交通运输部北海航海保障中心天津海事测绘中心等级保护及数据安全防护建设项目更正公告第1号282

　项目需求书 （一）项目背景 天津海事测绘中心，承担着北方辽宁、河北、山东和天津三省一市沿海海区的测绘工作，海洋测绘是保障保卫国家领土完整，维护国家海洋权益的必要工作，因此随着技术的发展，海测中心利用高新技术，建设了HPD培训系统、海测中心内网网站、水文监控管理系统和北方海区潮流预报系统等各类信息系统，提升自身业务能力及管理水平，通过信息化精准开展海洋测绘作业，为中国海岸沿线的航行船舶提供更加及时和可靠的综合安全信息，为航海安全提供重要的支撑保障。

　但是随着信息化的发展，网络安全形势日益严峻，个人、有组织甚至国家间的网络攻击或对抗行为变成了一种常态，海测中心运行的各类信息系统，因为业务的特点，不可避免的成为了潜在的被攻击对象，结合当前海测中心机房环境存在安全隐患、网络架构不合理、网络防护能力薄弱、计算资源浪费、安全管理能力不足和数据安全防护缺失的安全现状，全面细致的安全整改和建设迫在眉睫。

　同时，中央网络安全和信息化领导小组第一次会议强调安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题，要从国际国内大势出发，总体布局，统筹各方，创新发展，努力把我国建设成为网络强国。

　目前，在国内网络安全领域，开展信息安全等级保护工程是降低信息安全风险、完善信息安全防护策略的重要手段，也是落实国家关于开展信息安全等级保护工作相关规定的关键任务。等级保护工作的开展，可以提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设。

　因此，海测中心借助本项目，以网络安全等级保护制度及要求为核心，开展网络安全建设整改、机房改造、业务计算环境支撑建设及数据安全建设防护工作，提升信息化管理水平

　和网络安全防护能力，保障海事测试作业的持续开展和重要海事测绘数据的安全可靠。

　（二）现状 海测中心目前运行有多个应用系统，均部署在海测中心数据中心机房内，当前海测中心业务系统与等级保护要求差距相对较大，没有按照国家要求进行系统备案工作。不符合国家法律法规要求； 应用系统的安全防护建设不完善，防护较为薄弱，网络、主机、应用，数据等层面存在着较多安全弱点，系统存在安全机制、安全配置等方面的问题，系统存在较大安全隐患，抵御风险的能力较低。

　随着海测中心的业务规模递增，传统物理服务器架构的劣势逐步升级，物理服务器硬件易损导致业务停机，大批量服务器难运维，服务器资源利用率普遍偏低等问题为数据中心业务埋下隐患。

　海测中心业务系统数据均存放在本地服务器上，扩展能力有限，无法应对未来数据快速增长需求，当业务服务器发生故障不能快速恢复时，存在数据丢失风险以及业务停止风险。

　（三）项目目标 在技术建设上，明确我中心自身信息安全等级保护策略及安全管理基线，通过采取对IT运维人员的安全认证与控制审计措施，实现对其权限访问的控制及操作行为的记录审计。

　通过安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等管理体系建设完善，提高我中心信息系统整体安全的水平，预防安全事件发生，最大限度降低安全问题所带来的损失，降低信息安全管理成本。

　通过业务计算环境支撑技术构建可横向扩展的稳定底层基础架构，整合当前分散的 IT硬件资源，提高资源利用效率，节约机柜、机房空间占用。并实现 IT 资源模块化建设和横

　向弹性扩展能力，为业务系统提供稳定可靠的运行平台。

　（四）总体建设要求 本项目包含等级保护建设整改、机房改造、业务计算环境支撑建设和机房改造等部分，各部分工作项目独立由相辅相成，因此分部分进行整体设计，以对整体工作进行规划。

　总体方案是按照《网络安全等级保护基本要求》、 《网络安全等级保护安全设计技术要求》等有关标准要求，以安全防护策略为指导，由安全技术体系、安全管理体系和安全服务保障共同支撑形成：

　建设方案总体框架 由图可知，安全技术体系、安全管理体系和安全服务保障三者有机结合，相互支撑，通过“风险评估与评测、安全监管策略”的定制，消除或转移风险触发的条件，满足政策法规要求，并形成完备的事前监控预警、事中防御控制、事后审查追溯的安全防护机制。

　考虑到未来业务的发展和系统的迭代，通过结合当前网络中等级保护二级三级系统和其他体系现状，整体防护能力按等级保护三级要求进行建设，开展整体网络的建设整改为所有系统提供安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心的等

　级保护安全支持，并着重开展四个系统的应用系统整改和等级测评工作。

　本次新增安全区域边界设备将以现有设备参数为主，便于原有设备利旧，同时新增设备不仅满足现有业务需求，并且可以支撑未来 3-5 年的业务发展。

　业务计算环境支撑支持资源扩展，可应业务突然增长下的动态计算性能扩展。

　1.1 总体网络要求 从《信息安全技术 网络安全等级保护基本要求》（GB/T22239-2019）要求出发，进行网络架构规划和安全建设，通过网络架构调整和安全设备整改建设，使海测中心基础信息网络满足等级保护各项要求，为应用系统提供较为完备的安全防护能力。

　1.1.1 网络拓扑要求 根据天津海事测绘中心的具体需求，结合技术基础、方法论及安全模型，以国家、行业的相关标准和信息系统等级保护安全设计技术要求为基础，体系化的设计原则为支撑，本方案分别从内网和外网两个方面对信息系统做了建设。

　海测中心网络分为海事信息专网（以下简称“内网”）与海事公共信息网（以下简称“外网”）两个网络环境。

　海测中心内网环境规划共有 7 个域，分别为：专网接入区、应用服务区、数据库区、安全管理区、终端区、核心交换区和其他应用服务区。此外海测中心海事信息专网通过专网接入域联接外联单位。

