智慧校园建设方案

智慧校园建设方案2(一)项目清单序号名称单位数量1一体化机柜套12电池套13触摸一体机台14配套项项15超融合系统套16万兆交换机台27防火墙台18上网行为管理台19安全感知管理平台台1日志审计系统台1堡垒机台1容灾备份系统台1核心交换机台1网盘套1教学资源平台套1集成服务项13(二)建设内容序号名称指标项技术参数单位数量1体化机柜总体要求五连机柜；融合柜体模块：全封闭，前门中空钢化玻璃门，柜内设冷热通道气流循环，内置智能应急辅助散热装置，散热装置设有三位大风量轴流风机及密封自垂百叶装置，感应照明系统以及局部空载密闭组件，支持IT设备分步进场，实现节能；套1空调绿色变频制冷模块：双模块设计，支持最大制冷量8kW;配电模块最大支持30KVA/27kW不间断模块；智能配电模块：柜内基础设施市电、不间断电源分配；为IT设备提供两智能管理模块7英寸智能触摸屏实现柜内环境、基础设施设备本地化管理，柜内气体消防；4套24位网络配线架，一套96位ODF架；散力架底座；4整机检测整机及配件静电放电抗扰度均达到测试等级B级以上；整体电能使用效率(EEUE/PUE)要求达到≤1.15。2电池总体要求配备32节铅酸电池，12V,20HR1.75V/C100Ah,含电池柜，连接线等，电池安装在一楼机房。套13触摸一体机总体要求防护；整机屏幕采用≥70英寸液晶显示器，显示比例16:9;台1OPS模块4配套项要求砌24厘米厚，4.5米长，3.2米高隔墙，刷白处理；600*600mm铝板吊顶，至少安装6个80WLED平板灯；16cm高，600*600*35mm规格瓷砖面防静电地板；1套1400*2000mm防火门；1套人脸门禁系统；1套监控系统含4个400万摄像头和1个8路硬盘录像机(内置8TB企业级硬盘);1批机房总输入电缆；1批电源线、网线及其他辅材。项155超融合系统品牌硬件设备采用X86机架式2U机架式服务器，具备自主产品的研发、生产、售后水平，非OEM产品或联合品牌；套1节点数配置5个服务器节点，软件授权每节点配置≥2颗英特尔至强Silver4314(内核数≥16,基础频率≥2.4GHz,缓存≥24MB)处理器；内存每节点配置≥256GECCDDR4内存；硬盘每节点配置≥6块6TBSATA7.2K硬盘，≥2块1.92TBSSD硬盘，每节点支持配置2块M.2SSD,支持RAID1,可用于安装操作系统，本次配置2块I0扩展支持11个PCIE插槽；支持4个双宽GPU、8个单宽GPU扩展；网卡每节点配置：万兆光纤网络接口≥4个(含多模光模块),千兆网络接口管理平台超融合是软、硬件一体化产品，是一个不可分割的整体，平台软件与底层硬件应属同一品牌；6为方便运维人员操作，提供B/S和C/S两种虚拟机控制台使用方式；支持虚拟机和裸金属服务器统一管理，支持对裸金属服务器远程电源管理、挂载安装ISO镜像等操作，可将虚拟机镜像部署为裸金属服务器操作系统，可查看裸金属服务器电源状态、CPU、内存、硬盘等硬件信息，支持打开裸金属服务器控制台实行运维支持在线跨云迁移功能，在管理界面内将其它站点虚拟机不中断的迁移到超融合平台内，跨云迁移的站点包括但不限于vSphere、投标品牌虚拟化平台等，迁移过程无需手动关机和重启操作；提供云边协同管理功能，支持中心站点分发应用至各个边缘站点，可一键将中心站点已部署配置完毕的应用虚拟机迁移至各边缘站点，支持基于GIS技术的全局站点展示视图，实时查看各站点资源状态。