网络安全等级保护项目招标文件

1、网络平安等级保护工程采购文件目 录 TOC o 1-5 h z 第一章采购公告2第二章投标须知及说明4第三章采购内容及要求14第四章有关格式参考范例42第五章评标方法及开标程序63（1）投标截止时间后，投标人登录“政采云”平台，用“工程采购-开标评标”功能 对电子投标文件进行在线解密。在线解密电子投标文件时间为开标时间起半个小时内。（2）由采购人代表或代理机构审核资格文件，假设资格审查不符合采购文件要求，即终 止其参与投标资格。（3）根据关于在政府采购活动中查询及使用信用记录有关问题的通知财库 2016 125号的规定：1）采购人或采购代理机构将对本工程投标人的信用记录进行查询。查询渠道为信用

2、中 国网站（sdf. Ikjcreditchina. gov. cn）、中国政府采购网（sdf. lkjsdf. Ikjccgp. gov. cn）；2）截止时点：投标截止时间前3年内；3）查询记录和证据的留存：信用信息查询记录和证据以网页截图等方式留存。4）使用规那么：被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违 法失信行为记录名单及其它不符合中华人民共和国政府采购法第二十二条规定条件的, 其投标将被拒绝。5）联合体成员任意一方存在不良信用记录的，视同联合体存在不良信用记录。19.评标委员会采购代理机构和采购人将根据采购货物的特点组建评标委员会,其成员由技术、 经济等方面的

3、专家和采购人代表组成。评标委员会对投标文件进行审查、询标、评议和推 荐中标人。. 2在评标期间,投标人应安排代表值守，以便参加电子询标。.对投标文件的审查和响应性确实定评标委员会将审查投标文件是否真实、完整,总体编排是否有序,文件签署是否正 确，有无计算上的错误等。2算术错误应按以下方法更正：（1）投标文件中开标一览表内容与投标文件中相应内容不一致的，以开标一览表为准; 投标文件的大写金额和小写金额不一致的，以大写金额为准；单价金额小数点或百分比有 明显错位的，以开标一览表的总价为准，并修改单价；总价金额与按单价汇总金额不一致 的，以单价金额计算结果为准；同时出现两种以上不一致的，按照以上顺序

4、修正，修正后 的报价经投标人应书面确认，投标人不予确认的，其投标无效。（2）电子投标流程中，客户端填写的报价与以pdf格式上传文件中的报价不一致的，应以Pdf格式上传文件中的报价为准。21.评标1评标原那么：根据符合采购需求、质量和服务等要求，综合评分确定中标人。2投标文件的澄清：为有助于投标文件的审查、评价和比拟，评标小组可以在“政 采云”平台在线询标，要求投标人对同一份投标文件含义不明确或同类问题表述不一致的 内容（采购文件其它地方有规定处理方法的除外）作必要的澄清或说明，投标人应通过“政 采云”平台在线询标系统在询标规定的时间（30分钟）内作出澄清、说明或者补正，但不 得超出投标文件的范

5、围或改变投标文件的实质性内容。凡属于评标小组在评标中发现的算 术错误并进行核实的修改不在此列。如果投标人代表未按评标委员会要求在“政采云”平 台作出回复且无其他有效回复方式的，评标委员会可以视情处理。3评标报告：评标委员会完成评审后，向采购代理机构提交经各评标委员会成员签 字的评审结果报告，并按评审方法推荐中标人。22保密1开标后直到宣布授予中标人合同为止，凡属于审查、澄清、评估和比拟投标的有 关资料且与授予合同有关的信息都不得向任何投标人或与上述评标过程无关的人员透露。2投标人对评标、比拟或授予合同决定的过程施加影响的企图和行为,都可能导致 其投标被拒绝。八、投标无效的情形23.如发生以下情

6、况之一的，其投标视为无效：在规定时间内电子投标文件正常解密失败的；2投标人不具备采购文件中规定的资格要求的；3法定代表人（负责人）授权书上无投标人盖章或无法定代表人签字或盖章的;4提供不确定的、有选择性的技术方案或有附加条件的技术方案的；5提供不确定的，有选择性的报价或有附加条件的报价的；6技术商务文件未按规定提供投标配置清单（含品牌、型号、数量、详细技术指标 的）；7技术商务文件未按规定提供技术、商务响应表；8技术商务文件中出现报价文件或者其他能表达报价的描述；9评标委员会认为投标人的报价明显低于其他通过符合性审查投标人的报价，有可能影响产品质量或者不能诚信履约的，要求其通过“政采云”平台在

7、规定的时间内提供CA 签章的材料，投标人不能证明其报价合理性的；10报价超过采购文件中规定的最高投标限价的;23.11报价文件中的投标（开标）一览表填写不完整或字迹不能识别或有漏项的;12投标人提供虚假材料投标的;13投标人串通投标的；14电子投标文件未按规定要求提供电子签章的；23.15评标委员会认定有重大偏差或实质性不响应采购文件要求的;16其他违反法律、法规和采购文件规定的情形。九、废标的情形24.采购中，出现以下情形之一的，应予废标，废标后，采购代理机构将废标理由通知 所有投标人：符合专业条件的投标人或对采购文件作实质性响应的投标人缺乏三家的；出现影响采购公正的违法、违规行为的；3投标

