招标文件
采购需求
本项目属性:货物类项目。
一、 采购标的清单
|
分包 |
序号 |
采购标的 |
单位 |
数量 |
对应中小企业划分标准所属行业 |
|
无 |
1 |
网络安全态势感知平台(核心产品) |
套 |
3 |
工业 |
|
2 |
流量检测探针 |
套 |
14 |
工业 |
|
|
3 |
应用安全网关 |
套 |
3 |
工业 |
|
|
4 |
数据安全交换平台 |
套 |
3 |
工业 |
|
|
5 |
视频安全网关 |
套 |
3 |
工业 |
|
|
6 |
中心侧SD-WAN网关 |
套 |
4 |
工业 |
|
|
7 |
SD-WAN网关控制台 |
套 |
1 |
工业 |
|
|
8 |
边缘侧SD-WAN网关 |
套 |
151 |
工业 |
|
|
9 |
负载均衡器 |
套 |
2 |
工业 |
|
|
10 |
边界防火墙 |
套 |
2 |
工业 |
|
|
11 |
违规外联检测控制台 |
套 |
1 |
工业 |
|
|
12 |
违规外联检测器 |
套 |
14 |
工业 |
|
|
13 |
终端准入网关 |
套 |
15 |
工业 |
本项目核心产品为:网络安全态势感知平台。
本项目不接受进口产品投标。
二、项目概述
(一)项目背景
为更好贯彻落实党的二十大报告关于“提高防灾减灾救灾能力”的要求,落实《“十四五”国家应急体系规划》《“十四五”国家综合防灾减灾规划》《“十四五”智慧应急规划》《关于全面加强新形势下森林防灭火工作的意见》等规划文件和2023年8月17日中央政治局常委会会议作出的“认真排查总结,抓紧补短板、强弱项,进一步提升我国防灾减灾救灾能力”等重要部署,按照《应急管理部关于印发自然灾害应急能力提升工程基层防灾、预警指挥、航空应急等3个项目实施方案的通知》(应急函〔2023〕140号)和应急管理部科技和信息化领导小组办公室印发的《2024年地方应急管理科技信息化任务书》(应急科信办〔2024〕2号)(以下简称“部发任务书”)的工作要求,落实国家网络和数据安全工作要求,瞄准我省指挥信息网省级横向网和省市县三级纵向网(以下合并简称“指挥信息网”)存在的网络安全突出问题和薄弱环节,坚持集约化建设原则开展本项目建设,提升指挥信息网网络安全监测预警能力、跨网安全接入与数据安全交换能力、网络违规外联监测与终端安全管控能力、网络冗余备份能力,构建“上下协同、横向联动”的指挥信息网安全监测预警与防护体系。
(二)项目现状
目前,江苏省指挥信息网利用省电子政务外网IPv6通道,采用SRv6+EVPN等技术进行并网建设。由于SRv6报文是对指挥信息网IPv4和IPv6报文作为报文载荷,增加了电子政务外网IPv6报头和SRH(Segment Routing Header 段路由信息头)进行封装,再基于省电子政务外网IPv6协议栈传输,因此本次指挥信息网三级网络安全建设时,流量探针、终端准入设备和违规外联检测设备需要对SRv6报文中的指挥信息网报文载荷进行二次拆解和分析。
对于省级横向网的网络防护,省应急厅已按指挥信息网区、电子政务外网区、互联网区、办公网区、核心交换区、安全管理区、虚拟化平台区进行建设,采用vlan、vxlan、mpls等多种技术进行组网。但是,对于安全管理区,目前仅部署SSL-VPN、互联网检测、数据库审计、日志审计、终端安全管理等少量设备,无法及时发现全省网络威胁情况,网络间缺乏有效的安全监测与管控手段,存在非法终端入侵和木马病毒肆意传播风险。同时,按照应急管理部关于指挥信息网与其他非涉密网络交换的有关要求,缺乏安全可控的指挥信息网与互联网、电子政务外网之间的应用、数据、视频交换通道。
对于省市县三级纵向网的网络防护,当前仅部署省应急厅下发的节点路由器和防火墙,缺乏对地方指挥信息网网络态势感知能力,缺乏对各设区市、区县、乡镇等指挥信息网的终端准入及违规外联检测能力。同时,由于指挥信息网已与电子政务外网实现了并网,一旦电子政务外网中断,指挥信息网也会出现中断,缺乏有效的备份链路,不能满足应急管理部关于双网双终端备份的要求。
针对指挥信息网内的终端安全防护,当前有省应急厅部署下发的终端安全管理系统客户端,主要用于终端的安全检测,如恶意文件、进程、注册表的检出,同时遏制一些存在风险的行为,如powershell执行、擅自启动进程等。缺乏同网络流量配合管理的能力,恶意终端行为及文件等追踪溯源的能力。威胁安全事件发生时,缺乏有效的、及时的、便捷的处置机制。
全省网络架构现状如下图所示:
主要涉及的网络设备现状如下表所示。
|
序号 |
设备名称 |
品牌型号 |
数量 (台) |
部署 位置 |
功能或用途 |
|
1 |
JSYJT_INTERNET_YiDong |
H3C MSR3620 |
1 |
省厅机房 |
互联网移动出口路由器 |
|
2 |
WEB应用防火墙 |
Huawei WAF5110 |
1 |
省厅机房 |
省应急厅系统web防护 |
|
3 |
JSYJT_INTERNET_Dianxin |
