采购需求

序号

服务名称

配套服务相关性能参数

数量

单位

参考单价

（元）

总价

（元）

1

桂林市象山区教育局城域网服务采购

1.汇聚路由服务

提供汇聚路由服务，设备服务能力要求：

（1）配置双主控且满配，电源冗余设计且满配，要求所有业务板卡及电源、风扇均可热插拔。

（2）整机业务载板插槽≥6个；配置万兆光口≥2个，千兆光口≥10个，并满配相应光模块；所配光口和光模块与组网连接线路和网络管理运维要求匹配。

（3）支持广域网智能调优。

（4）支持SRv6，支持SRv6承载VPN业务。

2.核心交换服务（2项）

提供核心交换服务，设备服务能力要求：

（1）电源风扇等关键部件冗余设计且满配。

（2）支持千兆光口≥48个，万兆光口≥6个，并满配相应光模块；所配光口和光模块与组网连接线路和网络管理运维要求匹配。

（3）支持IPv6协议。

3.教育网出口安全防护服务

提供出口安全防护服务，防火墙设备服务能力要求：

（1）电源冗余设计且满配。所配光口和光模块必须与组网连接线路和网络管理运维要求匹配。

（2）网络层吞吐量≥20Gbps，应用层吞吐量≥8G，最大并发会话数≥200万，每秒新建会话数≥12万。

（3）可实现与广西教育网安全态势感知系统和广西教育数据中心原终端安全管理信息系统对接，实现对高危IP、端口的封堵。

4.互联网出口安全防护服务

提供出口安全防护服务，防火墙设备服务能力要求：

（1）电源冗余设计且满配。所配光口和光模块必须与组网连接线路和网络管理运维要求匹配。

（2）网络层吞吐量≥20Gbps，应用层吞吐量≥8G，最大并发会话数≥200万，每秒新建会话数≥12万。

（3）可实现广西教育网安全态势感知系统和广西教育数据中心原终端安全管理信息系统对接，实现对高危IP、端口的封堵。

（4）服务期内病毒库免费升级。

5.上网行为管理服务

提供上网行为管理服务，设备服务能力要求：

一、配置要求

（1）配置千兆电口≥12个，千兆光口≥12个，万兆光口≥2个，内置Bypass电口≥2路，扩展槽位数≥1.

（2）配置存储硬盘≥2TB。

（3）配置不少于3年特征库升级服务。

二、技术参数要求

（1）产品结构：采用非X86架构；

（2）网络吞吐量≥10Gbps，最大并发连接数≥400万，最大新建连接数≥12万；

（3）部署模式：支持路由模式、透明（网桥）模式、混合模式，部署模式切换无需重启设备；

（4）支持4G扩展网卡；支持在4G接口上运行IPSec VPN；

（5）支持IPSec VPN业务网段、感兴趣流和VPN路由自学习，更改业务网段时自动收敛，无需手工配置；

（6）支持虚拟网线配置，虚拟网线的两个接口支持状态联动;

（7）支持一键化快速审计策略配置；

（8）支持服务器负载均衡，一个公网IP映射到内网多台服务器；

▲（9）支持DNS透明代理；支持DNS负载均衡；支持DNS静态域名映射；支持DNS特定域名解析；

（10）支持本地中英文Web界面管理及命令行管理，支持基于SSL协议的远程安全管理；

（11）支持1000+规则库，产品分类支持AQL注入攻击、XSS攻击、恶意扫描及爬虫、WebShell攻击、会话劫持、敏感信息泄露、CMS漏洞防护等类型；

（12）具备弱密码扫描能力，可实现基于地址、服务扫描内网资产的空密码、用户名和密码相同、密码复杂度、长度、弱口令等问题；

（13）产品可按照不同服务建立不同暴力破解策略，发现暴力登录后可限制攻击者登录设备；

▲（14）具备单独安全事件展示能力，以世界地图形式展示攻击源地域分布，支持攻击源地域按照国家进行排名；可详细展示攻击源、归属地、攻击级别、攻击次数、开始结束时间，并支持将攻击IP加入黑名单；

