**************受中国农业发展银行的委托,现对中国农业发展银行异地
灾备互联网接入渠道建设项目市场调研阶段进行潜在供应商征集,具体内容如下:
*、采购单位
中国农业发展银行
*、采购项目名称
中国农业发展银行异地灾备互联网接入渠道建设项目
*、采购内容
详见附件
*、潜在供应商要求
1.中华人民共和国境内合法注册的独立法人,具有独立承担民事责任的能力;
2.具有良好的商业信誉和健全的财务会计制度;
3.近*年内,在经营活动中没有因违法经营受到刑事处罚或者责令停产停业、吊销许可证或
者执照、较大数额(****元及以上)罚款等行政处罚;
4.未被“信用中国”网站列入失信被执行人和重大税收违法案件当事人名单、未被“中国政府采
购网”网站列入政府采购严重违法失信行为记录名单;
5.报名材料递交。本项目仅接受邮件递交电子报名材料,电子报名材料*份。
递交时间:****年3月**日-****年4月1日**:**
递交方式:邮件发送电子版报名文件
报名邮箱:***********@********.**
*、递交材料:
1.营业执照(扫描件);
2.上述“*、潜在供应商要求”及“项目需求书”要求的相关资质证明材料;
3.供应商认为有必要提供的其他材料;
4.代表供应商参与本项目的联系人、联系电话、单位邮箱,以及公司授权说明文件、授权人
身份证明复印件等材料;
以上材料均需加盖单位公章。
注:
(1)以上报名材料均须加盖单位公章,形成*份完整的电子版文档(***格式)。(2)以上报名材料发送邮件时须注明报名项目名称。
(3)采购人接收报名并不表示接收供应商参与本次项目后续采购等工作,且采购人有权对 供应商征集结果不做任何说明。
代理公司联系人及电话
代理机构:**************
地址:北京市丰台区丽泽路**号平安幸福中心A座****采联集团
项目联系人:***
电话:***********
电子邮箱:***********@********.**
****年3月**日
附件
异地灾备互联网接入渠道建设所需设备配置需求 配置需求 说明书
(本文仅用于供应商征集,招采阶段以技术需求说明书为准)
*、背景说明
按我行****互联网接入渠道建设技术方案,新建支持****/****双栈的异地灾备互联网接入渠道:*是异地灾备互联网
接入渠道在网络结构及安全防护方面,须与总行生产中心保持*致;*是为提高整网络安全性,减少****互联网渠道与内网的
关联,需要为本区域部署独立的管理辅助类系统,含***、***及堡垒机等设备;*是按总行生产中心和研发测试环境部署模
式,为异地灾备互联网接入渠道部署网络安全阻断系统1套(含系统控制台和探针各1台),接入我行现
有威胁监测系统、态势感知平台,并与安全阻断系统、威胁情报平台联动。*、 ****渠道集成服务、网络及安全类、管理辅助类设备具体配置指标说明
(*)集成实施服务
本项目集成服务商应提供****渠道建设所需全部网络及安全类、管理辅助类设备并负责统 筹在珠海数据机房完成集成实施,并对异地灾备后期全面开展****建设工作做出规划方案,具 体内容包括:
1 、项目实施准备
按照本技术需求说明书对项目设备进行选型,向农发行项目人员提交设备清单及详细配置;
根据设备清单及详细配置进行备货;
项目前期调研:成立项目团队、收集和记录用户要求、系统集成需求总结和确认、制定需求分析书等;
项目设计:根据项目需求分析书制定项目集成实施方案。
2、工作内容要求
1)现场调研:现网情况、机房物理环境、业务系统调研;
2)方案撰写:撰写网络实施工艺,编写设备脚本;
3)到货验收:设备到货后的验收、入库;
4)布线实施:网络设备间布线、设备上架、设备到服务器的布线;5)设备联调:设备加电、版本升级、配置写入,联调测试;
6)配合测试:配合应用系统测试;
7)网络割接:新设备上线,新网络环境并入现网环境的割接;8)全网测试:割接完成后的网络、应用全面测试;
9)现场保障及试运行;
**)全面部署方案:农发行异地灾备****部署规划方案设计;**)后续工作:培训、文档提交等。
其中,设备原厂商需派遣具备原厂认证资质的原厂工程师到用户现场参与调研、讨论,并协助 集成商制定本次项目相应的实施计划及方案。在实施阶段,设备原厂商需协助集成商依据本项 目设计方案进行实施;并在项目实施过程中,如出现技术障碍、运行故障等问题,设备原厂商 有义务和责任配合集成商对问题进行快速解决。
集成商负责本项目相关产品到货、验货,负责根据前期设计方案在设备原厂商协助下制定实施 方案,负责项目的整体实施,负责项目验收等工作,并在合同期内负责协调本项目有关的技术 支持工作。项目实施过程中,如出现技术障碍、运行故障等问题,集成商有义务和责任组织、协调相关各方对问题进行快速解决。
3、项目集成要求
集成商应给出包括项目管理、人员安排、施工进度、系统规划和安装操作手册在内的项目详细 实施方案,其中安装操作手册中对于设备部署要求提供文字说明和图示说明。
对项目阶段做出划分,说明阶段任务与交付物,并结合阶段的划分,对总体项目进度做出规划。集成商应完成的各种阶段交付 物必须经过农发行确认接收。在项目范围和技术方案不发生变化的情况下,集成商应保证在标书承诺的时间内完成该项目。
集成商应建立切实可行的质量保证体系,并提供详细的质量管理方案,以确保项目的交付质量和维护质量。保证项目过程的透 明化,从而降低风险,保证项目实施质量。
本项目涉及的包括但不限于差旅费、运输费等均由集成商负责。4 、集成人员要求
集成商应针对本采购项目建立专门的项目实施团队,明确项目团队的组织结构,详细说明团队中各参与人员的职责分工,并对 主要参与人员的项目经验、技术资质进行详细介绍。项目团队需包含项目经理、项目技术人员、专职质量控制人员等。集成商 和设备原厂商应保证派遣到用户现场工作的技术人员具备相应的项目经验和技术资质。
5 、技术文档要求
集成商提供的书面技术资料应能满足确保系统正常运行所需的管理、运营及维护有关的全套文件。技术文件至少应包含安装规 划及实施、产品使用手册、培训文档等,具体以农发行验收标准为准。
6 、技术支持与售后服务
集成商应在合同期内向农发行提供全面、有效、及时的技术支持和服务,作为系统产生任何问 题的第*响应方。集成商应详细说明在广东省的工程技术维护队*和机构情况,服务模式、技 术指导和技术支持的范围和程度。
7 、技术培训要求
集成商应向农发行管理人员、技术人员提供相关培训,以便对工程实施进行有效管理,同时保证农发行技术人员能够进行系统 的运行管理、操作、维护,故障分析处理等工作。
8、建设规划和技术咨询
因****渠道集成工作涉及到地址规划、应用系统部署等方面,原厂商及集成商应为行方提供地址规划及技术咨询服务,并 提交农发行异地灾备****部署规划方案。
(*)原厂商和集成商要求
1、原厂商要求
(1)原厂商各项投标产品必须具备近3年在金融行业数据中心的应用案例。需要提供销售数量的证明材料,材料内容包 括:采购合同首页、采购产品内容/配置页、甲乙双方盖章页。上述材料如果为复印件,需要加盖原厂商公章,如果提供的材 料为多页,还需要在每页加盖骑缝章。应用案例,含集成商与金融机构签订的案例。流量阻断设备可以用近3年在金 融行业数据中心护网行动中的试用案例或测试报告代替上述证明材料,并加盖公章。
(2)设备交付前,原厂商提供该批设备软硬件支持不低于6年的承诺函。如在自合同签订之日起的*年内,原厂商公布产品 服务终止,导致产品无法续保和维修,需免费向我方提供同档次的替代设备。
(3)原厂商需提供设备安装所需的备件,包括网线、光纤线、堆叠线等。
(4)原厂商应为行方提供地址规划及后期应用系统****部署等技术咨询服务。
2、集成商要求
(1)集成商必须具有银行业****改造部署成功案例,具有国有大型银行改造部署案例的优
先。
(2)集成商必须取得原厂商针对该项目的授权文件。
