轨道交通四号线二期（唐家沱-石船）PPP项目综合监控系统设备采购及集成服务第二分册-云平台技术要求技术规格书

轨道交通四号线二期（唐家沱-石船）PPP项目综合监控系统设备采购及集成服务第二分册云平台技术要求技术规格书2021年3月PAGEPAGE2 目录TOC\o"1-2"\h\z\u292401.系统工程范围 173122.系统构成 1209902.1.系统概述 1136412.2.计算资源池配置方案 2240212.3.云平台系统设备 554593.平台硬件选型原则 787413.1.平台硬件概述 7199043.2.平台服务器群 8207133.3.交换机 142343.4.车站级后备服务器 20209103.5.平台网络安全设备 21216553.6.操作终端设备 34301433.7.便携式维护计算机 36146733.8.打印机 36193033.9.工作台 37186713.10.工作座椅 4157383.11.设备配件和机柜 42305773.12.机架式一体化键盘显示器 43258333.13.光电转换器 43256114.软件要求 44257194.1.操作系统 44113754.2.云平台 45288634.3.数据平台 63100715.系统性能要求 66123935.1.系统规模 66103235.2.设备状态更新时间 66312695.3.现场设备控制时间 67161765.4.画面/设备选择和更新 67191985.5.系统可用性 67141935.6.系统可靠性 6783005.7.系统扩展性 681775.8.系统软硬件余量要求 68234776.系统功能 68120016.1.登陆模块 68168006.2.权限管理模块 69311776.3.通用人机界面功能 691426.4.日志管理模块 7174726.5.报表模块 71144416.6.趋势模块 72183216.7.事件模块 7269296.8.数据处理模块 72295256.9.监视模块 73125916.10.打印模块 7399496.11.在线帮助 74283056.12.设备维修管理平台功能 74148236.13.培训仿真管理平台功能 74231696.14.网络智能管理平台功能 74294587.接口技术要求 75296187.1.接口划分原则 7598697.2.接口分类 75298807.3.责任划分 7618477.4.接口管理 7713217.5.接口测试 8196537.6.接口实施建议 8512397.7.综合承载网接口要求 85136467.8.与接地箱接口 87188837.9.与UPS接口 87114018.云平台主要设备表 87119588.1.总则 88184048.2.云平台主要设备材料数量表 90系统工程范围包括重庆轨道交通四号线二期15座车站、1座石船车辆段及1座二期调试中心系统的全套硬件设备及系统软件、应用软件、接口协议、接口设计（含系统设计）、施工设备安装、管线采购、管线安装、设计联络、设备制造、出厂检验、包装、运输、保险、交货、仓储、测试、试验、完工测试、单体调试、与其它系统接口调试、系统调试与试验、综合联调、开通、安全评估、预验收、试运行、消防验收、竣工验收、设备性能确认、人员培训、竣工文件资料、备品备件和仪器仪表及工具的提供、质量保证期服务以及上述过程中的工程建设和安装协调。投标人应提供本系统工程建设中所需的所有资源，例如：劳动力、设备、工具、器材等，圆满完成本系统工程的建设工作。系统构成系统概述四号线二期云平台架构上划分为生产业务网、内部管理网、运维维护网、外部服务网（预留）。在四号线二期调试中心设置云平台，作为四号线二期线路级云平台的服务节点，承担全线业务系统处理、网络汇聚、数据应用功能等。在线路正常运行时，由中心云平台资源池统一提供车站级的虚拟服务器，对车站级各系统如PIS系统、CCTV系统、ISCS系统、AFC系统、安防系统、ATS系统、BIM系统、运营管理和维护管理系统等提供专用的VPC及VDC，按各系统CPU核数及内存核实进行配置，并且将各系统的应用软件及数据库软件部署至已分配的VPC及VDC上，实现运营生产系统、企业管理信息系统与中心云平台安全生产网、内部服务网之间计算、存储资源的数据交互，承担网络汇聚功能。如图所示：当车站在与中心通讯故障的情况下，每车站独自设置一套应急功能的服务器，负责所有系统的离线功能。统一部署以上业务系统降级模式下现场级硬件所需的计算、存储资源，承担降级应急处理功能。云平台纳入生产中心线网级云平台的统一管理，通过云平台保证资源的快速交付和统一管理，支撑业务快速上线、融合运营、统一运维。云平台不负责视频监控系统内视频及图像的存储，视频及图像的存储由通信专业负责，并且存储于各车站视频存储服务器内，该部分内容由通信专业负责。计算资源池配置方案中心云平台需要为各系统（含ISCS、AFC、PIS、CCTV、安防、ATS、BIM、运营管理和维护管理系统等）在中心中单独提供的计算资源，通过构建虚拟机资源池（创建独立的VPC及VDC）的方式实现。其中虚拟机资源池提供中性能云主机服务，具有资源灵活分配，规格可动态调整、资源利用率高等特点。物理机资源池主要提供物理机服务，具有单设备性能高、安全性强等特点。注：以下各业务系统资源需求为基本要求，投标人应配置不低于此要求的计算资源，并考虑30%的冗余量，最终各业务系统的资源需求、虚机配置方案等在设计联络阶段经各方协商后确定。ISCSISCS中心级服务器及工作站等采用虚拟机资源池中性能云主机的部署方式。虚拟机资源池需求：中性能云主机形式部署，提供不小于vCPU16核，32GB内存；ISCS车站级服务器及工作站等采用虚拟机资源池中性能云主机的部署方式。虚拟机资源池需求：中性能云主机形式部署，提供不小于vCPU4核，16GB内存；AFCAFC中心级服务器及工作站等采用虚拟机资源池中性能云主机的部署方式。虚拟机资源池需求：中性能云主机形式部署，提供不小于vCPU16核，32GB内存；AFC车站级服务器及工作站等采用虚拟机资源池中性能云主机的部署方式。虚拟机资源池需求：中性能云主机形式部署，提供不小于vCPU4核，16GB内存；PISPIS中心级服务器及工作站等采用虚拟机资源池中性能云主机的部署方式。虚拟机资源池需求：中性能云主机形式部署，提供不小于vCPU16核，32GB内存；PIS车站级服务器及工作站等采用虚拟机资源池中性能云主机的部署方式。虚拟机资源池需求：中性能云主机形式部署，提供不小于vCPU4核，16GB内存；CCTVCCTV中心级服务器及工作站等采用虚拟机资源池中性能云主机的部署方式。虚拟机资源池需求：中性能云主机形式部署，提供不小于vCPU8核，16GB内存；CCTV车站级服务器及工作站等采用虚拟机资源池中性能云主机的部署方式。虚拟机资源池需求：中性能云主机形式部署，提供不小于vCPU4核，16GB内存；安防安防系统中心级服务器及工作站等采用虚拟机资源池中性能云主机的部署方式。虚拟机资源池需求：中性能云主机形式部署，提供不小于vCPU16核，32GB内存；安防系统车站级服务器及工作站等采用虚拟机资源池中性能云主机的部署方式。