重要产品追溯体系硬件平台项目.docx

资源描述

重要产品追溯体系硬件平台项目.docx

《重要产品追溯体系硬件平台项目.docx》由会员分享，可在线阅读，更多相关《重要产品追溯体系硬件平台项目.docx（58页珍藏版）》请在冰豆网上搜索。

重要产品追溯体系硬件平台项目.docx

重要产品追溯体系硬件平台项目

山东省重要产品追溯体系基础平台建设

招标文件技术文档

一、项目需求

1、工程概述

为保障重要产品追溯系统的运行，提升商务厅信息化基础建设，山东省商务厅对山东省重要产品追溯体系基础平台建设项目进行公开招标。

本项目要求根据国家标准及行业标准进行设计和施工。

2、招标内容和说明

1）本项目为重要产品追溯系统中基础平台建设，主要包含安全设备、网络设备、服务器、存储设备和虚拟化软件的采购、安装、调试，系统培训及维护，不包含应用软件的开发。

2）本项目为系统集成项目，包含对重要产品追溯系统软件开发项目的配合，以及对商务厅原有应用系统的迁移技术支持。

3）包含工程项目整体的检测、检验及验收。

4）本项目为交钥匙工程，供应商必须对项目的完整性及可行性负责。

5）本项目施工工期为合同签订后45个工作日内。

供应商须负责整个工程所有招标范围内的是哪个任务，包括材料设备的采购、施工、成品保护；不论是永久性质的或是临时性质的工程项目，必须提交开工、完工及工程验收相应的文档资料。

二、系统介绍及技术要求

1、系统介绍

重要产品追溯系统中基础平台包含：

安全防护区、核心交换区、数据中心区和远程备份区，网络出口为联通、电信、移动和政务外网四条100M宽带，同时连接商务厅机房1000M备份数字专线一条。

安全防护区包含链路负载均衡1台；下一代防火墙2台，防火墙具备入侵防御和web应用防护功能；日志审计存储一体机1台用于存储安全设备日志，SSLVPN1台支持移动客户端登陆；还包含数据中心区虚拟化下一代防火墙1套，用于虚拟机间安全防护；

核心交换区包含三层核心交换机2台，包含48个千兆电口，不低于两个万兆光口；

数据中心区本次配置6台服务器加上原有5台服务器共11台服务器做虚拟化集群，两台48口16GSAN交换机做热备，两台存储做配置不低于24块1.8T硬盘做双活；本次配置两台NAS备份存储服务器，本地一台，商务厅一台，实现同城数据备份。

（详细配置要求见清单）

2、技术要求

1）投标方案应对系统的拓扑关系、网络结构及投标设备的功能及技术参数做明确的描述、文字流畅、清晰、图表规范、提交相应的图文资料，投标价格包含设备费用、施工及售后服务费用。

2）投标方案应对技术偏离、技术保障做说明。

3）为确保供应商方案切实可行，参与投标的供应商在提交标书之前可到现场进行实地勘察；

4）提供投标方案的系统原理图、布置图。

原理图详细绘制项目的流程、逻辑关系，并附有设备型号的文字标注、

5）投标人应提交证明其拟提供的产品和设备及方案服务招标文件要求的文件，并作为投标文件的一部分。

6）证明产品和设备及方案与招标文件相一致的文件，可以是文字资料、图纸和数据，包括：

产品和设备主要技术指标和性能详细说明；产品和设备的正确使用方法说明；对照招标文件技术规格，逐条说明所提供的产品和设备已对招标人的技术规格做出了实质性的响应，或申明与技术规格条文的偏差，对于有具体参数要求的指标，投标人必须提供拟提供设备的具体参数值。

7）投标人所提供的产品、设备、材料的性能应达到或超过招标文件中所列技术指标，投标人应注意招标文件只列出了最低限度，投标人在响应标书中必须列出具体数值，如果投标人只注明“符合”或“满足”将可能被视为不符合，从而导致对投标人不利。

