中国农业发展银行异地灾备互联网接入渠道建设项目潜在供应商征集公告
微信分享
关注项目
标讯收藏
| 项目名称 | 省份 | ||
| 业主单位 |
认领
立即查看
|
业主类型 | |
| 总投资 | 建设年限 | ||
| 建设地点 | |||
| 审批机关 | 审批事项 | ||
| 审批代码 | 批准文号 | ||
| 审批时间 | 审批结果 | ||
| 建设内容 | |||
<
中国农业发展银行异地灾备互联网
接入渠道建设项目潜在供应商征集公告
(项目编号:CLF0224BJ00QY14)
<
采联国际招标采购集团有限公司受中国农业发展银行的委托,现对中国农业发展银行异地灾备互联网接入渠道建设项目市场调研阶段进行潜在供应商征集,具体内容如下:
一、采购单位
中国农业发展银行
二、采购项目名称
中国农业发展银行异地灾备互联网接入渠道建设项目
三、采购内容
详见附件
四、潜在供应商要求
1.中华人民共和国境内合法注册的独立法人,具有独立承担民事责任的能力;
2.具有良好的商业信誉和健全的财务会计制度;
3.近三年内,在经营活动中没有因违法经营受到刑事处罚或者责令停产停业、吊销许可证或者执照、较大数额(200万元及以上)罚款等行政处罚;
4.未被“信用中国”网站列入失信被执行人和重大税收违法案件当事人名单、未被“中国政府采购网”网站列入政府采购严重违法失信行为记录名单;
5.报名材料递交。本项目仅接受邮件递交电子报名材料,电子报名材料一份。
递交时间:2024年3月15日-2024年4月1日17:00
递交方式:邮件发送电子版报名文件
报名邮箱:yangzhenyun@chinapsp.cn
五、递交材料:
1.营业执照(扫描件);
2.上述“四、潜在供应商要求”及“项目需求书”要求的相关资质证明材料;
3.供应商认为有必要提供的其他材料;
4.代表供应商参与本项目的联系人、联系电话、单位邮箱,以及公司授权说明文件、授权人身份证明复印件等材料;
以上材料均需加盖单位公章。
注:
(1)以上报名材料均须加盖单位公章,形成一份完整的电子版文档(PDF格式)。
(2)以上报名材料发送邮件时须注明报名项目名称。
(3)采购人接收报名并不表示接收供应商参与本次项目后续采购等工作,且采购人有权对供应商征集结果不做任何说明。
<
代理公司联系人及电话
代理机构:采联国际招标采购集团有限公司
地<<<
址:北京市丰台区丽泽路24号平安幸福中心A座1202采联集团
项目联系人:登录即可免费查看
电<<<
话:登录即可免费查看
电子邮箱:yangzhenyun@chinapsp.cn
<
<
2024年3月15日
附件
异地灾备互联网接入渠道建设所需设备配置需求说明书
(本文仅用于供应商征集,招采阶段以技术需求说明书为准)
<
一、< 背景说明
按我行IPv6互联网接入渠道建设技术方案,新建支持IPv4/IPv6双栈的异地灾备互联网接入渠道:一是异地灾备互联网接入渠道在网络结构及安全防护方面,须与总行生产中心保持一致;二是为提高整网络安全性,减少IPv6互联网渠道与内网的关联,需要为本区域部署独立的管理辅助类系统,含NTP、DNS及堡垒机等设备;三是按总行生产中心和研发测试环境部署模式,为异地灾备互联网接入渠道部署网络安全阻断系统1套(含系统控制台和探针各1台),接入我行现有威胁监测系统、态势感知平台,并与安全阻断系统、威胁情报平台联动。
二、< IPv6渠道集成服务、网络及安全类、管理辅助类设备具体配置指标说明
(一)集成实施服务
本项目集成服务商应提供IPv6渠道建设所需全部网络及安全类、管理辅助类设备并负责统筹在珠海数据机房完成集成实施,并对异地灾备后期全面开展IPv6建设工作做出规划方案,具体内容包括:
1 、项目实施准备
按照本技术需求说明书对项目设备进行选型,向农发行项目人员提交设备清单及详细配置;
根据设备清单及详细配置进行备货;
项目前期调研:成立项目团队、收集和记录用户要求、系统集成需求总结和确认、制定需求分析书等;
项目设计:根据项目需求分析书制定项目集成实施方案。
2、工作内容要求
1)现场调研:现网情况、机房物理环境、业务系统调研;
2)方案撰写:撰写网络实施工艺,编写设备脚本;
3)到货验收:设备到货后的验收、入库;
4)布线实施:网络设备间布线、设备上架、设备到服务器的布线;
5)设备联调:设备加电、版本升级、配置写入,联调测试;
6)配合测试:配合应用系统测试;
7)网络割接:新设备上线,新网络环境并入现网环境的割接;
8)全网测试:割接完成后的网络、应用全面测试;
9)现场保障及试运行;
10)全面部署方案:农发行异地灾备IPv6部署规划方案设计;
11)后续工作:培训、文档提交等。
其中,设备原厂商需派遣具备原厂认证资质的原厂工程师到用户现场参与调研、讨论,并协助集成商制定本次项目相应的实施计划及方案。在实施阶段,设备原厂商需协助集成商依据本项目设计方案进行实施;并在项目实施过程中,如出现技术障碍、运行故障等问题,设备原厂商有义务和责任配合集成商对问题进行快速解决。
集成商负责本项目相关产品到货、验货,负责根据前期设计方案在设备原厂商协助下制定实施方案,负责项目的整体实施,负责项目验收等工作,并在合同期内负责协调本项目有关的技术支持工作。项目实施过程中,如出现技术障碍、运行故障等问题,集成商有义务和责任组织、协调相关各方对问题进行快速解决。
3、 项目集成要求
集成商应给出包括项目管理、人员安排、施工进度、系统规划和安装操作手册在内的项目详细实施方案,其中安装操作手册中对于设备部署要求提供文字说明和图示说明。
对项目阶段做出划分,说明阶段任务与交付物,并结合阶段的划分,对总体项目进度做出规划。集成商应完成的各种阶段交付物必须经过农发行确认接收。在项目范围和技术方案不发生变化的情况下,集成商应保证在标书承诺的时间内完成该项目。
集成商应建立切实可行的质量保证体系,并提供详细的质量管理方案,以确保项目的交付质量和维护质量。保证项目过程的透明化,从而降低风险,保证项目实施质量。
本项目涉及的包括但不限于差旅费、运输费等均由集成商负责。
4 、集成人员要求
集成商应针对本采购项目建立专门的项目实施团队,明确项目团队的组织结构,详细说明团队中各参与人员的职责分工,并对主要参与人员的项目经验、技术资质进行详细介绍。项目团队需包含项目经理、项目技术人员、专职质量控制人员等。集成商和设备原厂商应保证派遣到用户现场工作的技术人员具备相应的项目经验和技术资质。
5 、技术文档要求
集成商提供的书面技术资料应能满足确保系统正常运行所需的管理、运营及维护有关的全套文件。技术文件至少应包含安装规划及实施、产品使用手册、培训文档等,具体以农发行验收标准为准。
6 、技术支持与售后服务
集成商应在合同期内向农发行提供全面、有效、及时的技术支持和服务,作为系统产生任何问题的第一响应方。集成商应详细说明在广东省的工程技术维护队伍和机构情况,服务模式、技术指导和技术支持的范围和程度。
7 、技术培训要求
集成商应向农发行管理人员、技术人员提供相关培训,以便对工程实施进行有效管理,同时保证农发行技术人员能够进行系统的运行管理、操作、维护,故障分析处理等工作。
<< 8、建设规划和技术咨询
<< 因IPv6渠道集成工作涉及到地址规划、应用系统部署等方面,原厂商及集成商应为行方提供地址规划及技术咨询服务,并提交农发行异地灾备IPv6部署规划方案。
(二)原厂商和集成商要求
1、原厂商要求
(1)原厂商各项投标产品必须具备近3年在金融行业数据中心的应用案例。需要提供销售数量的证明材料,材料内容包括:采购合同首页、采购产品内容/配置页、甲乙双方盖章页。上述材料如果为复印件,需要加盖原厂商公章,如果提供的材料为多页,还需要在每页加盖骑缝章。应用案例,含集成商与金融机构签订的案例。流量阻断设备可以用近3年在金融行业数据中心护网行动中的试用案例或测试报告代替上述证明材料,并加盖公章。
