农科大厦信息化系统集成项目招标要求.docx
《农科大厦信息化系统集成项目招标要求.docx》由会员分享,可在线阅读,更多相关《农科大厦信息化系统集成项目招标要求.docx(24页珍藏版)》请在冰豆网上搜索。
农科大厦信息化系统集成项目招标要求
农科大厦信息化系统集成项目招标要求
一、资质要求
为保证天津市农业科学院农科大厦网络系统集成项目的工期及工程质量,对投标方提出如下资质要求:
1、投标人成立须满三年,营业执照副本(复印件加盖公章);
2、法定代表人授权书(须有法人代表签字或盖章);
3、投标人须具备信息产业部颁发的计算机系统集成三级以上(含三级)资
质证书。
4、税务登记证
5、经会计师事务所审计的上年度财务报告
6银行等有关部门出具的资信证明
7、依法缴纳税收的记录
8、依法缴纳社会保障资金的记录
9、近三年在经营活动中有无违法记录的说明
二、服务要求
1、质量保证期:
项目验收后36个月内。
2在质量保证期间,提供原厂商免费维修所有系统部件服务。
3、中标方须注明质量保证期外的维修费,注明:
网络防病毒软件及IPS数字疫苗等年更新费用不得高于中标价格。
4、中标方须提供完整的系统诊断流程。
5、中标方须提供所有必要的系统软、硬件测试、诊断工具。
三、商务要求
“天津市农业科学院农科大厦网络系统集成”项目是天津市农业科学院信息化建设的重要组成部分。
1、付款方式:
按照政务采购中心要求的付款方式执行
2、供货时间及项目集成完成时间
从中标之日起至项目集成完成总时间不超过30天。
3、其他要求
各个投标厂商、供应商或集成商所提供的方案必须包括组成天津市农业科学
院农科大厦网络系统所需的全部产品、配件、附件、软件、服务以及系统集成方案,如果有遗漏将被视为投标人免费赠送上述遗漏的产品、配件、附件、软件、服务及系统集成方案,采购人无需增加额外费用。
农科大厦信息化系统集成项目技术需求书
一、网络现状
(一)农科院信息所现有网络资源现状
1、互联网出口:
光纤至天津科技骨干网;
2、IP地址:
可用合法IP地址数12个;
3、现有防火墙DMZ区内各种网络应用服务器5台,工控机1台,Dell42U服务器机柜1套(含8口KVM。
以上设备要求平滑迁移至农科大厦新网络中心,并保证各服务器及其应用服务正常运行。
(二)天津市农业科学院农科大厦概况
农科大厦信息化系统集成项目涉及范围为天津市农业科学院农科大厦
18-24层,中心机房位于大厦的19层,农科大厦建筑面积约900平米/层。
建设完成后的农科大厦网络互联网出口(上联)为天津科技骨干网,可用合法IP地址数12个;各种应用服务器总数约10台,农科大厦内接入互联网PC数约100~150台。
二、技术要求
天津市农业科学院农科大厦信息系统集成项目主要包括以下几个重要组成
部分:
-农科大厦18-24层综合布线系统
-网络中心机房的环境建设
-农科大厦(18-24层)网络系统建设
-系统集成服务
天津市农业科学院农科大厦信息系统集成项目总体建设目标是建设成为技术先进、安全可靠、管理功能完善、接入方式丰富、安全策略统一的多业务承载网络系统,因此在本系统建设过重中必须使用业界知名厂商的先进设备和应用技术为整个农科大厦信息化系统提供完整的解决方案。
中标供应商在施工验收合格后应当提供项目全部的集成实施方案,不少与3
份;在设备到货验收完成后中标方以及相关硬件厂商有义务按照用户要求对相关人员进行培训。
(一)建设原则
在进行系统设计和工程实施中必须遵循以下原则:
1.稳定性要求建设完成的农科大厦网络系统必须具备高度的可靠性和稳定性。
投标方所提供的各种设备均须采用高可靠性设计,核心设备采用冗余设计,其中的重要部件,控制模块、电源模块等必须冗余配置,保证核心设备的可靠性,为减少整体系统中的故障节点。