（15）可独立展示资产IP、归属组、操作系统、风险级别，并以攻击链方式展示资产被攻击路径；

（16）支持针对设备健康状态，业务信息等维度告警；告警事件入库支持展示，查询，导出；告警事件支持弹窗，邮件；弹窗默认展示最近10条告警记录。

6.安全日志审计服务

提供安全日志审计服务，设备服务能力要求：

（1）具备电口≥4个，存储容量≥8TB，可接入≥50个日志源，可授权扩展，日志处理性能≥2000EPS。

（2）默认接入数据源数量≥1024；

（3）顶栏显示采集器数、日志源数、日志数、告警事件数、关联规则统计，并且支持下钻查看详细信息；

（4）图表显示：日志按设备类型分布、日志按等级分布、日志按类型分布，并且支持下钻查看详细信息；

（5）支持Syslog、SNMP Trap、Netflow、JDBC等协议日志收集；

（6）原始日志数据进行高效压缩存储。灵活设置系统日志存储空间上限，达到告警上限提示管理员及时处理，达到删除上限会自动删除最旧日志释放空间；

（7）支持全文检索原始日志；支持任意信息、任意时间进行内容查询匹配；

（8）支持按照日志等级（调试、通知、重要、警告、错误、严重、设备故障、设备不可用及其他信息）列表展示日志范式化分析结果、下钻支持日志详情；

（9）支持多类型、多厂商安全设备、网络设备、操作系统、应用日志适配分析；

（10）可对多源日志进行递归关联、时序关联、统计关联等方式关联分析，提升安全分析结果准确性；

▲（11）支持默认展示威胁源IP排名、威胁通信协议分布、威胁日志攻击分类分布、威胁日志设备名称分布、威胁日志严重等级分布、威胁等级分布等内容；

（12）支持用户自定义统计维度展示日志审计结果，具备多种日志类型、统计属性交叉统计≥160种图形展示可选择；

（13）支持用户自定义统计效果，可选择饼状分布图、折线趋势图、柱状比较图；

（14）支持新增、删除、修改关联规则，对关联规则进行启用和停用管理；

▲（15）被监管单位通报后，能定位内网真实主机，要求平台支持NAT溯源功能，查找内网资产真实IP，并能够查看相对应的安全风险；同时支持在DHCP场景下，结合DHCP服务器，定位问题主机当前真实IP地址；

7.漏洞扫描服务

提供漏洞扫描服务，单台设备服务能力要求：

（1）具备电口≥4个，硬盘≥1TB，并发扫描数≥60个IP地址，扫描速度≥800 ip/h，支持授权IP数无限制。

（2）性能要求：最多可以配置无限个IP地址扫描授权，本次配置不少于256个IP地址扫描授权，最大并发扫描任务数≥8；服务期内漏扫特征库免费升级授权；

（3）采用B/S设计架构，SSL加密方式通信，无须安装客户端，用户可通过浏览器远程管理系统；

（4）系统应支持检测的系统漏洞数不少于20万，覆盖CVE、CVSS、CNVD、CNNVD、CNCVE、Bugtraq多种漏洞标准；

（5）网络配置需提供快速配置向导，支持快速部署上线；

（6）支持自适应网络扫描，根据网络状况自动控制发包速率，避免影响用户网络；

（7）支持自定义立即执行、定时扫描、周期性扫描等多种扫描任务执行方式，可针对指定时间、执行对象自动执行扫描任务，并自动生成报告，时间可具体到某月、某天、某时、某分；

（8）支持扫描通用操作系统，涵盖Windows系列、苹果操作系统、Linux、AIX、HPUX、IRIX、BSD、Solaris等；支持扫描交换路由设备及扫描安全设备；

（9）系统应支持通过SSH、SMB、TELNET、RDP、POP、POP3、IMAP、FTP、WMI、RSH、REXEC、WINRM、SNMP等协议对目标主机进行登录扫描；

▲（10）系统应默认内置多种不同的检测模式，包含但不限于标准扫描、快速扫描、完全扫描、深度扫描，不同检测模式默认对应不同的扫描任务策略及配置；

11.支持目前主流协议和数据库弱口令检测，包括：TELNET、FTP、SSH、POP3、SMB、SNMP、RDP、SMTP、Oracle、REDIS、MySQL、PostgreSQL、MsSQL、DB2、MongoDB ；

