湖北省疾病预防控制中心信息系统服务器及网络设备采购项目.doc

湖北省疾病预防控制中心信息系统服务器及网络设备采购项目采购需求(项目编号：EZC-2015-ZX0472)、供应商资格要求：1、供应商须具备政府采购法第二十二条第一款规定的相关条件；2、供应商须是在中国境内依法注册的法人、其他组织或者自然人；3、供应商须具备相关部门颁发的二级及以上计算机信息系统集成资质 。、采购项目技术、商务要求一 、 项 目 概 述本项目是湖北省疾病预防控制中心（湖北省预防医学科学院）各相关单位依据教学、科研需求提出的设备采购计划。共计 17 台（套）设备、1 项软件平台及一项等保评估服务，具体采购明细清单见下表。二 、 采 购 清 单序号 设备名称 数量 单位 备注1 负责均衡 1 台 提供设备原厂商针对本项目的唯一授权2 核心防火墙（含流控 模块） 2 台 提供设备原厂商针对本项目的唯一授权3 边界防火墙（含行为 审计模块） 2 台 提供设备原厂商针对本项目的唯一授权4 日志审计 1 台 提供设备原厂商针对本项目的唯一授权5 运维审计 1 台 提供设备原厂商针对本项目的唯一授权6 数据交换机 5 台 7 应用服务器 3 台8 数据库服务器 1 台 9 存储 1 台 10 云平台软件 1 套 11 等保评估服务 1 项备注： 表 中 序 号 1 5 项 产 品 ， 投 标 人 必 须 出 具 设 备 生 产 厂 商 针 对 本 项 目 的 唯一 授 权 书 原 件 。 如 不 满 足 该 条 款 的 投 标 文 件 ， 将 视 作 无 效 投 标 。 三 、 技 术 要 求注：投标人在投标文件技术响应、偏离说明表中须对以下逐条技术参数、要求 进行响应描述或偏离说明。不满足以上要求的，将被视为无效投标。1.负 载 均 衡所投产品具备计算机软件著作权登记证书设备生产商的研发体系具备国际CMM/CMMI 3级认证证书资质要求 设 备 生 产 商 的 负 载 均 衡 类 产 品 入 围 中 央 政 府 采 购 网 信 息 类 产 品 协 议供货名单（提供中央政府采购网的相关 web页面以及URL）单一设备即可同时支持包括链路负载均衡、 服务器负载均衡 和全局负载均 功能 及授权衡的功能。 需与采购人现有设备进行全局负载测试。 三种功能同时处于激活可使用状态， 无需额外购买相应授权。 （提供设备操作界面截图证明材要 求料，并提供厂家授权免费开通功能声明并加盖公章 )高 可用 性 必须支持双机热备部署，设备之间同步会话信息链 路健 康检查支持多种链路检测方法， 能够通过 ping、 TCP、 HTTP等方式 （不少于三种）监测； 当其中一条链路故障， 用户可切换到另一条链路， 保障用户访问正常URL 流控 支持基于URL的流控， 可控制应用服务发布的单个URL的独享下载带宽或者一组URL的共享下载带宽。支持图片优化技术， 通过对图片格式的转换， 减少传输流量， 提升 web页 业务 交付优化面加载速度。 无需改动服务器端的图片源文件， 可根据浏览器种类自动识别转换类型， 将图片转换为对应支持的 WebP或JPEG格式， 优化加速效果。支持非对称式部署的传输协议优化技术， 不用在用户终端上安装任何插件和软件，即可提升用户访问应用服务的速度。支 持 基 于链 路负 荷 情况的 繁 忙 保护 机制 ， 能根据 链 路 的上 行 /下 行带宽占用率情况执行对出站/入站流量的高级调度策略（提供设备操作界面截图链 路繁 忙控制 证明材料）策略 路由 支持基于管理员自定义的时间计划、 目的域名或 ISP地址段来配置出站访问的链路调度策略（提供设备操作界面截图证明材料）服 务器 繁忙控制支持面向服务器健康度的弹性调控机制， 可通过监控业务流中的 TCP传输异常来衡量服务器节点的有效性， 尝试对性能不足的服务器临时开启过载 保护，动态调节服务器的负载。 