华南理工大学智慧校园第二期项目（财务管理系统升级项目）（第二次）
（招标编号：ZB-10-04F-2021-D-E23549C01）
项目所在地区：广东省,广州市
一、招标条件
本华南理工大学智慧校园第二期项目（财务管理系统升级项目）（第二次）已
由项目审批/核准/备案机关批准，项目资金来源为其他资金/，招标人为中国银
行股份有限公司广东省分行。本项目已具备招标条件，现招标方式为其它方式
。
二、项目概况和招标范围
规模：华南理工大学智慧校园第二期项目（财务管理系统升级项目）（第
二次）
范围：本招标项目划分为1个标段，本次招标为其中的：
(001)华南理工大学智慧校园第二期项目（财务管理系统升级项目）（第二次）
;
三、投标人资格要求
(001华南理工大学智慧校园第二期项目（财务管理系统升级项目）（第二次）)
的投标人资格能力要求：1、具有独立承担民事责任的能力。
2、遵守法律法规，具有良好的商业信誉和健全的财务会计制度。
3、在参加我行采购活动前3年内，经营活动中没有重大违法违规记录或涉及环
境保护、劳动用工等方面的违法违规行为，以及没有被我行认定为损害我行权
益的行为。
4、提供的货物、工程或服务符合国家、行业标准及我行要求。
5、具有为我行提供货物、工程或服务所必需的设备和专业技术能力。
6、截止本项目公告发布之日，未被禁止参与我行采购活动（已解除处罚的除外
）
。
7、本项目不接受联合体参加。
8、未经我行同意不得将本项目以任何方式进行转包或分包；
9、供应商应主动披露与其存在关联关系的其他供应商。对于存在关联关系的不
同供应商，不得同时参加同一子包采购或者未划分子包的同一项目采购。关联
关系企业包含以下情况之一：
（1）与本单位的单位负责人(含法人)为同一人的其他单位；
（2）与本单位存在直接控股、管理关系的其他单位，含母公司与全资子公司或
由其控股的子公司（但国家控股的企业之间不仅因为同受国家控股而具有关联
关系）。
10、供应商应主动披露其与我行人员利益关系，对于存在下列情形之一的供应
商，我行保留不接受其参与本项目的权利：
（1）供应商的法定代表人、董事、监事、主要控股股东、实际控制人或拟派项
目团队人员曾经与中国银行广东省分行（含辖属分支机构）存在劳动关系。
（2）供应商的法定代表人、董事、监事、主要控股股东、实际控制人或拟派项
目团队人员与中国银行广东省分行采购相关部门（广州分行、天河支行、财务
管理部）管理层成员或利益关联人员有夫妻、直系血亲关系。
;
本项目不许合体投标。
四、招标文件的获取
获取时间：从2021年12月01日 09时00分到2021年12月07日 17时30分
获取方式：公诚管理咨询有限公司“诚E招”电子采购交易平台（www.chen
gezhao.com），符合资格的供应商应当在规定时间内前往诚E招电子采购交易平
台完成报名登记并获取竞争性磋商文件。
五、投标文件的递交
递交截止时间：2021年12月13日 09时30分
递交方式：广州市东风西路197号
广州国际金融大厦附属综合楼三楼集中采购中心纸质文件递交
六、开标时间及地点
开标时间：2021年12月13日 09时30分
开标地点：广州市东风西路197号
广州国际金融大厦附属综合楼三楼集中采购中心
七、其他
公诚管理咨询有限公司受中国银行股份有限公司广东省分行的委托，对华南理
工大学智慧校园第二期项目（财务管理系统升级项目）（第二次）进行竞争性
磋商采购。欢迎符合资格条件的供应商参加。
一、项目基本情况
1、项目编号：ZB-10-04F-2021-D-E23549C01
2、项目名称：华南理工大学智慧校园第二期项目（财务管理系统升级项目）（第二次）
3、项目内容及需求：本项目选取1家供应商，为采购人提供财务管理系统升级
服务，具体服务要求详见磋商文件第二部分《用户需求书》。
二、供应商资格条件：
（一）供应商基本要求
1、具有独立承担民事责任的能力。
2、遵守法律法规，具有良好的商业信誉和健全的财务会计制度。
3、在参加我行采购活动前3年内，经营活动中没有重大违法违规记录或涉及环
境保护、劳动用工等方面的违法违规行为，以及没有被我行认定为损害我行权
益的行为。
4、提供的货物、工程或服务符合国家、行业标准及我行要求。
5、具有为我行提供货物、工程或服务所必需的设备和专业技术能力。
6、截止本项目公告发布之日，未被禁止参与我行采购活动（已解除处罚的除外
）
。
7、本项目不接受联合体参加。
8、未经我行同意不得将本项目以任何方式进行转包或分包；
9、供应商应主动披露与其存在关联关系的其他供应商。对于存在关联关系的不
同供应商，不得同时参加同一子包采购或者未划分子包的同一项目采购。关联
关系企业包含以下情况之一：
（1）与本单位的单位负责人(含法人)为同一人的其他单位；
（
2）与本单位存在直接控股、管理关系的其他单位，含母公司与全资子公司或
由其控股的子公司（但国家控股的企业之间不仅因为同受国家控股而具有关联
关系）。
10、供应商应主动披露其与我行人员利益关系，对于存在下列情形之一的供应
商，我行保留不接受其参与本项目的权利：
（1）供应商的法定代表人、董事、监事、主要控股股东、实际控制人或拟派项
目团队人员曾经与中国银行广东省分行（含辖属分支机构）存在劳动关系。
（2）供应商的法定代表人、董事、监事、主要控股股东、实际控制人或拟派项
目团队人员与中国银行广东省分行采购相关部门（广州分行、天河支行、财务
管理部）管理层成员或利益关联人员有夫妻、直系血亲关系。
三、本项目磋商文件获取方式：
1、时间：2021年12月1日至2021年12月7日，每天上午9:00至12:00，下午12:00
至17:30（北京时间，法定节假日除外 ）。
2、地点：公诚管理咨询有限公司“诚E招”电子采购交易平台（www.chengezha
o.com）。
3、方式：符合资格的供应商应当在规定时间内前往诚E招电子采购交易平台完
成报名登记并获取竞争性磋商文件。
（1）“诚E招”注册方式详见【诚E招电子采购交易平台-帮助中心-操作指南-
注册指引】，注册成功后请登录，登陆后可在【常用文件】处下载《投标人&供
应商操作手册》；“报名登记”方式详见《投标人&供应商操作手册》-
“
3.1.1”；“购买文件、支付及下载文件”方式详见《投标人&供应商操作手
册》 -“3.2”。
（2）在诚E招电子采购交易平台完成购买竞争性磋商文件即完成投标登记。
（3）平台操作若有疑问，可致电客服热线：020-89524219。服务时间8:30-
17:30（法定公休日、法定节假日除外）。
4、售价：免费。
四、响应文件提交
1、截止时间：2021年12月13日9时30分（北京时间）
2、地点：广州市东风西路197号
广州国际金融大厦附属综合楼三楼集中采购中心。
五、磋商时间
1、时间：2021年12月13日9时30分（北京时间），具体磋商时间按递交响应文
件先后顺序进行排序。
2、地点：广州市东风西路197号
广州国际金融大厦附属综合楼三楼集中采购中心。
六、其他补充事宜
无。
七、代理机构联系方式
联系人：梁小姐
电话：[13622838725]；
邮箱： [gczx_zbywb@163.com]；
联系地址：[广州市东风西路197号中国银行广东省分行综合楼三楼集中采购中
心]；
采购代理机构：公诚管理咨询有限公司
发布时间：2021年11月30日
八、监督部门
本招标项目的监督部门为/。
九、联系方式
招 标 人：中国银行股份有限公司广东省分行
地 址：广州市越秀区东风西路197—199号
联 系 人：谢经理
电 话：/
电子邮件：/
招标代理机构：公诚管理咨询有限公司
地 址： 广州市天河区天河北路423号远晖大厦8楼
联 系 人： 梁小姐
电 话： 13622838725
电子邮件： gczx_zbywb@163.com
招标人或其招标代理机构主要负责人（项目负责人）： （签名）
招标人或其招标代理机构： （盖章）
用户需求书
一、项目概况
华南理工大学是直属教育部的全国重点大学，1995年进入“211工程”行列；20
01年进入“985工程”行列；2017年入选“双一流”建设A类高校名单。华南理工大学
分为三个校区，五山校区位于广州天河区石牌高校区，大学城校区位于广州番禺
区广州大学城内，广州国际校区位于广州市番禺区创新城。
本项目的建设适应学校财务“一校三区”管理发展需要，基于学校财务管理的
现状，通过财务信息安全软硬件设备的改造和升级，对目前在运行的信息安全硬
件设备进行更新换代，补充购置信息安全软件，切实改善学校财务应用系统的信
息安全防护条件，为学校财务信息化系统的建设发展提供良好的信息安全支撑
保障。
二、建设原则
（一）信息安全建设是财务信息化推进过程中的重点，是财务信息化平稳发
展的重要支撑，是财务应用系统稳定运行的基础保障。对财务信息安全软硬件进
行更新，以满足财务信息化建设的基本需求，进一步提升财务信息化防护水平。
（二）本次采购的软硬件应具备行业先进性，既要保障当前财务应用系统的
安全稳定运行，也应满足学校财务业务未来发展以及应用系统增加的需求。
三、建设内容
（一）采购设备清单
本期项目旨在加强财务信息化系统信息安全的基础支撑，具体建设清单如
下：
序号 硬件/软件名称 设备类
型 数量 单位
1 服务器安全套件 软件 1
(50)套
(点)
2 终端安全管理系统 软件 1
（100）套
（点）
3 网络安全防火墙 硬件 1 套
4 安全隔离与信息交
换系统 硬件 1 套
5 服务器 硬件 1 套
（二）技术参数要求（1、关键指标用“★”，不满足即废标。2、重要技术参数要求用“
▲”标记，需提供指标要求的证明文件，供应商中标后，用户单位会对中标产品进
行参数验证，如发现虚假应标，则对供应商做废标处理）
1、服务器安全套件参数要求
序号 主要模
块名称 指标重要
性 技术指标
统一管理 1）支持主机一键式安装和卸载agent。
2）支持通过后台对Agent进行统一管理，包括重
启agent、agent主机信息展示等。
密码保护 支持在服务端设置Agent卸载密码，防止Agent在
服务器上被人为手工卸载。
灰度更新 支持通过远程在线方式，批量对Agent版本进行灰
度更新，可指定Agent更新范围和指定更新时间；
升级后无需重启服务器。
理
性能限制 可在服务端主机资源占用过高的情况下配置CPU、
内存相关参数，支持设置CPU使用率阈值和设置超
过的时间，达到设置限制条件后CPU使用率会自适
应采用降级措施；agent可限制自身进程CPU使用
率；同时支持设置agent自动退出服务和自动恢复
服务的CPU使用率和内存使用率阈值。主机安全50
个服务器授权，WEB应用防护10个服务器授权AGEN
T，网页防篡改10个服务器授权AGENT。
2 资产管
理 资产采集 支持采集主机上的开放端口、网站、web容器、第
三方组件、数据库、进程、账号、软件应用、内核模
块、web框架、web应用、启动项、系统安装包、JAR
包、环境变量、计划任务等，需要支持但不限于以
下功能信息：
1）支持采集已安装轻代理主机中的各类信息，支
持采集主机内外网IP、主机名、操作系统、系统内
核、业务角色、安装时间等信息；支持主机自定义
分组管理、支持主机资产价值自定义管理；为方便
日常运维，要求支持通过主机分组、体检分数、主
机状态、操作系统、业务角色、资产价值、安装时
间等条件过滤筛选并可导出结果。
2）支持探测主机上对内端口及对外端口，可采集
端口对应的服务及端口协议信息。为方便日常运
维，要求支持通过主机IP、主机名、系统内核、端
口号、协议等条件过滤筛选并可导出结果。
3）支持采集主机上的Web容器信息，可采集Web容
器的版本、安装路径、等信息；支持Web容器类型包
括但不限于Apache、IIS、JBoss、Nginx、Tomcat、W
eblogic等；为方便日常运维，要求支持通过主机I
P、主机名、系统内核、容器名称、版本号等条件过
滤筛选并可导出结果。
4）支持采集主机上的第三方组件信息，可采集第
三方组件的版本、安装路径、相关网站等信息；支
持的第三方组件有CKEditor、DedeCMS、Discuz、P
HP、PHPMyAdmin、Struts2、WordPress、Zabbix等；
为方便日常运维，要求支持通过主机IP、主机名、
系统内核、组件名称、版本号等条件过滤筛选并可
导出结果。
5）支持采集主机上的数据库信息，可采集数据库
的版本、安装路径等信息；支持的数据库类型包括
但不限于Hadoop、Memcahed、MySql、Redis等。为
方便日常运维，要求支持通过主机IP、主机名、系
统内核、数据库名称、版本号等条件过滤筛选并可
导出结果。
▲6）支持探测主机上的网站信息，可采集网站域
名、网站安装路径、网站运行状态及网站相关的we
b容器等信息。为方便日常运维，要求支持通过主
机IP、主机名、系统内核、网站域名等条件过滤筛
选并可导出结果。(需要提供功能截图证明，加盖
原厂公章)
▲7）支持采集主机上的进程信息，可采集进程的
路径、版本、hash值等；支持进程白名单设置、业
