太原市住房公积金管理中心网络安全设备公开招标采购的采购公告

序号

名称

产品描述

数量/单位

单价金额（元）

金额小计（元）

对应的中小企业划分标准所属行业

1

UPS电池

12v，100ah，阻燃外壳，免维护。

144块

2000

288000

软件和信息技术服务业

2

UPS机头

容量60KVA，三进三出，输入功率因数≥0.99（满载时）。

2台

60000

120000

软件和信息技术服务业

3

核心交换机

1）采用框式架构，整机主控槽位≥2个，业务槽位≥4个；

2）交换容量≥76.8Tbps,包转发速率≥8640Mpps；

3）满足N+M电源冗余，至少支持3个电源扩展；

4）支持IPv6 ND，Pv6 ACL, NAT-PT，IPv6隧道，6PE,Ipv6静态路由，RIPng，OSPFv3，BGP4+；

5）支持4K VLAN，支持PVLAN，支持Super Vlan，支持VLAN Stacking；

6）支持RIP、OSPF、BGP、IS-IS、BEIGRP路由协议；

7）支持IGMP、IGMP Snooping、IGMP Proxy、PIM-SM、PIM-DM，支持组播流量跨VLAN复制功能；

8）支持Ingress和Egress ACL，支持匹配L2、L3、L4和IP五元组，进行复制、转发、丢弃；

9）支持Hash同源同宿负载均衡，保证流量输出的会话完整性；

10）支持MCE，支持MPLS VPN的P/PE功能要求；

11）支持虚拟化技术，支持将多台设备虚拟为一台设备；

12）配置双主控板，双电源，业务板配置千兆电口≥96个。

2台

58000

116000

软件和信息技术服务业

4

防火墙

1）1U机架设备，≥8个千兆电口 ，≥2个千兆光口，≥2个万兆光口，冗余电源，≥1个扩展槽位，防火墙吞吐≥5G，并发连接≥200万，每秒新建连接≥2.2万，支持Ipsec vpn功能，含3年IPS入侵防御、3年AV防病毒、3年URL分类过滤、4年应用识别规则库升级许可，含3年软硬件质保；

2）支持路由、透明以及混合接入模式，满足复杂应用环境的接入需求；

★3）支持对单条访问控制策略进行最大并发连接数和长连接的限制；

4）具有IP/MAC绑定功能，保证IP地址唯一性；支持手动绑定和自动探测两种方式进行IP/MAC绑定；

★5）支持加密流量识别，如HTTPS流量、BT加密流量、迅雷加密流量、网络视频加密流量等；

★6）内置独立的应用识别特征库，至少分为20个大类，总数2500种以上。且产品符合GB/T18336-2015标准，级别为EAL4+及以上；

7）邮件安全支持SMTP、POP3等邮件协议的标题、正文、邮件附件类型进行过滤，并且对不符合规则的邮件转发到指定邮箱进行审查；支持基于本地IP黑白名单、邮件地址黑白名单方式的反垃圾邮件功能，并提供反垃圾邮件统计功能；

8）支持通过关键字实现对流出防火墙的http、ftp、smtp、pop3、dns等协议数据进行过滤，如网页内容、外发邮件主题及正文等；

9）支持恶意代码防护功能，可针对HTTP、SMTP、POP3、FTP协议进行动态阻断，恶意代码特征库总数大于200万，病毒库可以定期更新或实时更新；

10）内置IPS攻击规则库，规则库包括多种攻击类型，规则数量大于5500条，兼容国家信息安全漏洞库，并支持自定义攻击检测规则；

★11）可调用威胁探针数据实现协同防护，支持设置防火墙阻塞时间。

3台

78500

235500

软件和信息技术服务业

5

VPN

1）1U标准设备，≥6个千兆电口，单电源，整机吞吐≥800M，并发连接≥70万，IPSEC吞吐≥100M，SSL吞吐≥220M，最大并发用户数900，含≥20个SSL VPN的客户端许可，含3年软硬件质保；

2）支持透明、路由、混合模式;

★3）支持自有DDNS动态域名注册，支持使用域名进行动态寻址，支持使用域名进行隧道定义及协商，支持使用域名进行集中认证和管理；

4）支持虚拟DNS功能，网关可提供DNS服务，支持自定义内网服务器域名；

5）支持用户与手机号码、PC硬件特征码、手机硬件特征码、IP、MAC等硬件信息的绑定，支持自动审批和人工审批两种模式；支持自定义同一VPN账号可登录的终端设备数量;

