第六中学弱电方案.docx
《第六中学弱电方案.docx》由会员分享,可在线阅读,更多相关《第六中学弱电方案.docx(111页珍藏版)》请在冰豆网上搜索。
第六中学弱电方案
第六中学弱电项目文件
第一包软硬件集成项目
一、项目说明
包含网络系统、校园一卡通系统、教室多媒体系统及评估系统、校园广播系统、会议室音响系统(大会议室、普通会议室、行政会议室、体育馆)、全自动录播系统、演播室系统、闭路电视系统。
二、资质条件
1.经国家工商行政管理机关注册的企业法人;
2.注册资金不少于壹仟万元;
3.具有建筑智能化工程专业承包三级(含)以上资质;
4.具有网络、安全、多媒体中控、广播、一卡通设备生产厂商针对本项目产品销售和质保授权书原件以及由厂商提供的三年完全免费上门服务承诺书原件;
5.需提供同类项目的成功案例(伍佰万元以上,需提供合同原件及验收报告原件)。
三、配置说明
1.网络系统
●功能说明
万兆主干,千兆到桌面,网络中心内核心层设置两台互为热备的万兆核心交换机,担负整个网络核心任务的运行,负责支持各种网络应用。
核心交换机具有高可靠性,支持引擎和电源的冗余,具备第三层交换功能,为校园各个部门、子网提供策略性的路由。
能快速适应网络的变化,并充分考虑了以后与汇聚层的链路冗余。
汇聚层根据数据点数量的不同选择交换机,采用可网管的三层智能安全交换机,共设基础综合楼、食堂、教学区及文体楼四个汇聚中心。
接入层根据数据点数量的不同区域选择48/24口交换机堆叠,采用可网管的二层智能交换机,提供24/48个10/100M端口和两个扩展槽,还同时为级联、堆叠、上行提供了丰富的模块选择。
●技术参数
核心交换机
指标项
技术规格要求
背板带宽
≥4.8Tpps
交换容量
≥2.4Tbps
包转发率
≥1700Mpps(配置2代引擎)
MAC表项
≥512K
业务插槽数
≥12个
10G支持能力
最大10G接口数量≥96个
冗余配置
配置冗余电源
千兆接口数量
≥36个千兆以太网光口,≥36个10/100/1000M自适应电口,≥2个10G接口
协议支持
支持丰富的路由协议,如GVRP、PVLAN、RIPv1/v2、OSPF、IS-IS、BGP等主流路由协议
支持IGMPv1/v2/v3、支持PIM-SM,PIM-SSM,PIM-DM,IGMPSnooping
安全防御
支持IP-MAC-Port绑定功能
支持CPU保护技术,并提供权威机构检测报告
支持拓扑保护技术,并提供权威机构检测报告
标准ACL、扩展ACL、MAC扩展ACL、基于时间ACL,完全硬件线速实现ACL,不影响转发性能。
支持防IP扫描、防ARP欺骗,有效防护ARP欺骗
网流分析板卡
支持国际标准流量分析协议,支持并配置基于硬件板卡实现万兆网络流量分析功能,并提供权威机构检测报告
认证证书
需提供有效期为3年的《电信设备进网许可证(IPv6)》
汇聚交换机
指标项
技术规格要求
交换容量
≥240Gbps
包转发率
≥66Mpps
端口要求
千兆电口数量≥24,千兆光口数量≥12,支持万兆扩展接口≥2
功能协议
支持IEEE802.1QVLAN、支持多组一对多的端口镜像、支持跨线卡链路聚合
支持QinQ,灵活QinQ支持PrivateVLAN功能
支持STP,RSTP和MSTP
支持BPDU保护、Root保护、环路保护
Acl&QoS
支持标准IPACL、扩展IPACL、扩展MACACL
支持IPV6ACL,支持动态ACL下发
支持SP、RR、WRR、SP+WRR等多种QoS队列调度算法;
路由功能
支持RIPv1/v2、OSPFV1/2、静态路由、策略路由、VRRP,ECMP
组播协议
组播:
要求支持IGMPV1/2/3、PIM-SM、PIM-DM
可靠性
