唐河电子政务外网服务平台建设项目采购内容及要求.doc

1、唐河电子政务外网服务平台建设项目采购内容及要求 唐河县电子政务外网服务平台建设项目采购内容与要求 1、本项目采用“企业投资，政府购买服务”的模式进行实施，要求投标人严格按照如下要求的内容和标准向采购人提供全面、专业、优质的服务，总体要求如下： 服务内容 技术要求 数量 单位 电子政务外网网络服务 1、 ★服务范围：涵盖唐河县共60个接入单位（含局委办、乡镇）。 2、 ★服务内容：电子政务外网网络服务（含骨干、汇聚、接入） 3、 ★服务标准：符合国家与河南省电子政务外网相关标准规范，符合通信行业相关标准规范，系统运行高效、规范、稳定、安全。 4、 网络畅通率：99.99%

2、 5、 ★安全性要求：参考三级等保相关要求 6、 投标人负责向采购人提供相关配套设备设施，设备设施清单与技术参数要求见下表；质保期：3年质保 1 年 系统维护 1、 ★维保服务人员要求：至少提供2名专职技术人员进行驻场服务 2、 ★备品备件要求：提供全省共享式备品备件库，具备常用备品备件，支持故障应急响应 3、 ★服务内容：日常运营维护、重要通信保障等。 4、 ★故障修复时限：一般故障24小时内修复，疑难故障72小时内修复。 1 年 设备托管服务 1、 ★机房环境要求：中标签约后，在唐河县城区交通便利位置可立即提供本项目电子政务设备托管所需的专用机房环境，专用机房面积达

3、到50平方米与以上，层高（净高）达到4.3米与以上，建筑物按机房标准和用途进行建设。 2、 ★安全性要求：机房抗震、防雷、供电、防盗、防破坏、空调设施齐全。 3、 ★电费：机房设备设施运行所需的电费包含在投标报价中。 4、 ★服务时限要求：可长期提供服务，服务时限可达到5年与以上。 1 年 2、项目内容清单 序号 名 称 数量 单位 一、 电子政务外网网络服务 　 　 1 核心路由器 2 台 2 核心交换机 2 台 3 防火墙 1 套 4 行为审计系统 1 套 5 入侵检测与漏洞扫描 1 套 6 堡垒机 1

4、 套 7 桌面安全管理 1 套 8 日志管理系统 1 套 9 委办局接入设备 60 套 10 IT综合网管系统 1 套 11 服务器 2 台 12 UPS 1 套 13 标准机柜 1 个 14 消防箱 1 套 15 信息系统集成施工、技术服务费 1 套 二、 系统维护 　 1 维保服务费 1 年 三、 设备托管服务 　 1 机房场地使用费 1 年 2 机房设备电费（等） 1 年 3、配套设备设施技术规格参数 序号 名称 技术规格参数要求 1 核心路由器 要求设备

5、采用全分布式IP转发处理架构、支持业务承载母板与接口子卡分离的设计，提高设备可扩展性 ★整机板载插槽≥4个；其中业务载板插槽≥2个；业务载板子插槽≥4个，须提供清晰的产品正面、背面图片截图 支持路由引擎冗余、电源冗余、双启动映像文件、双配置文件等关键模块的高可靠性冗余设计 ★交换容量≥35Tbps,转发性能≥6000Mpps，业务板插槽≥8个，主控板插槽≥2个 要求支持路由与转发硬件分离，设备内置NAT、IPSec、L2TP、GRE等业务分布式功能特性 支持国密局SM1加密算法，可提供国密局SM1硬件加密模块，提供清晰的产品正面、背面图片截图 支持基于IPFIX国际标准网络流量报文

6、统计功能，可以针对不同的流信息进行独立的数据统计 要求设备在全端口Full Mesh的情况下，端口吞吐率实际达到100%，具备IPV4/IPV6的数据包线速转发性能，提供工信部权威机构出具的第三方证明材料与在厂商官网的下载链接与截图 支持并实配MPLS，MPLS VPN、IPSEC VPN、GRE VPN ★支持高性能的IPSEC加解密板卡，单卡加/解密性能不低于3.2Gbps，提供工信部权威机构出具的第三方证明材料 ★支持高性能的NAT功能，在启用策略路由、NAT，并且启用超过1000条ACL的情况下，业务端口仍然能够达到线速转发性能，吞吐率100%，NAT新建连接数不少于20万/秒

