省调网络安全防护技术措施完善

1、 省调网络安全防护技术措施完善技术规范书云南电网有限责任公司二一八年十月目 录 TOC o 1-5 h z u HYPERLINK l _Toc18662 1 总则 PAGEREF _Toc18662 4 HYPERLINK l _Toc1284 1.1 概述 PAGEREF _Toc1284 4 HYPERLINK l _Toc13181 1.2 投标文件技术部分要求 PAGEREF _Toc13181 5 HYPERLINK l _Toc24390 2 项目概况 PAGEREF _Toc24390 6 HYPERLINK l _Toc22337 2.1项目背景 PAGEREF _Toc22

2、337 6 HYPERLINK l _Toc23167 2.3使用条件 PAGEREF _Toc23167 6 HYPERLINK l _Toc14245 2.3.1正常工作大气条件 PAGEREF _Toc14245 6 HYPERLINK l _Toc12861 2.3.2贮存、运输环境条件 PAGEREF _Toc12861 6 HYPERLINK l _Toc30791 2.3.3周围环境 PAGEREF _Toc30791 6 HYPERLINK l _Toc230 2.4采购清单 PAGEREF _Toc230 7 HYPERLINK l _Toc8774 3 技术要求 PAGER

3、EF _Toc8774 8 HYPERLINK l _Toc27169 3.1 产品功能要求 PAGEREF _Toc27169 8 HYPERLINK l _Toc13704 3.1.1 入侵防御系统（IPS) PAGEREF _Toc13704 8 HYPERLINK l _Toc13721 3.1.2 专用DNS/DHCP服务器 PAGEREF _Toc13721 10 HYPERLINK l _Toc27912 3.1.3 网络分路器（TAP：Test Access Point交换机） PAGEREF _Toc27912 16 HYPERLINK l _Toc17542 4 试验 PA

4、GEREF _Toc17542 18 HYPERLINK l _Toc5784 4.1 验收要求 PAGEREF _Toc5784 18 HYPERLINK l _Toc24812 4.2 测试报告 PAGEREF _Toc24812 18 HYPERLINK l _Toc8644 4.3 现场调试和现场试验（SAT） PAGEREF _Toc8644 19 HYPERLINK l _Toc7026 5 包装、运输、贮存和质量保证 PAGEREF _Toc7026 20 HYPERLINK l _Toc26293 6 双方工作安排 PAGEREF _Toc26293 21 HYPERLINK

5、l _Toc21813 6.1 招标方职责 PAGEREF _Toc21813 21 HYPERLINK l _Toc27974 6.2 投标方职责 PAGEREF _Toc27974 21 HYPERLINK l _Toc15633 6.3 项目管理 PAGEREF _Toc15633 22 HYPERLINK l _Toc32170 6.4 资料管理 PAGEREF _Toc32170 22 HYPERLINK l _Toc1060 6.4.1文档范围 PAGEREF _Toc1060 22 HYPERLINK l _Toc20306 6.4.2投标方的责任 PAGEREF _Toc203

6、06 22 HYPERLINK l _Toc27561 6.4.3随机手册 PAGEREF _Toc27561 23 HYPERLINK l _Toc4083 6.4.4文档种类 PAGEREF _Toc4083 23 HYPERLINK l _Toc7763 6.4.5其它 PAGEREF _Toc7763 23 HYPERLINK l _Toc3044 6.5 设计联络会与培训 PAGEREF _Toc3044 23 HYPERLINK l _Toc6607 6.5.1 设计联络会 PAGEREF _Toc6607 23 HYPERLINK l _Toc18978 6.5.2 培训 PAG

7、EREF _Toc18978 24 HYPERLINK l _Toc20766 6.6 现场服务及售后服务 PAGEREF _Toc20766 24 总则概述本技术规范书是招标人对“ 省调网络安全防护技术措施完善” 采购的投标方提出的技术规范书，本规范书将作为投标文件技术部分评议的基础。投标方应按照本文件的要求提供报价和详细的技术方案书。投标方提供的设备系统符合招标人指明的标准，并满足或高于招标人的技术要求。对于本技术规范书未规定的有关产品内容和标准，投标方应提出具体建议，并陈述其理由。投标方在其投标文件中，要求对本文件中所提各项设备能否实现与满足，应逐项诚实地予以答复、说明和解释，首先对实现

