View
0
Download
0
Category
Preview:
Citation preview
一、需实现的功能或目标:(1)项目技术要求和有关说明
投标人须提供满足以下要求的设备和服务,不得有负偏离。本项目中的核心交换机为核心产品。
1. 项目概述
本项目是在现有的信息化基础上,开展信息系统安全建设和网络改造工作,
更好的推进宜兴市自然资源和规划局的信息化建设,提升信息化对于自然资源
和规划业务发展的支撑能力。通过该项目的实施,确实提高信息系统的整体安
全防护能力,使信息系统不仅达到网络安全等级保护“第三级基本要求”和
“第三级安全保护能力”,而且符合其自身业务特点;并满足今后政务外网业
务迁移的要求;提升单位数据中心机房基础环境的保障能力和服务水平。
2. 项目建设内容
本次网络信息安全建设项目包含两部分建设内容:(1)开展网络改造;根据自然资源办函〔2019〕1041 号文件及我市营商环境相关要求,
1
2020年底采购单位拟完成不动产登记系统三网运行改造升级,施行“互联网+
自然资源和不动产登记”,将不动产权籍的图形数据及权籍调查数据库部署在
自然资源内网,登记应用系统、横向部门数据共享运行在电子政务外网,数据
实时共享交换,并同步到内网,对外公众服务运行在互联网。本次网络系统改造工作主要建立两套物理隔离的网络,按照省厅和无锡市
局的统一规划和建设要求,对网络进行改造。(2)开展信息系统安全建设;按照网络安全等级保护 2.0要求,配合重要信息系统开展三级等保建设,
加强数据安全、主机安全、环境安全,合并原规划局和原国土局机房,构建自
主可控的自然资源信息安全体系,提升信息安全防护能力;保障数据传输、存
储、应用和信息系统的安全。依据国家相关政策要求,对采购单位的信息系统进行安全升级建设,覆盖
信息安全的管理体系、技术体系和运维体系三个方面,建设内容覆盖十个安全
层面,即:安全物理环境、安全通信网络、安全区域边界、安全技术环境、安
全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理和
2
安全运维管理。本期建设内容如下: 完善基础安全防护整体架构,配合开展网络安全等级保护建设工作,使
之基本符合网络安全等级保护基本要求。 加强信息安全管理工作,制订科学合理的信息安全工作方针、政策,进
一步完善信息安全管理制度体系,实现管理制度的标准化、规范化和流程化。 建立科学、完备的相关安全管理体系,切实保障信息系统安全、稳定运
行。 安全物理环境改造,机房物理环境能够基本满足《信息安全技术信息安
全等级保护基本要求》的三级物理安全技术要求。 重要信息系统基础资源建设,配套相应的业务服务器、数据库服务器、
前置服务器、交换服务器以及存储设备等计算资源和存储资源。该项目需要在充分理解招评标管理的要求和实际需求特征的基础上,根据
“智能、先进、可靠、合理、严密、经济、完善”的设计思想,以求达到先进
性、实用性、可靠性、可扩展性、易维护性的要求进行设计。系统的设计和施
工方案均严格遵循有关国际和国家标准进行,在本项目硬件系统的配置上需采
用标准结构,以使本系统具有高度的安全性和可扩充性。
3. 项目采购清单
序号 设备名称 主要性能参数要求 数量 单位一、网络改造
3
1.内网网络改造1 核心交换机 详见技术参数要求 4.1 2 台
2 接入交换机
≥24个 10/100/1000Base-T以太网端
口,≥4个万兆 SFP+端口,交换容量
≥330Gbps,包转发率
≥100Mpps,≥2 只千兆多模 SFP 光纤
模块,三年原厂质保服务。
17 台
2.政务外网网络改造
1 楼层交换机
配置≥48个千兆电口,≥4个千兆 SFP
端口,交换容量≥430Gbps,包转发率
≥80Mpps,≥2 只千兆多模 SFP 光纤
模块,三年原厂质保服务。
10 台
2下一代防火
墙详见技术参数要求 4.2 2 台
3 出口汇聚交
换机
配置≥24个 10/100/1000Base-T以太
网端口,≥4个万兆 SFP+端口,堆叠模
2 台
4
块及电缆,交换容量≥670Gbps,包转
发率≥100Mpps,三年原厂质保服务。
4终端病毒防
护系统详见技术参数要求 4.3 1 套
5VPN 远程接
入设备详见技术参数要求 4.4 1 台
6移动维护终
端
14 英寸,不低于:i5-
10210U、8G、512G、2G 独显1 台
7 辅助材料包含项目实施所需的各类网线、模块、
光纤等1 批
二、信息系统安全建设1.信息系统安全建设 应用服务区
1数据中心边
界防火墙详见技术参数要求 4.5 2 台
2 应用防护系 详见技术参数要求 4.6 2 台
5
统 数据服务区
1数据中心边
界防火墙详见技术参数要求 4.5 2 台
2数据防勒索
系统详见技术参数要求 4.7 1 套
3超融合配套
软件详见技术参数要求 4.8 16 套
4东西流量安
全防护详见技术参数要求 4.9 2 套
互联单位专
线接入区
1外联边界
UTM防火墙详见技术参数要求 4.10 2 台
数据交换区 1 安全数据交 详见技术参数要求 4.11 1 套
6
换系统
2UTM安全网
关详见技术参数要求 4.12 1 台
安全管理中
心
1日志审计系
统详见技术参数要求 4.13 1 台
2 堡垒机 详见技术参数要求 4.14 1 台3 数据库审计 详见技术参数要求 4.15 1 台
4漏洞扫描系
统详见技术参数要求 4.16 1 台
5动态口令系
统
动态口令管理软件平台及动码令,三年
原厂质保服务。1 套
6未知威胁感
知系统详见技术参数要求 4.17 1 台
7 虚拟化杀毒 详见技术参数要求 4.18 1 套
7
系统
8IT运维管理
系统详见技术参数要求 4.19 1 套
9政务外网采
集模块数据采集和展示,三年原厂质保服务。 1 套
10UPS不间断
电源
包含 1 台 125K 模块化UPS主机,3 只
30kVA功率模块,64 只 12V-200AH
电池及其他配套安装设备、辅材等,要
求满足本项目使用要求。详见技术参数
要求 4.20
1 套
数据本地+
远程备份
1CDM备份一
体机详见技术参数要求 4.21 1 套
2数据备份一
体机详见技术参数要求 4.22 1 套
8
2.硬件资源建设
1
超融合服务
器(文档服
务、应用服
务、数据交
换服务)
详见技术参数要求 4.23 4 台
2数据库服务
器详见技术参数要求 4.24 2 台
3分布式存储
系统详见技术参数要求 4.25 1 套
3.服务部分
1网络安全技
术服务
针对信息系统及互联网资产开展漏洞扫
描、渗透测试、应急响应等服务,服务
期为 1年,及时发现信息系统中存在的安
全问题并进行整改,降低安全风险。
1 项
2 机柜租用服 租用第三方机房空间资源,用于备份设 1 台
9
务 备的存放,1年费用
3
系统迁移服
务及培训服
务
解放东路 191号机房:临时过渡系统搭
建,完成将机柜内设备及相关业务系统
(配合软件方)迁移至临时位置,新机
房建设完成后,再迁移至新冷池中,确
保业务的顺利迁移。宜兴市荆溪中路 305号机房:完成将机
柜内设备及相关业务系统(配合软件
方)迁移至新机房,确保业务的顺利迁
移。培训:应提供免费培训,保证操作人员
能学会操作使用所有设备。详见技术参数要求 4.26
1 项
10
4. 技术参数要求
4.1 核心交换机
项目指标 性能和参数要求设备性能 交换容量≥510Tbps,包转发率≥28000Mpps。
硬件架构主控引擎与交换网板物理分离;主控引擎≥2;独立交换网板
≥4;整机业务板槽位数≥8
模块化交流冗余电源,支持 M+N供电,模块化电源槽位数≥4
虚拟化功能 支持横向虚拟化技术,将多台设备虚拟为一台,支持长距离集群ARP 支持 ARP 表项≥256K
VLAN支持 4K VLAN,支持 1:1、N:1 VLAN mapping,支持端口
VLAN,支持 Voice VLAN
二层功能
支持 IEEE 802.1d(STP)、802.1w(RSTP)、 802.1s(MSTP),支持 VLAN内端口隔离,支持端口聚合支持 1:1、 N:1、1:N 端口镜像,支持流镜像,支持远程端口镜
像(RSPAN),支持 ERSPAN
三层功能 支持静态路
11
由
、RIP、RIPng、OSPF、OSPFv3、BGP、BGP4+、ISIS、ISIS
v6
IPv6
支持 IPv6过渡技术,IPv4/IPv6 双栈、6over4 隧道、4 over6
隧道;支持 IPv6 DHCP SERVER、IPv6 DHCP Relay、DHCP
Snooping
安全性
支持 DHCP Snooping trust,防止私设DHCP服务器支持 DHCP snooping binding table (DAI, IP source
guard),防止 ARP 攻击、DDOS 攻击、中间人攻击支持 BPDU guard、Root guard
管理特性
支持 SNMP V1/V2/V3、Telnet、RMON、SSHV2
支持通过命令行、中文图形化配置软件等方式进行配置和管理,
支持 WEB网管支持 ISSU,不中断升级
配置要求 配置双主控、交换网板≥2,电源模块≥3,独立监控板≥1,万
兆光口≥48,千兆电口≥48,24个千兆多模光模块,2根 10G
12
堆叠线缆
服务要求要求提供三年硬件质保服务要求原厂最终用户须注册为“宜兴市自然资源和规划局”
4.2 下一代防火墙
指标项 技术规格要求
接口配置
2U 标 准 机 架 式 , 冗 余 电 源 , 设 备 配 置 ≥ 10 个
10/100/1000M Base-TX,≥6个 SFP 接口插槽,2个扩展
槽位,配置一块 64G SSD 硬盘
性能指标
整机吞吐量≥20Gbps,入侵防御吞吐量≥5.5Gbps,防病
毒吞吐量≥4Gbps
默认支持 IPSec VPN和 SSL VPN 模块,VPN IPSec 隧道数
≥2 万,此次配置 200个 SSL VPN并发用户授权数模块配置 配置 IPS 入侵防御及防病毒模块,含三年特征库升级服务。操作系统 多系统设置可在Web界面上完成全部操作,支持按功能模块
的配置导入导出功能。
13
主机系统采用具有自主知识产权的多核多线程 ASIC或NFOS
或 SecOS并行操作系统平台;探测器引擎的操作系统为 VSP
通用安全平台,具备高效,智能,安全,高效等特点。
网络适应性
支持 静 态 路 由,动态 路 由( OSPF、 RIP、 BGP、 ISIS
等),VLAN 间路由,单臂路由,组播路由等支持 ISP 路由,支持联通、电信、教育网、移动等 ISP服务商
地址列表,列表可导出及导入,可通过Web界面选择不同的
ISP服务商实现快速切换
网络管理
要求支持将任意接口数据完全镜像到设备自身的其他接口,
用于抓包分析支持链路聚合功能,支持 802.3ad和静态轮询、热备等多种
模式,MAC、MAC&IP、IP&Port 多种聚合负载算法
网络访问控制
支持一体化安全策略配置,可以通过一条策略实现用户认
证、IPS、AV、URL过滤、协议控制、流量控制、并发、新
建限制、垃圾邮件过滤、审计等功能,简化用户管理。IPSEC VPN IPSec VPN支持网关、单臂部署模式,支持透明、路由、混
14
合模式等工作模式支持 DMVPN,在增加一个新的分支节点网关后,不需要在中
心网关更改任 何配置,且支持 路 由推送,实现 spoke to
spoke互通,不必建立额外隧道。
流量控制与优
化
支持针对 URL 类型进行流量管理,至少支持:旅游出行、美
体美容、web 代理、报刊杂志等。可以针对不同类型的 URL
配置不同的流量管理规则,包括最大带宽、保证带宽、协议流
量优先级等。支持针对用户/用户组进行 URL、文件类型、应用的流量管
理,支持 DSCP 流量分级设置
反垃圾邮件支持邮件服务器地址黑名单、邮件地址、主题、正文、附件
名、附件内容等进行关键字匹配过滤支持防邮件炸弹功能,即设置 POP3、SMTP的连接频率。
入侵防御 支持入侵场景保留,可记录入侵行为相关的网络数据报文,
报文可保存至 U 盘或某台内网服务器。IPS 特征功能:在同一下拉配置菜单选项中支持 DNS\
15
TELNET\SNMP\SMB\POP3\SMTP\FINGER\HTTP\FTP\
TFTP等大类应用层协议的自定义,精准设置各个协议字段内
容。支持 HTTP 类攻击重定向功能,能够把 HTTP 协议的攻击类型
重定向到指定蜜罐系统,便于对攻击进行审计与分析
防病毒
支持基于策略的病毒扫描与防护,可针对不同的源目 IP 地
址、源MAC 地址、服务、时间、安全域、用户等,采用不同
的病毒防护策略。支持多接口可旁路的病毒文件传输监听检测方式,可并行监
听并检测多个接口、多个网段内的病毒传输行为,用于高可
靠性要求的旁路应用环境。支持隔离病毒源地址,防止病毒源主机访问内部网络,提高
网络整体安全性。
管理配置支持 https/http/SSH/Telnet管理,支持数字证书和电子钥
匙两种管理员认证方式。支持界面选择系统语言(中文、英文)。
16
高可用性
支持端口联动,支持上下行端口组的联动,可以实现单端口
决定同组中的任意接口失效启动链路切换。自动同步、心跳接口多级(≥2级)物理备份。可在热备和集群工作模式下支持多台防火墙的会话、配置的
实时同步、手动同步。
非法网站过滤
提供具有先进技术的非法网站过滤功能,支持恶意站点防护
功能,具有挂马站点 URL和挂马源站点 URL 列表恶意站点
库,能够在终端用户访问恶意 URL时主动切断连接。恶意站
点库包不少于 400 万条恶意 URL,并实时动态更新。
服务要求 要求提供三年特征库升级服务,三年硬件质保服务要求原厂最终用户须注册为“宜兴市自然资源和规划局”
4.3 终端病毒防护系统
项目指标 性能和参数要求
基本功能 中标麒麟/银河麒麟/普华/深度/红旗桌面操作系统。支持插件清理,按插件显示展示全网存在的插件和涉及的终端,
17
可清理指定或全部插件、加入信任;按终端显示展示全网每个终
端存在的插件,可清理插件;支持正版软件的正版序列号的读取功能,确保软件正版化。支持与 NGFW、上网行为管理、VPN产品联动,达到网关边界联
动防御效果支持手工导入 MD5+SHA1的黑白名单方式,支持 TXT 批量导
入;文件被加入白名单,客户端不再查杀,加入黑名单,客户端不可
执行此文件;支持对WINDOWS/LINUX/国产操作系统终端的文件黑白名单和
信任区在服务端统一管理;要求能够支持 XP系统的漏洞利用防御,尤其对通过文件漏洞(尤
其是 0DAY 漏洞)的攻击行为进行有效检测与防御;对敲诈者病毒提供专有的防护功能;要求产品具备本地多引擎查杀能力,且引擎可配置;支持 LINUX、国产操作系统杀毒
18
要求产品具备公有云检测能力,且公有云特征储备超过 145亿;支持私有云查杀,预置至少 8亿黑名单及 2白名单,终端威胁统
一到控制中心查询黑白并进行查杀。
补丁管理
支持设置特定分组优先进行补丁分发,一段时间后再全网升级;终端支持智能屏蔽过期补丁、与操作系统不兼容的补丁,可以查
看或搜索系统已安装的全部补丁;支持按 CVE编号查询漏洞,支持按 KB号查询漏洞,管理员可快
速关注高危漏洞,查看漏洞修复情况,如果还有未修复的终端则
可立即下发修复任务支持 Windows 10补丁预热,提高终端下载补丁成功率具备漏洞集中修复,强制修复,自动修复;具备蓝屏修复功能
运维管控 支持远程协助终端(不依赖WINDOWS 远程桌面协议)、远程关
机、重启终端;支持按照域名、操作系统、WIFISSID等条件匹配预先设定好的场
