建设网络安全系统服务方案

 

 

 

 

招标编号：****

投标单位名称：****

授权代表：****

投标日期：****

 

 

1.系统整合方案

1.1、技术方案解读与设计策略

1.1.1、项目简介

公司经过多年的信息化推进建设，信息化应用水平不断提高，信息化建设成效显著。为促进公司信息安全发展，响应国家和上级要求，进一步落实等级保护，夯实等级保护作为国家信息安全国策的成果，公司计划参照《计算机信息系统安全等级保护划分准则》(GB17859-1999)和《信息安全技术一网络安全等级保护定级指南》GB/T22240-2020要求将现有系统拟定为二级，按照《信息安全技术网络安全等级保护基本要求》完成现网系统二级等保建设。

为了全面贯彻全国政法会议和厅局长会议的精神，顺应公安大数据战略的推进，遵循‘十四五’装备规划及新一代信息网建设的导向，我们亟需强化网络流量的监控与管理。目标是提升我们在异常检测、流量趋势预判及风险评估等方面的能力，推动从传统的运维模式向自动化、智能化、标准化和可视化的转型。这样，我们将能显著提升公安信息网的网络服务保障效能，迈向新的高度与深度。

1.1.2、标准化项目技术规格

1.《信息安全技术网络安全等级保护基本要求》

2.《信息安全技术网络安全等级保护定级指南》

3.《信息安全技术网络安全等级保护安全设计要求》

4.《信息安全技术网络安全等级保护实施指南》

5.信息安全技术治理：遵循GB/T 32923-2016《信息技术安全技术信息安全治理》

6.信息安全技术的风险管理：遵循GB/T 31722-2015《信息技术安全技术信息安全风险管理》

7.关于《新一代公安信息网网络流量采集分析技术要求》(GADSJ451.1-2021)的技术要求

8.关于《新一代公安信息网网络综合管理技术要求》(GADSJ450.1-2021)的详细阐述

9.《新一代公安信息网网络架构技术要求》GA/DSJ400—2019

1.1.3、创新设计原则

公司的数据中心安全体系构建遵循国家信息安全保障体系的整体策略，具体执行原则包括：一、统筹规划与标准化操作，适度前瞻性；二、实行分级分阶段实施；三、强调互联互通，促进资源有效共享，确保保密性；四、坚持以需求为导向，通过应用驱动发展。本方案将严格恪守上述基本原则。

重点保护原则

1.本次项目的实施涉及广泛的公安网业务系统部署，包括分局核心机房、刑侦楼机房、看守所机房、大数据中心、执法办案设施和主楼内的428、429、430通信机房，现有网络基础设施包含众多服务器、网络设备及各类警务应用系统。鉴于公安内网的特性，前期对于安全保障设备的配置尚属空白。

2.依据《信息系统安全等级保护定级指南》，本策略将以基础保障为基石，特别关注并实施强化措施于关键的分局核心机房，严格遵循二级安全等级标准进行规划，以确保重要信息资产得到重点防护，具备强大的抵御攻击能力。

3.针对公司的公安网业务系统特性，我们遵照二级等级保护标准进行系统的设计与规划。确保网络安全，采取了包括边界防护、入侵防范、访问控制以及安全审计在内的多元安全技术策略，以构建综合的信息系统安全防护体系。通过多层次的安全建设，强化了信息系统的纵深防御能力。

(1)安全管理区建设

在公司核心机房专设安全管控区域，该区域内配置了包括日志审计、运维审计、漏洞扫描、数据库审计以及入侵检测与流量采集分析一体化设备。鉴于分部核心机房的资源限制，尤其是空间和电力供应紧张，我们计划对此区域进行机柜空间和电力设施的升级扩容，以支持这些安全设备的顺利部署。

(2)边界防护区建设

公司目前拥有八个功能各异的机房，针对各业务区域的机房需求，已配备相应的防火墙设施。

(3)管理网建设

我们已经在安全管控区域实施了运维审计系统的部署，并在分局各机房构建了服务器及存储设备的管理系统网络。

分布实施原则

数据中心建设的成效对公司的信息化进程，特别是安全防护体系的构建具有决定性影响。因此，在规划阶段需进行全面考量，实施时可采用分阶段执行策略，以确保信息化建设和安全防护体系的有序进行。初期工作务必坚实，为后续阶段奠定良好基础，防止出现不必要的重复建设。

管理与技术并进的原则

作为一项高度技术化的系统集成项目，公司的数据中心旨在实现各业务系统的功能优化与性能提升，同时采用前沿的安全技术手段。在此基础之上，我们强调对现有系统的有效安全管理，尤其在构建安全技术基础设施的过程中，务必同步建立完善的运行管理体系和健全的安全规章制度。

XX有限公司

经济实用性原则

在构建公司数据中心的安全体系构想中，需兼顾安全风险评估与实际需求，同时注重经济效益，力求在确保全面安全的前提下，有效控制投资规模和缩减成本。我们致力于通过优化系统设计，科学配置资源，选用操作简便且性能卓越的产品，以实现高效实用的目标。

