一、电子政务网

序号

系统名称

设备名称

数量

单位

1

防毒墙

1

台

2

IPS

1

台

3

流量分析

1

台

4

双向网闸

1

台

5

态势感知

1

台

6

终端安全准入及桌面安全控制系统

1

套

7

堡垒机

1

台

8

漏洞扫描

1

台

9

日志审计

1

台

二、互联网

1

防毒墙

1

台

2

IPS

1

台

3

WAF

1

台

技术指标

指标要求

硬件规格

≥1U标准机架设备，不小于6个千兆电口；

系统架构

★操作系统为VSP 或LOS或UNIMAS安全平台，具备高效、智能、安全、健壮、易扩展等特点（提供功能截图证明并加盖公章）；

性能

网络吞吐量≥3Gbps；防病毒吞吐量≥3Gbps。

★病毒库不少于600万种病毒特征（提供功能截图证明并加盖公章）；

支持双防病毒引擎（标准引擎和增强引擎），杀毒强度可控，

功能要求

支持IPv4和IPv6双栈协议下的病毒扫描与防护。

支持基于策略的病毒扫描与防护，可针对不同的源目IP地址、源MAC地址、服务、时间、安全域、用户等，采用不同的病毒防护策略；

支持应用协议自识别，可以实现HTTP,SMTP,FTP,POP3,IMAP,FTP,WEBMAIL多种应用协议下的病毒防护，支持自定义非标准端口下应用协议的病毒防护

支持常见WEB邮件系统的病毒防护。

支持路由、透明、混合等各种工作模式下的网络病毒检测。

支持多接口可旁路的病毒文件传输监听检测方式，可并行监听并检测多个接口、多个网段内的病毒传输行为，用于高可靠性要求的旁路应用环境。

支持隔离病毒源地址，防止病毒源主机访问内部网络，提高网络整体安全性。

支持基于病毒防护规则，可以实现病毒隔离（仅在全面扫毒模式下,且为全局配置）、阻断、声音告警、记录日志，发送告警邮件等5种响应方式。

对检验用样本库，病毒检测率不低于90%，提供权威的第三方检测报告。（提供功能截图证明并加盖公章）

系统内置3种病毒防护模板，支持自定义病毒防护模板。

支持gzip、rar、zip等压缩格式的病毒扫描。

支持针对FTP断点续传环境下的病毒检查。

★证书要求

具有国家版权局颁发的防病毒网关系统《计算机软件著作权登记证书》

技术指标

指标要求

硬件规格

≥1U标准机架设备；设备配置:10个10/100/1000M Base-TX；默认支持IPSec VPN和SSL VPN模块（200个并发用户）。

性能

整机吞吐量≥2Gbps，最大并发连接数≥160万，每秒新建≥1.5万/秒。

系统要求

要求支持多系统引导，并可在WEB界面上直接配置启动顺序。

★需要操作系统为VSP 或LOS或UNIMAS安全平台，具备高效、智能、安全、健壮、易扩展等特点（提供功能截图证明并加盖公章）。

访问控制

基于源/目的IP地址、MAC地址、域名、端口或协议、服务、时间、用户的访问控制。

支持基于用户、用户组的访问控制，用户认证要求支持Radius、LDAP、Windows AD域等方式；支持用户必须用AD域账户登录操作系统，否则禁止上网功能。

支持策略命中数统计，便于维护策略。

内容过滤

支持内核级深度内容检测技术, 支持对网页关键字和JavaScript、ActiveX进行过滤, 支持对FTP上传和下载文件的控制。

支持对收件人地址、发件人地址、主题、正文、附件名称通配符匹配、附件大小等进行匹配过滤。

支持基于URL地址的关键字设置白名单和黑名单。

网络适应性

支持透明、路由、混合、直连（虚拟线）模式。

支持将任意接口数据完全镜像到设备自身的其他接口用于抓包分析，支持基于源IP、目的IP、源端口、目的端口、网络协议（TCP、UDP、ICMP）等条件对镜像流量进行过滤，并且支持选择入方向、出方向及双向流量镜像。

支持基于源地址、目的地址、生效时间、应用协议（http、https、mysql、ms-sql、sqlnet、sip等）限制新建连接、并发连接。

NAT

★支持基于策略的入侵检测与防护，可针对不同的源目IP地址、源MAC地址、服务、时间、安全域、用户等，采用不同的入侵防护策略（提供功能截图证明并加盖公章）。

★产品应采用业界领先的入侵检测技术，并已取得网络入侵检测系统相关专利，支持IP碎片重组、TCP流重组、会话状态跟踪、应用层协议解码等数据流处理方式；支持模式匹配、异常检测，统计分析，以及抗IDS/IPS逃逸等多种检测技术（提供功能截图证明并加盖公章）。

