第六章招标项目的技术要求

1、第 页 第六章 招标项目的技术要求1、项目情况简介.1、项目背景介绍扬州市邗江区人民政府现有电子政务外网平台建于2015年，随着在网设备运行时间越来越长，有部分设备面临替换和更新，同时随着现有的接入政务外网的数据和资源越来越多，原有的网络带宽存在一定的瓶颈，并不能够很好的满足现有的业务需求，需要对现网骨干层和接入层进行全面的替换和升级，提高链路的带宽和设备的性能，加强网络安全建设，同时完善网络的准入机制建设。同时随着用户接入数量越来越多，在日常的运维和管理安全方面存在一定的局限性，随着扁平化网络的发展趋势，越来越多的政府单位会选择扁平化的网络架构，实现更简单认证和精细化的策略控制。随着IPV6

2、化的到来，越来越多的网络节点和主机开始使用IPV6，但是IPV6化也不是一次性就替换的，在相当长的一段时间内，IPV6和IPV4的都是需要共存的。1.2、项目建设目标为了满足信息化快速发展的需求，保障邗江区政务信息化建设，以及充分考虑信息化发展中出现的重复建设及信息孤岛问题，实现各部门基础设施和资源与各自的业务应用剥离，集约建设、统一管理、按需使用，建设邗江区电子政务外网云平台，实现各部门基础设施共建共用、信息系统整体部署、业务应用有效协同，为邗江区政府的公共服务提供有力支持，提高为民服务水平，提升政府现代治理能力。在有效降低重复建设投资、节能环保的基础上，提高基础设施资源的利用率，实现信息化

3、基础设施资源的统一规划、统一建设、按需调配、即需即用、有效共享。通过合理规划、小步快跑的方式，在实现建设集约化、信息共享化、服务标准化、效益最大化的同时，满足各部门、用户IT基础设施的应用需求，为未来大数据产业奠定基础。统筹利用已有的计算资源、存储资源、网络资源、信息资源、应用支撑等资源和条件，根据业务需求，统一建设为各用户提供基础设施、支撑软件、应用功能、信息资源、运行保障和信息安全等服务的基于云计算的服务平台，实现服务资源集中管理。建设内容包括：1、建设业务系统所需的统一的资源池基础设施资源包括网络资源、计算和存储资源、灾备资源等，基于云计算的高弹性、高可靠性、高冗余的特点，采用可行的云计

4、算模式。在网络资源建设方面，建设信息网络平台、网络安全防护，完善网络管理体系。在计算资源方面，应采用虚拟化技术设计高弹性的计算资源池，并满足部门用户对计算资源不断增长的需求。在存储资源方面，利用存储虚拟化技术，实现存储统一整合，能够快速为用户部署存储空间；按实际用量计费；实现弹性扩展；系统管理简单。在备份资源方面，建设本地数据备份系统、为现有各用户提供本地数据备份。2、建设统一的管理运营运维支撑平台在邗江区电子政务外网平台运营运维服务方面，建立统一的运营运维服务体系，制定服务标准和规范，提供满足需求、响应及时、安全可靠的运维保障服务，包括为保障业务应用的顺利部署、开通，以及网络、硬件、软件、数

5、据、机房环境等安全、稳定、高效运行而进行的一系列策划、实施、检查与改进过程。3、建设满足国家电子政务安全需求的安全体系为保障业务的安全性，依据工信部基于云计算的平台安全标准和要求，平台必须满足信息安全技术网络安全等级保护基本要求 GB/T 22239-2019中对于第三级的安全需求。（下简称“等保三级”），建设全面安全保障系统和设施。提供主机、应用、虚拟化、数据等层面的安全服务，保护重要数据的存储与传输安全，防止和防范数据被篡改，加强对重要敏感数据信息的保护，确保数据的机密性。解决安全部署的边界和模式的问题，实现安全区域划分和边界安全防护，合理管理和分配网络资源，防止滥用网络资源导致网络瘫痪，

6、部署安全防御系统，抵御病毒、恶意代码等对信息系统发起的恶意破坏和攻击，保障网络系统硬件、软件稳定运行。通过部署安全系统，投入技术力量，加强网络安全管理，提供完善的安全管理制度。构建统一的安全管理与监控机制，统一配置、调控整个网络多层面、分布式的安全问题，提高安全预警能力，加强安全应急事件的处理能力，实现网络与信息安全的可控性。4、建设统一的服务保障流程体系考虑到未来用户业务均部署在云平台上，因此建设云平台的同时需要建设统一的服务保障体系，为信息化发展提供有力保障。包括运营保障、运维保障等。同时考虑现网大量的政务应用，因此电子政务外网平台建设完成后，现网业务的迁移将成为重中之重。应用支撑和部署迁

7、移服务的建设采用分步建设原则，前期建设应用快速开发、应用集成以及应用运行和部署迁移的支撑服务，同时提供计量、监测和服务门户。后期逐步完善开发环境、集成测试环境和弹性化的运行环境的建设任务，支撑未来政务信息化大发展。1.3、项目建设内容按照国家电子政务外网安全相关要求，采用逻辑隔离方式组网，以达到成本低、覆盖广的网络构建目的。1.3.1、邗江区电子政务外网平台连接需求有四个方向的连接：向上连接扬州市电子政务外网平台；平行连接设在市政府云计算中心的服务器群；向下连接机关各部门、各镇（街道）、园区、村（社区）、卫生院及卫生服务站局域网；向外连接互联网，在防火墙、入侵防御、上网行为管理等设备能够保证邗

