某大厦信息化系统集成项目招标要求.pdf

《某大厦信息化系统集成项目招标要求.pdf》由会员分享，可在线阅读，更多相关《某大厦信息化系统集成项目招标要求.pdf（23页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、某大厦信息化系统集成项目招标要求 一、资质要求 为保证天津市农业科学院农科大厦网络系统集成项目的工期及工程质量，对投标方提出如下资质要求：1、投标人成立须满三年，营业执照副本复印件加盖公章；2、法定代表人授权书须有法人代表签字或盖章；3、投标人须具备信息产业部颁发的运算机系统集成三级以上含三级资质证书。4、税务登记证 5、经会计师事务所审计的上年度财务报告 6、银行等有关部门出具的资信证明 7、依法缴纳税收的记录 8、依法缴纳社会保证资金的记录 9、近三年在经营活动中有无违法记录的说明 二、服务要求 1、质量保证期：项目验收后 36 个月内。2、在质量保证期间，提供原厂商免费修理所有系统部件服

2、务。3、中标方须注明质量保证期外的修理费，注明：网络防病毒软件及 IPS 数字疫苗等年更新费用不得高于中标价格。4、中标方须提供完整的系统诊断流程。5、中标方须提供所有必要的系统软、硬件测试、诊断工具。三、商务要求 天津市农业科学院农科大厦网络系统集成项目是天津市农业科学院信息化建设的重要组成部分。1、付款方式：按照政务采购中心要求的付款方式执行 2、供货时刻及项目集成完成时刻 从中标之日起至项目集成完成总时刻不超过30 天。3、其他要求 各个投标厂商、供应商或集成商所提供的方案必须包括组成天津市农业科学院农科大厦网络系统所需的全部产品、配件、附件、软件、服务以及系统集成方案，假如有遗漏将被视

3、为投标人免费赠送上述遗漏的产品、配件、附件、软件、服务及系统集成方案，采购人无需增加额外费用。农科大厦信息化系统集成项目技术需求书 一、网络现状（一）农科院信息所现有网络资源现状 1、互联网出口：光纤至天津科技骨干网；2、IP 地址：可用合法 IP 地址数 12 个；3、现有防火墙 DMZ 区内各种网络应用服务器 5 台，工控机 1 台，Dell 42U服务器机柜 1 套含 8 口 KVM。以上设备要求平滑迁移至农科大厦新网络中心，并保证各服务器及其应用服务正常运行。二天津市农业科学院农科大厦概况 农科大厦信息化系统集成项目涉及范畴为天津市农业科学院农科大厦18-24层，中心机房位于大厦的 1

4、9 层，农科大厦建筑面积约 900 平米/层。建设完成后的农科大厦网络互联网出口上联为天津科技骨干网，可用合法IP 地址数12个；各种应用服务器总数约 10台，农科大厦内接入互联网 PC数约100150台。二、技术要求 天津市农业科学院农科大厦信息系统集成项目要紧包括以下几个重要组成部分：农科大厦18-24层综合布线系统 网络中心机房的环境建设 农科大厦18-24层网络系统建设 系统集成服务 天津市农业科学院农科大厦信息系统集成项目总体建设目标是建设成为技术先进、安全可靠、治理功能完善、接入方式丰富、安全策略统一的多业务承载网络系统，因此在本系统建设过重中必须使用业界知名厂商的先进设备和应用技

5、术为整个农科大厦信息化系统提供完整的解决方案。中标供应商在施工验收合格后应当提供项目全部的集成实施方案，许多与 3份；在设备到货验收完成后中标方以及相关硬件厂商有义务按照用户要求对相关人员进行培训。（一）建设原那么 在进行系统设计和工程实施中必须遵循以下原那么：1.稳固性要求 建设完成的农科大厦网络系统必须具备高度的可靠性和稳固性。投标方所提供的各种设备均须采纳高可靠性设计，核心设备采纳冗余设计，其中的重要部件，操纵模块、电源模块等必须冗余配置，保证核心设备的可靠性，为减少整体系统中的故障节点。要求核心交换设备必须支持无线操纵器插卡，利用核心交换机的双引擎、双电源为无线网络提供冗余机制，并保证

