迪庆藏族自治州国土资源局州级不动产登记信息管理平台（二期）建设采购项目补遗公告

序号

设备名称

规格说明

1

防火墙

1. 最少支持8*GE电口，2*combo口；采用 (略) 络专用架构，使用 * 位M (略) 理器，非X * 的多核架构或ASIC架构；
2. (略) 络吞吐量≥3Gbps；最大并发连接数≥ * 万，每秒新建HTTP连接数3万，IPSec VPN隧道数≥ * ，IPSec VPN性能≥ * M， (略) 络防火墙功能，入侵防御功能、防病毒功能、IPSEC VPN功能，攻击防护，访问控制功能，用户认证功能，链路负载均衡功能、流量控制功能等； * 年特征库升级。
3. 支持静态路由、策略路由、动态路由、ISP路由；策略路由支持 * 元组策略；动态路由支持RIP、OSPF等；ISP路由支持运营商地址自定义；
4. 支持接 (略) 络，支持配置基于用户和应用均为任意的7元组的IPv6策略，支持NAT * ，实际配置支持基于用户、应用、时间对象的流量管控和策略设置;
5. 支持portal服务器联动，支持radius服务器联动，支持短信认证，登录后 (略) ；支持同步LDAP用户，支持标准AD服务器和OPEN LDAP服务器的用户导入，支持针对同步的用户和用户组配置策略。
6. 支持本地日志记录和远程日志输出；支持专用的日志审计管理软件；
提供以下资质证书（复 (略) 鲜章）：
1) (略) 颁发的《计算机信息系统安全产品销售许可证》；
2) 提供中华人民共和 (略) 颁发的《计算机软件著作权登记证书》；
3) 提供中国国家信息安 (略) 颁发的《中国国家信息安全产品认证证书》；
4) 提 (略) 涉密信息系统安 (略) 颁发的《涉密信息系统产品检测证书》；
5) (略) 商针对该项目的 (略) 售后服务承诺函原件。

2

入侵防御

1. 最少支持8*GE电口，2*combo口；采用 (略) 络专用架构，使用 * 位M (略) 理器，非X * 的多核架构或ASIC架构；
2. (略) 络吞吐量≥ * Mbps；IPS吞吐量≥ * M；AV吞吐量≥ * M；最大并发连接数≥ * 万，每秒新建HTTP连接数≥2万；支持用户认证功能，链路负载均衡功能等； * 年特征库升级。
3. 支持基于源、目的、规则集的入侵检测；可记录攻击日志，支持针对Web服务器防护， (略) 页防爬虫、网页防篡改、HTTPS防护、DDoS攻击防护、Web攻击过滤、漏洞防护等。
4. 支持基于源、目的、规则集的入侵检测，支持针对Web服务器防护， (略) 页防爬虫、网页防篡改、HTTPS防护、DDoS攻击防护、Web攻击过滤、漏洞防护自学习等；系统定义超过 * 条主流攻击规则，包含Backdoor、bufferoverflow、dos/ddos、im、p2p、vulnerability、scan、webcgi、worm、game。
5. 支持接 (略) 络，支持配置基于用户和应用均为任意的7元组的IPv6策略，支持NAT * ，实际配置支持基于用户、应用、时间对象的流量管控和策略设置;
6. 支持portal服务器联动，支持radius服务器联动，支持短信认证，登录后 (略) ；支持同步LDAP用户，支持标准AD服务器和OPEN LDAP服务器的用户导入，支持针对同步的用户和用户组配置策略。
7. 支持本地日志记录和远程日志输出；支持专用的日志审计管理软件；
提供以下资质证书（复 (略) 鲜章）：
1) (略) 颁发的《计算机信息系统安全产品销售许可证》；
2) 提供中华人民共和 (略) 颁发的《计算机软件著作权登记证书》；
3) 提 (略) 涉密信息系统安 (略) 颁发的《涉密信息系统产品检测证书》；
4) 提供中国国家信息安 (略) 颁发的《中国国家信息安全产品认证证书》；
5) (略) 商针对该项目的 (略) 售后服务承诺函原件。

