高性能异构数据库系统建设项目需求

高性能异构数据库系统建设项目需求一、项目概况1、背景及目的在采购人信息化建设、学科建设以及数字化转型的过程中，数据库存在分散建设、性能低下、无网络以及数据安全防范措施的问题。这些问题影响了信息化系统的使用，尤其是面临着数据丢失和数据泄密等重要问题。建立统一的数据库平台，为信息化系统的数据库提升性能、加强数据管控和安全防范，有利于采购人信息化建设。2、项目的主要功能及用途2.1高性能异构数据库融合系统包含2个计算节点和3个存储节点及配套交换机，存储容量≥180T，CPU核数≥112，内存≥2TB，需搭载运行数据库资源池管理平台、数据库监控管理平台，可以快速创建高性能多类型的数据库并提供统一的数据库管理平台。2.2数据库防火墙支持透明桥接模式，提供数据库防护、敏感数据发现和防护、虚拟补丁等功能，万兆光口≥4，基于数据库协议层为数据库提供安全防护、数据发现。2.3数据库运维管控平台需支持旁路部署，支持常用数据库的代理运维和管理,数据库运维许可≥70，为开发人员、临时数据访问提供安全可控、多层级的数据库层面的管控功能。2.4运维审计和风险控制系统（堡垒机）提供服务器远程运维审计、管理功能。2.5防火墙万兆光口≥4，提供7层协议识别和管控能力，为数据库系统提供网络层的访问控制和审计记录。3、项目的必要性及意义提升数据处理性能：高性能异构数据库融合系统是为数据库应用优化的硬件平台，它集成了计算、存储和网络资源，能够提供高性能的数据处理能力。对于需要处理大量数据和高并发访问的信息系统来说，数据库一体机可以显著提高业务系统的响应速度和处理效率。增强数据安全性：配套的数据库安全设备，如虚拟补丁、数据库运维、访问控制和审计功能，可以降低数据未授权访问、数据泄露、篡改和其他安全威胁的影响。符合我国《数据安全法》等法规的要求。确保业务连续性和可用性：高性能异构数据库融合系统采用高可用性设计，存在冗余架构和故障转移机制，确保关键业务系统在部份硬件故障或其他意外情况下仍能持续运行。降低总体拥有成本：集中供给的数据库系统降低了单个数据库系统的管理维护成本，降低了数据安全建设的难度。二、项目内容及需求情况1、采购货物清单序号标的明细数量（单位）1高性能异构数据库融合系统计算节点2(台)存储节点3(台）IB交换机2(台）管理交换机1(台）数据库私有云平台软件1(套）智能分区软件（用于计算节点）2(套）2数据库防火墙数据库防火墙1(台)3数据库运维管控平台数据库运维一体机1(台)4运维审计和风险控制系统堡垒机1(台)5防火墙防火墙1(台)2、详细需求2.1高性能异构数据库融合系统参数要求类型指标项参数要求1.计算节点1.1单台配置机架式计算节点，高度为2U，标配原厂导轨。1.2CPU型号配置≥2个处理器，性能不低于IntelXeonGold6348(28Core,2.60GHz)。1.3内存配置≥1024GB内存。1.4硬盘配置≥2块960GBsataSSD。1.5网络端口配置≥2块10Gb双端口以太网卡（含模块）+2个1Gb以太网端口。1.6内联网卡配置≥2块双端口100Gb内联高速网卡（配置内联线缆）。1.7冗余电源配置冗余电源。2.存储节点2.1单台配置机架式存储节点，高度为2U，标配原厂导轨。2.2CPU型号配置≥2个处理器，性能不低于IntelXeonSilver4310(12Core,2.10GHz)。2.3内存配置≥128GB内存。2.4硬盘与槽位配置≥2块480GBSATASSD固态硬盘（用于操作系统），配置≥16块3.84TNVMeSSD（用于数据存储）。2.5网络端口配置≥2个1Gb以太网端口。2.6内联网卡配置≥2块双端口100Gb内联高速网卡（配置内联线缆）。2.7冗余电源配置冗余电源。3.100GbIB交换机3.1端口数量≥36端口。3.2端口速率≥100Gb/s。3.3管理具备带外管理功能。3.4冗余电源配置冗余电源。4.1Gb管理交换机4.1端口数量≥48端口。4.2端口速率≥1Gb/s。5.数据库私有云平台软件功能描述5.1资质要求所投产品原厂商应具备所投产品的软件著作权登记证书。5.2架构概述为保障平台架构的安全性，数据库私有云平台产品须采用计算、网络、存储三层物理分离的架构模式，通过软硬一体化的设计及对主流数据库系统预集成与优化，为复杂的数据库环境提供强劲性能保障和可视化的监控管理。5.3混合部署支持在同一架构内将不同负载的数据库部署在不同的计算资源池中，如高负载的数据库部署在物理资源池，低负载数据库部署在分区资源池，底层共享同一套分布式存储资源池，投标时提供详细的技术说明。5.4数据库支持5.4.1为保障平台资源的高效利用及数据库的稳定运行，支持在同一套架构内部署不同数据库模式，如支持Oracle、MySQL、SqlServer、MongoDB等数据库。支持为每个数据库系统申请独立的OS、CPU资源，且共享底层同一套分布式块存储资源池。5.4.2为满足国产化建设需求，提供数据库私有云平台和DM、HotDB、Gbase、SinoDB、KingBase、MogDB、Vastbase国产数据库间的兼容证明。5.4.3为保护数据库应用集群共享架构下数据的读写安全，平台存储应支持SCSI3PR及CAW锁。5.5可靠稳定性平台可预防计算节点故障、存储节点故障、内联交换机故障、数据库实例高可靠性、磁盘介质故障、交换机端口故障的发生。5.6存储调控能力5.6.1支持Burst调控，提供相关技术说明。5.6.2支持不低于4组多活存储链路来增加存储带宽，防止因存储节点网卡带宽不足导致性能瓶颈。