| 采购文件要求 | 实质性要求及重要指标用★标注,★标注项不得负偏离,如果负偏离,则投标文件无效。 |
| (一)、政务外网专线线路服务需求 | ★1、本次建设项目全面覆盖皇姑区全域,总计300个点位,其中260个点位带宽50M,38个点位带宽100M,2个点位带宽300M,旨在实现皇姑区网络建设的无死角覆盖与长远布局。在建设过程中严格依照布线规范进行作业,确保线路稳定可靠,同时由于业务发展需要,社区点位存在变更的可能性。若发生此类情况,提供免费迁移服务,确保业务不受影响。★2、互联网出口与政务外网出口带宽进行合理配置。其中,互联网出口配备8G带宽,能充分满足区内海量数据传输需求,政务外网出口(市至区线路)设定为 100M带宽,保障政务信息在市区间安全、高效地交互。★3、针对皇姑区委、区政府、营商局政务服务大厅承载着核心服务职能的重点服务点位,采用先进的双链路保障机制。双链路由两条独立的网络链路构成,当其中一条链路遭遇突发故障,如线路损坏、网络拥塞等情况时,系统能在毫秒级时间内自动切换至另一条链路,确保业务不受丝毫影响,以此确保网络的高可用性与稳定性,为相关用户提供不间断的政务服务支持。★4、提供管理平台后台接入宽带500M,以及区委一楼机房至政府A座一楼机房,政府A座一楼机房至应急局,市政务网机房至政府A座一楼机房,政府A座一楼至运营商机房,政府A座一楼至运营商机房双路由的5条裸光纤。 |
| (二)、网络设备与安全设备服务需求 | ★部署总体要求:网络设备与安全设备建设,通过合理选用网络安全设备,构建分层且冗余的网络架构,实现高效数据传输与广泛覆盖;同时包含防火墙等安全设备搭建,以此阻挡外部攻击、监测入侵行为、保障远程连接安全并防范病毒传播,整体打造安全、稳定且高效的网络环境。全部网络设备及安全设备部署于运营商IDC中,由运营商提供设备存放机位。 |
| 2.1安全管理中心2.1.1网络准入系统:通过旁挂方式,基于身份验证、设备安全检测、访问权限控制等机制,确保只有合规终端设备(如完成系统补丁更新、安装杀毒软件的设备)和授权用户能接入网络,并可根据角色划分访问范围(如限制访客仅能访问基础网络资源),同时具备实时监控网络行为、主动隔离风险设备等功能的网络安全管理系统。对于终端智能识别接入功能进行定制化开发。用户通过Portal方式进行认证。分时分域控制,在用户终端访问互联网时,不允许访问电子政务外网;用户终端一旦访问市级电子政务外网,智能判定并调用用户认证,通过认证之后,方可正常连通电子政务外网,同时拒绝用户终端继续访问互联网。★1)机架式设备,满足自主可控要求,关键芯片国产,配置≥2颗国产x86架构处理器;★2)配置≥1TB硬盘;★3)端口:≥4个千兆电口、≥2个万兆光口(实配2个万兆多模光模块);4)支持提供802.1X、Portal、透明网关、策略路由和虚拟网关等准入模式;5)支持用户名/密码、短信等认证方式,能在复杂网络环境中实现混合准入模式应用,以达到对终端接入网络的认证、检查、管控等效果,使得违规终端不能接入内部网络,实现终端接入合规可信;★6)配置智能识别接入功能并发≥5000个用户;终端智能识别接入功能(定制):用户通过Portal方式进行认证。分时分域控制,在用户终端访问互联网时,不允许访问电子政务外网;7)用户终端一旦访问市级电子政务外网,智能判定并调用用户认证,通过认证之后,方可正常连通电子政务外网,同时拒绝用户终端继续访问互联网。 |
