信息化项目技术参数表

信息化项目技术参数表项目名称校园网络通信设备拓展金额98（万元）预算数量/单位重量见配置清单额定功率见配置清单设备功能要求西京医院校园网始建于1997年，是依托于国际互联网的医学、教育与科研网络，它隶属于空军军医大学校园网，通过学校的出口与国际互联网相连。为保障住院二部各科室校园网络正常运行，需新增网络设备和相关配件。提供的所有设备自主可控。软硬件配置清单序号描述数量及单位1校园网核心交换机12台2校园网核心交换机21台3弱电间24口接入交换机及设备供电系统80台4SDN控制系统1套5态势感知系统1套6上网行为审计1台7千兆多模光纤模块140块8万兆单模光纤模块16块9万兆多模光纤模块100块10铜跳线600根11光纤跳线300根详细技术参校园网核心交换机1序号指标名称技术参数1★交换容量>470Tbpso2★包转发率>150000Mppso3★业务槽位主控引擎与交换网板物理分离且为正父CLOS架构；整机业务板槽位数＞8。4#接口要求以太网支持千兆电口，千兆光口，万兆光口、40G端口。5二层功能支持端口VLAN、PVLAN，支持STP、RSTP、MSTP协议。6#路由协议支持静态路由、策略路由、RIPVI、V2,0SPF等路由协议。7安全性支持ARP防攻击。8管理特性支持SNMPV1/V2/V3、Telnet、RMON、SSHV2。9产品资质提供工信部的产品入网许可证和第三方检测报告。10★具体配置配置2块主控引擎，满配交换网版，冗余电源，50个千兆电口、142个万兆光口，为保证业务可靠性，以上端口需分布在不同的业务板卡上（非主控卡集成），实配40G虚拟化所需模块和线缆。11★质保服务提供5年投标产品生产厂家商产品质保服务（需提供授

权函和售后服务承诺函）。校园网核心交换机21★交换容量>230Tbpso2★包转发率>50000Mppso3★业务槽位整机业务板槽位数＞6。4#接口要求以太网支持千兆电口，千兆光口，10GE端口。5虚拟化技术多虚一技术（N:1）。6#路由协议支持静态路由、策略路由、RIPVI、V2,0SPF等路由协议。7可靠性支持G.8032标准环网协议。8管理特性支持SNMPV1/V2/V3、Telnet、RMON、SSHV2。9产品资质提供工信部的产品入网许可证和权威第三方权威报告。10★具体配置配置2块主控引擎，冗余电源，60个千兆电口、76个千兆光口、20个万兆光口，为保证业务可靠性，以上端口需分布在不同的业务板卡上，4个万兆多模光模块。11★质保服务提供5年投标产品生产厂家商产品质保服务（需提供授权函和售后服务承诺函）。弱电间24口接入交换机及设备供电系统1★交换容量>330Gbps。2★包转发率>120Mpps。3★硬件要求配置24个10/100/1000Base-T以太网端口，同时配

为了便于后期我院各种终端能够被自动发现和管理其连接拓扑可以自动生成和展示，要求终端设备优先（包含所有基于IP的物联网终端）能够自动上线，其次根据事先导入系统的各类哑终端MAC地址列表，实现哑终端的自★软件功能动化上线。我院实际终端数较多，为了便于大批量终端的及时准入，所投设备需要支持自定义终端免准入确认时间，免确认时间内自动进行整网IP/终端MAC/端口/接入设备的信息置4个置4个100/1000Base-XSFP。4#功能要求支持端口VLAN。支持STP、RSTP、MSTP协议。支持端口聚合、端口镜像功能。支持QinQ，灵活QinQ。5#路由功能支持RIP、RIPng、OSPF协议。6管理维护支持SNMP、Telnet、RMON。支持通过命令行方式进行配置和管理。7产品资质提供提供工信部的产品入网许可证和第三方检测报告。8★质保服务提供5年投标产品生产厂家商产品质保服务（本次采购的交换机品牌需保持一致）。SDN控制系统

