项目说明 

一、项目概况及预算情况 

本项目是无棣县人民检察院检察工作网信息安全等级保护（三级）建设项目， 检察工作网作为检察信息化建设的重要基础网络，随着智慧检务工程的深入推进，将会承载检察机关大量的重要信息资源和业务应用，根据高检院《检察工作网安全保障系统建设指导意见》(高检技 2018 62 号)等规范要求，无棣县人民检察院现采购一批设备，按照信息安全等级保护三级要求，对检察工作网进行信息安全建设，预算金额为 72.5 万元，计划由转移支付资金业务装备款中支付，资金已落实。

二、采购标的具体情况 

• 1.采购内容、数量及单项预算安排：

  序 号	货物名称	技术指标	数量	单价 （元）	合价 （元）
  1	防火墙	1、 标准 2U 设备，冗余电源；标准配置≥10 个 10/100/1000M Base-TX 和≥6 个 SFP 接口， ≥2 个扩展槽位；吞吐量≥ 20G，并发连接数≥800 万；默认支持 IPSec VPN 和 SSL VPN 模块（200 个并发用户）；提供三年产品质保服务。 2、 具备透明、路由、混合三种工作模式，支持静态路由，动态路由 （OSPF、RIP、BGP、ISIS 等）， VLAN 间路由，单臂路由，组播路由等，支持基于源/目的地 址、接口、Metric、服务的策略路由。  3、 出于可靠性考虑，防火墙需要具 备2 个操作系统互为备份，且需要支持一个可用于恢复的操作系统。且系统切换可在web 页面完成。  4、具备一体化安全策略配置，可以通过一条策略实现用户认证、 IPS、AV、URL 过滤、协议控制、流量控制、并发、新建限制、垃圾邮件过滤、审计等功能,简化用户管理。  5、 支持针对单条策略中的源、目的地址进行新建、并发限制，可以针对单IP(或地址范围)进行新 建、并发控制。支持基于 WEB 地址URL 的策略路由，可实现将不同类型的网站流量智能分配到不同的链路；支持基于文件类型的策略路由，可实现将预定义或者自定义的文件按照不同的分类进行智能选路。  支持数据防泄密功能，可针对 SMTP 协议主题、正文的敏感信息检测，支持对 HTTP 协议 POST 数据的消息体的敏感信息检测，支持对 FTP 协议上传下载文件内容的敏感信息检测；  6、 支持 IPv6 地址、地址组配置， 支持 IPv6/IPv4 翻译策略技术， 包括支持静态 NAT-PT、动态 NAT-PT、NAPT-PT 技术； 7、 支持服务器负载均衡，内置负载算法不少于 10 种； 8、 支持对核心资产进行风险等级、病毒防护、入侵防护、web 过滤、弱口令、安全管理、安全时间、攻击事件、策略阻断等全方位的风险评估分析； 9、 支持端口联动，支持上下行端口组的联动，可以实现单端口决定同组中的任意接口失效启动链路切换； 10、 支持专业的 DNSflood 攻击防护，具有高级的基于聚类限速、聚类分析、重传检测等多种高级防护算法。 11、 支持 web 界面下对攻击流量进行抓包分析，支持自定义抓包参数，至少包括数据报文长度、报文数量、抓包时间及采样频率等基本参数；支持根据协议、源目的 IP、端口等参数进行数据报文过滤。支持对本地抓包文件的管理，包括下载、删除等操作，同时支持 FTP 方式将抓包文件上传至指定的 FTP 服务器中。支持对主流数据库基于用户的细粒度权限控制，限制使用 create、 drop 等数据库原语，实现对数 据库服务器的保护。 12、 产品资质要求： 具备《计算机信息系统安全专用产品销售许可证》； 具备公安部检测报告证明支持视频传输国标协议GB/T-28181-2016； 需提供泰尔实验室产品性能 检测报告。	1

