景县人民医院网络安全等保三级改造及测评项目

功能类别

技术参数及指标

硬件性能

配置≥10 个 10/100/1000BASE-T 接口，≥2 个 SFP，单电源，包含上网行为管理、入侵防、防病毒、VPN 等功能，其中 IPSec VPN 隧道数≥1024， SSL VPN 接入数≥400 提供 3 年软硬件维保及规则库升级服务；

网络吞吐量：≥1Gbps,并发连接数：≥50 万；

接口

接口支持配置从属 IP 地址，每个接口要求支持至少 200 个从属 IP

地址转换

具备 NAT 功能，可以提供地址转换。

访问控制

支持一体化安全策略：可基于设备接口/安全域、地址、服务、应用、用

户、时间等属性，配置入侵防御、病毒防护、URL 过滤、应用过滤、会话老化时间、终端过滤等高级访问控制功能

应用识别与管控

支持应用识别，内置 3000 种以上应用特征库，并可识别 iOS、安卓等移

动互联网软件如微博、微信等特征，并可智能识别 P2P 和迅雷行为，并支持在线升级和手动升级.

网络攻击防护

支持 IPv4、IPv6 双协议栈异常包攻击防御，攻击类型至少包含：Ping of

Death、Land-Base、Tear Drop、TCP flag、Winnuke、Smurf、IP 选项、IP Spoof、Jolt2 等

病毒防护

支持病毒检测引擎，内置病毒库不少于 400 万条，支持在线升级和手动升级,支持多级的压缩文件进行解压查杀

Web 防护

支持 HTTP 协议的精确访问控制，可针对 IP、URL、Method、Referer、 User-Agent、Cookie、Url-args 等字段设置内容，匹配内容包括但不少于：包括、不包含、等于、不等于、属于、不属于、长度小于、长度等于、

长度大于、正则匹配等

内置 Web 防护特征库，提供 SQL 注入攻击、XSS 攻击、恶意扫描与爬虫、服务器防护、CMS 漏洞防护等不少于 10 种的防护类型，支持手动和自动

特征库升级

威胁情报

支持实时获取威胁情报，并应用威胁情报对本地资产进行威胁检测，并可对检测到的威胁情报支持单点登陆威胁情报云平台查看该情报详情

配置管理

支持 U 盘零配置上线，设备端无需预配置，将 U 盘插入设备 USB 接口中，即可实现快速上线实施

功能类别

技术参数及指标

硬件参数

≥1T 硬盘，≥6 千兆电口；单电源；提供 3 年软硬件维保服务；

系统性能

日志综合采集处理峰值：≥200。至少支持 25 个日志源授权。

数据采集

支持 Syslog、SNMP Trap、HTTP、ODBC/JDBC、WMI、FTP、SFTP 协议日志收集；支持阿里云 SLS 日志的采集。

可通过接收协议限制日志接收速率，包括 Http 接收、syslog 接收、SNMPtrap 接收、TCP 接收、WMI 接收、aliyun 接收。

支持使用代理(Agent)方式提取日志并收集；安装包支持界面*载下**，且安装支持可视化向导。

支持对 Agent 进行统一管控，包括卸载、升级、启动及停止操作，支持将日志收

集策略统一分发。

日志分析

可以通过自定义配置过滤掉用户不关心的日志；

支持对收集到的重复日志进行自动聚合归并，减少日志量；

具备安全评估模型，评估模型基于设备故障、认证登录、攻击威胁、可用性、系统脆弱性等纬度加权平均计算总体安全指数。安全评估模型可以显示总体评分、历史评分趋势。安全评估模型各项指标可钻取具体的评分扣分事件；

