序号

产品名称

描 述

数量

1

安全网关系统

（核心产品）

标准机架式机箱，不小于2U，双冗余电源，不少于30个千兆接口，其中SFP接口数量不少于12个。

★最大吞吐量不小于10Gbps，并发连接数不小于3,000,000，每秒新建连接数不小于60,000

IPv6/IPv4双协议栈，支持IPv6下的路由、NAT、包过滤、入侵防御、病毒检测、行为管理、会话管理等功能。

支持根据连接数对IP进行实时排行。支持对虚拟环境的数据流进行全策略控制。支持将源MAC作为独立的访问控制条件，防止非法设备接入。

支持基于应用的策略路由，可实现为不同的应用类型智能选择相应的链路。支持基于 WEB地址URL的策略路由，可实现将不同类型的网站流量智能分配到不同的链路。支持基于文件类型的策略路由，可实现将预定义或者自定义的文件按照不同的分类进行智能选路。

支持ISP路由，支持联通、电信、教育网、移动等ISP服务商地址列表，列表可导出及导入，可通过Web界面选择不同的ISP服务商实现快速切换。

支持细粒度的自定义IPS特征功能，要求支持DNS\HTTP\FTP\TFTP\TELNET\SNMP\POP3\SMTP\IMAP\等17大类应用层协议的自定义，可以精准设置各个协议字段内容，例如字符内容、偏移、长度等细粒度的参数。

支持HTTP类攻击重定向功能，能够把HTTP协议的攻击类型重定向到指定蜜罐系统，便于对攻击进行审计与分析（提供界面截图）。

支持对主流数据库基于用户的细粒度权限控制，实现对数据库服务器的保护。

支持入侵场景保留，可记录入侵行为相关的网络数据报文。

支持多接口可旁路的病毒文件传输监听检测方式，可并行监听并检测多个网段内的病毒传输行为，用于高可靠性要求的旁路应用环境。支持病毒感染主机分析与隔离，防止病毒进一步扩散，提高网络整体安全性。

支持依据协议、源目的端口、二进制特征码等条件自定义应用。

支持URL分类智能学习，可通过对已分类网站自动学习分类关键字，实现对未知网页的识别。

支持工业协议控制，支持协议的完整性检查，支持协议分片的控制。支持工业动态协议的NAT和访问控制。

针对内网应用环境，支持自定义升级服务器及服务器地址配置，保证同步更新。

提供3年原厂质保。

★为保证产品兼容性要求与日志审系统同一品牌。

★提供三年IPS特征库及病毒库升级服务。

提供三年原厂质保承诺函。

1

2

运维安全网关系统

专用安全操作系统，软硬件一体化，标准机架式设备，双冗余电源；。

至少支持6个千兆电口；

物理存储不小于1TB；字符协议并发会话数不低于1000个，图形协议并发会话数不低于300个；最大可管理设备数不少于500个，配置50个管理对像授权。

物理旁路，逻辑串联模式，不影响正常业务流量；

分布式部署：支持添加一台或多台协议代理服务器，分担审计中心性能压力；并支持通过不同的协议代理服务器节点访问不同的资源，多协议代理服务器节点可访问相同资源时实现自动负载均衡。

支持web页面防跳转功能，进行http/https访问过程中，运维人员仅允许访问授权地址。

深度解析：oracle,postgresql,sybase,mysql,sqlserver数据库下行返回行数和oracle数据库变量绑定。。

支持运维客户端功能，运维操作过程不依赖浏览器和JAVA环境。

支持TELNET、SSH协议使用SecureCRT工具批量登录目标资源。基本认证：本地账号+密码认证；内置USB-KEY和动态口令卡，无需再单独配置服务器；短信认证（支持短信中间表和短信网关方式：中国移动CMPP2.0和中国联通SGIP1.2标准）吉大正元证书认证；北京数字证书认证；格尔证书认证；其它外部认证支持Windows AD/RADIUS/LDAP；支持多种认证方式组合的双因素认证，可自定义组合，且每个用户可单独设置。

