双活数据中心网络、存储资源池及安全建设需求

双活数据中心网络、存储资源池及安全建设需求一、项目概况1、双活数据中心网络建设本项目在双活数据中心A、B站点采用Spine/Leaf组网架构，Spine交换机提供接入端口，双活数据中心A、B站点之间实现带宽互通，Leaf交换机需要为存储网络和归档服务器网络提供带宽接口，提供高性能、高可靠的大二层的网络。2、存储资源池建设建设热、温、冷分层的双活存储资源池，支撑全区医疗业务数据存储需求。充分考虑未来医疗业务数据增长需求，双活数据中心A站点（电信数据中心）建设不少于350TB全闪、3.5PB混闪及1PB归档的存储资源池。双活数据中心B站点（人民医院）建设不少于350TB全闪、3.5PB混闪存储资源池。3、安全建设区域信息安全防护基于现有安全基础上，从安全技术和安全管理方面进行完善建设，突出体系化安全技术保障的重要性，以“安全技术”为核心，涵盖区域边界安全、计算环境安全、安全管理中心、密码安全等重点工作。二、货物需求明细序号分项名称货物名称数量单位1.1双活数据中心网络建设Spine交换机4台1.2Leaf交换机16台1.3后端Leaf交换机4台1.4蓝光归档服务器Leaf交换机2台1.5安全运维Leaf交换机4台1.6汇聚交换机2台1.7BMC管理交换机4台1.8互联网出口交换机4台1.9链路负载均衡4台1.1仲裁节点万兆光模块（10KM）6个1.11仲裁节点万兆光模块（40KM）6个1.12网络管理平台1套2.1存储资源池建设全闪-影像业务集中式存储（200TB）2套2.2全闪-核心业务集中式存储（150TB）2套2.3光纤交换机4台2.4混闪-分布式存储（3.5PB）2套2.5蓝光归档存储（1PB）2套2.6归档软件1套3.1安全建设虚拟化防病毒软件1套3.2数据集中备份系统1套3.3WEB应用防护2台3.4互联网边界防火墙(南北向）2台3.5新一代防火墙(南北向）4台3.6上网行为管理3台3.7日志审计1套3.8国密堡垒机（含定制开发服务）2台3.9云服务器密码机2台3.1SSLVPN（含定制开发服务）2台3.11密码应用中间件1套3.12时间戳服务器1台3.13签名验签服务器2台本次建设内容涉及智慧医疗双活数据中心网络建设、存储资源池建设、安全建设，详细内容如下：双活数据中心网络建设电信枢纽大厦数据中心现有网络架构图为传统三层网络架构。双活数据中心A、B站点，分别位于电信机房和人民医院机房，直线距离大约8KM，裸光纤连接。两个数据中心的服务器数量和应用部署基本一致，实现存储层双活和应用服务器层的双活。规划将采用横向可扩展扁平化Spine+Leaf架构，方便将来线性扩展带宽和网络规模。交换机支持IPv4/IPv6，设备高度≤1U，提供跳线。具体配置及要求如下：序号服务需求名称数量单位1.1Spine交换机4台1.2Leaf交换机16台1.3后端Leaf交换机4台1.4蓝光归档服务器Leaf交换机2台1.5安全运维Leaf交换机4台1.6汇聚交换机2台1.7BMC管理交换机4台1.8互联网出口交换机4台1.9链路负载均衡4台1.10仲裁节点万兆光模块（10KM）6个1.11仲裁节点万兆光模块（40KM）6个1.12网络管理平台1套存储资源池建设建设热、温、冷分层的双活存储资源池，支撑全区医疗业务数据存储需求。充分考虑未来医疗业务数据增长需求，建设双活存储资源池，包括影像业务集中式存储1套（A、B站点各1台200TB），核心业务集中式存储1套（A、B站点各一台150TB），混闪分布式存储2套（A、B站点各一套），蓝光归档存储及配套软件1套（A站点）。 即双活数据中心A站点（电信数据中心）建设不少于350TB全闪、3.5PB混闪及1PB归档的存储资源池。双活数据中心B站点（人民医院）建设不少于350TB全闪、3.5PB混闪存储资源池。为保障业务系统稳定可靠，要求集中式存储设备分别采用不同厂商的产品。具体配置及要求如下:序号服务需求名称数量单位2.1全闪-影像业务集中式存储（200TB）2套2.2全闪-核心业务集中式存储（150TB）2套2.3光纤交换机4台2.4混闪-分布式存储（3.5PB）2套2.5蓝光归档存储（1PB）2套2.6归档软件1套安全建设计算环境安全方面，部署虚拟化防病毒软件对入侵和病毒行为进行识别并有效阻断。部署数据集中备份系统，增加整个数据中心的备份容灾能力，提升数据安全性。区域边界安全方面，通过互联网边界防火墙等设备保证跨越边界的访问和数据安全通信。边界部署新一代防火墙进行访问控制。部署WAF对HTTP或HTTPS的Web攻击行为进行分析并拦截，降低网站安全风险。部署上网行为管理系统对重要的用户行为和重要安全事件进行审计。安全管理及密码安全方面，部署日志审计，对安全事件进行统一的管理及分析，配置云密码服务器、国密堡垒机、SSLVPN、密码中间件、时间戳服务器、签名验签服务器，建设以保护业务系统的身份认证及数据资产为中心的、自主可控的密码服务体系。