景策略;支持 LDAP账号的终端用户策略模式;
19
支持禁用安全模式或者设置安全模式登录密码支持自定义外设黑白名单,且支持分组执行、支持以设备名称或
者 PID/VID例外终端综合
评估
支持根据检查项通过率的百分比评定终端配置的脆弱程度,定性
的标准可由管理员自定义;兼容性要
求
要求确保与虚拟化杀毒系统兼容且融合后运行稳定,支持在统一
平台进行管理
服务要求要求提供三年原厂升级服务要求原厂最终用户须注册为“宜兴市自然资源和规划局”
4.4 VPN远程接入设备
项目指标 性能和参数要求
性能要求
最 大 理 论 加 密 流 量 ≥ 100Mbps , 最 大 理 论 并 发 用 户 数
≥300,IPSec加密最大流量≥70Mbps,设备整机理论最大吞吐
量≥150Mbps,设备整机理论最大并发会话数≥35w
要求提供 50个并发授权
20
硬件参数规格:1U,内存≥2G,硬盘容量≥64GminisataSSD,千兆电口
≥4。
基本特性
支 持 对 基 于HTT
P、HTTPS、FileShare、DNS、H.323、SMTP、POP3、Telnet
、SSH等的所有 B/S、C/S应用系统,支持基于 TCP、UDP、ICMP
等 IP层以上的协议的应用,例如即时通讯、视频、语音、Ping等服
务;产 品 应 支 持 的 密 码 算 法 包 括 :
AES、AES192、AES256、DES、3DES、MD5、SHA1、SHA2-
256、SHA2-384、SHA2-512、DH、RSA
易用性 可支持个性化登录策略,在一台设备上配置不同的访问域名、IP地
址,以及不同的使用界面,实现一台设备为多个不同用户群体服务
的的使用效果;支持单点登录功能(SSO),支持移动用户登录 VPN后再登录内部
B/S、C/S应用系统时不需要二次重复认证。支持针对 B/S单点登录21
用户名密码加密传输,保证安全;支持针对不同的访问资源设定不
同的 SSO用户名和密码,支持用户自行修改 SSO账号。产品应提供环境检测、自动修复工具,支持对Windows的环境兼
容性一键检测能力,以及对检测结果进行一键修复的能力,避免由
于用户操作系统环境存在问题影响 SSL VPN的使用,减轻运维工
作。
终端安全
支持主从认证账号绑定,必须实现 SSL VPN账号与应用系统账号的
唯一绑定,VPN资源中的系统只能以指定账号登陆,加强身份认
证,防止登录 SSL VPN后冒名登录应用系统产品应具有用户/用户组细粒度的权限分配功能:可以针对被访问资
源的 IP 地址、端口、提供的服务、URL 地址等进行权限控制;针对
同一B/S资源,可对不同用户做到细致到URL级别的授权。针对服务器地址保护方面,可支持 SSLVPN资源列表界面上的用户
授权资源隐藏;针对 B/S应用,可进行 URL 地址伪装,防止服务器
真实 IP 地址泄露
22
设备自身
安全
支持设备自身的抗攻击防护,支持防Host头部攻击设置,用于防止
Host头部攻击,设备只允许通过符合设置规则的地址进行访问;支
持防 SWEET32 攻击设置,用于防止 SWEET32 攻击。
身份认证
产品必须支持 Local DB 、USB KEY、短信认证、硬件特征码、动
态令牌、数字证书认证、LDAP、RADIUS、等认证方式;可针对用
户 /用户 组设置 认 证方式的与、或组合,可进行用户名 / 密
码、LDAP、USB KEY、硬件特征码、短信认证或动态令牌的五因
素捆绑认证支持与阿里钉钉、企业微信 APP 认证对接,移动端访问企业自建应
用时可自动拉起VPN,实现其内置应用的安全接入。支持 TOTP动态令牌认证,支持无需部署令牌认证服务器实现动态
令牌认证,动态令牌认证客户端支持谷歌身份认证器、FreeOTP等高速性 支持启用多线路时,自动检测故障线路,并自动踢出故障线路;一
旦线路恢复,可在一定时间内自动恢复。支持启用多线路时,自定
义用户访问选路策略,包括按上/下行带宽,轮询,按优先级等方
23
式。支持针对不同的web页面进行数据优化,支持动态压缩技术,基于
数据流进行压缩,减少不必要的数据传输。
高管理要
求
支持系统实时监控,图形化显示一段时间内的运行状况,可查看
CPU占用率、各条线路网络吞吐量、各条线路的 IP 地址及发送接收
流速、并发会话数、SSL并发用户数;可查看历史最高并发用户数
并显示时间记录;可实时查看 SSL 接入用户的用户名、发送流速、
接收流速、发送流量、接收流量、接入时间、并发会话数、接入
IP、虚拟 IP、认证方式等信息,并可在线中断指定用户支持密码找回功能,当用户的密码忘记或者丢失时,可自行找回密
码,减轻管理员维护压力。
服务要求要求提供三年原厂质保服务要求原厂最终用户须注册为“宜兴市自然资源和规划局”
4.5 数据中心边界防火墙
项目指标 性能和参数要求
24
硬件 标准 2U机架设备;双电源,设备标配 6个千兆电口,12个combo 接口;吞吐量≧8G,并发连接数≧300 万。
虚拟化
支持基于硬件Hypervisor技术的底层虚拟化,各个虚拟防火墙之间完全隔离,可运行不同的防火墙版本,拥有完全独立的CPU、内存、接口等资源。每个虚拟防火墙均提供完整的安全功能,包括防火墙、入侵防御、防病毒、上网行为管理和流控、VPN、IPv4/IPv6 双栈等。
访问控制
支持基于接口/安全域、地址、用户、服务、应用和时间的防火墙访问控制策略。支持基于策略的流量统计和会话统计支持策略预编译技术,在大量防火墙访问控制策略情况下整机性能不受影响。支持详细的访问控制策略日志,每条匹配策略的会话均可记录其建立会话和拆除会话的日志;访问控制策略日志可本地记录或发送至 Syslog服务器。
应用控制
支持基于DPI和DFI技术的应用特征识别及行为控制,应用识别的种类不少于 1000 种支持针对应用动作、应用内容的细粒度控制,如设定允许登录的QQ帐号白名单、邮件关键字过滤等支持 WEB控制功能模块,包括URL 访问分类管理、网页关键字过滤、http文件下载类型管理等功能。URL分类库规模不少于 2000 万条
流量控制 支持并开通基于线路和多层通道嵌套的带宽管理和流量控制功能,提供至少四层管道嵌套的流控支持基于接口的上下行带宽管理支持高、中、低优先级通道设置
25
支持基于应用、用户、源地址、目标地址、服务、时间的通道匹配支持带宽限制、带宽保障和弹性带宽
会话控制支持基于接口/安全域、地址、用户、服务、应用和时间的会话控制策略,包括总连接数控制、每秒总新建连接数控制、每 IP
总连接数控制、每 IP 新建连接数控制。WEB防护
支持 SQL 注入攻击、XSS 攻击的检测和防御功能,对Web服务系统提供保护
APT防御
支持扩展APT检测模块,采用沙箱检测技术,对未知木马、病毒、恶意代码具有精确的检测效果,实现对未知威胁、高级持续威胁和 0DAY 攻击的有效防护。可对ex
e、rtf、pdf、xls(x)、ppt(x)、doc(x)、pps(x)、swf、rar、zip等常见的格式进行动态沙箱分析;可对rtf、pdf、xls(x)、ppt(x)、doc(x)、pps(x)做 PE
内嵌检测,并且能指出文件偏移位置。支持多种沙箱环境与应用环境,使用反反沙箱、时光加速、机器学习等领先技术,确保恶意样本逃逸率大幅降低。
威胁情报防护
支持基于威胁情报云的动态防护功能,防火墙支持将用户对互联网的访问信息发送至威胁情报云进行实时情报查询及防护。
防病毒 支持对HTTP、FTP、SMTP、POP3、IMAP 协议的病毒检测和过滤功能;支持基于接口/安全域、地址、用户、服务、应用和时间的防病毒策略设定。支持对文件感染型病毒、蠕虫病毒、脚本病毒、宏病毒、木马、恶意软件等过滤,病毒库数量不少于 1000 万。
26
防病毒功能开启后,整机处理性能衰减不超过 30%
防攻击
支持对 Jolt2、Land-Base、Tear drop、Smurf等DOS 攻击的有效防护支持基于 IP、用户和应用的 Flood 攻击防护;对于 TCP 协议的 Flood 攻击,防护动作包括阻断、Syn Cookie和告警等。支持防扫描功能,可基于管理员设定的阈值识别 TCP、UDP及PING 扫描,并自动对发起扫描的主机进行限制。
网络特性 支持透明、路由、混合、旁路等部署模式;支持静态路由、动态路由(RIP、OSPF、BGP4)支持基于入接口、源地址、目标地址、服务端口、应用类型、域名的策略路由。支持并开通链路负载均衡,提供轮询、加权轮询、哈希等多种负载均衡算法,支持链路负载均衡的目的会话保持功能。支持并开通 IPSec VPN和 L2TP VPN,投标产品实配 IPSec
VPN 隧道数量不少于 5000 条。支持并开通 SSL VPN功能,投标产品实配 SSL VPN并发用户数不限制。支持通过 ICMP、TCP、DNS和HTTP 协议实现对链路可用性的多重健康检查。支持源NAT、目的NAT、静态 NAT,支持一对一、一对多和多对多等形式的NAT支持各种应用协议的NAT穿越:FTP、TFTP、H.323、SQL
*NET支持标准 DHCP服务功能,支持 DHCP 条件下的 IP/MAC绑定及 IP 地址排除等功能。支持 DNS 透明代理功能,可将指定范围内的DNS请求自动重定向至管理员指定的DNS服务器,且支持多台 DNS服务器的
27
负载均衡。支持标准 DNS服务器功能,支持多种 DNS 记录,包括A
,NS,CNMAE,TXT,MX,PTR记录。
高可用性
支持主-主和主-备模式,主备模式下支持基于设备优先级的主设备抢占功能。支持基于心跳信号丢失、链路断开等多种方式的HA 切换条件及逻辑支持 HA设备之间的会话自动同步,包括主主模式和主备模式,确保HA 切换时业务不发生任何中断支持双路 HA物理心跳线,确保HA运行稳定可靠支持 HA设备之间的配置自动同步,确保用户只需在一台设备进行业务配置
系统管理 支持基于WEB和命令行的设备管理模式,WEB界面和命令行模式下均可实现对设备所有功能的管理配置支持 SYSLOG和 SNMP v3,SYSLOG 日志支持同时发给多个日志服务器支持威胁可视化技术和流量可视化技术,可提供详细的分析展示图表。支持整机威胁统计和展示,包括基于地理位置的威胁地图展示、基于威胁级别和威胁类型的统计分析、基于威胁事件源/目的主机的 TOP10统计展示、基于具体威胁事件/威胁类型的TOP10统计展示等,统计展示的时间周期包括 1小时/1天/7
天/30天。支持基于流量的 TOP100用户和 TOP100应用的流量曲线图,流量曲线图的统计周期包括小时、天、7天和 30天。支持基于并发会话数量的 TOP100用户和 TOP100应用的并发数量曲线图,并发数量曲线图的统计周期包括小时、天、7
28
天和 30天。支持扩展集中策略分析模块,通过集中策略分析模块,实现:集中对所有防火墙安全策略进行冗余分析,可分析出哪些安全策略是不必要的冗余配置集中对所有防火墙安全策略进行收敛分析,也称宽松策略分析。能够支持查看任何一条宽松策略的流量详细信息集中对所有防火墙安全策略进行命中频率分析,辅助用户快速完成策略次序的调整,从而达到优化防火墙处理性能的目的。
服务要求 要求提供三年特征库升级服务,三年硬件质保服务要求原厂最终用户须注册为“宜兴市自然资源和规划局”
4.6 应用防护系统
项目指标 性能和参数要求
端口要求
标准 2U机架设备,6个 10/100/1000 Base-T 接口(含 1个HA 口,1个RJ-45 Console 口,1个 10/100 Base-Tx带外管理口,4个业务接口,业务接口支持 bypass),一个扩展插槽,2个USB 口,双电源;此次包含三年特征库升级服务,三年硬件维保服务。
产品性能 最大HTTP并发连接数≧220 万接入模式 支持透明、代理模式、单臂部署。
协议识别与分析
采用基于行为分析的检测技术,对 0day 攻击能够很好地防范。支持对Web相关应用协议进行自定义,并提供详细协议分析变量。
常见应用层攻击防护
能够针对基于HTTP/HTTPS/FTP 协议的蠕虫攻击、木马后门、间谍软件、灰色软件、网络钓鱼等行为进行检测与防护。
29
Web 攻击防护
具备HTTPS应用防护能力。具备 SQL 注入攻击的检测与防御能力。具备XSS 攻击的检测与防御能力。具备爬虫、CGI、漏洞扫描检测检测与防御能力。内置 Web应用防护事件库,并提供定期升级,能够针对最新及热点Web 攻击事件进行快速响应。具备 SYN Flood/UDP Flood/ICMP Flood 攻击、XML
DoS、HTTP Flood(CC 攻击检测与防御能力。应具备双引擎防护功能应具备暴力扫描防护功能,防止暴力破解网站
Web非授权访问防护
应具备CSRF 攻击检测与防御能力。应支持 Cookie信息防篡改功能,至少包括Cookie签名、Cookie保护属性设置。应支持网站盗链行为检测与防御。
Web恶意代码防护
应具备网页挂马检测与防御能力。应具备WebShell检测与防御能力。
Web应用合规
应具备基于URL的应用层访问控制功能。支持文件上传下载控制功能。支持 Web 表单关键字过滤功能。
Web应用交付
支持针对重点URL的网页防篡改功能,同时不会对Web服务器及Web应用系统造成额外影响。支持基于URL的流量控制功能。支持多服务器负载均衡功能,应至少支持 3 种负载均衡算法。
实时响应 应支持获取Web安全事件的原始攻击信息。网站锁 应具备网站锁功能,对网站进行锁定,可按日期、周期进行锁定
时间设置应用安全防护
产品必须为专业性 WEB应用防火墙设备及专业性 WEB应用防火墙资质,而非NGAF、NGFW、UTM设备
30
服务要求 要求提供三年特征库升级服务,三年硬件质保服务要求原厂最终用户须注册为“宜兴市自然资源和规划局”
4.7 数据防勒索系统
项目指标 性能和参数要求硬件规格 1U机架式设备,冗余电源,2个千兆网口,1T企业级硬盘;性能要求 整机吞吐量 2000Mbps,系统支持≥50套防勒索软件授权;软件配置 配置≥10套数据库防勒索软件、≥10套文件服务器防护软件。
管理模式
硬件安全网关中内置 B/S架构服务器管理服务,提供统一用户管
理、主机管理、策略配置及下发管理、日志及告警管理、硬件安
全网关及防勒索软件管理;防勒索软件部署在数据服务器上,与服务器管理软件 C/S架构连
接,实现勒索病毒攻击防护;防勒索功
能
防勒索软件和硬件安全网关联动防护,支持准入认证、进程认
证、日志采集、全网策略下发的功能;支持针对勒索病毒的操作系统驱动层级防护,防止勒索病毒加密
受保护文件、删除受保护文件;
31
实时审计程序对受保护文件及目录的访问操作,并强制自动禁止
恶意程序对受保护文件及目录的访问操作;实时审计程序的启动和运行,并强制自动禁止恶意程序的启动和
运行;实时检测网络流量,并实时阻断勒索病毒攻击局域网络其他主机
的 恶 意 流 量 , 其 中 默 认 包 含
135、137、138、139、445、3389;支持手动添加新发现的
勒索病毒利用端口,支持特定用途的主机豁免;支持来自网络和主机的病毒攻击日志记录功能,且支持查询、筛
选、导出的功能;支持图形化威胁统计功能,至少提供保护主机数、保护文件数、
拦截攻击数量实时显示,以及分不同周期的历史统计;提供实时
告警、拦截病毒类型分布的信息;支持页面告警、邮件发送告警功能;支持基于数据的操作系统内核级防护技术,非病毒特征库技术,
无需更新病毒特征库即可防御新型勒索病毒攻击;
32
支持服务器管理软件集中管理功能,可同时监控所有防勒索软件
的运行状态,并支持对所有防勒索软件进行统一安全策略配置及
进行版本升级;同时支持 Windows和 Linux 操作系统的主机层、网络层、数据
