采购项目技术、商务及其他要求

序号

产品名称

技术参数

数量

单位

1

日志审计

1. 标准机架式设备，千兆电口≥6个，console口≥1个，硬盘≥1T，单电源，支持≥15个日志源的审计能力，平均处理能力（每秒日志解析能力EPS）≥200EPS；

2. 支持双因子认证登录，双因子认证令牌支持绑定至具体用户；

3. 内置安全分析场景功能不少于五种。（提供web功能界面截图并加盖鲜章）用户在添加资产时，能够支持自动发现和识别资产，提供web功能界面截图并加盖鲜章；

4. 支持通过资产、安全知识库、弱点库三个维度分析事件是否存在威胁，并形成关联事件；

5. 采用解决方案包上传对产品进行功能扩展，无需要代码开发；

6. 支持kafka日志接收转发、大数据安全域同步、APT沙箱报告转发等大数据联调功能；

7. 产品提供三年免费质保服务；

8. 产品通过公安部检测并获得公安部计算机信息系统安全专用产品销售许可证，提供证书复印件并加盖鲜章；

9. 产品获得中国网络安全审查技术与认证中心颁发的认证证书，提供证书复印件并加盖鲜章；

10. 产品制造商获得软件能力成熟度集成模型CMMI5证书，提供证书复印件并加盖鲜章；

11. 产品制造商获得国家信息安全测评信息安全服务资质证书（安全工程类三级），提供证书复印件并加盖鲜章。

1

台

2

主机安全管理系统

1. 该产品为软件形态，包含1套管理控制中心，支持≥6台服务器防护软件授权。为满足国产化，软件是在中华人民共和国境内开发，具备自主知识产权证书，提供证书复印件并加盖鲜章；

2. 支持Windows server 2003、Windows server 2008、Windows server 2012、Windows server 2016、win xp 、win 7、win 8、win 10、Centos 5.0 +、Redhat 5.0 + 、Suse11 +、Ubuntu 14 +、华为泰山、中标麒麟、银河麒麟、凝思等操作系统；

3. 提供专门的针对未知勒索病毒的防御引擎，并提供功能开关项。对于未知勒索病毒确保无法加密，提供web功能界面截图并加盖鲜章；

4. 支持对CPU使用率监控、内存占用率监控、磁盘读写监控、上下行流量监控，在达到配置阈值时报警；

5. 支持对移动存储设备的行为监控、权限管理、行为审计。支持对插入外设进行统一管理，需要进行设备注册才能插入使用；

6. 具有系统漏洞扫描和修复功能，提供真实漏洞补丁，提供web功能界面截图并加盖鲜章；

7. 产品提供三年病毒规则库免费升级服务

8. 产品通过公安部检测并获得公安部计算机信息系统安全专用产品销售许可证，提供证书复印件并加盖鲜章；

9. 产品制造商获得软件能力成熟度集成模型CMMI5证书，提供证书复印件并加盖鲜章；

10. 产品制造商获得国家信息安全测评信息安全服务资质证书（安全工程类三级），提供证书复印件并加盖鲜章；

11. 网络勒索病毒保险服务：该保险服务针对已经安装终端杀毒软件主机进行担保，在保单条件内发生网络勒索病毒安全事件，为可能减少财务损失、名誉损失，及时获得经济补偿，恢复生产经鉴定无误报理赔保险公司进行结算并支付赔款。本项目提供一年网络勒索病毒保险服务（赔付金额≥20万元人民币）。

1

套

3

高级持续威胁检测告警平台

1. 标准机架式设备，千兆电口≥6个，硬盘≥1T，单电源，网络层吞吐量≥500Mbps，应用层吞吐量≥100Mbps，Web检测能力≥1万/秒，邮件检测能力≥50万封/24小时，文件检测能力≥1万/24小时。

2. 支持解析HTTP、FTP、SMTP、POP3、SMB、IMAP、DNS、Mysql、MSSQL、DB2、Oracle、HTTPS、SMTPS、POP3S、IMAPS等协议报文。

3. 可自动对内网主机进行威胁指数分析。

4. 支持SQL注入、命令注入、跨站脚本、代码注入、协议错误攻击检测。支持场景化的分析能力，对发现的告警进行二次关联、对勒索病毒、网站后门、邮件APT攻击等事件进行预警。（提供web功能界面截图并加盖鲜章）

