高效能计算资源扩容与数据库安全集成服务项目需求VIP

高效能计算资源扩容与数据库安全集成服务项目需求（一）项目概况建设目标：本项目为信息技术中心超融合平台，数据安全改扩建项目，通过对超融合平台的的升级和扩建，满足目前我校信息化系统建设的实际需求。因此拟在原有超融基础上新增两个节点，增加现有虚拟化环境中的计算和存储资源，保障包括但不限于校内各对外发布的应用系统及数据、教职工及学生上网认证计费系统、虚拟化（私有云）管理维护平台等对资源的需求。同时我校最核心、最重要、最有价值，同时也是最敏感的信息存储库——数据库，很容易受到外部攻击者利用Web应用程序实施的攻击以及内部员工利用更直接的权限进行的违规操作。师生信息、财务报表以及其余各类重要数据都存在风险。因此，对于数据的安全管理和操作风险已经引起高度重视。在安全风险管理方面，随着信息化建设的不断发展促使信息价值不断提升。随着业务和IT融合不断地深入和数据共享需求的不断扩展，数据库安全面临着管理、技术和审计的多方面风险。我校原有一套数据库审计系统因时间久远设备现已无法满足正常使用需求，按等保要求需重新购置一套。另我校有一套备份一体机，购置于2021年，按需购买维保服务，服务期至2025年6月30日，维保期内提供软、硬质保服务。主要内容：1、在原有超融合平台的基础上，增加2台节点服务器，对资源池进行扩充。2、增加数据库安全溯源系统，防范数据库管理、技术和审计等多方面风险。3、备份一体机的软硬件维保。（二）总体要求1.项目中涉及的硬件设备不低于技术方案中要求的最低配置。2.项目需设一名项目经理具体负责整个项目全过程的统筹协调，项目经理需24小时保持电话畅通，且在项目过程中未经校方同意不得私自更换项目经理。3.项目实施人员需具备相关的技术能力，具体需求以招标文件为准。（三）设备清单及详细参数1超融合节点（两台）类别技术要求超融合一体机及节点授权1.单节点硬件配置（2节点）(1)品牌要求 国产服务器品牌。(2)机型 2U机架式服务器。(3)处理器：配置≥2颗IntelXeonIcelake5318YCPU，最高功耗为270W，同时在原有超融合集群上扩容授权，延用原超融合管理平台。配置4个CPU的虚拟化和480TB的存储使用。(4) 内存：支持≥32个内存插槽，最大可支持4TB内存容量，支持内存ECC保护、内存镜像、内存热备，最大可支持16根英特尔®傲腾™数据中心级持久内存（DCPMM）。配置≥16根32GBDDR43200MHzECCRDIMM内存。(5)硬盘：前置支持≥12个3.5寸或24个2.5寸热插拔硬盘，可支持SAS/SATA/NVMeSSD混插。内置2个SATA接口M.2。后置支持≥4个2.5寸硬盘，可支持SAS/SATA/NVMeSSD混插。后置支持≥4个3.5寸热插拔硬盘，可支持SAS/SATA硬盘、SSD混插最大可兼容26个U.2NVMeSSD。本次配置：系统盘：480GSATARSSD≥2块。缓存盘：960GNVMeSSD≥2块。数据盘：4THDD≥12块。(6)M.2接口：支持主板板载2个M.2接口。支持2个M.2组RAID1且支持热插拔。(7)硬盘控制器：配置硬盘控制器缓存≥2G，支持RAID0/1/5/6/10/50/60。(8)扩展插槽：最大支持10个PCIe插槽，支持直插主板的riser方式扩展8个全高PCIe4.0标准卡。(9) 组合扩展性：支持后置8个PCIe卡且同时支持后置2个2.5寸硬盘作为系统盘。(10)电源：配置热插拔铂金标准CRPS电源，单个电源功率800W支持1+1冗余。(11)风扇：支持4个8038风扇，支持N+1冗余。(12)网络：配置≥1个双口千兆网卡，≥2个双口万兆网卡（含模块）。(13)管理：集成系统管理芯片，提供iKVM和KVMOverIP高级管理功能，本地固件更新、错误日志，提供系统状况的可视显示。配置独立的远程管理控制端口，支持远程监控图形界面、支持H5虚拟键盘、支持VNC功能，可实现与操作系统无关的远程对服务器的完全控制，包括远程的开机、关机、重启、虚拟设备挂载等操作。可实现监控服务器内部主要部件的状态，包括CPU、内存、硬盘、风扇、电源。支持带外获取OS版本、OS下CPU内存使用率、网口状态、系统磁盘分区等，支持RAID卡配置带外导入导出。（14）配置物理服务器的裸金属管理功能。支持纳管VMware、KVM等第三方虚拟化平台，配置虚拟机的在线迁移许可。支持ARM和X86两种CPU架构体系，同一管理平台下可同时管理。支持虚拟化平台一键无缝升级，同时支持跨大版本升级，单集群支持管理物理主机个数≥1000台。实施部署要求初始安装要求：由原厂商工程师提供安装实施服务，并提供原厂商工程师现场维护服务。投标人根据采购人实际需求，实施原有虚拟化环境的数据迁移、纳管和集成等工作：完成原有虚拟化环境的设备调整、虚拟化迁移、数据备份以及涉及业务系统重新部署、迁移和优化。