项目概况
信息系统安全等级保护建设与测评 招标项目的潜在投标人应在北京市顺义区公共资源交易平台（http://www.bjshy.gov.cn/ggzyjy/）获取招标文件，并于2021-12-01 09:30（北京时间）前递交投标文件。
一、项目基本情况
项目编号：SYCG_21_2293
项目名称：信息系统安全等级保护建设与测评
预算金额：150.1764 万元（人民币）
最高限价：150.1764 万元（人民币）
采购需求：
第一包采购需求：
等保测评项目(第一包）
一、项目建设背景
按照原卫生部《卫生行业信息安全等级保护工作的指导意见》（卫办发[2011]85号）、《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》（卫办综函〔2011〕1126号）及《中华人民共和国网络安全法》等法律和文件的要求，2020年我中心在迁入新址前已完成基础机房新建与网络基础设施建设。
按网络安全规划分步实施的原则，2020年首先在政务网与内网边界加设了外网防火墙、入侵防御系统、上网行为管理系统、安全审计系统等产品，通过以上安全产品的上架运行，提升了疾控中心基本的安全防范水平，但是入侵检测、日志审计、数据库审计、安全运维审计、VPN安全网关、灾备自动恢复等系统没有配备到位，安全运维欠缺等，仍未实现整体安全防护功能，还未达到我中心需要达到等级保护级别，中心信息系统仍面临着各种外部和内部威胁。
为了保障信息系统的正常运行，保障中心业务的正常开展，需继续提升中心网络的安全防护能力，按照相关文件要求进行2021年整体规划分布实施，2021年申请150.1764万元财政资金用于疾控中心的等级保护系统的整体规划与建设，使中心公共卫生检测系统达到等级保护三级，综合办公系统(OA)、慢病管理系统达到等级保护二级，以符合网络安全法、信息安全等级保护管理办法等法律、法规的要求。
项目服务期：在合同生效后4个月内完成合同项下所有工作
项目主要建设内容
第一包
（一）第一部分：等保测评技术需求

项目名称	系统名称	预算金额 (人民币)	简要技术要求
等保测评项目	两个第二级（综合办公系统、慢病信息化管理系统）、一个第三级（公共卫生检测服务平台）	30万元	服务内容：本项目采购的信息安全服务包括：网络安全等级保护备案、测评及咨询，安全培训等。

（二）第二部分：服务需求
注：不满足*条款的投标将视为无效投标。
1.项目概况与招标范围
1.1项目名称：等保测评项目。
1.2种类及规模：公开招标信息安全等级保护测评机构。
1.3使用功能：对北京顺义区疾病预防控制中心信息系统进行信息安全等级保护测评工作并交付相应成果。
1.4交付：签订合同，供应商按照合同约定内容进行相关工作。
1.5服务地点：北京。
1.6服务内容：本项目采购的信息安全服务包括：网络安全等级保护测评及咨询，安全培训等。详细需求如下：
（1）网络安全等级保护咨询：
等级保护咨询：
依据最新的国家网络安全等级保护定级相关标准，投标人需通过文档资料收集、访谈和现场勘查等方式，对被测系统提供等级保护咨询工作，包括定级、专家评审、公安局备案。对表系统中的的信息系统进行定级、备案梳理工作，形成定级、备案材料，组织开展专家评审，协助此次测评的系统获得公安局备案证明。
同时针对等级测评中的整改建议提供咨询服务，帮助招标人制定切实可行的整改方案，。
（2）等级保护测评：
测评机构依据最新的国家网络安全等级保护制度规定，按照有关管理规范和技术标准，对招标人招标文件中的信息系统的信息系统安全等级保护状况进行检测评估，并给出测评报告。
等级测评：依据国家等级保护最新标准（以下简称“等保2.0”）的相关要求，对照招标人的网络安全保障体系的等级保护建设程度，对参加测评的信息系统开展等级测评工作并出具《等级保护测评报告》。
差距分析：根据网络和信息系统的安全保护等级，按照国家等级保护相应等级的技术和管理要求，分析评价参加测评的信息系统所依托的网络和信息系统当前的安全防护水平和措施与相应等级要求之间的差距。最终出具《差距分析报告》。
漏洞扫描：依据网络安全等级保护相关标准，对被测系统涉及的网络设备、安全设备、操作系统、应用软件、中间件和服务等进行安全漏洞扫发现系统中存在的脆弱环节，漏洞扫描结果将作为等级测评综合分析和测评结论的数据支撑之一，形成《漏洞扫描报告》。
渗透测试：投标人依据已经掌握的安全漏洞信息，模拟黑客的真实攻击方法对招标人此次定为三级的信息系统和网络进行非破坏性质的攻击性测试。渗透测试内容应该主要包含外部测试、内部测试，黑盒测试和白盒测试。所有的渗透测试行为需在投标人的书面明确授权和监督下进行。
安全整改和加固：依据差距分析报告及发现的问题及风险隐患，对被测系统提出整改和加固建议，编制《等级保护整改方案》，并为安全整改和加固工作提供指导。
相关制度、流程梳理和咨询：依据网络安全等级保护相关标准，梳理被测系统现有相关安全管理制度和文档，协助制订网络安全等级保护相关的制度、规定和流程等。
等级保护工作支持：为甲方在信息安全等级保护相关工作中提供技术和咨询支持。
（3）安全培训服务
信息安全培训：
为保证招标人信息安全相关人员建立信息化工作必备的安全观念，加强人员安全培训管理，了解信息安全的工作要求，提升人员信息安全防范意识。
投标人须对招标人提供等保2.0相关安全培训服务，针对招标人相关人员需要掌握的安全知识和专业技能来设计培训课程，包含安全意识、安全技术专项、安全管理、特定行业热点、安全认证等多种类型，贴合信息安全技术的最新发展趋势，满足不断涌现的知识和技能提升需求，提供辅助学习材料和考试或实验以及培训课程大纲。
按照招标人的时间和地点安排，为招标单位提供3次安全培训服务，且讲师必须具备网络安全等级保护高级资质证明。
（4）售后服务
1.针对所有系统的测评过程均严格参照等级保护相关标准执行。
2.测评机构须现场支持公安部门开展的网络安全执法检查（如需要），并确保检查通过，如遇等保相关不符合项需要支持甲方整改，并协调公安部相关部门针对不符合项及整改要求进行确认。
3.测评机构须现场支持北京市局及顺义分局开展的网络安全执法检查和甲方等级保护系统自查工作，协助甲方完成相关自查工作内容（每年自查工作涉及所有等保系统），并确保检查通过，如遇等保相关不符合项需要支持甲方整改，并协调北京市局及顺义分局针对不符合项及整改要求进行确认。
4.测评机构须现场支持相关主管单位进行的等级保护检查，并确保检查通过。
5.上述所有支持工作均不受人天限制，以实际工作为准。
1.7服务规范和要求：
相关工作需要遵循以下规范和要求
（1）《中华人民共和国网络安全法》
（2）《计算机信息系统安全保护等级划分准则》GB 17859-1999
（3）《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）
（4）《信息安全等级保护备案实施细则》(公信安[2007]1360号)
（5）《网络安全等级保护定级指南》GB/T 22240-2020
（6）《信息安全技术网络安全等级保护测评过程指南》GB/T 28449-2018
（7）《信息安全技术网络安全等级保护测试评估技术指南》GB/T 36627-2018
（8）《信息安全技术网络安全等级保护实施指南》GB/T 25058-2019
（9）《信息安全技术网络安全等级保护基本要求》GB/T 22239-2019
（10）《信息安全技术网络安全等级保护安全设计技术要求》GB/T 25070-2019
（11）《信息安全技术网络安全等级保护测评要求》GB/T 28448-2019
（12）《信息系统安全等级保护测评报告模板（2019年版）》
（13）《信息安全技术信息安全风险评估规范》GB/T 20984-2007
（14）《信息安全技术信息安全风险评估实施指南》GB/T 31509-2015
（15）《信息安全技术网络安全等级保护定级指南》（参考）GB/T 22240-2020
（16）其他相关信息安全制度规定、标准规范。
1.8服务方式：现场服务方式。
1.9实施周期：服务期限为自合同签订起120日历天内完成。
2.服务要求
安全等级测评要求
在合同期内完成要求的信息系统等级保护测评工作，制定测评工作计划、实施现场测评、提出整改建议并协助整改、出具测评报告和安全检查报告。
投标人应严格建立质量保证体系，将制定项目的质量控制方案和实施措施，并督促完成各环节质量控制内容和目标；保证项目各个阶段满足甲方对质量的要求。
投标人应根据项目的工作计划，对阶段性项目工作成果进行审核，并向甲方提交里程碑式工作成果。通过保证各个阶段性成果的质量，最终保证整个项目的质量。
2.1质量管理
建立一套科学、系统、规范和有效的项目管理体系和运作机制，如制定明确量化的项目目标、项目风险管理、项目进度管理、项目质量保证体系等，以对整个实施过程及各环节起到科学有效的控制、监督和保障作用，确保项目实施的质量和效率。具体应保证以下内容：
项目时间管理：确保项目最终的按时完成，具体包括项目的活动界定，活动排序，时间估计，进度安排及时间控制等项工作。
项目成本管理：主要包括服务团队人员工时的合理分配等控制工作。
项目质量管理：确保项目达到招标人所规定的质量要求，主要包括项目过程文档、交付物的质量控制工作。
项目人力资源管理：包括项目组服务团队的规划、建设，人员资质的监督和招标人项目团队的沟通牵头工作。
项目沟通管理：确保项目信息的合理收集和传输，包括项目双方之间的沟通规划、信息传输和服务团队出具的项目进度报告等工作。
项目风险管理：预估项目可能遇到各种不确定因素，并开展风险识别，风险量化，制订对策和风险控制等工作。
2.2项目原则
本项目方案设计与项目实施满足以下原则：
（一）符合性原则：项目在实施过程中需要符合信息系统安全等级保护相关技术标准的要求，所出具报告客观、公正。
（二）规范性原则：在项目实施过程中产生的文档具有良好的规范性，便于项目的跟踪和控制。
（三）整体性原则：测评内容应当整体、全面，包括信息安全的各个层面，避免由于遗漏造成潜在的安全隐患。
（四）最小影响原则：测评工作应尽可能小的影响系统和网络正常运行，不能对现有网络的运行和业务的正常开展产生明显影响（包括系统性能明显下、网络堵塞、服务终端等）。
（五）保密原则：对项目实施中产生的数据和结果应严格保密，未经甲方授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害甲方利益的行为。
2.3项目验收
（1）项目服务内容全部按招标人要求实施完毕并通过招标人组织的验收评审；
（2）项目交付物全部通过招标人审核并交付招标人；
（3）合同条款中工作全部执行完毕。
3.等级保护测评标准和交付物
3.1等级保护测评技术测评要求
技术测评要求工作内容主要包括安全物理环境测评、安全通信网络测评、安全区域边界测评、安全计算环境测评和安全管理中心测评，以下采用网络安全等级保护第三级信息系统测评指标进行举例。
3.1.1安全物理环境测评
安全物理环境测评将通过访谈和检查结合的方式评测被测信息系统的物理安全保障情况。主要涉及对象为机房。
在内容上，安全物理环境测评实施过程涉及10个工作单元，具体如下表：

