福建广电网络集团龙岩分公司信息系统等级保护项目（包二）询价通知函

品目号

投标标的

数量

技术参数及要求

*

下*代防火墙

*台

★*、多核多平台架构，网络处理能力**，并发连接≥***万，每秒新建连接**万/秒，**机箱，标准配置*个**/***/*****自适应电口，另有*个扩展板卡插槽,*个*******口，配置病毒防护模块；

*、支持与本方案中配置的终端管理软件联动，增强防火墙对应用特征及木马特征的识别能力。

*、支持***.***协议，并可根据：源目的***组合、***和**组合或***/***端口组合等方式实现负载和备份。

*、支持静态路由、策略路由及动态路由。策略路由支持用户自定义其优先级，动态路由应至少支持*** **/**/**， ******/**，****/*+协议；

*、支持全面的***转换配置，包括包括*对*，*对多，多对*的源、目的地址转换，并至少支持****_****和*********模式；

*、可对源地址为****地址、目的地址为****地址的会话执行源地址转换，将****地址转换为****地址，实现****客户端转换为****地址后访问****资源；

*、支持入站的***代理功能，即从指定的入接口或源***接收到的***解析请求，设备可根据自定义的**、域名对应关系，代理***服务器返回查询结果。

*、支持出站的***代理功能，支持在不更改内网终端设备***服务器地址设置的情况下，将***解析请求发送至指定的***服务器，并代理原***服务器返回解析结果。

*、设备接口支持配置****地址，并可使用****地址管理设备；

**、支持****下静态路由及策略路由、动态路由，动态路由应包括*****、******、****+；

**、支持基于策略的路由负载，支持根据应用和服务进行智能选路，可基于权重做路由负载均衡，支持**种均衡方式：源地址目的地址哈希、源地址哈希、轮询、时延负载、备份、随机、流量均衡、源地址轮询、目的地址哈希、最优链路带宽负载、最优链路带宽备份、跳数负载。

**、支持识别****、***、****、****、****、***等应用协议的文件传输行为，并能够对传输的文件进行双向的文件类型过滤；

**、要求所支持识别的文件类型包含常用的文档格式、压缩文件格式和归档文件格式，总数量不少于**种。文件类型识别基于文件特征而非扩展名，更改文件扩展名后仍可有效识别；

**、支持防御*** *****攻击，并支持警告、阻断、普通防护、增强防护及授权服务器防护等多种防护措施；

**、支持****防护，可进行****服务器检查、****请求检查和****请求限速等功能；

**、可防止对***、****、****、****、*****等服务进行密码暴力破解；

**、支持统计网络中确认失陷的主机及有风险但不能完全确认为失陷的主机数量及风险等级状态，并支持查看失陷时间、威胁类别、情报来源、威胁简介、失陷主机**、用户名、资产等信息，并支持*键跳转处置。

**、支持统计网络内威胁事件的数量及风险等级状态，并支持*键跳转查看威胁详情和处置详情。

**、需提供关联分析面板，可将***应用、***威胁、*** ***分类、***源地址、***目的地址等信息关联，并支持以任意元素为过滤条件进行数据钻取。

**、支持双系统备份，且在系统切换中可实现配置的自动迁移；可记录不同时间点的历史配置文件；

**、管理方式支持*权分立管理 ，支持定义具有全部权限的管理员，仅具有策略变更权限的管理员和仅具有日志审计权限的管理员；

*

下*代防火墙

*台

★*、下*代防火墙，多核多平台架构，网络处理能力***，并发连接≥***万，每秒新建连接**万/秒，**机箱，***** ***固态硬盘存储，标准配置*个**/***/*****自适应电口，*个千兆***插槽，*个千兆多模光口模块，另有*个扩展板卡插槽,支持液晶屏，*个*******口，配置病毒防护模块、入侵防护模块；

*、支持与本方案中配置的终端管理软件联动，增强防火墙对应用特征及木马特征的识别能力。

*、支持***.***协议，并可根据：源目的***组合、***和**组合或***/***端口组合等方式实现负载和备份。

*、支持静态路由、策略路由及动态路由。策略路由支持用户自定义其优先级，动态路由应至少支持*** **/**/**， ******/**，****/*+协议；

*、支持全面的***转换配置，包括包括*对*，*对多，多对*的源、目的地址转换，并至少支持****_****和*********模式；

*、可对源地址为****地址、目的地址为****地址的会话执行源地址转换，将****地址转换为****地址，实现****客户端转换为****地址后访问****资源；

*、支持入站的***代理功能，即从指定的入接口或源***接收到的***解析请求，设备可根据自定义的**、域名对应关系，代理***服务器返回查询结果。

*、支持出站的***代理功能，支持在不更改内网终端设备***服务器地址设置的情况下，将***解析请求发送至指定的***服务器，并代理原***服务器返回解析结果。

*、设备接口支持配置****地址，并可使用****地址管理设备；

**、支持****下静态路由及策略路由、动态路由，动态路由应包括*****、******、****+；

**、支持基于策略的路由负载，支持根据应用和服务进行智能选路，可基于权重做路由负载均衡，支持**种均衡方式：源地址目的地址哈希、源地址哈希、轮询、时延负载、备份、随机、流量均衡、源地址轮询、目的地址哈希、最优链路带宽负载、最优链路带宽备份、跳数负载。

**、支持识别****、***、****、****、****、***等应用协议的文件传输行为，并能够对传输的文件进行双向的文件类型过滤；

**、要求所支持识别的文件类型包含常用的文档格式、压缩文件格式和归档文件格式，总数量不少于**种。文件类型识别基于文件特征而非扩展名，更改文件扩展名后仍可有效识别；

**、支持防御*** *****攻击，并支持警告、阻断、普通防护、增强防护及授权服务器防护等多种防护措施；

**、支持****防护，可进行****服务器检查、****请求检查和****请求限速等功能；

**、可防止对***、****、****、****、*****等服务进行密码暴力破解；

**、支持统计网络中确认失陷的主机及有风险但不能完全确认为失陷的主机数量及风险等级状态，并支持查看失陷时间、威胁类别、情报来源、威胁简介、失陷主机**、用户名、资产等信息，并支持*键跳转处置；

**、支持统计网络内威胁事件的数量及风险等级状态，并支持*键跳转查看威胁详情和处置详情。

**、支持双系统备份，且在系统切换中可实现配置的自动迁移；可记录不同时间点的历史配置文件；

**、管理方式支持*权分立管理 ，支持定义具有全部权限的管理员，仅具有策略变更权限的管理员和仅具有日志审计权限的管理员；

*

下*代防火墙

*台

★*、下*代防火墙，多核多平台架构，网络处理能力**，并发连接≥***万，每秒新建连接*万/秒，**机箱，标准配置*个**/***/*****自适应电口，另有*个扩展板卡插槽,*个*******口；

