招标文件
项目内容及要求
一、项目名称:诸城市电子政务外网网络环境购买服务项目
二、项目概况:根据省政府办公厅《关于做好省电子政务外网优化升级工作的通知》要求,参照山东省、潍坊市政务外网建设模式, 本项目拟开展诸城市电子政务外网网络环境购买服务项目,包括本地互联网出口平台、汇聚核心、出口互联网线路、安全保护三级认证、运维服务等内容,服务期 1 年。资金来源为财政资金。
三、服务内容及要求:
(一)服务内容
1、1000M 互联网专线
为保障全市机关互联网访问的稳定性、可靠性,诸城电子政务外网互联网出口需要上下行各 1000M 的光纤独享型的互联网专线 1 条。
2、互联网出口平台
诸城市级互联网出口平台负责全市政务部门内终端安全快速访问互联网,通过部署各类安全软、硬件产品,实现 DDOS、负载均衡、防火墙、病毒防御、入侵防御、流量管控等功能,实现上网行为审计、违规事件告警、事后追踪溯源,实现六个月以上全网设备日志和用户上网日志保存。
在市互联网出口平台设计上,使用 SDN、多业务融合、虚拟化等技术,将各类安全功能统一部署,优化数据处理效率;避免单一功能安全设备串联构建互联网出口,保证互联网出口的稳定性和可靠性。
3、网络汇聚级联
根据省政府办公厅《关于印发山东省政务信息系统整合共享实施方案的通知》(鲁政办发〔2017〕75 号)《关于做好省电子政务外网优化升级工作的通知》和《潍坊市政务外网优化提升和互联网出口整合项目建设方案》等文件要求,网络要求如下:
- 拓宽外网接入范围。按照“纵向到底、横向到边”的要求, 年底前实现全市各街道、部门、单位以及社区外网公共服务域全覆盖;确不具备宽带专线接入条件的单位和移动办公人员,通过市县一体化安全接入平台以 VPN的形式接入外网公共服务域。根据上级统一安排调整政务外网行政服务域,保障特定业务和整合共享的需要。
- 提升政务外网网络承载能力。根据省、市电子政务外网技术规范,对全市电子政务外网进行重新规划设计,使用IPv4/IPv6 双协议栈的方式,采用 MPLS(多协议标签交换) 技术,提供 VPN(虚拟专用网)服务满足各政务部门业务承载需求,为跨层级、跨地域、跨部门、跨业务提供服务支撑。
- 实施互联网出口整合。依托市电子政务外网公共服务域,整合各部门各单位分散、独立互联网出口,建设市级统一互联网出口平台;完善互联网出口管理措施和技术手段,实现互联网出口的集中管控。
- 提高外网运行管理水平。实现节点日常状态监测、故障响应、资源分配和控制;选取具有质量、服务、价格优势的服务商, 负责外网的整体建设和运行维护。
4、等保认证服务
根据《网络安全法》和信息安全等级保护(三级)的要求,完善公共安全视频监控系统信息安全保障体系,服务商需提供不低于带有日志收集与分析系统、终端威胁防御系统、僵尸网络木马和蠕虫监测与处置系统等功能的配套服务设施,并提供安全运维服务, 提升网络安全防御能力,保障政务外网的平稳安全运行。同时,提供安全设施,配置防火墙等设备,并提供安全保障运维服务。
5、服务运维
服务商需具备完善的运维服务体系,提供 7*24 小时运维服务, 保障各机关单位政务外网的不间断使用
(二)服务周期和地点
建设期:合同签订后,30 天内交付全部服务内容;
服务期:一年,服务期自项目建设验收合格并交付之日起计算。服务地点:采购人指定。
(三)服务要求
服务商根据技术要求为采购人提供服务。项目建设标准符合市政管理要求、国家及行业相关标准规范要求、政策文件要求;服务商负责诸城市电子政务外网的运维服务。采购人负责相关审核及验收工作。因不可抗力造成无法建设或服务未能及时交付,损失由服务商承担;建设和运维过程中安全管理责任由服务商承担。请服务商考虑施工难度,自行踏勘工程场地和相关的周边环境情况,并听从各相关单位的建议和意见。
6、建设技术清单:
|
序 号 |
产品名 称 |