7计算虚拟化计算虚拟化软件同时支持Intel、海光(3000、5000、7000系列)、飞腾(FT2000和S2500)、鲲鹏等CPU架构，提供虚拟化软件与海光、飞腾、鲲鹏CPU或服务器的兼容性认证证支持主流的X86架构的操作系统，包括WindowsServer麟信安、银河麒麟、凝思等主流LinuxOS,同时支持Mac0S/VxWorks/安卓等嵌入式操作系统；支持DPM动态电源调度，支持虚拟机故障HA功能，可配置HA接入控制策略，HA最大尝试次数，且支持HA故障切换主机设置，达到故障隔离的效果，并支持配置虚拟机自启动策略和启动优先级；8支持大内存页和DPDK加速功能，虚拟化界面可配置内存页大小和页数，支持虚拟机NUMA感知功能，保证虚拟机OS的NUMA与主机的NUMA拓扑保持一致，并显示大内存页的使用量和可用支持精细化的虚拟机迁移控制和独享迁移网络，可配置虚拟机迁移速度和虚拟机迁移带宽百分比，可指定专用独享迁移网络，隔离迁移网络流量与管理网流量，保障用户业务正常运支持一键开启和关闭数据中心内、集群内的所有虚拟机，并设置虚拟机跟随主机启动策略以及虚拟机启动优先级策略，方便机房搬迁或关电运维场景使用；存储虚拟化元数据采用分布式保护机制，分布在不同节点，在节点意外掉电、断网、宕机情况下，系统数据不会丢失，不会影响业务系统正常运行，并且不需要额外硬件对内存中元数据提供保9护，产品交付时可接受磁盘(SSD、HDD)、网络、节点故障场景测试；超融合支持外挂集中式存储，可配置对接存储的IP以及端口号，是否启用iSER协议，为保证数据安全，需支持单向和双向验证CHAP身份信息；支持显示SSD物理磁盘磨损度寿命，运维用户可根据提示即时更换硬盘，避免导致系统故障，界面支持点亮/熄灭硬盘指示灯，便于运维人员对指定磁盘实行维护更换；支持自定义存储策略，包括存储精简配置、存储白名单、自定义条带大小和条带数等。存储策略的颗粒度能够具体到存储卷(LUN)、虚拟机磁盘等，支持单虚拟机可配置不同存储策略的虚拟磁盘；支持数据本地化，本地节点上的虚拟机数据访问在本地节点，随着虚拟机的迁移(手动迁移、故障HA迁移等),数据也随VM自动迁移至其他节点；VM虚拟磁盘有一个完整的副本保存有本地节点，从而实现数据本地化访问提升虚拟机性能，所有数据I/0优先访问本地节点并降低虚拟机跨节点数据读写带来的网络负载；网络虚拟化提供全局分布式SDN功能，以避免SDN控制节点故障，提供分布式SDN硬件加速水平，可提供更高转发性能，SDN支持VLAN/VXLAN模式；支持全局分布式SDN智能加速，卸载分布式SDN网络的数据平面到硬件网卡，通过对东西向Overlay网络流量和南北向流量卸载，大幅提升网络转发性能并节省主机资源；同时支持网络sFlow和netFlow功能，配合第三方流量分析工具实行流量监控，支持组播转发、广播抑制、DHCP防护等功能，支持本地端口镜像、本地业务网络镜像、远程端口镜像等多种端口镜像模式，支持分布式DNS服务功能；备份容灾提供无授权限制的备份功能，支持虚拟机全量备份、CBT备份、增量备份，周期性备份，备份策略可细化到分钟级；支持批量备份，可设置备份时限速值，可设置保留最近N次备份点；可选择任意备份文件恢复为原虚拟机或新虚拟机，支持恢复过程中对虚拟机实行配置；提供100个虚拟机CDP持续数据保护功能授权，通过托拽进度条，虚拟机可恢复到任意I/0时刻，交付时提供6万兆交换机包转发率台2交换容量固定端口≥24个1G/10GbpsSFP+端口，≥2个40G/100GQSFP28端口(支持拆分为10G/25G端口使用),本次实配24个万兆多模模块；电源实配可热插拔的冗余电源，实现1:1冗余，支持220V双交流或高压直流240V供电，整机最大功耗≤100W。