层的勒索病毒攻击防护;支持基于引导区攻击的勒索病毒防护;
管理功能
支持主路和旁路部署,支持连接状态自动同步,支持配置自动同
步;支持防勒索软件分组管理;支持集中日志存储、管理及分析功能,至少提供进程管控日志、
进程白名单日志、端口管控日志、文件防护日志、系统日志,并
支持日志按以上类别导出;支持自身安全补丁、升级的功能;
产品自身
安全
系统具有功能强大的身份认证系统和良好的自身安全性,防勒索
软件与服务器管理软件的通讯需要进行验证;防勒索软件卸载需要提供卸载密码;
33
支持防勒索软件自身防止被勒索病毒加密或删除;为防止基于Windows的管理平台自身被勒索病毒攻击,服务器管
理软件应采用非Windows 操作系统架构,内置于独立的硬件安全
网关中;防勒索软件的策略均由服务器管理软件集中管理,主机用户没有
对防勒索软件的管理、策略调整、模式选择、对话框确认、关闭
等任何操作的权限;
平台支持
防勒索软件支持在Windows Server2003-2016、Linux内核版
本 2.6.x-4.4.x 32位及 64位平台上安装;支 持 保 护 的 数 据 库 为 : MPP 、 Hbase 、 Oracle 、 SQL-
Serve
r、DB2、Informix、Sybase、MySQL、PostgreSQL、Terada
ta、Cache数据库、人大金仓、达梦、南大通用、神通数据库;
服务要求要求提供三年原厂质保服务要求原厂最终用户须注册为“宜兴市自然资源和规划局”
34
4.8 超融合配套软件
项目指标 性能和参数要求计算虚拟化本次项目提供 16个物理CPU数量的服务器虚拟化软件授权
虚拟机可以实现物理机的全部功能,如具有自己的资源(内
存、CPU、网卡、存储),可以指定单独的 IP 地址、MAC 地
址等每个虚拟机都可以安装独立的操作系统,为获得良好的兼容性
操作系统支持需要包括Windows、 Linux,并且支持国产操
作系统包括:红旗 linux、中标麒麟、中标普华、深度 linux
等。提供虚拟机回收站功能,防止因虚拟机误删除导致数据丢失,
超期的文件将被自动删除管理平台,和底层资源池部分的(计算虚拟化、存储虚拟化、
网络虚拟化)确保兼容且融合后运行稳定,并可以支持扩展相
兼容品牌的网络功能虚拟化、虚拟应用防火墙、虚拟应用负载
35
均衡等功能组件,以保障平台的扩展性和兼容性为了更好的保护用户数据,支持设置定期全量备份,支持用户
灵活配置备份策略,备份文件保留时间最高可以达到 15年,
支持将虚拟机的备份文件定期归档到第二存储,最多可以保留
100年提供虚拟机回收站功能,防止因虚拟机误删除导致数据丢失,
超期的文件将被自动删除支持无代理跨物理主机的虚拟机 USB映射,需要使用 USB
KEY时,无需在虚拟机上安装客户端插件,且虚拟机迁移到其
它物理主机后,仍能正常使用迁移前所在物理主机上的 USB
资源,对于业务的自适应能力、使用便捷性更佳。为尽可能保障数据中心断电场景下的业务,支持 UPS联动,并
在市电断电通过 UPS 临时供应电量,当 UPS电量多低时,按
照虚拟机优先级先将不重要的虚拟机进行软关机。支持在本地管理平台实现对 VMware vCenter中的虚拟机备
36
份,并能够在超融合的平台实现 VMware 虚拟机的启动恢
复;支持双向迁移,可将 VMware 虚拟机在运行状态下迁移到超
融合平台上,也可将超融合平台上的虚拟机在运行状态下迁移
到 VMware vCenter的集群中,迁移结束后可选择自动或手
动重启虚拟机支持创建虚拟机的时候批 量 指 定 IP 地 址和虚拟机的
hostname,支持编辑已经创建的虚拟机的 IP 地 址和
hostname。网络虚拟化本次项目提供 16个物理CPU数量的网络虚拟化软件授权
支持对 oracle、sqlserver、Weblogic 数据库及中间件监
控,实现对数据库的语句的故障定位排错,执行时延分析;快照一致性:集群业务或者 oracle rac数据库业务的快照具有
一致性;在管理平台上可以通过拖拽虚拟设备图标和连线就能完成网络
37
拓扑的构建,快速的实现整个业务逻辑,并且可以连接、开
启、关闭虚拟网络设备,支持对整个平台虚拟设备实现统一的
管理,提升运维管理的工作效率。主动探测业务系统,实时监控业务可用性,监控策略包括
HTTP、FTP、POP3、SMTP、自定义端口协议等,当业务出
现故障时,通过多种方式(短信、邮箱)告知管理员进行排
障。提供虚拟机报表功能,可以导出 TOPN的虚拟机进行 1年以内
的性能分析与趋势分析报表,可以自定义报表模板;为满足用户使用 ipv6 地址的需求,支持为虚拟机配置 ipv6 地
址,并可通过 ipv6 地址访问该业务;存储虚拟化本次项目提供 16个物理CPU数量的虚拟存储软件授权
支持为虚拟磁盘配置不同的存储策略以满足特定场景的需求,
如系统盘和数据盘选择高性能策略,备份盘选择低性能策略支持数据重建优先级调整,在故障数据重新恢复时,可由用户
38
指定优先重建的虚拟机,保证重要的业务优先恢复数据的安全
性。支持条带化功能,实现分布式 raid0的性能提升效果,并且支
持以虚拟磁盘为单位设置不同的条带数为了便于部署关键业务系统,虚拟存储可支持 Oracle RAC,
支持共享盘,及共享块设备,支持向导式安装,降低部署复杂
度支持针对亚健康盘卡慢状态自动处理,能够隔离卡慢盘实现读
写切源,避免卡慢盘影响集群的性能。支持对虚拟机或虚拟磁盘设置不同的缓存 QoS能力,区分出
高性能虚拟机、普通性能虚拟机和低性能虚拟机支持存储分卷功能,以物理主机为单位划分为不同的存储卷,
如高性能卷,大容量卷,全闪存卷等,可使对存储性能和容量
要求不同的业务运行在不同的存储卷上兼容性要求所投产品要求与超融合服务器确保兼容且融合后运行稳定服务要求 要求提供三年原厂质保服务
39
要求原厂最终用户须注册为“宜兴市自然资源和规划局”
4.9 东西流量安全防护
项目指标 性能和参数要求
虚拟防火墙
支持基于区域、IP 地址、域名、端口、用户、应用、服务、时
间等多个维度设置应用控制策略。支持 IPS检测引擎,支持口令暴力破解、僵尸网络、恶意软
件、服务器与终端漏洞攻击等检测和防护,支持超过 7000 种
特征规则支持对常见应用服务(FTP、SSH、SMTP、IMAP)和数据库
软件(MySQL、Oracle、MSSQL)的口令暴力破解防护功
能,全面保障业务的安全支 持 SYN Flood 、 ICMP Flood 、 UDP Flood 、 DNS
Flood、ARP Flood等泛洪类攻击防护,支持 IP 地址扫描和端
口扫描攻击防护。
40
产品资质要
求
所投产品要求与本项目超融合配套软件、超融合服务器确保兼
容且融合后运行稳定,且完全自主研发
服务要求要求提供三年原厂质保服务要求原厂最终用户须注册为“宜兴市自然资源和规划局”
4.10 外联边界UTM防火墙
项目指标 性能和参数要求
硬件标准 2U设备,双电源;设备标配 6个千兆电口,12个combo 接口;吞吐量≧8G,并发连接数≧300 万;此次包含3年防病毒特征库升级服务、三年硬件免费质保。
虚拟化
支持基于硬件Hypervisor技术的底层虚拟化,各个虚拟防火墙之间完全隔离,可运行不同的防火墙版本,拥有完全独立的CPU、内存、接口等资源。每个虚拟防火墙均提供完整的安全功能,包括防火墙、入侵防御、防病毒、上网行为管理和流控、VPN、IPv4/IPv6 双栈等。
访问控制
支持基于接口/安全域、地址、用户、服务、应用和时间的防火墙访问控制策略。支持基于策略的流量统计和会话统计支持策略预编译技术,在大量防火墙访问控制策略情况下整机性能不受影响。支持详细的访问控制策略日志,每条匹配策略的会话均可记录其建立会话和拆除会话的日志;访问控制策略日志可本地记录或发送至 Syslog服务器。
41
应用控制
支持基于DPI和DFI技术的应用特征识别及行为控制,应用识别的种类不少于 1000 种支持针对应用动作、应用内容的细粒度控制,如设定允许登录的QQ帐号白名单、邮件关键字过滤等支持 WEB控制功能模块,包括URL 访问分类管理、网页关键字过滤、http文件下载类型管理等功能。URL分类库规模不少于 2000 万条
流量控制
支持并开通基于线路和多层通道嵌套的带宽管理和流量控制功能,提供至少四层管道嵌套的流控支持基于接口的上下行带宽管理支持高、中、低优先级通道设置支持基于应用、用户、源地址、目标地址、服务、时间的通道匹配支持带宽限制、带宽保障和弹性带宽
会话控制支持基于接口/安全域、地址、用户、服务、应用和时间的会话控制策略,包括总连接数控制、每秒总新建连接数控制、每 IP
总连接数控制、每 IP 新建连接数控制。WEB防护
支持 SQL 注入攻击、XSS 攻击的检测和防御功能,对Web服务系统提供保护
APT防御 支持扩展APT检测模块,采用沙箱检测技术,对未知木马、病毒、恶意代码具有精确的检测效果,实现对未知威胁、高级持续威胁和 0DAY 攻击的有效防护。可对ex
e、rtf、pdf、xls(x)、ppt(x)、doc(x)、pps(x)、swf、rar、zip等常见的格式进行动态沙箱分析;可对rtf、pdf、xls(x)、ppt(x)、doc(x)、pps(x)做 PE
42
内嵌检测,并且能指出文件偏移位置。支持多种沙箱环境与应用环境,使用反反沙箱、时光加速、机器学习等领先技术,确保恶意样本逃逸率大幅降低。
威胁情报防护
支持基于威胁情报云的动态防护功能,防火墙支持将用户对互联网的访问信息发送至威胁情报云进行实时情报查询及防护。
防病毒
支持对HTTP、FTP、SMTP、POP3、IMAP 协议的病毒检测和过滤功能;支持基于接口/安全域、地址、用户、服务、应用和时间的防病毒策略设定。支持对文件感染型病毒、蠕虫病毒、脚本病毒、宏病毒、木马、恶意软件等过滤,病毒库数量不少于 1000 万。防病毒功能开启后,整机处理性能衰减不超过 30%
防攻击
支持对 Jolt2、Land-Base、Tear drop、Smurf等DOS 攻击的有效防护支持基于 IP、用户和应用的 Flood 攻击防护;对于 TCP 协议的 Flood 攻击,防护动作包括阻断、Syn Cookie和告警等。支持防扫描功能,可基于管理员设定的阈值识别 TCP、UDP及PING 扫描,并自动对发起扫描的主机进行限制。
网络特性 支持透明、路由、混合、旁路等部署模式;支持静态路由、动态路由(RIP、OSPF、BGP4)支持基于入接口、源地址、目标地址、服务端口、应用类型、域名的策略路由。支持并开通链路负载均衡,提供轮询、加权轮询、哈希等多种负载均衡算法,支持链路负载均衡的目的会话保持功能。支持并开通 IPSec VPN和 L2TP VPN,投标产品实配 IPSec
VPN 隧道数量不少于 5000 条。支持并开通 SSL VPN功能,投标产品实配 SSL VPN并发用户
43
数不限制。支持通过 ICMP、TCP、DNS和HTTP 协议实现对链路可用性的多重健康检查。支持源NAT、目的NAT、静态 NAT,支持一对一、一对多和多对多等形式的NAT支持各种应用协议的NAT穿越:FTP、TFTP、H.323、SQL
*NET支持标准 DHCP服务功能,支持 DHCP 条件下的 IP/MAC绑定及 IP 地址排除等功能。支持 DNS 透明代理功能,可将指定范围内的DNS请求自动重定向至管理员指定的DNS服务器,且支持多台 DNS服务器的负载均衡。支持标准 DNS服务器功能,支持多种 DNS 记录,包括A
,NS,CNMAE,TXT,MX,PTR记录。
高可用性
支持主-主和主-备模式,主备模式下支持基于设备优先级的主设备抢占功能。支持基于心跳信号丢失、链路断开等多种方式的HA 切换条件及逻辑支持 HA设备之间的会话自动同步,包括主主模式和主备模式,确保HA 切换时业务不发生任何中断支持双路 HA物理心跳线,确保HA运行稳定可靠支持 HA设备之间的配置自动同步,确保用户只需在一台设备进行业务配置
系统管理 支持基于WEB和命令行的设备管理模式,WEB界面和命令行模式下均可实现对设备所有功能的管理配置支持 SYSLOG和 SNMP v3,SYSLOG 日志支持同时发给多个日志服务器
44
支持威胁可视化技术和流量可视化技术,可提供详细的分析展示图表。支持整机威胁统计和展示,包括基于地理位置的威胁地图展示、基于威胁级别和威胁类型的统计分析、基于威胁事件源/目的主机的 TOP10统计展示、基于具体威胁事件/威胁类型的TOP10统计展示等,统计展示的时间周期包括 1小时/1天/7
天/30天。支持基于流量的 TOP100用户和 TOP100应用的流量曲线图,流量曲线图的统计周期包括小时、天、7天和 30天。支持基于并发会话数量的 TOP100用户和 TOP100应用的并发数量曲线图,并发数量曲线图的统计周期包括小时、天、7
天和 30天。支持扩展集中策略分析模块,通过集中策略分析模块,实现:集中对所有防火墙安全策略进行冗余分析,可分析出哪些安全策略是不必要的冗余配置集中对所有防火墙安全策略进行收敛分析,也称宽松策略分析。能够支持查看任何一条宽松策略的流量详细信息集中对所有防火墙安全策略进行命中频率分析,辅助用户快速完成策略次序的调整,从而达到优化防火墙处理性能的目的。
服务要求 要求提供三年特征库升级服务,三年硬件质保服务要求原厂最终用户须注册为“宜兴市自然资源和规划局”
4.11 安全数据交换系统
项目指标 性能和参数要求
45
安全数据交
换系统
硬件参数:标准机 2U架式,包含两台服务器主机组成;每台设备具备≥4
个 10/100/1000Mbps(电口)×4;硬件性能:1.应用吞吐量≥980Mbps
2.数据库交换并发表≥512
3.数据映射最大字段数≥256
4.数据同步记录数≥3000 条/秒5.目录监控触发时间<1秒6.并发客户端数量≥10000
7.文件交换速度≥450Mbps
8.最大数据文件≥20G
9.任务调度粒度:秒级功能要求:1.支持 ORACLE、SQLSERVER、DB2、SYBASE、MYSQL
等主流数据库的同步,可实现异构数据库同步,对数据库所在
46
操作系统无任何要求;2.数据交换系统支持数据库、文件之间的模糊格式同步交换,
可根据用户配置将文件内容识别并写入数据库,或按照用户指
定格式将数据库数据导出为文件;3.支持断点续传功能,在出现断电或传输中断等情况下,能够
保证系统恢复时,交换的数据能重传或续传且不出数据丢失现
象。4.符合《信息安全等级保护制度》三级要求,支持系统管理
员、审计管理员、安全管理员的三权分立管理模式;5.数据交换系统提供高级任务调度功能,包括:任务带宽调
度,任务执行周期/频率调度,任务优先级调度等,为重要业务
应用的可靠执行提供技术手段支持;6.数据交换系统具备“一键体检”功能;7.双机负载模式下,数据交换系统支持各节点的管理;8.数据交换系统可根据时间、任务名称、任务类型等信息,在
47
系统界面上展示出详细的数据统计结果;9.数据交换系统可根据统计间隔、统计类型、时间段及任务名
称等信息对任务数据进行分析,并可生成可视化的柱状图、趋
势图、对比图,便于系统操作人员进行管理;10.数据交换系统支持对传输任务的源端文件策略、病毒查
杀、同步周期、带宽分配等内容进行配置;11.数据交换系统支持对源端或目的端的数据库进行触发器清
理操作;12.数据交换系统支持通过系统界面对病毒库进行升级操作;13.数据交换系统支持服务转发功能,需要使用请求服务的用
户必须在系统中注册用户信息,用户信息包括用户名、密码、
访问 IP段等;对用户可以访问的WebService资源进行注册,