服务内容 |
单 位 |
数量 |
备注 |
|
一、1000M 互联网专线 |
|||||
|
1 |
互联网 专线 |
1000M 速度的互联专线 |
条 |
1 |
|
|
二、互联网出口平台 |
|||||
|
2 |
安全网关 |
1、机框式设备,专用操作系统,融合安全网关整机最大安全防护能力≥400Gbps, 支持主控板 1+1 冗余备份;冗余电源,整机最大可配置 4 个交流电源;业务槽位≥10 个全宽业务槽;多功能深度网关不得采用下一代防火墙等设备实现,各类安全功能需要配置对应的硬件插卡实现; 2、本次每台配置:主控引擎≥2 块、电源模块≥4 块,配置独立防火墙硬件业务模块 1 块、配置独立 IPS 入侵防御/防病毒硬件业务模块 1 块、配置独立上网行为审计硬件业务模块 1 块,万兆光口≥6 个,千兆光口≥36 个,千兆电口≥ 36 个(为确保业务稳定性不接受光口转电口模块),双机虚拟化万兆电缆(含光模块)1 条; 3、支持静态路由、RIP、OSPF、IS-IS、BGP4,支持 IPv6 静态路由、RIPng、OSPFv3、IS-ISv6、BGP4+; 4、△支持多虚一虚拟化、一虚多虚拟化部署,并提供权威机构出具的第三方测试报告证明,支持流定义技术,可以根据 L2-7 层协议特征定义业务流,并按需 指定流量经过的物理/逻辑业务模块,支持主机和业务模块统一IP 管理和统一的配置界面。 防火墙模块 1、防火墙吞吐量≥6Gbps,最大并发连接数≥500 万,每秒新建连接数≥15 万; 2、支持对安全策略进行冗余分析; 3、△支持通过命令行的方式对设备内部的数据流进行分析,可快速定位造成故障的防火墙内部功能模块,便于进行故障排查; 4、访问控制策略支持基于源/目的 IP,源/目的端口,源/目的区域,用户(组),应用/服务类型的细化控制方式; 5、支持静态路由、等价路由,支持RIP、RIPng;OSPFv2/v3 动态路由协议; 6、支持IPv4/v6 NAT 地址转换,支持源目的地址转换,目的地址转换和双向地址转换,支持针对源 IP 或者目的IP 进行连接数控制; 7、支持 Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing 攻击防护 8、支持NTP 协议,可作为NTP Server,也可作为 Client 设备, 9、支持对被保护对象的流量进行分析,通过对流量日志的统计整理,智能生成包过滤策略,提高运维人员工作效率,; 10、△支持自动和手动备份,至少能够保存 10 个的文件,支持配置回滚; 入侵防御模块 1、IPS 入侵防御/防病毒吞吐量≥6Gbps,最大并发连接数≥1200 万,每秒新建连 接数≥15 万; 2、支持隧道报文检测,可以识别并检测QinQ、PPPoE、MPLS、GRE、Vlan 等特殊封装的网络报文,具备面向下一代网络的各种特性; 3、检测到攻击报文或攻击流量后,支持以隔离、Web 重定向等响应方式,以实现第一时间隔离有安全威胁的风险源; 4、支持通过命令行的方式对设备内部的数据流进行分析,可快速定位造成故障的内部功能模块,便于进行故障排查; 5、△支持双病毒检测引擎,集成第三方专业防病毒厂商的专业病毒库,特征规则数量不少于 10000 条; 6、支持基于DNS Request/Reply/每源 IP/状态/每域名来实现对于 DNS 服务器的 DDoS 防护; 7、内置恶意域名信誉库,支持对恶意网站,C&C 服务器,恶意 DNS 连接进行有效防护,同时可以实现恶意域名防护日志的存储和展示; 8、△内置丰富的IPS 特征库,可针对SQL 注入、蠕虫、木马后门、扫描探测、暴力破解、网络爬虫、篡改攻击、漏洞利用等恶意攻击进行检测和阻断,特征规则数量不少于 7000 条; 9、设备集成IPS 特征库,病毒特征库,URL 库以及 APP 库,且在设备上能够分别以独立的特征规则界面展示; 10、可根据 CVE 编号查询具体的攻击特征;具备系统一键修改特征级别的功能; 11、支持对不同等级的攻击特征设置不同的动作(告警、阻断、阻断+源/目的/ 双向 TCP Reset),且可以设置例外特征 ID,保证设置的例外特征不会被阻断并告警。 