编号

产品名称

项目描述

数量

推荐品牌

备注

1

全网行为管理

进行全网行为管控，精确管控PC端的应用，流量，行为等。

含3年技术服务及设备维保。

1

2

终端安全管理EDR

企业进行安全管理、风险预警、安全事件管理以及应急响应的安全运维平台。

含3年技术服务及设备维保。

40

3

安全运营服务

有效利用各类安全设备及技术手段，提供全面、高效、可靠的信息安全服务。

1

项目

指标

具体功能要求

硬件参数

★设备性能及配置

网络吞吐量≥2.4Gb，最大并发连接数≥60000。硬盘至少提供128GB-SSD。至少提供4个千兆电口。

部署方式

多种模式

支持多种部署方式，网关模式，网桥模式，旁路模式，多主模式；支持部署在IPv6环境中，设备接口及部署模式均支持ipv6配置，所有核心功能都支持IPv6。

实时监控

功能模块

设备资源信息，可视化分析展示，流量状态，安全状态，上网监控

★链路负载状态

支持查看当前设备的线路状态，线路带宽利用率以及当前策略的引流流量分布和实时的引流策略，支持设置线路流控策略。

（提供第三方检测报告相关页截图，并加盖厂商公章）

用户管理

功能模块

帐户导入，组织结构，用户密码安全性，自定义用户属性，用户自管理，多终端自绑定，账户有效期，公用账户，特权DKey

认证管理

支持功能

差异化认证策略，认证页面定制，登录限制，未认证开放权限，认证后页面跳转，认证分权管理，自动注销，冻结用户

认证方式

多种方式

单点登录，portal密码认证，绑定短信和微信快捷认证，IP/MAC认证，自注册认证，MAB认证

★会议扫码认证

支持提供二维码和会议号，用户扫码或输入会议号认证上网。支持通过验证手机号码实名认证。（提供第三方检测报告相关页截图，并加盖厂商公章）

★二维码审核认证

支持二维码认证，担保人扫描访客的二维码后对其网络访问授权。支持访客填写信息、担保人填写信息、担保人扫码审核三种模式。（提供第三方检测报告相关页截图，并加盖厂商公章）

终端资产管理

支持功能

IP管理，终端识别发现，终端分类可视，终端接入统计

应用管理

应用识别规则库

1.设备内置应用识别规则库，支持超过9000条应用规则数，支持超过6000种以上的应用，并保持每两个星期更新一次，保证应用识别的准确率。2.支持根据标签选择应用，并支持给每个应用自定义标签。3.支持根据标签选择一类应用做控制。

★SaaS应用规则

1. 对Saas应用有默认分类标签，帮助客户统一配置策略 2.必须支持超过200种主流网络会议/办公OA/教育等学习应用。（提供第三方检测报告相关页截图，并加盖厂商公章）

应用控制策略

1.支持根据IP、端口、协议等自定义应用规则。支持根据端口设定用户不允许访问的目标IP组提供的服务。2. 支持根据不同的应用类型或具体的某种应用设置允许或拒绝。

代理管理

★禁止使用代理

1. 不允许使用外部HTTP代理。2. 不允许使用外部Sock4/5代理。3.不允许在HTTP,SSL一些的标准端口上使用其他协议。（比如在80端口上传输非HTTP协议数据，在443端口上传输非HTTPS协议数据等）（提供第三方检测报告相关页截图，并加盖厂商公

应用智能选路

★负载策略

支持智能负载均衡，负载策略可配置：优先使用优先级最高的线路、按运营商负载、剩余带宽、带宽比例、平均分配以及禁用默认负载策略。（提供第三方检测报告相关页截图，并加盖厂商公章），支持根据IP、协议、带宽、域用户、域名、应用、DSCP设置选路策略。

