铜陵市云计算数据中心网络双活安全平台暨移动机房互联网出Word文档格式.docx
《铜陵市云计算数据中心网络双活安全平台暨移动机房互联网出Word文档格式.docx》由会员分享,可在线阅读,更多相关《铜陵市云计算数据中心网络双活安全平台暨移动机房互联网出Word文档格式.docx(56页珍藏版)》请在冰豆网上搜索。
4.配置≥1个阵列卡,≥2GB缓存,支持缓存数据保护,且后备保护不受时间限制;
5.☆支持≥20个标准PCIe3.0插槽,提供官网截图证明,
6.本次配置2块2端口万兆光接口网卡(含8个万兆多模光模块);
4个千兆电口;
7.☆支持6张单宽GPU卡,提供官网截图证明;
8.4个1200W热插拔电源,含机架安装导轨;
★投标人提供3年软硬件免费维修升级服务承诺并加盖投标人公章。
8
台
2
超融合平台
本次提供64颗物理CPU的服务器虚拟化,32颗物理CPU的网络虚拟化、存储虚拟化、云管理平台授权,要求存储虚拟提供不少于1PB的容量授权,网络虚拟化中虚拟路由器提供不少于2000台的授权。
一、超融合云管理平台
1、☆采用分布式管理架构,去中心化,管理平台不依赖于某一个虚拟机或物理机部署,采用分布式架构保障平台更可靠(需提供具有CNAS、CMA的第三方测试机构的证明材料,至少包含报告首页,对应功能测试页和报告尾页复印件并加盖投标人公章)
2、☆支持平台中的集群资源环境一键检测,对硬件健康、平台底层的虚拟化的运行状态和配置,进行多个维度进行检查,提供快速定位问题功能,确保系统最佳状态。
(需提供具有CNAS、CMA的第三方测试机构的证明材料,至少包含报告首页,对应功能测试页和报告尾页复印件并加盖投标人公章)
3、☆提供用户自助服务界面,用户能够通过自助服务门户完成虚拟机的查看、申请、使用、修改、删除等操作。
(提供产品功能界面截图复印件并加盖投标人公章)
4、云平台支持工单审批和审批流程自定义;
云平台提供操作审计功能,支持平台所有用户各项操作记录的检索。
二、服务器虚拟化模块:
基本要求:
1、虚拟化软件非OEM或贴牌产品,禁止借用第三方软件的整合,以保证功能的可靠性和安全性
2、虚拟机可以实现物理机的全部功能,如具有自己的资源(内存、CPU、网卡、存储),可以指定单独的IP地址、MAC地址等
3、后期无需安装额外软件、仅开通授权即可支持虚拟VPN、虚拟上网行为管理、虚拟广域网优化、虚拟应用交付、虚拟下一代防火墙、虚拟数据库审计、虚拟路由器等;
4、☆每个虚拟机都可以安装独立的操作系统,为获得良好的兼容性操作系统支持需要包括Windows、Linux,并且支持国产操作系统包括:
红旗linux、中标麒麟、中标普华、深度linux等(需提供具有CNAS、CMA的第三方测试机构的证明材料,至少包含报告首页,对应功能测试页和报告尾页复印件并加盖投标人公章)
功能性要求:
1、☆具有合理的内存调度机制,支持内存回收机制,实现虚拟化平台内存资源的动态复用,并支持手动设置内存超配机制,能够实现内存的过量使用,保证内存资源的充分利用。
(需提供产品截图并加盖投标人公章)
2、提供虚拟机回收站功能,防止因虚拟机误删除导致数据丢失,超期的文件将被自动删除
3、☆支持无代理跨物理主机的虚拟机USB映射,需要使用USBKEY时,无需在虚拟机上安装客户端插件,且虚拟机迁移到其它物理主机后,仍能正常使用迁移前所在物理主机上的USB资源,对于业务的自适应能力、使用便捷性更佳(需提供具有CNAS、CMA的第三方测试机构的证明材料,至少包含报告首页,对应功能测试页和报告尾页复印件并加盖投标人公章)
4、支持设置告警类型(紧急和普通)、告警内容(集群、主机、虚拟机、CPU、内存、磁盘),针对告警信息平台可自动给出告警处理建议,同时支持将告警信息以短信和邮件方式发送给管理员
5、本次配置持续数据CDP软件,配置100个虚拟机数据保护授权。
6、☆内置持续数据保护CDP软件模块能够动态的开启和关闭,比如能够提供对正在运行的虚拟机,在不需要重启或中断业务的情况下,就可以开启CDP。
