招标
深圳市政法网二期工程建设项目(网络及平台高可用)需求公示
金额
176.83万元
项目地址
广东省
发布时间
2021/06/16
公告摘要
项目编号plan-2021-440301-0101006001-01020
预算金额176.83万元
标书截止时间-
投标截止时间-
公告正文
| 序号 | 采购计划编号 | 货物名称 | 数量 | 单位 | 备注 | 财政预算限额(元) |
|---|---|---|---|---|---|---|
| 1 | PLAN-2021-440301-0101006001-01020 | 深圳市政法网二期工程建设项目(网络及平台高可用) | 1.0 | 项 | 拒绝进口 | 1.591551E7 |
| 2 | PLAN-2021-440301-0101006001-01021 | 深圳市政法网二期工程建设项目(网络及平台高可用) | 1.0 | 项 | 拒绝进口 | 1768390.0 |
具体技术要求
一、政法三级各区汇聚点交换机
1.1 汇聚交换机
1.▲整机架构:采用正交网板设计,CLOS交换架构,业务板和交换网板完全正交设计,跨线卡业务流量通过正交连接器直接上交换网板,满足未来带宽的演进能力。投标时需提供官网截图及官网链接和实物正反面图片证明。
2. 整体性能:交换容量≥300Tbps, 包转发率≥72000Mpps,主控板冗余,交换网板数≥5,业务插槽数量≥6,10G/40G/100G端口时延均≤1.067us。
3.接口要求:接口类型支持以太网千兆电口,千兆光口,万兆光口、万兆电口、40G接口、100G接口。
4.路由协议:支持静态路由、RIP V1/V2、OSPF、BGP,支持策略路由和VRRP ,支持IPv4和IPv6双协议栈,支持IPv6静态路由、RIPng、OSPFv3、IS-ISv6、BGP4+,支持IPv4向IPv6的过渡技术,包括:IPv6手工隧道、6to4隧道、ISATAP隧道、GRE隧道、IPv4兼容自动配置隧道。
5.虚拟化:支持将两台物理设备虚拟化为一台逻辑设备,虚拟组内可以实现一致的转发表项,统一的管理,跨物理设备的链路聚合 ;支持将一台物理交换机虚拟化成N台逻辑交换机,交换机间硬件独立且相互隔离;支持纵向虚拟化功能,支持将汇聚和接入设备通过纵向虚拟化技术形成一台纵向逻辑虚拟设备,相当于把接入设备作为一块远程接口板加入核心设备。
6.SDN/VXLAN:支持VxLAN二层网关,支持VxLAN三层网关,支持基于IPv4和IPv6的二三层互通
7.MPLS: 支持L3 MPLS VPN,支持L2 VPN: VLL (Martini, Kompella),支持MCE,支持MPLS OAM,支持VPLS, 支持分层VPLS,支持QinQ+VPLS接入
8.▲可靠性:支持主控板、风扇、电源、网板冗余,倒换时间为0ms,支持ISSU技术,升级过程中保障业务不中断。投标时需提供具有CNAS标识的第三方权威机构检验报告扫描件证明(提供检验报告首页及关键页扫描件)。
8.多业务融合能力:融合安全能力,支持防火墙、入侵防御(IPS)、负载均衡、应用控制业务插卡,融合无线能力,支持AC无线控制板卡,融合流量分析能力,支持流量分析业务插卡
10.安全性:支持硬件级加密Macsec技术(802.1ae),并实配MACsec license
11.▲运维管理:支持内置智能图形化管理功能,能够实现通过图形化界面设备配置及命令一键下发和版本智能升级。投标时需提供具有CNAS标识的第三方权威机构检验报告扫描件证明(提供检验报告首页及关键页扫描件)。
12. ▲配置要求(单台):配置双主控,交换网板≥2,配置2+2冗余电源,配置千兆电口≥24,千兆光口≥20,万兆光口≥36,40G光接口≥4,配置8个万兆单模模块(1310nm,10km,LC),配置4个万兆单模模块(1550nm,40km,LC),配置2条≥7米的40G QSFP+ to 40G QSFP+ AOC堆叠线缆,堆叠带宽≥320G,提供不少于5年原厂维保服务。
二、政法三级网骨干网交换机
2.1 核心交换机
1.整机架构:采用正交网板设计,CLOS交换架构,业务板和交换网板完全正交设计,跨线卡业务流量通过正交连接器直接上交换网板,满足未来带宽的演进能力。
2. 整体性能:交换容量≥300Tbps, 包转发率≥72000Mpps,主控板冗余,交换网板数≥5,业务插槽数量≥6。
3.接口要求:接口类型支持以太网千兆电口,千兆光口,万兆光口、万兆电口、40G接口、100G接口。
4.路由协议:支持静态路由、RIP V1/V2、OSPF、BGP,支持策略路由和VRRP ,支持IPv4和IPv6双协议栈,支持IPv6静态路由、RIPng、OSPFv3、IS-ISv6、BGP4+,支持IPv4向IPv6的过渡技术,包括:IPv6手工隧道、6to4隧道、ISATAP隧道、GRE隧道、IPv4兼容自动配置隧道。
5.虚拟化:支持将两台物理设备虚拟化为一台逻辑设备,虚拟组内可以实现一致的转发表项,统一的管理,跨物理设备的链路聚合 ;支持将一台物理交换机虚拟化成N台逻辑交换机,交换机间硬件独立且相互隔离;支持纵向虚拟化功能,支持将汇聚和接入设备通过纵向虚拟化技术形成一台纵向逻辑虚拟设备,相当于把接入设备作为一块远程接口板加入核心设备。
6.SDN/VXLAN:支持VxLAN二层网关,支持VxLAN三层网关,支持基于IPv4和IPv6的二三层互通。
7.MPLS: 支持L3 MPLS VPN,支持L2 VPN: VLL (Martini, Kompella),支持MCE,支持MPLS OAM,支持VPLS,,支持分层VPLS,支持QinQ+VPLS接入。
8.可靠性:支持主控板、风扇、电源、网板冗余,倒换时间为0ms,支持ISSU技术,升级过程中保障业务不中断。