8）本工程及所有设备提供3年原厂质保，从工程验收合格之日起。

三、设备数量及参数需求

设备类型

设备需求

详细参数

数量

单位

网络安全

交换机

1、应用层级：

二层；传速速率：

10/100/1000Mbps

2、端口数：

≥8个

3、MAC地址表:

台

防火墙

1、2U设备，专用机架式硬件设备（非板卡产品、非UTM产品）；

2、≥10个千兆电口，不少于4个千兆光口，不少于2个高速USB2.0接口，SATA硬盘≥500G，冗余电源；

3、网络层吞吐量≥20Gbps，应用层吞吐量≥4Gbps，并发连接数≥4200000，每秒新建连接数≥240000；

4、设备需要开启：

入侵防御IPS，web应用防护，僵尸网络防护，实时漏洞扫描，网页防篡改等模块；

5、入侵防护漏洞规则特征库数量在4000条以上，入侵防护漏洞特征具备中文相关介绍，包括但不限于漏洞描述，漏洞名称，危险等级，影响系统，对应CVE编号，参考信息和建议的解决方案；

6、支持HTTP1.0/1.1，HTTPS协议的安全威胁检测；支持抵御SQL注入、XSS、系统命令等注入型攻击；支持跨站请求伪造CSRF攻击防护；支持对网站的扫描防护和防止恶意爬虫攻击；支持其他类型的Web攻击，如文件包含，目录遍历，信息泄露攻击等；

7、支持Web漏洞扫描功能，可扫描检测网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞。

8、支持对终端已被种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为。

9、满足《中华人民共和国网络安全法》第二十一条“网络安全状况必须存有日志记录，存执时间不少于六个月”要求，能够将日志存储在日志审计存储一体机内；

10、满足《中华人民共和国网络安全法》第五十四条“省厅级及省厅级以上用户必须具备安全监测和风险预警能力”要求，具备和云防护对接功能，发现应用系统及网站安全风险后，可以通过邮件或短息提醒用户；

台

链路负载均衡

1、吞吐量≥4Gbps、并发会话数≥1600万、4层新建连接≥30万、7层新建连接≥40万;千兆电口≥6个,千兆光口≥2个。

2、单一设备可同时支持包括链路负载均衡、全局负载均衡和服务器负载均衡的功能。

三种功能同时处于激活可使用状态，无需额外购买相应授权。

3、开通HTTP压缩、HTTP缓存、TCP连接复用、SSL加速功能，无需额外购买相应授权。

4、必须独立专业负载设备，非插卡式扩展的负载均衡设备。

5、支持双机热备部署、集群部署，设备之间同步会话信息。

提供针对多条出口线路的链路负载均衡功能，实现inbound和outbound流量的均衡调度，以及链路之间的冗余互备。

可以通过智能DNS等机制实现公网用户对多个数据中心或单个数据中心多条线路的最佳访问。

6、对于非HTTP协议的长连接应用，可通过分析议特征来识别消息的开始和截止，以消息为对象进行七层负载均衡，而非传统基于连接的四层负载均衡。

7、支持多种链路检测方法，能够通过PING、TCP、HTTP等方式监控链路的连通性。

支持链路冗余机制，当某一条链路故障时，可将访问流量切换到其它链路，保障用户业务的持久通畅。

8、支持常见的主动式健康检查功能，提供基于SNMP、ICMP、TCP/UDP、FTP、HTTP、DNS、RADIUS，ORACLE/MSSQL/MYSQL数据库等多种类型的探测判断机制。

9、支持主动探测方式与被动观测方式结合使用的服务器健康检查手段，以便适应各种复杂应用交互流程，保障业务系统的高可用性。

（提供设备操作界面截图证明材料）

10、对Oracle数据库、SQLserver数据库和Weblogic中间件的关键性能指标监控，将图片转换为对应支持的WebP或JPEG格式，优化加速效果。

11、支持SSL卸载和加速功能，卸除服务器端的密集型运算任务，释放服务器计算资源，并提升SSL业务的处理速度。

产品须获得工信部颁发的电信设备入网许可；

12、支持DNS透明代理功能，可基于负载均衡算法代理内网用户进行DNS请求转发，内置完备的ISP地址库，并支持自动更新，可点击查看并编辑全球任意国家的IP地址段。