RDP协议支持windows服务端开启安全层SSL加密，加密级别符合FIPS标准，允许运行使用网络级别身份验证的远程桌面的计算机连接。

RDP图形操作过程中键盘输入操作记录和鼠标点击行为记录，支持开启或关闭键盘输入审计功能，支持RDP窗口标题审计，并支持窗口标题内容检索定位回放。

支持运维用户使用有效期配置；支持运维用户客户端IP和MAC限制。审计查询关键字和结果显示支持多种编码(UTF-8、Big5、EUC-JP、EUC-KR、GB2312、GB18030、ISO-8859-2、KOI9-R、KS_C_5601_1987、Shift_JIS、Window-874)，由用户自主选择。

页面下载系统相关软件，系统自带环境监测工具，无需手动安装产品证书及控件。

支持自动改密且自动改密功能支持Linux、Unix、Windows（采用RPC方式）、AIX以及Oracle、SqlServer、PostgreSQL、MySql、DB2、Informix 、SYBASE的内置自身账号密码

支持自定义运维审计自身默认端口。

★为保证兼容性要求与日志审计系统为同一品牌。

★必须提供针对本项目不低于三年原厂质保函；

1

3

网络审计系统（支持数据库审计）

软硬件一体化产品；标准机架式设备，不小于2U，双冗余电源；操作系统采用专用安全操作系统，具备自主知识产权；硬盘不小于2T，支持RAID,不少于6个千兆电口。

系统审计事件每秒入库速度至少在8000条/秒以上，日处理审计事件数至少10000万条；

支持对Oracle、SQL-Server、DB2、Informix、Sybase、MySQL、PostgreSQL、Teradata、Cache、人大金仓KingBase、神州通用(OSCAR)、达梦(DM)、南大通用(GBase) 等数据库进行审计。