务进程设置等；可通过运行状态、进程标签、进程
权限、是否系统进程、是否自启动、是否包管理安
装、是否服务进程等多个维度进行进程信息的筛
选。要求支持通过主机IP、主机名、系统内核、进
程名称、版本、hash值等条件过滤筛选并可导出结
果。(需要提供原厂承诺函，加盖原厂公章)
8）支持采集主机上的账号信息，可采集账号的用
户名、是否Root权限、Shell、状态、上次登录时间
、
可否交互登陆、登录方式、所属用户组、UID、密
码过期时间、上次密码修改时间、终端、IP、用户
主目录、上次密码修改时间、是否可交互登录等信
息；要求支持通过主机IP、主机名、系统内核、用
户名等条件过滤筛选并可导出结果。
资产变更
分析 支持对各类资产的变动情况进行记录，便于审计
历史变动，自主发现异常资产行为；支持主机分组
及各类资产信息标签添加；支持资产采集频率设
置；支持资产信息导出；支持主机及对应资产双维
度查看。支持按不同时间维度进行统计比对分析。
资产一键
搜 支持点击资产所属类目下的相关资产进行资产信
息查询；支持一键搜索，通过输入资产或主机关键
词进行快速查询主机资产；支持主机视图、资产视
图双维度查看。
▲网站漏
洞 网站漏洞：支持检测Discuz远程代码执行漏洞、De
deCMS注入漏洞、WordPress
IP验证不当漏洞，支持漏洞忽略、修复操作。(需
要提供功能截图证明，加盖原厂公章)
▲弱口令 可识别操作系统弱口令、数据库弱口令、应用弱口
令，应包括：ssh、RDP、MySQL、FTP、Redis、MongoDB
、
Memcached、ElasticSearch、PostgreSQL、Samba
、
VSFTP、SNMP，支持弱口令忽略操作。(需要提供
相功能截图证明，加盖原厂公章)
配置缺陷 具备操作系统、Web容器、数据库、及其他应用的
配置缺陷检测检测能力，支持Windows2003、Windo
ws2008、Windows2012、Windows2016等各种Window
s系统配置缺陷检测。
主机系统
漏洞 展示安全体检的操作系统漏洞信息，包括CVE号、
漏洞名称、风险等级、风险信息、修复建议、发布
时间等详细信息。并提供对漏洞进行修复。
应急漏洞 应急漏洞模块可采集近期爆发出的高危漏洞，通
过应急漏洞的检测功能对主机资产进行快速检测
，
确认是否有资产受到影响；支持漏洞和主机过滤
，
通过漏洞类型、风险等级、修复影响、影响软件、
漏洞名称、等进行漏洞过滤，通知主机分组、标签
、
状态、内核版本等进行主机过滤；支持应急漏洞
库设置，采集应急漏洞信息、统计应急漏洞总数；
支持检测任务设置，可创建检查任务，设置检测漏
洞及检测主机范围。
4 入侵威
胁 入侵威胁
检测 通过入侵威胁及时发现主机入侵安全问题，能支
持识别并能处置病毒木马、网页后门、反弹shell
、
异常账号、日志删除、异常登录、异常进程、系统
命令校验等入侵威胁事件。需要支持但不限于以
下功能：
1）支持对恶意进程及软件进行查杀，并提供隔离、
信任等操作。
▲2）支持强大的病毒查杀引擎，支持发现二进制
病毒木马信息，包含病毒的类型、hash、路径，并
且提供对病毒的隔离、信任和下载，支持显示病毒
引擎版本号。(需要提供功能截图证明，加盖原厂
公章)
3）支持网页后门检测，可展示安全体检和实时防
护的webshell文件信息，包含webshell的类型、ha
sh、路径，并且提供对webshell文件隔离、信任、
下载和查看操作。
4）支持反弹shell检测，可安全体检和实时防护的
反弹shell进程、进程运行参数、父进程和父进程
运行参数、本地地址和反弹的目的地址。
5）支持异常账号检测，可支持影子账号、篡改系统
账号的检测识别及事件关闭，影子账号支持禁用
处理。
▲6）支持windows日志删除的检测识别及事件关
闭，支持windows日志删除事件告警(需要提供功
能截图证明，加盖原厂公章)
7）支持异常登录行为检测，包括异常地点、异常IP
、
异常时间和暴力破解登录信息。
8）支持异常进程检测，展示安全体检的子进程高
于父进程权限进程、隐藏进程和隐藏端口进程信
息。
▲9）支持检测系统命令被篡改的信息，包括篡改
后的hash,
路径、篡改系统命令的危害和建议，并提供隔离和
信任操作。(需要提供产品功能截图证明，加盖原
厂公章)
★10）支持开放主机的特定端口作为蜜罐，让主机
对各蜜罐端口进行监听，一旦发现攻击者尝试连
接同时对内网存在的特定端口扫描行为进行检测
并实时告警，告警信息至少包括：发现时间、攻击
源IP、攻击目标IP、攻击端口，支持自定义配置蜜
罐策略，支持设置白名单。(需提供原厂承诺函，
并加盖原厂公章。供应商中标后，用户单位会对产
品参数进行验证，如发现虚假应标，则作废标处理
)
威胁分析 展示不同类型威胁的攻击趋势和不同类型攻击威
胁的详细攻击特征信息，并可以对攻击IP加入黑
名单。(需要提供相关截图证明)
登录监控 支持监控主机登录情况，可以设置常用地点、常用
IP、常用时间段，支持监控类型包括异常地点、异
常时间、异常IP和暴力破解登录等。
操作审计 监控主机上的shell命令并记录命令内容、进程和
操作用户和登录IP，可以通过定义的规则进行筛
选威胁的命令。
完整性监
控 支持监控文件和目录的完整性情况，包括文件被
修改、删除和新增，支持设置文件夹和特定文件监
控，支持白名单路径和文件类型。
进程监控 支持监控服务器进程，实时发现可能存在的异常
进程。
会话监控 支持监控主机上网络连接情况，采集会话连接的
协议、本地地址、本地端口、外部地址、外部端口、
进程等会话信息，并生成主机会话连接图表。
性能监控 1）支持监控服务器的CPU、内存、网络流量、硬盘
等资源。
2）支持对IIS、Apache、Nginx、MySQL、SQLSever等
性能监控。
▲监控日
志 包括对登录监控、进程监控、资源监控、性能监控
进行监控记录，历史记录支持按天、按周、按月进
行趋势分析，保存时间超过180天。(需要提供原厂
承诺函，加盖原厂公章)
6 威胁情
报 威胁情报 支持通过本地和云端威胁情报库数据进行匹配，
捕获潜在的威胁信息，包括IP、C&C域名、hash值。
支持情报类型、情报指标、命中次数以及威胁特征
。
7 安全体
检 安全体检 1）支持对主机进行即时安全体检及定时体检两种
安全检测，检测的项目包括但不限于：病毒木马、
网页后门、反弹shell、异常账号、日志删除、异常
进程、系统命令校验等。
2）支持用户自定义安全体检项目，病毒木马检测
支持快速扫描、全盘扫描及自定义路径扫描三种
方式，网页后门检测支持自定义路径扫描。
3）支持即时体检及定时体检两种体检模式，即时
体检即检测命令下发后后立即执行体检命令；定
时体检用户设置扫描周期、扫描时间段后系统会
按照设置规则定时执行体检命令。
▲4）支持批量体检策略下发，通过设置体检的类
型、体检的项目、体检的主机范围进行批量体检策
略下发。并且支持定时体检策略与即时体检策略
两种类型。(需要提供原厂承诺函，加盖原厂公章)
5）支持体检报告生成及导出，体检报告展示体检
分数、健康指数，体检结果图表化展示及详细体检
问题说明展示，可导出Word、PDF格式的体检报告
。
8 态势 ▲主机安
全态势 支持展示整体内网主机威胁态势，包含各类主机
访问情况，各类威胁类型分析，包括入侵威胁、漏
洞风险、安全监控、资产变更情况。能展示失陷主
机情况，威胁事件趋势。(需要提供功能截图证明
，
加盖原厂公章)
9 安全报
表 安全报表 支持自定义时间区间分析生成全站攻击趋势、攻
击类型分布、资产分布、漏洞风险分布、漏洞发现
趋势、入侵威胁分布、入侵威胁发现趋势、新增监
控异常分布、监控异常变化趋势等图表。
10 安全防
护 ★安全防
护(需提供
原厂承诺
函，并加
盖原厂公
章。供应
商中标后
，
用户单
位会对产
品参数进
行验证，
如发现虚
假应标，
则作废标
处理)1、应支持暴力破解防护，包括不局限FTP防暴力破
解、远程桌面防暴力破解、MySQL数据库防暴力破
解等暴力破解防护功能，提供记录并拦截、记录不
拦截两种模式。
2、应具备扫描防护能力。提供设置记录和拦截的
两种防护模式，提供设置触发防护的规则和IP冻
结时间。
3、支持用户以风险信息为参考对攻击者IP进行加
黑处理，提供防护的IP黑白名单功能。提供黑白名
单批量导出及导入，黑名单下可设置记录并拦截、
记录不拦截两种模式。
4、支持端口安全安全策略，包括不局限于端口号
、
协议、策略以及例外的IP。
5、支持进程行为控制，能够有效的防止非法进程
操作，通过自学习或添加进程白名单，对非白名单
进程的启动进行告警。
6、支持访问控制，包括不局限于文件保护、注册
表保护。提供设置系统文件保护的防护规则和自
定义文件的防护规则，提供设置注册表保护的防
护规则和自定义注册表防护规则。
7、支持自学习或添加进程白名单，对非白名单进
程将限制启动或进行告警。
8、支持多引擎技术识别并查杀最新病毒，应至少
包含三种查杀引擎；支持轻巧、中度、严格三种防
护等级。
虚拟补丁 支持在无需打补丁的情况下，通过虚拟补丁方式
完成漏洞防护，至少包括CVE-2018-5960、CVE-
2017-11610、CVE-2019-12086、CVE-2017-
17485等漏洞的虚拟补丁规则。
RASP防护 支持对RASP防护，至少包括反序列化攻击、Ssrf攻
击、非法文件写入攻击、XXE外部实体攻击等。
攻击分析 支持对攻击事件源和攻击源事件的分析；支持从
多个维度挖掘攻击者IP的地理信息、活跃度、攻击
手法特征、攻击次数、攻击服务器范围等并进行画
像分析和威胁程度排名，提供攻击IP风险分布图、
攻击IP地理分布图、最近30天攻击IP列表。
黑白名单
管理 支持通过设置IP地址为黑名单地址或者白名单地
址，调整指定IP/IP段对网站的访问权限。支持的
设置有白名单、黑名单、封禁。(，)
WAF防护 支持对WAF防护，至少包括SQL注入攻击、敏感资源
访问及探测、WebShell、WEB应用漏洞攻击、执行
命令漏洞攻击、window短文件名攻击、黑客工具利
用攻击、WEB容器漏洞攻击等。
文件保护 支持各类网页文件的保护，包括静态和动态网页
以及各类文件信息。
文件夹保
护 支持对指定文件夹以及子文件夹的保护，避免上
传非法文件及木马等恶意文件或插入恶意代码。
篡改恢复
功能 在驱动遭到破坏文件被篡改的情况下，系统能基
于事件触发机制及时恢复被篡改页面，恢复时间
小于5MS。(，)
断线检测 系统配置完成后，系统后台运行，支持断线检测。
持断线监
控保护 系统支持在断线情况下对网页文件目录的防护功
能。
网页文件
自动同步 系统可以从本地或异地备份文件夹自动同步到监
测目录内。
SSL安全协
议进行通
信和文件
传输 系统支持 SSL
安全协议进行通信和文件传输，保证通信过程安
全性。
篡改日志
查询 系统支持被篡改日志记录查询及导出，支持excel
导出查询。
13 ★服务
要求 服务要求 投标文件中提供针对本项目原厂授权函及原厂服
务承诺函，技术参数点对点指标响应函加盖原厂
公章，承诺设备安装调试完毕并经验收合格及交
付采购人使用之日起计，提供设备免费质保期不
少于原厂五年服务及五年免费软件版本升级服务
，
以满足质保期内产品版本和特征库保持最新的
需求。
2、终端安全管理系统参数要求
序号主要模块名称 配置要求
要求系统支持中/英文界面，系统部署采用 C/S 架构，管理采用 B/S 架构，管理员只需通过浏览器登录控制中心，即可对系统进行管理
要求服务端支持Windows XP、Windows 7、Windows 8、Windows 8.1、Windows 10、Windows Server 2003、Windows Server 2008、Windows Server 2012、Windows Server 2016、Windows Server 2019
要求客户端支持Windows XP、Windows 7、Windows 8、Windows 8.1、Windows 10、Windows Server 2003、Windows Server 2008、Windows Server 2012、Windows Server 2016、Windows Server 2019
要求客户端安装方式支持Web安装、远程安装、AD域环境批量安装、静默安装
要求客户端安装后占用30M硬盘空间， 病毒库大小不超过5M，日常内存占用不到10M，有效节省电脑资源。
要求中心支持容灾备份功能，当主中心计算机遭受如宕机、断电、硬件/软件故障等意外情况或人为操作错误导致主中心计算机无法正常使用时，备用中心将自动顶替宕机的主中心且同步数据。
终端在线数量、异常终端、最新安全动态、终端操作系统概览
要求支持展示全网终端安全事件可视化数据：7/30天病毒查杀事件、7/30天漏洞修复事件、7/30天系统防护事件、7/30天网络攻击事件
要求支持监控中心服务器性能：CPU使用率、内存使用率、磁盘占用率
