序号

产品名称

技术参数与性能指标

1

内网出口防火墙

1.1U机架式设备,网络处理能力≥20Gbps,1个console接口、≥2个USB接口、≥24个千兆电口，≥2个千兆SFP接口、≥2个万兆SFP接口,≥4T高速存储，最大并发连接数≥800万，每秒新建连接数≥40万/秒，提供至少3年IPS规则库升级，3年AV规则库升级，3年应用特征升级，3年URL库升级，3年资产防护升级，3年威胁情报升级服务。支持漏洞防护功能，同时将漏洞防护特征库分类，至少包括缓冲区溢出、跨站脚本（XSS）、拒绝服务、恶意扫描、SQL注入、WEB攻击、暴力破解等；漏洞防护支持日志、阻断、放行、重置等执行操作。支持路由、透明及混合部署模式。支持具备状态检测，动态开放端口，IP/MAC地址绑定、带宽管理、连接数控制、会话管理等网络层控制功能。配置SD-WAN模块。
2.支持路由、透明及混合部署模式；
3.可基于IP地址、网段、用户、时间、VLAN、协议类型等条件设定入侵防御模块的检测事件。一条策略可同时引用攻击防护、病毒防护、入侵防护、web防护、威胁情报、口令防护等安全防护模板；
4.支持基于硬件Hypervisor技术的底层虚拟化，各个虚拟防火墙之间完全隔离，可运行不同的防火墙版本，拥有完全独立的CPU、内存、接口等资源；
5.支持策略预编译技术，在大量防火墙访问控制策略情况下整机性能不受影响；
6.支持基于接口/安全域、地址、用户、服务、应用和时间的会话控制策略，包括总连接数控制、每秒总新建连接数控制、每IP总连接数控制、每IP新建连接数控制；
7.支持对经过设备访问的域名以及目的ip进行威胁情报查询，如果查询威胁访问，支持告警、阻断动作。支持根据情报的威胁值、信誉值、威胁类型等进行处置判定；
8.具备状态检测、动态开放端口、IP/MAC地址绑定、带宽管理、连接数控制、会话管理等网络层控制功能，具备拒绝服务攻击防护功能，具备安全审计、统计功能，具备身份标识与鉴别、管理能力、管理审计、管理方式、安全支撑系统等自身安全功能；
9.支持资产行为画像，通过资产的连接关系、应用、应用流量、应用并发连接等的图形化展示；
10.支持对常见应用（如HTTP、Telnet、FTP、SMTP、POP3等）进行弱口令检查，并上报安全事件；
11.支持对口令频繁暴力破解的检测。检测到暴力破解后可选择告警、精准阻断、阻断源ip等动作；
12.支持HTTP的异常检测，包括版本、方法、头域字段、传输文件等的合规性检查；
13.支持SSL加密流量的全面安全防护，对通过设备的SSL流量进行解密，并综合运用IPS、防病毒安全防护避免加密流量攻击，支持代理模式和透明模式两种组网；并支持客户端模式（由内向外）和服务器模式（从外到内）两种模式；
14.威胁情报来源支持离线库和云查两种，本地离线库规模为50W条，本地查询未命中将通过云查方式继续查询。离线库支持定期自动更新；
15.支持交换机联动，通过交换机获取下游资产mac地址列表；
16.支持通过主动及被动探测方式，识别终端类型（至少包括：PC、网络打印机、网络摄像机、网络设备、防火墙、负载均衡等），支持多种资产异常告警选项包括MAC地址、操作系统、厂商、类别、指纹等；
17. 支 持基于接口/安全域、地址、用户、服务、应用和时间的防火墙访问控制策略。
18.支持对文件感染型病毒、蠕虫病毒、脚本病毒、宏病毒、木马、恶意软件等过滤，病毒库数量不少于200万；
19.支持交换机联动，通过交换机获取下游资产mac地址列表 ；
20.具备利用应用层网关 (ALG)协议对网络中TCP、UDP协议进行检测，保护服务器和应用数据信息不被泄露的能力 。

2

边界防火墙

1.1U机架式设备, 网络处理能力≥20Gbps, ≥1个console接口、≥2个USB接口、≥8个千兆电口，≥4个千兆SFP接口，硬盘≥1T SSD，最大并发连接数≥600万，每秒新建连接数≥60万/秒，提供至少3年IPS规则库升级，3年AV规则库升级，3年应用特征升级，3年URL库升级，3年资产防护升级，3年威胁情报升级服务。支持具备状态检测，动态开放端口，IP/MAC地址绑定、带宽管理、连接数控制、会话管理、WAF、SD-WAN、威胁情报等功能。
2.支持路由、透明及混合部署模式；
3.支持策略预编译技术，在大量防火墙访问控制策略情况下整机性能不受影响；
4.支持基于接口/安全域、地址、用户、服务、应用和时间的会话控制策略，包括总连接数控制、每秒总新建连接数控制、每IP总连接数控制、每IP新建连接数控制；
5.支持对文件感染型病毒、蠕虫病毒、脚本病毒、宏病毒、木马、恶意软件等过滤，病毒库数量不少于200万；
6.支持SSL加密流量的全面安全防护，对通过设备的SSL流量进行解密，并综合运用IPS、防病毒安全防护避免加密流量攻击，支持代理模式和透明模式两种组网；并支持客户端模式（由内向外）和服务器模式（从外到内）两种模式；
7.支持HTTP的异常检测，包括版本、方法、头域字段、传输文件等的合规性检查；
8.支持对文件感染型病毒、蠕虫病毒、脚本病毒、宏病毒、木马、恶意软件等过滤，病毒库数量不少于200万。
9.支持对常见应用（如HTTP、Telnet、FTP、SMTP、POP3等）进行弱口令检查，并上报安全事件；
10.支持对口令频繁暴力破解的检测。检测到暴力破解后可选择告警、精准阻断、阻断源ip等动作；
11.支持HTTP的异常检测，包括版本、方法、头域字段、传输文件等的合规性检查；
12.支持通过主动及被动探测方式，识别终端类型（至少包括：PC、网络打印机、网络摄像机、网络设备、防火墙、负载均衡等），支持多种资产异常告警选项包括MAC地址、操作系统、厂商、类别、指纹等；
13.支持对经过设备访问的域名以及目的ip进行威胁情报查询，如果查询威胁访问，支持告警、阻断动作。支持根据情报的威胁值、信誉值、威胁类型等进行处置判定；
14.支持DNS透明代理功能，可将指定范围内的DNS请求自动重定向至管理员指定的DNS服务器，且支持多台DNS服务器的负载均衡。负载均衡算法至少包括轮询、加权轮询、优先级；
15.支持静态路由、动态路由（RIP、OSPF、OSPFv3、BGP4）；
16.支持链路复制技术，针对核心业务如“视频”，提供多路复制，单路收发功能，在多条链路间实现业务无缝切换；
17.支持HTTP压缩功能，采用工业标准的GZIP或Deflate算法来压缩HTTP数据，从而减少传输数据量并降低带宽消耗，缩短客户端访问的下载等待时间；
18.接口/安全域、地址、用户、服务、应用和时间的会话控制策略，包括总连接数控制、每秒总新建连接数控制、每IP总连接数控制、每IP新建连接数控制；
19.支持双路HA物理心跳线，确保HA运行稳定可靠 ；
20.支持HA设备之间的配置自动同步，确保用户只需在一台设备进行业务配置 ；

3

服务器区入侵检测防御系统（阻断探针）

1. 设备为标准机架式设备,1个console接口、≥2个USB接口、≥2个千兆电口，≥6个万兆SFP+接口 (至少 带两组bypass ) ， ≥3个扩展插槽，冗余电源，整机吞吐≥30Gbps，IPS吞吐≥10Gbps，每秒新建连接数≥60万，并发连接数≥900万，提供至少3年的升级服务。
2.至少支持串联、旁路部署，与态势感知系统具备联防联控能力，具备策略下发与阻断能力，提供高品质特征库，能够精确识别各种已知攻击，不断完善升级入侵防护特征库，至少包含入侵检测防护，内容安全防护，DDoS攻击防护，病毒防护，弱口令防护，邮件安全防护。
3 .支持自定义Dos检测级别，并内置多种检测模板，供灵活选用；