运维工具审计

★运维工具审计

支持telnet协议，可对登陆的账号、执行的命令进行审计。

支持运维类应用的外发附件审计，包括Xshell，Pshell，MobaXterm，SecureCRT。（提供第三方检测报告相关页截图，并加盖厂商公章）

离线上网管理

★授权个数

至少提供10个离线上网管理授权。

★离线上网审计

在非内网环境下通过客户端引流实现网页审计、邮件审计、应用审计、流量和时长审计，支持windows终端。（提供第三方检测报告相关页截图，并加盖厂商公章）

★离线上网管控

在非内网环境下通过客户端引流实现上网权限策略控制、上网时长控制、上网流量控制，支持windows终端。（提供第三方检测报告相关页截图，并加盖厂商公章）

上网安全

支持功能

知名杀毒引擎，防内网DoS攻击，防ARP欺骗

★恶意链接检测

支持网页恶意链接检测功能，有效识别网页盗链/黑链的行为（包括包括钓鱼及恶意网站、漏洞利用、挖矿页面、恶意跳转、跨站脚本攻击和病毒文件等），避免用户网页资源被滥用。支持实时阻断和告警。（提供第三方检测报告相关页截图，并加盖厂商公章）

文件杀毒

支持对HTTP、HTTPS、FTP、SMTP、POP3、IMAP协议进行病毒检测和查杀。支持告警通知。支持自定义病毒白名单，可基于文件MD5值和下载URL设置文件杀毒排除策略。 文件杀毒自持排除可信域名。

日志功能

支持功能

上网行为日志，流量和时长日志，终端日志，业务审计日志

网安日志对接

支持与多种网安日志平台对接

内置多套日志模板与各省市网安日志平台对接，至少支持以下平台：派博、任子行、网博、云辰、烽火、中新软件、兆物、新网程、美亚柏科、爱思等。

产品联动

★安全检测产品联动

能够与同品牌EDR产品实现联动，当检测到终端未安装EDR产品时，禁止上网并提示需要安装EDR终端软件。

等保合规自检

支持等级保护评估合规自检

可以对接等保合规自检平台，设备自检后将结果发送给平台，快速输出等级保护合规自检报告。

功能

参数要求

设备数量

★本项目要求提供40个Windows PC客户端授权。

威胁检测

具备基于本地缓存信誉检测与全网信誉检测，全网信誉库的检测引擎，企业内网一台威胁，全网感知并进行针对性查杀，支持处置病毒时选择是否在其它终端上同步处置有效提升查杀效率，减少终端资源开销；支持本地查杀缓存，具备二级缓存机制；最大可配置检查10层压缩文件。

终端自保护

支持agent安装目录的文件保护，可以保护agent目录和文件实时监控驱动文件，可以保护agent的服务/进程/文件不被恶意删除，以免影响正常功能，导致用户的终端受到病毒入侵。支持客户端防卸载。

文件实时监控

可实时监控文件的状态，在文件读、写、执行或者进入主机时主动进行扫描，支持根据用户性能偏好设置高、中、低3种防护级别。

Webshell事件处理

★支持展示终端检测到的WebShell事件及事件详情，包括：恶意文件名称，威胁等级，受感染的文件，发现时间，检测引擎，文件类型，文件名，文件Hash值，文件大小，文件创建时间；可配置WebShell实时扫描，一旦发现WebShell文件，可自动隔离或仅上报不隔离。（提供产品截图，并加盖厂商公章）

勒索病毒专防

★基于勒索病毒攻击过程，建立多维度立体防护机制，提供事前入侵防御-事中反加密-事后检测响应的完整防护体系，展示勒索病毒处置情况，对勒索病毒及变种实现专门有效防御。（提供产品截图，并加盖厂商公章）；支持监控诱饵文件，诱饵文件可被实时监控，当勒索病毒对该文件进行修改或加密操作时进行拦截。

威胁分析

支持跳转链接至云端安全威胁响应系统，针对已发生的病毒的基本信息，影响分析（客户情况、影响行业、区域分布）、威胁分析和处理建议。

挖矿病毒巡检

提供挖矿病毒巡检工具，支持通过内存、进程和启动项来检索病毒相关信息。

资产管理

★支持全网视角的终端资产统一清点，清点信息包括操作系统、应用软件、监听端口和主机账户，其中操作系统、应用软件和监听端口支持从资产和终端两个视角进行统计和展示。（提供产品截图，并加盖厂商公章）