要求支持定制防护策略以及策略细粒度配置：包括病毒防御（文件实时监控、U盘保护）；系统防御（系统加固、应用加固、软件安装拦截、浏览器保护、摄像头防护）；访问控制（IP协议控制、IP黑名单、联网控制、网站内容控制、程序执行控制、设备控制）
要求中心可配置与终端通讯时间，避免因通讯频繁导致负载过大。可限制终端单个连接最大下载速度，缓解对带宽带来的负荷
要求中心可启用SysLog日志导出功能，支持导出安全日志、升级日志、漏洞修复日志
要求支持邮件预警功能，当全网发现病毒事件发送邮件通知
要求中心具备事件日志模块，包含病毒查杀日志、病毒防御事件日志、系统防御事件日志、网络防御事件日志、访问控制事件日志、漏洞修复事件日志、终端管理日志、系统管理日志
要求中心配备安全工具及管理工具：离线升级工具
要求中心支持全局信任区可通过信任文件路径、信任文件校验和方法添加信任文件
要求可创建管理员，支持管理员接收邮件预警
要求具有多级中心功能，且多级中心支持无限制级数级联管理，管理员身份支持直接登陆下级中心，方便上级对下级管理，实现异地管控，最大化减少上级服务器压力
要求下级中心可配置从上级中心获取升级数据、补丁数据
要求支持备份终端信息,分组及规则,防护策略,事件日志,管理员信息,系统设置
要求支持按全网终端迁移或部分终端迁移，当网络环境发生变化或物理设备出现故障时可转移终端
要求支持设置管理员密码防止退出；防卸载密码防止客户端自行卸载
要求支持离线终端可设置过期时间，过期终端超时后将自动从中心删除
要求支持中心升级可配置手动、自动以及指定升级代理服务器
要求支持可对终端添加多个中心地址,当终端接入网络环境时,中心可对终端实施管控
要求中心可对全网终端下发登记任务，需登记的信息可自定义内容，支持设置必填项或非必填项
要求中心可按全网统计软件安装情况，包括软件名称、发布者、版本号、安装率；可对全网推送软件卸载任务且支持导出软件清单；按终端、按分组统计软件安装情况，可推送卸载任务
要求中心可统计全网操作系统版本信息且具有操作系统占比可视化数据图
要求中心可统计全网终端硬件信息包括CPU、内存、硬盘、网卡、显卡、主板且支持硬件清单导出
要求中心支持全网终端硬件变更历史记录包括变更时间、变更硬件、操作
要求展示终端基本信息：终端名称、计算机名称、本地IP、通信IP、MAC地址、终端类型、操作系统版本、终端版本、策略同步状态、最近登录用户等。能组合检索项进行全方位查询、定位、展示。
要求中心支持对终端下发快速查杀、全盘查杀、自定查杀任务，可推送终端升级、发送通知、同步防护策略、关机、重启等任务。中心支持将终端禁网，实现上网行为管控。支持将终端隔离区内文件恢复。支持将终端拉黑，避免占用授权点数。
要求中心具有远程桌面功能
要求中心可预览终端系统用户信息、软件信息、漏洞信息且支持对终端网络信息进行配置，可配置IP地址、DNS
要求中心可对终端下发文件分发任务，以系统权限运行且可携带运行参数
要求可设置定时任务，支持快速查杀、全盘查杀、自定义查杀、漏洞修复、终端升级、发送通知、关机
要求支持漏洞集中修复、统一修复所有漏洞，并展示以修复补丁和未修复补丁的信息
要求支持带宽设置：可限制终端下载补丁时单个连接最大下载速度，缓解对带宽带来的压力
补丁修复
要求支持补丁文件管理，缓存在中心本地的补丁，可进行下载
7 反病毒引擎 ▲要求具有反病毒底层技术，反病毒引擎为本地反病毒引擎，不依赖云（联网时的病毒查杀能力与断网时的病毒查杀能力一致）。具有轻量级的病毒库，却有较强的病毒查杀能力(需要提供功能截图证明，加盖原厂公章)
要求支持文件实时监控，当文件被执行、生成、访问时，文件实时监控通过反病毒引擎对相应文件进行扫描。用户可以根据自己需求配置不同的扫描策略，包括扫描时机和反病毒引擎相关配置等，从而在不影响日常电脑使用的基础上，实时保护电脑不受病毒侵害
要求支持U盘保护，U盘接入电脑时自动扫描根目录下文件、自动扫描被病毒修改的项目，保护电脑不被感染
要求支持下载保护，对互联网、即时通讯软件或网盘等下载的文件进行扫描
要求支持网络入侵拦截，拦截高危远程漏洞攻击，从而阻止勒索病毒、黑客攻击等通过响应漏洞入侵，可溯源到攻击源的地址，做出有效的动作，阻止病毒爆发
要求支持远程登录防护， 针对弱口令账号的有效防御手段，阻止黑客通过暴力猜密码入侵电脑，可以有效的阻止基于RDP协议的入侵方式
▲要求支持横向渗透防护，防护内网中已中毒机器感染其他主机，阻止横向传播、病毒以及木马的扩散(需要提供功能截图证明，加盖原厂公章)
▲可对终端SYN泛洪水攻击进行保护。可根据SYN洪水攻击的特点进行TCP连接数及连接请求阀值的设置，保证终端不受泛洪攻击；(需要提供功能截图证明，加盖原厂公章)
要求支持系统加固，针对病毒会利用或修改的系统脆弱点，设置相应的防护规则，有效保护系统关键文件不被篡改、破坏或恶意创建，防止特定注册表项目不被恶意篡改，监控针对系统的敏感行为，拦截高风险动作，阻止特定命令行被恶意利用的行为，保护系统关键进程不被攻击利用，针对病毒特殊行为
进行免疫等
要求支持软件安装拦截
要求支持IP协议控制，根据内网中的安全状态，灵活配置IP协议以及端口，在病毒爆发的第一时间迅速利用IP协议控制来遏止病毒的扩散或入侵行为
要求支持联网控制
要求支持网站内容控制，自定义限制计算机访问指定网址，达到屏蔽该网站的目的。限制访客访问不受信任的网站。
要求支持程序执行控制，自定义限制终端使用某软件
要求支持设备控制，可对U盘（可限制读写权限、加密、使用范围）、便携设备、USB有线无线网卡、打印机、光驱、蓝牙等设备禁用
要求具有U盘信任功能，当终端开启访问控制-设备控制-U盘设备时，可以通过在中心的“信任设备”功能来添加需要信任的移动存储设备，以允许该设备在任意终端使用。
▲要求支持对U盘注册的同时进行加密，即使U盘丢失，也可保护数据，防止数据泄露，对移动存储认证模式至少要支持专用目录加密和全盘加密二种认证模式，支持市面所有USB2.0及USB3.0的移动存储设备及大容量移动硬盘；(需要提供原厂承诺函，加盖原厂公章)
要求病毒库一天一更新，紧急重大事故多次升级
要求十万多种家族类型病毒，亿级别以上样本数量
要求支持内网环境中心使用离线增量包更新病毒库与组件版本
要求支持断网内网环境使用离线升级工具进行病毒库、版本组件、补丁数据的更新升级
要求支持客户端主动升级及平台即时/定时推送升级
14 日志报表 要求支持各类事件日志，包含病毒查杀日志、系统防御事件日志、网络防御事件日志、访问控制事件日志、漏洞修复事件日志、终端管理日志、系统管理日志
15 ★服务要求 提供原厂针对本项目授权函及5年7*24售后服务承诺函，并加盖原厂公章。
3、网络安全防火墙设备参数要求
序号 主要模
块名称 指标重要
性 配置要求
专有硬件
平台 ▲硬件平台采用先进的多核网络专用架构。硬件平
台采用多核处理器，使用64位MIP多核处理器，多
核核数≥10个(需要提供原厂承诺函，加盖原厂公
章)。
USB接口 USB接口≥1个，支持不依赖网络的外接U盘方式进
行系统升级
接口数量 千兆电口≥4个、SFP接口≥4个、万兆SFP+接口≥2个（配4块 SX
千兆多模光模块），4个扩展槽，最大支持扩展到40
个千兆接口/18个万兆口（提供产品技术说明书或
产品彩页。）
电源 ▲具有双冗余热插拔电源，配置交流双电源；具有
防雷保护功能（提供国家无线电监测中心检测中心
出具的检测中心浪涌（冲击）抗扰度（4KV）测试项目
的测试报告复印件并加盖原厂公章）。
设备功率 设备运行功率≤500W
扩展槽位 至少有四个通用业务扩展插槽（提供设备实物照片
）.
设备尺寸 小于等于2U标准机架设备
2.性能要
求 ★性能指
标需提供
原厂承诺
函，并加盖
原厂公章。
供应商中
标后，用户
单位会对
产品参数
进行验证，
如发现虚
假应标，则
作废标处
理。)吞吐量≥20Gbps；IPsec VPN吞吐率≥12Gbps；
AV防病毒≥5Gbps；IPS吞吐量≥7Gbps；最大并发会话
数≥1000万；每秒新建会话数(TCP)≥30万；每秒新建
会话数(HTTP)≥25万；最大IPSEC
VPN隧道数：最大可支持20000条隧道；SSL
VPN用户数：支持不少于10000个并发用户，提供8个
并发用户。
工作模式 支持透明、路由、混合、旁路4种工作模式
3.主要参
数和功
能 NAT（网络
地址转换）▲支持源NAT和目的NAT,且支持NAT扩展技术，使单
个公网IP支持的NAT转换端口突破65535限制(需要
提供原厂承诺函，加盖原厂公章)；
支持NAT地址可用性探测，支持NAT公网地址池中IP
有效性检测，避免因NAT地址无法使用导致业务中
断。
动态路由 ▲支持OSPF、BGP、RIPv1/v2、IS-
IS（动态路由协议非透传）路由(需要提供功能截图
证明，加盖原厂公章)
支持基于应用引流技术，提供基于时间、应用协议
的策略引流，如针对P2P、WEB视频协议，通过深度
应用识别，将这些应用产生的流量引流到特定的互
联网线路上。
支持基于URL引流技术，支持基于时间、URL的智能
引流技术，通过DPI的智能引流技术，从而对具体U
RL的访问动作进行策略引流，将某个URL的流量引
到特定的链路上。
BFD协议 支持BFD for Static/OSPF/BGP
支持A-P模式，A-
A模式，解决非对称路由场景的对等模式（提供官方
技术白皮书）
支持基于接口、HTTP、PING、ARP、DNS、TCP等监测
对象实现HA切换
硬件配有独立HA心跳口，面板明确标注HA接口
具备对应用程序的识别和控制能力。应用程序特征
库不少于3300种，并支持在线/手动更新
应用识别 支持应用过滤器便于配置和维护，至少支持6个维
度进行过滤，包括：名称、类别、子类、所用技术、
风险等级、特性；其中应用技术至少包括：基于浏览
器、客户端服务器、网络协议、点对点；风险级别包
括：1、2、3、4、5总共5个等级；特性包括：能够传输
文件、已被大规模使用、大量消耗带宽、易逃逸、易
被滥用、被其它应用使用、存在已知漏洞、被恶意
软件利用
抗DDOS攻
击 抗DDOS攻击：支持抵御下所列所有攻击类型，包括：
DNS Query Flood、SYN Flood、UDP Flood、ICMP
Flood、Ping of Death、Smurf、WinNuke
ALG应用 支持所列所有应用，包括：H.323、SIP、FTP、TFTP、
RSH、RTSP、SQL Net、HTTP、MS-
RPC、PPTP/GRE、SUN-RPC
支持会话控制功能，要求能够基于源、目的、应用
协议三种条件做会话数限制
支持会话控制功能，要求能够限制会话新建速率.
访问控制 支持按照应用、时间、用户帐号、IP地址、服务端口
、
物理端口等方式对数据进行访问控制
支持防火墙策略命中数统计功能，便于管理员维护
防火墙策略(需要提供功能截图证明，加盖原厂公
章)
支持基于国家地理位置设置安全策略(需要提供功
能截图证明，加盖原厂公章)
支持策略冗余检测，对策略重复检查(需要提供功
能截图证明，加盖原厂公章)
▲设备支持IPSEC
VPN算法硬件加速，需明确应答所支持的加速类型
、
实现方式(需要提供原厂承诺函，加盖原厂公章)
。
IPSEC VPN 严格遵循RFC国际标准，支持的加密算法有DES、3D
ES、AES128、AES192、AES256，SHA-256、SHA-
512等，支持DM5、SHA、SHA-256、SHA-384、SHA-
512等验证算法，可于主流VPN厂商互通
支持硬件USB-key的认证方式
支持基于手机短信的登录认证方式
支持文件证书的认证方式
硬件特征
码绑定 支持客户端硬件特征码绑定认证（要求提供产品界
面截图）
定制网页 支持登录SSL VPN后自动打开可自定义的网页.
客户端检
测 支持对登录SSL
VPN的用户端系统进行端点安全检查，至少包括指
定文件、指定进程、系统补丁、浏览器版本、杀毒软
件等方面。
支持使用通配符定义URL类型
支持30种以上域名分类库，控制不良网站访问，支
持查询URL归属的URL分类库，提供产品界面截图有
效
支持基于URL地址的关键字对域名进行访问控制，
提供产品界面截图有效.
支持自定义URL阻止访问的告警页面（URL重定向），
提供产品界面截图有效
支持两层八级管道嵌套，能够同时做到两个维度的
流量控制。
7.流量管
理 智能流量
管理（提供
官方智能
流量管理
白皮书）支持对多层级管道进行最大带宽限制、最小带宽保
证、每IP或每用户的最大带宽限制和最小带宽保证
。
8.IPS入侵
防御 运行模式 支持旁路和在线两种模式，支持基于安全策略和安
全域启用IPS功能，可在不同的攻击方向上启用IPS
（
至少支持流入\流出\双向等方向）。
协议支持 支持对HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、
UDP、DNS、RPC、FINGER、MSSQL、ORACLE、NNTP、DHCP
、
LDAP、VoIP、NETBIOS、TFTP、SUNRPC和MSRPC等常
用协议及应用的攻击检测和防御
