新昌县人民检察院非涉密网建设项目采购要素.docx
- 文档编号:17327551
- 上传时间:2023-07-24
- 格式:DOCX
- 页数:66
- 大小:54.96KB
新昌县人民检察院非涉密网建设项目采购要素.docx
《新昌县人民检察院非涉密网建设项目采购要素.docx》由会员分享,可在线阅读,更多相关《新昌县人民检察院非涉密网建设项目采购要素.docx(66页珍藏版)》请在冰点文库上搜索。
新昌县人民检察院非涉密网建设项目采购要素
新昌县人民检察院非涉密网建设项目采购要素
一、投标人资格
(1)必须符合《中华人民共和国政府采购法》第22条规定的要求;
(2)在中华人民共和国境内注册,具有本采购项目供货、实施能力,能提供良好的技术支持和售后服务的独立法人企业;
(3)本项目不接受联合体竞投。
二、采购需求
1、项目概述
近年来,新昌县人民检察院按照高检院、省院的要求实施“科技强检”战略,积极推进信息化建设,目前已初见成效:
依托检察专线网络,我院已接入覆盖全省的检察业务专网,构建融合数据、视频、语音三网合一的基础网络构架,上线多套业务系统如案件管理系统、检察办公系统、文件传输系统、电子邮件系统等,实现了检察信息资源共享,开展了检察办公、检察办案等信息化应用工作,各类案件、涉密文件、检察动态等信息都已通过网络实现了交互。
提高了办案效率和水平,为“科技强检”提供强大的信息化支撑。
2014-2015年度,根据国家政法委“ZF801”工程和浙江省委政法委对我省政法二、三级网建设的统一部署,省院下发的《浙江省检察内网(非涉密)建设技术方案》,明确要求逐步实现检察机关与其他政法机关的信息资源共享和业务协同应用,并将现有检察专线网络改造成具有涉密和非涉密两部分网络的检察专线网,用非涉密网络对接政法网、电子政务外网等。
同时考虑到检察工作具有相对敏感性,要求在非涉密网建设中应部署网络安全设备和措施,并建立安全保障机制,完善安全防护体系,保障非涉密网络安全运行。
同时,近几年随着云计算技术成熟及广泛使用如虚拟化技术、云终端等,各级检察系统都广泛应用云计算技术,取得较好的效果,因而在非涉密网建设中,我院将适当应用云计算技术,对现有基础架构进行整合和优化,实现资源的统一管理、分配、部署、监控和备份,提供安全、可靠、灵活的基础架构服务,深入满足非涉密网各类业务的开展。
依据省院下发的《浙江省检察内网(非涉密)建设技术方案》要求,结合我院信息化开展的实际情况,编制了《新昌县人民检察院非涉密网建设方案》。
本次非涉密网建设目标如下:
1、新建非涉密网基础网络
采用核心、接入二层网络架构,新建覆盖全院、基层检察室的非涉密网络;完成市级非涉密网网络配置调整(包括OSPF路由规划、带宽分配、QOS设置),实现与市院、省院、监所及基层检察室非涉密网互联互通。
2、网络安全防护体系建设
参照信息系统等级保护三级要求,部署网络安全设备,从隔离网络边界,监测网络安全风险、操作行为审计、规范终端准入等四个方面保障非涉密网络安全运行。
3、完善存储容灾系统建设
非涉密网建成后,将承载较多的业务应用,配置数据存储和完善非涉密网存储容灾平台建设,实现业务数据的安全存储,并保障非涉密网业务持续运行。
4、搭建非涉密网云桌面平台
采用成熟的桌面虚拟化技术解决方案,搭建云桌面平台,解决非涉密网终端管理维护难度大、总体投资成本高、数据安全风险等问题。
2、项目清单
序号
设备名称
配置说明
数量
1
基础网络构建
核心交换机
企业级插卡式核心交换机,2块24端口千兆电接口模块(RJ45),其中4端口可光电复用(SFP,LC)-可升级支持PoE,650W冗余电源
1台
接入交换机
48口千兆以太网二层交换机,配置48个千兆电口,4个SFP插槽(含4个SFP模块)
4台
路由器(非涉密网)
企业级路由器,固定千兆端口≥3,其中2端口可光电复用,另配置千兆光口≥8(含8个SFP模块),冗余电源。
