自主知识产权的64位安全操作系统。

（2）★配置1 个 CON 口， 1 个 USB2.0 口，6个GE口（需包含一对Bypass接口）+4个SFP口+2个SFP+口（要求均为路由口），前面板具有2个通用插槽（可支持扩展BYPASS卡、POE接口卡，需提供前后面版示意图和对应接口板资料），双冗余电源，每秒新建连接数最少支持9万；防火墙吞吐量不低于10Gbps；最大并发连接数不少于350万。提供对应型号彩页扫描件。

（3）具有静态、RIP、OSPF、BGP、基于协议和应用的策略路由功能，内置运营商路由条目。

（4）可对应用、IP、MAC、端口/协议、用户/角色、时间等元素设置访问控制。

地址转换需支持源地址转换、目的地址转换、IP/端口转换、NAT444功能。

（5）★具有IPS功能，提供 7000种以上特征的攻击检测和防御；IPS吞吐量不低于3.5Gbps，要求提供厂商宣传彩页扫描件，要求防火墙具备NGFW类别的《CVE兼容性证书》。

（6）★具有AV功能：支持对HTTP，FTP，SMTP，POP3，IMAP协议进行病毒文件检测；AV吞吐量不低于2Gbps，三年免费升级许可。

（7）★高可用性支持A/A、A/S部署模式，两种模式均需支持同步会话和配置。

（8）具有智能链路负载均衡功能。出站动态探测和入站SmartDNS等功能允许网络访问流量在多条链路上实现智能分担，提升链路利用效率和用户网络访问体验（提供产品界面截图）。

（9）★支持手机APP的监控通告服务，服务内容包括：安全资讯、设备监控、告警信息、威胁日志等；要求提供手机APP的截图，提供官网（必须是厂商的官网）下载地址。

（10）※产品具备开放性，提供丰富的reset api接口，具备与云管平台、SDN控制器、自动化运维管理等平台对接能力，实现自动化运维，提供reset api接口详细说明材料。

（11）★要求防火墙系统为业界领先产品，提供相关证明材料，如获得国际知名安全测评机构NSS Labs下一代防火墙类别“推荐级”证明材料。

（12）★具有必要的防雷措施，至少通过防雷击浪涌等级4级，提供相关证明材料。

（13）支持防火墙策略命中次数统计，支持防火墙策略冗余检查（提供产品界面截图）；

（14）支持基于国家地理的威胁识别与控制，内置国家地理地址库信息（提供产品界面截图）

（15）具有应用识别功能，3000种以上的网络应用及300种以上的移动应用；支持网络可视化，可通过图形化了解设备的带宽使用情况、流量趋势；支持应用可视化，可对应用的行为和特征实现对应用的识别和控制。

（16）★产品具备《计算机信息系统安全专用产品销售许可证》万兆增强级或者以上证书、《网络关键设备和网络安全专用产品安全认证证书》万兆增强级或者以上认证、《IPv6 Ready测试中心认证证书（阶段二）》、防火墙类别安全技术要求EAL4+或以上分级评估认证证书扫描件。

1

台

3

运维审计系统

（1）★1U机架式设备，配置1 个 CON 口，2个USB口，≥4个千兆以太网电口，存储空间≥1T，单电源，可管理资产授权≥200个，图形并发≥50个，字符并发≥500个。

（2）★支持双机热备，支持系统配置以及审计日志实时同步，支持集群部署，系统策略支持统一下发，后期升级扩容方式支持单节点扩容，无需进行软硬件的二次升级即可完成，支持第三方负载均衡，并支持集群自带的负载均衡模块。（提供截图证明）

（3）支持多种协议类型，支持图形终端协议RDP、VNC、X11；字符终端协议Telnet、SSH；文件传输协议FTP、SFTP；数据库类型Oracle：PLSQL、TOAD、SQLPLUS、SQLDEVELOPER； Mysql：MYSQLFRONT、HIDESQL；SQL Server：SQLserver（2000-2012）；WEB应用：HTTP、HTTPS、REALVNC等。

（4）★上述所有协议类型均可实现单点登录，图形化应用无需安装任何客户端和控件即可实现单点登录，即通过堡垒机实现图形化应用发布功能，支持IE代填类型包括 JS、flash、HTML5等特殊登录页面。(提供截图证明）

（5）★系统支持IP自动禁止功能，对连续登陆账号密码错误的来源IP自动屏蔽，可通过管理员解除屏蔽。（提供截图证明）

（6）★支持C/S与B/S运维方式；

（7）支持字符类putty、SecureCRT等工具的各类属性：终端属性、字符编码、窗口大小随意调整等等；图形类mstsc工具的原有属性：自定义开启/关闭磁盘映射、剪切板等，支持窗口大小随意调整、声音传输等等

（8）可以指定系统用户查看该用户可管理的资产信息；可以指定资源名/资产IP/账号名查看资产属于哪些系统用户管理。授权关系导出（可以导出用户和设备授权关系进行查看，导出展现形式excel）

（9）运维人员可以在系统Web界面填写授权审批流程单，填写内容至少应包括：设备资源、系统账号、协议类型、时间窗口；审批通过后，运维人员可立即取得相应访问权限；

（10）系统角色需按法案要求进行划分，至少有系统管理员、密码管理员、配置管理员、审计管理员、普通用户等多种角色。

（11）★系统提供身份认证，自然人（员工帐户）登录系统时支持静态口令、Radius认证、AD域、数字证书认证、动态令牌认证、 USBKEY认证。

（12）★系统内置动态令牌认证，用户不需要额外部署认证服务器，通过配置动态令牌实现双因素认证；系统内置PKI证书认证功能，用户只需配置USB-KEY即可实现证书登陆认证，实现双因素认证（USB-KEY+PIN码），支持多因子认证自定义组合，可为不同用户组分配不同的认证策略，支持单因素，双因素和多因素的认证策略。（提供截图证明）