具体配置及要求如下：序号服务需求名称数量单位3.1虚拟化防病毒软件1套3.2数据集中备份系统1套3.3WEB应用防护2台3.4互联网边界防火墙(南北向）2台3.5新一代防火墙(南北向）4台3.6上网行为管理3台3.7日志审计1套3.8国密堡垒机（含定制开发服务）2台3.9云服务器密码机2台3.10SSLVPN（含定制开发服务）2台3.11密码应用中间件1套3.12时间戳服务器1台3.13签名验签服务器2台三、技术要求序号产品名称技术要求双活数据中心网络建设1.1Spine交换机1、交换容量≥6.4Tbps，包转发率≥2003Mpps。2、要求提供40GE/100GEQSFP28以太网光端口数量≥32。3、支持电源1+1备份，风扇模块3+1备份。4、支持M-LAG或vPC或DRNI等跨机箱链路捆绑技术。5、支持VxLANOAM:VxLANping,VxLANtracert。6、支持ERSPAN增强。7、要求实配100G多模光模块≥6，40G多模光模块≥10，100G高速线缆≥1。1.2Leaf交换机1、交换容量≥4.8Tbps，包转发率≥2000Mpps。2、要求提供10GE/25GE光端口数量≥48个，40/100GE光接口≥8个。3、支持电源1+1备份，风扇模块3+1备份。4、支持M-LAG或vPC或DRNI等跨机箱链路捆绑技术。5、支持VxLANOAM:VxLANping,VxLANtracert。6、支持ERSPAN增强。7、要求实配双电源，25GE多模光模块≥40，100G多模光模块≥4，100G高速线缆≥1，RDMA应用加速功能包。1.3后端Leaf交换机1、交换容量≥4.8Tbps，包转发率≥2000Mpps。2、要求提供10GE/25GE光端口数量≥48个，40/100GE光接口≥8个。3、支持电源1+1备份，风扇模块3+1备份。4、支持M-LAG或vPC或DRNI等跨机箱链路捆绑技术。5、支持VxLANOAM:VxLANping,VxLANtracert。6、支持ERSPAN增强。7、要求实配双电源，25GE多模光模块≥40，100G多模光模块≥4，100G高速线缆≥1，RDMA应用加速功能包。1.4蓝光归档服务器Leaf交换机1、交换容量≥4.8Tbps，包转发率≥2000Mpps。2、要求提供10GE光端口数量≥48个，40GE/100GE光接口≥6个。3、支持电源1+1备份，风扇模块3+1备份。4、支持M-LAG或vPC或DRNI等跨机箱链路捆绑技术。5、支持VxLANOAM:VxLANping,VxLANtracert。6、支持ERSPAN增强。7、要求实配双电源，10GE多模光模块≥12，40G多模光模块≥4，40G高速线缆≥1。1.5安全运维Leaf交换机1、交换容量≥1.28Tbps，包转发率≥426Mpps。2、支持10/100/1000Base-T电口≥24个，10GE光接口≥4个。3、支持业务扩展插槽数≥1，扩展支持8个SFP+端口，整机最大支持12个万兆SFP+端口。4、支持模块化可插拔双电源及模块化可插拔双风扇和前后风道。5、支持MAC表项≥288K，支持ARP表项规格≥128k。6、要求实配双电源，8端口10GE光接口卡*1，10GE单模光模块≥6,10GE多模光模块≥6，10G高速线缆≥1。1.6汇聚交换机1、交换容量≥4.8Tbps，包转发率≥2000Mpps。2、要求提供10GE/25GE光端口数量≥48个，40/100GE光接口≥8个。3、支持电源1+1备份，风扇模块3+1备份。4、支持M-LAG或vPC或DRNI等跨机箱链路捆绑技术。5、支持VxLANOAM:VxLANping,VxLANtracert。6、支持ERSPAN增强。7、要求实配双电源，10GE单模光模块≥10，10GE多模光模块≥6，10G高速线缆≥1，RDMA应用加速功能包。1.7BMC管理交换机1、交换容量≥670Gbps，包转发率≥160Mpps。2、支持模块化可插拔双电源。3、支持10/100/1000Base-T以太网端口≥48个，10GESFP+光口≥4个。4、支持VRRP、BFDforOSPF、BGP、IS-IS、StaticRoute。5、支持MAC表项≥64K。6、支持IPv4路由表≥16K，支持IPv6路由表≥8K。7、支持VxLAN功能，支持BGPEVPN，支持分布式Anycast网关。8、要求实配双电源，万兆多模光模块≥6。1.8互联网出口交换机1、交换容量≥1.28Tbps，包转发率≥426Mpps。2、支持10/100/1000Base-T电口≥24个，10GE光接口≥4个。3、支持业务扩展插槽数≥1，扩展支持8个SFP+端口，整机最大支持12个万兆SFP+端口。4、支持模块化可插拔双电源及可插拔双风扇和前后风道。5、支持MAC表项≥288K，支持ARP表项规格≥128k。6、要求实配双电源，8端口10GE光接口卡*1，10GE单模光模块≥6,10GE多模光模块≥6，10G高速线缆≥1。1.9链路负载均衡1、设备端口：SFP+/SFP28光口不少于4个，10G/1GRJ45端口不少于4个，配置热插拔冗余电源。2、吞吐量≥40Gbps，最大并发连接≥38M，四层处理能力≥500KCPS，七层处理能力≥1.3MRPS，最大SSLTPS（RSA2KKey）≥30000，最大SSL加密吞吐量≥20Gbps，交换背板带宽≥300Gbps，DNS性能≥160万RPS（ResponsesperSecond）。