5. 内置动态沙箱检测，至少可展示具体文件的行为、注册表行为、进程行为等信息。（提供web功能界面截图并加盖鲜章）

6. 支持将本地恶意文件攻击的病毒类型等信息上传到APT云端，提升协同防御能力。

7. 告警至少支持kafka、短信、邮件、syslog、snmp、ftp等方式。

8. 将检测到的攻击威胁行为，可与WAF、EDR等产品进行联动防御。（提供web功能界面截图并加盖鲜章）

9. 产品提供三年规则库免费升级服务。（投标人需提供承诺函并加盖鲜章）

10. 产品通过公安部检测并获得公安部计算机信息系统安全专用产品销售许可证，提供证书复印件并加盖鲜章。

11. 产品中国网络安全审查技术与认证中心颁发的相关认证证书，提供证书复印件并加盖鲜章。

12. 产品制造商获得软件能力成熟度集成模型CMMI5证书，提供证书复印件并加盖鲜章。

13. 产品制造商获得国家信息安全测评信息安全服务资质证书（安全工程类三级），提供证书复印件并加盖鲜章。

1

台

4

堡垒机

1. 默认含50个资源授权; SATA存储空间≥1TB; 单电源; 至少提供6个千兆电口；

2. 支持从windows AD域抽取用户账号作为主账号，支持一次性抽取和周期性抽取两种方式；

3. 支持windows系统、网络设备、linux/unix系统、数据库等设备账号的收集功能；

4. 支持一对一、一对多、多对多授权，如将单个资产授权多个用户，一个用户授予多个资产，用户组向资产组授权；

5. 支持密码文件备份功能，密码文件需密文保存，密码包及解密密钥分别发送给不同管理员保存；

6. 支持双人复核登陆，登录时必须经过第二人授权后才能登录，第二人可通过远程授权或同终端授权两种方式实现授权；

7. 支持自定义报表，可记录审计报表模板，可生成图形报表，并提供EXCAL、CSV、WORD、PDF、HTML等格式导出；

8. 支持手动和自动定期备份配置信息，支持配置信息本地备份及异地FTP备份；

9. 支持告警对外转发，转发方式支持syslog、SNMP等方式；

10. 全面支持Windows、linux、国产麒麟系统、Android、IOS、Mac OS等客户端；

11. 需支持HA，配置信息实时同步，配置过程在web界面完成；

12. 支持密码策略设置，可自定义密码复杂程度，可设置密码中包含数字、字母、符号及禁用关键字等内容；

13. 具有日志防溢出功能，当磁盘空间达到阈值时，可设置停止记录审计日志或日志回滚；

14. 公安部《计算机信息系统安全专用产品销售许可证》；

15. 国家版权局《计算机软件著作权登记证书》；

16. 中国网络安全审查技术与认证中心《IT产品信息安全认证证书》。

1

台

5

上网行为

管理

1. 配置千兆电口≥4个，支持bypass；网络吞吐量≥500Mb，支持带宽≥200 Mb、每秒新建连接数≥2400，最大并发连接数≥12W，支持用户数≥1500；支持网关、网桥、旁路模式部署；网关模式，支持NAT、路由转发、DHCP、GRE、OSPF等功能；

2. 针对内网用户的web访问质量进行检测，对整体网络提供清晰的整体网络质量评级，支持以列表形式展示访问质量差的用户名单，支持对单用户进行定向web访问质量检测（提供产品界面截图并加盖鲜章）；

3. 审计SSL网页时，支持加密证书自动分发功能，用户点击网页上的工具即可一次性安装完成。解决管理员给每台PC单独安装证书的问题；为了满足不同的认证需求，支持802.1x认证，支持二维码认证，管理员扫描访客的二维码后对其网络访问授权；

4. 能够对新浪微博、腾讯微博、网易微博等进行细分控制，如：登录、浏览、发微博、上传附件等。能够对teamview、QQ远程桌面等远程控制应用做细分控制，如：接受对方远程控制；能够对Github、百度网盘、百度文库等网络应用的上传动作进行细分控制；（提供产品界面截图并加盖鲜章）；支持细致的管理员权限划分，包括对不同用户组的管理权限、对各种主要功能界面的配置和查看权限；

5. 为实现精细化管理，基于“流量”、“流速”、“时长”设置配额，当配额耗尽后，将用户加入到指定的流控黑名单惩罚通道中；

6. 为保障全面管理用户上网行为，支持基于SSID维度的上网权限、上网审计、上网安全、终端提醒、和流控等策略。

7. 为了保证产品的安全稳定，要求上网行为管理产品具备信息技术产品安全测评证书（EAL3+）；（需提供相关资料证明并加盖鲜章）

8. 产品通过《网络关键设备和网络安全专用产品安全认证》

9. 产品具有工信部颁发的《电信设备进网许可证》

10. 为提高接入网络的上网终端的安全合规检查能力，使网络具备终端准入、终端识别、行为管控等能力，需要提供中国信息安全测评中心、公安部信息安全产品检测中心、国家版权局提供的“终端接入安全”相关证书

