天津国际贸易单一窗口一期工程.docx
《天津国际贸易单一窗口一期工程.docx》由会员分享,可在线阅读,更多相关《天津国际贸易单一窗口一期工程.docx(38页珍藏版)》请在冰豆网上搜索。
天津国际贸易单一窗口一期工程
天津国际贸易单一窗口一期工程
系统集成项目需求书
一、项目背景
“单一窗口”,是指参与国际贸易和运输的各方,通过单一平台提交标准化的信息和单证,实现贸易和运输企业通过单一平台一点接入、一次性递交满足监管部门要求的格式化单证和电子信息,监管部门处理状态通过单一平台反馈给申报人。
天津国际贸易单一窗口主要帮助贸易运输企业和政府管理部门实现相应的通关及监管功能。
从企业与监管部门间信息递交和反馈的功能看,主要是实现:
1.贸易企业。
贸易企业(或代理)通过“单一窗口”,以电子信息方式,一次性递交相关申报数据和随附单证,满足海关、检验检疫、海事、边检等部门监管要求,监管部门通过“单一窗口”将监管执法回执信息反馈给申报人。
2.运输企业。
运输企业(或代理)通过“单一窗口”,一次性递交相关运输工具申报数据(包括人员信息),满足海关、检验检疫、海事、边检等部门监管要求,监管部门通过“单一窗口”将监管执法回执信息反馈给申报人。
3.监管部门。
监管部门根据监管职能要求,通过“单一窗口”获取相应企业的电子申报数据,并将结果反馈申报人。
监管部门按照监管要求获取运输工具、箱、货、人(船员)等实际监管状态信息,在监管结果互认的基础上实施执法互助和业务协同。
遵循国际“单一窗口”建设的通行规则,结合天津国际贸易单一窗口建设目标要求,按照先实现企业与监管部门间通关信息的递交和反馈、监管部门间信息共享;再扩大应用范围,通过单一窗口办理贸易许可、外汇、税费支付以及相关行政许可和登记事项,实现更多部门间的信息共享。
项目建设按照先易后难、先急后缓、先基本框架后逐步完善功能的原则分步推进。
1.建立单一窗口的基本框架
实现海关、检验检疫、海事、边检等监管部门信息系统与单一窗口数据对接,通过单一窗口接受贸易企业、运输企业的申报,并将结果信息通过平台反馈给申报人。
实现监管部门依照各部门之间的合作协议,共享相应监管状态信息,实现对货物和运输工具的安全高效监管。
同时,推动港口、机场等作业系统,以及贸易和运输企业的信息管理系统与单一窗口对接,减少纸质单证流转和人工录入数据项,缩短货物和运输工具在口岸的滞留时间。
2.扩展到通关和监管各主要环节
实现随附单证无纸化;通过查验指令自动比对,实现一次开箱、分别查验/检验检疫;通过单一窗口,实现关税和各类规费支付电子化;通过单一窗口,实现对口岸现场实际监管和企业的电子监管;通过单一窗口,实现监管部门和口岸单位的电子放行。
根据各监管部门的实际监管需要,依托单一窗口平台设定的数据共享和监管结果状态应用的规则,设计相应监管互认和执法互助的作业流程,实现监管部门的联合监管。
3.拓展至国际贸易相关政府管理部门
单一窗口向贸易许可、外汇、国税等相关部门的监管功能拓展。
实现各类国际贸易许可证件办理、外汇结算、退税等业务的一站式办理。
监管部门按照各自对贸易和运输企业的管理要求,将相关行政审批、许可和登记等事项,转移到单一窗口平台上办理。
根据监管部门的分类管理和风险管理需求,通过单一窗口实现与地方政府部门的企业基础信息、信用管理信息联网,以及金融管理部门的监管和信用信息联网。
二、商务需求
二、商务需求
序号
需求条款
是否为实质性条款
原因说明(实质性条款需列明原因)
1
投标人须具备计算机信息系统集成一级资质。
是
保证投标人系统集成能力
2
投标人的报价应包括:
设备主机及附件的货款、运输费、运输保险费、装卸费、数据迁移、等保评测、系统集成及其他应有的费用并分别单列。
投标人所报价格为货到现场的最终优惠价格。
是
预算控制及资金管理需要
3
