指标项

指标要求

★设备要求

2U标准机架式硬件产品，双电源，具有完全自主知识产权的专用安全操作系统，稳定可靠；提供操作系统著作权证书

≥4个千兆电口，≥4个千兆光口；提供2个接口扩展板卡插槽，支持千兆电口/光口，万兆光口扩展

支持IPv4和IPv6环境的部署；提供IPV6 phase-2认证证书

产品性能

▲最大吞吐量≥(略)Gbps；应用层吞吐量≥2G

最大并发连接数≥(略)万

产品功能

★实配置防病毒功能，提供防病毒模块授权

支持虚拟IPS功能，不同的用户可以方便定制满足自身要求的检测模版

1.设备需支持动态口令卡双因子认证（OTP）认证，提供登陆界面界面截图。

2.系统须提供对网络病毒、蠕虫、间谍软件、木马后门、刺探扫描、暴力破解等恶意流量的检测和防御。

1.系统应提供覆盖广泛的攻击特征库，能够针对不少于(略)种以上的攻击行为、异常事件，以及网络资源滥用流量进行检测和防御，内置特征库可分不同级别进行升级至少包含高中低三个级别，提供截图。

2.支持对文件感染型病毒、蠕虫病毒、脚本病毒、宏病毒、木马、恶意软件等过滤，病毒库数量不少于(略)万。

3.支持病毒库分类，根据实际网络情况加载不同的病毒库，提高检测效率。支持对指定文件类型进行病毒扫描过滤，出内置文件类型外也支持手动添加扫描文件类型。

1.支持网页（如http）、邮件（如POP3、IMAP）、文件传输（如FTP）等协议的病毒过滤功能。

2.防病毒功能支持检查到http及POP3协议的替换信息，当系统检测到病毒时，可以根据自定义的配置向用户端程序(浏览器或邮件程序)显示提示信息。

系统应支持SQL注入、XSS、爬虫、CGI和web漏洞扫描等Web安全防护功能，3.针对SQL注入，XSS攻击设备应提供在线事件分析功能，至少提供攻击方法、攻击字段和攻击域、影响的数据库等提供截图。

1.系统应支持弱口令检测功能，需支持至少8种网络协议并支持至少7种弱口令检测元素，说明支持的网络协议和定义弱口令的检测元素。

2.系统应支持敏感信息防护功能，识别信息和文件中的关键字、身份证、手机号码、固定电话号码、银行卡、IP地址等敏感信息，并支持文件指纹识别和白名单功能。

3.支持威胁情报功能，采用的威胁情报需进入IDC威胁情报排名领导者象限提供证明文件，威胁情报类型不少于(略)类，至少覆盖安卓恶意程序、APT攻击、远控木马、僵尸网络、僵尸主机、挖矿、DDOS攻击、欺诈、赌博、物联网/IOT攻击网络、物联网/IOT失陷主机、恶意网站、钓鱼、勒索软件、web攻击主机、网络蠕虫等，提供截图。

产品资质

投标产品应具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》，提供有效证书的复印件

产商资质

1.产品生产厂商应为CNCERT国家级网络安全应急服务支撑单位，提供证书复印件

2.产品生产厂商具有良好软件开发成熟度，取得CMMI5证书，提供证书复印件

3.产品生产厂商应具备由中国信息安全测评中心颁发的《国家信息安全测评授权培训机构证书》，提供证书复印件

▲设备维保

设备原厂提供3年维保服务；提供3年入侵防御特种库和病毒防护特征库升级服务。

指标项

指标要求

★设备要求

2U标准机架式硬件产品，冗余电源，具有完全自主知识产权的专用安全操作系统，稳定可靠

≥4个万兆光口，≥(略)个千兆电口，≥8个千兆SFP光口，≥4个接口扩展槽位，1T硬盘

支持IPv4和IPv6环境的部署

产品性能

★最大吞吐量≥(略)Gbps,应用层吞吐量≥6Gbps

▲最大并发连接数≥(略)万

产品功能

▲系统须提供对网络病毒、蠕虫、间谍软件、木马后门、刺探扫描、暴力破解等恶意流量的检测和防御

▲系统应提供覆盖广泛的攻击特征库，包含不少于(略)种的攻击行为特征。系统携带的攻击特征库须获得CVE-Compatible兼容性认证

★实配置防病毒功能，提供防病毒模块授权

系统提供服务器异常告警功能，可以自学习服务器正常工作行为，并以此为基线检测处服务器非法外联行为

系统提供敏感数据识别功能，能够识别通过自身的敏感数据信息（身份证号、银行卡、手机号等）

系统提供关键文件检测功能，能够识别通过自身的关键文件，以防止非法外传行为。能识别的关键文件类型应包含至少以下几类：(略)

