中国电信安全公司2026年安全大脑网关设备采购项目(标包5:审计型虚拟版)资格预审公告-谛听招标网

信息编号
所属行业
其他类型服务
招标预算
项目地址
澳门
业主单位
招标代理
-
采购对象
暂无提取到关键词，可在公告正文中查找~

()

资格预审公告

条件

已批准，为，建设资金来自，项目已具备******资格预审，特邀请有意向的潜在（以下简称申请人）提出资格预审申请。

*.*资格预审编号：

*.*项目概况：

*.*交货时间、交货地点：。

*.*项目性质：货物，资格预审。

*.*项目规模：

序号	产品名称	规格型号	数量
*	虚拟审计型CTSGW-VF****	详见关键技术指标	****
*	虚拟审计型CTSGW-VF****	详见关键技术指标	***

注：上述采购数量为预估量。

*.*技术要求/产品规格：详见上述*.*条。

*.*标包划分情况（如有）：

*.*申请人基本资格要求

*.*.* 申请人应为法律上和财务上独立的法人或依法登记注册的其他组织，合法运作并独立于和。法人下属不具备法人资格的分支机构参与资格预审申请的，应提供所属法人针对本项目或覆盖本项目的经营事项的有效授权。

*.*.*申请人的法定代表人或负责人为同*人或者存在控股、管理关系的不同申请人，不得参加同*标包或者未划分标包的同*项目。

}} *.*.* 本次资格预审联合体资格预审申请。。}}

*.*.* 本次资格预审
产品制造商注册地在中华人民共和国境外（与中华人民共和国有正常贸易与往来的国家或地区）及香港、澳门、台湾地区且必须使用代理商和签订销售合同的；（*）产品制造商为注册地在中华人民共和国境内的外资企业（包括香港、澳门、台湾地区资本）或者由外国投资者（包括香港、澳门、台湾地区）享有绝对控制权（最大或最多表决权）的企业且必须使用代理商和签订销售合同的。代理商申请资格预审的，应满足下列要求：}
产品制造商的代理合作关系迄今为止应已持续年（含）以上。}}}}} *.*申请人不得存在下列情形之*

（*）为不具有独立法人资格的附属机构（单位）；

（*）被依法暂停或取消资格的；

（*）被责令停产停业、暂扣或者吊销许可证、暂扣或者吊销执照；

（*）进入清算程序，或被宣告破产，或其他丧失履约能力的情形；

（*）在最近*年内（自************门或司法机关认定有骗取中标、严重违约、重大工程质量或者安全问题的；

（*）在最近*年内（自************为与采购活动相关的（以“中国裁判文书网”的生效判决为准）；

（*）在最近*年内（自******合同诈骗罪的（以“中国裁判文书网”的生效判决为准）；

（*******在“信用中国”网站（******）或各级信用信息共享平******************的除外；

（*）为本项目提供过设计、编制技术规范和其他文件的咨询服务；

（**）为本工程项目的相关监理人，或者与本工程项目的相关监理人存在隶属关系或者其他利害关系；

（**）为本项目的代建人；

（**）为本项目的；

（**）与本项目的监理人或代建人或同为*个法定代表人；

（**）与本项目的监理人或代建人或存在控股或参股关系；

******政管理机关在国家企业信用信息公示系统中列入严重违法失信企业名单；

（**）中国电信在职员工违规担任供应商法定代表人并参与采购活动的；

（************/******中层及以上管理人员违反有关领导人员配偶、子女及******为管理规定，其配偶、子女及其配偶经商办企业参与采购活动的；

（**）中国电信领导人员离职或退休后*年内违反《国有企业领导人员廉洁从业若干规定》等相关规定任职、投资入股的私营企业、外资企业和中介机构，参与其原任职单位采购活动的；

