依据大余县政府采购办公室下达的余财购2019F000224406-38计划,赣州市南康区环宇 受大余县中西医结合医院的委托,对大余县中西医结合医院智慧数据中心机房及网络安全建设项目进行电子化公开招标,现欢迎国内符合资格条件的投标人前来参加投标。
(一)
2.强电线槽规格≥WDH:600mm×200mm×100mm顶部理线槽,颜色:黑;材质:冷轧钢板,钢板厚度≥1.2mm;带金属顶盖。
|
2
|
600宽机柜顶部走弱电线槽
|
14
|
个
|
1.
弱电采用贴顶式上走线,全封闭式,模块化设计,每段长度与机柜等宽,与机柜一体化安装。
2.强电线槽规格≥WDH:600mm×480mm×100mm顶部理线槽,模块化结构设计;颜色:砂纹黑;材质:冷轧钢板,钢板厚度≥1.2mm;走线内部分二段独立线槽,实现光铜分离,光缆线槽规格100mm(W),铜缆线槽规格300mm(W);每米都包含所有配件,带金属顶盖。
3.柜顶弱电水平走线到垂直走线,垂直走线槽与柜顶水平走线槽错开,增大线缆转弯半径,防止压线,过渡部分采用金属件包覆。
4.柜顶采用贴顶与机柜一体化配套上走线线槽,弱电线槽对光铜分隔独立的线槽。
|
|
3
|
强电跨通道线槽
|
1
|
套
|
列头机柜顶部应配置横跨走线架,用于连通列与列之间的机柜顶部走线槽,材料应为冷轧钢板,材料厚度≥1.5mm,规格:≥300mm*100mm,长度与冷通道等宽。
|
|
4
|
弱电跨通道线槽
|
1
|
套
|
列头机柜顶部应配置横跨走线架,用于连通列与列之间的机柜顶部走线槽,材料应为冷轧钢板,材料厚度≥1.5mm,规格:≥400mm*100mm,长度与冷通道等宽。
|
|
3、封闭冷通道子系统
|
|
1
|
电动平移门
|
2
|
套
|
1.尺寸:1200mm(W)*2200mm(H)(±10mm)。
2.材质:钢化玻璃(厚度≧10mm)(含2组红外探测防夹、备用电池)。
3.形式:双开平移无框玻璃门。
4.含滑轨,吊轮组。
5.与消防联动,断电或收到消防信号电动门打开。
|
|
2
|
门盒
|
2
|
套
|
电动平移门配置门盒:
1.门盒采用2.0mm厚冷轨钢板,门盒的深度、高度与本列的机柜深度、高度一致,宽度:100~150mm,平移门推开门时门的大部分藏入门盒,电动门的电机及电缆等全部放置于门盒内。2.含开门、出门按钮各一套。
|
|
3
|
平钢玻璃顶棚
|
7
|
套
|
冷通道顶棚按机柜宽度做成单元模块化,每单元可单独安装或拆卸。
1.尺寸:600mm(W)*1200mm(L)(±10mm)。
2.材质:平钢玻璃(厚度≧5mm,玻璃可视区域≧500mm(W)*1100mm(L))+铝合金边框加强,钢化玻璃需满足GB 15763.2-2005《建筑用安全玻璃》要求。
3.附件:含安装附件,升高件(冷通道顶棚离机柜顶部距离需≧190mm,材质为冷轧钢板,厚度≧2.0mm)。
|
|
4
|
消防联动控制箱
|
1
|
套
|
每组冷通道配有消防联动,且配置消防联动控制箱;
含所有电器元器件;
内置一微型断路和一分励脱扣单元。当有消防报警、断电时、火灾信号到达等情况时,有源防信号(一般直流24V)触发分励脱扣单元动作,分励脱扣单元触发微型断路断开,微型断路器控制顶棚磁力锁,磁力锁断电,消防气体弥漫进冷池内,达到消防的目的。当消防解除,手动合上微型断路器和分励脱扣单元,然后手动合上活动顶棚,冷通道恢复封闭状态。
冷通道配有消防联动,且带消防联动控制箱,含电源。消防联动控制箱用于控制冷通道封闭顶棚的开合,冷通道活动顶棚≥30%。内置一微型断路和一分励脱扣单元。当有消防报警时,有源防信号(一般直流24V)触发分离脱扣单元动作,分离脱扣单元触发微型断路断开,微型断路器控制顶棚磁力锁,磁力锁断电,消防气体弥漫进冷池内,达到消防的目的。当消防解除,手动合上微型断路器和分离脱扣单元,然后手动合上活动顶棚,冷通道恢复封闭状态。
|
|
5
|
顶棚活动单元
|
3
|
套
|
1.尺寸:600mm(W)*1200mm(L)(±10mm)。
2.材质:平钢玻璃(厚度5mm,同档次防爆膜,玻璃可视区域500mm(W)*1100mm(L))+铝合金边框加强。
3.附件:含安装附件升高件。
4.含磁力锁,翻转件。
|
|
6
|
机柜区照明系统
|
14
|
套
|
1.