▲（12）支持自动探测指定网段中的Web站点，并可一键转为Web资产或一键下发Web扫描任务；

（13）支持资产自动发现功能，支持利用历史扫描过程中发现的主机创建扫描任务；

（14）系统应支持全局漏洞风险分析，能够查看指定目标地址、资产组、漏洞等级、漏洞名称、漏洞类别、漏洞评分、端口等的全局资产风险情况，能够将检索结果导出。

8.设备运维管理服务

提供设备运维管理服务，运维管理设备服务能力要求：

1.电口≥4个，字符并发会话数≥180，图形并发会话数≥600，存储空间≥4TB，授权可管理设备数≥50台。

（2）支持Chrome、Firefox、IE、Safrai等主流浏览器，产品应用不依赖JAVA及Flash，支持中、英文系统语言切换；

（3）系统支持账号分权管理，包括超级管理员、配置管理员、操作员、审计员及自动化人员等多种角色，并可根据功能自定义用户角色；

（4）支持与Ldap、AD域、Radius、短信网关等第三方认证平台对接，实现统一身份认证；

（5）支持基于动态令牌、国密动态令牌、USBKEY、手机软令牌的双因素认证功能；

▲（6）支持双因素组合认证，认证方式可自由组合，达到双因素的安全认证；

（7）支持AD账号的自动化同步，可将未纳管的AD账号自动添加到系统中并自动赋予指定角色，无需管理员干预；

（8）支持基于用户来源IP及Mac地址限制用户的登录行为；

（9）支持用户标签视图管理，可根据自定义的筛选条件快速统计出符合条件的账户信息；

（10）支持SSH、Telnet、RDP、SFTP、XDMCP、VNC等多种协议，支持通过应用发布方式实现对BS、CS应用的纳管；

（11）支持按不同属性对资产进行多级分类并自动生成树状结构的资源视图；

（12）支持不同资产之间的联动配置，彼此之间可实现自动跳转访问；

（13）支持将一个实际资产/账号在系统中配置成多个资产/账号，并自动同步属性和配置；

（14）支持用户帐号和目标设备的部门分权，不同的用户和设备可以归属于不同的部门（子部门），支持访问控制策略按部门分权，不同部门的配置管理员只能针对自己部门及自己直属子部门设备进行访问权限设置；

（15）支持动态权限管控，管理员可基于用户属性、设备属性、系统账号属性来创建弹性动态权限规则，只要满足相关属性的用户、设备、账号即会被自动赋予对应访问权限；

▲（16）针对基于云盘模式的文件传输操作：用户将文件暂存在系统上，然后一键上传到目标资产或者一键下载到用户本地，同时可通过文件分享功能以URL链接的方式将文件分享给其他用户；（17）支持图形化操作智能审计，可在审计回放界面上，同步显示关键的键盘操作、标题栏操作、剪贴板操作等文字信息，并能在点击任意文字信息，可直接定位到相关画面；

（18）支持图形操作的关键事件切片，管理员点击任意切片，即可直接定位到对应操作片段。

9.安全态势感知服务

提供安全态势感知服务，设备服务能力要求：

（1）具备对威胁的实时监测、预警与处置能力；

（2）提供API及其他数据接口，可与广西教育网网络中心安全态势感知系统对接，可上传教育城域网的资产信息、安全事件、脆弱性风险等信息；支持与广西教育数据中心现有广西教育网络安全管理信息系统对接，上传安全日志和工单通报，工单通报内容包括事件描述、事件危害、所属单位、事件等级、处理时间、通报时间等信息。

（3）标准2U机架式设备，网络安全态势感知分析平台基础软硬件一体化设备，配置≥2颗CPU，单颗CPU性能≥8核，内存≥128GB，硬盘盘位≥14个，标配600GB SAS硬盘≥2个，4TB SATA硬盘≥2个，配置GE千兆电口≥4个，支持额外扩展≥24个GE千兆电口/12个10GE万兆光口，电源：标配一块交流电源，支持冗余电源；

（4）支持事件入库性能：≥4000条/秒；日志源接入数量≥512个；配置威胁情报更新升级授权≥3年；

（5）为了方便用户清楚全网安全状态，支持全网安全风险监控展示，包括但不限于风险资产数、风险用户数、安全事件总数、未处理、处理中、已处理和已忽略的安全事件数，支持今日新增提示；支持安全度打分和历史趋势查看，能够进行资产和用户安全状态分布统计，TOP5风险资产/风险用户，并支持更多风险情况下钻，快速聚焦安全问题点；

（6）平台首页支持以24小时、7天、30天维度展示攻击阶段分布统计和安全事件分布统计；展示所有资产已统计的内网开放端口和互联网开放端口分布，清楚了解现网开放端口情况；综合概览首页支持定期报表（日、周、月报）查看和下载，并可操作直接跳转到报表管理模块；

