淮阴工学院网络安全相关设备及服务采购项目公开招标公告

货物/设备/信息化设备/网络设备/其他网络设备

名称

数量

技术性能参数

推荐品牌

质保期

态势感知平台（含探针）

1台

见“技术与性能要求”

绿盟、亚信、网御

五年

网络安全服务

1年

见“技术与性能要求”

/

/

异地备份系统

1台

见“技术与性能要求”

火星高科、数腾、英方

五年

功能类别

技术要求及指标

硬件架构与性能

★2U标准机架硬件，含交流冗余电源模块，2*CPU ≥40线程，内存≥128G，SSD硬盘≥256G，SATA硬盘≥32T，支持RAID；千兆电口≥2，支持扩展12个万兆SFPP；设备具备前面板液晶屏显示设备状况。

平均处理能力（每秒日志解析能力EPS）：***。

数据采集

▲平台应支持内置900+设备日志解析规则查看以及筛选，包括但不限于网络设备（防火墙、交换机、网关）、安全设备（入侵检测设备、WEB攻击防护设备、APT检测设备、防火墙、网络审计、流量探针等）、终端主机日志、数据库等，须提供功能界面截图。

▲平台应支持外部备份机制，支持超长日志存储，支持通过NFS自动备份日志到外部服务器上，支持备份日志自动加密存储，支持内外部存储统一展示，支持外部备份文件可恢复可搜索，须提供功能界面截图。

威胁检测与分析

▲平台应支持规则分析能力，应支持不少于800种内置分析识别规则并支持内置规则的升级，支持关联分析、行为分析、AI智能检测等类型的规则，支持用户自定义规则，用户自定义规则可以支持导入导出，须提供功能界面截图。

平台应支持外部威胁分析，支持外部攻击源Top5、外部攻击源地区Top5，支持影响资产Top5、影响资产组Top5，支持威胁类型分布和外部威胁趋势图，支持受害者和攻击者不同视角的列表展示，支持资产IP、资产名、资产组等多种条件进行查询，查询结果支持导出为Excel文件，支持自定义列表中展示的列。

平台应支持针对横向威胁的细粒度展示，支持僵木蠕、扫描探测等分页面统计分析，支持攻击者Top5、受害者Top5，支持攻击者资产组Top5、受害者资产组Top5，支持威胁类型分布和横向威胁趋势图，提供危害描述和处置建议，支持受害者和攻击者不同视角的列表展示。

平台应支持外连威胁分析，支持后门外连等分页面统计分析，支持发起外连资产Top5、发起外连资产组Top5，支持外连目标Top5、外连地区Top5，支持威胁类型分布和外连威胁趋势图。

平台应支持主机、应用等弱口令访问行为的检测，弱密码应加密展示且需要管理员的二次独立认证授权后方可查阅明文弱口令。同时支持批量导出弱口令帐号能力以便于弱口令帐号的分发整改。

平台应支持远程控制控制风险行为的检测，如向日葵、TeamViewer、远程连接windows命令行、远程控制工具等。

▲平台应与城市热点认证计费系统、深澜认证计费系统对接，支持安全事件中动态IP对应到账户，并支持用户威胁分析，支持基于用户账户展示用户账户关联的事件数、威胁类型Top10、最近发生事件Top10、最近使用主机IP Top10、在线状态等，支持用户账户等条件进行查询，查询结果支持导出为Excel文件，支持自定义列表中展示的列，须提供功能界面截图。

资产管理

平台应支持多维度资产管理，进行多维度资产视图分析，系统至少内置五种视图：***、业务系统视图、组织结构视图、地理位置视图、行业视图。

漏洞管理

▲平台应与漏洞扫描设备进行对接，支持向漏洞扫描设备下发系统漏洞扫描任务、网站安全漏洞扫描任务、口令猜测扫描任务，通过平台进行统一扫描任务监控、管理，对扫描结果可以进行可视化呈现，如现有功能无法实现，需要定制开发，产生的费用需中标人全部承担，须提供功能界面截图和功能开发费用承诺函。

