山东电子政务外网边界接入平台.docx
- 文档编号:29679399
- 上传时间:2023-07-26
- 格式:DOCX
- 页数:34
- 大小:23.13KB
山东电子政务外网边界接入平台.docx
《山东电子政务外网边界接入平台.docx》由会员分享,可在线阅读,更多相关《山东电子政务外网边界接入平台.docx(34页珍藏版)》请在冰豆网上搜索。
山东电子政务外网边界接入平台
山东省电子政务外网边界接入平台
一、项目概述
山东省电子政务外网公共服务域(原政务外网)分为省、市、县三级网络、覆盖全省17个市和省级政务部门。
市级政务外网覆盖本市所辖的县(市)区和市级部门,县级政务外网覆盖本县政务部门。
省网采用自建自管的模式;各市网分为旧网改造、自建、与运营商共建、完全依托运营商建设等多种模式。
省市长途线路带宽155M,市县带宽100M;部门接入带宽100M为主。
与互联网采用防火墙隔离。
山东省电子政务外网行政服务域(原政务专网)已经基本能够覆盖省、市、县大部分政务部门,该网于2002年开始建设,分省、市、县三级各自建设和部署。
省网、市网采用运营商代建的模式。
省市长途线路带宽155M,市县带宽100M为主;部门接入带宽20M/100M为主。
由国家部委建设、部署至省级的广域网6个,由国家部委建设、部署至省、市(县)级的广域网25个,部门自建广域网48个。
按照《山东省政务信息系统整合共享实施方案》(鲁政办发〔2017〕75号)“规范两张网”的要求,我省要将各部门自建、自有的业务专网规范到全省电子政务外网公共服务域(原外网)和行政服务域上(原专网)。
二、建设内容
1、山东省电子政务外网公共服务域到互联网的边界接入平台。
2、山东省电子政务外网行政服务域到公共服务域的边界接入平台。
三、建设原则
实用性、先进性、安全性、可靠性、兼容性及可扩展性
四、总体技术要求
(一)政务外网公共服务域公用网络区安全接入
政务外网公用网络区与互联网接入区之间要保证安全受控的数据交换,采取综合的安全防护措施,采用网络防护设备对接入业务提供安全防护。
部署安全数据交换系统的安全隔离网闸,采用边界防护手段将政务外网公用网络区和互联网接入区进行安全隔离。
部署防火墙、安全数据交换系统、安全隔离网闸、服务器,可信边界安全网关、防病毒网关、入侵防御等实现对进入公用网络区的网络数据包过滤、网络地址隐藏、网络隔离、数据交换与数据落地。
部署三层交换设备,实现同一安全域内的设备互联及业务流分离。
(二)政务外网行政服务域安全接入
采取综合的安全防护措施,采用网络防护设备对接入业务提供安全防护。
部署防火墙、可信边界安全网关、入侵防御系统、入侵检测系统、防病毒网关、安全数据交换系统、安全隔离网闸、服务器,实现数据包过滤,网络地址隐藏、网络病毒检查、恶意代码检测、网络间隔离、数据落地等。
五、设备清单及技术要求
序号
货物名称
技术要求
单位
数量
1
安全数据交换系统
硬件规格:
机架式;不少于4个10/100/1000BASE-T和2个SFP插槽,配置不少于2个SFP+接口(含模块);
性能参数:
★应用数据吞吐量≥6Gbps
数据库交换并发表≥4096
数据映射最大字段数≥1024
文件处理记录数≥3000条/秒
目录监控触发时间≤0.5秒
并发客户端数量≥30000
文件交换速度≥3Gbps
最大数据文件≥40G
任务调度粒度:
秒级
稳定性运行时间(MTBF)≥50000小时
主要功能:
支持SYSLOG、SNMPV2/V3;
支持ORACLE、SQLSERVER、DB2、MYSQL、达梦等主流数据库的同步,可实现异构数据库同步,对数据库所在操作系统无任何要求;
提供高级任务调度功能,包括:
任务带宽调度,任务执行周期/频率调度,任务优先级调度等;