8、江区电子政务外网平台安全的前提下，区级机关各部门通过统一购买的互联网出口访问互联网。1.3.2、邗江区电子政务外网平台覆盖要求本次项目接入线路包括：A、部委办、镇（街道）、社区、卫生院及卫生服务站等接入专线（共计406条，另预留24条专线，总需求430条专线）1、机房至区政府大院内15个部门的线路（每个部门100M）。2、机房至南大院12个部门线路（每个部门100M）。3、机房至16个镇（街道）、园区线路（每个单位100M）。4、机房至区政府大院外70个部门的线路（每个部门100M）。5、机房至177个村（社区）及部分单位（每个单位100M）。6、机房至116个卫生院及卫生服务站（每个单位10

9、0M）B、政务云互联网专线市政府云计算中心机房出口设备至互联网的云专线（10G带宽），在现有50个IP地址基础上增加至100个IP地址。C、政务云专线1、邗江区政府大院中心节点交换机邗江核心机房核心交换机2条数据云专线（每根1G）2、 邗江政府南大院中心节点交换机至邗江核心机房的核心交换机2条数据云专线（每根1G）1.3.3、邗江区电子政务外网平台各区域部署需求1、部门接入区部署需求：各部委办局、镇（街道）、园区、卫生院及卫生服务站通过专线接入邗江区电子政务外网；各村（社区）通过虚拟专线技术接入邗江区电子政务外网；外网用户可通过VPN 拨号进入邗江区电子政务外网，后需通过访问堡垒机，一人一账号

10、访问后台服务器实现对网内服务器的远程登录和控制。升级替换政府大院及政府南大院原有接入和汇聚节点交换机，交换机需采用横向虚拟化技术，提高网络架构冗余性，保证网络架构的可靠性，满足千兆接入、万兆上行。2、网络互联部署需求：针对本次邗江区电子政务外网升级，通过邗江区政府云计算中心防火墙与市级网络对接，实现与市级电子政务外网进行互联互通，确保邗江区电子政务外网的网内终端用户能够顺利访问省、市各个基于电子政务外网运行的业务系统。邗江区政府云计算中心核心交换机与态势感知系统进行集成，实现在邗江区电子政务外网平台与省、市电子政务外网平台的数据交互时进行安全感知，保障网络通信安全。3、安全管理中心部署需求：遵

11、循“等保三级”规划建设要求，设置安全管理中心，准确了解系统的运行状态、设备的运行情况，统一部署安全策略。需实现系统管理、审计管理、安全管理和集中管控。增加网络管理运维软件，实现网络资源可视化管理，简化运维复杂度，提升工作效率。4、数据中心部署需求：根据“等保三级”要求，加强数据资源整合，利用虚拟化技术实现业务数据的资源池化，资源池承载未来业务应用，增加业务资源弹性。升级本地备份节点，便于各行政部门数据统一管理、统筹分析。5、互联网出口部署需求：对互联网出口区的安全设备及链路扩容，要求符合“等保三级”要求，实现用户和数据中心服务器与互联网的安全交互。1.4、建设工期要求本项目自合同签订之日起60

12、个日历天内完成所有设备及软件的现场到货、安装及调试。2、系统集成需求1、中标人应充分熟悉了解邗江区政府电子政务外网平台的整体平台的现状，在进行系统集成前期须进行充分的系统调研，包括相关机房配套、设备位置、机房的结构化布线、主机配置、网络配置、应用系统、数据库配置、系统迁移等相关信息。2、中标人须制定详细的实施方案，中标人须协调原系统运维集成商、设备制造商(生产者)、技术人员配合本期项目的实施，保证项目的成功实施。3、中标人应保证设备的及时到货验收，负责机房环境准备、硬件设备上架、加电，设备搬迁、调试、系统迁移等工作。4、因邗江区政府电子政务外网平台的核心设备部署于扬州市政府云计算中心，中标人需

13、对扬州市政府云计算中心机房环境及邗江区托管的设备进行充分调研，对系统平台运行情况进行详细分析，将本次项目采购的服务器纳入运维平台统一管理。5、中标人需对邗江区政府电子政务外网平台现有的生产存储部署情况和使用情况进行充分调研，后续集成实施及业务迁移要求对生产系统不产生任何影响，若因上述情况影响电子政务外网平台运营，一切责任由中标人承担。6、中标人在扬州市政府云计算中心实施时应承诺遵守现场的管理要求。3、集成安全要求3.1、信息安全要求1、中标人必须承诺按照信息安全技术网络安全等级保护基本要求 GB/T 22239-2019中对于第三级的安全需求进行施工。2、中标人在实施前应提供完整的实施方案，方

14、案中应包括但不限于：出口防火墙部署方案、出口流控部署方案、边界防火墙部署方案、数据中心防火墙部署方案、Web应用防火墙部署方案、堡垒机部署方案、日志审计部署方案、数据库审计部署方案、态势感知部署方案、数据备份一体机部署方案。在上述方案中，中标人应明确安全部署的边界和模式的问题，实现安全区域划分和边界安全防护，合理管理和分配网络资源，防止滥用网络资源导致网络瘫痪，部署安全防御系统，抵御病毒、恶意代码等对信息系统发起的恶意破坏和攻击，保障网络系统硬件、软件稳定运行。3、中标人实施方案中必须描述针对本项目终端接入部委办、镇（街道）、社区、卫生院及卫生服务站安全的实施方案，包括：地址划分、核心接入等。

15、3.2、人员安全要求1、施工过程应严格执行相关的强弱电施工规范，并保证施工安全。施工过程中应科学、合理地掌握与其他工程界面的协调、交叉。2、由于安装施工原因造成的人员伤害和一切损失由中标方承担。4、项目管理要求中标人负责对本项目建设进行总体管理，投标人应提供项目工程实施所必须的管理安排和实施计划，提出保证项目顺利实施的具体措施。5、技术资料要求5.1、技术文件投标人应根据招标文件中的相关说明和要求，提供关于本项目的技术方案和实施方案。投标人需提供主要设备的厂家售后服务承诺函及相关功能证明。 5.2、验收文档系统完工验收提供的文档：项目技术文档、工程总体实施方案、施工记录、工程图纸、项目竣工自检

