序号

产品名称

     规格参数     

单位

  数量

*

防火墙

*、千兆电口≥**，Combo口≥*，支持千兆接口总数≥**，硬盘≥***G，*+*冗余电源。
*、AV吞吐量≥*** Mbps，最大并发连接数≥***万，每秒新建HTTP连接数≥*.*万。
*、支持路由、网桥、旁路、混合、虚拟网线工作模式；部署模式切换无需重启设备。
*、支持端口镜像功能，支持入流量、出流量和双向流量等维度镜像。
*、支持IPv*/v*双栈协议的源地址转换、目的地址转换、双向NAT、NAT**、NAT**、NAT**、NAT**等地址转换。
*、支持静态路由、动态路由、ISP路由；支持基于入接口、源地址、目标地址、用户、服务、应用、时间、域名的策略路由；ISP路由支持联通、电信、教育网、移动等ISP服务商地址列表，并支持运营商地址自定义。
*、支持IPv*策略路由、OSPFv*、静态路由、IPv*隧道，包括IPv*手工隧道、isatap、*to*等隧道模式、支持IPv*网络下的DHCPv*、DNSv*、SNMPv*、NTPv*、PPPoE等基础协议。
*、支持IPv*入侵防御、病毒防护、Web防护、风险扫描、安全分析、资产发现、弱密码防护等安全功能。
*、支持HTTP，FTP，POP*，SMTP，IMAP协议的病毒查杀，支持查杀邮件正文/附件、网页及下载文件中包含的病毒，至少支持***万余种病毒的查杀，支持在线升级和手动升级病毒库。
**、支持对最多**级的压缩文件进行解压查杀。
**、支持独立的Web防护模块，提供SQL注入攻击、XSS攻击、恶意扫描与爬虫、服务器防护、CMS漏洞防护等不少于**种的防护类型。
**、支持HTTP协议的精确访问控制，可针对IP、URL、Method、Referer、User-Agent、Cookie、Url-args等字段设置内容，匹配内容包括但不少于：包括、不包含、等于、属于、不属于、长度等于、正则匹配等。
**、支持防盗链、CSRF攻击、CC攻击、应用隐藏、网页防篡改等防护；应用隐藏可隐藏Server信息、X-Powered-By信息、替换客户端出错页面(*xx)、替换服务器端出错页面(*xx)等。
**、支持缓存防篡改网页，可手动清理缓存内容。支持基于多元组的访问控制；并提供智能策略分析功能，支持策略命中分析、隐藏策略分析、冗余策略分析、冲突策略分析、可合并策略分析、过期策略发现、空策略发现、策略宽松度分析，并在web页面显示分析结果
**、支持对内网进行威胁情报安全分析，支持以柱状图、饼状图等形式展示网络安全态势。支持针对资产维度进行数据下钻，分析维度包括但不限于资产、目的地址、威胁类型、威胁信息、命中次数等，支持跳转至威胁情报平台，查看详细的威胁情报内容。
**、支持展示全球热门和新型的威胁事件，支持数据下钻查看该威胁事件的时间、威胁级别、描述、类型、应用措施和指示器等信息。支持针对威胁事件提供安全防护的配置向导，通过引导方式帮助用户完成安全加固，规避威胁风险。
**、支持安全事件攻击链分析，以资产和攻击者两种角度关联所有安全事件，将攻击过程阶段化，分析和统计每个攻击阶段的攻击内容和攻击次数，支持针对每个攻击阶段进行数据下钻，支持分析攻击时间、攻击源、攻击目的、攻击事件、检测模块、攻击级别等信息，帮助管理员清晰了解APT攻击的攻击进度，及时在数据泄露前加固网络，针对已经数据泄露的情况，进行事件回溯，为后续网络加固提供数据支撑。
**、支持自定义应用，包括但不限于数据包方向、协议、端口、IP地址、目标域名、关键字识别等维度，数据包方向包括任意、请求数据、响应数据，关键字匹配模式支持文本或正则表达式；支持DNS域名学习模式，可引用数据包特征中的目标域名或指定域名。
**、支持应用智能识别，有效识别P*P和迅雷行为，识别模式可选择严格、适中、宽松，支持排除扫描端口。
**、支持邮件控制，支持基于发件人黑白名单、收件人黑白名单、标题及内容关键字、邮件大小、附件个数进行行为过滤。
**、支持针对搜索引擎、http、网页内容进行关键字过滤并实时生成日志记录。
**、支持基于流量和时长的流量限额功能，针对超过限额的用户，可选择禁止上网或加入至惩罚流控通道。