服务 器性能免费开通 HTTP 压缩、HTTP 缓存、TCP 连接复用、SSL 加速功能，无需额优 化 外购买相应授权（提供厂家授权免费开通 声明并加盖公章）DNS 透明 代理支持内网用户上网DNS透明代理， 提升多运营商链路的带宽利用率， 并能够实现基于用户网段和域名的调度策略。(提供界面证明)VMWARE 虚拟化 结合支持与VMware vSphere服务器虚拟化环境深度结合提供VMware vCenter的插件，可以实现在vCenter上管理负载均衡设备，自动同步配置。 访问 就近性保 障设备内置全球IP地址库， 无需手动导入， 并可自动更新。 (提供界面证明)业 务带 宽保障支持为每个服务发布分别划分各条链路的上行/下行带宽占用量。支持单个用户访问服务的上行/下行带宽占用量控制。智 能告 警 内置告警系统, 可自定义告警事件， 在出现链路故障问题时自动发送邮件和短信。1）支持自动或手动生成PDF格式报表；2）支持查看异地报表中心的报表数据。3） 支 持统 计链 路 的使用 率 、 应用 的分 布 情况、 节 点 池和 节点 的 流量、新报 表功 能建连接数、并发连接数、链路稳定性分析等功能界 面及 安全管理支持全中文管理界面和HTTPS方式登录、用户角色管理、多级授权管理其 他 生产厂商在本地有售后服务人员及机构（ 提供官网及链接证明）2、 核 心 防 火 墙指标项 指标要求资质 具备公安部信息安全产品销售许可证书，提供证书复印件并加盖公章； 原厂商获得中国信息安全测评中心出具的安全工程类二级证书 原厂商获得中国信息安全认证中心出具的应急处理一级证书原厂商同时具备 CISP 和 CISSP 培训资质品牌要求原厂商具有湖北省网络与信息安全信息通报中心技术支持单位采用先进的多核网络专用架构，使用 64 位 MIPS 多核处理器（需截图）机架式设备，带冗余电源；带硬件 Bypass 功能 硬件规格标配 9 个 GE 千兆电口，4 个 SFP 光口整机吞吐量8Gbps每秒新建连接数8 万最大并发连接数280 万开放 IPSec VPN 模块；性能1G；许可数1000 个 性能要求开放 SSL VPN 模块；连接数100；许可数1000 个路由协议 OSPF、BGP 和 RIPv1/v2（动态路由协议非透传）支持策略路由。VPN 支持 必须支持 GRE 和 GRE over IPSec，IPSec VPN、SSL VPN、L2TP VPN必须支持基于源、基于源和目的、基于会话等多种负载均衡模式。 负载均衡必须支持智能链路负载均衡技术，可动态探测链路响应速度并选择最优链路进行转发。必须支持服务器负载均衡，支持智能 DNS 功能，使外网访问内部服务器的流量可以在多条链路上实现智能分担。应用健康监测支持 HTTP GET、DNS 请求和 TCP 端口方式探测被监控链路或服务器的健康状态流量和带宽管理可识别 20 种应用类别，超过 1,800 种以上应用程序；能够准确识别IM、P2P 下载、文件传输、邮件、在线游戏、股票软件、流媒体、非法信道等应用；提供不同粒度的应用行为控制: 允许/ 禁止、实时监控、邮件告警、事件记录等；支持针对 Android、iOS 等移动应用的识别；识别 15 种以上的 Tunnel 信道；对用户及 IP 进行会话限制，可对上、下带宽进行独立的限制；基于角色进行会话的控制和流量的控制管理；每个虚拟系统拥有独立的管理员，管理包括虚拟路由器、安全域、地址薄、服务薄，物理接口或逻辑接口，安全策略等 虚拟化支持自定义虚拟系统的资源，包括会话数、策略数、NAT 规则数的设定支持基于用户，ip 地址以及 7 层应用进行保证带宽，最大带宽的控制，支持针对 7 层应用的优先级转发控制多层 QoS 功能要求包含应用 QoS 和 IP QoS 是两个独立的数据流控制功能，应用 QoS 下可以嵌套 IP Qos 策略；IP QoS 可以嵌套应用 QoS。