4.支持基于802.1q协议的Trunk封装，支持链路聚合功能，可将多条物理链路聚合成一条带宽更高的逻辑链路使用；
5.支持检测漏洞后门类攻击，包括漏洞利用、后门攻击、文件包含、缓冲溢出、目录遍历等；
6.支持检测Web攻击类攻击，包括注入攻击、跨站脚本、Webshell等；
7.支持弱口令防护功能，针对HTTP、FTP、SMTP、IMAP、POP3等协议，提供弱口令字典匹配、口令强度检测等检测方法；
8.具备默认入侵事件库，支持事件库升级和自定义攻击事件，并具备BYPASS功能、负载均衡和流量控制等功能。
9.支持HTTP、SMTP、DNS、FTP等协议的内容安全防护检测；
10.支持邮件炸弹检测功能，并能够自定义邮件炸弹阈值、发送频率、连接数、邮件尺寸、收件人数等参数；
11.支持在入侵防护日志中，展示cve漏洞相关描述、影响范围、处置建议等信息；
12.病毒检测支持检测的文件类型包括可执行文件、PDF文件、文档文件、压缩文件、脚本、APP文件、库文件、JAVA文件、系统文件、多媒体文件、配置文件等；
13.支持检测WEB攻击事件，包括：命令执行、蠕虫病毒、木马后门、目录遍历、缓存溢出、跨站攻击、SQL注入、DoS攻击、安全绕过、请求访问、信息泄漏、漏洞扫描等类型攻击；
14.支持手工备份和自动备份功能，可按每天、每周、每月自定义备份周期，并支持自动清除历史备份数据，保障数据和配置安全性；
15.超过2000种预定义设备指纹，可手工升级，支持自定义指纹添加，并支持根据实时扫描结果一键生成自定义指纹；
16.支持并开通基于线路和多层通道嵌套的带宽管理和流量控制功能，提供至少四层管道嵌套的流控；
17.支持HA设备之间的会话自动同步，包括主主模式和主备模式，确保HA切换时业务不发生任何中断；
18.支持基于Web的在线运维工具，包括Webshell、Ping、tcpdump、traceroute等；
19.支持一键诊断工具，一键完成系统信息收集；
20.具备蜜罐功能，并且具备通过检测蜜罐服务状态的合理性提升蜜罐识别网络攻击的能力 。

4

API安全防护系统

1. 板载≥2个100/1000M电口，≥2个万兆接口；≥4个扩展槽；内存≥64G；提供≥4T机械硬盘+4T固态硬盘；冗余双电源，网络层处理能力≥10Gbps； 应用层处理能力≥5Gbps； 请求处理能力≥15,000QPS；
2.支持透明代理、反向代理和旁路镜像多种部署方式，有效分析识别与防护数据资产流量；
3.支持自定义源IP 获取防护，可配置从Cdn-Src-IP、X-Forwarded-For、X-Real-IP、三层头中获取源 IP；
4.能够导入证书对TLSv1.0、TLSv1.1、TLSv1.2协议加密流量进行检测，可支持导入普通证书和国密证书；
5.支持配置域名资产识别数量、API资产识别数量;
6.支持将学习到的数据资产汇总展示为域名资产列表、数据资产列表、服务端资产列表、分组资产列表；且每个维度均支持资产导出；
7 .支持从服务端IP、端口维度，对域名资产进行分类展示，通过树状图清晰展现域名资产与服务端的对应关系，便于用户快速掌握资产分布；
8 .支持自动识别相似URL资产，人工确认合并规则进行资产降噪；
9 .支持针对涉敏数据出境站点top10、涉敏数据分布进行统计分析;支持针对出境位置信息分布下钻统计，下钻内容包括不限于:源地域-攻击源IP-资产URL-攻击类型等；
1 0 .支持完整导出隐私信息泄露详情列表；
1 1 .内置API未鉴权高频访问风险模型，识别未鉴权API数据爬取风险，支持风险模型参数自定义配置；
1 2 .支持实时展示风险告警信息，识别 API资产风险关联项并给予处置建议;支持汇总统计不同风险告警数量；
1 3 .能够导入证书对TLSv1.0、TLSv1.1、TLSv1.2协议加密流量进行检测，可支持导入普通证书和国密证书；
1 4 .能够对API资产数量统计并分类，包括全部API、已知API、登录API、涉敏API、僵尸API；
1 5 .支持自定义僵尸资产时间进行识别匹配；
1 6 .支持自定义新上线资产时间进行识别匹配；
1 7 .支持自动识别相似URL资产，人工确认合并规则进行资产降噪；

1 8 .API安全防护系统支持在旁路镜像模式下，可设置多组阻断口，对检测到的攻击进行旁路阻断，并可指定对端设备MAC地址；

19 . API安全防护系统 支持API资产学习，能够学习标准API、后台管理类API、下载类API等API类型，API资产识别数量不少于30万；针对不同的API类型，支持提供独立的启用/禁用开关;

2 0 . API安全防护系统支持自定义API识别策略，提升API学习全面性,自定义内容包括但不限于响应码、URL 长度URL后缀、响应类型、响应大小、URL深度、URL关键字、请求头、响应头、响应编码、传输编码、来源路径、用户代理、请求方法、域名等任意组合条件;

2 1 . API安全防护系统支持识别 API请求数据，自动进行标签化管理，标签至少包含登录认证、数据查询、验证码,僵尸、body 传参等不少于24个标签;支持通过人工标记、字符串匹配、正则匹配多种方式自定义添加标签;支持修改或恢复默认标签的匹配逻辑；

2 2 . API安全防护系统支持从分组维度，对域名资产进行逻辑归类与层次化展示，通过树状图直观呈现分组下的域名资产详情;提供便捷的批量分组功能，允许用户根据特定条件快速将多个域名资产分配到指定分组；

2 3 . API安全防护系统支持通过全局配置、人工分析多种手段，自动识别相似域名资产，生成合并规则进行资产降噪；

24 . API安全防护系统支持通过可视化交互的形式展示涉敏数据量的流转过程，以涉敏数据量作为唯一关联项，对域名/API资产、敏感数据、攻击源三个不同的维度进行关联分析；

5

态势感知系统

1.设备为标准机架式设备,≥6个USB接口、≥4个千兆电口，≥2个万兆SFP接口,≥3个扩展插槽，冗余电源，≥128G内存，≥2*6TB数据存储硬盘，≥2*960G SSD 系统硬盘，提供至少3年的升级服务。系统集感知、分析、研判、预测和处置于一体，支持主流安全设备、网络设备的数据采集与解析能力，支持资产画像分析，攻击源画像分析，支持通过邮件 方式 进行外发告警，支持系统平台内告警提示。支持攻击源检索，支持时间范围检索，对攻击源进行可视化画像，支持以时间轴的形式进行攻击源历史轨迹溯源，支持攻击特征、攻击对象、攻击趋势等统计。支持态势统计日报、攻击事件日报、隐患事件日报定时邮件外发。
2.支持添加自定义统计图表，支持图表样式、统计数量、统计周期、图表主题颜色自定义，支持自定义图表预览；
3.支持通报预警流程的建立、流转、审批、处置和闭环管理。
4.提供漏洞知识库并预置 CVE、CNNVD 漏洞知识，漏洞知识库支持根据风险级别、漏洞名称、CVE 编号、CNNVD 编号进行快速查询搜索，支持漏洞知识库定期升级；
5.支持70+种主流安全设备、网络设备的数据采集与解析能力（内置），支持针对性定制开发；
6.支持添加自定义统计图表，支持图表样式、统计数量、统计周期、图表主题颜色自定义，支持自定义图表预览；
7.支持预警处理和事件处置 相关 流程类型及紧急程度的设定，同时可指定责任人和监督人，并对流程处置时效进行管理；
8.提供可视化入侵态势感知大屏，包括入侵事件实时播报、内网威胁态势、外网攻击态势、通报处置状态、事件进度等、同时支持详情下钻分析，并支持通过大屏一键下发处置工单、误报删除和白名单等快捷动作；
9.支持事件历史攻击轨迹分析，支持根据攻击链对原始事件进行阶段归并，结合目标的风险等级形成关联分析，帮助用户快速作出处置判断；
10.系统支持根据事件日志自动绘制攻击关系图谱，帮助分析资产与攻击源之间的威胁关系；
11.系统支持事件安全告警，支持精确匹配及模糊匹配，支持通过邮件、微信进行外发告警，支持系统平台内告警提示；
12.系统支持手工录入资产记录或基于指定模板的批量资产导入，并支持通过事件日志自动发现资产，自动发现的资产能自动识别IP地址、端口等必要属性；
13.系统支持态势统计报告、攻击事件统计报告、隐患事件统计报告，以WORD、HTML及PDF通用格式输出；
14.可视化设备运行态势大屏，支持运行状态统计、支持对所接入的设备以可视化的形式进行区域划分及在线状态统计；
15.系统支持基于规则组合匹配的关联事件分析;
16.具备可视化攻击源追踪溯源大屏，支持攻击源检索、支持时间范围检索，对攻击源进行可视化画像，支持以时间轴的形式进行攻击源历史轨迹溯源，支持攻击特征、攻击对象、攻击趋势等统计；
17.系统支持基于历史事件规则匹配的关联事件分析;
18.事件安全告警及系统安全告警支持相同安全事件进行合并告警，避免出现告警风暴;
19.系统支持对资产进行风险评估，有效的反映出当前网络的资产安全风险状态;
20.具备对网络中发生的动态威胁进行监测跟踪能力 。

