|
序号
|
设备名称
|
技术参数与性能指标
|
单位
|
数量
|
备注
|
|
一、小区前端设备建设
|
|
|
|
|
1
|
人脸抓拍摄像机
|
1、传感器类型≥1/1.8英寸CMOS
2、像素≥400万,最大分辨率≥2560×1440;
3、最低照度彩色≤0.0005 lx,黑白≤0.0001 lx;
4、视频压缩标准:H.265/H.264/MJPEG;
5、网络接口:≥1个10/100M以太网口(RJ-45);
6、供电方式:DC12V/POE。
|
台
|
1818
|
|
|
2
|
车辆抓拍摄像机
|
1、传感器类型≥1/1.8英寸CMOS,
2、像素≥400万,最大分辨率≥2560×1440;
3、最低照度≤0.0005Lux(彩色);
4、视频压缩标准:H.265/H.264/MJPEG;
5、网络接口:≥1个10/100M以太网口(RJ-45);
6、供电方式:DC12V/POE。
|
台
|
1145
|
|
|
3
|
小区安全网关
|
▲1、具备视频资源接入和转发的功能;(提供第三方权威机构出具的具有CMA或CNAS标识的检测报告复印件并加盖投标人公章)
▲2、安全联网设备的视频流从互联网/专网端向社会资源接入平台转发应符合GA/T 1781-2021中相关要求,安全联网设备视频片段、图像及相关信息从互联网/专网端向社会资源接入平台转发应符合GA/T 1400的相关规定;(提供第三方权威机构出具的具有CMA或CNAS标识的检测报告复印件并加盖投标人公章)
3、具备图片转发、实时点播、历史视音频检索与回放和状态信息报送功能;
▲4、支持≥50路设备接入,支持并发转发≥8路视频;(提供第三方权威机构出具的具有CMA或CNAS标识的检测报告复印件并加盖投标人公章)
5、接入协议支持GB/T 28181-2022、Onvif、GA/T 1400等;
▲6、支持添加各类设备(包括IPC、NVR、人脸识别摄像机、车辆识别摄像机),可管理设备数量≥50个;(提供第三方权威机构出具的具有CMA或CNAS标识的检测报告复印件并加盖投标人公章)
|
台
|
371
|
|
|
4
|
高清硬盘录像机
|
1、≥10路高清接入;
2、支持SATA硬盘,配备≥16T硬盘,满足视频存储31天需求;
3、支持H.264/265录像;
4、支持本地录像回放,
5、支持网络远程回放;
6、高清录像分辨率,支持HDMI输出、VGA输出,支持同屏显示,支持多画面分割;
|
台
|
371
|
|
|
二、智慧治安外网业务服务系统
|
|
|
|
|
1
|
外网业务服务系统对接密码应用
|
依据《中华人民共和国密码法》等相关要求,从系统的实际需要出发,以规则和体系化的密码技术保护策略为标准,应用系统和密码应用对接,主要实现业务身份认证,业务关键信息及用户信息敏感存储机密性、完整性,系统访问日志完整性,系统关键不可抵赖性保障等。
其中业务关键信息包括小区基本信息、小区居民基本信息、点位基本信息、抓拍图片和通行记录等。
外网业务服务系统根据上述密码应用要求进行系统对接,通过对接以满足对业务流程和数据的密码安全应用要求。
1、用户登录身份鉴别:用户登录业务系统时采用SM2数字证书实现用户登录业务系统的身份鉴别,从而解决身份鉴别信息的防截获、防假冒和防重放问题。
2、访问控制信息完整性:应用系统通过调用密码服务管理平台密码计算服务,使用SM2数字签名算法实现对系统访问权限数据信息进行完整性保护,确保应用资源免受非授权实体的篡改或替代。
3、重要数据存储机密性:1)用户信息(姓名、手机号码、性别、住址、出生日期等)存储机密性,将通过调用密码服务管理平台密码计算服务,使用密码算法实现对系统关键数据信息机密性保护;2)重要业务数据的存储机密性,将通过调用密码服务管理平台密码计算服务,使用密码算法实现对系统关键数据信息机密性保护。
4、重要数据存储完整性:1)用户信息(姓名、手机号码、性别、住址、出生日期等)存储机密性,将通过调用密码服务管理平台密码计算服务,使用密码算法实现对系统关键数据信息完整性保护;2)重要业务数据的存储机密性,将通过调用密码服务管理平台密码计算服务,使用密码算法实现对系统关键数据信息完整性保护。
5、重要可执行程序完整性真实性:重要可执行程序来源真实性、重要可执行程序完整性。
|
套
|
1
|
|
|
2
|
视图融合子系统
|
1、视频融合子系统主要实现对GB/T 28181-2022视频数据和GA/T 1400-2017图片数据进行级联共享,将前端网关推送汇聚的视频和图片等业务数据转发到视频专网平台、城运中心视频融合赋能平台及其他委办局平台。
2、视频融合子系统建设满足共5925路视频和5053路图片接入。
3、主要功能包括:视频播放共享、图片数据共享、设备管理和系统管理等。
|
套
|
1
|
|
|
3
|
私有云平台一体机
|
1、CPU: ≥2*(16 Cores,2.40 GHz)
2、内存:≥256GB(32GB×8)
3、系统盘:≥2×480GB SSD
4、数据盘:≥3*8T SATA
5、GPU:1*NVIDIA T4
6、阵列卡:1块独立RAID卡,支持RAID0、1、10、50、60以及直通
7、网卡:1×双口GbE网卡,2×双口10GbE网卡
8、电源:双电源,冗余配置
|
套
|
4
|
含8个CPU授权
|
|
4
|
裸金属管理模块
|
1、支持批量管理云主机
2、创建云主机:提供多种策略创建云主机,高效利用云资源;支持指定根云盘容量、批量加载数据云盘
3、支持至少两种云主机展示方式:列表视图、目录视图
4、支持单盘快照和快照组两种快照类型
5、支持创建一个新的部署服务器
6、支持编辑部署服务器的名称、简介信息
7、支持停用选中的部署服务器
8、支持删除选中的部署服务器
9、可加载裸金属集群到部署服务器
10、将裸金属集群从部署服务器卸载
|
套
|
1
|
|
|
5
|
交换机
|
以太网交换机主机,
1、48个10/100/1000Base-T电接口
2、6个SFP+万兆光口
3、双交流电源
4、管理/业务/存储交换
|
台
|
2
|
|
|
6
|
核心交换机
|
1、SFP+光口≥48个,
2、100G/40G接口数≥6个,
3、配置1+1冗余电源.
