衡水市职业技术教育中心平台：衡水市职业技术教育中心网络安全系统项目

序

号

需求

名称

技术参数描述

1

防火墙

采用非X86 多核架构，冗余电源

配置≥1 个管理电口，≥12 个千兆电口，≥4 对Combo口，≥4 个千兆光口，≥2个万兆光口，接口卡扩展槽位≥2 个

七层吞吐量≥7Gbps，三层吞吐量≥20Gbps；并发连接数≥750 万，每秒新建连

接数（HTTP）≥15 万

支持路由模式、透明（网桥）模式、混合模式；

静态路由、策略路由、RIP、OSPF、BGP等路由协议

支持高性能IPSec、L2TP、GRE VPN、SSL VPN等功能

支持IPSec VPN隧道自动建立，无需流量触发

支持IPsec VPN智能选路，根据应用和隧道质量调度流量

可基于每个SSL VPN用户的会话连接数、连接时间和流量阀值进行细颗粒度的管控。

实现安全区域划分，访问控制列表，配置对象及策略，动态包过滤，黑名单，

MAC和IP绑定功能，基于MAC的访问控制列表，802.1q VLAN 透传等功能

支持一体化安全策略，能够基于时间、用户/用户组、应用层协议、五元组、内容安全统一界面进行安全策略配置

支持策略冗余分析， 冲突策略分析以及命中率统计

支持策略风险调优，定期分析用户策略，结合应用状况和流量情况，给出优化建议可基于病毒特征进行检测，实现病毒库手动和自动升级，报文流处理模式，实

现病毒日志和报表

支持超过 37000 条病毒规则

支持国密SM1/2/3/4 算法

支持虚拟防火墙功能：支持虚拟防火墙的创建、启动、关闭、删除功能；可独

立分配CPU/内存等计算资源；虚拟防火墙可独立管理，独立保存配置；虚拟防

火墙具备独立会话管理、NAT、路由等功能

支持 2 台设备堆叠成一台设备使用，实现统一管理，统一配置，所投设备支持

高可靠性（包含主备/主主模式）部署

支持SNMPv1、SNMPv2、SNMPv3、RMON等网络管理协议，并且支持通过网管软件

远程进行设备软件升级、配置等

提供开放API接口（RESTful，NetConf），可编程管理防火墙，不再仅依赖网管

软件

支持U盘零配置开局

配置 3 年防病毒安全功能授权；

提供整机三年原厂质保服务、安装实施服务、设备使用培训服务

2

入侵防御

采用非X86 多核架构，双交流电源，1U的独立盒式设备，具备独立的攻击检测引擎与病毒检测引擎

配置≥1 个管理电口，≥12 个千兆电口，≥8 个千兆光口，≥2 个万兆光口，业务扩展槽位≥4 个，硬盘槽位≥2 个，

吞吐量≥20Gbps；并发连接数≥550 万，每秒新建连接数（HTTP）≥10 万支持路由模式、透明（网桥）模式、混合模式部署

支持静态路由、策略路由、RIP、OSPF、等价路由等路由协议

集成入侵防御与检测、病毒防护、带宽管理和URL 过滤等功能；所有特性全面支持IPv6 ；发现病毒发送的告警信息，支持用户编辑告警内容，防病毒支持云查杀

支持P2P、IM、流媒体、网络社区、游戏等网络滥用协议的检测识别，支持的网络滥用协议至少包括迅雷、BT、电驴等多进程下载协议；支持暴风影音、百度视频、风行、芒果TV等P2P应用， 以及MSN、QQ、ICQ、Skype等IM应用，电影天堂、1905 电影网、多米音乐、ESPN、华数TV等娱乐平台；并可在识别的基础上对这些应用流量进行允许、阻断以及审计等操作

支持IP 碎片重组、TCP 流重组、会话状态跟踪、应用层协议解码等数据流处理方式

采用全面深入的分析检测技术，结合模式特征匹配、协议异常检测、流量异常检测、事件关联等多种技术，实现对黑客攻击、蠕虫/病毒、漏洞、木马、恶意代码、间谍软件/广告软件等攻击的防御，实现缓冲区溢出、SQL注入、IDS/IPS逃逸等攻击的防御

支持服务器异常外联检测，同时可配置服务器异常外联自动学习功能，并可配置连续学习时间，建立基线

提供基于用户名（或用户IP地址）实现对用户行为统一分析界面，采用饼状图对访问应用流量、网站访问集中分析展示，包含基于时间轴的访问行为轨迹(应用账号、行为内容等)，关联账号（微信、QQ）等相关用户行为审计内容;

