健康保健集团机房等保设备采购项目招标文件

目录

第一章公开招标采购公告

第二章招标需求

第三章投标人须知

第四章评标办法及评分标准

第五章政府采购合同主要条款

第六章投标文件格式

第一章公开招标采购公告

根据《中华人民共和国政府采购法》等有关规定，湖州江南工程管理有限公司就德清县

武康健康保健集团机房等保设备采购项目进行公开招标，欢迎国内合格的供应商前来投标。

—.招标项目编号:DQZCFW-2021-G08

二.采购组织类型：分散委托采购

三.招标项目概况：

单

数简要规格描述或标备

注

标项标项名称位预算金额

量项基本概况介绍

一

机房等保设备采购批170万详见采购文件

注：供应商可以任选以上标项中一个或多个标项报名并参与投标。

四.投标供应商资格要求：

A.符合《中华人民共和国政府采购法》第二十二条的要求、财库[2016]125号《关于在

政府采购活动中查询及使用信用记录有关问题的通知》和浙财采监[2013]24号《关于规范

政府采购供应商资格设定及资格审查的通知》第六条规定；

B.拟投标人须为中华人民共和国境内注册，具有良好的财务状况和商业信誉，具有相应

服务能力的供应商；（总公司所设立的区域性分支机构（分公司），以及个体工商户、个人独

资企业、合伙企业，必须获得总公司（总机构）授权或能够提供房产权证或其他有效财产证

明材料）

C.本项目不接受联合体投标。

五.项目报名方式，采购文件公告期限，采购文件依法获取方式及时间：

1.本项目报名方式只接受浙江省政府采购网（政采云平台）网上报名，不接受供应商

现场报名，供应商须在浙江省政府采购网（政采云平台）注册成为浙江省政府采购供应商方

可进行网上报名；

2.本项目采购文件公告期限：2021-01-23至2021-02-19（采购文件公告期限届满后允

许潜在投标人网上报名并依法获取采购文件，供应商未按规定时间要求提出质疑的，则视同

认可采购文件，但法律法规及规范性文件有明确规定的除外）

3.采购公告附件中的采购文件仅供阅览使用，供应商网上报名成功后可依法获取（下

载）采购文件。

六.投标截止时间：2021-02-2009:00

七.投标地址：德清县武康街道永安街169号公共资源交易中心二楼202开标室

八.开标时间：2021-02-2009:00

九.开标地址：德清县武康街道永安街169号公共资源交易中心二楼202开标室

十.投标保证金：本项目不需要缴纳投标保证金。

十一.其他事项：

1.供应商认为采购文件使自己的权益受到损害的，可以自依法获取采购文件之日（采购

文件公告期限届满后获得采购文件的，以采购文件公告期限届满之日为准）或者采购文件公

告期限届满之日（招标公告为公告发布后的第6个工作日）起7个工作日内，以书面形式向

采购人和采购代理公司提出质疑。质疑供应商对采购人、采购代理公司的答复不满意或者采

第二章招标需求

（加▲号项需实质性响应）

一、说明

1.本采购文件所提出的货物和服务技术标准是基本的技术标准和使用功能，并未规定所有的技术要

求和适用标准，供应商应提供一套满足所列标准要求的高质量的相应货物和服务。本技术要求使用的标准

如与供应商所执行标准发生矛盾时、按较高标准执行。

2.本招标货物应按国际标准、国标、部标或专业标准提供，非标准货物按采购人提供的要求提供，

货物标准按照国家相关行业有关规定及合同约定进行验收。

A3.若供应商在本次采购响应文件中提供产品的技术参数与产品官网上公开的技术参数不一致，则须

供应商在采购响应文件中明确哪些参数不一致，不一致的原因以及使用何种技术可以达到采购响应文件中

承诺的产品参数。

二、建设目标

通过本次等级保护改造能够全面、完整地了解德清县人民医院、德清县中医院信息系统的现有安全状

况，并通过《GB/T22239-2019信息安全技术网络安全等级保护基本要求》三级的相关测评要求。并通

过本次改造，以达到以检查促安全的目的，实现重要信息系统的分等级保护与监管、信息安全事件分等级

响应的目的，并且帮助信息系统的安全保护落实到点，实现信息系统的完整性、保密性和可用性，使信息

系统安全管理水平明显提高，安全保护能力明显增强，安全隐患和安全事故明显减少，有效保障信息化健

康发展。

三、系统总体要求

本次等级保护整改重点在于加强区域边界安全防护和安全的统筹运维管理，围绕等级保护2.0基本要

求“一个中心，三重防护”的理念，增强不同层面安全防护能力，提升德清县人民医院、德清县中医院网

络安全性和稳定性等层面。通过本次等级保护安全整改使德清县区域医疗健康信息平台达到等保2.0三级

相关要求。

四、招标项目内容（加▲号项需实质性响应）

▲1、建设清单

序号项目内容备注数量/单位

1入侵检测详见详细参数要求1台

2防毒墙详见详细参数要求1台

3运维监控软件详见详细参数要求1套

4堡垒机详见详细参数要求1台

5上网行为管理详见详细参数要求1台

6核心交换机详见详细参数要求1台

7安全准入详见详细参数要求1台

8VPN详见详细参数要求1台

9系统集成运维平台详见详细参数要求1套

2、详细参数要求

2.1、入侵检测

技术指标指标要求

▲网络层吞吐量》8Gbps,IPS吞吐量）2.2Gbps,并发连结数2240W,新建连接数（CPS）

性能及硬件26W；硬件参数：1U,不少于4G内存，SSD264G硬盘，单电源，不少于6个千兆电

口；

部署方式支持路由部署、透明网桥部署、旁路部署、虚拟网线以及混合部署等多种方式；

支持802.IQVLANTrunk,access接口类型，VLAN三层接口和子接口；

支持链路聚合功能，可将多条物理链路聚合成一条带宽更高的逻辑链路使用；

网络特性

支持端口联动功能，当上行/下行端口链路出现故障时，对应的另一端下行/上行端口

自动切断链路；

支持静态路由和ECMP等价路由协议；

支持0SPF动态路由协议；

路由支持

支持路由异常告警功能；

支持DHCP中继;

