昆明市公安局“科信支队信息安全系统建设项目”公开招标公告

2020-11-02 12:00:00

公开招标公告
公开招标
昆采公2020112012
云南省
行政机关
预算***万元
中标***万元
要求。7、本次采购产品中A01项“万兆视频安全接入系统”为核心产品。招（投）标分项一览表

根据《中华人民共和国政府采购法》、《中华人民共和国政府采购法实施条例》、《政府采购货物和服务招投标管理办法[财政部令87号]》、《昆明市政府采购管理暂行办法》有关规定，受采购人的委托，昆明市机关事务管理局政府采购办公室对昆明市公安局“科信支队信息安全系统建设项目”进行公开招标，欢迎在中华人民共和国境内注册并具有相应供货资质或完成项目能力的供应商参加投标。此次公开招标活动由昆明市明信公证处进行全程公证。

1.项目名称：昆明市公安局“科信支队信息安全系统建设项目”A包（视频专网社会面视频图像安全接入建设项目）

2.项目编号：昆采公2020112012

3.采购方式：公开招标。

4.招标内容及需求：

（1）招标内容：“科信支队信息安全系统建设项目”A包（视频专网社会面视频图像安全接入建设项目）

（2）技术要求：具体要求详见《招标文件》“第三部分项目要求与概述”和“格式一：招(投)标分项一览表”。

（3）项目预算：￥***.00元（人民币：贰佰陆拾叁万陆仟伍佰伍拾元整）

（1）招标内容：“科信支队信息安全系统建设项目”B包(PDT专网公安信息网安全对接项目)

（2）技术要求：具体要求详见《招标文件》“第三部分项目要求与概述”和“格式一：招(投)标分项一览表”

（3）项目预算：￥***元（人民币：捌拾玖万叁仟陆佰元整）

（1）招标内容：“科信支队信息安全系统建设项目”C包(公安信息网网络及安全加固设备采购)

（2）技术要求：具体要求详见《招标文件》“第三部分项目要求与概述”和“格式一：招(投)标分项一览表”

（3）项目预算：￥***元（人民币：肆佰陆拾陆万捌仟捌佰元整）

证明投标供应商资格的文件

序号	证件（文件）名称	备注说明
1	营业执照、税务登记证、组织机构代码证或三证合一的营业执照。	原件交工作人员查验原件彩色扫描件制作于投标文件指定位置
2	缴税（应交基本税种）所属时间在2020年1月至投标截止日期前连续3个月的税务局税收通用缴款书或银行电子缴税（费）凭证或税务局出具纳税情况的相关证明，依法免税的，应提供依法免税的相关证明文件。	原件或缴纳截图交工作人员查验原件彩色扫描件或缴纳截图制作于投标文件指定位置
3	缴费（应交基本险种）所属时间在2020年1月至投标截止日期前连续3个月的社会保险费缴款书或银行电子缴费凭证或社保管理部门出具的有效的缴款证明，依法免缴的，应提供依法免缴的相关证明文件。	原件或缴纳截图交工作人员查验原件彩色扫描件或缴纳截图制作于投标文件指定位置
4	提供经有资质的非本单位审计机构出具的（2019年度）内容完整、要素齐全的财务审计报告。新设立企业提供三个月内开户银行出具的资信证明。	原件交工作人员查验原件彩色扫描件制作于投标文件指定位置
5	投标人及法定代表人参加本次政府采购活动前3年内在经营活动中没有重大违法记录的书面声明。	原件交工作人员查验原件彩色扫描件制作于投标文件指定位置
6	法定代表人参加：法定代表人身份证明、法定代表人身份证；或委托代理人参加：法定代表人身份证明、授权委托书、委托代理人身份证。	原件交工作人员查验原件彩色扫描件制作于投标文件指定位置

招（投）标分项一览表

项目名称：昆明市公安局“科信支队信息安全系统建设项目”A包（视频专网社会面视频图像安全接入建设项目）

项目编号：昆采公2020112012

项目预算：￥***.00元（人民币：贰佰陆拾叁万陆仟伍佰伍拾元整）

标段

标号

采购内容

报价内容

名称

规格或详细性能要求（供参考的品牌/型号/规格/配置/参数）

数量

计量单位

预算单价（元）

交货地点

品牌

型号

规格/配置/技术参数（偏离）（请根据招标内容作修改）

报价单价（元）

报价总价（元）

交货期/保修期

A01

万兆视频安全接入系统

★整个万兆视频安全接入系统由3台硬件设备组成，包括前置视频接入认证服务器和视频用户认证服务器，以及视频隔离网闸；视频接入认证服务器和视频用户认证服务器分别部署在两个网络之间，连接两个网络中应用服务器传输数据，设备之间部署安全隔离网闸实现隔离环境下的视频图像安全交换；视频接入认证服务器和视频用户认证服务器与视频隔离网闸物理分开，即三组件为不同的三台物理设备。

每台设备具有千兆高速以太网网络接口2个，可扩展至最多4个，万兆光纤网络接口2个；

系统使用安全加固的安全Linux操作系统；

可扩展支持冗余电源；支持集群、容错功能。

设备支持双机热备、负载均衡；

支持标准TCP、UDP协议；支持DB33、GB/T28181-2016规范标准。

支持大华、海康威视、星望、天视、先进视讯、博康、华为3COM、浙江贝尔等多数主流视频系统。

设备支持视频信令与协议的分析、过滤；支持同时承载若干个不同的视频传输服务，每个服务可以单独启停。

系统支持认证公安警用硬件数字证书；支持对视频服务器的认证。

系统具有完善的日志管理功能，提供详尽的开机、传输、管理员操作等日志的查询及显示功能。

系统支持高速传输通道，支持多路视频并发；支持M-JEPG，MPEG4、H.264等编码格式，D4、D1、VGA、2/3D1、1/2D1、SIF、3/4D1、CIF、QCIF等视频分辨率

进行视频信令流与视频数据流的全剥离，支持信令双向传输，视频数据单向传输，对内外网数据均有安全检查机制。

系统基于0反馈单向传输硬件实现视频数据单向传输，完全阻断反向数据的传输，保障安全。

系统支持多种数据检查功能，包括数据源检查、数据格式检查、病毒木马及关键字扫描等。

系统支持多种协议格式检查，包括视频信令协议格式、视频传输协议、视频压缩编码格式、主流视频监控公司的私有协议视频信令协议格式等。

系统支持对视频资源的访问控制，包括对用户、设备的细粒度授权访问管理；支持流量审计、设备访问审计、告警审计等多种日志审计与告警功能，并与监管联动。

★系统的安全通道带宽为7000MBps；视频流传输时延 < 10ms；视频数据误码率 < 0.05%；最大用户数：2000

最大支持并发875路的8Mbps画质。

★设备厂商是公安部“通过公安部组织测试的接入平台厂商名单”中的入围厂商，并提供证明材料；

要求设备必须保证能和集控探针、集控系统对接，并提供兼容性证明和通过公安部测评的承诺书。

提供三年质保及技术支持服务。

套

470000

采购方指定

A02

万兆数据交换系统

系统组成及要求:

★由万兆网络数据交换系统前置数据交换服务器和万兆网络数据交换系统后置数据交换服务器，以及相关配套软件组成。

要求设备必须保证能和集控探针、集控系统对接，并提供兼容性证明和通过公安部测评的承诺书。

★设备厂商是公安部“通过公安部组织测试的接入平台厂商名单”中的入围厂商，并提供证明材料；

硬件要求：

机箱外形：2U机箱；接口：双口千兆网卡；独立双口万兆网卡；

性能要求：

1、数据库数据增量同步传输速率> 10000条/秒

2、FTP文件（文件大小为1KB）同步传输速率最大： 500 个/秒（直连）

★3、FTP文件（≥1MB）传输最大速率≥4Gbps

4、支持数据库数据映射最大字段数≥256个

5、支持最大单个传输文件文件：100GB

6、支持完成文件传输任务数可达64个

提供三年质保及技术支持服务。

套

460000

A03

万兆数据安全隔离网闸

1、产品架构说明：采用2+1架构和专用硬件隔离技术，属完全自主开发且不可从外部编程控制；2U标准机架式机箱

2、参数性能说明：DDR3内存技术，支持双通道；内部交换带宽8Gbps；★应用层传输速率7Gbps，延时<0.5ms，并发连接数8000；

最短无故障时间50000小时，万兆光口 *2，千兆电口*8；内存DDR3 1333 8G*4。

★3、隔离网闸是《通过公安部组织测试的接入平台安全产品名单》中隔离网闸部分的入围产品或是升级产品，提供通过公安部测试的产品网页证明材料。

4、具备公安部销售许可证、国家保密局涉密信息系统产品检测证书、公安部科技成果鉴定证书、国家版权局计算机软件著作权登记证书；

5、提供三年质保及技术支持服务。

套

170000

A04

数据链路服务器

CPU：配置2颗10核心2.2GHz CPU；

内存：配置64G 内存；

硬盘：4*960G 固态硬盘；

电源：白金级冗余电源；

网卡：配置4个高性能千兆网卡+2个万兆光网口（含SFP+多模模块2个，5米万兆多模光纤跳线2对）

Raid卡：配置1G缓存高性能raid卡，支持raid0/1/5/6/10等；

提供三年免费原厂质保、硬盘不返还服务。

台

41000

A05

万兆可信边界安全网关

硬件要求：

万兆级2U机架式设备，2个万兆光口，2个千兆接口；

功能要求：

1、用户身份认证：与公安PKI/PMI体系无缝集成，支持证书链认证，支持证书撤销列表（CRL）下载、验证，保证接入用户身份的合法性；

2、设备认证：依据设备注册登记信息对通过专线、ADSL拨号等各种线路方式接入的终端设备进行认证，保证接入设备的合法性。支持IP、MAC方式的设备认证；

3、权限管理：可以根据边界接入的需要，设置角色，指定相应的资源访问权限，防止非授权访问和越权访问；

4、访问控制：基于角色、权限分配，设置细粒度访问控制策略，达到非法用户不能访问，合法用户不能越权访问的目的；

5、传输保护：与客户端之间使用SSL协议对通信过程进行加密和完整性保护，保证数据传输的安全性；

6、监控审计：对接入用户的访问过程进行详细的记录，并实时报送给集中监控与审计系统，保证用户访问过程可控、可查、可追溯；具备多网阻断功能，能保证客户端与平台连接时与其它网络隔离；

8、采用硬件加速方法及处理流程优化技术；

9、具有黑名单动态下载功能、单点登录功能；实现客户端自动安装；支持双机热备；实现系统配置备份/恢复、日志审计等系统管理功能。

10、兼容性要求：要求设备必须保证能和集控探针、集控系统对接，并提供兼容性证明和通过公安部测评的承诺书。

性能要求：

1、最大新建连接数>5000次/秒；最大并发连接数>10000条；

★2、每秒事务数目（TPS）>30000次；最大吞吐量：4Gbps；

服务及资质要求：

提供3年质保及技术支持服务。

★产品是“通过公安部组织测试的接入平台安全产品名单”中的产品或升级产品，提供通过公安部测试的产品网页证明材料。

投标时必须提供设备原厂商针对此项目的售后服务承诺函。

套

235000

A06

集控系统

1. 2U硬件设备，具备6个千兆网口。

2. 支持不同接入对象（链路、应用、设备）的信息注册和管理，完全符合部级规范。

3. 单套系统网络吞吐量≥1000Mbps。

4. 单套系统最大日志存储量≥250GB。

5. 至少支持1200个接入业务。

提供3年质保及技术支持服务。

★设备厂商是公安部“通过公安部组织测试的接入平台厂商名单”中的入围厂商，并提供证明材料。

套

234000

A07

集控探针

一：硬件要求：

机架式设备；

二、功能要求：

1、支持对平台的流量信息进行探测和处理；

2、能够对平台的设备进行探测，探测设备运行状况的信息；

3、能够支持SYSlog、snmp等格式的事件信息的集中收集和处理；

4、要求系统设备功能包括系统参数设置、系统字典参数，支持WEB管理；

5、要求设备必须保证能和集控系统对接，并提供兼容性证明和通过公安部测评的承诺书。

三、性能要求：

1.最大监控节点数150个

2.最大吞吐量1000Mbps

3.最多支持1000个接入业务

提供3年质保及技术支持服务。

★设备厂商是公安部“通过公安部组织测试的接入平台厂商名单”中的入围厂商，并提供证明材料。

套

45000

A08

边界平台统一监管与数据分析系统

1、管理门户：提供全市统一的管理门户，为各角色登录提供统一入口；支持系统登录采用基于证书认证方式；支持省、市（州）、县三级管理；

2、边界业务运行环境监控

业务软件监控：实现对WebLogic、Tomcat、Web服务、数据库运行情况等业务运行情况的监控。

业务硬件监控：网络设备、安全设备、服务器设备、虚拟化设备、存储设备进行监控；

3、链路运行展示

链路全景展示。链路全景展示是通过全局的视角展示各级公安机关边界接入各链路运行情况。以链路拓扑资源数据为基础数据，展示从外网、路由接入区、边界保护区、应用服务区、安全隔离区、安全监测与管理区组成情况。即直观可视化展示链路运行状态、承载饱和度等。通过运行监测数据的叠加显示，对通道各组成元素进行运行状态的颜色标记，可视化链路运行状态，以及存在的故障、告警、风险信息。

链路流量展示：通过链路级别监测，实时展示链路流量情况。

设备状态展示：实现链路中设备状态信息实时展现，具体包含但不限于CPU使用率、内存使用率、硬盘使用率。

业务状态展示：实现链路中接入业务状态展示，如目前接入链路中活跃的接入业务，是否存在数据交换，交换量如何等，详情可扩展展示。

4、告警管理：提供统一告警中心和配置管理。提供统一的告警数据的存储与展现，包含：告警标识、告警标题、告警对象、告警类型、告警名称、告警级别等。

5、平台基本管理功能：提供系统基本管理功能，包括用户、角色、权限、日志等方面。

6、第三方系统对接：本系统支持定制服务接口，与第三方系统对接，主要包括对接应用日志审计平台、安全管理中心等。

套

23500

A09

视频专网一体化安全网关

1、融合安全管控平台硬件性能及端口要求：采用机框产品分布式架构，具备高扩展性，可扩展业务槽位数（非子卡插槽、主控、交换网板、以及电源槽位）≥10；此次支持主控冗余，此次单台设备配置交流电源≥2，整机交换容量≥200Tbps，整机转发性能≥70000Mpps，整机最大四到七层应用业务处理能力≥360G；

2、扩展能力：满足我单位信息化安全需求，融合安全管控平台设备具备良好的安全应用扩展特性，支持扩展独立专用防火墙业务板、入侵检测防御业务板、漏洞扫描等业务板（非LICENSE实现）、WEB应用防火墙业务板卡；此次配置独立下一代应用防火墙业务模块、独立入侵防御业务模块（非LICENSE实现）；

3、IPv4协议：硬件支持分布式IPv4线速处理，其中路由协议必须支持RIP、OSPF、BGP；

4、IPv6协议：IPv6静态路由、RIPng、OSPFv3、BGP4+、IPv4向IPv6过渡隧道技术等

5、复杂路由特性：具备并配置二、三层MPLS VPN；支持分布式 MPLS VPN处理；（如需增加license开启该功能，必须配置相应license）；支持组播协议IGMPv1/v2/v3、IGMPv1/v2/v3 Snooping；

