服务名称

服务内容

单位

数量

1

互联网专线使用服务

1、性能指标：

★（1）提供2G带宽的互联网接入；

（2）在太原市有独立互联网出口，太原市IP网出口带宽≥1000G，能够为业务提供充足的冗余带宽；网络品质，接入市城域网骨干层，出省路由节点不大于4级。业务直接接入骨干网核心路由器；

（3）抖动低于50ms，时延低于10ms，丢包率为≤5‰;

（4）网络上下行带宽完全对称;

2、统一管理

（1）统一网络监控管理

（2）实现资源集中管理

（3）故障快速处理服务等方面

3、性能需求

（1）可用性：整个系统平均年故障时间应控制在4小时以内；

（2）稳定性：城域网采用核心层、汇聚层、接入层三级网络结构。汇聚层与接入层采用全网状结构，保证任意一点单点故障不会对网络使用造成影响。

（3）避免出现重复审批、重复建设、资源浪费等情况。

4、提供不少于60个固定IP地址。

5、根据教育系统全年用网峰谷周期，调整带宽，以满足用网需求。

条

1

2

千兆数字电路使用服务

服务48个接入单位，2条备用

1、提供1000M光纤链路

2、采用基于DWDM体系的PE-OTN光网络传输技术，提供GE级别的电路交换硬管道及以太网光接口的长途数字专线电路业务；

3、放置在机房的传输设备连接的端口为独享；

4、传输设备端到端网络时延40ms以内、丢帧率≤0.1%，网络保护倒换时间50ms以内。

条

50

3

IDC数据机房机柜租赁服务

机柜尺寸(mm)：≥2200*1100*600、带加固底座

数据中心耐火等级不应低于二级。

机房承重是≥10kN/m2。

4、数据中心冷通道或机柜进风区域温度为18～27℃，湿度不宜大于60%；电池间温度为20～30℃。

5、配置的保障人员需具备动力环境、消防等专业知识和技能；在服务期内，配备具备IDC维护经验的运维人员，支持7*24 小时的电话、网上值班等响应方式。

个

3

4

网络服务

1、整体服务要考虑未来扩展性，保证全区教学资源上新、数据扩张之后仍能保证整网稳定可靠运行。需提供不少于48个千兆电口、24个万兆光口的端口接入能力，及满足需求的光模块，提供冗余的主控、交换网板、电源，保证网络服务的高可靠。

2、整网统一出口区数据交换容量和包转发率需满足实际使用及未来三年的扩展要求。提供不少于380Tbps的交换容量、72000Mpps的包转发率。

3、提供INQA能力，通过直接对业务报文进行标记的方法，实现对网络级和设备级的丢包统计。

4、可实现通过图形化界面对全网进行配置及命令一键下发和版本智能升级。

5、提供Telemetry流量可视化能力。

6、为保障信息网络安全，在保证数通转发能力的同时，还需支持FW/IPS/SSL VPN/ACG等安全能力。

7、要求实现校际间网络攻击阻隔，以及集团化学校间互访。

8、为保证城域网规模扩大后的核心数据转发能力，要求核心网络设备具备高密度高速率端口，支持单槽位万兆电端口密度≥24，单槽位25G端口密度≥48，单槽位40G端口密度≥32，单槽位100G端口密度≥32。

9、提供微分段能力，对业务资源进行分段管理，防止攻击者以及异常数据在东西向移动，确保内部安全。

10、为节约机柜空间，要求核心网络设备不高于9U。

项

1

5

教育城域网总出口边界安全服务

1.为教育城域网总出口边界提供相应的安全隔离及安全防护服务，通过防火墙统一管理平台，实现针对防火墙的设备监控、系统监控、任务监控、防火墙统一应用分析、防火墙统一威胁分析、防火墙日志的统一收集、防火墙资源库以及版本统一升级管理、统一自动下发策略等功能。环境要求网络层吞吐量≥42G，配置≥4个10/100/1000M自适应电口，≥4个SFP光口插槽，≥2个SFP+光口插槽及满足需求的光模块；设备前面板自带液晶屏能够通过液晶屏显示CPU占用率、内存占用率以及连接数等信息；

2.实现MPLS流量透传；实现针对MPLS流量的安全审查；包括漏洞防护、反病毒、间谍软件防护、内容过滤、URL过滤、基于终端状态访问控制等安全防护功能；

3.支持静态路由、策略路由及动态路由;

4.实现静态路由及策略路由、动态路由

5.实现基于源安全域、目的安全域、源用户、源地址、源地区、目的地址、目的地区、服务、应用、隧道、时间、VLAN等多种方式进行访问控制，并实现地理区域对象的导入以及重复策略的检查；