需按照国家信息安全等级保护第三级标准建设并按照此标准进行验收。
安全设备必须具备公安部公共信息网络安全监察局颁发的《计算机信息系统安全专用产品销售许可证》;中国信息安全认证中心颁发的《中国国家信息安全产品认证证书》,达到EAL3+级别;安全设备生产厂商须具有信息安全应急处理服务一级资质。
是
保证系统安全
4
由于时间紧迫,投标方需在签订合同后30工作日内完工施工(特殊情况以合同为准)。
是
工程进度需要
5
所投设备均需提供生产企业与投标人在有效期内的签约代理协议,如无签约代理协议,需提供针对本项目的专项授权及原厂售后服务承诺。
是
保证投标人所提供产品为原厂正规渠道产品,保障原厂服务
序号
服务需求
是否为实质性条款
原因说明(实质性条款需列明原因)
1
提供所投设备原厂3年的免费上门保修,终身维修;保修期内免费更换零配件,7×24小时技术响应,2小时内维修工程师到达维修现场;软件提供三年免费升级。
是
保证后期运维质量
2
提供保修期内每月巡检,建立设备巡检档案;提供验收后三个月的专人驻场保障服务(不少于2人)。
是
保证后期运维质量
3
为保证项目实施质量,投标方针对本项目提供高级项目经理1人、项目经理不少于3人、网络工程师专家不少于2人(CCIE或H3CIE)、Oracle数据库认证专家(OCP)不少于1人,并提供证书复印件,还需提供以上人员在投标方缴纳社保或个人纳税证明,在服务期内的实际工作人员与上述人员应保持一致,不得随意更换,且相关技术人员需持上述相关证书上岗。
是
保证工程质量
4
提供有针对性的方案,包括:
所投产品的配置清单、整体系统集成方案(含拓扑图)、迁移方案、施工管理计划、技术服务方案,运维手册等;做好所有设备的安全调试,提供可能涉及的电缆等辅料;做好网络规划、调试;做好各供货厂商的组织协调及责任范围内的售后服务;做好数据迁移工作;做好基于数据交换软件的二次开发工作;做好三级等保评测保障工作;做好其他需要集成的工作。
是
保证工程质量
5
需组织设备厂商针对本项目的设备和软件提供免费现场培训,总培训时间不少于15天,提供详细的培训方案和课程表,
是
后期运维需要
三、技术需求
序号
货物名称
技术要求
单位
数量
1
核心交换机
交换容量≥2.5Tbps
包转发率≥1400Mpps
业务插槽≥4个
电源支持至少4块内置冗余电源模块
风扇支持至少两块可热插拔风扇模块
接口交换机1U高度内支持不少于48个万兆光口(或48个万兆电口)及4个40G接接口
虚拟化支持至少两台物理设备智能堆叠,堆叠后可实现统一的转发表项、统一的管理界面,支持分布式设备管理,分布式链路聚合,支持本地堆叠和远程堆叠
链路聚合支持40GE端口聚合,支持静态聚合、动态聚合
数据中心特性支持802.1Qbb、802.1QazETS、ECN,支持FCoE及FC协议栈,支持FC/FCoE/Ethernet端口切换,支持SPB,支持Openflow1.3
路由协议支持静态路由、RIPv1/2、OSPFv1/v2、BGP、IS-IS,支持等价路由、VRRP、策略路由,支持OSPFv3,支持BGP4+FORIPv6、VRRP、IPv6策略路由
实际配置每台均配置4块内置冗余电源模块,两块内置风扇,不少于24个万兆光接口,48个万兆电口(光口和电口都支持万兆,千兆自适应),不少于6个40G光接口,万兆多模光模块10个,千兆多模光模块15个。
台
2
2
接入交换机
交换容量≥580Gbps
转发性能≥250Mpps
接口类型千兆电接口≥48个
固化万兆接口数≥4个
扩展槽位1个(至少支持扩展2端口40G接口板和8端口万兆接口板)
MAC地址≥32K
VLAN特性支持基于端口的VLAN,支持基于协议的VLAN;
支持基于MAC的VLAN;
最大VLAN数≥4094
虚拟化支持多台设备虚拟为逻辑上单台设备实现跨设备链路聚合、统一管理界面、统一转发表项