6、整体网络能够实现有线无线一体化治理。2.安全性要求 农科大厦网络系统要求网络设计应满足相关安全性规范和标准，安全的数据交换和层次化的安全爱护措施；网络系统应支持多种安全操纵，在网络出口处通过两台以上设备实现基于异构的病毒防护功能，接入层交换机具备防 ARP 攻击功能，同时实现有线和无线网络与交换设备联动基于用户的终端准入操纵系统。3.扩展性要求 随着以后用户应用规模的不断扩大，网络能够方便地进行扩充容量以支持更多的用户和应用；随着网络技术的不断进展，网络必须能够平稳地过渡到新的技术和设备。充分考虑到以后几年网络升级的平稳衔接，保证网络通讯介质、网络设计核心的向后兼容性，所选择的网络设备必须具有

7、良好可扩展能力，依照网络临时需要能够对系统进行必要的调整、扩充。在网络全面升级的情形下，能够最大限度爱护现有投资。4.可治理性要求 网络易于安装、操作和爱护，配备有方便、灵活、有力的工具，不但能够治理新的农科大厦网络系统，还能有效地结合广域网系统进行集中式的有效治理和操纵。方便的监控、良好的治理界面、完备的系统记录，能使治理员在不改变系统运行的情形下对网络系统进行检测、修改及故障复原等治理爱护工作。5.统一性要求 为保证建设完成的农科大厦网络系统的兼容性及方便治理，所有网络设备除网络版杀毒软件外应为相同厂商的网络产品，具体见清单。（二）方案及功能要求 依据需求分析和设计原那么，农科大厦网络系统

8、初步设计方案如以下图所示请各投标单位设计自己的投标方案，以下图仅供参考 核心交换机杀毒FTP/Mail/+无线控制插卡POE交换机AP科技骨干网接入交换机防火墙防毒卡IPS/补丁服务器网管/终端准入/其它应用服务器隔离区WEB服务器DMZ区 2.1 出口安全防护 天津市农业科学院网络中心作为天津市科技骨干网要紧组成部分，有着多台服务器需要提供大量的公众服务，因此出口安全防护是天津市农业科学院农科大厦信息化系统建设的重点之一。考虑到近年来网络攻击频繁发生，各种攻击工具十分易于下载和操作，黑客发起攻击的难度下降，频度上升，在本次农科大厦信息化系统集成建设中，采纳多台安全设备进行复合的安全防护。第一

9、，在出口处，采纳专业 IPS 设备进行 4-7 层的攻击防护，抵御如蠕虫、木马、网络钓鱼、漏洞攻击等安全威逼。同时，要求该 IPS 必须内置国际知名厂商的杀毒引擎，能够对 、FTP、POP、SMTP 等协议中的附件进行文件型的病毒查杀。其次，在 IPS 设备之后放置防火墙进行农科大厦内网和外网之间的访问操纵，严禁外部用户对除了 DMZ 区域内的应用服务器外的农科大厦内部网络的访问，并在防火墙上提供 NAT 转换功能及 VPN 功能，提供农科大厦内网用户访问外网的通道。同时要求同时在防火墙上配置防病毒模块，同样对 、FTP、POP、SMTP 等协议中的附件进行文件型的病毒查杀。防火墙上的防病毒模

10、块应该采纳与 IPS 杀毒引擎不同的另一知名厂商的杀毒引擎，和 IPS 上的杀毒引擎形成异构的病毒查杀防护。2.2 无线网络系统设计 在农科大厦 18-24 层布设 20 个 AP，对所有办公区域进行覆盖，AP 点位依照楼层办公布局设计。为保证天津市农科院农科大厦网络系统整体的高可用性，在本次农科大厦的无线网络建设中，只同意 Fit AP瘦 AP方案的投标方案，同时要求无线操纵器必须是插卡形式。无线操纵器做为核心交换机的一个板卡，插在核心交换机上，通过核心交换机的双引擎和双电源来保证可用性。瘦 APFit AP解决方案能够提供更好的无线接入操纵功能及安全治理，无线瘦 AP 本身无任何配置，在接

11、入网络后，注册到无线操纵板卡上下载配置。要求实现不管无线 AP 在哪个三层子网下，无线用户都能够实现跨子网的漫游。要求无线 AP 能实现智能负载均衡，即在相邻的两个 AP 中，能依照目前各自的负载情形，将新接入的用户分配到负载少的无线 AP 上去。如相邻的两个 AP 中，一个 AP1 差不多接了 3 个用户，AP2接了 7 个用户。那么当一个新的用户显现在 AP1 和 AP2 信号都能覆盖的区域时，接收到的 AP2 的信号强度大于 AP1，现在能够通过无线操纵的和谐，AP2 拒绝和用户的连接，用户只能和 AP1 建立连接。同时，为保证农科大厦网络系统整体安全策略的统一性，终端准入操纵必须也能对

