序号

服务名称

服务内容

1

远程安全访问加密服务

1、 提供1套远程安全访问加密服务。

2、 ★性能：HTTPS新建连接数≥1000个/秒，每秒新建连接数≥30万。

3、 ★配置：2U，接口≥2个10/100/1000M自适应电口，≥2个万兆光口SFP+，USB接口≥6个，≥3个扩展槽。

4、 ★授权服务：提供自带不少于200点远程安全访问加密并发用户授权服务。

5、 提供用户概览统计能力，包括用户总数、启用用户数、锁定用户数、禁用用户数等信息，提升管理员运维能力。

6、 提供用户组管理，支持动态用户组，可按照规则进组，使得满足规则的用户自动能够进入组，并继承组所拥有的权限、访问策略等。

7、 支持用户来源、用户组分布、用户上线趋势包含过去1个月、过去7小时、过去24小时。

8、 提供系统关键服务进程信息正常或异常的监控。

9、 支持客户端的灰度升级，可按照指定组织机构/用户组、部分用户等范围进行灰度升级。

10、 支持策略维度的业务监控，支持准入策略、访问控制策略总数的统计，支持策略覆盖的用户、覆盖资源的统计，支持策略准入处置、准入豁免、访问处置、访问豁免、上线的趋势统计包括过去1个月、过去7小时、过去24小时。

11、 ★支持UDP+TCP单包授权技术，未被授权的用户无法访问零信任登录界面，避免服务端口被扫描，收敛我校对外的互联网暴露面，最大化程度降低我校对外业务被攻击的可能性。

2

安全运营服务

1、 ★提供7*24小时持续专家服务保障，学校网络发现的威胁可及时响应，通过安全运营构建持续、主动、闭环的安全运营体系，基于业务需要提供至少20个核心资产为期一年的全面梳理和重点防护服务。

2、 可借助安全工具对我校资产进行识别和梳理，并在后续服务过程中能够根据识别的资产变化情况触发资产变更等相关服务流程，保证提供给我校的资产台账准确性；

3、 提供系统与Web漏洞扫描服务。每月一次对操作系统、数据库、常见应用/协议、Web通用漏洞与常规漏洞进行漏洞扫描。

4、 一旦确认漏洞影响范围后，安全专家必须提供专业的处置建议，至少包含两部分，补丁方案以及临时规避措施。

5、 提供弱口令扫描服务。每月进行一次弱口令扫描。实现信息化资产不同应用弱口令猜解检测，如：SMB、Mssql、Mysql、Oracle、smtp、VNC、ftp、telnet、ssh、mysql、tomcat等。

6、 提供蠕虫病毒事件监测能力。协助确认文件是否被感染，定位失陷的代码并进行修复。

7、 提供攻击研判服务。针对漏洞利用攻击行为、Webshell上传行为、Web系统目录遍历攻击行为、SQL注入攻击行为、信息泄露攻击行为、口令暴力破解攻击行为、僵尸网络攻击行为、系统命令注入攻击行为及僵尸网络攻击行为进行分析评估，判断攻击行为是否成功以及业务风险点。

8、 针对分析得到的勒索病毒、挖矿病毒、篡改事件、webshell、僵尸网络等安全事件，通过工具和方法对恶意文件、代码进行根除，帮助我校快速恢复业务，消除或减轻影响。

9、 ★针对服务范围内资产提供7*24小时持续专家运营服务，威胁第一发现且及时响应。并且具有7*24小时安全专家职守，人工进行告警筛查，非海量误报无效告警通报。对扫描到的高危可利用漏洞，应当做好每一个高危可利用漏洞的防护工作，包括但不限于提供漏洞修复方案和安全设备防护策略，以及帮助配置防护规则，保证不因此出现重大事件和损失。可以对服务范围内发现的每一个高危可利用漏洞提供防护规则，并且承诺防护率达到99%。（需提供服务承诺函并加盖厂商公章）。

10、 ★为保证问题的闭环效果，从安全日志产生到事件通告给我方的方面，需要按照国家标准对安全事件的分类分级指南，重大安全事件通告小于30分钟，一般事件的通告少于1小时；在配备边界防护服务组件和终端防护服务组件的情况下，运营服务对于重大安全事件的遏制影响和处置完成小于1小时，对于一般事件的遏制影响和处置完成小于4小时；（需提供技术确认函并加盖厂商公章）。

11、 为保障云端检测服务的可信度、合规性和安全性，需提供7*24小时的云端服务平台等级保护三级测评通过证明。

12、 安全专家每月对我校的安全设备的防护策略进行检查，确保安全设备上的安全策略始终处于最优水平，针对威胁能起到最好的防护效果。投标方云端服务平台应当具备丰富的策略检查工具（要求不少于40种策略检查的工具），支持排查安全设备防护策略配置的合理性。