未经注册的资源将不允许访问;对用户访问 WebService资源
的请求参数和响应内容进行过滤,采用关键字过滤的方式检查
请求参数的响应内容,对不合法的请求或响应不允许传输;
48
14.数据交换系统具备对于账号安全的管理策略:帐户错误登
录次数达到所设置次数上限时,系统自动锁定 30分钟;登陆系
统后,一定时间内没有操作行为,自动退出登录。且系统支持
对于登录失败次数及登录超时时间进行设置。15.必须与数据网闸确保兼容且融合后运行稳定。
安全隔离网
闸
硬件架构:1.标准机架式设备;2.采用 2+1 双主机架构和专用硬件隔离技术;3.DDR3内存技术,支持双通道;4.保证信任网络和非信任网络之间链路层的断开,彻底阻断
TCP/IP 协议以及其他网络协议;5.采用基于 Linux内核的 TopOS 操作系统;6.隔离硬件内部程序固化防篡改:设计以安全性为第一原则,
一旦出现任何异常,就切断传输,保证不出现在数据内容检
查、完整性校验功能失效的情况下继续传输数据的情况;硬件参数:
49
1.10/100/1000Mbps(电口)×6;4个 USB 接口,2 个
RJ45串口。2.应用层数据传输率≥980Mbps
3.系统并发连接数≥30000
4.内部系统交换带宽≥2Gbps
5.硬件开关切换时间<5ns
6.延时<0.1ms
7.无故障运行时间≥50000小时功能要求:1.实现内外网之间安全隔离;支持双通道;使用多核CPU;2.提供显示功能,实时显示设备运行各项状态指标;3.采用 2+1架构和专用硬件隔离技术,属完全自主开发且不
可从外部编程控制;保证信任网络和非信任网络之间链路层的
断开,彻底阻断 TCP/IP 协议以及其他网络协议;4.系统硬件架构采用高可靠性设计;硬件设备内部采用特殊的
认证机制HLC,保证基于硬件的可信任计算体系;
50
5.隔离硬件上采用物理开关进行通道控制,可根据使用用户的
具体业务需要进行数据传输通道方向开关控制;6.隔离硬件内部程序固化防篡改:设计以安全性为第一原则,
一旦出现任何异常,就切断传输,保证不出现在数据内容检
查、完整性校验功能失效的情况下继续传输数据的情况;7.支持反扫描管理,保证设备不被攻击;8.HTTP:支持 HTTP/HTTPS 协议数据的代理传输,提供脚本
过滤、内容过滤、身份认证功能,提供 QQ、MSN等及时通信
软件控制;9.系统运行状态信息显示,可显示内存、cpu等相关信息10.千兆背板硬件架构,硬件设备内部采用特殊的认证机制
HLC,保证基于硬件的可信任计算体系;11.全面支持 64位计算技术;支持多核心CPU 硬件技术;12.本次项目在电子电气设备中限制使用某些有害物质。13.必须与安全数据交换系统确保兼容且融合后运行稳定,保
证兼容性和稳定性。
51
14.支持多种数据库整合,服务并提供多种规则策略15.具备安全数据流控制功能
兼容性要求要求能够与现网现有一套天行网安 DTP1089安全数据交换系
统实现HA 双机功能。
服务要求要求提供三年原厂质保服务要求原厂最终用户须注册为“宜兴市自然资源和规划局”
4.12 UTM安全网关
项目指标 性能和参数要求
基本要求
采用MIPS专用多核安全处理芯片架构,核数≥8,1U标准机
架安装,防雷击等级四级。提供 5个 10/100/1000MBase-T电口,4个光电复用
Combo 接口,每个接口可划分到不同安全域实现各接口间的
安全隔离。本次需要配置 IPS、Web防护、防病毒、SSL VPN和负载均
衡功能模块。
52
性能
吞吐率(bps)≥8G,最大并发连接数≥250 万,VPN 吞吐量
(bps) ≥3G,每秒新建连接数≥8 万,提供 IPSec VPN 隧道
数≥2000 条,提供并发 SSL VPN用户许可≥6个。网络适应性 支持透明、路由、混合、直连(虚拟线)模式
要求支持多系统引导,并可在WEB界面上直接配置启动顺
序;支持接口联动,当防火墙的一个接口故障后,会同时断掉其关
联的另一个接口,增加网络的稳定性支持 SmartDNS功能;注:SMARTDNS功能实现当外部用
户访问内部服务器时,联通用户解析到的域名 IP为联通地址,
电信用户解析到的域名 IP为电信地址不少于 3000个应用特征库,包括 400 多种移动终端
(iOS、Android、Mobile等)的应用库,支持基于应用协议
的策略路由,例如 P2P 流量可指定从某条特定互联网线路访问支持虚拟防火墙系统,每个虚拟防火墙互不干扰可拥有独立的
系统资源、管理员、安全策略等,每个虚拟防火墙提供独立的
53
web管理界面,每个虚拟防火墙可自定义CPU资源、会话
数、策略数、安全域数、源NAT数、目的NAT数。
入侵防御及
Web防护
配置入侵防御模块,具备 7000 种以上攻击特征库规则列表,
至少支持基于协议类型、操作系统、攻击类型、流行程度、严
重程度、特征 ID等方式的查询SQL 注入、XSS防护,支持 HTTP头域中的
URL、Cookie、Referer、POST检查点配置防护策略外链检查防护,支持自定义外链特性,类型支持
HTTP、HTTPS、FTP
CC 攻击检测,支持访问限速、代理限速、自定义请求阈值、
爬虫友好等方法,检测到CC 攻击时支持 JS Cookie、重定
向、访问确认、验证码四种认证方法内置知识库,详细描述攻击特征及解决方案
防病毒 具备 100 万种以上病毒特征库规则列表检测到病毒扫描和恶意网站时,至少支持填充、重置连接、只
记录日志三种处理方式
54
支持基于对HTTP、FTP、SMTP、POP3、IMAP 协议病毒以
及恶意网站设定自动抓包分析取证
VPN功能
支持标准 IPSec 协议,能够与 Cisco等知名厂商的VPN设备
互联互通支持 3DES、DES、AES等多种加密算法。支持 GRE、L2TP Over IPSEC VPN、IPSEC VPN、SSL
VPN等VPN连接。支持 windows XP、windows 7、windows 10系统、IOS
系统、安卓、MAC系统远程接入安全扩展功能 支持网络异常行为分析:采用异常分析检测引擎,自学习主机
和服务器行为基线,自动生成上限阈值、下限阈值、实施流
量、预测值等属性,根据安全基线偏离度综合异常行为特征库
分析出隐藏的异常行为。支持服务器异常行为检测:针对WEB 服务器实时监测建模,
自动生成上限阈值、下限阈值、实施流量、预测值等属性,根
据安全基线偏离度综合异常行为特征库分析出当前的针对于
55
Web服务器的异常行为。支持采用高级威胁检测引擎,采用行为分析技术检测无法通过
特征方式检测出来的未知网络威胁(如威胁的加壳与变种),
提供未知威胁的检测详细说明截图:包括名称、域名、已经恶
意 URL、恶意威胁 URL、恶意软件的可信度等。
兼容性要求要求能够与现网现有一台山石网科 E2800UTM安全网关实现
HA 双机功能。防雷要求 所投产品通过浪涌(冲击)抗扰度(±2KV)测试。
服务要求要求提供三年原厂质保服务要求原厂最终用户须注册为“宜兴市自然资源和规划局”
4.13 日志审计系统
项目指标 性能和参数要求硬件规格 综合处理性能≥2000 条每秒,400eps保存至少 6个月;产品接
口≥6个 10/100/1000M自适应电口,网络接口扩展≥2个
槽,USB 接口≥2个;10亿条日志量查询平均响应时间不超过
56
10秒;内存≥16GB,存储≥2TB;本次配置 100个日志源授
权,提供三年原厂质保服务。
使用模式采用B/S 模式,无需安装客户端,使用WEB浏览器访问管理中
心,浏览器端无需安装 Java运行环境。支持 chrome浏览。
日志采集
与转发
支持通过 Syslog、Syslog-NG、SNMP Trap、Netflow
V5、JDBC、Agent 代理、WMI、(S)FTP、NetBIOS、文件\文件
夹读取、Kafka等多种方式完成各种日志的收集功能。
资产管理支持对资产 IP 地址(含内网 IP)的地理信息进行管理,设置单 IP
及 IP段行政区及经纬度,支持地图显示。日志归一
化
系统提供页面可视化编辑归一化策略,对页面查看的日志编辑归
一化策略,所见即所得,也支持通过归一化文件的导入来支持归
一化,不需修改系统程序。日志解析字段内置 130个字段,属性字段可扩展,用户可根据审
计需要自行创建字段,字段类型包括 IP、字符串、整型等 6 种,
可设定字段长度、选择字段操作符集,选择映射函数等。内置及
57
新增的所有字段均可参与查询、关联分析和报表统计。支持正则表达式、Key-Value、JSON 日志解析,支持日志自动化
辅助范化。支持对选中的日志内容自动生成正则表达式来提取日志属性。系统可自动识别收集的日志并自动选择范化策略,也可由人工设
置设备的范化策略。针对匹配的多条范化策略,系统支持用户手
工设置策略匹配优先级,保证最佳范化策略匹配。支持对日志中的源和目的 IP 地址进行自动补全,补全 IP 地址的资
产、国家、区域和城市等信息。日志交互
式分析
系统支持即席在线查询,支持嵌套查询,可针对查询结果任意回
退,收敛事件范围;用户可根据需要配置事件显示的字段内容
等。查询结果可支持加密导出。用户点击事件任意属性字段,可以该字段为条件对事件进行统计
分析,并展示 Top 20排序,排序支持正序和倒序,并可对统计内
容进行点击下钻可以以图形化的方式展示日志属性之间的聚合关系,并支持手动
58
选择日志属性,显示多维事件分析图;属性可增加或减少,且支
持图片大小调整。能够在世界地图上实时定位事件源/目的 IP 地址(内网 IP)的地理
位置;采用机器学习对原始日志进行聚类分析,能够对原始日志结构模
式进行自动识别(无须范化),使审计人员清晰了解采集的日志构
成。
日志统计
分析
支持柱状图、饼图、折线图、面积图、堆积图、环状图、数值
图、地图、3D 地球等形式的统计信息可视化展示,并可将统计结
果保存为仪表板和报表等。图表数据支持数据下钻。支持将统计结果保存为仪表板、报表和策略。
日志综合
展现
用户可根据需要随时调整已创建的仪表板,编辑仪表板展示条
件,调整大小和位置、新增组件等;可针对仪表板的任一元素进
行下钻,查看原始日志。
报表管理系统支持提供安全运维报告,帮助运维人员快速生成日常日志分
析和运维报告
59
系统管理
系统口令错误次数可设置,超过错误次数锁定,锁定时间可设
置。支持网络诊断工具 Ping, Traceroute, TCPDump等。支持三权分立;内置管理员组与用户组。管理员组包括:系统管
理员、安全管理员、审计管理员;用户组默认用户包括:管理
员。
系统认证产品内部的各个组件之间通信都支持加密传输,浏览器访问管理
中心支持 HTTPS。
服务要求要求提供三年原厂质保服务要求原厂最终用户须注册为“宜兴市自然资源和规划局”
4.14 堡垒机
项目指标 性能和参数要求
硬件规格至少具备 6个 10/100/1000自适应电口,产品至少具备 1个扩
展槽,支持扩展板卡。部署方式 物理旁路,逻辑串联模式,不影响原有网络架构
60
HA 双机热备、支持跨地域、跨数据中心,多层次部署资源授权 至少 100个主机/设备操作监控许可证资源管理 支 持
SS
H、RDP、VNC、Telnet、FTP、SCP、SFTP、DB2、MySQL
、Oracle、SQL Server、Rlogin等协议支持 Linux/Unix、Windows、H3C、Huawei、Cisco等系统支持图形、字符,混合协议下的批量登录支持 IPv4、IPv6 双栈网络运维审计支持通 过 应 用 发 布 实 现 对 MySQL 、 SQL
Server 、 Oracle 、 IE 、 Firefox 、 Chrome 、 VNC
Client、SecBrowser、VSphere Client、Radmin、dbisql
等应用程序/客户端的扩展支持支持云主机资源批量添加,包括阿里云、百度云、华为云、腾讯
云、Ucloud、AWS、Azure云平台的资源。不限操作客户端系统类型,无需安装任何客户端插件,使用H5
61
直接运维windows、Linux、网络设备等资源支持第三方客户端运维字符类型资源(交换机、路由器)通过群发命令、预置命令,实现同时运维多台资源设备支持运维过程中会话协同,可邀请其他用户参与、协助操作;会
话协同过程中,参与者可以控制会话,创建者强制获取控制权。支持以云盘形式在堡垒机上存储文件,并自定义云盘大小,实现
操作端、堡垒机、目标服务器三者之间文件共享。
用户管理支持本地、RADIUS和 LDAP、AD域等认证方式支持动态令牌、USBKEY、手机令牌、手机短信等多因子认证支持按 IP黑白名单、访问时间段限制用户访问堡垒机、
访问控制
支持按用户、账户组设置多对多的资源访问授权,用户组和账户
组内的新增成员自动继承授权关系预制 Linux主机和网络设备的基本命令,支持正则表达式和通
配符方式设置匹配规则,自定义命令黑白名单自动运维 支持自动修改服务器资源帐号的密码,并且将改密后的密码分为
A、B两段,发送到指定的两个人的邮箱,必须凑齐两部分密码
62
才可以查看完整服务器密码。支持混合协议(RDP/SSH/TELNET)批量运维支持自定义运维任务,实现命令执行、脚本运行、文件批量分发
自定义灵活组成自动化运维任务。
工单管理支持通过工单申请资源,权限包括文件上传下载、RDP剪切
板,流程可按多人多级审批模式或会签审批模式
操作记录
支持用户水印功能,避免数据泄露无法追责支持对运维操作中的详细操作命令、步骤、以及双人授权、协同
用户、剪切板拷贝行为进行记录,并可以通过关键字搜索定位回
放,审计日志内容支持导出
会话回放
页面直观展示操作指令,包括原始操作命令,命令输出、并可以
通过操作的命令关键字定位播放会话视频,视频回放,支持播放
速度调整、拖动、暂停、停止、跳过空闲、重新播放等操作,会
话录像可离线下载播放改密计划 支持自动修改资源服务器账户密码,系统类型包括Windows/
Linux/Unix/Cisco/Huawei/H3C等网络设备,数据库类型包括
63
MySQL、Oracle、SQL Server等。实时监控 支持对当前会话进行无延时的实时监控和切断
系统设置
支绑定堡垒机用户公钥,实现客户端访问堡垒机免密码登录持支持在前端 Web 页面做 ping、traceroute、telnet 网络诊
断,并支持展示系统负载、内核、内存、网卡、路由表、ARP
信息、磁盘使用信息等状态信息
服务要求要求提供三年原厂质保服务要求原厂最终用户须注册为“宜兴市自然资源和规划局”
4.15 数据库审计
项目指标 性能和参数要求
硬件规格1U 标准机架设备,单电源,设备配置 6电口(含 1 个管理
口、1个HA 口)+接口扩展插槽,1个RJ45串口
性能要求入库速度≥6000 条/秒,日处理事件数≥8000 万条,此次配置
≥10个被审计 DB服务数授权部署管理 支持旁路部署方式对原有网络不造成影响,支持透明部署、支持
64
Bypass,支持旁路、在线混合部署可HA部署,产品支持主备方式支持对部署在 vmware、KVM、Xen等虚拟化环境中的数据库
进行审计,审计系统可虚拟化部署
审计协议
支持对Oracle、SQL-Server、DB2、Informix、Sybase、MySQ
L、PostgreSQL、Teradata、Cache、MongoDB、Redis、H
base、hive等数据库进行审计。支持人大金仓 KingBase、神通(OSCAR)、达梦(DM)、南大通
用(GBase)
