配置内存卡修复工具

采购需求北京市西城经济科学大学是由西城区政府主办的独立设置成人高等学校.
学校是以专科学历继续教育为基础,以非学历继续教育培训为重点,以社区教育为特色的新型地区性成人高等学校.
同时学校还承担着西城区学习型城区研究中心、西城区市民终身学习成果认证中心的职责.

一、建设目标通过梳理频发的信息安全问题并结合相关政策规定,我校将在现有校园网络基础上,开展信息安全加固建设.
优化现有网络结构,通过部署相应软硬件设施搭建完备的网络安全体系,使核心信息系统具备开展等级保护二级测评网络环境.

二、项目需求优化调整现有网络结构,对在网运行的信息系统,根据功能业务划分以及二级等保要求,调整网络结构,确保系统安全.

实现关键设备冗余配置,提高网络运行可靠性.
新增的冗余核心交换机与现用设备在功能、性能和管理配置上完全一致.

加强域间访问控制,采用全面应对应用层威胁的高性能防火墙替代老旧防火墙.

实现网络集中管理,做到网络异常早发现、早预防.
故障定位迅速准确,降低我校主营业务中断风险.

针对成人高校开放教学环境的特点,强化网络准入控制(尤其是无线网络准入控制),建立完善的安全审计管理体系,做到"事前可控,事后可查".

实现远程登录数据加密,同时尽量减少用户的使用复杂度,不改变原有操作习惯.

针对我校信息系统遭受网络攻击与篡改、邮件系统频繁收到垃圾邮件、大量系统需要第三方远程运维等现状,结合二级网络安全等保要求,建立完善的网络安全防护体系,强化各类安全攻击的防御,实现日志分析、运维安全、数据安全.

补充必要的交换机以满足各类设备的接入,关键交换机要实现冗余配置.

完善网络机柜及其配件,现有网络机柜已不能承载项目建设所涉及的各类设备,需更新现有3个老旧网络机柜,并新购网络机柜1个.
使用标准服务器机柜,并配备相应机柜托盘、PDU插座、KVM控制台.
确保设备安放与供电安全,服务器操控管理便捷,满足此次项目相关设备的安装,并符合二级等保安全规范.

服务器的部署:新购及更新的14台服务器,其中2台高配置服务器用于在线教育综合平台节点服务器与数据服务器,其余12台服务器参照主流基本配置采购.
新购及更新后的服务器与本项目建设的安全防护设施对接,纳入到校园安全建设体系中,实现运行监控、安全审计、病毒查杀、网页防篡改等统一防护.

三、设备清单序号设备名称数量1SSLVPN网关(核心设备)1台2防火墙-1(核心设备)2台3防火墙-22台4网页防篡改软件2套5防垃圾邮件网关1台6网络安全审计系统1台7网络准入控制系统1台8网络入侵检测系统1台9堡垒主机1台10抗拒绝服务系统2台11IT运维平台软件1套12备份软件1套13安全管理中心软件1套14交换机-11台15交换机-26台16交换机-33台17交换机-43台18服务器-14台19服务器-25台20服务器-31台21服务器-41台22服务器-53台23单模光模块10个24多模光模块40个25光纤跳线30对26机柜4个27PDU16个28KVM4台四、技术参数说明:""标识项为关键指标项,不满足将导致投标无效;SSLVPN网关(1台)序号技术参数要求国产品牌产品.
配置≥4个千兆电口、≥4个千兆光口,网络层吞吐量≥500Mbps,并发会话数≥60万;支持SSLVPN并发用户≥1000个;SSL最大加密流量≥200Mbps;配置≥100个SSL用户并发.
原厂3年硬件维保及规则库升级服务.
支持PC终端使用包括Windows系列、MacOS、Linux等主流操作系统来登录SSLVPN系统,并完整支持该操作系统下的各种IP层以上的B/S和C/S应用.

支持终端使用浏览器,登录后可支持各种IP层以上的B/S和C/S应用.
具有虚拟门户功能,在一台设备上配置不同的访问域名、IP地址,以及不同的使用界面,实现一台设备为多个不同用户群体服务的的使用效果.

产品应提供环境检测、自动修复工具,具有对Windows的环境兼容性一键检测能力,以及对检测结果进行一键修复的能力,避免由于用户操作系统环境存在问题影响SSLVPN的使用,减轻运维工作.
产品必须具有防中间人攻击,产品可在用户登录SSLVPN时智能判断存在中间人攻击行为,断开被攻击的连接,并可提示异常现象.

具有主从认证账号绑定,必须实现SSLVPN账号与应用系统账号的唯一绑定,VPN资源中的系统只能以指定账号登陆,加强身份认证,防止登录SSLVPN后冒名登录应用系统.
产品必须具有LocalDB、USBKEY、短信认证、硬件特征码、动态令牌、数字证书认证、LDAP、RADIUS等认证方式;可针对用户/用户组设置认证方式的与、或组合,可进行用户名/密码、LDAP、USBKEY、硬件特征码、短信认证或动态令牌的五因素捆绑认证.
具有启用多线路时,自动检测故障线路,并自动踢出故障线路;一旦线路恢复,可在一定时间内自动恢复.
具有启用多线路时,自定义用户访问选路策略,包括按上/下行带宽,轮询,按优先级等方式.

具有利用网页进行动态寻址的方法,客户端无需安装插件、不依靠IP地址库、不依赖于第三方动态IP寻址、直接根据速度探测实现用户端接入线路的自动优选,用户通过访问寻址代理页面(简称Webagent页面),通过Webagent页面自动寻找VPN设备IP(非DDNS).

