酒泉市统计局统计内网网络安全等级保护建设项目招标公告

序号

设备

详细配置及要求

单位

数量

1

服务器

总体要求：标准2U机架式服务器，国产品牌，自主研发，非OEM，是中国X86服务器市场主导品牌；
  处理器：配置2颗intel® Xeon® 4208   (8C,85W,2.1GHz) 处理器；
  内存：配置64G DDR4（2*32GB）内存，最大支持16个内存插槽；支持高级内存纠错（ECC）、内存镜像（Ememory mirroring）、内存热备（rank sparing）等高级功能，最大支持1T内存容量，支持2933MT/s工作频率；
  硬盘：配置3块1.2TB 2.5" SAS热插拔硬盘，最大27个标准硬盘槽位，支持SAS/SATA接口，支持2个后置基于SATA总线的M.2   SSD硬盘，支持4个U.2 NVMe前置硬盘；
  RAID：配置1块SAS RAID卡，支持RAID0、1、5；
  网络：配置双口千兆以太网，支持标准1Gb/10Gb/25Gb/40G/100Gb以太网络,支持1/2/4个以太网接口；
  IO扩展：最大支持6个PCIE3.0插槽；
  电源风扇：配置2个550W冗余热插拔高效能电源，4个冗余热插拔风扇；
  管理：集成系统管理芯片，支持IPMI2.0、KVM   over IP、虚拟媒体等管理功能，配置原厂服务器管理套件，支持远程管理控制，如IPMI2.0，KVM overIP (HTML5 /Java)，SOL，SNMP，Redfish 等；

台

1

2

出口路由网关

1、支持固化千兆电口≥8个，固化千兆光口≥1个，固化万兆光口≥1个
  2、标准1U机箱，多核非X86架构。支持1个硬盘，硬盘容量≥1T；支持内存≥2GB
  3、支持静态路由、RIP(V1/V2)、RIPng、OSPFv2等多种路由协议
  4、为保证在多条外网线路情况下带宽的合理分配使用，设备必须支持多链路负载均衡，负载均衡可基于带宽等多种方式。
  5、为避免跨运营商访问，投标设备需要支持地址库路由，包含移动、联通、电信、教育、电信通五家地址库
  6、支持应用路由功能，支持基于通讯、视频等应用进行路由选择
  7、支持DHCP功能，对内网提供DHCP服务
  8、DHCP支持IPAM，支持显示地址池使用情况，包含地址数、地址总数、已经分配地址数、使用率，支持IP安全绑定情况显示
  9、支持终端迁移告警，可显示迁移终端IP及MAC，终端迁移时间，迁移前后接入设备IP及MAC，迁移前后VLAN及端口
  10、支持通过文本、表格批量创建用户，批量建立账号、密码、全路径信息
  11、支持WEB本地认证方式、Radius认证、微信认证功能
  12、支持流量识别保障功能：能够精确识别网络应用，保障关键业务的系统带宽，具备完善的应用协议库，协议识别数量≥2500种
  13、支持网络资源加速（主动缓存），可对指定网络资源提供热点资源本地化服务
  14、支持状态检测防火墙，支持TCP/UDP/ICMP/IP分片包等报文过滤
  15、为方便用户远程接入，设备需支持SSL VPN，并提供≥600个免费SSL VPN接入授权,支持IPSec VPN，并提供600路免费Ipsec VPN接入授权
  16、支持对无线AP进行管理，可自动发现接入AP，默认可管理AP数量为64个，最大可扩容至128个

台

1

3

核心汇聚交换机

1、交换容量≥598G，包转发率≥222Mpps
  2、固化10/100/1000M以太网端口≥28，复用100/1000M SFP光口≥4个，固化10G/1G SFP+光接口≥4个；
  3、★为保证设备在受到外界机械碰撞时能够正常运行，要求所投交换机IK防护测试级别至少达到IK05，提供具有 CMA或CAL或 CNAS认证章的测试报告并加盖此次所投设备生产厂商原厂鲜章
  4、要求所投设备MAC地址≥32K
  5、支持RIP，OSPF，BGP，RIPng，OSPFv3，BGP4+
  6、支持IGMP v1/v2/v3，IGMP   v1/v2/v3 Snooping，支持PIM-DM，PIM-SM，PIM-SSM，PIM for IPv6
  7、支持可拔插双模块化电源，支持电源1+1冗余
  8、支持特有的CPU保护策略，对发往CPU的数据流，进行流区分和优先级队列分级处理，并根据需要实施带宽限速，充分保护CPU不被非法流量占用、恶意攻击和资源消耗