Huawei NE20E-S8 |
1 |
省厅机房 |
互联网电信出口路由器 |
|
4 |
CoreFW-Internet |
Huawei USG6635E |
1 |
省厅机房 |
互联网边界防护墙 |
|
5 |
政务外网防火墙 |
NGFW4000-UF(FT-B12) |
1 |
省厅机房 |
政务网边界防火墙 |
|
6 |
指挥信息网防火墙 |
Huawei USE6525E |
1 |
省厅机房 |
指挥网边界防火墙 |
|
7 |
JSSAJ-CORE-R |
H3C 6616-X |
1 |
省厅机房 |
指挥网横向路由器 |
|
8 |
JSYJ_JS |
HUAWEI NE40E-X8A |
1 |
省厅机房 |
指挥网核心路由器 |
|
9 |
终端安全管理软件 |
Sangfor EDR |
1 |
省厅机房 |
指挥网终端安全管理 |
|
10 |
市级节点路由器 |
Huawei NE20E-S8 |
13 |
13个市 |
市局边界路由器 |
|
11 |
县级节点路由器 |
Huawei NE20E-S4 |
95 |
95个区县 |
区县边界路由器 |
|
12 |
县级节点防火墙 |
Huawei USE6515E |
95 |
95个区县 |
区县边界防火墙 |
(三)项目需求
通过现状及问题分析,本项目主要存在以下六方面需求:
一是汇聚安全数据需求。需要通过建设省级网络安全态势感知平台,作为汇聚本省安全数据的核心节点,用于全面汇聚省市县三级在互联网、政务外网、指挥信息网已有的安全数据,对接入的数据进行处理,合并冗余告警,补全数据字段,打上身份标签。通过指挥信息网以消息队列方式向部安全管理中心报送网络入侵数据和网络违规数据,以封装API接口方式供部安全管理中心查询网络会话数据。
二是收敛指挥信息网边界出口需求。需要梳理优化网络架构,规范管控边界出口。省市县三级通过省级跨网安全接入与数据安全交换系统跨网安全接入指挥信息网,关闭市县原有跨网接入指挥信息网通道。应急救援等移动场景下,移动终端利用移动互联网经SD-WAN网关安全接入指挥信息网。政务外网和其他专网通过边界防火墙,经安全设备检测后接入指挥信息网。根据本地业务情况正确配置使用应用安全网关、视频安全网关和数据安全交换平台,其中应用安全网关对Web访问行为进行安全检测与威胁拦截,视频安全网关对接入的音视频协议进行安全检测与过滤,数据安全交换平台对交换至指挥信息网的文件、数据库、消息等数据进行安全清洗和校验,保障接入数据安全。
三是开展安全监测需求。需要省应急厅构建覆盖省市县三级,集网络威胁发现、核查反馈、应急处置、溯源追踪于一体的全省网络安全监测预警与协调处置联动机制,建强省级网络安全保障队伍,统一开展全省网络安全监测预警,并及时接收响应部级平台安全指令,省市县三级加强安全事件处置和问题隐患排查整改,提升全系统网络安全威胁发现与应对处置能力。
四是构建灾备应急网络需求。需要建设覆盖省市县三级的灾备组网架构,在移动互联网的基础上组建私有虚拟网络,可对应用、视频、数据等核心业务,快速搭建备份链路。同时建立备份链路设备管控机制,统一部署下发设备管控策略,满足“双网双终端”的备份要求。
五是提升应急救援现场通信能力需求。充分利应急救援现场一切可以利用的传输网络(包括互联网、卫星通信、4G图传设备、无线宽带接入等),确保通信顺畅,保证语音、数据和视频图像等业务的实时传送,完善应急通信安全保障机制,利用SD-WAN组网,国密加密等技术保障链路的安全性,可用性和稳定性,提升应急救援现场通信能力多元化安全保障措施。
六是建立高级威胁检测与溯源机制的需求。通过打通省/市/县三级的安全检测机制,建立当前统一事件管理能力,利用网络安全态势感知平台结合威胁情报发现APT恶意攻击、恶意爆破、网络钓鱼等高级威胁,有效解决白利用、伪装流量等常见的黑客攻击,同时联动现有的终端安全管理软件,一方面解决当前不能查看黑客攻击路径的问题,另一方面解决恶意文件,恶意进程处置的问题,全面提升应急管理能力。
三、项目建设内容
构建省级安全交换区,完善省级安全管理区,建设网络安全态势感知平台3套,流量检测探针14套,应用安全网关3套,数据安全交换平台3套,视频安全网关3套,中心侧SD-WAN网关4套,SD-WAN网关控制台1套,边缘侧SD-WAN网关151套,负载均衡器2套,边界防火墙2套,违规外联检测控制台1套,违规外联检测器14套,终端准入网关15套,共216套设备及相关的集成服务。涉及到网络安全监测预警、跨网安全接入与数据安全交换、网络违规外联检测与终端准入管控及相应的网络策略的优化和调整等内容,具体设备部署方式初步设计如下(投标人可根据对项目的理解,根据项目需求对部署方式进行优化):
(一)网络安全监测预警
由省级网络安全态势感知平台和省、市两级流量检测探针组成。在省级指挥信息网通过集群方式部署网络安全态势感知平台,确保高可用,具备网络威胁监测预警、分析研判、应急处置和溯源追踪等能力,在省、市两级指挥信息网核心节点分别部署流量检测探针,与省级网络安全态势感知平台进行联动。