标准化原则

标准化技术是信息系统构建的基石，亦是电子化与信息化进程中的不可或缺。鉴于公司数据中心的架构繁复且应用多元，为了确保信息的无缝交互与安全，切实推进安全保障体系的典范意义及广泛应用价值，我们务必严格遵照国家和相关部门的相关规定。

1.1.4、深入剖析安全隐患

一、物理安全

物理安全层面存在下述威胁和风险形式：

设施损害概述：因战争、自然灾害或突发事故导致的机房严重破坏，多数设备遭受损坏。

系统运行受阻：因线路中断导致系统无法正常运作。

电力供应暂停：源于电力设施的定期维护、线路故障或是设备运行异常导致的临时断电现象。

设备遭受异常损坏的情况：源于盗窃行为或蓄意人为破坏导致的设备损毁。

设备异常损坏情况：设备遭受软硬件故障，导致无法实现正常运行。

存储介质故障：由于温度、湿度等因素导致的数据存储介质无法正常运作。

二、网络安全与系统安全

威胁互联网安全的因素主要包括：权限滥用、恶意攻击以及病毒侵袭等风险。

XX有限公司

潜在的风险：未经授权的黑客或犯罪团伙可能利用搭线技术与协议漏洞，非法侵入系统窃取关键信息。

病毒的威胁与动态：系统遭受感染、传播并引发潜在风险

系统安全隐患剖析：包括潜在的后门程序、未填补的安全漏洞、管理不善的安全配置及较低的安全等级。操作系统缺乏对文件系统的防护与操作权限管控，从而为各类攻击提供了便利的切入点。

存在的数据库系统安全风险：缺乏对系统运行的实时监控，可能导致数据丢失、遭受非法访问或盗窃的风险。

潜在的安全风险：应用系统可能存在未授权访问的隐患，如遗留的后门或因设计疏忽导致的安全漏洞。

安全威胁概述：包括拒绝服务攻击的实施、网页内容的未经授权篡改，以及不安全下载的恶意小程序对系统的侵扰，以及对系统权限的非法入侵行为。

三、应用安全

安全漏洞：对于未实施强制身份认证和加密保护的保密信息系统，关键业务操作面临冒名顶替者的非法入侵风险。

安全隐患：对于未实施强制身份验证和数据加密的保密信息系统，关键业务操作面临权限超越的威胁。

数据安全风险：在数据的处理、传输与储存环节遭受未经授权的获取或非法访问行为。

数据的异常篡改与删除：涉及数据在处理、传输及存储各环节遭受非法修改或删除的情况。

否认行为的阐述：数据处理人员为规避责任而否定其操作行动。

四、安全管理

组织结构缺陷：欠缺专门的安全管理机构，人员配置不足

XX有限公司

没有建立应急响应支援体系等。

管理缺陷：对于机房作业、网络连通性和系统运行状况的实时监控能力缺失，导致无法迅速识别并应对已发生的网络安全事件，同时追踪安全事件的过程也受到影响。

人员安全行为隐患列举： - 忽视保密责任，无意识泄露系统口令及操控信息； - 操作员IC卡管理不当，放置位置随意； - 违规接入外部网络，私自从系统获取或复制数据； - 未经许可安装软件，逾越权限进行操作； - 不遵循操作规程，擅自偏离职责岗位； - 缺乏交接程序，擅离职守未办理妥当交接。 这些行为都构成显著的安全风险。

体系漏洞显现：管理体系欠缺完备性，岗位职责划分与权责明确度不足，未设立有效的监督、约束与激励机制，潜伏着管理隐患。

系统构建存在缺陷：未能确立全面的规范框架，缺乏统一的标准规定，各子系统功能相对孤立，相互间的连通性和可扩展性受限。

安全隐患未能得到有效保障：员工欠缺安全培训，系统从未实施安全审查与强化措施，导致系统故障无法迅速恢复。

1.1.5、安全需求详细评估

一、项目旨在依据公司公安网的基础配置和安全需求，兼顾分局的实际状况，将以《信息系统等级保护安全设计技术要求》和《信息系统安全等级保护基本要求》等权威标准为依据，秉持'一个中心、三重防护'的核心理念。我们将从安全计算环境、安全区域边界、安全通信网络和安全管理中心四个关键领域构建详尽的安全建设规划，以确保符合等级保护二级系统的要求。目标是构建深度、全面且系统的防护体系，致力于实现网络安全、数据安全以及全方位的防护目标。

二、致力于实施等保二级的安全强化工程，并构建网络流量分析系统。通过实施分隔机房安全边界的建设、强化主干链路防护、划定安全设备区域以及建设网络流量监控体系，我们旨在解决边界安全难题，实现各安全区域之间的有效网络访问控制，同时增强网络数据的集中管理与保护。

X有限公司

强化安全监控与预警功能的处理与分析，以确保分局网络环境的安全稳定。

三、在安全构建层面，本策略着重强调两点：首先，依据国家政策及公安部的标准，遵循分级与分域的原则，进行整体的安全规划与设计，确保合规性；其次，从自我防护的视角出发，包括抵御外部恶意攻击、防止内部操作失误、防止物理安全威胁以及提升安全管理效能等关键环节。详细内容如下：