台

1

4

防火墙

系统应采用标准机架式设备，而非插卡式设备，不需要业务卡即可实现下一代防火墙业务；
  为保证防火墙运行的稳定性和处理能力，要求设备采用非X86架构对各项安全功能进行加速优化处理；
  系统具有良好的可扩展性，能够扩展支持病毒防御、入侵防御、应用识别、垃圾邮件过滤、文件防泄漏、上网行为管理、APT防御、僵尸主机检测、IPSEC VPN与SSL VPN等功能；
  要求固化千兆电口数量≥14个；固化千兆光口数量≥2个；为保障接口稳定性，所投产品必须是全部是固化接口，而非板卡接口。
  三层网络吞吐≥3Gbps ，IPS吞吐量≥1.4Gbps，最大并发连接≥130万，最大新建连接≥3万；
  支持路由模式、透明（网桥模式）、混合模式；
  要求支持虚拟防火墙，支持同一个网口用于多个虚拟防火墙支持虚拟系统技术，且每个虚拟防火墙独立管理；
  为保障不同业务不同安全策略，要求支持单独为每个虚拟防火墙设置会话数、策略数、用户数、IPSECVPN隧道数、硬盘空间使用量等，进行按需分配。
  支持策略路由、组播路由、静态路由、BGP、RIP、RIPNG、OSPF、OSPFv6、ISIS、ISISv6等动态路由协议（非透传）；
  支持802.1Q Trunk，支持不同VLAN之间的数据隔离。
  内置高度集成的一体化智能过滤引擎技术，实现在同一条访问控制策略中配置传统的五元组信息、用户/用户组、应用、URL类型、接入类型、地理位置、终端类型、设备组、服务、时间、安全引擎（入侵、URL过滤、病毒过滤、沙箱过滤、SSL代理）的识别与控制。
  具备11000种以上攻击特征库规则列表，至少支持基于协议类型、操作系统、严重程度、特征名称、应用类型等方式的查询   支持基于应用防御、入侵防御、恶意软件防御的统计结果定义用户的信誉值
  支持僵尸主机、C&C客户端检测功能
  配置3年病毒库、攻击库、应用识别库、垃圾邮件库、网页分类库特征库升级服务。

台

1

5

入侵防御与检测

设备配置千兆电口数≥5；
  设备配置USB 2.0接口≥2个；
  设备需配置≥1T企业级硬盘；
  设备必须符合标准1U机箱规格； 
  设备的整机最大吞吐量≥2Gbps。
  设备的IPS最大吞吐量≥500Mbps。
  设备的最大并发连接数≥100万。
  设备的每秒新建连接数≥20000。
  设备至少支持串接、旁路、混合模式部署 ；
  设备至少支持以下工作模式：IPS模式，IPS监视模式，IDS监视模式，混合模式，Forward模式；
  支持探测防御（能够提供检测并阻止攻击者对受保护网络的探测行为，如IP地址扫描，TCP xmas扫描和TCP FIN扫描等）
  内置攻击特征库≥3000种，全面兼容CVE标准；
  支持IPv4和IPv6的双栈防护
  内置多样化的报表模版，支持自定义生成报表；支持自动定时生成报表，可利用邮件形式定时外传报表，支持HTML、PDF等文件格式；
  所投设备至少支持以下几种告警方式：本地报警、邮件报警、sylslog日志等，同时支持SNMP。
  此次配置三年特征库授权。

台

1

6

上网行为管理与审计

产品须整机最少支持5个千兆电口。
  具有1T的硬盘存储。
  尺寸大小：1U。
  设备最大吞吐量≥1Gbps。
  设备最大适用带宽≥100Mbps。
  最大支持并发连接数50万。
  每秒新建连接数≥7000/秒。
  支持网桥部署、路由模式部署、旁路部署、混合部署。
  支持以HTTP及SSL加密的WEB图形化接口进行设备配置和管理，支持英语、简体中文、繁体中文接口；可利用谷歌、火狐、IE浏览器访问设备。
  支持 SSH 命令行管理方式。
  支持Console管理。
  管理权限分立：系统默认有超级管理员、审计管理员、只读管理员，可根据需要灵活定制管理员角色。
  支持密码强度、口令尝试死锁、账户激活等安全管理功能。
  通过网管策略，可允许部分IP能网管设备，以限制非法管理员访问设备。
  单台配置三年特征库授权。