8、或满足程度明确作出“满足”、“不满足”、“部分满足”等应答，然后作出具体、详细的说明。对本次技术规范书中答满足项视为对该需求全部无条件满足，不需要额外增加任何设备内容；如在应答中回答过于简单，不能够充分阐述“满足”的原因或未作明确答复的，招标人将视为对各项内容和标准不满足或部分满足。投标方在满足招标文件要求的基础上可根据自己提供服务的具体情况，在技术方案中提出建议，并附详细资料和说明。投标方应在技术规范点对点应答中把“不满足”和“部分满足”项作单独列举清单。投标方对于规范书的疑问可以通过书面材料与招标人联系，在规定的投标文件最后提交以前，招标人将以书面材料给予答复，有关招标人答复材料的复印件也

9、将递交所有得到技术规范书的投标方。如因满足本技术要求，需要改变服务原价格，投标方应在技术方案中预先声明。投标方未经招标方同意，不得以任何形式向第三方公开本技术规范书。本技术规范书未尽事宜，由招标方和投标方在合同签订时协商确定。本次项目采购分为一个标包：包一 千兆防火墙。投标文件技术部分要求投标方提交的投标文件技术部分必须包括（但不限于）以下内容： 公司背景、人员构成、资质证书等。所提供设备的配置清单及推荐设备的技术参数及优越性。近三年内，有相应的地区供电局及以上单位提供运行业绩及业绩证明和用户证明材料），并在安装、调试、运行中未发生重大质量问题。所提供设备的场地及环境准备要求(安装方式及物理尺

10、寸、供电方式及耗电量、设备或机架接地要求、重量、温湿度等环境要求)。安装及验收。质保期内与质保期外技术、售后服务及保修/软件升级方案。投标方所推荐设备需要提供原厂商的授权及售后服务承诺书。本次招标接受代理商，代理商需提供原厂针对本项目的授权和售后服务函。投标人必须在云南有办事处，有强大的技术维护团队，可以为本项目配备专职技术人员及有关备用设备，具备相应的维护服务能力。为确保本次中标厂家的产品满足标书的相关技术要求，招标方有权将中标厂家的产品送交第三方检测机构进行检测，对虚报指标和参数的中标厂家将按云南电网有限责任公司招投标管理办法进行考核。项目概况2.1项目背景云南电力调度控制中心调度办公局域

11、网原有的入侵防御系统、DHCP服务器等技术措施， 由于部署年限较早（2010年）、在系统性能、特征库支持和DHCP/DNS系统上已经不能满足现有信息系统发展和功能要求，需要逐步完善相关技术措施，本次工作主要针对入侵防御系统、DHCP服务器、TAP交换机和专用维护电脑等技术措施进行完善。2.3使用条件2.3.1正常工作大气条件环境温度：-10+55；相对湿度：5%95%（产品内部既不应凝露，也不应结冰）；大气压力：80kPa106kPa。2.3.2贮存、运输环境条件装置在运输中允许的环境温度-4070，相对湿度不大于85%；在贮存中允许的环境温度-2555，相对湿度不大于85%，在不施加任何激励

12、量的条件下，装置不出现不可逆变化。2.3.3周围环境场地符合GB/T 9361-2011中B类安全要求；使用地点不出现超过GB/T 11287规定的严酷等级为I级的振动；不发生GB/T 177422008规定的烈度为度的地震；使用地点无爆炸危险的物质，周围介质中不含有能腐蚀金属、破坏绝缘和表面敷层的介质及导电介质，没有严重的霉菌存在；c) 交流电源供电电压：AC 220V电压允许偏差：10%频率：50Hz 5d) 过压保护要求设备本身采取的防护措施为二级保护，具备对雷电冲击引起的过电压抗御能力。设备既能经受纵向过电压，又能经受横向过电压。在无一级保护情况下承受的过电压要求如下：能承受用户线路上