(7）平台支持通过勾选方式，选择指定租户、指定区域、指定子分区，从而查看对应分区的态势数据；单租户支持至少纵向5级子分区查看；

（8）平台支持在首页主动威胁探测搜索框查询，可使用资产IP/资产名称/用户名称/情报IP/URL/域名/MD5进行快速风险搜索查询，帮助用户快速查找定位所关心的风险点；

（9）平台支持实时监测整网遭受的威胁情况，包括但不限于展示当前存在的安全事件数、攻击源排名、实时威胁事件列表、事件攻击阶段分布、TOP5风险资产、威胁事件的排名，提升针对网络安全事件的溯源能力；

（10）平台支持脆弱性态势，从宏观维度呈现网络安全风险情况，帮助用户预警安全风险。支持网络风险（漏洞/弱口令/配置风险）维度呈现资产状况，能够通过下钻查看每一类脆弱性风险影响的资产。支持资产维度呈现风险分布，包括漏洞/弱口令/配置风险所对应的风险资产数量，并下钻到查看资产的脆弱性详情；

▲（11）为了解决无安全设备场景下的自动化应急响应，支持响应处置联动，要求SOAR模块能够支持同品牌路由器、交换机、用户准入认证系统、无线控制器联动；

（12）支持基于流量访问行为基线进行资产离线行为识别，可自定义设置超过一定时间阈值无流量访问资产为离线资产，便于关注资产活跃程度分析；

▲（13）支持同品牌漏扫设备任务调度，支持立即或者周期性扫描任务，扫描类型包括主机、WEB、数据库、弱口令破解。支持扫描结果自动与平台资产关联。同时支持对资产进行快速漏洞扫描；

（14）攻击方式越来越复杂的现状下，平台支持展示攻击阶段分布情况，支持按照扫描侦察、入侵、命令控制、横向渗透、网络黑产、数据盗取、系统破坏攻击链显示整网安全事件所处的攻击阶段；对单个风险资产/用户统计该资产的安全事件所处的攻击阶段；支持按天周月进行安全事件统计；

▲（15）被监管单位通报后，能定位内网真实主机，要求平台支持NAT溯源功能，查找内网资产，并能够查看相对应的安全风险；在此基础上支持查找相似行为主机，提前规避再次接受到类似通报；通过设置溯源时间、NAT转换源/目的IP、NAT转换源/目的端口进行自动化查询，实现溯源定位。

10.安全流量探针服务

为保证系统具备足够的转发与数据处理能力，配置千兆电口≥16个、千兆光口≥6个、万兆光口≥2个，支持接口扩展，配置双交流电源；服务期内特征库免费升级；

（1）性能规格：应用层吞吐量≥1.8Gbps；

（2）IPS攻击特征库数量≥8500条、病毒特征库数量≥600万条、支持的应用协议识别数量≥6000条、WEB攻击特征库≥3500条；

（3）为了保障检测全面性，探针能对流量一次性完成入侵威胁检测、防病毒检测、应用识别检测、URL信誉检测、WEB攻击检测、威胁情报匹配检测

▲（4）为了防止攻击者利用常见网络协议进行攻击，要求流量探针能够对协议流量里的漏洞、恶意软件利用、传输文件等进行检测，给出风险级别判定结果；

（5）支持远程代码执行漏洞、内存破坏漏洞、溢出攻击漏洞、权限提升漏洞、命令注入漏洞、跨站脚本漏洞、文件包含漏洞、安全绕过漏洞等漏洞攻击检测；

（6）为了防止敏感数据泄露，支持对传输的文件和内容进行识别过滤，比如对身份证、信用卡、银行卡、社会安全卡号等类型数据进行匹配，同时支持自定义敏感数据；

（7）支持关键文件的识别，能识别的关键文件类型应包含至少以下几类：文档类如Excel、PDF、PowerPoint、Word等，压缩文件类如ZIP、RAR、TGZ等，图像类如BMP、PNG、JPEG等，音频视频类如ASF等，脚本类如JS、Perl、PYTHON、PHP等，网页类如XML、HTML等；

（8）能够检测的DOS/DDOS攻击包括但不限于如下类型： Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、SIP Flood、DNS reply Flood、HTTP Flood（cc）攻击、HTTP慢速攻击检测、ARP欺骗、TCP报文标志位不合法、超大ICMP报文、地址扫描的防范、端口扫描的防范、DNS Flood、ACK Flood、FIN Flood、分片Flood、Tiny-Fragment；

（9）为了保证业务系统的正常运行，流量探针具备独立的C&C检测引擎，能够自定义C&C检测规则，包括自定义请求方法（get、post、head、put、delete、connect）、防护路径、请求速率、请求集中度、原始IP检测等；