支持 MongoDB、Redis、Hbase、hive等数据库进行审计。支持 FTP、Rlogin、Radius、NFS、X11等协议审计支持 SSH、SCP、SFTP、SCP等加密协议审计支持 RDP 协议审计,可审计关键的键盘输入,记录会话过程支持对邮件协议的审计,包括 pop3、smtp及 Imap等
审计能力 系统应内置规则集,对数据库DML、DCL、DDL等语句及
FTP、Telnet等协议中的命令进行归类,便于用户定制审计策
65
与效果 略。审计策略支持时间、源 IP、目的 IP、协议、端口、登陆账号、
命令作为响应条件。审计策略支持数据库客户端软件名称、数据库名、数据库表名、
数据库字段名、数据库返回码作为响应条件。提供对数据库返回码的实时说明,帮助管理员快速对返回码进行
识别。支持对数据库DML、DCL、DDL语句的审计审计策略支持数据库客户端软件名称、数据库名、数据库表名、
数据库字段名、数据库返回码作为响应条件。审计策略支持时间、源 IP、目的 IP、协议、端口、登陆账号、
命令作为响应条件支持对数据库绑定变量方式访问的审计支持访问数据库的源主机名、源主机用户的审计支持 SQL 操作响应时间的审计支持 Select 操作返回行数和返回内容的审计支持对超长 SQL语句的审计
66
支持访问数据库的源主机名、源主机用户、SQL 操作响应时
间、数据库操作成功、失败的审计支持频次告警,某一操作在周期时间内达到设定的次数阀值即可
告警,周期事件和次数可按需配置。支持数据库并发会话数、并发进程数、并发用户数、并发游标
数、并发事务数、数据库锁等超过限制的审计。支持数据库操作类、表、视图、索引、触发器、存储过程、
域、Schema、游标、事物等各种对象的 SQL 操作审计。支持 Telnet和 FTP 协议的审计,能够审计用户名、操作命令、
命令响应时间、返回码等支持审计网络邻居的用户名、读写操作、文件名等支持审计 NFS 协议的用户名、文件名等支持审计 Radius 协议的认证用户 MAC、认证用户名、认证
IP、NAS服务器 IP
支持 IP-MAC绑定变化情况的审计支持对针对数据库的XSS、SQL 注入攻击行为进行审计
67
业务关联
审计
支持中间件环境下的 SQL语句关联到 HTTP 操作,HTTP 操作
关联到HTTP-ID,实现中间件环境下的审计追溯支持实时关联,实时显示关联结果,无需时候手动查询
数据库异
常行为审
计
支持根据网络数据流自动建立数据库操作行为基线。数据库操作行为基线包括数据库账号、操作类型、源 IP、客户
端程序等行为特征。支持对超出数据库操作行为基线的操作可自动识别,并及时告警
事件查询
统计与报
表
支持用户操作轨迹图展示,轨迹图维度可自定义,包括:资源账
号、源 ip、客户端程序名、命令、表名、错误码等,可根据昨
天、最近七天、最近 30天以及自定义时间进行轨迹显示,可显
示关联数量,可在某一维度中进行筛选。支持敏感信息掩码,用户可以针对姓名、身份证号、手机号、银
行卡号、住址以及自定义信息进行敏感信息掩码配置,防止敏感
信息在审计系统中进行泄露。支持按时间、级别、源\目的 IP、协议名、源\目的MAC、源\目
的端口为条件进行查询
68
支持按数据库名、数据库表名、字段值、数据库登陆账号、数据
库操作命令、数据库返回码、SQL 响应时间、数据库返回行数
作为查询和统计条件查询需支持返回全部符合条件的结果,无上限限制。可支持 sql语句关键字查询,查询结果包含该关键字的 sql语
句。提供缺省的报表模板库,包括 SOX报表、PCI报表等模板,供
用户选择使用。系统应内置统计分析模板,统计模板包括且不限于:趋势分析、
统计分析、性能分析等,且支持自定义模板,自定义条件包括源
IP、目的 IP、资源账号、客户端名称、协议等 10几种。系统支持根据自定义关键字自动生成报表支持按每天、每周、每月、时刻生成报表支持生成Word、PDF、xls、HTML、WPS 格式的报表导出支持邮件方式自动发送报表
自身管理 提供管理员权限设置和分权管理,提供三权分立功能,系统可以
69
对使用人员的操作进行审计记录,可以由审计员进行查询,具有
自身安全审计功能管理员登陆支持静态口令认证,支持密码的复杂性管理,比如大小写、数字、特殊字符、长度等能够对连续失败登陆进行自动锁定,锁定时间可设置提供审计数据管理功能,能够实现对审计数据的自动备份、删除提供系统升级功能,能够通过升级包的方式实现升级提供磁盘存储容量不足、磁盘 Raid故障等自动邮件报警审计系统上存在大量敏感信息,必须对审计管理员进行强度更高的认证,管理员登陆支持硬件令牌认证提供 CPU、内存、磁盘、网口、运行时间、运行状态等信息的
监视功能系统支持一键自检功能,可以检查系统当前运行状态,检查内容包括:系统信息、进程信息、数据库信息、授权信息、用户信息等 17项内容,协助管理员迅速定位系统异常,减少日常维护工作量。系统告警,系统可以针对引擎状态变化、关键进程异常、登录异常、权限异常、系统资源超限、流量超限、HA状态变化、磁盘空间不足等各类系统自身异常进行实时页面告警,帮助管理员及时发现系统异常。
响应方式 记录审计事件、记录会话数据、忽略、界面告警、Syslog告
70
警、SNMP trap告警、邮件告警、短信告警
第三方扩
展接口与
联动功能
支持 SNMP方式,提供系统运行状态给第三方网管系统支持 Syslog方式向外发送审计日志支持连接外置存储,以扩展日志存储能力支持 IPV6环境下数据库的审计支持与 Web应用防火墙(WAF)的联动,可对WAF上报的应
用系统攻击实现场景还原展示支持与 APT检测产品的联动,对于网络传输的文件不仅可以审
计,还支持恶意代码检测,报告可疑的攻击文件支持审计系统扩展,可采用大数据平台存储和分析审计日志,极
大的扩展存储空间和分析能力。
服务要求要求提供三年原厂质保服务要求原厂最终用户须注册为“宜兴市自然资源和规划局”
4.16 漏洞扫描系统
项目指标 性能和参数要求性能要求 系统漏扫授权 IP数≥100;WEB 漏扫授权 URL数≥20;主机
71
漏扫最大并发 IP数≥75;WEB 漏扫最大并发URL数≥5。
硬件参数规格:1U,内存≥8G,硬盘容量≥128GBSSD1TBSATA;千
兆电口≥6,千兆光口 SFP≥2。风险统计 支持全局风险统计功能,通过扇形图、条状图、标签、表格等形
式直观展示资产风险分布、漏洞风险等级分布、紧急漏洞、风险
资产清单等信息,并可查看详情。支持从“高危”、“中危”、“低危”、“安全”四个安全级别
展示资产的风险分布情况支持从紧急漏洞的视角展示主机风险,清晰呈现已发生和未发生
的紧急漏洞类型,支持以报表形式展示紧急漏洞的风险等级、影
响资产数、漏洞数量、最近发现时间,可关联漏洞详情。支持从漏洞视角分类型呈现风险概览和详情信息,支持在线查看
展示“系统漏洞”、“WEB 漏洞”、“弱口令”和“基线风
险”的名称、风险等级、影响资产数、漏洞数、最近发现时间,
并可关联漏洞详情。漏洞详情可支持展示漏洞名称、漏洞类型、
72
发现时间、影响资产、漏洞描述、漏洞影响、修复建议、CVE
编号和举证信息。
任务类型
支持快速扫描、资产发现、系统漏洞扫描、弱口令扫描、WEB
漏洞扫描、基线配置核查六种任务类型,其中快速扫描支持系统
漏洞扫描、WEB 漏洞扫描、弱口令扫描同时执行。
资产发现
支持资产发现功能,可基于 IP 地址、IP网段、IP 范围、URL等
方式进行资产发现扫描,支持 EXCEL 格式批量导入。资产发现支持存活探测、服务和端口探测、操作系统识别、数据
库识别、中间件识别等功能,其中服务和端口探测支持常用端
口、全局端口和自定义端口三种探测方式。系统漏洞
扫描
支持多种系统漏洞检测技术,如:基于漏洞原理的原理扫描技
术、基于 banner信息的漏洞扫描技术等。内置不同的系统漏洞模板,包括高可利用系统漏洞、原理检测系
统漏洞、中间件漏洞、数据库漏洞等类型,支持报表形式展示漏
洞模板风险等级分布概览,支持报表形式展示漏洞模板详情,包
73
括漏洞总数、漏洞名称、漏洞类型、风险等级等信息。
WEB 漏
洞扫描
支持信息泄漏类漏洞检测,如:mail 地址、敏感目录暴露、内
部 ip 地址、会话令牌、源码、数据库备份文件、SVN文件、系
统重要配置、日志文件向外网泄漏等。内置不同的WEB 漏洞模板,包括高可利用WEB 漏洞、通用应
用漏洞、SQL 注入漏洞、XSS 注入漏洞等类型,支持报表形式
展示漏洞模板风险等级分布概览,支持报表形式展示漏洞模板详
情,包括漏洞总数、漏洞名称、漏洞类型、风险等级等信息。
弱口令扫
描
产品内置常用字典和精简字典两种弱口令扫描模板,常用字典包
含常见的用户名及 TOP160 密码,精简密码适用于爆破速度快
的密码猜解场景,支持自定义新增密码字典功能。
基线配置
核查
支持对Windows、Linux等操作系统按照等保二级、等保三级
要求实施基线配置核查。支持离线基线配置核查功能,支持通过基线配置模板导出离线脚
本、通过任务列表导入基线扫描结果等功能。
74
报告管理
产品支持对系统漏洞、WEB 漏洞、基线配置、弱口令进行扫描
和分析,可同时输出包含系统漏洞扫描、WEB 漏洞扫描、基线
配置核查、弱口令扫描结果的报表。支持导出统计报表和详细报告,统计报告包括综述信息、风险概
况、资产风险列表、风险详情、参考标准、安全建议等内容;详
细报告包括风险概述、资产风险列表、资产风险详情等内容,其
中,基线风险会展示检测结果、风险等级、基线 ID、基线项类
型、风险值、检查点描述、解决方案等内容。漏洞风险会展示风
险页面、风险等级、风险描述、危害影响、解决方案、参考资
料、风险举证等内容。
系统管理支持查看系统 CPU、内存、磁盘资源的使用情况,支持系统设
备状态的实时监控、一键式关机和重启。系统升级和插件升级均支持导入升级包升级和在线升级两种形
式。日志审计 支持对用户名、时间、主机 IP、操作类型、操作对象、操作结果
75
进行审计,并可以 EXCEL 格式导出审计记录。
服务要求要求提供三年原厂质保服务要求原厂最终用户须注册为“宜兴市自然资源和规划局”
4.17 未知威胁感知系统
项目指标 性能和参数要求分析平台
设备规格4*GE管理电口;冗余电源;内存不低于 128G;存储硬盘不低于
960G SSD + 8*4TB SATA。设备性能 最大日志处理速度≥1.7weps
功能授权提供威胁感知、调查分析、场景化分析、日志检索、资产管理、
报表等功能模块,3年威胁情报更新授权。
集 群 与联
级部署
支持分析平台横向扩展至多台设备集群;支持二级级联部署,下
级分析平台向上级分析平台发送告警和相关信息,在上级分析平
台上进行汇总展示威胁感知 支持告警的深度行为分析,行为包括 DNS 解析行为、TCP/UDP
76
交互行为、WEB 访问行为、传输文件行为支持以受害资产维度进行分析,分析内容包括失陷状态、受到的
攻击类型、威胁级别、处于的攻击阶段、所属的资产分组以攻击者的维度进行分析,对攻击者进行画像,画像内容包括地
理位置信息、国家信息、所属组织、使用的攻击手段、攻击的所
有资产。
威胁分析
支持从威胁情报、应用安全、系统安全和设备安全的业务场景维
度对告警进行攻击带外分析。威胁情报维度分析包括:情报详情、影响资产列表、资产的行为
(行为包含:DNS 解析、TCP 流量、UDP 流量、WEB 访问、文
件传输)。应用安全的细分维度包括:WEB安全、数据库安全、中间件安
全。系统安全的细分维度包括:暴力破解、弱口令、未授权访
问、挖矿行为等;云端联动 支持与云端威胁情报中心联动,可对攻击 IP、C&C域名和恶意样
77
本MD5进行一键搜索,查看基本信息、相关样本、关联URL、可
视化分析、域名解析、注册信息、关联域名、数字证书等。
威胁情报
支持基于威胁情报的威胁检测,检测类型包含 APT事件、僵尸网
络、勒索软件、流氓推广、窃密木马、网络蠕虫、远控木马、黑
市工具、其他恶意软件,并可自定义威胁情报行为分析 支持可疑DNS 解析:能够检测发现DGA域名与 DNS 隧道域名,
支持根据时间范围、请求次数、DNS域名总长度自定义DNS 隧道
检测规则。支持疑似 DNS服务器发现:能够根据响应 DNS请求与发起DNS
请求进行行为分类支持链路劫持分析:能够展示被劫持对象、CDN服务器、被劫持
资源、文件MD5、访问时间等详细信息
支持 DNS重绑定分析:能够展示受害 IP、攻击 IP、域名、DNS
解析记录、访问时间等详细信息
支持可疑代理分析:能够发现
78
socks、http、reDuh、RegeoryTunnel、Tunna等代理类型支持异常登录行为检测,检测内容包括:源 ip、账号、登录资产
IP、使用协议、登录结果等信息,且能进行异常时间配置针对WEB服务器行为进行分析,支持非常用请求方法分析,展示
源 ip、目的 ip、域名、访问链接、请求方法、状态码、最近访问
时间等信息。
取证分析
可基于告警数据进行全包数据取证分析并兼容 wireshark过滤语
法对全包数据进行查询。与相兼容品牌设备联动后,支持根据日期、源 ip、目的 ip、端口
等对全流量数据进行查询,并支持原始 pcap包下载到本地进行分
析
天眼狩猎
支持对任意线索的自定义拓线及溯源取证分析,支持以可视化分
析画布形式展示拓线过程并支持结果快照导出;支持对于给定线
索的溯源结果展示,包括但不限于攻击溯源、失陷主机分析、暴
力破解分析、弱口令分析等。
79
响应处置
支持工作流程自定义编排支持联动服务管理,支持 python语言与 javascript语言在web
页面编辑联动服务。支持任务脚本自定义编辑,支持 python语言与 javascript语言
在web页面进行编辑
联动处置
支持与相兼容品牌终端 EDR进行联动,发现威胁事件后支持在终
端上进行追踪溯源发现相应的恶意进程并对其进行查杀。支持与相兼容品牌防火墙进行联动,发现威胁事件后支持对攻击
IP、恶意域名和受害资产的流量进行阻断(将策略下发给防火墙,
由防火墙执行阻断)。
级联管理支持二级级联部署,下级分析平台向上级分析平台发送告警和相
关信息,在上级分析平台上进行汇总展示第三方登
录管理支持配置第三方域账号登录
邮件告警 支持邮件告警功能,可以定时向指定邮箱发送 APT事件、攻击利
80
用、恶意软件、拒绝服务等类型的告警信息流量传感器
设备规格 网络吞吐≥1Gbps;端口不低于 6 千兆网口;存储空间不低于1TB
部署模式支持旁路部署,可同时接入多个镜像口,每个镜像口相互独立不
影响
功能授权包括入侵检测、网站漏洞利用、webshell上传和威胁情报等模
块,含 3年系统软件和特征库升级硬件质保 提供 3年原厂硬件质保流量采集 支持常见协议识别并还原网络流量,用于取证分析、威胁发现,
支 持 :htt
p、dns、smtp、pop3、imap、webmail、DB2、Oracle、M
ySQL、sqlserver、Sybase、SMB、FTP、SNMP、telnet、nf
s等。支持对流量中出现文件传输行为进行发现和还原,并记录文件
MD5 发 送 至 分 析 设 备 , 如 可 执 行 文 件
81
(EXE、DLL、OCX、SYS、COM、apk等)、压缩格式文件
( RAR 、 ZIP 、 GZ 、 7Z 等 ) 、 文 档 类 型 文 件
(word、excel、pdf、rtf、ppt等)。支 持 常 见 数 据 库 协 议 的 识 别 或 还 原 :
DB2、Oracle、SQLServer、MySQL、PostgreSQL等协议支持 TCP/UDP 会话记录、异常流量会话记录、web 访问记录、
域名解 析、SQL 访 问记录、邮件行为、登录情况、文件传
输、FTP控制通道、SSL加密协商、telnet行为、IM通信等行为