4、交换容量≥2.5Tbps,
5、包转发率≥1080Mpps。
6、支持 RIP、 OSPF、 ISIS、 BGP 等 IPv4 动态路由协议;
7、支持 RIPng、 OSPFv3、 ISISv6、 BGP4+等 IPv6 动态路由协议
8、支持 iStack 堆叠
9、支持 IGMP、 PIM-SM、 MBGP 等组播路由协议
10、支持Access,Trunk,Hybrid方式 支持default VLAN 支持QinQ ;
11、支持基于 Layer2 协议头、 Layer3 协议、 Layer4 协议优先级等的组合流分类;
12、支持ACL,CAR,Remark,Schedule等动作
13、支持 PQ、 DWRR、 PQ+DWRR 等队列调度方式,
14、支持WRED、尾丢弃等拥塞避免机制
|
台
|
2
|
|
|
三、智慧治安专网数据治理系统
|
|
|
|
|
3.1 视图库建设
|
|
|
|
|
1
|
视图库软件
|
1、支持基于视图库标准协议(GA/T 1400)进行人脸、车辆、人体数据的采集、级联和共享;
2、支持人脸、人体、车辆等结构化数据、图片的跨网摆渡;
3、有上级视图库时,视图库启动时主动向上级视图库注册,视图库停止运行时主动向上级视图库注销;
4、支持视图库的注册、注销、校时、保活。
|
套
|
1
|
|
|
2
|
数据级联服务一体机
|
1、 CPU:≥1颗处理器,核数≥24核,主频≥2.2GHz;
2、内存:≥128G DDR4;
3、硬盘:≥2块480G SSD+2块600G 10K 2.5寸 SAS硬盘+2块4T 7.2K SATA硬盘;
4、网口:≥2个千兆电口+2个万兆光口;
5、电源:1+1冗余电源;
6、内置云计算软件、分布式数据存储软件,可根据实际安防业务场景特点分配相应资源需求,优化硬件配置。
|
台
|
4
|
|
|
3
|
图片云存储节点
|
1、 高性能图片专用云存储主机,可接入硬盘≥36块,配置≥36块6T企业级硬盘,内置SSD系统盘、内置加速缓存,控制单元不少于2颗64位多核处理器,≥32GB内存,内存支持扩展到≥256GB,≥6个千兆数据网口,支持扩展≥4个千兆口或2个万兆口,具有≥2个USB3.0接口;
2、支持图片存储优化,具有大量图片高并发既存既取能力,支持图片URL加密功能;
3、支持存储空间虚拟化管理。支持多存储设备容量整合,形成录像池;可根据用户业务分配通用、文件、视频、图片等类型存储空间;支持在线弹性伸缩录像池的容量空间,不影响业务继续读写
4、支持不同的物理节点之间建立网络RAID,配置设备冗余后,当某个物理节点宕机后,整个系统的数据可以通过其他物理节点恢复;
5、支持多个系统镜像,主系统出现故障时,备用系统应能接替主系统工作,应能通过任一备用系统对原主系统进行修复;当前版本出现故障或操作失误后,应能回退到历史版本,回退后历史录像完整、回放正常;
6、支持GB/T 28181-2022协议视频流直存,支持前端网络摄像机直接通过iSCSI协议进行块存储;支持在麒麟或UOS等操作系统上,使用奇安信浏览器或UOS浏览器等浏览器对设备进行操作;
7、支持存储业务模块存放在不同容器中,业务之间互相隔离,一个业务模块发生故障时,不影响其它业务模块;业务模块异常时,应能自动重启业务模块并恢复原有业务,支持不少于5个容器;
8、支持硬盘体检功能,应能查看硬盘体检报告、磁盘档案等,应能按时间显示硬盘的坏扇区、温度、振动变化趋势,应能查看硬盘读取错误率、上电时间、上电时长计数、意外断电计数、重映射扇区数、磁盘振动等多种硬盘健康值,支持查看硬盘体检的历史记录、硬盘健康状态,支持对硬盘健康状态进行分级分类,不少于三种分类如良好、警告、损坏等或其他类似分级分类描述;
9、支持指示灯报警,应能按照故障紧急程度分级报警,不同级别闪烁不同颜色灯,灯闪烁频率、时长可设;支持系统盘更换,更换系统盘并配置好信息后,再次开机业务应能自动恢复,历史数据不丢失。
|
套
|
2
|
|
|
4
|
图片云存储一体机
|
硬件配置:(3台)
1、CPU:≥2颗处理器,核数≥8核,主频≥3.0GHz;
2、内存:≥32G DDR4;
3、硬盘:≥1块240G SSD+2块960G SSD;
4、网口:≥2个千兆电口;
5、电源:1+1冗余电源;
图片云存储软件功能:
6、云存储管理软件,集成系统集群化、容量虚拟化、数据分布式存储等特性,支持控制流与数据流分离,数据的存储或读取由存储节点并行读写;
7、支持集群管理功能,包括集群单元弹性扩容、负载均衡、故障迁移等;支持集群节点生命周期管理,支持集群节点服务启动/停止,集群节点服务组建、扩展、删除;
8、存储对外提供登陆、认证接口,保证系统安全性,云平台须配置云存储的用户名和密码之后才能接入到云存储系统 接入云存储的设备和用户,都需要进行必要的接入认证,以保证接入的安全性; 支持创建不同权限的用户,且不同的用户对云存储系统分配不同的读写权限;支持多用户ACL访问权限控制,支持只读,或者可读可写; 支持对云存储系统内交互过程中的所有信令做摘要验证;
9、支持对云系统运行中压力进行统计分析,支持对云系统运行中状态进行统计分析,包括服务器状态、磁盘运行状态、存储使用空间、RAID组运行状态、监控点在线/离线数量和在线/离线比例等;
10、一套云存储系统可对外提供多种类型数据混合存储,同时支持分布式流式存储,分布式对象存储、分布式文件存储、分布式块存储;
11、支持按照存储节点、存储卷的可用剩余容量进行业务均衡;支持云内所有节点根据负载情况自动负载均衡,系统定期进行均衡负载,自动进行系统资源分配;支持双层负载均衡,支持存储节点级和硬盘级均按照负载和容量进行均衡;
12、云系统支持虚拟化存储空间,可以按需分配,分配的存储空间支持在线扩大和缩小;系统支持资源池空间弹性伸缩,不影响读写业务;系统支持周期在线动态扩大或缩小,存储周期内的业务数据不丢失,业务不受影响;支持在线扩大或缩小存储容量时,同时调整存储周期,业务不受影响;
13、支持硬盘在节点间的漫游,将正常或异常状态的存储节点上的正常磁盘插入其他数据节点中,数据仍可继续使用;
14、支持底层数据块容错,数据恢复以数据块为单位,无需全硬盘恢复;具备数据自愈功能,当硬盘损坏后,系统自动进行数据恢复,保证数据不丢失,业务不中断;
15、支持一个文件有多种N+M:K容错机制,能自适应调整N+M:K,系统根据当前节点情况自动配置使用哪种容错算法以达到最可靠的容错,以实现最大化节点容错能力;
16、按需弹性扩容,仅需添加新增存储节点IP地址,无需配置RAID,扩容过程无需RAID,LVM等配置,一分钟之内完成,节点扩容后,无须任何配置,新写入数据便可自动被分配到新节点上,节点扩容,无需数据迁移,容量变可用,系统支持横向扩展,可提供EB级容量空间;
17、一套云存储系统,同时提供7类数据存储服务,10种存储协议,构建统一数据湖,存储服务包含:流式存储-视频存储(GB/T 28181、RTSP、Onvif)、流式存储-图片存储(GA/T 1400.4、REST)、对象存储(S3、OSS)、大数据存储(HDFS)、结构化数据存储(REST、原生ElasticSearch http接口协议);同时系统支持HDFS文件数据存储服务,支持大数据组件MapReduce、Hive、Spark、Flink、ElasticSearch、Hbase接入,HDFS数据存储可同时提供多副本、Erasure Code数据保护机制;支持Cinder插件,为第三方云计算提供云硬盘服务;支持CSI容器存储接口标准,通过标准NFS、iscsi协议兼容容器编排平台,CSI(容器存储接口)插件将块存储资源作为持久化数据服务提供给容器应用;
▲18、 支持超融合架构服务模式,利用云原生架构与容器技术,将设备内的计算、网络、存储资源进行虚拟化,对外可同时提供虚拟机、容器、流式存储-视频存储(GB/T 28181-2022、RTSP、Onvif)、流式存储-图片存储(GA/T 1400.4)、对象存储(S3、OSS)、大数据存储(HDFS)、结构化数据存储(REST、原生ElasticSearch http接口)服务;(提供第三方权威机构出具的具有CMA或CNAS标识的检测报告复印件并加盖投标人公章)
▲19、 云存储系统支持对数据进行加密存储保护,加密算法兼容AES加密、SM4加密算法;加密方式支持软加密(AES 128、AES 256)、硬加密(加密卡和KMS服务器);(提供第三方权威机构出具的具有CMA或CNAS标识的检测报告复印件并加盖投标人公章)
20、支持对集群资源池的容量进行实时监控与趋势分析的前检测,对资源池可用的剩余天数和提前覆盖时间进行预测和预警提示;支持对存储数据视频质量进行后检测,如图像清晰度异常,亮度异常等,支持对录像数据中音频异常,音频中有无人声的检测;
21、一套云存储系统同时支持 iSCSI 协议(IP-SAN)、FC 协议(FC-SAN)、NFS/CIFS 协议(NAS)、亚马逊S3协议、阿里OSS协议等异构接入第三方存储,通过虚拟化功能将存储资源统一管理和分配、流直存方式实现视音频数据直写、存储资源池生命周期自主管理,
22、同时支持对存储资源自动分配,当异构服务器宕机,业务和异构存储资源漂移到集群内正常异构服务器,业务不中断、数据不丢失;
|
套
|
1
|
|
|
5
|
存储中间件服务一体机
|
硬件配置:(2台)
1、CPU:≥2颗处理器,核数≥24核,主频≥2.2GHz;
2、内存:≥64G DDR4;
3、硬盘:≥1块480G SSD(系统)+2块960G SSD ;
4、网口:≥2个千兆电口+2个万兆光口;
5、 电源:1+1冗余电源;
存储对接软件功能:
6、支持接入整合IP-SAN、FC-SAN、NAS、对象(亚马逊S3、阿里OSS)存储资源;
7、适用于对人脸、人体、车辆等图片数据即存即取场景,同时可提供高并发图片提取性能。
|
套
|
1
|
|
|
6
|
存储统一管理平台
|
1、支持多类型存储接入、管理、运维、策略调度的平台,支持纳管图片云存储、图片异构存储等,对外提供存储管理的统一入口;
2、提供存储设备和资源池的配置管理、存储资源的按需取用、多云管理运维,云间业务容灾切换、数据分层归档策略管理、数据备份、数据资产透明化等功能。
|
套
|
1
|
|
|
7
|
大数据服务一体机
|
硬件配置:
1、 CPU:≥2颗处理器,核数≥20核,主频≥2.1GHz;
2、内存:≥512G DDR4;
3、硬盘:≥1块240G SSD(系统)+1块240G SSD + 6块960G SSD + 6块4T SATA;
4、网口:≥2个千兆电口+2个万兆光口;
5、电源:1+1冗余电源;
大数据平台功能:
6、基于Hadoop的大数据基础平台:提供消息发布订阅系统Kafka、分布式文件系统HDFS、资源调度Yarn、NoSQL数据库HBase、全文检索ElasticSearch、内存计算框架Spark、分布式协调Zookeeper、工作流Oozie、列式存储系统Kudu等大数据基础组件;
7、一站式大数据运维管理平台:具备自动安装部署、集群管理、服务管理、告警管理、系统监控、日志管理、备份管理、审计管理、租户管理、用户管理、系统配置等运维管理功能;
8、精细化监控:支持面向分布式服务的监控告警,提供高可靠、安全、易用的集群监控能力,集采集、存储、展示、分析于一体,支持大规模集群的节点、服务监控和告警;
9、大数据集群支持横向扩展:可同时扩展计算量和存储量,集群支持在线扩容、减容;
10、可视化的服务组件控制:服务启/停、平滑升级,支持升级失败服务回滚;
11、可视化管理界面:支持服务组件控制、权限管理、SQL执行;
12、数据存储支持多副本写入:支持多副本,具有分布式容错机制,支持自动副本重建;
13、支持HA(HighAvailability)高可用:NameNode、ResourcesManager、HMaster等系统核心组件均支持HA部署,保障系统可靠性;
14、OLAP引擎:支持SQL查询和多维查询,支持ANSI-SQL2003标准,SQL覆盖的综合查询场景包括全文检索(全索引、半索引)、精确查询、模糊查询、多维预统计查询;
15、支持分布式部署,每套平台包含1个节点的永久授权。
|
台
|
4
|
|
|
8
|
视频共享平台组件一体机
|
1、2U路标准机架式服务器
2、CPU;1颗处理器,核数≥10核,主频≥2.4GHz
3、内存;≥16G*2DDR4,16根内存插槽,最大支持扩展至2TB内存
4、硬盘:≥2块1.2T 10K 2.5寸 SAS硬盘
5、阵列卡:SAS_HBA卡,支持RAID 0/1/10
6、PCIE扩展:最大可支持6个PCIE扩展插槽
7、网口:2个千兆电口
8、其他接口:1个RJ45管理接口,后置2个USB3.0接口,前置2个USB2.0接口,1个VGA接口
9、含视频共享服务平台4500路授权
|
台
|
2
|
|
|
9
|
核心交换机
|
1、SFP+光口≥48个,
2、100G/40G接口数≥6个,
3、配置1+1冗余电源.
