中山大学网络空间安全学院安全资源池调度设备采购项目
基本信息

项目编号	中大招（货）[2022]1710号
项目名称	中山大学网络空间安全学院安全资源池调度设备采购项目
项目类型	货物采购	申购主题	安全资源池调度分析—安全接入设备,安全资源池调度分析—应用防护设备,安全资源池调度分析—边界安全隔离防护设备,安全资源池调度分析—运维安全管理设备,集成项目总体技术参数设置	采购单位	中山大学
项目预算	***	采购开始时间	2022-11-28 23:56	采购结束时间	2022-12-05 09:00	是否送货	是
期望收货时间	合同签订后60天交货	经办人	罗老师	经办人电话	84115080
送货地址	中山大学深圳校区网络空间安全学院
电子签章	本项目需要使用CA签字 CA操作手册下载
备注	1、本项目国内货物部分：含税人民币报价的付款方式按“ 中山大学国内采购合同（通用货物类）-适用于设备改造专项”的“4.付款及结算方式 4.1.3 分期结算（适用于货物总金额在学校分散采购限额标准以上）”；境外供货部分：付款方式按《中山大学进口货物采购合同》的“1.3付款方式 （2）通过中山大学网上竞价系统以外方式采购的进口货物”，加征关税及进口代理费用由乙方支付。报免税人民币价的公司必须有境外人民币收款账户。 2、进口货物中如有国内供货部分，供应商在报价时应分别报价，境外供货部分、国内供货部分的币种选择见第1条，并分别签订进口货物购销协议和国内采购合同。 3、本项目学校不收取任何费用。 4、本项目采用数字证书，请供应商根据指引 http://bidding.sysu.edu.cn/article/4902）提前办理CA证书。 5、“★”标注的技术参数为废标条款，如响应为负偏离将作为非实质性响应处理。

设备列表

采购设备	数量	参考品牌	详细响应要求
安全资源池调度分析—安全接入设备	1套		详情请进入系统查看
"安全资源池调度分析—安全接入设备"技术要求
序号 技术要求内容 评分等级 是否需要附件说明 1 1 高度：标准1U机架式。 重要 否 2 2 网络：配置≥6*10/100/1000电口，2个SFP接口。 重要 否 3 3 并发用户：支持最大并发用户数≥800 重要 否 4 4 SSL加密吞吐量：≥420Mbps 重要 否 5 5 SSL新建用户速率：≥300次/秒 重要 否 6 6 SSL并发连接数：≥25000 重要 否 7 7 电源：冗余电源，150W 重要 否 8 8 支持IPSec VPN和SSLVPN两种VPN协议，含60个VPN用户授权，认证方式支持15种，本地认证、USBKey、短信认证、数据库认证、蓝信认证、邮箱认证、证书认证、动态令牌认证、LDAP认证、windows AD认证、RADIUS认证，并且支持支持本地用户名密码、证书认证、第三方证书、LDAP、短信验证码、邮箱验证码、动态令牌之间的“与”的认证。可实现USBKey认证、LDAP认证、硬件特征码等多种因子绑定认证。 重要 否 9 9 支持自带CA认证中心，可签发证书，注销证书，支持本地证书批量转换成证书用户，实现用户名密码+证书双因子认证，这样以方便签发证书；支持与第三方CA中心结合认证，能支持第三方CA的证书格式：der、base64编码的crt、cer、p7b、p12、pfx方式，支持第三方的CRL。10、支持证书透传功能，即将证书直接传递给业务系统，可以根据证书中的O、OU、CN作为访问控制项，提供用户对某个业务系统的访问控制权限。 重要 否 10 10 配套OM4 LC-LC多模光纤线(5米）不少于20条， OM4 LC-LC多模光纤线(10米）不少于80条。 重要 否 11 11 网络接口地址配置支持IPv6地址。 重要 否 12 12 支持旁路或串接部署到用户网络，支持多链路接入、支持策略路由、支持链路聚合。 重要 否 13 13 支持配置向导功能，用户能够按照配置向导一步一步的操作，向导结束用户能够完成账号建立、服务发布、正常访问。（需提供界面功能截图证明） 非常重要 是 14 14 可单独对每个应用发布业务进行负载均衡，具有轮询、加权轮询、最少连接数、静态就近性、动态就近性等算法来实现。（需提供界面功能截图证明） 非常重要 是 15 15 支持基于用户、用户组分配虚拟IP，并且支持虚拟IP绑定功能。 重要 否 16 16 能显示在线用户列表，并能把在线用户以列表形式导出，可以导出为txt、HTML文件。 重要 否 17 17 可支持远程应用发布功能，发布C/S应用客户端界面而非整个桌面进行发布。（需提供界面功能截图证明） 重要 是 18 18 支持移动app工作区数据擦除以及设备整体数据擦除，防止智能终端丢失后造成数据泄密。（需提供界面功能截图证明） 非常重要 是 19 19 为了保障服务质量，需提供原厂商售后服务承诺函。 重要 是