支持对传输任务的源端文件策略、病毒查杀、同步周期、带宽分配等内容进行配置;
支持服务转发功能,需要使用请求服务的用户必须在系统中注册用户信息,用户信息包括用户名、密码、访问IP段等,对用户可以访问的WebService资源进行注册,未经注册的资源将不允许访问,对用户访问WebService资源的请求参数和响应内容进行过滤,采用关键字过滤的方式检查请求参数的响应内容,对不合法的请求或响应不允许传输;
具备对于账号安全的管理策略:
帐户错误登录次数达到所设置次数上限时,系统自动锁定一定时间;登陆系统后,一定时间内没有操作行为,自动退出登录。
支持对于登录失败次数及登录超时时间进行设置。
套
2
2
安全隔离网闸
硬件规格:
机架式;不少于8个10/100/1000BASE-T和2个SFP插槽,配置不少于2个SFP+接口(含模块);配置液晶屏;
性能参数:
整机吞吐量≥10Gbps
传输率≥6Gbps
并发连接数≥50000
开关切换时间≤5ns
延时≤0.1ms
稳定性运行时间(MTBF)≥50000小时
主要功能:
支持数据库、文件、视频流媒体、其他常见TCP/UDP协议数据传输通信;
提供API函数接口用于二次开发,包括C、JAVA接口类型;
支持双机热备、负载均衡;
基于专用客户端与网闸安全连接方式,发送、接收应用数据;
支持采用专用日志服务客户端程序处理系统日志;
支持IPV6网络协议。
台
2
3
集中监管控制系统
硬件规格:
机架式;不少于4个10/100/1000BASE-T
性能参数:
并发数≥200000
监控管理业务≥8000
最大审计用户数≥20000
稳定性运行时间(MTBF)≥50000小时
主要功能:
提供安全接入平台不同层次(接入终端、平台、链路、业务、使用单位等)的信息注册和管理功能。
包括对接入平台的基础信息、建设情况、运维情况、链路情况、设备情况进行详细登记,对接入业务的基础信息、扩展信息、协议信息、使用单位信息、终端设备信息进行登记;
提供对接入终端的注册信息、设备信息、用户信息、安全状况、网络连接情况、业务应用情况的查询统计;
提供整个平台总拓扑视图,在视图上能够根据链路实时动态监控各种设备当前的运行状况,能显示各个边界接入业务的实时流量,显示整个平台的重要报警信息。
能够实时看到各种业务当前的运行状态(正常、异常)和当前日流量、总流量等。
并能够按需生产网络流量信息的报表,如果流量超过事先设置的阀值则报警;
能够根据链路、归属单位、操作方式、接入对象来统计任意时间段内的流量、交换次数、审计次数、报警次数等信息;
实时监控各种设备当前运行状况(包括CPU使用、内存使用、虚拟内存使用、平均负载率、硬盘容量、网络流量等信息);
采用syslog服务搜集安全接入平台内各个服务器、前置机和网络设备(如三层交换机,防火墙,IDS、网关、光闸等)的日志信息;
提供用户行为监控,对用户的登录状态、操作行为、访问资源进行监控并提供查询统计;
通过被动采集(SYSLOG和SNMPv2、v3)设备日志和网管信息和主动安全策略来判断设备是否故障,一旦故障则启动报警;
通过采集数据安全系统发送的日志信息来判断业务是否停止、内外网资源是否不可访问等故障信息,一旦故障则启动报警;
通过采集各种设备发送给监管系统的异常事件信息来判断是否出现安全事件,如病毒、木马被发现,未授权访问请求被接受等,一旦事件发生则启动报警;
支持报警信息对外发送功能,包括短信报警和邮件报警等,对外报警接口可以进行报警源、报警组件、报警对象和报警规则的配置;
提供用户行为审计,即用户信息、用户访问的资源、访问的时间等信息;
提供业务应用审计,即业务应用系统信息、数据传输流量、传输时间、传输具体内容等;
提供设备状态审计,即设备的启停时间、次数、流入流出流量、设备资源使用状况等;
提供异常行为审计,即异常发生时间、业务信息、设备信息、异常具体内容等;
