中国电信安全公司2026年安全大脑网关设备采购项目(标包3:防护型国际版)资格预审公告-谛听招标网

信息编号
所属行业
其他类型服务
招标预算
项目地址
澳门
业主单位
招标代理
-
采购对象
暂无提取到关键词，可在公告正文中查找~

()

资格预审公告

条件

已批准，为，建设资金来自，项目已具备******资格预审，特邀请有意向的潜在（以下简称申请人）提出资格预审申请。

*.*资格预审编号：

*.*项目概况：

*.*交货时间、交货地点：。

*.*项目性质：货物，资格预审。

*.*项目规模：

序号	产品名称	规格型号	数量
*	防护型国际版CTSGW-F***GL	详见关键技术指标	***
*	防护型国际版CTSGW-F***GL	详见关键技术指标	***
*	防护型国际版CTSGW-F****GL	详见关键技术指标	**

注：上述采购数量为预估量。

*.*技术要求/产品规格：详见上述*.*条。

*.*标包划分情况（如有）：

*.*申请人基本资格要求

*.*.* 申请人应为法律上和财务上独立的法人或依法登记注册的其他组织，合法运作并独立于和。法人下属不具备法人资格的分支机构参与资格预审申请的，应提供所属法人针对本项目或覆盖本项目的经营事项的有效授权。

*.*.*申请人的法定代表人或负责人为同*人或者存在控股、管理关系的不同申请人，不得参加同*标包或者未划分标包的同*项目。

}} *.*.* 本次资格预审联合体资格预审申请。。}}

*.*.* 本次资格预审
产品制造商注册地在中华人民共和国境外（与中华人民共和国有正常贸易与往来的国家或地区）及香港、澳门、台湾地区且必须使用代理商和签订销售合同的；（*）产品制造商为注册地在中华人民共和国境内的外资企业（包括香港、澳门、台湾地区资本）或者由外国投资者（包括香港、澳门、台湾地区）享有绝对控制权（最大或最多表决权）的企业且必须使用代理商和签订销售合同的。代理商申请资格预审的，应满足下列要求：}
产品制造商的代理合作关系迄今为止应已持续年（含）以上。

*.*申请人不得存在下列情形之*

（*）为不具有独立法人资格的附属机构（单位）；

（*）被依法暂停或取消资格的；

（*）被责令停产停业、暂扣或者吊销许可证、暂扣或者吊销执照；

（*）进入清算程序，或被宣告破产，或其他丧失履约能力的情形；

（*）在最近*年内（自************门或司法机关认定有骗取中标、严重违约、重大工程质量或者安全问题的；

（*）在最近*年内（自************为与采购活动相关的（以“中国裁判文书网”的生效判决为准）；

（*）在最近*年内（自******合同诈骗罪的（以“中国裁判文书网”的生效判决为准）；

（*******在“信用中国”网站（******）或各级信用信息共享平******************的除外；

（*）为本项目提供过设计、编制技术规范和其他文件的咨询服务；

（**）为本工程项目的相关监理人，或者与本工程项目的相关监理人存在隶属关系或者其他利害关系；

（**）为本项目的代建人；

（**）为本项目的；

（**）与本项目的监理人或代建人或同为*个法定代表人；

（**）与本项目的监理人或代建人或存在控股或参股关系；

******政管理机关在国家企业信用信息公示系统中列入严重违法失信企业名单；

（**）中国电信在职员工违规担任供应商法定代表人并参与采购活动的；

（************/******中层及以上管理人员违反有关领导人员配偶、子女及******为管理规定，其配偶、子女及其配偶经商办企业参与采购活动的；

（**）中国电信领导人员离职或退休后*年内违反《国有企业领导人员廉洁从业若干规定》等相关规定任职、投资入股的私营企业、外资企业和中介机构，参与其原任职单位采购活动的；