长度以机柜宽度为单元,每米60颗灯珠,单颗功率0.3W。
2.采用白色LED冷光源。
3.灯带组件水平安装于冷通道两侧,布满整个通道,置于机柜前门正上方,隐藏内嵌式安装工艺。
4.接入电压为DC24V。
5.含布线和接线端子。
6.冷通道照明采用隐藏内嵌式安装工艺,配备必要的金属下罩壳和半透明散光片,灯管长度以机柜宽度为单位,布满整个冷通道。
|
|
7
|
机柜区照明总控箱
|
1
|
套
|
1.每组冷通道各配一套照明控制总控制箱(含微型断路器保护开关、独立电源、金属壳体),冷通道两端各配置开关,照明控制采用单联双控开关在冷通道两端进行开关控制或总控单元上控制。灯的开关控制需在直流电源后端,严禁通过关断直流电源来控制照明,门开关按钮到控制箱的线缆采用ZA-RVV-4*0.5mm2或以上(黑)。总控箱内部接线采用ZA-BVR-1.5mm2或以上(红)、ZA-BVR-1.5mm2或以上(蓝)。
2.采用DC12V或24V的安全电压供电,直流电源前端设相应微型断路器保护。
3.冷通道LED白色工作照明布线;冷通道LED白色工作照明,各机柜的灯条一律采用并联供电,每个机柜的每根灯条为一个独立的供电接口,接入独立的回路和接线端子。严禁灯条间串联供电。主回路采用ZA-BVR-2.5mm2或以上电线。
|
|
4、综合布线子系统
|
|
1
|
非屏蔽六类缆
|
18
|
箱
|
1、标准:YD/T1019,ANSI∕TIA-568-C.2,ISO/IEC
11801,IEC 61156-5。
2、额定传输速率(NVP):68%。
3、单根导体直流电阻:≤9.0Ω/100m。
4、屏蔽方式:U/UTP。
5、每个机柜12根到弱电列头柜。
6、护套材料:PVC。
7、安装温度:0℃~+50℃,工作温度:-20℃~+60℃。
|
|
2
|
辅材
|
1
|
批
|
PVC管及辅助机柜。
|
|
3
|
非屏蔽六类24口配线架
|
24
|
件
|
1、标准:YD/T
926.3,ISO/IEC 11801,ANSI/TIA
- 568-C.2。
2、标准 19 英寸机架式安装,高度:1U,采用全塑料面板,金属底板结构。
3、端口数量:24 口,采用模块化设计,8口插座一组,每个模块都可以单独拆卸。
4、完善清晰的标识系统,自带标识纸和标识盖。5、线缆保护盖:PC 材料。
|
|
4
|
理线架
|
24
|
件
|
1、标准 19”机架式安装,高度:1U。
2、上下各 12 档,23mm 超宽理线档距。
3、带有贯穿孔,便于前后走线和多余线缆的存放。
|
|
5
|
非屏蔽六类网络跳线
|
100
|
条
|
1、标准:YD/T
926.3,ISO/IEC 11801,ANSI/TIA
- 568-C.2。
2、插头采用灌胶工艺,弹片保护和软尾结构,保障线缆和水晶头之间的连接。
3、长度:3m。
4、导体规格:多股绞合,软圆铜线,4×2×24AWG。
5、屏蔽方式: U/UTP。
6、护套材料:PVC,护套外径:6.0±0.3mm。
7、插头规格:RJ45,8P8C,簧片表面镀金,透明聚碳酸酯塑胶壳。
8、插拔次数:≥1000 次。
9、最高传输频率:250MHz。
|
|
6
|
24芯光配线单元
|
24
|
件
|
1、标准:YD/T778,ISO/IEC 11801,ANSI/TIA -568-C.3。
2、安装方式:19″机架式安装。
3、材料:冷扎钢板。
4、通用型设计,可兼容:LC 双工、SC 单工、FC、ST 适配器。
5、光纤盘存空间,光纤和尾纤弯曲半径不小于30mm。
6、每个机柜12芯到弱电列头柜。
7、端口数量:12 口,高度:1U。
8、表面处理:静电喷塑。
9、含熔纤施工。
10、含尾纤。
|
|
7
|
跳纤
|
100
|
条
|
双头2米LC/LC,SM。
|
|
8
|
12芯单模光缆
|
280
|
米
|
1、标准:YD/T769,ISO/IEC11801,ANSI/TIA -568-C.3。
2、全截面阻水结构。
3、衰减@20℃(dB/Km):@1310≤0.36,@1550≤0.22。
4、光纤芯数:12 芯。
|
|
9
|
精密配电列头柜
|
1
|
套
|
精密配电列头柜采用服务器机柜框架作为壳体,风格与机柜风格一致,面板模块化,提供双路供电,分A,B两路;分别分布于机柜左右;
直观电路面板,清晰标识各功能单元。
可对主回路进行全电量检测,带RS485通讯接口;带人机界面;能够检测分支回路开关状态;
配置C级防雷。
所有检测数据采用工业级PLC进行汇总,并提供以太网通讯接口,可设置本机IP
|
|
10
|
精密空调
|
2
|
套
|
1、27kW机房精密空调为下送风、上回风方式。要求空调设备为大风量、小焓差设计,大屏幕图形显示,全年365天,7*24小时长期运行设计寿命不小于10年。
2、机房专用空调机组的电气性能应符合IEC标准。具有本地电网环境可用性和对本地电网环境工作可靠性,宽输入电压/频率范围。输入电压允许波动范围: 380V -10% +15%以上。频率工作范围:-5%~+5%。
3、机房专用空调机组的适应环境温度:室内-10℃ +30℃;室外-15℃ +45℃。湿度:≤95%RH。
4、机房专用空调机组的温度、湿度控制性能;机房专用空调应能按要求自动调节室内温、湿度,具有制冷、加热、加湿、除湿等功能。温度调节范围:+17℃ +30℃;温度调节精度:1℃温度变化率< 5℃/小时;湿度调节范围:40%