支持VRRP或HSRP路由冗余协议,具有防网络攻击的能力
安全防御
防病毒,支持ARP防网关欺骗
端口检测
支持端口环路检测
单向链路检测
双向链路检测
全局安全防护
支持和全局安全防护系统联动,实现全局的联动安全防护
认证证书
需提供有效期为3年的《电信设备进网许可证(IPv6)》
24口接入交换机
指标项
技术规格要求
交换容量
≥19G
包转发率
≥9.5Mpps
MAC地址表项
≥16K
端口
固化24个10M/100M自适应电口,≥2个千兆光电复用口,最大可以提供4个千兆接口
堆叠
支持专用堆叠模块,最大单组堆叠数≥8
功能协议
支持STP/RSTP/MSTP
支持GVRP
支持IGMPSnoopingv1/v2/v3,支持IGMP源端口检查
支持端口环路检测
支持端口与IP和MAC地址的同时绑定
支持标准IPACL、扩展IPACL、扩展MACACL
支持IPV6ACL
支持802.1X,支持认证客户端自动下发
支持认证逃生模式,在认证服务器失效时,可以放开用户,避免业务中断
安全防御
支持防ARP欺骗、防ARP扫描
支持保护端口
支持广播风暴控制
认证证书
提供入网许可证
48口接入交换机
指标项
技术规格要求
交换容量
≥19G
包转发率
≥13Mpps
MAC地址表项
≥16K
端口
固化48个10M/100M自适应电口,≥2个千兆光电复用口,最大可以提供4个千兆接口
堆叠
支持专用堆叠模块,最大单组堆叠数≥8
功能协议
支持STP/RSTP/MSTP
支持GVRP
支持IGMPSnoopingv1/v2/v3,支持IGMP源端口检查
支持端口环路检测
支持端口与IP和MAC地址的同时绑定
支持标准IPACL、扩展IPACL、扩展MACACL
支持IPV6ACL
支持802.1X,支持认证客户端自动下发
支持认证逃生模式,在认证服务器失效时,可以放开用户,避免业务中断
安全防御
支持防ARP欺骗、防ARP扫描
支持保护端口
支持广播风暴控制
认证证书
提供入网许可证
出口高性能设备
指标项
技术规格要求
性能
支持并配置最大并发NAT会话数≥180万,在端口线速转发情况下每秒新建NAT会话数≥11万,需提供国家权威检测机构提供的性能测试报告证明;
扩展槽位
扩展插槽数≥2个,内存≥1G
电源
支持电源冗余,为保证出口设备的稳定,冗余电源必须为内置式冗余电源,不接受外置式RPS电源设备
NAT功能
支持源NAT、目的NAT、静态NAT、NAPT;支持多种NATALG,包括FTP、H.323、DNS等;
吞吐能力
启用NAT下512Byte数据线速转发性能≥6Gbps,需提供国家权威检测机构提供的性能测试报告证明;
路由协议
支持RIPv1/v2、OSPF、策略路由;
安全防护
支持并实现包过滤防火墙、状态检测防火墙、支持基于线路和基于用户的双重弹性带宽设置;
智能DNS
支持最优链路访问,解决外部用户对内网服务器的快速访问
案例要求
提供江苏省两个以上211高校出口应用案例(需提供用户联系方式)
网管软件系统
指标项
技术规格要求
兼容性
能够通过标准MIB管理Cisco、3Com、神码、锐捷、H3C等各主流厂商的数据通信设备。
基本功能
对设备状态和基本信息的管理,包含设备的基本信息、接口信息、性能数据和告警信息;支持对设备访问参数的批量配置和校验,提供对网络设备资源的查找、修改、删除和批量导入/导出功能。
支持发现、归档、查询可网管网络设备。
支持拓扑自动发现
管理许可
与核心交换机同品牌,配置管理网元数≥50个
资质
提供网络管理系统软件的计算机软件著作权登记证书
全局安全管理系统
指标项
技术规格要求
认证功能
支持802.1x、Portal等多种认证方式,并支持与第三方厂商设备进行802.1X认证
支持CA证书作为凭据进行身份验证
