太原市卫生学校校园边界安全系统平台磋商公告

序号

货物名称

需求或性能描述

单位

数量

单价(元)

总价(元)

1

IPS

吞吐量≥1200M吞吐，标准机架式1U设备,冗余电源;标配≥6个10/100/1000M自适应电口，≥4个SFP插槽;内置2路电口Bypass。提供软硬件及攻击特征库三年升级服务。

4个SFP插槽;

IPS设备三年IPS特征库升级

台

1

91340

91340

2

服务器病毒防护

1.终端安全防护产品至少应具备防病毒功能+补丁功能，支持WindowsXP/VISTA/WIN7/WIN8/WIN10等终端，支持WIN2003/WIN2008/WIN2012/WIN2016等服务器端。

2.产品支持终端保护密码，设置密码后，终端退出或卸载杀毒、或安装控制中心，都需要输入正确的密码方可执行。

3.要求客户端程序具备自保功能，避免被恶意篡改。

4.支持自定义默认分组的终端默认功能模块,包括产品功能模块及实用工具等。

★5.支持控制中心可采用手机APP动态令牌方式进行二次认证。

6.支持加密的控制中心远程访问，支持管理账户并发、密码有效期、鉴别失败锁定等设置。

7.支持根据分组、计算机名称、IP地址、操作系统、在线状态等条件的组合筛选出符合条件的终端进行管理。

8.按终端维度展示终端的硬件、软件、操作系统、网络、进程等信息。

★9.支持显示硬盘序列号出具系统界面图例，支持显示终端操作系统SN号。

10.支持温度检测以折线图形式实时所有终端展示CPU、主板、显卡、硬盘的温度变化。

11.支持统计指定分组或全网的终端扫描数、终端管理软件安装数、未安装终端数及安装率。

★12.为保证国产化系统升级替代，产品需支持具备产品与国产操作系统兼容性认证：与中标麒麟/银河麒麟/普华/深度等国产桌面操作系统可以兼容。

★13、支持插件清理，按插件显示展示全网存在的插件和涉及的终端，可清理指定或全部插件、加入信任;按终端显示展示全网每个终端存在的插件，可清理插件，提供操作界面图片。

14.此次项目要求服务器杀毒授权≥14;服务器端授权≥1。提供三年软件及数据库升级服务。系统默认支持默认支持WIN2003/WIN2008/WIN2012/

台

14

2722.8

38120

3

※堡垒机

1.产品为2U标准机架式设备，冗余电源，≥6个千兆电口，≥2个接口扩展槽位，内置≥4TB硬盘。最大支持不少于300路图形会话或800路字符会话并发。提供三年硬件质保服务。

2.可通过应用发布实现对MySQL、SQLServer、Oracle、IE、Firefox、Chrome、VNCClient、SecBrowser、VSphereClient、Radmin、dbisql等应用程序/客户端的扩展支持，且图形界面支持分辨率设置;支持按IP范围、端口进行资源设备自动发现，实现快速批量添加资源设备。

★3.支持云主机资源批量添加，包括阿里云、百度云、华为云、腾讯云、Ucloud、AWS、Azure云平台的资源。提供操作界面图片。

4.支持资源按标签管理，并可以对资源批量添加和删除标签。

★5.支持SSH、RDP协议文件管理与剪切板控制功能.

6.支持资源账户自动登录(包含提权登录，TELNET、SSH协议资源使用普通账户自动切换到root或enable账户)和手动登录方式，其中手动登录方式又区分全手动(手动输入账户和密码)和半自动模式(手动输入密码)。

7.不限操作客户端系统类型，无需安装任何客户端插件，使用H5即可直接运维windows、Linux、网络设备等资源。

★8.支持以云盘形式在堡垒机上存储常用文件，实现操作端、堡垒机、目标服务器三者之间文件共享，提供操作界面图片。

9.通过群发命令、预置命令，实现同时运维多台资源设备。

10.支持使用Xshell、SecureCRT、putty等第三方客户端运维资源。

11.支持运维过程中会话协同，可邀请其他用户参与、协助操作;会话协同过程中，参与者可以控制会话，创建者强制获取控制权。

★12.支持用户信息的导入，包括重置密码、移动部门、更改角色、修改多因子、修改有效期、修改IP限制、修改MAC限制。提供操作界面图片。

授权≥50个被管资源数

台

1

152290

152290

4

日志审计

1.产品为标准机架式设备;事件处理最高≥20000EPS，事件处理性能最高≥5000EPS。标配≥6个千兆电口，≥2个扩展插槽，1个Console接口，≥4T硬盘。