具有基于自组域简化部署VPN网络的方法.
具有针对不同的web页面进行数据优化,具有动态压缩技术,基于数据流进行压缩,减少不必要的数据传输.

产品必须在Windows和MAC操作系统下具有远程应用发布功能.
防火墙-1(2台)序号技术参数要求国产品牌产品.
≥4个千兆电口,≥4个千兆光口,≥1个串口(RJ45),≥1T存储空间;三层吞吐量≥8Gbps,应用层吞吐量≥2Gbps;并发连接数≥200W;IPSecVPN接入隧道数≥1000,IPSecVPN加密速度≥250Mbps;设备应实际配置防火墙、IPSecVPN、入侵防护(IPS)、WAF等功能模块;原厂3年硬件维保及规则库升级服务.

扩展性好,设备功能具有防病毒、僵尸网络发现、SSLVPN等功能模块.
具有多链路出站负载,支持基于源/目的IP、源/目的端口、协议、应用类型以及国家地域来进行选路的策略路由选路功能.

访问控制规则具有数据模拟匹配,输入源目的IP、端口、协议五元组信息,模拟策略匹配方式,给出最可能的匹配结果.

具有根据国家/地区来进行地域访问控制.
设备具备独立的入侵防护漏洞规则特征库,特征总数在7000条以上.
设备可提供最新的威胁情报信息,能够对新爆发的流行高危漏洞进行预警和自动检测,发现问题后具有生成防护规则.

具有针对网站的漏洞扫描攻击进行防护,能够拦截漏洞扫描设备或软件对网站漏洞的扫描探测.

具有Web漏洞扫描功能,可扫描检测网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞.

具有对网站黑链进行检测.
具有Windows和Linux系统下网页防篡改功能.
设备具备独立的僵尸网络识别库,特征总数在40万条以上.
提供由中国信息安全认证中心按国家标准认证颁发的有效认证证书.
复印件加盖投标人公章防火墙-2(2台)序号技术参数要求国产品牌产品.
≥1个RJ45串口,≥1个RJ45管理口,配置≥6个千兆电口(具有Bypass)、≥8个千兆SFP插槽(配置≥2个千兆单模模块,≥6个千兆多模模块);配置冗余电源;网络吞吐量≥8G、应用层吞吐量≥4G;最大会并发话数≥400万;设备实际配置防火墙模块、入侵防护模块(IPS)、IPSECVPN、应用识别等模块;原厂3年硬件质保及软件升级服务.
扩展性好;整机具有≥1个扩展槽位,最大可扩展到14个千兆网络接口(可以是千兆电口、千兆光口);设备功能具有网络防病毒、SSLVPN、WAF等功能模块.
能够在一条策略里配置源/目的IP地址、安全区、应用/应用组、协议/端口、时间、用户、安全模板/模板组.

设备应具有高效的网络数据流安全处理方法,以在策略匹配时具有较高的匹配效率.

具有对≥1500种应用平台及≥2200种的应用进行识别和控制,至少具有5大类,比如:商业系统、协作应用、一般网络应用、媒体等及28子类,比如:认证服务、数据库、ERP-CRM、软件更新、电子邮件、VOIP视频、游戏等;具有自定义应用.

具有应用过滤器,至少具有4个维度进行过滤,比如:应用类别、实现技术、风险等级、标签.

具有将通过应用过滤器筛选出来的应用直接生成模板供用户统一管理使用.

具备高效的网络异常流量分析方法,具有≥4400种入侵规则过滤,能够快速对网络异常流量进行检测分析.

能够展示检测结果,包含检测的文件总数、恶意文件数、高威胁数、中威胁数、低威胁数以及未发现威胁文件数.

设备支持本次项目招标的安全管理中心的集中策略管理、集中日志管理及分析以及拓扑发现.

提供由中国信息安全认证中心按国家标准认证颁发的有效认证证书.
复印件加盖投标人公章网页防篡改软件(2套)序号技术参数要求国产品牌产品.
原厂3年软件升级服务及规则库升级服务.
支持Windows、Linux等操作系统;支持IIS、Weblogic、Websphere、Apache、Tomcat等WEB服务器;支持MSSQL,Oracle、Sybase、Informix、DB2、MySQL等数据库.

具有根据操作类型进行文件防护,有篡改行为发生时即刻阻断,篡改行为无法执行.

具有利用WEBShell等进行的非法上传防护、SQL注入攻击防护、跨站攻击防护等.
兼容不同的网站发布系统,包括各种FTP、CMS等;提供手工发布方式;提供信任进程发布方式;提供自动发布方式;全量及增量发布.

系统须能够对遭受的网页篡改攻击按照攻击次数、防护的网站、遭受攻击的网页、攻击类型、攻击时间(或者发现攻击的时间)等进行统计并排名.

告警类型包括:试图进行网页篡改的各种攻击行为;对可视内容的非法增加、删除、修改的行为;对关键资源的访问行为;非法上传文件等行为.

提供进程、注册表、文件及服务的自我保护.
提供由中国信息安全认证中心按国家标准认证颁发的有效认证证书.
复印件加盖投标人公章防垃圾邮件网关(1台)序号技术参数要求国产品牌产品≥1个RJ45串口,≥1个千兆管理口,≥6个千兆电口,≥2TSATA存储空间;具有≥500用户(邮箱)数;配置垃圾邮件过滤模块、防病毒模块;原厂3年硬件质保及软件升级服务.

