序号

名称

技术要求

单位

数量

1

路由器

1. 体系架构：采用高盒式架构，节约机柜空间；交换容量 ≥80Gbps；
2. 包转发率≥15Mpps引擎内存 ≥2GB；
3. 千兆光接口≥4，千兆电接口≥4
4. 支持VPN组播功能板卡或license；
5. 支持IPv6协议，支持IPv6路由功能，支持IPv4/IPv6过度隧道技术；
6. 内置硬件加密引擎，本次要求支持IPSec VPN功能板卡或license，整机IPSec加密能力不小于8Gbps；
7. 支持L2TP、GRE，为保证性能，
8. 支持IPSec VPN功能板卡或license；
9. 硬件支持NAT功能，本次要求实配NAT功能板卡或license，实际配置200万并发会话的功能license；支持Easy IP、静态NAT转换、动态NAT转换等多种方式；支持NAT多实例、VPN NAT、丰富的NAT ALG、NAT日志与用户行为审计等功能；
10. 硬件支持Netstream功能，本次要求支持NetStream功能license；

支持10GE、2.5G POS、155M/622M POS、155M ATM、E3/T3、 8端口E1/E1-F接口、1/2端口CPOS、T1/T1-F、同步串口等广域网接口；

台

1

2

防火墙

1. 采用非X86 64位多核高性能处理器和高速存储器；主控模块内存≥8G，为节省机房空间；
2. 要求设备提供千兆以太网光口≥8个；千兆以太网电口≥16个千兆电口，万兆光接口≥6，万兆多模模块不少于6个，2个万兆单模模块；
3. 要求设备提供硬盘扩展槽位≥2个；
4. 要求设备最大并发连接数≥1000万；IPSec VPN并发连接数≥6000；每秒新建连接数≥100K；整机最大吞吐量≥25bps；
5. 支持VRRP的链路备份；
6. 支持双机集群式高可靠性技术，融合后可统一管理配置，对外单一节点，单IP并实现主备/主主方式转发；
7. 设备基于病毒特征进行检测；支持病毒库手动和自动升级；
8. 支持对黑客攻击、蠕虫/病毒、木马、恶意代码、间谍软件/广告软件、DoS/DDoS等常见的攻击防御；
9. 支持缓冲区溢出、SQL注入、IDS/IPS逃逸等攻击的防御；
10. 支持对BT等P2P/IM识别和控制；
11. 支持链路负载均衡功能、服务器负载均衡功能；
12. 支持IPv6：修改为支持IPV6动态路由协议、IPV6对象及策略、IPV6状态防火墙、IPV6攻击防范、IPV6 GRE/IPSEC VPN、IPV6日志审计、IPV6会话热备；
13. 支持静态路由、RIP v1/2、OSPF、ISIS、BGP、策略路由等；
14. 要求设备支持防火墙/NAT日志；支持域间策略匹配日志；支持攻击防范/黑名单日志；支持NAT444用户端口块溯源日志；支持IPV6防火墙及防攻击日志；IPV6 NAT64端口块溯源及会话日志；日志格式支持SYSLOG及二进制；
15. 必须支持一对一、地址池等NAT方式；
16. 必须支持NAT444、Fullcone NAT、NAT hairpin、两次NAT、双向NAT
17. 必须支持多种应用协议，如FTP、H323、RAS、HWCC、SIP、ICMP、DNS、PPTP、NBT的NAT ALG功能；
18. 支持一个公网IP地址NAT无限连接；支持策略NAT ALG功能；支持NAT二进制日志；
19. 设备能够防范DOS/DDOS攻击：Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、HTTP Flood（cc）攻击、ARP欺骗、TCP报文标志位不合法、超大ICMP报文、地址扫描的防范、端口扫描的防范、DNS Flood、ACK Flood、FIN Flood、分片Flood、Tiny-Fragment；
20. 支持路由模式、透明模式和混杂模式；
21. 支持SNMPv1、SNMPv2C、SNMPv3，支持CONSOLE、TELNET、SSH V1.5管理方式；支持NTP时间同步；支持TR069协议，支持NETCONF接口；

22 实配冗余双交流电源模块；

台

2

3

核心交换机

1. 整机交换容量≥38Tbps，包转发能力≥12300Mpps,业务槽位数≥3
2. 关键部件支持冗余设计，本次实配主控引擎1+1冗余，电源支持1+1冗余备份,支持热补丁功能，可在线进行补丁升级
3. 设备支持单板10GE接口密度≥48个
4. 支持硬件防火墙硬件插卡（独立硬件无需配置相应软件授权实现），入侵检测业务硬件插卡（独立硬件无需配置相应软件授权实现）或配置独立同等功能产品实现；支持负载均衡硬件插卡或配置独立硬件设备要求双主控，双电源，吞吐量不少于40G；
5. 支持POE、POE+,支持有线无线一体化的终端准入认证
6. 支持RPR(光以太网弹性分组环技术)
7. 支持端口镜像、VLAN镜像、流镜像
8. 支持1:1的NetStream/Netflow 网络分析功能
9. 支持分布式跨设备链路聚合技术，实现多条上行链路的负载分担和互为备份
10. 核心交换机设备生产厂商应具有健全的环保体系，建立有害物质的检测手段，严格管理产品采购和生产环节，禁止或控制有毒有害物质的使用。
11. 设备具备将多台（≥4）独立的物理设备虚拟化为一台统一的逻辑设备的功能，实现单一IP管理，跨设备链路聚合，转发表项一致并实时同步。
12. 支持静态路由、RIP V1/V2、OSPF、BGP，支持策略路由和虚拟路由冗余协议，支持ECMP等值路由
13. 支持跨数据中心二层互联技术，最多支持的站点数≥64个
14. 支持无线接入点AP统一管理，实现有线无线融合，配置无线管理License授权≥64个；
15. 支持IP地址、VLAN ID、MAC地址和端口等多种组合绑定
16. 支持基于端口的VLAN，支持QINQ，支持GVRP、LLDP等协议
17. 支持STP、RSTP、MSTP协议
18. 设备支持OPENFLOW 1.3标准
19. 优先级队列调度：每端口支持8个优先级队列，支持SP、WRR、SP+WRR三种队列调度算法
20. 实际配置电源模块≥2，实配主控引擎2个，千兆电口≥24，千兆光口≥24，万兆接口≥8，万兆单模模块不少于2个，万兆多模模块不少于4个；

台

2

4

办公区接入交换机1

1. 整机交换容量≥5.9Tbps；整机包转发率≥220Mpps；
2. 配置千兆以太网电接口数≥28，4个复用的千兆Combo SFP，1G/10G SFP+接口≥4（或配置千兆以太网光接口≥4，万兆以太网光接口≥4）；
3. 扩展插槽≥1，最大可支持万兆端口≥8；
4. 支持基于端口、协议、MAC、IP子网的VLAN（4094个）,
5. 支持QinQ和灵活QinQ,支持Voice VLAN；设备具备将多台独立的物理设备虚拟化为一台统一的逻辑设备的功能，支持单一IP管理，跨设备链路聚合，转发表项一致并实时同步。具备堆叠分裂检测机制。支持通过标准以太网端口实现虚拟化；
6. 支持静态路由、RIP，OSPFv2，BGP，ISIS
7. 支持等价路由，路由策略，VRRP，策略路由,RIPng，OSPFv3，BGP4+ for IPV6，ISISv6；支持BFD for OSPF，BGP，IS-IS，Static Route；
8. 支持IPv6手动隧道，6to4隧道，ISATAP隧道，GRE隧道；支持基于端口速率百分比的风暴抑制，
9. 支持基于PPS的风暴抑制，支持基于kbps的风暴抑制；
10. 支持Smart link及Smart link多实例，支持Monitor link；
11. 支持纵向虚拟化，作为纵向子节点零配置即插即用；支持时间段（Time Range）的包过滤，
12. 支持大容量双向ACL，支持对端口接收报文的速率和发送报文的速率进行限制；支持用户分级管理和口令保护，
13. 支持AAA认证、RADIUS认证，
14. 支持MAC地址认证、802.1x认证、portal认证；支持网络流量分析功能；支持出方向的端口流限速功能；
15. 支持广播风暴抑制功能

台

6

5

办公区接入交换机2

1. 整机交换容量≥256Gbps；
2. 整机包转发率≥132Mpps；
3. 千兆以太网电接口≥48，千兆以太网光接口≥4；
4. 支持Ipv4、Ipv6三层路由功能；
5. 支持动态LACP链路聚合
6. 基于端口/流/MAC/VLAN的镜像；流量控制
7. 每端口支持8个队列、支持方式为SP/SDWRR/SP+SDWRR的队列调度、支持端口和队列的流量整形、支持IEEE 802.1p/DSCP优先级、支持基于端口/流的限速。
8. 提供广播风暴抑制功能
9. 支持Ipv4、Ipv6组播协议
10. 支持用户分级管理和口令保护，支持802.1X认证/集中式MAC地址认证
11. 支持IGMP Snooping、支持组播VLAN
12. 支持用户分级管理和口令保护、支持AAA认证、支持Radius认证、支持SSH 2.0、支持管理VLAN、支持端口隔离、支持端口安全、支持集中式MAC地址认证
13. 支持DHCP Snooping，防止欺骗的DHCP服务器；
14. 支持IP+MAC+PORT的绑定；
15. 支持业务端口6KV防雷功能
16. 支持虚电缆检测功能，快速准确定位网络中故障电缆的短路或断路点；
17. 支持单向链路检测,有效的防止网络中单通故障的发生；
18. 支持RRPP快速环网保护协议
19. 支持SNMP V1/V2/V3；RMON 1/2/3/9；Syslog；支持WEB网管，支持MIB-II；中文图形化管理

台

2

6

负载均衡

1、接口及性能要求

1)七层吞吐量≥10Gbps

2）并发会话数≥850万

3）4层新建连接数≥45万

4）7层新建连接数≥85万

5)硬件及接口：配置至少6个千兆电口、4个千兆光口，2U设备，冗余电源，提供不少于500G硬盘。

2、支持与现有负载均衡产品进行集群部署。

3、单一设备可同时支持包括链路负载均衡、全局负载均衡和服务器负载均衡的功能。三种功能同时处于激活可使用状态，无需额外购买相应授权。

4、支持源IP、Cookie（插入/被动/改写）、HTTP-Header、Radius、SSL Session ID等多种会话保持机制。

5、支持SSL卸载功能，卸除服务器端的密集型运算任务，释放服务器计算资源，并提升SSL业务的处理速度；

6、支持主动探测方式与被动观测方式结合使用的服务器健康检查手段，以便适应各种复杂应用交互流程，保障业务系统的高可用性。

7、支持TCP连接复用功能，利用HTTP连接池机制，将来自客户端的多个请求合并成一个连接发送到服务器，减少服务器端的工作负荷，并提升业务效率。

8、支持轮询、加权轮询、加权最小连接、动态反馈、最快响应、最小流量、带宽比例、哈希、主备、首个可用、UDP强行负载等算法。

9、对Oracle数据库、Weblogic中间件的关键性能指标监控，并通过报表的形式多维度实时展现关键性能参数，提供历史健康状态分析。界面友好直观，无需在服务器上安装任何插件，不会对网络造成任何影响。

10、内置完备的ISP地址库，无需手动导入并支持自动更新，可点击查看并编辑全球任意国家的IP地址段。

11、支持面向服务器健康度的弹性调控机制，可通过监控业务流中的TCP传输异常来衡量服务器节点的有效性，尝试对性能不足的服务器临时开启过载保护，动态调节服务器的负载。

12、IPv6支持双栈模式，支持NAT46、NAT64、NAT66等协议转换 。

13、支持实时漏洞检测功能，通过对实时流量进行安全性分析来评估业务系统的漏洞风险，结合黑客攻击行为进行关联分析，帮助用户找到真正存在高风险的安全薄弱环节，并通过报表的方式展现安全风险和解决方法。

14、支持开放的网络编程端口，并提供Python和Java的SDK工具，可实现与第三方应用平台的集成与二次开发。

15、支持图片优化技术，通过对图片格式的转换，减少传输流量，提升web页面加载速度。无需改动服务器端的图片源文件，可根据浏览器种类自动识别转换类型，将图片转换为对应支持的WebP或JPEG格式，优化加速效果。

16、对于非HTTP协议的长连接应用，可通过分析议特征来识别消息的开始和截止，以消息为对象进行七层负载均衡，而非传统基于连接的四层负载均衡。

17、利用读写分离技术实现MYSQL数据库的七层负载且无需在服务器上安装任何插件或软件。通过对数据库操作请求做内容解析，将其中的写操作调度到指定服务器，读操作则调度到所有节点，减少服务器压力，提高数据库资源利用率，提升业务响应速度。

18、支持硬件设备一虚多。vAD之间相互隔离，vAD性能资源可按需调整，vAD支持高可用性部署，vAD宕机可自动重启，支持物理网口状态透传。

19、支持全代理模式的设备部署与业务处理，提供正向代理和反向代理功能，不允许客户端与服务器直接建立连接，由设备分别与其建立连接并提供代理访问，有效降低服务器的安全风险。至少支持HTTP和socks5等代理协议。

20、支持四七 层DDoS攻击防护：ICMP-Flood、SYN-Flood、UDP-Flood、DNS Query Flood、Script-Flood 、TCP全连接攻击、并发连接耗尽攻击、SSL-Flood、HTTP Flood、CC攻击、慢速攻击、 Smurf 攻击、Fraggle 攻击、ARP/ND等攻击防护。

21、支持与VMware vSphere服务器虚拟化环境深度结合，提供VMware vCenter的插件，可以实现在vCenter上管理负载均衡设备，自动同步配置。

22、提供基于VM和容器两种方式的硬件一虚多，一台物理设备可划分为多台虚拟设备，各虚拟设备拥有独立的计算资源和网络资源，各虚拟设备可运行不同软件版本，虚拟设备重启或升级时不影响其他虚拟设备的正常运行，虚拟设备宕机可自动重启。

23、支持应用配置模版功能，提供WebLogic、WebSphere、Oracle等主流商业应用的配置模版，管理员可直接套用完成应用系统的部署上线，简化配置与调试工作。

24、支持与VMware vCenter联动，可根据业务高峰期与空闲时段进行主动判断，针对应用系统的虚拟机负荷（例如服务发连接数、CPU阈值等信息）进行实时调整，通过动态增加或关闭虚拟机以调整业务资源（无需额外购买VMware Lisence）。

25、支持非对称式部署的TCP协议优化技术，提升远端用户访问应用服务的速度。无需在用户终端或应用服务器上安装任何插件和软件，不受操作系统类型、浏览器版本等兼容性因素限制，并且用户首次访问应用服务即可产生加速效果。