；}及其************理措施的；
（**）法律法规、资格预审文件限定的其他情形。

的，联合体成员均不得存在上述任*情形。} *.*产品资格要求

*.*.*产品应是来自中华人民共和国的成熟稳定的产品。
产品。}}

序号	功能类别	关键功能项	具体要求	是否测试
*	网络与连接功能要求	******署模式要求	防护型国际版终端应支持路由工作模式。在此模式下的接口工作在层状态，不同接口设置不同的IP地址****域。采用路由方式转发网络流量，并支持静态路由、动态路由、策略路由等功能。防护终端应支持透明工作模式。在此模式下，接口工作在层状态，并支持透明转发网络流量。防护型国际版终端应支持旁路模式。在此模式下****统计、扫描或者记**转发。同时，网络流量也不会受到终端本身故障的影响。对于防**分功能，例如IPS、AV****为控制等功能在旁路模式下也可以工作。因此旁路模式可以满足对网络流量仅有审计或者威胁防御需求的使用场景。	否
*		路由功能要求	防护型国际版终端应支持静态路由功能。静态路由是手工定义的路由条目，根据目的地址******作目的路由。对外连接较少或者内网连接相对比较稳定的网络通常使用静态路由。管理员可以根据需要确定是否添加默认路由条目。	否
*		NAT要求	·静态网络地址****NAT) 静态********IP地址** ·动态网络地址** NAT) 动态NAT**IP地**************IP地址***话发起时开始，在随后的会话过程中保持，并在最后个会话结束后取消。 ·网络地址**** PAT将多个源地址**IP地址****个端口。	是
*		IPv*要求	、IPv网络环境）在IPv组网环境，以及IPv与IPv混合组网环境下正常工作，能有效提供防护型国际版终端基础功能及安全功能，并保障自身的安全性。、IPv与IPv混合网络环境）IPv/IPv双协议栈功能：设备在同网络中同时支持IPv 和IPv协议。设备通过维护IPv和IPv两套路由协议栈使设备既能与IPv主机，也能与IPv主机通信，分别支持独立的IPv和IPv路由协议。）IPv/IPv的协议转换功能：支持NAT和***IPv与IPv之间的网络地址****Pv网络与IPv网络的双向互访。防护型国际版终端应支持IPv的状态检测功能，支持基于******状态检测。	是
*		系统语言要求	防护型国际版终端系统版本应至于支持中文（简体）与英文双语言界面，满足本地化运维与国际化管理的切换需求，且切换后全功能界面（含登录页、菜单、配置页、告警、日志）均正常显示，无乱码或功能缺失。	否
*	安全功能要求	安全策略要求	防护型国际版终端应支持安全策略功能。安全策略是网络安全设备的基本功能，控制安全域间/不同地址**** 防护型国际版终端应支持在安全策略中，支持开启和关闭IPS、AV、Botnet C&C、URL过滤等威胁防护功能及文件过滤、文件内容过滤、****为控制等数据安全功能。安全策略的匹配规则元素应至少包含源和目的安全域、源和目的IP、服务、应用等。安全策略的动作包括允许、拒绝、记录日志	是
*		应用识别要求	支持对** 种以上应用的识别和控制，动作包括允许、阻止、仅限记录和攻击者隔离。支持应用特征自定义。支持阻止在非默认端口上检测到的应用程序。支持自定义应用分类（基于****************筛选）。	否
*		入侵防御要求	防护型国际版终端应支持入侵防御IPS功能，对网****深层检查，通过制定规则和下发相应的策略，对非法的、***为的报文能实时的告警和拦截。支持HTTP特征库规则，支持对Web服务器的安全防护。 * 支持对HTTP的方法（GET、POST、PUT、HEAD等）做限制策略。 * 支持SQL注入、XSS防护，支持HTTP报头的长度、cookie的个数等参数限制策略。 * 支持僵尸网络检测，僵尸网络库包括IP库和域名库。 * IPS特征库：支持基于ips特征签名的攻击检测和防御。支持自定义入侵防御特征。支持网络实时更新IPS特征库。 IPS入侵检测策略：应用**选择，包括基于严重性、目标、操作系统、应用程序和/或协议。支持针对于特**免除。支持拦截、仅记录日志。支持屏蔽攻击者，至少支持阻断攻击者IP和临时隔离两种，隔离时间可配置。支持重置，向攻击者发TCP Reset包。支持僵尸网***阻断或监控。防护型国际版终端 IPS日志应包含但不限于:网络元组、源目 Mac、源目安全域、payload或 pcap包等取证信息、规则名称、威胁分类等，且需携带payload或 pcap 包等取证信息	是
*		病毒过滤要求	防护型国际版终端应支持防病毒功能，提供高速、高性能以及低延迟的病毒过滤解决方案。配置系统的病毒过滤功能后，终端能够探测各种病毒威胁，例如蠕虫、木马、恶意软件、恶意网站等，并且根据配***********理。防护型国际版终端应记录防病毒日志，包含但不限于：网络元组、源目Mac、源目安全域、病毒文件名称、病毒家族、文件哈希值及哈希算法类型等。	是
