项目需求

序号

项目名称

计量
单位

数量

1

互联网防火墙（含病毒模块）

台

1

2

入侵防御

台

2

3

内网防火墙（含病毒模块）

台

1

4

VPN

台

1

5

密码机

台

1

6

防毒功能拓展模块

套

1

7

虚拟化防火墙

套

1

8

安全审计系统

台

1

9

堡垒机

台

1

10

漏洞扫描系统

台

1

11

日志审计系统

台

1

12

终端威胁防御系统

套

1

13

安全策略管理

台

1

14

负载均衡

台

1

15

安全服务

年

1

16

1G宽带备用专线

年

3

17

等保测评

套

3

指标

指标项

招标要求

基本要求

基本要求

★标准机架式机箱，本次配置为10个10/100/1000BASE-T接口和6个SFP插槽，带2个可插拨的扩展槽，防火墙吞吐率：8Gbps，应用层吞吐率（FW+APP）：4Gbps，并发连接数：300万。3年质保和原厂服务。要求产品应入选《江苏省符合网络安全等级保护二级以上标准（非涉密信息系统）网络安全产品与服务推荐目录（2017版）》的推荐名单（要求江苏省公安厅官网文件可查，需提供截图或证明并加盖厂商公章）；

★系统结构

产品由专用的硬件平台、安全操作系统及功能软件构成。设备采用自主知识产权的专用安全操作系统，采用多核多平台并行处理特性；

★操作系统

安全操作系统采用冗余设计出于安全性考虑，多系统需在设备启动过程中进行选择不得在WEB维护界面中设置系统切换选项。（提供截图，并加盖厂商公章）

网络

接入

工作模式

支持路由、交换、混合、虚拟线工作模式；

智能DNS

支持智能DNS功能，有效提高用户跨网访问效率；

支持DNS Docting，能够将来自内部网络的域名解析请求定向到真实内网资源，降低路径开销，提高访问效率；

链路质量探测

支持ICMP、Traceroute、TCP、HTTP、DNS等多种链路质量探测方式，用户可以根据探测结果有效判断链路质量；通过HTTP链路质量探测方式，探测结果可以提供DNS解析响应时间、TCP建立连接时间、HTTP交易时间等；通过TCP链路质量探测方式，探测结果可以提供TCP建立连接时间等（提供截图，加盖厂商公章）；通过DNS链路质量探测方式，探测结果可以提供DNS解析响应时间等；

访问控制

★一体化访问控制

内置高度集成的一体化智能过滤引擎技术，实现在同一条访问控制策略中配置传统的五元组信息、应用、服务、时间、安全引擎（入侵、URL过滤、病毒过滤、DLP、内容过滤）的识别与控制，（需要提供证书复印件，并加盖厂商公章）；

安全防护

★应用层攻击防护

支持自定义特征库,且厂商具备强大的漏洞和功放研究能力，为CNNVD一级支撑单位（提供官网链接）。

DDOS防御

内置攻击检测引擎，支持独立的DDOS检测、阻断能力，支持检测包括land、Smurf、winnuke、tcp_sscan、ip_option、targa3、Synflood、Icmpflood、Udpflood、Portscan、ipsweep等攻击；

支持DNS异常包检测，支持DNS，Query，flood、DNS，Reply，Flood攻击

支持DHCP异常包检测，支持DHCP Flood攻击检测；

DLP

内置文件过滤引擎，支持对HTTP/FTP/SMTP/POP3等应用协议传送PDF、Office、java-class、jpg等超过20种文档类型的文件过滤（提供截图，并加盖厂商公章）；

系统维护

★双系统

支持双操作系统并存，且备份系统为全功能系统；（提供截图，并加盖厂商公章）

升级维护

支持多个系统升级包并存，同时支持系统升级包的删除；

产品资质

★制造商具备TL9000证书（需要提供证书复印件，并加盖厂商公章）；

★防火墙产品具备国家密码管理局商用密码检测中心颁发的“密码检测证书”（需要提供证书复印件，并加盖厂商公章），且需支持KMIP(密钥管理互通)协议，以确保可以与本次招标的密码机联动，支持将密钥存放在密钥管理系统中（提供防火墙厂商和密码机厂商的对接确认函，各自加盖公章）；

指标项

详细要求

设备基本要求

★要求和内网防火墙同品牌，便于威胁联动和统一管理；

★标准机架式机箱，配置为6个10/100/1000BASE-T接口(其中ETH2和ETH3带一组bypass)，1个可插拨的扩展槽，1个CONSOLE;2个USB，双电源；含3年IPS规则特征库升级许可，含WebFilter功能。

内置SSD固态硬盘存储日志；（提供截图，加盖厂商公章）

★具备硬件温度监控能力；（提供截图，加盖厂商公章）

软件

★设备采用自主知识产权的专用安全操作系统（需要提供相关证明或截图，并加盖原厂商公章）；

★采用多核平台并行处理特性；支持多操作系统引导，出于安全性考虑，多系统需在设备启动过程中进行选择（提供截图，加盖厂商公章），不得在WEB维护界面中设置系统切换选项；系统具有良好的可扩展性，能够扩展支持病毒防御、网站防护（WEB漏洞扫描及网页防篡改）、无线入侵防御功能；

设备部署

要求支持直连、路由、VLAN、旁路监听、混合部署等多种接入模式。

★要求支持多端口链路聚合，支持不少于11种链路负载均衡算法。（提供截图，加盖厂商公章）

要求支持基于源/目的地址、接口的策略路由。

要求支持VLAN、MPLS、PPPoE网络，能够在该网络环境中检测出攻击事件。

要求支持IPv6、IPv6 over IPv4、IPv6和IPv4混合网络，能够在该网络环境中检测出攻击事件。

规则库

要求攻击规则库单独分开，可支持手动、自动、以及离线升级。

要求应用识别规则库单独分开，可支持手动、自动、以及离线升级。

★要求URL过滤库单独分开，可支持手动、自动、以及离线升级。（提供截图，加盖厂商公章）

支持病毒库，单独分开，可支持手动、自动、以及离线升级。

入侵防御能力

系统应具备：融合模式匹配、协议分析、异常检测、会话关联分析，逃逸等多种技术，准确识别入侵攻击行为，为用户提供2~7层深度入侵防御。

要求支持丢弃报文、记录日志、禁止连接、TCP reset结束TCP会话等多种响应动作

要求支持自定义攻击检测规则。

要求支持黑名单，将攻击源加入黑名单，一段时间内禁止访问

要求支持攻击报文取证功能，检测到攻击事件后将原始报文完整记录下来，作为电子证据。

★应涵盖广泛的攻击特征库、能够针对4000种以上攻击的攻击行为、异常事件，以及网络资源滥用流量，进行检测和防御。（提供截图，加盖厂商公章）

★要求能够检测包括溢出攻击类、RPC攻击类、WEBCGI攻击类、拒绝服务类、木马类、蠕虫类、扫描类、网络访问类、HTTP攻击类、系统漏洞类等在内的超过4000种攻击事件

病毒防御能力

系统应具备独立的病毒检测引擎。

同时支持文件型和网络型病毒查杀。

★支持400万以上病毒检测规则。（提供截图，加盖厂商公章）

要求能够检测主流FTP、HTTP、SMTP、POP3协议的病毒。

URL过滤

系统应具备独立的URL检测过滤引擎。

支持黑白名单，精确匹配和模糊匹配

支持阻断、URL重定向、返回默认页面、返回自定义页面等多种动作。

支持恶意网站、违反国家政策法规、潜在不安全、浪费带宽、大众兴趣、多种论坛、行业、计算机技术、等多种分类的URL过滤。

★支持URL地址分类库，超过1000万种。（提供截图，加盖厂商公章）

DDOS防御

★系统应支持独立的DDOS检测、阻断及防御基线自学习的能力。

系统支持防御包括land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof、Synflood、Icmpflood、Udpflood、Portscan、ipsweep等在内的DOS/DDOS攻击。

★系统支持DNS异常包及DNS Flood攻击防御。（提供截图，加盖厂商公章）

★系统支持DHCP异常包及DHCP Flood攻击防御。（提供截图，加盖厂商公章）

★系统支持ARP异常包及ARP Flood攻击防御。（提供截图，加盖厂商公章）

系统支持CC攻击防御，且能够对Web服务器上的指定URI页面进行防护设置。（提供截图，加盖厂商公章）

系统支持主机并发连接数和半连接数的限制。（提供截图，加盖厂商公章）

系统支持DDOS 机器人自学习功能，学习时间可设置。（提供截图，加盖厂商公章）

应用管控功能

系统能够根据数据内容而非端口智能识别包括P2P、即时通讯、电子商务、股票交易、网络游戏、网络电视、移动应用等在内的23大类超过1200种应用。（提供截图，加盖厂商公章）