★6）支持包括证书认证、口令认证、短信认证、指纹认证、硬件特征码绑定认证等多种认证方式；

7）支持通过WebCache技术对web页面进行数据优化，支持智能压缩技术，减少不必要的数据传输；

8）支持使用第三方认证，如RADIUS、TACACS/TACACS+、LDAP、域认证等；

9）支持GRE over IPSEC方式，支持组播穿越IPSec隧道；

10）支持网络隔离功能，用户登录SSL VPN后，只能访问授权资源，不能进行其他的网络访问，确保隧道数据安全。

2台

75000

150000

软件和信息技术服务业

6

EDR杀毒控制中心

1）支持管控EDR客户端数量≥2500点；

2）服务端安装支持环境：WindowsServer2008R2及以上、linux系统支持CentOS7.6及以上版本，采用Docker部署方式，能够快速恢复，横向扩展，可移植性强；

★3）控制中心支持全网/以分组、标签为单位/指定某些客户端定制操作，即时/定时实现客户端三种病毒查杀模式、显示通知、关机、重启、升级等操作，并对以上操作配置详情，客户端执行情况跟踪，实现控制中心对客户端的操作监控。支持对客户端上述操作的快速定制；

4）支持分组策略下发，可以针对不同的终端分组（部门）下发不同的策略，支持策略生效规则和生效时间条件设定，策略可以根据生效 规则下发到不同范围类型的终端上去，同时可针对多个策略设置的不同 的生效时间条件，确保策略在管理员指定的时间和条件范围内生效；

★5）支持控制中心访问控制，包含WEB访问控制定制超时时间、登录重试次数、IP锁定时长及解锁，IP访问控制指定具体IP可访问控制中心；

6）支持终端自动升级、平台即时、定时推送升级；且产品符合GB/T18336-2015标准。

7）可自定义管理端登录系统名称，定制客户企业logo、自定义登录公告信息和首页名称等；

8）支持定制磁盘管理规则，对审计日志、系统日志、终端日志、告警日志等即时或定期清理，实现磁盘瘦身。

★9）为满足国家对IPV6的改造需求，产品需支持RFC1981，2460，2474，3168，4191，4291，4443，4861，4862，5095等IPV6相关标准协议。

1套

36000

36000

软件和信息技术服务业

7

EDR客户端

1）50个Windows PC客户端防病毒功能授权，250个服务器授权，含3年升级许可。防病毒的病毒查杀支持多引擎的协同工作对病毒、木马、恶意软件、引导区病毒、BIOS病毒等进行查杀，提供主动防御系统防护等功能；

2）windows系统支持Windows server2008R2及以上版本；终端环境支持：windows客户端至少支持WindowsXP、Windows 7、Windows 8、Windows 10等32位/64位终端操作系统，支持Windows server 2003、Windows server2008、Windows server 2012、Windows server 2016、Windows server 2019等32位/64位服务器操作系统。linux客户端支持Red Hat Linux、Ubuntu Linux、SuSE Linux、CentOS、Debian；

3）支持即时/定时实现客户端病毒查杀，支持下发关机、重启、升级、病毒查杀、重新连接、漏洞扫描、漏洞修复、显示消息、分发设置等操作，并对以上操作配置详情，客户端执行情况跟踪，实现管理中心对客户端的任务状况监控；

4）支持基于虚拟沙盒的高效的本地反病毒引擎，实现极高的本地查杀能力；

5）支持文件分发：支持文件分发到单个终端、部门终端、全网终端的功能，并支持分发到终端桌面、下载目录；支持文件分发落地后立即执行，指定时间执行，带参数执行；支持设置终端接收文件后提示确认、不提示；

6）对系统关键位置进行防护，阻止无文本攻击、流氓、广告程序对系统的恶意篡改等行为。从系统文件保护、病毒免疫、进程保护、注册表保护、危险动作拦截、执行防护等多个维度对系统进行防护；