(2)设备交付前,原厂商提供该批设备软硬件支持不低于6年的承诺函。如在自合同签订之日起的六年内,原厂商公布产品服务终止,导致产品无法续保和维修,需免费向我方提供同档次的替代设备。
(3)原厂商需提供设备安装所需的备件,包括网线、光纤线、堆叠线等。
(4)原厂商应为行方提供地址规划及后期应用系统IPv6部署等技术咨询服务。
2、集成商要求
(1)集成商必须具有银行业IPv6改造部署成功案例,具有国有大型银行改造部署案例的优先。
(2)集成商必须取得原厂商针对该项目的授权文件。
(3)集成商必须负责集成实施过程中所需的辅材、耗材,如网线、光纤、机柜托盘、电源线等。
(4)集成商必须在合同签订之日起一个月内(自然日,下同)完成设备到货,并在设备全部到货后一个月内完成珠海的全部集成实施及测试工作。
(三)网络及安全类设备通用性技术要求(下述所有标“★”指标项均为设备核心指标,必须满足)
所有网络及安全类硬件设备,包括路由器、交换机、防火墙、框式安全设备、零信任VPN远程接入网设备及其板卡等,都必须同时运行IPv4/IPv6双栈,且在硬件架构、稳定性、售后等方面满足以下要求:
序号
指标项
指标要求
指标依据说明
1
★IPv4/IPv6双栈
所有产品支持IPv4/IPv6双栈,且双栈同时运行时IPv4协议栈下的各项功能与IPv6协议栈下的各项功能相同或等效。
本项目架构设计方案所要求
2
★产品生命周期
产品生命周期(End of Service)。所投标产品(含整机、模块、软件等)必须是成熟产品,不能是已经或即将列入停产计划的产品。如在自合同签订之日起六年内设备原厂商公布产品服务终止,导致产品无法续保或维修,需由中标方免费向我方提供同档次替代设备。
确保所采购设备的为市场主流设备,保障设备的可靠性和高可用性。
3
★稳定性
上线运行12个月内,如果同类型设备(或部件)累计发生2次以上故障,需免费更换同批次全部设备(或部件),性能及档次不低于原设备,所有费用由中标方承担。
确保新购硬件设备的稳定性
4
★SFP网络模块配置
如无超配要求,本项目各项设备均必须满配相应SFP网络模块(包含各类型各模式各速率的光口和电口)。
部分设备可能存在超额配置模块需求,以兼容不同接口制式,如单模、多模、千兆、万兆等。
5
★兼容性
所选设备如与我行现有设备组网运行,则必须与我行现有设备兼容。
确保新购硬件设备的兼容性
6
★维保要求
网络及安全类设备、零信任VPN远程接入网设备提供8年7天×24小时×4小时现场支持服务,维保期自《设备验收报告》签署之日起8年。
<
7
环保要求
优先考虑通过绿色节能认证的产品
节能环保
8
★耗材要求
本项目集成所用光纤网线等耗材须由中标厂商提供
<
<
(四)网络及安全类设备技术指标说明(下述所有标“★”指标项均为设备核心指标,必须满足)
1、交换机(第一类):16台
区域:核心交换区、专线接入区、前端接入区(汇聚)、后端接入区(汇聚和接入)
序号
大类
指标项
指标要求
指标依据说明
1
硬件体系架构
★端口
万兆光口≥48个,100G光口≥4个;配万兆光模块(多模)≥48个,100G光模块≥4个;
硬件架构符合主流产品架构
★电源
双电源冗余,在线更换单块电源对转发无影响,默认2个交流电源。
★电源电压
AC115-240V 50-60HZ,12-6A
★风扇
冗余风扇,在线更换单个风扇对转发无影响,默认含满配风扇模块。
2
性能参数
★整机性能
交换容量≥2.56Tbps;包转发率≥1000Mpps;
参考现有设备指标
★堆叠
支持交换机堆叠(使用专用堆叠线缆)。
高可用架构
3
网络
★网络标准
IEEE802.1d,IEEE802.1p,IEEE802.1q,IEEE802.1s,
IEEE802.1w,IEEE802.3,IEEE802.3ad,IEEE802.3x
<
4
二层功能
★VLAN功能
支持QinQ、Private VLAN、Super VLAN;
主流数据中心交换机功能
5
三层功能
★静态路由协议
支持IPv4/IPv6静态路由协议;
主流数据中心交换机功能
★策略路由
支持IPv4/IPv6基于源地址/源接口/服务端口/DSCP等条件进行选路的策略路由功能。
★动态路由协议
支持OSPF、ISIS、BGP等IPv4动态路由协议;支持OSPFv3、ISISv6、BGP4+等IPv6动态路由协议
6
管理特性
★管理协议
支持SNMP V1/V2/V3、Telnet、RMON、SSH
维护管理
★用户管理
支持通过命令行或restfulAPI等方式进行配置和管理
维护管理
7
运维功能
★VXLAN功能
实配支持VXLAN功能,无需另外购买授权
确保设备的可维护性
★端口隔离
支持端口隔离和端口组隔离
★端口镜像
支持端口镜像功能,支持聚合链路的镜像
★ACL
支持基于第二层、第三层和第四层的ACL
★广播风暴抑制
提供广播风暴抑制功能,支持双向端口限速
2、路由器:2台
区域:专线接入区
序号
大类
指标项
指标要求
指标依据说明
1
硬件体系架构
★端口
≥4个千兆以太电口,≥4个千兆光接口(多模单模共用),实配≥4个千兆单模光模块,≥4个千兆多模光模块。
≥8个万兆光接口,配备≥8个10GE多模光模块。
1个千兆以太电口作为管理接口。
硬件架构符合主流产品架构
★扩展卡
应预留扩展卡槽位,以便扩展10GE、40GE或100GE接口。
虚拟化
支持多台路由器虚拟化为一台逻辑路由器,并配备相应实现虚拟化功能所需配件,如板卡、线缆及光模块等。
★电源
双电源冗余,在线更换单块电源对转发无影响,默认含2个交流电源。
★电源电压
AC115-240V 50-60HZ,12-6A
★风扇
冗余风扇,在线更换单个风扇对转发无影响,默认含满配风扇模块。
2
性能参数
★包转发率
包转发率≥80Mpps;
参考现有设备指标
3
支持协议
★静态路由协议
支持IPv4/IPv6静态路由协议;
主流路由器功能
★策略路由
支持IPv4/IPv6基于源地址/源接口/服务端口/DSCP等条件进行选路的策略路由功能。
★动态路由协议
支持OSPF、ISIS、BGP等IPv4动态路由协议;
支持OSPFv3、ISISv6、BGP4+等IPv6动态路由协议
★流量镜像
支持端口镜像功能,支持聚合链路的镜像
4
管理特性
★管理协议
支持SNMP V1/V2/V3、Telnet、RMON、SSH
维护管理
★用户管理
支持通过命令行或restfulAPI等方式进行配置和管理
维护管理
3、 防火墙:8台
区域:专线接入区2台、核心交换区2台、后端接入区4台
异构要求:8台防火墙须互为异构产品,即其中4台为不同原厂商产品。
<
序号
大类
指标项
指标要求
指标依据说明
1
资质要求
★资质要求
投标设备型号所属的产品系列应具备以下证书:
需同时具有公安部颁发的产品销售许可证书和国家保密局评测中心颁发的产品检测证书(需要提供证书复印件)
确保所采购设备的为市场主流设备,保障设备的可靠性和高可用性。
2
关键硬件指标
★吞吐量
机箱吞吐量≥24Gbps
参考现有防火墙配置
★最大并发数
最大并发会话数≥400万
★数据处理延时
数据处理延时≤50微秒
★端口要求
≥4个千兆以太网电接口(其中含1个MGT带外管理口和1个HA口)
≥4个千兆多模光口(含光模块),≥4个万兆多模光口(含光模块)
★每秒新建连接数
每秒新建TCP连接数≥28万
★数据转发能力
数据转发能力≥4M PPS
★防火墙策略数
防火墙策略数≥2000条
★透明防火墙技术
支持二层透明模式
★双机热备
支持会话级热备,策略和会话自动同步, 切换丢包少于3个
★HA状态同步
支持HA状态同步
★冗余性要求
每台设备至少有双电源
3
防御检测与安全
★防御检测
支持状态检测和深度检测,支持同步攻击检测,ICMP flood检测,UDP flood泛滥检测,Ping of death检测,IP欺骗(IP spoofing)检测,端口扫描(Port
