第三章 货物需求

序号

重要性

指标项

指标要求

证明材料要求

（参数类型）

（1）

一 安全网关（2套）

（2）

▲

设备要求

机架式独立硬件设备，系统硬件为全内置封闭式结构，多核架构设计MIPS架构，功能采用模块化结构设计，加电即可运行，启动过程无须人工干预，提供CPU型号、频率。

（3）

设备要求

内置硬件、软件Bypass机制，在设备流量异常、突增、异常断电、重启等情况时，可自动切换到Bypass状态，当设备恢复时，可自动切换回工作状态

（4）

★

端口要求

配置12个千兆电口；12个千兆光口；冗余电源。配置：下一代防火墙模块，防病毒模块，入侵检测与防御模块，上网行为管理模块，Web安全防护模块。

（5）

★

性能要求

网络层吞吐率：9Gbps；

最大并发连接数：300万；

每秒最大新建HTTP链接数：10万

（6）

技术要求

支持4G USB 插卡。支持在4G接口上运行IPSec VPN。

（7）

技术要求

支持路由模式、透明（网桥）模式、混合模式、旁路模式；旁路部署支持加入2个以上物理接口，无需接口对；部署模式切换无需重启设备。

（8）

技术要求

系统定义超过8500+条主流攻击规则，包含Backdoor、bufferoverflow、dosddos、im、p2p、vulnerability、scan、webcgi、worm、game，入侵防御特征库BPS检出率为85%以上；

（9）

技术要求

支持显示规则特征的CVE编号、CNNVD编号、操作系统、发布年份、厂商等信息，支持基于规则ID、名称关键字、CVE ID、CNNVD等搜索入侵攻击特征；支持基于攻击类型、严重程度、日志记录、动作、操作系统、发布年份、厂商等信息组合过滤规则。

（10）

技术要求

支持针对IP、端口进行端口扫描，可选择立即执行或定期执行；支持呈现扫描结果，包括端口、端口状态、端口服务、程序版本、操作系统、风险状态、设备类型和时间等信息，支持导出功能。

（11）

★

技术要求

支持针对搜索引擎、http、网页内容进行关键字过滤并实时生成日志记录，日志级别包括但不少于紧急、告警、严重、通知、信息、调试、不记录等，方便管理员快速区分用户上网行为属性和定位日志级别。内置URL分类库，支持≥56个URL分类，URL库可在线升级

是

（12）

技术要求

支持在设备旁路部署时针对违规上网行为进行阻断过滤。

（13）

技术要求

支持IPv6入侵防御、病毒防护、Web防护、风险扫描、安全分析、资产发现、弱密码防护等安全功能

（14）

技术要求

支持流量限额功能，可基于用户、源IP、目的IP、时间、应用等维度，进行日流量总额、月流量总额、当日使用时长、当月使用时长等限额类型进行流量管理；针对达到限额阀值的用户进行弹窗提醒，限额阀值和弹窗提醒频率支持自定义；针对超过限额的用户，管理员可选择禁止上网或者加入至惩罚流控通道。

（15）

技术要求

针对私接网络行为，惩罚方式包括但不限于无操作、阻断和限速，阻断和限速支持自定义惩罚时长。

（16）

技术要求

支持标准IPsec VPN和快速IPsecVPN，标准IPsecVPN认证方式包括但不限于国密认证、数字证书和预共享密钥；同品牌设备快速IPsecVPN对接时加密算法等参数无需配置，自动生成，仅需配置保护子网、共享密钥、IP地址。

（17）

技术要求

支持单用户全天行为分析报表，一个界面同时展示用户名、用户组、在线时长、虚拟身份（如QQ号码、微博账号等）、日志关联情况、全天流量使用分布、网站访问类别分布、全天关键网络行为轴等信息。

（18）

★

技术服务要求

钓鱼邮件服务&安全意识教育与培训（每年一次）：根据网络安全法第三十四条、《信息安全技术网络安全等级保护基本要求》8.1.8.3安全意识教育和培训相关要求，定级对从业人员进行网络安全教育、技术培训等。

（19）

★

技术服务要求

基于钓鱼测试服务，通过定期发送钓鱼邮件的方式，提升员工识别钓鱼邮件能力；通过嵌入式学习方式，推动企业强制性合规教育、防范商业邮件欺诈与勒索软件。

（1）

二、高级威胁网络防护系统（2套）-防毒墙

（2）

▲

设备要求

产品必须为专业性防毒墙设备及专业性网关防病毒产品资质，而非NGAF、NGFW、UTM设备及资质。

（3）

★

设备要求

硬件外形：软硬一体化1U标准机架式设备；开启：防病毒、勒索软件防护安全模块、IPS（含虚拟补丁）模块、VPN安全模块。

（4）

端口要求

标配6*GE电口，支持2组Bypass，单电源。

（5）

性能要求

网络层吞吐率：4Gbps

防病毒吞吐率：800Mbps

（6）

技术要求

支持桥接模式、路由模式、监控模式 (旁路模式) 、多路ISP & WAN模式部署；

（7）

▲

技术要求

支持HTTP/SMTP/POP3/FTP/SMB/TFTP/TCP/UDP/NFS/SNMP/ICMP/RTMP/DNS/IRC等超过100种协议病毒查杀；

（8）

★

技术要求

可与APT增强侦测模块联动，获取APT增强侦测模块侦测到的C&C黑名单，并阻止C&C违规外联，有拦截弹框提示且提供事件详情

（9）

技术要求

支持双防病毒引擎，并可按需切换

（10）

技术要求

支持SSL VPN、 Ipsec VPN 、PPTP VPN三种VPN技术，支持对VPN传输的内容防病毒扫描;