　海测中心外网环境规划共有 5 个域，分别为：互联网接入区、安全管理区、终端区、核心交换区和对外服务区。

　1.1.2 网络安全要求说明 总体网络安全设计从网络双线路调整、网络安全域划分、网络边界访问控制、安全设计、攻击防护、应用安全防护等方面进行设计，全面提升网络安全防护能力，以实际情况和需求出发，控制投入成本，最终满足等级保护技术要求。

　 内网络结构建设  外网络结构建设  业务系统安全防护要求 1. 业务计算环境支撑设备建设后，将对本次系统进行迁移，同时通过业务计算环境支撑设备对于二级和三级系统进行逻辑隔离，系统之间不产生数据交互。

　2. 本次等级保护安全建设的基础环境不仅对各业务系统进行防护。也将针对即将上线的系统进行安全防护。

　1.2 信息安全建设整改要求 海事测绘中心，建设整体信息安全防护，可为海测中心目前运行各应用系统，以及其它应用系统等多个系统提供有效的等级保护安全防护。

　1.2.1 安全物理环境要求 为了实现本次项目的总体建设任务和建设目标，机房基础设施改造必不可少，是本项目能够成功实施的基础条件和后勤保障。本项目机房基础设施改造主要包含：综合布线改造、UPS 系统升级改造、消防系统建设改造等内容。

　 综合布线改造主要是对本次新增设备，包含网络设备、安全设备、消防设备等进行布管的管线铺设、链路对接等。

　 现有UPS不间断电源系统在本项目新增3台机柜负载后，容量已不满足使用需求，

　需要对现有 UPS 不间断电源系统升级扩容，来保障整体系统对供电安全、稳定的需要，并留有适当冗余。建设完成后，可提供满载 2 小时，半载 4 小时的应急供电。

　 在机房内新增一套七氟丙烷气体自动灭火系统，并与机房动力环境监控系统进行联动，保障机房设备出现火情时能够自动、及时、快速的扑灭火源，保障机房环境、财产安全。

　 机房空调系统采用原有精密空调及空调柜机对机房进行空气温湿度调节，并与机房环控系统联动控制。

　 本次建设新增 UPS 及 UPS 电池，新增设备和机柜需考虑楼板承重问题，建设采用承重散力架分散楼板承重力，满足楼板地面承载力设计值要求。

　机房改造完成后能够符合《电子信息系统机房设计规范》（GB50174-2008）的对机房环境的技术要求，为系统能够稳定、安全运行提供保障。改造后机房平面图如下：

　1.2.2 安全通信网络要求 基于等级保护要求，按照差距分析结果，在安全通信网络方面，针对建设需求，本项目从网络架构方面进行建设，具体如下：

　序号 子项 建设要求 1 网络架构 1、 内网外网均在原有设备的基础上，或彻底替换现有老旧系统，补充设备实现双机或双线路部署。外网对外服务区考虑到海测中心业务连续性需求，同样，采用双链路方式进行接入。

　2、 海测中心内网环境规划共有 7 个域，分别为：专网接入区、应用服务区、数据库区、其他应用服务区、安全管理区、终端区、核心交换区。此外海测中心海事信息专网通过专网接入域联接外联单位。

　3、 海测中心外网环境规划共有 5 个域，分别为：互联网接入区、安全管理区、终端区、核心交换区和对外服务区。

　1.2.3 安全区域边界要求 基于等级保护要求，按照差距分析结果，在安全区域边界方面，针对建设需求，本项目从边界防护、访问控制、入侵防范、恶意代码防范、安全审计和安全审计方面进行建设。

　1.2.4 安全计算环境要求 基于等级保护要求，按照差距分析结果，在安全计算环境方面，针对建设需求，覆盖主机系统、应用系统和数据。本项目从身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、数据完整性、数据保密性、数据备份恢复和剩余信息保护方面进行。

　1.2.5 安全管理中心要求 基于等级保护要求，按照差距分析结果，在安全管理中心方面，针对建设需求，本项目从系统管理、审计管理、安全管理和集中管控方面进行建设。

　1.2.6 安全管理体系要求 根据海测中心信息安全管理现状及差距分析，本工程规划对以下安全管理方面内容进行完善性建设。包含规范性文件制定，相关管理内容落实等，完成安全管理体系的完善。

　安全管理体系建设包括安全策略建设及优化、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等六个方面。海测中心需要为三级系统应用和二级系统应用提供统一的安全管理，按照“就高原则”，安全管理需求统一遵循三级等级保护标准。另外，需要建立一套信息安全管理系统，实现信息安全的集中监控和审计、统一管理和运维、制度等规范性文件的查询和整理。

　1.3 业务计算环境支撑要求 在等级保护建设整改工作开展的同时，利用高可靠技术，实现计算存储网络功能化，以应对后续发展中存在的弹性计算和快速上线需求。

　1.4 数据安全防护要求 本项目，除基于网络安全等级保护要求进行数据安全建设外，考虑到海事测绘数据的中心性，对数据安全进行了深化的设计。在数据资产分类分级的基础上，从数据访问控制到数据的备份机制及数据安全管理制度。数据提供全生命周期的安全防护和监管。

　 数据本地和异地备份 数据备份是保障应用系统可用性的重要手段，利用本地机房和网络环境，部署数据备份设备，利用现有网络（经评估，满足数据备份需求），对海测中心的重要数据进行数据本地备份。利用异地备份机房和网络环境，利用现在网络，对海测中心的重要数据进行数据异地备份。将数据在另外的地方实时产生一份可用的副本，此副本的使用不需要做数据恢复，当海测中心本地备份的数据无法使用时可以将副本立即投入使用实现异地备份。

　（五）与前期项目关系 新增利旧设备清单表 设备 数量 单位 备注 安全区域边界设备 5 2 台 新增一台 利旧一台 安全区域边界设备 6 2 台 新增一台 利旧一台 安全区域边界设备 7 2 台 新增一台 利旧一台

