序号

项目名称

数量

服务期

预算金额

最高限价

1

梅州市公安局新一代移动警务终端及相关配套设施运营服务采购项目

1项

36个月

39,184,000.00元

39,184,000.00元

标的提供的时间

 自合同签订后90日内完成项目实施及所有设备交付使用，项目验收合格后提供36个月的服务。

标的提供的地点

 采购人指定地点

付款方式

 1期：支付比例100%,合同签订并验收合格后，每月缴纳费用，采购人每月20日前缴纳上一个月的服务费用，分3年共36期进行支付。 注：①每笔款项支付时，中标人同时向采购人提供相应金额的正式发票、合同、验收合格报告（加盖具有相应资质的第三方验收机构公章）。②付款方式:银行转账支付；③本合同的付款时间为采购人向政府采购支付部门提交支付申请时间，即视为采购人已向中标人支付服务费（不含政府财政支付部门审查的时间)。中标人同意本条款对付款时间的约定，合同或附件中与本条款约定不一致的，以本条款约定为准。

验收要求

 1期：1、项目完成供货且开通服务后，采购人开展项目验收，由采购人组织验收小组，中标人按采购人要求配合验收工作，必要时邀请相关的专业人员或机构参与验收。 2、交付验收标准依次序对照适用标准为： ①符合中华人民共和国国家安全质量标准或行业标准； ②符合招标文件要求和响应文件承诺中采购人认可的合理最佳配置、参数及各项服务要求； 3、验收时如发现所交付的服务不符合招标文件规定的情形者，中标人应作出详尽的现场记录，或由采购人和中标人双方签署备忘录，此现场记录或者备忘录可用作补充、缺失和更换损坏部件的有效证据，由此产生的有关费用由中标人承担。 4、依投标文件要求对全部设备、产品、型号、规格、数量、外型、外观、包装及资料、文件（如装箱单、保修单、随箱介质等）的验收。投标供应商必须为采购人设计、安装、调试、维修、使用提供足够的技术资料和技术保障，提供设备的有关证明。 5、如商检或设备测试中发现设备性能指标或功能上不符合招标文件和合同要求时，将被看作性能不合格，采购人有权拒收并要求赔偿。 6、验收时中标供应商负责将全部有关技术文件、资料、安装、测试、验收报告等到文档汇集成册交付采购人。 7、中标人所提供的设备出现更新换代、停产的，中标人须提供由制造商出具的停产证明，在不降低原中标设备质量或配置(规格)、原中标价格不变的前提下，经采购人同意后，可以提供原中标设备的替代设备，替代设备需经采购人组织相关技术人员进行鉴定，确定其性能、质量等不低于原中标设备，并与采购人签订设备变更协议为合同的附件，否则按违约处理。

履约保证金

 不收取

其他

 其他要求，一、货物要求 投标人必须提供符合国家质量检测标准的全新、未使用过的货物，投标人必须负责设备的安装调试和培训。 二、报价要求： 1、本项目的最高投标限价：人民币39,184,000.00元，投标人的投标报价超过最高限价作废标处理； 2、投标人的投标报价应为完成本次采购所有服务内容的费用，包括但不限于：人工费、社保费、设备费、节假日加班费、管理费、食宿费、保险费、设备定期维护、保养及使用人员培训费用、设备修复及损坏更换费用、各种税务费及合同实施过程中的应预见和不可预见费用等完成合同规定责任和义务、达到合同目的的一切费用，投标人缺报或漏报的均视为已包含在投标报价中，采购人不再额外支付。

序号

品目名称

标的名称

单位

数量

分项预算单价（元）

分项预算总价（元）

所属行业

技术要求

1

其他服务

梅州市公安局新一代移动警务终端及相关配套设施运营服务采购项目

项

1.00

39,184,000.00

39,184,000.00

软件和信息技术服务业

详见附表一

参数性质

序号

具体技术(参数)要求

1

一、采购需求内容

本项目的建设范围为：采购不超过4808套新一代移动警务终端服务，服务期为三年（36个月），在服务期内提供软件安全、系统维护、旧终端处理、移动警务信息接入服务；提供等保复测三年、密码应用改造及测评服务。具体如下：

二、技术标准与要求

（一）移动警务终端服务

1.1、移动警务终端设备

终端软硬件要求

▲1、芯片要求：4nm制程高性能CPU，不低于“八核”，其中单核主频不小于3.1GHz，GPU性能不低于Adreno 730；（提供官网参数截图及官网链接）

2、存储空间要求：不小于12GB RAM+256GB ROM；

▲3、具有互联网系统、安全系统两个独立的操作系统，操作系统版本在安卓12.0 及以上或同等级其他操作系统，系统间相互隔离、但可实时进行切换，需按用户方需求开展相关定制；（提供官网参数截图系统屏幕截图证明及官网链接）

▲4、移动网络支持：支持移动/电信 5G/4G+/4G/2G，联通5G/4G+/4G/3G/2G，双卡双待；

▲5、后置摄像头：不小于5000万像素广角摄像头（f/1.8光圈）+ 5000万像素超广角摄像头 + 1200万像素长焦摄像头；前置摄像头不小于1200万像素；（提供官网参数截图证明及官网链接）