(一)符合等级保护的安全需求

1等级保护框架设计

在本规划方案中，我们依据功能特性将公司数据中心划分为若干区域，包括服务器区域、办公区域、运维区域和数据存储区域，这些划分基于信息资产的重要性差异。各区域内的设备特性和业务应用影响的多样性，使得每个区域的安全防护需求独具特色。

服务器区域的核心构成是一系列应用服务器，其中包括数据库服务器和各种业务系统。这一区域作为数据中心的关键信息资源，需备受重视并实施严格的保护措施。

本期项目规划中，运维区域的核心设施主要包括已启用的网络管理软件及其承载的服务器与数据库系统。同时，我们还将引入关键的安全防护措施，如堡垒机和漏洞扫描系统，这些将在服务器区域之后，占据显著的地位。

建议在规划中设立专门的数据存储区域，作为综合网管的本地数据灾备中心。这里主要配置了磁盘柜等存储设备。鉴于该区域与服务器区域的物理临近性，其关键性不容忽视。

办公区域配置：针对公司员工的工作终端，尽管该区域设备受损可能不会导致全局业务系统遭受严重影响，级别相对较低。然而，对于防范病毒至关重要，务必加强保护措施。

有限公司

在强化补丁管理和行为管控层面，务必防范该区域设备被恶意利用，用作对其他区域发动潜在二次攻击的‘跳板’。

2相应等级的安全技术要求

综合参考《信息系统安全等级保护定级指南》，我们可将公司网络和信息系统划分为网络基础设施、业务处理平台和应用系统三个层次，其中，业务处理平台包括了本地计算区域和区域边界。对服务器区域的安全防护机制按照二级的要求进行建设，对应用系统的安全防护机制按照二级的要求进行建设，其他区域可参考此标准，根据自身重要性的区别，适当调整技术要求。

(二)自身安全防护的安全需求

在保障自身安全的前提下，我们认为北京市公安局公司数据中心除需符合相关规范外，还应着重关注物理安全、终端保护、边界防御、网络安全、系统稳定及管理体系的潜在威胁。这导出了对应的安全需求清单。

1.物理层安全需求

网络安全体系的基石：设备物理安全的维护 物理安全对于保障整个网络信息系统至关重要，它旨在守护计算机网络设备、设施及相关存储媒介免受地震、洪涝、火灾等自然灾害，以及由于人为失误、技术误差或计算机犯罪活动引发的潜在损害。这一核心内容主要涵盖三个维度：

环境安全：对系统所在环境的安全保护如区域保护和灾难保护；（参见国家标准GB50173-93《电子计算机机房设计规范》、国标GB2887-89《计算站场地技术条件》、算站场地安全要求》；

设备安全保障措施：涵盖设备防盗、防损、电磁信息辐射防护、线路安全防护、抗电磁干扰能力以及电源系统的保护等多个环节。

XX有限公司

保障介质安全：着重于维护信息系统的数据存储介质和传输介质的安全性，防止因物理介质的故障引发的信息数据损坏。

2.网络层安全需求

网络作为信息系统的核心载体，其稳定性对信息流通与业务运作至关重要。确保网络的安全是构筑学校数据中心系统安全体系构架不可或缺的前提。针对数据中心而言，其网络安全着重于维护运行环境免受网络层面的风险，技术防护手段主要包括访问控制机制、加密通信技术以及检测与应急响应策略。鉴于学校数据中心的实际需求，以下几点安全需求尤为突出：

访问控制需求

(1)防范非法用户的非法访问

针对未经授权的非法访问，主要包括黑客或间谍的侵入行为，网络安全在缺乏有效防护时主要依赖于主机系统的基础保障，例如用户名和密码这类基本认证机制。然而，对于企图攻击者来说，这些简单的保护手段形同虚设。他们可能通过网络监听窃取用户名和密码，或者凭借猜测轻易突破，且所需时间成本极低。因此，实施严格的访问控制策略，以抵御非法用户的威胁，确保只有合法用户能够访问合法资源，显得尤为必要。

(2)防范合法用户的非授权访问

非法访问行为指的是合法用户在未经许可的情况下，试图触及其权限范围之外的资源。通常，每个用户的主机系统内，部分信息公开可访问，而另一部分则需保密或保护隐私。对于来自外部网络的合法用户（即外部用户），他们被赋予了对特定信息的常规访问权限。然而，某些情况下，他们可能滥用此权限，试图获取不应得的信息，导致他人数据泄露。因此，强化加密访问控制机制，对服务访问权限实施严格的管理制度是必要的。

(3)防范假冒合法用户的非法访问

在管理和实际需求层面，目标是确保合法用户能正常获取授权的资源。既然合法用户享有访问权限，那么潜在的风险在于，未经授权的入侵者可能趁用户离线时段，冒用其IP地址或账户名进行非法访问。因此，必须强化访问控制机制，以防备此类假冒行为引发的非法闯入。

