項號

貨物名稱

項目要求及技術(shù)需求

數(shù)量

單位

1

防火墻

★1.標準2U設(shè)備,雙冗余電源；標配8個10/100/1000M電口；≥2個擴展槽位，要求配置2口萬兆SFP+接口板1個；USB接口 ≥2個；最大整機吞吐量≥10Gbps，最大并發(fā)連接數(shù)≥250萬，每秒新建連接數(shù)≥10萬。

2.支持虛擬線、二層透明、路由、混合、旁路監(jiān)聽接入方式，適應(yīng)各種網(wǎng)絡(luò)環(huán)境需求。

3.支持VLAN劃分、VLAN Trunk，支持802.1Q，能進行封裝和解封；支持MSTP、RSTP等生成樹協(xié)議。

4.支持IPMAC綁定，支持手動和自動探測綁定。

5.支持匯聚接口，能夠手動綁定接口，即可支持動態(tài)綁定。

★6.能夠在一條策略里配置源/目的IP地址、安全區(qū)、應(yīng)用/應(yīng)用組、協(xié)議/端口、時間、用戶、安全模板/模板組。

7.支持基于策略的雙向NAT、動態(tài)/靜態(tài)NAT、端口PAT。

8.支持WEB界面設(shè)置靜態(tài)路由及OSPF、RIP、BGP動態(tài)路由協(xié)議；支持基于源/目的地址、接口的、基于服務(wù)的策略路由。

★9.支持內(nèi)置/自定義ISP路由庫，可以實現(xiàn)多運營商鏈路負載。

10.支持反向路由。

★11.支持鏈路探測，能夠在每接口上以ICMP/TCP/UDP協(xié)議探測目標主機可達性，探測鏈路是否有效。

12.支持基于IPv6的訪問控制，并可靈活配置。

13.支持泛洪類攻擊防護：UDP/DNS/SYN/PING 泛洪；支持ARP欺騙類攻擊；

★14.支持非對稱路由。

★15.產(chǎn)品支持與IDS進行安全聯(lián)動，實時阻斷IDS發(fā)現(xiàn)的攻擊行為。

★16.產(chǎn)品應(yīng)具備安全云接入模塊，可通過安全云存儲日志、導出報表,支持通過手機APP實時監(jiān)控設(shè)備狀態(tài)（投標人于投標文件中必須提供所投產(chǎn)品具有“支持通過手機APP實時監(jiān)控設(shè)備狀態(tài)”的功能界面截圖）。

★17.投標人于投標文件中必須提供所投本項號產(chǎn)品以下相關(guān)有效證明材料：

（1）《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》復印件；

（2）由中國信息安全認證中心頒發(fā)的《中國國家信息安全產(chǎn)品認證證書》復印件；

（3）產(chǎn)品生產(chǎn)廠家的《信息安全等級保護安全建設(shè)服務(wù)機構(gòu)能力評估合格證書》復印件。

★18.提供最短不得少于三年的硬件和配套軟件免費保修服務(wù)。

★19.投標人于投標文件中必須提供所投本項號產(chǎn)品具有以上第6、9、11、14、15條帶“★”項要求的相關(guān)功能界面截圖。

1

臺

2

WEB應(yīng)用安全網(wǎng)關(guān)

★1.要求為2U上架設(shè)備，1個HA口，1個RJ-45 Console口，2個10/100/1000 Base-T帶外管理口，≥2個網(wǎng)絡(luò)接口板擴展槽位，要求配置4個萬兆光口SFP+插槽，雙電源。

2.設(shè)備網(wǎng)絡(luò)層吞吐率≥5G,應(yīng)用層吞吐率≥2G,最大HTTP并發(fā)連接數(shù)≥250萬,每秒新建HTTP連接數(shù)≥2萬。