3、设备带有液晶面板可供管理。4、要求设备必须具备多链路负载均衡和多数据中心全局负载均衡功能，同时支持IPv6和IPv4解析，支持NAT64和DNS64。5、全DNS记录格式：支持A,AAAA,CNAME,HINFO,MX,NS等记录类型。6、可将后台DNS服务器的所有记录镜像到内存中并提供全部DNS解析功能，保护后台DNS服务器。7、防火墙模式：要求设备必须具备全代理模式的防火墙，预置至少100种以上DDoS防护策略，并支持专门针对DNS的安全防护配置。8、协议安全支持HTTP、SMTP协议校验和安全，支持SIP安全防护，防范SIPDDoS攻击。9、基于Node.js环境的可编程控制设备自带支持Node.js环境的可编程控制功能，支持Javascript语法。支持如连接Mysql进行数据库查询等功能。（提供设备配置界面截图。）10、SSLVPN为进行远程安全管理接入，要求设备默认具备至少10users的SSLVPN并发连接，并可在后期通过软件License的方式升级至不少于5000users。11、管理方式设备需具有专用网管端口，并支持下列管理方式：CLI，WEB（HTTP/HTTPS），SSH，GUI界面管理。提供完整的MIB库，支持SNMPv1、v2、v3。1.10仲裁节点万兆光模块（10KM）光模块-SFP+-10G-单模模块(1310nm,10km,LC)。1.11仲裁节点万兆光模块（40KM）光模块-SFP+-10G-单模模块(1550nm,40km,LC)。1.12网络管理平台1、系统应支持大规模设备管理能力，可最多管理20,000台网元。应支持多种设备的管理，包括交换机、路由器、防火墙、WLAN、服务器、存储、操作系统、数据库、WEB应用、摄像头、GPON设备。2、系统提供分权分域功能，为不同的用户、角色分配不同的设备管理范围和操作权限。3、系统提供三种北向接口（SNMP、FTP及Restful接口），可通过北向接口向上层系统提供告警、性能以及资源数据。4、系统支持告警信息中包含与故障关联的信息（如端口故障需关联呈现端口信息、故障信息、链路拓扑信息、历史流量信息、维护经验等）。5、要求配置网络设管理授权≥50，存储管理授权≥20。存储资源池建设2.1全闪-影像业务集中式存储（200TB）1、所投存储产品使用成熟稳定的国产品牌自主研发CPU。2、控制器采用Active-Active架构，LUN不归属于某一个控制器，业务负载均衡到≥4（或者2）个控制器，业务运行过程中，每个控制器的IOPS和CPU利用率差异不超过10%。3、电源：配置2个电源模块，支持1+1冗余。4、采用盘控一体架构，配置2个控制器，控制器框提供≥36个NVMe硬盘槽位。5、SAN和NAS一体化，配置NAS协议（包括NFS、CIFS以及NDMP）、IPSAN和FCSAN协议，不需额外配置NAS网关，支持SAN和NAS共资源池，无需独立分配。6、配置2个控制器，控制器采用多核处理器，且控制器处理器总核心数≥96核。7、系统内总一级缓存容量配置≥1TB，且任意控制器一级缓存容量≥512GB。8、接口：配置≥2*4*32GbFC接口，≥2*4*25GbEthernet接口，≥2*4*10GbEthernet接口，≥2*4*1GbEthernet接口。9、硬盘：配置≥36块7.68TBSSDNVMe硬盘。10、稳定时延≤0.5ms，包括开启增值功能的情况下，包括开启快照等功能(不少于3个)。11、支持单LUN≥6万个快照，系统≥100万个快照。系统提供每3秒做一次快照备份。恢复任意时间点快照，其他时间点快照不丢失。支持快照一致性组。提供无损快照功能，系统性能不因快照数量增加而下降，同时开启快照功能时阵列时延能够稳定在＜1ms。12、提供SSD寿命监控技术，并在系统中显示每一块SSD硬盘的磨损度以及预估剩余寿命。13、光跳线：配置24根3m光跳线。2.2全闪-核心业务集中式存储（150TB）1、控制器：单站点配置双Active控制器，采用盘控分离架构，可实现在线升级为更新或更高级别控制器，每控制器不低于2个物理CPU，CPU主频不低于2.2Ghz，每控制器CPU核心数不低于20。2、内存：单站点双控制器配置内存不低于256GB（不含闪存卡、SSD缓存盘）。3、主机接口：单站点配置不低于4个100Gb光口（含100Gb多模光模块）、8个32GbFC接口（含32GbFC多模光模块）、2个25Gb光口（含25Gb多模光模块）、2个1GbRJ45接口。4、存储容量:单站点配置NVMeSSD硬盘，单盘容量不低于15TB，硬盘数量不低于24块。5、 RAID保护：支持多种工业标准RAID保护技术，包括支持单盘失效、双盘失效和三盘失效等保护技术，支持RAID组动态扩展，在线升级等。6、存储架构：统一全闪存储系统，无外加NAS网关，硬件部件采用全冗余无单点故障设计，配置FC、NVMe/FC、NVMe/TCP、iSCSI、NFS、CIFS/SMB、S3等存储协议，支持跨协议访问，可通过NFS/CIFS/S3跨协议访问同一共享卷，支持IPv4/IPv6。