6.实现基于IP地址、应用的会话限制，限制动作包每IP新建、每IP并发、所有IP新建、所有IP并发，且可以基于安全域指定限制方向；

7.实现应用识别，应用特征库包含的应用数量（非应用协议的规则总数）大于2800种，可深度识别每种应用的属性，为每种应用提供预定义的风险系数，并将应用基于类型、使用场景、数据传输、风险等级等特征分类；

8.实现共享上网检测功能，支持共享接入检测和共享接入管控功能，可以通过设置管控地址和例外地址优化管控功能，同时支持阻断或告警；；

9.支持对HTTP/FTP/POP3/SMTP/IMAP/SMB六种协议进行病毒查杀；本地病毒库规模大于3000万；

10.具备漏洞防护功能，同时将漏洞防护特征库分类，至少包括缓冲区溢出、跨站脚本、拒绝服务、恶意扫描、SQL注入、WEB攻击等六种分类；漏洞防护实现日志、阻断、放行、重置等执行动作,可批量设置针对某一分类或全部攻击签名的执行动作；实现基于FTP、HTTP、IMAP、OTHER_APP、POP3、SMB、SMTP等应用协议的漏洞防护；

11.支持对IP流量的HTTPS、POP3S、SMTPS、IMAPS协议进行解密，支持配置基于源安全域、目的安全域、源地址、目的地址、SSL协议服务的解密策略，动作可以设置解密或不解密，并可基于安全域、IP地址进行例外设置，同时实现将解密后流量镜像到其他设备进行分析统计；

12.服务内容应实现基于受害主机的一键式阻断链接、记录日志等处置动作，处置周期至少包括1天、7天、30天、90天、永久等;

13.实现基于漏洞的处置和基于威胁情报的处置;

14.服务内容应实现与云端联动，至少实现病毒云查杀、URL云识别、应用云识别、云沙箱、威胁情报云检测等功能。

项

1

6

用户行为审计

1.能够够适用于不小于2G带宽网络环境使用，产品大并发连接数≥120万;最大新建连接数≥8万/秒；≥1T存储硬盘；含专用操作系统与上网行为管理标准软件。≥6个千兆电接口，≥4光口千兆网卡，≥4个SFP+万兆光口及满足需求的光模块；支持液晶屏能够通过液晶屏显示CPU占用率、内存占用率以及连接数等信息；提供物理硬件bypass按钮，便于设备巡检；

2.实现网址访问审计；能够在IPv6环境下，正确审计显示用户的IPv6地址；

3.可集中呈现上网行为风险等级和状态。要求行为风险等级包括安全等级、效率等级、合规等级和管控等级。要求行为状态包括管控效果、运行状态、安全状态、泄密风险状态、合规状态和应用使用状态；

4.支持与云端杀毒平台联动，对网络中传输的文件进行特征比对；支持与威胁情报大数据平台对接，能够快速识别、封堵失陷主机并记录日志；

5.支持通过恶意软件特征检测方式识别失陷主机并记录日志；

6.可接收来自态势感知系统的封堵指令；

7.覆盖工作无关应用，移动应用不少于1000种，即时消息应不低于150种，虚拟货币交易平台不低于40种；为规避外发类风险，论坛发帖应不低于3000种，网络存储不低于100种，代理隧道不低于100种；

8.当用户的网页访问被网页浏览策略封堵时，用户如果发现分类错误能够在页面中向管理员进行反馈；管理员可查看用户反馈的分类错误，并可以选择向服务器反馈；

9.可审计、控制Oracle, MySql, SqlServer, PostgreSQL等数据库的访问与操作，包括添加、删除、修改、查询等；

10.可识别网络中的私接路由或共享wifi的网络行为并配置阻塞策略，阻塞条件支持基于终端总数量、PC数量、移动终端数量分别配置；

11.配置禁用PC热点开启功能；

12.实现设备能够根据终端管理软件检测到的信息配置准入控制策略，准入规则应包括系统是否安装了特定的杀毒软件和特定版本、系统是否安装了特定的漏洞补丁、系统是否开启了文件实施防护功能等；

