系统升级改造设备采购招标文件更正公告（一）

项号

货物名称

项目要求及技术需求

数量

单位

1

防火墙

★1.标准2U设备,双冗余电源；标配8个10/100/1000M电口；≥2个扩展槽位，要求配置2口万兆SFP+接口板1个；USB接口 ≥2个；最大整机吞吐量≥10Gbps，最大并发连接数≥250万，每秒新建连接数≥10万。

2.支持虚拟线、二层透明、路由、混合、旁路监听接入方式，适应各种网络环境需求。

3.支持VLAN划分、VLAN Trunk，支持802.1Q，能进行封装和解封；支持MSTP、RSTP等生成树协议。

4.支持IPMAC绑定，支持手动和自动探测绑定。

5.支持汇聚接口，能够手动绑定接口，即可支持动态绑定。

★6.能够在一条策略里配置源/目的IP地址、安全区、应用/应用组、协议/端口、时间、用户、安全模板/模板组。

7.支持基于策略的双向NAT、动态/静态NAT、端口PAT。

8.支持WEB界面设置静态路由及OSPF、RIP、BGP动态路由协议；支持基于源/目的地址、接口的、基于服务的策略路由。

★9.支持内置/自定义ISP路由库，可以实现多运营商链路负载。

10.支持反向路由。

★11.支持链路探测，能够在每接口上以ICMP/TCP/UDP协议探测目标主机可达性，探测链路是否有效。

12.支持基于IPv6的访问控制，并可灵活配置。

13.支持泛洪类攻击防护：UDP/DNS/SYN/PING 泛洪；支持ARP欺骗类攻击；

★14.支持非对称路由。

★15.产品支持与IDS进行安全联动，实时阻断IDS发现的攻击行为。

★16.产品应具备安全云接入模块，可通过安全云存储日志、导出报表,支持通过手机APP实时监控设备状态（投标人于投标文件中必须提供所投产品具有“支持通过手机APP实时监控设备状态”的功能界面截图）。

★17.投标人于投标文件中必须提供所投本项号产品以下相关有效证明材料：

（1）《计算机信息系统安全专用产品销售许可证》复印件；

（2）由中国信息安全认证中心颁发的《中国国家信息安全产品认证证书》复印件；

（3）产品生产厂家的《信息安全等级保护安全建设服务机构能力评估合格证书》复印件。

★18.提供最短不得少于三年的硬件和配套软件免费保修服务。

★19.投标人于投标文件中必须提供所投本项号产品具有以上第6、9、11、14、15条带“★”项要求的相关功能界面截图。

1

台

2

WEB应用安全网关

★1.要求为2U上架设备，1个HA口，1个RJ-45 Console口，2个10/100/1000 Base-T带外管理口，≥2个网络接口板扩展槽位，要求配置4个万兆光口SFP+插槽，双电源。

2.设备网络层吞吐率≥5G,应用层吞吐率≥2G,最大HTTP并发连接数≥250万,每秒新建HTTP连接数≥2万。

3.支持透明部署，旁路部署，反向代理模式以及镜像部署模式。

4.支持在Trunk线路上部署并提供防护，支持VLAN的透传或者终结。

5.支持HTTP 0.9/1.0/1.1，完全解析HTTP事务。

6.支持对SSL（HTTPS）加密会话进行分析。

★7.支持对HTTP协议的异常元素、异常参数、非法编码和解码的灵活控制与处理。

8.支持针对主流Web服务器及插件的已知漏洞防护。Web服务器应覆盖主流服务器：apache、tomcat、lightpd、NGINX、IIS等；插件应覆盖：dedecms、phpmuadmin、PHPWind、shopex、discuz、echsop、vbulletin、wordpress等。

