校园信息安全平台建设需求

校园信息安全平台建设需求一、项目概述项目建设由互联网出口防火墙系统、上网行为管理与审计系统、Web应用防护系统、服务器边界安全隔离系统、终端安全管理系统、数据脱敏系统、漏洞扫描系统、零信任安全网关系统1、零信任安全网关系统2、零信任安全网关系统3、服务器安全管理系统等构成，从而提供了校园信息安全防护能力、安全审计能力、安全管理能力、防病毒能力、安全监测能力等。二、需求清单序号采购产品名称单位数量1互联网出口防火墙系统套12上网行为管理与审计系统套13Web应用防护系统套14服务器边界安全隔离系统套15终端安全管理系统点8006数据脱敏系统套17漏洞扫描系统套18零信任安全网关系统1套19零信任安全网关系统2套110零信任安全网关系统3套111服务器安全管理系统点200三、产品主要技术参数要求1.互联网出口防火墙系统序号主要技术参数要求网络处理能力≥80Gbps，并发连接≥2000万，每秒新建连接≥55万/秒，2U机箱，冗余电源，配置≥8个10/100/1000M自适应电、≥12个SFP+插槽、≥2个40G插槽，≥2个100G插槽。需提供不少于3年硬件维保服务及3年全功能模块升级服务（包括威胁情报数据订阅服务、应用识别库、URL分类特征库、病毒防护特征库、入侵防御特征库升级服务）。需支持路由、旁路、交换以及混合模式接入，满足复杂应用环境的接入需求，支持旁路模式。需支持VTEP（VxLanTunnelEndPoint）模式接入VxLAN网络，并可作为VXLAN二层、三层网关；支持通过绑定VLAN、VNI（VXLANNetworkIdentifier）、远程VTEP，手动管理VxLan网络；支持MAC、VNI、VTEP静态绑定。支持MTU≥9000byte的巨型帧JumboFrame。支持基于策略的路由负载，支持根据应用和服务进行智能选路，支持源地址目的地址哈希、源地址哈希、轮询、时延负载、备份、随机、流量均衡、源地址轮询、目的地址哈希、最优链路带宽负载、最优链路带宽备份、跳数负载等不少于12种路由负载均衡方式，支持基于IPv4或IPv6的TCP、HTTP、DNS、ICMP等方式的链路探测，同时TCP与HTTP可使用自定义目标端口进行测试。支持DS-LiteCPEB4功能，支持成为b4或aftr角色。支持静态路由、策略路由及动态路由。策略路由支持用户自定义其优先级，动态路由应至少支持RIPv1/v2/ng，OSPFv2/v3，BGP4/4+协议；必须支持静态和动态多播路由，动态多播路由必须支持PIM-SM（稀疏模式）。支持IPv4和IPv6流量的HTTPS、POP3S、SMTPS、IMAPS协议进行解密，支持配置基于源安全域、目的安全域、源地址、目的地址、SSL协议服务的解密策略，动作可以设置解密或不解密，并可基于安全域、IPv4和IPv6地址进行例外设置，同时支持将解密后流量镜像到其他设备进行分析统计。支持ISP路由负载均衡，最大可支持8条链路负载，支持自定义负载权重，支持基于优先级的ISP路由链路备份；支持基于IPv4或IPv6的TCP、HTTP、DNS、ICMP等方式的链路探测，同时TCP与HTTP可使用自定义目标端口进行测试。支持将其他硬件安全设备（如NGFW、IPS、IDS、WAF、上网行为管理、探针等）加入网元组接受流量编排；支持将同类型安全设备划归同一网元组（例如2个WAF组成一个网元组），并将流量通过负载均衡算法（包括“源地址哈希”、“源目的地址哈希”，“加权源地址哈希”、“加权源目的地址哈希”、“加权地址端口哈希”、“轮询”和“权重轮询”）的方法编排给组内所有网元。支持对网元进行健康检查，实现故障bypass能力，健康检查至少包括链路探测、回环探测、接口探测能力。支持灵活的服务链编排功能，支持串接链和旁路链，支持网元组的方向和位置设置。支持添加、编辑、删除串接链，旁路链。支持引流策略的添加、删除、调序、清除命中数、刷新功能；支持引流策略的启用和禁用功能。支持灵活的细粒度引流策略，可基于源安全域、目的安全域、源用户、源地址、目的地址、服务、VLAN、服务链、流量方向（内网到外网/外网到内网）的引流策略。支持对编排的流量进行监控，至少能从网元组、引流策略两个维度对编排流量监控统计。能够对HTTP/FTP/POP3/SMTP/IMAP/SMB六种协议进行病毒查杀；本地病毒库规模大于3000万。支持对最多6级的压缩文件进行解压查杀。必须提供关联分析面板，可将Top应用、Top威胁、TopURL分类、Top源地址、Top目的地址等信息关联，并支持以任意元素于为过滤条件且不少于35个维度进行数据钻取。必须支持基于网络活动，威胁活动、阻止活动等多维关联统计及分析，发现异常行为。支持与云端联动，至少实现病毒云查杀、URL云识别、应用云识别、云沙箱、威胁情报云检测等功能。互联网出口防火墙系统需支持作为轻量级“探针”与学校现有的威胁感知系统（设备型号：TY-TSS10000-A58）联动，上报网络活动产生的数据至威胁感知系统；并支持接收来自威胁感知系统推送的处置策略（包括对攻击IP、受害IP、域名进行阻断），及时拦截绕过防御措施产生的高级威胁。