信息安全防护及虚拟化管理系统建设方案

1、信息安全防护及虚拟化管理系统建设方案信息安全防护及虎拟化管理系统建设方案 / 34应用层安全防护1、支持对服务器响应安全设置，可通过选择不同的操作策略 对响应头内容进行增删改。在修改响应头时，要保证触发条 件的准确性，不得随意修改。（需提供相关截图证明）爬虫、扫描器等 自动化工具的安 全检测1、内置安全规则可有效识别Acunetixs nessus、WebScan、 Webdump等扫描器的扫描行为内置安全规则可有效识别baidu、google yahoo等常见网 络爬虫的访问行为盗链攻击检测1、内置防盗链规则，可实现全站盗链保护，也可以针对特定 的文件类型（jpg、png、gif等）进行盗链

2、防护。同时可以 设置允许盗链访问的第三方网站的白名单域名自定义规则1、支持丰富的自定义规则，支持对请求头部的各个字段包括 Host User-Agent Cookie、Content-type、Referer Content-Length、请求参数名称、参数内容进行安全检测， 同时也支持多个检测检测条件进行组合，满足对复杂场景的 安全检测需求智能语义分析1、内置对SQL注入、XSS攻击检测的语义分析规则机器学习1、系统内置机器学习安全引擎，通过机器学习可以对用户 web业务系统建立安全的访问模型，学习的内容包括URL、 参数、参数类型、参数长度、cookie等信息2、支持设定学习的周期，需要学

3、习的域名信息，可以设定可 信任的客户端IP,不可信的客户端IP以及不学习的URL信 息3、模型数据可以显示学习中的URL数量，学习完成的URL数 量、检测中URL数量、学习失败的URL数量，同时可以显示 各个阶段的占比情况4、内置通用的机器学习模型，无需对现网业务进行学习，通 过与云端联动，数据模型可实现自动更新智能攻击者锁定1、支持智能识别攻击者，对网站连接发起攻击的IP地址进 行自动锁定禁止访问网站；可配置攻击者识别策略和算法以 及攻击者锁定时间，CC防护功能1、支持细粒度检测检测条件，可基于URL、请求头部字段、 目标IP、请求方法等多种组合条件进行检测，检测指标可通 过URL访问速率和

4、URL访问集中度、请求离散度三重检测减 少误判率；检测的客户端对象可支持IP、IP+URL、 IP+User_Agent多种算法，客户端IP支持应用层字段解析， 并支持自定义检测字段功能；支持基于地理位置的识别，可 设置不同地理区域的检测，杜绝海外肉机攻击。地图态势分析1、按地理区域对攻击次数等进行统计，通过地图展示，并在 地图上可以指定某一地理区域进行访问控制，阻断此区域IP 的访问云端威胁情报联动1、支持云端威胁情报联动，可主动发现包括僵尸网络、代理 IP、扫描主机、黑产IP等恶意IP发起的访问行为，针对恶 意IP的访问行为进行告警并拦截，威胁情报数据可实现离 线更新和在线更新云端高防联动

5、1、WAF与云端高防中心联动，通过WAF 键开启防护，实现3-7的DDOS安全防护，最高可提供1T抗D服务安全审计1、能详细记录攻击事件的HTTP请求头信息，含请求的URL、UserAgent、POST内容，cookie等所有的请求头内容2、能详细记录服务器响应头信息，服务器响应内容日志分析1、根据产生的安全日志进行智能分析，提高人工分析效率， 减小规则误判概率访冋审计1、具备审计网站正常访问流量的能力，提供按小时，天、月 份生成用户的访问数据，2、能记录、查询所有用户对网站的访问情况，包括访问的URL、客户端IP、服务器返回的状态码，1、能够统计分析出用户所访问URL TOP 10数据，2、

6、能够统计分析出用户所访问分文件类型，3、能够统计分析出搜索引擎的T0P10数据，4、能够统计分析岀客户端所使用操作系统的T0P10数据，报表1、支持自定义报表、定时报表、支持各类导出格式(WORD, PDF 等)2、根据PCI-DSS要求，对用户的应用进行合规性评估，生成合规报表告警方式1、支持Syslog、手机短信、邮件等多种告警方式规则升级1、规则库支持手工、在线升级两种方式，在线升级可支持规 则定时检查新版本和在线更新，确保WAF能够针对新型的、 突发型的Web攻击进行防护管理方式1、支持HTTPS方式进行设备管理账户管理1、设备管理采用管理员与审计员分离SNMP管理1、支持标准网管SN