13.能对单条链路和单个接入网络的电脑、移动终端等设备进行带宽阻断和管控。

14.能对全网统一制定并部署上网行为策略。

15.随时掌握用户上网行为，并能对违规上网行为做为提示和管控，同时可以实现对网络链路和带宽的管理。

16.能够针对用户的访问行为进行审计及定位；

项

1

7

认证服务

1、能够提供接入使用方的网络拓扑，在拓扑上实现在线用户查询、强制下线、下发消息等能力，便于用户的管理。

2、提供有线、无线和VPN网络的一体化接入管理，提供Web认证和客户端Portal认证能力。

3、可以按照用户角色、设备类型、接入时间、接入地点等条件自由定义不同的接入场景，对网络访问权限做精细化控制。

4、除支持本地账号密码认证外，可单独使用或叠加其它第三方认证方式进行认证。

5、可以在认证通过后下发用户的ACL、VLAN、QoS、VSI、用户组给接入设备，提供动态控制用户的访问网络权限能力。

6、实现用户名、密码与用户IP、MAC、VLAN、QinQ双VLAN、域用户（包括信创操作系统域）、操作系统授权码、SSID、AD域、硬盘序列号、IMEI、IMSI、主板序列号等多种元素的绑定认证能力；支持第一次认证成功时的自学习绑定属性功能。

7、可在线查看用户状态、连接的网络设备信息以及具体的接入位置信息功能，对非法用户可以执行发送消息、在线检查、强制下线、关闭端口等操作，支持对离线用户下发消息，支持远程协助。

8、实现认证账号创建数量无限制，提供≥10000个并发在线准入认证数量授权。

9.提供网络运维管理平台，实现对全区网络拓扑查看、故障点排查、网络攻击预警、网络威胁阻断以及网络链路和带宽的管理。

10、提供装配式客户端。

11、提供承载认证服务的硬件资源，提供不少于2颗2.4G、10核CPU算力，不少于128G内存，不少于12T硬盘容量，提供带2G缓存RAID卡,支持RAID1/0/10/5。

12、提供访客无感知认证能力：提供访客一次接入，多次使用的无感知认证，访客只需要输入一次用户名/密码，后续接入无需再输入用户名/密码，支持跨设备的无感知认证上线；

项

1

8

日志审计服务

1.服务内容应包括日志采集、分析、集中存储和展示等功能。环境要求事件综合处理性能≥2000EPS，≥6个千兆电口，及满足需求的光模块，≥2T硬盘，包含≥75个日志源授权，满足不少于180天的日志存储；

2.服务应能够审计各种网络设备（路由器、交换机等）配置日志、运行日志、告警日志等；支持审计各种安全设备配置日志、运行日志、告警日志等；支持审计各种主机操作系统配置日志、运行日志、告警日志等；支持审计各种数据库配置日志、运行日志、告警日志等；支持审计各种中间件配置日志、运行日志、告警日志等；支持各种应用各种应用系统配置日志、运行日志、告警日志等；以及用户自己的业务系统的日志、事件、告警等安全信息;

4.具备多种方式完成各种日志的收集功能;

5.可按照Syslog-NG标准及自有格式进行转发，转发时包含原始日志源IP地址；

6.服务应实现对资产IP地址（含内网IP）的地理信息进行管理，可设置单IP及IP段行政区及经纬度;

7.服务应实现自定义资产类型及资产属性；支持对资产自定义标签，支持对标签内容进行查询和管理;

8.服务应支持正则表达式、Key-Value、JSON日志解析，支持日志自动化辅助范化；

9.服务应能够针对匹配的多条范化策略，系统支持用户手工设置策略匹配优先级，保证最佳范化策略匹配；

10.服务应能够对于原始日志的枚举字段，能够将原始的枚举值映射为系统统一的枚举值；

11.服务应实现对日志中的源和目的IP地址进行自动补全，补全IP地址的资产、国家、区域和城市等信息；

12.服务应可以以图形化的方式形象的展示一段时间内的日志中IP节点之间的访问行为和关系；

13.服务应能够在世界地图上实时定位事件源/目的IP地址（内网IP）的地理位置；

14.服务应实现采用机器学习对原始日志进行聚类分析，能够对原始日志结构模式进行自动识别(无须范化)，使审计人员清晰了解采集的日志构成；

15.服务应实现动态活动列表，通过关联规则将关注的日志信息保存入活动列表中，并将活动列表中的内容应用到关联规则中。活动列表可根据分析需要创建，可赋予活动列表寿命；

16.可提供统计图表；

17.提供安全运维报告，帮助运维人员快速生成日常日志分析和运维报告；

18.内置安全知识库，包括事件库、案例库、应急预案库、日志采集配置库和端口库等，支持自定义增加安全知识内容，系统实现IP地理位置知识库并支持导入升级；

项

1

9

学校出口区网络服务

大型校区（14所）

为迎泽区教育局教育城域网校区边界提供相应的安全隔离及安全防护服务，通过防火墙统一管理平台，实现针对防火墙的设备监控、系统监控、任务监控、防火墙统一应用分析、防火墙统一威胁分析、防火墙日志的统一收集、防火墙资源库以及版本统一升级管理、统一自动下发策略等功能。环境要求网络层吞吐量≥8G，标配≥8个10/100/1000M自适应电口，≥2个SFP光口插槽，≥2个SFP+万兆光口插槽及满足需求的光模块，设备前面板自带液晶屏能够通过液晶屏显示CPU占用率、内存占用率以及连接数等信息；