8、人的报价均超过了预算控制价，采购人不能支付的；4因重大变故，采购任务取消的。十、授予合同25.中标通知和合同授予评审结果经采购人确定后，浙江勋达工程咨询在中标人确定之日起2个工作 日内通过“政采云”平台发布采购结果公告，并同时签发中标通知书。. 1中标通知书一经发出即发生法律效力。采购代理机构无义务向未中标人解释 落选原因，不退回投标文件。中标通知书将作为签订合同的依据。.2中标人需在中标通知书发出之日起七个工作日内，邮寄送达招标代理机构与电子 投标文件内容一致的纸质投标文件（含资格文件、技术商务文件、报价文件，请加封面， 格式见附件）一正两副，邮寄公司统一采用EMS或顺丰，快递费用由投标供应

9、商承当。3邮寄地址为（）4本工程不设履约保证金。5签订合同：中标人应按中标通知书的要求与采购人在中标通知书发出后二十 日内签订合同（建议在采购结果质疑期满后签订），并经浙江勋达工程咨询鉴证 后生效。在有合理证据证明中标人在投标过程中承诺的内容不能实质响应的，采购人有权 拒签合同。6采购文件、澄清文件、投标文件等，均为签订合同的依据。中标人接到中标通知 书后在规定的时间内与采购人签订合同，并交浙江勋达工程咨询鉴证。7中标人不遵守投标文件的要约、承诺，擅自修改投标文件的内容或在接到中标通 知书规定的时间内，借故拖延、拒签合同者，采购人将取消该投标人的中标资格。十一、质疑与投诉根据中华人民共和国政府

10、采购法、中华人民共和国政府采购法实施条例、政 府采购质疑和投诉方法（财政部令第94号），政府采购供应商可以依法提起质疑和投诉。26.供应商质疑1供应商认为采购文件、采购过程和中标、成交结果使自己的权益受到损害的，可 以在知道或者应知其权益受到损害之日起七个工作日内，以书面形式向采购人或采购代理 机构提出质疑。供应商应知其权益受到损害之日指：（1）对采购公告信息（含供应商资格条件）提出质疑的，质疑期限为自采购公告发 布之日起；（2）对采购文件提出质疑的，质疑期限为获取采购文件或者采购文件公告期限届满 之日起；（3）对采购过程提出质疑的，为各采购程序环节结束之日起；（4）对中标结果提出质疑的，为中

11、标结果公告期限（一个工作日）届满之日起。2供应商质疑应当有明确的请求和必要的证明材料。供应商提交的质疑书需一式三 份，由法定代表人（负责人）签字（或盖章）并加盖单位公章。质疑书格式范本详见浙江 政府采购网办事指南。供应商投诉质疑供应商对采购人或采购代理机构的答复不满意，或者采购人或采购代理机构未在 规定的时间内作出答复的，可以在答复期满后十五个工作日内向同级政府采购监督管理部 门提出投诉。十二、其他2&解释权：本采购文件是依据中华人民共和国政府采购法、中华人民共和国政 府采购法实施条例（中华人民共和国国务院令第658号）、政府采购货物和服务招标 投标管理方法（中华人民共和国财政部令第87号）及

12、有关规定编制，解释权属采购代理 机构。第三章采购内容及要求一、招标工程二、建设内容序号工程名称数量单位预算金额（最高投标 限价）（元）备注1网络平安等级保护工程1项1600000（-）工程概况为了到达信息系统等保评级的要求，从四个方面对综合行政执法局现有网络进行升 级改造。一是重构整体网络架构，划分专网区域和政务外网区域，防止不同业务系统混 合使用；二是调整局部老旧平安设备如防火墙设备等，同时采购新的审计类平安设备， 使其能够满足业务办公性能和平安防护需求；三是把对上政务云的系统按等保要求对业 务系统进行平安防护；四是做好六个信息系统的等保评级工作。工程完成后形成清晰的网络平安架构，云上业务系

13、统通过政务外网访问，内部数据 通过专线进行交互，并通过冗余架构确保业务提供稳定性，同时利用新增和现有的平安 设备为网络提供整体平安防护，到达等保三级的要求，以应对不断严峻的网络平安态势 和浙江省数字化改革要求，推动桐乡市综合行政执法局数字化开展。（二）需求分析1、主要核心设备存在单点故障，现有核心交换机单点运行，故障风险升高，一旦出 现设备和线路故障将导致所有业务不可用；2、对数据库的操作缺少日志审计功能，存在事后无法查证的问题，也不符合等保要 求；3、缺失整体网络日志的审计功能，整体日志无法存储180天，无法满足网络法的要 求；4、现有终端和服务器缺失平安防护措施，存在漏洞很容易被攻击，造成

14、数据泄漏;5、缺少对第三方人员维护管理设备，无法监控管理第三方远程维护操作，也未开展 日志监控和行为监控；第14页共70页6、缺少专业的平安管理人员，因网络平安管理技术门槛过高，本地管理人员一般难 以胜任，需要第三方专业平安维护服务;(三)建设依据1、中华人民共和国网络平安法2、信息平安技术网络平安等级保护基本要求(GB/T 22239-2019)3、信息平安技术网络平安等级保护平安设计技术要求(GB_T 25070-2019)4、信息平安技术网络平安等级保护测评要求(GBT-28448-2019)5、信息平安技术信息系统平安等级保护实施指南(GB_T 25058-2010)6、信息平安技术信

15、息平安风险评估实施指南(GB_T31509-2015)7、信息平安技术信息平安应急响应计划规范(GBT 24363-2009)8、信息平安技术信息平安治理(GB_T 32923-2016 IS0_IEC 27014 2013)9、信息平安技术信息平安管理体系要求(GB_T 22080-2016)10、信息平安技术信息系统平安保障评估框架第2局部：技术保障(GB_T 2 0274. 2 2008)11、信息平安技术信息系统平安保障评估框架第2局部：管理保障(GB_T 2 0274.3 2008)12、信息平安技术云计算服务平安能力评估方法(GB_T 34942-2017)13、信息平安技术云计算

