项目采购需求

一、项目概况：

为了落实教育部《教育信息化2.0行动计划》，根据《河北省中小学教育信息化基础设施建设规范》（2016年修订稿）、《河北省中小学校园网建设规范》及《秦皇岛市教育城域网规划及建设规范（试行）》要求，抚宁区已将区内各学校分散建设的局域网（校园网）和互联网接入进行整合，组建了一个高效、稳定、安全、可管可控的教育专属网络——抚宁区教育城域网。

因资金和技术力量等原因，我区教育城域网及教育云平台建设采用购买服务模式，即中标方（服务商）要按我方需求设计项目建设方案、投资建设并交付我方使用，同时承担服务期内全部运行维护和安全保障业务，我方按合同逐年给付相应的服务费用，项目中涉及的设备、设施所有权归服务商。抚宁区教育城域网第一期服务项目已经于2021年12月1日开始，至2024年11月30日结束服务期。本次采购的是抚宁区教育城域网第二期项目建设及运维服务项目。

二、商务要求：

1、服务期限：拟定2024年11月30日前完成建设和试运行并且通过验收，从2024年12月1日开始进入服务期，直到2027年11月30日三年服务期满。具体期限以合同签订时间为准。

2、项目实施地点：秦皇岛市抚宁区。

3、服务标准：符合国家标准、行业标准、采购人及使用方要求。

4、付款方式：服务满一年之后，在一个月内支付前一年的服务费。服务期内，如遇互联网专线业务资费下调，相应的服务费给付也将随之进行调整。中标人向采购人出具正式税务发票，财政资金到位后，采购人以电子转账支付的方式支付。

三、技术（服务）要求：

（一）功能需求

1.基础需求

建成覆盖教体局机关和所属教育事业单位、全区中小学（含部分教学点）及独立幼儿园的高速专用网络和教育信息化基础平台。通过与市教育城域网的互联互通，实现教育网络化管理；同时，高速连接互联网。

在教育城域网的建设和服务过程中，服务商要依据《中华人民共和国网络安全法》、《教育部公安部关于全面推进教育行业信息安全等级保护工作的通知》、《教育部关于加强教育行业网络与信息安全工作的指导意见》、《信息安全技术网络安全等级保护实施指南》及相关要求，对涉及网络安全的所有环节实施规定动作，并经本地网络安全管理部门检查合格。网络安全要动态达到国家对信息系统安全保护的要求，即网络安全等级保护要随国家要求的变化而实时进行调整，并提供等级保护测评报告。所有网络安全设备必须为公安部设备库备案设备，（在投标文件中提供备案证明）。

需求方对网络安全的要求是：服务商要为教育城域网的使用提供安全、稳定、可靠的服务，同时承担一切与网络安全相关的业务（例如配合网络安全管理部门的检查、统计，定期提供漏扫、巡检、等保测评报告等等），不得收取需求方任何费用。凡因网络安全履约不到位而造成的一切后果和责任，由服务商全部承担。

具体需求如下：

1.1城域网专线

抚宁区教育城域网覆盖教体局机关和所属教育事业单位、中小学（含部分教学点）及独立幼儿园。城域网专线服务包括主干网络专线使用服务和专线接入设备运行维护服务。

主干网络传输介质为光纤专线，传输带宽最终要求达到千兆主干、百兆到桌面。本期建设为节省资金，按规模分为三个等级：抚宁一中等大型学校5所（含青少年活动中心、教师发展中心）；初中、金山学校等中型学校19所；小学、教学点、幼儿园和其他教育机构等小型学校共76所。共设计传输带宽为1000M接入点位5个、传输带宽为500M及以上接入点位

19个、传输带宽为300M及以上接入点位76个，即全区共涉及100个单位的100个城域网专线接入点位（详见附件《抚宁区教育城域网入网单位相关信息表》）。接入点位可能随教育布局调整而增减，相应的服务费也将随之进行调整。

每个接入点位需配置与城域网相适应的出口网关及交换设备，所有设备均为可网管设备，带宽应支持千兆及以上，并全面支持IPV6标准。

（1）出口网关

①为了满足网络安全需要，出口网关需支持路由、上网行为管理、状态防火墙/安全域、选路优化、业务加速、用户管理等功能（可以是一台设备也可配置多台设备满足以上功能）。网关应具备包过滤、防ARP攻击、防DDoS攻击、状态防火墙（支持TCP/UDP/ICMP/IP分片包等报文过滤，支持安全域）等，如果有一台PC中毒发出攻击流量，出口网关能够进行防护，让攻击无法穿过学校的出口网关，不会对城域网造成影响；同时为方便用户远程接入，出口网关需按学校规模配置SSL VPN用户授权（小型学校100、中型学校300、大型学校500及以上）。