7、MPv3,并且兼容SNMP vl和v2cNTP1、支持NTP时间同步原厂售后保证1、提供7*24小时原厂商400支持热线；3. 2. 3.安全态势监测及漏洞扫描管理系统安全态势监测平台指标指标项详细要求基本要求技术参数1、基于B/S架构，通过Web方式对本系统进行管理。2、支持Linux操作系统部署。3、支持分布式数据存储及检索技术。4、支持IPV4/IPV6双协议数据信息采集。性能参数1、单台数据采集探针性能20000条/秒。2、支持10亿条数据秒级检索响应。规格要求1、内存容量N96GB,硬盘容量NSSD 128G+16TB；接口 数量N4千兆电口全网态势态势展示1、全网态势展示的主题包括

8、：资产概况、资产活跃度、 日志源监控、脆弱性、实时攻击事件展示、告警趋势、 安全事件趋势、告警统计、最新告警、热点事件等。并 支持态势大屏中相关信息下钻跳转到到对应的详细页 面。（提供相关功能截图证明）资产态势资产展示1、支持基于资产角度多维度展示资产态势，展示的主 题包括：资产总体情况、资产漏洞排行、资产事件排行、 漏洞影响范围、受攻击资产排行、事件影响范围、发起 攻击资产行。资产详情1、支持资产态势中各个主题展示的相关统计信息点击 下钻获取详细信息。资产轮播1、支持对资产整体情况的轮播效果，清晰掌握资产整 体情况对比。脆弱性态势脆弱性展示1、支持从脆弱性总体情况、漏洞类型分布、漏洞级别 分

9、布、高危漏洞类型排行、高危漏洞排行T0P5、最新 漏洞发现趋势、漏洞排行T0P10、漏洞级别对比等多个 维度展示整体网络的脆弱性态势。脆弱性详情1、支持主题信息下钻获取详细信息，主题包括但不限 于：漏洞类型分布、漏洞级别分布、高危漏洞类型排行、 高危漏洞排行T0P5、最新漏洞发现趋势、漏洞排行 T0P10 等。漏洞对比1、支持漏洞级别对比、最新漏洞发现趋势的信息分类 筛选显示，支持漏洞级别对比主题近三月低中高漏洞 统计的对比。攻击态势攻击展示1、支持全景网络攻击大屏，全景网络攻击大屏以全球 地理关系地图的方式展示实时网络攻击事件态势，直 观的展示攻击事件轨迹情况，快速感知最新攻击信息。安全监测

10、事件检索1、支持事件检索基础查询和全文检索两种查询模块， 支持查询策略的维护、检索条件值的可选可填，支持二 次检索（时间、字段）、数据实时透视分析、关系图谱 展示、详情查看、溯源分析、内网IP画像分析、导出、 自定义列展示。事件导出1、支持对安全事件、告警、脆弱性等安全信息按照多 个条件自由组合查看、搜索展示，并支持查询结果按照 TXT、CSV、EXCEL进行导出，支持IPV6信息采集展示。女全处置工单管理1、支持工单可以指派相关责任人进行处理，可通过处 置任务对处理状态进行跟踪。告警外发1、支持告警信息通过邮件、SNMP Traps.短信、登陆 显示的方式通知责任人对告警进行重视和跟踪。告警

11、处理1、支持告警规则创建、合并、删除等操作。安全分析事件分析1、支持关联分析技术对采集到的各种安全事件进行降 噪去杂并关联分析，并对事件地址和端口进行统计、事 件名称排名、事件关系等进行分析进而实现追踪溯源 信息，追踪溯源信息包括但不限于：攻击关系图、安全 事件详情，支持对每条安全事件进行溯源、调查取证 PCAP附件下载。（提供相关功能截图）分析建模1、支持基于流量特征、行为状态进行网络安全分析建 模，建模场景支持增、删、改、查；支持驱动场景引擎 进行情报匹配分析进行行恶意IP、DDOS攻击、失陷主 机、恶意外联等隐患分析。资产管理资产标签处理1、支持通过主动探测和被动流量感知自动发现资产，

12、并根据发现方式对资产的类型和来源进行标签处理。资产维护1、支持资产信息的全量导入导岀，从全局视角实现资 产的全生命周期管理，支持资产维护，资产识别等。资产探测1、支持私有IP段和自定义IP段资产自动探测匹配， 通过监测流量中的资产IP信息进行资产备库，通过管 理员审核后添加到资产库。系统设置系统维护1、支持系统维护，包括邮箱配置、调试日志导出、 License信息、磁盘管理、定时配置等维护。支持管理 系统存储策略，可设定存储告警阈值、存储空间清除阈 值，及日志和流量的保存天数。支持定时任务的增、删、 改，提供相应的配置。系统角色管理1、支持角色管理和用户管理，支持三权分立，支持密 码策略变更。