★9.支持对注入、XSS、SSI指令、Webshell防护、路径穿越及远程文件包含的攻击防护。

★10.支持CSRF（跨站请求伪造）防护。

11.支持爬虫防护，实现对100种以上的爬虫特征进行识别和阻断，防止页面因爬虫而引起信息泄露等问题。

12.支持盗链防护，有效识别网页盗链行为，避免用户网页资源被滥用。

13.支持扫描防护。

★14.支持Cookie安全机制。

★15.支持对服务器状态码进行过滤和伪装的安全策略。

16.支持敏感关键字自定义功能。

17.支持URL ACL。对多种HTTP方法执行访问控制，包括：GET、POST、HEAD、PUT、DELETE等。

★18.支持基于五元组（源IP地址、目的IP地址、源端口、目的源口、协议类型）及接口的网络防火墙功能。

19.支持不同安全事件类型以不同的颜色区分。

20.支持基于时间、IP、端口、动作、事件类型、URI、方法等条件的日志查询。

★21.支持在安全日志中带有客户端真实IP地址，便于IP溯源。

★22.支持日志分时段导出、全部导出或者清。

23.支持标准SNMP trap和Syslog接口。

★24.支持与时间服务器同步。

★25.能对账户进行安全策略配置，包括口令复杂度和口令生存期。

26.支持HA的A/S部署模式，支持配置同步。

27.支持VRRP协议

★28.支持与安全云联动，可通过手机APP查看设备状态（投标人于投标文件中必须提供所投产品具有“可通过手机APP查看设备状态”的功能界面截图）。

★29.投标人于投标文件中必须提供所投本项号产品的《计算机信息系统安全专用产品销售许可证》复印件。

★30.提供最短不得少于三年的设备硬件和配套软件的免费保修服务，并提供不得少于三年的web防护特征库升级服务。

★31.投标人于投标文件中必须提供所投本项号产品具有以上第7、9、10、14、15、18、21、22、24、25条带“★”项要求的相关功能界面截图。

1

台

3

数据库审计设备

★1.要求为2U上架专用设备，搭配6个电口、4个SFP千兆插槽。数据存储量不少于2T。

2.审计事件每秒入库速度至少在30000条/秒 ，日处理审计事件数至少20000万条；引擎抓包速度≥1000Mbps；含20个被审计DB服务数。

3.SQL语句处理能力：≥15000条SQL每秒。

4.检索能力：1亿条日志的数据规模，查询响应时间<20秒。

★5.支持数据库自动发现。设备无需添加、即插即用。

★6.支持主流数据库：Oracle、SQL Server、MySQL、DB2、PostgreSQL、sybase、达梦（DM）、人大金仓kingbase、Oscar。

7.会话的终端信息：IP、MAC、Port、工具名称（程序名）。

8.会话的主机信息、IP、MAC、Port、数据库名（实例名）。

9.会话的其它信息：登录时间、会话时长。

★10.操作信息：操作类型（DDL、DML、DCL等）、操作时间、执行时长、操作成功与失败、操作对象（表、函数、存储过程名称）、SQL语句。

★11.操作影响范围信息：查询、修改、删除操作的影响行数,以及返回行数。

12.影响范围（影响行数）Range：该操作执行的影响范围，如查询、修改或删除的记录行数。

13.执行结果ResultSet：执行成功与否的结果以及返回结果集，如查询操作的返回内容。

14.支持Weblogic、tomcat、Websphere、Jboss等主流的应用服务器。

15.能对基于数据库漏洞进行攻击行为监测和告警，默认支持400个以上的数据库漏洞攻击规则库。

★16.通过模式匹配的方式对SQL访问进行监测与告警,判断是否为可疑SQL注入。

17.支持SQL注入监测：根据IP，sql特征和正则表达式自定义SQL注入。

18.支持数据库漏洞监测和审计语句统一管理。

★19.支持敏感语句告警策略。

20.支持定时自动生成报表，并发送到指定邮箱。

★21.风险分析：根据敏感语句、sql注入、漏洞攻击、风险操作等维度以时间维度统计数据库分析信息。支持规则命中查询、支持风险检索。

★22.会话分析：基于客户端IP、数据库用户、访问程序统计会话、支持会话检索；失败会话和并发会话统计；支持应用层关联会话查询。

23.支持报表定时推动功能，自定义推送周期以邮件形式推送报表文档。

24.根据三权分立的原则。提供系统管理员、安全管理员和审计管理员不同的用户身份验证。系统针对产品操作人员的操作行为进行审计记录，可以由审计管理员进行查询，具有自身安全审计功能。提供审计数据管理功能，能够实现对审计数据的自动备份、删除和导入。

★25.投标人于投标文件中必须提供所投本项号产品以下相关有效证明材料：

（1）《计算机信息系统安全专用产品销售许可证》增强级证书复印件；

（2）中国信息安全认证中心颁发的《中国国家信息安全产品认证证书》复印件。

★26.提供最短不得少于三年的硬件和配套软件免费保修服务。

★27.投标人于投标文件中必须提供所投本项号产品具有以上第5、6、10、11、16、19、21、22条带“★”项要求的相关功能界面截图。

1

台

4

堡垒机

一、基本要求：

★1.要求为1U机架式软硬一体设备,专用硬件平台和安全操作系统，≥4个千兆电口；1个console管理口，硬盘容量≥2TB；支持HA双机热备。支持≥700路字符会话或200路图形会话并发，配置≥200个点的被管资源数授权。