平台应支持漏洞库管理能力，本地漏洞数应不少于25万，支持漏洞模板自定义和配置模板管理，支持漏洞库升级。

平台应支持漏洞扫描结果自动生成漏洞处置单的能力，支持对漏洞处置单闭环处理，可设置漏洞处置单状态包括：***、待修复、已修复、已验证、单次忽略、永久忽略。

平台应支持漏洞报表功能，可选择生成资产风险报表、系统扫描报表、网站扫描报表、漏洞处置报表、配置核查报表等，为客户撰写安全分析报告提供支撑。

态势呈现

▲平台应支持所监测网络安全情况的态势呈现能力，态势呈现包括但不限于综合安全态势、外部威胁态势、内部威胁态势、外连威胁态势、脆弱性态势、资产态势、运维响应态势，须提供功能界面截图。

事件运维与监控

平台应支持对各类运维事件进行运维处置，包括但不限于提交研判人员进行分析、忽略、误报、处置、优先处理、加入白名单、生成报告、联动封堵设备封堵处置、邮件通报、工单通报等。

平台应支持将威胁、漏洞、失陷资产等事件以工单的形式通知用户进行工单处理，支持邮件通知。

一键封堵

平台应支持针对IP、域名、会话进行封堵，支持主机隔离、流量牵引等方式联动设备进行封堵，设备类型包括但不限于防火墙、抗拒绝服务系统、WEB应用防火墙、网络流量探针等。

平台应支持封堵状态获取及查看，支持判断封堵成功、封堵失败、解封成功、解封失败等状态。

产品资质

▲产品须具备安全管理平台类《计算机信息系统安全专用产品销售许可证》，提供有效证书。

▲产品须具备中国信息安全测评中心颁发的《国家信息安全测评信息技术产品安全测评证书》，级别至少为EAL3+，提供有效证书。

探针配置要求

硬件配置

★标准机架设备≥2U，USB接口≥1个，RJ45串口≥1个，管理口≥1个，千兆电口≥2个，万兆光口≥2个，含交流冗余电源模块，内置12T硬盘，3个扩展插槽，支持扩展12个万兆SFPP。

吞吐量

网络层吞吐量≥6Gbps，最大并发会话数≥300万，每秒新增会话数≥30000，包含流量采集、元数据提取、存储等功能。

流量采集

支持IPV4/IPV6流量解析。

▲支持导入HTTPS证书，对流量进行解密和还原，含SSL3.0、TLS1.0/1.1/1.2，须提供功能界面截图。

支持常见应用的识别不低于7000种。

支持VXLAN、GRE、VLAN流量解析。

支持对DNS、HTTP、FTP、SMTP、POP3、IMAP、SMB、Telnet、LDAP、MYSQL、ORACLE、MSSQL、PG、SSL、TLS、QQ、TCP、UDP、ICMP、SMB、WEBMail等常见协议的深度解析和还原。

元数据存储

支持对深度解析的协议进行存储，存储日志类型至少包括：***、HTTP日志、EMAIL日志、TELNET日志、认证日志、数据库日志、登录日志、SSL&TLS日志、FTP日志、DNS日志、ICMP日志、文件还原日志、社会账号日志、5G日志。

入侵检测

▲应覆盖多种攻击特征，可针对网络病毒、蠕虫、间谍软件、木马后门、扫描探测、暴力破解等恶意流量进行检测，攻击特征库数量至少为10000种以上，须提供功能界面截图。

支持对常见应用服务（HTTP、FTP、SSH、SMTP、IMAP、RDP）的口令暴力破解检测。

支持常见数据库协议（MySQL、Oracle、MSSQL）的口令暴力破解检测告警。

支持对敏感信息进行检测，敏感信息至少包括：***、手机号、银行卡号、信用卡号。

内置WEB应用机器学习检测模型，支持对sqli，xss，exec，phprce，ptravel和jeli攻击类型进行分类检测和告警。

WEB类告警详情中包含请求和响应信息，在请求和响应信息中能标记规则匹配中的字段信息，便于运维人员快速进行确认攻击事件。

钓鱼邮件检测

▲支持针对SMTP/POP3/IMAP等协议的钓鱼邮件检测，识别邮件内容，结合威胁情报、病毒检测等进行多维度分析，判断是否为可疑钓鱼邮件，须提供功能界面截图并提供第三方测评报告。

