[上犹县][线下]九鼎赣饶中介服务咨询有限公司关于江西省上犹县工业和信息化局上犹县信息中心网络安全设备采购项目（项目编号：JDGR2019-SY-J018）的竞争性谈判公告

序号

采购项目编号

项目名称

数量

单位

主要技术规格及要求

预算金额（元）

1

JDGR2020-SY-J018

防火墙系统

1

套

1、防火墙必须采用先进的硬件架构，非工控机和X86架构;

2、网络接口配置：≥ 16个千兆电口，≥ 8个千兆光口，≥2个SFP+接口，≥2个扩展槽位;

3、并发连接数：≥10,000,000，每秒新建连接数：≥120,000，整机吞吐量：≥ 10 Gbps;

4、VPN性能：SSL VPN并发用户≥6K，SSL VPN吞吐≥600M；L2TP隧道数≥4K；

5、支持模块化可拔插双电源，本次配置2个电源模块；

6、支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS映射功能；

7、提供设备实时CPU、内存、磁盘占用率、会话数、在线用户数、网络接口等信息；实时提供安全事件信息，包括最近安全事件、服务器安全事件、终端安全事件等，事件信息提供发生事件、源IP、目的IP、攻击类型以及攻击的URL等；

8、支持DOS攻击、web防护、IPS、病毒、web威胁、网站访问、应用控制、用户登录、系统操作等多种安全日志查询;

9、支持验证、授权和计帐（AAA）服务。包括：基于RADIUS/HWTACACS+、CHAP、PAP等的认证；

10、集成链路负载均衡特性，通过链路状态检测、链路繁忙保护等技术，有效实现企业互联网出口的多链路自动均衡和自动切换;

11、支持基于病毒特征的检测，支持的病毒类型：Backdoor、Email-Worm、IM-Worm、P2P-Worm、Trojan、AdWare、Virus等，支持病毒日志和报表，支持病毒库手动和自动升级；

12、支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能；

13、提供全面的应用层流量识别与管理，支持P2P流量控制功能，通过对流量采用深度检测的方法，通过将网络报文与P2P协议报文特征进行匹配，可以精确的识别P2P流量，以达到对P2P流量进行管理的目的，同时可提供不同的控制策略，实现灵活的P2P流量控制；

14、部署模式：路由模式、透明模式、混杂模式；

15、支持虚拟防火墙功能，支持虚拟防火墙的创建、启动、关闭、删除功能。虚拟防火墙具有独立的规格表、独立的资源分配、独立的管理功能、独立的会话管理功能、独立的NAT功能、独立的路由功能。响应文件中须提供CNAS认可的第三方权威机构出具的检验报告扫描件并加盖原厂公章；

16、为保证投标产品厂商在安全漏洞方面的整体研究水平和及时预防能力。具备网络安全漏洞统一收集验证、预警发布及应急处置体系，进而提高产品的安全性。产品生产厂商须进入国家信息安全漏洞共享平台（CNVD）成员单位。进入中国国家信息安全漏洞库（CNNVD）一级技术支撑单位，响应文件中须提供证书复印件并加盖原厂公章；

17、为响应国家低碳的要求，产品厂商在产品设计、研发、生产、过程需采取有效减少温室气体排放措施，符合国家温室气体排放和清除的量化和报告的规范。产品生产厂商需通过ISO 14064温室气体核查。响应文件中须提供证书复印件并加盖原厂公章。

75000.00

2

入侵防御系统

1

套

1、国内知名品牌，自主研发，标准机架尺寸，2U，含交流双电源模块，2个USB接口，1个RJ45串口，1个GE管理口，6个GE电口（内置3对电口Bypass），4个SFP光口，三层吞吐量≥10Gbps,,最大并发连接≥600万，每秒新建会话数≥10万；

2、系统可以有效识别内网某IP上登录的用户，并将用户名关联在该IP触发的安全事件上。支持的用户信息来源包括邮件用户，文件传输，即时通信用户，远程登录用户，网站登录用户，数据库用户；

3、系统应具备融合模式匹配、协议分析、异常检测、会话关联分析，以及抗 IDS/IPS 逃逸等多种技术，准确识别各种黑客入侵，为用户提供2~7 层深度入侵防御；

4、系统应提供覆盖广泛的攻击特征库，能够针对 8600 种以上的攻击行为、异常事件，以及网络资源滥用流量，进行检测和防御；

5、系统应提供基于信誉的僵尸网络防护能力，具备可以持续升级的信誉库，IPS通过信誉库内的恶意网站IP、C&C服务器地址的信誉值执行相应的防护动作；

6、系统应具备基于“漏洞保护”的虚拟补丁功能，融合协议异常检测能力，有效抵御缓冲区溢出攻击，以及各类未知攻击；

7、系统应提供智能提醒功能，通过设定提醒阈值，在报表上突出显示以提醒管理员快速发现问题；

8、系统应提供敏感数据保护功能，能够识别、阻断通过自身的敏感数据信息（身份证号、银行卡、手机号等）；

9、产品多核分布式架构，专业安全操作系统，具备多核分布式安全操作系统证书（响应文件中须提供多核分布式安全操作系统软件著作权证书复印件并加盖厂商公章）；

10、支持基于SCADA等协议的相关漏洞攻击检测与防护,防护规则不少于70条；

11、系统应支持IP碎片重组、TCP流重组、流量状态追踪技术，基于智能、深入的协议分析，全面检测超过100种以上的应用层协议，能够有效检测运行在非标准端口的协议、数以千记的木马，以及基于Smart Tunnel（智能隧道）的应用协议，能够基于训练分类的协议识别；