台

2

7

中心端广域网优化网关设备

1、IPSec VPN加密速度≥500Mbps，加速流量≥350Mbps，流控带宽≥450Mbps；网络接口≥6个千兆电口+2个千兆光口，内置硬盘≥500G，2U设备；

2、集加速、流控、VPN为一体化的设备，支持路由、网关、单臂、网桥、网桥多线路等部署模式。

4、支持AES、DES、3DES、MD5、SHA1等算法，并且支持扩展国密办SCB2等其他加密算法；

5、支持硬件网关的硬件鉴权，可根据设备本身的硬件信息生成证书，分支设备接入总部根据该证书进行验证，防止非法网关的接入；

6、支持移动客户端及硬件网关的VPN专线功能，建立VPN隧道后断开其他互联网连接；

7、支持与Cisco、Juniper等第三方标准IPSec VPN进行对接；

8、支持IPSecVPN隧道内组播、广播、网上邻居 ；

9、支持网桥部署建立VPN，无需更改网络拓扑，提高部署的易用性；

10、支持同网段分支可通过隧道内NAT实现与总部同时建立IPSec VPN隧道 ；

11、支持不依赖于第三方的基于动态IP寻址的VPN组网技术；

12、总部与分支有多条线路，可在线路间一一进行IPSecVPN隧道建立，并可根据需要自行设置主隧道组及备份隧道组，对主隧道组内可在多条隧道间实现带宽叠加、按包或会话进行流量平均分配；主隧道组线路全部无效时可自动切换到备份隧道组上，保证业务不中断；以上隧道分配策略可在每一分支根据需要设置不同的策略；单臂部署下同样支持多线路策略；

13、支持流缓存技术，实现网关与网关、网关与移动客户端之间进行多磁盘、双向、基于分片数据包的字节流缓存加速，削减冗余数据，降低带宽压力的同时提高访问速度；支持共享流缓存功能，实现多分支网关在总部共享流缓存数据，提高流缓存效果；

14、支持HTP高速传输协议，对于跨国、跨运营商、无线卫星等高丢包高延时链路可大幅优化丢包延时，提高吞吐性能，实现应用的大幅加速；

15、支持含Kerberos模式下的CIFS代理优化，实现文件夹上传下载、文件在线打开及保存、目录查看、远程打印等网上邻居基本操作进行交互优化及数据削减；

16、支持RDP代理，要求在不取消加密下实现微软远程桌面的流量削减，从而优化远程桌面应用，方便运维人员远程管理设备；

17、支持Oracle EBS包含HTTP、HTTPS模式下的数据削减优化；

18、支持Citrix代理，削减Citrix应用流量的同时，提升Citrix在丢包延时环境下的使用效果；

19、无需额外配置，可实现智能识别应用类型并自动匹配相应的应用代理规则，实现应用的自动加速，减少管理工作量；

20、支持文件预取功能，可设置指定时间对指定Web、FTP服务器进行文件预取，工作时间首次访问即可获得流缓存加速效果；

21、内置不少于2500条的应用识别规则列表，基于应用数据特征码而非简单的端口识别，可精准定位应用，便于通过对应用的智能识别匹配相应加速策略，大大简化管理员配置工作量；支持手动添加应用识别规则；

22、支持基于网站类型、基于自定义URL流控（非IP/端口流控）；

23、可保障doc、excel等指定类型的文件下载带宽，提供流控机制和手段；

24、支持多级子通道划分技术，实现带宽有效划分利用；支持对限制通道线路空闲时，允许突破限制，提高带宽利用率，已满足现有及后续应用的智能分配；

25、支持弱特征识别等相关技术，识别非常见的、新出现的P2P软件、原有P2P软件的新版本；

26、可针对在包含迅雷等P2P应用、在线流媒体，或某一类别的URL（如求职网站）对用户的访问行为进行阻断，有效的规范网络行为；

27、产品具备基于状态监测技术的防火墙功能，可基于服务、源IP、目的IP、时间自定义防火墙规则，可防范来自外网、内网的DOS攻击，支持ARP欺骗防护功能；

台

2

8

分支端广域网优化网关设备

1、IPSec VPN加密速度≥500Mbps，加速流量≥350Mbps，流控带宽≥450Mbps；网络接口≥6个千兆电口+2个千兆光口，内置硬盘≥500G，2U设备；

2、集加速、流控、VPN为一体化的设备，支持路由、网关、单臂、网桥、网桥多线路等部署模式。

4、支持AES、DES、3DES、MD5、SHA1等算法，并且支持扩展国密办SCB2等其他加密算法；

5、支持硬件网关的硬件鉴权，可根据设备本身的硬件信息生成证书，分支设备接入总部根据该证书进行验证，防止非法网关的接入；

6、支持移动客户端及硬件网关的VPN专线功能，建立VPN隧道后断开其他互联网连接；

7、支持与Cisco、Juniper等第三方标准IPSec VPN进行对接；

8、支持IPSecVPN隧道内组播、广播、网上邻居 ；

9、支持网桥部署建立VPN，无需更改网络拓扑，提高部署的易用性；

10、支持同网段分支可通过隧道内NAT实现与总部同时建立IPSec VPN隧道 ；

11、支持不依赖于第三方的基于动态IP寻址的VPN组网技术；

12、总部与分支有多条线路，可在线路间一一进行IPSecVPN隧道建立，并可根据需要自行设置主隧道组及备份隧道组，对主隧道组内可在多条隧道间实现带宽叠加、按包或会话进行流量平均分配；主隧道组线路全部无效时可自动切换到备份隧道组上，保证业务不中断；以上隧道分配策略可在每一分支根据需要设置不同的策略；单臂部署下同样支持多线路策略；

13、支持流缓存技术，实现网关与网关、网关与移动客户端之间进行多磁盘、双向、基于分片数据包的字节流缓存加速，削减冗余数据，降低带宽压力的同时提高访问速度；支持共享流缓存功能，实现多分支网关在总部共享流缓存数据，提高流缓存效果；

14、支持HTP高速传输协议，对于跨国、跨运营商、无线卫星等高丢包高延时链路可大幅优化丢包延时，提高吞吐性能，实现应用的大幅加速；

15、支持含Kerberos模式下的CIFS代理优化，实现文件夹上传下载、文件在线打开及保存、目录查看、远程打印等网上邻居基本操作进行交互优化及数据削减；

16、支持RDP代理，要求在不取消加密下实现微软远程桌面的流量削减，从而优化远程桌面应用，方便运维人员远程管理设备；

17、支持Oracle EBS包含HTTP、HTTPS模式下的数据削减优化；

18、支持Citrix代理，削减Citrix应用流量的同时，提升Citrix在丢包延时环境下的使用效果；

19、无需额外配置，可实现智能识别应用类型并自动匹配相应的应用代理规则，实现应用的自动加速，减少管理工作量；

20、支持文件预取功能，可设置指定时间对指定Web、FTP服务器进行文件预取，工作时间首次访问即可获得流缓存加速效果；

21、内置不少于2500条的应用识别规则列表，基于应用数据特征码而非简单的端口识别，可精准定位应用，便于通过对应用的智能识别匹配相应加速策略，大大简化管理员配置工作量；支持手动添加应用识别规则；

22、支持基于网站类型、基于自定义URL流控（非IP/端口流控）；

23、可保障doc、excel等指定类型的文件下载带宽，提供流控机制和手段；

24、支持多级子通道划分技术，实现带宽有效划分利用；支持对限制通道线路空闲时，允许突破限制，提高带宽利用率，已满足现有及后续应用的智能分配；

25、支持弱特征识别等相关技术，识别非常见的、新出现的P2P软件、原有P2P软件的新版本；

26、可针对在包含迅雷等P2P应用、在线流媒体，或某一类别的URL（如求职网站）对用户的访问行为进行阻断，有效的规范网络行为；

27、产品具备基于状态监测技术的防火墙功能，可基于服务、源IP、目的IP、时间自定义防火墙规则，可防范来自外网、内网的DOS攻击，支持ARP欺骗防护功能；

台

10

9

云平台

基础云平台软件参数要求

1、国产云计算平台软件，基于业界主流的开源云计算架构。

企业版云平台管理节点3台+自助门户和监控管理节点2台+分布式存储管理节点3台，可支持计算节点物理机≥4台，存储节点≥3台，不限制物理机CPU使用数量。本次项提供快照功能、高可用功能、备份管理功能、系统容灾等模块，不发生额外费用。原厂工程师现场实施部署，完成用户当前云计算系统向新系统的迁移工作，3年原厂售后服务，24小时电话技术支持。

成熟度要求

1、产品不仅能够帮助用户构建私有云，同时拥有公有云平台的运营。云平台可以同时管理私有云和公有云。

2、云平台需具备大规模资源的调度能力，厂商使用云计算平台技术，运营私有云业务或公有云两年以上，单个云平台节点规模不低于800台，其中单集群超过500台。

计算虚拟化

1、提供基于开源KVM、XEN的虚拟化引擎，并支持VMWare虚拟化，具备创建、修改、查询、删除虚拟服务器，以及调整服务器配置的能力。

2、支持将当前运行的虚拟服务器打包为模板，并通过自定义模板批量快速生成虚拟服务器的能力。支持虚拟机秒级快速部署，具备大规模部署特性的同时具备良好的性能保障，满足大规模资源快速创建的需求。

3、除了通过IP地址远程访问外，还支持通过浏览器界面直接访问和管理虚拟机，能够查看虚拟机的启动、运行、关机等整个生命周期状态。

4、云平台中无单独的共享存储设备（SAN和NAS）时，支持虚拟机在线或者离线迁移到指定物理节点，在线迁移过程中虚拟机业务不中断。

存储虚拟化

1、提供多种虚拟化存储服务：虚拟化存储服务提供块存储服务以及对象存储等统一存储功能。对象存储满足超大型文件的存储需求。

2、虚拟化存储产品基于SAS磁盘即可提供高性能保证，满足数据库、中间件等产品的性能需求，降低硬件采购成本。

3、支持对磁盘总容量的实时监控，支持对虚拟存储的性能实施监控并设置告警阈值，当性能出现下降时或异常，能够立即告警。

4、支持纠删码技术，能够在节约硬件成本的同时保证数据存储的性能和可靠性。

网络虚拟化

1、提供完全基于软件实现的网络虚拟化功能，无须采购专有网络设备，无需绑定网络硬件，不使用有SDN功能的交换机。

2、分布式虚拟路由器，需支持网状网络（mesh network），在VPC内部的所有网段内部的主机之间的连接可以是网状连接，而非传统的树状连接，能够降低了跨网段导致的网络延迟和损耗。同时也需支持树状网络。

3、网络类型包含基础网络、受管私有网络、自管私有网络。支持指定虚拟主机的IP网络地址，可以设置静态IP，支持外部IP资源分配与持久绑定。

4、提供虚拟三层设备的功能，支持DHCP，端口转发，隧道，VPN，访问控制功能。

5、平台内部的虚拟主机可以与外部的其它系统通过三层网络进行各类应用层交互。包括但不限于双向的HTTP交互，FTP交互，SSH交互，数据库连接，RPC调用。

云计算功能要求

1、云平台软件结构完整，通过统一架构和技术平台，实现服务器虚拟化、分布式存储和网络虚拟化等技术，为云服务提供可度量的、相对隔离的、安全的、快速可扩展的持续资源供给。

2、云平台软件不依赖特定的硬件，兼容管理主流的虚拟化系统，如VMware vSphere、KVM、XEN等。

3、云主机服务:像传统物理机一样，云主机可以实时添加或删除网卡、硬盘，更改主机CPU/内存等。通过云平台提供一种随时获取的、弹性可扩展的计算能力，包括映像或主机实例。

4、容器技术支持：支持LXC和Docker容器技术。

5、云平台可同时支持分布式存储和SAN存储，在创建虚拟机或存储卷时，用户可以选择是使用分布式存储还是SAN存储。

6、对象存储服务：提供可无限扩展的存储空间、快速的数据存取性能、高度的可靠性和数据的安全性、细粒度的权限控制及简单易用的接口，以向用户提供廉价、可靠的存储系统。支持通过http方式进行下载。

7、负载均衡：提供完全基于软件的负载均衡器功能，同时支持TCP/HTTP/HTTPS等协议，构建高可用的应用负载集群，降低购买硬件设备的支出和管理复杂度。

8、弹性伸缩：用户可根据自身业务需求，手动进行服务器角色伸缩。

9、应用管理：提供业务可视化界面，快速查看当前云平台中部署的应用系统的情况，针对某一应用，还能查看该应用的所有相关信息，例如应用版本号、部署架构、占用虚拟机数量、应用组件关联关系、访问端口、应用负责人、进程监控、业务特性（在线用户数）监控等信息。

10、云平台可支持计算节点动态扩展，当云平台资源不足时，新的物理服务器资源可自动识别，并加入到云平台资源池中，整个过程不会对原有服务造成影响。

11、提供裸金属服务，云平台可分配物理服务器，并进行操作系统的自动化部署

安全性

1、具备用户管理与用户隔离功能，确保用户间数据隔离与私密性。

2、可以通过软件定义网络SDN技术创建私有网络，私有网络间在二层100%隔离，私有网络数量没有规模限制，增强二层网络的安全性及规模化应用，非使用VLAN技术控制广播。

3、提供VPN支持，提供软件防火墙等、SSH等安全机制，帮助用户防护非授权访问与攻击。

4、虚拟网络支持ARP多路径决策功能，防止大量ARP广播造成的泛洪问题。

5、虚拟网络设备需提供自定义安全组策略。

6、提供资源备份功能。

7、提供资源回收站功能，支持误删除资源找回，提供操作安全保证。

8、提供针对租户的虚拟化安全产品，虚拟防火墙、虚拟WEB防护（WAF）、虚拟IPS等。

高可用

1、基础云平台本身支持容灾架构，任意云管理控制器器宕机，云平台亦能正常运行，正在创建的虚拟机也能继续创建完成。

2、云平台中无单独的共享存储设备（SAN和NAS）时，当虚拟机所在物理服务器发生故障时，能够自动在其它物理服务器重新启动虚拟机，以尽快恢复业务的运行。

3、云平台网络控制器支持分布式部署架构，在任意管理控制节点出现故障时，云平台网络仍然能够正常工作，不影响业务运行。

4、云平台存储控制器支持冗余架构，任一存储控制器出现宕机故障时，不影响云存储业务的运行；同时，云存储数据切片冗余保存多份，存储节点出现故障时，数据不丢失且不影响上层业务正常运行。