60%RH。湿度调节精度:3 %RH温、湿度波动超限应能发出报警信号。
5、机房专用空调机组的机组性能:制冷量≥27kW,显冷量≥24kW,风量≥7000m3/h:以上制冷量标定工况380V/50Hz~3P,回风温度24℃,相对湿度50%RH。机房专用空调应采用高效节能、高能效比的谷轮(Copeland)涡旋压缩机。
机房专用空调风机叶轮采用航空级工程复合材料制造的节能型EC(电子变相技术)风机系统,能实现无级调速。下送风机组室内风机需原厂调试好并安装固定在机组内部,现场无需调整,风机叶轮不低于机组底板。
精密空调室外机须配置高品质轴流风,单个室外机风机数量≥2台。
机组必须配置电子膨胀阀,并且系统的过热度可通过控制器设定,维持系统常年高效。
为适应室外机远距离安装,机组应配置储液器来平衡和稳定系统内的制冷剂循环量而达到机组的正常稳定运行。
机房专用空调系统应采用环保R407C制冷剂。
机房专用空调的加热性能:具备电加热器。
机房专用空调的加湿性能:应采用电极式加湿器。
机房专用空调应采用大斜板式“/”蒸发器,可大面积换热。
6、机房专用空调的控制系统:
每台机组均应具有先进的微处理控制器,控制器具有单主板,均可作为主机实现群控。应采用先进的模糊逻辑控制或PID调节技术。控制器具有双主板冗余功能,具有5英寸以上LCD大屏幕中文显示器,能显示温湿度曲线,具有图形显示机组内各组件的运行状态的功能。应具有大容量的故障报警记录储存的功能,可提供存储历史告警信息的数量为200条及以上。机组应具有过压、欠压等报警及故、障诊断,告警记录功能,自动保护,自动恢复,自动重启动等功能。
控制系统应具有多级密码保护功能。机房专用空调面板需配置紧急主开关,出现故障紧急关闭机组,便于应急使用。
7、具有多台机组备份联动或多台机组的群控功能,可实现:(1)、备份:备份自动切换功能,当群组中机组发生故障时,备份机组自动投入运行,提高空调系统的可靠性;(2)、轮巡:定时切换备份机组;(3)、层叠:根据机房内热负荷的变化自动控制机组中空调机的运行数量,达到节能的目的;(4)、避免竞争运行:避免同一机房内多台空调机同时运行在相反的运行状态(制冷/加热、加湿/除湿)。提供可以控制的机组数量,最多应可达20台。
8、空调应具有低负载启动特性:空调在启动时能自动顺序延时启动,减小空调启动对上层电网造成的冲击。空调并具备来电自启动功能,满足机房无人值守的要求。
9、机房专用空调机组的监控性能,机房专用空调机组应具有方便的现场监控及远程监控能力。
系统应具有三遥性能:
遥测项目:回风温度、回风湿度、显示机组工作状态等。
遥信项目:开/关机,回风温度过高/低,回风湿度过高/低,过滤器正常/堵塞,风机正常/故障,压缩机正常/故障等。
遥控项目:空调开/关机
系统应具备通信接口。
具备RS232及RS485(或RS422)接口,且应具有良好的电气隔离(信号端子对地承受直流电压500V、1分钟不击穿或闪烁)。
协议格式必须符合电网交1999(625)号文《通信局(站)电源、空调及环境集中监控管理系统前端智能设备通讯协议》。
免费提供通讯协议。
设备运行参数的设置。
设备应具有智能判断功能,对于超常规的参数设置(错误命令),应能自动拒绝。
对三遥量:
开关量和控制操作准确度应达到100%。
模拟量精确度应达到:交流电量误差
≤2%;非电量误差 ≤5%。
设备显示面板或表头显示值应与从通信接口读出的三遥量值保持一致。
|
|
11
|
机房UPS系统
|
1
|
套
|
1、采用高频在线式UPS主机,额定功率不低于20KVA,输出功率因数不低于0.9。
输入电压范围(Vac):208~478VAC。
输入功率因数:≥0.99(100%负载)。
输入电频率范围(Hz):50/60±10%(50/60自适应)。
输出电压(Vac):≤380/400/415±1%。
输出电压波形(THDV):≤2%(线性负载), ≤4%(非线性负载)。
输出功率因数:0.9。
系统效率:可达95%。
过载能力:≤125%,10min。
具备蓄电池浮充电压、均充电压、放电终止电压最高和最低点可设置功能。
电池组最大充电电流、最大电池放电时间及最大均充时间可设置功能。
单组蓄电池节数支持16~20节可调功能。
LCD液晶显示屏,中文英文可切换。系统配置标准RS232/RS485 通信接口,提供开放的通信协议及配套软件,并具备并机远程通讯等接口,以便后续系统监控及扩容需求。
具备完善的短路、过载、过温、防雷等措施,有良好的电磁兼容性,以保证系统在前端电源质量恶劣情况下提供可靠的输出用电。
具备冷启动功能,且冷启动过程简单。
2、32节12V/100AH阀控铅酸免维护电池
1)蓄电池性能要求:
1.1)外观:无变形、漏液、裂纹及污迹;标识清晰。
1.2)结构要求:正负极端子有明显标志,便于链接。
1.3)气密性:能承受50KPa正压或负压而不破裂、不开胶,压力释放后壳体无残余变形。
1.4)大电流放电:以30I10放电3min,极柱不熔断,内部汇流排不熔断,外观不出现异常。
1.5)端电压均衡性:开路状态下,最高与最低电压差值≤90mV;浮充状态:进入浮充24小时后,端电压差值≤300mV;放电状态:端电压差值≤250mV。
1.6)电池间连接电压降≤5mV。
1.7)蓄电池内阻:≤5mΩ,同组蓄电池内助偏差≤10%。
1.8)容量保存率:静置28天后,其容量保持率应在98.5%C10以上。
