丽江市人民检察院“网络安全等级保护建设”采购项目公开招标公告

序号

产品

参数

数量

1

下一代防火墙

1、★性能指标：网络层吞吐量 6Gbps,应用层吞吐量 800Mbps,并发连接数 1,800,000,新建连接数60,000CPS,网络接口 4个千兆电口、2个千兆光口，1U机架式机箱，开通IPS、WAF、漏洞扫描、网页防篡改、僵尸网络检测模块，包含五年软硬件维保；
2、 支持多链路出站负载，支持基于源/目的IP、源/目的端口、协议、应用类型以及国家地域来进行选路的策略路由选路功能（需提供相关功能截图证明）；
3、 ★支持网关型网页防篡改，无需在服务器中安装任何插件（需提供界面截图）；
4、 支持根据国家/地区来进行地域访问控制；
5、 支持采用无特征AI检测技术对恶意勒索病毒及挖矿病毒等热点病毒进行检测，给出基于AI技术的病毒检测报告（需提供相关功能截图证明）；
6、 可提供最新的威胁情报信息，能够对新爆发的流行高危漏洞进行预警和自动检测，发现问题后支持一键生成防护规则（需提供相关功能截图证明）；
7、 ★支持Web漏洞扫描功能，可扫描检测网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞（需提供相关功能截图证明）；
8、 ★支持对网站黑链进行检测（需提供相关功能截图证明）；
9、 支持对终端已被种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为；
10、 支持自动生成安全风险报表，报表内容体现被保护对象的整体安全等级，发现漏洞情况以及遭受到攻击的漏洞统计，具备有效攻击行为次数统计和攻击举证（提供安全报表）；
11、 ★支持服务器的漏洞风险评估功能，可扫描B/S架构业务系统sql注入、xss、csrf、目录遍历、文件包含、命令执行等脚本漏洞（提供界面截图，为了保障与WAF之间智能联动，要求漏洞风险评估非第三方软件产品)；
12、 中标后三个工作日内，提供样机进行上述功能要求的逐一测试验证，全部通过后才能执行合同流程，测试中发现虚假应标的行为将予以废标处理并保留对该厂商追究相关责任的权利。

7

2

下一代防火墙

1、★性能指标：网络层吞吐量 3.5Gbps,应用层吞吐量500Mbps,并发连接数 1,500,000,新建连接数30,000CPS,网络接口 4个千兆电口、2个千兆光口，1U机架式机箱，开通IPS、WAF、漏洞扫描、网页防篡改、僵尸网络检测模块，包含五年软硬件维保；
2、★支持多链路出站负载，支持基于源/目的IP、源/目的端口、协议、应用类型以及国家地域来进行选路的策略路由选路功能（需提供截图证明）；
3、★访问控制规则支持数据模拟匹配，输入源目的IP、端口、协议五元组信息，模拟策略匹配方式，给出最可能的匹配结果，方便排查故障，或环境部署前的调试；
4、★支持根据国家/地区来进行地域访问控制（需提供截图证明）；
5、★支持针对SMTP、POP3、IMAP邮件协议的内容检测，如邮件附件病毒检测、邮件内容恶意链接检测，邮件账号撞库攻击检测等，支持根据邮件附件类型进行文件过滤（需提供截图证明）；
6、★支持Web漏洞扫描功能，可扫描检测网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞（需提供截图证明）；
7、★支持对网站黑链进行检测（需提供截图证明）；
8、★支持对终端已被种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为（需提供截图证明）；
9、★可提供最新的威胁情报信息，能够对新爆发的流行高危漏洞进行预警和自动检测，发现问题后支持一键生成防护规则（需提供截图证明）；
10、★支持自动生成安全风险报表，报表内容体现被保护对象的整体安全等级，发现漏洞情况以及遭受到攻击的漏洞统计，具备有效攻击行为次数统计和攻击举证（提供安全报表）；
11、支持安全策略一体化配置，通过一条策略既可实现不同安全功能的配置（需提供截图证明）；
12、★支持对检测到的攻击行为按照IP地址的地理位置信息进行威胁信息动态展示，实时监测和展示最新的攻击威胁信息（需提供截图证明）；
13、 中标后三个工作日内，提供平台进行上述功能要求的逐一测试验证，全部通过后才能执行合同流程，测试中发现虚假应标的行为将予以废标处理并保留对该厂商追究相关责任的权利。