16、服务平安指南(GB_T 31167-2014)14、信息平安技术云计算服务平安能力要求(GB_T 31168-2014)15、基于云计算的电子政务公共平台平安规范第1局部：总体要求(GBT 34080.1-2017)16、基于云计算的电子政务公共平台平安规范第2局部：信息资源平安(GBT34080. 2-2017)(四)工程建设目标本着充分利旧的原那么，参考信息系统等级保护要求，结合信息系统的业务平安需求 特点，遵循适度平安为核心，以重点保护、分类防护、保障关键业务、技术、管理、服 务并重、标准化和成熟性为原那么，从多个层面进行建设，构建以平安管理体系和平安技 术体系为支撑的信息平安体系，使信

17、息系统在网络和通信平安、设备和计算平安、应用第15页共70页和数据平安各个层面不仅到达信息系统平安等级要求，而且符合信息系统业务特点，为 信息系统业务的运行提供平安保障。（五）工程建设内容1、硬件设备序号硬件产品描述数量 （套）1准入主要针对PC终端、哑终端等设备的准入控制管理，包含： 应用准入、802. lx准入、Portal准入、终端入网合规检查、 隔离修复、访问控制等功能。整机支持600Mbps吞吐量， 建议管理1000终端以下环境，包含600准入授权。设备默 认1个Console 口，6个千兆电口，1TB硬盘，单电源， 1U设备。含36个月硬件质保服务，含三年系统软件维保 服务12日志

18、收集与 分析系统标准2U硬件，1个console 口，网口类别：6个千兆工作 管理口（1管理口+ 1HA 口+4审计口），硬盘：2T*1,内存： 8G,双电源,日志处理能力4000EPS （峰值:5000EPS）, 资产授权数量：80 （可扩展至120）,含三年标准维保服 务13数据库审计专用硬件平台和平安操作系统，事件处理10000条/秒，内 置4TB磁盘存储空间。标准1U机箱，双电源；标配6个千 兆自适应电口，1个Console 口，支持两个扩展槽位，支 持液晶屏。含三年标准维保服务14专网出口防 火墙多核AMP+架构，网络处理能力为10G,应用层吞吐4G,并 发连接2260万，每秒新建连

19、接18万/秒，标准2U机箱， 单电源，标准配置6个10/100/1000M自适应电口，4个SFP 插槽，支持两个扩展槽，1个Console 口，支持液晶屏；含 三年硬件维保服务和三年ips模块和av模块特征库三年升 级服务25政务外网出 口防火墙多核AMP+架构，网络处理能力为14G,应用层9G,并发连 接2300万,每秒新建连接22万/秒，标准2U机箱，单 电源，标准配置6个10/100/1000M自适应电口，4个SFP 插槽，支持两个扩展槽，取大支持22个接口，1个Console 口，支持液晶屏；含三年硬件维保服务和三年全功能模块 升级订阅服务包（含应用识别库、URL分类特征库、病毒 防护

20、特征库、入侵防御特征库升级服务及威胁情报订阅服 务）26数据中心防 火墙性能参数：网络层吞吐量：12G,应用层吞吐量：4. 4G,防 病毒吞吐量：1G, IPS吞吐量：800M,全威胁吞吐量：650M, 并发连接数：260万， 新建连接数：18万。硬件参数： 规格：1U,内存大小：8G,硬盘容量：64G minisata SSD,2第16页共70页电源：单电源，接口： 6千兆电口+4千兆光口 SFP。功能描述：下一代防火墙以保障用户核心资产为目标，提 供L2-L7层各类威胁的检测和防护，是一款能够有效应对 传统网络攻击和未知威胁攻击的网络平安产品。含网关杀 毒模块（*3年）；IPS模块（*3年

21、）；产品质保（*3年）；软件 升级（*3年）;7核心交换机主控槽位数22个，业务槽位数26个；整机交换容量三 19Tbps；包转发率22800Mpps；配置千兆电接口224个，万兆光口24个，千兆光口220 个单槽位能够同时提供千兆光口、千兆电口、万兆光口，且 实际可用端口总数248,提高槽位利用率和业务可靠性， 提供商用板卡公开手册的官网链接证明；支持FCoE接口支持EPON OLT接口可支持独立专用IDS/IPS插卡模块，支持独立专用SSL VPN 插卡模块、应用控制网关插卡模块（非复用板卡），支持 独立专用NetStream插卡模块；4个万兆光模块，16个千兆光模块。含三年原厂质保。12

22、、软件产品序号软件产品描述数量 （套）1杀毒基础组件及客户端组件，实现系统的集中管理、策略配置、 报表查看等功能。基础版包含防病毒、补丁管理功能，支 持 Windows XP/VISTA/WIN7/WIN8/WIN10,含三年升级服务。6002服务器平安 防护（简化 版）含PC控制台一套，为服务器提供系统加固、漏洞防护、防 暴力破解、文件监控、防端口扫描服务，含3年维保和特 征库审计服务63移动有数据 库审计为移动不上业务系统提供数据库访问行为审计，本次提供 1个数据库实例，含三年升级许可。14移动云日志 审计为移动玄上业务系统提供日志收集服务，本次提供1个主 机授权，含3年维保服务。15电信

23、玄数据 库审计为电信云上业务系统提供数据库访问行为审计，本次提供 1个数据库实例，含三年升级许可。56电信云日志 审计为电信云上业务系统提供日志收集服务，本次提供1个主 机授权，含3年维保服务。5第17页共70页3、平安服务序号平安服务描述数量（天）1重保服务提供15天大活动和国庆重保服务，提供重保组织架构设 计、平安检查、积极防御、实时检测、响应处置、攻击预 测等平安服务，发现重要保障时期被保障单位信息系统可 能存在的平安风险，平安防御体系可能存在的薄弱环节， 指导修复，提升平安防御能力，保障重要活动、会议从筹 备到执行期间的信息系统和数据资产平安，确保重大活动、 会议顺利圆满完成。假设发生

