某系统安全防护项目采购意向公告

采购内容：可信接入控制设备

采购数量：1台

主要功能或目标：（1）提供入网用户身份认证和权限判决功能，支持认证状态保活，支持多因子的用户入网控制； （2）提供报文分域保护，支持根据可信接入控制管理软件定制下发的分域策略，为数据包嵌入分域标签，并对网络数据包进行真实性、完整性保护； （3）提供基于状态的IP包过滤功能，能基于IP五元组、时间段等配置过滤规则。

需满足的要求：（1）提供入网用户身份认证和权限判决功能，支持认证状态保活，支持多因子的用户入网控制； （2）提供报文分域保护，支持根据可信接入控制管理软件定制下发的分域策略，为数据包嵌入分域标签，并对网络数据包进行真实性、完整性保护； （3）提供基于状态的IP包过滤功能，能基于IP五元组、时间段等配置过滤规则。

采购内容：可信接入控制管理软件

采购数量：1套

主要功能或目标：（1）提供用户身份的注册和注销功能； （2）提供用户、主机、局域网接入的策略制定功能，可根据用户、主机、局域网的属性信息确定接入域，并可配置接入时间； （3）能向所辖可信接入控制设备安全分发入网策略和分域策略； （4）提供对所辖设备、用户、主机、局域网等实体的拓扑显示、可视化展示，提供运行状态、实体接入状态、网络连接关系等信息可视化展示和动态更新； （5）提供对设备、用户、主机、局域网等实体的接入情况进行查询、统计、分析和动态展示。

需满足的要求：（1）提供用户身份的注册和注销功能； （2）提供用户、主机、局域网接入的策略制定功能，可根据用户、主机、局域网的属性信息确定接入域，并可配置接入时间； （3）能向所辖可信接入控制设备安全分发入网策略和分域策略； （4）提供对所辖设备、用户、主机、局域网等实体的拓扑显示、可视化展示，提供运行状态、实体接入状态、网络连接关系等信息可视化展示和动态更新； （5）提供对设备、用户、主机、局域网等实体的接入情况进行查询、统计、分析和动态展示。

采购内容：网间互联控制设备

采购数量：1台

主要功能或目标：（1）身份验证：提供端系统身份识别； （2）绑定检查：主机ID、IP主机硬件信息等绑定检查； （3）报文验证：发送端报文真实性、完整性验证； （4）传输权限控制：基于IP报文的“五元组”、应用协议、时间区****

需满足的要求：（1）身份验证：提供端系统身份识别； （2）绑定检查：主机ID、IP主机硬件信息等绑定检查； （3）报文验证：发送端报文真实性、完整性验证； （4）传输权限控制：基于IP报文的“五元组”、应用协议、时间区****

采购内容：网络安全监测探针软件

采购数量：1套

主要功能或目标：（1）提供流量采集功能，能在指定时间段内对引接到探针的网络流量进行全流量采集； （2）具备特征匹配功能，能对引接到网络探针的流量基于字符串和字节流（16进制表示的字节序列）进行特征匹配； （3）具备流量处理能力，能对采集的流量进行去重、规范化和压缩等预处理（去重，指自动过滤重复的流量报文；规范化，指自动将网络原始报文处理为pcap格式；压缩，指自动将流量进行压缩上传）； （4）具备入侵行为检测、WEB应用检测、恶意文件检测、APT检测、异常行为检测等威胁检测能力。

需满足的要求：（1）提供流量采集功能，能在指定时间段内对引接到探针的网络流量进行全流量采集； （2）具备特征匹配功能，能对引接到网络探针的流量基于字符串和字节流（16进制表示的字节序列）进行特征匹配； （3）具备流量处理能力，能对采集的流量进行去重、规范化和压缩等预处理（去重，指自动过滤重复的流量报文；规范化，指自动将网络原始报文处理为pcap格式；压缩，指自动将流量进行压缩上传）； （4）具备入侵行为检测、WEB应用检测、恶意文件检测、APT检测、异常行为检测等威胁检测能力。

采购内容：高性能服务器

采购数量：2台

主要功能或目标：（1）CPU：国产处理器，不少于16核，主频≥2.1GHz； （2）内存≥64GB，硬盘容量≥2TB； （3）千兆网口≥4，DVD-R光驱≥1，1+1冗余电源； （4）SAS或SATA硬盘不少于3块，转速不低于8000RPM，总可用容量至少2.4T，支持RAID 0/1/5/10等。

需满足的要求：（1）CPU：国产处理器，不少于16核，主频≥2.1GHz； （2）内存≥64GB，硬盘容量≥2TB； （3）千兆网口≥4，DVD-R光驱≥1，1+1冗余电源； （4）SAS或SATA硬盘不少于3块，转速不低于8000RPM，总可用容量至少2.4T，支持RAID 0/1/5/10等。

