网络安全技术参数.doc

2）、校园网络系统校园网络及综合布线序号产品名称技术参数数量单位备注品牌推荐一、校园网（计算机网络）1管理计算机I3-4150/G3240/2G-DDR3/500G/intel HD/DVD 18.5LCD/音响；鼠标、键盘、19寸16:9液晶显示器；1台2磁盘阵列与服务器同一品牌；全冗余模块化体系结构、双冗余控制器； SAN存储服务控制器；专用SAN 处理控制器，双CPU架构，提供FC、iSCSI等块级数据访问服务，本次配置双冗余SAN存储服务控制器；接口类型：8/16 Gb FC、1Gb/10Gb iSCSI；可支持FC、iSCSI混合主机端口；可同时支持3.5” 2U12盘位或2.5” 2U24盘位机箱；最大可支持配置4个16Gb/s前端FC光纤通道端口 ；本项目配置12GB系统缓存，系统缓存包含相互独立的数据缓存和控制缓存；采用双CPU架构，数据业务和控制业务CPU相互隔离，要求控制器CPU个数 2；存储系统可同时支持固态硬盘（SSD）、SAS硬盘，NL-SAS硬盘。本次配置4*3TB ，支持192块硬盘；Cache断电保护，支持异常掉电后cache数据永久保存；完全的硬件冗余：处理器、缓存、电源、风扇、适配卡、总线等都提供冗余，并保证在某硬件出问题时，能够进行自动切换，不出现单点故障；硬件RAID，支持以下几种RAID级别：RAID0、RAID1、RAID3、 RAID5、RAID6、RAID10、RAID50；需提供图形化存储管理软件，支持带外管理,全中文界面；免费提供在线RAID扩展功能；免费支持全局热备盘功能，提供硬盘错误预检测及预拷贝功能；免费支持在没有数据访问的时候磁盘驱动器自动降速休眠。实现对主机的多通道路径访问以及对应用透明的自动故障通道切换及负载均衡，具备在SAN环境中的负载均衡功能；原厂商质保服务，5年7X24X4带备件上门、电话支持服务、5年保修5年上门原厂服务、5年硬盘免回收服务；生产厂家出具技术参数证明文件及售后服务承诺函（原件盖章）。1台HP、联系、浪潮及同档次品牌；3信息安全系统1. 具备良好的系统自身的保护功能，保护系统自身进程不被异常终止、伪造、信息注入，系统自身文件不被恶意修改和删除。免疫病毒、木马、内部攻击，服务器支持从操作系统内核实现对服务器的安全加固功能。 2. 投标产品能够支持Windows 2003/2008、Linux 、Solaris/HP-UX/AIX等服务器操作系统，并有合同证明。3. 能有效的限制系统特权用户的权限，合理的划分系统的权限为系统管理员，安全管理员，审计管理员。4. 能实现内核级文件/目录强访问控制，允许对文件/目录配置用户或进程以读、写、禁止访问等权限访问的安全策略。5. 能实现内核级注册表强访问控制，允许对注册表项配置进程以读、写等权限访问的安全策略（请提供产品功能模块截图）6. 能实现内核级进程强访问控制，允许对进程配置进程以读内存、写内存、复制句柄、终止进程等权限的安全策略（请提供产品功能模块截图）7. 能实现内核级服务强访问控制，能够阻止新增的服务及驱动在系统中的加载，阻止已安装服务的启动类型的更改（请提供产品功能模块截图）8. 能实现内核级帐户强访问控制，能够阻止对系统帐户的破环，如新增帐户、删除帐户等（请提供产品功能模块截图）9. 完善的日志管理，能够记录违规日志和操作日志并对日志进行分析导出报10. 文件完整性检测，通过记录和对比指定目录中所有文件的基本属性及内容校验和来进行完整性检测，以识别哪些文件被篡改（请提供产品功能模块截图） 11. 服务完整性检测，通过记录和对比系统中所有服务的基本属性及内容校验和来进行完整性检测，以识别哪些服务被篡改（请提供产品功能模块截图） 12. 配置管理，配置策略可以同样分发到其他服务器，减少工作量。13. 产品功能易用性。如：文件完整性功能支持定时监测方式，并能提供邮件方式报警。14. 自主知识产权，具备国家版权局颁发的软件著作权证书。