項號

貨物名稱

項目要求及技術需求

數量

單位

1

防火墻

★1.標準2U設備,雙冗余電源；標配8個10/100/1000M電口；≥2個擴展槽位，要求配置2口萬兆SFP+接口板1個；USB接口 ≥2個；最大整機吞吐量≥10Gbps，最大并發連接數≥250萬，每秒新建連接數≥10萬。

2.支持虛擬線、二層透明、路由、混合、旁路監聽接入方式，適應各種網絡環境需求。

3.支持VLAN劃分、VLAN Trunk，支持802.1Q，能進行封裝和解封；支持MSTP、RSTP等生成樹協議。

4.支持IPMAC綁定，支持手動和自動探測綁定。

5.支持匯聚接口，能夠手動綁定接口，即可支持動態綁定。

★6.能夠在一條策略里配置源/目的IP地址、安全區、應用/應用組、協議/端口、時間、用戶、安全模板/模板組。

7.支持基于策略的雙向NAT、動態/靜態NAT、端口PAT。

8.支持WEB界面設置靜態路由及OSPF、RIP、BGP動態路由協議；支持基于源/目的地址、接口的、基于服務的策略路由。

★9.支持內置/自定義ISP路由庫，可以實現多運營商鏈路負載。

10.支持反向路由。

★11.支持鏈路探測，能夠在每接口上以ICMP/TCP/UDP協議探測目標主機可達性，探測鏈路是否有效。

12.支持基于IPv6的訪問控制，并可靈活配置。

13.支持泛洪類攻擊防護：UDP/DNS/SYN/PING 泛洪；支持ARP欺騙類攻擊；

★14.支持非對稱路由。

★15.產品支持與IDS進行安全聯動，實時阻斷IDS發現的攻擊行為。

★16.產品應具備安全云接入模塊，可通過安全云存儲日志、導出報表,支持通過手機APP實時監控設備狀態（投標人于投標文件中必須提供所投產品具有“支持通過手機APP實時監控設備狀態”的功能界面截圖）。

★17.投標人于投標文件中必須提供所投本項號產品以下相關有效證明材料：

（1）《計算機信息系統安全專用產品銷售許可證》復印件；

（2）由中國信息安全認證中心頒發的《中國國家信息安全產品認證證書》復印件；

（3）產品生產廠家的《信息安全等級保護安全建設服務機構能力評估合格證書》復印件。

★18.提供最短不得少于三年的硬件和配套軟件免費保修服務。

★19.投標人于投標文件中必須提供所投本項號產品具有以上第6、9、11、14、15條帶“★”項要求的相關功能界面截圖。

1

臺

2

WEB應用安全網關

★1.要求為2U上架設備，1個HA口，1個RJ-45 Console口，2個10/100/1000 Base-T帶外管理口，≥2個網絡接口板擴展槽位，要求配置4個萬兆光口SFP+插槽，雙電源。

2.設備網絡層吞吐率≥5G,應用層吞吐率≥2G,最大HTTP并發連接數≥250萬,每秒新建HTTP連接數≥2萬。

3.支持透明部署，旁路部署，反向代理模式以及鏡像部署模式。

4.支持在Trunk線路上部署并提供防護，支持VLAN的透傳或者終結。

5.支持HTTP 0.9/1.0/1.1，完全解析HTTP事務。

6.支持對SSL（HTTPS）加密會話進行分析。

★7.支持對HTTP協議的異常元素、異常參數、非法編碼和解碼的靈活控制與處理。

8.支持針對主流Web服務器及插件的已知漏洞防護。Web服務器應覆蓋主流服務器：apache、tomcat、lightpd、NGINX、IIS等；插件應覆蓋：dedecms、phpmuadmin、PHPWind、shopex、discuz、echsop、vbulletin、wordpress等。

