· Web view能识别的关键文件类型应包含至少以下几类：文档类如excel、pdf、powerpoint、word等，压缩文件类如cab、gzip、rar、zip、jar等，图像类如bmp、gif、jpeg等，音频视频类如mp3、avi、mkv、mp4、mpeg、wmv等，脚本类如bat、cmd、wsf等，程序类如apk、dll、exe、java_class等。

项目背景概述天安门地区计划实施天安门地区视频联网建设，整合驻区内单位视频信号，建设共享

联网平台，进一步完善重点区域高清图像点位的联网与共享。同时，将对天安门地区指挥调度平台视频监控指挥调度资源展示大屏幕进行配套更换。项目现状

1.前端建设情况：天管委于 2012年建设视频系统，接入部分驻区单位的视频资源。建设大屏幕显示墙显

示视频图像。2.监控平台管理系统现状：目前采用视频监控统一管理平台进行监控管理。通过视频专用线路接入驻区的视频信号。建设任务天安门地区视频监控联网建设二期项目包括以下建设内容：

（一）项目勘察与方案设计本次项目建设内容复杂，关联单位较多，需投标人现场梳理项目相关情况，对现有系

统的网络结构、拓扑、设备性能、安全策略、应用部署及使用情况进行摸底汇总。参考国家和行业标准，在充分考虑已有设备和未来发展情况的前提下，完成天安门地区视频监控联网

建设设计和建设方案的编制。建设方案应具有良好的可行性及建设性，投标人完成项目勘察后若因自身原因对招标方提出不合理要求，招标方不予回应。（二）硬件配套建设

1.结合实际情况建设符合天安门地区视频监控联网需求的共享平台系统。2.实现不少于 32路高清视频图像及满足智能全景应用 4K信号输入的大屏显示。3．通过前期项目勘察，在保证全流程 IP网络化协同传输的前提下，对共享平台系统

与大屏显示系统设备进行集约化配置。4．根据前期项目勘察，参照等保三级标准对共享平台系统进行网络安全改造。5．针对大屏显示、视频会议、音响系统、电视系统、值守工作台等音视频控制设备进行

优化整合。6．指挥调度中心进行老旧线路更新改造。

（三）系统平台软件本次平台建设包含录像机服务、告警管理服务、电视墙服务、电子地图服务、日志服务、

转码服务（内置媒体处理网关）、国标服务和客户端协议兼容模块，业务服务模块均部署在主平台。平台内部所有模块间通信主要采用 SIP协议，所有消息交由 PROXY中转。

1.视频监控联网共享平台汇聚驻区单位多个监控分平台，以 GB/T 28181协议完成互联互通，实现驻区各单位视频监控图像资源的共享整合。

2.视频监控联网共享平台整合约 1250路视频信号，同时根据不同需求共享给驻区单位。

3.视频监控联网共享平台能够提供以 IP协议方式推送符合大屏显示要求的 1080P视频信号，不少于 60路。

4.按照工作需要和相关规定做好视频存储，实现 676路高清监控信号（1080P 摄像头）7×24 小时保存 90天，2000路信号资源存储 30天的,进行相应的临时性存储空间预留。

5.所选平台软件必须通过GB/28181协议直接对接。（四）系统软件开发

与不符合国标GB/T 28181-2016 版的平台进行对接，需根据前期项目勘察情况确保实现下列系统应用软件开发的有效功能，但不限于下列功能：

浏览功能开发

电视墙功能放像功能设备管理功能设备预览功能直存功能一机四屏功能故障管理用户权限管理地址绑定远程遥控功能锁定和和解锁视频输出格式的匹配视频输出码率匹配数字码流转码 PTZ控制第三方厂商平台接入负载均衡丢包重传国标协议接入国标平台数字码流转发友好提示定制录放像功能还原点设置设备信息获取接入配置报表输出功能网络与设备管理系统校时系统心跳

DVR、NVR接入定制 DVR、NVR入网管理 IPCSearch 搜索告警上报系统还原 DVR接入配置转码服务配置系统配置设备维护（五）等保测评系统建设完成后对共享平台系统的安全保护策略参照等保三级进行测评，需第三方具

有专业评测资质的机构进行测评，并出具评测报告。软硬件采购清单本项目核心设备为高密度服务器、磁盘阵列、交换机。本项目所需软硬件产品质保期为 2年。硬件采购清单

设备名称数量万兆安全视频交换系统 2

安全隔离网闸 2

联网网关（软硬一体） 1

万兆光模块 1 2

万兆光模块 2 2

DVR接入网关 2

数字平台接入网关 1

IPSAN交换机 12

下一代防火墙 2

入侵防护系统 2

入侵检测系统 1

安全审计系统 2

威胁分析系统 1

运维管理区防火墙 1

万兆三层交换机 2

漏洞扫描 1

数据库审计 1

堡垒机 1

日志审计 1

终端安全管理 1

下一代防火墙 4

磁盘阵列 20

硬盘 374

流媒体系统（软硬一体） 7

高密度服务器 7

流媒体转发服务器 8

高性能图形服务器 3

管理主机 3

设备机柜 1

激光投影机 7

融合器 1

激光光源 7

超短焦镜头 7

激光阵列排 1

投影机 6自由度平台 7

投影机安装支架 7

一体化屏幕 1

分布式融合拼接系统编码器 13

软件购置清单：软件名称数量视频监控业务平台软件 1

第二代视频监控业务平台软件 3

投影机调试软件 1

多通道光源一致性控制软件 1

投影机系统控制软件 1

网络化分布式图像控制软件 1

视频监控业务平台授权（License） 2500

防病毒软件 1

系统软件定制开发清单：

序号系统名称1 第三方厂商平台接入2 负载均衡3 丢包重传4 国标协议接入国标平台5 视频输出格式的匹配6 视频输出码率匹配7 数字码流转码8 数字码流转发9 友好提示定制10 PTZ控制11 录放像功能12 还原点设置13 设备信息获取14 接入配置15 报表输出功能16 网络与设备管理17 系统校时18 系统心跳19 DVR、NVR接入定制20 DVR、NVR入网管理21 IPCSearch 搜索22 告警上报23 系统还原24 DVR接入配置25 转码服务配置26 系统配置27 设备维护28 浏览功能开发29 电视墙功能30 录像功能31 放像功能32 设备管理功能33 设备预览功能34 直存功能35 一机四屏功能36 故障管理37 用户权限管理38 地址绑定39 远程遥控功能40 锁定和和解锁

交货时间及地点要求交货时间：合同签订后一个月交货地点：用户指定付款方式

1、甲方自本合同签署之日起 10个工作日内，向乙方支付委托报酬的40%（最终支付金额以财政批复金额为准）；项目竣工后，经甲方初验合格之日起 10个工作日内，向乙方支付委托报酬的 40%（最终支付金额以财政批复进度为准）；项目经甲方评审终验合格之日起 10个工作日内，向乙方支付委托报酬的 20%（按照甲方财政预算批复进度支付，最终支付金额以财政评审结果为准）。

2、甲方不应当支付除委托报酬以外的任何其它费用，乙方也不得要求改变报酬总额。

3、乙方应当对本项目的收支情况进行单独核算，以配合财政部门的延伸审计。（根据项目具体需要填写）

技术规格及要求指标按重要性分为“★”、 “▲”和一般无标示指标。★代表实质性指标，不满足该指

标项将导致投标被拒绝， ▲代表重要指标，无标识则表示一般指标项。视频监控联网设备

联网平台

指标项主要技术参数概要设备应实现设备接入、数据存储、码流转发、实时浏览、录像同步回放、语

音对讲、告警联动、集中控制等功能音视频格式支持 svac、h.264、h.265、mpeg4视频编码格式

支持 adpcm、g711a、g711u、aaclc、g7221c、G722、AMR、opus音频编码格式支持4K、QXGA、1080P、UXGA、960P、720P、XGA、SVGA、D1、4CIF、CIF、QVGA 、QCIF等多种分辨率支持 1-30,60 帧/秒支持主流厂商设备接入，可实现视频浏览、存储、回放、上墙功能

浏览界面支持多画面同时浏览支持均分和 1+N 画面布局支持 1/3/4/5/6/8/9/10/12/16/25/36/64 画面布局支持竖屏走廊模式的画面布局支持浏览窗口布局自定义功能，用户可以自行设计窗口布局

实时浏览

实时浏览时，支持音视频同步支持手动/自动切换主辅码流支持浏览窗口图像自适应窗口和铺满窗口支持电子放大，可在录像回放图像窗口进行图像放大操作支持音量控制，可打开、关闭声音和调节音量支持查看码流信息，包括图像分辨率、音视频码率、视频帧率、音视频丢包率、接收和丢失音视频帧数的统计支持抓拍，可保存当前回放窗口的图像接入GPS设备时，支持在实时浏览窗口显示GPS设备的的经纬度、速度等信息▲支持电子罗盘功能，可在视频中实时查看当前球机指向的方位和转动角度支持批量浏览，可一次载入整个分组的监控点视频，当浏览的监控点数大于当前画面窗口时，支持分页显示支持单画面全屏和多画面全屏支持浏览窗口视频轮巡，可独立设置每个画面间的轮巡间隔支持配置图像的亮度、对比度、饱和度、锐度支持即时回放，可在实时浏览过程中倒退查看录像，回放时间进度可调节支持一键上墙，可将当前浏览视频投放到电视墙指定窗口播放支持多声道，在实时浏览时，可选择指定声道播放声音支持本地录像，在实时浏览时，可直接录像到本地支持批量操作，可以对多个窗口批量执行录像、抓拍、停止浏览等操作支持视频自动重连，客户端浏览前端视频时，如前端掉线再上线，视频播放窗口会自动播放视频，无需人工操作支持 UDP和 TCP 两种码流模式

云台控制支持控制前端 PTZ，支持控制云台上、下、左、右、左上、左下、右上、右下转动，支持放大缩小、光圈调节、焦距调节（需前端设备支持）支持水平扫描支持设置云台转动速度

支持设置和调用云台预置位，支持巡航支持守望功能支持在浏览视频中点击居中、框选放大支持 PTZ抢占，当实时浏览图像因为被其它高 PTZ 权限用户操作，而导致当前用户进行 PTZ 操作失败后，可以提示正在操作 PTZ的用户名和IP地址信息支持锁定云台，被锁定的云台只有输入正确的解锁密码才可以解锁使用，高 PTZ 权限的用户可以无需密码即可解锁使用。云台被锁定导致其他用户无法进行 PTZ 操作时，可提示锁定 PTZ的用户信息。支持记录记录 PTZ 锁定、解锁日志

预案管理

支持将当前播放的视频和窗口布局一键保存为预案支持分组管理预案支持预案搜索预案数据保存在服务器，用户在不同 PC 上登录都可获取到相同的预案支持定时载入预案，可设置预案的开始结束时间支持预案轮巡，可独立设置每个预案间的轮巡间隔

语音呼叫实时浏览时，可呼叫一个或多个前端进行语音对讲支持语音广播

电视墙

支持串口监控键盘和网络监控键盘，可通过监控键盘对电视墙进行控制，包括 PTZ控制、视频通道切换等操作支持自定义电视墙风格，可以将客户端电视墙窗口的布局与实际的物理布局一一对应电视墙窗口支持显示当前监控点的图像预览支持电视墙预案轮巡支持录像回放上墙，可以快进、快退、暂停、拖动、快放、慢放、逐帧播放等操作

视频拼接支持视频拼接功能，通过平台客户端对视频源进行剪切、上下位移、放大、缩小等操作，将多个视频源图像拼接为单路图像，并能满足录像存储和电视墙上墙功能

录放像功能

支持手动录像、周期定时录像等多种录像策略支持只录关键帧、只录视频、音视频同步录像等多种录像方式支持平台录像、前端录像、客户端本地录像等多种录像保存方式支持在不同存储设备上，以不同的存储方式存储的设备进行统一检索并回放支持按通道和日期检索录像并回放支持录像日历，可在日历上以不同颜色区分是否有录像记录、前端录像、平台录像、报警录像录像回放时，支持音视频同步支持 16路异步放像和 16路同步放像功能支持分时段回放，可将选中的通道的录像分配至多个窗口进行分时回放，最多可支持分成 16个时段回放支持录像逐帧播放支持录像正放和倒放等功能，支持多倍速放像，支持

1/16、1/8、1/4、1/2、1、2、4、8、16倍速播放支持录像回放控制快捷键操作，上下键控制倍速，左右键控制快进快退，空格键控制暂停/播放录像回放时支持控制是否抽帧播放支持回放窗口图像自适应窗口和铺满窗口支持电子放大，可在录像回放图像窗口进行图像放大操作支持音量控制，可打开、关闭声音和调节音量支持查看码流信息，包括图像分辨率、音视频码率、视频帧率、音视频丢包率、接收和丢失音视频帧数的统计支持抓拍，可保存当前回放窗口的图像录像回放窗口支持单画面全屏和多画面全屏支持以时间轴方式查看录像结果，可调节时间轴刻度大小支持秒级回放，通过录像时间轴可精确定位到秒进行录像检索和回放支持录像下载按秒定位，支持录像批量下载，支持下载录像文件录像可用通用播放器播放支持混音录像功能，平台和前端摄像机语音对讲时，对讲语音与视频可以同步录制支持回放外部录像数据，可回放存储在U 盘中的录像文件

存储功能

支持录像存储在本地硬盘、USB 存储或其他直连存储；支持录像存储在通过NAS协议挂在的网络存储；支持录像存储在通过 ISCSI协议挂在的磁盘阵列录像支持存储在平台服务器；录像支持存储在通过 ISCSI挂载的磁盘阵列录像支持存储在通过NAS协议挂载的网络存储上录像支持存储在云存储支持直存功能，视频流可直接写入存储录像存储超出存储总容量时，支持自动覆盖、停止录像支持为每个监控点配置存储空间支持将监控点的录像绑定到指定磁盘分区，保证重要录像不丢失

设备管理功能

▲可支持不低于 200 万个前端设备接入和管理支持前端设备注册管理、支持前端设备的参数配置、支持平台设备远程复位支持设备批量导入导出功能，可以使用 Excel模板将需注册的设备一次性导入平台并自动完成注册，可以将已注册的设备导出为 Excel文件支持批量设置前端注册信息支持设备图像预览，无须进行视频浏览，即可在设备树上直接预览图像支持自定义设备树，用户可以根据需要自行设置设备树的设备分组和排序等信息支持搜索联网的设备并入网到平台

一机多屏▲支持一机四屏功能，可将窗口复制到指定显示器，也可同时展现多个业务界面，客户端可同时查看视频浏览、录像管理、电视墙和电子地图支持屏间操作，可以将任意视频浏览窗口或电子地图图元作为设备视频

源，在多个屏幕之间进行拖拉操作实现浏览、录像、上墙等功能。智能跟踪球

支持智能跟踪球系统的接入和展示，在平台客户端可以查看智能跟踪球系统中枪机的全景图像和球机的跟踪目标图像支持在枪机全景图像窗口中点击目标物体，球机自动跟踪该目标物体