具有邮件归档功能.
对正常邮件的误过滤率:低于百万分之一;对垃圾邮件的过滤率:98%以上;系统稳定性、可靠性:99.
99%.

细粒度的反垃圾邮件/防病毒的策略管理,级别可以分不同域、具体某个用户进行个性化设置;对进出的邮件按照防病毒引擎进行病毒邮件过滤,防止病毒通过邮件传播.

内容过滤引擎具有管理员自己添加过滤规则,包括按照收件人、发件人、邮件主题、十分钟内收到的主题相同的邮件数量和邮件正文进行过滤规则的设置.
普通用户不允许自己添加规则,避免网关稳定性出现问题和降低处理效率.

具有以TLS传输加密方式收发邮件,具有强制TLS发信域与强制TLS收信域功能.

在网关认证发信服务器的前提下,网关根据反账号盗用模块的配置,针对本域内用户被盗用对邮件系统、邮件网关的攻击进行有效的防御.

要能抵御垃圾邮件对邮件系统的攻击,针对应用层邮件系统的安全,对"字典算法"、"目录攻击"、"多线程攻击"、"DOS攻击"等针对邮件服务器的攻击能有效的防御.

具有各种邮件处理的TOP10实时统计分析功能,包括:发件人统计、发件人IP统计、收件人统计、主题统计等.

应具带有入侵检测技术的专用抗攻击模块,对外来攻击有AutoBlock智能识别并自动阻断攻击IP的功能,无需人工干预.

提供由中国信息安全认证中心按国家标准认证颁发的有效认证证书.
复印件加盖投标人公章网络安全审计系统(1台)序号技术参数要求国产品牌产品.
≥1个RJ45串口,≥6个千兆电口,≥1个千兆管理口,≥1个接口扩展槽位.
应用层检测分析能力≥3Gbps.
配置冗余电源;实际配置网络审计和数据库审计功能模块;配置3路监听授权,可实现学校多个业务区域流量分析和应用分析.
原厂3年硬件质保及软件升级服务.

扩展性好,整机具有≥1个扩展槽位,最大可扩展到14个千兆网络接口(可以是千兆电口、千兆光口).

具有审计ORACLE、SQLServer、MYSQL、DB2、Sybase、Informix、Postgresql等各类主流数据库系统.
具有文件传输审计:支持HTTP、FTP协议,支持基于用户/用户组、时间、关键字等多种组合审计策略,用户可自定义下载文件类型,对文件上传、下载类型进行审计,可记录日志包括源IP地址、目的IP地址、时间、传输文件名等.

支持基于域名、关键字正则表达式等多种组合的主动内容审计策略,可扫描指定网站,分析网页页面是否含有非法敏感信息.

通过对互联网资源(域名、IP地址、URL等)进行威胁分析和信誉评级,将含有恶意代码的网站列入Web信誉库,达到识别含有恶意代码的高风险网站,实现对终端用户的安全评估和保护.

具有IPV6网络协议的审计.
具有无线热点发现功能,能够实时、自动发现办公网络内的无线热点,记录无线热点访问网络时所使用的IP地址、认证用户等信息.

具有用户识别功能,可将用户各种身份信息与其终端IP地址进行智能关联形成用户身份信息库,从而提高事件定位的精确度,在审计日志中显示终端用户身份信息.

设备支持本次项目招标的安全管理中心的集中策略管理、集中日志管理及分析以及拓扑发现.

提供由中国信息安全认证中心按国家标准认证颁发的有效认证证书.
复印件加盖投标人公章网络准入控制系统(1台)序号技术参数要求国产品牌产品.
≥6个千兆电口,≥1个串口,具有硬件扩展,可扩展≥4个千兆光口,并发连接数≥100万,最大用户数≥2000个;最大无故障运行时间不低于60000小时.
原厂3年硬件质保及升级服务.

具有根据IP、使用人、部门、注册情况、开关机情况等多种组合查询已注册的终端.

具有https加密流量的重定向功能.
具有认证超时机制,超时帐户强制自动登出,要求超时时间可以自行配置.
必须具有帐户超期统一登出机制,登出时间可根据需要自行设置.

具有终端软件资产统计和查询,统计内容应至少包含操作系统版本、操作系统补丁安装情况、IE版本、主机名称、网卡MAC信息以及设备内安装的应用软件使用情况.

要求具有安检规范定义配置功能,可根据角色属性定制不同的安检规范,安检规范应至少包含杀毒软件安装情况检查、补丁漏洞检查、系统共享资源检查、IE主页修改项检查、guest来宾帐户启用情况检查、远程桌面启用情况检查、系统启动项进程检查等.

具有对路由、无线、AP、HUB等环境下的终端实施准入控制,具有对IPHONE、IPAD等非windows操作系统的终端实施准入控制.

具有外来终端或者访客自助申请上网码,只需要提供管理员要求提供的入网申请资料,便可申请上网码,要求管理员可自定义入网申请内容.

具有设置访客入网的截止时间,时间截止后自动阻断访客接入网络.
具有对系统本身业务接口的连接状态以及接口速率进行监控,具有对系统本身的CPU以及内存使用率提供仪表盘式图形化实时监控数据,具有数据自动刷新.

网络入侵检测系统(1台)序号技术参数要求国产品牌产品.
≥1个RJ45串口,≥2个千兆管理口;本次配置≥8个千兆电口(支持4路bypass);≥1T存储空间;配置冗余电源;网络层吞吐≥12G;应用层检测能力≥3Gbps;最大并发TCP会话数≥300万;原厂3年硬件维保及规则库升级服务.