6、定位功能支持：同时支持北斗、GPS、伽利略、AGPS等定位；

7、具备WIFI、蓝牙以及NFC（近距离无线通信功能）等无线连接功能，针对不同系统限制或可控使用；

8、蓝牙：支持BT5.2，支持BLE、SBC、AAC、LDAC、APTX、APTX HD；

9、WLAN：支持802.11 a/b/g/n/ac/ax/be协议，支持2.4GHz/5GHz频率；

10、NFC：支持读卡器模式, 卡模拟模式（钱包支付，SIM卡支付，HCE支付）；

▲11、屏幕规格：屏幕类型为OLED，屏幕尺寸不小于6.7英寸，屏幕色彩不小于10.7亿色（10bit），分辨率不小于1224*2664像素，屏幕刷新率不小于120Hz,支持不小于2000Hz高频PWM调光，峰值亮度不小于1500尼特；（提供官网参数截图证明及官网链接）

▲12、电池：电池容量不小于4900毫安时(典型值），支持11V/6A超级快充，兼容10V/4A或10V/2.25A超级快充，兼容10V/2A快充；（提供官网参数截图证明及官网链接）

13、传感器：指纹传感器（屏内指纹）、陀螺仪、指南针、接近光传感器、重力传感器支持、多光谱色温传感器、Flicker传感器。

系统要求

1、系统采用双系统方式实现，一个系统为安全系统，一个为互联网系统；

2、两个系统完全隔离，数据不能共享(SIM 卡中保存的数据除外)

3、对于此定制机型，只能刷定制的双系统ROM 包，不能刷其他ROM 包；系统需要防 root；

4、两个系统都能接电话,当前在哪个系统接电话，通话记录保存在哪个系统；通话过程中禁止切换系统；

5、短信功能：两个系统都能收短信，当前在哪个系统，短信属于哪个系统；两个系统短信相互独立存储，相互不能访问；

6、通信录功能：两个系统通信录相互独立，不能相互访问。如当前在互联网系统来电，互联网系统电话本没来电号码记录，则即使在安全系统中有记录，来电也只能显示号码，不能显示来电人名称；

7、安全系统数据业务满足：安全系统采用独立的 APN，只能通过 VPDN 接入专网做数据业务；

8、外部接口屏蔽功能：安全系统的BT/互联网禁止，USB 只保留充电功能，互联网系统不做限制；

9、截屏/录屏功能：两个系统均提供截屏/录屏接口，但是截屏/录屏的数据只能保存在用户当前操作的系统中，另一个系统不能访问。

▲10、安全系统提供配置全程水印接口，可配置全程水印的显示内容和显示位置，且全程水印一旦开启，在移动终端显示页面背景均应显示背景水印内容，包括桌面、系统应用和第三方应用运行时的页面显示。（提供检验报告或系统截图证明）

▲11、终端内置可信计算模块，支持静态可信校验：手机在面临硬件破解情况下需经与初始状态校验合格后才能启动；（提供检验报告或系统截图证明）

12、投标人所投产品须符合GAT_1466.1-2018《智能手机型移动警务终端_第1部分：技术要求》的技术标准。

终端合规性要求

★新配备的移动警务手机型终端需满足《智能手机型移动警务终端第1部分：技术要求》（GA/T 1466.1-2018），通过公安部检测中心组织的相关检测。（投标文件中提供响应承诺函加盖投标人公章，格式自定）

1.2终端通信套餐服务

为每个配备的移动警务终端提供如下通信套餐，具体如下：

1.移动警务终端每月含2000分钟通话。

2.移动警务终端每个月含有120G流量，达量降速，不额外收费。

3.移动警务终端配套提供警员之家服务。

（二）终端配套安全服务

2.1、安全加密服务

1、1024位RSA算法签名：≥7 次/秒

2、1024位RSA算法签名验证：≥7.5 次/秒

3、SM1算法加密：≥1800 字节/秒

4、SM1算法解密：≥1800 字节/秒

5、SM2算法签名：≥10 次/秒

6、SM2算法签名验证：≥16 次/秒

7、为移动警务终端提供配套的硬件形态的商用密码服务模块，其类型不限于贴膜卡、SIM型密码卡、TF卡等形态。

8、支持商用密码算法SM1、SM2、SM3及SM4，具备商用密码产品认证证书，用于移动终端实现密码运算和密钥保护，采用双安全芯片设计，电信应用模块与PKI应用模块物理隔离，安全机制相互独立。