7、最大并发连接数不低于200万，提供工信部权威机构出具的第三方证明材料 ★支持防DDoS攻击特性，在千兆线速DDoS攻击情况下，CPU利用率小于1%，提供工信部权威机构出具的第三方证明材料 需提供国家密码管理局颁发的商用密码产品型号证书复印件 提供工信部颁发的IPv4/IPv6电信设备进网许可证复印件 单台配置：高性能引擎板≥1个，交流电源模块≥2个，业务处理卡载板≥1个，千兆电口≥8个，千兆光口≥8个，千兆单模光模块≥10个； 质保期：3年原厂质保 其它：须提供生产厂商出具的技术参数证明函以与厂商官网截图证明并加盖厂商公章（或投标专用章），否则技术参数按不满足处理 2 核心交

8、换机 整机主控引擎插槽≥2个，业务插槽≥3个 满足配置POE线卡，并由独立POE电源槽供电，防止因POE供电而影响其他业务模块供电稳定性。提供官方描述截图和查询链接 ★交换容量≥85Tbps，包转发性能≥18,000Mpps 核心交换机40G端口在负载100%的情况下每端口功率需要≤10W，需提供权威第三方测试报告 满足IPv6静态路由、RIPng、OSPF v3、BGP4+ 等路由协议 ★核心交换机10G端口在负载100%的情况下每端口功率需要≤2W，需提供权威第三方测试报告 满足L2-GRE国际标准MAC in IP数据封装技术（或同类其他技术），可实现跨广域网数据中心间二层

9、数据通信，扩大虚拟机漂移范围 满足手动隧道，自动隧道，ISATAP，IPv4 over IPv6。 N:1虚拟化：可将多台物理设备虚拟化为1台逻辑设备，虚拟组内设备具备统一的二层与三层转发表项，统一的管理界面，并可实现跨设备链路聚合。 ★满载情况下，40GE接口转发时延＜1μs，10GE接口转发时延＜1μs，需提供权威第三方测试报告 满足OpenFlow v1.3协议，可实现核心网络向SDN平滑演进 采用模块化操作系统，满足多进程备份与ISSU不中断业务升级特性 ★满足基础安全保护策略 ，提供交换机防攻击功能，在受攻击情况下，保护系统各种服务的正常运行，以与保持较低的CPU负载，从

10、而保障整个网络的稳定运行，要求提供权威第三方测试报告 满足防火墙多业务插卡，满足核心设备安全防护需求。 单台配置：高性能引擎板≥1个，交流电源模块≥2个，千兆电口≥48个，千兆光口≥44个，万兆光口≥4个，千兆单模光模块≥10个，万兆多模光模块≥3个。 质保期：3年原厂质保 兼容性：为了保证兼容性和系统运行效率，建议该产品与核心路由器为同一品牌。 其它：须提供生产厂商出具的技术参数证明函以与厂商官网截图证明并加盖厂商公章（或投标专用章），否则技术参数按不满足处理 3 防火墙 请使用专业的防火墙或下一代防火墙设备投标，所有关于该投标产品的产品彩页与产品资质证书等必须体现“防火墙”

11、或“下一代防火墙”关键字，而非“UTM”或“统一威胁管理”相关内容； 要求固化千兆电口数量≥10个，固化SFP光口数量≥8个，提供产品图片与端口分布说明 为保证产品易用性，确保设备日志信息和版本信息快速备份与无障碍恢复，所投产品须配置软件实际支持、可正常使用的至少1个USB2.0接口； ★设备最大吞吐量≥16Gbps；最大并发连接数≥600万；每秒新建连接数≥180000 IPSEC VPN吞吐量≥7Gbps；IPSEC VPN隧道数≥2000，设备本身要求自带2000个VPN授权 ★SSL VPN吞吐量≥400Mbps；SSL VPN并发用户数≥500，设备本身要求自带500个