1.9)密封反应效率:≥97%。
1.10)蓄电池的安全阀有自动开启和关闭的功能,开阀压应是10-49kPa,闭阀压应是4-16kPa。
1.11)为保证服务统一性与及时性, UPS主机、铅酸蓄电池为同一品牌且同一制造商生产(可为全资子公司),不接受OEM产品。
|
|
12
|
网闸
|
1
|
套
|
1.基本要求:具备“2+1”(即双主机系统+物理隔离通道控制系统)体系结构,实现物理隔离(提供制造商内外网物理连通的检测、通断控制功能证书原件彩色扫描件)。
2、采用经过安全加固的基于linux内核的并行安全操作系统。
3、接口配置:内、外网≥12个10/100/1000M自适应电口、≥2个千兆光口,≥2个独立的管理接口、≥4个USB口,含冗余双电源。
4、性能:数据传输速率≥700Mbps ;系统延时< 1ns ;内部数据传输: 5Gbps,最大并发连接数: 150,000,最大数据库同步速率≥2,000条/秒。
5、必须防止电磁传输对其它设备造成干扰。
6、支持文件交换、数据库同步、数据库访问、安全浏览、FTP访问、邮件传输、定制访问、双机热备、二次开发等基本功能;文件交换模块:支持客户端、Samba、NFS的文件交换;可以实现内网到内网、内网到外网、外网到内网的点对点的文件传送,具备小型公文交换系统的功能。文件交换必须可提供客户端和无客户端的操作。支持病毒检测;支持文件内容深度检测,对包含关键字内容的文件进行过滤。
7、文件交换客户端支持扩展windows右键菜单发送文件、支持拖拽方式发送文件、客户端界面按钮选择文件两种方式发送文件。
8、数据库同步模块:支持ORACLE、SYbase、MySQL、SQLServer、DB2等主流数据库;同步由网闸主动发起并完成,不需要第三方软件支持(无需在数据库安装任何第三方软件),支持Windows、Linux、Unix
等多种数据库操作系统,且网闸无需开放端口以杜绝安全隐患。
9、身份认证模块功能可采用分组CA认证;CA符合国家密码局认证要求;采用用户名和密码、IP
10、日志审计:支持SysLog,Mysql标准,链路日志模块提供图形化链路日志,实时监测链路健康状况,以便管理员了解具体业务如数据库或者其它应用系统,数据流的链路状况,有助于网闸设备内外网络的故障排查。
11、支持GIS数据发布同步模块,支持GIS数据中点、线、面数据实现同步。
12、IPsecVPN:支持IPsecVPN功能,能够将被物理隔离的多个网络通过网闸建立VPN连接,进行数据交换。
13、日志审计:日志支持本地和远程存储,能为第三方提供日志格式,实现日志数据分析;支持SysLog,Mysql标准;支持一键清除使用记录功能,在不破坏现有系统情况下,清除包括上网记录、文件操作记录、USB使用记录等痕迹,并确保任何软件无法进行恢复、无法查找到相关使用痕迹。支持对上网记录、USB使用记录等痕迹进行有选择清除。支持对同一分区中、或不同分区中安装的多个操作系统的相关使用记录进行清除。
14、防爆力破坏限制:支持时间控制管理,可设置多个时间点来控制网闸网络服务的启动、终止;支持系统防爆处理,对管理员 根据限定期限,可自动解除锁定。遵循国家保密局标准使用随机产生的数据对磁盘扇区进行反复擦写,连续清除6次使磁盘扇区内存储的数据无恢复的可能。
15、网闸设备保障密码的安全性,采用国家商用密码加密算法认证方式,并经过国家密码管理局商用密码中心检测,符合《网络隔离产品密码检测准则》要求。
|
|
13
|
日志审计
|
1
|
套
|
1、2个USB2.0接口,1个RJ45串口,一个后置VGA接口调试,6个10/100/1000base-T接口,2个千兆光口,事件采集可达到30000EPS,事件关联分析可达到8000EPS,事件入库性能可达5000EPS,最大支持500资源,配置100个资源。双电源。
2、产品采用高性能多核多平台并行安全操作系统,能对交换机、路由器、防火墙、VPN、网闸、IDS/IPS/IDP、防病毒软件、Anti-DDos网关、WAF、负载均衡、安全审计系统、OS、数据库、中间件、网管系统、存储系统、虚拟机系统、自有业务系统等对象进行日志采集。支持对网络设备、服务器、应用系统、中间件、OS、数据库等设备进行性能监控,支持通断、性能、安全、扩展等多种类型进行资产监控。
3、支持事件统计,支持分组事件总数、事件级别、事件趋势以及事件类型、资源类型等事件统计。
支持告警统计,支持告警级别、告警类别、资源组告警、资源类型、告警趋势以及最新告警等类型告警统计。
支持风险统计,支持仪表盘和曲线图的形式显示资产的风险信息,包括风险等级、高风险资产排行以及全网风险趋势。
所有统计支持近1小时、近24小时、近7天的事件等维度查看统计信息。
支持
支持
支持热点分析,并以圈状图和列表的形式展现;
具有威胁态势,反映恶意代码、违规与误操作、入侵与攻击、认证授权、非法访问、信息泄露、信息篡改等情况。
4、支持展示业务整体运行情况,包括资产数、健康度、可用性、告警及事件等维度。
支持事件查看,显示和查看全部安全事件日志。支持事件历史统计,支持URL访问排行、认证授权事件趋势、非法访问事件趋势、非法访问事件目的
支持原始日志查看,支持备份文件查看,下载,恢复等功能。
支持根据监控策略实时监控安全事件。
支持根据统计策略实时统计当前事件的统计对象的发生数量。