13、流量检测探针指标项招标要求基本要求1、千兆电口M6,千兆光口M2,含5年License升级许可，综合监 测吞吐NIGbps。2、全功能All_In_One设备，单台设备具备文件还原、文件静态检 测、文件动态沙箱检测、web攻击检测、流量检测、数据分析与风险 预警等功能；不能分为二台或多台设备来完成APT功能。文件检测1、支持从 HTTP、FTP、POP3、SMTP、IMAP、SMB/CIFS、HTTP Proxy 协议中还原出指定格式文件2、文件静态检测支持检测包括邮件文件（EML）、Office、压缩包、 脚本文件、图片文件、APK等60余种默认文件格式。3、支持检测自定义文件格式，如：新增

14、.do后缀类型的文件4、具备文件HASH库检测引擎和文件内容分析特征库分析引擎，对 文件进行检测并分别生成检测结果5、支持从指定URL地址下载文件，对下载的文件自动进行威胁检测6、对于系统还原出的文件，系统自动存储，支持对加文件加密下载， 加密密码可以策略自定义设定。7、支持对所有已检测过的文件HASH进行统一存储，并提供搜索、 查看、重新检测功能8、沙箱引擎的虚拟机系统支持Windows XP和Windows 7等常见操 作系统模板，支持实时切换检测用的虚拟机操作系统。9、支持用户自定义沙箱虚拟机联网设置，至少支持不联网、可联网、 使用虚拟网络联网几种模式10、沙箱支持文件行为监测、注册表、

15、进程、模块、进程调用API情 况、进程对窗口、进程的异常处理、网络行为、样本衍生物进行分 析检测。沙箱支持文件伪装识别。能够识别出伪装成图片以及其它 正常文件的恶意代码文件。11、沙箱支持对样本文件的PE信息、证书信息、字符串信息的检测 分析功能。12、支持对样本的数字签名状态信息进行分析，包括证书验证结果、 时间戳、序列号、使用者、有效期等，并能识别签名有效性13、支持shellcode提取,能将shellcode反汇编成汇编代码14、支持多种机器学习算法生成的多个检测模型同时对文件进行威 胁判定。输出文件样本的威胁概率。15、沙箱检测报告具有检测信息概要功能，概要内容包含：文件名、 威胁级

16、别、文件HASH检测结果、内容分析结果、行为分析结果、CVE 信息、机器学习检测结果等重点信息的展示。16、沙箱检测报告具备样本分类趋势图功能，该趋势图可呈现样本 行为偏向于样本所属的恶意样本分类，如病毒木马、后门、蠕虫、 广告等。17、沙箱引擎支持对样本主要活动行为自动截图并保存，提供查看 使用。18、文件检测支持YARA格式的自定义规则19、支持文件样本报告批量导出功能失陷主机检测1、支持信誉检测机制，通过C&C信誉库（黑IP、黑URL、黑域名） 来检测木马（如：ZeuS、Feodo等）、僵尸、蠕虫等恶意代码的活动 行为2、支持通信流量特征检测，基于流量中的通信特征，来检测木马、 僵尸、蠕

17、虫等恶意代码的主机上线、文件操作、屏幕监控等活动行 为远程漏 洞攻击 检测1、支持远程溢出漏洞检测，基于流量特征来检测远程漏洞扫描及利 用的攻击行为，并将攻击事件会话PCAP文件记录、存储和PCAP文 件在线查看功能Web攻击 检测1、支持Web攻击检测，能够检测Web漏洞扫描及利用行为2、支持Webshell控制检测，能够检测Webshell控制行为3、支持Web攻击事件会话PCAP文件记录、存储和PCAP文件在线查 看功能异常行为检测1、支持隐蔽信道检测功能。隐蔽信道检测功能至少支持DNS、HTTP、ICMP协议的隐蔽信道检测。2、支持动态域名检测，能够检测大量频繁访问常见动态域名的可疑

18、行为。3、支持协议异常检测，能够检测通信不符合相关协议规范的可疑行 为,包括DNS、HTTP协议。4、支持异常心跳检测，检测周期性重复数据包疑似心跳的可疑行为。可视化关联分析1、支持时间序列关联分析，以内网资产（必选）或者指定的外部IP 地址作为基础，以时间、检测事件作为条件呈现当前资产或者IP的 威胁态势情况。知识库功能1、提供网络威胁知识库，能够为系统检测的威胁信息提供知识说明。威胁感知地图1、支持对实时攻击态势进行动态地图展示，在态势地图中可按日或 按周展示各种攻击源到目的地址的攻击路径。资产威胁统计1、支持以资产维度，展示资产的威胁信息，可展示资产的威胁统计、 威胁分布、威胁排名。漏洞

19、扫描系统指标项指标要求硬件配置1、CPU：双核或双核以上、内存：16G以上，硬盘：1T扫描对象1、主机软件漏洞扫描、基线配置核查功能要求1、产品要求界面友好，并有详尽的技术支持文档，所有图形界面 要求中文。2、系统为B/S架构，并采用SSL加密通信方式，用户可以通过浏 览器远程方便对产品访问操作，支持多用户同时登陆操作。3、提供分布式部署，上级管理设备能够方便查看下级设备状态。4、提供三权分立的账户体系，支持上下级部门管理，非上下级的 不同部门任务、资产隔离。提供产品截图。5、提供审计功能，能够对登陆日志、操作日常进行记录和查询， 并可以将日志导入导出操作。6、提供日志自动审计功能，根据指定的