  2

  防毒墙

  1、 标准 1U 设备，单电源；一个侧 扩 槽 位 ； ≥ 6 个10/100/1000M Base-TX；整机吞吐量≥4G， 并发连接数≥ 200 万； 提供三年产品质保服务和三年病毒库升级服务 2、 可支持透明、路由、混合三种工作模式，支持静态路由，动态路由（OSPF、RIP、BGP、ISIS 等），VLAN 间路由，单臂路由，组播路由等。 3、 必须支持基于应用的策略路由，可实现为不同的应用类型智能选择相应的链路；必须支持基于 WEB 地址URL 的策略路由，可实现将不同类型的网站流量智能分配到不同的链路； 必须支持基于文件类型的策略路由，可实现将预定义或者自定义的文件按照不同的分类进行智能选路。可支持多出口路由情况下的默认路由备份、负载均衡；支持 ISP 路由， 支持联通、电信、教育网、移动等 ISP 服务商地址列表，列表可导出及导入，可通过 Web 界面选择不同的 ISP 服务商实现快速切换。 4、 支持链路聚合功能， 支持 802.3ad 和静态轮询、热备等多种模式， MAC 、 MAC&IP 、 IP&Port 多种聚合负载算法。 5、 除本地有线链路接入外，必须可提供至少一种其他媒介的灾备链路接入方案支持， 如3G 广域网、VSAT 卫星网、海事卫星网。 6、 需支持 IPv4 和 IPv6 双栈协议下的病毒扫描与防护； 7、 支持基于策略的病毒扫描与防护，可针对不同的源目 IP 地址、源 MAC 地址、服务、时间、安全域、用户等，采用不同的病毒防护策略。 8、 支持应用协议自识别，可以实现HTTP,SMTP,FTP,POP3,IMAP,F TP,WEBMAIL 多种应用协议下的病毒防护， 支持自定义非标准端口下应用协议的病毒防护。支持可疑文件检测功能，实现对 HTTP、FTP 以及邮件协议传输的文件进行可疑文件检测。 9、 支持隔离病毒源地址，防止病毒源主机访问内部网络，提高网络整体安全性；支持病毒文件隔离，用于后续分析取证 10、 产品资质要求   具备《计算机信息系统安全专用产品销售许可证》（基本级及以上）并含有网关防病毒字样；

  1

  3

  入侵防御系统

  1、 1U 上架设备， 1 个 RJ-45 Console 口 ， ≥ 2 个10/100/1000 Base-T 带外管理口，≥4 个具备 BYPASS 功能的10/100/1000Base-T 接口，≥2 个 USB 口；提供三年产品质保和特征库升级服务。 2、 系统可检测的入侵防御事件库事件数量不少于 5000 条， 系统应支持事件响应模版，能够批量修改事件响应动作，包括：事件级别、事件启用开关、 动作、日志合并方式、日志开关、抓包取证。   3、 系统应支持多种防 web 扫描能力，包括爬虫、CGI 和漏洞扫描等，并支持设置至少 4 个不同级别的扫描容忍度/扫描敏感度。 4、 系统支持 SQL 注入、XSS 攻击检测能力，并支持提供白名单定义功能，能够精确到检测测字段、属性和名称。并支持至少 10 类和 70 个配置项目。系统应支持多种事件响应方式， 满足客户的安全要求，需包括：重置、临时阻断、丢弃报文、丢弃会话等动作。系统应支持密码穷举探测功能，提供至少 16 种应用的密码穷举行为探测和阻断。 5、 系统应支持威胁情报联动能力，且具备威胁情报软件著作权。 6、 为保证病毒检测的可靠性，要求系统应至少支持双病毒引擎。 7、 系统应提供扩展静态恶意代码（APT）检测引擎，针对 http、 ftp、SMTP 等协议中包含的未知恶意文件进行检测。 8、 系统应支持与动态恶意代码 （APT）检测系统联动功能， 通过联动功能可将恶意样本发送到动态 APT 引擎进行深度检测，并将检测结果生成攻击特征样品进行动态拦截。系统除具备可扩展的本地恶意代码检测功能外，还应具备云查杀、云检测等防御机制。 9、 系统应支持敏感信息防护功能，识别信息和文件中的关键字、身份证、手机号码、固定电话号码、银行卡、IP 地址等敏感信息，并支持文件指纹识别和白名单功能。 10、  系统应支持邮件内容过滤功能，有效防止恶意邮件及信息外泄。可根据邮件 SMTP 命令、发件人、主题、附件、 IP 及邮件大小进行过滤。 11、 系统应支持 WEB 登录图像验证码功能，防止暴力破解。  12、 产品资质要求   具备《计算机信息系统安全专用产品销售许可证》 具备《国际 CVE 组织产品兼容认证》具备《国家信息安全漏 洞库 兼容性资质证书》