序号	安全子类	测评指标描述
1	物理位置选择	通过访谈物理安全负责人，检查机房，测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。
2	物理访问控制	通过访谈物理安全负责人，检查机房出入口等过程，测评信息系统在物理访问控制方面的安全防范能力。
3	防盗窃和防破坏	通过访谈物理安全负责人，检查机房内的主要设备、介质和防盗报警设施等过程，测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。
4	防雷击	通过访谈物理安全负责人，检查机房设计/验收文档，测评信息系统是否采取相应的措施预防雷击。
5	防火	通过访谈物理安全负责人，检查机房防火方面的安全管理制度，检查机房防火设备等过程，测评信息系统是否采取必要的措施防止火灾的发生。
6	防水和防潮	通过访谈物理安全负责人，检查机房及其除潮设备等过程，测评信息系统是否采取必要措施来防止水灾和机房潮湿。
7	防静电	通过访谈物理安全负责人，检查机房等过程，测评信息系统是否采取必要措施防止静电的产生。
8	温湿度控制	通过访谈物理安全负责人，检查机房的温湿度自动调节系统，测评信息系统是否采取必要措施对机房内的温湿度进行控制。
9	电力供应	通过访谈物理安全负责人，检查机房供电线路、设备等过程，测评是否具备为信息系统提供一定电力供应的能力。
10	电磁防护	通过访谈物理安全负责人，检查主要设备等过程，测评信息系统是否具备一定的电磁防护能力。

3.1.2安全通信网络测评
安全通信网络测评将通过访谈、检查和测试的方式评测信息系统的网络安全保障情况。主要涉及对象机房的网络设备、网络安全设备以及网络拓扑结构等三大类对象。
在内容上，安全通信网络测评过程涉及3个工作单元，具体如下表所示：

序号	安全子类	测评指标描述
1	网络架构	测评分析网络架构与网段划分、隔离等情况的合理性和有效性。
2	通信传输	测评通信过程中的完整性、保密性等。
3	可信验证	基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等 进行可信验证，并在应用程序的关键执行环节进行动态可信验证。

3.1.3安全区域边界测评
安全区域边界测评将通过访谈、检查和测试的方式评测信息系统的安全区域边界保障情况。为信息系统整体安全性进行综合风险评价做准备。
在内容上，安全区域边界测评实施过程涉及6个测评单元，具体如下表所示：

序号	安全子类	测评指标描述
1	边界防护	测评分析信息系统网络边界安全防护的状况。
2	访问控制	测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力。
3	入侵防范	测评分析信息系统对攻击行为的识别和处理情况。
4	恶意代码和垃圾邮件防范	测评分析信息系统网络边界和核心网段对病毒等恶意代码及垃圾邮件的防护情况。
5	安全审计	测评分析信息系统审计配置和审计记录保护情况。
6	可信验证	基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等 进行可信验证，并在应用程序的关键执行环节进行动态可信验证。

3.1.4安全计算环境测评
安全计算环境测评将通过访谈、检查和测试的方式评测信息系统的主机系统安全保障情况。
在内容上，安全计算环境测评实施过程涉及11个工作单元，具体如下表所示：

序号	安全子类	测评指标描述
1	身份鉴别	检查服务器的身份标识与鉴别和用户登录的配置情况。
2	访问控制	检查服务器的访问控制设置情况，包括安全策略覆盖、控制粒度以及权限设置情况等。
3	安全审计	检查服务器的安全审计的配置情况，如覆盖范围、记录的项目和内容等；检查安全审计进程和记录的保护情况。
4	入侵防范	检查服务器在运行过程中的入侵防范措施，如关闭不需要的端口和服务、最小化安装、部署入侵防范产品等。
5	恶意代码防范	检查服务器的恶意代码防范情况，如服务器是否安装统一管理的恶意代码防范软件，是否及时升级病毒库等。
6	可信验证	基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等 进行可信验证，并在应用程序的关键执行环节进行动态可信验证。
7	数据完整性	测评操作系统、数据库管理系统的管理数据、鉴别信息和用户数据在传输和保存过程中的完整性保护情况。
8	数据保密性	测评操作系统和数据库管理系统的管理数据、鉴别信息和用户数据在传输和保存过程中的保密性保护情况。
9	数据备份恢复	测评信息系统的安全备份情况，如重要信息的备份、硬件和线路的冗余等。
10	剩余信息保护	测评鉴别信息所在的存储空间被释放或重新分配前是否得到完全清除。
11	个人信息保护	测评是否仅采集和保存业务必需的用户个人信息；是否禁止未授权访问和使用用户个人信息。

3.1.5安全管理中心测评
安全管理中心测评将通过访谈、检查和测试结合的方式评测信息系统的安全管理中心保障情况。本次测评重点检查系统的数据在采集、传输、处理和存储过程中的安全。
在内容上，安全管理中心层面测评实施过程涉及4个工作单元，具体如下表所示：

序号	安全子类	测评指标描述
1	系统管理	测评信息系统的系统管理员对系统的管理情况。
2	审计管理	测评信息系统的安全审计员对系统的审计情况。
3	安全管理	测评信息系统的安全管理员对系统的安全策略的配置情况。
4	集中管控	测评网络链路、安全设备、网络设备和服务器等设备的运行状况的集中监测、分析、报警等。

3.2交付物
本次等保测评项目服务交付物包括但不限于如下文件：

序号	项目阶段	文档产出
1	项目准备	《项目计划书》
2	《基础信息调研表》
3	《选用项目实施工具清单》
4	定级备案	《信息系统定级报告》
5	《信息系统备案表》
6	《专家评审意见》
7	《信息系统备案证明》
8	项目方案编制	《测评实施方案》
9	初测评（差距分析和渗透漏扫）	《信息系统差距分析报告》
10	《信息系统出测评报告》
11	《渗透测试报告》
12	《安全配置核查记录》
13	《工具测试扫描记录》
14	《漏洞扫描报告》
15	《安全问题分析汇总及整改建议》
16	《顺义区疾控中心基础机房运行环境的安全分析报告》
17	整改阶段	《信息系统安全整改设计方案》
18	《系统安全加固方案》
19	《安全管理制度文件》修订版
20	《安全管理制度运行记录》
21	等级测评	《现场测评结果记录》
22	《等级保护测评报告》
23	项目验收	《验收报告》

测评实施流程必须符合公安机关发布的“《信息系统安全等级保护测评要求》GB/T 28448-2019”，测评报告格式必须符合《网络安全等级保护测评报告模板（2021版）》。
4.等级保护测评系统明细表

序号	信息系统名称	业务信息安全保护等级定级
1	公共卫生检测服务平台	第三级
2	综合办公系统	第二级
3	慢病信息化管理系统	第二级

5.技术方案要求
投标人根据对于甲方项目需求的理解提供完整的信息安全整体设计方案、项目实施和管理方案、项目实施安全方案、人员投入方案、培训和知识转移方案、售后服务方案等，以上方案能充分满足项目建设的实际要求，充分考虑项目实施过程中的各种技术因素，同时充分满足本项目所承载的业务应用系统的支撑要求，安全可控，计划得当，能搞充分满足被测评系统稳定、安全、可靠运行的基本要求。
投标人应对各项服务要求做出实质响应。如果不能响应、低于或高于服务指标，须在技术偏离表中明确说明。
6.报价表
6.1网络安全等级保护测评报价：

序号	服务综述	服务名称	服务内容	工作成果	一个三级系统报（元）	一个二级系统报价（元）
1	网络安全等级保护测评及咨询服务	定级备案咨询	系统梳理；编写定级报告和基础信息调研表； 协助邀请专家，召开等级保护定级专家评审会；协助整理定级备案材料，完成正式的定级备案等工作。	《定级报告》 《备案证明》 《定级评审会相关材料》
漏洞扫描	对被测系统涉及到的所有软硬件进行全面的漏洞扫描服务，针对发现的问题协助开展安全加固整改工作。	《漏洞扫描报告》
等级保护差距分析	根据等级保护相应级别的基本要求对被测系统从物理环境、网络、主机、应用和数据以及管理等多个层面进行差距分析，明确被测系统安全现状与等级保护要求之间的差距。	《差距分析报告》
安全整改和加固	依据等级保护差距分析、漏扫结果最终编制等级保护整改方案，对被测系统提出整改和加固建议，并为安全整改和加固工作提供指导。	《等级保护整改方案》
制度、流程梳理和咨询	依据网络安全等级保护相关标准，梳理被测评系统现有安全管理制度和文档，协助制订网络安全等级保护相关的制度、规定和流程等。	安全制度、规定和流程的梳理和制定
信息安全等级保护测评	依据网络安全等级保护相关标准，在对被测系统充分了解、准确掌握被测系统相关安全情况的基础上，通过安全整改后开展网络安全等级保护测评工作并出具《等级保护测评报告》。	《信息系统安全等级保护测评报告》
等级保护工作支持	为甲方在等级保护工作提供技术和咨询支持。	技术支持和咨询支持

6.2安全培训报价

序号	服务综述	服务名称	服务内容	工作成果	总价（元）
1	信息系统 安全咨询	安全 方案制订	依据信息安全相关要求和标准，在深入了解目标信息系统前提下，对目标系统进行信息安全规划。本次为一个应用系统安全规划的报价。	《信息系统安全建设方案》
专家评审	组织网络安全等级保护等领域专家，对目标系统相关建设方案在信息安全方面提供专家评审。本次为一个应用系统安全评审的报价。	《专家评审意见》
2	信息 安全培训	信息安全培训	每年进行四次网络安全培训。培训内容应包括网络安全等级保护最新体系和要求，风险评估最新体系及要求，信息安全保障体系及根据现时网络现状，对最新的网络威胁进行研判，对最新的安全技术进行介绍等。本次为每年四次安全培训的报价。	《培训 方案》

*7.其他要求
7.1根据公信安〔2018〕765号《网络安全等级保护测评机构管理办法》要求，投标人须具有履行合同所必需的设备和专业技术能力，须满足如下条件：
（1）具备“国家网络安全等级保护工作协调小组办公室”颁发的《网络安全等级保护测评机构推荐证书》,提供复印件加盖投标单位公章；具备公安部颁发全国网络安全等级保护测评机构推荐证书（DJCP）的测评机构合格证明材料：提供公安部颁发全国网络安全等级保护测评机构推荐证书（DJCP）复印件。
（2）投标人须进入全国等级保护测评机构推荐目录，并经营状态正常，非整改或被取消状态。提供中国网络安全等级保护网（http://www.djbh.net/）推荐目录的查询详细页截图。
（3）未被相关主管部门列为整改期间暂停等级测评业务的合格证明材料：提供未被相关主管部门列为整改期间暂停等级测评业务的承诺书
7.2人员要求
项目实施团队的组成结构合理，项目人员配备必须满足至少高级“信息安全等级测评师”1名，中级“信息安全等级测评师”3名，初级“信息安全等级测评师”4名。
第二包采购需求：
网络安全设备采购(第二包）
第一部分 网络安全设备采购需求

项目名称	预算金额 (人民币)	简要技术要求
信息系统安全等级保护建设及测评（网络安全设备采购）	90.1764万元	通过采购数据库审计、日志审计、网闸、堡垒机、入侵检测、灾备一体机、VPN网关、APT攻击检测、实施设备集成和安全策略优化，使顺义区疾病预防控制中心单位两个第二级（综合办公系统、慢病信息化管理系统）、一个第三级（公共卫生检测服务平台）达到相应的等级保护要求，通过相应的等级保护测评，以符合网络安全法、网络安全等级保护管理办法等法律、法规的要求。