中型校区（29所）

为迎泽区教育局教育城域网校区边界提供相应的安全隔离及安全防护服务，通过防火墙统一管理平台，实现针对防火墙的设备监控、系统监控、任务监控、防火墙统一应用分析、防火墙统一威胁分析、防火墙日志的统一收集、防火墙资源库以及版本统一升级管理、统一自动下发策略等功能。环境要求网络层吞吐量≥4G，≥8个10/100/1000M自适应电口，≥2个SFP光口插槽；≥2个SFP+万兆光口插槽及满足需求的光模块;设备前面板自带液晶屏能够通过液晶屏显示CPU占用率、内存占用率以及连接数等信息；

1.实现MPLS流量透传；支持针对MPLS流量的安全审查，包括漏洞防护、反病毒、间谍软件防护、内容过滤、URL过滤、基于终端状态访问控制等安全防护功能；

2.提供实现静态路由、策略路由及动态路由;；

3.实现基于源安全域、目的安全域、源用户、源地址、源地区、目的地址、目的地区、服务、应用、隧道、时间、VLAN等多种方式进行访问控制，并支持地理区域对象的导入以及重复策略的检查；

4.实现基于IP地址、应用的会话限制，限制动作包每IP新建、每IP并发、所有IP新建、所有IP并发，且可以基于安全域指定限制方向；

5.实现应用识别，应用特征库包含的应用数量（非应用协议的规则总数）大于2800种，可深度识别每种应用的属性，为每种应用提供预定义的风险系数，并将应用基于类型、使用场景、数据传输、风险等级等特征分类；

6.具备共享上网检测功能，支持共享接入检测和共享接入管控功能，可以通过设置管控地址和例外地址优化管控功能，同时支持阻断或告警；

7.能够对HTTP/FTP/POP3/SMTP/IMAP/SMB六种协议进行病毒查杀；本地病毒库规模大于3000万；

8.具备漏洞防护功能，同时将漏洞防护特征库分类，至少包括缓冲区溢出、跨站脚本、拒绝服务、恶意扫描、SQL注入、WEB攻击等六种分类；漏洞防护支持日志、阻断、放行、重置等执行动作,可批量设置针对某一分类或全部攻击签名的执行动作；支持基于FTP、HTTP、IMAP、OTHER_APP、POP3、SMB、SMTP等应用协议的漏洞防护；

9.实现IP流量的HTTPS、POP3S、SMTPS、IMAPS协议进行解密，支持配置基于源安全域、目的安全域、源地址、目的地址、SSL协议服务的解密策略，动作可以设置解密或不解密，并可基于安全域、IP地址进行例外设置，同时支持将解密后流量镜像到其他设备进行分析统计；

10.实现基于受害主机的一键式阻断链接、记录日志等处置动作，处置周期至少包括1天、7天、30天、90天、永久等；

11.实现基于漏洞的处置和基于威胁情报的处置;

12.实现与云端联动，至少实现病毒云查杀、URL云识别、应用云识别、云沙箱、威胁情报云检测等功能;

项

1

10

态势感知+流量探针服务

分析平台

1.服务内容应实现威胁检测、分析中心、响应中心、资产中心、统计报表、仪表板、系统管理、态势感知等能力；支持与用户部署的防火墙、上网行为管理进行联动，当发现学校安全风险时能够通过平台实现处置策略的直接下发；环境要求：单台服务器≥2颗12核CPU主频2.20GHz以上，内存≥256GB，硬盘1：2块960G SSD固态硬盘组成Raid 1 ；硬盘2：12*4TB企业级SATA 3.5寸硬盘，总容量48T；电源：冗余双电源；网口：≥4*GE管理电口、≥2*SFP+插槽及满足需求的光模块；

