医院等保安全设备及基础设施改造项目招标文件

公开招标采购文件

项目名称：医院等保安全设备及基础设施改造项目

目录

第一章公开招标采购公告.................错误!未定义书签。

第二章招标需求..........................................5

第三章投标人须知......................................39

第四章评标办法及评分标准..............................53

第五章政府采购合同主要条款............................58

第六章投标文件格式....................................61

项目概况

宁波市第六医院等保安全设备及基础设施改造项目招标项目的潜在投标人应在政府采

购云平台（）获取（下载）招标文件，并于2023年02月02日14:00（北京时间）前递

交（上传）投标文件。

一、项目基本情况

项目编号：CBZJ-20222071G

项目名称：宁波市第六医院等保安全设备及基础设施改造项目

预算金额（元）：1900000

最高限价（元）：1900000

采购需求：

标项名称：宁波市第六医院等保安全设备及基础设施改造项目

数量：1

预算金额（元）：1900000

简要规格描述或项目基本概况介绍、用途：六院信息系统作为全院的基础设施系统，承

载着全院内部办公、门户网站、门诊、HIS系统、EMR系统、PACS系统、电子病历系统等多

种应用，详见第二章招标需求。

备注：无

合同履约期限：标项1,自合同签订生效后开始至双方合同义务完全履行后截止。

本项目（是）接受联合体投标。

二、申请人的资格要求：

1.满足《中华人民共和国政府采购法》第二十二条规定；未被“信用中国”

（）、中国政府采购网（www.ccgp.gov.cn）列入失信被执行人、重

大税收违法案件当事人名单、政府采购严重违法失信行为记录名单。

2.落实政府采购政策需满足的资格要求：无

3.本项目的特定资格要求：无

三、获取招标文件

时间：2023年01月11日至2023年01月18日，每天上午00:00至12:00，下午12:00

至23:59（北京时间，线上获取法定节假日均可，线下获取文件法定节假日除外）

地点（网址）：政府采购云平台（）

方式：本项目招标文件实行“政府采购云平台”在线获取，不提供招标文件纸质版。供

应商获取招标文件前应先完成“政府采购云平台”的账号注册；潜在供应商登录政府采购

云平台，在线申请获取招标文件（进入“项目采购”应用，在获取招标文件菜单中选择项目，

申请获取招标文件；仅需浏览招标文件的供应商可点击“游客，浏览招标文件”直接下载招

2

标文件浏览）；采购公告所附采购文件仅供阅览使用，供应商只有在“政府采购云平台”完

成获取采购文件申请并下载了采购文件后才被视为合法获取了采购文件，否则其响应将被拒

绝。

注：请投标人按上述要求获取招标文件，如未在“政采云”系统内完成相关流程，引起

的投标无效责任自负。

售价（元）：0

四、提交投标文件截止时间、开标时间和地点

提交投标文件截止时间：2023年02月02日14:00（北京时间）

投标地点（网址）：（1）”电子加密投标文件"：https:〃www.zcygov.cn在线提交;