可扩展性好,整机具有≥4个扩展槽位,最大可扩展到32个千兆网络接口(可以是千兆电口、千兆光口).
具有≥32个业务区域流量监听.

系统应提供覆盖广泛的攻击特征库,可针对网络病毒、蠕虫、间谍软件、木马后门、扫描探测、暴力破解等恶意流量进行检测和阻断,攻击特征库数量≥8000种.

具有IPv6/IPv4双协议栈下的入侵攻击检测.
系统须具有IPv6/IPv4双协议栈功能,能同时辨识IPv4和IPv6通讯流量.
具有IPv6环境下攻击检测技术和基于IPv6地址格式的安全控制策略,为IPv6环境提供入侵防护.

系统携带的攻击特征库须获得CVE-Compatible兼容性认证.
系统应提供关键文件保护功能,能够识别通过自身的关键文件,以防止非法外传行为.
能识别的关键文件类型应包含至少以下几类:文档类如Excel、PDF、PowerPoint、Word等,压缩文件类如CAB、GZIP、RAR、ZIP、JAR等,图像类如BMP、GIF、JPEG等,音频视频类如MP3、AVI、MKV、MP4、MPEG、WMV等,脚本类如BAT、CMD、WSF等,程序类如APK、DLL、EXE、JAVA_CLASS等.

系统应提供服务器异常告警功能,可以自学习服务器正常工作行为,并以此为基线检测处服务器非法外联行为.

应具有无需更换硬件设备,通过电子证书更新,就能完成NIDS向NIPS系统的平滑升级,充分保护入侵检测和防护同类需求的持续投资.

系统应提供基于信誉的僵尸网络防护能力,具备可以持续升级的信誉库,通过信誉库内的恶意网站IP、C&C服务器地址的信誉值执行的告警动作.

针对访问网络资源的终端用户,系统应提供增强的身份认证功能,具有RADIUS、LDAP、AD域等接口,及第三方认证平台,实现更灵活、更安全的认证控制.

设备支持本次项目招标的安全管理中心的集中策略管理、集中日志管理及分析以及拓扑发现.

投标产品应该是经过市场考验的成熟产品,产品上市时间不少于10年.
提供由中国信息安全认证中心按国家标准认证颁发的有效认证证书.
复印件加盖投标人公章堡垒主机(1台)序号技术参数要求国产品牌产品.
采用多核架构,安全操作系统;≥1个RJ45串口,≥1个千兆管理口,≥4个千兆电口,≥2T存储空间.
授权管理≥100台设备.
原厂3年硬件维保及规则库升级服务.
具有RDP(mstsc)、SSH(SecrueCRT\Putty)、SFTP(Wincp)、VNC(VNCViewer)、TELNET直接登录堡垒机以及HTTP/HTTPS的直接代理;支持Oracle、MSSQLServer、IBMDB2、Sybase、IBMInformix.
具有批量导入用户帐号信息;具有批量导入目标设备信息.
具有幽灵账号功能,具有主动对从账号进行关联分析,当发现攻击者植入的异常账号时,对相关管理员采取告警、记录及通知等操作.

具有孤儿账号功能,能够提供对各从账号的运维使用率的分析功能,当发现使用率异常的从账号,对相关管理员采取告警、记录及通知等操作.

为了最大程度保障运维安全,针对Linux服务器将采用公钥私钥登录,要求堡垒机需具有公钥私钥代理登录,使用户能够一键通过原有客户端访问访问服务器,而非使用应用发布实现.

堡垒机具有和防火墙联动,远程运维环境下通过防火墙VPN登录内网时只需在登VPN过程中输入堡垒机账号即可直接快速登录到堡垒机运维设备,无需输入VPN账号,再输入堡垒机账号才可运维.

具有基于访问权限定义高危操作.
具有基于时间、IP/IP段、用户/用户组、设备/设备组、设备账号、命令关键字、命令关键字正则表达式、危险级别等组合条件设置告警规则,当用户越权执行某些特定命令或者使用特权的时候进行告警、记录及阻断.

用户登录堡垒机后可在首页分组显示该用户有权限管理的目标设备,设备分组可按最近访问、最常访问、访问策略、按照个性化配置中的分类等分组显示可登录的设备;并可按全部/工单相关来查询设备.

具有手机APP上进行登录授权审批,金库授权审批,工单审批,方便客户随时随地进行审批工作.

具有手机APP上进行运维监控,包括设备信息推送,系统告警监控等.
提供由中国信息安全认证中心按国家标准认证颁发的有效认证证书.
复印件加盖投标人公章抗拒绝服务系统(2台)序号技术参数要求国产品牌产品.
RJ45串口≥1个,配置≥8口千兆电口,≥4路BYPASS,≥2个千兆管理口;配置冗余电源;具有64字节1G容量许可,128字节2G清洗容量.
原厂3年硬件质保及软件升级服务.

可扩展性好,整机具有≥4个扩展槽位,最大可扩展到32个千兆网络接口(可以是千兆电口、千兆光口);扩展到≥64字节≥2G容量,≥128字节≥4G清洗容量.