故障管理功能支持前端故障、平台故障、告警及用户日志查询

电子地图

支持本地地图、网络在线地图、服务器获取地图等多种电子地图方式支持电子地图共享功能，管理员维护的地图及图元，可共享给其他用户使用支持 JPEG地图、Google地图支持多级地图设置和鹰眼图浏览支持在将监控点标记在电子地图上，并可支持显示监控点的在线、离线状态带有GPS的无线前端在移动时，支持在电子地图上对其进行轨迹绘制，点击轨迹点时可以调阅这个时间点上的录像支持通过电子地图上监控点的图标进行视频浏览、云台控制、语音呼叫、录像回放等功能支持框选多个图元浏览、呼叫、查看信息当发生报警时，电子地图上的监控点图标可闪烁报警支持显示/隐藏图元名称支持电子地图上监控点和设备树相互定位

报警联动

支持接收前端设备报警信息，包括：移动侦测、虚焦检测、场景变换、区域入侵、区域离开、物品拿取、物品遗留、人员聚集、声音强度变化等报警信息（需前端设备支持）支持报警布撤防功能支持报警联动功能，可同时联动多个前端设备报警联动分为：客户端告警联动、平台告警联动、前端告警联动等客户端联动支持：联动抓拍、联动播放提示音、联动切换报警图像、联动电子地图平台告警联动支持：联动图像上墙、联动报警录像、联动球机预置位前端告警联动支持：联动前端告警输出通道

流媒体服务支持标准的 RTSP实时流媒体服务，可使用标准的流媒体播放软件进行实时浏览

移动客户端

支持手机、平板等移动终端通过移动客户端连接平台，支持 Android和IOS 操作系统移动客户端支持单画面和四画面两种浏览风格移动客户端对实时浏览的视频，可以进行本地抓图、画质切换、云台控制、本地录像、开关声音等操作支持对移动客户端请求的音视频码流转码为移动端可播放的视频源

组网方式支持平台级联组网，可支持不少于 8级级联支持平台堆叠组网，可支持不少于 32台系统堆叠支持平台堆叠和级联混合组网平台间级联码流传输支持 TCP和UDP模式

支持上联多个上级平台；支持为每个上级平台推送不同的设备和分组

扩展性支持 SDK和WebService 两种开发接口平台各模块支持分布式虚拟化部署，支持将平台的各模块部署在不同的虚拟化环境中，实现平台的即插即用和无缝在线扩容支持与视频会议系统互通

网络适应性支持多网段接入，可实现多个相互独立的网络接入同一平台支持智能丢包恢复，支持重传缓冲和精确重传功能多级平台级联时，支持平台间码流的层级转发支持设备干线管理，在带宽有限的情况下，控制设备发送的媒体流量

平台可靠性

设备应支持 USB备份盘，可定时对系统进行数据备份，支持通过备份盘快速恢复系统数据支持 N+1备份功能，在其中一台平台发生故障时，备机能够在不需要人工干预的情况下自动顶替其继续运行，平台关键业务不受影响支持通过平台向前端设备、从平台、下级平台、客户端进行手动校时和自动校时；支持多种时间源同步，包括NTP时间服务器、平台服务器等支持故障自恢复机制，当系统出现数据损坏时，系统可自动恢复备份数据支持当监控业务平台宕机或断网的情况下，录像业务不受任何影响，当平台恢复正常工作后，系统恢复正常、录像数据不丢失支持录像备份，可将录像备份到指定的存储上支持录像补录功能，当网络故障时，录像可以暂存在前端；网络恢复后，系统自动将故障期间的录像补录回平台存储，可正常检索、回放、下载支持当监控业务平台宕机或断网的情况下，不影响视频解码上墙支持客户端断网自动重连支持云平台集群管理

平台安全性禁止 root/administrator等管理员用户远程直接登录平台支持平台间级联不通过网络，通过串口线传输信令，编解码设备传输码流，提高系统的安全性

监控点图像发布成HTML5

支持选择监控点发布成 HTML5，可通过 IE 浏览器登录平台查看发布监控点的图片和视频

支持微信 ▲支持将监控点图片和视频发布到微信

用户及权限管理功能

支持用户授权，由用户组统一划分权限，支持最高三级权限登录支持经过授权后可浏览其它平台所属监控点的视频，支持（兄弟节点 /上下级）跨域授权支持客户端自动锁定机制，启用后客户端在指定时间内无操作可自动锁定，需要输入密码解锁支持限制指定 mac地址或 ip地址的机器登陆平台

录像下载支持将下载的多个录像文件合并成一个录像文件设备统计和导出支持统计设备在线数量/设备总数，支持设备信息表导出，可导出 excel

支持视频源名称同步支持同步前端视频源名称支持配置视频字幕

▲平台支持控制解码器进行 OSD叠加功能，并可在电视墙上查看带OSD 字幕的视频图像

web客户端支持通过 IE内核的浏览器登录平台支持 1/4/9/16 画面布局支持实时浏览和录像回放

系统管理支持一键远程升级支持 Linux 操作系统可实时显示 cpu 内存使用情况接入平台的设备支持按组织机构、收藏夹、自定义视图三种类型管理

证书要求具有“国家安全防范报警系统产品质量监督检验中心”出具的产品检验报告

证书要求具有“国家安全防范报警系统产品质量监督检验中心”出具的符合GB/T 28181-2011相关要求的检验报告



以上技术指标以公安部检测报告为准，投标人应提供检验报告复印件，并提供检测报告原件备查。非标平台接入网关

指标项主要技术参数总体要求设备应采用嵌入式设计，系统稳定可靠功能特性支持 H.264、H.265、MPEG-4视频编码协议

支持非国标设备的接入管理和标准化改造，以标准国标协议和国标码流推送到上级国标平台支持将非国标设备的码流转码成标准的国标码流，可以通过转码服务器增强转码能力支持快速转码功能，支持将非标码流以改封装方式转成国标码流支持向下接入国标平台，可满足对上级平台国标扩展协议的支持，如国标ID映射、国标经纬度配置与上报等功能支持前端设备状态实时上报支持视频码流范围：64-8192Kbps支持视频帧率范围：1-30 帧/秒支持音频格式：G.711A支持在客户端上实时浏览接入平台的监控视频支持对具备 PTZ 功能的摄像机进行 PTZ控制支持对前端设备进行录像查询、播放及下载支持开机系统自动还原，还原到保存的系统还原点

支持配置上级平台信息支持配置接入的平台信息支持查看各模块的版本信息支持日志功能支持数据包丢包重传功能支持开机系统自动还原，还原到保存的系统还原点与更新支持日志功能

性能要求▲支持接入 16个同品牌数字平台设备，支持 8 万路通道接入支持 500Mbps码流转发能力支持 10路 1080P或 32路D1码流转码能力

证书要求提供中国国家强制性产品认证证书（3C）

非标NVR\DVR接入网关

指标项主要技术参数总体要求设备应采用嵌入式设计，系统稳定可靠功能特性支持非国标设备的接入管理和标准化改造，以标准国标协议和国标码流推

送到上级国标平台支持将非国标设备的码流转码成标准的国标码流，可以通过转码服务器增强转码能力支持快速转码功能，支持将非标码流以改封装方式转成国标码流;支持自动升级，平台上有更高版本可自动获取并升级客户端支持自动搜索主流的第三方厂商设备，如海康、大华视频监控设备；支持对接入的前端设备做参数配置，如 IP地址、厂商类型、端口号、用户名、密码、通道数等支持批量添加设备支持 H.264、H.265、MPEG-4视频编码协议支持视频码流范围：64~8192Kbps支持视频帧率范围：1~30 帧/秒支持音频格式：G.711A支持在客户端上实时浏览接入的编码设备的监控视频支持对具备 PTZ 功能的摄像机进行 PTZ控制支持在客户端上实时监听接入的编码设备的音频，支持双向对讲支持接收前端编码设备的告警信息，如移动侦测、视频丢失、遮挡，并上报平台支持对编码设备进行录像查询、播放及下载可通过客户端软件搜索设备的设备信息，如设备名称、IP地址、设备类型支持数据包丢包重传功能支持自动向监控平台入网编码设备

支持开机系统自动还原，还原到保存的系统还原点支持将系统及业务软件恢复到出厂配置支持配置设备的网络参数支持在客户端进行设备重启、版本升级、许可证信息查看与更新支持日志功能

性能要求支持接入 4000路通道的DVR/NVR/DVS/IPC设备支持 10路 1080P或 32路D1码流转码能力支持码流转发，最大支持 480M带宽的码流转发

证书要求提供中国国家强制性产品认证证书（3C）

DVR 接入网关性能

DVR接入网关，可接受定制开发。支持客户端浏览、电视墙浏览、PTZ控制、告警联动等功能。支持接入 64台DVR/NVR/DVS/IPC设备，并进行码流转发。支持社会面接入模式，在该模式下可以管理 300个DVR通过客户端软件接入。在平台侧按照接入的监控点数收取 license。支持穿越网闸。

数字平台接入网关性能

数字平台接入网关，可接受定制开发。支持客户端浏览、电视墙浏览、PTZ控制、告警联动等功能。支持主从机配置：主机完成第三方数字平台的接入管理，从机完成转码功能。支持穿越网闸。

集中存储

指标项主要技术参数总体要求采用 3U机箱，具有 24 盘位，模块化无线缆，主板、电源、风扇可插拔更换

功能特性

设备采用嵌入式设计，运行于 Linux 操作系统具有B/S 架构，支持通过浏览器对一台或多台磁盘阵列进行访问和控制支持密码设置复杂度提醒支持查看硬件状态和系统状态支持存储池、虚拟磁盘的快速自动配置支持配置备份和恢复支持告警事件联动邮件通知支持网口绑定功能，可将多网口设置同一 IP地址，实现链路聚合、负载均衡、热备功能视音频采用视频流协议直接写入存储支持磁盘在线修复功能支持 RAID0、1、5、6、10、以及其他高级RAID模式；支持热备盘；支持针对坏扇区磁盘的热顶替支持 RAID快速创建，支持 RAID在磁盘拔出一定时间插回后快速重建

▲支持 RAID重建速度动态调整，可以根据写入码流带宽需求，动态调整RAID重建的速度▲支持 RAID重建断点续建技术，设备重启之后，RAID可以继续重建支持创建/修改/删除/查看虚拟磁盘支持虚拟磁盘类型 ISCSI、NRU、NAS支持在 Linux及Windows客户端访问NAS类型的虚拟磁盘▲支持磁盘漫游功能，磁盘更换盘位后，不影响RAID正常使用▲支持热插拔功能，支持磁盘、电源热插拔支持图形化显示设备CPU状态、内存使用状态、磁盘状态、存储池状态、存储池容量使用状态支持降级、重建功能，当存储池处于降级、重建状态，不影响数据写入

RAIDX功能

支持 RAID 组在线扩容，增加、减少RAID 组的磁盘数量不影响设备正常工作▲在 RAID 组内丢失 2块（含）以上磁盘但至少有 1块正常磁盘时，不影响设备正常工作在RAID 组内有磁盘失效时，系统可自动重构数据在磁盘拔出再插回时，磁盘上数据不会丢失

性能要求

3U机架式 24 盘位 IP 磁盘存储阵列,含 2块 8T系统校验盘，模块化无线缆设计，主板、电源、风扇可插拔更换，便于维护，1000Mbits/秒录像写入能力+额外 400Mbits/秒转发能力24 个 SATA 盘位， 8TB3.5 寸企业级 SATA ，支持iSCSI,RAID0/1/5/6/10,RAIDX4个千兆网口，支持网卡绑定，双冗余电源与监控平台配合，实现录像直接存储及码流转发

硬件参数

支持 1T、2T、3T、4T、6T、8T SATA 磁盘；支持企业级、监控级硬盘支持 4个 10/100/1000M以太网接口支持 2个USB接口支持 1个VGA接口

证书要求

为保障系统的安全稳定性，设备应具有公安部相关检测报告具有“国家安全防范报警系统产品质量监督检验中心”出具的符合 GB/T 28181-2011相关要求的检验报告提供中国国家强制性产品认证证书（3C）

以上技术指标以公安部检测报告为准，投标人应提供检验报告复印件，并提供检测报告原件备查。

集中解码

指标项主要技术参数性能指标基于嵌入式架构，系统稳定、可靠

支持主从堆叠部署和负载均衡调度支持和 IP投影设备对接

支持高清 1080P视频解码单台设备解码能力不低于 512路；单台设备转发能力不低于 300M;

系统能力

流媒体调度管理模块。流媒体服务器(主机)。提供手机、平板电脑和Web 播放器的直播，点播和转码功能(多清晰度切换)。支持多种流媒体协议：RTSP(UDP/TCP/组播)、RTMP、HTML5(HLS)。可配置主机（负载均衡），从机（转码转发）等组网模式。不额外收license。流媒体资源控制转码模块。流媒体服务器(从机)。流媒体转码专用设备，可将第三方的非标准码转成标准的 H.264/H.265科达码流。仅作为从机使用。不支持转发。不额外收 license。

投标人须详细描述解码设备和显示设备的连接显示原理；高密度服务器

指标项主要技术参数

机框"19英寸 2U高标准机架式服务器机箱，最大可插 4个计算节点，每个计算节点配置 3个 3.5寸/2.5寸兼容的硬盘槽位，共 12个硬盘槽位；含两个 1600W 冗余白金电源，电源输入范围： 100-127VAC、 200-240VAC,50/60Hz；外观尺寸：771mm× 438.0mm× 87.9mm"

硬盘 4T 硬盘，4000GB, 7.2K RPM, 6Gb/s, 64MB cache, SATA, 3.5 inch

计算节点

2 颗英特尔 ® 至强 ®处理器 E5-2620V4(8 核 /16 线程，主频2.1GHz,upto3.0GHz，20MB缓存)；128（8*16G）内存；3个 RJ-45以太网接口(10/100/1000M自适应)2 颗英特尔 ® 至强 ®处理器 E5-2620V4(8 核 /16 线程，主频2.1GHz,upto3.0GHz，20MB缓存)；32G（4*8G）内存；3个 RJ-45以太网接口(10/100/1000M自适应)

需提供高密度服务器整机的 3C证明。

高性能图形服务器

技术指标指标要求设备性能 "CPU：IntelXeonProcessorE5-2643v4×2；

主板：超微X10DRG-Q；

内存：DDR4/2133MHz/ECC/REG/8G×8；硬盘：SSD企业级固态硬盘 240G1块；网卡：4网口千兆；电源：（1+1）冗余电源；显卡：LEADTEK/丽台 GTX1080 FOUNDERS EDITION 公版 VR （1块）；操作系统：Windows7专业版 64位。"

联网网关（软硬一体）

技术指标

指标要求

设备性能

"CPU：1颗 E5-2620V3(6 核 2.4GHz)内存：16GBDDR4硬盘：1TBSATA2块包含WindowsServer2008R2简体中文标准版激活码电源：高效能 550W铂金 1+1冗余电源实现多级多厂商平台的级联或互联功能，支持设备注册、注销、心跳保活、目录查询、实时预览、云台控制、录像文件检索、录像文件回放及控制、录像文件下载、手动录像、报警管理、设备信息查询、设备状态查询、设备远程启动、设备校时等功能"

流媒体转发服务器

技术指标指标要求

设备性能

"E5-2620v3(6 核 2.4GHz)×2/16GBDDR4/1TBSATA×2/热插拔/磁盘控制器支持 RAID0、1、5,缓存 1GB/1GbE×4/电源 1+1提供视频流转、分发管理功能；不受前端编码格式限制，支持多级视频流转分发功能；支持流媒体集群和负载均衡策略，支持流媒体多网卡绑定策略；同时并发处理视频的码率不低于 400M，支持 80路 4M/路 1080p高清视频接入及转发。"