上网行为管理模块 1、上网行为审计吞吐量≥6Gbps,最大并发连接数≥200 万,每秒新建连接数≥ 4 万; 2、可以识别协议数量超过 5200 个,通过告警、干扰、阻断等模式可提供万种以上应用规则; 3、支持NAT 功能,支持源NAT、目的 NAT、一对一 NAT 的等功能;支持策略路由协议、动态路由协议,包括 RIP、OSPF、ISIS、BGP; 4、支持会话监控功能,支持统计设备会话数、IPv4、IPv4 TCP、IPv4 UDP、IPv6、IPv6 TCP、IPv6 UDP 并发会话数等及趋势图信息; 5、支持实时显示会话列表, 支持查看设备的所有会话及会话详细信息(包括会话状态、协议、发起方、响应方、报文数、老化时间、详细信息); 6、支持IP+端口方式自定义网络应用;支持基于深度检测方式(应用特征)自定义网络应用; 7、HTTP 审计支持智能过滤,设备能够过滤掉大部分无用的日志,产生的日志都是用户访问页面的日志;支持审计记录目的 IP 的实际地理位置;支持用户新建连接、并发连接数分析及图表; 8、支持应用会话审计,包括IP、端口、应用类型、会话包数、字节数、时间等的审计; 9、支持应用时长分析:支持以应用维度分析总时长和总流量等信息;支持统计每种应用对应用户的时长和流量分析;支持饼状图或柱状图展示; 10、支持基于报文入接口、源 IP、目的 IP、网络应用/网络应用组、时间段进行应用访问控制; 11、对不同的应用 HTTP、邮件、论坛、IM 等设置不同的关键字,邮件过滤不仅可以接收邮件,发送邮件也能够进行过滤; 12、支持设备页面抓包,页面抓包支持 IP 地址、协议、接口、抓包方向、抓包时间、抓包数量等多种灵活的过滤条件,抓取需要的流量报文,是网络故障排除和分析的有效工具。 管理平台 1、提供融合安全网关各功能模块统一管理平台软件一套; 2、满足电子政务外网互联网统一出口需要,管理所部属安全网关各个安全业务模块设备,进行集中配置管理、日志收集和深度业务分析,并可对各类安全信息进行整合。 |
台 |
2 |
包 含 协 议库 、 特 征库、病毒库的升级 |
|
3 |
认证系统 |
1、使用同一个客户端实现网络准入、用户认证、终端安全状态检查、桌面资产管理等所有功能,避免多个客户端带来的管理不便。 2、支持客户端防卸载;支持客户端属性管理,可以通过客户端管理中心工具进行定制,如VPN 接入配置、认证方式、是否上传 IP 地址、是否上传客户端版本信息、是否支持多播等。 3、支持exe 文件安装、AD 域登录脚本安装、静默安装、网页下载等安装方式。为启动认证的用户上网时自动重定向到安装网页,弹出 exe 安装文件或者 Java 安全插件,帮助用户下载相关安全客户端,并自动对终端用户进行病毒、补丁等安全状态的检查。 4、多元素绑定:支持用户名、密码与用户 IP、MAC、VLAN、设备 IP、设备端口、主机名、域用户、SSID 等多种元素的绑定认证 5、IP/MAC 管理:支持 IP 分配策略控制和MAC 地址变更检查,可实现一对多、多对多等绑定方式;支持自学习绑定方式,即用户第一次认证时自动获取其IP/MAC 等绑定信息,不需要管理员人工输入。 6、支持 802.1x、Portal、L2TP IPSec VPN 等多种网络环境的身份认证,支持基于端口的 802.1x 和基于MAC 地址的 802.1x,可管理 HUB 或非智能交换机下的多个用户。 7、配置两台承载服务器不低于:2 颗 Inter 4114 CPU 模块,128G 内存,3 块600G 硬盘,2 个万兆光接口(含光模块),4 个千兆电接口,冗余电源,滑轨; 配置不少于 5000 个并发用户数授权。 |