7防火墙性能要求性能参数：网络层吞吐量≥15G,应用层吞吐量≥6G,并发连接数≥200万，HTTP新建连接数≥9万；台1硬件参数：规格：1U,内存大小≥8G,硬盘容量≥64GSSD,电源：单电源，接口：≥8个千兆电口+2个万兆部署方式支持路由、透明、虚拟网线、旁路镜像、混合等多种部署方式，适合复杂使用环境的接入要求；链路聚合具备链路聚合功能，将2个或者更多物理链路组合成一个更高带宽的逻辑链路接口，提升链路带宽和链路可靠地域访问控制支持基于对象、区域和地域维度设置安全访问控制策略，允许或拒绝特定国家或者地区的对象访问内部网络，保障业务重大时期安全可靠性；应用识别产品内置应用特征识别库，支持很多于9000种应用规则，支持对游戏、P2P下载工具、聊天工具、网上银行、视频软件、股票软件、木马控制软件等类型应用实行检测与控制；防御支持产品支持对ICMP、UDP、DNS、SYN等协议实行DDOS防护，支持IP地址扫描和端口扫描攻击防护；勒索病毒防御支持勒索病毒检测与防御功能，为保障勒索病毒的防御效果入侵防御产品内置IPS检测引擎，支持口令暴力破解、僵尸网络、恶意软件、服务器与终端漏洞攻击等检测和防护，支持超过10000种特征规则；策略生命周期管理支持应用控制策略生命周期管理，包含安全策略的变更时间、变更类型和策略变更用户，并对变更内容记录日志，方便策略的管理和运维；产品及厂商资质为保障单位服务器边界安全，保障产品技术实力，要求所投防火墙类产品的生产厂商参与制定《信息安全技术第二代防火墙安全技术要求》。8上网行为管理性能配置性能参数：网络层吞吐量(大包)≥10G,应用层吞吐量≥1.5G,支持用户数≥6000,每秒新建连接数≥14000,最大并发连接数≥600000;硬件参数：规格：1U,内存大小≥8G,硬盘容量≥64GSSD+960GSSD,电源：单电源，接口：≥6个千兆电口+2个万兆光口；链路负载状态支持查看当前设备的线路状态，线路带宽利用率以及当前策略的引流流量分布和实时的引流策略，支持下钻设置线路流控策略；应用识别规则库支持根据标签选择应用，标签分类至少包含安全风险、高带宽消耗、发送电子邮件、降低工作效率、外发文件泄密风险、主流论坛和微博发帖6大类；认证方式支持哑终端通过MAC认证的方式接入网络，必须支持在终端管理列表批量绑定设备IP/MAC快捷放通入网；终端资产业务支持图形化查看当前内网IP使用情况，协助管理员减少人工维护IP表的工作量；对网络接入的终端实行可视化可视管理管理，展示终端详细信息、异常状态等；支持查看终端类型，以及终端详细信息(厂商，系统，端口等);支持查看终端类型分布；SSL加密审计为确保不会通过SSL加密内容发生通过互联网出口泄密事件，要求设备必须能够识别并过滤SSL加密的钓鱼网站、金融购物网站；识别和审计加密的邮箱(如GMAIL)等；P2P智能流控支持通过抑制P2P的上行流量，来减缓P2P的下行流量，从而解决网络出口在做流控后仍然压力较大的问题；IP管理支持IP管理功能，管理员能够查看每个IP的详细使用情况，协助管理员减少人工维护IP表的工作量；业务审计内容数据中心能够对日志实行大数据分析，并支持多个大数据分析模型，包括泄密分析、校园网贷、上网态势分析、带宽分析、效率分析。9安全性能配置网络层吞吐量≥500Mb,规格：1U,内存≥16Gb,硬盘容量≥128GMSATA+4T台1感知管理平台SATA,单电源，配置6个千兆电口+2个万兆光口SFP+;大屏可视支持大屏展示综合安全态势，包括安全事件态势、横向威胁态势、3D网络攻击态势、外连风险监控、脆弱性态势等；热点事件支持对近期网络安全行业中发生的热点流行事件实行原理介绍及概览展示，通过该功能，快速感知当前网络是否感染热点安全事件；告警中心支持对威胁情报的安全告警做专项性分析，比如通过情报匹配的风险主机分布、威胁趋势分析，将发生的所有安全事件默认按照处置状态，威胁等级，确定性等级，攻击结果、事件类型等维度实行筛选展示，并结合攻击阶段、事件统计和事件趋势等实行统计和显示、可实时监控发生的安全事件；分析中心支持对主流挖矿协议、矿池地址识别检测，挖矿病毒下载行为实行检测，针对主流的挖矿病毒的恶意流量通过智能分析实行聚类并提取相关指纹实行检测支持各大