6、其它网络特性：支持源IP、源端口、目的IP、目的端口、协议号等条件的ACL规则；支持permit、deny、重定向、修改VLAN、镜像等多种动作；

7、虚拟化能力：为保障设备功能及性能弹性使用，要求设备支持并配置多虚一虚拟化、一虚多虚拟化部署；

8、SDN及数据中心特性：支持Openflow1.3协议标准；支持VXLAN等Overlay主流标准技术；支持 802.1Qbg、DCB 等

9、统一运维管理能力：支持融合安全管控平台和业务模块统一IP管理和统一的配置界面，支持统一网管功能，支持紧耦合部署；

10、流量定义能力：支持根据协议、IP组、业务系统定义业务流，能够按需指定流量经过的物理/逻辑业务模块；

11、硬件可靠性能力：支持设备在线状态监测机制，实现对包括主控引擎，背板，芯片和存储等关键元器件进行检测；支持并采用无源背板设计，所有单板支持热插拔；

12、融合安全管控平台资质要求：要求具备《电信设备进网许可证》，具备《公安部销售许可证》；提供相关证明；

13、设备厂商资质要求：

具备中国信息安全认证中心颁发的《信息安全应急处理一级》资质；

具备中国国家信息安全漏洞库颁发的《国家漏洞库二级支撑单位》资质；

14、售后及服务要求：要求设备3年部件保修服务；投标时必须提供设备原厂商针对此项目的售后服务承诺函；

套

68000

A10

安全数据交换接口千兆模块

1、硬件及设备性能要求：交换接口板卡，配合融合安全管控平台使用，支持热拔插，可通过同机框弹性性能叠加技术扩展整机性能，配置虚拟化弹性资源池功能；此次配置≥24端口千兆以太网电接口(RJ45)， ≥22端口千兆以太网光接口(SFP)；

2、单板功耗≤100W；

3、网络特性：单板VLAN≥4K；MAC≥30K；

4、端口镜像; 支持多个物理端口的流量镜像到一个端口；支持跨单板的端口镜像；支持跨设备的端口镜像；支持流镜像到端口；

5、系统管理：支持中文管理界面，支持FTP、TFTP、Xmodem；

6、IPv4协议：硬件支持分布式IPv4线速处理，其中路由协议必须支持RIP、OSPF、BGP；

7、IPv6协议：IPv6静态路由、RIPng、OSPFv3、BGP4+、IPv4向IPv6过渡隧道技术等；

8、售后及服务要求：要求业务模块板卡提供原厂≥3年部件保修服务；投标时必须提供设备原厂商针对此项目的售后服务承诺函；

套

32000

A11

安全数据交换接口万兆模块

1、硬件及设备性能要求：交换接口板卡，配合融合安全管控平台使用，支持热拔插，可通过同机框弹性性能叠加技术扩展整机性能，配置虚拟化弹性资源池功能；此次配置≥8端口万兆以太网以太网光接口(SFP+)；

2、单板功耗≤100W；

3、网络特性：单板VLAN≥4K；MAC≥30K；

4、端口镜像; 支持多个物理端口的流量镜像到一个端口；支持跨单板的端口镜像；支持跨设备的端口镜像；支持流镜像到端口；

5、系统管理：支持中文管理界面，支持FTP、TFTP、Xmodem；

6、IPv4协议：硬件支持分布式IPv4线速处理，其中路由协议必须支持RIP、OSPF、BGP；

7、IPv6协议：IPv6静态路由、RIPng、OSPFv3、BGP4+、IPv4向IPv6过渡隧道技术等；

8、售后及服务要求：要求业务模块板卡提供原厂≥3年部件保修服务；投标时必须提供设备原厂商针对此项目的售后服务承诺函；

套

38000

A12

下一代应用防火墙业务板卡

1、硬件及设备性能要求：下一代独立应用防火墙业务板卡，配合融合安全管控平台使用，支持热拔插，可通过同机框弹性性能叠加技术扩展整机性能，配置安全资源池功能，可根据应用需要划分安全防护资源分配，针对不同接入区域进行安全防护划分；单板卡实际配置≥10个千兆光口，≥12个千兆电口，≥2个万兆光口，防火墙网络层吞吐量≥40Gbps、并发连接≥800万，每秒新建连接数≥30万；支持策略数≥10000；

2、系统要求：要求具备自主研发的安全操作系统，无已知安全漏洞，并提供该安全操作系统的软件著作权证书证明；

3、路由特性支持：支持一对一、地址池等NAT方式；支持多种应用协议，如FTP、H.323、RAS、RTSP、SIP、ICMP、DNS、PPTP、NBT的NAT ALG功能；支持IPv4/IPv6，支持静态路由、策略路由、RIP v1/2、OSPF、BGP等多种路由协议，支持MPLS VPN，支持组播协议；

4、安全功能特性：支持能够基于源/目的安全域、源/目的地址（网络地址对象）、源/目的MAC（MAC地址对象、MAC地址对象组）、服务（预定义服务对象、自定义服务对象、服务组）、扩展头（知名头部：逐条选项、目的选项、路由首部、分片首部、认证首部、安全净荷封装）、动作、生效时间、状态（启用、禁用）、匹配计数；支持多种访问控制的策略动作：允许通过、拒绝通过及应用层的高级安全业务控制；

5、虚拟化特性：支持并配置按照会话数量、新建速率、吞吐量、CPU使用率、内存使用率来划分虚拟防火墙，本次配置虚拟防火墙授权≥30个；支持为虚拟系统管理员定义配置范围、配置权限，可以精细化分配每一个虚拟防火墙所支持的功能特性；

6、会话连接限制：支持对应用协议的最大并发连接数进行限制，以控制设备内存资源；

7、会话查询：支持实时监控和查询网络中各协议的会话信息，支持自动生成趋势图便于管理员查看会话趋势；支持对TCP、ICMP、UDP等协议下报文速率的阈值设置；

8、具备《计算机信息系统安全专用产品销售许可证》；具有《信息技术产品安全测评证书－EAL3+》；

★为保证防火墙安全接入设备满足公安边界接入要求，产品须是“通过公安部组织测试的接入平台安全产品名单”中的产品的升级产品，提供通过公安部测试的产品网页证明材料。

9、售后及服务要求：要求业务模块板卡提供原厂≥3年部件保修服务；投标时必须提供设备原厂商针对此项目的售后服务承诺函；

套

182000

A13

入侵防御应用防护板卡

1、硬件及设备性能要求：下一代独立入侵防御业务板卡，配合融合安全管控平台使用，支持热拔插，可通过同机框弹性性能叠加技术扩展整机性能，配置安全资源池功能，可根据应用需要划分安全防护资源分配，针对不同接入区域进行安全防护划分；单设备实际配置≥6个千兆光口，≥2个千兆非复用电口，≥2个万兆光口，网络层吞吐量≥20Gbps、应用层吞吐量≥8Gbps、并发连接≥700万，每秒新建连接数≥40万；支持策略数≥10000；配置3年特征库，3年病毒库升级；

2、系统要求：采用具备自主研发的专用安全操作系统，无已知安全漏洞, 且非OEM产品,提供软件著作权证书；

3. 安全防护功能要求：要求内置高级威胁特征库，特征规则数量不少于6100条，并可根据CVE编号查询具体的攻击特征；具备系统一键修改特征级别的功能，用户可根据自身安全需求将特征内容根据流行度规则高低进行检索，并可一键修改流行度规则级别（警告、一般、严重、致命、废除）；需支持自定义特征，可基于方向、协议、字符串、正则表达式、源端口、目的端口等维度进行特征自定义，并可自行设置特征严重等级（警告、一般、严重、致命、废除），满足用户定制化需求；需支持对以下多种攻击类型检测与防御：漏洞利用类：溢出攻击等；恶意代码类：蠕虫攻击、木马攻击、病毒攻击、钓鱼攻击、恶意代码等；信息搜集类：扫描探测等；拒绝服务类：泛洪攻击；WEB类：SQL注入、命令注入、Cookie注入、跨站脚本攻击、跨站请求伪造、网页挂马、网络爬虫、信息泄露等；需具备自定义指纹防护，可根据报文长度、TTL值、源目的端口和IP、序列号、flag标记等信息构成的正常流量模型进行指纹防护，并可根据用户需求设置相应的检测、防护阈值及多种防护动作；