13、支持与VMwarevCenter联动，可根据业务高峰期与空闲时段进行主动判断，针对应用系统的虚拟机负荷进行实时调整，通过动态增加或关闭虚拟机以调整业务资源（无需额外购买VMwareLisence）支持智能的托管处理机制，可针对应用假死、虚拟机宕机等业务不可用情况，自动通知vCenter重启虚拟机进行恢复业务（无需额外购买VMwareLisence），并通过短信、邮件等形式及时告知管理员，提升IT部门应急响应能力

台

日志审计存储一体机

1、能集中处理下一代防火墙日志，性能监控日志，数据库审计支持日志高性能模式处理，精简冗余日志；

2、平台支持磁盘类型：

SSD、SAS、SATA、NL-SAS、磁盘配置：

本次配置企业级SSD固态盘，裸容量≥800GB；配置企业级机械硬盘，裸容量≥20TB；Raid级别：

0，1，3，5，6，10，50，60

3、存储软件功能：

本次配置自动存储分级授权：

实现冷热数据分层，合理利用磁盘性能，为用户节约投资成本；本次配置SSD做为二级缓存授权，实现数据写入加速，保障日志存储的高速性；

4、创新混合存储架构：

SSD+HDD的混合存储池技术，SSD满足日志写入高性能需求，HDD满足日志存储容量，满足全业务负载需求；

5、能够一直提供至少6个月的存储空间，产品至少提供20T裸磁盘存储空间，且后续能实现存储无缝扩容。

6、管理员登录数据中心只能审计指定用户组的上网行为日志；支持管理员权限分级，分安全管理员，审计员和系统管理员，安全管理员默认只允许安全策略和安全日志的查看和编辑权限；审计员默认只开放数据中心日志的查看和编辑权限，不具备设备的管理权限；系统管理员默认具备除安全功能外的其他系统管理权限，不具备设备的日志查看权限；必须支持以USB-Key方式验证接入数据中心的管理员身份；支持以USB-Key方式分配管理员的日志审计权限；

7、提供基于用户/业务的综合风险报表，统计维度为用户和业务而非IP地址；根据网络风险状况提供优、良、中、差评级；攻击统计提供所有检测攻击数和有效攻击数两个维度；报表内容呈现主动扫描的漏洞分布情况，匹配攻击日志输出已被攻击的漏洞数和发现的所有漏洞数的统计报表；业务安全报表提供攻击分析、漏洞评估、业务系统漏洞详情等信息；用户安全报表提供遭攻击最多的用户详情、异常连接用户详情等信息；安全风险类型汇总基于业务系统遭受攻击类型、业务系统存在最多漏洞类型、用户遭受最多威胁类型进行统计；

8、支持生成指定时间段内的网络数据统计汇总以及趋势的展，汇总内容包括服务器，主机安全事件统计分析，应用统计分析，上下行流量统计分析，网站访问行为分析等；

9、支持自定义统计指定IP/用户组/用户/应用在指定时间段内的服务器安全风险、终端安全风险、网站访问、网络应用及流量、杀毒统计等，并形成报表；

10、能够自定义时间段查询到内置记录的安全攻击日志，如DoS攻击，Web攻击，IPS，病毒检测，僵尸网络/远控木马检测记录，网站访问记录，系统操作日志；支持业务系统自定义，在报表中可以结合业务系统进行安全威胁和遭受攻击的分析；支持生成指定时间段内的网络数据统计汇总以及趋势的展，汇总内容包括服务器，主机安全事件统计分析，应用统计分析，上下行流量统计分析，网站访问行为分析等；支持查询和导出基于指定时间段/用户/用户组的文件审计、邮件收发、访问网站、即时通讯、发帖/微博、搜索关键字等详细用户行为的报表；支持报表以Excel、PDF等格式导出；