16、报告、工程实施总结及招标人要求提供的其他相关文件资料。5.3、用户手册中标单位提供完备的使用指南、维护手册等用户所要求的全套技术文件。5.4、技术培训培训包括技术人员培训、业务系统培训以及用户所要求的相关培训。对于所有培训，中标人必须派出具有相应专业的实际工作和教学经验的教师和相应的辅导人员进行培训。培训所使用的语言和教材必须是中文。所要求的培训内容必须随投标文件一起提交。5.5、系统验收系统建设完成后，中标单位应对整个系统进行联调并进行详细的测试，测试结果需满足投标文件所要求的各项指标，项目完成初验。系统初验合格后进入试运行，试运行期为一个月。中标单位应拟定验收计划和验收内容，并形成正式文件

17、，供业主确认。系统试运行结束后，由业主组织专家验收组验收，专家验收组按照国家有关标准及招、投标文件中技术要求进行验收，并出具验收意见，中标人负责向专家验收组提交验收所需文件，通过后即告系统验收完成。5.6、质量保证系统从验收合格之日起，进入质量保证期。在质量保证期内，对任何因安装工艺、材料和产品质量而造成的设备或部件的损坏，由中标人提供无偿的更换和维修。所更换的设备需为同类、同型号产品。在质量保证期内，中标人负责系统维护，系统维护应及时、高效。在质量保证期内，所有设备的检验、标定、检测等工作及费用均由中标人承担。6、项目产品要求6.1、项目采购清单序号名 称技术要求数量单位1互联网出口交换机见

18、“设备技术要求”2台2楼道接入交换机见“设备技术要求”93台3政府南大院中心节点交换机见“设备技术要求”2台4政府大院中心节点交换机见“设备技术要求”2台5政府南大院区域汇聚点交换机见“设备技术要求”3台6安全管理中心汇聚交换机见“设备技术要求”2台7存储交换机见“设备技术要求”2台8业务交换机见“设备技术要求”2台9出口防火墙见“设备技术要求”2台10出口流控见“设备技术要求”1台11Web应用防火墙见“设备技术要求”1台12堡垒机见“设备技术要求”1套13日志审计见“设备技术要求”1套14数据库审计见“设备技术要求”1台15态势感知见“设备技术要求”1套16数据中心防火墙见“设备技术要求”

19、2台17政府南大院边界防火墙见“设备技术要求”2台18政府大院边界防火墙见“设备技术要求”2台19计算存储融合节点见“设备技术要求”1套20虚拟化软件见“设备技术要求”1套21万兆单模光模块见“设备技术要求”20块22万兆多模光模块见“设备技术要求”300块23备份一体机见“设备技术要求”1套 24政务云专线见“设备技术要求”4条25政务云数据专线见“设备技术要求”430条26应用系统迁移见“设备技术要求”1批27原有设备维保服务见“设备技术要求”1套28人员驻场运维服务见“设备技术要求”1套注明：投标人可选择符合“设备技术要求”的产品投标。6.2、设备技术要求6.2.1、互联网出口交换机（2

20、台）指标项技术规格要求性能交换容量590Gbps，包转发率220Mpps端口类型28个千兆SFP，4个复用的千兆电Combo口，4个万兆SFP+二层功能支持4K个VLAN支持Guest VLAN、Voice VLAN支持MUX VLAN功能或类似技术三层功能支持静态路由、RIP、RIPng、OSPF、OSPFv3、BGP、BGP4+、ISIS、ISISv6堆叠支持堆叠，主机堆叠数不小于9台可靠性支持G.8032标准以太环网协议，提供权威第三方测试报告加盖原厂公章知识产权为满足国家自主可控要求，厂商须具备知识产权管理体系认证证书；为“信息技术应用创新工作委员会”会员，设备厂商名称与成员证书上名称

21、一致配置配置双电源，配置每台设备的36个月云管理功能，云盒设备上电连接互联网后即可自动连接到云管理平台，自动获取配置文件上线，实现云盒设备的即插即用售后服务需提供3年或以上原厂商免费质保和服务承诺函。6.2.2、楼道接入交换机（93台）指标项技术规格要求性能交换容量672Gbps，包转发率120Mpps电源为了提高设备可靠性，支持模块化可插拔双电源硬件支持24个10/100/1000Base-T以太网端口，4个万兆SFP+二层支持MAC地址32K，提供权威第三方测试报告加盖原厂公章三层支持静态路由、RIP v1/v2、OSPF、BGP、ISIS、RIPng、OSPFv3、ISISv6、BGP4

22、+VxLAN支持VxLAN功能，支持BGP EVPN，支持分布式 Anycast 网关，支持VxLAN的自动化部署，提供权威第三方测试报告加盖原厂公章加密通信分析交换机支持报告攻击事件给态势感知系统，与态势感知系统联动实现全网安全协防，进行加密通信分析和威胁诱捕信息创新所投设备采用国产自研架构CPU设计，提供权威第三方测试报告加盖原厂公章所投设备采用国产自研交换芯片，提供权威第三方测试报告加盖原厂公章知识产权为满足国家自主可控要求，厂商须具备知识产权管理体系认证证书；为“信息技术应用创新工作委员会”会员，设备厂商名称与成员证书上名称一致配置配置核心+接入纵向虚拟化授权许可，配置每台设备的36个