12、采纳无线接入的用户生效。2.3 局域网攻击防护 近年来各种病毒攻击盛行，其中专门以 ARP 攻击为最。ARP 病毒是利用了以太网协议的漏洞，通过在 ARP 报文中填写错误的网关 IP 地址和 MAC 地址的对应关系，通过 ARP 广播发送到其它用户的电脑上，使网络内的其它用户无法将数据报文发送到正确的网关上，导致网络内的应用全部中断。ARP 病毒的破坏性强 阻碍整个局域网、攻击后果严峻用户无法访问网络和应用服务器，甚至 ARP 中间人攻击能够窃取用户的用户名和密码。而 ARP 病毒又属于基于协议的应用攻击，即使在接入交换机上绑定 IP 和 MAC 地址，也仍旧无法抵御 ARP 病毒攻击。因此，

13、在本次农科大厦网络建设过程中除了要配备网络版杀毒软件外，要求投标方的网络方案设计中必须要选择更智能化的交换机设备，采纳如目前业界流行的 DHCP SNOOPING 和 ARP 检测来防备 ARP 攻击。2.4 终端准入操纵 网络中的安全问题往往来源与网络内部，那个在过去的系统爱护中得到了验证。网络中存在非法外部用户的接入问题，容易造成网络内部系统的安全隐患；网络中尽管部署了防病毒软件，然而用户往往不升级病毒库和系统安全补丁，以及大量 U 盘和移动储备设备的使用带来了大量病毒，使得部署的网络版杀毒软件和系统补丁服务器形同虚设；随着各种应用服务的增加，权限操纵要求和无线移动办公应用的增多，依照源

14、IP 进行访问权限的操纵方法也无法满目新的应用需求，依照用户名来分配访问权限和接入操纵成为了最有效的终端准入操纵方法。因此，需要通过终端准入操纵系统配合接入交换机来将用户的访问权限和用户名进行关联。在本次农科大厦网络建设中，投标方必须设计能够通过软件和接入交换机联动的智能终端准入操纵系统，同时要求必须实现以下功能。1用户通过有线或者无线接入网络时，用户电脑上的终端准入软件客户端需要用户输入密码，进行身份验证。2用户通过有线或者无线接入网络时，用户通过身份验证后，准入操纵客户端能检查用户电脑上的安全状态，包括杀毒软件版本、杀毒软件病毒库、操作系统补丁安装情形、黑白软件用户自定义安装情形的检查。如

15、用户的电脑上未安装杀毒软件、或者杀毒软件病毒库未升级到最新版本，那么操纵用户只能访问隔离区的病毒服务器和系统补丁服务器，只有升级完成后由用户电脑上的服务器再向终端准入服务器报告安全状态，现在再依照用户的访问权限下发访问列表到接入交换机上或者无线操纵板卡上。3在终端准入服务器上能够设置用户的流量阀值，当用户在使用网络的过程中，如用户流量超过设定的阀值，那么准入软件告警，治理员能够将用户下线。4终端准入软件必须能防止用户的双网卡外联如用户在接入网络的同时拨号上网，能防止用户通过代理使其它非法用户接入网络。（三）设备采购清单 1、中心机房环境建设部分设备采购清单 编号 名称 技术要求 单位 数量 1

16、 方型吊顶板 请参看四技术指标 2.1.1 中的要求 70 m2 2 防静电地板 请参看四技术指标 2.1.2 中的70 m2 要求 3 墙面工程 请参看四技术指标 2.1.3 中的要求 70 m2 4 市电配电柜(空开,漏保,插座,电力线缆等)请参看四技术指标 2.2 中的要求 1 套 5 UPS 不间断电源(续电电池)请参看四技术指标 2.2 中的要求 1 台 6 电源防雷器 请参看四技术指标 2.3.1 中的要求 1 套 7 接地系统 请参看四技术指标 2.3.2 中的要求 1 套 8 消防系统 请参看四技术指标 2.4 中的要求 1 套 9 服务器机柜 42U 服务器机柜国内知名品牌