支持资产登记功能，支持录入本终端所属责任人、责任人联系方式、邮箱、资产编号、资产位置信息，并可设置哪些为必填项，以便于进行终端资产管理。支持导出针对全网终端的终端风险报告。

技术指标

指标要求

首次威胁分析和处置

安全威胁分析：被动发现配合安全专家主动日志分析，识别服务范围内资产发现的病毒类事件、漏洞类事件、攻击类事件，并建立安全事件的进度监控机制。

对外服务威胁检查：针对对外的服务器，着重对webshell、病毒进行重点排查，主动发现服务器风险隐患。

★首次威胁处置：投标方输出首次威胁分析报告，提供处置方法和工具，并上门提供首次处置服务。

★首次威胁汇报：处置完毕后，进行本次处置汇报，并进行报告解读。

威胁分析和预警

结合大数据分析、人工智能、安全专家提供安全事件发现服务：依托于安全防护组件、检测响应组件和安全平台，将海量安全数据脱敏，包括漏洞信息、共享威胁情报、异常流量、攻击日志、病毒日志等数据，经由大数据处理平台结合人工智能和安全专家使用多种数据分析算法模型进行数据归因关联分析。

监测网络安全状态，对病毒事件自动化生成工单,及时进行分析与预警。病毒类型包含勒索型、流行病毒、挖矿型、蠕虫型、外发DOS型、C&C访问型、文件感染型、木马型。

安全专家针对每一类威胁，进行深度分析验证，分析判断是否存在其他可疑主机，将深度关联分析的结果通过邮件、微信等方式告知用户。

流行威胁通告与排查

结合最新威胁情报，及时对流行威胁进行评估、风险通告预警。

安全专家排查是否对用户资产造成威胁，通知用户协助及时修复或调整安全策略。

主动响应服务

策略调配：新增资产、业务变更策略调优服务，业务变更时策略随业务变化而同步更新。

策略定期管理：安全专家每月对安全组件上的安全策略进行统一管理工作，确保安全组件上的安全策略始终处于最优水平，针对威胁能起到最好的防护效果。

策略调整：安全专家根据安全事件分析的结果以及处置方式，根据用户授权情况按需对安全组件上的安全策略进行调整工作。

针对病毒类的安全事件：安全专家提供病毒处置工具，并针对服务范围内的业务资产使用病毒处置工具进行病毒查杀，对于服务范围外的业务资产，安全专家提供病毒查杀方法和工具。

针对攻击类的安全事件：通过攻击日志分析，发现持续性攻击，获取用户授权后采取行动实时对抗，当用户无防御措施时，投标方需提供攻击类安全事件的处置建议。

针对漏洞利用类的安全事件：安全专家验证该漏洞是否利用成功，提供工具协助处置。

针对失陷类的安全事件：安全专家协助用户处置，并提供溯源服务

基于主动响应和被动响应流程，对页面篡改、通报、断网、webshell、黑链等各类严重安全事件进行紧急响应和处置的解决方案。

根据事件发生的根因、影响范围，针对性给出安全加固方案。

安全专家通过现象深入分析安全事件的成因，发现用户网络中存在的薄弱点，通过技术手段和方法溯源攻击路径。

针对勒索病毒、挖矿病毒、篡改事件、webshell、僵尸网络等安全事件，通过工具和方法对恶意文件、代码进行根除，快速恢复业务，消除或减轻影响。

通过结合主动发现、主动处置、被动响应流程，对僵尸网络、病毒、后门、黑链等各类安全事件的处置服务。

主动上门服务

当有需求时，可上门协助用户对安全威胁进行处置。每个月主动上门一次。
处置内容包含：
1、在授权下攻击IP封锁，阻断与已识别的C2或目标IP地址之间的通信。
2、病毒，webshell，协助处置恶意文件或病毒，安全专家优先提供可执行处置方案，并在授权下在服务时间内进行处置工作。