5.7缓存功能5.7.1为保障分布式数据库资源池资源有效利用，分布式存储软件须支持全闪和缓存两种架构模式，同时缓存架构管理机制应当智能化，能够根据数据访问特征进行自动的优化调整，同时支持管理平台实现缓冲池等相关信息查看，如：缓存模式、刷新级别、脏块占比、缓存使用率等，支持缓存模式与刷新级别在线修改。5.7.2支持缓存部件在线迁移更换，在SSD介质寿命到期前可在不发生数据重构的基础上在线完成闪存介质的在线更换。5.8扩展性5.8.1具备良好的水平扩展能力，可实现计算节点、存储节点、网络节点的在线扩展。支持计算节点可扩展至64个以上，存储节点可扩展至128个以上。支持计算能力和存储容量多层级颗粒度的扩展，支持新添加资源后数据自动均衡。5.8.2在整个资源池扩展重构过程中，1TB数据重构时间应少于10分钟。5.8.3支持分布式存储资源池的在线扩展和收缩，支持一键扩容、减容节点，一键扩容、减容存储磁盘，以便于满足后续数据量的增长。5.9可视化监控管理5.9.1支持所有平台组件，包括操作系统、集群、分布式存储、数据库等一站式集中统一管理，提供可视化运维管理和监控功能。5.9.2支持平台硬件可视化运维，查看每台服务器的基本运行状态，支持平台硬件等关键部位的潜在故障具有提前预警能力，可快速定位故障部件。5.9.3支持数据库的可视化运维，包括数据库基本信息的查看、数据库schema、表空间、数据文件等维护管理等。5.9.4支持平台智能巡检功能，可直接下载巡检结果。5.10资源池管理功能5.10.1通过高性能分布式存储软件，把存储节点上的高速存储资源送到计算层，能够实现计算节点对存储资源的共享访问和IO高效输出，支持多副本方式实现数据高可靠性保护，数据写入存储节点时使用并行方式。5.10.2支持对分布式存储池副本数量在线修改，如2副本修改为3副本，从而应对业务场景变更、业务重要程度变更带来的数据冗余度在线调整需求。5.10.3支持QoS管理，支持逻辑卷读写QOS管理、逻辑卷读/写带宽管理、总IOPS限制、总IOPS峰值限制，避免业务之间发生资源抢占。5.10.4支持逻辑卷管理，包括逻辑卷的创建、挂载、删除等，可支持对其进行扩容、复制、迁移、快照等功能。5.10.5数据重构支持自动或手动两种模式：自动模式下，能够自动检测业务压力，根据业务压力自动调整重构级别，无需手工干预，避免对业务产生影响。手动模式下可以手工定义设置恢复速度级别，支持的多种重构速率级别设置。5.10.6可实现对存储介质的运维管理功能，并支持磁盘防错插功能、支持在4K小块随机读写和1M大块混合读写下的性能稳定性测试。5.11云分区资源管理5.11.1支持在计算资源池中同时部署多种数据库系统，且每个数据库运行环境相互独立，每个数据库具备独立的操作系统、CPU、内存等资源，且共享底层同一套分布式块存储资源池，从而保障数据库系统的独立运行与安全隔离。5.11.2支持异构数据库资源池的维护管理，包括资源池的创建、扩容、删除等维护操作，以及资源池的名称、节点规模、CPU及内存资源分配情况等信息查看。5.11.3支持集群状态下云主机互斥模式，保证集群云主机不在同一个物理节点，支持云主机的创建、开机、关机、配置、克隆、保存为模板、VNC连接等功能管理，支持云主机的可视化信息维护，包括云主机的名称、CPU核数、内存、管理IP状态、所属资源池、所在主机等信息查看。5.11.4支持网络资源可视化运维管理，支持物理网卡管理，包括节点名称、节点IP、物理网卡名称、网卡型号、PCI地址、用途、状态等信息的查看。支持vSwitch管理，包括vSwitch新增、删除等维护操作，支持SR-IOV管理，包括新增、删除等维护操作。5.11.5支持IP自动管理模式，包括IP资源池的创建、删除、修改等功能管理，支持IP资源池的可视化信息管理，包括IP资源池名称、类型、网段、网关、IP数量、IP段列表、已使用IP段等信息查看。5.12服务要求提供原厂首次实施部署服务、5年原厂7×24技术支持和质量保障服务，包括硬件保修和软件系统升级服务，项目验收前提供所投产品原厂供货证明及售后服务承诺函。2.2数据库防火墙参数要求：指标项技术规格要求1.产品规格2U机架式（专用硬件平台），冗余交流电源，板载管理口≥2GE，板载业务口≥6*GE+4*GE（SFP）+4*10GE，扩展槽位≥2个。内存≥64GB，硬盘≥8T。标配≥50个数据库(IP+Port)授权。支持网络流量≥3Gbps,支持纯数据库流量≥300Mbps。2.部署模式支持透明网桥模式、代理模式、透明代理模式、旁路模式部署。3.高可用机制3.1支持HA双机主备自动切换，支持策略同步、会话同步机制，保障主备间的一致性。3.2支持产品断电Bypass和在线Bypass容灾功能，可启动/关闭Bypass能力，保障系统异常环境下的网络畅通。3.3网桥模式下，HA支持bypass。3.4支持一键导通能力，进一步保障业务连续性。4.协议支持4.1支持国际数据库类型：Oracle、SQLServer、MySQL、Db2、Informix、PostgreSQL、MariaDB、Percona、Greenplum、SybaseASE、InterSystemsCache、Teradata、Vertica、SAPHANA。4.2支持国产数据库类型：DM、GBase8a、GBase8t、KingbaseES、OSCAR、SG-RDB(MySQL)、SG-RDB(PostgreSQL)、GaussDBA、GaussDBT、OceanBase、TeleDB、TelePG、CirroData、EsgynDB。4.3加密链路防护：