*、支持与本方案中配置的终端管理软件联动，增强防火墙对应用特征及木马特征的识别能力。

*、支持***.***协议，并可根据：源目的***组合、***和**组合或***/***端口组合等方式实现负载和备份。

*、支持静态路由、策略路由及动态路由。策略路由支持用户自定义其优先级，动态路由应至少支持*** **/**/**， ******/**，****/*+协议；

*、支持全面的***转换配置，包括包括*对*，*对多，多对*的源、目的地址转换；

*、可对源地址为****地址、目的地址为****地址的会话执行源地址转换，将****地址转换为****地址，实现****客户端转换为****地址后访问****资源；

*、支持入站的***代理功能，即从指定的入接口或源***接收到的***解析请求，设备可根据自定义的**、域名对应关系，代理***服务器返回查询结果。

*、支持出站的***代理功能，支持在不更改内网终端设备***服务器地址设置的情况下，将***解析请求发送至指定的***服务器，并代理原***服务器返回解析结果。

*、设备接口支持配置****地址，并可使用****地址管理设备；

**、支持****下静态路由及策略路由、动态路由，动态路由应包括*****、******、****+；

**、支持基于策略的路由负载，支持根据应用和服务进行智能选路，可基于权重做路由负载均衡，支持**种均衡方式：源地址目的地址哈希、源地址哈希、轮询、时延负载、备份、随机、流量均衡、源地址轮询、目的地址哈希、最优链路带宽负载、最优链路带宽备份、跳数负载。

**、支持识别****、***、****、****、****、***等应用协议的文件传输行为，并能够对传输的文件进行双向的文件类型过滤；

**、要求所支持识别的文件类型包含常用的文档格式、压缩文件格式和归档文件格式，总数量不少于**种。文件类型识别基于文件特征而非扩展名，更改文件扩展名后仍可有效识别；

**、支持防御*** *****攻击，并支持警告、阻断、普通防护、增强防护及授权服务器防护等多种防护措施；

**、支持****防护，可进行****服务器检查、****请求检查和****请求限速等功能；

**、可防止对***、****、****、****、*****等服务进行密码暴力破解；

**、支持统计网络中确认失陷的主机及有风险但不能完全确认为失陷的主机数量及风险等级状态，并支持查看失陷时间、威胁类别、情报来源、威胁简介、失陷主机**、用户名、资产等信息，并支持*键跳转处置。；

**、支持统计网络内威胁事件的数量及风险等级状态，并支持*键跳转查看威胁详情和处置详情。

**、需提供关联分析面板，可将***应用、***威胁、*** ***分类、***源地址、***目的地址等信息关联，并支持以任意元素为过滤条件进行数据钻取。

**、支持双系统备份，且在系统切换中可实现配置的自动迁移；可记录不同时间点的历史配置文件；

**、管理方式支持*权分立管理 ，支持定义具有全部权限的管理员，仅具有策略变更权限的管理员和仅具有日志审计权限的管理员；

*

堡垒机

*台

★*、采用专用千兆多核硬件平台和安全操作系统，标准**机架式，*个千兆电口,支持*个接口扩展槽位，内置***硬盘，单电源，支持液晶屏，最大支持***路图形会话或***路字符会话并发，默认资源数为***；

*、支持负载均衡，当多台设备同时工作时，设备可对网络资源进行智能的分配调度；

*、提供系统自身状态的监控功能，包括：***工作情况，内存使用情况，磁盘使用情况，网卡使用情况，系统自身数据库工作情况，系统自身***服务工作情况，系统自身其他关键组件工作情况等；

*、支持双机热备、冷备、主主模式；

*、支持通过外置应用发布进行协议扩展，支持定制开发其他访问协议及第*方客户端工具；(至少支持**/***、****、***       *****、*** ****** ********** ******账号密码代填) ；

*、支持客户端（*********、*****）***** *******功能，能够直接*****到目标服务器的访问会话；

*、支持用户构成（饼图）分析，可按活动用户、**天未登录用户等进行展示，分析是否存在僵尸账号、闲置账号。

*、针对***、******、******、***、***、***、***/****、数据库等操作进行记录及审计；记录发生时间、发生地址、服务端**、客户端**、操作指令、返回信息、运维用户帐号、运维用户姓名、审批用户帐号、审批用户姓名、服务器用户名等信息；

*、支持用户、资源活跃度排行（*****）及用户和资源的授权关系（网状图）分析，分析用户是否存在越权访问。

**、支持多种认证方式：密码、动态口令、******、指纹识别、支持联动短信网关验证；

**、系统支持短信授权申请、审批操作；

**、支持授权的流程管理；支持流程申请人、审批人、执行人的委派；授权需要申请人定义申请单，发起事件申请；事件可以多人审批，审批人收到申请后可以同意或拒绝申请，同意时可以指定执行人进行实际的管理动作的执行；

**、自动学习模式：可自动学习资产；对学习到的资产可以导入到资产列表中，并可根据导入的资产列表进行详情的编辑。

**、支持资源的多级分组管理：分组可以树形方式展现，不限制分组层级数量；

**、*******的改密至少可以通过***、*****、******、**域数字证书这*种方式实现；支持以邮件、***上传的方式通知管理员；

**、具备组态报表功能，支持用户自定义报表模板，可以通过制定动态模板、静态模板，可以对各种数据进行组合查询；查询结果可以导出***、****、***等多种格式报表文件，并且支持以****、*****、***、****、***、***方式输出；

