第一包技术需求.docx
《第一包技术需求.docx》由会员分享,可在线阅读,更多相关《第一包技术需求.docx(29页珍藏版)》请在冰豆网上搜索。
第一包技术需求
第一包技术需求
一、项目介绍
珠海出入境边防检查总站担负着珠海地区所有对外开放口岸出入境人员、车辆、船舶、飞机的边防检查、监护工作任务。
下辖拱北、九洲、湾仔、横琴、高栏、万山、斗门、茂盛围等边检站,其中拱北边检站已成为我国陆路旅检第一大站,九洲站已成为水路旅检第二大站。
近年来,总站年验放旅客超过1亿人次。
珠海边检总站圆满完成了拱北口岸沿关、横琴口岸24小时通关、珠澳跨境工业区专用口岸调整功能“三项任务”,以及澳门回归15周年安保、珠海航展边防检查等重点工作,为加强珠澳交流合作,促进国家经济社会建设发挥了重要作用。
本项目结合珠海出入境边防检查总站业务系统的应用现状和网络现状,对珠海出入境边防检查总站和下属各站的网络现状进行改造并加强网络安全的建设和提升网络应急响应。
通过网络高可靠性改造和网络安全加固,保证业务系统的稳定安全应用。
所要达到的目标前景:
本项目整体建设目标为:
对原有网络系统扩容和安全加固后,提升珠海出入境边防检查总站及下属各站公安网核心层的网络性能、安全性和可管理性,从而更好服务群众办理出入境业务。
最终实现构建安全可靠的网络、业务安全性保障、业务敏捷性保障、完善业务管理能力的整体目标。
二、项目基本信息
1、采购人信息
单位名称:
珠海出入境边防检查总站
单位地址:
广东省珠海市香洲区拱北侨光路2号
联系人姓名:
联系电话:
电子邮箱:
2、预算金额:
291.6138万元
3、项目履约时间、地点
履约时间:
所有产品交货日期为合同签订之日起60个日历日内。
履约地点:
珠海市拱北侨光路2号
4、现场踏勘:
否
5、投标人及产品资质要求
各站公安网核心交换机C、应急网络设备汇聚交换机、网络安全设备高性能VPN、网络安全设备WAF防火墙需取得产品生产厂家针对本项目的唯一投标授权。
三、采购产品一览表
序号
货物名称
是否须提供厂家唯一授权
单位
数量
1.
拱北站主楼公安网核心交换机A集群板卡
否
套
2
2.
西域码头公安网核心交换机B集群板卡
否
套
2
3.
各站公安网核心交换机C
是
台
8
4.
横琴公安网核心交换机集群配套
否
套
1
5.
应急网络设备汇聚交换机
是
台
20
6.
应急网络设备接入交换机
否
台
8
7.
网络安全设备高性能VPN
是
台
6
8.
网络安全设备WAF防火墙
是
台
1
四、产品清单及指标要求
重要性分为“★”、“#”和一般无标示指标。
★代表最关键指标,不满足该指标项将导致投标被拒绝,#代表重要指标,无标识则表示一般指标项。
“证明材料要求”项可填“是”和“否”。
选择“是”的,投标人须提供包含相关指标项的证明材料,证明材料应由厂商出具,并加盖厂商印章。
未提供有效证明材料或证明材料中内容与所填报指标不一致的,该指标按不满足处理。
1、拱北站主楼公安网核心交换机A集群板卡数量:
2套
序号
重要性
指标项
指标要求
证明材料要求
基本参数
1.
★
配置要求
1块12端口万兆以太网光接口板、1条10G高速电缆
2、西域码头公安网核心交换机B集群板卡数量:
2套
序号
重要性
指标项
指标要求
证明材料要求
基本参数
1.
★
配置要求
2块集群业务子卡,1块24端口千兆以太网电接口板,1块24端口千兆以太网光接口板,2个盘纤盒,4条高速电缆
3、各站公安网核心交换机C数量:
8台
序号
重要性
指标项
指标要求
证明材料要求
1.
★
交换容量
交换容量≥10Tbps/25Tbps
2.