（二）安全产品及相关硬件配备

序号	货物名称	主要配置、参数	单位	数量	应用地点
1	数据库审计设备	标准机架式硬件设备，含单交流电源，2*USB接口，1*RJ45串口，1*GE管理口，6*GE电口，1个接口扩展槽位，2T SATA硬盘。包含数据库审计功能，包含产品安装、调试、培训，含三年原厂软件升级及硬件质保。	套	1	疾控中心政务网
2	日志审计系统	标准机架式设备，含交流冗余电源模块，2*USB接口，1*RJ45串口，2*GE管理口，4个千兆电口，3个接口扩展槽位，4TB SATA硬盘，授权接入100个日志源。包含产品安装、调试、培训，含三年原厂软件升级及硬件质保。	套	2	疾控中心政务网、办公网
3	安全隔离与信息交换系统（网闸）	标准机架式硬件设备，采用双主机架构，内外网各6个千兆电口，共2个RJ45串口和4个USB2.0口，冗余电源，500Mbps吞吐量，含全部功能模块。含安装、调试、培训；原厂3年升级服务、原厂3年维保服务。	套	1	疾控中心政务网
4	堡垒机（安全运维管理系统）	标准机架式硬件设备，含单交流电源，2*USB接口，1*RJ45串口，1*GE管理口，4*GE电口，2T SATA硬盘，1个网络接口扩展槽。授权管理100台设备。含安装、调试、培训；原厂3年升级服务、原厂3年维保服务。	套	2	疾控中心政务网、办公网
5	网络入侵检测系统	标准机架式设备，含交流冗余电源模块，2*USB接口，1*RJ45串口，1*RJ45管理口，6*GE（Bypass）接口，1个接口扩展槽位。1TSATA硬盘。含入侵防护特征库三年升级服务，包含产品安装、调试、培训，含三年原厂软件升级及硬件质保。	套	1	疾控中心办公网
6	灾备一体机	标准机架式设备；4个磁盘槽位3.5" SAS、SATA磁盘接口；配4块4TB企业级硬盘；Intel4核8线程处理器；32G高速缓存；RAID支持1、5、6、10模式；双端口千兆以太网；4个智能冷却风扇模块；1个PCIE扩展插槽；包含X86/虚拟机的整机备份、文件备份、数据库备份功能、提供备份文件验证功能、可开启一个虚拟化验证主机，提供备份数据去重与合并功能、提供WindowsSever、windows和linux备份代理程序，提供无系统X86/虚拟机/云主机裸机、WindowsSever、linux、windows还原代理、可实现单/批量文件恢复和下载、提供异构主机间的全量和快速灾难恢复功能，支持异地远程复制容灾功能、备份数据归档功能；8T备份容量授权；CDP实时备份授权，且不限制客户端个数；系统应急接管容灾功能授权；含安装、调试、培训；原厂3年升级服务、原厂3年维保服务。	套	1	疾控中心政务网
7	VPN网关	最大支持加密流量（Mbps）：200，授权支持并发用户数：300，IPSec加密最大流量（Mbps）：100，设备整机最大吞吐量：500Mbps，设备整机最大并发会话数：60w。 硬件参数：内存大小：2G，硬盘容量：64G minisata SSD，电源：单电源，接口：4千兆电口。含安装、调试、培训；原厂3年升级服务、原厂3年维保服务。	套	1	疾控中心办公网
8	未知威胁防御系统（APT攻击检测系统）	标准机架式设备，含交流电源模块，设备吞吐性能600Mbps，内存大小16G，硬盘容量2TB SATA，6千兆电口+2千兆光口SFP。设备定位为客户的APT防护一体机，定位异常网络行为，及时检测和响应。含安装、调试、培训；原厂3年升级服务、原厂3年维保服务。	套	1	疾控中心政务网

第二部分 技术参数明细
2.1 技术参数明细
2.1.1 数据库审计

要求类别	功能及技术描述
硬件指标★	系统应为标准式机架硬件设备，全内置封闭式结构，具有国产化的操作系统、硬件平台 接口要求：千兆电口≥6个，1个扩展插槽，可支持扩展4千兆光口或4千兆电口 硬盘存储空间≥2T，内存≥16G
性能指标★	SQL语句处理能力≥10000条/秒，纯数据库网络吞吐量：峰值≥200Mbit/秒。
数据库类型	支持主流国产化数据库：DM、Oscar、Kingbase、Gbase，HighGo DB以及Oracle、SQL Server、MySQL、DB2、Sybase、PostgreSQL、Informix、、Hbase、MongoDB、HIVE、Redis、Cache
部署方式	旁路部署模式下无须在被审计数据库系统上安装任何代理即可实现审计 #支持在目标数据库安装Agent解决无法通过旁路镜像获取流量的场景，如同服务器部署数据库和应用系统、云环境、虚拟化环境场景下数据库的审计，需提供web界面功能截图。
审计能力	支持在IPV6环境中部署，且支持所有数据库IPV6协议的审计。 #通用规则置于全局规则集，通过分配和指定作用于特定审计对象，非通用规则置于具体审计对象中，需提供web界面功能截图。 #数据库操作行为基线包括数据库账号、访问终端及操作类型等行为特征，需提供web界面功能截图。 #对超出数据库操作行为基线的操作可自动识别，并采取记录、告警及阻断措施，需提供web界面功能截图。 支持数据库请求和返回的双向审计，特别是返回字段和结果集、执行状态、返回行数、执行时长等内容，支持通过返回行数和内容大小控制返回结果集大小。 会话的终端信息：IP、MAC、Port、工具名称（程序名）。 会话的主机信息、IP、MAC、Port、数据库名（实例名）。 会话的其它信息：登录时间、会话时长。 操作信息：操作类型（DDL、DML、DCL等）、操作时间、执行时长、操作成功与失败、操作对象（表、函数、存储过程名称）、SQL语句。 操作影响范围信息：查询、修改、删除操作的影响行数,以及返回行数。 #审计要素：支持执行人、执行内容、执行时间、执行地点、执行方式、影响范围、执行结果等要素审计，需提供web界面功能截图。 支持以完全精确方式，审计到应用端相关信息，包括应用用户等。 #支持MySQL数据库的SSL/TSL加密链路审计，需提供web界面功能截图。 #能对基于数据库漏洞进行攻击行为监测和告警，默认支持200个以上的数据库漏洞攻击规则库，需提供web界面功能截图。
告警能力	#支持风险语句告警策略。（黑白名单效果），需提供web界面功能截图。
自定义添加风险语句和可信语句（黑白名单效果）；
根据风险操作、SQL注入、漏洞攻击检测、语句管理等模块定义告警规则。
审计结果展示查询	操作记录的信息：审计结果中包括：告警级别、事件发生时间、客户端IP、目标数据库IP、操作类型、客户端MAC地址、客户端端口号、返回状态、结果信息、客户端执行命令等详细信息内容。
#对审计结果集敏感内容可进行屏蔽，需提供web界面功能截图。
对详细信息中的SQL语句能进行客户化翻译。
支持客户单IP建立别名。
报表统计分析	支持定时自动生成报表，并发送到指定邮箱。
#风险分析：根据风险语句、sql注入、漏洞攻击、风险操作等维度以时间维度统计数据库分析信息。支持规则命中查询、支持风险查询，需提供web界面功能截图。
#会话分析：基于客户端IP、数据库用户、访问程序统计会话、支持会话检索；失败会话和并发会话统计；支持应用层关联会话查询，需提供web界面功能截图。
支持风险语句挖掘和超链接钻取。
基于总体概况、性能、会话、语句、风险多层面展现报表，支持图表结合展现，支持柱形图、饼状图、条形图，双轴折线图等多种统计图展现形式。
#语句分析：基于SQL语句的操作类型统计，支持失败sql统计、Top sql统计；支持针对新型语句、语句审计模板检索，需提供web界面功能截图。
#支持报表自定义，自定义项不少于10种，需提供web界面功能截图。
数据维护	支持自动备份数据到FTP服务器，可设置FTP服务器地址、备份开始时间、时间间隔等。
支持基于阈值的日志自动清理能力。
支持手动清理日志信息。
产品安全性	根据三权分立的原则。提供系统管理员、安全管理员和审计管理员不同的用户身份验证。系统针对产品操作人员的操作行为进行审计记录，可以由审计管理员进行查询，具有自身安全审计功能。提供审计数据管理功能，能够实现对审计数据的自动备份、删除和导入。
#产品资质	信息系统安全专用产品销售许可证，提供证书复印件； 中国国家信息安全产品认证证书（ISCCC），提供证书复印件； 网络关键设备和网络安全专用产品安全认证（增强级），提供证书复印件； 国测信息技术产品安全测评证书-EAL3+，提供证书复印件； IPv6 Ready Logo认证证书，提供证书复印件；
#厂商资质	厂商应具备足够的信息安全服务技术实力及安全服务保障能力，获得中国信息安全测评中心颁发的信息安全服务安全工程类三级资质证书，提供证书复印件。 为保障技术可靠性，产品生产厂商具备CMMI L5认证证书，提供证书复印件。 厂商应具备足够的信息安全服务技术实力及安全服务保障能力，获得中国信息安全测评中心颁发的信息安全服务安全开发类一级及以上资质证书，提供证书复印件。 厂商应为网络安全应急服务支撑单位，并具备网络安全应急服务支撑单位证书（国家级），提供证书复印件。 设备制造厂商应是微软MAPP（Microsoft Active Protection Program）计划战略合作伙伴，提供网页截图。
项目授权与原厂质保	厂商针对本项目出具的授权委托书及原厂三年质保和售后服务承诺书 ，须加盖厂家公章