9、支持使用SKF标准接口作为PKI中间件，实现数字签名。

10、无缝与广东省公安厅移动警务PKI系统对接，实现移动警务数字证书的存储，为移动终端提供数字签名、签名验证和数据加密等密码服务。

11、内置芯片模块封装等物理特性符合行业规范，具备抗静电能力，卡内程序具有断电保护等异常情况处理功能。

12、支持移动、电信、联通等移动通信运营商SIM应用，兼顾运营商的电话应用功能和PKI安全应用功能，兼容各类安卓平台移动设备的ISO7816接口。

13、支持签发RSA双证和SM2双证证书；

▲14、具备移动警务数字证书管理工具，具备设备证书、验证设备口令、修改设备口令、解锁设备用户口令、删除证书、初始化设备等功能，提供功能截图并加盖厂家公章证明。

▲15、支持通过移动警务数字证书客户端下发证书到加密卡中（支持RSA、SM2），提供RSA和SM2证书签发的操作截图并加盖厂家公章证明。

2.2、终端管控平台

1、预注册：由管理员在后台通过单个添加、批量导入用户信息和终端IMEI、SIM卡IMSI等信息。

2、机卡绑定：系统后台自动根据注册终端当前使用的终端号卡进行终端号卡和终端间的一对一全局绑定。当终端上使用的号卡发生变化时，终端将进行异常行为监管，将终端锁定，防止终端的违规使用。注册卡强制绑定卡槽1，工作系统禁用卡槽2。

3、终端端口管理（开启/关闭）：系统后台可以控制终端上相关端口功能的开启和关闭，包括：蓝牙开启/关闭、摄像头开启/关闭、麦克风开启/关闭、网络访问开关（WIFI开启/关闭、移动数据开启/关闭）、个人热点开启/关闭、GPS开启/关闭、USB开启/关闭、飞行模式功能开启/关闭，截屏功能开启/关闭，录屏功能开启/关闭，自动旋转功能开启/关闭。

4、终端资产管理：显示终端基本信息，包括：终端号码、用户名称、所属部门、终端状态、是否在线、是否Root、是否外出、是否失联、最后连接时间等信息。

5、远程协助：管理员通过系统后台对终端发起远程协助，终端接受许可后，管理员在管控PC上可以远程接管该终端安全工作模式的界面，针对终端使用的问题，提供远程协助，远程帮助终端使用者解决问题。

6、终端文件管理：终端文件获取：要求系统能够通过后台获取终端存储空间指定目录中的文件。终端文件推送：要求系统能够通过后台对终端存储空间的指定目录中推送文件。

7、终端管理状态查询：管理员通过系统后台查询所有注册终端的已注册、在线、失联、外出、Root、已注销等管理状态。

8、专用APN/VPDN自动配置和接入：APN/VPDN配置信息通过系统后推送，终端自动配置和切换到接入网APN/VPDN，并且保证接入网APN/VPDN配置不可修改。

9、登陆认证：终端进入工作模式时，要求输入工作模式密码，同时要求支持三个认证一次性拨通：VPDN，安全链路长链接，TF卡加密认证，只有通过认证才可以访问工作模式。

10、应用黑白名单：系统后台支持应用白名单库，支持增、删、改、查、导入操作，客户端仅允许白名单中的应用可以下载安装并使用，禁止终端使用白名单外的应用；系统后台支持应用黑名单库，支持增、删、改、查、导入操作，客户端禁止安装和使用黑名单中的应用。

11、水印功能：要求安全管理系统提供水印功能。根据需求能够给终端指定应用加载水印。支持水印可显示可隐藏，隐藏水印可通过特定软件解码水印信息，查看水印信息

12、权限管理：后台可创建多个管理员，对管理员可管理的组织机构范围进行设定，从而提供不同权限的管理账户。后台功能包括：管理员管理、角色管理、二维码配置，可以按管理需求配置给普通管理员使用。

▲13、投标人所投移动终端管理平台具备公安部门监制的信息系统安全等级保护标准三级及以上的认证备案证书，提供证书复印件并加盖厂家公章证明。

14、投标人所投移动终端管理平台需提供由公安部监制的计算机信息系统安全专用产品销售许可证。

▲15、投标人所投产品须符合《GAT_1466.2-2018_智能手机型移动警务终端_第2部分：安全监控组件技术规范》，具有公安部检验报告。

(三)链路接入服务

3.1.提供一条无线传输链路专线，使得运营商基于4G/5GVPDN/APN技术的公安无线虚拟专网延伸至市级公安移动信息网，确保移动警务终端可以顺利访问市局联网服务子平台。

3.2.提供配套的终端网络准入服务，在市局公安移动信息网部署网络准入控制系统，实现市局移动警务终端安全可控的访问市级公安移动信息网，非授权的授权无法接入市级公安移动信息网。

3.3.跨网传输服务：跨网传输服务需提供两条万兆安全接入链路。

3.3.1.安全接入链路

3.3.1.1.链路功能设计

1、数据交换功能

数据交换分为数据采集和数据交换两个部分。

（1）数据采集指的是党/政/军/机关前置服务器安全获取党/政/军/机关接入终端用户发送来的数据。

（2）数据交换指的是党/政/军/机关前置服务器与内网应用服务器开展双向的信息安全交换。

2、授权访问功能

授权访问功能主要是指对于授权访问类终端通过安全接入链路安全地访问公安内网资源。

3.3.1.2.链路安全设计

边界链路作为公安网边界接入统一的出入口，是公安网与边界接入业务的交通要道。针对边界接入业务存在的各类风险在安全方面进行设计，主要包括：终端设备注册、用户身份认证、链路安全、网络安全、加密传输、访问控制、应用安全、主机安全和病毒/木马防护等。