(3)集成商必须负责集成实施过程中所需的辅材、耗材,如网线、光纤、机柜托盘、电源
线等。
(4)集成商必须在合同签订之日起*个月内(自然日,下同)完成设备到货,并在设备全
部到货后*个月内完成珠海的全部集成实施及测试工作。
(*)网络及安全类设备通用性技术要求(下述所有标“★”指标项均为设备核心指标,必须满足)
所有网络及安全类硬件设备,包括路由器、交换机、防火墙、框式安全设备、*信 任***远程接入网设备及其板卡等,都必须同时运行****/****双栈,且在硬件架构、稳定性、售后等方面满足以下要 求:
| 序号 | 指标项 | 指标要求 | 指标依据说明 |
| 1 | ★****/****双栈 | 所有产品支持****/****双栈,且双栈同时运行时****协 议栈下的各项功能与****协议栈下的各项功能相同或等 效。 | 本项目架构设计方案所 要求 |
| 2 | ★产品生命周期 | 产品生命周期(*** ** *******)。所投标产品(含整 机、模块、软件等)必须是成熟产品,不能是已经或即 将列入停产计划的产品。如在自合同签订之日起*年内 设备原厂商公布产品服务终止,导致产品无法续保或维 修,需由中标方免费向我方提供同档次替代设备。 | 确保所采购设备的为市 场主流设备,保障设备 的可靠性和高可用性。 |
| 3 | ★稳定性 | 上线运行**个月内,如果同类型设备(或部件)累计发 生2次以上故障,需免费更换同批次全部设备(或部 件),性能及档次不低于原设备,所有费用由中标方承 担。 | 确保新购硬件设备的稳 定性 |
| 4 | ★***网络模块配置 | 如无超配要求,本项目各项设备均必须满配相应***网 络模块(包含各类型各模式各速率的光口和电口)。 | 部分设备可能存在超额 配置模块需求,以兼容 不同接口制式,如单 模、多模、*兆、*兆 等。 |
| 5 | ★兼容性 | 所选设备如与我行现有设备组网运行,则必须与我行现 有设备兼容。 | 确保新购硬件设备的兼 容性 |
| 6 | ★维保要求 | 网络及安全类设备、*信任***远程接入网设备提 供8年7天×**小时×4小时现场支持服务,维保期自《设 备验收报告》签署之日起8年。 | |
| 7 | 环保要求 | 优先考虑通过绿色节能认证的产品 | 节能环保 |
| 8 | ★耗材要求 | 本项目集成所用光纤网线等耗材须由中标厂商提供 |
(*)网络及安全类设备技术指标说明(下述所有标“★”指标项均为设备核心指标,必须满足)1、交换机(第*类):**台
区域:核心交换区、专线接入区、前端接入区(汇聚)、后端接入区(汇聚和接入)
| 序号 | 大类 | 指标项 | 指标要求 | 指标依据说明 |
| 1 | 硬件体系 架构 | ★端口 | *兆光口≥**个,****光口≥4个;配*兆光模块(多 模)≥**个,****光模块≥4个; | 硬件架构符合主流产品 架构 |
| ★电源 | 双电源冗余,在线更换单块电源对转发无影响,默认2个交 流电源。 | |||
| ★电源电压 | *****-**** **-****,**-** | |||
| ★风扇 | 冗余风扇,在线更换单个风扇对转发无影响,默认含满配 风扇模块。 | |||
| 2 | 性能参数 | ★整机性能 | 交换容量≥2.******;包转发率≥********; | 参考现有设备指标 |
| ★堆叠 | 支持交换机堆叠(使用专用堆叠线缆)。 | 高可用架构 | ||
| 3 | 网络 | ★网络标准 | *******.**,*******.**,*******.**,*******.**, *******.**,*******.3,*******.***,*******.** | |
| 4 | *层功能 | ★****功能 | 支持****、******* ****、***** ****; | 主流数据中心交换机功 能 |
| 5 | *层功能 | ★静态路由协议 | 支持****/****静态路由协议; | 主流数据中心交换机功 能 |
| ★策略路由 | 支持****/****基于源地址/源接口/服务端口/****等条件进 行选路的策略路由功能。 | |||
| ★动态路由协议 | 支持****、****、***等****动态路由协议;支 持******、******、****+等****动态路由协议 | |||
| 6 | 管理特性 | ★管理协议 | 支持**** **/**/**、******、****、*** | 维护管理 |
| ★用户管理 | 支持通过命令行或**********等方式进行配置和管理 | 维护管理 | ||
| 7 | 运维功能 | ★*****功能 实配支持*****功能,无需另外购买授权 确保设备的可维护性 ★端口隔离 支持端口隔离和端口组隔离 ★端口镜像 支持端口镜像功能,支持聚合链路的镜像 | ||
| 7 | 运维功能 |
| |||||
| ★*** | 支持基于第*层、第*层和第*层的*** | ||||||
| ★广播风暴抑制 | 提供广播风暴抑制功能,支持双向端口限速 | ||||||
2、路由器:2台
区域:专线接入区
| 序号 | 大类 | 指标项 | 指标要求 | 指标依据说明 |
| 1 | 硬件体系 架构 | ★端口 | ≥4个*兆以太电口,≥4个*兆光接口(多模单模共用),实 配≥4个*兆单模光模块,≥4个*兆多模光模块。 ≥8个*兆光接口,配备≥8个****多模光模块。 1个*兆以太电口作为管理接口。 | 硬件架构符合主流产品 架构 |
| ★扩展卡 | 应预留扩展卡槽位,以便扩展****、****或*****接 口。 | |||
| 虚拟化 | 支持多台路由器虚拟化为*台逻辑路由器,并配备相应实 现虚拟化功能所需配件,如板卡、线缆及光模块等。 | |||
| ★电源 | 双电源冗余,在线更换单块电源对转发无影响,默认 含2个交流电源。 | |||
| ★电源电压 | *****-**** **-****,**-** | |||
| ★风扇 | 冗余风扇,在线更换单个风扇对转发无影响,默认含满配 风扇模块。 | |||
| 2 | 性能参数 | ★包转发率 | 包转发率≥******; | 参考现有设备指标 |
| 3 | 支持协议 | ★静态路由协议 | 支持****/****静态路由协议; | 主流路由器功能 |
| ★策略路由 | 支持****/****基于源地址/源接口/服务端口/****等条件 进行选路的策略路由功能。 | |||
| ★动态路由协议 | 支持****、****、***等****动态路由协议; 支持******、******、****+等****动态路由协议 | |||
| ★流量镜像 | 支持端口镜像功能,支持聚合链路的镜像 | |||
| 4 | 管理特性 | ★管理协议 | 支持**** **/**/**、******、****、*** | 维护管理 |
| ★用户管理 | 支持通过命令行或**********等方式进行配置和管理 | 维护管理 |
3、防火墙:8台
区域:专线接入区2台、核心交换区2台、后端接入区4台
异构要求:8台防火墙须互为异构产品,即其中4台为不同原厂商产品。
| 序号 | 大类 | 指标项 | 指标要求 | 指标依据说明 |
| 1 | 资质要求 | ★资质要求 | 投标设备型号所属的产品系列应具备以下证书: 需同时具有公安部颁发的产品销售许可证书和国家保密局评测中 心颁发的产品检测证书(需要提供证书复印件) | 确保所采购设备的为市 场主流设备,保障设备 的可靠性和高可用性。 |
| 2 | 关键硬件 指标 | ★吞吐量 | 机箱吞吐量≥****** | 参考现有防火墙配置 |
| ★最大并发数 | 最大并发会话数≥**** | |||
| ★数据处理延时 | 数据处理延时≤**微秒 | |||
