序号

设备名称

技术规格

单位

数量

1

安全承载设备

1、处理器要求：标准 2U 设备，标配原厂机柜，配置≥2 颗 CPU，2.2GHz

26C；配置≥24*32GB 内存；

2、本地存储：配置≥2 块 480G SSD，≥2 块 960G SSD，≥10 块 12TB SATA， 支持 SAS/SATA/NVMe 接口；

3、RAID： 配置≥ 1 块独立 RAID 卡,≥ 2G Cache,端口数≥ 8,端口速率:12Gb/s,支持 RAID0、1、10、50、60；

4、I/O 扩展：本次配置≥1*双口 GE ≥2*双口 10GE 网卡，要求配置

1+1 冗余热插拔电源；服务：3 年 7X24 小时售后服务。

5、提供超融合边缘一体机通过可信云检验认证证书。

3

套

2

接入交换机

1、主要配置：≥48 个 10G SFP+，≥6 个 40G QSFP+；交换容量：≥80Tbps； 包转发率：≥1600Mpps。服务：3 年 7X24 小时售后服务。

2、要求支持对接OpenStack 的VLAN 模型和基于层次化端口绑定的VxLAN

模型，可无缝对接本次虚拟化平台软件，支持封装≥5000 个逻辑交换机。

2

台

3

管理

交换机

主要配置：≥48 个 10/100/1000Base-T 以太网端口，≥4 个 10G SFP+；

服务：3 年 7X24 小时售后服务。

1

台

4

虚拟化软件

1、国产品牌，要求超融合硬件平台、计算虚拟化软件、存储虚拟化软件、网络虚拟化软件同一品牌且软件完全自主研发；提供超融合边缘虚  拟化云平台软件的软件著作权证书；

2、配置≥6 颗 CPU 授权许可；

3、支持云硬盘扩容、云硬盘备份、恢复、快照功能，支持穿件备份策略设置；支持新建存储库；

4、支持云主机备份，支持备份恢复、备份策略设置；

5、支持 VPC、ACL、安全组、NAT、VPN、对等链接、负载 8、均衡等网络能力

6、支持云主机回收站、云硬盘回收站功能，支持密钥对及密钥管理， 支持多网卡、主机克隆、整机快照、云盘快照、快照恢复、弹性伸缩等  功能；

7、支持公共镜像、共享镜像、私有镜像定制，支持镜像上传、镜像同步、镜像仓库功能；

8、要求云平台支持数据中心资源实时状态进行统一直观展示，包括支持主机资源总览、资源统计、告警信息、云资源总览、用户数量等；

9、云平台支持对裸金属服务器的开机、关机和重启操作；

10、支持网络拓扑图，包含交换机、宿主机的配置信息和性能信息展示，  方便快速定位故障。

11、支持云主机热迁移，可以选择需要迁移到指定的宿主机；支持冷迁  移，方便关机状态下将虚拟机迁移到另外一台物理服务器；

12、为保证多种网络接入能力，要求支持内置 SD-WAN 网络能力，以便快速接入访问现有云上业务系统；

13、云平台实现与主流国产操作系统麒麟、统信的适配（提供互认证材  料）；

14、要求虚拟化平台支持一云多芯能力，提供虚拟化系统与主流芯片鲲  鹏、海光、飞腾的适配证明材料（提供互认证材料）；

15、为保证平台安全性，要求虚拟化平台和云管理平台通过国家工信源

代码自主率测评，提供测评报告。

1

套

5

下一代

防火墙

1、硬件参数：1U 设备，内存≥8G，硬盘≥64G SSD，配置单电源，配

置≥8 千兆电口、≥2 万兆光口 SFP+(满配万兆光模块)。

4

台

2、性能参数：网络层吞吐量≥8G，应用层吞吐量≥3G，并发连接数≥

200 万，HTTP 新建连接数≥6 万。

3、支持链路连通性检查功能，支持基于 3 种以上协议对链路连通性进行探测，探测协议至少包括 DNS 解析、ARP 探测、PING 和 BFD 等方式。

4、产品支持路由模式、透明模式、虚拟网线模式、旁路镜像模式等多种部署方式。支持虚拟防火墙功能，支持虚拟防火墙的创建和删除，具  备独立的接口、会话管理、应用控制策略、NAT 等资源。

5、为提高访问流畅度，需支持路由类型、协议类型、网络对象、国家地区等条件进行自动选路的策略路由，支持不少于 3 种的调度算法，至少包括带宽比例、加权流量、线路优先等。