支持访问数据库的源主机名、源主机用户、SQL操作响应时间、数据库操作成功、失败的审计；

支持对Oracle数据库状态的自动监控，可监控会话数、连接进程、CPU和内存占用率等信息；

支持数据库绑定变量审计、访问数据库的源主机名、源主机用户的审计、SQL操作响应时间的审计、Select操作返回行数与返回信息的审计的审计

支持数据库操作类、表、视图、索引、触发器、存储过程、域、Schema、游标、事物等各种对象的SQL操作审计。

支持审计网络邻居的用户名、读写操作、文件名等

支持审计NFS协议的用户名、文件名等。

支持审计Radius协议的认证用户MAC、认证用户名、认证IP、NAS服务器IP。

支持HTTP、HTTPS、SMTP、POP3等协议的审计

支持IP-MAC绑定变化情况的审计。

系统应内置规则集，对数据库DML、DCL、DDL等语句及FTP、Telnet等协议中的命令进行归类，便于用户定制审计策略。

支持Rlogin、Radius、NFS、X11等协议审计

支持对针对数据库的XSS、SQL注入攻击行为进行审计。

提供对数据库返回码的知识库和实时说明，帮助管理员快速对返回码进行识别

支持数据库并发会话数、并发进程数、并发用户数、并发游标数、并发事务数、数据库锁等超过限制的审计。

提供管理员权限设置和分权管理，提供三权分立功能，系统可以对使用人员的操作进行审计记录，可以由审计员进行查询，具有自身安全审计功能。

★三年原厂质保服务。

★为保证兼容性要求与日志审计系统为同一品牌。

★必须提供针对本项目不低于三年原厂质保函；

1

4

终端管理软件（客户端杀毒软件）

支持基于802.1x协议的网络准入控制。基于802.1x网络准入控制需要同时支持有线网络和无线网络接入。且至少应支持用户、终端安装及终端安全状态等多因素认证。

支持安卓、IOS等移动平台无线、支持windows或linux系统自带第三方802.1x准入认证。

具备专用的准入控制硬件设备，能够实现对访问关键业务系统或服务器的终端，执行基于硬件的准入控制，并实现阻断其接入。支持透明接入和旁路接入。

支持进程及软件安装红名单、黑名单和白名单检测，支持杀毒软件安装及病毒码更新检测，支持终端服务管理及组策略设定。

支持自动收集终端软、硬件资产信息，支持自动下发补丁，支持自定义软件分发。

支持对终端进行远程桌面支援，支持对终端进行短消息发布，支持共享资源管理，支持屏幕保护策略、支持远程远程桌面管理。

支持基于IP、进程、端口和协议以及对安全基线检测状态的终端网络访问控制。

支持对终端移动存储设备进行加密管理，做到U盘专网专用，防止涉密信息泄漏。

支持基于关键字、正则表达式、文件指纹、文件MD5值、文件类型、文件大小、自动分级分类的涉密信息文件发现

支持敏感文件扫描、文件拷贝、剪切板、QQ、邮件、WEB、FTP以及自定义应用程序等方式外发的管控与审计。

可自定义快速扫描、全屏扫描的工作时间，支持移动设备接入扫描

支持防病毒功能，支持清除、隔离两种病毒处理方式，支持目录与文件的白名单设置。

提供自动更新和手动更新两种病毒库更新方式，可自定义自动更新病毒库的时间周期。

支持级联管理，级联管理支持的级联关系可以无限级联，级联级数不受数量限制,支持管理的计算机终端数量可以无限扩展。支持级联授权拆分管理。

支持客户端升级支持智能升级框架，无需借助单独的升级程序，即可以实现新版本的整体升级，也可以实现同一版本的个别模块单独升级

资源占用小，Agent占用的CPU利用率应< 1％，Memory占用大小应< 50M。网络性能影响要求：系统运行后，对网络性能基本无影响。

配置90管理节点授权。

★提供三年软件升级服务。

★提供三年病毒库升级服务。

1

5

网闸

2U标准机架式；采用 “2+1”系统架构，即由两个主机系统和一个隔离交换矩阵组成。

不少于12个10/100/1000M自适应电口，包含内外网独立的管理口。

整机吞吐量不小于1Gbps,并发连接数不小于10万,延时小于1ns。

主机系统采用具有自主知识产权的多核多线程ASIC并行操作系统平台，并提供该安全操作系统的软件著作权作为证明；

内外网主机系统分别支持双系统引导，并可在WEB界面上直接配置启动顺序，在A系统发生故障时，可以随时切换到B系统；且支持系统备份；支持设备健康状态实时自我检测，并能够进行正常/异常状态指示，且能在异常状态下进行声音报警。（提供证明文件）

