贵州黔桂金州建材有限公司网络安全等级保护建设项目二次采购公告

序号

分项名称

基本参数

数量

1

出口防火墙

1、标准1U设备，自带≥6个10/100/1000M Base-TX，≥1扩展槽；吞吐率≥6Gbps；最大并发连接数≥320万，新建连接数≥4万条/秒
2、配置三年IPS、AV特征库升级服务，提供设备维保服务
★3、具备至少3个Syslog服务器，发送流量、系统或默认3类型日志到不同服务器（截图证明）；
4、具备系统主要防护功能的统一化模版设置，模版分为高、中、低三个级别，分别对应不同防护强度，可通过Web界面单击选择切换。
★5、具备VEPA协议，可以在云计算环境下实现虚拟机流量牵引过滤,支持同主机不同虚拟机、不同主机不同虚拟机等多种过滤方式。
5、具备一体化安全策略配置，可以通过一条策略实现用户认证、IPS、防病毒、URL过滤、协议控制、流量控制、并发、新建限制、垃圾邮件过滤、审计等功能,简化用户管理。
6、具备将源MAC作为独立的访问控制条件，防止非法设备接入、具备同一个地址对象中可以包含IP、IP段、IP range、排除地址等多种类型。
7、具备针对策略中的源、目的地址进行并发限制，可以针对单IP(或地址范围)进行并发控制、具备针对策略中的源、目的地址进行新建限制，可以针对单IP(或地址范围)进行新建控制。
8、具备基于策略的入侵检测与防护，可针对不同的源目IP地址、源MAC地址、服务、时间、安全域、用户等，采用不同的入侵防护策略。
9、具备基于IP层以上的各种TCP/IP协议的应用。包括：http，Email，Ftp，网上邻居，Notes，Outlook，Oracle, SQL等各种动态和静态的C/S应用；支持内网DNS、支持对应用的透明访问、自动定位URL、支持隐藏服务、应用的快捷方式、自动启动服务。截图证明；
★10、具备将任意接口数据完全镜像到设备自身的其他接口，用于抓包分析，提供功能截图证明；
★11、提供公安部销售许可证，计算机软件著作权登记证书。

1台

2

上网行为管理

1、主机固化≥10个千兆电口、≥10千兆光口，UDP转发吞吐量（bps）1518字节≥10Gbps；支持≥500M带宽，≥1000用户，≥500G硬盘；含三年特征库升级；。
2、支持路由模式、透明（网桥）模式、混合模式，支持镜像接口，部署模式切换无需重启设备
3、支持静态路由、策略路由、动态路由、ISP路由；策略路由支持七元组策略；动态路由支持RIP、OSPF等；ISP路由支持运营商地址自定义。
4、 ★支持自定义关键字对象，在应用控制的时候匹配类型包含关键字和数字，关键字可选择等于，数字可选择“大于”、“小于”、“等于”、“不等于”四种匹配模式。（提供截图证明加盖原厂公章）
5、可识别私接主机个数，并可制定策略分别设置私接终端类型个数为阀值进行封堵，支持自定义阻断时间，同时支持基于IP及IP段配置白名单。
6、 ★系统具备WEB Portal认证功能，支持本地认证、Radius认证、LDAP认证 和LDAP用户同步，支持对接IMC、SAM等常见AAA服务器，支持配置强制重新认证间隔，支持配置认证通过后重定向URL，要求本机自身支持短信认证功能。（提供截图证明加盖原厂公章）中国采招网（bidcenter.co m.cn）*
7、 ★系统具备杀毒功能，可对HTTP、FTP、POP3、SNMP、IMAP协议的病毒进行查杀；支持ZIP、RAR等压缩文件的病毒查杀。压缩默认支持5层，最大20层（提供WEB配置截图证明加盖原厂公章）；
8、 具备基于源、目的、规则集的入侵检测；支持针对WEB服务器防护，包括网页防爬虫、网页防篡改、HTTPS防护、DDOS攻击防护、WEB攻击过滤、漏洞防护自学习等。（提供WEB配置截图证明加盖原厂公章）；
9、web管理界面支持Ping、Traceroute、TCP Syn诊断工具，可支持基于接口、协议、IP地址、端口、应用进行网络抓包，并可下载导出分析。
10、★提供公安部公共信息网络安全监察局颁发的《计算机信息系统安全专用产品销售许可证》；（提供加盖原厂公章的证明材料）；