；}及其************理措施的；
（**）法律法规、资格预审文件限定的其他情形。

的，联合体成员均不得存在上述任*情形。} *.*产品资格要求

*.*.*产品应是来自中华人民共和国的成熟稳定的产品。
产品。}}}

序号	功能类别	关键功能项	具体要求	是否测试
*	网络功能要求	网络模式要求	* 路由模式审计型虚拟版终端应支持路由工作模式。在此模式下的接口工作在层状态，不同接口设置不同的IP地址****网络流量。透明模式审计型虚拟版终端应支持透明工作模式。在此模式下，接口工作在层状态，并支持透明转发网络流量。旁路模式审计型虚拟版终端应支持旁路工作模式。在此模式下**********为分析、统计和日志记****转发。	否
*		基础对象要求	基础对象要求 * 网络接口审计型虚拟版终端除了具备物理接口外，还应支持层逻辑接口。 IP地址**** 为方便在各类安全功能中引用IP地址**型虚拟版终端应支持IP地址***个IP地址**配置时只需引用该名称，即IP地址**审计型虚拟版终端中用来储存IP地址***系的数据库。域名地址**** 为方便在各类安全功能中引用域名地址**型虚拟版终端应支持域名地址***定义给多个域名指定个名称，在配置时只需引用该名称，即域名地址****审计型虚拟版终端中用来储存域名地址***系的数据库。服务簿审计型虚拟版终端应支持服务簿功能。服务（Service）是具有协议标准的对象类型。服务具有定的特征，例如相应的协议、端口号等。为方便在各类安全功能中引用服务，实现灵活配置，管理员可以给个或多个服务指定个名称，在配置时只需引用该名称，即为服务簿。服务簿就是审计型虚拟版终端中用来储存个或多个服务与其名称的对应关系的数据库。审计型虚拟版终端可提供预定义服务，管理员可以根据网络配置需求创建自定义服务簿。 * 应用簿审计型虚拟版终端应支持应用簿功能。应用（Application）是审计型虚拟版终端中多个功能模块配置的重要组成元素。对网络流量中应用的识别与控制是审计型虚拟版终端的基础能力之。审计型虚拟版终端应内置支持常用应用的特征库形成预定义应用簿，支持应用特征库独立升级。管理员也可以根据网络配置需求创建自定义应用或者应用组。监测对象审计型虚拟版终端应支持监测对象功能。监测对象功能能够监测指定的目标（IP地址******者接口的链路是否连通，以及监测目标或接口链路是否出现拥塞。如果监测目标不可达或接口链路没有连通，系统会直接判断监测失败；如果监测目标可达或接口链路连通，系统可以继续根据报文延时和接口流量判断监测目标或链路是否出现拥塞。监测功能主要用在NAT、策略路由、链路负载均衡等场景，管理员可以通过配置监测功能确保系统始终选择相对健康的链路。	否
*		路由功能要求	* 静态路由审计型虚拟版终端应支持静态路由功能，支持IPv和IPv。 * 策略路由审计型虚拟版终端应支持策略路由，能够根据数据包源/目的地址******名、应用协议等参数设置策略路由，并能够在接口、虚线路下引用策略路由规则生效。	否
*		NAT要求	静态网络地址****NAT)；静态********IP地址** 动态网络地址** NAT)；动态NAT**IP地**************IP地址***话发起时开始，在随后的会话过程中保持，并在最后个会话结束后取消。网络地址****；PAT将多个源地址**IP地址***个端口。 DNAT：DNAT规则指定是否对符合条件的流量的目的IP地址******	是
*		IPv*要求	、IPv网络环境终端设备应支持在 IPv* 网络环境中正常工作，包括：）在IPv组网环境，以及IPv与IPv混合组网环境下正常工作，能有效提供安全功能并保障自身的安全性。）支持IPv的无状态地址*****），包含PD（Prefix Delegation，前缀代理）。）应支持DHCP获取IPv地址***** ）支持IPv协议栈相关协议，如ICMPv、NDP协议等。）支持全功能的IPv协议栈，让虚拟审计网关设备能作为全功能的IPv网元、IPv网关、接入网络正常组网。、IPv与IPv混合网络环境设备应支持在以下种或多种 IPv 过渡网络环境下工作，并作为 IPv* 与 IPv* 网络之间的网关，实现下列功能。）IPv/IPv双协议栈功能：设备在同网络中同时支持IPv* 和IPv协议。设备通过维护IPv和IPv两套路由协议栈使设备既能与IPv主机，也能与IPv主机通信，分别支持独立的IPv和IPv路由协议。）IPv/IPv的协议转换功能：支持NAT和***IPv与IPv之间的网络地址****Pv网络与IPv网络的双向互访。）隧道模式功能：满足IPv到IPv过渡期间网络穿越功能要求。支持的隧道协议包括IPv* over IPv、IPv over IPv、ISATAP等隧道技术。、IPv改造要求审计型虚拟版终端应支***等国家政策要求，满**署要求，针对经过虚拟审计设备转发***监测和分析，包括但不限于：）通过虚拟审计的IPv/IPv双栈能力、协议转换功能、隧道技术提升IPv固网流量占比；）监测经过虚拟审计设备对外访问的IPv*用户数、流量速率、流量大小、访问连接数，并上报到云端大脑平台。	是