5、能根据资产对象、资产分类、事件等条件规则进行关联分析,当事件触犯关联分析规则时,产生告警。
支持跨设备日志关联分析;
支持AIX、HP-UX、Linux、Solaris、Windows、Free BSD等服务器进行配置核查。
能对Oracle、SQL Server、MySQL、Infomix、DB2、DM、Gbase、Highgo、Kingbase、Maxdb、Postgresql、Sybase等数据库进行配置核查;
能对resin、ngnix、Apache、Bind、IIS、Tomcat、Weblogic、Websphere等中间件进行配置核查;
支持EXSi、Xen、XenServer等虚拟机进行配置核查。
支持在线/离线配置核查。
7、具有对网络设备、服务器、终端等主动漏洞扫描;能对第三方漏洞报告导入,导入后自动与系统内资产关联。
8、支持知识文章、安全专家、事故案例、漏洞库、病毒库、补丁库、安全基本要求、应急预案库等知识库分类。
支持知识与事件关联,查看事件详情时展示相关的只是内容。
常规发现、ARP发现、子网发现和网段发现等四种自动资源发现功能。
内置综合、用户访问、安全监测、信息审计、系统状态等内置报表组。
支持自定义生成报表模板。
支持自动生成日报表、周报表、月报表等三种类型。
集成Ping、Traceroute、NetBios、SNMP连接测试、TCP端口扫描、链路延时、端口状态变动、Mib浏览器等多种工具。
全中文软件界面,中文帮助和用户手册。
提供SNMP
Trap、Syslog事件转发功能,支持对第三方的Web
Service接口调用,可方便地与第三方系统进行整合。
7、具有攻击态势,攻击及受攻击地点列表实时显示。
|
|
14
|
防火墙
|
1
|
套
|
1、2个USB接口,1个RJ45串口;一个后置VGA接口调试;能外接WIFI和4G/3G插卡,支持硬件Bypass卡;6个10/100/1000base-T接口,2个万兆光口,配双电源;设备最大吞吐量6Gbps;最大并发连接数250万;每秒新建连接数10万;VPN遂道数5000;最大SSL VPN并发用户数500。
2、具备双系统引导,并可WEB界面上配置启动顺序,采用模块化设计,具有并配置SSLVPN、反垃圾邮件、WEB应用防护、集中管理等功能。内置IPS特征库、应用特征库、URL特征库、病毒特征库、WAF特征库、垃圾邮件规则库、僵尸网络识别库、数据防泄漏防护库、IP信誉库等,可在线/离线升级,本次配置所有功能。
能够基于五元组、时间、用户、用户组、应用层协议等多个元素进行访问控制支持将任意接口的数据完全镜像到设备自身的其他接口,用于抓包分析;具有802.11B,802.11G协议,能将设备作为WiFi热点(即AP);具有CDMA2000和WCDMA协议下的3G功能。支持PPPOE接入,最多支持4路ADSL接入;支持虚拟防火墙功能,支持254个虚拟防火墙;支持基于接口
3、支持本地认证,支持本地认证、Radius认证、Tacacs认证、AD域认证、POP认证、LDAP认证等,同时支持短信认证及802.1x认证;支持操作系统版本、文件、进程、注册表、登录IP、登录时间等终端认证安全检查方式。支持防范DDoS单包攻击:SYN Flood、ICMP Flood、UDP Flood、Land攻击、Smurf攻击、Fraggle攻击、WinNuke攻击、ICMP重定向或不可达报文、TCP报文标志位不合法、Ping of Death攻击、Tear Drop攻击、IP Spoofing 攻击等。
4、支持DDos攻击阀值设定:TCP检测,SYN Flood、RSTFlood、ACK Flood、HTTP Flood、UDP检测,UDP Flood、DNS
Query、ICMP检测,ICMP Flood等防御持续时间内攻击流量限制;具有DDos攻击紧急状态功能:实现SYN Flood、PUSH Flood、UDP Flood、ICMP Flood、RST Flood、HTTP Flood、DNS Query;支持流量自学习功能,可进行数据抽样、数据分析、数据清洗等防范DDoS攻击。
5、内置入侵防御规则数≥4000实现可疑网络行为、尝试侦查行为、用户尝试攻击、RPC攻击、SHELL Code攻击、协议解析攻击、MISC攻击等攻击防御;支持平行扫描和垂直扫描两种端口扫描方式;支持C&C通道检测;支持僵尸网络检测;支持木马查杀,Trojan.agent,
Trojan. Downloader, Trojan.Dropper等;支持恶意软件防护;具有A/V云防护;实现6大类2000多种应用识别,包括基本服务、HTTP、视频、P2P、流媒体、网络游戏、即时通讯、股票、网上银行、网络 过滤功能,同时支持用户自定义URL库,系统内置上万条的URL库;支持邮件、论坛发帖/回复、外发文件的内容识别;支持120+文件类型识别。
内置泄密等关键字库;实现异常URI、异常HOST、异常cookie等HTTP协议校验。
实现WEB服务器/插件漏洞、爬虫检测。
实现SQL注入、LDAP注入、命令行注入、XSS、XPath等攻击防御;支持非法上传防护和非法下载限制功能;实现邮件炸弹检测和防护;实现垃圾邮件检测,可标记、隔离、丢弃处理。实现设置隔离邮件保留天数和隔离区大小设置;实现TELNET、FTP、POP3、IMAP等弱口令检测。