入侵防御需求

作为保障网络安全的关键手段，防火墙以其基础性、经济性和高效性备受青睐。它能严格管控所有访问权限（包括许可、禁止和警报状态）。然而，尽管配置了防火墙，网络安全并不能确保万无一失，因为无法全面抵御新型攻击或绕过防火墙的其他威胁。鉴于网络安全的全面性与动态性，仅靠单一防火墙并不能实现全方位防护。因此，为了提升网络的安全性，须辅以入侵检测与响应系统，对通过防火墙的任何潜在威胁进行实时监控、记录异常、发出警报，并在必要时采取阻断措施。

3.系统层安全需求

安全漏洞检测和修补需求

黑客频繁得逞的关键因素之一在于网络系统存在的安全隐患，包括配置疏漏及操作系统漏洞。入侵者惯常利用探测工具搜寻系统中的漏洞，一旦发现，便采取相应技术发起攻击。因此，部署网络安全扫描系统与系统安全扫描系统至关重要，以实时监控网络中的漏洞，并采取补救措施修复系统缺陷。同时，应对网络设备的不安全配置进行全面审查和优化。

XX有限公司

进行安全配置。

安全加固需求

强化服务器主机系统的安全性，实施严谨的用户身份验证与访问权限管理，并进行详尽的审计，严防黑客针对系统漏洞和安全管理短板进行非法侵入。同时，防止内部用户误用或滥用系统资源。

4.应用层安全需求

防病毒需求

鉴于病毒的严重危害性和极快的传播速度，一个全面的防病毒解决方案是必不可少的。它应包括客户端、服务器、邮件系统及互联网网关在内的全方位防护，旨在实现对全网络病毒的无缝防护，从源头上杜绝病毒的滋生与扩散。

防垃圾邮件需求

确保网络安全，务必采取有效措施抵御互联网垃圾邮件入侵内部邮件服务器系统，以免影响正常业务通信的顺畅进行。

身份认证需求

需实施严谨的用户身份验证与授权管理体系，对网络用户的身份真实性及合法性实施集中式严格管控。

数据安全需求

必须构建完善的数据备份与恢复体系，确保重要的业务和管理数据的安全，以防非法侵袭或突发情况导致数据的损坏或流失。

1.1.6、高效网络安全保障策略

鉴于网络的实际环境，针对当前计算机网络硬件安全设施的整体设计与部署，遵循国家关于信息安全的相关政策与法规，紧密结合工作需求及我国政务信息系统的特点，

XX有限公司

在设计和实现信息安全系统时，应遵循以下原则，确保其实现安全可靠运行，经济高效，便于操作与维护，并且符合国家的相关规定，充分考虑实际的建设需求。

系统设计遵循通用性原则，所选设备具备标准化技术、构造、组件及用户界面，确保兼容各类主流网络标准与协议，实现广泛适用性。

强调综合策略：网络安全不仅依赖技术手段，更需与管理相结合。据统计，我国近期网络安全问题中，管理层面的问题占据了显著份额。因此，在构建网络安全设施体系的同时，务必同步建立完善的规章制度和管理体系。

遵循标准化原则：旨在有效降低用户安全风险并实现成本效益的均衡。

经济高效原则：设计的整体方案应力求在不影响原有网络设备和环境的前提下进行，以防止资源的无谓消耗和不必要的重复投资。

所有安全产品的特性需支持中心化的管理模式，以便于在网管中心的服务器上实现对全局的全面掌控，确保系统的集成与高效运维。

角色权限管理：防火墙、入侵检测及漏洞扫描产品的管理不仅需在中央管理系统实现全面掌控，还应在地方节点分配相应的角色权限，以便各节点能在其权限范围内对防火墙和入侵检测系统进行独立的查看与修改操作。

测策略和审计。

网络中心的运行可靠性基石：任何异常都需严格避免，因为任何网络故障可能导致重大损失。特别是一旦防火墙或入侵检测设备等安全设备出现故障，将直接导致网络中断。因此，对于这类关键的安全产品，其卓越的性能是确保网络稳定运行的必要条件。

遵循可扩展性策略：鉴于网络技术的快速发展及本安全项目的具体环境，所设计的系统必须具备高度的灵活性和升级潜能。这旨在确保网络能适应不断变化的需求并支持未来的增长需求。

有限公司

它为网络安全系统以及其他各类安全系统创造了优越的运作环境。

经济效益优先：所设计的系统应具备卓越的性能与成本效益，确保投资的高效保值。

系统高效性：力求实现资源的高效利用，并注重其易管理及维护性。

1.1.7、创新安全策略构想

我们的防护策略着重于防火墙，整合漏洞检测、安全评估与访问控制、安全管理等技术，从网络边界的严密把控、内部核心网络区域以及关键主机的全方位防护出发，旨在为用户提供全面的安全管理服务，以达成最大程度的防护目标。同时，客户可通过分析防护系统的反馈信息，激发员工的能动性，逐步实现对网络资源的高效自主管理。