支持弹性带宽功能，可自定义阀值来上弹或回收带宽，充分利用网络带宽资源流量管理QOS支持 AD、LDAP、RADIUS 等第三方认证服务，对通过不同接入方式的用户和用户组，以及用户角色进行细粒度的流量控制管理。支持硬件 USB-key 的认证方式；支持基于手机短信的登录认证方式。支持 32 位和 64 位 Windows 2000/2003/XP/Vista/Windows 7 操作系统SSL VPN必须支持对登录 SSL VPN 的用户端系统进行端点安全检查。必须支持同时保存 5 个以上的配置文件，并支持系统软件回滚，防止配置不当或系统故障造成的网络中断，充分保证系统的稳定性。 （需截图）支持监控设备系统资源的实时状况，必须包括 CPU、内存、接口带宽、日志容量、策略数、会话数等对象。监控所有触发安全策略的时间、严重程度、攻击名、源与目的地址、端口、通信协议信息管理及兼容功能 防火墙、运维审计、日志审计同一管理平台3、 边 界 防 火 墙指标项 指标要求资质 具备公安部信息安全产品销售许可证书，提供证书复印件并加盖公章；原厂商获得中国信息安全测评中心出具的安全工程类二级证书原厂商获得中国信息安全认证中心出具的应急处理一级证书 品牌要求原厂商同时具备 CISP 和 CISSP 培训资质原厂商具有湖北省网络与信息安全信息通报中心技术支持单位采用先进的多核网络专用架构，使用 64 位 MIPS 多核处理器（需截图）标准机架式设备标配 9 个 GE 千兆电口；带硬件 Bypass 功能整机吞吐量2Gbps 配置要求最大并发连接数160 万接入模式 必须支持透明、路由、混合、旁路四种工作模式，支持在旁路模式下对流量进行统计、扫描、记录和会话重置。路由协议 OSPF、BGP 和 RIPv1/v2（动态路由协议非透传）支持策略路由、支持ISP 路由并内置多运营商路由表。 VPN 支持 开放 IPSec VPN 模块；性能100M；许可数1000 个；应用健康监测必须支持 HTTP GET、DNS 请求和 TCP 端口的方式探测被监控链路或被监控服务器的健康状态高可用性 支持 A-S 模式，A-A 模式；支持 802.3ad 链路聚合，透明、路由模式下支持将多条链路带宽进行捆绑NAT 技术要求必须支持 NAT full cone 模式，要求必须支持多对多的 NAT，且公网地址池可选择逐一使用和同时使用两种模式，为解决公网 IP 地址资源问题，要求必须支持 NAT 的端口扩展技术，突破传统单个公网地址 64512 个端口的瓶颈，而可以达到更大值。 （需截图）每个虚拟系统拥有独立的管理员，管理包括虚拟路由器、安全域、地址薄、服务薄，物理接口或逻辑接口，安全策略等 虚拟化支持自定义虚拟系统的资源，包括会话数、策略数、NAT 规则数的设定可按照应用分类进行流量监控并提供实时的图形化监控报表。支持主流即时通讯程序，必须包括：MSN、QQ、新浪 UC、Skype、淘宝旺旺、YY 语音、飞信、微信等应用进行识别和控制，并可对 QQ 的在线文件传输、离线文件传输、远程协助等应用进行识别和控制。 （需截图）支持主流网络游戏，必须包括：跑跑卡丁车、魔兽世界、穿越火线、泡泡堂、热血传奇、大话西游、迅雷网游加速器等应用流量进行识别和控制。 （需截图）支持主流 P2P 流媒体软件，必须包括：PPLive、PPS 网络电视、QQLive、迅雷看看、飞速土豆、iku 爱酷、奇艺影音等应用流量进行识别和控制。 （需截图）支持主流 P2P 下载软件，必须包括：纳米盘、iTunes、迅雷离线下载、BT、电驴、迅雷、QQ 旋风、RaySource 等应用流量进行识别和控制。