系统应支持灵活的应用管理策略配置功能，实现基于主机地址、区域、时间、应用等多维度的全面、细致监控。

支持对应用协议的阻断和流量管控以及记录应用日志。

支持协议自定义功能。

无线攻击防御功能

★要求支持无线自动扫描分组

★要求支持检测并阻断Ad-hoc（简单互联）、非法外连、非法内联

要求支持能检测并阻断钓鱼攻击、无线代理攻击。

要求支持无线安全区，对区域内的WIFI接入进行屏蔽、检测无线AP风险配置

要求支持无线定位功能，定位非法、攻击AP。

增值功能

★支持WEB站点漏洞扫描功能，内置爬虫、支持关键字自学习和HTML分析。（提供截图，加盖厂商公章）

★支持网页防篡改功能（不需要在WEB服务器上装载任何软件）。（提供截图，加盖厂商公章）

系统应支持设置访问控制规则，实现对三到七层的访问控制。（提供截图，加盖厂商公章）

系统应支持源、目的地址转换以及双向地址转换。（提供截图，加盖厂商公章）

★系统应支持IP/MAC地址绑定，支持设置协议与非常用端口的绑定策略。（提供截图，加盖厂商公章）

支持双机热备。

日志和报表系统

★系统应支持多种形式的日志存储,本地存储、发送至日志服务器、本地日志服务器双存储、自动方式判断日志服务器状态自动决定日志的记录方式。（提供截图，加盖厂商公章）

系统应提供基于告警级别、时间、IP地址、事件类型、等条件的日志检索功能，具备日志导出备份、清除功能。

系统应具备日志归并功能，避免日志风暴。

系统应支持按照时间、源IP、源端口、目的IP、目的端口、网络接口、风险级别等条件生成统计分析报表，报表内容包括攻击防护、病毒过滤、应用管控、URL过滤四大类。

系统应支持支持生成日报、周报、月报。

系统应支持报表以word、html格式导出。

系统应提供报表定时通过邮件方式自动发送。

系统应提供全方位的包含管理、系统、策略、安全、流量等告警。

系统应提供邮件、声音、snmp多形式的告警方式。

管理监控

系统支持web、命令行等多形式灵活安全策略配置。

支持B/S或C/S管理模式，可实现多级部署。

支持SNMP 的v1 、v2 、v2c 、v3版本。

支持规则库手动、自动更新

应支持系统资源监视。

应支持web页面的实时显示攻击事件。

应支持设备温度监视以及报警，可以自定义温度阀值。

应支持实时查看网络流量/攻击状况。

应支持基于主机、区域的攻击与被攻击的统计显示。

应支持基于协议的应用识别统计监控。

应支持基于web类型分类的控制监控。

★制造商具备TL9000证书（需要提供相关证明复印件，并加盖原厂商公章）

★国家保密局检测报告（需要提供相关证明复印件，并加盖原厂商公章）

CVE CompatibilityCertificate

★国家信息安全认证信息安全服务资质证书（安全工程类三级）

指标

指标项

招标要求

基本要求

基本要求

★标准机架式机箱，本次配置为10个10/100/1000BASE-T接口和6个SFP插槽，2个可插拨的扩展槽，防火墙吞吐率：10Gbps，应用层吞吐率（FW+APP）：5Gbps，并发连接数：400万。3年质保和原厂服务。

★要求支持和机房现有内网防火墙实现双机热备。（提供投标防火墙厂商和现有防火墙厂商的技术可实现证明书，加盖双方公章）

★系统结构

产品由专用的硬件平台、安全操作系统及功能软件构成。设备采用自主知识产权的专用安全操作系统，采用多核多平台并行处理特性（提供相应资质证明，加盖厂商公章）；

★操作系统

安全操作系统采用冗余设计出于安全性考虑，多系统需在设备启动过程中进行选择不得在WEB维护界面中设置系统切换选项。（提供截图，并加盖厂商公章）

网络接入

工作模式

支持路由、交换、混合、虚拟线工作模式；

智能DNS

支持智能DNS功能，有效提高用户跨网访问效率；

支持DNS Docting，能够将来自内部网络的域名解析请求定向到真实内网资源，降低路径开销，提高访问效率；

链路质量探测

支持ICMP、Traceroute、TCP、HTTP、DNS等多种链路质量探测方式，用户可以根据探测结果有效判断链路质量；通过HTTP链路质量探测方式，探测结果可以提供DNS解析响应时间、TCP建立连接时间、HTTP交易时间等；通过TCP链路质量探测方式，探测结果可以提供TCP建立连接时间等（提供截图，加盖厂商公章）；通过DNS链路质量探测方式，探测结果可以提供DNS解析响应时间等；

访问控制

★一体化访问控制

内置高度集成的一体化智能过滤引擎技术，实现在同一条访问控制策略中配置传统的五元组信息、应用、服务、时间、安全引擎（入侵、URL过滤、病毒过滤、DLP、内容过滤）的识别与控制，（需要提供证书复印件，并加盖厂商公章）；

安全防护

应用层攻击防护

支持自定义特征库,且厂商具备强大的漏洞和功放研究能力，为CNNVD一级支撑单位。

DDOS防御

内置攻击检测引擎，支持独立的DDOS检测、阻断能力，支持检测包括land、Smurf、winnuke、tcp_sscan、ip_option、targa3、Synflood、Icmpflood、Udpflood、Portscan、ipsweep等攻击；

支持DNS异常包检测，支持DNS，Query，flood、DNS，Reply，Flood攻击

支持DHCP异常包检测，支持DHCP Flood攻击检测；

DLP

内置文件过滤引擎，支持对HTTP/FTP/SMTP/POP3等应用协议传送PDF、Office、java-class、jpg等超过20种文档类型的文件过滤（提供截图，并加盖厂商公章）；

系统维护

★双系统

支持双操作系统并存，且备份系统为全功能系统；（提供截图，并加盖厂商公章）

升级维护

支持多个系统升级包并存，同时支持系统升级包的删除；

产品资质

★制造商具备TL9000证书（需要提供证书复印件，并加盖厂商公章）；

★防火墙产品具备国家密码管理局商用密码检测中心颁发的“密码检测证书”（需要提供证书复印件，并加盖厂商公章），且需支持KMIP(密钥管理互通)协议，以确保可以与本次招标的密码机联动，支持将密钥存放在密钥管理系统中（提供防火墙厂商和密码机厂商的对接确认函，各自加盖公章）；

指标项

招标要求

基本要求

★1U机箱，最大配置为26个接口，默认包括3个可插拨的扩展槽和2个10/100/1000BASE-T接口，默认含5个SSL VPN的客户端许可，5个IPSEC VPN的客户端许可；本次增配千兆接口扩展卡：4个SFP插槽和4个10/100/1000BASE-T(100m，RJ45)；整机吞吐率：4Gbps，最大并发连接数：140W，IPSEC隧道数：8000，IPSEC吞吐率：280Mbps，SSL吞吐率：500Mbps，SSL并发用户数：5000；3年质保和原厂服务。要求产品应入选《江苏省符合网络安全等级保护二级以上标准（非涉密信息系统）网络安全产品与服务推荐目录（2017版）》的推荐名单（要求江苏省公安厅官网文件可查，需提供截图或证明并加盖厂商公章）；

★专业VPN设备，非插卡或防火墙带VPN模块设备；

支持IPSEC、SSL、PPTP、L2TP、GRE等多种VPN技术；

支持PC终端使用包括Windows8、Windows7、Windows Vista、Windows xp等主流操作系统；支持使用IE8、IE9、IE10、IE11等浏览器登录VPN系统；

支持iOS、Android等移动操作系统使用系统自带VPN客户端或安装产品附带应用软件登录VPN系统

网络适应性

支持透明、路由、混合模式；

支持基于源/目的地址、端口、协议及接口的策略路由；

支持Vlan、Vlan Trunk，支持802.1Q；支持vlan-vpn功能，能对报文进行二次基于802.1Q封装

用户管理

支持IPSEC与SSL使用同一套用户认证、管理系统；

★支持不少于4因素的组合捆绑认证（用户名口令、数字证书、短信、硬件特征码、指纹认证）（提供截图证明并加盖厂商公章）

支持使用第三方认证，如RADIUS、TACACS、LDAP、域认证等；

支持基于时间的访问授权，支持外部组映射授权，支持证书用户授权，支持基于证书中的字段属性组合授权；

PKI

★支持内置CA，可为其他设备或移动用户签发证书，可生成、吊销、删除证书；支持证书链管理；内置CA支持SM2算法（提供截图证明并加盖厂商公章）

支持证书废弃，支持生成标准CRL列表；支持证书请求的生成，由第三方CA进行签名

SSL VPN

★符合国密局制定的《SSL VPN技术规范》；

支持AES、DES、3DES、RC4、MD5、SHA1、RSA等多种算法；

★支持国家商用密码算法SM1、SM2、SM3、SM4；

支持WEB转发、端口转发、全网接入模式；端口转发模式支持TCP、UDP协议；

支持集群功能，支持集群状态和Session同步，对外提供同一接入IP；

★支持接入主机的安全检查，包括安装的软件、进程、端口、服务、注册表、操作系统及补丁、文件、网卡等，支持接入前检查、接入后检查、定时检查等策略；（提供截图证明并加盖厂商公章）

IPSEC VPN

符合国密局制定的《IPSEC VPN技术规范》；

支持国家商用密码算法SM1、SM2、SM3、SM4；

支持ESP/AH/IKE/NATT等国际标准IPSEC协议，支持隧道模式、传输模式，且网关所有功能都必须是基于标准IPSEC协议；

支持预共享密钥、数字证书认证，支持XAuth扩展认证；支持使用标准的X.509证书建立隧道；

★支持GRE over IPsec方式，支持组播穿越IPSec隧道（提供截图证明并加盖厂商公章）；

支持第三方标准IPSec客户端接入，支持iOS终端自带的IPSec客户端接入；支持IPSec客户端无驱技术，无虚拟网卡；客户端支持多线路自动检测与智能选路

流量管理

支持根据IP、协议、角色、接口、时间等定义带宽分配策略，支持最小保证带宽和最大限制带宽；

安全管理

系统预置系统管理员、虚系统管理员、用户管理员、日志管理员4种不同的管理员权限，用户管理员没有系统配置的权限，不同的用户管理员管理不同的用户信息，支持多达16级的分级管理

资质要求

★制造商具备TL9000证书（需要提供证书复印件，并加盖厂商公章）；

★国家密码管理局颁发的《商用密码产品生产定点单位证书》（需要提供证书复印件，并加盖厂商公章）

国家密码管理局颁发的《商用密码产品销售许可证》（需要提供证书复印件，并加盖厂商公章）

项目

指标

参数要求

基本要求

★硬件规格

设备高度≥2U；标配2个千兆电口；标配1个9针COM口，具有液晶显示屏；内存≥8G；硬盘≥500G；3年质保和原厂服务。

★密钥存储数量

≥200个

性能指标

SM2密码算法速率

256位SM2密钥对生成≥3000 对/秒,

256位SM2签名≥3000 次/秒,

256位SM2验证≥2000 次/秒,

256位SM2加密≥1400 次/秒,

256位SM2解密≥2000 次/秒;

RSA密码算法速率

1024位RSA密钥对生成≥40对/秒,

1024位RSA签名≥6200次/秒,

1024位RSA验证≥40000次/秒,

2048位RSA密钥对生成≥5对/秒,

2048位RSA签名≥1300次/秒,

2048位RSA验证≥10000次/秒;