1台

3

堡垒机

1、1U机架硬件设备，接口要求：≥6个千兆电口，≥1个console管理口，硬盘容量≥1TB，单电源，带液晶面板，≥2个扩展槽。 支持≥800路字符会话或≥200路图形会话并发。实现对运维操作（telnet/ssh/ftp/sftp/RDP/VNC/X11)的集中管理、访问控制、单点登录以及操作审计等功能。
2、具备web页面防跳转功能，进行http/https访问过程中，运维人员仅允许访问授权地址；具备Oracle、postgresql、sybase、mysql、sqlserver数据库下行返回行数和oracle数据库变量绑定；字符协议：SSHv1、SSHv2、TELNET、RLOGIN，图形协议：RDP、VNC、X11、文件传输协议：FTP、SFTP；
3、★RDP协议具备剪切板、本地磁盘映射功能，所有图形协议具备自适应本地浏览器窗口大小、RDP协议具备windows服务端开启安全层SSL加密，加密级别符合FIPS标准，允许运行使用网络级别身份验证的远程桌面的计算机连接（提供加盖原厂公章的截图证明）；
4、★具备短信认证（具备短信中间表和短信网关方式：中国移动CMPP2.0和中国联通SGIP1.2标准）吉大正元证书认证；北京数字证书认证；格尔证书认证；其它外部认证具备Windows AD/RADIUS/LDAP；具备多种认证方式组合的双因素认证，可自定义组合，且每个用户可单独设置（提供加盖原厂公章的截图证明）；
5、具备对违规或高危指令的正则表达式设置匹配规则，具备对违规或高危操作的指令（黑名单）进行日志提醒、忽略命令、阻断会话或二次审批；
6、★RDP图形操作过程中键盘输入操作记录和鼠标点击行为记录，具备开启或关闭键盘输入审计功能，具备RDP窗口标题审计，并具备窗口标题内容检索定位回放；针对RDP、VNC等图形终端操作的连接情况进行记录及审计；记录会话时间、命令执行时间、会话协议、服务端IP、服务器端口、客户端IP、客户端端口、运维用户帐号、资源账号等信息；（提供加盖原厂公章的截图证明）；
7、★计算机信息系统安全专用产品销售许可证；

1台

4

杀毒软件

1、网络防病毒系统服务端软件，提供防病毒策略管理、下发以及病毒告警分析、报表等功能，可管理win系列客户端、Linux系列客户端、麒麟系列客户端，含1年产品升级维护服务，可安装在Windows全平台操作系统；
2. 展示全网终端杀毒相关的状态信息，包括终端名、使用人、IP地址、MAC地址、操作系统、威胁数量、病毒库版本、软件版本、上次扫描时间、更多详情。。
3、★支持IP自动分组，设置IP自动分组规则后，IP段内的未分组终端将自动分组（提供产品界面截图）
4. ★支持批量导入导出：组织架构、自动分组（提供产品界面截图） 5、★具备病毒文件审计追踪能力，可智能定位病毒，及早处理感染源，减少病毒爆发造成的损失（提供产品界面截图） 6、形报表：可折线图，饼状图等图表展示终端部署情况，包括日活统计，病毒库版本统计，病毒排名，终端感染、扫描分组排名、感染情况统计等数据。可导出数据报表。 7、中控日志：管理员日志，可查看操作记录，包括时间、登陆IP、操作、具体内容，可以搜索与导出。中控升级日志，包括时间、操作、结果、升级版本，可分类查看并导出。
8、产品资质：提供国家公安部销售许可证。

1套

1、网络防病毒系统客户端软件授权，支持windows环境（XP SP3、Win7、Win8、Win8.1、Win10、windows server 2003、windows server 2008、windows server 2012）；
2、配置100个授权点数。

