关于公开征集2026年南宁市文化广电和旅游局网络安全服务项目承办单位的公告

项号

服务名称

服务内容及要求

1

安全咨询规划服务

一、提供网络访问控制、网络防病毒和VPN等服务，服务要求如下：

最大网络层吞吐量8G,最大应用层吞吐量4G，最大并发连接数100万，每秒新建HTTP连接数6万。提供以下服务功能：

提供标准1U设备，双电源；标配6个10/100/1000M自适应千兆电接口及2个SPF+万兆接口及2个接口扩展槽；支持下-代防火墙访问控制、网络防病毒、流控、IPSecVPN等模块;具备以下服务能力：

（一）网络特性：

1.★支持手动和LACP链路聚合，可根据源/目的mac、目的IP、等条件提供不少于2种链路负载算法；

2.★支持源NAT、目的NAT、静态NAT，支持一对一、一对多和多对多等形式的NAT；支持Sticky NAT开关，使相同源IP的数据包经过地址转换后为其转换的源 IP 地址相同；

3.★支持DNS Doctoring功能，能够将来自内部网络的域名解析请求定向到真实内网资源，提高访问效率，同时支持通过配置多条 DNS Doctoring，实现内网资源服务器的负载均衡；

4.支持DNS透明代理功能，可将指定范围内的DNS请求自动重定向至管理员指定的DNS服务器，且支持多台DNS服务器的负载均衡；

（二）无线接入：

1.支持802.11n无线接入，可支持2.4G频段或5G频段；（部分型号支持）

2.支持LTE-FDD/WCDMA/TD-SCDMA/GSM/EMBB等移动网络制式。（部分型号支持，5G需定制）

（三）访问控制

1.★提供策略分析功能，支持策略命中分析、策略冗余分析、策略冲突检查、策略包含分析，可在WEB界面显示检测结果；

2.支持策略加速技术，减少策略对设备性能的消耗；支持详细的访问控制策略日志，每条匹配策略的会话均可记录其建立会话和拆除会话的日志；访问控制策略日志可本地记录或发送至Syslog服务器；

3.★支持IPv6安全控制策略设置，能针对IPv6的目的/源地址、目的/源服务端口、区域、服务、时间、扩展头属性等条件进行安全访问规则的设置。

（四）IPv6安全防护

1.★支持基于IPv6的入侵防御、病毒防御、DDOS、WEB防护、防御等一系列安全防护功能；

2.支持基于IPv6的流量控制、连接限制。

（五）DDOS防御

1.支持针对ICMP、TCP、UDP、等协议进行DDOS防护；支持预定义和自定义策略模板。

（六）病毒过滤

2.支持对HTTP/SMTP/POP3/FTP/IMAP等协议进行病毒防御；

2.★病毒特征库规模超过1200万。

（七）Web防护

1.支持对100个站点制订web应用防护策略，支持http请求回应的头、体检查；

2.★支持对http的合规性检查，包括版本、方法、url、头域字段、传输文件等的合规性检查；

（八）弱口令检查

1.支持对HTTP、telnet、FTP、SMTP、POP3等各种协议进行弱口令检查，并上报安全事件；

2.支持高、中、低三种密码检查强度；

（九）黑名单

1.可设置基于IP过滤条件，实现对特定报文进行快速过滤，支持100万以上黑名单数量；

2.内置动态黑名单功能，可与URL过滤、病毒过滤功能实现联动封锁；支持静态和动态黑名单命中统计和监控；支持黑名单添加事件和生效时间展示；

（十）带宽管理

1.★支持链路和四层通道嵌套的流量控制功能，可基于上下行区****

2.支持带宽限制、带宽保障和弹性带宽；

（十一）连接控制

1.★支持对指定的源/目的地址对象、源/目的地理对象、应用制定连接限制策略，可控制所有或单IP会话总数及单IP新建连接数。

（十二）用户管控

1.★内置强大的用户身份管理系统，支持本地认证、外部认证及等方式，支持RADIUS、LDAP等第三方外部认证；

2.★支持查看在线用户情况和用户流量，可显示用户流量、会话、新建连接列表及趋势图，支持用户流量排名；

3.★支持本地CA和第三方CA，支持作为CA认证中心为其他人签发证书，也可采用第三方CA为其他人签发证书，支持标准CRL列表，支持CRL手工更新。

（十三）IPSEC VPN

1.支持IPSec VPN功能，支持IKEV1、IKEV2、国密的加密类型，支持AES、DES、3DES、MD5、SHA-1、SM3等VPN加密、认证算法，支持对隧道内网络流量进行监控展示；