杂凑密码算法速率

SM3加密速率≥400Mbps；

SM1密码算法速率

≥400Mbps

SM4密码算法速率

≥400Mbps

AES密码算法速率

≥400Mbps

功能指标

密钥生命周期管理

应提供API供外围调用，包括应用接口和管理接口，应用接口包括PKCS11、JCE；

管理接口包括应用权限管理、用户管理、应用管理、密钥管理等，至少包含JAVA语言版本以及C语言版本。

密钥管理

对称密钥管理，非对称密钥管理，支持密钥生产，导入，导出，销毁等全生命周期管理

★密钥支持远程管理（截图证明，并加盖厂商公章）

证书管理

支持X509密钥导入，支持PKCS12密钥导入，支持自签证书，支持第三方证书，支持CRL下载校验，支持OCSP实时查询

应用管理

支持应用注册，应用删除，应用信息查询与维护

具有应用与密钥关系权限设置

授权管理

具有设备访问白名单设置功能

日志管理

具有日志记录功能，包括系统日志、错误日志和操作日志等。提供日志查看及导出功能。日志至少保存6个月以上。

支持与SMCC系统集成，日志格式包括WebTrend、CSV、XML等，接收方式应满足Syslog、SNMP、OPSEC协议等。

数字信封

支持PKCS7数字信封加密（支持数据块和文件)
支持PKCS7数字信封解密（支持数据块和文件）

系统管理

高可用

服务器密码机支持集群部署模式

用户管理

支持根据三权分立原则划分用户角色及权限，包括管理员、审计员、操作员

安全策略管理

支持系统安全配置（会话锁定、超时退出、密码复杂性管理）

设备状态监控

可以查看设备当前运行情况，如密码机是否正在运行、当前并发数、密码机内存使用情况。

资质要求

产品资质

★具有《商用密码型号证书》（提供证明文件并加盖原厂公章）

★密码机产品通过FIPS认证（提供证明文件并加盖原厂公章）

密码机产品通过CE认证（提供证明文件并加盖原厂公章）

厂商资质

★生产厂商具有CMMI3级证书（提供证明文件并加盖原厂公章）

类别

招标要求

病毒检测过滤功能

★现使用防火墙的病毒模块，具有双库双引擎病毒检测扫描技术，可选择使用不同的病毒库，而且能够根据不同的被检测协议选择采用不同的扫描引擎（快速扫描引擎或深度扫描引擎）；（截图证明，并加盖厂商公章）原防火墙设备为天融信NG-51128.

能够防御病毒、木马、蠕虫、间谍软件等恶意软件，且支持对压缩数据、加壳病毒的检测与处理；

支持对HTTP、FTP、POP3、 SMTP、IMAP等常用协议进行病毒检测与过滤；

可实时检测日益泛滥的蠕虫攻击，并对其进行实时阻断，从而有效防止内部网络因遭受蠕虫攻击而陷于瘫痪；（截图证明，并加盖厂商公章）

支持TCP粘合技术，提升病毒检测效率；（截图证明，并加盖厂商公章）

支持信任站点；（截图证明，并加盖厂商公章）

支持IPv4和IPv6双栈协议的病毒扫描与检测过滤；（截图证明，并加盖厂商公章）

支持智能检测应用协议的病毒行为，采用自动智能方式准确识别并扫描检测常用应用协议任意端口的病毒传输行为，而非通过传统手动配置协议端口绑定形式进行病毒扫描；（截图证明，并加盖厂商公章）

★要求病毒检测率不低于98%，并提供国家专业病毒检测机构的证明；（提供证明文件复印件，并加盖厂商公章）

病毒库

★采用国际国内知名主流品牌病毒库；（提供两家及以上专业病毒厂商的授权证明文件复印件，加盖防毒墙厂商公章）

★要求具有独立的蠕虫防护规则库，并可通过手动或自动方式进行升级；（截图证明，并加盖厂商公章）

具有手机病毒特征库；（截图证明，并加盖厂商公章）

★病毒库提供商应通过VB100认证；（提供证明文件复印件，并加盖厂商公章）

★病毒库提供商应通过ICSA认证；（提供证明文件复印件，并加盖厂商公章）

★要求病毒网关默认加载的流行病毒库总数大于600万，可本地化完成病毒地检测过滤与处理，无需发送到云端检测；（截图证明，并加盖厂商公章）

★支持手动、本地和远程特征库升级，支持用户搭建升级服务器及自定义服务器地址；（截图证明，并加盖厂商公章）

内容过滤

支持对数据内容进行检查，可采用关键字过滤、URL过滤等方式来阻止非法数据进入内部网络，并且能够针对“ActiveX”、“Java Applets”及“Script”等控件实施拦截；（截图证明，并加盖厂商公章）

支持对邮件内容的过滤，至少具有邮件主题关键字过滤、附件名称过滤、带密码保护的附件过滤等；（截图证明，并加盖厂商公章）

★可自定义禁止传输的文件类型；（截图证明，并加盖厂商公章）

支持基于IP地址黑白名单、邮件地址黑白名单的垃圾邮件过滤；（截图证明，并加盖厂商公章）

设备基本要求

产品形态

★南北向云安全产品，支持防火墙、应用识别、DDoS防护、病毒防御、入侵防御、URL分类过滤、IPSECVPN和SSLVPN等功能，云计算虚拟化部署，支持Vmware、KVM、Xen虚拟化平台南北向防护。 性能：单台南北向防护防火墙处理性能：1Gbps；最大并发30W；1年入侵防御规则库、病毒防护规则库、应用识别规则库以及WebFilter过滤规则库升级许可许可。

安全联动

★要求支持和机房现有内网防火墙联动。（提供投标防火墙厂商和现有防火墙厂商的技术可实现证明书，加盖双方公章）

专用的软件系统

★采用专用安全操作系统，基于操作系统内核的完全检测技术；专用的安全操作系统具有自主知识产权。（提供证明文件，并加盖厂商公章）

软件模块化设计

软件采用模块化结构设计，可以根据需要组合，可以扩展IPSEC VPN、SSL VPN、防病毒、入侵防御、安全审计等功能。

支持虚拟化平台

支持主流服务器虚拟化平台部署，包括Vmware ESXi、Xenserver、Kvm等。

工作模式

软件部署

以虚拟机方式部署，工作于虚拟机内部，保护虚拟机间安全访问。

网络接入

支持透明、路由、混合接入。

管理授权

集中管理

支持虚拟安全网关vGate的集中管理、策略下发、事件收集、日志审计、报表统计等。

授权

支持软件license授权模式，可按需扩展虚拟设备和虚拟设备扩展功能。

虚拟网络接口数

>10

并发连接数

>100万

策略数

>2000

防火墙吞吐（2核）

>10G

基本功能

防火墙

支持基于用户、IP、应用、时间、协议等方式的策略控制；

支持基于域名的访问控制策略；

支持IP/MAC绑定；

支持基于策略的连接统计、报文统计、连接数限制等；

支持策略分组管理；

支持动态端口协议，如H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP；

内容过滤

支持对HTTP、FTP、SMTP、POP3、IMAP协议的深度内容过滤；

支持DNS过滤和DNS代理；

支持WEB重定向；

支持隐藏HTTP、FTP、SMTP、POP3、TELNET等服务器版本信息；

支持反垃圾邮件过滤，包括黑白名单、实时黑名单、反向DNS、灰名单等技术；

上网行为管理

支持基于应用特征的应用协议识别和管控，包括P2P、IM、炒股、网络游戏、网络视频等；

支持IM应用账号过滤；

支持针对P2P等协议的行为识别；

支持论坛发帖过滤和审计；

支持访问URL、内容、下载文件等的行为审计；

支持基于应用、流量、用户等方式的数据统计和报表。

用户认证

支持OTP、本地认证、WEB认证等多种方式认证；

支持第三方认证，如Radius、Tacacs、域认证；

支持基于客户端系统、操作系统补丁、安装文件等方式检测的可信认证和接入；

带宽管理

支持基于策略的保证带宽和限制带宽；

支持基于用户、IP、应用等方式的带宽策略；

支持DSCP和COS报文设置。

高可用性

支持双机热备、负载均衡等方式的部署。

日志

支持Welf、Syslog格式的日志；

支持日志分级和按类型输出；

支持通过第三方软件查看日志。

设备管理和监控

支持WEBUI、Telnet、Ssh、集中管理等多种方式的设备管理；

支持SNMP管理和监控；

支持邮件、NETBIOS、SNMP等多种方式的报警；

支持配置文件恢复和备份；

扩展功能

（1年license授权）

WEB过滤

支持超过80个大类，500万数量级的URL库；

支持恶意网站过滤；

支持挂马网站过滤；

支持手动设置URL过滤；

支持URL库自动升级。

防病毒

支持HTTP，FTP，POP3，SMTP，IMAP协议的病毒查杀；

支持超过150万种流行病毒的查杀，定期更新和升级病毒库；

支持快速扫描和完全扫描两种查杀方式。

入侵防御

支持非法报文和统计型报文攻击；

支持TOPSEC联动协议，可与IDS设备联动；

支持基于应用协议的入侵检测；

支持超过3800种内置入侵检测库，可定期自动升级。

可扩展功能

VPN

支持IPSEC VPN；

支持SSL VPN；

支持PPTP/L2TP；

支持本地CA和第三方CA；

指标项

指标要求

设备基本要求

★2U，4个10/100/1000BASE-T电口采集口，冗余1个可插拔的扩展槽，500G存储空间；双电源；3年质保和原厂服务。

审计能力

★支持实名审计，支持802.1x,PPPoE,AD等环境下终端IP地址和用户实名信息或主机信息绑定显示，可显示在线用户的PPPoE账号和AD域用户信息，在线用户信息包括但不限于：用户帐户名称、MAC地址、上线时间等。（提供截图，加盖厂商公章）

★支持对HTTP协议进行审计，审计内容包括：访问域，URL引用页、URL分类、HTTP类别、请求文件、请求参数、访问行为 发布内容、请求结果、网页类别、浏览器、服务器、Cookie、返回长度、代理客户端IP、代理上网、HTTP响应时间、操作系统类型、原始客户端IP、MAC地址、提交参数等。（提供截图，加盖厂商公章）