6、支持 ftp 协议命令控制功能，至少包含 delete、rmdir、mkdir、rename、

mget、dir、mput、get、put 等，保护对外服务不被恶意篡改。

7、支持异常数据包攻击防御，防护类型包括 IP 数据块分片传输防护、

Teardrop 攻击防护、Smurf 攻击防护、Land 攻击防护、WinNuke 攻击防护等攻击类型。

8、支持对压缩病毒文件进行检测和拦截，压缩层数支持 15 层及以上， 提供清晰的功能配置界面截图。

9、为保障设备针对未知威胁的防护能力，提升整体的安全防护效果， 需支持勒索病毒检测与防御功能，支持针对勒索病毒攻击设置专项安全策略，提供产品相关功能截图，为保证该功能的有效性，需提供公安部计算机信息系统安全产品质量监督检验中心、中国信息安全测评中心、  中华人民共和国国家版权局之中任意一家检测机构出具关于“勒索病毒”的相关证书进行佐证。

10、内置不低于 10000 种漏洞规则，支持在控制台界面通过漏洞 ID、漏洞名称、危险等级、漏洞 CVE 标识、漏洞描述等条件查询漏洞特征信息，支持自定义 IPS 规则，提供清晰的功能配置界面截图。

11、支持僵尸主机检测功能，产品内置僵尸网络特征库超过 128 万种， 可识别主机的异常外联行为，提供清晰的功能配置界截图。

12、为提高威胁处置能力，缩短响应时间，需支持与本次终端管理软件  进行联动处置，当防火墙检测到威胁时，可直接下发安全策略至终端安  全软件对 PC 终端进行一键处置，支持进行情报共享，提供 C&C 通信检测，对僵尸网络实现联合举证溯源，提供功能配置界面。

13、支持对安全策略管理和审计功能，记录安全策略变更时间、变更账  号、变更类型等内容，提升日常安全策略运维效率。

14、提供三年硬件质保和三年软件升级服务。

6

核心交换机

1、交换容量≥47.7Tbps，包转发率≥10065Mpps

2、主控引擎与业务板卡完全物理分离, 采用全分布式转发处理架构， 独立主控引擎插槽≥2 个，独立业务插槽数≥3 个；主控引擎故障情况下，不能影响整机转发能力

3、为适应业界主流机柜的尺寸，设备高度≤4U，设备深度≤600mm；

4、主控引擎支持集成硬件监控功能，能集中监控板卡、风扇、电源、环境。无需单独配置硬件监控板卡，降低整机功耗

5、为了适应机柜并排部署，机箱业务板卡区采用后出风风道设计，提供设备散热气流流向截图；

6、为保障核心设备的安全可靠性，要求所投产品端口浪涌抗扰度≥6KV

（即具备 6KV 的防雷能力），投标时提供具有 CMA 或 CAL 或 CNAS 认证章的第三方权威机构检验报告证明；

7、支持静态路由、RIP、RIPng、OSPF、OSPFv3、BGP、BGP4+、ISIS、

ISISv6，支持路由协议多实例，支持 GR for OSPF/IS-IS/BGP，支持策略路由。

8 、 为 保 证 IPv6 的 可 部 署 性 和 应 用 性 ， 所 投 交 换 机 需 具 备

1

台

IPv6 Ready Phase2 认证证书，要求投标产品型号与获证产品型号一致，提供权威机构的检测证书。

9、支持 SNMP V1/V2/V3、Telnet、RMON、SSHv2.0，支持通过命令行、中文图形化配置软件等方式进行配置和管理。

10、本次实配：双引擎，双电源，千兆电口≥48 个，千兆光口≥48 个， 万兆光口≥8 个；

11、提供千兆单模光模块：1000BASE-LX mini GBIC 转换模块（1310nm），

10km，单模。提供万兆 LC 接口光模块（1310nm），10km，单模，适用于 SFP+接口。

12、本次实配：双引擎，双电源，千兆电口≥48 个，千兆光口≥48 个，

万兆光口≥8 个，满配单模光模块。

7

核心交换

机板卡

原核心交换机扩容板卡，配置：48 端口千兆以太网光口(SFP,LC)+4 端

口万兆以太网光接口板，满配单模光模块。

1

块

8

全网行为管理

1、1U 设备，内存≥8G，硬盘≥128GB MSATA，配置单电源，配置≥6 千兆电口；设备网络层吞吐量≥5.8Gb，带宽性能≥500Mb，支持用户数≥

1000，每秒新建连接数≥10000，最大并发连接数≥500000。

2、支持路由模式（NAT、路由转发、DHCP、GRE、OSPF）、网桥模式（多  路桥接模式）、旁路模式；高可用支持主主、主备模式部署；支持两台  及两台以上设备同时做主机的部署模式。