2.★无需额外授权，IPSec VPN用户数无限制；

（十四）SSL VPN

1.★支持SSL VPN功能，满足远程用户安全接入内网；

2.★无需额外授权，SSL VPN用户数无限制；

3.SSL vpn支持BBR加速，在高延时、丢包等不良网络条件下，可以提升传输效率3-5倍以上；

（十无）系统管理

1.★支持中文及英文WEB界面，并可一键切换；支持多种语言（不少于2种）web页面

2.支持命令行方式管理，所有功能均可通过命令行实现，支持TELNET、SSH及串口方式进行命令行管理；

3.★命令行支持中文输入；

4.支持设定接口为管理接口，管理接口路由与业务路由隔离；

（十六）升级维护

1.★支持自动创建和手动创建两种方式创建快照，数量不少于16个；自动创建可根据客户的预设置时间，每周或每月自动创建系统快照；

2.可以从设备启动页面，选择任何一个快照进行系统恢复；实现整机完全回退；

（十七）系统诊断

1.★支持在WEB界面进行网络诊断，支持PING、TRACEROUTE、TCP的诊断方式；

2.★支持在WEB界面进行网络抓包，支持设置接口、IP、协议、端口等过滤条件，抓包文件支持导出；

3.★支持模拟一个数据包，查看数据包匹配详情功能。

（十八）监控类型

1.★支持对设备状态、威胁信息、接口流量、连接信息、应用流量、用户流量、网站类型流量、VPN流量、在线用户等对象进行监控展示；

2.★支持主机威胁统计和展示，包括基于地理位置的威胁地图展示、基于威胁级别和威胁类型的统计分析、基于威胁事件源/目的主机的TOP10统计展示、基于具体威胁事件/威胁类型的TOP10统计展示等，统计展示的时间周期包括1小时/1天/7天/30天；

3.支持根据应用对通过设备的数据进行统计，包括应用总流量排名和各个应用的协议名称、总流量、上行流量、下行流量、流速；

4.系统统计详情。针对总流量、CPU、内存利用率，并发连接，新建连接，做72小时精细化曲线统计，曲线支持局部放大。

(十九)风险主机

1.根据攻击事件，进行风险等级评估，智能判定内网的失陷主机和风险主机，并展示在威胁展示页面中。

(二十)日志

1.支持日志合并功能，相同类型的日志支持合并操作，降低日志流量开销；

2.支持日志外发至多个SYSLOG服务器；

3.支持流日志功能，将每一条数据流生命周期的各个业务模块的操作，整合为一条完整的日志进行展示。

二、提供专业入侵防御系统，服务要求如下：

最大网络层吞吐量30G,最大应用层吞吐量12G，最大并发连接数500万，每秒新建HTTP连接数4.5万。提供以下服务功能：

（一）基本要求

1.产品应为国产品牌，具备自主知识产权，所有配置界面、事件描述及手册均为中文。

2.★产品必须为专业性入侵防御设备而非NGAF、NGFW、UTM设备。

3.★系统应内置专业的入侵防御特征库，覆盖勒索、挖矿、webshell、僵尸网络、木马后门、蠕虫、信息泄漏、权限绕过、未授权访问、文件上传、文件读取、文件下载、文件包含、SSRF、XXE、CSRF、反序列化、代码执行、命令执行、XSS攻击、SQL注入、DOS等攻击类型，入侵防御特征数量至少在14000条以上。

（二）安全能力

1.★系统应默认内置不少于11种规则集，至少包括严格检测模板、物联网检测模板、WEB服务器模板、僵木蠕检测模板等，满足不同部署环境下的安全防护需求。

2.规则应支持影响系统、攻击阶段分布、协议分布、动作分布可视化统计展示。

3.★应支持多种规则变更部署模式，至少包括自动防御模式、试运行模式和手动防御模式。

4.规则应支持至少包括规则ID、规则名称、威胁级别、动作、威胁类型、发布时间等条件进行筛选。

5.规则详情应至少包含影响系统、影响服务、影响应用、事件处理流程和判定，并支持攻击阶段、攻击结果、精确度、ATT CK编号及概述措施。

6.★规则应支持双向检测功能，根据双向流量检测攻击，输出检测结果包含正在利用、攻击成功，应支持HTTP请求/响应缓存。

7.系统应支持代理环境部署，支持通过Tcp-Options和X-Forwarded-For提取源。

8.应支持全局规则白名单和指定源目IP对规则白名单，添加方式包括通过告警日志添加、手动添加和批量导入导出。

9.★规则响应动作应支持阻断、重置和通过和返回错误页面，返回错误页面应支持自定义重定向url和自定义页面。

10.规则响应动作应支持标记设备信息，重置报文携带设备信息。

11.★系统应支持SQL注入防护和XSS攻击防护，检测点至少支持URL、Cookie、Reference、Form、User-Agent、X-Forwarded-For，内置AI检测模型，利用机器学习技术对SQL注入报文进行分析，检测和识别SQL注入行为。