4. 网络协议识别：需支持IPv4、IPv6环境下的攻击检测，支持基于多种协议类型的深度攻击防御，如IP、POP3、SQL server、HTTP、IMAP3、MYSQL、HTTPS进行深度检测，并可提供设置预定义的致命特征动作、严重特征动作、一般特征动作、告警特征动作四个级别进行防御；

5. 病毒防护功能：要求具备虚拟环境检测引擎，通过在虚拟环境中运行文件，跟踪并记录其行为，基于大数据的统计分类及动态行为分析等技术，有效识别未知威胁；支持HTTP、FTP、SMB、POP3、IMAP、SMTP等通用协议，满足复杂网络需求下的未知威胁防护；针对分析威胁内容需提供攻击时间、攻击源/攻击目的/端口，恶意文件名称及类型；要求具备对病毒感染主机或黑客主机的网络隔离功能，用户可以根据自身的安全需求设置高、中、低三种流行度规则，可以设置告警、阻断、邮件病毒替换、TCP Reset等方式进行防御，并且用户可以自定义配置告警推送内容；

6.产品资质：公安部《计算机信息系统安全专用产品销售许可证》；★产品是“通过公安部组织测试的接入平台安全产品名单”中的产品的升级产品，提供通过公安部测评的产品网页证明材料。

7、售后及服务要求：要求业务模块板卡提供原厂≥3年部件保修服务；投标时必须提供设备原厂商针对此项目的售后服务承诺函；

套

214000

A14

视频专网安全监管平台

1、安全威胁监管平台，采用B/S架构，内建HTTP服务器，管理员可以在任意地方通过HTTP或HTTPS方式对安全监管平台进行监控和管理。通过配置功能模块可实现对昆明市公安局视频专网网络流量、访问行为、攻击事件、病毒蠕虫、DDoS攻击等信息的统计和分析；支持并配置安全设备统一的安全策略配置和管理；支持并配置集中管理、分级管理；此次配置安全防护业务功能模块管理授权；

2、全面集成日志采集器、数据库、日志分析、审计、报表等功能部件，支持对防火墙、入侵检测防御、流量分析管控、等产品的统一安全管理，全面的网络流量分析和上网行为管理，帮助管理员实时了解视频专网的安全状况。对安全信息与事件进行分析，关联聚合常见的安全问题，过滤重复信息，发现隐藏的安全问题，使管理员能够轻松了解突发事件的起因、发生位置、被攻击设备和端口，并能根据预先制定的策略做出快速的响应，保障网络安全。支持对安全设备进行集中管理，可通过访问控制策略的配置，实现大规模部署环境下的灵活、便捷的安全策略管理，阻止敏感信息外泄和非核心业务的滥用，确保网络的整体安全；

3、安全威胁监管平台安全功能模块管理授权：实现此次配置的视频专网防火墙业务模块、入侵防御业务板卡模块安全日志分析，威胁统计安全预警功能模块授权；针对视频专网实现视频专网资源访问日志安全攻击事件进行统一分析，实现安全策略及安全事件联动管理分析；对访问控制策略进行配置管理（创建，删除，修改），根据用户配置使用的访问控制策略进行访问控制；

4、安全监管平台具备公安部颁发的《计算机信息系统安全专用产品销售许可证》；提供三年维保服务，提供原厂现场培训服务；

5、为保证兼容性及质保服务一致性，要求视频专网融合安全管控平台、视频专网安全监管平台统一品牌；

同时能够实现将安全日志数据按照省公安厅视频专网安全日志数据格式要求上传对接至省公安厅、同时实现与现有昆明市公安局视频安全管理平台安全日志数据对接，提供承诺函及详细技术对接方案说明。

套

63000

A15

万兆交换机

交换容量：6.8Tbps；

包转发率（整机）：336Mpps；

固定端口数：14个1/10G SFP+端口；4个10/100/1000M电口；

业务槽位数：3个。

管理端口：1个Console口。

配置万兆多模光模块5个。

支持store-forward模式，cut through模式转发；

支持GE端口、10GE端口聚合；支持静态聚合、动态聚合；

支持IEEE802.3x 流量控制，支持back pressure；

支持基于端口、协议、MAC、IP子网的VLAN（4094个）；支持QinQ和灵活QinQ；支持Voice VLAN；

支持命令行采用分级保护方式，防止未授权用户的非法侵入，为不同级别的用户有不同的配置权限；

支持受限的IP地址的Telnet的登录和口令机制；支持IP地址、VLAN ID、MAC地址和端口等多种组合绑定；支持uRPF；

支持命令行接口（CLI）、Telnet、Console口进行配置；支持SNMPv1/v2/v3；支持RMON （Remote Monitoring）告警、事件、历史记录；支持网管系统、支持WEB网管；支持系统日志、分级告警；支持集群管理HGMPv2；支持电源的告警功能；支持风扇、温度告警；支持NTP.

提供三年质保及技术支持服务。

台

46500

A16

万兆多模模块

万兆多模模块，1年质保。

个

1000

A17

集成服务费

1、提供信息中心一楼机房至二楼机房网络连接需要的光缆（96芯）及两端odf架，并完成相关熔纤工作。

2、提供项目所需的万兆尾纤及相关跳线，完成设备连接。

3、提供软硬件系统方案规划，硬件安装设计图及软件部署规划，软硬件集成服务，并实施部署。

4、提供系统培训服务，提供项目3年7×24小时的免费软硬件设备预防性维护、性能优化、问题诊断及故障排除服务，保障系统平台的稳定、可靠、安全运行。

5、协助公安完成视频专网边界设备业务接入与对接。

项

125550

A包总报价元

说明：

1、A包报价已包含配送、安装、调试、培训、税费等全部费用。

2、本一览表中货物含服务的技术参数及其性能（配置）为最基本要求，仅起参考作用，不作为指定采购的货物含服务，投标人可选用其他技术参数及其性能（配置）替代，但替代的技术参数及其性能（配置）要实质上相当于或优于本一览表中的技术参数及其性能（配置）要求。

3、投标人自报最短工作期限（包含安装、调试完毕，并交付使用）及保修期。(合同签订后日历天内设备完成供货、安装完毕并经验收合格（其中供货期为日历天，安装调试期为日历天）。

5.质保期：要求提供项目3年7×24小时的预防性维护、性能优化、问题诊断及故障排除服务，保障网络的稳定、可靠、安全运行。

6.质量要求：符合现行国家及行业规范要求，在满足供货需求前提下，达到采购人要求。

7、本次采购产品中A01 项“万兆视频安全接入系统”为核心产品。

招（投）标分项一览表

项目名称：昆明市公安局“科信支队信息安全系统建设项目”B包(PDT专网公安信息网安全对接项目)

项目编号：昆采公2020112012

项目预算总价：￥***元（人民币：捌拾玖万叁仟陆佰元整）

标段

标号

采购内容

报价内容

名称

规格或详细性能要求（供参考的品牌/型号/规格/配置/参数）

数量

计量单位

预算单价（元）

交货地点

品牌

型号

规格/配置/技术参数（偏离）（请根据招标内容作修改）

报价单价（元）

报价总价（元）

交货期/保修期

B01

PDT安全隔离系统一体化设备

1、支持标准2U机箱，网闸内/外端机各包含6个10/100/1000Base-T(RJ45)以太网接口、1个扩展槽位、1个Console口；整机带4个USB口,面板带液晶显示屏，吞吐量≥600Mbps配置双电源。