包转发率
包转发率≥2880Mpps/12000Mpps
3.
★
硬件要求
主控引擎≥2;整机业务板槽位数≥6
4.
#
为保证设备散热效果和可靠性,要求设备支持模块化风扇框,可热插拔,独立风扇框数≥2
5.
支持颗粒化电源,支持M+N电源冗余(AC和DC均支持),电源个数≥3
6.
#
为适应机柜并排部署,设备机箱采用后出风风道设计,提供设备散热气流流向截图
是
7.
#
支持独立的硬件监控模块,控制平面和监控平面物理槽位分离,支持1+1备份,能集中监控板卡、风扇、电源、环境,调节能耗
8.
#
虚拟化
支持横向虚拟化技术,将多台设备虚拟为一台设备,支持长距离集群,且用于虚拟化的板卡与业务板卡物理槽位分离,虚拟化的万兆端口数>=8
9.
#
为了简化管理,支持纵向虚拟化技术,支持把交换机和AP虚拟为一台设备,支持两层子节点,且子节点接入交换机支持堆叠
是
10.
#
无线管理
支持无线管理功能,实现对AP的接入控制、AP域管理、无线用户的统一认证管理
支持业务板集成AC功能,业务单板+AC只占用1个业务槽位,实现对AP的接入控制、AP域管理、有线无线用户的统一认证管理
是
11.
用户管理
支持标准协议的MAC、802.1x、Portal等认证方式
12.
组播
支持IGMPv1/v2/v3,PIMSM/DM/SSM,组播ACL
13.
二层功能
支持基于VLAN和端口的MAC学习,基于源地址的MAC过滤
14.
#
支持MAC地址≥256K,支持ARP表项≥128K
是
15.
IP路由
支持静态路由、RIP、RIPng、OSPF、OSPFv3、BGP、BGP4+、ISIS、ISISv6
16.
#
支持IPv4路由转发表(FIB)≥512K
是
17.
MPLS
支持MPLSL3VPN、MPLSL2VPN(VPLS,VLL)、MPLS-TE、MPLSQoS
18.
#
可靠性
支持硬件BFD/OAM,3.3ms稳定均匀发包检测,提高设备的可靠性
是
19.
设备管理
支持SNMPv1/v2/v3,支持热补丁和远程在线升级
20.
★
实配(单台)
总装机箱,2块主控处理单元,2块集群业务子卡,1块24端口千兆以太网电接口板,1块24端口千兆以太网光接口板,2个交流电源模块,基本软件,2个盘纤盒,4条高速电缆,配套2个40公里千兆光纤模块
4、横琴公安网核心交换机集群配套数量:
1套
序号
重要性
指标项
指标要求
证明材料要求
基本参数
1.
★
配置要求
4个万兆多模模块、2条VSS线缆、2个千兆大于等于70KM长距离单模模块
5、应急网络设备汇聚交换机数量:
20台
序号
重要性
指标项
指标要求
证明材料要求
1.
★
交换容量
交换容量≥256Gbps
2.
#
包转发率
包转发率≥132Mpps
3.
端口类型
支持48个千兆电口,4个万兆光口
4.
#
硬件
为了提高设备可靠性,支持模块化可插拔双电源
5.
二层功能
支持ARP表项规格≥4K,支持MAC地址规格≥16K
6.
支持4K个VLAN,支持VoiceVLAN,基于端口的VLAN,基于MAC的VLAN,基于协议的VLAN
7.
支持1:
1和N:
1VLANMapping功能
8.
#
三层功能
支持静态路由、RIP、RIPng、OSPF、OSPFv3、ISIS、BGP等路由协议
是
9.
支持Ipv4路由表≥8K,Ipv6路由表≥2K
支持IPv4/IPv6双协议栈,支持6to4、ISATAP、手动配置tunnel
10.
支持DHCPv4/v6client/relay/server
11.
组播
支持三层组播功能
12.
支持PIMDM、PIMSM、PIMSSM
13.
安全功能
支持dot1X、MAC认证和Portal认证
14.
#
支持DHCPv6snooping、NDsnooping、SAVI、MFF
是
15.