  1

  4

  堡垒机

  1、 1U 机架式软硬一体设备，专用硬件平台和安全操作系统， 6 个千兆电口，内存 8G，1 个 Console 管理口， 存储容量 1TB，单电源，带液晶面板，2 个扩展槽。字符协议不低于 800 个，图形协议不低于 200 个，提供三年硬件质保服务。  2、 支持在 IPV4,IPV6，IPV4 与 IPV6 网络环境下部署。 3、 支持以资源为视角进行用户访问授权，可在具体资源上直接进行用户角色绑定，提高授权关系绑定易用性和灵活性。 4、 支持资源自动发现和添加，便于快速添加资源； 5、 支持管理员可根据目标资源设置不同角色：支持时间、命令、审批规则与资源角色关联，实现不同运维用户访问资源遵从不同的控制策略；支持超过资源角色中时间策略中的时间范围，系统将阻断运维会话；支持用户、资源帐号与资源角色关联，形成访问策略。 6、 支持数据库协议自动改密，改密 类 型 支 持 ： Oracle 、PostgreSQL 、 MySql 、 DB2 、Informix 、 SYBASE ， Mssql(2005,2008,2012) 。 支 持僵尸、幽灵、孤儿帐号稽核功能，并可以导出异常账号稽核情况报告，方便管理员统计异常账号情况。支持 Oracle、 Postgresql、Sybase、MySQL、SQL server 数据库下行返回行数记录，支持在 Oracle 数据库运维，运维人员对变量进行绑定，执行 SQL 后，堡垒机系统可审计对应 SQL 中唯一标识符的具体值，协助审计员分析安全事件。 7、 支持扫描本地运维工具并进行配置保存，简化运维人员使用配置过程； 8、 支持 C/S 客户端模式：提供 C/S 客户端功能，用于运维人员和管理员通过 C/S 客户端登录进行运维操作和管理操作， 整个运维过程不依赖任何 Active 或 Java 控件； 9、 应用发布防跳转：通过应用发布只能访问已授权资源，无法通过应用工具新建未授权资源进行跳转连接； 10、  支持 web 页面或数据库防跳转功能，进行 http/https 访问过程中，运维人员仅允许访问授权地址； 11、 产品资质要求： 具备公安部颁发的《计算机信息系统安全专用产品销售许可证 运维安全管理产品（增强级）》 具备中国信息安全认证中心颁发的《中国国家信息安全产品认证证书（增强级）》