内置 5000+解析规则，支持对收集的 5000+设备类型日志进行解析（标准化、归一化），解析维度多达 200+，解析规则可以根据客户要求定制扩展；

三维关联分析；支持通过资产、安全知识库、弱点库三个维度分析事件是否存在

威胁，并形成关联事件

应用性能监控

支持监控设备自身 CPU、内存、磁盘等工作运行状况；

通过在目标主机上安装 Agent 程序，支持监测目标主机的 CPU 利用率、内存使

用率、磁盘使用率、磁盘使用情况、流量等信息

告警功能

支持数据阀值设置，超过阀值将产生告警;

支持磁盘空间阈值告警，当磁盘使用率达到设定的阈值时可产生并外发告警；资产性能监控异常告警，对于监控的资产系统资源进行监测当指定指标使用率达到设定的阈值时可产生并外发告警；资产状态监控，当资产处于不活跃状态时可产生并外发告警；远程仓库状态监测可告警，当远程仓库可用性检测失败或备份包

自动上传失败时可产生并外发告警。

用户管理

用户支持双因子认证登录，双因子认证令牌支持绑定至具体用户；

提供自助式的升级接口，支持对产品升级、规则升级。

综合日志报表

内置合规性报表 1000+种；

内置 SOX、ISO27001、WEB 安全等解决方案包；内置完善的等级保护合规报表；

功能类别

技术参数及指标

性能指标

≥ 4 个千兆电口，≥1T 硬盘，资产授权数量≥100 个，含资源授权和三年软件升级

用户管理

支持域认证与双因子认证结合使用，如同时使用 AD/LDAP 用户名+AD/LDAP 密码+手机 APP 动态口令登录堡垒机、同时使用 AD/LDAP 用户名+AD/LDAP 密码+短信口令登录堡垒机；

支持采用国密加密算法进行核心敏感数据加密存储

支持按部门组织架构管理用户数据、资产数据、授权数据、审计数据，且数据相互隔离；可按部门层级分别设定各部门不同权限的管理员，如部门内的运维管理员、审计管理员、系统管理员等

设备管理

支持常用的运维协议：SSH、TELNET、RDP、VNC、FTP、SFTP、rlogin；可通过应用发布的方式进行协议扩展，如数据库 Oracle、MSSQL、MySQL、VMware vSphere Client、浏览器等客户端工具；

支持自动收集设备 IP、运维协议、端口号、账号、密码、与用户的权限关系，可自动完成授权；

单点登录支持调用多种本地客户端工具：字符：xshell、secureCRT、putty，图形： mstsc、realvnc，文件传输：secureEX、flashFXP、filezilla、winscp，数据库：ssms、 sqlwb、mysqlworkbench、mysql 等

数据库管理

标准支持 DB2、oracle、mysql、sqlserver 的协议运维代理，可实现自动登录，自动登录可直接调用本地 windows 系统的数据库客户端工具（包括 ssms、sqlwb、workbench、 mysql、DbVisualizer、plsql、sqlplus 等）

改密追溯

支持定期自动修改 windows 服务器、网络设备、linux/unix 等目标设备密码功能，且自动改密不借助于 Agent，无需开放 445、135、139 等高危端口；

支持对数据库及 Web 应用的自动改密功能；

支持 Unix/Linux 系统账号自动改密功能。并支持账号切换改密功能，当 root 不能直接远程登录时，依旧可以修改 root 密码。

专用运维客户端

支持 Windows/Mac 操作系统下 C/S 架构的堡垒机专用客户端，可通过此专用客户端登录堡垒机，对堡垒机进行简单的管理及运维资产操作。

运维客户端自带运维工具，可不依赖 xshell/Securecrt/mstsc 等工具进行运维操作

客户端还至少需支持资产分组、资产连通性检测，批量运维、资产运维审批、命令审批、二次运维审批等能力。其中资产分组操作支持个性化设置，即每个运维人员可单独设置分组，相互之间独立。

日志审计

支持审计主流数据库（如 DB2、oracle、mysql、sql server、PG、人大金仓、达梦）运维中的 SQL 语句，可进行关键信息定位查询，并可过滤数据库客户端自动发起的语句，方便查询真实人为的数据库操作