（需截图）支持主流 Web 视频，必须包括：优酷、土豆、新浪视频、搜狐视频、芒果 TV、腾讯视频、中国网络电视台、网易视频等应用流量进行识别和控制（需截图）上网行为管理支持主流炒股软件，必须包括：大智慧、指南针、华安证券投资赢家、同花顺双子星、招商证券交易、海通证券交易等应用流量进行识别和控制。 （需截图）支持硬件 USB-key 的认证方式；支持基于手机短信的登录认证方式。支持 32 位和 64 位 Windows 2000/2003/XP/Vista/Windows 7 操作系统SSL VPN必须支持对登录 SSL VPN 的用户端系统进行端点安全检查。IPSec VPN 严格遵循 RFC 国际标准，必须支持的算法有DES、3DES、AES128、AES192、AES256，SHA-256、SHA-512 等。访问控制 支持按照应用、时间、用户帐号、IP 地址、服务端口、物理端口等方式对数据进行访问控制。必须支持同时保存 5 个以上的配置文件，并支持系统软件回滚，防止配置不当或系统故障造成的网络中断，充分保证系统的稳定性。 （需截图）支持监控设备系统资源的实时状况，必须包括 CPU、内存、接口带宽、日志容量、策略数、会话数等对象。支持 HTTP、HTTPS 方式进行设备管理、操作界面支持全中英文管理界面。监控所有触发安全策略的时间、严重程度、攻击名、源与目的地址、端口、通信协议信息管理及兼容功能 防火墙、运维审计、日志审计产品同一管理平台4、 综 合 日 志 审 计 系 统技术指标 技术要求品牌要求 产品获得公安部计算机信息系统安全产品销售许可证以及公安部 信息安全产品检测中心出具产品检验报告。 原厂商获得中国信息安全认证中心出具的应急处理一级证书 原厂商应具备国家信息安全测评信息安全服务资质证书（安全工程类二级） 原厂商同时具备 CISP 和 CISSP 培训资质原厂商同时具备 CISP 和 CISSP 培训资质原厂商具有湖北省网络与信息安全信息通报中心技术支持单位工作模式 独立完成审计日志采集，不依赖于设备或系统自身的日志系统；审计工作不影响被审计对象的性能、稳定性或日常管理流程；审计结果存储于独立存储空间；自身用户管理与设备或主机的管理、使用、权限无关联；提供全中文 WEB 管理界面，无需安装任意客户端软件或插件硬件规格 日志存储容量：本地存储空间2 亿条，可定制扩容，可接外部存储设备；磁盘可扩展至 32T，带 HBA 卡扩展网口；网口数量：6 个 1000M;规格：机架式; 处理性能 支持审计 100 个以上日志源； 平均处理能力（每秒日志解析能力 EPS）：2000EPS；峰值处理能力（每秒日志解析能力 EPS）：5000EPS。日志收集 支持目前主流的网络安全设备、交换设备、路由设备、操作系统、应用系统等；支持对收集到的重复的日志进行自动的聚合归并，减少日志量；支持可由用户定义和修改的日志的聚合归并逻辑规则;支持将收集到的日志转发，可以通过本系统的日志转发功能将日志转发到其他日志存储设备；支持对收集到的日志进行解析，解析规则可以定制扩展。日志查询 支持用任意关键字对所有事件进行高性能全文检索支持可指定多个查询条件进行组合查询支持将查询的条件存储为查询模版，方便再次使用极高的日志高查询性能1 亿条日志数据量查询结果集小于 1000 条时查询执行时间< 3 秒应用性能监控（APM）支持如下应用的性能监控（Windows、Linux、Aix、FeeBSD、HP-UX/Tru64、Max OS、Sun Solaris） 、数据库（mysql、oracle） 、应用服务器（weblogic、tomcat） 、web 服务器（apache） 。