23、月云管理功能，云盒设备上电连接互联网后即可自动连接到云管理平台，自动获取配置文件上线，实现云盒设备的即插即用售后服务需提供3年或以上原厂商免费质保和服务承诺函6.2.3、政府南大院中心节点交换机（2台）指标项技术规格要求性能交换容量2.56Tbps，包转发率790Mpps 端口支持24个万兆SFP+，6个40GE QSFP+硬件为了提高设备可靠性，支持且配置可插拔的双电源为了提高设备散热性能，支持可插拔风扇框，风扇框个数4，提供官网设备槽位说明图加盖原厂工章。路由支持静态路由、RIP、OSPF、RIPng、OSPFv3堆叠支持堆叠加密通信分析交换机支持报告攻击事件给态势感知系统，与态势感知系统

24、联动实现全网安全协防，进行加密通信分析和威胁诱捕信息创新所投设备采用国产自研架构CPU设计，提供权威第三方测试报告加盖原厂公章所投设备采用国产自研交换芯片，提供权威第三方测试报告加盖原厂公章知识产权为满足国家自主可控要求，厂商须具备知识产权管理体系认证证书；为“信息技术应用创新工作委员会”会员，设备厂商名称与成员证书上名称一致配置配置核心+接入纵向虚拟化授权许可，配置每台设备的36个月云管理功能，云盒设备上电连接互联网后即可自动连接到云管理平台，自动获取配置文件上线，实现云盒设备的即插即用售后服务需提供3年或以上原厂商免费质保和服务承诺函6.2.4、政府大院中心节点交换机（2台）指标项技术规格

25、要求性能交换容量2.56Tbps，包转发率790Mpps端口支持24个万兆SFP+，6个40GE QSFP+硬件为了提高设备可靠性，支持且配置可插拔的双电源为了提高设备散热性能，支持可插拔风扇框，风扇框个数4，提供官网设备槽位说明图加盖原厂工章路由支持静态路由、RIP、OSPF、RIPng、OSPFv3堆叠支持堆叠加密通信分析交换机支持报告攻击事件给态势感知系统，与态势感知系统联动实现全网安全协防，进行加密通信分析和威胁诱捕信息创新所投设备采用国产自研架构CPU设计，提供权威第三方测试报告加盖原厂公章所投设备采用国产自研交换芯片，提供权威第三方测试报告加盖原厂公章知识产权为满足国家自主可控要求

26、，厂商须具备知识产权管理体系认证证书；为“信息技术应用创新工作委员会”会员，设备厂商名称与成员证书上名称一致配置配置核心+接入纵向虚拟化授权许可，配置每台设备的36个月云管理功能，云盒设备上电连接互联网后即可自动连接到云管理平台，自动获取配置文件上线，实现云盒设备的即插即用售后服务需提供3年或以上原厂商免费质保和服务承诺函6.2.5、政府南大院区域汇聚点交换机（3台）指标项技术规格要求性能交换容量1.28Tbps，包转发率480Mpps端口支持24个万兆SFP+，2个40GE QSFP+路由支持静态路由、RIP、OSPF、RIPng、OSPFv3堆叠 支持堆叠，主机堆叠数不小于9台支持最大35

27、2Gbps堆叠带宽，提供权威第三方测试报告加盖原厂公章纵向虚拟化支持纵向虚拟化，作为纵向子节点零配置即插即用可靠性支持G.8032标准环网协议知识产权为满足国家自主可控要求，厂商须具备知识产权管理体系认证证书；为“信息技术应用创新工作委员会”会员，设备厂商名称与成员证书上名称一致配置配置核心+接入纵向虚拟化授权许可，配置每台设备的36个月云管理功能，云盒设备上电连接互联网后即可自动连接到云管理平台，自动获取配置文件上线，实现云盒设备的即插即用6.2.6、安全管理中心汇聚交换机（2台）指标项技术规格要求性能交换容量672Gbps，包转发率160Mpps电源为了提高设备可靠性，支持模块化可插拔双电

28、源硬件支持48个10/100/1000Base-T以太网端口，4个万兆SFP+二层支持MAC地址32K，提供权威第三方测试报告加盖原厂公章三层支持静态路由、RIP v1/v2、OSPF、BGP、ISIS、RIPng、OSPFv3、ISISv6、BGP4+VxLAN支持VxLAN功能，支持BGP EVPN，支持分布式 Anycast 网关，支持VxLAN的自动化部署，提供权威第三方测试报告加盖原厂公章加密通信分析交换机支持报告攻击事件给态势感知系统，与态势感知系统联动实现全网安全协防，进行加密通信分析和威胁诱捕信息创新所投设备采用国产自研架构CPU设计，提供权威第三方测试报告加盖原厂公章所投设备

29、采用国产自研交换芯片，提供权威第三方测试报告加盖原厂公章知识产权为满足国家自主可控要求，厂商须具备知识产权管理体系认证证书；为“信息技术应用创新工作委员会”会员，设备厂商名称与成员证书上名称一致配置配置每台设备的36个月云管理功能，云盒设备上电连接互联网后即可自动连接到云管理平台，自动获取配置文件上线，实现云盒设备的即插即用售后服务需提供3年或以上原厂商免费质保和服务承诺函6.2.7、存储交换机（2台）指标项技术规格要求设备性能交换容量4.8Tbps，包转发率1600Mpps散热方式支持前后、后前风道；风扇模块4（提供风扇槽位说明示意图加盖厂商公章）路由协议支持RIPng、OSPFv3、ISI

30、Sv6、BGP4+等IPv6动态路由协议，支持BFD VxLAN特性支持Vxlan，支持BGP EVPN，支持QinQ Access VXLAN跨框聚合支持跨框链路聚合技术，配对设备有独立控制平面，非堆叠等多虚一技术实现 安全性支持微分段，支持NSH，支持VxLAN OAM，提供第三方测试报告加盖厂商公章报文分析支持IP报文分片重组，支持IPCA，提供第三方测试报告加盖厂商公章设备管理支持Telemetry，支持Netstream，提供第三方测试报告加盖厂商公章国产化为满足国家自主可控要求，交换机核心芯片（CPU芯片、LSW芯片）须为国产自研芯片(需提供相关官方证明复印件并加盖设备厂商公章)知