scan)检测
参考现有防火墙配置
★安全防护
支持防止DoS & DDoS攻击。
识别/记录/防止企图进行IP地址欺骗。
支持基于时间的访问控制。
4
NAT、路由及访问控制
★NAT技术
支持NAT/PAT技术,并且能针对NAT记录以syslog或Sflow/Netflow等方式输出
参考现有防火墙配置
★路由协议
支持IPv4/IPv6静态路由、RIP、OSPF路由协议,支持VRRP。
★策略路由
支持IPv4/IPv6基于源地址/源接口/服务端口/DSCP等条件进行选路的策略路由功能。
★访问控制
支持对源、目的IPv4/IPv6地址,源、目的端口,协议,用户,时间,安全域之间数据流向的精细粒度访问控制策略的配置。
支持Sun-RPC、MS-RPC、SQL Net v2、H.323、v2等动态端口协议。
支持访问控制策略的命中数计数功能。
支持三层路由模式旁挂式组网。
5
管理功能
★管理功能
提供命令行和图形化用户接口(GUI),可按用户角色定义用户权限,满足我行堡垒机管理要求。
参考现有防火墙配置
支持SNMP监视和配置。
基于SSH/HTTPS的远程管理 。
支持Syslog日志输出协议。
6
域名功能
★域名控制功能
支持基于域名的访问控制策略。(需截图说明)
基于域名的访问控制
域名通过动态DNS解析。(需截图说明)
7
其他功能
★配置功能
支持通过命令行方式配置防火墙策略,开放RESTful API接口,满足我行自动化运维要求。
方便维护管理
IP地址(组)名、服务端口(组)名、策略名等资源在命名时支持汉字(UTF-8或GBK编码)、大小写英文字母、数字、下划线。在命名并被引用后可随时改名而不需新建。
8
异构
★异构要求
前端接入区框式安全设备(第二类)的防火墙模块(第8项,不属于本项防火墙设备)、专线接入区防火墙、核心交换区防火墙,这三者要求异构,任意两者不能来自同一厂商。
后端接入区防火墙用于系统管理,不向用户开放,无异构要求,无厂商限制。
根据架构设计方案、同业现状、我行现有互联网渠道现状,面向用户提供服务的区域防火墙需要异构。
4、 流量阻断设备:2台
区域:专线接入区
序号
大类
指标项
指标要求
指标依据说明
1
关键硬件指标
★设备性能
最高支持1000万条IPv4地址封禁策略,1000万条IPv6地址封禁策略,最大安全业务处理能力≥20Gbps(提供截图证明)
1000万条策略的基础上新增策略配置生效时间小于500毫秒
根据IPv6渠道建设设计方案提出
<
★硬件要求
支持冗余双电源;千兆光接口≥8个;扩展性方面支持扩展插槽和接口;支持硬件bypass;配置千兆单模和多模光模块各8个。
★部署方式
支持透明方式部署,不增加三层网络转发节点
2
功能指标
★黑白名单
支持基于业务保护的黑白名单机制,黑白名单可通过单个IP,连续IP等多种格式进行配置,为防止双向攻击事件,黑白名单中的IP对于源IP或目的IP均可匹配生效。(提供截图证明)
根据IPv6渠道建设设计方案提出
★快速配置
支持地址库导入功能,可一键对地址库中的地址进行封禁或放通,支持基于组的策略配置管理,支持对组内IP进行一键阻断或放通(提供截图证明)
★IP封禁状态查询
可通过设备页面查看当前被封禁IP地址、封禁动作生效时间、封禁总包数等状态信息。(提供截图证明)
支持对统计信息进行刷新清零,对地址库中的IP进行精细化检索。
★信誉机制
支持基于攻击IP历史行为智能定义IP信誉值,自动生成封禁时间策略。(提供截图证明)
3
管理功能
★API接口
可提供RESTful接口,对接第三方平台。
第三方平台可直接对应急处置装置下发策略。
<
★管理协议
基于SSH/HTTPS的远程管理。支持SNMP管理协议。
★日志输出
支持Syslog日志输出协议。
5、 异常流量清洗设备:2套
区域:专线接入区
注:由于不同厂商设备形制各不相同,每套设备不限台数,每台设备框式或盒式均可。
序号
大类
指标项
指标要求
指标依据说明
1
资质要求
★资质要求
投标设备型号所属的产品系列应具备以下证书:
需具有公安部颁发的产品销售许可证书(需要提供证书复印件)
确保所采购设备的为市场主流设备,保障设备的可靠性和高可用性。
2
架构
★电源
支持冗余双电源。
根据IPv6渠道建设设计方案及总行生产中心、研发测试环境IPv6渠道在用设备指标提出
<
★端口要求
万兆多模光接口≥8,千兆电口≥1。
★硬件配置要求
具有良好扩展性,可以扩展流量检测模块的检测能力。
确保流量检测和流量清洗模块之间在任何条件下均无阻塞传输,系统主控与数据转发功能所用资源物理分离。
注:由于不同厂商设备形制各不相同,每套设备不限台数,每台设备框式或盒式均可。
3
流量清洗模块
★设备形态
可为单机或板卡形态;
如是硬件板卡形态,可适配机框设备,和机框设备同品牌。
根据IPv6渠道建设设计方案及总行生产中心、研发测试环境IPv6渠道在用设备指标提出
<
★吞吐量
吞吐量≥20Gbps
★最大连接数
最大连接数≥800万
4
流量检测模块
★设备形态
可为单机或板卡形态。
如是硬件板卡形态,可适配机框设备,和机框设备同品牌。
根据IPv6渠道建设设计方案及总行生产中心、研发测试环境IPv6渠道在用设备指标提出
<
★检测能力
检测能力≥5Gbps
★应用层新建性能
每秒新建连接数≥28万
5
全系统功能项
<
(本大类每个指标项均需提供产品配置截图证明)
★路由协议
支持IPv4/IPv6双栈下的静态路由、策略路由、BGP
<
★攻击防范
支持对IPv4/v6双栈下SYN/ACK、ICMP、UDP、DNS Query 等常见flood类型DDOS攻击的防护
★畸形包防范
支持畸形包攻击防范,支持针对协议漏洞的畸形包攻击防范,比如Land、Smurf、Fraggle、Tear Drop、Winnuke;
★报文合法性检查
对SYN、SYN-ACK、FIN、RST等报文的长度进行检查,报文长度合法性检查,对TCP标记检查,对ACK Payload 内容过滤,可自定义Payload字段检查范围。
★会话数限制
可对源地址/目的地址做会话数限制,包括服务类型(可定义服务类型)、新建速率、总会话数、每IP会话数、动作、有效时间等。
★HTTP防护
对代理头部字段X-Forwarded-For等代理头部字段检查。
对HTTP头部Method、Cookie、Request URI等内容过滤。
可以阻断或重置双向连接。
<
★引流回注
支持BGP路由协议发布的流量牵引方式。
支持通过策略路由将清洗后的干净流量回注给用户,用户正常的业务流量不受影响。
★抓包取证
支持抓包功能,可抓取原始数据包进行分析或取证。
★第三方联动
支持对接第三方态势感知平台。
人行要求。
6
管理功能
(本大类每个指标项均需提供产品配置截图证明)
★管理功能
支持设备性能监控,可监控接口流量信息,cpu和内存利用率和在线状态监控。
<
提供命令行和图形化用户接口(GUI),可按用户角色定义用户权限,满足我行堡垒机管理要求。
基于SSH/HTTPS/RESTful API的远程管理。支持SNMP管理协议。
支持Syslog日志输出协议。
<
6、 框式安全设备(第一类):2台
区域:专线接入区
序号
大类
指标项
指标要求
指标依据说明
1
机框技术指标
★体系架构
机框式插卡设备,具有专用操作系统,稳定可靠
本次选购设备可以使用主控集成交换芯片的设备,也可以使用交换网板与主控分离的设备,如果使用交换网板与主控分离的设备,需要可配置业务板数量≥8
整框某类业务板卡模块的总体性能=单块业务板卡模块的性能x该类业务板卡模块的数量。
根据IPv6渠道建设设计方案及总行生产中心、研发测试环境IPv6渠道在用设备指标提出
★引擎
配置冗余双控制引擎。
★电源
支持冗余双电源。
★业务槽位数