　（六）技术需求

　备注：

　1、标注“▲”的为核心产品； 2、标注“#”的为重要技术参数。

　一、合规性设备平台购置明细 序号 项目名称 技术参数 单位 数量 （一）

　安全物理环境

　1 消防设施 柜式无管网七氟丙烷灭火系统，含感烟火灾探测器、感温火灾探测器、气体灭火控制器、火灾报警控制器（联动型）、通讯转换器、火灾声光警报器、紧急启停按钮、紧急启停按钮底座、气体灭火终端盒、气体灭火终端盒底座、气体释放警报器、手持编码器、七氟丙烷灭火药剂、柜式无管网七氟丙烷灭火装置、七氟丙烷灭火药剂、泄压口等 消防设施参数：报警探测器,光电感烟火灾探测器 2 个、感温火灾探测器 2 个、90L 七氟丙烷灭火瓶组 2 个。

　套 1 2 42U 标准网络机柜 42U 标准网络机柜参数：尺寸：600mm×1000mm×2000mm，底板*1，风扇板*1，托盘*3

　台 3 3 20KVA-UPS 0KVA-UPS 参数：UPS 供电系统设计要求 80%冗余，所以本工程需求增加 UPS 负载功率为 18.75KW。

　套 1 4 线材 六类网线、网络跳线、4 芯室内单模光缆、LC-LC 多模跳线 套 1 5 配线设备 1U 理线器、六类 24 口网络配线架，含模块 套 1

　（二）安全通信网络购置明细：

　安全通信网络 单位 数量

　1 安全通信网络 1 台 4 2 安全通信网络 2 台 10 3 安全通信网络 3 台 2

　安全通信网络技术参数：

　1、安全通信网络 1 序号 技术指标 技术参数 1 硬件架构 支持多级交换架构，能够配置独立的交换网板与独立的主控板，交换网板与主控板硬件槽位分离，交换网板与业务板槽位方向呈 90 度正交 2 应用层级 三层 3 传输速率 10/100/1000Mbps 4 交换方式 存储-转发 5 背板带宽 ≥ 17Tbps/80Tbps 6 包转发率 ≥ 5000Mpps/18000Mpps 7 端口类型 支持 10G、40G、100G 速率接口 8 配置描述 ≥ 24 端口千兆以太网光接口(SFP,LC)+4 端口万兆以太网光接口(SFP+,LC)(SC) ≥ 24 端口千兆以太网电接口(RJ45)+4 端口万兆以太网光接口(SFP+,LC)(SC) 9 主控 冗余主控 10 电源 冗余交流电源

　序号 技术指标 技术参数 11 交换网板 满配交换网板

　 2、安全通信网络 2 序号 指标要求 技术参数 1 产品类型 千兆以太网交换机 2 应用层级 三层 3 传输速率 10/100/1000Mbps 4 交换方式 存储-转发 5 背板带宽 ≥ 598Gbps/5.98Tbps 6 包转发率 ≥ 216Mpps/222Mpps 7 端口数量 ≥ 4 8 个 8 端口描述 支持 48 个 10/100/1000BASE-T 端口,支持 4 个 10G/1G BASE-X SFP+端口,支持 1 个 Slot 9 控制端口 1 个 console，1 个 RJ-45 Console 口，1 个 Micro USB Console 口 10 电源 冗余电源模块 11 风扇 以太网交换机风扇模块

　 3、安全通信网络 3 序号 指标要求 技术参数 1 产品类型 路由交换机

　2 应用层级 三层 3 传输速率 10/100/1000/10000Mbps 4 交换方式 存储-转发 5 背板带宽 ≥400Gbps 6 包转发率 ≥ 144Mpps 7 端口结构 模块化 8 扩展模块 ≥ 4 槽位数量 9 传输模式 全双工/半双工自适应

　（三）安全区域边界购置明细：

　安全区域边界 单位 数量 1 安全区域边界设备 1 台 2 2 安全区域边界设备 2 台 1 3 安全区域边界设备 3 台 2 4 安全区域边界设备 4 台 2 5 安全区域边界设备 5 台 1 6 安全区域边界设备 6 台 1 7 安全区域边界设备 7 台 1 8 安全区域边界设备 8 台 2 9 安全区域边界设备 9 台 2 10 安全区域边界设备 10 台 1 11 ▲安全区域边界设备 11 台 2

　12 安全区域边界设备 12 台 2 13 安全区域边界设备 13 套 1 14 安全区域边界设备 14 台 2

　安全区域边界技术参数：

　1、安全区域边界设备 1 指标参数 序号 技术指标 技术参数 1 产品结构 机架式独立硬件设备，系统硬件为全内置封闭式结构，稳定可靠，加电即可运行，启动过程无须人工干预。

　多核架构设计，不允许采用 X86 架构，功能采用模块化结构设计，提供 CPU 型号、频率 2 性能参数 网络吞吐量 ≥ 10Gbps，并发连接数 ≥ 300 万，新建连接数≥ 12 万。

　3 接口 支持 10M/100M/1000M 自适应电接口数量≥12，支持千兆光接口数量≥12，支持万兆光接口数量≥4； 4 部署模式 支持路由模式、透明（网桥）模式、混模式，支持将多个物理网口加入一个网桥中；部署模式切换无需重启设备；支持镜像和被镜像； 5 DDNS 支持动态域名绑定功能 6 NAT 支持源地址转换、目的地址转换、双向地址转换、NAT44 7 路由支持 支持静态路由、策略路由、动态路由、ISP 路由；策略路由支持七元组策略；动态路由支持 RIP、OSPF 等；ISP 路由支持运营商地址自定义； 8 链路聚合 透明、路由模式下支持将多条链路带宽进行捆绑 9 虚拟网线 支持设置虚拟网线透传并解析带 VLANTAG 的报文 10 IPv6 支持 IPv6 环境，可创建 IPv6 地址和地址范围，支持展示地址

　序号 技术指标 技术参数 对象被引用次数 11 安全通信 实际配置支持一对一、多对一、多对多等多种形式的 NAT，支持 H.323 等应用协议 ALG 支持 IPV6 实际配置支持基于用户、应用、时间对象的流量管控和策略设置 12 入侵防御 支持基于源、目的、规则集的入侵检测。