13、峰值电压1kV的雷电感应过电压而不降低任何部件的性能.能承受由于高压接地故障引起的地电位升高和电磁感应引起的通信导线上650VAC、0.5s的纵向过电压而不降低任何部件的性能。2.4采购清单本次项目采购分为1个标包：包一 省调网络安全防护技术措施完善设备序号货物名称规格型号（产品描述）单位数量交货时间交货地点备注1入侵防御系统(IPS)详见技术要求台2合同签订后30天内省调自动化机房2TAP交换机详见技术要求台2合同签订后30天内省调自动化机房3专用DNS/DHCP服务器详见技术要求台2合同签订后30天内省调自动化机房技术要求本项目各标段的投标设备必须具备相应的设备入网证明和权威机构的设备检测

14、证明。这些证明应分别在商务投标书和技术投标书中体现。投标人的建议书中，要求对本规范书所提出各项要求进行逐条答复、说明和解释，首先对实现或满足程度明确作出“满足”、“不满足”、“部分满足”等应答，然后作出具体、详细的说明。如在应答中不能够充分阐述“满足”的原因，招标人将视为对各项功能或性能不满足或部分满足。标“”为必须关键指标、功能和产品资质要求，如有负偏差将导致废标。投标人应把点对点应答中“不满足”和“部分满足”项作单独列举清单。产品功能要求3.1.1 入侵防御系统（IPS)配置要求1、 2U机箱，最大配置为26个接口，默认包括2个扩展槽位，2个作为HA口和管理口，4个SFPplus插槽，设备

15、配置8个千兆接口（支持Bypass），4个SFP插槽（含4个千兆多模光口SFP模块(850nm，0.55km，LC)）。2、入侵保护链路数（无需单独购买防护链路授权，扩展接口即可增加防护链路，入侵检测链路数为入侵防护链路数的2倍）12路3、含3年IPS攻击规则库特征库升级，配置应用识别规则库3年升级许可。4、设备采用自主知识产权的专用安全操作系统，采用多核平台并行处理特性；5、标配双冗余电源。性能要求 1、整机吞吐率15Gbps，最大并发连接数280万，IPS吞吐率4Gbps。(注：所有指标均为开启IPS/AV功能下的实测值）基本功能要求1、要求支持直连、路由、VLAN、旁路监听、混合部署等多

16、种接入模式。2、要求支持多端口链路聚合，支持11种链路负载均衡算法。3、要求支持IPv6、IPv6 over IPv4、IPv6和IPv4混合网络，能够在该网络环境中检测出攻击事件。4、攻击规则库、应用识别规则库、URL过滤库、病毒库四种库均单独分开，可支持手动、自动、以及离线升级（提供截图证明）。5、要求能够检测包括溢出攻击类、RPC攻击类、WEBCGI攻击类、拒绝服务类、木马类、蠕虫类、扫描类、网络访问类、HTTP攻击类、系统漏洞类等在内的超过4000种攻击事件。6、系统应具备独立的病毒检测引擎。同时支持文件型和网络型病毒查杀。要求能够检测主流FTP、HTTP、SMTP、POP3协议的病毒

17、。支持400万以上病毒检测规则（提供截图证明）。7、支持检测包括land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof、Synflood、Icmpflood、Udpflood、Portscan、ipsweep等在内的DOS/DDOS攻击。同时可以实现DDOS自学习，自动生成防御规则。8、系统支持DNS异常包及DNS Flood攻击防御；（提供截图证明）。系统支持DHCP异常包及DHCP Flood攻击防御；（提供截图证明）。系统支持ARP异常包及ARP Flood攻击防御；9、系统能够根据数据内容而非