台

*

*

入侵防护

*、实配**M/***M/****M自适应电接口数量≥**个，combo接口数量≥*个，硬盘≥***G，*+*冗余电源。
*、IPS吞吐量≥*** Mbps，最大并发连接数≥***万，每秒新建HTTP连接数≥*.*万。
*、支持透明、路由、混合、旁路工作模式；支持端口镜像功能。
*、支持主主模式和主备模式的HA，支持配置抢占模式和非抢占模式，抢占模式支持配置抢占延时；支持同步配置、会话、运行状态、特征库，配置支持手动和自动同步。
*、系统定义超过****+条主流攻击规则，包含用户提权、任意代码执行、木马、后门、挖矿、Web序列化、Webshell等主流防护类型；并支持在线升级和手动升级。
*、预置防护模板，可基于常见场景进行一键式的安全加固，减少配置工作量。
*、支持基于常见协议进行异常检查，包括但不限于：HTTP、SMTP、POP*、FTP；检查内容支持自定义，包括但不限于：url长度、请求长度、host字段、version字段、字符检测、文件名长度，支持针对每协议设置处置动作和事件等级。
*、支持自定义IPS特征，至少支持IP、UDP、TCP、ICMP、FTP、POP*、SMTP等协议自定义入侵攻击特征；可拓展协议字段，设置数据包中的匹配内容；支持选择包含、等于、不等于、大于等匹配方式；可选择多种匹配条件，支持设置“与”和“或”的匹配顺序；支持设置检测方向，包括双向、客户端方向和服务端方向；
*、支持IPS日志聚合，可按照源IP、目的IP、防护规则和源目IP等维度进行聚合，方便管理员快速进行攻击事件统计和回溯。
**、支持IPS高阶告警功能，可以配置多种告警条件，达到告警规则可通过邮件或者syslog告警，不同告警规则可以发送给不同的用户。
**、支持针对IP地址、端口号进行端口扫描，可选择立即执行或者定期执行；支持呈现扫描结果，包括端口、端口状态、操作系统、风险状态、设备类型和时间等信息，支持导出功能。
**、支持弱密码扫描能力，可针对IP、端口等对象，扫描监控空密码、用户名密码相同、预置弱口令、自定义弱口令等规则，可设置立即扫描或定期扫描，弱口令字典可自定义设置。
**、提供在设备端上的全网威胁情报的搜索查询，包括IP、域名、文件（MD*/SHA*等）情报的查询。
**、支持关联所有安全事件，基于全球地图进行攻击源地域分析统计，支持以发起的网络攻击次数展现全球攻击源热度，统计攻击源 TOP国家，统计时间包括但不限于：一天、一周、一月和自定义时间。
**、支持统计设备健康状态、网络质量、网络安全等报表；支持HTML、PDF等报表格式，并可通过邮件、FTP等方式外发。
**、支持文件缓存，缓存文件形式不限于视频、安卓和IOS形式的APP等；设备智能解析用户流量，针对域名或者文件请求，设备推送文件至终端，帮助用户缓解互联网出口压力，实现文件下载加速的效果。
**、Web管理界面支持Ping、Traceroute、TCP Syn诊断工具，可支持基于接口、协议、IP地址、端口、应用进行网络抓包，并可下载导出分析。
**、支持被第三方管理平台通过RESTFUL接口进行调动管理，结合业务需求，实现业务快速变更和威胁动态处置。
**、支持U盘零配置上线，设备端无需预配置，将U盘插入设备USB接口中，即可实现快速上线实施。
**、系统管理员登陆认证支持USBkey双因子认证。
**、系统管理员支持与第三方服务器联动认证，第三方服务器包括但不限于RADIUS服务器、LDAP服务器。支持第三方服务器状态探测，根据服务器状态自动切换认证方式，服务器异常时，切换为本地认证，服务器恢复后使用外部认证。