三、网络虚拟化模块:
1、虚拟路由器支持HA功能,当虚拟路由器运行的主机出现故障时,可以实现故障自动恢复,保障业务的高可靠性;
2、支持对oracle、sqlserver、Weblogic数据库及中间件监控,实现对数据库的语句的故障定位排错,执行时延分析;
3、☆在管理平台上可以通过拖拽虚拟设备图标和连线就能完成网络拓扑的构建,快速的实现整个业务逻辑,并且可以连接、开启、关闭虚拟网络设备,支持对整个平台虚拟设备实现统一的管理,提升运维管理的工作效率。
4、支持创建分布式虚拟防火墙,基于虚拟机构建安全防火墙,当虚拟机在不同的物理节点之间迁移时,安全策略随之移动。
5、☆分布式防火墙基于监测虚机IP地址和端口进行东西向流量隔离控制,并提供实时拦截日志,以及支持“数据直通ByPass”功能,方便出现问题快速定位问题。
6、提供虚拟路由器、虚拟交换机等设备的连通性探测功能,方便在虚拟化环境中,进行相应的故障排除和恢复,能够定位到出现故障的虚拟网络设备,并且能够排查到acl策略配置错误等层面,方便快速排查问题保障业务的高连续性;
四、存储虚拟化模块:
1、☆支持存储虚拟化功能,无需安装额外的软件,在一个统一的管理平台上使用License激活的方式即可开通使用,存储虚拟化与计算虚拟化为紧耦合架构,减少底层开销,提升性能。
2、为了便于部署关键业务系统,虚拟存储可支持OracleRAC,支持共享盘,及共享块设备,支持向导式安装,降低部署复杂度;
3、支持多副本冗余功能:
采用2副本或3副本,各副本互斥保存在集群的不同节点中,单个主机或磁盘故障时仍须确保数据正常访问;
4、☆支持数据自动重建机制,当主机或者磁盘故障后,自动利用集群内空闲磁盘空间,将故障数据重新恢复,且重建速度最快可达30min/TB以上,快速恢复副本的完整性和冗余度,确保用户数据的可靠性和安全性。
支持数据重建优先级调整,在故障数据重新恢复时,可由用户指定优先重建的虚拟机,保证重要的业务优先恢复数据。
5、☆支持数据重建智能保护业务性能,可以对数据重建速度进行智能限速,避免数据重建过程中IO性能占用导致对业务的性能造成影响。
6、在可视化的WEB管理平台上,可以查看存储容量大小、容量使用率、实时的IOPS读写次数、IOPS读写数据量等信息,方便为IT管理做为有效的决策依据。
五、异构纳管
1、支持纳管VMware虚拟化平台,配置400个虚拟机纳管授权,提供对Vmware平台上的虚拟机进行管理。
2、☆支持在本地管理平台实现对VMwarevCenter中的虚拟机备份,并能够在超融合的平台实现VMware虚拟机的启动恢复;
3、☆支持双向迁移,可将VMware虚拟机在运行状态下迁移到超融合平台上,也可将超融合平台上的虚拟机在运行状态下迁移到VMwarevCenter的集群中,迁移结束后可选择自动或手动重启虚拟机。
套
3
云资源管理和安全组件
一、虚拟化防火墙:
1、软件形式提供,必须能够安装于超融合虚拟化平台中。
带宽性能1.6G,新建会话80000,并发会话4000000。
2、☆支持DDoS攻击防护、Web应用安全防护、入侵防护功能、支持URL过滤和文件过滤功能、僵尸主机检测、病毒防护、网页篡改防护等功能,保障业务的高安全性。
3、☆访问控制规则支持模拟策略匹配,输入源目的IP、端口、协议五元组信息,模拟策略匹配方式,给出最可能的匹配结果,方便排查故障,或环境部署前的调试;
支持基于应用类型,网站类型,文件类型进行流量控制,支持基于IP段、时间、国家/地区、认证用户、子接口和VLAN进行流量控制;
(需提供相关功能截图证明并加盖投标人公章)
4、☆支持采用无特征AI检测技术对恶意勒索病毒及挖矿病毒等热点病毒进行检测;
(需提供相关功能截图证明并加盖投标人公章)
6、☆设备具备独立的WEB应用防护识别库,特征总数在3500条以上;
具备独立的入侵防护漏洞规则特征库,特征总数在7400条以上;
7、☆支持蜜罐功能,定位内网感染僵尸网络病毒的真实主机IP地址;