3.支持透明部署，旁路部署，反向代理模式以及鏡像部署模式。

4.支持在Trunk線路上部署并提供防護，支持VLAN的透傳或者終結(jié)。

5.支持HTTP 0.9/1.0/1.1，完全解析HTTP事務(wù)。

6.支持對SSL（HTTPS）加密會話進行分析。

★7.支持對HTTP協(xié)議的異常元素、異常參數(shù)、非法編碼和解碼的靈活控制與處理。

8.支持針對主流Web服務(wù)器及插件的已知漏洞防護。Web服務(wù)器應(yīng)覆蓋主流服務(wù)器：apache、tomcat、lightpd、NGINX、IIS等；插件應(yīng)覆蓋：dedecms、phpmuadmin、PHPWind、shopex、discuz、echsop、vbulletin、wordpress等。

★9.支持對注入、XSS、SSI指令、Webshell防護、路徑穿越及遠程文件包含的攻擊防護。

★10.支持CSRF（跨站請求偽造）防護。

11.支持爬蟲防護，實現(xiàn)對100種以上的爬蟲特征進行識別和阻斷，防止頁面因爬蟲而引起信息泄露等問題。

12.支持盜鏈防護，有效識別網(wǎng)頁盜鏈行為，避免用戶網(wǎng)頁資源被濫用。

13.支持掃描防護。

★14.支持Cookie安全機制。

★15.支持對服務(wù)器狀態(tài)碼進行過濾和偽裝的安全策略。

16.支持敏感關(guān)鍵字自定義功能。

17.支持URL ACL。對多種HTTP方法執(zhí)行訪問控制，包括：GET、POST、HEAD、PUT、DELETE等。

★18.支持基于五元組（源IP地址、目的IP地址、源端口、目的源口、協(xié)議類型）及接口的網(wǎng)絡(luò)防火墻功能。

19.支持不同安全事件類型以不同的顏色區(qū)分。

20.支持基于時間、IP、端口、動作、事件類型、URI、方法等條件的日志查詢。

★21.支持在安全日志中帶有客戶端真實IP地址，便于IP溯源。

★22.支持日志分時段導出、全部導出或者清。

23.支持標準SNMP trap和Syslog接口。

★24.支持與時間服務(wù)器同步。

★25.能對賬戶進行安全策略配置，包括口令復雜度和口令生存期。

26.支持HA的A/S部署模式，支持配置同步。

27.支持VRRP協(xié)議

★28.支持與安全云聯(lián)動，可通過手機APP查看設(shè)備狀態(tài)（投標人于投標文件中必須提供所投產(chǎn)品具有“可通過手機APP查看設(shè)備狀態(tài)”的功能界面截圖）。

★29.投標人于投標文件中必須提供所投本項號產(chǎn)品的《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》復印件。

★30.提供最短不得少于三年的設(shè)備硬件和配套軟件的免費保修服務(wù)，并提供不得少于三年的web防護特征庫升級服務(wù)。

★31.投標人于投標文件中必須提供所投本項號產(chǎn)品具有以上第7、9、10、14、15、18、21、22、24、25條帶“★”項要求的相關(guān)功能界面截圖。

1

臺

3

數(shù)據(jù)庫審計設(shè)備

★1.要求為2U上架專用設(shè)備，搭配6個電口、4個SFP千兆插槽。數(shù)據(jù)存儲量不少于2T。

2.審計事件每秒入庫速度至少在30000條/秒 ，日處理審計事件數(shù)至少20000萬條；引擎抓包速度≥1000Mbps；含20個被審計DB服務(wù)數(shù)。

3.SQL語句處理能力：≥15000條SQL每秒。

4.檢索能力：1億條日志的數(shù)據(jù)規(guī)模，查詢響應(yīng)時間<20秒。

★5.支持數(shù)據(jù)庫自動發(fā)現(xiàn)。設(shè)備無需添加、即插即用。

★6.支持主流數(shù)據(jù)庫：Oracle、SQL Server、MySQL、DB2、PostgreSQL、sybase、達夢（DM）、人大金倉kingbase、Oscar。