≥8,以满足冗余性和扩展性需要。冗余性是指可以对故障板卡进行热替换。扩展性是指槽位数量要确保每类板卡模块的处理能力在远期能扩展到100Gbps。
★端口要求
万兆多模光接口≥10,千兆电口≥1。
支持未来扩展到100G接口。
机框内各板卡间如需进行跳线连接,必须配齐所需接口和模块。
★交换容量
背板交换容量≥3.2Tbps,以官网宣称为准,提供官网截图。
★整机转发性能
包转发率≥4762Mpps,以官网宣称为准,提供官网截图。
★业务模块类型
为了简化网络架构,方便运维管理,满足后期扩容,本设备需要支持链路负载均衡、SSL卸载、IPS三类业务板卡模块,需要提供官网截图链接并加盖原厂商公章。
2
机框功能
★流量选择
支持静态路由和策略路由,支持基于802.1Q的vlan间路由。
支持根据业务类型对流量进行选择或编排,对流量是否经过SSL板卡进行灵活的识别和控制。
根据IPv6渠道建设设计方案及总行生产中心、研发测试环境IPv6渠道在用设备指标提出
<
★流量镜像和引流功能
需将框内板卡间流量镜像出框,供网络流量分析系统进行故障定位和故障现场还原回溯。
具备将部分流量引出框外安全设备再接回的功能,以兼容未来部署其它独立安全设备的需求。
★管理功能
支持设备性能监控,可监控接口流量信息,cpu和内存利用率和在线状态监控。
提供命令行和图形化用户接口(GUI),可按用户角色定义用户权限,满足我行堡垒机管理要求。
基于SSH/HTTPS/RESTful API的远程管理。支持SNMP管理协议。
支持Syslog日志输出协议。
3
GSLB全局负载均衡板卡模块技术指标
★系统内核
采用封闭式的专有操作系统,无已知安全漏洞, 且非OEM产品,提供软件著作权证书。
<
★硬件配置要求
设备形态为硬件板卡形态,可适配机框设备,和机框设备同品牌。
<
★吞吐量要求
单板吞吐量≥20Gbps,支持未来扩展到100Gbps吞吐量。
★应用层新建性能
每秒新建连接数≥28万。
★二三层转发
支持动态端口聚合,支持的算法包括源IP+目的IP、源MAC+目的MAC、基于端口等(需提供设备功能界面截图证明)
★NAT功能要求
支持对IPv4/IPv6地址进行NAT转换。
支持为往返流量按运营商IPv4/IPv6地址选择合适的运营商专线。
4
SSL卸载
板卡模块技术指标
★系统内核
采用封闭式的专有操作系统,无已知安全漏洞且非OEM产品,提供软件著作权证书。
<
★硬件配置要求
设备形态为硬件板卡形态,可适配机框设备,和机框设备同品牌。
根据IPv6渠道建设设计方案及总行生产中心、研发测试环境IPv6渠道在用设备指标提出。
★吞吐量要求
单板吞吐量≥20Gbps,支持未来扩展到100Gbps吞吐量。
★应用层处理能力
SSL吞吐量≥5Gbps。
★应用层新建性能
SSL每秒新建2048位RSA密钥连接数≥2万。
★SSL卸载功能
1、内置SSL加速芯片,或者配置独立的SSL加速卡,提供服务器SSL卸载功能。
2、支持各类标准证书的申请和导入,类型包含:
RSA:1024-bit,2048-bit,4096-bit,ECDSA:256-bit、384-bit,SM2:256-bit。
3、支持SSL算法和国密SSL 算法的单向和双向认证,至少包含以下算法:RSA、AES、3DES、MD5、SHA、ECDSA、ECDHE、SHA256、SHA384算法;国密:SM2、SM3、SM4算法;
支持算法组合:
TLS_ECDHE_RSA_WITH_AES256_GCM_SHA384;
TLS_RSA_WITH_AES256_GCM_SHA384;
TLS_ECC_SM4_SM3。
支持多级CA证书链。
支持SSL3.0/TLS1.0/TLS1.2及更新协议。
5、SSL卸载:支持SSL卸载(国家商用密码及国际商用密码),将SSL/TLS协议流量解密为明文后再传输至服务器,以减轻服务器性能压力。
6、SSL加密:支持SSL加密(国家商用密码及国际商用密码),将SSL/TLS协议流量加密为密文后再加密传输至服务器,以减轻服务器性能压力。
7、支持CRL证书吊销列表。
8、支持SNI拓展特性。即单个域名上启用多张证书,或单张证书用于多个域名。
5
IPS
板卡模块技术指标
★系统内核
具备自主研发的安全操作系统,无已知安全漏洞,且非OEM产品,提供软件著作权证书。
确保所采购设备的为市场主流设备,保障设备的可靠性和高可用性。
★硬件配置要求
设备形态为硬件板卡形态,可适配机框设备且和机框设备同品牌。
<
★吞吐量要求
单板吞吐量≥20Gbps,支持未来扩展到100Gbps吞吐量。
★最大连接数
最大连接数≥400万
★应用层新建性能
每秒新建连接数≥28万
防攻击功能开启时每秒新建连接数≥24万
★应用层处理能力
应用层防攻击性能≥5Gbps
★IPS攻击防护功能
1、内置IPS特征库,特征规则数量不少于5000条,并可根据CVE编号查询具体的攻击特征。
2、支持自定义特征。可基于方向、协议、字符串、正则表达式、源端口、目的端口等维度进行特征自定义,并可自行设置特征严重等级。
3、支持自定义规则。可基于IT资源、攻击类型、协议等维度进行自定义,对不同等级的特征可设置不同的动作,且可以设置例外特征ID,保证设置的例外特征不会被阻断并告警。
4、入侵防御事件库应符合国家信息安全漏洞库标准,事件描述为中文。
6
资质要求
★产品资质
投标设备型号所属的产品系列应具备以下证书:
具有公安部颁发的产品销售许可证书;
具备国家版权局颁发的《计算机软件著作权登记证书》
具备国家密码局颁发的《商用密码产品认证证书》
具备 IPv6 Forum《IPv6 Ready Logo》资质
<
7、框式安全设备(第二类):2台
区域:前端接入区
序号
大类
指标项
指标要求
指标依据说明
1
机框技术指标
★体系架构
机框式插卡设备,具有专用操作系统,稳定可靠。
本次选购设备可以使用主控集成交换芯片的设备,也可以使用交换网板与主控分离的设备,如果使用交换网板与主控分离的设备,为了具有良好的扩展性,需要可配置业务板数量≥6。
整框某类业务板卡模块的总体性能=单块业务板卡模块的性能x该类业务板卡模块的数量。
根据IPv6渠道建设设计方案提出
<
★引擎
配置冗余双控制引擎。
★电源
支持冗余双电源。
★业务槽位数
≥6,以满足冗余性和扩展性需要。冗余性是指可以对故障板卡进行热替换。扩展性是指槽位数量要确保每类板卡模块的处理能力在远期能扩展到100Gbps。
★端口要求
万兆多模光接口≥10,千兆电口≥1。
支持未来扩展到100G接口。
机框内各板卡间如需进行跳线连接,必须配齐所需接口和模块。
★交换容量
背板交换容量≥3.2Tbps,以官网宣称为准,提供官网截图。
★整机转发性能
包转发率≥3572Mpps,以官网宣称为准,提供官网截图。
★业务板卡模块类型要求
为了简化网络架构,方便运维管理,满足后期扩容,本设备需要支持应用防火墙、WAF两类业务板卡模块,需要提供官网截图链接并加盖原厂商公章。
2
机框功能
★流量选择
支持静态路由和策略路由,支持基于802.1Q的vlan间路由。
支持根据业务类型对流量进行选择或编排,对是否经过WAF板卡进行灵活的识别和控制
根据IPv6渠道建设设计方案提出
★流量镜像功能
需将框内板卡间流量镜像出框,供网络流量分析系统进行故障定位和故障现场还原回溯
★管理功能
支持设备性能监控,可监控接口流量信息,cpu和内存利用率和在线状态监控。
提供命令行和图形化用户接口(GUI),可按用户角色定义用户权限,满足我行堡垒机管理要求。
基于SSH/HTTPS/RESTful API的远程管理。支持SNMP管理协议。
支持Syslog日志输出协议。
<
防火墙
板卡模块技术指标
★资质要求
投标设备型号所属的产品系列应具备以下证书:
需同时具有公安部颁发的产品销售许可证书和国家保密局评测中心颁发的产品检测证书(需要提供证书复印件)