1、终端设备注册

为了确认接入终端的合法性，对所有的接入终端进行设备注册。只有在平台进行了注册，并审批通过的合法终端才能与平台实现互连。

2、用户身份认证

由于党/政/军机关接入的用户有权限访问公安网部分资源，为了保障公安网的安全并支持公安网内业务对接入用户行为的审计，其用户身份认证方式采用硬件型式的数字身份证书来实现。

3、链路安全

通过专线方式确保链路安全，具体指的是公安自建或公共通信网运营商提供的专用通信线路/带宽，其特点为端点物理位置固定，电路专用。

4、网络安全

在网络安全设计上，除了采用专门的安全接入设备作为整个平台边界设备外，在其外部还增设防火墙、入侵防御、入侵检测等以保护边界接入平台边界的网络安全。

5、加密传输

在网络传输的过程中，接入终端与接入平台间通信内容容易被截取、监听、篡改或伪造等，为了保障数据传输安全，所有接入终端与平台边界的信息传输都采用SSL/TLS协议进行传输。

6、访问控制

访问控制设计的目的是为了保障非法用户和终端不能访问接入平台、合法用户和终端不能越权访问接入平台、特定资源仅对特定授权用户和授权终端提供访问。

7、应用安全

业务操作方式如为“数据交换”类型，接入平台必须对接入业务的数据流量先实现通信协议的剥离，并按照业务预先注册的数据格式要求，对数据的类型、格式进行严格检查，对数据内容进行过滤，限制所有不符合要求的数据传入接入平台。

业务操作方式如为“授权访问”类型，必须实现应用级的身份认证、访问控制和授权管理，并能依据安全策略细粒度控制访问范围、应用类型和内容。授权访问一般基于代理模式进行。

8、数据安全

公安网内及接入平台内的重要数据应遵照公安部相关规定提供保护和备份措施。

3.3.1.3.网络准入控制

1、提供终端网络准入服务，实现梅州市公安局移动警务终端安全可控的访问市级公安移动信息网，非授权的授权无法接入市级公安移动信息网；

2、支持各类型终端的准入控制管理，包括，802.1X、IP控制、合规评估、身份认证及入网控制等终端准入控制管理功能；

3、支持基于终端IP进行准入控制；

4、支持与第三方终端控制系统MDM进行联动。

5、支持路由模式或桥接模式部署；

6、支持双机热备，具备添加热备信息、修改热备组信息、启动/停止热备，热备重置、热备信息日志等功能。

7、支持根据不同机构查看其下的机构用户，支持查看本域和外域机构信息。

8、支持增加相应的网络加入策略来达到网络的准入控制，包括有“明通规则管理”及“策略加载”等功能。

▲9、提供系统中所有操作日志的查看功能、日志运行查看、日志导出、日志审计等功能，日志分为如下类型：用户操作日志，管理员操作日志，应用服务日志，设备状态日志和应用客户端日志。提供功能界面截图并加盖厂家公章证明。

10、终端准入授权：≥5000台

11、最大网络连接数：≥20万

12、最大并发用户数：≥5万

13、最大网络吞吐量：≥8Gbps

3.3.1.4.数据安全交换系统

1、由前置服务器、后置服务器和安全传输系统组成。。

2、支持FTP协议的文件传输;可通过推、拉与混合方式进行文件传输；

3、向公安网导入数据必须采用安全隔离区的传输接口。传输接口须进行用户认证，认证方式采用数字证书或口令。

4、支持以用户名/口令方式访问、硬件证书、双因子认证、生物识别等；支持鉴别失败处理机制及超时重鉴别机制；支持密码管理功能，

5、支持三权分立的管理权限，具备系统管理员、安全管理员和审计管理员。

6、支持 Oracle 数据库、MySQL 数据库、SQLServer 数据库的异构全量、增量数据同步。

7、能够将本地接入平台、接入业务及使用单位等注册管理 基本信息，以及运行状态和安全审计基本信息定时上报 给上级接入平台。

8、支持对文件数据的加密、解密；支持15种文件格式的检查、关键字内容过滤；

9、支持与梅州市公安局的安全大数据基座对接，将日志数据上报至安全大数据基座。

▲10、支持传输任务的FTP内容策略，支持配置图文转换、MD5校验、JPG夹带检查、XML格式检查、病毒扫描、压缩、加密等功能，并支持对JPG和XML的检查备份，提供功能界面截图并加盖厂家公章证明；

11、支持数据双单向传输

12、吞吐量 ≥2500Mbps(ftp-cc模式)

