江西省自然灾害应急能力提升工程预警指挥项目网络安全包采购需求咨询论证公告

序号

设备名称

技术参数

单位

数量

一

网络安全监测预警系统

1

网络安全态势感知平台

1）交流冗余电源，内存≥128G，存储硬盘≥40T，万兆光口≥4个，日志吞吐量≥50000EPS，能够满足180天的存储要求。

2）支持集群模式部署。

3）支持与部安全管理中心进行对接，按照本技术规范的数据汇聚方式和数据汇聚内容，通过 kafka的（略），通过 API 接口调用的方式供上级平台查询日志和 PACP 包。对流量检测探针进行集中管理。提供不少于1人的安全专业人员项目现场驻守，以及远（略），并在重保期间指派安全专家现场值守，定期提供资产梳理、未知资产发现、漏洞扫描、终端病毒检测查杀等。提供项目所需网络模组及线缆，安装布放及调测实施，提供项目所列平台及硬件设备安装与调测实施

4）支持对接入的数据进行泛化处理，根据实际需求补全字段内容，修改字段名称，打上资产归属标签。能够对属于相同安全事件的告警信息进行归并处理。

5）支持以大屏的方式对各类安全态势进行可视化展示，能够满足本地大屏的分辨率要求。

6）支持对本地各类资产进行信息录入和管理，资产类型包含：终端、服务器、应用系统、交换机等，通过资产信息协助安全运营工作。

7）支持对安全事件进行告警，能够展示：IP 地址、事件名称、入侵类型、攻击载荷信息、流量上下文等内容，可以（略）。

8）支持自定义关联分析规则，可以基于时间、主客体、行为特征等多种数据进行关联，发生入侵（略）。具有情报辅（略），用于协助进行（略）。

9）支持设定自动（略），针对可明确的入侵攻击进行自动化处置，降低受损面积，能够与其他设备进行联动。

10）支持建立重保活动的流程清单，将各环节流程化，支撑围绕重保目标和对象开展工作。

11）支持已处置及未处置告警统计、告警级别分布、告警类型分布，告警趋势、最新告警等告警信息展示。

12）支持多维度恶意程序感染分析，包括但不限于木马、蠕虫、僵尸程序、勒索软件、挖矿等维度。

13）提供不少于五年维保服务。

套

3

2

流量检测探针

1）交流冗余电源，内存（略），存储硬盘≥20T，万兆光口≥2个，网络层吞吐量≥10Gbps。

2）支持将（略），能够接收态势感（略）。

3）支持针对实时流量采集分析，能够解析常见的应用层和网络层协议，可以对上传离线流量数据包进行分析。

4）支持对基于SSL协议的加密数据进行解密和还原，协议类型包括：SMTPS（略），能够支持所需的国密算法和国际算法。

5）支持对实时流（略）恶意文件存储，与网络（略）。

6）支持针对SQL注入、XSS攻击、恶意文件上传、远程命令执（略）。

7）支持对文（略），具备动态**态两种检测模式，可以针对恶（略），并留（略）。

8）检测能够对目标文件实时检测实时还原效果，不依赖规则库检测实现对未知恶意程序检测。

9）提供不少于五年维保服务和不少于三年特征库升级。

台

12

二

跨网安全接入与数据安全交换系统

1

中心侧SD-WAN网关

1）交流（略），万兆光口数量≥4个，应用层（略），所使用的（略）。

2）支持被SD-WAN网关控制台进行统一管理。

3）支持进行广域（略），有效提升传输效率，在 30%丢包（略），依然可保障视频类业务的流畅性。

4）支持进行传输加解密，使用算法包括国际算法和国密算法，能够通过商用密码应用测评。