31、识产权为满足国家自主可控要求，厂商须具备知识产权管理体系认证证书；为“信息技术应用创新工作委员会”会员，要求设备厂商名称与成员证书上名称一致单台配置配置1+1冗余电源，3+1冗余风扇框，万兆光口48，40G/100G光口6，售后服务需提供3年或以上原厂商免费质保和服务承诺函6.2.8、业务交换机（2台）指标项技术规格要求设备性能交换容量4.8Tbps，包转发率1600Mpps散热方式支持前后、后前风道；风扇模块4（提供风扇槽位说明示意图加盖厂商公章）路由协议支持RIPng、OSPFv3、ISISv6、BGP4+等IPv6动态路由协议，支持BFD VxLAN特性支持Vxlan，支持BGP EVP

32、N，支持QinQ Access VXLAN跨框聚合支持跨框链路聚合技术，配对设备有独立控制平面，非堆叠等多虚一技术实现 安全性支持微分段，支持NSH，支持VxLAN OAM，提供第三方测试报告加盖厂商公章报文分析支持IP报文分片重组，支持IPCA，提供第三方测试报告加盖厂商公章设备管理支持Telemetry，支持Netstream，提供第三方测试报告加盖厂商公章国产化为满足国家自主可控要求，交换机核心芯片（CPU芯片、LSW芯片）须为国产自研芯片(需提供相关官方证明复印件并加盖设备厂商公章)知识产权为满足国家自主可控要求，厂商须具备知识产权管理体系认证证书；为“信息技术应用创新工作委员会”会员

33、，要求设备厂商名称与成员证书上名称一致单台配置配置1+1冗余电源，3+1冗余风扇框，万兆光口48，40G/100G光口6，售后服务需提供3年或以上原厂商免费质保和服务承诺函6.2.9、出口防火墙（2台）指标项指标要求系统架构1U设备，支持1*USB2.0+1*USB3.0散热要求支持风扇可插拔，前后风道散热（提供官网链接和产品说明加盖厂商公章）风扇架构支持在防火墙不断电情况下，对风扇模块进行更换；为防止设备过热，要求更换时间在1分钟内 （提供官网链接和产品文档操作步骤说明加盖厂商公章）功能配置SSL VPN用户数1000；IPSec VPN隧道4000；虚拟防火墙数量100设备性能吞吐量6Gb

34、ps，最大并发连接数400万，每秒新建连接数8万，IPSec吞吐量3Gbps，IPS吞吐量2.2Gbps硬盘配置配置240G以上可热插拔硬盘数量1，用于日志存储和安全分析扩展云管理要求支持传统模式和云管理模式双栈切换，缩短网络改造周期，将网络改造对用户业务的影响降到最低（提供云管理平台纳管防火墙官网文档链接加盖厂商公章）入侵防御基于特征检测，支持超过8000种特征的攻击检测和防御（提供功能截图）IPV6支持IPv6协议栈、IPV6穿越技术，支持NAT66，NAT64，6RD隧道NAT功能支持全面NAT功能，支持源NAT自动探测并排除NAT-IP地址池中无效地址自动注册支持防火墙向云管理平台自动

35、注册，云管理平台对防火墙进行统一的管理及运维（提供功能截图加盖厂商公章）智能威胁防御支持防火墙与态势感知系统联动，做态势感知，全网威胁展示，并能针对威胁生成阻断策略（提供功能截图加盖厂商公章）流探针配置防火墙流探针功能，对网络中的流量进行采集，上送态势感知系统进行威胁分析（提供功能截图加盖厂商公章）国产化为满足国家自主可控要求，防火墙关键元器件须通过自主可控测试，主控芯片国产化(需提供相关官方证明复印件并加盖设备厂商公章)知识产权为满足国家自主可控要求，厂商须具备知识产权管理体系认证证书；为“信息技术应用创新工作委员会”会员，要求设备厂商名称与成员证书上名称一致单台配置配置防火墙流探针功能，2

36、00个SSL VPN用户接入数,36个月IPS/URL/AV检测服务License；配置240G硬盘，交流双电源；配置千兆Combo接口8，万兆光口2，千兆WAN口2；200个SSL 用户接入授权；配置每台设备的36个月云管理功能，云盒设备上电连接互联网后即可自动连接到云管理平台，自动获取配置文件上线，实现云盒设备的即插即用售后服务需提供3年或以上原厂商免费质保和服务承诺函6.2.10、出口流控（1台）指标项技术规格要求硬件配置2U标准机架式，双电源，多核架构设计，不允许采用X86架构，网络吞吐35G， 设备配置12千兆电口，12千兆光口，4万兆光口，2个板卡扩展槽，提供一块万兆硬件加速卡，支

37、持软硬件Bypass，设备断电或出现故障时保障业务链路的正常运行，1T硬盘操作系统操作系统为VSP或LOS或UNIMAS通用安全平台，具备高效、智能、安全、健壮、易扩展等特点，需提供证明文件并加盖公章双机部署能够与现网中的流控设备实现双机部署产品功能支持路由模式、透明（网桥）模式、混合模式，支持镜像接口，部署模式切换无需重启设备支持全方位查询统计用户，应用等相关上网行为数据。其内容涵盖用户上网行为次数统计、邮件审计统计、IM审计统计、关键字排名统计、恶意URL统计等相关数据日志统计。支持服务器负载均衡，支持一个公网IP映射到内网多台服务器，服务器间支持连接和源地址hash,支持服务器健康检查系