虚拟机资源池需求：中性能云主机形式部署，提供不小于vCPU4核，16GB内存；运营管理和维护管理系统运营管理和维护管理系统中心级服务器及工作站等采用虚拟机资源池中性能云主机的部署方式。虚拟机资源池需求：中性能云主机形式部署，提供不小于vCPU8核，16GB内存；运营管理和维护管理系统车站级服务器及工作站等采用虚拟机资源池中性能云主机的部署方式。虚拟机资源池需求：中性能云主机形式部署，提供不小于vCPU4核，16GB内存；BIM系统BIM数据运算服务器采用虚拟机资源池中性能云主机的部署方式。虚拟机资源池需求：中性能云主机形式部署，提供不小于vCPU4核，32GB内存；BIM数据管理服务器采用虚拟机资源池中性能云主机的部署方式。虚拟机资源池需求：中性能云主机形式部署，提供不小于vCPU8核，16GB内存；列车自动驾驶（ATS）系统列车自动驾驶（ATS）中心级服务器及工作站等采用虚拟机资源池中性能云主机的部署方式。虚拟机资源池需求：中性能云主机形式部署，提供不小于vCPU8核，16GB内存；具体四号线二期VPC及VDC资源分配方案可参考附件内容。云平台系统设备云平台中心系统应配置数据传输速率在10000Mbps的冗余、相互独立的云平台核心交换机。应符合IEEE802.3、IEEE802.3u、IEEE802.3ab及IEEE802.3ae的规定。云平台中心系统与传输网络之间通过冗余10000Mbps光纤以太网接口相连。云平台核心交换机控制中心设备机房设置冗余的云平台核心交换机，该交换机与分别通过10G光纤以太网接口连接云平台万兆接入交换机等，通过10000M光纤以太网接口连接传输设备，通过1000M以太网电口连接云平台千兆接入交换机（用于接入终端）。云平台万兆接入交换机控制中心设备机房设置冗余的云平台核心交换机，该交换机与分别通过10G光纤以太网接口连接云平台万兆接入交换机，通过1000M以太网电口连接云平台千兆接入交换机（用于接入终端）。云平台千兆接入交换机网管室及调度大厅设置冗余的千兆接入交换机，分别连接操作终端设备、网络打印机等；该交换机与云平台核心交换机通过1000M以太网电口相连。服务器群服务器群应配置集群软件、虚拟化软件、关系型数据库管理系统，用来管理数据。服务器群应通过云平台接入交换机冗余的10000Mbps以太网接口与云平台核心交换机连接。操作终端设备云平台中心系统应提供下列操作终端：云平台云管配置终端；云平台网络管理终端；云平台设备管理终端；云平台培训管理终端；云平台软件测试终端；上述任何1套操作终端设备均应能实现中心的全部功能，并可根据不同的用户权限激活相应的HMI。操作终端设备的HMI应是友好的、易于操作的。打印机中心系统应配置下列打印机：彩色激光网络打印机，用于图形与事件打印；黑白激光网络打印机，用于报表打印。投标人应结合四号线二期运营的功能需求，针对四号线二期系统方案，给出系统的详细数据库部署方案，数据流、数据安全策略方案，并需针对以下问题进行详细的说明。中心级系统一台服务器出现故障，多台服务器出现故障时系统任务极限；中心级系统云平台核心交换机、云平台万兆接入交换机、云平台千兆接入交换机出现单点故障时，系统的数据流；中心级系统云平台核心交换机、云平台万兆接入交换机、云平台千兆接入交换机、服务器集群出现交叉多点故障时，系统的数据流；车站级系统后备服务器、各二层或三层现场交换机出现单点故障及交叉故障时，系统的数据流，投标人应详细说明后备服务器恢复后暂存的数据（存在后备服务器内的数据及系统的相关操作日志等）同步方案（数据续传功能）；中心级与车站级系统网络故障时，保障车站级系统独立运行建议方案；网络故障恢复后，车站级系统与中心级系统的数据管理方案（要求对在网络故障期间车站级系统产生的报警，在网络故障恢复后，系统中心级与车站级数据同步时在中心级系统不应触发报警）。车站级系统与基础设备控制器之间网络故障恢复后，车站级（控制中心）系统与基础设备控制器之间的数据管理方案（要求对在网络故障期间基础设备产生的报警，在网络故障恢复后，系统车站级（中心级）数据管理时在车站级（中心级）系统不应触发报警）。为确保系统的稳定运行，系统应有稳定可靠的后备措施及降级措施，按各子系统分列后备措施及降级措施，涉及到的软硬件均应有明确说明，投标人给出专题说明，保证系统的可实施性。平台硬件选型原则系统应是开放、可靠、易扩展的计算机系统；投标人应保证所提供系统的兼容性。系统应能实时地同时更新全系统数据。当故障发生时，故障设备被隔离出系统，整个系统继续保持高效运行。这个原则应适用于任何系统设备，如服务器群、云平台核心交换机、云平台万兆接入交换机、数据存储交换、图像存储交换机、云平台千兆接入交换机、网络安全设备、操作终端设备及现场类设备等。系统应能连续地自动检测系统内的所有硬件和所有软件模块故障。故障单元应被隔离，并且能建立一个新的有效的数据通道，使系统保持不间断工作。不间断工作的含义是，故障切换是无扰动的，切换过程中不应丧失系统监控功能，无误动作，数据记录不应中断和丢失。系统的任何故障、电源故障或者故障切换不应引起被控系统设备的误动作或者切换。在设计HMI时，应采用人机工程学原理，进行显示内容和画面的设计。投标人应承诺保证未来扩容时，系统在线增加任何硬件、软件等，对系统没有任何影响，并应能在线修改数据、创建画面。本节所描述的是系统硬件要求的最低指标，投标人可根据选择的平台设备提出优于本招标文件的技术指标。要求投标人必须对所选择的平台设备对系统的影响（如实时性、可靠性、稳定性、兼容性）负总责，如系统出现实时性、可靠性、稳定性、兼容性等故障原因，招标人有权要求投标人更换或提高投标人所选设备的技术指标要求，投标人必须承诺无偿更换。投标人应确保所提供的硬件系统是当前先进的主流产品。在设备供货时，投标人应承诺提供当时先进的主流产品，而且须经招标人对相关的技术规格进行确认，但不增加任何额外的费用。3.平台硬件选型原则中增加黑体字“投标人需具有城轨云平台业绩（含在建项目），近5年合同总额5000万以上，并提供近5年城轨云平台相关业绩证明材料。具有云软件或容器技术实际承载轨道交通生产业务系统使用的实际案例（含在建项目）”。平台硬件概述投标时，投标人须提供下列相关系统设备技术说明书等相关技术资料供招标人评标参考和确认。系统硬件应包括但不限于下列内容：服务器存储设备云平台核心交换机数据存储交换机图像存储交换机云平台千兆接入交换机云平台万兆接入交换机数据存储交换机网络安全设备操作终端打印机工作台机柜平台服务器群通用要求服务器应采用高性能、高速度和高可靠性的主流服务器。要求避免任何可能的停机和数据的破坏与丢失，并采用最新的服务器技术实现负载均衡。要求主机系统具有很强的容错性。除了对单机的可靠性进行要求外，应使用集群技术、虚拟化技术、热备份技术等最新技术，在出现故障时则由其它服务器接管所有的应用，接管过程自动进行，无须人工干预。系统要求具有SMP的体系结构。服务器配置通用的多用户、多任务64位Unix或Linux或Windows操作系统。系统应具有高度可靠性、开放性，主流网络协议包括TCP/IP、SNMP、NFS等在内的多种网络协议。服务器必须稳定、有效、快速，同时不影响系统的正常运作。服务器应为机架式或刀片式结构，安装于机柜内，同一机柜内的服务器，应共用键盘鼠标显示器。服务器（含软件）要求提供工程期间及质保期内原厂全免费保修服务。投标人投标时，应提供与厂家签定的合同或厂家的服务承诺书等相关文件。中文内码，符合我国关于中文字符集定义的有关国家标准。投标人采用的服务器应符合《计算机通用规范第3部分：服务器》GB/T9813.3-2017、《信息技术8路(含)以上服务器功能基本要求》GB/T34948-2017等国家、行业相关技术标准要求。如外形结构、服务器架构、功能性能、网络接口协议、管理功能、文件运输适应性、电源能力、抗噪音能力、测试、检查等。专用要求服务器的软件不与硬件耦合，配置通用的多用户、多任务64位Unix或Linux或Windows操作系统，优先选用中国境内研发、生产、制造的产品。服务器应包括TCP／IP、SNMP、FTP、NFS等在内的多种网络协议。数据平台服务器管理节点服务器配置及说明CPU两路12核处理器