1台
2
网络安全防护建设
防火墙
1U机架式硬件设备,最大扩展至26个接口,默认配置6个10/100/1000BASE-T接口,4个SFP插槽,整机防火墙吞吐≥8G,并发≥200万;
1台
入侵防御系统
1U机架式独立IPS硬件设备,USB接口≥2个,GE管理口≥2个,GE(Bypass)≥6个接口;剩余扩展槽位≥1个;设备最大支持接口≥14个;IPS吞吐量≥1G,三年特征库升级
1台
网络审计系统
2U标准机架式,4个千兆电口,处理能力1Gbps,物理磁盘空间>=2TB;日志存储量至少2'000'000'000条;支持网络行为审计、内容审计、网络认证、实名审计、数据库审计等功能
1台
上网行为管理系统
性能≥60M,并发会话说≥60,000,支持用户数600人,具备4个千兆电口;1U机架、冗余电源、bypass;支持400个用户;支持IP/MAC地址绑定以及用户名/密码等认证方式,对于第三方接入人员,支持短信认证方式,能够控制国内常见类似im,bt,迅雷,等p2p应用软件,可以进行流量智能管控,能够防代理、放共享上网,并且对所有上网用户的上网行为进行记录。
1台
入网准入系统
1U标准机架式;单电源;标准配置4个1000MBASE-T接口;每秒事务数(TPS):
≥500(次/秒),最大吞吐量:
≥500Mbps,最大并发连接数:
500(条);100点终端用户认证许可。
1台
网络防病毒软件
网络版杀毒软件,配置1个控制中心,100个终端、10个服务器授权,支持虚拟云桌面版本。
1套
3
完善存储容灾平台
服务器
2U机架式服务器,2颗E5-2650v2处理器,64G内存,5块300G15KSAS热插拨硬盘,1块8GB双口HBA卡,RAID卡;DVD光驱;热插拔冗余电源
1台
FC-SAN存储(含云桌面数据存储)
企业级存储系统,19寸机架式,4U24盘位,32GB缓存,8*8Gb主机通道,64位多核高性能处理器,XOR双ASIC运算芯片、双PCI-E总线设计,内核采用UNIX平台(杜绝网络病毒攻击),支持RAID等级0,1,3,5,6,10,30,50,支持在线自动重建,支持在线扩容,提供卷容量预留功能,提供存储管理软件,支持卷共享、镜像、快照功能,冗余电源,配置16块900GB10KSAS硬盘和8块400G企业级SSD硬盘
1台
CDP容灾系统硬盘扩容
2TB企业级7200rpmSATA硬盘,提供对应原厂扩容许可。
2块
CDP容灾系统升级
CDP容灾系统光纤通道升级扩容(2*8GBFibreChannel光纤主机通道)和光纤通道协议许可
1套
CDP异地容灾许可
CDP异地容灾许可。
1套
FC交换机
24口8GB光纤交换机,16口激活(含16个8Gb短波SFP和16条5米光纤线,含Webtools、Zoning软件授权,机架套件)
2台
4
桌面虚拟化平台建设
云桌面控制平台
1U硬件式设备,4个千兆电口,支持日后集群稳定扩展,最大满足500用户并发接入
1台
桌面虚拟化软件
85用户并发许可
1套
服务器
2U机架式服务器,2颗E5-2650v2处理器,128G内存,2块200GSSD硬盘,1块8GB双口HBA卡,RAID卡;DVD光驱;热插拔冗余电源
3台
瘦终端
主频1.6Ghz,内存1G,存储4G,4个USB接口,1个VGA接口,1个RJ45接口,1个串口,2个音频接口。
85台
终端外设
19.5英寸高清液晶显示器,USB鼠标键盘套装
85套
3、项目招标参数
3.1基础网路构建
3.1.1核心交换机(数量:
1台)
指标项
详细技术要求
★基本要求
为确保现有设备利旧,要求必须能与原有的业务板卡相兼容,提供相关证明文件;
交换容量≥16Tbps;整机包转发能力≥6000Mpps;
总插槽数≥3,业务槽位数量≥3,主控槽位≥1;