3

安全组件服务

1、 需提供网络安全分析服务组件，作为安全分析基础服务平台。

2、 ★性能：在镜像流量10Gbps时存储时长≥150天。

3、 ★组件配置：内存≥128GB，数据盘≥40TB，冗余电源，千兆电口≥4个，万兆光口≥2个（包含不少于4个万兆光模块）。

4、 为保证可以充分识别我校网络资产，保证安全服务有效可靠，要求组件支持流量实时识别与主动扫描资产，可联动扫描器定期或立即扫描资产，支持扫描影子资产，资产指纹信息包括资产类型、端口、操作系统、mac地址、主机名等。

5、 为保证可以直观展示业务系统相关风险并针对风险做出及时汇报，要求组件支持导出完整综合风险报告，报告内容包括但不限于安全感知总览、安全事件分析、外部威胁分析、脆弱性分析、安全加固、总结等，完整展示当前网络安全态势和详情，并且导出内容支持多维度范围设置。

6、 支持对多种日志进行安全检测，日志类型至少包括漏洞利用攻击、网站攻击、僵尸网络、邮件安全、文件安全、网络流量、超文本传输协议、用户、数据库、文件审计、邮局协议版本3、简单邮件传输协议、因特网信息访问协议、轻型目录访问协议、远程终端协议等。

7、 支持安全态势的可视化呈现，提供不少于3块大屏展示界面。

8、 支持流量实时识别漏洞分析，漏洞分析类型包含配置错误漏洞、OpenSSH漏洞、OpenLDAP等操作系统、数据库、Web等，页面上支持展示业务脆弱性风险分布、漏洞类型分析、漏洞态势与危害和处置建议，并支持导出脆弱性感知报告。

9、 弱密码行为作为网络安全防护最为基础也是最为重要的一环，应对弱密码具备全面详尽的检出能力，弱密码检测规则至少支持配置规则名称、生效域名、长度规则、字符规则、字典序、web空密码、账号白名单、密码白名单、txt文件格式导入。

10、 在日常安全运营过程中，海量挖矿告警层出不穷，但实际防护效果无法评估，且消耗了我校老师大量精力 ，因此挖矿检测能力是我校重点关注方向，需支持挖矿专项检测功能，能够检测出加密挖矿和挖矿文件。具备挖矿攻击事前、事中和事后全链路的检测分析能力，综合运用威胁情报、IPS 特征规则和行为关联分析技术，检测发现文件传输阶段异常，对挖矿早期准备动作告警。

11、 提供流量收集服务组件。

12、 ★组件性能：吞吐性能≥10Gbps

13、 ★组件配置：硬盘容量≥960GB SSD，千兆电口≥4个，千兆光口≥4个，万兆光口SFP+≥8个（包含不少于8个万兆光模块）。

14、 为保证可以全面识别我校业务系统内的应用，要求组件支持根据数据包方向、协议、端口、IP地址等信息自定义应用规则来识别应用类型。

15、 为保证可以充分探测业务流量中的弱口令等，要求组件支持多种类型弱口令策略；支持自定义FTP弱口令检测、口令暴力破解检测不同格式和爆破次数，规则设置如空口令、用户名、密码、长度、弱口令列表等。

16、 为保证可以识别到我校可能遭受到的网站攻击，要求组件支持通过SQL及系统命令注入、网页木马、网站扫描、WEBSHELL、跨站请求伪造、Web整站系统漏洞、自定义WAF规则、WAF云防护以及XSS、文件包含、目录遍历、信息泄露等攻击方式等进行网站攻击检测。

17、 支持旁路阻断，在实时镜像的流量中如果发现恶意IP，可以实时阻断。

18、 支持异常流量检测能力，可以常见标准端口运行非标准协议，非标准端口运行标准协议的异常流量进行检测，端口类型包括3389、53、80/8080、21、69、443、25、110、143、22等。

19、 对异常流量的检出能力是否全面作为衡量该服务安全效果重要考量，需要支持IRC、HFS、Socks、HTTP、DNS、ICMP、端口异常、上下行流量、Ngork、FRP、等协议及登录异常流量检测 。

20、 ★提供不少于50点服务器防勒索服务。

21、 可以纯软件交付，包含管理控制中心软件及终端客户端软件。

22、 采用B/S架构的管理控制中心，具备终端统一管理，统一威胁处置、威胁响应处置等功能

23、 支持对终端进行扫描，及时发现尚未纳入管控的终端。

24、 支持针对安全事件，勒索病毒事件等邮件告警。

25、 ★支持终端分组管理,可启用、禁用、重启、卸载agent。（需提供截图并加盖厂商公章）。

26、 ★可以对接我方现有防火墙，相互之间情报可以共享，对僵尸网络两个设备可以进行联合举证，并对此进行溯源，提供如C&C通信检测手段，并可联动直接在现网防火墙得管理界面下发一键隔离指令，将终端侧得恶意文件直接进行隔离，避免将病毒扩散至其它健康终端甚至导致全校终端瘫痪，若无法满足，投标人可通过定制开发实现，定制费用由生产厂商或投标人承担且在中标后10个自然日之内可以提供现场实际环境演示，以上两种方案满足其一即可。（提供承诺函并加盖厂商公章）