| ★端口要求 | ≥4个*兆以太网电接口(其中含1个***带外管理口和1个**口)≥4个*兆多模光口(含光模块),≥4个*兆多模光口(含光模块) | |||
| ★每秒新建连接 数 | 每秒新建***连接数≥*** | |||
| ★数据转发能力 | 数据转发能力≥** *** | |||
| ★防火墙策略数 | 防火墙策略数≥****条 | |||
| ★透明防火墙技 术 | 支持*层透明模式 | |||
| ★双机热备 | 支持会话级热备,策略和会话自动同步, 切换丢包少 于3个 | |||
| ★**状态同步 | 支持**状态同步 | |||
| ★冗余性要求 | 每台设备至少有双电源 | |||
| 防御检测 | ★防御检测 支持状态检测和深度检测,支持同步攻击检测,**** *****检测,*** *****泛滥检测,**** ** *****检 | |||
| 3 | 防御检测 与安全 | 测,**欺骗(** ********)检测,端口扫描(**** ****)检测 | 参考现有防火墙配置 | |
| ★安全防护 | 支持防止*** &***; ****攻击。 | |||
| 识别/记录/防止企图进行**地址欺骗。 | ||||
| 支持基于时间的访问控制。 | ||||
| 4 | ***、路 由及访问 控制 | ★***技术 | 支持***/***技术,并且能针对***记录 以******或*****/*******等方式输出 | 参考现有防火墙配置 |
| ★路由协议 | 支持****/****静态路由、***、****路由协议,支 持****。 | |||
| ★策略路由 | 支持****/****基于源地址/源接口/服务端口/****等条件 进行选路的策略路由功能。 | |||
| ★访问控制 | 支持对源、目的****/****地址,源、目的端口,协议,用户,时间,安全域之间数据流向的精细粒度访问控制 策略的配置。 | |||
| 支持***-***、**-***、*** *** **、H.***、**等动 态端口协议。 | ||||
| 支持访问控制策略的命中数计数功能。 | ||||
| 支持*层路由模式旁挂式组网。 | ||||
| 5 | 管理功能 | ★管理功能 | 提供命令行和图形化用户接口(***),可按用户角色定 义用户权限,满足我行堡垒机管理要求。 | 参考现有防火墙配置 |
| 支持****监视和配置。 | ||||
| 基于***/*****的远程管理。 | ||||
| 支持******日志输出协议。 | ||||
| 6 | 域名功能 | ★域名控制功能 | 支持基于域名的访问控制策略。(需截图说明) | 基于域名的访问控制 |
| 域名通过动态***解析。(需截图说明) | ||||
| 7 | 其他功能 | ★配置功能 | 支持通过命令行方式配置防火墙策略,开放******* ***接口,满足我行自动化运维要求。 | 方便维护管理 |
| **地址(组)名、服务端口(组)名、策略名等资源在 命名时支持汉字(***-8或***编码)、大小写英文字母、数字、下划线。在命名并被引用后可随时改名而不需新 建。 | ||||
| 8 | 异构 | ★异构要求 | 前端接入区框式安全设备(第*类)的防火墙模块(第8项,不属于本项防火墙设备)、专线接入区防火 墙、核心交换区防火墙,这*者要求异构,任意两者不 能来自同*厂商。 后端接入区防火墙用于系统管理,不向用户开放,无异 构要求,无厂商限制。 | 根据架构设计方案、同 业现状、我行现有互联 网渠道现状,面向用户 提供服务的区域防火墙 需要异构。 |
4、流量阻断设备:2台
区域:专线接入区
细化检索。
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 3 | 管理功能 | ★***接口 | 可提供*******接口,对接第*方平台。 |
| ★管理协议 | 第*方平台可直接对应急处置装置下发策略。 | ||
| 基于***/*****的远程管理。支持****管理协议。 | |||
| ★日志输出 | 支持******日志输出协议。 |
5、异常流量清洗设备:2套
区域:专线接入区
注:由于不同厂商设备形制各不相同,每套设备不限台数,每台设备框式或盒式均可。
| 序号 | 大类 | 指标项 | 指标要求 | 指标依据说明 |
| 1 | 资质要求 | ★资质要求 | 投标设备型号所属的产品系列应具备以下证书: 需具有公安部颁发的产品销售许可证书(需要提供证书复印件) | 确保所采购设备的为市 场主流设备,保障设备 的可靠性和高可用性。 |
| 2 | 架构 | ★电源 | 支持冗余双电源。 | 根据****渠道建设设计 方案及总行生产中心、研发测试环境****渠道 在用设备指标提出 |
| ★端口要求 | *兆多模光接口≥8,*兆电口≥1。 | |||
| ★硬件配置要求 | 具有良好扩展性,可以扩展流量检测模块的检测能力。确保流量检测和流量清洗模块之间在任何条件下均无阻 塞传输,系统主控与数据转发功能所用资源物理分离。注:由于不同厂商设备形制各不相同,每套设备不限台 数,每台设备框式或盒式均可。 | |||
| 3 | 流量清洗 模块 | ★设备形态 | 可为单机或板卡形态; 如是硬件板卡形态,可适配机框设备,和机框设备同品 牌。 | 根据****渠道建设设计 方案及总行生产中心、研发测试环境****渠道 在用设备指标提出 |
| ★吞吐量 | 吞吐量≥****** | |||
| ★最大连接数 | 最大连接数≥**** | |||
| 4 | 流量检测 模块 | ★设备形态 | 可为单机或板卡形态。 如是硬件板卡形态,可适配机框设备,和机框设备同品 牌。 | 根据****渠道建设设计 方案及总行生产中心、研发测试环境****渠道 在用设备指标提出 |
| ★检测能力 | 检测能力≥***** | |||
| ★应用层新建性 能 | 每秒新建连接数≥*** | |||
| 5 | 全系统功 能项 (本大类 每个指标 项均需提 供产品配 置截图证 明) | ★路由协议 | 支持****/****双栈下的静态路由、策略路由、*** | |
| ★攻击防范 | 支持对****/**双栈下***/***、****、***、*** ***** 等常见*****类型****攻击的防护 | |||
| ★畸形包防范 | 支持畸形包攻击防范,支持针对协议漏洞的畸形包攻击 防范,比如****、*****、*******、**** ****、*******; | |||
| ★报文合法性检 查 | 对***、***-***、***、***等报文的长度进行检查,报文长度合法性检查,对***标记检查,对*** ******* 内容过滤,可自定义*******字段检查范围。 | |||
| ★会话数限制 | 可对源地址/目的地址做会话数限制,包括服务类型(可 定义服务类型)、新建速率、总会话数、每**会话数、动 作、有效时间等。 | |||
| ★****防护 | 对代理头部字段X-*********-***等代理头部字段检查。对****头部******、******、******* ***等内容过 滤。 可以阻断或重置双向连接。 | |||
| ★引流回注 | 支持***路由协议发布的流量牵引方式。 支持通过策略路由将清洗后的干净流量回注给用户,用 户正常的业务流量不受影响。 | |||
| ★抓包取证 | 支持抓包功能,可抓取原始数据包进行分析或取证。 | |||
| ★第*方联动 | 支持对接第*方态势感知平台。 | 人行要求。 | ||
| 管理功能 | 支持设备性能监控,可监控接口流量信息,***和内存利 | |||
| 6 | 管理功能 (本大类 每个指标 项均需提 供产品配 置截图证 明) | ★管理功能 | 支持设备性能监控,可监控接口流量信息,***和内存利 用率和在线状态监控。 | |