要求核心交换设备必须支持无线控制器插卡,利用核心交换机的双引擎、双电源为无线网络提供冗余机制,并保证整体网络可以实现有线无线一体化管理。
2.安全性要求农科大厦网络系统要求网络设计应满足相关安全性规范和标准,安全的数据交换和层次化的安全保护措施;网络系统应支持多种安全控制,在网络出口处通过两台以上设备实现基于异构的病毒防护功能,接入层交换机具备防ARP攻击功能,同时实现有线和无线网络与交换设备联动基于用户的终端准入控制系统。
3.扩展性要求
随着未来用户应用规模的不断扩大,网络可以方便地进行扩充容量以支持更多的用户和应用;随着网络技术的不断发展,网络必须能够平稳地过渡到新的技术和设备。
充分考虑到未来几年网络升级的平稳衔接,保证网络通讯介质、网络设计核心的向后兼容性,所选择的网络设备必须具有良好可扩展能力,根据网络临时需要可以对系统进行必要的调整、扩充。
在网络全面升级的情况下,能够最大限度保护现有投资。
4.可管理性要求网络易于安装、操作和维护,配备有方便、灵活、有力的工具,不但能够管理新的农科大厦网络系统,还能有效地结合广域网系统进行集中式的有效管理和控制。
方便的监控、良好的管理界面、完备的系统记录,能使管理员在不改变系统运行的情况下对网络系统进行检测、修改及故障恢复等管理维护工作。
5.统一性要求
为保证建设完成的农科大厦网络系统的兼容性及方便管理,所有网络设备(除网络版杀毒软件外)应为相同厂商的网络产品,具体见清单。
(二)方案及功能要求
依据需求分析和设计原则,农科大厦网络系统初步设计方案如下图所示(请各投标单位设计自己的投标方案,下图仅供参考)
网管/终端准入/其它应用服务器
科技骨干网
核心交换机+无线控制插卡
杀毒/补丁服务器
!
FTP/Mail/WEB服务器
DMZ区
防火墙+防;
POE交换机
AP
2.1出口安全防护
天津市农业科学院网络中心作为天津市科技骨干网主要组成部分,有着多台
服务器需要提供大量的公众服务,因此出口安全防护是天津市农业科学院农科大厦信息化系统建设的重点之一。
考虑到近年来网络攻击频繁发生,各种攻击工具十分易于下载和操作,黑客发起攻击的难度下降,频度上升,在本次农科大厦信息化系统集成建设中,采用多台安全设备进行复合的安全防护
首先,在出口处,采用专业IPS设备进行4-7层的攻击防护,抵御如蠕虫、
木马、网络钓鱼、漏洞攻击等安全威胁。
并且,要求该IPS必须内置国际知名厂
商的杀毒引擎,可以对HTTPFTPPOPSMTP等协议中的附件进行文件型的病毒查杀。
其次,在IPS设备之后放置防火墙进行农科大厦内网和外网之间的访问控制,严禁外部用户对除了DMZ区域内的应用服务器外的农科大厦内部网络的访问,并在防火墙上提供NAT转换功能及VPN功能,提供农科大厦内网用户访问外网的通道。
并且要求同时在防火墙上配置防病毒模块,同样对HTTPFTPPOPSMTP等协议中的附件进行文件型的病毒查杀。
防火墙上的防病毒模块应该采用
与IPS杀毒引擎不同的另一知名厂商的杀毒引擎,和IPS上的杀毒引擎形成异构的病毒查杀防护。
2.2无线网络系统设计
在农科大厦18-24层布设20个AP,对所有办公区域进行覆盖,AP点位根据楼层办公布局设计。
为保证天津市农科院农科大厦网络系统整体的高可用性,在本次农科大厦的无线网络建设中,只接受FitAP(瘦AP方案的投标方案,并且要求无线控制器必须是插卡形式。
无线控制器做为核心交换机的一个板卡,插在核心交换机上,通过核心交换机的双引擎和双电源来保证可用性。
瘦AP(FitAP)解决方案可以提供更好的无线接入控制功能及安全管理,无线瘦AP本身无任何配置,在接入网络后,注册到无线控制板卡上下载配置。
要求实现不管无线AP在哪个三层
子网下,无线用户都可以实现跨子网的漫游。
