石家庄智慧环保.docx
- 文档编号:29799961
- 上传时间:2023-07-27
- 格式:DOCX
- 页数:36
- 大小:34.96KB
石家庄智慧环保.docx
《石家庄智慧环保.docx》由会员分享,可在线阅读,更多相关《石家庄智慧环保.docx(36页珍藏版)》请在冰豆网上搜索。
石家庄智慧环保
石家庄市“智慧环保”一期工程A部分-A标段
招标文件
编号:
HBBJ-2015-052-A
项目名称:
石家庄市“智慧环保”一期工程A部分-A标段
采购内容:
网络设备购置
招标方式:
公开招标
本项目最高限价:
676万元
第二章招标内容与技术要求
采购产品清单
序号
设备清单
数量
1
环境监控云平台建设
核心交换机
1
2
汇聚交换机
4
3
虚拟化安全防护软件
1
4
威胁发现设备
1
5
下一代防火墙
1
6
万兆级防火墙
2
7
云计算节点应用服务器
6
8
云数据中心管理平台服务器
1
9
云存储
1
10
光纤交换机
6
11
数据备份设备
1
12
云平台相关软件
1
13
数据中心系统开发整合
1
产品参数要求
核心交换机
功能及技术指标
参数要求
备注
★多级多平面转发架构
支持多级交换架构,能够配置独立的交换网板与独立的主控板,交换网板与主控板硬件槽位分离
★设备空间要求
≤15U
★业务插槽数
业务插槽数≥8
★交换容量
≥27Tbp
★包转发能力
≥6700Mpps
主控引擎
主控引擎模块≥2,满足1+1冗余,主控槽位与业务线卡槽位宽度相同,为全宽槽位
★交换网板冗余
独立交换网模块≥4
电源模块冗余
电源模块冗余
关键部件热插拔
主控交换卡、电源、接口模块、风扇、等关键部件可热插拔
★接口要求
以太网支持千兆电口,千兆光口,万兆光口、万兆电口、40G端口、100G端口,提供官网链接
单槽位万兆端口密度≥48
单槽位100G端口密度≥2,提供官网链接
支持FCoE接口
可靠性
双引擎快速倒换,主备切换时候板内转发无丢包
支持NSF/GRforOSFP/BGP/IS-IS
支持热补丁功能,可在线进行补丁升级
支持BFD,BFDforVRRP/OSPF/RSVP/LDP/RIP/静态路由。
★虚拟化
多虚一技术(N:
1),要求N≥3
虚拟化(1:
N)要求N≥3
多业务扩展
支持安全业务插卡FW、IPS、NSM、ACG、LB,均能够采用独立专用硬件实现。
安全特性
支持IEEE802.1ae介质访问控制安全技术
支持端口隔离
支持IP+MAC+VLAN+PORT的绑定
支持报文过滤功能,黑洞路由、黑洞MAC
管理特性
支持Console/Telnet/SSH2.0
支持SNMPv3
支持RMON
证书要求
提供工信部入网证
★其它要求
与汇聚交换机同一品牌;提供原厂授权及售后服务承诺函
★配置要求
单台设备配置双引擎、双电源、4块交换网板;千兆电口≥48、千兆光口≥48、单板万兆光口≥16个;万兆单板≥2个;配置≥24个千兆多模模块、≥12个万兆多模模块。
汇聚交换机
功能及技术指标
参数要求
备注
★交换容量
≥3.5Tbps
★转发性能
≥160Mpps
电源
支持可插拔模块化双电源冗余
★接口类型
可扩展端口业务插槽数(非堆叠槽位)≥1
固定端口要求:
≥24个100/1000Base-X千兆SFP端口
≥4个10/100/1000Base-T以太网端口
≥2个万兆端口
堆叠
支持远程堆叠
VLAN特性
支持基于MAC的VLAN;最大VLAN数(不是VLANID)>=4094
镜像功能
支持流镜像
同时支持4组多对一的端口镜像
路由协议
支持IPv4静态路由、RIPV1/V2、OSPF、BGP
管理和维护
支持SNMPV3、RMON、SSHV2
支持OAM(802.1AG,802.3AH)以太网运行、维护和管理标准