三级缓存不低于16.5MB内存不低于256GBECCDDR4存储硬盘至少支持12个热插拔硬盘（SATA或SAS接口；两块系统盘，每块磁盘容量不小于600GB；数据盘不少于10块，每块磁盘容量不小于2TB；磁盘转速≥7200rpm,支持RAID5，并可扩展）。网络提供至少2个1000Mbps以太网RJ45接口，不少于3个PCI插槽，四个万兆光接口。（含光模块）高可靠性热插拔冗余电源，热插拔冗余风扇。其他投标产品制造商需提供详细配置清单及产品彩页（需盖制造商鲜章）等材料说明以上各项参数满足情况计算节点服务器配置及说明CPUIntel至强两路20核处理器

三级缓存不低于16.5MB内存不低于256GBECCDDR4存储硬盘至少支持12个热插拔硬盘（SATA或SAS接口；两块系统盘，每块磁盘容量不小于600GB；数据盘不少于10块，每块磁盘容量不小于2TB；磁盘转速≥7200rpm,支持RAID5，并可扩展）。网络提供至少2个1000Mbps以太网RJ45接口，不少于3个PCI插槽，四个万兆光接口。（含光模块）高可靠性热插拔冗余电源，热插拔冗余风扇。其他投标产品制造商需提供详细配置清单及产品彩页（需盖制造商鲜章）等材料说明以上各项参数满足情况存储节点（分布式存储）服务器配置及说明CPU两路12核处理器

三级缓存不低于16.5MB内存不低于256GBECCDDR4存储硬盘至少支持12个热插拔硬盘（SATA或SAS接口；两块系统盘，每块磁盘容量不小于600GB；数据盘不少于10块，每块磁盘容量不小于2TB；磁盘转速≥7200rpm,支持RAID5，并可扩展）。网络提供至少2个1000Mbps以太网RJ45接口，不少于3个PCI插槽，两个万兆光接口。高可靠性热插拔冗余电源，热插拔冗余风扇。其他投标产品制造商需提供详细配置清单及产品彩页（需盖制造商鲜章）等材料说明以上各项参数满足情况存储负载均衡节点服务器配置及说明CPU两路24核处理器

三级缓存35MB内存192GBECCDDR4存储硬盘至少支持12个热插拔硬盘（SSD、SATA或SAS接口、容量不小于1.4T、磁盘转速≥7200rpm，支持RAID5，并可扩展）。网络提供至少2个1000Mbps以太网RJ45接口，不少于3个PCI插槽，四个万兆光接口（含光模块）。高可靠性热插拔冗余电源，热插拔冗余风扇。云平台管理服务器中心云平台云管服务器服务器配置及说明CPU不少于2颗Intel至强可扩展系列处理器，单颗主频不低于2.3GHz，核数不低于16核，三级缓存不低于16.5MB内存512GBECCDDR4存储硬盘至少支持24个热插拔硬盘（SATA或SAS接口,支持RAID5，并可扩展）。本次配置不少于2*600GB10kSAS硬盘，配置RAID卡（不低于2GB缓存)网络提供不少于4个千兆电口，4个万兆光接口。10个PCIe插槽。配置2块单端口16GbpsHBA卡。高可靠性热插拔冗余电源，热插拔冗余风扇。其他投标产品制造商需提供详细配置清单及产品彩页（需盖制造商鲜章）等材料说明以上各项参数满足情况中心云平台SDN管理服务器服务器配置及说明CPU不少于2颗Intel至强可扩展系列处理器，单颗主频不低于2.3GHz，核数不低于16核，三级缓存不低于16.5MB内存256GBECCDDR4存储硬盘至少支持24个热插拔硬盘（SATA或SAS接口,支持RAID5，并可扩展）。本次配置不少于4*600GB10kSAS硬盘，配置RAID卡（不低于2GB缓存)网络提供不少于4个千兆电口，4个万兆光接口。10个PCIe插槽。配置2块单端口16GbpsHBA卡。高可靠性热插拔冗余电源，热插拔冗余风扇。其他投标产品制造商需提供详细配置清单及产品彩页（需盖制造商鲜章）等材料说明以上各项参数满足情况中心云平台运维网管服务器服务器配置及说明CPU不少于2颗Intel至强可扩展系列处理器，单颗主频不低于2.3GHz，核数不低于16核，三级缓存不低于22MB内存256GB（8*32GB）ECCDDR4存储硬盘至少支持12个热插拔硬盘（SATA或SAS接口支持RAID5，并可扩展）。本次配置不少于4*600GB10kSAS硬盘，配置RAID卡（不低于2GB缓存)网络提供不少于4个千兆电口，4个万兆光接口。10个PCIe插槽。配置两块单端口16GbpsHBA卡。高可靠性热插拔冗余电源，热插拔冗余风扇。其他投标产品制造商需提供详细配置清单及产品彩页（需盖制造商鲜章）等材料说明以上各项参数满足情况云平台业务服务器业务虚拟化服务器服务器配置及说明CPU不少于4颗Intel至强可扩展系列处理器，单颗主频不低于2.3GHz，核数不低于20核，三级缓存不低于27.5MB内存512GBECCDDR4存储硬盘至少支持48个热插拔硬盘（SATA或SAS接口,支持RAID5，并可扩展）。本次配置不少于10*2.4TB10kSAS硬盘，配置RAID卡（不低于2GB缓存)网络提供不少于4个千兆电口，4个万兆光接口。10个PCIe插槽。配置2块双端口16GbpsHBA卡。高可靠性热插拔冗余电源，热插拔冗余风扇。其他投标产品制造商需提供详细配置清单及产品彩页（需盖制造商鲜章）等材料说明以上各项参数满足情况裸金属服务器服务器配置及说明CPU不少于2颗Intel至强可扩展系列处理器，单颗主频不低于2.3GHz，核数不低于16核，三级缓存不低于22MB内存128GBECCDDR4存储硬盘至少支持24个热插拔硬盘（SATA或SAS接口,支持RAID5，并可扩展）。本次配置不少于4*600GB10kSAS硬盘，配置RAID卡（不低于2GB缓存)网络提供不少于4个千兆电口，4个万兆光接口。10个PCIe插槽。配置2块单端口16GbpsHBA卡。高可靠性热插拔冗余电源，热插拔冗余风扇。其他投标产品制造商需提供详细配置清单及产品彩页（需盖制造商鲜章）等材料说明以上各项参数满足情况裸金属关键业务服务器服务器配置及说明CPU单台最大可支持8颗处理器，本次配置不少于4颗Intel至强可扩展系列处理器，单颗主频不低于2.3GHz，核数不低于20核，三级缓存不低于27.5MB内存512GBECCDDR4存储硬盘至少支持32个热插拔硬盘（SATA或SAS接口,支持RAID5，并可扩展）。本次配置不少于4*600GB10kSAS硬盘，配置RAID卡（不低于2GB缓存)网络提供不少于4个千兆电口，4个万兆光接口。20个PCIe插槽。配置2块双端口16GbpsHBA卡。高可靠性热插拔冗余电源，热插拔冗余风扇。其他投标产品制造商需提供详细配置清单及产品彩页（需盖制造商鲜章）等材料说明以上各项参数满足情况可视化服务器服务器配置及说明CPUIntel至强两路12核处理器