易用性

1、操作界面要充分考虑操作易用性，适合运维人员日常操作习惯，为用户提供图形化向导界面。

2、提供完善易用的RESTful API接口及文档，对云内所有资源及功能（如：主机、硬盘、网络、负载均衡器、防火墙、弹性IP、监控等）提供 API 级别的支持。             

3、具有云内资源的网络拓扑图展示功能，直观展现网络结构，并可通过拓扑图对网络配置进行编辑。

PaaS功能支持

1、产品包含PaaS服务能力，提供集成的关系型数据库提升开发与测试效率。

2、提供高性能的关系型数据库服务，支持MySQL、MSSQL等多重数据库引擎，提供包括单机部署、主从部署或高可用架构等各种管理功能。

售后保障支持服务提供产品原厂产品使用培训服务；

厂商开发工程师可提供响应服务时间≦2小时的源代码级故障分析服务；

为保证项目运营平台质量，需云平台原厂提供本项目实施服务；配合应用系统上云迁移，提供原厂2年7X24小时技术支持服务；

提供一名工程师驻场服务1年。针对以上服务需求，需出具原厂服务承诺函。

4.1.2云服务自助平台软件参数要求

1、与云资源管理平台软件为同一品牌，能够实现与云资源管理软件的无缝对接。

本次配置要求：同基础云平台软件

部门与用户管理

1、支持部门组织架构管理功能，能够新增、修改部门信息，支持设置部门管理员。

2、支持部门用户管理，管理员可定义用户的不同角色，通过角色管理来控制用户的权限。

3、提供子用户功能，管理员可对子用户进行管理，进行新建、修改、禁用、密码重置和删除等操作。

4、提供项目管理功能，支持将不同部门的用户按照项目组织在一起。

5、用户登录平台后，只能看到自己或团队权限范围内的云资源。

资源服务目录

1、提供云平台资源服务目录，服务目录需包含弹性计算、弹性存储、负载均衡、常用数据库（Oracle、MySQL等）常用云服务

2、支持平台管理员在服务目录中发布新的服务，或对已有的服务进行配置、下架处理等。

资源配额管理

1、支持为平台用户分配一定的资源配额，用户在配额范围内可自助使用云平台的各种资源。

云资源使用与管理

1、支持云资源转交功能，管理员创建的云资源可转交给其他用户使用。

2、提供向导式资源操作界面，简化平台的操作难度。

3、提供在线帮助功能，提供平台常见操作和问题的知识库。

4、提供资源统计功能，支持按照部门或项目统计云资源的使用情况。

4.1.3监控云平台软件参数要求

1、与云资源管理平台软件为同一品牌，能够实现与云资源管理软件的无缝对接。

本次配置要求：同基础云平台软件

资源池管理

1、支持管理多资源池，对多个数据中心的资源集中管理，并支持按资源池－集群的关系查看每个资源池及资源池下的集群的资源情况及资源使用情况。

2、支持资源池权限管理，资源池管理支持分权管理，可为各资源池指定管理员，管理员只能管理和查询其管理的资源池资源。

资源集中管理

3、支持资源集中化统一管理，管理的范围包括：物理服务器、存储设备、交换机、路由器等网络设备；虚拟机、存储卷、IP网段的管理。

4、自动发现，支持云资产(虚拟机、存储、网络虚拟化资源)的主动识别、变更发现和主动修改。

5、支持通过CMDB配置管理统一管理各数据记录，包括应用系统及其运行环境中所有IT设备/系统及其配置信息得到有效完整的记录和维护，各IT设备/系统之间的物理和逻辑关系。

6、支持通过CMDB配置资源间的关系，支持通过CMDB自定义扩展属性及父子节点关系等，有利于资产属性的扩展及关系的完善记录。

7、云平台自建IP管理系统，提供包括：全流程自动化的IP分配、回收，机房网络建设网络规划，网络地址的分配。

统一监控管理

1、提供定制化的大屏展示功能，动态展示云的资源及业务应用的统一监控告警情况，主要包括：云资源监控、资源容量、云服务运行状态监控、实时告警、设备统计、应用统计等。

2、支持日常运维所需的常用监控指标（包括CPU、内存、存储等）。如果用户需要某些下级管理系统支持但不常用的指标，需要能够提供定制能力，并可生成对应的报表。

集中告警管理

1、支持多维度告警/事件展现。包括监控对象分类、物理位置、虚拟逻辑、来源系统、客户维度、自定义条件。

2、支持与外部监控系统的对接，支持多维度查看告警，包括活动告警、正在处理的告警、历史告警，可以查看告警详情、处理情况等信息。

3、支持查看选定告警的详情、告警源关联信息、关联对象告警、告警源详情、告警源性能。

4、支持告警自定义筛选。支持按多个维度的条件进行组合筛选，包括：资源池、告警级别、资源类型等相关条件。

5、支持性能阈值告警。当监控对象性能超过阈值时，自动产生告警，从而对数据中心设备性能及时产生预警。

6、支持告警后处理，系统支持邮件发送、短信发送和自动转事件处理流程等后处理操作。

ITIL服务流程

1、系统默认云运维常见流程，包括故障处理流程、问题管理流程、服务请求流程、变更管理流程。

2、支持流程与自动化的整合，可以通过自动化的运维流程加速运维效率。

3、支持工作流程定制，提供的各项流程服务。

拓扑视图

1、支持从数据中心物理位置为维度层层钻取查看各资源间的拓扑关系，如机房到机柜、机柜关联的设备（物理服务器、存储设备、交换机、路由器等）、以及物理机上运行的虚拟机、虚拟机承载的业务系统。

2、支持拓扑对象操作、支持拓扑对象查找、支持大屏展示。

3、支持通过拓扑图查看各资源间的关联关系。

4、提供云平台虚拟与物理资源统一动态视图，可在此视图中了解物理设备与虚拟资源之间的关系（例如查看物理机上运行的所有虚拟机及其信息），并且提供搜索、查找、定位的能力，且视图数据由云平台自动生成，无需手工导入。

业务监控

5、具备对各类业务监控进行接入的能力，包括对用户业务所在服务器运行状态的监控，服务进程监控，业务特性监控以及业务拓扑展示，可将整个业务的逻辑拓扑进行直观展示以及实时监控以及业务指标的趋势查询。

资源计量及统计分析报表

6、统计报表，支持统计平台中所包含的物理机资源、虚拟机、存储资源、网络资源等资源信息；统计各类资源的用户使用量、每类资源的使用情况，如基础云平台、业务系统的CPU、内存、存储、IP的资源总量及占用量。

7、支持云报分析，按月统计各资源池资源容量情况、资源开通情况、以及资源使用率情况等，并支持将报表导出。

8、支持周期性生成报表，周期类型包括：天、周、月、季度。只需要设置一次报表参数，即可周期提供报表数据。

套

1

10

操作系统

1、操作系统管理：

1.1：图形化界面：支持通过图形界面对操作系统进行统一管理。

1.2：命令行：支持通过命令行方式对系统进行统一管理

1.3：开放接口：提供开放的开发接口，支持其它应用的调用

1.4：支持任务计划：支持任务计划调度

1.5：支持多服务器统一管理：支持在一台服务器上进行多台服务器的集中管理，

1.6：支持对服务器进行分组管理。

2、操作系统功能：

2.1：提供用户、用户组管理功能、支持多用户管理和用户访问控制。

2.2：提供统一用户授权功能：支持

2.3：提供DNS服务：支持

2.4：提供DHCP服务：支持

2.5：提供传真服务器：支持

2.6：提供文件及存储服务：支持将直连存储（本地或者盘阵）发布成普通的磁盘卷或者iSCSI协议的IP SAN，支持数据冗余算法

2.7：支持SMB3.0协议：操作系统提供基于SMB3.0的共享服务，可以将虚拟机存放在SMB3.0共享文件夹中。

2.8：提供终端计算机统一管理：支持通过策略对终端计算机进行统一管理（包括配置修改、行为限定等）

2.9：支持目录服务：支持通过LDAP进行帐户和网络资源管理，并支持通过策略统一管理帐户权限。

2.10：提供服务器虚拟化：支持基于硬件的服务器虚拟化；

2.11：支持SR-IOV技术，虚拟机可以直接使用物理网卡虚拟功能模块，提高虚拟机网络性能；

2.12：支持单台宿主上2台的虚拟机使用权限；

2.13：提供VDI服务：支持虚拟桌面服务，支持基于会话和虚拟桌面的远程连接。

2.14：提供VPN和NAT功能：操作系统需提供VPN功能，并能提供NAT网络地址转换。

2.15：提供分支机构缓存服务：支持在不同的地理位置缓存数据，提供分支机构对数据2台缓存的快速访问。

3、安装管理

3.1：安装方式：支持手动、自动、脚本安装

3.2：图形化界面：支持完整安装（图形化界面）及核心安装（命令行界面）两种模式

3.3：界面切换：支持在核心安装和完全安装进行切换

4、安全性

4.1：安全设置：允许通过设置增加或降低默认的安全级别

4.2：问题修复：通过补丁方式对问题及漏洞进行修复

4.3：补丁分发：支持在线、离线的补丁自动部署及安装方式

4.4：安全设置：允许通过设置增加或降低默认的安全级别

4、兼容性

4.1：硬件兼容性:兼容业界主流的服务器设备

4.2：CPU平台：支持在Intel和AMD两个品牌或同一品牌不同CPU类型之间的服务器建立支持异构CPU的虚拟化资源池；

4.3：支持市面上主流的x86服务器，包括HP、Dell、IBM等厂商的机架或刀片服务器；

5、高可用性

5.1：高可用性群集：支持主备架构的高可用性节点，支持至少64个节点的故障转移群集。

5.2：支持常见应用的高可用，包括共享文件、虚拟机、SQL Server等。

5.3：指标要求:硬件支持每个宿主机至少支持320个逻辑CPU；

5.4：每个宿主机至少支持4TB物理内存；

5.5：每个宿主机至少支持2048个虚拟CPU；

5.6：每个宿主机至少支持1024台虚拟机同时运行；

5.7：网络支持：支持对至少32块网卡进行绑定，支持绑定的网卡进行负载均衡和故障转移。

5.8：存储支持:支持存储空间技术，可以将多个物理磁盘添加到一个存储池中，并进行存储空间划分。支持连接FC/iSCSI存储设备，支持配置为iSCSI Target服务器。兼容现有市场上主流的存储阵列产品，如IP-SAN、FC-SAN、SAS和iSCSI，品牌包括EMC、IBM、HP、HDS、Netapp、Sun、Dell等，兼容现有市场上主流的网卡和HBA卡产品，包括Qlogic，Emulex，Brocade的HBA卡。

6、授权管理

6.1：按照物理CPU数量计算License

6.2:支持2台虚拟机使用权限

6.3:支持许可降级使用

套

10

11

操作系统

1、基本要求：4CPU Linux操作系统提供一年制造厂商原厂商800电话58标准订阅支持服务，所投产品为Linux制造厂商原厂版本（非OEM版本）；

企业级Linux平台，有广泛的使用基础，投标方应提供第三方市场占有率数据并提供数据来源；

供应商提供的Linux和相关组件的数量和服务级别应满足本次项目需求；

2、产品要求：Linux Kernel：2.6.32;

系统默认EXT4文件系统，支持EXT3，支持GFS，XfS2文件系统;

界面能良好支持简体中文，通过GB18030-2000认证;

支持RPM包管理方式;

通过EAL4+安全认证

提供Satellite技术解决方案建议书用于便于后续Linux系统的集中管理；

套

5

序号

名称

参数

单位

数量

　1

UTM

1、万兆级防火墙，2U机架式设备；双电源；基于ASIC技术的多芯片网络和内容处理,18个10/100/1000M自适应电口，16个千兆SFP，2个万兆口；可扩展到8个万兆口。最大可管理无线AP(总数/隧道模式）4096/1024个；

2、网络吞吐量≥80Gbps，并发连接数≥1100万，每秒新建连接≥24万，可支持IPSec、PPTP、L2TP,SSL VPN；IPSec VPN吞吐量≥30 Gbps，SSL VPN吞吐量≥3.6Gbps；虚拟防护墙≥50个；支持故障bypass。

3、支持基于状态检测的包过滤技术，能够根据源和目的IP地址进行数据包过滤

4、支持静态路由，RIP v1, RIP v2, OSPF, BGP, IS-IS,组播路由等动态路由设置；支持策略路由，能够根据源地址和流入端口控制路由方向

5、支持802.1Q VLAN 接口及VLAN Trunk接口

6、各VLAN接口间可以单独设置路由和防火墙策略

7、支持本地数据库，LDAP, RADIUS, FSAE, TACACS+, RSA SecureID等认证方式

8、支持VoIP协议（SIP, SCCP）的NAT穿越

9、可扩展垃圾邮件防护功能，支持在线垃圾邮件库定时升级

10、SSL VPN支持并发用户数不小于500用户

11、支持不小于2,000个VPN Tunnel

12、支持DES，3DES，AES加密算法；支持SHA-1，MD5认证算法

13、支持Hub&Spoke模式VPN

14、支持SSL VPN代理模式、通道模式、通道分割

15、能够对SSL VPN的通讯内容进行内容层检测，如IPS，病毒检测等

16、支持L2TP，PPTP，MPLS，GRE等安全接入方式

17、支持本地数据库，LDAP，RADIUS，RSA SecureID等VPN认证方式

18、支持硬件对防病毒扫描加速；防病毒功能开启后，网络吞吐量≥5.5Gbps

19、支持不小于20万种病毒的病毒库

20、支持病毒库在线实时更新

21、支持自动定时和手动更新病毒库

22、支持将病毒库文件下载至本地后，手动上传至防火墙

23、支持对病毒文件的放过、清除和隔离动作

24、支持对HTTP，FTP，SMTP，POP3，IMAP，IM协议进行病毒扫描、报警和清除

25、支持基于网络的入侵防护（NIPS）功能；开启IPS功能后，性能≥8Gbps

26、支持基于特征库的IPS，支持不小于6,000种特征文件  

27、支持旁路检测（Sniffer）模式

28、支持用户自定义的IPS特征库

29、支持基于异常分析的IPS

30、能够有效防御各种DDoS，包括SYN flood, UDP flood等

31、能够针对攻击目标的类型进行规则分类，如Server, Client; 操作系统; 应用程序(IIS, Apache等)