采购内容：入侵检测设备

采购数量：1台

主要功能或目标：（1）基础入侵检测，应支持IP碎片重组、TCP流重组、TCP流状态跟踪、2至7层的协议分析、系统应支持工作在非默认端口下的周知服务（如运行在8000端口下的Web Server）的协议识别与协议分析能力； （2）支持全面的攻击检测能力，可检测常见的Web攻击、缓冲溢出攻击、安全漏洞攻击、安全扫描攻击、拒绝服务攻击、木马后门攻击、蠕虫病毒攻击、穷举探测攻击、CGI攻击等； （3）系统提供的攻击特征不应少于7000条有效最新攻击特征，并且根据协议类型、安全类型、流行程度、影响设备等方式做有效分类； （4）支持TCP协议攻击特征自定义，提供tcp_ack、tcp_fin、tcp_flag、tcp_payload、tcp_syn、tcp_urg、tcp_seq、tcp_rst等协议变量特征的自定义，支持设置协议变量的操作符，操作符包括等于、不等于、包含、不包含； （5）系统需提供对事件的二次检测能力，即对已生成的事件进行二次分析与统计，并根据统计结果进行报警； （6）具备提取攻击原始报文的能力，针对产生的告警事件，可以对攻击行为的特征数据包进行提取； （7）具备流量分析能力，支持根据历史流量数据，计算出当前时刻历史均值流量大小，并形成历史均值流量曲线，可以与实时流量曲线进行同时呈现并形成对比。

需满足的要求：（1）基础入侵检测，应支持IP碎片重组、TCP流重组、TCP流状态跟踪、2至7层的协议分析、系统应支持工作在非默认端口下的周知服务（如运行在8000端口下的Web Server）的协议识别与协议分析能力； （2）支持全面的攻击检测能力，可检测常见的Web攻击、缓冲溢出攻击、安全漏洞攻击、安全扫描攻击、拒绝服务攻击、木马后门攻击、蠕虫病毒攻击、穷举探测攻击、CGI攻击等； （3）系统提供的攻击特征不应少于7000条有效最新攻击特征，并且根据协议类型、安全类型、流行程度、影响设备等方式做有效分类； （4）支持TCP协议攻击特征自定义，提供tcp_ack、tcp_fin、tcp_flag、tcp_payload、tcp_syn、tcp_urg、tcp_seq、tcp_rst等协议变量特征的自定义，支持设置协议变量的操作符，操作符包括等于、不等于、包含、不包含； （5）系统需提供对事件的二次检测能力，即对已生成的事件进行二次分析与统计，并根据统计结果进行报警； （6）具备提取攻击原始报文的能力，针对产生的告警事件，可以对攻击行为的特征数据包进行提取； （7）具备流量分析能力，支持根据历史流量数据，计算出当前时刻历史均值流量大小，并形成历史均值流量曲线，可以与实时流量曲线进行同时呈现并形成对比。

采购内容：防火墙

采购数量：1台

主要功能或目标：（1）支持透明、路由、混合模式； （2）支持静态路由，动态路由（OSPF、RIP、BGP等），VLAN间路由，单臂路由，组播路由等； （3）针对单条策略中的源、目的地址进行新建、并发限制，可以针对单IP(或地址范围)进行新建、并发控制； （4）支持主流ICMPFLOOD、SYNFLOOD、ACKFLOOD、SYNACKFLOOD、UDPFLOOD攻击防护； （5）支持专业的DNSflood攻击防护，具有高级的基于聚类限速、聚类分析、重传检测等多种高级防护算法； （6）支持基于文件类型的策略路由，可实现将预定义或者自定义的文件按照不同的分类进行智能选路； （7）支持会话管理，支持根据连接数对IP进行实时排行； （8）支持端口联动，支持上下行端口组的联动，可以实现单端口决定同组中的任意接口失效启动链路切换； （9）多系统设置可在Web界面上完成全部操作。

需满足的要求：（1）支持透明、路由、混合模式； （2）支持静态路由，动态路由（OSPF、RIP、BGP等），VLAN间路由，单臂路由，组播路由等； （3）针对单条策略中的源、目的地址进行新建、并发限制，可以针对单IP(或地址范围)进行新建、并发控制； （4）支持主流ICMPFLOOD、SYNFLOOD、ACKFLOOD、SYNACKFLOOD、UDPFLOOD攻击防护； （5）支持专业的DNSflood攻击防护，具有高级的基于聚类限速、聚类分析、重传检测等多种高级防护算法； （6）支持基于文件类型的策略路由，可实现将预定义或者自定义的文件按照不同的分类进行智能选路； （7）支持会话管理，支持根据连接数对IP进行实时排行； （8）支持端口联动，支持上下行端口组的联动，可以实现单端口决定同组中的任意接口失效启动链路切换； （9）多系统设置可在Web界面上完成全部操作。