描述。支持自定义协议和端口,满足特殊场景下的流量抓取
基础显示显示网络监听状态,包括网络流量、应用流量、文件流量显示系统匹配的威胁情报总体监控数量
威胁检测 威胁情报检测:支持基于流量实时 IOC匹配功能,设备具备主流
的 IOC,情报总量 50+万条。web 攻 击检测:支持检测针对 WEB 应用的攻 击,如 SQL 注
入、XSS、系统配置等注入型攻击;支持跨站请求伪造CSRF 攻击
82
检测;支持其他类型的WEB 攻击,如目录遍历、弱口令、权限绕
过、信息泄露、文件包含、文件写入攻击等检测。Webshell 攻击检测:支持基于工具特征的WEBSHELL检测,能
通过系统调用、系统配置、文件的操作来及时发现威胁;如:中
国菜刀、小马上传工具、小马生成器等。Webshell 攻击检测:支持基于 webshell函数的攻击检测,如文
件包含漏 洞、任 意文件写入、任 意目录读取、任 意文件包
含、preg_replace 代码执行等。Webshell 攻击检测:支持基于代理程序的攻击检测,如 TCP 代
理程序、HTTP 代理程序等。支持多种攻击检测,能更全面的从流量中发现威胁,如:协议异
常、网络欺骗、黑市攻击、代码执行等。策略配置 文 件 还 原 : 支 持 对
HTT
P、FTP_DATA、SMB、SMTP、POP3、WEBMAIL、IMAP、TF
TP、QQ、NFS等类型协议的流量进行文件还原
83
抓包分析:支持通过设备对流量进行抓包分析,可定义抓包流量
双向或单向、数量、IP 地址、端口或协议类型语义分析:支持基于网络请求的语义分析检测,能够将网络请求
拆分后从请求头、响应头、请求体、响应体四方面详细展示请求
内容,并能提升对未知威胁检测能力旁路阻断:支持基于 IP 地址的旁路阻断,能够在实时镜像的流量
中发现恶意 IP并实现实时阻断;支持基于 URL的旁路阻断,并能
将URL请求进行重定向支 持 自 定 义 弱 口 令 字 典 , 支 持
HTTP、HTTPS、Telnet、FTP、POP、SMTP、IMAP等协议的
自定义弱口令检测。支持旁路 HTTPS 解密、威胁检测。web 端 提 供 针 对 恶 意 扫 描 、 Flood 攻 击 、 IP 碎 片 攻
击、ARPSpoof、PingSweep等检测策略配置功能。系统配置 支持 AES256、SM4数据传输加密,确保数据传输的安全性
支持威胁告警信息发送给 syslog服务器,支持将威胁告警、威胁
84
等级、网络日志、攻击结果、威胁类型等日志传输给 KAFKA、威
胁分析平台。支持与集中管理平台进行联动,统一进行情报、规则的升级。
服务要求要求提供三年原厂质保服务要求原厂最终用户须注册为“宜兴市自然资源和规划局”
4.18 虚拟化杀毒系统
项目指标 性能和参数要求
部署与实现
产品自带高性能数据库,无需外置数据库即可实现日志存储和
分析关联。产品提供已加固的安全操作系统作为管控平台的运
行环境,不需要提前安装准备操作系统。支持与多租户架构虚拟化平台深度整合,可直接使用虚拟化平
台的租户账号直接登录并管理安全配置。支持由管理员自定义
和新建租户。不同租户可单独管理虚拟机/终端、安全配置,
不同租户的管理、策略相互隔离。产品应支持高可用部署,保障管理节点无单点故障。
85
授权数量管理控制中心软件 1套,防病毒+防火墙+IPS+防暴力破解
功能授权,16颗物理CPU+50点客户端授权
兼容与支持
产品应至少支持 VMware 、Ctrix、Huawei 、H3C、中兴、
浪潮、青云、品高等国内外主流厂商的虚拟化平台。支持根据虚拟机所在的主机池/项目、主机名、分组、安全组
以及虚拟机名称和操作系统制定分组匹配规则,可为虚拟机自
动分配安全配置。
虚拟化杀毒
产品提供多种病毒查杀方式,包括实时查杀,快速扫描、全盘
扫描和指定目录扫描,支持个性化扫描,能够基于不同路径、
不同文件类型、时间等进行自定义病毒扫描查杀。产品应支持除文件、文件夹例外,还需支持单独的病毒黑白名
单的管理运维webshell 扫描 产品应内置单独的webshell 扫描引擎,可以有效防护
PHP、JSP、ASP、ASPX等文件的恶意 webshell检测,支持
显示 WebShell检测出来的事件日志,例如后门类型、文件路
86
径、操作动作、发现时间、IP 地址、状态等;能够针对
webshell文件设定白名单,对文件进行加白处理,避免对网
站核心系统文件造成影响。
系统加固
产品支持对虚拟机/终端系统上运行的应用进行管控,防止未
知恶意程序允许 1.支持对应用程序配置允许、监控、阻止动作,及其他应用
程序相应的控制动作; 2.支持对应用程序名、应用程序路径、例外应用程序路径设
置 3.支持一键添加windows和 linux系统应用程序设置,避
免逐条手动添加。产品支持 SSH、RDP、telnet等服务的暴力破解检测,可对
来自网络的暴力破解行为进行拦截,支持配置时间、破解次
数、拦截时长,并提供暴力破解 IP或 IP段的黑白名单设置。微隔离 产品支持虚拟机/终端系统的双向状态防火墙,可以针对源目的
IP、源目的端口、协议、进出站方向配置访问控制策略;支持87
批量进行防火墙规则的删除和复制,手动调整访问控制规则优
先级;内置威胁情报能力,支持针对恶意域名/IP等访问自动隔离或
监控,有效防御僵尸网络、垃圾邮件服务、恶意 IP、APT 组
织、恶意矿池等安全威胁。产品应支持对DDoS等异常流量进行拦截和清洗1. 应支持 TCP/UDP/ICMP等类型的 Flood 攻击进行防护2. 支持数据清洗,有预设的高中低阈值,并可自定义清洗阈
值入侵防御 产品应支持入侵防御功能,可针对出入虚拟机的流量进行检测
识别和阻断攻击,防御网络攻击及入侵行为1. 产品预置入侵防御规则应不少于 10000 条次(不包含自定
义规则),支持严格、高、中三种预定义级别;2. 对于特定业务或流量,产品应支持按 IP 地址/地址段、端口
进行加白处理。3.支持虚拟补丁功能,可以在针对windows、linux、数据
88
库、应用等已知漏洞修复之前,提供针对此补丁攻击的防护能
力,以免遭受威胁入侵。网络可视化及
管理
产品应支持应用协议的内容进行解析和识别,针对分类配置阻
断、允许策略;
分析呈现
产品内置支持数据中心威胁态势感知,大屏动态展示安全运维
状况,结合地理位置信息全面呈现威胁攻击详情;支持按总流量、恶意流量、新建连接对流量进行统计和展示;支持按主机池、分组、虚拟机/终端、网络协议、网络协议
组、国家/地区、城市等维度对流量进行统计和展示;支持按照不同安全模块,通过分组、虚拟机/终端、网络协
议、网络协议组、国家/地区、城市,威胁类别以柱状图、折
线图(曲线图)、饼图、原始日志等形式进行展示其它特性 产品应支持 Syslog,支持将安全日志发送到第三方服务器
上,支持设定特定事件转发 syslog
产品应支持多账号,不同账号设定不同功能使用和访问权限产品支持自定义 Logo、产品名称等定制
89
产品支持默认和自定义策略模板,单个模板同时包含所有安全
模块策略,可以批量或单独下发给虚拟机/终端;针对特定虚
拟机/终端安全需求,可以手动进行特殊化安全配置。并支持
一键继承安全配置模板。实现对 IPv6的支持,包括:控制台支持对 IPV6可配置,可
通过 IPV6网络访问,兼容 IPv6的网络场景。
服务要求要求提供三年原厂质保服务要求原厂最终用户须注册为“宜兴市自然资源和规划局”
4.19 IT运维管理系统
项目指标 性能和参数要求基本功能 要求以B/S 结构的方式进行展现,包括:拓扑展现、运行展现、
告警展现等;配置≥100个设备管理许可;配置性能采集器、报表管理、地址
薄管理、安全准入管理、配置管理、日志管理、存储管理、虚拟
化管理、巡检管理、3D机房建模等模块功能。能够对接外部采
90
集平台和级联。产品支持跨浏览器,可以根据人员的习惯使用不同的浏览器。软
件支持安装在WINDOWS平台或 LINUX平台;系统自带数据库,根据需要也可以使用外部数据库;支持工单流程化管理;对于数据采集方式,具体如下:对网络对象主要的采集手段应包括:主动采集:投标方提供的采集方式应至少包括 SNMP
Polling、ICMP、ARP、Traceroute、NetBIOS、SSH。被动采集:投标方提供的采集方式应至少包括 Syslog,SNMP
TRAP。对主机、软件与应用的采集我们要求投标方提供的采集方式应至
少包括:ICMP、SNMP
Polling、Telnet/SSH/CLI、Syslog、winRM;系统支持拓扑自动发现。迅速搜索整个网络内的所有节点、自动
勾画出设备间的冗余连接、备份连接、均衡负载连接等;支持物
91
理拓扑发现拓扑管理支持分层管理、子图缩略管理。拓扑图查看功能:拓扑图应正确反映网络的实际组网情况,及各
级子网中各被管对象之间的连接关系;拓扑图展示:设备颜色变动可自定义参数(参数指标应不限于
CPU、MEM、连续运行时间等常用参数);设备/线路下标、提示框等,支持鹰眼查看;拓扑图支持折线功
能。拓扑图导航功能:可逐层进入各级子网,逐渐细化显示子网的信
息、可以根据需要切换到不同的网络视图;根据需要切换到不同
的网络视图拓扑图定位功能:可通过当前窗口,在拓扑图上定位指定的被管
对象;可根据需要使用不同的方式选择被管对象定位。拓扑监视功能:实时反映网络设备配置的变更情况;实时反映网
络设备及逻辑功能的性能越限事件;实时反映被管系统的告警事
件
92
拓扑编辑功能:可通过拓扑编辑功能手工生成部分拓扑图,用户管理与权限控制:系统的用户管理控制,包括增加、注销、锁定、解锁用户,查询
用户信息,修改用户密码等。用户权限是该用户在系统中可以执
行操作的权力,对用户权限进行严格的控制。通过权限控制功
能,可以使用户更安全地使用综合网管系统,每个用户完成自己
职责范围内的工作。提供图形化方式设置或修改用户的权限。系
统支持对用户的定制界面。用户安全要求:系统要求普通用户输入错误 3次密码后,给用户
自动锁死,无法登陆,只有通过管理员解锁或隔天自动解锁。登录时间、登录用户失败次数限制,账号锁定规则。对数据库中的用户名、密码等敏感信息,全部采用不可反解的
MD5加密存储。产品采用严格的权限控制机制,细致划分了每个用户的管理范围
和权限
93
操作日志管理:操作日志记录用户在系统中所执行的各种操作,
应具体到对某个设备做了何种操作。为了防止用户的误操作,系
统对各个用户在系统上执行的各种操作进行了详细的记录。
故障管理
故障管理在整个管理系统中占有相当重要的地位,需要满足以下
细节:告警分类功能包括:网络告警、服务告警、告警日志查询、负载
设置等功能。告警手段:包括短信、语音、邮件、消息提示框、微信企业号等统一事件管理:是综合网管系统的数据流程核心,是加快告警响
应,提高服务质量、统一管理的关键。事件管理通过统一数据接口收集各类基础监控子系统的事件,通
过统一的数据分析、加工、归并,汇聚到网管系统数据库中;对
收集到的大量事件信息,通过基于动态规则脚本的事件分析引
擎,对事件进行压缩,定位到真正的告警原因。网络监控管 系统应支持通用的标准网络传输、加密和网管协议
系统应提供实时的网络监控,包括设备的CPU、MEM查看,线
94
理
路流量的实时观察,通过不同的颜色变化,迅速定位有隐患的设
备和链路。网络监控管理包括:设备负载一览、线路流量一览、设备的多
CPU展现。1、路由设备的路由协议层监控
(RIP、OSPF、BGP、EIGRP、ISIS 路由协议)的告警2、具有网络拓扑协议透视的功能,可以查看网络中运行协议的
状态,如生成树协议(STP),VTP
3、支持设备 remote_ping
4、可以监测主流网络设备的风扇、电源和温度信息配置管理 1、支持各类设备以及相关数据无需进行二次脚本即可自动备
份。2、相关数据可通过间隔检查、定时检查自动备份。3、备份规则提供启动、停止、立即运行、删除、添加、编辑功
能,并显示规则运行状态、备份数、检查时间、是否关联告警等
信息。
95
4、备份数据提供浏览、对比、导出功能,提供自动记录变更信
息功能,提供配置变动告警设置,并能通过mail、短信等方式
及时通知。服务器管理 1、CPU:CPU 使用率、空闲时间百分比、系统时间百分比、用
户时间百分比、每分钟监控处理器的 I/O 状态、I/O 每秒读
写、CPU 队列数2、内存:物理内存使用率、虚拟内存使用率、物理内存容量、
虚拟内存容量、剩余内存、可用百分比3、磁盘:空间容量、剩余容量、使用百分比、IO 读写和队列4、网卡: IP 地址、网卡状态、DNS 名、系统名、接口发送与
接收速率、接口接收与发送数据流量、接口组播包流量、接口广
播包流量、接口丢包情况;5、进程:进程状态(运行、停止、睡眠)、进程数、进程占
CPU 时间、进程占 CPU 使用率、进程占内存百分比、线程数
量、进程规模监控
96
6、服务:服务的状态(启动、停止)7、TCP 连接:TCP 连接数、TCP 连接端口号、连接状态、连接
延时
日志管理
支持设备 SYSLOG数据的接收,可以根据关键字进行过滤分析
查看,按照级别告警,支持用户自定义的告警方式。支持 SNMP TRAP 监控,可以根据关键字进行过滤分析查看,按
照级别告警,支持用户自定义的告警方式。
报表管理
系统应支持数据的历史记录与查看;支持按日报、周报、月报方
式对指定监测器的历史数据生成报表并输出记录结果。提供线性
图、直方图、数据列表等多种报表格式。报告可以导出到不同的
终端,包括打印机、Web文件等。移动互联 IT综合运维管理平台要提供在微信企业号里进行信息展现的功
能,让网络管理人员可以很方便地随时了解网络的运行状况。1、支持用户回复关键词直接打开相应的内容。2、提供告警信息、状态信息、预置报表等功能菜单(用户可定
制)。
97
3、状态信息菜单包括:设备负载 TOPN、线路流量 TOPN、端
口连接数查看、标准应用状态展现、主机状态展现、数据库备份
状态等内容。4、预置报表菜单包括:用户自定义的各种报表,如设备健康
度、最近一周的报表等内容。5、针对不同用户可以做信息推送;
数据管理系统可实现系统自身运行配置信息的自动备份和手动定时备份,
备份数据信息恢复可选择备份的文件。
安全性要求
系统部属支持双机热备部属方式;基于安全性考虑,系统全功能使用时占用操作系统端口数≤2
个。系统用户密码错误三次须自动锁定该用户账号。
展现性要求要求可以定制监控小模板,不同用户可以自定义展现个性页面;系统页面主体色彩可以根据不同用户的主打色彩定制;
支持大节点 单套可支持 2000 节点服务要求 要求提供三年原厂质保服务
98
要求原厂最终用户须注册为“宜兴市自然资源和规划局”
4.20 UPS不间断电源
项目指标 性能和参数要求性能要求 1、为了提供节能、可靠、节省占地的供配电系统方
案,UPS、UPS输入输出柜、精密配电柜、空调及通道照明配电
等,应包含在 1个冷通道柜位内,形成完整的模块供配电方案,以
满足机房配电灵活性和可扩容性。2、一体化 UPS支持单路或双路市电输入,制式为三相输入,
三相输出,主机额定容量≥60K。3、UPS应满足 YD/T 2165《通信用模块化不间断电源》标
准,采用模 块化设计,单功率 模 块的额 定输出功率不大于
30KVA,且功率模块、旁路模块和控制模块均支持热插拔。当某功
率模块发生故障时,应自动退出系统而不影响其他模块的正常工
作,系统输出不中断。4、一体化 UPS产品应具备较高的抗震等级,可以在极端条件
99
下保持可靠运行。5、UPS应采用集中控制的逻辑,且保证控制单元具备冗余备
份,以提升系统可靠性。6、UPS市电模式转电池模式,电池模式转市电模式,市电模