7）设置诱饵文件并实时监控，当勒索病毒对该文件进行加密操作时进行拦截；

★8）支持终端防卸载、防退出功能，管理员能够统一设置防卸载密码，防止终端用户随意脱离保护；

9）支持下载保护功能，在下载过程中对文件进行检测，发现恶意程序立即弹窗阻止，并记录安全日志。防止病毒通过网络传播；

★10）黑白名单添加方式：支持通过填写文件 MD5、SHA1 值上传；支 持通过导入文件的方式上传，适合黑白名单较多的情况；支持根据客户 端上报的扫描结果添加黑白名单。

300套

500

150000

软件和信息技术服务业

8

路由器

1）企业级路由器，提供至少1个千兆光电复用WAN口，8个千兆电LAN口；

2）支持路由、交换、无线、认证等多功能一体化设计；

3）支持IPv4和IPv6双栈；

4）支持PBR策略路由和OSPF、BGP等动态路由协议，支持链路浮动备份；

5）支持VRRP双机热备实用功能；

6）支持MPLS和组播等高级功能；

7）内置无线AC功能，支持下挂无线AP管理，支持无缝漫游；

8）支持CON、Telnet、SSH、SNMP和TR069等管理能力。

10台

1800

18000

软件和信息技术服务业

9

交换机

1）千兆电口≥24个，千兆光口≥4个；

2）交换容量≥336Gbps，包转发能力≥108Mpps；

3）支持802.1Q VLAN,支持QinQ；

4）支持802.3ad端口聚合每组最大8个、支持动态LACP或静态聚合；

5）支持IGMPv1/v2/v3、PIM-SM、PIM-DM，支持组播流量跨VLAN复制功能；

6）支持静态路由，rip/ospf动态路由；

7）支持802.1X/Radius认证，支持IP+MAC+端口绑定；

8）支持Console、Telnet、SSH、WEB。

10台

2300

23000

软件和信息技术服务业

10

全网行为管理

1）1U标准设备，≥8个千兆电口，≥2个千兆光口，单电源，适配带宽≥200M，适配用户数≥1400人，支持外联检测、进程检测、外设管理等准入功能，不限制准入用户授权，含三年系统版本、URL库及应用特征库升级许可，含3年软硬件质保；

2）支持路由模式，旁路模式、网桥模式、混合模式部署；切换部署模式无需重启，不影响设备正常使用；

★3）支持管理员通过Radius认证后才能登录设备；

4）系统能够支持多个Syslog等第三方日志服务器系统；

5）支持静态路由、gre、vlan透传、单臂路由；

6）支持DNS链路健康检查算法；支持ICMP链路健康检查算法；支持TCP链路健康检查算法；支持自定义的链路健康检查算法；

7）系统能够支持简体中文、繁体中文/英文操作界面；

8）支持基于ip的网管策略，防止恶意ip探测攻击设备，增加网关的安全性；

9）支持管理员通过Radius认证后才能登录设备；

★10）支持针对Windows PC端的补丁进行检测，必须安装指定高危漏洞的补丁方可入网，对于违规操作的用户可选择禁止上网，或者仅记录；

★11）支持与终端杀毒系统的协同防护，实现已安装了终端杀毒系统的终端才能入网，没有安装终端杀毒的不允许入网；

12）能够实时展现每个接口接收发送流量、字节数、包个数以及错误、丢弃、帧冲突个数；

13）支持移动终端发现后拒绝移动终端接入并支持启用事件告警。支持移动终端列表添加信任列表；

14）支持通过snmp服务读取下层三层设备的arp表象获取客户真实的mac地址；

15）支持违规网站、违规搜索、违规帖子、违规上传、违规邮件、还有潜在威胁的告警行为。

1台

80000

80000

软件和信息技术服务业

11

威胁探针

1）2U标准设备，≥6个千兆电口，≥4个千兆光口，冗余电源，为保证扩展性，扩展槽位≥5个，最大并发连接数≥150W，综合威胁检测能力≥3G，含：3年攻击检测规则库、3年应用识别库、3年地理信息库、3年僵尸主机规则库、3年威胁情报库、3年URL分类库，3年软硬件质保；