2、设备系统要求：采用软硬件多核和双系统切换冗余架构，安全管理方面要求内/外端机分别具有独立的管理接口，而非通过网络接口或一个管理接口全部管理；基于B/S架构的https方式安全管理，支持用户名/口令、数字证书、U-KEY等多种认证管理方式；提供双系统冗余和https方式管理的系统界面截图证明。

3、设备功能要求：（1）集中监管：支持集中监管平台，可对多台网闸进行统一监控运行情况，支持自定义告警策略，支持如弹框告警、邮件告警、SNMPTrap、syslog告警等多种告警方式；支持设备健康状态可视化实时；提供多台网闸统一监控的截图证明。

（2）为方便维护管理，要求能对系统功能单独模块配置、设备诊断信息、许可证导出；要求系统带简单的调制工具功能，包括：trace、connect、tcpdump、ping、arp等。（提供功能截图并加盖原厂鲜章）

（3）支持数据库同步功能扩展：支持Oracle、SQL Server等多种主流数据库同步，同步由网闸主动发起并完成，不需要第三方软件支持（无需在数据库安全任何第三方软件），支持一对一、一对多、多对一数据库同步，支持周期复制、实时复制、增量更新等多种同步方式。

（4）具有文件交换功能：能对NFS、SMB、FTP等文件传输协议实现文件同步，并支持不同文件传输协议之间的文件同步；具有病毒检测功能；支持多种同步模式：完全一致、完全复制、首次复制+新增、源端移动、源端删除等多种模式；支持无客户端传输方式，不需要安装任何客户端软件。

（5）具备邮件访问、FTP访问和安全浏览功能模块：能进行病毒检测；支持超长邮件限定；FTP访问支持透明模式、代理模式及混合模式；安全浏览支持用户名口令认证、数字证书认证、LDAP、RADIUS等多种认证方式。

（6）具备数据库访问功能：支持SQL、ORACLE、DB2、SYBASE等主流数据库的访问；能对ORCLE数据库命令控制，可对数据库SQL语句进行过滤，支持数据库库名控制、数据库表控制，可以根据用户与数据库表对应关系，进行相应数据库操作过滤；（提供功能截图并加盖原厂鲜章）

（7）TCP和UDP协议定制服功能：支持自定义的TCP、UDP协议的数据隔离交换。

（8）SSL隧道访问功能，针对FTP访问模块、数据库访问模块、邮件访问、定制模块等，通过网闸实现访问客户端认证、授权及访问链路加密，保证客户端访问合法性及访问链路的安全性；认证方式支持用户名口令认证及证书认证。

（9）具有入侵检测和防病毒功能，具有抗Dos攻击功能；设备提供告警，支持声音告警、邮件告警等告警方式。 4、产品及厂商资质要求：计算机信息系统安全专用产品销售许可证、国家信息安全测评信息技术产品安全测评证书 EAL3+、中国国家信息安全产品认证证书、涉密信息系统产品检测证书；厂商是“通过公安部组织测试的接入平台安全产品名单”中的隔离网闸产品厂商，并提供相关资质证明。

套

100000

采购方指定

B02

数据安全对接系统一体化设备

一体化设备（前置和后置）硬件要求：

2U 设备/ 内存不低于32G/千兆网口数不低于4个/硬盘大小不低于2T/ 配置双电源。

一体化设备（前置和后置）功能要求：

1、数据转发：支持PDT系统语音、信令、短信、录音、GPS、网管等数据的传输；

2、数据交换：可实现对数据库到文件、文件到数据库、不同数据库、不同类型文件之间的任意交换；实现一份源数据向多个要求各异的目标加载数据，将多个各异元数据组织合成一份目的数据的功能；支持灵活的固定时间点触发、固定时间周期触发、手动触发流程、实时触发流程，支持全量、增量等数据同步方式，支持处理内、外网设备的数据，支持内到内、内到外、外到内各种方式交换数据；

3、FTP服务：系统内置FTP交换服务，支持大批量小文件和大文件的数据交换，并且保证高效性和稳定性；

4、监控管理：支持对正在执行的数据交换任务进行实时监控，能够准确了解任务运行的状态、数据交换条数和流量等信息，并可随时对正在进行中任务进行停止运行的操作；

5、系统日志：对数据交换服务器自身的启停有严格的操作步骤控制，并对服务器自身的运行情况进行实时监控，包括网络接口监视、CPU利用率监视、内存利用率监视、网络状况监视；

6、业务日志：提供全面的交换业务的操作日志，记录的信息包括每一个交换业务的源信息、目标信息、交换用时、记录数、数据流量、报错信息、交换历史、当前状态等；

7、系统管理：提供用户管理功能，以群组来组织用户，对用户的帐号进行集中管理。当用户请求对系统资源使用时，对用户身份和资源使用权限进行确认；

8、安全检查：支持数据文件过滤检查、数据流量动态检查双重检查功能，所有处理在内存中以接近线速的处理速度完成，提供强大的病毒库在线升级功能；

9、身份认证：设备证书双向身份认证，保证基于硬件的可信任计算体系，支持采用用户名/口令或数字证书、绑定管理终端IP/MAC的管理员登录方式；

性能要求：

1. 支持同一时刻200路语音并发；

2. 支持同一时刻1000条定位数据；

3. 数据包传输延迟4毫秒，传输抖动2毫秒；

4. 设备最大吞吐量不低于500Mbps；

5. 平均无故障运行时间50000小时。

对接要求：

1、本系统相关日志需报送至昆明市公安局现有的边界接入平台集中监控与审计系统，实现对平台的监控管理，要求本系统与现有平台集中监控与审计系统完全兼容。

2、本系统需与昆明市公安局现有的PDT系统进行对接，并能接口进行定制开发，开发后昆明市公安局现有PDT系统可通过边界平台对接昆明市公安局110接处警系统、PGIS系统、大数据系统、交警指挥调度系统、安宁智慧指挥调度系统，实现PDT系统的语音、定位、短信在各对接平台的可视化显示及调度。

套

629400

B03

PDT监控管理探针

硬件规格要求：标准机架式2U硬件设备；

网络接口数量要求：具备至少6个千兆以太网口；支持对多种设备进行状态信息采集功能，支持流量信息探测功能，

支持基于SysLog、SNMP协议的事件收集和处理功能；

网络吞吐量≥1000Mbps；

最大监控节点数≥100个；

最大支持1000个接入业务；配置双电源。

产品为边界接入平台集中监控与审计系统的一个子系统，须与昆明市公安局及云南省公安厅现有边界接入平台集中监管与审计系统对接，确保采集的PDT安全对接平台的状态信息能正常报送集中监控与审计系统并无缝兼容。其他要求：具有公安部销售许可证、计算机软件著作权证书、公安部信息安全产品检测中心和公安部计算机信息系统安全产品质量监督检验中心出具的产品检测报告。

套

78200

B04

防火墙

1、规格及性能要求：配置6个10/100/1000Base-T电口和1个接口扩展板卡插槽，2个USB接口,1个CONSOLE管理口；防火墙网络吞性能≥9Gbps，并发连接≥210万，每秒新建连14万/秒；2U机箱，双电源，面板带液晶屏；采用多核架构和多核多平台并行安全操作系统，提供安全操作系统软件、高性能一体化智能安全处理引擎著作权证书。

2、具备路由、透明及混合模式部署能力；并且支持支持桥接口的配置，支持二层及三层聚合接口。

3、支持IPv6，支持IPv6邻居的动态管理和静态配置，支持NAT64和DNS64；支持IPSec VPN功能，并可以提供VPN客户端，可建立“网关-网关”、“网关-客户端”方式的加密隧道；支持SSL VPN，使用SSL VPN客户端与防火墙建立SSL VPN加密隧道。

