823安全设备采购清单

　 硬件设备采购

　（1）边界防火墙 数量：1台

　序号 技术项 指标要求 1 接口\性能 ★标准1U机架设备,标配6个千兆电口，并含2个高速USB2.0接口，1个RJ45串口；整机三层吞吐量（大包）≥3Gbps，应用层吞吐量≥500Mbps，并发连接数≥100万，每秒新建连接数≥9万，硬件Bypass 1对； 2 网络特性 支持路由，网桥，单臂，旁路，虚拟网线以及混合部署方式。

　支持链路聚合，上下行接口联动，802.1Q VLAN Trunk、access接口，子接口。

　支持静态路由，动态路由支持RIP，OSPF，

　支持基于5元组和应用类型的策略路由。 3 防火墙 支持基于八元组的访问控制规则，八元组包括源／目的IP，源／目的端口，源／目的区域，用户（组），应用类型，服务类型；应用识别支持的应用类型超过1000种，应用识别规则总数超过2800条；

　支持IPv4／v6 NAT地址转换，支持源目的地址转换，目的地址转换和双向地址转换，支持针对源IP或者目的IP进行连接数控制；

　支持基于应用类型的策略路由应用引流；支持多线路链路负载；

　支持基于应用类型，网站类型，文件类型进行带宽分配和流控； 4 威胁检测特征库

　 ▲必须具备独立的病毒库、URL库、IPS漏洞特征识别库、软件优化、应用识别库、WEB应用防护库、数据泄密防护库、僵尸网络识别库、实时漏洞分析识别库、恶意链接库、威胁情报预警与处理库（每一项需要提供截图证明并加盖厂商公章）； 5 内容安全 支持URL过滤和文件过滤功能，URL过滤支持GET，POST请求过滤和HTTPS网站过滤，文件过滤支持文件上传和下载过滤； 6 僵尸主机检测 支持对终端种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为；

　▲具备独立的僵尸主机识别特征库，恶意软件识别特征总数在40万条以上；

　对于未知威胁具备同云端安全分析引擎进行联动的能力，上报可疑行为并在云端进行沙盒检测，并下发威胁行为分析报告（需提供云端恶意软件分析报告样本并加盖厂商公章）； 7

　服务器防护 支持HTTP 1.0/1.1，HTTPS协议的安全威胁检测；

　支持针对B/S架构应用抵御SQL注入、XSS、系统命令等注入型攻击；支持跨站请求伪造CSRF攻击防护；支持对ASP,PHP,JSP等主流脚本语言编写的webshell后门脚本上传的检测和过滤；支持对网站的扫描防护和防止恶意爬虫攻击；支持其他类型的Web攻击，如文件包含，目录遍历，信息泄露攻击等；

　产品应具备独立的Web应用防护规则库，Web应用防护规则总数在3000条以上；

　具备针对主流网站内容管理系统CMS的安全防护能力，如dedecms，phpcms，phpwind等；支持的CMS类型数量不少10种；

　支持敏感数据防泄密功能，支持敏感信息自定义，支持根据文件类型和敏感关键字进行信息过滤；

　▲支持B/S服务漏洞扫描功能，可扫描WEB网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞；

　★支持对被防护网站是否被挂黑链进行检测；

　支持CC攻击防护； 8 入侵防护 入侵防护漏洞规则特征库数量在4600条以上，入侵防护漏洞特征具备中文相关介绍，包括但不限于漏洞描述，漏洞名称，危险等级，影响系统，对应CVE编号，参考信息和建议的解决方案；

　▲支持对常见应用服务（HTTP、FTP、SSH、SMTP、IMAP）和数据库软件（MySQL、Oracle、MSSQL）的口令暴力破解防护功能；

　具备对常见网络协议（SSH、FTP、RDP、VNC、Netbios）和数据库（MySQL、Oracle、MSSQL）的弱密码扫描功能；

　 支持同防火墙访问控制规则进行联动，可以针对检测到的攻击源IP进行联动封锁，支持自定义封锁时间；

　★具备威胁情报预警与处置功能，可提供最新的威胁情报信息，能够对新爆发的流行高危漏洞进行预警和自动检测，发现问题后支持一键生成防护规则； 9 病毒防护 支持对HTTP，FTP，SMTP，POP3协议进行病毒文件检测；