具备国家版权局颁发的《计算机软件著作权登记证书》;
具备IPv6 Forum《IPv6 Ready Logo》资质;
确保所采购设备的为市场主流设备,保障设备的可靠性和高可用性。
3
★吞吐量要求
单板吞吐量≥24Gbps,支持未来扩展到100Gbps吞吐量。
<
★最大连接数
单板卡最大连接数≥400万
★数据处理延时
数据处理延时≤50微秒
★应用层新建性能
每秒新建TCP连接数≥28万
★数据转发能力
数据转发能力≥4M PPS
★防火墙策略数
防火墙策略数≥2000条
★透明防火墙技术
支持二层透明模式
★热备要求
支持会话级热备,策略和会话自动同步, 切换丢包少于3个
支持HA状态同步
★访问控制
1、支持对源、目的地址,源、目的端口,协议,用户,时间,安全域之间数据流向的精细粒度访问控制策略的配置。
2、支持Sun-RPC、MS-RPC、SQL Net v2、H.323、v2等动态端口协议。(需截图说明)
3、支持访问控制策略的命中数计数功能。(需截图说明)
4、支持三层路由模式旁挂式组网。
★域名控制功能
支持基于域名的访问控制策略。(需截图说明)
域名通过动态DNS解析。(需截图说明)
★配置功能
1、支持通过命令行方式配置防火墙策略,开放RESTful API接口,满足我行自动化运维要求。支持输入UTF8或GBK格式编码的中文字符。(需截图说明)
2、IP地址(组)名、服务端口(组)名、策略名,在命名时支持大小写英文字母、数字、下划线。且命名后可随时改名,而不需重建。(需截图说明)
3、防火墙访问控制策略(包过滤策略)能重新排序。(需截图说明)
4
WAF
板卡模块技术指标
★资质要求
投标设备型号所属的产品系列应具备以下证书:
需具有公安部颁发的产品销售许可证书(需要提供证书复印件);
具备国家版权局颁发的《计算机软件著作权登记证书》;
具备IPv6 Forum《IPv6 Ready Logo》资质;
确保所采购设备的为市场主流设备,保障设备的可靠性和高可用性。
★硬件架构
设备形态为硬件板卡形态,可适配机框设备,和机框设备同品牌。
最大连接与防火墙一致
<
<
★吞吐量要求
单板吞吐量≥20Gbps,支持未来扩展到100Gbps吞吐量。
★应用层处理能力
应用层处理能力≥5Gbps
★最大连接数
最大连接数≥400万
★应用层新建性能
每秒新建连接数≥5万
★默认防护策略
支持对Web流量的镜像检测及镜像阻断功能。
支持对可疑流量进行HTTP重定向。
★Web扫描防护
支持基于阈值统计、动作持续时间及指纹识别技术进行Web扫描防护。
★HTTP协议
报文结构校验
支持识别HTTP1.0、HTTP1.1等版本协议报文结构并校验,包括请求行、Cookie、头域载荷等部分,可按应用系统需求调整Host、Content-Encoding等参数。
★漏洞攻击防护
支持Web层面的漏洞攻击防护,防护类型至少包含SQL、XSS、命令注入、目录遍历、跨站伪造脚本等。支持例外页面、例外参数配置,且支持与黑名单联动,可设置联动阈值、联动周期及禁封时间。
★信息泄露防护
支持服务器信息隐藏,隐藏信息包括Server头域信息、5xx信息、4xx信息、网站目录信息、关键文件信息、数据库信息、源码信息、账号信息(银行卡号/身份证号)。
★Webshell防护
支持Webshell非法上传防护,同时支持基于Webshell上报危险系数防护。(需提供功能截图或配置实例)
(五)运维管理辅助类设备技术指标说明(下述所有标“★”指标项均为设备核心指标,必须满足)
1、NTP服务器:1台
区域:前端接入区
序号
大类
指标项
指标要求
指标依据说明
1
资质要求
★资质要求
投标设备型号所属的产品系列应具备以下证书:提供软件著作权证书和国家相关部门检测报告(需要提供证书复印件)
确保设备为市场主流设备,保障设备的可靠性和高可用性。
2
关键硬件指标
★守时精度
内置铷钟,24小时偏差<=200ns(提供国家相关部门的检测报告)
根据总行及珠海现有NTP配置
<
★同步精度
同步精度≤2µs
★端口要求
配置6个千兆以太网接口,端口访问容量优于14000次/秒,(每个端口具备授时和管理功能);1个Console设置口、2个USB备份/升级/存取日志口、1个DB-9 TOD时间输出口、3个干接点报警接口。(提供设备接口截图)
★输出配置
输出1pps脉冲,BNC,1路,稳定度<=10ns(σ)(提供国家相关部门检测报告)
★高可靠性
系统配置可热插拔冗余电源;系统配置高性能锂电池,电池独立工作时间8小时以上;支持芯跳检测功能,两台设备网卡可设为同一IP,互为冗余备份;支持双机冗余热备份;支持Bonding功能,同一设备四网卡可设为同一IP,单机即可实现网卡故障备份。
★响应能力与协议
1、NTP请求量>=14000次/秒(投标时提供国家相关部门检测报告);
2、支持NTP Peer Client/Server
Broadcast Multicast;
3、支持网络协议种类NTPv1.v2.v3&v4(RFC1119&1305)、SNTP(RFC2030)、MD5 Authentication(RFC1321)、TIME(RFC868)、FTP(RFC959)、DAYTIME(RFC867)、DHCP (RFC2131)、HTTP/SSL/HTTPS(RFC2616)、SSH/SCP (Internet Draft)
SNMPv1,v2、MIB II(RFC1213)、RSA非对称加密;支持IPV4、IPV6、IPv4/IPv6 Hybrid
3
关键功能
★卫星接收
支持北斗、GPS双参考源,可扩展GLONASS卫星参考源;命令设置可仅使用北斗授时、仅使用GPS授时或使用北斗和GPS联合授时。
同时支持手持式北斗时钟校准功能,手持设备具备10M精度检测、1PPS精度检测、NTP精度检测等接口,可拆卸式锂电池,提供设备功能及接口截图。
参考总行及珠海现有NTP配置
4
管理功能
★管理软件
提供NTSM 网络时间同步系统统一监视软件,界面清晰,可以监视NTP服务器和授时客户端的同步和时间偏差情况,对北斗/GPS失锁、NTP服务器不同步、同步状态切换给出告警和日志信息。
参考总行及珠海现有NTP配置
NTP服务器时间同步状态监视,包括GPS卫星数,服务器部署位置的经纬度和高度,卫星时间,服务器时间以及和参考源的同步情况。包括监视服务器的列表,客户端列表,比判阈值,Email、Syslog、SNMP设置以及发送状态设置。
支持全网内分地区实现客户端同步状态统计。
★用户界面
配置高亮度VFD液晶,支持轮循显示GPS/北斗2搜星状态、时间、卫星个数、经纬度、高度、各网卡IP、系统工作状态;三色指示灯支持显示NTP服务是否启动、网络连接是否正常、NTP请求是否超限及GPS是否锁定等信息。
参考总行及珠海现有NTP配置
★配置与日志记录
支持Console模式、Telnet、windows远端和SSH进行远程管理、配置和升级;日志记录>=4000条,支持USB存取,可扩展硬盘存储。
参考总行及珠海现有NTP配置
2、DNS服务器:2台
区域:前端接入区
序号
大类
指标项
指标要求
指标依据说明
1
资质要求
★资质要求
投标设备型号所属的产品系列应具备以下证书:
所投产品须具备软件著作权、软件产品证书,提供相应证明文件,有能力提供具有自主知识产权的产品(加盖原厂公章)
所投产品需要通过IPv6 Ready认证、并具备对应认证证书
所投产品具备第三方权威机构(公安部、中国信息安全测评中心)的安全测试报告(提供证明文件,加盖原厂公章)
所投产品具备公安部销售许可证书(提供证明文件,加盖原厂公章)
确保所采购设备的为市场主流设备,保障设备的可靠性和高可用性。
2
关键硬件指标
★硬件要求
8G内存(可扩展至32G),硬盘≥1T(支持Raid0/Raid1,可拓展≥1块硬盘),冗余电源。
参考总行及珠海现有DNS配置