　支持多种自定义动作 支持针对 Web 服务器防护，包括网页防爬虫、网页防篡改、HTTPS 防护、DDoS 攻击防护、Web 攻击过滤、漏洞防护自学习等 13 病毒查杀 支持 HTTP，FTP，POP3，SMTP，IMAP 协议的病毒查杀 查杀邮件正文/附件、网页及下载文件中包含的病毒 支持 300 万余种病毒的查杀，病毒库定期与及时更新 支持启发式扫描查杀未知病毒 14 Web 防护 内置 Web 防护特征库，提供 HTTP 协议检查、XSS 攻击、恶意扫描与爬虫、服务器防护、CMS 漏洞防护等不少于 11 种的防护类型 支持防盗链、CSRF 攻击、CC 攻击、应用隐藏、网页防篡改等防护；应用隐藏可隐藏 Server 信息、X-Powered-By 信息、替换客户端出错页面(4xx)、替换服务器端出错页面(5xx)等； 15 基础防护 支持 flood 攻击，可指定接口和 IP 地址 支持异常包防御，包括但不少于：Ping of Death、Land-Base、Tear Drop、TCP flag、Winnuke、Smurf、IP 选项、IP Spoof、Jolt2、Fraggle 等

　序号 技术指标 技术参数 16 资产风险识别 支持开启或关闭内网资产功能，开启后自动评估内网资产安全，无需人工干预 支持展示风险等级、IP、操作系统、浏览器、应用、杀毒软件、服务等内容 17 会话管理 支持进行 IP、整机会话限制和新建会话限制； 18 应用协议识别 支持主流 P2P、IM、在线视频、网络游戏、网络炒股等应用识别，可识别应用数大于 3500 种； 支持 BYOD 特征库，可识别 ios 版和安卓版移动互联网软件如微博、微信等特征； 支持基于 IP、端口等自定义协议服务； 应用特征库可提供在线升级和手动升级 19 URL 过滤 内置 URL 分类库，支持 80 个 URL 分类，URL 库在 2000W条以上，并且可在线升级 20 SSL 加密内容审计 支持 HTTPS 解密功能，支持管理界面及命令行配置解密策略，包括入接口、源地址对象、目的地址对象、https 对象、域名排除等；支持 HTTPS 域名库，预定义域名以及自定义域名 支持审计 HTTPS 加密邮箱，支持审计主题、内容、附件等，支持本地下载邮件原件 支持针对 HTTPS 网站、HTTPS 门户搜索等内容进行审计 21 流量管理 支持应用、用户流量统计，应用流量支持趋势图、饼状图呈现，可查看某一应用的流量趋势图和其 Top 流量用户； 22 双机热备 支持双机热备，支持主主模式、主备模式，支持同步配置、会话、运行状态、VPN 状态、特征库，支持配置抢占模式和抢占延时，支持配置 HA 监控接口 支持地址代理 支持非对称路由

　序号 技术指标 技术参数 23 端口镜像 支持端口镜像功能，支持入流量、出流量和双向流量等维度镜像

　 2、安全区域边界设备 2 指标参数 序号 技术指标 技术参数 1 接口要求 千兆电口≥4 个，千兆光口≥4 个； 2 性能要求 使用带宽≥200Mbps，用户规模≥3000,电源：单电源，尺寸：2U； 3 部署方式 支持网关模式，网桥模式，旁路模式；支持多路桥接功能，最多可支持 32 组网桥模式；支持两台及两台以上设备同时做主机的部署模式 4 IPV6 支持部署在 IPv6 环境中，其所有功能（认证、应用控制、内容审计、报表等）都支持 IPv6 5 实时监控 提供设备实时 CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、网络接口、当天网络质量、最近发现移动终端等信息； 6 实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息； 7 实时显示当天的安全状况，最后发生安全事件的时间、类型、总次数、源对象，帮助管理员管理内网安全； 8 实时显示设置过滤条件的用户上网行为监控，支持手动设置刷新时间； 9 针对内网用户的 web 访问质量进行检测，对整体网络提供清晰的整体网络质量评级 支持以列表形式展示访问质量差的用户名单 支持对单用户进行定向 web 访问质量检测

　序号 技术指标 技术参数 10 流量控制 支持将多条外网线路虚拟映射到设备上，实现对多线路的分别流控； 11 支持流量父子通道技术，且至少支持三级父子通道； 12 支持在设置流量策略后，根据整体线路或者某流量通道内的空闲情况，自动启用和停止使用流量控制策略，以提升带宽的高使用率； 空闲值可自定义 13 网络行为审计 支持记录全部或者指定类别 URL、网页标题等信息； 14 能审计记录网页正文内容； 支持只记录含有指定关键字的网页正文内容； 支持记录 SSL 加密网页的内容； 15 支持审计用户的明文发帖内容； 能审计用户在 SSL 加密论坛、BBS 上的发帖内容； 16 支持网页内容审计后的网页快照功能； 17 支持审计用户的 Webmail 邮件外发行为，支持 webmail形式发送的附件审计，并能精准到原始邮件； 能审计用户通过 SSL 加密 Webmail 网站外发邮件的内容； 18 支持审计用户外发 Email 邮件的正文及附件； 能审计用户使用邮件客户端外发 SSL 加密邮件的邮件内容； 19 记录 QQ、MSN 传文件动作和所传文件内容，并可指定记录传文件类型和文件长度； 支持同时审计 QQ 聊天内容和 QQ 传文件内容。

　20 支持针对特权用户配置免认证 key、免审计 key、免控制key

　 3、安全区域边界设备 3 指标参数 功能项 技术参数 硬件规格 结构 “2+1”双主机结构 安装方式 机架式 外形尺寸 标准 1U 机箱 业务端口 每侧各 4 个 10M/100M/1000M 自适应 点数性能 额定点数（数据点数性能）