支持主机硬盘序列号绑定认证
支持Windows域统一认证
权限控制
支持基于用户的权限控制策略
支持非法外连检测与限制
用户登陆时可选择需要登陆的安全域,登陆后自动弹出本安全域可访问的信息系统
用户终端安全控制
支持杀毒软件安装运行状态与病毒库状态检查
支持Windows系统补丁强制更新
支持资产管理
可制定操作系统高级规则,例如禁止或强制安装指定应用程序
支持安全检查失败自动隔离
动态VLAN下发
支持与CISCO、H3C、锐捷等主流接入交换机实现动态VLAN下发
违规用户处理
支持自动下发ACL隔离违规用户
在用户桌面对用户进行警告,可支持url链接下发,并支持离线消息
可对用户下发修复程序
管理许可
配置管理用户许可≥1000个
资质
要求提供国家保密局涉密产品资质
防火墙
指标
指标要求
系统构架
采用国际先进的多核处理器硬件构架
采用专用多核并行安全操作系统软件架构,具备多核并行操作系统著作权证书,并提供复印件
硬件规格
网络接口支持不少于6个千兆点口和4个千兆SFP插槽
标准2U机箱
性能要求
吞吐率≥4Gbps
并发连接数≥220万
支持可扩展VPN隧道数≥8000条
新建连接速率≥50,000/秒
MTBF>80,000小时
功能要求
多核相互分担负载(可视),界面可显示多个核的CPU利用率(要求提供产品功能截图,并加盖原厂商公章)
支持设定网段内共享的或者任一地址的新建连接限制(要求提供产品功能截图,并加盖原厂商公章)
支持URL日志记录(要求提供产品功能截图,并加盖原厂商公章)
支持IP/MAC地址绑定和自动探测
支持基于应用(ARP/PING/TCP/HTTP)的链路探测(要求提供产品功能截图,并加盖原厂商公章)
有效抵御各种DoS/DDoS攻击,可识别和防御synflood、icmpflood、udpflood、tcpscan、udpscan、pingsweep、teardrop、land、pingofdeath、smurf、winnuke、圣诞树、tcp无标记、synfin、无确认fin、松散源路由、严格源路由、ip安全选项、ip记录路由、ip流攻击、ip时间戳等攻击
具备独立蠕虫过滤功能,对sobig,ramen,welchia,agobot,opaserv,blaster,sadmind,slapper,novarg,slammer,zafi,bofra,dipnet等主流蠕虫病毒的识别、过滤和拦截(要求提供产品功能截图,并加盖原厂商公章)
可自动检测网段内IP地址冲突,并报警(要求提供产品功能截图,并加盖原厂商公章)
提供基于Web/Portal的无客户端认证
WEB重定向(域名/URL路径重定向)(要求提供产品功能截图,并加盖原厂商公章)
支持活动主机探测,并能根据探测结果自动生成资源对象和安全策略(要求提供产品功能截图,并加盖原厂商公章)
支持开放服务探测,并能根据探测结果自动生成资源对象和安全策略(要求提供产品功能截图,并加盖原厂商公章)
支持服务版本探测(要求提供产品功能截图,并加盖原厂商公章)
支持操作系统探测(要求提供产品功能截图,并加盖原厂商公章)
支持BT/eDonkey/Kazaa/apple/ares/dc/gnu/soul/winux/thunder等P2P软件的禁止及带宽限制(要求提供产品功能截图,并加盖原厂商公章)
支持Web界面导出调试信息功能(提供产品功能截图,并加盖原厂商公章)
资质要求
国家保密局涉密信息系统产品检测证书
计算机软件著作权登记证书
多核并行操作系统软件著作权登记证书
国家密码管理局商用密码产品生产定点单位证书
公安部销售许可证
上网行为审计系统
指标
技术规格要求
设备
基本
要求
2U标准机架式设备
网络接口不少于4个千兆电口和2个SFP插槽