11. 产品具备公安部颁发的《网络通讯安全审计产品（国标） 销售许可证》。

1

台

6

网闸

1. 系统内部采用“2+1”模块结构设计，即包括外网主机模块、内网主机模块和隔离交换模块；标准1U机箱，单电源，系统吞吐量≥200Mbps； 内网侧：≥6个10/100/1000Base-T端口，1个Console口，2个USB口；外网侧：≥6个10/100/1000Base-T端口， 1个Console口，2个USB口；三年硬件保修。

2. 支持双系统冗余架构，可通过WEB、console口进行主备系统切换，当主系统发生故障可切换至备系统进行工作。

3. 支持业务统计及业务健康状态追踪，可实时展现业务总文件数、数据库条数、连接数等信息，并可实时追踪违规文件、数据库失败条数、违规连接等信息。

4. 支持多引擎病毒模块，可根据用户需求选择需要的病毒引擎；支持云查杀模式，可联动云端文件查杀防止恶意文件通过网闸进入内网。

5. 支持tcp flood、udp flood攻击防护；支持设定防护范围，根据地址、端口、每秒最大连接数、每秒包个数等参数，并在触发范围时，自动触发防护动作；防护动作可自定义永久、时间锁定。

6. 支持弱口令防护功能，针对网闸隔离保护的服务器，防止暴力破解密码；支持防护阈值设置、防护动作设置，可以根据阈值设置条件，自动触发防护动作；防护动作可自定义永久、时间锁定等（提供参数证明材料）。

7. 提供调制工具，其中包括：trace、connect、tcpdump、ping、arp等。

8. 无客户端模式同步由网闸主动发起并完成，不需要第三方软件支持（无需在数据库安装任何第三方软件），支持windows、linux、unix等多种数据库操作系统类型（提供参数证明材料）。

1

台

7

三层交换机

1. 固定端口24个千兆电口，4个1G SPF千兆光口；

2. 管理端口1个Console口，1个Manage口，提供交换机面板端口截图证明；

3. 使用环境 工作温度：0℃―40℃；存储温度：-40℃―70℃；相对湿度:5%―90% RH无凝结；

4. 交换机性能：交换性能：336Gbps/3.36Tbps；

5. 包转发率：96Mpps/126Mpps；

6. 接入方式：支持胖瘦一体化，支持智能交换机和普通交换机两种工作模式，可以根据不同的组网需要，随时灵活的进行交换；

7. 访问控制策略：支持基于交换机单端口、聚合口的ACL策略；

8. 支持基于源目IP地址、MAC地址的ACL策略；

9. 支持基于协议（例如：OSPF、UDP、ARP），同时支持自定义协议号的ACL策略；

10. 支持基于时间的ACL策略

11. 支持基于802.1p、IP及服务等级、DSCP的优先级设置；

1

台

8

防火墙

1. 三层吞吐量≥5G，应用层吞吐量≥600 Mbps，并发连结数≥180W，新建连接数 (CPS) ≥4W个;硬件参数:≥4G内存，≥4个千兆电网口，≥4个千兆光网口；

2. 为了保证设备针对内网资产能够及时防护，要求设备能够自动识别内网资产，发现内部未配置或新增的业务系统等资源，包括资产脆弱性与暴露面，展现业务系统的漏洞与开放的服务与端口；

3. 为了方便排查故障和避免配置冲突和错误，要求设备的访问控制规则能够实现数据模拟匹配，输入源目的IP、端口、协议五元组信息，模拟策略匹配方式，给出最可能的匹配结果；

4. 为保证对未知威胁的识别能力，支持采用无特征AI检测技术对恶意勒索病毒及挖矿病毒等热点病毒进行检测；（提供截图证明并加盖鲜章）；

5. 为了帮助管理员更好的应对一些突发的热点安全事件，要求设备可提供最新的威胁情报信息，能够对新爆发的流行高危漏洞进行预警和自动检测，发现问题后支持一键生成防护规则；（提供截图证明并加盖鲜章）；

6. 为了保证能够快速定位问题主机，要求设备能够检测出已被种植了远控木马或者病毒等恶意软件的终端，同时能够对恶意软件进行深入的分析，进一步展示和外部命令控制服务器的交互行为和其他可疑行为，方便问题分析；

7. 为确保设备漏洞扫描能力，要求设备具有Web漏洞扫描功能，能够扫描检测网站是否存在跨站脚本、目录遍历、SQL注入、XSS、命令执行等脚本漏洞，从而及时进行Web漏洞防护；

8. 为了保证防护的全面性，要求设备必须能够自动发现新增资产并进行资产脆弱性评估，能够自动检测出未配置的安全策略并自动告警，从而提升防护的全面性；

9. 为了简化运维，方便快速的了解内部网络安全情况，要求设备能够实现自动生成安全风险报表，报表内容简单、直观，能够直接展示被保护对象的整体安全等级，所发现漏洞的情况以及遭受到攻击的漏洞统计，能够主动将内部漏洞情况和攻击情况进行联合分析，形成有效攻击行为次数统计和攻击举证，避免重复分析无效攻击行为，减少运维成本；（提供安全报表证明并加盖鲜章）；