5、支持静态路由和动态路由协议(RIP、OSPF);支持ISP路由(支持电信、网通、教育、广电)。支持基于应用的策略路由;支持路由、透明、混合多种工作模式透明模式支持多桥接入,最少支持8个桥接入;支持透明的应用代理,DNS、FTP、HTTP、POP3、SMTP以及TELNET等协议,支持双机热备和负载均衡;端口聚合:防火墙多个接口可以设置为聚合口,起到链路备份的功能;支持双ISP出口热备:当一个出口线路出现故障,系统可以把网络数据流切换到运行状态良好的另一个接口和路由上;支持服务器负载均衡,支持八种负载算法:轮流、根据权重轮流、最少连接、加权最少连接、局部性最少连接、带复制局部性最少连接、根据源
支持设置线路优先级、保障带宽和最大带宽;可以实时检测整机运行状态、接口工作状态,一旦有异常发生时,以日志、邮件等形式进行告警;具有应用风险系数、Top高风险应用、应用类型排行、应用流速趋势、Top应用、接口流量监控、最新威胁列表、最新流量排行、服务器安全、Top安全策略等模块实时监控;支持应用/威胁/网址/内容过滤等内容统计分析;实现资产风险态势展现,支持内网资产IP
实现策略智能优化,基于业务和安全风险进行智能化分析,自动生成策略建议;支持冗余策略分析和策略命中分析;具有开放的联动协议,支持与IDS、网络脆弱性智能评估系统、终端准入系统的联动。
|
|
15
|
出口上网行为管理
|
1
|
套
|
1、2U硬件,双电源,标配6个10/100/1000自适应电口,2个千兆光口,提供1个扩展插槽。
2、支持审计带宽≥400M,最大并发连接数为120万,最大新建连接数为32000/秒。
3、支持串接、旁路、多进多出等部署方式,支持GRE、L2TP、WLTP、CAACWS、LWAPP、CAPWAP协议下的网络环境。
4、可通过手工方式、LDAP导入、数据库导入(SQL Server、MySQL、ORACLE)、文件导入、IP扫描等方式建立组织架构。
5、支持本地、LDAP、Radius、邮件认证方式的WEB认证。支持在界面上通过配置,将一台设备作为独立的认证服务器配合审计设备使用,提升认证性能。
6、支持对802.1X、controller、Kerberos、LDAP、POP3、SMTP、Radius、PORTAL、PPPOE、等系统的单点登录。
7、支持key免审计、key免管控、key免认证以及三者灵活组合。
8、可识别网络中的私接路由或共享wifi的网络行为并配置阻塞策略。
9、支持可配置阻塞IP或阻塞用户、支持单独配置是否阻塞非80端口流量;支持自定义阻塞页面内容,可上传图片或文件共阻塞页面使用。
10、根据关键字管理搜索引擎访问;根据URL库及URL关键字进行网址访问管理;对网站的发帖正文关键字进行管理;可根据网页内容关键字进行审计与过滤一条策略实现搜索关键字的阻断、记录、告警,方便维护。
11、应用协议库包含的应用数量不低于4000种,一级分类不少于40种,移动应用数量不低于900种。
12、可审计、控制Oracle, MySql, SqlServer, PostgreSQL等数据库的访问与操作,包括添加、删除、修改、查询等。
13、通过HTTPS审计功能,可以针对网站分类、证书颁发者、证书所有者、证书有效期等进行审计,加以控制。
14、支持带宽资源报告、行为合规报告及工作效率报告,可对一段时间内的某个或某些用户的上网行为进行综合分析;报表可导出为pdf、excel、word等格式。
15、支持将日志数据通过设备USB接口导出。
16、提供物理硬件bypass按钮,便于设备巡检、设备故障时管理员无需重启、关机、断电即可恢复网络通畅。
17、支持与云端杀毒平台联动,对网络中传输的文件进行特征比对,以便减少对本地计算资源的消耗。至少应支持对以下几类网络应用传输的文件进行病毒云查杀:HTTP/SMTP/POP3。
18、支持SFTP方式将历史数据导出到指定服务器,支持SSL加密传输。
|
|
16
|
安全准入
|
1
|
套
|
1、架构性能要求
(1)标准采用B/S架构,支持VPN/拨号接入、分支机构联动管理。
(2)服务器系统采用linux操作系统。
2、提供断电保护机制,如心跳、Bypass等,确保异常时网络不受影响。
3、客户端插件支持X32\x64平台的 Win2003/XP/WIN7操作系统。
客户端插件支持X32\x64平台的Linux操作系统,包括但不限于Centos、Ubuntu、Fedora、NeoKylin。
4、配置部署要求
(1)提供专用专用硬件服务器,配置500个终端。
(2)峰值事务处理能力≥500000事件数/秒。
(3)标准配置至少具备6个千兆RJ45接口。
(4)2个千兆光口。
(5)冗余电源。
(6)支持旁路、网桥、网关3种部署方式。
(7)支持逻辑旁路及串接方式部署。
(8)设备部署过程中不改变原有网络结构及网络、安全等设备的配置且无客户端。
(9)支持多级级联管理,独立级联数据汇总服务器,统一管理平台。
(10)支持HUB及无线AP环境部署,兼容现有网络设备,支持傻瓜式交换机和路由器。
(11)支持多网络出口环境,网内可同时部署多台准入服务器,统一平台管理,自定义管辖IP范围。
支持双机热备,主机故障时备机自动切换,确保服务器的高可用性。
5、平台要求
(1)产品控制平台管理账户支持三权分立,具有系统管理员、系统审计员、系统操作员管理账号。
(2)系统支持能够根据管理需要自定义添加账号。
(3)系统新建账号支持只读设置功能,只读账号仅能查看系统功能,无法更改策略及相关配置。