2数据库安全溯源系统一台产品类别产品参数备注国产化数据库安全溯源系统一、硬件及性能参数高度2U，千兆光口≥4个，千兆电口≥8个，USB接口≥2个，Console口≥1个，扩展槽≥2个。硬盘≥2T。内存≥16G。SQL处理能力≥20000条/秒，入库量≥10000条/秒。采用国产化CPU。二、软件功能特性数据库兼容性：支持Oracle、SQLserver、DB2、MySQL、Cache、Sybase、Informix、Teradata、PostgreSQL、Hive、MongoDB、HANA、HBASE、ES、CacheWeb、Solr、HDFS、Redis、EsgynDB、Tibero、SSDB等国际主流数据库。支持DM7、神通、人大金仓、南大通用、湖南上容、浪潮KDB、HWMPP、翰高等国产数据库。系统兼容性：能够与VMware、Hyper-V、OpenStack、CloudStack、KVM、Fusion等云平台管理系统或第三方的云管理平台进行无缝集成。服务发现:支持扫描网络中的开放的服务，自动发现网络中存在的数据库系统，能够能够对这些数据库系统进行安全审计。数据发现：支持自动发现敏感数据如身份证号、银行账号等信息，便于进行用户权限控制，支持将扫描到的敏感表信息进行导出。SQL注入特征库：内置SQL注入特征规则库，特征库存储常见的SQL注入行为特征规则，支持特征规则自定义配置，支持策略修正配置。危险操作规则配置：内置危险操作规则库配置，包括账户管理操作（Createuser、Alteruser、dropuser等），授权管理操作，业务对象操作（Truncattable，droptable），业务代码操作（修改Package，删除view，没有where条件的update操作，没有条件的delete操作）等，支持自定义配置，支持策略修正配置。策略自学习：支持自学习功能，能够基于自学习机制的模型策略，审计未授权的客户端ip地址，未授权的表操作访问、未授权的数据库用户、未授权的特权操作等。审计粒度：支持SQL命令的细粒度审计和分析，并记录详细的用户行为信息，包括该语句执行的时间、机器名、用户名、IP地址、MAC地址、客户端程序名以及SQL语句等信息，对数据库操作进行审计，可对查询，新增，修改，删除等行为进行监控。敏感日志模糊化：支持将审计日志的敏感字段进行模糊化处理，防止敏感数据泄露。超长语句解析：支持跨包的SQL语句进行拼接功能，能够完整解析与审计超长SQL语句（超过1460字节），屏蔽逃逸审计通道。入侵检测：支持对网络中存在的SQL注入、缓冲区溢出、权限提升等漏洞攻击行为进行审计和告警。审计告警：根据客户端IP、客户端操作系统主机名、客户端操作系统用户、客户端MAC、客户端工具，sql语句等精细组合对数据库敏感行为预设警报策略，并能够为特定的审计需求自定义审计规则。状态监控：支持查看数据库系统的监视器信息、软件版本信息、补丁信息、表空间情况、会话信息、回退信息、权限等信息来判断数据库系统运行是否正常，保证数据库系统的可用性和响应能力。口令风险扫描：支持检测数据库账户是否存在弱口令，提供口令格式校验，口令有效期检测，口令修改间隔时间检测，口令攻击检测等功能。授权风险扫描：支持扫描以下风险：数据库链接信息的访问权限，默认的系统表空间，public对象权限设置，public系统权限设置，被授予管理员权限的角色，connect角色授权，resource角色授权等。系统风险扫描：支持扫描以下系统风险：数据库表级访问的安全性设置，SGA共享池分配私有空间的限制，每次调用读入的数据块数目的限制，一次会话读入的数据块总数的限制，是否启用资源限制等数据库系统配置等。日志归档：支持按时间范围进行数据备份，支持自动与手动两种备份归档方式。日志备份：支持通过FTP\SFTP将日志及系统备份和报表备份数据外发到其他存储设备。日志查询：支持还备份的数据，还原之后数据可在系统中查询。HA功能：HA双机主备自动切换，策略同步、日志同步机制。链路聚合：可通过图形化界面配置链路捆绑，无需登录系统后台。部署方式：旁路部署模式，Agent探针部署。安全评分：支持针对单个数据库进行安全状况分析，以分值的形式动态展现数据库当前状态。WEB管理：支持基于WEB方式的远程管理方式，采用HTTPS进行安全加密的配置管理。三权分立：提供管理员权限设置和分权管理，提供三权分立功能，系统可以对使用人员的操作进行审计记录，可以由审计员进行查询，具有自身安全审计功能。多用户：支持多用户管理模式，可以指定新的安全账号管理指定的数据库。3.TAP交换机一台硬件参数整机吞吐量≥100Gbps。接口具备万兆光口≥24个，千兆电口≥2个。工作模式旁路模式支持旁路监听分析模式。应用协议识别识别数量支持常用协议总量大于1200种。