支持Oracle的高级安全加密。

支持Hive的Kerberos加密审计与防护。4.4支持IPv6。5.防护能力5.1支持两种防护模式：

会话阻断：支持依照策略配置对存在风险的会话进行阻断。

拦截语句：支持依照策略配置对会话中的风险语句进行拦截，但不影响会话原有的连接状态。5.2支持通过“SQL语句关键字”“SQL语句模板关键字”等条件控制，防止敏感操作执行。5.3支持通过数据库名称、数据库实例、Schema、表名、字段名、函数等关联信息解析和设置防护规则。5.4内置默认防护规则，支持场景：高危操作、权限变更、批量数据泄露或篡改、撞库、无where更新或删除、SQL注入、系统表非法操作、错误码提示等。5.5支持进行敏感访问操作行为防护：

定义非法访问：通过客户端IP、数据库用户、客户端工具、客户端MAC、OS用户、主机名、时间等。

管控高危操作、权限变更行为：通过全部对象或指定对象的ALTERTABLE、DROPTABLE、TRUNCATE等高危操作行为拦截。

防止大量数据修改、删除、泄露：通过精细化管控受影响数据行数(阀值)，超出阀值的行为进行阻断。拦截nowhere引起的整表更新、整表清空的误操作。

防止敏感信息泄露与敏感对象访问：支持批量添加敏感对象，与操作行为进行关联。5.6支持数据库攻击行为防护：

支持口令攻击防护，可基于频次判断失败登录风险。

支持SQL注入、XSS跨站攻击等外部行为防护。5.7支持数据库漏洞攻击防护：

提供针对利用已公开的数据库漏洞攻击行为进行拦截的虚拟补丁功能。

漏洞分类应涵盖：缓冲区溢出、权限提升、拒绝服务攻击等，至少提供500个以上虚拟补丁。漏洞补丁规则管理维度，包括：漏洞名称、CVE标识、CNNVD标识、漏洞类型和影响范围。5.8支持防护白名单，信任特定行为或语句，可以设置为放行审计，也可以设置放行不审计。5.9支持结果集内容作为规则判定的条件，结果集包含敏感数据，则直接拦截或阻断。6.防护规则管理6.1规则可关联数据库，也可关联数据库类型。关联数据库类型后，可选择自动关联后续添加的数据库。6.2结果集审计支持按全局开启，也可以按照具体规则进行开启。6.3告警数量支持最大告警数量限制，超过告警阈值之后便不告警。6.4可以针对每条规则配置不同告警次数限制，灵活控制告警频率。6.5支持IP地址、数据库用户、时间、对象、操作系统用户、客户端工具、数据库实例分组，并且分组对象可以直接在规则中引用。6.6支持现有的数据库防火墙配置和规则进行平滑迁移，满足校内原有数据库防火墙、数据库静态脱敏系统等数据安全产品统一管理及扩展接入的需要。7.行为审计7.1支持查看语句、会话、脱敏等行为审计，可基于客户端IP、被保护数据库、数据库用户等维度进行分析。7.2支持语句、会话等多维度的详情检索能力。7.3支持客户端IP别名设置，针对不同客户端IP自定义别名展现。8.风险分析8.1支持基于SQL语法解析实现SQL操作的风险识别能力，非正则方式模糊匹配。8.2支持风险统计：统计全局和单库的风险命中情况。