3

网络安全审计（数据库审计）

1. 网口类型: (略) 络环境下的监听能力，配备至少4个千兆业务电口；硬盘≥1T，内存≥8G，审计性能：能够稳定、流畅地同时支持2个数据库数审计能力，不会产生漏审；；
2. ★吞吐能力≥ * M；日处理业务操作数：≥0.5亿条；日志数量存储≥3亿条；
3. 支持Oracle、SQL-Server、DB2、Informix、Sybase、MySQL等 * 种主流数据库审计；支持PostgreSQL、Teradata、Cache、人大金仓、达梦、南 (略) 用等数据库审计；支持主流业务协议 HTTP、Telnet、FTP、SMTP、POP3、DCOM。
4. 支持数据库操作类、表、视图、索引、存储过程等 (略) 有SQL操作审计；支持对操作时间、SQL语句、执行结果、返回结果集、 (略) 数、执行时长、数据库用户名、实例名、源/目的IP、源/目的端口、源/目的MAC、客户端主机名、客户端程序名称、客户端操作系统用户名、业务主机群、SQL模板、会话ID、事件唯 * ID等至少2 (略) 审计；
5. 内置安全特征库规则不少于 * 条，支持对数 (略) 检查，如SQL注入，缓冲区溢出，数据库漏洞、弱口令等；
6. 内置审计规则库不少于 * 条。支持事件类型和策略分组，同时支持黑白名单方式策略；
7. 告警数量需支持最大告警数量限制，超过告警阈值之后便不告警；告警分析应支持根据S (略) 分析， (略) 理。
8. 支持按照源IP地址、客户端工具、帐号、告警数等源信息生成报表；支持Word、PDF、ppt等格式的报表导出。
提供以下资质证书（复 (略) 鲜章）：
1) (略) 颁发的《计算机信息系统安全专用产品销售许可证》，数据库安全审计国标-增强级；
2) 中国信 (略) 颁发的《中国国家信息安全产品认证证书-增强级》；
3) 原厂商针对该项目的 (略) 售后服务承诺函原件。

4

运维审计（堡垒机）

1. 网口： * M电口*6个，硬盘：1T，电源：单电源；
2. 可管理设备数≥ * 台，运维用户数无限制，图形并发≥ * 个、字符并发≥ * 个；
3. 堡垒机内嵌动态令牌和usbkey认证引擎，且认证引擎须具备 (略) 家授权和资质；支持基于不同的用户设置不同的双因子认证模式，如user1用动态令牌、user2用USBkey、user3手机APP动态口令认证；
4. 支持常用的运维协议：SSH、TELNET、RDP、VNC、FTP、SFTP；可通过应用发 (略) 协议扩展，如数据库Oracle/MSSQL/MySQL/DB2等运维客户端工具、VMware vSphere Client/AS * 等远程管理工具；
5. (略) 署模式，中心采用HA，节点可以横向扩展，实现统 * 登录入口和配置同步，以满足业务增长需求。
6. 支持定期自动修改windows服务器、网络设备、linux/unix等目标设备密码功能；支持完善的自动改密策略，包括改密前发送密码、发送失败不改密、改密后发送密码、密码文件加密、密码强度控制、自动密码恢复等。发送方式包括邮件、FTP、SFTP等；
7. 支持对运维操作会话的在线监控、实时阻断、日志回放、起止时间、来源用户、来源IP、目标设备、协议/应用类型、命令记录、操作内容（如对文件的上传、下载、删除、修改等操作等） (略) 为日志；
8. 内置根据运维人员和组生成各种维度的分析报表，维度包含总为运维次数、时长、活动时长、会话起止时间、会话大小、命令数、上传下载文件数， (略) 及平均值、最大值、最小值、单次运维、单个会话等角度提供非常有价值有意义的报表；
提供以下资质证书（复 (略) 鲜章）：
1) (略) 颁发的《计算机信息系统安全专用产品销售许可证》；
2) 中国信 (略) 颁发的《IT产品信息安全认证证书》；
3) 原厂商针对该项目的 (略) 售后服务承诺函原件。