支持虚拟入侵防御功能：支持虚拟入侵防御的创建、启动、关闭、删除功能；可独立分配CPU/内存等计算资源；可独立管理，独立保存配置；具备独立会话管理、路由等功能。

支持 2 台设备堆叠成一台设备使用，实现统一管理，统一配置，所投设备支持高可靠性（包含主备/主主模式）部署

支持SNMPv1、SNMPv2、SNMPv3、RMON等网络管理协议，并且支持通过网管软件远程进行设备软件升级、配置等

提供开放API接口（RESTful，NetConf），可编程管理防火墙，不再仅依赖网管软件

支持U盘零配置开局

配置 3 年入侵防御特性库升级授权

提供整机三年原厂质保服务、安装实施服务、设备使用培训服务

3

抗APT

设备

（未知威胁分析）

标准 2U 机架式设备，配备冗余交流电源

整机同时提供≥5 个千兆电口（支持硬件 bypass），≥1 个扩展槽位；文件处理数≥2 万（天），最大并发会话数≥45 万

支持旁路模式，对镜像或分光数据进行检测；

支持离线扫描模式，对指定的 FTP/SMB 文件目录进行读取检测；提供加盖厂商公章的截图证明材料。

系统自身具备对 HTTP/FTP/SMTP/POP3/IMAP 协议的解析还原能力

提供基于虚拟执行的动态检测技术，可以基于软件在虚拟环境的行为及通用漏洞利用特征（进程行为，逃逸行为），分类识别各种加壳病毒及未知恶意代码；提供加盖厂商公章的截图证明材料。

支持对 office 文档、pdf、压缩文件、flash、pe 等常见 windows 平台文件进行动态检测；

支持 win xp、win7、win10、安卓虚拟环境；

系统至少内置 6 种不同类型的虚拟环境，支持用户自主配置，支持虚拟环境的定制和升级；

支持对病毒、木马、蠕虫等已知恶意代码的检测，系统内置不低于两个病毒检测引擎，用户自主配置；提供加盖厂商公章的截图证明材料。

支持自定义 YARA 检测规则；

支持无签名静态检测技术，包括无差别的 shellcode 检测；

支持云端安全情报获取，支持对动态检测中样本访问的地址进行信誉检测

支持与本次采购的入侵防御设备联动，IPS 入侵设备提交可疑文件，经过分析发现未知威胁事件时，下发到入侵防御设备进行阻断，实现检测和阻断闭环；提供加盖厂商公章的截图证明材料。

支持 IPv6 环境下的部署与配置。

提供整机三年原厂质保服务、安装实施服务、设备使用培训服务；

配置病毒检测模块、静态检测模块和动态检测模块，并提供相关特征库升级服务；

4

WEB 应

用防火墙

标准 1U 机架式设备、冗余交流电源；

整机同时提供≥4 个千兆 GE 电口（支持硬件 bypass），≥1 个扩展槽位；网络吞吐量≥5G、应用吞吐≥1G、事务处理能力（TPS）≥2 万。

支持透明部署，旁路部署，反向代理模式以及镜像部署模式。支持 HTTP 0.9/1.0/1.1，完全解析 HTTP 事务。

支持对 SSL（HTTPS）加密会话进行分析。

支持对 HTTP 协议的异常元素、异常参数、非法编码和解码的灵活控制与处理。支持针对主流 Web 服务器及插件的已知漏洞防护。Web 服务器应覆盖主流服务 器：apache、tomcat、lightpd、NGINX、IIS 等；插件应覆盖：dedecms、phpmuaDMin、 PHPWind、shopex、discuz、echsop、vbulletin、wordpress 等。

支持对注入、XSS、SSI 指令、Webshell 防护、路径穿越及远程文件包含的攻击防护。

支持 CSRF（跨站请求伪造）防护.

支持爬虫防护，实现对 100 种以上的爬虫特征进行识别和阻断，防止页面因爬虫而引起信息泄露等问题。

支持盗链防护，有效识别网页盗链行为，避免用户网页资源被滥用。

支持通过阈值告警、请求量统计、应答分布统计等防护手段进行扫描防护; 提供加盖厂商公章的截图证明材料。

支持 Cookie 安全机制，包括 Cookie 加密和 Cookie 签名的防护算法。支持过期兼容时间配置以及配置。提供加盖厂商公章的截图证明材料。

支持对服务器状态码进行过滤和伪装的安全策略。

支持敏感关键字自定义功能。

支持 URL ACL。对多种 HTTP 方法执行访问控制，包括：GET、POST、HEAD、PUT、 DELETE 等。

支持 TCP Flood 防护和 HTTP Flood 防护，并说明 HTTP Flood 防护的检测算法。支持 XML 防护，包括 XML 基础校验、Schema 校验以及 SOAP 校验。提供加盖厂 商公章的截图证明材料。

