网络设备及网络安全系统技术需求书

附件1.网络设备及网络安全系统技术需求书1概述天津市消防局广域网采用星型结构，以消防局为中心节点，下属支队级单位和中队为接入点，各接入点与总队之间直接建立连接，初期的带宽为2M，随着数据流量的增加可以方便地扩充至多个2M。系统建设后应能够保证消防局与下属支大队、中队、直属单位间实现数据传输和共享，能够保证视频和语音实时传输；保证消防局内部通信网络在网络安全、可靠性等各个方面适应未来应用系统的发展，在保护已有的投资的基础上，实现公安部要求的远程教育、电视电话会议系统，即利用广域网资源，实现交互式视频会议、远程培训等功能。2网络状况和功能需求2.1网络状况天津消防现有的网络，采用公安的传输网络连接。即消防局通过千兆以太网连接到市公安局，消防支大队采用百兆以太网方式接入分局公安网，并利用公安局到各分局的网络，实现数据网络互通。主要传输公安网的数据应用业务。现在已租用E1线路，构建消防局直达21个消防支队、51个消防中队和5个直属单位的综合业务网络。其中有13个支队分别和1个中队的在同一驻地使用一条E1线路。而且购置了Loop-e-s1590-BR、Loop-C5400机架式转换器和8口以太网交换机。从消防局到8个单独的支队，分别再租用1条E1线路。1.2.2项目主要实现下述功能：要求在建成专线上按一定的方式划分时隙实现多种业务传输。（包括“119”、视频、公安网应用和固定资产管理系统业务等）对119业务系统和视频会议这2种关键业务，一是要确保119数据通道（64Kbps带宽）任何时候不被其他业务占用，二是要确保视频会议带宽强制使用，以保证业务的实时性，不能受突发数据业务的冲击。支队和中队的数据业务，与原有的公安网传输通道合用。并在建成的E1的线路上划分部分带宽，与公安数据网互为路由备份，进行动态流量分配，以保证数据业务的可靠传输。五个直属单位及中队接入公安网。（其中仓库、修理所具有119数据业务）。在局端和支队端，采用三层交换技术，使公安网与2M数字电路网相互融合，实现公安网故障时的网络路由备份。防止病毒侵害防止物理破坏、数据篡改、黑客攻击、信息泄漏。网络用户管理视频会议系统设立消防局1个主会场，21个分会场。整个视频会议系统通过单向WEB登陆方式让5个直属单位和51个中队利用E1线路（抽时隙）可以单向收看视频会议系统（带宽1.2~1.5Mbps）,远程教育终端与总队视频会议系统有机形成整体，分会场总数为77个。今后随着网络条件的改善，提供给视频会议业务使用的带宽也会随之提高，可扩展更高带宽。能够同时召开双向互动模式、双流模式的22方电视电话会议和51方远程教育视频会议。视频会议系统具备硬盘录像功能。各支队能够同时召开对下属中队的多点远程教育电视电话会议。建立消防局消防远程教育培训系统用户管理分中心和多点视频控制单元（MCU），作为部消防局系统的二级节点（总队直属单位为总队级系统节点接入单位）；各支队建立消防远程教育培训系统多点视频控制单元（MCU），作为系统三级节点（大、中队等支队下属单位为支队级系统节点接入单位）。能够支持远程教学公共服务，实现电子白板、文件传输、应用共享。同时面向个人提供三级服务：即时通信、视讯通讯、桌面视频会议，级别一次升降，上级服务包含下级服务。远程教育终端，能通过授权主动参加总队视频会议系统的会议，或被总队视频会议系统召集参加会议，形成有机形成整体，分会场总数为77个。今后随着网络条件的改善，提供给视频会议业务使用的带宽也会随之提高。3天津市公安消防局网络资源现状：1）内外网物理隔离2）内网网络核心交换机为电信级插槽式交换机（港湾6805）3）各楼层交换机为固定配置二层交换机（港湾3550E）4）楼层交换机是堆叠模式5）楼层交换机通过光缆上联核心交换机6）配置有港湾网络管理软件新建的网络拓扑图（建议）新建公安消防业务网平台一定要延续我局前期设备投入，要利用现有网络管理软件，实现整个网络系统管理，包括拓扑实现，远程配置，合理规划和划分整网IP资源，保证网络业务的正常运行并具有可扩展性。并且投标集成商需提供本项目集成实施方案及集成的实施。1、网络规划与管理1)我单位现有核心层交换机、汇聚层交换机均为港湾公司产品，考虑设备兼容性、网管统一性，便于日后维护管理，确保整体系统稳定，网络设备推荐港湾公司产品。新建公安消防业务网平台一定要延续我局前期设备投入，要利用现有网络管理软件，实现整个网络系统管理，包括拓扑发现，远程配置，合理规划和划分整网IP资源，保证网络业务的正常运行并具有可扩展性。2）此项目核心交换机与原有核心层交换机级联，使用ERRP协议，实现链路环回保护，并在逻辑成为一台设备进行管理，并做到双机热备份。核心层交换机性能指标I/O扩展槽≥8交换容量≥256G支持标准网络协议IEEE802.3;IEEE802.3u;IEEE802.3x;IEEE802.1q千兆以太网电接口≥12个千兆以太网光接口≥12个配置14块GBIC多模光纤模块，其中10块用于下联接入交换机，4块用于双核心交换机互联。