支持风险源分析：基于客户端IP、数据库用户、工具分析风险来源。8.3支持风险、语句、会话等多维度的详情检索能力。9.告警与外送9.1支持按照风险高、中、低、通知，进行告警通知。9.2支持规则命中后的风险告警。9.3支持规则告警与规则、数据库关联，实现不同规则、风险级别、数据库以及数据库类型的告警发送给不同收件人，方便进行风险的排查。9.4告警方式包括：邮件、短信平台、SYSLOG、SNMP、企业微信、钉钉群助手、防护系统前台界面。9.5支持SYSLOG方式进行数据外送，可外送审计数据、会话信息、新型语句模板、系统审计日志。9.6支持自定义编辑外送模板。10.学习建模10.1提供学习期并基于学习期完成语句、会话、行为建模，构建数据库安全防护模型。通过学习期捕获全量的SQL语法，归类形成SQL语句模板，可辅助建立信任语句规则对合法的SQL模板默认放行策略。10.2可提供学习期分析报告，对学习期触发的违规行为类型和数量进行统计和分析。11.报表11.1支持图表结合展现，支持柱形图、饼状图、条形图，双轴折线图等多种统计图展现形式。11.2支持专项报表展现，针对风险、性能、访问源、账户等信息做专项报表展现。11.3支持按日、周、月等时间周期生成综合报表。支持风险登陆、高危风险、客户端风险等多种类型报表展现。12.系统管理12.1支持三权分立，系统默认设定系统管理员、规则配置员、审计查看员、操作日志查看员等角色。12.2可以新建不同用户，分配不同数据库权限和不同的菜单管理权限，不同用户之间数据隔离。可创建多层子账户。12.3系统支持LDAP/AD域对接，支持AD域用户关联防护系统用户，通过AD域账户统一登录安全防护系统。12.4具有自身安全审计功能，可以对防护系统的所有用户操作进行审计记录。13.数据管理13.1支持审计日志数据的备份，支持自动备份，备份时可以选择高性能或高压缩比。支持将备份的日志上传到的远程服务器，服务器类型支持FTP、SFTP、NFS方式。13.2支持恢复已备份的审计日志数据，以便查看历史审计记录。13.3支持对存储空间的监控，当空间不足时可进行告警。

支持对审计数据的清理，可按在线条数、磁盘空间等阈值进行自动清理。2.3数据库运维管控平台参数要求指标项技术指标1.产品规格内存≥64G、磁盘≥8T、数据库（IP+PORT）授权数≥70个、板载管理口≥2*GE、板载业务口≥6*GE+4*GE(SFP)。2.部署方式支持网桥模式、代理模式、透明代理模式部署。3.高可用机制3.1支持HA双机主备自动切换，支持策略同步、会话同步机制，保障主备间的一致性。3.2支持产品断电Bypass和在线Bypass容灾功能，可启动/关闭Bypass能力，保障系统异常环境下的网络畅通。3.3网桥模式下，HA支持bypass。3.4支持一键导通能力，进一步保障业务连续性。4.协议支持支持国际数据库类型：Oracle、SQLServer、MySQL、Db2、PostgreSQL、Informix、SAPHANA、InterSystemsCache。支持国产数据库：DM、CirroData、TeleDB、TelePG。支持大数据：Hive、Impala。5.运维身份认证支持WEB认证、UKEY、证书认证、密码代填四种身份认证方式。身份认证后，通过与运维管理系统设置的防护规则联动，实现数据库准入和数据库操作行为防控。6.密码代填6.1基于系统内运维自然人身份关联数据库账号，使每一个运维人员都具有专属的运维账号密码，实现数据库账号及密码对运维人员保密的前提下开展数据库运维和管理工作。且不需要进行软件安装部署。6.2支持批量录入数据库账号。6.3支持批量创建数据库账号与运维人员对应关系。7.企业身份管理7.1支持运维人员按照所在企业组织架构管理，对其进行用户权限设置及运维身份加强认证配置等。7.2支持LDAP/AD域对接，将AD域用户与运维系统用户关联，可通过域账户统一登录运维系统。7.3支持抽取企业身份进行安全策略配置，包括：管控策略、脱敏策略、信任策略等。8.智能访问建模8.1支持对被保护数据库的访问路径进行访问模型建模，可对访问来源追溯分析与信任标记。8.2支持建模期结束后自动进入保护状态，可感知异常访问风险，为规则配置提供参考数据。8.3“访问建模”信息包含:数据库名称、数据库IP、数据库账号、客户端工具、客户端IP。8.4支持根据实际需要进行建模周期调整。9.运维申请审批9.1系统内可设置普通用户（运维人员）、一级审批人、二级审批人、操作管理员角色，并对其设置不同数据库管理权限。9.2支持运维人员提交运维申请，选择对应审批人，并根据操作时间指定执行时间段。9.3支持运维人员按实际操作的语句行为提交运维申请，包括访问来源（IP、数据库用户、客户端工具），可对全部对象或指定对象进行SQL操作行为申请。9.4支持运维人员以完整SQL语句形式提交运维操作申请。在提交语句申请时，可选择一次申请单条或多条语句。9.5支持运维人员上传脚本文件至系统中提交运维申请，一次可最多可支持10个脚本文件上传。9.6支持复制已有申请，并可对未通过的申请执行撤回或加急通知审批人审核操作。9.7支持多级审批账户对提交的运维申请动作进行审批。