*		多链路负载均衡功能要求	审计型虚拟版终端应支持基于IP*元组的线路负载均衡。审计型虚拟版终端应支持基于链路空闲带宽的负载均衡。审计型虚拟版终端应支持基于域名的负载均衡。审计型虚拟版终端应支持基于最大带宽负载，线路流量达到阈值后切换至其他线路。审计型虚拟版终端应支持负载均衡策略的生效时间设置。	否
*	******为管理功能要求	应用协议识别要求	审计型虚拟版终端应支持应用协议识别功能。审计型虚拟版终端应支持对HTTP、HTTPS、FTP、SMTP、POP、IMAP、DNS、TELNET、SNMP、RSTP等议识别功能。审计型虚拟版终端应支持对常见即时通讯（如微信、QQ）、电子邮件（如Outlook、网易邮箱、Foxmail）、VoIP通话类（如腾讯会议）等通信应用类识别功能。审计型虚拟版终端应支持常见社交网络（如Facebook、微博）、短视频平台（如抖音、快手等）、论坛博客（如知乎、豆瓣、贴吧等）等社交媒体类识别功能。审计型虚拟版终端应支持常见下载类（如迅雷等）应用识别功能。审计型虚拟版终端应支持视频平台（如优酷、爱奇艺、腾讯视频、bilibili等）、音乐平台（如QQ音乐、网易云音乐等）、游戏平台（如王者荣耀等）娱乐类应用识别功能。审计型虚拟版终端应支持WPS Office、Microsoft Office、云办公（钉钉、企业微信、飞书等）、云存储（百度网盘、OneDrive、Google Drive等）、远程办公（TeamViewer、向日葵等）办公应用类应用识别功能。审计型虚拟版*********、首汽约车、百度地***服务类应用识别功能。审计型虚拟版终端应支持支付宝、翼支付、云闪付等支付平台类应用识别功能。审计型虚拟版终端应支持匿名代理/VPN工具、PP文件共享、隐私敏感应用、黑客工具类软件、广告插件类、大流量应用、色情赌博类等风险类应用识别功能。审计型虚拟版终端应支持企业ER***********协作平台、云同步应用等识别功能。审计型虚拟版终端应支持ChatGPT、DeepSeek、豆包、Kimi、文心言、腾讯云宝、通义千问、讯飞星火等通用大模型，Llama开源大模型，以及医疗、法律、金融垂直领域大模型等大模型类应用识别功能。审计型虚拟版终端应支持应用协议识别数量不少于**种；不少于种热门应用，老化的应用应及时更新或下架。审计型虚拟版终端应根据国**********及时更新，以保持先进性。审计型虚拟版终端应支持独立在线更新升级协议特征库。	是
*		******为管理要求	审计型虚拟版终端应支持应用审计控制策略，支持根据IP、端口、应用、协议、目标域名或url等维度设置审计管控策略，支持设置允许或拒绝；审计型虚拟版终端应支持自定义应用，包括但不限于数据包方向、协议、端口、IP地址******别等维度，数据包方向包括任意、请求数据、响应数据，关键字匹配模式，基于协议、端口、策略的会话维持功能。	是
*		流量控制功能要求	审计型虚拟版终端应支持流量控制功能，应支持个动作：限速、阻断、镜像动作。审计型虚拟版终端应支持基于IP元组的流量控制功能。审计型虚拟版终端应支持基于域名/域名组的流量控制功能。审计型虚拟版终端应支持基于应用协议/应用协议组的流量控制功能。	是
**		认证管理要求	审计型虚拟版终端应支持Web接入认证功能，确保只有经过授权的用户才能访问特定的Web资源。审计型虚拟版终端应支持本地密码的WEB接入认证方式。审计型虚拟版终端应支持对接短信平台，实现基于短信验证码的WEB接入认证方式。审计型虚拟版终端应支持对接微信，实现基于微信扫码的WEB接入认证方式。审计型虚拟版终端应支持结合Radius和AD域的WEB接入认证方式。审计型虚拟版终端应支持双因素（本地账号+短信验证码）的WEB接入认证方式。审计型虚拟版终端应支持认证黑名单、白名单功能	是
**	******为审计功能要求	会话日志留存要求	审计型虚拟版终端应支持对流量******:会话日志记录。审计型虚拟版终端应支持在认证场景下，会话日志中自动关联IP账号信息。审计型虚拟版*****署模式下，会话日志中自动关联NAT IP和端口信息。审计型虚拟版终端应支持对IPv和ipv流量下的日志记录。