产品资质

投标产品应具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》，提供有效证书的复印件

产商资质

产品生产厂商应为CNCERT国家级网络安全应急服务支撑单位，提供证书复印件

产品生产厂商应具备足够的信息安全服务技术实力及安全服务保障能力，获得中国信息安全测评中心颁发的信息安全服务安全工程类三级资质证书,提供证书复印件

产品生产厂商需具备中国网络安全审查技术与认证中心颁发的《信息安全服务资质认证证书》,提供证书复印件

设备维保

▲设备原厂提供3年维保服务，提供3年入侵防御特种库和病毒防护特征库升级服务。

指标项

指标要求

授权配置

▲实配(略)个数据库实例授权。

★硬件规格

2U机架式设备，双电源，千兆电口≥6个，扩展槽位≥3个，内存≥(略)G,SSD≥(略)G，存储空间≥6T，峰值SQL吞吐量≥(略)条/秒，SQL存储≥(略)亿条；部署模式支持串联、旁路及双机模式，支持BYPASS功能

数据库监控功能

★支持Oracle、SQL Server、DB2、MySQL、SyBase、MongoDB等国际主流数据库（可增加），支持DM等国产数据库（可增加），支持大数据平台

1.支持数据库运行健康状态监控，包括：

可用性监控：(略)

错误监控：(略)

性能监控：(略)

变化监控：(略)

2.支持数据库关联资源监控，包括：

数据库资源监控：(略)

三大资源锁监控：(略)

主机资源监控，包括：(略)

准入控制

★支持多维身份管理，至少支持应用程序名、IP地址、主机名、操作系统账户、数据库账户、数据库实例名、时间、U盾等因素进行任意组合，形成新的登陆认证规则（投标时提供功能截图并加盖原厂公章）

1.支持对SQLPLUS、PLSQLDEV等SQL管理工具或客户端应用程序进行签名登陆验证，防止恶意和仿冒的工具或程序登陆数据库。

2.支持检测和审计密码猜测行为，通过设置密码猜测次数限制进行防护。达到密码猜测限制，锁定猜测终端，支持自动解锁和手工解锁。

3.支持安全管理员、系统管理员、安全审计员三权分立；支持密码长度、有效期、复杂度、密码错误锁定策略等配置方式；支持固定授权的终端IP登陆。

访问控制

1.支持禁止特权用户（DBA\SYSDBA\Schema User\any权限等用户）访问和操作敏感数据集合，实现特权用户权限分离管理，访问敏感数据集合需要经过授权审批。（投标时提供功能截图并加盖原厂公章）

2.支持身份管理可设置敏感标签身份，自动具备合法访问敏感数据的权限，未明确注册的身份，默认表示为不合法身份，不能访问敏感表格。

3.支持查询、修改、删除等操作的行数控制，避免数据大量泄漏；支持访问频次控制，避免一定时间内的高频次访问，避免数据流失。

4.支持敏感SQL的管理，支持授权访问，未授权身份将被拒绝。投标时提供功能截图并加盖原厂公章）

1.针对敏感数据集合的访问，需要通过授权才可以访问，不具备访问权限的操作，明确阻断拒绝，并提示相关错误信息。

2.敏感数据集合支持设置访问规则，访问规则中可设定精细化的访问因子（如应用程序名、IP地址、主机名、操作系统账户、数据库账户、数据库实例名、时间、U盾等条件），满足规则条件方可访问敏感数据集合。

3.账户管理操作（Create user、Alter user、Drop user等），授权管理操作(Grant)，业务对象操作（Truncat table，Drop table）以及业务代码操作（修改Package，修改view）只有具备操作权限的安全管理员和授权人员才可以进行操作（投标时提供功能截图并加盖原厂公章）。