支持同时审批后方可生效，或任一级审批即可生效。9.8运维人员提交运维申请并审批通过后，系统会发送给运维人员特定的审批码，运维人员必须凭借审批码登录，方可执行运维动作。9.9支持提示通知发送，当运维人员提交申请后，系统会自动发送通知给审批员，审批员审批某个申请后，系统会自动发送通知给申请人，通知方式支持邮件、短信平台。10.运维流程审计10.1支持对运维人员的申请类型、申请内容、申请时间、审批人、审批状态进行查看。10.2支持审批人快捷查看所有待审批申请。10.3支持将申请审批信息与执行语句进行关联分析。11.防护能力11.1支持两种防护模式：

会话阻断：支持依照策略配置对存在风险的会话进行阻断。

拦截语句：支持依照策略配置对会话中的风险语句进行拦截。11.2支持通过数据库名称、数据库实例、Schema、表名、字段名、函数等关联信息解析和设置防护规则。11.3内置默认规则，支持场景：高危操作、权限变更、批量数据泄露或篡改、撞库、无where更新或删除、SQL注入、系统表非法操作、错误码提示等。11.4支持进行敏感访问操作行为防护：

定义非法访问：通过客户端IP、数据库用户、客户端工具、客户端MAC、OS用户、主机名、时间等。

管控高危操作、权限变更行为：通过全部对象或指定对象的ALTERTABLE、DROPTABLE、TRUNCATE等高危操作行为拦截。

防止大量数据修改、删除、泄露：通过精细化管控受影响数据行数(阀值)，超出阀值的行为进行阻断。拦截nowhere引起的整表更新、整表清空的误操作。

防止敏感信息泄露与敏感对象访问：支持批量添加敏感对象，与操作行为进行关联。11.5支持数据库攻击行为防护：

支持口令攻击防护，可基于频次判断失败登录风险。

支持SQL注入、XSS跨站攻击等外部行为防护。11.6支持防护白名单，信任特定行为或语句，可以设置为放行审计，也可以设置放行不审计。11.7支持针对SQL语句配置防护规则。11.8需拥有通过数据包进行会话处理的专门技术，依据会话信息准确判定所执行的数据库操作的性质，以便于明晰运维访问或应用访问所引发的问题，进而有效进行数据库运维。12.防护规则管理12.1规则可关联数据库，也可关联数据库类型。关联数据库类型后，可选择自动关联后续添加的数据库。12.2结果集审计支持按全局开启，也可以按照单库和具体规则进行开启。12.3告警数量支持最大告警数量限制，超过告警阈值之后便不告警。12.4可以针对每条规则配置不同告警次数限制，灵活控制告警频率。12.5支持IP地址、数据库用户、时间、对象、应用用户、操作系统用户、客户端工具、数据库实例分组，并且分组对象可以直接在规则中引用。12.6提供默认对象组，内置主流数据库的系统对象信息，可直接在规则中引用。12.7支持对有特定业务需求的敏感数据通过自定义脱敏函数实现脱敏。12.8支持通过申请人申请脱敏例外，审批通过后可看到原数据。12.9针对SQL语句中的敏感信息,可自定义规则进行数据掩码展现，防止数据二次泄密。13.告警与外送13.1支持系统告警：系统告警内容支持网卡异常、分区超限、异常关机、CPU超限、内存超限、会话超限、表数据增量异常、证书服务过期等。支持按照风险高、中、低、通知，进行告警通知。可及时发现系统问题，跟进处理。13.2支持规则命中后的风险告警：风险告警内容支持触发规则风险内容，并支持根据风险等级进行告警通知。14.报表14.1支持图表结合展现，支持柱形图、饼状图、条形图，双轴折线图等多种统计图展现形式。14.2支持各类报表展现，针对风险、性能、访问源、账户等信息做专项报表展现。15.系统管理15.1支持三权分立，系统默认设定系统管理员、规则配置员、审计查看员、操作日志查看员等角色。15.2可以新建不同用户，分配不同数据库权限，实现不同用户之间数据隔离。15.3系统支持LDAP/AD域对接，支持AD域用户关联防护系统用户，通过AD域账户统一登录安全防护系统。15.4具有自身安全审计功能，可以对防护系统的所有用户操作进行审计记录。16.数据管理16.1支持审计日志数据的备份，支持自动备份，备份时可以选择高性能或高压缩比。支持将备份的日志上传到的远程服务器，服务器类型支持FTP、SFTP、NFS方式。16.2支持恢复已备份的审计日志数据，以便查看历史审计记录。16.3支持对存储空间的监控，当空间不足时可进行告警。