台

*

*

漏洞扫描系统

*、软硬件一体化产品，硬盘≥*T，内存≥**G，配备至少*个***/****M自适应电口，USB口≥*。
*、提供*年硬件维保服务及特征库升级。
*、支持对各种网络主机、操作系统、网络设备(如交换机、路由器、防火墙等)、常用软件以及应用系统的识别和漏洞扫描。
*、支持云平台扫描，漏洞覆盖OpenStack、Kvm、VMware、Xen等主流的云计算平台。
*、用户可自定义扫描范围、定义扫描端口、扫描使用的参数集等具体扫描选项。
*、可以自定义扫描端口范围、端口扫描策略。
*、提供采用SMB、SSH、Telnet、RDP、SNMP等协议对Windows、Linux系统进行登录授权扫描。
*、具备弱口令扫描功能，支持弱口令扫描协议数量≥**种，包括FTP、SMB、RDP、TELNET、SMTP、IMAP、POP*、Oracle、MySQL、MSSQL、DB*、REDIS、MongoDB、Sybase、Rlogin、RTSP、SIP、Onvif、Weblogic、Tomcat、SNMP等协议进行弱口令扫描，允许用户自定义用户、密码字典。
*、支持发现非默认端口启动的服务，支持服务的协议识别、版本。
**、支持对误报的漏洞进行修正，避免将误报结果导出。
**、支持端口探测方式≥*种，如： TCP ACK、TCP SYN、TCP Connect、TCP Null、TCP Xmas、TCP Window、TCP Fin等。
**、在资产管理页面可直接对单个资产或批量资产下发扫描任务。
**、在做系统扫描任务时发现的新资产能够自动录入至资产管理页面。
**、支持自定义扫描策略模板，可以将自定义策略模板导出备份，也可以导入备份的策略模板，能够对策略模板进行编辑、另存为新的模板。
**、漏洞知识库支持检索，可通过CVE ID、CNCVE ID、CNVD ID、CNNVD ID、Bugtraq、CVSS分值、漏洞名称、风险等级、发现日期等进行检索查看。
**、支持导出的报告类型≥*种，至少包括HTML、PDF、EXCEL、XML报告格式。
**、支持在线查看报告以及离线导出报告，报告导出可将弱口令隐藏，保证不以明文方式体现在报告中。
**、提供直观的风险危害等级图表和风险类型统计图表、漏洞的描述、漏洞的风险级别、加固建议。
**、提供审计功能，能够对登录日志、操作日常进行记录和查询，并可以将日志导入导出操作。
**、操作日志支持手动备份和自动备份，自动备份支持邮件发送和FTP同步两种方式，支持自定义设置备份周期。
**、具备对外接口，支持任务下发接口，扫描结果上报接口，任务进度接口，任务查询接口。
**、扫描结果在产品界面中支持查看目标应用返回的软件版本，可以方便与漏洞描述对比进行漏洞验证。