1. 在省级安全管理区,采用集群方式部署3台网络安全态势感知平台。
2. 在省级指挥信息网,通过旁路模式在省级骨干路由器上部署1台流量检测探针;在市级指挥信息网,通过旁路模式在每个市级骨干路由器上部署1台流量检测探针。
(二)跨网安全接入与数据安全交换
由应用安全网关、数据安全交换平台、视频安全网关、中心侧SD-WAN网关、SD-WAN网关控制台、边缘侧SD-WAN网关、负载均衡器、边界防火墙组成。在省市县三级配备边缘侧SD-WAN网关,与中心侧SD-WAN网关联动,构建基于互联网的远程安全接入指挥信息网的通路。
1. 在省级安全交换区,通过主备方式部署2台负载均衡器。
2. 在省级安全交换区,通过旁路模式在负载均衡器上部署3台应用安全网关(集群方式)。
3. 在省级安全交换区,通过旁路模式在负载均衡器上部署3台数据安全交换平台(集群方式)。
4. 在省级安全交换区,通过旁路模式在负载均衡器上部署3台视频安全网关(集群方式)。
5. 在省级安全交换区,通过主备方式部署2台边界防火墙。
6. 在省级安全管理区,部署1台SD-WAN网关控制台。
7. 在省级指挥信息网,通过旁路模式在指挥信息网区防火墙上部署2台中心侧SD-WAN网关、在安全交换区边界防火墙上部署2台中心侧SD-WAN网关。指挥信息网区中心侧SD-WAN网关用于建设指挥信息网省市县三级骨干网络备份链路,安全交换区中心侧SD-WAN网关用于建设省本级安全交换区与救援现场建立通道。
8. 在各市级指挥信息网节点路由器部署1台边缘侧SD-WAN网关;在各县级指挥信息网节点路由器部署1台边缘侧SD-WAN网关。另有43台边缘侧SD-WAN网关用于救援现场和灵活调配,优先选用桌面式设备,便于救援现场使用。
(三)网络违规外联检测与终端准入管控
由违规外联检测控制台、违规外联检测器、终端准入网关、终端准入网关集中控制器组成。一方面监测发现指挥信息网违规连接互联网、政务外网、其他专网等行为。另一方面管控接入本级的指挥信息网终端入网连接行为,县级指挥信息网终端根据本地网络连接情况,由省级或市级终端准入网关管控。
1. 在省级安全管理区,部署1台违规外联检测控制台。
2. 在省级指挥信息网,通过旁路模式在省级骨干路由器上部署1台违规外联检测器;在各市级指挥信息网,通过旁路模式在市级骨干路由器上部署1台违规外联检测器。
3. 在省级指挥信息网,通过旁路模式在省级骨干路由器和省级横向路由器处共部署2台终端准入网关;在各市级指挥信息网,通过旁路模式在市级骨干路由器旁边部署1台终端准入网关。在省级安全管理区部署准入网关统一管理软件。
四、详细技术参数要求
1、销售许可承诺:投标人需承诺提供在国家互联网信息办公室等4部门发布的《网络关键设备和网络安全专用产品目录》中的设备,应符合《关于调整网络安全专用产品安全管理有关事项的公告》(2023年第1号)的要求。(提供承诺书原件并加盖投标人公章)
2、安全可靠承诺:投标人需承诺提供的设备中使用到通用服务器的,服务器所使用的中央处理器(CPU)应在中国信息安全测评中心安全可靠测评公告目录中。(提供承诺书原件并加盖投标人公章)
3、功能性承诺:
(1)投标人需承诺本项目所要求的各项设备功能均为交付即可使用,除详细技术参数要求中特别说明的外,不再受额外的授权限制;
(2)所提供的网络安全态势感知平台能够接收、分析、研判常见的第三方网络和安全设备上报的日志并按照规定的方式和格式(详见本章附表)上报应急管理部安全管理中心并能够根据应急管理部要求随时更新数据格式。通过API接口调用的方式供上级平台查询日志和PACP包。平台版本升级不能影响与部安全管理中心进行数据对接的定制化接口;
(3)所提供的流量探针、应用安全网关、数据安全交换平台、视频安全网关、SD-WAN网关控制台、负载均衡器、边界防火墙、违规外联监测控制台、安全准入网关等设备都能够将安全日志数据按照规定的方式和格式(详见本章附表)送给网络安全态势感知平台并能根据应急管理部要求随时更新数据格式;
(4)所提供的流量检测探针、安全准入网关、违规外联检测器等设备兼容现网SRv6网络环境,能够对SRv6报文进行拆解和分析,在SRv6部署环境中能够实现所要求的各项功能。
(提供承诺书原件并加盖投标人公章)
投标人必须对以下所有招标技术参数要求逐项编写《技术偏离表》。下述技术参数要求中斜体加下划线的指标为实质性响应条款,不接受负偏离,有一项不满足作无效投标处理;加“★”标志的为重要响应指标;其余的为一般响应指标。
所有技术参数均需响应,明确需要提供证明材料的,应提供相应有效证明材料。未响应或未提供有效证明材料或证明材料中内容与所填报指标不一致,该指标按负偏离处理。
采购人有权要求中标方在招标结果公示后5个工作日内提供样品测试,如测试结果与响应参数不符,将按照政府采购有关规定承担法律责任。
(一) 网络安全态势感知平台
(1)硬件规格:交流冗余电源,内存≥128G,存储硬盘≥40T,千兆网口≥2个,万兆光口(含光模块)≥4个,日志吞吐量≥50000EPS,能够满足180天的存储要求。