38、统内置多个常见场景的应用标签，且标签支持管理员自定义。提供WEB防护功能，可对防盗链、CSRF攻击、CC等攻击行为进行防护。（提供配置截图）支持端口扫描功能，用于直观的了解网内主机所存在的安全问题。（提供配置截图）支持弱密码扫描功能，即时了解网内主机是否存在弱口令，内置弱口令库，并可自定义字典库网络部署支持虚拟网线部署，且支持vlan标签的过滤用户管理、应用管理支持树型结构基于P2P行为和迅雷行为的应用智能识别技术支持二维码认证，终端可以通过管理员扫描二维码授权方式上网（提供配置截图）基本旁路部署WEB认证、微信认证等多种认证方式支持通知页面推送功能，支持向PC端浏览器4个方位推送，手机端支持

39、全屏推送支持杀毒功能，可对HTTP、FTP、POP3、SNMP、IMAP协议的病毒进行查杀；支持ZIP、RAR等压缩文件的病毒查杀。压缩默认支持5层，最大20层支持IPS功能，支持基于源、目的、规则集的入侵检测；支持针对WEB服务器防护，包括网页防爬虫、网页防篡改、HTTPS防护、DDOS攻击防护、WEB攻击过滤等。（提供配置截图）终端提示页面基于代码层面的用户自定义（提供配置截图）系统管理员外部方式认证方式，外部认证服务器故障可以切换为本地认证独立的IPV4控制策略和审计策略，精准匹配支持支持基于邮件收件人、发件人的黑白名单自定义控制方式设备采用自主知识产权的一种垃圾邮件过滤技术，提供自主垃

40、圾邮件过滤的证明复印件应用特征数支持5000+支持针对链路质量的实时监控系统支持软件补丁升级，以及热补丁技术（提供WEB配置截图）支持终端类型检测和控制，以及显示终端趋势（提供WEB配置截图）内网资产监控，可对终端风险级别、操作系统、浏览器类型、应用、杀毒软件等方面进行监控（提供配置截图）设备本身支持行为管理报表生成，以及报表定制，定期外发功能针对设备系统健康检测功能，可以在某一时间段内逐级深入，并纂取任一时间内的详细信息，并可路转系统日志针对系统运行过程中的应用统计，支持应用的热度图支持基于客户端的ssl VPN基于全局白名单功能，可针对IP和MAC地址具有应对文件的下载有深入控制能力，提供

41、文件下载的方法、装置及系统证明复印件具有细化网络服务控制、系统及代理MSN服务器的能力，提供技术证明复印件资质要求公安部公共信息网络安全监察局颁发的互联网公共上网服务场所信息安全管理系统证书。制造商具有信息安全服务资质（一级信息系统安全集成服务）售后服务提供3年及以上7*24小时软硬件保修和技术支持服务，含3年及以上特征库升级服务；投标时提供原厂针对此项目售后服务承诺函原件6.2.11、Web应用防火墙（1台）指标项技术规格要求WAF产品形态产品必须为国内自主研发的标准机架式硬件级WAF，同时必须为专业性WEB应用防火墙设备及具备专业性WEB应用防火墙资质，而非NGAF、NGFW、UTM设备及

42、资质，且不接受OEM产品。硬件规格产品应使用高性能硬件架构，在保证Web应用检测的高灵活性的基础上，实现高处理性能。2U标准机架设备，1个HA口，1个RJ-45 Console口，1个10/100/1000 Base-T带外管理口，设备配置4个业务电接口（电接口支持bypass）,4个业务光口，2个网络接口板扩展槽位，默认网络接口全开，2个USB口，双电源性能要求设备网络层吞吐率20G，设备应用层吞吐率7G设备最大HTTP并发连接数400万，设备每秒新建HTTP连接数9万接入模式应支持透明、代理模式、旁路部署、单臂部署、策略路由部署。应支持智能部署，上线WAF设备能够自动感知Web网站IP和端

43、口(提供界面截图)。应支持安装向导式部署，按照该部署方式可直接部署完成(提供界面截图)。应支持NAT环境下的用户识别能力(提供界面截图)。Web攻击防护应具备Web恶意扫描防护的检测与防御能力，专利级别防护能力 应具备恶意重定向防护功能。应具备双引擎防护功能(提供界面截图)。应具蜜罐检测功能，诱使攻击方对它实施攻击，从而可以对攻击行为进行捕获和阻断(提供界面截图)。应具备业务合规功能，可对业务进行恶意试探、恶意撞库、恶意登录等行为进行检测及拦截。应具备网站锁功能，对网站进行锁定，可按日期、周期进行锁定时间设置(提供界面截图)。应具备API防护功能(提供界面截图)。应具备网站一键关停功能(提供界

44、面截图)。应具备源访问区域控制功能，可按照国家、省进行地址访问限制，防止区域性攻击对Web网站造成影响。应具备客户端访问控制功能，预防恶意客户端进行访问频率的多层次恶意访问。应支持获取Web安全事件的原始攻击信息。系统管理应支持B/S管理方式Web管理界面。应具备设备集中管理功能，可实现设备分布式部署、集中式监控管理，适合大规模部署环境。应具备多设备拓扑显示功能，可以在界面上以图形化的方式显示当前的部署拓扑应支持SNMP、 SYSLOG。应支持主主模式且主主模式配置、运行状态进行同步升级管理应支持手动执行产品升级。应支持自动执行产品升级，不需要用户每次手动升级特征库。公司网站应提供产品离线升级

45、包下载。应对登陆用户提供防暴力猜解功能。资质及认证产品具有计算机软件著作权登记证书产品具有计算机信息系统安全专用产品销售许可证，级别为增强级，提供证书复印件及盖公章产品具有WEB应用防火墙认证证书，提供证书复印件及盖公章产品具有中国信息安全认证中心颁发ISCCC认证证书，提供证书复印件及盖公章厂商通过IPV6金牌认证，提供证书复印件及盖公章，提供证书复印件及盖公章厂商具有国际信息安全领域最权威的漏洞知识库CVE证书提供证书复印件及盖公章厂商通过EAL3+认证，提供证书复印件及盖公章售后服务要求提供3年及以上硬件保修和技术支持服务，3年及以上Web应用防护特征库升级服务；投标时提供原厂针对此项目