套
2
4
集控探针
硬件规格:
标准机架式;不少于4个10/100/1000BASE-T
性能参数:
并发数≥100000
监控管理业务≥5000
稳定性运行时间(MTBF)≥50000小时
安全加固Linux系统;
支持SYSLOGv2/SNMPv3、Telnet、ICMP协议方式的数据和信息采集。
台
2
5
数据整合服务系统
硬件规格:
标准机架式;不少于4个10/100/1000BASE-T
性能参数:
应用数据吞吐量≥1Gbps
数据库到数据库交换最大并发表≥2048
数据影射最大字段数≥512
数据库到数据库交换记录数≥5000条/秒
数据库到数据库最小延迟≤150ms
数据交换监控触发时间≤0.5秒
任务调度粒度:
秒级
承载最大任务数≥300
稳定性运行时间(MTBF)≥50000小时
主要功能:
支持多种主流数据库,ORACLE、SQLSERVER、DB2、MYSQL、达梦等;
可定义业务的抽取过滤规则,并根据抽取过滤规则对数据进行严格的格式检查和过滤,根据系统管理员配置进行数据抽取任务;
具有灵活的数据抽取冲突选项,支持覆盖、丢弃、插入备份表;
支持多种抽取方式,支持全表、触发、时间戳、标识字段;
人性化的配置管理界面,可以在统一的界面上配置数据整合抽取任务;
可根据预先配置的数据抽取间隔时间,进行数据抽取;
灵活的抽取字段配置,可自定义抽取字段项;
支持不同类型数据库之间及异构数据库的数据类型转换。
台
2
6
防火墙
硬件规格:
机架式设备;不少于6个10/100/1000BASE-T和4个SFP插槽,配置不少于2个SFP+接口(含模块),支持配置2个以上可插拨的扩展槽;模块化双冗余电源;
性能要求:
整机吞吐率≥30Gbps;
并发连接数≥900万;
主要功能:
支持智能DNS及DNS Docting功能;
支持在一台物理设备上划分出最大4094个相互独立的虚拟系统;支持配置文件、系统服务等系统功能虚拟化,支持路由、链路聚合等网络功能虚拟化,支持安全策略、NAT策略、带宽管理、认证策略、IPV6功能、URL过滤、异常行为分析、病毒过滤、内容过滤、审计、报表等安全功能虚拟化;
多操作系统引导,系统需在设备启动过程中进行选择;具有防共享接入特性,能够有效识别、报警并阻断局域网网络共享行为;
支持APT防御,不依赖于攻击、恶意代码等特征库进行检测,对未知漏洞攻击(0day/1day漏洞)、木马、病毒具有检测能力;
支持异常行为检测;
内置DLP数据防泄漏引擎;
支持识别的加密文件格式不少于10种,压缩文件格式不少于20种;
内置预定义报表模板,支持根据通信流量、上网行为、威胁统计等来源数据库自定义报表模板;支持一次性报表及周期性报表,可自定义统计时间,支持报表按照PDF、WORD及EXCEL格式导出。
台
4
7
入侵检测系统
硬件规格:
机架式设备;不少于6个10/100/1000BASE-T和4个SFP插槽,配置不少于2个SFP+接口(含模块),支持配置2个以上可插拨的扩展槽;模块化双冗余电源;
性能参数:
整机吞吐率≥10Gbps
最大并发连接数≥800万
配置3年以上攻击规则库特征库升级授权;
功能参数:
要求攻击规则库、应用识别规则库、URL过滤库,病毒库独立分开,支持手动、自动、以及离线升级。
能够针对4000种以上攻击的攻击行为、异常事件,以及网络资源滥用流量进行检测;
具备独立的URL监测引擎。
支持黑白名单,精确匹配和模糊匹配,支持超过1000万个URL地址;
支持DNS异常包及DNSFlood攻击检测,支持DHCP异常包及DHCPFlood攻击检测,支持ARP异常包及ARPFlood攻击检测;
支持独立的DDOS检测及检测基线自学习的能力。
支持DDOS机器人自学习功能,学习时间可设置;