（10）支持SQL注入攻击、命令注入、脚本注入等注入类攻击的检测；

（11）基于应用协议识别对各类聊天软件进行详细审计，可审计应用类型（如QQ、微信），应用识别账号，应用行为（如登录、发送消息、接收消息）等；

（12）为了满足灵活适配应用变化的需求，支持自定义应用审计规则，包括指定应用类别、应用名称、应用行为、行为内容、匹配类型、匹配关键字等；

▲（13）通用攻击规则库无法完全满足安全防护的需求，可以根据自己网络实际环境情况，自定义去构建特征，指定特征协议字段、匹配模式、匹配内容、检测深度、偏移量等内容；

（14）要求与态势感知同一品牌。

11. SSL VPN服务

提供SSL VPN服务，设备服务能力要求：

基于国密SSL安全协议的VPN设备，集成身份认证、访问控制和资源管理等功能；提供用户接入控制和数据传输的加/解密功能。标准1U设备，双电源 400W—600W，2核4线程CPU×1，硬盘≥1TB，≥8G内存，千兆电口≥4个、千兆光口≥2个。

（1）吞吐量≥4GB，并发连接数≥250万，每秒新建连接数≥4万；

（2）配置≥100个SSL VPN授权；支持国密算法；

（3）支持静态路由、策略路由、RIP、OSPF、BGP等路由协议；

（4）支持NAT44、NAT46、NAT64、NAT66；

（5）实现安全区域划分，访问控制列表，配置对象及策略，动态包过滤，黑名单，MAC 和 IP 绑定功能，资源监控基于MAC的访问控制列表，802.1q VLAN 透传等功能；

▲（7）支持策略风险调优，支持安全策略优化分析，支持策略数冗余及命中分析，支持应用风险调优，可根据流量、应用、风险类型等细粒度展示，并给出总体安全评分，便于用户更好的管理安全策略；

▲（8）支持SQL注入、跨站脚本、远程命令执行等攻击的防护，支持对操作系统、网页应用、浏览器进行专属特征分类，支持CC攻击防护，可基于检测请求报文头的X-Forwarded-For字段，以获取真正的源IP地址；

（9）设备须支持虚拟防火墙功能：支持虚拟防火墙的创建、启动、停止、删除功能；可分配CPU/内存等计算资源；虚拟防火墙可独立管理，独立保存配置；虚拟防火墙具备策略NAT功能；

（10）（10）为了保证整个网络的可靠稳定，要求本次采购的安全设备支持A/S，A/A方式部署，支持配置同步和会话同步；

（11）提供开放API接口（RESTful，NetConf），可编程管理防火墙，不再仅依赖网管软件。

12服务所需的核心交换机设备参数及数量要求

（1）电源风扇等关键部件冗余设计且满配；

（2）支持千兆光口≥48个，万兆光口≥6个，并满配相应光模块；所配光口和光模块与组网连接线路和网络管理运维要求匹配；

（3）支持IPv6协议；

（4）支持多种安全业务业务板卡的扩展，包括：防火墙业务模块 、IPS业务模块、无线控制器业务模块 、负载均衡业务模块 、NetStream业务模块、SSL VPN业务模块和应用控制网关业务模块等；

（5）支持 EPON OLT及10G EPON OLT接口；支持1OG EPON功能，支持1OG对称和非对称 ONU；

（6）数量：2台。

13.服务所需的核心路由器设备参数及数量要求

（1）配置双主控且满配，电源冗余设计且满配，要求所有业务板卡及电源、风扇均可热插拔；

（2）整机业务载板插槽≥6个；配置万兆光口≥2个，千兆光口≥10个，并满配相应光模块；所配光口和光模块与组网连接线路和网络管理运维要求匹配；

（3）支持Ipv4、Ipv6，支持支持流量分类，分层QOS；

（4）支持记录终端用户访问互联网的日志，包括：用户名、源/目的IP地址、时间、访问的域名、URL等。

（5）数量：2台。

14、服务所需的校园核心交换机设备参数及数量要求

（1）万兆三层管理交换机：包转发率≥148Mpps,交换容量≥598Gbps, 千兆电口≥24个, 万兆光口≥4个。

（2）数量：14台。

15、服务所需的汇聚交换机服务设备参数及数量要求

（1）设备性能：交换容量≥330Gbps, 包转发率≥39Mpps；

（2）设备配置：提供千兆电口≥24个,千兆SFP光口≥2个，交流电源供电。

（3）数量：63台。

16、二级等保评测服务

依据网络安全等级保护政策、标准、指南等文件要求以及用户业务安全需求，技术层面上，针对教育城域网，需要从通信网络防护、区域边界防护、计算环境防护、安全管理中心等各方面进行安全防护设计，并符合国家等保2.0标准第二级的要求。本项目须按照网络安全等级保护二级认证的要求进行设计、建设、管理和运维。