★整机吞吐量【打开NAT,IPSEC、防攻击、会话数限制、流控、DHCP、集成AC、行为审计（网站审计、邮件收发）等功能时】大型学校1500 Mbps、中型学校1000 Mbps、小型学校400 Mbps。支持组网需要的千兆、万兆光模块。

②应具备应用识别功能（协议识别数量不少于2500种），支持相应的特征库（URL数据库、应用分类库、地址库、内容审计特征库等）配置5年及以上的升级授权，能够识别主流应用，可对学生和教师的行为进行识别控制，可针对不同用户身份（领导、老师、学生）、不同时间段（上班时间、下班时间）制定不同的流控策略，且所有出口网关的策略能够集中管理，在开启防攻击、会话数限制、流控、集成AC、行为审计（网站审计、邮件收发）等功能的情况下满足出口带宽。可自动识别或者手工定义关键教学业务，如视频会议、同步课堂、名师直播等等，重点保障这些关键教学业务。同时针对资源点播、网络阅卷等高并发业务能够支持双边加速功能，减少带宽占用的同时，保障各业务使用的效果。

③支持热点资源缓存功能，把热点的教学资源事先缓存在各学校的出口网关上，减少了对出口带宽的占用。可对指定网络资源提供热点资源本地化服务，应用缓存加速（被动缓存）支持精确缓存指定的APP，为了便于管理IP地址，支持IPAM，支持显示地址池使用情况，包含地址数、地址总数、已经分配地址数、使用率，支持IP安全绑定情况显示，在投标文件中提供IPAM设备配置界面截图。

④为适应校园网建设需要，应支持集成AC管理AP，支持用户强度分布、AP状态信息查看，支持AP批量升级，支持反制非法AP，大型学校可管理AP数量≥256个、中小型学校可管理AP数量≥128个。如不支持，可配置同等性能的无线AC，在投标文件中提供支持AC配置界面截图。

⑤支持状态检测防火墙，支持TCP/UDP/ICMP/IP分片包等报文过滤，支持安全域，支持基于IP的安全域划分，支持基于逻辑接口的安全域划分。如不支持，可配置同等性能独立防火墙，在投标文件中提供配置安全域界面截图。

⑥为节省小型学校组网成本小型学校网关支持最大26个千兆电口，支持16GE二层交换卡，设备支持POE供电，供电口数≥8个，整机POE供电输出功率大于等于150w，供电端口满足802.11af/at规范，单端口最大对外供电能力可达30w。在投标文件中提供产品外观图片和官网参数证明。

（2）接入交换设备

①接入交换设备应自带云管理功能，支持小程序扫码入网、小程序移动运维、端口、VLAN等图形化配置、多网络故障报警，支持短信认证、微信认证、web认证。最低配置要求：整机交换容量330Gbps、转发性能50Mpps，24个10/100/1000M自适应电口，4个SFP光口，固化交流电源。

②为了便于后期城域网的管理维护，各学校的接入交换机、出口网关可支持智能网络巡检，识别常见网络故障，诊断结果主动通告客户的手机端。能够采用微信小程序等方式来随时随地监控学校网络，及时获知网络异常。设备在受到外界机械碰撞时能够正常运行，交换机IK防护测试级别至少达到IK05，在投标文件中提供具有检测资质的第三方检测机构出具的IK防护等级检验报告或测试报告扫描件。

③保障未来带宽升级，SFP光口支持4个2.5G/1G SFP接口满足未来高带宽发展需求，在投标文件中提供产品外观图片和官网参数证明。

1.2城域网基础平台

城域网基础平台应具备入侵防护、上网认证与行为管理、日志存储与管理、网络及设备运维管理、应用服务支撑与管理等功能，运维管理必须为可视化，除支撑本期需要部署的应用外，还要能够支撑后续更多应用的部署。城域网基础平台包括硬件和软件，服务商可自主选择建设方案，但必须实现上述功能并在建设方案中明确表述，具体要求如下。

★（1）核心交换设备（与城域网专线的联接设备）

核心交换设备需使用市场上主流的Clos架构，具备完善的虚拟化功能；支持多对一镜像、一对多镜像，支持SPAN、RSPAN远程镜像，支持VLAN的镜像；支持模块化。交换容量不低于1900Tbps、包转发性能不低于230000Mpps，以满足5-10年的业务需求。出口需配置入侵防御功能、病毒防护功能、垃圾邮件过滤功能、文件防泄漏功能、高级威胁防护功能等功能并配置相应特征库授权。本项目中最少配备2台核心交换设备，或虚拟成1台逻辑设备或互为备份，以确保网络安全稳定运行。