20、审计标准自动、定时审计； 并将审计结果发送到指定邮箱当中。7、厂商漏洞策略库大于35000条；提供详细的漏洞描述和对应的 解决方案描述；漏洞知识库与国际CVE、国内CNNVD漏洞库标准兼 容。（须提供CNNVD兼容性证书与产品功能截图）8、系统内置不同的策略模板如针对Linux Windows操作系统等 模板，同时允许用户定制扫描策略；用户可定义扫描范围、定义 扫描端口、扫描使用的参数集等具体扫描选项。9、支持Windows系列操作系统，支持Linux主流操作系统（CentosRedhat Debian、Fedora、Ubuntu Suse 等）,支持 Unix 主流操 作系统（AIX、HPU

21、X、Solaris 等）；10、支持对Web、FTP、电子邮件等应用系统、Apache等veb中间 件服务器以及Office等常用软件进行漏洞扫描；11、可以自定义扫描端口范围、端口扫描策略12、提供采用 SMB、SSH、Telnets SNMP 等协议对 WindowsLinux 系统进行登录授权扫描。提供产品截图；13、具备弱口令扫描功能，提供多种弱口令扫描协议，包括SMB、 RDP、SSH、TELNET、FTP、SMTP、IMAP、POP3、MySQL、MSSQL、REDIS、 RTSP等协议进行弱口令扫描，允许用户自定义用户、密码字典。 提供产品截图。14、支持发现非默认端口启动的服务

22、，支持服务的协议识别、版 本15、可根据端口识别出的软件版本提供可能存在的相关漏洞列表16、支持7种以上端口探测方式，如:TCPACK、TCP SYN、TCPConnect、TCPNull. TCPXmas TCPWindow、TCPFin 等，提供产品截图。17、支持 HTML、WORD、PDF、XLS 报告格式产品资质产品具备公安部的计算机信息系统安全专用产品销售许可证（增强级）。提供有效证书的复印件产品具备网络关键设备和网络安全专用产品安全认证证书（增强 级）。提供有效证书的复印件产品具备国家信息安全漏洞库兼容性资质证书。提供有效证 书的复印件3. 2. 4.虚拟化防护系统指标详细要求设

23、备基本要求1、采用专用安全操作系统，基于操作系统内核的完全检测技术； 拥有专用的安全操作系统具有自主知识产权（提供虚拟化防火 墙产品软件著作权证书）。1、产品应至少支持 VMware Huawei 浪潮、zstack-alibaba 鲸云、麒麟云、网安凌云、九州云等国内外主流虚拟化厂商平 台。2、为保证该虚拟化防护系统对虚拟化平台完美兼容能力，需提 供：VMware Ready证书以及官网链接1、支持访问控制、入侵防御、网络防病毒、应用识别等功能， 配置高级威胁防御模块，包含5年病毒防御规则库和5年入侵 防御规则库升级许可。防火墙吞吐率$ lOGbps;最大并发连接数 2100W,含全部虚拟化

24、服务器授权。集中管理1、系统提供集中管理界面，统一管理所有安全策略的制定、下 发、启用、停发等2、整个系统所有安全虚拟机口志统一汇聚、统一存储、统一分析虚拟化安全特性1、支持从虚拟化平台获取虚拟机信息，包括虚拟机名字，ip地 址，并应用于安全策略配置。2、支持根据虚拟机的迁移、复制情况下，同步调整相关安全策 略，使虚拟机始终处于虚拟化防火墙保护之下。3、安全防护颗粒度实现到每个虚机的虚拟网卡，定义任何虚机 颗粒度安全策略，实现动态安全组防护。4、支持当虚拟化安全网关出现异常时，可在Hypervisor层 bypass虚拟机流量，不中断业务通信。5、支持根据虚拟机的创建、迁移、复制情况，同步调整

25、相关安 全策略，使虚拟机始终处于虚拟化防火墙保护之下。6、支持虚拟机通信量（源地址，目的地址，源端口，目的端口）Top50排名。7、支持基于虚拟化Hypervisor层状态检测防护墙。策略管理1、内置高度集成的一体化智能过滤引擎技术，实现在同一条访 问控制策略中配置传统的五元组信息、自定义服务、预定义服务、服务组、应用组、时间、安全引擎、虚拟机特性等的识别与 控制2、支持策略启用和禁用功能，能够同时启用或禁用多条策略3、支持在WEB界面上开启策略冲突检测功能，在出现策略冲突 时，能够在WEB界面进行提示4、支持策略搜索功能，能够根据五元组信息、自定义服务、预 定义服务、服务组、应用组、时间、安