17、城域网链路服务

（1）提供象山区教育城域网与教育骨干网互联设计；带宽不小于2G，首次开通2条1G，当宽带占用率达70%时进行免费扩容到3G。

（2）提供象山区教育城域网与互联网互联带宽设计：服务开通的互联网带宽为2条1G，在出现带宽占用率达到70%进行免费扩容到3G。

（3）提供象山区教育城域网班级互联带宽设计：提供31条班级互联链路服务，每个班级的接入带宽不低于100M。

（4）提供租用期三年。

1

项

1050060

1050060

商务要求：

运维服务要求

1.供应商须投入不少于10人的服务团队提供运维服务。售后负责人不少于2人，运维工程师不少于4人，投标文件中提供服务承诺书，在网络覆盖地有专人实施网络服务的运维服务，提供运维服务联系人名单，列明联系方式。运维工程师应具备计算机或电子信息或通信工程或信息系统项目管理等信息化类相关专业工程师及以上职称证书（或按《自治区人力资源和社会保障厅关于在部分职业领域建立职称与专业技术类职业资格对应关系的通知》（桂人社规〔2019〕5号）文件要求提供同等级别的职业资格证书）。

2.供应商提供7×24小时热线电话服务，并提供故障申告途径及绿色通道，做到全方位响应，并指定专人负责上门受理调试日常维护及平时协助采购人维护检测等工作；提供365×24小时的售后服务响应；

3.保证网络的畅通，供应商负责线路运营商到用户单位主干光缆所有设备的免费运行维护，如光端机、转换器等设备，若城区主干网络出现问题，必须在接到报告后4个小时内排除故障；乡镇主干网络出现问题，必须在接到报告后8个小时内排除故障；农村主干网络出现问题，必须在接到报告后12个小时内排除故障，如设备故障在4小时内（乡镇8小时内、农村12小时内）无法解决的应免费提供备用设备及备件，确保网络正常运行；

4.供应商所提供服务的配套设备（含综合布线）由供应商负责安装和维护，保证各终端正常使用，产生费用由供应商负责承担；

5.当采购方网络需要扩展、迁移或升级时，供应商负责免费提供相应解决方案等技术支持；因成交服务商施工、网络割接等原因影响网络运行的，应当提前一天通知采购方，并且尽快消除故障、恢复网络通信线路；

6.供应商须按其投标文件提供的技术及实施方案、售后服务承诺的人员为采购人提供服务。在合同履行过程中，原则上不得更换项目负责人，如确有需要更换的需经采购人同意，且所更换人员必须为同等条件人。

7.供应商须另行书面承诺（格式自拟）并附在投标文件中，承诺合同执行期间，如遇国家新政策、标准、规范或规定更新的，供应商无条件根据新规要求负责对项目进行调整或优化。

项目实施要求

教育城域网项目应符合《自治区教育厅关于推进市县教育城域网建设的通知》（桂教网信〔2022〕20 号）、《广西教育网建设项目设计方案》（桂教网信〔2024〕8 号附件）和《广西教育城域网接入骨干网技术指南》（桂教技信〔2023〕28 号）中的相关规定，且在服务期内必须符合自治区教育厅最新要求（以上文件随同招标文件一并由采购人提供）。

一、教育城域网规划与实施服务要求：

1.供应商成交后必须对各学校（单位）的原有校园网进行现场勘查调研（含网络结构、网络设备、网络布线、VLAN划分及IP分配），形成各校现有学校（单位）网络现状调研报告。

2.供应商必须按照《广西教育城域网接入骨干网技术指南》中的IP规划要求，各校网络接入广西教育网前，按照一址一方案的方式重新规划设计新的校园网网络结构（含原校园网的网络设备、VLAN划分、和学校信息化终端的IP地址分配表等信息）。

3.对不满足业务需求的校园网网络，要求更换为六类网线。

4.供应商必须按照新的校园网规划设计要求，在本项目实施期间，同时协助各学校（单位）对校（单位）址内的校园网网络设备（含路由器，交换机，AC, 无线AP）重新进行网络配置变更和调试。

