10

入侵防御系统（IPS）

1.1U硬件设备， Console口≧1，BYPASS千兆电口≧4，网络接口板扩展槽位≧1， USB口≧2，单电源。

2.最大并发连接数≧300万

3.每秒新建HTTP连接数≧14,000条

4.最大吞吐量≧6G

5.系统应提供旁路部署及在线、旁路混合部署等部署方式。

6.系统应支持路由模式，至少包括：静态路由、策略路由、ISP和OSPF路由协议。

7.系统入侵防御事件库事件数量不少于5000条，

8.系统应支持自定义事件升级内容。针对新增加的事件特征，针对不同级别的事件，用户可以选择是否自动升级到自定义策略中。升级界面中至少包含高中低三种级别事件的升级启用选项。并支持可自动修改动作为通过，满足业务高连续要求下的事件监测要求。（提供截图证明）

9.针对SQL注入和XSS攻击，设备应提供在线事件分析功能，至少提供攻击方法、攻击字段和攻击域、影响的数据库等，并提供功能截图

10.系统应单独针对SQL注入、XSS攻击提供白名单功能，允许用户对不够规范的Web应用进行放行，能够精确到检测点、属性和名称。并支持至少10类和70个配置项目。（提供截图证明）

11.系统应支持多种防web扫描能力，包括爬虫、CGI和漏洞扫描等，并支持设置至少4个不同级别的扫描容忍度/扫描敏感度。（提供截图证明）

12.系统应双病毒引擎，需提供防病毒引擎厂商合作证明。

13.系统应支持邮件内容过滤功能，有效防止恶意邮件及信息外泄。可根据邮件SMTP命令、发件人、主题、附件、IP及邮件大小进行过滤，

14.系统应支持敏感信息防护功能，识别信息和文件中的关键字、身份证、手机号码、固定电话号码、银行卡、IP地址等敏感信息，并支持文件指纹识别和白名单功能。（提供截图证明）

15.系统应支持双机热备和双机主备功能，并且主备热备时需支持连接状态和配置同步。

16.系统应支持重点资产和应用监控功能，当资产和应用出现异常时，通过syslog和邮件进行告警，并可以记录日志。

17.系统应支持历史入侵事件处理功能，直接对历史事件进行分析和处理，并用于未来事件检测。并可以查询处理情况。（提供截图证明）

18.系统应支持syslog格式修改功能，通过对日志内容裁剪、修改次序，满足用户安全管理平台日志格式要求。（提供截图证明）

19.产品具有中国信息安全测评中心颁发的《国家信息安全测评信息技术产品安全检测证书-EAL3+级》。需提交复印件

20.产品厂商应具有《CNCERT-网络安全应急服务支撑单位证书（国家级）》证书

21.产品厂商应具有《CNNVD-国家信息安全漏洞库-CNNVD技术支撑单位一级》证书

1

项

11

Web应用防火墙（WAF）

1.标准2U设备，10/100/1000 Base-T接口≥6，接口支持bypass。网络层吞吐率≥5G；最大HTTP并发连接数≥270万；每秒新建HTTP连接数≥2万；双电源。