★支持应用协议行为识别，最少分为12大类，可以把应用协议分组进行审计，用户可以根据需求自行选择审计内容。（提供截图，加盖厂商公章）

支持SMTP、POP3、IMAP的邮件审计功能，可对邮件客户端收发邮件的行为进行审计，审计内容包括但不限于：发件人、收件人、抄送人、邮件主题和附件，并可以对邮件进行还原，还原可看到邮件正文及附件内容。

支持FTP文件传输协议审计，可针对FTP协议进行文件传输的网络行为进行审计，审计内容包括但不限于：文件名、FTP命令、传输用户等，可以对上传下载的文件进行还原，提供下载。

支持审计Radius协议的认证用户MAC、认证用户名、认证IP、NAS服务器IP。

支持Telnet协议的审计，可审计内容包括但不限于：用户名、操作命令、命令响应时间等。

支持对即时通讯的审计，可对使用即时消息通讯协议的网络行为审计。

★支持共享协议（SMB文件共享、NFS共享）审计。（提供截图，加盖厂商公章）

★支持对网络入侵行为IPS规则的管理和侦听，并对攻击信息详细审计（攻击流行程度、风险等级、操作系统、攻击类型等）。（提供截图，加盖厂商公章）

支持330种以上国内常见应用协议行为的自动识别与审计记录。

支持审计规则的优先级的调整，以防止误报、漏报等发生。

支持审计策略的自定义，可将时间、源IP、目的IP、协议、端口、登陆账号、命令作为响应条件进行策略设置。

支持数据采集规则定义，对于不关心的数据可以不采集，有效保证系统审计的稳定性与针对性。

系统内置高危SQL查询和注入、远程命令执行、跨站脚本攻击等高危指令告警规则。（提供截图，加盖厂商公章）

支持以字段名称和字段值作为分项响应条件进行审计策略设置（非正则表达式方式）。

★支持流量趋势分析、IP分组流量统计，可以对接口、传输协议、应用协议、应用协议组、源目的地址、源目的端口进行统计分析，可以多条件组合分析。（提供截图，加盖厂商公章）

★支持基于流的流量分析功能，可对其他设备发送的Netflow进行分析，支持对Netflow v5/v9版本的流量分析。（提供截图，加盖厂商公章）

统计报表

支持WORD、PDF、CVS、EXCEL等格式导出报表。

支持邮件方式自动发送报表。

支持频率趋势图、概率统计图、饼图方式进行报表展现，并可导出统计结果报表。

支持自定义报表，可以根据不同列集生成更多有实际意义的报表（不少于300种）。

支持按照源IP地址、客户端工具等源信息生成报表。

支持审计结果的多条件组合查询，可以事件发生的时间、用户、访问方式（客户端、TELNET、FTP）、用户IP、服务器等为查询条件进行组合。

告警与阻断

支持通过邮件、syslog、SNMP等方式进行告警。

支持对告警信息的发送方式进行设置，以防止告警信息过多，增加邮件服务器压力，至少具备单条发送、归并发送两种方式。

支持告警信息同时发送到多个管理对象。

支持告警阀值设置，可设置内容包括：连接数值、流量阀值、系统状态阈值（例如：CPU阀值设置、硬盘空间阀值空间设置、内存空间阀值设置等）。

支持报警事件插件的配置管理，例如：事件接收、外发、统计分析、存储等插件。

★支持系统旁路部署下的攻击阻断；支持防火墙联动方式的阻断。（提供截图，加盖厂商公章）

支持告警的统计分析功能，可自定义在线查看统计分析结果，并可根据统计结果生成报表。

支持告警分类，告警类型至少分为三类，例如：审计报警、日志报警、流量报警。

支持系统报警的自定义查询功能，可自定义查询系统内所有报警事件内容，包括：事件主体、事件客体、报警内容、报警级别、报警触发规则名称等。

系统相关功能

提供管理员权限设置和分权管理，系统可以对使用人员的操作进行审计记录，可以由审计员进行查询，具有自身安全审计功能。

用户可自定义角色，并为角色定义细粒度权限，权限可控制到菜单级。

能够对连续失败登陆进行自动锁定，锁定时间可设置。

支持系统管理员IP黑白名单，对于无权访问的IP可以隐藏设备自身IP地址。

提供审计数据管理功能，可根据时间或磁盘空间状况实现对审计数据的自动备份、删除。

系统应提供配置向导，简化策略配置过程。

★支持WEB登录锁定配置，可自定义用户名/密码尝试次数和登录锁定时间。（提供截图，加盖厂商公章）

支持WEB登录超时自动登出功能，可自定义WEB端登录超时时间。

支持静态密码认证，并对密码的复杂性进行强制要求，比如大小写、数字、特殊字符、长度等；

支持角色自定义功能，可对角色权限进行细粒度划分，权限可控制到菜单级；

★支持双操作系统，当常用系统出现故障可以使用备用系统恢复。（提供证明或截图，并加盖原厂商公章）

支持系统状态的监控功能，可监控系统的CPU、内存、磁盘、网口、运行状态等信息。

支持本地磁盘状态的查询和显示，可查询设备磁盘的空间利用率，可通过饼状图、柱状图显示磁盘空间占用情况。

支持磁盘规划功能，可通过饼状图、柱状图显示磁盘空间利用率，本地磁盘中的数据可根据对象进行分类并独立进行备份、清理等操作。

提供系统升级功能，能够通过升级包的方式实现升级。

支持Syslog、SNMP Trap方式向外发送审计日志。

支持以SNMP方式，将系统运行状态提供给第三方网管系统。

支持NTP时间同步。

支持原始数据包留存，可通过sftp方式从设备中取得已记录的原始数据包。

支持自动备份审计日志，可通过FTP方式外送到外部设备，备份文件进行加密，且必须导入设备才能够进行恢复查看。

网络适应性

支持单点、多点、多级管理模式 。

采用B/S管理方式，不需要单独的管理设备。

★一体化设备，审计、解析、管理、报警、存储均在一台物理设备上实现。（提供证明或截图，并加盖原厂商公章）；

★通过扩展软件授权许可即可在同一硬件平台上实现数据库审计系统的所有功能。（提供截图，加盖厂商公章）

★支持IPV6环境部署和IPV6环境下网络审计系统全部功能的审计。（提供截图，加盖厂商公章）

产品资质

★《计算机信息系统安全专用产品销售许可证》-增强级（提供证书复印件并加盖原厂商公章）

中国国家信息安全产品认证证书ISCCC-增强级（提供证书复印件并加盖原厂商公章）

★IPV6 Ready Logo Phase-2 金牌认证 （提供证书复印件并加盖原厂商公章）

《计算机软件著作权登记》（提供证书复印件并加盖原厂商公章）

指标项

指标要求

基本要求

★1U，1个console口，2个USB口，6个10/100/1000BASE自适应电口，2个光口，1个可扩展插槽； 100个主机/设备许可，用户数不限制，3年质保和原厂服务。

工作模式

物理旁路单臂部署，以逻辑网关方式工作；不改变现有网络结构，不改变运维人员的运维习惯。

分组

★不限级数的进行分层分级分类管理。（提供截图并加盖厂商公章）

AD域同步

★支持从AD域抽取OU，方便快速建立组织结构。（提供截图并加盖厂商公章）

组定义类型

支持组定义类型（用户、资源、综合）便于管理和快速查找。

用户管理

完整的用户帐号生命周期管理，实现帐号的创建、维护、修改、删除的集中管理；自定义用户类型，基于针对用户类型进行用户地址策略。

AD域同步

★主帐号支持从AD域内抽取，方便快速建立主账号。（提供截图并加盖厂商公章）

用户导入导出

支持以组节点进行批量导入导出。

用户分组管理

分组可以树形方式展现，不限制分组层级数量。

用户策略

通过配置口令策略，达到指定密码有效期和限制主帐号密码强度的目的。

配置访问锁定策略，达到限制主帐号密码输入错误次数和锁定时间。

配置访问地址策略，达到限制主帐号访问时所在工作站的IP地址池。

配置访问时间策略达到限制主帐号只能在规定的时间段内进行资源访问。

资源统计

★支持柱形图方式查看系统中不同资源所占比例。（提供截图并加盖厂商公章）

资源分组管理

分组可以树形方式展现，不限制分组层级数量。

资源类型

★unix资源、网络资源、windows资源、数据库资源、C/S资源、B/S资源、中间件资源、大型机资源。

资源协议

支持SSH、TELNET、FTP、SFTP、VNC、XWINDOW、WINDOWS文件共享等协议。

账号管理

★支持资源从账号的管理，系统具有各种资源类型驱动器能够将资源上的账号进行自动抽取、推送及属性的变更等。

自动改密

支持对unix资源、网络资源、windows资源、数据库资源、中间件资源进行密码变更；密码变更可以根据密码策略的要求进行变更，变更的密码符合密码策略中关于密码强度的要求。