7.會話的終端信息：IP、MAC、Port、工具名稱（程序名）。

8.會話的主機信息、IP、MAC、Port、數(shù)據(jù)庫名（實例名）。

9.會話的其它信息：登錄時間、會話時長。

★10.操作信息：操作類型（DDL、DML、DCL等）、操作時間、執(zhí)行時長、操作成功與失敗、操作對象（表、函數(shù)、存儲過程名稱）、SQL語句。

★11.操作影響范圍信息：查詢、修改、刪除操作的影響行數(shù),以及返回行數(shù)。

12.影響范圍（影響行數(shù)）Range：該操作執(zhí)行的影響范圍，如查詢、修改或刪除的記錄行數(shù)。

13.執(zhí)行結(jié)果ResultSet：執(zhí)行成功與否的結(jié)果以及返回結(jié)果集，如查詢操作的返回內(nèi)容。

14.支持Weblogic、tomcat、Websphere、Jboss等主流的應(yīng)用服務(wù)器。

15.能對基于數(shù)據(jù)庫漏洞進行攻擊行為監(jiān)測和告警，默認支持400個以上的數(shù)據(jù)庫漏洞攻擊規(guī)則庫。

★16.通過模式匹配的方式對SQL訪問進行監(jiān)測與告警,判斷是否為可疑SQL注入。

17.支持SQL注入監(jiān)測：根據(jù)IP，sql特征和正則表達式自定義SQL注入。

18.支持數(shù)據(jù)庫漏洞監(jiān)測和審計語句統(tǒng)一管理。

★19.支持敏感語句告警策略。

20.支持定時自動生成報表，并發(fā)送到指定郵箱。

★21.風險分析：根據(jù)敏感語句、sql注入、漏洞攻擊、風險操作等維度以時間維度統(tǒng)計數(shù)據(jù)庫分析信息。支持規(guī)則命中查詢、支持風險檢索。

★22.會話分析：基于客戶端IP、數(shù)據(jù)庫用戶、訪問程序統(tǒng)計會話、支持會話檢索；失敗會話和并發(fā)會話統(tǒng)計；支持應(yīng)用層關(guān)聯(lián)會話查詢。

23.支持報表定時推動功能，自定義推送周期以郵件形式推送報表文檔。

24.根據(jù)三權(quán)分立的原則。提供系統(tǒng)管理員、安全管理員和審計管理員不同的用戶身份驗證。系統(tǒng)針對產(chǎn)品操作人員的操作行為進行審計記錄，可以由審計管理員進行查詢，具有自身安全審計功能。提供審計數(shù)據(jù)管理功能，能夠?qū)崿F(xiàn)對審計數(shù)據(jù)的自動備份、刪除和導入。

★25.投標人于投標文件中必須提供所投本項號產(chǎn)品以下相關(guān)有效證明材料：

（1）《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》增強級證書復印件；

（2）中國信息安全認證中心頒發(fā)的《中國國家信息安全產(chǎn)品認證證書》復印件。

★26.提供最短不得少于三年的硬件和配套軟件免費保修服務(wù)。

★27.投標人于投標文件中必須提供所投本項號產(chǎn)品具有以上第5、6、10、11、16、19、21、22條帶“★”項要求的相關(guān)功能界面截圖。

1

臺

4

堡壘機

一、基本要求：

★1.要求為1U機架式軟硬一體設(shè)備,專用硬件平臺和安全操作系統(tǒng)，≥4個千兆電口；1個console管理口，硬盤容量≥2TB；支持HA雙機熱備。支持≥700路字符會話或200路圖形會話并發(fā)，配置≥200個點的被管資源數(shù)授權(quán)。