支持应用性能历史详情回溯查看支持如下性能监控参数支持监控 Windows 操作系统如下参数：cpu 使用率、内存使用率、磁盘使用率、网络发送流量、网络接收流量、网络发送接收总流量、交换区使用率、磁盘总使用率、进程数、线程数；支持监控 Linux 操作系统如下参数：一分钟系统负载、5 分钟系统负载、15 分钟系统负载、cpu 使用率、内存使用率、磁盘使用率、网络发送流量、网络接收流量、网络发送接收总流量、交换区使用率、磁盘总使用率、进程数、线程数支持监控 Mysql 如下参数：查询缓存命中率、键缓存命中率、立即获得锁数、连接数、线程数、每秒 SQL 查询数、每秒发送字节、每秒接收字节；关联分析 支持基于内存的实时关联分析；支持跨设备的多事件关联分析；内置的关联分析算法和规则可以发现 50 多种常见安全威胁。支持根据资产价值、资产漏洞、针对漏洞的威胁事件三者进行威胁的自动关联分析（三维关联） ，所有的三维关联算法和准则以CVE、Bugtraq、OWASP 公开协议和标准为为基础。地理安全系统内置 GeoSec 地理安全子系统，内置世界以及中国安全 GIS 地图；支持用地理地图展示来源、目的威胁的趋势；支持在地理地图上标注威胁事件的发生分布；内置 IP 地址到经纬度的转换库；支持以地理信息类进行统计的数据报表。告警功能 支持自动防止报警信息在短时间内大量发送(告警抑制)；具备报警合并和在一个时间段内抑制报警次数的能力。 管理及兼容功能防火墙、运维审计、日志审计产品同一管理平台5、 运 维 审 计 系 统技术指标 指标要求资质要求 产品需获得公安部计算机信息系统安全产品销售许可证，出具完整检验报告；产品需获得国家涉密产品资质证书；产品需通过国家运维审计产品安全技术要求标准测试，并获得中国信息安全认证中心 3C 资质；提供自主知识产权证明文件（软件著作权、软件产品登记） ；原厂商获得中国信息安全认证中心出具的应急处理一级证书原厂商应具备国家信息安全测评信息安全服务资质证书（安全工程类二级）原厂商为网络与信息安全信息通报中心技术支持单位品牌要求原厂商同时具备 CISP 和 CISSP 培训资质软硬一体化机架式设备，6 个以上 1000M 电口可用磁盘空间1T可用资产数100 个，最大可用资产可扩充，可扩充数量不限支持并发用户数：字符并发连接200 个，图形并发连接50 个规格性能管理口支持多端口聚合，避免单个网卡失效引起的设备不可用支持 B/S、C/S 方式的运维支持 C/S 方式的运维至少支持 SSH、Telnet、SFTP、FTP、RDP 协议支持丰富的浏览器、运维工具软件，最大限度保留了运维人员的使用习惯登陆 SSH、telnet、rdp 必须工具上要显示真实资产 IP；运维方式支持使用 MSTSC（远程桌面）管理 windows 服务器，可手动调节分辨率或全屏，可通过全局策略和局部主机策略控制开启磁盘打印机映射、剪贴板等 支持批量导入、导出运维用户、资产、资产密码等，导入信息可以在线选择哪些需要导入，可以选择覆盖和忽略已有信息且提供导入模板在线下载；用户与资产管理支持从 AD、LDAP 同步用户，无需手工添加支持一对一、一对多、多对多授权，如将单个资产授权多个用户，一个用户授予多个资产，用户组向账户组，用户组向资产组；运维授权支持自定义标签对资产、用户、账号进行分类，可以根据组快速授权； 自动授权支持自动收集设备 IP、运维协议、账号密码、与用户的权限关系 ，甚至可自动完成授权（需提供国家权威机构证明并加盖原厂公章） 。（公安部第三研究所或国家保密科技测评中心）认证管理 同时支持本地口令认证、Radius 认证、LDAP 认证、AD 认证、短信认证、usbkey、动态口令认证双人复核 对于重要的资产可要求支持双人复核，登录时必须经过第二人授权后才能登录，且其执行的命令都需要经过第二人授权才可执行； 访问控制支持对重要命令进行审核：运维人员执行命令后，须等到管理员审批通过后才可执行成功（需提供国家权威机构证明 并加盖原厂公章） 。