4、交换容量≥2.5Tbps,
5、包转发率≥1080Mpps。
6、支持 RIP、 OSPF、 ISIS、 BGP 等 IPv4 动态路由协议;
7、支持 RIPng、 OSPFv3、 ISISv6、 BGP4+等 IPv6 动态路由协议
8、支持 iStack 堆叠
9、支持 IGMP、 PIM-SM、 MBGP 等组播路由协议
10、支持Access,Trunk,Hybrid方式 支持default VLAN 支持QinQ ;
11、支持基于 Layer2 协议头、 Layer3 协议、 Layer4 协议优先级等的组合流分类;
12、支持ACL,CAR,Remark,Schedule等动作
13、支持 PQ、 DWRR、 PQ+DWRR 等队列调度方式
14、支持 WRED、尾丢弃等拥塞避免机制
|
台
|
2
|
|
|
3.2 解析平台
|
|
|
|
|
1
|
算法服务授权
|
1、支持对前端摄像机采集的图片流进行结构化识别和特征提取,
2、支持人脸解析.人体解析.车辆解析.非机动车解析
|
路
|
2100
|
仅解析路数授权
|
|
四、智慧治安内网实战应用系统
|
|
|
|
|
1
|
重点人员比中率统计
|
1、对接市局慧眼平台获取重点人员库
2、创建重点人员布控任务
3、统计一段时间内告警人员数量(一段时间内某人告警多次算一次)
4、录入重点人员总数
5、计算比重率,一定时间内告警人数÷重点人员总数
|
套
|
1
|
|
|
2
|
“一标三实”采集率
|
1、对接市局慧眼平台获取一标三实人口底库
2、创建本地实名档案
3、计算采集率,本地实名档案数量÷市局实名底库数量(手动输入)
|
套
|
1
|
|
|
3
|
群租分析
|
1、对接市局一标三实平台,获取小区及小区人员登记人员信息
2、根据抓拍获取小区活跃登记人员档案
3、对小区活跃人员档案的地址信息进行分析,对同一门牌号下超过10人进行群租告警,视为群租。
4、群租房标记率,群租房告警数/群租房总数(手动输入)
|
套
|
1
|
|
|
4
|
核心交换机
|
1、SFP+光口≥48个,
2、100G/40G接口数≥6个,
3、配置1+1冗余电源.
4、交换容量≥2.5Tbps,包转发率≥1080Mpps。
5、支持 RIP、 OSPF、 ISIS、 BGP 等 IPv4 动态路由协议;
6、支持 RIPng、 OSPFv3、 ISISv6、 BGP4+等 IPv6 动态路由协议
7、支持 iStack 堆叠
8、支持 IGMP、 PIM-SM、 MBGP 等组播路由协议
9、支持Access,Trunk,Hybrid方式 支持default VLAN 支持QinQ ;
10、支持基于 Layer2 协议头、 Layer3 协议、 Layer4 协议优先级等的组合流分类;
11、支持ACL,CAR,Remark,Schedule等动作
12、支持 PQ、 DWRR、 PQ+DWRR 等队列调度方式,
13、支持WRED、尾丢弃等拥塞避免机制
14、光模块的配置需满足组网要求。
|
台
|
2
|
|
|
五、网络安全系统
|
|
|
|
|
5.1互联网与视频专网边界(数据)
|
|
|
|
|
1
|
负载均衡
|
1、标准机架式设备,冗余电源,14个10/100/1000M电口,8个千兆SFP插槽,8个万兆SFPP插槽,4个可选扩展插槽,5个风扇,吞吐量≥20G;
2、支持Vlan、QinQ、STP、MSTP等二层协议,满足二层的区域隔离以及链路冗余
3、支持多种链路检测方法,能够通过ICMP、UDP、TCP、FTP、DNS、HTTP、RADIUS、SSL、HTTPS、TCP half-open、SNMP-DCA、RADIUS-ACCOUNT等方式监控链路的连通性;
4、支持轮询、加权轮询、最小连接、加权最小连接、随机、源地址HASH、目的地址HASH、源地址端口HASH、静态就近性、动态就近性、带宽算法、最大带宽算法、本地优先级、基于ISP选路等链路调度算法
5、当内网用户访问某一个特定地址时,根据本链路当前到达此目的地址的实际链路状态进行调度,而不是依据固定的静态算法
6、支持基于ToS、五元组条件(源IP地址,源端口,目的IP地址,目的端口,传输层协议号)来配置出站访问的链路调度策略
7、通过ICMP、TCP、DNS等方式,检验SNAT地址池中的地址有效性,避免出口SNAT池中地址被意外封杀后仍然被使用造成网络访问中断
8、支持包括轮询、加权轮询、随机、最小连接、加权最小连接、带宽、最大带宽、源IP地址哈希、源IP地址和端口哈希、目的IP地址哈希、基于实服务器优先级调度、带宽算法、最大带宽算法、最快响应算法、动态反馈、HTTP哈希、HTTP CARP哈希、源IP地址CARP哈希、源IP地址和端口CARP哈希、目的地址CARP哈希、加权最小连接(基于成员)、最快响应(基于成员)、UDP强制负载分担(基于SIP的负载分担)、基于源地址调度、本地优先级等服务器负载均衡算法
9、支持CARP算法,在不借助会话保持的前提下,当服务池中的某个服务器故障时,只有故障服务器上的业务流量重新HASH调度,正常服务器上负载的业务不重新进行HASH,将业务系统的震荡降到最低
10、支持基于HTTP URL、HTTP Host、HTTP重定向、HTTP URL重写、HTTP重定向内容的重写、HTTP Header重写、HTTP Header删除、HTTP header插入、HTTP body重写、cookie、URL、content、method进行负载分担
11、支持基于TCP、HTTP的被动健康检查,通过监控链路中的重置、重传、错误应答码等信息判断服务器的健康状态;
12、支持在四层模式下(非代理模式),通过解析TCP Payload字段,进行基于应用层特征的负载分担;
13、当服务器繁忙时,可以将请求缓存至队列等待,当服务器空闲时,再将队列中的请求放通到服务器,起到削峰填谷的作用。
|
台
|
1
|
|
|
2
|
抗DDOS
|
1、标准机架尺寸,含交冗余电源模块,≥2个USB接口,≥1个RJ45串口,≥6个GE千兆电口,≥4个SFP千兆光口,≥2个SFP+万兆光口,≥1个接口扩展插槽;授权流量清洗能力≥10G;
2、产品支持对欺骗与非欺骗的TCP (SYN, SYN-ACK, ACK, FIN, fragments) 、UDP (random port floods, fragments)、ICMP (unreachable, echo, fragments)、(M)Stream Flood及混合类型攻击的防护,在透明模式下防止SYN Flood 攻击。
3、产品具备针对UDP53、TCP53及3DNS提供专用的DNS Query Flood防护手段。
4、产品能够有效防护CC攻击,并提供etag、http cookies、url验证、ascii图片验证、bmp图片验证、FCS检查和模式匹配检查防护算法以抵御不同程度的攻击,管理页面登陆支持验证码校验,防止暴力破解。
5、产品支持流量自学习功能,可结合自学习流量生产防护策略集参数。
6、产品具备对连接耗尽型攻击的防御能力。
7、产品支持设HTTP慢速攻击防护,支持导入SSL证书对HTTPS流量进行防护。
8、产品支持对代理型攻击(代理服务器,wap网关,CDN环境)的针对性防护。
9、产品支持CC反向探测页面自定义功能。
10、提供基于七元组(源IP地址、目的IP地址、源端口、目的源口、协议类型、TOS及接口)以及对数据包的特征字符进行匹配的模式匹配规则。
11、产品支持信任限速功能,对加入信任列表的IP地址进行流量控制。
|
台
|
1
|
|
|
3
|
数据边界防火墙
|
1、1U机型标准机架式 , 含交流双电源模块 ,接口配置≥1*MGMT管理口,≥16*GE千兆电口,≥4*Combo,≥4*SFP千兆光口,≥6*SFP+万兆光口,≥2*扩展插槽,三层吞吐量≥10G,最大并发≥500万,每秒新增会话数≥10万; 提供防病毒、入侵防御功能模块,并提供三年规则库升级。
2、路由模式、透明(网桥)模式、混合模式,
3、实现一对一、多对一、多对多等多种形式的NAT,实现DNS、FTP、H.323等多种NAT ALG功能。
4、实现安全区域划分,访问控制列表,配置对象及策略,动态包过滤,黑名单,MAC和IP绑定功能,基于MAC的访问控制列表,802.1q VLAN 透传等功能。