12.★系统需具有多种防web扫描能力，防止攻击者通过扫描发现Web网站中的缺陷从而发起精确攻击，至少包括如下能力：防爬虫、防止CGI和漏洞扫描等，并支持阻断扫描行为和并记录日志，系统支持设置至少4个级别的扫描容忍度/扫描敏感度，方便安全管理者采用不同安全级别的行为控制。

13.系统应支持黑白名单，至少包括IP、域名、URL等四种类型，应支持黑白名单全局检索，输入条件可直接查询黑白名单记录。

14.★系统应支持敏感信息防护，包含财务数据、机密文档、技术文档、简历、收购与并购、身份证号码、手机号码、银行卡/信用卡。

15.★系统应支持WEB过滤，对web内容，传输文件名称、传输文件内容过滤，应支持邮件过滤，对邮件标题、邮件正文、附件名称、附件内容过滤，阻断并支持邮件提醒。

（三）网络部署

1.系统应支持HA，包括主主模式和主备模式。

2.系统应支持源地址转换、目的地址转换、静态地址转换。

3.系统应支持网线模式部署和透明多口桥部署。

4.系统应支持端口聚合包括手动端口聚合模式和LACP聚合模式。

5.系统应内置硬件BYPASS，支持手动切换，并支持过载保护功能，通过CPU和内存阈值实现过载保护的开启，提供不同的阈值计算方式（最高值/平均值、时间区间等），切换应支持二层回退和三层回退。

6.系统应支持静态路由、策略路由、ISP路由。

7.★系统具备丰富的网络适应性，支持部署在IPV6，VLAN，QINQ，MPLS，GRE，VXLAN，PPPOE等常见协议封装的环境中，可检测和拦截攻击行为。

（四）安全运维

1.系统应内置智能分析能力，具备阻断的活动专项分析和综合威胁告警分析，其中阻断的活动应包括阻断的威胁、阻断的文件和阻断的IP专项分析。

2.★支持策略调优，分析日志自动关联配置可一键修订规则动作和模板响应方式，具备详细的策略调优记录包含操作时间、操作模块、操作对象、动作、调优结果等。

3.支持告警标识，包含确认攻击、误报、忽略操作，具备详细的标识记录包含标识时间、状态等。

4.支持告警处置，包含一键加白和临时封禁，并具备详细的处置记录包含处置时间、处置方式、处置动作等。

5.系统应支持攻击日志展示自动聚合，聚合条件包含源、目的IP+威胁名称、目的IP+威胁名称、威胁名称，系统应支持攻击源目地址归属地显示，日志信息应包含威胁级别、攻击阶段、攻击结果、标识状态、处置状态展示，应支持存储攻击日志网络负载，其中WEB攻击应支持存储HTTP头。

（五）日志报表

1.系统应支持生产报表，分析维度应支持系统健康,安全告警,业务系统风险,终端风险,处置响应维度等，并支持个性化，包含自定义单位名称、汇报部门,联系人,联系电话,邮箱地址,logo等，支持定期生产日报表、周报表、月报表。

2.系统应支持日志外发包括Syslog和Kafka协议，支持不少于5个日志服务器。

3.系统应内置不少于5种日志外发模板，至少兼容能源行业和全国信息安全标准化技术委员会发布的网络安全产品互联互通告警信息格式，应支持自定义日志发送格式，包括自定义分隔符、连字符，字段名称等。

4.系统应具备日志分类概览能力，通过分类概览引导日志检索，提升日志搜索的针对性和效率。

（六）设备运维

1.设备监控指标至少包含CPU利用率,内存利用率,硬盘利用率,CPU温度,主机温度,系统连接数,授权有效性,HA主备切换,磁盘利用率,电源温度,日志存储量,风扇转速,接口等。设备监控告警条件应支持持续时间、阈值配置、告警频率，告警方式支持邮件告警和推送到本地消息中心。