13、文件传输性能（5KB小文件）≥3000个/秒（ftp-cc模式）

3.3.1.5.安全访问控制

1、支持基于硬件数字证书的身份认证；

2、支持基于终端特征的设备认证；

3、基于资源的访问控制；

4、具备用户鉴别机制、访问保障能力、访问限制能力、安全策略不可旁路等功能；

5、基于URL的细粒度授权管理；

6、基于链路服务的策略管理和下发；

7、基于个人证书及证书DN项的访问控制；

▲8、具备远程管理加密、远程访问加密、管理员鉴别机制、本地agent的自身保护功能等自身安全功能，提供公安部检测报告证书并加盖厂家公章证明。

9、支持双机热备；

10、实现系统配置备份/恢复、日志审计等系统管理功能；

11、支持黑名单管理功能；

12、证书配置支持站点证书和证书链，并可配置信息绑定项。

13、设备稳定性运行时间>50000小时；

14、最大支持的吞吐量不低于4Gbps；

3.3.1.6.万兆防火墙

1、吞吐量≥10Gbps，最大并发连接数≥250万，每秒新建连接数≥6万；

2、标准1U机架式设备，配置双电源；提供4个千兆电口，4个千兆光口，2个万兆光口；

3、访问控制功能：设备支持通过防护规则实现网络访问控制，对不符合防护规则的访问进行拦截同时产生告警，支持灵活调整策略来增加系统的健壮性和安全性；

4、统一威胁防护功能：设备支持对蠕虫、后门、木马、间谍软件、web攻击、拒绝服务类等攻击通过检测后实现告警、阻断、限流等防御手段，进行有效防御；

5、恶意代码防护功能：设备支持通过恶意代码检测引擎和恶意代码库的技术融合，对恶意代码进行检测和防御；

6、设备支持对GA/T 1400协议检测功能，能够放通GA/T 1400标准协议，对其它协议进行阻断并产生告警；

7、在调阅视频时，设备支持对符合GB/T 28181标准的终端进行审计，包括源、目IP及取流时间。

▲8、恶意代码防护功能：设备支持通过恶意代码检测引擎和恶意代码库的技术融合，对恶意代码进行检测和防御，提供公安部权威机构提供的检测报告复印件。

▲9、基于协议识别的接入控制功能：设备支持对指定协议的信令和数据流数据基于安全策略进行检查，同时支持自定义特征制定安全策略，针对不符合安全策略的信令和数据流数据进行阻断，并产生日志告警，提供公安部权威机构提供的检测报告复印件。

10、支持一键重启，必要时可在不登录设备的情况下一键重启设备。

11、支持基于不同安全策略设定会话长连接老化时间。

3.3.1.7.万兆IPS

1、标准1U机架式设备，双电源，支持热插拔，吞吐量≥10Gbps，并发连接数≥200万，每秒新建连接数≥3.5万，

2、千兆电口8个，千兆光口2个，万兆光口2个（支持bypass）；

3、内置丰富的IPS特征库，可针对SQL注入、蠕虫、木马后门、扫描探测、暴力破解、网络爬虫、篡改攻击、漏洞利用等恶意攻击进行检测和阻断，特征规则数量不少于7000条。

4、支持双病毒检测引擎，集成第三方专业防病毒厂商的专业病毒库，特征规则数量不少于10000条。

5、支持攻击事件全面监控，能够以折线图展示攻击事件趋势、病毒事件趋势、并且以不同的颜色从“警告、严重、一般、致命”四个维度来标识安全事件

6、支持暴力破解检测，支持至少9种网络协议并支持至少17种暴力破解检测元素。

7、支持基于敏感字符阈值对敏感信息进行过滤，支持对文件传输、电子邮件、即时通讯等敏感应用，银行卡号、身份证号、手机号等敏感字符进行过滤。

8、设备入围《通过公安部组织测试的接入平台安全产品名单》

▲9、支持对HTTP协议进行访问管控，过滤JAVA Applets、ActiveX等插件，限制上传或者下载的文件大小以及文件类型，支持自定义关键字过滤（须提供第三方具备CMA和CNAS资质的检测报告）

▲10、支持通过telnet/ssh/console的形式登录设备抓取数据流的交互过程，展示信息包括但不限于报文源/目的IP、协议、源/目的端口、源/目的MAC、入出接口、报文长度以及经过设备内部各个功能模块的匹配过程，方便进行故障定位，提供具备CMA和CNAS标识的第三方检测报告并加盖原厂公章证明。

▲11、支持对FTP协议进行访问管控，可以对ABOR、ACCT、APPE、CDUP、CWD、DELE、STOR、RETR、RMD、RNTO等动作进行控制，并支持自定义禁止上传或者下载的文件类型（须提供第三方具备CMA和CNAS资质的检测报告）

12、支持对挖矿行为进行检测与防护，能够对挖矿通信、矿池连接、挖矿病毒传播行为进行统计，能够展示挖矿通信源IP、挖矿通信服务器IP、矿池IP、矿池域名、中毒地址、投毒地址等信息top排行，支持按最近一天、最近两天、最近一周、最近一个月进行排行展示，展示的内容包括IP/域名以及攻击数量。