  1

  5

  日志审计

  1、 1U 标准机架式，单电源，专用千兆硬件平台和安全操作  系统，≥6 个千兆电口，≥1 个扩展槽位，≥2 个 USB 接口， 存储容量不低于 2TB。提供三 年免费软件维护升级服务。支持 30 个审计对象授权。 2、 支持 SNMP Trap、Syslog、 ODBC\JDBC、文件\文件夹、 WMI、FTP、SFTP、NetBIOS、 OPSEC 等多种方式完成日志收集功能；支持新增 Lotus Domino、CheckPoint 的日志采集任务。 3、 资产模块支持提供基于资产的拓扑视图，可以按列表和拓扑两种模式显示资产拓扑节点；可查看每个资产设备本身产生的事件信息、关联告警信息，并且支持向下钻取，直接进入事件列表、关联告警列表。 4、 支持日志源管理功能，对断点日志源可以产生告警；日志可加密压缩传输 支持加密压缩方式转发，定时转发。日志范式化字段至少应包括事件接  收时间、事件产生时间、事件持续时间、用户名称、源地址、源 MAC 地址、源端口、操作、目的地址、目的 MAC 地址、目的端口、事件名称、事件摘要、等级、原始等级、原始类型、网络协议、网络应用协议、设 备地址、设备名称、设备类型等；针对不支持的事件类型做范式化不需改动编码，通过修改配置文件即可完成。 5、 系统需内置不同分析场景，包括各种实时分析场景、历史统计场景、实时统计等。并支持支持自定义场景； 6、 支持对选中的日志提供在线/ 离线地图定位、视网膜图、事件拓扑图等多种分析工具。 7、 系统提供输入关键字从海量事件中获取匹配或部分匹配  的事件，更方便的定位事件系统告警动作支持弹出提示框、发出警示音、发送邮件、发送SNMP Trap、发送短信、执行命令脚本、设备联动、发送飞鸽传书、发送 Syslog 等方式。  8、 内置 Cisco PIX 和交换机的事件编码知识库；内置 Windows、 Linux、Solaris、AIX 操作系统的事件 ID 知识库；内置 Oracle、SQL Server、MySQL、 Informix、DB2 数据库的事件编码知识库；能够查看系统内置的事件库中事件类型名称及其描述信息。产品资质要 求：具备《计算机信息系统安 备地址、设备名称、设备类型等；针对不支持的事件类型做范式化不需改动编码，通过修改配置文件即可完成。 5、 系统需内置不同分析场景，包括各种实时分析场景、历史统计场景、实时统计等。并支持支持自定义场景； 6、 支持对选中的日志提供在线/ 离线地图定位、视网膜图、事件拓扑图等多种分析工具。 7、 系统提供输入关键字从海量事件中获取匹配或部分匹配  的事件，更方便的定位事件系统告警动作支持弹出提示框、发出警示音、发送邮件、发送SNMP Trap、发送短信、执行命令脚本、设备联动、发送飞鸽传书、发送 Syslog 等方式。  8、 内置 Cisco PIX 和交换机的事件编码知识库；内置 Windows、Linux、Solaris、AIX 操作系统的事件 ID 知识库；内置 Oracle、SQL Server、MySQL、Informix、DB2 数据库的事件编码知识库；能够查看系统内置的事件库中事件类型名称及其描述信息。产品资质要求：具备《计算机信息系统安

  1

  6

  网络审计

  1、 标准 1U 机箱，标配单电源； 硬件配备≥6 个 10/100/1000M Base-TX 网络接口和≥4 个SFP 接口，存储空间≥1T；HTTP 吞吐量≥1000Mbps。系统审计事件每秒入库速度至少在 4000 条/秒以上，日处理审计事件数至少 5000 万条；提供三年产品质保服务。 2、 采用旁路部署方式对原有网络不造成影响，网络审计产品的故障不影响被审计系统的正常运行；无需在被审计系统上安装任何代理。 3、 支持对 Oracle、SQL-Server、 DB2 、 Informix 、 Sybase 、 MySQL   、   PostgreSQL 、 Teradata、Cache、MongoDB、 Redius、人大金仓 KingBase、神通(OSCAR)、达梦(DM)、南大通用(GBase)数据库进行审计。 4、 支持 http/https 的审计；支持审计 URL、请求内容类型、访问模式、Post 数据、Cookie、回应内容类型、网页内容等。  5、 支持 FTP、Rlogin、Radius、 NFS、X11 等协议审计。 6、 支持 RDP 协议审计，可审计关键的键盘输入，记录会话过程；支持与恶意 URL 的检测， 可以对不良站点访问的详细记录； 7、 审计策略支持时间、源 IP、目的 IP、协议、端口、登陆账号、命令作为响应条件。 8、 支持用户操作轨迹图展示，轨迹图维度可自定义，包括：资 源账号、源 ip、客户端程序名、命令、表名、错误码等，可根据昨天、最近七天、最近 30 天以及自定义时间进行轨迹显示，可显示关联数量，可在某一维度中进行筛选。 9、 支持审计网络邻居的用户名、读写操作、文件名等。 10、 支持疑似暴力破解、疑似撞库攻击场景的操作异常分析；行为周期与阀值可按需定义， 系统应内置统计分析模板，统计模板包括且不限于： 趋势分析、统计分析、性能分析等，且支持自定义模板，自定义条件包括源 IP、目的 IP、资源账号、客户端名称、协议等 10 几种。 11、   告警方式支持记录审计事件、记录会话数据、忽略、界面告警、Syslog 告警、SNMP trap 告警、邮件告警、短信告警； 12、 支持 Syslog 方式发送或接收第三方审计日志；支持 FTP 转发 syslog 日志；支持 snmp 服务器配置自定义，不同策略可选择不同 snmp 服务器； 支持 IPV6 环境下的审计。 13、 产品资质要求： 具有公安部颁发的《计算机信息系统安全专用产品销售许可证》，要求为增强型。