15. 通过公安部计算机信息系统安全专用产品销售许可证（三级） 16. 具备国家信息安全测评中心信息技术产品安全测评证书。17. 保证产品的兼容性和稳定性，提供第三方权威兼容性证明。1套浪潮、华为、曙光及同档次品牌；4出口路由器路由转发：支持静态路由、RIP(V1/V2)、OSPF等多种路由协议；支持DHCP Relay 、DHCP Server；支持NAT，支持多种NAT ALG，包括FTP、H.323、DNS等；支持QoS（PQ、CQ、FIFO、WFQ、CBWFQ等）；为保证在多条外网线路情况下带宽的合理分配使用，设备必须支持多链路负载均衡，负载均衡可基于带宽、时延、负载等多种方式。为防止虚假应标，需提供设备配置界面截图；支持线路过载保护功能，当某条外网线路拥塞时，自动将其流量切换到其他链路，为防止虚假应标，提供设备配置界面截图；支持正向DNS代理功能，可根据配置实现对不同外网线路的DNS服务器地址管理，日志审计：支持NAT日志、URL日志记录；支持本地化至少60天日志存储和远程Web检索；支持基于丢包恢复、数据压缩、多链路捆绑的双边链路加速技术，加速用户的上网体验，并提供功能配置截图和使用效果截图设备管理：支持中文WEB界面和CLI命令行配置、管理和监控；支持SNMPv1/v2；为方便用户远程接入，设备需支持SSL VPN，并提供200个SSL VPN接入授权,提供功能配置界面截图；支持IPSec VPN，并提供2000路Ipsec VPN接入授权,提供功能配置界面截图； 为方便vpn内部流量的限速，保证关键流量在vpn通道的使用，要求支持可视化vpn功能，vpn建立完成后能够自动生成拓扑图，可以查看vpn流量使用情况并对其进行限速。支持NAT日志、流日志、URL等日志记录，【售后服务】：提供5年URL规则库、应用识别特征库升级授权；要求和核心交换机同一品牌。【资质】：（1）公安部销售许可证（2）、工信部进网许可证（3）、国家信息安全产品认证证书(ISCCC) （4）、计算机软件著作权登记证书（须注明上网行为管理功能）；（5）、投标产品符合GA/T 698-2007信息安全技术 信息过滤产品安全功能要求（基本级）中相应的条款所述的有关要求，提供公安部信息过滤产品安全功能测试报告；1台H3C、锐捷、华为及同档次品牌；5防火墙1. 设备配置千兆电口10个，千兆SFP光口数量8个；为保证产品易用性，确保设备日志信息和版本信息快速备份及无障碍恢复，所投产品须配置软件实际支持、可正常使用的USB2.0接口1个。2. 设备最大吞吐量（1518字节大包）16Gbps，最大并发连接数600万，每秒新建连接数200000，IPS吞吐量2.8Gbps，IPSEC VPN吞吐量14Gbps，IPSEC VPN隧道数3000，SSL VPN并发用户数3000，SSL VPN吞吐量350Mbps；3. 本次实际配置不低于2000个IPsec VPN隧道数授权、2000个SSL VPN并发用户授权。4. 设备支持基于源IP、权重、溢出等方式的多链路出口负载均衡，能够提供产品界面截图。5. 设备能够配置虚拟防火墙数量10个，后续可扩展到200个以上；要求每个虚拟防火墙能够独立管理，为保障不同业务不同安全策略，每个虚拟防火墙能进行路由表、策略、VPN等设置，并且支持不同虚拟防火墙之间数据路由和透明转发模式。6. 设备支持PPTP、L2TP、IPSec、SSL VPN功能，并且支持手机、平板电脑等移动终端VPN接入。7. 配置上网行为管理功能，可识别的应用程序列表数量2500种，提供产品界面截图，并加盖厂商鲜章；支持URL和网页内容过滤，可对网页搜索、论坛发贴等进行关键字过滤，并且能够对网络视频、P2P下载、炒股软件、网络游戏等进行限制。8. 配置IPS入侵防御功能，可自定义攻击特征库，攻击特征库可在线更新，支持对特定文件类型阻断，入侵检测特征库6000种，提供产品界面截图，并加盖厂商鲜章。9. 