5.供应商必须按照新的校园网规划设计要求协助各学校（单位）对校（单位）址内的所有信息化终端分配、更改新的IP地址（信息化终端含教师电脑、教室一体机、计算机教室信息化终端、电子阅览室信息化终端、电子书包、办公电脑等）。

6.供应商对校园网的网络设备调试、测通且将学校（单位）信息化终端IP更改完成后，须整理各校（单位）址网络建设的相关资料（含新的网络拓扑图、网络设备配置表、IP地址分配表等）两份，一份给校方一份交给采购人。

7.供应商所提供的配套设备（不含布线）在服务期结束后如下期未中标，在保证学校网络持续稳定安全运行的前提下可将本项目提供给各学校的配套设备（不含布线）拆除。相关费用包含在投标报价中，采购人及各校（单位）不再支付合同以外的费用。

二、网络运维服务要求：

1.供应商需承诺对本项目教育城域网按照不低于网络安全等级保护二级认证的要求进行备案和测评，由供应商在验收合格后向当地公安机关网络监督部门办理备案手续；由供应商负责聘请有资质的第三方检测机构进行等保测评，相关认证检测费用由供应商负责，要求在验收合格后九个月内完成首次等保测评并出具等保测评报告（综合得分70分及以上），在服务期内按相关要求开展等保测评工作。

2.供应商需承诺在服务期内每季度对教育城域网进行网络设备安全运维例行巡检并出具季度运维报告，运维内容包含对相关设备进行固件版本升级、城域网整体网络安全检测、网络线路近期流量走势、链路告警情况、故障原因分析等,并根据网络流量使用情况，适当调整流量通道配置，提高互联网网络带宽利用率。每年需出具运维报告不少于4份。供应商负责城域网网络质量和业务质量的管理工作；全面、系统、准确、及时地对城域网网络质量和设备故障情况进行分析统计，完成各项运维服务。网络质量统计分析的范围主要包括城域网提供的设备能力指标、网络运行质量指标、服务质量指标（含网络容量及性能数据、流量流向数据、网络负荷、告警数据等）。应定期和不定期对城域网的网络质量进行巡检，找出影响网络质量的因素和保障质量的办法，有针对性地加强维护和服务工作，提出网络优化和规划建议。

（1）网络中心设备性能监测。监测部署于网络中心的设备性能，包括并不仅限于：CPU 及内存使用率，设备互联端口的流量、设备连接数等。

（2）互联网出口流量监测。监测城域网与互联网链路流量，当带宽占用率达到70%，应及时进行扩容，具体事宜采购人和供应商双方另行协商。

（3）学校出口流量监测。监测每所学校的校园网与城域网互联链路流量，当该接入带宽峰值达到70%时，应及时进行扩容，具体事宜采购人和成交供应商双方另行协商。

（4）网络通信质量巡检。巡检城域网内终端至互联网进行ping 包测试，观察延迟和丢包率，如果延迟和丢包率较高，应逐段对网络进行检测查明原因，并及时修复。

3.供应商需承诺对本项目中各校（单位）址的校园（单位）网每年至少提供1次网络安全巡检服务。每年需出具运维报告不少于1份。

4.服务商须按照国家网络安全事件应急预案要求对本项目制定网络安全应急预案。

培训要求

1.供应商或设备厂家在服务期间提供免费知识培训，选派优秀的培训讲师组建高素质的培训队伍，主要负责网络、网络安全设备的性能、操作、维护及日常管理等方面的培训，以及系统原理、架构、设备的性能、操作使用、日常维护与故障排查等方面的培训。

2.培训方式：集中面授、现场培训等方式，培训场地业主提供。

3.培训人数为每校（单位）地址2人。不少于1次的集中培训，培训时间不少于1天。

4.培训内容：包括但不限于初级网络基础知识、网络安全基础知识、业务产品介绍、相关产品使用指南、网络故障的申告处理流程、校园网的日常维护和故障分析等。

5.通过培训达到如下几个目标：

（1）熟悉现代常用通信网络技术，具备一定的网络安全素养。

（2）了解各种网络业务产品。

（3）熟练使用本项目网络及安全设备，具有一定的系统维护、判断故障的能力和综合处理能力。

（4）具备独立操作能力，能够进行日常维护，解决常见故障。

交付使用时间及地点

1.交付期限：自合同签订之日起90个工作日内完成交付使用并通过验收。

2交付地点：采购人指定地点。

验收方式

本项目的验收为城域网链路的网络线路质量验收、网络中心节点及校园网设备性能验收。在完成城域网验收后，向自治区教育技术和信息化中心提交接入广西教育专网的申请，实现与广西教育专网连通且获得同意接入进入试运行期的复函，验收合格且经双方签字确认后正式进入本项目服务期。   