（2）“电子备份投标文件”（采用现场递交方式）：开标时间：2023年02月02日14:00

开标地点（网址）：政府采购云平台（http://www.zcygov.cn）

五、公告期限

自本公告发布之日起5个工作日。

六、其他补充事宜

1.供应商认为采购文件使自己的权益受到损害的，可以自获取采购文件之日或者采购文

件公告期限届满之日（公告期限届满后获取采购文件的，以公告期限届满之日为准）起7

个工作日内，以书面形式向采购人和采购代理机构提出质疑。质疑供应商对采购人、采购代

理机构的答复不满意或者采购人、采购代理机构未在规定的时间内作出答复的，可以在答复

期满后十五个工作日内向同级政府采购监督管理部门投诉。质疑函范本、投诉书范本请到浙

江政府采购网下载专区下载。

2.其他事项：

2.1单位负责人为同一人或者存在直接控股、管理关系的不同投标人，不得参加同一标

项的投标。为本项目提供整体设计、规范编制或者项目管理、监理、检测等服务的投标人，

不得再参加本项目的投标。

2.2本次政府采购活动有关信息在浙江政府采购网公布，视同送达所有潜在投标人。

2.3本项目实行网上投标，采用电子备份投标文件。若供应商参与投标，自行承担投标

一切费用。

2.4标前准备：各供应商应在开标前应确保成为浙江省政府采购网正式注册入库供应商，

并完成CA数字证书办理，CA数字证书办理及相关操作可参考“浙江政府采购网-下载专区-

电子交易客户端-CA驱动和申领流程”。因未注册入库、未办理CA数字证书等原因造成无法

获取采购文件、无法投标或投标失败等后果由供应商自行承担。

2.5投标文件制作：

2.5.1应按照本项目招标文件和政府采购云平台的要求编制、加密并递交投标文件。供

应商在使用系统进行投标的过程中遇到涉及平台使用的任何问题，可致电政府采购云平台技

3

术支持热线咨询，联系方式：。

2.5.2供应商通过“政采云”平台电子投标工具制作投标文件，投标文件制作具体流程

详见“政采云供应商项目采购-电子招投标操作指南.pdf”。

2.5.3以U盘存储的数据电文形式的备份投标文件1份，按政府采购云平台项目采购-

电子招投标操作指南中上传的电子备份投标文件格式，以用于异常情况处理。

2.5.4电子备份投标文件的递交：

2.5.4.1采用邮寄方式递交电子备份投标文件的，需按以下要求递交：供应商须在本

项目开标时间前一工作日17:00前将电子备份投标文件邮寄至规定地点，由招标代理工作人

员进行签收。各供应商自行考虑邮寄在途时间，邮寄过程中无论何种因素导致电子备份投标

文件未按时递交的后果，均由供应商自行负责。电子备份投标文件递交时间以招标代理实际

收到投标文件的时间为准。迟到的电子备份投标文件将被拒收。请各供应商确保密封包装在

邮寄过程密封包装完好，并在邮寄包裹上注明项目名称，因邮寄过程的密封破损造成不符合

开标要求的，本招标代理及招标人概不负责。投标文件邮寄地址为：

2.5.4.2采用现场递交方式递交电子备份投标文件的，供应商人员须做好佩戴口罩、手

套等防护措施，自觉接受体温检测、接受防疫询问，并如实告知相关情况，在投标文件递交

工作完成后应立即离开,无故不得在现场逗留。投标人员还需配合做好疫情防控“五个一律”：

一律全面消毒、一律体温检测、一律承诺登记、一律按序办事、一律服从管理。本项目开标

及评审过程，所有工作人员及评审小组成员均全程佩戴口罩、一次性手套等防护工具，评标

室内所有人员座位间距保持安全距离，评审过程开窗通风。疫情防控期间，请供应商遵守郸

州区公共资源交易中心各项防疫措施规定。本项目如有变更或补充，另行通知。

2.6采购项目需要落实的政府采购政策：（1）对小微企业的产品给予价格优惠（监狱

企业、残疾人福利性单位视同小微企业；残疾人福利性单位属于小型、微型企业的，不重复

享受政策）：（2）优先采购节能环保产品（注：所采购的货物在政府采购节能产品、环境

标志产品实施品目清单范围内，且具有国家确定的认证机构出具的、处于有效期之内的节能

产品、环境标志产品认证证书）。

2.7本招标公告中二、申请人的资格要求：第1条中的“重大税收违法案件当事人名单”