二、功能要求： 

★1.支持手工登錄目標設(shè)備，運維人員每次通過運維審計系統(tǒng)登錄目標設(shè)備都需要手工輸入目標設(shè)備用戶名密碼。

★2.支持人員半自動登錄目標設(shè)備，即第一次登錄目標設(shè)備時運維人員需手工輸入目標設(shè)備帳號和密碼并允許運維審計系統(tǒng)保存該帳號密碼，之后運維人員就可以自動登錄目標設(shè)備。

3.支持批量導入用戶帳號、目標設(shè)備信息。

★4.支持通過權(quán)限視圖查詢各用戶的訪問權(quán)限。

5.支持字符型遠程操作協(xié)議：SSH(V1、V2)、TELNET。

6.支持圖形化遠程操作協(xié)議：RDP、VNC、X11。

7.支持文件傳輸協(xié)議：FTP、SFTP。

★8.支持自動填寫特權(quán)密碼，從普通管理模式進入到特權(quán)模式。

★9.為了最大程度保障運維安全，針對Linux服務(wù)器將采用公鑰私鑰登錄，要求運維審計系統(tǒng)需支持公鑰私鑰代理登錄，使用戶能夠一鍵通過原有客戶端訪問服務(wù)器，而非使用應(yīng)用發(fā)布實現(xiàn)。

★10.支持通過RDP、SSH、https訪問運維審計系統(tǒng)。

★11.支持設(shè)備發(fā)現(xiàn)，通過IP地址掃描，快速發(fā)現(xiàn)指定IP地址范圍內(nèi)的主機、服務(wù)器和網(wǎng)絡(luò)設(shè)備，并自動識別啟用服務(wù)和端口，方便管理員快速添加設(shè)備。

★12.支持工單申請，運維人員通過填寫申請表單，可在指定時間單位內(nèi)獲取設(shè)備訪問權(quán)限，超過時間范圍權(quán)限自動取消。審批人員可以通過手機APP拒絕或允許工單請求（投標人于投標文件中必須提供所投本項號產(chǎn)品具有“審批人員可以通過手機APP拒絕或允許工單請求”界面截圖）。

13.要求支持基于RDP、VNC文件訪問控制功能，雙向控制客戶端與服務(wù)器收發(fā)文件行為。

★14.要求支持幽靈賬號功能，支持主動對從賬號進行關(guān)聯(lián)分析，當發(fā)現(xiàn)攻擊者植入的異常賬號時，對相關(guān)管理員采取告警、記錄及通知等操作。

★15.投標人于投標文件中必須提供所投本項號產(chǎn)品以下相關(guān)證明材料：

（1）《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》復印件；

（2）中國信息安全認證中心頒發(fā)的《信息安全產(chǎn)品認證證書》復印件。

★16.投標人于投標文件中必須提供所投本項號產(chǎn)品具有以上第二條“功能要求”中第1、2、4、8、9、10、11、14條帶“★”項要求的功能界面截圖。

★三、提供最短不得少于三年的硬件保修及軟件免費升級服務(wù)。

1

臺

5

漏洞掃描設(shè)備

★1.標準1U設(shè)備，配置6個10/100/1000M 電口（其中一個口可同時做掃描和管理），一個可擴展插槽，單交流電源；單次任務(wù)可掃描不少于200個IP地址，授權(quán)可掃描IP地址1000個，并發(fā)掃描不少于40IP。

★2.可以通過增加軟件授權(quán)的方式（不需要增加任何額外硬件）。

★3.支持在IPv6環(huán)境中部署和執(zhí)行掃描任務(wù)。

★4.支持對虛擬化平臺的掃描。

★5.漏洞知識庫漏洞信息大于20000條（投標人于投標文件中必須提供所投本項號產(chǎn)品具有本項中以上功能的功能界面截圖）。兼容CVE、CNCVE、CNNVD、CNVD、Bugtraq等主流標準（投標人于投標文件中必須提供所投本項號產(chǎn)品的CVE Compatible證書復印件和國家信息安全漏洞庫兼容證書復印件）。