4、要求能通过命令对策略路由优先级进行调整，提高设备部署灵活性；策略路由支持基本网关的配置，支持多种均衡方式，如源地址目的地址哈希、轮询、源地址哈希、目的地址哈希、源地址轮询、备份、随机、RTT最小、流量均衡等。

5、要求能基于地理区域进行访问控制；支持长连接的配置，能对关键业务进行长连接保障；能对策略命中数有统计显示。

6、地址转换功能要求能实现symmetric和full cone两种NAT类型。

7、支持对SYN Cookie进行配置，防范攻击（提供功能配置截图）。

8、访问控制能力方面，能基于源目的IP地址、源目的安全域、VLAN ID、时间、用户、地理区域、应用等多种方式进行访问控制。

9、支持URL过滤模块扩展，预置URL资源库，支持URL云查询，支持云端URL查询分析。

10、支持防病毒模块扩展，能提供全面、强劲的病毒检测及防护功能；支持病毒云查杀（提供功能配置截图）。

11、提供防弱口令扫描、木马专项防护和动态策略功能（提供功能配置截图）。

12、提供带宽管理功能，能根据IP地址、用户、服务、应用、时间等信息划分虚拟QoS通道进行带宽管理，能按优先级设置实现差分服务，能对剩余带宽根据优先级进行动态分配。 13、其他要求：产品具备计算机信息系统安全专用产品销售许可证、国家信息安全测评信息技术产品安全测评证书、中国国家信息安全产品认证证书、国家信息安全漏洞库兼容性资质证书。

项

86000

B包总报价元

说明：

1、B包报价已包含配送、安装、调试、培训、税费等全部费用。

5.质保期：从检验合格之日起一年。

6.质量要求：符合现行国家及行业规范要求，在满足供货需求前提下，达到采购人要求。

招（投）标分项一览表

项目名称：昆明市公安局“科信支队信息安全系统建设项目”C包(公安信息网网络及安全加固设备采购)

项目编号：昆采公2020112012

项目预算：￥***元（人民币：肆佰陆拾陆万捌仟捌佰元整）

标段

标号

采购内容

报价内容

名称

规格或详细性能要求（供参考的品牌/型号/规格/配置/参数）

数量

计量单位

预算单价（元）

交货地址

品牌

型号

规格/配置/技术参数（偏离）（请根据招标内容作修改）

报价单价（元）

报价总价（元）

交货期/保修期

C01

汇聚节点路由器

一、性能要求:

1、交换容量≥150T，包转发率≥170000M；

2、支持独立交换网板，冗余主控板、冗余电源、冗余风扇框。支持主控板、交换网板、业务板完全物理分离，主控板、交换网板、业务板分布在不同的物理槽位,支持独立的交换网板≥4个。

3、整机框全物理尺寸的线卡槽位数≥8（非子卡槽位），不含主控、交换网板槽位。

4、采用路由功能设备。双设备双链路。

设备端口要求支持10GE，可平滑演进40GE、100GE。

支持200G及以上平台，单槽位支持20个以上万兆端口，支持POS，支持OC12，OC48。

考虑到未来至少5年的演进计划，单槽位带宽能力≥1T，满足后续公安多种业务的扩容需求。

5、设备须为国产化设备，安全自主可控。

二、功能要求：

1、支持BGP/LDP/OSPF/IS-IS 协议;

2、IPV6路由：支持IPV4、IPv6双协议栈、支持OSPFv3、BGP4+、IS-IS IPv6；

3、支持IPv4/IPv6的地址翻译功能。

4、支持对VPN路由的按需管理和控制能力，满足对VPN业务的区分管理和控制；

5、具备快速路由收敛能力，切换小于300毫秒，回切不丢包，保证业务不中断

6、IPv6线速转发不丢包

7、设备具备线速转发能力，64字节转发不丢包

8、主控、风扇、电源等关健部件具备冗余保护；

9、支持按需灵活配置的低时延、低抖动能力，保障业务带宽；

10、板卡支持热插拔、热补丁升级。

11、实配netstream/netflow/sflow等网络流量采集功能。

12、实配VXLAN、EVPN、Segment Routing、Segment Routing V6技术，具备向下一代网络演进功能。

13、支持不同带宽的链路捆绑功能;

14、支持与路由器一体化的防火墙、IPS等安全业务插卡；

15、支持多路径负责分担功能，支持非等速链路的负载分担，实现不同路径按带宽比例负载分担。

16、★本次实配主控引擎≥2，为保证设备可靠性，设备的转发全部有交换网板完成，主控板不集成转发芯片；独立的交换网板≥4，交流电源≥2，万兆SFP+接口≥25个，千兆SFP口≥10个，千兆以太网Combo接口≥8个。配置万兆多模光模块8个，千兆多模光模块10个。

17、提供三年免费原厂质保及技术支持服务。投标时提供设备原厂商针对此项目售后服务承诺书。

台

435000

C02

数据通道防火墙

1. 采用非X86多核架构，具备可插拔冗余电源模块，冗余风扇模块。

2.配置≥6个千兆电口，≥4个千兆光口，≥4个万兆光口插槽，支持≥4个扩展槽位，1个console口，2个USB接口。

3. ★吞吐量（大包）≥32Gbps，最大并发连接数≥1800万，每秒新建连接数≥30万；支持IPSec VPN隧道数≥20000，默认自带≥200个SSL VPN用户并发许可。

4. 支持透明、路由、混合部署等多种部署方式，在各种工作模式下均支持H.323（H.323 GK）、SIP、FTP、MMS、RTSP、UPnP、XDMCP、TNS等多种动态协议，支持静态路由，动态路由（OSPF、RIP、BGP、ISIS等），VLAN间路由，单臂路由，组播路由等。

5.支持基于应用的策略路由，可实现为不同的应用类型智能选择相应的链路；支持基于 WEB地址URL的策略路由，可实现将不同类型的网站流量智能分配到不同的链路；支持基于文件类型的策略路由，可实现将预定义或者自定义的文件按照不同的分类进行智能选路。

6.支持入侵防御技术，IPS特征库可按分组进行管理，且支持自定义扩展特征库，提高IPS的检测能力，IPS特征规则数量合计不少于8000条。

7.支持透明、路由、混合部署等多种部署方式，在各种工作模式下均支持H.323（H.323 GK）、SIP、FTP、MMS、RTSP、UPnP、XDMCP、TNS等多种动态协议，支持静态路由，动态路由（OSPF、RIP、BGP、ISIS等），VLAN间路由，单臂路由，组播路由等。

8.支持服务器负载均衡功能，为更合理的实现流量负载分担，需提供不少于10种的负载均衡算法。

9.系统具备抗拒绝服务攻击能力，采用专业高效攻击防护算法，支持对主流ICMPFLOOD、SYNFLOOD、ACKFLOOD、SYNACKFLOOD、UDPFLOOD等拒绝服务攻击防护。

10.支持漏洞扫描功能，可实现对包括但不限于后门、服务探测、文件共享、Windows系统补丁、认证等进行主动式扫描，并支持一次性、周期性定时等扫描策略设置。

11.产品具备《计算机信息系统安全专用产品销售许可证》、《中国国家信息安全产品认证证书》、《国家信息安全测评信息技术产品安全测评证书》（EAL4+级）和《IPv6 Ready Logo Phase-2》认证证书，工信部颁发的《电信设备进网许可证》。