2.1.2日志审计

要求类别	功能及技术描述
硬件指标★	系统应为标准式机架硬件设备，全内置封闭式结构，具有完全自主知识产权的专用安全操作系统； 系统应支持冗余电源，避免电源硬件故障时设备宕机，提高设备可用性； 系统应至少包含1个RJ45串口，2个GE口，1个CF卡，4个接口扩展槽位； 系统硬盘容量应不低于4TB，应支持扩容。
性能指标★	系统应默认支持审计100个以上日志源接入，应可扩展日志源接入数量； 系统应支持不低于每秒3000EPS的日志平均处理能力。
系统架构	系统支持软件版和虚拟化环境安装，支持本地认证、云端认证等授权方式； 系统应基于大数据平台架构，具备海量数据收集与快速检索能力； 系统应基于B/S架构，支持SSL加密模式访问，通过web方式直接对系统进行管理； 系统应支持网闸、NAT场景的日志采集。
日志采集	系统支持的数据采集范围包括但不限于网络安全设备、交换设备、路由设备、操作系统、应用系统等。 系统支持的数据采集方式包括但不限于SYSLOG、RSYSLOG、SNMP Trap、FTP、ODBC、JDBC、Net flow、WMI、二进制数据、专用Agent等方式采集日志。 系统支持采集的设备厂家包括但不限于：Venustech(启明星辰)、Topsec(天融信)、DBAPPSecurit(安恒)、SANGFOR(深信服)、NSFOCUS(绿盟科技)、Hillstone(山石网科)、东软、瑞星、金山、网康、360网神、Dptech(迪普)、艾科网信、Imperva、Juniper(瞻博网络)、F5、Symantec(赛门铁克)、Deep Security(趋势科技)、MaAfee(迈克菲)、Fortinet(飞塔)、Windows、Linux/Unix、Cisco(思科)、HUAWEI(华为)、H3C(华三)、中兴、Apache、nginx 、IIS、WebLogic、Vmware、Kvm、Xen、OpenStack、Hyper-V、华为FusionSphere、Oracle、MySQL、PostgreSQL、SQL Server、Bind等。
日志管理	系统应能实现海量日志数据的采集并保存原始日志数据，对异构日志格式进行统一化处理并保存统一化处理后的日志数据。 #系统支持界面配置即可完成未识别日志接入，无需编写xml，需提供web界面功能截图。 #系统支持NAT环境下的Agent部署模式，需提供web界面功能截图。 系统支持范式化日志多级提取。 系统支持正则、KV、格式串等多种灵活的提取方式。 系统支持自动生成正则以高效的辅助提取。 #系统应能够实现范式化日志的枚举值管理，实现对范式化日志字段的灵活翻译，需提供web界面功能截图。 系统应支持IPv4、IPv6日志数据的采集、范式化、分析、展示。 #系统应支持日志源监控能力，包括采集器维度及资产维度的监控，资产维度支持展示资产详细信息，需提供web界面功能截图。
日志转发	系统应提供日志转发功能，应支持日志转发多个目标地址，可实现原始日志、范式化日志的转发，且不丢失原始日志源IP信息。
日志备份恢复	系统应支持按类型、按日期(天)，手动、自动备份日志。 系统应支持设置日志存储备份策略，可设置备份周期、备份日志类型。 系统应支持备份日志导入查询。 系统应支持日志备份远程服务器，如传送到FTP服务器。 #系统应支持日志存储扩展，如NFS网络共享存储扩展，需提供web界面功能截图。
日志查询分析	系统应支持实时日志查询、历史日志查询。 系统应支持原始日志、范式化日志查询。 系统应支持自定义查询规则。 #系统应支持全文检索、模糊检索、正则检索等多种方式，需提供web界面功能截图。 系统应支持日志检索结果存储为日志监控视图。
事件告警	#系统应内置事件分类，并支持自定义事件分类，可定义事件分类的风险级别，需提供web界面功能截图。 系统应内置丰富的事件规则，应支持自定义事件规则。 #系统应支持多源事件关联分析能力，包括单源过滤模式、多源时序模式和多源关联模式，需提供web界面功能截图。 系统应支持基于事件分类的告警规则，支持短信、声音、邮件、界面提示等多种告警方式。 系统应支持告警抑制。 系统应支持查询实时事件，并可以很方便的下钻事件规则以及原始日志信息。
资产管理	系统应支持资产属性配置。 系统应支持资产标签，且至少6种标签以上，根据标签可快速查询资产。 系统应支持手工注册资产，支持对资产进行修改/删除、批量导入/导出/添加/修改/删除等多种方式的管理。 系统应支持从日志中进行资产发现。 #系统应支持资产以拓扑图形式展示，鼠标移动至资产图标可展示对应的资产信息，需提供web界面功能截图。
报表管理	系统应能够按照多种维度统计日志信息。 系统应支持统计分析报表与多种文件格式导出。 系统应能支持用户上传自定义报表模板。 #系统应能支持自定义报表目录、LOGO等，需提供web界面功能截图。
统计项管理	系统应支持生成折线图、趋势图、饼图、柱状图、表格等统计项。 #系统应支持统计项引用到报表，需提供web界面功能截图。
用户管理	系统应支持用户自定义账号。 系统应支持管理员、审计员、操作员多种权限设置。 系统应支持超时退出机制。 系统应支持来访IP限制，对暴力猜测IP地址进行锁定。
系统自身安全性管理	系统应支持自身日志记录并可查询、自身CPU、内存和磁盘使用率可监控并以图形化方式动态显示，且支持状态监控和主动告警。 系统应支持系统基本参数管理、基本配置管理。
#产品资质	产品具备公安部销售许可证 产品具有中国国家信息安全产品认证证书； 产品具有国家信息技术产品安全测评证书（EAL3+）； 以上均需提供相关证明材料。
#厂商资质	厂商应具备足够的信息安全服务技术实力及安全服务保障能力，获得中国信息安全测评中心颁发的信息安全服务安全工程类三级资质证书，提供证书复印件。 厂商应具备足够的信息安全服务技术实力及安全服务保障能力，获得中国信息安全测评中心颁发的信息安全服务安全开发类一级及以上资质证书，提供证书复印件。 为保障技术可靠性，产品生产厂商具备CMMI L5认证证书，提供证书复印件。 厂商应为网络安全应急服务支撑单位，并具备网络安全应急服务支撑单位证书（国家级），提供证书复印件。 设备制造厂商应是微软MAPP（Microsoft Active Protection Program）计划战略合作伙伴，提供网页截图。
项目授权与原厂质保	厂商针对本项目出具的授权委托书及原厂三年质保和售后服务承诺书 ，须加盖厂家公章

2.1.3网闸

要求类别	功能及技术描述
系统架构	1、采用2+1系统架构即内网单元+外网单元+FPGA专用隔离硬件。不能采用网线等形式直通。 2、采用基于linux内核的多核多线程专用安全操作系统，加固内核。
硬件指标★	标准机架式机箱，冗余电源，内网 6个GE接口，外网 6个GE接口， 2个RJ45串口，4个USB2.0接口。
性能指标★	并发连接数>10万 开关切换时间< 10ns 系统延时< 1ms 无用户数限制 最大吞吐量≥500Mbps
内置模块	系统内置安全浏览、文件同步、实时数据库、关系数据库、邮件模块、MODBUS、组播代理、用户自定义等应用模块,并可控制协议的的动作、参数、内容。
文件交换	支持Samba、FTP等多种文件协议，可以实现内网到外网、外网到内网、双向的文件传送。 支持病毒检测。 #支持对文件类型的黑白名单控制，根据文件格式特征进行过滤，并且不依赖于文件扩展名，需提供web界面功能截图。 支持文件内容深度检测，对包含关键字内容的文件进行过滤。 支持增量传输、传输后删除等传输策略。 支持目录内子目录同步，子目录级别不受限制。 支持文件交换容错和告警功能，交换出错能够自动重传，出现异常能够告警提示并记录日志。 可通过专用客户端或共享方式提供安全的文件同步功能。
视频应用	支持视频会议。 支持平台级联和视频点播功能。 支持RTP/RTCP、H323等协议。 #符合GB/T 28181国家标准，支持相关厂商协议规范，需提供web界面功能截图。 #支持SIP信令控制，可控制云台，需提供web界面功能截图。 支持海康、大华、华为、华三、公安一所、天地伟业、天视达、宇视、科达、数码视讯、藏愚、合众、汉邦等视频厂商。
关系型数据库	#支持Oracle、SQLServer、Mysql、Sybase、DB2、Postgresql等多种主流国外数据库的同步和国产达梦数据库、人大金仓数据库的同步，需提供web界面功能截图。 支持同构、异构数据库之间的同步，如Mysql同步至Oracle。 支持字段级数据同步，仅同步表中某几个字段。 支持BLOB、CLOB等大字段的同步。 #同步功能由网闸主动发起并完成，无需在数据库安装方软件，支持Windows、Linux、Unix 等多种数据库操作系统，且网闸无需开放端口以杜绝安全隐患，需提供web界面功能截图。 同时支持客户端方式，提供更高性能的数据库同步。 支持数据库同步实时日志记录，提供日志审计、查询。
邮件交换	支持SMTP、POP3协议。 支持病毒检测功能。 支持邮件地址、附件、主题、内容等进行过滤。 支持附件大小、附件格式控制；支持发件人、收件人过滤。
MODBUS模块	支持MODBUS协议，可按照用户需求控制具体功能代码及值域等参数，比如只允许读取，不能设置，只允许设置某一线圈的值在某个范围等。
实时数据库	支持实时数据库代理。
时间模式	#支持根据时间自动切换的安全策略。支持时间段以24小时制，支持以星期为周期，支持指定时间点一次性运行；，需提供web界面功能截图。
诊断工具	#系统提供ping ,traceroute ,TCP端口探测、抓包等工具方便管理员在配置策略或调整网络时排查问题，需提供web界面功能截图。
日志审计	系统可存储和审计包含：系统日志；管理日志；网络活动日志；入侵报警及处理日志；访问控制日志。
双机热备	支持双机热备及多机热备功能，最大化的保障业务可用性。
声控报警	支持磁盘空间超过预定值时，产生蜂鸣器报警。 支持双机热备工作时蜂鸣器报警，备机接替主机工作时，备机产生周期性鸣笛报警；主机恢复工作后，备机停止工作，同时停止鸣笛告警。
#产品资质	1产品应具有中华人民共和国公安部颁发的增强级《计算机信息系统安全专用产品销售许可证》，提供有效证书的复印件。 2产品应具有中华人民共和国国家版权局颁发的《计算机软件著作权登记证》，提供有效证书的复印件。 3产品应具有公安部安全与警用电子产品质量检测中心颁发的《软件测试报告》（符合GB/T 28181-2016公共安全射频监控联网系统信息传输、交换、控制技术要求），提供有效证书的复印件。
#厂商资质	厂商应具备足够的信息安全服务技术实力及安全服务保障能力，获得中国信息安全测评中心颁发的信息安全服务安全工程类三级资质证书，提供证书复印件。 厂商应具备足够的信息安全服务技术实力及安全服务保障能力，获得中国信息安全测评中心颁发的信息安全服务安全开发类一级及以上资质证书，提供证书复印件。 为保障技术可靠性，产品生产厂商具备CMMI L5认证证书，提供证书复印件。 厂商应为网络安全应急服务支撑单位，并具备网络安全应急服务支撑单位证书（国家级），提供证书复印件。 设备制造厂商应是微软MAPP（Microsoft Active Protection Program）计划战略合作伙伴，提供网页截图。
项目授权与原厂质保	厂商针对本项目出具的授权委托书及原厂三年质保和售后服务承诺书 ，须加盖厂家公章