即为“重大税收违法失信主体”。

七、对本次招标提出询问，请按以下方式联系。

4

第二章招标需求

前附表

序号子项招标需求

采购标的需实现的功能或者目标详见后款第一条。

一

为落实政府采购需蹒足的要求详见后款第一条。

采购标的需执行的国家相关标准、行业

二详见后款第二条。

标准、地方标准或者其他标准规范

采购标的需满足的质量、安全、技术规

三详见后款第三条。

格、物理特性等要求

采购标的的数量、采购项目交付或者实

四详见后款第三、四条。

施的时间和地点

采购标的需满足的服务标准、期限、效

五详见后款第三、四条。

率等要求

按照招标文件和中标人提供的投标文件及中标

六采购标的的验收标准人和采购人签订的政府采购合同为标准进行验

收。

七采购标的的其他技术、服务等要求无。

A核心产品链路智能调度系统

九现场踏勘无

5

一、采购标的需实现的功能或者目标、以及为落实政府采购需满足的要求

宁波市第六医院等保安全设备及基础设施改造项目采购，具体详见后款三、详细采购需

求。

落实政府采购需满足的要求详见第一章《公开招标采购公告》第六条。

二、采购标的需执行的国家相关标准、行业标准、地方标准或者其他标准规范

执行国家相关标准、行业标准、地方标准或者其他标准规范。

三、详细采购需求

(-)本次招标产品清单：

序号设备名称要求描述数量

1链路智能调度系统详见招标产品技术要求2台

2云主机安全保护平台详见招标产品技术要求1台

3零信任安全系统详见招标产品技术要求1台

4安全检测与响应平台详见招标产品技术要求1套

5运维管控智能服务系统详见招标产品技术要求1套

6自安全联动处置系统(配套专业分流器)详见招标产品技术要求1套

7自安全控制器板卡详见招标产品技术要求1套

8数据库运维服务费用详见招标产品技术要求1年

9F5原厂维保费用详见招标产品技术要求1年

10安全规则库维保费用详见招标产品技术要求1年

11安全设备硬件第三方维保费用详见招标产品技术要求1年

12系统集成费用及机房理线费用详见招标产品技术要求1年/I次

6

（二）招标产品技术要求:

1、链路智能调度系统：2台

指标指标项投标人响应

千兆电口与8个，万兆光口212个，在满足以上接口要求基

▲硬件配置

础上，需支持22个扩展槽，配置1TB硬盘。配置2个220V

要求

交流电源EMMC卡与4GB

四层吞吐量》lOGbps,并发连接数》400万，四层新建连接数

吞吐量要求

210万

部署方式支持串接、旁路和三角传输部署模式

支持动态端口聚合，支持的算法包括源IP+目的IP、源MAC+

目的MAC、基于端口等

一三层转发

支持RIPvl/v2、OSPF、BGP、ISIS.RIPng等路由协议

支持IPV4/IPV6双协议栈

支持TCP、HTTP、HTTPS、ICMP、DNS、SNMP,UDP、SMTP、POP3、

SSL、Oracle.FTP、SIP、RADIUS,自定义健康监测脚本等健

康监测方式

支持手动健康检查模拟器功能，通过WEB页面，非命令行的

方式，无需配置真实服务等策略，基于IP、端口即可对服务

器进行健康检查，生成详细测试结果，进行业务分析。

支持真实服务模糊搜索以及批量操作功能，基于名称、IP、

端口对即可全部搜索出满足要求的所有真实服务，同时支持

L4-L7负载

批量操作的方式，便于批量修改真实服务策略，同时下发配

均衡

置，提高运维效率.