支持与本地以及云端沙箱联动，检测文件中携带的未知威胁。支持业务接口下Netflow功能，能够通过Netflow实现对网络进行监控，对接口流量进行抓包，并在可将Netflow抓包文件数据外发。支持将告警信息以SNMPTrap、邮件、声音、短信等形式通知管理员，告警信息的范围至少包括配置变更、病毒事件、攻击事件、异常事件、失陷主机告警、并发数告警、CPU利用率、内存利用率、硬盘利用率、接口带宽利用率、NAT端口池利用率等。提供可明文或加密方式调用的RestfulAPI，并可指定RestfulAPI使用的本地端口；为确保设备管理的安全性，支持限制特定主机调用RestfulAPI。支持MPLS流量透传，支持针对MPLS流量的安全审查，包括漏洞防护、反病毒、间谍软件防护、内容过滤、URL过滤、基于终端状态访问控制等安全防护功能。支持双系统备份，且在系统切换中可实现配置的自动迁移；可记录不同时间点的历史配置文件。支持虚拟防火墙功能，可以将物理防火墙资源，如会话数、安全策略数、源NAT数、目的NAT数，日志存储数量以保留值及最大值的形式自动分配。支持资产管理，能够通过设置资产监控、VPN、源安全域来控制资产识别范围，支持scanner或onvif类型的扫描方式和网段，实现自动或手动资产扫描；支持通过设置IP地址、MAC地址、资产类型、生效市场、厂商、位置等信息来制定黑/白名单，方便日常资产管理，支持通过设置IP地址、MAC地址、资产类型、操作系统、应用、开放的端口和访问的端口等信息来制定资产指纹库。需具备国家信息安全测评中心颁发的《信息技术产品安全测评证书》（万兆EAL4+）。需具备IPv6EnabledLogo认证。产品需满足平均无故障时间MTBF≥5000H，满足GB/T5080.7-1986《设备可靠性试验恒定失效率假设下的失效率与平均无故障时间的验证试验方案》要求。产品具备良好的抗电磁干扰性，传导骚扰程度抗扰度满足GB/T17626.6-2017要求；工频磁场抗扰度满足GB/T17626.8-2006要求；浪涌冲击抗扰度满足GB/T17626.5-2019要求；电压暂降、短时中断和电压变化抗扰度满足GB/T17626.11-2008要求；电快速瞬变脉冲群抗扰度满足GB/T17626.4-2018要求；辐射抗扰度满足GB/T17626.3-2016要求；静电放电抗扰度满足GB/T17626.2-2018要求。2.上网行为管理与审计系统序号具体技术(参数)要求需支持≥10G带宽网络环境使用，最大并发连接数≥400万;最大新建连接数≥15万/秒；2U硬件;配置不少于4个万兆光口，≥2T硬盘，配置冗余电源。需提供不少于3年硬件维保服务及3年软件版本升级服务（提供新版本功能优化与性能提升价值。URL库、应用协议库定期更新）。设备需提供物理硬件bypass按钮，便于设备巡检、设备故障时管理员无需重启、关机、断电即可恢复网络通畅。设备可部署在网络中提供路由转发和NAT功能，可连接ADSL线路和专线。支持策略路由，支持按源IP、目的IP、域名等创建策略路由；支持内置ISP地址库，支持自定义地址库，内置国家/地区地址库。设备在部署时支持模式选择，可设置为Portal模式，实现Portal服务器功能。能够支持IPv6环境下的网址访问审计、生成分析报表等功能；能够在IPv6环境下，正确审计显示用户的IPv6地址。首页可展示特征库规模详情，包括已分类网站数量、已识别应用数量、内置审计规则数量、内置应用规则数量等，已分类网站总数≥2.8亿个。支持自动识别网络中终端的IP地址、MAC地址、终端类型、操作系统、终端厂商和网卡厂商等信息。支持自动扫描发现网络中已占用的IP地址，支持图形化展示某个IP地址的在线状态、当前使用者、MAC地址和活跃时间。支持失陷主机检测，可依据威胁情报、挖矿、间谍软件失陷特征进行匹配，并在匹配成功后拦截该请求并记录日志。可以对下载工具、视频播放、网络游戏、金融理财、即时消息、移动应用有独立的分类进行识别控制。支持应用协议库包含的应用数量不低于12000种，应用规则总数不低于73000种。设备内置常用应用标签，分类至少包含内容外发风险、期货行业合规、证券行业合规、高安全风险、影响工作效率、消耗带宽6大类。支持恶意网站防护，支持防护类型包括挂马网站、恶意篡改网站、钓鱼网站、恶意软件下载网站等，并支持对其进行阻塞或仅记录日志等动作。支持独立的网安应用行为审计策略，支持基于用户、时间、位置、工具进行策略设置。可以识别内网的爬虫行为，并且可监控爬虫用户数趋势和爬虫请求数趋势；可查询爬虫行为详情。支持配置源IP、目的IP/域名白名单，提供更精准爬虫的检测能力。当用户的网页访问被网页浏览策略封堵时，用户如果发现分类错误能够在页面中向管理员进行反馈，并且管理员可在后台界面查看用户反馈的分类错误，并选择是否向服务器反馈。根据关键字管理搜索引擎访问；一条策略实现搜索关键字的阻断、记录、告警，方便维护。通过DNS审计策略对DNS通信内容进行审计和控制。通过SNMP审计策略对SNMP通信内容进行审计和控制。通过NFS审计策略对NFS访问和传输文件进行审计和控制。通过NETBIOS审计策略对NETBIOS通信、登录名及文件/目录名进行审计和控制。