5

入侵检测

1、2U上架设备，≥1个RJ-45 Console口，≥1个10/100 Base-Tx带外管理口，≥5个10/100/1000 Base-T接口，≥2个USB口，冗余电源，≥1T硬盘，含嵌入式软件。网络环境处理能力≥8Gbps，最大并发连接≥800万；
2、提供升级服务
2、★IPv4/v6 双协议栈网络地址解析；具备针对 IPv4/v6网络中的数据包解析、具备IPv4/v6碎片重组等功能，综合运用会话状态检测、应用层协议完全解析、误用检测、异常检测等多种检测技术，并具备自定义协议和检测事件；（提供截图证明）
3、对蠕虫病毒、蠕虫、间谍软件、木马后门、刺探扫描、暴力破解、拒绝服务、缓冲区溢出、欺骗劫持、僵尸网络、SQL注入、XSS、Xpath、网页木马、钓鱼网站、Webshell、数据库攻击、网络设备攻击、0day攻击、可疑行为等常见攻击具有高精度的检测能力。
4、★产品应具有专业的Web攻击检测引擎，可对SQL注入、XSS及其各种语法变形、语义变形、编码等环境进行精确检测；攻击事件监控功能要求显示每一条事件的威胁程度、流行程度、事件名称、源IP、目的IP、发生时间、最近24小时发生次数、最近十分钟发生次数、合并方式，实时事件显示精确到秒。（提供截图证明）
5、产品可提供威胁事件的实时展示功能，可以将引擎检测到的威胁事件在控制台界面进行实时显示，内容包括：威胁事件名称、威胁事件的状态、威胁事件等级、威胁的流行程度、源ip、目标ip、时间段等信息；
6、在监测到攻击之后，系统需提供实时报警、TCP Killer阻断连接、防火墙联动、捕获原始报文等；
7、★能主动推送风险主机列表到防火墙，便于防火墙主动生成安全策略进行阻断同时能从该模块查询阻断情况及历史阻断主机情况。(提供截图证明)。

8、★产品具备公安部销售许可证、多核多线程ASIC并行操作系统的《计算机软件著作权登记证书》。（提供证明材料）

1台

6

日志审计

1、★日志审计硬件平台，集成日志审计系统，2U标准机架式，冗余电源，专用千兆硬件平台和安全操作系统，标配≥6个千兆电口，≥2个可扩展插槽，≥2个USB接口，存储容量≥2TB；
2.具备文件夹、SNMP Trap、SFTP、ODBC、Syslog、文件、WMI、FTP、NetBIOS、OPSEC等多种方式完成日志收集功能. 具备新增Lotus Domino的日志采集任务；新增CheckPoint的日志采集任务；
3.检索2TB事件(约合24亿条日志)界面响应时间不超过3秒。全部查询完毕用时不超过秒级、系统提供基于资产的拓扑视图，可以按列表和拓扑两种模式显示资产拓扑节点；可查看每个资产设备本身产生的事件信息、关联告警信息，并且具备向下钻取，直接进入事件列表、关联告警列表；
4.★系统必须内置基本的仪表板。用户可以在工作台中自定义仪表板，按需设计仪表板显示的内容和布局，可以为不同角色的用户建立不同维度的仪表板；（提供加盖原厂公章的截图证明）；
5.★对不具备的事件类型提供可扩展功能；具备长安全事件格式；对日志设备类型、日志类型、日志级别等可进行重定义；日志可加密压缩传输 具备加密压缩方式转发，定时转发；具备日志源管理功能，对断点日志源可以产生告警；提供基于日志查询任务模式的日志导出功能;（提供加盖原厂公章的截图证明）；
6.★内置不同分析场景，包括各种实时分析场景、历史统计场景、实时统计等。并具备具备自定义场景；（提供加盖原厂公章的截图证明）；
7.日志审计系统具备当日志审计平台检测到堡垒机有高危运维命令时，实施短信告警，运维人员通过堡垒运维上传数据时如果数据中含有威胁恶意病毒，堡垒机将运维数据上传到日志审计管理中心，日志审计管理中心与入侵检测平台共同分析恶意数据，并告知防火墙实施阻断策略。
8.内置Cisco PIX和交换机的事件编码知识库；内置Windows、Linux、Solaris、AIX操作系统的事件ID知识库；内置Oracle、SQL Server、MySQL、Informix、DB2数据库的事件编码知识库；能够查看系统内置的事件库中事件类型名称及其描述信息。
9.内置不同分析场景，包括各种实时分析场景、历史统计场景、实时统计等。并具备具备自定义场景；
10.内置Cisco PIX和交换机的事件编码知识库；内置Windows、Linux、Solaris、AIX操作系统的事件ID知识库；内置Oracle、SQL Server、MySQL、Informix、DB2数据库的事件编码知识库；能够查看系统内置的事件库中事件类型名称及其描述信息。
11.★产品具备《计算机信息系统安全专用产品销售许可证》，提供厂商针对本项目授权书与售后服务承诺函；
12、配置不少于50个管理节点授权；三年硬件质保。