6

持续威胁检测与溯源系统（探针）

1.提供标准2U机架式服务器设备； CPU核数≥10，CPU线程数≥20，CPU颗数≥2颗；内存≥128G；≥240GB SSD，≥2TB硬盘；≥2千兆电口，≥2个万兆光口，USB口≥6个，Console口≥1个，VGA接口≥1个，冗余电源；单节点可扩展至8块硬盘；≥6个接口扩展槽位；流量处理≥8Gps，沙箱动态文件检测性能≥6万文件/天；冗余电源，提供至少3年的升级服务。实现高级持续威胁与检测和分析，提供威胁态势感知功能，支持将威胁态势按照业务模块同时展示在指挥中心大屏上；监控整体威胁事件态势，从内到内，外到内和内到内三个方向进行描述；具备威胁事件类型、事件总算、热点事件、事件趋势等内容的统计与展示功能；内置IOC数据库覆盖主流的APT家族；支持基于多种形式的通信检测，支持基于威胁情报和异常特征检测挖矿木马通信、外联恶意服务器网络行为 发现 。
2.可利用人工智能技术实现高级持续威胁检测和分析，支持Kill Chain攻击链检测技术，内置文件处理沙箱，提供威胁态势感知功能，支持将威胁态势按照业务模块同时展示在指挥中心大屏上；
3.支持威胁态势总览的统计信息可以统计安全缺陷、扫描探测、尝试攻击、漏洞利用、木马下载、远程控制、横向渗透、行动收割等7个攻击阶段；
4.支持监控整体威胁事件态势，从内对内，外对内和内对内三个方向进行描述；具备威胁事件类型、事件总数、热点事件、事件趋势等内容的统计与展示功能；
5.内置威胁情报检测，APT情报检测能力，内置IOC数据库覆盖主流的APT家族，至少覆盖300个家族；
6.提供DNS隐蔽隧道通信检测：基于隧道工具的DNS隐蔽隧道；DNS直连隧道；APT32利用DNS隧道通信；基于DNS隐蔽隧道关联分析发现受控主机；
7.具备Webshell检测能力，并能识别出不同攻击手段，包括但不限于B374k、中国菜刀、PHP后门上传、Asp shell、冰蝎、冰蝎3.0、Jsp、一句话木马、蚁剑等，并具有机器学习检测Webshell能力；
8.支持通过邮件、钉钉、企业微信方式发送告警通知；
9.具备SQL注入攻击检测能力，并能识别出不同攻击手段，包括但不限于泛微OA、用友OA、通达OA、启莱OA、致远OA等，并具有机器学习检测SQL注入能力；
10.支持HTTP隐蔽隧道通信检测：常用的HTTP隧道工具的识别（reDuh，CobaltStrike、Firepass、Tunna）；APT利用HTTP隧道通信；
11.支持检测其他类型web攻击，包括但不限于敏感文件访问，XXE注入，文件包含漏洞，CSRF跨站请求伪造，路径穿越攻击，文件下载攻击，web远程代码执行,web爬虫探测，web扫描；
12.支持僵尸网络流量通信检测：基于同源僵尸网络通信发现受控主机；基于流量特征检测僵尸网络通信;
13.攻击链分析：支持通过流量的监控分析，自动化形成攻击链，识别攻击阶段，能够从攻击链阶段的扫描探测、尝试攻击、漏洞利用、木马下载、远程控制、横向渗透、行动收割等阶段识别对应的攻击方式；
14.提供机器学习方法检测恶意加密流量并与恶意指纹交叉验证；
15.提供基于不同网络协议的密码爆破检测：telnet、ssh、smtp、imap、rlogin、rdp、mysql、http、ftp;
16.攻击结果分析：支持从多个维度捕获并分析攻击链，自动化完成对攻击结果进行判定，包括成功、尝试、疑似；
17.可对恶意 IP ，恶意域名， 恶意URL，恶意文件进行情报匹配与分析，威胁情报展示内容至少包含：威胁IOC、情报类型、攻击类型、情报家族等；
18.支持对攻击源IP/目的IP进行关联与溯源，并对所有攻击行为以时间轴的方式进行展示；
19.具备威胁的研判和取证能力，无需借助第三方软件，可通过产品直接在线解包并查看原始包信息内容，支持下载事件相关的PCAP包；
20.提供基于威胁情报和异常特征检测挖矿木马通信、外联恶意服务器网络行为 发现 ；勒索软件的检测；远控及其他木马和蠕虫通信的检测；同源IP基于木马和其他恶意通信行为发现受控主机;
21.具备网络情报分析功能 。

7

一体化漏洞评估系统（探针）

1. 提供≥6个千兆电口，可用存储量:≥1T，提供至少3年的升级服务。支持系统扫描，最大可扫描IP或域名数无限制，扫描任务并发≥20，扫描IP并发≥300； 支持Web扫描，最大可扫描网站数无限制； 支持弱口令检测；配置功能模块至少包含但不仅限于系统扫描、web扫描、弱口令扫描、数据库扫描。
2.支持对主流操作系统、WEB站点/应用、数据库、网络设备、各种常见应用等的深入扫描，帮助医院在安全事件发生之前发现潜在风险，以及在安全事件后定位脆弱点从而进行整改。
3. 能够提供针对web服务扫描，检查web服务程序的安全问题，包括：服务程序旗标和版本号；服务程序本身的脆弱性（含：对输入缺乏合法性检查、不能正确处理异常情况）；服务器上运行的脚本及 CGI程序的脆弱性；服务器的危险或错误配置。
4.应能提供5大独立扫描模块，包含系统扫描、Web扫描、数据库扫描、弱口令扫描、基线配置核查的全面扫描能力，每个模块具备各自的配置项，可灵活修改每个模块的配置参数以满足不同场景下的扫描需求；
5.采用B/S设计架构，SSL加密方式通信，无须安装客户端，用户可通过浏览器远程管理系统；
6.支持部署在IPV4、IPV6环境下，且系统扫描、Web扫描、数据库扫描、弱口令扫描、基线配置核查等各类型任务均支持添加IPv6扫描目标；
7.支持针对指定IP段，同时一键下发系统扫描、Web扫描、弱口令扫描任务，其中Web扫描能够自动发现该网段内的在线网站并开展扫描；弱口令扫描能自动发现该网段IP开放服务并自动开展弱口令扫描；
8.能够支持检查与浏览器安全相关的信息和配置，发现危险或不合理的配置，并提出相应的安全性建议。
9.支持通过SSH、SMB、TELNET、RDP、POP、POP3、IMAP、FTP、WMI、RSH、REXEC、WINRM、SNMP等协议对目标主机进行深度登录扫描；
10.支持自动探测指定IP段的已知、未知Web站点，并可一键转为Web资产或一键下发Web扫描任务；
11.系统应支持自定义任务执行方式，支持立即扫描、定时扫描、周期性扫描等多种扫描方式，周期扫描时间可精确到每天、每周或每月的某天、某时、某分；
12.支持Web应用系统登录验证功能，验证Web登录认证信息的正确性，以确保登录扫描正常执行；
13.支持Web登录认证扫描，支持基于Cookie认证、Form认证、Basic认证、NTLM认证、Session认证、Digest认证、自定义header的Web应用系统扫描；
14.系统应支持网站暗链检测，发现网站中存在的隐藏链接；
15.支持中间件弱口令检测，包含但不限于：Tomcat、WebLogic、JBoss、WebSphere、GlassFish；
16.支持实时显示扫描进度及结果，能够在扫描过程中实时查看主机信息及漏洞信息；
17.系统应支持数据库弱口令检测，包含Oracle、REDIS、MySQL、Postgres、MsSQL、DB2、MongoDB、Sybase、Informix；
18.支持四五级漏洞配置，可以根据cvss2和cvss3两种标准对漏洞进行风险评级；
19.支持扫描物联网设备，如主流厂商海康威视、宇视、华为、大华、Brickcom、索尼、TP-LINK、AXIS、佳能等的摄像头，三星、惠普、爱普生、佳能等厂商的打印机；
20.具备基于网络质量自动感知提高网络漏洞检测率的方法 。

