肿瘤医院信息安全加固及等保测评服务项目招标文件

公开招标采购文件项目名称：信息安全加固及等保测评服务

目录TOC\o"1-1"\h\z13067第一章招标公告 316283供应商须知前附表 725173第二章采购内容及需求 126617第三章供应商须知 1626978第四章评标办法 2922777第五章采购合同 3428242第六章投标文件格式 39

第一章招标公告项目概况

浙江省肿瘤医院信息安全加固及等保测评服务招标项目的潜在投标人应在/获取（下载）招标文件，并于

2022年6月30日14:30（北京时间）前递交（上传）投标文件。一、项目基本情况

项目编号：ZJ-2231314

项目名称：浙江省肿瘤医院信息安全加固及等保测评服务项目

预算金额（元）：2000000

最高限价（元）：2000000

采购需求：

标项名称:

浙江省肿瘤医院信息安全加固及等保测评服务项目

数量:

不限

预算金额（元）:

2000000

简要规格描述或项目基本概况介绍、用途：详见采购文件

备注：国产

合同履约期限：标项1，按招标文件要求

本项目（是）接受联合体投标。二、申请人的资格要求：

1.满足《中华人民共和国政府采购法》第二十二条规定；未被“信用中国”（)、中国政府采购网（）列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单。

2.落实政府采购政策需满足的资格要求：标项1：本项目专门面向中小企业采购（监狱企业及残疾人福利性单位视同小型、微型企业）

3.本项目的特定资格要求：标项1：本项目的特定资格要求：无。

三、获取招标文件

时间：/至2022年06月30日

，每天上午00:00至12:00

，下午12:00至23:59（北京时间，线上获取法定节假日均可，线下获取文件法定节假日除外）

地点（网址）：浙江政府采购网（sdf.lkj//）

方式：供应商登录政采云平台/在线申请获取采购文件（进入“项目采购”应用，在获取采购文件菜单中选择项目，申请获取采购文件）

售价（元）：0

四、提交投标文件截止时间、开标时间和地点

提交投标文件截止时间：2022年06月30日14:30（北京时间）

投标地点（网址）：线上（政府采购云平台（））

开标时间：2022年06月30日14:30

开标地点（网址）：线上（政府采购云平台（））

五、公告期限

自本公告发布之日起5个工作日。六、其他补充事宜

1.《浙江省财政厅关于进一步发挥政府采购政策功能全力推动经济稳进提质的通知》（浙财采监（2022）3号）、《浙江省财政厅关于进一步促进政府采购公平竞争打造最优营商环境的通知》（浙财采监（2021）22号）已分别于2022年1月29日和2022年2月1日开始实施，此前有关规定与上述文件内容不一致的，按上述文件要求执行。

2.根据《浙江省财政厅关于进一步促进政府采购公平竞争打造最优营商环境的通知》（浙财采监（2021）22号）文件关于“健全行政裁决机制”要求，鼓励供应商在线提起询问，路径为：政采云-项目采购-询问质疑投诉-询问列表:鼓励供应商在线提起质疑，路径为：政采云-项目采购-询问质疑投诉-质疑列表。质疑供应商对在线质疑答复不满意的，可在线提起投诉，路径为：浙江政府服务网-政府采购投诉处理-在线办理。

3.供应商认为采购文件使自己的权益受到损害的，可以自获取采购文件之日或者采购公告期限届满之日（公告期限届满后获取采购文件的，以公告期限届满之日为准）起7个工作日内，对采购文件需求的以书面形式向采购人提出质疑，对其他内容的以书面形式向采购人和采购代理机构提出质疑。质疑供应商对采购人、采购代理机构的答复不满意或者采购人、采购代理机构未在规定的时间内作出答复的，可以在答复期满后十五个工作日内向同级政府采购监督管理部门投诉。质疑函范本、投诉书范本请到浙江政府采购网下载专区下载。

4.其他事项：（1）采购项目需要落实的政府采购政策：《政府采购促进中小企业发展管理办法》（财库﹝2020﹞46号）、《关于促进残疾人就业政府采购政策的通知》（财库〔2017〕141号）、《关于政府采购支持监狱企业发展有关问题的通知》（财库[2014]68号）、《关于调整优化节能产品环境标志产品政府采购执行机制的通知》（财库[2019]9号）。

（2）根据《浙江省财政厅关于规范政府采购供应商资格设定及资格审查的通知》（浙财采监[2013]24号）第6条规定接受金融、保险、通讯等特定行业的全国性企业所设立的区域性分支机构，以及个体工商户、个人独资企业、合伙企业，且已经依法办理了工商、税务和社保登记手续，并且获得总机构授权或能够提供房产权证或其他有效财产证明材料，证明其具备实际承担责任的能力和法定的缔结合同能力。