17、1 套 2、农科大厦网络系统设备采购清单 编号 名称 技术要求 单位 数量 1 核心交换机 请参看四技术指标 3.2.1 中的要求 台 1 2 24 口二层接入交换机 请参看四技术指标 3.2.2.1 中的要求 台 7 3 24 口二层 POE 供电交换机 请参看四技术指标 3.2.2.2 中的要求 台 1 4 无线 AP 请参看四技术指标 3.2.3 中的要求 台 20 5 出口防火墙 请参看四技术指标 3.2.4.1 中的要求 台 1 6 出口 IPS 请参看四技术指标 3.2.4.3 中的要求 台 1 7 网络治理系统 请参看四技术指标 3.2.5 中的套 1 要求 8 终端准入操纵系统

18、 请参看四技术指标 3.2.6 中的要求 套 1 9 终端准入操纵系统客户端 与终端准入操纵系统配套的客户端 以上编号 1-9 的产品应为相同厂商的产品 套 许多于150 10 网络版杀毒软件 网络版杀毒软件，许多于 150 客户端 5 个服务器端含 3 年病毒库升级服务 套 1 3、数字 IP KVM 集中治理系统采购清单 编号 名称 技术要求 单位 数量 1 数字 IP KVM 集中治理系统 数字式(KVM over IP)切换器，单台支持多达1 个 IP 用户通道和 1个本地用户通道,8个服务器通道，内置 Modem，支持多平台 KVM 设备，支持远程电源治理整合，1U 高度，配置8 个

19、相应接口模块 套 1 4、服务器、机柜、PC 采购清单 编号 名称 技术要求 单位 数量 1 高可用性机架式服务器 标准 1U 服务器，含导轨，四核英特尔至强处理器 主频2.50GHz以上，4GB ECC全缓冲内存，2*146GB 以上 SAS 硬盘，DVD，热插拔冗余电源，正版Windows 2003 操作系统，3 年上门服务。台 2 2 高可用性机架式服务器 标准 2U 服务器，含导轨，四核英特尔至强处理器*2 主频2.50GHz以上，4GB ECC全缓冲内存，4*146GB 以上 SAS 硬盘，DVD，RAID5，热插拔冗余电源，正版 Windows 2003 操作系统，3年上门服务。台

20、 1 3 标准 42U 机柜 与服务器品牌相同42U服务器机柜 套 1 4 高性能 PC 工作站品牌机 英特尔酷睿2 E8000系列CPU 主频 2.66GHz 以上，2GB 以上DDR-2 内存，250G 以上 SATAII 高速硬盘，256MB 显存以上高性能独立显卡，DVD-RW，19 寸非宽屏或 20 寸以上宽屏液晶显示器，正版操作系统，3 年保修 台 8 （四）技术指标 1、网络综合布线范畴及技术指标 1.1 点位设置 农科大厦网络综合布线系统设计范畴为农科大厦18-24 层，设计数据信息接入点数 150 个；1.2 综合布线系统的技术指标 1)整个大厦的 18 至 24 层共计设置

21、信息点：150 个。2)中心机房位于 19 层，面积约 70m2 左右。3)整个布线系统要求采纳星型结构，各层线缆统一汇聚至19 层中心机房。4)水平布线采纳国际知名品牌六类布线系统。5)依照情形本系统信息出口分别选用墙面面板和弹起式地插。6)配线间内安装 6 类 24 口/48 口配线架进行治理。7)配线架上标签采纳颜色进行区分，水平数据信息点、网络设备引线。8)信息模块一律采纳 568B 标准端接。9)含终端及配线间所有六类成品跳线。品牌保持一致。2、农科大厦中心机房环境建设及技术指标 农科大厦的中心机房(设备间)是整个布线系统的中心，它的布放、选型及环境条件的考虑是否恰当都直截了当阻碍到

22、今后信息系统的正常运行及爱护和使用的灵活性。建设完成后的中心机房必须满足以下的环境条件：室内照明不低于150Lx。温度保持在1827 摄氏度之间。湿度保持在3050之间。通风良好，清洁。室内应提供UPS 电源配电盘以保证网络设备运行及爱护的供电。每个电源插座的容量要求不得低于3000W。设备间应安装符合法规要求的消防系统。耐火等级应符合现行国家标准高层民用建筑防火规范、建筑设计防火规范及运算站场地安全要求的规定。设备间的室内装修、空调设备系统和电气照明等安装应在装机前进行。设备间内的装修应满足工艺要求，经济适用。假设依照设备、环境要求需设活动地板时，活动地板应作防静电处理。本中心机房位于农科大