支持P2P、IM、游戏、炒股软件、网银，流媒体，常用邮件以及远程控制软件等的识别

和控制，支持识别管控的应用类型超过1200种，应用识别规则总数超过3000条；

应用识别与流

支持基于应用类型，网站类型，文件类型进行带宽分配和流量控制，支持基于时间、

量控制

地域、认证用户、子接口和VLAN等因素实现对象的流量控制；（需提供相关功能截图

证明并加盖公章）

内置海量URL分类库，包含非法及不良网站、成人内容、网上购物、微博论坛等分类，

URL过滤

实现全面高效的不良网站过滤。

支持URL过滤和文件过滤功能，URL过滤支持GET,POST请求过滤和HTTPS网站过滤，

文件过滤支持文件上传和下载过滤；

支持针对SMTP、POP3、IMAP邮件协议的内容检测,如邮件附件病毒检测、邮件内容恶

内容安全防护意链接检测，邮件异常账号检测等，支持根据邮件附件类型进行文件过滤；支持针对

HTTP、FTP协议内容检测与病毒查杀；

支持采用无特征AI检测技术对恶意勒索病毒及挖矿病毒等热点病毒进行检测，给出基

于AI技术的病毒检测报告；（需提供相关功能截图证明并加盖公章）

设备具备独立的入侵防护漏洞规则特征库，特征总数在7000条以上；（需提供相关

功能截图证明并加盖公章）

支持对服务器和客户端的漏洞攻击防护，支持XSS攻击、SQL注入等WEB攻击行为进行

有效防护；

支持对常见应用服务（HTTP、FTP、SSH、SMTP,IMAP、POP3、RDP、Rlogin、SMB、Telnet、

Weblogic.VNC）和数据库软件（MySQL、Oracle.MSSQL）的口令暴力破解防护功能；

支持间谍软件、后门、蠕虫等恶意软件防护；

入侵防护功能支持CSRF攻击等攻击防护功能；支持目录遍历攻击防护；

支持同访问控制规则进行联动，可以针对检测到的攻击源IP进行联动封锁，支持自定

义封锁时间；（需提供相关功能截图证明并加盖公章）

可提供最新的威胁情报信息，能够对新爆发的流行高危漏洞进行预警和自动检测，发

现问题后支持一键生成防护规则；（需提供相关功能截图证明并加盖公章）

支持连接会话展示，可针对具体的IP地址进行会话详情查询，支持封锁异常会话信息，

并支持设置监听具体IP的会话记录；

支持根据国家/地区来进行地域访问控制，保障业务访问安全性；（需提供相关功能截

图证明并加盖公章）

支持资产的自动发现以及资产脆弱性和服务器开放端口的自动识别；（需提供相关功能

截图证明并加盖公章）

支持细致的服务器敏感数据识别，识别维度包含服务器IP、业务重要性、识别方式、

开放的服务与端口、敏感数据页面数以及更新时间等，并且可以进行详细的页面URL

数据泄漏防护

以及页面信息举证；（需提供相关功能截图证明并加盖公章）

支持关键文件保护功能，能够过滤文件的上传和下载行为，以防止非法外传和下载行

为。能识别的文件类型应包含至少以下几类：音频视频类文件、图片类文件、文本类

文件、压缩文件、应用程序类文件等；

设备具备独立的热门威胁库，支持木马、勒索软件、蠕虫、挖矿病毒等种类，特征总

数在60万条以上；（需提供相关功能截图证明并加盖公章）

支持木马远控类、恶意链接类、移动安全类、异常流量类僵尸网络行为的检测；（需提

供相关功能截图证明并加盖公章）

支持蜜罐功能，即恶意域名重定向至蜜罐IP地址，监听对蜜罐地址的访问，用于DNS

僵尸主机检测

代理服务器场景下定位内网感染僵尸网络病毒的真实主机IP地址；（需提供相关功能

截图证明并加盖公章）

支持对终端已被种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到的

恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行

为；（需提供相关功能截图证明并加盖公章）

支持全网实时热点事件TOP10展示；

支持在同一个界面对全网所有服务器的安全状况进行风险评估，支持对当前所有业务