采购内容：集成费

采购数量：1批

主要功能或目标：/

需满足的要求：/

采购内容：机柜

采购数量：2台

主要功能或目标：/

需满足的要求：/

采购内容：网间交换代理设备

采购数量：2台

主要功能或目标：（1）提供网间信息交换服务申请信息的录入和提交功能； （2）提供基于ID、IP地址、MAC地址等的绑定检查和身份识别； （3）接入注册支持三种方式：系统启动时自动注册、首次信息交换时启动注册、人工启动注册； （4）定期向管控系统发送状态保活信息，申告在线情况； （5）采用IP隧道封装的方式传输跨网交换报文； （6）透明使用：不改变应用系统的实现及使用； （7）提供图形化操作界面，响应管控系统的管理请求； （8）支持自定义配置终端数量、冻结时间和添加信任列表，信任列表支持IP、IP端和用户等，具备例外排除功能。

需满足的要求：（1）提供网间信息交换服务申请信息的录入和提交功能； （2）提供基于ID、IP地址、MAC地址等的绑定检查和身份识别； （3）接入注册支持三种方式：系统启动时自动注册、首次信息交换时启动注册、人工启动注册； （4）定期向管控系统发送状态保活信息，申告在线情况； （5）采用IP隧道封装的方式传输跨网交换报文； （6）透明使用：不改变应用系统的实现及使用； （7）提供图形化操作界面，响应管控系统的管理请求； （8）支持自定义配置终端数量、冻结时间和添加信任列表，信任列表支持IP、IP端和用户等，具备例外排除功能。

采购内容：统一威胁管理设备

采购数量：1台

主要功能或目标：（1）具备路由模式，NAT模式，透明模式网络接入能力； （2）具备监视、管理流量带宽能力； （3）具备基本网络数据访问控制能力，根据定义的策略允许对应的IP数据包访问网络资源； （4）采用相关的分析检测技术，对流入目标网络的数据进行提取并分析，并根据定义的策略对入侵行为进行拦截响应； （5）检测通过网络传输的文件，识别并阻断其中包含恶意代码的信息； （6）采用各种分析检测技术，识别并控制通过网络传输的各种网络应用协议； （7）负责统一威胁管理产品定制策略、审阅日志、产品状态管理，并以可视化形式提交授权管理员进行管理。

需满足的要求：（1）具备路由模式，NAT模式，透明模式网络接入能力； （2）具备监视、管理流量带宽能力； （3）具备基本网络数据访问控制能力，根据定义的策略允许对应的IP数据包访问网络资源； （4）采用相关的分析检测技术，对流入目标网络的数据进行提取并分析，并根据定义的策略对入侵行为进行拦截响应； （5）检测通过网络传输的文件，识别并阻断其中包含恶意代码的信息； （6）采用各种分析检测技术，识别并控制通过网络传输的各种网络应用协议； （7）负责统一威胁管理产品定制策略、审阅日志、产品状态管理，并以可视化形式提交授权管理员进行管理。

采购内容：网络诱骗分析系统

采购数量：1套

主要功能或目标：（1）通过对网络入侵者行为的检测和控制，保证系统正常工作； （2）具备对网络入侵者侵入行为的记录，以及入侵信息的收集、分析； （3）具备对网络攻击者攻击手段、攻击事件、击键记录以及IP地址等重要信息的记录功能。

需满足的要求：（1）通过对网络入侵者行为的检测和控制，保证系统正常工作； （2）具备对网络入侵者侵入行为的记录，以及入侵信息的收集、分析； （3）具备对网络攻击者攻击手段、攻击事件、击键记录以及IP地址等重要信息的记录功能。

采购内容：路由器

采购数量：1台

主要功能或目标：（1）支持IPv4路由表≥512K； （2）支持IPv6路由表≥64K； （3）支持并提供802.1Q； （4）支持并提供PPP、MP等链路层协议； （5）支持并提供IPv4静态路由协议，支持并提供BGP-4、OSPFv2、ISISv4等动态路由协议； （6）支持并提供IPv6静态路由协议，支持并提供BGP4+、RIPng、OSPFv3、ISISv6等动态路由协议； （7）支持并提供IGMP V1/V2/V3，PIM-SM路由协议； （8）支持并提供IPv6、ICMPv6、IPv6邻居发现协议，支持PMTU发现、地址自动配置等功能。

需满足的要求：（1）支持IPv4路由表≥512K； （2）支持IPv6路由表≥64K； （3）支持并提供802.1Q； （4）支持并提供PPP、MP等链路层协议； （5）支持并提供IPv4静态路由协议，支持并提供BGP-4、OSPFv2、ISISv4等动态路由协议； （6）支持并提供IPv6静态路由协议，支持并提供BGP4+、RIPng、OSPFv3、ISISv6等动态路由协议； （7）支持并提供IGMP V1/V2/V3，PIM-SM路由协议； （8）支持并提供IPv6、ICMPv6、IPv6邻居发现协议，支持PMTU发现、地址自动配置等功能。