序号

名称

服务要求

数量

单位

单价

合计价

备注

1

运维安全管理与审计集成实施服务

（堡垒机服务）

*1.标准2U硬件，含2xGE电管理口，4xGE电业务口，4xGE光业务口（不含硬件BYPASS模块）,硬盘≥4T，1xRJ45串口，单电源，资产数≥500个，字符连接≥500个，图型连接≥100个。

2.物理旁路部署，不影响原有业务访问；支持双机热备HA功能；支持分布式部署，可部署多台运维审计设备共同负载访问压力。

*3.身份认证：支持不同的用户设置不同多因子方式认证，包括手机短信、USBKEY、动态令牌。

4.支持SSH、RDP、TELNET、VNC、FTP、SFTP、SCP、x11、Rlogin协议主机，支持发布MySQL、SQL Server、Oracle、IE、Firefox、Chrome、VNC Client、SecBrowser、VSphere Client类型的应用。

5.支持用户的IP地址（黑名单或白名单）和MAC地址限制（黑名单或白名单）限制，非法地址无法登陆；支持用户的批量修改，包括重置密码、移动部门、更改角色、修改多因子配置、修改有效期、修改IP限制、修改MAC限制。

6. API接口：需提供用户、资产、授权的增删改查等API接口，允许第三方平台调用堡垒机的API接口，实现用户、资产、权限自动同步到堡垒机，简化堡垒机配置工作量（需提供产品功能截图证明）。

7.访问控制策略基于用户、用户组、资源账户、账户组、有效期、文件管理控制、文件传输控制（上传、下载）、RDP剪切板控制、时间限制、IP限制进行设置；访问控制策略支持配置双人授权候选人，针对核心设备，需要管理员现场审批才能操作。

8.改密保护机制：支持完善的自动改密安全保护机制，包括：改密前备份、备份失败不改密、改密后备份、密码文件加密；支持发送方式，包括邮件、SFTP（需提供相关证明材料）。

1

台

2

日志审计安全集成实施服务

*1.标准2U硬件，1个console口，网口类别：1管理口+1HA口+4审计口，网口类型：1000M电口x4，硬盘≥4T，内存≥8G，双电源，CF卡启动，日志处理能力≥4000EPS（峰值≥5000EPS），网口可扩展至10个（4电、4光），资产授权≥50个。

2.审计范围：能够对企业和组织的IT资源中构成业务信息系统的各种网络设备、安全设备、安全系统、主机操作系统、数据库、中间件以及各种应用系统的日志、事件、告警等安全信息进行全面的审计。

3.资产管理：可按照设备资产重要程度和管理域的方式组织设备资产，提供便捷的添加、修改、删除、查询与统计功能；支持对资产日志进行过滤，设置允许接收和拒绝接收日志，并可以对资产设置一定时间范围内未收到事件后进行主动告警。

*4.日志收集：支持Syslog、SNMP Trap、FTP协议日志收集，支持使用代理(Agent)方式提取日志并收集，支持目前主流的网络安全设备、交换设备、路由设备、操作系统、应用系统，支持常见的虚拟机环境日志收集，包括Xen、VMWare、Hyper-V；（须提供相关截图证明）