敏感信息识别

支持3种检测方式：***、请求方向检测、响应方向检测。

▲内置个人敏感信息模板，包括客户编号、客户名称、网站账户、联系人姓名、增值税注册地址、联系人地址、法人地址、用电地址、联系电话、电子邮箱、微信账号、QQ 号、居民身份证号、军人证号、护照号、台胞证号、驾驶证号等，须提供功能界面截图

自定义规则检测

支持自定义规则结合用户业务进行深度检测和告警，自定义内容包括至少源IP、源端口、目的IP、目的端口、威胁级别、流量方向和匹配类型（字符串、十六进制、正则表达式）。

告警白名单

支持对告警进行一键例外，快速屏蔽掉业务异常告警。

支持自定义告警白名单，自定义类型包括：***、源端口、目的IP、目的端口、请求URL和规则ID规则。

漏洞分析

支持从漏洞维度进行分析，识别流量中的漏洞信息，统计漏洞的影响范围。

告警处置

支持对入侵检测告警、WEB应用告警、威胁情报告警和恶意文件告警中的攻击IP和受害IP发送阻断报文，进行旁路阻断。

联动处置

支持与大数据平台联动：***，由大数据平台通过接口下发一键封堵断策略，探针执行封堵动作并将封堵日志信息发送给态势感知平台。

资产识别

▲支持从流量中自动识别资产信息和归类，识别的信息至少包括资产IP、资产MAC、资产类型、地理位置、操作系统名称、操作系统版本、操作系统标识、软件名称、软件标识、软件版本、设备标识、设备版本、端口、服务、协议。须提供功能界面截图。

部署模式

系统支持旁路部署，支持IPv4/IPv6环境部署。

产品资质

销售许可类型-综合型安全审计类、软件著作权证书、公安部网络安全产品销售许可证。

序号

服务名称

详细内容

服务频次

1

资产梳理

对学校无限制数量IT资产通过内、外网进行资产情报的搜集，帮助用户发现自己的未知资产，尤其是双非系统。进行资产探测扫描，梳理出资产的IP、开放端口、安装服务、各类指纹信息（操作系统、开发语言、中间件、Web应用平台/框架及第三方软件等）等资产信息。

2次/年

3

漏洞扫描

针对校方指定网站和信息系统进行全方位多维度自动化的漏洞扫描，通过漏洞扫描工具结合人工确认的方式从内网和外网两个角度发现安全风险、漏洞和威胁。给出全面的安全评估报告，对可能存在的误报进行验证，详细说明存在的安全风险，对确认存在的安全风险提供对应的修复建议，并协助学校进行风险修复。一周内提供安全评估报告，紧急情况需3天内提供报告。报告包含原因分析、解决方案以及校方要求的其他内容。重要网站和信息系统安全漏洞扫描每月一次，特殊时期临时安排漏洞扫描。提供漏洞验证、筛选、跟踪，并提供复测。

12次/年

4

渗透测试

针对校方指定的网站及应用系统进行深入探测。使用人工渗透测试技术，以模拟黑客入侵的方式对目标系统进行模拟入侵测试，最大限度挖掘注入漏洞、越权访问漏洞、业务逻辑漏洞、Web框架漏洞、文件上传漏洞、弱密码、关联性漏洞等安全风险，一周内提供渗透测试报告，紧急情况需3天内提供渗透测试报告。渗透测试报告包含原因分析、解决方案以及校方要求的其他内容。提供渗透人员的交叉测试和复测。

2次/年

5

安全预警

密切关注零日漏洞、业界新发现的高危安全漏洞，针对高危安全漏洞及时预警，预警包括对安全漏洞的描述、影响范围、修复建议等内容。预警范围包含但不限于：***、重大安全事件通告、采购方自身安全漏洞通告；通报时间7*24小时，实时通报；通报后续根据实际情况提供远程或现场技术支持。

不限次

6

应急响应

当淮阴工学院网络与信息系统发生紧急安全事件时，迅速组织应急安全专家小组提供远程及现场支持，最快速处置事件，并采取有效措施，遏制事件蔓延并降低安全威胁事件带来的严重影响。安全服务人员根据事件类别，通过远程和现场支持的方式协助客户对遇到的突发性安全事件进行紧急分析和处理。应急响应服务应至少包括现场取证备查、事件分析、分析报告提交、问题解决建议等，保证重要系统能及时恢复上线。15分钟内响应，两小时内到达现场开展工作。