**、**资产合规检测（资产配置合规检测、基线检测）对资源服务器进行符合有关法律法规标准检查；

**、漏洞扫描，可检测漏洞的目标主机系统包括：*** 的***、*****、*******-*******的**-** 、***的*******       、******的*****   ****、****** *****、***** *****、*********、*****、红旗*****、*********、*******、******、*** ****、*****、*******、*****、*****、*******************等。

**、文件上传的病毒检测功能；

**、支持对用户运维会话实时统计功能，可实时监控运维屏幕、手动阻断会话、查看执行的命令及操作日志回放；

**、支持第*方平台***接口设置，可生成*-*****串。；

**、能够提供开发接口，与安全管理系统进行联动；实现在安全管理系统上对该系统的监控与操作；

*

日志审计系统

*套

*、软件产品，系统内嵌数据库，用户无需另外安装数据库管理系统，提供至少***个日志收集节点授权许可；

*、管理客户端基于浏览器，无需安装其他客户端软件；

*、支持单*部署，也支持级联部署；

*、界面***%都是*/*模式，无需安装客户端，使用**浏览器访问管理中心，浏览器端无需安装****运行环境；

*、 支持对企业和组织的**资源中构成业务信息系统的各种网络设备、安全设备、安全系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警等安全信息进行全面的审计；

*、支持对各类网络设备（路由器，交换机）、安全设备（包括防火墙，***，***，***，防病毒网关，网闸，防****攻击，***应用防火墙）、安全系统（********、瑞星、江民、微软***、*******防火墙）、主机操作系统（包括*******,*******, *****, ***, **-**,****,*****）、各种数据库（******、*********、*****、***、******、********）、各种应用系统（邮件，***，***，******），网管系统告警日志、终端管理系统（或是内网管理系统、桌面管理系统）告警日志，网络综合审计系统告警日志，上网行为审计系统日志，以及用户自己的业务系统的日志、事件、告警等安全信息进行全面的审计。

*、对通用的网络设备、安全设备、主机、数据库等等能进行能日志采集，并对日志进行分类，实现审计。

*、支持对*******服务器（系统、应用和安全）日志和文件类型日志，可免日志代理或插件；支持用户环境中***格式的业务系统日志采集；对于保存在日志文件和数据库中的日志使用*****采集方便，无需定制开发采集；

*、日志采集器支持注册为服务；日志采集器的状态支持同步到系统服务器，监控日志采集器的状态并能告警； 采集器支持自保护能力，防止非授权用户强行终止采集器的运行，防止非授权用户强制取消采集器在系统启动时自动加载，防止非授权用户强行卸载、删除或修改采集器；系统能监视采集器的状态，并在审计日志中记录采集器的状态变更，如启动、终止；只有授权管理员能决定数据传输的启动和终止；当采集器与系统服务器连接出现故障时，采集器具有措施防止日志数据丢失，确保在采集器与系统服务器的连接恢复正常后，采集器能将日志续传到系统服务器上；管理中心可查看采集器的启动时间和停止时间；

**、支持按照设备资产重要程度和管理域的方式组织设备资产，提供便捷的添加、修改、删除、查询与统计功能，支持资产信息的批量导入和导出，便于安全管理和系统管理人员能方便地查找所需设备资产的信息，并对资产进行关键度赋值。；

**、支持针对资产可以设置允许接收和拒绝接收日志，在资产日志中显示最近*条日志的接收时间，并可以对资产设置*定时间范围内未收到事件后进行主动告警；可以限定资产的管理员（可以设置为多个），该资产日志只允许所添加管理员查看和审计；

**、支持日志收集后进行字段和安全等级的归*化处理，系统归*化字段至少应有**个,并至少有*个可自定义字段,收集并归*化后的日志需保留原始日志，方便用户对关键日志快速定位；

**、支持针对*******服务器的各类应用、系统、安全事件的查询场景，查询结果与*******事件查看器显示字段*致；支持原始消息中的关键字查询，可进行全文检索，可显示查询记录总数，当前查询耗时，可对查询结果进行分组排序，可对查询结果跳转到指定页数；

**、支持对事件名称、源地址、源端口、目的地址、目的端口相同的进行归并，条件可以多种组合；支持对指定设备发送的日志进行归并，其他设备发送的将不进行归并；支持对事件个数深度和事件时间深度进行归并。

**、支持日志文件导入，支持的日志文件格式为.***；.***，***；

**、支持实时的日志滚动显示和查询，可自定义实时监视的日志内容，可查看实时日志详细信息，可通过雷达图等直观显示目前日志量，可以控制日志对管理员账号的可见性管理；在实时监视日志上可悬浮提示资产和常用端口信息；

**、支持对收集的日志进行分类实时分析和统计，从而快速识别安全事故；

**、分析统计结果支持柱图、饼图、曲线图等形式并自动实时刷新，图表数据支持数据下钻；

**、支持日志实时分析在内存中完成，不需借助数据库和文件系统；

**、支持事件挖掘能力可通过事件调查工具可以对某条感兴趣的日志中的源**地址、目的**地址、或者目的端口进行相关性日志检索；

**、支持用户在实时监视的过程中如果发现某条事件的相关属性需要持续予以关注，可以将该事件分配到黑白名单中；

**、支持关联告警事件，用户可以进行追溯，查看导致该关联事件的所有原始事件。

**、支持动态口令认证。

*

安全管理平台

*套

*、提供系统的基础框架（平台核心服务、告警管理、报表管理、权限管理、系统配置），包括网络管理模块（网络拓扑发现模块、设备面板管理模块、机架物理视图管理模块）、网络设备监控模块、安全设备监控模块、服务器监控模块、统*监控门户、链路性能监控模块、集中认证模块、地址管理模块,平台内置数据库，包括***个监控节点许可。；

*、支持对主机运行的进程信息进行实时监控；通过将进程信息与进程黑名单比对，发现主机上正在运行的违规进程；通过将进程信息与进程白名单比对，进行主机进程防御基线管理；

*、支持网络设备属性，网络设备状态监控，网络性能监控，***利用率监控，内存利用率监控，接口监控，**表、***表和路由表监控，设备面板管理，端口通断控制；可以下发防火墙和***联动策略；