挖矿家族的变种识别；支持检测7类以上常见协议FTP、LADP、mysq1、POP3、SMTP、TELNET、WEB等的弱密码，支持镜像流量检测业务系统中的弱密码，检测列表包含账号、密码、服务器、所属分析和业务、最近登录源IP、类型、最近发现时间等信息，密码星号显示需超级管理员才可查看，并支持储存数据包内容；支持沙盒文件检测，能够对exe可执行文件、dl1应用程序扩展、BAT批处理文件、PDF、office、VB脚本、PHP网页脚本、PY脚本等实行检测；日志存储支持安全检测日志、审计日志存储；日志类型包括漏洞利用攻击、网站攻击、僵尸网络、业务弱点、DOS攻击、邮件POP3、SMTP、IMAP等；主机安全风险报告支持展示需要处理的风险主机与风险状况报告，报告内容包括业务与终端风险、业务风险与终端详情分析，提供危害解释和参考解决方案。10日志审计系统基本要求接收日志性能10000条/秒，每秒接收10000条日志以上；存储日志水平20000条/M(每M空间存储20000条以上日志，压缩存储，压缩比：10:1);台1支持BT级数据交互式多条件查询，上亿级数据查询结果返回延时小于10s;支持百亿级数据交互式多条件查询，百亿级数据查询响应时间小于10s;1U机架式设备；16G内存；250GSSD系统盘；数据存储容量4T;自带7千兆电口(2管理口+4数据口+1BMC口),6USB接口(含2个3.0);250W单电源；含50个日志源授权；产品设计信息安全设备、系统软件的开发、生产符合TL9000-HSV标准；日志收集支持市面主流安全设备、网络设备、中间件、服务器、数据库、操作系统等不少于26类300种日志对象的日志数据日志存储支持根据设备重要水准设置独立设置每个被采集源的数据存储时间为1个月、3个月、6个月和永久保存等参数；日志分析支持日志归一化处理；提供可视化关联分析规则编辑视图，可根据实际业务编辑关联分析规则；日志查询支持按日期和时间过滤显示；支持按照设备类型、日志源实行多组合查询显报表管理支持预定义报表，报表模板>500种；告警响系统支持智能报表创建，每添加一个日志源，系统自动分析日志源类型实行相应报表创建，无需人工干预，报表和资产一一对应；产品及厂家资质证书产品获得中国信息安全认证中心颁发的《IT产品信息安全认证证书》;为便于服务工具的项目实施安装以及服务功能的成功使用，投标人或厂家具有较强信息系统建设及服务水平评估水平，可针对项目实际情况实行安全风险、项目风险、技术风险实行综合评估并给予相对应处理方式及建设水平，至少满足《信息系统建设和服务水平评估体系水平要求》(T/CITIF001-2019)CS4级或更高)。11堡垒机硬件要求产品采用模块化设计，能够通过扩展卡来增减业务接口，而非软件运维安全审计系统；台11U机型，至少提供1个console口，2个USB口；6个千兆电口，2个SFP插单电源；提供50个资源授权；产品设计信息安全设备、系统软件的开发、生产符合TL9000-HSV标准；部署方式物理旁路单臂部署，以逻辑网关方式工作；不改变现有网络结构，不改变运维人员的运维习惯；用户管理完整的用户帐号生命周期管理，实现帐号的创建、维护、修改、删除的集中管理；自定义用户类型，基于针对用户类型实行用户地址策略；资源管理分组能够树形方式体现，不限制分组层级数量；从账号(设备账号)支持从AD域抽取0U,方便快速建立组织结构；定期检查平台存储的设备账号密码与设备实际密码是否匹配，以便进校验密码一致性，提升设备的安全性避免密码混乱无法登陆现象发生；授权管理不限级数的实行分层分级分类管理；认证管理自身提供证书认证服务，也可与第三方CA、动态令牌、生物识别、短信认证等方式实行结合，支持组合认证，提升访问的安全性；安全管理采用动作流方式代填，将单条动作转换为一系列操作并代替人工输入，无需定