▲5、支持策略风险调优,支持安全策略优化分析,支持策略数冗余及命中分析,支持基于应用风险的策略调优,可根据流量、应用、风险类型等细粒度展示,并给出总体安全评分,便于用户更好的管理安全策略。(提供功能配置截图并加盖投标人公章)
6、僵尸网络分析,攻击链推导及资产安全风险等级的可视化呈现
7、支持基于文件协议、邮件协议(SMTP/POP3/imap)、共享协议(NFS/SMB)的病毒功能;
8、能够防范DOS/DDOS攻击:Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法、超大ICMP报文、地址扫描、端口扫描等攻击防范,还包括针对SYN Flood、UPD Flood、ICMP Flood、DNS Flood、http Flood、https Flood、sip Flood等常见DDoS攻击的检测防御。
▲9、支持报文示踪功能,支持真实流量、导入报文、构造报文等方式,用于分析和追踪设备中各个安全业务模块(如:攻击防范、uRPF、会话管理和连接数限制等)对报文的处理过程,通过查看报文示踪记录的详细信息,有利于管理员对网络故障的快速排查和定位。(提供功能配置截图并加盖投标人公章)
|
台
|
1
|
|
|
4
|
设备准入控制
|
1、标准机架式硬件产品,交流冗余电源;标准配置6个1000MBASE-T接口;每秒事务数(TPS):≥2000(次/秒),最大吞吐量:≥1Gbps,最大并发连接数≥2000(条);"
2、支持多种灵活的部署方式,无需改变网络结构,部署方式包括但不限于独立部署、热备部署、探针式部署、负载均衡部署、集群部署、扁平化部署、云化部署。
▲3、VLAN隔离技术须实现无客户端下的端口级准入效果,vlan隔离须采用不同正常vlan对应不同隔离vlan的方式,并可对通过小路由器、hub接入的设备实现颗粒度管控,不得采用全禁全放的风险行为。(提供功能配置截图并加盖投标人公章)
4、终端通过有线或无线申请接入,可无需用户操作,自动引导终端设备至认证入网页面。
5、支持划定关键业务范围,针对终端用户发起的访问请求可强制要求二次认证校验。
6、在多管理员状态下,支持设置私有、公有规范策略。私有规范只有创建账号有权限更改、删除,公有规范所有管理员均可更改或删除。
7、提供移动端专属平台管理页面进行便捷管理,包括但不限于:设备快速定位、设备审核、实时报警监控、客户端卸载确认码生成等。
8、支持安全客户端(Agent)、安全控件、无客户端等多种模式;提供Windows、linux、MAC OS、安卓、IOS专属客户端及APP。
9、支持自定义安全检查项,通过检测终端文件、指定文件版本、大小、MD5,注册表的项、注册表值,进程、服务状态进行检查。通过安装包运行、访问站点、开关服务、关闭进程、执行文件、删除文件、修改注册表进行修复。
|
台
|
1
|
|
|
5
|
集控探针
|
硬件架构:
1、标准机架式设备;
2、网络接口:不低于10/100/1000Mbps(电口)×6 ;
3、其他接口:不低于USB × 2个,CONSOLE × 1个
性能参数:
4、应用吞吐量≥300Mbps
5、并发数>100000
6、监控管理业务>5000
7、无故障运行时间≧50000小时
功能要求:
8、操作系统内核以及关键进程部分进行硬件固化;
9、支持syslog协议、支持snmpv2、snmpv3协议、支持具备标准图形化页面设备配置均可实现页面化配置。
10、与现有集中监管控制系统兼容,保证数据正常传输。
|
台
|
1
|
|
|
6
|
数据交换系统前置
|
1、硬件配置:标准2U机架式设备;冗余电源;千兆网络电口≥4个,万兆光口≥2个,支持扩展;USB口≥1个;VGA接口1个;
2、应用吞吐量:≥10Gbps,并发客户端数量≥30000个,文件交换急速≥6Gbps,最大数据文件≥40G,并发客户端数量≥1000个,最大传输延时≤20ms;
3、支持ORACLE、SQLSERVER、DB2.SYBASE、MYSQL等主流数据库的同步功能,可实现异构数据库同步,对数据库所在操作系统无任何要求,数据库支持触发器、全表采集等多种同步方式;
4、支持数据库、文件之间的模糊格式同步交换功能,可根据用户配置将文件内容识别并写入数据库,或按照用户指定格式将数据库数据导出为文件;
5、支持访问控制功能,包括:访问用户限制、访问内容限制、访问动作限制、访问时间限制、访问地址限制和访问次数限制;
6、支持在IPV4和IPV6协议环境下,支持Mysql等数据库间数据交换,支持单向,双向数据交换,支持增量与全量两种交换方式功能;
7、支持热备、负载均衡功能;
8、支持获取CPU空闲率,磁盘容量等信息功能。
9、支持在IPV4协议和IPV6协议环境下的审计功能,能够记录用户登录日志及数据传输日志:具备日志存储周期回滚功能;
10、系统中不存在漏洞库中已知中高风险漏洞;11、与现有安全请求服务系统兼容,保证数据正常传输。
|
台
|
1
|
|
|
7
|
数据交换系统后置
|
1、硬件配置:标准2U机架式设备;冗余电源;千兆网络电口≥4个,万兆光口≥2个,支持扩展;USB口≥1个;VGA接口1个;
2、应用吞吐量:≥10Gbps,并发客户端数量≥30000个,文件交换急速≥6Gbps,最大数据文件≥40G,并发客户端数量≥1000个,最大传输延时≤20ms;
3、支持ORACLE、SQLSERVER、DB2.SYBASE、MYSQL等主流数据库的同步功能,可实现异构数据库同步,对数据库所在操作系统无任何要求,数据库支持触发器、全表采集等多种同步方式;
4、支持数据库、文件之间的模糊格式同步交换功能,可根据用户配置将文件内容识别并写入数据库,或按照用户指定格式将数据库数据导出为文件;
5、支持访问控制功能,包括:访问用户限制、访问内容限制、访问动作限制、访问时间限制、访问地址限制和访问次数限制;
6、支持在IPV4和IPV6协议环境下,支持Mysql等数据库间数据交换,支持单向,双向数据交换,支持增量与全量两种交换方式功能;
7、支持热备、负载均衡功能;
8、支持获取CPU空闲率,磁盘容量等信息功能。
9、支持在IPV4协议和IPV6协议环境下的审计功能,能够记录用户登录日志及数据传输日志:具备日志存储周期回滚功能;
10、系统中不存在漏洞库中已知中高风险漏洞;11、与现有安全请求服务系统兼容,保证数据正常传输。
|
台
|
1
|
|
|
8
|
安全请求服务系统前置
|
1、标准机架式设备,配备网口:10/100/1000Mbps(电口)×4,万兆SFP+(光纤口)×2;
2、图片传输性能:≥500张/秒(1MB图片大小);服务请求并发性能:大于15000;
系统吞吐量≥6Gbps;
3、支持将SOAP、XML-RPC和RESTful请求或应答转为文件;
4、支持对请求和响应的内容进行审查,以确保没有敏感信息的泄漏;
5、支持对服务进行认证,保证服务的安全性;
6、支持设备、服务异常报警功能;
7、访问服务时可以对请求URL、请求IP、请求时间、请求数据和回应数据等进行检查和过滤;
8、支持认证服务,提供服务时必须进行身份验认定证,认证过程中支持时间、IP等规则设置;
9、支持服务器过滤功能,访问服务时可以对请求URL、请求IP、请求时间、请求数据和回应数据等进行检查和过滤;
10、支持协议识别,请求服务器只能传输Web访问请求,如果请求不是HTTP协议,请求服务系统将会阻断传输;
11、质保期内按需协助进行业务配置,原厂人员现场等支持;
12、重大活动及任务时,原厂人员现场等支持;
13、三年原厂质保服务、补丁升级。
|
台
|
2
|
|
|
9
|
安全请求服务系统后置
|
1、标准机架式设备,配备网口:10/100/1000Mbps(电口)×4,万兆SFP+(光纤口)×2;
2、图片传输性能:≥500张/秒(1MB图片大小);服务请求并发性能:大于15000;
系统吞吐量≥6Gbps;
3、支持将SOAP、XML-RPC和RESTful请求或应答转为文件;
4、支持对请求和响应的内容进行审查,以确保没有敏感信息的泄漏;
5、支持对服务进行认证,保证服务的安全性;
6、支持设备、服务异常报警功能;
7、访问服务时可以对请求URL、请求IP、请求时间、请求数据和回应数据等进行检查和过滤;