(2) 部署架构:集群模式部署。
(3)★数据要求:支持对接入的数据进行泛化处理,根据实际需求补全字段内容,修改字段名称,打上资产归属标签。能够对属于相同安全事件的告警信息进行归并处理。(提供制造商公开的彩页资料或者官网截图)
(4)功能要求-态势感知:支持以大屏的方式对各类安全态势进行可视化展示,能够满足本地大屏的分辨率要求。
(5)★功能要求-资产管理:支持对本地各类资产进行信息录入和管理,资产类型包含:终端、服务器、应用系统、交换机等,通过资产信息协助安全运营工作。(提供制造商公开的彩页资料或者官网截图)
(6)功能要求-监测预警:支持对安全事件进行告警,能够展示:IP地址、事件名称、入侵类型、攻击载荷信息、流量上下文等内容,可以进行威胁判定。
(7)★功能要求-分析溯源:支持自定义关联分析规则,可以基于时间、主客体、行为特征等多种数据进行关联,发生入侵时能够自由查询各类原始日志数据。具有情报辅助查询能力,用于协助进行溯源追踪。(提供制造商公开的彩页资料或者官网截图)
(8)功能要求-应急处置:支持设定自动化处置规则,针对可明确的入侵攻击进行自动化处置,降低受损面积,能够与其他设备进行联动。
(9)功能要求-重大保障:支持建立重保活动的流程清单,将各环节流程化,支撑围绕重保目标和对象开展工作。
(10)★能够接收和分析本项目所有安全设备以及现有终端安全管理软件的安全日志,提供溯源举证功能,可将大量外部攻击日志聚合成少量攻击事件,识别已安装终端安全管理软件主机上发起恶意域名访问的进程链信息。根据自身业务和安全运维经验自定义告警/事件,提高告警的精确度,减少运维工作量;对来自第三方网络和终端组件的安全告警和审计日志进行二次检测,从而发现组件中误报、漏报,并给出更新后的检测结果。(提供制造商公开的彩页资料或者官网截图)
(11)★网络安全态势感知平台需能够集中管理全省分布的流量检测探针,日常运维过程中无需单独登录流量探针管理界面进行操作。(提供制造商公开的彩页资料或者官网截图)
(二) 流量检测探针
(1) 硬件规格:交流冗余电源,内存≥128G,存储硬盘≥20T,千兆网口≥2个,万兆光口(含光模块)≥2个,网络层吞吐量≥10Gbps。
(2) 集成要求:能够接收态势感知平台的集中管理。
(3) 功能要求-流量采集识别:支持针对实时流量采集分析,能够解析常见的应用层和网络层协议,可以对上传离线流量数据包进行分析。
(4)功能要求-流量数据解密:支持对基于SSL协议的加密数据进行解密和还原,协议类型包括:SMTPS、POP3S、IMAPS、HTTPS等,能够支持常见的国密算法和国际算法。
(5)★功能要求-数据存储:支持对实时流量采集的pcap包进行全量存储、威胁包存储、恶意文件存储,与网络安全态势感知平台联动支撑溯源取证。(提供制造商公开的彩页资料或者官网截图)
(6)★功能要求-攻击指令检测:支持针对SQL注入、XSS攻击、恶意文件上传、远程命令执行、隐蔽隧道外联、DGA域名访问等攻击进行威胁检测,能够与威胁情报进行联动。(提供制造商公开的彩页资料或者官网截图)
(7)功能要求-恶意文件检测:支持对文件进行恶意代码检测,具备动态和静态两种检测模式,可以针对恶意内容生成报告,并留存恶意文件样本。
(8)★流量检测探针基于五元组灵活抓取数据包,可定义配置源IP、源端口、目的IP和目的端口、传输层协议以及标签类型(vlan、vxlan、mpls)选择添加抓包任务。(提供制造商公开的彩页资料或者官网截图)
(三) 应用安全网关
(1)硬件规格:交流冗余电源,千兆网口≥2个,万兆光口(含光模块)≥4个,网络吞吐量≥8Gbps,应用层吞吐量≥5Gbps,最大并发连接数≥20万,新建连接数≥2万。
(2)部署架构:集群化方式部署和IPv4/IPv6双栈工作模式。
(3)功能要求-访问代理:支持对Web请求进行代理访问,并对协议的报文头和报文格式进行格式检查与控制,可根据不同的URL进行独立配置。
(4)功能要求-传输加解密:支持对HTTPS访问请求进行数据解密,将SSL证书进行卸载,还原成HTTP访问请求。
(5)功能要求-WEB安全防护:支持对拒绝服务攻击、SQL 注入、跨站脚本攻击、文件上传、远程命令执行漏洞等常见应用攻击防护能力,具备语义分析检测能力。
(6)功能要求-数据安全保护:支持对HTTP报文进行敏感内容识别,能够根据不同的URL自定义规则,检查其中是否含敏感内容。
(7)★应用安全网关可以对安全策略配合和修改的时间、原因、变更类型进行统一管理,便于策略的运维与管理。(提供制造商公开的彩页资料或者官网截图)
(四) 数据安全交换平台
(1)硬件规格:交流冗余电源,千兆网口≥2个,万兆光口(含光模块)≥4个,网络层吞吐量≥8Gbps,应用层吞吐量≥5Gbps,数据库同步速率(1KB)≥12000条/秒,FTP文件同步速率(350KB)≥2500个/秒,消息同步速率(1KB)≥10000条/秒,最大任务数≥80。