2

3

终端安全监测响应软件

1、★所投产品必须支持100个PC主机端授权，3个服务器端授权，包含五年的升级服务；
2、产品平台要求操作系统为64位Linux操作系统；
3、Agent软件支持32位和64位的Windows系统和Linux系统；
4、★终端检测响应平台采用软件包方式提供安装，安装后其中安全功能中必须具备终端管理、终端杀毒、东西向访问微隔离、爆力破解检测响应、WebShell检测响应、僵尸网络实时活动检测响应、安全远程调查取证等功能组件，保障平台的扩展性和兼容性（提供界面截图）；
5、★通过License激活的方式，实现终端安全检测响应功能（提供界面截图）；
6、支持对WebShell文件响应处置，包含文件隔离、删除、恢复的动作；
7、★支持SSH、RDP服务的暴力破解检测，具备分布式攻击源的暴力破解检测方法：统计单个用户名在单位时间内。支持显示攻击日志，例如攻击源、服务器名、攻击类型等。支持显示暴力破解事件的详情，例如攻击方法、内容、历史情况等（提供界面截图）；
8、支持将暴力破解攻击源加入IP黑名单的响应处置，以及支持从黑名单列表中删除IP地址；
9、★支持僵尸网络文件检测，检测出来的事件日志，例如恶意文件名称、文件名称、操作动作、发现时间等（提供界面截图）；
10、支持显示僵尸网络文件检测过程的详情内容，例如文件路径、文件大小、文件创建时间、进程ID、父进程、进程模块；
11、支持对僵尸网络文件的响应处置，包含文件隔离、删除、恢复的动作；
12、基于等级保护的主机安全合规审查，包含账号、口令、访问控制等内容；
13、★具备支持终端安全端点探针实时安全威胁感知能力，通过基于威胁情报和行为分析日志的统计检测能力实现对恶意IP实时封堵（提供界面截图）；
14、★支持通过云端威胁情报库、终端安全安全事件采集的关联分析，以基于智能机器学习的检测方式精确判断终端的安全威胁状况（提供界面截图）；
15、支持僵尸网络文件检测，具备独立的僵尸主机识别特征库，恶意软件识别特征总数在50万条以上；
16、支持通过随机域名算法，DGA域名检测算法和动态域名分析等行为识别技术定位僵尸主机；
17、支持对僵尸网络文件的响应处置，包含文件隔离、删除、恢复的动作；
18、中标后三个工作日内，提供平台进行上述功能要求的逐一测试验证，全部通过后才能执行合同流程，测试中发现虚假应标的行为将予以废标处理并保留对该厂商追究相关责任的权利。