分级分类

1.归类的敏感数据集合支持敏感标签级别定义，支持分配具有多维身份标签的管理者，同时支持设置行为操作属性（如查询、更新、插入及删除）。（投标时提供功能截图并加盖原厂公章）

2.支持自定义敏感数据范围，可在表级和列级两个粒度进行配置，多个数据表格归类成为敏感数据集合，进行独立安全管理。（投标时提供功能截图并加盖原厂公章）

敏感数据发现

1.内置针对符合特征的敏感数据发现规则，规则包含但不限于：(略)

2.通过快速的敏感发现功能，一键式对数据库内的敏感信息进行扫描发现，对发现的敏感资产进行快速的分级分类，达到保护资产的快速梳理，减少认为配置工作。

★动态脱敏

支持SQLPLUS、PLSQLDEV等SQL管理工具查询数据时的动态脱敏，根据用户的身份与访问的数据库对象以及对应的脱敏规则，对不同授权的用户可返回真实数据、部分遮盖、全部遮盖以及其他脱敏算法得到的结果。（投标时提供功能截图并加盖原厂公章） 脱敏规则至少支持以下脱敏算法：(略)

工单管理和误操作恢复

1.通过工作流的方式对敏感表格和SQL访问授权，使整个过程更加透明，有迹可寻。同时支持临时授权，到期后自动回收权限。

2.支持oracle、SQL server、mysql、DM达梦等国际主流数据库和国产数据库（可增加）的误删除、恢复（DROP和truncate）。（投标时提供功能截图并加盖原厂公章）

审计和AWR报告管理

1.支持SQL命令的细粒度审计和分析，并详细记录管理用户的行为信息，包括该语句执行的时间、机器名、用户名、IP地址、MAC地址、客户端程序名以及SQL语句等信息，对数据库操作进行审计，可对查询，新增，修改，删除等行为进行监控。

2.支持AWR报告全中文解读，解读内容至少包括：(略)

整合资深数据库专家的多年数据库性能优化经验，形成专家智能分析系统，根据数据库的性能状况，给出专业的分析，对数据库可能存在的性能瓶颈进行快速定位，对每个异常指标提供专业解读和优化建议。

支持WORD和PDF文档两种方式下载巡检报告。（投标时提供功能截图并加盖原厂公章）

数据库日常运维管理

1.提供用户赋权工具：(略)

2.当需要扩容表空间时，提供一键表空间扩容工具：(略)

感知和告警

1.直观、可视化监控数据库的整体安全情况，当出现风险时可快速的定位当前被攻击的数据库及发起攻击的客户端等；支持注入攻击监控、漏洞攻击监控、敏感访问监控、系统运行监控、流量监控。

2.安全告警支持基于任意组合订阅的模式，实现个性化告警订阅管理。 3.支持多种安全响应措施，包括页面、邮件、短信方式进行告警。

产品资质

软件拥有完全自主知识产权证明，非OEM产品，具备如下资质：

1.具备国家版权局颁发的《计算机软件著作权登记证书》。

2.具备公安部颁发的《计算机信息系统安全专用产品销售许可证》。

3.具备ISCCC信息安全认证中心颁发的《中国国家信息安全产品认证证书》。

4.产品应具备相关信息技术安全产品检测证书。

（提供证书复印件并加盖原厂公章）

▲售后及维保

提供3年原厂售后服务，项目实施由原厂工程师实施，要求实施项目经理具备项目经理证书，实施工程师同时具备OCP和CISP工程师证书。（提供证书复印件并加盖原厂公章，并提供社保证明）

产品类型

指标要求

无线AP

★1.采用整机四流设计，可同时工作在(略).(略)a/b/g/n/ac/ac wave2模式；内置全向天线；整机协商速率≥(略)Mbps；支持≥1个(略)/(略)/(略)Mbps(RJ(略))

支持基于空口利用率的SSID自动隐藏功能，当空口繁忙程度达到或超过配置的阈值时，SSID自动隐藏，为用户提供稳定可靠的无线服务

支持WPA3个人级方式下的终端接入；支持WPA3企业级模式下的终端接入功能

提供国家工信部型号核准证、WiFi联盟证书

汇聚交换机（POE）

★交换容量≥3.3Tbps；包转发率≥(略)Mpps；单机支持不少于(略)个GE端口+4个万兆SFP+口；支持(略).3at/POE+供电标准，整机POE功率≥(略)W；实配：(略)