(2)部署架构:集群化方式部署和IPv4/IPv6双栈工作模式。
(3)功能要求-签名验签:支持进行对外部接入数据源进行签名验证,对验证异常的数据进行拦截丢弃。
(4)功能要求-身份认证:支持通过数字证书、口令密码、硬件指纹等标识进行身份认证和准入控制。
(5)功能要求-数据交换检查:支持对数据库、消息队列、文件进行数据交换,能够检查交换数据的名称、协议、大小,只允许符合安全策略的数据通过。
(6)功能要求-恶意代码检测:支持对交换数据进行恶意代码检测,发现恶意代码时进行隔离和告警。
(7)★支持主流厂商协议规范,支持SQL语句控制,如只允许查询,不允许删除等。(提供制造商公开的彩页资料或者官网截图)
(五) 视频安全网关
(1)硬件规格:交流冗余电源,千兆网口≥2个,万兆光口(含光模块)≥4个,应用层吞吐量≥3Gbps,720P高清视频并发≥600路,视频流传输时延≤300ms。
(2)部署架构:集群化方式部署和IPv4/IPv6双栈工作模式。
(3)功能要求-签名验签:支持接入的设备进行签名验证,确保信令流和视频流合法性。
(4)功能要求-身份认证:支持基于设备ID、数字证书、硬件指纹等标识进行设备身份认证和准入控制。
(5)★功能要求-协议识别:支持对应用层协议进行格式检查,对畸形协议数据进行拦截阻断,兼容 SIP、H.323、RTSP、ONVIF 等常见协议和华为、海康等私有协议。(提供制造商公开的彩页资料或者官网截图)
(6)功能要求-内容过滤:支持检查 SIP 消息中的文本内容,以匹配预定义的关键字或正则表达式,阻止非法内容传输和防范数据泄漏。
(六) 中心侧SD-WAN网关
(1)硬件规格:交流冗余电源,千兆网口≥2个,万兆光口(含光模块)数量≥4个,应用层吞吐量≥500Mbps。
(2)集成要求:被SD-WAN网关控制台进行统一管理。
(3)功能要求-广域网优化:支持进行广域网传输优化,有效提升传输效率,在30%丢包的网络质量下,依然可保障视频类业务的流畅性。
(4)★功能要求-传输加解密:支持进行传输加解密,使用算法包括国际算法和国密算法,所使用的密码组件通过国家密码管理局的检测认证,能够通过商用密码应用测评。(提供商用密码产品认证证书扫描件)
(5)功能要求-多路包复制:支持与边缘侧SD-WAN网关配合,将接收的原始包和复制包进行解析处理,剔除冗余数据,增强视音频业务的可靠性。
(6)功能要求-二层组网:支持在两个或多个站点之间基于互联网的二层互联,满足部分仅支持二层互联的业务场景需求。
(7)功能要求-DNS服务:支持DNS转发功能,无需修改本地DNS配置即可将所有DNS解析请求转发到指定的DNS服务器。
(8)功能要求-智能QoS:支持智能QoS功能,以保障重要业务系统优先使用带宽资源。
(9)功能要求-终端准入:支持与接入设备进行绑定,未经认证的设备无法接入网络。
(七) SD-WAN网关控制台
(1)硬件规格:交流冗余电源,千兆网口≥2个,万兆光口(含光模块)数量≥4个,内存≥128G,能够管理的SD-WAN网关数量≥300个。
(2)★集成要求:提供开放API接口供其他平台调用。(提供制造商公开的彩页资料或者官网截图)
(3) 功能要求-双因子认证:支持结合短信或动态口令完成双因子登录认证,提高登录安全性。
(4) 功能要求-网络可视化:支持查看链路状态和拓扑结构,可以实时显示每条链路的延时、抖动、丢包和吞吐等统计信息。
(5) 功能要求-分权管理:支持分权分域管理功能,用户管理权限至少支持三级:一级权限可管理所有单位站点,二级权限可管理部分指定单位站点,三级权限可管理单一指定站点。
(6) 功能要求-零配置上线:支持将基础配置进行集中导入,实现SD-WAN网关设备的批量化上线。
(八) 边缘侧SD-WAN网关
(1)硬件规格:网口数量≥4个,具备5G和WiFi模组。
(2)集成要求:支持被SD-WAN网关控制台进行统一管理。
(3)功能要求-广域网优化:支持进行广域网传输优化,有效提升传输效率,在30%丢包的网络质量下,依然可保障视频类业务的流畅性。
(4)★功能要求-传输加解密:支持进行传输加解密,使用算法包括国际算法和国密算法,所使用的密码组件通过国家密码管理局的检测认证能够通过商用密码应用测评。(提供商用密码产品认证证书扫描件)
(5)功能要求-多路包复制:支持与中心侧SD-WAN网关配合,将原始数据包复制后,将原始包和复制包通过两条不同的链路共同发送,增强弱网情况下视音频业务的可用性。
(6)功能要求-二层组网:支持在两个或多个站点之间基于互联网的二层互联,满足部分仅支持二层互联的业务场景需求。
(7)功能要求-DNS服务:支持DNS转发功能,无需修改本地DNS配置即可将所有DNS解析请求转发到指定的DNS服务器。
(8)功能要求-智能QOS:支持智能QoS功能,以保障重要业务系统优先使用带宽资源。
(9)功能要求-终端准入:支持与接入设备进行绑定,未经认证的设备无法接入网络。
(10)提供5G互联网流量卡,带宽符合总体技术方案指挥信息网容灾备份要求。在5G信号强度不能满足需要的安装地点,能根据项目质量保障方案免费进行调整。(提供承诺)