21.具备对通过自动化方式，能够快速的探测网络拓扑结构的能力;

2 2 .漏洞扫描系统的漏洞数不少于57万，覆盖CVE、CVSS、CNVD、CNNVD、CNCVE、Bugtraq多种漏洞标准。

8

综合日志审计与管理系统

1.性能指标：≥6个千兆电口，≥2个扩展槽，≥16G内存 可用存储量：≥2TB，冗余电源，平均每秒处理日志数（eps）最大性能：≥20000EPS；提供至少3年的升级服务。支持市面上主流安全设备、网络设备、服务器、操作系统、应用系统、虚拟化、云计算、数据库、中间件、管理平台等对象的日志采集。
2.能够稳定运行，系统应用程序能够提供持续稳定的服务；
3.系统支持自定义资产展示列表项，包括：资产名称、资产类型、资产型号、隶属区域、网段、制造商、操作系统、资产IP、内存容量、负责人、联系电话、邮件地址、厂商电话、资产编号、备注信息、安全组件类型等列表项；
4.资产自定义属性应具备灵活定义特征，支持以控件可视化配置方式定义资产属性。资产属性控件可选范围应包括但不限于文本控件、文本域控件、下拉控件、时间控件、单选控件、多选控件；同时，支持可视化配置资产自定义属性控件选项内容的数据字典；
5.采集协议至少包含：Syslog、 SNMP Trap、 JDBC、SSH、SFTP/FTP、WMI、Netflow、Kafka；
6.为便于维护记录不同资产类型的个性化资产属性，系统应支持自定义资产属性能力，包括对自定义资产属性的添加、编辑、删除操作；
7.系统应支持对原始日志的聚合分析能力，经过分析聚合生成安全事件；
8.支持syslog协议收集操作系统（windows、Linux）日志的功能，通过浏览器登录控制界面，支持日志赛选和日志查询，在相关页面进行策略配置 相关 操作。
9.为保障系统输入数据的安全性，系统应支持可视化配置自定义资产属性控件的输入校验条件；
10.系统应支持对日志归并聚合规则的定义，根据配置策略聚合相应的原始日志生产安全事件；
11.系统支持对主流网络设备、安全设备、服务器、终端设备等的日志信息解析；
12.支持根据运维审计侧重点自定义配置安全事件列表所展示的事件属性列表项，自定义安全事件展示列表项应包括：事件类型、事件类别、事件名称、事件级别、发生源IP、发生源设备、协议、聚合开始时间、聚合结束时间、源IP、目的IP、源端口、目的端口，点击详情查看事件详情和原始日志；
13.系统支持安全事件关键字查询和精确查询两种查询模式；
14.关联事件内容至少包括：事件类型、事件名称、事件级别、策略名称、次数、产生时间、更新时间，点击详情查看事件详情和原始日志；
15.为了挖掘不同类型、来源于不同设备或系统的日志或安全事件之间可能存在的关联关系，提供GUI方式的关联规则设置功能，关联的类型包括基于规则和基于统计；
16.系统支持关键字查询和精准查询两种查询模式，支持对日志精准查询条件保存，以供后续审计所用；
17.支持对转发日志内容的标准化自定义配置，支持通过可视化方式自定义配置日志内容，日志内容定义可支持所有日志属性任意组合方式的配置；
18.审计事件内容包括：审计事件名称、事件级别、审计类型、审计策略、产生时间、更新时间、事件总数，点击详情查看事件详情和事件溯源信息；
19.系统应具备告警事件转发能力。审计告警转发方式至少支持邮件、snmptrap和syslog；系统告警转发方式至少支持邮件、snmptrap及声光电告警提示；
20.系统内置审计类型，同时支持配合不同的审计策略自定义审计类型；