12、VPN授权 支持SYN Flood、UDP Flood、ICMP Flood、LAND攻击、Smurf攻击、Fraggle攻击、Winnuke等攻击防护； 支持策略路由、组播路由、静态路由、RIP(v1/v2)、OSPF、BGP、IS-IS等； ★支持HTTP/等多种协议病毒过滤，并提供第三方病毒合作证明材料 应用程序列表数量大于2900种，并提供功能截图； 支持基于代理模式、流模式的垃圾邮件检测盒过滤 要求支持URL地址/域名黑白名单，并支持基于代理模式、流模式、DNS模式的URL过滤 提供中华人民共和国公安部颁发的有效的《计算机信息系统安全专用产品销售许可证》复印件 ★提

13、供中华人民共和国公安部颁发的有效的《计算机信息系统安全专用产品销售许可证》复印件，即第二代防火墙销售许可证 ★中华人民共和国国家保密局颁发的有效的《涉密信息系统检测证书》复印件 设备厂商需为商用密码产品生产定点单位，提供证书复印件 单台配置：病毒库、攻击库、应用识别库、垃圾邮件库、网页分类库特征库升级服务授权≥1年； 质保期：3年原厂质保 兼容性：为了保证兼容性和系统运行效率，建议该产品与核心路由器为同一品牌。 其它：须提供生产厂商出具的技术参数证明函以与厂商官网截图证明并加盖厂商公章（或投标专用章），否则技术参数按不满足处理 4 行为审计系统 整机最少支持千兆电口≥6个和至

14、少1个扩展卡槽，本地硬盘配置≥1T 为确保设备供电稳定性，自带冗余电源，设备最大吞吐量≥1Gbps 设备最大支持并发连接数≥100万，每秒新建连接数≥20000/秒 ★设备将主动通过SNMP协议去读取三层交换机上的内网主机的MAC地址，支持三层环境下绑定MAC或绑定IP+MAC进行上网认证的实现方式，需提供功能截图 ★支持单点登录的类型包括:AD SSO、PPPOE SSO、WEB SSO，需提供功能截图 支持基于MAC地址与浏览器cookie免认证，支持CDMA/GSM短信猫，支持第三方短信服务提供商 支持第三方AD服务器认证，供认证策略使用，用户发起认证，通过AD服务器来判定认

15、证用户的合法性 支持静态路由功能、OSPF动态路由、策略路由功能、链路持续路由算法。 针对临时上网人员IP地址不固定的情况，无论该人群电脑的IP如何配置，开启设备即插即用功能后，只要插上网线，用户即可上网 支持GRE隧道功能、PPTP VPN、Ipsec VPN、L2TP VPN，需提供功能截图 预分类的海量 URL 地址库；支持手工添加新的 URL 地址和分类。 支持非标准端口URL管理、引擎搜索关键字过滤、https网页识别、关键字过滤、HTTP文件传输过滤等 ★支持基于加密邮件过滤、邮件发件人的过滤、邮件关键字过滤、附件类型过滤、附件大小过滤、附件内容过滤，支持WebMail

16、邮件和客户端邮件过滤，需提供功能截图 详细记录每一个会话的信息，包括：用户名、用户组、源IP/端口、目的IP/端口、转换IP/端口、MAC地址、协议类型、协议名称、发送流量、接收流量、会话持续时间、会话结束时间。并可导出为EXCEL或者HTML格式的报表。 基于用户、用户组，对其流量、新建会话、活跃会话进行分时段统计分析，并进一步统计分析每个用户使用了哪些服务、访问了哪些网站、通过了哪些链路等更加详细的信息。 基于服务名称、类型，对其流量、新建会话、活跃会话进行分时段统计分析，并进一步统计分析每种服务有哪些用户/用户组在使用，与每个用户/用户组的使用情况；以与每种服务在各条链路上的分配情

17、况。 ★公安部《计算机信息系统安全专用产品销售许可证》，公安部《公共场所无线上网接入管理销售许可证》，提提供上述两项证书复印件 设备厂商需为商用密码产品生产定点单位，提供证书复印件 单台配置：配置特征库授权≥3年； 质保期：3年原厂质保 兼容性：为了保证兼容性和系统运行效率，建议该产品与防火墙为同一品牌。 其它：须提供生产厂商出具的技术参数证明函以与厂商官网截图证明并加盖厂商公章（或投标专用章），否则技术参数按不满足处理 5 入侵检测与漏洞扫描 采用专用的硬件架构，硬件架构采用模块化设计，便于进行接口扩展和硬件升级； 兆电口数≥6个，扩展插槽≥1个，硬盘≥1T； ★整机