26、全引擎、虚拟机特性等条 件进行策略的搜索（提供相关功能截图证明）5、支持基于时间的访问控制策略，能够在特定时间启用策略6、支持对单条访问控制策略进行最大并发连接数限制（提供相 关功能截图证明）入侵防御1、能够检测并抵御的攻击至少包括11大类，如IIS webdav、 OpenSSL 等拒绝服务类,BSD telnetd、Sendmail 8. 12 等溢出 攻击类，Pcanywherel2. 0 Windows SMB等网络访问类，漏洞扫 描、端口扫描、IP扫描等扫描类，Gatecrasher Hack a tack 等木马类,Microsoft Sharepoint2007 Path 等 H

27、TTP 攻击类, Nagios Remote Plug-In Executor 等 RPC 攻击类，Sasser. b Blaster 等蠕虫类，Microsoft Outlook Web Access 等 WEBCGI 攻击类,Microsoft Windows NetBIOS 等系统漏洞类，及 Manage Engine Multiple Products File Collector 等其他攻击类型；2、规则库符合CVE标准规范，每条规则都注有中文名称，点击 规则编号可显示出对应的详细规则描述，如CVE ID、风险等级、 应用类型、漏洞描述、解决办法等；3、支持自定义规则库中每条规则的防

28、御动作为警告或丢弃病毒防御1、支持检测并拦截HTTP、SMTP、POP3、FTP协议所携带的恶意 代码，且可在访问控制中根据五元组信息、自定义服务、预定义 服务、服务组、应用组、时间、安全引擎、虚拟机特性等进行恶 意代码防护。2、恶意代码特征库，包含蠕虫病毒、后门木马、间谍软件等3. 2. 5.虚拟化备份系统序号指标项技术指标要求1虚拟化备份及数据保护1、支持Vmware vSphere ESX/ESXi主流虚拟化应用保护2、支持对Vmware vSphere ESX/ESXi虚拟化的保护，且 在保护过程中，无需在任意虚拟机中安装任何客户端代理3、在对VMWare的保护过程中，支持CBT、SD

29、K、CDP等多 种备份方式。4、必须支持SAN/vSAN环境下的Lan-Free备份，减少备 份过程中对于业务网的占用。5、支持备份任务并发，能够同时备份多个ESXI上的各自 的虚拟机，或单台ESXi上的多个虚拟机，在单个任务下 实现多个ESXI或多个虚拟机同时发起备份。6、支持永久增量备份，只需要进行一次初始化的全备份， 其余备份全部采用增量备份方式；并且要求，在进行了多 次备份作业后，VMWare的性能不降低7、支持备份集的自动合并功能，要求在一份完整备份基 础之上，将后续每次的增量数据与完整数据自动合并，合 并成一份最新的完整数据，节省存储空间占用。在备份集 合并之后，要求保留历史时间点

30、的数据8、要求为保证VMware虚拟机的性能稳定，在VMware虚 拟机快照记录中最多保留2个快照点9、能够从备份设备的备份文件快速启动虚拟机用于生产， 而无需将备份文件先恢复到生产存储10、支持VMware虚拟机的挂载功能，在原有虚拟机故障 后，无需数据恢复过程，可将任意备份快照点挂载启动。支持单虚拟机粒度挂载，并支持虚拟机挂载后是否自动开 机和联网。11、支持瘦模式和厚模式磁盘分配的虚拟机12、根据不同的网络环境(SAN, LAN, WAN)可自定义数据去 重的块大小13、提供无限数量的历史恢复点，可供ESXi进行恢复选 择14支持以数据中心模式、VMware集群模式、vAPP模式、 /虚

31、拟机模式以及虚拟磁盘模式提供VMware数据备份，实 现针对VMware环境更加准确的保护。3. 2. 6.虚拟化管理平台指标项详细要求基本要求1、采用裸金属架构，无需绑定操作系统即可搭建虚拟化平台。Hypervisor结构精简，部署后所占用的存储空间在200M以下。2、虚拟机之间可以做到隔离保护，其中每一个虚拟机发生故障都不会 影响同一个物理机上的其它虚拟机运行，每个虚拟机上的用户权限只 限于本虚拟机之内，以保障系统平台的安全性。3、虚拟机可以实现物理机的全部功能，如具有自己的资源(内存、CPU、网卡、存储)，可以指定单独的IP地址、MAC地址等。4、提供N2个物理CPU虚拟化授权和1个控制