23、厦 19 层,总建设面积约 70M2，此机房建设要紧包括以下几个方面：装修工程 电气工程机房供配电、UPS 防雷接地爱护系统 消防系统工程 2.1 装修工程部分 2.1.1 天花吊顶工程 考虑运算机房的技术要求以及机房高度要求，本机房吊顶材质须选用铝合金喷塑面方型吊顶板，内贴防火棉纸，保温、吸热、防尘。顶棚内要求作净化处理，在所有吊顶内上层均刷防尘漆两遍。2.1.2 地面工程地板设计 在中心机房的地板工程设计及施工中，选用全钢抗静电活动地板，具体要求如下：尺寸：600*600*35mm 阻燃性：60REI 抗静电性：105-109 隔 音：大于 32DB 集中承担力 2000-7000N 地板

24、抬升高度 300mm 分散承担力 15000-35000N/m2 异形地板的使用：在敷设地板的同时，并设计泄静电铜网。2.1.3 墙面工程设计要求 墙面装修要求包括墙面处理、抹灰饰面及隔音屏蔽处理。墙面处理是指采纳在机房建筑物的墙面、柱面上进行防尘、防潮、防水、保温处理。使房屋内部平坦、光滑，清洁美观，增强保温、隔热、隔音、防尘等性能。2.2 电气工程机房供配电、UPS部分 2.2.1 市电部分 容量：提供 60KW 供电容量，设空开治理；进线要求：三相五线制；2.2.2 配电及 UPS 不间断电源 容量：要求容量不低于 20KV；延时一小时。进线要求：三相五线制；治理内容：服务器、PC 机、

25、网络设备、机房内应急照明电源、消防报警及其它必须使用不间断电源的设备；在配电柜总输入开关设有消防联动装置。当消防报警信号被确认后，可自动切断配电柜进线电源。配电柜空气开关应均选用国际知名品牌。配电柜预留假设干备用供电回路，以便增容和爱护使用。在配电柜总输入开关下端，安装进口三相四模块电源防雷装置，防止雷击产生瞬态浪涌电流对运算机设备产生的危害。在配电线路末端要求安装防浪涌插座，防止雷击产生的瞬态浪涌电流对运算机设备。UPS 输出，经 UPS 分配柜分配给运算机设备。重要设备保证每个设备都有独立的回路。一样的运算机设备每个回路配备2-3 插座。紧急断电装置：防止机房内由于电气线路遭到损害或火、水

26、、地震灾难等紧急情形，为了幸免机器设备和通信线路遭到更大的缺失，须在本机房的总配电柜上安装紧急断电装置，并在主机房值班室及出入门口处设紧急断电按键，如发生上述紧急状况时，可按动紧急断电按键，机房内电源即全部关闭，由 UPS 供电的应急照明灯除外，可供人员疏散。状况解除后可按动总配电柜复原按钮，复原供电。2.2.3 插座系统设计 中心机房须使用运算机专用插座，合理布置于活动地板下，每组均备有活动地板出线口，安全方便使用。2.3 防雷接地爱护系统部分 2.3.1 防雷系统 本项目防雷系统应满足 10/350us 波形。建筑物内部的运算机机房用电器可承担 10/350us 75kA 的雷电流的冲击I

27、EC1312 的标准。防雷系统设计须满足如下相关标准：GB2887-89运算机场地安全要求 GB50174-93电子运算机房设计规范 GB50057-94建筑物防雷设计规范 GB50054-95低压配电设计规范 GA173-1998运算机信息系统防雷保安器 IE1312-11995雷电电磁脉冲的防护通那么 ITU.TS.K201990电信交换设备耐过电压和过电流能力 ITU.TS.K211998用户终端耐过电压和过电流能力 2.3.1.1 电源防雷 电源防雷包括配电柜内安装避雷器，以及在重要设备的电源端子增加避雷插座。如此与建筑物整体构成多级电源防雷，可有效的对电源系统进行防护。依照分析概述及

28、设计依据对防雷系统的要求，结合大楼的具体实际情形设计方案，由于雷电侵害，通信系统、运算机系统等经常遭受打击，轻者接口损坏，通信中断或数据误、错码，重者使系统瘫痪，严峻阻碍工作的顺利进行。因此，雷电已成为电子信息时代的一大公害，雷电防护已成为电子设备急需解决的问题。雷击邻近的建筑物、避雷针塔或雷击远处的电源通信线路，都会在设备或接口处产生极高的感应电压，对设备造成威逼，据统计，感应雷、传导雷对电子设备的损坏已占雷击损坏的 80%以上。现代防雷强调在作好直击雷防护的前提下，更应采取均压等电位连接，屏蔽，联合接地，箝位爱护等新技术，分区分级做好周密仪器、运算机网络系统等敏锐电子设备的雷电电磁脉冲的防