1.网络中心节点设备性能、网络线路质量、校园网设备性能的验收，采取现场提供证明材料与抽查验收，时间为项目合同签订后90个工作日内。各项指标应与成交服务商投标响应内容一致，验收时需提供包含但不限于配套服务涉及的设备检测报告、网络线路测试报告、根据广西教育专网核心节点平台提供的设备对接的文档、按要求提供完成对接证明材料（包括防火墙防护服务、动态感知服务、上网行为管理服务）。具体要求如下：

网络中心节点防火墙服务能够根据终端安全状态对其进行教育专网和互联网的准入控制；网络中心节点上网行为管理服务可实现用户访问互联网的行为监控，实现对教育城域网内师生访问入网的准入审计，满足县本级教育城域网的安全防护需求；网络中心节点态势感知服务支持通过标准协议来采集监控中心所需的安全服务设备安全威胁信息，并支持通过与广西教育专网核心节点安全态势感知系统对接，将安全事件推送到骨干网的态势感知上，完成网络安全服务设备的安全威胁日志上报。验收时若成交服务商不能提供完成对接证明材料的，采购人有权不予验收，并视为验收不合格，且保留追究法律责任的权利。

2.采购人有权在项目执行过程中对成交人的服务技术要求进行核验，若核验不合格的，采购人有权不予验收，并追究法律责任及成交人给采购人造成的损失（供应商须在售后服务承诺中明确体现，否则投标无效）。

3.供应商完成交付使用后向采购人提出验收申请，采购人在收到验收申请之日起 5 个工作日内组织验收。采购人根据采购需求、供应商响应文件承诺及合同条款进行逐条核验，经核验有任一指标不合格的，不予验收，同时报相关监督管理部门处理，由此造成采购人经济损失的由供应商负责承担全部赔偿责任。

4.项目验收合格后6个月以内需提供首次信息安全等级保护二级认证测评报告。

5.验收过程中产生的专家费、测试费用等由供应商承担。验收专家由采购人邀请，必须是广西壮族自治区财政厅政府评审采购专家库在库专家。验收组由验收专家3人、业主2人构成。

合同签订日期

成交通知书发出之日起八个工作日内。成交供应商收到成交通知书后，应按规定与采购人在“广西政府采购云平台”上在线签订电子合同。

付款方式

1.教育局负责服务采购，教育局与成交供应商签定一个总合同，再由学校与成交商签定子合同进行支付；

2.合同总价包括成交服务商完成本项目服务要求后所产生的全部费用（含税），采购人不再另行向成交服务商支付其他任何费用。

3.本服务项目按成交金额分3年支付，签订采购合同且验收合格后支付合同金额的33%；服务期满一年后进行第二年支付，支付合同金额的33%；第二年服务期满进行第三年支付,支付合同金额的34%。合同总价包括成交服务商完成本项目服务要求后所产生的全部费用（含税），采购人不再另行向成交服务商支付其他任何费用。

4.采购人可根据每年财政拨款情况提前支付或延后支付，若因采购人财政拨款问题导致采购人付款迟延的，采购人不承担责任；若成交企业为中小企业，则签订合同后10日内支付总合同价30%的预付款。

其他要求

1.本项目预算金额为壹佰零伍万零陆拾元整（¥1050060.00元），报价超出采购预算金额的，其投标文件按无效处理。

2.验收以满足采购人技术要求及服务要求为标准。

3.验收过程中所产生的一切费用均由供应商承担。报价时应考虑相关费用。

4.供应商为完成项目服务工作所涉及的相关设备设施的投入，需负责安装、调试，并培训采购人的相关使用操作人员，直到相关系统或设备运行符合技术要求。

5.采购人根据工作实际所需环节组织验收，供应商必须到场配合，验收合格后双方签署验收合格凭证。

6.其他未尽事宜应严格按照《关于印发广西壮族自治区政府采购项目履约验收管理办法的通知》[桂财采〔2015〕22号]以及《财政部关于进一步加强政府采购需求和履约验收管理的指导意见》[财库〔2016〕205号]规定执行。

7.服务期限：三年（自验收合格之日起计算）。

8.本项目所属行业为信息传输业。