支持对终端已被种植了远控木马或者病毒等恶意软件进行检测,并且能够对检测到的恶意软件行为进行深入的分析,展示和外部命令控制服务器的交互行为和其他可疑行为;
(需提供相关功能截图证明并加盖投标人公章)
二、虚拟化负载均衡:
1、软件负载均衡、必须能够安装于超融合虚拟化平台中;
授权带宽5G,并发连接数350万,新建连接数10万。
2、☆同时支持包括链路负载均衡、全局负载均衡和服务器负载均衡的功能。
三种功能同时处于激活可使用状态,无需额外购买相应授权。
(提供设备操作界面截图证明并加盖投标人公章)。
3、☆通过某种编程语言(如lua)实现自定义的流量编排,对IP、TCP、UDP、SSL、HTTP和HTTPS等类型的流量进行分发、修改和统计等操作。
(提供设备操作界面截图证明材料并加盖投标人公章)
4、内置完备的IP地址库,无需手动导入并支持自动全网更新,可查看并编辑各国家、国内各省份的IP地址段和国内各大运营商IP地址段,并可灵活匹配IP地址库进行流量调度分发,实现链路负载功能
5、支持源IP、Cookie(插入/被动/改写)、HTTP-Header、SSLSessionID等多种会话保持机制,支持跨虚拟服务的会话保持。
6、☆支持面向服务器健康度的弹性调控机制,可通过监控业务流中的TCP传输异常来衡量服务器节点的有效性,尝试对性能不足的服务器临时开启过载保护,动态调节服务器的负载。
(提供设备操作界面截图证明并加盖投标人公章)
7、支持常见的主动式健康检查功能,提供基于SNMP、ICMP、TCP/UDP、FTP、HTTP、DNS、RADIUS,ORACLE/MSSQL/MYSQL数据库等多种类型的探测判断机制,支持对HTTPS服务进行内容健康检查。
三、虚拟化数据库审计:
1、软件形式、必须能够安装于超融合虚拟化平台中,数据库单像流量不低于600Mb/s、SQL处理性能不低于20000条、日志存储不低于20亿条/天。
2、支持主流数据库Oracle、SQL-Server、DB2、MySQL、Informix、Sybase、Postgresql、Cache、MongDB,K-DB、达梦、人大金仓、南大通用
3、深度解码数据库网络传输协议,完整记录用户数据库会话细节,包括发生时间、源IP、源端口、源MAC、目的IP、目的端口、数据库用户、数据库类型、操作类型、SQL语句、SQL模版、客户端程序名、响应码、影响行数、返回行数、SQL预计响应时间;
4、☆通过自定义报表拖拽功能可以随意拖拽用户预期的统计报表,帮助用户提升通过高级选项筛选报表的可读性(提供设备操作界面截图证明并加盖投标人公章)
5、☆内置大量SQL安全规则,包括如下:
导出方式窃取、备份方式窃取、导出可执行程序、备份方式写入恶意代码、系统命令执行、读注册表、写注册表、暴露系统信息、高权存储过程、执行本地代码、常见运维工具使用grant、业务系统使用grant、客户端sp_addrolemember提权、web端sp_addrolemember提权、查询内置敏感表、篡改内置敏感表等方便达到预期效果。
6、☆数据库审计系统可通过联动下一代防火墙(AF)可以准确阻断和防止受攻击的业务数据库泄密。
7、☆数据库审计可拓展支持联动数据安全系统提供数据库系统、业务系统、运维人员、互联网接入之间的访问关系以及交互式分析,可以通过多维度展示具体人员、具体事件、具体内容、高危操作、登录失败、访问次数的视图支持查看最近的账号安全事件;
四、虚拟化堡垒机:
1、软件形式、必须能够安装于超融合虚拟化平台中;
提供200个资源授权。
2、支持字符协议:
SSHv1、SSHv2、TELNET;
图形协议:
RDP、VNC;
文件传输协议:
FTP、SFTP、RDP磁盘映射、RDP剪切板;
支持通过协议前置机进行协议扩展,至少支持扩展KVM、Vmware、数据库、http/https、CS应用等。
3、☆支持通过动作流配置提供广泛的应用接入支持,无论被接入的资源如何设计登录动作,通过动作流配置都可以实现单点登陆和审计接入。