6

4

安全审计一体机（含日志审计和堡垒机模块）

1、★性能指标：安全审计一体机硬件服务器要求，CPU不低于E5-2620 V4*2；内存不低于96G；系统盘不低于128G SSD；缓存盘不低于240G SSD；数据盘不低于2*4T SATA数据盘；不少于6个千兆电口；包含5年软件升级和硬件维保；
2、安全审计一体机软件要求：支持部署于通用X86服务器平台，无需绑定底层操作系统即可搭建；平台包含并开通堡垒机模块、日志审计模块，支持数据库审计功能；
3、日志审计系统：内置20个主机审计许可证书，支持获取各种主流网络及数据库访问行为，支持Syslog、WMI、OPSEC Lea、SNMP trap和LogBase专用协议等协议事件日志，支持通过Http、Https、FTP、SFTP、SMB等协议获取各类文件型日志，支持基于SQL/XML标准内容获取；2、 安全审计一体机软件要求：支持部署于通用X86服务器平台，无需绑定底层操作系统即可搭建；平台包含数据库审计、运维审计、日志审计；
4、堡垒机系统软件：包含20个资源授权；
5、 ★平台支持用户进行安全拓扑的编排，可根据实际业务环境定义业务安全区域，简化运维管理（提供界面截图证明）；
6、 ★平台具备业务风险可视化界面，包括业务风险状况、风险事件状态及整体安全态势等，针对单独业务系统可提供业务风险提供业务状态及业务风险分析评估（提供界面截图证明）；
7、 ★支持数据库审计功能：支持白名单审计，系统使用审计白名单将非关注的内容进行过滤，不进行记录，降低了存储空间和无用信息的堆砌，白名单内容包括以下4个维度:SQL模板、业务系统、URL地址及数据库条件（提供界面截图证明）；
8、 ★运维审计功能要求：内置配置管理员、密码管理员、审计管理员、系统管理员、系统审计员、普通运维用户等管理角色（提供界面截图证明）；
9、 日志审计功能要求：系统从不同设备或系统中所获得的各类日志、事件中抽取相关片段准确和完整地映射至安全事件的标准字段；
10、 ★日志审计功能要求：对安全事件重新定级。能根据统一的安全策略，按照安全设备识别名、事件类别、事件级别等所有可能的条件及各种条件的组合对事件严重级别进行重定义（提供界面截图证明）；
11、 系统既可以完全收集采集对象上的日志信息，也支持在安全事件收集引擎上设置过滤条件，可过滤出无关安全事件，满足根据实际业务需求减少采集对象发送到核心服务器的安全事件数，从而减少对网络带宽和数据库存储空间地占用；
12、 中标后三个工作日内，提供样机进行上述功能要求的逐一测试验证，全部通过后才能执行合同流程，测试中发现虚假应标的行为将予以废标处理并保留对该厂商追究相关责任的权利。

6

5

数据库审计模块

1、★事件处理15000条/每秒,应用层吞吐量200M，包含五年的维保；
2、工作模式：数据库审计产品可以旁路镜像模式部署，不影响数据库性能和网络架构；
3、采用B/S管理方式，无需在被审计系统上安装任何代理；无需单独的数据中心，一台设备完成所有工作；提供图形用户界面，以简单、直观的方式完成策略配置、警报查询、攻击响应、集中管理等各种任务；
4、★支持IPv6协议，可识别IPv6协议的数据流，支持基于IPv6地址格式的审计策略；
5、★支持Oracle数据库审计、SQL-Server数据库审计、DB2数据库审计、MySQL数据库审计；支持同时审计多种数据库及跨多种数据库平台操作；
6、★支持吞吐量分析，包括SQL语句吞吐量排行、SQL语句吞吐量趋势、SQL操作类型吞吐量排行、SQL操作类型吞吐量趋势、数据库用户吞吐量排行、数据库用户吞吐量趋势、业务主机吞吐量排行、业务主机吞吐量趋势；
7、支持以时间、源IP、客户端程序、业务系统、数据库用户、数据库名、操作类型、表名、返回行数、影响行数、响应时长、响应码、策略、规则、风险级别、SQL模版为条件的数据库风险查询；
8、 中标后三个工作日内，提供样机进行上述功能要求的逐一测试验证，全部通过后才能执行合同流程，测试中发现虚假应标的行为将予以废标处理并保留对该厂商追究相关责任的权利。