网络边界的防护与管理：作为内部网与外部公用信息网交接点，网络边界通常面临较高风险，首要任务是强化其防护和管理。通过实施数据流的监控、分析、过滤或计量化策略，结合包过滤、地址转换、包状态检测、应用代理、流量统计和带宽控制等技术手段，确保互联网出口的统一且高效管理。  内部网段隔离与监控：在内部局域网内，特定网段（包括VLAN和DMZ区域）承载高度重要业务，对数据和系统的安全性、可靠性有严格要求。因此，需采取适当的隔离措施，防止内外部威胁和误操作影响。同时，实现实时监控和记录网段活动，以便于异常事件警报、响应，并进行事后调查和责任追踪。  关键主机的重点保护：针对承载关键数据和业务系统的主机，其保护至关重要，甚至关乎组织的生存与发展。通过严格的进出数据包检查与过滤，以及主机系统活动状态和日志事件的实时监测分析，确保关键主机的持续安全防护。

X有限公司

确保数据完整性和可靠性的关键在于持续监控服务器的工作状态。通过实施网络脆弱性检测和系统评估，我们能够准确了解自身的网络安全现状，这对制定有效的安全措施和策略具有重要指导价值。

该评估系统凭借其尖端的网络扫描技术，对路由器、防火墙、服务器及工作站等网络实体进行深度探测与剖析，实时揭示潜在的安全隐患或漏洞，为系统管理员提供详尽且一手的安全信息。

1.2、详细的产品特性与规格

1.2.1、增强式机房网络安全屏障

1.★业务接口：千兆电接个，千兆光接个，万兆光接个（含4个万兆多模光模块)，接个，管理接个，接个，Console接个，接口扩展插槽个，支持千兆光口、千兆电口、万兆光口扩展；

2架构：1U机架式，配置冗余电源；

3.网络层吞,应用层吞,最大并发连接数万，每秒新建连接数万；

4.配置了两块480GB的固态硬盘，支持RAID0和RAID1模式，确保了硬盘数据存储的高可靠性。

5.我们提供多种部署模式选择，包括路由模式、透明网桥模式以及混合模式，以满足多样化的需求。

6.支持防御Land、 Smurf、 Fraggle、 Ping of Death、 Tear Drop、 、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法超大ICMP报文、地址扫描、端口扫描、、、、等多种恶意攻击；

该整机设施完备，集成了防火墙保护、服务器负载均衡管理、入侵防御系统、病毒防治、精确的应用识别、Web应用防火墙(WAF)以及实时威胁情报等多个安全功能。

8#模块集成BFD和NQA网络协议，具备多元化的探测机制，包括接口状态和路由状态监控，旨在迅速响应并执行链路切换或主备备份，确保业务运行连续无间断。

构建完善的安全管理体系，包括实施精确的访问控制策略，配置各类管理对象，如访问控制列表、动态包过滤规则、黑名单机制以及MAC和IP绑定功能。特别地，我们支持基于MAC地址的高级访问控制列表，同时确保802.1q VLAN通信的透明性。

XX有限公司

等功能；

10.支持一体化安全策略，能够基于源/目的安全域、源地址、目的IP地址、地区、服务、时间、用户/用户组、应用层协议、五元组、内容安全(WAF、IPS、数据过滤、文件过滤、AV、URL过滤和APT防御等)统一界面进行安全策略配置；

11.以下是我们的关键功能亮点： - 策略风险调优与优化分析：实现精细化管理 - 冗余策略检测与命中率分析：提升效率与准确性 - 自动与手动策略优化：适应不同场景需求 - 应用风险驱动的策略调整：支持批量和逐条操作 - 细粒度展示（流量、应用、风险类别）：提供全面视角 - 总体安全评分生成：简化用户决策过程 这些特性旨在帮助用户更有效地管理和优化安全策略。

12.设备具备高度的可靠性，支持主备/主主模式部署，实现一体化管理和配置。内置端口聚合功能，可与上、下层设备的物理链路进行聚合，链路间既可作为备份机制，又能进行负载均衡，确保系统的稳定运行。

13.支持URL过滤，提供海量预分类的URL地址库，支持根据类别实现URL过滤，设备支持管理者自定义新的URL地址和URL分类；

14.#提供防病毒特征库升级服务年；

1.2.2、安全威胁监控

1.#机架式2U设备，千兆电个，万兆光（含8个万兆多模光模块)，Combo口24个，console口21个，接个，内置480GBSSD硬盘块，接口扩展插槽个，扩展类型包括40G接口，千兆电、千兆光以及万兆光接口；

2.网络层吞吐,应用层吞,最大并发连接数，每秒新建连接数万；

我们提供全面的安全防护服务，包括入侵检测、防病毒功能以及持续的应用识别特性库升级授权。支持灵活的部署方式，既可本地化安装，也可在线获取更新。

XX有限公司

升级方式；

4.我们提供灵活的部署选项，包括路由模式、透明（网桥）模式以及混合模式的部署选择。

5.本产品兼容并支持多种路由协议，包括静态路由、策略路由、RIP以及OSPF，并具备对等路由功能。

6.集成了一体化的安全管理体系，支持根据时间维度、用户或用户组归属、应用层通信协议、网络五元组以及内容安全的统一管理界面，实现精细化的安全策略配置。

7.#攻击特征库数量、病毒特征库数量、支持的协议识别数量万、WEB攻击特征库；

8集成入侵防御与检测、病毒防护、带宽管理和URL过滤等功能；所有特性全面支持;