32、能够对每个虚拟防火墙做单独的入侵检测策略

33、支持对不同类型及每个的应用程序实施监控封禁和限流

34、支持对MSN，QQ等即时通讯软件的控制

35、支持对BT和电驴（eDonkey）等P2P协议的封禁和限流

36、支持对迅雷等多线程下载工具的识别和封禁

37、支持对暴风影音、PPLive等在线视频类软件的识别和封禁

38、可扩展在线网站过滤功能，支持在线URL分类库实时检索

39、可以选择对一个类型的网站的封禁，比如所有的在线购物类或者在线视频类的网站

40、支持对Web Mail的封禁，但是允许浏览网页

41、支持链路负载均衡策略

42、支持针对服务器的负载均衡，针对服务器负载均衡，支持静态、轮询、加权、最早存活、最小响应时间、最小连接数、HTTP Host等多种负载均衡方式

43、支持针对链路或每IP的流量控制/流量整形

44、支持保证流量和最大流量的控制

45、支持DiffServ

46、支持广域网加速功能

47、支持基于关键字和文件指纹的内容过滤和审计

48、支持用户FTP上传下载的文件的完全记录

49、支持用户收发Email的内容的完全记录

50、支持Active-Active, Active-Passive方式的HA部署

51、HA群中的多个防火墙可以实现会话同步

52、能够进行线路状态检测，并根据检测结果自动切换

53、使用虚拟IP地址技术

54、支持WEB代理服务器功能

55、支持ICAP客户端

56、能够将日志记录在在线服务器以供分析

57、支持本地Console口管理，支持HTTPS，HTTP，SSH，Telnet，SNMP等方式管理

58、支持双操作系统，可以根据管理员要求进行切换

59、要求与现有监管平台兼容，节约资源，方便管理。

60、提供原厂商首次安装服务，三年特征库升级和三年硬件保修服务。在当地设有服务机构以及备品备件库，提供3年原厂工程师现场服务和同档次备机一台进行24小时冷备，服务级别：5×9×NBD，4小时响应。

　台

　2

　2

　Web应用防护系统

1、千兆接口：≥4个千兆电口；可加配模块扩展到18个千兆电口（可选光口）或扩展为2路Bypass电口及2路Bypass千兆光口；工作模式：旁路模式、在线模式、透明桥模式；支持高可用性、支持故障bypass

2、http协议吞吐量：≥2.2Gbps

3、可防护IP数量：IP地址无限制

4、支持在线透明桥接方式（二层网桥），透明桥接方式支持bypass，即设备因为设备故障时自动5、进入短接状态，保证业务流量正常通过。WAF设备的部署无需变更任何网络架构，不可以对现有应用系统有任何影响（包括IP地址、DNS、域名、负载均衡器、Web页面、客户请求代理等等）

6、动态建模: 在WAF系统安全性保护的核心功能是动态模型的构建。动态模型自动监测当前流量行为，创建完整的应用结构和动态的模型。合法的系统应用变化自动被识别，并增加到模型中。

7、WAF系统应该采用动态评估技术创建合法用户对Web和Web服务应用的行为的安全模型。通过安全模型和实际网络应用行的比较，WAF系统可以监测到所有的恶意的行为企图。

8、Web网站和数据库是动态的，会定期发生变化。这是由于竞争环境驱使业务内容不断发展，导致开发者持续更新源代码和内容。自动特征更新功能确保特征始终是最新的，即使网站的部分内容和代码以及访问方式发生了变化，WAF应该具有自动更新的功能可以自动更新访问特征来反映应用系统的最新变化，从而节约管理员的宝贵时间，不用手动更新访问特征和模型。保证系统有自适应的能力。

9、部署在桥接模式下的话，必须要求2个或者多个WAF网关使用高可用性协议可以提供不到一秒的恢复。

10、具备故障短接的功能，在线故障短接网络接口确保了软件、硬件或者电源在出现故障时的可用性。

11、WAF设备可以进行独立部署，包括所有的管理和报表功能。

12、对于更大的网络环境，包括多台WAF分布部署的情况，本次的应用安全系统应该具有管理服务器，用于提供集中管理功能，其中包括模型管理、状态监控、报警、日志和报表功能

13、WAF必须支持以下协议：HTTP,HTTPS,XML,SOAP

14、WAF可以抵御的攻击及非法行为：Web、HTTP和XML应用攻击；SQL注入；会话劫持；跨站脚本（XSS）；篡改表格字段；已知BUG；“第零日病毒”；缓冲器溢出；cookie布毒；拒绝服务；恶意机器人；参数篡改；强制登陆；恶意编码；目录游走；Web服务器和操作系统攻击；漏洞扫描；命令注入；非法编码；非法窃取；数据盗窃；数据泄漏；间谍软件；网络钓鱼；网页篡改；

15、WAF应具有专门针对Web服务的IPS功能。对已知的攻击和“第零日蠕虫”的提供保护。这些攻击通常针对WEB服务器、应用服务器和操作系统软件的弱点（例如，IIS、Apache和Windows 2000）。WAF的“第零日蠕虫”自动评估技术可自动识别尚未定义特征的攻击。 WAF系统同时提供多协议的Snort已经CVE兼容的特征库。

16、WAF厂家应该能够持续更新各种特征代码(6500条以上)，保证能够抵御最新出现的攻击方式和行为。WAF系统必须最少每周一次提供定时更新服务，确保安全保护的时效性。并且特征代码的更新应该是平滑而且不需要设备重新启动，或者重启服务。

17、WAF集成的网络防火墙用于防范未授权用户、危险的协议、通常的网络层攻击以及蠕虫感染。访问控制策略支持协议/IP地址组合的控制列表，以避免数据中心暴露给不必要的用户，或者限制危险的协议，例如Telnet、pcAnywhere或者是SQL。

18、WAF必须具备对HTTP协议的合规性检查和防护的功能。可以通过分析收到的HTTP请求，通过协议合规性分析，找出和HTTP协议规定的标准所不符合的HTTP访问

19、WAF包括了动态的正向（白名单）和反向（黑名单）安全模式。即时攻击有效验证(IAV)立刻根据两种模式中的一种验证和阻止所有已知的违规行为。对于不明显的复杂攻击，必须具有关联攻击验证(CAV)的技术把多层次的违规记录关联起来，事后从合法用户访问行为中分离出来。CAV技术能够把来自WAF系统中所有安全记录的相关信息关联起来，得到独立安全产品无法达到的准确程度。

20、检测到 HTTP请求违反设定的规则时，WAF应该执行以下操作：

生成警报、阻止连接、在特定时段内阻止会话、应用程序用户或源 IP 地址

21、丰富的后续动作集：可以在某一安全策略违法后，除了执行即时的阻断动作外，还应具有发出Syslog、SNMP Trap、Email等后续动作，可以灵活的定义某一安全策略采用某一特定的后续动作。

22、针对HTTP的请求和响应，可以设定关键字过滤策略，过滤的关键字的规则数量至少是10000个。

23、提供攻击日志汇聚功能，可将同一个攻击事件的多个攻击日志自动汇聚在一个告警信息中，方便用户查看和调查

24、虚拟补丁功能：可以和世界知名的Web漏洞扫描工具（比如IBM,HP）进行集成。InforCube WAF可以导入这些厂家的扫描到的用户Web系统的漏洞结果文件，根据这个漏洞结果，直接动态生产安全策略，可以方便快捷的修补这种漏洞。

25、产品具有Web与网站数据库审计系统设备相关连技术，能够在应用程序的更深层次识别用户身份。通过在 Web 相关事件与网站数据库审计系统设备相关事件之间建立关联，产品可以提取相关的 Web 事件属性

26、支持对网站文件实时监控

27、自动恢复被篡改的文件或目录

28、支持断线状态下篡改检测与恢复

29、对网站篡改信息，邮件实时报警

30、WAF支持计划任务可定期为所保护的网站进行WEB漏洞、操作系统漏洞扫描

31、要求支持与日志审计系统、UTM设备进行联动。

32、提供原厂商首次安装服务， 三年特征库升级和硬件质保。在当地设有服务机构以及备品备件库，提供3年原厂工程师现场服务，服务级别：5×9×NBD，2小时响应。

　台

　2

　3

网闸

　1、产品采用“2+1”（即双主机系统+ 专用物理隔离部件）体系结构，采用经过安全加固的安全操作系统；内外端机之间通过光纤线路连接；设备可以放置在高敏感网络和低敏感网络之间，拦截TCP/IP数据流，过滤丢弃TCP/IP协议格式，还原上层应用数据并经过安全处理后，以数据摆渡的方式实现不同敏感级别网络之间的应用数据安全交换。

2、标准2U机架式结构；机箱高强度钢壳结构，支持冗余电源；

3、接口：内网：4个千兆电口,4个USB口；外网：4个千兆电口, 4个USB口；内外网各可扩展4个千兆电口或4个SFP或2个万兆口。

4、性能：数据传输数率≥900Mbps；系统延时< 1ns ； MTBF≥70,000小时；最大并发连接数≥300,000。

5、支持POP3、MTP邮件传输协议；支持FTP等文件传输协议；支持HTTP/HTTPS等Web传输协议；支持基于TCP、UDP协议的非标准应用协议代理。

6、Web应用安全控制：支持HTTP应用改写功能，适应各种不同Web应用场景；支持单通道同时容纳多个Web应用的能力；

7、应用文件传输：提供基于策略的文件传输功能；支持对FTP/SAMBA文件传输，支持对多个文件的传输，传输目录层数没有限制。

8、个人文件传输：支持内外网用户的双向个人文件交换（从内到外和从外到内）；支持C/S模式客户端发送和接收功能；支持用户及多级部门管理功能；支持用户导入导出功能；支持用户及部门的排序和移动功能；支持用户将同一文件发送给多个用户的功能；支持内容过滤、文件格式深度检查功能；支持个人文件病毒扫描功能；支持个人文件的人工审核功能；支持服务端传输日志查看功能；支持文件发送接收传输通道加密功能；支持个人文件在服务器端的存储加密功能；支持个人文件在接收时自动解密功能；支持客户端用户的个人文件接收提醒功能；支持客户端用户个人发送接收日志查看功能；支持客户端用户密码修改功能；支持客户端用户路径和自启动设置功能。

9、数据库传输：数据库同步应用可通过灵活的同步机制保证安全等级不同的网络中的数据库系统实现数据同步更新，支持表级、字段级同步；同步由网闸主动发起并完成，不需要第三方软件支持（无需在数据库安装任何第三方软件），支持Windows、Linux、Unix 等多种数据库操作系统，且网闸无需开放端口以杜绝安全隐患：支持多种方式同步（如镜像、增量），同步模式支持单向和双向同步；支持数据库客户端安全访问网络另一侧的数据库服务器的功能；能够支持ORACLE、SYBASE、MySQL、SQLServer、DB2等主流数据库；支持国产达梦等数据库;支持同构数据库之间、异构数据库之间的数据同步，无需修改数据库表结构；支持时间控制策略；可以同时发送和接收一个关系数据库中的多个表；可分别定义增加、删除、修改的数据传输；根据指定字段值进行条件传输；支持大字段数据同步交换包括Long、CLOB等；支持不同类型数据库之间的异构数据安全传输；

10、提供对Oracle 、DB2、SYSBASE、SQL Server、MySql等数据库的安全访问，实现内外网之间数据库及表内容安全传输；

11、专有安全通道：提供私有安全通信协议支持，保证与前后置服务器之间构成可信通信体系。

12、数据安全检查：支持标准应用协议的命令、协议数据检查；支持文件类型审查和控制；支持常见办公文件内容过滤；支持文件传输人工审核；支持黑白名单文件安全过滤。

13、支持防病毒模块能对来往应用数据进行病毒查杀；

14、双机热备：提供双机热备功能，解决系统运行时的单点故障问题

15、负载均衡：与前后置服务器配合实现多台网闸之间的负载均衡能力。

16、支持多网隔离，每个网络接口可以接不同安全级别的网络；支持内网及外网的多网管理模式，即可以同时管理内网多个网络及外网多个网络。

17、安全管理必须通过内网主机系统来管理和配置网闸，而不是采用低安全的管理方式，如采用内外网口分别管理和配置网闸；必须采用硬件USB钥匙加密管理。

18、策略路由：支持策略路由模式，保证多网接入可以正确使用

19、提供详尽的日志功能；提供对日志数据丰富的审计功能；提供日志信息的加密存储功能,支持和日志审计系统联动。

20、提供原厂商首次安装服务，以及原厂商三年免费产品升级和保修服务。在当地设有服务机构以及备品备件库，提供3年原厂工程师现场服务，服务级别：5×9×NBD，2小时响应。

　台

　2

　4

配置核查

1. 系统架构：产品应采用1U专用机架式硬件设备，系统硬件为全内置封闭式结构,无需在被扫描目标系统上安装任何软件；产品功能的实现无需额外增加服务器等设备。

2. 网络接口：14个千兆电口，可扩展到20个千兆电口或8个千兆光口，支持冗余电源；

3. 性能要求：检查并发数≥600台设备；最大在线用户数量:≥300

4. 部署模式：支持旁路部署；支持分布式部署。

5. 安全性：通过SSL加密对数据传输等进行处理；加密存储；备份机制；防篡改机制；HTTPS方式；用户密码策略机制

6. 检查方法：支持远程检查，SSH、TELENT、WMI、SMB等多种方式支持离线检查；支持本地检查；支持跳转机跳转；支持指定登录用户名和口令并进行批量扫描；支持策略模板自定义功能；支持定时任务、立即检查等

7. 支持目标系统：主机类：windows、Unix、solaris、HP-Unix、AIX、 Linux等；网络设备：华为、H3C、Cisco、Juniper、中兴等；防火墙：华为防火墙、H3C、Fortigate、Cisco、Juniper等；数据库：Mysql、Db2、Oracle、Sqlserver、Sybase等；中间件：Tomcat、IIS、Webservices、Apache、Weblogic等

8. 资产管理：资产管理：可以添加、修改、删除资产；对资产的基本属性进行维护；资产可以增加自定义属性； 资产支持组织管理，支持通过资产价值对资产进行定级；系统支持对IP对象的自动发现功能；并智能识别对象系统类型。

9. 安全基线违规管理：违规列表：显示系统内所有的违规信息情况，以列表方式呈现；违规详细查看：在安全基线违规列表中，选择某个违规信息，可进一步查看该违规的详细信息。  查询：在违规列表中提供查询功能，输入相关查询字段进行查询。

10. 基线策略管理：系统除了内置安全策略，也提供新建策略功能

11. 变更列表：显示系统内被监控的重要文件、文件夹、注册表、启动项、进程等变更状态；变更详情查看：在变更文件列表中，选择某条变更项，可进一步查看变更的详细信息，确定文件内容变化和相关重要属性发生了哪些变化；查询：在变更列表中提供查询功能，输入相关查询字段进行查询；设置变更基线：可根据实际情况设置任意检查结果作为变更基线，后续变更任务将已当前基线作为变更与否的比较标准。与其他设备比对：支持与其他设备的同类型变更项进行比对，检查设备间核心配置项的异同之处。