（2）核心出口网关

①核心出口网关应具备与各接入点出口网关相配套的选路优化、上网行为管理、用户管理及应用识别功能（协议识别数量不少于2500种），最低配置为：支持内存≥32GB、整机吞吐量（打开NAT,IPSEC、防攻击、会话数限制、流控、DHCP、集成AC、行为审计等功能时）≥15Gbps，配置URL数据库及应用特征库≥5年授权、SSL VPN接入授权≥4000个。

②具备业务加速功能，支持双边传输数据的缓存加速，当访问资源由于进行增/删/改/查等操作而发生变化时，只需传输非重复部分，从而降低冗余数据传输量，支持数据压缩，通过数据压缩算法减少需要传输的数据量，在投标文件中提供资源加速设备界面截图。

③为推进《推进互联网协议第六版（IPv6）规模部署行动计划》以及保障未来发展，需要核心设备需要支持IPV6/IPV4双栈，双栈情况下支持20000终端用户，在投标文件提供具有检测资质的第三方检测机构出具的检验报告或测试报告扫描件。

④保证核心设备后期平滑升级支持IPv4路由容量1.5M，IPv6路由容量1M，可实现大表项板卡和其他板卡混插，不影响整机表项容量，在投标文件中提供具有检测资质的第三方检

测机构出具的检验报告或测试报告扫描件。

（3）上网认证与行为管理以及日志存储与管理

①按公安部82号令要求，为了满足网络安全需要，所有用户必须实名上网。进入城域网，需要通过身份认证，保证使用城域网的人员身份可靠，实名认证、实名行为管理、实名日志，日志需同时保留访问互联网的日志与各个中小学访问教育局资源的日志，且存储时间不能低于6个月，日志处理性能不低于20000条/秒；上网行为必须可追溯；在整个城域网内，可以同一账号认证漫游，便于领导、教师校校之间听课、访问。因此，实名认证平台应支持分布式部署，总部部署身份策略中心，统一管理全网的身份信息；由于现有各个中小学网络环境复杂，现有设备性能、功能等参差不齐，有很多不可网管设备。为了避免在进行实名认证出现设备兼容性等问题，可通过出口网关与认证平台联动实现网内各单位用户的准出认证。能够基于身份/时间/地点等实现有线、无线全网统一实名认证、实名审计，教体局统一开户和监控、学校分级分权管理，实现精细化的访问权限管理，灵活设置学生在什么时间、地点可以访问什么网络。

②应做到认证页面合并，即普通用户、短信、二维码、微信web认证合并；支持使用用户名密码+手机号及短信获取的6位数随机校验码作为认证要素进行双因子认证。

如果服务商提供的多业务网关的上网行为管理功能达不到公安部门对此相关的要求，就必须使用单独的上网行为管理设备以达到要求。

（4）入侵防护（一般通过配置出口防火墙来实现）

①出口防火墙应支持路由模式、透明（网桥模式）、混合模式等部署方式，支持虚拟防火墙（且每个虚拟防火墙独立管理），支持不同虚拟防火墙之间数据路由和透明转发模式；具备入侵防御功能，支持用户自定义攻击特征，支持对特定文件类型阻断，入侵检测特征库≥5000种；还应具备病毒防护、垃圾邮件过滤、文件防泄漏、高级威胁防护等功能。最低配置要求为：1518字节性能≥52Gbps，64字节小包性能≥52Gbps，IPS吞吐量≥9Gbps，设备在≥20%的TCP吞吐量背景流下的并发连接能力≥1100万；IPSEC VPN授权≥10000个，SSL VPN授权≥10000个。

②具备组网功能，可自动检测互联设备及连接终端信息，自动生成逻辑拓扑，并基于拓步展示终端指纹信息和网络连接信息，在投标文件中提供生成网络拓扑功能截图。

（5）虚拟主机（云主机）

①虚拟化主机用于部署各种应用平台，应支持安全、稳定、弹性扩容，云端系统可用性不低于99.95%。应配备专业运维团队7*24小时平台监控，IDC机房服务保障机制，定期远程和现场巡检，具备多级数据备份、防DDoS攻击、防火墙联动防护、SOC日常监控等功能保证网络安全。