　>8 万点 软件规格 隔离通信管理 二层防护：IP/MAC 绑定 三层防护：设备对象控制 四层防护：协议对象控制 方向控制：数据双向传输、逻辑单向传输 隔离传输 网络协议剥离 隔离传输加密 网 络 数 据交换 文件交换 支持 FTP 网络协议 支持 Telnet 关键字控制 支持 HTTP 操作控制、URI 关键字控制、内容关键字控制 支持 SMTP 操作控制、内容关键字控制 支持 POP3 操作控制、内容关键字控制 数据库 支持 MySQL、Oracle、SQLServer 等数据库 支持同种数据库同步、异构数据库同步 视频流 只对视频通讯协议放行，不做内容解析

　功能项 技术参数 支持 RTP、RTCP、SRTP、SRTCP、MMS 等 安全防护 DDoS 攻 击防护 包 括 :TCPFlood 、 UDPFlood 、 SYNFlood 、ICMPFlood、IPFlood 异常数据包攻击 包括:Ping of death、IP 碎片攻击、TCP 碎片攻击 状态监控 实时流量监控 按网口每秒进行流量及包数量统计 实时日志查看 支持 系统状态监控 CPU、内存、硬盘使用率 可靠性 软件狗 程序异常时尝试恢复，不可恢复时重启 硬件狗 系统或硬件异常时重启 电源冗余 支持 双机热备 支持 配置信息管理 备份 还原 任务流量限制 最大带宽 保障带宽

　 4、安全区域边界设备 4 指标参数 序号 技术指标 技术参数 1 产品结构 机架式独立硬件设备，系统硬件为全内置封闭式结构，稳定可靠，加电即可运行，启动过程无须人工干预。

　序号 技术指标 技术参数 多核架构设计，不允许采用 X86 架构，功能采用模块化结构设计，提供 CPU 型号、频率 2 性能参数 网络吞吐量 ≥ 10Gbps，并发连接数 ≥ 300 万，新建连接数 ≥ 12 万。

　3 接口 支持 10M/100M/1000M 自适应电接口数量≥12，支持千兆光接口数量≥12，支持万兆光接口数量≥4； 4 部署模式 支持路由模式、透明（网桥）模式、混模式，支持将多个物理网口加入一个网桥中；部署模式切换无需重启设备；支持镜像和被镜像； 5 DDNS 支持动态域名绑定功能 6 NAT 支持源地址转换、目的地址转换、双向地址转换、NAT44 7 路由支持 支持静态路由、策略路由、动态路由、ISP 路由；策略路由支持七元组策略；动态路由支持 RIP、OSPF 等；ISP 路由支持运营商地址自定义； 8 链路聚合 透明、路由模式下支持将多条链路带宽进行捆绑 9 虚拟网线 支持设置虚拟网线透传并解析带 VLAN TAG 的报文 10 IPv6 支持 IPv6 环境，可创建 IPv6 地址和地址范围，支持展示地址对象被引用次数 11 安全通信 实际配置支持一对一、多对一、多对多等多种形式的NAT，支持 H.323 等应用协议 ALG 支持 IPV6 实际配置支持基于用户、应用、时间对象的流量管控和策略设置 12 入侵防御 支持基于源、目的、规则集的入侵检测。

　支持多种自定义动作

　序号 技术指标 技术参数 支持针对 Web 服务器防护，包括网页防爬虫、网页防篡改、HTTPS 防护、DDoS 攻击防护、Web 攻击过滤、漏洞防护自学习等 13 基础防护 支持 flood 攻击，可指定接口和 IP 地址 支持异常包防御，包括但不少于：Ping of Death、Land-Base、Tear Drop、TCP flag、Winnuke、Smurf、IP选项、IP Spoof、Jolt2、Fraggle 等 14 会话管理 支持进行 IP、整机会话限制和新建会话限制； 15 双机热备 支持双机热备，支持主主模式、主备模式，支持同步配置、会话、运行状态、VPN 状态、特征库，支持配置抢占模式和抢占延时，支持配置 HA 监控接口 支持地址代理 支持非对称路由 16 端口镜像 支持端口镜像功能，支持入流量、出流量和双向流量等维度镜像

　 5、安全区域边界设备 5 指标参数 序号 技术指标 技术参数 1 性能指标 三层吞吐量≥6G，应用层吞吐量≥1.2G，并发连结数≥150W，新建连接数（CPS）≥10W，硬件参数：1U 单电源，千兆电口≥8 个； 2 部署方式 支持路由，网桥，单臂，旁路，虚拟网线以及混合部署方式； 3 网络特性 支持 802.1Q VLAN Trunk、access 接口，VLAN 三层接口，子接口； 支持链路聚合功能，可将多条物理链路聚合成一条带宽更高的

　序号 技术指标 技术参数 逻辑链路使用； 4 路由支持 支持静态路由，ECMP 等价路由，RIPv1/v2，OSPFv2/v3，BGP 等动态路由协议； 支持多链路出站负载，支持基于源/目的 IP、源/目的端口、协议、ISP、应用类型以及国家地域来进行选路的策略路由选路功能； 5 基础功能 访问控制规则支持数据模拟匹配，输入源目的 IP、端口、协议五元组信息，模拟策略匹配方式，给出最可能的匹配结果，方便排查故障，或环境部署前的调试；支持 IPv4／v6 NAT 地址转换，支持源目的地址转换，目的地址转换和双向地址转换，支持针对源 IP、目的 IP 和双向 IP 连接数控制；支持 NAT64、NAT46 地址转换； 6 病毒防护 支持针对 SMTP、POP3、IMAP 邮件协议的内容检测，如邮件附件病毒检测、邮件内容恶意链接检测，邮件异常账号检测等，支持根据邮件附件类型进行文件过滤；支持针对 HTTP、FTP协议内容检测与病毒查杀； 支持采用无特征 AI 检测技术对恶意勒索病毒及挖矿病毒等热点病毒进行检测，给出基于 AI 技术的病毒检测报告； 7 僵尸主机检测 设备具备独立的热门威胁库，支持木马、勒索软件、蠕虫、挖矿病毒等种类，特征总数在 50 万条以上； 8 安全可视化 支持在同一个界面对全网所有服务器和主机的安全状况进行风险评估，支持对当前所有业务的安全防护状态进行动态保护，支持对所有已被入侵和受控的设备进行风险检测与分析，针对风险可以实现快速响应与处置；支持手动评估功能，自动展示最终的风险； 支持自动生成安全风险报表，报表内容体现被保护对象的整体安全等级，发现漏洞情况以及遭受到攻击的漏洞统计，具备有效攻击行为次数统计和攻击举证