可审计Oracle、MySql、SqlServer、PostgreSQL等数据库的访问与操作，并可制定允许或阻塞的策略动作。支持业务系统访问及业务接口进行双向扫描、通过敏感信息、安全规则、行为接口、自定义接口规则等识别并标识数据及传输风险。支持业务审计监控，可以查看最近某段时间内扫描到的业务系统访问数据的统计及排行。支持接口视图树形结构展示业务系统及接口的层级关系。支持多级虚拟通道，可以将物理带宽分成至少7级虚拟通道，合理分配物理带宽资源。支持基于用户、时间、应用、源IP、目的IP和服务创建流量控制策略。支持在设置流量策略后，可根据整体线路空闲情况，允许流量通道内的流量突破策略上限，以提升带宽的高使用率；空闲值可自定义。可以根据用户平均分配虚拟通道内的带宽资源，使每个用户平均分配带宽，公平访问避免资源浪费。支持基于连接数进行流量管理，可以每个人的并发/新建连接数量进行控制。支持外发解密流量能力，可为不具备解密能力的设备提供加密内容解析能力，并可指定解密外发接口及外发协议（包括HTTPS、SMTPS、POP3S、IMAPS）。支持外发镜像流量，作为其他旁路设备的数据来源，并可指定外发接口及流量方向（包括入口流量及出口流量）。可查询到网页访问、论坛发帖，webmail、邮件收发、应用访问、应用流量历史日志。所有日志可以按照用户，IP地址，匹配策略，访问控制，时间等各个列排序。可生成网页访问、论坛发帖，webmail、邮件收发、应用访问、应用流量、通道分析等各种统计报表。支持将日志数据通过设备USB接口导出。上网行为管理与审计系统需支持与学校现有的威胁感知系统（设备型号：TY-TSS10000-A58）进行联动，接收来自威胁感知系统推送的处置策略（包括对攻击IP、受害IP、域名进行封禁或告警），及时拦截绕过防御措施产生的高级威胁。应具备IPv6ReadyLogo认证。3.Web应用防护系统序号具体技术(参数)要求网络吞吐量≥10Gbps，应用层处理能力≥6Gbps，网络并发连接数≥400万，HTTP并发≥150万，HTTP新建连接数≥60000/s。≥1TB硬盘，配置冗余电源。配置≥4个万兆SFP+接口，提供Web安全保护≥512个站点。需提供不少于3年WAF软件特征库服务，3年硬件维修服务、3年威胁情报中心数据联动授权服务。支持透明流、透明代理、反向代理，旁路镜像检测模式及旁路镜像阻断模式。支持在旁路镜像阻断模式下，可配置多组阻断以及镜像口，对检测到的攻击进行旁路阻断，并可指定对端设备MAC地址。支持路由牵引部署模式，通过路由牵引、SNT回注方式对流量进行过滤。支持802.1Q协议，支持Vlan解码，在Trunk线路上部署并提供防护。支持IPv4和IPv6双协议栈流量过滤防护。支持产品页面一键断网（禁止访问）功能，在特殊情况下，实现对特定网站的快速下线。支持代理模式下对HTTP、HTTPS协议的单个连接允许请求数、长连接有效时间、最大空闲连接数和上传文件最大值等数据进行自定义配置。支持多种证书类型的SSL卸载，可根据实际证书格式进行灵活选择证书类型。支持攻击态势大屏实时展示，可通过产品自带的实时态势监测模块进行攻击态势地图展示，包含对源地址、源地域、目标资产、安全防护攻击类型、攻击趋势、HTTP并发请求及实时事件的动画统计。支持对监测范围、防护区域和防护对象的自定义设置。支持IP访问控制，可根据源目的IP，端口，协议等进行访问控制处理，并可自定义访问过期时长。具备Web业务加固防御功能，提供人机识别、弱密码检测、会话安全、CGI安全、跨站请求伪造以及业务流程控制的防御功能。支持协议合规校验，可根据实际网络状况自定义协议参数合规标准，过滤非法数据。支持SQL注入、XSS跨站攻击防御策略，支持特征检测与语义分析算法检测。支持Web攻击防护功能，包括命令注入攻击，组件漏洞防护、Web扫描防护、XPATH注入防护、XML注入防护、SSI注入防护、JOSN注入防护、LDAP注入防护、webshell防护。支持敏感词检测及过滤，自带敏感词库并进行可自定义。具备检测僵木蠕类攻击，包括木马、蠕虫病毒、僵尸网络等。支持防暴力破解功能，可支持频率阈值，动态令牌以及频率阈值+动态令牌等三种方式实现暴力破解防护。支持智能分析DDOS防护，内置四个防护等级，并可自定义防护等级。支持检测并清洗的攻击类型：IP攻击，TCP攻击，UDP攻击，ICMP攻击，DNS攻击，HTTP攻击等20多种DDoS攻击类型。支持入侵防护功能，并提供入侵防护特征库，特征库需要提供22种类型并提供至少14000条入侵检测特征库。支持检测恶意活动，包括恶意SSL证书、钓鱼攻击、非法获取权限、重定向攻击、拒绝服务等。支持检测漏洞后门类攻击，包括漏洞利用、后门攻击、文件包含、缓冲溢出、目录遍历、shellcode等。支持与第三方威胁情报中心联动功能，基于FTP或FTPS协议连接登录获取数据来源。支持虚拟补丁功能，支持导入Appscan和SecVSS扫描器的扫描结果生成WAF的规则，对此类网站漏洞直接防护。支持轻量级蜜罐防御功能，可以通过提供伪造的后台管理系统页面，主动诱使黑客进行攻击，记录攻击行为。