24、平安问题，需30分钟内安排技 术人员到场。154、测评服务（六）具体招标需求（以下涉及提供的产品功能截图、证书等相关资料仅作为评分项）序号服务项描述数量（套）1等保测评桐乡犬智管理智慧系统和桐 乡市智慧停车管理系统三级 测评服务22等保测评等级二级测评41、准入功能项功能要求规格要 求主要针对PC终端、哑终端等设备的准入控制管理，包含：应用准入、802. lx 准入、Portal准入、终端入网合规检查、隔离修复、访问控制等功能。整机 支持600Mbps吞吐量，建议管理1000终端以下环境，包含600准入授权。设 备默认1个Console 口，6个千兆电口，1TB硬盘，单电源，1U设备。含36

25、个月硬件质保服务，含三年系统软件维保服务流量复 制设备支持将收到的镜像流量做过滤并将镜像流量复制一份输出给其他流量监 测类设备。（提供产品功能截图）设备类 型识别通过快速扫描方法，实现对网络中视频设备及其他设备数量和类型的分类统 计，能够识别包括摄像头、NVR、DVR、存储服务器及其他计算机、交换机、 服务器、移动终端等设备类型通讯关 系展示以图形化形式展示网络内设备与设备之间的网络通讯关系，基于图形化数据 可直观定位关键应用设备。（提供产品功能截图）资产审 批入网支持入网设备的审批机制，强制接入设备必须在已审批资产清单中方可入网。 支持管理员修改资产清单中设备登记的资产信息字段例外设 备入网

26、支持根据IP地址设置例外设备，例外的设备无需执行准入控制策略支持根据MAC地址设置例外设备，例外的设备无论使用什么IP均无需执行准第18页共70页第19页共70页入控制策略NAT精度 控制入 网通过小路由、VPN等场景接入的经过NAT转换后的终端必须安装客户端并经过 身份认证后方可接入网络。（提供产品功能截图）IP-MAC 绑定支持手动或自动学习IP/MAC绑定关系，通过配置策略可对网络内设备随意变 更IP地址的行为或随意使用其他设备IP地址的行为进行快速发现和有效阻 断人/机/ 位置混 合绑定支持用户、设备、接入交换机、接入端口之间的1对1, 1对多的混合绑定， 支持手动或自动学习绑定关系D

27、HCP 服 务系统内置DHCP服务器，支持动态分配、固定分配、保存地址，设备停用等DHCP 常用场景，支持根据设备合规状态动态切换设备IP的DHCP准入控制方式黑名单 管理支持导入或联动第三方平安系统进行非常设备的加黑处置，对于黑名单中的 IP/MAC地址，一律阻断其网络访问流量全静默 认证支持全静默的终端身份认证，无需人工参与，终端即可自动完成准入认证， 整个过程无弹窗，不影响全屏进程合规检 查支持健康合规检查策略，采用动态检测技术，需支持多种检查机制，至少支 持入网检查、定时检查、周期检查机制，针对接入内部网络的计算机终端实 行多种平安检查策略，支持分组策略下发控制，拦截不平安终端接入网络

28、。隔离处 置支持终端平安检查失败处置措施，可基于协议、特定端口、端口范围、特定 地址、IP范围、URL来控制终端访问权限，从而无需操作交换机到达终端网 络隔离目的，实现细粒度的访问控制管理引导修 复支持对不合规的终端提供软隔离，不符合平安策略的计算机终端进行友好提 示，提供终端修复向导，需支持引导修复和一键修复功能，并支持不同区域 终端的修复区域定义。外联能 力检查支持在不安装插件或客户端的情况下，检测终端同时连接内网和互联网，根 据策略配置支持告警或阻断外联终端的内网数据非法外 联检测 服务器支持在互联网部署非法外联检测服务器，对终端的违规外联事件进行取证和 事件告警，支持以短信、邮件的方式

29、进行外联告警哑终端 弱口令支持对摄像头、打印机等哑终端进行弱口令检查，支持自定义用户名+默认口 令组合配置失陷设 备系统集成威胁情报，支持发现网络内的设备异常，包括木马、APT攻击等异常， 支持对异常设备进行手工阻断漏洞预 警系统内置CVE、CNNVD漏洞库，支持通过匹配设备品牌、型号、固件版本、出 厂时间等信息检索漏洞库中存在的漏洞信息，无需全网漏扫即可及时对网络 存在漏洞的摄像头进行预警准入联 动支持和本次投标杀毒软件联动，实现一个控制中心管理终端准入策略，并实 现检查杀毒软件进行应用准入（提供产品功能截图）资质要 求（提供 证明资 料）厂商为信息平安等级保护关键技术国家工程实验室理事单位

30、厂商具备中国通信企业协会通信网络平安服务能力评定证书-应急响应（二 级）及以上，三级为最高级第一章采购公告工程概况：网络平安等级保护工程的潜在应应商应在浙江政府采购网 . zcygov. cn/user-login/#/login （用政采云注册帐号、密码进行系统登录 后申请获取采购文件。获取路径：用户中心一一工程采购一一获取采购文件管理。）获取 （下载）采购文件，并于2022年8月9日09:00 （北京时间）前递交（上传）投标文件。一、工程基本情况工程编号：浙勋代理C2022233号 工程名称：网络平安等级保护工程 预算金额（元）：1600000最高限价（元）：1600000 采购需求:/本

