序号

项目名称

数量

单位

预算

（万元）

服务期限

1

教育城域网网络安全态势及终端安全防护服务和城域网网络及安全运维服务采购项目

1

项

44

一年，采用1+1+1方式，采购人在第一年合同期满前一个月，结合中标人履约表现，可续签下一年合同，最多续签2次。后续年份的采购按批准的预算执行，未获批准的本招标项目未实施部份自动取消。

指标项

服务工具详细能力要求

基础性能

软硬一体化部署，要求设备高度不超过2U

要求本设备与本项目其他服务工具实现联动，满足上述服务要求，具体如下：1、通过现网设备的信息采集实现威胁事件关联分析；2、针对威胁事件可进行自动化响应，包括联动网关进行阻断/放通、自动化生成/解除网络重定向、终端威胁自动化处置；上述功能所产生的费用由投标人自行承担，投标时需提供（提供截图）。

为保障服务过程中，系统工具运行的可靠性与稳定性，要求信息安全设备、系统软件的开发、生产符合TL9000-H-S-V标准，提供第三方权威证明材料；

大屏展示

支持态势大屏展示，包括全网态势、资产态势、漏洞态势、攻击态势，支持大屏展示时间设置，支持态势大屏中相关信息下钻跳转到对应的详细页面

全网态势

支持全网资产概述、高危资产、漏洞、告警趋势、安全日志趋势、告警统计、最新告警名称和影响范围、热点威胁等内容的相关展示（提供截图）

资产态势

支持通过轮播进行资产总量、漏洞总数、日志总数相关信息的展示，支持按资产类型及失陷状态进行展示，支持按漏洞级别进行展示，支持按日志级别进行展示

★具备威胁行为检测和模型技术（提供国家级机构证明材料）支持重点威胁对资产的影响分析，支持至少5种重点威胁，支持分析每种威胁影响的资产数量

支持重点漏洞对资产的影响分析，支持至少4种重点漏洞，支持对受影响最严重的资产进行列表展示，展示内容包括但不限于资产名称、资产IP、责任人、高中低危漏洞数量

漏洞态势

支持漏洞态势分析，包括漏洞总体情况、漏洞类型分布、漏洞级别分布、高危漏洞排行TOP5、漏洞排行TOP10、最新漏洞发现趋势、高危漏洞类型排行、漏洞级别对比；

支持主动发现内网漏洞功能并关联资产，漏洞分析类型包含Web安全、windows安全、通用等漏洞；（提供截图）；

攻击态势

★平台具备攻击路径分析技术（提供国家级机构证明材料）支持以全球地图实时展示网络攻击态势，支持以不同颜色攻击线展示攻击过程，支持攻击源和攻击目的国家名称展示，支持攻击目的进行光晕显示

日志监测

支持日志概览，包括日志源数量、安全日志数量、审计日志数量、安全日志级别分布、安全日志类型排名、日志量趋势，支持概览时间设置；

漏洞监测

支持联动漏扫设备、手动导入漏扫报告两种方式实现漏洞数据采集，支持同品牌及第三方漏扫设备联动，支持excel、zip等类型的漏扫报告导入；

告警处置

支持对安全处置情况进行概览分析，包括待处置告警数、待处置漏洞数、待处置风险资产数、待处置威胁源数、待处置漏洞TOP5、风险资产TOP5、威胁源TOP5；

工单管理

支持工单管理，支持指派相关责任人进行处理，支持对工单进行分组管理，分组类型包括我的工单、待处置工单、已处置工单、历史工单；

日志检索

支持对全网安全分析，包括外联主机数、内网威胁源、外网威胁源、失陷主机数、外联主机TOP5、内部威胁源TOP5、外部威胁源TOP5（提供截图）；

分析建模

支持内置至少30种分析模型，包括但不限于失陷状态、FTP登录失败、敏感文件信息泄露、成功暴力破解、文件上传漏洞等，支持模型查看、启用、停用等操作，支持模型批量删除、批量启用、批量停用，支持导入内置模型，状态为启用的模型不允许操作，支持按照模型名称、模式、模型状态、模型分类、关注度进行过滤查询（提供截图）。

管控策略

支持设备概览和安全防御图切换，安全防御拓扑具备网络通信、网络防护、系统防护、用户管控、数据防护、应用防护多个类型的设备的拓扑架构展示，安全防御拓扑图支持在线离线设备标识（提供截图）；

支持配置版本对比分析，支持选择不同的配置版本系统自动比对，发现策略的异常和不同（提供截图）

知识情报

★支持内生情报管理，包括恶意IP地址、恶意URL、恶意样本、恶意域名、垃圾邮件等，支持情报进行分类自定义查询，支持自定义威胁情报信息，支持威胁情报的导入（提供截图）；