具备资产探测功能，提供自动识别资产系统类型和开放端口。支持周期性针对资产识别探测，支持自定义每天、每周、每月自动化探测功能。具备资产定时下线功能，可自定义下线时间。支持智能封禁，通过对网站发起的攻击次数、危害级别两个维度进行算法分析与识别，进行智能封禁，并自定义攻击者封禁时间。支持机器学习功能，通过流量学习对进行业务建模，并对学习到的URL、host等信息以网站结构树形图进行展示，并支持对URL的访问量和响应健康度进行图形化统计。支持设定最少学习样本数，学习时间段等信息，当样本数大于设定的阈值数，可直接进入防护状态。支持针对机器学习建模后的网站目录，进行防护与白名单配置。支持独立的审计日志、安全防护日志、访问日志、外联日志、防篡改日志、入侵防护日志、DDoS防护日志等模块。支持日志快速响应功能，日志具备一键黑名单设置以及一键白名单排除功能。支持手动，自动导出报表功能，提供时间端，报表类型，分析维度，报表模块，归属地，攻击源ip等因素的报表导出。支持系统运行状况表，安全状况总表，安全状况分表导出。支持针对系统菜单项进行自定义分配功能，并且可自定义账号的编辑、只读权限。支持在线抓包，ping，traceroute、telnet等运维工具。支持移动端管理功能，不需要安装APP和第三方插件，通过手机浏览器即可管理设备，并可查看设备CPU、内存使用情况；并且支持移动端对资产的一键断网功能，提供网站一键下线以及批量下线的应急措施。产品应具备网络关键设备和网络安全专用产品安全认证证书。产品应具备国家信息安全测评证书（EAL3+或以上级别）。产品应具备IPv6ReadyLogo认证。产品应具备IPv6EnabledLogo认证。4.服务器边界安全隔离系统序号具体技术(参数)要求网络处理能力≥30Gbps，并发连接≥600万，每秒新建连接≥30万/秒，1U机箱，冗余电源，配置≥16个10/100/1000M自适应电、≥6个千兆光口、≥8个SFP+插槽；。需提供不少于3年硬件维保服务及3年全功能模块升级服务（包括威胁情报数据订阅服务、应用识别库、URL分类特征库、病毒防护特征库、入侵防御特征库升级服务）。需支持DHCP协议防护；支持手动定义可信DHCP服务器IPv4和基于阈值限制DHCP请求传输速率。需支持在源地址转换过程中，对SNAT（源地址转换）使用的地址池利用率进行监控，并在地址池利用率超过阈值时，通过SNMPTrap、邮件等方式告警。需支持基于源安全域、目的安全域、源用户、源地址、源地区、目的地址、目的地区、服务、应用、隧道、时间、VLAN等多种方式进行访问控制，并支持地理区域对象的导入以及重复策略的检查。需支持MPLS流量透传，并针对MPLS流量的安全审查，包括漏洞防护、反病毒、间谍软件防护、内容过滤、URL过滤、基于终端状态访问控制等安全防护功能。支持基于不同安全区域防御SYNFlood、UDPFlood、ICMPFlood、IPFlood、DNSFlood、HTTPFlood、NTPQueryFlood、NTPReplyFlood和SIPFlood攻击。需支持基于安全区域的异常包攻击防御，异常包攻击类型至少包括PingofDeath、Teardrop、IP选项、TCP异常、Smurf、Fraggle、Land、Winnuke、DNS异常、IP分片等，并可在设备页面显示每种攻击类型的丢包统计结果。需支持流量编排，可以对网元进行健康检查，实现故障bypass能力，健康检查至少包括链路探测、回环探测、接口探测能力。需支持灵活的服务链编排功能，支持串接链和旁路链，支持网元组的方向和位置设置。能够对HTTP/FTP/POP3/SMTP/IMAP/SMB六种协议进行病毒查杀，本地病毒库规模大于3000万。支持对编排的流量进行监控，至少能从网元组、引流策略两个维度对编排流量监控统计。支持将告警信息以SNMPTrap、邮件、声音、短信等形式通知管理员，告警信息的范围至少包括配置变更、病毒事件、攻击事件、异常事件、失陷主机告警、并发数告警、CPU利用率、内存利用率、硬盘利用率、接口带宽利用率、NAT端口池利用率等。提供可明文或加密方式调用的RestfulAPI，并可指定RestfulAPI使用的本地端口。为确保设备管理的安全性，支持限制特定主机调用RestfulAPI。支持防御基于安全域的IP地址欺骗攻击，指定IP或网段必须从特定安全域流入。支持基于MD5的自定义病毒签名；支持设置例外特征，对特定的病毒特征不进行查杀。支持漏洞防护功能，同时将漏洞防护特征库分类，至少包括缓冲区溢出、跨站脚本、拒绝服务、恶意扫描、SQL注入、WEB攻击等六种分类。漏洞防护支持日志、阻断、放行、重置等执行动作,可批量设置针对某一分类或全部攻击签名的执行动作。支持基于FTP、HTTP、IMAP、OTHER_APP、POP3、SMB、SMTP等应用协议的漏洞防护。支持在设备漏洞防护特征库直接查阅攻击的名称、CVEID、CNNVDID、CWEID、严重性、漏洞平台、类别名称、描述、解决方案建议等详细信息。支持IPv4和IPv6流量的HTTPS、POP3S、SMTPS、IMAPS协议进行解密。支持配置基于源安全域、目的安全域、源地址、目的地址、SSL协议服务的解密策略，动作可以设置解密或不解密。