管理主机

技术指标指标要求设备性能

cpu：Intel 酷睿 i5 6500；内存容量：8GB；128G+1TB；2GB 独立显卡；19.5寸显示器；分辨率 1920*1080

大屏显示设备

▲项目将建立一套大屏幕显示系统。系统采用 7通道超高分辨率超高清立体投影机背投融合组成大面积平面显示画面。

▲系统组件包含超高清立体投影机、多窗口图像处理器、屏幕、机械结构及相关附件等组成。指标项主要技术参数

系统整体要求

▲图像尺寸宽≥19.3米，高≥2.2米，系统背投空间≤1.8米；全屏系统分辨率≥211200 x 2400。整个投影系统要求不多于七台投影机拼接融合组成，为了保证系统的稳定性和运行维护的效率和安全，要求投影机具有内置融合的功能，不允许采用外置融合机进行融合处理；▲大屏幕显示系统采用多通道投影机背投融合技术；★采用视频信号 IP传输至前端投影显示设备和网络信号显示的多通道融合拼接图像叠加处理器系统。系统具备整体画面亮度和颜色一致性维持技术，可以确保系统长时间运行过程中画面不会出现颜色偏移和亮度不一致现象。整体画面均匀一致。投标方需提供投影机制造商针对本项目的授权书（非产品授权书）及售后服务承诺书原件并加盖制造厂商公章；整个系统的光路设计需由专业设计平台验证得出，需要三维可视化，可实时进行系统的性能分析和验证，可以进行动态位置的光学分辨率分析，面板利用率实时分析，亮度实时分析，及不同座位视角的观看视角和光学分辨率变形的实时动态分析。需要在投标现场动态演示和验证。

投影机参数要求 ★单机显示分辨率不低于 3840 X2160物理分辨率，须提供第三方权威机构（测试机构必须具备 CNAS认证资质）相关测试报告复印件。▲单机对比度：不小于 2000：1，须提供第三方权威机构（测试机构必须具备 CNAS认证资质）相关测试报告复印件并原厂商盖章证明。投影机亮度均匀性：不小于 95%，并提供第三方权威机构（测试机构必须具备 CNAS认证资质）相关测试报告复印件并原厂商盖章证明。单机亮度：最大输出不小于 20000流明亮度（中心流明）。▲为了确保系统使用时的噪音不会对操作人员产生干扰，投影机的噪音不大于 52分贝，须提供第三方权威机构（测试机构必须具备 CNAS认证资质）相关测试报告复印件并原厂商盖章证明。投影机需要支持 360°任意角度安装，须提供第三方权威机构（测试机构必须具备 CNAS认证资质）相关测试报告复印件并原厂商盖章证明。▲显示成像技术：三片 DLP，不小于 0.9” DMD技术；具备主动立体和非立体显示功能；达到 200Hz 输入带宽处理能力；为防止丢帧发生，3840*2160分辨率条件下立体和非立体模式需要实现不小于 200HZ立体图像输入和显示能力。▲投影机必须具有内置融合的功能，不采用外置融合机也可以进行融合处理。投影机必须具备投影机内置自动控制通道间亮度和颜色输出一致

性技术，以确保系统长时间运行画面不会出现色彩和亮度的差异，使得整个屏幕的显示画面不一致。▲投标人须提供产品制造商就满足技术要求所有投标产品的“国家强制性产品认证CCC证书”复印件并加盖制造厂商公章。▲光源：双色或三色激光光源。投影机光源寿命：不小于 25,000 小时。投影机采用模块化设计、引擎全密封防、采用液体冷却的方式来给芯片散热。投影机支持可以支持 HDBaseT；HDMI ；Display Port； 6G SDI等格式信号输入；输入信号最大像素时钟支持 600MHz。投影机支撑：具备安全可靠的投影机支撑结构，支持 6自由度调节。所有项目需出具设备制造商官方彩页及中英文官网截图等的证明材料，并加盖制造厂商公章

屏幕及机械结构要求

▲为避免长时间使用后因紫外线原因导致的局部表面变黄，背投屏幕需采用表面喷涂成像图层技术，不得采用贴膜和亚克力压膜的背投屏幕。▲屏幕平整度不超过图像的高度的 1%，屏幕不受到外界空气流动的影响，屏幕可以承受不小于 10牛顿/平米的外力。▲屏幕拥有极佳的水平半增益角和垂直半增益角（不小于 70度），屏幕画面亮度均匀，无太阳效应。背投式一体化机械结构设计。无缝一体成型背投屏幕。背投屏幕增益≤0.6、高对比度、表面无反射。表面：平整、无噪点、无不均匀纹理、防眩、抗老化、无反射等。安全：防水、防霉、防腐蚀、抗刮伤、抗变形。

多画面处理器技术指标要求

▲支持投影机多通道叠加处理。▲整体支持标准 TCP/IP协议，采用分布式架构，输入、输出、管理三个部分物理相互分离，实现模块化功能，支持原生性在企业网络和广域网络上部署各种功能模块。输入部分：硬件编码器：支持 DVI, HDMI，DP, VGA接口；支持 4K及以下各种标准分辨率编码接入，支持自定义分辨率接入；支持多头显卡编码接入，须支持编码后在编码器间的流媒体帧同步；支持 MPEG-4 Part 10 SVC &AVC，支持 RFC2326；支持 ONVIF，支持远程流媒体的传输乱序重组。允许支持非标编解码方案。输出部分：多解码器组合支持组成任意需求的显示墙；解码器支持多解码器间硬件帧同步；支持多平台输出部署，必须包括但不限于 Linux Debian和微软 Windows，其中Windows平台支持平台软件窗口可作为信号源进行本地管理显示输出。支持信号在多屏幕墙上复用，且无数量限制。支持信号叠加装饰性元素并输出，包括声音（并可调节音量），字符，图片 logo，当前动态日期时间，边框特效闪动，可对此信号及其

附加的装饰元素进行整合，并可以在多个视频墙上复用。支持 RESTFUL API, 可以与外部web系统进行集成管理调度。网络环境下的显示内容共享应不受信号源及大屏物理位置的约束。支持向内部网络上的计算机推送单一及组合信号

网络安全设备网络交换机


IPSAN交换机

支持 48个 10GESFP+端口，4个 40GEQSFP+端口，两个风扇模块，两个电源模块。支持完善的 IPv6协议功能，支持 IPv4 向 IPv6的网络演进，满足IPv6ReadyPhase2要求，可为用户提供完善的 IPv4/IPv6 解决方案；-支持 RIPng，OSPFv3，ISISv6、BGP4+等 IPv6路由协议；支持 IPv4/IPv6双栈、6to4隧道、ISATAP隧道等隧道技术，保证 IPv4网络向 IPv6网络的平滑过渡支持 Telnet6、Ping6、ND、MLDSnooping、IPV6ACL，DHCPV6Snooping等IPv6 功能；每个QSFP+可扩展为 4端口 10GESFP+；交换容量：4Tbps/20.48Tbps；包转发率：960Mpps；支持 IEEE802.1d的MAC地址自动学习，MAC地址老化支持端口 MAC地址绑定支持端口 MAC学习数量限制"

万兆安全视频交换系统技术指标

指标要求

设备性能

"由视频接入认证服务器服务器（UMS）和视频用户认证服务器（TMS）组成，2U机架式设备×2，单主机高性能 Intel 四核×2，8G内存，120GSSD固态硬盘，10/100/1000Mbps（电口）×4，SFP（光纤口）×2，可扩展至 12个千兆 RJ45网络接口或 8个万兆 SFP 光纤接口，应用吞吐量：7.5Gbps7500Mbps,1250路 1080p图像传输能力（单路码流 6Mbps），延时<50ms由两台设备组成，部署于安全隔离网闸前后，用于视频媒体传输和视频协议信令控制；支持标准 SIP信令控制协议，支持 GB/T28181标准；支持对视频访问终端、用户基于用户名、口令和数字证书的接入认证；支持对信令流进行网络协议、内容关键字等进行安全过滤，防止数据夹带；支持对视频源和访问终端进行主动管理控制，可按照访问时间、流量和优先级等分配访问策

略；"安全隔离网闸


设备性能

"具有 10/100/1000Mbps（电口）×8，万兆 SFP（光纤口）×2，可扩展至 12个电口，4个 SFP 万兆光纤网络接口；2U标准机架式设备，带液晶面板，可显示设备运行状态；选用基于 Linux的TopOS安全操作系统采用“2+1”的硬件架构；实现内外网安全隔离，保证在隔离条件下的安全数据摆渡；支持数据库、文件、视频流媒体、其他常见 TCP/UDP协议数据传输通信；应用层数据传输率：≧6Gbps系统并发连接数：≧50000内部系统交换带宽：≧10Gbps支持数据库、文件、视频流媒体、其他常见 TCP/UDP协议数据传输通信支持提供API函数接口用于二次开发，包括C、JAVA接口类型"

出口区防火墙


产品规格

要求采用多核架构，自研操作系统。标准 2U设备，含交流冗余电源模块，2*USB接口，1*RJ45串口，2*RJ45管理口，4个接口扩展槽位，最大可支持扩展至 32个千兆接口或 16个万兆接口，设备自配不少于 4个千兆电口+4个千兆光口+2个万兆光口。吞吐量≥30Gbps最大并连接数发≥800 万每秒新建连接数≥35 万

防火墙

支持虚拟线、二层透明、路由、混合、旁路监听接入方式。支持 VLAN划分、VLAN Trunk，支持 802.1Q，能进行封装和解封；支持MSTP、RSTP等生成树协议。支持汇聚接口，能够手动绑定接口，即可支持动态绑定。支持基于策略的双向 NAT、动态/静态NAT、端口 PAT。支持 WEB 界面设置静态路由及OSPF、RIP、BGP 动态路由协议；支持基于源/目的地址、接口的、基于服务的策略路由；请截图证明。▲可不通过主机扫描等技术，即可识别内网主机的操作系统、杀毒软件、浏览器等信息，为每个内网主机生成风险指数，通过数字直观展示内网主机的风险状态。请截图证明。▲能够在云端支持子账号授权，提供子账号接入云端管理安全事件。可在云端展示全国的安全事件分布和统计。请截图证明。支持内置/自定义 ISP路由库，请截图证明。支持反向路由。提供基于源/目的 IP地址、安全区、应用/应用过滤器、协议/端口、时间、用户、

安全模板/模板组的精细粒度的安全访问控制。支持 OSPF、RIP、BGP、策略路由、Vlan路由、单臂路由、反向路由、ISP路由、DHCP 、DNS、Vlan Trunk。支持对 1400+种应用的识别和控制。请截图证明支持链路探测，能够在每接口上以 ICMP/TCP/UDP协议探测目标主机可达性，探测链路是否有效。支持基于 IPv6的访问控制，并可灵活配置。

HA

支持主备、主主两种模式。支持抢占、非抢占两种模式。支持会话同步、状态同步，配置同步，支持链路状态的监测。支持非对称路由；请截图证明。

系统管理

支持 Web管理、串口管理、SSH管理，并且能够支持 IE、firefox、chrome等浏览器管理。支持设备单独管理、管理中心集中管理。支持 Bypass，包括硬件级/软件级/外联Bypass交换机；请截图证明。支持多次登陆失败后锁定 IP或锁定用户功能。支持 2-4 种密码复杂度校验，比如：数字、特殊字符、大写和小写字母。

日志系统能够根据威胁级别，实时显示安全攻击事件态势统计；请截图证明。支持防火墙用户登陆认证、VPN登陆认证、VPN 连接日志；支持系统管理日志；支持日志服务器；投标产品具备《公安部销售许可证》（万兆增强级）。

产品资质

投标产品具备《国家信息安全测评信息技术产品安全测评证书》，并获万兆 EAL4+级别，提供有效证书的复印件。投标产品具备《CVE Compatible证书》，且类型为下一代防火墙（Next Generation Firewall）。投标产品具备中国信息安全测评中心颁发的国家信息安全漏洞库 CNNVD兼容性认证资质证书。投标产品具备中国信息安全测评中心颁发的自主原创证书。以上资质需提供证明材料或证书复印件。

入侵防护系统

技术指标指标要求系统平台

系统应为机架式独立 IPS 硬件设备，全内置封闭式结构，具有完全自主知识产权的专用安全操作系统，稳定可靠。产品应为专用入侵防护产品，而非通过下一代防火墙集成实现。

▲网络接口及性能 2U，含交流冗余电源模块，2*USB接口，1*RJ45串口，2*GE

管理口，4个扩展槽位，最大可支持扩展至 32个千兆接口或 16个万兆口。产品自配不少于 2 万兆 SFPP,4个千兆电口，4个千兆 SFP 光口。吞吐量≥20Gbps最大并发连接数≥500 万

时延 <40 µs

入侵防护

系统应具备融合模式匹配、协议分析、异常检测、会话关联分析，以及抗 IDS/IPS逃逸等多种技术，准确识别各种黑客入侵，为用户提供 2~7 层深度入侵防御▲系统应提供覆盖广泛的攻击特征库，可针对网络病毒、蠕虫、间谍软件、木马后门、扫描探测、暴力破解等恶意流量进行检测和阻断，攻击特征库（不包括应用识别、URL过滤等）数量至少为8000 种以上。须提供界面截图。系统携带的攻击特征库须获得 CVE-Compatible兼容性认证。须提供证书复印件。系统应支持 IP碎片重组、TCP流重组、流量状态追踪技术，基于智能、深入的协议分析，全面检测超过 100 种以上的应用层协议，能够有效检测运行在非标准端口的协议、数以千记的木马，以及基于 Smart Tunnel（智能隧道）的应用协议，能够基于训练分类的协议识别，须提供界面截图。系统应具备检测僵尸网络功能，从而提高整体安全防护能力。系统应具备基于“漏洞保护”的虚拟补丁功能，融合协议异常检测能力，有效抵御缓冲区溢出攻击，以及各类未知攻击。系统应具备零日攻击检测能力，保护用户避免遭受新的安全威胁。系统应能够有效检测 SQL注入、僵尸网络等多种常见的应用层安全威胁。支持基于 SCADA等工控协议的相关漏洞攻击检测与防护。须提供界面截图。系统应提供入侵行为和应用软件特征的自定义接口，可根据用户需求定制对其它流量的检测规则。系统应具备攻击快照功能，详细记录触发告警的数据特征，以便做进一步的事件分析。要求提供配置界面截图证明。系统应具备原始数据留存功能，在需要进一步分析原始网络数据时，可根据协议、IP地址、端口等参数将原始网络数据保存为通用网络数据分析软件可读的文件，留存文件的大小可根据时间、PPS 数、BPS 数等灵活设定。系统应支持多种抗逃避检测技术。系统应提供丰富的响应方式，包括：会话阻断、IP 隔离、邮件通知等功能，满足用户各种响应需求。系统应提供服务器异常告警功能，可自学习服务器正常工作行为，并以此为基线检测处服务器非法外联行为。须提供界面截

高级威胁防护

图。系统应提供敏感数据保护功能，能够识别、阻断通过自身的敏感数据信息（身份证号、银行卡、手机号等）。须提供界面截图。系统应提供关键文件保护功能，能够识别、阻断通过自身的关键文件，以防止非法外传行为。能识别的关键文件类型应包含至少以下几类：文档类如 Excel、PDF、PowerPoint、Word等，压缩文件类如 CAB、GZIP、 RAR、 ZIP、 JAR 等，图像类如BMP 、 GIF 、 JPEG 等，音频视频类如MP3、AVI、MKV 、MP4 、MPEG、WMV 等，脚本类如BAT、CMD、WSF等，程序类如 APK、DLL、EXE、JAVA_CLASS等。须提供界面截图。系统应支持提供基于信誉的僵尸网络防护能力，具备可以持续升级的信誉库（可选），IPS通过信誉库内的恶意网站 IP、C&C服务器地址的信誉值执行相应的防护动作。须提供信誉库的界面截图。