46、售后服务承诺函原件6.2.12、堡垒机（1套）指标项技术规格要求硬件规格软硬件一体化，1U标准机架设备，单电源；设备配置6个千兆自适应电口，1个RJ45 Console管理口，2个接口扩展插槽；配置1TB硬盘软件要求操作系统为VSP或LOS或UNIMAS通用安全平台，具备高效、智能、安全、健壮、易扩展等特点，需提供证明文件并加盖公章，此次配置200个被管理设备授权。性能要求支持字符协议800个支持图形协议200个部署方式物理旁路，逻辑串联模式，不影响正常业务流量，支持HA双机热备系统管理支持通过WEB更新系统许可，升级系统版本、上传用户手册，重启系统、关机支持协议审计字符协议：SSHv1、SS

47、Hv2、TELNET、RLOGIN；图形协议：RDP、VNC、X11；文件传输协议：FTP、SFTP数据库协议：支持Oracle、MS SQL Server、IBM DB2、Sybase、IBM Informix Dynamic Server、MySQL、PostgreSQL、TeraData等数据库类型支持通过应用发布进行协议审计，记录命令详情，包括字符协议和数据库协议等，审计回放支持协议回放和图形回放支持web页面防跳转功能，进行http/https访问过程中，运维人员仅允许访问授权地址(提供界面截图)目标资源访问方式支持运维客户端功能，运维操作过程不依赖浏览器和JAVA环境RDP协议支持

48、windows服务端开启安全层SSL加密，加密级别符合FIPS标准，允许运行使用网络级别身份验证的远程桌面的计算机连接(提供界面截图)针对数据库采用自主知识产权的业务数据识别技术(需提供相关官方证明复印件并加盖设备厂商公章)多种本地工具支持，支持SecureCRT，WinSCP，SQLPlus，PLSQLDev，Toad4Oracle，Db2cmd（DB2），TightVNC，pgAdmin3，SqlAdvantage，Sqleditor，mysql，QuestCentral，SSMS，Xshell，dbvis，Navicat，SSH Secure Shell Client身份认证及访问授权基

49、本认证：本地账号+密码认证；内置USB-KEY和动态口令卡，无需再单独配置服务器；短信认证（支持短信中间表和短信网关方式）吉大正元证书认证；北京数字证书认证；格尔证书认证；其它外部认证支持Windows AD/RADIUS/LDAP；支持多种认证方式组合的双因素认证，可自定义组合，且每个用户可单独设置系统级账号三权分立，系统级账号包括：系统账号管理员，系统审计员，系统管理员；业务管理员以业务管理权限范围实现不同业务管理员权限的完全隔离，可设置业务管理员可管理的用户组和资源组范围从账号密码代填自动登录，使用人员不必知道服务器帐号及密码（包括http/https访问的账号密码代填）运维用户多次登录

50、失败自动锁定登录账号或账号功能支持用户忘记登录密码时，可通过邮件或短信方式获取验证码，验证通过后重置登录密码访问控制及异常告警对违规或高危操作的指令（黑名单）进行日志提醒、忽略命令、阻断会话或二次审批支持对违规或高危指令的正则表达式设置匹配规则支持以邮件、SYSLOG、Snmp Trap、实时发送命令策略触发的审计信息和CPU、内存达到使用上限的告警信息 用户及组管理功能支持运维用户和用户组的管理，包括添加、修改、删除、启用/停用、移动资源和移除组成员功能支持运维用户使用有效期配置；支持运维用户客户端IP和MAC限制(提供界面截图)支持运维用户密码策略，包括：最小密码长度、密码复杂度、密码周期

51、、历史比对和登录锁定操作行为记录针对SSH、Telnet、Rlogin、FTP/SFTP、数据库操作进行记录及审计；记录会话时间、命令执行时间、会话协议、服务端IP、服务器端口、客户端IP、客户端端口、操作命令、返回信息、运维用户帐号、审批用户帐号、资源账号等信息会话过程回放以WEB在线视频回放方式重现维护人员对服务器的所有操作过程，无须在客户端安装播放客户端软件离线回放重现维护人员对服务器的所有操作过程（回放文件下载到本地播放）倍速/低速播放、拖动、暂停、停止、重新播放等播放控制操作根据审计日志操作命令和RDP键盘输入命令开始回放密码管理随机生成不同密码、随机生成相同密码以及手工指定相同密码

52、的密码策略，并严格遵守密码强度设置自动改密支持Linux、Unix、Windows（采用RPC方式）、AIX以及Oracle、SqlServer、PostgreSQL、MySql、DB2、Informix 、SYBASE的内置自身账号密码支持自动改密结果发送到指定改密计划的管理员邮箱资质要求产品具有计算机信息系统安全专用产品销售许可证产品具有国家保密局涉密信息系统产品检测证书产品具有中国国家信息安全产品认证证书制造商具有信息安全服务资质（一级信息系统安全集成服务）制造商具有信息安全服务资质（一级应急处理服务）制造商具有信息安全服务资质（一级风险评估服务）售后服务要求提供3年及以上硬件保修和技术