3、支持部署在 IPv6 环境中，设备接口及部署模式均支持 ipv6 配置， 所有核心功能（上网认证、应用控制、流量控制、内容审计、日志报表  等）都支持 IPv6。

4、在设备出现故障时，为提高排障效率，需支持 PPS 异常、丢包异常、

ARP 异常、内网 DOS 攻击等异常情况实时监测，显示每日异常事件个数及情况；支持针对上网权限策略进行检测分析，查看各个应用是否匹配  相关策略；支持针对用户认证的故障进行分析，给出错误详情以及排查  建议。

5、为不改变现有认证体系，需支持终端用户账号绑定手机号码和微信号，绑定后可以通过手机验证码和微信扫码实现上网快捷登录认证、支  持通过 OAuth 认证协议对接，支持阿里钉钉，企业微信第三方账号授权认证，能配置界面。

6、支持提供二维码和会议号，用户扫码或输入会议号认证上网；支持通过验证手机号码实名认证，提供功能配置界面。

7、支持 windows 终端调用管理员指定脚本/程序以满足个性化检查要求，对不满足检查要求的终端可弹窗提示、禁止上网。

8、为提高单位员工的使用体验，在无需安装插件的情况下，可通过流量状况检查主流杀毒软件的运行情况，对不满足检查要求的终端可重定  向页面修复，提供功能配置界面。

9、为保障单位员工在访问加密网站时的安全性，需具备识别并过滤 SSL 加密的钓鱼网站、非法网站的功能，支持将违规 https 访问重定向到告警页面，为保证功能真实性和有效性，需提供自主知识产权进行佐证。  同时支持客户端 SSL 解密，客户端会自动推送根证书安装。

10、支持智能负载均衡，负载策略可配置：优先使用优先级最高的线路、  按运营商负载、剩余带宽、带宽比例、平均分配以及禁用默认负载策略。

11、支持流量父子通道化应用流控技术；支持在不同线路上，根据不同  的应用、目标 IP、时间段、日期、用户/用户组、位置、终端类型来保证或者限制流量；支持根据百分比或数值设置通道带宽，并支持设置各  通道的优先级。

12、支持与本次采购的防火墙实现认证联动，实现认证同步机制，实现  单点登录，提供配置界面。

13、为提高整体网络的安全防护效果，支持与本次终端管理软件实现联

1

台

动，当检测到终端未安装 EDR 产品时，禁止上网并提示需要安装 EDR 终端软件，安装后支持下发快速查杀任务，并查看任务状态、结果并进行处置，支持在管理平台查询和统计联动信息，提供清晰的功能配置界面。

14、提供三年的硬件质保和三年软件升级服务。

9

终端安全

1、本次含 1 套控制中心，包含不少于 300 套 PC 版授权。产品可以纯软件交付，包含管理控制中心软件及终端客户端软件，其中管理控制中心  可云化部署。

2、采用 B/S 架构的管理控制中心，具备终端安全可视，终端统一管理， 统一威胁处置，统一漏洞修复，威胁响应处置，日志记录与查询等功能。

3、提供勒索病毒整体防护体系入口，直观展示最近七天勒索病毒防护效果，包括已处置的勒索病毒数量、已阻止的勒索病毒行为次数、已阻  止的未知进程操作次数、已阻止的暴力破解攻击次数。

4、支持跳转链接至云端威胁情报中心，针对已发生的威胁提供详细的分析结果，包含威胁分析、网络行为、静态分析、分析环境和影响分析，  提供清晰的功能配置界面。

5、支持安全策略一体化配置，通过单一策略即可实现不同安全功能的配置，包括：终端病毒查杀的文件扫描配置、文件实时监控的参数配置、

WebShell 检测和威胁处置方式、暴力破解的威胁处置方式和 Windows 白名单信任目录。

6、支持对系统账号信息进行梳理，了解账号权限分布概况以及风险账号分布情况，可按照隐藏账号、弱密码账号、可疑 root 权限账号、长期未使用账号、夜间登录、多 IP 登录进行账号分类查看，支持统计最近一年未修改密码的账户，提供清晰的功能配置界面。