的安全防护状态进行动态保护，支持对所有已被入侵和受控的设备进行风险监测与分

析，针对风险生成待办事件，从而实现快速响应与处置；支持手动评估功能，自动展

安全可视化

示最终的风险；（需提供相关功能截图证明并加盖公章）

支持基于攻击阶段图的方式来匹配并展示当前用户遭受到攻击的具体所处状态，并详

细给出针对性处理建议，便于用户快速响应安全问题；（需提供相关功能截图证明并加

盖公章）

支持安全设备的集中管理，包括配置统一下发，规则库统一更新，安全日志实时上报

安全集中管理

与展示等功能；

支持以安全策略模板方式快速部署安全策略，安全策略模板支持默认模板和自定义模

板等多种格式，减少配置工作，提高部署效率；

支持安全策略一体化配置，通过一条策略快速实现不同安全功能的配置，简化策略配

置工作；（需提供相关功能截图证明并加盖公章）

支持本地设备安全日志上传云端安全平台分析确认，可识别持续性攻击、黑链、高危

僵尸病毒等高级威胁并通过微信方式进行预警；支持高级威胁关联分析的能力，并展

示热点事件详情，推送到运维管理员手机中进行快速处置；

系统管理

支持设备软硬件异常状态监控，可以监控设备CPU、内存、硬盘使用率，并且可监控系

统状态、网络接口状态、安全能力监控状态，帮助用户实时了解安全设备运行状况；

支持系统配置文件备份与恢复；

支持内置规则库的手动与自动更新；

支持邮件、短信和微信多种方式告警；

支持标准网管SNMPVI、SNMPV2、SNMPV3和SNMPTrap协议；

支持NTP时间同步；

支持SYSLOG标准日志协议；

安全日志根据日志类型可存储在产品内置数据中心、外置数据中心、Syslog日志服务

器、安全感知系统多种方式；

日志管理

支持根据起始时间、结束时间、源区域、源IP、目的区域、目的IP等多种条件快速进

行安全日志查询；

支持不同安全事件类型查询不同类型日志；

高可用性双机支持A/$,A/A方式部署；

提供完善的双机热备处理机制，支持配置同步，会话同步和用户状态同步，保证主机

发生故障时，业务可以自动平滑切换到备机上运行；

产品支持软件和硬件BYPASS；

支持与安全云实现联动，当本地无法判断恶意样本、恶意域名、恶意URL时，可以实

时上传到安全云，通过云端沙箱、威胁情报、云端黑白名单机制实现对威胁的实时阻

产品联动断，针对恶意文件给出文件鉴定报告；

▲支持与现网安全态势感知产品实现联动，产品支持以标准syslog形式上传到态势感

知平台，供态势感知系统进行深度关联分析并对恶意威胁实现联动封锁；

厂商软件研发实力需通过CMMIL5认证；

厂商应是国家互联网应急响应中心网络安全应急服务国家级支撑单位；

资质要求

厂商需是国家信息安全漏洞库CNNVD技术支撑单位

产品应具备计算机信息系统安全专用产品销售许可证。

2.2、防毒墙

指标项主要技术参数

标准1U硬件，单交流电源；网络层吞吐量》3G,应用层吞吐量22G,并发连接》160

▲硬件要求万，每秒新建连接数N4万，千兆电口26个，千兆光口24个；1个Console口，含

三年硬件维保服务及三年病毒库升级服务。

支持路由、透明、交换以及混合模式接入，满足复杂应用环境的接入需求。支持旁路

部署模式

模式；

所投产品必须支持VTEP(VxLanTunnelEndPoint)模式接入VxLAN网络，并可作为

VXLAN二层、三层网关实现VxLan网络与传统以太网的相同子网内、跨子网间互联互

通；支持通过绑定VLAN、VNI(VXLANNetworkIdentifier),远程VTEP,手动管理

▲网络协议

VxLan网络;支持MAC、VNI,VTEP静态绑定。

支持MPLS流量透传；支持针对MPLS流量的安全审查，包括入侵防护、反病毒、URL

过滤、基于终端状态访问控制功能。

支持支持静态路由、策略路由及动态路由。策略路由支持用户自定义其优先级，动态

路由应至少支持RIPvl/v2/ng,0SPFv2/v3,BGP4/4+协议.