二、功能要求： 

★1.支持手工登录目标设备，运维人员每次通过运维审计系统登录目标设备都需要手工输入目标设备用户名密码。

★2.支持人员半自动登录目标设备，即第一次登录目标设备时运维人员需手工输入目标设备帐号和密码并允许运维审计系统保存该帐号密码，之后运维人员就可以自动登录目标设备。

3.支持批量导入用户帐号、目标设备信息。

★4.支持通过权限视图查询各用户的访问权限。

5.支持字符型远程操作协议：SSH(V1、V2)、TELNET。

6.支持图形化远程操作协议：RDP、VNC、X11。

7.支持文件传输协议：FTP、SFTP。

★8.支持自动填写特权密码，从普通管理模式进入到特权模式。

★9.为了最大程度保障运维安全，针对Linux服务器将采用公钥私钥登录，要求运维审计系统需支持公钥私钥代理登录，使用户能够一键通过原有客户端访问服务器，而非使用应用发布实现。

★10.支持通过RDP、SSH、https访问运维审计系统。

★11.支持设备发现，通过IP地址扫描，快速发现指定IP地址范围内的主机、服务器和网络设备，并自动识别启用服务和端口，方便管理员快速添加设备。

★12.支持工单申请，运维人员通过填写申请表单，可在指定时间单位内获取设备访问权限，超过时间范围权限自动取消。审批人员可以通过手机APP拒绝或允许工单请求（投标人于投标文件中必须提供所投本项号产品具有“审批人员可以通过手机APP拒绝或允许工单请求”界面截图）。

13.要求支持基于RDP、VNC文件访问控制功能，双向控制客户端与服务器收发文件行为。

★14.要求支持幽灵账号功能，支持主动对从账号进行关联分析，当发现攻击者植入的异常账号时，对相关管理员采取告警、记录及通知等操作。

★15.投标人于投标文件中必须提供所投本项号产品以下相关证明材料：

（1）《计算机信息系统安全专用产品销售许可证》复印件；

（2）中国信息安全认证中心颁发的《信息安全产品认证证书》复印件。

★16.投标人于投标文件中必须提供所投本项号产品具有以上第二条“功能要求”中第1、2、4、8、9、10、11、14条带“★”项要求的功能界面截图。

★三、提供最短不得少于三年的硬件保修及软件免费升级服务。

1

台

5

漏洞扫描设备

★1.标准1U设备，配置6个10/100/1000M 电口（其中一个口可同时做扫描和管理），一个可扩展插槽，单交流电源；单次任务可扫描不少于200个IP地址，授权可扫描IP地址1000个，并发扫描不少于40IP。

★2.可以通过增加软件授权的方式（不需要增加任何额外硬件）。

★3.支持在IPv6环境中部署和执行扫描任务。

★4.支持对虚拟化平台的扫描。

★5.漏洞知识库漏洞信息大于20000条（投标人于投标文件中必须提供所投本项号产品具有本项中以上功能的功能界面截图）。兼容CVE、CNCVE、CNNVD、CNVD、Bugtraq等主流标准（投标人于投标文件中必须提供所投本项号产品的CVE Compatible证书复印件和国家信息安全漏洞库兼容证书复印件）。

★6.具备单独口令猜测扫描任务，支持多种口令猜测方式，包括利用SMB、TELNET、FTP、SSH、POP3、TOMCAT、SQL SERVER、MYSQL、ORACLE、SYBASE、DB2、SNMP等协议进行口令猜测，允许外挂用户提供的用户名字典、密码字典和用户名密码组合字典。

★7.支持和微软WSUS补丁系统的联动，方便进行自动化的补丁修补，支持自动漏洞策略模板过滤器功能，升级包中符合定义条件的漏洞可自动添加到自定义漏洞模板中，无需每次手动添加。支持保存任务配置，并可复用。支持风险告警和风险闭环处理，可配置告警内容、告警方式、告警资产范围等，支持邮件和页面告警，支持自定义风险值计算标准配置，可对主机风险等级评定标准和网络风险等级评定标准进行自定义。