| 2.1.2态势感知系统:通过旁挂方式,对网络环境中各类数据(如流量日志、设备状态、攻击行为、漏洞信息等)进行实时采集、分析和关联,以全面感知网络安全态势的智能系统★1)满足自主可控要求,关键芯片国产;★2)端口:≥6个千兆电口,≥2个万兆光口;★3)存储:≥32TB;★4)数据采集器性能≥20000条/秒;5)基于大数据架构,联合探针设备,运用主被动采集方式,实现多源异构的安全数据采集;通过检索、调查、场景、关联多类分析手段,实现海量安全数据深度分析;对日志、漏洞、性能进行实时监测及告警,并基于工单及安全响应编排预案,实现协同化、高效化的安全处置;采用主被动识别方式,发现和维护被管理网络的资产信息,建立资产关系拓扑;实现多类安全设备集中配置,快速联动;提供全面威胁情报库,对接外部威胁情报数据;从资产、漏洞、攻击、威胁、监测、处置等多个维度进行全面的态势分析展示。包含态势分析、安全监测、安全处置、资产管理、知识情报等功能模块。 |
| 2.1.3入侵检测系统:通过旁挂方式,通过对网络或系统中的数据流量、用户行为等进行监测和分析,检测是否存在入侵行为或异常活动。当发现潜在的安全威胁时,IDS 会及时发出警报,以便安全人员采取相应的措施。★1)满足自主可控要求,关键芯片国产;★2)整机吞吐率:≥6.5Gbps;★3)最大并发连接数:≥200万;★4)IDS吞吐率:≥3.2Gbps;★5)端口:不少于6个千兆电口,4个千兆光口,2个SFP+插槽(含2个万兆多模光口SFP+模块);★6)含3年攻击检测规则库、3年应用识别库、3年地理信息库升级许可、3年僵尸主机规则库升级许可;7)具有完整的IPv4/IPv6协议栈、多路检测能力,通过检测流经的网络流量,精准发现网络中漏洞利用攻击、DDoS攻击、恶意程序、恶意URL访问等威胁,同时对应用访问监控、对网络流量深入内容层审计。 |
| 2.1.4日志收集与分析系统:通过旁挂方式,负责收集来自各种设备、系统和应用程序的日志信息,并对这些日志进行分析和处理。通过对日志的分析,可以发现系统中的安全事件、异常行为、性能问题等,为安全管理和运维决策提供依据。★1)日志采集处理速度:不低于5000EPS;★2)含不少于50个日志源授权;★3)端口:不少于6个千兆电口,4个千兆光口(含光模块);★4)日志存储:≥4TB;★5)满足自主可控要求,关键芯片国产;6)系统可以从海量日志采集、海量数据处理、海量数据存储、统计分析再到数据的备份与恢复等涵盖海量日志数据的全生命周期的统一管理,帮助用户提高日志管理能力,满足《网络安全法》日志留存的相关要求,管理员登录及配置修改等造作日志保留1年。 |
| 2.1.5堡垒机:通过旁挂方式,用于集中管理和控制对网络设备等IT资产访问的安全系统,通过统一身份认证、细粒度权限分配、操作行为审计和会话监控,实现对运维人员访问核心资源的合规管控,防止未授权访问、权限滥用和数据泄露。★1)硬件指标:国产芯片、双电源,配置≥4个千兆电口,≥4个千兆光口(含光模块),≥4T硬盘,≥16G内存;★2)性能指标:≥500路字符会话并发,≥100路图形协议会话并发;★3)授权服务:提供不少于300个被管资源数授权,提供不少于3年免费硬件保修服务;4)支持常用的运维协议:SSH、TELNET、RDP、VNC、FTP、SFTP、rlogin、X11,可通过应用发布的方式进行协议扩展,如数据库Oracle、MSSQL、MySQL、VMware vSphere Client、浏览器等客户端工具;5)支持标准化对接CAS;6)客户端支持资产分组、资产连通性检测,批量运维、资产运维审批、命令审批、二次运维审批等能力;7)系统应支持定期自动修改 windows 服务器、网络设备、linux/unix 等目标设备密码功能。 |