5）支持与边缘侧SD-WAN网关配合，将接收的原始包和复制包进行解析处理，剔除冗余数据，增强视音频业务的可靠性。

6）支持在两个（略），满足部分仅支持二层互联的业务场景需求。

7）支持DNS转发功能，无需修改本地DNS配置即可将所有DNS解析请求转发到指定的DNS服务器。

8）支持智能QoS功能，以保障重要业务系统优先使用带宽**。

9）支持与接入设备进行绑定，未经认证的设备无法接入网络。

10）提供不少于五年维保服务。

台

4

2

SD-WAN网关控制台

1）交流冗余电源，万兆光口数量≥4个，内存≥128G，能够管理的SD-WAN网关数量≥300个。

2）支持将日志数据报送给网络安全态势感知平台，并且对中心侧和边缘侧SD-WAN网关进行统一管理，提供开放API接口供其他平台调用。

3）支持结（略），提高登录安全性。

4）支持查看链路状态和拓扑结构，可以实时显示每条链路的延时、抖动、丢包和吞吐等统计信息。

5）支持分权分域管理功能，用户管理权限至少支持三级：一级权限（略），二级权限可管理部分指定单位站点，三级权（略）。

6）支持将基础配置进行集中导入，实现SD-WAN网关设备的批量化上线。

7）提供不少于五年维保服务。

台

1

3

边缘侧SD-WAN网关

1）网口数量≥4个，根据实际需求配备具备4G/5G和WiFi模组，所使用的密码组件通过国家密码管理局的检测认证。

2）支持被 SD-WAN 网关控制台进行统一管理。提供5G CP（略），向下兼容4G网络。提供的流量卡每月流量不低于10Gb，持续提供5年。

3）支持进行广域网传输优化，有效提升传输效率，在30%丢包的网络质量下，依然可保障视频类业务的流畅性。

4）支持进行传输加解密，使用算法包括国际算法和国密算法，能够通过商用密码应用测评。

5）支持与中心侧SD-WAN网关配合，将原始数据包复制后，将原始包和复制包通过两条不同的链路共同发送，增强弱网情况下视音频业务的可用性。

6）支持在两个或多个站点之间基于互联网的二层互联，满足部分（略）。

7）支持（略），无需修改本地DNS配置即可将所有 DNS 解析请求转发到指定的 DNS 服务器。

8）支持智能QoS功能，以保障重要业务系统优先使用带宽**。

9）支持与接（略），未经认证的设备无法接入网络。

10）提供不少于五年维保服务。

台

30

4

应用安全网关

1）交流冗余电源，万兆光口≥4个，网络吞吐量≥8Gbps，应用层吞吐量≥5Gbps，最大并发连接数≥20万，新建连接数≥2万。

2）支持集群（略）。

3）支持将日志数据报送给网络安全态势感知平台。

4）支持对Web请求进行代理访问，并对协议的报文头和报文格式进行格式检查与控制，可根据不同的URL进行独立配置。

5）支持对HTTPS访问请求进行数据解密，将SSL证书进行卸载，还原成HTTP访问请求。

6）支持对拒绝服务攻击、SQL注入、跨站脚本攻击、文件上传、远程命令执行漏洞等常见应用攻击防护能力，具备语义分析检测能力。

7）支持对HTTP报文进行敏感内容识别，能够根据（略），检查其中是否含敏感内容。

8）支持敏感信息脱敏。

9）提供不少于五年维保服务和不少于三年特征库升级。

台

3

5

数据安全交换平台

1）交流冗余电源，万兆光口≥4个，网络层吞（略）ps,数据库同步速率（1KB）≥12000条/秒,FTP 文件同步速率（350KB）≥2500个/秒,消息同步速率（1KB）≥10000条/秒，最大任务数≥80。