（3）单位负责人为同一人或者存在直接控股、管理关系的不同供应商，不得同时参加同一合同项下的投标。

（4）为项目提供整体设计、规范编制或者项目管理、监理、检测等服务的供应商，不得参加该项目的投标。

（5）本项目采购文件公告期限为本公告发布之日起5个工作日。

七、对本次采购提出询问、质疑、投诉，请按以下方式联系

供应商须知前附表序号名称内容1采购人2采购代理机构3踏勘现场自行踏勘4资金来源已落实5环境标志产品节能产品（1）严格执行《财政部发展改革委生态环境部市场监管总局关于调整优化节能产品、环境标志产品政府采购执行机制的通知》（财库〔2019〕9号）。（2）采购人拟采购的产品属于品目清单范围的，采购人及其委托的采购代理机构将依据国家确定的认证机构出具的、处于有效期之内的节能产品、环境标志产品认证证书，对获得证书的产品实施政府优先采购或强制采购。供应商须按采购文件要求提供相关产品认证证书。▲（3）采购人拟采购的产品属于政府强制采购的节能产品品目清单范围的，供应商未按采购文件要求提供国家确定的认证机构出具的、处于有效期之内的节能产品认证证书，投标无效。属于政府优先采购产品类别的，须按照要求提供依据国家确定的认证机构出具的、处于有效期之内的节能产品或环境标志产品认证证书，否则不予认定。eq\o\ac(□)适用eq\o\ac(□,√)不适用6 投标产品主体□适用eq\o\ac(□,√)不适用7投标保证金□适用eq\o\ac(□,√)不适用8投标文件有效期自投标截止时间起90天9投标截止时间按“招标公告”规定10投标地点按“招标公告”规定11开标时间和地点按“招标公告”规定12投标答疑供应商如认为采购文件表述不清晰的，请于2022年6月17日17：00之前将疑问发送至该电子邮件（邮箱）。答疑回复内容是采购文件的组成部份，并将以更正公告的形式在本采购公告发布的同一媒体发布，请供应商密切关注更正公告。13采购文件的澄清与修改采购人或者采购代理机构可以对已发出的采购文件进行必要的澄清或者修改。澄清或者修改的内容可能影响投标文件编制的，采购人或者采购代理机构应当在投标截止时间至少15日前，将以更正公告的形式在采购公告发布的同一媒体发布。采购文件的修改和澄清（答疑）答复的文件作为采购文件的补充和组成部分，对所有供应商均有约束力。若后续仍有更正内容，将继续以更正公告形式在本网站发布，请供应商密切关注更正公告。14投标文件形式本项目实行电子投标。供应商应准备2种形式的投标文件：电子加密投标文件、以介质存储的数据电文形式的备份投标文件。（1）“电子加密投标文件”是指通过“政采云电子交易客户端”完成投标文件编制后生成并加密的数据电文形式的投标文件（后缀格式为.jmbs）（2）“备份投标文件”是指与“电子加密投标文件”同时生成的数据电文形式的电子文件（备份投标文件，用于供应商电子加密投标文件解密异常时应急使用），其他方式编制的备份投标文件视为无效备份投标文件。备份投标文件（后缀格式为.bfbs）以U盘形式提供。15投标文件的上传和递交（1）电子加密投标文件：投标文件制作完成并生成加密文件，在投标截止时间前，供应商需将加密的投标文件上传至浙江政府采购网，到达开标时间后，供应商自行解密。供应商未能在投标截止时间前成功上传电子加密投标文件的投标无效。（2）备份投标文件：投标截止时间前，供应商应将备份投标文件递交至开标地点，以便电子加密投标文件解密异常时应急使用。备份投标文件递交要求：供应商须将备份投标文件以U盘形式单独放在密封袋中，密封后并在密封袋上注明投标项目名称、投标单位名称并加盖公章。未密封包装或者逾期送达的“备份投标文件”将不予接收。供应商若选择非开标当天递交，请确保在2022年6月29日17：00之前，将备份投标文件通过快递形式或直接送达采购代理机构处，以便标书解密异常时应急使用（地址：）16询标澄清在评标过程中，如评审小组对投标文件有疑问，由评审组长或代理机构代为将问题汇总后发起询标澄清函，供应商应在规定截止时间前回复相关内容并提交。17质疑根据《中华人民共和国政府采购法》第五十二条的规定，供应商认为采购文件、采购过程和中标、成交结果使自己的权益受到损害的，可以在知道或者应知其权益受到损害之日起七个工作日内，以书面形式向采购人、采购代理机构提出质疑。政府采购法第五十二条规定的供应商应知其权益受到损害之日，是指：（一）对可以质疑的采购文件提出质疑的，为收到采购文件之日或者采购文件公告期限届满之日；（二）对采购过程提出质疑的，为各采购程序环节结束之日；（三）对中标或者成交结果提出质疑的，为中标或者成交结果公告期限届满之日。根据《政府采购质疑和投诉办法》第十三条，采购人、采购代理机构不得拒收质疑供应商在法定质疑期内发出的质疑函，应当在收到质疑函后7个工作日内作出答复，并以书面形式通知质疑供应商和其他有关供应商。18投诉根据《中华人民共和国政府采购法》第五十五条的规定，质疑供应商对采购人、采购代理机构的答复不满意或者采购人、采购代理机构未在规定的时间内作出答复的，可以在答复期满后十五个工作日内向同级政府采购监督管理部门投诉。以联合体形式参加政府采购活动的，其投诉应当由组成联合体的所有供应商共同提出。19样品eq\o\ac(□,√)不要求20演示eq\o\ac(□,√)不要求21支持中小企业1.说明（1）中小企业中小企业是指在中华人民共和国境内依法设立，依据国务院批准的中小企业划分标准确定的中型企业、小型企业和微型企业，但与大企业的负责人为同一人，或者与大企业存在直接控股、管理关系的除外。符合中小企业划分标准的个体工商户，在政府采购活动中视同中小企业。在政府采购活动中，供应商提供的货物、工程或者服务符合下列情形的，享受本办法规定的中小企业扶持政策：（一）在货物采购项目中，货物由中小企业制造，即货物由中小企业生产且使用该中小企业商号或者注册商标；（二）在工程采购项目中，工程由中小企业承建，即工程施工单位为中小企业；（三）在服务采购项目中，服务由中小企业承接，即提供服务的人员为中小企业依照《中华人民共和国劳动合同法》订立劳动合同的从业人员。在货物采购项目中，供应商提供的货物既有中小企业制造货物，也有大型企业制造货物的，不享受本办法规定的中小企业扶持政策。以联合体形式参加政府采购活动，联合体各方均为中小企业的，联合体视同中小企业。其中，联合体各方均为小微企业的，联合体视同小微企业。投标文件中须同时出具《政府采购促进中小企业发展管理办法》【财库（2020）46号】规定的《中小企业声明函》，否则不得享受价格扣除。（2）残疾人福利性单位符合《关于促进残疾人就业政府采购政策的通知》（财库〔2017〕141号）规定的条件并提供提供《残疾人福利性单位声明函》的残疾人福利性单位视同小型、微型企业；（3）监狱企业根据《关于政府采购支持监狱企业发展有关问题的通知》（财库[2014]68号）的规定，供应商提供由省级以上监狱管理局、戒毒管理局（含新疆生产建设兵团）出具的属于监狱企业证明文件的，视同为小型和微型企业。2.价格扣除：（本项目不适用）本项目对符合规定的小微企业（含小型企业）报价给予10%的扣除。3.本项目采购标的所属行业为：软件和信息技术服务业22联合体和分包（1）对于联合协议约定小微企业（货物由小微企业制造）的合同份额占到合同总金额30%以上的，其报价给予3%的扣除，用扣除后的价格参加评审。组成联合体的小微企业与联合体内其他企业之间存在直接控股、管理关系的，不享受价格扣除优惠政策。（本项目不适用）（2）对于分包意向协议约定小微企业（货物由小微企业制造）的合同份额占到合同总金额30%以上的，其报价给予3%的扣除，用扣除后的价格参加评审。接受分包的小微企业与分包企业之间存在直接控股、管理关系的，不享受价格扣除优惠政策。（本项目不适用）23其他（1）采购文件中凡标注“▲”的条款均为实质性要求，不响应的投标文件将作无效标处理。（2）供应商未上传电子加密投标文件，其投标无效。（3）供应商上传了电子加密投标文件，未提供备份投标文件，解密出现问题后，由此导致对该供应商投标无法评审的，其后果由该供应商自行承担。（4）各供应商自行在浙江政府采购网下载或查阅采购文件和相关更正公告等，不另行通知，如有遗漏采购人、采购代理机构概不负责。（5）两家或两家以上供应商提供的投标文件出自同一终端设备的，或在相同Internet主机分配地址（相同IP地址）报名或网上投标的，后果由供应商自行承担。