审计型虚拟版终端应支持对会话日志记录的信息，包含不限于：设备标识、日志产生时间、会话开始时间、会话时长、源MAC、源IP、源端口、目的MAC、目标IP、目标端口、传输协议、应用类别、应用ID、应用名称、动作、策略i***********************************重传包数、IP账号等信息。审计型虚拟版终端应支持对会话日志的实时上报到电信安全大脑平台。	否
**		URL日志留存要求	审计型虚拟版终端应支持对流量中的HTTP和HT******全量记录和留存。审计型虚拟版终端应支持在认证场景下，HTTP和HTTPS流量日志自动关联IP账号信息。审计型虚拟版终端应支持对HTTP和HTTPS流量日志记录的信息，包含不限于：设备标识、日志产生时间、源MAC、源IP、源端口、目的MAC、目标IP、目标端口、传输协议、应用类别、应用ID、应用名称、动作、请求方式、HOST信息、URI信息、URL信息、IP账号等信息。 URL日志针对HTTP和HTTPS流量，其中URL为HOST和URI组成；当流量为HTTP时需要完整记录URL信息。审计型虚拟版终端应支持对HTTP和HTTPS日志的实时上报到电信安全大脑平台。	否
**		DNS日志留存要求	审计型虚拟版终端应支持对流量中******全量记录和留存。审计型虚拟版终端应支持在认证场景下，DNS流量日志自动关联IP账号信息。审计型虚拟版终端应支持DNS流量日志记录的信息，包含不限于：设备标识、日志产生时间、源MAC、源IP、源端口、目的MAC、目标IP、目标端口、传输协议、请求域名、动作、IP账号等信息。审计型虚拟版终端应支持对DNS日志的实时上报到电信安全大脑平台。	否
**		IP流量日志功能要求	安全大脑审计网关终端应支持对IP流量日志的实时上报到电信安全大脑平台。	否
**		应用流量日志功能要求	审计型虚拟版终端应支持对IP流量日志的实时上报到电信安全大脑平台。	否
**		用户认证日志留存要求	审计型虚拟版终端应支持对流量中认证日志的记录和留存。审计型虚拟版终端应支持认证账号与IP的字段关联，并在会话日志、URL日志、DNS日志、时延******自动关联。审计型虚拟版终端应支持时认证日志记录的信息，包含不限于：设备标识、日志产生时间、认证时间、用户账号、源MAC、源IP等信息。	否
**	AI审计管控要求	大模型访问识别与管控	审计型终端应支持对 ChatGPT、DeepSeek、minimax、Anthropic Claud、豆包、Kimi、智普AI、文心言、腾讯云宝、通义千问、讯飞星火等通用大模型，Llama 系列等开源大模型，以及医疗、法律、金融等垂直领***精准识别，实现对各类大模型网页访问、客户端使用**为的可视、可审与可管。审计型终端应支持对大模型网页访问、客户端使用********完整日志**为可追溯审计；审计型终端应支持基于策略配置访问控制权限，精细化管控企业终端可访问与禁止访问的大模型应用范围。针对紧急情况，应支持自定义特征 / URL / 域名 / API 路径等方式快速新增识别规则，实现**为的及时识别与管控，以应对 AI 技术快速迭代的环境。针对大模型访****上报安全大脑平台。	否
**	AI审计管控要求	智能体访问识别与管控	审计型终端应具备对 OpenClaw，以及国内衍生的各类 Claw类智*****为识别能力，包括但不限于OpenClaw、AutoClaw（智普 AI/GLM-)、WorkBuddy / QClaw、MaxClaw、KimiClaw（月之暗面）、CoPaw、LobsterAI（有道龙虾）、ArkClaw、Claude Code、Trae、EasyClaw、OneClaw、DuClaw/DuMate；支持对相关 AI 智能体的官方插件 / 技能更新、版本监测 / 信息拉取、官方文档查阅、官方 AP**********渠道消息收发、大模型********全量日志留存与审计；支持对企业非授********精细化管控；针对新型 Claw类智能体或AI工具，应支持**为规则、域名/URL等方式快速扩展识别能力，实现对新型**为的快速识别。 **********上报安全大脑平台	否
**	安全功能要求	威胁情报检测要求	、IP类IOC情报：）支持IP+端口匹配；）支持IP全端口匹配；）支持IPv和IPv双栈协议匹配；、域名类IOC情报：）支持精准域名匹配；）支持通配符域名匹配： ü针对多级子域名匹配，应支持匹配至于级子域名，不匹配主域名，如.ctct.com，需匹配test.ctct.com，test.test.ctct.com，......