| 提供命令行和图形化用户接口(***),可按用户角色定 义用户权限,满足我行堡垒机管理要求。 | ||||
| 基于***/*****/******* ***的远程管理。支 持****管理协议。 | ||||
| 支持******日志输出协议。 |
6、框式安全设备(第*类):2台
区域:专线接入区
| 序 号 | 大类 | 指标项 | 指标要求 | 指标依据说 明 |
| 1 | 机框技 术指标 | ★体系架 构 | 机框式插卡设备,具有专用操作系统,稳定可靠 本次选购设备可以使用主控集成交换芯片的设备,也可以使用交换网板与主控分 离的设备,如果使用交换网板与主控分离的设备,需要可配置业务板数量≥8 整框某类业务板卡模块的总体性能=单块业务板卡模块的性能x该类业务板卡模块 的数量。 | 根据****渠 道建设设计 方案及总行 生产中心、研发测试环 境****渠道 在用设备指 标提出 |
| ★引擎 | 配置冗余双控制引擎。 | |||
| ★电源 | 支持冗余双电源。 | |||
| ★业务槽 位数 | ≥8,以满足冗余性和扩展性需要。冗余性是指可以对故障板卡进行热替换。扩展 性是指槽位数量要确保每类板卡模块的处理能力在远期能扩展到*******。 | |||
| ★端口要 求 | *兆多模光接口≥**,*兆电口≥1。 支持未来扩展到****接口。 机框内各板卡间如需进行跳线连接,必须配齐所需接口和模块。 | |||
| ★交换容 量 | 背板交换容量≥3.*****,以官网宣称为准,提供官网截图。 | |||
| ★整机转 发性能 | 包转发率≥********,以官网宣称为准,提供官网截图。 | |||
| ★业务模 块类型 | 为了简化网络架构,方便运维管理,满足后期扩容,本设备需要支持链路负载均 衡、***卸载、****类业务板卡模块,需要提供官网截图链接并加盖原厂商公 章。 | |||
| 2 | 机框功 能 | ★流量选 择 | 支持静态路由和策略路由,支持基于***.**的****间路由。 支持根据业务类型对流量进行选择或编排,对流量是否经过***板卡进行灵活的 识别和控制。 | 根据****渠 道建设设计 方案及总行 生产中心、研发测试环 境****渠道 在用设备指 标提出 |
| ★流量镜 像和引流 功能 | 需将框内板卡间流量镜像出框,供网络流量分析系统进行故障定位和故障现场还 原回溯。 | |||
| 具备将部分流量引出框外安全设备再接回的功能,以兼容未来部署其它独立安全 设备的需求。 | ||||
| ★管理功 能 | 支持设备性能监控,可监控接口流量信息,***和内存利用率和在线状态监控。 | |||
| 提供命令行和图形化用户接口(***),可按用户角色定义用户权限,满足我行 堡垒机管理要求。 | ||||
| 基于***/*****/******* ***的远程管理。支持****管理协议。 | ||||
| 支持******日志输出协议。 | ||||
| 3 | ****全 局负载 均衡板 卡模块 技术指 标 | ★系统内 核 | 采用封闭式的专有操作系统,无已知安全漏洞, 且非***产品,提供软件著作权证 书。 | |
| ★硬件配 置要求 | 设备形态为硬件板卡形态,可适配机框设备,和机框设备同品牌。 | |||
| ★吞吐量 要求 | 单板吞吐量≥******,支持未来扩展到*******吞吐量。 | |||
| ★应用层 新建性能 | 每秒新建连接数≥***。 | |||
| ★**层 转发 | 支持动态端口聚合,支持的算法包括源**+目的**、源***+目的***、基于端口 等(需提供设备功能界面截图证明) | |||
| ★***功 能要求 | 支持对****/****地址进行***转换。 支持为往返流量按运营商****/****地址选择合适的运营商专线。 | |||
| ★系统内 采用封闭式的专有操作系统,无已知安全漏洞且非***产品,提供软件著作权证 | ||||
| 4 | ***卸载 板卡模 块技术 指标 | ★系统内 核 | 采用封闭式的专有操作系统,无已知安全漏洞且非***产品,提供软件著作权证 书。 | |
| ★硬件配 置要求 | 设备形态为硬件板卡形态,可适配机框设备,和机框设备同品牌。 | 根据****渠 道建设设计 方案及总行 生产中心、研发测试环 境****渠道 在用设备指 标提出。 | ||
| ★吞吐量 要求 | 单板吞吐量≥******,支持未来扩展到*******吞吐量。 | |||
| ★应用层 处理能力 | ***吞吐量≥*****。 | |||
| ★应用层 新建性能 | ***每秒新建****位***密钥连接数≥2*。 | |||
| ★***卸载 功能 | 1、内置***加速芯片,或者配置独立的***加速卡,提供服务器***卸载功能。 2、支持各类标准证书的申请和导入,类型包含: ***:****-***,****-***,****-***,*****:***-***、***-***,***:***-***。 3、支持***算法和国密*** 算法的单向和双向认证,至少包含以下算 法:***、***、****、***、***、*****、*****、******、******算 法;国密:***、***、***算法; 支持算法组合: ***_*****_***_****_******_***_******;***_***_****_******_***_******; ***_***_***_***。 支持多级**证书链。 支持****.0/****.0/****.2及更新协议。 5、***卸载:支持***卸载(国家商用密码及国际商用密码),将***/***协议 流量解密为明文后再传输至服务器,以减轻服务器性能压力。 6、***加密:支持***加密(国家商用密码及国际商用密码),将***/***协议 流量加密为密文后再加密传输至服务器,以减轻服务器性能压力。 7、支持***证书吊销列表。 8、支持***拓展特性。即单个域名上启用多张证书,或单张证书用于多个域名。 | |||
| 5 | *** 板卡模 块技术 指标 | ★系统内 核 | 具备自主研发的安全操作系统,无已知安全漏洞,且非***产品,提供软件著作 权证书。 | 确保所采购 设备的为市 场主流设 备,保障设 备的可靠性 和高可用 性。 |
| ★硬件配 置要求 | 设备形态为硬件板卡形态,可适配机框设备且和机框设备同品牌。 | |||
| ★吞吐量 要求 | 单板吞吐量≥******,支持未来扩展到*******吞吐量。 | |||
| ★最大连 接数 | 最大连接数≥**** | |||
| ★应用层 新建性能 | 每秒新建连接数≥*** 防攻击功能开启时每秒新建连接数≥*** | |||
| ★应用层 处理能力 | 应用层防攻击性能≥***** | |||
| ★***攻击 防护功能 | 1、内置***特征库,特征规则数量不少于****条,并可根据***编号查询具体的 攻击特征。 2、支持自定义特征。可基于方向、协议、字符串、正则表达式、源端口、目的端 口等维度进行特征自定义,并可自行设置特征严重等级。 3、支持自定义规则。可基于**资源、攻击类型、协议等维度进行自定义,对不同 等级的特征可设置不同的动作,且可以设置例外特征**,保证设置的例外特征不 会被阻断并告警。 |
| 4、入侵防御事件库应符合国家信息安全漏洞库标准,事件描述为中文。 | ||||
| 6 | 资质要 求 | ★产品资 质 | 投标设备型号所属的产品系列应具备以下证书: 具有公安部颁发的产品销售许可证书; 具备国家版权局颁发的《计算机软件著作权登记证书》具备国家密码局颁发的《商用密码产品认证证书》具备 **** *****《**** ***** ****》资质 | |