<
<
★端口要求
6个千兆以太网电口(可再扩展2个万兆光口)。
★QPS指标
开启解析日志(Query log)时的QPS不低于80000,且不需要配置独立的日志生成设备
时钟校准
支持NTP网络授时,可配置不少于10个IP和域名形式的上一级网络时间服务器,NTP服务器支持基于IP的访问控制
★TFTP
支持TFTP服务,可配置服务启停,可通过WEB管理中心进行文件和目录的增删改操作
★系统冗余能力
系统具备系统级、软件功能级冗余备份能力,支持HA部署,支持主备式网卡接口绑定
3
软件功能
★管理功能
支持多级集中管理,多级管理节点间可自动同步,实现向服务节点的数据分发、数据汇总回传。
支持所有设备节点的统一集中管理,通过统一的管理平台上完成所有服务的配置,而不是登录到不同系统单独操作。
支持分布式部署,各节点数据统一下发,数据下发支持加密,并能保证数据一致性。
参考总行及珠海现有DNS配置
<
支持密码验证保护,同一账号密码连续多次错误一段时间内禁止登录,账户的禁止状态可手动解除
提供全中文化WEB操作界面,简化操作复杂度。可视化中文界面:用户输入、报表、管理界面、告警事件的信息等均支持中文界面
API接口:提供全功能的编程接口
支持CLI管理,支持console、telnet和SSH终端连接,进行常用管理操作
支持账户分权,可设定基于WEB/API接口/CLI命令的差异化操作权限,如不可见/只读/修改权限
对于原厂硬件支持监控网口状态,电源状态和磁盘、磁盘RAID状态,状态异常支持告警
★权威功能
必须支持标准的 DNS 服务,支持正向解析、反向解析功能
参考总行及珠海现有DNS配置
<
支持常用的记录类型,包括但不限于A,AAAA,CNAME,MX,NS,PTR,TXT,SRV,SPF等
支持URL解析跳转服务
支持记录排序,即指定多个记录返回的优先顺序
支持子域授权,可以将子域解析权委派到其他DNS服务器
支持多区多视图,支持资源记录的批量修改,支持视图禁用
支持共享记录,可跨区域一次配置相同前缀记录,可一次实现跨区共享记录的统一增、删、改
支持A、AAAA记录同PTR的操作联动
支持全局搜索,可根据域名、IP、备注标识进行模糊搜索
支持二级域名注册,可设置注册申请表、注册域名有效期,并允许用户自主维护或审核变更过程
支持辅区不过期,当所有主区异常时,辅区可永久以最后一个更新的区记录提供解析服务
智能化的访问调度,支持DNS多种负载均衡动态就近性、CPU/内存负荷算法,来源就近算法、优先可用算法、返回备用IP算法、加权比率算法等(提供功能截图,并加盖原厂公章)
支持两级访问调度,即优先按照某策略调度到某应用服务器池,然后在根据某策略调度到该池内具体服务器(提供功能截图,并加盖原厂公章)
★递归功能
可单独启用或停止递归功能。
根据总行及珠海现有DNS配置
支持递归请求失败跳转服务,当解析失败时到指定服务器进行查询
提供递归查询顺序转发/RTT动态转发/转发例外,同时支持转发失败后通过递归迭代继续查询。
支持设置基于视图的递归请求的源地址
支持缓存预取,可设定预取记录的TTL,可对热点域名、重点域名进行缓存预取(提供功能截图,并加盖原厂公章)
做为递归服务器,支持解析结果映射替换,满足业务对接需要
★技术前瞻性
支持AAAA过滤
根据总行及珠海现有DNS配置
系统必须全面支持IPv6所采用的系统必须支持IPv4和IPv6双栈,协助企业实现IPv4到IPv6的平稳过渡。
系统支持DNSSEC、DNS64
★安全防护
支持0x20、支持对外递归查询的随机端口、随机ID
根据总行及珠海现有DNS配置
支持解析劫持黑白名单,可指定域名解析为指定A、AAAA结果,也可以解析为NXDOMAIN、NOERROR无记录
递归超时攻击安全防护,自动控制超时域名的递归查询数量,有效避免客户端发起的恶意递归查询服务请求
对外并发查询数量限制,减少并发递归攻击对系统的影响
支持IP、IP段和域名的解析记录限速控制,实现客户请求的域名记录解析进行限速
日志报表
统计报表支持对分布式部署的多台设备节点进行整体统计,即将所有设备节点的总体运行数据进行统计分析
根据总行及珠海现有DNS配置
★图形化统计报表应支持实时和历史数据展示,历史数据保存不少于3个月,历史统计可按照时间自定义查询
支持报表导出,可导出对应的统计报表文件
丰富的解析日志,记录解析应答结果,每一次解析延迟,精确到毫秒
★可自定义日志的严重等级,根据等级发送至多台Syslog服务器
要求支持图形化方式的全局所有子节点监控,包括:服务器性能、运行状态等。可设定报警阈值,发生问题时可实时触发故障报警,要能支持邮件、SNMP TRAP和URL回调等报警方式。
支持自定义报表,可根据需要对(域名、来源IP、来源端口、解析类型等)组合进行统计报表分析和展示。
3、堡垒机:2台
区域:后端接入区
序号
大类
指标项
指标要求
指标依据说明
1
硬件体系架构
★IPv4/IPv6双栈
所有产品支持IPv4/IPv6双栈,且双栈同时运行时IPv4协议栈下的各项功能与IPv6协议栈下的各项功能相同或等效。
本项目架构设计方案所要求
★端口
至少4个以太网电口。
硬件架构符合主流产品架构
★硬盘
本地硬盘容量≥2T,支持外挂网络存储空间资源。
★电源
双电源冗余,在线更换单块电源对转发无影响,默认含2个交流电源。
AC115-240V,50-60HZ,不超过12A
★风扇
冗余风扇,在线更换单个风扇对转发无影响,默认含满配风扇模块。
★冗余
主备式部署,配置自动同步。
2
性能参数
★纳管数量
纳管设备资产数量无限制。
<
3
管理特性
★管理协议
支持Telnet、RMON、SSH、RESTfulAPI。
<
维护管理
★用户界面
支持通过命令行、中文图形化WEB界面等方式进行配置和管理。
维护管理
★用户分组
各用户按运维角色编入不同用户组,获取不同权限。
<
新入组用户继承现有用户组的一切特性,如权限。
支持对于用户账号的增、删、改、查。
★设备资产分组
各类设备资产按厂商编入不同设备资产组。
新入组设备资产继承现有设备资产组一切特性,如绑定关系。
支持对于设备资产的增、删、改、查
★正则表达式
支持基于正则表达式规则制作命令模板。
命令模板在命令行模式下向设备输入指令时生效。
命令模板至少具备允许、拒绝、复核三种动作。
命令模板调用需要绑定用户组、设备资产组两组条件。
命令模板可自定义名称。
★API接口
开放RESTfulAPI接口,可与第三方程序对接实现但不限于下述“灾备一键切换”功能:配合第三方程序实现被管理设备资产按预定义脚本进行批量变更,并对设备信息修改操作的情况进行记录。在被管理设备资产能够提供RESTfulAPI的情况下还要向第三方程序传递被管理设备资产变更结果的反馈信息。
★登录界面
支持通过IE、Chrome、Firefox等浏览器中的一种或几种登录堡垒机界面。
支持用户名密码、短信、USBkey硬件动态令牌、手机APP令牌等方式实现登录堡垒机账号的双因素认证。
★设备资产管理
支持对于主机(包括但不限于windows、linux、Unix)、网络设备(包括但不限于思科、华为、华三、锐捷)、网络安全设备、数据库(包括但不限于Oracle、MSSQL、MYSQL、DB2)等软硬件设备资产的管理。
支持命令行协议:SSH、Telnet
支持字符串协议:SFTP、FTP
支持图形协议:RDP(如MSTSC)、VNC、Xdmcp、Xfwd
支持跳转登录功能,在命令行和图形界面下,用户通过跳板服务器实现对设备的间接访问。
支持将设备的用户名和密码托管到堡垒机当中,并且可验证托管密码的有效性。
运维人员通过堡垒机登录设备时,由堡垒机代填登录信息,包括但不限于URL、数据库IP、数据库实例、账号、密码,无需手动输入。
★权限管理
支持按照用户/用户组、设备资产/设备资产组、访问协议等属性进行访问权限的设定,限制用户权限。