| 2.1.6安全区接入交换机:通过直连方式,用于将不同的安全区域内的设备接入网络,在安全区域边界提供网络连接,同时可结合访问控制策略,限制不同区域间的非法访问。★1)三层交换机,满足自主可控要求,关键芯片国产;★2)交换容量≥2.4Tbps;★3)包转发率≥660Mpps;★4)端口:≥28个10/100/1000Base-T端口,≥4个SFP Combo口,,≥8个1G/10GBase-X SFP Plus端口(配置6个万兆光模块,1条万兆堆叠线缆);5)支持IPv4静态路由、RIP、OSPF、ISIS、BGP、支持IPv6静态路由、RIPng、OSPFv3、ISISv6、BGP4+。 |
| 2.2互联网接入区、政务外网上联区防火墙系统:通过直连方式,位于内部网络与外部网络之间的安全防护设备,根据预设的安全策略,对进出网络的数据包进行过滤和控制,阻止未经授权的访问和恶意流量进入内部网络,同时允许合法的流量通过。★2.2.1满足自主可控要求,关键芯片国产;★2.2.2端口:不少于6个千兆电口,4个千兆光口,2个SFP+插槽(含2个万兆多模光口SFP+模块);★2.2.3防火墙吞吐:≥25G;★2.2.4并发连接:≥650万;2.2.5产品功能:含基本网络防火墙功能、访问控制功能、攻击防护、Web防护、IPS、防病毒、用户认证功能、链路负载均衡功能、流量控制、资产识别、业务流量转发、黑名单配等功能。 |
| 2.3核心交换层2.3.1承载网核心交换机:通过直连方式,作为网络的核心枢纽设备,承载网核心交换机主要负责高速、可靠地转发网络中的数据流量,连接不同的网络区域,实现大规模网络间的通信和数据交互。★1)框式核心交换机,满足自主可控要求,关键芯片国产;★2)交换容量:≥1000Tbps;★3)包转发率:≥300000Mpps;★4)配置双主控板(支持1+1冗余);5)端口配置:≥24个千兆以太网电接口;≥12个万兆以太网光接口(含配套光模块);运营商可根据实际需要增减端口配置,满足实际组网需求;6)支持 IPv4 和 IPv6 双协议栈;7)支持 IPv6 静态路由、RIPng、OSPFv3、IS-ISv6、BGP4+。 |
| 2.3.2带外管理交换机:通过直连方式,独立于数据传输网络之外,专门用于对网络设备(如交换机等)进行管理和配置的交换机。通过带外管理,网络管理员可以在网络出现故障时仍能对设备进行远程管理。★1)三层交换机,满足自主可控要求,关键芯片国产;★2)交换容量≥432Gbps;★3)包转发率≥126Mpps;★4)端口:≥8个10/100/1000BASE-T电口,≥2个1G/2.5G BASE-XSFP端口,≥2个1G/10G BASE-X SFP Plus端口;(配置2个千兆光模块,2个万兆光模块);5)支持IPv4静态路由、RIP、OSPF,支持IPv6静态路由、RIPng、OSPFv3。 |
| 2.3.3态势感知探针:通过旁挂方式,部署在网络关键节点,用于实时监测网络流量、设备状态和安全事件,为态势感知系统提供底层数据支撑。1)为态势感知系统提供全网流量分析能力,集合了攻击检测、僵木蠕检测、DDoS检测、恶意程序检测、APT检测、WEB安全检测、虚拟沙箱、元数据提取、流量分析等功能;★2)含3年打包升级许可,包含攻击检测规则库、应用识别库、地理信息库、僵尸主机规则库、威胁情报库、URL分类库;★3)综合威胁检测能力:≥1Gbps。 |