不限次

7

安全培训

根据淮阴工学院的网络安全培训要求，提供64个学时的网络安全培训课程，培训形式由校方指定，培训内容包含但不限于网络安全意识培训、网络安全管理培训、网络安全技能培训、网络攻防培训（CTF）等。

64课时/年

8

网络安全宣传周

根据国家网络安全宣传周的要求，配合校方开展网络安全宣传周各种形式的宣传，对师生开展网络安全教育活动，提供内容包含但不限于网络安全宣传周总体方案、主题活动策划案、网络安全周宣传视频、网络安全周宣传手册等。

1次/年

9

重要时期保障

针对重大节假日、重大会议、大型活动、护网等重点保障时期，为淮阴工学院提供专项保障服务。服务将综合多年重大活动会议期间的安全保障经验，对国内外非法势力的攻击方向和范围进行研究，以及淮阴工学院实际网络安全情况，提供7*24小时远程技术人员值守、网站监测、安全设备日志分析等服务，每日汇报安全情况，全程协助客户进行安全事件排查及调查取证工作。

按上级要求提供（不少于30人日）

10

新系统上线检测

系统上线前安全检测服务主要是针对学校新上线的系统进行安全检测，确保系统在没有中危及以上安全隐患，才允许上线正式运行。系统上线前安全检测方式主要包括：***（内外网结合）、渗透测试。出具详细的安全评估报告，并配合对新系统相关的安全整改与复核。

10个/年

12

应急演练

每年组织一次网络安全应急演练，演练前准备详细的演练方案，明确演练目标、参加演练的信息系统、演练流程、职责分工、演练的风险及其应对措施等内容。演练结束后形成总结报告。

1次/年

13

管理制度建设

根据国家等级保护制度（等保2.0）及《中华人民共和国网络安全法》等有关法律、法规要求，协助淮阴工学院逐步完善网络安全管理制度建设。

2次/年

14

安全设备巡检与策略调优

定期巡检我校防火墙、WAF、入侵防御等安全设备，通过分析安全设备的日志，给出安全建议，协助优化安全策略。如发现异常情况及时通知校方，每季度输出安全巡检报告。

4次/年

15

安全咨询

安全专家提供线上安全咨询服务，实时沟通异常情况、可疑事件、漏洞分析等问题，并提供安全建议。

不限次

以上服务项及服务频次仅为本项目最低实施标准，必须全部满足。否则按无效投标处理。

指标项

指标参数要求

硬件配置

★2U机箱、≥16盘位、≥2颗 英特尔至强银牌 4208 2.1G, 8C/16T, 9.6GT/s, 11M 缓存, Turbo, HT (85W) DDR4-2400、≥128GB内存（最大可扩展至12*64GB（768 GB)）、2块≥480GB SSD系统盘、≥16块16TB 7.2K SATA 6Gbps 512e 3.5英寸企业级热插拔硬盘，RAID卡，≥双端口16Gb光纤通道HBA, PCIe全高（LAN-FREE支持），≥2个千兆网口、≥2个万兆光口（含模块）、冗余电源。