套 |
1 |
|
4 |
边界防火墙 |
1、接口要求:万兆接口数≥8 个(配置 6 个万兆 10KM 光模块),千兆电接口≥ 8 个,千兆光接口≥4 个,可扩展槽位数≥5 个。配置≥2 块 480GB SSD 硬盘模 块; 2、配置冗余电源模块,冗余风扇模块; 3、防火墙吞吐量≥35G,每秒新建连接数≥50 万,并发连接数≥2000 万;配置 多业务时,每秒新建连接数≥40 万,并发连接数≥1000 万,七层吞吐量≥10Gbps。 4、支持路由模式、透明(网桥)模式、混合模式。 5、入侵防御功能:实现对黑客攻击、蠕虫/病毒、木马、恶意代码、间谍软件/ 广告软件等攻击的防御,实现缓冲区溢出、SQL 注入、IDS/IPS 逃逸等攻击的防 御,实现攻击特征库的分类。 6、防病毒功能:可基于病毒特征进行检测,实现病毒库手动和自动升级,报文 流处理模式,实现病毒日志和报表; 7、流量控制功能:可支持基于应用层协议设置流控策略,包括设置最大带宽、 保证带宽、协议流量优先级等。 8、设备须支持虚拟防火墙功能:支持虚拟防火墙的创建、启动、关闭、删除功 能;可独立分配 CPU/内存等计算资源;虚拟防火墙可独立管理,独立保存配置; 虚拟防火墙具备独立会话管理、NAT、路由等功能。 |
台 |
2 |
|
|
5 |
核心路由器 |
1、交换容量≥100Tbps,包转发率≥28000Mpps 2、路由器整机框全物理尺寸的线卡槽位数≥10(非子卡槽位),支持 10GE、40GE、 100GE 接口扩展; 3、主控板、交换网板、电源支持冗余设计;支持将两台物理设备虚拟化为一台 逻辑设备,虚拟组内可以实现一致的转发表项,统一的管理,跨物理设备的链 路聚合。 4、支持 PPP、MP、HDLC、ETHERNET 等链路层协议;支持链路聚合,支持动态聚 合、手工聚合、跨板聚合;支持不同带宽的链路捆绑功能;支持多路径负责分 担功能,支持非等速链路的负载分担,实现不同路径按带宽比例负载分担; 5、满足电子政务外网丰富的 MPLS VPN/BGP 应用特性,支持 P/PE 功能,支持跨域 MPLS VPN、分层 PE,支持二层、三层 VPN,跨域 L2、L3 VPN 实现,支持 ACL 识别流量功能,将流量导入到不同的 VPN 等; 6、核心路由器支持未来网络技术最重要的 SDN 技术,以保障政务外网业务系统 高效承载、自动化运维需求等;支持 EVPN/VxLAN 功能,能够完成 MAC 地址远端 学习,实现基于 VxLAN 的二三层 VPN;支持 Openflow 协议,报文可依据流表进 行转发; 7、针对电子政务流量统计分析要求,设备应支持流量统计分析功能,并能输出 核心流量日志, 协助运维人员实时了解核心网络流量情况; 支持分布式 Netstream 功能,本次要求实配板卡支持 NetStream 功能板卡; 8、针对市电子政务外网不同VPN 及同一 VPN 内部不同业务实现 QOS 机制; 9、支持 IPV4 静态路由、RIPv1/v2、OSPFv2、BGP、IS-IS、路由策略;支持 IPv6 静态路由、RIPng、OSPFv3、IS-ISv6、BGP4+; 10、接口配置要求:万兆以太网接口≥10 个(满配 10KM 光模块),千兆光接口≥16 个(满配 10KM 光模块),千兆电接口≥8 个。 |
台 |
2 |
|
6 |
市区汇聚交换机 |