★内置IPS特征库，特征规则数量不少于3,600条，特征库可按分组进行管理，连续10条以上特征库数量。支持扩展特征库，提高IPS的检测能力，IPS特征规则数量合计不少于8000条。（提供功能截图证明并加盖公章）。

支持入侵场景保留，可记录入侵行为相关的网络数据报文，报文可保存至U盘或某台内网服务器。

支持HTTP类攻击重定向功能，能够把HTTP协议的攻击类型重定向到指定蜜罐系统，便于对攻击进行审计与分析。

支持实时的入侵防护事件分级报警列表，可按事件的源IP、目的IP、协议、时间等显示；通过不同的入侵防护事件实时阻断入侵源IP，阻断时间可控，提供入侵防护事件分级列表界面和实时阻断界面。

防病毒

支持基于策略的病毒扫描与防护，可针对不同的源目IP地址、源MAC地址、服务、时间、安全域、用户等，采用不同的病毒防护策略

支持HTTP,SMTP,FTP,POP3,IMAP,FTP,WEBMAIL多种应用协议下的病毒防护，支持自定义非标准端口下应用协议的病毒防护。支持应用协议自识别，防止更改协议端口从而绕过病毒查杀的事件发生。

★支持多接口可旁路的病毒文件传输监听检测方式，可并行监听并检测多个接口、多个网段内的病毒传输行为，用于高可靠性要求的旁路应用环境（提供功能截图证明并加盖公章）。

抗拒绝服务攻击

★支持专业的DNSflood攻击防护，具有高级的基于聚类限速、聚类分析、重传检测等多种高级防护算法（提供功能截图证明并加盖公章）。

支持专业的HTTP Flood攻击防护；可以实现get和post的攻击防护，且get防护算法支持4类；支持独立url处理动作；以上防护功能均可以基于聚类分析、可信度、回探等多种防御机制。

支持抗地址欺骗攻击、抗源路由攻击、抗Smurf攻击、抗LAND攻击、抗Winnuke攻击、抗Queso扫描、抗SYN/FIN扫描、抗NULL扫描、抗圣诞树攻击、抗FIN扫描、抗Fraggle攻击。

主动防御

支持Ipv4和Ipv6双栈协议下的主动防御。

要求能主动屏蔽恶意地址，以用于提前免疫包括病毒网站或者攻击源地址的攻击。

要求支持主动防御功能，对服务器、主机进行后门、服务探测、文件共享、系统补丁、IE漏洞等主动式扫描。

漏扫功能

★支持包括后门、服务探测、文件共享、Windows系统补丁、认证等主动式扫描。（提供功能截图证明并加盖公章）。

支持周，月定时漏洞扫描设置,及一次性漏洞扫描设置。

服务器负载均衡

服务器负载均衡支持10种算法。

至少支持两种方法主动探测服务器的存活状态。

技术指标

指标要求

硬件规格

≥1U标准机架设备；设备配置不少于12千兆电口，管理口与业务口相互独立； 内外网主机系统分别具有1个RJ45串口。

系统架构

采用“2+1”系统架构，即由两个主机系统和一个隔离交换专用硬件组成，隔离交换矩阵基于专用芯片实现，保证数据在搬移的时间内，内、外网隔离卡与内、外网系统为物理断开状态操作系统为VSP 或LOS或UNIMAS安全平台，具备高效、智能、安全、健壮、易扩展等特点。

性能

吞吐量≥300Mbps，延时小于1ms。

数据交换功能要求

支持文件传输方向可控，实现单向或双向传输支持病毒检测；支持Oracle、SQL Server、Sybase、Db2、MySQL等主流数据库；数据库同步客户端支持Windows、Linux等主流平台。
支持Oracle数据库RAC集群同步。

支持数据库同步事件邮件报警功能。
支持数据库同步客户端的双机热备技术，为用户提供更高的冗余技术支持；支持数据容错处理，当数据同步失败时，用户可以查询、复位、删除未能正常传输的数据。
支持客户端与网闸间的第三方数字证书方式的身份认证，确保只有被授权的合法用户才能运行。
支持数据库同步数据统计、查询功能。
提供数据库同步实时日志记录，满足日志审计、查询。
负载均衡：支持多台设备实现负载均衡，无需第三方软硬件支持；
日志审计：支持全中文日志显示，并能实现内外网主机日志同步
实现对日志的浏览、查询、导出、删除等操作。