7、软件功能：配置存储系统管理软件，最大可扩展至20PB的单一命名空间，在线数据压缩，在线重复数据删除，应用一致的快照拷贝和恢复，存储数据卷在线扩大或缩小，支持非WORM空间生成防篡改快照副本、自主勒索软件保护等。8、双活功能：配置存储双活功能，具备在无外加网关的情况下，两站点配置相同存储设备组成双活架构,要求配置并实现数据实时同步镜像写入对端存储，实现FC/ISCSI/CIFS/NFS协议双活。9、双活支持：双活存储同时支持SAN、NAS和S3双活，可以实现SAN、NAS和S3数据访问自动在两个站点之间进行切换。NAS和SAN切换要求实现业务数据访问不中断，业务主机无需重新挂载访问路径或目录。采用每站点双控制器结构，要求采用Active-Active工作模式。10、双活存储集群交换机冗余性：每个站点配置不低于两台高性能100Gb以太网交换机，每交换机配置不低于2个100Gb多模光模块，包含内部联线。11、 双活容灾链路：每站点配置的双活存储集群交换机，与另一站点双活存储集群交换机间链路采用100Gb端口连接，每台集群交换机端口数量不低于2个。12、光纤线缆：每个控制器端配置不低于2根30米12芯MPO-MPOOM4多模光纤线用于前端100Gb以太网链接。不低于4根LC-LCOM415米多模光纤线用于前端32GbFC链接，每个集群交换机端配置不低于2根30米12芯MPO-MPOOM4多模光纤线用于前端100Gb以太网连接。13、培训服务：提供不少于2人5天的原厂专业培训服务。2.3光纤交换机1、支持最大FC端口数为64，配置≥48个32Gb激活端口及模块，配置双电源。2、支持D_Port（诊断端口）、E_Port、EX_Port、F_Port、M_Port等接口类型。基于交换机类型（U_Port）的自我发现。3、支持8、16和32Gbps端口速率自适应。4、支持启用了NPIV的N_Port实现接入网关模式。5、支持集成路由和虚拟Fabric技术。6、支持基于帧的干线合并，每条ISL中继最多8个32GbpsSFP+端口，每条ISL中继最多有2个128GbpsQSFP端口。7、支持SNMPv1/v3、Telnet、Web管理／GUI界面。8、跳线：配置光跳线-DLC/PC-DLC/PC-多模-10m*48根。2.4混闪-分布式存储（3.5PB）1、分布式对象存储具备大规模横向扩展能力，单集群最大可扩展至≥256节点。2、配置≥5个机箱，每机箱配置≥4颗多核处理器，每处理器核心数≥48核，主频≥2.6GHz。配置4交流冗余电源。3、内存：每机箱配置≥32根16GBDDR4内存。4、硬盘：每机箱配置≥4块480GBSSD系统盘，≥4块3.84TBSSDNVMe缓存盘，≥58块18TB7.2KRPMSATA数据盘。5、支持10GE或25GERoCE存储组网，保障分布式存储性能，本次配置25GERoCE，每节点配置≥16个25GE光口（含光模块）。6、支持3节点起配，3节点时允许坏2、3、4个硬盘或1节点。7、当磁盘或存储节点故障时，系统能自动进行数据重建，在无人工干预条件下，数据重建速度需能满足：每TB≤30分钟。8、支持回收站功能，回收站内对象的保留时长和扫描周期可配置。支持通过任意一种服务写删文件进入回收站后，通过任意一种其他服务访问回收站内文件。9、支持Qos功能，多服务共享一份Qos资源。可基于租户、用户、命名空间（文件系统/桶）或客户端进行配置。可限定带宽和IOPS上限。10、光跳线：配置16根10m光跳线。2.5蓝光归档存储（1PB）1、采用标准≦20U机架式机柜进行交付，单机柜容量≥4032张盘片。标配盘仓，盘仓采用避光、防尘、防变形、封闭式设计有效保护光盘，支持库体级联扩展和在线管理。要求配置容量为200GB的档案级蓝光光盘。本次配置≥500TB,库体可扩展容量≥806TB。2、机械手采用中孔抓盘方式可抓取设备内任意盘盒内1-12张光盘及设备内光驱中光盘。机械手可随机抓取设备内任意盘匣的任意一张光盘在光驱中进行读写。3、支持以独立光盘匣中的盘片为单元的冗余机制，要求支持5+1及11+1Raid（11张数据光盘对应一张冗余光盘构成一组Raid光盘，任意一张光盘损坏可恢复，数据盘可单独读取数据，任意张数据光盘损坏不影响其他光盘数据读取。4、支持海量小文件和TB级海量快速传输，软件支持按策略单向同步和双向同步定时传输文件。在千兆网络中，在≥5百万量级海量小文件（小于200K），传输速率≥50M/S。5、蓝光存储管理软件采用B/S架构，支持虚拟服务器环境部署。6、要求支持常见windowsserver2012及以上，ubuntu，centOS，银河麒麟，UOS等操作系统，同时支持NAS和S3协议。7、应具备综合性自动化的存储策略支持，提供存储模式、存储分区、时间窗口等配置，满足采集、存储管理要求。支持分区存储：能提供不同业务数据分类存储的卷池服务，满足不同类型数据分区分类存储需要，实现数据存储物理隔离。2.6归档软件1.运行环境支持Linux平台，采用多节点冗余架构设计，支持分布式部署。2.支持通用SAS/SATA/iSCSI/FC接口的存储设备、支持常见的主流分布式文件系统、支持主流对象存储系统、存储容量和性能可横向扩展，支持通用磁带和磁带库驱动管理以及光盘库管理，以上存储设备要求接入即用，无需对接开发，系统可同时使用和管理多种存储设备,以及支持数据加密存储。