7、框式安全设备(第*类):2台
区域:前端接入区
机框式插卡设备,具有专用操作系统,稳定可靠。 本次选购设备可以使用主控集成交换芯片的设备,也可以使用交
整框某类业务板卡模块的总体性能=单块业务板卡模块的
*兆多模光接口≥**,*兆电口≥1。 ★端口要求 支持未来扩展到****接口。 机框内各板卡间如需进行跳线连接,必须配齐所需接口和模块。
支持静态路由和策略路由,支持基于***.**的****间路
支持根据业务类型对流量进行选择或编排,对是否经
提供命令行和图形化用户接口(***),可按用户角色定 ★管理功能 义用户权限,满足我行堡垒机管理要求。 基于***/*****/******* ***的远程管理。支 支持******日志输出协议。 投标设备型号所属的产品系列应具备以下证书: 需同时具有公安部颁发的产品销售许可证书和国家保密局评测中
|
书》;
具备**** *****《**** ***** ****》资质;
★吞吐量要求 单板吞吐量≥******,支持未来扩展到*******吞吐量。
★最大连接数 单板卡最大连接数≥****
★数据处理延时 数据处理延时≤**微秒
★应用层新建性能 每秒新建***连接数≥***
★数据转发能力 数据转发能力≥** ***
★防火墙策略数 防火墙策略数≥****条
★透明防火墙技术 支持*层透明模式
支持会话级热备,策略和会话自动同步, 切换丢包少
| 防火墙 | ★热备要求 | 于3个 |
| 支持**状态同步 | ||
| 板卡模块 | 1、支持对源、目的地址,源、目的端口,协议,用户, | |
| 技术指标 | 时间,安全域之间数据流向的精细粒度访问控制策略的 |
配置。
| 3 | ★访问控制 | 2、支持***-***、**-***、*** *** |
| **、H.***、**等动态端口协议。(需截图说明) |
3、支持访问控制策略的命中数计数功能。(需截图说
明)
4、支持*层路由模式旁挂式组网。
| ★域名控制功能 | 支持基于域名的访问控制策略。(需截图说明)域名通过动态***解析。(需截图说明) |
1、支持通过命令行方式配置防火墙策略,开放*******
***接口,满足我行自动化运维要求。支持输
入****或***格式编码的中文字符。(需截图说明)
| ★配置功能 | 2、**地址(组)名、服务端口(组)名、策略名,在命 名时支持大小写英文字母、数字、下划线。且命名后可 |
随时改名,而不需重建。(需截图说明)
3、防火墙访问控制策略(包过滤策略)能重新排序。
(需截图说明)
投标设备型号所属的产品系列应具备以下证书:
需具有公安部颁发的产品销售许可证书(需要提供证书复印
| ★资质要求 | 件); | 确保所采购设备的为市 |
| 具备国家版权局颁发的《计算机软件著作权登记证 | 场主流设备,保障设备 | |
| 的可靠性和高可用性。 | ||
| 书》; |
具备**** *****《**** ***** ****》资质;
| 4 | *** | ★硬件架构 | 设备形态为硬件板卡形态,可适配机框设备,和机框设 | 最大连接与防火墙*致 |
| 备同品牌。 | ||||
| ★吞吐量要求 | 单板吞吐量≥******,支持未来扩展到*******吞吐量。 | |||
| ★应用层处理能力 | 应用层处理能力≥***** | |||
| ★最大连接数 | 最大连接数≥**** | |||
| ★应用层新建性能 | 每秒新建连接数≥5* | |||
| ★默认防护策略 | 支持对***流量的镜像检测及镜像阻断功能。 | |||
| 板卡模块 | 支持对可疑流量进行****重定向。 | |||
| ★***扫描防护 | ||||
| 支持基于阈值统计、动作持续时间及指纹识别技术进 | ||||
| 技术指标 | ||||
| 行***扫描防护。 | ||||
| ★****协议 | 支持识别*****.0、*****.1等版本协议报文结构并校 | |||
| 报文结构校验 | 验,包括请求行、******、头域载荷等部分,可按应用 | |||
| 系统需求调整****、*******-********等参数。 |
支持***层面的漏洞攻击防护,防护类型至少包
| ★漏洞攻击防护 | 含***、***、命令注入、目录遍历、跨站伪造脚本 等。支持例外页面、例外参数配置,且支持与黑名单联 |
动,可设置联动阈值、联动周期及禁封时间。
支持服务器信息隐藏,隐藏信息包括******头域信
支持服务器信息隐藏,隐藏信息包括******头域信
| ★信息泄露防护 | 息、***信息、***信息、网站目录信息、关键文件信 息、数据库信息、源码信息、账号信息(银行卡号/身份 |
证号)。
| ★********防护 | 支持********非法上传防护,同时支持基于********上 报危险系数防护。(需提供功能截图或配置实例) |
(*)运维管理辅助类设备技术指标说明(下述所有标“★”指标项均为设备核心指标,必须满 足)
1、***服务器:1台
区域:前端接入区
| 序 号 | 大 类 | 指标 项 | 指标要求 | 指标依据说 明 |
| 1 | 资 质 要 求 | ★资质 要求 | 投标设备型号所属的产品系列应具备以下证书:提供软件著作权证书和国家相关部门检测报告(需要提 供证书复印件) | 确保设备为 市场主流设 备,保障设 备的可靠性 和高可用 性。 |
| 2 | 关 键 硬 件 指 标 | ★守时 精度 | 内置铷钟,**小时偏差&**;=*****(提供国家相关部门的检测报告) | 根据总行及 珠海现 有***配置 |
| ★同 步精 度 | 同步精度≤2µs | |||
| ★端 口要 求 | 配置6个*兆以太网接口,端口访问容量优于*****次/秒,(每个端口具备授时和管理功 能);1个*******设置口、2个***备份/升级/存取日志口、1个**-9 ***时间输出 口、3个干接点报警接口。(提供设备接口截图) | |||
| ★输 出配 置 | 输出****脉冲,***,1路,稳定度&**;=****(σ)(提供国家相关部门检测报告) | |||
| ★高 可靠 性 | 系统配置可热插拔冗余电源;系统配置高性能锂电池,电池独立工作时间8小时以上;支 持芯跳检测功能,两台设备网卡可设为同***,互为冗余备份;支持双机冗余热备份;支 持*******功能,同*设备*网卡可设为同***,单机即可实现网卡故障备份。 | |||
| ★响 应能 力与 协议 | 1、***请求量&**;=*****次/秒(投标时提供国家相关部门检测报告); 2、支持*** **** ******/****** ********* *********; 3、支持网络协议种类*****.**.**&***;**(*******&***;****)、****(*******)、*** **************(*******)、****(******)、***(******)、*******(******)、**** (*******)、****/***/*****(*******)、***/*** (******** *****) ******,**、*** **(*******)、***非对称加密;支持****、****、****/**** ****** | |||
| 3 | 关 键 功 能 | ★卫 星接 收 | 支持北斗、***双参考源,可扩展*******卫星参考源;命令设置可仅使用北斗授时、仅使用***授时或使用北斗和***联合授时。 同时支持手持式北斗时钟校准功能,手持设备具备***精度检测、****精度检测、***精 度检测等接口,可拆卸式锂电池,提供设备功能及接口截图。 | 参考总行及 珠海现 有***配置 |