（13）提供以excel格式批量导入和导出用户帐号；具备用户帐号自动改密功能，可制定改密计划对用户帐号进行定期改密，并发送邮件通知用户。

（14）★在线批量编辑，提供堡垒机用户的批量编辑功能，以方便用户管理员批量修改帐号属性及关联信息，包括用户状态、有效时间。(提供加截图证明）

（15）★支持从AD服务器批量导入用户帐号（提供加截图证明）

（16）支持系统管理员按部门进行分权管理，各部门系统管理员只能管理和授权本部门管辖内的设备资源；支持审计管理员分权管理，只能审计被授权的设备。

（17）系统提供访问控制功能，支持对系统的用户登录进行可配置的策略设置，根据策略因子：用户或用户组、日期、每月、每周、时间、源地址、目标地址、目标端口、目标账号、动作(接受、拒绝)来定制访问策略对用户或用户组行为进行控制。

（18）提供禁审功能，可对部分设定的控制策略的会话不审计录像，防止机密信息二次泄露；

（19）系统可以对字符操作的命令进行控制，通过制定命令黑白名单实现对命令的有效管理，可以对命令集合进行告警或者自动阻断，支持正则表达式匹配。

（20）审计录像采用数据流回放技术，空闲操作（无屏幕变化）日志无增长，节省了日志空间；

（21）★系统应具备审计到FTP/SFTP传输的原始文件，并可以在审计系统上进行备份并下载查看其具体内容。支持人工开关自由选择是否备份原文件。（提供截图证明）

（22）提供日志搜索功能，可组合目标主机地址、登录地址、堡垒机用户、远程账号、时间、键盘输入的命令、标题栏等条件进行搜索，快速定位会话记录；搜索条件“用户命令”支持“或”和“与”逻辑关系。

（23）字符运维命令返回值搜索和屏幕导出，支持搜索命令的返回值信息，并支持将屏幕信息导出为文本。

（24）存储告警：日志存储超过设置的阀值进行邮件告警，支持定期删除计划，只保留设置时间段的日志。

（25）支持通过FTP和SFTP进行系统配置备份和还原，支持FTP和SFTP和本地方式进行审计日志的备份，系统配置和审计日志均可可自定义备份计划；

（26）★产品需具备《计算机信息系统安全专用产品销售许可证》、《IT产品信息安全认证证书》。

1

台

4

日志审计系统

（1）标准1U设备，专用独立硬件设计；

（2）★配置2个千兆接口，存储空间≥2T，能够满足日志存储至少六个月的要求，单电源；二进制日志采集性能≥30000EPS，SYSLOG日志采集性能≥3000EPS。支持对使用标准syslog协议的第三方日志收集和查询，支持对100个资产的日志采集；

（3）★支持设备的可用性状态，包括CPU、内存、硬盘（包括NFS存储），支持各类型日志磁盘存储占比统计，支持各类型日志接收趋势统计，支持各设备日志接收趋势统计，支持对发送日志的设备状态监控，支持硬盘健康状态及Raid状态监控，支持自定义监控面板和监控内容（提供产品界面截图）。

（3）★支持通过以下种类进行日志浏览并可自定义查询条件，包括：事件日志、网络日志、配置日志、IPS日志、威胁日志、安全日志、会话日志、策略路由日志、NAT日志(含NAT444)、URL日志、IM（包含移动QQ、微信）上下线日志、论坛发帖日志、邮件日志、Ftp日志（提供产品界面截图）。

（4）支持颜色区分日志级别，支持多条件组合查询，支持URL字段的全文检索，支持后台任务查询和邮件通知；

（5）支持查询条件记忆，记住最新使用的十个查询条件；支持查询条件的保持，常用查询条件可以保持为书签，便于快速查询；

（6）支持分布式部署及查询，在多台日志审计系统部署的场景下，支持分布式查询，可以指定一台Master节点去查询其他分支节点日志，实现集中检索。最多支持16台设备的分布式查询。

（7）★支持统计的报表内容包括：系统资源、设备日志条数排名、设备日志所用空间排名、日志条数排名、日志所有空间排名、源IP日志量排名、目的IP日志量排名、日志接收趋势排名、威胁攻击次数、会话日志APP访问量、URL访问量等排名（提供产品界面截图）；

（8）支持按照天、周、月、季等周期生成周期性统计报表，统计粒度可达到分钟、小时和天，并能够通过邮件发送给指定人员；

（9）支持自定义报表任务和系统的预定义报表任务；

（10）★支持支持自动磁盘清理、NFS功能，支持设置可信主机，根据要求设置可以访问日志审计设备的IP地址（提供产品界面截图）；

（11）支持日志备份，支持备份协议为FTP和SFTP，支持手动和自动的日志备份，支持备份日志文件的导入，支持手动清理在线日志和离线日志。

（12）★产品具备《计算机信息系统安全专用产品销售许可证》。

1

台

磋商保证金专用账户

名称：保山市政务服务管理局

开户行：中国邮政储蓄银行保山隆阳区支行

账号：***********************

汇入地址：云南省保山市

业务咨询电话：***-********

技术支持单位：北京筑龙信息技术有限责任公司

注：采用转账的方式提交保证金的，须从企业基本户转出，注明项目名称或编号，在转账完成后，使用数字证书（CA）登录投标系统，在系统主界面的“确认磋商保证金”中对磋商保证金进行确认绑定，最后打印保证金缴纳回执。上述操作须在保证金缴纳截止时间前全部完成，请充分考虑转账到款延迟，提早缴纳，以免耽误磋商。