安全运营服务

★本服务项目要求线上专家7*24小时实时监测。

线上专家实时监测网络安全状态，对攻击事件自动化生成工单，及时进行分析与预警。攻击事件包含境外黑客攻击事件、暴力破解攻击事件、持续攻击事件。基于主动响应和被动响应流程，对页面篡改、通报、断网、webshell、黑链等各类严重安全事件进行紧急响应和处置的解决方案。

处置中心

风险业务视角

★支持业务视角维度展示安全风险，包括攻击阶段分布、风险等级趋势、事件描述、遭受的外部攻击、脆弱性风险、行为画像、开放端口等。（需提供服务模块相关功能截图证明，服务工具供应商盖章）

风险终端视角

支持终端维度展示终端IP、所属分支、所属终端组、风险等级、安全事件标签、处理状态、联动状态；风险等级包含已失陷、高危、中危、低危。

风险安全域视角

支持安全域维度展示安全风险，包括安全域列表、安全域评分、事件类型TOP5、IP地址、IP类型、风险等级、关键风险。

分析中心

威胁分析

支持外部威胁分析，包括高危攻击、残余攻击、暴力破解、成功的事中攻击、邮件威胁、文件威胁、外部风险访问。

★支持横向威胁分析，包括横向威胁总览、横向攻击、违规访问、可疑行为、风险；其中横向风险总览包括发起横向威胁主机TOP5、遭受横向威胁TOP5、横向威胁类型分布、横向威胁趋势。（需提供服务模块相关功能截图证明，服务工具供应商盖章）

支持外连威胁分析，包括对外威胁总览、对外攻击、APTC&C通信、可疑行为、隐蔽通信、违规访问、服务器风险访问；其中外连威胁总览包括外连威胁主机类型分布、存在外连威胁IP TOP5、外连目标地区（国外）TOP5、外连威胁类型分布、非正常时间段外连主机TOP5、外连威胁趋势。

可疑DNS分析

支持DNS异常分析，包括DNS通道、DGA域名、灰域名与高风险注册地域名，其中高风险注册地域名可自定义国家和地区；并支持导出可疑DNS列表。

威胁情报

★支持威胁情报关联分析，内置威胁情报数量不少于120W；支持展示威胁情报命中数、今日命中数、命中威胁情报类别TOP10、命中趋势、活跃威胁情报TOP20等。（需提供服务模块相关功能截图证明，服务工具供应商盖章）

支持自定义威胁情报，可定义域名、IP、URL、文件MD5、确定性等级、威胁等级、事件类型、危害描述、处置建议等信息。

文件威胁分析

支持文件威胁分析，可展示文件分析过程、文件检测趋势、恶意文件TOP5；支持恶意文件的详情分析，包括支持记录恶意文件感染的主机、所属分支、文件名、病毒名称、传输协议等；支持导出文件威胁分析结果。

挖矿专项检测

★支持挖矿专项检测，可实时查看挖矿各个攻击阶段，包括感染挖矿病毒、与控制端建立通信、获取挖矿任务、尝试挖矿、挖矿成功等；支持挖矿币种分布、挖矿风险态势、受影响主机等维度分析统计。（需提供服务模块相关功能截图证明，服务工具供应商盖章）

邮件深度检测

支持邮件威胁分析，可展示收件人TOP5、发件人账号TOP5、恶意邮件类型分布、危害和处置建议；支持对恶意邮件详情分析，包含收件人账号、恶意邮件数量、发件人账号、附件名称、病毒名称、恶意链接名称等，并支持导出分析结果。

横向访问分析

★支持横向访问服务器流量分析，包括TOP5应用流量趋势、TOP5协议趋势；支持服务器视角和来访分支视角，其中服务器视角可展示服务器IP、总流量、源IP数量、应用TOP10、协议端口TOP10、连接失败数、最大并发，并支持以表格形式导出数据。（需提供服务模块相关功能截图证明，服务工具供应商盖章）