　6、安全区域边界设备 6 指标参数 分类 特性/功能 技术参数 性能参数

　标准机架设备，≥6 个千兆电口，1 组 Bypass；HTTP 并发数：≥1,500,000；HTTP 新建：≥22,000/s，HTTP 吞吐：≥1.5Gbps； 网络部署 部署模式 产品具备支持透明在线部署，不更改网络或网站配置，即插即用，无需配置 IP 地址即可防护 产品具备支持旁路流量牵引部署方式，通过 BGP 路由牵引和SNAT 回注方式对流量进行过滤 产品具备支持镜像分析数据并实现旁路阻断功能，产品具备专门的阻断接口设置 产品具备支持链路聚合(Channel)部署，接口支持自定义划分，支持多进多出模式，显著提高设备间的吞吐能力 产品具备支持静态路由、策略路由等路由配置 产品具备支持 802.1Q 协议，支持 Vlan 解码，在 Trunk 线路上部署并提供防护 产品具备支持 ARP 协议，对静态、动态 ARP 进行绑定 网络自适应 产品具备支持 IPv4 和 IPv6 双协议栈流量过滤 产品具备符合 RFC 标准，支持 HTTP 和 HTTPS 协议合法性进行验证，提供 HTTP 协议防护功能 产品具备支持对 SSL（HTTPS）加密会话进行分析 产品具备支持对 HTTP 0.9/1.0/1.1 协议过滤 产品具备自动学习并构建网站的 URL 模型，无需人工干预，支持域名、服务器 IP、端口等信息自动生成 安全防护 服务器环境 产品具备流模式与代理模式选项，代理模式支持客户端 IP 还原功能 产品具备支持对主机中的任意数量网站进行防护，使多个主

　分类 特性/功能 技术参数 机共用一个 IP 地址 产品具备支持对负载均衡服务器任意数量网站进行防护，内置有负载均衡算法，包含轮询、Hash 算法 产品具备支持代理服务器模式，支持 HTTP、HTTPS 代理模式，提供针对后端服务器的代理模式 自学习系统 产品具备自学习系统，无需人工干预，自动获取网站相关信息 产品具备自学习网站与防护功自动匹配并启动防御效果 产品具备根据网站流量自动生成网站文件和 URL 地址的树形结构展示拓扑图 产品具备对网站的主机数量、URL 数量、访问次数 TOP 排名、URL 响应时间等数据进行统计分析展示 产品具备对 URL 地址的请求次数、响应时间、参数信息等数据进行统计分析展示 产品具备对自动防御网站的 HTTP 请求方式、参数信息等数据进行展示 Web 安全 产品具备内置有标准特征库，并且可以自定义特征，定义检查方向、严重级别、Web 攻击特征等信息 产品具备支持自定义拦截防御页面的标题、页面内容等相关设置项 产品具备支持 SQL 注入、跨站脚本、防爬虫、扫描器、信息泄露、溢出、协议完整性等至少 7 种知识库展示说明 产品具备支持 HTTP 协议校验细粒度规则检测 产品具备对 HTTP 协议检验参数提供参数值设置 产品具备支持 HTTP 访问控制细粒度规则检测 产品具备对 HTTP 访问控制参数提供优先级设置 产品具备独立的防盗链规则，应支持 Referer 和 Cookie 检测方式

　分类 特性/功能 技术参数 产品具备防跨站请求伪造功能，应支持 Get、Post 检测方式 产品具备扫描陷阱功能，防御漏洞扫描提供针对恶意扫描的防御效果 产品具备非法上传防护，需支持根据文件类型、MIME 类型及真实文件识别等策略参数 产品具备非法下载防护，可以根据文件大小、MIME 类型，灵活定义下载限制策略，限制用户非法获取网站的关键数据 产品具备敏感信息检测功能，用户可以自定义检测敏感信息，并提供替换功能，替换信息可以根据用户需求自行定义 产品具备弱密码检测功能，提供用户名、密码字典检测机制 网络层安全 产品具备支持黑/白名单机制，包含对 URL 地址、IP 地址等作为条件设置 产品具备支持多因素控制，包含对源地址、目的地址、时间、协议、端口号等条件的访问控制 产品具备支持地址转换，包含对 SNAT、DNAT 为原则的地址转换规则 网页防篡改 产品具备支持 windows、linux 的 32 位与 64 位操作系统的网页防篡改功能，并提供相应的客户端下载功能 产品具备支持网页防篡改防护下访问的网站是真实网站服务器，而非 WAF 产品的内存镜像 产品具备网页防篡改客户端与 Web 应用防火墙实时联动，支持断点检测状态检测机制 产品具备网页防篡改客户端认证码卸载机制，提供客户端自我保护功能 产品具备发布服务器客户端模式，提供不同域之间的网站服务器文件对比防篡改模式 产品具备网站文件增量更新备份功能，自动进行文件同步更新，无需人工手动操作