特征库 具备7000种以上攻击特征库规则列表，至少支持基
于协议类型、操作系统、攻击类型、流行程度、严重
程度、特征ID等方式的查询。
具备4000种以上HTTP特征库规则列表。
支持SQL注入、XSS防护，支持HTTP头域中的URL、Co
okie、Referer、POST检查点配置防护策略。
支持外链检查防护，支持自定义外链特性，类型支
持HTTP、HTTPS、FTP。（F功能）支持CC攻击检测，支持访问限速、代理限速、自定
义请求阈值、爬虫友好等方法，检测到CC攻击时支
持JS
Cookie、重定向、访问确认、验证码四种认证方法。
支持屏蔽攻击者，至少支持阻断攻击者IP或服务两
种模式。
支持重置，向攻击者发TCP Reset包。
支持只记录日志，检测到攻击事件后记录日志。
支持防火墙联动，仅限IDS模式运行。
病毒库 具备200万种以上病毒特征库规则列表。
扫描文件
类型 支持对HTTP、FTP、SMTP、POP3、IMAP协议的应用进
行病毒扫描和过滤
处理方式 检测到病毒扫描和恶意网站时，至少支持填充、重
置连接、只记录日志三种处理方式。
压缩文件
扫描 支持对压缩文件类型的病毒检测，支持RAR、ZIP、G
ZIP、BZIP2、TAR等压缩文件类型；支持对多重压缩
文件的病毒检测，且不小于5层压缩，支持对超出
行为自定义处理方式。.
防病毒及
恶意网站 支持恶意链接和病毒警告提示，提示用户所访问的
网站为恶意网站或者发现病毒。
系统回滚 支持2个系统软件并存，并支持系统软件回滚，防
止配置不当或系统故障造成的网络中断，充分保证
了系统的稳定性。
配置文件
保存 支持10个配置文件并存，并支持配置回滚。.
RESTAPI管
理 支持通过RESTAPI接口进行配置和查看地址簿、病
毒过滤、入侵防御、安全策略、DNAT、SNAT、接口配
置、安全域、路由功能.
流量包统
计 支持按64字节、128字节、256字节、512字节等数据
包流量统计。
要求支持在WEB界面上显示设备的整机流量、接口
流量、每秒新建数、并发连接数信息。
要求支持基于IP地址总流量、上行流量、下行流量
，
最近1小时、最近一天、最近一月以及自定义时间
类型的统计。
要求支持基于应用的流量、并发连接数、新建连接
数的实时、最近1小时、最近一天、最近一月以及自
定义时间类型的统计。
要求支持对URL访问进行每小时、每天、每月统计，
并以柱状图或者饼状图形式排名直观显示。
提供SaaS模式的安全运维APP：通过手机可以第一
时间获知设备的实时CPU、内存、流量趋势，以及应
用、用户排名、威胁信息等安全状态、
帮助快速定位问题、安全可视化实时呈现。提供Ap
p下载URL。该APP不能是VPN
客户端软件。该APP不限制使用用户数。（，。
商中标后，
用户单位
会对产品
参数进行
验证，如发
现虚假应
标，则作废
标处理。)支持用户定义告警规则，配置CPU利用率、内存利
用率、流量过界做为触发条件。
11.★服务
要求 服务要求 投标文件中提供针对本项目原厂授权函及原厂服
务承诺函，技术参数点对点指标响应函加盖原厂公
章，承诺设备安装调试完毕并经验收合格及交付采
购人使用之日起计，提供设备免费质保期不少于原
厂五年服务及五年免费软件版本升级服务，提供五
年安全服务包AV、IPS、URL、QoS软件功能应用许可
及软件、应用特征库升级服务，以满足质保期内产
品版本和特征库保持最新的需求。
4、安全隔离与信息交换系统设备参数要求
序号主要模块名称 指标重要性 技术指标
产品架构 系统基本架构 “2+1”系统结构，内外端机为TCP/IP网络协议的终点，阻断TCP/IP协议的直接贯通。内外端机之间采用专用硬件和专用协议进行连接，不可编程。网闸以软硬件结合的方式，有效地隔断内外网络间直接的连接，防止信息无限制交换。
硬件架构 硬件架构由内端机、外端机、专有隔离硬件三部分组成。内端机和外端机各自具有独立主板、独立总线、独立的存储和运算单元；内端机和外端机之间非网线、USB线、SCSI线等线缆直连，基于光隔离技术专有硬件进行隔离和数据交换。
接口 内端机6个10/100/1000Base-T接口，4个SFP插槽，2个SFP+槽
外端机6个10/100/1000Base-T接口，4个SFP插槽，2个SFP+插槽
液晶屏 为方便管理与维护，要求具有液晶屏
吞吐量 6．8Gbps
并发连接数 40万
延时 1ms（，。）
电源 双电源
功能要求 为满足业务数据传输，要求提供安全浏览模块，文件传输模块，文件同步模块，邮件访问模块数据库访问模块，数据库同步模块，自定义访问模块
安全浏览功能 提供HTTP页面访问和WEB代理上网功能。
支持IP地址、端口、时间以及基于源用户身份的访问控制策略；
支持访问控制日志记录和告警功能。
支持http消息头、消息体，上下行方向，命令及关键字的管控。
支持文件类型特征识别，非扩展名过滤，包括可执行文件、文本文件、图片文件、多媒体文件等，支持上下行方向过滤单独控制。
文件传输功能 提供基于FTP协议和协议的文件传输功能。
支持代理、透明；
支持IP地址、端口、时间以及基于源用户身份的访问控制策略；
支持访问控制日志记录和告警功能。
支持FTP协议内部命令及数据层内容过滤。
支持文件类型特征识别，非扩展名过滤，包括可执行文件、文本文件、图片文件、多媒体文件等，支持上下行方向过滤单独控制。
内置FTP安全模块，支持内容过滤引擎、文件过滤引擎、病毒过滤引擎安全防护及单独启停控制。
▲可根据异常条件进行报警，如MD5校验失败、堆内存占用过高等条件；（要求提供功能截图，并加盖原厂公章）
数据库访问功能提供对多种主流数据库,如：MYSQL、SQLSERVER、ORACLE、DB2、SYBASE等系统的安全访问。
支持代理、透明；
支持IP地址、端口、时间以及基于源用户身份的访问控制策略；
支持访问控制日志记录和告警功能；
内置数据库安全模块，支持内容过滤引擎，能够对数据库用户名、命令、等内容进行管控，支持允许、阻断、告警三种处理方式。
安全邮件功能 提供安全的邮件访问功能，支持POP3、SMTP协议。
支持代理、透明；
支持IP地址、端口、时间以及基于源用户身份的访问控制策略；
支持访问控制日志记录和告警功能；
支持发件人、收件人、邮件标题、邮件正文、邮件附件等数据内容过滤，
内置邮件安全模块，支持内容过滤引擎、文件过滤引擎、病毒过滤引擎安全防护及单独启停控制。
全VOIP功能 提供音视频通话访问功能，支持SIP和H323协议。
支持代理、透明；
支持IP地址、端口、时间以及基于源用户身份的访问控制策略；
支持访问控制日志记录和告警功能；
内置VOIP安全模块，内置VOIP安全引擎，支持主被叫用户黑名单的控制。
自定义访问功能支持自定义的TCP、UDP协议的数据访问功能，用户自定义应用无需对自定义协议软件进行二次修改开发。
支持代理、透明、路由三种接入方式；
支持IP地址、端口、时间以及基于源用户身份的访问控制策略；
支持访问控制日志记录和告警功能；
文件同步功能 提供有客户端和无客户端两种文件同步方式。
无客户端方式无需在用户服务器上安装任何插件，网闸不开放任何服务端口；有客户端方式可提供专用文件同步客户端安装在用户服务器上，提供安全的文件同步服务。
支持NFS、FTP等多种文件服务器类型，支持实时同步和周期性同步。
支持文件同步重名策略处理，可选覆盖；
支持源文件处理策略，包括保留、删除、转存三种处理方式。开关控制；支持单一任务的线程数和可手动设置同步任务的线程数；
支持文件名和文件类型的黑白名单过滤，文件类型过滤基于文件特征识别，非扩展名识别，且支持文件类型识别。
数据库同步功能提供有客户端和无客户端两种数据据库同步方式。
无客户端方式无需在用户服务器上安装任何插件，网闸不开放任何服务端口；有客户端方式可提供专用文件同步客户端安装在用户服务器上，提供安全的数据库同步服务。
提供多种主流数据库系统如：ORACLE、SQLSERVER、MYSQL、达梦数据库的同步。
支持一对一、一对多、多对一方式的数据库同步；支持同构、异构数据库之间的同步，同步可具体设置到字段级别。
支持自动读取数据库表名和字段名，无需手动录入表名和字段名，降低配置复杂度。
支持数据库同步冲突策略处理，包括覆盖；
支持实时同步和周期性同步方式，可分别控制插入、删除、更新的同步操作。
▲支持数据库同步客户端的双机热备技术，为用户提供更高的冗余技术支持；（要求提供功能截图，并加盖原厂公章）
病毒防御功能 支持企业版和防御引擎，采用国内外知名厂商病毒库，支持病毒库升级，并提供后续升级服务。
DDOS防护功能 支持DOS攻击防御；
安全防护功能 提供IPV4IP+MAC绑定功能，支持基于物理接口和IP网段的IP+MAC主动探测，支持IP、MAC信息查询功能。
网络管理功能 网络接口支持IPV4\IPV6双栈IP地址配置，支持MTU、双工模式、接口速度的手动设置。
支持接口聚合，可手动设置聚合接口的负载均衡算法。
支持IPV4/IPV6双栈基础路由配置和邻居学习。
系统管理功能 提供统一的https管理界面，支持ssh和远程管理，支持配置文件的加密导入导出。
提供ping、traceroute、等诊断诊断测试工具，支持设备健康记录和调试信息的导入导出。
提供告警功能，支持邮件、声音、控制台、SNMP等多种告警方式。
志审计功能 支持日志审计功能，包括管理日志、系统日志、策略日志、同步日志和应用行为日志。支持日志记录查询、删除、导出，日志记录可导出文本文件。
支持日志记录本地数据库存储，也可以将日志传输到独立的日志服务器上，传输日志格式支持syslog，支持日志加密传输。
4 ★服务要求 服务要求 投标文件中提供针对本项目原厂授权函及原厂服务承诺函，技术参数点对点指标响应函加盖原厂公章，承诺设备安装调试完毕并经验收合格及交付采购人使用之日起计，提供设备免费质保期不少于原厂五年服务及五年免费软件版本升级服务，以满足质保期内产品版本和特征库保持最新的需求。
5、服务器设备参数要求
序号主要模块名称 指标重要性 技术指标
产品类别 机架式
产品结构 2U
CPU型号 英特尔至强金牌 6230R
CPU频率 2.1GHz，智能加速主频4.0GHz
CPU数量 2颗
CPU核心、线程52核心、104线程
内存类型 DDR4
内存容量 64GB
硬盘接口类型SATA/SAS
硬盘容量 4*8TB 7.2K SATA 3.5
磁盘控制器 H730 阵列控制器
集成网卡 Broadcom 5720四端口千兆网卡
iDRAC 1*专用 iDRAC 网络端口
6 光驱 光驱 DVDRW
7 电源 电源 双热插拔750w电源
8 服务 保修 5年上门服务
四、实施要求
学校对供应商项目实施的全过程进行技术监管，要求供应商严格遵照国家
软、硬件工程规范进行开发工作，根据开发实施进度及时提供进度反馈材料，确
项目实施能得到更好的质量控制。供应商须向学校提交合理的实施计划及详
细的进度安排计划，配合学校对项目实施组织方案进行追踪和控制。
（一）需求分析阶段
需求分析阶段要求供应商必须进行详细的业务需求调研，与学校进行充分
的互动，了解客户网络架构，熟悉当前网络安全防火墙、安全隔离与信息交换系
统等设备的配置情况。针对需求分析情况，给出具体的项目部署计划。
（二）系统部署阶段
根据需求分析，供应商提供软件、硬件设备的调试，测试系统质量达到客户
需求，并将系统部署至客户现场，本项目涉及到的综合布线工程及相关耗材由投
标人承担。供应商必须对测试的结果进行详细记录，对测试中出现的问题，给予
解决。
（三）试运行阶段
供应商必须对软硬件在试运行时的各种情况进行详细的记录，并对出现的
各种问题给予及时解决，并提交试运行报告。
（四）验收阶段
供应商需提交符合学校需求及银行要求的相关验收材料，待验收成功后，系
统转入维护服务阶段，提供合同规定的服务要求。
（五）维保阶段
本项目硬件及设备安全模块维保期为5年，软件维保期为5年。
1、硬件维保要求：
要求工作时段服务为7x24全天候提供，半小时内响应，包括国家法定节假日
。
如果服务覆盖的硬件出现无法远程解决的故障，则将在半小时内，采取当地最
快的交通方式赶到现场响应。确认接到呼叫后的半小时之内，工程师将在工作时
段范围内到达客户站点，开始提供硬件维修服务。
有突发网络安全事件，供应商应派遣高级安服人员，通过远程和现场支持
的形式协助客户对遇到的突发性安全事件进行紧急分析和处理。
对于需要更换而不进行维修的设备备件，更换的备件必须是新产品。
2、硬件巡检要求：
供应商每个月针对本次采购硬件设备以及运行环境提供一次巡检服务。
巡查服务内容为：设备各项安全模块的稳定性、网络流量记录分析、业务风
险分析等巡查。
每次巡检针对设备使用环境提供一次设备除尘与设备端配线整理服务，对
设备进行一次配置备份。
3、软件维保要求：
要求工作时段服务为7x24全天候提供，半小时内远程响应，包括国家法定节
假日。供应商需提供软件产品的日常升级、使用指导、日常咨询以及未知网络安
全突发情况处理等服务，以保证软件应用运行的稳定性、有效性。