2.产品必须为国内自主研发且非OEM产品、必须为专业性WEB应用防火墙设备及专业性WEB应用防火墙资质，而非NGAF、NGFW、UTM设备及资质。

3.应支持透明、代理模式、旁路部署、单臂部署、策略路由部署。

4.应支持智能部署，上线WAF设备能够自动感知Web网站IP和端口(要求提供界面截图)。

5.应具备Web恶意扫描防护的检测与防御能力，专利级别防护能力 (要求提供界面截图)。

6.应具备威胁情报功能。

7.应具蜜罐检测功能，诱使攻击方对它实施攻击，从而可以对攻击行为进行捕获和阻断(要求提供界面截图)。

8.应具备业务合规功能，可对业务进行恶意试探、恶意撞库、恶意登录等行为进行检测及拦截(要求提供界面截图)。

9.应具备网站锁功能，对网站进行锁定，可按日期、周期进行锁定时间设置(要求提供界面截图及盖章)。

10.应具备网站一键关停功能(要求提供界面截图及盖公章)。

11.应具备API防护功能(要求提供界面截图及盖公章)。

12.Web安全事件日志存储，应支持主流的服务器操作系统及主流的数据库类型。

13.应具备自定义报表功能，并支持导出为WORDEXCELPDF HTML 等常用公文处理格式。

14.应具备设备集中管理功能，可实现设备分布式部署、集中式监控管理，适合大规模部署环境。

15.应支持主主模式且主主模式配置、运行状态进行同步(要求提供界面截图)。

16.应支持自动执行产品升级，不需要用户每次手动升级特征库(要求提供界面截图)。

17.产品具有《计算机信息系统安全专用产品销售许可证》，销售许可证中必须标注"千兆"字样，且销售许可证为WAF国标-增强级，提供证书复印件及盖公章

18.产品具有《WEB应用防火墙认证证书》，获得该《WEB应用防火墙认证证书》要求六年以上时间，提供证书复印件及盖公章和在公网可查询

19.产品厂商应具有《CMMI5》证书

20.厂商通过EAL3+认证，证书上必须标注“千兆”字样，提供证书复印件及盖公章和在公网可查询

1

项

14

日志审计系统

1.2U标准机架式设备，采用工业级专用硬件设备不能是通用的服务器，冗余电源，采用专用安全操作系统；内存≥8G，千兆日志采集口≥6个，可扩展接口槽位≥2个；支持Console口管理；有效存储容量≥2TB，硬盘槽位扩展≥3个，支持100个审计对象授权。

2.支持单级部署和级联部署，支持分布式部署；

3.支持SNMP Trap、Syslog、ODBCJDBC、文件文件夹、WMI、FTP、SFTP、NetBIOS、OPSEC等多种方式完成日志收集功能

4.支持新增Lotus Domino的日志采集任务；新增CheckPoint的日志采集任务；

5.日志审计中心可以集中对独立安装的日志采集器进行统一管理，能够对日志的解析策略进行统一下发【必须提供截图】

6.可以将日志中的IP地址、端口、时间等信息进行资源自定义，为规则所引用【必须提供截图】

7.系统提供基于资产的拓扑视图，可以按列表和拓扑两种模式显示资产拓扑节点；可查看每个资产设备本身产生的事件信息、关联告警信息，并且支持向下钻取，直接进入事件列表、关联告警列表；【必须提供截图】

8.对不支持的事件类型提供可扩展功能；支持长安全事件格式；对日志设备类型、日志类型、日志级别等可进行重定义

9.支持日志源管理功能，对断点日志源可以设置产生告警，单个日志源设备查看该设备最近7天的事件趋势。【必须提供截图】

10.范式化字段至少应包括事件接收时间、事件产生时间、事件持续时间、用户名称、源地址、源MAC地址、源端口、操作、目的地址、目的MAC地址、目的端口、事件名称、事件摘要、等级、原始等级、原始类型、网络协议、网络应用协议、设备地址、设备名称、设备类型等；针对不支持的事件类型做范式化不需改动编码，通过修改配置文件即可完成。

11.系统需内置不同分析场景，包括各种实时分析场景、历史统计场景、实时统计等。并支持支持自定义场景

12.可以对选中的日志提供在线/离线地图定位、源IP与目的IP分布走向的视网膜图展示、描述日志之间行为相关关系的事件拓扑图等多种分析工具；【必须提供截图】

13.告警动作支持告警重定义、弹出提示框、发出警示音、发送邮件、发送SNMP Trap、发送短信、执行命令脚本、设备联动、发送飞鸽传书、发送Syslog、加入观察列表、从观察列表中删除；【必须提供截图】