三级缓存16.5MB或以上内存≥32GBECCDDR4存储硬盘至少支持12个热插拔硬盘（SSD或SAS接口、容量不小于1200GB、磁盘转速≥7200rpm,支持RAID5，并可扩展）。显卡显存容量不低于16GBGDDR5，显存位宽不低于384-bit，显存带宽：288GBps，显示器接口：DP，支持DirectX11，并行处理器核心数量：3072网络提供至少两个千兆光接口。不少于3个PCI插槽。其他投标产品制造商需提供详细配置清单及产品彩页（需盖制造商鲜章）等材料说明以上各项参数满足情况备份设备备份系统功能：一套备份与恢复系统,可以同时支持定时备份保护、持续数据保护、副本数据管理和异地容灾。系统架构：软硬件一体化架构，集备份管理软件，备份服务器和备份存储于一体，无需配置独立备份服务器，无需配置外置备份存储。实配有效容量：要求硬件实配有效可用容量≥80TB。备份软件授权：备份软件采取后端容量许可方式，容量与硬件实配有效容量相同，不限制备份客户端数量、重删、备份恢复功能等。CPU：处理器要求≥2颗。内存：总内存容量要求≥128GB。数据硬盘：要求每节点至少配置1块独立的热备盘；系统盘配置数量不少于2块。网络接口类型：要求实配10GE以太网光接口（含光接口模块）≥2个，GE以太网接口≥2个。数据库及应用保护：支持对Oracle、SQLServer、DB2、MySQL、SAPHANA、Gbase等数据库进行在线备份保护，备份任务配置过程全部图形化操作，无需编写脚本。文件系统备份：支持Windows、Redhat、SuSE、CentOS、Ubuntu、AIX、Solaris、HPUX的文件系统备份恢复。操作系统备份：支持对Windows、Linux操作系统进行在线备份和裸机还原。卷级备份：支持Windows和Linux平台下的文件系统的卷级备份功能，以整卷为单位进行数据备份，提升海量小文件环境下的备份效率。虚拟化备份：支持对VMware、Hyper-V和CAS等主流虚拟化系统的虚拟机备份，无需在需要备份虚拟机内部安装代理。支持虚拟机自动发现，可自动将资源池或集群中新增的虚拟机纳入到备份作业中，按照既有保护策略进行保护，无需人工干预。云平台备份：支持云平台业务备份。重复数据删除：支持源端重删，动态变长重删；支持全局重删。数据安全性：支持对备份数据进行加密传输和存储，支持AES256加密算法。增量备份：支持增量备份、带宽限制：支持本地备份流量控制。远程复制：支持将备份一体机本地备份数据远程复制到异地备份一体机中，支持通过异地的备份一体机恢复数据。支持1对1、1对多、多对1和级联复制等多种远程复制方式，支持重删后复制。用户管理：支持用户和权限管理，支持管理员和操作用户权限分离，支持对不同操作用户分配不同的资源、策略和备份管理权限。统一管理:：可以同时支持定时备份、持续备份、持续复制、副本数据管理，实现统一管理。支持数据备份的集中监控和统一管理，通过单一图形界面实现对备份任务、备份资源、告警信息等的统一管理。可靠性：备份一体机支持自备份，通过自备份数据集可还原历史配置信息，确保备份数据的可恢复性。交换机通用要求应采用适合本项目时间环境、技术成熟的高性能、高可靠性的二、三层以太网交换机。交换机要求提供工程实施期间及质保期内原厂全免费保修服务。投标人投标时，应提供与厂家签定的合同或厂家的服务承诺书等相关文件；交换机采用冗余配置，应具备自动切换功能所选用的交换机应具备二层或三层交换功能和路由功能。交换机应具备虚拟局域网（VLANIEEE802.1Q）、IGMPSnooping组播管理、IEEE802.3x流控制等基本功能，网络管理功能。交换机应SNTP协议，可对整个网络进行时钟同步。交换机应具有QoS功能，通过QoS，利用策略可为应用流分配带宽、优先级及控制网络访问。交换机应能提供标准的SNMP（V1、V2、V3）网络管理功能，配备专业的网络管理软件或定制开发的网管管理软件模块进行网络管理，可对整个网络进行管理、监视、分析、诊断等；交换机的各种速率网口数量应满足系统的要求，并适当留有冗余。交换机的端口必须严格按照交换机端口合计数量进行报价。交换机配置网络管理软件，网络管理软件中文版界面，并且采用通用的B/S或C/S架构。交换机应采用标准机架式安装。交换机应提供冗余的双电源供电和散热风扇。投标人采用的交换机应符合《以太网交换机技术要求》YD/T1099-2013、《数据中心接入以太网交换机设备技术要求》YD/T3096-2016、《信息安全技术交换机安全技术要求》GA/T684-2007、《以太网交换机设备安全技术要求》YD/T1627-2007(2013)、《工业以太网交换机技术规范》GB/T30094-2013《具有路由功能的以太网交换机技术要求》YD/T1255-2013等国家、行业相关技术标准要求。如环境适应性、功能要求、性能要求、电源与接地、散热、包装、贮存、测试等内容不能低于相关技术标准。云平台核心交换机序号功能项参数要求交换机架构要求采用CLOS正交多级交换架构，正交网板设计、主控板、交换网板、业务板完全物理分离，无背板走线，需提供设备制造商公开材料说明投标产品对该设备架构的满足情况并加盖制造商鲜章，本次配置不少于6块独立交换网板主控冗余主控引擎模块≥2，满足1+1冗余；主控槽位为全尺寸设计，与业务卡槽位宽度相同的全宽槽位，提供更好的扩展性和可靠性，需提供产品实物正反面图片说明满足情况。交换性能交换容量≥380Tbps；包转发率≥230000M业务槽位≥8配置要求配置不少于2块36端口40G以太网光接口模块；不少于2块48端口万兆以太网光接口模块。配置不少于36个原厂40G多模光模块，不少于40个原厂万兆多模光模块。电源风扇、电源必须冗余配置，实际配置不少于4个交流电源模块；堆叠必须支持堆叠（含对应堆叠线缆）路由协议路由转发表项≥512K。支持静态路由、RIPv1,RIPv2、OSPFV2组播组播协议必须支持IGMPV1/V2/V3Snooping、IGMPv1/v2/v3，GMRP，PIM-SM、PIM-DM、DVMRP等冗余技术支持STP/RSTP/MSTP、链路聚合、VRRP等VXLAN支持在SDN控制器上通过OpenFlow协议将VXLAN信息下发给转发器，其中CE设备作为转发器；支持在设备上手工配置VXLAN隧道；支持组播overVXLAN支持VXLAN二层交换支持VXLAN路由交换支持VXLAN网关QoS至少具备4个QoS优先级，通过服务质量策略为关键业务和特定应用预留带宽；支持出方向的流量限速功能；提供广播风暴抑制功能MAC≥128K端口汇聚具有端口汇聚功能，可支持不少于4个GE口或4个10GE口捆绑端口镜像支持多组端口镜像其他支出SNMPV1,V2,V3,SNMPTrap,syslog,SNTP,CLI,HTTP,FTP等安装标准19寸机柜安装工作电压220VAC云平台万兆接入交换机序号功能项参数要求交换容量≥4.8Tbps转发性能≥2000Mpps端口10GE光口端口数量≥48个；QSFP