资质保障

公安部销售许可证上认证类型需为“安全运营”或“态势感知”（提供相应资质证明）

要求投标人或设备提供商具有较强应急响应能力，为国家互联网应急中心的“网络安全应急服务支撑单位（APT监测分析）”并提供证明材料

指标项

服务工具详细能力要求

基础性能

2U,内存≥32G,硬盘≥1TB,至少满足6个千兆电口（至少支持1组Bypass）,4个千兆光口插槽,4个万兆光口插槽,1个CONSOLE口,冗余电源 ,整机吞吐率≥15Gbps,最大并发连接数≥400万,IPS吞吐率≥5Gbps；至少配置3年攻击检测规则库、应用识别库、地理信息库、僵尸主机规则库、恶意程序检测、元数据提取功能、威胁情报库使用（含升级）许可。因涉及规则库数量较多为避免遗漏，投标时要求提供上述规则库的原厂授权许可。

为保证关键业务的加速应用防御功能，支持测试入侵防御产品性能的方法和装置（提供权威检测相关技术证明）为保障服务过程中，系统工具运行的可靠性与稳定性，要求信息安全设备、系统软件的开发、生产符合TL9000-H-S-V标准，提供第三方权威证明材料；

运维要求

★与现有的防火墙联动实现根据态势感知的威胁类型下发防火墙阻断访问等策略或提供可实现类似阻断功能的其他方案，提供联动功能截图或者实现阻断功能的其他方案证明材料或功能截图

防御引擎

系统应具备：多种协议分析、异常攻击、行为检测、会话关联分析，攻击逃逸检测等多种技术，准确识别入侵攻击行为，为用户提供2~7层深度入侵防御。要求支持攻击报文取证功能，检测到攻击事件后将原始报文完整记录下来，作为电子证据。

部署环境

要求支持VLAN、MPLS、PPPoE网络，能够在该网络环境中检测出攻击事件。

多端口链路聚合，支持11种负载均衡算法。（提供截图）

能够在IPv6网络中发现活跃IP地址，采用网络协议IP地址扫描方法，获取并记录以该IPv6地址为中心预定范围内的其他活跃的IPv6地址，并采用路由发现方法获取到达记录的IPv6地址所经过的中间设备的IPv6地址。（提供权威检测相关技术证明）

安全策略

要求支持源地址/地址组、源区域、目的地址/地址组、目的区域、服务/协议、时间等对象设置安全策略，可更改策略启停用、阻断状态。

要求支持长连接、IPv6目的地扩展头、IPv6认证扩展头、IPv6路由扩展头、ESP扩展头检测，可统计策略匹配情况，记录日志与最大活动会话数，支持统计策略中当前连接、允许连接、阻断连接，统计所有会话连接。（提供截图）

防御类型

要求能够检测包括扫描探测、暴力猜解、拒绝服务攻击、后门控制、溢出攻击、代码执行、非授权访问、注入攻击、URL跳转、跨站攻击、WebShell、浏览器劫持、文件漏洞攻击、工控漏洞攻击、物联网漏洞攻击等在内的16大类超过9000种以上网络攻击事件，并对规则可设置相应警告、阻断动作。

支持对SMTP、POP3、IMAP、FTP、TELNET、RDP、LDAP、MSSQL、DB2、REDIS、POSTGRESQL、HTTP等服务的弱口令登录行为检测，采用弱口令字典和口令强度两种方式检测，可自定义口令强度规则，如密码长度、密码字符类型等。支持对发生的弱口令事件进行告警、取证和在线阻断。

支持暴力破解检测，包括SMTP、IMAP、POP3、FTP、SMB、TELENT、LDAP、ORACLE、MYSQL、MSSQL、MONGODB、POSTGRESQL、DB2、REDIS、HTTP等协议的口令暴力破解和登录成功行为检测。支持自定义检测周期和检测次数。支持对发生的暴力破解行为事件进行进行告警、取证和在线阻断。（提供截图）

自定义规则

支持自定义规则，并且自定义规则库可以导入导出。自定义支持普通模式、手动模式、专家模式三种自定义模式。

支持设备温度监视以及报警，可以自定义温度阀值。（提供截图）

自定义支持对规则头部按传输协议、应用协议、风险等级、方向、源目地址、源目端口设置，对规则负载按内容匹配、正则校验、字节测试、字节跳转、后续负载大小多种模式选择；IP内容选项中支持对IP版本、负载协议、生存时间、负载长度等内容设置。