　分类 特性/功能 技术参数 产品具备 FTP、SFTP、Server U 等多种 CMS 系统更新方式 产品具备对文件、目录、进程的排除机制 产品具备对网页文件、目录的篡改行为提供自动还原机制 综合分析及报表 Syslog 日志 产品具备 Syslog 协议接口，提供字符串和 JSON 格式的日志外发功能 产品具备攻击、访问、安全情报、流量日志类型的 Syslog 日志外发功能 产品具备日志备份功能，提供手工、自动备份模式 产品具备日志恢复功能，提供备份自动恢复还原点设置 产品具备对 CDN、XFF 的 IP 地址的日志记录功能，为网站攻击溯源提供技术依据 产品具备访问日志数据分析功能，提供访问源、源地域、访问域名的概况和趋势效果展示 产品具备攻击日志数据分析功能，提供攻击类型、攻击源 IP、源地域、被攻击域名的概况和趋势效果展示 产品具备篡改日志数据分析功能，提供篡改类型、篡改进程、篡改文件的概况和趋势效果展示 产品支持自动生成报表功能，提供系统信息、设备环境、业务统计等报表模板 系统保障 HA 产品具备双机运行保障机制，支持主/主模式、主/备防护工作模式 产品具备专用接口进行双主机的配置同步功能 保障与冗余 产品具备冗余系统备份机制，升级或运行中出现软件异常，可自动切换至备份系统保障设备正常运 产品具备软件 bypass 功能，当发现系统运行异常时，可手动切换 bypass 功能，保障网站正常访问 产品具备负载保护机制，设置 CPU、内存使用率等参数，设备达到峰值时，自动切换 bypass 功能

　7、安全区域边界设备 7 指标参数

　序号 技术指标 技术参数 1 支持类型 支持 windows 系统、linux/unix 系统、网络设备 支持 KVM、Vmware、数据库、http/https 等 2 性能要求 网络层吞吐量 ≥ 4Gbps，应用层吞吐量 ≥ 400Mbps http 并发连结数 ≥ 20W，http 新建连接数（CPS）

　≥ 4000 3 管理要求 特征库升级 最新威胁防护规则库更新 匹配特征库协议对攻击进行防御 备份恢复 4 审计报表 支持自定义报表，可记录审计报表模板，可生成图形报表，并提供 EXCEL、CSV、WORD、PDF、HTML 等格式导出 5 IPV6 支持 IPv6，可以运维使用 IPv6 地址的服务器、网络设备，并可实现完整审计

　8、安全区域边界设备 8 指标参数 序号 技术指标 技术参数 1 产品结构 机架式独立硬件设备，系统硬件为全内置封闭式结构，稳定可靠，加电即可运行，启动过程无须人工干预。

　多核架构设计，不允许采用 X86 架构，功能采用模块化结构设计，提供 CPU 型号、频率 2 性能参数 网络吞吐量 ≥ 10Gbps，并发连接数 ≥ 300 万，新建连接数≥ 12 万。

　3 接口 支持 10M/100M/1000M 自适应电接口数量≥12，支持千兆光接口数量≥12，支持万兆光接口数量≥4； 4 部署模式 支持路由模式、透明（网桥）模式、混模式，支持将多个物理网口加入一个网桥中；部署模式切换无需重启设备；支持镜像和被镜像； 5 DDNS 支持动态域名绑定功能 6 NAT 支持源地址转换、目的地址转换、双向地址转换、NAT44 7 路由支持 支持静态路由、策略路由、动态路由、ISP 路由；策略路由支持七元组策略；动态路由支持 RIP、OSPF 等；ISP 路由支持运营商地址自定义； 8 链路聚合 透明、路由模式下支持将多条链路带宽进行捆绑 9 虚拟网线 支持设置虚拟网线透传并解析带 VLAN TAG 的报文

　序号 技术指标 技术参数 10 IPv6 支持 IPv6 环境，可创建 IPv6 地址和地址范围，支持展示地址对象被引用次数 11 安全通信 实际配置支持一对一、多对一、多对多等多种形式的 NAT，支持 H.323 等应用协议 ALG 支持 IPV6 实际配置支持基于用户、应用、时间对象的流量管控和策略设置 12 入侵防御 支持基于源、目的、规则集的入侵检测。

　支持多种自定义动作 支持针对 Web 服务器防护，包括网页防爬虫、网页防篡改、HTTPS 防护、DDoS 攻击防护、Web 攻击过滤、漏洞防护自学习等 13 病毒查杀 支持 HTTP，FTP，POP3，SMTP，IMAP 协议的病毒查杀 查杀邮件正文/附件、网页及下载文件中包含的病毒 支持 300 万余种病毒的查杀，病毒库定期与及时更新 支持启发式扫描查杀未知病毒 14 Web 防护 内置 Web 防护特征库，提供 HTTP 协议检查、XSS 攻击、恶意扫描与爬虫、服务器防护、CMS 漏洞防护等不少于 11 种的防护类型 支持防盗链、CSRF 攻击、CC 攻击、应用隐藏、网页防篡改等防护；应用隐藏可隐藏 Server 信息、X-Powered-By 信息、替换客户端出错页面(4xx)、替换服务器端出错页面(5xx)等； 15 基础防护 支持 flood 攻击，可指定接口和 IP 地址 支持异常包防御，包括但不少于：Ping of Death、Land-Base、Tear Drop、TCP flag、Winnuke、Smurf、IP 选项、IP Spoof、

　序号 技术指标 技术参数 Jolt2、Fraggle 等 16 资产风险识别 支持开启或关闭内网资产功能，开启后自动评估内网资产安全，无需人工干预 支持展示风险等级、IP、操作系统、浏览器、应用、杀毒软件、服务等内容 17 会话管理 支持进行 IP、整机会话限制和新建会话限制，； 18 应用协议识别 支持主流 P2P、IM、在线视频、网络游戏、网络炒股等应用识别，可识别应用数大于 3500 种； 支持 BYOD 特征库，可识别 ios 版和安卓版移动互联网软件如微博、微信等特征； 支持基于 IP、端口等自定义协议服务； 应用特征库可提供在线升级和手动升级 19 URL 过滤 内置 URL 分类库，支持 80 个 URL 分类，URL 库在 2000W条以上，并且可在线升级 20 SSL 加密内容审计 支持 HTTPS 解密功能，支持管理界面及命令行配置解密策略，包括入接口、源地址对象、目的地址对象、https 对象、域名排除等；支持 HTTPS 域名库，预定义域名以及自定义域名 支持审计 HTTPS 加密邮箱，支持审计主题、内容、附件等，支持本地下载邮件原件 支持针对 HTTPS 网站、HTTPS 门户搜索等内容进行审计 21 流量管理 支持应用、用户流量统计，应用流量支持趋势图、饼状图呈现，可查看某一应用的流量趋势图和其 Top 流量用户； 22 双机热备 支持双机热备，支持主主模式、主备模式，支持同步配置、会话、运行状态、VPN 状态、特征库，支持配置抢占模式和抢占延时，支持配置 HA 监控接口 支持地址代理