31、工程共分一个标段。标项一：2、日志收集与分析系统第20页共70页指标项技术参数硬件规格管理口三1,瓶口21,审计口24；内存28GB,磁盘三2T；峰值处理能力 24000 EPS,含三年标准维保服务。功能扩展支持手动或按周期自动备份系统配置，可随时对系统资产等配置进行还 原操作，且自动备份周期与备份包个数可配；支持系统配置备份自动备 份至远程服务器支持kafka日志接收转发、大数据平安域同步、APT沙箱报告转发等大 数据联调功能,Kafka收发支持SSL加密。日志收集支持 Syslog、SNMP Trap. 、ODBC/JDBC WMK FTP、SFTP 协议日 志收集；支持阿里云SLS日志的

32、采集。设备厂家包括但不限于：Cisco（思科）、Juniper联想网御/网御神州、 F5、华为、H3C、微软、绿盟、飞塔（Fortinet）、Foundry、天融信、启 明星辰、天网、趋势、东软、Nokia、Checkpoint、Hillstone（山石）、 安恒信息、珠海伟思、BEA、中国电信、安氏、帕拉迪、APC、Arbor. Clam,戴尔（Dell） Digium.东方电子、EMC、中国电力科学研究院、 Eudora、Google 冠群金辰、Linksys、McAFee Netapp 永达、Sonicwall Vigor 天存、Symantec （赛门铁克）、Hardened-PHP、

33、Foundertech（方 正）、三零盛安、Allot、蓝盾、IBM、金诺网安、网威、Nortel （北电）、 Citrix（思杰）、Watchguard中兴、阿帕奇、Windows系统日志、 Linux/UNIX syslog IIS Apache 等；支持常见的虚拟机环境日志收集，包括Xen、VMWare Hyper-V等。支持目前主流的网络平安设备、交换设备、路由设备、操作系统、应用 系统等；日志分析支持对收集到的重复日志进行自动聚合归并，减少日志量支持将收集到的日志转发，当原始日志设备无法设置多个日志服务器 时，可以通过本系统的日志转发功能将日志转发到其他日志存储设备；内置5000+解

34、析规那么，支持对提供的5000+设备类型日志进行解析（标 准化、归一化），解析维度多达200+,解析规那么可以根据客户要求定制 扩展；三维关联分析；支持通过资产、平安知识库、弱点库三个维度分析事件 是否存在威胁，并形成关联事件综合查询及报 表管理内置合规性报表1000+种支持报表导出为PDF和Word格式文件。日志备份支持日志备份自动传送到远程服务器支持从远程仓库恢复数据告警功能支持磁盘空间阈值告警，当磁盘使用率到达设定的阈值时可产生并外发 告警；资产性能监控异常告警，对于监控的资产系统资源进行监测当指 定指标使用率到达设定的阈值时可产生并外发告警；资产状态监控，当 资产处于不活跃状态时可产生

35、并外发告警；远程仓库状态监测可告警， 当远程仓库可用性检测失败或备份包自动上传失败时可产生并外发告 警（提供截图）具备报警合并和在一个时间段内抑制报警次数的能力应用性能监控通过在目标主机上安装Agent程序，支持监测目标主机的CPU利用率、 内存使用率、磁盘使用率、磁盘使用情况、流量等信息支持监控MySQL以下参数：查询缓存命中率、键缓存命中率、立即获得 锁数、连接数、线程数、每秒SQL查询数、每秒发送字节、每秒接收字 节用户管理用户支持双因子认证登录，双因子认证令牌支持绑定至具体用户（提供 截图）提供自助式的升级接口，支持对产品升级、规那么升级资产管理注册用户资产时，提供自动发现识别能力资产

36、拓扑支持按照实际的用户环境进行编辑发布并可以和资产进行绑 定，扑可以显示资产采集的事件数量被采集资产的状态等信息（提供第 三方检测报告）中标供应商在 合同签订前提 供产品获得公安部计算机信息系统平安产品销售许可证 产品取得软件著作权登记证书3、数据库审计指标项指标详细描述硬件规格及性 能专用硬件平台和平安操作系统，事件处理10000条/秒，内置4TB磁 盘存储空间。标准1U机箱，双电源；标配6个千兆自适应电口，1 个Console 口，支持两个扩展槽位，支持液晶屏。含三年标准维保 服务。性能指标：峰值事件处理能力不低于12000条语句/秒，日志存储最 低10亿条。网络环境支持系统可同时支持IP

37、v4和IPv6的网络环境下数据库的审计。部署方式可通过端口镜像（SPAN）或者分流器（TAP）模式旁路部署或Agent 插件方式部署。支持通过Agent审计回环地址的流量。（请提供功能界面截图）IPv6支持支持针对IPv6协议的审计。支持通过IPv6的地址检索事件。审计功能支持的数据库：Oracle、SQL-Server、DB2 Informix Sybase、MySQL、 PostgreSQL达梦、人大金仓、南大通用Gbase、神舟通用、Cache 等。支持旁路阻断功能（非串联方式），阻断两种模式，宽松模式：对 单一会话危险操作阻断；严格模式：源IP操作的所有请求直接阻断。（请提供功能界面截

38、图）支持全文检索数据库solr的审计，可审计到solr的查询、插入行 为的操作信息。第21页共70页全面支持后关系型数据库Cache的审计，包括terminal、portal、 studio、Sqlmanager MedTrak等工具访问的审计，Portal可审计 Sql语句、查询Global变量以及二者的返回内容，Terminal可审计 M语句及返回内容，MedTrak可审计工号、操作报表以及二者的返回 内容，studio可审计到编译、代码更改等操作，Sqlmanager可审计 数据库账号和操作的sql语句。支持C/S架构COM、COM+、DCOM组件的审计，可提取应用层工号（账 号）的身份

