琶洲港澳客运码头联检设备招标项目（第一批）更正公告
琶洲港澳客运码头联检设备招标项目（第一批）（项目编号: 0692-226B05510172），现对招标文件有关内容更正如下：
一、第二部分“用户需求书”附表“招标设备清单”的参数要求：
第28项防火墙：
1、硬件规格要求：产品不少于16个10/100/1000M个以太网电口，6个SFP+口，支持2个USB口和1个RJ45串口，支持冗余电源，1U机箱。
2、产品性能要求：网络层吞吐量≥40Gbps，应用层吞吐量≥25Gbps，并发连接数≥420万，每秒新建连接数≥19万。
3、产品支持路由模式、透明模式、虚拟网线模式、旁路镜像模式等多种部署方式。
4、支持虚拟防火墙功能，支持虚拟防火墙的创建和删除，具备独立的接口、会话管理、应用控制策略、NAT等资源。
5、路由特性：产品支持静态路由、策略路由和多播路由协议。支持BGP、RIP、OSPF等动态路由协议。
6、产品支持基于网络区域、网络对象、MAC地址、服务、应用等维度进行访问控制策略设置。
7、产品支持对SMTP、HTTP、FTP、SMB、POP3、HTTPS、IMAP等协议进行病毒防御。支持对压缩病毒文件进行检测和拦截，压缩层数支持15层及以上。
▲8、产品支持勒索病毒检测与防御功能，需提供功能截图并提供公安部计算机信息系统安全产品质量监督检验中心、中国信息安全测评中心、中华人民共和国国家版权局之中任意一家检测机构出具关于“勒索病毒”的相关证书证明功能有效性。
▲9、产品支持用户账号全生命周期保护功能，包括用户账号多余入口检测、用户账号弱口令检测、用户账号暴力破解检测、失陷账号检测，防止因账号被暴力破解导致的非法提权情况发生。（需提供产品功能截图证明和并提供公安部计算机信息系统安全产品质量监督检验中心、中国信息安全测评中心、中华人民共和国国家版权局之中任意一家检测机构出具关于“账号安全”的相关证书证明功能有效性）
▲10、所投产品具备IT产品信息安全认证证书EAL4增强级，提供有效证书复印件加盖原厂公章。
▲11、所投产品具备国家信息安全漏洞库兼容性资质证书，提供有效证书复印件加盖原厂公章。
12、含产品系统升级授权、产品保修服务、远程支持服务3年。
▲提供厂家对于本项目的授权文件并加盖原厂公章。
修改为：
第28项防火墙：
1、硬件规格要求：产品不少于16个10/100/1000M个以太网电口，6个SFP+口，支持2个USB口和1个RJ45串口，支持　流冗余电源，1U机箱。
2、产品性能要求：网络层吞吐量≥40Gbps，应用层吞吐量≥25Gbps，并发连接数≥420万，每秒新建连接数≥19万。
3、工作模式：产品支持路由模式、透明模式、虚拟网线模式、旁路镜像模式等多种部署方式。支持虚拟防火墙功能，支持虚拟防火墙的创建和删除，具备独立的接口、会话管理、应用控制策略、NAT等资源。
4、路由特性：产品支持静态路由、策略路由和多播路由协议。支持BGP、RIP、OSPF等动态路由协议。
5、NAT功能：产品支持多对一、一对多和一对一等多种地址转换方式。支持NAT穿透技术ALG，支持FTP、TFTP、SQLNET、PPTP、RTSP、SIP、H.323等协议。
6、VPN功能：产品支持对压缩病毒文件进行检测和拦截，压缩层数支持15层及以上。（支持IPSec VPN智能选路功能，根据线路质量和应用实现自动链路切换支持多种SSL VPN用户认证方式，至少包括本地密码认证、LADP认证和硬件特征码认证。
7、访问控制：产品支持基于网络区域、网络对象、MAC地址、服务、应用等维度进行访问控制策略设置。
8、DDoS防护：产品支持异常数据包攻击防御，防护类型包括IP数据块分片传输防护、Teardrop攻击防护、Smurf攻击防护、Land攻击防护、WinNuke攻击防护等攻击类型。
9、防病毒：产品支持对SMTP、HTTP、FTP、SMB、POP3、HTTPS、IMAP等协议进行病毒防御。支持对压缩病毒文件进行检测和拦截，压缩层数支持15层及以上。产品支持勒索病毒检测与防御功能。
10、入侵防御：产品支持僵尸主机检测功能，产品内置僵尸网路特征库，可识别主机的异常外联行为。支产僵尸网络病毒防御功能。