，test.test.test.test.test.ctct.com等，不匹配主域名ctct.com ü通配符仅允许置于域名最左侧，且全局仅能存在个通配符，禁止中间或多通配符（如a.ctct.com、..ctct.com均无效） ü严禁使用顶级域 / 根域级通配（如.com、.cn），避免过度拦截合法域名）域名+端口匹配：支持精确域名+端口的匹配能力，如ctct.com:**；、情报检测要求：）IP情报需要支持双向流量识别及阻断能力；）域名情报需要支持DNS解析阶段、应用访问阶段的识别及阻断能力；）情报动作需要支持记录日志、阻断等；、自定义情报：审计型终端应支持自定义威胁情报的功能，包括自定义IP和域名情报：）IP：自定义IP情报应支持IP及IP+端口配置功能；）域名：域名情报应支持明细域名、通配符域名及域名+端口；）自定义情报配置应支持IOC值、威胁类别（本地+自定义****动作，设备侧展示以上字段信息、情报配置时间、情报来源；、例外情报：支持情报维度（IP、域名），例外情报功能需精准定义匹配条件与适用范围，优先级为情报匹配最高优先级；、匹配逻辑：整体匹配顺序遵循 “先排除再匹配、精度优先***例外排除规则（优先筛除无需匹配的情报），再依次触发匹配类规则（含自定义匹配规则、本地情报库规则）；***优先级为：IP 匹配>域名精细匹配>域名通配符匹配>URL匹配，确保高精准度规则优先命中，避免模糊匹配干扰；、情报日志：包含但不限于：网络元组、源目Mac、源目安全域、情报命中标签、命中的ip或域名、动作、IP账号等；、情报升级：支持在线更新，定期从云端同步最新威胁情报特征库，默认支持按天更新，应急事件更新需求应实现小时级响应。、云端对接：自定义情报应支持与中国电信安全大脑平台对接，接收来自云端的自定义情报，检测优先级应为高优先级。、情报规格：审计型虚拟版终端威胁情报库规格：虚拟审计（G）不低于 ** ；虚拟审计（G）档次的规格不低于 *** *。	是
**		威胁情报检测要求		是
**		******为审计	审计*****为的审计控制及日志记录，并支持按需上报云端安全大脑平台。上报字段包含但不限于：网络元组、源目Mac、源目安全域、情报命中标签、命中的ip或域名、动作、IP账号等；	否
**		******为审计	审计型****为的识别控制及日志记录，并支持按需上报的到云端安全大脑平台。审计型终**为的识别控制及日志记录，并支持按需上报的到云端安全大脑平台。上报方式可选单独**为检测规则，最终日志字段包含但不限于：设备标识、日志产生时间、会话开始时间、会话时长、源MAC、源IP、源端口、目的MAC、目标IP、目标端口、传输协议、应用类别、应用ID、应用名称、动作、策略i**********流量、IP账号等信息。	否
**		黑白名单	应支持基于IP组黑名单的阻断功能，拦截方向包括对源IP、目的IP、源和目的IP。应支持基于域名/URL组黑名单阻断功能。	是
**	管理功能要求	日志管理要求	登录类日****的登录、退出操作，每条日志字段应包括：账号、登录IP、登录方式、登录时间等信息；操作类日**的各种操作，包括：策略配置、系统参数配置、启用或关闭旗舰版终端等，每条日志字段应包括：账号、登录IP、操作方式、操作记录、操作时间等信息； **类日志：设备异常状态告警（如CPU、内存阈值告警**状态（如设备重启，设备断电、设备宕机等）、设备升级历史（如版本、特征库升级）等，每条日志字段应包括：日志类型、时间戳、事项描述等信息；会话日志：日志信息字段包含不限于：设备标识、日志产生时间、会话开始时间、会话时长、源MAC、源IP、源端口、目的MAC、目标IP、目标端口、传输协议、应用类别、应用ID、应用名称、动作、策略i********************************重传包数、IP账号等信息。应用日志：支持对终端设备应用访问记录的功能，日志信息字段包含不限于：设备标识、日志产生时间、源IP、源端口、源MAC、目标IP、目标端口、应用类型、应用**为、系统、终端、日志级别、认证账号等信息； WEB访问日志：支持对网页请求信息的记录功能，日志信息字段包含不限于：设备标识、会话开始时间、日志产生时间、源MAC、源IP、源端口、目的MAC、目标IP、目标端口、传输协议、应用分类、应用名称、请求方式、HOST信息、URI信息、IP账号等信息。系统日志，包括登***类日志在终端本地保存的时长不少于年。审计型虚拟版终端应支持以上各类日志上报到云端。	否
**		版本文件、特征库、插件管理要求	为了使用新功能或者解决软件BUG，审计型虚拟版终端应支持能够升级版本文件。升级方式应包括但不限于本地升级、远程升级。审计型虚拟版终端的版本文件******商随其最新稳定版本及时提供。审计型虚拟版终端应支持应用识别特征库、URL库、威胁情报库等特征库类在线更新，定期从云端同步最新特征库版本，支持按天更新。