序号	硬件/软件名称	设备类 型	数量	单位
1	服务器安全套件	软件	1 (50)	套 (点)
2	终端安全管理系统	软件	1 （100）	套 （点）

3	网络安全防火墙	硬件	1	套
4	安全隔离与信息交 换系统	硬件	1	套
5	服务器	硬件	1	套

序号	主要模 块名称	指标重要 性	技术指标
1	Agent管 理	统一管理	1）支持主机一键式安装和卸载agent。 2）支持通过后台对Agent进行统一管理，包括重 启agent、agent主机信息展示等。
		密码保护	支持在服务端设置Agent卸载密码，防止Agent在 服务器上被人为手工卸载。
		灰度更新	支持通过远程在线方式，批量对Agent版本进行灰 度更新，可指定Agent更新范围和指定更新时间； 升级后无需重启服务器。
		性能限制	可在服务端主机资源占用过高的情况下配置CPU、 内存相关参数，支持设置CPU使用率阈值和设置超 过的时间，达到设置限制条件后CPU使用率会自适 应采用降级措施；agent可限制自身进程CPU使用 率；同时支持设置agent自动退出服务和自动恢复 服务的CPU使用率和内存使用率阈值。主机安全50 个服务器授权，WEB应用防护10个服务器授权AGEN T，网页防篡改10个服务器授权AGENT。
2	资产管 理	资产采集	支持采集主机上的开放端口、网站、web容器、第 三方组件、数据库、进程、账号、软件应用、内核模 块、web框架、web应用、启动项、系统安装包、JAR 包、环境变量、计划任务等，需要支持但不限于以 下功能信息： 1）支持采集已安装轻代理主机中的各类信息，支 持采集主机内外网IP、主机名、操作系统、系统内 核、业务角色、安装时间等信息；支持主机自定义 分组管理、支持主机资产价值自定义管理；为方便 日常运维，要求支持通过主机分组、体检分数、主

机状态、操作系统、业务角色、资产价值、安装时 间等条件过滤筛选并可导出结果。 2）支持探测主机上对内端口及对外端口，可采集 端口对应的服务及端口协议信息。为方便日常运 维，要求支持通过主机IP、主机名、系统内核、端 口号、协议等条件过滤筛选并可导出结果。 3）支持采集主机上的Web容器信息，可采集Web容 器的版本、安装路径、等信息；支持Web容器类型包 括但不限于Apache、IIS、JBoss、Nginx、Tomcat、W eblogic等；为方便日常运维，要求支持通过主机I P、主机名、系统内核、容器名称、版本号等条件过 滤筛选并可导出结果。 4）支持采集主机上的第三方组件信息，可采集第 三方组件的版本、安装路径、相关网站等信息；支 持的第三方组件有CKEditor、DedeCMS、Discuz、P HP、PHPMyAdmin、Struts2、WordPress、Zabbix等； 为方便日常运维，要求支持通过主机IP、主机名、 系统内核、组件名称、版本号等条件过滤筛选并可 导出结果。 5）支持采集主机上的数据库信息，可采集数据库 的版本、安装路径等信息；支持的数据库类型包括 但不限于Hadoop、Memcahed、MySql、Redis等。为 方便日常运维，要求支持通过主机IP、主机名、系 统内核、数据库名称、版本号等条件过滤筛选并可 导出结果。 ▲6）支持探测主机上的网站信息，可采集网站域 名、网站安装路径、网站运行状态及网站相关的we b容器等信息。为方便日常运维，要求支持通过主 机IP、主机名、系统内核、网站域名等条件过滤筛 选并可导出结果。(需要提供功能截图证明，加盖 原厂公章) ▲7）支持采集主机上的进程信息，可采集进程的 路径、版本、hash值等；支持进程白名单设置、业 务进程设置等；可通过运行状态、进程标签、进程 权限、是否系统进程、是否自启动、是否包管理安 装、是否服务进程等多个维度进行进程信息的筛 选。要求支持通过主机IP、主机名、系统内核、进 程名称、版本、hash值等条件过滤筛选并可导出结 果。(需要提供原厂承诺函，加盖原厂公章) 8）支持采集主机上的账号信息，可采集账号的用 户名、是否Root权限、Shell、状态、上次登录时间

			、可否交互登陆、登录方式、所属用户组、UID、密 码过期时间、上次密码修改时间、终端、IP、用户 主目录、上次密码修改时间、是否可交互登录等信 息；要求支持通过主机IP、主机名、系统内核、用 户名等条件过滤筛选并可导出结果。
		资产变更 分析	支持对各类资产的变动情况进行记录，便于审计 历史变动，自主发现异常资产行为；支持主机分组 及各类资产信息标签添加；支持资产采集频率设 置；支持资产信息导出；支持主机及对应资产双维 度查看。支持按不同时间维度进行统计比对分析。
		资产一键 搜	支持点击资产所属类目下的相关资产进行资产信 息查询；支持一键搜索，通过输入资产或主机关键 词进行快速查询主机资产；支持主机视图、资产视 图双维度查看。
3	漏洞风 险	▲网站漏 洞	网站漏洞：支持检测Discuz远程代码执行漏洞、De deCMS注入漏洞、WordPress IP验证不当漏洞，支持漏洞忽略、修复操作。(需 要提供功能截图证明，加盖原厂公章)
		▲弱口令	可识别操作系统弱口令、数据库弱口令、应用弱口 令，应包括：ssh、RDP、MySQL、FTP、Redis、MongoDB 、Memcached、ElasticSearch、PostgreSQL、Samba 、VSFTP、SNMP，支持弱口令忽略操作。(需要提供 相功能截图证明，加盖原厂公章)
		配置缺陷	具备操作系统、Web容器、数据库、及其他应用的 配置缺陷检测检测能力，支持Windows2003、Windo ws2008、Windows2012、Windows2016等各种Window s系统配置缺陷检测。
		主机系统 漏洞	展示安全体检的操作系统漏洞信息，包括CVE号、 漏洞名称、风险等级、风险信息、修复建议、发布 时间等详细信息。并提供对漏洞进行修复。
		应急漏洞	应急漏洞模块可采集近期爆发出的高危漏洞，通 过应急漏洞的检测功能对主机资产进行快速检测 ，确认是否有资产受到影响；支持漏洞和主机过滤 ，通过漏洞类型、风险等级、修复影响、影响软件、 漏洞名称、等进行漏洞过滤，通知主机分组、标签 、状态、内核版本等进行主机过滤；支持应急漏洞 库设置，采集应急漏洞信息、统计应急漏洞总数； 支持检测任务设置，可创建检查任务，设置检测漏 洞及检测主机范围。
4	入侵威 胁	入侵威胁 检测	通过入侵威胁及时发现主机入侵安全问题，能支 持识别并能处置病毒木马、网页后门、反弹shell