支持虚拟服务模糊搜索以及批量操作功能，基于名称、IP、

端口即可全部搜索出满足要求的所有虚拟服务，同时支持批

量操作的方式，便于批量修改虚拟服务策略，同时下发配置，

提高运维效率。

支持虚拟服务端口列表功能，即虚拟服务策略端口配置可以

引用列表。

支持虚拟服务自定义添加描述功能，可以添加中文备注信息

7

支持真实服务异常手动恢复功能，当健康监测发现异常真实

服务恢复正常后，可以对其进行手动恢复，而非自动恢复，

待排查业务故障原因后再上线。

支持源IP、目的IP、SIP、HASH,httpcookie（多种cookie

模式）、httpheader.URL、Radius.DHCP、L2TP、SSLID等

多种会话保持方式

支持轮询、加权轮询、最小流量、最小连接、加权最小连接、

加权最佳性能、每源IP轮询、源地址源端口哈希散列、源地

址哈希散列、源地址一致性哈希散列、目的地址哈希散列、

目的地址一致性哈希散列、基于URL、Host等服务器负载均

衡调度算法

支持对应用快速切换，发现业务系统故障后及时告知用户重

新建立连接，减少用户等待时间

支持X-Forwarded-For功能，用来识别通过HTTP代理或负载

均衡方式连接到WEB服务器的客户端最原始的IP地址的HTTP

请求头字段，实现对访问源的溯源。

支持TCP应用经过设备源NAT之后能将用户的真实地址插入

到TCPOPTION字段中，从而实现对访问源的溯源。

支持软关机和温暧上线。

支持服务器过载保护，可根据每台服务器处理性能不同，分

别设置每台服务器的连接上限，一旦达到连接上线，应用交

付控制器则将请求分配到其它服务器，实现每台服务器的过

载保护

支持针对某一个虚拟服务，关闭TCP状态检测功能，作用于

针对某一业务单独以三角传输模式部署。

支持对某一个虚拟服务进行vlan限制禁用，拒绝该vlan内

的流量对此虚拟服务进行访问。

支持连接拆分功能，针对非HTTP协议的长连接，通过分析消

息的开始与截止，将长连接进行拆分调度，实现基于消息的

七层负载均衡。

内置SSL加速芯片，或者配置独立的SSL加速卡，提供服务

SSL加解密

器SSL卸载功能。

8

支持SSL加解密功能,支持TLS1.0、TLS1.1、TLS1.2、TLS1.3

协议。

支持证书信息透传功能，支持客户端提交的证书信息传递给

后台服务器。

支持SSL服务器加密功能，可与服务器建立I1TTPS连接。

支持多种链路检测方法，能够通过ICMP、TCP、DNS等方式监

控链路的连通性。

支持流量调度功能，对于出方向流量，可以基于目的地址运

营商属性、哈希权重、加权最小带宽、加权最小连接、加权

轮询等算法进行选路。

内置ISPIPv4/IPv6地址数据库，并支持自定义ISP地址数

据库。

基于链路流量阈值的调度，可对链路设定上行/下行带宽、带

宽阈值、并发连接数限制，当链路的上行/下行实际流量、并

发连接数超过所设定的限制后，开启链路繁忙保护功能，不

会再将新建的请求（命中应用会话保持的除外）调度至此链

路，使得链路的流量会平稳缓慢下降，当降低到阈值内后，

链路负载均

才会继续允许流量调度至此链路。

衡

基于链路质量/状态的调度，可对链路设定延时和丢包率的阈

值，设备会统计链路延时和丢包率在一定范围内的平均值，

这两项结果中任意一项超过所配置的阈值后，设备会判断此

链路不稳定，并将流量调度至其他正常链路。

▲支持智能DNS解析功能，引导访问用户从最优路径的线路

接入应用系统。支持的记录类型有A、CNAME,NS、MX、TXT,

PTR、SRV、SOA、AAAAo可识别内网用户并对其DNS请求直接

返回相应结果；

支持DNS透明代理功能，可代理内网用户进行DNS请求转发，

支持源地址哈希散列、链路最小带宽利用率、轮询算法，并

且支持DNS请求速率的限制，避免单运营商DNS解析出现单

一链路流量过载，平衡多条运营商线路的利用率。

支持静默双机部署模式，备机在网络里无感知，主备机的基

础网络配置、业务配置完全相同

可靠性要求

支持VRRP双机双主部署模式，通过创建多个VRRP可以实现

9

双主的模式，提供设备利用率。

支持集群部署模式，可实现23台设备组成集群的高可用和秒

级切换，并且集群支持非抢占模式

支持集群指定设备直接切换主备功能，集群部署模式下，在

WEB页面，指定设备直接切换主备关系，无需调整设备优先级

顺序。

支持双机热备和集群部署模式下，自动以及手动配置同步功

能，手动配置同步作用于避免因配置失误导致的运维风险

支持自动方式的双机配置一致性检查功能，每隔一定时间双

机会自动检测彼此之间的配置是否保持一致，并可在页面上

展示配置一致性状态和检测时间

10

2、云主机安全保护平台:

项目功能项功能要求说明投标人响应

纯软件交付，包含管理控制中心软件及终端客

产品形态

户端软件，其中管理控制中心可云化部署

单一管理控制中心可统一管理分别部署在

管理控制中Windows服务器以及Linux服务器的客户端软件

心要求管理端平台支持8核16G低资源消耗部署，支

持在64位的Centos7或ubuntu操作系统环境

部署

环境要求WindowsServer2008sp2-32、sp2-64/Windows

Windows服

Server2008R2x64/WindowsServer2012

务器客户端

x64/WindowsServer2012R2/WindowsServer

支持

2016R2/WindowsServer2019x64

Linux服务

CentOS5,6,7/Ubuntu10-18/Debian6-9/RHEL

器客户端支

5,6,7

持

本次提供管理控制中心授权和400点服务器客

授权要求

户端授权，客户端授权不区分操作系统

采用B/S架构的管理控制中心，具备主机安全

管理可视化可视，主机统一管理，统一威胁检测响应，病

毒防御，日志记录与查询等功能

支持首页展示全网风险、安全事件，包括但不

多维度威胁限于安全事件统计、弱密码检测Top5、漏洞影

全网威胁展

展示响面Top5、未处理的安全事件、实时风险监控、

示

资产概览等模块

支持主机资源监控，可查看CPU、内存消耗最高

的5台主机，监测处于各区间段的主机数量，

▲主机资源

支持从TOP5列表跳转到对应主机资产中心，方

监控

便用户及时排查高负载原因。支持自定义CPU、

内存、磁盘高负载阈值以及持续监控时间

资产管理支持对全网主机资产统一清点，客户端可采集

资产管理

主机基本信息，包括但不仅限于：操作系统、

数据库、应用软件、监听端口、web站点、web

应用、web框架和服务、系统账号，支持以关键

词搜索相关信息

支持在管理平台上对主机进行客户端卸载、禁

客户端管理

用、启用、重启、移除等功能

支持依据指纹信息统计并显示关联的主机数量

及详细信息，可从监听端口、运行进程、系统

资产指纹

账号、数据库、软件资产、web资产的角度统计

并显示相关信息

支持对TCP,UDP协议的网络连接检出，支持IPV4

地址，支持对linux>windows系统的暴露面检

出，并支持关联展示高暴露主机的漏洞、弱口

暴露面梳理

令信息，辅助快速梳理高危脆弱性风险。对资

产暴露面事件内容支持详情导出，最大支持10W

条数据

支持应用安全防护，支持检测的攻击类型：远

程命令执行、反序列化、表达式注入、内存马、

SQL注入、文件上传漏洞。应包含应用攻击源、

目IP,支持展示攻击次数、攻击载荷（攻击者

应用安全防

IP、Payload、行为数据、检测点函数、漏洞详

护

情、函数挂载点、堆栈信息等）、攻击请求信

息（请求方法、请求参数、请求URL、请求头

Header、请求内容等）、攻击请求包（应用路

径、端口、类型、所属主机、应用运行命令等）

威胁防护

支持Java环境内存马检测，包括：菜刀、哥斯

内存后门

拉、冰蝎、CobaltStrike,MSF内存马检测

支持Linux/Win下的横向移动告警，告警信息

▲横向移动包括：发现时间、失陷主机、横向移动命令、

进程树信息、规则说明

支持基于语法分析、AI检测等技术从脚本文件

静态分析的角度来对webshell后门文件实时检

Webshell测，高亮展示webshell文件中存在的恶意代码

段，并提供文件md5值、下载路径，影响域名

等信息，管理员可对其做批量处理

12

支持实时检测SSH、RDP、SMB暴力破解行为，

暴力破解可自定义暴力破解规则，设置对攻击源IP自动

封堵等策略

支持对黑客常用的恶意命令，异常编码绕过命

异常命令令进行检测，对于符合特征的行为进行实时告

警，并提供进程执行的详细进程树信息

支持对提权行为实时检测并产生告警，告警信

息至少包括：被提权主机IP地址、发现时间、

权限提升

提权进程、提权用户、父进程、父进程所属用

户、处理状态、相关操作等

支持ssh端口转发检测，对符合端口转发特征

端口转发的行为实时告警，并提供进程执行的详细进程

树信息

支持对黑客常用的恶意命令，异常编码绕过命

远程命令执

令进行检测，对于符合特征的行为实时告警，

行

并提供进程执行的详细进程树信息

访问恶意地支持与云端威胁情报联动，实时检测访问恶意

til:IP、恶意域名等行为，支持批量忽略

支持实时对系统异常登陆行为检测并告警，用

异常登录户可自定义设置规则，设置内容包括：登录1P

地址、登录时间、登录账号

支持检测Linux平台扫描其它主机、被其它主

异常扫描机扫描的行为，支持对TCPCONNECT、S机、FIN