台

*

*

杀毒软件

*、支持当前待处理高危风险展示，包括弱口令、待处理病毒、待处理漏洞数据，并支持一键跳转到对应处理页面。
*、支持控制台动态更新显示全网终端安全状态分布，包括：终端总数、在线终端数、防护中终端数、异常设备数。
*、支持自定义安全策略、安全策略可继承，内置多个初始策略模板，包括防护模板、审计模板。
*、支持对CPU使用率监控、内存占用率监控、磁盘读写监控、上下行流量监控。
*、支持对CPU、内存、磁盘读写、网络上下行流量达到配置阈值时告警。支持对CPU、内存达到一定阈值时客户端进行熔断。
*、支持自动收集终端资产信息，包括：计算机名称、内核版本、操作系统、处理器、主板、内存、硬盘、显卡、终端版本、病毒库版本、最近更新时间。
*、支持自动收集终端资产：监听端口、运行程序、账号、软件、启动项等信息，并支持从资产的维度和信息的维度去查看数据，支持数据的导出。
*、违规外联支持黑、白名单双模式，白名单模式可配置是否允许访问特定的网站和地址；黑名单模式可自定义恶意IP，支持黑名单告警和阻断。
*、支持流量画像，支持全网流量可视化。
**、支持登录防护，包括以系统账号为粒度的异常登录防护、支持五个任意维度（任意IP，任意域名，任意计算机名，任意时间）的系统登录访问策略设置。
**、具备为用户提供Windows漏洞修复的热补丁列表能力。
**、支持扫描的漏洞类型包括但不限于操作系统漏洞（Windows、Linux等）、数据库漏洞（MySQL等）、Web容器漏洞（Tomcat、Apache、Ngnix等）及其他组件漏洞。
**、支持对无线网卡、光驱、软驱、打印机、调制解调器、红外设备、蓝牙设备、摄像头、鼠标、键盘、手机/数码设备的权限管理。
**、支持对USB接口、串口/并口、****控制器、PCMCIA等接口的控制。
**、针对Windows系统，提供内核级的数据防护能力，保护文件不被恶意修改、加密等，可自定义配置保护的文件及目录，支持设置例外进程。
**、提供专门的勒索风险评估功能。
**、支持强力查杀，对于无法普通隔离的病毒文件进行处理并加入隔离区，或动态移动到信任区。
**、支持部分病毒感染文件的修复功能，对于二进制文件可剥离感染部分，保证应用正常使用。
**、支持下发文件、安装应用程序、远程执行命令。
**、支持对屏幕拍照泄密数据的行为进行溯源。
**、支持多级中心部署，查看所有下级控制中心的资产部署情况以及风险数据。
**、支持通过web页面进行客户端推广部署，推广页面支持自定义。
**、管理中心支持支持Windows系统部署及Linux系统部署。
适用于各类型服务器防护支持Windows server ****、Windows server ****、Windows server ****、Windows server ****、Centos *.* +、Redhat *.* + 、Suse** +、 Ubuntu ** +等操作系统。
支持主流的信创版本：
兆芯+中标麒麟V*.*、V**/统信UOSV**、龙芯+中标麒麟V*.*、V**/统信UOSV**
鲲鹏+中标麒麟V*.*、V**/统信UOSV**、飞腾+银河麒麟V*.*、V**、海光+中标麒麟V*.*、V**/统信UOSV**