安全通道：支持多种安全访问方式，比如普通访问模式、透明访问模式、同一个IP多个端口等访问模式。
支持多种访问控制，比如IP地址和端口访问控制，连续端口范围控制等。
支持同步、异步监测数据的传输，支持高安全的自动协商动态端口通讯机制。
采用专用国产知名病毒库。

★视频交换要求

提供针对视频存储平台（NVR等 ）的应用层攻击检测功能，包括：SQL注入攻击、XSS攻击的检测和防御，对Web服务系统提供保护（提供功能截图证明并加盖公章）。

可扩展支持病毒过滤机制，支持双病毒引擎，需提供双防病毒引擎厂商合作证明。

可扩展支持敏感信息过滤功能，可基于关键字、文件指纹等信息进行过滤（提供功能截图证明并加盖公章）。

可扩展支持APT攻击检测模块，同时可与专业APT检测系统进行实时联动，检测并阻断未知网络威胁（提供功能截图证明并加盖公章）。

技术指标

指标要求

基本要求

系统采用大数据技术，内置分布式非关系型数据库和传统关系型数据库，提供弹性扩展能力和数据高可靠冗余存储。内置流量行为基线技术，关联分析技术，机器学习等多种分析引擎，提供网络综合态势，系统包含平台框架、网络感知，威协感知，资产分析与管理、拓扑监控，检索中心，基础关联分析，增强关联分析，历史关联分析、流量分析、首页、标准的报表模块、标准的预警模块。

外部威胁感知

检测高风险流量：境外/区域外通信流量：对境外连接、省际连接、区域外连接进行全面监控，生成地图；检测网络中不安全的TELNET通信流量；发现隐藏恶意行为的SMB流量；

威胁情报：从恶意DN，URL，EMAIL，IP 威胁情报信息来进行威胁预警，给出疑似恶意域名预警，疑似恶意IP预警，疑似恶意EMAIL预警，疑似恶意URL预警，情报来源包括开源情报，内部情报，venuseye情报，天际友盟情报。

DDOS 攻击发现：基于特征的，基于时间窗口基线的，基于周期性基线算法实现DDOS攻击检测：支持syn flood ,ack flood ,icmp flood ,udp flood 等网络层DDOS攻击以及http get flood,dns query flood,dns response flood dns 随机域名攻击，dns 投毒检测等应用层DDOS攻击；

★支持网络误用攻击，支持ip黑名单，ip白名单，私有IP的配置；支持检测群组的设置，支持检测阈值自学习，支持检测插件的检测模式（仅包数检测，仅字节数检测，包数和字节数同时满足，包数或字节数任意满足）配置；（提供功能截图证明并加盖公章）。

潜伏威胁感知

支持内网中失陷主机分析与取证。

支持失陷主机列表分析，列表字段包括问题设备，区域，攻击方式，确定度指标，威胁度指标，处理状态和详情。

支持支持主机失陷状态迁移图查看以及失陷主机的资产详情：资产详情包括所属区域，主机名称，设备类型，所属区域等。

支持对失陷主机的取证，根据安全事件类型对失陷主机给出处置建议。

支持潜伏威胁安全事件分析，包括嗅探行为监测，入侵行为监测，C&C控制行为监测，威胁横向扩散以及可疑数据的外发监测。

嗅探行为监测：支持扫描事件的统计与列表展示，安全事件包括基于tcp/udp 端口扫描，基于tcp/udp的主机扫描告警，ping扫描，stealth主机扫描。

★C&C命令控制行为监测：支持C&C安全事件统计和列表，统计图表和列表可联动，安全事件包括计算机病毒， PC木马控制（僵尸命令&控制服务器会话连接，僵尸主机尝试CC活动，僵尸感染主机成功完成CC通信行为），webshell控制，服务器木马控制，网页内嵌恶意代码，混合攻击程序，蠕虫 ，服务器后门，计算机木马共9类典型攻击（提供功能截图证明并加盖公章）。

威胁横向扩散行为监测：支持拓扑展示威胁在内网的扩散情况，包括蠕虫传播，蠕虫活动。

可疑数据外传监测：支持可疑数据外传的安全事件统计与外传事件列表，包括Icmp隧道，可疑数据囤积，DNS隧道，数据外发事件。

网络感知功能

★流量基线自学习，当访问流量与与学习到的基线模型存在偏差，则对偏离基线的资产进行预警：资产的流量基线，服务基线，访问关系基线来感知网络，建立相应的用户网络基线，并对偏离基线的资产进行预警。（提供功能截图证明并加盖公章）。