3.可根据不同存储设备动态扩容存储空间，支持在线、近线、离线存储池管理。支持根据业务数据类型分配不同性能级别的存储池存放数据。4.支持虚拟存储此管理功能，可支持在线存储池和离线存储池管理，可对不同品牌、不同性能存储设备进行虚拟存储池划分，并提供数据分级热温冷三层分级存储功能。5.可实现基于存储池和分布式文件系统自身的容灾备份功能：基于对象存储技术，使用分布式文件系统，系统自身具有数据冗余保护实现文件数据的热备容灾;基于存储池级之间相互容灾备份，存储池可以在不同种存储介质之上，包括磁带、光盘库、对象存储、各类分布式文件系统、DAS或NAS以及公有云存储等，利用存储介质上层的文件同步灾备技术实现跨平台存储介质间的数据灾备功能。6.可对存储的数据进行加密，支持分片加密，支持AES、SM4加密算法，支持对接第三方加密设备，要求必须通过身份认证并成功登陆系统后才能获得解密文件，保证在系统中的数据安全性，防止数据被非法访问。7.可对接第三方存储，从第三方存储中扫描导入数据。8.管理存储池之间数据迁移的策略，可设置迁移条件，执行周期，管理数据迁移记录，检查文件是否迁移成功。9.提供Web管理模式，可通过同一浏览器界面即可集成管理所有功能：包括存储配置、设备管理和文档管理（在同一浏览器界面内即可实现用户系统、文档组织、权限配置、日志和认证集成等的管理)，以方便集中统一管理。系统提供中文管理界面，提供日志功能，可记录系统日志、管理日志、安全日志和访问日志。10、第三方对接API接口功能：具备系统集成及二次开发能力，具备标准API接口支持业务系统电子附件集成。安全建设3.1虚拟化防病毒软件1、支持无代理部署模式和有代理部署模式，可结合用户环境实际管理需求选择相应部署模式。支持一套管控中心统一管理，包括有代理、无代理部署模式统一管理。物理服务器、虚拟服务器统一管理。Windows、Linux、信创操作系统统一管理。私有云、公有云、容器环境统一管理。共计支持60颗CPU（即200点虚拟化）五年防病毒服务授权。2、有代理模式下支持防病毒、防火墙、入侵防御、防暴力破解、webshell检测、安全基线、应用程序控制、网络可视化及管理等功能。3、支持人工智能引擎、增强引擎、云查杀引擎、启发式引擎等，可自主选择资源占用配置，支持防卸载，支持自主选择虚拟机/终端特征库升级频率、文件安全鉴定模式、未知样本鉴定等，支持勒索诱饵防护、禁止删除系统还原点、内核免疫等勒索防护功能。4、系统需支持自带高性能数据库，不需要额外单独采购数据库。系统支持特征库回退，支持回退指定虚拟机/终端特征库、回退全部虚拟机/终端特征库。5、系统需要可独立完成管理、自带升级功能、特征库升级、代理云查功能，无需额外部署升级服务器、代理服务器等节点。6、为保障与业务具备良好兼容性以及适配性，要求产品提供与华为EulerOS操作系统、浪潮InCloudOpenStackV5、天津飞腾FT-2000+/64处理器、中标麒麟高级服务器操作系统V7.0、中科可控H系列服务器、麒麟V10服务器系统、麒麟V10桌面版系统、EasyStack易捷行云、京航航盾虚拟化系统、浪潮InCloudOpenStackV5等互认证明。3.2数据集中备份系统1、系统的架构及管理1）支持集中统一管理：采用“软件定义”的方式，通过一套软件实现，集中管理物理机、虚拟机和桌面备份恢复、网盘、灾难恢复管理、存储资源、重复数据删除、数据归档等数据管理功能。2）支持分布式索引架构：系统内部索引库采用二级分布式机制：一级索引管理详细的备份记录，分布存储到多台介质服务器。二级索引仅管理少量的作业信息，存储在管理服务器端。2、软件授权：本次配置虚拟化备份许可不少于150个，包含主模块，用户权限管理、全局重复数据删除、数据加密、不限制MA数量,不限容量重复数据删除容量授权。3、数据保护支持的对象及应用：支持主流操作系统在线备份、主流数据库及应用在线备份、NASNDMP及文件共享在线备份、虚拟化平台专用接口的在线备份。支持容器保护、公有云及私有云专用接口的在线备份、云存储及云应用数据在线备份、大数据应用及分布式文件系统在线备份、客户端数据在线备份。4、数据备份：1）数据块级别备份（BLB）：对文件系统及应用支持数据块级别增量备份及合成全备份。2）对虚拟机提供无代理CBT备份：不需要在虚拟机中安装备份代理，就能对虚拟机变化数据块进行增量备份及合成全备份，极大方便部署并提高虚拟机备份性能。支持虚拟机：VMware、Hyper-V、MicrosoftAzure、NutanixAHV、OpenStack。3）虚拟机颗粒度管理和搜索：虚拟机集群备份过程中支持单独VM作业管理，自动索引虚拟机内的文件和目录，并支持文件名、扩展名和文件类型搜索。4）快照备份管理：直接调用生产存储设备的快照、克隆及复制技术，对文件系统、虚拟机、数据库及应用进行快速保护，并确保数据应用一致性。5）支持对NFS/CIFS多节点备份NAS数据：支持NFS/CIFS多备份节点网络备份方式，对大型NFS共享文件数据进行多流并行备份，支持永久增量及合成全备份。