*、支持对重点设备的重点端口进行流量监控，并且可以配置告警阈值；对于端口流量，管理员可以根据自定义的时间段生成流量报表；

*、支持机房和机架物理拓扑显示，用户可以直观地看到每个机架上的每台设备的运行状态，出现问题就会告警。用户点击机架上的每个设备，可以进入这个设备的明细监控界面；支持拓扑图和机架视图中的设备的双向定位。

*、支持设备的真实面板图，并可以针对面板上的接口进行实时监控和设置，进行形象化管理；

*、支持智能监控频道为用户提供*个从总体上把握网络中各种**资源整体运行情况的界面；通过智能监控频道，用户可以快速导航到系统的各个功能界面，可以看到当前企业和组织的整体健康等级；

*、支持自定义频道，每个频道都能够自由组织视图，包括视图的布局和显示的内容；监控频道中的每个窗口都能够移动、放大、缩小，窗口中显示的统计和摘要信息都能够点击、下钻、查看明细；监控频道能够最大化显示，作为运维中心的主控界面，在大屏幕或者投影银幕上呈现出来；

*、支持描述出业务系统组成关系的业务拓扑图，针对图中的每个软硬件资产设定关键监控指标，并实时跟踪，计算出当前业务系统的整体健康状态；能够监控业务系统的整体连续性，可以查看到最近**小时、最近*天，最近**天的业务运行状态、健康状况、实时业务快照和告警信息；用户可以自由定义、编辑、修改业务拓扑图，业务拓扑的元素包括主机、网络设备、安全设备、数据库、中间件、各种类型的服务和应用，业务拓扑可以嵌套，并以树形结构展示；

**、支持数据库运行状态信息：（*）例如命中率状况，数据库等待事件，****和*****争用情况，******       ****的使用情况，排序使用的情况，**** ***使用情况，登录用户情况等；数据库空间使用信息：表空间、*******、表、索引数据库逻辑读和物理读的比例情况，表空间使用情况，表和索引的存储分布情况等；（*）数据库性能信息：数据库使用内存、***情况，监控数据库系统的连接数量，能够提供占用大量系统资源的登*用户和进程，最耗系统资源的***信息等；（*）数据库日志信息：监控数据库的*****日志信息，****的备份信息；

**、支持中间件服务状态和基本性能，***使用情况，***（包括******* ***********, *********** ****等），***（事务处理，包括***** ****** ****, ******* *********, *********** *********,       ******* ****** ****等），执行队列情况（包括****   *******,   *****   ******, ******* *******等），***应用监控，****连接池（包括*******   ***********, ***********     ****, ******* ********, **********   ***** ****, *** ********, *******等），***会话（包括******* ********, ******** ****等）。；

**、支持日志收集后进行字段和安全等级的归*化处理，并保留原始日志，方便用户对关键日志快速定位；在实时监视中，对于关联事件，用户可以进行追溯，查看导致该关联事件的所有原始事件，具备高性能的******日志处理和存储方法。

**、支持在世界地图上实时定位事件源/目的**地址的地理位置（包括*维及*维显示方式）；

**、支持将数千条事件记录及其这些事件之间的关联关系变成*幅事件图，形象地展现出当前网络安全状态，*目了然；

**、支持可视化的规则编辑器，利用编辑器，可灵活方便地生成任意关联分析规则；规则分为系统预定义规则和用户自定义规则两大类；用户在制定规则的时候，既可以设定审计的触发条件，也可以设定触发审计后的自动响应动作；规则编写支持各种运算符，还支持引用外部资源，包括过滤器、资产属性、自定义资源、递归规则、过滤器插件、黑白名单，等等；用户可以对规则触发条件设置计数；