能够根据数据内容而非端口智能识别包括P2P、即时通讯、移动应用等在内的多种应用;
支持多种形式的日志存储,本地存储、发送至日志服务器、本地日志服务器双存储、自动方式判断日志服务器状态自动决定日志的记录方式;
支持按照时间、源IP、源端口、目的IP、目的端口、网络接口、风险级别等条件生成统计分析报表,报表内容包括攻击检测、病毒检测、应用识别、URL检测四大类;
支持IPV6网络协议。
台
2
8
可信边界网关
硬件规格:
机架式设备;不少于2个SFP插槽,配置不少于2个SFP+接口(含模块),
性能参数:
最大新建连接数≥4000次/秒;
最大并发连接数≥15000条;
每秒事务数目(TPS)≥25000次;
最大吞吐量≥3Gbps;
稳定性运行时间(MTBF)≥50000小时
主要功能:
支持多条证书链
对外部服务器向平台应用服务器提交数据进行认证及授权审计及链路安全保障
身份认证:
对用户进行身份认证;
保证外部接入用户的唯一性和真实性;
设备认证:
对外部接入终端进行认证,保证终端接入的唯一性和真实性;
授权访问:
对外部接入用户实现基于IP、基于资源的授权访问和控制,对于异常访问进行阻止;
集中监控:
将接入信息统一报至集中监控与审计系统;
通过数字证书标识用户身份,包括验证数字证书的信任域、有效期;
支持标准LDAP协议;
能够通过资源定义对用户进行访问控制。
支持黑、白名单;通过黑名单和白名单策略,对用户能否访问业务系统做入门级控制;
支持穿透模式和代理模式;
支持多种结构业务系统,支持B/S、C/S结构业务系统;
提供标准接口,支持应用系统接入;
基于ACL技术,对系统资源进行内容访问控制;
与权限管理系统联合,完成用户访问业务系统的细粒度控制,控制管理员IP地址;
支持本地审计日志,提供查询功能和备份功能;
支持标准日志输出,可将日志信息发送到远程审计系统。
台
4
9
入侵防御系统
硬件规格:
机架式设备;不少于2个SFP插槽,配置不少于2个SFP+接口(含模块),支持配置3个接口扩展槽位,最高支持32个网络接口;
性能参数:
网络层吞吐量≥10Gbps
最大并发连接≥400万
每秒新建会话数≥12万
主要功能:
支持基于恶意代码库的僵尸网络防护能力,支持持续升级恶意代码库;
提供策略模板功能;
支持Web信誉机制。
支持IPv6环境下攻击检测技术和基于IPv6地址格式的安全控制策略;
提供攻击特征库,可针对网络病毒、蠕虫、间谍软件、木马后门、扫描探测、暴力破解等恶意流量进行检测和阻断;
具有身份认证功能,支持标准的RADIUS和LDAP接口及第三方认证平台,支持至少每周定期升级攻击特征库,遇到重大安全事件,提供即时升级;
具备攻击快照功能;
能识别主流的应用程序。
台
2
10
防病毒网关
硬件规格:
机架式设备;不少于6个10/100/1000BASE-T和4个SFP插槽,支持配置8个接口扩展槽位,最高支持32个万兆接口,冗余电源;
性能参数:
网络吞吐量支持≥20Gbps
最大并发连接数≥800万
主要功能:
支持透明接入,在透明部署模式下,单台设备可实现非对称路由模式环境下的协议病毒阻断;
支持可执行病毒、宏病毒、木马、蠕虫、间谍软件、恶意脚本等混合型病毒文件的过滤;
通过协议进行威胁文件过滤,支持HTTP、SMTP、FTP、POP3、IMAP、SMB协议过滤;
支持对具有认证机制的协议探测防御,如SMTP、POP3、IMAP、SMB、HTTP、FTP协议的探测扫描、暴力破解防护;
支持对活动、通讯状态下的网络恶意行为的阻断功能、阻断时长、自动黑名单加入、白名单的参数设定;
支持1000万以上数量的恶意代码库;
支持IPV6网络协议;
需为专业防病毒设备,而非UTM、防火墙等模块化、组件化产品,支持透明桥模式。
防毒引擎要求为国产品牌,具有自主知识产权,且不可嵌入第三方引擎。