6）支持数据库图形化界面逻辑备份：软件支持通过图形化界面对数据库自身API接口进行逻辑备份，并且可通过图形化管理界面将备份文件恢复到原机或异机，无需DBA编写脚本。7）支持数据库Log自动备份、支持自定义备份操作、大数据快速增量备份。5、数据恢复1)支持直接访问备份文件:对利用存储快照及数据块级别备份（BLB）的文件，不需要恢复就能直接利用CIFS/NFS协议进行共享访问。2)支持直接浏览并恢复备份虚拟机中的文件:不需要恢复虚拟机备份数据，直接浏览并恢复虚拟机中文件。3)支持直接运行备份虚拟机并恢复:不需要恢复虚拟机备份数据，直接运行备份虚拟机，并可选择同时进行后台恢复。支持虚拟机：VMware。4)支持物理机、虚拟机跨平台恢复:支持物理机完整恢复到虚拟机环境中，还支持虚拟机跨平台完整恢复到另一虚拟机环境中或公有云环境中。6、数据归档管理1）支持文件系统自动归档：对不常使用的数据，按用户定义的归档策略自动归档到二级存储，需要访问时，归档文件自动透明回迁，支持的文件系统：Windows、Unix、Linux及NASNFS/CIFS共享。2）支持虚拟机自动归档：按定义的策略对不经常使用的虚拟机自动关机，对一段时间不开机的虚机自动归档到二级存储，需要访问时可恢复归档虚拟机，支持虚拟机平台：VMware、Hyper-V、OpenStack。7、并行去重管理：支持多节点并行去重，实现多节点之间的去重数据库负载均衡，提高去重性能的同时保证高可用性。8、防勒索病毒自动监控：软件客户端内置预防勒索病毒能力，采用蜜罐文件和基于机器学习的客户端异常活动监控，并提供异常文件、异常趋势跟踪、告警和隔离，并且阻止病毒入侵备份数据。自动监控最近7次备份任务监控和分析，及时发现异常活动并触发告警和响应。自动监控备份的文件类型异常活动，并自动校验备份内容是否包含恶意程序，触发告警和文件删除或快速恢复到正常版本的响应。提供安全仪表板，对双因子认证、安全审计、加密、存储策略变更、异常行为、防勒索保护等监控和一键启停，提升安全性。9、防勒索保护：具备CISlevel-1认证的安装加固。内置不可变存储，使用I/O控制机制锁定备份存储、防止非授权进程修改备份数据。支持软件和硬件WORM拷贝，防止管理员或备份数据篡改。支持AirGap数据隔离保护，支持单防火墙设定自动接收数据副本，并在完成后自动阻断网络或关机，预防网络攻击。3.3WEB应用防护1、冗余电源，千兆光口≥4个，千兆电口≥4个。万兆光口≥2个（含2个光模块）。http吞吐量为≥3.8Gbps，包含5年服务。2、支持旁路流量牵引、反向代理等部署方式，支持镜像分析数据并实现旁路阻断功能。支持多种解码方式、如常见的WEB安全防护功能。3、具备站点自学习功能，无需人工干预，自动获取网站相关信息。4、支持SQL注入、XSS跨站攻击防御策略，支持特征检测与语义算法检测。支持识别和阻断注入攻击，包括命令注入攻击，XPATH注入防护,XML注入防护,SSI注入防护,JOSN注入防护,LDAP注入防护。支持Web业务控制防御功能，提供针对爬虫、黑链、内网代理以及盗链的防护功能。5、支持敏感信息检测防护，检测类型包括：中间件信息保护，数据库信息保护，敏感文件保护，代码错误信息保护，隐私信息保护，敏感词防护等。6、支持安全态势大屏实时展示，可通过产品自带的安全态势模块进行攻击态势地图展示。3.4互联网边界防火墙(南北向）1、国产化设备，边界防火墙支持IPv4/IPv6双栈、VPN功能、攻击防范、访问控制、失陷主机检测、病毒防护、应用层安全防护等功能，提升医疗专网的边界防护能力。整机吞吐量≥80G。并发连接≥3000万。每秒新建连接数≥100万。标准2U机箱。冗余电源。板载1个MGT管理接口。1个HA接口。≥4T存储硬盘。整机支持8个接口板卡扩展插槽。1个Console口。2个USB接口。≥4个千兆电口，≥8个万兆光口（含8个万兆多模光模块）。IPSECVPN支持≥200条隧道，含5年入侵防御特征库升级服务，含5年产品标准维保服务。2、支持MPLS流量透传。支持针对MPLS流量的安全审查，包括漏洞防护、反病毒、间谍软件防护、内容过滤、URL过滤、联动终端管控、邮件过滤、行为管控等安全防护功能。支持流量编排，可以通过引流策略定义不同类型的流量引入指定的服务链，匹配条件可以设置源安全域、目的安全域、源用户、源地址/地区、目的地址/地区、服务、应用、VLAN等。3、能够对HTTP/FTP/POP3/SMTP/IMAP/SMB等不少于六种协议进行解码与病毒查杀。本地病毒库规模不少于3000万。支持基于失陷主机的阻断、日志等处置动作。支持IPv4和IPv6流量的HTTPS、POP3S、SMTPS、IMAPS协议进行解密，支持配置基于源安全域、目的安全域、源地址、目的地址、SSL协议服务的解密策略，动作可以设置解密或不解密，解密类型支持SSL代理、SSL入站检查。4、支持基于主机或威胁情报视图，统计网络中确认被入侵、攻破的主机数量，至少可查看失陷主机、描述、命中数、动作、最近发现时间、首次发现时间、来源、用户名、资产、操作等信息。5、支持基于策略的路由负载，支持根据应用和服务进行智能选路，支持源地址目的地址哈希、轮询、时延负载、备份、随机、流量均衡、跳数负载等不少于12种路由负载均衡方式，支持基于IPv4或IPv6的TCP、HTTP、DNS、ICMP等方式的链路探测。