MAC地址表>=(略)K

支持跨设备链路聚合，单一IP管理，分布式弹性路由；支持远程堆叠

支持基于端口的VLAN、基于协议的VLAN、基于MAC的VLAN

支持IGMP v1/v2/v3，MLD v1/v2、IGMP Snooping v1/v2/v3，MLD Snooping v1/v2、PIM Snooping、MLD Proxy、组播VLAN

支持IPv4静态路由、RIP V1/V2、OSPF、支持IPv6静态路由、RIPng

无线控制器系统（认证软件）

管理软件实配(略) License授权，包含终端准入组件实配(略) License 点为授权；

要求资源拓扑、告警、性能等功能模块支持多服务器分布式虚拟化部署，可实现负载分担，满足大规模网络环境的统一管理。单套软件可管理的节点数≥(略)个

▲可以为不同的管理员设置不同的用户名、密码，并限制管理员的管理权限和管理范围，实现用户分权管理

支持Windows、Linux平台、麒麟等国产操作系统，及MS SQL、Oracle、达梦等数据库，支持B/S架构

支持自定义用户主页：(略)

支持根据预定义的联动策略对匹配的事件（Trap）执行联动控制；支持各类安全威胁的分析和联动（支持防火墙、IPS、交换机、终端软件等上报信息的分析）

▲支持对绑定的IP/MAC进行监控，如果该MAC地址对应的机器更换了IP地址，或者其它机器冒用了本IP地址，则系统会立即发送相关告警，通知管理员发生了IP使用违规现象，从而管理员能够及时采取措施应对

▲支持对接入设备MAC地址进行监控，如果其它MAC地址接入到该接口，或者该MAC从其它设备接口接入网络，系统会立即发送相关告警，通知管理员发生了MAC接入违规现象，从而管理员能够及时采取措施应对。通过MAC/接口绑定，能有效的防止网络中非法设备接入的现象

支持多种(略).1X接入认证：(略)

支持纯Web认证和客户端Portal认证，客户端方式支持可溶解方式，无需安装；支持二次地址分配；Portal页面支持定制；支持IPV6纯Portal认证以及NAT环境下的Portal认证；基于不同的端口组、WLAN SSID、终端操作系统推出不同的认证页面；支持Web Portal页面可视化定制；支持无感知认证，可在多台认证设备间漫游；支持微信认证；支持短信认证，与短信平台、短信猫对接，具备面开发即可支持的短信网关平台

支持RADIUS漫游认证，可对漫游用户在线查看和接入明细日志查询；可以和iNode客户端配合提供快速认证，无需终端用户输入用户名和密码；支持证书、多级证书认证和无线的WAPI认证方式；支持RSA认证

支持从LDAP服务器上同步账户信息，支持的LDAP服务器包括：(略)

提供CMMI(软件能力成熟度模型集成)5级或以上认证证书、软件著作权证书

无线控制器系统（无线AC）

▲支持常规AP最大数量≥(略)；单机支持千兆端口≥8个 （光电复用）；支持交/直流双电源供电；实配(略)W交流电源*2，实配AP管理授权数≥(略)。

支持MAC 地址认证、(略).1x认证（EAP-PAP、EAP-MD5、EAP-PEAP、EAP-TLS、EAP-TTLS）、Portal认证、MAC+Portal混合认证、WAPI认证

支持W支持AC内漫游，支持跨AC间漫游，支持跨VLAN的三层漫游PA标准、WEP(WEP(略)/WEP(略))、TKIP、CCMP

为保障IPV4网络过渡到IPV6网络的安全性，设备需支持IPV6 SAVI功能

总部AC统一管理；License统一管理；自由选择认证点；分支AC支持本地漫游功能

要求提供所投设备进网许可证、家强制性产品认证证书（CCC）

▲安装和实施

AP采用吸顶方式安装，室内布线主要采用六类非屏蔽网线，室内网线的敷设主要是从POE交换机到无线AP间的布线。终端无线 AP 设备的供电都通过 POE 交换机取电。

▲设备维保

本包全部设备原厂提供3年维保服务。