★6.具備單獨口令猜測掃描任務(wù)，支持多種口令猜測方式，包括利用SMB、TELNET、FTP、SSH、POP3、TOMCAT、SQL SERVER、MYSQL、ORACLE、SYBASE、DB2、SNMP等協(xié)議進行口令猜測，允許外掛用戶提供的用戶名字典、密碼字典和用戶名密碼組合字典。

★7.支持和微軟WSUS補丁系統(tǒng)的聯(lián)動，方便進行自動化的補丁修補，支持自動漏洞策略模板過濾器功能，升級包中符合定義條件的漏洞可自動添加到自定義漏洞模板中，無需每次手動添加。支持保存任務(wù)配置，并可復用。支持風險告警和風險閉環(huán)處理，可配置告警內(nèi)容、告警方式、告警資產(chǎn)范圍等，支持郵件和頁面告警，支持自定義風險值計算標準配置，可對主機風險等級評定標準和網(wǎng)絡(luò)風險等級評定標準進行自定義。

8.支持二次開發(fā)接口，可以方便第三方系統(tǒng)利用此接口進行二次開發(fā)。

9.支持三類用戶角色分類，分別為“用戶管理員”、“審計員”、“配置管理員”。

10.支持對各種網(wǎng)絡(luò)主機、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備（如交換機、路由器、防火墻等）、常用軟件以及應(yīng)用系統(tǒng)的識別和漏洞掃描。

★11.支持掃描國產(chǎn)操作系統(tǒng)、應(yīng)用及軟件的安全漏洞，如紅旗、麒麟、起點操作系統(tǒng)（投標人于投標文件中必須提供所投產(chǎn)品的漏洞庫截圖）。

★12.支持掃描任務(wù)預計所需剩余時間顯示。

★13.支持對端口范圍、CGI掃描、后門、用戶名密碼字典、數(shù)據(jù)庫掃描、SNMP掃描、主機存活探測等多種通用掃描參數(shù)進行詳細自定義。

★14.支持報表自定義，可定制報表標題、封面logo、報表頁眉和頁腳、報表各章節(jié)顯示內(nèi)容。

★15.提供系統(tǒng)快照功能，當系統(tǒng)出現(xiàn)問題時，可以通過恢復快照，一次性將系統(tǒng)恢復到快照時的版本，并將用戶數(shù)據(jù)一同恢復。

★16. 配置云計算環(huán)境的漏洞掃描系統(tǒng)，支持掃描主流虛擬機管理系統(tǒng)的安全漏洞。

★17.投標人于投標文件中必須提供所投本項號產(chǎn)品以下相關(guān)有效證明材料：

（1）《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》復印件；

（2）由國家版權(quán)局頒發(fā)的云計算環(huán)境的漏洞掃描系統(tǒng)“計算機軟件著作權(quán)登記證書”復印件。

★18.提供最短不得少于3年的漏洞庫升級授權(quán)及硬件維保服務(wù)。

★19.投標人于投標文件中必須提供所投本項號產(chǎn)品具有以上第3、4、6、7、12、13、14、15條帶“★”項要求的功能界面截圖。

1

套

6

日志審計系統(tǒng)

★1.系統(tǒng)要求為1U標準式機架硬件設(shè)備，冗余雙電源，避免電源硬件故障時設(shè)備宕機，要求能提高設(shè)備可用性。系統(tǒng)應(yīng)包含1個RJ45串口支持100個審計對象授權(quán)。系統(tǒng)硬盤容量不低于4TB，支持定制擴容。

2.系統(tǒng)基于大數(shù)據(jù)平臺架構(gòu)，具備海量數(shù)據(jù)收集與快速檢索能力。

3.系統(tǒng)基于B/S架構(gòu)，支持SSL加密模式訪問，可通過web方式直接對系統(tǒng)進行管理。

★4.系統(tǒng)支持內(nèi)置采集器，不依賴其他設(shè)備即可進行日志采集。

5.系統(tǒng)支持每秒1000EPS的日志解析能力。

6.系統(tǒng)支持的數(shù)據(jù)采集范圍包括但不限于網(wǎng)絡(luò)安全設(shè)備、交換設(shè)備、路由設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)等。