审计型虚拟版终端应支持其承载的APP、插件等其他系统组件的本地升级、远程升级功能。注：审计型虚拟版终端的各类特征库的升级、APP/插件版本升级不应对客户网络造成任何影响，系统版本升级应尽量减少对客户网络的影响。	否
**		license授权要求	审*****应内置年以上license授权。审计型虚拟版终端应支持通******自动授权的能力。	否
**		自身安全要求	审计型虚拟版终端应支持配置限定用户登的IP地址*** 审计型虚拟版终端应支持SSH、HTT**远程访问。审计型虚拟版终端应支**加密保存，应支持管理员首次登录修改密码功能，应支持管理员登录的短信、证书等双因素认证功能。审计型虚拟版终端应支持用户口令复杂度设置及检查，拒绝设置不符合复杂度要求的口令。审计型虚拟版终端应支持最大登录失败重试次数设置，登录失***理方法有：锁定账号/IP、自动退出等，支持终端自动解锁和人工解锁。审计型虚拟版终端应支持管理员登录超时timeout时间设置，用户登录空闲时间超过配置时间后自动断开连接，并需要再次登录才能进入终端。审计型虚拟版终端软件需满足以下安全性要求： )病毒扫描软件包及所有组成文件中不得包含任何形式的病毒、木马或恶意代码。 )漏洞扫描经漏洞扫描工具检测后，不得存在中危及以上的安全漏洞。 )渗透测试经渗透测试后，不得存在可被利用的常见安全漏洞（包括但不限于身份认证与权限控制缺陷、注入类漏洞、跨站攻击、文件上传风险、敏感信息泄露、逻辑漏洞及后门等），所有典型攻击路径应能被有效拦截或拒绝。审计型****时需确保无可利用**周期内若出现风险，需按照中电信安全〔〕号文要求在规定时限内完成固件更新或安全补丁等有效修复方案，最多不超过 ** 小时。	否
**		北向接口协议要求	审计型虚拟版终端应支持通过标准、安全可靠的协议或通信方式接入云管系统，以实现远程管理、监控与配置下发等云管功能。终端设备至少应支持MQTT、Restful API、NETCONF、WSS等多种协议之，基于安全大脑场景中长连***和实时消息推送的需求，优先推荐采****接入。	否
**	轻量化上线要求	******配置要求	审计型虚***********配置。预配置包含审计策略、网络接口、审计功能、日志管理、设备管理和基础云平台纳管配置等，详见附录B具******最新要求为准。	否
**	虚拟环境适配要求	虚拟环境适配要求	审计型****形态兼容适配，涵盖 Pod、虚拟机、**署环境。结合中国电信标准 ICT 高阶网关业务发**署形态为硬性必支持要求，虚拟机、Do***署形态按建议适配。 .Pod形态 Pod 形态基于 KS v.+ LTS 及以上版本，以 OC**署。网络方面支持 Calico、bridge 与 Multus CNI，允许 Pod 及关联虚拟机引用多网络，满足复杂多网络场景。为保障安全性，容器默认以非 **；特权操作可通过 --privileged 参数或细粒度 Capabilities（如 NET_ADMIN、SYS_ADMIN、IPC_LOCK、SYS_MODULE）实现。存储上支持 PV/PVC、主机目录挂载（日志、配置、证书等）以及 tmpfs 临时数据挂载。同时需完成与中国电信ICT高阶网关业务中 X 与 ARM 架构硬件的适配，兼容 ubuntu、ctyunos 等操作系统。 ****署层面提供 Helm Chart 方案，支持自定义配置，可实现 Pod 及其网络、存储、镜像的创建与删***。初始化配置通过环境变量（如逻辑 ID）完成，支持键配置。健康检查方面需配置 HTTP 协议的 livenessProbe 与 readinessProbe。镜像大小不超过 GB，并提供多档次吞吐版本。 .虚拟机形态 *****于主流 KVM 虚拟化监视器及云服务商平台，使用 Virtio 网卡类型。支持通过 Cloud-init 完成逻辑 ID 等设备初始化配置。镜像采用 QCOW 标准格式，大小不超过 GB。在扩展能力上，可根据业务需求动态调整网卡数量及 CPU/内存资源，并提供不同吞吐档次的软件版本。 .Docker形态 Docker 形态建议基于 Docker Engine .+，采用 OCI 标准镜像，支持 bridge 与 macvlan 网络模式。容器默认以非 ****，特权操作通过 --privileged 或细粒度 Capabilities 实现。支持主机目录挂载（日志、配置、证书）及 tmpfs 临时数据挂载，适配 X/ARM 架构及 ubuntu、ctyunos 系统。 *****的 xxxx.sh 脚本，支持键完成 Docker 镜像、实例、网络及存储的创建与删*****。