★9.支持對注入、XSS、SSI指令、Webshell防護、路徑穿越及遠程文件包含的攻擊防護。

★10.支持CSRF（跨站請求偽造）防護。

11.支持爬蟲防護，實現對100種以上的爬蟲特征進行識別和阻斷，防止頁面因爬蟲而引起信息泄露等問題。

12.支持盜鏈防護，有效識別網頁盜鏈行為，避免用戶網頁資源被濫用。

13.支持掃描防護。

★14.支持Cookie安全機制。

★15.支持對服務器狀態碼進行過濾和偽裝的安全策略。

16.支持敏感關鍵字自定義功能。

17.支持URL ACL。對多種HTTP方法執行訪問控制，包括：GET、POST、HEAD、PUT、DELETE等。

★18.支持基于五元組（源IP地址、目的IP地址、源端口、目的源口、協議類型）及接口的網絡防火墻功能。

19.支持不同安全事件類型以不同的顏色區分。

20.支持基于時間、IP、端口、動作、事件類型、URI、方法等條件的日志查詢。

★21.支持在安全日志中帶有客戶端真實IP地址，便于IP溯源。

★22.支持日志分時段導出、全部導出或者清。

23.支持標準SNMP trap和Syslog接口。

★24.支持與時間服務器同步。

★25.能對賬戶進行安全策略配置，包括口令復雜度和口令生存期。

26.支持HA的A/S部署模式，支持配置同步。

27.支持VRRP協議

★28.支持與安全云聯動，可通過手機APP查看設備狀態（投標人于投標文件中必須提供所投產品具有“可通過手機APP查看設備狀態”的功能界面截圖）。

★29.投標人于投標文件中必須提供所投本項號產品的《計算機信息系統安全專用產品銷售許可證》復印件。

★30.提供最短不得少于三年的設備硬件和配套軟件的免費保修服務，并提供不得少于三年的web防護特征庫升級服務。

★31.投標人于投標文件中必須提供所投本項號產品具有以上第7、9、10、14、15、18、21、22、24、25條帶“★”項要求的相關功能界面截圖。

1

臺

3

數據庫審計設備

★1.要求為2U上架專用設備，搭配6個電口、4個SFP千兆插槽。數據存儲量不少于2T。

2.審計事件每秒入庫速度至少在30000條/秒 ，日處理審計事件數至少20000萬條；引擎抓包速度≥1000Mbps；含20個被審計DB服務數。

3.SQL語句處理能力：≥15000條SQL每秒。

4.檢索能力：1億條日志的數據規模，查詢響應時間<20秒。

★5.支持數據庫自動發現。設備無需添加、即插即用。

★6.支持主流數據庫：Oracle、SQL Server、MySQL、DB2、PostgreSQL、sybase、達夢（DM）、人大金倉kingbase、Oscar。

7.會話的終端信息：IP、MAC、Port、工具名稱（程序名）。

8.會話的主機信息、IP、MAC、Port、數據庫名（實例名）。

9.會話的其它信息：登錄時間、會話時長。

★10.操作信息：操作類型（DDL、DML、DCL等）、操作時間、執行時長、操作成功與失敗、操作對象（表、函數、存儲過程名稱）、SQL語句。

★11.操作影響范圍信息：查詢、修改、刪除操作的影響行數,以及返回行數。

12.影響范圍（影響行數）Range：該操作執行的影響范圍，如查詢、修改或刪除的記錄行數。

13.執行結果ResultSet：執行成功與否的結果以及返回結果集，如查詢操作的返回內容。

14.支持Weblogic、tomcat、Websphere、Jboss等主流的應用服務器。

15.能對基于數據庫漏洞進行攻擊行為監測和告警，默認支持400個以上的數據庫漏洞攻擊規則庫。

★16.通過模式匹配的方式對SQL訪問進行監測與告警,判斷是否為可疑SQL注入。

17.支持SQL注入監測：根據IP，sql特征和正則表達式自定義SQL注入。

18.支持數據庫漏洞監測和審計語句統一管理。

★19.支持敏感語句告警策略。

20.支持定時自動生成報表，并發送到指定郵箱。

★21.風險分析：根據敏感語句、sql注入、漏洞攻擊、風險操作等維度以時間維度統計數據庫分析信息。支持規則命中查詢、支持風險檢索。

★22.會話分析：基于客戶端IP、數據庫用戶、訪問程序統計會話、支持會話檢索；失敗會話和并發會話統計；支持應用層關聯會話查詢。

23.支持報表定時推動功能，自定義推送周期以郵件形式推送報表文檔。

24.根據三權分立的原則。提供系統管理員、安全管理員和審計管理員不同的用戶身份驗證。系統針對產品操作人員的操作行為進行審計記錄，可以由審計管理員進行查詢，具有自身安全審計功能。提供審計數據管理功能，能夠實現對審計數據的自動備份、刪除和導入。

★25.投標人于投標文件中必須提供所投本項號產品以下相關有效證明材料：

（1）《計算機信息系統安全專用產品銷售許可證》增強級證書復印件；

（2）中國信息安全認證中心頒發的《中國國家信息安全產品認證證書》復印件。

★26.提供最短不得少于三年的硬件和配套軟件免費保修服務。

★27.投標人于投標文件中必須提供所投本項號產品具有以上第5、6、10、11、16、19、21、22條帶“★”項要求的相關功能界面截圖。

1

臺

4

堡壘機

一、基本要求：

★1.要求為1U機架式軟硬一體設備,專用硬件平臺和安全操作系統，≥4個千兆電口；1個console管理口，硬盤容量≥2TB；支持HA雙機熱備。支持≥700路字符會話或200路圖形會話并發，配置≥200個點的被管資源數授權。