支持对审计数据的清理，可按在线条数、磁盘空间等阈值进行自动清理。16.4达梦DM7、DM8官方兼容性认证，提供证书复印件。KingbaseES官方兼容性认证，提供证书复印件。OceanBaseV2.2、V3官方兼容认证，提供证书复印件。南大通用GBase8a和GBase8s官方兼容认证，提供证书复印件。统信操作系统官方兼容认证，提供证书复印件。海光官方兼容认证，提供证书复印件中科可控H系列、R系列服务期官方兼容认证，提供证书复印件。金蝶官方兼容认证，提供证书复印件。17.服务要求提供原厂首次实施部署服务、5年原厂7×24技术支持和质量保障服务，包括硬件保修和软件系统升级服务，项目验收前提供所投产品原厂供货证明及售后服务承诺函。2.4运维审计和风险控制系统参数要求指标要求技术参数要求1.产品规格授权资产≥1000个。性能：并发字符连接≥3000个。并发图形连接≥500个。2.用户管理要求2.1支持用户多角色划分功能，如系统管理员、部门管理员、运维员、审计管理员、密码管理员等，对各类角色需要进行细粒度的权限管理。支持自定义用户权限。2.2支持用户的批量导入/导出。支持用户安全策略功能，如用户有效期、用户登录时间限制、用户登录IP范围、用户登录MAC限制等。2.3支持按部门组织架构（至少10个层级的部门）管理用户数据、资产数据、授权数据、审计数据，且数据相互隔离。可按部门层级分别设定各部门不同权限的管理员，如部门内的运维管理员、审计管理员、系统管理员等。每个部门管理员仅可管理本部门及下级部门的相关配置。2.4支持标准化对接CAS、JWT、SAML2、OAuth2单点登录认证，且支持配置是否自动创建堡垒机中不存在用户。3.设备管理要求3.1单点登录支持调用多种本地客户端工具：字符：xshell、secureCRT、putty、MobaXterm，图形：mstsc、realvnc，文件传输：secureFX、flashFXP、filezilla、winscp、Xftp、MobaXterm，数据库：ssms、sqlwb、DBeaver、mysqlcli、DbVisualizer、MySQLWorkbench、MySQLFront、PLSQL、SQLPlus、db2cmd、QuestCentral、pgAdmin3、psql、Ksql、lsql、Dlsql、DMmanager、GbaseDataStudio、Toad、ToadForDB2、navicat系列，无需应用发布服务器。3.2IE、谷歌或火狐浏览器代填应用发布：HTTP/HTTPS协议的web设备，且可以直接代填账号和密码。3.3支持自动收集设备IP、运维协议、端口号、账号、密码、与用户的权限关系，可自动完成授权。4.数据库管理要求4.1标准支持DB2、Oracle、MySql、SQLServer、PostgreSQL、KingbaseES、DM、GBase8a、GBASE8s的协议运维代理，可实现自动登录，自动登录可直接调用本地windows系统的数据库客户端工具（包括ssms、sqlwb、DBeaver、mysqlcli、MySQLWorkbench、MySQLFront、DbVisualizer、PLSQL、SQLPlus、Toad、ToadforDB2、db2cmd、QuestCentral、pgAdmin3、psql、Ksql、Isql、DIsql、DMmanger、GBaseDateStudio、navicat系列等），无需应用发布前置机。4.2支持在Mac操作系统下调用navicat工具运维MySQL、Oracle等数据库资产。4.3数据库支持命令管控能力，可以实现阻断会话、阻断命令、审批、直接放行4种动作，精确到数据库，表、字段级别。4.4支持同时对数据库会话记录图形审计及命令提取，并且实现点击任意一条数据库命令，自动跳转到对应的录像片段。4.5支持对数据库运维会话的上行和下行命令进行审计。5.自动改密要求5.1支持对常见数据库及国产数据库的自动改密功能，包括DB2、oracle、mysql、sqlserver、PG、人大金仓、GBase8a、GBase8s、达梦数据库等。5.2支持对Web应用的自动改密功能，并且支持随堡垒机提供的改密插件录制向导，通过改密插件自动生成web应用的改密脚本。5.3支持设置改密时登录某一服务器的时间间隔，以防止因登录频繁被服务器认为是暴力破解行为。支持设置改密计划验密最大尝试次数及超时时间，以防止特定情况下验密动作被误认为是暴力破解行为。6.运维方式要求6.1支持B/S架构进行堡垒机运维管理，至少支持使用IE、谷歌、火狐、MicrosoftEdge等浏览器打开堡垒机的Web页面直接调用mstsc、VNC、Xshell、SecureCRT、Putty、winscp、flashFXP、FileZilla、SecureFX等本地运维客户端工具。