9. 系统具备检测病毒并发送警告的能力，允许用户自定义警告详情。此外，防病毒功能集成云端查杀技术，提供全面防护。

10.当IPS检测到潜在的攻击报文或异常流量后，系统具备针对此类威胁的响应机制，例如实施Web重定向或加入黑名单策略，从而能迅速有效地隔离开具有安全隐患的主机。

11.安全检测系统全面保障HTTPS加密流量，支持TCP和SSL代理功能。在代理策略配置中，可集成多种过滤规则，具体涵盖源安全区域、目标安全区域、源IP地址、目标IP地址、用户标识、以及服务类别。每类过滤条件允许设置多个精确匹配项。

12.该系统具备强大的报表定制灵活性，至少涵盖汇总报表、对比分析报表、智能化统计报表及综合性展示报表等多种类型。报告生成周期支持按日、周、月自由选择，并允许用户自定义导出时间范围。

13.#提供入侵检测、防病毒、应用识别特性库升级授权服务年；

1.2.3、深入的数据安全审查

1.#机架式2U设备，配置冗余电源，内存,配置硬盘,以太网千兆电口接个，以太网千兆光口接个（含4个千兆多模光模块），

XX有限公司

支持接口扩展槽位个，支持千兆电、千兆光以及万兆光接口扩展；

2.SQL峰值处理能力条/秒，最大吞吐量,双向审计数据库流量,支持数据库数量无限；

3.实时呈现会话活动详细数据，内容涵盖：会话启动时间、持续时间、访问源IP地址、目标服务器IP、所使用的数据库连接协议、数据库账号以及累计的SQL请求次数等关键信息。

审计记录应详尽包含以下关键信息：SQL执行的具体时间、执行时所使用的数据库账号、源IP地址、源端口、源MAC地址、识别出的客户端工具名称、目标IP地址、目标端口、目标MAC地址、关联的数据库实例标识、执行的SQL语句全文、执行耗时、SQL操作类型、具体的SQL命令、涉及的对象名称、字段名称、SQL语句的行数以及SQL请求的状态，总计不少于18项指标。

5.系统具备灵活的自定义黑白名单管理功能，其策略配置涵盖多个维度：数据库账户权限、策略执行周期、源IP地址、客户端应用工具、SQL指令详情、操作目标对象标识以及SQL语句内容。命中白名单将被视为合法操作，而黑名单则可能标记为违规行为。

6.允许用户个性化操作策略配置，包括设定风险等级、策略执行动作、数据库访问权限（账号）、策略执行频率、源IP地址、客户端应用、特定命令、操作目标对象、关键SQL词、预期执行结果、涉及行数、运行耗时、以及时间周期，全面定义筛选条件。

7.本系统具备业务化的语句转换功能，能对应地翻译操作指令中的IP地址、账户信息、执行动作及操作目标。并支持依据业务特定的语句模式，进行精准的操作语句翻译服务。

8.支持丰富的数据库防护，包括但不限于内置的SQL、Oracle、MySQL等，其安全规则库总量超过800条。

9.允许针对源IP地址定制审计范围策略： - 可设置排除特定IP的审计，所有其他IP的访问记录将被审计。 - 或者仅对特定IP的访问记录进行审计，其余IP则不纳入审计范围。

10.采用内置的数据敏感标签技术，针对数据库资产实施静默扫描并实施标记操作。

X有限公司

11.#支持达梦、人大金仓、神通、高斯DB、南大通用等国产数据库协议的解析。支持PostgreSQL、Greenplum、Cache等专用数据库协议的解析。支持主流大数据平台数据库/NoSQL库的解析与审计，包括HBase、Hive、MongoDB、 Elasticsearch、 Redis。

1.2.4、审计日志流程

1.#2U高度机架式设备，冗余电源，采用核，内存,硬盘2,千兆电个，万兆光个（含万兆多模光模块2个），USB接口个；

2.性能要求：事件入库性能,日志源；

3. 实时的日志采集与监控功能完备，支持按照设备类别、日志类型及严重程度进行精细化查看。

4.提供设备类型分类（包括防火墙、入侵防御系统、交换机、路由器、沙箱及终端安全等）的日志规范化分析展示功能，允许用户查阅详细日志；并支持按时间范围和日志类别进行灵活筛选操作。

5.系统具备按日志类别进行检索的功能，涵盖操作日志、审计日志、流量日志、威胁日志及主机日志等多种分类。支持采用多元条件筛选，其中包括起始时间、终止时间、动作类型、设备标识、日志级别、用户标识、源IP地址、目标IP地址以及通信协议等参数，实现精细的查询展示。