支持虚拟服务器和真实服务器的负载均衡，支持轮询、加权、最早存活、HTTP host等负载均衡方式，提供产品界面截图。10. 支持Web Cache以及对常见协议CIFS/FTP/MAPI/HTTP/HTTPS/TCP等加速的WAN链路加速功能，提供产品界面截图。11. 支持对用户进行信用分级，能够基于不同行为和阈值对用户信用等级进行动态调整，及时发现并阻断潜在风险用户，提供产品界面截图。12. 提供：（1）计算机信息系统安全专用产品销售许可证；（2）国家信息安全测评信息技术产品安全测评证书（EAL3级别）；（3）涉密信息系统检测证书；（4）国家信息安全产品认证证书(ISCCC)（三级）；（5）国家密码管理局商用密码产品销售许可证。1台6网管软件【功能要求】（1）要求投标产品采用纯B/S架构，用户无需安装客户端，通过标准浏览器就能完成对系统的访问。（2）能够通过模块化、组件化方式，实现对网络中的路由器、交换机、防火墙、WLAN等有线无线一体化管理。（3）具备以图形化向导的方式提供ACL ，QoS快速部署管理，提供官网查询链接和截图并加盖原厂鲜章,提供功能截图并加盖原厂鲜章。（4）自动发现网络中的二、三层网络设备，可以自动构成网络拓扑图,支持当前拓扑图导出功能（5）投标产品需要内置丰富的常见告警预定义类型，提供至少10种以上常见SYSLOG告警类型预定义清单，Trap预定义告警类型至少50种以上预定义清单，提供产品截图，加盖厂商鲜章，用户保留测试权力。（6）支持历史报表的查询。（7）支持定期收集用户设备的IP、MAC、PORT映射表，当映射表发现异常时作为事件及时通知管理员 ，提供官网查询链接和截图并加盖原厂鲜章。【配置要求】配置200个网络设备管理授权【资质要求】（1）要求投标产品符合软件产品管理办法的有关规定，提供软件产品登记证书（2）提供国家版权局软件著作权登记证1套7智能网络指挥官拓扑管理组件，可提供拓扑展示 1套8SNC 软件License，每个License可增加100个设备节点授权许可 2套9核心交换机1、模块化核心路由交换机，主控引擎插槽2个，支持主控冗余；业务插槽3个。2、性能：交换容量11T，包转发性能5200Mpps。3、整机ARP表项130K，整机MAC表项500K。4、二层功能：802.11Q 4K,QinQ、SUPER VLAN；链路聚合、端口镜像。5、三层功能：支持DHCP SERVER；支持BGP4/4+、ISISv4/v6、OSPFv2/v3、VRRPv2/v3、支持BFD与RIP/OSPF/BGP联动；支持GR for RIP/OSPF/BGP/ISIS等；支持MPLS PE。6、数据中心功能：支持 N:1虚拟化，将多台物理设备虚拟为1台逻辑设备；1：N虚拟化：可将一台物理设备虚拟化为多台逻辑设备，各虚拟交换机间具备独立的转发表项及配置界面，各虚拟交换机的配置/重启互不影响（需提供官网截图与链接）；支持OpenFlow v1.3协议，可实现核心网络向SDN平滑演进（需提供官网截图与链接）。7、扩展功能：支持40GE线卡和POE线卡，有独立POE电源槽。8、可靠性功能：设备具备6kv防雷功能，保障设备可靠性。9、配置要求：设备配置双引擎、双电源、48个千兆光口，16个千兆电口(为了保障设备稳定性，要求管理和转发分离，引擎不能挂载业务接口)。10、资质要求：工信部进网IPV4和IPV6许可证。11、与核心交换机同一品牌；提供原厂售后服务承诺函。