第二章采购内容及需求一、项目背景为继续深化并认真落实我院网络安全各项规划工作，结合我院现有信息化现状，本次项目主要以优化网络架构、补强网络安全防护能力、建立长效的安全服务机制为主要目标，通过此次项目建设进一步提升我院网络安全整体防护能力。二、采购清单序号设备名称技术要求数量1接入交换机详见技术要求章节4台2数据中心防火墙详见技术要求章节2台3日志审计系统详见技术要求章节1套4数据库审计系统详见技术要求章节1台5AC板卡详见技术要求章节2块6安全服务1详见技术要求章节1套7安全服务2详见技术要求章节1套8安全服务3详见技术要求章节1套9服务器安全加固服务详见技术要求章节1套10TAP交换机详见技术要求章节1台11外置光纤Bypass交换机详见技术要求章节2台12NTP服务器详见技术要求章节1台13链路负载均衡详见技术要求章节2台14零信任系统详见技术要求章节1套15出口防火墙详见技术要求章节1台16等保评测详见技术要求章节2套17集成服务详见技术要求章节1套三、项目总体要求结合招标需求把整个系统建设成为一个系统平台，所有产品根据方案规划以及用户要求进行安装调试，整体系统方案要运行良好。为了保证项目的顺利实行，投标供应商应具备良好的管理体系认证以及集成和服务技术能力，拥有专业的项目团队，制定针对本项目的项目总体方案设计、组织实施方案、解决方案、等级保护测评方案、数据迁移方案、项目验收方案等。四、技术要求4.1接入交换机序号指标项指标要求4.1.1端口要求≥24个千兆电口，≥4个万兆光口，配置1条3米万兆互联线缆和4个万兆多模光模块4.1.2STP协议支持标准的STP\MSTP生成树协议，能够与华为交换机对接4.1.3虚拟化功能支持N:1虚拟化功能4.1.4售后服务提供五年保修服务4.2数据中心防火墙序号指标项指标要求4.2.1硬件规格要求高度2U，内存大小≥96G，硬盘容量≥64GSSD+960GBSSD，支持冗余电源4.2.2产品要求网络层吞吐量≥100G，应用层吞吐量≥40G，防病毒吞吐量≥14G，IPS吞吐量≥12G，全威胁吞吐量≥9.5G，并发连接数≥2000万，HTTP新建连接数≥65万，包含5年网关杀毒许可。4.2.3接口要求≥4个千兆电口、≥4个千兆光口SFP、≥14个万兆光口SFP+，配置10个万兆多模光模块，2个千兆单模光模块4.2.4工作模式产品支持路由模式、透明模式、虚拟网线模式、旁路镜像模式等多种部署方式。4.2.5路由特性产品支持静态路由、策略路由和多播路由协议，并支持BGP、RIP、OSPF等动态路由协议。4.2.6NAT功能产品支持支持源地址转换SNAT，目的地址转换DNAT和双向NAT等功能，支持一对一、一对多、多对一等形式的NAT。4.2.7产品支持各种应用协议的NAT穿越，实现SQLNET、TFTP、RTSP、PPTP、FTP、H.323、SIP等多种NATALG功能。4.2.8访问控制产品支持多维度安全策略设置，可基于时间、用户、应用、IP、域名等内容进行安全策略设置。4.2.9应用控制产品支持对不少于9880种应用的识别和控制，应用类型包括游戏、购物、图书百科、工作招聘、P2P下载、聊天工具、旅游出行、股票软件等类型应用进行检测与控制。4.2.10流量控制产品支持基于地区维度设置流控策略，实现多区域流量批量快速管控功能。4.2.11入侵防御产品预定义漏洞特征数量超过7650种，支持在产品漏洞特征库中以漏洞名称、漏洞ID、漏洞CVE标识、危险等级和漏洞描述等条件快速查询特定漏洞特征信息，支持用户自定义IPS规则。4.2.12产品支持僵尸主机检测功能，产品预定义特征库超过110万种，可识别主机的异常外联行为。★4.2.13WEB安全防护产品支持对常见Web应用攻击防御，攻击类型至少支持跨站脚本（XSS）攻击、SQL注入、文件包含攻击、信息泄露攻击、WEBSHELL、网站扫描、网页木马等类型，产品预定义Web应用漏洞特征库超过3320种。（需提供产品功能截图证明）★4.2.14产品支持对请求报文头的X-Forward-For字段检测，并对非法源IP进行日志记录和联动封锁。（提供产品功能截图）★4.2.15支持CC攻击防护功能，为保障勒CC攻击的检测效果4.2.16蜜罐联动支持主动诱捕功能，通过伪装业务诱捕内外网的攻击行为，并联合云蜜罐获取黑客指纹信息，并自动封锁高危IP。需提供产品功能截图。4.2.17防病毒支持对SMTP、HTTP、FTP、SMB、POP3、HTTPS、IMAP等协议进行病毒防御。4.2.18支持对多重压缩文件的病毒检测能力，支持不小于12层压缩文件病毒检测与处置。4.2.19支持病毒例外特征设置，根据文件MD5值和文件URL设置病毒白名单，不对白名单进行病毒查杀。4.2.20支持勒索病毒检测与防御功能4.2.21策略生命周期管理支持策略生命周期管理功能，支持对安全策略修改的时间、原因、变更类型进行统一管理，便于策略的运维与管理。4.2.22双机部署支持主主、主备两种双机模式部署。4.2.23管理方式支持Web管理、串口管理、SSH管理等多种不同方式。4.2.24管理员账号权限管控支持三权分立功能，根据管理员权限分为安全管理员、审计员、系统管理员三种角色。4.2.25售后服务签订合同时提供原厂商针对本项目的原厂五年服务承诺函4.3日志审计系统序号指标项指标要求4.3.1服务器配置CPU：24核及以上，内存：64G及以上，硬盘：4T及以上。4.3.2处理性能支持审计1000个日志源。4.3.3功能扩展采用解决方案包上传对产品进行功能扩展，无需要代码开发；日志转发与存储支持数字签名与加密，数字签名支持SM3和SHA256，加密模式支持AES和SM4，日志接收支持解密支持手动或按周期自动备份系统配置，可随时对系统资产等配置进行还原操作，且自动备份周期与备份包个数可配；支持系统配置备份自动备份至远程服务器。支持通过界面自定义字段方式实现与第三方平台的数据共享，快速满足第三方平台个性化分析和对接需求。支持配置平台信息，包括logo、名称及版权信息。4.3.4日志收集支持Syslog、SNMPTrap、HTTP、ODBC/JDBC、WMI、FTP、SFTP协议日志收集；支持阿里云SLS日志的采集。可通过接收协议限制日志接收速率，包括Http接收、syslog接收、SNMPtrap接收、TCP接收、WMI接收、aliyun接收。支持使用代理(Agent)方式提取日志并收集；安装包支持界面下载，且安装支持可视化向导。4.3.5日志分析可以基于日志等级进行过滤；可以通过自定义配置过滤掉用户不关心的日志；支持对收集到的重复日志进行自动聚合归并，减少日志量；支持可由用户定义和修改的日志聚合归并逻辑规则;支持关联规则性能以界面列表形式显示，可了解触发次数、最近一周监控状态等信息支持基于跨设备的多事件关联分析；内置设备异常、漏洞利用、横向渗透、权限提升、命令执行、可疑行为6大类50+子类的安全分析场景；进行关联分析的规则可定制，三维关联分析；支持通过资产、安全知识库、弱点库三个维度分析事件是否存在威胁，并形成关联事件。4.3.6日志备份可设置日志存储备份策略。