支持将解密后流量镜像到其他设备进行分析统计，可设置是否记录日志。支持IPv4和IPv6流量的蜜罐引流策略，支持配置基于源安全域、目的安全域、源地址、目的地址、服务、VLAN的引流策略，并支持强制导流，能够通过设置服务器和端口进行引流。支持统计网络内威胁事件的数量及对应的风险等级，可以一键跳转查看详情并自动显示关联日志，可基于网络连接、应用名称、威胁事件处置威胁事件。支持基于网络活动，威胁活动、阻止活动等多维关联统计及分析，发现异常行为。支持安全策略的快速检索及基于名称、地址、端口、协议多维度的高级策略检索，支持策略的复制、调序、查询。支持与云端联动，至少实现病毒云查杀、URL云识别、应用云识别、云沙箱、威胁情报云检测等功能。支持LLDP功能，可以向网络中其它节点公告自身的存在，并保存各个邻近设备的发现信息，如设备配置和设备识别等详细信息。支持与本地以及云端沙箱联动，检测文件中携带的未知威胁。支持基于主机或威胁情报视图，统计网络中存在安全风险的主机数量以及对应的风险等级，至少可查看遭遇风险的时间、威胁类别、情报来源、威胁简介、失陷主机IP、用户名、资产等信息。支持将其他硬件安全设备（包括但不限于防火墙、IPS、IDS、WAF、行为管理、流量探针等）加入网元组，并接受流量编排。支持将同类型安全设备划归同一网元组，组成硬件安全资源池（如WAF安全资源池），并将流量通过负载均衡（“源地址哈希”、“源目的地址哈希”，“加权源地址哈希”、“加权源目的地址哈希”、“加权地址端口哈希”、“轮询”和“权重轮询”）的方法编排给组内所有网元。支持灵活的服务链编排功能，支持串接链和旁路链，支持网元组的方向和位置设置。支持引流策略的添加、删除、调序、清除命中数、刷新功能；支持引流策略的启用和禁用功能。需支持作为轻量级“探针”与学校现有的威胁感知系统（设备型号：TY-TSS10000-A58）联动，上报网络活动产生的数据至威胁感知系统；并支持接收来自威胁感知系统推送的处置策略（包括对攻击IP、受害IP、域名进行阻断），及时拦截绕过防御措施产生的高级威胁。为保障稳定性，产品应保障平均无故障时间MTBF≥5000H，满足GB/T5080.7-1986要求。为保障适应性良好，产品应满足GB/T2423.1-2008要求。5.终端安全管理系统序号具体技术(参数)要求需提供≥800个终端安全管理系统授权，需包含防病毒（不含第三方扩展引擎）、补丁管理、主机防火墙、终端管控、移动存储管理、WindowsXP/7停服系统加固等功能。支持主流WindowsPC客户端操作系统，包含至少三年更新服务。控制中心支持级联管理，可支持5级级联部署，亦可单机和集群部署混合级联。产品全功能支持简体中文/繁体中体/英语自由切换。支持根据分组、计算机名称、IP地址、操作系统、在线状态等条件的组合筛选出符合条件的终端进行管理。支持单个页面展示在线终端数量、风险终端数量及占比、今日风险告警数、控制中心当前CPU、内存、硬盘使用百分比、终端在线率、终端正常率、终端平台统计、基线核查统计、病毒查杀趋势、感染病毒终端、漏洞补丁统计等信息，均可通过图形化展示。支持在线更新病毒库、补丁库、威胁情报等数据，并且支持“按月、按周、按天、按小时”灵活设置更新时间。支持隔离网环境更新数据。支持文件下载分级缓存，支持下载文件限速和日志上传限速，可设置带宽最大使量和限速时间，避免过多占用网络带宽，影响业务办公。支持不同分组，客户端轻量化模式一键切换功能。支持终端密码保护功能，支持终端“防退出”密码保护、“防卸载”密码保护、防安装密码保护。支持设置自我保护功能，可有效防止客户端进程被恶意终止、注入、提高客户端进程、数据、配置的安全性。支持自定义定制客户端标题、皮肤、语言、产品LOGO、企业LOGO、认证弹窗LOGO。病毒防护概况：终端基础信息、病毒库版本、发现病毒数、未处理病毒数、最后查杀时间、文件防护状态、引擎使用状态、扩展病毒库版本。病毒防护日志包含：病毒查杀日志、查杀任务日志、攻击防护日志、系统防护日志、按分组、按终端、按时间。支持通过文件数字签名添加黑白名单管理。支持对压缩包内的病毒扫描，支持多层压缩包的扫描，可自定义配置压缩包的扫描层数，至少10层模式下的扫描。支持对外设进行多维度的放行，包括设备名称、PID/VID、实例路径，通过添加实现例外或加黑。支持对进程防护、注册表防护、驱动防护、U盘安全防护、邮件防护、下载防护、IM防护、局域网文件防护、网页安全防护、勒索软件防护。勒索软件防护：支持勒索病毒免疫防护，同时支持诱饵文件防护、预防勒索病毒变种。支持自动阻止远程登录行为，防护黑客远程爆破和拦截恶意的远程登录。支持ARP攻击防护根据策略检测和拦截局域网中的ARP欺骗攻击行为。支持无文件攻击防护、文档攻击防护、横移渗透攻击防护、内存攻击防护。支持不少于三个杀毒引擎混合使用，提高病毒检出率。支持针对WindowsXP系统可带来安全隐患的设计机制进行加固性修复，支持远程漏洞攻击防护、本地钓鱼攻击防护和浏览器漏洞攻击防护。支持按照补丁的维度统计补丁安装情况，包括补丁号、补丁类型、补丁级别、补丁名称、发布日期、漏洞CVE编号、漏洞CNNVD编号、未安装、已安装、已安装未生效、已排除、未更新补丁库。