9

数据审计系统（数据安全探针）

1.≥16G内存，≥2TB硬盘，≥SSD 256G，≥6个千兆电口，≥2个扩展槽，峰值事件处理≥120000条/秒，无限制授权，冗余电源，至少3年的升级服务。
2.支持主流数据库包括SQL-SERVER、MYSQL、Oracle、DB2等数据库的审计，支持多路部署，支持通过分布式集群来实现无缝扩容，提高存储上限。支持审计记录的完整语句详情信息，支持同时叠加包括业务系统、操作内容、源IP、目标IP、源端口、目标端口、数据库名、数据库用户名、操作方式、操作对象等在内的超过20种查询条件。
3.基于应用访问的特征匹配，匹配项包括请求方法、URI、COOKIE、客户端工具、域名、请求体、响应体、状态码、跳转、客户端地址、服务端地址等关键信息。
4.支持多路部署，业务数据库环境数量较多，数据量不大，且分布在不同的交换机上，可通过审计设备的多个采集口，对不同的交换机实现监听镜像流量；
5.支持通过分布式集群来实现无缝扩容，进一步提高存储上限，满足合规要求，为用户提供充足的存储；
6.支持对外通过API方式提供数据支撑服务，为外部设备或平台提供分析数据支持敏感数据发现，针对不同类型进行针对性的敏感数据掩码处理；
7.支持ORACLE、MYSQL、SQLserver、MariaDB、PostgreSQL、GaussDB A(FusionInsight LibrA)、GaussDB(DWS)、Greenplum 、DB2、MongoDB、达梦、Sybase、Redis、Teradata、Alisql、PolarDB for mysql、PolarDB for postgresql、PolarDB-X、OceanBase、TDSQL MySQL版、TDSQL PostgreSQL版、TDSQL-C MySQL版、TDSQL-C PostgreSQL版等多种数据库类型，支持基于Thrift协议的包括大数据在内的数据库访问；
8.支持审计记录完整的语句详情信息，包括：SQL语句操作内容、SQL会话起始时间、SQL会话结束时间、SQL执行时间、SQL模板、所属业务系统、源IP、源端口、目标IP、目标端口、协议类型、数据库名、数据库用户名、数据库实例名、计算机名、应用程序名、操作方式、操作对象、执行时长、执行结果、错误代码、语句大小、影响行数、绑定变量等至少24个项；
9.支持同时叠加包括业务系统、操作内容、源IP、目标IP、源端口、目标端口、数据库名、数据库用户名、SQL模板编号、操作方式、操作对象、最大单条耗时、数据库实例名、计算机名、应用程序名、规则名、事件ID、数据来源、时间范围、查询方式、排序方式在内超过20种查询条件，除最大单条耗时外的审计内容条件均支持OR、AND、NOT三种匹配方式；
10.支持不同业务系统之间、不同数据库之间、不同访问源IP之间在指定时间范围内的对比分析，或同一业务系统、同一数据库、同一访问源IP在不同时间范围内的对比分析，支持对比结果以图表和趋势的方式进行展示，包括源IP、账号数、客户端工具数、客户端主机数、表对象数、操作类型数、明细语句数、会话数、告警数、SQL模板数等信息的对比；
11.支持业务系统应用审计，审计内容包括URL、请求方法、应答状态码、客户端工具、源IP、目标IP、源端口、目标端口、业务系统名、源MAC、目标MAC、请求参数、协议类型、应答参数、域名、跳转地址、请求数据类型、应答数据类型、应答数据长度、请求数据长度、代理IP、重定向地址等应用关键信息，支持与数据库语句的三层关联；
12.监控和分析来自镜像流量和流量探针两种途径的实时网络流量，利用聚合状态可视化展示设备实时性能，梳理流量中的所有访问请求并快速添加为审计监控对象，并支持包括源IP、目标IP、目标端口、时间、流量状态等在内的流量信息展示；
13.支持SQL模板发现和审计，自动识别并抽取数据库句式语意相同但参数不同的语句，记录该模板的明细、状态、发现时间等，支持模板的别名设置，支持指定模板不触发规则或丢弃指定模板的语句，可将大量、常见的语句设置为安全规则或过滤规则，规则准确度，优化系统识别规则库，形成安全语句和敏感语句管理；
14.支持旁路部署、多路部署、流量探针部署，兼顾传统网络环境、虚拟网络环境和混合环境下的数据采集。流量探针不依赖传统交换机流量镜像，适应大多数基于windows和linux操作系统的目标服务器的安装，实现虚拟化环境内部流量无法镜像、无主机确切位置、存在灾备漂移等场景下对数据库的全面审计；
15.支持数据库规则或应用规则的多条规则合并成组合规则，利用组合规则更好地识别数据库访问行为链和应用访问行为链，发现潜在的数据库和应用中可能存在的深层风险；
16.支持对外提供基于API接口的数据支撑服务，为外部设备或平台提供分析数据，分析数据包括数据资产包、事件数据包、历史明细包、终端资产包、sql模板包等；
17.支持对用户业务系统的工号识别，可基于SQL模板或语句特征、数据库账号类型进行工号提取，自定义添加一个或者多个由SQL模板或语句、数据库类型、操作方式、操作对象、字段名、绑定变量组成的配置明细，便于安全事件的清晰定责；
18.支持展示监听服务、消息队列、分析引擎、SNMP服务、数据库服务等核心服务的使用状态，支持基于传输层、网络层、数据链路层中的IPV4、IPV6、TCP、UDP、SCTP、ICMPV4、ICMPV6、GRE、ETHERNET、PPP、PPPOE、RAW、SLL、VLAN、QINQ、MPLS、ERSPAN、VXLAN、GENEVE、IPIP等多种协议的解析，并支持对监听的VXLAN端口、SQL语句长度、流超时间进行配置；
19.支持纯IPV4环境、纯IPV6环境及IPV4与IPV6混杂环境下部署，支持纯IPV4环境、纯IPV6环境及IPV4与IPV6混杂环境下的数据库访问行为审计；

10

准入系统

1.软硬件一体设备，单台设备支持所有功能，无需再配置服务器或者第三方系统软件；产品要求配置≥6个千兆RJ45网口；≥2500条IP绑定条目；并发认证数≥30000次/分钟；
2.满足单网口或多网口Bond接入交换机，接口支持配置ipv4与ipv6参数及访问权限，访问权限包含不限于http/https/telnet/ssh/ping等。
3.支持SNMP准入、DHCPv4&v6准入、网关准入、SPAN准入、RDP准入等技术，并支持同时开启；
4.禁止使用修改交换机端口VLANID的方法来实现准入控制，防止交换机负载过高，影响正常终端的网络通信与数据交换；
5.针对无法使用交换机策略路由与镜像抓包环境下，未安装客户端代理软件，隔离/阻断HUB和非网管交换机所连接的非法终端与合法终端间的通信；
6.支持网络拓扑自动发现技术，交换机层级关系描述包含不限于接入层交换机、汇聚层交换机、核心层交换机，并以不同颜色标识交换机在/离线状态；
7.实时显示交换机背板图，并以不同颜色标识交换机端口接入状态，如无MAC接入、单MAC接入、多MAC接入、级联口、有探针口、无探针口；
8.支持通过矩阵图展示IP地址使用状态，包含绑定IP、保留IP、设备IP、无效IP、可用IP、自身接口IP、动态分配IP、告警/阻塞IP、静态认证IP，不同状态使用不同图标及颜色进行标识；支持以12个不同深度的同种颜色标识IP地址的相对在线时长，便于管理员区分；
9.支持终端自动分类，并可自定义添加二级分类；
10.管理员自定义分类规则库，自定义规则支持主动扫描与被动侦听两种分类方式，分类方式包含不限于分类优先级、端口号、主机名、操作系统类型、OUI等；
11.支持通过bootp、dhcp、radius三种协议分配IP地址；
12.现内网中非法的DHCP服务器并告警；
13.同时支持DHCPv4与DHCPv6，支持ipv4/ipv6地址绑定终端mac。
14.支持Windows、Linux两种形式的DHCP逃生服务器分别用于不同的使用环境；Linux逃生服务器支持周期性同步准入服务器的IP/MAC绑定信息；
15.支持基于DHCP的指纹认证，内置290+指纹信息，支持管理员按实际情况自定义添加；
16.支持忽略DHCPInform请求功能，以减轻服务器压力；
17.支持剩余IP监控功能，设置监控阈值，当已分配IP数量超过总IP数的百分比阈值时进行系统告警；
18.系统管理界面屏蔽鼠标右键复制、粘贴 、剪切 等动作，防止数据的非法拷贝；点击产品Logo自动返回首页，并收起菜单栏；支持管理员可信主机配置，只允许管理员使用可信主机登录系统管理界面；
19.系统管理员账号，支持手机App双因素认证登录，双因素密钥长度严格控制为16个字符+数字的组合；
20.管理页面支持常用系统调试工具，包含Ping、Traceroute、查看当前繁忙的数据库、AD/LDAP连接查询、SNMP扫描交换机、Smartctl硬盘检测工具；
21.为了确定工位与交换机端口的关联关系，产品需具有支持确定工位与交换机端口的关联关系；
22.为了提高了网络的安全性，登录认证方便、简洁。产品需具有802.1X下 AD 域登录认证方法；