9.运维管理:支持SNMP v1/v2/v3,支持sFlow流量统计,支持NetStream流量统计功能,支持Telemetry流量可视化功能。
10. ▲配置要求(单台):配置双主控,交换网板≥2,配置2+2冗余电源,配置千兆电口≥24,千兆光口≥20,万兆光口≥36,40G光接口≥28,配置4个万兆单模模块(1310nm,10km,LC),4个40G单模光模块(1310nm,40km,ER4,LC),配置2条≥7米的40G QSFP+ to 40G QSFP+ AOC堆叠线缆,堆叠带宽≥320G,提供不少于5年原厂维保服务
2.2 城域网核心交换机
1. ▲整机架构:采用正交网板设计,CLOS交换架构,业务板和交换网板完全正交设计,跨线卡业务流量通过正交连接器直接上交换网板,满足未来带宽的演进能力。投标时需提供官网截图及官网链接和实物正反面图片证明。
2. 整体性能:交换容量≥305Tbps, 包转发率≥86000Mpps主控板冗余,交换网板数≥4,业务插槽数量≥12。
3. ▲接口要求:接口类型支持以太网千兆电口,千兆光口,万兆光口、万兆电口、40G接口、100G接口。投标时需提供产品官网截图及官网链接证明。
4.路由协议:支持静态路由、RIP V1/V2、OSPF、BGP,支持策略路由和VRRP ,支持IPv4和IPv6双协议栈,支持IPv6静态路由、RIPng、OSPFv3、IS-ISv6、BGP4+,支持IPv4向IPv6的过渡技术,包括:IPv6手工隧道、6to4隧道、ISATAP隧道、GRE隧道、IPv4兼容自动配置隧道。
5.虚拟化:支持将两台物理设备虚拟化为一台逻辑设备,虚拟组内可以实现一致的转发表项,统一的管理,跨物理设备的链路聚合 ;支持将一台物理交换机虚拟化成N台逻辑交换机,交换机间硬件独立且相互隔离;支持纵向虚拟化功能,支持将汇聚和接入设备通过纵向虚拟化技术形成一台纵向逻辑虚拟设备,相当于把接入设备作为一块远程接口板加入核心设备。
6.SDN/VXLAN:支持VxLAN二层网关,支持VxLAN三层网关,支持基于IPv4和IPv6的二三层互通。
7.MPLS: 支持L3 MPLS VPN,支持L2 VPN: VLL (Martini, Kompella),支持MCE,支持MPLS OAM,支持VPLS,支持分层VPLS,支持QinQ+VPLS接入。
8.可靠性: 支持主控板、风扇、电源、网板冗余,倒换时间为0ms,支持ISSU技术,升级过程中保障业务不中断。
9.运维管理:支持Telemetry 和INT 流量可视化功能,支持Netstream 流量1:1 统计和分析功能。
10. ▲配置要求(单台): 配置双主控,3+3冗余电源,满配交换网版,配置千兆电口≥24,千兆光口≥20,万兆光口≥68,40G光接口≥56,万兆多模模块(850nm,300m,LC)≥10个,万兆10km单模光模块(1310nm,10km,LC)≥10个,万兆40km单模光模块(1550nm,40km,LC)≥10个,万兆80km单模光模块(1550nm,80km,LC)≥4个,40G单模40km光模块(1310nm,40km,ER4,LC)≥4个,配置4条≥7米的40G QSFP+ to 40G QSFP+ AOC堆叠线缆,堆叠带宽≥640G,提供不少于5年原厂维保服务。
2.3 MPLS VPN管理系统
1. MPLS VPN资源管理:支持增加VPN资源,VPN资源包括:PE、CE、VPN。PE和CE资源可以直接从基础网络资源导入,VPN资源用户既可以手工增加,也可以利用自动发现功能构建。
2. ▲VPN业务审计:支持连通性审计,配置审计(VPN名称、审计周期、异常链路)。投标时需提供产品功能界面截图证明。
3.支持端到端SLA分析,分析报文时延、丢包等信息,支持VPN TroubleShooting故障分析。
4.VPN业务报表:支持VPN流量监视报表,VPN详细报表,VPN综合报表,VPN连通率报表。
5.VPN设备适配:支持对H3C设备,华为设备,Cisco设备的业务自动发现,支持业务部署和告警监控能力,支持接口UP/DOWN告警、BGP/OSPF路由告警、基本性能告警。
6 .全网故障推演分析功能:支持1:1全网故障推演分析功能,网络管理者能够将真实视图环境中的设备,定期收集网络中ABR设备上LSDB信息,模拟网络故障(链路故障、节点故障),使其能够在实施改动前就知道将要进行的改动会产生什么效果以及流量变化,或分析可能的故障对网络产生的影响
7. ▲路由诊断:支持基于OSPF,识别网络中的震荡路由的源头,诊断非法路由。投标时需提供产品功能界面截图证明。
8.MPLS L2VPN:支持VPLS,VLL,PBB业务自动发现,支持VPLS业务预部署,包括VSI部署以及AC相关部署,支持分层/非分层PE设备VSI部署,支持GRE隧道管理,在PW创建时,能够使用对应的隧道,支持VLL 业务部署,支持PBB业务部署。
9.MPLS L3VPN:支持自动发现利用PE设备VRF的RT值等特征将网络中存在的VPN以及VPN链路发现出来。支持全网设备和部分设备进行自动发现。
10.MPLS LDP:支持同步设备的MPLS信息,包括设备LSR ID,LDP信息,MPLS标签分配信息等。支持配置设备的LSR ID,全局MPLS、MPLS LDP等相关信息,支持统一管理设备接口MPLS、MPLS LDP相关信息,支持查看设备上标签使用总体情况,并且能够查看各个标签的具体使用对象,支持能监控LSP流量信息,提供LSP流量报表分析。
11.▲配置要求:配置BGP/MPLS VPN管理功能授权,配置VPLS/MPLS VPN管理功能授权,配置网络设备管理license≥1000,MPLS VPN管理管理license≥250。
三、平台高可用改造
3.1 OTN光传输设备扩容
1、配置10G线路业务处理板2块,每块配置4个固定波长的波分侧光模块;
2、配置10G支路业务处理板1块,配置4个10公里万兆单模光模块;