18、最大吞吐量≥6Gbps，IPS最大吞吐量≥1Gbps，最大并发连接数≥200万，每秒新建连接数≥80000， 支持IPS防护模式、IPS检测模式和IDS旁路检测模式 支持冗余接口功能，支持链路聚合提供物理接口高可用性方案 支持基于协议异常、会话状态和七层应用行为等的攻击识别功能 提供策略级会话泛滥控制机制，可根据安全域，IP地址或地址段，策略类型和阈值来进行会话限制； ★支持对DNS泛洪攻击的有效防御，通过限制单位时间内来自某安全域的（基于UDP的）DNS 查询请求的数量，来抵御DNS 泛滥攻击； 支持根据攻击特征进行的攻击检测技术，对于攻击特征进行有效分类和组织便于用户管理和维护

19、 可以有效防止通讯过程中泄露敏感信息，如服务器类型，Web错误信息和、服务器的目录检测等行为； 支持DNS缓存中毒防御，支持不规则化检测，外部请求限制和不匹配应答限制功能；（ 可根据不同的终端类型，对telnet进行命令限制，阻止带有攻击特征或有风险的命令和参数； 支持静态路由和策略路由功能，可以将入口，TOS，源IP地址作为条件控制数据流向； 持一键式技术支持功能，快速收集所需信息，便于管理和维护； ★设备厂商需为商用密码产品生产定点单位，提供证书复印件 单台配置：配置特征库授权≥3年； 质保期：3年原厂质保 兼容性：为了保证兼容性和系统运行效率，建议该产品与防火墙为同一

20、品牌。 其它：须提供生产厂商出具的技术参数证明函以与厂商官网截图证明并加盖厂商公章（或投标专用章），否则技术参数按不满足处理 6 堡垒机 ★配置千兆电口≥6个；配置1+1冗余电源；配置≥1T企业级硬盘；内存≥8G； 独立管理接口1个；2个USB接口；配置模块化扩展插槽≥1个；  ★自带设备管理数≥100个，最大可扩展至≥300个 图形并发≥100，字符并发≥200 提供统一安全认证和运维审计系统自身状态的监控功能，包括：cpu工作情况，内存使用情况，磁盘使用情况，网卡使用情况，统一安全认证和运维审计系统自身数据库工作情况，统一安全认证和运维审计系统自身WEB服务工作情况，统一安

21、全认证和运维审计系统自身其他关键组件工作情况等。 支持消息管理，可通过系统统一给各管理员和运维人员发布消息。 支持工作计划管理，可自维护方式制定运维工作计划，并到期提醒。 资源类型支持Windows主机、域控主机、域内主机、Unix主机、各种网络设备、安全设备、网元、数据库、WEB中间件等。 资源管理协议支持SSH、TELNET、、VNC、XWINDOW、WINDOWS文件共享等协议。其中，SSH协议代理支持SecureCRT软件的Session Clone与Send To All等复杂的功能 对图形方式的资源访问，可以以录像形式审计到操作过程。支持操作过程的录像回放。 支持实时审

22、计和阻断。操作人员对于资源的访问，审计员可以实时查看。发现高危操作时，支持实时切断当前会话。 统一安全认证和运维审计系统内含Radius服务器，可以作为网络设备的3A认证服务器，便于网络设备的帐号、认证、授权管理。网络设备使用统一安全认证和运维审计系统的Radius作为3A认证服务器，可以设置密码策略来控制设备的密码强度，也可以设置密码变更计划，使网络设备的帐号管理符合SOX法案关于密码定期变更的要求。 对SSH、TELNET、、XWINDOW等协议不仅仅支持web式的单点登录功能，还支持使用原有客户端软件，单点登录目标设备时，支持一次性会话号的登录方式确保会话安全 ★设备厂商需为商用密

23、码产品生产定点单位，提供证书复印件 单台配置：实际配置设备管理数≥100个 质保期：3年原厂质保 兼容性：为了保证兼容性和系统运行效率，建议该产品与防火墙为同一品牌。 其它：须提供生产厂商出具的技术参数证明函以与厂商官网截图证明并加盖厂商公章（或投标专用章），否则技术参数按不满足处理 7 桌面安全管理 支持分布式部署。总部部署身份策略中心，统一管理全网的身份信息；分支单位机构部署认证管理系统，可将身份策略信息汇总至身份策略中心，实现各个分布式下认证管理系统之间的用户身份漫游认证；可对分支机构管理员进行分权，分级管理员只能管理本单位的用户。 认证服务器支持内置Portal和802