28口≥6个；配置不少于40个原厂万兆多模光模块，不少于2个原厂QSFP+多模光模块风扇支持N+M冗余，本次要求实配不少于5个冗余风扇，提升设备可靠性，投标人需提供详细配置清单说明满足情况电源电源必须冗余配置堆叠必须支持堆叠（含对应堆叠线缆）组播组播协议必须支持IGMPV1/V2/V3Snooping、IGMPv1/v2/v3等冗余技术支持STP/RSTP/MSTP、链路聚合等VXLAN支持VxLAN二层和三层网关QoS至少具备4个QoS优先级，通过服务质量策略为关键业务和特定应用预留带宽MAC≥16000端口汇聚具有端口汇聚功能，可支持不少于4个GE口或4个10GE口捆绑；支持跨模块的端口聚合，最大聚合组数不小于8组；端口镜像支持多组端口镜像其他支出SNMPV1,V2,V3,SNMPTrap,syslog,SNTP,CLI,HTTP,FTP等安装标准19寸机柜安装工作电压220VAC云平台千兆接入交换机每套交换机应该提供至少至少配置24个100Mbps的RJ45电口，至少6个1G/10GBase-XSFP+端口。序号功能项参数要求交换容量≥2.4Tbps转发性能≥450Mpps端口至少配置24个1000Mbps的RJ45电口，至少6个1G/10GBase-XSFP+端口，配置两个原厂万兆多模光模块电源电源必须冗余配置路由协议支持静态路由、RIPv1,RIPv2、OSPFV2组播组播协议必须支持IGMPV1/V2/V3Snooping、IGMPv1/v2/v3，GMRP，等冗余技术支持STP/RSTP/MSTP、链路聚合等VLAN协议支持802.1QQoS至少具备4个QoS优先级，通过服务质量策略为关键业务和特定应用预留带宽；支持出方向的流量限速功能；提供广播风暴抑制功能MAC≥4K端口汇聚具有端口汇聚功能，可支持不少于4个GE口或4个10GE口捆绑端口镜像支持多组端口镜像其他支出SNMPV1,V2,V3,SNMPTrap,syslog,SNTP,CLI,HTTP,FTP等安装标准19寸机柜安装工作电压220VAC运维维护网核心交换机序号功能项参数要求交换机架构要求采用CLOS正交多级交换架构，正交网板设计、主控板、交换网板、业务板完全物理分离，无背板走线，需提供设备制造商公开材料说明投标产品对该设备架构的满足情况并加盖制造商鲜章，本次配置不少于4块独立交换网板主控冗余主控引擎模块≥2，满足1+1冗余交换性能交换容量>=50Tbps、包转发率>=7600Mpps业务槽位≥8配置要求配置不少于96端口GE以太网电接口；不少于40端口千兆以太网光接口；不少于56端口万兆以太网光接口。不少于40个原厂千兆多模光模块；不少于40个原厂万兆多模光模块。电源风扇、电源必须冗余配置堆叠必须支持堆叠（含对应堆叠线缆）路由协议路由转发表项≥512K。支持静态路由、RIPv1,RIPv2、OSPFV2组播组播协议必须支持IGMPV1/V2/V3Snooping、IGMPv1/v2/v3，GMRP，PIM-SM、PIM-DM、DVMRP等冗余技术支持STP/RSTP/MSTP、链路聚合、VRRP等VXLAN支持在SDN控制器上通过OpenFlow协议将VXLAN信息下发给转发器，其中CE设备作为转发器；支持在设备上手工配置VXLAN隧道；支持组播overVXLAN支持VXLAN二层交换支持VXLAN路由交换支持VXLAN网关QoS至少具备4个QoS优先级，通过服务质量策略为关键业务和特定应用预留带宽；支持出方向的流量限速功能；提供广播风暴抑制功能MAC≥128K端口汇聚具有端口汇聚功能，可支持不少于4个GE口或4个10GE口捆绑端口镜像支持多组端口镜像其他支出SNMPV1,V2,V3,SNMPTrap,syslog,SNTP,CLI,HTTP,FTP等安装标准19寸机柜安装工作电压220VAC车站级云平台接入交换机序号功能项参数要求交换机架构要求采用CLOS正交多级交换架构，正交网板设计、主控板、交换网板、业务板完全物理分离，无背板走线，需提供设备制造商公开材料说明投标产品对该设备架构的满足情况并加盖制造商鲜章，本次配置不少于1块独立交换网板主控冗余主控引擎模块≥2，满足1+1冗余交换性能交换容量>=30Tbps、包转发率>=5000Mpps业务槽位≥6配置要求配置不少于48端口GE以太网电接口；不少于40端口千兆以太网光接口；不少于8端口万兆以太网光接口。不少于20个原厂千兆多模光模块；不少于8个原厂万兆多模光模块。电源风扇、电源必须冗余配置堆叠必须支持堆叠（含对应堆叠线缆）路由协议路由转发表项≥512K。支持静态路由、RIPv1,RIPv2、OSPFV2组播组播协议必须支持IGMPV1/V2/V3Snooping、IGMPv1/v2/v3，GMRP，PIM-SM、PIM-DM、DVMRP等冗余技术支持STP/RSTP/MSTP、链路聚合、VRRP等VXLAN支持VXLAN二层交换支持VXLAN路由交换支持VXLAN网关QoS至少具备4个QoS优先级，通过服务质量策略为关键业务和特定应用预留带宽；支持出方向的流量限速功能；提供广播风暴抑制功能MAC≥128K端口汇聚具有端口汇聚功能，可支持不少于4个GE口或4个10GE口捆绑端口镜像支持多组端口镜像其他支出SNMPV1,V2,V3,SNMPTrap,syslog,SNTP,CLI,HTTP,FTP等安装标准19寸机柜安装工作电压220VAC数据存储交换机每套交换机应该提供至少48个光插槽口，插槽支持多种模式接口（光口数量及型号参数以系统实际需求为准），端口最大速率至少16Gbps,介质支持SFP+、LC接头、短波（SWL）、长波（LWL）、超长波（ELWL）。序号功能项参数要求1端口数支持48个光插槽口，插槽支持多种模式接口（光口数量及型号参数以系统实际需求为准）2端口类型E_Port、F_Port、M_Port、U_Port等3端口速率最大速率至少16Gbit/sec4电源电源必须冗余配置5最大延时本地交换端口延时小于700ns6总带宽≥384Gbps（全双工）7介质类型SFP、SFP+、LC接头、短波(SWL)、长波(LWL)、超长波(ELWL)8最大帧大小至少2112字节净负荷9其他支出SNMPV1,V2,V3,SNMPTrap,syslog,SNTP,CLI,HTTP,FTP等10安装标准19寸机柜安装11工作电压220VAC车站级后备服务器通用要求车站级后备服务器作为系统的核心降级设备，集中实现对全站区域内各系统在与中心网络故障的情况下，实现必须要系统的降级功能，如AFC系统等，应满足现场接入层设备的电气接口和通信接口要求，各功能单元应相互独立，并满足故障隔离要求。具有独立的处理能力，即当脱离中心时，应能独立运行，满足应急操作的需求。应含多场景部署与应用能力。结构要求框架结构：机柜式设计，模块化、可扩展，且可根据现场需求灵活配置；性能要求计算性能：2颗可扩展系列处理器，单颗主频不低于2.5GHz，核数不低于16核，三级缓存不低于16.5MB，内存≥128GB,采用DDR4内存，可接入内存数量≥24条，内存可扩展≥3.0TB，并且应具备ECC功能；须预留SATA3.0接口；数据接入：具备1000M光口≥4个，1000M以太网电接口≥4个且可扩展；硬盘：配置≥3块2.4TB10kSAS硬盘；操作系统：支持Linux和Windows系统；电源模块：采用双AC220V电源供电（AC100-240V输入），两路电源相互冗余。