设备须支持IPV4/IPV6双协议栈,以满足将来IP地址空间的升级扩容.
具有对欺骗与非欺骗的TCP(SYN,SYN-ACK,ACK,FIN,fragments)、UDP(randomportfloods,fragments)、ICMP(unreachable,echo,fragments)、(M)StreamFlood及混合类型攻击的防护.
设备具备针对UDP53、TCP53及3DNS提供专用的DNSQueryFlood防护手段.
设备具备针对HTTPGetFlood攻击具备不少于9种主流防护手段,能够对HTTP进行解码.
设备具备对连接耗尽型攻击的防御能力.
产品具有流量自学习功能,可结合自学习流量生产防护策略集参数.
提供由中国信息安全认证中心按国家标准认证颁发的有效认证证书.
复印件加盖投标人公章IT运维平台软件(1套)序号技术参数要求系统实际配置IT运维系统基础平台1套包括权限管理、门户管理、信息通知、基础数据平台、企业级采控平台、管理维护控制台等功能.

配置集中告警平台1套能够从监控工具或第三方系统通过标准接口接收各类告警信息进行统一处理,实现对各类告警的接收、标准化、丰富、关联等功能,并与配置管理数据库及运维协同工具对接.

配置资源监控平台1套能够对操作系统、虚拟机、容器、数据库、中间件等基础资源进行性能与状态监控,配置不少于30设备授权配置网络管理平台1套能够实现网络拓扑发现,全局拓扑与分层拓扑展示,可对网络设备与链路的性能与状态进行监控.

配置不少于100设备授权.
所有软件/模块必须拥有完全自主知识产权,全中文界面,提供友好、直观、易懂的图形呈现;系统应具备良好的水平扩展与故障恢复能力,管理范围、管理深度和管理功能均具有平滑升级和扩展,满足不断发展的运维管理需求;提供开放的API接口,支持二次开发,可随需扩展开发所需功能.

平台应当采用开放技术架构,不依赖于第三方商业产品.
底层平台应当采用PaaS架构,具备控平台层、数据平台层及组件服务层.
数据存储应当充分利用缓存中间件、时序数据库等大数据技术确保系统的高可用性.
部署操作系统应当为Linux,确保系统安全性.

系统具有自动网络发现能力,能够实现对华为、华三、锐捷、神码、中兴、CISCO等主流品牌设备自动发现,支持FDB、LLDP、NDP、CDP等多种拓扑发现协议,具有局部发现某个设备的邻居设备,并具有自动网络拓扑构建.

系统具有全局网络拓扑与分层网络拓扑,全局拓扑显示所有的网络设备及关系.
分层网络拓扑具有通过拓扑逐层建立组合的方式,具有构建骨干网拓扑展示,也可以根据用户的业务管理场景进行拓扑构建.

系统具有发现与监测主流厂商的网络设备,设备性能监控指标包括:在线状态、Ping延时、CPU、RAM、端口状态、端口速率、端口包速、端口丢包率、端口错包率等.

系统具有对网络链路的发现与监测,能够自动发现二层、三层网络链路,并具有对网络链路可用状态、丢包率、包延时的监测.

具有对IBM、HP、DELL、浪潮等主流品牌的PCServer服务器的硬件监控,指标包括:电流、电压、温度、风扇、电源状态等.

具有对各类主流操作系统的监控,包括:Windows、Linux、Unix等监控,具有监测服务器的各类性能指标,包括:CPU、内存、磁盘、文件系统、网络、服务等指标.

具有符合SMI-S1.
1规范的EMC、IBM、HP、华为等主流厂家的存储阵列的监控,监控指标包括:物理磁盘、存储池、控制器、存储卷的性能和容量等.

具有Oracle、MySQL、MSSQLServer、PostgreSQL、SQLServer、DB2、达梦、神通等各类关系型数据库的监控.
指标包括:数据库负载与状态、数据库表空间、数据库内存、数据库会话、数据库锁等.

具有MongoDB、Cassandra等各类NoSQL的监控,其中MongoDB监控指标包括:启动时长、数据库统计、连接数、游标、请求页错误数、全局锁、索引计数、内存、文件、操作数、查询器、记录、批处理、网络、断言等.

具有监测各类缓存中间件监控,包括:Redis、Memcache.
以Redis为例,监控指标包括:AOF、客户端、CPU、过期键、键长度、内存、网络、持久化、发布/订阅、复制、慢查询日志、命令状态.

资源分组监控展示,具有监测资源进行标签化管理,灵活应对复杂数据中心基础架构监控展示.
可以给主机或设备增加数据中心、业务、位置、集群、管理组等任意维度标签,在监控视图上利用标签过滤分组,可以从不同角度可视化展示运行负载热图.

具有告警关联规则配置,具有标签和配置关系拓扑两种关联方式,标签方式具有根据条件设置告警的标签值,配置关系拓扑方式具有设定配置消费图和根源告警CI.

具有设定条件建立告警视图,图形化展现资源的各类告警,值班人员能够快速查看告警的总体状态.

具有告警处理过程跟踪日志,包括:告警接手、告警归并、告警解除、告警关闭、告警转派、派发工单及工单处理等,具有对事件解决方法的记录.

具有对平台功能模块进行统一管理,具有上传、安装、卸载产品模块,具有对已部署功能模块的扩容部署.
能够主动识别所有模块的部署主机、模块名称、所属产品、模块版本;具有对运维平台所有模块运行状态运行时长进行监控,具有对系统各模块的日志下载功能.

备份软件(1套)序号技术参数要求配置不限数量的Windows客户端下的操作系统、文件、数据库定时备份代理;配置不限数量的Linux客户端下的操作系统、文件、数据库定时备份功能模块;配置不限虚拟化平台中虚拟机数量的定时备份代理;配置4TB后端备份容量授权.
原厂3年软件升级服务.
具有数据库、文件、虚拟化平台的增量备份、差异备份、完全备份、永久增量备份等多种备份方式.