并支持导出统计报表。支持针对Windows7系统可带来安全隐患的设计机制进行加固性修复，支持远程漏洞攻击防护、本地钓鱼攻击防护和浏览器漏洞攻击防护。支持对Windows操作系统、IE、.NETFramework、Office、AdobeFlashPlayer、AdobeAcrobat和AdobeAcrobatReaderDC、硬件驱动更新等软件进行补丁修复。支持按补丁类型和级别修复，补丁级别需包括：安全更新、重要补丁、功能补丁、可选补丁。支持仅安装指定补丁设置。支持对终端节能管理，支持对长时间运行、定时关机、空闲节能、工作时间外开机等节能类型设定策略，支持仅提示、关机、注销、锁定、关闭显示器、锁定+关闭显示器、休眠和睡眠处理。并支持提示倒计时弹窗，可设置在终端取消后下一次提醒时间。支持开启自动修复漏洞，包括开机时修复，并支持随机延迟执行、间隔修复和按时间段修复，可设置延迟时间、间隔修复时间和修复时间段。允许终端用户手动修复漏洞，如果发现“修复内容”中设置的需要修复的漏洞和功能缺陷没有修复成功则提醒终端用户修复。需支持与学校现有的威胁感知系统（设备型号：TY-TSS10000-A58）进行联动，接收来自威胁感知系统下发的指令执行终端隔离和扫描操作。6.数据脱敏系统序号具体技术(参数)要求2U机箱，脱敏峰值处理能力≥50GB/小时,≥55万单元格/秒；配置≥1颗12核CPU；≥4TB磁盘存储空间；冗余电源；配备≥4个千兆自适应电口；≥2个万兆接口插槽，提供不少于3年软件升级和硬件维修服务。支持多种数据源，包括：Oracle、SQLServer、MySQL、DB2、PostgreSQL、sybase、informix、Vertica关系型数据库。支持阿里云下的ODPS数据库脱敏。支持具有明确行列、分隔符的格式化文件脱敏成文件或数据库表，如TXT、CSV、DICOM等文件。支持数据库特有格式文件脱敏，如：DEL，DMP等类型文件脱敏。支持创建新数据源时进行连接信息测试。支持主流浏览器进行系统的可视化操作，如：Google，360，Firefox、IE等。系统支持自定义、图形化操作创建、修改、删除脱敏任务和脱敏策略。支持数据库到数据库、数据库到文件、文件到文件、文件到数据库、同库等多种脱敏方式。支持自动获取源库中数据定义语言DDL内容，用来创建目标数据库中的各种对象、表、视图、索引等信息。内置≥30种敏感数据类型用于敏感数据的发现，可覆盖金融、学校、企业等多个行业相关的敏感数据类型。包括但不限于：姓名、地址、身份证号、手机号、银行卡号、Email、车牌号、道路运输许可证号、护照、车牌号、驾驶证编号、座机号、公积金编号、军官证、军密认证号、医师执业证书编号、营业执照、开户许可证号、税务登记证号、组织机构名称、组织机构代码、邮政编码、日期、字符串、社会信用代码、永久居住证号、台湾同胞大陆通行证号、港澳通行证号、IP地址等。支持在系统前台界面自定义操作配置敏感数据类型规则，用于敏感数据的发现。支持自动发现敏感数据任务的创建。支持只对源数据中增量的内容进行脱敏，无需重新开始脱敏。支持灵活的敏感数据规则组自定义管理，规则组不与脱敏任务绑定；对脱敏方案进行调整、修改时不会影响与之相关的脱敏任务，不需要删除与脱敏方案相关的字段发现以及脱敏任务。内置不少于10种以上脱敏算法：映射、随机、替换、关键字替换、可逆、可逆还原等。满足用户对数据的加密、还原、数据关联等多种数据脱敏的应用场景。支持HASH脱敏算法，如SHA256、HASH+盐加密等多种算法。支持在系统前台界面配置SM3国密脱敏算法。支持保持同一数据库中不同表字段之间的数据关联性。支持保持发现不同数据库之间的表、相同字段间的数据关联性。支持对数据源使用权限管理，无授权脱敏账号无法使用数据源信息。支持黑、白名单过滤功能，其中黑名单过滤做到敏感列中的数据不直接同步到目标；白名单过滤做到敏感列中的数据不经过脱敏处理，直接同步到目标。支持对脱敏任务进行停止、启动、重启。支持一键式创建脱敏任务，并自动对发现的敏感数据字段匹配上脱敏策略，同时支持对已匹配的脱敏策略修改。支持脱敏任务在执行过程中遇到的异常数据，跳过异常数据继续执行任务。支持系统日志，操作日志的自身审计。支持经过水印处理的数据，不影响数据的使用，不易被察觉，可将数据生成到数据库中或者是文件中。支持对疑似泄露数据文件或数据表，直接上传到数据水印系统，一键溯源，自动化展示出溯源结果，生成溯源报告。7.漏洞扫描系统序号具体技术(参数)要求需支持Web扫描域名无限制，Web扫描任务并发数≥10个域名。系统扫描IP地址最大支持≥1024个，支持扫描A类、B类、C类地址，系统扫描支持≥100个IP地址并行扫描。1U机架式，≥1T硬盘，配置≥6个10/100/1000M自适应电口，≥2个扩展插槽,液晶面板显示。需提供至少三年漏洞特征库升级及三年硬件维修服务。系统应能提供4大独立扫描模块，包含系统扫描、Web扫描、数据库扫描、弱口令扫描的全面扫描能力。支持部署在IPv4、IPv6环境下，且系统扫描、Web扫描、数据库扫描、弱口令扫描等各类型任务均支持添加IPv6扫描目标。