运维审批

支持对重要命令进行审核：运维人员执行命令后，需等到管理员审批通过后才可执行成功。可选择性设置自定义时间内未审批，对命令自动放行。执行命令的运维人员在运维待审批命令时，可选择终止此命令。

系统管理

提供排错工具：ping、TCP 端口检测、UDP 端口检测、路由跟踪、tcpdump 抓包等；需提供用户、资产、授权的增删改查等 API 接口，允许第三方平台调用堡垒机的 API

接口，实现用户、资产、权限自动同步到堡垒机，简化堡垒机配置工作量

安全接入

支持内置 VPN 模块，无需与其他 VPN 设备联动，实现运维入口安全接入

功能类别

技术参数及指标

硬件接口及性能指标

1） 面板有液晶显示屏；内端机≥4 个 10/100/1000Base-T 接口； 外端机≥4 个

10/100/1000Base-T 接口；共 2 个串口和 4 个 USB 口。

2） 网络层吞吐量≥500Mbps，最大并发连接数≥10 万，无用户数限制，文件同步速度≥50MB/秒，数据库同步≥2000 条/秒。

物理架构

采用 2+1 系统架构即内网单元+外网单元+专用隔离硬件。不采用网线等形式直通。

操作系统

采用基于 linux 内核的多核多线程专用安全操作系统，加固系统内核。

部署模式

设备支持多种工作模式，管理员可依据实际网络状况进行相应的部署。

内置应用

产品内置各类应用支持模块，无须用户增加投资，功能模块至少包含：邮件模块、安全浏览模块、视频交换模块、数据库访问模块、数据库同步模块、文件交换模块、组播代理模块、用户自定义应用模块等各类应用模块,并可控制相应应用协议的的动作参数、内容。

文件交换

支持文件同步间隔设置。同步方向可控，支持单、双向的文件传输.；支持文件类型黑、白名单控制；支持文件内容检测，对包含关键字文件进行过滤；支持容错和告警功能，出错时自动重传，异常时能够告警并记录日志；。

视频交换

支持视频会议、视频级联、视频互联和视频点播功能。

支持 RFC3261 标准的视频交换。

数据库同步

支持 Oracle、SQL Server、MySQL、SYBASE、DB2、PostgreSQL、MariaDB 等多种主流国外数据库的同步。

数据库访问

支持 Oracle 、DB2、SyBase、SQL Server、MySql、达梦等主流数据库的安全访问，实现内外网之间数据库及表内容安全传输。

邮件交换

支持 SMTP、POP3 协议。

支持邮件地址、附件、主题、内容等进行过滤。

TCP 应用传输

支持 TCP 应用层数据单向传输的控制，保证 TCP 应用数据的 0 反馈，以满足二次防护对数据传输的安全性需求。

诊断工具

系统提供 ping、traceroute 、TCP 端口探测、抓包等工具，方便管理员在配置策略或调整网络时排查问题。支持设备诊断信息导出。

安全管理

符合国家标准，采用三权分立设计。系统策略配置管理员、安全管理员与日志管理三种角色，各用户只能维护操作本类管理功能与操作；支持标准的 SNMP 协议安全管理

日志审计

系统可存储和审计包含：管理日志；审计管理日志；系统日志；访问日志；攻击防护日志；内容过滤日志；文件交换日志；数据库同步日志；支持对日志通过时间、用户、内容等多种的手段进行查询，帮助管理员快速定位事件信息。

双机热备

支持双机热备功能，最大化的保障业务可用性。

类别

功能指标

内 容 描 述

可靠性

产品完整性

系统化产品，模块化构建，任意选择，自由组合；

支持平台

Windows/XP/win7/win8/win10/server2003/server2008/serv

er2012/server2008 支持 32 位，64 位;