39、信息，精确定位到人。支持白名单管理，根据白名单支持数据库操作命令（包括select、 create、delete等40种以上命令）；语句长度、语句执行回应、语 句执行时间、返回内容、返回行数、数据库名、应用账户、服务器 端口、客户端操作系统主机名、客户端操作系统用户名、客户端MAC、 客户端IP、客户端端口、客户端进程名、时间、数据库表、包、存 储过程、函数、视图、字段、索引等二十四种以上条件。审计策略审计规那么支持24种以上分项响应条件；支持规那么类型（普通规那么、 组合规那么）、风险级别（高、中、低、一般行为、关注行为五种级 别）、数据库操作命令（包括select、create delet

40、e等40种以 上命令）；关键字审计、语句长度、语句执行回应（包含成功、失 败、阻断等）、语句执行时间（支持配置1-999999ms阈值）、返回 内容、返回行数（支持配置9999阈值）、数据库名、应用账户、 服务器端口、客户端操作系统主机名、客户端操作系统用户名、客 户端MAC、客户端IP、客户端端口、客户端进程名、时间（含开始 结束日期）、数据库表、包、存储过程、函数、视图、字段、索引 等条件内置疑似SQL注入、跨站脚本攻击、字段猜想、代码更改、等近500 种风险审计规那么库，无需单独配置，直接调用。支持重复操作的统计审计规那么，可根据在一定的时间内，重复某项 操作到达设定的统计次数进行规那么

41、审计告警。（请提供功能界面截 图）审计查询系统支持全库检索、条件检索和关键字检索，检索效率到达1亿条 数据二十秒内检索出结果，快速定位相应的审计会话内容。可根据包括时间范围（最近一分钟、五分钟、十分钟、半小时、一 小时、十二小时、自定义时间等条件快速查询）、风险级别（高风 险、中风险、低风险等级别）、保护对象、操作类型、客户端IP （支 持多个IP地址查询）、访问工具、数据库账户、应用账户、关键字 过滤、规那么名、规那么组名、规那么类型、客户端MAC、客户端端口、操 作系统主机名、操作系统用户名、服务端IP（支持多个IP地址查询）、 服务端端口、数据库名、语句长度、回应、语句执行时间、返回行

42、数、返回结果、记录编号、会话ID、处理状态等二十五种以上条件 进行检索查询。第22页共70页报表系统内置根据保护对象、年份、月份进行统计的T0P5报表，至少包 含5种以上含有以下维度的报表，报表维度涵盖：数据库账户情况、 数据库访问情况、查询语句执行情况、数据库繁忙情况以及执SQL 执行时间情况等，同时支持excel、word、pdf格式报表的导出。监控与告警提供用户界面告警、Syslog告警、SNMP告警、邮件告警、短信系统、 短信猫等多种告警方式自身防护对审计记录返回内容中的敏感数据能进行隐秘处理，防止二次泄露。 （请提供功能界面截图）4、专网出口防火墙技术指标指标要求硬件要求多核AMP+

43、架构，网络处理能力为10G,应用层吞吐4G,并发连接三260 万,每秒新建连接18万/秒，标准2U机箱，单电源，标准配置6个 10/100/1000M自适应电口，4个SFP插槽，支持两个扩展槽，1个 Console 口，支持液晶屏；含三年硬件维保服务和三年ips模块和 av模块特征库三年升级服务，部署模式产品支持路由、透明、交换以及混合模式接入，满足复杂应用环境的 接入需求。支持旁路模式；网络协议支持VTEP （VxLan Tunnel EndPoint）模式接入VxLAN网络，并可作 为VXLAN二层、三层网关实现VxLan网络与传统以太网的相同子网内、 跨子网间互联互通；支持通过绑定VLA

44、N、VNI （VXLAN Network Identifier）、远程 VTEP,手动管理 VxLan 网络；支持 MAC、VNI、 VTEP静态绑。支持MTU29000byte的巨型帧Jumbo Frame；（提供功能截图）地址转换支持全面的NAT转换配置，包括一对， 对多，多对 的源、目的 地址转换，并至少支持FULL_C0NE模式和SYMMETRIC模式。支持在源地址转换过程中，对SNAT （源地址转换）使用的地址池利用 率进行监控，并在地址池利用率超过阈值时，通过SNMP Trap、邮件、 声音、短信等方式告警。IPv6支持支持IPv6环境下的静态路由及动RIPng. 0SPFv3 B

45、GP4+等动态路由， 为保障IPv6的兼容扩展性，要求具备高性能IPv6防火墙系统支持DNS64功能；支持IPv6入站的DNS代理功能，即从指定的入接 口或源ISP接收到的DNS解析请求，设备可根据自定义的IP、域名对 应关系，代理DNS服务器返回查询结果；支持配置基于IPv6地址的平安策略，并在一条策略中可同时启用入 侵防御、反病毒、URL过滤、应用识别、反间谍软件等平安功能；虚拟防火墙功能支持在虚系统内独立配置病毒防护、漏洞利用防护、间谍软件防护、 URL过滤、文件过滤、内容过滤、邮件过滤、行为管控等平安功能。 并可支持对本虚系统内产生的日志进行独立审计；第23页共70页访问控制支持基于源