采购设备	数量	参考品牌	详细响应要求
安全资源池调度分析—应用防护设备	1套		详情请进入系统查看
"安全资源池调度分析—应用防护设备"技术要求
序号 技术要求内容 评分等级 是否需要附件说明 1 1 标准1U机箱。 重要 否 2 2 配置6个10/100/1000M自适应电口,2个千兆SFP插槽。 重要 否 3 3 配置不少于1TB硬盘。 重要 否 4 4 网络吞吐量800Mbps，网络并发连接数40万 重要 否 5 5 应用层处理能力300Mbps，HTTP并发12万，HTTP新建连接数3500/s。 重要 否 6 6 支持路由牵引部署模式，通过路由牵引、SNT回注方式对流量进行过滤。 重要 否 7 7 具备资产探测功能，提供自动识别资产系统类型和开放端口。 重要 否 8 8 支持轻量级蜜罐防御功能，提供伪造的后台管理系统页面，主动诱使黑客进行攻击，记录攻击行为（要求提供产品截图） 非常重要 是 9 9 支持智能封禁，通过对网站发起的攻击次数、危害级别两个维度进行算法分析与识别，进行智能封禁，并自定义攻击者封禁时间。 重要 否 10 10 支持移动端管理功能，不需要安装APP和第三方插件，通过手机浏览器即可管理设备，并可查看设备CPU、内存使用情况。 重要 否 11 11 支持透明流、透明代理、反向代理，旁路镜像检测模式及旁路镜像阻断模式。 重要 否 12 12 支持在旁路镜像阻断模式下，可配置多组阻断以及镜像口，对检测到的攻击进行旁路阻断，并可指定对端设备MAC地址。（需提供界面功能截图证明） 非常重要 是 13 13 支持产品页面一键断网（禁止访问）功能，在特殊情况下，实现对特定网站的快速下线。（需提供界面功能截图证明） 非常重要 是 14 14 支持地域访问控制功能，支持根据国家、地区、城市等元素进行地域访问控制，并可自定义访问过期时长。 重要 否 15 15 支持虚拟补丁功能，支持导入appscan和RayScan扫描器的扫描结果生成WAF的规则，对此类网站漏洞直接防护。（需提供界面功能截图证明） 非常重要 是 16 16 支持威胁情报中心提供的相关数据运用到产品防御策略中，提供基于僵尸网络、恶意IP、扫描探探、Webshell、代理IP、TOR节点、漏洞利用、暴力破解、拒绝服务、恶意代码以及木马蠕虫等情报类型。 重要 否 17 17 支持机器学习功能，通过流量学习对进行业务建模，并对学习到的URL、host等信息以网站结构树形图进行展示，并支持对URL的访问量和响应健康度进行图形化统计。 重要 否 18 18 支持设定最少学习样本数，学习时间段等信息，当样本数大于设定的阈值数，可直接进入防护状态。 重要 否 19 19 支持针对机器学习建模后的网站目录，进行防护与白名单配置。 重要 否 20 20 支持Web站点安全扫描功能，支持自定义Web安全扫描任务，支持手工，定期进行Web安全扫描。 重要 否 21 21 支持三权分立的管理，系统管理员、审计管理员、账号管理员，可以根据管理账号角色的不同，分配不同的权限。 重要 否 22 22 支持在线抓包，ping，traceroute、telnet等运维工具。 重要 否 23 23 支持日志快速响应功能，日志具备一键黑名单设置以及一键白名单排除功能。 重要 否 24 24 支持手动，自动导出报表功能，提供时间端，报表类型，分析维度，报表模块，归属地，攻击源ip等因素的报表导出。 重要 否 25 25 支持自定义分析维度进行报表导出，分析维度包括攻击趋势，攻击严重级别，被攻击资产，被攻击IP，攻击源IP，攻击源地域等。 重要 否 26 26 支持移动端对资产的一键断网功能，提供网站一键下线以及批量下线的应急措施。（需提供界面功能截图证明） 重要 是 27 27 支持系统运行状况表，安全状况总表，安全状况分表导出。 重要 否 28 28 为了保障服务质量，需提供原厂商售后服务承诺函。； 重要 是