台

1

7

日志存储及审计

系统要求为软硬一体化设备，2U机箱，配置6个千兆电口，配置2T硬盘满足日志存储需求
  系统要求支持针对网络中各类安全产品、网络设备、服务器、中间件、数据库等产品进行日志收集和标准化；
  系统采用ElasticSearch、hadoop等开源数据存储、索引引擎，保证数据不被绑定，便于未来数据的二次应用
  采用B/S架构，无需安装客户端软件，支持全中文WEB管理界面，支持SSL加密模式访问
  支持syslog、文件、WMI、SNMPTrap、数据库等多种接入方式，目标机无需安装任何代理。
  支持主流厂商安全设备、服务器、网络设备、中间件等设备日志自识别接入；并支持非主流设备日志的自定义接入解析。
  系统满足设备的日志信息采集要求
  包括但不限于：
  ● 安全设备：主流厂商的防火墙、IDS、IPS等设备，如启明、绿盟、锐捷、华为、Juniper、天融信等
  ● 操作系统：Linux、Windows、Windowserver、Uinx等操作系统
  ● 数据库：Oracle、MySQL、SQLServer等
  ● 应用系统：如Apache、Tomcat、IIS、weblogic等
  ● 网络设备：主流厂商的路由器、交换机、负载均衡等网络设备等，如Cisco、华为、锐捷等
  支持为安全事件收集功能设置过滤条件，可过滤无关安全事件，满足根据实际业务需求减少对网络带宽和数据库存储空间地占用。
  支持对收集的大量的安全事件中相同的安全事件，进行归并处理，只需发送一条已统计次数的安全事件，减少重复日志量
  事件查看支持对系统接入的原始事件/日志进行集中呈现，可查询、查看、导出各类安全事件/日志；
  支持在事件列表中输入相关字段的查询条件；其中查询结果可以导出csv格式。
  包括报表内置实例管理，可自定义报表参数，选择需要的数据，提供报表任务管理
  支持安全知识库功能，系统内置对应安全事件等知识，并支持自定义创建增加知识
  支持根据三权分立的原则和要求进行职、权分离，对系统本身进行分角色定义，如管理员只负责完成设备的初始配置，规则配置员只负责审计规则的建立，审计员只负责查看相关的审计结果；日志员只负责完成对系统本身的用户操作日志管理。
  系统全面支持IPV6，包括安全事件接入等。
  支持设置日志存储备份策略。包括系统日志保存期（天）、磁盘使用率百分比；
  设备自带三年服务器。

台

1

8

终端安全准入系统

1U高度硬件化产品。
  6个GE电口，1个RJ-45配置口，USB口≥2个
  硬盘≥1T，DDR2内存≥2G，支持Linux操作平台，支持PostgreSQL数据库
  为满足多种应用场景，准入方式应支持有线的用户名密码认证（EAP-MD5）、无线的用户名密码认证 （PEAP-MSCHAPV2） 和USB-KEY CA证书认证（EAP-TLS），CA证书认证功能
  支持已认证的用户使用自己的智能手机为访客终端扫描二维码进行访客入网接入认证授权，支持只有授权指定的用户组才能为访客做二维码授权，且在认证系统后台有访客与授权访客开户的用户账号绑定。 
  访客二维码名片/公共二维码注册。
  闲置时间间隔超过 x [1，1000] 天的用户将会被暂停或者销户
  认证页面合并：普通用户、短信、二维码、微信web认证合并
  支持使用用户名密码+手机号及短信获取的6位数随机校验码作为认证要素进行双因子认证。
  支持与第三方Radius联动，将认证信息转发给第三方Radius服务器进行认证，即实现统一身份源。
  支持从基于Java/web service的第三方接口读取用户数据信息进行认证
  首次登陆账号激活，并强制修改密码。·首次进行认证时，强制要求用户设置密保：手机号、邮箱账号、私密问答作为密保凭据任选其一
  禁止用户非法外连互联网，一旦访问则进行日志记录，并禁用所有网络连接；支持基于网络设备ACL、设备VLAN、主机ACL的网络权限控制
  支持兼容Cisco设备，进行radius属性自定义及下发。
  此次配500终端授权 。

台

1

9

等保二级测评费用

提供等保二级测评

项

1

10

系统集成服务实施

 软硬件安装部署调测实施及三年售后维护服务

项

1

11

辅材

电源线 网线等

项

1

12

等保优化及培训

提供单位全网的网络改造优化及培训。

项

1