支持IPV6/IPV4双栈接入；

支持基于动态令牌的双因子认证方式；（提供证明文件）

支持WEB认证方式和专用客户端两种认证方式；（提供产品功能界面截图证明）

可对用户的操作系统和进程进行检查，进行准入控制；

支持文件交换、数据库同步、数据库访问、安全浏览、FTP访问、邮件传输、定制访问、二次开发、流媒体传输等基本功能；

为实现不同平台级连，必须支持视频共享平台SIP控制协议，支持公安部国标GB/T-28181协议，提供公安部检测报告。

编码格式支持M-JEPG，MPEG4、H.264、H.323；适用码流：20Kbps~8Mbps高清；

支持视频服务器认证，有效保证非法视频服务器不能接入用户的内部网络；

支持海康、大华、科达、H3C、互信先进视讯、华为3COM、天视、星望视频等多种主流视频控制协议；

支持视频会议；支持DB33标准；

支持配置同步；支持主、备状态实时展示；支持全中文日志显示；

支持FTP方式上传日志；

支持图表实时显示网口流量、CPU状态、内存状态信息；

支持病毒检测专用模块，支持自动/手动两种升级模式；

采用自有知识产权的病毒防护引擎，包括病毒检测引擎和病毒分析引擎（提供相关专利证明）

支持实时入侵检测功能；

支持抗DoS、DDoS攻击功能；

★为保证产品兼容性要求与日志审系统同一品牌。

★产品必须无国家质量监督部门质检不合格记录。

★提供三年原厂质保。

必须提供针对本项目不低于三年原厂质保函。

1

6

服务器主机杀毒系统

提供10个资产授权。支持多语言安装方式，支持远程安装控制台；

支持多级系统中心，并能够对每级系统中心及所属客户端进行统一升级、统一管理； Agent软件支持32位和64位的Windows系统和Linux系统。

支持将暴力破解攻击源加入IP黑名单的响应处置，支持从黑名单列移除终端。

支持基于业务域的应用角色访问策略的显示,支持访问拒绝事件的日志告警。

支持全网统一自动升级，不需要人为干涉，支持病毒库无缝主动式智能升级，增量升级，以减少升级时带来的网络流量；

支持多种病毒报警方式，包括发送到管理控制台、声音报警、发送邮件、显示消息框、报告给上级系统中心等。

支持实时监测攻击事件，持续监测终端的安全告警事件，综合分析各类安全事件日志，及时发现安全威胁，分析终端安全状况。

支持对僵尸网络文件的响应处置，包含文件隔离、删除、恢复的动作。

1

7

机房改造

精密空调出风口更换温控通风地板；网络设备间监控值班室更换防静电地板：总厚度4cm，防静电陶瓷面层1cm，带花纹，双层（上、下）钢板厚度≥0.5mm和0.6mm,加厚配件，支架；热镀锌钢板厚度4mm,龙骨；热镀锌方管1mm厚，规格为25mm*20mm,25mm*15mm.抽样检测（电阻测试、载重参数测试，防火性能测试等）必须能满足国家规范标准要求。

配电箱更换部分断路器（施耐德2P C50A五个，1P+N C20A带漏电保护十个）；

监控：四个网络摄像头POE供电，半球红外夜视，200万像素，3.6mm；5口POE供电千兆交换机；

1

8

日志审计

标准机架式机箱，不小于2U，原厂一体化设备，配置冗余双电源；不少于6个10/100/1000M电口，日志处理性能(平均)不小于3000EPS（约合每天130GB）,存储容量不小于2TB；

支持SNMP Trap、Syslog、ODBC\JDBC、文件\文件夹、WMI、FTP、SFTP、NetBIOS、OPSEC等多种方式完成日志收集功能. 支持新增Lotus Domino的日志采集任务；

新增CheckPoint的日志采集任务系统具备资产管理功能；

系统提供基于资产的拓扑视图，可以按列表和拓扑两种模式显示资产拓扑节点；可查看每个资产设备本身产生的事件信息、关联告警信息，并且支持向下钻取，直接进入事件列表、关联告警列表；能够根据收到的事件的设备地址自动识别新的资产并自动添加到资产库中。