★资质认证
要求提供信产部入网证和检验报告
★其它要求
与核心交换机同一品牌,提供原厂授权及售后服务承诺函
★配置要求
配置双电源
单台设备配置千兆光口≥24(配24个光模块)
万兆光口≥2个(配2个万兆多模模块)
虚拟化安全防护软件
名称
功能
招标文件要求
虚拟化防护软件
虚拟化平台要求
★支持≥48个CPU授权。
★产品必须可以和虚拟化产品集成,并具有虚拟环境、系统基础建设层集成能力
产品控制台上以虚拟器物理主机为单位,进行策略配置、部署和管理
产品以虚拟器物理主机为单位实施客户端/代理安装以及部署
从虚拟器物理主机层提供防护,其中虚拟机皆无需安装任何客户端/代理便能由主机继承安全策略、防护
兼容性保障
虚拟化平台支持:
必须支持主流虚拟化产品
产品功能要求
产品必须具备集中控管的功能,能够统一的管理和配置,并且日志能够统一的在集中控管平台上呈现
★产品具备在服务器安装补丁前,防护针对此补丁攻击的功能
产品必须提供特征库更新功能,实时追踪并保护最新动态威胁
产品必须提供自动扫描功能,能针对服务器弱点、漏洞进行安全检测并自动形成防护
★产品必须提供DPI(深度内容检测)功能,可以同时保护操作系统以及服务应用(数据库,Web,DHCP等)
★产品必须提供防火墙功能,可集中控管防火墙策略,策略定制可以针对IP、MAC地址或通讯端口,可保护所有基于IP通讯协议(TCP、UDP、ICMP等)和所有框架类型(IP、ARP等)
产品支持防御应用层攻击、SQLInjection及Cross-site跨网站程序代码改写攻击的功能
★产品必须提供操作系统虚拟补丁功能,并且能够保护Windows(2000,XP,2003,Vista,7,8,2008),SunSolaris(8,9,10,11),RedHatEL(4,5,6),SuSELinux(9,10,11),CentOS(5,6),AmazonLinux
(1)等操作系统
★产品必须提供防病毒功能,能够提供官方病毒码下载地址
★产品必须可以保护以下类型数据库服务器的功能,Oracle,MySQL,MicrosoftSQLServer,Ingres
产品必须可以保护以下类型邮件服务器的功能,MicrosoftExchangeServer,Merak,IBMLotusDomino,Mdaemon,Ipswitch,Imail,MailEnableProfessional
产品必须可以保护以下类型文件服务器的功能,Ipswitch,WarFTPDaemon,AlliedTelesis
产品必须可以保护以下类型备份服务器的功能,ComputerAssociates,Symantec,EMC
产品必须可以保护以下类型存储服务器的功能,Symantec,Veritas
产品具备能够监控操作系统和关键应用包括注册表项、关键目录、特定目录变更,以防范恶意修改的功能
产品必须能够自动感知和保护虚拟环境的变更和迁移
对于使用vCloud的用户,产品必须具备与vCloud集成的功能,实现vCloud环境中的多租户对安全的自助服务
★服务要求
原产品提供3年免费升级服务
针对数据中心虚拟化平台安全产品提供原厂的安装、配置、培训服务
投标产品需提供国产软件登记证书
产品厂商通过中国信息安全评测认证中心的《信息安全服务资质》资质认证
必须提供原厂商出具的项目授权和售后服务承诺函
提供特征库、产品版本的升级
提供7×24小时本地化现场支持服务
提供安全事件紧急响应服务
提供重大流行病毒的紧急处理方案
提供一年四次原厂上门巡检服务
威胁发现设备
威胁发现设备(带沙盒分析模块)
项目
招标文件要求
规格要求
标准机架式、四核处理器、8GB内存、硬盘:
2x500GB以上、吞吐量:
480Mbps