二、功能要求： 

★1.支持手工登錄目標設備，運維人員每次通過運維審計系統登錄目標設備都需要手工輸入目標設備用戶名密碼。

★2.支持人員半自動登錄目標設備，即第一次登錄目標設備時運維人員需手工輸入目標設備帳號和密碼并允許運維審計系統保存該帳號密碼，之后運維人員就可以自動登錄目標設備。

3.支持批量導入用戶帳號、目標設備信息。

★4.支持通過權限視圖查詢各用戶的訪問權限。

5.支持字符型遠程操作協議：SSH(V1、V2)、TELNET。

6.支持圖形化遠程操作協議：RDP、VNC、X11。

7.支持文件傳輸協議：FTP、SFTP。

★8.支持自動填寫特權密碼，從普通管理模式進入到特權模式。

★9.為了最大程度保障運維安全，針對Linux服務器將采用公鑰私鑰登錄，要求運維審計系統需支持公鑰私鑰代理登錄，使用戶能夠一鍵通過原有客戶端訪問服務器，而非使用應用發布實現。

★10.支持通過RDP、SSH、https訪問運維審計系統。

★11.支持設備發現，通過IP地址掃描，快速發現指定IP地址范圍內的主機、服務器和網絡設備，并自動識別啟用服務和端口，方便管理員快速添加設備。

★12.支持工單申請，運維人員通過填寫申請表單，可在指定時間單位內獲取設備訪問權限，超過時間范圍權限自動取消。審批人員可以通過手機APP拒絕或允許工單請求（投標人于投標文件中必須提供所投本項號產品具有“審批人員可以通過手機APP拒絕或允許工單請求”界面截圖）。

13.要求支持基于RDP、VNC文件訪問控制功能，雙向控制客戶端與服務器收發文件行為。

★14.要求支持幽靈賬號功能，支持主動對從賬號進行關聯分析，當發現攻擊者植入的異常賬號時，對相關管理員采取告警、記錄及通知等操作。

★15.投標人于投標文件中必須提供所投本項號產品以下相關證明材料：

（1）《計算機信息系統安全專用產品銷售許可證》復印件；

（2）中國信息安全認證中心頒發的《信息安全產品認證證書》復印件。

★16.投標人于投標文件中必須提供所投本項號產品具有以上第二條“功能要求”中第1、2、4、8、9、10、11、14條帶“★”項要求的功能界面截圖。

★三、提供最短不得少于三年的硬件保修及軟件免費升級服務。

1

臺

5

漏洞掃描設備

★1.標準1U設備，配置6個10/100/1000M 電口（其中一個口可同時做掃描和管理），一個可擴展插槽，單交流電源；單次任務可掃描不少于200個IP地址，授權可掃描IP地址1000個，并發掃描不少于40IP。

★2.可以通過增加軟件授權的方式（不需要增加任何額外硬件）。

★3.支持在IPv6環境中部署和執行掃描任務。

★4.支持對虛擬化平臺的掃描。

★5.漏洞知識庫漏洞信息大于20000條（投標人于投標文件中必須提供所投本項號產品具有本項中以上功能的功能界面截圖）。兼容CVE、CNCVE、CNNVD、CNVD、Bugtraq等主流標準（投標人于投標文件中必須提供所投本項號產品的CVE Compatible證書復印件和國家信息安全漏洞庫兼容證書復印件）。

★6.具備單獨口令猜測掃描任務，支持多種口令猜測方式，包括利用SMB、TELNET、FTP、SSH、POP3、TOMCAT、SQL SERVER、MYSQL、ORACLE、SYBASE、DB2、SNMP等協議進行口令猜測，允許外掛用戶提供的用戶名字典、密碼字典和用戶名密碼組合字典。

★7.支持和微軟WSUS補丁系統的聯動，方便進行自動化的補丁修補，支持自動漏洞策略模板過濾器功能，升級包中符合定義條件的漏洞可自動添加到自定義漏洞模板中，無需每次手動添加。支持保存任務配置，并可復用。支持風險告警和風險閉環處理，可配置告警內容、告警方式、告警資產范圍等，支持郵件和頁面告警，支持自定義風險值計算標準配置，可對主機風險等級評定標準和網絡風險等級評定標準進行自定義。

