设备名称

单位

数量

网闸

台

1

入侵检测

台

1

堡垒机

台

1

漏扫

台

1

数据库审计

台

1

上网行为

台

1

防病毒软件

套

1

网络准入

台

1

网络审计

台

1

序号

产品名称

配置参数

1

网闸产品

1、硬件要求：≥2U 机架式结构具备冗余电源；本项目要求设备外端机配置千兆电口数量≥4 个，接口板卡扩展槽位数量≥1 个，1T 存储空间；设备内端机配置千兆电口数量≥4 个，接口板卡扩展槽位数量≥1 个，1T 存储空间；内外端双侧液晶屏，方便对设备状态的直观查看；2、性能要求：网络吞吐率≥200Mbps；并发连接数≥4 万；

3、无需在用户服务器上安装任何插件，网闸不开放任何服务端口，提供安全的数据库同步服务，支持网闸同侧数据库之间的数据同步，网闸可旁路部署实现数据库同步；

4、内置入侵防御引擎，可基于攻击规则库对主流网络攻击行为进行拦截，支持告警和阻断两种处理方式；

5、具备 HTTP 安全模块，支持 URL 过滤引擎、内容过滤引擎、病毒过滤引擎、网页过滤引擎安全防护及单独启停控制；

6、内置数据库安全模块，支持内容过滤引擎，能够对数据库用户名、命令、关键字等内容进行管控，支持允许、阻断、告警三种处理方式；7、支持文件名和文件类型的黑白名单过滤，文件类型过滤基于文件特征识别，非扩展名识别，且支持不小于 50 种文件类型识别；支持文件同步信息统计，包括每个任务的开始时间、同步数据量、同步成功数、同步失败数，并能够以图表的方式进行实时可视化展现；

8、管理控制层和业务数据层分离，管理系统部署于内端机上，只能通过内端机上的管理口对网闸进行配置，不允许外端机存在任何形式的管理接口。可避免黑客从外部网络入侵，导致隔离网闸被黑客完全控制的现象；

★9、产品需符合 GB/T18336-2015《信息技术 安全技术 信息技术安

全评估准则》以及 CCRC-EAL-TR-020-2020《网络隔离产品安全技术要求》，级别≥EAL4 增强级

2

入侵检测

1、硬件要求：本项目要求设备配置千兆电口数量≥6 个；

2、性能要求：IDS 吞吐≥500Mbps；

3、授权要求：≥1 年攻击知识库升级许可；

★4、支持多操作系统引导，出于安全性考虑，多系统需在设备启动过程中进行选择；

5、系统应具备：模式匹配、异常检测、会话关联分析，逃逸等多种技术，准确识别入侵攻击行为，为用户提供 2~7 层深度入侵检测、要求能够检测和防御包括溢出攻击类、RPC 攻击类、WEBCGI 攻击类、拒绝服务类、扫描类、网络访问类、HTTP 攻击类、系统漏洞类等在内的超过 5500 种攻击事件；

★6、支持攻击报文取证功能，检测到攻击事件后将原始报文完整记录下来，作为电子证据；

7、支持用户对 FLOOD 类攻击网络流量阈值设置，可对按 pps、Kbps、 Mbps 等单位设置（提供佐证）；

★8、能够与本项目防火墙进行联动，入侵检测的旁路监测口监测到网络攻击行为，立即通知防火墙，由防火墙自动生成阻断策略阻断安全威胁连接；

★9、所投产品须符合 GB/T 18336.3-2015 《信息技术 安全技术 信息 技 术 安 全 评 估 准 则 第 3 部 分 ： 安 全 保 障 要 求 》 以 及 CCRC-EAL-TR-012-2019《网络入侵检测系统安全技术要求（评估保

障级 3 增强级）》相关技术要求；

3

运维审计

1、硬件要求：本项目要求设备配置千兆电口数量≥6 个；

2、授权要求：≥50 个授权许可；

★3、支持混合云资源的管理，即公有云及局域网资源，支持主机、服务器、网络设备、安全设备、数据库等的资产管理，满足公有云、云资源池、数据中心多种运维场景；

4、自动对数据库、Windows、Linux 等设备进行账号改密，改密支持手动和定期任务，密码配置支持全局策略和手工指定，密码复杂度支持按策略随机生成，支持改密结果自动发送到制定改密计划的管理员邮箱；密码采用密码信封加密保存，以保证安全性；支持密码分段发送；

5、支持按照用户、用户组、资产、资产组、管理协议、资产账号进行一对一、一对多、多对一、多对多授权，提供授权关系查看功能，图形化直观展示用户、资产、协议、账号的授权关系；