1

6

潜伏威胁探针

1、 ★性能指标：探针设备应与安全态势感知系统为同一品牌；设备接口数不少于4个千兆电口、2个千兆光口；吞吐量≥1Gbps；包含五年软硬件维保；
2、 支持5种类型日志传输模式,包含标准模式、精简模式、高级模式、局域网模式、自定义模式，适应不同应用场景需求（需提供截图证明）；
3、 支持DNS审计日志，主要用于平台dns flow分析引擎进行安全分析；HTTP审计日志，主要用于平台http flow分析引擎进行安全分析；SMB审计日志，主要用于平台SMB flow分析引擎进行安全分析；同步SMTP、POP3、IMAP审计日志，主要用于平台Mail flow分析引擎进行安全分析，同步AD域协议审计日志，主要用于平台AD域分析引擎进行安全分析（需提供截图证明）；
4、 支持针对B/S架构应用抵御SQL注入、XSS、系统命令等注入型攻击；支持跨站请求伪造CSRF攻击检测；支持对ASP,PHP,JSP等主流脚本语言编写的webshell后门脚本上传的检测；支持其他类型的Web攻击，如文件包含，目录遍历，信息泄露攻击等的检测（要求对以上列出的攻击类型进行逐条响应并提供相应的功能界面截图）；
5、 ★支持对终端种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为（需提供截图证明）；
6、 支持对被Web网站是否被挂黑链进行检测；对于未知威胁具备同云端安全分析引擎进行联动的能力，上报可疑行为并在云端进行沙盒检测，并下发威胁特征；
7、 支持敏感数据泄密功能检测能力，支持敏感信息自定义，支持根据文件类型和敏感关键字进行信息过滤（需提供截图证明）；
8、 能够针对IP，IP组，服务，端口，访问时间等策略，主动建立针对性的业务和应用访问逻辑规则，包括白名单（哪些访问逻辑是正常的）和黑名单（哪些访问逻辑肯定是异常的）两种方式（需提供截图证明）；
9、 支持通过设备对流量进行抓包分析，可定义抓包数量、接口、IP地址、端口或自定义过滤表达式（需提供截图证明）；
10、 支持安全感知平台对接入探针的统一升级，可展示当前所有接入探针的规则库日期、是否过期等，并支持禁用指定探针的升级（需提供截图证明）；
11、 要求具备国家版权局颁发的软件著作权登记证书（提供证明材料）；
12、 中标后三个工作日内，提供样机进行上述功能要求的逐一测试验证，全部通过后才能执行合同流程，测试中发现虚假应标的行为将予以废标处理并保留对该厂商追究相关责任的权利。