*

终端安全管理系统

*套

*、控制中心：采用*/*架构管理端，提供***个客户端使用授权；

*、客户端与安全控制中心通信，提供控制中心管理所需的相关数据信息；执行最终的木马病毒查杀、漏洞修复等安全操作；

*、产品支持终端保护密码，设置密码后，终端退出或卸载客户端，都需要输入正确的密码方可执行；

*、支持网页访问部署、离线安装包部署、域推送等部署方式，可自定义部署通知邮件及部署通知公告；

*、支持自动发现设备的**-***地址的绑定。

*、支持自定义统计终端安装的软件，并可导出报表；

*、支持展示全网终端健康状态、报警信息；可方便的查看不健康、亚健康终端列表；

*、支持与本项目配置的下*代防火墙、上网行为管理产品联动，达到网关边界联动防御效果。

*、支持统计全网终端或终端应用程序的上传，下载速度与流量；可限制指定或全网终端的上传及下载速度；

**、支持冗余有线网卡、无线网卡、**网卡、*****、****、****等设备的外联控制；违规外联发生时可针对内外网连接状态分别设置违规处理措施；

**、支持设定服务器端最大升级带宽，实现客户端升级时对网络带宽的保护；

**、支持网址白名单，通过信任网址白名单可以管理企业网络内信任的网址，加入信任后终端不再将此网址视为威胁；

**、支持网址黑名单，可设置终端不能访问的网址***，终端访问这些***时会被拦截，并展示拦截记录；

**、支持对终端各种外设（***存储、硬盘、存储卡、光驱、打印机、扫描仪、摄像头、手机、平板等）、接口（***口、串口、并口、****、*****）设置使用权限；

**、支持旁路终端准入部署方式，避免串行设备部署单点故障；

**、支持终端安全检查失败本地***隔离机制，可基于协议、特定端口、端口范围、特定地址、**范围、***来控制终端访问权限，从而无需操作交换机达到终端网络控制目的，实现细粒度的访问控制管理，支持不同终端修复区域定义；

**、支持指定扩展名的文件访问、修改、删除、移动等行为的审计；

**、支持特定路径或扩展名的文件访问、修改、删除、移动等行为的限制并审计；

*

准入控制系统

*套

*、**机箱，*******吞吐量，支持****终端环境，*个串口，*个千兆以太网电口，***   ****硬盘，单电源；

*、支持有线、无线基于应用协议准入方式，准入配置支持保护服务器区域、例外终端等灵活的配置方式。

*、支持基于应用协议的访问控制，并提供灵活的访客控制列表；

*、支持基于受控域的入网流程配置，区分有线和无线网络，能够针对有线和无线网络分别采用有客户端和无客户端方式准入；

*、支持临时用户的接入请求，并且可以限制临时用户入网时间长和强制临时用户下线。

*、支持***准入方式，提供简单隔离域的解决方案；

*、入网条件支持健康检查策略，策略检查项至少包括：远程桌面、*盘自动运行、防火墙、**获取方式、文件共享、屏幕保护、空密码、**代理。

*、支持对入网终端所安装的软件、服务、进程设置黑白名单，管理员可以自己编辑黑白名单。

*、支持基于终端的***，可以基于协议、端口来控制终端流量，从而无需操作交换机达到终端网络控制目的；

**、支持终端入网分数配置，检查项分值配置，并提供友好的操作界面；

**、支持终端修复向导，对不合规的终端提供软隔离，并进行修复向导和*键修复功能。

**、支持用户和****绑定、用户和***绑定、用户和健康检查策略绑定等灵活配置；

**、支持与本地****连接、第*方****连接、 **域等联动，来完成用户鉴别功能，以达到终端用户实名制入网；

**、支持系统自身运行***、内存等信息展示功能；

**、支持系统用户添加、修改密码、修改系统时间、配置系统网卡**、配置系统默认网关等管理功能；

**、支持系统中重点服务的展示、启用、停止等功能；

**、支持系统双机热备、数据同步等功能；

**、支持逃生机制；

**、支持界面升级、部署方式方便简洁，不影响用户网络；

*

***智能安全监控系统

*套

*、**设备，单电源；**** ***/****/*****电口，******串口，*****接口；默认支持*个镜像端口授权；

*、使用专门的硬件，基于嵌入式安全操作系统，保证系统的工作效率和自身安全性；

*、支持分布式部署，统*管理；

*、支持多路扫描，满足在复杂环境中部署的要求，支持不同网段网站同时检测的需求；

*、系统应稳定可靠，无需额外存储设备即可运行，系统采用*/*设计架构，用户可以通过浏览器远程方便的对产品进行管理；

*、任何可访问目标网站的网络均可部署；

*、只需要配置**和***之后即可使用，无需按照另外的软件；

*、不使用主动爬虫技术获取***；

*、支持对未知网站的发现。

**、不需要手工录入域名。

**、支持多种扫描技术确保检出率；支持不同端口扫描；

**、支持绑定**地址扫描；支持自定义****-*****扫描；支持自定义扫描速度；

**、支持添加******扫描；支持配置禁扫网站；支持配置禁扫端口；

**、产品的漏洞库中应包含大量的通用漏洞；

**、支持漏洞库至少两周*次升级；

**、支持漏洞**%以上的准确性；

**、能够**分钟左右扫描完*个网站；

**、支持每天扫描网站数≥****；

**、支持对孤岛页面的扫描，产品应能够实时扫描，产品应支持对移动***后台服务器进行扫描；

**、对扫描每秒请求数做限制；

**、支持扫描服务在异常情况下的重新加载；

**、支持监控所有扫描服务及错误提醒；

**、支持***端配置**、***；应支持手动添加扫描任务；支持自动添加扫描任务；支持***端修改密码；

**、支持查看某域名扫描状况；

**、支持标记漏洞状态；支持根据漏洞等级过滤漏洞结果；支持根据漏洞状态过滤漏洞结果；

**、支持根据日期过滤漏洞结果；支持按内、外网**过滤结果；支持按业务分组过滤结果；支持按关键字搜索漏洞结果；

**、支持扫描结果漏洞可验证性。

**

虚拟化安全管理系统

*套

*、配置≥**个***授权，≥*个管理平台授权；

*、虚拟化防护软件至少支持***** ***、******、*****-*、***、华为等多种虚拟化平台并可在同*管理平台进行统*管理；

*、虚拟化防护软件至少支持******* ****** ****、******* ****** ****、******* ****** ****       ******* ****** ****版本操作系统平台的虚拟化环境；

*、虚拟化防护软件至少支持**** ***** ********** ******、*** *** ********** ***** ******、******       *****、******、******   等*个*****服务器版本并且可以和*******统*管理；

*、支持虚拟机根据实际部署需要从*台宿主机飘移到另外*台宿主机后虚拟机的安全策略不发生变化；

*、支持通过管控中心设置同时扫描最大虚拟机数量，错峰扫描，降低扫描资源占用率。并可以设置同*物理机上最大运行的查杀任务数量；

*、支持以*/*架构进行虚拟机的管理，管理员只需通过浏览器登*控制中心，即可对虚拟机进行管理。

*、支持配置病毒扫描时，扫描行为的资源占用率；

*、支持本地查杀缓存，优化本地虚拟化环境支持；

**、支持本地代理与服务器端的通讯协议加密；

**、对*******和*****具备相同的代理部署形式，并且具备统*管理的功能。

**、支持显示当期主程序、病毒库和********引擎各自版本，并可以通过导入升级包完成主机管理功能模块升级。

**、支持通过管控中心设置同时扫描最大虚拟机数量，仅错峰扫描，降低扫描资源占用率。

**、支持对虚拟机内部全部文件进行病毒的扫描；

**、支持对虚拟机内部系统目录进行病毒的快速扫描；

**、支持对虚拟机内的文件进行监控，防止病毒运行；

**、支持除文件类病毒外还需支持对宏病毒、注册表病毒、内存或服务类病毒的查杀，提高虚拟化安全防护等级，对已经运行的病毒进程可以执行关闭；

**、支持和虚拟化平台管理中心定期感知同步，能够自动感知和保护虚拟环境的变更和迁移维护安全统*性。

**、支持***、*****、****、******、***、***、****、***、**** 、******、****等压缩文件格式的病毒查杀，并可以自定义添加压缩文件格式与类型；

**、支持对未知文件进行单独处理配置忽略策略；

**、支持对压缩文件查杀层级进行策略配置，最大可配置检查**级压缩文件，并可配置跳过*定大小的压缩文件；

**

下*代防火墙

*台

*、下*代防火墙，多核多平台架构，网络处理能力**，并发连接≥***万，每秒新建连接*万/秒，**机箱，标准配置*个**/***/*****自适应电口，另有*个扩展板卡插槽,*个*******口，配置病毒防护模块；