18、端口智能识别包括P2P、即时通讯、电子商务、股票交易、网络游戏、网络电视、移动应用等在内的23大类超过1200种应用。（提供截图证明）10、防火墙功能：系统应支持设置访问控制规则，实现对三到七层的访问控制；系统应支持源、目的地址转换以及双向地址转换；系统应支持IP/MAC地址绑定，支持设置协议与非常用端口的绑定策略。（提供截图证明）11、系统应支持多种形式的日志存储,本地存储、发送至日志服务器、本地日志服务器双存储、自动方式判断日志服务器状态自动决定日志的记录方式。（提供截图证明）。12、应支持设备温度监视以及报警，可以自定义温度阀值。（提供截图证明）。资质要求提供入侵防御系统的软件著作权证书

19、；提供入侵防御系统的计算机信息系统安全专用产品销售许可证。3、提供中国信息安全测评中心颁发的国家信息安全测评信息技术产品安全测评证书（千兆，级别：EAL3+)。4、为了保证产品的成熟度，要求提供原厂CMMI成熟度五级认证证书；5、要求原厂具备强大的漏洞和攻防研究能力，为中国国家信息安全漏洞库一级支撑单位，提供官网截图及证书。6、投标产品厂商要具有近 3 年内电力行业或者类似信息化产品大规模部署的经验 (至少提供5例及以上项目案例及合同附件)。7、原厂针对本项目的授权书原件及针对本项目3年原厂质保（3年IPS攻击规则库特征库升级服务，3年应用识别规则库升级服务）及售后服务承诺书原件。原厂产品资质

20、和企业资质及相关证明文件和证明依据（如截图）需要加盖原厂鲜章。8、投标人应为投标产品原厂商针对本项目的唯一授权方，不接受多投标人使用同一品牌产品应标。3.1.2 专用DNS/DHCP服务器基础规格1. 专业的软硬件一体化设备，内置免维护的高性能数据库。2. QPS指标：开启解析日志（Query log）时的QPS不低于10万，DHCP LPS不低于800/秒。且不需要配置独立的日志生成设备。3. 磁盘：配置硬盘500G。4. 配置810/100/1000M电口,可扩展1个网络扩展模块。配置交流冗余电源，单电源模块故障不影响设备正常运行，故障电源更换支持热插拔，不影响系统持续运行。5. 系统具备

21、系统级、软件功能级冗余备份能力，网卡接口绑定支持至少7种模式。支持HA部署或负载均衡部署。实现双设备中单一设备故障时的高可用。管理功能与对接能力1.支持所有设备节点的分布式部署，统一集中管理，通过统一的管理平台上完成所有服务的配置，而不是登录到不同系统单独操作。支持分布式部署，各节点数据统一下发，可选择性的对其中某台节点设备配置数据下发；数据下发支持加密，并能保证数据一致性（需提供截图加盖原厂盖章）。2.提供全中文化WEB操作界面，简化操作复杂度。可视化中文界面：用户输入、报表、管理界面、告警事件的信息等均支持中文界面（需提供截图加盖原厂盖章）。3.具备丰富的DNS图形化运行报表，所有节点DN

22、S解析实时展示和统计，通过曲线图、柱状图进行清晰展现，包括但不限于QPS、TOP域名、TOP IP、解析成功率、缓存命中率、解析类型、解析状态、并发递归数等（需提供截图加盖原厂盖章）。4.上述统计报表应支持对分布式部署的多台设备节点进行整体统计，即将所有设备节点的总体运行数据进行统计分析。5.指纹支持两级统计，可自定义指纹分类，可按照大类和大类内小类分别进行统计分析。6.图形化统计报表应支持实时和历史数据展示，历史数据保存不少于3个月，历史统计可按照时间自定义查询。7.分析报告支持定时自动生成及定时邮件推送功能（需提供截图加盖原厂盖章）。8.具备丰富的解析日志，记录解析应答结果，每一次解析延迟