10. 为了保证产品可靠性及安全性，防火墙产品具有未知威胁防护与杀毒能力，所投防火墙产品具有未知威胁检测软件著作权证书及第三方检验检测机构出具的测试报告;（需提供相关资料证明并加盖鲜章）；

1

台

9

网络监控

产品类型：智能摄像机400万；产品功能：防水；成像器件：1/2.7英寸；分辨率：2560×1440；压缩格式：主码流 H.265/H.264；网络接口：1个RJ45 10M/100M自适应以太网口

4

只

10

硬盘录像机

1. 硬盘录像机支持32路H.265、H.264混合解码；

2. 支持RAID0、RAID1、RAID5、RAID6、RAID10,支持一键创建RAID5功能；

3. 支持2个USB2.0；1个USB3.0接口；

4. 支持定时抓图、报警抓图和手动抓图功能，并支持以通道、时间等方式进行图片的检索与回放；

5. 支持秒级回放功能，可回放断电、断网前一秒的录像文件。

6. 支持用户锁定功能，通过本地、远程登录设备时，如密码输入错误次数超过设定值，可锁定该用户，保证账户安全性。

7. 硬盘录像机支持双系统备份功能，检测到一个系统异常时，可从另一个系统启动，并恢复异常系统。

8. 支持走廊模式预览，可对画面中图像顺时针旋转270度或中心、上下、左右翻转预览。

3

台

11

POE交换机

4口POE交换机（含网线、水晶头、线夹辅材）

1

套

12

指纹密码锁

一握即开：握住把手，精准识别指纹锁，下压把手开门而入。可以通过手机授予临时开门权限、限时、限次设置、远程就能操作多种开门方式：指纹锁感应卡密码钥匙可远程授权开锁虚位密码技术，通过公安部检测认证，采用行业认可的C及锁芯。安全等级更高。

1

把

13

温湿度显示

机身规格尺寸：110*55*10.1mm；机身重量：60G；材质：ABS+PC；包装清单：电子表主机（含电池）*1 支架*1 墙帖*1 软磁铁*1 说明书*1

1

个

14

服务器机柜

1、2000*1000*600厚度；设备安装方孔条≥2.0MM,框架≥1.5MM,材料全部采用SPCC优质冷轧钢板。2、全新拼装式焊接框架，牢固可靠。

1

个

15

网络安全咨询服务

网络安全咨询，必须满足网络安全等级保护二级要求，取得等保证书。

1

项

16

售后服务

1.设备硬件质保期为采购验收合格后12个月。

2.中标供应商应满足7×8×365售后服务以及30分钟电话响应，30分钟到维修现场服务,一般性故障应在8小时之内排除，重大故障应在24小时之内排除。

3.系统投入使用前，供应商需对管理人员免费进行使用培训，并提供完整的技术资料。

4.对达州市中心血站现有设备和新增设备提供一年免费维护服务（自网络安全加固设备安装调试完毕后算起）具体维护内容和要求如下：（1）机房维护：每周一次对服务器、存储设备、安全设备、杀毒软件等进行巡检和维保；(2)终端电脑维护：系统重装、故障排除等，每周一次对全站所有电脑系统安全性能进行排查并处理。特殊情况，要求乙方随叫随到；(3)弱电系统：含网线、电话线、交换机、无线AP等。如遇线路增加，全年网线不超过200米，电话线不超过200米，若超过按市场价计算；(4)安防系统：含摄像头、安防线路、录像机等；(5)终端电脑清洁除尘；(6)打印机、复印机的耗材以实际用量来结算；(7)服务器、机房设备清洁除尘每季度除尘1次；(8)大（小）会议室音箱系统、投影仪、LED屏、电视机等日常维护；(9)UPS电源维护；(10)机房消防系统维护。

1

项

开展“政采贷”业务金融机构名单

1．中国工商银行四川省分行

14．渤海银行成都分行

2．中国建设银行四川省分行

15．雅安农村商业银行

3．中国农业银行四川省分行

16．雅安市商业银行

4．中国银行四川省分行

17．眉山农村商业银行

5．交通银行四川省分行

18．乐山市商业银行

6．中国邮储银行四川省分行

19．乐山嘉州富村镇银行

7．华夏银行成都分行

20．绵阳市商业银行

8．民生银行成都分行

21．四川省农村信用社联合社

9．四川天府银行

22．平安银行股份有限公司成都分行

10．兴业银行成都分行

23．上海浦东发展银行股份有限公司成都分行

11．成都银行

24．雅安雨城惠民村镇银行有限责任公司

12．成都农村商业银行

25．自贡银行股份有限公司

13．上海银行成都分行

26．宜宾市商业银行股份有限公司