1、交换容量≥80Tbps,包转发率≥26000Mpps; 2、整机业务槽位数≥6 个,实配冗余主控,千兆光口≥88 个(满配 10KM 光模 块),千兆电接口≥48 个,万兆光接口≥8 个(满配 10KM 光模块); 3、为保证设备的平滑升级能力,要求设备现需要支持单板卡 40G 端口密度≥20 个; 4、设备支持并配置实际可以使用的 IPV4、IPV6 双栈协议以及 RIP、OSPF、OSPFv3、 BGP4+等路由协议; △5、支持多虚一技术(N:1),要求 N≥4,支持一虚多技术(1:N),支持纵向虚拟化功能,支持将汇聚和接入设备通过纵向虚拟化技术形成一台纵向逻辑虚拟设备,相当于把接入设备作为一块远程接口板加入核心设备,以上提供工信 部权威第三方测试报告; △6、支持多类型业务插卡扩展,包括防火墙、入侵防御、流量分析、应用识别、 负载均衡等,支持无线控制器插卡; 7、支持 RRPP、ERPS 和RPR 等环网技术,收敛时间平均可达 50ms 以内,支持 sFlow、 Netstream 等流量统计和分析功能,支持 CPU 防攻击能力,保障 CPU 工作安全; 8、支持 OPENFLOW 1.3 标准,支持 Trill、EVB、FCoE 等功能,支持VxLAN 功能。 |
台 |
2 |
|
|
7 |
乡镇汇聚交换机 |
1、千兆光接口≥24 个,万兆光接口≥4 个,配置 28 个 10KM 千兆光模块; 2、交换容量≥590Gbps,包转发率≥220Mpps, 3、配置冗余电源模块,冗余风扇模块,满配光模块; 4、设备可以作为MCE 设备使用;支持三层的MPLS VPN 和二层的 MPLS VPN 5、支持IPv4 静态路由、RIP V1/V2、OSPF、BGP;支持 IPv6 静态路由、RIPng、 OSPFv3、BGP4+ 6、对登录用户提供口令保护,口令可加密功能。通过配置用户级别实现对命令 的分级保护。 |
台 |
25 |
|
|
8 |
接入交 换机 |
1、千兆电接口≥24 个,千兆光接口≥4 个(满配 10KM 光模块); 2、交换容量≥336Gbps,包转发率≥95Mpps; 3、持基于端口的VLAN,支持基于协议的 VLAN;支持基于 MAC 的 VLAN; 4、支持IPv4 静态路由、RIP V1/V2、OSPF; 5、支持ERPS 功能,能够快速阻断环路,链路收敛时间≤50ms; 6、支持通过标准以太网光口或电口进行堆叠,且支持纵向虚拟化技术; 7、支持不低于 10KV 业务端口防雷能力; 8、支持软件定义网络,支持OPENFLOW 1.3 标准。 |
台 |
90 |
|
|
9 |
市府市委接入交换机 |
1、千兆电接口≥48 个,千兆光接口≥4 个(满配 10KM 光模块); 2、交换容量≥336Gbps,包转发率≥95Mpps; 3、持基于端口的VLAN,支持基于协议的 VLAN;支持基于 MAC 的 VLAN; 4、支持IPv4 静态路由、RIP V1/V2、OSPF; 5、支持ERPS 功能,能够快速阻断环路,链路收敛时间≤50ms; 6、支持通过标准以太网光口或电口进行堆叠,且支持纵向虚拟化技术; 7、支持不低于 10KV 业务端口防雷能力; 8、支持软件定义网络,支持OPENFLOW 1.3 标准。 |
台 |
2 |
|
|
三、三级等保认证 |
|||||
|
10 |
等保认 证 |
等保三级认证 |
项 |
1 |
|
|
四、运维 |
|||||
|
11 |
服务运 维 |
7*24 小时运维服务、设备运行电费、机位使用费等 |
项 |
1 |
|
五、采购项目清单:
|
序号 |
服务名称 |
单位 |
数量 |
服务期(年) |
备注 |
|
1 |
诸城市电子政务外网网络环境购买服务项目 |
项 |
1 |
1 |
六、建设期限:合同签订后 30 天内交付全部服务内容。
七、服务期限:一年,服务期自项目建设验收合格并交付之日起计算。
八、服务地点:采购人指定地点。
九、验收标准:服务期满后,经采购人确认后验收通过。
收藏