11、需提供自有品牌的免费服务器虚拟化产品与安全日志审计中心联动，服务器虚拟化能够根据实际用户和流量规模合理分配硬件资源，保障最优资源分配。

同时，外置数据中心能够与服务器虚拟化底层联动，优化磁盘读写，提高查询速度。

台

虚拟化下一代防火墙

1、支持VMwarevSphere5.0及以上版本；能够提供统一管理平台，实现策略集中配置,支持提供RESTAPI，支持Openstack集成管理；

2、持提供统一日志收集和分析平台，满足运维分析需求；支持横向扩展，满足100台服务物理主机的保护；

3、★为满足等保2.0云安全防护需求，本次配置包括网络应用控制、入侵防御、WAF防护墙、漏洞扫描、僵尸木马功能或组件，保证虚拟化环境下东西向安全防护要求。

4、可以提供静态的包过滤和动态包过滤功能。

支持的应用层报文过滤，包括：

应用层协议：

FTP、HTTP、SMTP、RTSP、H.323（Q.931，H.245，RTP/RTCP）、SQLNET、MMS、PPTP等；传输层协议：

TCP、UDP；

5、支持防御Land、Smurf、Fraggle、WinNuke、PingofDeath、TearDrop、IPSpoofing、CC、SYNFlood、ICMPFlood、UDPFlood、DNSQueryFlood、TCP报文标志位不合法攻击防范、支持IPSYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能，此外还支持静态和动态黑名单功能；

内置超过病毒库，木马，间谍软件等恶意软件特征库，并且在不断的持续更新特征内容；

6、能够检测内网肉鸡发起的DDoS行为，如ICMP、UDP、SYN、DNS外发请求异常等；

7、能够有效区分RDP、SSH、IMAP、SMTP、POP3、FTP、DNS、HTTP等WEB服务器上常见应用流量中的危险流量，也能对常规应用运行在非标准端口的为进行预警；

支持自动拦截、记录日志、上传灰度威胁到“云端”；

支持通过安全云实现虚拟沙盒动态检测技术。

可检测未知威胁在沙盒中对注册表、文件系统等的修改，通过云端联动的方式快速更新到各节点设备中，可实现快速统一的防护未知攻击；

8、能够自定义时间段查询到外置数据中心记录的安全攻击日志，如DoS攻击，Web攻击，IPS，病毒检测，僵尸网络/远控木马检测记录，网站访问记录，系统操作日志；

设备支持独立的外置数据中心；独立外置数据中心必须内置MySQL，无需单独安装其他数据库；

9、能够与下一代防火墙共用同一个外置数据中心。

为满足安全法规定留存相关的网络日志不少于六个月，设备必须支持内置数据中心和独立数据中心。

10、能够与网站云安全预警监测服务做联动，当网站云安全预警监测服务检测到漏洞时，能够联动虚拟化防火墙做防护

套

SSLVPN

1、配置不少于4个千兆电口，SSLVPN加密速度≥300Mbps，SSLVPN并发用户数≥2000，每秒新建用户数≥220；

2、专业VPN设备，非插卡或防火墙带VPN模块设备，要求内置固态硬盘≥480G

3、为保证接入兼容性，稳定性，产品支持终端使用包括IE6、7、8、10、11或其他IE内核的浏览器，以及最新版本的非IE内核浏览器，如WindowsEDGE，GoogleChrome，Firefox，Safari，Opera最新版登录SSLVPN系统，登录后可完整支持各种IP层以上的B/S和C/S应用。

4、支持主从认证账号绑定，必须实现SSLVPN账号与应用系统账号的唯一绑定，VPN资源中的系统只能以指定账号登陆，加强身份认证，防止登录SSLVPN后冒名登录应用系统

5、支持至少4条外网线路；并能实现基于SSLVPN的智能选路

6、支持15级以上的管理员分级分权限管理，从Admin派生树形结构下级管理员；上级管理员可分配下级管理员享有设备配置模块权限，可管理的用户、资源、角色权限，并可限制下级管理员是否允许创建下级管理员、创建资源、创建角色；上级管理员可限制下级管理员对权限内配置享有查看或配置权限