| 4 | 管 理 功 能 | ★管 理软 件 | 提供**** 网络时间同步系统统*监视软件,界面清晰,可以监视***服务器和授时客户 端的同步和时间偏差情况,对北斗/***失锁、***服务器不同步、同步状态切换给出告警 和日志信息。 | 参考总行及 珠海现 有***配置 |
| ***服务器时间同步状态监视,包括***卫星数,服务器部署位置的经纬度和高度,卫星 时间,服务器时间以及和参考源的同步情况。包括监视服务器的列表,客户端列表,比判 阈值,*****、******、****设置以及发送状态设置。 | ||||
| 支持全网内分地区实现客户端同步状态统计。 | ||||
| ★用 户界 面 | 配置高亮度***液晶,支持轮循显示***/北斗2搜星状态、时间、卫星个数、经纬度、高 度、各网卡**、系统工作状态;*色指示灯支持显示***服务是否启动、网络连接是否正 常、***请求是否超限及***是否锁定等信息。 | 参考总行及 珠海现 有***配置 | ||
| ★配 置与 日志 记录 | 支持*******模式、******、*******远端和***进行远程管理、配置和升级;日志记 录&**;=****条,支持***存取,可扩展硬盘存储。 | 参考总行及 珠海现 有***配置 |
2、***服务器:2台
区域:前端接入区
| 序号 | 大类 | 指标项 | 指标要求 | 指标依据说明 |
| 1 | 资质要 求 | ★资质要求 | 投标设备型号所属的产品系列应具备以下证书: 所投产品须具备软件著作权、软件产品证书,提供相应证明文件,有能 力提供具有自主知识产权的产品(加盖原厂公章) 所投产品需要通过**** *****认证、并具备对应认证证书 所投产品具备第*方权威机构(公安部、中国信息安全测评中心)的安 全测试报告(提供证明文件,加盖原厂公章) 所投产品具备公安部销售许可证书(提供证明文件,加盖原厂公章) | 确保所采购设备的为 市场主流设备,保障 设备的可靠性和高可 用性。 |
| 2 | 关键硬 件指标 | ★硬件要求 | **内存(可扩展至***),硬盘≥**(支持*****/*****,可拓展≥1块 硬盘),冗余电源。 | 参考总行及珠海现 有***配置 |
| ★端口要求 | 6个*兆以太网电口(可再扩展2个*兆光口)。 | |||
| ★***指标 | 开启解析日志(***** ***)时的***不低于*****,且不需要配置独 立的日志生成设备 | |||
| 时钟校准 | 支持***网络授时,可配置不少于**个**和域名形式的上*级 网络时间服务器,***服务器支持基于**的访问控制 | |||
| ★**** | 支持****服务,可配置服务启停,可通过***管理中心进行 文件和目录的增删改操作 | |||
| ★系统冗余能力 | 系统具备系统级、软件功能级冗余备份能力,支持**部署,支 持主备式网卡接口绑定 | |||
| 3 | 软件功 能 | ★管理功能 | 支持多级集中管理,多级管理节点间可自动同步,实现向服务 节点的数据分发、数据汇总回传。 支持所有设备节点的统*集中管理,通过统*的管理平台上完 成所有服务的配置,而不是登录到不同系统单独操作。 支持分布式部署,各节点数据统*下发,数据下发支持加密,并能保证数据*致性。 | 参考总行及珠海现 有***配置 |
| 支持密码验证保护,同*账号密码连续多次错误*段时间内禁 止登录,账户的禁止状态可手动解除 | ||||
| 提供全中文化***操作界面,简化操作复杂度。可视化中文界 面:用户输入、报表、管理界面、告警事件的信息等均支持中 文界面 | ||||
| ***接口:提供全功能的编程接口 | ||||
| 支持***管理,支持*******、******和***终端连接,进行常用管 理操作 | ||||
| 支持账户分权,可设定基于***/***接口/***命令的差异化操作 权限,如不可见/只读/修改权限 | ||||
| 对于原厂硬件支持监控网口状态,电源状态和磁盘、磁 盘****状态,状态异常支持告警 | ||||
| ★权威功能 | 必须支持标准的 *** 服务,支持正向解析、反向解析功能 | 参考总行及珠海现 有***配置 | ||
| 支持常用的记录类型,包括但不限 于A,****,*****,**,**,***,***,***,***等 | ||||
| 支持***解析跳转服务 | ||||
| 支持记录排序,即指定多个记录返回的优先顺序 | ||||
| 支持子域授权,可以将子域解析权委派到其他***服务器 | ||||
| 支持多区多视图,支持资源记录的批量修改,支持视图禁用 | ||||
| 支持共享记录,可跨区域*次配置相同前缀记录,可*次实现 跨区共享记录的统*增、删、改 | ||||
| 支持A、****记录同***的操作联动 | ||||
| 支持全局搜索,可根据域名、**、备注标识进行模糊搜索 | ||||
| 支持*级域名注册,可设置注册申请表、注册域名有效期,并 允许用户自主维护或审核变更过程 | ||||
| 支持辅区不过期,当所有主区异常时,辅区可永久以最后*个 更新的区记录提供解析服务 | ||||
| 智能化的访问调度,支持***多种负载均衡动态就近 性、***/内存负荷算法,来源就近算法、优先可用算法、返回 备用**算法、加权比率算法等(提供功能截图,并加盖原厂公 章) | ||||
| 支持两级访问调度,即优先按照某策略调度到某应用服务器 | ||||
| 池,然后在根据某策略调度到该池内具体服务器(提供功能截 图,并加盖原厂公章) | ||||
| ★递归功能 | 可单独启用或停止递归功能。 | 根据总行及珠海现 有***配置 | ||
| 支持递归请求失败跳转服务,当解析失败时到指定服务器进行 查询 | ||||
| 提供递归查询顺序转发/***动态转发/转发例外,同时支持转发 失败后通过递归迭代继续查询。 | ||||
| 支持设置基于视图的递归请求的源地址 | ||||
| 支持缓存预取,可设定预取记录的***,可对热点域名、重点 域名进行缓存预取(提供功能截图,并加盖原厂公章) | ||||
| 做为递归服务器,支持解析结果映射替换,满足业务对接需要 | ||||
| ★技术前瞻性 | 支持****过滤 | 根据总行及珠海现 有***配置 | ||
| 系统必须全面支持****所采用的系统必须支持****和****双 栈,协助企业实现****到****的平稳过渡。 | ||||
| 系统支持******、***** | ||||
| ★安全防护 | 支持****、支持对外递归查询的随机端口、随机** | 根据总行及珠海现 有***配置 | ||
| 支持解析劫持黑白名单,可指定域名解析为指定A、****结 果,也可以解析为********、*******无记录 | ||||
| 递归超时攻击安全防护,自动控制超时域名的递归查询数量,有效避免客户端发起的恶意递归查询服务请求 | ||||
| 对外并发查询数量限制,减少并发递归攻击对系统的影响 | ||||
| 支持**、**段和域名的解析记录限速控制,实现客户请求的域名 记录解析进行限速 | ||||
| 日志报表 | 统计报表支持对分布式部署的多台设备节点进行整体统计,即 将所有设备节点的总体运行数据进行统计分析 | 根据总行及珠海现 有***配置 | ||
| ★图形化统计报表应支持实时和历史数据展示,历史数据保存 不少于3个月,历史统计可按照时间自定义查询 | ||||
| 支持报表导出,可导出对应的统计报表文件 | ||||
| 丰富的解析日志,记录解析应答结果,每*次解析延迟,精确 到毫秒 | ||||
| ★可自定义日志的严重等级,根据等级发送至多台******服务 器 | ||||