1台1024个SFP端口（SFP为千兆/百兆口）线卡，同时提供8个复用的10/100/1000M自适应电口2台1124口接入交换机1、【形态】：配置24口10/100/1000M自适应端口，4个100/1000M SFP光口（非复用）；USB接口1；2、【性能】：交换容量256G，包转发率50Mpps；3、【功能】： 支持4K 802.1Q 、protocol VLAN、QINQ、IGMP Snooping v1/v2/v3、堆叠、端口镜像；4、【ACL&QoS】：支持MAC扩展ACL、专家级ACL （可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、协议类型、时间等灵活组合）等；配置支持基于源/目的IPv6地址、源/目的端口的IPv6 ACL ；支持IPV6+MAC绑定；5、【认证计费】：支持802.1x和WEB认证/计费功能，且交换机端口802.1x和WEB认证可以同时开启，不会相互冲突制约（提供上述认证功能国家级权威机构测试报告）；6、【安全功能】：支持限制非法报文对CPU的攻击，保护交换机稳定工作；能禁止非法ARP欺骗，防止合法用户的数据被窃取；支持ARP网关欺骗防御功能，能够防止非法用户针对网关的欺骗；支持DHCP抗攻击、ICMP抗攻击、防IP扫描攻击、DoS Protection抗攻击等防御功能；支持防源IP地址欺骗功能（提供上述安全功能国家级权威机构测试报告）；7、【节能】：符合国家低碳环保等政策要求，支持802.3az高效节能以太网络（EEE）技术；8、【资质】：工信部进网许可证。【售后服务】要求和核心交换机同一品牌；要求提供原厂售后服务承诺函。13台1248口接入交换机1、【形态】：配置24口10/100/1000M自适应端口，4个100/1000M SFP光口（非复用）；USB接口1；2、【性能】：交换容量256G，包转发率50Mpps；3、【功能】： 支持4K 802.1Q 、protocol VLAN、QINQ、IGMP Snooping v1/v2/v3、堆叠、端口镜像；4、【ACL&QoS】：支持MAC扩展ACL、专家级ACL （可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、协议类型、时间等灵活组合）等；配置支持基于源/目的IPv6地址、源/目的端口的IPv6 ACL ；支持IPV6+MAC绑定；5、【认证计费】：支持802.1x和WEB认证/计费功能，且交换机端口802.1x和WEB认证可以同时开启，不会相互冲突制约（提供上述认证功能国家级权威机构测试报告）；6、【安全功能】：支持限制非法报文对CPU的攻击，保护交换机稳定工作；能禁止非法ARP欺骗，防止合法用户的数据被窃取；支持ARP网关欺骗防御功能，能够防止非法用户针对网关的欺骗；支持DHCP抗攻击、ICMP抗攻击、防IP扫描攻击、DoS Protection抗攻击等防御功能；支持防源IP地址欺骗功能（提供上述安全功能国家级权威机构测试报告）；7、【节能】：符合国家低碳环保等政策要求，支持802.3az高效节能以太网络（EEE）技术；8、【资质】：工信部进网许可证。【售后服务】要求和核心交换机同一品牌；要求提供原厂售后服务承诺函。12台13光模块1000BASE-LX mini GBIC转换模块（1310nm）48个14无线控制器【形态】（1）配置千兆电口数8；配置千兆光口数2个；【性能】（1）配置可管理AP数32个，最大可支持管理200个AP ；（2）802.11转发性能8Gbps ；（3）单台设备最大可配置AP数目256 ；（4）单台设备最大支持的在线无线用户数目6K，提供官网链接及截图并加盖原厂公章；【功能】（1）要求设备可配置AP的本地数据转发技术模式；（2）支持本地认证功能，无需通过外置Protal服务器和Radius服务器认证;(3)支持根据用户需求定制化设计认证页面及用户自定义设计;(4)支持对非法无线接入点进行探测，并对非法AP进行屏蔽;(5)支持手机短信获取WLAN接入密码实现安全认证;(6)支持访客通过二维码授权的方式接入无线网络 ,保留测试权利;(7)支持实时频谱防护,可视化射频干扰源对无线局域网的性能的影响;【售后服务】要求和核心交换机同一品牌；要求提供原厂售后服务承诺函。1台15室内无线AP【形态】(1)支持标准的802.11n协议,采用双路双频设计，可同时工作在