27、 提供勒索病毒整体防护体系入口，直观展示最近七天勒索病毒防护效果，包括已处置的勒索病毒数量、已阻止的可疑勒索行为次数、已阻止的未知进程操作次数、已阻止的暴力破解攻击次数。

28、 支持windows服务器RDP远程登录保护，可开启RDP远程登录二次认证，认证方式包括登录认证或文件信任认证，认证密钥包含验证码验证和自定义密码验证,并可设置策略生效段与免二次认证白名单。

29、 支持轻补丁漏洞免疫，支持单个或多个漏洞选择免疫和取消免疫。

30、 支持实时防护,包括文件实时防护、Webshell检测、暴力破解检测、无文件攻击防护等多项功能，暴力破解检测中可以选择开启RDP暴力破解检测和SMB暴力破解检测,都可设置为仅上报不处置或自动封堵X分钟。

31、 支持强力专杀，支持导入工具,查杀终端可选择终端,选择近7天威胁终端。

32、 支持开启终端“加白文件”密码保护、开启终端“防卸载”密码保护、开启终端“防退出”密码保护。

33、 提供上网行为管控服务组件，在互联网出口管控全校流量访问。

34、 ★组件性能：网络层吞吐量≥30G，应用层吞吐量≥15G，带宽性能≥10Gb，支持用户数≥10万，每秒新建连接数≥20万，最大并发连接数≥800万。

35、 ★组件配置：内存≥32G，硬盘容量≥128G SSD+960G SSD，千兆电口≥4个，千兆光口≥4个，万兆光口≥4个（包含不少于4个万兆光模块），冗余电源。

36、 支持主主、主备模式部署。

37、 支持路由模式、网桥模式、旁路模式。

38、 支持部署在IPv6环境中，设备接口及部署模式均支持ipv6配置，所有核心功能（上网认证、应用控制、流量控制、内容审计、日志报表等）都支持IPv6。

39、 支持对管理员权限进行划分。

40、 ★能对接我校现有防火墙系统，实现认证联动，实现认证同步机制，实现单点登录。若无法满足可通过定制实现，定制费用由生产厂商或投标人承担且在中标后10个自然日之内可以提供现场实际环境演示，以上两种方案满足其一即可。（提供承诺函并加盖厂商公章）

41、 ★能对接我校现有行为管理设备，共同实现学校用户的上网流量审计、上网流量控制、上网用户认证、访问权限控制，并且为了减轻学校的运维压力、满足后续智慧校园的建设，必须满足：1、可以共同实现流控功能，互不影响；2、可以分别实现不同的流量审计功能；3、可以实现未连接网络时访问页面自动跳转到上网认证界面；4、可以设置不同的访问权限；5、行为管理之间同步学校用户信息、上网人员信息；6、可以同步认证信息，与之前行为管理共同作为认证系统；7、可以将新增行为管理收集的数据与已有行为管理数据统一收集、存放、管理、分析，避免增加学校的运维压力；8、支持新老行为管理之间同步配置或者相互导入配置，减轻运维人员工作压力；若无法满足可通过定制实现，定制费用由生产厂商或投标人承担且在中标后10个自然日之内可以提供现场实际环境演示，以上两种方案满足其一即可。（提供承诺函并加盖厂商公章）

42、 支持不需要认证、密码认证、单点登录、不允许认证,认证服务器包括微信快捷登录和短信快捷登录,微信快捷登录即用户账号与微信号绑定后,可通过微信扫码识别用户,简化输入账号密码的流程。

43、 接入认证支持增加会议室二维码认证，二维码设置包括二维码名称、二维码ID、最大上线人数、有效期，还可开启手机号实名认证,认证过程移动端通过访客扫码上线,PC端通过访客输入二维码ID上线。

44、 支持访问权限策略,策略设置包括邮件过滤,不允许发送标题和内容中包含有如下关键字的邮件,不允许发送带有如下类型附件的邮件,配置邮件大小限制,附件个数限制。

45、 支持应用控制,允许浏览QQ邮箱,拒绝QQ邮箱发邮件、上传附件、下载附件。

46、 支持配置免认证key、特权key,特权key的权限可选择免审计和免控制。

47、 ★考虑到网络安全法和数据安全法，本项目所涉及的安全服务组件在我校未经授权的情况下，不得撤出本校。