初始化配置通过环境变量实现，镜像大小控制在 GB 以内，并提供多吞吐档位的软件版本。	是
**	终端纳管要求	安全大脑平台纳管要求	******商支持配置电信分发的逻辑ID，终端上线时，携带逻辑ID和终端SN向大脑平台注册，安全大脑平台根据客户受理信息完成终端逻辑ID和终端SN的校验和纳管绑定。	是
**	配置可用性检查要求	配置可用性检查要求	****商支持以下配置信息上传，用于设备交付完成后的设备配置合规性检查，需支持上传的配置信息包括： **署模式配置（上报业务接口数量信息、业务接口层模式信息） ?威胁情报配置（上报威胁情报功能模块配置信息，监测、阻断配置详情） ?日志上报配置（上报上传云端日志配置，功能是否开启、上报日志类型） ****署位置信息（上报在线用户IP地址**量信息） ?接口流量信息（上报各个业务**********的速率信息） ?系统版本检查（必须为当前推荐的最新系统版本）	否
**	网关信息采集更新	终端状态采集上报	******商网关及平台需要实时向安全大脑平台上报网关状态信息，包括但不限于： ?终端在线状态，如在线、离线、注册中等	是
**	网关信息采集更新	终端信息采集监控	****商网关及平台需要定期向安全大脑平台上报网关信息，至少包括： ?license信息（包含终端系统本身、各类特征库） ?系统软件版本（当前版本及更新时间）、各类特征库版本信息（版本及更新时间） ?接口信息，包括接口及接口状态、IP**********总流量） ?会话连接数（新建/并发） ?终端资源使用情况：CPU、内存 ?终端配置：上报日志配置 ?终端型号 ?硬件版本 ?公网IP 以上信息支持批量数据上报	是
**	网关下线解绑	审计型虚拟版终端下线解绑	****商网关及平台需要与安全大脑平台对接，支持由于客户退租、换机、其他等场景****理，保障终端能够按预期下线与回收。	是
**	虚拟审计流量数据采集	流量日志上报	*****商网关或平台需要与安全大脑平台对接，将网关的流量日志，通过rsyslog+RELP（支持TLS加密）或kafka的方式上报到安全大脑平台至少包括： ?IPv改造要求相关流量日志：满足CTSGW-***要求 ?IP流量日志：满足CTSGW-*要求 ?应用流量日志：满足CTSGW-*要求 ?AI大模型**为日志，满足CTSGW-*、CTSGW-***要求	否
**	虚拟审计流量数据采集	******为日志上报	会话日志：满足CTSGW-***要求 URL日志：满足CTSGW-*要求 DNS日志：满足CTSGW-*要求用户认证日志：满足CTSGW-***要求	是
**		安全日志上报	威胁情报检测日志：满足CTSGW-***要求 **为日志：满足CTSGW-*要求 **为日志：满足CTSGW-***要求	是
**		系统日志上报	****商网关或平台需要与安全大脑平台对接，将网关的系统日志，通过rsyslog+RELP（支持TLS加密）或kafka的方式上报到安全大脑平台至少满足CTSGW-*要求，包括： ?登录类日志 ?操作类日志 ****类日志	是
**	虚拟审计网关管控	反向管理	******商网关或平台需要与安全大脑平台对接，满足电信的集成设计，支持通过安全大脑平台反向管理安全路由设备；支持基于HTTPS或SSH的反向管理功能；支持基于免密和自定义密码反向登录到终端。	是
**		黑名单下发	****商网关及平台需要与安全大脑平台**置，至少包括对终端创建、删除****理命令。	否
**		威胁情报下发	****家终端设备需要与安全大脑平台对接，支***置，至少包括：、支持下发IP、域名、URL自定义情报，至少包括IOC值、威胁类****动作。威胁类别以云端下发为先（优先匹配云端下发情报），设备支持展示查询云端下发的自定义情报且包括以上字段、平台下发时间、情报来源（云端大脑下发），满足CTSGW-**自定义情报要求、支持下发例外情报，包括IP、域名、URL的IOC值，满足CTSGW-*****要求	否
**		配置下发	****商网关或平台与安全大脑平台对接开放“配置下发”能力，可通过可视化**等方式，支持批量下发。配置下发至少包括： ****为管理功能配置 ?设备账号密码配置 ?ipsec vpn配置 ?其他配置	是
**	升级授权管理	大脑平台统*升级管理	终端支持******网关软件版本，规则库，威胁情报等在线升级能力要求。	否
**	升级授权管理	大脑平台统*授权管理	****商需在规定时间内通过在线或离线文件的方式向安全大脑平台批量提供终端设备的许可证文件，以满足设备首次上线使用、到期自动授权等要求；终端设备需支持****终端许可在线授权的能力要求。	是