3.3.1.8.IDS

1、标准1U机架式设备，双电源，支持热插拔，吞吐量≥10Gbps，并发连接数≥200万，每秒新建连接数≥3.5万。

2、千兆电口8个，千兆光口2个，万兆光口2个，支持扩展槽≥2个。

3、支持限制访问接口的服务，包括但不限于HTTP、HTTPS、Telnet、SSH、Ping。

4、支持在Web页面直接打开命令行窗口执行命令，方便使用。

5、内置丰富的入侵检测特征库，可针对SQL注入、木马后门、漏洞利用等恶意攻击进行检测和阻断，特征规则数量不少于9000条。

6、支持检测RAR、ZIP等压缩格式的文件病毒检测，检测压缩层数不小于20层。

7、入侵检测日志支持聚合发送，聚合条件包括源IP聚合、目的IP聚合、源端口聚合、目的端口聚合、协议聚合，同时发送的日志服务器不少于10个。

8、设备本地支持自动和手动备份配置文件，至少能够保存10个文件，支持配置回滚，并且支持通过FTP和TFTP备份到远端服务器。

▲9、支持数据库注入恶意攻击进行检测和阻断，提供国家机构出具的注入攻击

检测技术能力证明文件并加盖原厂公章。

3.3.1.9.出口防火墙

工作模式

产品支持路由模式、透明模式、虚拟网线模式、旁路镜像模式等多种部署方式。

硬件一虚多

产品支持虚拟防火墙功能，支持虚拟防火墙的创建和删除，具备独立的接口、会话管理、应用控制策略、NAT等资源。

链路状态检测

产品支持链路连通性检查功能，支持基于3种以上协议对链路连通性进行探测，探测协议至少包括DNS解析、ARP探测、PING和BFD等方式。

链路聚合

产品支持链路聚合功能，可以将多个物理链路组合成一个性能更高的逻辑链路接口，提高链路带宽和链路可靠性。

路由功能

产品支持静态路由、策略路由和多播路由协议，并支持BGP、RIP、OSPF等动态路由协议。

产品支持路由类型、协议类型、网络对象、国家地区等条件进行自动选路的策略路由，支持不少于3种的调度算法，至少包括带宽比例、加权流量、线路优先等。

NAT功能

产品支持多对一、一对多和一对一等多种地址转换方式。

支持NAT穿透技术ALG，支持FTP、TFTP、SQLNET、PPTP、RTSP、SIP、H.323等协议。

IPv6

产品支持IPv4/IPv6双栈工作模式，以适应IPv6发展趋势。

产品支持基于应用、服务、时间、域名、IPv6对象等维度的访问控制

VPN功能

产品支持IPsec VPN和SSL VPN功能。

为满足组网兼容性，IPSec VPN需支持IKEv1和IKEv2协议，支持基于主模式和野蛮模式建立加密隧道。

产品支持多种SSL VPN用户认证方式，至少包括本地密码认证、LADP认证和硬件特征码认证。

认证方式

产品支持3种以上的用户认证方式,包含但不限于单点登录、本地账号密码、外部账号密码认证。

流量控制

产品支持多维度流量控制功能，支持基于IP地址、用户、应用、时间设置流量控制策略，保证关键业务带宽日常需求。

会话控制

产品支持基于IP对象的会话控制策略，实现并发连接数的合理限制。

访问控制策略

产品支持基于网络区域、网络对象、MAC地址、服务、应用等维度进行访问控制策略设置。

DDoS防护

产品支持对ICMP、UDP、DNS、SYN等协议进行DDOS防护。

产品支持异常数据包攻击防御，防护类型包括IP数据块分片传输防护、Teardrop攻击防护、Smurf攻击防护、Land攻击防护、WinNuke攻击防护等攻击类型。

URL分类过滤

产品支持管控非法、违规网站的访问行为，具备海量的URL分类库。

文件过滤

产品支持基于文件传输方式、文件类型等维度的管控策略配置。

加密流量安全防护

产品支持https解密功能，支持TCP代理和SSL代理。

防病毒

产品支持对SMTP、HTTP、FTP、SMB、POP3、HTTPS、IMAP等协议进行病毒防御。

产品支持对压缩病毒文件进行检测和拦截，压缩层数支持15层及以上。

产品支持杀毒白名单设置，可以例外排除特定MD5和URL的病毒文件，针对特定文件不进行查杀。

▲产品支持勒索病毒检测与防御功能，提供产品功能截图证明并加盖厂商公章，并提供公安部计算机信息系统安全产品质量监督检验中心、中国信息安全测评中心、中华人民共和国国家版权局、公安部信息安全产品检测中心之中任意一家检测机构出具关于“勒索病毒”的证书或检测报告证明功能有效性。