扫描方式实时检测

支持审计主机操作命令，包括下载文件、账户

主机行为审

变更、WEB目录文件落盘、登录行为、远程命令

计

调用，并可对各类审计的命令类型做统计

支持对入侵检测事件通过隔离主机操作进行响

隔离主机应，阻断主机网络访问行为，支持查看已隔离的

主机并对已隔离的主机解除隔离

支持为关键业务主机提供SSH远程登陆二次认

认证增强防

证能力，有效缓解由弱口令脆弱性引发的安全

护

风险，为主机安全加固工作提供响应闭环能力。

13

支持对入侵检测事件深度分析，可视化展示攻

可视化研判

击事件的时间轴、相关的父子进程关系、有关

溯源

联的弱密码、漏洞及详情

支持根据当前时间线最火热、最新的漏洞情况，

推送热点漏洞预警、实现一键风险自查，帮助

热点漏洞专掌握当前时间线最需要关注的漏洞情况。支持

题展示漏洞介绍、影响版本、解决方案、本地影

响主机范围，在外部紧急漏洞广泛爆发时辅助

快速定位涉事资产。

支持对服务器操作系统、linuxweb应用、中间

件进行漏洞检测，并可在检测结果中进行多维

度的筛选，筛选条件包括但不仅限于：漏洞名

称、风险描述、影响范围等。

▲漏洞检测

支持对全部主机，全部漏洞进行全局检测。并

可自定义漏洞扫描策略，进行漏洞作业的新建、

编辑、删除和执行。

支持以主机视角、漏洞视角展示漏洞检测的结

果和详情

风险评估

支持对linux多种系统及应用进行弱密码检测，

包括的类型有：rsync>sshd>subversion、

redis>tomcat>mysqldmongodb>sftp、vsftpdo

支持对windows多种系统及应用进行弱密码检

弱密码检测测，包括的类型有：rdp、tomcatmysql、redis、

rsync支持定时扫描并导出扫描结果

支持自定义配置弱密码字典、组合弱密码字典

支持非暴力破解登录的方式检测弱密码，弱密

码检测过程中不会产生大量登录系统事件，对

业务无影响

支持对指定主机、指定系统、指定应用进行基

线检测，并导出基线检查结果。支持的操作系

基线检测统应至少包含：UbuntusDebian、CentOS、Red

HatEnterpriseLinux、

Windows2008/2012/2016/o支持的应用安全基

线检查至少包含：

14

Apache/MySQL/Nginx/Tomcat/IIS/SqIserver。

支持基于等保二级、三级标准做基线检测，并

可基于等保标准自定义检测模板，包括自定义

检测项、检测时间、需要检测的主机等•支持

设置定时执行周期。支持导出基线检测结果，

报表中包含检查结果的所有数据，包括检查项

信息，主机信息，检查结果，以及修复建议等。

支持手动扫描和实时监控两种方式监测进程启

动行为，及时发现并检测病毒，避免通过扫描

病毒检测与的方式增加系统负载。

病毒防御

防护支持对检测出的病毒实时处理，如进行文件隔

离，支持将非病毒文件加入白名单和忽略

支持对接云端威胁情报库、病毒样本库，避免

客户端加载病毒库时增加系统负载。

支持审计主机外联行为，对主机外联行为进行

学习建立行为基线，及时发现偏离行为基线的

可疑外联行为。支持展示主机信息、主机分组、

外联检测外联进程数、外联目的地址数、学习时长以及

可信安全外联基线详情，可自定义外联基线学习时长，

支持对TCP,UDP协议的网络连接检出，支持对

linux、windows系统的外联日志审计

支持可疑外联事件告警，告警信息包含事件详

事件告警情、进程名、进程所属用户、进程路径、进程

ID,进程哈希值、进程命令、进程树详情等

安装过程简单便捷，支持一键命令行安装

agent,无需重启服务，可以结合ansible等运

维工具下发安装命令批量安装，agent安装成功

安全与稳定

后实现自动分组

安全性性

用户态无驱动部署和运行，不修改服务器操作

系统内核或驱动。

客户端常态下占用内存不超过50MB,CPU不超

过1%,磁盘不超过200MB

安全加密传管理通信机制采用安全加密传输方式并且自带

15

输身份验证机制

Windows支持powershell>cmd,linux支持curl

客户端安装

单条命令、安装包方式安装

支持安全管理平台账号分权分角色管理，支持

权限管理三权分立，建立：系统管理员、审计管理员、

安全管理员

支持配置限制登录源IP的录入

系统管理支持查看各管理员的操作记录，可自定义查询

操作日志

的时间段，可导出操作日志

支持对报表模板的增删改查，支持对报表模板

安全报表

的导出

安全规则热

支持规则热更新包导入，升级Sigma规则

更新

支持对接钉钉、企业微信，可以根据需求设置

告警推送

安全事件的告警内容

▲售后服务投标产品要求提供原厂商五年保修服务。

3、零信任安全系统:

3.1零信任代理网关：1台

项目功能项功能要求说明投标人响应

性能参数：最大理论加密流量（Mbps）>600,最

大理论并发用户数22000,最大理论https并发连

代理网关接数（个）>60000,理论https新建连接数（个/

性能配置

配置秒）2400。硬件参数：规格：1U,内存大小216G,

硬盘容量>128GSSD,接口》6千兆电口+4千兆光

口SFP。

分离式部零信任控制中心和安全代理网关，应支持分离式部

署署，以实现控制面与执行面分离，提高系统安全性。

设备部署为了满足灵活部署的要求，代理网关应支持

网络部署IPV4/IPV6双栈网络IP配置，可自主选择配置LAN

口或WAN口。为了保护设备的安全，可支持默认限

16

制所有IP通过WAN口访问系统，支持通过配置IP

白名单的方式来放通WAN口接入的特殊需求。

为了提高系统可靠性，代理网关应支持本地集群部

集群部署署，且集群功能不需要依赖外置设备，如负载均衡

等。

1、支持用户登录日志（登录、注销，含MAC地址、

终端类型、浏览器类型等）

2、支持管理员操作日志（含管理员、接入IP、时

间、管理行为、对象）

▲支持全3、支持用户安全日志提取，审计中心应将具有异

审计能力面的日志常登录行为的用户日志自动打标签为用户安全日

记录志，以便于管理员快速审计定位。

4、支持将设备安全事件单独记录在设备安全日志

中，事件类型包括但不限于：接口扫描、接口

webshall攻击、接口参数爆破、接口越权调用等

设备API防护日志。

支持提供SNMP服务来对接运维监控设备，可在控

系统运维SNMP

制台下载MIB库。

时间与日支持自行修正设备时间或通过NTP自动校正设备

期设置时间，可自行配置NTP服务器地址。

1、支持配置同名用户连续登录错误超过上限时锁

定账号，并于指定时长后自动恢复

设备安全防爆破

2、支持配置同IP用户连续登录错误超过上限时锁

定IP,并于指定时长后自动恢复

防机器人输入，提供强安全性的点击图像校验码机

防机器人

制，图形校验码支持中文和英文。

1、支持启用接入控制台的IP限制，启用后只有名

单内的IP地址才能接入访问零信任控制台；

2、支持开启图形校验码；

控制台接

系统管理3、支持连续输错密码后锁定IP；

入安全

4、支持配置会话超时注销；

5、支持配置是否允许SSH、ping等远程运维连接

设备。

17

3.2零信任控制中心：1台

项目功能项功能要求说明投标人响应

性能参数：最大并发用户数（个）＞2000,新

建用户数（个/秒）》90,硬件参数：规格：1U,

▲控制中心配

性能配置内存大小?16G,硬盘容量与128GSSD,接口2

置

6千兆电口+2千兆光口SFPo提供200个零信任

接入授权。

零信任控制中心和安全代理网关，应支持分离