EMC要求电磁抗干扰度应满足中国国家标准GB/T17626或IEC61000-4-3等的要求。电磁发射指标应满足IEC61000-3-2的要求。设备整机应满足以下的静电放电抗扰能力或证明已提供优良的接地保护设备免因静电放电而损坏设备或影响设备性能。GB/T17626.2或IEC61000-4-2电磁兼容-试验测量技术－静电放电抗扰度试验电源接口设备应满足以下对电源的干扰限值及抗干扰要求。GB/T17626.5或IEC61000-4-5电磁兼容-试验测量技术-浪涌（冲击）抗扰度试验GB/T17626.11或IEC61000-4-11电磁兼容-试验测量技术-电压暂降、短时中断和电压变化的抗扰度试验GB17625.1或IEC61000–3–2低压电气及电子设备发出的谐波电流限值（设备每相输入电流≤16A）平台网络安全设备本系统信息安全等级应遵循《信息安全技术信息系统安全等级保护基本要求》（GBT22239-2019）三级要求执行。投标人根据所选设备情况按照下属要求提供详细配置方案。系统设备安全、软件安全、网络安全、数据安全等方面安全保护等级应不低于《计算机信息系统安全保护等级划分准则》（GB17859-1999）中第三级即安全标记保护级的要求，遵照《信息安全技术网络安全等级保护安全设计技术要求》（GB/T25070-2019）进行安全系统深化设计，具体技术要求详见《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2019）中所规定的第三级安全要求（包含安全通用要求及云计算安全扩展要求）。并参照《信息安全技术网络基础安全技术要求》（GB/T20270-2006）、《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）、《信息安全技术操作系统安全技术要求》（GB/T20272-2019）、《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2019）、《信息安全技术服务器技术要求》（GB/T21028-2007）、《信息安全技术终端计算机通用安全技术要求与测试评价方法》（GB/T29240-2012）等技术标准同步建设符合该等级要求的信息安全设施。所采取的安全防护软、硬件设施需满足公安部安全产品资质认证条件并具备销售许可证。云平台安全保护应满足以下要求：云平台安全体系整体按安全等级保护三级标准建设，投标人应提供等级保护三级标准的云平台安全解决方案并无偿配合云平台承载的业务系统整体达到等保要求。云平台信息安全基于《信息安全技术网络安全等级保护基本要求》GB/T22239，在物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理等方面采取必要的措施以使生产业务云平台达到信息安全等级保护三级的要求，应具备对已知、未知恶意代码、病毒的入侵、黑客入侵防护的能力，能够对网络流量、网络行为进行分析，实现对网络攻击特别是未知的新型网络攻击的检测和分析，满足网络数据审计功能要求。投标人应承诺提供的生产业务云平台在第三方评测机构进行国家信息安全等级保护三级的符合性评测中应能达到基本符合及以上的评测结果。如在通过测评过程中需增加硬件、软件设备以及对生产业务云平台本身的应用软件、操作系统的配置进行修改均包含在本次投标报价中，不应增加额外的费用。投标报价中应包含本次招标范围各线路开通及开通后两年内每年的等保咨询、制度梳理、测评、整改的费用。并应与招标人配合，提供满足信息安全三级所需的安全管理制度、人员管理制度、各种管理规范的编制。信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段，投标人须提供完整的等保咨询及测评服务，以确保本项目通过政府部门的验收并取得等保三级认证，具体咨询及测评包括但不限于以下内容：等保咨询：定级咨询、安全评估、等保差距分析、安全整改及培训。等保测评：测评准备、方案编制、现场测评、分析及报告编制。投标人在投标文件中应提供整套信息安全及网络管理系统完整软、硬件配置方案，系统配置应满足本系统网络信息安全三级的需求，请投标人结合投标产品特点（如投标人投标产品与以下要求功能一致，名称有差异，应进行必要说明），细化设备开项清单，相关费用均包含在投标总价中。信息安全设备厂商应是发展稳健、专业的安全公司，具备为重庆地铁四号线二期云平台持续服务的能力。应保证各种网络资源的稳定可靠、合法使用。应保证所有网络信息的机密、完整、可用。应至少采用入侵防御、访问控制、防火墙、病毒防护等安全性措施以防止或阻止非授权的访问或活动。线路数据汇聚节点应设置安全性措施。系统网络拓扑、硬件设备及路由策略须充分考虑安全需要，具备网络传输保护、访问控制、数据加密、安全隔离、病毒防护、安全审计、入侵防御、系统漏洞分析、重要数据备份功能。应根据四号线二期云平台、各线路业务系统等各系统的重要性和业务需求，制定相应的安全隔离规则。各线路之间网络不允许出现非本线路所属的IP地址段地址出现。投标人应制定并实施完善的安全机制，保证本工程网络稳定可靠。安全机制包括但不限于：安全体系需要制定整套安全策略物理安全策略：确定各种设备防盗、物理访问、保护等方面的规定和措施，也包括避免对乘客的伤害和避免设备的损毁访问控制策略：规定内网与外网（地铁公网、社会公网等）、内网各网段之间的访问规定和策略要求安全检测策略审计与监控策略网络反病毒策略备份与灾难恢复策略等保护局域网环境建立用户终端、服务器和应用系统的保护机制，防止拒绝服务、数据未授权泄露和数据更改保护操作系统保护数据库身份认证建立入侵防御体系建立病毒防范体系准备足够的防止内、外人员进行违规操作和攻击破坏的能力等保护网络和通信基础设施保证基础设施所支持的关键任务，防止受到拒绝服务的攻击防止受到保护的信息在发送过程中时延、误传或未发送保护各种用户数据流识别和定位非法设备和其他干扰源保护网络基础设施控制信息等保护边界建立网络级物理隔离体系建立系统防火墙体系建立网络级的入侵防御系统建立远程访问安全系统，以保护系统边界远程访问的安全确保本系统与其他系统的接口安全建立基于网络的防病毒系统建立漏洞扫描系统等支撑性安全基础设施密钥管理系统安全管理系统（对安全设备进行远程自助管理）应急响应体系等通用软件模块网络安全设备统一安全管理和统一运维，平台管理范围管理范围包括但不限于网络安全设备、网络设备、数据库、中间件、应用系统等，支持的数据采集方式包括但不限于SYSLOG、SNMP/SNMPTRAP、FTP/SFTP、HTTP、API接口、WebService等多种方式，采集日志等。安全管理软件模块通过被动方式采集用户网络中海量数据信息，并进行管理、配置和运维，对整个网络中每个可部署节点进行策略配置下发、网络流量分析，对各设备进行集中化策略配置下发、存储、备份、查询、审计、告警、响应，给出报表报告，实时掌握网络情况，出现问题及时定位问题发生位置和原因，能迅速掌控系统控制网络整体的安全状态，实现全生命周期的日志管理。