2.1.4堡垒机

要求类别	功能与技术描述
硬件指标★	机架式设备，单交流电源 ≥1个RJ45串口，≥1个GE管理口，≥4个GE电口，≥1个网络接口扩展槽，2T SATA硬盘
性能指标★	字符并发会话数≥300个，图形并发会话数≥770个。 默认支持管理设备≥200台，最大可管理设备数≥500台。
系统配置架构要求	采用物理旁路模式部署，不影响网络结构。 支持运维审计日志集中管理运维审计系统分布式部署方式。 #支持双机冗余热备方式部署，故障切换时间在秒级完成，不超过1秒钟，需提供web界面功能截图。 #数据配置支持手动和实时同步，数据配置同步时间分钟级完成，不超过2分钟，需提供web界面功能截图。 支持IP和端口DNAT网络环境部署，通过映射后的IP和端口信息能够访问堡垒机。 支持域名方式web访问到堡垒机，并支持托管设备运维操作。 为了保证运维人员的运维习惯，必须支持B/S浏览器登录运维以及C/S客户端统一接入两种方式的运维方式。无需安装客户端。 系统可自带应用平台发布服务器，内置多种数据库客户端工具。 #支持与原厂商同品牌防火墙组成联动方案，可单点登录堡垒机后直接运维托管设备，解决用户内外网运维问题，需提供web界面功能截图。
用户权限管控要求	系统默认自带三权分立用户，系统管理员、运维管理员和审计管理员权限相互制约。 #用户登录堡垒机支持多种认证方式，包括本地静态密码认证、LDAP认证、RADIUS认证、证书认证、USBKEY认证、短信认证等身份认证方式；支持可知因素和不可知因素的双因素认证；需提供web界面功能截图。
运维审计功能要求	自动登录目标设备：运维人员不必知道目标设备帐号及密码，无需进行二次登录认证，实现单点登录。 手工登录目标设备：运维人员每次通过堡垒机登录目标设备都需要手工输入目标设备用户名密码。 半自动登录目标设备：即第一次登录目标设备时运维人员需手工输入目标设备帐号和密码并允许堡垒机保存该帐号密码，运维人员就可以自动登录目标设备 密钥登录方式：在登录目标服务器时，使用的是秘钥登录，而非密码。在既可以使用密码，又可以使用秘钥的环境，可以自由选择登录认证方式。 支持WEB调用本地客户端程序如putty,securecrt,xshell,winscp,xftp,mstsc等客户端单点登录堡垒机运维目标设备。 支持本地图形客户端程序，如mstsc、remmina等客户端直接访问堡垒机选取托管设备进行运维。 支持本地字符客户端程序，如putty,xshell,securecrt,winscp,xftp等客户端直接访问堡垒机选取托管设备进行运维。 #支持本地文件客户端程序，如winscp,xftp等客户端直接访问堡垒机选取托管设备进行运维，需提供web界面功能截图。 支持批量导入/导出目标设备信息；可批量修改设备类型、IP、部门、登录方式、会话空闲时间等属性信息。
支持的协议	字符型远程操作协议：SSH(V1、V2)、TELNET，Rlogin。 图形化远程操作协议：RDP、VNC、X11，并支持RDP和VNC运维下文件共享；可支持RDP、VNC的客户端直接访问堡垒机。 文件传输协议：FTP、SFTP、SCP、Samba；可支持客户端Wincp直接访问堡垒机。 支持达梦等国产数据库运维。 支持Oracle、MS SQL Server、IBM DB2、Sybase、IBM Informix Dynamic Server、MySql、PostgreSQL等数据库。 支持HTTP、HTTPS操作审计，HTTP/HTTPS协议可以直接代理。
应用发布	支持通过应用发布的方式进行协议扩展，无需定制即可支持其他通用及专有的运维客户端程序（无SSO）。 支持内置应用发布服务器，可定制支持其他通用及专有的运维客户端程序（可SSO）。
操作行为记录	#RDP协议运维可审计用户运维过程中键盘操作信息，审计内容包括时间和键盘输入信息，并可通过键盘行为关键字搜索定位录像回放，需提供web界面功能截图。 RDP协议运维可审计用户上传下载文件行为，审计内容包括时间、操作文件和共享目录信息。 文件操作审计内容：包括访问起始和终止时间、用户名、用户IP地址、目标设备IP、设备名称、协议类型、事件等级、操作内容（如对文件的上传、下载、删除、修改等操作等）。
web服务器运维管控	可控制用户访问web服务器的url地址，防范运维人员违规访问web服务器 可控制用户上传/下载文件到web服务器。
#产品资质	公安部销售许可证，提供证书复印件； 中国国家信息安全产品认证证书，提供证书复印件； 国家信息安全测评信息技术产品安全测评证书（EAL3+），提供证书复印件； 以上均需提供相关证明材料。
#厂商资质	厂商应具备足够的信息安全服务技术实力及安全服务保障能力，获得中国信息安全测评中心颁发的信息安全服务安全工程类三级资质证书，提供证书复印件。 厂商应具备足够的信息安全服务技术实力及安全服务保障能力，获得中国信息安全测评中心颁发的信息安全服务安全开发类一级及以上资质证书，提供证书复印件。 为保障技术可靠性，产品生产厂商具备CMMI L5认证证书，提供证书复印件。 厂商应为网络安全应急服务支撑单位，并具备网络安全应急服务支撑单位证书（国家级），提供证书复印件。 设备制造厂商应是微软MAPP（Microsoft Active Protection Program）计划战略合作伙伴，提供网页截图。
项目授权与原厂质保	厂商针对本项目出具的授权委托书及原厂三年质保和售后服务承诺书 ，须加盖厂家公章

2.1.5 入侵检测防御

要求类别	功能及技术描述
硬件指标★	系统应为机架式独立IPS硬件设备，全内置封闭式结构，具有完全自主知识产权的专用安全操作系统，稳定可靠。
系统需提供不少于1个GE管理口，1个RJ45串口，6个GE电口，1个SLOT插槽（可选配：4电口、8电口、4千兆光口、8千兆光口）。冗余电源。
性能指标	产品性能不小于：网络吞吐量10G，应用层吞吐量1Gbps，最大并发TCP会话150万，每秒新增TCP会话4万。
部署能力	系统应支持独立式多路IPS工作模式，各路IPS相互独立，可单独配置策略。 系统应支持VLAN 802.1Q、BGP、MPLS、QinQ、PPPOE等封装协议的透传，能够适应多种不同的网络环境。
入侵检测	#系统应提供覆盖广泛的攻击特征库，可针对网络病毒、蠕虫、间谍软件、木马后门、扫描探测、暴力破解等恶意流量进行检测和阻断，攻击特征库数量至少为9000种以上。需提供web界面功能截图。 系统应支持多种抗逃避检测技术。 #支持基于SCADA等工控协议的相关漏洞攻击检测与防护。需提供web界面功能截图。 系统应能够有效抵御SQL注入、XSS注入、webshell等多种常见的应用层安全威胁，并可配置SQL注入白名单。 规则须支持按CVE、CNNVD、CWE、Bugtraq关联、查询和筛选。 系统应提供入侵行为特征的自定义接口，可根据用户需求定制相应的检测和阻断规则；支持以下自定义：名称、级别、协议类型、协议类型、包长度、正则表达式定义关键字；支持IP\TCP\UDP\ICMP\HTTP\POP3\SMTP\MSN\QQTCP\\QQUDP\FTP等协议的规则自定义。
防病毒能力	支持流式防病毒，且病毒库在10万以上 防病毒；具有防病毒能力，支持HTTP、FTP、SMTP、POP3、IMAP、NFS、SMB2、工控（IEC-61850、IEC 60870）等协议。 支持病毒文件样本留存，并可导出用于跟踪分析。 支持防病毒库实时更新，实现快速能力部署、应对热点突发病毒，
数据泄露防护	系统应提供服务器异常告警功能，可以自学习服务器正常工作行为，并以此为基线检测处服务器非法外联行为。 #系统应提供敏感数据保护功能，能够识别、阻断通过自身的敏感数据信息（身份证号、银行卡、手机号等）需提供web界面功能截图。 #系统应提供关键文件保护功能，能够识别、阻断通过自身的关键文件，以防止非法外传行为。能识别的关键文件类型应包含至少以下几类：文档类如Excel、PDF、PowerPoint、Word等，压缩文件类如CAB、GZIP、RAR、ZIP、JAR等，图像类如BMP、GIF、JPEG等，音频视频类如MP3、AVI、MKV、MP4、MPEG、WMV等，脚本类如BAT、CMD、WSF等，程序类如APK、DLL、EXE、JAVA_CLASS等。需提供web界面功能截图。 系统应提供URL分类库，提供中英文网页过滤数据库，实现高风险、不良网站过滤。
DOS防御	系统应提供DoS/DDoS攻击防护能力，支持TCP/UDP/ICMP/ACK Flooding，以及UDP/ICMP Smurfing等常见的DoS/DDoS的攻击。 支持基于阈值和自学习检测。
服务器异常防护	#系统应提供服务器异常告警功能，可以手动添加或自学习服务器外联行为，并以此为基线检测服务器非法外联行为。需提供web界面功能截图。
未知威胁防护	#支持提供恶意软件分析服务、对未知可疑文件统计。需提供web界面功能截图。 #支持与本地沙箱的联动配置。需提供web界面功能截图。
响应能力	系统应提供丰富的响应方式，包括：会话阻断、IP隔离等功能，满足用户各种响应需求。 #系统应具备攻击快照功能，详细记录触发告警的数据特征，以便做进一步的事件分析。需提供web界面功能截图。
#产品资质	公安部销售许可证； 国家信息安全测评信息技术产品安全测评证书-EAL3+； 网络关键设备和网络安全专用产品安全认证证书； 国家信息安全漏洞库CNNVD兼容性证书； 以上均需提供相关证明材料。
#厂商资质	厂商应具备足够的信息安全服务技术实力及安全服务保障能力，获得中国信息安全测评中心颁发的信息安全服务安全工程类三级资质证书，提供证书复印件。 厂商应具备足够的信息安全服务技术实力及安全服务保障能力，获得中国信息安全测评中心颁发的信息安全服务安全开发类一级及以上资质证书，提供证书复印件。 为保障技术可靠性，产品生产厂商具备CMMI L5认证证书，提供证书复印件。 厂商应为网络安全应急服务支撑单位，并具备网络安全应急服务支撑单位证书（国家级），提供证书复印件。 设备制造厂商应是微软MAPP（Microsoft Active Protection Program）计划战略合作伙伴，提供网页截图。
项目授权与原厂质保	厂商针对本项目出具的授权委托书及原厂三年质保和售后服务承诺书 ，须加盖厂家公章

2.1.6 灾备一体机

序号	指标项	需求描述
1	配置要求★	机架式设备；4个磁盘槽位3.5" SAS、SATA磁盘接口；配4块4TB企业级硬盘；Intel4核8线程处理器；32G高速缓存；RAID支持1、5、6、10模式；双端口千兆以太网；4个智能冷却风扇模块；1个PCIE扩展插槽；裸容量空间≥16T
2	灾备系统兼容性	支持对X86架构下的物理机、虚拟机、超融合、私有云和公有云提供统一的将主机的操作系统、应用系统、数据库和数据作为一个整体的、基于磁盘数据块复制技术的一致性灾备保护，安装、卸载、备份过程不需要重启动的业务系统，对虚拟机和云主机提供CDP实时数据保护且备份时间粒度最小可达微秒级；
#不需区分业务系统的类型、部署方法、业务系统间的数据交互机制、数据结构/逻辑关系和数据库的品牌/版本等，Windows Sever 2003及以上和Linux2.6.18及以上操作系统上分别采用统一的agent的对任意应用系统和数据提供整机灾备保护，实现对现有及未来新上业务系统的保护兼容性；（需提供截图证明并加盖原厂商公章）
#支持SQL Server、Oracle、Sybase、Exchange Server、MongoDB、Lotus Notes/Domino、DB2、MySQL、 AD等 国产数据库包括达梦数据库、神通数据、南大通用、人大金仓和Gbase等数据库的数据备份与恢复;（需提供截图证明并加盖原厂商公章）
#对Oracle Rac数据库系统、配置、日志及数据实现整体、一致的定时和CDP持续数据保护；（需提供截图证明并加盖原厂商公章）
能够对WindowsXP/7/8/10操作系统主机提供整机一致的灾备保护，按照策略实现历史时间点的整机回滚恢复；
3	灾备系统功能	支持多台灾备系统本地、异地之间的数据同步，可按照任务进行配置复制频率，可对同步频率、存储保留时间策略、备份点数量策略、传输是否加密和带宽占用策略进行设置；
提供文件恢复和卷恢复功能，可直接恢复指定的文件和卷；
数据传输采用加密技术，灵活的完整备份和增量备份策略，支持数据重删和断点续传；
4	应急接管功能#	无需额外服务器、无需部署虚拟化系统、无需停止对原机的数据备份，即可配置多个应急接管业务虚拟机同时接管多个业务系统，全Web操作完成虚拟机创建、接管备份点的选取、IP和路由配置、虚拟机开机等接管业务的全流程，可为应急接管主机提供CDP保护，新增的数据可形成增量备份点或CDP保护点；（需提供截图证明并加盖原厂商公章）
5	热备功能#	支持在任意品牌/技术/芯片组的X86物理机、虚拟机和云主机之间配置整机热备HA架构，备机和原机实时数据同步，原机故障时可秒级业务切换到备机保障业务服务的连续性，且具备数据历史点回切能力；（需提供截图证明并加盖原厂商公章）
6	灾备系统备份点可靠性验证#	管理员可将选定的备份点加载为CIFS文件共享或网络共享在WEB浏览器中访问，也可在灾备系统中自建隔离私有虚拟化验证系统，无需停止备份任务可将选定验证的备份点整机启动，模拟真实生产环境登录系统验证备份的可靠性和一致性；（需提供截图证明并加盖原厂商公章）
7	灾备演练和灾难重建#	提供异构目标机间、无预置灾备演练或灾难重建环境（目标机无操作系统、目标机和原机操作系统不一致、目标机无应用系统、目标机无数据库等）可即时开展的整机灾难演练或灾难重建，在灾备系统的Web控制台上为目标机做差异硬件驱动配置、系统IP/路由配置和脚本配置等各种必要的配置，无需逐步手工安装、配置操作系统、应用系统、数据库，实现任意品牌/技术的X86服务器、虚拟机和云主机之间的异构、整机、自动化灾难重建，千兆网络环境中无论数据量大小可30分钟内将灾备点应用系统重建至异构主机上并实现系统服务恢复；（需提供截图证明并加盖原厂商公章）
8	安全运维管理	具备系统管理员和业务管理员双管理员角色，用户可设定字母+数字组合复杂登录密码，支持配置登陆超时锁定策略、登录失败锁定，支持密码时限配置，最大限度确保系统安全；
中文界面，基于https的WEB管理模式实现业务管理员管理、存储管理、备份任务管理、远程复制管理及权限管理等，支持以邮件告警的方式对备份存储系统的软件故障、存储空间、备份任务、操作状态等提供通知；
9	平台安全性	存储备份系统的专用嵌入式操作系统维护后台采用动态口令机制，动态口令由设备管理员和原厂口令组成，原厂口令随着设备管理员的改密码操作而变化，确保灾备系统后台不被非法登入；
10	异地容灾#	异地灾备云中心提供云端备份数据和应用的仿真验证演练、云上应用级容灾，出口带宽不低于500M及相关服务承诺函；（提供相关服务承诺函并加盖异地灾备云中心公章）； 异地灾备云中心的运营单位需提供具有中华人民共和国增值电信业务经营许可证、数据中心基础网络环境安全等级保护备案三级、数据中心场地基础设施A评价证书、ICP许可证及ISO22301业务联系性管理体系认证（提供异地灾备云中心相关资质证明并加盖异地灾备云中心公章）；
11	资质要求#	产品为自主研发产品，非OEM，提供《计算机软件著作权登记证书》复印件并加盖原厂公章； 提供产品计算机信息系统安全专用产品销售许可证，证书复印件并加盖原厂公章。 提供产品厂商ISO9001及14001体系认证，证书复印件并加盖原厂公章。
12	项目授权与原厂质保	厂商针对本项目出具的授权委托书及原厂三年质保和售后服务承诺书 ，须加盖厂家公章