包括系统日志保存期（天）、磁盘使用率百分比等策略；支持日志本地备份及恢复；支持日志备份自动传送到远程服务器；支持从远程仓库恢复数据；支持FTP、SAMBA、NFS和FILE，4种方式的远程服务器4.3.7应用性能监控（APM）支持监控设备自身CPU、内存、磁盘等工作运行状况；通过在目标主机上安装Agent程序，支持监测目标主机的CPU利用率、内存使用率、磁盘使用率、磁盘使用情况、流量等信息；支持应用性能历史详情回溯查看；支持监控Windows操作系统以下参数：CPU使用率、内存使用率、磁盘使用率、网络发送流量、网络接收流量、网络发送接收总流量、交换区使用率、磁盘总使用率、进程数、线程数；★4.3.8告警功能可预设置安全告警策略；支持磁盘空间阈值告警，当磁盘使用率达到设定的阈值时可产生并外发告警；资产性能监控异常告警，对于监控的资产系统资源进行监测当指定指标使用率达到设定的阈值时可产生并外发告警；资产状态监控，当资产处于不活跃状态时可产生并外发告警；远程仓库状态监测可告警，当远程仓库可用性检测失败或备份包自动上传失败时可产生并外发告警（提供功能截图）。4.3.9用户管理根据三权分立的原则和要求进行职、权分离，对系统本身进行分角色定义，如管理员只负责完成设备的初始配置，规则配置员只负责审计规则的建立，审计员只负责查看相关的审计结果及告警内容；日志员只负责完成对系统本身的用户操作日志管理；系统自带自身管理日志；用户支持双因子认证登录，双因子认证令牌支持绑定至具体用户；4.3.10资产管理注册用户资产时，提供自动发现识别能力；资产拓扑支持按照实际的用户环境进行编辑发布并可以和资产进行绑定，拓扑可以显示资产采集的事件数量被采集资产的状态等信息4.3.11部署方式支持分布式部署，支持页面一键添加子节点，自动进行绑定添加，采集器可以选择同步日志范围，按需转发数据；支持集中式管理和升级模式；4.3.12产品要求产品须符合《信息安全技术日志分析产品安全技术要求GA/T911-2010》(第三级)，并提供完整的检测报告复印件；产品获得涉密信息系统产品检测证书，需符合《涉及国家秘密的信息系统安全监控与审计产品技术要求》，提供完整的检测报告复印件；产品获得《中国国家信息安全产品认证证书》，需符合GB/T20945-2013《信息安全技术信息系统安全审计产品安全技术要求和测试评价方法》（增强级），并提供完整的检测报告复印件；产品取得软件著作权登记证书；4.3.13售后服务签订合同时提供原厂商针对本项目的原厂五年服务承诺函4.4数据库审计系统序号指标项指标要求4.4.1性能参数2U机架式；内置交流双电源；处理器采用高性能CPU，内存≥32GBDDR31600Mhz，硬盘≥4TB（2T*2），支持RAID1，最大支持扩展到4T*4硬盘；网络端口：支持监听接口扩展，配备至少2个千兆电口管理口；支持千兆和万兆兆网络环境下的监听能力，标配至少4个千兆电口、4个千兆光口和4个万兆口；4.4.2支持的数据库实例个数：≥25；审计性能：峰值SQL处理能力≥40000条/秒；硬件最大吞吐量4000Mbps；双向审计数据库流量400Mbps；标配日志存储数20亿条；审计日志检索能力≥1500万条/秒。4.4.3部署方式旁路部署模式下无须在被审计数据库系统上安装任何代理即可实现审计；4.4.4在目标数据库安装Agent解决云环境、虚拟化环境内部流量无法镜像场景下数据库的审计；4.4.5支持分布式部署，管理中心可实现统一配置、统一报表生成、统一查询、一键批量升级所有节点；4.4.6协议支持支持Oracle（包括21C及其他版本）、PostgreSQL（14及其他版本）、SQLServer、DB2、Informix、Sybase、MySQL、MariaDB、SybaseIQ、Vertica、TiDB、PolarDB、PolarDB-X等主流数据库的审计；4.4.7支持GaussDB、Teradata、Kingbase（V8及其他版本）、DM（8及其他版本）、南大通用数据库（Gbase）、Oscar、K-DB等国产数据库的审计；★4.4.8支持MongoDB、Hbase、Hive、impala、ElasticSearch、HDFS、Cassandra、greenplum、LibrA、graphbase、cache、Redis、HANA、ArangoDB、Neo4j、OrientDB等非关系型数据库的审计；（提供功能截图）4.4.9支持主流业务协议HTTP、HTTPS、Telnet、FTP的审计；4.4.10可以通过导入证书的方式实现审计和防护，支持SQLServer2005及以上版本数据库；4.4.11可以通过导入证书的方式实现MySQL5.7及以上版本采用了加密协议通讯的审计;.13支持对各种协议自动识别编码及在web界面手工配置特定编码;4.4.14审计功能支持数据库操作表、视图、索引、存储过程等各种对象的所有SQL操作审计；4.4.15支持数据库请求和返回的双向审计，特别是返回字段和结果集、执行状态、返回行数、执行时长、客户端工具、主机名等内容，支持通过返回行数控制返回结果集大小；4.4.16支持在双向审计场景下根据以往审计命中情况设置结果集存储策略，支持设置保存行数与最大保存长度;4.4.17支持HDFS、HIVE、PostgreSQL等场景下的kerberos认证加密流量的解析与审计；4.4.18智能发现支持自动发现流量中的数据库信息，简化配置；4.4.19安全审计支持审计记录中敏感数据的模糊化处理，内置常见敏感数据掩码规则，支持自定义；4.4.20产品具有内置规则，规则类型有sql注入、账号安全、数据泄露和违规操作等，并可依据规则进行邮件告警；.22内置安全规则不少于900条，如SQL注入、缓冲区溢出等；4.4.23可自定义审计规则，审计规则至少支持18个条件；4.4.24规则各条件之间支持与或非逻辑关系；4.4.25支持信任规则，信任规则至少支持18个匹配条件；4.4.26查询分析具有高效的查询性能，后台采用全文检索引擎检索；4.4.27查询条件易于使用，审计查询条件均为非正则表达式形式进行；4.4.28支持基于数据库访问日期、时间、源/目的IP、来源、数据库名、数据库表名、字段值、数据库登录账号、SQL关键词、数据库返回码、SQL响应时间、数据库操作类型、影响行数等条件的审计查询；4.4.29支持在审计日志中一键添加过滤规则，支持在告警规则中一键添加信任规则和规则白名单；4.4.30设置日志检索条件时，检索条件可根据历史信息自动弹出，检索条件支持源IP、目的IP、客户端工具、数据库名、数据库账号等，输入检索条件时支持智能联想；4.4.31支持告警分析功能，告警支持按照源IP和数据库账号对SQL模板维度进行排行，支持在页面一键去除规则、添加规则白名单；4.4.32支持查询分析能力，根据查询条件自动分析出存在的客户端IP、数据库账号、操作类型等，并支持二次筛选分析；4.4.33统计报表系统内置多种报表模板库，报表不少于20种；4.4.34报表支持严格按照塞班斯（SOX）法案、等级保护标准要求生成多维度综合报告；4.4.35支持按照时间曲线统计流量、在线用户数、并发会话、DDL操作数、DML操作数、执行量最多的SQL语句等报表；4.4.36模型分析可依据客户端工具名、数据库用户名、客户端IP、操作系统用户名、客户端主机名、数据库名、操作类型、服务器IP等配置行为模型，并可查看相应告警日志；4.4.374.4.38可通过桑基图展示访问数据库的路径，路径包括数据库账号、IP地址、客户端工具、数据库名、表明等；4.4.39Agent管理支持在审计管理端批量安装、卸载、重新安装审计代理；4.4.40