、异常账号、日志删除、异常登录、异常进程、系统 命令校验等入侵威胁事件。需要支持但不限于以 下功能： 1）支持对恶意进程及软件进行查杀，并提供隔离、 信任等操作。 ▲2）支持强大的病毒查杀引擎，支持发现二进制 病毒木马信息，包含病毒的类型、hash、路径，并 且提供对病毒的隔离、信任和下载，支持显示病毒 引擎版本号。(需要提供功能截图证明，加盖原厂 公章) 3）支持网页后门检测，可展示安全体检和实时防 护的webshell文件信息，包含webshell的类型、ha sh、路径，并且提供对webshell文件隔离、信任、 下载和查看操作。 4）支持反弹shell检测，可安全体检和实时防护的 反弹shell进程、进程运行参数、父进程和父进程 运行参数、本地地址和反弹的目的地址。 5）支持异常账号检测，可支持影子账号、篡改系统 账号的检测识别及事件关闭，影子账号支持禁用 处理。 ▲6）支持windows日志删除的检测识别及事件关 闭，支持windows日志删除事件告警(需要提供功 能截图证明，加盖原厂公章) 7）支持异常登录行为检测，包括异常地点、异常IP 、异常时间和暴力破解登录信息。 8）支持异常进程检测，展示安全体检的子进程高 于父进程权限进程、隐藏进程和隐藏端口进程信 息。 ▲9）支持检测系统命令被篡改的信息，包括篡改 后的hash, 路径、篡改系统命令的危害和建议，并提供隔离和 信任操作。(需要提供产品功能截图证明，加盖原 厂公章) ★10）支持开放主机的特定端口作为蜜罐，让主机 对各蜜罐端口进行监听，一旦发现攻击者尝试连 接同时对内网存在的特定端口扫描行为进行检测 并实时告警，告警信息至少包括：发现时间、攻击 源IP、攻击目标IP、攻击端口，支持自定义配置蜜 罐策略，支持设置白名单。(需提供原厂承诺函， 并加盖原厂公章。供应商中标后，用户单位会对产 品参数进行验证，如发现虚假应标，则作废标处理

			)
		威胁分析	展示不同类型威胁的攻击趋势和不同类型攻击威 胁的详细攻击特征信息，并可以对攻击IP加入黑 名单。(需要提供相关截图证明)
5	安全监 控	登录监控	支持监控主机登录情况，可以设置常用地点、常用 IP、常用时间段，支持监控类型包括异常地点、异 常时间、异常IP和暴力破解登录等。
		操作审计	监控主机上的shell命令并记录命令内容、进程和 操作用户和登录IP，可以通过定义的规则进行筛 选威胁的命令。
		完整性监 控	支持监控文件和目录的完整性情况，包括文件被 修改、删除和新增，支持设置文件夹和特定文件监 控，支持白名单路径和文件类型。
		进程监控	支持监控服务器进程，实时发现可能存在的异常 进程。
		会话监控	支持监控主机上网络连接情况，采集会话连接的 协议、本地地址、本地端口、外部地址、外部端口、 进程等会话信息，并生成主机会话连接图表。
		性能监控	1）支持监控服务器的CPU、内存、网络流量、硬盘 等资源。 2）支持对IIS、Apache、Nginx、MySQL、SQLSever等 性能监控。
		▲监控日 志	包括对登录监控、进程监控、资源监控、性能监控 进行监控记录，历史记录支持按天、按周、按月进 行趋势分析，保存时间超过180天。(需要提供原厂 承诺函，加盖原厂公章)
6	威胁情 报	威胁情报	支持通过本地和云端威胁情报库数据进行匹配， 捕获潜在的威胁信息，包括IP、C&C域名、hash值。 支持情报类型、情报指标、命中次数以及威胁特征 。
7	安全体 检	安全体检	1）支持对主机进行即时安全体检及定时体检两种 安全检测，检测的项目包括但不限于：病毒木马、 网页后门、反弹shell、异常账号、日志删除、异常 进程、系统命令校验等。 2）支持用户自定义安全体检项目，病毒木马检测 支持快速扫描、全盘扫描及自定义路径扫描三种 方式，网页后门检测支持自定义路径扫描。 3）支持即时体检及定时体检两种体检模式，即时 体检即检测命令下发后后立即执行体检命令；定 时体检用户设置扫描周期、扫描时间段后系统会

			按照设置规则定时执行体检命令。 ▲4）支持批量体检策略下发，通过设置体检的类 型、体检的项目、体检的主机范围进行批量体检策 略下发。并且支持定时体检策略与即时体检策略 两种类型。(需要提供原厂承诺函，加盖原厂公章) 5）支持体检报告生成及导出，体检报告展示体检 分数、健康指数，体检结果图表化展示及详细体检 问题说明展示，可导出Word、PDF格式的体检报告 。
8	态势	▲主机安 全态势	支持展示整体内网主机威胁态势，包含各类主机 访问情况，各类威胁类型分析，包括入侵威胁、漏 洞风险、安全监控、资产变更情况。能展示失陷主 机情况，威胁事件趋势。(需要提供功能截图证明 ，加盖原厂公章)
9	安全报 表	安全报表	支持自定义时间区间分析生成全站攻击趋势、攻 击类型分布、资产分布、漏洞风险分布、漏洞发现 趋势、入侵威胁分布、入侵威胁发现趋势、新增监 控异常分布、监控异常变化趋势等图表。
10	安全防 护	★安全防 护(需提供 原厂承诺 函，并加 盖原厂公 章。供应 商中标后 ，用户单 位会对产 品参数进 行验证， 如发现虚 假应标， 则作废标 处理)	1、应支持暴力破解防护，包括不局限FTP防暴力破 解、远程桌面防暴力破解、MySQL数据库防暴力破 解等暴力破解防护功能，提供记录并拦截、记录不 拦截两种模式。 2、应具备扫描防护能力。提供设置记录和拦截的 两种防护模式，提供设置触发防护的规则和IP冻 结时间。 3、支持用户以风险信息为参考对攻击者IP进行加 黑处理，提供防护的IP黑白名单功能。提供黑白名 单批量导出及导入，黑名单下可设置记录并拦截、 记录不拦截两种模式。 4、支持端口安全安全策略，包括不局限于端口号 、协议、策略以及例外的IP。 5、支持进程行为控制，能够有效的防止非法进程 操作，通过自学习或添加进程白名单，对非白名单 进程的启动进行告警。 6、支持访问控制，包括不局限于文件保护、注册 表保护。提供设置系统文件保护的防护规则和自 定义文件的防护规则，提供设置注册表保护的防 护规则和自定义注册表防护规则。 7、支持自学习或添加进程白名单，对非白名单进 程将限制启动或进行告警。 8、支持多引擎技术识别并查杀最新病毒，应至少

			包含三种查杀引擎；支持轻巧、中度、严格三种防 护等级。
11	▲WEB应 用防护( 需要提 供原厂 承诺函， 加盖原 厂公章)	虚拟补丁	支持在无需打补丁的情况下，通过虚拟补丁方式 完成漏洞防护，至少包括CVE-2018-5960、CVE- 2017-11610、CVE-2019-12086、CVE-2017- 17485等漏洞的虚拟补丁规则。
		RASP防护	支持对RASP防护，至少包括反序列化攻击、Ssrf攻 击、非法文件写入攻击、XXE外部实体攻击等。
		攻击分析	支持对攻击事件源和攻击源事件的分析；支持从 多个维度挖掘攻击者IP的地理信息、活跃度、攻击 手法特征、攻击次数、攻击服务器范围等并进行画 像分析和威胁程度排名，提供攻击IP风险分布图、 攻击IP地理分布图、最近30天攻击IP列表。
		黑白名单 管理	支持通过设置IP地址为黑名单地址或者白名单地 址，调整指定IP/IP段对网站的访问权限。支持的 设置有白名单、黑名单、封禁。
		WAF防护	支持对WAF防护，至少包括SQL注入攻击、敏感资源 访问及探测、WebShell、WEB应用漏洞攻击、执行 命令漏洞攻击、window短文件名攻击、黑客工具利 用攻击、WEB容器漏洞攻击等。
12	▲网页 防篡改( 需要提 供原厂 承诺函， 加盖原 厂公章)	文件保护	支持各类网页文件的保护，包括静态和动态网页 以及各类文件信息。
		文件夹保 护	支持对指定文件夹以及子文件夹的保护，避免上 传非法文件及木马等恶意文件或插入恶意代码。
		篡改恢复 功能	在驱动遭到破坏文件被篡改的情况下，系统能基 于事件触发机制及时恢复被篡改页面，恢复时间 小于5MS。
		断线检测	系统配置完成后，系统后台运行，支持断线检测。

		持断线监 控保护	系统支持在断线情况下对网页文件目录的防护功 能。
		网页文件 自动同步	系统可以从本地或异地备份文件夹自动同步到监 测目录内。
		SSL安全协 议进行通 信和文件 传输	系统支持 SSL 安全协议进行通信和文件传输，保证通信过程安 全性。
		篡改日志 查询	系统支持被篡改日志记录查询及导出，支持excel 导出查询。
13	★服务 要求	服务要求	投标文件中提供针对本项目原厂授权函及原厂服 务承诺函，技术参数点对点指标响应函加盖原厂 公章，承诺设备安装调试完毕并经验收合格及交 付采购人使用之日起计，提供设备免费质保期不 少于原厂五年服务及五年免费软件版本升级服务 ，以满足质保期内产品版本和特征库保持最新的 需求。

序号	主要模块名称	配置要求
1	体系架构 系统部署	要求系统支持中/英文界面，系统部署采用 C/S 架构，管理采用 B/S 架构，管理员只需通过浏览器登录控制中心，即可对系统进行管理
		要求服务端支持Windows XP、Windows 7、Windows 8、Windows 8.1、Windows 10、Windows Server 2003、Windows Server 2008、Windows Server 2012、Windows Server 2016、Windows Server 2019
		要求客户端支持Windows XP、Windows 7、Windows 8、Windows 8.1、Windows 10、Windows Server 2003、Windows Server 2008、Windows Server 2012、Windows Server 2016、Windows Server 2019
		要求客户端安装方式支持Web安装、远程安装、AD域环境批量安装、静默安装
		要求客户端安装后占用30M硬盘空间， 病毒库大小不超过5M，日常内存占用不到10M，有效节省电脑资源。
		要求中心支持容灾备份功能，当主中心计算机遭受如宕机、断电、硬件/软件故障等意外情况或人为操作错误导致主中心计算机无法正常使用时，备用中心将自动顶替宕机的主中心且同步数据。
2	中心基础功能	终端在线数量、异常终端、最新安全动态、终端操作系统概览
		要求支持展示全网终端安全事件可视化数据：7/30天病毒查杀事件、7/30天漏洞修复事件、7/30天系统防护事件、7/30天网络攻击事件
		要求支持监控中心服务器性能：CPU使用率、内存使用率、磁盘占用率
		要求支持定制防护策略以及策略细粒度配置：包括病毒防御（文件实时监控、U盘保护）；系统防御（系统加固、应用加固、软件安装拦截、浏览器保护、摄像头防护）；访问控制（IP协议控制、IP黑名单、联网控制、网站内容控制、程序执行控制、设备控制）
		要求中心可配置与终端通讯时间，避免因通讯频繁导致负载过大。可限制终端单个连接最大下载速度，缓解对带宽带来的负荷
		要求中心可启用SysLog日志导出功能，支持导出安全日志、升级日志、漏洞修复日志
		要求支持邮件预警功能，当全网发现病毒事件发送邮件通知
		要求中心具备事件日志模块，包含病毒查杀日志、病毒防御事件日志、系统防御事件日志、网络防御事件日志、访问控制事件日志、漏洞修复事件日志、终端管理日志、系统管理日志
		要求中心配备安全工具及管理工具：离线升级工具
		要求中心支持全局信任区可通过信任文件路径、信任文件校验和方法添加信任文件