　病毒库具备的内置病毒特征数量超过100万；

　支持对常见压缩文件格式的检测，如zip，rar，7z等；

　支持杀毒文件类型自定义； 10 网页篡改防护 支持网关型和客户端型网页防篡改；

　支持在服务器上安装防篡改插件；

　支持通过采用IRF文件驱动流技术，在插件上配置需要保护的文件目录和允许修改该目录的应用程序，识别修改被保护网站目录的应用程序是否合法；客户端插件支持记录尝试修改，删除，新增被保护目录下文件的行为日志；客户端插件需要保障自身安全性，包括后台进程不允许被强制中止，访问客户端插件管理页面需要进行密码验证，访问客户端插件管理页面需具备自动超时机制；

　支持在网关设备设置对通过CMS方式登录网站管理后台进行邮件二次认证；

　支持在网关设备设置对通过FTP方式登录网站管理后台进行邮件二次认证；

　支持设置网站后台登录管理白名单，白名单中的用户登录网站管理后台无需经过二次认证； 11 安全可视化 支持对经过设备的流量进行分析，发现被保护对象存在的漏洞（非主动扫描），并根据被保护对象发现漏洞数量进行TOP 10排名，列出每个服务器发现的漏洞类型以及数量，

　支持生成和导出威胁报告，报告内容包含对整体发现的漏洞情况进行分析；

　▲提供安全报表，报表内容体现被保护对象发现漏洞情况以及遭受到攻击的漏洞统计，可以查看到有效攻击行为次数和攻击趋势； 12 自主运维管理 ▲支持设备界面有待处理功能，同时支持在首页多维度的展示发现的安全威胁，如攻击风险，漏洞风险，终端安全威胁和数据风险等；

　支持将所有发现的安全问题进行归类汇总，并针对给出相应的解决方法指引； 13 攻击地图展示 ▲在设备首页界面可以展示攻击源IP地址，及归属地，并且可以统计TOP5的攻击归属地；以世界地图的方式进行展示，帮助管理员分析攻击者分布； 14 高可用性 双机支持A/S，A/A方式部署，支持配置同步，会话同步和用户状态同步。 15 售后服务要求 必须在省内有厂家直属的服务办事机构，提供7*24小时快速上门服务和2小时内快速响应服务 16 售后服务体系要求 生产厂家售后服务体系通过ISO9001认证 17 产品资质 ★要求所投防火墙产品符合公安部第二代防火墙标准（GA／T 1177-2014）的要求，并提供公安部颁发的第二代防火墙销售许可证； 18 产品成熟度要求 要求所投产品（非投标型号）Web应用防护能力经过国际知名实验室NSS Labs测试，并获得recommended推荐级别；

　要求所投防火墙产品通过ICSA Labs的认证；

　★要求所投防火墙产品入围Gartner企业级防火墙魔力象限，保证产品质量和市场认可度

　▲设备生产厂商软件开发能力要求具备CMMI 5要求 19 其他 原厂保修一年

　（2）WEB应用防火墙 数量：1台

　序号 技术项 指标要求 1 接口\性能 ★标准1U机架设备,标配4个千兆电口，2个千兆光口，并含2个高速USB2.0接口，1个RJ45串口；整机三层吞吐量（大包）≥6Gbps，应用层吞吐量≥800Mbps，并发连接数≥100万，每秒新建连接数≥10万，硬件Bypass 2对； 2 网络特性 支持路由，网桥，单臂，旁路，虚拟网线以及混合部署方式。支持链路聚合，上下行接口联动，802.1Q VLAN Trunk、access接口，子接口。

　支持静态路由，动态路由支持RIP，OSPF，

　支持基于5元组和应用类型的策略路由。 3 防火墙 支持基于八元组的访问控制规则，八元组包括源／目的IP，源／目的端口，源／目的区域，用户（组），应用类型，服务类型；应用识别支持的应用类型超过1000种，应用识别规则总数超过2800条；

　支持IPv4／v6 NAT地址转换，支持源目的地址转换，目的地址转换和双向地址转换，支持针对源IP或者目的IP进行连接数控制；

　支持基于应用类型的策略路由应用引流；支持多线路链路负载；支持基于应用类型，网站类型，文件类型进行带宽分配和流控（需提供截图证明）； 4 威胁检测特征库

　 ▲必须具备独立的病毒库、URL库、IPS漏洞特征识别库、软件优化、应用识别库、WEB应用防护库、数据泄密防护库、僵尸网络识别库、实时漏洞分析识别库、恶意链接库、威胁情报预警与处理库（每一项需要提供截图证明并加盖厂商公章）； 5 内容安全 支持URL过滤和文件过滤功能，URL过滤；支持GET，POST请求过滤和HTTPS网站过滤，文件过滤支持文件上传和下载过滤； 6 僵尸主机检测 支持对终端种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为；