2）支持集群化方式部署和IPv4/IPv6双栈工作模式。

3）支持将日（略）。

4）支持进（略），对验证异常（略）。

5）支持通过数字证书、口令密码、硬件指纹等标识进行身份认证和准入控制。

6）支持对数据库、消息队列、文件进行数据交换，能够检查交换数据的名称、协议、大小，只允许符合安全策略的数据通过。

7）支持对交换数据进行恶意代码检测，发现恶意代码时（略）。

8）支持网关同侧数据库之间的数据同步。

9）支持木马类、蠕虫类等攻击规则知识库。

10）提供不少于五年维保服务。

台

3

6

视频安全网关

1）交流冗余电源，万兆光口≥4个，应用层吞（略），720P高清视频并发≥600路，视频流传输时延≤300ms。

2）支持集群化方式部署和IPv4/IPv6双栈工作模式。

3）支持将日志数据报送给网络安全态势感知平台。

4）支持接入的设（略），确保信令流和视频流合法性。

5）支持基于设备ID、数字证书、硬件（略）

6）支持对应用层协议进行格式检查，对畸形协议（略），兼容SIP、H.323、RTSP、ONVIF等常见协议和华为（略）

7）支持检查SIP消息中的文本内容，以匹配（略），阻止非法内（略）。

8）提供不少于五年维保服务。

台

3

7

负载均衡器

1）交流冗余电源，内存≥16G，万兆光口≥6个，网络层吞吐量≥20Gbps，最大并发连接数≥2000万，每秒新建连接数≥50 万。

2）支持 IPv4/IPv6 双栈工作模式。

3）支持将日志数据报送给网络安全态势感知平台。

4）支持对负载设备进行健康检查，在设备出现故障时不再对其进行流量分发对于视频业务具有专项优化能力。

5）支持进行服务负载和链路负载，算法包括：轮询、最小（略）。

6）支持HTTP2网关部署；

7）提供不少（略）。

台

2

8

网闸

1）交标准2U机架式设备,内外端机双侧液晶屏；

2）内端机配置（略）（含1个管理口），≥4个千兆光口插槽，≥1个扩展槽位；

3）外端机配置≥6个10/100/1000Base-T接口（含1个HA口），≥4个千兆光口插槽，≥1个扩展槽位,冗余电源,网络吞吐量≥5Gbps，并发连接数≥30万，延时1ms，内外端机各≥16G内存，内外端机各（略）。

台

1

9

边界防火墙

1）交流（略），万兆光口≥8，网络层吞吐量≥40Gbps，最大并发连接数≥2000万，每秒新建连接数≥50万。

2）支持 IPv4/IPv6 双栈工作模式，具备 bypass能力。

3）支持将日志数据报送给网络安全态势感知平台。提供不低于100M互联网专线接入（提供2条）。

4）支持五元（略），提供双向控制能力，可以批量设置规则。

5）支持静态路由、策略路由、RIP、OSPF、BGP、ISIS等路由协议。具备虚拟路由功能，且虚拟路由功能不依赖虚拟防火墙功能。

6）支持全面 NAT 功能，对多种应用层协议支持ALG功能，包括 DNS、FTP、H323、RTSP、SIP等。

7）支持对访问流量进行恶意指令清洗，涵盖应用层和网络层协议。

8）支持对（略），具备（略），压缩包嵌套不低于3层。

9）支持DDOS防护等防护。

10）支持与态势感知系统联动，能将日志信息等上报给态势感知进行统一管理，并能获取态势感知下发的访问控制策略和黑名单策略等，从而对流（略）。

11）提供不少于五年维保服务和不少于三年特征库升级。

台

2

三

网络违规外联检测与终端准入管控系统

1

违规（略）

1）交流冗余电源，万兆光口≥2个。

2）支持被违规外联检测控制台统一管理能力。

3）支持通过主动探测方式发现违规外联主机，并能够基于网络流量及协议的深度解析，完成违规外联行（略）。

4）支持通过主动探测的方式发现网络内的联网资产，可以自定义标签分类对资产进行管理。

5）支持通过主动探（略），并进行全网拓扑绘制。

6）支持自定义外联探测地址范围和探测时间范围，根据规则周期性开启探测工作。

7）提供不少于五年维保服务。

台

13

2

违规外联检测控制台

1）交流冗余电源，万兆光口≥2 个，内存≥16G，管理的违（略）。

2）支持将日志数据报送给网络安全态势感知平台，并且对各个违规外联检测器进行统一管理，并提供开放API接口，与部安全管理中心对接。

3）支持添加级联违规外联检测器，按照区域新（略），能够显示检测器级联状态。

4）支持配置策略对指定事件类型进行告警，包括网页、短信、邮件等告警方式能力。

5）支持同步获取所有级联检测器的资产信息和违规信息能力。

6）提供不少于五年维保服务。

台

1

3

终端准入网关

1）交流（略），内存≧16G，万兆（略），网络层吞吐量≧3Gbps，可交互终端≧500。

2）支持IPv4/IPv6双栈工作模式，具备bypa（略）。

3）支持将日志数据报送给网络安全态势感知平台。

4）支持发现网络内的 NAT 设备，对使用 NAT 接入的终端进行准入控制或切断其访问。

5）支持通过 IP/MAC 的方（略），针对随（略）。

6）支持无线和有线环境下的接入控制，适应复杂网络环境下的接入控制。

7）支持资产管理功能，可管理不同类型入网资产；提供交换机网络设备管理功能。对入网资产可发现、可审批入网。

8）支持终端信息绑定认证，可检查入网终端IP、终端MAC、用户名、交换机端口等多要素信息。

9）提供不少于五年维保服务。

台

13