8、支持认证服务,提供服务时必须进行身份验认定证,认证过程中支持时间、IP等规则设置;
9、支持服务器过滤功能,访问服务时可以对请求URL、请求IP、请求时间、请求数据和回应数据等进行检查和过滤;
10、支持协议识别,请求服务器只能传输Web访问请求,如果请求不是HTTP协议,请求服务系统将会阻断传输;
11、质保期内按需协助进行业务配置,原厂人员现场等支持;
12、重大活动及任务时,原厂人员现场等支持;
13、三年原厂质保服务、补丁升级。
|
台
|
2
|
|
|
10
|
单向光闸
|
1、2U标准机架式机箱,配备单电源,内、外网各≥8个电口,≥4个SFP千兆光口,≥2个SFP+万兆光口,≥1个RJ45串口,≥2个USB2.0接口;系统采用2+1架构设计,包括内端机、外端机和独立的无反馈光纤硬件隔离信息导入区;隔离区的数据通道采用单向无反馈光通信系统,仅提供单向不发送光纤模块,无双向数据传输通道,在物理链路层杜绝信息的反向传输;
2、 最大吞吐量≥4G,并发连接数≥200万,
3、并发连接数≥20万,开关切换时间<10ns,
4、系统延时<1ms。
5、具备LCD液晶屏,能够显示设备序列号,显示CPU利用率、内存使用率、显示管理口IP等信息;
6、 强制访问控制:具备强制访问标志自定义、具备上传/下载安全等级分组、具备FTP命令黑白名单过滤;
7、支持主动同步功能:所有同步动作由光闸主动发起,无需在用户服务器安装任何软件;
▲8、支持私有协议文件单向同步客户端模式,文件传输工具支持LINUX、WINDOWS、UNIX等多种系统平台;(提供功能配置截图并加盖投标人公章)
9、文件同步类型支持本地FTP、本地SMB、本地NFS、本地SFTP、远程SMB、远程FTP等方式;
10、支持主流数据库Oracle、SQL Server 、Sybase、 MYSQL、DB2、以及国产数据库(武汉达梦、人大金仓KINGBASE、神舟通用OSCAR、南大通用GBASE)的同步 ,且对数据库所在操作系统无要求;
11、支持与同品牌的交换平台联动,通过交换平台进行协议转换,将信令转换成私有协议通过正反向光闸分别传输信令交互,同时确保视频流的单向传输;
12、支持IPv4、IPv6网络及IPv4与IPv6混合网络;
13、 支持Modbus TCP/RTU/ASCII,MQTT等采集,可灵活设置功能码、数据类型等参数;
|
台
|
2
|
|
|
11
|
三层交换机
|
硬件配置:
1、提供10/100/1000Base-T自适应电口≥12个,万兆SFP+光口≥4个;
2、交换容量≥168Gbps;
3、包转发率≥126Mpps;
4、MAC表容量≥32K;
5、含万兆多模光模块,满足万兆设备之间连接;
6、支持802.1X协议
|
台
|
1
|
|
|
5.2 等保三级(外网和视频专网)
|
|
|
|
|
1
|
数据库审计系统
|
1、标准机架式设备,含交流电源模块,配置≥1*GE管理口,≥6*GE电口,≥4*光口,≥1个接口扩展槽位,≥2T SATA硬盘、SQL处理能力≥15000条/秒;
2、支持主流数据库:Oracle、SQL Server、MySQL、DB2、PostgreSQL、sybase、达梦(DM)、人大金仓kingbase、Oscar;
3、系统配置简单支持数据库自动发现,设备无需添加、即插即用;
4、支持数据库账号登陆成功、失败的审计,数据库绑定变量方式访问的审计,Select操作返回行数和返回内容的审计;
5、系统用对对审计结果集敏感内容可进行屏蔽;
▲6、系统应能够设置事件分级策略以区分事件的安全级别,审计记录应包含事件分级信息;(提供第三方权威机构出具的具有CMA或CNAS标识的检测报告复印件并加盖投标人公章)
7、系统能审计到执行成功与否的结果以及返回结果集,如查询操作的返回内容;
8、系统具备应用用户关联审计,在三层数据库环境中,能够精确关联执行数据库操作的前端WEB应用用户;
▲9、系统应提供用户登录超时锁定或注销功能,终止超过最大超时时间仍没有任何操作用户的管理会话,需要再次进行身份鉴别才能继续管理操作,最大超时时间仅由授权用户设定;(提供第三方权威机构出具的具有CMA或CNAS标识的检测报告复印件并加盖投标人公章)
10、通过模式匹配的方式对SQL访问进行监测与告警,判断是否为可疑SQL注入,提供SQL注入特征库;
11、对于高风险操作所在的会话,支持旁路阻断功能,避免更大的危害。
|
台
|
3
|
|
|
2
|
运维安全管理系统
|
1、1U标准机架式,含单交流电源,USB接口≥2个,RJ45串口≥1个,GE管理口≥1个,GE电口≥4个,≥2T SATA硬盘,网络接口扩展槽≥1个。授权管理50台设备,支持授权扩展;图形运维最大并发数≥200,字符运维最大并发数≥80;
2、支持登录菜单访问:客户端访问审计系统即可显示用户能访问的资源菜单,用户通过字符菜单或图形菜单选择方式直接访问设备;
3、支持Telnet、SSH、RDP、VNC、HTTP、HTTPS等协议审计内容:包括访问起始和终止时间、用户名、用户IP地址、目标设备IP、设备名称、协议/应用类型、事件等级、操作内容等并支持操作内容录像放;
4、支持客户端访问方式:支持通过SecurCRT等常用的命令行客户端工具登录堡垒机并访问目标设备,具备历史记录功能,可直接跳转至最后一次登录状态;
5、支持根据运维人员的运维习惯,可个性化配置运维参数,更具人性化,提供运维效率;可选择首页设备分组的默认方式,可配置本地客户端路径;可配置默认账号的登录参数,可配置图形、文件、应用运维默认值;
6、访问策略支持设备视图和用户视图,管理员可以对运维权限一目了然,视图可以按照XLS格式导出,方便管理员管理;
7、支持手工登录目标设备,运维人员每次通过堡垒机登录目标设备都需要手工输入目标设备用户名密码;
8、支持多种认证方式,包括本地静态密码认证、LDAP认证、RADIUS认证、证书认证、USBKEY认证、短信认证、手机APP动态密码认证等身份认证方式;
9、支持将网络中的流量通过镜像的方式传到堡垒机,堡垒机以录屏加数据库日志的形式审计运维人员的操作,支持将操作语句与录屏进行实时绑定,能够准确快速的定位数据库语句执行时,整个屏幕的状态;
10、支持设备发现,通过IP地址扫描,快速发现指定IP地址范围内的主机、服务器和网络设备,并自动识别启用服务和端口,方便管理员快速添加设备;
11、支持本地字符客户端程序一键快速访问目标托管设备进行运维;
12、具备工单系统:支持运维工单流程,运维人员审批可提前申请工单,审批人员审批自由度大幅提高,不再受审批时间限制,解放运维人员和审批人员,提高工作效率;工单流程具体包括:工单创建-审批-完成;
▲13、为保障违规故障后能进行审计溯源,系统应具备支持基于WEB代理进行录屏审计的能力,从而实现溯源审计的需求,提供《基于web代理进行录频审计》的技术证明;(提供证明文件复印件并加盖投标人公章)
|
台
|
3
|
|
|
3
|
安全管理平台
|
1、2U软硬一体设备,配置≥2个CPU(10核),≥128G内存,≥256G SSD系统盘,≥4*8TB SATA硬盘,≥6个千兆电口,≥3个接口扩展槽位
2、系统日志管理范围应包括但不限于网络安全设备、网络设备、数据库、中间件、操作系统、应用系统等,支持第三方设备接入;
3、平台应支持内置不低于300个设备日志解析规则查看以及筛选,包括但不限于网络设备(防火墙、交换机、网关)、安全设备、终端主机日志、数据库等
4、系统应支持针对事件源/目的进行威胁情报追溯,依据情报显示的IP黑名单、高危漏洞数、关联域名威胁等级及关联恶意样本,确定事件的风险等级,支持追溯情报下钻呈现;
5、系统应支持对入侵事件,内容威胁事件,反病毒事件,应用威胁事件,网络威胁事件,WEB威胁事件,数据库威胁事件等类型事件进行告警;
▲6、平台应支持远程控制控制风险行为的检测,如向日葵、TeamViewer、远程连接windows命令行、远程控制工具等;(提供功能配置截图并加盖投标人公章)
7、系统应提供丰富的报表功能,支持TopN事件、TopN源地址、TopN目的地址、TopN服务、事件类型分布与趋势、危险程度分类统计与趋势、风险级别统计与趋势以及交叉报表等多种报表模板;为便于分析,还应支持用户自定义报表模版,能够按照用户需求生成各种风格的统计报表;