　▲具备独立的僵尸主机识别特征库，恶意软件识别特征总数在40万条以上；

　对于未知威胁具备同云端安全分析引擎进行联动的能力，上报可疑行为并在云端进行沙盒检测，并下发威胁行为分析报告； 7 服务器防护 支持HTTP 1.0/1.1，HTTPS协议的安全威胁检测；

　支持针对B/S架构应用抵御SQL注入、XSS、系统命令等注入型攻击；

　支持跨站请求伪造CSRF攻击防护；

　支持对ASP,PHP,JSP等主流脚本语言编写的webshell后门脚本上传的检测和过滤；

　支持对网站的扫描防护和防止恶意爬虫攻击；

　支持其他类型的Web攻击，如文件包含，目录遍历，信息泄露攻击等；

　产品应具备独立的Web应用防护规则库，Web应用防护规则总数在3000条以上；

　具备针对主流网站内容管理系统CMS的安全防护能力，如dedecms，phpcms，phpwind等；支持的CMS类型数量不少10种；

　支持敏感数据防泄密功能，支持敏感信息自定义，支持根据文件类型和敏感关键字进行信息过滤；

　▲支持B/S服务漏洞扫描功能，可扫描WEB网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞；

　★支持对被防护网站是否被挂黑链进行检测（需提供截图证明并加盖厂商公章）；

　支持CC攻击防护； 8 入侵防护 入侵防护漏洞规则特征库数量在4600条以上，入侵防护漏洞特征具备中文相关介绍，包括但不限于漏洞描述，漏洞名称，危险等级，影响系统，对应CVE编号，参考信息和建议的解决方案；

　▲支持对常见应用服务（HTTP、FTP、SSH、SMTP、IMAP）和数据库软件（MySQL、Oracle、MSSQL）的口令暴力破解防护功能；

　具备对常见网络协议（SSH、FTP、RDP、VNC、Netbios）和数据库（MySQL、Oracle、MSSQL）的弱密码扫描功能；

　支持同防火墙访问控制规则进行联动，可以针对检测到的攻击源IP进行联动封锁，支持自定义封锁时间；

　★具备威胁情报预警与处置功能，可提供最新的威胁情报信息，能够对新爆发的流行高危漏洞进行预警和自动检测，发现问题后支持一键生成防护规则（需提供截图证明并加盖厂商公章）； 9 病毒防护 支持对HTTP，FTP，SMTP，POP3协议进行病毒文件检测；

　病毒库具备的内置病毒特征数量超过100万；

　支持对常见压缩文件格式的检测，如zip，rar，7z等；

　支持杀毒文件类型自定义； 10 网页篡改防护 支持网关型和客户端型网页防篡改；

　支持在服务器上安装防篡改插件；

　支持通过采用IRF文件驱动流技术，在插件上配置需要保护的文件目录和允许修改该目录的应用程序，识别修改被保护网站目录的应用程序是否合法；客户端插件支持记录尝试修改，删除，新增被保护目录下文件的行为日志；客户端插件需要保障自身安全性，包括后台进程不允许被强制中止，访问客户端插件管理页面需要进行密码验证，访问客户端插件管理页面需具备自动超时机制；

　支持在网关设备设置对通过CMS方式登录网站管理后台进行邮件二次认证；

　支持在网关设备设置对通过FTP方式登录网站管理后台进行邮件二次认证；

　支持设置网站后台登录管理白名单，白名单中的用户登录网站管理后台无需经过二次认证； 11 安全可视化 支持对经过设备的流量进行分析，发现被保护对象存在的漏洞（非主动扫描），并根据被保护对象发现漏洞数量进行TOP 10排名，列出每个服务器发现的漏洞类型以及数量，支持生成和导出威胁报告，报告内容包含对整体发现的漏洞情况进行分析；

　▲提供安全报表，报表内容体现被保护对象发现漏洞情况以及遭受到攻击的漏洞统计，可以查看到有效攻击行为次数和攻击趋势； 12 自主运维管理 ▲支持设备界面有待处理功能，同时支持在首页多维度的展示发现的安全威胁，如攻击风险，漏洞风险，终端安全威胁和数据风险等，并支持将所有发现的安全问题进行归类汇总，并针对给出相应的解决方法指引； 13 攻击地图