防病毒功能增配防病毒功能模块, 支持流式防病毒和启发式防病毒功能。

未知威胁防护（沙箱联动）

支持恶意软件分析服务（可选），须提供界面截图。支持对未知可疑文件统计（可选），须提供界面截图。支持对沙箱的配置（可选），须提供界面截图。支持与云端沙箱系统进行联动（可选），须提供界面截图。

系统管理及配置系统应能识别主流的应用程序，识别种类不少于 2300 种。须提供界面截图。系统应能识别超过 700 种的各类网络应用，至少应包括：商业系统类应用、协作类应用、互联网应用、媒体类应用等。须提供界面截图。系统应提供灵活的流量管理功能，可以根据用户、应用、目的 IP地址、时间及带宽等因素，实现基于应用、面向对象的流量保护策略。通过流量许可和优先级控制，阻断一切非授权用户流量，并结合最小带宽保证、最大带宽限制、会话限制和每 IP设置等功能，有效保证关键应用全天候畅通无阻。须提供界面截图。系统须支持 IPv6/IPv4双协议栈功能，能同时辨识 IPv4和 IPv6通讯流量。支持 IPv6环境下攻击检测技术和基于 IPv6地址格式的安全控制策略，为 IPv6环境提供入侵防护。须提供界面截图。系统应支持 IPS和 IDS的混合运行模式，同时提供入侵防护和入侵检测功能。系统应具备地址簿功能，在报表中直观显示 IP地址所处国家、地区或某个部门。支持自定义私有 IP地址库和导入外部公网 IP地址库。须提供界面截图。系统应支持过滤器模板功能，可将复杂的查询参数保存为过滤器模板，并支持模板的“与”、“或”等逻辑操作，查询日志或生

成报表时直接调用模板即可，无需重复查询输入参数，以减少日常维护工作量。请提供截图。系统应提供主辅管理功能，一个主管理平台对引擎设备进行管理的同时，支持不少于 4个辅管理平台同时监管引擎设备。各管理平台之间互为备份，以提高系统管理和日志存储的可靠性。系统的管理、操作界面应支持多语言自由切换，至少支持简体中文和英文。须提供界面截图。系统应提供策略模板，减少配置工作量，提高部署效率。提供配置界面截图证明。

部署效率

系统应提供配套的集中管理平台，实现设备的集中管理功能，可对管理范围内的所有引擎设备进行统一的状态监控、策略配置、系统升级和日志报表管理。提供配置界面截图证明。系统应支持非对称路由（主主）和主备两种高可用部署方式，出现设备宕机、端口失效等故障时，完成主机和备机的即时切换，确保关键应用的持续正常运转。

上市时间投标产品应该是经过市场考验的成熟产品，产品上市时间不少于10年。须提供上市第一年销售许可证或软件著作权证书等有效证明材料。

市场占有率投标产品应该是被广泛应用的成熟产品，在国内市场具有较高的市场份额，市场占有率排名不应低于前 3 名。须提供知名第三方机构如 IDC出具的市场占有率排名有效证明材料。

产品成熟度要求▲为证明投标产品的技术先进性，IPS 产品需至少 3次入选国际知名第三方咨询机构Gartner IPS魔力象限，并提供引用证明文件。

产品资质

投标 IPS 产品应具有《计算机信息系统安全专用产品销售许可证》（国标三级），提供有效证书的复印件。投标 IPS 产品具备中国信息安全认证中心颁发的《IT 产品信息安全认证证书》（第三级），提供有效证书的复印件。投标 IPS 产品具备《国家信息安全测评信息技术产品安全测评证书》（EAL3+），提供有效证书的复印件。投标产品具备中国信息安全测评中心颁发的国家信息安全漏洞库CNNVD兼容性认证资质证书，提供有效证书的复印件。

入侵检测系统技术指标指标要求

基本要求

系统应为机架式独立硬件设备，全内置封闭式结构，具有完全自主知识产权的专用安全操作系统，稳定可靠。产品应为专用入侵检测产品，而非通过下一代防火墙集成实现。

接口要求

2U，含交流冗余电源模块，2*USB接口，1*RJ45串口，2*GE管理口，4个扩展槽位，最大可支持扩展至 16个万兆口或 32个千兆口。设备自配不少于 4电 4 光 2 万兆接口。

所有接口的监听功能全部开放，不得以 license或其他理由进行限制。性能指标

网络层吞吐≥14G，最大并发 TCP会话数≥400 万，每秒新增 TCP会话数≥12 万。

入侵检测

系统应具备融合模式匹配、协议分析、异常检测、会话关联分析，以及抗 IDS逃逸等多种技术，准确识别各种黑客入侵，为用户提供 2~7 层深度入侵检测。▲系统应提供覆盖广泛的攻击特征库，可针对网络病毒、蠕虫、间谍软件、木马后门、扫描探测、暴力破解等恶意流量进行检测，攻击特征库（不包括应用识别、URL过滤等）数量至少为 8000 种以上。须提供界面截图。系统携带的攻击特征库须获得 CVE-Compatible兼容性认证。须提供证书复印件。系统应支持 IP碎片重组、TCP流重组、流量状态追踪技术，基于智能、深入的协议分析，全面检测超过 100 种以上的应用层协议，能够有效检测运行在非标准端口的协议、数以千记的木马，以及基于 Smart Tunnel（智能隧道）的应用协议，能够基于训练分类的协议识别，提供相关截图证明。系统应具备检测僵尸网络功能，从而提高整体安全检测能力。系统应具备基于“漏洞保护”的虚拟补丁功能，融合协议异常检测能力，有效检测缓冲区溢出攻击，以及各类未知攻击。系统应具备零日攻击检测能力，保护用户避免遭受新的安全威胁。系统应能够有效检测 SQL注入、僵尸网络等多种常见的应用层安全威胁。支持基于 SCADA等工控协议的相关漏洞攻击检测。须提供界面截图。系统应提供入侵行为和应用软件特征的自定义接口，可根据用户需求定制对其它流量的检测规则。系统应具备攻击快照功能，详细记录触发告警的数据特征，以便做进一步的事件分析。要求提供配置界面截图证明。系统应具备原始数据留存功能，在需要进一步分析原始网络数据时，可根据协议、IP地址、端口等参数将原始网络数据保存为通用网络数据分析软件可读的文件，留存文件的大小可根据时间、PPS 数、BPS 数等灵活设定。系统应支持多种抗逃避检测技术。

高级威胁防护

系统应提供服务器异常告警功能，可自学习服务器正常工作行为，并以此为基线检测出服务器非法外联行为。须提供界面截图。系统应提供敏感数据检测功能，能够识别通过自身的敏感数据信息（身份证号、银行卡、手机号等）。须提供界面截图。系统应提供关键文件检测功能，能够识别通过自身的关键文件，以防止非法外传行为。能识别的关键文件类型应包含至少以下几类：文档类如Excel 、 PDF 、 PowerPoint 、 Word 等，压缩文件类如CAB、GZIP、RAR、ZIP、JAR等，图像类如 BMP、GIF、JPEG等，音频视频类如MP3、AVI、MKV、MP4、MPEG、WMV等，脚本类如 BAT、CMD、WSF等，程序类如 APK、DLL、EXE、JAVA_CLASS等。须提供界面截图。

▲系统应提供基于信誉的僵尸网络检测能力（可选），具备可以持续升级的信誉库（可选），IDS通过信誉库内的恶意网站 IP、C&C服务器地址的信誉值执行相应的检测动作。须提供信誉库的界面截图。系统应提供Web信誉机制（可选），在用户访问被植入木马的页面时，给予及时检测，协助管理员有效识别Web安全威胁。提供截图证明。

系统管理及配置

系统应能识别主流的应用程序，识别种类不少于 2300 种。须提供界面截图。系统应能识别超过 700 种的各类网络应用，至少应包括：商业系统类应用、协作类应用、互联网应用、媒体类应用等。须提供界面截图。系统应具备地址簿功能，在报表中直观显示 IP地址所处国家、地区或某个部门。支持自定义私有 IP地址库和导入外部公网 IP地址库。系统应支持过滤器模板功能，可将复杂的查询参数保存为过滤器模板，并支持模板的“与”、“或”等逻辑操作，查询日志或生成报表时直接调用模板即可，无需重复查询输入参数，以减少日常维护工作量。系统的管理、操作界面应支持多语言自由切换，至少支持简体中文和英文。系统应提供策略模板，减少配置工作量，提高部署效率。提供配置界面截图证明。

部署效率

系统应提供配套的集中管理平台，实现设备的集中管理功能，可对管理范围内的所有引擎设备进行统一的状态监控、策略配置、系统升级和日志报表管理。提供配置界面截图证明。

产品成熟度

投标产品应该是经过市场考验的成熟产品，产品上市时间不少于 9年。须提供上市第一年销售许可证或软件著作权证书等有效证明材料。投标产品应该是被广泛应用的成熟产品，在国内市场具有较高的市场份额，市场占有率排名不应低于前 3 名。须提供知名第三方机构如 IDC出具的市场占有率排名有效证明材料。

产品资质

投标产品应具有《计算机信息系统安全专用产品销售许可证》（万兆三级），提供有效证书的复印件。投标产品具备中国信息安全认证中心的《中国国家信息安全产品认证证书》（万兆第三级），提供有效证书的复印件。投标产品具备中国信息安全测评中心颁发的国家信息安全漏洞库 CNNVD兼容性认证资质证书，提供有效证书的复印件。投标产品具备《IPV6 Ready认证》，提供有效证书复印件。▲投标产品具备中国信息安全测评中心颁发的《自主原创产品测评证书》，提供有效证书复印件。

安全审计系统

技术指标

指标要求

产品规格

2U，含交流冗余电源模块，2*USB接口，1*RJ45串口，2*GE管理口，4个接口扩展槽位，配置不低于 4千兆光口 2 万兆接口，2路监听授权，2个扩展插槽。吞吐量≥10Gbps

审计功能

支持 WEB登录认证功能，提供本地用户数据库和 LDAP、RADIUS用户数据库集成功能。▲支持基于域名、关键字正则表达式等多种组合的主动内容审计策略，可扫描指定网站，分析网页页面是否含有非法敏感信息。要求提供相关第三方证明。支持同时审计 ORACLE 、 SQL Server 、 MY SQL、DB2、Sybase、Informix、Postgresql多种数据库及跨多种数据库平台操作；支持实时审计用户对数据库系统所有操作；支持分析、提取SQL 语句中绑定变量，并可完全监测还原 SQL 操作语句包括源 IP地址、目的 IP地址、访问时间、MAC地址、数据库用户名、客户端类型、数据库操作类型、数据库表名、字段名等。提供配置界面截图证明。▲通过对互联网资源（域名、IP地址、URL等）进行威胁分析和信誉评级，将含有恶意代码的网站列入Web信誉库（可选），达到识别含有恶意代码的高风险网站，实现对终端用户的安全评估和保护。提供配置界面截图证明。灵活的审计策略：支持基于 IP地址、时间、用户/用户组、数据库用户名、数据库类型、数据库表名、字段名、关键字等组合审计策略，并实时告警响应。支持 HTTP网页浏览及关键字搜索审计：记录用户网站访问行为包括源 IP地址、目的 IP地址、访问时间、URL、网页浏览时间等，并提供网页还原功能。支持电子邮件审计：支持 SMTP、POP3、WEBMAIL等协议，支持基于邮箱地址、邮件主题、邮件内容、附件名的关键字审计功能；可记录源 IP地址、目的 IP地址、时间、邮箱地址、邮件主题、邮件内容、邮件附件等信息；邮件附件格式支持 DOC、PDF、ZIP、RAR、TXT等；也可以无条件完全记录所有邮件内容和附件。支持无线热点发现功能（可选），能够实时、自动发现办公网络内的无线热点，记录无线热点访问网络时所使用的 IP地址、认证用户等信息。提供配置界面截图证明。支持移动应用审计功能（可选），能够识别通过移动热点所访问的移动类应用，例如 IM类、社交类、网购类、影音类、资讯类等应用，并记录 IP地址、应用名称、访问时间等信息；能够对主流的移动应用进行内容层面的详细审计，主要是对微博、网页言论、网页访问详细记录 IP地址、URL地址、访问时间、访问或发布的具体内容等信息。提供配置界面截图证明。支持基于论坛主题、发帖内容的关键字审计功能；支持基于用户/用户组、时间、关键字等多种组合审计策略，可记录源 IP地址、目的 IP地址、发帖论坛、发帖人、主题、发帖时间、发帖内容等，并提供内容还原功能。支持即时聊天工具审计：可审计QQ、MSN Messenger、ICQ、雅虎通、新

浪UC等，支持基于 IP地址、用户/用户组、时间、关键字等组合审计策略，可记录日志包括即时通讯号码、上下线时间、文件传输名等。支持文件传输审计：支持 HTTP、FTP协议，支持基于用户/用户组、时间、关键字等多种组合审计策略，用户可自定义下载文件类型，对文件上传、下载类型进行审计，可记录日志包括源 IP地址、目的 IP地址、时间、传输文件名等。可对 P2P下载、在线视频、网络游戏、炒股软件等行为进行审计，支持基于IP地址、用户组、时间、协议等组合审计策略，记录日志包括源 IP地址、目的 IP地址、时间、应用名称等。支持 TELNET、FTP等业务操作进行命令级审计，支持基于 IP地址、用户组、时间、关键字等组合审计策略。

1) TELNET：可记录源 IP地址、目的 IP地址、帐号、和命令等；FTP：可记录源 IP地址、目的 IP地址、帐号、命令及上传下载文件名等支持流量审计：支持基于时间、协议、IP地址等组合流量审计策略。支持统计各种应用协议的总流量、上下行流量及 TOP10 排名；针对协议 TOP10排名，可查看使用当前协议的 IP及其流量。支持统计各 IP的总流量、上下行流量及 TOP10 排名；针对 IP TOP10 排名，可查看当前 IP使用的协议及其流量。

系统管理

支持用户身份信息智能关联技术，可将用户各种身份信息与其终端 IP地址进行智能关联形成用户身份信息库，从而提高事件定位的精确度。须提供界面截图。支持用户识别功能，可将终端 IP地址与终端用户身份绑定，在审计日志中显示终端用户身份信息。须提供界面截图。支持 IPv6协议，可识别 IPv6协议的数据流，支持基于 IPv6地址格式的审计策略支持“安全中心”管理，提供图形用户界面，以简单、直观的方式完成策略配置、警报查询、攻击响应、集中管理等各种任务。须提供界面截图。提供CLI（命令行）配置模式，提供 SSH 远程调试模式。支持带外管理（OOB）功能，可以通过专用管理口，进行引擎管理，解决远程应急管理的需求。针对接入外网的终端用户，系统提供增强的身份认证功能，支持标准的radius和 LDAP接口，及第三方认证平台，实现更灵活、更安全的认证控制。提供丰富的响应方式，包括：丢弃数据包、阻断会话、邮件报警、短信报警、控制台显示、日志数据库记录、写入XML文件，运行用户自定义命令等，满足用户各种响应需求。提供标准 snmp trap、snmp agent（v1、v2c、v3）和 syslog接口，可接受第三方管理平台的集中事件管理。提供实时在线升级、自动在线升级、离线升级多种升级方式支持历史版本回滚功能，系统内建历史版本库，可保留最近升级的两个历史版本，并支持回滚到任一历史版本，提高了产品升级过程的可靠性。