★7.系統(tǒng)支持的數(shù)據(jù)采集方式包括但不限于SYSLOG、SNMP/SNMP TRAP、FTP/SFTP、HTTP、API接口、WebService、專用Agent等方式采集日志。

8.系統(tǒng)支持采集的設(shè)備廠家包括但不限于：NSFOCUS(綠盟科技)、Venustech(啟明星辰)、Topsec(天融信)、DBAPPSecurit(安恒)、SANGFOR(深信服)、Hillstone(山石網(wǎng)科)、東軟、瑞星、金山、網(wǎng)康、360網(wǎng)神、Dptech(迪普)、艾科網(wǎng)信、Imperva、Juniper(瞻博網(wǎng)絡(luò))、F5、Symantec(賽門鐵克)、Deep Security(趨勢科技)、MaAfee(邁克菲)、Fortinet(飛塔)、Windows、Linux/Unix、Cisco(思科)、HUAWEI(華為)、H3C(華三)、中興、Apache、nginx 、IIS、WebLogic、Vmware、Kvm、Xen、OpenStack、Hyper-V、華為FusionSphere、Oracle、MySQL、PostgreSQL、SQL Server、Bind等。

9.系統(tǒng)應(yīng)能實現(xiàn)海量日志數(shù)據(jù)的采集并保存原始日志數(shù)據(jù)。

10.系統(tǒng)應(yīng)能夠?qū)Ξ悩?gòu)日志格式進行統(tǒng)一化處理并保存統(tǒng)一化處理后的日志數(shù)據(jù)。

11.系統(tǒng)能夠?qū)崿F(xiàn)對海量日志數(shù)據(jù)快速查詢。

12.系統(tǒng)支持按類型、按日期(天)，手動、自動備份日志。

13.系統(tǒng)支持設(shè)置日志存儲備份策略，可設(shè)置備份周期、備份日志類型等 。

14.系統(tǒng)支持查詢實時事件，支持自定義查詢事件，支持模糊查詢。

15.系統(tǒng)支持事件規(guī)則自定義，支持面向日志類型的規(guī)則配置，支持通過插件方式實現(xiàn)日志類型的擴展。

16.系統(tǒng)支持周期性合并事件告警。

★17.系統(tǒng)支持資產(chǎn)標簽，且至少6種標簽以上，根據(jù)標簽可快速查詢資產(chǎn)。

18.系統(tǒng)支持手工注冊資產(chǎn)，支持對資產(chǎn)進行修改/刪除、批量導入/導出/添加/修改/刪除等多種方式的管理。

★19.系統(tǒng)支持從日志進行資產(chǎn)發(fā)現(xiàn)。

20.系統(tǒng)支持管理員、審計員、操作員多種權(quán)限設(shè)置。

21.系統(tǒng)支持自身日志記錄并可查詢、自身CPU、內(nèi)存和磁盤使用率可監(jiān)控并以圖形化方式動態(tài)顯示。

★22.投標人于投標文件中必須提供所投本項號產(chǎn)品的《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》復印件。

★23.提供最短不得少于3年的軟件免費維護升級服務(wù)。

1

套

7

安全管理平臺

1.系統(tǒng)采用基于瀏覽器的用戶界面，至少支持IE與Firefox。為了適應(yīng)不同用途，用戶可以對界面顏色進行選擇調(diào)整。

★2.基于大數(shù)據(jù)平臺構(gòu)架。具備海量數(shù)據(jù)收集與快速檢索能力。

3.平均處理能力（每秒日志解析能力EPS）：10000EPS，峰值處理能力（每秒日志解析能力EPS）：30000EPS。

4.數(shù)據(jù)采集引擎具備數(shù)據(jù)壓縮能力。