支持在审计页面直接升级或回退已安装在数据库服务器上的Agent，且升级或回退不需要输入数据库服务器的账号、密码；4.4.41Agent支持设置CPU亲和性、最大资源使用率限制（CPU、内存）；4.4.42可监控Agent的转发速率，以及Agent所在数据库服务器的CPU、内存利用率，并可设置CPU、内存利用率的上线阈值，超阈值时Agent将自动停止转发数据；4.4.434.4.44API化功能全面API化，支持第三方调用；4.4.45三层关联可提供客户端访问Web服务器的URL和应用服务器访问数据库的SQL语句关联功能；4.4.464.4.47支持通过部署Agent实现javaweb环境100%准确关联；4.4.48可维护性内置排错平台，支持一键检测系统的关键信息；4.4.49内置运维终端，可实现日志查看、设备状态检查、执行SQL语句、执行常用命令、特权运维等能力；4.4.50租户化管理支持租户化管理，针对租户的账户只授权租户可查看租户内的数据库产生的审计日志、告警信息；4.4.514.4.52产品资质具备国家信息安全测评中心颁发的《信息技术产品安全测评证书》，级别EAL3+，提供证书复印件；4.4.53具备国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》；4.4.54具有自主知识产权和著作权，需提供相应证明文件；4.4.55具备IPv6ReadyLogo认证；4.4.56具备国家信息安全漏洞库兼容性资质证书；4.4.57售后服务签订合同时提供原厂商针对本项目的原厂五年服务承诺函4.5AC板卡序号指标项指标要求4.5.1硬件参数板卡要求配置≥2端口万兆光口，配2个SFP+万兆多模光模块4.5.2售后服务签订合同时提供原厂商针对本项目的原厂五年服务承诺函4.6安全服务1序号指标项服务要求4.6.1日常安服提供日常安全维护驻场服务。4.6.2提供所有安全产品的日常维护安全保障，产品升级，特征库更新，策略调整等4.6.3通过态势感知针对勒索病毒，Apt攻击，暴力破解行为事件进行每日提醒，保障业务网络安全的实效性。4.6.4提供重保时期的现场技术支持服务4.6.5为用户提供安全咨询服务。4.6.6服务频率每周1人/天4.6.7服务时间合同签订后1年4.7安全服务24.7.1渗透测试服务序号指标项服务要求总体要求通过模拟进行非破坏性和攻击性的的黑客攻击方式，采用自动化测试与人工测试相结合的方式，利用web应用系统的弱点和缺陷来评估采购方系统运行现状，发现漏洞和潜在的安全威胁隐患，保证应用系统的安全性。服务范围及频次采购方指定Web应用系统，一年2次。服务内容至少包含对如下内容进行检测：网络节点枚举和探测，信息收集和状态评估、系统服务和端口扫描验证、应用层测试，SQL注入，跨站脚本（XSS），恶意文件执行、不安全的直接对象引用、跨站请求伪造（CSRF）、信息泄漏和错误处理不当、认证、密码和会话管理失效、不安全的加密存储，不安全的通讯等。服务方法主要渗透方法包括：信息收集、端口扫描、远程溢出、口令猜测、本地溢出、脚本测试等。服务交付物服务结束后提供《信息系统渗透测试报告》。服务能力要求具备CCRC颁发的信息安全风险评估服务资质证书。4.7.2红队攻击服务序号指标项服务要求总体要求在真实网络环境开展红蓝对抗演练，发现并整改采购方内外网资产及业务数据深层次安全隐患，实战化检验采购方安全威胁监测能力、应急处置能力和防护能力，提高并完善采购方安全防护技术与管理体系。服务频次一年2次。服务流程服务流程包括但不限于：准备阶段、攻坚阶段、研判阶段、总结阶段。服务内容具备对互联网信息和情报进行收集和侦察的能力，包括但不限于：IT资产、组织机构、敏感泄露信息等。具备通过互联网系统的典型漏洞获取边界权限的能力，包括但不限于：应用漏洞攻击、逻辑漏洞攻击、社会工程学攻击、邮件专项攻击等具备在招标方内部网络进行横向移动和重点系统控制等能力，包括但不限于：当前设备信息收集、内网信息收集和情报刺探、内网服务器权限控制等。具备攻防对抗结束后进行痕迹的逻辑性清除的能力。包括：清除内网系统级预留的控制后门、清除内网系统级提权的软件以及创建的后门账号、清除内网漏洞扫描及利用的小工具等。服务交付物《攻击方成果总结报告》、《安全漏洞汇总表》、《攻防演练复盘报告》、《信息安全整改方案》★服务能力要求原厂服务商项目经理须同时满足：本科及以上学历、5年以上安全工作经验、具备ISO27001LA、CISSP认证。（提供证书复印件以及人员近三个月任意一个月的社保证明）。4.7.3漏洞扫描服务序号指标项服务要求总体要求定期针对采购方指定的重要服务器、应用系统进行定期漏洞扫描，及时发现最新的安全漏洞。使采购方的日常运维工作变被动为主动，提高全网安全性，掌控全网安全态势。服务范围及频次采购方指定服务器、主机、应用等，一年2次。服务内容对主机、数据库、Web应用系统进行全面漏洞扫描。扫描漏洞类型包括但不限于：SQL注入漏洞、XSS跨站脚本漏洞、伪造跨站点请求漏洞、弱配置漏洞、敏感信息泄漏漏洞、表单弱口令漏洞、Xpath注入漏洞、GOOGLE-HACK漏洞、数据窃取漏洞。服务流程服务流程包括但不限于：计划准备阶段、现场实施阶段、报告验收阶段。服务工具要求支持检测常见CMS应用漏洞、运维安全漏洞、弱口令、Web漏洞，支持基线监控以及合规漏洞检测。支持违规内容检测，包括涉黄、涉赌、虚假证件，支持网页篡改检测。支持外部风险监控，对GitHub代码泄露监测，支持自定义关键词及敏感代码设置。代码泄露监测支持搜索泄露的代码仓库、作者、代码类型、关键词等信息。支持应急检测，能够对单个或多个指定漏洞进行指定范围的检测。支持快速漏扫能力，能单独新建发起以此扫描任务，对任意目标进行应急检测、基础风险检测和Web风险检测，并输出扫描报告。0服务交付物《信息系统漏洞扫描报告》。4.7.4应急响应服务序号指标项服务要求总体要求根据事件类别，通过远程和现场支持的形式协助采购方对遇到的突发性安全事件进行紧急分析和处理，尽可能缩小事件的影响面。服务频次按需提供服务。服务内容配合采购方编制网络安全事件应急预案，根据与采购方商定的应急响应范围及服务内容，分布情况和重要程度，设立对应的应急响应小组。结合采购方运维规程，设计对应的应急响应计划，专门针对突发事件提供攻击防御、入侵取证、病毒或木马查杀等专业安全服务。服务方式远程应急：电话在线支持服务；7*24小时电话支持服务；传真支持服务；E－MAIL支持服务。现场应急：现场应急在30分钟内响应，2小时赶到现场进行应急工作，24小时内完成日志分析、问题定位、消除威胁等。服务交付物《应急响应记录单》、《响应服务处理过程记录》、《突发事件处理报告》。服务能力要求原厂服务商具备信息安全应急处理服务资质认证，提供有效证书复印件。原厂服务商具备ISO27017云服务信息安全管理体系认证。4.7.5其他增值服务.安全基础培训序号指标项服务要求.1总体要求根据采购方实际需要，提供全员信息安全培训，协助采购方提高安全管理员安全技能、全员的安全意识水平，提升安全管理能力，降低安全事故的发生率。.2服务频次培训主题由采购方指定，一年1次。.3服务内容以采购方网络安全建设要求为中心，结合现有信息安全培训计划，不断完善信息系统安全体系宣贯内容，实现信息系统安全更加贴近实际、贴近员工、为员工服务。.4培训内容培训内容包含但不限于：网络安全意识、实战中的攻与防等主题.5服务交付物安全培训服务属于知识传递过程，无明确交付成果，以提供培训PPT课件为主。.