29、护。2.3.1.2 电源防雷 在网络机房电源输入柜内，安装一套三相电源防雷器，做为电源系统的防雷爱护。2.3.2 接地系统设计要求 依照运算机系统的要求，应提供运算机专用直流工作地，其接地电阻1。机房的静电电压=2 个千兆 SFP 接口 VLAN 特性 VLAN 支持数量=4K MAC 地址表=8K 堆叠特性 堆叠数量=16；链路聚合 最大支持 8 个 FE 口 安全特性*支持 DHCP SNOOPING，支持 ARP 入侵检测功能，支持 ARP限速 带宽操纵 支持带宽操纵，操纵粒度=2 个千兆SFP 接口 VLAN 特性 VLAN 支持数量=4K MAC 地址表=8K 堆叠特性 堆叠数量=1

30、6；链路聚合 最大支持 8 个 FE 口 安全特性*支持 DHCP SNOOPING，支持 ARP 入侵检测功能，支持 ARP限速 带宽操纵 支持带宽操纵，操纵粒度=64Kbps 生成树协议 支持 IEEE 802.1dSTP，支持 IEEE802.1wRSTP，支持 IEEE802.1sMSTP VCT*支持 VCTVirtual Cable Test电缆检测功能，便于快速定位网络故障点 设备治理 SNMP V1/V2/V3；支持 SSH V2；支持中文图形化治理。3.2.3 无线 AP 接入设备技术指标 指标项 指标要求 传输速率 支持最高速率为 54Mbps 支持内置信道数：802.11

31、b/g：(中国)13 个信道 产品定位*室内型 Fit AP 天线覆盖范畴 自带天线支持以下室内覆盖范畴：802.11b 大于 125M；802.11g 大于 95M SSID*支持虚拟 AP，单个 AP 可支持不小于 16 个可广播 SSID。虚拟专用组*支持虚拟专用组，通过相同 SSID 的子网或 VLAN 单独实施加密和隔离。认证 支持 802.1x 认证。加密 支持 WEP，Dynamic WEP，TKIP，CCMP，AES 等数据加密技术 支持 PSK，PSKMAC authentication，802.1x11Key handshake，WPA 等密钥技术。射频扫描 支持射频扫描，

32、能发觉非法接入点、Ad-Hoc 用户或其它射频干扰，并上报相应的告警。CAPWAP 支持 CAPWAP 标准 配置治理*支持零配置。无需预备预设置，从无线局域网交换机或操纵器猎取配置信息 射频调整*支持自动设置发射功率和分配射频信道 功耗 支持低功耗，单个 AP 功耗小于 8W 供电方式 支持本地供电和 PoE 供电 3.2.4 网络安全设备技术指标 3.2.4.1 出口防病毒防火墙 技术指标 参数要求 硬件架构*防火墙必须采纳先进的硬件架构，非工控机和 X86架构。操作系统 有专业的安全操作系统，系统具有特性可扩展能力 产品性能*最大并发连接数50 万 每秒新建连接数3000 整机吞吐量20

33、0M 可靠性要求 支持 VRRP、基于状态的热备份 接口数量*标配7 个 100M 以太网端口 防病毒模块*需要配置防病毒模块，并支持三年的病毒库升级 差不多功能*支持 FTP、SMTP、RTSP、H323 协议簇的状态报文过滤，支持时刻段安全策略设置。支持虚拟防火墙技术 支持 P2P 限流功能 支持 L3 Monitor，多出口情形下，能够依照远端路由状况非本地链路状态切换路由 支持免客户端 VPN，如 SSL VPN。VPN 支持：IPSec VPN、L2TP VPN、GRE VPN 支持 Syslog、NAT 转换、攻击防范、黑名单、地址绑定等日志 支持流量监控日志，支持二进制格式日志、

34、支持用户行为流日志 支持多种应用协议，如 FTP、H323、RAS、HWCC、SIP、ICMP、DNS、PPTP、NBT 的 NAT ALG 功能，支持策略NAT ALG 功能，支持策略 NAT 功能 支持静态路由、RIP v1/2、OSPF、BGP、策略路由等 支持应用层过滤，必须支持 Java Blocking、ActiveX 过滤，支持 FTP 协议深度检测，支持 FTP 命令字过滤，支持 URL 过滤，网页过滤，SMTP 内容过滤 能够防范 DOS/DDOS 攻击，ICMP Flood、UDP Flood、ARP 欺诈、ARP 主动反向查询、TCP 报文标志位不合法、超大 ICMP 报