6、产品具备具有自主原创产品测评证书与《IPv6EnableLogo认证》证书。7、产品具备威胁情报检测、威胁情报库升级、失陷主机展示处置功能，具备网元服务链引流功能，具备共享接入检测、共享接入管控功能，能够通过RestfulAPI接口配置管理防火墙。8、产品的MTBF（平均无故障工作时间）的不可接受值高于5000h。3.5新一代防火墙(南北向）1、国产化设备。整机吞吐量≥80G。并发连接≥3000万。每秒新建连接数≥100万。标准2U机箱。冗余电源。板载1个MGT管理接口。1个HA接口。≥4T存储硬盘。≥4个千兆电口、≥8个万兆光口（含8个万兆多模光模块），≥2个40G光口（含2个40G多模光模块），整机支持8个接口板卡扩展插槽。1个Console口。2个USB接口。IPSECVPN支持≥200条隧道。2、支持MPLS流量透传。支持针对MPLS流量的安全审查，包括漏洞防护、反病毒、间谍软件防护、内容过滤、URL过滤、联动终端管控、邮件过滤、行为管控等安全防护功能。支持流量编排，可以通过引流策略定义不同类型的流量引入指定的服务链，匹配条件可以设置源安全域、目的安全域、源用户、源地址/地区、目的地址/地区、服务、应用、VLAN等。3、能够对HTTP/FTP/POP3/SMTP/IMAP/SMB等不少于六种协议进行解码与病毒查杀。本地病毒库规模不少于3000万。支持基于失陷主机的阻断、日志等处置动作。支持IPv4和IPv6流量的HTTPS、POP3S、SMTPS、IMAPS协议进行解密，支持配置基于源安全域、目的安全域、源地址、目的地址、SSL协议服务的解密策略，动作可以设置解密或不解密，解密类型支持SSL代理、SSL入站检查。4、支持基于主机或威胁情报视图，统计网络中确认被入侵、攻破的主机数量，至少可查看失陷主机、描述、命中数、动作、最近发现时间、首次发现时间、来源、用户名、资产、操作等信息。5、支持基于策略的路由负载，支持根据应用和服务进行智能选路，支持源地址目的地址哈希、轮询、时延负载、备份、随机、流量均衡、跳数负载等不少于12种路由负载均衡方式，支持基于IPv4或IPv6的TCP、HTTP、DNS、ICMP等方式的链路探测。6、产品具备具有自主原创产品测评证书与《IPv6EnableLogo认证》证书。7、产品具备威胁情报检测、威胁情报库升级、失陷主机展示处置功能，具备网元服务链引流功能，具备共享接入检测、共享接入管控功能，能够通过RestfulAPI接口配置管理防火墙。8、产品的MTBF（平均无故障工作时间）的不可接受值高于5000h。3.6上网行为管理1、2U国产化设备。应用吞吐≥5G，审计事件处理性能（EPS）≥45000，最大并发连接数≥350万，最大新建连接数（个/S）≥10万，≥6个千兆电接口（1个管理接口和1个HA接口），≥4个千兆光接口（含4个千兆多模光模块），≥4个万兆光接口（含4个万兆多模光模块），整机提供2个扩展插槽，提供2T硬盘。交流冗余电源。2、支持网关模式、镜像模式、网桥模式、多路桥接、Portal模式、多台设备主主模式部署等多种部署模式。3、支持IPv6环境下的网址访问审计、生成分析报表等功能。能够在IPv6环境下，正确审计显示用户的IPv6地址。4、支持集中呈现上网行为风险等级和状态，行为风险等级包括安全等级、效率等级、合规等级和管控等级。管控效果包含违规行为、关键字匹配、有效上网策略、风险应用、工作无关应用、消耗带宽应用、加密应用，运行状态包括接入用户，含移动终端用户、PC终端用户、多终端用户。可以统一展示安全状态、泄密风险状态、应用使用状态、合规状态、网络实时事件等，其中合规状态可以展示发帖用户Top5、风险类网站访问Top5等。5、支持通过DNS审计策略对DNS通信内容进行审计和控制、通过SNMP审计策略对SNMP通信内容进行审计和控制、通过NFS审计策略对NFS访问和传输文件进行审计和控制、通过NETBIOS审计策略对NETBIOS通信、登录名及文件、目录进行审计和控制，审计策略配置项包含名称、描述、优先级等，策略条件可以配置用户、时间、位置、工具等，策略动作可设置控制动作、记录方式、继续匹配其他策略等。6、应用协议库包含的应用数量不低于6000种，应用规则总数不低于10000种。支持不低于4000万条URL数据，支持URL库的自动与手动定期更新。7、为保障本软件平台自身的代码安全性，产品原厂商需具备软件源代码安全缺陷检测能力。3.7日志审计1、适配国产化部署环境，包含资产管理、日志采集、日志归一化、日志存储、日志查询、实时分析、关联分析、关联告警、统计报表等功能。对接现网的日志审计平台，包含1000个日志源授权，5年软件升级维护服务。2、支持对内网IP库的信息进行管理，设置内网名称、内网IP范围、地理位置、经纬度。支持编辑范化策略，如策略名、策略分组、设备类型、解析规则、状态、策略描述、特征正则、日志样本、非Key-Value解析数据提取、正则表达式、字段分隔符、Key-Value分隔符等内容。支持对选中的日志内容自动生成正则表达式来提取日志属性。3、支持对日志中的源和目的IP地址进行自动补全，补全IP地址的国家名称、城市名称等信息。