安全通报服务序号指标项服务要求.1总体要求通过实时监测、周期性度量行业风险隐患，协助采购方掌握自有IT资产的安全漏洞状态，及时跟踪修补IT资产漏洞，提高脆弱性管理能力。.2服务频次在服务期内，以电子邮件的方式每月发送“安全通告”或不定期发送“紧急安全通告”到采购方指定的电子邮箱。.3服务流程服务流程包括但：信息收集、分析问题、鉴定问题严重性、发送安全通告。.4服务内容通告内容包括但不限于：安全漏洞信息、病毒信息、安全预警信息等。.5通报应提供最新安全漏洞、威胁（0day、系统漏洞、网络攻击）的解决办法、安全问题描述以及相应的处理意见，及时提供符合采购方实际需求的安全信息。.6服务交付物《网络与信息安全通告报告》4.8安全服务3序号指标项服务要求4.8.1服务要求投标方应保证招标方信息系统正常运行前提下，以APT攻击者视角对高端客户目前现有防御体系进行检测，针对目标系统、人员、软硬件设备、基础架构，进行多维度、多手段、对抗性模拟攻击，旨在发现可能被入侵的薄弱点，并以获取信息、系统习题全、控制业务为目标，发现企业现有防御体系的短板为目的，深入检验企业安全防护能力。4.8.2投标方应在得到客户授权后方可开始实施红队检测工作。4.8.3服务方案投标方应根据招标方安全需求及重要业务系统结构，设计针对性的红队检测方案，并提交至招标方进行评审。4.8.4投标方应在投标文件技术部分详细说明红队检测的实施流程、红队检测方法、实施过程中用到的工具、实施过程中可供考量的具体工作指标及各阶段输出成果。4.8.5投标方提供的红队检测方案必须包括但不限于：红队检测方法和流程红队检测实施方案红队检测须采用国内外商业检测工具或自有检测工具提供红队检测所面临的主要风险及相应的风险规避措施4.8.6服务内容采购人授权后，供应商应通过模拟黑客攻击行为通过本地或远程方式对目标对象进行非破坏性的入侵测试。4.8.7红队检测应至少包括但不限于以下范围：Web相关业务系统，包含相同域名或IP下的不同端口的业务系统微信小程序、微信公众号等移动端接入点APP服务器（不涉及APP客户端的逆向分析）数据库系统（如：Redis、Mysql、Mssql、Oracle等）协商的授权范围（如：集团总部、具体二级子公司等）其他常见的服务（如：邮件系统、RDP、SSH等）4.8.8红队检测内容包括但不限于：安全设备类服务器、主机类网络设备类数据库类集权系统类第三方应用类Web安全类4.8.9投标方红队检测人员应针对使用不同技术手段发现不同纬度的安全风险和隐患，形成记录和报告4.8.10投标方红队检测人员应针对员工安全意识展开，包括企业的员工以及第三方合作人员，通过获取企业员工敏感信息或者利用员工计算机获得内网的入口并以此为跳板进一步开展内网的渗透测试。在客户授权下，红队检测针对员工、高管、供应商等进行远程社工测试。4.8.11投标方红队检测人员应近在客户授权情况下，红队检测人员会靠近或位于测试目标建筑内部，开展身份识别绕过、本地网络嗅探、硬件系统漏洞利用、树莓派接入评估等安全检测手段，以绕过身份识别、嗅探重要信息、获得系统权限、获得员工信息为目的，揭示如何在真实情景中绕过物理障碍，从而未授权访问导致数据泄露和系统或者网络受损。4.8.12投标方应编写红队检测报告并提交给招标方，报告应该阐明招标方安全体系中存在的安全隐患以及专业的风险处置建议4.8.13服务频率1年2次，具体时间中标后与用户商定。4.8.14服务交物《红队检测报告》/每次《红队检测总结报告》/年4.9服务器安全加固服务序号指标项指标要求针对用户现有服务器提供安全检查以及安全加固服务，须提供一套服务器安全加固系统，要求安全加固系统具备以下功能：▲4.9.1产品要求提供完整的系统加固和防护能力，包括资产梳理、风险发现、病毒扫描、安全基线、入侵检测、系统加固、应用防护、EDR、溯源分析等高级功能，须提供不少于900点客户端授权，且默认包含三年使用授权。4.9.2安全机制支持自我防护技术，即使客户端被意外关闭，防护依然有效4.9.3主机资产信息全局展示与搜索支持全量资产的关键字及语法搜索，支持检索的语法包括但不限于：服务器资产类、进程资产类、账号资产类、软件应用类、web资产类、web服务类、web框架、数据库类、端口资产类、网络连接类、启动服务类、安装包类、计划任务类、环境变量类、内核类、类库资产类、注册表类、证书资产类进行检索4.9.4服务器基础信息支持以列表的形式，统一列出Windows/Linux服务器基础信息，并在列表中对服务器的关键软硬件进行统计，包括但不限于：CPU数、CPU核数、分区数、账户数、软件应用数、web站点数、web服务数、web框架数、数据库数、端口数、网络连接数、启动服务数、安装包数、计划任务数、环境变量数、内核模块数、证书数、注册表数、类库数等4.9.5进程资产支持以列表的形式，统一列出Windows/Linux服务器进程资产，并可查看进程的软件包名、运行时间、同步时间、启动参数等信息4.9.6端口支持以列表的形式，统一列出Windows/Linux服务器端口资产，并可查看端口号、协议、端口状态、绑定IP、监听进程等信息。4.9.7网络连接支持以列表的形式，统一列出Windows/Linux服务器的进程连接资产，并可查看进程名称、协议、IP地址、源端口、目标端口、目标IP、连接状态、同步时间等信息4.9.8启动服务支持以列表的形式，统一列出Windows/Linux服务器的启动服务或启动项，并可查看服务名/启动项名、启动状态、服务描述、脚本路径、启动类型、文件公司名、文件MD5等信息4.9.9服务行为学习每台服务器的网络外连行为、命令执行行为、文件创建行为，并形成图形化的时间轴行为基线，对于偏离行为以外的动作进行告警4.9.10应用白名单支持对一台或一组服务器进行白名单学习策略，并可设置学习时长，学习后可形成应用列表及HASH值，对偏离学习列表以外的应用进行告警和拦截4.9.11防火墙支持服务器防火墙功能，可对服务器定制访问策略，包括允许本地IP/端口访问指定IP/端口、禁止本地IP/端口访问指定IP/端口，并可设置访问放心，并支持TCP、UDP、ICMP等协议。并根据设置的规则进行访问告警4.9.12端口白名单支持设置端口的暴露控制规则，包括但不限于：禁止/允许外网暴露、禁止/允许内网暴露等策略，并支持例外端口的添加4.9.13外连白名单支持对服务器的进程外连控制进行规则设置，包括但不限于：禁止/允许进程外连外网、禁止/允许进程外连内网，并支持进程白名单和例外进程的设置4.9.14风险账户及弱口令检测支持对服务器中复用的相同密码进行检测，可识别出某个密码被哪些服务器、哪个账户、哪个应用、哪个版本进行了复用4.9.15病毒查杀可对服务器杀毒引擎进行综合的设置，支持本地查杀、控制中心查杀的设置与切换，并可对某台服务器的查杀规则进行详细设置4.9.16软件漏洞检测可对扫描出的软件漏洞进行标记修复、加白、应用虚拟补丁等操作，并支持漏洞复扫4.9.17恶意扫描以攻击者视角、受害者视角展示恶意扫描的事件，包括：服务器名称、负责人、所属部门、操作地址、最近发生时间、受害IP、攻击IP等信息，并可将事件加入黑名单或白名单，还可对受害的IP进行防端口扫描、屏蔽扫描器等设置4.9.18暴力破解对暴力登录系统的账号和IP进行自动发现并上报暴力破解入侵事件，并可对攻击的IP进行封停、解封、加白等操作。