32、中心5、能够提供性能监控功能，可以对资源中的CPU、网络、磁盘使用率 等指标进行实时统计，并能反映目前物理机、虚拟机的资源瓶颈。兼容性要求1、支持现有市场上的主流x86服务器，具有双方认可的官方服务器 硬件兼容性列表，包括IBM、HP、DELL、Cisco、NEC以及国内自主品 牌服务器等。2、兼容现有市场上主流的存储阵列产品，具有双方认可的官方存储阵 列兼容性列表，存储阵列类型包括SAN、NAS和iSCSI等，存储阵列 品牌包括 EMC、IBM、HP、HDS、NetApp、Dell 等。3、兼容现有市场上主流厂商的多款不同型号的服务器配件、网卡和HBA卡产品。4、兼容现有市场上x86服务器上

33、能够运行的主流操作系统，具有双 方认可的官方客户操作系统兼容性列表，尤其包括以下操作系统： Windows XP Windows Vista Windows 2000 Windows 2003、Windows 2008Windows 8 Redhat Linux Suse linux Solaris x86、FreeBSD、 Ubuntu、Debi an s Mac OS等，虚拟机上的操作系统不进行任何修改即 可运行。功能性要求1、提供HA功能，当集群中的主机硬件或虚拟化软件发生故障时，该 主机上的虚拟机可以在集群之内的其它主机上自动重启。当虚拟机的 客户操作系统出现故障时，可以自动重启该虚拟

34、机客户操作系统，保 障业务连续性。2、提供容错机制，可以保证运行虚拟机的主机发生故障时，虚拟机会 自动触发透明故障切换，同时不会引起任何数据丢失或停机。支持不 少于2个虚拟CPU的工作负载容错功能。3、支持虚拟机的在线迁移功能，无论有无共享存储，都可以在不中断 用户使用和不丢失服务的情况下在服务器之间实时迁移虚拟机，保障 业务连续性。4、可以实现基于LAN或WAN的、独立于磁盘阵列的虚拟机级别的复 制，可以对虚拟机数据进行基于多个时间点的复制。5、提供虚拟机的备份功能，能够利用重复数据删除技术对整个虚拟机 或虚拟机单个磁盘快速进行无代理备份（全备份或增量备份）和恢复。同时提供备份接口，能够与第

35、三方备份软件无缝兼容对虚拟机进行集 中备份。还支持诸如 Microsoft Exchange SQL Server 和 SharePoint 应用级的备份6、提供高效的内存调度与保护机制，能够实现内存的过量使用，以此 保证虚拟平台不会被暂时的物理内存耗尽而崩溃，同时实现虚拟内存 可以超过物理内存。7、虚拟机支持多路虚拟CPU (vSMP)技术，以满足高负载应用环境的 要求。8、可以为虚拟机创建一个或多个快照来保存虚拟机的基于时间点的 运行状况和数据。9、提供专用的P2V工具，实现在线物理机至虚拟机的无间断平滑转 换。10、虚拟机支持USB 3.0设备，支持3D显示卡虚拟化功能。虚拟机 支持3D

36、图形加速功能，可以根据需要启用或停用。11、虚拟化平台可以内建标准虚拟交换机，实现虚拟机之间或虚拟机 与物理机之间的网络调度，支持同一物理机上虚拟机之间的网络隔离 (支持 VLAN) o12、支持16 Gb端到端光纤通道。13、提供防病毒和防恶意软件解决方案，可以与第三方杀毒软件或安 全软件融合，无需在虚拟机内安装代理即可保护虚拟机，实现虚拟化 环境下的安全防范。14、提供物理主机级别的无状态防火墙，无需使用IPTABLES,管理员 可以用命令行和图形化界面配置防火墙。15、虚拟机支持直接访问裸设备，将虚拟机数据直接存储在LUN上。16、具有存储精简配置能力，可以超额分配存储容量，提高存储的利

37、 用率，减少存储容量的需求。17、提供虚拟机的存储在线迁移功能，无需中断或停机即可将正在运 行的虚拟机从一个存储位置实时迁移到另一个存储位置。支持跨不同 存储类型以及不同厂商存储产品之间进行在线迁移。18、提供热添加CPU,磁盘和内存的功能，无需中断或停机即可根据 需要向虚拟机添加CPU,磁盘和内存。19、提供具有存储识别功能的API,使第三方存储厂商可以将存储软 件与虚拟化平台更好的整合，使虚拟化平台能够识别特定磁盘阵列的 功能特性以及状态信息。20、支持无需停机即可在正在运行的物理主机上热插拔PCIe SSD驱 动器(添加/删除)的功能。21、虚拟机可以被外部存储阵列识别，实现基于存储策略