★为保证防火墙安全接入设备满足公安后期边界接入要求，产品需为《通过公安部组织测试的接入平台安全产品名单》的产品或是其升级产品，提供相关证明材料。

12.提供三年免费原厂质保及技术支持服务。提供3年IPS特征库、AV特性库升级服务。投标时提供设备原厂商针对此项目的售后服务承诺书。

个

165000

C03

网络出口防火墙

1.配置千兆电口≥6个,千兆SFP光接口插槽≥4个，万兆SFP+光接口插槽≥4个，支持≥8个扩展槽位，配置双冗余电源。

2. ★防火墙吞吐率≥80Gbps，应用层吞吐量≥30Gbps，并发连接数≥3500万，每秒新建连接≥60万；

3.要求支持多系统引导，并可在WEB界面上直接配置启动顺序；基于源/目的IP地址、MAC地址、域名、端口或协议、服务、网口、时间、用户的访问控制；支持内核级深度内容检测技术；支持透明、路由、混合三种工作模式；必须支持基于应用、 WEB地址URL的策略路由，可实现为不同的应用、网站流量智能分配到不同的链路;支持一体化安全策略配置，可以通过一条策略实现用户认证、IPS、AV、URL过滤、协议控制、流量控制、并发、新建限制、垃圾邮件过滤、审计等功能,简化用户管理；服务器负载均衡支持10种算法；支持多NAT环境下的多用户L2TP认证加密接入；支持主流ICMPFLOODSYNFLOODACKFLOODSYNACKFLOODUDPFLOOD攻击防护，采用专业高效攻击防护算法，非采用简单的阈值进行攻击防护；支持针对文件类型进行流量管理，至少支持6类如：电影类、音乐类、图片类、文本类、压缩类、应用程序类等；可以针对不同类型的文件配置不同的流量管理规则；针对文件类型单独设置最大带宽、保证带宽、协议流量优先级等。

4.支持入侵防御技术，IPS特征库可按分组进行管理，且支持自定义扩展特征库，提高IPS的检测能力，IPS特征规则数量合计不少于8000条。

5. 资质说明：产品具备《计算机信息系统安全专用产品销售许可证》、《国家信息安全测评信息技术产品安全测评证书》(EAL4+)、《中国信息安全产品认证证书》、《涉密信息系统产品检测证书》、《多核多线程ASIC并行操作系统软件著作权证书》。

6.提供三年免费原厂质保及技术支持服务。提供3年IPS特征库升级服务。投标时提供设备原厂商针对此项目的售后服务承诺书。

个

277800

C04

业务系统边界防火墙

1. 采用非X86多核架构，具备可插拔冗余电源模块，冗余风扇模块。

2.配置≥6个千兆电口，≥4个千兆光口，≥4个万兆光口插槽，支持≥4个扩展槽位，1个console口，2个USB接口。

3. ★吞吐量（大包）≥32Gbps，最大并发连接数≥1800万，每秒新建连接数≥30万；支持IPSec VPN隧道数≥20000，默认自带≥200个SSL VPN用户并发许可。

6.支持入侵防御技术，IPS特征库可按分组进行管理，且支持自定义扩展特征库，提高IPS的检测能力，IPS特征规则数量合计不少于8000条。

8.支持服务器负载均衡功能，为更合理的实现流量负载分担，需提供不少于10种的负载均衡算法。

9.系统具备抗拒绝服务攻击能力，采用专业高效攻击防护算法，支持对主流ICMPFLOOD、SYNFLOOD、ACKFLOOD、SYNACKFLOOD、UDPFLOOD等拒绝服务攻击防护。

12.提供三年免费原厂质保及技术支持服务。提供3年IPS特征库升级服务。投标时提供设备原厂商针对此项目的售后服务承诺书。

个

165000

C05

WEB应用防护系统

1. ★性能：采用多核硬件架构，冗余电源配置；配置4个千兆电口，4个千兆光口，2个万兆SFP+光口；网络层吞吐量≥20Gbps，应用层吞吐量≥10Gbps，最大并发连接≥800万，新建并发连接数≥10W；

2. 功能：支持服务器负载均衡功能，能够对单一服务器，服务器集群配置，以及连接复用；支持HTTP请求限制、参数防护、Cookie防护、服务器信息防护、黑白名单等Web防护；支持HTTP静态、动态对象的内存以及硬盘缓存，支持浏览器智能缓存；支持SSL的代理，终结，卸载以及加速；支持对HTTP请求限制、参数防护、Cookie防护、服务器信息防护、黑白名单等Web防护的生效配置；支持对HTTP报文的CC攻击防护、请求行检查、请求报头检查；支持参数修改防护:SQL注入攻击、XSS攻击、OS命令注入攻击等的防护；支持Cookie加密、Cookie正规化；支持网络爬虫防护、网页盗链防护、服务器信息隐藏、关键文件信息防护，服务器错误码防护等；支持服务器健康检查，提供HTTP、ICMP、TCP等多达十几种健康检查方式；支持包过滤策略配置、Alg配置；支持源NAT、目的NAT、一对一NAT、地址池、Alg配置；支持基本攻击防护及日志查询；支持会话数限制：每IP会话数阈值、最大并发连接数阈值、新建会话数速率阈值（会话数/秒）等；支持基本DDoS防护：防护目标管理、防护目标配置和趋势；支持组网配置：IP地址的配置（静态IP、DHCP、PPPoE），支持端口的VLAN属性的配置；支持接口流量、状态等信息的显示；支持端口聚合以及端口集合组的配置；支持透明模式、反向代理模式和旁路模式；具备WEB漏洞扫描功能、网页防篡改功能。

3. 设备资质：具备公安部《计算机信息系统安全专用产品销售许可证》，具备《WEB应用防火墙认证证书（OWASP）》；必须提供公安部信息安全产品检测中体出具的测试报告。

4. 设备厂商资质：具备中国国家信息安全漏洞库颁发的《国家漏洞库二级支撑单位》（含二级）以上资质。提供原厂商针对该项目的售后服务承诺函原件，提供3年原厂质保及技术支持服务，提供3年原厂特征库升级服务及承诺。

套

268500

C06

运维堡垒机

1．投标产品采用软硬一体化，磁盘空间≥4T、内存≥32GB、配置自适应电口≥6个100/1000M，冗余电源；

2. ★可管理设备数≥2300台，运维用户数无限制；产品内置VPN模块，无需与其他VPN设备联动，实现运维入口安全接入。

3.支持集群部署模式，中心采用HA，节点可以横向扩展，实现统一登录入口、统一配置同步、审计日志集中查询、实时会话集中监控，以满足业务增长需求。

4.支持用户多角色划分功能，如系统管理员、配置管理员、普通用户、审计管理员、密码管理员等，对各类角色需要进行细粒度的权限管理；支持按部门组织架构；每个部门的部门管理员可以管理本部门及下级部门的主机、授权关系、策略。每个部门可以管理本部门及下级部门的用户角色：部门管理员、配置管理员、审计管理员、普通用户。

5.设备内嵌动态令牌和usbkey认证引擎，支持基于不同的用户设置不同的双因子认证模式。支持单个用户同时使用2种认证方式，如同时使用AD/LDAP用户名+AD/LDAP密码+动态口令登录堡垒机、同时使用AD/LDAP用户名+AD/LDAP密码+短信口令登录堡垒机。支持与get、post、soap发送方式的http短信网关平台进行联动，实现短信动态口令双因素认证机制，如与阿里云短信服务、SendCloud联动。

6.支持常用的运维协议：SSH、TELNET、RDP、VNC、FTP、SFTP；可通过应用发布的方式进行协议扩展，如数据库Oracle/MSSQL/MySQL/DB2等运维客户端工具、VMware vSphere Client/AS400等远程管理工具；IE代填应用发布：HTTP/HTTPS协议的web设备，且可以直接代填账号和密码；支持自动收集设备IP、运维协议、端口号、账号、密码、与用户的权限关系，可自动完成授权。

7.支持定期自动修改windows服务器、网络设备、linux/unix等目标设备密码功能；支持完善的自动改密策略，包括改密前发送密码、发送失败不改密、改密后发送密码、密码文件加密、密码强度控制、自动密码恢复等。发送方式包括邮件、FTP、SFTP等，自动修改windows服务器密码无需在目标服务器上安装agent、开启telnet服务等。