为适应未来云计算发展趋势,要求设备支持丰富的云计算数据中心特性,;支持FCOE、TRILL、EVI和EVB数据中心特性;官网具有明确说明,提供原厂的产品彩页作为证明;
本次配置要求:
配置引擎≥1;配置千兆电口≥48;光电复用口≥8;配置电源≥2
为增加组网的高可靠性本次投标产品必须支持N:
1虚拟化:
后续可将多台物理设备虚拟化为一台逻辑设备,虚拟组内可以实现一致的转发表项,统一的管理,跨物理设备的链路聚合;配置1:
N虚拟化:
可将1台物理设备虚拟成多台逻辑设备,每台逻辑设备享有独立的硬件和软件资源,相互独立,互不影响;提供原厂的产品彩页作为证明;
支持GE(电/光),支持40GE;单槽位能够同时提供千兆光口、千兆电口、万兆光口,且实际可用端口总数≥48,提高槽位利用率和业务可靠性,以原厂官网设备定购信息、选配信息为准。
提供官网链接和截图。
二层网络特性
支持并配置RRPP(快速环网保护协议)功能;
支持并配置基于端口、协议、子网和MAC的VLAN划分功能,支持并配置SuperVlan功能;
支持并配置JumboFrame功能;
支持最大VLANMAPING/灵活QinQ表项;支持VLANMAPPING能力;支持并配置IEEE802.1ad(QinQ),灵活QinQ功能;
支持并配置IEEE802.3ad(链路聚合)和跨板链路聚合功能;
IPv4/IPv6协议
支持并配置RIP、OSPFV2、IS-IS和BGP协议功能,组播协议必须支持IGMPV1/V2/V3Snooping、PIM-SM、PIM-DM、PIM-SSM和MSDP,支持并配置等价路由功能;支持并配置策略路由和路由策略功能;
支持并配置RIPng、OSPFV3、IPv6IS-IS和IPv6BGP功能,隧道协议必须支持IPv6手动隧道、6to4隧道和ISATAP隧道,支持PIM-SMv6、PIM-DMv6、PIM-SSMv6;支持并配置DHCPv6、ACLv6等功能;
安全特性
支持并配置IEEE802.1x和IEEE802.1xSERVER功能;支持并配置MAC认证功能;支持并配置AAA/Radius功能;支持SSHv1.5/SSHv2;支持ACL流过滤机制;支持OSPF、RIPv2及BGPv4报文的明文及MD5密文认证;
ACL/MPLS/QoS功能
支持并配置标准和扩展ACL、VLANACL功能;支持Ingress/EgressACL;支持Ingress/EgressCAR,粒度可达8Kbps;
支持并配置分布式MPLS转发功能;支持L3MPLSVPN,支持L2VPN:
VLL(Martini,Kompella),支持MCE,支持分层VPLS,以及QinQ+VPLS接入;支持P/PE功能;支持LDP协议;
至少具备8个QoS优先级,通过服务质量策略(特别是优先权规则和算法)为关键业务和特定应用预留带宽;支持Ingress/EgressCAR,粒度可达8Kbps提供广播风暴抑制功能;支持VLAN聚合CAR,MAC聚合CAR功能;
多业务支持
为了便于以后的业务扩展,核心设备支持独立式的应用控制业务板卡、负载均衡业务板卡、SSLVPN业务板卡、入侵防御业务板卡、无线控制器业务板卡等(非多业务复合板);要求官网有明确说明,提供官网链接和截图。
管理特性
支持SNMPV1/V2/V3、RMON、SSHV2;
支持通过命令行、Web、中文图形化配置软件等方式进行配置和管理
▲认证资质
为保证投标产品稳定、可靠,需要提供入网证书作为证明,且入网证书能在信产部网站查询,入网证书上申请单位与生产企业必须为同一厂商,以保证该产品非OEM产品;
为保证投标产品环保节能,投标产品须具有并提供Rohs文件作为证明;
为保障产品代码质量,生产厂商国内研发机构需通过CMMI4认证,提供证书,其证书须能在官方网站查询。
3.1.2接入交换机(数量:
4台)
指标项
详细技术要求
★基本要求
与核心交换机同一品牌;
交换容量≥256G、转发性能≥132Mpps;