　序号 技术指标 技术参数 支持非对称路由 23 端口镜像 支持端口镜像功能，支持入流量、出流量和双向流量等维度镜像

　 9、安全区域边界设备 9 指标参数 序号 技术指标 技术参数 1 产品结构 机架式独立硬件设备，系统硬件为全内置封闭式结构，稳定可靠，加电即可运行，启动过程无须人工干预。

　多核架构设计，不允许采用 X86 架构，功能采用模块化结构设计，提供 CPU 型号、频率 2 性能参数 ≥ 网络吞吐量 10Gbps，并发连接数 ≥ 300 万，新建连接数 ≥ 12 万。

　3 接口 支持 10M/100M/1000M 自适应电接口数量≥12，支持千兆光接口数量≥12，支持万兆光接口数量≥4； 4 部署模式 支持路由模式、透明（网桥）模式、混模式，支持将多个物理网口加入一个网桥中；部署模式切换无需重启设备；支持镜像和被镜像； 5 DDNS 支持动态域名绑定功能 6 NAT 支持源地址转换、目的地址转换、双向地址转换、NAT44 7 路由支持 支持静态路由、策略路由、动态路由、ISP 路由；策略路由支持七元组策略；动态路由支持 RIP、OSPF 等；ISP 路由支持运营商地址自定义； 8 链路聚合 透明、路由模式下支持将多条链路带宽进行捆绑 9 虚拟网线 支持设置虚拟网线透传并解析带 VLAN TAG 的报文

　序号 技术指标 技术参数 10 IPv6 支持 IPv6 环境，可创建 IPv6 地址和地址范围，支持展示地址对象被引用次数 11 安全通信 实际配置支持一对一、多对一、多对多等多种形式的NAT，支持 H.323 等应用协议 ALG 支持 IPV6 实际配置支持基于用户、应用、时间对象的流量管控和策略设置 12 入侵防御 支持基于源、目的、规则集的入侵检测。

　支持多种自定义动作 支持针对 Web 服务器防护，包括网页防爬虫、网页防篡改、HTTPS 防护、DDoS 攻击防护、Web 攻击过滤、漏洞防护自学习等 13 基础防护 支持 flood 攻击，可指定接口和 IP 地址 支持异常包防御，包括但不少于：Ping of Death、Land-Base、Tear Drop、TCP flag、Winnuke、Smurf、IP选项、IP Spoof、Jolt2、Fraggle 等 14 会话管理 支持进行 IP、整机会话限制和新建会话限制； 15 双机热备 支持双机热备，支持主主模式、主备模式，支持同步配置、会话、运行状态、VPN 状态、特征库，支持配置抢占模式和抢占延时，支持配置 HA 监控接口 支持地址代理 支持非对称路由 16 端口镜像 支持端口镜像功能，支持入流量、出流量和双向流量等维度镜像

　10、安全区域边界设备 10 指标参数 序号 技术指标 技术参数 1 接口要求 千兆电口≥4 个，千兆光口≥4 个； 2 性能要求 使用带宽≥200Mbps，用户规模≥3000,电源：单电源，尺寸：2U； 3 部署方式 支持网关模式，网桥模式，旁路模式；支持多路桥接功能，最多可支持 32 组网桥模式；支持两台及两台以上设备同时做主机的部署模式 4 IPV6 支持部署在 IPv6 环境中，其所有功能（认证、应用控制、内容审计、报表等）都支持 IPv6 5 实时监控 提供设备实时 CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、网络接口、当天网络质量、最近发现移动终端等信息； 6 实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息； 7 实时显示当天的安全状况，最后发生安全事件的时间、类型、总次数、源对象，帮助管理员管理内网安全； 8 实时显示设置过滤条件的用户上网行为监控，支持手动设置刷新时间； 9 针对内网用户的 web 访问质量进行检测，对整体网络提供清晰的整体网络质量评级 支持以列表形式展示访问质量差的用户名单 支持对单用户进行定向 web 访问质量检测 10 流量控制 支持将多条外网线路虚拟映射到设备上，实现对多线路的分别流控； 11 支持流量父子通道技术，且至少支持三级父子通道； 12 支持在设置流量策略后，根据整体线路或者某流量通道内的空闲情况，自动启用和停止使用流量控制策略，以提升

　序号 技术指标 技术参数 带宽的高使用率； 空闲值可自定义 13 网络行为审计 支持记录全部或者指定类别 URL、网页标题等信息； 14 能审计记录网页正文内容； 支持只记录含有指定关键字的网页正文内容； 支持记录 SSL 加密网页的内容； 15 支持审计用户的明文发帖内容； 能审计用户在 SSL 加密论坛、BBS 上的发帖内容； 16 支持网页内容审计后的网页快照功能； 17 支持审计用户的 Webmail 邮件外发行为，支持 webmail形式发送的附件审计，并能精准到原始邮件； 能审计用户通过 SSL 加密 Webmail 网站外发邮件的内容； 18 支持审计用户外发 Email 邮件的正文及附件； 19 记录 QQ、MSN 传文件动作和所传文件内容，并可指定记录传文件类型和文件长度； 支持同时审计 QQ 聊天内容和 QQ 传文件内容。

　20 支持针对特权用户配置免认证 key、免审计 key、免控制key

　 11、▲安全区域边界设备 11 设备指标参数

　序号 技术指标 技术参数 1 系统部署 软硬一体化机架式设备，至少提供 6 个 1000M 电口 可管理资源数≥100 个，支持 license 扩容 物理旁路单臂部署，以逻辑网关方式工作；不改变现有网络结构

　系统各模块支持以 B/S 方式管理，采用 https 加密方式访问 2 支持协议 字符协议：SSHv1、SSHv2、TELNET 图形协议...