23、，至少精确到毫秒（需提供截图加盖原厂盖章）。9.支持自定义报表，可根据需要对（域名、来源IP、来源端口、解析类型等）组合进行统计报表分析和展示。同时支持合规统计，对系统配置的域名进行监控和统计。10.支持定制报告模板，可定期生成统计报告、支持定期推送至用户邮箱，无需额外增加软硬件（需提供截图加盖原厂盖章）。11.支持审核工作流，关键配置需要高权限管理员审核后才能生效（需提供截图加盖原厂盖章）。12.支持账户分权，可设定基于视图、区、权威记录的隐藏/只读/读写权限，可设定基于网络/地址池的隐藏/只读/读写权限（需提供截图加盖原厂盖章）。13.对设备的远程管理方式具备加密能力，通过https和SS

24、H 等加密方式实现。系统具备统一管理平台，日志收集，运行状态监控。14.支持与VMware虚拟化云平台对接，通过VMware的API接口，实现创建虚拟主机时自动分配IP地址及自动创建DNS主机记录资源域名。过程实现快速分配，无需进行DISCOVER、OFFER、REQUEST、ACK四个过程。一次过程满足IP分配与DNS配置。VMware虚拟化云平台删除虚拟主机时，通过VMware的API接口，自动回收IP地址、删除DNS主机记录资源域名（需提供截图加盖原厂盖章）。 15.可设定报警阈值，发生问题时可实时触发故障报警，要能支持邮件、SNMP TRAP和URL回调等报警方式（需提供截图加盖原厂盖

25、章）。DNS功能1.支持常用的记录类型，包括但不限于A,AAAA,CNAME,MX,NS,PTR,TXT,SRV,SPF等，对配置的记录支持设置有效期限，支持删除A、AAAA记录时，同时删除相关的CNAME、MX、SRV、PTR记录（需提供截图加盖原厂盖章）。2.支持二级域名自注册功能，支持对二级域名申请、审批、生效操作，支持二级域名属主变更，且可灵活控制已注册域名是否允许用户自主变更（需提供截图加盖原厂盖章）。3.支持主辅区一键切换，辅区切换为主区前的区记录要保留，无须重新逐条配置。支持辅区不过期，当所有主区异常时，辅区可永久以最后一个更新的区记录提供解析服务（需提供截图加盖原厂盖章）。4.

26、智能化的访问调度，支持DNS多种负载均衡动态就近性、CPU/内存负荷算法，来源就近算法、优先可用算法、返回备用IP算法、加权比率算法等；支持两级访问调度，即优先按照某策略调度到某应用服务器池，然后在根据某策略调度到该池内具体服务器（提供截图加盖原厂公章）。5.支持会话保持，指定时间内对同一来源解析请求返回固定结果，保证访问稳定（需提供截图加盖原厂盖章）。6.支持用户源IP分组、内置域名库、链路比例负载、与出口链路设备联动等多种出口流量调度策略，结合时间策略对流量进行引导，使用不同出口线路访问互联网，（如：可以与出口链路设备联动，根据出口链路负载，智能动态调度流量，实现出口流量的负载均衡）（需提

27、供截图加盖原厂盖章）。7.支持对应用服务器的健康检查，提供实时的应用服务器状态监测，通过网络层到应用层ICMP、UDP、TCP_SYN、TCP、HTTP、HTTPS、SMTP、SNMP、SNMP_LINK等多种探测协议，应用状态探测变更、多个探测模板中任一探测状态变更、节点间信息同步时连接状态变更均支持告警（需提供截图加盖原厂盖章）。8.支持共享记录，可跨区域一次配置相同前缀记录，可一次实现跨区共享记录的统一增、删修改。9.作为递归服务器，系统应支持解析结果按照管理员设定的ISP所属比例返回，实现解析结果链路类型的负载应答控制。10.作为递归服务器，系统应内置主流网站类型的域名库，并基于域名库

28、进行解析结果ISP所属控制（需提供截图加盖原厂盖章）。11.支持禁止DNS ANY类型请求，支持防止DDOS攻击和放大攻击。12.支持URL重定向功能，便于将繁琐较长的网站转成较短的网址。13.支持对链路的健康检测，提供实时的链路状态检测，通过探测类型ICMP/SNMP_LINK等，从而避免影响与链路相关DNS记录的解析结果（需提供截图加盖原厂盖章）。14.支持转发区，内置多种转发策略First/Only，First/RTT等，提供递归查询顺序转发/RTT动态转发/转发例外，同时在以上转发策略无法获取结果后，支持通过失败转发保证获取解析服务的可靠性。15.提供全球所有国家，中国所有省、市的IP