制即可对各类资源实现代填和审计；审计管理图形资源访问时，支持键盘、剪切板、文件传输记录，并且对图形资源的审计回放时，能够从某个键盘、剪切板、文件传输记录的指定位置开始回放；系统管理支持日志数据的外置存储备份，支持NFS和windows文件共享协议，远程审计存储和本地存储对审计员透明；高可用性支持以Active-Standby方式部署，支持堡垒机集群模式部署；相关认证为便于服务工具的项目实施安装以及服务功能的成功使用，投标人或厂家具有较强信息系统建设及服务水平评估水平，可针对项目实际情况实行安全风险、项目风险、技术风险实行综合评估并给予相对应处理方式及建设水平，至少满足《信息系统建设和服务水平评估体系水平要求》(T/CITIF001-2019)CS4级或更高);产品具备中国信息安全测评中心颁发的《国家信息安全测评信息技术产品安全测评证书》EAL3+级；设备生产厂商具备通信网络安全服务水平二级(风险评估)证书。12容灾备份系统基本要求国产品牌，自主可控，具备同时拥有磁盘阵列和备份产品；台1基础要求应用和数据实时保护及应急接管系统，基于设备底层IP-SAN数据块级保护设计(非TCP/IP协议),能够实现各种软、硬件故障保护及灾难性恢复，无备份时间窗口，保护过程中对生产业务系统无影响，配置连接设备所需的各种连接线缆及连接附件；操作管理基于图形化的操作管理方式，同时具备B/S和C/S两种管理模式，支持Web和Console图形化便捷管理；SAN加速功能可通过SSD缓存加速功能监控磁盘的访问模式，然后自动将频繁访问的数据拷贝到固态硬盘组成的缓存中以加快读取速度，从而加速随机访问及整体I/0的读取速度；缓存配置64GB高速缓存；前端主机端口配置2个1GbiSCSI主机接口；容量配置配置4*8TB存储空间和容量许能够及5个核心业务的保护；服务器操作系统保护通过ISCSI数据块协议(非TCP/IP网络协议),对业务服务器操作系统实行实时保护，当操作系统出现故障服务器可直接通过金属裸机SAN-BOOT恢复；单机保护提供操作系统保护功能，支持对系统盘和数据盘实行统一保护，实现应用级保护，当数据盘出现故障，可直接通过快照挂载的方式快速恢复，当操作系统出现故障，可在WEB界面内利用快照还原持续数据保护提供RealCDP功能，支持基于磁盘的I/0读写连续记录的数据保护方式，可在选定时间段内产生无限数量的历史数据副本，根据时间点的选择定位，以卷挂载的方式为业务服务器提供应急或灾难恢复使用，最小IO记录单位可达到微秒级别，区别于传统频繁快照的NearCDP功能；自动化灾难恢复在业务系统服务器损坏导致应用不可用时，可通过应急接管系统的一键恢复功能快速接管应用，实现自动化的灾难虚拟机保护支持无需安装任何代理程序对Vmware和HyperV环境的虚拟化统一备份；虚机即时恢复支持虚拟机故障时直接从备份介质中快速启动虚拟机以即时恢复应用，RTO<2分钟；虚机文件恢复支持直接从备份虚拟机中分离操作系统和文件，通过文件恢复模块直接还原单个文件，无需还原整个VMDK或AHD虚拟机；多数据副本支持I/0级的实时复制功能，实现应急接管系统与现有存储之间的数据复制，充分利用现有柏科RD存储设备作为第二数据池。支持一对一、一对多与多对多的同步/异步/增量双向复制，提供断点续传功能，具备窄带(非光纤)传输能力(容灾)功能，远程传输的数据块可设为不大于512b字节；虚拟机复制支持虚拟化环境下的虚拟机远程复制功能，能够将本地虚拟机复制到灾备机上，在应急时能够一键启动备用虚拟机，RTO<1分钟；资质要求原厂具备虚拟网关管理软件著作权登记证书、CDP持续数据保护软件、云容灾备份运营管理软件著作权证书。13核心交换机交换容量台1包转发率槽位数主控板槽位数：≥2个；交换网槽位数：≥4个；业务板槽位数：≥8个；风扇框数：≥4个；系统电源：≥6接口数量≥48个千兆电、≥24个万兆光、≥24个千兆光；其他配置默认配置两个主控、两个交换网卡、两个电源。