12、支持用户以安全区、IP地址（网段）、时间、用户、应用多维度的对流量进行管理和控制，包括限制应用上下行最大带宽、保证应用上下行最小带宽、保证带宽下的优先级排序以及每IP的进行应用流量控制；

13、系统应支持“一键巡检”功能，可根据设备运行过程中反馈的数据进行全面分析，并生成图表相结合的安全报告。定时进行巡检可发现异常漏洞与受攻击情况。（响应文件中须提供以上原厂盖章功能截图）；

14、系统支持服务器异常告警功能，可以自学习服务器正常工作行为，并以此为基线检测处服务器非法外联行为；

15、产品支持与生产厂商自主研发的云安全中心的移动终端APP（支持android和iPhone客户端）对接，帮助用户随时随地掌握网络安全环境的态势；

16、系统应提供灵活的流量管理功能，可以根据用户、应用、目的IP地址、时间及带宽等因素，实现基于应用、面向对象的流量保护策略。通过流量许可和优先级控制，阻断一切非授权用户流量，并结合最小带宽保证、最大带宽限制、会话限制和每IP设置等功能，有效保证关键应用全天候畅通无阻；

17、系统支持当安全事件发生，可以实时获取攻击源的详细信息，包括host、地理位置、端口开放、历史攻击情况等。提供以上原厂盖章功能截图；

18、支持与同品牌的未知威胁分析系统产品联动，对于检测到的非特征签名攻击通告入侵防御系统进行防护，真正实现安全立体防护；

19、为保证系统的安全性，厂商具备微软漏洞通告能力，是微软MAPP成员，能够及时响应平台涉及的微软系统漏洞通告；

20、响应时须提供以上各项指标参数确认函并加盖厂商公章。

135000.00

3

上网行为管理系统

1

套

1、标准1U机架式设备，1个console接口，12个GE接口，12个SFP接口，1个TF卡扩展槽，4GB flash缓存，内置1对bypass接口，网络层吞吐≥10G，应用层吞吐≥5G，最大并发连接数≥300万；

2、为确保上网安全，厂商应为中国反钓鱼网站联盟成员（apac）,具备对各类钓鱼邮件中钓鱼网站的快速上报和关停能力；

3、支持路由模式、透明（网桥）模式、混合模式，支持将多个物理网口加入一个网桥中；部署模式切换无需重启设备；支持镜像和被镜像；

4、支持路由和透明模式配置源地址转换、目的地址转换、双向地址转换等；

5、支持IPv6环境，可创建IPv6地址和地址范围，支持展示地址对象被引用次数；

6、支持即时通讯应用管控的精细化管理，可管控QQ的“所有行为”、“登录”、“收发文件”、“语音视频”、“收消息”、“收消息”等行为；

7、支持网络社区应用管控的精细化管理，例如可管控“所有行为”、“登录”、“网页浏览”、“发表”、“上传”等行为；

8、支持股票应用的行情和交易特征，并可以将股票软件的行情和交易进行区分管控；

9、支持收集网站访问日志，记录用户所有访问网站行为；支持收集搜索引擎日志，记录用户的搜索内容；支持收集IM通讯软件日志，记录用户登录、注销、收发消息、收发文件等行为；支持收集邮件日志，记录邮件发件人、收件人、主题、正文、附件等信息；

10、支持单用户全天行为分析报表，一个界面同时展示用户名、用户组、在线时长、虚拟身份（如QQ号码、微博账号等）、日志关联情况、全天流量使用分布、网站访问类别分布、全天关键网络行为轴等信息；

11、支持BYOD特征库，可识别ios版和安卓版移动互联网软件如微博、微信等特征；

12、支持外置Reset重置插孔，一键恢复出厂设置；

13、支持IP准入、MAC准入、IP+MAC准入、本地认证、Portal认证、Radius认证、LDAP认证、AD域单点登录、短信认证、微信认证、APP认证、混合认证和免认证；支持对接IMC、AAS、SAM、ACMP等常见AAA服务器， 支持针对不同的认证方式配置独立的强制重新认证间隔和认证无感知间隔，支持配置认证通过后重定向URL；

14、支持伪Portal抑制技术，可限制应用产生的HTTP伪推请求，有效缓解认证服务器压力，支持PC端支持推送广告，手机端支持推送全屏广告；

15、支持U盘零配置上线，设备端无需预配置，将U盘插入设备USB接口中，即可实现快速上线实施；配置文件内容支持加密；支持按需升级系统版本，可自动快速升级系统版本；支持导入多份配置文件，用于业务需求，变更业务运行，保障可靠性；

16、支持用户标签，可根据用户访问信息生成访问类型标签，并将用户标签同步至Portal服务器，Portal服务器向用户推送预定义页面；

17、支持端口镜像功能，支持入流量、出流量和双向流量等维度镜像；

18、可识别私接主机个数，并可制定策略分别设置私接终端类型个数为阀值进行封堵，支持自定义阻断时间，同时支持基于IP及IP段配置白名单；

19、支持5元组的负载均衡策略，负载算法支持权重、源地址散列+权重，支持服务器探测。响应文件中须提供以上原厂盖章功能截图；

20、支持DNS透明代理；支持DNS负载均衡；支持DNS静态域名映射；支持DNS特定域名请求转发，支持基于优先级、权重的DNS代理算法，支持静态域名配置，支持特定域名特定DNS服务器解析，静态域名和特定域名支持模糊匹配。响应文件中须提供以上原厂盖章功能截图；

21、为保证产品联动效果，该产品与入侵防御系统同一品牌。

110000.00

合计金额（元）

叁拾贰万元整（￥：320000.00元）

注：以上均为国内服务。