具有Windows、Linux、UNIX操作系统的在线备份保护.
具有以非脚本的方式实现对Oracle数据库的单表级细粒度恢复.
持调用SAPHANA的Backint接口,实现SAPHANA单机/集群的Lan-Base及Lan-Free备份.
具有VMware虚拟化平台的无代理备份.
具有华为FusionSphere、华三CAS的无代理整机备份,不用在任何虚拟机上安装代理即可实现备份.

具有华为、华三等国产虚拟化平台之间虚拟机磁盘格式的互为转换.
具有对Openstack平台提供基于API方式的无代理保护.
具有D2C、D2D2C,可以将数据备份到阿里云、Azure、Ucloud、AWSS3、华为OBS等云存储中,实现云备份保护.
具有基于源端的重复数据删除功能.
可针对备份系统自身的数据进行备份保护,并具有离线导出,当备份存储系统自身发生故障时,可通过备份数据进行还原.

安全管理中心软件(1套)序号技术参数要求采用基于https加密方式的web管理方式;原厂3年软件升级服务.
本次项目采购的网络安全审计系统、网络入侵监测系统、堡垒主机,在日常使用中将会产生大量的监控审计日志.

安全管理中心软件须实现网络安全审计系统、网络入侵监测系统、堡垒主机的日志的集中审计、分析、统计报表及日志自动归档.

具有集中设备管理和日志存储,日志保存时间不少于180天.
能够把资产管理和组织结构或者网络拓扑结构紧密结合;具有IP地址、域名和资产树等多种资产管理方式;具有通过*.
CSV文件将地址导入到资产树功能.

提供多种方式的资产统计,不限于当前报表、自动报表和历史报表的统计.

系统应具备实时的日志归并功能,可以根据用户需要,按照告警事件的源/目的IP/MAC地址、事件类型等信息,对告警日志执行任意粒度的归并.

具有对入侵日志,内容安全日志,URL日志,应用管理日志,数据库审计日志,无线热点日志,VPN事件日志,防病毒事件日志,流量日志等多种类型的日志.

系统应提供报表功能,具有TopN事件、TopN源地址、TopN目的地址、TopN服务、事件类型分布与趋势、危险程度分类统计与趋势、风险级别统计与趋势以及交叉报表等多种报表模板;还应具有用户自定义报表模版,能够按照用户需求生成各种风格的统计报表.

具有设备IP地址,端口,设备名称,登录帐号,密码,版本,类型,工程师管理接口等重要参数的设置.

系统应具备系统健康状态异常告警机制,能够实时监控系统CPU、内存等关键部件的状态,并在发现异常状况时通过声音、邮件、短信等多种方式及时通知管理员.
要求告警触发条件可设置.

提供备份恢复机制,能够对扫描结果、日志、扫描模板、参数集等配置文件进行导出和导入操作;能够对系统创建还原点对系统进行备份和还原.

产品应保证其数据安全性,系统配置文件和扫描结果文件保存在本地,加密保存,只有授权用户才可使用.
数据传输过程经过加密.

交换机-1(1台)序号技术参数要求与学校现核心交换机在功能、性能和管理配置上完全一致.
整机吞吐量:≥2Tbps;包转发率:≥1150Mpps;配置≥48口千兆光口;≥24口千兆电口;双引擎;冗余电源.

支持静态路由及OSPF/BGP/ISIS路由.
支持端口镜像.
交换机-2(6台)序号技术参数要求与核心交换机在功能和管理配置上完全一致.
≥24个10/100/1000Base-T以太网端口,≥8个千兆SFP,交换容量:≥590Gbps(以小值为准),包转发率:≥168Mpps,含堆叠套件.

支持静态路由及OSPF/BGP/ISIS路由.
支持端口镜像.
交换机-3(3台)序号技术参数要求与核心交换机在功能和管理配置上完全一致.
支持≥48个10/100/1000Base-T以太网端口POE+供电,≥4个千兆SFP,包转发率:≥85Mpps(以小值为准),交换容量:≥330Gbps(以小值为准).

交换机-4(3台)序号技术参数要求与核心交换机在功能和管理配置上完全一致.
≥48个10/100/1000Base-T以太网端口,≥4个千兆SFP,包转发率:≥85Mpps(以小值为准),交换容量:≥330Gbps(以小值为准).