		要求具有多级中心功能，且多级中心支持无限制级数级联管理，管理员身份支持直接登陆下级中心，方便上级对下级管理，实现异地管控，最大化减少上级服务器压力
		要求下级中心可配置从上级中心获取升级数据、补丁数据
		要求支持备份终端信息,分组及规则,防护策略,事件日志,管理员信息,系统设置
		要求支持按全网终端迁移或部分终端迁移，当网络环境发生变化或物理设备出现故障时可转移终端
		要求支持设置管理员密码防止退出；防卸载密码防止客户端自行卸载
		要求支持离线终端可设置过期时间，过期终端超时后将自动从中心删除
		要求支持中心升级可配置手动、自动以及指定升级代理服务器
		要求支持可对终端添加多个中心地址,当终端接入网络环境时,中心可对终端实施管控
4	资产管理	要求中心可对全网终端下发登记任务，需登记的信息可自定义内容，支持设置必填项或非必填项
		要求中心可按全网统计软件安装情况，包括软件名称、发布者、版本号、安装率；可对全网推送软件卸载任务且支持导出软件清单；按终端、按分组统计软件安装情况，可推送卸载任务
		要求中心可统计全网操作系统版本信息且具有操作系统占比可视化数据图
		要求中心可统计全网终端硬件信息包括CPU、内存、硬盘、网卡、显卡、主板且支持硬件清单导出
		要求中心支持全网终端硬件变更历史记录包括变更时间、变更硬件、操作
5	运维管控	要求展示终端基本信息：终端名称、计算机名称、本地IP、通信IP、MAC地址、终端类型、操作系统版本、终端版本、策略同步状态、最近登录用户等。能组合检索项进行全方位查询、定位、展示。
		要求中心支持对终端下发快速查杀、全盘查杀、自定查杀任务，可推送终端升级、发送通知、同步防护策略、关机、重启等任务。中心支持将终端禁网，实现上网行为管控。支持将终端隔离区内文件恢复。支持将终端拉黑，避免占用授权点数。
		要求中心具有远程桌面功能
		要求中心可预览终端系统用户信息、软件信息、漏洞信息且支持对终端网络信息进行配置，可配置IP地址、DNS
		要求中心可对终端下发文件分发任务，以系统权限运行且可携带运行参数

6	漏洞扫描 补丁修复	要求支持漏洞集中修复、统一修复所有漏洞，并展示以修复补丁和未修复补丁的信息
		要求支持带宽设置：可限制终端下载补丁时单个连接最大下载速度，缓解对带宽带来的压力
		要求支持补丁文件管理，缓存在中心本地的补丁，可进行下载
7	反病毒引擎	▲要求具有反病毒底层技术，反病毒引擎为本地反病毒引擎，不依赖云（联网时的病毒查杀能力与断网时的病毒查杀能力一致）。具有轻量级的病毒库，却有较强的病毒查杀能力(需要提供功能截图证明，加盖原厂公章)
8	病毒防御	要求支持文件实时监控，当文件被执行、生成、访问时，文件实时监控通过反病毒引擎对相应文件进行扫描。用户可以根据自己需求配置不同的扫描策略，包括扫描时机和反病毒引擎相关配置等，从而在不影响日常电脑使用的基础上，实时保护电脑不受病毒侵害
		要求支持U盘保护，U盘接入电脑时自动扫描根目录下文件、自动扫描被病毒修改的项目，保护电脑不被感染
		要求支持下载保护，对互联网、即时通讯软件或网盘等下载的文件进行扫描
9	网络防御	要求支持网络入侵拦截，拦截高危远程漏洞攻击，从而阻止勒索病毒、黑客攻击等通过响应漏洞入侵，可溯源到攻击源的地址，做出有效的动作，阻止病毒爆发
		要求支持远程登录防护， 针对弱口令账号的有效防御手段，阻止黑客通过暴力猜密码入侵电脑，可以有效的阻止基于RDP协议的入侵方式
		▲要求支持横向渗透防护，防护内网中已中毒机器感染其他主机，阻止横向传播、病毒以及木马的扩散(需要提供功能截图证明，加盖原厂公章)

10	系统防御	要求支持系统加固，针对病毒会利用或修改的系统脆弱点，设置相应的防护规则，有效保护系统关键文件不被篡改、破坏或恶意创建，防止特定注册表项目不被恶意篡改，监控针对系统的敏感行为，拦截高风险动作，阻止特定命令行被恶意利用的行为，保护系统关键进程不被攻击利用，针对病毒特殊行为 进行免疫等
		要求支持软件安装拦截
11	访问控制	要求支持IP协议控制，根据内网中的安全状态，灵活配置IP协议以及端口，在病毒爆发的第一时间迅速利用IP协议控制来遏止病毒的扩散或入侵行为
		要求支持联网控制
		要求支持网站内容控制，自定义限制计算机访问指定网址，达到屏蔽该网站的目的。限制访客访问不受信任的网站。
		要求支持程序执行控制，自定义限制终端使用某软件
		要求支持设备控制，可对U盘（可限制读写权限、加密、使用范围）、便携设备、USB有线无线网卡、打印机、光驱、蓝牙等设备禁用
		要求具有U盘信任功能，当终端开启访问控制-设备控制-U盘设备时，可以通过在中心的“信任设备”功能来添加需要信任的移动存储设备，以允许该设备在任意终端使用。
		▲要求支持对U盘注册的同时进行加密，即使U盘丢失，也可保护数据，防止数据泄露，对移动存储认证模式至少要支持专用目录加密和全盘加密二种认证模式，支持市面所有USB2.0及USB3.0的移动存储设备及大容量移动硬盘；(需要提供原厂承诺函，加盖原厂公章)
12	恶意代码防范	要求病毒库一天一更新，紧急重大事故多次升级
		要求十万多种家族类型病毒，亿级别以上样本数量
13	更新迭代	要求支持内网环境中心使用离线增量包更新病毒库与组件版本
		要求支持断网内网环境使用离线升级工具进行病毒库、版本组件、补丁数据的更新升级
		要求支持客户端主动升级及平台即时/定时推送升级
14	日志报表	要求支持各类事件日志，包含病毒查杀日志、系统防御事件日志、网络防御事件日志、访问控制事件日志、漏洞修复事件日志、终端管理日志、系统管理日志
15	★服务要求	提供原厂针对本项目授权函及5年7*24售后服务承诺函，并加盖原厂公章。

序号	主要模 块名称	指标重要 性	配置要求
1.	设备基 本要求	专有硬件 平台	▲硬件平台采用先进的多核网络专用架构。硬件平 台采用多核处理器，使用64位MIP多核处理器，多 核核数≥10个(需要提供原厂承诺函，加盖原厂公 章)。
		USB接口	USB接口≥1个，支持不依赖网络的外接U盘方式进 行系统升级
		接口数量	千兆电口≥4个、SFP接口≥4个、万兆SFP+接口≥2个（ 配4块 SX 千兆多模光模块），4个扩展槽，最大支持扩展到40 个千兆接口/18个万兆口（提供产品技术说明书或 产品彩页。）
		电源	▲具有双冗余热插拔电源，配置交流双电源；具有 防雷保护功能（提供国家无线电监测中心检测中心 出具的检测中心浪涌（冲击）抗扰度（4KV）测试项目 的测试报告复印件并加盖原厂公章）。
		设备功率	设备运行功率≤500W
		扩展槽位	至少有四个通用业务扩展插槽（提供设备实物照片 ）
		设备尺寸	小于等于2U标准机架设备
2.	性能要 求	★性能指 标需提供 原厂承诺 函，并加盖 原厂公章。 供应商中 标后，用户 单位会对 产品参数 进行验证， 如发现虚 假应标，则 作废标处 理。)	吞吐量≥20Gbps；IPsec VPN吞吐率≥12Gbps； AV防病毒≥5Gbps；IPS吞吐量≥7Gbps；最大并发会话 数≥1000万；每秒新建会话数(TCP)≥30万；每秒新建 会话数(HTTP)≥25万；最大IPSEC VPN隧道数：最大可支持20000条隧道；SSL VPN用户数：支持不少于10000个并发用户，提供8个 并发用户。
3.	主要参 数和功 能	工作模式	支持透明、路由、混合、旁路4种工作模式
		NAT（网络 地址转换）	▲支持源NAT和目的NAT,且支持NAT扩展技术，使单 个公网IP支持的NAT转换端口突破65535限制(需要 提供原厂承诺函，加盖原厂公章)；

			支持NAT地址可用性探测，支持NAT公网地址池中IP 有效性检测，避免因NAT地址无法使用导致业务中 断。
		动态路由	▲支持OSPF、BGP、RIPv1/v2、IS- IS（动态路由协议非透传）路由(需要提供功能截图 证明，加盖原厂公章)
		策略路由	支持基于应用引流技术，提供基于时间、应用协议 的策略引流，如针对P2P、WEB视频协议，通过深度 应用识别，将这些应用产生的流量引流到特定的互 联网线路上。
			支持基于URL引流技术，支持基于时间、URL的智能 引流技术，通过DPI的智能引流技术，从而对具体U RL的访问动作进行策略引流，将某个URL的流量引 到特定的链路上。
		BFD协议	支持BFD for Static/OSPF/BGP
		HA高可用 性	支持A-P模式，A- A模式，解决非对称路由场景的对等模式（提供官方 技术白皮书）
			支持基于接口、HTTP、PING、ARP、DNS、TCP等监测 对象实现HA切换
			硬件配有独立HA心跳口，面板明确标注HA接口
		应用识别	具备对应用程序的识别和控制能力。应用程序特征 库不少于3300种，并支持在线/手动更新
			支持应用过滤器便于配置和维护，至少支持6个维 度进行过滤，包括：名称、类别、子类、所用技术、 风险等级、特性；其中应用技术至少包括：基于浏览 器、客户端服务器、网络协议、点对点；风险级别包 括：1、2、3、4、5总共5个等级；特性包括：能够传输 文件、已被大规模使用、大量消耗带宽、易逃逸、易 被滥用、被其它应用使用、存在已知漏洞、被恶意 软件利用
4.	访问控 制	抗DDOS攻 击	抗DDOS攻击：支持抵御下所列所有攻击类型，包括： DNS Query Flood、SYN Flood、UDP Flood、ICMP Flood、Ping of Death、Smurf、WinNuke
		ALG应用	支持所列所有应用，包括：H.323、SIP、FTP、TFTP、 RSH、RTSP、SQL Net、HTTP、MS- RPC、PPTP/GRE、SUN-RPC
		会话控制	支持会话控制功能，要求能够基于源、目的、应用 协议三种条件做会话数限制
			支持会话控制功能，要求能够限制会话新建速率
		访问控制	支持按照应用、时间、用户帐号、IP地址、服务端口

			、物理端口等方式对数据进行访问控制
		▲策略管 理	支持防火墙策略命中数统计功能，便于管理员维护 防火墙策略(需要提供功能截图证明，加盖原厂公 章)
			支持基于国家地理位置设置安全策略(需要提供功 能截图证明，加盖原厂公章)
			支持策略冗余检测，对策略重复检查(需要提供功 能截图证明，加盖原厂公章)
5.	VPN	IPSEC VPN	▲设备支持IPSEC VPN算法硬件加速，需明确应答所支持的加速类型 、实现方式(需要提供原厂承诺函，加盖原厂公章) 。
			严格遵循RFC国际标准，支持的加密算法有DES、3D ES、AES128、AES192、AES256，SHA-256、SHA- 512等，支持DM5、SHA、SHA-256、SHA-384、SHA- 512等验证算法，可于主流VPN厂商互通
		用户认证	支持硬件USB-key的认证方式
			支持基于手机短信的登录认证方式
			支持文件证书的认证方式
		硬件特征 码绑定	支持客户端硬件特征码绑定认证（要求提供产品界 面截图）
		定制网页	支持登录SSL VPN后自动打开可自定义的网页
		客户端检 测	支持对登录SSL VPN的用户端系统进行端点安全检查，至少包括指 定文件、指定进程、系统补丁、浏览器版本、杀毒软 件等方面。
6.	URL过滤	URL过滤	支持使用通配符定义URL类型
			支持30种以上域名分类库，控制不良网站访问，支 持查询URL归属的URL分类库，提供产品界面截图有 效
			支持基于URL地址的关键字对域名进行访问控制， 提供产品界面截图有效
			支持自定义URL阻止访问的告警页面（URL重定向）， 提供产品界面截图有效
7.	流量管 理	智能流量 管理（提供 官方智能 流量管理 白皮书）	支持两层八级管道嵌套，能够同时做到两个维度的 流量控制。
			支持对多层级管道进行最大带宽限制、最小带宽保 证、每IP或每用户的最大带宽限制和最小带宽保证 。
8.	IPS入侵 防御	运行模式	支持旁路和在线两种模式，支持基于安全策略和安 全域启用IPS功能，可在不同的攻击方向上启用IPS