套

*

*

综合日志审计

*.独立完成审计日志采集，不依赖于设备或系统自身的日志系统。
*.提供全中文WEB管理界面，无需安装任意客户端软件或插件。
*.管理口≥*个，HA口≥*个，审计口≥*个，Console口≥*个，内存≥*GB，磁盘≥*T。
*.提供*年免费升级维护。
*.支持kafka日志接收转发、大数据安全域同步、APT沙箱报告转发等大数据联调功能，Kafka收发支持SSL加密。
*.支持kafka接收、kafka转发、APT沙箱报告转发、大数据安全域同步等大数据联调功能，可对接大数据平台、态势感知平台等诸多平台。
*.支持Syslog、SNMP Trap、HTTP、ODBC/JDBC、WMI、FTP、SFTP协议日志收集；支持阿里云SLS日志的采集。
*.可通过接收协议限制日志接收速率，包括Http接收、syslog接收、SNMPtrap接收、TCP接收、WMI接收、aliyun接收。
*.支持对Agent进行统一管控，包括卸载、升级、启动及停止操作，支持将日志收集策略统一分发。
**.支持目前主流的网络安全设备、交换设备、路由设备、操作系统、应用系统等。
**.支持将收集到的日志转发，当原始日志设备无法设置多个日志服务器时，可以通过本系统的日志转发功能将日志转发到其他日志存储设备。
**.支持美观易用的思维导图模式的解析规则界面自定义。
**.内置****+解析规则，支持对收集的****+设备类型日志进行解析（标准化、归一化），解析维度多达***+，解析规则可以根据客户要求定制扩展。
**.可设置日志存储备份策略。包括系统日志保存期（天）、磁盘使用率百分比等策略。
**.支持日志本地备份及恢复。
**.支持日志备份自动传送到远程服务器。
**.支持按日期、时间、设备类型、日志类型、日志来源、威胁值、源地址、目的地址、事件类型、时间范围、操作对象、技术方式、技术动作、技术效果、攻击类型、地理城市等参数进行过滤查询。
**.支持用任意关键字对所有事件进行高性能全文检索。
**.支持监测目标资产的CPU利用率、内存使用率、磁盘使用率、磁盘使用情况、流量、查询缓存命中率、每秒SQL查询数等信息。
**.自定义的报表支持多个统计维度的数据集合。
**.支持报表导出为PDF和Word格式文件。
**.根据三权分立的原则和要求进行职、权分离，对系统本身进行分角色定义，如管理员只负责完成设备的初始配置，规则配置员只负责审计规则的建立，审计员只负责查看相关的审计结果及告警内容；日志员只负责完成对系统本身的用户操作日志管理。
**.用户支持双因子认证登录，双因子认证令牌支持绑定至具体用户。
**.支持分布式部署，支持页面一键添加子节点，自动进行绑定添加，采集器可以选择同步日志范围，按需转发数据。
**.支持集中式管理和升级模式。

台

*

*

堡垒机

*.硬盘大于*T、配备至少*个GE电管理口、至少*个GE电业务口。
*.资产数≥***个，字符连接≥***个，图型连接≥**个。
*.支持集群部署模式，中心采用HA，节点可以横向扩展，实现统一登录入口、统一配置同步、审计日志集中查询、实时会话集中监控，以满足业务增长需求。
*.支持用户多角色划分功能，如系统管理员、部门管理员、运维员、审计管理员、密码管理员等，对各类角色需要进行细粒度的权限管理。
*.支持按部门组织架构（至少*个层级的部门）管理用户数据、资产数据、授权数据、审计数据。
*.支持常用的运维协议：SSH、TELNET、RDP、VNC、FTP、SFTP、rlogin；可通过应用发布的方式进行协议扩展，如数据库Oracle、MSSQL、MySQL、VMware vSphere Client、浏览器等客户端工具。
*.支持对设备进行按设备类型分组、按部门分组，支持设备批量导入/导出。
*.支持设备帐户和密码的自动登录、手工登录、二次自动登录模式。
*.持定期自动修改windows服务器、网络设备、linux/unix等目标设备密码功能。
**.支持与AD、LDAP、RADIUS、吉大正元、北京CA认证系统联动登录堡垒机，支持自动同步AD/LDAP用户。
**.支持使用本地的winscp/flashFXP/SecureFX等客户端工具登录堡垒机访问SFTP/FTP设备。
**.Web访问方式：至少支持使用IE、谷歌、火狐三种浏览器打开堡垒机的Web页面直接调用mstsc、VNC、Xshell、SecureCRT、Putty、winscp、flashFXP、FileZilla、SecureFX等运维客户端工具。
**.支持对运维操作会话的在线监控、实时阻断、日志回放、起止时间、来源用户、来源IP、目标设备、协议/应用类型、命令记录、操作内容（如对文件的上传、下载、删除、修改等操作等）的详细行为日志。
**.支持DB*、oracle、mysql、sqlserver主流数据库协议代理运维，可直接调用本地windows系统的数据库客户端工具，支持自动登录、无需应用发布前置机。
**.H*运维方式：支持ssh、telnet、rlogin、rdp、vnc协议的H*运维，无需本地运维客户端工具。
**.支持审计主流数据库（如DB*、oracle、mysql、sql server）运维中的SQL语句，可进行关键信息定位查询
**.支持通过基于时间、IP/IP段、用户/用户组、设备/设备组、设备账号、命令关键字、控制动作、黑白名单等组合访问控制策略，授权用户可访问的目标设备。
**.支持自身审计，包括但不限于：系统状态检测、登录日志、用户配置日志、设备配置日志、授权配置日志、策略配置日志、运维访问日志、系统配置日志等。
**.支持邮件/syslog方式输出告警日志。
**.支持使用本地的SecurCRT/Xshell/OpenSSH工具通过SSH网关代理方式直接登录字符设备。