产品资公安部《计算机信息系统安全专用产品销售许可证》中国信息安全认证中心的《中国国家信息安全产品认证证书》（增强级）

质

中国信息安全测评中心《国家信息安全测评信息技术产品安全测评证书》（EAL3+）IPv6 Ready Logo认证以上资质需提供证明材料或证书复印件。

威胁分析系统


性能规格网络吞吐量≥10G，最大并发连接数≥600 万，文件处理数（天）≥15 万，硬件指标：2U，含交流冗余电源模块，2个USB接口，1个RJ45串口，2个RJ45管理口，设备配置不少于 4个千兆口，3个接口扩展槽位

动态检测（虚拟执行）

提供基于虚拟执行的动态检测技术，可以基于软件在虚拟环境的行为及通用漏洞利用特征（ROP等），发现各种高级恶意软件攻击，包括零日攻击及APT攻击支持 C&C 检测，通过虚拟执行检测出的 bot程序，获取的 bot 外连的C&C地址，检测到恶意行为会保存 pcap 数据支持的应用类型：Adobe Reader应用、Office应用、Adobe Flash Player应用、IE应用等支持的文件类型包括 PDF类型文件、Office类型文件（.ppt 、.doc、.xls、.docx、.xlsx、pptx、.rtf）、可执行文件等支持对常见压缩格式内的文件的检测，包括.zip、.rar、.gzip、.gz、.tar、.7z、.bz2

支持的协议类型包括HTTP、FTP、POP3、IMAP、SMTP等虚拟环境，支持虚拟环境定制和虚拟环境的升级支持 WindowsXP、Windows7、Win10、安卓虚拟执行环境（提供配置界面截图）

安全情报支持云端安全情报获取，包括且不限于文件、URL、C&C等安全情报内容（提供云端情报平台截图）设备能够生成本地安全情报，包括不限于文件、URL、C&C恶意 IP地址等

沙箱逃逸检测支持常见的沙箱逃逸检测，当恶意文件进行逃逸尝试，应在文件分析报告中进行体现

白名单支持白名单管理，文件、URL和域名可以增加至白名单，白名单内容不进行分析

设备联动支持与网络安全设备如 IPS或者 FW的联动，网络安全设备可以提交可疑文件，经过分析后，产生文件、URL和 IP信誉，下发到联动的网络安全设备进行阻断，实现检测和阻断闭环

静态检测和AV 检测

支持无签名静态检测技术，主要有无差别的 shellcode 检测支持 YARA自定义规格检测，能够编辑 YARA 规则文件，导入YARA 规则（提供规则配置界面截图）支持的文件类型包括Office文档类型文件、flash类型文件、pdf类型文件、网页类型文件等支持基于文件方式的病毒检测，系统内置不低于两个病毒检测引擎，用户可自主选择检测引擎并自定义检测策略规则（提供配置界面截图）

部署方式

支持旁路检测模式支持邮件部署模式，对邮件中URL和邮件附件进行检测支持离线扫描模式，对指定的文件或目录进行检测（提供扫描路径及策略配置界面截图）支持 API方式进行文件提交，API方式获取分析结果

报表管理

提供基于威胁来源地理位置、基于主机、基于用户、基于应用协议及文件类型等多种统计报表；提供多维度的安全综合分析，直观的展示影响最大的受害主机、恶意软件及命令控制服务器提供基于全球地图的实时统计监控，跟踪恶意软件来源及命令控制服务器地址的分布情况

产品资质

投标产品应具有自主研发证明，具有自主知识产权。投标产品应具备公安部颁发的“APT安全监测产品”增强级销售许可证，提供证书复印件。▲投标产品应具备涉密信息系统产品检测证书，提供证书复印件。▲投标产品应具备全球 IPv6 测试中心颁发的“IPv6 Ready Logo认证”，提供证书复印件。▲投标产品具备中国信息安全测评中心颁发的国家信息安全漏洞库CNNVD兼容性认证资质证书，提供有效证书的复印件。

运维管理区防火墙技术指标指标要求设备

要求采用多核架构，自研操作系统。2U机型，含交流冗余电源模块，1*RJ45串口，1*RJ45管理口，2*USB接口，6*GE电口(Bypass)，4*千兆光口。

性能吞吐量≥10Gbps

最大并连接数发≥400 万每秒新建连接数≥10 万

防火墙

支持虚拟线、二层透明、路由、混合、旁路监听接入方式。支持 VLAN划分、VLAN Trunk，支持 802.1Q，能进行封装和解封；支持MSTP、RSTP等生成树协议。支持汇聚接口，能够手动绑定接口，即可支持动态绑定。支持基于策略的双向 NAT、动态/静态NAT、端口 PAT。支持 WEB 界面设置静态路由及OSPF、RIP、BGP 动态路由协议；支持基于源/目的地址、接口的、基于服务的策略路由；请截图证明。▲可不通过主机扫描等技术，即可识别内网主机的操作系统、杀毒软件、浏览器等信息，为每个内网主机生成风险指数，通过数字直观展示内网主机的风险状态。请截图证明。▲能够在云端支持子账号授权，提供子账号接入云端管理安全事件。可在云端展示全国的安全事件分布和统计。请截图证明。支持内置/自定义 ISP路由库，请截图证明。支持反向路由。提供基于源/目的 IP地址、安全区、应用/应用过滤器、协议/端口、时间、用户、安全模板/模板组的精细粒度的安全访问控制。支持 OSPF、RIP、BGP、策略路由、Vlan路由、单臂路由、反向路由、ISP路由、DHCP 、DNS、Vlan Trunk。支持对 1400+种应用的识别和控制。请截图证明支持链路探测，能够在每接口上以 ICMP/TCP/UDP协议探测目标主机可达性，探测链路是否有效。支持基于 IPv6的访问控制，并可灵活配置。

HA


系统管理


日志系统能够根据威胁级别，实时显示安全攻击事件态势统计；请截图证明。支持防火墙用户登陆认证、VPN登陆认证、VPN 连接日志；支持系统管理日志；支持日志服务器；投标产品具备《公安部销售许可证》（千兆增强级）。

产品资质

投标产品具备《国家信息安全测评信息技术产品安全测评证书》，并获千兆 EAL4+级别，提供有效证书的复印件。投标产品具备《CVE Compatible证书》，且类型为下一代防火墙（Next Generation Firewall）。投标产品具备中国信息安全测评中心颁发的国家信息安全漏洞库 CNNVD兼容性认证资质证书。投标产品具备中国信息安全测评中心颁发的自主原创证书。以上资质需提供证明材料或证书复印件。

漏洞扫描技术指标指标要求

基本要求产品需使用专门的硬件，有自主知识产权的安全操作系统，采用 B/S设计架构，并采用 SSL加密通信方式，无须安装客户端，用户可通过浏览器远程方便的对产品进行管理。1U，含交流单电源，1*RJ45串口，1*GE管理口，6个 10M/100M/1000M自适应以太网电口扫描口，1个接口扩展槽位。

性能指标允许最大并发扫描≥60个 IP地址，授权可扫描总数量为无限制范围的IP地址或域名。

漏洞管理和分析

▲ 漏洞知识库漏洞信息大于 40000 条，兼容CVE、CNCVE、CNNVD、CNVD、Bugtraq 等主流标准，并提供截图证明及CVE Compatible证书。同时支持远程扫描和采用 SMB、SSH、RDP、Telnet 等协议对Windows、Linux等系统进行登录扫描。产品应支持通过多种维度对漏洞进行检索，包括：CVE ID、BUGTRAQ ID、CNCVE ID、CNVD ID、CNNVD ID、MS 编号、风险等级、漏洞名称、是否使用危险插件、漏洞发布日期等信息。提供高级漏洞模板过滤器，支持将符合筛选条件的漏洞自动加入到自定义漏洞模板中，及后续插件升级包中的漏洞也可以自动加入到模板中。内置不同的漏洞模板针对Unix、Windows 操作系统、网络设备和防火墙等模板，同时支持用户自定义扫描范围和扫描策略；支持自动模板匹配技术。请提供功能截图。支持扫描国产操作系统、应用及软件的安全漏洞，如红旗、麒麟、起点操作系统，提供详细漏洞列表。支持扫描主流虚拟机管理系统的安全漏洞，如：VMWareESX/ESXi，要求能够扫描大于 300条相关漏洞，并提供详细的漏洞列表。支持专门针对DNS服务的安全漏洞的检测，包括DNS投毒等漏洞检测能力，支持“幽灵木马”检测。请提供功能截图。系统内置 Exploit DB 漏洞、Metasploit 漏洞、Exploit Pack 漏洞检测模板。请提供功能截图。提供网络信息搜集、存活主机扫描、端口扫描、远程被服务版本信息搜集

漏洞模板。支持 Oracle、MySQL、MS SQL、DB2、Sybase 数据库漏洞检查。请提供功能截图。支持智能端口挖掘和智能服务识别，可以智能发现非默认端口启动的服务，并调用相应扫描插件进行扫描。具备单独口令猜测扫描任务，支持多种口令猜测方式，包括利用SMB 、 TELNET 、 FTP 、 SSH 、 POP3 、 TOMCAT 、 SQL SERVER、MYSQL、ORACLE、SYBASE、DB2、SNMP等协议进行口令猜测，允许外挂用户提供的用户名字典、密码字典和用户名密码组合字典。请提供功能截图。支持对多个扫描任务并发执行，支持扫描任务调度优先级设置，支持立即执行、定时执行、周期执行扫描任务，能够自定义高级执行策略，可涵盖用户任何使用场景包括：每*天*点*分、每*周星期*的*点*分、每*月*日*点*分、每*月第*个星期*的*点*分。支持暂停续扫；支持断点续扫，可对已完成的扫描任务中没有被覆盖到的目标重新下发扫描任务。请提供功能截图。支持扫描时间段控制，只在指定时间段内执行任务，未完成任务在下一时间段自动继续执行。请提供功能截图。支持复用已有任务配置用于新的扫描任务。请提供功能截图。支持认证信息管理，可将系统登录信息、配置检查模板进行统一管理和配置，提供登录信息导入功能，无须每次下任务时进行配置。支持和微软 WSUS补丁系统的联动，能够在发给主机管理员的邮件中附带自动配置WSUS的注册表文件，方便进行自动化的补丁修补。

WEB 应用扫描模块

增配Web应用扫描模块,对Web应用提供专业的漏洞、挂马检测和分析。

资产和风险管理

提供通过资产树对资产进行分级管理，支持设备权重设置和可信设备登记，支持将资产信息批量导入到资产树，可在资产树上直接指定主机开展扫描任务，可通过资产树查看整体、各节点、各主机风险和不合规情况，并可进行风险对比。请提供功能截图。可以通过多种维度搜索定位资产和查看资产风险，包括并不限于：节点或设备名称、资产 IP范围、资产管理员、资产操作系统类型、资产风险等级、漏洞名称、开放的端口、资产 banner信息等。请提供功能截图。支持风险告警和风险闭环处理，可在集中告警平台灵活配置告警内容、告警方式、告警资产范围等，支持邮件和页面告警，支持单个或批量修改风险状态。请提供功能截图。支持自定义风险值计算标准配置，可对主机风险等级评定标准和网络风险等级评定标准进行自定义。请提供功能截图。

仪表盘和报表功能

以通过仪表盘直观展示资产风险值、主机风险等级分布、资产风险趋势、资产风险分布趋势等内容，可配置风险分析的数据来源和分析周期，并可钻取查看详细信息。请提供功能截图。可按 IP范围、起止时间、任务名称、任务状态、漏洞模板、配置模板、用户

账号筛选所有扫描任务并进行汇总，支持在线查看汇总的风险详情和输出离线汇总报表。支持对检查结果数据进行实时在线报表分析；支持高级数据分析，能够进行历史数据查询、汇总查看、对比分析等，能够进行多个检查任务或多个 IP风险对比。支持扫描任务完成后自动生成报表和发送到指定邮箱或上传到 FTP服务器。能够对扫描结果数据进行在线分析，能够根据端口、漏洞、BANNER信息、设备域名、IP地址等关键字对主机信息进行查询并能将查询结果保存。提供综述报表和主机报表；综述报表中应对风险类别和操作系统分布进行定量统计分析并展示；主机报表中应提供单主机的漏洞分布、风险值和风险等级信息，并能列出单主机的详细漏洞描述和解决建议，同时提供详细的安装软件信息、端口信息等，方便了解资产信息。支持高级数据分析，能够进行历史数据查询、对比分析等，方便进行多个扫描任务风险对比。报表能提供针对不同角色的默认模板，离线报告支持HTML、WORD、EXCEL、PDF等格式，报告可以直接下载或自动通过邮件直接发送给相应管理人员。支持报表自定义，可定制报表标题、封面 logo、报表页眉和页脚、报表各章节显示内容。请提供功能截图。

产品升级、维护和部署

提供备份恢复机制，能够对扫描结果、扫描模板、参数集等配置文件进行导出和导入操作；能够对系统创建还原点对系统进行备份和还原。提供系统快照功能，当系统出现问题时，可以通过恢复快照，一次性将系统恢复到快照时的版本，并将用户数据一同恢复。请提供功能截图。支持系统定时升级，可在指定时间点定期自动安装、提醒升级包，用户也可关闭自动更新。支持手动升级。支持一键式更新检查和更新。提供常用诊断工具，包括ping、traceroute、Dig 、Nmap 、Telnet 、SSH、RouteInfo等。支持系统时间同步设置、磁盘状态告警配置、登录失败次数配置、密码策略配置、SNMP trap配置、系统自动退出配置等。支持分布式大规模部署，可通过统一平台进行集中化管理。漏洞知识库和漏洞检测规则支持手动升级和自动升级，支持本地升级和在线升级，在线升级支持代理方式升级，至少每两周进行一次定期升级。请提供功能截图。

用户管理支持不同用户角色权限管理，区分系统管理员、普通用户、审计管理员等角色，不同管理员拥有不同的管理权限，支持灵活创建用户角色和权限配置。支持多用户分级权限管理，可为每个用户角色分配账号、权限、允许登录的 IP范围和允许扫描的 IP范围等，可分配的用户权限大于 20项，包括但不限于资产查看、资产管理、评估任务、报表输出、任务列表、离线检查、修改模板、系统配置等。请提供功能截图。

提供审计功能，能够对登录日志、操作日志和异常报告进行记录和查询。对外接口具备对外接口，支持安全运营平台或其它安全产品通过该接口下发扫描

任务以及获取检查结果。

产品资质

产品要求为国内开发，具备自主知识产权，并经过十年以上应用检验，厂商应承诺产品的高度稳定性和可靠性。产品要求取得公安部颁发的《计算机信息系统安全专用产品销售许可证(增强级)》。产品具备中国信息安全认证中心的《中国国家信息安全产品认证证书》（增强级），提供有效证书的复印件。▲产品获得中国信息安全测评中心颁发的《国家信息安全测评信息技术产品安全测评证书(EAL3+级)》。▲投标产品应具备全球 IPv6 测试中心颁发的“IPv6 Ready Logo认证”，提供证书复印件。产品具备中国信息安全测评中心颁发的国家信息安全漏洞库 CNNVD兼容性认证资质证书。提供上述产品有效证书的复印件。