②根据需要，本期虚拟主机配置要求为16核及以上CPU、32G及以上内存，其中8T及以上硬盘的至少1台（提供公网IP地址1个），1T及以上硬盘的至少2台（提供公网IP地址1个），并配置专用1G带宽与城域网平台互联。

③虚拟主机能基于自有云进行部署，所提供的微软操作系统为正版操作系统，在投标文件中提供合同或其他证明材料扫描件。

（6）设备运维管理

①在设备运维管理方面，应由专业的IT运维综合管理平台与出口网关控制器共同组成运维系统，能够对教体局及下属各单位的可网管设备及各业务系统等进行统一管理。应能够支持自动巡检等功能，减少工作人员的维护压力。平台应具备业务服务、资源管理（资源、拓扑和无线）、报表管理、告警管理、无线管理、日志管理、分级管理等功能，还应提供统一的综合可视化展现功能，即通过集成网络、业务、存储和虚拟化拓扑，可在一张视图上综合展示所有类型的被监管资源。平台最低配置要求为无线管理授权数100、网络设备授权数500、资源设备（服务器、业务系统等）监控软件授权数50、5个告警客户端授权、日志监控默认授权数30。

②针对各中小学出口网关数量多且分布比较分散，平台需具备通过SDN进行统一管理功能，包括零配置上线功能，可通过U盘、手机等多种方式来进行远程开局，无需现场配置设备。可根据线路的质量，对不同应用/应用组设定不同的调度策略，包括最优质量线路选路，指定线路选路，以及多条线路负载等。支持设备全景呈现，包括设备的基本信息呈现，如设备面板、端口信息、告警、性能等，在投标文件中提供操作界面截图。

（7）与市教育城域网互联互通

通过使用1G带宽专线与市教育城域网互联互通，统一IP规划，实现教育网络化管理。服务商部署好专线后由我局帮助协调市教育局电教馆，按相关接口规范联接，此为免费联接，对运营商没有限制。

1.3互联网出口

高速连接互联网，出口带宽为2.5Gbps及以上。可根据实际使用需求（例如各高考考点学校在高考期间），有能力弹性提供不少于10Gbps的出口带宽。因此，要求在本项目中配置的出口网关、行为审计等设备必须支持10Gbps及以上带宽，不能存在瓶颈影响上网速度。

2.应用需求

2.1视频会议系统

①利用教育城域网，以区教体局为1个主会场，本期将全区7个中心校和12个直属事业单位共19个分会场纳入其中，组建视频会议系统，后期可扩展至全区所有学校。视频会议系统可以是专线方式接入；也可以通过城域网专线在核心交换机端口带宽满足的情况下，通过建立会议系统专用VLAN后独享带宽的网络。

②系统应支持大规模并发会议服务，具备实时音视频交互、电子白板协同操作、桌面及程序共享、同步播放多媒体文件、会议录制和回放、会议管理、文件分发、电子投票、文字交流等功能；支持1080P/30、H.264及以上协议的多方高清视频服务，并具备超强的网络适应性，保证视频流畅不卡顿。系统应配备服务器及会议管理平台、主会场和分会场设备，其中主会场除标配视音频设备外，还应最少配备话筒1套（有线和无线话筒各2只）、功放1台、音箱2只、调音台1台、时序器1台，而分会场也应配备必要的音响设备；此外，各会场还应配备55英寸及以上液晶电视或其它大屏幕显示器作为显示设备，以满足视频会议服务的需求。

③支持多种移动终端接入、硬件终端和软件客户端同时参会，软件客户端支持Windows、Mac OS、iOS、Android、Android TV等主流操作系统，满足PC、手机、安卓TV等多终端接入。

2.2前期应用系统

前期应用系统包括集群图书馆管理系统、中考信息技术考试系统和互动教学管理系统，这些项目建设已经于第一期项目建设完成，本期需求是将这些应用平台部署在城域网平台的虚拟主机上，并满足安全、稳定和灵活扩容的需求。由于此项应用投入使用后将会占用比较大的存储容量和网络带宽，服务商要做好相关的优化配置。服务期内，教育局还可能需要部署新的应用系统，服务商应适度做好预留。

3.整合需求

根据《加快推进教育现代化实施方案（2018～2022年）》和《教育信息化2.0行动计划》“三全两高一大”的发展目标，即教学应用覆盖全体教师、学习应用覆盖全体适龄学生、数字校园建设覆盖全体学校，信息化应用水平和师生信息素养普遍提高，建成“互联网+教育”大平台的要求。因此，除前面要求整合部署的应用外，还要会同公安部门将各学校的监控报警系统接入城域网，同时还将按上级要求适时部署新的应用系统。