为了节约终端的上线时间以及简化我院维护人员的工作量，尽量要求资产终端上线时无需提前收集终端MAC地址，无需提前在控制器导入MAC相关信息，或者采用人工辅助的半自动化方式实现。在大量终端入网后，如还有个别我院新增终端在超出免确认时间接入，管理员需在准入界面手动确认，才能入网，保证终端接入的安全性和合规性。在维护人员针对终端一次性确认后后续接入无需频繁确认且每个终端无需部署特定账号与密码大大减轻我院维护人员压力。相比传统方式可以实现智能的IP+MAC+端口的绑定在解决传统安全问题的同时可以提升我院维护人员工作效率为了规范我院终端接入标准，当用户信息发生变更，即用户MAC或用户IP或用户接入位置发生变更，需要管理员重新审批后入网以保障网络准入安全合规。为了简化后期运维最好支持接入的资产终端无须安装任何客户端与插件，审批后即可入网。IP地址作为网络中的重要兀素结合我院的实际情况（大量IP地址），SDN控制器能自动判断静态IP、动态IP、设备的接口IP、排除IP地址冲突，能直观的显示哪些静态ip地址是否可以分配，哪些IP地址不可分配,避免长

时间的维护后人员的更替和记忆的衰减导致的IP地址管理混乱而导致的安全问题。为了提升我院对于IP地址管理的便捷性，需要所投产品支持可视化能清楚的看见IP地址的占用情况通过SDN技术能快速收集设备报废情况，（设备报废了IP也跟着回收）需要精确到30分钟内。能通过手动或者自动方式来进行ip地址回收。基于我院大量的终端资源管理难的问题支持资产终端的位置识别，满足辅助终端资产管理难的问题。基于指纹或其他技术，可以实现对终端类型进行识别，从而实现对终端的预判，达到辅助决策的安全问题。为了保障业务的稳定性和可靠性，当出现控制器故障的时候，支持逃生机制，不影响当前业务运行。本次米用SDN架构，通过Netconf协议用户首次上线成功后无需二次认证，控制器挂掉后需要保证用户的安全性不变。2★配置情况配置本次园区项目SDN解决方案相关的组件（包括但不限于各种模块等）及设备管理相应节点授权。本次实配10000个终端（包含但不限于物联网终端）接入授权。3★质保服务提供5年投标产品生产厂家商产品质保服务。态势感知系统要求配置双电源，配置不小于4T硬盘，不小于6个千兆★硬件规格电口，不小于1个扩展槽。支持三个展示维度大屏，包含内到内流量监控大屏、内到夕卜流量监控大屏、夕卜到内流量监控大屏。态势感知展示支持从管理角度，根据业务自身需要对需要关注的安全事件进行分类，可以分为一般关注、中等关注、重点关注和极度关注四个大类。支持被动漏扫功能可以通过流量发现相关资产的高危端被动漏扫功能口和漏洞等信息同时通过流量层面发现相应端口和漏洞是否有被黑客或者不法分子利用。支持文件检测通过特征匹配或检测算法对被检测文件的#文件安全文件内容进行检测。支持完整语义的数据包过滤规则(BPF语法)。5数据包基础处理支持网络巨帧(JumboFrame)的处理。实时统计网络吞吐情况，包括BPS、PPS及每秒会话数。6以太层处理普通以太头解析。支持单向、双向VLAN处理。支持VLANQinQ处理。7#网络层处理完整IPv4协议和相关选项处理。完整IPv6协议和相关选项处理。IP分片包处理。

要求支持全量网络会话留存，包含会话主要全部元数据，全会话留存以及应用协议特有相关元数据保存全面还原网络连接情况。支持TCP、UDP、ICMP、ICMPv6、SCTP、IGMP等协传输层处理议的识别和处理。对TCP协议进行完整处理，包括重传和乱序。支持识别和处理HTTP、FTP、SMTP、IMAP、POP3、SSH、SSL/TLS、DCERPC、SMB、TELNET、HTTPS、MySQL、Oracle、SQLServer等主要应用层协议。10#应用层处理10#应用层处理系统支持其它诸如门户、论坛、金融、游戏、炒股、聊天等应用协议的识别。对其它附着在HTTP协议之上的其它协议进行二次识别。系统存储相关网络协议会话数据。系统根据协议或应用协议策略保存相关会话数据的原始网络数据包。网络数据存储及11可以通过相关接口查询网络会话数据以便进行回溯。11查询可以通过相关接口下载与特定会话数据相关的网络原始数据包，以便详细查询。可以将相关会话数据(SessionLog)、会话统计数据外发至相关系统。支持网络带宽占用检测。支持TCP连接延时检测。#网络质量检测支持TCP重传检测。支持TCP零窗口检测。支持设置网络攻击相关检测类型。支持IP分片、小包攻击、ARP泛洪、ICMP泛洪、UDP泛洪、TCP比例异常等网络异常检测。★攻击检测支持检测端口扫描、口令猜测、木马、蠕虫、僵尸网络、拒绝服务、漏洞利用、溢出、WebShell、XSS、跨站请求伪造、远程提权等类别的网络攻击。生成网络攻击事件并外发至相关系统。支持多种类型的威胁情报检测，包括CnC、勒索、僵尸网络、挖矿等。对于所有网络会话，支持基于黑IP检测。对于HTTP、DNS协议，支持黑域名的检测。★威胁情报检测对于HTTP协议，支持黑URL检测。针对SMTP、POP3、IMAP等邮件协议，支持黑邮箱检测。支持检测动态域名（DGA）异常。生成威胁情报检测事件并外发至相关系统。