要求支持自定义规则阈值设置，可设置包括跟踪方向、频率、时间间隔等内容。

DDoS防御

支持用户对FLOOD类攻击网络流量阈值设置，可对按pps、Kbps、Mbps等单位设置。（提供截图）支持MIPS平台下并行多核配置锁的实现方法（提供权威检测相关技术证明）

支持对DDoS攻击的全局参数配置，如：统计采样比、动态源节点超时、动态保护节点超时、攻击开始抖动时间、攻击结束抖动时间、攻击日志源最大个数等；

应用识别

系统能够根据数据内容而非端口智能识别包括P2P下载、P2P音频、P2P视频、即时通讯、语音电话、网上银行、电子商务、财经软件、网络游戏、社交网络、网页视频、网页音频、网络硬盘、网页邮箱、加密隧道、标准协议、远程控制、数据库、移动应用、HTTP应用、软件更新、IM文件传输、工控物联网等23大类4000多种应用。

僵尸主机检测

★采用僵尸主机与控制主机异常通信行为检测的方式，具有独立的僵尸主机特征库，能够对10000种以上僵尸主机行为进行监测，包括僵尸网络、木马控制、蠕虫、挖矿、勒索、移动端木马控制、APT等多类型的僵尸主机行为。支持对Windows、Linux、IOS、Android、Unix、MacOS等多种操作系统的僵尸主机检测，并对规则可设置相应警告、阻断动作。（提供截图）

恶意程序检测

支持对恶意程序实现特征检测、机器学习检测、内置虚拟沙箱检测等多种检测方式，并且多种检测方式相互独立、互不影响，可对检测到的恶意文件设置相应警告、阻断动作。

机器学习

机器学习检测能够对目标文件实时检测实时还原效果，不依赖规则库检测实现对未知恶意程序检测。（提供截图）

威胁情报

★本地嵌入独立的威胁情报库，不依赖其他设备或情报平台，即可独立的实现威胁情报检测能力，可对检测到的恶意文件、恶意IP/域名、恶意URL设置相应捕获、阻断动作。（提供截图证明）支持对200多种威胁攻击手段和黑客情报信息进行情报过滤，支持每一项情报标签启用或关闭，取证开启或关闭。（提供截图）

威胁情报库数量超过800万，可通过手动添加、批量导入的方式自定义威胁，并且满足威胁白名单能力。

非法外联

支持服务器非法外联检测，支持按IP地址、IP范围、子网设置监测对象，支持仅对外联境外地址监测，支持按IP地址、IP范围、子网设置外联白名单，可设置相应警告、阻断动作。（提供设备功能截图）

隐蔽隧道

支持隐蔽通信检测，支持对HTTP、FTP、SMTP、IMAP、POP3、Telnet等服务的隐蔽通信检测，可设置相应警告、阻断动作。（提供截图）

DNS隧道检测

支持DNS隧道通信检测，用户可设置检测周期、检测阈值、最大请求域名长度可设置相应警告、阻断动作。

资质保障

产品具有中国信息安全测评中心颁发的《国家信息安全测评信息技术产品安全测评证书》（EAL3+级）与CVE Compatibility Certificate证书（提供相应资质证明）

产品具有IPV6 Ready Phase-2金牌认证（提供相应资质证明）

指标项

服务工具详细能力要求

基础性能

至少提供5000个Windows PC客户端防病毒功能授权,含3年升级许可。防病毒的病毒查杀支持多引擎的协同工作对病毒、木马、恶意软件、引导区病毒、BIOS病毒等进行查杀，提供主动防御系统防护等功能。客户端系统默认支持Windows XP/VISTA/WIN7/WIN8/WIN10。

要求本设备与本项目其他服务工具实现联动，满足上述服务要求，具体如下： 1、通过分析工具实现检测结果获取，针对风险资产进行查杀与处置策略下发；2、终端威胁处置完成后上报分析工具并告知网关设备进行终端网络放通。上述功能所产生的费用由投标人自行承担，投标时需提供功能实现承诺函。

★系统部署采用C/S架构，管理采用B/S架构，管理员只需通过浏览器登录管理中心，即可对系统进行管理。客户端安装后至多占用50M硬盘资源，日常内存占用不到20M，有效节省PC/Server资源。（提供截图）为保障服务过程中，系统工具运行的可靠性与稳定性，要求信息安全设备、系统软件的开发、生产符合TL9000-H-S-V标准，提供第三方权威证明材料；