3、以及配置包括扩容所需要的配件和工程安装、实施服务。
四、平台高可用改造
4.1 服务器
1.外形:2U机架式,标配原厂导轨
2.处理器:配置2颗CPU,且单颗CPU技术参数满足以下要求:基本主频≥2.7GHz;核心数量≥28核;L3缓存≥38.5MB;热设计功耗(TDP)≤205W
3.内存:配置≥768GB 内存,单条为32GB DDR4内存,内存主频不低于2933MHz,本地提供≥24个内存槽位,支持Advanced ECC、内存镜像、内存热备,最大支持3TB内存
4.存储:支持热插拔硬盘槽位≥8,配置2块600GB 10K SAS盘,配置12Gbps SAS磁盘阵列控制器,支持Raid0/1/10/5/50/6/60, ≥2GB缓存,支持缓存数据保护,且后备保护不受时间限制。
5.网卡:本次配置≥4个GE网口,≥2块双端口10GE万兆光口(含模块)芯片型号: JL82599,≥2块双端口16Gb光纤通道HBA卡。
6.电源风扇:配置≥6个热插拔冗余风扇,配置2个≥1200W白金热插拔冗余电源。
7.▲扩展插槽:支持≥10个标准PCIE3.0插槽。投标时需提供产品官网截图及官网链接证明。
8.CPU:支持≥3块双宽或≥8块单宽GPU卡
9.▲安全:支持机箱入侵检测,支持TCM/TPM安全模块,支持配置PCIe防护模块,支持防火墙、IPS、防病毒和QoS等防护功能。投标时需提供产品官网截图及官网链接证明。
10.运维管理:配置≥1Gb独立的远程管理控制端口,配置虚拟KVM功能, 可实现与操作系统无关的远程对服务器的完全控制,包括远程的开机、关机、重启、更新Firmware、虚拟软驱、虚拟光驱等操作,提供服务器健康日记、服务器控制台录屏/回放功能,能够提供电源监控,支持3D图形化的机箱内部温度拓扑图显示,可支持动态功率封顶。
4.2 盘控一体存储
1. 系统架构:真多控架构,所有控制器之间采用PCI-E或Infiniband对等高速总线的全网状对等互连,每个存储控制器架构相同且处理能力均衡,对于单一LUN,多个控制器可以并行读写。本次配置两个存储控制器。
2. 主机接口:支持32Gb FC/16Gb FC/25GE iSCSI/10GE iSCSI等接口;配配置≥8个10GE 以太网接口。
3.处理器:每个控制器配置1颗存储处理器,每颗CPU主频≥2.2GHz,核数≥10核
4. 存储专用处理器:配置专用存储处理芯片,支持混合工作负载和精简技术,而不是完全依赖CPU 的处理能力。
5.高速缓存:配置≥256GB高速缓存(缓存不包含SSD磁盘、PCI-E SSD、闪存、压缩或重删缓存和NAS控制器缓存)
6.配置容量:配置≥8块2.4TB 10K SAS硬盘,配置≥12块8TB 7.2K NL_SAS硬盘。配置≥4个12Gbps SAS3.0磁盘接口。
7.LUN数量:存储提供双控LUN数量≥65536。
8.高速磁盘故障恢复:采用高速多对多磁盘故障恢复方式,提高恢复速度的同时,可保证磁盘复期间应用的性能。支持多类型磁盘多方向、无中断在线数据迁移,迁移过程不影响业务性能。
9. ▲硬盘笼高可用性:支持硬盘笼级别冗余,在一整个扩展柜或硬盘故障时仍可以保持业务连续,数据不丢失。投标时需提供具有CNAS或CMA标识的第三方检测报告扫描件证明(提供检测报告首页及关键页扫描件)。
10.双活功能:支持在不加额外网关的情况下可以实现和同厂商中端和高端型号存储组成双活阵列,在一台阵列故障的情况下,主机IO访问可以无缝切换到另外一台阵列而不会中断业务。
11. ▲存储自动化升级:存储设备可以在业务不中断并且不需要重启控制器和切换控制器的情况下完成升级。投标时需提供具有CNAS或CMA标识的第三方检测报告扫描件证明(提供检测报告首页及关键页扫描件)。
12.售后服务: 提供不少于5年原厂维保服务。
4.3 万兆交换机
1.整机性能:交换容量≥4Tbps,包转发率≥1600Mpps。
2.接口要求:整机万兆端口≥48,40GE端口≥6, 40 GE端口支持拆分为4个10 GE端口,支持1个Mini USB Console口方便运维。
3. ▲端口功耗:40G端口功耗≤6.33W,10G端口功耗≤1.58W。投标时需提供具有CNAS或CMA标识的第三方权威机构检验报告扫描件证明(提供检验报告首页及关键页扫描件)。
4.规格要求: 整机最大ARP地址表≥260K,整机最大MAC地址表≥288K。
5.VxLAN:支持二层VxLAN Mapping ,支持VxLAN OAM ,支持VxLAN over IPv6 ,支持VxLAN over IPv4。
6.虚拟化:支持横向虚拟化,支持纵向虚拟化功能
7. ▲多业务融合:支持FC、FCoE、RoCE、DCB、VEPA和TRILL特性。投标时需提供具有CNAS或CMA标识的第三方权威机构检验报告扫描件证明(提供检验报告首页及关键页扫描件)。
8.安全特性:支持CPU 防攻击,支持 ARP 防攻击
9.运维管理:支持SNMP V1/V2/V3、RMON、SSHV2,支持Telemetry流量可视化功能,支持Ansible/Puppet自动化配置,支持缓存,微突发监控。
10.▲配置要求(单台):配置双电源,2+1冗余风扇,风扇
风向支持前后和后前通风设置,风扇支持自动调速,配置万兆多模模块≥14个,万兆10km单模光模块≥2个,千兆SFP 电口光模块≥2个,配置堆叠及线缆,堆叠带宽≥160G,提供不少于5年原厂维保服务。
五、政法二、三级网市直部分光路复用融合改造
5.1 SDH线路单板
1.光接口板支持接收和发送≥1路STM-64光信号,传输距离≥40k,(S-64.2b,LC),光模块满配;
2.单板支持二纤复用段环保护。
3.支持共享光纤虚拟路径保护。
4.支持软复位和硬复位,软复位不影响业务。