4.9.19异常登录支持以违规登录视角对异常登录行为进行监控及告警，并可查看违规登录的账号、来源IP、登录区域、服务器IP、操作系统等信息，并可进行登陆规则策略的设置和告警设置4.9.20后门检测对操作系统、文件、软件中存在的后门进行检测，包括：发现时间、后门名称、后门类型、风险等级、服务器名称、服务器IP、操作系统等，并可进行隔离、删除、加白、下载等操作，并提供后门的详情信息4.9.21webshell支持对内存堆栈调用行为特征的分析，可有效检测常见工具的内存WebShell攻击，可对内存攻击行为告警及处置4.9.22反弹shell支持查看反弹shell的详情，包括基本信息、连接进程信息、命令行信息，并以图形化的形式展示进程树信息，用于反弹shell的详细溯源4.9.23本地提权支持查看提权的详情，并以图形化的形式展示提权进程树信息，用于本地提权的溯源4.9.24无文件攻击支持实时监控服务器上发生的无文件攻击（漏洞型攻击、灰色工具型攻击、潜伏型攻击）事件，并对无文件攻击事件进行加白、标记处置等操作4.9.25OOB带外攻击支持OOB带外攻击检测，并支持黑域名的添加与同步4.9.26RCE利用基于行为分析，检测对外服务的远程命令执行漏洞利用行为，实现实时告警和追溯4.9.27RASP支持RASP（应用运行时自防护），可通过将脚本解析器语言注入到ASP、PHP、Java语言中，并细粒度的监控应用脚本行为及函数调用上下文信息，对上下文信息进行分析判断，及时发现恶意代码和漏洞利用行为4.9.28In-appWAF支持通过插件的方式，工作于IIS、Apache、Nginx等web中间件内部，通过判断流量特征和WAF规则引擎，对访问流量进行监控或防护，阻断SQL注入、XSS、漏洞利用等Web攻击4.9.29售后服务签订合同时提供安全服务工具原厂商针对本项目的原厂三年服务承诺函4.10TAP交换机序号指标项指标要求4.10.1国产化必须基于ASIC架构，核心转发芯片必须是国产4.10.2硬件形态要求产品为标准1U机架设备，冗余风扇，AC/DC电源支持至少1G内存,2GFlash支持设备前面板上有USB接口、Console口、以太网管理口支持至少12个10GSFP+光口支持至少8个10/100/1000MRJ45电口（不允许用光转电模块，因为会多一个故障点）支持至少8个1GSFP光口4.10.2端口聚合端口聚合组数量最少31组，每个端口聚合组支持的成员端口数最少可以到16个4.10.4性能支持240Gbps线速转发能力4.10.5接口支持链路震荡检测（link-flap）,检测到链路频繁UP/Down震荡后可以自动把接口shutdown，允许定时恢复4.10.6支持interfacerange，可以批量操作多个接口4.10.7支持巨帧，最大允许转发的报文长度至少16000字节4.10.8管理支持Syslog，snmp,telnet,ssh,web,radius,tacacs+,tftp,ftp，ntp4.10.9支持异常用户锁定4.10.10ACL过滤Telnet/SSH的登录接入4.10.11支持目录和文件管理4.10.12可以安装多个软件image，选择其中一个启动，以便于做备份4.10.13流量统计支持SFlow4.10.14可编程支持开放的RPCAPI4.10.15报文复制N个端口进来的报文转发到M个端口，N>=1,M>=14.10.16N个端口进来的报文转发到一个负载均衡组，选择一个出口出去。支持同源同宿负载均衡4.10.17可以对报文根据2-4层字段进行过滤，有条件的进行转发4.10.18可以在入方向和出方向分别进行过滤4.10.19支持将报文从入端口转发出去4.10.20负载均衡支持Hash的负载分担方式4.10.21支持crc和xor两种Hash算法，用户可配4.10.22支持用户自定义Hash计算字段，字段包括源Mac，目的Mac,源IP,目的IP,Protocol，L4源端口，L4目的端口。4.10.23报文匹配过滤可以基于匹配的报文字段进行分发和过滤，包括以下字段：支持匹配IPv4目的IP，IPv4源IP，IPv6目的IP，IPv6源IP支持匹配TCP/UDP目的端口（支持范围匹配），TCP/UDP源端口（支持范围匹配）,DSCP,4层protocol字段，TCP选项（ack|fin|psh|rst|syn|urg）,Ip-precedenc,是否分片，是否首分片，是否小分片,是否携带IPOption支持匹配EtherType,目的Mac，源Mac,Vlan,Cos支持匹配双层vlanTAG的内外层vlanId和内外层Cos支持至少可以匹配4层MPLSlabel支持匹配PPPOE的PPPType4.10.24单通可以支持端口单收以及单发，光模块只插单纤端口也能UP。4.10.25报文编辑支持修改报文的源Mac,目的Mac,目的IP4.10.26支持去掉VlanTAG4.10.27支持增加和修改VlanTAG4.10.28规格大小支持至少512个TAPgroup支持至少1024条入方向过滤规则支持至少250条出方向过滤规则4.10.29售后服务签订合同时提供原厂商针对本项目的原厂三年服务承诺函4.11外置光纤Bypass交换机序号指标项指标要求4.11.1基础规格机架空间：标准19英寸1U机架式结构。4.11.2系统端口：支持至少2条1G/10GE光链路Inline串接，具备1个RJ45以太网带外管理接口，一个DB9CONSOLE管理接口。支持LED显示屏控制。4.11.3电源：配置交流1+1冗余电源。4.11.4功能要求支持手动方式、自动方式控制光路切换4.11.5高速切换，切换延时＜10ms4.11.6波长范围850/1300nm±40nm，插入损耗＜1.2dB4.11.7支持掉电Bypass，自身掉电不影响原链路系统4.11.8支持光功率监控，支持按功率阈值自动切换光路4.11.9支持主动心跳模式和备动心跳模式，可以自定义发包间隔时间及接收超时时间4.11.10当串接设备发生故障时，能够在不影响网络流量的情况下，卸下串接设备，并能够保持网络流量畅通。4.11.11当串接设备故障恢复时，可设置回切模式选择自动回切或不回切，当自动回切时可进行回切延时设定4.11.12支持Web方式配置管理，能够设置手动操作的所有功能4.11.13设备应具备完善的状态灯指示功能，能够直观的显示当前工作模式、主路/旁路模式以及串接设备光链路运行状态4.11.14支持通过LED显示屏，查看或配置当前工作模式、当前通道、串接设备发光功率值、切换阈值、IP地址等信息4.11.15设备支持Buzzer蜂鸣提示告警功能，支持一键开启或关闭4.11.16设备支持外置Reset按钮一键恢复出厂设置4.11.17完全兼容光利达、深信服等厂商安全设备4.11.18售后服务签订合同时提供原厂商针对本项目的原厂三年服务承诺函4.12NTP服务器序号指标项指标要求4.12.1时间来源支持GPS卫星、北斗卫星双模4.12.2网络协议NTPv1.v2.v3(RFC1119&1305)SNTP(RFC2030)（RFC1321）DHCP(RFC2131)HTTPIPV44.12.3服务器性能GPS、北斗混合时钟参考模式，一级网络时间服务器，同步精度1µs