产品实力

厂商应具备十年以上漏洞研究经验和独立漏洞发掘能力，自主发现的CVE 漏洞数量不少于 80个，须在厂商网站公开且 CVE网站可查证并且在 CVE网站上为公开状态而非 RESERVED保留状态，且获得漏洞厂商在安全公告致谢不少于 60次，请提供证明。请提供与漏洞扫描相关的公开专利，要求数量不少于 5个，请提供证明。

数据库审计

技术指标指标要求产品架构软硬件一体化产品，2U 上架设备。部署方式在旁路部署模式下，通过 TAP、SPAN等技术将网络流量映射到审

计设备，对数据库流量进行审计和告警。管理结构中文界面，B/S 架构，采用 HTTPS方式远程安全管理，无需安装

客户端。网络接口 ≥6*100/1000M RJ45自适应以太网口，≥4个千兆光口；数据存储系统自带内部存储，存储空间不低于 2TB；支持外部存储设备性能指标 SQL 语句处理能力：≥40000条 SQL 每秒数据库自动发现支持数据库自动发现。设备无需添加、即插即用（提供截图证明）。支持的数据库类型

支持主流数据库： Oracle 、 SQL Server、MySQL、DB2、PostgreSQL、sybase、Informix（提供截图证明）。

审计要素执行人who：审计到前端的应用用户、数据库用户名、主机名称、操作系统用户等；

执行内容what：具体的操作，访问的数据库、表、列、字段、包、存储过程、函数、视图；执行时间when：每个操作发生的具体时间，操作时间、登录时间等；执行地点where：操作的来源和目的，包括 IP地址、MAC地址、用户名、端口号、数据库类型；执行方式 how：通过哪些客户端应用程序或第三方工具执行得操作，如：DDL、DML、DCL；影响范围（影响行数）Range：该操作执行的影响范围，如查询、修改或删除的记录行数；执行结果 ResultSet：执行成功与否的结果以及返回结果集，如查询操作的返回内容；

复杂 SQL 语句支持准确审计长 SQL 语句（提供截图证明）有效分割、准确审计多 SQL 语句（提供截图证明）准确审计绑定变量的 SQL 语句（提供截图证明）

数据库漏洞攻击监测

能对基于数据库漏洞进行攻击行为监测和告警，默认支持 200个以上的数据库漏洞攻击规则库。

SQL注入检测通过模式匹配的方式对 SQL访问进行监测与告警,判断是否为可疑SQL注入；提供 SQL注入特征库（提供截图证明）；

告警策略

支持风险语句告警策略。（黑白名单效果）自定义添加风险语句和可信语句（黑白名单效果）（提供截图证明）；根据风险操作、SQL注入、漏洞攻击检测、语句管理等模块定义告警规则支持高、中、低风险告警。支持系统资源监控与告警。

IP别名支持客户单 IP建立别名（提供截图证明）所有涉及客户端 ip 页面均显示业务化 ip 名称

自动生成报表支持定时自动生成报表，并发送到指定邮箱

统计信息

风险分析：根据风险语句、sql注入、漏洞攻击、风险操作等维度以时间维度统计数据库分析信息。支持规则命中查询、支持风险查询（提供截图证明）。语句分析：基于 SQL 语句的操作类型统计，支持失败 sql 统计、Top sql统计；支持针对新型语句、语句审计模板检索。会话分析：基于客户端 IP、数据库用户、访问程序统计会话、支持会话检索；失败会话和并发会话统计；支持应用层关联会话查询。

综合分析：实时统计并展示数据库各类操作及风险状况

系统自身安全性根据三权分立的原则。提供系统管理员、安全管理员和审计管理员不同的用户身份验证。系统针对产品操作人员的操作行为进行审计记录，可以由审计管理员进行查询，具有自身安全审计功能。提供审计数据管理功能，能够实现对审计数据的自动备份、删除和导入。

产品资质

产品应具备信息系统安全专用产品销售许可证，须符合行标GA/T相关的技术要求；提供检测报告。产品应具备中国国家信息安全产品认证证书（ISCCC），提供有效证书复印件。产品应具备国测信息技术产品安全测评证书-EAL3+，提供有效证书复印件。

堡垒机技术指标指标要求基本要求 2U机架式独立机箱产品。

部署方式

采用物理旁路模式部署，不影响网络结构。支持双机冗余热备方式部署，故障切换时间在秒级完成，不超过 1分钟（需要提供故障切换时间测试截图）。数据配置支持手动和实时同步，数据配置同步时间分钟级完成，不超过 2分钟（需要提供配置同步时间测试截图）。支持 IP和端口 DNAT网络环境部署，通过映射后的 IP和端口信息能够访问堡垒机支持域名方式 web访问到堡垒机，并支持托管设备运维操作（需要提供配置截图）

接口要求至少具有 2*USB接口，1*RJ45串口，1*GE管理口至少提供 6*GE电口，1个接口扩展槽位

数据存储系统自带内部存储，存储空间不低于 2T；

性能与授权图形并发不少于 600个。字符并发不少于 800个。实配可管理设备不少于 300台，后期可扩展至管理 2000台设备

用户角色堡垒机具有用户多角色划分功能，如堡垒机系统管理员、运维主管、设备管理员、普通用户、审计管理员、审计员等，对各类角色需要进行细粒度的权限管理。

身份认证主帐号登录堡垒机应支持本地静态密码认证、LDAP认证、RADIUS认证、证书认证等身份认证方式；需要提供截图文件。用户登陆堡垒机支持 MAC 绑定，非法地址无法登陆堡垒机；堡垒机访问自身的ACL 限制，支持配置可访问的 IP范围；

设备访问授权身份认证之外，需要更高级管理员授权才能对设备进行运维操作；命令执行授权对特定命令的执行需要更高级管理员授权才能执行

登录方式

支持自动登录、手工登录、半自动登录、密钥登录目标设备功能，半自动登录目标设备：即第一次登录目标设备时运维人员需手工输入目标设备帐号和密码并允许堡垒机保存该帐号密码，运维人员在后期登录时即可实现自动登录目标设备。密钥登录方式：在登录目标服务器时，使用的是秘钥登录，而非密码。在既可以使用密码，又可以使用秘钥的环境，可以自由选择登录认证方式。需要提供截图文件。

主帐号关联支持以首页中的主账号为基准，支持直接查询并编辑与该主账号相关的策略。支持以首页中的设备为基准，支持直接查询该主账号有权限运维的所有设备支持以首页中的设备为基准，支持直接查询该主账号的所有审计信息

设备关联支持以首页中的设备为基准，支持直接查询并编辑与该设备相关的策略支持以首页中的设备为基准，支持直接查询有权限运维该设备的所有普通用户支持以首页中的设备为基准，支持直接查询该设备的所有审计信息

目标设备分组展示

用户登录堡垒机后可在首页分组显示该用户有权限管理的目标设备，设备分组可按最近访问、最常访问、访问策略、按照个性化配置中的分类等分组显示可登录的设备；并可按全部/工单相关来查询设备，需要提供截图文件。

策略展示访问策略支持设备视图和用户视图，管理员可以对运维权限一目了然，视图可以按照 xls 格式导出，方便管理员管理，需要提供截图文件。

账号维护支持批量导入/导出/修改用户帐号信息。

设备维护

支持批量导入/导出/修改目标设备信息。支持智能扫描方式自动发现网络中的设备，通过 IP地址扫描，快速发现指定 IP地址范围内的主机、服务器和网络设备，并自动识别启用服务和端口，方便管理员快速添加设备。请提供截图证明。支持多人共同管理一台设备。支持设备分权管理，设备管理员按管理职责分配可管理权限。

密码代填支持自动填写特权密码，从普通管理模式进入到特权模式，需要提供截图文件。

实时监控支持实时监控通过 SSH、SFTP、RDP、VNC 、Telnet、FTP、X11等协议的操作行为；对监控到的非法操作，可实时手工切断。

支持的协议字符型远程操作协议：SSH(V1、V2)、TELNET；图形化远程操作协议：RDP、VNC、X11，其支持文件共享；可支持

RDP、VNC的客户端直接访问堡垒机；文件传输协议：FTP、SFTP、SCP；可支持 FTP客户端Winscp 直接访问堡垒机Oracle、MS SQL Server、 IBM DB2、Sybase、 IBM Informix Dynamic Server、PostgreSQL等数据库支持 HTTP、HTTPS 操作审计，HTTP/HTTPS协议可以直接代理。

应用发布可通过应用发布的方式进行协议扩展，无需定制即可支持其他通用及专有的运维客户端程序。需要提供截图文件。

支持的设备访问方式

Web访问方式:支持通过审计系统的Web 页面直接访问设备；客户端访问方式：支持通过 SecurCRT等常用的命令行客户端工具登录堡垒机并访问目标设备，并支持会话克隆；登录菜单访问：客户端访问审计系统即可显示用户能访问的资源菜单，用户通过字符菜单或图形菜单选择方式直接访问设备。设备列表可导入到 SecrueCRT 中，达到运维设备一键登录。支持 web服务器访问用户名密码代填，支持 vSphere Web Client 用户名密码代填。

操作行为记录

Telnet、SSH 审计内容：包括访问起始和终止时间、用户名、用户 IP地址、目标设备 IP、设备名称、协议类型、事件等级及操作内容回放。RDP、VNC、HTTP、HTTPS等协议审计内容：包括访问起始和终止时间、用户名、用户 IP地址、目标设备 IP、设备名称、协议/应用类型、事件等级、操作内容等；支持操作内容录像回放，需要提供截图文件。数据库运维操作审计内容：包括访问起始和终止时间、用户名、用户 IP地址、目标设备 IP、设备名称、应用类型、事件等级、操作内容等；支持操作内容录像回放。文件操作审计内容：包括访问起始和终止时间、用户名、用户 IP地址、目标设备 IP、设备名称、协议类型、事件等级、操作内容（如对文件的上传、下载、删除、修改等操作等）；

访问控制及异常告警

支持通过基于时间、IP/IP段、用户/用户组、设备/设备组、设备账号、命令关键字、命令关键字正则表达式、内置命令集、危险级别（按危险程度分为高、中、低）等组合访问控制策略，授权用户可访问的目标设备。需要提供截图文件。支持基于访问权限定义高危操作。支持基于时间、IP/IP段、用户/用户组、设备/设备组、设备账号、命令关键字、命令关键字正则表达式、危险级别等组合条件设置告警规则，当用户越权执行某些特定命令或者使用特权的时候进行告警、记录及阻断。需要提供截图文件。

入侵审计要求支持幽灵账号功能，支持主动对从账号进行关联分析，当发现攻击者植入的异常账号时，对相关管理员采取告警、记录及通知等操作。提供产品功能截图。

业务指导要求支持孤儿账号功能，能够提供对各从账号的运维使用率的分析功能，当发现使用率异常的从账号，对相关管理员采取告警、记录及通知等操作。提供产品功能截图。

认证支撑为了最大程度保障运维安全，针对 Linux服务器将采用公钥私钥登

录，要求堡垒机需支持公钥私钥代理登录，使用户能够一键通过原有客户端访问访问服务器，而非使用应用发布实现。请提供截图证明。

审计报表堡垒机可以按时间、统计单位、服务类型、用户（用户组）、设备（设备组）及各类子报表类型定制报表，报表支持 Word、excel 格式导出；管理员可以统计出某段时间内，高危命令执行的情况；针对被审计对象可以统计出用户信息、设备信息，统计结果支持 excle方式导出。需要提供截图文件。

工单系统工单系统支持运维工单流程，运维人员审批可提前申请工单，审批人员审批自由度大幅提高，不再受审批时间限制，解放运维人员和审批人员，提高工作效率；工单流程具体包括：工单创建-审批-完成。需要提供截图文件。

远程运维安全堡垒机支持和防火墙联动，远程运维环境下通过防火墙 VPN登录内网时只需在登 VPN过程中输入堡垒机账号即可直接快速登录到堡垒机运维设备，无需输入 VPN账号，再输入堡垒机账号才可运维。提供产品功能截图。

与配置核查系统联动

▲支持与原厂商同品牌配置核查系统组成联动方案，对托管设备进行配置核查。（需要提供功能截图）。

手机APP▲支持手机 APP 上进行登录授权审批，金库授权审批，工单审批，方便客户随时随地进行审批工作。支持手机 APP 上进行运维监控，包括设备信息推送，系统告警监控等。需提供截图证明。

密码对象管理

改密结果详情中显示旧密码和新密码列，提供链接来测试登录。支持改密审批，改密前可选择是否需要提交领导审批，进一步确保改密安全。设备管理员可以按条件生成该设备的改密历史报告。条件包括：标题、设备/设备组、统计时间段、是否导出密码、文档是否压缩加密、加密密码。如果选择需要导出密码，则需要强制加密。密码导出时，可以选择分组方式来导出。包括：按部门、按设备类型、按业务类型、按设备组、按策略。分组方式单选，每组内可以多选、全选。

产品资质产品具备由公安部颁发的《计算机信息系统安全专用产品销售许可证》（身份鉴别（网络）），提供有效证书复印件。▲产品具备由中国信息安全测评中心颁发的运维安全管理系统《国家信息安全测评信息技术产品安全测评证书》（级别 EAL3+），提供有效证书复印件。产品具备中国信息安全认证中心颁发的《中国国家信息安全产品认证证书》（增强级），提供有效证书复印件。▲投标产品应具备全球 IPv6 测试中心颁发的“IPv6 Ready Logo认

证”，提供证书复印件。

日志审计


硬件指标

系统应为 2U标准式机架硬件设备，全内置封闭式结构，具有完全自主知识产权的专用安全操作系统。系统应支持冗余电源，避免电源硬件故障时设备宕机，提高设备可用性系统应包含 2*USB接口，1*RJ45串口，2*GE管理口，可扩展至不少于32个千兆数据采集口或不少于 8个的万兆数据采集口，设备实配 4个千兆口。系统硬盘容量应不低于 12TB(应支持 RAID5)，应支持定制扩容。

系统架构系统应基于大数据平台架构，具备海量数据收集与快速检索能力系统应基于 B/S 架构，支持 SSL加密模式访问，可通过web方式直接对系统进行管理系统应支持内置采集器，不依赖其他设备即可进行日志采集【必须提供截图】

性能指标系统标配 100日志源接入授权，应可扩展日志源接入数量系统应支持每秒 10000EPS的日志平均处理能力

日志采集

系统支持的数据采集范围包括但不限于网络安全设备、交换设备、路由设备、操作系统、应用系统等系统支持的数据采集方式包括但不限于 SYSLOG 、 SNMP Trap、FTP、ODBC、JDBC、Net flow、专用Agent等方式采集日志系统支持采集的设备厂家包括但不限于： NSFOCUS( 绿盟科技 )、Venustech(启明星辰 )、Topsec(天融信 )、DBAPPSecurit(安恒)、SANGFOR(深信服)、Hillstone(山石网科) 、东软、瑞星、金山、网康、360网神、Dptech(迪普)、艾科网信、Imperva、Juniper(瞻博网络)、F5、Symantec(赛门铁克 )、Deep Security(趋势科技)、MaAfee(迈克菲 ) 、 Fortinet( 飞塔 ) 、 Windows 、 Linux/Unix 、 Cisco( 思科 ) 、 HUAWEI( 华为 ) 、 H3C( 华三 ) 、中兴、 Apache 、 nginx 、IIS、WebLogic、Vmware、Kvm、Xen、OpenStack、Hyper-V、华为FusionSphere、Oracle、MySQL、PostgreSQL、SQL Server、Bind等