扫描对象
可扫描网络第2层至第7层数据流量
可选择特定协议或IP地址自定义检测
支持自定义IP地址、URL、域名与文件的访问监控
支持协议:
支持超过40种协议,如HTTP、FTP、SMTP、POP3、TFTP、TCP、UDP、NFS、SNMP、ICMP、RTMP、DNS、IRC、SMB、数据库协议(MSSQL、MySQL、Oracle)等
恶意文件侦测
能够侦测各种文件型病毒,如木马、殭尸、后门等。
★具有3,000,00种病毒特征码,每年约新增700,00个特征码。
恶意行为分析侦测
威胁流量与协议异常检测,如零日攻击、网络蠕虫、木马、后门、殭尸、间谍软件、网络漏洞、网页威胁(网页漏洞、跨网站攻击)、钓鱼邮件、暴力攻击、数据库注入攻击等。
14,000恶意行为特征码,每年约新增11,800恶意行为特征码
沙盒分析系统
单台侦测设备具有虚拟化沙盒系统
能够对样本进行过滤去重减少分析数量
具有安全风险評估技术分析:
包含針對注册表、内存、程序、网络活动、文件系统等操作系统环境的变化進行記錄與分析
具有高度定制化,可以支持使用客户环境特性的Windows作业平台与应用
支持未知威胁事件证据留存
广泛的文档分析支持:
AcrobatReader7,8,9,X,微软Office常用版本、Flash常用版本、LNK、执行文件
提供分析结果的自动入库:
侦测设备自我学习功能
报表事件
应用程序侦测
P2P流量:
Ares、Bittorent、Blubster、eDonkey、Kazaa、Gnutella、Winny、Foxy
实时通讯软件:
AIM、GoggleTalk、MSN、Skype、YahooMessenger
流媒体:
RTMP、RTSP、SHOUTCast、WMSP
终端识别
支持在动态IP环境辨认真实终端MAC地址
支持XFF,在web代理环境中辨认真实终端
识别终端操作系统,包含Windows、iOS、安卓等。
支持21种高危病毒的侦测:
WORM_DOWNAD.E/WORM_RONTKBR/WORM_SILLYIM/WORM_WALEDAC/TROJ_ILOMO/TROJ_FAKEAV/PE_VIRUX
报表系统
自动提供经过分析后的图形化日/周/月报表。
自动寄送报表与处理建议功能。
提供多协议关连分析引擎,自动分析日志,降低人为分析成本。
可集成企业统一威胁预警地图显示,结合地理位置直观标示威胁位置,在地图中实时风险事件定位与威胁流量监控,同时可以区域与威胁事件关连,结合威胁仪表板,深入了解区域威胁情况。
具有客户威胁仪表板接口(UserPortal),提供公司整体安全等级料,同时以威胁/群组/客户端三个面向设定查询时间进行数据分析。
支持多种报表模板。
威胁事件专家系统
可以点选自动链接到专家系统。
提供事件的流行度。
提供事件的风险性。
说明威胁事件在计算器在内存、注册表、文件系统、网络的影响,提供解决方案与处理建议。
安全风险通知
产品支持自动寄送报表与处理建议功能
提供多协议关连分析引擎,自动分析日志降低人为分析成本。
单台设备具备有报表系统。
可以依据1)进出流量方向2)时间段3)数量4)潜在威胁类型进行设定通知。
检测到已知安全风险时进行通知,可以依据1)进出流量方向2)时间段3)数量4)潜在威胁类型进行设定通知。
各个IP地址的检测数在设定时间段达到阈值时进行通知。
可以自动侦测一天24小时内每个时段的流量或管理设定网络通信流量时,当超过阀值设定通知。
部署
支持旁路安装模式。
支持TAP分流安装模式。
支持非对称路由。
设备管理
基于B/S的管理架构,Web界面支持MSIE、Netscape、Firefox、Opera四大浏览器。
提供命令行(CLI)配置模式。
提供SSH远程调试模式。
支持SNMP。