6.2支持Windows/macOS操作系统下C/S架构的堡垒机专用客户端，可通过此专用客户端登录堡垒机，对堡垒机进行简单的管理及运维资产操作。6.3支持UOS/麒麟等国产操作系统下C/S架构的堡垒机专用客户端登录堡垒机并进行管理及运维操作。6.4运维客户端自带运维工具，可不依赖xshell/Securecrt/mstsc等工具进行运维操作。6.5客户端还至少需支持资产分组、资产连通性检测，批量运维、资产运维审批、命令审批、二次运维审批等能力。其中资产分组操作支持个性化设置，即每个运维人员可单独设置分组，相互之间独立。6.6客户端支持通过访问域名堡垒机，且客户端支持AD认证、第三方认证系统联动认证登录6.7支持使用本地的SecurCRT/Xshell/OpenSSH工具通过SSH网关代理方式直接登录字符设备。7.审计日志要求7.1支持审计主流数据库（如DB2、oracle、mysql、sqlserver、PG、GBase8a、人大金仓、达梦）运维中的SQL语句，可进行关键信息定位查询，并可过滤数据库客户端自动发起的语句，方便查询真实人为的数据库操作。7.2支持运维用户查询用户本人的运维审计会话，减轻审计管理员的负担，并且帮助运维用户提高运维效率。8.安全策略要求8.1支持对重要命令进行审核：运维人员执行命令后，需等到管理员审批通过后才可执行成功。可选择性设置自定义时间内未审批，对命令自动放行。执行命令的运维人员在运维待审批命令时，可选择终止此命令。8.2对于审批操作，可以设置多级审批人及审批人有权限审批的对象，审批对象类型支持用户和用户组两种，审批类型包括：运维工单、密码工单、预授权工单、紧急运维工单、自动运维任务、命令审批、运维二次审批等。9.系统管理要求9.1支持系统升级后，再回退至升级前的版本。方便用户处理割接过程中出现的突发情况。9.2支持NAS/CIFS存储。2.5防火墙参数要求指标项技术参数要求1.高可用性1.1内置HA保护。1.22支持双OS备份，主OS故障时备份OS自动切换，切换时间小于500毫秒。2.性能参数最大吞吐量≥20Gbps，2千兆电口+4千兆光口+4万兆光口。3.管理数据流3.1最大支持数据流条数不限。3.2支持对整个系统进行全局策略管理和分析统计。3.3.支持对各条数据流进行独立的策略管理和分析统计。3.4支持虚拟隧道，基于IP组定义并对其统计。4.工作模式4.1支持透明网桥模式。4.2支持路由模式。4.3支持NAT模式。4.4支持旁路分析模式。4.5支持路由、NAT、网桥和旁路分析的混合模式。4.6支持HA双机热备。5.网络接入5.1支持路由功能。5.2支持NAT。5.3虚拟LAN接口和WAN线路最大支持大于2000个。5.4支持PPPOESERVER，单台最大支持32000用户在线，可针对用户上线发布公告，用户到期提醒和过期提示。5.58支持外部BAS认证（PPPOE旁路功能）。6.应用路由6.1支持基于5元组，应用协议，DSCP标签等条件对流量做路由牵引。6.2支持对P2P下载、网络电视、网络游戏、Web视频和普通HTTP流量做应用分流。6.3支持利用2000条以上WAN线路进行分流。6.4分流状态及信息的实时统计。6.5支持根据时间进行路由规则的策略调度。7.负载均衡7.1支持多条WAN线路之间的负载均衡。7.2负载均衡最大线路数≥2000条。7.3负载均衡模式支持源IP、目标IP、源IP加目标IP、4元组（源IP、源端口、目标IP、目标端口）四种方式。8.协议识别8.1支持对2～7层流量的识别能力，特别是针对第7层的应用识别能力，能够识别主要应用协议，并逐级细分P2P下载、网络视频、网络电话、游戏、HTTP协议的子类别和具体客户端名称，比如HTP协议---Web视频---土豆、网络游戏---移动游戏等。8.2支持国内各类常见协议≥1000种，其中大型游戏≥300种，现网协议识别率≥95%8.3支持DPI、DFI、节点跟踪、主动探测、加密分析等多种技术，对已经采用加密技术的P2P类应用比如BT、迅雷、Skype、eDonkey、Qvod、PPFilm、百度影音等精确识别。8.4协议精细分类且必须包含：移动浏览器（如iPhone手机上网）、应用商店（如安卓市场、手机报等）、云服务、网络支付（招商银行、兴业银行等）、移动游戏（手机游戏、iPad游戏）。9.流量控制9.1支持基于全局、数据流向、共享用户、移动终端、应用协议/协议组。和IP/IP群组的速率控制。9.2支持允许、阻断、带宽限速等控制动作。9.3可根据时间和在线用户数等条件使用不同的策略组来控制流量。