14.内置报表模板，可预览、导出；系统内置报表编辑器，可以自定义报表。

15.可以对自身运行的CPU、内存和磁盘空间等的使用率设置告警阈值【必须提供截图】

16.《计算机信息系统安全专用产品销售许可证》日志分析类行标三级

17.《信息技术产品安全测评证书》EAL3+级

18.中国国家信息安全认证产品证书》增强级（安全审计产品）

19.提供入围Gartner SIEM类产品魔力象限证明

1

项

10

入侵防御系统（IPS）

1.1U硬件设备， Console口≧1，BYPASS千兆电口≧4，网络接口板扩展槽位≧1， USB口≧2，单电源。

2.最大并发连接数≧300万

3.每秒新建HTTP连接数≧14,000条

4.最大吞吐量≧6G

5.系统应提供旁路部署及在线、旁路混合部署等部署方式。

6.系统应支持路由模式，至少包括：静态路由、策略路由、ISP和OSPF路由协议。

7.系统入侵防御事件库事件数量不少于5000条，

8.系统应支持自定义事件升级内容。针对新增加的事件特征，针对不同级别的事件，用户可以选择是否自动升级到自定义策略中。升级界面中至少包含高中低三种级别事件的升级启用选项。并支持可自动修改动作为通过，满足业务高连续要求下的事件监测要求。（提供截图证明）

9.针对SQL注入和XSS攻击，设备应提供在线事件分析功能，至少提供攻击方法、攻击字段和攻击域、影响的数据库等，并提供功能截图

10.系统应单独针对SQL注入、XSS攻击提供白名单功能，允许用户对不够规范的Web应用进行放行，能够精确到检测点、属性和名称。并支持至少10类和70个配置项目。（提供截图证明）

11.系统应支持多种防web扫描能力，包括爬虫、CGI和漏洞扫描等，并支持设置至少4个不同级别的扫描容忍度/扫描敏感度。（提供截图证明）

12.系统应双病毒引擎，需提供防病毒引擎厂商合作证明。

13.系统应支持邮件内容过滤功能，有效防止恶意邮件及信息外泄。可根据邮件SMTP命令、发件人、主题、附件、IP及邮件大小进行过滤，

14.系统应支持敏感信息防护功能，识别信息和文件中的关键字、身份证、手机号码、固定电话号码、银行卡、IP地址等敏感信息，并支持文件指纹识别和白名单功能。（提供截图证明）

15.系统应支持双机热备和双机主备功能，并且主备热备时需支持连接状态和配置同步。

16.系统应支持重点资产和应用监控功能，当资产和应用出现异常时，通过syslog和邮件进行告警，并可以记录日志。

17.系统应支持历史入侵事件处理功能，直接对历史事件进行分析和处理，并用于未来事件检测。并可以查询处理情况。（提供截图证明）

18.系统应支持syslog格式修改功能，通过对日志内容裁剪、修改次序，满足用户安全管理平台日志格式要求。（提供截图证明）

1

项

11

Web应用防火墙（WAF）

1.标准2U设备，10/100/1000 Base-T接口≥6，接口支持bypass。网络层吞吐率≥5G；最大HTTP并发连接数≥270万；每秒新建HTTP连接数≥2万；双电源。