5.支持符合ITU-T G.692建议的标准波长输出,可以直接接入DWDM(Dense Wavelength Division Multiplexing)设备。
6.兼容现网传输设备及统一纳入现有网管管理;
5.2 以太网单板
1.以太网交换处理板支持2路10GE以太网业务接入能力,并具有以太业务二层交换功能;
2.接口类型满足IEEE 802.3ae标准。
3.支持10GE全双工WAN、10GE全双工LAN。
4.支持基于端口的IEEE 802.3x流量控制。
5.单板支持软复位和硬复位,软复位不影响业务。
6.兼容现网传输设备及统一纳入现有网管管理;
5.3 业务处理板
1.扩容配置:扩容一块灵活接口平台模块380板卡,支持2个子卡槽位,支持2端口万兆SFP+,14端口千兆SFP,8端口千兆RJ45,配置1个万兆10km单模模块。
2.扩容要求:新扩容板卡需与现网设备兼容,可以正常安装在现有机器上,并且可以与现网MPLS VPN、BGP、OSPF配置兼容,新业务上线不能中断现网正在运行业务。
5.4 集成服务 1、含设备板卡安装、通电测试、业务带宽规划、设备间线路互联、网络割接、测试等工作内容。
六、安全保障体系
6.1中心安全
6.1.1 下一代防火墙
1.性能指标:三层吞吐量≥58Gbps;应用层吞吐量≥16Gbps,并发连接数≥900W,新建连接数≥36W,SSL VPN最大并发接入数1000,SSL最大加密流量550Mbps;IPSec VPN推荐接入隧道数1000,IPSec VPN加密速度950Mbps;硬件指标:2U;双电源;标配千兆电口≥4个,千兆光口≥8个,万兆光口≥2个,1个串口(RJ45),2个USB 2.0。
2.支持路由、透明、虚拟网线、旁路镜像、混合等多种部署方式,适应复杂使用环境的接入要求。
3.具备链路聚合功能,将2个或者更多物理链路组合成一个更高带宽的逻辑链路接口,提高链路带宽和链路可靠性。
4.支持基于IP地址、端口、地域、协议、应用等维度配置策略路由策略,支持多种负载均衡算法,包括加权、带宽比例、轮询、线路排序等。
5.支持密码、单点登陆等用户认证方式,同时支持自定义例外名单。
6. ▲具备勒索病毒检测、防护功能。
7. 具备僵尸网络检测功能,可基于僵尸网络检测引擎发现主机的异常外联行为,并提供威胁等级和非法外联次数作为举证。
8. ▲具备网端云协同联动功能。
9. ▲产品预定义漏洞特征数量超过7650种,支持在产品安全规则库中以漏洞名称、漏洞ID、漏洞CVE标识、危险等级和漏洞描述等条件快速查询特定漏洞特征信息,支持用户自定义IPS规则。投标时需提供产品功能截图证明并加盖原厂商公章。
10. 提供不少于5年原厂维保服务。
6.1.2 日志审计系统
1.10个工作管理口(6个千兆电口,4个千兆光口(配2个多模SFP光纤模块)),1个Console口;内存:16GB,磁盘:2T*2 raid1(支持raid1、raid5);双电源。
2.支持审计200个日志源; 平均处理能力(每秒日志解析能力EPS):9000 EPS;峰值处理能力(每秒日志解析能力EPS):12000 EPS。
3.具备安全评估模型,评估模型基于设备故障、认证登陆、攻击威胁、可用性、系统脆弱性等纬度加权平均计算总体安全指数。安全评估模型可以显示总体评分、历史评分趋势。安全评估模型各项指标可钻取具体的评分扣分事件。
4.支持根据资产价值、资产漏洞、针对漏洞的威胁事件三者进行威胁的自动关联分析(三维关联),所有的三维关联算法和准则以CVE、Bugtraq、OWASP公开协议和标准为为基础。
5.性能监控:通过在目标主机上安装agent程序,支持监控目标主机的CPU利用率、内存使用率、磁盘使用情况、流量等信息。
6.注册用户资产时,提供自动发现识别能力。
7.资产拓扑支持按照实际的用户环境进行编辑发布并可以和资产进行绑定。拓扑可以显示资产采集的事件数量被采集资产的状态等信息。
8. 提供不少于5年原厂维保服务。
6.1.3 运维审计系统(堡垒机)
1.≥400个运维资源授权(支持扩展),支持图形协议并发运维数≥300个,支持字符协议并发运维数≥1500个。提供运维人员单点登录、用户权限细粒度授权及访问控制、运维过程审计等功能。支持所有主流图形终端、字符终端、文件传输和数据库管理,支持HTTP/HTTPS、KVM和第三方软件,2U机架式一体设备,6个千兆电口(支持扩展),内存≥16G,硬盘≥64GB SSD+2TBSATA、热插拔、RAID1、单电源。
2.支持双机热备部署;支持集群化部署;B/S架构,采用HTTPS方式远程安全管理,无需安装管理客户端。
3.支持用户/用户组的多级架构管理,可以复制、剪切、粘贴、移除用户/用户组,实现用户/用户组架构的灵活调整。
4.支持AD域用户、LDAP用户按组织架构批量导入。
5.支持认证方式全局设定、单一用户认证方式设定,支持多种认证方式组合;支持运维账号使用有效期管理。
6.支持用户授权快速绑定及集成、移交功能,可以将用户的群组属性和权限交接给其它用户。
7.支持随机生成不同密码、随机生成相同密码以及手工指定相同密码的密码策略,并能严格遵守密码强度设置。
8. 提供不少于5年原厂维保服务。
6.1.4 网络准入控制系统
1. 标准机架式硬件产品;最大支持200台无代理软件设备安全管理,单台设备至少包含4个1000M电口,支持双机热备,采集各类数据,可接受集中管理平台统一管理和展示,自带操作系统、数据库,无需额外购买。
2.支持802.1x、EOU、Portal、端口镜像、策略路由、设备指纹准入等多种控制方式,并可混合使用且支持无代理方式,适应有线、无线、NAT、HUB、VPN、远程分支机构接入等复杂网络环境。
3. 支持安全控件准入控制方式,无客户端界面,通过Web浏览器认证入网。
4.支持无客户端环境下,802.1x有线无线网络的Vlan动态下发、ACL动态下发。