密码拨测计划

★定期检查平台存储的设备账号密码与设备实际密码是否匹配，以便进校验密码一致性，提高设备的安全性避免密码混乱无法登陆现象发生。

账号导出

从账号按时间计划导出账号口令，支持手动下载或指定FTP服务器；

导出的账号口令需要输入密码解密查看。

访问端口变更

★提高设备的安全性，不采用标准的协议端口，平台支持FTP、telnet、ssh、远程桌面等协议服务端口变更。（提供截图并加盖厂商公章）

角色管理

支持自定义角色。角色可按照组节点进行定义，从而实现分层分级管理模式。角色权限细粒度高，可自由组合。

岗位授权

资源授权模式基于岗位授权，岗位上绑定资源账号，这样授权可迁移、授权粒度更细；并可针对岗位设置相关安全策略。

收藏夹功能

运维人员可将经常访问的资源添加到收藏夹。

批量单点登录

★支持批量单点登录资源，简化工作量。（提供截图并加盖厂商公章）

身份切换代填

支持网络设备enable和unix主机su等身份切换的单点登录功能。

Zmodem协议访问

运行rz，sz等命令，从而可以非常便捷快速的进行两个系统的文件交换。

自动代填

访问授权资源时不必再输入从帐号和密码

身份认证

★自身提供证书认证服务，也可与第三方CA、动态令牌、生物识别、短信认证等方式进行结合。支持组合认证，提高访问的安全性。（提供截图并加盖厂商公章）

RADIUS和TACACS+

★平台在网络设备的认证协议上不仅支持RADIUS和TACACS+协议，而且产品系统自身可以作为Radius和TACACS服务器。（提供截图并加盖厂商公章）

访问时间策略

可以配置成可访问时间段方式，也可以配置成不可访问时间段方式。配置时间段时可以配置日期和小时。

地址策略

支持配置成可访问IP段方式，也支持配置成不可访问IP段方式。IP段由IP和掩码构成。

RDP策略

上下行剪切板控制、共享磁盘控制、控制台登录控制。

字符命令

支持命令操作的黑白名单设置，命令权限控制规则应支持正则表达式，并可以对命令的参数进行限制并记录日志

FTP

支持常用命令列表，方便用户指定FTP命令策略。

口令策略

可以配置口令长度，是否包含字母及字母的长度，是否包含数字及数字的长度，是否包含符号及符号的长度，口令时效性。口令策略还可以配置禁止包含的关键字。

锁定策略

可以配置访问失败几次锁定，也可以配置锁定后多长时间解锁。

审计策略

★根据不同设备审计安全需求，客户自定义审计范围，字符（命令、内容、录像）、图形（录像、键盘、上下行剪切板、上下行文件传输）、FTP（命令、保留上传文件、保留下载文件）。

VPN功能

★内置VPN功能，无需专用VPN硬件支持，即可保证远程接入堡垒机的链路安全。（提供截图并加盖厂商公章）

图形审计

图形资源访问时，支持键盘、剪切板、文件传输记录，并且对图形资源的审计回放时，可以从某个键盘、剪切板、文件传输记录的指定位置开始回放。

字符审计

对字符命令方式的访问可以审计到所有交互内容，可以还原操作过程的命令输入和结果输出，并且可以展现各命令的执行时间和允许执行情况。

实时监控

支持实时审计和阻断。操作人员对于资源的访问，审计员可以实施查看。发现高危操作时，支持实时切断当前会话。

管理审计

支持提供系统内部操作审计，包括管理员和运维用户的登录、登出、对系统的配置操作、账号属性修改等系统管理操作。

审计报表

系统预设常用统计报表模板，分为基础业务报表、行为审计报表、信息管理报表三大类。报表提供Word、Excel、PDF类型下载。

流程管理

支持设定主副岗账号和双人共管账号，并提供相应授权流程；

支持流程申请人、审批人、执行人的委派。授权需要申请人定义申请单，发起事件申请；事件可以多人审批，审批人收到申请后可以同意或拒绝申请，同意时可以指定执行人进行实际的管理动作的执行；

消息管理

支持消息管理，可通过系统统一给各管理员和运维人员发布消息。

支持工作计划管理，可自维护方式制定运维工作计划，并到期提醒。

数据备份、还原

应用备份、管理数据备份、审计数据备份、配置文件备份

系统状态

包括：cpu工作情况，内存使用情况，磁盘使用情况，网卡使用情况，系统数据库工作情况， WEB服务工作情况，其他关键组件工作情况等。

时间同步

同步NTP服务器

系统维护

对系统服务配置清除、审计日志清理、还原出厂设置；关机重启等功能

外接存储

支持日志数据的外置存储备份，支持NFS和windows文件共享协议，远程审计存储和本地存储对审计员透明。

HA

支持以Active-Standby方式部署

支持服务及应用层面的检测

支持双网卡冗余（双网卡虚拟单Ip）

集群部署

★支持堡垒机集群模式部署；支持应用发布服务器的集群部署，可以设定自动选择应用发布服务器，或者由用户手动指定；支持集群设备多节点数据实时同步（提供截图并加盖厂商公章）

分布式部署

实现公司总部与各分公司之间，组织机构分散而需要统一集中管理的问题。（提供截图并加盖厂商公章）

产品资质

★《计算机信息系统安全专用产品销售许可证》（提供证书复印件并加盖厂商公章）

★《计算机软件著作权登记证书》（提供证书复印件并加盖厂商公章）

招标项

招标要求

基本要求

★1U，默认包括1个可插拨的扩展槽和4个10/100/1000BASE-T接口；不限制IP数量，最大允许并发扫描60个IP地址，最大允许并发扫描100个线程，最大允许10个扫描任务并发；检测漏洞数大于56000。3年特征库升级，3年质保和原厂服务。

自身安全性

采用经过系统加固的专有操作系统；

基于B/S模式，支持HTTPS安全访问方式；

基于SSL 的远程管理和扫描；

用户多次登录失败时，自动锁定登录IP；

可以限制可扫描的IP地址范围；

可以限制用户的登录IP地址；

提供配置备份恢复机制；

产品部署

旁路接入网络，无需改变原有的网络架构；

产品的使用无需安装任何类似探针的软件、光盘或USB；

支持独立式部署方式 ；

支持分布式扫描部署能力，支持用户进行两级和两级上的分布式、分层部署方式；

分布式部署中支持下级管理中心自动连接上级管理中心，上下级单位消息发布、接收以及支持连接状态、拓扑结构、下级引擎状态的查看；

支持策略的统一制定和分发，应提供可编辑的策略模板；

资产管理

支持资产自动发现功能，支持利用历史扫描过程中所发现的在线主机信息，来添加资产；

支持对已有资产的直接扫描；

支持显示资产的历史扫描结果，支持显示资产的风险评估值；支持直接查看资产的漏洞扫描情况；

漏洞管理

★产品漏洞库涵盖目前的安全漏洞和攻击特征，漏洞库具备至少CVE、CNNVD、CNCVE、CNVD、BUGTRAQ 编号；

★产品扫描信息包括主机信息、用户信息、服务信息、漏洞信息等内容。需给出各类扫描信息的详细列表，支持75000种以上漏洞，其中数据库漏洞库为2500种以上；

支持Windows系列、苹果操作系统、Linux、AIX、HPUX、IRIX、BSD、Solaris等目标主机的系统进行扫描；

支持对Cisco、Juniper、华为、F5、Checkpoint等网络设备扫描；

★支持对VMware、KVM等虚拟化设备检测；

支持主流数据库的检测，应包括但不限于：Oralce、Sybase、SQLServer、DB2、Postgres、MySql、MsSql、mongodb等；

支持移动设备扫描；

支持对国产化操作系统扫描；

支持Windows域环境扫描，可针对目标主机的系统配置缺陷及漏洞进行扫描；

产品支持对扫描对象安全脆弱性的全面检查，如安全补丁、口令、服务配置等。请详细描述针对主机和网络的扫描类别及项目；

支持数据库登录扫描，至少应包括数据库账号，密码，SYSDBA、SYSOPER、NORMAL认证，SID、数据库名称、实例名称及实例号等登录选项的设置；

支持SNMP等协议的漏洞检测；

扫描策略配置

产品要求提供多种缺省扫描策略，并可按照特定的需求，灵活制定目标对象或目标群组，可以同时应用不同扫描策略，并允许自定义扫描策略和扫描参数；

支持自动定时扫描和多种计划扫描任务管理功能，可按照指定的时间、对象自动扫描，并自动生成报告；

可以并行地检查多个被评估的系统，能够提供扫描策略定制，可以保证扫描的安全性，不影响应用系统和网络业务的正常运行；

★支持口令猜解功能；

★产品具有无限IP漏洞扫描能力，并提供相应许可；

扫描功能

支持扫描范围自定义、资产导入扫描范围、从文件导入扫描范围；

★支持主机存活探测，支持ARP、ICMP ping、TCP ping及UDP ping四种类型；支持connect、SYN两种端口扫描方式；（提供截图，加盖厂商公章）

支持每台主机最大并发线程数设置，至少支持100个线程；

支持通知被扫描主机设置，在扫描主机的时候会向被扫描主机发送message消息来通知主机；

支持显示扫描剩余时间，随时查看扫描进度结果；

支持多个扫描进度并发统计展示；

支持查看历史扫描记录；

支持登录扫描，支持 ssh/smb/telnet/pop/pop3/imap/ftp/rsh/rexec/wsus多种登录方式；

支持弱口令扫描 ；

支持对全网扫描结果的集中查询、分析；

发现网络设备和主机系统的安全漏洞，并提供安全解决建议；

支持多主机、多线程扫描；

支持动态的显示扫描结果和实时的查看扫描结果；

支持扫描结果自动发送扫描报告至指定邮箱；发送到指定FTP服务器；

支持扫描完成后进行SNMP trap告警；

支持扫描结果自动发送短信；支持http短信网关；

报表功能

★支持最大限度报告漏洞；

报告应具有易懂的漏洞描述和详尽的安全修补方案建议，并提供相关的技术站点以供管理员参考；

应可根据角色需求产生灵活的报告格式，支持用户自定义报表和预定义报表；产品应可灵活定制产生各类报表数据的饼图、柱图等图表信息；

扫描报告应可对安全的威胁程度分级，并能够形成风险趋势分析报表和主机间风险对比分析报告；

报表具备导出功能，可以导出不同格式的报表，如html、Excel、Word、PDF、XML等；

升级功能

系统应支持自动和手动升级，支持在线升级和离线升级，支持本地升级，升级内容应包括最新的漏洞库和系统自身的补丁程序；

支持SSL的Web界面、SSH和Console多种方式；

支持远程技术支持信息提取；

支持ping、wget；

其它

★产品应界面友好，所有的图形界面、报警信息、报表与文档、技术资料要求均需要支持简体中文、英文版本；

自定义网络接口属性，定义个性化需求；

自定义界面风格。

产品资质

★《计算机信息系统安全专用产品销售许可证》（提供证书复印件并加盖厂商公章）

指标项

参数说明

基本要求

★日志收集、存储、查询、统计分析等功能。综合采集处理均值15000EPS。

★基于j2ee平台构架，具备跨平台性、开放性和扩展性；通过web方式对本系统实现管理

★3年质保和原厂服务；20个日志源授权；

支持SSL加密模式传输

支持windows ,linux系统

系统部署

支持单级部署

支持多级部署；

系统性能

日志采集峰值：40000EPS

日志采集均值：30000EPS

综合处理峰值：35000EPS

综合处理均值：20000EPS

数据存储能力：支持大数据存储；压缩加密存储，压缩比不低于10:1；日志存储不低于20000条/M

★支持BT级数据交互式多条件查询,百亿级数据查询结果返回延时小于10s（提供截图，加盖厂商公章）

数据采集

支持市面主流安全设备、网络设备、中间件、服务器、数据库、操作系统等不少于26类300种日志对象的日志数据采集。

支持主动、被动相结合的数据采集方式；支持Telnet、Syslog、SNMP Trap、Netflow、JDBC、SSH、WMI、FTP、SFTP、SCP文件等进行数据采集；支持通过Agent采集日志数据。