5

日志审计

1. 标准机架式设备，4个工作口，1个console口，内存≥4GB，磁盘：1T*1，配备双电源；
2. 支持审计 * 个日志源； (略) 理能力（每秒日志解析能力EPS）：≥ * EPS； (略) 理能力（每秒日志解析能力EPS）：≥ * EPS；
3. 支持Syslog、SNMP Trap、OPSec、FTP协议日志收集，支持使用代理(Agent)方式提取日志并收集；支持 (略) 络安全设备、交换设备、路由设备、操作系统、应用系统等；
4. 支持基于内存的实时关联分析，跨设备的多事件关联分析；支持自定义条 (略) 聚合；进行关联分析的规则可定制；支持根据资产价值、资产漏洞、针对漏洞的威胁 (略) 威胁的自动关联分析（ * 维关联），所有的 * 维关联算法和准则以CVE、Bugtraq、OWASP公开协议和标准为为基础；
5. (略) 细粒度解析，解析后的日志根据具体日志包含但不限于：日期、发生时间、接收时间、设备类型、日志类型、日志来源、威胁值、源地址、目的地址、事件类型、时间范围、操作主体、操作对象、行为方式、技术动作、技术效果、攻击类型、特征类型、协议、地理信息（公网情况）；
6. 支持如下性能监控参数：
支持监控Apache如下参数：总访问数、写日志次数、每秒发送字节数、长连接数、关闭连接数、空闲活动数、查询DNS数、正在发送数、请求完成数、负载、等待连接数、总数据量、读操作数、工作线程数、空闲线程数、CPU占用率；
支持监控应用服务器（tomcat、weblogic）如下参数：活动线程数、堆内存（已用）、守护线程数。
7. 内置 * 0+条CVE漏洞数据知识库，内置数十项符合OWASP的Web漏洞数据知识库；
8. 数据报表支持数据趋势预测功能，根据历史规律数据对未来数据的 (略) 预测，报表支持详单数据钻取，支持报表导出为PDF和Word格式文件；
提供以下资质证书（复 (略) 鲜章）：
1) (略) 颁发的《计算机信息系统安全产品销售许可证》；
2) 中国信 (略) 颁发的《IT产品信息安全认证证书》；
3) 原厂商针对该项目的 (略) 售后服务承诺函原件。

6

APT
（安全态势感知平台）

(1)网口类型:标配4千兆电业务口
(2)网络吞吐率≥ * M，应用吞吐率≥ * M ，邮件检测≥ * 万封/ * 小时；文件检测≥0.9万个/ * 小时；
(3)旁 (略) 署，不 (略) (略) 络架构；
(4)支持检测WEB攻击、异常访问、恶意文件攻击、C&C IP/URL、WEB后门访问、发件人欺骗、邮件头欺骗、邮件钓鱼欺骗、邮件恶意链接、DGA域名请求、SMB远程溢出攻击、 (略) 为分析等风险；
(5)可通过攻击源、攻击目的对 (略) 统计， (略) 为、告警，并以直观的图形化形式展示；
(6)支持基于webmail攻击类型检测，包括sql注入、跨站、命令注入等攻击检测；
(7)支持doc, xls, ppt, swf, pdf, java, rar, zip, rar, exe, vbs, scr, html，js等多种文件解析；
(8)告警可详细展示风险级别、发生时间、告警名称、客户端IP、服务器IP、报文内容，报表能够支持WORD、PDF等格式导出；
(9)产品资质证书：该设备 (略) 颁发的《计算机信息系统安全产品销售许可证》；中国信 (略) 颁发的《中国国家信息安全产品认证证书-增强级》；产品相关证 (略) 鲜章；
( * )授权及服务要求：投标 (略) 商针对该项目的 (略) * 年售后服务承诺函（原件的扫描件）。

* 、安全系统平台建设

1

漏洞监测预警平台

1.支持在线资产监控；
2.支持资产的模糊检索以及根据资产IP、资产名称、端口、服务、操作系统、设备类型、厂商、组件、设备地区、管理组、 (略) 高级检索；
3.支持将资产的扫描结果导出；
4.支持资产的分标签管理；
6. (略) 通用端口扫描；
7.系统能 (略) 使用的操作系统，包含Windows、Linux、Unix等；
8.系统具有资产、漏洞等信息的控制台，展示信息包括资产总量、新增资产、开放端口数、风险资产数、资产地区分布、端口分布、操作系统分布、公司地区分布等。
9.能够识 (略) 商的安全设备、网络设备、主机、操作系统、数据库、中间件的安全威胁，将收集来的事件统 * 分析、告警、存储和备份。