所投产品必须支持ISP路由负载均衡，最大可支持8条链路负载，支持自定义负载权

重，支持基于优先级的ISP路由链路备份；支持基于IPv4或IPv6的TCP、HTTP、DNS、

路由协议ICMP等方式的链路探测，同时TCP与HTTP可使用自定义目标端口进行测试。

所投产品必须支持基于策略的路由负载，支持根据应用和服务进行智能选路，支持源

地址目的地址哈希、源地址哈希、轮询、时延负载、备份、随机、流量均衡、源地址

轮询、目的地址哈希、最优链路带宽负载、最优链路带宽备份、跳数负载等不少于12

种路由负载均衡方式，支持基于IPv4或IPv6的TCP、HTTP、DNS,ICMP等方式的链

路探测，同时TCP与HTTP可使用自定义目标端口进行测试。

所投产品必须支持路由模式、透明模式的HA高可靠性部署，可工作于主备、主主模

式，会话、用户、配置可实时同步；HA高可靠性部署支持接口联动，某个端口失效

高可靠性

(DOWN),属于同一接口组中其他端口都会进入失效状态(DOWN)；HA高可靠性部署支

持配置接口权重；支持链路探测。

所投产品必须支持基于源安全域、目的安全域、源用户、源地址、源地区、目的地址、

访问控制目的地区、服务、应用、隧道、时间、VLAN等多种方式进行访问控制，并支持地理区

域对象的导入以及重复策略的检查。

所投产品必须支持基于关键字的接收、发送或双向Email发件人、收件人过滤，并支

邮件过滤

持自定义RLB服务器地址配置，并可结合IP黑名单或白名单

所投产品必须支持对应用的文件传输行为进行上传、下载、双向的文件类型过滤，应

用至少包含即时通讯、常用协议、文件共享、论坛、博客、网页邮件五种分类。

▲文件过滤所投产品必须支持上传、下载、双向的文件内容过滤；内容过滤支持手工及文件批量

导入两种方式进行敏感信息定义；内容过滤至少支持html、doc、docx、xls、xlsx、

ppt、pptx、chm、7z等30种常见文件类型；文件类型识别基于文件特征而非扩展名，

更改文件扩展名后仍可有效识别。

所投产品必须支持多调度类相互嵌套最大5级的带宽管理设置。支持设置每IP最大

流量管理或最小带宽，支持对每IP进行带宽配额管理，可通过优先级实现多应用的差分服务，

并支持对剩余带宽进行基于优先级的动态分配。

所投产品必须能够对HTTP/FTP/P0P3/SMTP/IMAP/SMB六种协议进行病毒查杀。

▲病毒防护本地病毒库规模大于3000万；支持对最多6级的压缩文件进行解压查杀

支持基于MD5的自定义病毒签名；支持设置例外特征，对特定的病毒特征不进行查杀。

所投设备必须提供关联分析面板，可将Top应用、Top威胁、TopURL分类、Top源地

址、Top目的地址等信息关联，并支持以任意元素于为过滤条件且不少于35个维度进

行数据钻取

所投设备必须支持基于网络活动，威胁活动、阻止活动等多维关联统计及分析，发现

异常行为

安全事件分析所投设备必须支持自定义一个或多个过滤条件，防火墙上的全部日志进行模糊检索或

指定条件的精确检索，快速定位特定目标当前行为是否存在异常，网络中是否存在异

常等问题，并可记录一个或者多个自定义过滤条件历史。

所投设备必须提供关联的威胁事件日志，系统可自动将产生威胁事件的连接经过防病

毒、防漏洞、防间谍软件、URL过滤、文件过滤等安全模块检查的日志集中显示

所投设备可在单条策略中启用病毒防护、入侵防御、网址过滤、文件过滤、文件内容

过滤、终端过滤等安全功能选项。

所投设备必须支持安全策略的快速检索及基于名称、地址、端口、协议多维度的高级

策略检索，支持策略的复制、调序、查询

策略与处置

所投产品必须支持接收针对突发重大安全事件的“应急响应消息”，并至少在界面显

示安全事件名称、类型、当前防护状态、处置状态以及相应的操作等信息；并可根据

设备安全配置的变化动态显示应急响应的处理结果

支持双系统备份，三权分立管理

运维管理

支持加密的WebUI和CLI管理，且支持网页命令行管理（WebUI中内嵌CLI管理界面）

▲具有独立审计用户，支持标准Syslog日志审计方式，支持Syslog端口自定义（支

持内外端机主机名更改，强化日志审计及集中管理功能，能够对功能访问模块拒绝访

问进行日志记录，支持对日志的高性能处理和存储，提供高性能Syslog日志处理和

存储证书。

所投产品必须提供可明文或加密方式调用的RestfulAPI,并可指定RestfulAPI使

用的本地端口；为确保设备管理的安全性，所投产品必须支持限制特定主机调用

RestfulAP。支持定义第三方设备、平台通过调用RestfulAPI至少可配置所投设备

的访问控制策略、源NAT策略、目的NAT策略、静态路由、高可用以及区域、地址、