　展示 ▲在设备首页界面可以展示攻击源IP地址，及归属地，并且可以统计TOP5的攻击归属地；以世界地图的方式进行展示，帮助管理员分析攻击者分布； 14 高可用性 双机支持A/S，A/A方式部署，支持配置同步，会话同步和用户状态同步。 15 售后服务要求 必须在省内有厂家直属的服务办事机构，提供7*24小时快速上门服务和2小时内快速响应服务 16 售后服务体系要求 生产厂家售后服务体系通过ISO9001认证 17 产品资质 ★要求所投防火墙产品符合公安部第二代防火墙标准（GA／T 1177-2014）的要求，并提供公安部颁发的第二代防火墙销售许可证（提供标准截图证明或者提供网站查询截图）； 18 产品成熟度要求 要求所投产品（非投标型号）Web应用防护能力经过国际知名实验室NSS Labs测试，并获得recommended推荐级别；

　要求所投防火墙产品通过ICSA Labs的认证(提供证书并加盖厂商公章）；

　★要求所投防火墙产品入围Gartner企业级防火墙魔力象限，保证产品质量和市场认可度

　▲设备生产厂商软件开发能力要求具备CMMI 5要求 19 其他 原厂保修一年

　（3）上网行为管理

　项目 指标 具体功能要求 硬件参数 ★性能指标 标准1U设备，吞吐量≥1Gb，用户规模≥1200人，设备接口6个千兆电口，硬盘≥500GB, 3对ByPass口；2个USB2.0口，单电源 部署方式 网关模式 支持网关模式，支持NAT、路由转发、DHCP等功能； 网桥模式 支持网桥模式，以透明方式串接在网络中； 旁路模式 支持旁路模式，无需更改网络配置，实现上网行为审计； 多路桥接 必须支持多路桥接功能，最多可支持四进四出四网桥模式； 多主模式 必须支持两台及两台以上设备同时做主机的部署模式； 网关管理 管理界面 支持SSL加密WEB方式、SSH命令行方式管理设备； 分级管理 不同用户组的管理权限支持分配给不同管理员； 集中管理 多台设备支持通过统一平台集中管理、集中配置等；

　被控设备加入统一平台必须支持以硬件证书验证身份； 告警管理 支持攻击、泄密告警，危险行为告警、邮件延迟审计告警等； 关闭网管 在网关重启操作中支持关闭网关。 加密连接 必须具有IPSec VPN远程加密访问和连接的模块，并能提供IPSec VPN客户端授权远程接入访问（提供界面证明）； 排障工具 提供图形化排障工具，便于管理员排查策略错误等故障； 上网故障排除系统 支持开启直通后，流量控制模块依然生效，避免全部数据直通导致线路流量过大； 实时监控 设备资源信息 提供设备实时CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、网络接口等信息； 流量状态 实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息； 安全状态 实时显示当天的安全状况，最后发生安全事件的时间、类型、总次数、源对象，帮助管理员管理内网安全； 上网行为监控 实时显示设置过滤条件的用户上网行为监控，支持手动设置刷新时间； 用户管理 本地认证 支持触发式WEB认证，静态用户名密码认证等； 第三方认证 支持LDAP、Radius、POP3、Proxy等第三方认证；

　支持ISA\ lotus ldap\novel ldap\oracle、sql server、db2、mysql等数据库等第三方认证； 双因素认证 必须支持以USB-Key方式实现双因素身份认证； IP、MAC认证 支持绑定IP认证、绑定MAC认证，及IP/MAC绑定认证等；

　支持通过SNMP服务器跨三层获取MAC地址；

　支持当用户MAC地址变动时，需要重新认证； 短信认证 支持短信认证方式，用户输入手机号作为用户名，通过短信猫或短信平台发送验证码；

　短信认证能够根据不同用户推送不同认证页面，该认证页面可自定义，编辑内容包括文字、颜色风格、图片，且图片支持轮询播放 微信认证 支持与微信结合的认证方式，用户关注微信公众号后即通过身份认证，后台记录用户ID 新用户认证 根据新用户的源IP网段实现新用户差异化账户创建、自动分组、认证规则； 公用账户 支持多人使用同一帐号登录，且支持重复登陆检测机制； 账户有效期 指定账户支持有效期限制，并支持自动过期； 单点登录 支持AD、POP3、Proxy、PPPOE、 H3C IMC/CAMS、锐捷 SAM、城市热点等系统进行认证单点登录，简化用户操作；

　可强制指定用户、指定IP段的用户必须使用单点登录； 强制AD认证 指定用户必须用AD域账户登录操作系统，否则禁止上网； 安全组嵌套同步 支持AD安全组嵌套同步； 认证失败 支持为认证失败用户提供基本网络访问权限机制； 认证后页面跳转 认证成功的用户支持页面跳转：