7、产品必须支持经过集成的，基于AndroidIOS平台的第三方软件开发包（SDK），并实现基于AndroidIOS平台第三方应用软件（APP）代码量不超过20行。

（要求提供代码Demo和企业证明）支持针对移动APP的VPN安全代码的自动封装，实现App应用的安全加固

8、支持改写WindowsRDP协议，经改写的协议必须独立于OS运行环境，避免跨平台兼容性，针对图像数据，服务端必须支持有损压缩算法

支持国际标准商用密码密码算法，可扩展支持中国国家标准的商用密码算法，包括：

SM1，SM2、SM3、SM4。

9、远程应用发布必须支持本地磁盘资源映射，必须支持本地打印机，必须支持本地串行口，必须支持本地智能卡识别。

支持iOS3.x、iOS4.x、IOS5.x系列的iPhone/iPad/ipadmini，Android2.0、2.1、2.2、2.3、3.x、4.x手机或pad；产品客户端必须经过苹果公司、google公司官方检测，并发布在全球级别可信第三方应用商店，针对IOS平台为Appstore，针对Android平台为PlayGoogle。

支持PPTPVPN、L2TPVPN，并支持通过AndroidIOS手机原生VPN客户端接入，支持AndroidIOS平台基于独立的VPN客户端发布Windows平台下的B/S、C/S应用，支持基于AndroidIOS平台远程应用发布功能。

台

核心交换

1、交换容量≥672Gbps，三层包转发率≥104.16Mpps，Flash≥2G，内存≥4G，

2、>=48个10/100/1000M电口，>=2端口万兆SFP+或4个SFP，提供带外管理LAN口，提供USB端口可做外部存储管理，所有LAN实配有线接口支持绿色以太网（802.3az）标准，电源>=2、风扇>=3,并可在线热拔插,支持严格前-后/后-前通风方向。

台

应用负载均衡

1、吞吐量≥4Gbps、并发会话数≥1600万、4层新建连接≥30万、7层新建连接≥40万;千兆电口≥6个,千兆光口≥2个。

2、单一设备可同时支持包括链路负载均衡、全局负载均衡和服务器负载均衡的功能。

三种功能同时处于激活可使用状态，无需额外购买相应授权。

3、开通HTTP压缩、HTTP缓存、TCP连接复用、SSL加速功能，无需额外购买相应授权。

4、必须独立专业负载设备，非插卡式扩展的负载均衡设备。

5、支持双机热备部署、集群部署，设备之间同步会话信息。

提供针对多条出口线路的链路负载均衡功能，实现inbound和outbound流量的均衡调度，以及链路之间的冗余互备。

可以通过智能DNS等机制实现公网用户对多个数据中心或单个数据中心多条线路的最佳访问。

6、对于非HTTP协议的长连接应用，可通过分析议特征来识别消息的开始和截止，以消息为对象进行七层负载均衡，而非传统基于连接的四层负载均衡。

7、支持多种链路检测方法，能够通过PING、TCP、HTTP等方式监控链路的连通性。

支持链路冗余机制，当某一条链路故障时，可将访问流量切换到其它链路，保障用户业务的持久通畅。

8、支持常见的主动式健康检查功能，提供基于SNMP、ICMP、TCP/UDP、FTP、HTTP、DNS、RADIUS，ORACLE/MSSQL/MYSQL数据库等多种类型的探测判断机制。