台
2
11
网络审计系统
硬件规格:
机架式设备;不少于6个10/100/1000BASE-T和4个SFP插槽,配置不少于2个SFP+接口(含模块),不少于2T存储空间:
支持配置2个接口扩展槽位,支持扩展双硬盘;冗余电源。
性能参数:
整体吞吐率≥20Gbps;
主要功能:
支持实名审计,支持802.1x,PPPoE,AD等环境下终端IP地址和用户实名信息或主机信息绑定显示;
支持对HTTP协议进行审计;
支持共享协议(SMB文件共享、NFS共享)审计;
支持对网络入侵行为IPS规则的管理和侦听,并对攻击信息审计(攻击流行程度、风险等级、操作系统、攻击类型等);
内置高危SQL查询和注入、远程命令执行、跨站脚本攻击等高危指令告警规则,支持流量趋势分析、IP分组流量统计,可以对传输协议、应用协议、应用协议组、源目的地址、源目的端口进行统计分析,可以多条件组合分析;
支持系统旁路部署下的攻击阻断;支持防火墙联动方式的阻断;
当常用系统出现故障可以使用备用系统恢复;
一体化设备;支持扩展软件授权许可;
支持IPV6环境部署和IPV6环境下网络审计系统全部功能的审计。
台
2
12
文件服务器
机架式;2个英特尔至强处理器E5-2630v4,64GB(4x16GB)DDR4-2133智能内存,8个SAS2.5英寸小尺寸(SmartDrive)硬盘槽位;
台
4(利旧)
13
数据库服务器
机架式:
2个英特尔至强处理器E5-2630v4,64GB(4x16GB)DDR4-2133智能内存,8个SAS2.5英寸小尺寸(SmartDrive)硬盘槽位;
台
4(利旧)
14
交换机
硬件规格:
不少于24个万兆SFP+,2个40GQSFP+口,配置配置不少于10个SFP+接口(含模块),支持冗余电源;
性能参数:
交换容量≥2.5Tbps
支持MAC地址≥288K
支持ARP表项≥44K
主要功能:
支持静态路由、RIPV1/2、URPF;
支持OSPF、IS-IS、BGP、RIPng、OSPFv3、BGP4+、ISISv6;
支持MPLSL3VPN、MPLSL2VPN(VPLS/VLL)、MPLS-TE、MPLSQoS;
支持堆叠,主机堆叠数不小于9台;
支持纵向虚拟化;
支持G.8032标准环网协议,支持CPU保护功能;
台
7
15
操作系统
WindowsServer2012
套
8(利旧)
16
数据库
SQLSever2012中文标准版
套
4(利旧)
六、其他要求
提供本项目所需全部跳线和实施本项目所必需的辅助材料,费用包含在报价内。
七、售后服务要求
1)提供以上所投产品原厂3年质保服务(签订合同前提供原厂质保承诺函)。
安全数据交换系统原厂商提供至少1人3年驻场服务。
2)中标人提供终身检修服务。
工作日2小时内上门服务,非工作日4小时内上门服务。
如在使用过程中,设备出现故障,投标人2小时内无条件提供相同型号备机,24小时内恢复系统的正常运行,并提供设备维修报告。
3)建立巡检制度,质保期内技术支持工程师每月至少巡检一次,并出具巡检报告。
4)提供设备原厂技术培训,培训人数5人,培训时间7天,在设备投入使用前,中标人对采购人系统管理人员提供系统培训,使采购人能够胜任系统的全部运行、操作、维护以及故障分析处理。
投标人应提供全面、详细的培训方案,培训方案至少包括如下内容:
培训计划、培训大纲、培训人数、培训教材和师资等。
注:
以上加“_________”部分为★条款内容,如不满足,按无效投标处理。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 山东 电子政务 边界 接入 平台
![提示](https://static.bdocx.com/images/bang_tan.gif)