7、通过智能识别终端环境情况（低配硬件、老旧设备、虚拟化等）和当前终端资源占用，在闲时实时监控和病毒扫描场景，都可智能调整

EDR 的资源占用（CPU、IO 等），为业务让出资源，不卡业务，对业务零摩擦，提供清晰的功能配置界面。

8、具备自研的基于人工智能的检测引擎，支持无特征检测技术，有效应对恶意代码及其变种。

9、支持一键云鉴定服务，提供云端专家+沙箱+多引擎鉴定能力，结合云端威胁情报对已告警的威胁文件再次进行综合研判并给出 100%黑白结果，用户可自助对管理平台告警的威胁快速判断是否误报和了解威胁  详情。

10、基于勒索病毒攻击过程，建立多维度立体防护机制，提供事前入侵  防御-事中反加密-事后检测响应的完整防护体系，展示勒索病毒处置情  况，对勒索病毒及变种实现专门有效防御。

11、支持与同厂商的防火墙、上网行为管理进行安全联动，管理员可以在同厂商的网络防火墙管理界面下发快速查杀任务，并查看任务状态、  结果并进行处置，支持在管理平台查询和统计联动信息（需提供产品截图证明）。

12、一键式操作对指定 Windows 终端/终端组进行合规性检查，包括身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防  范，对不合规的检查项提供设置建议，并可视化展示终端的基线合规检  查结果。

13、提供三年的软件升级服务。

1

套

10

WEB 应用防火墙

（门户网站安全）

1、通过多维度防御策略，为网站拦截 SQL 注入、XSS 跨站、命令& 代码注入、敏感文件访问、恶意爬虫等 Web 类型的攻击，保障您的业务安全稳定运行；

2、支持常见 Web 攻击进行检测，包括但不限于 SQL 注入、XSS 跨站攻击、命令注入、代码注入、敏感文件访问等。能通过预置的信誉库，防

护恶意扫描爬虫等攻击。支持第三方漏洞攻击等威胁检测和拦截；

1

套

3、支持策略事件集中配置，支持记录、阻断两种模式，支持误报屏蔽策略；

4、支持精确识别，支持语义分析+正则双引擎，支持常见编码还原；

5、支持流量及事件统计：可实时查看访问次数、安全事件的数量与类型，可查看详细的事件信息，支撑事件溯源；

6、当第三方 Web 框架、插件爆出高危漏洞，业务无法快速升级修复，

Web 应用防火墙会第一时间升级预置防护规则，保障业务安全稳定；

7、支持黑白名单配置，可自定义防护域名、黑白名单类型支持 IP、URL、

referer、useragent，提供产品配置截图；

8、支持攻击日志告警及处置，告警类型包含请求方法、访问 URL、客户端 IP、攻击类型、地区、请求时间等，提供产品界面截图，

9、支持业务访问带宽、流量、访问趋势图、访问状态分布、访问 URL 排行、源站延时趋势等信息集中展示，支持 WEB 攻击趋势、CC 攻击拦截、攻击来源、攻击类型、攻击 IP 排行、攻击记录集中展示；

10、本次配置≥一个域名包可支持 10 个子域名防护，200MB 防护带宽。

11

数据库审计（门户网站安 全）

1、支持敏感数据发现：包括 PCI、HIPAA、SOX、GDPR 等合规知识库， 用户也可以自定义敏感数据的规则知识库，并通过配置相应敏感数据发  现策略来发现数据库中的敏感数据，可以一键自动生成脱敏规则和审计  规则；

2、支持合规审计：支持数据库活动监控，可提供多维度的数据库审计线索，包括源 IP、用户身份、应用程序、访问时间、请求的数据库、原 SQL 语句、操作、 成功与否、耗时和返回内容等，协助用户溯源到攻击者；

3、支持实时告警：支持通过操作类型、操作对象、风险等级等多种元素细粒度定义要求监控的风险操作行为，当系统资源（CPU、内存和磁盘）占用率达到设置的告警阈值时立即告警；

4、支持审计时长、语句总量、风险总量、风险分布、会话统计、SQL 分布等多维度的快速分析，支持根据时间、数据库用户、客户端等多角度进行分析，提供时间、风险等级、数据用户、客户端 IP、数据库 IP、操作类型、规则等多维度线索分析；

5、支持用户行为发现审计：可关联应用层和数据库层的访问操作，提供内置或自定义隐私数据保护规则，防止审计日志中的隐私数据（例如，  账号密码）在控制台上以明文显示；