| 2.3.4上网行为管理:通过旁挂方式,通过技术手段对网络用户的网页访问、应用使用、文件传输等活动进行实时监控、审计、控制与管理的系统,旨在通过URL分类过滤、应用流量管控、行为日志留存等功能,限制与工作无关或高风险网络行为,阻断敏感数据外发风险,同时通过流量优先级分配保障关键业务网络通畅,并生成合规审计报表,助力企业规范员工行为、提升工作效率、保障数据安全,满足等保、行业监管等合规要求。★1)满足自主可控要求,关键芯片国产;★2)网络层吞吐量:≥40G;★3)支持用户数:≥50000;★4)每秒新建连接数:≥80000;★5)最大并发连接数:≥3200000;★6)日志存储:≥2TB;★7)接口:不少于2个千兆电口,4个千兆光口SFP,2个万兆光口SFP+(含配套光模块);8)具备用户认证与管理、应用识别与控制、流量管控、行为审计与管控、业务可视等功能,提供行为日志大数据分析能力,有效识别行为风险;★9)含3年的系统版本、URL库及应用特征库升级许可。 |
| (三)、网络安全服务需求 | ★3.1渗透测试服务渗透测试服务依托专业渗透测试人员,定期运用模拟黑客攻击的方式开展渗透攻击,对目标系统进行全方位探测,精准识别系统潜藏的各类安全隐患,并基于丰富经验与专业知识,定制切实可行的解决措施,助力系统安全防线。 |
| ★3.2漏洞扫描服务定期提供设备对皇姑区政务外网内的操作系统、中间件、应用系统、安全设备和网络设备等IT资源进行安全漏洞扫描,指定资产范围进行漏洞专扫,自定义资产范围及自定义漏洞POC进行漏洞专扫扫描,对存在APT组织使用过的漏洞进行识别并标记。并形成漏洞扫描报告。 |
| ★3.3漏洞验证服务为保障系统安全稳定,对来自有关部门WEB扫描、公安通报中心、国家互联网应急中心、测评中心、补天平台等漏洞机构公告的漏洞内容进行准确核实与处理。通过人工验证,确保漏洞真实存在且了解其影响范围,以便后续采取有效的修复措施。 |
| ★3.4网络安全应急服务根据事件类别和级别,通过远程和现场支持的形式协助对遇到的突发性安全事件进行紧急分析和处理。主要工作内容包括:突发事件相关信息的收集、事件的分析、报告提交、问题解决建议等。紧急事件主要包括:病毒和蠕虫事件、黑客入侵事件、误操作或设备故障事件等。出具《应急响应报告》。 |
| ★3.5特殊时期重点防护服务对指定的重点系统进行重要时期特殊运维防护,在重要保障时期提供网络入侵防护,DDoS防护(应对网络层拒绝服务攻击),CC防护(应对应用层拒绝服务攻击),云WAF等云防护。 |
| ★3.6网络安全监控防护服务监测互联网出口流量,定期更新防护策略和情报库,并对正向攻击类情报的威胁监测与阻断、受控外联类情报的外联检测与阻断、弱口令登录检测与阻断,对最近三个月的攻击轨迹溯源,包含历史攻击单位、攻击类型、被攻击单位所属行业等属性。 |
| ★3.7主机安全防护服务对服务范围内的服务器、虚拟机等提供主机安全防护服务。针对操作系统核心资源,如注册表、网络连接、系统文件、进程等资源进行有效防护,对服务器上的特定文件进行监控和防护。锁定对特定文件的写入,监测模式可在对特定文件写入时发出报警,配置防护/监测需要的文件类型,对特殊路径和进程的加入白名单,保证控制策略的可用性。对未知webshell识别及自动隔离。实时应用程序自我保护(RASP)技术,实时监测并拦截漏洞攻击。能够在运行时结合上下文采取相应的保护方案。实现对应用及系统的动态监控与防御,大幅度降低误报率。 |
| ★3.8资产探测和管理服务提供网络资产动态管理和风险资产监测服务,利用网络资产识别、风险资产发现、脆弱性验证、智能分析等关键技术,建立网络资产与风险图谱,结合指纹库、POC库、网络武器特征库、违规资产行为库等核心资源,通过常态化、持续性、高实时地安全运营。 |
| ★3.9网络安全培训服务集中的网络安全政策、法规、安全技术、网络安全意识培训,网络安全外部认证培训,开展集中式的网络安全培训,涵盖多个重要板块。在政策法规培训方面,深入解读国家及行业相关的网络安全政策与法规,明晰合规要求与法律责任;安全技术培训聚焦前沿网络安全技术,如防火墙、入侵检测系统等实操讲解,提升技术应对能力;网络安全意识培训着重培养安全防范意识,通过案例分析等方式,增强日常工作中的风险识别能力。此外,通过网络安全外部认证培训,获取权威认证。 |