要求无线AP能实现智能负载均衡,即在相邻的两个AP中,能根据目前各自的负载情况,将新接入的用户分配到负载少的无线AP上去。
如相邻的两个AP中,一个AP1已经接了3个用户,AP2接了7个用户。
那么当一个新的用户出现在AP1和AP2信号都能覆盖的区域时,接收到的AP2的信号强度大于AP1,此时可以通过无线控制的协调,AP2拒绝和用户的连接,用户只能和AP1建立连接。
同时,为保证农科大厦网络系统整体安全策略的统一性,终端准入控制必须也能对采用无线接入的用户生效。
2.3局域网攻击防护
近年来各种病毒攻击盛行,其中尤其以ARP攻击为最。
ARP病毒是利用了以太网协议的漏洞,通过在ARPM文中填写错误的网关IP地址和MAC地址的对应关系,通过ARP广播发送到其它用户的电脑上,使网络内的其它用户无法将数据报文发送到正确的网关上,导致网络内的应用全部中断。
ARP病毒的破坏性强(影响整个局域网)、攻击后果严重(用户无法访问网络和应用服务器,甚至ARP中
间人攻击可以窃取用户的用户名和密码)。
而ARP病毒又属于基于协议的应用攻击,即使在接入交换机上绑定IP和MAC地址,也仍然无法抵御ARF病毒攻击。
因此,在本次农科大厦网络建设过程中除了要配备网络版杀毒软件外,要求投标方的网络方案设计中必须要选择更智能化的交换机设备,采用如目前业界流行的DHCPSNOOPINGARP检测来防御ARF攻击。
2.4终端准入控制
网络中的安全问题往往来源与网络内部,这个在过去的系统维护中得到了验证。
网络中存在非法外部用户的接入问题,容易造成网络内部系统的安全隐患;网络中虽然部署了防病毒软件,但是用户往往不升级病毒库和系统安全补丁,以及大量U盘和移动存储设备的使用带来了大量病毒,使得部署的网络版杀毒软件和系统补丁服务器形同虚设;随着各种应用服务的增加,权限控制要求和无线移动办公应用的增多,根据源IP进行访问权限的控制方法也无法满目新的应用需求,根据用户名来分配访问权限和接入控制成为了最有效的终端准入控制方法。
因此,需要通过终端准入控制系统配合接入交换机来将用户的访问权限和用户名进行关联。
在本次农科大厦网络建设中,投标方必须设计可以通过软件和接入交换机联动的智能终端准入控制系统,并且要求必须实现以下功能。
(1)用户通过有线或者无线接入网络时,用户电脑上的终端准入软件客户端需要用户输入密码,进行身份验证。
(2)用户通过有线或者无线接入网络时,用户通过身份验证后,准入控制客户端能检查用户电脑上的安全状态,包括杀毒软件版本、杀毒软件病毒库、操作系统补丁安装情况、黑白软件(用户自定义)安装情况的检查。
如用户的电脑上未安装杀毒软件、或者杀毒软件病毒库未升级到最新版本,则控制用户只能访问隔离区的病毒服务器和系统补丁服务器,只有升级完成后由用户电脑上的服务器再向终端准入服务器报告安全状态,此时再根据用户的访问权限下发访问列表到接入交换机上或者无线控制板卡上。
(3)在终端准入服务器上可以设置用户的流量阀值,当用户在使用网络的过程中,如用户流量超过设定的阀值,则准入软件告警,管理员可以将用户下线。
(4)终端准入软件必须能防止用户的双网卡外联(如用户在接入网络的同时拨号上网),能防止用户通过代理使其它非法用户接入网络。
(三)设备采购清单
1、中心机房环境建设部分设备米购清单
编号
名称
技术要求
单位
数量
1
方型吊顶板
请参看(四)技术指标2.1.1中的要求
70
2m
2
防静电地板
请参看(四)技术指标2.1.2中的要求
70
2m
3
墙面工程
请参看(四)技术指标2.1.3中的要求
70
2m
4
市电配电柜(空开,漏保,插座,电力线缆等)
请参看(四)技术指标2.2中的要求
1
套
5
UPS不间断电源(续电电池)
请参看(四)技术指标2.2中的要求
1
台
6
电源防