可利用中央管理系统对多台设备统一进行管理
语言支持:
支持中文与英文管理画面。
联动性
能够与威胁阻断系统联动,根据监控结果自动阻止不安全计算机的网络通讯,或是阻断恶意通讯连接。
支持中央管理系统,多台设备可统一管理。
支持中央报表生成系统,多台设备可集中生成报表。
能够集成外接沙盒分析系统,提高未知威胁分析处理能力。
Syslog日志为CEF或LEEF格式,可集成第三方SIEM/MOC系统。
★厂商及产品资质服务
产品必须是自主开发,拥有自主知识产权。
(提供计算机软件著作权登记证书)
厂商在国内有独立的研发中心。
通过中国信息安全评测认证中心的《信息安全服务资质标准》的信息安全服务一级资质认证(提供证明材料)。
当最新病毒爆发时,厂商必须提供应急技术支持,如电话、手机短信、邮件等方式。
厂商可根据用户需求提供高级别的服务承诺,如大客户专署服务、主动式服务、快速响应服务、在线技术支持服务等,可提供5×8乃至7×24小时的专业防病毒服务。
原产品提供3年免费升级服务
必须提供原厂商出具的项目授权和售后服务承诺函。
提供7×24小时本地化现场支持服务
提供安全事件紧急响应服务
提供重大流行病毒的紧急处理方案
提供一年四次原厂上门巡检服务
下一代防火墙
下一代万兆防火墙
硬件配置
设备不得超过2U标准高度;设备配置模块化双冗余电源;
设备具有不少于2个10/100/1000BASE-T接口(作为HA口和管理口);接口具有扩展性,不少于8个端口扩展卡插槽,为了便于维护,所有扩展卡插槽均要求位于设备前面板,并且在维护现场即可进行扩展(无需返厂);可扩展至少22个万兆(SFP+)端口,或48个千兆端口(非combo光电互斥接口或共享交换接口);前面板具有独立的带外管理口与双机心跳口;(提供产品实物照片)。
系统
要求
产品由专用的硬件平台、安全操作系统及功能软件构成。
设备采用自主知识产权的专用安全操作系统,采用多核多平台并行处理特性。
(提供相应资质证明);
安全操作系统采用冗余设计。
要求具有病毒防御、入侵防御、应用识别、网站分类库过滤、IPSECVPN功能,并且含5年升级许可;系统应具有良好的扩展性,还可以支持扩展APT防御功能;
系统
性能
防火墙吞吐率:
≥80Gbps,小包吞吐:
≥20G;
应用层吞吐率:
≥10Gbps
并发连接数:
≥400万;
每秒新建连接:
≥30万。
网络
接入
支持路由、交换、混合、虚拟线工作模式;
支持静态路由、策略路由模式;
支持802.1q、QinQ模式;
支持IPSECVPN接入;
支持智能DNS功能,有效提高用户跨网访问效率;
支持DNSDocting,能够将来自内部网络的域名解析请求定向到真实内网资源,降低路径开销,提高访问效率;
支持ICMP、Traceroute、TCP、HTTP、DNS等多种链路质量探测方式,用户可以根据探测结果有效判断链路质量;
IPv6
功能
支持IPv4/IPv6双栈工作模式;
支持IPv6安全控制策略设置,能针对IPv6的目的/源地址、目的/源服务端口、区域、服务、时间、扩展头属性等条件进行安全访问规则的设置;
支持基于IPv6的应用层检测(FTP\TFTP)、病毒过滤、IPS检测。
用户管控
内置强大的用户身份管理系统,支持RADIUS、LDAP、证书等多种认证协议和认证方式;
综合运用身份认证与访问控制技术,通过内置智能过滤引擎实现基于用户身份的安全防护策略部署与可视化监控;
应用
管控
内置强大应用识别引擎,综合运用端口识别、行为识别、特征识别、关联识别等技术手段,准确识别传统应用如P2P、web应用、移动应用、云应用、加密应用等;
支持基于IPv4/IPv6的应用协议识别;
内置上千种应用识别特征库,支持应用特征库在线或本地更新,支持应用特征自定义;