11、Web安全防护：产品内置WEB应用攻击特征，支持对跨站脚本（XSS）攻击、SQL注入、文件包含攻击、信息泄露攻击、WEBSHELL、网站扫描、网页木马等攻击类型进行防护。支持服务器漏洞防扫描功能，并对扫描源IP进行日志记录和联动封锁。支持Cookie攻击防护功能，并通过日志记录Cookie被篡改。
12、蜜罐联动：产品支持主动防御功能，通过与云端蜜罐智能联动，通过仿真虚拟业务混淆黑客攻击，并对攻击进行溯源取证和阻断威胁IP，保护网络真实业务安全。
▲13、含产品系统升级授权、产品保修服务、远程支持服务3年。
▲14、所投产品具备IT产品信息安全认证证书EAL4增强级，提供有效证书复印件加盖原厂公章。
▲15、所投产品具备国家信息安全漏洞库兼容性资质证书，提供有效证书复印件加盖原厂公章。
▲16、提供厂家对于本项目的授权文件并加盖原厂公章。
第29项上网行为管理器：
1、硬件规格要求：产品不少于6个以太网电口，2个SFP+口，支持2个USB口和1个RJ45串口，960 G固态硬盘，1 U机箱。
2、产品性能要求：网络层吞吐量≥5.8 Gbps，应用层吞吐量≥750Mb，带宽性能≥500 Mbps，支持用户数≥4000，每秒新建连接数≥1万,最大并发连接数≥50万。
3、支持网络故障排查：支持PPS异常、丢包异常、ARP异常、内网DOS攻击等异常情况实时监测，显示每日异常事件个数及情况；
▲4、支持记录全部或者指定类别URL、网页标题、网页内容等信息，支持网页内容审计后的网页快照功能；（提供产品界面截图加盖原厂公章）
5、对网络接入的终端进行可视化管理，展示终端详细信息、合规状态等，支持查看终端类型，以及终端详细信息（厂商，系统，端口等）；
6、基于“流量”、“流速”、“时长”设置配额，当配额耗尽后，将用户加入到指定的流控黑名单惩罚通道中；用户指定应用上网流速超过预设阈值后，网关自动提醒该用户；
7、设备内置应用识别规则库，支持超过9000条应用规则数、支持超过6000种以上的应用；支持根据标签选择应用，并支持给每个应用自定义标签；支持根据标签选择一类应用做控制；
8、支持哑终端通过MAC认证的方式接入网络，必须支持在终端管理列表批量绑定设备IP/MAC快捷放通入网；
▲9、支持windows终端外联行为检查，包括：连接外网检查、PPPoE拨号检查、双网卡行为检查、无线网卡检查、链接非法WIFI检查（可设置合法WIFI白名单）、4G网卡检查、否使用非法网关（可设置合法网关白名单），对不满足检查要求的终端强制断网，支持向管理员告警，并弹窗提示用户；（提供产品界面截图加盖原厂公章）
▲10、支持对终端上U盘和移动硬盘接入设置可读写、拒绝、可读、告警；（提供产品界面截图加盖原厂公章）
▲11、具备中国信息安全测评中心颁发的《国家信息安全测评/ 信息技术产品安全测评证书（级别：EAL3+）》（提供有效证件复印件加盖原厂公章）
12、含产品系统升级授权、产品保修服务、远程支持服务3年。
▲提供厂家对于本项目的授权文件并加盖原厂公章。
修改为：
第29项上网行为管理器
：1、硬件规格要求：产品不少于6个以太网电口，2个SFP+口，支持2个USB口和1个RJ45串口，960 G固态硬盘，1 U机箱。
2、产品性能要求：网络层吞吐量≥5.8 Gbps，应用层吞吐量≥750 Gbps，带宽性能≥500 Mbps，支持用户数≥4000，每秒新建连接数≥1万,最大并发连接数≥50万。
3、支持网络故障排查：支持PPS异常、丢包异常、ARP异常、内网DOS攻击等异常情况实时监测，显示每日异常事件个数及情况；
4、网页访问审计：支持记录全部或者指定类别URL、网页标题、网页内容等信息，支持网页内容审计后的网页快照功能；
5、流量配额：基于“流量”、“流速”、“时长”设置配额，当配额耗尽后，将用户加入到指定的流控黑名单惩罚通道中；用户指定应用上网流速超过预设阈值后，网关自动提醒该用户；
6、应用识别规则库：设备内置应用识别规则库，支持超过9000条应用规则数、支持超过6000种以上的应用；支持根据标签选择应用，并支持给每个应用自定义标签；支持根据标签选择一类应用做控制；
7、MAC认证：支持哑终端通过MAC认证的方式接入网络，必须支持在终端管理列表批量绑定设备IP/MAC快捷放通入网；