2.★系统应支持设备巡检，包括硬件巡检,运行状态巡检,安全配置巡检,升级版本巡检,网络巡检,日志巡检等，巡检报告支持邮件与飞书群通知。

3.系统应具备完善的Restful API接口。

（七）系统管理

1.系统应支持三权分立，不少于五种认证方式，至少包括密码、双因子认证、超级SIM认证等。

2.系统应支持用户密码过期配置，同时在线用户数限制，唯一性检测，防暴力破解等安全访问配置。

3.系统应支持安全状态展示不少于20种维度，至少包括攻击类型和阶段分布展示、攻击者区****

4.系统应支持系统运行情况监控不少于10种维度，至少包括BYPASS状态、CPU内存使用率、硬件状态、关键服务状态、授权状态、接口信息、设备流量趋势、最近登录信息、公告板等。

2

安全运维服务

系统漏洞扫描服务、安全策略优化服务每年2次；安全日志分析服务、主机基线加固服务、安全事件应急演练每年1次；安全事件应急服务按需。

1、系统漏洞扫描服务：针对办公终端、服务器、网络设备、安全设备等全部内网IT资产进行全网自动化漏洞扫描，检测当前对象的操作系统漏洞、数据库漏洞、中间件漏洞、应用系统漏洞、弱口令等方面的风险现状，找出高危风险问题，出具漏洞风险扫描报告，并结合现有防火墙、IPS等网络安全设备进行的策略调优。

2、主机基线核查加固服务：对全网主机资产操作系统的安全配置进行全面的符合性检查，针对高风险主机制定主机加固基线方案，覆盖以下关键维度：

1)身份鉴别与账号策略，核查密码复杂度、账户锁定、默认账户及特权管理等，筑牢筑牢访问控制的基石；

2)系统服务与进程管理，识别并关闭非必要的服务与可疑进程，遵循最小化原则以减少攻击面；

3)网络与端口安全，检测高风险端口的开放状态并验证主机防火墙策略的有效性，严格控制网络暴露范围；

4)恶意代码防范，确认防病毒软件的安装、运行状态及病毒库时效性，确保终端防护有效。

5)日志审计与安全策略，确保关键安全事件的可追溯性及相关本地策略的完备性。

3、安全日志分析服务：针对网络安全设备，如防毒墙、入侵防御和终端安全管理系统威胁日志收集并关联分析，排查/溯源网络攻击行为；针对业务服务器分析操作系统登录日志、安全日志和进程服务等，检查非法入侵痕迹。

4、安全事件应急演练：根据协商的应急演练主题，制订应急演练方案并协助南宁文旅局根据方案内容组织开展演练工作，演练结束后输出总结报告。

5、安全事件应急服务：在发生网络安全事件时，通过远程或者现场的方式配南宁文旅局进行问题排查和攻击溯源。

6、安全策略优化服务：结合业务情况，针对现网部署的网络防火墙、入侵防御系统、北信源安全管理系统等网络安全产品更新及优化安全策略，重点完善以下安全策略:

1)根据业务数据流，持续优化并动态调整防火墙数据流量业务流规则，根据五元组进行策略收缩优化，减少高危端口暴露及非授权访问。

2)动态调整防火墙防病毒策略和入侵防御系统规则及特征，减少误报、漏报。

3)开启北信源安全管理系统终端管理策略，通过终端安全策略，限制主机高风险端口通信、限制主机口令复杂度、下发系统更新补丁（上述配置需北信源安全管理系统功能支持）。

对现有景区监控服务器访问流量未经过安全防护设备，经过可行性论证后，基于现有安全设备进行相应可行的防护加固。

商务条款

一、合同签订期：自中标公告发出之日起 十五个工作日内

二、服务时间：2026年服务年度

三、提交服务成果地点：广西南宁市（采购人指定地点）

四、服务要求：

1、故障响应时间：维护期内，若出现网络安全问题，中标人须30分钟内做出响应，1小时内赶到现场，4小时内解决问题。

2、实时提供网络安全服务，每月定期以书面汇报服务情况。

五、其他要求：

★1、报价必须含以下部分，包括：

（1）服务的价格；

（2）必要的保险费用和各项税金；

（3）培训、技术支持等费用。

（4）自服务项目验收合格之日起1年的服务项目运行维护费用。

2、付款方式：本项目无预付款，供应商所提交的服务经采购人书面验收合格后，一次性支付合同款。