12. 变更策略管理：系统除了内置变更策略，也提供新建策略功能。支持漏洞扫描、安全基线检查、变更检查的三合一任务，三者也可任意组合执行任务；任务调度方式：支持一次性任务、立即任务、周期任务等多种调度方式；任务对象管理：支持选择系统内部维护的安全对象、手填IP、手填IP地址段、系统视图等多种任务对象模式执行任务；任务报告展示：支持三合一多维度展示任务详情，并支持导出Word、PDF、HTML等多种报表；任务比对：支持对周期任务的多次执行任务结果进行比对，比对结果中详细展示报告间的异同之处。支持离线任务：支持用户离线执行任务检查，并支持离线检查结果导入系统分析，与在线任务一样详细展示任务执行结果。

13. 告警处理：对于告警的处理主要包括清除（认为不是问题）、确认（认为可能是问题，待后续定位确认）、告警复核（针对已确认的告警进行系统自动检查，通过系统执行相关任务精确确认告警是否已经清除）。

14. 告警监控：以列表的方式展示告警；告警声音设置；支持设置告警过滤策略

15. 告警策略：告警来源分为基线违规、变更检查等； 系统内置告警策略，并支持自定义策略。

16. 全文检索：系统需提供一个全文检索功能，支持全文检索语法。能对系统内的对象提供全文检索功能。全文检索提供一个输入栏，需要置顶，在任何页面都能够看到。

17. 报表管理： 包括报表内置实例管理和报表任务管理

18. 知识库管理： 系统内置对应基线问题、安全经验等知识。并支持自定义创建增加知识

19. 用户管理：支持用户按照用户组、角色授权；支持三权分立方式的授权，即管理员只负责完成设备的系统配置，安全管理员配置核查，审计员负责对系统本身的用户操作日志管理和审计。

20. 仪表板：仪表板应内置支持下列内容：整体安全情况、设备风险情况、告警情况、脆弱性情况、任务概况

21. 升级：系统支持手动和自动升级功能

22. 登录账号口令设置：支持手动录入、批量录入、第三方系统同步联动获取。

23. IPV6：系统支持IPV6。

24. 配置管理：支持设置日志存储备份策略。包括系统日志保存期（天）、磁盘使用率百分比； 支持系统自动备份，手动恢复。支持系统配置修改图形化（如修改主机名、IP地址等）。

25.单个任务允许扫描的最大扫描范围不小于一个B类网段；

26.支持设备内置VPN拨号扫描 ；

27.支持SOCKS代理扫描

28.流量控制：支持网卡限速，防止扫描消耗过多带宽

29.主机漏洞数量：≥ 10000个

30.检测漏洞类型：支持Windows/Linux等操作系统漏洞检测；

31.支持MSSQL/MySQL/Oracle/DB2等数据库漏洞检测；

32.支持FTP/EMAIL/DNS/网络设备漏洞检测；

33.支持虚拟化漏洞、常用应用软件漏洞检测。

34.操作系统指纹识别：自动判断被扫描主机的操作系统类型及版本

35.可利用漏洞提示：支持可利用漏洞提示，将能够获取服务器权限的漏洞专门提示,并支持显示漏洞可利用性,便于管理员立刻锁定资产脆弱点

36.主机登陆扫描：支持Windows、SSH、Kerbeors、明文协议的登陆扫描，登陆到相应的系统中进行

37.Web漏洞数量：≥ 7000个

38.协议支持：支持WEB 2.0扫描 ；支持HTTP/HTTPS协议

39.验证性扫描：支持对SQL注入、XSS攻击、文件包含类等漏洞在扫描结果中有验证性，给予管理员漏洞存在性、可利用性以及漏洞利用方式的提醒

40.域名反查：支持IP地址到域名的反查扫描

41.URL排除：支持用户自定义不扫描的目标URL

42.紧急漏洞扫描：支持紧急漏洞扫描, 通过近期热门的高危漏洞库，对全网进行安全检查

43.Web漏洞检测能力：支持SQL注入/XSS跨站/命令执行/目录遍历/上传漏洞等检测；

44.支持表单弱密码检测、CMS类型识别

45.Web登陆扫描：必须支持登录扫描功能，可自动通过内置的WEB代理来抓取用户登录信息，无需手工输入Cookies、Session等信息，即可实现登录扫描功能；

46.必须支持对统一登陆（SSO）环境下WEB站点的登录扫描，统一登陆环境的HTTP或者HTTPS方式的跳转认证等不影响设备的登录扫描功能；

47.弱密码检测支持协议类型：支持检查3389（RDP远程桌面）弱密码  ；

48.支持检查FTP/SSH/TELNET/MSSQL/MYSQL/ORACLE/SMB/VNC弱密码

49.支持IIS/Apache/Nginx等Web服务器漏洞检测；

50.syslog输出：扫描结果支持以syslog方式输出到外部服务器

51.至少提供同品牌windows平台webshell检测工具一套

52.支持敏感关键字过滤，用户可自定义关键字内容

53.支持显示CVE/CNNVD漏洞编号

54.自定义字典：支持字典编辑与字典上传

55.漏洞扫描报表类型：支持领导报表和详细报表：领导报表查看任务的总体数据情况；详细报表查看漏洞类型统计与详细信息、解决方案输出

56.输出格式：支持将生成的报表以HTML、Word、PDF等通用格式输出

57.多用户：支持多用户配置，可以控制每个用户的扫描目的IP，扫描迸发，并且管理员可以对所有用户的扫描任务进行管理

58.审计功能：提供审计功能，能够对登录日志、操作日志和异常报告进行记录和查询。

59.备份机制：提供备份恢复机制，能够对扫描结果、日志、扫描模板、参数集等配置文件进行导出和导入操作；

60.日志类型：系统日志、审计日志

61.规则升级：支持规则在线升级方式，可按计划执行自动升级；产品同时应支持手动升级方式，可利用已经下载的升级包实现升级。

62.API接口：本次要求厂商提供二次开发接口模块，提供HTTP RPC接口支持，方便与第三方产品联动。能将任务的扫描结果（IP、主机漏洞、Web漏洞、弱密码漏洞）同步出来，便于调用和查看。

63.固件升级：支持固件在线升级方式，可按计划执行自动升级；产品同时应支持手动升级方式，可利用已经下载的升级包实现升级。

64. 系统扩展性：能够预留系统接口，方便新的功能开发和无缝接入；

65. 要求支持与日志审计系统进行联动。

66. 技术支持服务：上述硬件平台、所有软件功能模块提供三年原厂保修和升级服务。为应对网络安全事件，投标方应成立安全应急处置小组进行紧急响应，响应时间：7×24小时响应。

　台

　1

5

网站远程监测服务

1、在线实时安全检测服务聚合业界主流的在线扫描引擎、漏洞分析引擎、漏洞验证引擎、事件分析引擎，采用Saas模式为用户提供聚合式网站应用脆弱性远程检测、网站安全事件检测等在线实时检测服务。

2、通过持续主动评估客户网站系统的安全状况，及时发现并通报安全漏洞及存在的安全风险。

3、要求整合国内外主流商业化扫描器，扫描工具≥5个，功能上覆盖漏洞检测、事件检测、漏洞验证。通过统一的平台资源调度，确保服务对象经过多维度的全面检测，避免单一扫描器的漏报与误报

4、要求对扫描结果进行风险归一、漏洞归一、等级归一，确保服务输出结果的完整性与一致性，并通过自动化验证+人工验证，可有效解决工具误报的问题，通过对漏洞修复后的验证及对历史数据的对比，实现漏洞生命周期的管理。

5、要求提供支持多引擎扫描的扫描管理系统，并可进行现场演示；

6、拥有国家级漏洞库、病毒库使用授权，通过与国家级信息安全机构合作获取最新漏洞信息，及时提供针对最新漏洞进行安全监测和分析能力

7、支持在线和离线报表，提供独立站点的历史数据趋势分析功能，并且可对多个站点的扫描结果以不同维度进行统计，支持报表种类25个以上。

8、支持与日志审计系统、WEB应用防护系统进行联动。

9、提供每个月一次以上信息系统恶意代码扫描、渗透性测试，提供测试报告和协助落实。

10、对网站群在线实时监测评估，并可随时提供多种检测报告，原厂服务3年。

套

1

6

业务流量保证系统

1、系统要求：系统必须为硬件至少内置业务数据采集口。标配双电源，提供网络线路的业务流量、核心业务访问流量、各类业务组件（主机、数据库、中间件、标准应用）访问流量等统一管理.要求系统基于Java开发，后台数据库支持Cassamdra和PostgreSQL并内置到系统中，无需用户另外连接其它外部数据库，支持的操作系统为Linux Centos 7.0

2、扩展性要求 支持扩展新的数据采集口。扩展的设备必须为硬件，1U设备，至少内置数据采集口。具备双电源，每个数据采集口支持平均帧长为125字节环境下的千兆流量，即能支持每秒处理100万数据包的能力

3、部署要求.支持支持旁路方式，通过端口镜像或者netfiow/sflow完成数据采集，不改变用户网络结构

4、产品功能 支持大数据存储和分析能力，要求提供10万KPI，5分钟间隔密度的数据存储1年，并可通过系统界面查看历史数据,系统能自动学习管理对象性能、访问流量规律，以此生成基线，实现自动化基线运维，通过对基线的数据分析，能及时捕获偏离运维历史情况的异常，当异常出现频率过高时能及时告知管理员.要求系统提供模板化配置，管理对象纳入系统后，自动适配相关智维规则、告警规则、报表规则，无需额外配置；

5、网络链路数据流量管理 支持多厂商设备组成的混合网络和链路展示；支持网络设备、链路自动发现功能,数据采集口图标可以显示在拓扑图中，并准确连接在相应的设备或线路上。支持对全网的网络设备线路按照流量、带宽占用比、丢包率、错包率、广播包等指标的实时负载进行排名。可根据IP或MAC查询某客户端连接在哪个交换机的哪个端口；支持网络上ARP风暴检测、DOS攻击行为检测、网络扫描行为检测、蠕虫病毒发散等常见异常行为检测，发现问题时，可至少通过email、短信两种方式发出通知。异常行为检测的规则库可持续更新，根据管理经验添加新规则。

6、业务访问流量管理 业务定义支持组合数据采集口采集方式：一个业务可以由多台主机共同提供服务，因网络拓扑结构原因，这些主机的服务流量需由多个数据采集口采集数据，并在中心端进行汇总后得到该业务的最终流量数据。支持方便的以数据采集口为入口，查看不同数据采集口所捕获的业务访问流量信息，以便管理员从网络的不同位置对业务访问流量进行分析。支持以射线图方式展现访问指定业务的客户端及流量信息。显示各个客户端的IP、访问流量、访问会话数。支持以直方图方式查看访问指定业务流量TOPN的客户端；访问指定业务会话数TOPN的客户端.支持实时查看指定业务的各项实时访问流量（总流量、出流量、入流量、访问IP数、会话数）.支持以表格方式实时查看访问指定业务的客户端列表，及访问会话信息。支持对指定业务的各项访问流量（总流量、出流量、入流量、访问IP数、会话数）历史记录进行查看、分析。支持对主机的各项实时访问流量（总流量、出流量、入流量、访问IP数、会话数）进行查看。支持对主机的各项访问流量（总流量、出流量、入流量、访问IP数、会话数）历史记录进行分析。主机增加必须支持批量导入模式；支持用户以模板为基础修改的资产清单的导入。支持查看实时访问主机的客户端列表，及访问会话信息。支持查看实时访问主机的客户端列表，及访问会话信息。

7、数据库访问流量管理 数据库增加必须支持批量导入模式；支持用户以模板为基础修改的资产清单的导入.支持对数据库的各项实时访问流量（总流量、出流量、入流量、访问IP数、会话数）进行查看。支持查看实时访问数据库的客户端列表，及访问会话信息。支持对数据库的各项访问流量（总流量、出流量、入流量、访问IP数、会话数）历史记录进行分析。

8、中间件访问流量管理 中间件必须增加支持批量导入模式；支持用户以模板为基础修改的资产清单的导入,支持对中间件的各项实时访问流量（总流量、出流量、入流量、访问IP数、会话数）进行查看。支持查看实时访问中间件的客户端列表，及访问会话信息。支持对中间件的各项访问流量（总流量、出流量、入流量、访问IP数、会话数）趋势进行分析。

9、标准应用访问流量管理 标准应用增加必须支持批量导入模式；支持用户以模板为基础修改的资产清单的导入。支持对标准应用的各项实时访问流量（总流量、出流量、入流量、访问IP数、会话数）进行查看。支持查看实时访问标准应用的客户端列表，及访问会话信息。支持对标准应用的各项访问流量（总流量、出流量、入流量、访问IP数、会话数）历史记录进行分析。

10、业务综合分析 提供自动、手动创建业务架构图功能，通过物理架构、逻辑架构、物理与逻辑结合架构方式真实反映出业务系统整体架构图,透明展现业务关系，可以将网络、主机、数据库、应用、作为业务的组成单元，简单拖拽即可实现快速业务的构建。

综合评价业务健康，支持将各个管理对象的指标作为评价基础；可以根据各个管理对象对于业务的影响，设置权重；支持评价基础指标作为预警阈值，在界面中以不同颜色图标显示，以示对业务的影响；支持业务健康度的实时动态更新；支持业务健康度低分原因的及时显示;提供业务视角管理基础设施，系统可支持多种布局方式，将基础设置提升到业务视角，便于业务部门和网络部分的沟通和监控统一界面；便于第一时间实现业务故障的定位

11、事件预警和处理 对所有管理对象指标均支持批量告警设置,实现快速设置,缩短设置时间和维护的复杂度,支持将智维发现的异常事件，快速转换成告警规则。系统提供知识库管理功能，当同类型告警出现多次后，能主动提示管理员并收集相关处置意见，并在告警出现后，系统自动提示相关联的处置意见；提供多种告警信息输出方式，至少包含短信、邮件、屏幕通知方式。

12、问题分类管理 提供分类问题配置功能，可以根据管理对象的各项性能指标、访问流量指标，对管理对象的运行状况进行综合分析，当某管理对象达到某类问题所设定的阈值时，则显著标识。

问题分类不少于三种.支持在网络拓扑图中显著标识网络设备、线路所触发的问题。支持在业务架构图中显著标识主机、数据库、中间件、标准应用所触发的问题。保存问题触发时刻相关对象相关指标的快照信息，并提供便捷的快照信息查看功能；同时提供相应的问题处理建议内容。

13、报表管理 提供无压缩的数据存储机制，至少支持1年性能数据无压缩存储，间隔不能大于5分钟；提供大数据分析工具，要求5个不同指标在同一时间轴中进行对比分析，支持任意时段数据的拖拽查看；实现任意时段和时长数据的对比分析.支持报表统计时段自定义功能，实现按照9:00-18：00的统计的日报表，非自然月统计的月报表，同时上述设置无需额外开发；支持报表生成后，通过邮件方式主动推送给预定用户；并支持PDF、HMTL、word、excel多种格式的输出.提供预置报表，包括：网络性能分析报表、业务访问流量分析报表、业务组件（主机、数据库、中间件、标准应用）访问流量分析报表.