**		黑白名单	IP黑名单，拦截方向包括对源IP、目的IP、源和目的IP；拦截时间支持“永久拦截”、“自定义时间”。 IP 黑名单管理支持新建、删除和解封；新建支持手工建立，以及通过云端平台批量下发等方式。	是
**		威胁情报检测要求	、IP类IOC情报：）支持IP+端口匹配；）支持IP全端口匹配；）支持IPv和IPv双栈协议匹配；、域名类IOC情报：）支持精准域名匹配；）支持通配符域名匹配： ü针对多级子域名匹配，应支持匹配至于级子域名，不匹配主域名，如.ctct.com，需匹配test.ctct.com，test.test.ctct.com，......，test.test.test.test.test.ctct.com等，不匹配主域名ctct.com ü通配符仅允许置于域名最左侧，且全局仅能存在个通配符，禁止中间或多通配符（如a.ctct.com、..ctct.com均无效） ü严禁使用顶级域 / 根域级通配（如.com、.cn），避免过度拦截合法域名、情报检测要求：）IP情报需要支持双向流量识别及阻断能力；）域名情报需要支持DNS解析阶段、应用访问阶段的识别及阻断能力；）情报动作需要支持记录日志、阻断等；、自定义情报：审计型终端应支持自定义威胁情报的功能，包括自定义IP和域名情报：）IP：自定义IP情报应支持IP及IP+端口配置功能；）域名：域名情报应支持明细域名、通配符域名及域名+端口；）自定义情报配置应支持IOC值、威胁类别（本地+自定义****动作，设备侧展示以上字段信息、情报配置时间、情报来源；、例外情报：支持情报维度（IP、域名），例外情报功能需精准定义匹配条件与适用范围，优先级为情报匹配最高优先级；、匹配逻辑：整体匹配顺序遵循 “先排除再匹配、精度优先***例外排除规则（优先筛除无需匹配的情报），再依次触发匹配类规则（含自定义匹配规则、本地情报库规则）；***优先级为：IP 匹配>域名精细匹配>域名通配符匹配>URL匹配，确保高精准度规则优先命中，避免模糊匹配干扰；、情报日志：包含但不限于：网络元组、源目Mac、源目安全域、情报命中标签、命中的ip或域名、动作、IP账号等；、情报升级：支持在线更新，定期从云端同步最新威胁情报特征库，默认支持按天更新，应急事件更新需求应实现小时级响应。、云端对接：自定义情报应支持与中国电信安全大脑平台对接，接收来自云端的自定义情报，检测优先级应为高优先级。、情报规格：防护型国际版终端威胁情报库规格：标准版（*M）和高级版（M）的规格不低于，专业版（M）以上档次不低于 * *。	是
**		SSL/TLS加密流量检测	支持SSL代理功能，和客户端、服务器分别建立连接实现加密流量解密方式，对SSL加密的****IPS检测、URL过滤、病毒过滤和威胁情报检测。支持通过S**加解***理性能。支持TLS .、TLS .等主流协议。支持SSL证书检测和深度检测，支持证书卸载。支持基于 MITM 的解密检测。支持URL的SSL证书黑名单。支持按站点信誉数据库、Web 类别和策略地****。支持使用 HTTP/ 协议检测流量并能够阻止QUIC流量，以便浏览器自动回退到 HTTP/* + TLS .。	否
**		境外地址******	防护型国际版终端软件设备的地域簿对象应支持境内、境外IP地址****地址**/地区，支持针对境外或特定区域的IP地址**自动更新。 ?地域对象：应支持按国家、地市等地区名称分类 ?动态更新：应支持每天自动同步更新，更新过程中** 策略联动：支持安全策略应用地域地址****、地市等地区的访问控制	是
**	管理功能要求	管理方式要求	防护型国际版终端应支持Web、CLI、SSH、API或独立控制台软件管理。防护型国际版终端应支持SSH反向代理功能。	否
**		日志管理要求	登录类日****的登录、退出操作，每条日志字段应包括：账号、登录IP、登录方式、登录时间等信息；操作类日**的各种操作，包括：策略配置、系统参数配置、启用或关闭旗舰版终端等，每条日志字段应包括：账号、登录IP、操作方式、操作记录、操作时间等信息； **类日志：设备异常状态告警（如CPU、内存阈值告警***状态（如设备重启，设备断电、设备宕机等）、设备升级历史（如版本、特征库升级）等，每条日志字段应包括：日志类型、时间戳、事项描述等信息；安全事件类日志：安全事件字段应包括事件类型、事件名称、风险级别、动作、攻击手段、服务类型、协议摘要、网络接口、源IP、源端口、目的IP、目的端口、源mac、目的mac、事件次数等参数；原始日志：IPS、AV、威胁情报等原始日志格式详见.章节；防护型国际版终端应支持以上各类日志上报到云端；其中登****类日志在终端本地保存的时长不少于年。	否
**		版本文件及特征库管理要求	为了使用新功能或者解决软件BUG，防护型国际版终端应支持能够升级版本文件。升级方式应包括但不限于本地升级、远程升级。防护型国际版终端的版本文件******商随其最新稳定版本及时提供。	否
**		license授权要求	防*****应内置年以上license授权。防护型国际版终端应支持通******自动授权的能力。	否
**		自身安全要求	防护型国际版终端应支持配置限定用户登录的IP地址**** 防护型国际版终端应支持SSH、HTT**远程访问。防护型国际版终端应支**加密保存，应支持管理员首次登录修改密码功能，应支持管理员登录的短信、证书等双因素认证功能。防护型国际版终端应支持用户口令复杂度设置及检查，拒绝设置不符合复杂度要求的口令。防护型国际版终端应支持最大登录失败重试次数设置，登录失***理方法有：锁定账号/IP、自动退出等，支持终端自动解锁和人工解锁。防护型国际版终端应支持管理员登录超时timeout时间设置，用户登录空闲时间超过配置时间后自动断开连接，并需要再次登录才能进入终端。防护型国际版终端软件需满足以下安全性要求： )病毒扫描软件包及所有组成文件中不得包含任何形式的病毒、木马或恶意代码。 )漏洞扫描经漏洞扫描工具检测后，不得存在中危及以上的安全漏洞。 )渗透测试经渗透测试后，不得存在可被利用的常见安全漏洞（包括但不限于身份认证与权限控制缺陷、注入类漏洞、跨站攻击、文件上传风险、敏感信息泄露、逻辑漏洞及后门等），所有典型攻击路径应能被有效拦截或拒绝。防护型****时需确保无可利用**周期内若出现风险，需按照中电信安全〔〕号文要求在规定时限内完成固件更新或安全补丁等有效修复方案，最多不超过 ** 小时。	否
**		北向接口协议要求	防护型国际版终端应支持通过标准、安全可靠的协议或通信方式接入云管系统，以实现远程管理、监控与配置下发等云管功能。终端设备至少应支持MQTT、Restful API、NETCONF、WSS等多种协议之，基于安全大脑场景中长连***和实时消息推送的需求，优先推荐采****接入。	否
**		业务开通及平台接入能力要求	需满足中国电信天翼安全大脑平台接入要求	否
**	轻量化上线要求	******署	****配置 *********配置。预配置包含安全策略、网络接口、安全防护、日志管理、设备管理和基础云平台纳管配置等，详见附录B具*****最新要求为准。、开局配置向导支持图形化的开局配置上线向导功能。默认首次登录时，自动弹出开局向导界面，并顺序点击完成层/层上线纳管配置。向导中应包含纳管配置界面并支持显示纳管状态和许可/版本校验回显信息。、纳管后通过大脑平台下发预配置文件、USB自动安装支持通过USB的方式，自动加载开局配置。	否
**	高可靠性要求	存储可靠性要求	防护型国际版终端应提供合理可靠的存储模块（如flash卡、miniSD卡或硬件），满足CTSGW-***章节中关于系统日志的要求，即登***类日志在终端本地保存的时长不少于年。防护型国际版终端应提供合理可靠的存储模块（flash卡或硬件），满足配置文件、系统镜像文件、特征库升级等关键使用场景下的可用性，完整性。	否
**	终端纳管要求	安全大脑平台纳管要求	******家终端设备支持配置电信分发的逻辑id，安全网关上线时，携带逻辑id和终端sn向大脑平台注册，安全大脑平台根据客户订单信息完成终端逻辑id和终端sn的校验和纳管绑定。	是
**	配置可用性检查	配置可用性检查要求	针对“已************商提供各检查项的原子能力接口，将检查结果上报至安全大脑平台。网关可用性检查项，至少包括：物理接口状态、接口方向判断、业务转发接口流量、安全策略配置检查、安全策略有效性、日志发送配置、设备系统时间等。	否
**	网关信息采集与更新	网关状态信息采集	******商网关及平台需要实时向安全大脑平台上报网关状态信息，包括但不限于： ?终端在线状态，如在线、离线、注册中等	是
**	网关信息采集与更新	网关信息采集监控	、license信息（包含终端系统本身、各类特征库）、系统软件版本（当前版本及更新时间）、各类特征库版本信息（版本及更新时间）、终端配置：上报日志配置、终端型号、硬件版本、公网IP 、设备标识、CTEI、MAC	是
**	网关下线解绑	终端下线解绑	****家终端设备需要与安全大脑平台对接，支持由于客户退租、换机、其他等场景****理，保障终端能够按预期下线与回收。	是
**	防护流量数据采集	安全日志上报	****家终端设备需要与安全大脑平台对接，将网关的安全日志，通过rsyslog+RELP或kafka或https等加密传输的方式上报到安全大脑平台，日志应能区分日志种类并上报必要的日志字段，日志种类至少满足CTSGW-**要求，包括：、IPS日志：满足CTSGW-***** 、AV日志：满足CTSGW-**** 、威胁情报检测日志：满足CTSGW-****	是
**	防护流量数据采集	系统日志上报	****家终端设备需要与安全大脑平台对接，将网关的系统日志，通过rsyslog+RELP或kafka或https等加密传输的方式上报到安全大脑平台，至少满足CTSGW-**要求，包括：、登录类日志、操作类日志 *****类日志	是
**	安全网关管控	反向管理	******家终端设备需要与安全大脑平台对接，满足电信的集成设计，支持通过安全大脑平台反向管理安全路由设备；支持基于HTTPS或SSH的反向管理功能；支持基于免密和自定义密码反向登录到终端。	是
**		黑名单下发	****家终端设备需要与安全大脑平台**置，满足CTSGW-*要求，至少包括：支持对终端创建、删除、查询黑名单，接口满足RESTFU****理命令。	是
**		自定义威胁情报下发	****家终端设备需要与安全大脑平台对接，支***置，至少包括：、支持下发IP、域名、URL自定义情报，至少包括IOC值、威胁类****动作。威胁类别以云端下发为先（优先匹配云端下发情报），设备支持展示查询云端下发的自定义情报且包括以上字段、平台下发时间、情报来源（云端大脑下发），满足CTSGW-**自定义情报要求、支持下发例外情报，包括IP、域名、URL的IOC值，满足CTSGW-*****要求	否
**		配置文件管理	******家终端设备需要与安全大脑平台对接，支持安全大脑平台做云端的配置文件备份和还原功能。	是
**		网关配置下发	、安全策略配置、ipsec vpn配置、设备账号密码配置、其他配置，承诺按中国电信天翼安全大脑版本迭代要求持续开放对接	是
**	升级管理	大脑平台统*升级管理	****家终端设备支持****网关软件版本、补丁文件，特征库，威胁情报等在线升级能力要求。	否
**	升级管理	大脑平台统*授权管理	****商需在规定时间内通过在线或离线文件的方式向安全大脑平台批量提供终端设备的许可证文件，以满足设备首次上线使用、到期自动授权等要求； **家终端设备需支持****终端许可在线授权的能力要求。	否