采购设备	数量	参考品牌	详细响应要求
安全资源池调度分析—边界安全隔离防护设备	1套		详情请进入系统查看
"安全资源池调度分析—边界安全隔离防护设备"技术要求
序号 技术要求内容 评分等级 是否需要附件说明 1 1 高度：标准2U机箱 重要 否 2 2 性能：网络处理能力为≥10G，并发连接≥260万，每秒新建连接≥18万/秒 重要 否 3 3 网络：配置≥6个10/100/1000M自适应电口，≥4个SFP插槽，支持两个扩展槽 重要 否 4 4 电源：冗余电源，150W 重要 否 5 5 其他硬件规格：1个Console口，支持液晶屏。 重要 否 6 6 支持将其他硬件安全设备（包括但不限于防火墙、IPS、IDS、WAF、行为管理、流量探针等）加入网元组，并接受流量编排；支持将同类型安全设备划归同一网元组，组成硬件安全资源池（如WAF安全资源池），并将流量通过负载均衡的方法编排给组内所有网元。 重要 否 7 7 支持对网元进行健康检查，及故障bypass能力，健康检查至少包括链路探测、回环探测、接口探测能力。 重要 否 8 8 支持灵活的服务链编排功能，支持串接链和旁路链，支持网元组的方向和位置设置。（提供界面截图证明） 非常重要 是 9 9 支持对编排的流量进行监控，至少能从网元组、引流策略两个维度对编排流量监控统计。（提供界面截图证明） 重要 是 10 10 支持基于不同安全区域防御SYN Flood、UDP Flood、ICMP Flood、IP Flood、DNS Flood、HTTP Flood攻击，并支持警告、丢弃、普通防护（首包丢弃）、增强防护（TC反弹技术）、授权服务器防护（NS重定向）、普通防护（自动重定向）、增强防护（手工确认）等多种防护措施。 重要 否 11 11 支持与云端联动，至少实现病毒云查杀、URL云识别、应用云识别、云沙箱、威胁情报云检测等功能。 重要 否 12 12 提供可明文或加密方式调用的Restful API，并可指定Restful API使用的本地端口；为确保设备管理的安全性，支持限制特定主机调用Restful API（投标文件需要提供能够体现上述功能及配置选项的截图）支持定义第三方设备、平台通过调用Restful API 至少可配置的访问控制策略、源NAT策略、目的NAT策略、静态路由、高可用以及区域、地址、服务、时间、用户对象等功能。 重要 否 13 13 支持MPLS流量透传；支持针对MPLS流量的安全审查，包括漏洞防护、反病毒、间谍软件防护、内容过滤、URL过滤、基于终端状态访问控制等安全防护功能。（需提供界面功能截图证明） 重要 是 14 14 支持MTU≥9000byte的巨型帧Jumbo Frame。 重要 否 15 15 支持DS-Lite CPE B4功能，支持成为b4或aftr角色，支持从DHCPv6服务器或手动方式获取AFTR参数。（需提供界面功能截图证明） 重要 是 16 16 支持对编排的流量进行监控，至少能从网元组、引流策略两个维度对编排流量监控统计。（需提供界面功能截图证明） 非常重要 是 17 17 支持基于策略的路由负载，支持根据应用和服务进行智能选路，支持源地址目的地址哈希、源地址哈希、轮询、时延负载、备份、随机、流量均衡、源地址轮询、目的地址哈希、最优链路带宽负载、最优链路带宽备份、跳数负载等不少于12种路由负载均衡方式，支持基于IPv4或IPv6的TCP、HTTP、DNS、ICMP等方式的链路探测，同时TCP与HTTP可使用自定义目标端口进行测试。（需提供界面功能截图证明） 重要 是 18 18 支持灵活的细粒度引流策略，可基于源安全域、目的安全域、源用户、源地址、目的地址、服务、VLAN、服务链、流量方向（内网到外网/外网到内网）的引流策略，并详细记录日志。（需提供界面功能截图证明） 重要 是 19 19 能够对HTTP/FTP/POP3/SMTP/IMAP/SMB六种协议进行病毒查杀；本地病毒库规模大于3000万。 重要 否 20 20 可在单条策略中启用病毒防护、入侵防御、网址过滤、文件过滤、文件内容过滤、终端过滤等安全功能选项。（需提供界面功能截图证明） 重要 是 21 21 支持基于网络活动，威胁活动、阻止活动等多维关联统计及分析，发现异常行为。 重要 否 22 22 支持将告警信息以SNMP Trap、邮件、声音、短信等形式通知管理员，告警信息的范围至少包括配置变更、病毒事件、攻击事件、异常事件、失陷主机告警、并发数告警、CPU利用率、内存利用率、硬盘利用率、接口带宽利用率、NAT端口池利用率等。 重要 否 23 23 产品平均无故障时间MTBF≥5000H，满足 GB/T 5080.7-1986《设备可靠性试验 恒定失效率假设下的失效率与平均无故障时间的验证试验方案》要求（需提供第三方出具的检验检测报告） 重要 是 24 24 为了保障服务质量，需提供原厂商售后服务承诺函。 重要 是