*、支持与本方案中配置的终端管理软件联动，增强防火墙对应用特征及木马特征的识别能力。

*、支持***.***协议，并可根据：源目的***组合、***和**组合或***/***端口组合等方式实现负载和备份。

*、支持静态路由、策略路由及动态路由。策略路由支持用户自定义其优先级，动态路由应至少支持*** **/**/**， ******/**，****/*+协议；

*、支持全面的***转换配置，包括包括*对*，*对多，多对*的源、目的地址转换，并至少支持****_****和*********模式；

*、可对源地址为****地址、目的地址为****地址的会话执行源地址转换，将****地址转换为****地址，实现****客户端转换为****地址后访问****资源；

*、支持入站的***代理功能，即从指定的入接口或源***接收到的***解析请求，设备可根据自定义的**、域名对应关系，代理***服务器返回查询结果。

*、支持出站的***代理功能，支持在不更改内网终端设备***服务器地址设置的情况下，将***解析请求发送至指定的***服务器，并代理原***服务器返回解析结果。

*、设备接口支持配置****地址，并可使用****地址管理设备；

**、支持****下静态路由及策略路由、动态路由，动态路由应包括*****、******、****+；

**、支持基于策略的路由负载，支持根据应用和服务进行智能选路，可基于权重做路由负载均衡，支持**种均衡方式：源地址目的地址哈希、源地址哈希、轮询、时延负载、备份、随机、流量均衡、源地址轮询、目的地址哈希、最优链路带宽负载、最优链路带宽备份、跳数负载。

**、支持识别****、***、****、****、****、***等应用协议的文件传输行为，并能够对传输的文件进行双向的文件类型过滤；

**、要求所支持识别的文件类型包含常用的文档格式、压缩文件格式和归档文件格式，总数量不少于**种。文件类型识别基于文件特征而非扩展名，更改文件扩展名后仍可有效识别；

**、支持防御*** *****攻击，并支持警告、阻断、普通防护、增强防护及授权服务器防护等多种防护措施；

**、支持****防护，可进行****服务器检查、****请求检查和****请求限速等功能；

**、可防止对***、****、****、****、*****等服务进行密码暴力破解；

**、支持统计网络中确认失陷的主机及有风险但不能完全确认为失陷的主机数量及风险等级状态，并支持查看失陷时间、威胁类别、情报来源、威胁简介、失陷主机**、用户名、资产等信息，并支持*键跳转处置。；

**、支持统计网络内威胁事件的数量及风险等级状态，并支持*键跳转查看威胁详情和处置详情。

**、需提供关联分析面板，可将***应用、***威胁、*** ***分类、***源地址、***目的地址等信息关联，并支持以任意元素为过滤条件进行数据钻取。

**、支持双系统备份，且在系统切换中可实现配置的自动迁移；可记录不同时间点的历史配置文件；

**、管理方式支持*权分立管理 ，支持定义具有全部权限的管理员，仅具有策略变更权限的管理员和仅具有日志审计权限的管理员；

**

下*代防火墙

*套

*、下*代防火墙，多核多平台架构，网络处理能力**，并发连接≥***万，每秒新建连接*万/秒，**机箱，标准配置*个**/***/*****自适应电口，另有*个扩展板卡插槽,*个*******口；

*、支持与本方案中配置的终端管理软件联动，增强防火墙对应用特征及木马特征的识别能力。

*、支持***.***协议，并可根据：源目的***组合、***和**组合或***/***端口组合等方式实现负载和备份。

*、支持静态路由、策略路由及动态路由。策略路由支持用户自定义其优先级，动态路由应至少支持*** **/**/**， ******/**，****/*+协议；

*、支持全面的***转换配置，包括包括*对*，*对多，多对*的源、目的地址转换，并至少支持****_****和*********模式；

*、可对源地址为****地址、目的地址为****地址的会话执行源地址转换，将****地址转换为****地址，实现****客户端转换为****地址后访问****资源；

*、支持入站的***代理功能，即从指定的入接口或源***接收到的***解析请求，设备可根据自定义的**、域名对应关系，代理***服务器返回查询结果。

*、支持出站的***代理功能，支持在不更改内网终端设备***服务器地址设置的情况下，将***解析请求发送至指定的***服务器，并代理原***服务器返回解析结果。

*、设备接口支持配置****地址，并可使用****地址管理设备；

**、支持****下静态路由及策略路由、动态路由，动态路由应包括*****、******、****+；

**、支持基于策略的路由负载，支持根据应用和服务进行智能选路，可基于权重做路由负载均衡，支持**种均衡方式：源地址目的地址哈希、源地址哈希、轮询、时延负载、备份、随机、流量均衡、源地址轮询、目的地址哈希、最优链路带宽负载、最优链路带宽备份、跳数负载。