序号

设备名称

规格说明

数量

1

防火墙

1. 最少支持8*GE电口，2*combo口；采用 (略) 络专用架构，使用 * 位M (略) 理器，非X * 的多核架构或ASIC架构；
2. (略) 络吞吐量≥3Gbps；最大并发连接数≥ * 万，每秒新建HTTP连接数3万，IPSec VPN隧道数≥ * ，IPSec VPN性能≥ * M， (略) 络防火墙功能，入侵防御功能、防病毒功能、IPSEC VPN功能，攻击防护，访问控制功能，用户认证功能，链路负载均衡功能、流量控制功能等； * 年特征库升级。
3. 支持静态路由、策略路由、动态路由、ISP路由；策略路由支持 * 元组策略；动态路由支持RIP、OSPF等；ISP路由支持运营商地址自定义；
4. 支持接 (略) 络，支持配置基于用户和应用均为任意的7元组的IPv6策略，支持NAT * ，实际配置支持基于用户、应用、时间对象的流量管控和策略设置;
5. 支持portal服务器联动，支持radius服务器联动，支持短信认证，登录后 (略) ；支持同步LDAP用户，支持标准AD服务器和OPEN LDAP服务器的用户导入，支持针对同步的用户和用户组配置策略。
6. 支持本地日志记录和远程日志输出；支持专用的日志审计管理软件；
提供以下资质证书（复 (略) 鲜章）：
1) (略) 颁发的《计算机信息系统安全产品销售许可证》；
2) 提供中华人民共和 (略) 颁发的《计算机软件著作权登记证书》；
3) 提供中国国家信息安 (略) 颁发的《中国国家信息安全产品认证证书》；
4) 提 (略) 涉密信息系统安 (略) 颁发的《涉密信息系统产品检测证书》；
5) (略) 商针对该项目的 (略) 售后服务承诺函原件。

1

2

入侵防御

1. 最少支持8*GE电口，2*combo口；采用 (略) 络专用架构，使用 * 位M (略) 理器，非X * 的多核架构或ASIC架构；
2. (略) 络吞吐量≥ * Mbps；IPS吞吐量≥ * M；AV吞吐量≥ * M；最大并发连接数≥ * 万，每秒新建HTTP连接数≥2万；支持用户认证功能，链路负载均衡功能等； * 年特征库升级。
3. 支持基于源、目的、规则集的入侵检测；可记录攻击日志，支持针对Web服务器防护， (略) 页防爬虫、网页防篡改、HTTPS防护、DDoS攻击防护、Web攻击过滤、漏洞防护等。
4. 支持基于源、目的、规则集的入侵检测，支持针对Web服务器防护， (略) 页防爬虫、网页防篡改、HTTPS防护、DDoS攻击防护、Web攻击过滤、漏洞防护自学习等；系统定义超过 * 条主流攻击规则，包含Backdoor、bufferoverflow、dos/ddos、im、p2p、vulnerability、scan、webcgi、worm、game。
5. 支持接 (略) 络，支持配置基于用户和应用均为任意的7元组的IPv6策略，支持NAT * ，实际配置支持基于用户、应用、时间对象的流量管控和策略设置;
6. 支持portal服务器联动，支持radius服务器联动，支持短信认证，登录后 (略) ；支持同步LDAP用户，支持标准AD服务器和OPEN LDAP服务器的用户导入，支持针对同步的用户和用户组配置策略。
7. 支持本地日志记录和远程日志输出；支持专用的日志审计管理软件；
提供以下资质证书（复 (略) 鲜章）：
1) (略) 颁发的《计算机信息系统安全产品销售许可证》；
2) 提供中华人民共和 (略) 颁发的《计算机软件著作权登记证书》；
3) 提 (略) 涉密信息系统安 (略) 颁发的《涉密信息系统产品检测证书》；
4) 提供中国国家信息安 (略) 颁发的《中国国家信息安全产品认证证书》；
5) (略) 商针对该项目的 (略) 售后服务承诺函原件。