| 要求支持图形化方式的全局所有子节点监控,包括:服务器性 能、运行状态等。可设定报警阈值,发生问题时可实时触发故 障报警,要能支持邮件、**** ****和***回调等报警方式。 | ||||
| 支持自定义报表,可根据需要对(域名、来源**、来源端口、解析类型等)组合进行统计报表分析和展示。 | ||||
3、堡垒机:2台
区域:后端接入区
| 序号 | 大类 | 指标项 | 指标要求 | 指标依据说明 |
| 1 | 硬件体 系架构 | ★****/****双栈 | 所有产品支持****/****双栈,且双栈同时运行时****协议栈下的 各项功能与****协议栈下的各项功能相同或等效。 | 本项目架构设计方 案所要求 |
| ★端口 | 至少4个以太网电口。 | 硬件架构符合主流 产品架构 | ||
| ★硬盘 | 本地硬盘容量≥**,支持外挂网络存储空间资源。 | |||
| ★电源 | 双电源冗余,在线更换单块电源对转发无影响,默认含2个交流 电源。 *****-****,**-****,不超过*** | |||
| ★风扇 | 冗余风扇,在线更换单个风扇对转发无影响,默认含满配风扇模 块。 | |||
| ★冗余 | 主备式部署,配置自动同步。 | |||
| 2 | 性能参 数 | ★纳管数量 | 纳管设备资产数量无限制。 | |
| ★管理协议 | 支持******、****、***、**********。 | |||
| 维护管理 | ||||
| ★用户界面 | 支持通过命令行、中文图形化***界面等方式进行配置和管理。 | 维护管理 | ||
| ★用户分组 | 各用户按运维角色编入不同用户组,获取不同权限。 | |||
| 新入组用户继承现有用户组的*切特性,如权限。 | ||||
| 3 | 管理特 |
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 支持图形审计记录压缩,通过压缩算法或过滤静止画面等方式,减少视频记录所占硬盘空间。 | ||||
| ★操作审计 | 支持文件传输审计,可以记录用户的文件传输操作,并可留存传 输文件便于审计。 | |||
| 具备数据库审计,可实现对******、*****、*********数据库客户 端操作行为的***语句还原。 | ||||
| ★账号改密 | 支持对于*******、*****、网络设备上系统账号的自动改密功 能。 | |||
| *******支持*****和***两种改密模式 | ||||
| *****和网络设备采用标准的***/******协议进行改密 | ||||
| 支持对于安全设备(通过***页面管理)的自动改密,模 拟****或*****的交互过程进行***页面的改密。 | ||||
| 管理员可配置“计划任务”,制定自动改密的时间、设备资产、系 统账号、密码规则以及密码备份方式。 | ||||
| “密码规则”可由管理员自定义,修改为随机不同密码,密码复杂 度(长度、特殊字符、大小写字母、数字等)可以自定义。 | ||||
| 密码备份方式支持****文件服务器和密码打印机备份。 | ||||
| 自动巡检 | 支持账号的自动安全巡检,分析设备资产账号是否存在风险,例 如: 1.弱密码口令:例如长度、常见弱密码字典本等。管理员可自定 义弱密码口令规则。 2.僵尸账号或后门账号:例如创建成功后从未登录过的账号。3.长时间未登录账号:例如超过3个月或6个月未登录过的账号。4.异常账号:例如密码不正确的账号。 |
(*)原厂维保服务要求
1、维保服务内容及时间
(1)技术支持。7天×**小时×1小时响应。用户提出故障申告后,如1小时内远程无法解决 故障,须派工程师到用户现场,4小时内到达。
(2)备机和保修。7天×**小时×1小时响应。在维保期内,如果设备(含配件)损坏,需 提供替代设备,8小时内将替代设备发送到行方指定位置,优先恢复网络运行。所更换设备为全 新设备且型号与原设备*致。如故障设备型号已停产,则提供的替换设备应为全新设备,且性 能不低于故障设备,功能不少于故障设备,操作系统版本不早于故障设备,并能兼容故障设备 配置。损坏设备退回原厂。
(3)维保期。网络及安全类设备、*信任***远程接入网设备方面:维保期自合同所列全部 设备及服务,最终工程验收合格并签署《工程验收报告》之日起8年。运维管理辅助类设备方 面:维保期自合同所列全部设备及服务,最终工程验收合格并签署《工程验收报告》之日 起6年。
2、维保团队。售后服务期间,应成立专门的农发行服务团队,并配备项目经理(在合同中 需明确服务人员名单),服务团队在广东省内有稳定可靠的农发行现场支持工程师,专门负责 我方问题管理、技术支持、巡检等工作,7天×**小时服务,不得以人员不足为由不提供服务或服务延期。
3、巡检服务。每半年*次巡检。巡检后5个工作日内向甲方提供巡检报告。在重要时间点,如两会、年终决算,要根 据我行要求增加巡检。
4、软件产品和文档更新。提供最新版本的软件及技术文档,并提供所需的技术支持和说 明。
5、集成服务支持:根据项目的要求完成方案架构与配置的更改、与网络相关的应用的故障诊断与排除。
(*)集成商维保服务要求
1、集成商提供的免费服务自项目验收报告签署之日起计算,免费服务期与所负责采购、集成设备的原厂维保服务期相 同。
2、在免费服务期内,集成商应保证协调原厂商免费提供本项目采购的产品的维护、巡检等服务和相关的技术指导。3、集成商需提供7×**电话支持服务,并按照问题等级要求提供分级服务。其中,紧急支持服务要求为:7×**小时电话 支持,**分钟电话响应,并及时协调原厂商资源解决问题。如1小时内远程无法解决故障,须派工程师到用户现场,4小 时内到达。
4、如发现设备存在性能问题,集成商应根据甲方要求缩短性能分析周期,及时协调原厂商资源提出解决方案,并协助 甲方直至问题解决。
5、远程技术支持:集成商作为技术第*线,需通过电话、传真、电子邮件方式接受、回答、解决甲方技术问题;如有 需要集成商需及时协调原厂商解决甲方技术问题,并协助甲方跟踪、督促原厂商后台问题解决的进度。
6、软件升级:如软件有新的改进、增加新功能,集成商在征得农发行同意后,协调原厂商及时对软件系统进行修改和 升级,并由原厂商提供升级实施服务。
技术资料服务:
7、日常维护及应急文档:集成商协调原厂商辅助编写修订系统日常维护和应急处理所需文档,并每半年提供*次最新 版应急处理文档。
其它文档:集成商辅助甲方及原厂商每半年为甲方提供*次保证合同标的正常运行的技术 资料。资料内容应包括但不限于产品的安装、问题处理、性能优化等。
8、定期的客户回访制度:每季度进行*次例行的客户回访,了解甲方对服务质量及服务承诺的评估情况,从中发现不 足,并尽快改正和补救。每半年向甲方提供对全面服务提供总结性报告。
要求集成商提供的服务包含但不限于以上内容,如投标方可提供其他个性化服务,需在投 标文件中注明。
*、 ****渠道网络安全阻断系统设备具体配置指标说明
(*)产品及服务商要求
1、本次采购网络安全阻断系统,含系统控制台和探针各1台(软硬件*体),设备功能模 块和性能参数应与目前总行及珠海在用设备*致,系统提供标准***,可接入我行现有威胁监测
系统、态势感知平台,并与安全阻断系统、威胁情报平台联动。
2、产品部署实施时须采用旁路部署方式,不影响现有网络的拓扑结构;同时支持****和****协议,能够解析原始网络
流量中的应用层协议,同时还原应用协议中包含的文件内容并对文件进行动态行为模拟分析,具备对网络流量进行实时关联分
析和与阻断的能力。
3、产品必须是满足国家安全可控要求的成熟产品,技术支持服务周期不得少于5年。技术支持服务内容具体包括:故
障硬件更换、软件版本升级和漏洞修复、软硬件故障受理等。如果因厂商原因提前停止销售有关产品,或提前停止提供技术支
持服务,必须承诺提供技术功能性能均不低于已购产品的替代产品。