38、的管理 (SPBM),可允许跨存储层实现通用管理以及动态存储类服务自动化， 可实现按虚拟机级别的数据服务(快照、克隆、远程复制、重复数据消 除等)22、支持跨多个LUN的共享数据文件系统，可以聚合至少32个异构 逻辑卷(LUN),支持在线实时添加LUN以实现集群卷容量动态增长， 可支持至少64TB容量集群卷。虚拟机文件系统也支持主流存储厂商 的存储自动分层功能。23、提供集中式自动管理物理主机和虚拟机补丁程序的功能。扩展性要求1、每台虚拟化主机至少支持768颗逻辑CPU。2、每台虚拟化主机至少支持4096颗虚拟CPU(vCPU)。3、每台虚拟化主机至少支持16TB内存。4、每台虚拟化主机至少支

39、持12TBr持久内存(Persistent Memory), 要求提供官网链接。5、每台虚拟化主机至少支持单个存储卷64TB大小。6、每台虚拟化主机至少支持1024个虚拟机。7、每个集群至少支持96个主机，至少支持10000个虚拟机8、可以内建分布式虚拟交换机，每个分布式虚拟交换机可以管理至少 1000台虚拟主机。每台主机的虚拟网络交换机的端口总数至少可以达 到4096个。9、每个虚拟机至少支持62TB的虚拟磁盘容量。10、每个虚拟机至少支持256个vCPUo11、每个虚拟机的内存至少可以达到6128GBo12、每个虚拟机至少支持4个虚拟SATA适配器，每个虚拟SATA适配 器的虚拟SATA设

40、备数量至少可以达到30个。13、每台虚拟化服务器的虚拟机在线迁移并发数量至少可以达到8个14、官方公布虚拟机至少支持150种以上的客户操作系统。虚拟化管理1、支持单点管理，可以从单个控制台对所有虚拟机的配置情况、负载 情况进行集中监控，并根据实际需要实时进行资源调整，同时能通过 插件监控物理主机的信息。2、控制台自身具备备份和还原机制，可以对数据进行备份和还原。3、控制台自身具备高可用机制，不依赖于任何外部共享存储或数据 库，可以在5分钟内完成服务切换。4、每个控制台可管理至少2500台物理服务器、40000台己打开电源 的虚拟机，45000台已注册的虚拟机；并可以通过链接至少15个控制 台实

41、例，跨15个实例管理15000台物理服务器，135000个已打开电 源的虚拟机和150000个已注册的虚拟机。5、使用服务器主机远程管理应用程序来远程交互式安装和脚本式安 装虚拟化软件6、支持对包括虚拟机模板、ISO映像和脚本在内的内容进行存储库统 一存储。用户可以从集中化位置存储和管理内容，以及通过发/订阅模 型共享内容。7、提供统一的图形界面管理软件，可以在一个地点完成所有虚拟机的 日常管理工作，包括控制管理、CPU内存管理、用户管理、存储管理、 网络管理、日志收集、性能分析、故障诊断、权限管理、在线维护等 工作。同时能够直接配置、管理存储阵列，具有对存储阵列的多路径管理功能。支持QoS能

42、力，支持基于应用程序的服务级别自动管理功 能。8、可以支持Web Client和命令行管理功能。支持与主机管理软件集 成，并通过管理软件获取主机硬件监控信息。9、支持单点登录，用户只需登录一次，无需进一步的身份验证即可访 问控制台并对集群进行监控与管理。10、支持自定义角色和权限，可以限制用户对资源的访问，实现分级 管理并增强安全性和灵活性。11、支持AD域整合，域用户可以访问控制台，由AD来处理用户身份 验证。12、管理软件可实现多管理软件级别互通功能，支持多管理中心架构， 并可实现分布式管理。13、可以记录重大配置更改以及发起这些更改的管理员的记录，可以 导出报告以进行事件跟踪。14、提供

43、自动报警功能，能够提供物理服务器或虚拟机的CPU、网络、 磁盘使用率等指标的实时数据统计，并能反映目前各物理服务器、虚 拟机的资源瓶颈。服务及其它耍求1、虚拟化软件的所有功能必须为同一家厂商提供，禁止借用第三方软 件的整合。2、虚拟化管理平台提供API、SDK等接口，可以与第三方管理软件结 合或二次开发。3、提供1年原厂商和4年集成商5*12软件升级服务、在线支持服 务、800电话支持服务3. 2. 7.远程桌面管理系统远程桌面发布平台指标项详细要求数量要求1、2台，本项目要求发布平台与桌面云超融合平台、桌面云控制 平台同一品牌。要求发布平台必须配备存储虚拟化软件模块，提供低成本、高可 靠的存

44、储方案硬件规格1、单台两颗CPU核数212（主频不低于2. 4Ghz）、12SATA/SAS盘 位、2*128G系统盘、内存2192G、千兆网口 36个、万兆光口 M 2个。本项目要求至少配备块960G SSD硬盘、和4块4T的SATA硬盘。配置要求1、提供计算虚拟化和存储虚拟化授权，计算虚拟化授权要求满足 本项目性能需求，存储虚拟化授权要求无容量限制，便于后续存 储扩容。部署模式1、为了保证能够快速平滑扩容，本项目要求集群中发布平台的添 加支持热添加，在添加过程中不影响运行中的虚拟机。2、支持集群冗余技术，集群中各主机互为监控，一旦发现某个主 机故障，HA机制就会自动触发虚机迁移动作，在另一