14、用户权限管理 支持菜单权限设置：根据对现有菜单进行划分，不同角色的用户可以访问不同的菜单。支持资源权限设置：通过对网络设备、业务、业务组件（主机、数据库、中间件、标准应用）等管理对象资源进行划分，不同角色的用户可以访问不同的管理对象，没有访问权限的管理对象不可见

15、提供7*24小时的项目专项电话技术支持和现场支持；

台

1

7

数据库审计系统

1、采用标准机架式硬件和专用的安全操作系统；

2、同时支持IPv4和IPv6环境，能够满足IPv6环境下的安全审计需求

3、采用旁路部署方式，对原有网络不造成影响，直路部署方式可阻断危险操作，客户端方式部署可解决应用服务和数据库在同一操作系统的审计问题；

4、支持多级部署方式，便于用户统一管理分支机构审计设备，统一下发策略、收集告警日志；

5、支持数据中心和审计引擎的分布式部署；

6、支持数据库自身日志审计；

7、支持在目标数据库安装agent解决虚拟化环境中内部流量无法镜像数据库的审计；

8、B/S架构，采用HTTPS方式远程安全管理；

9、≥6个100/1000M自适应以太网口；支持千兆电口/千兆光口/万兆光口扩展不少于32个；能按实际需求随时扩展。

10、审计数据库数量不限；

11、可配置磁盘预警及历史数据转存，保证审计数据的完整性；

12、支持连接外置存储，以扩展日志存储能力；

13、支持备份的数据以USB和FTP的格式进行还原；

14、支持不同版本之间的数据还原；

15、支持不同时间段的数据还原；

16、数据库吞吐量≥6Gbps

17、最大事务处理数≥60000条/S；

18、支持对Oracle、Informix、DB2、SQL Server、Sybase、MySQL、PostgreSQL、Teradata主流数据库的审计；

19、支持Cache数据库,并支持Cache数据库的Global访问方式和Object访问方式审计；

20、支持对人大金仓、达梦等国产数据库的审计；

21、支持数据库审计，告警，数据库弱口令扫描，数据库健康扫描，数据库安全扫描，数据库优化分析；

22、可智能学习数据库的访问行为建立模型；

23、产品自身有全面的操作日志，管理员不可以对自审计日志做修改、删除；

24、产品自身不允许开放高危服务端口，如Telnet(23)；

25、系统自身不存在中级和高危级别的漏洞；

26、支持采用web强证书认证方式限制客户端登录,无合法证书的客户端无法访问系统登录界面；

27、产品支持按一定的周期强制修改密码；

28、支持锁定当前会话功能；

29、提供设备实时CPU、内存、硬盘占用率、会话数、系统时间、网络接口及各接口流量走势；

30、提供设备存储空间的展示；

31、提供设备存储空间使用评估、预警

32、提供当前在线用户信息；

33、支持系统数据库主机/用户名/密码/数据库名/端口等信息配置；

34、支持用户自动搜索；

35、支持添加、修改、删除用户；

36、支持用户分组功能；

37、支持对用户进行部门分组管理；

38、管理员管理：支持添加、修改、删除管理员；支持管理员角色权限分配功能；支持管理员分配角色功能；支持管理员分组功能；支持修改管理员激活状态、设置激活有效期设置；支持管理员并发设置；支持管理员密码找回功能；支持人员运维权限管理；

39、支持本地密码认证、动态口令认证、Radius认证、AD域认证、LDAP认证、双因素认证方式等多种认证方式登录

40、支持自定义启用或停用验证码登录功能

41、支持IP限制登录设备，可自定义禁止/允许IP登录

42、支持内置动态口令认证、Radius认证、AD域认证等认证系统，从而实现用户口令由静态密码和动态密码、静态密码和Radius认证、静态口令和AD域认证、静态口令和LDAP认证、动态口令和Radius认证、动态口令和AD域认证、动态口令和LDAP认证以及混合认证等多种认证方式混合组成，同时也可以向网络里的其他设备提供动态口令认证服务

43、支持添加、修改、删除数据库功能；

44、支持自动发现与手动添加数据库功能；

45、支持对定时发现的数据库以邮件、短信、Syslog等方式提醒；

46、支持数据库分组功能；

47、支持修改数据库审计激活状态功能；

48、支持设置数据库服务器运维功能；

49、支持开启服务器状态监控功能；

50、支持设置时间策略对象，支持绝对时间与周期时间的设定；

51、支持设置会话策略对象，支持设置登录名称、登录状态、告警级别、告警方式等功能；

52、支持设置内容策略对象，支持设置操作指令、操作数据库名、操作表名、操作字段、告警级别、告警方式、是否阻断等功能；

53、支持设置回显策略对象，支持设置操作数据库名、操作表名、操作字段、是否告警、告警级别、结果集包含、敏感信息屏蔽以及多种的告警方式功能；

54、支持支持一键启停审计策略；

55、支持审计规则的导入、导出；

56、支持将操作审计内容直接添加为策略；

57、支持危险操作指令配置；

58、支持可疑端口配置；

59、支持可疑进程配置；

60、支持完全审计与策略审计以及不审计模式：完全审计模式即对目标数据库进行全面审计；策略审计模式即对目标数据库根据自定义策略进行审计；不审计模式即对目标数据库不进行任何的审计；

61、支持对数据库登录、数据库操作的实时监控；

62、支持对telent登录数据库服务器的审计；

63、支持数据库服务器的FTP传输审计；

64、能够支持跨语句、跨多包的绑定变量审计，可以实现交叉关联分析，精确识别出绑定变量结果；

65、支持双向审计，实现数据库响应结果集解析，可以对操作内容的返回结果进行审计展现,并可对敏感信息屏蔽。

66、支持数据库服务器运维操作录屏审计；

67、支持对关注数据以HTML、EXCEL、WORD、HTML格式导出；

68、提供用户与数据库会话的详细信息，包括数据库名称、数据库IP、用户组名、用户IP、登录时间、退出时间、SQL条数、登陆是否成功；

69、提供用户与数据库操作的详细信息，包括数据库名称、数据库IP、用户组名、用户IP、操作指令、执行时间、成功与否、异常情况；

70、提供用户对数据库操作的查询结果的审计和检索，并且对查询结果敏感信息的屏蔽；

71、提供用户通过FTP传输方式对进行操作的详细信息，包括用户组、用户名、用户IP、MAC地址、服务器IP、开始时间、结束时间；

72、提供用户通过Telnet传输方式对进行操作的详细信息，包括用户组、用户名、用户IP、MAC地址、服务器IP、开始时间、结束时间；

73、支持FTP和Telnet密码屏蔽功能；

74、支持将审计结果直接作为查询条件；

75、支持对于客户端、WEB应用服务器、数据库服务器三层架构环境的审计，支持对WEB访问URL的审计，支持以时间、客户端IP、关键字等条件的查询功能；

76、支持中间件cookie、post参数、浏览器版本的审计；

77、可将中间件审计结果与数据库操作自动关联，形成客户端信息、客户端访问URL、中间件服务器信息、访问SQL语句、数据库服务器信息一条完整链路，实现前端用户与数据库操作的关联；

78、支持智能学习业务的访问行为并建立规则库

79、支持客户环境中间件分布式的审计

80、支持通过目标地址、目标帐号、运维帐号、访问时间等方式对历史记录进行单条件或者多条件的组合查询。并且针对某次特定操作会话，能够直接查看该操作的所有命令及命令返回信息、RDP键盘输入、Windows窗口标题等，便于人工分析

81、任何一次历史操作都能够通过图形回放方式重现原始操作过程，针对长时间的RDP访问操作，可记录多个操作过程关键帧并图形记录。回放基于web界面进行，无须安装任何客户软件，回放可以进行快进、倍速播放、暂停、拖动等

82、提供数据库服务器状态告警信息，包括设备名称、设备IP、告警时间、告警类别、告警内容等；

83、提供数据库会话告警信息，包括数据库组、数据库名称、数据库类型、数据库IP、用户组、用户名、用户IP、告警时间、告警级别等

84、提供数据库操作告警信息，包括数据库组、数据库名称、数据库类型、数据库IP、用户组、用户名、用户IP、告警时间、告警级别等；

85、提供数据库操作查询结果的告警和检索，并且包括对查询结果敏感信息的屏蔽；

86、提供数据库暴力登录分析告警；

87、提供数据库服务器故障点告警；

88、支持对关注数据以HTML、EXCEL、WORD、HTML格式导出；

89、告警方式：支持网页告警；支持邮件告警；支持短信告警；支持通过Syslog与第三方设备联动告警；

90、数据查询语言：支持数据查询操作；支持数据表结构查询操作；支持数据插入操作、更新操作、删除操作；支持新建数据表、数据库、视图、索引等操作；支持删除数据操作；支持删除数据表、数据库、视图、索引等操作；支持数据表结构更新操作；支持用户权限改变、事务操作；支持用户建立与删除；

91、提供数据库基本信息、故障情况、流量统计情况、IP错误统计情况、连接数统计信息、网络延时统计数量、磁盘空间使用率信息、磁盘分区信息、磁盘分区增长趋势信息、CPU使用信息、内存使用率信息、数据库进程CPU使用率信息、进程内存使用率信息

92、支持故障点的发生时间、恢复时间、数据库名称、故障原因、数据库目前的状态、故障时产生的会话、以及进行的操作；

提供失败SQL语句发生的时间、访问的数据库名称、访问数据库的用户、用户的IP、失败语句；

93、提供系统所发现的可疑端口的信息，包括数据库名称、数据库IP、操作系统、端口号、以及首次发现时间、最后发现时间；

支持设定可以进程的信息，包括数据库名称、数据库IP、操作系统、可以进程名称、首次发现时间、最后发现时间、CPU、内存占用率；

94、支持有关权限修改的操作的信息，包括时间、数据库名称、用户名、用户IP、权限修改语句；

95、支持危险操作的操作信息，包括数据库名称、操作数据的用户名、数据库IP地址、用户登录名、执行SQL语句的时间、执行结果成功与否、具体的SQL语句；

96、支持越权访问操作的详细信息，包括访问数据库的用户名、被访问的数据库、登录名、操作时间、越权SQL语句、执行状态；

支持数据Sql注入分析；

97、支持数据库遭到暴力登录的信息，包括数据库名、登录数据库的用户名、用户IP、登录次数；

98、支持一段时间内SQL语句的耗时排名，包括数据库名、数据库IP、登录数据库的用户名、用户IP、操作指令、执行时间、成功与否；

99、支持数据库弱口令的扫描；

100、支持数据库返回码的知识库和实时说明，并可自定义；

101、提供数据库一段时间内所执行的SQL语句条数的趋势图，分析数据库的压力走势；

102、提供数据库一段时间内的业务操作趋势图；分析业务压力走势；

103、提供数据库一段时间内CPU、内存趋势图，以及详细的每一秒钟中执行的SQL语句信息；

104、可配置敏感表信息，支持仅对敏感表进行特征模型建立；

105、可基于账号、IP/MAC地址、操作系统主机名、操作系统用户名、客户端工具、表、数据库操作、数据库实力等维度对行为模型做钻取分析、变更分析，对学习的安全基线以外的行为自动智能的进行告警；

106、具有 (IPS)保护数据库基础设施免受针对数据库平台及操作系统软件中已知漏洞蠕虫及其它攻击。特征代码库要求和国际安全研究组织同步，并且可以包含自定义的SQL特征。特征代码要保证可以在线升级

107、主动评估数据库的安全状况，包括是否存在数据库安全漏洞、用户权限在内的各种安全设置是否合理。系统提供安全评估策略模板，并提供定期自动更新。用户还可自定义操作系统层次、数据库层次的扫描脚本。

108、可基于已经发现的数据库已知漏洞进行虚拟补丁

109、从IP层面、SQL协议层面、特征码层面、用户行为规则层面全面保护数据库

110、对严重的违规和非法操作可以进行实时阻断

111、支持报表种类：支持塞班斯法案统计；支持等级保护统计；支持审计记录最少的用户IP地址统计；支持审计记录最多的用户IP地址统计；支持审计记录最多客户端统计；支持审计记录最少客户端统计；支持用户访问量统计；支持客户端工具数最多用户统计；支持登录账号最多用户统计；支持客户端工具审计记录数统计；支持访问最多的客户端工具统计；支持访问最少的客户端工具统计；支持数据库账号访问量统计；支持登录用户最多帐号统计；支持登录次数最多的帐号统计；支持数据库账号最后登录时间统计；支持审计记录最多帐号统计；支持审计记录最少帐号统计；支持DDL操作次数统计；支持DDL操作次数最多数据库帐号排名；支持DDL操作次数最多用户排名；支持DML操作次数统计；支持DML操作次数最多数据库帐号排名；支持DML操作次数最多用户排名；支持DCL操作详细信息统计；支持DCL操作次数统计；支持数据库告警级别统计；支持数据库帐号告警统计；支持用户告警级别统计；支持告警次数最多的用户统计；支持告警次数最多的用户IP统计；支持DDL数量时间走势统计；支持DML数量时间走势统计；支持审计记录数时间走势统计；支持数据库账号数量时间走势统计；支持告警时间走势统计；支持在线用户数量时间走势统计；支持审计记录统计；支持数据库访问量统计；支持用户最后访问时间统计；支持审计数据库帐号统计；支持客户端工具统计；支持数据库账号权限变更次数排名统计；支持用户权限变更次数排名统计；支持数据库账号登录失败次数统计；支持用户登录失败次数排名统计；支持用户IP登录失败次数排名统计；支持用户越权访问统计；支持SQL执行失败次数统计；支持用户SQL执行失败次数统计；支持数据库账号SQL执行失败次数统计；支持统计报表关联明细查询