MTBF>80,000小时
不少于500G
采用旁路侦听方式接入,在不改变网络结构的情况下精确监控,不会对网络内部的流量与数据信息造成任何瓶颈,设备本身运转与否都不影响网络的正常工作。
性能
要求
包处理速度不小于80000pps
最大并发会话数不少于180万
功能
要求
能够记录网页浏览的时间、URL地址、标题、源目的IP地址、源MAC地址、源目的端口、网址分类信息、机器名称、使用者信息,并且支持对指定的发起网页浏览的IP进行还原。
并可实时显示。
(要求提供产品功能截图)
记录通过网页发送信息(POST)的内容。
并可实时显示。
可以根据需要通过分类网址过滤库、URL关键字、搜索关键字等设置过滤策略,控制审计对象可以访问的网站类别及网页,禁止通过网页下载某种指定类型或大小的文件,记录审计对象的网页上传内容等。
系统实时显示最新的网络活动的日志信息;包括:
上网帐号、机器名、分组、上网活动、访问时间;所有实时数据分析的数据图表支持自动刷新,且刷新时间不大于30秒。
记录在线使用音视频(基于MMS、RSTP协议)开始时间、音视频协议、源目的IP地址、源MAC地址、音视频文件链接、机器名称、使用者。
并可实时显示。
可审计联众、反恐精英、星际争霸、魔兽争霸、暗黑破坏神等十几种网络游戏,记录用户在线开始时间、结束时间、游戏时间段、源IP地址、源MAC地址、游戏名称、机器名称、使用者。
并可实时显示。
记录炒股用的大智慧、同花顺、钱龙等股票工具的使用时间、源IP地址、源MAC地址、软件名称、机器名称、使用者。
并可实时显示。
能够审计通过GOOGLE、XX、淘宝、MSN、天网、雅虎等搜索引擎搜索的关键字;
可以根据需要通过分类网址过滤库、URL关键字、搜索关键字等设置过滤策略,控制审计对象可以访问的网站类别及网页,禁止通过网页下载某种指定类型或大小的文件,记录审计对象的网页上传内容等。
专业url过滤库包含站点过百万个、过亿的页面记录;不良网站的分类包括:
不良言论类、暴力类、毒品类、色情类、游戏类等;支持根据网络应用特点自行定义网站分类和网站站点,系统可以对自定义的网站进行按管理策略进行封堵或放行等监控。
统一运维管理系统
指标
指标项
规格要求
形态
产品形态
该系统为一套统一的、完整的软件产品,采用B/S架构。
其中,管理中心内嵌数据库,无需另外安装数据库管理系统;管理客户端基于浏览器,无需安装其他客户端软件。
功能
资产管理
能够标明关键业务路径上的各资产等级,在对成百上千个监控指标进行监控时,可以分清告警信息处理的轻重缓急,按资产等级排列事件处理顺序。
能够列举出当前所有资产不同严重等级的事件数量,点击数量,即可查看该等级事件明细,并进行深入的事件审计和追溯。
集中监控
通过一个控制台,就能够监控整个计算环境中所有设备的运行状态和性能分析,并实时获得告警,便于采取应急响应行动。
所有的监控指标都能够设置独立的轮询间隔。
对于每个监控指标都能够设置多级监控阈值,并能够进行门限计数,提升阈值告警的精确性。
智能监控
能够提供一个从总体上把握网络中各种IT资源整体运行情况的界面。
通过智能监控频道,可以快速导航到系统的各个功能界面,可以看到当前组织的整体健康等级。
可以自定义频道,每个频道都能够自由组织视图,包括视图的布局和显示的内容。
监控频道能够最大化显示,作为运维中心的主控界面,在大屏幕或者投影银幕上呈现出来(要求提供产品功能截图,并加盖原厂商公章)
业务安全监控
能够描述出业务系统组成关系的业务拓扑图,针对图中的每个软硬件资产设定关键监控指标,并实时跟踪,计算出当前业务系统的整体健康状态。
能够监控业务系统的整体连续性,可以查看到最近24小时、最近7天,最近30天的业务运行状态、健康状况、实时业务快照和告警信息。