★2）支持攻击检测规则库、应用识别规则库、URL分类规则库、僵尸主机规则库、威胁情报库、地理信息库，各规则库相互独立；

3）支持设置CPU利用率、内存利用率、硬盘利用率、CPU温度、系统温度、并发连接数、新建连接数的监控阈值；

4）支持主备模式、负载均衡两种模式。支持配置心跳口、本端IP和对端IP，支持链路探测，支持手动/自动同步整机配置和策略配置；

5）支持独立的攻击检测引擎，支持9000种以上的攻击规则库；

★6）支持DDOS自学习模式检测，可设定学习时长，根据周期内流量状态自动学习，设置流量阈值。流量状态异常触发阈值，系统自动进行告警；

7）支持对恶意程序实现特征检测、机器学习检测、内置虚拟沙箱检测等多种检测方式，并且多种检测方式相互独立、互不影响；支持专业沙箱设备联动检测；

★8）支持通过威胁情报检测已知APT事件，通过恶意程序检测未知APT事件，通过僵尸行为规则库检测已知的APT组织；

9）支持对恶意文件还原捕获，可自定义捕获文件大小，支持对恶意文件、疑似恶意文件、无风险文件还原。支持详细记录被检测文件信息，包括文件哈希、文件类型、文件大小(字节) 、传播次数、威胁程度；

★10）本地嵌入独立的威胁情报库，不依赖其他设备或情报平台，即可独立的实现威胁情报检测能力；

11）支持全流量取证，将事件发生前后的流量一起留存，支持攻击取证、僵尸主机取证、恶意程序样本、威胁情报取证，取证类型支持报文取证和样本文件取证两种形式；

12）支持 B/S 管理模式，无需安装独立的控制台软件署。支持对设 备 WEB 页面、命令行方式配置管理，可直接从 web 中实现命令行方式管理；

13）采用僵尸主机与控制主机异常通信行为检测的方式，具有独立的僵尸主机特征库，能够对10000种以上僵尸主机行为进行监测，包括 僵尸网络行为、木马控制行为、蠕虫活动行为、挖矿行为、勒索软件行为、移动端木马控制行为、APT行为等多类型的僵尸主机行为；

14）支持自定义URL，支持手动添加和批量导入URL。支持URL白名单，支持手动添加和批量导入URL白名单。

1台

120000

120000

软件和信息技术服务业

12

※数据脱敏安全防护设备

1）硬件配置：CPU：≥32核，内存：≥64G, 硬盘：≥1T，网卡：千兆;

★2）系统架构：采用大数据平台SPARK技术，能够支持多节点部署，可在后期对计算节点进行水平动态扩展;

3）系统策略：需要支持以下策略：银行卡号、身份证、邮箱、警官证、手机号、座机号码、组织机构代码、对公账号、中文姓名、中文地址、公司名称、邮政编码、金额、日期、汉字脱敏、驾驶证、15位营业执照、开户许可证、税人识别码/税务登记证号、MAC地址、微信号、车牌号、车架号、港澳台通行证、护照、国际移动设备身份码、基金代码、证券代码、港澳台通行证、URL脱敏、基金名称、金融机构编码、CVV、Hash算法脱敏、关联计算、对称加密、非对称加密等;

★4）脱敏算法：支持包括多种算法（替换、随机、可逆和不可逆）。脱敏后的数据需语义保持、唯一性保持、关系一致性保持;

5）数据库脱敏：就地脱敏支持源数据库直接脱敏；同类型源数据库至目标库脱敏支持同种类型的两个数据库进行脱敏，数据库作为数据输入，另一个数据库作为数据输出；异构数据库脱敏支持不同类型的两个数据库进行脱敏，数据库作为数据输入，另一个数据库作为数据输出；自定义数据集支持用户自定义sql进行结果集发现及脱敏;

6）文件脱敏：数据库作为数据输入，数据文件作为数据输出，并可指定存放位置，该存放位置可以指定为数据源所在服务器之外的其他服务器；数据文件作为数据输入，数据库作为数据输出，支持对源文件进行读取、装载、识别、脱敏后，按照目标数据库的表结构进行数据装入；数据文件作为数据输入，数据库作为数据输出，支持对源文件进行读取、装载、识别、脱敏后，按照目标数据库的表结构进行数据装入;

★7）数据溯源：支持在脱敏过程中嵌入与数据交予方相关的信息，保障脱敏后的数据可以进行溯源追踪，防止被脱敏后数据二次转发和交易;

★8）脱敏性能：脱敏速度不低于每小时30GB，每秒脱敏不低于40000个数据单元，不低于15兆/秒。

1台

500000

500000

软件和信息技术服务业

预算金额

1,836,500.00元