4、☆支持在授权基础上自定义访问审批流程,可设置一级或多级审批人,每级审批可指定通过投票数,需逐级审批通过才可最终发起运维操作(提供设备操作界面截图并加盖投标人公章)
5、支持定期变更目标设备真实口令,支持自定义口令变更周期和口令强度。
口令变更方式至少支持手动指定固定口令、通过密码表生成口令、依照设备挂载的口令策略生成随机口令、依照密码策略生成同一口令等方式
6、☆支持命令审批规则,用户执行高危命令时需要管理员审批后才允许执行;
命令审批规则可以指定运维人员、访问设备、设备账号及命令审批人(提供设备操作界面截图证明并加盖投标人公章)
7、☆全面支持IPV6,设备自身可以配置IPV6地址供客户端访问,并且支持目标设备配置IPV6地址实现单点登陆和审计(提供设备操作界面截图证明并加盖投标人公章)
五、虚拟化日志审计:
1、必须是软件形式、必须能够安装于超融合虚拟化平台中;
200个主机审计许可证书。
2、支持各类设备的日志采集要求,主要包括:
安全设备:
国内主流防火墙;
操作系统:
Linux、Windows、WindowsServer、Unix等操作系统;
数据库:
Oracle、MySQL、SQLServer等;
应用系统:
如Apache、Tomcat、IIS、Weblogic等;
网络设备:
主流的路由器、交换机、负载均衡等网络设备等主流网络设备
3、支持挖掘不同类型、来源于不同设备或系统的日志或安全事件之间可能存在的关联关系,需支持GUI方式的关联规则设置功能,关联的类型包括基于规则和基于统计的。
4、☆支持定义部门和人员的对应关系,支持定义人员与账号的对应关系。
5、☆支持HTTP网页标题、BBS、威胁情报、DGA、搜索关键词的网络会话分类展现;
支持DNS、DGA、解码错误、解码失败、解码超时的网络会话分类展现;
支持TLS会话、数据库会话、工控会话、邮件会话、FTP会话、Telnet会话,即时通讯会话的展现(提供设备操作界面截图证明并加盖投标人公章)
6、支持根据三权分立的原则和要求进行职、权分离,对系统本身进行分角色定义,如系统管理员只负责完成设备的初始配置,规则配置员只负责审计规则的建立,安全审计员只负责查看相关的审计结果及告警内容;
安全管理员只负责完成对系统本身的用户操作日志管理
六、虚拟化基线核查:
支持并发200台设备的扫描,含配置核查、漏洞扫描、配置变更检查;
2、☆支持支持一次性任务、立即任务、周期任务等多种调度方式;
支持漏洞扫描、WEB扫描、弱口令、安全基线检查、变更检查的五合一任务,五者也可任意组合执行任务。
3、☆支持根据实际情况设置任意检查结果作为变更基线,后续变更任务将以当前基线作为变更与否的比较标准,支持与自身或其他设备的同类型变更项进行比对,检查设备间核心配置项的异同之处(提供设备操作界面截图证明并加盖投标人公章)
4、☆支持对周期任务的多次任务执行结果进行比对,比对结果中详细展示报告间的异同之处。
5、支持常见的WEB应用弱点检测,支持主流安全漏洞扫描,如:
SQL注入、跨站脚本攻击、网页木马、系统命令执行漏洞、信息泄露、资源位置预测漏洞、目录遍历漏洞、配置不当漏洞、弱密码、内容欺骗漏洞、外链、暗链等类型漏洞;
支持WEB1.0,WEB2.0扫描;
支持对网站资产管理,快捷网站扫描
七、态势感知:
1、不限制接入检测是虚拟机数量。
2、支持大屏展示综合安全态势,包括资产态势、脆弱性态势、网络攻击态势、安全事件态势、外连态势、横向威胁态势,支持页面跳转到对应态势大屏;
3、☆支持大屏展示业务脆弱性态势,包括漏洞风险态势、漏洞类型TOP5、高危漏洞TOP5、业务总览、脆弱性业务TOP5、实时脆弱性监测;
(提供设备操作界面截图证明并加盖投标人公章)
4、日志类型至少包含漏洞利用攻击、网站攻击、僵尸网络、业务弱点、DOS攻击、邮件安全、文件安全、网络流量、DNS日志、HTTP日志、用户日志、数据库日志、文件审计日志、POP3日志、SMTP、IMAP、LDAP、FTP、Telnet、第三方等各类日志,并可按照以上类型日志的各个关键字段搜索日志(提供设备操作界面截图证明并加盖投标人公章)