服务器-1(4台)序号技术参数要求配置2颗性能不低于E5-2603V4(6核-1.
7GHz-85W)处理器;配4条DDR4RegisteredDIMM≥16GB;≥24个内存插槽;配3块≥1200GB-SAS12Gb/s-10Krpm-128MB及以上-2.
5英寸(含托架)硬盘;配raid卡,支持RAID0,1,5,10;配置2个热插拔交流电源.
≥4电口GE以太网卡.
≥2个PCIe3.
0x8插槽,≥7个PCI-D插槽.
N+1个冗余系统风扇.
≥4个USB(前面≥2个,后面≥2个).
集成管理模块,对外提供10/100/1000MbpsRJ45管理网口.
DVD;导轨;2U机架式.
服务器-2(5台)序号技术参数要求配置2颗性能不低于E5-2603V4(6核-1.
7GHz-85W)处理器;配4条DDR4RegisteredDIMM≥16GB;≥24个内存插槽;配3块≥2400GB-SAS12Gb/s-10Krpm-128MB及以上-2.
5英寸(含托架)硬盘;配raid卡,支持RAID0,1,5,10;配2个热插拔交流电源.
≥4电口GE以太网卡.
≥2个PCIe3.
0x8插槽,,≥7个PCI-D插槽.
N+1个冗余系统风扇.
≥4个USB(前面≥2个,后面≥2个).
集成管理模块,对外提供10/100/1000MbpsRJ45管理网口.
DVD;导轨;2U机架式.
服务器-3(1台)序号技术参数要求配置4颗性能不低于Skylake5115(2.
4GHz/10-core/13.
75MB/85W)处理器;配8条≥16GBDDR42400MHz;≥48个内存插槽;配3块≥2400GB-SAS12Gb/s-10Krpm-128MB及以上-2.
5英寸(含托架)硬盘;配raid卡,支持RAID0,1,5,6,10;2个热插拔交流电源.
≥4电口GE.
≥7个PCI-E插槽.
N+1个冗余系统风扇.
≥4个USB(前面≥2个,后面≥2个).
集成管理模块,对外提供1个10/100/1000MbpsRJ45管理网口.
导轨;4U机架式.
服务器-4(1台)序号技术参数要求配置4颗性能不低于Skylake5115(2.
4GHz/10-core/13.
75MB/85W)处理器;配8条≥16GBDDR42400MHz;≥48个内存插槽;配3块≥1200GB-SAS12Gb/s-10Krpm-128MB及以上-2.
5英寸(含托架)硬盘;配raid卡,支持RAID0,1,5,6,10;2个热插拔交流电源.
≥4电口GE.
≥7个PCI-E插槽.
N+1个冗余系统风扇.
≥4个USB(前面≥2个,后面≥2个).
集成管理模块,对外提供1个10/100/1000MbpsRJ45管理网口.
导轨;4U机架式.
服务器-5(3台)序号技术参数要求配置2颗性能不低于E5-2603V4(6核-1.
7GHz-85W)处理器;配4条DDR4RegisteredDIMM≥16GB;≥24个内存插槽;配3块≥2400GB-SAS12Gb/s-10Krpm-128MB及以上-2.
5英寸(含托架)硬盘;配raid卡,支持RAID0,1,5,10;配2个热插拔交流电源.
≥4电口GE以太网卡.
≥2个PCIe3.
0x8插槽.
≥7个PCI-D插槽.
N+1个冗余系统风扇.
≥4个USB(前面≥2个,后面≥2个).
集成管理模块,对外提供10/100/1000MbpsRJ45管理网口.
DVD;导轨;2U机架式.
单模光模块(10个)序号技术参数要求光模块-SFP-GE-单模模块(1310nm,10km,LC).
多模光模块(40个)序号技术参数要求光模块-SFP-GE-多模模块(850nm,0.
5km,LC).
光纤跳线(30对)序号技术参数要求5米LC-LC光纤跳线.
机柜(4个)序号技术参数要求宽度600*深度1200*高度2000、风扇、冷轧钢板,42U,黑色,配置4个托盘,风网状门.
PDU(16个)序号技术参数要求工业PDU,机柜插座PDU,16A机柜电源,10位排插,3米线缆.
KVM(4台)序号技术参数要求KVM切换器8口,带17英寸LCD显示器,按用户需求配VGA接口线,8进1出电脑显示器转换器,鼠标键盘共享KS-1708,8根线缆套件等.
折叠,高度1U,与本项目的服务器配套.
五、项目实施要求1、设备安装配置要求所有设备全部采用标准机架式设备,并固定在机柜中,各种螺栓必须拧紧,同类螺丝露出螺帽的长度应保持一致.

在机柜中安装设备时,每个设备间至少留空1U空间进行设备散热.
机架上的各种零件不得脱落或碰坏,漆面如有脱落应予补漆.
各种文字和符号标志应正确、清晰、齐全.

所有网络跳线全部采用六类非屏蔽成品跳线,所有设备及设备跳线均按照统一编码方式打标签进行标识.

所有设备采用220V电源进行供电.
要求投标人提供详细的项目实施方案,包括实施目标、实施范围、网络拓扑设计、VLAN规划设计、IP规划设计、安全策略配置、安全测试、实施团队及实施人员安排、项目管理、项目验收、项目培训等,严格按照实施方案进行实施.

要求提供单元测试方案及回退方案,需根据学校实际需求进行策略配置、单元测试,并在学校指定的时间进行统一割接,一旦设备上线失败,能及时回退,恢复到原有网络.

2、安全咨询及运维服务实施要求等保测评协助服务,要求投标人协调具有公安部颁发的等级保护测评师证书的人员协助甲方通过等级保护正式测评,整体项目验收以获得公安部授权的等级保护测评机构出具的符合性测评报告为准,服务中至少包括定级备案、专家评审、差距分析、安全整改、测评协助,并按照测评机构的要求提供相应的文档材料.

漏洞扫描服务,要求采用国内排名前三的商业版漏洞扫描系统对学校应用系统、网络设备、服务器主机、安全设备、数据库及web中间件进行漏洞深度发掘,安排资深渗透工程师进行漏洞分析和验证,准确定位主机漏洞和web应用漏洞,给出专业的安全加固建议,并出具专业的《漏洞扫描报告》.

配置核查服务,要求依据国家等级保护二级要求,采用国内排名前三的商业版配置核查系统对学校业务系统、网络设备、服务器主机、安全设备、数据库及web中间件的安全配置进行合规检查,找出不合规项,安排资深安全工程师进行配置问题验证,给出安全配置加固建议,并出具《安全配置核查报告》.