2.1.7VPN网关

技术指标	指标要求
性能要求★	标准机架式设备，标配千兆电口≥4个，SSL VPN加密流量≥200Mbps， 理论最大SSL VPN并发用户数≥800个 ，实配不少于300个SSL并发接入授权，标配单电源。
基本特性	专业VPN设备，采用标准SSL、TLS 协议，同时支持IPSec VPN、SSLVPN两种VPN，非插卡或防火墙带VPN模块设备；
支持PC终端使用包括Windows10、Windows8、Windows7、Windows Vista、Windows xp、Mac OS、Linux 等主流操作系统来登录SSLVPN系统，并完整支持该操作系统下的各种IP层以上的B/S和C/S应用；支持Windows、IOS、Android、塞班、黑莓等操作系统的智能手机、PDA、平板电脑（PAD）等移动终端的SSL VPN接入，或通过PPTP、L2TP VPN方式接入；
#支持终端使用包括IE6、7、8、10、11或其他IE内核的浏览器，以及最新版本的非IE内核浏览器，如Windows EDGE，Google Chrome， Firefox，Safari，Opera最新版登录SSLVPN系统，登录后可完整支持各种IP层以上的B/S和C/S应用；（需提供相关功能截图证明并加盖公章）
产品应支持国际通用标准的密码算法，包括：AES、DES、3DES、DH、RSA、RC4、MD5、SHA1等；
易用性	可支持虚拟门户功能，在一台设备上配置不同的访问域名、IP地址，以及不同的使用界面，实现一台设备为多个不同用户群体服务的的使用效果；
支持断线重连自动技术，防止用户误操作关闭浏览器导致VPN隧道断开；防止用户在无线网络环境下网络正常切换时VPN隧道断开；
支持智能递推技术，针对多外链的门户网站进行动态嗅探页面内的链接并完成资源自动授权，防止资源漏访；支持Web参数修正，可针对Flash、Java、Applet、或视频播放器对象所引用资源路径进行修正，避免无法播放的问题；
#产品应提供环境检测、自动修复工具，支持对Windows的环境兼容性一键检测能力，以及对检测结果进行一键修复的能力，避免由于用户操作系统环境存在问题影响SSL VPN的使用，减轻运维工作。（需提供相关功能截图证明并加盖公章）
终端安全	产品必须支持防中间人攻击，产品可在用户登录SSLVPN时智能判断存在中间人攻击行为，断开被攻击的连接，并可提示异常现象；
支持客户端注销后自动清除所有缓存、Cookies、浏览器历史记录、保存的表单信息，实现零痕迹访问；
支持VPN专线功能，可配置用户在接入SSL VPN的同时，断开与Internet其他连接；
权限、服务器安全	产品应具有用户/用户组细粒度的权限分配功能：可以针对被访问资源的IP地址、端口、提供的服务、URL地址等进行权限控制；针对同一B/S资源，可对不同用户做到细致到URL级别的授权；
产品应具有角色授权机制，支持在用户组的基础上，根据角色的不同，组合关联不同的资源权限；
支持主从认证账号绑定，必须实现SSL VPN账号与应用系统账号的唯一绑定，VPN资源中的系统只能以指定账号登陆，加强身份认证，防止登录SSL VPN后冒名登录应用系统；
身份认证	产品必须支持Local DB 、USB KEY、短信认证、硬件特征码、动态令牌、数字证书认证、LDAP、RADIUS、等认证方式；可针对用户/用户组设置认证方式的与、或组合，可进行用户名/密码、LDAP、USB KEY、硬件特征码、短信认证或动态令牌的五因素捆绑认证；
设备内部必须支持自建CA中心，便于数字证书认证平台搭建；
单台VPN设备可扩展同时支持5套以上CA根证书；
高速性	必须支持至少4条以上的外网多线路配置；并在设备单臂部署模式下，多线路接入前置网关，仅依靠SSLVPN设备同样可实现SSLVPN接入用户的多线路自动优选功能；
#支持HTP快速传输协议，大幅优化无线环境（CDMA、GPRS、WIFI、3G）、高丢包、高延等恶劣网络环境下传输速度及效率；支持根据网络境自动选择并切换至最优的传输协议。（需提供相关功能截图证明并加盖公章）
支持针对不同的web页面进行数据优化，支持动态压缩技术，基于数据流进行压缩，减少不必要的数据传输；
针对B/S资源支持WebCache技术，动态缓存页面元素，提高Web页面响应速度。支持流缓存技术，实现网关与网关、网关与移动客户端之间进行多磁盘、双向、基于分片数据包的字节流缓存加速，削减冗余数据，降低带宽压力的同时提高访问速度；支持共享流缓存功能，实现多分支网关在总部共享流缓存数据，提高流缓存效果；
资质要求	提供中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》；
提供国家版权局颁发的《计算机软件著作权登记证》；
#为保障技术可靠性，要求产品生产厂商具备CMMI L5认证证书，提供证书复印件并加盖公章。
#为保障安全服务能力，要求产品生产厂商为网络安全应急服务支撑单位（国家级），提供证书复印件并加盖公章。
#为保障安全开发能力，要求所投产品的生产厂商具备中国网络安全审查技术与认证中心（CCRC）颁发的《软件安全开发服务》资质证书，提供证书复印件并加盖公章。
项目授权与原厂质保	厂商针对本项目出具的授权委托书及原厂三年质保和售后服务承诺书 ，须加盖厂家公章

2.1.8未知威胁防御系统

指标项	指标要求说明
性能要求	★标准机架式设备，配置10/100/1000Base-T接口≥6个，SFP接口≥2个，内存≥16G，吞吐量≥600Mbp，硬盘容量≥2TB SATA，支持旁路部署，支持同时接入多个镜像口，每个口相互独立不影响。要求实配不少于 3 年特征库升级服务，3 年原厂服务。
告警中心	#具备失陷(业务和服务器)主机详细分析，包含攻击阶段分布、风险等级趋势、安全事件举证、开放端口等信息。攻击阶段包含存在漏洞、遭受攻击、C&C通信、黑产牟利、内网扫描、内网扩散、盗取数据支持对每个安全事件详细举证分析，包含风险危害、处置建议、专杀工具等（提供功能界面截图并加盖公章）； 支持待处置安全事件描述、事件标签、攻击阶段、事件分类、失陷确定性、威胁等级、风险主机统计、发生时间、处理状态以及自定义待处置事件；支持攻击阶段分布和事件类型分布，热点事件统计 #不区分主机类型，仅以安全事件的视角，展示发生的所有安全事件。将发生的所有安全事件默认按照处置状态，威胁等级，确定性等级，时间这四个字段排序，并结合事件类型、攻击结果、攻击阶段、处置状态、事件统计和事件趋势等进行统计和过滤显示、可设置关注的安全事件，可实时监控发生的安全事件，能复制攻击IP、XFF代理，并能够基于HTTP状态码进行事件筛选（提供功能界面截图并加盖公章）
分析中心	#针对挖矿做专项性分析，比如挖矿的币种分布，威胁趋势分析。 #支持对勒索病毒的安全告警做专项性分析，比如中了勒索病毒的风险主机分布、威胁趋势分析，将发生的所有安全事件默认按照处置状态，威胁等级，确定性等级，攻击结果、事件类型等维度进行筛选展示，并结合攻击阶段、事件统计和事件趋势等进行统计和显示、可实时监控发生的安全事件（提供功能界面截图并加盖公章） 支持对威胁情报的安全告警做专项性分析，比如通过情报匹配的风险主机分布、威胁趋势分析，将发生的所有安全事件默认按照处置状态，威胁等级，确定性等级，攻击结果、事件类型等维度进行筛选展示，并结合攻击阶段、事件统计和事件趋势等进行统计和显示、可实时监控发生的安全事件。 #支持沙盒文件检测，能够对exe可执行文件、dll应用程序扩展、BAT批处理文件、PDF、office、VB脚本、PHP网页脚本、PY脚本等进行检测（提供功能界面截图并加盖公章） #支持邮件威胁分析，可展示收件人TOP5、发件人账号TOP5、恶意邮件类型分布、危害和处置建议；支持对恶意邮件详情分析，包含收件人账号、恶意邮件数量、发件人账号、附件名称、病毒名称、恶意链接名称等，并支持导出分析结果； #支持对隐蔽隧道的告警做专项性分析，比如攻击者利用哪些协议进行隐蔽通信以及威胁趋势分析，将发生的所有安全事件默认按照处置状态，威胁等级，确定性等级，攻击结果、事件类型等维度进行筛选展示，并结合攻击阶段、事件统计和事件趋势等进行统计和显示、可实时监控发生的安全事件（提供功能界面截图并加盖公章）
联动响应	#支持接入防火墙，支持与同品牌防火墙进行联动响应，支持系统下发安全策略到防火墙上，阻断攻击流量（提供功能界面截图并加盖公章）
产品与厂商资质要求	公安部《计算机信息系统安全专用产品销售许可证》； 国家版权局《计算机软件著作权登记证书》 #为保障技术可靠性，要求产品生产厂商具备CMMI L5认证证书； #为保障安全服务能力，要求产品生产厂商为网络安全应急服务支撑单位（国家级），提供证书复印件； #为保障安全开发能力，要求所投产品的生产厂商具备中国网络安全审查技术与认证中心（CCRC）颁发的《软件安全开发服务》资质证书，提供证书复印件并加盖公章。
项目授权与原厂质保	厂商针对本项目出具的授权委托书及原厂三年质保和售后服务承诺书 ，须加盖厂家公章