  1

  7

  漏洞扫描

  1、 1U 机架设备，单交流电源， ≥6 个 100/1000M 电口，1 个 Console 口，≥2 个 USB 接口， ≥2 个扩展插槽，不低于 1T 硬盘存储，可扫描 IP 地址的范围和总数量无限制，单任务可扫描 100 个 IP，并发扫描 20 个 IP，提供三年漏洞库升级和三年硬件质保服务。 2、 要求设备必须支持无限 IP扫描；必须集成系统漏洞扫 描、Web 应用扫描、配置核查功能于一体。   3、 漏 洞 扫 描 方 法 应 不 少 于  60000 种。   4、 需支持 Windows 域扫描技术， 利用域管理员权限使扫描更深入、更准确。 5、 支持多种协议口令猜测，包括 SMB、Snmp、Telnet、Pop3、 SSH、Ftp、RDP、DB2、MySQL、 Oracle、PostgreSQL、HighGo、 MongoDB 、 UXDB 、 STDB 、 kingbase、RTSP、ActiveMQ、 WebLogic、WebCAM 等。 6、 支持 35 种以上默认扫描策略模板，如常规安全扫描，中高危漏洞扫描，高危漏洞扫描， web 服务组件扫描，网络设备扫描，云平台漏洞扫描，虚拟化扫描，主机信息收集，攻击性扫描，SQL SERVER 数据库扫描，Apple 类扫描，视频监控类扫描等等，同时针对市场应急响应的漏洞提供应急响应策略模板。 7、 支持对意外中断（网络中断、设备断电）的扫描任务恢复后继续进行扫描； 8、 支持对主流数据库的识别与扫描，包括：Oracle、Sybase、SQL Server、DB2、MySQL 等， 能够扫描的数据库漏洞扫描方法不小于 2300 种。 9、 系统支持扫描 IPv6 环境中的设备；系统漏洞库与 CVE、CNCVE、CNNVD 和 BUGTRAQ 等国际、国内标准兼容。   10、 系统支持云平台扫描，漏洞覆盖 OpenStack 、KVM 、Vmware、Xen 等主流的云计算平台。   11、 支持检测 SQL 注入漏洞、命令注入漏洞、CRLF 注入漏洞、LDAP 注入漏洞、XSS 跨站 脚本漏洞、路径遍历漏洞、信息泄漏漏洞、URL 跳转漏洞、文件包含漏洞、应用程序漏洞、文件上传漏洞等。 12、  支持漏洞验证功能，在扫描结束后，能够对结果中的重要漏洞进行现场验证，展示漏洞利用过程和风险。 13、  支持对扫描对象的脆弱性进行全面检查，识别内容应包括操作系统和应用系统安全补丁的缺失、弱口令、常见木马后门、不安全的服务配置等。   14、  支持扫描任务预计所需剩余时间显示；支持任务扫描完成后，自动将扫描结果上传至 ftp 服务器。 15、 产品资质要求： 具有公安部颁发的《计算机信息系统安全专用产品销售许可证》，要求为增强型。 具备国家信息安全漏洞库兼容性资质证书 具备 IPV6 认证证书。