1

3

网络安全审计（数据库审计）

1. 网口类型: (略) 络环境下的监听能力，配备至少4个千兆业务电口；硬盘≥1T，内存≥8G，审计性能：能够稳定、流畅地同时支持2个数据库数审计能力，不会产生漏审；；
2. ★吞吐能力≥ * M；日处理业务操作数：≥0.5亿条；日志数量存储≥3亿条；
3. 支持Oracle、SQL-Server、DB2、Informix、Sybase、MySQL等 * 种主流数据库审计；支持PostgreSQL、Teradata、Cache、人大金仓、达梦、南 (略) 用等数据库审计；支持主流业务协议 HTTP、Telnet、FTP、SMTP、POP3、DCOM。
4. 支持数据库操作类、表、视图、索引、存储过程等 (略) 有SQL操作审计；支持对操作时间、SQL语句、执行结果、返回结果集、 (略) 数、执行时长、数据库用户名、实例名、源/目的IP、源/目的端口、源/目的MAC、客户端主机名、客户端程序名称、客户端操作系统用户名、业务主机群、SQL模板、会话ID、事件唯 * ID等至少2 (略) 审计；
5. 内置安全特征库规则不少于 * 条，支持对数 (略) 检查，如SQL注入，缓冲区溢出，数据库漏洞、弱口令等；
6. 内置审计规则库不少于 * 条。支持事件类型和策略分组，同时支持黑白名单方式策略；
7. 告警数量需支持最大告警数量限制，超过告警阈值之后便不告警；告警分析应支持根据S (略) 分析， (略) 理。
8. 支持按照源IP地址、客户端工具、帐号、告警数等源信息生成报表；支持Word、PDF、ppt等格式的报表导出。
提供以下资质证书（复 (略) 鲜章）：
1) (略) 颁发的《计算机信息系统安全专用产品销售许可证》，数据库安全审计国标-增强级；
2) 中国信 (略) 颁发的《中国国家信息安全产品认证证书-增强级》；
3) 原厂商针对该项目的 (略) 售后服务承诺函原件。

1

4

运维审计（堡垒机）

1. 网口： * M电口*6个，硬盘：1T，电源：单电源；
2. 可管理设备数≥ * 台，运维用户数无限制，图形并发≥ * 个、字符并发≥ * 个；
3. 堡垒机内嵌动态令牌和usbkey认证引擎，且认证引擎须具备 (略) 家授权和资质；支持基于不同的用户设置不同的双因子认证模式，如user1用动态令牌、user2用USBkey、user3手机APP动态口令认证；
4. 支持常用的运维协议：SSH、TELNET、RDP、VNC、FTP、SFTP；可通过应用发 (略) 协议扩展，如数据库Oracle/MSSQL/MySQL/DB2等运维客户端工具、VMware vSphere Client/AS * 等远程管理工具；
5. (略) 署模式，中心采用HA，节点可以横向扩展，实现统 * 登录入口和配置同步，以满足业务增长需求。
6. 支持定期自动修改windows服务器、网络设备、linux/unix等目标设备密码功能；支持完善的自动改密策略，包括改密前发送密码、发送失败不改密、改密后发送密码、密码文件加密、密码强度控制、自动密码恢复等。发送方式包括邮件、FTP、SFTP等；
7. 支持对运维操作会话的在线监控、实时阻断、日志回放、起止时间、来源用户、来源IP、目标设备、协议/应用类型、命令记录、操作内容（如对文件的上传、下载、删除、修改等操作等） (略) 为日志；
8. 内置根据运维人员和组生成各种维度的分析报表，维度包含总为运维次数、时长、活动时长、会话起止时间、会话大小、命令数、上传下载文件数， (略) 及平均值、最大值、最小值、单次运维、单个会话等角度提供非常有价值有意义的报表；
提供以下资质证书（复 (略) 鲜章）：
1) (略) 颁发的《计算机信息系统安全专用产品销售许可证》；
2) 中国信 (略) 颁发的《IT产品信息安全认证证书》；
3) 原厂商针对该项目的 (略) 售后服务承诺函原件。