8.支持二次开发接口，可以方便第三方系统利用此接口进行二次开发。

9.支持三类用户角色分类，分别为“用户管理员”、“审计员”、“配置管理员”。

10.支持对各种网络主机、操作系统、网络设备（如交换机、路由器、防火墙等）、常用软件以及应用系统的识别和漏洞扫描。

★11.支持扫描国产操作系统、应用及软件的安全漏洞，如红旗、麒麟、起点操作系统（投标人于投标文件中必须提供所投产品的漏洞库截图）。

★12.支持扫描任务预计所需剩余时间显示。

★13.支持对端口范围、CGI扫描、后门、用户名密码字典、数据库扫描、SNMP扫描、主机存活探测等多种通用扫描参数进行详细自定义。

★14.支持报表自定义，可定制报表标题、封面logo、报表页眉和页脚、报表各章节显示内容。

★15.提供系统快照功能，当系统出现问题时，可以通过恢复快照，一次性将系统恢复到快照时的版本，并将用户数据一同恢复。

★16. 配置云计算环境的漏洞扫描系统，支持扫描主流虚拟机管理系统的安全漏洞。

★17.投标人于投标文件中必须提供所投本项号产品以下相关有效证明材料：

（1）《计算机信息系统安全专用产品销售许可证》复印件；

（2）由国家版权局颁发的云计算环境的漏洞扫描系统“计算机软件著作权登记证书”复印件。

★18.提供最短不得少于3年的漏洞库升级授权及硬件维保服务。

★19.投标人于投标文件中必须提供所投本项号产品具有以上第3、4、6、7、12、13、14、15条带“★”项要求的功能界面截图。

1

套

6

日志审计系统

★1.系统要求为1U标准式机架硬件设备，冗余双电源，避免电源硬件故障时设备宕机，要求能提高设备可用性。系统应包含1个RJ45串口支持100个审计对象授权。系统硬盘容量不低于4TB，支持定制扩容。

2.系统基于大数据平台架构，具备海量数据收集与快速检索能力。

3.系统基于B/S架构，支持SSL加密模式访问，可通过web方式直接对系统进行管理。

★4.系统支持内置采集器，不依赖其他设备即可进行日志采集。

5.系统支持每秒1000EPS的日志解析能力。

6.系统支持的数据采集范围包括但不限于网络安全设备、交换设备、路由设备、操作系统、应用系统等。

★7.系统支持的数据采集方式包括但不限于SYSLOG、SNMP/SNMP TRAP、FTP/SFTP、HTTP、API接口、WebService、专用Agent等方式采集日志。

8.系统支持采集的设备厂家包括但不限于：NSFOCUS(绿盟科技)、Venustech(启明星辰)、Topsec(天融信)、DBAPPSecurit(安恒)、SANGFOR(深信服)、Hillstone(山石网科)、东软、瑞星、金山、网康、360网神、Dptech(迪普)、艾科网信、Imperva、Juniper(瞻博网络)、F5、Symantec(赛门铁克)、Deep Security(趋势科技)、MaAfee(迈克菲)、Fortinet(飞塔)、Windows、Linux/Unix、Cisco(思科)、HUAWEI(华为)、H3C(华三)、中兴、Apache、nginx 、IIS、WebLogic、Vmware、Kvm、Xen、OpenStack、Hyper-V、华为FusionSphere、Oracle、MySQL、PostgreSQL、SQL Server、Bind等。

9.系统应能实现海量日志数据的采集并保存原始日志数据。

10.系统应能够对异构日志格式进行统一化处理并保存统一化处理后的日志数据。

11.系统能够实现对海量日志数据快速查询。

12.系统支持按类型、按日期(天)，手动、自动备份日志。

13.系统支持设置日志存储备份策略，可设置备份周期、备份日志类型等 。

14.系统支持查询实时事件，支持自定义查询事件，支持模糊查询。

15.系统支持事件规则自定义，支持面向日志类型的规则配置，支持通过插件方式实现日志类型的扩展。

16.系统支持周期性合并事件告警。

★17.系统支持资产标签，且至少6种标签以上，根据标签可快速查询资产。

18.系统支持手工注册资产，支持对资产进行修改/删除、批量导入/导出/添加/修改/删除等多种方式的管理。

★19.系统支持从日志进行资产发现。

20.系统支持管理员、审计员、操作员多种权限设置。

21.系统支持自身日志记录并可查询、自身CPU、内存和磁盘使用率可监控并以图形化方式动态显示。

★22.投标人于投标文件中必须提供所投本项号产品的《计算机信息系统安全专用产品销售许可证》复印件。

★23.提供最短不得少于3年的软件免费维护升级服务。

1

套

7

安全管理平台

1.系统采用基于浏览器的用户界面，至少支持IE与Firefox。为了适应不同用途，用户可以对界面颜色进行选择调整。

★2.基于大数据平台构架。具备海量数据收集与快速检索能力。

3.平均处理能力（每秒日志解析能力EPS）：10000EPS，峰值处理能力（每秒日志解析能力EPS）：30000EPS。

4.数据采集引擎具备数据压缩能力。