29、地址库，支持基于物理位置的解析负载调度（需提供截图加盖原厂盖章）。16.支持对指定域名提前预取并缓存，可设定预取记录的TTL，可对热点域名、重点域名进行预取并缓存，提高解析效率（需提供截图加盖原厂盖章）。17.支持IPv6、DNS64等新技术，支持IPv4和IPv6双栈，可实现IPv4到IPv6的平稳过渡。18.支持请求源地址的健康检查和切换，当请求源地址不可用时，自动使用备用请求源地址（需提供截图加盖原厂盖章）。19.支持集中管理Windows DNS，支持单向和双向管理配置Windows DNS Server（非主辅区方式），如管理中心可对Windows DNS下发配置（包括但不限于新建区

30、域，删除区域，记录变更），Windows DNS变更配置可自动同步到管理中心（需提供截图加盖原厂盖章）。DHCP/IP地址管理功能1.网络地址支持图形化展示，支持以图形和列表的形式展示网络、IP地址，便于进行直观的网络地址管理。2.支持网络规划和配置，支持进行网络的缩放、拆分、合并。3.支持DHCP动态地址分配、续租，支持地址池、固定地址、保留地址、僵尸地址。支持标识地址冲突，并支持一键进行冲突地址的管理操作，可一键进行固定、保留地址的转换，方便快速进行IP和MAC的固定化使用。（需提供截图加盖原厂公章）4.支持最大租约、最小租约、正常租约。支持DHCP租赁地址自动转固定地址，对于以租赁的地址

31、可手动清除租约。5.支持对设定时间内未上线的地址进行特殊类型标记，便于长时间未使用地址的回收。（需提供截图加盖原厂公章）6.支持IP、MAC、交换机端口的三重绑定，支持绑定违规发现和提示。7.支持地址审计，具备完整的IPAM在线状态日志，不是通过DHCP分配的IP也能记录历史在线状态，方便审计回溯网内IP历史在线状态、支持对IP地址变更历史进行审计。（需提供截图加盖原厂公章）8.提供DHCP failover部署方式，其支持failover mclt参数自定义设置和partner；（需提供截图加盖原厂公章）。9.支持自定义添加属性配置，方便用户为网络、地址池、部门、用户名等添加备注信息。10.

32、支持基于指纹（内置指纹库可通过管理页面升级指纹库）、MAC、Options的访问控制列表，识别终端并进行接入控制；根据不同的终端类型来选择接入的网络控制判断其属于哪个DHCP域；（需提供截图加盖原厂公章）。11.支持共享网络功能，把多个不同网段绑定在一个组里解决单个网段内地址不足的问题。12.支持基于ARP、ICMP等网络协议扫描发现，可周期性的自动执行，获知网内IP在线状态。13.支持交换机级联探测，基于种子交换机自动发现交换机级联关系并收集网络，支持检测交换机端口冲突、非法DHCP服务器发现，可以基于SNMP或其他协议进行IP、MAC地址、交换机设备、主机连接的交换机端口等信息网络发现。1

33、4.支持DDNS，可基于主机名生成动态域名对应，也可以自定义某终端的完整域名。安全防护1.支持DNSSEC，可平滑迁移。2.支持020、支持对外递归查询的随机端口、随机ID。3.支持IP、IP段和域名的解析记录限速控制，实现客户请求的域名记录解析进行限速。4.递归超时攻击（Servfail）安全防护，自动控制超时域名的递归查询数量，有效避免客户端发起的恶意递归查询服务请求（需提供截图加盖原厂盖章）。5.支持自动切换为高性能DNS查询模式服务，当DNS资源消耗达到指定阈值时，系统自动将设备并发性能进行提升，每秒并发量提升至少1倍（需提供截图加盖原厂盖章）。6.支持解析劫持黑白名单，可指定域名解析