台

*

*

等保测评

（*）投标人需严格依据《GB/T*****-****信息安全技术网络安全等级保护基本要求》为采购人的财政系统开展基于等保*.*的等保测评工作。
（*）投标人需依据《GB/T*****-****信息安全技术网络安全等级保护测评过程指南》开展现场测评工作，测评方法包括但不限于访谈、核查、工具测试等内容。
（*）投标人需从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等**个安全层面开展测评工作。
（*）安全物理环境测评需通过访谈、文档审查和实地察看的方式测评信息系统的物理安全保障情况。测试过程中投标人必须使用高低频电磁辐射计、绝缘电阻测试仪、粉尘颗粒物计数器等检测设备开展工作，并在报告中体现具体物理数值。
（*）安全通信网络测评需通过核查和验证测试的方式验证通信网络安全性，主要验证对象为广域网、城域网和局域网等；涉及的安全控制点包括网络架构、通信传输和可信验证。
（*）安全区域边界测评需通过核查和验证测试的方式验证网络区域边界的安全性，主要对象为系统边界和区域边界等；涉及的安全控制点包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计和可信验证等。
（*）安全计算环境测评需通过核查和验证测试的方式验证计算环境安全性，主要对象为边界内容部的所有对象。包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等；涉及的控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等。
（*）安全管理中心测评需通过核查和验证测试的方式验证安全管理中心的安全性，主要对象为集中管控平台、集中运维平台、日志审计系统等。涉及的安全控制点包括系统管理、审计管理、安全管理和集中管控等。
（*）安全管理制度测评将通过访谈和检查的方式测评信息系统的安全管理制度建立情况。主要涉及对象为：信息安全管理体系、日常安全管理制度、重要操作规程及相关执行记录等。
（**）安全管理机构测评将通过访谈和检查的方式测评信息系统的安全管理机构建立情况。主要涉及对象为：安全管理机构设立文档、信息安全小组名单、岗位说明书等文档及执行记录。
（**）安全管理人员测评将通过访谈和检查的方式测评信息系统的人员安全管理方面情况。主要涉及对象为：人事管理制度、外部人员访问要求等安全管理制度及执行记录。
（**）系统建设管理测评将通过访谈和检查的方式测评信息系统的系统建设管理方面情况。主要涉及对象为：系统建设过程中涉及的相关文档，如：系统定级报告、安全设计方案、测试验收报告等文档及软件开发、工程实施等方面的安全管理制度及执行记录。
（**）系统运维管理测评将通过访谈和检查的方式测评信息系统的系统运维管理方面情况。主要涉及对象为：系统运维过程中涉及的安全管理制度及执行记录。
（**）投标人需在测评工作结束后，依据《网络安全等级保护测评报告****版》为采购单位出具符合等保*.*测评要求的测评报告。

项

*

*

光纤收发器架

**槽收发器机架（空箱）。

个

*

*

光纤收发器

单模单纤千兆光纤收发器****M光电转换器。

个

**