为保证服务能力，要求制造商在具有安全专家，制造商专家需在紧急情况下4小时到现场，专家需同时具备CISSP（(ISC)²注册信息系统安全专家）、CISA（国际信息系统审计师）、Cobit（信息及相关技术的控制目标认证）、CISAW（信息安全保障人员认证风险管理方向）、ISO27001Foundation（信息安全管理体系基础认证）及CCSP（(ISC)²注册云安全专家）证书，投标时需提供证书复印件。部署方式软件形态，支持部署在VMware，KVM，XEN等主流的虚拟化平台中。管理方式：本地管理方式、远程管理方式；统一管理安全设备，包括但不限于防火墙、网络审计设备、主机安全防护软件、集中收集日志统一分析。告警管理软件模块监控总览界面，包括事件数量和安全设备连接状态，事件实时监控，事件关联分析功能，应具备分析事件的起源设备、目标设备、及其所经过的保护设备，匹配的规则、关联的其他事件等综合分析能力；设备实时监控，须对安全设备、工控设备和网络设备的实时监控功能；对系统内未知设备接入进行实时告警，迅速发现系统中存在的非法接入；对违法使用USB存储设备进行报警；做到弹框告警。设备管理软件模块提供告警统一展示界面，告警显示内容至少包括：事件类型、事件名称、事件级别、源IP地址、源端口、源IP资产名称、目的IP地址等；告警状态、阈值设定；支持可配置的告警触发规则，如声音、短信、邮件等多种方式。能够按照多种维度统计日志信息，支持统计分析报表与多种文件格式导出。策略管理软件模块自学习创建白名单规则，学习时间可分配；以单个设备和多个设备为单位进行策略管理，包括策略配置，设备操作等；对告警事件，加入基线，后续将不再产生同类的告警。拓扑管理软件模块在拓扑图上查看安全设备状态；将安全设备、工控设备和网络设备绘制为实际网络拓扑图的功能。网络审计软件模块提供实时流量审计功能，包括但不限于流量总览、安全设备流量、工控设备流量和协议审计；安全设备流量审计；协议审计，须对源目的MAC、源目的IP、协议类型、源目的端口的审计。运维管理软件模块管理平台与被管理设备之间采用私有协议传输；远程登陆IP限制功能，仅允许特定的IP可以登陆平台；具有报表输出与下载功能。中心级安全资源池核心防火墙1.用于生产业务网、内部管理网安全资源池。2.下一代防火墙设备，配置3年IPS、AV防病毒、应用识别特征库升级、URL特征库升级授权。硬件需求机架式设备，包含入侵防护、URL过滤、防病毒、内容过滤模块，支持链路均衡负载，中心防火墙应支持负载均衡功能，具备至少2个万兆多模光口，4个GE电口，4个千兆多模光口，2个独立GE管理口，具备不少于4个万兆光口或16个千兆接口的扩展能力；性能要求网络层吞吐量≥20Gbps，应用层吞吐量≥10Gbps，最大并发≥400万，每秒新建会话数≥15万；管理方式支持统一集中管理和设备单独管理；通过管理平台实现安全产品的自动升级。协议支持虚拟线、二层透明、路由、混合、旁路接入方式，支持802.3ad协议，支持汇聚接口，能够手动绑定接口；支持对二层协议进行访问控制，针对PPP、QinQ、MPLS等协议进行屏蔽；能够在一条策略里配置源/目的IP地址、安全区、应用/应用组、协议/端口、时间、用户、安全模板/模板组；实时监控事件实时监控并导出功能；事件关联分析功能；日志监控功能；安全策略手动配置基于源IP，源MAC，目的IP，目的MAC，协议（TCP/IP）访问控制规则；基于白名单的访问控制策略。运维管理报表输出与下载功能，用户通过报表可查看事件、日志和审计的统计数据。入侵防御支持口令暴力破解、僵尸网络、恶意软件、服务器与终端漏洞攻击等检测和防护，支持超过7000种特征规则；支持检测功能。工控主机软件性能要求系统开机时间的延迟小；对系统内存的占用小；满足对操作系统启动以及大型应用程序启动期间，对CPU占用小。部署方式网络和单机部署方式；软件形态部署；32bit/64bit的Windows各类型常用操作系统；Unix或Linux操作系统。安全防护能够监控运行进程的数量、每个进程启停次数及时间。用户可以设置可信进程名单，在可信进程停止或不可信进程启动时发出告警。用户可以设置可信进程白名单并开启进程拦截，当不可信进程启动时进行拦截，阻止非法进程的启动。USB设备防护能够监控连接USB口的设备名称、设备类型，在USB设备插入或拔出系统时产生告警。可以根据用户设置，禁止鼠标、键盘以外的USB存储设备插入系统，或者限定除指定的USB存储设备外禁止其他的USB存储设备插入系统。支持USB光驱和USB磁盘设备的独立控制；支持对安卓、苹果等智能移动设备的管控；支持对软驱、光驱、串口、红外、蓝牙等外设的管控。主机加固对特定安装目录的文件进行完整性保护，防止恶意程序篡改或误操作对目标文件进行修改或删除；支持对特定注册表进行防篡改保护；支持对关键业务进程进行防杀保护；支持对操作系统的审核策略、安全选项等进行统一的设置。审计日志对非白名单文件的执行记录告警日志；对非安全U盘的违规使用记录日志并告警；对安全事件的记录功能，记录与安全相关的告警和阻断事件，内容包括时间、事件类型、响应方式和执行对象的全路径等信息；对日志记录进行条件查询；对日志进行备份与还原，对过大量日志数据进行自动备份；实时报警功能，告警方式至少包括桌面提示框；统一管理平台进行报警信息集中管理，对日志进行数据分析处理。自身保护白名单数据库防破解、防篡改；自身进程不能被恶意结束；自身安装目录，注册表项完整性检查。身份鉴别支持一个硬件USBKey设备仅能与操作系统内的一个用户关联，且只有关联的用户才允许登录操作系统；支持USBKey设备+密码口令的方式对系统用户进行身份鉴别。入侵检测系统入侵防护要求支持基于IP碎片重组、TCP流重组、会话状态跟踪、应用层协议解码等数据流处理方式的攻击识别；支持模式匹配、异常检测、统计分析。内置IPS特征库，特征库数量不少于3000条，支持检测库11000+，兼容CVE/CNCVE,支持事件集自定义自动和手动两种更新，支持应急事件及时更新。病毒防护要求支持HTTP，FTP，POP3，SMTP协议的病毒查杀、病毒库自动更新。支持400万余种病毒的查杀，病毒库支持在线或者离线升级。攻击防护要求支持IPv4/6抗应用型DOS攻击检测，如HTTPFlood、DNSqueryflood等攻击检测;支持抗流量型攻击检测，如synflood、udpflood、icmpflood，tcpflood等攻击检测。漏洞扫描系统工控漏洞检测能力支持检测SCADA、DCS、PLC等控制系统存在的安全风险，工控漏洞知识库所有的检测脚本都能够在产品中随机进行浏览和多维度检索；工控漏洞知识库兼容CVE、CNCVE、CNNVD、CNVD、CVSS、Bugtraq等主流标准；支持远程、非接触式为工业控制系统进行安全漏洞检测。包括西门子SIMATIC、施耐德Schneider、通用电气GE、艾默生Emerson、研华等工控设备。传统漏洞检测能力支持传统扫描对象，内置不同的漏洞模板，可针对Unix、Windows操作系统、网络设备和防火墙等常见网元设备进行扫描，同时支持用户自定义扫描范围和扫描策略；支持自动模板匹配技术，系统漏洞知识库的检测脚本大于70000多条，所有的检测脚本都能够在产品中随机进行浏览和多维度检索。