34、为指定A、AAAA记录。7.支持DNS隧道攻击防护，反射放大攻击防护（需提供截图加盖原厂公章）。产品资质1.投标产品须具备软件著作权、软件专利证书，并具有相应证明文件，有能力提供具有自主知识产权的产品。2.投标产品具有电信入网许可证，具备第三方权威机构（公安部、中国信息安全测评中心等）的安全测试报告。3.投标产品具有公安部计算机信息系统安全专用产品销售许可证，提供证书复印件并加盖厂商公章。4.投标产品厂商要具有近 3 年内电力行业或者类似信息化产品大规模部署的经验 (至少提供5例及以上项目案例及合同附件)。5.投标人应为投标产品原厂商针对本项目的唯一授权方，不接受多投标人使用同一品牌产品应标。

35、服务承诺1. 原厂三年维保，提供 724小时电话支持服务及大客户级上门服务。2.中标方需协助招标人针对以上所有功能要求进行验证测试。3.1.3 网络分路器（TAP：Test Access Point交换机）功能及技术指标具体参数要求硬件架构要求产品为标准1U机架设备，支持冗余电源、冗余风扇；国产核心交换芯片，提供官网截图。性能要求交换容量10Gbps；V350-48T4X的交换容量176Gbps；TAP-Group数量512；AGG成员数16。接口数量要求支持千兆接口48个、万兆SPF+接口4个。基本功能要求支持M:N复制(M个源复制到N个目标)；要求支持Ingress和Egress ACL，

36、支持匹配L2、L3、L4和IP五元组，进行复制、转发、丢弃；支持ACL匹配到的报文，同时将报文进行目的MAC、目的IP地址的修改，并做转发；要求支持使用VLAN Tag来标记入端口；要求支持LAG作为入端口或者出端口；要求支持基于流的复制；负载均衡要求支持基于Session的HASH，同源同宿；要求支持基于五元组的HASH；要求支持基于MAC地址的HASH；管理接口要求支持四级CLI权限控制；要求支持串口管理；要求支持Telnet管理；要求支持SSH管理；要求支持WebUI管理；要求支持SNMP Get/Set和Trap。安全控制要求支持TACAS+；要求支持本地用户名密码认证；要求支持CPU

37、保护。系统维护要求支持目录和文件系统；要求支持TFTP和FTP客户端；要求基于Uboot，支持多个Image启动。应用程序要求支持NTP客户端；要求支持syslog和log服务器；要求支持debugging。接口全部端口线速转发要求支持全双工、半双工、自动协商工作方式；要求支持1000M、10G和速率自协商；要求最大帧长支持12800B；要求支持端口直通。服务承诺原厂三年维保，提供 724小时电话支持服务及大客户级上门服务。试验验收要求本项目仅进行现场验收（SAT）。SAT验收测试大纲根据项目招标技术文件、投标技术应答书、合同技术协议书等技术文件的内容编写，由投标方编制，招标方审核批准。投标方

38、应在验收测试前2周提供详细的SAT验收测试大纲，大纲应提供所有现场验收的细则，细则指定的实验项目以及达到的性能指标不得小于本招标文件要求。招标方有权提出一些合理的特殊测试，并保留对大纲的修改权力。大纲经双方确认生效以后，招标方人员对验收的认可签字并不解除投标方对合同的保证负责。投标方将负责对现场安装和测试进行指导，投标方的工程师将协助进行现场试验验收。在现场验收完成后20天内，双方的代表将签署验收报告。验收计划由投标方准备，交给招标方审查同意。为有利于系统的安装、投运和测试，投标方应派出有经验的专家提供技术服务。在现场安装、投运及验收过程中，投标方应对损坏的设备负责。备品备件、文档资料均作为验