8、系统应支持直观地展示攻击的情况,可以对地图进行下钻,查看对应地域的攻击和被攻击top5 ip的情况,支持地图动态联动;
9、系统应支持从攻击者视角呈现攻击拓扑及攻击分析结果,支持从受害者视角呈现被攻击拓扑及攻击分析结果;
10、平台应支持对被封堵对象的解封能力,支持配置解封时间,到期自动解除封堵;
11、系统支持的数据采集方式包括但不限于:SYSLOG、FTP/SFTP、HTTP、API接口、专用Agent等方式,采集日志等;
12、平台应支持与本次提供产品漏洞扫描系统、防火墙、入侵检测系统进行联动,实现安全事件闭环处理,漏洞扫描结果支持手动和自动验证能力,可手动选择部分漏洞处置单进行验证扫描,支持漏洞批量处置;
|
台
|
3
|
|
|
4
|
潜伏威胁探针
|
1、标准1U机架式硬件设备,交流冗余电源,配置不低于CPU:8核8线程,内存:16G,64G SSD,1T硬盘,6个GE电口+4个GE光口,1个GE管理口,1个RJ45串口,2个USB,1个网络扩展槽,应用吞吐量≥2G,最大并发会话数≥200万;
2、支持对DNS、HTTP、FTP、SMTP、POP3、IMAP、SMB、Telnet、LDAP、MYSQL、ORACLE、MSSQL、SSL、TLS、QQ、TCP、UDP、ICMP、SMB、WEBMail等常见协议的深度解析和还原。
3、支持对流量中检测到的恶意文件进行存储,供关联分析和取证使用。
4、应覆盖多种攻击特征,可针对网络病毒、蠕虫、间谍软件、木马后门、扫描探测、暴力破解等恶意流量进行检测,攻击特征库数量至少为9000种以上。
5、支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP、RDP)的口令暴力破解检测。
6、支持自定义TCP端口扫描检测模型,支持配置参数包括检测阈值、检测周期,提供默认配置。检测产生的告警信息至少包括扫描类型和扫描事件名称。
7、支持针对主流Web服务器及插件的已知漏洞攻击检测。Web服务器应覆盖主流服务器:apache、tomcat、lightpd、NGINX、IIS等;插件应覆盖:dedecms、phpmuadmin、PHPWind、shopex、discuz、echsop、vbulletin、wordpress等。
8、支持对sql注入、XSS、SSI指令、Webshell、目录遍历、远程文件包含等网络攻击检测。
9、支持与威胁情报联动,可进行实时流量匹配检测和告警,支持对恶意IP、恶意域名、恶意URL和恶意文件进行检测。
|
台
|
3
|
|
|
5
|
漏洞扫描系统
|
1、1U标准机架式,含交流冗余电源,接口配置RJ45串口≥1个,GE扫描口≥5个,千兆光口≥4个,≥1个接口扩展槽位 ,硬盘≥1T;
2、允许最大并发扫描≥60个IP地址,允许最大并发任务≥25个任务,配置512个无限制范围的IP地址或域名扫描;
3、支持检测的漏洞数大于230000条,兼容CVE、CNCVE、CNNVD、CNVD、Bugtraq等主流标准;
4、产品应支持通过多种维度对漏洞进行检索,包括:CVE ID、BUGTRAQ ID、CNCVE ID、CNVD ID、CNNVD ID、MS 编号、风险等级、漏洞名称、是否使用危险插件、漏洞发布日期等信息;
5、提供高级漏洞模板过滤器,支持将符合筛选条件的漏洞自动加入到自定义漏洞模板中,及后续插件升级包中的漏洞也可以自动加入到模板中;
6、内置不同的漏洞模板针对Unix、Windows操作系统、网络设备和防火墙等模板,同时支持用户自定义扫描范围和扫描策略;支持自动模板匹配技术;
7、支持专门针对DNS服务的安全漏洞检测,包括DNS投毒等漏洞检测能力;支持“幽灵木马”检测;
8、支持立即执行、定时执行、周期执行扫描任务,自定义的周期时间可精确至每*月第*个星期*的*点*分;
9、支持断点续扫,可对已完成的扫描任务中没有被覆盖到的目标重新下发扫描任务;
10、支持扫描时间段控制,只在指定时间段内执行任务,未完成任务在下一时间段自动继续执行;
11、提供通过资产树对资产进行分级管理,支持设备权重设置和可信设备登记,支持将资产信息批量导入到资产树,可在资产树上直接指定主机开展扫描任务;
12、支持风险告警和风险闭环处理,可在集中告警平台灵活配置告警内容、告警方式、告警资产范围等,支持邮件和页面告警,支持单个或批量修改风险状态;
13、支持通过仪表盘直观展示资产风险值、主机风险等级分布、资产风险趋势、资产风险分布趋势等内容,并可查看详情;
14、提供系统快照功能,当系统出现问题时,可以通过恢复快照,一次性将系统恢复到快照时的版本,并将用户数据一同恢复;
15、支持扫描主流虚拟机管理系统的安全漏洞
▲16、产品应能检查常见木马使用的默认端口是否开启,并对扫描得到的开启端口进行测试分析,对未知服务和已知木马做出警告;(提供第三方权威机构出具的具有CMA或CNAS标识的检测报告复印件并加盖投标人公章)
|
台
|
3
|
|
|
5.3 视频赋能边界
|
|
|
|
|
1
|
视频交换系统(前置)
|
硬件架构:
1、网口:≧10/100/1000Mbps(电口)×4,可扩展到12个电光口。
性能参数:
2、应用吞吐量≧2Gbps;
3、最大图像吞吐率1200Mbp带并发;
4、图像传输性能线性1200Mbps,500路标清视频传输能力;
5、延时<50ms;
6、系统并发连接数为>1000;
7、最短无故障间隔时间≧50000小时;
功能描述:
8、视频分辨率 支持1080p、720p、D1、2/3D1、1/2D1、SIF、3/4D1、CIF、QCIF等;
9、视音频支持同时传输视音频、控制码流;控制协议支持视频共享平台SIP控制协议;
10、系统支持配置参数导入方式支持新的视频厂商协议安全接入,提供专门的参数导入操作界面,而无需通过后台操作;
11、系统具备能够在IPV4和IPV6协议环境下,对视频流使用用户、源端IP地址、目的端IP地址、访问时间进行控制;可对视频流进行丢帧、插帧处理;可对信令协议做register、play等关键字过滤,控制操作类型。
12、 具有访问控制功能、安全功能、日志功能。
13、符合GB/T 28181-2022《安全防范视频监控联网系统信息传输、交换、控制技术要求》。
14、设备具有数据流控制功能,能够识别和分析视频控制信令,并根据控制信令动态开放和关闭视频流传输通道,能识别和检查视频编码格式和视频传输格式,内容关键字等进行安全过滤,防止数据夹带,允许合法的视频流通过。
15、为保证系统稳定性,不需要第三方负载均衡服务器,系统内部即可实现负载均衡功能。
|
台
|
1
|
|
|
2
|
视频交换系统(后置)
|
硬件架构:
1、网口:≧10/100/1000Mbps(电口)×4,可扩展到12个电光口。性能参数:
2、应用吞吐量≧2Gbps;
3、最大图像吞吐率1200Mbp带并发;
4、图像传输性能线性1200Mbps,500路标清视频传输能力;
5、延时<50ms;
6、系统并发连接数为>1000;
7、最短无故障间隔时间≧50000小时;
功能描述:
8、视频分辨率 支持1080p、720p、D1、2/3D1、1/2D1、SIF、3/4D1、CIF、QCIF等;
9、视音频支持同时传输视音频、控制码流;控制协议支持视频共享平台SIP控制协议;
10、系统支持配置参数导入方式支持新的视频厂商协议安全接入,提供专门的参数导入操作界面,而无需通过后台操作;
11、系统具备能够在IPV4和IPV6协议环境下,对视频流使用用户、源端IP地址、目的端IP地址、访问时间进行控制;可对视频流进行丢帧、插帧处理;可对信令协议做register、play等关键字过滤,控制操作类型
12、具有访问控制功能、安全功能、日志功能。
13、符合GB/T 28181-2022《安全防范视频监控联网系统信息传输、交换、控制技术要求》。
14、设备具有数据流控制功能,能够识别和分析视频控制信令,并根据控制信令动态开放和关闭视频流传输通道,能识别和检查视频编码格式和视频传输格式,内容关键字等进行安全过滤,防止数据夹带,允许合法的视频流通过。15、为保证系统稳定性,不需要第三方负载均衡服务器,系统内部即可实现负载均衡功能。
|
台
|
1
|
|
|
3
|
一机两用检测系统
|
1、支持IP/MAC绑定、DNS绑定。其中IP/MAC绑定分为与当前IP绑定、绑定到指定IP范围,DNS绑定可指定绑定IP范围。