支持横向访问最活跃的源主机分析，可按访问IP次数排序和按访问次数排序，支持展示源IP地址、目标IP数、首次请求时间、最近请求时间、日志数等，并支持以表格形式导出数据。

威胁影响面分析

★支持主机威胁影响分析，发现风险主机对内部主机发起的横向攻击、违规访问、可疑行为和风险访问。（需提供服务模块相关功能截图证明，服务工具供应商盖章）

★服务交付材料要求

交付物名称：《首次威胁分析与处置报告》，报告频率：一次

交付物名称：《事件分析与处置报告》，报告频率：按需触发，不限次数

交付物名称：《安全通告》，报告频率：按需触发，不限次数

交付物名称：《综合分析报告》，报告频率：每月一次

交付物名称：《季度汇报PPT》，报告频率：每季度一次

交付物名称：《年度汇报PPT》，报告频率：每年一次

（提供以上每一个交付报告样本示例，并加盖公章）

其他交付资料：

《安全能力差距分析报告》2次/年

《安全能力建设评估表》2次/年

《资产梳理清单》1次/年

《漏洞扫描报告》2次/年

《外部威胁分析报告》2次/年

《入侵检查报告》2次/年

《基线检查报告》1次/年

《渗透测试报告》1次/年

《服务器安全加固报告》1台

《安全风险评估报告》1次/年

《新增业务安全风险评估报告》1次/年

《应急响应报告》按需触发

《应急演练方案》1次/年

《应急演练记录》1次/年

《应急演练报告》1次/年

培训PPT、培训方案及文档：每年不少于4次

《安全运营报告》4次/年

评分项目

评分标准

得分

价格分

（35分）

价格分

采用低价优先法计算，即满足招标文件要求且投标价格最低的投标价为评标基准价，其价格分为满分35分。其他投标人的价格分统一按照下列公式计算：

投标报价得分=（评标基准价/投标报价）*35%*100（保留二位小数）

35分

资质分

（10分）

资质证书

ISO-IEC27001信息安全管理体系，ISO20000信息技术服务管理体系认证，ITSS三级，CCRC-安全运维三级 （每个资质2.5分，缺少一个扣2.5分，满分10分，）

10分

技术分

（55分）

技术参数

招标文件技术参数中，打★号的指标参数为重要指标要求，有负偏离的每一项扣2分，其它性能指标参数每偏离一项扣1分，直至扣完为止。但该偏离不得影响设备使用性能，否则视为无效投标。

对于打★号功能指标参数，需按照要求提供相应的第三方检测报告或产品功能截图，并加盖厂商公章。否则视为不满足。

32分

厂商质保服务函

要求提供系统所涉及到的全网行为管理、EDR主机杀毒的厂商质保服务承诺函，需提供原厂商加盖公章的原件。全部提供得5分，否则不得分。

5分

资质要求

全网行为管理

▲为保障产品安全审计功能的专业度和权威性，要求产品厂商为国家标准《信息安全技术信息系统安全审计产品 技术要求和测试评价方法》的主要起草单位。（提供相关证明，并加盖厂商公章）

▲要求产品厂商为《上网行为管理系统安全评价规范行业标准RB/T204-2014》

以上需提供相关证明材料，并由设备制造商加盖公章确认。

满足其中一项，得2.5分。满足两项，得5分。

5分

EDR主机杀毒

▲为保证杀毒软件对漏洞的检测能力，要求所投软件生产厂商需是国家信息安全漏洞共享平台CNVD用户组及用户组成员。

▲要求所投产品厂商具有中国信息通信研究院颁发的《面向云计算的安全运营中心能力要求》，能够为用户的云资产管理、安全策略管理等提供有效的支持。

以上需提供相关证明材料，并由设备制造商加盖公章确认。

满足其中一项，得2.5分。满足两项，得5分。

5分

技术方案

深刻理解我单位需求，方案具有科学性、合理性、完善性，规范性和可操作性。

描述完整有针对招标单位实际使用需求提出对应解决方案得5~8分（含本数），描述一般的给1~4分（含本数）；未描述则不得分。

8分