采购设备	数量	参考品牌	详细响应要求
安全资源池调度分析—运维安全管理设备	1套		详情请进入系统查看
"安全资源池调度分析—运维安全管理设备"技术要求
序号 技术要求内容 评分等级 是否需要附件说明 1 1 高度：标准1U机架式。 重要 否 2 2 网络：配置≥6个千兆电口,支持2个接口扩展槽位。 重要 否 3 3 硬盘：配置≥4TB硬盘。 重要 否 4 4 电源：冗余电源，150W。 重要 否 5 5 其他硬件：支持液晶屏。 重要 否 6 6 处理能力：最大支持150路图形会话或400路字符会话并发。 重要 否 7 7 支持多因子认证，包括手机令牌、手机短信、动态令牌、国密USBKey、指纹识别等方式。（提供界面截图证明） 重要 是 8 8 支持微信小程序动态口令认证方式登录，且当用户需要使用手机令牌登录时，需要强制绑定手机令牌。（提供界面截图证明） 重要 是 9 9 支持采用OCR识别技术，可以识别图形操作中的操作系统文字、应用软件文字、浏览器文字等文本信息，支持设置识别精细度和识别间隔时间，以平衡性能开销和识别精度。（提供界面截图证明） 重要 是 10 10 支持水印功能，用户在运维或者是监控、查看会话时，H5页面会将用户的登录名作为水印展示，避免数据泄露无法追责，支持在H5运维SSH、RDP、TELNET、VNC、应用发布等资源时显示水印。 重要 否 11 11 支持以云盘形式在堡垒机上存储常用文件，实现操作端、堡垒机和目标资源三者之间文件共享（支持多文件和文件夹下载，文件展示最近修改时间和权限）。 非常重要 是 12 12 支持专属手机app远程管理（非浏览器方式），可在app端实现用户管理、主机管理、工单审批、告警消息、会话管理等功能。 重要 否 13 13 支持与AD、LDAP、RADIUS、OIDC、CAS等认证系统联动登录堡垒机，支持自动同步AD/LADAP用户。 重要 否 14 14 支持按用户、用户组、资源账户、账户组、操作命令、命令集、有效期、生效时段等条件，细粒度地设置命令操作权限。 重要 否 15 15 支持专属手机app远程管理（非浏览器方式），可在app端实现用户管理、主机管理、工单审批、告警消息、会话管理等功能。（需提供APP界面功能截图证明） 非常重要 是 16 16 支持管理员对工单的修改，管理员可以对自己审批节点的工单内容进行修改，增加或者取消非必要权限。 重要 否 17 17 支持H5运维过程中通过群发命令，实现同时运维多台资源设备。（需提供界面功能截图证明） 重要 是 18 18 支持SSH、RDP、TELNET、VNC协议资源的批量登录功能，并且支持混合协议的批量登录，支持同时在一个页面运维不同协议的资源。 重要 否 19 19 不限操作系统类型，无需安装任何客户端插件，使用浏览器通过H5方式即可直接运维SSH、RDP、Telnet、VNC、Rlogin和SFTP资源。 重要 否 20 20 可通过Linux应用发布的方式实现对火狐浏览器、Chrome浏览器、达梦数据库、人大金仓数据库等的扩展支持。 重要 否 21 21 为了保障服务质量，需提供原厂商售后服务承诺函。 重要 是

采购设备	数量	参考品牌	详细响应要求
集成项目总体技术参数设置	0		详情请进入系统查看
"集成项目总体技术参数设置"技术要求
序号 技术要求内容 评分等级 是否需要附件说明 1 1、通过以下组件组成安全管控系统：边界安全隔离防护模块、运维安全管理模块、终端安全审计模块、安全接入模块4个关键组件。 2、各组件模块可与攻防演习平台进行数据对接，实现统一安全管控和事件审计。 重要 否

欢迎供应商注册、报价，如有疑问请联系技术支持qq:1933416688
1、注册审核时间为（工作日8：30 - 17:30），一般为当个工作日。
2、缴费确认时间（工作日8：30 - 17:30）：
a、对公转账一般到账时间需要四个小时，缴费确认需要四个小时以上，节假日期间请使用微信支付
b、推荐使用微信支付，微信支付实时到账系统自动确认收款，可马上报价。
3、资料准备时间为1-2日，请供应商提前准备。
4、供应商第一次报价可能需要较长时间，请提前报价。