2.产品需支持单一部署，也支持级联部署，管理中心内嵌数据库，用户无需另外安装数据库管理系统;应提供从总体上把握日志告警和日志统计分析的实时综合性监控界面，用户可以自定义监控主页。

★3.系统支持自定义资产属性;支持对资产日志进行过滤，设置允许接收和拒绝接收日志，并可以对资产设置一定时间范围内未收到事件后进行主动告警。

4.系统提供灵活简单的归一化方式,对系统新增的日志类型只需修改配置文件即可支持,不需修改系统程序。

5.支持实时的日志滚动显示，可通过趋势图等直观显示目前日志量和日志详细信息。支持对实时展示的字段进行选择，调整字段顺序，修改显示字段别名。

★6.支持鼠标放在日志对应字段上界面可悬浮提示资产信息和常用端口信息。

7.支持禁止与允许用户访问日志审计系统的IP地址限制，支持raidus认证。

日志审计系统授权许可证包含≥50节点的授权

台

1

199250

184000

5

数据库审计

1.产品需采用专用硬件平台和安全操作系统，性能要求事件处理≥25000条/秒;内置≥4TB磁盘存储空间;产品为标准2U机架式机箱，配置冗余电源;标配≥6个千兆自适应电口，1个Console口;设备前面板自带液晶显示屏，可显示设备运行IP地址，运行状态等设备信息。要求设备审计数据库数量≥100个。

★2.支持的数据库：Oracle、SQL-Server、DB2、Informix、Sybase、MySQL、PostgreSQL、达梦、人大金仓、南大通用Gbase、Caché、REDIS。旁路阻断功能(非串联方式)。阻断两种模式，宽松模式：对单一会话危险操作阻断;严格模式：源IP操作的所有请求直接阻断。

3.支持端口重定向审计，在服务器端口变化动态协商为其他端口时同样能精确审计。

4.支持白名单管理，根据白名单(条件为IP/MAC/数据库账户/审计对象/操作语句)定义规则进行应用层过滤)。

5.支持B/S架构Http应用三层审计，可提取包括应用系统的人员工号(账号)的身份信息，精确定位到人，并可获取XML返回结果。支持C/S架构COM、COM+、DCOM组件的三层审计，可提取应用层工号(账号)的身份信息，精确定位到人;支持框架：tomcat、apache、weblogic、jboss。

6.系统应具备防范非法IP地址、防范暴力破解登录用户密码(在登录本系统多次连续失败情况下对用户进行自动锁定，锁定时间可根据用户安全级别在系统中安全项下进行设置)等安全功能。

7.可监控发现未知仿冒进程工具访问数据库，如通过非法第三方工具连接数据库进行风险操作的行为;可监控权限滥用行为，对超出用户权限范围的操作，可根据IP、MAC等五元组实时监控。

8.支持对SQL注入、跨脚本攻击、grant语句进行提权行为的审计。

9.支持数据库嵌套、函数、脚本访问以及返回内容等审计;绑定变量：可审计通过隐藏用户名的绑定变量，动静态变量方式访问数据库，如：Varchar、Nvarchar、int、shortint、tinyint、bigint、float、guid、datetime、datetime2、image、Nvarchar等。

10.对审计记录返回内容中的敏感数据能进行隐秘处理，防止二次泄露。

11.支持B/S架构Http应用三层审计，可提取包括应用系统的人员工号(账号)的身份信息，精确定位到人，并可获取XML返回结果。支持C/S架构COM、COM+、DCOM组件的三层审计，可提取应用层工号(账号)的身份信息，精确定位到人;支持框架：tomcat、apache、weblogic、jboss。

台

1

184000

184000

6

合计：669000元