**、支持识别****、***、****、****、****、***等应用协议的文件传输行为，并能够对传输的文件进行双向的文件类型过滤；

**、要求所支持识别的文件类型包含常用的文档格式、压缩文件格式和归档文件格式，总数量不少于**种。文件类型识别基于文件特征而非扩展名，更改文件扩展名后仍可有效识别；

**、支持防御*** *****攻击，并支持警告、阻断、普通防护、增强防护及授权服务器防护等多种防护措施；

**、支持****防护，可进行****服务器检查、****请求检查和****请求限速等功能；

**、可防止对***、****、****、****、*****等服务进行密码暴力破解；

**、支持统计网络中确认失陷的主机及有风险但不能完全确认为失陷的主机数量及风险等级状态，并支持查看失陷时间、威胁类别、情报来源、威胁简介、失陷主机**、用户名、资产等信息，并支持*键跳转处置。

**、支持统计网络内威胁事件的数量及风险等级状态，并支持*键跳转查看威胁详情和处置详情。

**、需提供关联分析面板，可将***应用、***威胁、*** ***分类、***源地址、***目的地址等信息关联，并支持以任意元素为过滤条件进行数据钻取。

**、支持双系统备份，且在系统切换中可实现配置的自动迁移；可记录不同时间点的历史配置文件；

**、管理方式支持*权分立管理 ，支持定义具有全部权限的管理员，仅具有策略变更权限的管理员和仅具有日志审计权限的管理员；

**

终端准入与安全管理系统

*套

*、**机箱，*******吞吐量，支持****终端环境，*个串口，*个千兆以太网电口，*** ****硬盘，单电源；

*、支持有线、无线基于应用协议准入方式，准入配置支持保护服务器区域、例外终端等灵活的配置方式。

*、支持基于应用协议的访问控制，并提供灵活的访客控制列表；

*、支持基于受控域的入网流程配置，区分有线和无线网络，能够针对有线和无线网络分别采用有客户端和无客户端方式准入；

*、支持临时用户的接入请求，并且可以限制临时用户入网时间长和强制临时用户下线。

*、支持***准入方式，提供简单隔离域的解决方案；

*、入网条件支持健康检查策略，策略检查项至少包括：远程桌面、*盘自动运行、防火墙、**获取方式、文件共享、屏幕保护、空密码、**代理。

*、支持对入网终端所安装的软件、服务、进程设置黑白名单，管理员可以自己编辑黑白名单。

*、支持基于终端的***，可以基于协议、端口来控制终端流量，从而无需操作交换机达到终端网络控制目的；

**、支持终端入网分数配置，检查项分值配置，并提供友好的操作界面；

**、支持终端修复向导，对不合规的终端提供软隔离，并进行修复向导和*键修复功能。

**、支持用户和****绑定、用户和***绑定、用户和健康检查策略绑定等灵活配置；

**、支持与本地****连接、第*方****连接、 **域等联动，来完成用户鉴别功能，以达到终端用户实名制入网；

**、支持系统自身运行***、内存等信息展示功能；

**、支持系统用户添加、修改密码、修改系统时间、配置系统网卡**、配置系统默认网关等管理功能；

**、支持系统中重点服务的展示、启用、停止等功能；

**、支持系统双机热备、数据同步等功能；

**、支持逃生机制；

**、支持界面升级、部署方式方便简洁，不影响用户网络；

**

下*代防火墙

*套

*、下*代防火墙，多核多平台架构，网络处理能力**，并发连接≥***万，每秒新建连接*万/秒，**机箱，标准配置*个**/***/*****自适应电口，另有*个扩展板卡插槽,*个*******口；

*、支持与本方案中配置的终端管理软件联动，增强防火墙对应用特征及木马特征的识别能力。

*、支持***.***协议，并可根据：源目的***组合、***和**组合或***/***端口组合等方式实现负载和备份。

*、支持静态路由、策略路由及动态路由。策略路由支持用户自定义其优先级，动态路由应至少支持*** **/**/**， ******/**，****/*+协议；

*、支持全面的***转换配置，包括包括*对*，*对多，多对*的源、目的地址转换，并至少支持****_****和*********模式；

*、可对源地址为****地址、目的地址为****地址的会话执行源地址转换，将****地址转换为****地址，实现****客户端转换为****地址后访问****资源；

*、支持入站的***代理功能，即从指定的入接口或源***接收到的***解析请求，设备可根据自定义的**、域名对应关系，代理***服务器返回查询结果。

*、支持出站的***代理功能，支持在不更改内网终端设备***服务器地址设置的情况下，将***解析请求发送至指定的***服务器，并代理原***服务器返回解析结果。

*、设备接口支持配置****地址，并可使用****地址管理设备；

**、支持****下静态路由及策略路由、动态路由，动态路由应包括*****、******、****+；

**、支持基于策略的路由负载，支持根据应用和服务进行智能选路，可基于权重做路由负载均衡，支持**种均衡方式：源地址目的地址哈希、源地址哈希、轮询、时延负载、备份、随机、流量均衡、源地址轮询、目的地址哈希、最优链路带宽负载、最优链路带宽备份、跳数负载。

**、支持识别****、***、****、****、****、***等应用协议的文件传输行为，并能够对传输的文件进行双向的文件类型过滤；

**、要求所支持识别的文件类型包含常用的文档格式、压缩文件格式和归档文件格式，总数量不少于**种。文件类型识别基于文件特征而非扩展名，更改文件扩展名后仍可有效识别；

**、支持防御*** *****攻击，并支持警告、阻断、普通防护、增强防护及授权服务器防护等多种防护措施；

**、支持****防护，可进行****服务器检查、****请求检查和****请求限速等功能；

**、可防止对***、****、****、****、*****等服务进行密码暴力破解；

**、支持统计网络中确认失陷的主机及有风险但不能完全确认为失陷的主机数量及风险等级状态，并支持查看失陷时间、威胁类别、情报来源、威胁简介、失陷主机**、用户名、资产等信息，并支持*键跳转处置；

**、支持统计网络内威胁事件的数量及风险等级状态，并支持*键跳转查看威胁详情和处置详情。

**、需提供关联分析面板，可将***应用、***威胁、*** ***分类、***源地址、***目的地址等信息关联，并支持以任意元素为过滤条件进行数据钻取。

**、支持双系统备份，且在系统切换中可实现配置的自动迁移；可记录不同时间点的历史配置文件；

**、管理方式支持*权分立管理 ，支持定义具有全部权限的管理员，仅具有策略变更权限的管理员和仅具有日志审计权限的管理员；

**

上网行为管理系统

*套

*、**硬件，标配*个千兆电接口（其中含*个管理接口和*个**接口），提供*个扩展插槽（仅支持出厂时选配扩展网卡，**硬盘，最大并发连接数为***万，最大新建连接数为*****个/秒，含专用操作系统与上网行为管理标准软件；

*、设备可部署在网络中提供路由转发和***功能，可连接****线路和专线；并可对外发流量进行制定比例的流量负载均衡；

*、设备可连接*条或多条镜像线路，获取网络信息，进行行为分析和审计；

*、设备可直路串联在*条或多条原有网络线路上，进行行为分析、审计和控制；不改变网络拓扑，路由表项；

*、能够支持****环境下的应用识别管控、带宽管理、网址访问审计与管控、生成分析报表等功能；能够在****环境下，正确审计显示用户的****地址；能够正确配置免监控等功能的****地址。；