5.能够自动判断Linux服务器、网络摄像头、网络打印机、IP电话等设备类型,并对这些设备进行自动入网授权,入网权限按照设备类型分配,实现端口级、最小化权限控制。
6.支持通过WMI协议发现Windows终端设备信息
7.支持自定义网段、IP、设备类型扫描;可限制用户扫描的IP范围,可支持设备轮询发现时间间隔设置,也可以支持立即扫描
8. 提供不少于5年原厂维保服务。
6.1.5 防病毒软件
1. 采用B/S架构,具备设备分组管理、策略制定下发、全网健康状况监测、统一杀毒、统一漏洞修复、统一管控、统一终端准入合规、硬件资产管理以及各种报表和查询等功能。
2. Windows服务器操作系统客户端≥50个;功能模块包含防病毒功能、服务器补丁管理功能授权
3.支持扫描时扫描信任区已信任的文件的病毒查杀。
4 .支持漏洞扫描、修复、忽略的筛选,具备蓝屏修复功能。
5. 提供不少于5年原厂维保服务。
6.1.6 WEB应用防火墙 1. 产品应采用1U专用机架式硬件设备,系统硬件为全内置封闭式结构,非NGFW、NGAF等下一代防火墙或UTM安全网关产品。
2.标准1U硬件平台,含2*GE电管理口,4*GE电业务口(含2组硬件BYPASS模块),硬盘:1T,1*RJ45串口,单电源。
3.网络吞吐量:1Gbps,HTTP应用吞吐量:500Mbps,HTTP最大并发数:3万,HTTP新建连接(CPS):4000,HTTPS应用吞吐量:100Mbps,HTTPS最大并发数:6000,HTTPS最大新建数:800,保护站点无限制。
4. 支持反向代理和旁路引流部署,支持链路聚合。
5.支持自动发现现网环境中存在的Web业务系统,记录服务器的IP、Port、域名等信息
6. 系统内置针对SQL注入、XSS的语义分析规则。
7. 提供不少于5年原厂维保服务。
6.1.7 容灾备份一体机
1. 2U机箱(12盘位),标准配置1颗至强八核超线程CPU、2*300G 高速系统盘;32GB内存、2个千兆网口,96TB裸容量硬盘(标准配置12*8TB裸容量96TB SATA企业级硬盘)。
2. 能够基于实时的字节级增量数据捕获技术(非快照类、块级传输),实现各类系统及数据库的备份功能,不限制CDP备份容量授权和需要保护的生产节点数量(至少满足10个主机节点保护),远程复制不限制传输数据量。
3. 配置统一管理平台,能够实现CDP持续数据保护、虚拟化备份、全服务器备份、应用高可用、数据库同步、在线热迁移、定时备份、NAS备份的统一管理
4. 配置CDP备份模块、配置实时复制模块、配置文件备份模块、配置数据库备份模块、配置数据比对模块、配置在线压缩模块、配置流量控制模块、配置BaseLine模块、配置永久增量模块。
5. 能设定任意历史点数据快速恢复,时间精度达到百万分之一秒,具备真正的CDP数据保护功能,最大限度减少因软硬件故障及逻辑错误等造成的数据丢失。
6. 支持在CDP数据正式恢复之前,可快速查看灾备的文件目录信息,确定恢复时间点后,再正式进行CDP数据恢复。
7.为避免在进行数据保护过程中,数据传输过大给生产网络带来影响,必须具备带宽及数据流控制功能,每个保护任务能根据时间动态调整带宽,具备图形化的实时数据流量统计功能以便计算和规划带宽需求。
8. 具备系统迁移验证功能,在不影响生产系统的情形下,能验证迁移系统的可用性。
9.具备管理员、普通用户、查看用户等多种权限角色,同时和业务系统嵌入后,保持和备份系统的权限独立。普通用户可以进行设备管理、备份管理等操作;查看用户则可以进行备份内容审计、备份设备审计和备份以及用户管理的审计。以保证灾备平台的安全性。
10. 提供不少于5年原厂维保服务。
6.1.8 数据库审计
1.硬件参数:2U机架式设备,双交流电源;标配≥6个千兆电口,≥4个千兆光口,≥1个HA接口,≥1个RJ45串口,≥2个USB接口,≥2个接口扩展槽; 内存≥16G,磁盘容量≥4T。
2.性能参数:可审计纯数据库流量≥800Mbps,每秒入库速度≥32000,日处理事件数≥5亿条。
3.授权:设备包含10个被审计DB数授权。
4.数据库审计:支持对Oracle数据库状态的自动监控,可监控会话数、连接进程、CPU和内存占用率等信息。
5.智能发现与敏感数据分类分级:数据库审计支持用户环境中的数据库和资源账号、表名的自动发现,方便用户使用 。数据库审计支持用户数据库中敏感信息的自动发现,可定位敏感数据存储的服务器、库名、表名、列名,并形成针对敏感信息的审计规则,支持对敏感信息敏感级别进行定义,各级别可对应不同风险值,方便对敏感数据泄露进行风险进行评估。
6.自身管理:系统支持一键自检功能,可以检查系统当前运行状态,检查内容包括:系统信息、进程信息、数据库信息、授权信息、用户信息等17项内容,协助管理员迅速定位系统异常,减少日常维护工作量。能够对连续失败登陆进行自动锁定,锁定时间可设置。
7.第三方接口:支持SNMP方式,提供系统运行状态给第三方网管系统,支持TP时间同步。
8.提供不少于5年原厂维保服务
6.1.9 漏洞扫描系统
1. 软硬件一体化产品,标准1U硬件平台,硬盘2T,内存16G,配备至少6个100/1000M自适应电口,2*USB口,单电源。
2.授权可扫描总数量不少于512个无限制范围IP地址。任务并发数≥10,单任务并发IP数≥90。
3. 支持主机、基线、网站、数据库扫描,并具备弱口令扫描功能,提供多种弱口令扫描协议,包括SMB、RDP、SSH、TELNET、FTP、SMTP、IMAP、POP3、MySQL、MSSQL、REDIS、RTSP 等协议进行弱口令扫描,允许用户自定义用户、密码字典。
4.提供采用SMB、SSH、Telnet、SNMP等协议对Windows、Linux系统进行登录授权扫描
5.支持识别国内外主流Web应用防火墙品牌及被扫描目标对象的网站响应状态,能根据不同的响应状态直观呈现不同颜色标识
6.支持展示被扫描网站的结构树,并支持网站结构树的导出。