(要求提供产品功能截图,并加盖原厂商公章)
主机进程黑白名单监控
能够对主机运行的进程信息进行实时监控。
通过将进程信息与进程黑名单比对,发现主机上正在运行的违规进程。
通过将进程信息与进程白名单比对,进行主机进程防御基线管理(要求提供产品功能截图,并加盖原厂商公章)
安全设备监控
网络设备属性,网络设备状态监控,网络性能监控,cpu利用率监控,内存利用率监控,接口监控,IP表、ARP表和路由表监控,设备面板管理,端口通断控制。
可以下发防火墙和IDS联动策略。
可以对重点设备的重点端口进行流量监控,并且可以配置告警阈值。
对于端口流量,可以根据自定义的时间段生成流量报表
链路性能检测
检测从起始IP到目标地址的链路延迟,找到链路性能的瓶颈。
支持检测以下内容:
链路连通性、链路延时、链路总流量、发包率等,能够设定监控阀值,超出阀值进行告警,并提供上述数据统计查询功能。
配置和诊断工具
可以自动调用自定义命令行工具、telnet或者ssh,批量执行脚本,方便地进行设备配置和故障诊断,无需手工登录到设备上(要求提供产品功能截图,并加盖原厂商公章)
机房物理视图管理
除了网络拓扑,还支持机房和机架物理拓扑显示,用户可以直观地看到每个机架上的每台设备的运行状态,一有问题就会闪烁告警。
用户点击机架上的每个设备,可以进入这个设备的明细监控界面。
管理员可以在机架图和网络拓扑图之间自由切换,实现双向设备位置定位。
(要求提供产品功能截图,并加盖原厂商公章)
URL和WEB监控
能够对指定的URL地址进行web站点的网页防篡改监测。
检测网页的时候,可以指定复杂的正则表达式。
(要求提供产品功能截图,并加盖原厂商公章)
终端接入监控
可以清晰把握当前边缘交换机连接的终端设备状况,发现是否有ARP攻击,是否有非法(MAC匹配)接入。
可以设定非法接入告警,并自动阻断端口。
可以针对终端接入的交换机接口进行异常流量监控,通过智能的分析算法,综合端口速率,利用率和丢包率的数值间的关系,发现异常的终端网络访问行为。
(要求提供产品功能截图,并加盖原厂商公章)
日志采集方式
通过SNMP、Syslog、数据库ODBC/JDBC、文件、NetFlow、OPSECLEA等多种方式完成数据收集功能。
支持软件Agent方式,必要时支持硬件网络探测器方式采集日志
日志归一化处理
日志收集后进行字段和安全等级的归一化处理,并保留原始日志,方便用户对关键日志快速定位
日志历史查询
所有日志采用统一的日志查询界面,简单实用,快捷方便。
用户可以自定义各种查询场景,并以树形结构组织。
日志实时关联分析和统计
可以通过日志分析对来自组织所有的日志进行实时查询、分析和统计,从而快速识别安全事故。
所有的日志分析结果都以场景的方式列举出来,可以方便的在各种分析场景之间快速切换,提高分析工作的效率。
可以自定义日志分析的场景。
对于分析结果可以通过柱图、饼图、曲线图等形式形象地展示出来,并自动实时刷新。
(要求提供产品功能截图,并加盖原厂商公章)
关联分析算法
必须支持同种事件关联、异种事件关联、统计关联、递归关联、时序关联、资产关联。
事件追溯
在实时监视中,对于关联事件,用户可以进行追溯,查看导致该关联事件的所有原始事件
事件定位
能够在世界地图上实时定位事件源/目的IP地址的地理位置,必须支持GoogleEarth地图定位。
事件趋势分析
可以对关心的事件IP地址进行趋势分析,对一段时间内的网络流量或者网络连接数进行时间切片统计,并描绘趋势曲线
事件可视化
(要求提供产品功能截图,并加盖原厂商公章)系统能够将数千条事件记录及其这些事件之间的关联关系变成一幅事件图,形象地展现出当前网络安全状态,一目了然(要求提供产品功能截图,并加盖原厂商公章)
事件调查