（二）运维需求

1.总体要求

为进一步提升抚宁区教育城域网的运行质量和工作效率，结合类似项目运维服务的工作经验，在项目投入使用后，由服务商组建专业运维服务团队，负责项目整体运维，发挥平台效能，切实提高整体运维服务质量。服务商要有完备的运维方案，运维人员的一切管理活动均由服务商负责，因人员管理产生的不良后果均由服务商承担。

2.范围及内容

在服务期内，应提供软硬件系统升级、功能更新服务、定期巡检、安全检测与测评、备份与恢复等内容的运行维护，具体内容如下：

（1）软件版本升级

为用户提供项目中涉及的全部软件的最新版本升级服务。

（2）功能更新服务

根据实际业务的变更或政策因素调整，在没有大的功能、需求调整的情况下，应该能对软件的功能进行调整、完善、更新；在应用软件的使用过程中，根据教体局的要求对应用软件进行性能优化和完善。

（3）定期巡检

定期对运行中的网络链路和系统进行巡检，对出现的故障进行解决，排除故障。所有保修服务方式均为上门保修，即派人员到使用现场处理。

（4）安全检测与测评

安全检测内容包括系统安全、数据安全、网络安全、计算安全等。要按照网络安全管理部门的要求对相关数据进行期限保存；定期开展漏洞扫描、安全巡检、等保测评等，并向需求方提供相关资质报告；每周进行一次数据备份。

（5）技术咨询

为用户提供每天24小时热线咨询和技术支持，在远程不能处理问题的情况下，提供现场服务，实地解决问题。

3.服务响应要求

在三年的服务期限内，提供每天24小时的运维服务。要有不少于两名专业人员对本项目进行专门服务，并设置服务电话，提供远程技术支持，以保证网络和平台系统安全、可靠运行。在接到故障通知后，及时排除故障，不得影响需求方的使用。

4.运维服务

在项目服务期内，所有运维服务费用均包含在项目总服务费中，不得再单独收取任何费用。凡在使用过程中出现设备正常损坏，服务商均负责免费更换；若由于使用方使用不当造成的设备损坏不包含在内，服务商可适当收取工本费用，但需经过采购人确认。

（三）项目培训需求

本项目的服务对象是整个抚宁区教育系统各单位，为确保本项目投入使用后能够正常运行、尽快发挥最佳效能，搞好培训至关重要。因此，服务商必须免费提供城域网基础平台和应用系统的培训，使之快速、有效的服务于我区的教育教学。

本项目需要进行三个层面的培训，具体要求如下：

1.项目核心管理人员层面。主要对象是教体局网络中心相关工作人员。

2.各教育系统单位网络管理员层面。需要进行两项培训，一是城域网平台的管理培训，要求不少于两次，一次是在项目正式投入使用前的全面培训，一次是使用中期的重点培训，其中重点培训视情况可能需要搞多次；二是城域网接入设备日常管理维护培训。

3.各单位应用平台管理员层面，主要是各应用平台的使用培训。

除使用中期的重点培训需要在使用中视情况而定外，其他培训全部集中在2024年11月30日前完成。

（四)其他要求

1.服务商必须按我方需求设计具体明确的建设方案、服务方案和培训方案，并严格按各个方案进行落实。

2.服务商必须按建设方案投资建设并交付我方使用，同时承担全部运行维护和安全保障业务。

3.服务合同期限为3年，如果3年后原服务商未能中标，必须要协助新中标的服务商完成项目全部数据的迁移工作，并作出承诺。

4.根据区政府智慧城市建设规划和进度，如果服务期限内本项目被纳入智慧城市项目中，本项目服务将适时终止。

注：标注“★”号条款为实质性条款，投标供应商有一项不满足即为无效投标。

四、履约验收要求：

秦皇岛市抚宁区教育和体育局作为履约验收主体，负责组织本项目的履约验收工作。

2024年11月30日前完成建设和试运行并且通过验收。项目实施过程中，抚宁区教育和体育局根据采购合同规定的标准，对服务情况进行考核、验收，验收合格财政资金到位后按年支付合同价款，如果服务商未能按合同要求保质保量完成运维服务，我方将视情况扣除相应服务费用，直至扣完为止。验收时，按照采购合同的约定对每一项指标、服务、安全标准的履约情况进行确认。验收结束后，出具履约验收书，列明各项标准的验收情况及项目总体评价。