支持CPU保护功能
16.
#
可靠性
支持G.8032开放环协议
是
17.
#
虚拟化
支持堆叠,主机堆叠数不小于9台
18.
支持以太电口堆叠,用网线连接实现堆叠功能,支持纵向虚拟化,作为纵向子节点零配置即插即用
19.
#
支持80km长距堆叠
是
20.
QOS
支持对端口接收报文速率和发送报文速率进行限制,支持SP、WRR、SP+WRR等队列调度算法
21.
管理维护
支持SNMPv1/v2/v3、Telnet、RMON、SSHv2;
支持通过命令行、Web、中文图形化配置软件等方式进行配置和管理;
支持集群管理;
支持基于IPv6的管理;
支持带外管理以太网口;
22.
#
支持零配置开局
是
6、应急网络设备接入交换机数量:
8台
序号
重要性
指标项
指标要求
证明材料要求
基本参数
1.
★
交换容量
交换容量≥200Gbps
2.
接口
48个千兆电口,4个千兆SFP光口
3.
#
电源
双电源
4.
光模块
配置2个10公里千兆单模模块
7、网络安全设备高性能VPN数量:
6台
序号
重要性
指标项
指标要求
证明材料要求
1.
#
硬件配置
标准2U机箱,冗余电源;标配6个10/100/1000MBase-T电口,5个扩展槽,最多可以扩展46个千兆口,或2个万兆口
2.
★
性能指标
整机吞吐率(bps)≥20G,最大并发连接数≥320万,每秒新建连接数≥16万
3.
IPsecVPN隧道数≥9000条,VPN吞吐率≥900M
4.
#
系统要求
要求具备自主研发的安全操作系统,无通用操作系统漏洞,采用多核多线程ASIC并行操作系统软件
是
5.
#
支持多系统(≥3个)引导,并可在WEB界面上配置启动顺序,要求除恢复系统之外,还可支持系统一键式切换及完整备份
是
6.
访问控制
支持对域名的IP解析,并可作为地址资源被安全规则引用,实现对域名地址的访问控制。
7.
支持对数据库基于用户的细粒度权限控制,实现对数据库服务器的保护
8.
网络适应性
采用下一代防火墙架构,可自动适应云计算,大数据运算等网络环境
9.
支持静态路由,动态路由(OSPF/v3、RIP等),VLAN间路由,单臂路由,组播路由等
10.
#
支持ISP路由,支持联通、电信、教育网、移动等ISP服务商地址列表,可轻松完成基于ISP的策略路由(界面截图)
是
11.
#
支持基于文件类型的策略路由,可实现将预定义或者自定义的文件按照不同的分类进行智能选路(截图材料)
是
12.
#
WiFi接入
支持802.11B,802.11G协议,支持设备作为WiFi热点(即AP),为客户机提供无线安全接入服务,(界面截图)。
是
13.
IPSecVPN
支持标准IPSec、GRE、PPTP、L2TP协议,IPSecVPN支持隧道热备份技术。
14.
#
支持DMVPN,在增加一个新的分支节点网关后,不需要在中心网关更改任何配置,且支持路由推送,实现spoketospoke互通,不必建立额外隧道(界面截图)
是
15.
#
SSLVPN
支持SSLVPN,动态分配虚拟IP,且虚拟IP与口令用户或证书用户进行绑定
是
SSLVPN
支持基于用户、用户组的访问控制,用户认证要求支持Radius、LDAP、WindowsAD域等方式,并内置动态令牌认证服务器,支持基于动态令牌的双因子认证。
17.
#
抗攻击能力
支持主流ICMPFLOOD\SYNFLOOD\ACKFLOOD\UDPFLOOD攻击防护,采用专业高效攻击防护算法,非采用简单的阈值进行攻击防护(截图证明)。
是
18.
#
支持专业的DNSflood攻击防护,具有高级的基于聚类限速、聚类分析、重传检测等多种高级防护算法(截图证明)。
是
19.
漏洞扫描
支持漏洞扫描功能,支持后门、文件共享、系统补丁、IE漏洞等主动式扫描。
20.