可用性

多控制台

支持

通讯效率

高

安全策略自定

义

支持

用户定义自规

则

支持

代理升级

只需要升级补丁部署在服务器上，代理会自动进行升级

关键指标

跨 VLAN

支持

支持 VPN

支持

跨软件防火墙

支持

客户端免卸载

支持

客户端免杀毒软件查杀

支持，瑞星、江民、金山毒霸、360 安全卫士、卡巴斯基

（Kaspersky）、McAfee VirusScan、ESET Nod32、门铁克

（ Norton AntiVirus ） 、 趋势（ PC-cillin ） 、 F-Secure Anti-Virus、AVG Anti-Virus 等

客户端非流氓

软件

支持

管理模式

分级、分权管理模式，可以支持无限级的管理模式

终端信息

终端列表

显示所有已安装客户端软件的终端信息：计算机名称、IP、mac、在线状态、登陆时间等信息

终端信息

详细显示一台终端的配置信息和当前所生效的策略信息。

硬件资产

自动扫描并完整记录每台终端硬件资产信息，详尽记录资产变更信息，可自定义资产属性进行辅助信息管理；

软件资产

自动扫描并完整记录每台终端软件资产信息，详尽记录资产变更信息，可自定义资产属性进行辅助信息管理；

打印机信息

显示终端打印机名称，使用端口，驱动等信息。

终端查看

进程管理

统计客户端计算机当前进程名称，进程 ID,路径，支持手动结束客户端计算机进程。

服务管理

统计客户端计算机当前服务名称，显示名，路径，状态，启动类型，支持手动停止或启动服务。

系统用户管理

统计客户端计算机系统用户名，全名，描述，支持手动添加或删除系统账户。

启动项管理

统计客户端计算机当前启动项，路径，状态，支持手动禁止启动或恢复启动。

外设信息

显示终端接入外设的类型，详细信息

终端运维

文件批量分发

发送文件（文件夹）到每个或指定的客户端，同时可以发送完

成后打开、安装、打开所在目录，设置壁纸，提交系统还原保存，发送提示信息；

远程协助

远程控制终端机器，方便解决问题。

远程消息管理

远程发送指定信息到客户端。

终端参数配置

修改终端机器的计算机名称、系统日期时间、网络参数（IP 地址等）

移动存储使用记录

自动记录客户端移动存储设备的插拔事件，文件拷贝，删除，新建等操作。

外设使用规则

禁用光驱，软驱，刻录，3g 网卡，声卡，蓝牙，打印机。

系统功能管理

控制终端机器禁止修改 ip 地址

终端审计

电脑性能记录

详细记录终端性能参数 CPU 等的变动情况，方便管理员对机器更新换代做出性能评估。

文件监控记录

记录本机上所有文档操作信息，包所有文档的创建、访问、修改、复制、移动、删除、恢复、重命名等操作；支持按部门，

用户明，关键字，日期查询

告警日志

硬件资产变更记录

详细记录硬件的变化情况

软件资产变更记录

详细记录软件的卸载、安装情况

非法终端报警

检测局域网非法接入的计算机名称，IP、MAC 地址,并给出报警。

性能报警日志

按部门名称，用户名称，ip 地址，日期时间显示报警内容。

系统设置

客户端安装

生成客户端安装包，设置终端卸载密码，手动搜索客户端上线。

管理员账号

修改软件登陆账户权限，密码；设置二级管理员账户。

数据库管理

定期清理数据库审计记录，支持按审计类型和保留时间段清理。

管理员操作日志

审计软件控制台账户操作时间，操作类型，操作对象等信息。

管理员登陆日志

审计软件控制台账户登录时间，登录 IP 等信息.