参数说明：
1、指标按重要性分为“★” 、“#”和一般无标示指标。★代表实质性指标，不满足该指标项将导致投标被拒绝。
2、参数中还包括“无标示的普通参数、#标示的关键参数”，均不作为废标项，均是扣分项，扣减分值依次是2分、3分；
注：1、投标人须如实提供技术指标要求的证明材料，证明材料可以使用官方网站截图或产品白皮书或第三方机构检验报告或其他相关证明材料。未提供有效证明材料或证明材料中内容与所填报指标不一致的，该指标按不满足处理。2、产品供货后，采购人将对中标产品进行性能测试和功能验证，与投标承诺不符将做为无效投标处理，由此引发的所有损失由该投标人承担。
第三包采购需求：
无线控制与终端准入及网络架构整改优化服务(第三包）
第一部分 技术需求
无线控制与终端准入及网络架构整改优化服务

项目名称	预算金额 (人民币)	简要技术要求
信息系统安全等级保护建设及测评（无线控制与终端准入及网络架构整改优化服务）	30万元	服务内容：通过对顺义区疾控中心新采购无线准入与终端准入系统设备并和原有网络与安全设备（天融信、华为、华三）厂商协调进行设备策略调整与监督，按照网络安全等级保护要求，进行整体网络安全规划与调整，做到分区分域、政务网与办公网分离、无线网与办公网合理规划、三级平台系统按照客户要求进行内部分布调整、三个系统等保测评差距分析报告的高危风险与高危漏洞的安全整改加固等服务，以符合网络安全法、网络安全等级保护管理办法等法律、法规的要求，并协助通过等级保护测评，使三级系统达到三级等保标准，另外，二个等保二级系统达到三级等保的管理要求。

第二部分 技术参数明细与服务要求
2.1.无线控制与终端准入技术参数

指标项	指标要求
基本要求	系统要求	具有独立自主知识产权，须为标准机架式硬件产品。
性能要求★	机架结构；标准配置交流电源，标准配置2个1000MBASE-T接口(管理口、HA口)，可配置4个接口卡，设备支持不少于10个千兆电口,可扩展万兆口；每秒事务数(TPS):≥1000(次/秒)，最大吞吐量:≥0.5Gbps，最大并发连接数:1000(条)；设备最大支持不少于500终端设备接入和管理
IPv6支持	#支持在IPv4和IPv6双栈环境下的终端准入控制、重定向、认证、安检、修复等。（提供支持IPv6的证明文件）
高可用性	准入设备必须具备HA模式，HA须支持主备机心跳IP检测及虚地址管理模式。 #提供第三方监控平台，在出现重大异常情况时能及时通知网络设备放开网络。（提供功能截图并加盖原厂公章） #支持多个设备集群模式部署（提供功能截图并加盖原厂公章）
终端部署	#准入设备应至少提供安全客户端（Agent）、安全控件、无客户端等多种可供自定义部署和管理的模式。（提供功能截图并加盖原厂公章） 使用安全客户端模式部署时，客户端程序应支持功能定制，以降低系统资源耗用，提升客户端兼容性。
准入 架构	终端发现	能够实时监测并发现接入内网的PC、移动终端、其他IP设备等终端。 对自动发现的终端能够按照类别自动归类，以方便网络终端的统计管理。 #能够通过自定义将不同的设备分组到不同的大类中，实现客制化的设备类型管理。支持分类不少于 32 个大类， 64 小类/大类（提供功能截图并加盖原厂公章）
准入技术	准入设备须支持802.1x协议准入方式，无需第三方RADIUS服务器支持。 #准入设备支持基于多厂商Virtual Gateway的VLAN隔离技术，实现无客户端下端口级准入控制。（功能截图及专利证明并加盖原厂公章） 准入设备支持基于策略路由技术的准入控制模式，入网设备在访问网内关键资源时，将被强制隔离、引导至认证管理页面； #支持交换机接口动态VLAN下发、端口隔离模式的网络边界管理。（提供功能截图并加盖原厂公章） 支持通过MAC旁路认证进行ACL下发的准入控制。
多路支持	单台准入设备可支持至少4路策略路由准入控制。 单台准入设备可支持至少4 个镜像口进行准入控制。 #单台准入控制设备支持至少2种准入技术组合使用，以增强环境的兼容性。
定向引导	支持终端入网IE浏览器重定向引导，当用户访问网页时能够自动转向到指定的页面或地址，并支持http代理及多重重定向引导。 可根据用户的实际环境自定义非80端口的Web服务端口号及用户重定向引导。 #支持使用域名进行终端入网重定向，可以实现准入服务器IP地址变动的环境下；（提供功能截图并加盖原厂公章） #能通过浏览器完成身份认证、控件安装、设备注册、安全检查、检查结果展现等全流程引导管理。（提供功能截图并加盖原厂公章）
违规外联	违规外联	能够针对3/4G拨号、双网卡、随身WIFI、代理等多种违规联网行为做实时检测，为了防止漏判不使用间歇性ping外网地址的探测方式。 能够针对违规外联终端进行即时断网，断网方式应支持断开链接、重启计算机等多级模式，并能够设置报警通知管理员。 准入设备能够支持按照用户角色定义，结合自定义安全域，限制员工的内网访问范围，防止其越权访问操作。 #SSID白名单，可对连接到白名单之外的无线网络行为进行阻断。（提供功能截图并加盖原厂公章）
设备特征指纹	设备特征指纹	具有非智能IP终端信息库，能够精准识别网络打印机、网络摄像头、IP电话等设备，并根据设备特征进行自动匹配和归类。
设备指纹自定义	能够通过自定义多种探测信息实现指纹现场匹配 #定义信息至少包括：IP地址、MAC地址、操作系统、网页标题、Telnet输出、FTP输出、SSH输出、端口、网页内容（提供功能截图并加盖原厂公章）
边界管理	IP/MAC绑定	具有入网设备自动学习功能，支持IP/MAC/端口三者强制绑定，以及违规终端切换到断网VLAN，防止终端仿冒IP接入网络或移动设备位置。 支持在DHCP环境下的IP、MAC绑定功能
NAT设备	#具有NAT识别和检测机制，能够发现网内私接的NAT小路由器设备。（提供功能截图并加盖原厂公章） 对通过NAT入网的计算机可以实现准入控制、安全评估和修复等流程化管理
Hub管理	能够发现内网私接的Hub、傻瓜交换机等非网管设备，当多台计算机通过Hub接入网络时，能够及时产生告警通知管理员。 #支持对连接HUB的交换机端口采用关闭端口或者VLAN切换来控制终端接入（提供功能截图并加盖原厂公章）
网络 管理	网络设备管理	支持对：交换机、路由器、防火墙等，按照类别进行添加归类管理和展示。 支持设备管理模板的定义功能，能够通过SNMP、SSH、TELNET等方式自动、批量添加网络设备。 #支持通过web界面手动修改交换机命令库以匹配新的交换机。（提供功能截图并加盖原厂公章）
终端网络拓扑	#能够在拓扑图上选取设备查看其基本状态信息、设备型号、所处位置、子节点、路由表、ARP表等信息。 #支持在界面上提供对该网络设备进行TELNET、SSH等管理。（提供功能截图并加盖原厂公章） #能够在网络拓扑图上由用户自定义显示的节点类型，方便用户通过不同方式查看拓扑连接。（提供功能截图并加盖原厂公章）
交换机状态展现	支持可网管型交换机面板图形化展现各接口状态（up、down、trunk、单/多MAC等），以及各接口下联的终端详细信息（IP、地址、MAC地址等）。 能够支持自上而下逐级查找终端的具体位置、安全状态、认证用户、上下线时间等信息。
DHCP地址释放	#支持DHCP通过管理服务器手动操作，主动进行某台主机的IP地址释放。实现IP地址充分利用。
认证管理	联动认证	能够全面结合用户已有的认证或业务系统，可以与RADIUS、LDAP、邮件、AD、WEB系统做联动认证。
AD域单点登录	能够与用户现有的AD域相结合，当用户登录到AD域后，无需二次认证即可入网，避免多次认证的繁琐流程。 可对用户入网后进行是否AD域登录进行检查。
证书认证	在进行Ukey认证时，支持多个合法的根证书。终端用户认证时，自动进行根证书的匹配。 支持采用软证书认证。
短信认证	支持短信认证模式
接入审核	能够针对不同的角色或设备状态有选择的开启入网审核功能，待审核的用户或设备必须经过管理员审批才能入网。 还可以进行审核流程调整。
认证控制	支持某类（角色）账户只能在指定的时间段、IP段认证入网。
自助账号申请	#支持用户在认证页面自行进行账号的申请。 用户可自行提交用户名、密码、姓名、电话、部门、E-Mail等信息。管理员审核通过后，用户即可使用该账号进行认证。有效解决用户账号和密码创建和分发的困难。
来宾管理	来宾角色	能够提供来宾角色选择，能够设定来宾设备的访问权限和入网时长
来宾码	员工可以为来宾申请来宾码，来宾使用来宾码可以接入网络； 能够设定那些角色的用户能够申请来宾码。
二维码认证	#已入网员工可以通过扫描来宾终端上二维码，放行来宾用户入网（提供功能截图并加盖原厂公章）
终端 安全 管理	安全检查库	#准入设备须提供系统安全配置、用户行为规范等类别检查项，至少提供30种以上安全检查项。
系统补丁	准入设备具有完整的补丁管理子系统，无需第三方补丁服务器支持，自身即可以提供完整的流程化补丁管理，包括同步更新、补丁分发表等功能。 准入设备能够对补丁进行分级，分为：严重、重要、中等的类别。 能够在终端的浏览器页面显示入网终端的补丁检查情况。 #准入系统自身能够支持office系列补丁库、补丁检查和补丁分发安装。
防病毒软件	支持主流的20种以上的杀毒软件检查，包括微软MSE、可牛、Avast等，支持杀毒软件版本、病毒库和运行情况的检查，能够在页面显示出检查结果。
终端安全加固	支持Guest来宾帐户、WSUS更新配置、密码策略设置、屏幕保护设置、弱口令帐户、网卡绑定、系统共享资源进行检查加固
计算机 健康性检测	支持对终端的磁盘使用率、垃圾文件、IE主页、网络监听端口等安全性配置进行检查和修复
自定义安全检查	#通过检测终端文件、指定文件版本、大小、MD5，注册表的项、注册表值，进程、服务状态进行检查。通过安装包运行、访问站点、开关服务、关闭进程、执行文件、删除文件、修改注册表进行修复。可以灵活的对终端进行安全检查和修复。（提供功能截图并加盖原厂公章）
终端安全修复	能够提供多种修复方式，用户自行修复、自动修复。
攻击威胁检测	攻击检测类别	支持超过6000条攻击检测库信息，至少包括如下类别：DOS攻击类(DOS)、弱点利用类(EXPLOIT)、恶意代码类(MALWARE)、移动恶意代码类(MOBILE_MALWARE)、RPC攻击类(RPC)、扫描类(SCAN)、SQL攻击类(SQL)、木马类(TROJAN)、蠕虫类(WORM)
攻击检测方法	#无需安装客户端，通过网络流量监听的方式进行流量采集
攻击检测展示	#能够通过多种方式对攻击检测的信息进行展示，至少包括：动态云图、攻击信息列表、攻击统计信息。（提供功能截图并加盖原厂公章）
资产管理	资产管理	能够对全网计算机上安装的软件进行统计，可以按照名称、许可状态提供精确查询以及软件资产报表的导出。 可对软件资产进行授权数量和使用数量的统计、管理。 能够通过多种维度对全网终端硬件资产进行统计。包括：每台终端的硬件信息列表，每种硬件类型所对应的终端。
资产变动	准入设备能够针对软硬件资产变动、资产异常情况提供了丰富多样的报警方式，便于管理员及时迅速了解资产信息。
变动确认	#支持管理员对每一条软硬件变动进行确认操作，已确认的条目显示已确认，并显示进行确认操作的确认人。对变动和变动确认可进行报表统计（提供功能截图并加盖原厂公章）；
资源 管理	软件检查	通过安全检查检测终端软件安装、使用状态 为终端指定修复的安装包或访问的网络站点 软件产品授权，支持进行windows、office、WPS产品授权信息进行检查
IP地址管理	提供IP地址分配矩阵图。 可以通过组织架构为维度查看IP地址分配矩阵图 能够直接、快捷的查看全网终端历史上线、下线、在线时长等详细的IP使用情况。
能耗管理	提供未关机终端自动统计功能，并能够按照部门、时间段等条件生成统计报表。 能够对设备类型、时间进行统计设置
运维 管理	移动终端管理	支持移动终端专用平台管理页面，方便使用平板、智能手机进行准入设备基本操作。 #可实现设备快速定位、设备审核、实时报警监控、小助手确认码生成、准入控制器管理、平台基本信息、关机与重启（提供功能截图并加盖原厂公章）
管理角色控制	准入设备须采用系统管理员、安全管理员、审计员三权分立机制，防止单个角色管理者权限滥用。
网络诊断工具	#支持通过Web管理界面进行ping、抓包、traceroute、nslookup等功能，并可以设置命令参数进行相关调试。
软件分发	准入设备应具有软件分发和部署功能，管理员可以预定义软件分发的路径、运行参数、是否执行等任务策略，以提升软件部署效率。 能够自动判断并统计软件分发、部署的成功率，支持进程、注册表、文件等多种参数的组合判断。
报警 报表 管理	安全管理报表	能够支持自定义多个不同的报表模板； 准入设备后台提供每日入网报告、每周入网报告、每月入网报告。
报警信息	支持系统报警、网络报警、终端报警等报警类型，超过20种以上自定义报警类型。 #支持报警信息通过Syslog、邮件、短信进行输出。
第三方产品联动	支持与主流上网行为管理系统深度联动，构建内网准入、准出的全面安全管理体系。 支持与国内外主流U-Key联动认证，终端可以使用UKEY认证。
产品要求#	公安部《计算机信息系统安全专用产品销售许可证，提供证明复印件并加盖原厂公章。 中国国家信息安全产品认证证书，提供证明复印件并加盖原厂公章。
项目授权与原厂质保	厂商针对本项目出具的授权委托书及原厂三年质保和售后服务承诺书 ，须加盖厂家公章