日志管理系统应能实现海量日志数据的采集并保存原始日志数据系统应能够对异构日志格式进行统一化处理并保存统一化处理后的日志数据系统应支持界面配置即可完成未识别日志接入，无需编写 xml【须提供截图】系统应支持 NAT环境下的Agent部署模式【须提供截图】系统应支持范式化日志多级提取【须提供截图】系统应支持正则、KV、格式串等多种灵活的提取方式【须提供截图】系统应支持自动生成正则以高效的辅助提取【须提供截图】系统应能够实现对海量日志数据快速查询

系统应能够实现范式化日志的枚举值管理，实现对范式化日志字段的灵活翻译【须提供截图】

日志转发系统应提供日志转发功能，应支持日志转发多个目标地址，可实现原始日志、范式化日志的转发，且不丢失原始日志源 IP信息【须提供截图】

日志备份恢复系统应支持按类型、按日期(天)，手动、自动备份日志系统应支持设置日志存储备份策略，可设置备份周期、备份日志类型系统应支持备份日志导入查询系统应支持日志备份远程服务器，如传送到 FTP服务器系统应支持日志存储扩展，如 NFS网络共享存储扩展【须提供截图】

日志查询分析系统应支持实时日志查询、历史日志查询系统应支持原始日志、范式化日志查询系统应支持自定义查询规则系统应支持全文检索、模糊检索、正则检索等多种方式【须提供截图】系统应支持日志检索结果存储为日志监控视图

事件告警

系统应内置事件分类，并支持自定义事件分类，可定义事件分类的风险级别【须提供截图】系统应内置丰富的事件规则，应支持自定义事件规则【须提供截图】系统应支持基于事件分类的告警规则，支持短信、声音、邮件、界面提示等多种告警方式系统应支持告警抑制系统应支持查询实时事件，并可以很方便的下钻事件规则以及原始日志信息【须提供截图】

资产管理

系统应支持资产属性配置【须提供截图】系统应支持资产标签，且至少 6 种标签以上，根据标签可快速查询资产【须提供截图】系统应支持手工注册资产，支持对资产进行修改/删除、批量导入/导出/添加/修改/删除等多种方式的管理；系统应支持从日志进行资产发现【须提供截图】系统应支持按资产查看资产日志、事件、资产告警

报表管理系统应能够按照多种维度统计日志信息系统应支持统计分析报表与多种文件格式导出系统应能支持用户上传自定义报表模板系统应能支持自定义报表目录、LOGO等【须提供截图】

统计项管理系统应支持生成折线图、趋势图、饼图、柱状图、表格等统计项系统应支持自定义统计项系统应支持统计项分组保存系统应支持统计项引用到报表【须提供截图】

用户管理系统应支持用户自定义账号系统应支持管理员、审计员、操作员多种权限设置系统应支持密码配置策略系统应支持超时退出机制系统应支持来访 IP 限制，对暴力猜测 IP地址进行锁定

系统自身安全系统应支持自身日志记录并可查询、自身CPU、内存和磁盘使用率可监控并

性管理以图形化方式动态显示，且支持状态监控和主动告警；系统应支持系统基本参数管理、基本配置管理。

资质指标计算机软件著作权登记证书，提供证书复印件。公安部销售许可证-行标三级，提供证书复印件。

终端安全管理

指标项具体参数基本要求 1U设备，不少于 6个电口。1个管理中心，不少于 50个windows

客户端。

系统构架

系统设计为 C/S 构架。支持 SQLSERVER 全系数据库，也支持MYSQL 数据库。管理员可以选择每周几、每月几号、每天几点进行数据库的备份。管理员可以根据备份信息，选择要还原的备份条目，进行数据还原。系统网络环境适应强，支持跨互联网、跨 VLAN、跨 VPN、跨路由器、跨交换机个性化控制管理，支持组建大型网络数据中心。

部门、员工、计算机管理

可以针对系统内计算机、员工和部门进行管理。每个计算机对应着一个员工，属于同一个部门。

数据库支持支持 SQLSERVER全系数据库，也支持 MYSQL 数据库数据库备份系统提供了高效、灵活的备份策略。管理员可以选择每周几、每月几

号、每天几点进行数据库的备份。数据库还原管理员可以根据备份信息，选择要还原的备份条目，进行数据还原。

远程执行命令管理员可以对远程计算机执行命令。远程电源管理对远程计算机执行开机、关机、重启、注销等操作文件分发

管理员可以对远程计算机进行文件传送。可以自定义文件分发位置。支持多人传送。以任务的形式提交到服务器，对于在线的计算机立刻分发，对于不在线的计算机，开机后自动执行分发任务

软件安装管理员可以对计算机实行远程推送安装软件。以任务的形式提交到服务器，对于在线的计算机立刻安装，对于不在线的计算机，开机后自动执行安装任务

系统信息管理端可以查看客户端的系统信息、IP地址、MAC地址、客户端版本号。

发送消息管理员可以给终端计算机发送消息，支持批量发送。屏幕快照可以查看整个部门当前屏幕快照。屏幕日志系统可以每隔一段时间记录客户端的屏幕情况。管理员可以设置抓屏

间隔，可以设置至少 3个级别的抓屏质量。对于以记录的屏幕日志可以进行播放。

远程屏幕协助管理员可以远程监看或者控制客户端的计算机。当对终端计算机进行远程控制时，可以锁定终端计算机的鼠标。

多屏墙管理员可以实时查看多个计算机的电脑屏幕，最大支持 64屏同时监看。

网址访问黑名单可以禁止访问添加在黑名单中的网址。网址访问白名单仅允许员工访问白名单网址库中的网址。网址访问记录

自动记录客户端访问的网站地址，同时管理人员可以方便的打开记录网址。可以记录网址访问路径、标题、访问时间、使用的浏览器名信息。

网址访问统计可以形成多种类型的网址访问统计报表。包括访问网址最多的前 20名的计算机、访问最多的网址的前 20 名。形成饼状图、柱状图和列表。

违规网址访问报警当客户端访问违规网址时，管理机会即时提示报警。报警方式包括软件报警和邮件报警。

系统盘自动还原对于终端计算机提供系统盘还原功能，每次计算机重启，对于系统盘的写入信息，全部丢弃，系统盘恢复原状。

操作系统备份/还原操作系统

管理员可以向终端计算机发送命令，实现远程备份操作系统，生成备份文件。该备份文件可以存储在服务器上，并可以将该文件直接给相同配置的终端计算机进行系统还原，该功能支持磁盘为 UEFI启动方式启动，该操作只在管理段进行，无需在客户端进行任何操作。

IP地址禁用管理员通过设置 IP地址范围设置，禁止对特定 IP地址的访问。端口禁用管理员可以设置禁止员工访问的端口。流量控制可以设置企业内部网络的连接 Internet网络的流量，包括总流量、

上行流量和下行流量。实时流量查看管理者随时查看当前时间网络内所有客户端的实时流量。历史流量可以详细记录员工任意时段的使用的外网流量。网络使用控制管理员可以设置指定的计算机禁止访问外网。内网访问不受控制。非法 IP接入报警可以发现网络内是否有非法（非授权）计算机接入.

实时网络状态可以查看每台计算机的网络状态，包括使用协议、本地地址、远程地址、本地端口、远程端口、当前状态、占用进程、进程 ID等信息。

程序访问控制管理者可以设置员工禁止访问的程序。可以根据动态链接库名称对于程序使用进行控制。也可以根据程序的MD5进行控制。

程序访问审计详细记录客户端程序使用日志。包括程序运行路径、开始时间、结束时间、产品名称、公司名称等信息。

程序违规访问报警对违规程序使用行为进行自动报警。程序日志统计

可以形成多种类型的程序统计报表。包括访使用程序最多的前 20 名的计算机、使用次数最多的程序前20 名，使用时间最多的程序前 20名。形成饼状图、柱状图和列表。

正在运行进程可以查看客户端正在运行的程序。邮件客户端发送记

录详细记录 FOXMAIL、OUTLOOK等邮件客户端发送邮件的信息。包括发送时间，主题、收件人、内容、附件。

Web邮件记录详细WEB邮箱记录，如网易、雅虎、QQ邮箱、新浪、搜狐等WEB邮箱发送的邮件，包括发送时间，主题、收件人、内容、附件。

禁用外设支持禁止终端计算机使用软驱，光驱，红外，蓝牙，MODEM，声卡，COM 口，禁用图形图像设备，禁用便携式设备，禁用无线网卡。

禁止使用打印机禁止使用打印机，或者只允许使用制定的打印机。打印操作记录记录终端计算机的打印信息，包括：打印时间，打印页数，打印文

件按名，使用的打印机以及打印的内容形成图片保存到服务器上。

硬件资产管理管理者可以查询硬件资产统计报表，自动收集硬件资产的变更情况。包括CPU、内存、硬盘、打印设备、串口设备等。可以对于硬件资产信息进行自定义操作，包括设置维保日期，责任人，机器品牌，配备时间，配备方式。

软件资产管理管理者可以查询软件统计报表，自动收集软件的变更情况。可以统计安全软件名称、安装日期、版本号、发布者

资产异动报警当客户端硬件资产出现变动时，管理端会即时报警。支持软件界面报警和邮件报警

杀毒软件检测管理员可以按计算机模式查看所有客户端的杀毒软件状况，包括是否安装杀毒软件、杀毒软件状态、杀毒软件版本号等。

Windows服务查看客户端的 windows服务状况，可以设置WINDOWS服务端状态，如禁用、启用服务等。可以禁止、禁用、启用服务

WINDOWS补丁管理

可以自动在服务端下载补丁，识别客户端需要安装的补丁，然后将补丁推送给客户端进行安装，并对于安装状态进行统计。该功能不接受第三方模块集成。

开机启动项查看并管理开机启动项开机时间统计可以统计计算机使用时间最长的前二十名计算机，详细计算出每个

计算机的开机时间。成饼状图、柱状图和列表。

业务区防火墙技术指标指标要求

产品规格

要求采用多核架构，自研操作系统。标准 2U设备，含交流冗余电源模块，2*USB接口，1*RJ45串口，2*RJ45管理口，设备自配不少于 4个千兆电口+4个千兆光口+2个万兆光口。吞吐量≥60Gbps最大并连接数发≥1200 万每秒新建连接数≥50 万

防火墙

支持虚拟线、二层透明、路由、混合、旁路监听接入方式。支持 VLAN划分、VLAN Trunk，支持 802.1Q，能进行封装和解封；支持MSTP、RSTP等生成树协议。支持汇聚接口，能够手动绑定接口，即可支持动态绑定。支持基于策略的双向 NAT、动态/静态NAT、端口 PAT。支持 WEB 界面设置静态路由及OSPF、RIP、BGP 动态路由协议；支持基于源/目的地址、接口的、基于服务的策略路由；请截图证明。

▲可不通过主机扫描等技术，即可识别内网主机的操作系统、杀毒软件、浏览器等信息，为每个内网主机生成风险指数，通过数字直观展示内网主机的风险状态。请截图证明。▲能够在云端支持子账号授权，提供子账号接入云端管理安全事件。可在云端展示全国的安全事件分布和统计。请截图证明。支持内置/自定义 ISP路由库，请截图证明。支持反向路由。提供基于源/目的 IP地址、安全区、应用/应用过滤器、协议/端口、时间、用户、安全模板/模板组的精细粒度的安全访问控制。支持 OSPF、RIP、BGP、策略路由、Vlan路由、单臂路由、反向路由、ISP路由、DHCP 、DNS、Vlan Trunk。支持对 1400+种应用的识别和控制。请截图证明支持链路探测，能够在每接口上以 ICMP/TCP/UDP协议探测目标主机可达性，探测链路是否有效。支持基于 IPv6的访问控制，并可灵活配置。支持虚拟防火墙。

HA


系统管理


日志系统能够根据威胁级别，实时显示安全攻击事件态势统计；请截图证明。支持防火墙用户登陆认证、VPN登陆认证、VPN 连接日志；支持系统管理日志；支持日志服务器；投标产品具备《公安部销售许可证》（万兆增强级高性能），提供有效证书的复印件。

产品资质

投标产品具备《国家信息安全测评信息技术产品安全测评证书》，并获万兆 EAL4+级别，提供有效证书的复印件。投标产品具备《CVE Compatible证书》，且类型为下一代防火墙（Next Generation Firewall）。投标产品具备中国信息安全测评中心颁发的国家信息安全漏洞库 CNNVD兼容性认证资质证书。投标产品具备中国信息安全测评中心颁发的自主原创证书。

以上资质需提供证明材料或证书复印件。

接入区防火墙技术指标指标要求

产品规格

要求采用多核架构，自研操作系统。标准 2U设备，含交流冗余电源模块，2*USB接口，1*RJ45串口，2*RJ45管理口，设备自配不少于 4个千兆电口+4个千兆光口+2个万兆光口。吞吐量≥60Gbps最大并连接数发≥1200 万每秒新建连接数≥50 万

防火墙

支持虚拟线、二层透明、路由、混合、旁路监听接入方式。支持 VLAN划分、VLAN Trunk，支持 802.1Q，能进行封装和解封；支持MSTP、RSTP等生成树协议。支持汇聚接口，能够手动绑定接口，即可支持动态绑定。支持基于策略的双向 NAT、动态/静态NAT、端口 PAT。支持 WEB 界面设置静态路由及OSPF、RIP、BGP 动态路由协议；支持基于源/目的地址、接口的、基于服务的策略路由；请截图证明。▲可不通过主机扫描等技术，即可识别内网主机的操作系统、杀毒软件、浏览器等信息，为每个内网主机生成风险指数，通过数字直观展示内网主机的风险状态。请截图证明。▲能够在云端支持子账号授权，提供子账号接入云端管理安全事件。可在云端展示全国的安全事件分布和统计。请截图证明。支持内置/自定义 ISP路由库，请截图证明。支持反向路由。提供基于源/目的 IP地址、安全区、应用/应用过滤器、协议/端口、时间、用户、安全模板/模板组的精细粒度的安全访问控制。支持 OSPF、RIP、BGP、策略路由、Vlan路由、单臂路由、反向路由、ISP路由、DHCP 、DNS、Vlan Trunk。支持对 1400+种应用的识别和控制。请截图证明支持链路探测，能够在每接口上以 ICMP/TCP/UDP协议探测目标主机可达性，探测链路是否有效。支持基于 IPv6的访问控制，并可灵活配置。支持虚拟防火墙。

HA 支持主备、主主两种模式。支持抢占、非抢占两种模式。

支持会话同步、状态同步，配置同步，支持链路状态的监测。支持非对称路由；请截图证明。

系统管理


日志系统能够根据威胁级别，实时显示安全攻击事件态势统计；请截图证明。支持防火墙用户登陆认证、VPN登陆认证、VPN 连接日志；支持系统管理日志；支持日志服务器；投标产品具备《公安部销售许可证》（万兆增强级高性能），提供有效证书的复印件。

产品资质

投标产品具备《国家信息安全测评信息技术产品安全测评证书》，并获万兆 EAL4+级别，提供有效证书的复印件。投标产品具备《CVE Compatible证书》，且类型为下一代防火墙（Next Generation Firewall）。投标产品具备中国信息安全测评中心颁发的国家信息安全漏洞库 CNNVD兼容性认证资质证书。投标产品具备中国信息安全测评中心颁发的自主原创证书。以上资质需提供证明材料或证书复印件。