支持远程堆叠(10km)
链路聚合支持40G聚合,支持10GE端口聚合
镜像功能支持本地端口镜像和远程端口镜像RSPAN;
路由协议支持并配置IPv4静态路由、RIPV1/V2、OSPF、BGP
支持并配置IPv6静态路由、RIPng、OSPFv3、BGP4+
访问控制策略支持基于第二层、第三层和第四层的ACL;
支持基于端口和VLAN的ACL;
支持IPv6ACL;
支持Portal认证
支持802.1x认证,支持集中式MAC地址认证;
OAM支持802.1ag
支持802.3ah
实际配置双内置电源,双风扇,48个千兆电口,12个万兆光口,2个万兆多模光模块,3个千兆多模光模块
台
3
3
路由器
带业务转发性能≥12Gbps
整机交换容量≥360Gbps
扩展插槽整机接口板扩展插槽≥3个,
电源要求支持4个内置交流电源
虚拟化支持至少两台物理设备智能堆叠,堆叠后可实现统一的转发表项、统一的管理界面以及跨物理设备的链路聚合
POE供电支持
路由协议支持静态路由;动态路由协议:
RIP/RIPng,OSPF,OSPFv3,BGP,IS-IS;组播路由协议:
IGMP,PIM-DM,PIM-SM,MBGP,MSDP;路由策略;
IPv6支持IPv6基本功能:
IPv6ND,IPv6PMTU,IPv6FIB,IPv6ACL;IPv6过渡技术:
NAT-PT,IPv6隧道,6PE;IPv6隧道:
手工隧道,自动隧道,GRE隧道,6to4,ISATAP;IPv6静态路由(包括组播静态路由);动态路由协议:
RIPng,OSPFv3,IS-ISv6,BGP4+
MPLS支持MPLSTE,MPLS/BGPVPN,L2VPN,MPLS支持组播
网络安全性支持端口安全;PPPoEClient&Server,PORTAL,802.1x;Local认证,Radius;防火墙ASPF,ACL,FILTER;硬件加密引擎,IKE,IPSec,Portal;L2TP,NAT/NAPT,PKI,RSA,SSHv1.5/2.0,SSL,URPF,GRE
接口类型支持POS、CPOS、E1/T1等接口类型
QOS支持CAR(CommittedAccessRate);支持LR(LineRate);FIFO、PQ、CQ、WFQ、CBQ、RTPQ;WRED/RED
配置配置双引擎,不少于3个独立冗余交流电源
提供6个千兆电接口,其中不少于4个可以光电复用,3个千兆多模光模块
台
2
4
负载均衡
规格≤2U
吞吐性能≥3Gbps
并发性能≥500万
4层新建性能≥13万
7层新建性能≥16万
接口要求≥6个千兆电口≥4个千兆光口
内存≥4GB
硬盘≥500GB
每台均配置内置冗余双电源模块
支持在线部署模式支持旁挂部署,包括单臂及双臂方式,支持Ping(ICMP)、TCP、HTTP、FTP、SSL、Radius、DNS等健康检测算法,支持被动式健康检查,可根据对业务流量的观测采样,辅助判断应用服务器健康状况;对常规HTTP应用可配置基于反映URL失效的HTTP响应状态码的观测判断机制,对于复杂应用可配置基于RST关闭连接和零窗口等异常TCP传输行为的观测判断机制。
支持源IP、Cookie(插入/被动/改写)、HTTP-Header、Radius、SSLSessionID等多种会话保持机制。
单一设备可同时支持包括链路负载均衡、全局负载均衡和服务器负载均衡的功能。
三种功能同时处于激活可使用状态,无需额外购买相应授权提供针对多条出口线路的链路负载均衡功能,实现inbound和outbound流量的均衡调度,以及链路之间的冗余互备。
提供针对L4/L7内容交换的服务器负载均衡功能,可在单一设备上支持多个应用和服务器集群,可以根据多种算法和要求分配用户的请求.支持图片优化技术,通过对图片格式的转换,减少传输流量,提升web页面加载速度。