资产服务基线学习与变化预警，未知服务发现，流氓服务：非标准端口上开启的服务发现，隐藏应用的发现。

资产访问关系基线学习以及变化预警：在设定的学习周期内，计算主机的连接的IP数，连接的IP网段/区域，连接的地理范围。

资产流量峰值与均值学习以及变化预警：计算bps,pps,sps的峰值与均值。

关键服务器梳理与私建服务器发现，FTP服务器梳理与私建FTP服务器发现，DNS服务器梳理与私建DNS服务器发现；WEB 服务器梳理与私建WEB网站发现；NAT设备发现：发现边界的NAT设备，以及NAT设备后挂接的私网设备数目。

流量分析功能

支持从全网到关键业务区域到特定业务主机逐层细粒度精细化流量分析。

★对于监控的目标（路由器，路由器组，路由器接口组，服务器,业务场景，协议，应用，对比分析）,可以根据总流量、路由设备、 TOP地址、TOP应用、TOP协议、TOP自治域等角度进行分析展现；可按照时间范围进行查询，展现内容至少包括平滑流量、上行流量、下行流量，实际流量上行流量、下行流量，展示维度为bps，pps，sps；（提供功能截图证明并加盖公章）。

支持按业务场景进行流量分析，可自定义业务场景，支持业务场景对比分析，发现带宽占用症结：占用网络带宽的TOP地址、TOP应用，可定位到具体的时间，具体区域，具体IP，具体使用责任人。

资产感知功能

资产发现，建立资产基线，具备资产发现功能，资产IP库自学习与变化预警：在设置资产IP基线学习周期内，全面监控管理区域的在线设备，形成用户正常业务周期内的资产库白名单。

自动发现管理域内的设备接入行为，触发预警，上报设备的IP地址。

支持资产信息补全：资产属性包括资产类型（主机，工控设备，网络设备，安全设备，应用系统等），主机名称，区域，地理位置。

支持资产列表，字段包括IP地址，区域，主机名称，资产类型，厂商，型号，版本，联系人，购置日期，质保日期，最近出现时间，当前流速，总流量。

具备资产自学习功能，支持资产类型管理：工控设备，网络设备，安全设备，数据库，中间件，存储设备，应用系统，虚拟化，机房设备等，支持通过资产列表查看查看资产活跃状态，最近出现时间，当前总流速，总流量，会话流量桑基图，会话列表。

★支持主机画像功能：可刻画主机的告警，流量基线，访问端口，访问关系(进出），开放服务端口。（提供功能截图证明并加盖公章）。

支持资产概览，呈现资产会话分析，网段资产分布，资产数量监控，新发现资产的告警趋势和告警列表。

首页

页面展示全网流量态势，支持网络访问图，业务关系图，网络攻击图，并支持页面元素的下钻。

具体说明：网络访问图可展示包括全网平均流速，全网平均包长，活跃IP数，活跃端口数，流量采集趋势图，应用协议分布TOP5，7*24小时流量大小雷达图，网络访问列表与地图跃迁图，应用协议时间趋势图，已知资产数，未知资产数，活跃端口数，活跃协议数。当前资产会话桑基图，当前业务区域流量分布图。

网络攻击图包括违规策略高级和基线策略告警，支持攻击列表，24小时的攻击类型分布TOP5，24小时攻击数量趋势图。业务关系图展示当前客户端与服务器访问连接图TOP20网络攻击图，业务关系图，访问关系图可在一个页面进行切换。

报表报告

支持报表报告的导出，导出的格式支持EXCEL、PDF、WORD、PNG、HTML、RTF等。

支持流量趋势报表： L7协议趋势，流量趋势，地址趋势报表，自治域趋势报表。

流量统计报表支持：TOP10_L4协议统计报表，TOP10_L7协议统计报表，TOP10地址统计报表，TOP10自治域统计报表，支持告警趋势报表与告警统计报表。

★资质要求（提供证明文件）

产品具备公安部销售许可证。

产品具备计算机软件著作权登记证书（态势感知产品）。

厂商具备中国信息安全测评中心颁发的信息安全服务资质（安全工程类三级）。

厂商进入Gartner SIEM类产品象限。

厂商通过软件成熟度CMMI5认证。

厂商为国家漏洞库CNNVD一级支撑单位。

厂商具备中国网络安全审查技术与认证中心颁发的《信息系统安全运维服务资质》一级。