(4)针对产品的登录信息可根据用户实际情况自定义修改,如:系统名称、登录图片背景。
(5)支持插件后台自动升级功能。
(6)支持数据库后台每天自动备份功能,可选择每天、每周的固定时间以及备份的时间点设置功能。
(7)系统必须支持外接存储功能,可将系统中所产生的部分数据存储到外部存储区域。
(8)功能列表中的基本功能在一个平台上实现,没有第二平台。
(9)插件保护功能,终端管理插件所需进程需均隐藏,无法被恶意结束、删除、卸载等行为结束;支持管理插件卸载的热键呼出及卸载密码设置功能。
6、准入要求:
准入技术具有802.1x、PBR、WebPortal、DHCP、SNMP、端口镜像、透明网桥等方式;准入技术满足IPV6网络;针对复杂的网络接入环境,准入技术可单独和或组合使用的方式同时使用;
可对网络划分不同的网络访问范围,至少能够划分合法用户访问范围、安全隔离用户访问范围、来宾用户访问范围,各范围可以根据实际需要进行修改。
7、事前预防管理。
能禁止使用无线网卡;禁用3G无线上网卡;禁止
禁止使用其它网卡;(支持对虚拟网卡的单独设置),IP/MAC绑定,可设置允许修改DNS;禁止使用调制解调器。
8、事中阻断报警处理
(1)能够及时发现终端发生违规外联或具备外联的能力。
(2)违规外联后能够对违规终端进行报警提示操作,支持自定义终端报警内容。
(3)触发报警后,支持对终端进行放置隔离区、锁定屏幕、关闭计算机等应急处理措施。
(4)触发报警后,支持向管理员发送报警短信、报警邮件以及控制台弹窗报警功能。
(5)触发报警关闭计算机时,支持进行关机前的缓冲时间设置。
支持内网网段自定义功能,可自由调整内网IP范围。
9、支持口令鉴别方式,包括:准入口令鉴别、AD域身份鉴别、LDAP身份鉴别、EMAIL身份鉴别,支持硬件鉴别方式,包括:Ukey身份鉴别、CA证书鉴别,认证方式支持单一或组合的身份认证方式。
10、离线通信策略
(1)支持用户在线与离线不同的管理策略。
(2)支持离线策略设置,支持设置离线后不允许访问任何网络功能。
(3)支持离线后网络访问权限不再限制功能。
11、USB使用
(1)支持对存储类USB设备进行禁用,不影响非存储类USB外设使用。
(2)支持对USB接口使用进行只读或读写权限设置,禁止通过USB接口向外拷贝数据。
(3)终端使用USB时可以主动发起申请操作,申请通过前不允许使用USB存储介质。
(4)管理员可以对USB使用申请进行批准或拒绝操作。
12、终端管理
支持设置终端用户的程序黑白名单、网站黑白名单以及SSID黑白名单;禁止进入windows系统的安全模式、定时关机功能、超时锁屏、注册表设置、控制面板等安全功能;支持规范桌面壁纸、屏幕保护程序、电源管理(关闭显示器及进入休眠模式的时间设置)。
13、资产维护
(1)支持对终端软硬件资产进行全面的管理,包括信息收集、硬件变化报警、报表汇总展现功能。
(2)报表汇总展现功能包括对资产分布的报表展现。
(3)可以实现对入网终端的硬件资产分布情况进行分析,包括硬盘大小、内存大小、CPU大小等信息的按日期分析功能,并支持按部门分别统计以上终端的分析内容。
支持以上数据按照分布图和详细信息的展示方式,并支持导出、打印等功能。
14、远程协助
(1)集成多种桌面支持工具,包括:远程对话、远程文件传输、远程执行、远程重启、远程截屏等功能。
(2)远程控制不依赖于用户是否登录,也可以通过远程控制进行用户的注销和切换。管理端在控制用户端时,可以远程关闭用户端键鼠,实现完全控制。
(3)远程会话功能支持文字交互,允许管理端向客户端主动发起和客户端向指定管理端发起,不允许客户端之间相互发起。
支持强制与请求交互两种远程控制方式。
15、功能扩展
可在同一平台扩展性功能支持网络运维管理,对主机、虚拟化设备、硬件、网络设备、视讯设备、无线设备、安全设备、存储设备等多种类别设备的监控管理。
可扩展支持SSH,TELNET,SNMPv1,SNMPv2c,SNMPv3,Agent,WMI等资源的多种发现方式,生成拓扑展示界面,并且支持显示二层网络拓扑和三层网络拓扑,能够准确定位网络问题,并支持创建自定义拓扑,可对拓扑进行导出、复制、重命名等操作。而且支持首页可自定义显示全网系统包括网络、主机、硬件、虚拟化、无线设备、安全设备、存储设备运行总览。
16、系统新建账号支持只读设置功能,只读账号仅能查看系统功能,无法更改策略及相关配置。
17、能对入网终端的硬件资产分布情况进行分析,包括硬盘大小、内存大小、CPU大小等信息的按日期分析功能,并支持按部门分别统计以上终端的分析内容;
18、通过全局设备感知技术自动发现网络中的PC、移动终端、智能设备和哑终端,可详细展示设备的IP、MAC、主机名、操作系统、设备更新时间、在线状态和信任状态;并可对设备进行信任、隔离、永久信任、解除信任等操作,支持批量操作。
19、能支持对全网交换机及路由器等网络设备进行自动发现及展现,完整展示出网内拓扑情况。违规接入的终端可在拓扑图中通过上联交换机进行颜色报警或提示,能在拓扑图中对网络设备面板进行管理(提供功能界面截图)。
20、针对特殊终端的白名单放行处理,无须安装插件测评即可入网;放行依据包括IP
21、触发报警后,可对终端进行放置隔离区、锁定屏幕、关闭计算机等应急处理措施,以上措施可以单独或同时使用。
22、支持以IP
|
|
18
|
运维安全审计系统
|
1