6、支持精细化报表：提供客户端和数据库用户会话分析报表、提供风险分布情况分析报表、提供满足数据安全标准（例如 Sarbanes-Oxley） 的合规报告等功能；

7、支持审计规则配置，包括审计范围、SQL 注入、风险操作、隐私数据保护，可根据实例情况进行具体配置，提供配置界面截图；

8、支持审计报表导出，报表内容包括名称、关联数据库、报表类型、生成时间、格式、状态、操作等；

9、支持告警通知，支持邮件告警、告警风险等级、系统资源告警，支持自动备份、手动备份；

10、本次配置≥2 个数据库实例授权；

1

套

12

安全服务

一、安全管理：

1、为方便运维，安全管理中心支持通过专属云云平台跳转至统一管理界面，安全管理中心支持对云上资产集中管理，支持统一配置日志审计、  数据库审计、堡垒机、终端安全、防火墙产品，提供截图证明；

2、支持统一收集全网安全设备运行数据，可智能关联分析，实时评估云上系统和网络的安全态势。安全管理员可以快捷查询、分析资产整体  威胁情况并处理；

3、支持在集中展示云上业务系统的风险状态，包括业务风险分布、风

1

套

险级威胁趋势、安全事件列表、安全评分、已具备的安全能力列表等。

4、支持组织架构统一管理，安全组件统一认证，云平台用户可通过控

制台单点登录安全专区平台及所有安全组件。安全组件集中授权，集中

监控、集中管理。从安全管理中心可管理所有安全组件。

5、可识别租户用户资产，可对资产进行分组管理，结合安全组件数据

进行风险分析；

6、支持对租户主机/应用进行安全漏扫，并可生产漏扫报告

7、威胁分析中心支持对全网资产的安全事件及告警进行分类，至少按

照风险等级、事件类型、影响标签、来源、状态等维度来分类；

8、本次要求配置主机及应用漏洞扫描，配置≥50 资产授权数。

二、防火墙：

1、支持基于对象、区域和地域维度设置安全访问控制策略，允许或拒

绝特定国家或者地区的对象访问内部网络，保障业务重大时期安全可靠

性；

2、要求具备基于国家/地区的流量管理功能，提供权威机构关于“国家

/地区的流量管理”产品功能检测报告；

3、支持对 HTTP、HTTPS、FTP、SMB、SMTP、POP3、IMAP 协议进行病毒

检测和查杀，支持最大 16 层的压缩文件查杀；

4、要求具备勒索软件通信防护功能，提供第三方权威机构关于“勒索

软件通信防护”产品功能检测报告；

5、具备僵尸网络检测功能，可基于僵尸网络检测引擎发现主机的异常

外联行为，并提供威胁等级和非法外联次数作为举证；

6、支持 Web 应用攻击检测，支持文件包含攻击、抵御注入式攻击（包

含 SQL 注入、系统命令注入）、信息泄露攻击、跨站脚本（XSS）、网

站扫描、WEBSHELL 后门攻击、跨站请求伪造、目录遍历攻击、WEB 整站

系统漏洞等应用层攻击行为，支持超过 3000 种 Web 服务器漏洞特征规

则；

7、支持网站防篡改功能，可防止攻击者非授权修改网站目录文件；

8、支持网页恶意链接检测功能，有效识别网页盗链/黑链的行为，避免

用户网页资源被滥用；

9、要求实配 WAF、网页防篡改功能，支持应用层吞吐≥200M。

三、堡垒机：

1、支持从 windows AD 域抽取用户账号作为主账号，支持一次性抽取和

周期性抽取两种方式；

2、支持定期变更目标设备真实口令，支持自定义口令变更周期和口令

强度。口令变更方式至少支持手动指定固定口令、通过密码表生成口令、

依照设备挂载的口令策略生成随机口令、依照密码策略生成同一口令等

方式；

3、支持自定义多级审批流程，可设置一级或多级审批人，用户访问关

键设备需相关审批人逐级审批通过才允许访问；

4、支持通过动作流配置提供广泛的应用接入支持，无论被接入的资源

如何设计登录动作，通过动作流配置都可以实现单点登陆和审计接入；

5、支持在授权基础上自定义访问审批流程，可设置一级或多级审批人，

每级审批可指定通过投票数，需逐级审批通过才可最终发起运维操作

（需提供产品功能截图证明）；

6、支持 IPV6，设备自身可以配置 IPV6 地址供客户端访问，并且支持

目标设备配置 IPV6 地址实现单点登陆和审计；

7、支持紧急运维流程，当运维人员需对目标设备进行紧急运维时，可

通过紧急运维流程直接访问目标设备，同时记录为紧急运维工单，便于

相关审批人事后对该流程进行确认以及审计员事后查看；

8、持双人复核登陆，登录时必须经过第二人授权后才能登录，第二人