5、☆支持检测15类以上常见协议的弱密码,包括HTTP、FTP、LDAP、VMWARE、ORACLE、VNC等类型协议,检测列表包含账号、密码、服务器、所属分支和业务、最近登录源IP、类型、最近发现时间等信息,密码星号显示需超级管理员才可查看,并支持储存数据包;
支持筛选管理员账号与是否登录成功,并支持导出弱密码报告(提供设备操作界面截图证明并加盖投标人公章)
6、☆支持基于流量实时漏洞功能,漏洞分析类型包含配置错误漏洞、OpenSSH漏洞、目录遍历漏洞、OpenLDAP等操作系统、数据库、Web应用等,页面上支持展示业务脆弱性风险分布、漏洞类型分析、漏洞态势与危害和处置建议,并支持导出脆弱性感知报告;
7、支持终端的详细分析,包含风险评估、对内网影响、攻击阶段分布、风险等级趋势、安全事件举证等信息;
8、☆支持基于可视化的形式展示威胁的影响面,通过大数据分析和关联检索技术,能够直观的看到失陷主机的威胁影响面,同时基于列表模式展示攻击、违规访问、风险访问、可疑行为、正常访问等详细信息,支持攻击溯源功能,分析出首次失陷、疑似入口点、首次遭受攻击等信息;
帮助管理人员及时了解威胁的影响,并找到攻击入口点;
9、☆具备安全日志分析引擎、DnsFlow行为分析引擎、HttpFLow分析引擎、NetFLow分析引擎、MailFLow分析引擎、SmbFLow分析引擎、威胁情报分析关联引擎、第三方安全检测引擎、文件威胁检测引擎等,支持定期自动升级或离线手动升级;
4
网站云防护
1.防护对象:
铜陵政务服务网网站(
铜陵市政府门户网站(
铜陵市政府网站集约化平台4个县区及36个部门子站IPv6云防护,服务时间为一年;
☆2.须与现有政府网站云防护平台实现无缝对接。
项
5
云中心互联网出口线路
三年期云中心互联网出口线路和双活裸纤链路裸纤(政务外网核心交换机聚合双活链路、互联网核心交换机聚合双活链路、EMC存储聚合双活链路、应用负载聚合双活链路)
6
备份机扩容
9块4T7200转SATA硬盘,6根16GDDR3内存
★投标人提供现场安装调试服务并保证兼容性承诺函。
7
现有设备配件升级
2块HBA卡、64根8GDDR3内存、20块2.5寸10K转2.4T硬盘、16块3.5寸7200转12T硬盘(240TSAS存储)、2块千兆双网口网卡、6块英特尔至强E7-8830及散热器、1块TS850处理模块主板,12块内存转接板、FC光纤存储交换机12口授权及万兆光模块
8
国密安全认证网关
☆1.所投产品具备国家密码管理局颁发的《商用密码产品型号证书》,提供证书复印件并加盖投标人公章;
☆2.所投产品通过公安部信息安全专用产品检测,具备出具的《公安部检测报告》、具备公安部颁发的《计算机信息系统安全专用产品销售许可证》,提供证书复印件并加盖投标人公章;
☆3.所投产品具有《计算机软件著作权登记证书》,提供证书复印件并加盖投标人公章;
☆4.所投产品通过国家保密局颁发的《涉密信息系统产品检测证书》,提供证书复印件并加盖投标人公章;
5.硬件配置:
标准机架设备;
内存≥8G;
硬盘≥500G;
端口≥4个千兆以太网口;
双电源。
☆6.SSL功能:
设备必须支持SHA1、SHA256、SHA512、SM3算法;
设备需支持制作SHA1、SHA256、SHA512、SM3算法的P10证书请求,提供截图证明并加盖投标人公章;
7.CRL:
支持CRL颁发者根证书验证,支持CRL过期校验进行访问控制;
☆8.支持扩展负载均衡功能:
支持L2、L3、L4、L7服务器负载均衡(需提供截图证明并加盖投标人公章),支持多种负载均衡算法。
支持链路负载均衡功能,支持应用层URL的过滤,基于状态包检测技术,支持NAT功能,使内部用户能访问Internet的资源;
支持基于端口的Forward功能(提供投标产品功能截图,并加盖投标人公章);
☆9.HA:
双机HA工作时,可同时对双机进行管理,基于CPU、内存占用率、SSL加速卡状态进行条件筛选进行主备机切换或设备重启(需提供截