万兆三层交换机技术指标指标要求交换容量 ≥368Gbps包转发率 ≥156Mpps接口配置不少于 24个千兆电口,4个万兆光口，配 2个万兆多模光模块

MAC地址表

遵循 IEEE 802.1d标准支持 64K MAC地址容量支持 MAC地址自动学习和老化支持静态、动态、黑洞 MAC 表项支持源MAC地址过滤

VLAN特性支持 4K个VLAN支持 Guest VLAN、Voice VLAN支持 GVRP协议

支持 MUX VLAN 功能支持基于MAC/协议/IP子网/策略/端口的VLAN支持 1:1和N:1 VLAN Mapping 功能支持协议透明VLAN

环网保护技术

支持 RRPP环型拓扑和RRPP多实例支持 SmartLink树型拓朴和 SmartLink多实例，提供主备链路的毫秒级保护支持智能以太保护 SEP协议支持 ERPS以太环保护协议（G.8032）支持 STP(IEEE 802.1d)， RSTP(IEEE 802.1w)和 MSTP(IEEE 802.1s)协议支持 BPDU保护、根保护和环回保护支持 BPDU Tunnel

IP路由支持静态路由、RIPv1/2、RIPng、OSPF、OSPFv3、IS-IS、 IS-ISv6、BGP、BGP4+、ECMP、路由策略

万兆光模块技术指标指标要求配件规格 SFP+万兆模块 1(1310nm,10km,LC)

SFP+万兆模块 2(850nm,300m,LC)

安全测评技术指标指标要求安全测评由全国信息安全等级保护测评机构推荐目录中的测评机构，按照国家

等级保护 3级测评标准进行测评，并且通过测评要求。购置软件

天安门地区视频监控联网建设二期项目购置软件主要包括如下：产品名称配置要求

视频监控业务平台软件

中容量行业监控平台软件，最大支持管理 10000个监控点。可实现NVR、前端编码器和网络摄像机接入管理，电视墙集中管理，用户登录认证、设备管理、前端视频码流集中存储和转发等功能。

第二代视频监控业务平台软件

小容量行业监控平台软件，最大支持管理 300个监控点。可实现NVR、前端编码器和网络摄像机接入管理，电视墙集中管理，用户登录认证、设备管理、前端视频码流集中存储和转发等功能。

投影机调试软件投影机调试软件套件+Android应用程序+iOS应用程序

多通道光源一致性控制软件投影机色彩和亮度一致性控制软件投影机系统控制

软件控制投影机的色彩亮度调节，投影机开关机，投影机报告收集，网络化分布式图像控制软件

高清 IP码流输入数量：60路 1920*1080；32路信号同时在大屏幕上开窗像是，并进行定制化布局。

视频监控业务平台授权

（License）1001-5000路监控点时，单路监控点的接入许可

防病毒软件

WindowsServer2003及Windows2003ServerX64 、WindowsServer2008以及WindowsServer2008X64位版本，WindowsServer2012 版本。Pentium双核以上；2G以上内存；至少 50GB可用硬盘空间；具备以太网兼容网卡，支持 TCP/IP协议，具备固定 IP地址；InternetExplorer6.0及以上版本；包含企业级终端安全管理防护平台软件产品，实现企业网络终端的病毒木马威胁防护、漏洞管理等功能，包含不低于 300点杀毒授权软件；

平台系统软件开发天安门地区视频监控联网建设二期项目系统应用软件开发主要包括如下：

功能具体内容

浏览功能开发

支持画面轮巡及预案轮巡，支持批量操作，可以对多个窗口批量执行抓拍、停止浏览等操作，支持实时浏览窗口风格自定义功能，用户可自行设计所需要窗口风格，支持电子罗盘功能，在图像中实时查看当前球机指向的方位。

电视墙功能支持电视墙控制，支持通过监控键盘对电视墙进行切换，支持自定义电视墙风格，可以将客户端电视墙窗口的布局与实际物理布局一一对应，支持电视墙轮巡

录像功能支持平台录像、前端录像、客户端本地录像，支持将监控点的录像绑定到指定磁盘分区，

放像功能支持录像单帧播放、多倍速放像、录像倒放功能，支持单路录像分时段回放，支持录像点播按秒定位，

设备管理功能

支持前段设备注册管理、支持前端设备的参数配置、支持平台设备远程复位，支持设备批量导入导出功能，可以使用 EXCEL模板将需注册的设备一次性导入平台并自动完成注册，可以将已注册的设备导出为 EXCEL文件，支持批量设置前端注册信息

设备预览功能支持设备图像预览，无须进行视频浏览，即可在设备树上直接预览图像

直存功能支持将视频流直接写入存储一机四屏功能支持将视频浏览、录像管理、电视墙、电子地图分屏显示故障管理支持天安门管委前端故障、平台故障、告警及用户日志查询

用户权限管理支持三级权限登录，由用户组统一划分群贤，支持跨域授权以及用户漫游登录

地址绑定支持限制指定 MAC地址，指定 IP地址的机器登录平台远程遥控功能设定对天安门管委前端设备 PTZ 云台控制的优先级锁定和和解锁支持对天安门管委前端设备的锁定和解锁视频输出格式的匹配匹配海康全局机、全景摄像机（鹰眼）的视频格式视频输出码率匹配匹配海康全局机、全景摄像机（鹰眼）的视频输出码率数字码流转码

将海康全局机、全景（鹰眼）发送的码流按设定的规则转换成国标码流

PTZ控制针对海康全局机、全景摄像头（鹰眼）的控制协议和信令匹配第三方厂商平台接入

支持外厂商平台接入，并能将外厂商平台的下属前端设备推送到上级平台；支持将外厂商平台前端设备状态实时推送上级；

负载均衡部署多个转发转码模块时，支持转发和转码负载均衡调度。丢包重传

网关与平台间网络不好情况下仍能保证外厂商监控点视频的流畅播放。视频数据流的网络丢包重传机制

国标协议接入国标平台

支持接入外厂商平台，以国标下级平台的角色，通过国标协议上联上级国标平台。a) 分组目录项(业务分组和虚拟分组)；b) 设备的信息(通道子目录，音设输出目录，报警目录，设备的状态，设备所在分组以及通道的状态)

视频输出格式的匹配匹配大华平台的视频格式视频输出码率匹配匹配大华平台的视频输出码率设备管理

对接组播协议，支持利用组播搜索前端设备的名称、IP地址、设备类型等信息

数字码流转码将大华平台接收到的码流按设定的规则转换成国标码流。支持集成第三方 SDK实现第三方设备注册，将码流转换成标准码流，推送至联网平台

数字码流转发

将大华平台接收到的码流按设定的规则转发至对接设备，将设备按照大华常常对应的解码插件进行解码和转发，并将大华设备按照国标码流转发管委上级平台。支持将第三方码流直接推送至联网平台，支持平台客户端集成第三方解码插件实现视频解码

友好提示定制针对大华设备出现能力限制或其他问题时，支持友好性提提示，例如当设备转码能力不支持新的转码请求时，拒绝建立新的转码服务，并支持发提示消息给平台客户端进行原因展示

PTZ控制针对大华前端的模拟摄像头和数字摄像头的控制协议和信令匹配录放像功能

根据与大华平台达成的协议支持前端监控点录像查询、播放以及下载

还原点设置可以根据实际、设备配置好后，手动进行还原点的设备会设备信息获取支持配置大华的平台类型和 IP以及设备 ID信息接入配置

支持获取大华平台的各种信息，如名称、厂商、IP、端口、号、用户名、密码等信息

报表输出功能支持获取大华平台的各种记录，并以报表形式输出网络与设备管理支持按权限显示用户的设备列表系统校时支持获取平台软件时间并校时

系统心跳支持接收下级平台在设定时间间隔向上级平台推送的心跳消息DVR、NVR接入定制

第三方厂商 DVR接入平台，并能将DVR通道、上下线和告警状态上报给平台显示。

DVR、NVR入网管理支持 DVR接入鉴权处理；提供DVR设备自动入网和手动入网方式至平台；支持 DVR设备入网信息修改和退网操作。

IPCSearch 搜索支持 IPCSearch 搜索,支持修改网络配置，支持设备重启。

告警上报支持将第三方设备前端的告警消息转换成标准的消息类型，并上报平台。支持移动侦测告警联动那个、视频源丢失告警联动、视频源遮挡告警联动

系统还原支持开机系统自动还原，还原到保存的系统还原点，当系统出现文件损坏时，可以将系统重启进行恢复

DVR接入配置支持在WEB 页面上配置接入的DVR信息，包括 IP地址、厂商类型、入网 ID、端口号、用户名、密码、通道数。

转码服务配置支持在WEB 页面上配置转码规则，包括：转码格式、码率、分辨率

系统配置支持在WEB 页面上配置设备的网络参数，包括 IP地址、子网掩码、网关

设备维护支持在WEB 页面上进行设备重启、版本升级、许可证信息查看与更新等操作

安全测评要求项目完成后需对平台的安全保护策略进行测评。需第三方具有专业评测资质的机构进

行测评，并出具评测报告。技术资料要求

验收完成后，投标人必须如数提供完整的系统安装、操作、使用、测试、控制和维护文档。

1.技术文档应与系统相一致，技术文档应该全面、完整、详细。2.技术文件应能够满足招标人对系统的安装、使用、运行维护的需要。3.提供整个系统建设的技术管理文档，系统运行、维护管理体系对应的全部管理规范和

管理规定的文档。4.提供的文档和资料均应以纸张和U 盘为载体，文件格式为 Word文档、PDF文档或

其他可视化文件。5.提供完整的系统竣工文档。运维服务要求投标方需在投标文件中明确本项目的运维方案，包括但不限于：1.建立服务目录中标方按照服务目录的要求向甲方提供服务。应根据实际服务内容，按照甲方要求，

对服务目录进行持续补充和完善。2.运维资产管理

中标方指定专人，按甲方的要求提供运维相关文档、资产资料，在发生变更时，及时更新相关文档，使用纸质或电子版更新文档发送到甲方项目负责人确认和备案。

3.故障维修服务系统出现故障时，系统恢复时间不得超过 24 小时。当设备出现故障时，乙方进行免费维修，确保系统正常运行。

4.巡检服务每月对系统进行现场巡检。在巡检之前提出巡检计划和时间安排，经甲方同意后配合

巡检。应建立现场巡检登记记录，将巡检中发现的隐患及相应的解决办法，以书面方式提交

甲方。在巡检过程中，发现不能在现场解决的问题，应在三个工作日内给出解决的方案并以

予解决。巡检内容包括：提供周期性例行巡检、设备清洁和维护保养

5.保障服务提供天管委的日常保障工作。在产品质保期内，但凡重大活动及节日庆典投标人须派专人到现场进行保障，并提供

备品备件。6.系统优化服务针对系统设备的运行情况，提出系统优化及参数设置等方面的合理化建议。

7.运维服务管理本项目的运维服务人员按甲方要求参与运维服务知识库建设与维护、运维管理体系建

设与改进（服务制度、流程、规范等）和运维绩效考核完善与优化等相关工作。实施方案要求根据投标人前期项目勘察情况，以我委实际工作情况为出发点，制定符合天安门地区

现实需求、安全稳妥的实施方案。在保证天管委正常工作不受影响的前提下，充分考虑现状、有效控制施工对指挥调度中心值守的影响、全面设计安全预案及防范措施、兼顾现有业务稳定运行及未来业务对接资源预留等情况，编制切实可行的实施方案。项目工期自合同签订之日起 95个日历日完成设备的安装调试工作。

验收要求1、初验：在投标人到货、安装、调试并业务上线，同时投标人提供正式测试报告，由招标人组织专家进行初验评审。

2、终验：在项目初验后，在经过试运行期后未遗留问题的情况下，招标人将组织行业专家组成评审组，对项目各项功能进行综合评审。

技术支持及售后服务技术支持在交付运行的同时，中标人应成立专门技术队伍，按采购人要求提供如下技术后援支

持：1.用户在使用过程中的技术问题提供解答：

1)提供 7x24 小时热线电话服务响应；2)系统试运行期间专人在现场指导使用人员的操作；3)现场排除系统试运行过程中出现的故障。

2.对用户的后续开发需求提供技术支持；3.对发生的问题在半小时内给予响应，1 小时到现场，并在 24 小时内予以解决；保持

7×24的热线技术支持，并提供应急的响应方案；4.中标人有责任协助用户，在其他系统变更、调整等过程中提供相关服务，使之各系统

能正常运行。售后服务

1.中标人应在项目验收合格后全系统提供 2年免费质保服务；2.中标人质保服务期内能及时协调产品原厂商对各类软、硬件产品进行相关的检

修、返修服务；3.需提供软件版本更新服务及升级服务；

4.需提供完备的事件响应流程，可提供多种方式，及时解决系统开通运行后出现的各种问题。技术培训投标人应提供详细的技术培训计划，包括培训内容、培训教材的提供、参训人数、时间、

课程安排等。投标人派出的培训教员应至少具有一年以上相同课程的教学经验。所有的培训教员必须用中文授课。所有的培训资料必须是中文书写。招标人根据实际情况，可以要求增加培训人数，投标人不能因此而增加费用。培训时间、地点和内容必须在合同生效之后由双方协商安排。项目团队及资质要求

1、投标方须出具视频监控联网设备两年原厂售后服务承诺函。2、投标方须出具大屏显示设备两年原厂售后服务承诺函。3、投标方须出具网络安全设备两年原厂售后服务承诺函。4、投标方须为本项目组建稳定的、专业的、独立的项目团队，专门负责本项目集成工

作。投标方要拥有专业的技术人员，项目实施人员必须具备专业技术能力和丰富的系统集成经验，具有系统集成工程 3年以上工作经验。项目实施人员要严格遵守用户方的各项规章制度和管理规定，爱岗敬业，不得擅离职守或做与工作无关的事情，能够与客户进行很好的沟通，具有很强的工作责任心和客户服务意识。

投标方在服务过程中应严格按照相关操作标准，针对服务的各个环节，有专门的项目质量管理保障，包括完善的项目实施流程、实施文档模版和质量记录文档。对系统集成工程服务保障技术支持队伍提出了以下要求：

1.拟派本项目的项目经理及项目组成员须具备丰富的系统集成实施经验，且在项目

实施过程中不得更换其拟派项目经理；2.提供项目实施的工作计划，工作内容以及服务进度安排；3.拥有一批掌握系统集成实践经验的专家，遇到突发情况时能够及时解决问题；4.具有高端的系统集成技术人员、具有专业的方案分析和制作人员、有专业的维护人

员和专业的团队支持；5.团队有明确分工和侧重点，基本人员均掌握一般的系统集成组建方法并能解决普

遍性问题；6.具备提供 7*24 小时应急响应服务能力；7.能够提供规范的全方位的技术培训；8.具有良好的职业道德，不损害用户利益。

安全保密要求投标方应严格遵守合同规定，执行有关保密的法律法规，选派具有良好职业道德的人

员参与和从事本项目工作，教育相关人员恪守职业道德，服从我委的管理，严格遵守我委的保密规定和工作制度，并承担相应的保密责任。所有参与本项目的服务人员，都必须签订《保密承诺书》。投标方负责对《保密承诺书》

归档保管，接受我方检查。投标方要对承诺履行情况负有监督责任，一经发现违反承诺情况，要及时向我方报告。

Documents