规格要求:

要求	防护型国际版场景规格
场景类型	防护型国际版-***M场景	防护型国际版-***M场景	防护型国际版-****M场景
终端型号	CTSGW-F***GL	CTSGW-F***GL	CTSGW-F****GL
cup/内存/存储	核/GB/-	核/GB/**G	核/GB/***G
适用电信接入带宽（单向）	***M以内	***M以内	****M以内
适用电信接入带宽（单向）	***M以内	***M以内	****M以内
GE千兆电口	x GE RJ*	x GE RJ	x GE RJ*
*兆光口	-	-	x *GE
管理口数量	*	*	*
ips规则库数量（条）	*****	*****	*****
黑名单规格（条）	****	****	****
本地威胁情报规格（条）	***	***	****
ips检测率	**%	**%	**%
情报检测率	**%	**%	**%
混合流量应用吞吐（Mbps）	*** Mbps	.Gbps	. Gbps
TCP新建连接数（条/秒）	,*	,*	*,*
TCP最大并发连接数（条）	*,*	,,*	,,*
IPSEC VPN性能吞吐（Mbps）	*** Mbps	.Gbps	. Gbps
IPSec VPN隧道数（条）	***	***	***
远程办公用户数	***	***	****
SSL卸载吞吐	***Mbps	***Mbps	.Gbps