39、收的一部分。测试报告在SAT测试完成后的二十天内，投标方应提供四份测试报告的副本，每份报告至少包括以下的内容：设备说明。报告编号、日期。设备的项目编号、数量及顺序号。测试的时间、地点及方法。测试环境。试验数据包括表计型号、读数、测试点的位置、数据打印出的结果及有关图形等测试合格的标准。测试人员名单。负责人签字。现场调试和现场试验（SAT）现场调试设备运到现场安装完毕,招标方应通知投标方人员到场参加设备调试。投标方人员应根据招标方要求编写调试方案并完成现场设备的安装和配置。在调试过程中,若发现设备存在元器件损坏或不正常工作情况，投标方应负责更换。现场试验现场验收应在所有设备安装调试完毕, 且设备

40、准备投入试运行时进行,并出具书面测试报告。现场验收应在工厂系统试验完全完成的基础上进行。在验收开始前二周相应的安装调试单位应提出SAT验收大纲供招标方认可，投标方予以配合。包装、运输、贮存和质量保证设备制造完成并通过试验后应及时包装, 否则应得到切实的保护, 确保其不受污损。所有部件经妥善包装或装箱后, 在运输过程中尚应采取其它防护措施, 以免散失损坏或被盗。在包装箱外应标明需方的订货号、发货号。各种包装应能确保各零部件在运输过程中不致遭到损坏、丢失、变形、受潮和腐蚀。包装箱上应有明显的包装储运图示标志(按GB/T 191-2008)。整体产品或分别运输的部件都要适合运输和装载的要求。随产品提

41、供的一书三册（使用说明书、运行手册、安装手册、运维手册）等技术资料应完整无缺。订购的新型产品除应满足本招标技术文件外，投标方还应提供产品的鉴定证书。投标方应保证制造过程中的所有工艺、材料等（包括投标方的外购件在内）均应符合本招标技术文件的规定。若招标方根据运行经验指定投标方提供某种外购零部件，投标方应积极配合。投标方应遵守本招标技术文件中各条款和工作项目的ISO900、GB/T1900质量保证体系, 该质量保证体系已经过国家认证和正常运转。屏柜内的各种元件, 应选择具有生产许可证的专业制造厂家的产品。质保期间，因制造质量问题而发生损坏，或不能正常工作时，投标方应免费为招标方修理或更换零部件。双

42、方工作安排招标方职责负责对本招标书进行解释。招标方保留对本招标书增删、修改的权利。招标方有权对投标方的技术建议书的内容进行取舍。授予合同前，招标方有权要求投标方提供产品功能演示，以验证投标方投标产品满足功能要求。协助投标方开展现场相关工作。确认投标方提供的相关资料和文件。负责提供现场安装的条件及必要的支持。协助现场设备布置。组织现场验收。投标方职责投标方须提供投标产品通过中国南方电网有限责任公司系统运行部组织的准入测试的测试证明，作为入网必要条件。投标方应根据本标书要求，提供投标产品应具备的安全性认证证书原件（证书中单位名称必须与现有公司名称相符，如不相符视为放弃），如：国家密码管理局颁发的商

43、用密码产品销售许可证、公安部颁发的计算机信息系统安全专用产品销售许可证。负责提供投标范围内所有硬件设备以及这些设备之间的联接电缆，并保证所提供的所有设备的质量、性能均满足要求。提供安全防护项目实施所需的设备（包括软硬件），包括设备的采购运输、现场安装调试、验收测试、项目培训、技术支持和售后服务等相关工作内容。提供设备自项目现场验收后3年免费维护服务。投标方应积极配合系统集成商处理现场故障。提供完整的设备文档（包括硬件和软件的文档）。投标方必须对最终提供的全部技术资料的准确性负责。在现场验收前，投标方应负责提供本项目实施相关最新版本的软件，并在现场验收后的3年免费维护期内免费负责这些软件版本的更新。负责承担现场验收相关事宜，编写相关验收大纲。负责招标方相关人员的现场培训工作。项目管理合同签定后，投标方应指定负责本工程的项目经理，负责协调投标方在工程全过程的各项工作，如工程进度、设计制造、图纸文件、制造确认、包装运输、现场安装、调试验收等。资料管理6.4.1文档范围投标方提供的文档包括工程设计资料、系统技术资料、维护手册、培训资料、工程所需的软