11

Web应用防护系统

1. 设备为机架式设备、≥6个电口,≥1TB硬盘，HTTP吞吐：≥6Gbps； HTTP新建（CPS）≥9500/s ，≥5个网页防篡改授权，提供至少3年的升级服务。提供Web应用攻击防护能力，通过多种机制的分析检测，能够有效的阻断攻击，保证Web应用合法流量的正常传输，这对于保护业务系统的运行连续性和完整性有着极为重要的意义。同时针对当前的业务热点问题，如SQL注入攻击、网页篡改、网页挂马等，按照事件发生的时序考虑问题，优化最佳安全成本平衡点，有效降低安全风险。
2.支持在旁路镜像阻断模式下，可配置多组阻断以及镜像口，对检测到的攻击进行旁路阻断，并可指定对端设备MAC地址；
3.支持透明流模式、透明代理模式、反向代理模式、路由牵引模式、镜像检测模式及镜像阻断模式；
4.支持地域访问控制功能，支持根据国家、地区、城市等元素进行地域访问控制；
5.支持定时下线功能，能根据日期、工作日、时间等多因素控制网站访问时效；
6.支持Cookie流量自学习功能，通过抓取流量自动获取网站的cookie数据；
7.支持业务流程控制，防止非法用户通过不合规流程请求，对web服务器进行攻击；
8.支持通过移动终端管理，不需要安装APP和第三方插件，通过手机浏览器即可,并可管理设备实现网站快速应急处置；
9.支持多种证书类型的SSL卸载，可根据实际证书格式进行灵活选择证书类型；
10.支持防护资产安全状态展示，可针对资产的TCP，UDP,ICMP/ICMP6，RAW-IP,HTTP,DNS等数据进行统计；
11.支持检测并清洗的攻击类型包括但不限于：Land、Winnuke、Smurf等；TCP（SYN、SYN-ACK、ACK、RST、FIN等）；UDP（各种端口扫描、Flood）；ICMP（不可达，Flood)；DNS Query Flood、HTTP GET Flood、HTTP Post Flood、CC等；
12.支持检测并清洗的攻击类型：IP攻击，TCP攻击，UDP攻击，ICMP攻击，DNS攻击，HTTP攻击等20多种DDoS攻击类型；
13.支持攻击态势大屏实时展示，可通过产品自带的实时态势监测模块进行攻击态势地图展示，包含对源地址、源地域、目标资产、安全防护攻击类型、攻击趋势、HTTP并发请求及实时事件的动画统计；
14.支持威胁情报中心提供的相关数据运用到产品防御策略中，提供基于僵尸网络、恶意IP、扫描探探、Webshell、代理IP、TOR节点、漏洞利用、暴力破解、拒绝服务、恶意代码以及木马蠕虫等情报类型；
15.可通过管理平台WEB界面 (HTTPS方式)对设备进行管理。支持旁路和串联模式部署，通过配置web安全防护策略，实现基于http协议的应用防护和攻击防护，并支持邮件告警。
16.要求至少支持日志、邮件、短信等告警方式；
17.能够根据网站的访问防护的网站、被篡改内容、篡改内容的类型、试图进行的篡改、成功的篡改、发现的日期、事件发生的日期等条件进行详细信息的查询；
18.具备基于识别资产类型及自发现漏洞的web 防护方法 。

19.WEB应用防护设备支持通过BGP方式对流量进行牵引，并在清洗攻击后回注，回注过程支持设置SNAT策略；

20.WEB应用防护设备支持虚拟补丁功能，支持导入appscan 、 第三方扫描器的扫描结果生成WAF的规则，对此类网站漏洞直接防护；

21 . WEB应用防护设备支持通过自学习的URL参数的长度、类型、范围及请求方法等数据特点创建黑白名单模型，如果参数违反模型则判断为非法流量，直接执行阻断或封禁动作；

22 .具备在透明代理及反向代理部署方式下，能够对网络中发生的攻击地址进行溯源的能力 ;

12

下一代流量复制汇聚平台

1.支持≥8个千兆电口，≥2个千兆光口，≥6个万兆/千兆光口；≥1个带外管理电口；1个console口； 带LCD；支持硬件拨码开关控制；支持取证模式；双电源；整机吞吐≥80Gbps；至少3年的升级服务。
2.支持物理端口的收发包数量与速率统计；
3.支持基于流量分类规则的复制, 支持同时将报文输出到至少64个输出端口组以支持多个业务后端系统；
4.支持源 MAC、目的 MAC、以太网协议、源 IP、目的 IP、协议类型、源端口、目的端口、TCP Flag、输入接口号,内外层 VLAN ID 等多元组匹配流量过滤规则，并支持 IPv4 和 IPv6；
5.支持逻辑接口的收发包数量与速率统计；
6.支持固定偏移字符串规则；

13

网络资产安全治理平台 （数据安全治理平台）

1.机架式设备，冗余电源，支持≥6核心CPU，≥32G内存，≥128G SSD,≥4T SATA,≥3个业务系统监管，≥10个千兆电口，冗余电源，提供至少3年的升级服务。提供对业务数据库整体安全态势的集中监管，实时监控业务数据库运行状态，全面感知业务数据库安全事件和隐患，实现业务数据库的集中安全审计和风险预警;
2.支持从数据库风险采集工具获取多源的审计数据，支持集群化部署，多节点自动负载均衡；
3.支持多消费客体，同时访问同一份数据，缓存队列不小于10亿条；
4.采用智能算法，探测主机性能负载，动态平衡入库操作、解析操作和队列操作间的优先级，满足在大流量环境下数据不丢包；
5.不依赖磁盘阵列，通过软件自动实现数据的冗余和多机分片快速计算，最大程度发挥CPU算力和磁盘I/O；
6.具备海量数据分布压缩存储，可处理PB级别以上的结构化数据，采用hash分布、random存储策略进行数据存储；同时采用先进的压缩算法，减少存储数据所需的空间；
7.计算节点无主从之分，可向任意节点写入数据，由系统自动完成动态平衡；
8.内置多种智能分析算法，可自动识别基本信息、财产信息和身份信息；支持数据资产脆弱性的分析，可识别僵尸资产、复用资产和暴露资产；支持数据库操作行为建模，帮助用户发现异常操作行为；
9.提供数据库安全集中大屏监控功能，内容包括：以卡化片方式展示被监控业务系统数据库，信息内容包括：个人信息资产、业务接口资产、僵尸资产和复用资产等信息；
10.提供的监控大屏中，需展示业务在线状态、未知资产、资产变更趋势和重要资产分布等信息；
11.提供数据库运维态势监控，以轮询方式自动展示，每个业务系统数据库指定时间范围内的运维信息。内容包括：以关系图谱方式展示数据库、数据库账号和访问终端三者间的关系，展示每个账号访问使用量最大的前10个终端信息，展示利用该账号执行高危操作的统计信息；
12.提供数据资产脆弱性分析能力，可发现业务系统中的失踪资产、僵尸资产、复用资产、未知资产、不明资产、新增资产、暴露资产、销毁资产和忽略资产；
13.提供基于管理域的业务资产梳理能力，梳理内容包括：应用资产、网络服务、数据资产和终端资产；
14.支持自动化生成数据资产分析报告，用户可自定义选择生成报告的时间范围；
15.具备应用、接口、实例、库、表、字段、触发器、数据库账号和存储过程等用户数据资产的发现能力；
16.提供平台各组件的运行状态、资源消耗趋势和平台健康的测算，并能按用户选择的时间周期动态生成图标信息；
17.可自动发现、匹配和归类数据库中的个人敏感信息资产，并能按明细或分类展示其在全局的分布情况；
18.支持对审计记录的多条件检索，并能实时生成统计分析结果；