运维管理平台

监控功能

支持统一消息监控界面, 统一管理灾备系统运行日志和告警信息。

▲支持自动巡检提醒功能：***，按设置时间自动发送平台规则运行状态，并支持季度巡检短信通知，可通过邮件、短信平台、微信告警，缺一不可。须提供软件功能截图。

▲支持故障报警功能：***，源端主机或目标环境发生改变等影响灾备任务执行的警告，可通过邮件、短信平台、微信告警，缺一不可。须提供功能截图。

灾备任务的实时监控：***、传输速率、执行进度等。

资源监控：***/内存/磁盘占用率、磁盘 I/O、网络流量、服务器基本信息。

数据安全

灾备的数据传输过程支持加密，满足广域网传输需求。

支持对灾备端存储的数据完整性进行自动验证，并提供一致性比较报告。

支持灾备管理网络和灾备数据传输网络隔离，管理网络异常时不影响数据网络，数据网络异常时可以使用管理网络登录查看，两个网络相互独立，互不影响。

管理安全

系统提供普通管理员、普通用户、查看用户，不同的用户级别对应不同的管理权限。

提供账号管理、口令管理、权限管理等相关安全管理功能，用户口令加密存放，数据复制的系统管理和数据复制配置可分权限管理。

支持强口令方案，对密码长度、密码复杂度、密码有效期组合要求。

默认开启防暴力破解机制，可配置“允许尝试登录次数和失败锁定时间”。

易用性

操作全部界面化。

灾备复制的操作互相独立、可单独开启和停止。

支持一对多、多对一、级联等多种结构方式。

支持二级代理，兼容被隔离网络互相穿透和统一管理。

版本支持统一管理、一键式升级、远程批量安装和自动注册。

可靠性

支持集群部署、支持横向扩展。

灾备平台支持系统自身配置的备份/恢复机制，供管理员对配置进行定期备份或实时复制，在发生故障时恢复，控制台故障不影响正在运行的灾备任务，恢复控制台后状态正常。

可维护性

灾备代理程序支持启停控制、支持以应用程序或系统服务方式运行。

具有标准的开放式技术接口，可与其他系统集成。

支持二次开发，实现其他产品产品管理能力。

数据定时备份

备份能力

▲支持块设备到文件备份，支持块设备到Raw数据备份，支持文件到Raw数据备份，支持文件到文件备份等。须提供软件功能截图。

采取全自动的备份方式，支持完全备份、增量备份、差异备份、自动循环备份等。

兼容各类硬件存储，支持异构存储间数据备份, 实现跨虚拟化池、跨存储的数据保护。

数据备份支持选择性配置策略，可忽略文件或目录，避免无效数据占用带宽资源。

提供多种数据压缩算法与加密功能。

支持同时执行多个数据复制操作、互相独立、可单独开启和停止。

文件及文件夹备份能力

支持文件打开方式备份和恢复。

支持文件安全属性的备份和恢复。

支持文件夹共享属性的备份和恢复。

数据库备份能力

Oracle 数据库：***/11g/12c/18c/19c等；支持Oracle RAC image copy备份；支持Oracle合成备份快照归档；支持Oracle单表恢复。