113、提供原厂商首次安装服务，三年免费产品升级和保修服务。在当地设有服务机构以及备品备件库，提供3年原厂工程师现场服务，服务级别：5×9×NBD，2小时响应。

台

1

8

日志审计管理系统

1、日志源管理：支持主流网络设备、服务器、操作系统、数据库等，对甲方现有设备全部支持管理。

2、审计许可数量不限制，日志吞吐量≥6000EPS，日志存储量20亿条专用硬件平台，81000M电口；支持千兆电口/千兆光口/万兆光口扩展不少于32个；

3、支持连接外置存储，以扩展日志存储能力；

4、支持日志源类型的添加，系统支持网络设备、操作系统及数据库类型日志源设备；

5、支持通过操作栏对已添加的日志源进行黑白名单设置、编辑、删除操作，支持批量删除已添加日志源设备；支持通过类别查询已添加的日志源信息；

6、支持全网日志级别数量统计展示图，支持全网日志数量时间分布展示图；

7、支持用户信息新增，可通过设置权限控制角色访问页面菜单，支持新建用户设置ip限制功能；系统支持通过类别快速查询用户信息；支持通过操作栏对用户进行账号信息锁定解锁、查看、编辑、删除操作；

8、系统支持事件库的自定义设置，通过事件库对某类事件进行告警设置，告警方式可通过邮箱推送，已添加事件库的批量及单个删除；支持对已添加事件库进行查看，编辑；

9、系统支持syslog日志信息的转发，用户可通过系统设置页面进行设置日志接收的地址及端口信息，通过选择日志级别进行日志转发。

10、支持对常见的网络设备、主机设备、数据库等日志源接收设置，通过统一页面进行管理展示。

11、系统支持告警历史数据的统一展现，通过新增告警设置可自定义告警规则，方便用户实时管理。

12、支持标准的syslog协议进行日志的采集，通过指定的syslog监听端口与告警接收级别进行设置所要接收的日志类别。

13、支持日志信息的统一管理，系统通过统一集中的日志管理展现，用户可实时进行查询分析。

14、支持日志信息的实时分析，通过自定义设置可对日志信息进行实时告警。

15、支持对系统内关键数据的自动备份与恢复功能，备份方式为实时手动备份，保证客户数据的完整性与数据迁移的便捷性。

16、系统支持自定义磁盘容量值，当磁盘容量达到预先设定的阈值时触发告警，告警方式可通过邮件配置进行发送相应的管理人员，有效的防止了由于磁盘容量而带来的系统异常。

17、系统提供自定义自动报表设置，可自定义报表类型，支持天、周、月等时间进行自定义设定，管理员通过填写自定义报表发送邮箱可将设置类型报告通过邮件方式进行周期性发送。

18、支持与监管平台联动，为客户提供全维度、跨设备、细粒度的关联分析，透过事件的表象真实地还原事件背后的信息。

19、将所有的日志信息收集到平台中，实现信息资产的统一管理、监控资产的运行状况，协助用户全面审计信息系统整体安全状况。

20、支持与数据库审计系统进行无缝衔接联动，建立大运维审计管控平台。

21、提供原厂商首次安装服务，原厂商三年免费产品升级和保修服务。在当地设有服务机构以及备品备件库，提供原厂工程师终身现场服务，2小时响应。

套

1

9

终端安全系统平台

1. 软硬件一体化产品，采用标准机架式硬件和专用安全操作系统，无需额外增加服务器等设备；
2. ≥6个100/1000M自适应以太网口；可扩展至8个千兆电口，2个千兆光口；客户端CPU使用率≤5%；客户端内存容量≤10MB。
3. 设备必须支持双机热备（HA）模式，HA支持主备机心跳线IP检测及虚拟地址管理模式，并具有虚拟策略路由的地址管理模式；
4. 系统支持多个网卡同时使用，采用端口绑定实现负载均衡；
5. 设备应至少提供安全客户端（Agent）、无客户端并无插件（Agentless）等多种可供自定义的部署、管理模式；
6. 系统提供3种默认管理员，实现三权分立，不同类型管理员具有不同的功能划分
7. 支持自定义管理员并自定义权限，权限可进行高细粒度的划分，达到增、删、改、查；
8. 支持管理员密码暴力破解自动锁定，且锁定时长可控
9. 支持普通用户与管理员分离，普通用户不具有任何管理职责；
10. 支持对用户进行增、删、改、查等操作，在进行用户新增时可以填写用户名、姓名、组织机构、角色等10项信息
11. 当用户密码遗忘时，管理员可对用户密码进行重置功能，由用户自己对密码进行修改
12. 支持用户自注册，用户自注册在Portal页面完成，用户在自注册时需要填写用户名、姓名、密码等六项信息；
13. 支持对部门相关信息进行创建/删除/修改/查询等操作
14. 支持管理员对角色进行创建/删除/修改等操作
15. 支持当一个用户同时拥有用户角色和组织机构角色两种角色，可以根据角色优先级来判断
16. 支持用户首次登录强制修改密码
17. 提供多种用户身份，不同的身份具有不同的网络访问时间
18. 提供系统逃生工具，避免单点故障；
19. 支持周期性任意时刻的系统一键备份，随时进行备份，方便保存系统状态；
20. 支持自选日期的数据恢复功能；
21. 以邮件、手机短信、日志消息等多种报警方式提醒管理员安全异常状态等。
22. 支持同步AD域的组织单位，同时自动更新AD域指定组织单位的变化
23. 支持添加多个AD域服务器，并可进行智能选择
24. 支持多AD组的域同步功能，并可针对单个组中的特定用户进行同步；
25. 支持客户端和WEB两种管理控制方式；
26. 支持SSL加密通道的WEB访问方式；
27. 所有终端支持通过统一平台集中管理、集中配置；
28. 动态提供系统使用情况，如内存使用率、硬盘使用率、CPU负载状况
29. 系统支持多国语言，支持全英文等语言操作界面；
30. 系统支持换肤功能，支持2种及以上皮肤套件；
31. 支持管理端、客户端升级功能；
32. 能够实时监测并发现接入内网的PC、平板电脑、手机、IP设备等终端，能够在第一时间隔离阻断并通知管理员；
33. 对自动发现的终端能够按照类别自动归类，以方便网络终端的统计管理；
34. 支持对接入网络的终端进行记录，方便管理员了解每日接入网络的终端数目；
35. 支持当有新的终端接入的时候，进行弹窗页面提示
36. 设备支持基于策略路由技术的准入控制模式，入网设备在访问网内关键资源时，将被强制隔离、引导至认证管理界面；
37. 设备支持多种准入技术，适用于不同网络环境；
38. 支持终端入网浏览器重定向引导，帮助用户访问网页时能够自动转向到制定的页面
39. 支持终端入网身份认证、agent安装、设备注册、安全检查、检查结果展示等全流程引导管理；
40. 支持14种身份认证方式，并可混合使用；
41. 能够针对3G拨号、无线网卡、双网卡、随身WIFI等多种违规联网行为进行实时检测，防止违规外联；
42. 设备能够支持按照用户角色定义、限制员工的内网访问范围，防止其越权访问操作；
43. 能够针对违规外联终端进行即时断网，并能够实时通知管理员；
44. 能够自定义小范围等，方便灵活管理；
45. 具有NAT设备检测机制，能够自定义发现NAT设备及网络的IP地址，对通过NAT入网的计算机禁止入网，防止私接NAT设备，包括360小wifi等随身热点；
46. 能够支持终端用户名、IP、MAC地址以及交换机端口的其中任意2者或三者绑定认证，并同一用户可绑定多个终端，提供入网设备智能学习功能，以及违规终端VLAN隔离机制；
47. 能够支持对哑终端进行管控，可对哑终端进行免认证策略配置
48. 支持按IP/MAC设置白名单，并可按MAC地址位数进行匹配；
49. 支持动态分配IP以及静态IP的接入模式
50. 支持无线AP的准入模式
51. 设备支持交换机到终端计算机的网络拓扑管理功能，能够自动绘制出网络拓扑图；
52. 能够在拓扑图上选取设备查看其基本状态信息、设备型号、所处位置、子节点等信息；
53. 支持图形化和列表式展示模式，并图形化形式下支持5种布局展示；
54. 支持对网络拓扑的手动链路管理
55. 支持可网关交换机智能面板展示，包括各接口状态以及接口下联终端的详细信息；
56. 能够支持自上而下主机查找终端具体位置、安全状态、认证用户、上下线时间等信息
57. 支持认证网页定制，提供至少2种网页模板，根据模板可自由定制，可播放内部广告及通知，并可动态显示多个宣传广告；
58. 能够结合用户已有的认证或业务系统，可以与RADIUS、LDAP以及4A平台等三方平台联动认证；
59. 能够与用户现有的AD域相结合，当用户登录AD域后，无需二次认证即可入网，统一认证，单点登录；
60. 能够自动导入AD域用户、组织机构关系等；
61. 支持短信认证模式，用户在登记入网手机号码后，能够在手机上接收到入网的短信验证码，并在浏览器上利用短信验证码认证入网；
62. 系统自带访客角色，能够设定访客的访问权限和入网时长，并截至入网时长后可进行访客清理；
63. 支持入网审核认证方式，待审核的用户必须通过管理员审批才能入网；
64. 支持微信认证，可以通过关注指定微信公众账号形式进行认证入网；
65. 系统选择性采用实名认证方式，实现人机绑定
66. 支持自有品牌的经过国家密码授权的动态令牌认证；
67. 支持本地认证与第三方认证系统的混合使用
68. 支持经过国家密码授权的USBKey和口令的方式提供用户双因子身份认证
69. 使用系统账户进行认证或者进行新用户注册，无需外接认证服务器
70. 支持可信任设备免认证入网；
71. 支持当前主流智能终端设备的安全准入控制，能够自动识别主流手机、智能终端等设备，并进行分类；
72. 支持各种主流手机系统的身份认证，无需安装APP；
73. 支持用户终端补丁以及漏洞环境检测；
74. 提供一键式的漏洞以及补丁修复；
75. 支持入网前的杀毒软件和病毒库检测；
76. 支持入网前终端账号弱口令检测，可根据密码字典以及密码复杂度、长度进行控制，可进行定时检测；
77. 支持入网前终端操作系统AD域账号登录检测；
78. 支持对终端桌面管理软件的检测；
79. 支持入网前终端防火墙检测；
80. 用户没有指定策略时，提供使用默认的安全策略；
81. 允许用户将策略定义为模版，提供其他人员使用；
82. 支持对一键启用或者禁用所有策略；
83. 支持对部门、人员、职位等组织结构分别设置策略；
84. 支持策略的继承和多态，子部门可以继承父部门的策略，如果对人员、子部门单项设置策略，将执行单项策略；
85. 支持离线策略和在线策略两种策略；
86. 支持终端机器联网情况自动判断使用离线/在线策略；
87. 支持离线时长设置，离线时长内文档可用，超过离线时长文档不可用；
88. 支持终端防截屏键的控制；
89. 支持终端操作系统共享文件使用控制；
90. 支持终端操作系统远程连接控制；
91. 支持终端操作系统屏幕保护控制；
92. 支持终端操作系统静态网关控制，防止ARP欺骗攻击影响；
93. 支持终端操作系统数据执行保护控制，防止在受保护内存位置运行有害代码；
94. 支持终端流量控制，可限制终端的流量上限，并提供多种级别流量限度管控，超过阀值进行断网隔离；
95. 支持对客户端程序的可控卸载；
96. 操作系统程序和服务启用系统自带DEP功能(数据执行保护)，防止在受保护内存位置运行有害代码
97. 支持计算机名称检查；
98. 支持对操作系统版本进行检测；
99. 支持对终端IP、MAC的防篡改，防止非法用户恶意修改终端的IP、MAC地址；
100. 支持对IE插件的检测；
101. 支持配置操作系统管控的端口号，并且可以添加多个端口号；支持允许/禁止开启端口
102. 支持新增端口策略配置，可以配置端口策略的名称、传入/传出方向、接受/丢弃未黑白名单、端口应用的协议、IP地址范围等，IP地址范围可以进行跨网段设置   注：当添加多个端口室，按端口添加顺序生效
103. 提供终端主机入网前的必备软件检测，必备软件类型由管理员自己灵活定义
104. 支持对终端不允许安装软件进行检测，并可根据策略阻止入网
105. 提供终端主机入网前的杀毒软件检测，支持主流杀毒软件
106. 提供对终端安装的杀毒软件相对应的病毒库进行检测
107. 支持终端进程对注册表的访问控制，并可根据策略阻止入网
108. 支持终端进程黑名单管理，可对禁止启用进程进行禁用控制，并可根据策略阻止入网
109. 支持终端进程白名单管理，可对必须运行进程进行运行状态监控，并可根据策略阻止入网
110. 支持禁止终端服务功能，防止使用人员手动开启管理员所禁止的服务
111. 设备必须提供系统安全配置、用户行为规范等类别检查项，至少提供24种以上安全检测项；
112. 能够通过智能式的漏洞修复模式为用户提供简单、形象的漏洞自我修复功能，完全不需要管理员的介入即可完成终端安全风险项修补；
113. 支持主控方主动发起远程控制  
114. 支持远程协助管理员与主机进行文字对话
115. 支持远程协助管理员对主机的操作进行录屏
116. 支持远程管理员在连接主机时自行切换桌面背景，当远程连接较慢时，自行调节带宽
117. 支持远程协助管理员对主机进行步骤教学
118. 支持对主机进行远程协助、远程，具有良好的可视化管理监控
119. 支持远程桌管理电脑防火墙开启，并开启相应端口情况下远程桌面控制
120. 可实现远程计算机的锁屏、重启与关机
121. 支持NAT（网络地址转换）网络环境下的远程桌面控制
122. 采用P2P技术的软件分发，可有效及时完成
123. 支持为每组指定不同的时间段，或自动以分时策略执行操作，以防止网络带宽紧张；
124. 采用部署中继器，减少网络带宽的占用，同时也减少Agent与服务器的直接连接；
125. 支持软件下发和文件下发两种下发模式
126. 传输过程中网络中断，可在系统重新联网后恢复中断的连接，继续文件的传输；
127. 支持根据软件分发的起始时间，结束时间，任务名称进行快速查询
128. 支持自定义下发文件的来源，具有服务器和Url两种文件来源路径可选
129. 支持对在线/非在线桌面计算机的策略分发功能
130. 可实现对多台桌面计算机的各种应用软件的批量分发
131. 具有非应用软件的分发功能，支持通知、网络配置、计算机设置等的分发
132. 支持实时查看软件下发的状态
133. 支持对1394、串口、并口、红外、蓝牙、硬盘、光驱、USB存储设备等多种外部设备的启动与禁止；
134. 支持设置核心文件能否通过指定打印机进行打印；
135. 支持对所有USB存储设备进行注册管理，支持给USB设备增加注册人信息；
136. 可以设置指定USB存储设备在指定部门/人员机器上是否可以被使用；
137. 提供用户可以设置的USB存储设备的黑白名单；
138. 支持将普通U盘制作为安全U盘；
139. 支持自定义普通区/安全区等分区的大小；
140. 支持安全区域的数据进行加密存储；
141. 支持对网络打印机进行启动与禁止
142. 支持对外发制作进行申请；
143. 支持对客户端卸载进行申请；
144. 支持对单个文件解密进行申请；
145. 支持对申请者配置委托设置；
146. 支持图形化拖拽方式流程逻辑设计；
147. 支持串行/并行审批流程逻辑设计；
148. 支持检测闭环流程逻辑，排除逻辑设计错误；
149. 支持对客户端托盘的申请审批信息管理；
150. 客户端托盘支持审批通知；
151. 支持根据申请/审批/委托多种状态的查询；
152. 支持对现有权限进行申请和审批；
153. 支持对权限变更状态进行查询；
154. 支持记录认证用户的个人身份信息、注册时间、终端信息等
155. 提供终端违规情况的图表和日志展示，记录违规人员的违规情况，统计用户的违规行为
156. 提供通过使用Portal形式进行认证登录的审计记录
157. 提供管理员的操作行为记录
158. 提供对双机备份以及双机之间切换的信息记录
159. 支持对相应类型文件的操作记录，提供多种状态查询
160. 提供终端对USB设备的使用记录
161. 提供流程的动作以及流程的请求类型的记录
162. 提供终端安全检测状态、安检时间等记录
163. 提供终端流量阈值的告警记录
164. 提供新设备终端接入的告警记录，支持根据新设备“相关信息”（具体支持根据那些信息查询，需要根据ETSV5.3系统来写）进行查询操作
165. 提供终端审批入网的告警记录
166. 支持查询普通人员对终端的所有操作；
167. 支持按照文件名与类型对文档进行操作查看；
168. 支持查看文档的复制、另存为、重命名等操作；
169. 记录操作该文件的人员、时间等信息；
170. 支持查询所有请求和审批的结果；
171. 支持查询每个管理员对系统的改动情况；
172. 支持导出excel、txt、word等多种文件格式；
173. 提供针对终端规范策略进行检测统计分析并排行
174. 提供针对终端违规策略进行违规情况统计分析并排行
175. 提供日志和图形两种模式的审计功能；
176. 能够提供丰富的报表模版，便于管理员能够直接调用；
177. 统计报表具有生成饼状图、条状图等的功能；
178. 提供报表导出（excel/word/txt等）功能；
179. 提供整体入网报表，体现全网安全态势，包括内网终端统计以及终端安全情况统计，并可按周、月、年统计并提供入网报告；
180. 提供终端用户对文件操作的记录审计，可按操作类型如新建、编辑、删除、重命名等灵活查询；
181. 要求支持与日志审计系统进行联动；
182. 此平台支持可选桌面管理模块、终端防泄漏模块；
183. .提供原厂商首次安装服务，三年免费产品升级和保修服务。在当地设有服务机构以及备品备件库，提供3年原厂工程师现场服务，服务级别：5×9×NBD，2小时响应。