24、1x功能 为满足多种应用场景，准入方式应支持有线的用户名密码认证（EAP-MD5）、无线的用户名密码认证（PEAP-MSCHAPV2） 和USB-KEY CA证书认证（EAP-TLS） 支持授权码认证，普通用户可生成授权码，访客在Portal认证页面输入授权码认证上网，同时授权码具备有效期 认证页面合并：普通用户、短信、二维码、微信web认证合并。 支持从基于Java/web service的第三方接口读取用户数据信息进行认证 ★支持用户上线后弹出广播消息、网页；支持设置禁止认证时段，在该时段内用户禁止认证，无法上网。提供功能界面截图 支持禁止已认证用户给未认证用户提供代理服务；

25、禁止已认证用户启用拨号服务，进行非法外连；支持设置用户密码输错的次数上限，防暴力破解 ★支持直接获取用户网卡的物理MAC地址，防止篡改MAC地址。提供功能截图 禁止用户非法外连互联网，一旦访问则进行日志记录，并禁用所有网络连接；支持基于网络设备ACL、设备VLAN、主机ACL的网络权限控制。提供技术白皮书 支持Tacacs+协议，进行主流厂商交换机、路由器等设备的TACACS+认证、命令行授权和审计。 为提供系统的稳定性，要求支持基于Windows与SQL Server集群的双机热备 配合硬件设备实现逃生功能和安全通道功能 ★需提供国家保密科技测评中心涉密信息系统产品检测证书复印件

26、 ★设备厂商需为商用密码产品生产定点单位，提供证书复印件 单套配置：终端的授权许可≥2000个； 质保期：3年原厂质保 兼容性：为了保证兼容性和系统运行效率，建议该产品与防火墙为同一品牌。 其它：须提供生产厂商出具的技术参数证明函以与厂商官网截图证明并加盖厂商公章（或投标专用章），否则技术参数按不满足处理 8 日志管理系统 ★为简化部署方式，要求提供硬件化产品，提供产品图片 支持用户画像，即用户信息标签化，通过收集用户的网页访问数据和APP访问数据生成对应的用户兴趣标识 基于Linux系统，日志存储空间易扩容；提供日志空间管理功能 支持审计设备IP、用户IP、用户名、发件

27、人、收件人、邮件主题、邮件大小、访问时间、附件，提供功能截图。 审计日志内容可包括时间戳、网关设备名称、用户名、BBS地址、贴子标题、贴子正文，提供功能截图。 用户网络行为的7元组（NAT前源IP、NAT前源端口、NAT后源IP、NAT后源端口、NAT后目的IP、NAT后目的端口、时间戳）等条目做为条件进行查询 通过选择[自定义时间] + BBS主题 + URL地址，快速的检索到某个帖子/微博/博客的主题或者链接地址的发布者实名信息，提供功能截图。 支持审计设备IP 源IP 用户名 URL地址 URL分类 访问时间，提供功能截图。 支持设备24小时流量趋势图展示；支持24小时用户流量

28、TOP10排行；支持设备、源IP、应用的总流量、流量趋势图、流量明细的查询，提供功能截图。 ★产品通过CCC认证，提供国家强制性产品认证试验报告，提供中国国家强制性产品认证证书复印件 ★设备厂商需为商用密码产品生产定点单位，提供证书复印件 单套配置：支持并发在线用户日志审计授权≥6000点。 质保期：3年原厂质保 兼容性：为了保证兼容性和系统运行效率，建议该产品与防火墙为同一品牌。 其它：须提供生产厂商出具的技术参数证明函以与厂商官网截图证明并加盖厂商公章（或投标专用章），否则技术参数按不满足处理 9 委办局接入设备 ★配置三层Combo口数量≥2，配置三层千兆电口数量≥2，