会话连接及流量统计检测。网络流量智能历史基线分析。15其它检测策略支持网络流量异常离群分析，距离建模包含欧氏、马氏距支持基于信息熵的网络行为异常检查。15其它检测策略支持网络流量异常离群分析，距离建模包含欧氏、马氏距16★质保服务提供5年投标产品生产厂家产品质保服务。17★配置要求配置5年特征库授权。上网行为审计1★接口数最少支持6个千兆电口。2★硬盘具有不少于8T的硬盘存储。3★适用带宽设备最大适用带宽2700Mbps。4常用协议如FTP、SMTP、TFTP、IMAP等常用协议。5自定义协议可自定义基于协议和端口的协议。可根据协议、端口、报文长度、报文特征、目的甲等等信息自定义协议规则。6协议剥离支持将特殊协议(如MPLS、PPPoE、VLAN(Q-in-Q)等)的协议头剥离掉，这样可以对特殊协议封装内的原始数据进行认证、审计和控制。7其他协议HTTP下载、WEB视频、P2PT®、流媒体、网络游戏、即时通讯、股票交易、网上银行、网络电话等。8流控管理方式支持基于线路的流控、基于应用的流控、基于URL的流控、基于IP的流控、基于用户组的流控、基于时间段的流控、基于单个用户的流控。流控、基于单个用户的流控。9应用限额管理限制指定的应用一天内可以使用的流量总额或使用时长。TOP50服务流量监控，服务组流量监控，活跃服务统计,所流量实时监控有服务统计,TOP50用户流量监控，在线用户统计，动态更新实时监控图。将每个用户收发的邮件详细记录并显示。邮件信息包括:由阳牛收发者、主题、正文、附件及大小、日期等信息。若#个人邮件记录用户使用了多个邮件账户每个账户将分别显示其收发邮件的信息。#个人账号登陆将每个用户的网购、微博、博客、论坛、邮箱、视频网站、12记录社交娱乐、即时通讯等等账号登陆分项记录。#个人外发文件将每个用户的http上传、即时通讯上传、FTP上传和下13记录载文件、EMAIL发送文件分项统计和记录。14导出个人行为记录将单个用户的上网行为的数据导出为Excel文件。15策略免审计可根据IP地址来配置策略，对特定IP的用户免除上网行为的审计。16网站URL、网站类型统计基于URL、网站类型，对其流量、新建会话、活跃会话进行分时段统计分析，并进一步统计分析每个URL的服务有哪些用户/用户组在使用，及每个用户/用户组的使用情况；以及每种服务类型在各条链路上的分配情况。

17会话日志详细记录每个会话的信息，包括：用户名、用户组、源IP/端口、目的IP/端口、转换IP/端口、MAC地址、协议类型、协议名称、发送流量、接收流量、会话持续时间、会话结束时间。并可导出为EXCEL或者HTML格式的报表。18报表生成可将报表中心相关内容转换为Excel、PDF报表。19告警方式对特定安全事件支持通过邮件、短信方式自动告警。20★质保服务提供5年投标产品生产厂家产品质保服务。21★配置要求配置3年特征库授权。刊兆多模光纤模块1★光模块规格支持千兆速率，SFP双LC接口，传输距离0.3Km，传输波长850nm。万）兆单横光纤模块1★光模块规格支持万兆速率，SFP+双LC接口，传输距离10Km，传输波长1310nm。万兆多模光纤模块1★光模块规格支持万兆速率，SFP+双LC接口，传输距离0.3Km，传输波长850nm。铜跳线1★规格线规24AW