无需改动服务器端的图片源文件,可根据浏览器种类自动识别转换类型,将图片转换为对应支持的WebP或JPEG格式,优化加速效果。
设备内置数据中心,可以统计服务器访问次数,链路访问情况,访问区域来源等多方面数据.支持自动订阅和手动生成两种方式输出PDF格式报表。
支持对链路和服务器的稳定性进行统计,可查询服务器的异常状态信息,并提供对故障原因的分析。
台
2
5
应用服务器及系统
规格≤2U机架式,带机架滑轨和理线架
CPU≥2颗IntelXeonE5-2650v3
内存≥256GBDDR42133MHz
硬盘≥3×600GB15K2.5英寸热拔插硬盘
RAID卡≥2GB高速缓存,支持RAID0、1、5、6、10、50、60
网卡板载网卡≥2个10GbSFP+端口+2个1GbE端口
HBA卡≥2块单口8GbFCHBA卡
光驱类型DVD-ROM
PCI-E插槽≥7个
电源2个1+1冗余750W高效热拔插冗余电源
预装WindowsServer2012数据中心版8套,WindowsSystem Center2012 R2(数据中心版)8套,带正式授权
原厂3年硬盘维修不返还服务,带原厂商服务承诺函。
台
8
6
数据服务器及系统
规格≤4U机架式,带机架滑轨和理线架
CPU≥四颗IntelXeonE7-4860v2
内存≥256GBDDR31600HzRDIMM内存
硬盘≥3个600GB15K2.5英寸热插拔硬盘
RAID卡≥2GB高速缓存,支持RAID0、1、5、6、10、50、60
PCI-E插槽≥10个
网卡板载网卡≥2个10GbSFP+端口+2个1GbE端口
HBA卡≥2块单口8GbFCHBA卡
电源≥4个2+2冗余1100W高效热拔插冗余电源
预装SQLServer2014(企业版)2套,带正式授权;BiztalkSvr2013(企业版)2套,带正式授权和二次开发工具
原厂3年硬盘维修不返还服务,带原厂商服务承诺函
台
2
7
磁盘阵列
一体化架构,支持FC、FCoE、iSCSI、InfiniBand、NFS、CIFS、HTTP、FTP存储协议
多控架构,最大控制器数量≥8,本次配置≥2个控制器,缓存容量≥128GB(纯SAN缓存,不含任何性能加速模块或NAS缓存、FlashCache、PAM卡,SSDCache等)
全冗余结构,无硬件单点故障,磁盘、电源、IO模块、风扇热插拔,缓存断电保护功能
支持SLCSSD,MLCSSD,SAS,NL-SAS,SATA,FC硬盘类型,支持不同容量和转速的同类型磁盘的混插扩容
本次配置6块400GBSLCSSD固态硬盘,30块600GB15KRPMSAS硬盘,10块3TB7.2KRPM3.5英寸热插拔硬盘
主机端接口本次配置8个8GbpsFC主机端口
磁盘端接口本次配置≥192GbpsSAS磁盘通道
RAID技术同时支持RAID0,1,3,5,6,10,50等
自动分级存储配置自动分级存储功能,支持数据保护和数据容灾,支持多操作MicrosoftWindowsServer,Solaris,HP-UX,Linux,IBMAIX,NovellNetWare,Apple,Tru64,Vmware
软件许可软件许可与硬件分离,更新控制器或模块不需要重新购买软件许可
与服务器为同一品牌
3年硬盘不返还服务,带原厂商服务承诺函。
台
1
8
光纤交换机
端口数量:
单台≥24个8Gbps光纤端口,本次激活≥24个端口,配置≥24个SFP+模块,配置≥24根10m光纤线缆。
台
2
9
互联网边界防火墙
要求采用多核架构,自研操作系统。
提供的产品不能少于4个扩展槽位,最少支持32个千兆光/电接口,电口支持内置Bypass。
三层吞吐量不少于10G,应用层吞吐量不少于6G;最大并发链接数不少于400万;每秒新增会话数10万。