2.产品必须为国内自主研发且非OEM产品、必须为专业性WEB应用防火墙设备及专业性WEB应用防火墙资质，而非NGAF、NGFW、UTM设备及资质。

3.应支持透明、代理模式、旁路部署、单臂部署、策略路由部署。

4.应支持智能部署，上线WAF设备能够自动感知Web网站IP和端口(要求提供界面截图)。

5.应具备Web恶意扫描防护的检测与防御能力，专利级别防护能力 (要求提供界面截图)。

6.应具备威胁情报功能。

7.应具蜜罐检测功能，诱使攻击方对它实施攻击，从而可以对攻击行为进行捕获和阻断(要求提供界面截图)。

8.应具备业务合规功能，可对业务进行恶意试探、恶意撞库、恶意登录等行为进行检测及拦截(要求提供界面截图)。

9.应具备网站锁功能，对网站进行锁定，可按日期、周期进行锁定时间设置(要求提供界面截图及盖章)。

10.应具备网站一键关停功能(要求提供界面截图及盖公章)。

11.应具备API防护功能(要求提供界面截图及盖公章)。

12.Web安全事件日志存储，应支持主流的服务器操作系统及主流的数据库类型。

13.应具备自定义报表功能，并支持导出为WORDEXCELPDF HTML 等常用公文处理格式。

14.应具备设备集中管理功能，可实现设备分布式部署、集中式监控管理，适合大规模部署环境。

15.应支持主主模式且主主模式配置、运行状态进行同步(要求提供界面截图)。

16.应支持自动执行产品升级，不需要用户每次手动升级特征库(要求提供界面截图)。

17.产品具有《计算机信息系统安全专用产品销售许可证》，销售许可证中必须标注"千兆"字样，且销售许可证为WAF国标-增强级，提供证书复印件及盖公章

18.产品具有《WEB应用防火墙认证证书》，获得该《WEB应用防火墙认证证书》要求六年以上时间，提供证书复印件及盖公章和在公网可查询

1

项

14

日志审计系统

1.2U标准机架式设备，采用工业级专用硬件设备不能是通用的服务器，冗余电源，采用专用安全操作系统；内存≥8G，千兆日志采集口≥6个，可扩展接口槽位≥2个；支持Console口管理；有效存储容量≥2TB，硬盘槽位扩展≥3个，支持100个审计对象授权。

2.支持单级部署和级联部署，支持分布式部署；

3.支持SNMP Trap、Syslog、ODBCJDBC、文件文件夹、WMI、FTP、SFTP、NetBIOS、OPSEC等多种方式完成日志收集功能

4.支持新增Lotus Domino的日志采集任务；新增CheckPoint的日志采集任务；

5.日志审计中心可以集中对独立安装的日志采集器进行统一管理，能够对日志的解析策略进行统一下发【必须提供截图】

6.可以将日志中的IP地址、端口、时间等信息进行资源自定义，为规则所引用【必须提供截图】

7.系统提供基于资产的拓扑视图，可以按列表和拓扑两种模式显示资产拓扑节点；可查看每个资产设备本身产生的事件信息、关联告警信息，并且支持向下钻取，直接进入事件列表、关联告警列表；【必须提供截图】

8.对不支持的事件类型提供可扩展功能；支持长安全事件格式；对日志设备类型、日志类型、日志级别等可进行重定义

9.支持日志源管理功能，对断点日志源可以设置产生告警，单个日志源设备查看该设备最近7天的事件趋势。【必须提供截图】

10.范式化字段至少应包括事件接收时间、事件产生时间、事件持续时间、用户名称、源地址、源MAC地址、源端口、操作、目的地址、目的MAC地址、目的端口、事件名称、事件摘要、等级、原始等级、原始类型、网络协议、网络应用协议、设备地址、设备名称、设备类型等；针对不支持的事件类型做范式化不需改动编码，通过修改配置文件即可完成。

11.系统需内置不同分析场景，包括各种实时分析场景、历史统计场景、实时统计等。并支持支持自定义场景

12.可以对选中的日志提供在线/离线地图定位、源IP与目的IP分布走向的视网膜图展示、描述日志之间行为相关关系的事件拓扑图等多种分析工具；【必须提供截图】

13.告警动作支持告警重定义、弹出提示框、发出警示音、发送邮件、发送SNMP Trap、发送短信、执行命令脚本、设备联动、发送飞鸽传书、发送Syslog、加入观察列表、从观察列表中删除；【必须提供截图】

14.内置报表模板，可预览、导出；系统内置报表编辑器，可以自定义报表。

15.可以对自身运行的CPU、内存和磁盘空间等的使用率设置告警阈值【必须提供截图】

16.《计算机信息系统安全专用产品销售许可证》日志分析类行标三级

17.中国国家信息安全认证产品证书》增强级（安全审计产品）

18.提供入围Gartner SIEM类产品魔力象限证明

1

项