分离式部署式部署，以实现控制面与执行面分离，提高系

统安全性。

为了满足灵活部署的要求，控制中心应支持

IPV4/IPV6双栈网络IP配置，可自主选择配置

LAN口或WAN口。为了保护设备的安全，可支持

网络部署

默认限制所有IP通过WAN口访问系统，支持通

过配置IP白名单的方式来放通WAN口接入的特

设备部署

殊需求。

为了提高系统可靠性，控制中心应支持本地集

群部署，且集群功能不需要依赖外置设备，如

集群部署负载均衡等。且为了使系统资源利用最大化，

集群下各节点的零信任授权数可共享使用，集

群的总接入授权数是各节点授权数的总和。

为了满足集群环境下节点故障后剩余节点仍能

授权漂移

接管所有业务，需支持授权漂移。

通过隧道模式，可以支持基于TCP、UDP、ICMP

隧道模式发布等协议代理访问业务资源，支持发布IP、IP范

资源围、IP段、具体域名及通配符域名等形式的服

务器地址，收缩业务暴露面。

资源发布

通过WEB模式，可以支持基于http或https协

能力

web模式发布议代理访问业务资源，支持发布IP或域名形式

资源的后端服务器地址，可配置业务应用的具体访

问URL路径。

▲桌面云应用为提高桌面云远程访问时的安全性，支持将桌

18

面云服务器发布成零信任的代理应用；

为提升终端用户使用的便利性，零信任系统应

支持跟桌面云服务器进行单点登录对接，实现

仅需在零信任进行认证即可直接进入云桌面进

行业务办公，无需重复验证。

为提升业务应用的数据安全性，应支持针对发

布的WEB应用开启WEB水印，水印内容至少包

▲WEB水印

括：用户名+当前年月日，起到威慑与溯源作用，

有效预防数据泄露。

为有效抵御恶意软件和有针对性的攻击，应支

支持细粒度的

持WEB资源配置URL黑白名单，且URL黑白名

资源发布

单支持通配符配置

对于一些主要在主站点中点击使用的子站点

WEB业务系统，为简化管理员配置，零信任系统

WEB资源支持

应支持开启依赖站点功能。为方便业务快速上

依赖站点

线，还应支持自动采集站点功能对依赖站点进

行梳理。

支持配置是否允许用户自助申请应用访问权

限，启用后，管理员可以在控制台根据审批状

态查看应用申请详情，包括但不限于：申请时

应用访问权限

间、用户名、所属组织架构、角色、应用名称、

自助申请

应用访问地址、申请理由、申请有效期等。

应用管理员可对待审批的应用进行批准或驳回

操作，支持批量操作。

为了不改变员工原有使用习惯，保障员工的使

用体验，需支持以下主流浏览器访问WEB资源：

1、支持IE8及以上版本浏览器访问WEB资源

2、支持Chrome69及以上版本访问WEB资源

终端接入3、支持Edge、Firefox、Opera、Safari等其

浏览器兼容性

能力他主流浏览