能够在世界地图实时展示统计值、地理位置字段、其他等内容，其中统计值包括字段、统计等，地理位置字段包括字段、排序、TOP-N等，其他包含TOP、标题、副标题等。4、更好的应对等保合规检查，内置等保大屏展示。等保大屏界面必须包含（设备运行天数、日志源数量、原始日志数、关联事件数、告警总数、本地最早日志产生时间、已保存日志天数、平均每天日志存储量、存储空间情况）等界面效果展示。3.8国密堡垒机（含定制开发服务）1、采用国产化多核硬件平台和麒麟操作系统。标准2U机架式，支持≥6个千兆电口，≥4个千兆光口（含4个千兆多模光模块），内置国密加密卡（国密加密卡需要具备《商用密码产品认证证书》），支持一个扩展槽，内置≥6TB企业级硬盘，冗余电源。支持≥400路图形会话或≥2000路字符会话并发。授权1000个被管资源数，含国密堡垒机扫码登陆定制开发服务，实现与在用的协同签名对接。2、支持登录IP地址限制黑白名单多因子登录，支持微信小程序动态口令认证方式登录堡垒机，且当用户需要使用手机令牌登录时，需要强制绑定手机令牌。支持提供配套的运维安全管理系统手机app客户端，管理员可直接在app上远程审批工单、管理用户和资源、监控实时会话，支持显示水印功能，避免数据泄露无法追责。3、支持多种默认登录方式：密码登录，手机短信，手机令牌，USBKey,动态令牌，指纹登录等，也可以禁用更多登录方式，支持不少于10种主流国密USBKey认证。4、支持以云盘形式在堡垒机上存储常用文件，实现操作端、堡垒机、目标服务器三者之间文件共享（支持多文件下载，文件展示最近修改时间和权限）并进行审计。支持运维报表展示内容包括运维Top分析、资源访问次数、会话时长、来源IP访问数、会话协同、双人授权、命令拦截、字符命令数、传输文件数等。5、支持导出运维报表，展示粒度包含按小时、按天、按周、按月等，报表类型包含用户控制、用户源IP数、用户与资源操作、用户登录方式、异常登录、会话控制、用户状态等，文件格式包含PDF、DOC、XLS、HTML等。6、内置文件病毒扫描能力，实现本地上传文件到堡垒机网盘、主机上传文件到堡垒机网盘的文件传输扫描，针对病毒文件，可以执行信任、删除等操作，防止运维场景下传输病毒文件到IT系统中，威胁系统安全。7、含2台国密堡垒机扫码登录定制开发。3.9云服务器密码机1.国产化设备，性能描述：2U机箱，CPU：FT2000+64核，内存≥64G，硬盘≥1T*2，千兆电口≥2个，万兆光口≥2个（含2个万兆多模光模块），RJ45串口≥1个，USB口≥2个，550W冗余电源。遵循GM/T0088-2020《云服务器密码机管理接口规范》、GM/T0028-2014《密码模块安全技术要求》。产品具有获得商用密码认证机构颁发的《商用密码产品认证证书》。2、支持SM1、SM2、SM3、SM4等国产密码算法。支持RSA、3DES、AES等国际算法。支持虚拟1-64个虚拟机。对称加解密：支持SM1、SM4等算法的数据加密和解密运算。虚拟密码机全生命周期的管理：虚拟密码机的创建、启动、停止、漂移等。虚拟密码机安全漂移：支持虚拟密码机漂移功能，虚拟密码机的关键和敏感数据漂移过程中进行加密和完整性保护。虚拟密码机之间的完善的密钥隔离技术：通过KVM虚拟技术和虚拟化密码卡保障了密钥和运算的完美隔离。密钥生成与管理：支持通过物理噪声源生成SM2密钥对。随机数的产生：采用双物理噪声源生成随机数。3、支持对称加密/解密功能，支持分组加密的模式：ECB、CBC、OFB、CFB等模式。4、支持多种类型密码设备的虚拟化:包括时间戳服务器、签名验签服务器等设备的虚拟化。支持硬件资源按需分配：根据业务需求对硬件资源（CPU、内存等）进行按需分配，极大节省计算平台的设备资源投入。支持负载均衡（RR）、主备、负载均衡（XOR）、802.3AD(LACP)、负载均衡（TLB）、负载均衡（ALB）等多种模式配置。5、为保障系统数据加密安全，保障用户数据安全，需具备隐私信息管理体认证证书（ISO/IEC27701）与数据安全类一级证书。6、为确保系统密码改造对业务系统的高可用性、稳定性、及兼容性，降低维护排障时效，缩短排障周期，密码设备与密码卡、云服务器密码机与本项目中密码应用中间件应为同一厂家。3.10SSLVPN（含定制开发服务）1、符合国产化要求的VPN国密专用系统主机，2U机箱，冗余电源，≥2个10/100/1000M自适应电口、4个千兆光口（含4个千兆多模光模块），整机支持4个扩展槽。支持液晶屏，标配≥1T硬盘，标配国密卡，含200个用户授权，含5年硬件质保服务，含SSLVPN扫码登陆定制开发服务，实现与在用的协同签名对接。2、支持认证方式不少于12种，包含本地认证、证书认证、LDAP认证、Radius认证、POP3认证、SMTP认证、IMAP认证、HTTP认证、短信验证码、邮箱验证码、二维码认证、多因素认证，任何4种认证方式进行组合，主认证可以自由选择。3、管理员支持通过国密浏览器采用国密证书+国密key登陆设备进行设备管理、系统配置。支持动态域名解析，可自定义名字、域名、主DNS、次DNS、检测域名以及检测间隔等，支持希网、花生壳域名设置。支持防止中间人攻击