★支持标准化日志描述语言快速扩展兼容特殊日志

★支持日志数据采集实时展示（提供截图，加盖厂商公章）

★支持控制被采集设备的日志流量速度（提供截图，加盖厂商公章）

支持日志归一化处理，将不同设备所产生的不同格式的难以理解的日志数据进行统一格式化处理，提炼出有用信息清晰、明确的展示给管理者

支持将日志按照类型等方式进行分类

★支持基于时间轴展示数据分布，能够通过时间轴进行查询分析（提供截图，加盖厂商公章）

数据存储

支持对所管理设备的日志原始数据完整存储

★采用基于具有自主知识产权的非关系型大数据存储架构，支持数据本地集中存储、网络存储以及大数据存储

支持海量原始日志加密压缩存储，压缩比不低于10:1

海量数据加密存储，防篡改

★支持根据设备重要程度设置独立的数据存储策略（提供截图，加盖厂商公章）

★支持自定义存储位置，支持磁盘阵列、SAN、NAS等外部高性能存储（提供截图，加盖厂商公章）

支持存储空间图像化、动态监控，超过阀值进行告警。支持从存储空间、存储时间多维度进行动态监控。

支持数据自动、手动备份以及备份数据回复查看。

实时关联分析

★系统内置常见安全事件关联分析规则（提供截图，加盖厂商公章）

★支持基于策略的多日志源海量日志实时关联分析，发现安全事件实时告警。

★提供可视化关联分析规则编辑视图，可根据实际业务编辑关联分析规则（提供截图，加盖厂商公章）

告警管理

★支持安全告警概况、安全告警趋势以及实时安全事件的统一展示，实时告警可根据级别、规则类型等进行分类（提供截图，加盖厂商公章）

支持根据时间类型、级别、规则类型、规则名称、时间范围、事件名、设备IP、源IP、目的IP、源端口、目的端口和传输协议等方式快速检索安全事件告警，检索结果支持Excel等格式导出

★支持基于时间轴展示数据分布，能够通过时间轴进行查询分析

告警响应

支持邮件、声音、短信、命令行等多种告警方式

可以针对不同类型、不同种类以及不同安全级别的安全事件制定不同的告警方式。

统计报表管理

★内置不少于500种报表模板（提供截图，加盖厂商公章）

★百亿级数据报表查看显示时间小于20秒

支持自定义报表

支持PDF、word、execl、html等方式导出报表

支持实时报表、计划报表

数据查询

支持实时日志查看，提供实时更新的最近的2000条日志信息，管理员可以进行监视、刷新、清零等基本监视条件管理。

支持多条件组合查询；支持原始日志全文检索；查询结果可将归一化日志和原始日志同屏对比显示；

支持等于、不等于、大于、小于、正则表达式等查询条件；支持为不同类型日志设置不同的查询条件和显示条件；

支持在查询结果页面上直接下钻二次查询，快速定位关键日志，还可以返回上次查询条件；查询结果支持分页显示；支持查询结果导出；支持外部备份文件导入进行查询。

★支持查询结果快速统计，可自定义统计规则（提供截图，加盖厂商公章）

通过日志趋势图，管理员可以查看指定时间段的日志数量

日志源管理

管理员可以对日志源进行查看、添加、编辑、删除以及启\禁用的操作；支持手动添加日志源、导入日志源

支持为资产指定类型、名称、IP地址、IP地址归属、操作系统类型、主机名、收集节点、收集方式、以及日志源启停状态等属性信息

支持自动生成日志源拓扑图

★支持基于拓扑图的日志源相关数据信息快速查看

★支持日志源在线状态监测告警，实时监测日志源的可用性

★支持按照角色对日志源的综合管理权限进行授权（提供截图，加盖厂商公章）

支持黑白名单制定，被添加到黑名单列表中的IP地址主动发送的日志将被忽略。

系统管理

支持用户按角色管理，支持三权分立

支持非法用户设备访问控制策略

系统具有防恶意暴力破解账号与口令功能；口令错误次数可设置，超过错误次数锁定，锁定时间可设置。

系统配置信息支持备份导入

邮件服务器可配置

数据采集端口可配置

支持代理管理与诊断

产品资质

★具备涉密信息系统产品检测证书（提供证书复印件，并加盖厂商公章）

要求为非OEM产品，提供计算机软件著作权登记证书（提供证书复印件，并加盖厂商公章）

★制造商品牌应在最新（2017版）“江苏省符合网络安全等级保护二级以上标准（非涉密重要信息系统）网络安全产品与服务推荐目录”相应产品（日志审计）的推荐名单中（要求江苏省公安厅官网文件可查，需提供截图或证明并加盖厂商公章）

类别

指标项

指标要求

安装部署

★基本要求

含控制台以及210个客户端（不区分服务器和客户端）授权，3年升级。

支持B/S管理架构

系统支持全中文界面，B/S架构。管理员只需通过浏览器登录控制中心，即可对系统进行管理。

操作系统支持

至少支持WindowsXP、Windows 7、Windows 8、Windows 10等32位/64位终端操作系统，支持Windows2003、Windows2008、Windows2012等32位/64位服务器操作系统。同时需支持Linux操作系统以及中标麒麟、银河麒麟等国产操作系统。

支持服务端快速恢复

★服务端采用Docker部署方式，能够快速恢复，横向扩展，可移植性强。（提供截图并加盖厂商公章）

轻量级客户端安装

★客户端安装后至多占用50M硬盘资源，病毒库3M大小，日常内存占用不到10M，有效节省PC/Server资源。（提供截图并加盖厂商公章）

客户端安装

客户端安装支持本地安装，WEB安装。

管理控制

平台管控

能够对客户端进行统一管理，统一下达指令

可视化展示

支持控制中心直观的展示终端信息、病毒趋势统计、病毒类型排行、病毒排行、终端危险排行等全网统计情况。并随时对网络中威胁发生的情况进行查询，能组合时间、IP、机器名、病毒名称、病毒类型等信息全方位定位、展示。

终端管理

控制中心支持实时显示客户端的状态及终端基本信息，包括客户端连接状态、服务状态；终端机器名称、IP地址、MAC地址、操作系统、显卡信息、内存大小、当前版本信息和物理位置等信息，支持终端信息导出。

支持对终端进行分组及批量分组，支持分组导入、导出。

★支持对终端进行单/多标签标记。（提供截图并加盖厂商公章）

支持终端连接定制，根据定制，主动清除过期离线客户端相关信息，便于管理员清晰管理终端。

★控制中心支持全网/以分组、标签为单位/指定某些客户端定制操作，即时/定时实现客户端三种病毒查杀模式、显示通知、关机、重启、升级等操作，并对以上操作配置详情，客户端执行情况跟踪，实现控制中心对客户端的操作监控。支持对客户端上述操作的快速定制。（提供截图并加盖厂商公章）

★支持客户端主动升级及平台即时/定时推送升级；支持全网/以分组、标签为单位/指定某些客户端定制不同版本升级包，实现差异管理、灰度升级。（提供截图并加盖厂商公章）

平台支持客户端升级包上传及配置http(s)/ftp 远端同步方式，更新客户端升级包 ，可以根据不同网络环境提供在线获取和隔离网获取相应工具。 

产品具备漏洞集中修复，强制修复；可以通过报表形式展示全网补丁情况，分为高危补丁、功能更新等，并展示以做补丁和未做补丁的信息。

★支持单/多客户端不同管理中心迁移。（提供截图并加盖厂商公章）

策略管理

★控制中心支持全网/以分组、标签为单位/指定某些客户端定制策略，支持指定客户端策略锁定。

定制策略包括病毒防御（文件实时监控、恶意行为监控、U盘保护、下载保护、邮件监控）、系统防御（系统加固、软件安装拦截、浏览器保护）、网络防御（黑客入侵拦截、对外攻击检测、恶意网站拦截、IP协议控制、IP黑名单）等。

支持策略无限定时间定制，终端开机启动策略生效，

★支持设置客户端与控制中心的通讯时间间隔。（提供截图并加盖厂商公章）

支持自定义白名单，可设置路径、哈希，实现信任文件过滤。

统计分析

支持统计分析客户端上报的威胁日志，包含终端/部门/责任人危险排行统计、防御类型分布统计、病毒类型分布统计、病毒排行统计、病毒趋势统计等，支持图表显示。支持统计图表导出。

报表功能

★支持报表内容、周期、推送、输出格式定制，内容设定模板任意组合包含终端/部门/责任人危险排行统计、防御类型分布统计、病毒类型分布统计、病毒排行统计、病毒趋势统计等统计情景及威胁Top10、Top20、Top30排行；周期设定任意组合日、周、月周期，定时生成报表；推送设定任意接收报表人员；输出格式设定Excel、Word、HTML、PDF等通用格式输出。（提供截图并加盖厂商公章）

★多管理员可定制专属报表，数据隔离，报表仅对自己可见及管理。

支持立即生成报表模板预置时段或自定义时段报表。

审计告警

★支持对客户端上报的安全日志进行审计、告警，可预置字段及自定义字段过滤详细日志，快速定位终端安全状况；定制符合企业敏感程度的告警规则，达到告警阈值，产生告警日志并定制推送，保证告警及时性。（提供截图并加盖厂商公章）