级联部署

支持级联部署及管理，可实时查看下级终端威胁及在线情况，上级可对下级灵活分配授权，同时可实现分级管理中心能够通过上级管理中心升级病毒库和客户端版本。

部门管理

支持部门架构的导入，包含部门规则、部门与IP规则、LDAP规则导入，并可根据IP规则一键整理（提供截图）

任务下发

支持即时/定时实现客户端病毒查杀，支持下发关机、重启、升级、病毒查杀、重新连接、漏洞扫描、漏洞修复、显示消息、分发设置等操作，并对以上操作配置详情，客户端执行情况跟踪，实现管理中心对客户端的任务状况监控。

补丁管理

可以展示全网补丁情况，包括补丁编号、补丁类型、操作系统、下载状态等，支持补丁忽略功能。

终端发现

支持通过PING、ARP、NMAP方式扫描，及时发现尚未纳入管控的终端，支持以IP地址池方式展示终端的终端在线、离线、安装情况

安全防护策略

★支持定制安全防护策略：包括病毒防御（病毒查杀、文件实时监控、恶意行为监控、U盘保护、下载保护、邮件监控、白名单）；系统防御（浏览器保护、软件安装拦截、系统加固）；网络防御（黑客入侵拦截、IP协议控制、恶意网站拦截、IP黑名单）；合规管控（文档检测、文档跟踪、USB存储、设备监控、进程监控、软件监控、服务监控、账号监控、外联监控）；其他设置（心跳配置、管理员配置、升级配置、补丁配置、弹窗配置、通信管理中心）（提供截图）

微隔离

支持不同终端组、不同IP、不同服务之间的安全隔离和访问控制，规范内部网络不同对象的访问行为。支持协议包括但不限于TCP、UDP、TCP/UDP、ICMP、IGMP、GGP、PUP、IDP、ND、ESP、AH、RDP、GRE、SKIP、RAW

压缩文件查杀

支持对压缩文件内的恶意文件扫描，包括但不限于对Arj、bzip2、Lzh、Tar、Zip等压缩文件格式类型查杀防护；支持扫描压缩文件大小设定、不扫描指定扩展名文件，提高扫描效率，降低资源占用

Webshell检测

支持对webshell后门进行扫描检测 , webshell后门库数量大于100000。（提供截图）

白名单

终端支持路径白名单，添加到信任区的文件扫描自动跳过信任目录，不作检测。

虚拟补丁

支持黑客入侵拦截功能，针对网络数据流的深层分析，检测入站流量，提供虚拟补丁保护应用程序免受攻击，有效阻止勒索病毒等高危威胁的入侵。

系统加固

★对系统关键位置进行防护，阻止无文本攻击、流氓、广告程序对系统的恶意篡改等行为。从系统文件保护、病毒免疫、进程保护、注册表保护、危险动作拦截、执行防护等多个维度对系统进行防护。（提供截图）

文档跟踪

支持文档跟踪策略，可按照不同文件、压缩包类型跟踪文档内到外、外到内、外到外、内到内等流转方向，并可跟踪文档包括拷贝、压缩、解压缩、修改、删除、重命名、移动等操作。

文档检测

支持文档检测功能，针对终端存储的word、pdf、ppt、Excel、rtf、txt等文档的名称、内容进行包含关键字检查，对含有指定关键字的文档进行禁止发送、禁止拷贝等管控，消息提醒的同时将文档违规信息上报管理平台。（提供截图）

虚拟沙盒

支持基于虚拟沙盒的高效的本地反病毒引擎， 实现极高的本地查杀能力。

勒索病毒诱捕

设置诱饵文件并实时监控，当勒索病毒对该文件进行加密操作时进行拦截。（提供截图）

磁盘管理

支持定制磁盘管理规则，对审计日志、系统日志、终端日志、告警日志等即时或定期清理，实现磁盘瘦身

自动化运维

对客户端进行离线检测、合规管控运维，并对客户端离线检测结果和运维情况进行记录（提供截图）

终端安全

为保障用户终端运行安全，可支持针对非法恶意文件、恶意软件等针对终端内核以及终端操作系统层面的网络层恶意软件检测能力。（提供国家权威机构相关证明材料）

资质保障

产品具有国际组织IPv6 Forum颁发的IPv6 Ready Logo Phase-2认证证书（提供相应资质证明）

产品具有中国信息安全测评中心颁发的《国家信息安全测评信息技术产品安全测评证书》（EAL3+级）（提供相应资质证明）

指标项

服务工具详细能力要求

基础性能

2U标准高度，至少满足6个千兆电口，4个千兆光口，支持1对Bypass,冗余电源,5个扩展槽位,带宽性能≥5G，网络吞吐量≥10G，最大并发连接数≥800万，用户数≥100000人