35、文、地址扫描的防范、端口扫描的防范 部署模式 支持路由模式、透亮模式和混合模式 配套治理 必须支持网管软件统一网管，支持 SNMPv1、SNMPv2C、SNMPv3，能够与网络、交换设备统一治理。支持CONSOLE、TELNET、SSH V1.5 治理方式，支持 NTP时刻同步 资质证明 具有中华人民共和国公安部的运算机信息系统安全专用产品销售许可证和国家信息安全认证产品型号认证证书，能提供有效证书的复印件。在本地有售后服务人员，提供相关证明。具有广泛的用户群体，能提供相关客户列表，能提供快速本地化现场技术支持。能提供 724 小时技术服务支持。3.2.4.2 IPS 主动防备系统 技术指标

36、参数要求 产品结构*机架式独立 IPS 硬件设备，系统硬件为全内置封闭式结构，稳固可靠，加电即可运行，启动过程无须人工干预。网络接口*10/100/1000 电口4 个 产品性能 最大并发连接数50 万 每秒新建连接数8000 开启安全策略后吞吐量200Mbps 数据处理延迟1ms 可靠性要求 支持智能的自修复和免疫功能，当产品显现故障或电源掉电时能自动切换成通路，确保网络不断线。支持双机热备，支持主备与负载分担模式。数字疫苗 需要配置数字疫苗功能，并含三年升级费用 功能要求*攻击特点库数量3000+病毒特点库数量6500+能够识别各种主流 P2P 应用，包括 KaZaA、eDonkey、Gn

37、utella、BitTorrent、WinMx、Direct Connect、OverNet 等 40 多种 P2P应用。能够识别 MSN、QQ、ICQ、Yahoo Messenger、Skype 等即时通讯软件。并对即时通讯、P2P 下载、P2P 在线视频等应用的限流和阻断，能提供支持的范畴列表。在不阻碍合法流量正常通信的前提下，支持对网络病毒、蠕虫、间谍软件、DdoS、木马后门等恶意流量的即时阻断。P2P 下载支持基于时刻、方向、单一 IP 限流 采纳全面深入的分析检测技术，结合模式匹配、协议专门检测、事件关联等多种技术，能识别运行在非标准端口上的协议，准确检测入侵行为，能提供支持的网络协

38、议列表。支持对病毒感染主机或黑客主机的网络隔离或访问复位向，提供流量抓包追踪。支持 URL 过滤；URL 过滤能够基于时刻、主机，能够精细到单一 IP 地址 具备访问操纵 ACL 功能，支持白名单和黑名单。支持策略自定制能力。支持应用重组，能够对 、SMTP、POP3、TELNET、FTP 等应用进行重组。IPS 支持对设备本身电源的监控 IPS 支持对不同的 VLAN 运用不同的检测策略 支持流量整形和流量监管。支持细粒度的规那么设置，为不同规那么设置不同响应方式，包括告警、阻断、隔离等。支持和网络无缝融合，能够识别 VLAN、MPLS、QinQ、GRE 等网络协议。高度专业化的硬件式入侵检

39、测防备平台，要紧功能包括 IP 碎片重组、TCP 流重组、攻击行为统计分析、防 IDS/IPS 逃逸技术、用户访问操纵治理、网络流量带宽治理、恶意封包阻挡、流量状态追踪和超过 800 种以上的应用层网络通讯协议分析。部署模式 支持串入网络的 IPS 模式、利用端口镜像猎取数据的 IDS 模式。出厂时就必须缺省配置，对路由协议透亮，即插即用。治理方式 支持 B/S 模式的治理，界面友好，支持基于 Web 的图形用户界面GUI，能够以简单、直观的方式显示信息，简化配置、运作和攻击的识别和分析，并有详尽的技术文档。支持分布式和一站式治理。支持 CLI：操纵台，Telnet，SSH；支持面板 LCD

40、操纵，能够直观在面板上查询和设置设备运行状态，可支持 SNMP MIB 及MIBII，能与网管软件集成集中进行监控和报告。日志功能 能够按照用户需求生成各种风格的统计报表，并可导出为 HTML等标准格式文档。支持本地磁盘、syslog 服务器、远端服务器等多种日志告警储存方式 支持提供实时和历史报告，该报告能够使网络操作员、安全治理员和用户能够通过详细信息检测攻击、制定策略并抵御攻击，支持用户自定义报表模版，支持将报告统计数据输出为文本文件，供后端定制或后续查看。支持实时的日志归并功能，能够依照用户需要，对告警日志执行任意粒度的归并，有效幸免告警风暴。资质证明 具有中华人民共和国公安部的运算机