#
主动防御
具备恶意地址主动屏蔽技术,用于提前免疫包括病毒网站或者攻击源地址的攻击
是
21.
#
网络访问控制
支持一体化安全策略配置,可以通过一条策略实现协议控制、病毒防护、入侵防护、上网行为管理、云防护、审计、垃圾邮件过滤、流量控制、连接限制、长连接等功能,简化用户管理(截图证明)。
是
22.
#
服务器负载均衡
服务器负载均衡支持10种算法(截图材料)。
是
23.
高可用性
既支持基于VRRP技术的热备和负载均衡,也支持私有的双机热备协议,在NAT、路由、透明模式下支持A-A,A-S模式,且切换时间小于1秒。
8、网络安全设备WAF防火墙数量:
1台
序号
重要性
指标项目
指标要求
证明材料要求
1.
#
产品形态
产品必须为专业性WEB应用防火墙硬件设备,而非NGAF、NGFW、UTM设备。
2.
#
硬件规格
1U机架式设备,单电源,具备6电口(含1个管理接口、1个HA口)
3.
★
性能要求
网络层吞吐率不小于600Mbps,应用层吞吐率不小于300Mbps,最大并发连接数不小于80万
4.
#
系统要求
产品应使用高性能硬件架构,采用多核多线程ASIC并行操作系统平台,在保证Web应用检测的高灵活性的基础上,实现高处理性能
是
5.
接入模式
应支持透明模式、双臂代理模式、单臂代理模式、旁路模式、SSL代理模式等多种部署方式。
6.
#
支持智能部署,智能感知网络中的Web服务器(截图证明)
是
7.
#
为保证系统对于真实攻击源进行有效拦截,对于通过NAT方式转换前的内网真实IP进行识别,系统应支持内网客户端真实IP识别功能,并可手动配置包括头参数字段以及识别代理层数等规则参数。
(界面截图)
是
8.
#
系统应支持智能Web应用识别功能,可自动识别客户环境的Web服务器操作系统、服务器类型、中间件、编程语言、地址、端口等信息,并可以根据学习结果生成相应的安全策略(页面截图)
是
9.
#
Web攻击防护
为保证产品对于web攻击检测的先进性和可靠性,系统应采用双引擎的检测机制,包括算法引擎和事件引擎。
(双引擎界面截图)
是
10.
系统应具备SQL注入、XSS攻击的检测与防御能力,专利级别防护能力。
11.
#
应具备HTTPS应用防护能力,版本支持SSL3.0、TSL1.0/1.1/1.2,系统应支持对于SSL加密数据的解析功能,应支持国际及国密等多种算法检测。
(界面截图)
是
12.
系统应支持针对资源消耗型慢速攻击的防护能力,以阻止通过发送慢速报文,长期占用连接,导致服务器拒绝服务的攻击行为。
13.
#
系统应支持网站弱口令检测功能,通过内置多种口令检测基线,对网站用户的登录密码进行检测,规范用户的口令设置。
(界面截图)
是
14.
系统应支持对于攻击事件HTTP请求头信息提取功能,以还原及追溯攻击数据信息。
15.
#
Web非授权访问防护
系统应扩展支持基于全球地域IP库的网站访问控制功能,通过内置的全球地理区域IP库灵活设置允许访问的安全区域,保障用户网站只向特定存在业务交互的地域提供服务,从而避免非法地域的恶意访问行为给用户网站造成潜在安全威胁。
(界面截图)
是
16.
#
应具备CSRF攻击检测与防御能力,CSRF支持自学习功能(界面截图)。
是
17.
Web应用合规
系统应支持对于网站请求逃逸行为的检测能力,对于非合规HTTP协议请求逃逸行为进行拦截,包括:
非标准Http版本逃逸检测(0.9/1.0/1.1/2.0)、非法URL逃逸检测、重复编码逃逸检测、参数名重复逃逸检测。
18.
系统应支持URL对象管理功能,可基于URL对应资源灵活配置相应安全策略。
19.