(九) 负载均衡器
(1) 硬件规格:交流冗余电源,内存≥16G,千兆网口≥2个,万兆光口(含光模块)≥6个,网络层吞吐量≥20Gbps,最大并发连接数≥2000万,每秒新建连接数≥50万。
(2)部署模式:IPv4/IPv6双栈工作模式。
(3)★功能要求-健康检查:支持对负载设备进行健康检查,在设备出现故障时不再对其进行流量分发对于视频业务具有专项优化能力。负载均衡器需要具备主动式健康检查功能,提供基于SNMP、ICMP、TCP/UDP、FTP、HTTP、DNS、RADIUS以及主流数据库类型的探测判断机制,对HTTPS服务进行内容健康检查。(提供制造商公开的彩页资料或者官网截图)
(4)功能要求-负载分担:支持进行服务负载和链路负载,算法包括:轮询、最小连接、最小流量、哈希、优先级等。
(5)投标人需要根据总体技术方案设计的省级安全交换区组网架构提供光口三层交换机(含光模块)用于构建业务交换网络和电口三层交换机用于构建管理交换网络。交换机的各项性能参数能够满足实际业务需要。(提供承诺)
(十) 边界防火墙
(1)硬件规格:交流冗余电源,千兆网口≥2个,万兆光口(含光模块)≥8个,网络层吞吐量≥40Gbps,最大并发连接数≥2000万,每秒新建连接数≥50万。
(2)部署模式:IPv4/IPv6双栈工作模式,具备bypass能力。
(3)功能要求-访问控制:支持五元组的访问控制,提供双向控制能力,可以批量设置规则。
(4)功能要求-路由功能:支持静态路由、策略路由、RIP、OSPF、BGP、ISIS等路由协议。具备虚拟路由功能,且虚拟路由功能不依赖虚拟防火墙功能。
(5)功能要求- NAT功能:支持全面NAT功能,对多种应用层协议支持ALG功能,包括DNS、FTP、H323、RTSP、SIP等。
(6)功能要求-入侵防御:支持对访问流量进行恶意指令清洗,涵盖应用层和网络层协议。
(7)功能要求-病毒查杀:支持对夹带文件进行病毒检测,具备压缩包检测能力,压缩包嵌套不低于3层。
(8)★边界防火墙对扫描源IP进行日志记录和联动封锁。(提供制造商公开的彩页资料或者官网截图)
(9)★具备黑名单配置接口供网络安全态势感知平台联动封锁外部恶意攻击IP地址。(提供制造商公开的彩页资料或者官网截图)
(十一) 违规外联检测控制台
(1)硬件规格:交流冗余电源,千兆网口≥2个,万兆光口(含光模块)≥2个,内存≥16G,管理的违规外联检测器≥50个。
(2)★集成要求:提供开放API接口与部安全管理中心对接。(提供制造商公开的彩页资料或者官网截图)
(3)功能要求-设备管理:支持添加级联违规外联检测器,按照区域新增级联检测器,能够显示检测器级联状态。
(4)功能要求-告警配置:支持配置策略对指定事件类型进行告警,包括网页、短信、邮件等告警方式能力。
(5)功能要求-统计分析:支持同步获取所有级联检测器的资产信息和违规信息能力。
(6)★违规外联控制台需具备统一管理全省14台违规外联检测器能力,增加管理数量不受授权限制。(提供制造商公开的彩页资料或者官网截图)
(十二) 违规外联检测器
(1)硬件规格:交流冗余电源,千兆网口≥2个,万兆光口(含光模块)≥2个。
(2)★集成要求:支持被违规外联检测控制台统一管理能力。(提供制造商公开的彩页资料或者官网截图)
(3)功能要求-违规发现能力:支持通过主动探测方式发现违规外联主机,并能够基于网络流量及协议的深度解析,完成违规外联行为监控。
(4)功能要求-资产测绘:支持通过主动探测的方式发现网络内的联网资产,可以自定义标签分类对资产进行管理。
(5)功能要求-网络拓扑:支持通过主动探测模式进行资产发现,并进行全网拓扑绘制。
(6)功能要求-时间自定义:支持自定义外联探测地址范围和探测时间范围,根据规则周期性开启探测工作。
(7)★终端违规外联检测器终端检测管理能力不少于500个终端。(提供承诺)
(十三) 终端准入网关
(1)硬件规格:交流冗余电源,内存≧16G,千兆网口≥2个,万兆光口(含光模块)≥2个,网络层吞吐量≧3Gbps。
(2)部署模式:IPv4/IPv6双栈工作模式,具备bypass能力。
(3)功能要求-网中网阻断:支持发现网络内的NAT设备,对使用NAT接入的终端进行准入控制或切断其访问。
(4)功能要求-终端绑定:支持通过IP/MAC的方式进行终端绑定,针对随意变换地址的终端进行切断访问。
(5)功能要求-复杂环境适应:支持无线和有线环境下的接入控制,适应复杂网络环境下的接入控制。
(6)★能够检测流量中终端的现网安全管理系统客户端安装情况,当检测到终端未安装客户端时,禁止上网并提示安装。(提供证明材料)
(7)★终端准入网关要针对各级终端进行准入管控,市级终端准入网关能够准入管控的终端数量不少于500台,省级终端准入网关能够准入管控的终端数量不受限制。(提供承诺)