41、信息系统安全专用产品销售许可证，提供有效证书的复印件。具有国家信息安全评测中心认证。提供有效证书的复印件。具有广泛的用户群体，能提供相关客户列表，能提供快速本地化现场技术支持。能提供 724 小时技术服务支持。其它 厂家必须在当地设有备件库 3.2.5 网管系统技术指标 技术指标 参数要求 网管性能 要求资源拓扑、告警、性能等功能组件支持多服务器负载分担部署，保证各网管组件性能 支持设备与用户统一治理*支持网络治理平台实现设备治理与用户治理联动，如通过点击拓扑楼层接入交换机查看该楼层所有接入用户帐户信息。支持设备与流量分析统一治理 支持网络治理平台实现设备治理与流量分析联动，如通过点击拓扑某链

42、路可查看该链路的关键应用流量分布、关键用户流量使用等。拓扑融合用户信息*在拓扑的接入节点上查询在线用户列表、强制下线所有用户、下发消息、总在线用户数统计、不安全用户数统计等；支持基于任务的性能监控 可定制监控任务，长期监控网络性能，能够形成日报、月报等报表。支持定制性能阈值 能够为监控的性能指标设置两级阈值，当性能指标超过阈值时依照不同的阈值发送不同级别的告警。提供直观的设备的面板视图 支持设备面板的显示、定时刷新、面板缩放功能，通过面板治理，网络治理人员能够直观地看到设备、板卡、端口的工作状态。LDAP 统一认证 能够通过 LDAP 协议与第三方邮件或 Proxy 系统进行统一认证，幸免用户

43、经历多个用户名和密码。Windows域统一认证 支持接入认证和 Windows 域认证统一，实现网络登录与域登录的一次性认证。MAC 地址修改限制 支持 MAC 地址修改限制功能，探测终端用户是否修改过 MAC 地址，并限制网络接入。客户端提示信息 治理员能够向在线用户公布通知消息。能够单个用户下发，也能够批量下发。24 小时用户在线趋势图*以安全用户、不安全用户、未知用户在线趋势的形式展现 实时用户在线统计图*以饼图形式，分为安全用户、不安全用户、未知用户进行展现 24 小时安全趋势图*分为系统补丁、病毒、黑白软件、其它等，给出24 小时范畴内的用户数趋势 当日安全统计图*分为系统补丁、病毒

44、、黑白软件、其它等进行统计 3.2.6 终端准入操纵系统指标要求 技术指标 参数要求 防病毒联动*支持同国内外主流的防病毒厂家联动，可通过客户端检查上报并将结果上报到服务器，检查内容包括用户是否安装杀毒软件、杀毒软件版本、病毒库版本 与网络设备联动*支持与同品牌的网络设备进行联动，对非法用户进行端口阻断等操作。OS补丁检测*检查用户是否安装最新的系统补丁、如未安装，下发访问列表到接入交换机、禁止用户访问除隔离区意外的服务和用户 支持防 ARP 攻击*支持检测 ARP 攻击源，并自动下线该用户；支持包括主机关键网关MAC绑定，保住主机不受ARP攻击。黑白软件检查*支持用户自定义黑白软件、客户端检

45、查用户电脑上的注册表和进程，如安装非法软件能够将用户下线 动态授权*依照用户名下发访问列表到接入交换机和无线操纵器，将用户名和访问权限绑定。提醒和监控模式 提供提醒和监控，是指不安全客户端接入网络也被承诺接入，如一些用户的机器即使不安全，也能够接入网络，增加了灵活性；安全分级治理 支持每一安全检查项的级别设置 国家安全认证证书*公安部软件安全认证 中国软件测评中心安全认证 身份认证功能 支持 接入方式*支持 802.1x/Portal/VPN/无线多种接入方式 在线用户安全检查 可检查在线用户的分区数量，分区大小，分区类型，是否隐藏分区 可检查在线用户的共享名，共享名目 可检查在线用户的屏幕爱护是否设置密码，屏幕爱护启动时刻等 非法外联操纵 双网卡监控，如用户在上网的同时采纳拨号，那么自动告警并将用户下网。防 IE 代理