2、支持无线网卡检查、文件目录检查、硬盘检查,并根据IP、注册人、部门等信息查询相关检查记录。
持对指定范围的设备进行系统弱口令检查、空口令检查、账户过期检查、无用账户检查。
3、支持提供对指定进程、服务的禁用功能。
4、支持按照配置的规则对数据访问进行控制。
5、支持按照配置的隔离规则来对数据访问进行控制;隔离对象支持按IP范围隔离、按组隔离;隔离规则支持指定的允许访问对象、访问协议以及指定的允许来访对象、访问协议。
6、支持提供对指定范围内设备的CPU、内存、磁盘、流量、应用点击、连接情况监测检查。
7、支持外联事件探测,包含:接入互联网(即外联后接回内网、同时连接内外网、仅连接外网)和接入私网。
|
套
|
1
|
|
|
4
|
数字水印系统
|
1、支持二维码水印、文字水印和隐形水印,并在客户端相应的进程或浏览器上产生水印。
2、支持在视频会议系统、QQ视频、微信视频、钉钉视频等程序应用水印策略。
▲3、支持自定义水印策略,对选择类型(二维码、文字、隐形水印)、颜色设置(透明度)、选取内容(IP、mac、时间、用户名、单位信息)、进程种类、水印相对位置等信息进行修改,支持设置默认水印策略,支持外发水印策略。(提供功能配置截图并加盖投标人公章)
4、支持新增、编辑、删除水印,新增、编辑、删除水印进程,支持水印列表,包括策略名称、水印类型、制作时间、制作人、策略状态信息。
5、支持客户端配置的隐形水印策略产生隐形水印图标,隐形水印解析工具中,依据客户端上的隐形水印图标图案,以起始符号为定位点,选择相同的十六进制图标,直到4x4个方格水印图标图案全部匹配完成,即可解析到客户端准确唯一的信息。
6、支持在外发的视频文件上添加定义的外发水印。
|
套
|
1
|
|
|
5
|
视频加密系统
|
1、支持视频文件和图片加密,支持格式包括mp4、wmv、avi、mov、flv、mpeg、vob、asf、ts、 swf、dav、sdv、jpg、png、bmp、gif、tiff。
▲2、支持加密进程管理,支持新增、编辑、删除加密进程,加密进程列表包括进程名称、下载文件后缀、建立时间、建立人。(提供功能配置截图并加盖投标人公章)
3、支持解密审批管理,审批管理列表包括ip、当前用户、解压文件名、原始文件名、导出类型、文件大小、下载开始时间、下载时长、请求时间、操作字段,支持根据IP地址、当前用户、原始文件名查询,支持模糊查询。
4、支持外发文件密码控制,支持外发文件播放密码、播放次数、播放主机等限制措施。
5、支持视频反截屏保护,启用反截屏的客户端,截图内容不能被查看;保存的截图文件,打开后,显示一张黑色图片,保存之前的内容也不能被查看。
|
套
|
1
|
|
|
6
|
三层交换机
|
硬件配置:
1、提供10/100/1000Base-T自适应电口≥12个,万兆SFP+光口≥4个;
2、交换容量≥168Gbps;
3、包转发率≥126Mpps;
4、MAC表容量≥32K;
5、含万兆多模光模块,满足万兆设备之间连接;
|
台
|
1
|
|
|
5.4 密码应用
|
|
|
|
|
1
|
综合安全网关
|
1、标准2U机架式,千兆电口≥4个,CPU≥2.8GHz/8核,USB口≥2个,VGA口≥1个,硬盘≥240GB SSD,内存≥16G;冗余电源;配置设备数字证书,有效期≥3年,颁发机构应具有《电子认证服务使用密码许可证》。涉及的CPU芯片、操作系统均为中国信息安全测评中心或国家保密科技测评中心认证公告中产品;
2、性能要求:IPsec VPN加密速率≥1.6Gbps;IPSec最大并发隧道数≥15000 ;SSL加密吞吐≥1Gbps ;SSL最大并发连接数≥7.5W;SSL每秒新建连接数≥2400 ;SSL最大并发用户≥6000;
3、支持国密算法套件,并兼容国际算法套件;支持SSL3.0、TLSv1.0/v1.1/v1.2/v1.3,同时支持国密标准SSL协议GMTLSv1.1;
4、支持国密SSLVPN网关-网关模式,网关-网关模式支持标准和高性能两种模式;
5、支持FTP代理、SMTP/SMTPS代理、POP3/POP3S代理,可实现支持基于VPN隧道的应用代理,实现深层次的通信数据过滤;
6、支持隧道传输保障技术,包括IPSec分片技术、TCP隧道保障技术和MTU探测修改技术,提高产品在复杂环境下的适应能力;
7、支持NAT穿越、支持双边NAT建隧道、支持DPD探测、支持隧道交换/接力/嵌套;
8、支持设置证书过滤规则,可通过对用户证书C、ST、O、CN、L、OU、Email等字段进行过滤,实现对接入用户的登入控制;
9、支持多域认证功能,可基于虚拟门户设置LDAP认证服务器,不同门户指定不同的认证服务器,方便用户纵向管理分支接入机构;
10、支持自动将LDAP目录映射,实现用户组与LDAP服务器自动同步的功能;
11、支持多种短信认证服务,包含、串口短信设备、数据库短信设备、Web Service短信设备;
12、IPSec VPN支持TTG隧道传输保障技术,将IPSec VPN隧道封装为TCP通信,提升隧道可靠性、稳定性;
13、客户端APP支持windows、linux、Android、IOS等多种操作系统;
14、支持IP/MAC绑定、支持动态端口协议、支持报文合法性检查、支持基于状态检测的流过滤访问控制;
▲15、提供国密局颁发的《商用密码产品认证证书》,产品符合GM/T0023《IPsec VPN网关产品规范》、GM/T0025《SSL VPN网关产品规范》和GM/T0028《密码模块安全技术要求》第二级或二级以上安全要求;(提供证书复印件并加盖投标人公章)
▲16、为保证系统稳定性和兼容性,内置国密局核准的同品牌安全二级密码卡;(提供同品牌密码卡商用密码认证证书复印件并加盖投标人公章)
|
台
|
2
|
|
|
2
|
服务器密码机
|
1、标准2U机架式设备,千兆电口≥4个,CPU≥2.8GHz/8核,内存≥8G,硬盘≥240G,550W冗余电源;支持负载均衡,支持双机热备。涉及的CPU芯片、操作系统均为中国信息安全测评中心或国家保密科技测评中心认证公告中产品;
2、SM1加解密≥5000Mbps;SM3杂凑≥4000Mbps;SM4加解密≥6000Mbps;SM2密钥对生成≥100000次/秒,SM2加密速度≥25000次/秒,SM2解密速度≥32000次/秒,SM2签名速度≥100000次/秒,SM2验签速度≥37000次/秒。;
3、算法要求:对称算法SM1、SM4、3DES、AES;非对称算法SM2、RSA1024/RSA2048/RSA4096;摘要算法SM3、SHA-256、SHA-512;MAC算法HMAC、CMAC;
4、密码服务:采用由国家密码管理局批准的双物理噪声源生成随机数。可提供256位SM2密钥对和1024/2048/3072/4096位RSA密钥对,或直接为用户提供随机数服务;
5、密钥管理要求:支持对密钥全生命周期管理,支持密钥生成、存储、导入与导出、密钥使用、密钥更新、密钥备份与恢复等管理服务;
6、用户管理:支持三权管理:系统管理员、审计管理员、业务操作员;
7、白名单:支持IP白名单控制,对访问的业务系统和管理客户端进行IP地址或IP段的访问控制;
8、日志审计: 支持日志记录能力,包含不限于业务日志、错误日志、操作日志、系统日志等,日志至少保存半年;
9、系统升级:通过升级包的方式对平台进行软件升级,及时修复安全漏洞,保证平台的安全使用;
10、状态监控: 对接密码服务平台,通过密码服务平台监控展示设备硬件运行情况、密码服务运行情况;
11、告警通知: 对接密码服务平台,通过密码服务平台展示所有可监控的数据进行告警设置,将监控数据进行分类管理,不同监控数据进行告警阀值设置;
12、接口要求:支持多种调用方式,提供Linux和Windows等多种调用接口,接口至少支持C/C++、Java接口;提供标准API,支持SDF、JCE、P11等接口;
▲13、提供国密局颁发的《商用密码产品认证证书》,产品符合GM/T0030《服务器密码机技术规范》、GM/T0028《密码模块安全技术要求》第二级要求;
支持与具有国密局颁发的《商用密码产品认证证书》的设备管理系统对接(设备管理系统须符合GM/T0028《密码模块安全技术要求》第二级要求);(提供该条所述商用密码认证证书复印件、对接功能截图并加盖投标人公章)