权限控制

支持管理员功能权限划、终端权限划分，实现不同权限人员查看不同功能模块，管理不同终端 。支持超级管理员预置及自定义权限角色。

支持多管理员管理，同权限管理员共享数据。

支持控制中心访问控制，包含WEB访问控制定制超时时间、登录重试次数、IP锁定时长及解锁，IP访问控制指定具体IP可访问控制中心。

系统管理

支持管理员操作，日志记录追踪；支持控制中心-客户端交互操作，日志记录追踪，便于问题定位。

★支持定制磁盘管理规则，对审计、系统、终端、告警等日志即时或定期清理，实现磁盘瘦身。（提供截图并加盖厂商公章）

客户端防护

病毒查杀

至少支持对终端内部文件进行全盘扫描、快速扫描，自定义扫描三种扫描能力。并具备空闲查杀、断点查杀、后台查杀等功能。

★要求对流行病毒的检测能力必须超过98%的检出率，超过98%的清除率，小于0.1%的误报率，需提供第三方测试证明。（提供截图并加盖厂商公章）

支持基于行为的检测和防护技术，支持对已知病毒、未知病毒的查杀能力，包括但不限于：木马病毒、变形病毒、勒索病毒、加壳病毒、宏病毒、注册表病毒、内存或服务类病毒等。

支持对对压缩文件内的恶意文件扫描，包括但不限于对Arj、bzip2、Lzh、Tar、Zip、Rar等压缩文件格式类型查杀防护

支持扫描和清除各种广告软件、恶意插件、隐蔽软件、黑客工具、风险程序等。

终端支持路径白名单，添加到信任区的文件扫描自动跳过信任目录，不作检测。（

支持病毒自动隔离备份功能，客户端能自动将病毒文件隔离到本地隔离区，同时支持恢复隔离文件。

支持本地查杀缓存，提高查杀速度

支持扫描压缩文件层级及大小设定、不扫描指定扩展名文件，提高扫描效率，降低资源占用。

★支持基于虚拟沙盒的高效的本地反病毒引擎， 实现极高的本地查杀能力。

支持对webshell后门进行扫描检测 , webshell后门库数量大于90000

终端防御

★支持虚拟补丁功能，针对网络数据流的深层分析，检测入站流量并保护应用程序免受攻击，有效阻止勒索病毒等高危威胁的入侵。（提供截图并加盖厂商公章）

★支持内容拦截主动防御，当文件被执行、修改、访问时，反病毒引擎对相应文件进行扫描，如扫描到威胁则阻断用户对该恶意威胁的触碰并根据需要进行隔离操作。

★支持规则拦截主动防御，程序执行时，规则拦截层开始生效，并根据基础防护或自定义防护规则，对程序产生的违例动作进行拦截。（提供截图并加盖厂商公章）

★支持行为拦截主动防御，当发现威胁时，行为拦截层阻止威胁进程及关联进程、线程的执行，并尽可能地回滚已经产生的潜在风险，实现病毒行为监控，软件安装拦截。（提供截图并加盖厂商公章）

★支持内容过滤主动防御，解决网络数据包的安全威胁问题，基于内容过滤的防火墙，实现木马 盗号、钓鱼仿冒、虚假欺诈等各类潜在风险网站的拦截及潜在黑客攻击等恶意入侵行为拦截。（提供截图并加盖厂商公章）

★支持全方位主机防护，包括防止指定文件项目被篡改、破坏或恶意创建，防止指定注册表项被恶意篡改，监控针对系统的敏感动作，拦截高风险动作，防止指定命令行被恶意利用，实时保护系统重要进程，对顽固留下病毒进行智能拦截等，出现破坏行为，根据策略定制进行自动阻止或自动允许或弹窗提示。（提供截图并加盖厂商公章）

支持U盘扫描修复功能，主动对 U 盘中的文件进行扫描，对U 盘传播类恶意软件常见恶意修改操作进行修复，防止病毒通过U盘在终端传播有效保护终端不受病毒侵扰。

支持下载保护功能，在下载过程中对文件进行检测，发现恶意程序立即弹窗阻止，并记录安全日志。防止病毒通过网络传播。

支持IP黑名单能力，设为黑名单的IP将无法访问被策略保护的主机。

支持终端对外攻击检测，根据网络攻击检测，自动阻止或记录攻击行为，避免用户的利益受到损害。

支持终端防火墙功能，支持包括但不限于通过协议（TCP、UDP、ICMP、IGMP、GGP、PUP、IDP、ND、ESP、AH、RDP、GRE、SKIP、RAW），端口号，IP地址、进出口方向等控制规则对终端进行防护，从网络层保护终端安全。

支持基于SMTP/POP3协议的邮件监控，防止病毒通过邮件在终端传播，有效保护终端不受病毒侵扰。

支持对终端内文件、邮件、网页一体化实时监控，防止病毒、木马、恶意程序等各途径传播运行；

支持丰富扩展工具，有效管理文件、桌面、IE的右键菜单；强制删除或彻底粉碎文件；轻松管理开机启动项目；扫描修复系统漏洞；全面清理系统垃圾文件；拦截程序的各类骚扰弹出；管理网络流量情况等，实现终端最优状态设置。

客户端管理

能够设置终端卸载或脱离管理中心时要输入的密码，防止终端用户随意脱离保护。

客户端提供控制中心管理所需的相关数据信息，通讯加密

支持客户端安全日志详细追踪及导出。

资质

产品资质

具有《计算机信息系统安全专用产品销售许可证》（提供证书复印件证明并加盖厂商公章）

《计算机软件著作权登记证》（提供证书复印件证明并加盖厂商公章）

★《信息技术产品安全测评证书,级别:EAL3+》（提供证书复印件证明并加盖厂商公章）

设备管理

基本要求

★实现安全设备的集中管理，包括：设备信息管理、设备监控管理、全局策略制定、全局策略分发、设备配置管理、日志管理。20个可管理授权

数量。需能和现有防火墙设备进行联动策略管理，提供原防火墙厂商可联动证明原件（加盖原厂公章）。

多级安全域管理

★可以将设备按照管理范围划分为多个域；域之间可以有上下级关系，最多支持4级域，可以为管理员指定可管理的域范围。

设备注册及认证

★被管理设备自动完成注册与认证；

支持动态IP的防火墙设备管理；

设备自动发现和

在线状态扫描

利用snmp、ping、http等通信协议探测设备在线状态

接收设备自动发现消息，可用于发现设备，并批量添加设备；

设备远程管理

在设备管理列表中选择设备，通过调用浏览器登录远程设备进行管理、在拓扑图上选择设备进行远程管理调用、提供管理工具： Ping/SSH/telnet/Traceroute。

设备配置集中保存、查看、导出、更新和比较

★能够查询、接收并保存设备配置信息，并为设备提供查看、导出和配置更新服务。可以为一个设备保存多个配置，并在更新时由管理员进行选择；设备配置应用后需要提示保存；支持华盾设备配置保存；可定期获取设备配置信息；可定期检查设备配置是否被私自修改；可显示配置变化状态。

设备操作

开启服务、设备重启、时钟设置、snmp设置、设置ROOT管理员口令等；

复制、移动设备

支持将设备从某级设备域复制或移动到另一级设备域

NAT环境支持

支持NAT环境下的设备配置、升级管理等

设备批量升级

可以按域或按设备制定升级计划，在有可用的升级包时在指定时间自动升级

拓扑管理

拓扑图维护

显示和编辑拓扑图；放大缩小等功能。

根据安全域、设备列表以及隧道列表，生成拓扑图；

显示设备摘要信息：设备名称、IP、隧道名。

通过子域结点，进入下级域的拓扑显示

拓扑图显示支持位置手工和自动排列

基于拓扑图状态管理

基于拓扑图的设备与隧道监控，

可查看跨域隧道的状态

图形化编辑

手动图形化增加、移除设备、安全域、隧道； 复制、移动设备；

显示方式

显示设备中服务列表；当前图节点变化时自动刷新；拓扑未变化不需提示存盘；显示子域报警；显示中转设备；显示子域设备总数；开关控制是否显示隧道名称；支持拓扑图打印；导出拓扑；图标排列操作；拓扑查找（名称、IP、类型为条件）；

GIS地图

GIS地图显示

★以GIS地图为背景，显示设备分布情况和状态信息；

GIS地图支持6级以上缩放；

防火墙策略

全局对象管理

包括地址、区域、服务、时间和内容过滤对象等的编辑；对象分发

防火墙策略编辑和下发

支持包过滤策略、访问控制策略、NAT策略、内容过滤策略、带宽控制策略；防病毒策略参数、反垃圾邮件策略参数和防火墙参数的统一配置；支持策略分组。

策略集中编辑和下发

可以手工创建策略；策略按域制定；可将策略下发并应用到所选设备（可多台）或域；支持定期将指定的设备（可多台）进行下发

阈值监控策略

可设置防火墙的CPU、内存、连接数和接口流量阀值 ，超限后自动报警。

防病毒策略

防病毒策略

包含网页扫描、SMTP/POP3扫描、 IMAP扫描、反垃圾邮件, FTP扫描、蠕虫防护等策略定义

设备安全体检

策略合规性评估

★检查策略配置是否符合规范，包括接口命名、地址对象命名等，命名规范可按需定义

策略安全风险评估

★检查策略中是否有安全隐患，如是否包含any或0.0.0.0的地址对象，是否至少配置了一条阻断策略等

原始口令检查

检测是否修改厂商初始密码。支持周期监控

设备监视

设备监视

在线状态的监视，及详细信息的监视（系统资源、接口流量等）；

在子域结点中显示该域内所有下级设备的活跃数；

批量监视

通过分析设备健康记录判断设备运行状态；同时监控多台设备的接口信息；支持监视数据存储、回放

TOP N

支持对监控的设备进行“TOP N”排序

IPS事件TOP N

N可设置：范围5－20；

TOP N包括：

1、事件最多的源IP

2、事件最多的目的IP

3、发生次数最多的事件

4、事件最多的IPS设备

统计时间可设置：范围10分钟－1天；

可以指定1、2、3的统计设备

威胁分析统计

图形化显示历史威胁统计，内容为：所有攻击发生次数；

统计时间可设置：范围1小时－1天

NETFLOW流量监控

支持NETFLOW V5和V7版本协议；指定范围内的TCP等协议流量信息 ；查看指定时间范围内当前TOPN个IP的流量；查看指定时间范围内当前TOPN个端口流量；