5.资产管理：资产拓扑支持按照实际的用户环境进行编辑发布并可以和资产进行绑定。拓扑可以显示资产采集的事件数量被采集资产的状态信息。

6.可视化展现：能够在世界地图上实时定位事件源/目的IP地址的地理位置（包括二维及三维显示方式）。

7.关联分析：可对不同类型设备的日志之间进行关联分析，支持递归关联，统计关联，时序关联，这几种关联方式能同时应用于一个关联分析规则。

*8.三维关联分析：支持通过资产、安全知识库、弱点库三个维度分析事件是否存在威胁，并形成关联事件（需提供检测报告证明）。

*9.应用性能监控：通过在目标主机上安装Agent程序，支持监测目标主机的CPU利用率、内存使用率、磁盘使用率、磁盘使用情况、流量信息（需提供检测报告证明）。

1

台

3

▲终端安全管理集成实施服务（企业版）

1.*本次配置授权为300PC终端许可、30个WindowsServer终端许可。提供三年系统管理、资产管理、设备联动、病毒防护升级服务。

2.资产管理：按终端维度展示终端的硬件、软件、操作系统、网络、进程等信息；可监控CPU温度、硬盘温度和主板温度；支持终端软、硬件变更审计，资产清单报表；支持统计指定分组或全网的终端扫描数、终端管理软件安装数、未安装终端数及安装率；支持插件清理，按插件显示展示全网存在的插件和涉及的终端，可清理指定或全部插件、加入信任；按终端显示展示全网每个终端存在的插件，可清理插件；支持正版软件的正版序列号的读取功能，确保软件正版化。

3.违规外联支持黑、白名单双模式，白名单模式可配置是否允许访问特定的网站和地址；黑名单模式可自定义恶意IP（提供截图证明）；

4.日志报表：展示全网终端健康状态、报警信息，可方便的查看不健康、亚健康终端列表；展示全网终端病毒库日期比例，可方便的查看全网终端病毒库的情况展示指定时间段内指定终端修复漏洞，木马查杀的情况；要求支持邮件报警，可以设定多种触发条件，满足条件后自动发送邮件到相关人；支持大数据引擎系统，可将全网终端日常运维数据汇聚存储分析，并根据客户运维管理所需的要求定制报表。

5.支持网站防护，包括XSS、Web应用及容器漏洞防护、访问控制、屏蔽扫描器（提供截图证明）；

6.支持全网流量可视化、应用级流量可视化；支持威胁横向扩散路径可视化与一键阻断；支持违规外联路径可视化与一键阻断（提供截图证明）；

7.具有系统漏洞扫描功能，提供真实漏洞补丁。（须提供相关截图证明）

8.支持文件实时监控，在文件创建、存储介质连接时自动触发（提供截图证明）；

9.病毒防护：要求产品具备主动防御技术，要求产品具备应用级沙箱技术；支持国产操作系统杀毒；支持浏览器防护，对篡改浏览器设置的恶意行为进行有效防御，并可以锁定默认浏览器设置、要求能够支持XP系统的漏洞利用防御，尤其对通过文件漏洞（尤其是0day漏洞）的攻击行为进行有效检测与防御、对敲诈者病毒提供防护机制。

10.提供专门的勒索风险评估功能。至少需要包含：弱口令检测、系统漏洞检测、高危端口检测等能力。（提供截图证明）

11.提供专门的挖矿实时防御工具；

1

套

4

APT预警平台安全集成实施服务

一.硬件性能：标准1U硬件，存储≥1T，内存≥8G，标配千兆管理口≥1，千兆业务口RJ45网口≥4，吞吐率：网络层≥500Mbps，应用层≥100Mbps，HTTP最大并发数≥1万/秒；

二.部署方式：支持旁路部署和分布式部署，对探测器可以添加、删除，显示探测器版本、状态和IP，管理中心可实现告警统一管理；可自定义管理中心和探测器之间的数据传输速率、时间、发送目录参数；

三.攻击检测：

1.审计协议，支持解析HTTP、FTP、SMTP、POP3、IMAP、DNS、Mysql、MSSQL、DB2、Oracle、HTTPS、SMTPS、POP3S、IMAPS协议报文，并提供审计协议类型的端口号配置，可根据需要变更端口号；支持LDAP登录行为识别；支持VXLAN镜像流量解析检测。

2.检测风险类别，支持检测WEB攻击、异常访问、恶意文件攻击、远程控制、WEB后门访问、发件人欺骗、邮件头欺骗、邮件钓鱼、邮件恶意链接、DGA域名请求、SMB远程溢出攻击、WEB行为分析、隐蔽信道通信、暴力破解（包括SSH、TELNET、RDP、FTP暴力破解）、挖矿风险（需提供相关证明材料）