8.支持二次開發接口，可以方便第三方系統利用此接口進行二次開發。

9.支持三類用戶角色分類，分別為“用戶管理員”、“審計員”、“配置管理員”。

10.支持對各種網絡主機、操作系統、網絡設備（如交換機、路由器、防火墻等）、常用軟件以及應用系統的識別和漏洞掃描。

★11.支持掃描國產操作系統、應用及軟件的安全漏洞，如紅旗、麒麟、起點操作系統（投標人于投標文件中必須提供所投產品的漏洞庫截圖）。

★12.支持掃描任務預計所需剩余時間顯示。

★13.支持對端口范圍、CGI掃描、后門、用戶名密碼字典、數據庫掃描、SNMP掃描、主機存活探測等多種通用掃描參數進行詳細自定義。

★14.支持報表自定義，可定制報表標題、封面logo、報表頁眉和頁腳、報表各章節顯示內容。

★15.提供系統快照功能，當系統出現問題時，可以通過恢復快照，一次性將系統恢復到快照時的版本，并將用戶數據一同恢復。

★16. 配置云計算環境的漏洞掃描系統，支持掃描主流虛擬機管理系統的安全漏洞。

★17.投標人于投標文件中必須提供所投本項號產品以下相關有效證明材料：

（1）《計算機信息系統安全專用產品銷售許可證》復印件；

（2）由國家版權局頒發的云計算環境的漏洞掃描系統“計算機軟件著作權登記證書”復印件。

★18.提供最短不得少于3年的漏洞庫升級授權及硬件維保服務。

★19.投標人于投標文件中必須提供所投本項號產品具有以上第3、4、6、7、12、13、14、15條帶“★”項要求的功能界面截圖。

1

套

6

日志審計系統

★1.系統要求為1U標準式機架硬件設備，冗余雙電源，避免電源硬件故障時設備宕機，要求能提高設備可用性。系統應包含1個RJ45串口支持100個審計對象授權。系統硬盤容量不低于4TB，支持定制擴容。

2.系統基于大數據平臺架構，具備海量數據收集與快速檢索能力。

3.系統基于B/S架構，支持SSL加密模式訪問，可通過web方式直接對系統進行管理。

★4.系統支持內置采集器，不依賴其他設備即可進行日志采集。

5.系統支持每秒1000EPS的日志解析能力。

6.系統支持的數據采集范圍包括但不限于網絡安全設備、交換設備、路由設備、操作系統、應用系統等。

★7.系統支持的數據采集方式包括但不限于SYSLOG、SNMP/SNMP TRAP、FTP/SFTP、HTTP、API接口、WebService、專用Agent等方式采集日志。

8.系統支持采集的設備廠家包括但不限于：NSFOCUS(綠盟科技)、Venustech(啟明星辰)、Topsec(天融信)、DBAPPSecurit(安恒)、SANGFOR(深信服)、Hillstone(山石網科)、東軟、瑞星、金山、網康、360網神、Dptech(迪普)、艾科網信、Imperva、Juniper(瞻博網絡)、F5、Symantec(賽門鐵克)、Deep Security(趨勢科技)、MaAfee(邁克菲)、Fortinet(飛塔)、Windows、Linux/Unix、Cisco(思科)、HUAWEI(華為)、H3C(華三)、中興、Apache、nginx 、IIS、WebLogic、Vmware、Kvm、Xen、OpenStack、Hyper-V、華為FusionSphere、Oracle、MySQL、PostgreSQL、SQL Server、Bind等。

9.系統應能實現海量日志數據的采集并保存原始日志數據。

10.系統應能夠對異構日志格式進行統一化處理并保存統一化處理后的日志數據。

11.系統能夠實現對海量日志數據快速查詢。

12.系統支持按類型、按日期(天)，手動、自動備份日志。

13.系統支持設置日志存儲備份策略，可設置備份周期、備份日志類型等 。

14.系統支持查詢實時事件，支持自定義查詢事件，支持模糊查詢。

15.系統支持事件規則自定義，支持面向日志類型的規則配置，支持通過插件方式實現日志類型的擴展。

16.系統支持周期性合并事件告警。

★17.系統支持資產標簽，且至少6種標簽以上，根據標簽可快速查詢資產。

18.系統支持手工注冊資產，支持對資產進行修改/刪除、批量導入/導出/添加/修改/刪除等多種方式的管理。

★19.系統支持從日志進行資產發現。

20.系統支持管理員、審計員、操作員多種權限設置。

21.系統支持自身日志記錄并可查詢、自身CPU、內存和磁盤使用率可監控并以圖形化方式動態顯示。

★22.投標人于投標文件中必須提供所投本項號產品的《計算機信息系統安全專用產品銷售許可證》復印件。

★23.提供最短不得少于3年的軟件免費維護升級服務。

1

套

7

安全管理平臺

1.系統采用基于瀏覽器的用戶界面，至少支持IE與Firefox。為了適應不同用途，用戶可以對界面顏色進行選擇調整。

★2.基于大數據平臺構架。具備海量數據收集與快速檢索能力。

3.平均處理能力（每秒日志解析能力EPS）：10000EPS，峰值處理能力（每秒日志解析能力EPS）：30000EPS。

4.數據采集引擎具備數據壓縮能力。