#
系统应支持网站表单关键字过滤功能,并内置流行的敏感关键字库,对于网站访问客户端与网站服务器的交互行为进行敏感信息过滤。
(敏感关键字库界面截图)
是
20.
#
Web应用交付
系统应扩展支持网站安全锁功能,可基于特定周期灵活锁定网站页面修改权限,可为重要敏感时期、重大事件提供相应的网站安全应急保障。
(安全锁界面载图)
是
21.
应支持基于URL的流量控制功能。
22.
应支持获取Web安全事件的原始攻击信息。
23.
应支持针对Web应用连接状况和流量信息的实时监控。
24.
#
Web安全事件统计分析与报表
系统应支持基于以世界地图库的呈现方式对于不同国家、不同地域的攻击源IP进行有效监测及统计。
(界面截图)
是
25.
应具备多设备拓扑显示功能,可以在界面上以图形化的方式显示当前的部署拓扑。
26.
高可用性
应支持双机热备功能,支持主主及主从的热备模式,并支持配置、运行状态、预定义事件集、恶意URL库等同步功能。
27.
#
应支持链路绑定功能支持LACP(L34,L2)以及手动模式,可实现与cisco,huawei,h3c等主流设备互通(界面截图)
是
28.
升级管理
应支持手动、自动执行产品升级、支持在线和离线升级。
29.
#
设备之间联动
产品应支持和Web应用审计系统(业务审计)联动,满足用户对Web应用安全防护和审计需求。
(界面截图)
是
30.
#
WAF产品应支持和入侵检测系统联动,满足用户对网络流量镜像给IDS检测需求。
(界面截图)
是
五、服务要求
重要性分为“★”和一般无标示指标。
★代表最关键指标,不满足该指标项将导致投标被拒绝,无标识则表示一般指标项。
序号
服务要求项目
重要性
服务要求标准
1.
原厂售后服务承诺函
★
各站公安网核心交换机C、应急网络设备汇聚交换机、网络安全设备高性能VPN、网络安全设备WAF防火墙产品的三年免费保修的原厂商售后服务承诺函。
2.
投标人服务标准
★
投标人承诺所有硬件三年免费保修、所有软件一年免费保修升级、电话报修后4小时上门服务、12小时内排除故障。
3.
巡检服务
提供定期巡检服务,每1季一次,全年不少于4次。
投标人应认真履行技术需求规定的巡检服务响应时间和备机备件等各项保修维护服务。
4.
人员资格
本项目需要项目经理1名;
投标文件中须提供证书复印件加盖投标人公章,并同时提供上述人员在投标人单位的社保证明(以社保机构出具的投标截止日前三个月内任何一个月的社保证明为准)复印件加盖投标人公章。
5.
服务网络
投标人在项目运行地点须有直属售后服务机构或分支机构的,服务人员需有8人以上,每个服务人员至少在该网点工作3个月以上。
提供上述服务人员在投标人单位的社保证明(以社保机构出具的投标截止日前三个月内任何一个月的社保证明为准)复印件加盖投标人公章。
6.
服务热线
投标人或投标产品厂商能够提供7×24小时的400或800服务热线电话。
提供证明材料(加盖投标人公章)。
7.
培训
提供不少于2天不少于5人的主要设备的安装配置等实操培训课程,场地、交通等与培训相关的费用均由投标人承担。
8.
集成实施服务
制定系统的整体联调、测试和优化方案。
负责本项目所有设备的系统集成实施服务,提供集成服务方案和实施方案。
六、付款方式
序号
付款节点
付款条件
付款比例(或金额)
备注
1
首付款
合同生效后15个工作日,同时中标方将合同金额的5%作为质保金转账至采购方指定账户
付款至总合同金额30%
2
第二期款
货物全部安装完毕,加电调试完成,并验收合格后15个工作日内
付款至总合同金额100%
3
质量保证金退还
待质量保证期满,完成保修责任,且无任何工程缺陷,同时没有发生合同规定的抵扣、扣除保证金的任何情况,由中标方提出申请办理相关退保手续,经审核并通过资金拨付审核流程后7个工作日内无息付清退还
合同金额5%