46、平安域、目的平安域、源用户、源地址、源地区、目的地 址、目的地区、服务、应用、隧道、时间、VLAN等多种方式进行访问 控制，并支持地理区域对象的导入以及重复策略的检查，为保障容易 策略检测的准确度，要求具备策略冲突检测系统网络攻击防护支持基于不同平安区域防御DNS Flood、 Flood攻击，并支持警 告、阻断、首包丢弃、TC反弹技术、NS重定向、自动重定向、手工 确认等多种防护措施；病毒防护支持对 /FTP/P0P3/SMTP/IMAP/SMB六种协议进行病毒查杀；支持对最多6级的压缩文件进行解压查杀；入侵防御支持漏洞防护功能，同时将漏洞防护特征库分类，至少包括缓冲区溢 出、跨站脚本、拒绝

47、服务、恶意扫描、SQL注入、WEB攻击等六种分 类；漏洞防护支持日志、阻断、放行、重置等执行动作，可批量设置 针对某一分类或全部攻击签名的执行动作；支持基于FTP、 、IMAP、 0THER_APP、POP3、SMB. SMTP等应用协议的漏洞防护;所投产品的漏洞防护特征库包含高危漏洞攻击特征，至少包括“SMB 溢出攻击” “Struts、uStruts2v以及对应的攻击的名称、CVEID、 CNNVDID.严重性、影响的平台、类型、描述等详细信息；网络异常感知支持基于主机或威胁情报视图，统计网络中确认被入侵、攻破的主机 数量，至少可查看被入侵、攻破的时间、威胁类别、情报来源、威胁 简介、被入

48、侵、攻破的主机IP、用户名、资产等信息；并对威胁情报 发现的恶意主机执行自动阻断。平安事件分析提供关联分析面板，可将Top应用、Top威胁、Top URL分类、Top 源地址、Top目的地址等信息关联，并支持以任意元素于为过滤条件 且不少于35个维度进行数据钻取。提供关联的威胁事件日志，系统可自动将产生威胁事件的连接经过防 病毒、防漏洞、防间谍软件、URL过滤、文件过滤等平安模块检查的 日志集中显示运维管理为确保设备管理的平安性，所投产品必须支持限制特定主机调用Restful API；支持平台通过调用Restful API至少可配置所投设备 的访问控制策略、NAT策略、路由、接口以及对象等功能

49、；云端协同支持与云端联动，至少实现病毒云查杀、URL云识别、应用云识别、 云沙箱、威胁情报云检测等功能；沙箱联动支持与本地及云端沙箱联动，检测文件中携带的未知威胁并接收沙 箱下发的处置策略设备联动支持与本次投标杀毒软件联动，实现基于终端健康状态的访问控制； 并支持阻断“高风险”终端网络活动的同时，提示被阻断原因及重定 向自定义网址。（提供产品截图）第24页共70页5、政务外网出口防火墙第25页共70页技术指标指标要求硬件要求多核AMP+架构，网络处理能力为14G,应用层9G,并发连接三300万， 每秒新建连接22万/秒，标准2U机箱，单电源，标准配置6个 10/100/1000M自适应电口，4

50、个SFP插槽，支持两个扩展槽，最大支 持22个接口，1个Console 口，支持液晶屏；含三年硬件维保服务 和三年全功能模块升级订阅服务包（含应用识别库、URL分类特征库、 病毒防护特征库、入侵防御特征库升级服务及威胁情报订阅服务）部署模式产品支持路由、透明、交换以及混合模式接入，满足复杂应用环境的 接入需求。支持旁路模式；网络协议支持VTEP （VxLan Tunnel EndPoint）模式接入VxLAN网络，并可作 为VXLAN二层、三层网关实现VxLan网络与传统以太网的相同子网内、 跨子网间互联互通；支持通过绑定VLAN、VNI （VXLAN Network Identifier）、

51、远程 VTEP,手动管理 VxLan 网络；支持 MAC、VNI、 VTEP静态绑。支持 MTU9000byte 的巨型帧 Jumbo Frame；地址转换支持全面的NAT转换配置，包括一对一，一对多，多对一的源、目的 地址转换，并至少支持FULL_C0NE模式和SYMMETRIC模式。支持在源地址转换过程中，对SNAT （源地址转换）使用的地址池利 用率进行监控，并在地址池利用率超过阈值时，通过SNMP Trap、邮 件、声音、短信等方式告警。IPv6支持支持IPv6环境下的静态路由及动RIPng、0SPFv3、BGP4+等动态路由支持DNS64功能；支持IPv6入站的DNS代理功能，即从指

52、定的入接 口或源ISP接收到的DNS解析请求，设备可根据自定义的IP、域名 对应关系，代理DNS服务器返回查询结果；支持配置基于IPv6地址的平安策略，并在一条策略中可同时启用入 侵防御、反病毒、URL过滤、应用识别、反间谍软件等平安功能；SSL解密支持IPv4和IPv6流量的 S、P0P3S、SMTPS、IMAPS协议进行解 密，支持配置基于源平安域、目的平安域、源地址、目的地址、SSL 协议服务的解密策略，动作可以设置解密或不解密，并可基于平安域、 IPv4和IPv6地址进行例外设置，同时支持将解密后流量镜像到其他 设备进行分析统计，为增强SSL解密能力，要求具备SSL解密系统访问控制支持

53、基于源平安域、目的平安域、源用户、源地址、源地区、目的地 址、目的地区、服务、应用、隧道、时间、VLAN等多种方式进行访 问控制，并支持地理区域对象的导入以及重复策略的检查；网络攻击防护支持基于不同平安区域防御DNS Flood、 Flood攻击，并支持警 告、阻断、首包丢弃、TC反弹技术、NS重定向、自动重定向、手工 确认等多种防护措施；（提供功能截图）病毒防护支持对 /FTP/P0P3/SMTP/IMAP/SMB六种协议进行病毒查杀；支持对最多6级的压缩文件进行解压查杀；入侵防御支持漏洞防护功能，同时将漏洞防护特征库分类，至少包括缓冲区溢 出、跨站脚本、拒绝服务、恶意扫描、SQL注入、WE