支持多路扫描功能，设备所有网口均可用于扫描，支持同时对多个隔离子网进行扫描。系统应提供快速上线向导，首次登录时能在快速向导指引下一步一步完成上线部署配置。支持自定义访问控制策略，能够限制访问系统的源IP，能够限制访问系统的方式，可限制仅支持Web访问或仅支持SSH远程访问。支持针对指定IP段，同时一键下发系统扫描、Web扫描、弱口令扫描任务，其中Web扫描能够自动发现该网段内的在线网站并开展扫描；弱口令扫描能自动发现该网段IP开放服务并自动开展弱口令扫描。系统应能对系统漏洞扫描、web漏洞扫描、弱口令扫描进行综合检查和分析，可输出同时包含系统漏洞、Web漏洞、弱口令扫描结果的综合脆弱性分析报告。支持实时显示扫描进度及结果，能够在扫描过程中实时查看主机信息及漏洞信息。支持一键复制指定任务的配置，针对新的扫描目标创建相同配置的任务。支持自定义任务执行方式，支持立即扫描、定时扫描、周期性扫描等多种扫描方式，自定义周期扫描时间可精确到每天、每周或每月的某天、某时、某分。支持检测的系统漏洞数不少于21万个，覆盖CVE、CVSS、CNVD、CNNVD、CNCVE、Bugtraq多种漏洞标准。支持通过SSH、SMB、TELNET、RDP、POP、POP3、IMAP、FTP、WMI、RSH、REXEC、WINRM、SNMP等协议对目标主机进行登录扫描。支持批量导入认证信息，能够批量验证登录认证信息是否正确。支持检测VMware、KVM、XEN、OpenStack在内的虚拟化漏洞扫描。支持中间件漏洞扫描，涵盖Apache、Resin、Nginx、Tomcat、TongWeb、BIND、DOMINO、WebSphere、IIS、Jboss、InforSuite等。支持国产操作系统、数据库的扫描。系统扫描结果中应提供用于漏洞研判的信息，为漏洞验证提供依据。系统应支持不同维度的漏洞库视图，包含漏洞类别维度、操作系统维度、漏洞发现时间维度、服务维度、应用维度。系统应内置多种不同的检测模式，包含但不限于标准扫描、快速扫描、完全扫描、深度扫描，不同检测模式默认对应不同的扫描任务策略及配置。系统应支持和微软WSUS补丁系统联动，方便进行自动化的补丁修补。系统应支持自适应网络扫描，根据网络状况自动调整发包速率，减少对用户网络的影响。系统应支持自动探测指定网段中的Web站点，并可一键转为Web资产或一键下发Web扫描任务。系统应支持以树形结构展示网站目录结构，并在网站目录上关联显示相应漏洞，便于直观确定漏洞位置。漏洞结果系统应支持展示详细的HTTP请求头信息。系统应支持至少三种漏洞验证方式如浏览器验证、注入验证、通用验证。系统应支持Web扫描代理检测，能够使用HTTP代理和SOCKS代理方式。系统应支持自定义检测方向设置，即爬虫在爬取网站树时，采用的先后顺序策略。系统应支持对漏洞扫描结果标记不同状态，区分新增、已修复、误报等状态。系统应支持自定义导出报表模板，可定制指定漏洞等级（高危、中危、低危、信息）、指定漏洞状态（新增、误报、已修复）、指定报表标题以及章节内容的报表模板，并可在导出报表时灵活选择已经定义好的报表模板。支持导出同时包含系统扫描、Web扫描、弱口令扫描结果的报表，可以统一分析网站漏洞、网站所在主机漏洞以及主机弱口令。系统应支持扫描任务完成后发送告警，告警方式包含邮件告警、SNMPtrap告警、SYSLOG告警、FTP告警。系统支持自带诊断工具，包含PING、WGET、端口探测、Tcpdump抓包、故障信息收集、一键诊断修复等工具。需具备IPv6ReadyLogo证书。8.零信任安全网关系统1序号主要技术参数要求1终端防护(安全客户端):机架式设备，≥8核CPU，≥16G内存、≥500G存储，≥4个千兆电口;实时传输率≥500Mbps，支持用户数量不少于2000个，每秒最大并发会话数≥1500。2支持客户端统一认证身份对接功能:支持与现网零信任系统融合对接及统一管理。客户端提供统一portal门户，可以在portal上查看及访问用户权限内的应用资源：资源需提供勾选按钮，选择是否将资源固定在客户端首页作为快捷访问。3支持对授权应用配置不同浏览器类型进行访问，无需用户手动选择。4支持客户端挂起功能，挂起后中断访问通断无法访问授权应用，挂起恢复后正常访问授权应用，无需输入密码重新登录。5支持对鼠标键盘长时间不操作检测，支持自定义超时时间，超时后中断访问通道自动退出至客户端登录页面。6支持客户端登录页面提供无暴露面忘记密码功能。7支持客户端环境检测能力，检测内容包括资源使用情况、后端资源是否正常、是否安全杀毒软件、是否更新了系统补丁、虚拟网卡是否正常、端口监听是否正常等。8支持主机agent客户端：支持主机微隔离客户端功能：agent支持部署在物理机、虚拟机等环境中并实现主机终端隔离防护。9支持微隔离快速通信基线、支持把通信基线直接一键转换成安全隔离策略。10支持影子IT资产发现与管理，通过配置托管资产凭证以及IP网段，进行主动探测发现影子IT。11支持大规模多层标签管理，支持对环境标签、应用标签、角色标签、网段标签分层级的自定义创建，标签层级不限制创建层级深度(不低于6层标签)。