7.产品提供系统安全配置核查功能,能够对主流操作系统、中间件的安全配置项目进行检查。
8. 提供不少于5年原厂维保服务
6.1.10 身份认证系统
1.1U机箱,单电源,1T硬盘,标配6个千兆电口,2个千兆光口,最大支持1个扩展槽,单台支持最大用户数500;支持本地、数据库、AD、邮件、radius等多种用户认证方式;校验接入用户身份的合法性,检查接入终端的安全性;基于用户组、用户属性、用户角色、位置、时间等多维度业务访问授权,确保业务访问权限最小化;包含200个手机令牌终身授权许可。
2. ▲支持解锁管理员、解锁用户,支持根据名字、认证、锁定时间、锁定信息展示用户的解锁信息,管理员可以为其解锁。投标时需提供产品功能截图证明并加盖原厂商公章。
3.支持准入策略,满足如下条件,才允许登录,设备未破解(越狱或root)、终端杀毒扫描结果安全。
4. ▲支持Web安全应用,通过配置应用名称、应用域名、服务器地址、登录请求路径,实现web应用不改造的情况下使用单点登录。投标时需提供产品功能截图证明并加盖原厂商公章。
5.支持运维服务器不改造实现单点登录,并且PC和移动端不需要安装ssh、rdp工具,只需浏览器支持H5即可。
6. 提供不少于5年原厂维保服务。
6.1.11 潜伏威胁探针
1.网络接口:千兆电口≥6个、千兆光口≥4个,万兆光口≥2个,实时检测流量≥6Gbps,2U架构,冗余电源。
2.旁路部署,支持探针同时接入多个镜像口,每个口相互独立不影响。
3.支持Database漏洞攻击、DNS漏洞攻击、FTP漏洞攻击、Mail漏洞攻击、Network Device、Scan漏洞攻击、System漏洞攻击、Telnet漏洞攻击、Tftp漏洞攻击、Web漏洞攻击等服务漏洞攻击检测。
4.▲支持敏感信息防护能力,可自定义敏感信息,支持根据文件类型和敏感关键字进行信息过滤。投标时需提供产品功能截图证明并加盖原厂商公章。
5.支持HTTP未知站点下载可执行文件、浏览最近30天注册域名、浏览恶意动态域名、访问随机算法生成域名、暴力破解攻击、反弹连接、IRC通信等僵尸网络行为检测。
6.内置URL库、IPS漏洞特征识别库、应用识别库、WEB应用防护识别库、僵尸网络识别库、实时漏洞分析识别库、恶意链接库、白名单库。
7. 提供不少于5年原厂维保服务。
6.1.12 态势感知平台
1.2U架构,冗余电源,CPU≥16核心、内存≥128G内存、存储≥40TB SATA、具备千兆电口≥4个,万兆光口≥2个,1个串口、3个USB口。
2. ▲支持不同安全视角展示15个独立的大屏展示功能,包括综合态势感知、资产态势、外连风险监控、脆弱性态势、设备运行态势等。支持实时告警、大屏轮播,可自定义播放顺序。投标时需提供产品功能截图证明并加盖原厂商公章。
3.支持检测web流量中是否存在可截获的口令信息,检测信息包括对应域名/URL、服务器IP,所属分支等,避免因明文传输导致信息泄露的风险。
4.支持SIEM分析的总览展示,包括数据分布、安全事件状态分布、安全事件趋势图、安全事件top5、关联规则告警趋势、关联规则告警TOP5、日志传输趋势等。
5.支持接入防火墙、上网行为管理、终端EDR、WAC无线控制器、DAS数据库审计和潜伏威胁探针等设备,并支持在页面中显示安全组件接入的数量和状态。
6. 提供不少于5年原厂维保服务。
6.2分平台安全
6.2.1 下一代防火墙
1. 性能指标:三层吞吐量≥58Gbps;应用层吞吐量≥16Gbps,并发连接数≥900W,新建连接数≥36W,SSL VPN最大并发接入数1000,SSL最大加密流量500Mbps;IPSec VPN推荐接入隧道数1000,IPSec VPN加密速度900Mbps;硬件指标:2U;双电源;标配千兆电口≥4个,千兆光口≥8个,万兆光口≥2个,1个串口(RJ45),2个USB 2.0。
2.支持路由、透明、虚拟网线、旁路镜像、混合等多种部署方式,适应复杂使用环境的接入要求。
3.具备链路聚合功能,将2个或者更多物理链路组合成一个更高带宽的逻辑链路接口,提高链路带宽和链路可靠性。
4.支持基于IP地址、端口、地域、协议、应用等维度配置策略路由策略,支持多种负载均衡算法,包括加权、带宽比例、轮询、线路排序等。
5.具备僵尸网络检测功能,可基于僵尸网络检测引擎发现主机的异常外联行为,并提供威胁等级和非法外联次数作为举证。
6.具备勒索病毒检测、防护功能。
7.具备网端云协同联动功能。
8. 产品预定义漏洞特征数量超过7650种,支持在产品安全规则库中以漏洞名称、漏洞ID、漏洞CVE标识、危险等级和漏洞描述等条件快速查询特定漏洞特征信息,支持用户自定义IPS规则。
9. 提供不少于5年原厂维保服务。
6.2.2 网闸
1.系统架构:产品采用“2+1”(即双主机系统+物理隔离数据通道控制系统)体系结构。采用具有自主知识产权的基于linux内核的多核多线程并行安全操作系统。
2.2U机架式EIA RS-310C标准机箱,高强度钢结构机箱,带冗余电源。
3.接口配置:内网机:≥2个SFP+插槽(含模块),≥4个SFP插槽,≥5个10/100/1000BASE-T接口,≥1个HA接口(10/100/1000BASE-T),≥1个console接口;外网机:≥2个SFP+插槽(含模块),≥4个SFP插槽,≥5个10/100/1000BASE-T接口,≥1个HA接口(10/100/1000BASE-T),≥1个console接口。
4.性能:吞吐量≥10 Gbps;最大并发连接数≥1,000,000;MTBF≥50,000小时;系统延时<1μs;最大并发视频路数≥4,000路D1视频;最大数据库同步速率≥5,000条/秒。
5.支持对传输文件的文件名检测机制;支持对文件类型的黑白名单控制,根据文件格式特征进行过滤,并且不依赖于文件扩展名;支持文件扩展名自定义功能。
6.支持对文件内容智能语义分析,对指定文件的内容关键字过滤,确保只有符合保密、安全策略的数据文件才允许被同步。