1台

7

服务

1、 漏洞扫描服务：采用扫描工具对客户信息系统进行安全扫描，发现漏洞，提供扫描报告，并根据扫描报告给出整改建议。包括：服务器、网络设备、安全设备和应用系统；

2、 安全策略配置服务：遵循国家等级保护要求，协助进行定级、差距评估、整改方案设计、安全加固、整理测评资料和协助通过测评，最终帮助客户完成信息系统达标建设，通过测评中心的测评

3、 培训服务：提升相关人员的信息安全意识、保密意识；落实网络安全法对信息安全教育培训的要求；提升参训的人员的信息安全技能、了解和掌握基本的信息安全知识。

4、 巡检服务：对单位运行的信息系统所涉及的机房、网络及安全设备、主机系统、应用系统等定期进行全面的专项安全巡检，是预防式的服务，可以提前发现问题，降低安全事故的发生几率。

5、 渗透测试服务：通过模拟恶意黑客可能使用的攻击技术和漏洞发现技术，对受测企业的网络及应用系统进行深入探测，发现信息系统最薄弱的环节，充分了解企业网络当前存在的安全隐患。

6、 应急响应服务：通过电话咨询安全服务人员，服务人员会根据客户信息提供电话支持服务，在客户和安全服务人员同时确认需要信息安全专家或安全服务队伍现场支持后，根据客户安全事件级别进行应急响应

7、 安全评估服务：对当前网络、系统、环境等进行安全评估，并根据安全评估情况协助整改。

1项

8

物理机房整改

1、 线路整理：根据单位网络情况梳理线路，对线路铺设、走向、标签等进行捆扎、整改，使物理线路走向整齐、美观，标签准确、完整。

2、 门禁系统：支持人脸、密码、二维码等多种识别认证方式，支持分时段开门；支持显示人脸框，并实时检测最大人脸，支持识别区域及人脸目标大小设置；采用200万广角宽动态双目摄像头，支持自动开启补光灯以及手动调节补光灯亮度；支持面部识别距离0.3m-2.0m，适应0.9m～2.4m身高范围，基于深度人脸识别算法，精准定位目标人脸360个以上关键点位置，人脸验证准确率高达99.5%，1：N比对时间0.35秒/人，识别速度快，准确率高；适应侧脸，支持人脸识别角度0~90°设置设备支持≥5000个用户，≥5000张卡，≥5000个密码，≥5000个人脸，50个管理员；支持活体检测功能，支持手机照片、打印照片和视频防假；支持胁迫报警、防拆报警。。

1批

9

服务器

1、外观：1U机架式

2、CPU：1颗Intel? Xeon? E-2136/3.3GHz/12M/6C/12T

3、内存：配置 ≥16GB/DDR4内存

4、硬盘：配置≥ 2块2TB/SATA/7200PRM/3.5寸/企业级

5、其他：≥2个千兆网口、导轨、

6、管理：≥1*IPMI管理网口，集成BMC模块，支持PSMS管理功能，支持IPMI、SOL、KVM OVER IP、虚拟媒体等功能；服务器监控管理软件PUM，同时支持Windos和Linux操作系统，可以实时监控服务器的CPU的利用率，可用物理内存，磁盘空间利用率及网络链路状态等信息

1台

10

等保测评

含1个子系统等保测评服务

1项