14网盘系统架构本项目厂商需提供单点节点，支持不少于300用户；扩展集群采用两副本冗余存储技术，并且支持副本数在1、2、3中根据需求自由配置和随时切换保证每个数据都会通过读写一致性冗余技术确保存放在不同的节点、不同的硬盘上面；任何一个硬盘和节点损坏都不会影响数据完整性；集群架构支持存储系统横向扩展，能够根据需要随时扩充容量；套1加密上传支持PC客户端上传文件时用户能够添加文件密码，被密码加密的文件，用户下载至本地，需要输入对应的密码才能打开使用文件；差量异步传输支持针对文件Hash值不同判断块数据差异的去重上传机制，区别于MD5去重，若文件修改后再上传，系统会自动实行块数据比对，只上传差异块数据，实现上传文件秒传功能；文件操作动态系统支持普通用户可直观通过用户界面看到文件的预览、下载、更新、评论等操作次数，并了解这个文件的操作者、时间、动作、地点等每一项的访问详情；外链分享支持文件快照，链接内容不跟随原路径更新。可查看历史链接管理，每个用户在相同路径下最少15条链接分享，超过此限制会主动提示用户，也可对历史链接实行查看、编辑、删除等管理；系统对接系统提供全面的API接口，包括但不限于：文件操作API、团队API、团队及用户关系API、授权API、标签管理API、预览API、外链API等。支持多种WebService/SDK接入方式，提供给客户IT系统自由调用；提供系统对接平台，能够快速实现接键测试联调功能，无需实行复杂的后台操作；链接管理支持查阅个人用户或管理团队内创建的链接文件、路径、状态、有效期、链接已下载次数、创建时间等。可按照文件名、有效期、已下载次数、创建时间排序列表。可按照文件名、创建时间的条件筛选查询，并可一键重置筛选条件；权限管理管理员可分配用户多种常用权限“预览”、"上传”、“下载”、"上传/下载”、“编辑”、"禁止访问"等。支持自定义权限，用户可从“可预览"“可上传”“可新建”“可下载”“可见列表”"可评论"等11种原子权限中自由组合，对单个用户的授权类型更多样化。大幅提升管理员授权灵活性。可为用户授予禁止权限，拒绝用户访问高机密文件夹；浏览器在线编辑用户能够在web端上直接调用本地应用程序对文档实行编辑，实现与本地操作无差异的编辑体验，省去了先下载再将文件上传到系统的过程；多人在线协同编辑单文档支持多达100位用户实时对文档在线编辑的功能，编辑场景下，若用户开启数据保护或修改跟踪功能，该文件状态自动变为编辑保护状态，并禁止重命名与移动文件，同时将之前的历史版本隐藏，对文件内容内容彻底防护；在多人协同编辑excel的时候，能够设置受保护区域，指定用户可编辑或是只读，保证多人协同编辑的时候不会发生编辑同一个区域的文件定期清理可设置指定文件夹定期清理功能，可设置自动清理保存10天、30天、90天以上的文件；可设置到指定日期后自动清理文件；可设置固定周期的文件清理，比如每天、每周、每月清理一次等；在清理文件夹的同时，支持仅清理文件夹以及其子文件夹内的文件，保留文件夹结构。15教学资源平台整体设计基于数据分析的教学教研管理平台，支持学校管理教学教研流程，包括教学计划、电子备课、听课评课、学情评价、校本资源建设，同时收集数据反馈和评价，方便管理者掌握和促动教学教研效果；同时支持教师管理个人教学教研活动并实行数据采集分析，协助教师提升个人专业发展；套1多端登录支持管理员及教师使用网页端、移动端和小程序端登录，移动端支持校本资源的查看和应用，支持进入集体备课、听课评课等教研活动，支持教学动态的实时通知；小程序端支持查看网页端数据信息，教师榜单，并定期推送数据分析报表，协助学校检验信息化教学成果；数据概览管理者通过学校数据可视化看板，查看学