支持基于五元组（源 IP 地址、目的 IP 地址、源端口、目的源口、协议类型）及接口的网络防火墙功能。

应支持 HTTPS 国密算法应支持 base64 解码能力

支持不同安全事件类型以不同的颜色区分。

支持基于时间、IP、端口、动作、事件类型、URI、方法等条件的日志查询。支持在安全日志中带有客户端真实 IP 地址，便于 IP 溯源。

支持日志分时段导出、全部导出或者清空。

支持误分析功能，提升检测精度，减少告警噪音支持标准 SNMP trap 和 SYSLOG 接口。

支持与时间服务器同步。

能对账户进行安全策略配置，包括口令复杂度和口令生存期。支持 HA 的 A/S 部署模式，支持配置同步。

支持 VRRP 协议。

提供整机三年原厂质保服务、安装实施服务、设备使用培训服务；

5

日志审计

标准 1U 机架式设备，配备冗余交流电源；

整机同时提供≥5 个千兆电口（支持硬件 bypass），≥4 个千兆 SFP 光接口，

≥1 个扩展槽位；

存储硬盘容量应≥4TB；

平均每秒处理日志数（eps）最大性能≥2500；

系统应基于大数据平台架构，具备海量数据收集与快速检索能力；

系统应基于 B/S 架构，支持 SSL 加密模式访问，可通过 web 方式直接对系统进行管理

系统应支持内置采集器，不依赖其他设备即可进行日志采集

系统支持的数据采集范围包括但不限于网络安全设备、交换设备、路由设备、操作系统、应用系统等

系统支持的数据采集方式包括但不限于 SYSLOG、RSYSLOG、SNMP Trap、FTP、 ODBC、JDBC、Net flow、WMI、二进制数据、专用 Agent 等方式采集日志；提供加盖厂商公章的截图证明材料。

系统应能实现海量日志数据的采集并保存原始日志数据

系统应能够对异构日志格式进行统一化处理并保存统一化处理后的日志数据系统应支持正则、KV、格式串等多种灵活的提取方式

系统应提供日志转发功能，应支持日志转发多个目标地址，可实现原始日志、范式化日志的转发，且不丢失原始日志源 IP 信息；提供加盖厂商公章的截图证明材料。

系统应支持按类型、按日期(天)，手动、自动备份日志系统应支持日志备份远程服务器，如传送到 FTP 服务器

系统应能够按照多种维度统计日志信息

系统应能支持自定义报表目录、LOGO 等系统应支持支持用户自定义账号

系统应支持管理员、审计员、操作员多种权限设置

系统应支持来访 IP 限制，对暴力猜测 IP 地址进行锁定

本次要求应支持≥40 个日志源接入；支持主机授权数量无限扩展，后续可根据需要灵活扩容；

提供整机三年原厂质保服务、安装实施服务、设备使用培训服务；

6

运 维

安 全

管 理系统

标准 1U 机架式设备，采用 B/S 架构、 HTTPS 方式远程安全管理，无需安装客户端。采用物理旁路模式部署，不影响网络结构。

整机提供≥1 个千兆管理口，≥4 个千兆电口，硬盘≥2T；

≥80 个字符并发会话数，≥140 个图形并发会话数。

支持运维审计日志集中管理运维审计系统分布式部署方式；

支持 IP 和端口 DNAT 网络环境部署，通过映射后的 IP 和端口信息能够访问堡垒机；

用户登录堡垒机支持多种认证方式，包括本地静态密码认证、LDAP 认证、RADIUS认证、证书认证、USBKEY 认证、短信认证等身份认证方式；支持可知因素和不可知因素的双因素认证；

除用户身份认证外，对特定目标设备访问还需要高级管理员授权才能访问。产品支持通过手机 APP 方式进行审批管理、消息通知和系统状态查看；

产品支持 SSH(V1、V2)、Telnet、RDP、VNC、X11、FTP、SFTP；支持文件共享；可支持 RDP、VNC 的客户端直接访问堡垒机，支持 FTP 客户端 Wincp 直接访问堡垒机

支持自动发现运维人员运维过程中创建的后门账号行为，并以列表方式向设备管理员展示托管设备中所有的后门账号信息。提供加盖厂商公章的截图证明材料。

支持自动发现运维人员离职后遗留不用僵尸账号，并以列表方式向管理员展示托管设备中所有的僵尸账号，支持自定义未使用天数

支持自动发现托管设备中长时间不被运维的僵尸设备，并以列表方式向管理员展示僵尸设备，支持自定义未访问天数

支持数据库审计功能，堡垒机以录屏加独立 SQL 命令的形式审计运维人员的操作能够准确快速的定位数据库语句执行的状态

支持 HTTP、HTTPS 操作审计，HTTP/HTTPS 协议可以直接代理。可控制用户访问 web 服务器的 url 地址，可控制用户上传/下载文件到 web 服务器。