要求本设备与本项目其他服务工具实现联动，满足上述服务要求，具体如下：1、实现全网终端认证与安全准入，同时针对已安装了终端安全防护服务工具的终端认定为可信终端，实现免认证；2、通过分析工具实现检测结果获取，针对风险资产进行进行网络重定向，告知终端用户目前出现安全事件并已被网络限制；2、终端威胁处置完成后上报分析工具并告知本设备进行网络重定向取消放通。上述功能所产生的费用由投标人自行承担，投标时需提供功能实现承诺函。

★设备提供硬件BYPASS功能，支持双操作系统冷备、双机热备，在单机模式下，提供独立系统逃生工具。为保障服务过程中，系统工具运行的可靠性与稳定性，要求信息安全设备、系统软件的开发、生产符合TL9000-H-S-V标准，提供第三方权威证明材料；

系统部署

系统部署简单，支持旁路或串联部署，支持命令行与B/S模式管理，提供系统首页图形化展示功能，可展示设备面板状态、CPU状态、内存状态、硬盘状态、在线用户、报警统计等信息。

准入模式

支持802.1X、Portal、透明网关、策略路由等多种准入模式选择，单设备情况下可进行混合准入模式应用。支持网络准入、终端准入的对于网络访问中请求的IP数据包头部的可选项字段判断是否为空，能够有效控制终端的准入（提供国家级权威证明截图）

认证方式

提供客户端认证及手机短信认证方式，客户端认证可与第三方AD域、LDAP服务器进行用户信息同步；手机短信认证可与短信服务器联动，在终端入网认证时下发验证码。

绑定认证

支持终端信息绑定认证，可检查入网终端IP、终端MAC、用户名、交换机IP、交换机端口、终端硬件ID等多要素信息。

入网管理

支持访客入网管理，访客接入由受访人员（固定用户）协助其进行注册、账户创建等操作，并提供临时入网终端有效期管理，可设置在网时限。

在线管理

支持同账户多在线管理，可设置同一用户名同时在线数量，并对用户名超过在线数进行处理。（提供截图）

冲突管理

IP冲突管理，当入网终端与已在线终端出现IP冲突时可选择：不处理或强制下线已在线的终端

名单管理

支持准入设备黑/白名单管理，可根据所应用的不同准入模式，设置黑/白名单终端IP、MAC、协议、端口、VLAN号等信息，以便针对该名单中设备进行入网控制。

健康检查

★支持入网终端健康检查，对检查项可进行权重、修复向导自定义设置，检查项包括：系统时间检查、系统运行时长检查、Guest用户检查、AD域域名检查、Windows文件共享检查、Windows防火墙检查、系统运行时间、操作系统版本、系统补丁、必须/禁止运行进程检查、必须/禁止运行服务检查、必须/禁止安装软件检查、Windows桌面屏保检查、杀毒软件版本（EDR、小红伞、瑞星、金山毒霸、卡巴斯基、诺顿、360杀毒）等。（提供截图）

外设监控

支持终端接口外设监控，可对终端所有接口外设实施启停用控制，对USB设备添加USB硬件ID和设备信息，可设置例外项。

非法外联

支持终端非法外联监控，可判断通过http、telnet、ping三种方式检测主机违规外联行为，给予违规处理方式（不处理、重启、断网、提示），并信息提示。

资产管理

支持资产管理功能，可管理不同类型入网资产；提供交换机网络设备管理功能，可查看交换机设备接口状态、主机连接等详细信息。对入网资产可发现、可审批入网。

日志信息

提供终端解绑、资产登录、报警、系统、终端认证、健康检查等详细日志信息，可采取图形化方式统计分析，并自定义模板进行报表定时输出。

诊断问题

诊断分析，可通过系统调试信息及抓包分析功能定位问题

磁盘状态

系统具备良好的使用体验与可管理性，支持系统界面与登录界面LOGO的自定义导入，可自由设置产品显示名称。管理员可进行准入系统的维护、升级、诊断分析等操作，支持图形化方式展示各类型数据所占磁盘状态，并提供备份、恢复、清理功能。

级别

事件定义

电话响应时限

现场响应时限

专家响应时限

紧急

网站被篡改或被攻击，网站被仿冒；某个业务全部瘫痪，重要数据丢失或被篡改，核心网络流量严重异常或瘫痪等。

15分钟

2小时

1小时

严重

某个业务部分不可用，某个区域出现流量严重异常或瘫痪，安全设备硬件故障造成网络中断，网站访问速度严重变慢等。

15分钟

4小时

2小时

一般

业务使用存在异常，某个区域出现流量异常，发现安全漏洞隐患未进行修补的，病毒事件以及其他一般事件。

30分钟

6小时

4小时