29、配置二层千兆以太电口数≥24个，提供产品图片与端口说明 转发性能≥1.6Mpps， ★支持冗余电源模块，提供官网查询链接与截图 可用扩展模块插槽≥4个，可扩展模块可以热插拔 ★配置USB接口≥1，SD卡接口≥1，提供产品介绍 为便于设备管理，要求路由器面板提供多功能复原键 ，便于紧急情况的设备状态恢复 ★支持并实配支持L2TP、IPSec VPN、GRE VPN、DMVPN功能，如需购买软件或License才能支持该功能特性，则要求必须配置相应软件或License。 支持静态路由、RIPv1/v2、OSPF、BGP4等路由协议 支持IGMP、PIM-SM、PIM-DM、DVMR

30、P等组播协议 支持ipfix流量分析功能 支持状态防火墙功能、攻击防御、URL过滤功能。 ★投标产品提供工信部颁发的IPv4电信设备进网许可证复印件 单台配置：千兆单模光模块≥1个； 质保期：3年原厂质保 兼容性：为了保证兼容性和系统运行效率，建议该产品与核心路由器为同一品牌。 其它：须提供生产厂商出具的技术参数证明函以与厂商官网截图证明并加盖厂商公章（或投标专用章），否则技术参数按不满足处理 10 IT综合网管系统 一、总体要求 ★面向业务系统、应用程序、服务器、存储设备、网络系统、其他设备以与安全系统等设施，统一监测和管理。 构建一个满足“集中监控、集中维护、集中管

31、理”标准的自动化、智能化网络管理模式。 独立于各个设备厂商，可接入多个厂商的设备 系统使用不需要太专业的知识，一般工作人员经过简单培训即可使用，系统界面形象直观。 用于对政府、企业IT环境中网络资源、系统资源、基础应用资源、业务应用资源等各种资源进行统 ★支持200个网元设备监控 支持与业务系统和平台的对接 支持二次开发 系统纯B/S架构 生产厂商在河南本地有现场研发和维护支撑团队 二、系统功能 实现对网络设备的性能、故障状况、网络流量的综合监视与运行分析。 实现对网络设备的性能、故障状况、网络流量的综合监视与运行分析。 实现对IT环境的各类主机和存储设备性能、故障状况

32、的综合监视和运行分析。 实现对IT环境的各类业务应用与其关联性的管理，提供故障的准确定位与影响性分析。 提供自动化管理的技术支持手段，提升日常维护工作的规范性，降低人为故障发生的概率。 提供各种来源的运维数据的综合分析，协助运维人员全面、直观的掌握整体运维态势。 支持国内外主流设备厂商的网络、主机、存储设备和主流数据库、中间件、业务应用系统的接入。 支持SNMP、Agent、Telnet/SSH、Log、xFlow、IP探针、WMI、SMI-S等接口技术。 与网络和数据融合 全程端到端诊断和服务 数据汇总，大数据分析 质保期：3年原厂质保 11 服务器 2U机架式服务器

33、 ★配置2颗配置2颗Intel E5-2620v4与以上 CPU 64GB内存 2块1TB SAS 硬盘 4个千兆网口 1+1冗余电源 配置导轨 windows server 2012操作系统 质保期：3年原厂质保 12 UPS ★60KVA主机 配20KVA模块 可扩容到60KVA ★32节100AH电池 电池柜 模块化UPS 可在线扩容 质保期：3年原厂质保 13 标准机柜 类型：网络服务器机柜 ★容量：42U 标准：ANSI/EIA RS-310-D、IEC297-2、DIN41491;PART1、DIN41494;PART7、GB/

34、T3047.2- 92标准;兼容ETSI标准 ★门与门锁：钢化玻璃前门 ★材料与工艺：脱脂、酸洗、磷化、静电喷塑 SPCC优质冷轧钢板 附加功能：静载达800KG.深度600,800,1000,1200前面两侧加装带盖走线槽(专利)槽盖可快速拆装,方便安装和维护.内部最大宽度空间可达740mm可选择加宽载重板,放置大尺寸非机架式,可以将19"扩展成23"25"27"安装 纠错 外观参数：（高度）2000mm x （宽度）600mm x（深度）600mm 颜色：黑色 14 消防箱 七氟丙烷消防箱 ★含报警主机和探测器 按40m2高3.3米算，含报警主机和探测器 15 信息系统集成施工、技术服务费 含机房升级改造费施工费 县中心平台设备安装调试 各接入单位施工 相应辅材 20 / 20