*、可通过**、谷歌、火狐浏览器访问设备管理界面；

*、支持对***.**、********、**、****、机器名、******、数据库、深澜计费、移动****帐号、*****、城市热点等系统的单点登录；

*、支持与本项目终端管理软件联动，对终端进行安全检查，对于不符合上网条件的终端进行阻断，同时支持第*方准入系统的策略配置。

*、可设置多名管理员、审计员角色，根据授权配置局部策略，查看局部日志；

**、支持将设备管理权限分割为管理员、审计员与审核员共同管理设备：管理员能够设置策略，无法查看审计日志；审核员能够审核管理员配置的策略是否合法；审计员能够查看策略，无法设置策略。

**、支持多台设备可以被集中管理平台统*下发、回收策略；

**、集中管理平台能够同时管理同*品牌的不同安全产品，如防火墙、上网行为管理等；

**、支持将多台设备日志集中存储于*台日志中心服务器，便于数据的集中查询与统计；

**、日志中心采用企业级******数据库，访问、日志中心数据必须采用*****加密方式访问，避免传输过程被窃取；

**、日志中心能够对多台设备的日志进行聚合式搜索，用户执行*次关键字搜索即可在多台设备中搜索出所有具有此关键字的审计日志；

**、支持内置的常用模板策略，方便管理员快速生成策略；支持策略的复制；

**、当用户的网页访问被网页浏览策略封堵时，用户如果发现分类错误能够在页面中向管理员进行反馈；管理员可查看用户反馈的分类错误，并可以选择向服务器反馈。

**、根据关键字管理搜索引擎访问；*条策略实现搜索关键字的阻断、记录、告警，方便维护；

**、支持百度云、***、华为网盘（*****）、***云盘等网盘的文件外发审计与过滤，可根据文件大小、文件名、扩展名、传输方向、内容关键字进行审计过滤。

**、可以对网页的文件，根据传输方向、文件名、扩展名、文件大小、网站域名进行控制管理，违规文件下载阻塞同时可以告警；

**、可针对**账号制定策略，对聊天、登录及登出的行为进行记录与控制；能够对**文件传输行为进行审计，并且能够对传输的文件进行备份留存；支持对**聊天内容进行审计；可制定多条**审计控制策略，实现针对不同的用户匹配不同审计策略；

**、支持飞信账号、内容进行审计控制，对登录、注销行为记录；支持飞信文件名、文件类型、文件大小的审计；

**、支持*****账号、聊天内容、行为审计与控制；

**、支持*****外发文件内容的审计；

**、支持百度**账号、内容、行为审计与控制；

**、可以对***，网络视频，游戏，炒股，期货，即时通讯，移动应用有独立的分类进行识别控制，协议库数量不低于****，移动协议库数量不低于***；

**、在官网上有公开的***库更新情况详细说明；

**

*** ***

*台

*、** 机箱，单电源，*个**/***/*****自适应电口，单台支持最大并发用户数**；

*、支持***** ***和******两种***协议，是*** ***和*****       ****合*产品；

*、支持终端使用****、**** **位、***、*****等操作系统登录，保证登录后能够正常访问*** ***发布的服务；

*、支持***/*/*/*、火狐浏览器、***浏览器、谷歌******等浏览器登录，登录后能够正常访问******发布的服务；

*、支持自定义用户登录界面、登录后的页面以及管理页面，能够上传自定****、应用图标，服务资源列表能够不同的显示方式；

*、网络接口地址、路由地址配置支持****地址，双机能够在****环境下进行**组网工作，网关能够同时支持对****以及****应用服务器的访问。

*、支持虚拟安全桌面功能，能够帮助用户在虚拟安全桌面状态下访问涉密业务，并且同时控制终端串口、并口、光驱、*盘，能够在虚拟安全桌面下面实现控制某个程序的允许或者禁用，能够在虚拟安全桌面内控制访问互联网和局域网，并且支持文件保险柜功能，可以将用户在虚拟安全桌面内操作的文件保存在加密空间内，方便下次用户继续使用；

*、支持国产化中标麒麟操作系统客户端***，在*****系统平台下不依赖火狐浏览器，具备独立的******客户端；

*、支持网络连接虚拟技术，可以将内部网络的**段分配到******虚拟地址池中，每位接入人员都可以通过分配虚拟**进行访问；

**、支持动态域名解析，支持希网、花生壳动态域名设置。

**、支持预防'*** *****'攻击，忽略****回显请求（不能被****）；

**、管理员可以在用户界面配置办公室电脑***地址，用户登*后，点击唤醒电脑列表中对应的按钮可以远程唤醒电脑, 每个用户帐号可以有多个远程唤醒电脑；

**、认证方式支持本地认证、******、短信认证、指纹认证、证书认证、动态口令认证、****认证、******* **认证。

**、支持******双机认证，管理员可定义的****** 属性组与系统中其他组*样作为授权对象，可实时与******建立联系，保证用户数据更新，保证认证的高可用性；

**、管理员只支持本地和证书两种， **/****/******以及短信认证。

**、可单独对每个应用进行负载均衡，应用服务后端由多个服务器提供，多个服务为功能对等的业务服务器，可以实现对此应用负载均衡。

**、支持应用过滤，禁止某些应用程序使用，如**、***、******等；

**、支持应用防火墙功能，包括能够设置***、应用的黑白名单；能记录用户访问****、邮件、**等信息；

品目号

投标标的

数量

品牌规格

单价

总价

备注

*

下*代防火墙

*台

*

下*代防火墙

*台

*

下*代防火墙

*台

*

堡垒机

*台

*

日志审计系统

*套

*

安全管理平台

*套

*

终端安全管理系统

*套

*

准入控制系统

*套

*

***智能安全监控系统

*套

**

虚拟化安全管理系统

*套

**

下*代防火墙

*台

**

下*代防火墙

*套

**

终端准入与安全管理系统

*套

**

下*代防火墙

*套

**

上网行为管理系统

*套

**

*** ***

*台

合计

大写金额：