硬件防火墙模块2块，其中有一块是加在原有核心交换机上电源2+1备份，要求提供冗余电源插槽式机箱支持ERRP链路环回保护协议扩展支持MPLSVPN可支持万兆支持802.1Q的VLAN划分≥4KMAC地址≥64K支持基于端口的ACL支持IPMulticast、COS、TOS等IPQoS技术支持SNMPV1/V2，支持RMON管理IEEE802.1P，每端口支持的优先级队列数≥4个支持802.1D生成树；具有802.1ad端口捆绑功能三年原厂保修服务3）两台核心交换机均配置内嵌硬件防火墙模块，使核心交换机各端口具备内网防护能力，使应用服务器集群避免遭受来自网内的攻击，增加内网各Vlan、各部门之间的安全控制手段及安全防范能力。4）双链路连接局内接入交换机、服务器、外网防火墙，保证链路层、物理层的安全及快速切换能力。局内楼层交换机每台增加一个多模光纤模块，和新增加的核心交换机连接，实现链路冗余。由于信息点的增加，再增加2台二层交换机（48口，型号和原有楼层交换机一致）通过双链路，上联到两台核心交换机上。5)为各支、大队重新构架局域网。为支大队新购置三层交换机。为保证各支大队服务器千兆接入此三层交换机，在三层交换机上增加2个千兆电接口，并再可扩展2个千兆口保证以后的扩展能力。还应具有2个堆叠接口，以备今后端口扩展之需。此三层交换机用于连接公安网和2M的综合业务平台。2、接入层交换机性能指标支持完善的ACL访问控制策略，支持基于用户MAC地址、IP地址、IP协议（TCP/UDP）、TCP端口号、UDP端口号以及基于时间的ACL控制完善的QoS保障支持基于流的多层CoS、ToS，满足实时多媒体业务如会议电视等应用的需求全面的路由技术支持，包括OSPF路由支持的单播路由协议和组播路由协议24个10/100M固定电口4个SFP或GBIC接口,配2个千兆电模块，另外有两个堆叠接口背板交换容量为>=32Gbit/s，包转发率>=9.6Mpps6)建成的网络可实现现有各项消防业务的应用。7)提供消防局在整个公安网中，使用消防局IP段的技术方案。3、网络终端安全资产管理功能1)终端安全管理系统可以收集到各种信息资产，存放在服务器的数据库中。2)终端安全管理系统可不断跟踪终端的变化，从而保证管理员随时得到最新的信息。3)资产管理收集功能的信息包括各种硬件信息－IP地址、CPU、内存等，包括各种软件信息－安装的软件产品、补丁等。4)终端安全管理系统支持将计算机划分为特定的组，每个组可以拥有自己的策略，策略包括了补丁安装列表、文件安装列表、完整性检查策略。补丁管理功能1)终端安全管理系统可以建立一个专门的检查机制用于检测补丁安装情况。2)终端安全管理系统可以为每种补丁建立了一套特征，通过该特征可以检查补丁是否安装。3)补丁管理功能可以检查Windows平台上的操作系统、IE、Office、SQLServer等主流软件补丁安装情况，保证仅仅安装需要安装的补丁。4)补丁管理功能允许用户创建自己的补丁和补丁检查特征。5)可以通过Internet连接到更新网站，手动下载更新补丁包，并在内网上完成安装，由补丁管理服务器下发。4、千兆防火墙技术要求：支持千兆位数据流量，满足电信级骨干网需求。具备先进的安全域(SecurityZone)概念结构，策略设置更趋灵活合理。应集成防火墙、入侵检测、VPN、带宽管理、认证、审计的全方位防护。可工作在路由、透明、NAT模式下。提供多网口防火墙，满足复杂环境多子网访问控制需求。可支持业界标准的802.1QVLAN协议，可划分逻辑子接口并提供路由和透明模式下的802.1QVLANTrunk能力。可提供Console、SSH、HTTPS等多种管理手段。具备千兆级防拒绝服务网关，抵御SYNflood,UDPflood,ICMPflood,TearDrop,Smurf,LandAttack,PingofDeath等多种当今流行的DoS/DDoS攻击。提供对链路和设备的自动检测，小于1秒的切换时间可避免单点故障造成的网络瘫痪，保证网络持续运作能力。结构模块化，可扩展性强,部署灵活，维护方便，易于管理。应具备冗余可热插拔部件设计，提供最大的网络正常运行时间。具备负载均衡功能，可提供对8台服务器的负载均衡。可进行全面的用户认证功能，提供Radius,MSNT域，SecureID和LDAP等多种认证方式。可提供千兆级VPN解决方案。在VPN连接方面应支持网关到网关，拨号客户到网关，移动子网到网关及星型拓扑连接。支持大规模VPN部署。提供对H.323协议的完美支持。具备3个以上千兆光口，用于WLN、LAN接口。三年硬件免费保修、软件升级。5、杀毒软件技术要求：在现有防毒系统（趋势科技网络版）基础上增加510个客户端。可实现整个防毒体系的正常运转。可支持多种方式的升级、下发（引擎、病毒码、损害清除程序等）。6、服务器专用机柜：2米高，1米深的标准服务器专用机柜，要求国产品牌，此次新购买的服务器都要以导轨的方式安装。7、光纤存储系统：为局机关服务器集群构建光纤存储系统，为进口知名品牌，需要如下设备：8口FCSWITCH一台，HBA卡6块，3.3TB全光纤存储盘阵一台。双控制器，>=2个2GBFC端口支持14个以上Ultra320SCSI驱动器配置容量>=3.3TB，最大物理存储容量>=12TB具有RAID级别0、1、10、5以及50