19.可监控数据库服务器的网络访问情况，以可视化方式展示数据库连接、非数据库连接和主动对外的网络连接；

20.提供数据库自动配置核查能力，发现系统中的不安全配置。

14

网络资产安全治理平台 （数据资产分析探针）

1.设备为机架式设备，≥16G内存,≥2T 硬盘,≥6个千兆电口，≥5个数据源扩展包，扫描ip并发数≥200个，提供至少3年的升级服务。对数据库进行分类分级及自动发现。
2.支持的数据库类型：支持Oracle、Mysql、SqlServer、DB2、Greenplum、PostgreSql、Sybase ASE、GaussDB A(FusionInsight LibrA)、GaussDB(DWS)、华为GaussDB200、MariaDB；MongoDB、HBase、Elasticsearch、SAP HANA、Hive、Cache；达梦（国产）、GBase、seaboxMpp、MaxCompute、vertica、kingbase等多种数据库类型。
3.支持全部或者单个对数据源资产统计展示，展示数据资产变更趋势，特权账号分布、敏感词条分布、资产安全风险、数据库中高价值表、数据资产分类情况、数据资产分级统计。
4.支持敏感词条数量统计分布展示，敏感词条数量大小以气泡大小进行区分，气泡的颜色和空间分布呈现随机变化（每次刷新不一样），通过点击敏感词条可以直接跳转到相应的数据分类资产目录。
5.支持不同时间粒度资产查询，全面掌握各周期内的资产（数据资产和账号资产）变化情况，包括未知资产、新增资产、失踪资产及销毁资产等四个分类；
6.支持不同条件如时间、风险类别（技术管理脆弱性风险、数据资产风险、账号资产风险）、风险类型、风险级别、风险状态等风险事件查询展示，可以点击事件查看风险详情，告警事件详情包含：事件的时间、事件类别、事件的类型、事件级别、资产从属、事件描述、修复建议、事件状态；
7.支持以数据源、资产名称、资产别名、登记时间为条件的简单搜索、在此基础上，系统提供扩展条件，如资产分类标签情况、服务类型（数据库类型）、资产类型（数据表、字段、存储过程、视图、触发器、函数）精确的高级检索，同时可以对常用的搜索条件构建查询模板，后续通过相应的模板进行快捷查询；
8.支持数据库账号的发现、梳理、展示，并细化账号的权限分析，及对特权账号标识；
9.按照分类树的形式对已发现的数据资产进行分类梳理，支持按照各分类特征进行展示，并提供对数据资产的查询，支持对资产按照不同分类下的敏感数据分布进行分析、展示，以数据库为单位，以关系链方式展示数据资产归属；
10.对top10的高价值表统计展示（以敏感字段数量），可以查看该数据表的敏感字段明细，从属关系（归属数据库），记录数统计 ，通过点击该表，可以直接跳转到相应的数据资产目录。
11.支持对相应字段进行分类打标时，可通过继承归属表的分类标签，将数据表的标签继承到该表下的所有字段或者部分字段来快速完成打标工作，提升字段分类打标率；
12.根据需求，数据资产分析结果支持以报告形式输出，可自行对目标数据源（单个、多个或者全部）和分析时间进行定义；资产分析报告从数据资产综述、数据资产的安全分析以及整改建议等多维度进行阐述，支持PDF或者word文件格式导出报告；
13.支持自定义数据资产扫描任务，可定义任务的名称、任务类型、任务对象（发现的数据源）、执行周期任务运行时间、扫描时段等参数。支持对扫描任务（以任务名称、任务类型、任务对象、任务状态为条件）进行查询 、 管理；
14.支持对发现的数据源进行管理展示，以连接名称、数据库类型，ip、端口、状态为条件进行多维度检索。支持对数据源的选择相应的匹配分类打标模型，提升分类打标的准确度。同时支持对已纳管的数据源按照自行设定的规则进行账号弱口令探测；
15.支持内置的不同行业标准的分类模型管理，对已存在的分类模型进行管理，同时支持用户结合自身业务需求自定义分类模型；
16.支持全局事件规则定义，也可以支持基于不同的数据系统自行新增风险事件规则，其中数据资产风险可以针对数据库、表、视图、存储过程、函数、触发器等对象进行过滤筛选；
17.支持对系统的I/O状态，包含CPU、内存、存储空间等信息进行查询监测；
18.支持配置可登录资产分析系统的主机，默认是所有都能登录；

15

入侵检测防御（互联网）

1. 设备为2U机架式设备；板载≥6个100/1000M电口，≥2组Bypass； ≥2个扩展槽； ≥2T硬盘；冗余双电源；整机吞吐≥16G； IPS吞吐≥8G； 最大并发连接数≥600万；至少3年的升级服务；
2.至少支持串连、旁路部署；
3.支持向导配置，可通过向导进行串联部署和旁路部署模式的快速上线配置，可在向导配置中直接引用防护策略模板，完成快速上线;
4.支持基于802.1q协议的Trunk封装，支持链路聚合功能，可将多条物理链路聚合成一条带宽更高的逻辑链路使用;
5.支持检测恶意活动，包括恶意SSL证书、钓鱼攻击、非法获取权限等；
6.支持静态ARP配置以及动态ARP获取;
7.支持检测漏洞后门类攻击，包括漏洞利用、后门攻击、文件包含、缓冲溢出、目录遍历等；
8.支持网络层DDoS检测，如SYN 、TCP 、UDP、ICMP Flood等攻击检测；支持应用层DDoS检测，如HTTP GET Flood、HTTP POST Flood、DNS请求Flood及DNS缓存投毒等攻击检测；
9.支持在入侵防护日志中，展示cve漏洞相关描述、影响范围、处置建议等信息；
10.支持基于协议识别的防病毒，包括HTTP、FTP、SMTP、IMAP、POP3等类型；
11.支持检测漏洞后门类攻击，包括漏洞利用、后门攻击、文件包含、缓冲溢出、目录遍历等；
12.为保证设备自身的可靠性，要求所投设备支持双机热备功能；
13.支持邮件炸弹检测功能，并能够自定义邮件炸弹阈值、发送频率、连接数、邮件尺寸、收件人数等参数；
14.支持检测Web攻击类攻击，包括注入攻击、跨站脚本、Webshell等；
15.支持弱口令防护功能，针对HTTP、FTP、SMTP、IMAP、POP3等协议，提供弱口令字典匹配、口令强度检测检测方法；
16.攻击特征库可支持本地、FTP服务器升级，同时支持在线更新和自动更新；
17.支持手工备份和自动备份功能，可按每天、每周、每月自定义备份周期，并支持自动清除历史备份数据，保障数据和配置安全性;
18.支持基于Web的在线运维工具，包括Webshell、Ping、tcpdump、traceroute等;
19.支持HTTP、SMTP、DNS、FTP等协议的内容安全防护检测；
2 0 .入侵检测防御系统的入侵防护特征库≥15000条；

16

网络版杀毒软件

1.配置≥200个服务器版终端杀毒系统授权，≥1000个PC版终端杀毒系统授权，3年特征库升级服务；
2.支持安全策略一体化配置，通过单一策略即可实现不同安全功能的配置，包括：终端病毒查杀的文件扫描配置、文件实时监控的参数配置、WebShell检测和威胁处置方式、暴力破解的威胁处置方式和Windows白名单信任目录；
3.支持对终端账户信息进行梳理，了解账号权限分布概况以及风险账号分布情况，可按照隐藏账号、弱密码账号、可疑root权限账号、长期未使用账号、夜间登录、多IP登录进行账号分类查看，支持统计最近一年未修改密码的账户；
4.具备弱密码检测能力，支持基于系统内置弱密码字典及用户自定义弱密码字典进行安全检查，可覆盖 SSH、RDP、MySQL、Tomcat、Redis 等多种应用类型。支持按照空密码、自定义弱密码、密码长度小于8位、字符种类少于3种 等常见弱密码类型进行分类管理和查看，确保终端安全防护的精细化管控。
5.支持agent性能保护兜底机制，可设置agent主进程、威胁检测、病毒查杀等进程的资源占用阈值，当进程资源占用达到阈值时，进程会自动重启；
6.提供Linux服务器SSH远程登录安全防护，支持开启SSH远程登录的二次身份认证，以防止黑客利用弱密码漏洞入侵服务器。用户可选择 验证码认证或自定义密码认证，并支持设置 登录认证提示、生效时间段 及免二次认证白名单，提升SSH远程访问的安全性。
7.支持禁止黑客工具启动，包含：xuetr、ProcessHacker、PCHunter、Mimikatz等工具的自启动，可以防止黑客攻击。
8.支持一键式操作对指定Windows终端/终端组进行通用安全检查基线、等保二级基线、等保三级基线、CIS系统基线、CIS应用基线、以及基于以上基线规则原型的自定义基线的合规性检查，可视化展示终端的基线合规检查结果，并对不合规的检查项提供设置建议
9.支持Windows 终端的高危漏洞防御机制，提供轻补丁免疫防御技术，并支持 Windows 补丁的批量一键修复，确保终端系统及时修复安全漏洞，降低攻击风险。
10.具备云端强力专杀工具下发通道，支持在管理端统一批量分发专杀工具至内网各终端，实现终端安全威胁的快速响应，确保恶意软件的高效查杀和隔离。
11.支持对攻击事件深度分析，展示每步关键进程相关的文件行为、域名访问行为、进程操作行为、命令行参数等攻击相关的关键行为，帮助用户快速了解攻击者操作，洞悉目的和危害面。
12.提供勒索病毒整体防护体系入口，直观展示最近七天勒索病毒防护效果，包括已处置的恶意文件数量、已拦截可疑行为次数、已阻止的未知进程操作次数、已阻止的暴力破解攻击次数 。
13.支持终端自动分组管理，新接入的终端可以根据网段自动分配到对应的分组。
14.可通过多维度引擎进行漏斗式检测，保障查杀效果在低误报率的情况下保持高检出率。
15.支持禁止黑客工具启动，包含：xuetr、ProcessHacker、PCHunter、Mimikatz等工具的自启动，可以防止黑客攻击。
16.服务器版软件支持Linux服务器SSH远程登录保护，可开启SSH远程登录二次认证，以防止黑客利用弱密码脆弱性对服务器的入侵；支持设置验证码验证或自定义密码验证，支持设置登录认证提示、生效时间段和免二次认证白名单。
17.服务器版软件支持windows服务器RDP远程登录保护，可开启RDP远程登录二次认证，以防止黑客对服务器的入侵。