12支持微隔离可视化拓扑上直接分享拓扑视图给下属账号进行授权管理：选择对应拓扑后，通过分享功能菜单，将该拓扑分享授权给对应账号。13支持微隔离标签授权：选择对应的用户组，并对本地标签进行选择，包括：环境标签、应用标签、角色标签。14提供自定义基线类型，可定义采集基线模型：可根据环境标签、应用标签、角色标签、网段标签四种标签定义本地以及远端标签，并可控制是否开启基线自动对比。15支持基于业务标签进行策略设定，包括支持来源标签、目标标签、协议端口、策略状态、策略动作及优先级等进行管控。支持黑名单及白名单策略模式。9.零信任安全网关系统2序号主要技术参数要求1WEBSDP:支持业务资源WEBSDP统一门户进入，可通过WEBSDP门户统一访问后端业务系统，且不需要安装任何插件。2支持账号密码、多因素OTP、二维码等认证因子；支持对接统一RADIUS认证系统，同步已有用户账号，并进行认证控制。3支持按自定义标签显示资源，基于用户身份登录后，websdp门]户按用户身份动态授权应用资源；支持将内网的应用系统发布到webSDP门户上。4支持内外网统一一套身份认证流程；支持用户明文密码经过加密后转发至radius系统。5支持零信任控制器：实现安全客户端网络隐身登录识别与认证管理，可对接现网络安全客户端纳管以及开发对接现网络认证系统。6支持对应用资源进行访问状态控制，在线启用或禁用后，无需重新登陆即可生效推送至客户端。7控制器支持从评估维度、风险类型、风险子项等方面制定持续评分策略，可预先定义多条子策略，并设置匹配每一项子策略时的扣减分值。8控制器支持零信任安全网关的管理功能，支持对网关上部署的各组件进行状态监控，可以对组件进行启动、重启、升级等操作，并跟踪操作任务的执行状态。9支持配置多控制器IP列表，在用户首次登陆时将该列表推送到客户端，在发生单个控制器故障时，客户端通过轮询方式选择合适的控制器。10支持对应用健壮性进行监测管理，支持按照监控策略、监控日志、故障日志、监控任务等方面进行管理。支持自动拨测应用可用性并自动更新客户端的应用资源状态。11支持按照不同的终端类型对登录终端及数量进行管控。12支持系统水印和客户端portal水印的配置管理。13支持全局导流能力，支持按照国内导流和自定义导流方式。14支持用户登录失败告警推送管理，支持通过短信、企业微信、邮件等方式推送失败信息，包括用户被锁定、用户不存在、用户被禁用、设备超限等。15硬件要求：≥1U机架式，≥8核CPU，≥16G内存、≥500G存储，≥4个千兆电口。10.零信任安全网关系统3序号主要技术参数要求1安全堡垒机:针对服务器资产，提供系统用户管理，控制系统用户的登陆协议(必须包括SSH、RDP、telnet、VNC、mysql)、登陆模式(包括自动登陆和手动登陆)。2资产授权包括用户、用户组、资产、节点、系统用户、是否有效等字段，资产授权规则中，授权动作应包括连接、上传文件、下载文件、激活以及激活时间段控制等。3系统提供会话管理，可筛选查看在线或历史会话记录，记录应包括:用户、资产、系统用户、远端地址、协议、登陆来源、命令、开始日期及时长，4会话管理界面提供WEB终端管理工具可通过web界面跳转访问。5零信任网关：支持安全客户端以及对接现网客户端接入控制，实现客户端加密传输接入以及授权控制。6支持对接入终端用户的上下行流量进行控制。支持在用户策略组中对用户的流量进行限流，可设置用户访问资源的最大上行和下行带宽，可在线查询用户在不同时段的上行或下行流量。7支持网关连接器功能，在内网因为安全限制不能对外开放公网IP地址时，部署在内网的网关连接器可主动连接互联网网关，建立与互联网网关之间的加密隧道，实现客户端与内网资源的安全连通。8支持堡垒机、网关功能统一管理平台控制，实现统一平台界面统一控制管理。9支持堡垒机授权的资源在零信任客户端统一portal单点登录,直接在客户端portal单点登录访问授权的服务器运维，如单点登录SSH。10支持对授权的应用进行自动化监控，无需人工拨测，零信任网关支持将监控应用的健康状态结果集中显示在客户端应用列表界面，并同步在客户端portal显示状态。11硬件要求：≥1U机架式，≥8核CPU，≥16G内存、≥500G存储，≥4个千兆电口。11.服务器安全管理系统序号具体技术(参数)要求提供≥200个客户端防勒索病毒组合包三年服务授权（包含防病毒+防火墙+入侵防御+防暴力破解功能），包括：7x24远程电话支持服务、相应模块规则库升级、模块软件升级，以及≥三年威胁情报支持服务。需支持无代理部署模式及有代理部署模式，以便结合不同管理需求场景下选择相应部署模式。支持一套管控中心统一管理，包括有代理、无代理部署模式统一管理，物理服务器、虚拟服务器统一管理，Windows、Linux、信创操作系统统一管理。需支持自带高性能数据库，不需要额外单独采购数据库。系统需要可独立完成管理、自带升级功能、特征库升级、代理云查功能，无需额外部署升级服务器、代理服务器等节点。适配支持不低于三种国产化云平台。适配国产化系统。提供主机管理及终端管理功能，包括支持对主流虚拟化平台导入功能，非虚拟化平台支持可支持单台计算机或网段IP导入。支