支持虚拟线、二层透明、三层、混合、旁路监听接入方式,适应各种网络环境需求;
提供基于源/目的IP地址、安全区、应用/应用过滤器、协议/端口、时间、用户、安全模板/模板组的精细粒度的安全访问控制
支持基于策略的双向NAT、动态/静态NAT、端口PAT
支持OSPF、RIP、BGP、策略路由、Vlan路由、单臂路由、反向路6、由、ISP路由、DHCP、DNS、VlanTrunk
支持HTTP、FTP、POP3、SMTP等协议的病毒查杀,支持木马病毒、蠕虫病毒、宏病毒、脚本病毒等各种病毒的查杀,支持压缩文件解码查杀;支持病毒及名称白名单
支持IPSECVPN、SSLVPN、L2TPVPN
台
2
10
内网防火墙
要求采用多核架构,自研操作系统。
提供的产品不能少于6个10/100/1000M以太网电口,至少2个万兆接口,电口支持内置Bypass。
三层吞吐量不少于10G,应用层吞吐量不少于6G;最大并发链接数不少于400万;每秒新增会话数10万。
支持虚拟线、二层透明、三层、混合、旁路监听接入方式,适应各种网络环境需求;
提供基于源/目的IP地址、安全区、应用/应用过滤器、协议/端口、时间、用户、安全模板/模板组的精细粒度的安全访问控制
支持基于策略的双向NAT、动态/静态NAT、端口PAT
支持OSPF、RIP、BGP、策略路由、Vlan路由、单臂路由、反向路6、由、ISP路由、DHCP、DNS、VlanTrunk
必须与互联网边界防火墙异构
台
2
11
内网边界防火墙
要求采用多核架构,自研操作系统。
提供的产品不能少于4个扩展槽位,最少支持32个千兆光/电接口,电口支持内置Bypass。
三层吞吐量不少于10G,应用层吞吐量不少于6G;最大并发链接数不少于400万;每秒新增会话数10万。
支持虚拟线、二层透明、三层、混合、旁路监听接入方式,适应各种网络环境需求;
提供基于源/目的IP地址、安全区、应用/应用过滤器、协议/端口、时间、用户、安全模板/模板组的精细粒度的安全访问控制
支持基于策略的双向NAT、动态/静态NAT、端口PAT
支持OSPF、RIP、BGP、策略路由、Vlan路由、单臂路由、反向路6、由、ISP路由、DHCP、DNS、VlanTrunk
必须与互联网边界防火墙异构
台
1
12
网站保护系统
专用机架式硬件设备,提供的产品不能少于6个10/100/1000M电口,4个SFP插槽可最多支持20个光电接口;电口必须内置硬件Bypass。
网络层处理能力不能小于4Gbps,应用层吞吐量不能小于1Gbps,最大并发连接数不能低于15万,每秒新建连接数不可小于10,000cps;每秒最大事务处理书不少于25,000tps
支持防护:
蠕虫、缓冲区溢出、CGI信息扫描、目录遍历等攻击
支持SQL注入、XSS防护,支持使HTTP头域中的Cookie、Referer、User-Agent,Except字段过防护策略
支持CSRF(跨站请求伪造)防护,提供配置界面截图
支持扫描防护
支持Cookie安全机制,包括加密和签名的防护方法,支持Cookie自学习支持对服务器状态码进行过滤和伪装的安全策略;提供URL访问控制功能,能够基于多种HTTP方法执行访问控制,包括:
GET、POST、UNKNOWN、HEAD、PUT、DELETE、MKCOL、COPY、MOVE、OPTIONS、PROPFIND、PROPPATCH、LOCK、UNLOCKTRACE、SEARCH、CONNECT
支持基于五元组(源IP地址、目的IP地址、源端口、目的源口、协议类型)及接口的网络层访问控制功能
能识别上传行为,并对上传行为的内容做安全检测,可以根据需要,禁止上传的文件类型
可以根据文件大小、MIME类型、及文件扩展名,灵活定义下载限制策略,限制用户非法获取网站的关键数据(比如数据库文件,配置文件等)