服务、时间、用户对象等功能。

所投产品必须支持将告警信息以SNMPTrap、邮件、声音、短信等形式通知管理员，

告警信息的范围至少包括配置变更、病毒事件、攻击事件、异常事件、CPU利用率、

内存利用率、硬盘利用率、接口带宽利用率、NAT利用率等；

所投产品必须支持与云端联动，至少实现病毒云查杀、云沙箱等功能（提供相关截图

云端协同

证明并加盖公章）

▲支持与现网安全态势感知产品实现联动，产品支持以标准syslog形式上传到态势

本地协同

感知平台，供态势感知系统进行深度关联分析并对恶意威胁实现联动封锁；

计算机信息系统安全专用产品销售许可证（增强级）

产品资质（复印中国信息安全测评中心颁发的《国家信息安全漏洞库兼容性资质证书》

件）高性能IPv6防火墙系统计算机软件著作权登记证书

国家信息安全测评信息技术产品安全测评证书（EAL4+级）

设备厂商具备国测信息安全服务资质-风险评估类（二级），要求提供相关证书复印件

并加盖公章

设备厂商具备CCRC信息安全服务资质-信息系统安全集成服务（一级），要求提供相

关证书复印件并加盖公章

设备厂商具备通信网络安全服务能力评定证书-应急响应（二级），要求提供相关证书

复印件并加盖公章

厂商资质（复印设备制造商要求为“信息安全等级保护关键技术国家工程实验室”理事单位，要求提

件）供相关证书复印件并加盖公章

设备制造商要求为CNNVD技术支撑单位（一级），要求提供相关证书复印件并加盖公

设备厂商具备信息化建设及服务能力评价资质（一级），要求提供相关证书复印件并

加盖公章

设备制造商要求为国家信息安全测评授权单位（注册信息安全人员培训机构），要求

提供相关证书复印件并加盖公章

2.3、运维监控软件

指标项指标要求

一、总体架构

系统架构

采用B/S架构，支持中文管理界面。

▲支持集中式和分布式部署方式，实现跨机房的数据中心运维监控。

▲监控对象采用无代理方式部署，支持SNMP、SSH、JMX等采集模式，采集过程要

部署方式

求不影响监控对象的性能。

可以作为数据中心服务平台单独使用，也可以作为运维云的线下服务终端使用。

按不同用户角色，分配监控对象和视图查看权限，实现用户角色和监控对象、视图

权限

的查看权限关联

二、数据库监控

数据库类型支持支持Oracle、SQLServer、MySQL>DB2等数据库。

支持数据库运行健康状态监控，包括：

可用性监控：监听、实例、表空间的可用性；

错误监控：数据库运行过程中的错误数量；

状态监控性能监控：数据块逻辑读指标直观反映数据库性能；

变化监控：对象（表、索引、视图等）、权限（用户、表）、空间（对象、表空间、

归档）的变化量；

可靠性监控：备份及容灾系统的运行状态。

支持SQL执行生命周期完整监控，包括：登录、解析、执行、提交。

SQL执行监控

通过SQL执行次数、SQL执行时间，主观展示SQL执行性能瓶颈。

支持数据库关联资源监控，包括：

数据库资源监控：processes、session、DBfiles>jobso

关联资源监控

三大资源锁监控：Mutex、Latch、Locko

主机资源监控，包括：CPU、内存、存储、网络。

三、数据中心一体化监控

支持WebLogic、Tomcat等主流业务中间件监控。采用JMX直接监控Java应用程序

中间件监控服务器的功能，无需第三方模块或集成层。使用高效的Java网关监视Tomcat等应

用服务器，包括：JVM可用内存、JVM最大内存、JVM总的内存、线程等。提供功

能截图并加盖公章

支持Linux、Windows.AIX、HP-UX、Solaris等操作系统监控。监控操作系统的运

操作系统监控行状态，包括：主机状态、CPU利用率、内存利用率、磁盘I/O读写速率、磁盘

I/O读写速率，网络I/O等。

支持VMware虚拟机状态监控，包括：VMware物理主机硬件状态、虚拟机在线状态、

虚拟机监控CPU利用率、内存大小及利用率、磁盘空间大小及利用率等。提供功能截图并加盖

公章

支持IBM、HP、DELL.联想、曙光、浪潮等主流物理服务器监控，包括对服务器的

服务器监控

硬件状态进行自动告警，包括：CPU、硬盘、电源、风扇、RAID卡等。

支持EMC,NetApp、IBM华为等主流存储设备监控，包括：存储系统的磁盘、存

存储监控

储控制器、电源、风扇等运行状态。

支持华为、H3C、思科、锐捷等主流网络设备监控，包括监控网络设备的在线状态。

网络监控对网络线路运行状态监控，包括线路连通性、线路响应时间、线路流量、线路带宽

利用率、线路错包率、线路丢包率等信息。对网络设备接口状态进行监管，包括接

口状态、接口流量性能等信息。