附加功能

远程卸载软件

可以远程卸载指定软件，或批量卸载多个机器的指定软件。

多屏监控

支持同时对多个用户登录的监控，可同时对一组计算机进行集中监控

远程协助

远程连接到客户端计算机的桌面，直接操作客户端，方便进行远程协助或操作示范。支持强制远程，申请远程模式。

远程文件管理

远程打开指定客户端的文件夹，传送文件和*载下**文件到服务端。

电源管理

远程关机，重启，注销，开机，支持批量操作

数据库数据备份

灵活选择各类进行备份，也可以备份整个数据库。

技术指标

功能描述

环境要求

控制中心安装环境要求

操作系统： Windows Server 2008 （ 64 位）

/Windows Server 2012（64 位）/Windows Server 2016 （64 位）

CPU：至少 2 核以上（推荐 4 核）

内存：不低于 4GB（推荐 8G）

硬盘：不低于 100GB，建议 200G 以上（需要*载下**补丁文件存放）

支持在虚拟机上安装控制中心

Windows 客户端安装环境要求

操作系统： Windows XP_SP3 及以上/Windows Vista/Windows 7/Windows 8/Windows 10

服务器客户端安装环境要求

操作系统:Windows Server 2003_SP2/Windows Server 2008/Windows Server 2012/Windows

Server 2016

系统部署管理

控制中心：具备设备分组管理、策略制定下发、全网健康状况监测、统一杀毒、统一漏洞修复、终端软件管理、硬件资产管理以及各种报表和查

询等功能。

客户端：与系统控制中心通信，提供控制中心管理所需的相关数据信息；执行最终的木马病毒查杀、漏洞修复等安全操作。

支持终端保护密码，设置密码后，终端退出或卸载杀毒都需要输入正确的密码方可执行。

支持网页访问部署、离线安装包部署、域推送等

部署方式，可自定义部署通知邮件及部署通知公告

支持自定义默认分组,包括产品功能模块及实用工具等

支持 HTTPS 加密协议登录方式，有效支持保密用

户使用

支持控制中心数据恢复与备份

病毒、恶意代码、木马防护

内存防护

支持内存实时监控查毒，能够自动隔离感染而暂时无法修复的文件；

启动防护

支持抢先加载防毒，在系统未加载前启动文件监

控，通常情况下不必重启到安全模式也能清除病毒；

注册表、引导区防护

支持文件、引导区、内存、注册表、服务、进程、

进出文件、目录、压缩文件、网页等恶意代码、恶意样本查杀

电子邮件防护

支持电子邮件内文件检测，可清除隐藏于电子邮件计算机病毒和恶性程序；

网络防护

拦截*载下**器自动*载下**木马程序；拦截恶意推广程序；

拦截黑客远程控制本机；

拦截*号盗**木马；

嵌入式防御

支持用户添加嵌入杀毒的应用程序； 支持

FlashGet、NetAnts、WinZip、WellGet、WinRAR等工具的嵌入式杀毒功能；

即时通讯防护

支持检测 QQ、MSN、阿里旺旺等常用聊天软件传

输文件的安全性，确保传输文件不中毒；

移动设备病毒防护

要求提供 U 盘等移动设备接入电脑自动检测功能，全面拦截和清除在移动设备接入系统可能带

来的病毒木马；

局域网共享查杀

能够对局域网共享文件传输进行检测和查杀；

浏览器防护

支持浏览器防护，对篡改浏览器设置的恶意行为进行有效防御，并可以锁定默认浏览器设置

聊天安全防护

检测 QQ、MSN、阿里旺旺等常用聊天软件传输文件的安全性，确保传输文件不中毒；

检测 QQ、YY、飞信等聊天软件中对方发来网址

的安全性

输入法防护

可以拦截伪装成输入法程序的木马；可以拦截利用输入法启动的木马程序

定时查杀

能够自定义扫描时间、自定义扫描频率，自定义扫描类型，对终端进行定时查毒，并且可以自定