参数说明：
1、指标按重要性分为“★” 、“#”和一般无标示指标。★代表实质性指标，不满足该指标项将导致投标被拒绝。
2、参数中还包括“无标示的普通参数、#标示的关键参数”，均不作为废标项，均是扣分项，扣减分值依次是2分、3分；
注：1、投标人须如实提供技术指标要求的证明材料，证明材料可以使用官方网站截图或产品白皮书或第三方机构检验报告或其他相关证明材料。未提供有效证明材料或证明材料中内容与所填报指标不一致的，该指标按不满足处理。2、产品供货后，采购人将对中标产品进行性能测试和功能验证，与投标承诺不符将做为无效投标处理，由此引发的所有损失由该投标人承担。
2.2 服务详细要求
2.2.1 安全加固服务
对顺义疾控中心的系统安全加固方案包含以下内容：
符合“信息安全等保三级”等法律法规的要求。
加强核心网络的边界防护，合理规划核心网络接入。
根据实际业务需求及安全要求，加强核心设备的安全设置，包括但不限于：用户权限设置、口令设置、安全端口设置、服务进程关闭等。
2 .2.2 优化网络服务
对顺义疾控中心的网络结构和安全域进行重新优化，对安全策略进行优化。
2.2..3 安全整改
完成项目包含的软硬件产品的部署、实施调试、配置、集成等工作，对存在的问题进行整改。
3.1.4 等保测评协助
协助顺义疾控中心安全等级测评工作，包括在测评前协助填写测评申请材料，在测评过程中现场提供测评辅助服务，对于测评过程中发现的问题提供安全改进建议等，以保证实现等级保护建设目标。使三级系统达到三级等保标准，二个等保二级系统同时达到三级等保的管理要求。
合同履行期限：四个月
本项目不接受联合体投标。
二、申请人的资格要求：
1.满足《中华人民共和国政府采购法》第二十二条规定；
2.落实政府采购政策需满足的资格要求：
1）执行《财政部 国家发展改革委关于印发〈节能产品政府采购实施意见〉的通知》（财库[2004]185号）；
2）执行《财政部 环保总局关于环境标志产品政府采购实施的意见》（财库[2006]90号）；
3）执行《政府采购促进中小企业发展管理办法》的通知财库〔2020〕46号；
4）执行《财政部关于开展政府采购信用担保试点工作方案》（财库[2011]124号）；
5）执行《财政部、司法部关于政府采购支持监狱企业发展有关问题的通知》（财库[2014]68号）；
6）执行《关于促进残疾人就业政府采购政策的通知》（财库〔2017〕141号）；
7）执行《财政部关于在政府采购活动中查询及使用信用记录有关问题的通知》（财库[2016]125号）
3.本项目的特定资格要求：
第一包：
1）具备“国家网络安全等级保护工作协调小组办公室”颁发的《网络安全等级保护测评机构推荐证书》,提供复印件加盖投标单位公章；具备公安部颁发全国网络安全等级保护测评机构推荐证书（DJCP）的测评机构合格证明材料。
（2）投标人须进入全国等级保护测评机构推荐目录，并经营状态正常，非整改或被取消状态。提供中国网络安全等级保护网（http://www.djbh.net/）推荐目录的查询详细页截图。
（3）未被相关主管部门列为整改期间暂停等级测评业务的合格证明材料：提供未被相关主管部门列为整改期间暂停等级测评业务的承诺书。
第二包：无
第三包：无
三、获取招标文件
时间：2021-11-11 至 2021-11-17 ，每天上午09:00至12:00，下午12:00至17:00（北京时间，法定节假日除外）
地点：北京市顺义区公共资源交易平台（http://www.bjshy.gov.cn/ggzyjy/）
方式：
（1）新用户注册：供应商需登录北京法人一证通平台（http://yzt.beijing.gov.cn/）注册CA，登录北京市公共资源交易服务顺义区分平台（http://1.202.146.42:8098/zfcg/project/login.do?systemId=8a8b80075948a5ce015948cd77300063）注册账号，平台核验通过后注册成功
（2）下载招标文件：使用CA登录北京市公共资源交易服务顺义区分平台（http://1.202.146.42:8098/zfcg/project/login.do?systemId=8a8b80075948a5ce015948cd77300063）网上关注项目，并下载电子标书
（3）制作投标文件：登录北京市顺义区公共资源交易平台（http://www.bjshy.gov.cn/ggzyjy/）—办事指南—下载中心，下载电子投标文件制作工具和使用说明，按照说明制作投标文件
备注：政府采购电子化交易系统同时支持北京市建设工程发包承包交易中心灌制电子签章的颐信CA新锁（BJL开头）和北京CA，如供应商已办理完成上述两种CA的任意一种，可不用办理移动CA和电子印章。完成第1步“新用户注册”后，使用灌制电子签章的颐信CA新锁（BJL开头）和北京CA即可下载采购文件。
售价：￥0 元，本公告包含的招标文件售价总和
四、提交投标文件截止时间、开标时间和地点
2021-12-01 09:30（北京时间）
地点：北京市顺义区复兴东街3号院顺义区政务服务中心6号电梯厅二层第1开标室。
五、公告期限
自本公告发布之日起5个工作日。
六、其他补充事宜
1、预算指标文号：顺财社保[2021]35号、项目编号：PXM2021-001102-000101、立项备案表编号：SYCG_21_2293
2、评标方法和标准：本次招标采用资格后审方式，采用综合定量评分法，满分为100分，打分分值及内容，详见招标文件；
3、供应商需递交电子响应文件1份。
（1）电子响应文件上传：供应商应在响应截止时间前登录系统（http://1.202.146.42:8098/zfcg/project/login.do?systemId=8a8b80075948a5ce015948cd77300063）将加密（GPT格式）的响应文件上传至“北京市公共资源交易服务顺义区分平台---顺义区政府采购交易系统”。逾期未完成上传的，系统将拒绝接收该响应文件。
（2）供应商的法定代表人或其委托代理人，应携带加密电子响应文件相对应的移动数字证书CA，准时到现场参加开标。
（3）不按照文件要求递交电子响应文件的，采购人及该授权采购代理均不予受理。
4、电子标相关说明及注意事项
（1）“交易平台”的注册、申请移动数字证书及印章、竞争性磋商文件下载、响应文件制作、响应文件加密与上传等各环节的详细操作方法详见“北京市公共资源交易服务顺义区分平台”公布的相关操作手册。
（2）制作响应文件时，如采购人发布招标文件（GPZ格式），供应商应将投标文件（GPT格式）通过电子投标书编制工具，重新制作响应文件并上传至“交易平台”。供应商未按要求操作造成的后果，由供应商自行承担。
（3）在开标当天由采购代理对各供应商进行签到，供应商签到完成且开标时间到达之后，由采购代理轮流对已在系统中递交且完成签到的供应商进行文件的解密。
（4）因供应商忘记数字证书登陆密码、解密数字证书发生故障或用错、故意不在要求时限内完成解密等自身原因，导致响应文件在规定时间内未能解密、解密失败或解密超时，视为供应商放弃投标，由供应商自身承担一切后果。
（5）若供应商已申请多把数字证书，请注意使用差别，确保制作的响应文件和开标解密时使用的数字证书一致，造成解密失败的，由供应商负责。
（6）供应商应充分考虑到网络及系统平台可能存在的非正常情况，在响应文件递交截止时间之前完成上传。
（7）在操作过程中，如遇操作的相关问题可咨询采购代理机构或者技术服务，技术服务电话：17635083642 QQ：1479981870。
5、采购项目需要落实的政府采购政策：
1）执行《财政部 国家发展改革委关于印发〈节能产品政府采购实施意见〉的通知》（财库[2004]185号）；
2）执行《财政部 环保总局关于环境标志产品政府采购实施的意见》（财库[2006]90号）；
3）执行《政府采购促进中小企业发展管理办法》的通知财库〔2020〕46号；
4）执行《财政部关于开展政府采购信用担保试点工作方案》（财库[2011]124号）；
5）执行《财政部、司法部关于政府采购支持监狱企业发展有关问题的通知》（财库[2014]68号）；
6）执行《关于促进残疾人就业政府采购政策的通知》（财库〔2017〕141号）；
7）执行《财政部关于在政府采购活动中查询及使用信用记录有关问题的通知》（财库[2016]125号）
6、本公告同时在北京市公共资源交易服务顺义区分平台、中国政府采购网、北京市财政局网站政府采购网；未经采购人授权的任何转载，采购人不对其承担任何法律责任。
7、开标要求：1）请参与本项目的投标人委派一名被授权人代表进入开标现场，自觉做好个人防护，必须佩戴口罩，听从工作人员引导，主动配合体温检测和人员信息登记。
2）投标人需随时留意北京市公共资源交易服务顺义区分平台的疫情防控政策或通知，以免影响投标工作。
七、对本次招标提出询问，请按以下方式联系。
1.采购人信息
名 称：北京市顺义区疾病预防控制中心　　　　　
地址：北京市顺义区顺康路66号　　　　　　　　
联系方式：殷呈武,010-61426219　　　　　　
2.采购代理机构信息
名 称：北京鑫中招标代理有限公司　　　　　　　　　　　　
地　址：北京市顺义区西环路西50米　　　　　　　　　　　　
联系方式：申斯洋，010-81460595　　　　　　　　　　　　
3.项目联系方式
项目联系人：申斯洋
电　话：　　010-81460595