  1

  8

  核心交换机

  1、交换容量≥86Tbps，包转发率 ≥26000Mpps 主控引擎≥2；整机业务板槽位数 ≥6 2、支持颗粒化电源，支持 M+N 电源冗余（AC 和 DC 均支持），电源个数≥2 3、为适应机柜并排部署，设备机箱（包括业务板卡区）采用后出风风道设计 4、支持纵向虚拟化技术，支持把交换机和 AP 虚拟为一台设备，支持两层子节点，且子节点接入交换机支持堆叠 5、支持标准协议的 MAC、802.1x、 Portal 等认证方式   支 持 IGMPv1/v2/v3 ， PIM SM/DM/SSM，组播 ACL 支持基于 VLAN 和端口的 MAC 学 习，基于源地址的 MAC 过滤 支持 MAC 地址≥256K，支持 ARP 表项≥128K 6、支持静态路由、RIP、RIPng、 OSPF、OSPFv3、BGP、BGP4+、ISIS、ISISv6 7、支持 IPv4 路由转发表（FIB） ≥128K 支 持 MPLS   L3VPN  、 MPLS L2VPN(VPLS，VLL)、MPLS-TE、MPLS QoS 支持 SNMPv1/v2/v3，支持热补丁和远程在线升级 8、配备 48 个千兆光口，48 个千 兆电口，板卡与光模块等配件是原厂配件。

  1

  9	自安全交换机	1、业务接口：48 千兆 RJ45+4 千兆 SFP   交 换 容 量 ： 598Gbps/5.98Tbps 包转发率：252Mpps         2、支持 IP 仿冒、ARP 欺骗、ARP 泛洪等常见网络威胁的定位和阻断 3、支持内网病毒、木马传播行为的识别和阻断 4、支持内网攻击源主机定位、告警及阻断    5、管理维护：支持 RMON 6、支持实时温度检测和告警 7、支持 SNMP、CLI、Web 网管和自安全管理平台统一管理 8、支持系统日志、操作日志、调 试信息等本地和远程输出	1
  10	合计

  2. 需实现的功能或者目标

  （1）建立和完善检察工作网安全防护整体架构，满足网络安全边界防护要求， 提升及时有效的安全防御能力与快速响应的应急处置能力，提高检察工作网整体防护水平，形成与智慧检务相适应的网络安全保障系统。

  （2）围绕安全策略，进行技术、管理、服务三大体系建设，建立健全科学、完备的信息安全运维管理体系，实现信息安全事件的全程全周期管理，切实保障信息系统安全、稳定运行。

  3.需满足的国家相关标准、行业标准、地方标准或者其他标准、规范。

• 高检院《检察工作网安全保障系统建设指导意见》

  高检院《“十三五”时期科技强检规划纲要》

  计算机信息系统安全保护等级划分准则（GB17859-1999）  

• 信息安全技术 信息系统安全管理要求（GB/T20269-2006）

  信息安全技术 网络基础安全技术要求（GB/T 20270-2006）

  信息安全技术 信息系统通用安全技术要求（GB/T 20271-2006）

• 信息安全技术 操作系统安全技术要求（GB/T 20272-2006）

  信息安全技术 信息系统安全等级保护基本要求（GB/T22239-2008）

  4.需满足的采购政策要求  

  （1）优先采购节能环保产品的给予价格分及技术分各 5%比例加分。（强制节能产品除外）；

  （2）小型、微型企业产品价格给予 6%的扣除；

  （3）监狱企业产品价格给予 6%的扣除。

  （4）残疾人福利性单位视同小型、微型企业给予 6%的价格扣除；

  5.项目交付或者实施的时间和地点。  

• 交付时间：合同签订后 10 天内交付完成交付地点：采购人指定地点。

  7.需满足的服务标准、期限、效率等要求

• 服务标准：满足采购人服务要求。

  8.项目售后服务及验收标准。

  售后服务：执行采购人要求服务标准。  验收标准：符合采购人要求并通过验收。

  注：以上加“★”并注有“  ”的条款内容为本项目的实质性技术或服务要求，如不满足，按无效报价处理。以上加“△”并注有“  ”的条款内容为本项目的重要指标，不带标识的为一般指标。