			（至少支持流入\流出\双向等方向）。
		协议支持	支持对HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、 UDP、DNS、RPC、FINGER、MSSQL、ORACLE、NNTP、DHCP 、LDAP、VoIP、NETBIOS、TFTP、SUNRPC和MSRPC等常 用协议及应用的攻击检测和防御
		特征库	具备7000种以上攻击特征库规则列表，至少支持基 于协议类型、操作系统、攻击类型、流行程度、严重 程度、特征ID等方式的查询。
		HTTP类攻 击防护（WA F功能）	具备4000种以上HTTP特征库规则列表。
			支持SQL注入、XSS防护，支持HTTP头域中的URL、Co okie、Referer、POST检查点配置防护策略。
			支持外链检查防护，支持自定义外链特性，类型支 持HTTP、HTTPS、FTP。
			支持CC攻击检测，支持访问限速、代理限速、自定 义请求阈值、爬虫友好等方法，检测到CC攻击时支 持JS Cookie、重定向、访问确认、验证码四种认证方法。
		处理方式	支持屏蔽攻击者，至少支持阻断攻击者IP或服务两 种模式。
			支持重置，向攻击者发TCP Reset包。
			支持只记录日志，检测到攻击事件后记录日志。
			支持防火墙联动，仅限IDS模式运行。
9.	AV防病 毒	病毒库	具备200万种以上病毒特征库规则列表。
		扫描文件 类型	支持对HTTP、FTP、SMTP、POP3、IMAP协议的应用进 行病毒扫描和过滤
		处理方式	检测到病毒扫描和恶意网站时，至少支持填充、重 置连接、只记录日志三种处理方式。
		压缩文件 扫描	支持对压缩文件类型的病毒检测，支持RAR、ZIP、G ZIP、BZIP2、TAR等压缩文件类型；支持对多重压缩 文件的病毒检测，且不小于5层压缩，支持对超出 行为自定义处理方式。
		防病毒及 恶意网站	支持恶意链接和病毒警告提示，提示用户所访问的 网站为恶意网站或者发现病毒。
10.	管理功 能	系统回滚	支持2个系统软件并存，并支持系统软件回滚，防 止配置不当或系统故障造成的网络中断，充分保证 了系统的稳定性。
		配置文件 保存	支持10个配置文件并存，并支持配置回滚。
		RESTAPI管 理	支持通过RESTAPI接口进行配置和查看地址簿、病 毒过滤、入侵防御、安全策略、DNAT、SNAT、接口配 置、安全域、路由功能.

		流量包统 计	支持按64字节、128字节、256字节、512字节等数据 包流量统计。
		监控和统 计	要求支持在WEB界面上显示设备的整机流量、接口 流量、每秒新建数、并发连接数信息。
			要求支持基于IP地址总流量、上行流量、下行流量 ，最近1小时、最近一天、最近一月以及自定义时间 类型的统计。
			要求支持基于应用的流量、并发连接数、新建连接 数的实时、最近1小时、最近一天、最近一月以及自 定义时间类型的统计。
			要求支持对URL访问进行每小时、每天、每月统计， 并以柱状图或者饼状图形式排名直观显示。
		★安全运 维APP（需 提供原厂 承诺函，并 加盖原厂 公章。供应 商中标后， 用户单位 会对产品 参数进行 验证，如发 现虚假应 标，则作废 标处理。)	提供SaaS模式的安全运维APP：通过手机可以第一 时间获知设备的实时CPU、内存、流量趋势，以及应 用、用户排名、威胁信息等安全状态、 帮助快速定位问题、安全可视化实时呈现。提供Ap p下载URL。该APP不能是VPN 客户端软件。该APP不限制使用用户数。
			支持用户定义告警规则，配置CPU利用率、内存利 用率、流量过界做为触发条件。
11.	★服务 要求	服务要求	投标文件中提供针对本项目原厂授权函及原厂服 务承诺函，技术参数点对点指标响应函加盖原厂公 章，承诺设备安装调试完毕并经验收合格及交付采 购人使用之日起计，提供设备免费质保期不少于原 厂五年服务及五年免费软件版本升级服务，提供五 年安全服务包AV、IPS、URL、QoS软件功能应用许可 及软件、应用特征库升级服务，以满足质保期内产 品版本和特征库保持最新的需求。

序号

主要模块名称

指标重要性

技术指标

1	产品架构	系统基本架构	“2+1”系统结构，内外端机为TCP/IP网络协议的终点，阻断TCP/IP协议的直接贯通。内外端机之间采用专用硬件和专用协议进行连接，不可编程。网闸以软硬件结合的方式，有效地隔断内外网络间直接的连接，防止信息无限制交换。
2	▲硬件及性能要求（需提供原厂承诺函，并加盖原厂公章。）	硬件架构	硬件架构由内端机、外端机、专有隔离硬件三部分组成。内端机和外端机各自具有独立主板、独立总线、独立的存储和运算单元；内端机和外端机之间非网线、USB线、SCSI线等线缆直连，基于光隔离技术专有硬件进行隔离和数据交换。
		接口	内端机6个10/100/1000Base-T接口，4个SFP插槽，2个SFP+槽 外端机6个10/100/1000Base-T接口，4个SFP插槽，2个SFP+插槽
		液晶屏	为方便管理与维护，要求具有液晶屏
		吞吐量	6．8Gbps
		并发连接数	40万
		延时	1ms
		电源	双电源
3	功能要求	功能要求	为满足业务数据传输，要求提供安全浏览模块，文件传输模块，文件同步模块，邮件访问模块数据库访问模块，数据库同步模块，自定义访问模块
		安全浏览功能	提供HTTP页面访问和WEB代理上网功能。 支持IP地址、端口、时间以及基于源用户身份的访问控制策略； 支持访问控制日志记录和告警功能。 支持http消息头、消息体，上下行方向，命令及关键字的管控。 支持文件类型特征识别，非扩展名过滤，包括可执行文件、文本文件、图片文件、多媒体文件等，支持上下行方向过滤单独控制。
		文件传输功能	提供基于FTP协议和协议的文件传输功能。 支持代理、透明； 支持IP地址、端口、时间以及基于源用户身份的访问控制策略； 支持访问控制日志记录和告警功能。 支持FTP协议内部命令及数据层内容过滤。 支持文件类型特征识别，非扩展名过滤，包括可执行文件、文本文件、图片文件、多媒体文件等，支持上下行方向过滤单独控制。 内置FTP安全模块，支持内容过滤引擎、文件过滤引擎、病毒过滤引擎安全防护及单独启停控制。 ▲可根据异常条件进行报警，如MD5校验失败、堆内存占用过高等条件；（要求提供功能截图，并加盖原厂公章）
		数据库访问功能	提供对多种主流数据库,如：MYSQL、SQLSERVER、ORACLE、DB2、SYBASE等系统的安全访问。 支持代理、透明； 支持IP地址、端口、时间以及基于源用户身份的访问控制策略； 支持访问控制日志记录和告警功能； 内置数据库安全模块，支持内容过滤引擎，能够对数据库用户名、命令、等内容进行管控，支持允许、阻断、告警三种处理方式。
		安全邮件功能	提供安全的邮件访问功能，支持POP3、SMTP协议。 支持代理、透明； 支持IP地址、端口、时间以及基于源用户身份的访问控制策略； 支持访问控制日志记录和告警功能； 支持发件人、收件人、邮件标题、邮件正文、邮件附件等数据内容过滤， 内置邮件安全模块，支持内容过滤引擎、文件过滤引擎、病毒过滤引擎安全防护及单独启停控制。

		安全VOIP功能	提供音视频通话访问功能，支持SIP和H323协议。 支持代理、透明； 支持IP地址、端口、时间以及基于源用户身份的访问控制策略； 支持访问控制日志记录和告警功能； 内置VOIP安全模块，内置VOIP安全引擎，支持主被叫用户黑名单的控制。
		自定义访问功能	支持自定义的TCP、UDP协议的数据访问功能，用户自定义应用无需对自定义协议软件进行二次修改开发。 支持代理、透明、路由三种接入方式； 支持IP地址、端口、时间以及基于源用户身份的访问控制策略； 支持访问控制日志记录和告警功能；
		文件同步功能	提供有客户端和无客户端两种文件同步方式。 无客户端方式无需在用户服务器上安装任何插件，网闸不开放任何服务端口；有客户端方式可提供专用文件同步客户端安装在用户服务器上，提供安全的文件同步服务。 支持NFS、FTP等多种文件服务器类型，支持实时同步和周期性同步。 支持文件同步重名策略处理，可选覆盖； 支持源文件处理策略，包括保留、删除、转存三种处理方式。开关控制；支持单一任务的线程数和可手动设置同步任务的线程数； 支持文件名和文件类型的黑白名单过滤，文件类型过滤基于文件特征识别，非扩展名识别，且支持文件类型识别。
		数据库同步功能	提供有客户端和无客户端两种数据据库同步方式。 无客户端方式无需在用户服务器上安装任何插件，网闸不开放任何服务端口；有客户端方式可提供专用文件同步客户端安装在用户服务器上，提供安全的数据库同步服务。 提供多种主流数据库系统如：ORACLE、SQLSERVER、MYSQL、达梦数据库的同步。 支持一对一、一对多、多对一方式的数据库同步；支持同构、异构数据库之间的同步，同步可具体设置到字段级别。 支持自动读取数据库表名和字段名，无需手动录入表名和字段名，降低配置复杂度。 支持数据库同步冲突策略处理，包括覆盖； 支持实时同步和周期性同步方式，可分别控制插入、删除、更新的同步操作。 ▲支持数据库同步客户端的双机热备技术，为用户提供更高的冗余技术支持；（要求提供功能截图，并加盖原厂公章）
		病毒防御功能	支持企业版和防御引擎，采用国内外知名厂商病毒库，支持病毒库升级，并提供后续升级服务。
		DDOS防护功能	支持DOS攻击防御；
		安全防护功能	提供IPV4IP+MAC绑定功能，支持基于物理接口和IP网段的IP+MAC主动探测，支持IP、MAC信息查询功能。
		网络管理功能	网络接口支持IPV4\IPV6双栈IP地址配置，支持MTU、双工模式、接口速度的手动设置。 支持接口聚合，可手动设置聚合接口的负载均衡算法。 支持IPV4/IPV6双栈基础路由配置和邻居学习。
		系统管理功能	提供统一的https管理界面，支持ssh和远程管理，支持配置文件的加密导入导出。 提供ping、traceroute、等诊断诊断测试工具，支持设备健康记录和调试信息的导入导出。 提供告警功能，支持邮件、声音、控制台、SNMP等多种告警方式。

		日志审计功能	支持日志审计功能，包括管理日志、系统日志、策略日志、同步日志和应用行为日志。支持日志记录查询、删除、导出，日志记录可导出文本文件。 支持日志记录本地数据库存储，也可以将日志传输到独立的日志服务器上，传输日志格式支持syslog，支持日志加密传输。
4	★服务要求	服务要求	投标文件中提供针对本项目原厂授权函及原厂服务承诺函，技术参数点对点指标响应函加盖原厂公章，承诺设备安装调试完毕并经验收合格及交付采购人使用之日起计，提供设备免费质保期不少于原厂五年服务及五年免费软件版本升级服务，以满足质保期内产品版本和特征库保持最新的需求。

序号	主要模块名称	指标重要性	技术指标
1	基本参数	产品类别	机架式
		产品结构	2U
2	处理器	CPU型号	英特尔至强金牌 6230R
		CPU频率	2.1GHz，智能加速主频4.0GHz
		CPU数量	2颗
		CPU核心、线程	52核心、104线程
3	内存	内存类型	DDR4
		内存容量	64GB
4	存储	硬盘接口类型	SATA/SAS
		硬盘容量	4*8TB 7.2K SATA 3.5
		磁盘控制器	H730 阵列控制器
5	网卡	集成网卡	Broadcom 5720四端口千兆网卡
		iDRAC	1*专用 iDRAC 网络端口
6	光驱	光驱	DVDRW
7	电源	电源	双热插拔750w电源
8	服务	保修	5年上门服务