台

1

10

网页防篡改系统

1、防护服务器数量不限，并实时统计当前已防护的Web服务器数目

2、恢复最短时间≤0.1秒

3、操作系统支持Windows、Linux

4、支持Apache、IIS、Tomcat等其他J2EE服务器、Geronimo

5、支持透明部署，即插即用，无需做配置即可防护

6、显示系统CPU、内存及硬盘使用率

7、实时呈现管理平台与Web服务器之间的连通性

8、提供Web服务器故障信息详情

9、提供Web服务器篡改信息详情

10、对网站篡改信息，邮件实时报警

11、支持对网站文件实时监控

12、自动恢复被篡改的文件或目录

13、http访问方式的请求拦截，校验所有流出网页

14、支持添加Web网站的文件或文件夹为例外项，不进行

15、支持Web网站根据文件类型添加过滤项，不进行监控

16、首次添加Web服务器，支持从web服务器同步文件到管理平台

17、支持断线状态下篡改检测与恢复

18、定时校验Web服务器与管理平台受监控文件的一致性

19、篡改信息统计、故障信息统计、配置信息统计、文件操作统计

20、基于时间、IP、动作、类型、状态等条件进行查询

21、支持报表信息导出、自动磁盘日志清理

22、用户管理：支持用户名、邮箱、手机号码、密码的添加、编辑、删除

23、支持管理员分配给用户站点管理的权限

24、支持多角色权限分离，系统默认角色为系统管理员、站点管理员、日志管理员

25、支持手动备份，及基于时间计划的定时备份

26、持备份列表统计，记录备份日期，文件大小，可进行还原或删除；

27、恢复机制：支持还原Web站点的备份文件

28、重新登录：15分钟无操作自动退出管理平台

29、提供详细的系统帮助信息

30、WEB应用安全加固: 对操作系统OS、中间件、开发程序及WEB应用进行加固，并协助做白盒测试;

31、安全巡检: 每年四次现场巡检，定期掌握应用系统存在的安全隐患，及时落实修补措施;，形成报告，方便本领导及上级领导查阅，巡检时间每年2会、五一、十一、春节期间。

32、提供原厂商首次安装服务，三年免费产品升级，提供3年原厂工程师现场服务，服务级别：5×9×NBD，2小时响应。

套

1

11

IDS入侵检测

1 设备要求, 标准2U机架式硬件；提供的产品不能少于6个10/100/1000M以太网电口，不能少于4个SFP接口，提供三年硬件维保服务及特征库升级。

2设备性能: 吞吐量不少于1Gbps,最大并发连接数不少于150万,每秒新建连接不少于4万

3入侵检测功能系统应提供覆盖广泛的攻击特征库，能够针对7500种以上的攻击行为、异常事件，以及网络资源滥用流量进行检测。

4支持IPv6/IPv4双协议栈下的入侵攻击检测。

5系统应能够有效检测SQL注入、僵尸网络等多种常见的应用层安全威胁

6系统应提供先进的DoS/DDoS攻击检测能力，支持双向检测TCP/UDP/ICMP/ACK Flooding，以及UDP/ICMP Smurfing等常见的DoS/DDoS的攻击，支持基于阈值和自学习检测，系统应提供丰富的响应方式，包括：会话检测、IP隔离、邮件通知等功能，满足用户各种响应需求。

7 支持基于SCADA等工控协议的相关漏洞攻击检测。

8系统应能识别主流的应用程序，识别种类不少于2300种。

9流量分析系统应支持全面的流量分析功能，可察看网络实时流量，包括：流量协议分布、流量IP分布、自定义察看某种流量TOP10、常见流量TOP10等；同时应支持生成日、周和月的流量报表，以便了解一段时间的流量情况。系统应提供灵活的流量管理功能，可以根据用户、应用、目的IP地址、时间及带宽等因素，实现基于应用、面向对象的流量检测策略。通过流量许可和优先级控制，检测一切非授权用户流量，并结合最小带宽保证、最大带宽限制、会话限制和每IP设置等功能，有效保证关键应用全天候畅通无阻。

10高级威胁检测系统应提供服务器异常告警功能，可以自学习服务器正常工作行为，并以此为基线检测处服务器非法外联行为。系统应提供敏感数据检测功能，能够识别通过自身的敏感数据信息（身份证号、银行卡、手机号等）。

11管理功能系统应提供基于Web的远程GUI管理，可以在任何IP可达地点，以简单、直观的方式完成策略配置、警报查询、攻击响应、集中管理等各种任务。系统应提供策略模板，减少配置工作量，提高部署效率。系统应提供多种升级方式，至少提供实时在线升级、自动在线升级、离线升级的升级方式。系统应提供标准snmp trap（V1、V2、V3）和syslog接口，可接受第三方管理平台的集中事件管理。

12 系统应提供冗余数据库功能，日志信息同时写入多个数据库，以提高数据的安全性。。

13 系统各组件之间应采用加密安全通道进行通讯，防止窃听，确保整个系统的安全性。

台

1

12

VPN接入网关

1、接口及性能要求：至少配置6个千兆电口，SSL VPN 加密速度：≥800Mbp，SSL VPN 每秒新建用户数：≥400，支持并发用户数：≥4000，IPSEC VPN加密速度：≥580Mbps，IPSEC VPN隧道数：≥8000，并发连接数：≥2,000,000，单台设备提供不少于500个SLL VPN接入授权。

2、支持终端用Win7、Mac、Linux等操作系统登录，并完整支持该操作系统下的各种IP层以上的B/S和C/S应用；

3、支持Windows Mobile、iOS、Symbian、Android操作系统的智能手机等移动终端接入

4、支持终端使用IE、Firefox、Safari、Chrome、Opera浏览器登录系统，登录后可完整支持发布的各种IP层以上的B/S和C/S应用

5、产品必须支持经过集成的，基于Android IOS平台的第三方软件开发包（SDK），并实现基于Android IOS平台第三方应用软件（APP）代码量不超过20行。支持针对移动APP的VPN安全代码的自动封装，实现App应用的安全加固

6、支持虚拟门户功能，在一台设备上配置不同的访问域名、IP地址，以及不同的使用界面，实现一台设备为多个不同用户群体服务的的使用效果；

7、支持针对移动应用App的VPN安全代码的自动封装，实现iOS和Android应用的安全加固

8、应用封装支持Per App VPN，只有被封装的应用才能通过加密通道访问企业的私有敏感数据，防止移动设备上其他应用访问企业数据造成的信息泄露。

9、支持设备信息查看，要求能查看到设备注册时间、用户、设备名称、设备型号、手机号码、系统存储空间、是否越狱/ROOT、IMEI/UDID、WiFi MAC地址、OS版本、设备应用状态(应用名称、版本号、大小、类型、是否违规)、设备目前状态(失联|违规|擦除等)。

10、支持对设备截屏、拍照、录像、录音功能进行管控，避免因窃听类恶意应用植入手机造成信息泄密。

11、支持针对不同的web页面进行数据优化，支持动态压缩技术，基于数据流进行压缩，减少不必要的数据传输。

12、支持登录用户在资源页面上直接点击资源列表来启动本机的C/S应用系统客户端，减少业务操作。

13、支持在Windows系统中以User权限登录正常使用SSL VPN。

14、支持资源导入导出，针对用户单独保存配置

15、支持安全桌面功能，强制受保护的指定资源仅可在安全桌面下使用；安全桌面下默认仅可与SSLVPN通信，断开互联网链接；在安全桌面内默认禁止外网和本地局域网通讯，禁止和本机默认桌面的通信，防止使用包括USB口设备、打印机等外设的信息外泄。退出安全桌面后清除安全桌面内一切操作和遗留的痕迹，保证重要应用使用的安全性。

16、支持用户终端登录前、登陆后的安全性检测，检测范围包括：用户接入IP、接入时间、接入线路IP、进程、文件、注册表、操作系统、使用终端，可以检测出客户端是否安装指定的防火墙或杀毒软件。

17、支持主从认证账号绑定，实现系统账号与应用系统账号的唯一绑定，资源中的系统只能以指定账号登陆，加强身份认证，防止登录系统后冒名登录应用系统。

18、产品必须支持Local DB 、USB KEY、短信认证、硬件特征码、动态令牌、数字证书认证、LDAP、RADIUS、CA等认证方式；可针对用户/用户组设置认证方式的与、或组合，可进行用户名/密码、LDAP、USB KEY、硬件特征码、短信认证或动态令牌的五因素捆绑认证

19、产品支持用户的硬件特征码认证，通过自动获取而非手动输入获取登录终端硬件信息并生产证书；不同用户必须允许拥有不同数目的硬件特征码个数；硬件特征码审批支持自动审批及分级分权管理。

20、针对图像数据，服务端必须能够过滤动态内容（gif/flash/video）以减少传输流量，且根据客户需要配置。

21、支持15级以上用户组树形结构分级管理，下级组可继承上级组的角色，资源及认证方式等属性。

22、支持基于用户、用户组的流量控制和会话限制、无流量超时时间、账号过期时间、闲置失效时间设置

23、支持不依赖于第三方的动态IP寻址系统和动态IP组网支持（非DDNS）。

24、针对B/S资源支持WebCache技术，动态缓存页面元素，提高Web页面响应速度。支持流缓存技术，实现网关与网关、网关与移动客户端之间进行多磁盘、双向、基于分片数据包的字节流缓存加速，削减冗余数据，降低带宽压力的同时提高访问速度；支持共享流缓存功能，实现多分支网关在总部共享流缓存数据，提高流缓存效果

25、支持不同型号设备间进行集群（A/A），支持路由模式、单臂模式下多线路部署的集群；支持集群设备间Session同步，一台设备宕机后其上用户无需重新登录SSLVPN可继续使用；可扩展分布式集群功能，无需专门的全局负载设备即可实现异地SSLVPN设备间的接入用户负载分担、速度优选接入，异地设备间互为备份，分布式集群中用户可通过唯一的一个地址访问到所有加入到分布式集群的SSLVPN设备。

26、支持云存储，能够将手机、PAD、PC电脑中的文档、照片等上传到云端，或下载到本地终端。并实现基本的复制、剪切、粘贴、新建、重命名等操作。支持直接调用手机或PAD摄像头，实现拍照。或访问本地照片库，调用已拍的照片。

27、在负载均衡集群部署模式下，支持授权漂移，即当集群中一台设备宕机，该宕机设备中的并发授权自动迁移到其他正常的设备中，而无需额外购买授权。

28、支持对设备ROOT/越狱动作进行检测，并根据用户终端状态进行自动化处置。若监测到用户终端被ROOT/越狱，可自动对设备进行锁定，避免用户因中木马病毒导致设备被自动ROOT/越狱的情况

29、提供原厂商首次安装服务，三年免费产品升级和保修服务。在当地设有服务机构以及备品备件库，提供3年原厂工程师现场服务，服务级别：5×9×NBD，2小时响应。

台

2

13

机房新风系统

1、额定功率：65W

2、GTF高效活性炭模块（去除空气中甲醛、乙醛）

3、ATP HEPA抗菌肽滤网（可过滤PM0.1以内的极细颗粒物质，PM2.5去除率99%，抗菌杀菌率高达98%以上。同时溶灭细菌，杜绝2次污染）

4、噪音：低于60分贝

5、适用面积：52-90㎡

6、除菌率：≥99.99%

7、额定电压：220V/AC

8、传感器：激光传感器/温度传感器/TVOC异味传感器

9、颗粒物洁净空气量：750m³/h

10、甲醛洁净空气量：225m³/h

11、颗粒物累积空气量：p4

12、内部电源：隔离式开关电源

13、指示方式：灯带+数值显示

14、风机：多翼式离心风轮+日本芝浦电机

15、滤网更换：计时提醒

16、操作方式：触摸操作、微信APP、遥控控制

17、初效过滤（预过滤空气中垃圾、毛发、飞絮、悬浮粉尘等较大颗粒物质）

台

2