9、支持主动探测方式与被动观测方式结合使用的服务器健康检查手段，以便适应各种复杂应用交互流程，保障业务系统的高可用性。

（提供设备操作界面截图证明材料）

10、对Oracle数据库、SQLserver数据库和Weblogic中间件的关键性能指标监控，将图片转换为对应支持的WebP或JPEG格式，优化加速效果。

11、支持SSL卸载和加速功能，卸除服务器端的密集型运算任务，释放服务器计算资源，并提升SSL业务的处理速度。

产品须获得工信部颁发的电信设备入网许可；

台

存储备份

管理服务器

1、国有知名品牌，标准1U机架式服务器；

2、处理器：

两颗IntelE5-2609v4（1.7GHz/8c）处理器

3、内存：

配置32GBDDR4内存，配置≥16个内存插槽，支持四通道交叉存取、内存纠错、内存镜像、内存热备等高级功能；

4、硬盘：

配置2块300G热插拔10000转SAS硬盘，最大支持≥8个2.5寸热插拔SATA/SAS接口硬盘；或支持≥4块前置3.5寸热插拔SATA/SAS接口硬盘+2块2.5寸热插拔固态硬盘

5、RAID:

配置SAS12Gb硬盘控制器；

6、网络：

配置≥4个千兆网口；

7、I/O插槽：

支持≥2个PCI-E3.0，支持4个UBS3.0接口，2个VGA接口

8、电源：

配置白金级1+1冗余电源；

9、管理功能：

可远程开关机，支持远程监控图形界面，系统安全界面，支持本地光驱，软驱设备共享。

10、管理：

集成系统管理芯片，集成1个独立千兆网络接口，专门用于IPMI的远程管理

11、服务和质保：

原厂三年质保服务；提供设备厂家针对本项目的授权函、质保函原件

台

管理笔记本

CPU：

IntelCoreI5-6200U

内存：

1*4GB1600MHzDDR3内存（最大支持32G）；

硬盘:

500G硬盘（支持主动式硬盘保护）；128SSD固态硬盘

屏幕：

14寸背光显示屏幕；180度开合；

显卡：

2GB显存

接口：

3xUSB3.0（PoweredUSB不间断供电）,RJ45,VGA，MiNiDP，四合一读卡器（SD/SDHC/SDXC/MMC）,蓝牙4.0，防盗锁孔；

摄像头：

720pHD摄像头；

电池：

6芯电池

键盘：

全尺寸防泼溅孤岛式键盘（底部带导水孔）

应急与恢复系统RescueandRecovery

密码管理器PasswordManager

系统：

预装正版win7系统（带一键恢复功能）

台

服务器

1、规格：

2U机架式服务器，

2、处理器：

配置2颗XeonE5-2650V4处理器

3、内存：

配置16*16GBDDR4内存，配置≥24个内存插槽,支持高级内存纠错、内存镜像、内存热备等高级功能；

4、硬盘：

配置2块300G10K转SAS热插拔硬盘，2块480GSSD硬盘,可支持≥28个2.5寸SATA/SAS接口硬盘或固态磁盘；

5、RAID功能：

配置独立外插八通道高性能RAID卡，支持RAID0、1、5等；

6、I/O扩展：

支持≥8个PCI-E3.0插槽，支持≥4个全长全高；≥5个USB3.0接口，配置VGA接口；

7、网卡：

配置≥2块单口16GbHBA卡，配置≥6个高性能千兆以太网口，1个独立千兆管理网口专用于IPMI，支持虚拟化加速、网络加速、负载均衡、冗余等高级功能；

8、电源及外设：

配置热插拔冗余白金电源，导轨；

9、管理功能：

集成系统管理芯片，支持IPMI2.0、KVMoverIP、虚拟媒体等管理功能，支持外置式可视化管理模块，提供本地可视化系统监控和故障诊断功能；

10、服务和质保：

原厂三年质保服务；提供设备厂家针对本项目的授权函、质保函原件。

台

存储

1.系统架构：

全冗余模块化体系结构，具备IPSAN和FCSAN模式;

2.控制器：

支持扩展≥8个控制器（集群模式）；本次配置双控制器，采用双活模式，单控制器处理器核心数≥6，两个控制器之间通过PCI-E3.0内部总线连接通讯；

3.缓存：

本次配置双控SAN缓存≥128GB（纯SAN缓存）；配置BBU电池保护模组，提供缓存掉电数据保护；

4.主机接口：

配置≥8个16GbpsFC接口+≥8个1GbiSCSI主机接口；支持千兆以太网、万兆以太网

展开阅读全文