支持应用流量排名,可根据应用类型进行实时流量、实时会话数、统计流量排名,同时通过图表或表格的方式进行展示,展示的图表和表格支持自动刷新;
支持基于IP/IP组、用户/用户组、服务/服务组、应用/应用组和时间等配置带宽策略
支持针对带宽策略中对每IP、每用户进行带宽控制;
支持带宽策略优先级、父通道、子通道配置
访问
控制
内置高度集成的一体化智能过滤引擎技术,实现在同一条访问控制策略中配置传统的五元组信息、应用、服务、时间、安全引擎(入侵、URL过滤、病毒过滤、DLP、内容过滤)的识别与控制;
安全
防护
应用层攻击防护
内置攻击检测引擎,采用协议分析、模式识别、统计阀值和流量异常监视等综合技术手段来判断入侵行为;
支持web攻击识别和防护,如跨站脚本攻击、SQL注入攻击;
支持超过3800+攻击特征库,同时支持自定义特征库,且厂商具备强大的漏洞和攻防研究能力,为CNNVD一级支撑单位(提供官网链接),能够确保每周至少更新1次攻击特征库。
DDOS防御
内置攻击检测引擎,支持独立的DDOS检测、阻断能力
支持检测包括land、Smurf、winnuke、tcp_sscan、ip_option、targa3、Synflood、Icmpflood、Udpflood、Portscan、ipsweep等攻击;支持DNS异常包检测,支持DNSQueryflood、DNSReplyFlood攻击;
支持DHCP异常包检测,支持DHCPFlood攻击检测
病毒过滤
内置病毒检测引擎,支持HTTP/SMTP/POP3/FTP/IMAP等协议的病毒防御;
内置至少2种专业反病毒厂商或研究机构的病毒特征库,符合等级保护相关标准对网关防病毒特征库和主机防病毒特征库异构的要求。
(提供至少2家知名、专业防病毒厂商或研究机构的合作文件复印件)病毒特征库规模超过500万
支持病毒白名单,用户可以根据实际业务需求将特定威胁进行排除;
URL分类过滤
内置互联网URL分类库,支持超过80大类、600万的URL地址分类库,用户可根据上述网站类别,对自身网络的WEB应用实施全面化管控,杜绝非法、违规网站的访问行为,从而净化网络应用环境;
DLP
内置文件过滤引擎,支持对HTTP/FTP/SMTP/POP3等应用协议传送PDF、Office、java-class、jpg等超过20种文档类型的文件过滤;
系统
维护
支持双操作系统并存,且备份系统为全功能系统;
支持多个配置文件并存,配置文件数量不少于20个;
支持多个系统升级包并存,系统升级包文件数量不少于5个;同时支持系统升级包的删除;
支持SYSLOG格式的日志,可外发至SYSLOG服务器,且能够输出的日志类型至少包括:
设备运行信息、配置管理、安全策略日志、NAT日志、应用流量日志等
★产品资质
公安部-计算机信息系统安全专用产品销售许可证(万兆,三级);
中国信息安全测评中心-国家信息安全测评信息技术产品安全测评证书(万兆,EAL3+);
中国信息安全认证中心-中国国家信息安全产品认证证书(ISCCC,万兆,三级);
国家密码管理局商用密码检测中心-防火墙产品密码检测证书;
中国信息安全测评中心-信息安全产品自主原创证明;
IPv6Ready产品测试认证(金牌);
国家版权局-计算机软件著作权登记证书(产品著作权);
国家版权局-高性能多核并行安全操作系统。
售后
服务
厂商在河北需要有分支机构提供本地化服务,必须提供原厂商出具的项目授权和售后服务承诺函。
★其他资质要求
产品生产厂商应具有公安部颁发的《信息安全等级保护安全建设服务机构能力评估合格证书》;
产品生产厂商应具有“信息安全管理体系27001认证”;
万兆级防火墙
万兆级防火墙
基本
要求
采用多核架构,具有国家版权局颁发的《多核多平台并行安全操作系统》证书;