　跳转到用户原本输入的URL地址；

　跳转到管理员指定的URL地址；

　跳转到该用户上网信息排行页面；

　跳转到注销页面; 帐户导入 支持从本地导入和扫描导入，支持以CSV格式文件导入帐户/分组/IP/MAC/描述/密码等信息；

　支持从外部LDAP服务器导入账户及分组信息； 组织结构 用户分组支持树形结构，支持父组、子组、组内套组等； 用户状态查询 支持用户登录时间、注销时间、在线时长的查询； 自动注销 支持自动注销指定时间内无流量的已认证用户； 冻结用户 支持冻结认证失败次数超过最大值的用户，在冻结时间结束后恢复登录； 用户密码强度 可设置用户密码不能等于用户名；

　新密码不能与旧密码相同；

　可设置密码最小长度；

　可设置密码必须包括数字或字母或特殊字符； 终端管理 系统识别 支持识别终端操作系统版本、系统补丁安装情况； 文件识别 支持识别终端硬盘指定目录下的文件情况； 进程识别 支持识别终端系统后台运行的进程信息，防止间谍软件的运行（必须提供自主知识产权证明，加盖厂商公章）； 注册表识别 支持识别终端系统注册表中指定的表项和键值； 自定义识别 支持终端调用管理员指定脚本/程序以满足个性化检查要求； 终端准入 支持win 7 64位操作系统，支持在旁路模式部署下准入生效；

　支持禁止不满足终端检查要求的用户访问互联网； 应用管理 应用识别规则库 支持根据标签选择应用，标签分类至少包含安全风险、高带宽消耗、发送电子邮件、降低工作效率、外发文件泄密风险、主流论坛和微博发帖6大类；

　支持给每个应用自定义标签；

　支持根据标签选择一类应用做控制；

　支持对每一种应用的定义和解释，帮助客户快速定位应用的分类；

　支持给每一种应用列上图标，易于客户了解应用的特征。 应用控制 设备内置应用识别规则库，支持超过1600种以上的应用，200种以上移动应用，并保持每两个星期更新一次，保证应用识别的准确率；

　支持根据应用的特征智能识别新更新的应用；

　支持根据IP、端口、协议等自定义应用规则；

　支持根据不同的应用类型或具体的某种应用设置允许或拒绝； 端口控制 支持根据端口设定用户不允许访问的目标IP组提供的服务； 代理控制 不允许使用外部HTTP代理；

　不允许使用外部Sock4/5代理；

　不允许在HTTP,SSL一些的标准端口上使用其他协议；（比如在80端口上传输非HTTP协议数据，在443端口上传输非HTTPS协议数据等） 防共享 具有防共享上网功能，可检测到内网共享代理上网行为，并冻结该用户；

　支持共享用户数量及冻结时间设置；

　在数据中心报表中可查询通过共享上网的IP、用户，并能导出报表； 邮件管理 邮件地址过滤 支持根据源地址和目的地址过滤外发邮件； 邮件附件过滤 支持基于扩展名过滤含指定文件类型的邮件外发行为；

　支持识别删除、篡改文件扩展名的邮件附件外发行为并报警（提供界面证明）；

　支持根据附件大小、附件个数限制外发邮件； 邮件关键字过滤 过滤同时匹配三个以上关键字的邮件主题、正文和附件的邮件外发行为； Webmail管理 必须支持允许用户登录Webmail收邮件，而禁止发送Webmail邮件的功能； 邮件延迟审计 支持延迟外发问题邮件，人工审核后再外发的邮件处理机制；

　支持根据收件人地址、邮件标题和内容包含关键字、邮件大小、附件个数、抄送人数等条件设置延迟审计的邮件；

　支持当检测到有邮件被延迟审计时，系统自动发送一封通知发送到管理员邮箱； SSL邮件管理 必须能基于关键字、发件人地址等识别和过滤使用邮件客户端外发SSL加密邮件的行为； 加密Webmail管理 必须能够基于关键字识别和过滤使用SSL加密的Webmail邮箱外发邮件的行为，比如gmail； 上网权限管理 上网时长控制 支持统计和控制用户终端每天上网时间，并支持排除应用或特殊端口后的灵活流量统计方法； 时间配额 支持对单个用户/用户组设置一天内总上网时长； 并发连接控制 支持限制指定用户最大并发连接数； 上网时间提醒 用户指定应用上网时长超过预设阈值后，网关自动提醒该用户； 上网流速提醒 用户指定应用上网流速超过预设阈值后，网关自动提醒该用户； 策略复用 上网策略对象与用户无关联，同一条上网策略可复用、重用； 策略有效期 必须支持上网策略对象的自动过期功能； 排除IP 不控制、不监控目标为排除IP的上网行为； 排除域名 不控制、不监控目标为排除域名的上网行为； 其他 保修服务 原厂保修一年