支持爬虫防护,支持盗链防护,可采用Referer和Cookie算法
支持HTTP0.9/1.0/1.1,完全解析HTTP事务;支持对SSL(HTTPS)加密会话进行分析
系统各组件通过强加密的SSL安全通道进行通讯,防止窃听,确保了整个系统的安全性和抗毁性;能对账户进行安全策略配置,包括口令最小长度和口令生存期;可以限制远程管理的登录IP
台
2
13
入侵保护系统
系统应为机架式独立IPS硬件设备,全内置封闭式结构,专用安全操作系统,稳定可靠;提供的产品不能少于4个10/100/1000M以太网电口,4个10/100/1000MSFP模块插槽(可选配SFP光、电模块),电口均支持内置Bypass;至少提供16路防护;三层吞吐量不少于2G;HTTP吞吐量不少于1G;最大并发TCP连接数不少于200万;每秒新增TCP会话数不少于60,000
系统应提供覆盖广泛的攻击特征库,能够针对2300种以上的攻击行为、异常事件,以及网络资源滥用流量,进行检测和防御。
系统携带的攻击特征库须获得CVE-Compatible兼容性认证。
系统应支持IP碎片重组、TCP流重组、流量状态追踪技术,基于智能、深入的协议分析,全面检测超过100种以上的应用层协议,能够有效检测运行在非标准端口的协议、数以千记的木马,以及基于SmartTunnel(智能隧道)的应用协议。
系统应提供Web信誉机制,在用户访问被植入木马的页面时,给予及时报警和阻断,能够有效抵御Web安全威胁渗入企业内网。
系统应提供中英文网页过滤数据库,超过1,000万条的URL,多种精细分类(如不良言论、色情暴力、网络“钓鱼”、论坛聊天等),实现全面、高效的高风险、不良网站过滤
系统网络接口应具备内置fail-open特性,产品出现故障时,能自动转变成通路,不影响业务流量的正常传输
台
2
14
安全审计系统
专用机架式硬件设备,系统硬件为全内置封闭式结构,稳定可靠,用户界面、配置和管理等,均为中文,易于理解,并有详尽的中文技术文档;提供的产品不能少于6个10/100/1000M电口,1个SFP插槽可最多支持14路监听。
最大检测能力小于2Gbps。
系统应支持对常用的HTTP、FTP、SMTP/POP3、WEBMAIL、论坛、IM、音视频、P2P、网络游戏、财经股票等网络行为进行审计,并记录相关日志信息。
支持基于域名、关键字正则表达式等多种组合的主动内容审计策略,可扫描指定网站,分析网页页面是否含有非法敏感信息或网页挂马等
支持IPv6协议,可识别IPv6协议的数据流,支持基于IPv6地址格式的审计策略
支持历史版本回滚功能
台
1
15
堡垒机
系统为B/S架构,采用HTTPS方式远程安全管理,无需安装客户端;标准2U设备,含冗余电源模块,1*RJ45串口,2*GE管理口,6*GE电口,1*SFP插槽,最多可支持14个光电接口,硬盘不少于2T;图形会话并发不少于600个,字符会话并发不少于800个;最大可管理设备数2000个。
系统支持主帐号登录堡垒机应支持本地静态密码认证、LDAP认证、RADIUS认证等身份认证方式
支持自动登录目标设备功能,运维人员不必知道目标设备帐号及密码,无需进行二次登录认证,实现单点登录
支持手工登录目标设备,运维人员每次通过堡垒机登录目标设备都需要手工输入目标设备用户名密码;
支持运维人员半自动登录目标设备,即第一次登录目标设备时运维人员需手工输入目标设备帐号和密码并允许堡垒机保存该帐号密码,之后运维人员就可以自动登录目标设备;
系统支持批量导入用户帐号信息;支持批量导入目标设备信息
系统支持字符型远程操作协议:
SSH(V1、V2)、TELNET;支持图形化远程操作协议:
RDP、VNC、X11;支持文件传输协议:
FTP、SFTP;
支持HTTP、HTTPS操作审计
支持RDP、VNC、
升级会员 