48个10/100/1000Base-T以太网端口;
4个1000Base-X以太网端口(非复用);
最大VLAN数(不是VLANID)≥4094;
支持IPv4/IPv6静态路由、RIP;
支持设备堆叠;
QOS
支持Diff-ServQoS,每个端口支持8个输出队列,支持优先级映射,支持队列调度机制,支持基于流的限速、包过滤和重定向;
镜像功能
支持端口镜像、流镜像
ACL
支持L2~L4包过滤功能,提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、IP协议类型、TCP/UDP端口、TCP/UDP端口范围、VLAN等定义ACL;
支持基于时间段的ACL;
支持基于硬件的IPv6ACL和QoS;
二层环网协议
支持STP/RSTP/MSTP协议;
安全特性
支持IP+MAC+PORT+VLAN四元绑定;
支持ARP入侵检测功能、报文限速功能;
支持端口隔离、防DOS攻击、广播报文抑制;
支持SAVI源地址有效性验证;
绿色节能、防雷
满负荷功耗<=32W,防雷>=7KV,提供原厂商官方网站截图证明
设备管理
支持SNMPV1/V2/V3,支持TR069
▲认证资质
1、为保证投标产品稳定、可靠,需要提供两年以上的入网证书作为证明,且入网证书能在信产部网站查询,入网证书上申请单位与生产企业必须为同一厂商,以保证该产品非OEM产品;
2、为保障产品代码质量,生产厂商国内研发机构需通过CMMI4认证,提供证书复印件,其证书必须能在官方网站查询
3.1.3路由器(数量:
1台)
指标项
详细技术要求
★基本要求
与核心交换机同一品牌;
机身高度≤2U,接口模块插槽数≥8个;USB接口≥2个,CON接口(Mini-USB)≥1个,官网有明确说明,以上功能要求提供原厂产品彩页作为证明
整机IPV4包转发率≥6Mpps,IPV4包转发率≥5Mpps;
固定千兆端口≥3,其中2端口可光电复用,另配置千兆光口≥8,支持冗余电源
以太网二层虚拟化互联(EVI)特性,以上功能要求提供原厂产品彩页作为证明;
设备支持对系统软硬件部件的内部事件、状态进行监控,出现问题时收集实时信息并自动修复,并能将实时信息发送到指定的服务器,以上功能要求提供原厂产品彩页作为证明;
为保障后续设备扩容减小对组网的影响,要求设备支持网络设备虚拟化功能,支持将多台物理设备虚拟成一台逻辑设备,提升链路利用率,支持跨设备链路聚合,以上功能要求提供原厂产品彩页作为证明;
安全特性
PORTAL,802.1x
Local认证,Radius,Tacacs
支持ADVPN
支持基于角色接入控制;
支持对于终端准入控制的支持
局域网协议
Ethernet,EthernetII,VLAN(VLAN-BASEDPORTVLAN,VOICEVLAN,GuestVLAN),802.3x,802.1p,802.1Q,802.1x;
IP路由
静态路由;
动态路由协议:
RIPv1/v2、OSPFv2、BGP、IS-IS;
路由迭代;
路由策略;
ECMP(等价多路径);
组播路由协议:
IGMPV1/V2/V3,PIM-DM,PIM-SM,MBGP,MSDP;
MPLS
协议:
LDP、StaticLSP;
L3VPN:
跨域MPLSVPN(Option1/2/3)、嵌套MPLSVPN、分层PE(HoPE)、CE双归属、MCE、多角色主机等;
L2VPN:
Martini、Kompella、CCC和SVC方式;
MPLSTE、RSVPTE;
IPv6特性
支持Ipv6ND,Ipv6PMTU,Ipv6FIB,Ipv6ACL,NAT-PT,Ipv6隧道,6PE、DS-LITE;
IPv6隧道技术:
手工隧道,自动隧道,GRE隧道,6to4,ISATAP;
静态路由;
动态路由协议:
RIPng,OSPFv3,IS-ISv6,BGP4+;