6

7

全网安全态势感知平台

1、★性能指标：硬件配置为CPU E3-1230 V3，32G内存，4*SATA/SAS盘位，默认128G系统盘，6个GE接口和4*4T-SATA；具备功能为资产和业务访问关系可视、分支安全可视、业务外联可视、失陷业务、失陷用户检测、风险业务发现、风险用户发现、支持报表导出、事件告警和大屏展示；含五年安全规则库、硬件维保和软件升级；
2. 设备应具备直观的可视化能力，支持以图形化大屏的综合监控展示，包括但不限于安全事件态势；支持以图形化大屏的方式展示业务外连的实时态势，支持国际、国内地图自主切换；支持图形化大屏的横向威胁展示，包括但不限于横向威胁趋势，威胁类型分布（需提供截图证明）；
3. 支持自动识别资产，在不影响内部网络的前提下，通过主动发送微量包的扫描方式探测潜在的服务器以及学习服务器的基础信息，如：操作系统、开放的端口号等（需提供截图证明）；
4. 支持通过镜像流量检测数据包中存在的用户名和密码信息,通过分析密码的强度检测网络中存在的弱密码风险（需提供截图证明）；
5. 支持检测恶意邮件检测，可定位具体的收件人账号、发件人账号、恶意邮件数量、邮件附件是否包含病毒（需提供截图证明）；
6. 支持SMBFlow分析引擎，利用机器学习技术,发现主机传输可疑文件、恶意软件行为、文件或关键目录的可疑操作行为以及SMB暴力破解等（需提供截图证明）；
7. 支持SMTPFlow分析引擎，利用机器学习技术技术,发现主机发送可疑附件的邮件行为、伪造发件人发送邮件、发送钓鱼网站邮件和垃圾邮件等行为（需提供截图证明）；
8. 具备安全日志分析引擎、DnsFlow行为分析引擎、HttpFLow分析引擎、NetFLow分析引擎、MailFLow分析引擎、SmbFLow分析引擎、威胁情报分析关联引擎、第三方安全检测引擎、文件威胁检测引擎等，支持定期自动升级或离线手动升级（需提供截图证明）
9. ★设备应具有良好的检测能力，具备僵尸网络识别能力，行为规则35万条以上；具备IPS漏洞特征识别库、WEB应用防护识别库、僵尸网络识别库、实时漏洞分析识别库、URL库、应用识别库、恶意链接库、白名单库等，支持定期自动升级或离线手动升级；支持对服务器、客户端的各种应用发起的漏洞攻击进行检测，包括20种攻击类型共9000+以上规则（需提供截图证明）；
10. ★支持基于用户/业务维度的访问关系梳理，可呈现该用户/业务已经通过哪些应用、协议和端口访问了哪些业务，这些访问是否是攻击、违规、远程登陆等行为，IT人员可清晰的看出已对哪些业务存在影响，也能推导当前用户是否已失陷（或可疑）（需提供截图证明）；
11. 支持接入防火墙、上网行为管理、终端安全软件、虚拟安全系统和潜伏威胁探针,并在页面中显示安全组件接入的数量和状态（需提供截图证明）；
12.★支持联动本次项目所投防火墙设备、上网行为管理设备，实现安全策略自动联动下发防火墙，实现主机隔离及访问控制。联动下发上网行为管理，实现实时警告信息下发客户端等（提供功能联动承诺函）；
13. 中标后三个工作日内，提供样机进行上述功能要求的逐一测试验证，全部通过后才能执行合同流程，测试中发现虚假应标的行为将予以废标处理并保留对该厂商追究相关责任的权利。

1

8

漏洞扫描

1、★性能指标：标准机架式硬件设备，无需在被扫描目标系统上安装任何软件；产品功能的实现无需额外增加服务器等设备。采用B/S架构操作方式，无需安装客户端、扫描并发数≥50台设备；1U，标配6个千兆电口，2个千兆光口，支持扩展接口；标配单电源，包含五年软硬件维保；
2、★基线检查和变更检查支持离线检查（提供产品页面截图证明）；
3、★ 漏洞扫描支持指定登录用户名和口令进行本地漏扫检查（提供产品页面截图证明）；
4、★ 基线检查和变更检查支持跳转机跳转（提供相关产品截图证明)；
5、★ 系统支持对IP对象的自动发现功能；并智能识别对象系统类型（提供产品页面截图证明)；
6、★ 允许扫描器登录到目标系统中对特定应用进行深入扫描（提供产品页面截图证明)；
7、★ 支持CVE等编号，拥有完备的知识体系（提供产品页面截图证明）；
8、★ 变更列表：显示系统内被监控的重要文件、文件夹、注册表、启动项、进程等变更状态；变更详情查看：在变更文件列表中，选择某条变更项，可进一步查看变更的详细信息，确定文件内容变化和相关重要属性发生了哪些变化；查询：在变更列表中提供查询功能，输入相关查询字段进行查询；设置变更基线：可根据实际情况设置任意检查结果作为变更基线，后续变更任务将已当前基线作为变更与否的比较标准（提供产品页面截图证明）；
9、★ 系统除了内置变更策略，也提供新建策略功能（提供产品页面截图证明）；
10、★ 对于告警的处理主要包括清除（认为不是问题）、确认（认为可能是问题，待后续定位确认）、告警复核（针对已确认的告警进行系统自动检查，通过系统执行相关任务精确确认告警是否已经清除）（提供产品页面截图证明)；
11、★ 任务报告展示：支持三合一多维度展示任务详情，并支持导出Word、PDF、HTML等多种报表（提供产品页面截图证明）；
12、中标后三个工作日内，提供样机进行上述功能要求的逐一测试验证，全部通过后才能执行合同流程，测试中发现虚假应标的行为将予以废标处理并保留对该厂商追究相关责任的权利。