式转旁路模式,旁路模式转市电模式切换时间均为 0ms。7、市电模式下,UPS系统在线模式下效率在 40%负载时应达
到 96%,UPS系统效率在 25%负载时应不小于 95%。ECO 模式
下,UPS系统效率应达到 99%。8、UPS系统应具有人机交互性能,采用 7 英寸及以上尺寸液
晶彩色触摸屏,单屏可管理供配电系统,显示配电模拟图。9、配电设备应实现精确监测,要求设备可采集和存储主路输
入相电压、电流、频率、功率因素、频率、电能、有功功率、无功
功率、视在功率、负载率、电压电流谐波率、母排温度等;可采集
IT配电支路及空调配电支路的电流、电能、支路温度、负载率等。10、电气特性
100
额定输入电压:380V
输入功率因数:100%额定负载时>0.99
输入电流谐波成份:100%额定负载时,THDi<3%
输出电压稳压精度:±1%
输出功率因数要求:1.0
输出波形失真度:线性满载时≤1%,非线性满载时≤3%
市电电池及市电旁路切换时间:0ms
过载能力:正常工作方式,过载 125%,10min后转旁路输入频率范围:40Hz-70Hz
负载最大峰值因数:3:1(满足 IEC 62040-3)
4.21 CDM备份一体机
项目指标 性能和参数要求备份节点硬
件参数
2U机架式备份容灾存储设备,存储系统软件与备份容灾软件为一
体,无需再 额外配置备份服务器;每个节点系统盘配置 2 块
≥240GB企业级 SSD(不得占用数据存储硬盘槽位),通过硬件
101
RAID1保护,以确保备份系统的安全性和可用性。每节点配置≥ 2颗 2.2GHz 十核 Intel Silver 4210处理器每个节点配置≥标配 64GB内存每个节点配置≥标配 6 块 6TB 3.5 英寸 NLSAS的盘每节点配置≥2个板载千兆 GE网口+2个 10GE 光口+ 1个 16GB
FC HBA卡每节点配置≥支持 5个 PCIe 槽;支持扩展千兆/万兆网卡以及万兆
光口网卡
数据库及应
用保护
支持对 SQL Server、Oracle、DB2、GBase、MySQL和达梦等
主流数据库进行在线备份保护,备份任务配置过程全部图形化向导
指引完成,无需编写脚本。Oracle数据库备份支持 10g、11g、12c和 18c,支持自定义脚
本,支持支持 RMAN备份参数图形化配置。支持 Oracle RAC恢
复到单机环境,支持 SCN级别的恢复。支持 12C PDB高级特性。支持对华为GaussDB分布式数据库进行在线备份保护。
系统备份 支持对Windows、Linux进行在线备份和裸机还原。
102
国产化支持支持龙芯和飞腾平台下的数据保护,支持中标麒麟和银河麒麟操作
系统下的数据保护。
卷级备份
支持 Windows和 Linux平台下的文件系统的卷级备份功能,以整
卷为单位进行数据备份,提升海量小文件环境下的备份效率。支持
整卷恢复和单文件目录级别的细粒度恢复。虚拟化备份
支持对VMware vSphere、XenServer、FusionComputer和
CAS等主流虚拟化应用的备份,支持单机和集群部署环境。以上虚
拟化应用均支持以虚拟机、资源池和整个集群为单位进行备份保护
保护,无需在虚拟机内部安装任何代理软件。支持 Hyper-V 定时备份恢复 , 支持以虚拟机为粒度备份 , 支持虚拟
机自动发现 , 支持虚拟机并发备份恢复及流量控制。支持虚拟机并发备份和恢复功能,支持在WEB页面中设置单个备
份和恢复任务中的虚拟机并发备份和恢复数量,可大幅提高备份恢
复效率。支持虚拟机备份流量控制,合理控制带宽资源,避免影响业务网
103
络。
云平台备份
支持对 FusionSphere OpenStack云平台和H3C Cloud云平台
的API进行整合,无需在云平台虚拟机内部安装客户端,即可实现
对 FusionSphere OpenStack云平台与 H3C Cloud云平台虚拟
机数据的跨平台备份及恢复。支持 OpenStack云平台的备份。支持 Region和用户级别的备
份,支持并发备份恢复,支持云主机的自动发现备份保护。支持深信服 aCloud云平台无代理备份.无需在客户虚拟机内部安装
任何插件进行备份,支持虚拟机并发备份,支持客户端并发备份 ,支
持重复数据删除,支持永久增量,支持自动发现,支持流量控制,
支持云主机自动发现备份保护。支持泽塔云平台无代理备份.无需在客户虚拟机内部安装任何插件进
行备份,支持虚拟机并发备份,支持客户端并发备份 ,支持重复数据
删除,支持永久增量,支持自动发现,支持流量控制,支持云主机
自动发现备份保护。
104
源端重复数
据删除技术
支持基于源端的可变长度切片的重复数据删除技术,多个备份任务
可以共享同一个重复数据删除指纹池,也可以根据数据的不同单独
设置专属指纹池,最大限度的提升重复数据删除效率,减轻带宽压
力,降低传输数据量和备份数据存储成本。支持并行重复数据删除,通过在多个不同的节点上构建指纹池,并
将指纹并行分布于多个节点,有效解决单点性能和存储空间压力问
题。采用内存级指纹池进行重删,所有指纹读写全部保存于内存中,从
而提升指纹查询和处理效率,并且减少了因磁盘中指纹池增大所导
致的随机 IO压力。当指纹池不再需要进行备份时,将指纹同步到
磁盘当中。指纹池构建在不同重删节点上,而生产数据可以基于多
个不同的指纹池,执行并行重删。采用内存进行重复数据删除加速,重复数据删除的计算和对比均在
内存中进行。重删指纹池实现按需加载到内存,不使用时写入普通
机械磁盘中,无须高性能的 SSD。大幅提高重复数据删除速度和效
105
率,降低投资成本,所有定时备份功能均支持重复数据功能并支持
重删率显示。
数据安全性支持对备份数据进行加密传输和存储,支持 AES256和 SM4两种
加密算法,提升传输过程以及存储的安全性。
永久增量备
份
支持永久增量备份技术,初次备份对数据进行完全备份,之后只对
新增加或改动过的数据做增量备份。每个增量备份的数据副本将自
动合成为完全副本,能够大幅度减少备份时间,节省备份数据所需
的存储空间,且提升了恢复效率。
数据保留以单个备份任务为单位设定备份数据的保留周期,支持基于时间范
围和完全备份副本数量两种方式控制备份数据的保留周期Oracle数
据库复制
支持 Oracle的逻辑复制,基于生产端日志解析方式的数据库同
步,可将生产数据库的日志实时解析为 SQL语句并实时传输至备
用数据库,并重做 SQL 操作,使备用数据库与生产数据库数据保
持实时同步,备用数据库在复制阶段处于 open状态,可提供业务
查询服务。
106
支持 Oracle的物理复制,实时捕获生产数据库的所有操作引起的
数据块变化,并实时传输至备用数据库中进行应用,保持备用数据
库在物理结构上与生产数据库保持实时同步,备用数据库在复制阶
段处于mount状态,生产库发生故障后可 open并对外提供服
务。数据卷复制支持对Windows和 Linux服务器的整机(所有磁盘分区,包括操
作系统分区)和数据卷进行卷级别的实时复制功能,可将生产服务
器上数据卷的数据变化实时复制到目标服务器上指定的数据卷上,
保持生产服务器和目标服务器之间的指定数据卷的数据同步。采用
整机复制策略时,目标服务器为未安装操作系统的裸机环境,生产
服务器故障后直接启用目标服务器接管生产业务,无需重新安装配
置操作系统和应用软件。支持实时同步数据变化,也可以按照自定义的频率间隔复制数据变
化以降低对生产系统的影响支持差异数据智能识别功能,可自动识别生产服务器和目标服务器
107
上的数据差异性,仅同步差异数据,提升复制效率。
实时备份
支持对Windows和 Linux服务器的整机(所有磁盘分区,包括操
作系统分区)和数据卷进行卷级别的实时备份,将生产服务器的数
据变化实时备份到备份设备内部保存为日志数据,并同时将变化数
据实时写入到备份设备内部与生产服务器一一对应的虚拟磁盘中。支持对与生产服务器一一对应的虚拟磁盘进行快照以提升数据恢复
效率,可自定义快照时间频率、快照保留个数以及快照保留时间等支持永久增量备份以实现断点续传,当备份链路中断修复或者备份
任务重启后,可智能判断已经备份的数据,继续备份未备份的新增
数据。支持自定义禁止全量初始化的时间范围,避免备份任务首次执行或
者其他需要全量进行数据备份的时间与业务运行高峰期重叠造成生
产性能影响。异地容灾 远程复制关系建立和具体复制任务的建立,需得到目标端备份系统
的确认授权。
108
支持 1对 1、1对多、多对 1和级联复制等多种方式远程复制的能
力,支持单向和双向复制,最大限度的满足多分支机构的异地数据
容灾需要。远程复制任务的执行不影响目标备份集群的任何功能,复制到目标
备份集群中的备份任务和备份数据可以直接进行恢复,无需任何重
建备份索引和重新识别备份数据的操作。支持图形化展示备份系统之间的复制关系,包括单向、双向、一对
多、多对一和级联等复制关系。支持所有定时备份数据的远程复制,支持重复数据删除任务和永久
增量备份任务。支持数据复制验证功能,复制到目标端备份系统的备份数据,如果
需要查看和恢复,必须输入源端备份系统原操作员的账号和密码,
避免数据泄密。具备断点续传特性,当远程复制过程中出现中断时,恢复正常后可
基于上一次断点处进行续传。
109
资源管理重删资源,建立重删指纹池,用于存储重删指纹信息,重删指纹池
可跨集群备份系统的节点。
云监控
支持采用云架构部署,可通过云管理软件实现对备份集群系统进行
集中统一的运行监控,对备份任务的状态、资源利用情况和存储空
间情况等进行监控。软件授权 不限制Windows/Linux服务器和 PC机下系统、文件、数据库的
备份恢复数授权量;不限制对Windows、Linux等操作系统的在线备份;不限制对Oracle、SQL、Sybase、DB2、MySQL、Gbase、达
梦数据库,神通数据库等数据库主流应用进行在线备份保护;不限制VMware、Fusion Sphere、CAS 虚拟化平台备份恢复数
量;不限制受保护的服务器和 PC机数量、不限制被保护的数据库类型
和数据库部署架构(双机、集群、RAC等)、不限制操作系统备份
和恢复功能;
110
配置永久增量备份授权,不限制永久增量的授权数量以及容量;配置源端重复数据删除功能许可,不限制前端以及后端重复数据删
除数据量大小。配置不低于 20T后端容量数据备份代理。配置不低于 1T后端容量副本数据管理代理。
服务要求要求提供三年原厂质保服务要求原厂最终用户须注册为“宜兴市自然资源和规划局”
4.22 数据备份一体机
项目指标 性能和参数要求备份节点硬
件参数
2U机架式备份容灾存储设备,存储系统软件与备份容灾软件为一
体,无需再 额外配置备份服务器;每个节点系统盘配置 2 块
≥240GB企业级 SSD(不得占用数据存储硬盘槽位),通过硬件
RAID1保护,以确保备份系统的安全性和可用性。每节点配置≥1颗 1.7GHz八核 intel Bronze 3106 处理器每个节点配置≥标配 32GB内存
111
每个节点配置≥标配 6 块 6TB SATA磁盘 每节点配置≥2个板载千兆 GE网口+2个 10GE 光口每节点配置≥支持 3个 PCIe 槽;支持扩展千兆/万兆网卡以及万兆
光口网卡为要求实现统一管理及数据复制管理,要求与 CDM备份一体机无
缝兼容,且要求硬件层实现数据在线远程实时复制。
数据库及应
用保护
支持对 SQL Server、Oracle、DB2、GBase、MySQL和达梦等
主流数据库进行在线备份保护,备份任务配置过程全部图形化向导
指引完成,无需编写脚本。Oracle数据库备份支持 10g、11g、12c和 18c,支持自定义脚
本,支持支持 RMAN备份参数图形化配置。支持 Oracle RAC恢
复到单机环境,支持 SCN级别的恢复。支持 12C PDB高级特性。系统备份 支持对Windows、Linux进行在线备份和裸机还原。
国产化支持支持龙芯和飞腾平台下的数据保护,支持中标麒麟和银河麒麟操作
系统下的数据保护。卷级备份 支持 Windows和 Linux平台下的文件系统的卷级备份功能,以整
112
卷为单位进行数据备份,提升海量小文件环境下的备份效率。支持
整卷恢复和单文件目录级别的细粒度恢复。
虚拟化备份
支持对VMware vSphere、XenServer、FusionComputer和
CAS等主流虚拟化应用的备份,支持单机和集群部署环境。以上虚
拟化应用均支持以虚拟机、资源池和整个集群为单位进行备份保护
保护,无需在虚拟机内部安装任何代理软件。支持 Hyper-V 定时备份恢复 , 支持以虚拟机为粒度备份 , 支持虚拟
机自动发现 , 支持虚拟机并发备份恢复及流量控制。支持虚拟机并发备份和恢复功能,支持在WEB页面中设置单个备
份和恢复任务中的虚拟机并发备份和恢复数量,可大幅提高备份恢
复效率。支持虚拟机备份流量控制,合理控制带宽资源,避免影响业务网
络。云平台备份支持 OpenStack云平台的备份。支持 Region和用户级别的备
份,支持并发备份恢复,支持云主机的自动发现备份保护。
113
支持深信服 aCloud云平台无代理备份.无需在客户虚拟机内部安装
任何插件进行备份,支持虚拟机并发备份,支持客户端并发备份 ,支
持重复数据删除,支持永久增量,支持自动发现,支持流量控制,
支持云主机自动发现备份保护。源端重复数
据删除技术
支持基于源端的可变长度切片的重复数据删除技术,多个备份任务
可以共享同一个重复数据删除指纹池,也可以根据数据的不同单独
设置专属指纹池,最大限度的提升重复数据删除效率,减轻带宽压
力,降低传输数据量和备份数据存储成本。支持并行重复数据删除,通过在多个不同的节点上构建指纹池,并
将指纹并行分布于多个节点,有效解决单点性能和存储空间压力问
题。采用内存级指纹池进行重删,所有指纹读写全部保存于内存中,从
而提升指纹查询和处理效率,并且减少了因磁盘中指纹池增大所导
致的随机 IO压力。当指纹池不再需要进行备份时,将指纹同步到
磁盘当中。指纹池构建在不同重删节点上,而生产数据可以基于多
114
个不同的指纹池,执行并行重删。采用内存进行重复数据删除加速,重复数据删除的计算和对比均在
内存中进行。重删指纹池实现按需加载到内存,不使用时写入普通
机械磁盘中,无须高性能的 SSD。大幅提高重复数据删除速度和效
率,降低投资成本,所有定时备份功能均支持重复数据功能并支持
重删率显示。
数据安全性支持对备份数据进行加密传输和存储,支持 AES256和 SM4两种
加密算法,提升传输过程以及存储的安全性。
兼容性支持对深信服 acloud的无代理方式备份保护。支持对华为GaussDB分布式数据库进行在线备份保护。
永久增量备
份
支持永久增量备份技术,初次备份对数据进行完全备份,之后只对
新增加或改动过的数据做增量备份。每个增量备份的数据副本将自
动合成为完全副本,能够大幅度减少备份时间,节省备份数据所需
的存储空间,且提升了恢复效率。数据保留 以单个备份任务为单位设定备份数据的保留周期,支持基于时间范
115
围和完全备份副本数量两种方式控制备份数据的保留周期
Oracle数
据库复制
支持 Oracle的逻辑复制,基于生产端日志解析方式的数据库同
步,可将生产数据库的日志实时解析为 SQL语句并实时传输至备
用数据库,并重做 SQL 操作,使备用数据库与生产数据库数据保
持实时同步,备用数据库在复制阶段处于 open状态,可提供业务
查询服务。支持 Oracle的物理复制,实时捕获生产数据库的所有操作引起的
数据块变化,并实时传输至备用数据库中进行应用,保持备用数据
库在物理结构上与生产数据库保持实时同步,备用数据库在复制阶