规格要求：

要求	审计型虚拟版终端场景规格要求
场景类型	虚拟审计-****M场景	虚拟审计-****M场景
终端型号	CTSGW-VS****	CTSGW-VS****
适用接入带宽（单向）	****M以内	****M以内
虚拟环境适配要求 ******商需提供种类)	Pod（必选）、虚拟机形态、docker可选
虚拟环境适配要求 ******商需提供种类)	Pod（必选）、虚拟机形态、docker可选
Bypass要求	支持平台或软件bypass功能
虚拟资源（CPU /内存）	不超过C/G	不超过C/*G
虚拟业务接口数量	≥*个	≥*个
管理口数量	*个	*个
应用层吞吐（Mbps）（开启应用识别和威胁情报）	≥****	≥****
TCP最大并发连接数（条）（开启应用识别和威胁情报）	≥*,*	≥，,*
IPSEC VPN性能吞吐（Mbps）	≥***Mbps	≥***Mbps
IPSec VPN隧道数（条）	≥**条	≥***条
IPSec VPN用户数（个）	****个	****个
黑名单规格（条）	≥*,*	≥*,*
IP在线数	≥****	≥****
应用协议识别数量（种）	≥****	≥****
URL分类库（个）	≥****	≥****
自定义协议数量（个）	≥**	≥***
内置威胁情报数（条）	≥**,*	≥**,*
多线路负载均衡（条）	≥**条	≥***条

注：投标人须附相关合同关键页（须包括合同标的内容、签约时间、合同金额、合同签章页，如果提供的是框架合同，需提供对应框架合同结算的发票或订单或结算单据，框架协议及其项下同*项目所有订单的累计金额均视为同*个合同计取)的扫描件或者其他相关证明材料，业绩时间以合同或框架订单签订时间为准，业绩金额按合同或框架下订单金额计取，证明材料不全无法确定为相关业绩的，不予认可。合同原件备查，如评审时需要核查，接到正式通知后，在规定时间内送达评审现场，否则业绩不予认可。

注：申请人须提供合法有效的软件著作权登记证书或软件产品登记证书扫描件。
}}}}}}

*．资格预审方法

名通过资格审查，资格审查标准和内容详见资格预审文件。} *.*通过资格审查的申请人均可参加本次资格预审范围内本项目的。

*.*

*．资格预审文件的获取

*.*资格预审文件获取时间:至（北京时间，下同）。

*.*资格预审文件获取方式：凡有意参与的潜在，请******操作，获取资格预审文件：

*.*.*登录“中国电信阳光采购网（https://******）” 后，通过“招投标-采购文件领取”模块或通过“电子采购入口”跳转中国电信电子采购系******资格预审文件登记申领。未在系统注册的潜在******注册，注册方法详见本公告“*申请人注册”。

*.*资格预审文件费用：元人民币，售后不退。支付要求：。}

*．资格预审申请文件的递交

*.*资格预审申请文件递交截止时间：。

*.*电子资格预审申请文件的递交：登录中国电信阳光采购网（https://******）后，通过“招投标-我的项目”模块或通过“电子采购入口”跳转中国电信电子采购系******资格预审申请文件递交，申请人应在资格预审申请文件递交截止时间之前通过电子采购系统完成加密电子资格预审申请文件的上传。申请人未******资格预审文件申领登记或电子资格预审申请文件未按照要求加密的，将无法通过电子采购系统提交电子资格预审申请文件。

*．申请人注册

*.*中国电信阳光采购网注册

未注册过的潜在，须通过中国电信阳光采购网（https://******）首页“立即注册”模块完成注册后，方可申领本项目资格预审文件。

*.* CA证书办理

参与电子采购的潜在须提******电子资格预审申请文件编制和资格预审申请，并确保CA证书在使用时有效。CA证书办理流程详见中国电信阳光采购网“操作指引-CA办理”。

*.*技术支撑联系方式

服务热线：**********

服务邮箱：zb_su***************telecom.cn（电子采购系统技术支撑）

***************telecom.cn（CA证书办理技术支撑）

本次资格预审公告同时且仅在中国电信阳光采购网（https://******）、上发布，其他媒体转载无效。

*.*联系方式

:		:
地址：		地址：
邮编：		邮编：
联系人：		联系人：
电话：		电话：
电子邮件：		电子邮件：
网址：		网址：
******：	/	******：
账号：	/	账号：