四、告警触发

支持人工阀值模式，可自由设置告警触发阀值库。

触发模式

支持智能诊断模式，采用大数据技术和机器学习技术，智能识别异常'，并发送警告。

五、大屏展示

预先封装不同监控对象的大屏展示模版，包括：中间件、数据库、操作系统、虚拟

机、物理服务器等。实现常见运维故障（80%以上）及隐患能从大屏中直观展示及

告警。

其中数据库监控模版，要求实现：

预封装模版

1.一张大屏可以直观显示监控对象的健康指数，并根据阀值自动告警。

2.从流程及时间模型的角度联动展示各项指标，清晰定位问题环节。

提供功能截图并加盖公章

支持按照业务角度进行关联视图定制。

自主定制支持按照资源种类进行分类和关联视图定制。

支持机柜图、系统拓扑图、网络拓扑图等视图定制。

六、配套云服务

云服务功能提供和运维一体机配套的线上运维云服务，实现告警订阅、告警推送、工单流转、

数据库专家在线服务等功能

运维云服务采用多租户方式交付，不同租户之间安全隔离。

安全性

运维一体机采用加密通道方式和运维云单向连接。

可定义告警推送和服务人员接收的对应关系，包括：告警站点、告警级别、通知方

告警订阅

式等。

按运维对象的重要性和故障级别，可定义不同的告警通知级别。

▲告警通知告警通知方式支持：邮件、微信、APPo

支持告警通知升级机制。

提供待处理告警列表，服务人员快速查阅需要处理但还未处理的告警。

告警日志采用大数据结构的集中管理模式，支持告警日志的高效查询、分析。

告警日志保存时间要求至少13个月以上。

可单独订购远程数据库专家服务。

数据库专家在线

服务支持通过把数据库告警同步推送给线上数据库专家，并上传诊断资料包，数据库专家结

合告警内容和诊断资料包进行分析，给出解决方案和交付服务。

2.4、堡垒机

指标项指标要求

1U主机：深度定制化LinuxKernel+Busybox,系统独立运行在SD卡中，系统运

▲产品架构

行不依赖于硬盘

内置ACC应用发布平台，支持虚拟化平台部署提供页面截图加盖公章

代理模式，不影响正常业务流量

▲部署方式

支持HA双机热备

管理结构B/S架构，采用HTTPS方式远程安全管理，无需安装管理客户端

▲网络接口4个千兆电口，2个USB口，一个console口；可升级为光口

所供系统设备必须自带本地存储功能

▲数据存储物理磁盘空间：2*1TB；RAID架构以保证数据可靠性

支持后期扩展外部网络存储（IPSAN、NAS,DAS,磁盘阵列等）

内置100个主机/设备操作监控许可证书

可管理对象数量

最大可扩展至1000台主机管理许可

字符操作并发会话连接＞=800

并发会话数

图形操作并发会话连接＞=500

▲须具备多种认证方式：本地密码认证、RSA动态口令认证、安盟动态口令认证、

第三方RADIUS协议服务系统认证、LDAP认证、AD域认证、短信认证及U-KEY认

证；

身份认证及访问授

内置配置管理员、密码管理员、审计管理员、系统管理员、系统审计员、普通用

权

户等管理角色；

支持单点登录功能，使用人员无需知道目标服务器帐号及密码，无需进行二次登

录认证；

支持基于用户（用户组）、目标设备（设备组）、系统帐号、协议类型、生效时间

范围、IP地址限制等设置访问控制策略；

支持审批模式：运维用户访问特定的服务器设备必须经过管理员的临时审批授权

才能进行，否则无法登录；

支持备注模式：运维用户访问服务器前必须先填写该次访问的维护目的等内容，

否则不能进行访问操作；

支持工单授权功能：通过运维人员申请或管理员下发工单的方式来赋予运维人员

访问目标服务器的权限，且有工单生效时间限制；

支持预处理命令设置；

支持设定会话连接单位时间内空闲无操作，连接自动断开；

支持运维用户多次登录失败自动锁定账号功能；

Web访问方式:通过系统的Web页面调用JAVA或activeX控件的方式直接访问服务

器或通过WEB页面调用本地工具直接访问服务器；

多种类浏览器支持：IE（6T1）、firefox>chrome>safari；

web方式访问支持所有协议；

web访问方式支持主机访问记忆功能；

服务器访问方式web访问方式支持直接快速连接功能；

通过web页面调用JAVA或activeX控件方式使用SSH协议支持clonesession功

能；支持直接调用SFTP功能；支持设定窗口颜色、保存屏幕内容、打印屏幕内容、

复制粘贴等功能；

通过web方式使用图形化远程操作协议支持自适应浏览器窗口大小：

通过web方式使用RDP协议支持剪切板、磁盘映射功能；

客户端访问方式：通过管理员常用的客户端（如SecureCRT>PUTTY>Mstsc、PLsql、

SQLplus等）访问;