系统必须内置基本的仪表板。用户可以在工作台中自定义仪表板，按需设计仪表板显示的内容和布局，可以为不同角色的用户建立不同维度的仪表板；

仪表板中的每个显示区域都能够放大、缩小、拖动。

对不支持的事件类型提供可扩展功能；支持长安全事件格式；对日志设备类型、日志类型、日志级别等可进行重定义；

日志可加密压缩传输 支持加密压缩方式转发，定时转发；支持对日志的过滤和合并；合并支持设定合并的时间范围；

支持日志源管理功能，对断点日志源可以产生告警；并提供基于任务模式的日志导出功能。

系统需内置不同分析场景，包括各种实时分析场景、历史统计场景、实时统计等。并支持支持自定义场景；

可以手工对选中日志进行告警或者加入观察列表中；

可以对选中的日志提供在线/离线地图定位、视网膜图、事件拓扑图等多种分析工具；

统计分析模式下支持柱状图、饼图等形式的统计信息可视化展示；根据统计结果可直接钻取符合条件的日志。

提供实时和历史2种关联分析功能；

提供基于图形化方式的规则编辑器；规则可导入导出；

所有事件字段都可参与关联，规则可实时启用和停用。

支持告警重定义、邮件、短信、执行命令脚本、设备联动、发送Syslog

能够显示告警状态雷达图，日志趋势曲线图；最近事件览图；最近一段时间不同日志分类的日志数量，不同等级的日志的数量，事件EPS曲线。

内置报表模板，可预览、导出；系统内置报表编辑器，可以自定义报表。

支持报表调度，即报表可设置首次生成时间和间隔生成时间，生成后可指定直接发送到接收人邮箱。内置事件编码知识库,能够查看系统内置的事件库中事件类型名称及其描述信息。

★提供三年原厂质保服务。

★必须提供针对本项目不低于三年原厂质保函。

1

9

精密空调

恒温恒湿下送风系统,最低参数：总制冷量17KW,显冷量15.3KW,风量4500m³/h，能效比≥2.9，加热量4.5kw，加湿量2.5kg/h；

室内机尺寸不大于（宽*深*高）800*650*1880；高可靠性、高灵活性、全寿命低成本；可拆卸搬运的结构，100%全正面维护，节省机房占地空间；采用Copeland高效涡旋式压缩机，R410A环保冷媒；直联风机设计，电极式加湿器，直接采用自来水，具有自动清洗功能，能快速产生纯净蒸汽，检修时不用停机；大屏幕全中文图形显示屏；全新的风冷全调速冷凝器，噪声低），原厂两年以上质保。

1

10

门禁系统

指纹密码读卡一体机2.0寸高清彩屏；指纹模板容量：1500枚；记录数：80000；防拆报警，非法开门报警，门未关好报警和胁持报警，TTL输出，内置Mifare读卡器；4*4机械按键（含门铃按键）；

高级门禁；包含硬件门磁、报警、开锁、出门开关、线材等；标配wiegand输出（选配输入）；U盘功能：支持上传下载考勤数据及短消息功能通讯方式：TCP/IP 或RS485比对速度：＜=0.5 秒；FRR：＜=0.01%；FAR：＜=0.0001%Weigand In 功能：可外接读头

语言选择：多国语言版本，电插锁：高强度铝合金及不锈钢；门或锁侦察信号输出；断电开门；内置反向突波保护功能；五十万次老化测试合格；超低功耗及超低温线圈设计；180度双向开门；权威认证：欧盟CE认证、中国公安部MA认证。

1

11

平台管理工作站

国内知名品牌I7-770/16G/2T，SATA/512G SSD，P400 2G独显，21.5’显示器投标时提供设备厂家针对本项目的授权函、质保函原件。

为保证服务效率要求提供厂家级本地化服务.

1

12

应用服务器

国产标准2U机架式服务器，非OEM产品；处理器：2颗Intel XeonE5-2620v4(2.1GHz/8c)/8GT/20ML3；内存：本次配置64GB DDR4－2133 内存，≥24个内存插槽，最高支持1536G内存；支持高级内存纠错、内存镜像、内存热备等高级功能；硬盘：本次配置2块ssd 512G， 4块2TB硬盘；最大支持25个前置2.5寸或12块前置3.5寸热插拔SATA/SAS接口硬盘或固态磁盘，可支持4个后置2.5寸热插拔SATA/SAS接口硬盘或固态磁盘；

RAID:INSPUR 八通道高性能 SAS RAID卡（2G） ，支持RAID 0/1/5/6/10/50/60；网络：配置2个高性能千兆以太网控制器，支持虚拟化加速、网络加速、负载均衡、冗余等高级功能，可支持FLOM技术网卡，可选择集成双千兆、双万兆等多种配置；