★设备具有不少于2个10/100/1000BASE-T接口(作为HA口和管理口);接口具有扩展性,不少于3个端口扩展卡插槽,为了便于维护,所有扩展卡插槽均要求位于设备前面板,并且在维护现场即可进行扩展(无需返厂);可扩展至少5个万兆(SFP+)端口,或34个千兆端口(非combo光电互斥接口或共享交换接口);前面板具有独立的带外管理口与双机心跳口;;
双冗余电源;
要求具有病毒防御、入侵防御、应用识别、网站分类库过滤、IPSECVPN功能,并且含5年升级许可。
性能
整机吞吐率:
≥20Gbps;最大并发连接数:
≥300万
网络
特性
★支持静态路由、策略路由、RIPv1/2、OSPF、BGP等动态路由以及组播路由协议;
★支持链路聚合功能,对每个聚合端口的物理接口数量无限制,提高聚合组的配置灵活性,并且要求支持至少10种以上的聚合负载算法。
网络
安全
能够基于数据包的区域、地址(IP地址、MAC地址)、角色、VLAN、端口号、服务、域名等进行访问控制,并支持策略分组管理;
★需具备针对单条访问策略的最大并发连接数限制、策略命中数统计与策略重复检查功能;
支持策略冲突检测功能。
支持网络应用自学习并且能够根据自学习结果生成相关安全策略;
流量
管理
★采用基于访问控制策略的一体化带宽管理模式,能够针对用户、用户组、IP、MAC、时间、应用等进行带宽管理,并且支持共享策略、独享策略、访问控制独享策略等多种带宽策略类型,要求支持基于COS、DSCP方式的数据标识。
高可
用性
★采用双安全操作系统设计保障单台防火墙的高可用性;
★能够根据预设的IP探测条件实现动态的链路切换,保障业务的连续性;
★支持主备、负载均衡及连接保护多种设备高可用机制并支持集群部署(集群设备数量≥7);
★要求具有物理心跳接口功能;
★资质要求:
国家版权局-多核多平台并行安全操作系统;
中国信息安全测评中心-国家级自主原创证明;
公安部-计算机信息系统安全专用产品销售许可证;
中国信息安全认证中心-中国国家信息安全产品认证证书(ISCCC,三级);
中国信息安全测评中心-国家信息安全测评信息技术产品安全测评证书(EAL3+);
IPv6Ready产品测试认证(IPV6ReadyPhase-2);
★其它要求:
产品生产厂商应具有公安部颁发的《信息安全等级保护安全建设服务机构能力评估合格证书》;
产品生产厂商应具有“信息安全管理体系27001认证”;
提供原厂商出具的项目授权和售后服务承诺函
云计算节点应用服务器
云计算节点应用服务器
★外观:
机架式服务器,满配置时机架高度≤8U
★CPU:
8颗IntelXeonE7-8850v2处理器,核心数≥12,主频≥2.2GHz:
★内存:
内存板方式扩展内存,最多支持190个DIMM插槽,内存容量512G,可扩展至11TB,支持SDDC+1、DDDC+1、内存Rank热备,内存节点镜像,内存故障隔离、等高级内存特性
★阵列控制器:
集成1GB缓存8通道高性能SASRaid卡,支持RAID1/0/10/5/50/6/60级别
★本地存储:
配置4x2.5寸热插拔300G10KrpmSAS硬盘,配置2*200GBSSD热插拔硬盘,支持Raid0/1,可实现系统和应用分离,保障操作系统连续可用,最大支持16个2.5寸SAS硬盘
★I/O插槽:
支持不少于18个PCIe3.0标准插,支持热插拔,支持全高全长卡,可实现在线更换;
★网络:
4个高性能千兆网口,2块双端口万兆光纤网卡,包含万兆网卡光模块;
★HBA卡:
配置2块8GB单端口HBA卡
分区技术:
支持硬件分区,要求在不需
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 石家庄 智慧 环保