8、用户行为日志：支持查询和导出基于指定时间段/用户/用户组的文件审计、邮件收发、访问网站、发帖/微博、搜索关键字等详细用户行为的报表；
▲9、含产品系统升级授权、产品保修服务、远程支持服务3年。
▲10、具备中国信息安全测评中心颁发的《国家信息安全测评/ 信息技术产品安全测评证书（级别：EAL3+）》（提供有效证件复印件加盖原厂公章）
▲11、提供厂家对于本项目的授权文件并加盖原厂公章。
第34项准入控制系统：
1. 软硬件一体设备，单台设备支持所有功能，无需再配置服务器或者第三方系统软件；为了避免产生单点故障，要求采用物理及逻辑纯旁路部署方式，不允许使用网关形式，包括物理串联，以及策略路由、端口镜像等方式。
2. ▲支持SNMP准入、802.1x准入、DHCP准入、PBR准入、SPAN准入、RDP准入等主流准入技术，并支持多种准入技术同时开启；在无客户端代理，实现同一个HUB和非网管交换机环境下接入的非法终端与合法终端的通信隔离与阻断；（提供截图证明）
3. ▲支持网络拓扑自动发现技术，支持层级网络拓扑图及星型网络拓扑图，层级网络拓扑图支持手动编辑交换机的层级关系，层级关系描述包含不限于接入层交换机、汇聚层交换机、核心层交换机，并以不同颜色标识交换机在/离线状态；支持通过交换机背板图以不同颜色标识端口接入状态，至少包含无MAC接入、单MAC接入、多MAC接入、级联口、有探针口、无探针口（提供截图证明）；
4. ▲支持通过矩阵图展示IP地址使用状态，包含绑定IP、保留IP、设备IP、无效IP、可用IP、自身接口IP、动态分配IP、告警/阻塞IP、静态认证IP，不同状态使用不同图标及颜色进行标识，便于管理员区分；同时能够显示IP在线时长，以不同深度的同一颜色标识IP地址的相对在线时长，颜色越深在线时间越长。将颜色深浅分为12等级，12级颜色以等分的形式排列在横向滑轨中，拖动滑轨，可直观展示标命中颜色所代表的IP集合，便于管理员直观的了解IP地址在线情况；（提供截图证明）
5. 支持终端自动分类，分为终端大类与终端小类。终端大类分为个人终端与哑终端两类；终端小类根据大类进行细分，终端大类不允许扩展，终端小类管理员可自定义添加。具备默认分类库，分类库包含不限于IP电话、KVM、MCU设备、PC、UPS主机、polycom终端、打印机、摄像头等；同时支持管理员自定义分类规则库，自定义规则支持主动扫描与被动侦听两种分类方式，分类方式包含不限于分类优先级、端口号、主机名、操作系统类型、OUI、User-Agent、Cookie、主机系统语种等；
6. 支持802.1X认证、Webportal1.0认证、Webportal2.0认证、RADIUS认证、短信认证、AD域认证、Oracle数据库认证、DB2数据库认证、CA普密证书认证、SSO认证、RDP认证、企业微信认证、企业钉钉认证等本地或第三方数据源联动认证方式；
7. ▲发现内网中非法的DHCP服务器并告警（提供截图证明）；
8. ▲支持Windows、Linux两种形式（提供截图证明）的DHCP逃生服务器分别用于不同的使用环境，逃生服务器支持周期性同步准入服务器的IP/MAC绑定信息；（提供截图证明）
9. 支持基于DHCP的指纹认证，内置290+指纹信息，支持管理员按实际情况自定义添加；
10. 支持对终端软硬件资产、进程、服务、共享文件等信息进行收集和统一管理，辅助管理员进行资产审计；同时能够对终端进行系统补丁检查，强制终端安装高危漏洞补丁后才能接入网络；
11. 支持软件黑、白、红名单检查，支持对系统的服务进行远程停用、启用；支持终端软件或病毒库版本检查，不少于三种检查格式，分别是基于纯数字、点分十进制数字、日.月.年（DD.MM.YYYY）；
12. ▲终端非法外联管理，检测到非法连接互联网可根据策略退网或退网+锁屏，特殊终端能够做到离开办公网环境禁止使用任何网络；能够对终端的网络流量进行异常监控，当终端流量超过异常伐值时，能够强制断网；（提供截图证明）
13. 支持U盘注册机制，网内终端只允许使用经过管理员审核的U盘，U盘支持绑定，只允许在绑定的终端、终端组、MAC地址、用户终端上使用；
14. ▲系统中所有默认、新建管理员账号，支持与Google Authenticator App联动，实现双因素认证登录，支持在管理员Web页面手动更新双因素密钥，防止密钥重放。双因素密钥长度严格控制为16个字符+数字的组合，页面中显示的字母密钥需要以大写形式显示（提供截图证明）；