可通过应用发布的方式进行协议扩展，无需定制即可支持其他通用及专有的运维客户端程序。

工单系统支持运维工单流程，运维人员审批可提前申请工单，审批人员审批自由度大幅提高，不再受审批时间限制，解放运维人员和审批人员，提高工作效率；工单流程具体包括：工单创建-审批-完成。

支持实时监控通过 SSH、SFTP、RDP、VNC 、Telnet、FTP、X11 等协议的操作行为；对监控到的非法操作，可实时手工切断。

支持 WEB 调用本地客户端程序，putty securecrt xshell winscp xftp mstsc等客户端单点登录堡垒机运维目标设备；

支持客户端访问方式运维设备：支持通过 SecurCRT、Putty 等常用的命令行客

户端工具登录堡垒机并访问目标设备，并支持会话克隆；支客户端程序一键快速访问目标托管设备进行运维；

支持对 IPv6 和 IPv4 双栈网络下托管设备运维管理和用户访问；提供加盖厂商公章的截图证明材料。

管理员可以统计出某段时间内，高危命令执行的情况；针对被审计对象可以统计出用户信息、设备信息，统计结果支持 excle 方式导出。

堡垒机可以按时间、运维协议类型、指定用户、指定设备及各类子报表类型定制报表，报表支持 Word、excel 格式导出； 报表标题可自定义。

配置≥100 台设备管理授权，支持设备管理数量扩容；

提供整机三年原厂质保服务、安装实施服务、设备使用培训服务；

7

数据库审计

标准 2U 机架式设备，冗余交流电源；采用 B/S 架构、中文界面、HTTPS 方式远程安全管理，无需安装客户端；

整机同时提供≥5 个千兆 GE 电口（支持硬件 bypass），≥1 个扩展槽位，≥2T硬盘；

SQL 语句处理性能：≥20000 条/每秒

支持数据库自动发现。设备无需添加、即插即用。

支持主流数据库：Oracle、SQL Server、MySQL、DB2、Sybase、PostgreSQL、 Informix、DM、Oscar、Kingbase、Gbase、Hbase、MongoDB、HIVE、Redis、Cache旁路部署模式，通过 TAP、SPAN 等技术将网络流量映射到审计设备，对数据库流量进行审计和告警

支持在目标数据库安装 Agent 解决无法通过旁路镜像获取流量的场景，如同服务器部署数据库和应用系统、云环境、虚拟化环境场景下数据库的审计。

支持在 IPv4 和 IPV6 环境中部署，且支持所有数据库 IPV6 协议的审计。提供加盖厂商公章的截图证明材料。

支持数据库请求和返回的双向审计，特别是返回字段和结果集、执行状态、返回行数、执行时长等内容，支持通过返回行数和内容大小控制返回结果集大小；支持 MySQL 数据库的 SSL/TSL 加密链路审计。

对于高风险操作所在的会话，支持旁路阻断功能，避免更大的危害。提供加盖厂商公章的截图证明材料。

三个纬度的导航：会话维度、风险纬度、sql 分布

操作记录的信息：审计结果中包括：告警级别、事件发生时间、客户端 IP、目标数据库 IP、操作类型、客户端 MAC 地址、客户端端口号、返回状态、结果信息、客户端执行命令等详细信息内容。

支持基于时间、IP 地址、数据库服务器 IP 地址、用户名、数据库操作命令、数据库表名，执行结果，应用用户等多种丰富的查询检索条件。

对审计结果集敏感内容可进行屏蔽。

支持定时自动生成报表，并发送到指定邮箱文档格式：PDF\HTML

支持报表自定义，自定义项不少于 10 种

根据三权分立的原则。提供系统管理员、安全管理员和审计管理员不同的用户身份验证。

提供整机三年原厂质保服务、软件升级服务、安装实施服务、设备使用培训服

务；

8

等保测评

等保三级测评内容（包括但不限于）：

具体包含安全物理环境测评、安全通信网络测评、安全区域边界测评、安全计算环境测评、安全管理中心测评、安全管理制度测评、安全管理机构测评、安全管理人员测评、系统建设管理测评等；

交付物：包含测评方案、安全建设整改建议、等级测评报告、公安相关部门出

具的信息系统安全等级保护备案证明；

9

证书管理

网站的可信身份认证与安全数据传输

10

摄像头

网络摄像机、视频压缩：H.265/M-JPEG、像素 400 万。

11

安装调试费

设备安装调试费

12

机房改造

机房环境改造、设备迁改