| ★3.10满足等保标准保障皇姑区电子政务外网符合等保2.0三级要求,每年由第三方公司提供三级等保测评报告,同时对于网络安全设备账号按照管理员账号与临时授权账号进行分权限管理。 |
| (四)、运维服务需求 | 4.1维护范围:皇姑区信息系统、视频会议系统、信息安全管理及政务网的全面维护、优化、调整服务。★4.1.1基础维护管理:设备机柜线路的检查更换、维护管理;★4.1.2设备维护管理:网络、网络安全设备系统等;★4.1.3网络资源的管理:物理拓扑、逻辑拓扑、设备登录权限等;★4.1.4信息安全管理:网络安全配置、调整、优化等;★4.1.5运维管理体系建设:完善运维规范,优化运维体系;★4.1.6资产管理:基于原有台账,通过主动上报、内部扫描、互联网暴露面梳理结果对资产进行归类,在服务过程中持续完善资产责任人等信息,并周期性稽查更新。 |
| 4.2日常运维服务★4.2.1办公网络方面:1) 局域网网络环境、网络链路状态的检查、故障处置;2) 核心层网络设备系统运行状况检查以及配合应用做配置更改;3) 汇聚层网络设备系统运行状况检查以及配合应用做配置更改;4) 接入层网络设备系统运行状况检查以及配合应用做配置更改;5) 网络安全设备系统运行状况检查以及配合应用做配置更改。 |
| ★4.2.2电子政务网络方面:1) 电子政务网网络环境、网络链路状态的检查、故障处置;2) 核心层网络设备系统运行状况检查以及配合应用做配置更改;3) 汇聚层网络设备系统运行状况检查以及配合应用做配置更改;4) 接入层网络设备系统运行状况检查以及配合应用做配置更改。 |
| ★4.2.3无线网络方面:1) 无线网络信号质量检查;2) 无线网络设备故障处置; |
| ★4.2.4视频会议方面:1) 视频会议设备管理;2) 视频会议网络环境、网络链路状态的检查;3) 视频会议技术支撑;4) 重要视频会议对视频会议各主、分会场安排专人进行会议保障。 |
| ★4.2.5信息安全方面:1) 安全设备故障处理;2) 安全配置调整;3) 安全配置管理与优化;4) 通过资产探测工具周期性进行互联网暴露面梳理,对域名信息、互联网开放资产检、敏感数据库暴露面等进行探测;5) 周期性进行漏洞扫描发现漏洞,提供修复建议并跟踪修复情况实现闭环管理;6) 通过大数据分析、体系化关联规则、威胁狩猎、威胁情报等技术协助威胁分析和处置,实现威胁闭环管理;7) 当安全事件发生时,与安全厂商配合分析判断事件因果、降低损失、提供有效的问题解决建议,协助客户对遇到的突发性安全事件进行紧急分析和处理;8) 通过安全设备在流量侧进行监测分析。 |
| ★4.2.6定期巡检服务:1) 每月对皇姑区内主要办公地点网络设备进行巡检,每季度制作巡检报告有针对性地提出预警及解决建议,并且每月应对政府机房、弱电间内电子设备进行适当清洁保养的设备维护工作。2) 每月向甲方提交汇总分析报告。 |
| ★4.2.7值守服务:提供7x24小时电话热线、远程指导服务,第一时间回复用户的问题和建议。配合用户诊断、排查故障、以及故障处置,设备更换等工作。 |
| ★4.3人员配置1) 派遣经验丰富、技能专业的驻场工作人员2名,提供5x8小时固定驻场工作。负责现场日常维护、监控与故障处理。驻场人员需接受严格岗前培训,熟悉环境与用户工作需求。2) 每周派遣网络工程师1名现场驻场办公一天,网络工程师需接受严格岗前培训,熟悉用户网络环境及网络安全风险,根据用户工作需求完成网络及网络安全的日常维护、监控和故障处理。 |