6、支持自动执行运维脚本。运维脚本分为内置和自定义两种。支持脚本类型为 sh 和 exp 两种；

★7、图像审计可采用 OCR 图像识别技术，通过加载训练过的运维图片集合，可以识别图形操作中的程序标题、快捷方式标题、窗口内容中的文本信息；

★8、支持对堡垒机虚拟为多台逻辑堡垒机，虚拟堡垒机之间实现独立配置、独立数据。实现 IT 资源的动态分配、灵活调度、跨域共享，提高 IT 资源利用率；

★9、产品须符合 GB/T 18336-2015 《信息技术 安全技术 信息技术

安全评估准则》相关技术要求，级别≥EAL3+；

4

漏洞扫描

1、硬件要求：本项目要求配置千兆电口数量≥6 个，接口扩展槽位数

量≥1 个；

2、性能要求：40 个域名扫描 任务不限制 IP 数量； 并发扫描 40 个

IP 地址；

3、支持扫描国产操作系统如中标麒麟、银河麒麟、深度、优麒麟、红旗，国产达梦数据库及 TongWeb 国产中间件的安全漏洞

4、支持扫描系统漏洞数量大于 种，WEB 漏洞数量大于 3000

种，数据库大于 2500 种，CVE 漏洞数大于 60000；

5、支持 web 漏洞扫描，支持排除路径名，可自定义无需爬取的 URL

链接；

6、支持对 FTP、IMAP、MSSQL、MYSQL、POP3、POSTGRES、SMB、

SMTP、SNMP、SSH、TELNET、TOMCAT 等多种应用服务进行弱口令猜测；

★7、支持与我单位现有防火墙联动功能，防火墙能根据漏扫提供的资产信息对重要资产信息进行防护，根据漏洞信息自动生成防护规则，保护内网安全；

8、支持在线报表，可详细展示任务综述信息、站点列表、漏洞列表、对比分析及参考标准，漏洞分布支持风险等级过滤查看；

★9、所投产品须满足 GB/T 18336.3-2015《信息技术 安全技术 信息

技术安全评估准则 第 3 部分：安全保障要求》以及《网络脆弱性扫描产品安全技术要求（评估保障级 3 增强级）》的相关安全要求；

5

数据库审计

1、硬件要求：本项目要求配置千兆电口数量≥6 个，千兆 SFP 插槽≥4个；

2、性能要求：审计处理能力≥200Mbps，峰值 SQL 处理能力≥2000 条

/秒，≥1T 存储空间；

3、支持 Oracle、SQLServer、MySQL、DB2 、Sybase、Informix、 PostgreSQL、Teradata、Cache、Hive、Hana、clickhouse、Tibero、Solr、 MongoDB、HBase、ElasticSearch、Redis 等主流数据库系统；

4、支持从数据库流量中自动识别数据库，从流量分析结果中自动判别包含的数据库类型、版本、地址、端口、发现时间、会话时长、总事件数等信息，并且自动添加到待监控审计列表，无需用户提供网段、数据库地址等信息；

5、支持数据库请求和返回的双向审计，特别是返回字段和结果集、返回码、SQL 错误信息、返回行数、执行时长等内容，支持通过返回行数控制返回结果集审计大小，降低系统开销；

6、支持各类 SQL 操作数量以及占比情况，支持多个维度展示错误占比及趋势，从源 IP 维度以柱状图展示 SQL 错误数（TOP10）；

★7、能与现网中的防火墙进行联动，旁路监测到非法或危险的数据库操作行为，立即通知防火墙，由防火墙自动生成阻断策略实施单向或双向阻断；

8、支持多操作系统引导，出于安全性考虑，多系统需在设备启动过程中进行选择；

★9、产品须符合 GB/T 18336-2015 《信息技术 安全技术 信息技术

安全评估准则》相关技术要求，级别≥EAL3+；

1、硬件要求：本项目要求配置千兆电口数量≥8 个，千兆 SFP 插槽≥2

个；

2、性能要求：带宽：≥200M，推荐用户数：≥1400 人；

3、包含 40 种以上 URL 分类，至少 2000 万条预分类的 URL 地址库；支持 5000 种以上的应用，至少支持 2000 种以上的移动应用；

4、支持基于源 ip、地址薄、用户及用户组的流控策略，支持基于每

个人的限速以及整体限速；流控行为可以基于应用特征库选择，也可

以基于 url、文件类型控制；支持每个用户的源，目的活跃连接数控

制，避免网络滥用；

6

上网行为管理

★5、支持分离互联网和自定义特殊网域，实现一个用户同时只能访问一个网域；

6、支持违规网站、违规搜索、违规帖子、违规上传、违规邮件、还有潜在威胁的告警行为；支持设备内存、cpu、会话、接口速率支持告警设置；告警策略要支持 syslog、短信、邮件、日志记录，以及任