支持客户端（SecureCRT、putty）clonesession功能；

支持secureshellclient软件中直接调用sftp功能；

登录菜单访问：客户端访问审计系统即可显示用户能访问的资源清单菜单，用户

通过字符菜单或图形菜单选择方式直接访问服务器；

菜单方式访问支持所有协议；

支持安全终端仿真协议监控时实现会话复制和跟踪的方法；

字符型远程操作协议:SSH（VkV2）、TELNET,RLOGIN,AS400；

图形化远程操作协议：RDP、VNC.XII；

文件传输协议:FTP、SFTP；

数据库远程操作协议：支持ORACLE、MSSQL、Sybase,Mysql、DB2数据库远程访

支持协议问协议审计；

支持FTP二次登录系统及实现文件传输和过程监控方法；

支持通过系统内置协议前置机进行协议扩展，无需单独采用其他硬件设备即可支

持Radmin、Pcanywhere,HTTP/HTTPS、VMwareclient,支持定制开发其他访问

协议；

▲支持按用户（用户组）、目标设备（设备组）、系统帐号、命令集和生效时间等

内容或按访问授权策略设定安全事件规则；支持指令黑白名单；提供页面截图加

访问控制及异常告盖公章

磐支持对违规操作的指令（黑名单）进行告警、忽略操作处理、自动阻断或二次审

批；

支持以屏幕、邮件、SYSLOG.SnmpTrap、短信方式实时发送告警信息；

支持添加、删除、修改以及启用、停用运维用户；

支持用户批量导入、导出功能；

用户管理功能支持临时用户有效期管理；

支持运维用户密码强度管理；

支持用户组管理，可方便添加、删除、修改组信息及组成员：

主机管理功能支持添加、删除、修改主机内容；支持主机组管理功能，可方便添加、删除、修

改组信息及组成员；

支持主机批量导入、导出功能；

支持系统类型管理：内置常见系统类型，可自定义添加目标设备的系统类型及内

容，包括显示图标、该系统拥有的协议及默认端口等内容；

支持IP地址集、时间集、指令集管理功能；

支持ORACLERAC配置；

针对SSH、Telnet、Rlogin、FTP/SFTP、数据库操作进行记录及审计;记录发生时

间、发生地址、服务端IP、客户端IP、操作指令、返回信息、操作备注、客户端

端口、服务器端口、运维用户帐号、运维用户姓名、审批用户帐号、审批用户姓

名、服务器用户名等信息；

针对RDP、VNC、XII等图形终端操作的连接情况进行记录及审计；记录发生时间、

操作行为记录

发生地址、服务端IP、客户端IP、操作指令、返回信息、操作备注、客户端端口、

服务器端口、运维用户帐号、运维用户姓名、审批用户帐号、审批用户姓名、服

务器用户名等信息；

能够记录RDP协议中的活动窗口名称、删除文件等动作，并能记录RDP会话中的

键盘输入信息；

支持以WEB在线视频回放方式重现维护人员对服务器的所有操作过程，无须在客

户端安装播放客户端软件；

支持倍速/低速播放、拖以、暂停、停止、重新播放等播放控制操作；

支持从特定操作指令开始进行定位回放；

会话过程回放

支持回放界面中显示键盘输入、特殊按键、鼠标动作；

支持空闲时间过滤；

支持下载回放文件到本地保存，并通过厂家专用播放器查看，防止会话视频记录

泄密；

支持按设备（设备组）、系统帐号、计划开始时间、改密周期、密码策略、改密结

果发送等生成详细的改密计划，到期自动执行：

支持随机生成不同密码、随机生成相同密码以及手工指定相同密码的密码策略，

并能严格遵守密码强度设置；

密码管理

支持手工改密功能；

支持改密结果自动发送至密码管理员或FTP上传；支持手工下载全部或部分主机

密码功能；

支持自动改密结果报表；