安全加固服务,要求安排具备CISP证书的安全工程师,依据《漏洞扫描报告》、《安全配置核查报告》,针对学校业务系统、网络设备、服务器主机、安全设备、数据库及web中间件等系统编制《安全加固报告》,并在学校现场实施系统安全加固,包括但不限于系统补丁升级、安全设备策略优化、安全设备规则库升级、设备及系统安全配置等.

安全检查服务,安排具备CISP证书的安全工程师,根据等级保护二级要求等对学校系统及设备进行安全合规检查,编制《等保要求符合性自查报告》,以满足公安部门要求的安全检查要求.

应急响应服务,针对学校安全事件,如网络拥塞、病毒爆发、黑客入侵等,自接收到学校应急服务要求电话后,投标人需安排安全工程师30分钟内进行电话响应,2小时内安全工程师到达学校现场,进行事件溯源,找到真正的问题原因,同时协助学校解决问题,编制《应急响应报告》.

重要时期保障服务.
在重大安保时期和特殊时间段,中标人须按采购人的要求,对学校全网IT设备及业务系统进行重点保障.
包括但不限于安全漏洞扫描、主机安全检查、安全日志分析、信息安全通告、信息安全咨询、对外服务检查、Web站点渗透检测,网站安全监测等服务,确保学校重要业务系统在重要时期的安全运行(不限次数,每周7*24小时).

3、其它要求项目实施安排1名项目经理,要求项目经理在信息技术领域从业经验不少于10年,具有丰富的等级保护项目咨询及建设经验,具有中华人民共和国人力资源和社会保障部、工业和信息化部用印的信息系统项目管理师证书;须提供项目经理的简历、资质及所负责的项目经验表等材料.

项目实施必须建立一支稳定的项目实施团队,项目实施团队不少于8人;实施人员须具备同类项目实施经验;熟练掌握本项目涉及的信息安全产品,能够熟练、快速地完成设备安装配置;项目实施团队中至少2人具备CISP资质、至少1人具备CCIE资质证书,须提供项目核心人员的简历、资质及所负责的项目经验表等材料.

六、售后服务设备质保1)对产品提供原厂三年硬件质保、软件升级、规则库升级服务.
2)设备发生故障后,要求30分钟电话响应,2小时内技术工程师达到现场,24小时内无法解决的问题,投标人须提供能满足学校实际业务需求的备机备件,确保学校业务正常运转.

协助开展安全测评必须协助甲方通过等级保护正式测评,整体项目验收以获得国家认可的等级保护测评机构出具的符合性测评报告为准.

漏洞扫描采用商业版漏洞扫描系统定期对学校网络设备、操作系统、数据库、应用服务器、WEB中间件、应用系统等进行漏洞扫描,提前发现安全漏洞,并给出解决办法.
交付《漏洞扫描报告》;(一年12次,每月一次).

配置检查采用商业版配置核查系统及人工验证方式,对网络设备、操作系统、数据库、WEB中间件等系统进行安全配置检查,编制安全配置检查报告,提出改进建议.
交付《安全配置检查报告》.
(一年12次,每月一次).

安全加固对漏洞扫描和配置核查过程中发现的安全问题提出安全加固建议,并指导学校进行安全加固,交付(一年12次,每月一次).

安全检查根据学校需要,全程协助完成网安大队等主管单位的信息安全检查,并按照网安大队及其行业要求编制《信息安全自查报告》.
(不限次数,5*8小时).

应急响应针对学校安全事件,如网络拥塞、病毒爆发等,收到学校应急服务请求后,30分钟内进行电话响应,2小时内安全服务工程师到达学校现场,帮助学校解决问题,并进行事件溯源,找到真正的问题原因,同时协助学校进行安全加固,彻底解决问题,编制《应急响应报告》.
(不限次数,7*24小时)质保期重要时间提供保障服务.
在重大安保时期和特殊时间段,中标人须按采购人的要求,对学校全网IT设备及业务系统进行重点保障.
包括但不限于安全漏洞扫描、主机安全检查、安全日志分析、信息安全通告、信息安全咨询、对外服务检查、Web站点渗透检测,网站安全监测等服务,确保学校重要业务系统在重要时期的安全运行(不限次数,每周7*24小时).

驻场服务项目验收完后,投标人须安排1-2名安全工程师在学校提供安全驻场服务,对本次项目所涉及的设备进行现场服务,工作时间与学校工作时间同步,驻场工程师须遵守学校的管理制度,向学校项目负责人汇报工作,按时提交日报、周报.
驻场服务期限不少于1年.

培训服务要求制定针对性的培训方案,集中授课培训时长不少于15天,要求提供详细的培训计划,确保学校网络管理人员:熟练使用本次项目涉及的安全设备,如IP地址配置、策略配置、日志分析、告警分析等.

能够编制准确的网络拓扑图,包括网络设备、安全设备、服务器、存储系统等.

掌握等级保护等标准中信息安全的要求、安全检查方法、检查报告编制等.

学校要求的其他相关知识的培训,如领导安全意识培训、员工安全意识培训、等保标准培训等.

七、工期要求:合同签订后30天内交货,到货验收通过后90天内安装调试完毕.
交货地点由采购人指定.
八、现场踏勘采购单位将于2019年4月1日上午9:30时至11:30时统一组织已领取招标文件的供应商,对本项目进行现场踏勘(不再另行安排时间).