义查杀病毒后的处理方式自定义；

黑白名单例外

支持文件与目录自定义黑白名单的方式来管理全网终端的文件；

文件被加入白名单，客户端不再查杀，加入黑名

单，客户端不可执行此文件；

病毒查杀统计

要求支持通过数字签名或者文件名的方式分别显示文件，方便管理员管理全网终端上报的文

件；

支持按病毒、木马、终端等维度统计全网病毒感

染状况；

支持对网内未知文件云查询的控制，可以选择直

接连接互联网云查询中心查询，也可以选择采用私有云查杀引擎完成未知文件查询；

支持上报文件至少包括:文件名称、发现时间、

鉴定结果、文件大小、数字签名和文件所属源计算机等信息

压缩包杀毒

支持文件解压缩病毒查杀，支持对 zip、rar、 7z 等多种格式的压缩文件查杀能力；默认支持

32 层压缩扫描，且用户可以自定义设置扫描层

数

宏病毒查杀

有针对宏病毒的专杀模块，可以提供针对宏病毒的专属解决方案；

备份区隔离区管理

可对备份区、隔离区的文件进行有效管理。能够对单个、指定的文件和全部文件，进行文件的删

除、恢复等多项管理措施。

防黑墙

采用溢出流过滤技术防御机制，阻止利用操作系统漏洞进行的病毒传播及高级网络攻击行为

勒索者病毒防御

对勒索者病毒提供防护机制，采用虚拟钓饵方式有效拦截勒索者病毒

多杀毒引擎

要求产品具备本地多引擎查杀能力，且引擎可配置；

Linux、国产操作

系统、云桌面杀毒

支持 linux、国产操作系统杀毒、云桌面产品

病毒库升级管理

要求支持服务器端病毒库的定时更新和手动更新两种升级模式。

补丁分发与漏洞修复

要求产品具有定时修复漏洞功能，同时可以设置

筛选高危漏洞、软件更新、功能性补丁等修复类型；

产品具备漏洞集中修复，强制修复，自动修复

产品具备漏洞集中修复过程中的流量控制和保证带宽,补丁分发支持服务端带宽限流，有效节省外网带宽资源

服务器端功能

支持服务器、PC、虚拟化终端的统一平台管理；

至少支持 Windows Server 2003、2008、2012 三个版本操作系统平台的杀毒防护与漏洞管理，并可对 Windows xp 和 Windows Server 2003 提供后续漏洞防护；

至少支持两个以上 Linux 服务器版本并且可以和 Windows 统一管理；

日志报表

展示全网终端健康状态、报警信息；可方便的查看不健康、亚健康终端列表；

展示全网终端病毒库日期比例，可方便的查看全

网终端病毒库的情况

展示指定时间段内指定终端修复漏洞，病毒查杀，木马查杀的情况

要求支持邮件报警，可以设定多种触发条件，满足条件后自动发送邮件到相关人。邮件触发条件至少包括：一定时间内的病毒数量阈值、一定时

间内的未知文件数量阈值。

支持病毒报表业务：上级可查看本级、下级的病

毒日志详情、统计、走势、排名 ；

提供报告门户，能在一个 Portal 内完整展现全网病毒定义状况、安全风险状况、计算机在线状

态、全网系统漏洞威胁分布。

提供大数据分析系统，可将全网发现的威胁文件通过 MD5 值按照黑名单、白名单、灰名单进行添

加分类，有效防止未知威胁攻击

运维管控

外设管理

支持对终端各种外设（USB 存储、硬盘、存储卡、光驱、打印机、扫描仪、摄像头、手机、平板等）、接口（USB 口、串口、并口、1394、PCMIA）设

置使用权限

管控环境

终端支持在线、离线两种策略，可同时使用在线

或离线两种状态，保证终端安全运行。

移动存储介质管理

支持管理员对入网的移动存储介质进行注册，可以对已注册的移动介质进行管理，包括学习注册、授权、启用、停用、删除、取消注册、导出

注册列表等

支持客户端自主申请移动存储介质注册，管理员统一对申请进行审批；

支持移动存储介质读写权限划分设置，有效控制

不明来历的移动存储可能带来的病毒传播等隐患