(8)★提供终端准入网关统一管理软件(需能适配麒麟服务器操作系统),具备14台终端准入网关统一准入管理、备份和恢复、分支概览展示、实时流量可视化能力。增加管理数量不受授权限制。(提供制造商公开的彩页资料或者官网截图)
五、其它要求
(一)总体技术方案
1. 投标人应根据项目建设内容针对本项目需求提供总体技术方案,包括但不限于需求实现、总体网络架构设计、技术路线设计、网络安全设计、网络管理面和业务面逻辑设计、网络资源分配设计、安全能力应用场景设计等,需详细阐明各设备在整网环境中的部署位置、部署方式、策略要求、作用功能和应用场景。总体技术方案应以文字+网络拓扑图等形式组成,清晰直观展现本次项目建设全景,突出各系统配置细节,提供完善的技术方案确保项目安全运行,方案应科学、合理、切实可行、针对性强、图文并茂,符合本项目建设目标。
2. 采购人需详细描述采用SD-WAN技术的指挥信息网备份链路组网方案,至少包括:部署方式、部署条件、网络资源规划、应用场景等。测算指挥信息网主干线路中断的紧急情况下,5G互联网支撑市级至少4路,县级至少2路高清视频和部分应用系统流量的容灾备份带宽和速率需求。
(二)网络安全设备对接方案
对接方案应科学、合理、切实可行、针对性强,至少包括以下内容:
1. 详细制定网络安全态势感知平台与应急部管理中心对接方案,包括功能现状、需求分析、时间安排、研发计划、测试方案等。
2. 所提供的流量探针、应用安全网关、数据安全交换平台、视频安全网关、SD-WAN网关控制台、负载均衡器、边界防火墙、违规外联监测控制台、安全准入网关等设备都将安全日志数据按照规定的方式和格式送给网络安全态势感知平台的组织方式、任务分工、实现方法、接口规划方案、对接方案、时间安排等。
(三)项目实施方案
1. 投标人应根据招标文件要求提供项目实施方案,投标人应充分了解本项目设备供货、安装及调试需要,提供科学高效、切实可行的实施方案,承诺时间内完成设备安装及全网联调联试进入试运行。主要包括:调试现有各相关设备,对现有的各功能区域进行科学合理的优化,根据要求和实际业务需求完善各区的主要功能和访问控制策略;完成新增设备与现有各相关设备的联调联试,确保形成安全稳定统一的运行环境,完成部任务书要求的各项内容;提供工程实施所需所有线缆、标签等辅材。方案内容包括但不限于供货及安装各节点时间进度、质量控制、文明施工、实施团队、集成实施、安全实施、功能启用、重要时期保障等,方案应科学、合理、切实可行、针对性强,确保按期完成项目实施。
2. 鉴于本项目为国债项目的特殊性和重要性,投标人还应在项目实施方案中重点阐述本项目接受国家发改委、财政部、应急管理部以及有关省级项目监管部门检查时的迎检方案以及取得所提供设备的技术参数和功能真实性证明材料的方式方法等。由于投标人证明材料不真实造成的后果,采购人将采取法律手段追究相应责任。
(四)运维和售后服务方案
1. 投标人中标后需提供系统扩充、升级方面的保障和技术支持服务,提供7×24小时的技术支持响应。在出现问题时,投标人接到通知后必须派技术人员1小时内赶到现场检查处理。遇到重大事件应无条件响应,且具备现场30分钟内支持的能力。
2. 在质保期内,投标人应成立客户服务队伍,提供良好的维护服务,确保本项目范围内的硬件和软件能够正常使用。
3. 投标人须在项目验收合格后免费提供不少于1人次的驻场运维服务,服务级别不低于5×8小时提供详细的驻场运维方案,包括但不限于组织方式、人员安排、工作内容、工作流程等。
4. 投标人应详细阐述7×24小时云上云下一体化网络安全监控服务的组织方式、人员安排、服务方案、联络方案和网络安全隐患、事件处置流程等。
5. 投标人需提供重要时期保障服务,提供重要时期保障服务方案。保障网络基础设施、重点网站和业务系统安全,提供全方位的安全防守以及事前、事中、事后的全面安全建设托管服务,确保业务系统能够在重大活动期问安全平稳运行。保障信息化基础设施的稳定运行,对重要部件在南京配有相应备品备件,有相应的保障组织、制度。通过重保类服务方案协助招标人在国家重大活动期间及时发现并处置网络安全隐患。
6. 投标人需详细描述全省网络安全设备巡检的服务方案,包括但不限于:巡检频率、组织方式和问题处置流程。
(五)培训服务方案
本项目需要投标人提供培训服务,含免费提供两次,每次30人(用户)左右的技术培训,培训时间、地点需经甲方确认,培训食宿、场地、教材免费。培训包括产品介绍、设备性能指标、使用场景、技术建议等内容,项目建设及使用过程中如遇技术问题,应及时妥当提供相关指导,使维护工作人员能完全熟悉并掌握软硬件维护技能,及时排除一般的设备故障。要求如下:
1. 投标人应在投标文件中提交培训计划书、培训内容、详细的课程安排以及培训时间表。
2. 投标人应确保受训人员对系统基本原理、技术特性、操作规范、运行规程、管理维护等方面获得全面了解和掌握,使其能够胜任系统的全部运行、操作、故障分析处理、设备维修和保养等工作。
(六)项目质量保障方案
投标人项目质量保障方案应至少包含以下内容:
1. 投标人所投产品需确保符合招标技术要求及现场应用需求,设备安装交付过程中需提供相关产品的测试报告文档,如采购人对投标人提供的设备技术性能存在疑问,有权要求投标人配合开展第三方测试,所产生的测试费用由投标人负责,采购人保留对投标人的相关责任的追溯权利。
2. 投标人需详细描述边缘侧SD-WAN网关在实施过程中现场5G信号强度的测试方法和合格标准,并提出在信号强度不能满足总体技术方案中测算的带宽和速率要求时应采取的免费替代方案。如因所编制方案不完善,导致项目目标无法达成,无法按时形成完整有效的生产环境,由此产生的新增需求,由投标人负责解决。
3. 项目管理要求:在项目实施期间需遵守采购人信息化建设项目管理办法等制度要求,按要求提供项目建设各阶段相关资料,需详细描述项目质量管理的方式方法。
4. 安全保密要求:在项目实施期间应接受采购人保密监督管理,未经采购人同意,不得外传本项目相关信息,不得对外宣传报道与本项目相关内容。
5. 投标人须配合采购人开展网络安全等级保护第三级安全测评和商用密码应用安全性评估,方案中应对等保测评和密码评估实施方式方法进行描述。
六、商务条款
1. 免费运维服务承诺:投标人需承诺提供不少于3年的免费运维服务(自项目终验之日起计算),包括:边缘侧SD-WAN网关不少于每月18T的互联网流量池、全省定期巡检、软件漏洞修复、1人次不低于5×8小时的驻场运维、7×24小时云上云下一体化网络安全监测等服务。该服务按照采购人《信息系统运维管理办法》,由投标人向采购人直属单位江苏省应急管理服务中心提供。(提供承诺书原件并加盖投标人公章)
2. 免费质保服务承诺:投标人需承诺提供的所有硬件设备和系统软件在制造商处的注册登记用户是采购人。提供本项目所有设备不少于3年的免费质保和升级服务(自项目终验之日起计算),包括:硬件设备维修(非人为原因损坏)、软件版本以及规则库、病毒库、特征库升级等。该服务按照采购人《信息系统运维管理办法》,由投标人向采购人直属单位江苏省应急管理服务中心提供。(提供承诺书原件并加盖投标人公章)
3. 其他费用承诺:投标人需承诺承担本项目实施阶段所产生的其他必需费用,包括:运输费、保管费、上楼费、场地租赁费、垃圾清理费、安装调试辅材费、实施人员交通食宿费、边缘侧SD-WAN网关互联网流量费等,本项目终验前采购人不再为本项目支付合同外的其他费用。(提供承诺书原件并加盖投标人公章)
4. 交货期:自合同签订之日起60个日历天内完成网络安全态势感知平台的部署并开始向应急管理部报送数据,120个日历天内完成建设内容。
5. 交货方式:设备及软件货物现场交货验货,并提交相关交付物。
6. 交货地点:采购人指定地点。
7. 货款支付:签订合同后,甲方支付合同额的50%;项目初验合格后,甲方支付合同额的30%;项目验收合格后,甲方支付合同额的20%。支付条件以双方最终采购合同为准。
8. 备品备件及耗材等要求:满足本项目设备的安装、调试、集成、质保、运维等需求。
履约能力要求:
1. 投标人应取得如下资质:
(1) 投标人具有信息技术服务管理体系认证证书(认证业务范围需包含与本项目相关服务能力)。
(2) 投标人具有信息安全管理体系认证证书(认证业务范围需包含与本项目相关服务能力)。
(3) 投标人具有业务连续性管理体系认证证书(认证业务范围需包含与本项目相关服务能力)。
(4) 投标人具有CCRC信息安全服务资质认证证书(信息系统安全集成)。
(5) 投标人具有CCRC信息安全服务资质认证证书(信息系统安全运维)。
(6) 投标人具有CCRC信息安全服务资质认证证书(信息安全应急处理)。
2. 投标人类似业绩:
投标人自2021年1月1日以来承担过类似的政务信息化网络安全项目的业绩,
3. 投标人中标后应组织不少于15人的项目实施小组,包括1名项目经理、1名技术经理和技术人员。应提供项目实施小组所有成员为投标人自身员工的相应证明并明确省级及各设区市项目实施联系人和实施人员。配备人员要求如下
3.1项目经理(1名):
(1) 具有通过计算机技术与软件专业技术资格考试取得的信息系统项目管理师证书;
(2) IT服务项目经理证书(ITSS);
(3) 具有CISAW信息安全保障人员(应急服务)专业级及以上证书;
(4) 具有信息技术应用创新专业人员资格证书。
3.2技术经理(1名):
(1)具有通过计算机技术与软件专业技术资格考试取得的网络工程师证书;
(2)具有通过计算机技术与软件专业技术资格考试取得的信息安全工程师证书或注册信息安全工程师(CISE)证书;
(3)具有CISAW信息安全保障人员(风险管理)专业级及以上证书;
(4)具有注册信息安全管理人员证书(CISO);
3.3实施小组成员(项目经理和技术经理除外):
(1) 具有通过计算机技术与软件专业技术资格考试取得的网络工程师资格证书;
(2) 具有通过计算机技术与软件专业技术资格考试取得的信息安全工程师资格证书或注册信息安全工程师(CISE)证书;
(3) 具有CISAW信息安全保障人员(安全集成)证书;
(4) 具有CISAW信息安全保障人员(安全运维)证书;
(5) 具有信息技术应用创新专业人员资格证书。
具体见招标文件
收藏