17

备份一体机

1.产品应具备以下性能：配置≥64GB内存，配置≥2*240GB固态硬盘，≥6*8TB SATA机械硬盘；提供≥48T备份容量授权。
2.提供基于磁盘数据块复制技术的整机备份，无需了解主机业务系统类型、部署方法、业务系统间的数据交互机制、数据结构/逻辑关系和数据库的品牌/版本。
3.对X86架构下的物理机、虚拟机、超融合、私有云和公有云提供统一的将主机的操作系统、应用系统、数据库和数据/文件作为一个整体的一致性备份保护。
4.支持整机全场景恢复，无需部署配置操作系统、应用和数据库等系统环境，实现全场景带业务逻辑的整机灾难重建，无需人工手动安装驱动、更改注册表信息、应用配置信息等，极大降低灾难重建恢复难度和效率。
5.产品应支持同时启动多个虚拟机实例，对集群业务系统、Oracle RAC依赖共享存储的集群型数据库与应用环境进行快速整机虚拟化验证，确保在应急接管、演练验证等场景下具备快速恢复和一致性验证能力。
6.支持针对集群业务系统类似于Oracle RAC整机集群CDP持续数据保护，保障核心应用系统数据完整性。
7.支持基于Vmware虚拟化平台主机定时备份保护功能，无需在虚拟机中安装任何客户端代理。
8.产品应支持在X86架构下对物理主机、虚拟化主机、超融合主机及云主机提供CDP（持续数据保护）能力，可实现对磁盘任意时刻状态的实时备份，最小备份时间粒度可达秒级，确保RPO（恢复点目标）趋近于0，保障关键数据的持续可用性与高可靠性。
9.支持X86架构的任意虚拟主机、私有云/超融合云主机和公有云主机，提供整机应用级定时和CDP备份保护。
10.可将选定的备份点加载为CIFS文件共享和网络共享路径可直接在WEB浏览器中直接URL访问，管理员可快速确认需被验证的备份点文件是否是符合预期，备份点是否可用、可靠。
11.产品应支持基于同一备份点同时启动多台配置不同的虚拟机实例，支持自定义虚拟机的IP地址、CPU数量及内存容量等参数，以满足副本调度、系统故障应急多种业务功能和性能需求，确保灵活高效的资源利用与服务连续性。
12.产品应支持在应急接管时预配置整机回迁至原生产环境的相关参数。应急接管期间，接管主机所产生的新增数据应可实现无缝同步回迁至原生产主机；在应急接管结束后，系统可按需择机将业务恢复至生产环境，确保业务连续性与数据一致性。
13.支持应急接管时，可即刻开始对接管主机提供秒级CDP增量备份保护，且应急接管期间新增的数据会形成备份点可用于数据恢复，防止接管期间的误删除、误操作、逻辑错误等导致数据丢失。
14.提供整机份技术备份整机应用状态，无需了解业务系统的类型、部署方法、业务系统间的数据交互机制、数据结构/逻辑关系和数据库的品牌/版本，实现对现有及未来新上业务系统的保护兼容性。

18

上网行为管理

1.1U标准机架式设备；≥4G内存；≥32G MSATA盘，≥1T数据盘；≥4个千兆电口、≥2个千兆光口；网络层吞吐量≥5Gbps，应用层吞吐量≥3Gbps，并发连接数≥160万；至少三年服务。
2.系统内置资产导入规则，支持对导入资产的去重规则选择
3.系统支持自定义资产展示列表项，包括：资产名称、资产类型、资产型号、隶属区域、网段、制造商、操作系统、资产IP、内存容量、负责人、联系电话、邮件地址、厂商电话、资产编号、备注信息、安全组件类型等列表项。点击详情查看资产详情信息。
4.为了处理不同网络的资产具有相同IP的问题，系统支持对于网络和IP地址段的管理。
5.系统支持对IP对象的自动发现功能；支持对自动发现的设备的资产转化或删除。
6.为便于维护记录不同资产类型的个性化资产属性，系统应支持自定义资产属性能力，包括对自定义资产属性的添加、编辑、删除操作。
7.资产自定义属性应具备灵活定义特征，支持以控件可视化配置方式定义资产属性。资产属性控件可选范围应包括但不限于文本控件、文本域控件、下拉控件、时间控件、单选控件、多选控件；同时，支持可视化配置资产自定义属性控件选项内容的数据字典。
8.系统应支持根据运维审计侧重点自定义配置安全事件列表所展示的事件属性列表项，自定义安全事件展示列表项应包括：事件类型、事件类别、事件名称、事件级别、发生源IP、发生源设备、协议、聚合开始时间、聚合结束时间、源IP、目的IP、源端口、目的端口，点击详情查看事件详情和原始日志。
9.支持可视化配置日志聚合策略，支持以单一或组合日志属性作为日志聚合规则。日志聚合属性应包含：事件等级、事件类型、设备种类、设备类型、日志编号、协议、发生源IP、源IP、源端口、目的IP、目的端口、事件名称。
10.为了挖掘不同类型、来源于不同设备或系统的日志或安全事件之间可能存在的关联关系，系统应提供GUI方式的关联规则设置功能，关联的类型包括基于规则和基于统计的。

19

安全服务 （3年）

1. 协助制度梳理（ 1 次 /年 ）
协助我院进行网络安全制度梳理，检查及完善各项制度制定及执行记录，包括但不限于（1）网络安全制度；（2）用户安全制度；（4）安全事件责任追究制度；（5）信息发布审批制度 ；（6）信息系统安全运维制度。
输出：《医院网络安全建设制度》
2.巡检服务（4次 /年 ）
定期对信息系统进行一次安全检测，以评估信息系统在运行过程中是否出现新的安全隐患和漏洞，包括主机层、应用层、数据库、基线配置、安全日志；
输出：《巡检报告》
3.攻防演练（1次 /年 ）
开展网络攻防演练，针对面向互联网的 全部 业务系统，模拟黑客入侵和攻击，发现安全漏洞和隐患，有效识别、分析和控制信息系统安全风险。促进统一指挥、协调有序的安全应急管理机制的落实，完善安全事件防范与处置流程，提升运维人员安全意识和安全突发事件处置能力；具备渗透测试、互联网风险暴露面、重保服务的全部内容。
输出：《漏洞清单》、《攻防演练报告》
4.安全意识培训（2次 /年 ）
针对我院要求，提供相关人员的安全意识培训，了解和掌握安全规章制度，提高相关人员安全技术素质，增强安全意识的主要途径，是保证业务正常运行，做好信息安全工作的基础；
输出：《安全意识培训教材》
5.资产梳理分级分类服务（1次 /年 ）
利用网络资产安全治理服务工具，对我院信息化资料进行全方位摸底，包括IP资产、域名、URL、端口等信息，全面掌握资产分布以及安全态势；
输出：《资产梳理清单》
6.数据分级分类服务（1次 /年 ）
根据数据资产分析服务要求，提供针对我院的数据资产提供分级分类。
输出：《数据资产目录》、《数据分级分类清单》

7. 应急演练服务（2次 /年 ）

根据相关监管单位要求制定应急预案，并根据应急预案定期开展应急演练活动。

输出：《应急预案》、《应急演练剧本》、《应急演练总结》