IPv6组播协议:
MLDV1/V2,PIM-DM,PIM-SM;
QoS
支持LR、Port-BasedMirroring、PortTrustMode,PortPriority等;
支持CAR(CommittedAccessRate);
支持FIFO、WFQ、CBQ等;
支持GTS(GenericTrafficShaping);
支持流量分类;
可靠性
支持VRRP,支持VRRPv3,支持基于带宽的负载分担与备份,支持基于用户(IP地址)的负载分担与备份;
管理特性
支持SNMPV1/V2c/V3,MIB,SYSLOG,RMON;
支持TR069远程管理方案,支持U盘开局;
支持零配置部署,可实现零配置方式下的批量设备开局,通过短信实现设备的零开局,并且在误配置时可自动实现设备配置的回退;
设备支持对系统软硬件部件的内部事件、状态进行监控,出现问题时收集实时信息并自动修复,并能将实时信息发送到指定的Email邮箱;
▲认证和资质
为保证投标产品稳定、可靠,需要提供投标产品入网证书作为证明,且入网证书能在信产部网站查询,入网证书上申请单位与生产企业必须为同一厂商,以保证该产品非OEM产品;
为保证投标产品环保节能,投标产品必须具有并提供Rohs文件作为证明;
为保障产品质量,生产厂商国内研发机构需通过CMMI4认证,提供证书,其证书必须能在官方网站查询;
3.2网络安全防护建设
3.2.1防火墙(数量:
1台)
指标项
详细技术要求
品牌要求
国产品牌,安全自主可控,必须采用国产完全自主版权的操作系统;
★基本要求
采用多核硬件架构,机架式;最大支持26个接口扩展;标配≥6个10/100/1000MBASE-T接口和4个SFP插槽;
提供主、备双操作系统,提高设备自身可靠性和网络的可用性;
整机吞吐率≥8Gbps;最大并发连接数≥200万;为保证其处理性能,提供芯片级硬件性能加速技术;
部署模式
支持透明、路由及混合模式部署,适应不用的网络环境及需求;
路由
支持静态路由、策略路由、动态路由以及组播路由协议;
子接口
单接口支持至少32个路由子接口,解除物理接口数量有限的局限性;
端口聚合
支持链路聚合功能,对每个聚合端口的物理接口数量无限制;
封装
支持支持Trunk接口封装和解封,支持802.1D与PVST生成树协议;
支持VLAN-VPN,缓解VLANID资源限制;
ADSL
支持至少3路ADSL拨号接入,多ADSL链路能够基于等价多路径与加权多路径进行路由均衡;
IPv6
为适应IPv6发展,要求产品支持IPv6环境接入、支持IPv6&IPv4双栈运行,支持RFC246X、RFC4861、RFC4862等IPv6一致性测试要求,提供IPv6金牌测试认证证书;
网络安全
基于数据包的区域、地址、角色、VLAN、端口号、服务、域名等进行安全策略控制;
支持自学习功能并可生成相关安全策略;
支持策略分组管理,可针对策略可进行命中数统计、策略冲突检查功能;
支持源地址转换、目的地址转换、双向地址转换策略,并且能够针对特定对象配置不转换策略;
可基于网段、物理接口进行IP探测,进行IP/MAC绑定;
支持防共享接入,能够有效识别、报警并阻断局域网网络共享行为;
身份认证
支持基于端口的访问控制协议802.1X,支持md5挑战字的方式认证;
支持基于用户、角色的身份认证,用户口令强度、长度、过期时间可自定义,角色支持分级管理;
认证客户端支持一次性口令认证(OTP)、本地认证、证书认证和免客户端方式认证;认证服务器支持本地认证与第三方外部认证(如RADIUS、TACACS、LDAP(含MS-AD、SUN、Novell)、SECURID、HTTP认证等);
支持基于用户或角色的可信接入,对接入的终端主机可进行安全检查,包括终端的注册表项、文件状态、文件版本、进程、端口、服务、系统补丁、操作系统、设备、杀毒软件等信息;