<
支持访问时间控制,限制用户登录时间。
支持按用户或设备资产等条件查看用户与设备之间的访问权限设置关系。
★部门管理
支持部门分权的管理模式,不同部门管理员仅能管理审计各自部门的用户及资源
<
可分别配置部门的配置管理员,部门下的配置管理员可自行添加部门内的用户账号、资产和配置访问权限。
可分别配置部门下的审计管理员,部门下的审计管理员可审计本部门下资产的操作记录。
★国密算法
支持国密算法的双因素认证,可以在登录堡垒机时采用国密算法的硬件动态令牌。
<
支持将保存在堡垒机上的密码等敏感信息以国密算法进行加密存储。
★应用发布服务器配套软硬件支持
应用发布服务器(跳板服务器)支持WindowsServer2016或更高版本。
<
支持通过IE、Chrome等浏览器对设备资产进行WEB界面管理。上述已列举的两种浏览器必须全部支持。
支持各类客户端软件,如SecureCRT、Xshell、Putty、Mobaxterm、PLSQL、Navica等工具。
支持应用发布服务器的用户环境隔离,各用户之间不共享同一个环境,避免越权访问等安全问题。
可对同一集群下的多台应用发布服务器轮询处理,自动均衡会话。
可对同一集群下的多台应用发布服务器配置同步,用户使用不同的应用发布服务时无感受无差别。
★操作审计
支持命令行和图形化界面的操练做审计,可以回放相关操作。
<
支持图形审计记录压缩,通过压缩算法或过滤静止画面等方式,减少视频记录所占硬盘空间。
支持文件传输审计,可以记录用户的文件传输操作,并可留存传输文件便于审计。
具备数据库审计,可实现对oracle、mysql、sqlserver数据库客户端操作行为的SQL语句还原。
★账号改密
支持对于Windows、Linux、网络设备上系统账号的自动改密功能。
<
Windows支持Agent和RPC两种改密模式
Linux和网络设备采用标准的SSH/Telnet协议进行改密
支持对于安全设备(通过web页面管理)的自动改密,模拟HTTP或HTTPS的交互过程进行web页面的改密。
管理员可配置“计划任务”,制定自动改密的时间、设备资产、系统账号、密码规则以及密码备份方式。
“密码规则”可由管理员自定义,修改为随机不同密码,密码复杂度(长度、特殊字符、大小写字母、数字等)可以自定义。
密码备份方式支持SFTP文件服务器和密码打印机备份。
自动巡检
支持账号的自动安全巡检,分析设备资产账号是否存在风险,例如:
1.弱密码口令:例如长度、常见弱密码字典本等。管理员可自定义弱密码口令规则。
2.僵尸账号或后门账号:例如创建成功后从未登录过的账号。
3.长时间未登录账号:例如超过3个月或6个月未登录过的账号。
4.异常账号:例如密码不正确的账号。
<
(六)原厂维保服务要求
1、维保服务内容及时间
(1)技术支持。7天×24小时×1小时响应。用户提出故障申告后,如1小时内远程无法解决故障,须派工程师到用户现场,4小时内到达。
(2)备机和保修。7天×24小时×1小时响应。在维保期内,如果设备(含配件)损坏,需提供替代设备,8小时内将替代设备发送到行方指定位置,优先恢复网络运行。所更换设备为全新设备且型号与原设备一致。如故障设备型号已停产,则提供的替换设备应为全新设备,且性能不低于故障设备,功能不少于故障设备,操作系统版本不早于故障设备,并能兼容故障设备配置。损坏设备退回原厂。
(3)维保期。网络及安全类设备、零信任VPN远程接入网设备方面:维保期自合同所列全部设备及服务,最终工程验收合格并签署《工程验收报告》之日起8年。运维管理辅助类设备方面:维保期自合同所列全部设备及服务,最终工程验收合格并签署《工程验收报告》之日起6年。
2、维保团队。售后服务期间,应成立专门的农发行服务团队,并配备项目经理(在合同中需明确服务人员名单),服务团队在广东省内有稳定可靠的农发行现场支持工程师,专门负责我方问题管理、技术支持、巡检等工作,7天×24小时服务,不得以人员不足为由不提供服务或服务延期。
3、巡检服务。每半年一次巡检。巡检后5个工作日内向甲方提供巡检报告。在重要时间点,如两会、年终决算,要根据我行要求增加巡检。
4、软件产品和文档更新。提供最新版本的软件及技术文档,并提供所需的技术支持和说明。
5、集成服务支持:根据项目的要求完成方案架构与配置的更改、与网络相关的应用的故障诊断与排除。
(六)集成商维保服务要求
1、集成商提供的免费服务自项目验收报告签署之日起计算,免费服务期与所负责采购、集成设备的原厂维保服务期相同。
2、在免费服务期内,集成商应保证协调原厂商免费提供本项目采购的产品的维护、巡检等服务和相关的技术指导。
3、集成商需提供7×24电话支持服务,并按照问题等级要求提供分级服务。其中,紧急支持服务要求为:7×24小时电话支持,15分钟电话响应,并及时协调原厂商资源解决问题。如1小时内远程无法解决故障,须派工程师到用户现场,4小时内到达。
4、如发现设备存在性能问题,集成商应根据甲方要求缩短性能分析周期,及时协调原厂商资源提出解决方案,并协助甲方直至问题解决。
5、远程技术支持:集成商作为技术第一线,需通过电话、传真、电子邮件方式接受、回答、解决甲方技术问题;如有需要集成商需及时协调原厂商解决甲方技术问题,并协助甲方跟踪、督促原厂商后台问题解决的进度。
6、软件升级:如软件有新的改进、增加新功能,集成商在征得农发行同意后,协调原厂商及时对软件系统进行修改和升级,并由原厂商提供升级实施服务。
技术资料服务:
7、日常维护及应急文档:集成商协调原厂商辅助编写修订系统日常维护和应急处理所需文档,并每半年提供一次最新版应急处理文档。
其它文档:集成商辅助甲方及原厂商每半年为甲方提供一次保证合同标的正常运行的技术资料。资料内容应包括但不限于产品的安装、问题处理、性能优化等。
8、定期的客户回访制度:每季度进行一次例行的客户回访,了解甲方对服务质量及服务承诺的评估情况,从中发现不足,并尽快改正和补救。每半年向甲方提供对全面服务提供总结性报告。
要求集成商提供的服务包含但不限于以上内容,如投标方可提供其他个性化服务,需在投标文件中注明。
三、< IPv6渠道网络安全阻断系统设备具体配置指标说明
(一)产品及服务商要求
1、 本次采购网络安全阻断系统,含系统控制台和探针各1台(软硬件一体),设备功能模块和性能参数应与目前总行及珠海在用设备一致,系统提供标准API,可接入我行现有威胁监测系统、态势感知平台,并与安全阻断系统、威胁情报平台联动。
2、 产品部署实施时须采用旁路部署方式,不影响现有网络的拓扑结构;同时支持IPv4和IPv6协议,能够解析原始网络流量中的应用层协议,同时还原应用协议中包含的文件内容并对文件进行动态行为模拟分析,具备对网络流量进行实时关联分析和与阻断的能力。
3、 产品必须是满足国家安全可控要求的成熟产品,技术支持服务周期不得少于5年。技术支持服务内容具体包括:故障硬件更换、软件版本升级和漏洞修复、软硬件故障受理等。如果因厂商原因提前停止销售有关产品,或提前停止提供技术支持服务,必须承诺提供技术功能性能均不低于已购产品的替代产品。
4、 集成服务要求。由中标厂商提供系统集成所需全部软硬件设备(含所需的线缆及耗材配件);同时,集成服务包括制定技术方案、实施方案,并根据实施方案和实施计划,按时完成设备的安装、初始化、配置部署和测试等集成工作;中标厂商应根据我行要求,做好异地灾备IPv6渠道网络安全阻断系统与总行相应安全平台之间的对接配置相关工作。
(二)配置指标与功能要求
1.< 概述
<
采购内容
类别
需求数量及单位
部署位置/使用单位
网络安全阻断系统
软硬一体
1套(含系统控制台和探针各1台。)
珠海IT基地(珠海)
供应商应提供所有涉及资源配置项的原厂商本地化实施和原厂5年免费维保服务。本地化实施包括适应性改造、产品部署配置、对接联调和策略优化等内容。
2.< 详细要求