SQLServer 数据库：***；SQL Server支持多库备份等。

DB2 数据库：***.7/10.1/10.5/11.1/11.5等。

Hadoop大数据备份恢复功能，支持HDFS、Hive、HBase。

支持informix数据库备份与恢复。

支持不限于达梦、瀚高、人大金仓、南大通用、华为、阿里等国产数据库。

无代理虚拟机备份

功能模块

B/S架构，WEB中文操作界面，全图形化监控、管理、备份、恢复和统计界面。

支持VMWare、Hyper-V、CAS、EasyStack、OpenStack等虚拟化平台的保护。

无须在每一台虚拟机上安装代理程序，安装部署简单快速。

能够通过虚拟机集群或单个宿主机进行虚拟机的备份保护。

虚拟机备份支持策略配置, 全备+差异备份，或全备+增量备份。

支持即时恢复、计划恢复任务，快速重建虚拟机。

每个备份、恢复或迁移任务之间互相独立、互不影响，可以按需开启或停止。

支持LAN-free方式完成虚拟机的备份、恢复或迁移。

支持瞬时恢复，能够从生产中心和容灾中心的备份文件快速启动虚拟机用于生产，而无需将备份文件先恢复到生产存储。

支持VMware的块改变（CBT）跟踪功能，而且能够实现VMware虚拟机的CBT备份。

支持正向增量、反向增量备份技术。

支持thin模式和thick模式磁盘分配的虚拟机。

支持传输压缩，实现数据在传输过程中压缩。

支持静默快照。

支持自动发现, 能够在备份作业运行期间动态的增加新虚拟机。

支持vMotion场景下对指定虚拟机做备份保护。

支持页面指定传输模式应对于不同的用户常场景。

支持虚拟化平台域名方式添加注册。

支持在隔离环境内执行虚拟机快速演练和验证。

▲提供虚机迁移功能，可具备跨虚拟化版本下的虚拟机直接源平台到目的平台点对点迁移，无需中转。须提供软件功能截图。

提供虚机在线跨虚拟化版本下的虚拟机直接源平台到目的平台点对点复制，无需中转。须提供软件功能截图。

增加对IPv6的支持。（宿主机IPv6地址）

全服务器整机备份

整机备份方式

▲提供文件级整机备份和块级整机备份两种方式选择。须提供软件功能截图。

备份格式

备份数据格式支持原格式文件或VMDK、QCOW2虚拟磁盘文件格式。

备份方式

支持完全备份、增量备份、永久增量备份和增量合成等方式。

备份支持

支持按文件后缀类型以及包含或排除过滤。

支持MBR、GPT格式的系统备份，自动匹配对应格式。

支持提供带宽控制功能，可灵活根据时间段调整带宽，可降低对生产业务网络的影响。

支持备份点管理。包括查看备份点类型，生成时间，数据大小等。可通过备份点直接进行还原操作。

支持备份数据校验，可配置严格校验和时间校验。

备份还原

支持备端拉起，可直接在VMware平台快速拉起。

支持裸机恢复，目标主机采用LiveCD或WinPE引导镜像进行恢复。

支持备份数据以MFT或普通文件方式打开。

CDP数据持续保护

技术要求

采用实时捕获文件访问操作字节级持续数据保护技术（非快照类、块级传输），通过在操作系统核心层中植入文件过滤驱动程序，来实时捕获所有文件访问操作，实现真正的True CDP。

采用文件系统序列化操作日志捕获和传输技术，实现各类系统及数据、数据库的备份有效性和一致性，保护备份数据可用。

功能要求

支持防加密类勒索病毒功能，支持备端可过滤源端删除动作，可秒级数据找回功能，而不需要定位感染时间。

支持对整盘数据、整个文件夹数据、或单个文件数据进行数据实时的CDP保护。可针对整盘保护，并排除整盘中部分不必要的文件。

支持对整盘数据、整个文件夹数据、单个文件数据进行任意历史点数据快速恢复，时间精度达到百万分之一秒，即0.000001秒，同时具备缺一不可。

支持文件备份的过滤过功能，可忽略文件或目录，避免无效数据占用带宽资源。

▲提供数据验证功能，要求产品支持源端与目标端数据进行在线的MD5值对比校验确保数据一致性，并生成报告。帮助用户清楚的验证生产数据和备份数据是否一致，杜绝因数据不一致导致无法恢复或数据丢失。须提供功能截图。

支持对Oracle、DB2、MySQL、达梦、南大通用、Informix、SQL_Server、Exchange、Lotus Notes、Sybase ASE、达梦、人大通用、SAP HANA、Cache等多种数据库或应用系统进行在线实时保护，支持无限历史时间点留存。

支持断点续传，当实时任务执行过程中出现异常、断网等情况修复后，可自动从上一次断点处继续增量传输数据，无需重新进行完整数据传输。

兼容各类硬件存储，支持异构存储间的数据复制，实现应用系统跨虚拟化池、跨存储的保护。

支持异构虚拟化平台之间的数据级灾备复制；支持任意公有云或私有云之间的数据级灾备复制；支持本地机房和云主机间的数据级灾备复制；支持异地机房间、基于专线或广域网的数据级灾备复制。

满足异构平台上各种应用和数据复制，比如Windows平台和Linux平台间的文件复制，同时要求灾备端文件和数据保留文件属性信息，严格保证数据的完整性和可用性。

数据复制过程支持断点续传，网络中断或灾备端不可达等异常情况，恢复后支持断点续传。

支持docker容器场景下的数据复制和恢复。

支持对共享磁盘上的文件或目录执行实时捕获和复制。

云灾备

全面支持公有云平台灾备，既能将云平台上的数据进行灾备，也支持以云平台为灾备承载体建立数据灾备平台。支持如阿里云、腾讯云、盛大云、百度云、AWS、Azure、华为云、Ucloud、QingCloud等云平台。

软件授权

★提供≥2000个文件、数据库、物理机整机定时、虚拟机整机定时、云主机整机定时等定时备份节点授权、提供≥10个CDP持续数据保护节点授权，软件无容量授权限制。（采用容量授权方式的厂家，需提供1024TB的备份容量授权，以满足我校未来容量备份扩容需求，投标时提供投标人盖章承诺函）