意的方式组合；

★7、支持与本项目中的 EDR 联动，实现安装 EDR 的终端才能入网，

没有安装的不允许入网。；

8、支持基于个人的所有行为监控报表，包括：网页标题记录、发贴

记录、网页评论记录、在搜索引擎上的搜索记录、网页文件上传记录、

URL 访问记录、即时通讯的登录信息/聊天内容/文件传输记录、邮件

记录；

★9、产品须符合 GB/T 20945-2013《信息安全技术 信息系统安全审

计产品技术要求和测试评价方法》基本级的要求；

1 、 本项 目 至少 配 置 WINDOW 服 务器 客 户端 许 可 10 个 ；WINDOWSPC 客户端许可 100 个；本项目至少 3 年病毒库升级许可；2、产品具备漏洞集中修复，强制修复；可设置开机时自动扫描高危

漏洞；

7

终端威胁防御

★3、支持对终端内部文件进行全盘扫描、快速扫描，自定义扫描三种扫描能力，同时支持错峰扫描，支持 Webshell 检测，可以对 webshell后门进行扫描检测 , webshell 后门库数量大于 ；

★4、支持对移动存储设备采用标签式注册管理，可以区分内外部介质使用，定义禁用、启用只读、启用（只读_运行）和启用读写、启用（读写_运行）五种操作，按照文件类型审计在移动存储介质上文

件操作记录；

★5、对终端上安装的软件安装、卸载进行审计，也可以设置软件白

名单，仅允许白名单内软件安装，同时上报相关信息给平台；

★6、支持进程监控，可定义进程黑、白名单，支持进程路径、HASH、

版本、内容匹配，可忽略已签名程序，白名单指定进程可设置自保护、

启动退出报警，黑名单中的进程可自动中止；

7、支持微隔离策略包括但不限于通过协议（TCP、UDP、ICMP、IGMP、 GGP、PUP、IDP、ND、ESP、AH、RDP、GRE、SKIP、RAW），

端口号，IP 地址、流量方向等配置对终端/终端组之间的访问进行控

制；

★8、产品须符合 GB/T 18336-2015 《信息技术 安全技术 信息技术安全评估准则》相关技术要求，级别≥EAL3+；

★9、能与现网使用的防火墙联动，可以管理平台向现网使用的防火

墙上报终端安全状态，由防火墙根据终端的安全状态自动生成防护策略；

8

网络准入

1、硬件要求：本项目要求配置千兆电口数量≥6 个；千兆光口数量≥2个，并具备接口扩展槽位≥2 个；

2、性能要求：最大支持终端同时在线数 300；

3、支持入网健康检查，检查项至少包括：系统时间及系统运行时长检查；Guest 用户、AD 域域名检查；Windows 文件共享检查；Windows防火墙检查；必须/禁止运行进程检查；必须/禁止运行服务检查；必须/禁止安装软件检查；Windows 桌面屏保检查等检查项；

4、支持访客入网管理，访客接入由受访人员（固定用户）协助其进行注册、账户创建等操作，并提供临时入网终端有效期管理，可设置在网时限；

5、支持准入设备黑/白名单管理，可根据所应用的不同准入模式，设置黑/白名单终端 IP、MAC、协议、端口、VLAN 号等信息，以便针对该名单中设备进行入网控制；

6、支持认证用户管理，可创建组织结构并添加用户信息，用户信息支持批量导入导出；

7、支持认证用户管理，可创建组织结构并添加用户信息，用户信息支持批量导入导出；

★8、产品须符合 GA/T 1105-2013《信息安全技术 终端接入控制产品安全技术要求》（第一级）以及 JCTJ 005-2016 《信息安全技术 通用渗透测试检测条件》中 6.2.1、6.2.2 中的相关要求；

9、可对终端所有接口外设实施启停用控制，对 USB 设备添加 USB

硬件 ID 和设备信息，可设置例外项；

9

网络审计

1、硬件要求：本项目要求配置千兆电口数量≥6 个，千兆 SFP 插槽≥4个；

2、性能要求：审计处理能力≥200Mbps，峰值 SQL 处理能力≥2000 条

/秒，≥1T 存储空间；

3、支持实名审计，支持 802.1x,PPPoE,AD 等环境下终端 IP 地址和用户实名信息或主机信息绑定显示，可显示在线用户的 PPPoE 账号和 AD 域用户等信息；

4、支持对 HTTP 协议进行审计，审计内容包括：访问域，URL 引用页、 URL 分类、http 请求类型、http 响应类型、请求文件、请求参数、访问行为、发布内容、请求结果、浏览器、服务器、Cookie、返回长度、代理客户端地址、代理上网服务、HTTP 响应时间、源目的地址、 MAC 地址等；

5、支持共享协议（SMB 文件共享、NFS 共享）审计；

6、支持流量趋势分析、IP 分组流量统计，可以对传输协议、应用协议、应用协议组、源目的地址、源目的端口进行统计分析，可以多条件组合分析；

★7、能与现网中的防火墙进行联动，旁路监测到非法或危险的网络访问行为，立即通知防火墙，由防火墙自动生成阻断策略；

8、支持双操作系统，当常用系统出现故障可以使用备用系统恢复；

★9、产品须符合 GB/T 20945-2013《信息安全技术 信息系统安全审计产品技术要求和测试评价方法》增强级的要求；