入侵防御

产品支持基于IMAP、FTP、RDP、VNC、SSH、TELNET、ORACLE、MYSQL、MSSQL等应用协议进行深度检测与防护。

策略有效性分析

产品支持安全策略有效性分析功能，分析内容至少包括策略冗余分析、策略匹配分析、风险端口风险等内容，提供安全策略优化建议。

策略生命周期管理

▲产品支持策略生命周期管理功能，支持对安全策略修改的时间、原因、变更类型进行统一管理，便于策略的运维与管理。提供产品功能截图证明并加盖厂商公章。

双机部署

产品支持A|A、A|S两种双机模式部署。

管理方式

产品支持Web管理、串口管理、SSH管理等多种不同方式。

带外管理

支持带外管理,保障管理网络和业务网络相互隔离。

安全日志设置

产品支持多种安全日志存储方式，至少包括防火墙本机、日志服务器等不同方式。

安全日志查询

产品支持多条件的安全日志组合查询，查询条件包括但不限于日志类型、日志级别、生成时间。

管理员账号权限管控

产品支持三权分立功能，根据管理员权限分为安全管理员、审计员、系统管理员三种角色。

双因素认证

▲产品支持管理员双因素认证功能，用户通过用户名/密码和Key等不同方式登陆产品管理界面。提供产品功能截图证明并加盖厂商公章。

3.3.1.10探针

1、每秒可接收日志条数不小于200条

2、支持多种设备状态信息的采集（被管设备需支持SNMP协议）

3、支持SYSLOG、SNMP2.0/3.0协议采集信息（被管设备需支持SNMP协议）

4、支持应用流量信息的探测

5、为了实现集中管控，需要与市局原边界对接，实现对平台、链路、设备、业务信息的上报。

6、支持链路数≥1条；

7、最大可支持业务数≥20个；

8、最大可支持设备数≥20个。

（四）等保测评服务

根据《信息安全技术网络安全等级保护基本要求》（GBT22239-2019）、《信息安全技术 网络安全等级保护测评要求》（GBT28448-2019）的标准规范，聘请第三方测评机构针对原有梅州市公安局新一代移动警务系统开展等级保护复测工作（每年完成一次复测，提供三年服务）。

（五）密码应用改造服务

密码应用改造服务重点是在公安移动信息网部署两台密码机，提供符合密码应用的基础设施，为移动警务应用改造奠定基础。密码设备具有商用密码型号认证证书，可于国家商用密码管理部门认可目录中查询。

5.1.密码应用服务

提供2套具有商用密码产品认证证书的密码服务，提供基础、高效、稳定的密码服务，满足应用系统数据的签名/验证、加密/解密等要求，保证传输信息的机密性、完整性和有效性，同时提供安全、完善的密钥管理机制。

密码服务通过商用密码技术结合特定硬件，为不同应用分别创建加密公私密钥对和签名公私密钥对，协商保存会话密钥，并使用这些密钥提供数据加解密服务；可以为不同应用分别存储用户数字证书，为终端设备提供数字签名、签名验证服务；可实现数字签名证书加密存储，写入加密区时对证书进行加密存储，从加密区内读出时对证书解密。

用户私钥保存在加密区内部，使用任何方式都无法读取，密码运算完全在内部完成，因此具有不可复制、不可破解的特点。

需满足以下参数要求：

1、SM2签名速率≥25000次/秒，SM2验签速率≥20000次/秒

2、SM2算法加密速率（256字节）≥10000次/秒，SM2算法解密速率（256字节）≥20000次/秒

3、RSA(2048bit)签名速率≥1200次/秒，RSA(2048bit)验签速率≥20000次/秒

4、随机数产生性能≥500Mbps

5、支持密钥生成，由国家密码管理局批准使用的双物理噪声源生成随机数，可生成各类对称密钥（SM1、SM4）和非对称密钥（SM2、RSA 2048/4096等）。

6、支持密钥安全存储，设备内部支持对称密钥和非对称密钥的安全存储，内部密钥位于内置的加密硬件中，且必须与授权管理员的USBKey进行密码运算，才能够提供服务。

7、支持密钥销毁，通过管理界面删除指定的对称或非对称业务密钥，也支持销毁全部业务密钥。

8、支持密钥备份与恢复，采用基于密钥分割的方式备份密钥和安全数据，保障备份数据的安全性。

9、支持采取高强度的密钥分割算法，只有满足最少数量的管理员才能进行恢复操作，备份密钥可恢复到相同型号的其它密码机设备中。

10、支持权限管理，管理用户采用三权分立的模式，保障设备的安全 访问，划分为系统管理员、安全管理员、审计管理员、系统操作员员四种类型。管理员和操作员身份通过USBKEY进行双因子认证。

11、支持密钥使用授权，用户密钥采用私钥授权码，实现了对每一个用户密钥对的认证，进一步提高系统的安全性。

12、密码服务接口，提供符合《GB/T 36322-2018_信息安全技术 密码设备应用接口规范》的标准化接口，接口支持C、Java等主流编程语言。

▲13、产品具备基于计算机信息系统安全产品部件 第一部分：安全功能检测GA216.1-1999（密钥管理类）和信息安全技术通用渗透测试检测条件JCTJ 005-2016（6.2.1、6.2.2）的检验检测报告。提供证书复印件并加盖厂商公章。

14、产品具备商用密码产品认证证书。

▲15、产品具备第三方机构出具的在功能性、兼容性、易用性、可靠性、维护性、可移植性等通过测试验证满足应用的适配报告。提供报告复印件并加盖厂商公章。

5.2.密码应用改造

梅州市公安局新一代移动警务系统的应用改造，是在省厅统筹建设的PKI体系的基础上，结合PKI数字证书、服务器密码机等安全产品来实现。

1、对本项目中终端管控平台等应用系统进行商用密码应用开发和改造，以满足GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》的三级指标要求，不限于对登录模块，重要信息和日志信息进行机密性和完整性保护，实现与密码资源池进行接口对接改造工作。