（公安部第三研究所或国家保密科技测评中心）可对图形审计进行文字识别搜索，图形运维时至少支持记录键盘输入、文件夹标题、屏幕文字搜索和识别（需截图）行为审计支持 FTP/SFTP/远程桌面运维时的剪切板内容记录支持 SFTP/FTP 传输的原始文件记录（需截图）支持 ssh 协议下通过 SZ/RZ 方式进行文件传输的真实文件记录支持审计记录的真实回放，操作回放需在 WEB 管理界面独立完成；可以从目标资产范围、IP 地址范围等条件对审计员可以访问的审计会话进行权限控制，防止审计数据泄露； 日志查询支持全局搜索模式，管理员只需输入关键字即可在全部运维记录中查询出所有匹配的内容；（需截图）能提供综合分析报表，而无需客户一个一个报表导出，综合分析报表可以符合等级保护、SOX 法案的要求；（需截图）审计报表可以生成动态三维报表，报表统计数据可以钻取查看详细情况；（需截图）支持手动和自动备份日志，自动备份可按照协议和 IP 地址等生产不同周期性任务，通过 FTP/SFTP 备份；备份文件可通过专用播放器查看，无需重新导入到设备中。 （需截图）备份与维护可设置日志保留天数，空间满时自动覆盖最早日志；支持 HTTPS 方式管理，浏览器必须至少支持 IE10/IE9/IE8/ Firefox/Chrome 可在 web 界面监控磁盘状态、RAID 状态，并可以在 web 界面做磁盘监测、磁盘同步、cpu、内存、网络流量；（需截图）应单独提供系统管理报表，包括系统状态等信息 防火墙、运维审计、日志审计产品同一管理平台管理及兼容功能自带 ping、tcp 端口探测、路由追踪、抓包等排错工具；（需截图）6、 数 据 交 换 机技术指标 要求交换容量 交换容量590Gbps转发性能 转发性能165Mpps电源风扇 支持可插拔双电源支持风扇冗余配置端口及特性支持扩展插卡，支持万兆端口扩展，支持万兆电口扩展实际配置26 个千兆电口2 个复用千兆 Combo 口S5720EI 支持纵向虚拟化链路层与接口功能支持端口聚合，每个聚合组至少 8 个端口；支持跨设备链路聚合。二层功能支持 64K MAC 地址容量,提供官网链接证明支持 MAC 地址自动学习和老化支持静态、动态、黑洞 MAC 表项技术指标 要求支持 4K 个 VLAN支持 Guest VLAN、Voice VLAN支持基于 MAC/协议/IP 子网/策略/端口的 VLAN支持 RRPP 环型拓扑和 RRPP 多实例支持 SmartLink 树型拓朴和 SmartLink 多实例，提供主备链路的毫秒级保护三层功能支持静态路由、RIPv1/2、RIPng、OSPF、OSPFv3、IS-IS、IS-ISv6、BGP、BGP4+、ECMP、路由策略支持 ND（Neighbor Discovery）支持 PMTU支持 IPv6 Ping、IPv6 Tracert、IPv6 Telnet支持 6to4、ISATAP、手动配置 tunnel组播支持 IGMP v1/v2/v3 Snooping 和快速离开机制支持 VLAN 内组播转发和组播多 VLAN 复制支持捆绑端口的组播负载分担支持 IGMP v1/v2/v3、PIM-SM、PIM-DM、PIM-SSM支持 MSDP镜像功能支持多个物理端口的流量镜像到一个端口；支持流镜像；支持远程端口镜像（RSPAN） 。QoS支持对端口入方向、出方向进行速率限制支持报文重定向每端口支持 8 个队列支持 WRR、DRR、SP、WRRSP、DRR+ SP 队列调度算法支持 WRED支持 L2（Layer 2）L4（Layer 4）包过滤功能，支持 4:4 端口镜像安全功能支持黑洞 MAC 地址支持 MAC 地址学习数目限制支持 IEEE 802.1x 认证，支持单端口最大用户数限制支持 NAC 功能支持 SSH V2.0支持 HTTPS支持 CPU 保护功能支持黑名单和白名单可靠性 支持 G.8032 开放环或 SEP、REP 半环协议,可与其他厂商设备混合组网，要求倒换时间50ms