▲14、内置国密局核准的安全二级密码卡,为保证系统稳定性和兼容性,内置密码卡与配套的智能密码钥匙为同一厂商同一品牌,且与服务器密码机为同一品牌;密码卡、智能密码钥匙及服务器密码机均具有国密局颁发的《商用密码产品认证证书》,并符合GM/T0028《密码模块安全技术要求》第二级要求;(提供同品牌密码卡、智能密码钥匙、服务器密码机商用密码认证证书复印件并加盖投标人公章)
▲15、为满足用户不断增长的安全需求,本设备生产厂商具有高安全等级密码研发能力,具有安全等级不低于安全三级的板卡或整机研发能力。(提供本品牌的符合GM/T0028《密码模块安全技术要求》第三级要求或以上要求的板卡和整机商用密码产品认证证书复印件;)
|
台
|
2
|
|
|
3
|
签名验签服务一体机
|
1、 规格要求:标准2U机架式设备,千兆电口≥4个,CPU≥2.8GHz/8核,内存≥16G,硬盘≥240G,550W冗余电源;支持负载均衡,支持双机热备。涉及的CPU芯片、操作系统均为中国信息安全测评中心或国家保密科技测评中心认证公告中产品;
2、性能要求:SM4加解密≥860Mbps;SM3杂凑运算≥860Mbps;SM2签名≥18000次/秒;SM2验签≥9800次/秒;SM2密钥对生成≥3600次/秒;
3、支持SM1、SM4、3DES、AES、SM2、RSA1024/RSA2048/RSA4096、SM3、SHA-256、SHA-512、HMAC、CMAC等国密和国际通用算法;支持对数据块和文件进行支持SM2算法的签名和验签服务,支持内部/外部密钥运算,支持PKCS#1格式的数字签名与验证能力,支持PKCS#7格式的数字签名与验证能力,支持Detach与Attach模式。支持基于 SM2 密码算法的数字信封加解密服务;
4、密钥管理:支持对密钥全生命周期管理,支持密钥生成、存储、导入与导出、密钥使用、密钥更新、密钥备份与恢复等管理服务;
▲5、支持与具有国密局颁发的《商用密码产品认证证书》的设备管理系统对接(设备管理系统须符合GM/T0028《密码模块安全技术要求》第二级要求);(提供设备管理系统商用密码认证证书复印件、对接功能截图并加盖投标人公章)
▲6、内置国密局核准的安全二级密码卡,为保证系统稳定性和兼容性,内置密码卡与配套的智能密码钥匙为同一厂商同一品牌,且与签名验签服务器为同一品牌;密码卡、智能密码钥匙及签名验签服务器均具有国密局颁发的《商用密码产品认证证书》,并符合GM/T0028《密码模块安全技术要求》第二级要求;
提供产品具有网络安全专用产品安全检测证书;签名验签服务系统具有计算机软件著作权登记证书。(提供同品牌密码卡、智能密码钥匙、签名验签服务器商用密码认证证书复印件、网络安全专用产品安全检测证书复印件、签名验签服务系统计算机软件著作权登记证书复印件并加盖投标人公章)
|
台
|
2
|
|
|
4
|
密码服务管理平台
|
1、规格要求:标准2U机架式设备,内存≥16G,硬盘≥240G,冗余电源;支持负载均衡,支持双机热备。涉及的CPU芯片、操作系统均为中国信息安全测评中心或国家保密科技测评中心认证公告中产品;
2、性能要求:应用系统接入数≥5,设备接入数≥15,支持用户数≥200,支持密钥数≥百万级,密钥生成速度≥18000次/秒,最大并发连接数≥100;
3、支持国密和国际通用算法,对称算法:SM1、SM4、3DES、AES,非对称算法:SM2、RSA1024/RSA2048;摘要算法:SM3、SHA-256,MAC算法:HMAC、CMAC;
4、支持密钥生成、激活、存储、分发、导入与导出、密钥使用、密钥更新、密钥备份与恢复、密钥归档、密钥注销、密钥销毁等管理服务;支持对在用、备用、历史等阶段的密钥进行管理,可对各阶段的密钥进行相应的密钥操作;对主密钥、加密密钥、用户密钥等各种类型密钥进行管理;支持对密钥生成、密钥分发、密钥更新、密钥备份/恢复等能力进行策略管理;
5、提供设备管理功能,支持多厂商设备接入;对接入设备进行严格准入控制,只有准入设备才能与系统相连,并且进行提供其密钥的分发等服务;对所有密码设备信息进行统计管理,可快速了解所有设备的设备情况,包含不限于:设备标识、设备名称、厂商名称、设备型号等内容;支持实时对密码设备的状态进行监控;
▲6、支持主路、旁路两种业务部署模式,并提供针对主路、旁路的统计界面截图;支持资源注册、静态资源组管理、动态资源调度;支持对密码设备进行运维管理,通过标准的运维指令或特定的运维功能;
支持灵活远程运维策略,可以对不同的密码设备下发不同的运维策略,根据策略列表、关联设备,选择策略下发设备,同时提供VPN策略配置和下发功能;
支持对密码设备进行运维管理,通过标准的运维指令或特定的运维功能;
提供大屏显示能力,可统一显示出应用系统、密码设备、密码资源等运行及使用情况;
提供图形化的状态监控能力,对密码设备、密码资源等进行不同维度的监控,提供对密码设备的告警信息、资源信息、状态信息等方面进行监控和统计;(提供该条所述所有功能截图并加盖投标人公章)
▲7、密码服务管理平台具有国密局颁发的《商用密码产品认证证书》,并符合GM/T0028《密码模块安全技术要求》第二级或二级以上安全要求;
由同品牌密码卡提供密码运算能力充分保证兼容性和稳定性,密码卡、密码服务管理平台中的设备管理系统、密钥管理系统具有国密局颁发的《商用密码产品认证证书》;
提供产品具有网络安全专用产品安全检测证书;
具有密码服务平台、密码服务系统、设备管理系统、密钥管理系统计算机软件著作权登记证书;(提供该条所述四个证书复印件并加盖投标人公章)
8、为满足用户不断增长的安全需求,本设备生产厂商具有高安全等级密码研发能力,具有安全等级不低于安全三级的板卡或整机研发能力。
|
台
|
2
|
|
|
5
|
数字证书系统
|
1、标准2U机架式设备;550W,1+1冗余电源;100/1000M的RJ45接口≥4个;国产化CPU,国产操作系统;
2、支持签发RSA、SM2算法的单证书、双证书以及软证书;
支持PKCS10证书申请;证书存储容量支持千万张;CRL存储容量支持50万张;WEB控制台申请证书不超过0.5秒;SDK签发RSA证书性能≥1200张/秒;SDK查询RSA证书性能≥2500张/秒;SDK签发SM2证书性能≥2000张/秒;SDK查询SM2证书性能≥6000张/秒;单机配置时支持并发数≥200;双证签发时间<0.3S;
3、支持国密和国际通用算法,国密算法:SM1、SM2、SM3、SM4;国际算法:RSA1024、RSA2048;
4、支持通过WEB控制台实现证书的全生命周期管理,包括证书注册、申请、审批、续签、更新、注销、冻结、解冻、归档等;
5、系统支持证书统计功能,提供动态报表和图表方式的证书统计展示形式;
6、提供用户加密密钥的生成及管理服务,包括密钥的产生、查询、备份、归档和统计
7、根据管理员不同权限分工,系统可包含并不限于如下管理角色:系统管理员、超级管理员、审计管理员、机构管理员等;
8、支持对数据库的备份管理,系统管理员可方便的在管理控制台完成系统备份操作,可下载到本地进行妥善保存;
9、支持多种证书格式:证书符合X.509V3标准,支持PKCS#7、PKCS#11标准格式;
10、支持多种编码格式:支持DER、CER、PEM;
11、支持Oracle、DB2、MySQL、达梦、OceanBase、翰高、人大金仓等主流数据库;
12、支持在CentOS、RedHat、中标麒麟、银河麒麟等主流操作系统平台部署使用;
▲13、提供国密局颁发的《商用密码产品认证证书》;
提供产品具有网络安全专用产品安全检测证书;
为保证系统稳定性和兼容性,内置国密局核准的同品牌安全二级密码卡,使密钥管理、使用更加安全。(提供证书复印件并加盖投标人公章)
|
台
|
1
|
|
|
6
|
智能密码钥匙
|
1、支持USB2.0及以上接口;存储空间≥2M(用户空间);基于公钥体系的数字证书和私钥的安全载体;
▲2、具有国家密码管理局商用密码检测中心颁发的《商用密码产品认证证书》。(提供证书复印件并加盖投标人公章)
|
个
|
100
|
|
|
7
|
服务器证书
|
1、服务器证书采用自主可控密码技术保护数据机密性、完整性,实现 HTTPS 网站加密传输,防止数据在传输过程中被窃取或篡改,确保通信主体身份真实性、完整性;
|
套/年
|
3
|
|
招标文件
收藏