注：投标人须附相关合同关键页（须包括合同标的内容、签约时间、合同金额、合同签章页，如果提供的是框架合同，需提供对应框架合同结算的发票或订单或结算单据，框架协议及其项下同*项目所有订单的累计金额均视为同*个合同计取)的扫描件或者其他相关证明材料，业绩时间以合同或框架订单签订时间为准，业绩金额按合同或框架下订单金额计取，证明材料不全无法确定为相关业绩的，不予认可。合同原件备查，如评审时需要核查，接到正式通知后，在规定时间内送达评审现场，否则业绩不予认可。

注：须提供安全认证合格证书扫描件或者安全检测报告扫描件，相关机构目录详见国家认证认可监督管理委员会（******）发布的《关于发布承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录的公告》；或提供有效的证书扫描件。
}
}}}}

*．资格预审方法

名通过资格审查，资格审查标准和内容详见资格预审文件。} *.*通过资格审查的申请人均可参加本次资格预审范围内本项目的。

*.*

*．资格预审文件的获取

*.*资格预审文件获取时间:至（北京时间，下同）。

*.*资格预审文件获取方式：凡有意参与的潜在，请******操作，获取资格预审文件：

*.*.*登录“中国电信阳光采购网（https://******）” 后，通过“招投标-采购文件领取”模块或通过“电子采购入口”跳转中国电信电子采购系******资格预审文件登记申领。未在系统注册的潜在******注册，注册方法详见本公告“*申请人注册”。

*.*资格预审文件费用：元人民币，售后不退。支付要求：。}

*．资格预审申请文件的递交

*.*资格预审申请文件递交截止时间：。

*.*电子资格预审申请文件的递交：登录中国电信阳光采购网（https://******）后，通过“招投标-我的项目”模块或通过“电子采购入口”跳转中国电信电子采购系******资格预审申请文件递交，申请人应在资格预审申请文件递交截止时间之前通过电子采购系统完成加密电子资格预审申请文件的上传。申请人未******资格预审文件申领登记或电子资格预审申请文件未按照要求加密的，将无法通过电子采购系统提交电子资格预审申请文件。

*．申请人注册

*.*中国电信阳光采购网注册

未注册过的潜在，须通过中国电信阳光采购网（https://******）首页“立即注册”模块完成注册后，方可申领本项目资格预审文件。

*.* CA证书办理

参与电子采购的潜在须提******电子资格预审申请文件编制和资格预审申请，并确保CA证书在使用时有效。CA证书办理流程详见中国电信阳光采购网“操作指引-CA办理”。

*.*技术支撑联系方式

服务热线：**********

服务邮箱：zb_su***************telecom.cn（电子采购系统技术支撑）

***************telecom.cn（CA证书办理技术支撑）

本次资格预审公告同时且仅在中国电信阳光采购网（https://******）、上发布，其他媒体转载无效。

*.*联系方式

:		:
地址：		地址：
邮编：		邮编：
联系人：		联系人：
电话：		电话：
电子邮件：		电子邮件：
网址：		网址：
******：	/	******：
账号：	/	账号：