1

5

日志审计

1. 标准机架式设备，4个工作口，1个console口，内存≥4GB，磁盘：1T*1，配备双电源；
2. 支持审计 * 个日志源； (略) 理能力（每秒日志解析能力EPS）：≥ * EPS； (略) 理能力（每秒日志解析能力EPS）：≥ * EPS；
3. 支持Syslog、SNMP Trap、OPSec、FTP协议日志收集，支持使用代理(Agent)方式提取日志并收集；支持 (略) 络安全设备、交换设备、路由设备、操作系统、应用系统等；
4. 支持基于内存的实时关联分析，跨设备的多事件关联分析；支持自定义条 (略) 聚合；进行关联分析的规则可定制；支持根据资产价值、资产漏洞、针对漏洞的威胁 (略) 威胁的自动关联分析（ * 维关联），所有的 * 维关联算法和准则以CVE、Bugtraq、OWASP公开协议和标准为为基础；
5. (略) 细粒度解析，解析后的日志根据具体日志包含但不限于：日期、发生时间、接收时间、设备类型、日志类型、日志来源、威胁值、源地址、目的地址、事件类型、时间范围、操作主体、操作对象、行为方式、技术动作、技术效果、攻击类型、特征类型、协议、地理信息（公网情况）；
6. 支持如下性能监控参数：
支持监控Apache如下参数：总访问数、写日志次数、每秒发送字节数、长连接数、关闭连接数、空闲活动数、查询DNS数、正在发送数、请求完成数、负载、等待连接数、总数据量、读操作数、工作线程数、空闲线程数、CPU占用率；
支持监控应用服务器（tomcat、weblogic）如下参数：活动线程数、堆内存（已用）、守护线程数。
7. 内置 * 0+条CVE漏洞数据知识库，内置数十项符合OWASP的Web漏洞数据知识库；
8. 数据报表支持数据趋势预测功能，根据历史规律数据对未来数据的 (略) 预测，报表支持详单数据钻取，支持报表导出为PDF和Word格式文件；
提供以下资质证书（复 (略) 鲜章）：
1) (略) 颁发的《计算机信息系统安全产品销售许可证》；
2) 中国信 (略) 颁发的《IT产品信息安全认证证书》；
3) 原厂商针对该项目的 (略) 售后服务承诺函原件。

1

6

APT
（安全态势感知平台）

(1)网口类型:标配4千兆电业务口
(2)网络吞吐率≥ * M，应用吞吐率≥ * M ，邮件检测≥ * 万封/ * 小时；文件检测≥0.9万个/ * 小时；
(3)旁 (略) 署，不 (略) (略) 络架构；
(4)支持检测WEB攻击、异常访问、恶意文件攻击、C&C IP/URL、WEB后门访问、发件人欺骗、邮件头欺骗、邮件钓鱼欺骗、邮件恶意链接、DGA域名请求、SMB远程溢出攻击、 (略) 为分析等风险；
(5)可通过攻击源、攻击目的对 (略) 统计， (略) 为、告警，并以直观的图形化形式展示；
(6)支持基于webmail攻击类型检测，包括sql注入、跨站、命令注入等攻击检测；
(7)支持doc, xls, ppt, swf, pdf, java, rar, zip, rar, exe, vbs, scr, html，js等多种文件解析；
(8)告警可详细展示风险级别、发生时间、告警名称、客户端IP、服务器IP、报文内容，报表能够支持WORD、PDF等格式导出；
(9)产品资质证书：该设备 (略) 颁发的《计算机信息系统安全产品销售许可证》；中国信 (略) 颁发的《中国国家信息安全产品认证证书-增强级》；产品相关证 (略) 鲜章；
( * )授权及服务要求：投标 (略) 商针对该项目的 (略) * 年售后服务承诺函（原件的扫描件）。

1

* 、安全系统平台建设

1

漏洞监测预警平台

1.支持在线资产监控；
2.支持资产的模糊检索以及根据资产IP、资产名称、端口、服务、操作系统、设备类型、厂商、组件、设备地区、管理组、 (略) 高级检索；
3.支持将资产的扫描结果导出；
4.支持资产的分标签管理；
6. (略) 通用端口扫描；
7.系统能 (略) 使用的操作系统，包含Windows、Linux、Unix等；
8.系统具有资产、漏洞等信息的控制台，展示信息包括资产总量、新增资产、开放端口数、风险资产数、资产地区分布、端口分布、操作系统分布、公司地区分布等。
9.能够识 (略) 商的安全设备、网络设备、主机、操作系统、数据库、中间件的安全威胁，将收集来的事件统 * 分析、告警、存储和备份。

1