用户终端同步授时精度：1-50ms（局域网典型值）

用户容量：可支持数万台客户端

NTP请求量：8000-10000次/秒4.12.4支持系统与平台支持所有NTP协议的服务器、PC、嵌入式设备等，包括但不限于：

MicrosoftWindows全系列、Linux全系列（Redhat，Fedora，Bsd，Centos等Macos系列、Aix、HP-UX、Android、海康大华宇视等安防设备厂家产品等等。4.12.5信号接收参数72通道授时型GPS北斗混合接收机

UTC同步精度30ns（RMS），支持单星授时窗口模式

GPS接收L1,C/A码信号-1575.42MHz

北斗beiDouB1，模式可选择纯GPS、纯北斗或混合三种模式。

跟踪及锁定灵敏度可达-167dBm4.12.6天线参数标配30米BNC接口蘑菇头天线，可定制30、40、50米。4.12.7前面板配置LCD显示屏，显示IP地址、年月日时分秒、锁定卫星数量、时间锁定状态、锁定时间来源、工作状态4.12.8后面板GPS天线入：BNC，1路，L1，1575.42MHz

网口：RJ-45，1路，10/100M自适应以太网接口1一个复位按钮，1个恢复出厂设置按钮

可定制：串口、多网口、PPS输出4.12.9售后服务提供三年保修服务4.13链路负载均衡序号指标项指标要求4.13.1硬件参数规格≥2U，内存大小≥8G，硬盘容量≥240GSSD，冗余电源，接口≥6千兆电口+4万兆光口SFP+，SFP+万兆多模光模块≥4个4.13.2整机性能4层吞吐量（默认网口）≥20G，并发连接数≥8000000，4层新建连接数CPS≥210000，7层新建连接数RPS≥3500004.13.3设备部署支持串接部署方式和旁路部署方式，支持三角传输模式4.13.4多合一功能集成提供针对多条出口线路的链路负载均衡功能，实现inbound和outbound流量的均衡调度，以及链路之间的冗余互备4.13.5提供针对多站点业务发布的全局负载均衡功能，通过智能DNS等机制实现内外网用户对多个数据中心的最优接入路径选择4.13.6负载均衡算法支持轮询、加权轮询、按主机加权轮询、加权最小连接、按主机加权最小连接、动态反馈、最快响应、最小流量、加权最小流量、按主机加权最小流量、带宽比例、哈希、主备、首个可用、优先级等算法4.13.7可编程流量控制通过某种编程语言（如lua）实现自定义的流量编排，对IP、TCP、UDP、SSL、HTTP和HTTPS等类型的流量进行分发、修改和统计等操作。4.13.8链路负载均衡支持静态IP和PPPOE两种线路接入方式。（提供设备操作界面截图）4.13.9支持基于URL的链路调度功能，内置不少于1000条的国外URL网址库，无需手动导入并支持自动更新，管理员可查看并进行编辑。可根据URL将访问国外网站的请求调度到指定线路。4.13.10支持基于域名的流量调度，针对特定网站选择指定的链路转发。4.13.11服务负载均衡支持源IP、Cookie（插入/被动/改写）、HTTP-Header、SSLSessionID等多种会话保持机制，支持跨虚拟服务的会话保持。4.13.12支持银联8583等长连接负载，支持8583单工和双工的区分，对于非HTTP协议的长连接应用，可通过分析议特征来识别消息的开始和截止，以消息为对象进行七层负载均衡，而非传统基于连接的四层负载均衡。4.13.13支持被动式健康检查，可根据对业务流量的观测采样，辅助判断应用服务器健康状况；对常规HTTP应用可配置基于反映URL失效的HTTP响应状态码的观测判断机制，对于复杂应用可配置基于RST关闭连接和零窗口等异常TCP传输行为的观测判断机制。4.13.14支持主动探测方式与被动观测方式结合使用的服务器健康检查手段，以便适应各种复杂应用交互流程，保障业务系统的高可用性。4.13.15服务器负载状态支持投屏展示，能够显示设备的电源状态、风扇转速、磁盘温度、CPU温度、CPU和内存占用率、新建连接数、并发连接数、吞吐情况、SSL新建和SSL吞吐数据、压缩优化和缓存优化数据；业务的健康状态、新建连接数、并发连接数、上下行流量、每秒请求数；节点池的调度算法、健康状态、新建连接数、并发连接数、上下行流量；4.13.16IPv6改造IPv6支持双栈模式，支持NAT46、NAT64、NAT66、FTPALG、DNS64等协议转换4.13.17IPv6改造方案能够解决天窗问题，支持一条策略匹配多个外链网站，同时外链和网站子链发生修改时支持自动识别并做主动修改，不允许通过人工解析配置的方式解决天窗问题4.13.18业务交付优化（服务器负载）七层虚拟服务支持时间戳、TIME_WAIT资源快速回收、节点失效关闭连接和重置无效连接功能4.13.19支持图片优化技术，通过对图片格式的转换，减少传输流量，提升web页面加载速度。无需改动服务器端的图片源文件，可根据浏览器种类自动识别转换类型，将图片转换为对应支持的WebP或JPEG格式，优化加速效果。4.13.20运维管理支持全中文管理界面和HTTPS方式登录、用户角色管理、多级授权管理。4.13.21支持SNMPv1/v2c/v3，标准MIB库和自定义库，可接受第三方网管平台管理4.13.22产品要求投标产品具备中国国家信息安全产品认证证书，提供有效证书复印件4.13.23投标产品具备国家信息安全漏洞库兼容性资质证书，提供有效证书复印件。4.13.24售后服务签订合同时提供原厂商针对本项目的授权函和原厂五年服务承诺函4.14零信任系统4.14.1零信任控制中心序号指标项指标要求授权要求零信任接入授权软件不少于1000套虚拟化镜像为方便安装部署及维护，需支持一体化镜像交付，无需单独安装操作系统、数据库、中间件等组件虚拟化平台所提供虚拟化镜像应支持主流的虚拟化平台，比如VMware、KVM、以及主流超融合品牌（比如深信服、华为、新华三等）云平台所提供虚拟化镜像应支持主流公有云平台安装，如阿里云、腾讯云、华为云、亚马逊云、天翼云等国产化平台支持国产化平台部署，如飞腾+麒麟OS等支持免插件B/S-WEB资源纯浏览器访问为了提升员工使用体验，便于用户无感接入，控制中心应支持跨平台免插件访问，支持多资源（http/https/websocket等）免客户端接入B/S应用依赖站点梳理支持站点智能梳理1、支持使用自动改写采集的方式梳理依赖站点；2、支持依赖站点一键启用，自动采集★支持以通配符方式发布单位内部WEB和C/S业务为减少配置难度，支持以通配符方式发布单位内部WEB系统，避免配置多次资源（如发布一条*.资源即可访问和及其他域名资源)（提供配置截图）WEB资源支持依赖站点为简化授权和管理，应支持将WEB主站点的多个依赖站点资源，全部配置在一条资源中0支持主流PC终端以隧道模式接入访问C/S资源支持主流终端以隧道模式接入访问内网C/S资源，包括Windows7（x86、x64）、Windows10（x86、x64、ARM）、MacOS10.12；支持Ubuntu16.04、Ubuntu18.04、UOSv5.0.30(x86、飞腾)、银河麒麟V10（飞腾）及以上版本1客户端自带登录地址支持在客户端登录时内置登录地址。2手机扫码登录PC支持手机APP登录后支持扫码上线PC端3手机零信任客户端安全设置支持配置应用安全锁、同时开启指纹、手势解锁APP★4认证方式控制中心在不需要额外搭建认证平台、认证组件的情况下便可支持以下认证方式：本地账号密码认证、LDAP/AD认证、OAuth2.0标准协议的票据认证、CAS标准协议的票据认证、证书认证、HTTP(S)短信认证、腾讯云短信网关、阿里云短信网关、标准Radius令牌认证、本地OTP动态令牌认证等认证方式，并可与企业微信、阿里钉钉结合实现扫码认证。（提供功能截图证明）5第三方认证服务器对接支持第三方对接认证，支持对接OAuth2.0、CAS、LDAP、Radius、HTTPS、企业微信、钉钉等第三方认证服务器。6多因素认证为了进一步保障用户身份安全，需支持多因素认证，比如用户名密码认证+短信认证7外部认证服务器登录用户支持设置默认权限支持登录外部认证服务器（如oauth2、ad/ldap、cas）等，默认关联角色，简化权限授权8支持多认证服务器账号区分支持在创建认证服务器时，为服务器指定认证域，(domain)，如，便于账号区分9支持用户访问时，以username@domain的方式进行精确账号指定，避免不同认证服务器中的重名账号的用户权限不清晰0单点登录1、支持帐号密码代填的单点登录功能，可自动识别登录页面的用户名和密码输入框，根据设置的用户名密码规则自动填写WEB业务系统的帐号密码并登录；2、支持以零信任帐号密码或自定义帐号密码登录3、支持以零信任用户名、手机号、邮箱、邮箱前缀作为用户名进行帐号代填1本地用户管理控制中心支持本地用户管理：1、支持新增/删除/修改本地用户2、支持新增/删除/修改本地用户组织架构3、支持配置本地用户基本信息，例如用户过期日期、手机号、启用/禁用状态登录4、支持批量编辑5、支持跨页多选，支持选中本页；6、支持保存并继续添加用户，此时会保存用户的一些基本授权来添加，减少运维成本2外部用户管理控制中心应支持与外部用户管理服务器进行对接，包括LDAP用户目录、企业微信用户目录3批量导入/导出用户对于本地用户目录，支持批量导入/导出：1、支持按csv表格模板格式，批量导入用户2、支持批量导出csv格式的用户列表3、批量导入时，若用户所属组织架构不存在，支持批量新建4动态访问控制支持配置动态访问规则，可配置化的ACL规则引擎，可以灵活地将终端环境、用户身份、处置动作等进行配置，为单位不同业务不同部门提供灵活丰富的访问控制策略：1、动态访问控制策略可指定适用用户范围和排除用户，可指定适用应用；2、动态访问控制策略支持针对操作系统单独设定访问控制策略，操作系统需包括Windows、MacOS、iOS/Android；3、动态访问控制策略支持“与”、“或”条件嵌套，可支持应用信息、端点信息、用户信息、内置变量进行条件设置；4、动态访问控制策略支持灵活的处置动作，包括阻止访问、注销登录、锁定账号，并可基于处置动作自定义提示语；5、当用户不满足访问控制条件时，可提供豁补救动作，补救动作包括：增强认证、安全警示等，且可设置灰度处置的时间范围5动态准入支持在登录上线后，持续、动态检测终端环境安全，不符合后注销用户或锁定用户，便于及时定位并响应终端威胁6联动要求支持与医院现有上网行为管理实现外联接入安全审计联动。7基于应用信息的访问控制支持不同的应用基于访问应用信息设定访问控制策略：1、访问应用的进程数字签名2、访问应用的进程名称3、客户端的公网源IP4、代理网关接入IP5、浏览器版本6、浏览器名称7、应用类型8终端环境动态安全检测支持基于不同的应用，可针对终端环境检测设定访问控制策略，包括：1、aTrust客户端版本2、安装指定的软件3、杀毒软件是否为最新版本4、是否开启操作系统防火墙5、运行任意一款杀毒软件6、安装指定的杀毒软件7、运行进程8、是否存在指定文件9、Windows操作系统安装的补丁10、计算机操作系统版本11、计算机加入的域名称12、计算机本地IP列表13、计算机MAC地址列表14、计算机名称9屏幕安全（WEB水印）支持针对不同的B/S应用开启WEB水印水印内容包括：用户名+当前日期具有威慑作用，有效预防数据泄露0可信应用仅允许信任进程访问资源，有效防止木马入侵系统后攻击服务器1终端进程采集1、支持对所有访问隧道应用的进程进行采集，采集信息包括：进程名、描述、系统平台、数字签名等基本信息2、支持对各采集进程的使用人数进行统计3、支持基于进程是否有合法数字签名、使用人数对进程的风险状态进行评估，以便于管理员基于风险状态判断进程是否可信2可信应用自定义1、管理员可根据采集到的进程信息选择信任/不信任2、支持管理员自定义可信/不可信的进程3进程信息可视支持对所有采集到的进程信息、管理员的处理进度进行统计。包括：1、全部进程，以及高风险/低风险/未知风险的进程数量2、管理员未处理的高风险/低风险/未知风险进程4基于可信应用的访问控制策略支持将进程的可信状态作为访问控制评估条件，配置应用访问策略。限制仅可信的进程可访问指定的应用，或不可信的进程阻止访问。5支持按角色授权支持按用户、用户组、安全组进行角色授权，简化权限管理6支持组织架构的授权继承1、支持下级组织结构继承上级用户组的角色和应用，简化权限管理2、支持用户选择是否继承上级用户组权限7支持授权可视化支持可视每一用户或用户组的权限，可以看到该用户、该用户组关联的所有应用及应用分类，避免出现权限授权不可视、难管理的问题8权限梳理基本能力由于单位业务系统众多，员工权限交错复杂，需零信任平台提供权限梳理基本能力，帮助排除零信任建设障碍，且须支持应用采集、试运行、正式运行等多个阶段的梳理支持。9应用采集及权限分配1、采集阶段，可将用户与应用之间的关系可视，并提供权限确认机制验证权限有效性。基于身份化流量分析方式将权限可视，解决人工梳理导致的耗时长、难实现的问题；2、试运行阶段，能够不中断用户访问业务，提前试运行，并在该阶段对权限结构进行调优，以避免正式上线后，大面积影响用户访问业务。在此期间，用户均可以访