设备流量监控

★必须支持管理机房现有内网防火墙。（提供本设备制造厂商和现有防火墙厂商的技术可实现证明书，加盖双方公章）

动态隧道

支持设备动态隧道管理

★下发虚拟路由策略支持隧道冗余

CA管理

本地CA功能

为设备生成、更新、发放证书。

为VRC生成、更新、发放证书。

为管理员生成、更新、发放证书。

证书验证与CRL文件管理

第三方CA功能

★为设备导入/更新第三方CA生成的证书

★验证设备和VRC身份。

支持通过OCSP协议验证设备和VRC身份。

支持第三方根证书和CRL导入。

支持通过HTTP、LDAP协议自动下载CRL。

日志管理

设备和IPS日志接收及存储

支持设备和IPS日志的接收和存储，以及系统日志的存储和转发。

日志查询

对系统、设备和IPS日志进行详细的按关键字查询

设备日志数据库备份和恢复

根据设定的容量或者时间周期，增量备份或者循环覆盖备份日志；可以手工恢复日志；

报警

报警方式对象管理

为每个对象选择报警方式包括邮件、WINPOP、SNMP、管理器显示、短信、调用外部应用程序、向上级服务器发送、向下级服务器发送；可添加多个对象；

报警功能

根据定义的报警条件，产生报警；

报警条件有VRC用户上下线，设备上下线信息，隧道连通断线信息，监控阀值、NETFLOW流量等等。

IPS报警接收

接收入侵检测系统、IPS的SNMP TRAP报警信息

报警信息浏览

根据关键字查询和浏览历史报警信息

软件升级

设备及VRC软件升级

对设备和VRC的升级补丁进行管理；可直接为设备进行升级；也为VRC提供下载升级服务。

升级检测

TP根据设备的版本号判断是否有设备需要升级，如果有需要升级的设备，则提示用户。

IPS规则库自动升级

指定升级URL，升级周期1－30天，或者不升级；

病毒库升级

可以手工或者任务调度方式升级病毒库

用户管理

管理员管理

基于角色的权限划分和管理。

三权分立模式

支持审计类、监控类、管理类三类用户，提供对系统用户行为的审计能力

统计分析

报表统计模版管理

统计信息的子模版包括设备日志、系统日志、NETFLOW流量、报警信息、系统运行状态、IPS事件日志和流量、VONE流量、防病毒网关统计报表等；针对子模版具备TOPN排列功能；可管理多个模版；

统计报表输出

提供统计功能，并可以打印统计报表。

支持PDF格式、WORD/EXCEL格式导出报表；

支持批量导出报表；

可以针对单台或多台网关的信息进行统计和描述，也可以针对整个网络信息进行统计和描述。

报表形式

报表支持列表、饼图、柱状图、曲线图等多种图形组合的方式显示

报表统计方式

日、周、月和自定义时间段

高可靠性

服务器配置备份和恢复

可实现服务器配置备份。

可实现配置恢复。

可实现设备日志备份与恢复。

服务器级联

支持TP服务器分布式部署，下级上传关键数据；向下级服务器发送设备升级包、IPS规则库补丁、IPS描述库补丁、防火墙策略、IPS策略、VPN策略模板和报警信息

资质要求

公安部公共信息网络安全监督局

★计算机信息系统安全专用产品销售许可证

国家保密局涉密信息系统安全保密测评中心

★涉密信息系统产品检测证书

中华人民共和国国家版权局

计算机软件著作权登记证书

指标项

指标要求

设备形态

★1U机架式架构；标配4个10/100/1000BASE-TX接口；四层新建：3W，七层新建：6W，整机吞吐量：500Mbps，最大并发连接数：100W。3年质保和原厂服务。

高可用性

★内置冗余双系统，可升级可回滚互为备份，主系统故障时自动切换至备份系统。（提供截图，并加盖厂商公章）。

集群部署支持AS/AA模式，支持集群设备之间会话同步，最多支持32台负载均衡设备的集群。

支持PPPoE拨号链路集群部署，支持集群设备之间配置同步，备机无需重启即可让同步配置生效。

支持IPV6/IPV4双栈接入，支持NAT66、NAT64、NAT46，可对过渡型网络进行负载均衡。

基本功能

设备集成TCP协议优化、WEB压缩缓存、带宽管理、防火墙、抗DDos攻击等功能，可扩展硬件SSL卸载卡。

服务器负载均衡

提供L4-L7层内容交换服务器负载功能，单一设备上支持多个应用和服务器群组，可根据多种算法和要求调度用户的访问请求。

★提供L2-L3层服务器负载功能，支持防毒墙、VPN等网络安全设备负载均衡，支持三明治模式。（提供截图，并加盖厂商公章）

服务器健康检查采用主动健康检查和被动健康检查相结合的方式。

主动健康检查类型包括http、https、tcp、tcps、icmp、dns、pop3、smtp、snmp、script-tcp、script-udp、script-tcps等。

★被动健康检查支持基于失效HTTP响应状态码（HTTPcode_check）和基于TCP协议RST关闭连接异常检测 (TCPRST_check)。（提供截图，并加盖厂商公章）

支持与VMware vSphere深度联动，协助vCenter智能调度虚拟服务器资源。

★提供URL带宽设置和URL统计功能。支持对应用服务发布的URL分别设置上下行带宽限制阈值和上下行带宽保障阈值；支持对应用服务发布的URL访问次数和报错信息进行统计，支持按照输入输出流量分别统计业务URL  Top10排名 。（提供截图，并加盖厂商公章）

至少支持20种以上服务器负载均衡算法包括：最小连接数、轮询、加权轮询、SNMP、最快响应、哈希、Persistent IP、Persistent Cookie、Qos Cookie、Qos URL、Persistent URL、Persistent Hostname、Qos Hostname、Insert Cookie、Rewrite Cookie、Hash Cookie、Hash Header、SSLSID、Hash IP、Consistent Hash IP等。

全局负载均衡

★全局负载均衡算法包括：轮询算法(GRR)、加权轮询算法(VWGRR)、连接溢出(GCO)、最小连接数(GLC)、IP优先(IPO)、全局就近性算法 (PROXIMITY)、区域算法(REGION)等。（提供截图，并加盖厂商公章）

业务交付优化技术

支持图片优化技术，可基于图片像素进行压缩，提升web页面图片加载速度。

内置防火墙访问控制功能，支持DDOS攻击防护。(提供截图)

配置管理

提供配置向导功能，通过配置模板快速完成设备相关配置。

提供日志审计功能，支持邮件报警和短信报警。

提供故障诊断接口，主动对通过设备的数据包进行实时抓取分析，支持抓包结果以文件形式导出并与Wireshark 、Sniffer等平台对接。

产品资质

★具备国家版权局颁发的《计算机软件著作权登记证书》（需要提供证书复印件，并加盖厂商公章）

★制造商具备TL9000证书（需要提供证书复印件，并加盖厂商公章）

指标项

指标要求

等保测评服务

对信息系统进行等级保护差距测评，测评内容包括物理安全、网络安全、主机安全、应用安全、数据安全及备份、安全管理。客观的分析信息系统保护现状和信息安全等级保护基本要求之间的差距。完成信息安全等级保护的测评，提交信息系统的测评报告至本地公安等保办，完成等级保护测评工作。

信息安全风险评估

★对信息资产面临的威胁、存在的弱点、造成的影响以及三者综合作用而带来风险的可能性进行评估。

安全基线核查服务

对整体的安全基线进行核查。应至少包含技术与管理两个视角。技术视角针对：物理环境、网络架构、应用系统、数据系统、系统软件等。管理视角针对：管理制度、管理机构、人员管理、建设管理、运维管理等视角进行人工核查。

安全巡检服务

定期对网络运行状态进行定期检查和分析，能够及时把握客户网络运行情况，发现网络运行中的隐患问题，减小或规避应急响应事件的发生，减小网络故障对日常使用的影响。主要包括：病毒防范措施检查、网络状态检查、设备性能检查、网络流量分析、安全策略检查、安全通告服务等。

应急响应服务

针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全属性。

驻场安全服务

★针对用户信息业务系统特点与驻场安全需求，充分了解用户信息系统当前安全威胁现状。为用户提供全面、可靠的驻场安全服务，以发现信息业务系统存在的安全风险、保障业务系统的有效性、完整性、可靠性。最大限度降低控制客户业务安全风险，提高客户业务系统安全运营核心优势。

序号

采购名称

采购说明

数量

单位

1

电子印章制作系统

电子印章制作系统提供电子印章的制作相关服务；获取电子印章CA证书、获取电子印章唯一赋码，制作印章并同步发布印章到状态发布系统,并完成与省级印章系统对接。

1

套

2

电子印章状态发布系统

电子印章状态发布系统提供电子印章的状态发布、查询、下载及变更服务；验证印章实时状态判定印章是否吊销、变更、挂失、注销等印章有效性检查。

1

套

3

电子印章应用系统

与多个业务系统进行集成。

1

套

4

电子印章数字证书管理系统

数字证书发放管理系统，为电子印章提供认证服务

1

套

5

签名验签服务器

提供签名加密服务，服务于电子证照签章应用。

2

台

6

密码机

提供密钥生成、密钥管理、证书签名，为电子印章制作系统、状态发布系统等提供印章制发的证书签名、验签等服务支持。

2

台

7

时间戳服务器

时间戳服务器与国家授时中心时间同步，通过标准接口提供可信的标准时间，保障时间的真实性、完整性、不可抵赖性。用于电子印章应用系统。

1

台

8

电子公章

单位电子公章

400

个

9

电子签名章

个人电子签名章

700

个

10

系统对接

和省、市一体化平台、互联网监管平台、工程建设审批平台、好差评、信用评价等系统对接。