3.告警黑白名单过滤，支持发件人邮箱白名单、发件人域名白名单、黑域名白名单、黑IP白名单、域名白名单、客户端IP白名单、服务端IP白名单、WEB风险特征白名单进行设置（须提供相关证明材料）

4.私网IP地理位置定义，支持对私网地址IP地理位置信息添加，在产生告警时，定义IP可正常显示所属地理位置信息

5.弱口令风险检测，支持对Telnet、POP3、SMTP、IMAP协议进行弱口令检测（须提供相关证明材料）

6.可自动对内网主机进行威胁指数分析，详细展示具体的威胁指数、威胁活动、历史威胁指数、遭受的攻击类型、攻击次数、攻击状态；

7.可根据不同威胁指数的主机实现攻击溯源和攻击过程的可视化分析；

8.可通过攻击源、攻击目的对攻击路线进行统计，包括攻击的行为、告警，并以直观的图形化形式展示。

四.WEB攻击检测：

1.协议解析，支持 HTTP、HTTPS（需要导入服务器私钥证书）协议解析，检测WEB攻击

2.双向审计，支持双向审计，对请求和响应都进行审计

3.攻击检测，支持SQL注入、命令注入、跨站脚本、代码注入、协议错误攻击检测

4.WEBSHELL检测，支持WEBSHELL检测，可检测访问webshell的行为，包含具体对应的URL、返回码、返回数据包内容，可显示一句话类webshell后门是否植入成功

5.自定义WEB审计规则，支持根据来源IP、MAC、HTTP请求方法、URL、请求头、请求参数、响应码等内容设置审计规则高、中、低等风险等级

6.白名单功能，支持WEB特征攻击风险白名单设备，可基于类别、规则、IP灵活配置

7.动态分析，自动关联行为分析的详细展现，包含SQL注入取数据、表单破解、XSS测试、目录穿越读取文件、多人访问Webshell、APT攻击。

8.场景化分析，支持场景化的分析能力，对发现的告警进行二次关联，支持对勒索病毒、邮件APT攻击等事件进行预警（需提供产品功能截图证明）

9.DNS协议分析，具备DNS协议分析能力，发现受感染主机、危害程度、被感染病毒类型、回连C&C域名、DNS返回详情、恶意主机明细等行为。

五.邮件攻击检测：对社工类攻击进行检测，检测内容包括：邮件头欺骗、邮件发件人欺骗、邮件钓鱼欺骗、邮件恶意链接

六.文件攻击检测：

1.可添加或删除指定分离的文件类型，并可选择适用的协议类型（HTTP可进一步按GET、POST来配置）

2.通过分析文件中的二进制代码，找到文件溢出攻击的代码，并能找到APT攻击中的0day攻击

3.对文件内部嵌入的子文件可进行二次扫描，分析安全性，可以提取出攻击的完整样本文件，并提供对该文件下载的能力

*4.动态沙箱检测，动态执行可疑文件，分析代码的注册表、进程、网络、文件为，分析其安全风险，可展示具体文件的行为，包括所有的注册表行为、互斥量、进程运行的函数、返回结果、返回值信息，可根据文件传播情况分析受感染主机、接受云端威胁情报、关键威胁行为可视化、回连主机host和完整沙箱分析报告（须提供相关截图证明）

1

套

5

数据库审计安全集成实施服务

1. 硬件类型：工控机；硬件尺寸：标准1U；CPU数量：2核；内存容量：8GB；硬盘容量：4TB；硬盘接口：企业级SATA；网口：1管理口+1HA口+8审计口；网口类型：1000M电口x6；电源配置：单电源。总网络吞吐量：4000Mbps；双向审计最大数据库流量：100Mbps；峰值事务处理能力TPS：40000条/秒；日志数量存储：10亿条

功能描述：全功能开放；数据库实例授权许可数量：4。

2.工作模式：旁路镜像模式部署，支持分布式部署，管理中心和探测器直接的数据传输速率、时间、端口都可自定义。

3.协议支持： oracle、SQLserver、Mysql、DB2、infomix、Sybase、CACHé、数据仓库： teradata、国产数据库：达梦、人大金仓、Oscar（神通）、其他协议： HTTP、 Telnet、 SMTP、 POP3、 DCOM等。