以下标注“★”条款为必须满足项,投标人不得有负偏离,否则投标将被否决。其余条款为一般技术参数,可通过综合评分中的分数体现不同厂家的差异。投标人应对以下要求逐条应答,明确响应,详细说明系统实现方式,并按要求提供系统真实截图。投标人应提前准备好相关的线上demo环境,对招标现场提出的问题和相关功能进行现场演示。
模块
功能
指标项
技术规格要求
阻断模块
系统管理
系统部署
支持独立部署和私有云部署
支持高可用,具备热备的能力,当某台系统出现故障时可以快速切换到正常备份设备
★支持旁路部署对镜像流量进行监听,支持旁路阻断防护
★硬件
监听口:不少于2个万兆电口、2个万兆光口
硬盘:支持6个月相关日志和报警原始报文的存储
★性能参数
单机网络带宽吞吐量可达5Gbps
支持配置的黑名单规则可达10万条,白名单规则可达5000条
支持通过API下发的IP黑名单规则可达8万条
支持每秒最大会话数20万
稳定运行率≧99%。
系统登陆时间<2秒。
功能页面反应时间<2秒。
数据报表生成时间<10秒。
系统管理
支持IP威胁情报库,包括IP的地理位置,属性(IDC,下区出口,C2)等
支持系统异常监控,发生异常后,监控会上报异常生成故障日志报表,至少包含:故障时间、故障IP、故障类型、故障详细说明等
支持策略库、IP库更新和升级
网络流量协议分析模块
流量采集与解析
具备实时采集流入、流出目标网络的所有流量数据包的能力
具备实时关联和分析Web请求与响应数据包的能力
具备关联多个实时和缓存数据包的能力
具备TCP流分片实时组包和分析的能力
具备对采集的数据包进行协议解析能力,能够监视的协议至少包括:以太网帧、IP(v4/v6)、TCP、UDP、HTTP、DNS、ICMP等
安全检测
支持Web应用层和网络层的常见高危漏洞探测和利用威胁检测,如通用高危漏洞探测/利用,针对基础服务认证的暴力猜解等
支持主机入侵行为检测,包括坏人渗透到内网后意图权限获取和保持,入侵主机后利用作恶等手法的发现, 如入侵主机后远程控制,木马、僵尸网络与控制端通信等
★支持安全违规行为监控,包括违反国家网络安全相关法规的行为持续监控,如黄赌毒反动页面,Web敏感数据明文信息传输, 对外漏洞攻击,HTTPS证书过期等(请提供系统真实截图)
★系统应提供安全检测告警报表,详细记录检测结果数据,至少包含:发现时间、拦截下发状态、威胁等级、威胁类型、协议类型、攻击源IP、攻击源端口、HOST、CGI、攻击目标IP、攻击目标端口、告警详情信息、PAYLOAD等
针对安全检测告警报表,支持对安全检测告警数据进行精确检索、模糊检索以及多条件组合检索
★支持对海量、相同告警进行合并,减少告警数量,避免产生告警风暴
攻击阻断模块
安全管控
★基于旁路的方式实现攻击阻断,支持对IP,URL,域名3个层级的会话实时阻断。(请提供系统真实截图)
★支持以API的方式,接收第三方系统的拦截请求,包括拦截XFF或某自定义字段中的IP地址,并支持不同信息系统,拦截从前面或者从后面数第N个IP地址。
★IP、域名、url旁路阻断成功率大于99.9%。
★能够对网页传递的参数进行限制,从而对未打补丁的网站起到热补丁的功能。(请提供真实功能截图)
★支持对来访的源IP(v4/v6),或被访问的URL、域名、目的IP(v4/v6)添加黑名单规则,执行TCP连接会话拦截或仅产生告警观察(请提供真实功能截图)
★支持对来访的可信源IP(v4/v6),或被访问的可信URL、可信域名、可信目的IP(v4/v6)添加白名单规则,加白放行(请提供真实功能截图)
★支持黑白名单规则的有效期设置,当规则过了有效期之后,规则自动失效(请提供真实功能截图)
★支持黑白名单单个规则或多个规则的停用、启用、删除(请提供真实功能截图)
★支持黑白名单规则的批量导入、导出(请提供真实功能截图)
★支持对黑白名单规则进行精确检索、模糊检索以及多条件组合检索(请提供真实功能截图)
★支持与其他第三方检测设备联动,通过拦截API,第三方检测设备可增加IP黑名单规则,实现拦截(请提供真实功能截图)
★针对第三方检测设备下发的IP黑名单规则,提供查询和停用操作,支持对规则进行精确检索、模糊检索以及多条件组合检索(请提供真实功能截图)
★支持对全部或指定第三方检测设备的拦截API的调用权限进行停用和启用操作(请提供真实功能截图)
★支持一键断网跳转页面设置,迅速让web网站无法被访问(请提供真实功能截图)
安全响应与处置
当发现异常行为、非法连接等情况时,系统支持自动拦截,防止黑客进入目标网络
★系统支持针对不同威胁等级、触发频率的攻击,采取多种自动拦截方式,包括源目IP端口,HOST,CGI等组合(请提供真实功能截图)
★提供自动拦截开关,用户可以自定义自动拦截开启或关闭状态(请提供真实功能截图)
日志报表
日志报表
系统应具有浏览安全检测、安全处置报告的功能
针对用户的登录、增删改等相关操作,系统应记录系统操作日志,并提供查询和审计
★针对拦截日志报表,支持对拦截数据进行精确检索、模糊检索以及多条件组合检索(请提供真实功能截图)
★支持相关日志和报警信息保存6个月以上。
★系统应能生成详尽的安全检测、安全处置报告,并以图表形式展示,至少应包含包含:拦截次数、拦截源IP数、拦截趋势、安全告警数、威胁等级分布、告警类型分布、攻击源TOP排行、产生告警最多域名/IP TOP排行、告警趋势等(请提供真实功能截图)
★系统应对拦截行为及时生成审计日志报表,详细记录拦截信息,至少包含:拦截时间、拦截状态、威胁等级、威胁类型、协议类型、攻击源IP、攻击源端口、HOST、CGI、攻击目标IP、目标端口、命中规则、告警详情信息等(请提供真实功能截图)
安全检测、安全处置报告应可输出成方便管理员阅读的文本格式,如PDF文件、HTML文件等
<
(三)< 工程实施要求
1、现场实施周期。合同签订后,除甲方要求延期外,乙方要在2个月内完成项目实施和部署。乙方应制定详细的实施计划。
2、实施内容。乙方作为项目责任人,要为该项目实施提供全部所需的软硬件设备,并组成项目组,根据制定的项目实施方案,完成硬件设备的部署实施、系统集成、上线测试等工作。实施完成后,向甲方提供完整的测试报告、配置手册、实施纪要、运行维护手册和故障应急方案等标准化文档。
3、实施人员。乙方应选择具有丰富经验的项目经理和工程师到现场进行实施,其中项目经理需要有2个及以上的同类项目经验,并提供实施团队名单(合同签订前需确定名单和职责)。
4、其他要求。需由原厂资深技术人员参与方案论证和设计,根据农发行的特点提供策略优化建议。
(四)< 维保服务
1、维保服务内容
1)在甲方网络出现故障时,如果涉及到本项目设备,乙方必须在1小时对甲方提出的技术支持要求做出实质性反应,在确认故障之后,如电话支持不能解决问题(由甲方认定),投标方技术人员必须在甲方提出现场支持要求24小时之内抵达用户现场。
2)维保期间内,乙方负责对发生硬件故障的产品进行维修,不收取任何额外费用;对于设备更换,应保证在3个工作日内适合用户环境的可用新设备抵达用户现场,由乙方负责现场设备更换。
3)设备保修期的计算。保修期自合同所列全部软、硬件设备及服务,最终工程验收合格并签署《工程验收报告》之日起5年。
2、后续维保
乙方须在本项目方案、报价中阐述免费维保期过后可提供的维护方案及报价。涉及第三方产品(或服务)采购的事项,均由乙方负责采购提供。
3、维保服务团队
维保期间,应成立专门的农发行服务团队,并配备项目经理(在合同中需明确服务人员名单),专门负责我方问题处理、技术支持等工作,不得以人员不足为由不提供服务或服务延期。
4、定期优化和巡检服务
从项目验收之日起,每季度安排一次原厂高级工程师进行策略优化和巡检。巡检后5个工作日内向甲方提供巡检报告。在重要时间点,如两会、年终决算等,要根据我行要求增加巡检。<
5、产品软件升级服务
乙方需根据设备原厂商发布软件版本,提供软件更新计划,并免费进行现场升级。
微信扫码关注