1、支持对2～7层流量的识别能力，特别是针对第7层的应用识别能力，能够识别主要应用协议，并逐级细分P2P下载、网络视频、网络电话、游戏、HTTP协议的子类别和具体客户端名称，比如HTP协议---Web视频---土豆、网络游戏---移动游戏等。

2、支持国内各类常见协议>=1000种，其中大型游戏>=300种，移动APP应用>=30种（将持续新增至>=200种移动APP应用），现网协议识别率>=95%。协议识别支持DPI、DFI、节点跟踪、主动探测、加密分析等多种技术。

1、对已经采用加密技术的P2P类应用比如BT、迅雷、Skype、eDonkey、Qvod、PPFilm、百度影音等精确识别。

2、可以区分迅雷、网际快车等下载工具的HTTP下载和IE浏览器下载。

3、支持“迅雷增强识别”，大幅度改进对迅雷加密流量识别。

4、支持“P2P智能识别”，大幅度改进P2P加密协议识别。

5、协议精细分类且必须包含：移动浏览器（如iPhone手机上网）、应用商店（如安卓市场、手机报等）、云服务、网络支付（招商银行、兴业银行等）、移动游戏（手机游戏、iPad游戏）。虚拟身份识别支持虚拟身份的识别，如QQ号码、MSN帐号、POP3帐号、新浪微博、百度贴吧等。特征库更新支持在线状态下的特征库的更新升级。识别准确率现网识别准确率在95%以上。业务识别率现网业务识别率在95%以上。自定义协议支持自定义协议、自定义协议组。分流管理流量复制转发支持基于策略的流量复制转发，策略条目数不低于65535。支持基于端口输入\输出双向的流量复制。支持基于IP五元组、VLAN的流量复制。支持基于应用协议的流量复制。支持基于协议群组的流量复制。支持基于域名的流量复制。支持基于时间的流量复制策略调度。支持基于指定输出接口转发。支持对多个策略组进行调度，多个策略组可以同时生效。支持两级策略匹配，先匹配策略组，后匹配策略，实现策略的高度灵活性、高效率，方便维护。支持多条策略的一键“启用”、“禁用”和“删除”功能。负载均衡支持全局同源同宿负载均衡。支持端口健康状态监测，实时检测后端监控分析系统的健康状态，当设备宕机，立即停止数据转发，进行负载均衡组内的数据负载均衡转发。支持负载均衡输出到指定的单个或多个输出端口组，端口组支持输出流量权重配比。报文剥离支持内/外层VLAN、MPLS、GRE、VXLAN、PPPoE报文的识别和外层头部去封装。流量监控统计实时流量分析支持实时显示设备接入的流量信息（上行，下行，连接数）。支持实时显示每个接口的流量信息（上行，下行，连接数）。支持实时显示某个应用下的Top用户。支持实时显示当前所有在线IP用户数。支持按组织架构方式展示IP用户信息。支持实时显示当前所有连接数信息。支持实时显示IP用户画像信息（按IP进行用户画像，关联MAC、移动终端、流量大小、连接数、应用协议、连接信息、对端服务信息、虚拟身份等信息进行关联）。支持实时显示应用协议画像信息（按协议进行协议画像，关联协议访问的流量趋势，访问IP用户，连接排名，流量大小，连接数节点信息等进行关联分析和展示）。支持实时显示接入流量的TOPIP信息。支持实时显示接入流量的TOP应用协议信息。支持实时显示接入流量的TOP连接信息。支持实时显示每一个IP流量速率和当前各个应用的速率明细。流量统计分析支持提供整个系统、各链路的流量和连接数统计图表。支持提供最近10分钟流量、累计流量、并发连接数统计图表。支持实时显示各协议组的当前速率、连接数等统计信息，自动刷新。支持显示最近一天、最近一周和最近一月的流量趋势图表。支持显示上行流量、下行流量、并发连接数的“三日对比”趋势图。支持TOP应用排序。支持TOP用户排序。支持实时显示每一个IP流量速率和当前各个应用的速率明细（如同时在线60万IP用户）。支持实时显示某个IP的当前速率及连接明细，以便于异常流量诊断。支持对IP对应的身份信息，如QQ号码、MSN帐号、POP3帐号、微博帐号等。支持基于应用速率、流量和连接数等条件进行排序。可提供在线并发连接、连接新建和删除速率等数据的趋势图表。可提供在线IP数和共享用户趋势图表。可选择两个或多个应用协议进行趋势图分析对比。可提供“应用分流”前后的速率对比。支持“移动终端”信息统计，包含手机类型、访问IP和时间等。支持TOP连接排序，可以指定应用和IP条件进行IP（内网IP和外网IP均可）连接数排名统计，以快速定位攻击或被攻击IP。支持通过趋势图方式显示网络数据包PPS（PacketPerSecond）的趋势。支持通过趋势图方式显示TCPSYN数据包和SYN+ACK数据包的PPS（PacketPerSecond）的趋势。增加显示流量所匹配具体的某条策