支持可信接入的全局、局部控制,可进行与、或逻辑关系控制;
攻击防护
支持基于主机、子网、IP范围的SYN、ACK、并发、半连接的限制功能;
支持TCP首包可信检测,防统计型、异常包型攻击;
支持设备防ARP欺骗、防路由欺骗;
支持安全联动功能,可与主流的的IDS和反病毒厂家的产品进行联动;
支持基于MAC、IP、协议、端口、存活时间等条件的联动状态查询;
VPN接入
支持L2TP、PPTP、GRE等VPN功能;以上VPN功能,符合《防火墙产品密码检测准则》;
IP探测
支持IP探测功能,可通过发送ping包来检测链路的状况,并将检测结果在设备上进行记录;
接口联动
支持接口联动,可根据单一接口的状态调整组内所有接口的状态,保证转发设备出接口和入接口状态的一致性;
链路备份
支持实时监视链路的工作情况,发现异常立即启动“链路备份”功能自动切换到备用链路,确保网络的正常通信;
负载均衡
支持用户服务器的负载均衡,保证用户关键服务的有效性;
冗余备份
支持主备、负载均衡等多种设备高可用机制并支集群部署;
支持高可用性下的接口监控、同步操作、切换操作功能;并支持基于接口度量值切换条件进行设置;
操作系统
为保证系统软件设计全面性、保密性、完整性,要求招标产品系统遵从行业标准和政府法规,符合GB/T18336信息技术安全性评估标准;
管理员
支持管理员口令强度分级设置,同时可实现多元化认证方式,包含了用户名+口令+图形认证码+USBKey的组合;
支持管理员分权管理,能够自定义管理员权限模板,所有功能模块组合可由管理员自由组合配置;
管理方式
支持HTTPS、SSH、GUI等高可控加密方式管理,保证设备登陆安全;
日志审计
支持日志本地存储及外部存储,外部存储时可指定多个接收服务器;
支持传输加密、传输合并功能,有效保证日志传输安全与传输效率;
维护
支持本地多配置文件存储及配置回滚功能,可按对象、策略等分类的部分配置文件下载/上传功能;
支持配置文件自动定时上传指定服务器;
排故
在WEB页面上具有调试功能,可支持PING、Traceroute等;
支持Console下的Tcpdump功能,便于网络维护人员定位问题与排故;
APT检测
支持未知威胁检测,能够对于未知木马、病毒、恶意代码等等进行有效检测与阻断,支持0day/1day漏洞检测;
能够生成详尽的未知威胁分析报告,包括文件的静态基本信息、危险行为、文件操作和进程执行等信息;
流量控制
要求产品支持流量管理,能够针对用户、用户组、IP、MAC、时间、应用等进行基于访问控制策略的一体化带宽管理;
要求产品支持基于COS、DSCP方式的数据标识,并且支持共享策略、独享策略、访问控制独享策略等多种带宽策略类型;
关键字过滤
支持FTP、TELNET、RSH、DNS协议的关键字过滤,支持Banner信息替换,防止服务器敏感信息泄露;
连接信息
支持WEB界面中查看策略所匹配的当前会话、历史会话与报文统计信息;
攻击排名
支持攻击事件和受攻击的主机进行排名,为用户提供管理决策;
应用排名
支持对具体应用和主机应用进行排名,为用户提供管理决策;
病毒排名
支持病毒排名、感染病毒主机排名以及病毒来源排名,方便管理员掌握网络内的病毒感染情况;
健康体检
支持设备健康体检功能,通过结合内置的健康评分体系,对设备的健康情况进行综合评定,并以“一键式健康体检评分”和“多视角体检分析报告”的形式进行展现;
资质要求
提供《计算机信息系统安全专用产品销售许可证》
提供中国国家保密局测评中心颁发的《涉密信息系统产品检测证书》;
3.2.2入侵防御系统(数量:
1台)
指标项
详细技术要求
硬件指标
1U机架式独立IPS硬件设备,非UTM设备,全内置封闭式结构,具有完全
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 新昌县 人民检察院 非涉密网 建设项目 采购 要素