2.实现界面交互式配置；

3.实现自定义日志类型功能；

4.实现云端威胁情报查询；

5.实现主机资产管理；

6.实现根据风险资产数量统计自定义关键点节点条件。支持事态扩散过程发展趋势图的展示及详细告警列表及告警信息展示；

7.实现漏洞信息、弱口令、配置核查可直接调用工单系统，漏洞信息可直接添加到调查任务，实现添加到已有任务或创建新的调查任务；

8.实现接入多种类型数据进行关联分析，支持对IP日志进行关联分析；实现图形化连线拖拽的交互配置方式灵活组合规则建模中的计算单元应对不同威胁场景建模；

9.服务内容应实现通过创建事件调查任务对威胁事件和可疑事件进行调查分析；支持对以攻击者和受害者情况视角对调查任务中的数据做统计分析；实现调查结果的图形化展示；

10.可通过工单形式通知告警、漏洞、弱口令及配置核查；支持对工单状态的跟踪；对工单SLA要求进行设置，SLA超期支持通知提醒；实现多人协同的工单跟踪处理方式；工单流转中支持添加附件；

11.具备双因子认证方式登录系统，认证方式实现短信和邮箱，实现对登录的并发会话数的设置，限制同时登陆系统的用户数量；

12.具备对接威胁情报平台，实现对可疑IP、域名、URL的情报鉴定；

13.可通过网络流量同步漏洞、弱口令信息；支持直接同步服务器管理系统的漏洞信息；实现直接同步漏扫设备的漏扫任务及扫描结果；实现直接同步核查系统的核查扫描任务和扫描结果；

14.能可视化查看各网络链路、教学终端的运行状况。

15.能对可能存在的网络攻击进行预警、溯源、阻断。

16.能实现网络攻击预警和网络威胁阻断。

17.实现态势大屏展示，至少包括综合安全态势、安全运营态势、威胁预警态势、外部威胁态势、内网威胁态势、攻击者态势、资产态势、资产风险态势、全网脆弱性态势等态势感知大屏；

威胁流量探针：

1.可通过流量镜像的方式旁路部署在网络中，实现网络流量数据采集、威胁检测和日志外发，支持通过重置会话的方式阻断TCP威胁会话连接，支持通过流量被动识别资产；环境要求吞吐量≥2Gbps，HTTP并发连接数≥400万 HTTP新建连接速率≥15万/秒；千兆电口≥6个，包含≥2个接口扩展板卡插槽；

2具备采集过滤条件；

3.实现离线采集；

4.可精准识别通讯类、语音类、视频类、更新类、下载类、邮件类、金融类、理财类等多类别的应用识别，应用识别库3000+；

5.实现VXLAN、GRE 、VLAN 、MPLS的流量接入与解析，日志中可提现响应标识信息；

6.实现具有自定义解析流量能力，支持基于正则表达式、TLV格式、固定长度等提取模式对应用流量解析；

7.实现多种文件类型的筛选，可执行文件还原格式包含：bin、exe、bat、dll、sys、com、ax、acm、drv等；压缩文件还原格式包含：rar、zip、gz、7z、tar等；文档类型的还原格式包含：doc、docx、xls、txt、pptx、pdf、rtf、ppt等；

8.具备全面的间谍软件检测能力；

9.具备全面的漏洞检测能力；

10.本地应集成威胁情报库，实现基于威胁情报的失陷主机检测，情报不少于200万；

11.具备攻击检测能力的扩展功能，支持自定义恶意文件、自定义漏洞、自定义间谍软件、自定义威胁情报等；

12.系统本地需具备攻击告警的过滤能力，能够针对IP地址或端口对攻击告警进行过滤，支持攻击特征高亮展示；

13.具备数据外发通信模式，支持多路外发，支持外发多地址的负载均衡处理；

14.实现基于SSL协议的SMTPS、POP3S、IMAPS、HTTPS流量进行解密，可添加基于源目的地址及端口的过滤条件；

15.服务内容应实现接口支持IP配置，实现IP流量接入，实现IP路由监控；

16.实现用户自定义系统管理的安全级别；

17.可提供二次开发接口，接口形式为Restful API，提供功能配置、统计等接口；

18.实现旁路IP阻断、URL重定向、DNS重定向；

项

1

11

敏感信息监测服务

1.全面监测舆情信息、及时准确预警，系统支持多渠道预警下发，有重要预警信息可以通过平台内信息弹窗、APP、邮件、微信及短信方式及时送达舆情管理人员。

2.舆情监测包括日常舆情监测、重大突发事件监测。

3.7*24小时全天候不间断采集。

4.具有信息溯源功能，系统支持回溯18个月内的信息。

5.具有人工预警推送功能，涉及迎泽区教育局单位负面信息、区属学校负面信息及时推送。

6.系统支持导出简报。

7.系统支持添加、排除制定网站、账号。

8.系统支持设置监测方案。

9.系统支持开设电脑端账号、移动端账号

项

1

12

系统安装调试费

网络系统、安全系统等的安装调试，保障系统正常运行。

项

1