I/O插槽：支持8个PCI-E3.0插槽，支持6个全长全高；

外置接口：后置2个USB 3.0接口、1个VGA接口,前置1个USB 3.0接口 1个VGA接口,内置2个USB 3.0接口、1个内置串口；

外设：导轨；电源：高效冗余热插拔电源；标配白金级双电源，支持PMbus功能，实现Node Manager 3.0功能；可选配热插拔单电机型；认证：通过ISO9001、ISO14001、ISO27001、ISO20000、GB/T28001、国家环境标志产品认证、国家节能产品认证，并提供认证证书复印件；管理：集成系统管理芯片，支持IPMI2.0、KVM over IP、虚拟媒体等管理功能；服务器原厂配置中文版管理软件，提供软件安装介质和软件著作权证书复印件；支持Windows/Linux系统跨平台管理；跨网段的集中管理，可生成资产报表、管理员日志、进程日志等，支持远程顺序启动服务器，可以远程监控运行状态、多重告警等功能；服务器原厂配置中文正版数据安全保护软件，提供软件安装介质和软件著作权证书复印件；保护服务器数据安全；

服务和质保：原厂三年质保服务；7x24小时免费上门服务，7x24服务热线；

投标时提供设备厂家针对本项目的授权函、质保函原件。为保证服务效率要求提供厂家级本地化服务.

1

13

测评服务

测评的内容包括但不限于以下内容：

安全技术测评：包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评；

安全管理测评：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。

（1）、物理安全

根据临沂市中心血站信息系统机房和现场安全测评记录，针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进行，判断出与其相对应的各测评项的测评结果。

（2）、网络安全

根据临沂市中心血站信息系统网络安全测评记录，针对网络方面在“结构安全”、“访问控制”、“安全审计”、“边界完整性检查”、“入侵防范”、“恶意代码防范”、“网络设备防护”等网络安全方面所采取的措施进行检查，判断出与其相对应的各测评项的测评结果。

（3）、主机安全

主机安全现场测评包括对临沂市中心血站信息系统服务器的测评，测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“剩余信息保护”、“入侵防护”、“恶意代码防护”、“资源控制”。

（4）、应用安全

应用安全现场测评包括对临沂市中心血站信息系统的测评，测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“剩余信息保护”、“通信完整性”、“通信保密性”、“抗抵赖”、“软件容错”、“资源控制”方面。

（5）、数据安全及备份恢复

临沂市中心血站信息系统数据安全及备份恢复现场测评包括“数据完整性”、“数据保密性”、“备份和恢复”几个方面的测评。

（6）、安全管理制度

根据现场安全测评记录，针对临沂市中心血站信息系统在安全管理制度方面的“管理制度”、“制定和发布”以及“评审和修订”等测评指标，判断出与其相对应的各测评项的测评结果。

（7）、安全管理机构

根据现场安全测评记录，针对临沂市中心血站信息系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标，判断出与其相对应的各测评项的测评结果。

（8）、人员安全管理

根据现场安全测评记录，针对临沂市中心血站信息系统在人员安全管理方面的“人员录用”、“人员离岗”、“人员考核”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标，判断出与其相对应的各测评项的测评结果。

（9）、系统建设管理

根据现场安全测评记录，针对临沂市中心血站信息系统在系统建设管理方面的“系统定级”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“系统备案”、“等级测评”以及“安全服务商选择”等测评指标，判断出与其相对应的各测评项的测评结果。

（10）、系统运维管理

根据现场安全测评记录，针对临沂市中心血站信息系统在系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备管理”、 “网络安全管理”、“系统安全管理”、“恶意代码防范管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”以及“应急预案管理”等测评指标，判断出与其相对应的各测评项的测评结果。

    通过现场测评，逐项找出系统现状与国家相关标准要求之间的差距，进行逐项分析、整体分析，给出差距分析报告，并给出整改建议方案。

1