4、集成服务要求。由中标厂商提供系统集成所需全部软硬件设备(含所需的线缆及耗材配件);同时,集成服务包
括制定技术方案、实施方案,并根据实施方案和实施计划,按时完成设备的安装、初始化、配置部署和测试等集成工作;中标
厂商应根据我行要求,做好异地灾备****渠道网络安全阻断系统与总行相应安全平台之间的对接配置相关
工作。
(*)配置指标与功能要求
| 采购内容 | 类别 | 需求数量及单位 | 部署位置/使用单 位 |
| 网络安全阻断系 统 | 软硬*体 | 1套(含系统控制台 和探针各1台。) | 珠海**基地(珠 海) |
以下标注“★”条款为必须满足项,投标人不得有负偏离,否则投标将被否决。
条款为*般技术参数,可通过综合评分中的分数体现不同厂家的差异。投标人应对以下 要求逐条应答,明确响应,详细说明系统实现方式,并按要求提供系统真实截图。投标 人应提前准备好相关的线上****环境,对招标现场提出的问题和相关功能进行现场演 示。
支持高可用,具备热备的能力,当某台系统出现故障时 系统部署 可以快速切换到正常备份设备
单机网络带宽吞吐量可达*****
系统登*时间&**;2秒。 功能页面反应时间&**;2秒。 数据报表生成时间&**;**秒。 支持**威胁情报库,包括**的地理位置,属性(***,下 区出口,**)等
型、故障详细说明等 具备实时采集流入、流出目标网络的所有流量数据包的 能力 流量采集 具备关联多个实时和缓存数据包的能力 与解析 具备***流分片实时组包和分析的能力 具备对采集的数据包进行协议解析能力,能够监视的协 议至少包括:以太网
|
协议分析 入侵主机后远程控制,木马、僵尸网络与控制端通信等 模块★支持安全违规行为监控,包括违反国家网络安全相关 法规的行为持续监控,如黄赌毒反动页面,***敏感数
| 安全检测 | 据明文信息传输, 对外漏洞攻击,*****证书过期等(请提供系统真实截图) |
★系统应提供安全检测告警报表,详细记录检测结果数
据,至少包含:发现时间、拦截下发状态、威胁等级、
威胁类型、协议类型、攻击源**、攻击源端
口、****、***、攻击目标**、攻击目标端口、告警详
情信息、*******等
针对安全检测告警报表,支持对安全检测告警数据进行
精确检索、模糊检索以及多条件组合检索
★支持对海量、相同告警进行合并,减少告警数量,避
免产生告警风暴
★基于旁路的方式实现攻击阻断,支持对**,***,域
名3个层级的会话实时阻断。(请提供系统真实截图)
★支持以***的方式,接收第*方系统的拦截请求,包括
拦截***或某自定义字段中的**地址,并支持不同信息系
统,拦截从前面或者从后面数第N个**地址。
★**、域名、***旁路阻断成功率大于**.9%。
★能够对网页传递的参数进行限制,从而对未打补丁的
网站起到热补丁的功能。(请提供真实功能截图)
★支持对来访的源**(**/**),或被访问的***、域
名、目的**(**/**)添加黑名单规则,执行***连接会
话拦截或仅产生告警观察(请提供真实功能截图)
★支持对来访的可信源**(**/**),或被访问的可
信***、可信域名、可信目的**(**/**)添加白名单规
则,加白放行(请提供真实功能截图)
★支持黑白名单规则的有效期设置,当规则过了有效期
| 安全管控 | 之后,规则自动失效(请提供真实功能截图) ★支持黑白名单单个规则或多个规则的停用、启用、删 |
除(请提供真实功能截图)
| 攻击阻断 模块 | ★支持黑白名单规则的批量导入、导出(请提供真实功 能截图) ★支持对黑白名单规则进行精确检索、模糊检索以及多 |
条件组合检索(请提供真实功能截图)
★支持与其他第*方检测设备联动,通过拦截***,第*
方检测设备可增加**黑名单规则,实现拦截(请提供真
实功能截图)
★针对第*方检测设备下发的**黑名单规则,提供查询和
停用操作,支持对规则进行精确检索、模糊检索以及多
条件组合检索(请提供真实功能截图)
★支持对全部或指定第*方检测设备的拦截***的调用权
限进行停用和启用操作(请提供真实功能截图)
★支持*键断网跳转页面设置,迅速让***网站无法被
访问(请提供真实功能截图)
当发现异常行为、非法连接等情况时,系统支持自动拦
截,防止黑客进入目标网络
| 安全响应 与处置 | ★系统支持针对不同威胁等级、触发频率的攻击,采取 多种自动拦截方式,包括源目**端口,****,***等组 合(请提供真实功能截图) |
★提供自动拦截开关,用户可以自定义自动拦截开启或
关闭状态(请提供真实功能截图)
系统应具有浏览安全检测、安全处置报告的功能
针对用户的登录、增删改等相关操作,系统应记录系统
操作日志,并提供查询和审计
★针对拦截日志报表,支持对拦截数据进行精确检索、
模糊检索以及多条件组合检索(请提供真实功能截图)
★支持相关日志和报警信息保存6个月以上。
★系统应能生成详尽的安全检测、安全处置报告,并以
图表形式展示,至少应包含包含:拦截次数、拦截
| 日志报表 日志报表 | 源**数、拦截趋势、安全告警数、威胁等级分布、告警 类型分布、攻击源***排行、产生告警最多域名/** |
***排行、告警趋势等(请提供真实功能截图)
★系统应对拦截行为及时生成审计日志报表,详细记录
拦截信息,至少包含:拦截时间、拦截状态、威胁等
级、威胁类型、协议类型、攻击源**、攻击源端
口、****、***、攻击目标**、目标端口、命中规则、
告警详情信息等(请提供真实功能截图)
安全检测、安全处置报告应可输出成方便管理员阅读的
安全检测、安全处置报告应可输出成方便管理员阅读的
文本格式,如***文件、****文件等
(*)工程实施要求
1、现场实施周期。合同签订后,除甲方要求延期外,乙方要在2个月内完成项目实施和部 署。乙方应制定详细的实施计划。
2、实施内容。乙方作为项目责任人,要为该项目实施提供全部所需的软硬件设备,并组成 项目组,根据制定的项目实施方案,完成硬件设备的部署实施、系统集成、上线测试等工作。实施完成后,向甲方提供完整的测试报告、配置手册、实施纪要、运行维护手册和故障应急方 案等标准化文档。
3、实施人员。乙方应选择具有丰富经验的项目经理和工程师到现场进行实施,其中项目经 理需要有2个及以上的同类项目经验,并提供实施团队名单(合同签订前需确定名单和职责)。
4、其他要求。需由原厂资深技术人员参与方案论证和设计,根据农发行的特点提供策略优 化建议。
(*)维保服务
1、维保服务内容
1)在甲方网络出现故障时,如果涉及到本项目设备,乙方必须在 在1小时 小时对甲方提出的技术支持要求做
出实质性反应,在确认故障之后,如电话支持不能解决问题(由甲方认定),投标方技术人员 必须在甲方提出现场支持要求24小时之内 小时之内抵达用户现场。
2)维保期间内,乙方负责对发生硬件故障的产品进行维修,不收取任何额外费用;对于设备更换,应保证在3个
工作日内适合用户环境的可用新设备抵达用户现场,由乙方负责现场设备更换。
3)设备保修期的计算。保修期自合同所列全部软、硬件设备及服务,最终工程验收合格并 签署《工程验收报告》之日起5年。
2、后续维保
乙方须在本项目方案、报价中阐述免费维保期过后可提供的维护方案及报价。涉及第*方 产品(或服务)采购的事项,均由乙方负责采购提供。
3、维保服务团队
维保期间,应成立专门的农发行服务团队,并配备项目经理(在合同中需明确服务人员名 单),专门负责我方问题处理、技术支持等工作,不得以人员不足为由不提供服务或服务延 期。
4、定期优化和巡检服务
从项目验收之日起,每季度安排*次原厂高级工程师进行策略优化和巡检 每季度安排*次原厂高级工程师进行策略优化和巡检。巡检后5个 工作日内向甲方提供巡检报告。在重要时间点,如两会、年终决算等,要根据我行要求增加巡 检。
5、产品软件升级服务
乙方需根据设备原厂商发布软件版本,提供软件更新计划,并免费进行现场升级。