6.提供按日志级别（调试、通知、重要、警告、错误、严重、设备故障、设备不可用及其他相关信息）划分的详细日志规范化分析展示，并支持深入探究日志详情的功能。

7.具备兼容多种类型和厂商的安全设备、网络设备、操作系统及应用日志的适应性分析功能。

8.对原始日志实施内容适应性分析，并将分析结果规范化呈现。

XX有限公司

9.支持对各类日志进行递归、时序及统计关联分析，从而优化安全分析结果的精准度。

10.支持新增、删除、修改和导入关联规则，对关联规则进行启用和停用管理；支持按照规则名称，事件名称，使用状态，威胁等级进行检索查询；支持查看规则详情；支持安全策略命中次数统计；

11.系统具备预设日志功能，展示内容包括但不限于：威胁源IP的排序分析、各类通信协议的分布统计、攻击类型的分类分布、设备名称在日志中的频率分析以及不同严重级别的威胁等级分布。

1.2.5、审计与运维管理

1.#硬件要求：1U高度机架式，配置冗余电源，内存,硬盘容量,以太网千兆电个，接口扩展槽位个，支持千兆、万兆接口扩展，实配应用发布中心，配置国密动态口令卡23个，资产运维审计授权个；（提供配置清单并加盖制造厂商公章)

2.性能要求：最大图形并发连接数个，最大字符并发连接数个；

3.系统具备全面的权限管理体系，涵盖了超级管理员、配置管理员、操作员、审计员及自动化人员等多个角色，并允许根据实际需求进行用户角色的定制化设置。

4.支持灵活的双因素认证组合，允许用户自定义集成两种验证方法，形成创新的认证流程。

5.实现对AD账号的智能化集成，系统能自动识别并纳入管理范围，为未接入的AD账号分配预设的角色，整个过程无需人工管理员介入，确保高效便捷。

6.实现用户标签视图的高效管理，支持根据用户自定义的筛选标准迅速统计并呈现符合要求的账户详情。

XX有限公司

7.实现动态权限管理，管理员可根据用户特征（如属性）、设备特性和系统账户特性定制灵活的动态权限策略。一旦用户、设备或账户匹配相应的属性条件，将自动授予相应的访问权限。

8.系统支持对单一实际资产/账户进行多维度配置，实现属性与设置的自动同步功能。

9.实现部门化的用户账户和目标设备管理权限划分，允许个体用户及设备归属于特定的部门或子部门架构。

10.实现部门级别的访问控制策略，各配置管理员仅能针对其所属部门及其直接下属部门的设备进行权限管理。同时，审计功能也按照部门划分，确保各部门审计管理员仅能审计其部门及其直属子部门的设备操作记录。

11.我们提供灵活的访问策略配置选项，包括按用户（及用户组）、目标设备（设备组或应用程序）、系统账户以及服务等多个维度进行定制。

12.该系统兼容丰富的访问方式，包括Web界面、Mstsc远程桌面以及SSHClient等，并支持SSH和SFTP安全传输，同时具备MSTSC透传访问功能。

13.我们提议采用先进的TopN模型来呈现用户的操作焦点，包括但不限于高危操作频率分析和用户行为热度洞察。

1.2.6、安全评估与漏洞管理

1.#2U高度机架式，冗余电源，内存,硬盘,千兆以太网电

8个，千兆以太网光个（含4个千兆多模光模块），接口扩展槽位个；

2.系统漏扫并发任务数为，单任务系统扫描最大并发扫描IP数为，弱口令扫描并发任务数为；

具备强大的接口扩展能力，可支持高达24个千兆以太网接口或者8个万兆接口的扩充选项。

XX有限公司

能力；

4.该系统采用B/S架构设计，采用SSL加密通信技术，无需安装额外软件，用户可以通过浏览器实现对系统的远程管理操作。

5.系统应支持部署在、环境下，且系统扫描、Web扫描、数据库扫描、弱口令扫描、基线配置核查等各类型任务均支持添加扫描目标；

6.系统需具备多路扫描能力，所有设备网口均可作为扫描接口，支持同步对多个独立网络分区进行探测。

7.系统需配备一键功能，能对特定IP范围同时执行系统扫描、Web安全扫描及弱口令检测任务。

8.系统应支持检测的系统漏洞数不少于，覆盖CVE、、CNVD、CNNVD、CNCVE、Bugtraq多种准；

9.系统需具备SSH、SMB、TELNET、RDP、POP、POP3以及IMAP等远程访问协议的支持，以确保高效便捷的通信能力。

FTP、WMI、RSH、、WINRM、SNMP等协议对目标主机进行登录扫描；

10.系统应支持国产操作系统、数据库的扫描，国产操作系统包含中标麒麟、凝思、华为欧拉、深度、红旗、中兴新支点，国产数据库包括神通、人大金仓、南大通用、达梦；

11.系统需兼容并具备对当前广泛采用的协议（如TELNET、FTP、SSH、POP3、SMB、SNMP、RDP及SMTP）的弱口令检查功能。

12.#系统应支持摄像头弱口令检测，包含主流厂商摄像头如大华、华为、宇视、海康；

13.系统需具备多元化的漏洞库升级途径，包括但不限于在线更新、通过FTP传输进行升级以及本地导入升级。对于在线升级功能，应允许用户设定周期性自动升级的时间安排，并支持通过代理网络进行操作。