1

9

上网行为管理

1、性能指标：支持带宽≥200Mbps；网络接口≥4个千兆电口；用户规模≥600；单电源，1U设备，开通URL规则库；包含五年软硬件维保；

2、★必须支持两台及两台以上设备同时做主机的部署模式、支持基于虚拟化平台的软件版本，支持的虚拟平台包括：VMware、深信服超融合等平台；

3、★支持部署在IPv6环境中，设备接口及部署模式均支持ipv6配置；所有核心功能（上网认证、应用控制、流量控制、内容审计、日志报表等）都支持IPv6（提供产品界面截图）；

4、★支持PPS异常、丢包异常、ARP异常、内网DOS攻击等异常情况实时监测，显示每日异常事件个数及情况（提供产品界面截图）；
5、★支持终端调用管理员指定脚本/程序以满足个性化检查要求，比如检测系统更新是否开启、开放端口、已安装程序列表、终端发通知等（提供产品界面截图）；
6、★设备内置应用识别规则库，支持超过6000条应用规则数，支持超过2800种以上的应用，1000种以上移动应用，并保持每两个星期更新一次，保证应用识别的准确率（提供产品界面截图）；
7、★针对SSL加密的网站、论坛发帖、web邮箱以及客户端邮箱（如闪电邮）的内容进行审计；
8、★支持对加密HTTPS、POP3-SSL 、POP3、IMAP 、IMAP-SSL、SMTP-SSL、SMTP邮件内容的审计（提供产品界面截图）；
9、★支持通过抑制P2P的上行流量，来减缓P2P的下行流量，从而解决网络出口在做流控后仍然压力较大的问题（提供产品界面截图）；
10、★支持防火墙功能、支持防DOS攻击，识别并封堵来自于内网或外网的DOS攻击、支持防ARP欺骗，防范三层网络环境中的ARP欺骗问题、支持病毒查杀功能，必须能够针对各种下载文件进行病毒查杀；
11、★基于“流量”、“流速”、“时长”设置配额，当配额耗尽后，将用户加入到指定的流控黑名单惩罚通道中（提供产品界面截图）；
12、★支持记录QQ、MSN等IM聊天行为和传文件的内容、支持移动APP（IOS和android）审计（如论坛类、微博类、新闻评论类等）、支持金融类应用内容审计如：阿里旺旺、万德（Wind）、路透等应用的聊天内容；
13、★针对单用户的行为分析（包括：应用流速趋势、应用流量排行、域名流量排行、应用时长排行、域名时长排行、行为汇总排行等）（提供产品界面截图）；
14、★支持预置几组关键字，当审计日志中出现这些关键字时，将定期以邮件的方式发送报告给指定邮箱（提供产品界面截图）；

15、中标后三个工作日内，提供样机进行上述功能要求的逐一测试验证，全部通过后才能执行合同流程，测试中发现虚假应标的行为将予以废标处理并保留对该厂商追究相关责任的权利。

1

10

管理制度及机房物理环境整改

根据丽江市检察院、古城区检察院、玉龙县检察院、永胜县检察院、华坪县检察院、宁蒗县检察院等6家单位的机房物理环境进行整改，如增加门禁、消防、隔离、封窗、烟感、温感、监控等。

6

11

等级保护测评

丽江市检察院、古城区检察院、玉龙县检察院、永胜县检察院、华坪县检察院、宁蒗县检察院等6家单位作为1个等级保护测评对象进行网络安全等级保护（2.0）第三级

1