9.4支持单条策略总控和单IP限速，可分别设置总控带宽和单IP带宽，可设置为一个具体的数值如50kbits/s，也可设置为一个范围如10-100kbits/s。9.5支持策略嵌套，在同一条策略中，既可以针对特定对象(IP或应用)进行总的数据通道控制，也可以单IP限速，同时可并列匹配“DSCP标记”等参数，实现策略的高度灵活性和简洁性。9.6支持基于5元组、应用协议、共享用户和移动终端等条件，对数据包做DSCP标记。9.7控制参数包含：线路、数据流向、内网地址、外网地址、传输协议、应用协议、内网端口、外网端口、共享用户数、执行动作、优先级、内网IP限速等。9.8限速的最小控制粒度为1kbps。9.9支持检测并控制网关“一拖N”行为功能。基于7层协议特征检测网关后面的私有IP地址信息，并能以“共享IP数”如“共享用户超过3人”为触发条件，对宿主IP进行两大类控制动作：9.10支持基于IP地址的“优先级”调度功能，支持0-6七个优先级。9.11支持同时基于应用协议和IP地址的优先级调度功能。10.连接数控制10.1基于应用协议/协议组，支持针对内网每IP的TCP、UDP和总并发连接数控制。10.2支持限制内网IP到外网特定目标地址的每IP的TCP、UDP和总的应用并发连接数控制。11.HTTP管控11.1支持URL访问控制。11.2支持第三方分类URL库手动上传，实现基于“类型”的URL过滤功能，URL库容量默认为10万条（可扩展）。11.3支持URL重定向。11.4支持Web信息提示。11.5支持（HTTP方式）文件类型的访问控制，控制用户通过HTTP方式访问或下载.exe、.rmvb、.mp3等类型的文件。11.6支持根据内网IP、文件类型、访问方法(GET或POST)和目标URL等参数设置控制策略。11.7可根据时间和在线IP数等参数启用相应策略。12.智能DNS12.1可根据源IP、目标IP、访问域名、所在线路等组合条件实现对域名访问的控制。12.2域名控制方式支持阻断、劫持和重定向。12.3支持根据不同运营商源IP地址源解析域名。12.4支持根据应用协议为条件实现对域名的访问控制。13.移动终端的识别与控制13.1支持识别并统计网络中的移动终端类型以及各种终端的在线数量，目前支持iPhone，Huawei，ZTE，Motorola，Samsung，小米等主流厂家的手机识别和统计。13.2支持移动终端手机上网识别，如区分IPhone、三星、小米、IPad、IPod、iTunes、Android等。13.3移动终端信息统计，如访问IP、首次访问时间、最近访问时间。13.4对移动设备的网络访问进行控制和管理。14.策略调度14.1支持策略调度：基于时间、基于在线IP数，或者二者同时匹配进行策略调度。14.2支持基于每周每工作日、或自然月日两种方式设置策略调度。14.3支持enable、disable功能。15.监控统计15.1可提供整个系统、各数据流的流量和连接数统计图表。15.2实时显示各协议组的当前速率、连接数等统计信息，自动刷新。15.3可实时显示某个IP的当前速率及连接明细，以便于异常流量诊断。15.4可提供IP对应的身份信息，如QQ号码、MSN帐号、POP3帐号等。15.5可根据应用速率、流量和连接数等条件进行排序。16.集中管控16.1支持列表方式集中实时呈现设备状态。16.2支持地图方式集中实时呈现设备状态，自动锁定设备地理位置，图形化展示License到期、设备断线等重大信息。16.3支持从集中管控平台进行设备免认证登录。17.数据镜像17.1支持端口镜像功能。可根据设置条件将类如迅雷、网桥设备上行方向、某IP/IP段、iPhone手机上网流量、未知协议等流量等镜像至指定网络接口，与第三方审计设备联动，便于用户做精细化、个性化的数据分析。17.2HTTP管控中，特别支持将WWW访问流量转发至指定网络接口，供第三方审计设备深入分析用户的网站访问习惯、兴趣等运营数据。支持与Cache（缓存系统）联动。17.3支持与Cache（缓存系统）联动。18.网络服务质量分析支持分析每一条TCP连接基于应用的时延进行检测，应包括：应用类型、客户时延（网关到客户端的网络时延），服务时延（网关到服务器的网络时延）、应用时延（会话上下行首包时间差）、最大包长（会话上下行最大包的长度）。可以进行时延排序,以快速判断“网络慢”的故障原因。19.管理维护19.1支持中文Web管理界面。19.2安全的HTTPS、SSH管理方式。19.3Web方式的升级维护。20.威胁情报阻断和威胁情报库升级20.1要求设备中内置威胁情报资源库，可以识别数字货币情报、恶意软件情报、僵尸网络情报、Web攻击情报等目标地址或目