54、B攻击等六种分 类；漏洞防护支持日志、阻断、放行、重置等执行动作，可批量设置 针对某一分类或全部攻击签名的执行动作；支持基于FTP、 、 IMAP、0THER_APP、POP3、SMB、SMTP等应用协议的漏洞防护；所投产品的漏洞防护特征库包含高危漏洞攻击特征，至少包括“SMB 溢出攻击” “Struts、Struts2以及对应的攻击的名称、CVEID、 CNNVDID.严重性、影响的平台、类型、描述等详细信息；网络异常感知支持基于主机或威胁情报视图，统计网络中确认被入侵、攻破的主机 数量，至少可查看被入侵、攻破的时间、威胁类别、情报来源、威胁 简介、被入侵、攻破的主机IP、用户名、资产等信息

55、；并对威胁情 报发现的恶意主机执行自动阻断。蜜罐引流支持IPv4和IPv6流量的蜜罐引流策略，支持配置基于源平安域、目 的平安域、源地址、目的地址、服务、VLAN的引流策略，并支持强 制导流，能够通过设置服务器和端口进行引流（提供功能截图）平安事件分析提供关联分析面板，可将Top应用、Top威胁、Top URL分类、Top 源地址、Top目的地址等信息关联，并支持以任意元素于为过滤条件 且不少于35个维度进行数据钻取。提供关联的威胁事件日志，系统可自动将产生威胁事件的连接经过防 病毒、防漏洞、防间谍软件、URL过滤、文件过滤等平安模块检查的 日志集中显示运维管理为确保设备管理的平安性，所投产品

56、必须支持限制特定主机调用Restful API；支持平台通过调用Restful API至少可配置所投设备 的访问控制策略、NAT策略、路由、接口以及对象等功能（提供功能 截图）云端协同支持与云端联动，至少实现病毒云查杀、URL云识别、应用云识别、 云沙箱、威胁情报云检测等功能；沙箱联动支持与本地及云端沙箱联动，检测文件中携带的未知威胁并接收沙 箱下发的处置策略设备联动支持与本次投标杀毒软件联动，实现基于终端健康状态的访问控制； 并支持阻断“高风险”终端网络活动的同时，提示被阻断原因及重定 向自定义网址。（提供产品截图）中标供应商在合 同签订前提供产品具备国家信息平安测评中心颁发的核心功能模块测

57、评证书产品具备国家信息平安漏洞库颁发的兼容性资质证书6、数据中心防火墙功能项功能要求说明硬件要求硬件规格要 求硬件参数:规格:1U,内存大小28G,硬盘容量264GminisataSSD,电源：单电源，接口 6千兆电口+4千兆光口 SFP。第26页共70页第27页共70页含网关杀毒模块（*3年）；IPS模块（*3年）；产品质保（*3年）； 软件升级（*3年）；性能要求性能要求网络层吞吐量212G,应用层吞吐量24. 4G,防病毒吞吐量三 1G, IPS吞吐量三800M,全威胁吞吐量2650M,并发连接数 2260万， 新建连接数218万网络适应 性工作模式产品支持路由模式、透明模式、虚拟网线模

58、式、旁路镜像模 式等多种部署方式。硬件一虚多产品支持虚拟防火墙功能，支持虚拟防火墙的创立和删除， 具备独立的接口、会话管理、应用控制策略、NAT等资源。链路状态检 测产品支持链路连通性检查功能，支持基于3种以上协议对链 路连通性进行探测，探测协议至少包括DNS解析、ARP探测、 PING和BFD等方式。链路聚合产品支持链路聚合功能，可以将多个物理链路组合成一个性 能更高的逻辑链路接口，提高链路带宽和链路可靠性。路由特性产品支持静态路由、策略路由、多播路由等常见路由类型。产品支持BGP、RIP、0SPF等常见动态路由协议。产品支持路由类型、协议类型、网络对象、国家地区等条件 进行自动选路的策略路

59、由，支持不少于3种的调度算法，至 少包括带宽比例、加权流量、线路优先等。NAT功能产品支持多对一、一对多和一对一等多种地址转换方式。产品支持NAT44、NAT64、NAT66地址转换方式。支持 NAT 穿透技术 ALG,支持 FTP、TFTP、SQLNET、PPTP、RTSP、 SIP、H.323等协议。IPv6功能产品支持IPv4/IPv6双栈工作模式，以适应IPv6开展趋势。产品支持基于应用、服务、时间、域名、IPv6对象等维度的 访问控制用户识别 与认证认证方式产品支持3种以上的用户认证方式,包含但不限于单点登录、 本地账号密码、外部账号密码认证。应用控制应用识别产品支持应用管控功能，应

60、用特征识别库数量大于9160种。流量控制产品支持对不同用户和应用的流量进行带宽的差异化管控。会话控制产品支持对不同IP进行并发会话数量管控。访问控制访问控制策 略产品支持基于网络区域、网络对象、MAC地址、服务、应用 等维度进行访问控制策略设置。协议命令控 制产品支持ftp协议命令控制功能,至少包含delete、rmdir mkdir rename mget dir mput get put 等， 保护对夕卜 服务不被恶意篡改。平安防护DDoS防护产品支持对SYN、UDP、ICMP、DNS、ACK等进行DD0S防护。产品支持异常数据包攻击防御，防护类型包括IP数据块分片 传输防护、Teardr