在实时监视中,管理员通过事件调查工具可以对某条感兴趣的日志中的源IP地址、目的IP地址、或者目的端口进行相关性日志检索。
事件分配
在实时监视的过程中如果发现某条事件的相关属性需要持续予以关注,可以将该事件分配到黑白名单中
事件存储
所有采集的设备和系统的日志事件能够以加密的形式存储在数据库中,直接通过数据库查询方式无法进行事件读取。
存储的事件可以进行备份和恢复。
备份的时候压缩比高于10:
1
关联规则
规则分为系统预定义规则和用户自定义规则两大类;在制定规则的时候,既可以设定审计的触发条件,也可以设定触发审计后的自动响应动作;规则编写支持各种运算符,还支持引用外部资源,包括过滤器、资产属性、自定义资源、递归规则、过滤器插件、黑白名单,等等。
用户可以对规则触发条件设置计数
告警与响应管理
自动采集和存储IT计算环境中的各类告警信息,并将所有的告警记录按发生时间、告警状态、事件类型、事件等级、源设备IP、源设备类型等信息列表显示,对告警信息进行分析和统计。
产生的告警信息必须能够通过电话响铃、邮件、短信、电脑语音、控制台弹出窗口、snmptrap、防火墙设备联动、执行预定义参数脚本程序的方式进行自动化响应。
其中,设备联动是指系统可以在告警后对防火墙设备下发联动策略。
报表管理
提供了针对全网络运行状态的分析报表。
这是进行综合分析的数据报表,可以了解和评估整个网络系统的运行状态。
可以根据自定义的时间段生成网络运行报表、性能分析报表和可用性报表。
报表可以另存为HTML、EXCEL、文本、PDF、WORD等多种格式。
能够提供大量预定义的报表模板,用户可使用预定义的报表模板生成报表。
必须具备自定义报表功能,可方便地自己定义各种复杂的报表,包括报表的内容、布局,以及运行调度设置,满足组织自身不断业务发展的需要。
报表调度
允许对报表生成进行日程规划,定期自动生成审计报表,提供打印、导出以及邮件送达等服务,并根据计划归档报告,归档之后发送邮件通知
IP地址管理
将IP地址按照子网分类列表;提供IP地址查询,IP地址扫描;提供图形化的IP地址分布查询(要求提供产品功能截图,并加盖原厂商公章)
系统自身安全
产品内部的各个组件之间通信都支持加密传输,浏览器访问管理中心支持HTTPS,多级管理中心之间采用加密协议进行传输
对采集到的日志都进行了加密存储,保证数据的完整性和机密性
事件采集性能
每秒采集30000条事件
性能
事件分析性能
每秒6000个事件
事件存储性能
事件存储量仅取决于系统所用存储空间大小
控制台和管理中心的通讯方式
通过http/https协议进行通讯
语言
全中文软件界面,中文帮助和用户手册
资质要求
公安部《计算机信息系统专用产品销售许可证》
中国国家保密局测评中心颁发的《涉密信息系统产品检测证书》
国家信息安全评测中心证书
计算机软件著作权登记证书
《软件产品登记证书》
●设备清单
设备
单位
数量
核心交换机
台
2
网流分析板卡(含软件)
块
2
汇聚交换机
台
4
24口接入交换机
台
1
48口接入交换机
台
35
接入交换机堆叠模块
块
22
单模千兆光模块
块
40
多模千兆光模块
块
50
多模万兆光模块
块
4
出口高性能设备
台
1
网管系统
套
1
全局安全管理平台
套
1
防火墙
台
1
上网行为审计设备
台
1
统一运维管理系统
套
1
2.校园一卡通系统
●功能说明
食堂就餐、考勤管理、会议签到、水(电)控管理、公共计算机房管理、仓库管理、门禁系统、医疗管理、财务管理、巡更系统。
一卡通中心主机系统
独立VLAN,负责提供正常的数据服务和网络管理。
联机事务处理的实时、高效性,整个系统的高可靠性、高安全性。
模块化结构,易于扩充和升级;支持国际流行网络协议,提供所需的网络接口。
数据库中的数据采取密文存储,增强重