支持实时监控近期发生的所有回话信息，显示会话状态（连接中、退出、阻断）；

支持对回话进行同步监控，执行会话回放、监控和阻断操作：

实时监控支持Vi、aix下smit、rhel下setup等图形或菜单操作进行全程同步监控；

支持实时监控审计系统CPU、内存、磁盘的使用情况；

支持记录审计系统自身的管理操作，保障审计系统自身安全；

支持快速查询和高级查询功能；

支持同一次会话中的指令关联查询，显示会话中所有操作指令；

支持根据查询结果直接定位视频文件，回放历史会话；

历史查询及审计报

系统内置多种运行维护报表模板；

表

支持以html、CSV或PDF方式生成并导出报表：

支持管理员自定义审计报表；

支持以日报、周报、月报的方式自动生成周期性报表，并自动发送至指定邮箱；

支持自动归档和手动备份、支持以FTP/SFTP等方式自动上传归档数据；

支持备份数据恢复导入；

数据安全管理

支持空间自管理功能，存储空间不足时能够自动清理老的数据；

支持系统配置的导入、导出功能；

旁路阻断支持旁路阻断不通过系统的运维访问，无需通过配置ACL完成

协同操作支持协同操作功能；

批量执行支持批量执行功能；

支持对批量执行结果进行成功或失败判断；

支持工作任务流程及消息中心管理功能：支持用户间互相发送消息，通过消息下

发工作任务等功能；

消息中心功能

支持关键事件自动生成消息如：二次审批、备注审批、协同操作邀请；

支持专用消息接收客户端；

支持页面证书下载；

支持页面下载系统相关软件；

支持时间同步功能

支持从WEB界面修改网卡IP设置、静态路由设置等内容；

系统管理功能

支持修改不同访问模式（客户端直连、菜单方式）的默认访问端口

支持从WEB管理界面重启、关闭设备；

支持页面超时设置；

支持通过web界面进行系统升级；

支持与日志管理综合审计系统实施联动部署，全面实现系统登录/登出日志、后

台维护操作、网络运行日志及应用系统访问日志联动解决方案

支持Windows、Linux、HP-UNIX、AIX、SCOUNIX、SOLARIS等常用操作系统的日

扩展功能

志审计；

支持采集包括WEB服务器（IIS、APACHE）,邮件服务器、FTP服务器以及0A系统

等用户专用应用系统的日志文件与审计

提供原厂三年保修及三年厂免费现场服务

产品授权及服务

提供原厂7*24小时的售后服务支持；

2.5、上网行为管理

指标项主要技术参数

▲性能参数：网络吞吐量：600Mb,带宽性能：250Mb,IPSECVPN加密性能（最高性

能）：80Mb,支持用户数：1200,包转发率：30Kpps,每秒新建连接数：3000,最

性能配置

大并发连接数：13000&硬件参数：规格：1U,内存大小：4G,硬盘容量：128Gminisata

SSD,电源：单电源，接口：6千兆电口+2千兆光口SFP。

要求设备支持网关模式，支持NAT,路由转发、DHCP等功能；支持网桥模式，以透

部署方式明方式串接在网络中；支持旁路模式，无需更改网络配置，实现上网行为审计；支

持两台及两台以上设备同时做主机的部署模式；

支持部署在IPv6环境中，相应的所有功能（上网认证、应用控制、内容审计、报表

IPv6支持

等等）均都支持IPv6。（提供产品功能证明材料并加盖公章）

虚拟化模式支持基于虚拟化平台的软件版本，支持的虚拟平台包括：VMware、超融合等平台；

为了提高出口多链路利用率，要求支持按剩余带宽、带宽比例、平均分配、前面优

链路负载先的方式进行多链路负载。支持使用VPN做专线备份，支持链路故障检测；（提供

产品功能证明材料并加盖公章）

▲支持多种接入认证；

1）多种认证方式，支持触发式WEB认证，支持用户名密码认证、I