45、正发布平台 快速拉起、确保VM继续可用。3、单集群管理时无需部署集中管理平台，通过Web方式接入集群 主平台，实现对计算、虚拟机、网络、存储虚拟化等进行统一管 理。功能支持1、支持平台端口汇聚技术（管理口、业务口、存储口），将多个 网络端口聚合起来，提高网络带宽和容错能力。2、支持虚拟机集中备份与恢复，可按需选择多个虚拟机或全部虚 拟机备份至外置平台（NAS、FTP、CIFS等）,支持设置备份策略， 实现全自动化备份。3、虚拟机损坏无法启动时，支持将虚拟机磁盘挂载到新虚拟机上， 用户可登录新虚拟机将磁盘内容备份出来。4、支持数据冗余副本技术，每份数据同时写入多台发布平台，每 次数据变化时自动实

46、时同步，确保磁盘或平台故障，数据不丢失。5、支持SSD缓存加速，采用SSD+HDD混合模式，SSD用于缓存热 点数据，HDD用于存储个人数据，SSD缓存命中率不低于60%,确 保最优用户体验。远程桌面控制平台指标项详细要求性能参数1、为提升桌面云接入性能及稳定性，本项目要求配备1台硬件控 制平台，最大用户数M1000,内存34G,硬盘N64GSSD,千兆电 口Ml 个。配置要求1、本项目要求至少提供50个虚拟桌面用户授权。提供发布专有桌面、还原桌面、池化桌面、共享桌面、远程应用至少5种桌面资源的授权，满足不同场景的应用需求。部署模式1、为了简化部署，本项目要求桌面云控制平台所有组件完全集成 化

47、，不需要过多的安装调试步骤，后台导入一个镜像就可以完成 部署，提升上线效率。桌面云控制平台自带高可用性技术方案，在不增加第三方负载均 衡工具的情况下，支持集群（主主）模式，支持桌面云控制平台 宕机切换会话不中断。支持将桌面云控制平台映射到互联网，配置SSL VPN功能。用户体验1、支持PC、笔记本（含Windows操作系统和MAC笔记本）、云终 端（含ARM和X86） iPad、iPhone、Android移动终端等设备接 入访问虚拟桌面。2、支持 Windows XP/7/10、iOS、MAC 0S Android Linux 等客 户端操作系统。3、支持 Windows XP/7/10Wi

48、ndows Server,支持两种以上的 Linux 虚拟桌面操作系统，其中要包含国产Linux操作系统。4、在多应用办公场景下，可针对当下使用频率较高的软件做进程 加速，管理员也可自定义需做进程加速应用，以保障应用使用体 验。5、支持PC磁盘映射，即PC本地硬盘可直接映射到虚拟桌面上使 用，并可根据策略进行文件读写权限设置和数据读写审计6、客户端连接虚拟桌面无需依赖虚拟机IP,具体表现为禁用虚机 网卡或者随意更改IP,桌面会话不会中断，用户可以正常办公和 播放视频，避免因误操作而导致业务中断。7、支持设置终端流量，支持设置USB设备、磁盘映射和剪切板的 上下行带宽，以避免带宽被抢占。8、支持

49、自助快照恢复，当用户自己误操作导致云桌面卡慢、蓝屏、 死机或者中病毒的时候，用户通过导航条按钮，可以自助进行系 统盘快照还原操作，支持安卓瘦终端、PC客户端。9、要求支持配置压缩质量、帧率等，降低流量、提升体验。运维功能1、为了满足日常维护需求，需支持虚拟机热迁移技术，可在桌面 业务不中断的情况将虚拟机运行位置更改至其他虚拟机节点。2、支持软件分发，通过创建软件库并关联给虚拟机，实现应用软 件、驱动程序的增量式更新，不需要在每个虚拟机执行安装过程， 整个分发过程秒级完成，且分发后不会覆盖原虚拟机的个性化配 置和自主安装的软件，本项目要求支持应用软件、办公文件的分 发。3、支持在WEB管理平台上直接对发布平台SSD唤盘进行性能测 试，可获取SSD硬盘16K随机读、顺序写数值，便于管理员定位 系统故障；支持设置主题，管理员可以在主题商城中下载主题，并将主题应 用到包括瘦终端（ARM、X86）、PC客户端。4、支持管理平台监控和统计用户流量和并发用户趋势，以方便管 理员及时调整网络带宽。安全管理1、支持在管理组件中内置应用管控技术，实现全方位云桌面管控， 在禁止名单中可以通过配置规则禁止指定应