兼容CVE、CNCVE、CNNVD、CNVD、Bugtraq等主流标准。监测与审计平台硬件需求机架式设备，具备交流冗余电源模块，1个RJ45串口，1个GE管理口，6个GE电口，不少于14个千兆接口的扩展能力；网络审计，数据库审计功能。性能要求满配策略下数据包时延≤60us；报文记录的时间与探知到报文的时间差异≤1ms；并发连接数≥120000；用户数无限制；告警记录存储数量不低于1000万条/月。部署方式旁路方式部署；分布式部署，统一管理的方式。协议通信记录支持对监测到的数据进行实时分析，显示源IP地址、源MAC地址、源端口、目的IP地址、目的MAC地址、目的端口、抓取时间、协议类型及对其搜索，支持协议要包含HTTP、FTP、POP3、SMTP、TELNET、SNMP、OPCClassic、OPCUA、ModbusTCP/UDP、SiemensS7、Ethernet/IP(CIP)、IEC104、DNP3、MMS、Profinet、PNRTDCP、GOOSE、SV、ENIPUDP、BacNet、853、OmronFins、SCNet、SONet、TRDP等。支持对opcda、iec104等工控协议的无流量监控，并支持无流量认定时长的设置。支持无流量监控行为告警记录。支持对opcda、iec104等工控协议的无流量监控，并支持无流量认定时长的设置。支持无流量监控行为告警记录。网络审计网络行为审计要求支持HTTP网页浏览及关键字搜索审计、电子邮件审计、移动应用审计、基于论坛主题、发帖内容的关键字审计功能、即时聊天工具审计、文件传输审计、TELNET、FTP等网络行为的综合安全审计。数据库审计数据库审计要求支持同时审计多种数据库及跨多种数据库平台操作，包括ORACLE、SQLServer、MYSQL、DB2、Sybase、Informix、Postgresql等各类主流数据库系统；支持实时审计用户对数据库系统所有操作；支持分析、提取SQL语句中绑定变量，并可完全监测还原SQL操作语句包括源IP地址、目的IP地址、访问时间、MAC地址、数据库用户名、客户端类型、数据库操作类型、数据库表名、字段名等。流量审计支持流量审计：支持基于时间、协议、IP地址等组合流量审计策略。支持统计各种应用协议的总流量、上下行流量及TOP10排名；针对协议TOP10排名，可查看使用当前协议的IP及其流量。支持统计各IP的总流量、上下行流量及TOP10排名；针对IPTOP10排名，可查看当前IP使用的协议及其流量。正常通信行为建模基于工控协议通信记录，自学习建立工控通信模型白名单；不少于5种工控协议的深度解析；至少但不限于包括OPCDA、HAD、A&E、DX模式，OPC动态端口跟踪，ModbusTCP、ProfibusS7、DNP3、IEC104等；管理员对建立的工控通信模型白名单进行人工调校；对当前通信行为与白名单进行对比，对偏离白名单的行为进行告警。事件告警管理对工控协议报文不符合其规约规定的格式进行检测并告警；对MODBUSTCP协议的值域控制，通过设置过程状态参数、控制信号的检测阈值，对超阈值的事件进行告警；关键服务中断检测，在设定的时间内，单IP某服务的接收报文为零时进行告警；允许管理员自定义工控协议通信告警规则，对符合告警规则的通信行为进行告警。运维管理平台硬件需求配置至少4个1000M速率RJ45业务端口；配置1个RJ45Console管理端口；专用千兆多核硬件平台和安全操作系统，双机热备。性能要求字符并发会话数不低于300，图形并发会话数不低于180，不低于2T的SATA硬盘，标配100台设备管理授权，具备扩展能力。部署方式物理旁路，逻辑串联方式部署。系统状态显示系统使用状态，可展示当前CPU使用率、内存使用率、磁盘使用率；登录审计，可展示登录次数、运维次数，可按照最近一个月和最近七天条件进行查询，并区分近期运维状况；展示资源总数，并按照资源类型进行区分各类型资源数量，区分各类资源占比情况。用户管理应增加、删除、修改、查询包含不限于用户姓名、登录名称、用户密码、角色选择、用户分组、认证方式、用户状态、密码期限、允许策略、禁止策略、密码策略、锁定策略等；应多种用户身份认证方式，包括但不限于密码认证、动态令牌、Radius认证、谷歌动态令牌等；应用户以及其相关信息的模糊查询和详细查询；应批量导入、导出用户信息；应三权分立。认证方式主帐号登录平台应支持本地静态密码认证、LDAP认证、RADIUS认证、证书认证等身份认证方式；用户登陆平台支持MAC绑定，非法地址无法登陆系统；平台访问自身的ACL限制，支持配置可访问的IP范围；支持第三方认证厂商。资源管理应添加Windows、Linux、Unix、数据库、网络设备、Web应用等资源；应指定IP或IP段进行资产在线、离线扫描；应扫描内容包括但不限于资产类型、资产IP、资产开放端口、资产MAC地址、资产端口对应于服务等；应将扫描后在线资产进行选择或全选进行一次性导入到现有资产中，并根据设备IP地址等信息命名资产名称。策略管理应展示黑名单、白名单、密码策略、账户锁定策略等策略使用情况；应黑、白名单控制，可根据黑白名单的命令集限制用户的操作权限、操作指令、访问时间、访问地址等。授权管理对特定命令的执行需要更高级管理员授权才能执行；应按用户组、资源组方式进行增加、删除、修改、查询、锁定、激活授权规则等授权访问；授权管理新增授权统计页面，包含授权关系图、用户和资源Top10排行榜(授权资源/用户最多的)。登录管理密码代填和统一单点登录，运维人员不必知道目标设备帐号及密码，无需进行二次登录认证，实现单点登录；运维会话闲置超时将进行自动检测，当会话闲置时长超过阈值时将应自动切断会话。协议字符型远程操作协议：SSH(V1、V2)、TELNET：web浏览器登录堡垒机，通过web调用securCRT/putty方式或第三方登录目标设备，通过第三方客户端secureCRT、putty登录堡垒机后登录目标设备。图形化远程操作协议：RDP、VNC、X11，其文件共享；可RDP、VNC的客户端直接访问堡垒机；可以通过web浏览器登录堡垒机，调用远程桌面登录目标设备，通过第三方客户端mstsc登录堡垒机后选择目标设备登录。HTTP、HTTPS操作审计，HTTP/HTTPS协议可以直接代理：web浏览器登录堡垒机，通过web方式访问目标页面，目标web若以表单方式提交帐号密码时，可通过配置实现堡垒机代填帐号密码。提供配置截图证明。密钥登录模式：通过堡垒机生成密钥，下载后放置服务器内，实现单点直接输入账号即可登录操作；文件传输协议：FTP、SFTP；可FTP客户端Wincp直接访问堡垒机。安全审计Telnet、SSH审计内容：包括访问起始和终止时间、用户名、用户IP地址、目标设备IP、设备名称、协议类型、事件等级及操作内容回放；RDP、VNC、HTTP、HTTPS等协议审计内容：包括访问起始和终止时间、用户名、用户IP地址、目标设备IP、设备名称、协议/应用类型、事件等级、操作内容等；操作内容录像回放；数据库运维操作审计内容：包括访问起始和终止时间、用户名、用户IP地址、目标设备IP、设备名称、应用类型、事件等级、操作内容等；操作内容录像回放；文件传输（FTP、SFTP等）审计内容：包括访问起始和终止时间、用户名、用户IP地址、目标