53、支持服务，3年及以上堡垒机操作系统升级服务；投标时提供原厂针对此项目售后服务承诺函原件；6.2.13、日志审计（1套）指标项技术规格要求硬件要求软硬件一体化，配置6个千兆自适应电口和2个USB口，单电源，有效存储容量2TB；软件规格系统必须采用B/S架构，管理员只需浏览器即可连接到系统进行各种操作。产品要求集成数据库，无须再独立安装数据库系统，亦无须对数据库进行专门的维护。软件要求至少能够部署在Windows和Linux操作系统上。此次配置100个审计节点授权。管理范围能对网络设备、安全设备和系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警等安全信息进行全面的审计支持采集方式无需另

54、外安装软件组件，审计中心即可通过 SNMP Trap、Syslog、ODBCJDBC、文件文件夹、WMI、FTP、NetBIOS、OPSEC等多种方式完成日志收集功能；允许用户安装独立的日志采集器通过上述方式采集日志并转发给审计中心；允许用户在被采集节点上安装日志代理采集日志并转发给日志采集器或者审计中心。部署方式支持单级部署和级联部署，支持分布式部署。单级部署：无需安装任何其他软件和组件，用户只需要安装审计中心即可实现对日志的采集、分析；级联部署：两个审计中心之间可以进行级联，形成大规模统一审计；分布式部署：一个审计中心可以连接多个分布式日志采集器或者日志代理，实现对全网分散日志的统一采集和

55、审计。资产管理系统具有资产管理的功能，能够将被审计资产进行分组、分域的统一维护。系统提供基于资产的拓扑视图，可以按列表和拓扑两种模式显示资产拓扑节点；（提供截图证明）拓扑视图可以显示被审计资产之间的网络连接关系。能够根据收到的事件的设备地址自动识别新的资产，并支持自动添加到资产清单中去；在资产管理界面可查看每个资产设备本身产生的事件信息、关联告警信息，并且支持向下钻取，直接进入事件列表、关联告警列表。系统采用自主知识产权的多维度网络态势感知技术对网络资产进行安全监控(需提供相关官方证明复印件并加盖设备厂商公章)日志采集产品采用自主知识产权的基于对等网络的主动识别技术(需提供相关官方证明复印件并

56、加盖设备厂商公章)，可主动识别应用系统、数据库等系统配置，采集日志；无需另外安装软件组件；可灵活定制不支持的数据源采集，而无须改动代码。日志范式化系统必须具备日志范式化功能，实现对异构日志格式的统一化；范式化字段至少应包括事件接收时间、事件产生时间、事件持续时间、用户名称、源地址、源MAC地址、源端口、操作、目的地址、目的MAC地址、目的端口、事件名称、事件摘要、等级、原始等级、原始类型、网络协议、网络应用协议、设备地址、设备名称、设备类型等；支持长安全事件格式；在范式化的时候能够对日志进行分类，分类需按照安全事件的类型，而不是日志的设备类型，并提供日志分类的类型清单。日志传输和存储转发日志可

57、加密压缩传输，保证数据的完整性和机密性；日志可加密存储。支持大数据量存储；支持加密压缩方式转发，定时转发。（提供配置截图）日志过滤支持对日志的过滤；可以建立日志过滤条件；过滤条件可以按照所有范式化后的字段属性来定义。日志统计分析系统允许管理员以统计场景的形式查看不同类型的日志信息；必须支持实时统计和历史统计两种模式；日志查询系统允许管理员以查询场景的形式查看不同类型的日志信息；用户可自定义查询场景，每个查询场景都要以查询策略的形式进行存储；可对日志进行模糊搜索查询；日志关联分析系统具有日志关联分析的能力，能够对不同的日志进行相关性分析，发掘潜在的信息；系统提供基于图形化方式的规则编辑器；安全规

58、则与日志源设备厂家无关，更换设备无需修改规则；日志告警告警动作支持告警重定义、弹出提示框、发出警示音、发送邮件、发送SNMP Trap、发送短信、执行命令脚本、设备联动、发送飞鸽传书、发送Syslog等方式；告警内容可以自定义，可以根据日志的实际情况将参数传递给命令行脚本；日志综合显示系统具有综合展示界面和仪表板；用户可自定义首页和展示仪表板；包括展示的内容和展示的形式；应该提供传统的线形图、饼图、条状图等多种方式来显示信息；日志分析模式系统采用基于策略的日志分析模式，使用户从传统的“条件编辑”式的分析体验转变为“策略选取”式的分析体验，大大提升分析效率；系统内置超过3000条分析策略，包括各

59、种实时分析策略、历史分析策略、告警统计策略、仪表板视图。系统管理可对日志采集器进行集中管理和配置；记录系统自身日志，可查询；可对系统自身的CPU、内存、数据库空间大小等进行监控； 可以对自身运行的CPU、内存和磁盘空间等的使用率设置告警阈值；用户管理实现基于角色的权限管理；要求系统管理员、权限管理员和用户管理员三权分立；系统内置上述三类管理员。资质要求产品具有计算机信息系统安全专用产品销售许可证产品具有涉密信息系统产品检测证书制造商具备信息安全服务资质（一级应急处理服务）制造商具备信息安全服务资质（一级风险评估服务）售后服务要求提供3年及以上硬件保修和技术支持服务，3年及以上日志审计系统升级服

60、务；投标时提供原厂针对此项目售后服务承诺函原件；6.2.14、数据库审计（1台）指标项技术规格要求硬件规格采用操作系统为VSP或LOS或UNIMAS通用安全平台，具备高效、智能、安全、健壮、易扩展等特点，需提供证明文件并加盖公章硬盘总容量不小于1T，设备配置不少于6个千兆电口，不少于4个千兆光口。性能要求审计事件入库速度4000条/秒，日处理审计事件数5000万条，默认含2个监听口授权，含3个被审计DB服务数部署管理支持旁路部署方式对原有网络不造成影响 支持透明部署、支持Bypass支持旁路、在线混合部署采用B/S管理方式可HA部署，产品支持主备方式支持对部署在vmware、KVM、Xen等虚