XX有限公司

级；

14.#提供漏洞库升级授权服务年，配置IP地址扫描授权个数无限制；

1.2.7、高效TAP网络设备

1.交换容量：交换容量,若产品交换容量有范围指标，则交换容量范围下限值必须;

2.包转发率：包转发率,若产品包转发率有范围指标，则包转发率范围下限值必须;

3.#功能支持：支持TAP进行流量识别处理，匹配ACL策略，负载均衡，支持N:M的流量镜像，支持识别报文头及更改报文信息，支持剥离VLAN标记，解封装GRE/NVGRE/VXLAN隧道；

端口镜像功能全面：既支持本地端口的实时复制，也涵盖远程监控的镜像选项，特别强调了流式镜像技术的应用。

5.路由功能：支持、静态路由，RIP等三层动态路由协议；

6.路由支持：支持等价路由、VRRP、、、BGP、ISIS等增强三层路由协议；支持硬件BFD功能，支持,倒换时间,支持与VRRP联动；支持ERPS(G.8032)等常用环网技术，收敛时间平均可达50ms以内；

7功能支持：支持多级管理功能，可设置用户级别大于等于16；支持全线速交换能力；支持N:1虚拟化功能，故障切换时间,支持堆叠链路数量大于等于8条；时间戳（对报文实现时间定为）；轮询方式实现负载分担（解决HASH不均匀)；

端口配置丰富：包括48个兼容10G/1GBASE-XSFP+的高速接口，以及2个40GQSFP+端口和4个QSFP28接口。

XX有限公司

9实配：1U机架式设备，实配个万兆SFP+端口，个40GQSFP+端口，个QSFP28端口，个万兆多模模块，模块化双电源，个风扇模块；

1.2.8、高效流量监控与分析系统

设备的处理性能要求：需能实现不低于20吉比特每秒（Gbps）的流量实时采集与分析，并确保完整数据包的储存功能。

2.界面设计需具备Web管理模式，所有设备配置、流量追踪查询、数据包解析等工作应均可在Web界面上流畅执行。

3.应用识别定义：支持2000种以上协议和应用识别支持根据响应时间设置自定义应用的性能等级支持对内网、互联网场景模式手动切换，内网模式下只识别常见网络协议和应用；

4.应用流量监控与分析：系统具备实时流量统计功能，涵盖全面的应用列表，包括实时会话统计，如会话数量、流量占比、总流量以及上行与下行速率。用户可深入了解每个应用的详细信息，如会话详情列表，包含用户名、用户组、源/目的IP地址及端口、目标主机名、通信协议、连接类型、应用标识、网络延迟、应用内部延迟、超时时间以及持续时间等关键指标。

5.【用户行为洞察】：系统具备对实时采集的全流量进行深度审计分析的功能，涵盖DNS请求与响应详细日志、HTTP GET访问记录、FTP登录明细、VPN连接档案、TELNET登录交互记录、虚拟账户活动、数据库操作追踪、电子邮件收发记录以及搜索引擎关键词搜索历史。系统支持查询最近30天内的任何时间点日志详情，同时能够揭示关于IP地址的用户身份信息、终端设备类型及首次发现的时间点。

会话分析：提供所有的tcp/udp会话列表，提供针对每个会话

有限公司

的数据包、字节数等统计参数能够在web分析界面进行传输报文解码分析，查看会话的数据包列表、数据包的ASCII、HEX编码内容、协议层次、会话数据流重组内容支持对TCP/UDP会话进行长时间数据记录检索，系统支持显示会话数量万条，通过搜索、翻页可以查询任意历史会话记录；

7.流量监控概览：系统具备全面的流量可视化功能，展示内容涵盖设备整体流量总量、实时在线用户数、活跃会话数、流量变化趋势（设备与各维度，如服务器、应用）等。具体包括服务器实时流量监测、会话统计，以及对单个服务器内用户流量和会话的详细分析。此外，系统还支持应用层面的实时流量展示，可深入剖析每个应用的用户访问流量及其质量指标。

8. 日志分析功能：系统具备实时处理全流量的能力，能够生成详尽的HTTP GET访问记录、DNS解析状况、SMTP/POP3邮件发送与接收以及FTP访问日志。对于IPSec和SSL等安全类型的VPN访问，系统同样能完整记录其日志。此外，系统支持查询过去30天内任何时间点的HTTP GET日志、DNS解析日志、邮件通信记录（SMTP/POP3）、FTP访问日志以及IPSec/SSL VPN访问日志信息。

9.安全管控特性：系统设计需注重安全性，仅允许授权的客户端IP地址访问分析服务器，通过IP地址过滤策略实施。同时，系统集成第三方认证功能，如Radius等，支持通过Web界面以及命令行接口（CLI）进行设备配置，配置范围涵盖链路设置、用户管理、服务器配置、应用程序部署以及告警管理等关键环节。

1.2.9、高效安全区域汇聚设备