（11）

技术要求

支持多台设备配置统一下发，IOC共享、威胁统一处置能力,支持多台设备统一更新、状态状态统一查询;

（12）

技术要求

产品提供内置USB接口，可用于灵活扩展设备存储空间并保证数据安全。

（13）

技术要求

支持win7、win10的SMB 协议。

（1）

服务

（2）

▲

风险评估

风险评估（每年一次）：根据网络安全法第十七条、第二十六条、《信息安全技术网络安全等级保护基本要求》8.1.4.4、8.1.10.5等要求，定期开展风险评估活动。派遣工程师到用户现场，梳理资产安全风险，模拟黑客攻击，检查系统、设备自身健壮性，验证可能遭受的安全威胁，并形成报告。服务期：一年。

（3）

▲

风险评估报告

根据检测结果，出具《风险评估报告》。为铁岭公积金“八大渠道系统”进行渗透测试服务。前期准备：确认渗透测试的方案，方案内容主要包括确认的渗透测试范围、最终对象、测试方式、测试要求的时间等内容，并与用户签署渗透测试授权书。信息收集：通过渗透测试工具进行信息收集，内容包括：操作系统类型收集；网络拓扑结构分析；端口扫描和目标系统提供的服务识别等。渗透实施：根据收集的各类信息进行深入渗透测试，出具详细的测试报告，重点描述测试发现的问题、严重程度，同时在报告中提供对安全漏洞及问题的整改建议。服务期：一年

（4）

▲

问题复测

问题复测：同时配合用户单位一起讨论具体加固实施办法，规避安全整改风险，通过安全加固工作修复安全漏洞，降低安全风险。

（5）

▲

值守

重保值守、事件分析服务服务（每季度一次）根据网络安全第十条、第二十一条、第七十六条、《信息安全技术网络安全等级保护基本要求》8.1.10.13相关要求，保障网络免受干扰，有效应对网络安全事件，保障网络安全、运行稳定。重大节日时期，派遣专业安全服务工程师到用户单位驻场或远程，按用户指定时间，为用户信息安全提供5*8小时值守；针对安全分析所需基础数据，进行安全事件研判分析，识别安全事件并提供安全分析报告。值守服务:事前系统安全检查：对住房公积金管理中心业务系统（网站）服务器进行安全网站检测：对住房公积金管理中心WEB检查，排查风险。事前WEB网站进行安全检测，并出具专业安全分析报告。事前安全加固：对安全检查发现的问题进行整改，协助住房公积金管理中心对操作系统、中间件、数据库、网络设备等进行安全加固。敏感日安全值守：当出现敏感事件，敏感日或重大会议安保期间，为客户提供5*8小时安全值守，并出具安全监控报告。安全事件处置：对值守期间发生的安全事件进行分析与处置，降低安全事件给用户造成的影响。安全事件分析:定期由安全分析工程师接入专业大数据分析工具，针对安全分析所需基础数据，进行安全事件研判分析，识别安全事件并提供安全分析报告。告警深度分析：对受害IP的流量行为、资产特性、时间节点进行关联分析，排查告警产生原因、攻击路径和影响范围，并给出处置建议。数据库安全分析：深入分析数据系统登录行为、高风险数据操作语句，发现数据库系统异常登录、sql注入漏洞和系统命令执行等。报告输出：针对安全分析所需基础数据，进行安全事件研判分析，识别安全事件并在服务完成后编制提交《安全事件分析报告》。服务期：一年

（6）

★

质保与交付

安装调试并测试，利旧汇聚交换机、防火墙、网闸等安全设备配置调优，满足应用软件使用需要；

2、按照应用开发商的要求，共同提出适合于本项目应用系统运行的集成方案和系统配置方案，负责本次新购置设备的配置工作和服务的交付工作；

3、根据应用软件运行、系统连续运行和数据安全需要，并结合应用特点和负载情况进行优化，提高应用软件运行效率；

4、如果软件产品的部署和集成随着系统应用的深入需要不断进行调整，投标方需配合完成部署和集成的调整工作。质保三年。

其他安全服务一年。

三、服务器 1台

2U机架式服务器，1颗CPU：3204 /内存：≥ 16G / 硬盘：≥600G SAS*5 / 双网卡H460 / 网口：≥四个千兆电口 / 双电：≥550W / 导轨/质保三年。