段处于mount状态,生产库发生故障后可 open并对外提供服
务。数据卷复制支持对Windows和 Linux服务器的整机(所有磁盘分区,包括操
作系统分区)和数据卷进行卷级别的实时复制功能,可将生产服务
器上数据卷的数据变化实时复制到目标服务器上指定的数据卷上,
保持生产服务器和目标服务器之间的指定数据卷的数据同步。采用
116
整机复制策略时,目标服务器为未安装操作系统的裸机环境,生产
服务器故障后直接启用目标服务器接管生产业务,无需重新安装配
置操作系统和应用软件。支持实时同步数据变化,也可以按照自定义的频率间隔复制数据变
化以降低对生产系统的影响支持差异数据智能识别功能,可自动识别生产服务器和目标服务器
上的数据差异性,仅同步差异数据,提升复制效率。实时备份 支持对Windows和 Linux服务器的整机(所有磁盘分区,包括操
作系统分区)和数据卷进行卷级别的实时备份,将生产服务器的数
据变化实时备份到备份设备内部保存为日志数据,并同时将变化数
据实时写入到备份设备内部与生产服务器一一对应的虚拟磁盘中。支持对与生产服务器一一对应的虚拟磁盘进行快照以提升数据恢复
效率,可自定义快照时间频率、快照保留个数以及快照保留时间
等。支持永久增量备份以实现断点续传,当备份链路中断修复或者备份
117
任务重启后,可智能判断已经备份的数据,继续备份未备份的新增
数据。支持自定义禁止全量初始化的时间范围,避免备份任务首次执行或
者其他需要全量进行数据备份的时间与业务运行高峰期重叠造成生
产性能影响。异地容灾支
持
远程复制关系建立和具体复制任务的建立,需得到目标端备份系统
的确认授权。支持 1对 1、1对多、多对 1和级联复制等多种方式远程复制的能
力,支持单向和双向复制,最大限度的满足多分支机构的异地数据
容灾需要。远程复制任务的执行不影响目标备份集群的任何功能,复制到目标
备份集群中的备份任务和备份数据可以直接进行恢复,无需任何重
建备份索引和重新识别备份数据的操作。支持图形化展示备份系统之间的复制关系,包括单向、双向、一对
多、多对一和级联等复制关系。
118
支持所有定时备份数据的远程复制,支持重复数据删除任务和永久
增量备份任务。支持数据复制验证功能,复制到目标端备份系统的备份数据,如果
需要查看和恢复,必须输入源端备份系统原操作员的账号和密码,
避免数据泄密。具备断点续传特性,当远程复制过程中出现中断时,恢复正常后可
基于上一次断点处进行续传。
资源管理重删资源,建立重删指纹池,用于存储重删指纹信息,重删指纹池
可跨集群备份系统的节点。
云监控
支持采用云架构部署,可通过云管理软件实现对备份集群系统进行
集中统一的运行监控,对备份任务的状态、资源利用情况和存储空
间情况等进行监控。软件授权 不限制Windows/Linux服务器和 PC机下系统、文件、数据库的
备份恢复数授权量;不限制对Windows、Linux等操作系统的在线备份;不限制对Oracle、SQL、Sybase、DB2、MySQL、Gbase、达
119
梦数据库,神通数据库等数据库主流应用进行在线备份保护;不限制VMware、Fusion Sphere、CAS 虚拟化平台备份恢复数
量;不限制受保护的服务器和 PC机数量、不限制被保护的数据库类型
和数据库部署架构(双机、集群、RAC等)、不限制操作系统备份
和恢复功能;配置永久增量备份授权,不限制永久增量的授权数量以及容量;支持源端重复数据删除功能,不限制前端以及后端重复数据删除数
据量大小。
服务要求要求提供三年原厂质保服务要求原厂最终用户须注册为“宜兴市自然资源和规划局”
4.23 超融合服务器(文档服务、应用服务、数据交换服务)
项目指标 性能和参数要求性能要求 规格:4U;CPU≥4 颗,主频≥ 2.3 GHZ;内存≥ 8*32GB
DDR4;系统盘≥2*128GB SSD;标配盘位数≥24;缓存盘
120
≥2*960G SSD,数据盘≥6*1.8T SAS;冗余电源;接口:千兆
电口≥6个,万兆光口≥4个。
兼容性要求要求所投超融合服务器与本项目超融合配套软件相兼容且融合后
运行稳定
服务要求要求提供三年原厂质保服务要求原厂最终用户须注册为“宜兴市自然资源和规划局”
4.24 数据库服务器
项目指标 性能和参数要求
性能要求
规格:4U;CPU≥4颗,核数≥16C;主频≥ 2.3 GHZ;内存
≥ 128GB DDR4;硬 盘 ≥ 3*600GB SAS;千 兆电口 ≥ 8
个,8GB HBA卡≥2 块;万兆光口≥4个;冗余电源;导轨。
4.25 分布式存储系统
项目指标 性能和参数要求性能要求 3 台;单台配置要求如下:
121
规格:2U;CPU≥2 颗,主频≥ 2.3 GHZ;核数≥ 12;内存
≥2*32GB DDR4;系统盘≥2*128GB SSD;标配盘位数≥12;
缓存盘≥4*480G SSD,数据盘≥5*1.8T SAS;冗余电源;接口:
千兆电口≥4个,万兆光口≥4个。
对象存储
对象存储支持 SSL 访问加密,通过购买受信任 CA 认证中心颁发的
数字证书,然后应用在对象存储,可将 HTTP 访问转换成 HTTPS,
提供认证加密功能。在客户端和服务器端之间建立加密通道,保证
数据在传输过程中不被窃取或篡改。配置对象存储Qos功能,可以设置不同用户访问某个 bucket的带
宽/请求数,从而防止边缘业务的过多资源占用。配置海量小文件高性能处理功能,支持百亿级海量小文件的高性能
处理,可以实现 80亿小文件高速写入,且性能衰减不超过 8%。文件存储 配置目录级快照功能,可按时间点策略进行快照,支持快照数
≥1024个。支持快照重命名功能,支持删除快照链上任意快照点,
支持文件数据回滚。
122
配置文件行为审计功能,用于记录客户如访问、创建、删除等常规
文件操作行为;
块存储
支持数据自动重建机制,当主机或者磁盘故障后,自动利用集群内
空闲磁盘空间,将故障数据重新恢复,快速恢复数据的冗余度,确
保用户数据的可靠性和安全性。
兼容性应用集成插件,支持 VMware等集群软件,支持虚拟存储 API 接
口,使得虚拟机的部分操作能通过存储控制器来完成;支持 VAAI;
高级功能
支持一键检测功能,支持用户自行检测系统健康状态,检测包括
CPU、内存、硬盘、网口等硬件故障、告警等问题,同时支持检测
各类存储服务是否正常启动。针对问题能够提出解决推荐办法。故障自动恢复,在主机或者硬盘故障情况下,支持快速数据重建,
重建速度 1TB/30min,智能感知 IO压力,保证运行业务性能;数据自动平衡,支持数据自动和手动进行热平衡,无需中断业务,
自动感知业务 IO,智能限速。支持设置平衡时间,利用空闲时间平
衡数据。
123
数据安全
文件存储,访问审计,对用户访问操作的文件动作进行全量审计,
并支持审计日志导出。支持对象行为审计功能,用于记录客户如上传、下载等常规对象操
作行为
管理交换
机
数量:2 台;单台配置要求如下:与分布式存储相兼容且融合后运行稳定,设备接口不少于 24个
10/100/100OBase-T自适应电口,4个万兆 SFP+光口;交换容
量≥330Gbps;包转发率≥108Mpps;支持全端口线速转发,支
持 aNAC统一管理、统—查看状态、VLAN等配置管理,支持终端
识别、终端准入、安全防护及安全画像可视;支持胖瘦一体化。数据汇聚
交换机
数量:2 台;单台配置要求如下:与分布式存储相兼容且融合后运行稳定,设备接口不少于 12个万兆
光 口, 12 个千 兆电口;交换容量 ≥ 1.2Tbps;包转发率
≥480Mpps;支持全端口线速转发,支持统一管理、统—查看状
态、VLAN等配置管理,支持终端识别、终端准入、安全防护及安
124
全画像可视;支持胖瘦一体化。
服务要求要求提供三年原厂质保服务要求原厂最终用户须注册为“宜兴市自然资源和规划局”
4.26 系统迁移服务技术要求
迁移不仅仅是单纯的硬件设备搬迁,投标人除了须完成新设备的搬迁、
安装调试工作外,还须完成用户 IT信息系统的迁移工作。改造完成后,在
原生产机房的所有 IT相关设备及业务系统迁移至新生产机房内,确保业务
的顺利迁移。具体迁移内容包括:A. 设计及实施方案编制、确认:中标人需提交详细的设计及实施方案
给用户,包括现场准备、现有业务系统运行状况、不中断业务系统迁移设
计、实施总体安排、实施进度、实施人员以及重大问题应急预案等,方案
需得到用户确认方可实施。B. 网络迁移服务:中标人根据生产机房的实际情况以及目前机房网络
125
的现状,提供网络基础服务迁移。对网络迁移前、迁移后的详细方案进行
描述,再根据迁移方案完成整个网络的迁移。C. 核心数据库迁移:中标人需完成生产机房等数据库系统的迁移,确
保核心数据库安全、稳定运行。根据机房环境以及现数据库运行状况,制
定详细迁移计划。由于数据库是核心,在与用户充分沟通确认无误后,再
进行设备迁移。D. 应用虚拟化迁移:核心应用与数据库紧密联系,中标人必须为用户
提供迁移服务。在迁移时需考虑业务的连续性。需将虚拟化的相关硬件设
备及系统迁移至新机房中,且在迁移后不影响运行在此平台上的相关业务
系统。在迁移前,需提交详细的实施与迁移方案,且需提供不影响业务系
统运行的迁移方法,待用户确认后才能实施。E. 其它系统迁移、搭建:完成除以上系统外的其它系统的迁移工作,
包括其他备份设备及原机房的物理服务器、网络设备、安全产品及 KVM设
备等。
126
127
第二节评标方法和标准一、评分项目(总分100分)
技术商务部分 70分
价格部分 竞争性磋商 分 价格分值占总分值的比重为 30%至60%
公开招标 30分 价格分值占总分值的比重不得低于 30%二、“技术商务部分”评审内容:
1、技术商务部分评审内容
序号
评审项目 分值 评审细则
主观评审因素
1 方案设计 10 根据投标人在投标文件中提供的相应资料,就投标人的技术方案是否结合本项目的总体功能要求,各子系统之间的集成方案是否完整、合理,系统间、软硬件之间是否具有匹配性、兼容性及稳定性等状况给分(未提供方案不得分),主要考察:1、系统现状与需求分析(2分):能够在方案中根据国家规范标准要求,对本次建设内容关联的现状进行分析和阐述,提供相应的网络拓扑图、设备清单、物理环境照片等,发现存在的主要问题和差距。(能够有针对性的对现有现状问题进行分析,提供材料完整的得 2分;提供材料缺失、较契合实际需求的得 1分;不提供不得分)2、网络改造方案设计(3分):要求在方案中能够阐述政务外网和专网的业务种类和现状,有针对性的提出总体架构及详细设计方案,包含政务外网改造、专网改造、网络互联等方案。(现状阐述有针对性、设计方案完整、契合实际需求的,得 3分;设计方案有缺失、较契合实际需求的,得 1分;不提供不得分)
128
3、信息安全方案设计(5分):要求在方案中能够根据系统定级情况,有针对性的提出总体架构及详细设计方案,包含信息系统安全风险分析、整体安全域设计、安全通信网络、安全区域边界、安全计算环境、安全管理中心、数据备份、安全管理等方案。(提供的设计方案完整、内容有针对性、契合实际需求,得 5分;设计方案有缺失、较契合实际需求,得 3分;不提供不得分)
2 项目管理方案 2
方案中具有实施进度计划、质量保证体系、质量保证措施、验收方案等方面控制的必要措施,得 2分;不提供不得分。
客观评审因素
1企业综合实力 18
1、投标人具有 ITSS信息技术服务运行维护标准成熟度等级达到贰级以上资质的,得 1分。(投标文件中须提供相关证明材料复印件加盖投标人公章,未提供的不得分。)2、投标人具有省级软件行业协会颁发的软件企业认证证书的,得 2分。(投标文件中须提供相关证明材料复印件加盖投标人公章,未提供的不得分。)3、投标人获得CCRC信息安全服务资质认证证书,涵盖信息系统安全集成服务的得 2分;涵盖信息系统安全运维服务资质的得 2分。本项最多 4分。(投标文件中须提供相关证明材料复印件加盖投标人公章,未提供的不得分。)4、投标人具有中国电子行业信息联合会颁发的信息系统建设和服务能力等级证书CS3(包含CS3)以上的,得 6分; CS3以下的,得 1分;没有不得分。(投标文件中须提供相关证明材料复印件加盖投标人公章,未提供的不得分。)5、投标人 2019年以来获得过“中国智能运维 100强”称号的得 3分。(投标文件中须提供相关证明材料复印件加盖投标人公章,未提供的不得分。)
6、投标人具有 ISO 27001信息安全体系认证证书,得 2分。(投标文件中须提供相关证明材料复印件加盖投标人公章,未提供的不得分。)
2 项目业绩 2投标人提供 2018年 1月 1 日起至今,开展过与本项目类似规模的信息化系统案例,每提供一份有效合同复印件得1分,最高不超过 2分。
3 产品响应 10 投标人所投的产品满足以下技术功能的,每满足一项得 1分,满分 10分。下一代 所投产品 IPS特征功能在满足基本需求上,另
129
防火墙
支 持 TDS\TNS\IRC\NETBIOS\SUNRPC\IMAP\NNTP等大类应用层协议的自定义,可以精准设置各个协议字段内容,例如字符内容、偏移、长度等细粒度的参数,满足得 1分,不满足不得分。(投标文件中需提供界面截图,加盖投标人公章)
UTM安全网关
所投产品浪涌(冲击)抗扰度在满足基本需求上,能通过±4KV 抗扰度测试,满足得 1分。(投标文件中需提供包括但不限于国家无线电监测中心下属检测中心颁发的测试报告等有效证明材料,加盖投标人公章)
安全数据交换系统
1、所投产品品牌入围公安部组织测试的接入平台安全产品名单,得 1分。(投标文件中须提供公安部网站截图证明材料,加盖投标人公章)2、所投产品中的安全隔离网闸具有公安部科技成果鉴定证书,得 5分。(投标文件中需提供证书复印件,加盖投标人公章)
超融合服务器
为保证整个虚拟化系统的安全性,投标人所投产品生产厂商具有信息安全服务资质认证(安全开发类)证书,得 1分。(投标文件中需提供证书复印件,加盖投标人公章)
分布式存储
所投产品的海量小文件高性能处理功能,在满足基本需求上,可以实现 100亿及以上小文件高速写入时性能衰减不超过 5%。满足得 1分,不满足不得分。(投标文件中需提供相关证明材 料,包括但不限于测 试报告复印件(带CNAS标识),加盖投标人公章)
4 项目人员配置
28 1、投标人为本项目配备项目负责人 1名,项目负责人具有信息系统项目管理师证书、具有 ITSS项目经理证书、具有 Oracle数据库认证专家(OCP)认证工程师证书、具有网络与信息安全应急人员(CCSRP)证书;有一个得 1分,最多 4分。2、项目组成员配备 1名系统工程师,具有注册信息安全工程师(CISP)证书、具有高级系统架构设计师证书;有一个得 1分,最多 2分。3、项目组成员中配备 1名软件工程师,具有计算机等级类数据库工程师(四级)证书、具有计算机等级类网络工程师(四级)证书;有一个得 2分,最多 4分。4、项目组成员中配备 1名云计算工程师,具有容灾备份管理师(高级)证书、具有(HCIP)云计算网络工程师证书;有一个得 2分,最多 4分。5、项目组成员中具有系统集成项目管理工程师证书的得1分;具有咨询工程师(投资)证书的得 1分。本项最多得 2分。
130
6、项目组成员中具有 ITSS应用经理证书,有一个得 3分,最多得 12分。(以上人员不得重复。投标人提供上述人员相关证书复印件及投标单位为其缴纳的开标时间截止前三个月开标前近三个月中任意一个月的社保证明复印件,未提供的不得分)
2、价格部分
序号 评审项目 分值 评审细则
1 价格部分 30以最低报价为 30分,其他报价价格分为:(最低报价/投标报价)×30
Recommended