|
套
|
1、平台架构:
(1)软硬一体化嵌入式设备,至少提供6个1000M电口。2个千兆光口,支持Licence扩容;
(2)提供旁路接入模式,设备部署不影响原有网络结构;
(3)系统登录为B/S方式,支持通过IE、Chrome、 Firefox等浏览器访问平台;
(4)平台使用Linux系统,应用发布使用Windows 2012及以上版本,平台支持HTTPS加密认证访问方式。
2、用户管理功能:支持本地口令、USBKEY认证方式,支持批量导入、导出用户信息及设备、账号信息。支持设置用户登录密码限制,可设置最小长度、密码尝试次数、锁定时间、字母数据组合。支持一对一、一对多,组对组授权,如将单个资源、账号授权多个用户,一个用户授予多个资源。支持跨用户组的交叉授权操作。支持用户组、设备组批量授权管理。支持对快速禁用,可通过用户名和IP段设置禁止全局访问的用户。支持单点登录,可以一键快速登录目标资源,访问授权资源时不必再输入从账号和密码。
3、资源管理:支持Windows系统、Linux/Unix系统、网络设备、数据库、中间件、B/S、C/S等资源。配置100点授权。
支持SSH、VNC、RDP、WEB等协议;支持定期变更Windows和Linux/Unix目标设备真实口令,支持自定义口令变更周期和口令强度。口令变更方式至少支持手动指定固定口令、生成随机口令、依照密码策略生成同一口令等方式。支持对快速禁用,可通过IP段设置禁止全局访问的资源。
4、行为监控:系统支持实时会话监控,显示已经连接的会话,运维用户、资源IP、账户、访问协议等, 支持实时查看,支持会话断开;图形资源访问时支持实时回放和审计回放,并且对图形资源的审计回放时,支持进行拖动查看;支持对实时会话的监控和管理,支持显示会话的访问用户、姓名、IP、设备名称、设备IP、账户、访问协议,可实时视频查看用户屏幕信息,发现危险操作可立即进行中断操作。
支持对常见设备运维操作进行记录,审计信息至少包括以下内容:用户账户、姓名、起止时间、登录IP、设备IP、设备名称、访问账号、访问协议、访问时长等信息。
对字符命令方式的访问支持审计到所有交互内容,可审计还原操作过程的命令输入和结果输出。支持会话命令控制,可设置阻断、禁止命令,禁止高危命令执行。
命令控制规则可以指定运维人员和用户组。
5、审计报表:支持运维终端的文件操作审计功能,可对终端访问受控资源时在本地终端的文件操作进行审计;支持自定义设置审批时限,可设置自动审批结果为通过或拒绝;支持以饼状图以及报表方式查看系统中的运维用户所授权资源,支持全文高级搜索方式,支持按照时间进行自定义生成,支持报表导出到Excel;支持以饼状图以及报表方式查看违规命令,并支持按违规类型分别统计违规信息,支持全文高级搜索方式,支持按照时间进行自定义生成,支持报表导出到Excel;支持以饼状图以及报表方式查看系统中设备所授权用户情况,并支持按设备类型分别统计授权信息,支持全文高级搜索方式,支持按照时间进行自定义生成,支持报表导出到Excel;支持通过饼状图以及列表方式查看运维本地终端文件操作情况,并支持按操作类型分别统计审计信息,支持全文高级搜索方式,支持按照时间进行自定义生成,支持报表导出到Excel。
6、平台管控:
(1)平台账号配置支持角色和账号管理,角色可设置管理员、操作员、审计员以及自定义角色,可支持针对角色的使用和页签权限分配。
(2)平台管理账号支持三权分立,具有系统管理员、系统审计员、系统操作员管理账号;系统支持能够根据管理需要自定义添加管理账号。
(3)支持数据库后台每天自动备份功能,可选择每天、每周的固定时间以及备份的时间点设置功能。
(4)支持插件后台自动升级功能。
(5)功能列表中的基本功能在一个平台上实现,没有第二平台。
(6)针对产品的登录信息可根据用户实际情况自定义修改,如:系统名称、登录图片背景。
(7)支持运维审计自查询功能,支持查看登录日志,授权日志、审批日志、策略设置日志和运维日志。
(8)支持查看设备的CPU、数据库、内存、硬盘实时负载以及网口状态。
7、提供旁路接入模式,设备部署不影响原有网络结构;平台使用Linux系统,应用发布使用Windows 2012及以上版本。
系统登录为B/S方式,支持通过IE、Chrome、 Firefox等浏览器访问平台。
支持Windows系统、Linux/Unix系统、网络设备、数据库、中间件、B/S、C/S等资源;支持SSH、VNC、RDP、WEB等协议。
支持服务器区资源的准入控制,在不修改密码情况下,能够通过端口控制服务器区的访问方式,如SSH、远程桌面,可支持对单个或多个服务器进行设置。
8、具有触发式屏幕水印防护,当用户访问受管理资源时,在屏幕显示水印信息(提供配置界面截图)。
图形资源访问时支持实时回放和审计回放,并且对图形资源的审计回放时,支持进行拖动查看。
支持定期变更Windows和Linux/Unix目标设备真实口令,支持自定义口令变更周期和口令强度,口令变更方式至少支持手动指定固定口令、生成随机口令、依照密码策略生成同一口令等方式。
支持对实时会话的监控和管理,支持显示会话的访问用户、姓名、IP、设备名称、设备IP、账户、访问协议,可实时视频查看用户屏幕信息,发现危险操作可立即进行中断操作。
9、配置传统肉眼可辨识数字水印,内容包含所属部门、用户真实姓名、IP
10、支持服务器区资源的准入控制。
|
|
注:只允许国产产品参与。
|