8.支持对运维操作会话的在线监控、实时阻断、日志回放、起止时间、来源用户、来源IP、目标设备、协议/应用类型、命令记录、操作内容（如对文件的上传、下载、删除、修改等操作等）的详细行为日志。支持保存SSH的sz/rz命令传输的原始文件；支持保存RDP磁盘映射传输的原始文件。

9.内置根据运维人员和组生成各种维度的分析报表，维度包含总为运维次数、时长、活动时长、会话起止时间、会话大小、命令数、上传下载文件数，分别从全局及平均值、最大值、最小值、单次运维、单个会话等角度提供非常有价值有意义的报表。支持运维报表自动定期发送，提供一键导出符合等级保护、SOX法案要求的综合分析报告。

10.支持自身审计，包括但不限于：系统状态检测、登录日志、用户配置日志、设备配置日志、授权配置日志、策略配置日志、运维访问日志、系统配置日志等。提供排错工具：ping、TCP端口检测、UDP端口检测、路由跟踪等。支持邮件/syslog方式输出告警日志，支持SNMP方式输出系统信息。

11.需提供用户、资产、授权的增删改查等API接口，允许第三方平台调用堡垒机的API接口，实现用户、资产、权限自动同步到堡垒机，简化堡垒机配置工作量。

12.《计算机信息系统安全专用产品销售许可证》、《中国信息安全产品认证证书》、IPV6认证证书、原厂商中国信息安全测评中心信息安全服务资质（安全工程类三级）证书，原厂商CMMI5认证证书；

13.提供三年原厂免费质保及技术支持服务。投标时提供设备原厂商针对此项目的授权函及售后服务承诺书。

台

320000

C07

网络出口导线式防毒墙

1.产品必须为国有品牌，必须专业反病毒厂商产品，拥有自主知识产权。

2. X86平台，具有多重病毒过滤技术、虚拟化病毒分析技术等应用基础；要求支持多路链路出口。

3. ★整机吞吐量≥9Gbps，HTTP杀毒吞吐：≥950Mbps、FTP杀毒吞吐：≥920Mbps、SMTP杀毒吞吐：≥910Mbps，POP3杀毒吞吐：≥910Mbps；

4.配置10/100/1000BASE-T接口≥6个（支持2对Bypass接口），万兆SFP+光接口≥2个；万兆双纤单模80公里模块或板卡≥4。支持Bypass光口，要求支持光口、电口灵活扩展，最多可扩展12个光口。

5. 产品具有针对国内及全球病毒监测网络，具备新病毒及时发现、处置能力及专业技术资源，保障对新病毒的有效拦截及具备先进的病毒分析技术实力；

具有国内独立自主产权杀毒引擎，专业的网关病毒过滤引擎，保障防毒墙在网关过滤病毒的效率及性能；

具有针对国内用户的病毒库，病毒库特征码≥800万；

支持SMTP、POP3、FTP、HTTP、SAMBA协议的病毒过滤；

可对SMTP、POP3、FTP、HTTP等协议通过不同端口传输的数据同时具有病毒过滤功能；支持不同区域间双向查毒；可灵活定义病毒处理策略；支持对网页文件、邮件、可疑脚本、DOS可执行、图片格式病毒查杀；支持虚拟化病毒分析等脱壳技术，对加壳病毒具备识别及阻断能力；拥有对未知病毒识别及阻断能力；支持多层压缩文件中的病毒过滤，可定制压缩层数；可定制不查杀文件类型(提供截图证明)；支持对“永恒之蓝”勒索病毒的防护功能；支持对病毒文件进行隔离；支持配置扫描文件大小；支持定义IP地址白名单，对定义的IP地址不进行病毒过滤；支持定义URL名单，对定义的URL不进行病毒过滤；支持定义邮件白名单，对定义的邮件地址不进行病毒过滤；

恶意网站URL数量≥2000万；

在国内有自主的分布式病毒库升级服务器，保障防毒墙设备病毒库升级的可持续性；支持对各种蠕虫病毒攻击的防御；支持对双归属链路环境的支持，可以满足非对称路由网络环境的需求。双归属链路中的不同链路的两台墙之间支持URL数据同步功能。保证不改变经过防毒墙数据的任何特征，做到“透明代理”更加透明。

6.要求产品支持与现有网络版杀毒软件系统联动，检测终端是否安装杀毒软件、开启监控、病毒库升级到最新版本、是否存在高危系统漏洞等安全风险，可对存在安全风险终端采取阻断访问的措施，并可以发送告警给管理员，提供相关功能界面截图，并提供厂商功能实现承诺。

7. 产品具有公安部检测报告、软件著作权证书、国家信息安全测评中心认证、军用信息安全产品认证。

8. 提供防病毒墙日常巡检；并处理突发的病毒爆发；收集统计病毒传播报告（每周一份周报，每月一份月报）。

9.提供三年原厂免费质保及技术支持服务，提供三年防病毒墙病毒库的更新升级服务。投标时提供设备原厂商针对此项目的售后服务承诺书。

个

294800

C08

日志审计

1. ★机架式设备，网口类型:千兆业务电口≥4；磁盘≥12T，双电源；支持审计500个日志源；平均处理能力（每秒日志解析能力EPS）≥10000EPS。

2. 采用解决方案包上传对产品进行功能扩展，无需要代码开发；支持kafka日志接收转发、大数据安全域同步、APT沙箱报告转发等大数据联调功能。

3.支持手动或按周期自动备份系统配置，可随时对系统资产等配置进行还原操作，且自动备份周期与备份包个数可配；支持系统配置备份自动备份至远程服务器。

4. 支持Syslog、SNMP Trap、HTTP、WMI、FTP、SFTP协议日志收集，支持使用代理(Agent)方式提取日志并收集；支持目前主流的网络安全设备、交换设备、路由设备、操作系统、应用系统等；支持常见的虚拟机环境日志收集，包括Xen、VMWare、Hyper-V等；

5. 可对日志进行细粒度解析，解析后的日志根据具体日志包含但不限于：日期、发生时间、接收时间、设备类型、日志类型、日志来源、威胁值、源地址、目的地址、事件类型、时间范围、操作主体、操作对象、行为方式、技术动作、技术效果、攻击类型、特征类型、协议、地理信息；

6. 内置非法访问、可疑入侵、病毒爆发、设备异常、弱点针对等5大类50子类的安全分析场景；

7. 三维关联分析；支持通过资产、安全知识库、弱点库三个维度分析事件是否存在威胁，并形成关联事件。

8. 支持按日期、时间、设备类型、日志类型、日志来源、威胁值、源地址、目的地址、事件类型、时间范围、操作对象、技术方式、技术动作、技术效果、攻击类型、地理城市等参数进行过滤查询；极高的日志高查询性能，支持亿级的日志里根据做任意的关键字及其它的检索条件，在秒级里返回查询结果。

9. 数据报表支持数据趋势预测功能，根据历史规律数据对未来数据的发展趋势进行预测，报表支持详单数据钻取，支持报表导出为PDF和Word格式文件；

10. 支持分布式部署；支持集中式管理和升级模式。支持分级管理模式；采用B/S架构操作方式，无需客户端安装；支持监控设备自身CPU、内存、磁盘等工作运行状况。

11.《计算机信息系统安全专用产品销售许可证》、IPV6认证证书、原厂商中国信息安全测评中心信息安全服务资质（安全工程类三级）证书，原厂商CMMI5认证证书；

12. 提供原厂商针对该项目原厂三年售后服务承诺函原件。

项

266600

C包总报价元

说明：

1、C包报价已包含配送、安装、调试、培训、税费等全部费用。

3、投标人自报最短工作期限（包含安装、调试完毕，并交付使用）及保修期。(合同签订后30日历天内设备完成供货、安装完毕并经验收合格。

5.质保期：从检验合格之日起三年。

6.质量要求：符合现行国家及行业规范要求，在满足供货需求前提下，达到采购人要求。

7、本次采购产品中C01 项“汇聚节点路由器”为核心产品。