7.支持ORACLE、SYBASE、MySQL、SQL Server、DB2等主流数据库同步和支持国产达梦、人大金仓、南大通用等数据库的同步。
8.高可用,具备多网口链路聚合功能,可实现内网网口和外网网口链路备份,分发策略支持Layer2、Layer2+3、Layer3+4。
9. 提供不少于5年原厂维保服务。
6.3网络违规行为监测
6.3.1 网络违规行为监测分析系统
(一)、设备规格要求:
监听IP数:1500个;边界安全监测模块:支持;异常行为监测模块:支持;违规行为监测模块:支持;网内攻击监测模块:支持;安全隐患监测模块:支持;网络末梢传感器模块:支持10个;流量采集端口:提供2个千兆或2个万兆(光电可选);并发会话数:80万;存储:磁盘阵列,提供24TB存储容量;数据周期:180天;2U机架式设备,软硬件一体化交付。
(二)、数据采集要求:
1.采用多种数据采集方式:分光/分流、交换机端口镜像等旁路方式采集网络流量;无代理远程主动探测方式;基于JS传感方式;支持VLAN/LAN内静默运行网络末梢探针方式。
(三)、网络末梢传感器要求:
1.末梢传感器形态:软探针10个;
2.操作系统支持:微软WindowsXP以上版本;
3.末梢应用模式: 支持软件分发平台分发静默安装部署、支持终端独立部署;
4.支持部署至公安网C段单一/多个设备,采集末梢网段内安全行为和风险数据;
5.支持对局域网内网络设备串线、第三方网络穿透、异常/违规边界等网络边界数据采集。
6.支持对局域网内的DHCP、DNS等违规应用/服务监测;
7.支持对局域网内设备的IP、MAC、位置以及类型等信息数据采集。
(四)、边界安全监测要求:
1.具备违规外联节点、违规边界通道、私网与专网连接、不受控入网设备安全检测。
(五)、网内攻击监测要求:
1.具备恶意扫描、定向扫描、病毒木马、入侵渗透监测。
(六)、异常行为监测要求:
1.异常访问设备/应用:监测网内设备对业务系统或应用进行大规模的异常访问连接,定位设备地址以及连接总数等信息。
2. 数据异常访问:监测网内设备对特定数据库端口进行高频密/异常的访问,定位访问源的地址、源位置、目标地址、目标位置、数据库类型以及访问次数等信息。
3.跨域异常访问:基于完整的安全域策略,确定访问逻辑关系,监测全网异常的跨域访问行为,实现全网全量访问行为审计。
(七)、安全隐患监测要求:
1.对使用默认口令、弱口令、默认端口的安全风险隐患进行监测和发现。对内网的终端设备持续互联网DNS异常请求进行监测,监测异常端口开放。监测网络中无需输入用户名密码即可登录匿名FTP服务器,提供FTP服务器地址、信息等信息。
(八)、其他要求:
1. 提供不少于5年原厂维保服务。
备注:1.备注栏注明“拒绝进口”的产品不接受投标人选用进口产品参与投标;注明“接受进口”的产品允许投标人选用进口产品参与投标,但不排斥国内产品。
2、进口产品是指通过海关验放进入中国境内且产自关境外的产品。即所谓进口产品是指制造过程均在国外,如果产品在国内组装,其中的零部件(包括核心部件)是进口产品,则应当视为非进口产品。采用“接受进口”的产品优先采购向我国企业转让技术、与我国企业签订消化吸收再创新方案的供应商的进口产品,相关内容以财库〔2007〕119 号文和财办库〔2008〕248 号文的相关规定为准。
3、本项目核心产品为: 核心交换机 。
商务需求
(一)免费保修期内售后服务要求
1 维修响应及故障解决时间 在保修期内,一旦发生质量问题,投标人保证在接到通知24小时内赶到现场进行修理或更换。
1.提供7×24小时的故障服务受理;对重大故障提供7×24小时的现场支援,一般故障提供5×8小时的现场支援。
2.一般故障服务的现场响应时间小于2小时,即2小时内有能够处理故障的技术人员到达现场。重大故障,如设备或系统出现故障影响前端门禁正常开门,维护人员应在30分钟内现场响应,即30分钟内到达用户指定地点处理故障。
3.在设备故障出现短时间内无法恢复,并严重影响业务系统正常运行的情况下,中标人必须保证在6小时内,采取应急措施或提供替代设备使设备或系统尽快恢复运行。
2 关于免费保修期 关于免费保修期:
1.工程维保要求:整体系统质保期1年。
2.货物维保要求:汇聚交换机、核心交换机、城域网核心交换机、盘控一体存储、万兆交换机、下一代防火墙、日志审计系统、运维审计系统(堡垒机)、网络准入控制系统、防病毒软件、WEB应用防火墙、容灾备份一体机、数据库审计、漏洞扫描系统、身份认证系统、潜伏威胁探针、态势感知平台、下一代防火墙、网闸、网络违规行为监测分析系统提供不少于5年原厂维保服务,时间自项目验收合格之日起计算。
3 售后服务承诺函 在中标通知书发出后5日内,向采购人提供所投产品(汇聚交换机、核心交换机、城域网核心交换机、盘控一体存储、万兆交换机、下一代防火墙、日志审计系统、运维审计系统(堡垒机)、网络准入控制系统、防病毒软件、WEB应用防火墙、容灾备份一体机、数据库审计、漏洞扫描系统、身份认证系统、潜伏威胁探针、态势感知平台、下一代防火墙、网闸、网络违规行为监测分析系统)原厂商盖章的五年原厂保修服务承诺文件。
4 售后服务人员要求 免费保修期内,投标人必须提供8名维护服务人员;维护服务人员需具备相关技术资质的技术人员,其中包括:同时具备PMP证书和ITIL证书人员1名、同时具备信息系统项目管理师证书和注册信息安全专业人员(CISP)证书1名、具备安全防范系统安装维护员4名、具备注册信息安全专业人员(CISP)证书2名。维护服务人员必须为投标人自有员工,要求提供相关人员近三个月社保证明、相关有效证书证明文件。
5 售后维护 投标人售后维护具有涉密计算机、通信和办公自动化设备定点维修维护证书,提供扫描件。
(二)其他商务要求
1 关于交货 1.1交货地点:用户指定地点。