15. 对用户或终端的入网行为进行详细的审计记录，能通过不同的维度，如IP、用户ID、MAC、交换机端口等维度查询到终端的入网记录；
16. 系统支持DDOS防护功能，可以限制 x [1，60]秒内，最多访问本机 y [2，20]次，并发访问 z [10，1000]个；
17. 采用1U标准机架式设备，产品要求配置4个千兆RJ45网口；支支持最大用户数2500；支持最大MAC数5000；支持最大客户端数2500；支持最大IP绑定条目数2500；支持并发认证数 30000次/分钟；支持双机热备; 支持管理150台交换机；支持管理15台探针；
18.最大可管理500个终端（这里为原内容）
修改为：
第34项准入控制系统：
1.机架式1U千兆硬件平台（含15台探针），非Windows系统，内置自主OS安全操作系统；单台设备支持所有功能，无需再配置服务器或第三方系统软件；
2.可管理≥24个Vlan，支持≥500用户的准入认证；
3.并发认证性能不低于10000次/分钟，DHCP性能要求不低于5000次/分钟。
4.支持802.1X接入控制（认证管理）、DHCP准入控制（IP地址管理）、SNMP准入控制（准入管理）、客户端准入控制（设备管理）等功能；通过启用SNMP全局设置，对于非法接入终端，提供阻断（关闭端口）、告警、放行（不处理）等SNMP准入控制策略。
5.支持DHCP两次分配IP的准入控制技术，不需要交换机做任何配合，并能和802.1X接入控制和SNMP准入控制、ARP准入同时部署使用在网络中；支持交换机TRUNK中继端口单臂部署，同时管理多个虚拟网络（VLAN）；
6.支持在用户终端无需安装任何客户端软件或插件的网络准入管理，支持实现HUB环境、非802.1X交换机环境、无线胖AP环境下的合法用户接入控制与非法用户强制隔离；支持网络设备（网络打印机、网络摄像头等）准入控制，支持在不安装插件的情况下自动识别非PC设备的能力；
7.提供用户认证功能，支持与第三方认证系统同步认证，包括RADIUS、LDAP、AD、SQL认证方式等。
▲8.支持接入终端安全检查功能：终端准入策略至少应支持对10种以上主流防病毒软件的客户端安装情况进行准入检查；提供终端准入检查软件功能截图。
9.支持自动IP网络资源可视化，，显示在线ip，离线ip，可用ip及保留ip等；
10.支持自动收集生成终端分类，对windows系统，Linux系统，移动终端，哑终端等终端自动分类，实现终端可视化；
11.支持自动收集各类终端相关信息可视化，通过接入网络端口呈现接入终端的MAC地址，终端名，用户ID，接入时间等信息自动收集可视化；
12.可根据终端组强制终端插件的安装；
13.可定义终端的规范的策略，包括系统补丁、防病毒运行检查、第三方软件产品检查；
14.防止终端内外网互联，检查双网卡、3G网卡、代理服务开启等不合规行为；
15.程序黑白名单设置，防止终端运行不合规的软件；
16.可根据进程、服务、端口号自定义软件名单；
17.全网IP地址由设备中心统一管理、统一下发，禁止用户私自设置、修改IP；
18.按照用户/用户组/角色分配IP地址；
19.实时监测所有在线IP，能够显示当前登陆用户名、主机名、IP地址等信息、上线下线时间等信息;
20.旁路Trunk部署，不改变网络结构，不改动接入层交换机的配置；
21.部署时不断网，不影响用户当前的网络使用。
22.提供WEB中文管理界面，支持HTTP / HTTPS / Telnet / SSH /SNMP管理。
▲23.提供原厂三年硬件保修、一年免费软件版本升级服务；三年原厂技术支持服务。
二、原招标文件中，预算金额（最高限价）：4913080元
修改为：
预算金额（最高限价）：5763100元。
三、原招标文件第一部分“投标邀请函”中
六、投标截止时间：2023年3月21日9时30分；
修改为
六、投标截止时间：2023年3月30日9时30分；
其他内容不变。招标文件及其附件如涉及上述内容的亦作相应修改。原招标文件及其附件与更正公告有矛盾的地方，以此更正公告为准。
广东省机电设备招标中心有限公司
2023年3月14日