4.数据库风险评估：支持对Oracle、MySQL等主流数据库的安全漏洞（弱口令、补丁、不安全配置）扫描（提供检测报告）

5.自动建模及智能告警：支持新增行为、账号视图、源IP视图等模型，并自动对模型以外的行为进行告警。（提供检测报告）

*6.双向审计：支持审计返回时长、SQL错误代码、返回行数、返回结果集的审计，以及客户端发送的数据库操作指令。（提供检测报告）

7.模型分析：可智能学习数据库的访问行为建立模型；可通过行为轨迹图方式展示数据库访问行为；可基于账号、 IP 地址、访问权限、客户端工具等维度对行为模型做钻取分析、变更分析，对学习的安全基线以外的行为自动智能的进行告警)。

*8. 三层关联审计：客户端访问web服务器执行SQL操作，设备可以将URL和SQL语句关联，记录客户端地址。（提供检测报告）

9. sql server回话解密：支持通过导入私钥文件，可对sql server 2005及以上版本TDS加密通讯协议进行解密，可审计到用户名、请求的语句以及返回结果集等信息。（提供检测报告）

1

台

6

外网防火墙安全集成实施服务

1.采用非X86多核架构,采用控制、数据、业务相分离的全分布式架构,具备独立的主控引擎、具备独立的业务引擎、具备独立的接口单元,要求提供设备正面及背面清晰照片。

*2.主控引擎1+1冗余，主控故障或切换时设备最大转发性能不受任何影响，业务槽位数≥6，吞吐量≥80G，并发连接数≥3000万，每秒新建连接≥100万；

3.实现高性能IPSec、L2TP、GRE VPN、SSL VPN等功能；支持IPsec VPN隧道自动建立，无需流量触发；

*4.每槽位支持的100G接口≥2,每槽位支持的40G接口≥4,每槽位支持的万兆接口≥32,每槽位支持的千兆接口≥48，投标文件中提供官网选配信息截图和查询链接;

5.支持智能分流功能，业务引擎能够资源池化管理、支持即插即用，无需配置ECMP、链路聚合等策略来负载分担流量，无需配置哪些流量交给哪个业务引擎处理，无需手工控制某些会话的两个方向在指定业引擎处理；

*6.提供基于用户名（或用户IP地址）实现对用户行为统一分析界面，采用饼状图对访问应用流量、网站访问集中分析展示，包含基于时间轴的访问行为轨迹(应用账号、行为内容)，关联账号（微信、QQ）相关用户行为审计内容，投标文件中提供功能截图且需加盖公章。

7.支持实现实现对黑客攻击、蠕虫/病毒、木马、恶意代码、间谍软件/广告软件等攻击的防御，实现缓冲区溢出、SQL注入、IDS/IPS逃逸等攻击的防御，实现攻击特征库的分类。

8. 实现静态路由、策略路由、RIP、OSPF、BGP等路由协议。

9配置要求：双主控，双电源；1块防火墙模块，提供4个40G端口，16个万兆光口，8个千兆光口

1

套

7

机房环境改造及系统集成服务

更换机房防护门、增加电子门禁系统、机房线缆整理及新购设备的安装部署项目实施所涉及的任何线材、构配件等，按照《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护安全设计技术要求》、《信息安全技术信息系统安全等级保护实施指南》进行项目实施。在原有核心交换机（H3C7503E-S）扩容，板卡要求24个10/100/1000BASE-T电口,支持4个1000BASE-X SFP端口,在不影响业务情况下零中断扩容。

*投标人须承诺项目实施过程中不得因自身原因出现断电、断网等行为，保证采购人所有业务系统24小时正常运行，投标人项目实施过程中不得增加任何费用，直至项目验收、领取备案证明及等级保护测评报告，投标文件中提供承诺函并加盖公章。

1

项

序号

核心服务内容

3

终端安全管理集成实施服务（企业版）