1.2投标人必须承担的设备运输、安装调试、验收检测和提供设备操作说明书、图纸等其他类似的义务。
1.3本项目所要求的硬件、软件,中标人要配备给采购人,并保证采购人能正常使用,不需要另外增加其他附件和其他费用。
1.4签订合同后60天(日历日)内交货。
2 关于验收 2.1投标人货物经过双方检验认可后,签署验收报告,产品保修期自验收合格之日起算,由投标人提供产品保修文件。
2.2当满足以下条件时,采购人才向中标人签发货物验收报告:
a、中标人已按照合同规定提供了全部产品及完整的技术资料。
b、货物符合招标文件技术规格书的要求,性能满足要求。
c、货物具备产品合格证。
2.3中标人提供的设备是全新(包括零部件)的设备。有关设备符合国家检测标准,或具有有关质检部门出具的产品检验合格证明。
3 培训要求 投标方应负责对采购方人员进行全面技术培训,系统培训。培训内容包括本项目产品(含软硬件)的基本功能、技术性能、使用与维护、故障排除等。
4 关于违约 3.1中标人不能交货的,需偿付不能交货部分货款的3%的违约金并按主管部门相关规定处理。
3.2中标人逾期交货的,将被没收履约保证金并按主管部门相关规定处理。
3.3中标人所交付产品、工程或服务不符合其投标承诺的,或在投标阶段为了中标而盲目虚假承诺、低价恶性竞争,在履约阶段则通过偷工减料、以次充好而获取利润的,将被没收履约保证金,并被深圳市政府采购中心评为履约等级“差”并按主管部门相关规定处理。
4 关于付款 按照政府相关规定和合同约定进行付款。
技术规格偏离表
| 序号 | 货物名称 | 招标技术要求 | 投标技术响应 | 偏离情况 | 说明 |
| | | | | | |
| | | | |||
| | | | |||
| | | | | | |
| | | | | ||
| | | | | ||
| | | | |
商务规格偏离表
| 序号 | 目录 | 招标商务条款 | 投标商务条款 | 偏离情况 | 说明 |
| (一)免费保修期内售后服务条款偏离表 | |||||
| 1 | | | | | |
| 2 | | | | | |
| …… | | | | | |
| (一)免费保修期外售后服务条款偏离表 | |||||
| 1 | | | | | |
| 2 | | | | | |
| …… | | | | | |
| (三)其他商务条款偏离表 | |||||
| 1 | | | | | |
| 2 | | | | | |
| …… | | | | | |
评标信息
| 序号 | 评分项 | 权重 | ||||
| 1 | 价格 | 30 | ||||
| 2 | 技术部分 | 52 | ||||
| | 序号 | 评分因素 | 权重 | 评分方式 | 评分准则 | |
| 1 | 技术保障措施 | 3 | 专家打分 | 考察内容: 一、投标人须为在投标文件中详细说明实施本项目拟安排项目经理1名,该项目经理具备: 1)高级信息系统项目管理师证书; 2)PMP证书; 3) ITIL证书; 三项都满足得40分,满足两项得20分,满足一项得10分,都不满足得0分。项目经理必须为投标人自有员工,要求提供近三个月社保证明文件、相关有效证书作为得分依据。评分中出现无证明资料或专家无法凭所提供资料判断是否得分的情况,一律作不得分处理。 二、质量保障: 1、投标人具有信息技术服务管理体系认证证书(认证范围包含网络安全和数据资源和软件开发与运维),得30分。 2、投标人具有信息安全管理体系认证证书(认证范围包含网络安全和数据资源和软件开发与运维),得30分。 提供以上证书扫描件,原件备查。不提供或专家无法凭所提供资料判断是否得分的情况,一律作不得分处理。 | ||
| 2 | 技术规格偏离情况 | 49 | 专家打分 | 投标人应如实填写《技术规格偏离表》,评审委员会根据技术需求参数响应情况进行打分,各项技术参数指标及要求全部满足的得 100 分,带“▲”的为重要参数,每负偏离一项扣10分,其它为一般参数,每负偏离一项扣5分,扣完为止。涉及到需要提供相关证明文件的,评分中出现无证明资料或专家无法凭所提供资料判断是否得分的情况,一律作不得分处理。 | ||
| 3 | 商务需求 | 10 | ||||
| | 序号 | 评分因素 | 权重 | 评分方式 | 评分准则 | |
| 1 | 免费保修期内售后服务条款偏离情况 | 7 | 专家评分 | 投标人应如实填写《免费保修期内售后服务条款偏离表》,评审委员会根据响应情况进行打分,全部满足要求的得100分,每负偏离一项扣50分。 涉及到需要提供相关证明文件的,评分中出现无证明资料或专家无法凭所提供资料判断是否得分的情况,一律作不得分处理。 | ||
| 2 | 其他商务条款偏离情况 | 3 | 专家评分 | 投标人应如实填写《其他商务条款偏离表》,评审委员会根据响应情况进行打分,全部满足要求的得100分,每负偏离一项扣50分。 涉及到需要提供相关证明文件的,评分中出现无证明资料或专家无法凭所提供资料判断是否得分的情况,一律作不得分处理。 | ||
| 4 | 诚信情况 | 5 | ||||
| | 序号 | 评分因素 | 权重 | 评分方式 | 评分准则 | |
| 1 | 诚信 | 5 | 专家评分 | 投标人在参与政府采购活动中存在诚信相关问题且在主管部门相关处理措施实施期限内的,本项不得分,否则得满分。投标人无需提供任何证明材料,由工作人员向评审委员会提供相关信息。 | ||
| 5 | 综合实力 | 3 | ||||
| | 1 | 投标人近三年同类业绩(以合同时间为准,截止日为本项目公告发布之日) | 3 | 专家打分 | 提供3个网络类建设项目同类业绩即得满分,提供2个得60分,提供1个得30分,未提供的不得分。投标人必须在投标文件中提供每一个项目的合同关键页(均加盖合同甲方公章或业务章)扫描件,原件备查,否则不得分。 | |
其它
附件
解决方案
联系我们
返回顶部