2、用户身份信息管理：支持给组织名称、人员身份证号进行加密

3、访问控制：系统页面上登录管理员账号，查看用户管理等，查看业务用户在本系统中的各类权限，保障访问控制信息的完整性。

4、鉴别数据：对管理员的密码；对管理员的密码完整性鉴别保护

5、重要业务数据：对组织名称进行加密；对组织名称进行完整性保护

6、日志数据：对日志IP进行加密，完整性保护。

（六）密码应用测评服务

根据GB/ T 39786-2021，分别从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、四个技术方面，聘请第三方测评机构针对原有梅州市公安局新一代移动警务系统开展密码应用三级测评工作。

  （七）终端回收和激活服务

旧终端回收和激活服务包括旧终端回收、旧终端更换和新终端激活、旧终端初始化服务。

7.1终端回收

整理所有终端使用情况，并制作终端回收前准备通知及指引，指导民警进行数据备份及清理，并初始化终端密码。

7.2旧终端更换和新终端激活

接收旧终端的同时，激活新终端，在旧终端更换和新终端激活之后，需要进行相关的测试和评估，并对新终端进行相关配置及安装应用，以确保新终端能够正常使用，安装部门对应下发新终端，秉承回收一台下发一台的原则，确保终端顺利更换。

7.3旧终端初始化

旧终端回收后，需要对旧终端进行初始化操作，确保终端数据不泄露，并清点清楚，做好台账，待进一步处理。

(八)运维服务

提供移动警务终端、平台和相关系统日常维护、故障排除，提供3年2人现场驻点运维服务。

8.1总体售后服务要求：

（1）中标人须为本项目提供服务期内整套系统及设备的技术运行和维护并提供7*24小时服务的能力，通过现场技术支持、电话技术支持、电子邮件技术支持等手段，提供完善的技术支持服务。
（2）中标供应商设有固定的维修服务机构，所供设备须按厂家承诺实行“三包”，若发现本次提供的设备本身存在缺陷，中标供应商须无条件退货或更换同类产品。
（3）在服务期内，采购人反馈产品质量、故障、事故问题时，30分钟内予以响应，需到现场维修时，2小时内到达现场维修，一般情况在24小时内须排除故障特殊情况需与采购人说明情况，并提供代用设备，保证采购人的正常工作使用。
（4）中标供应商须为采购人进行相关操作及安装调试工作。
（5）中标供应商应提供包括但不限于满足设备安装、使用和维护的技术文件，如设备和附件装箱清单、质量合格检定证明文件、保修服务卡、使用说明（原版正本）和中文维护手册

8.2.移动警务终端售后服务

（1）所有配套设备均须提供项目期内保修服务，保修费由中标人承担。

（2）在36个月服务期内配套的所有主要设备（包括警务应用语音流量套餐及双系统移动警务终端、移动警务安全智能加密卡服务）需提供36个月的三包服务，并提供36个月内4808台/次终端的碎屏险以防止终端屏幕意外破碎损失。如故障属人为（以指定维修点提供的故障检测单作为依据），经当事人同意后，则按指定官方维修点的定价，经与当事人协商同意后进行维修。

（3）配套设备的配件如充电器、数据线、电池保修不少于一年。

8.3.软硬件巡检服务

每周开展市级移动警务平台巡检服务，并按照相应工作规范填写巡检记录，并每月提交巡检报告。

8.4设备和软件故障解决恢复服务

当移动警务平台出现故障时，应当立即响应，并在规定的时间内通知采购人，应当组织协调相关厂商定位故障原因，安全有效地解决处理故障，在故障处理过程中一是应当及时向相关人员通告故障处理和恢复进度，二是应当根据故障等级和影响程度采取应急处理措施，尽最大可能减少故障影响范围并防止造成更加严重的后果。故障处理完成后，应当在1周内向采购人提交全面完整的故障处理报告。故障处理报告内容包括但不限于故障现象、处理过程、解决恢复措施等。

8.5.台账管理和维护服务

针对市局移动警务平台进行全面统计，包括但不限于以下内容：

（1）设备型号，设备厂商，设备部署机房位置、机柜位置，负责人，负责人联系方式；

（2）设备口令管理；

（3）设备软件产品型号、版本等信息统计；

（4）网络结构、网络路由、网络IP地址统计记录；

（5）其它附属设备的统计记录；

8.6.设备安全策略维护服务

根据采购人需求调整防火墙、网络准入系统、终端安全管理系统的安全策略，以保障移动警务终端访问公安移动信息网的资源安全。

8.7.移动警务数字证书签发服务

协助采购人通过使用移动警务PKI系统对于安全加密卡签发移动警务书字证书，包括不限于数字证书签发、延期、吊销等动作。

8.8.等保和密码应用测评工作支撑服务

根据采购人等保测评、密码测评安排，配合第三方测评单位要求进行梳理，并配合开展密码测评工作，同时针对不符合的测评项，积极协调原厂商进行整改和完善，以满足密码测评要求。

说明

打“★”号条款为实质性条款，若有任何一条负偏离或不满足则导致投标无效。
打“▲”号条款为重要技术参数，若有部分“▲”条款未响应或不满足，将导致其响应性评审加重扣分，但不作为无效投标条款。