财政一体化管理信息系统专网改造-黟(共6页).doc

精选优质文档-倾情为你奉上附件七 财政一体化管理信息系统专网改造项目一、货物一览表：序号名称数量采购单位采购预算1Vpn网关及配套设备VPN安全网关1黟县财政局18万元VPN隧道许可200密钥存储器200核心交换机2接入交换机5KVM1PDU32业务维护及服务业务维护13系统集成系统集成1二、详细技术参数：序号项目名称参数要求数量1VPN安全网关保证产品接入RJ45或光纤链路，所投标产品网络接口需要满足：固化千兆电接口数5个，固化千兆光接口数4个，内存2G， CF卡2G， USB口1。设备双向吞吐性能740Mbps，单向AES加密速率230Mbps。SSL VPN并发隧道数400，IPSec VPN并发隧道数3000，L2TP VPN并发隧道数416，其中所配置SSL VPN、IPSec VPN授权可共用。最大新建会话数50000，最大并发连接数。本次配置200条VPN隧道许可、200个密钥存储器。支持对基于TCP、UDP、ICMP的所有B/S、C/S应用系统的支持，例如视频、语音、Ping等服务；可针对Flash、Java、Applet、视频等对象进行修正，无需安装插件访问B/S应用；并提供该功能配置界面截图。支持终端与浏览器的广泛可用，终端使用包括Win8、Win7、Win XP、Mac、Linux等主流操作系统来登录SSL VPN系统，并完整支持该操作系统下的各种IP层以上的B/S和C/S应用； 可提供VPN设备针对主流操作系统的Windows、Andriod、iOS的SDK（第三方软件开发包）以及API接口；为满足国家保密性要求，产品需支持SM2、SM3、SM4等国密局保算法，并提供功能配置截图；可支持虚拟门户功能，在一台设备上配置多个域名或者IP地址，配置不同的使用界面，提供给用户独立的使用体验，并提供功能配置截图；支持登录用户在资源页面上直接点击资源列表来启动本机的C/S应用系统客户端，减少业务操作，并提供功能配置截图；支持单点登录功能（SSO）,支持移动用户登录VPN后再登录内部B/S、C/S应用系统时不需要二次重复认证。支持针对B/S单点登录用户名密码加密传输，保证安全；支持智能手机等移动终端的B/S单点登录；支持针对不同的访问资源设定不同的SSO用户名和密码，支持用户自行修改SSO账号；支持认证后，直接跳转到用户资源默认服务应用页面，无需出现资源列表，并提供功能配置截图提供一定技术，防止用户误操作关闭IE浏览器导致VPN隧道断开，如：用户误操作时，将IE最小化到系统托盘或悬浮窗口，并提供功能配置截图；支持智能递推技术，针对多外链的门户网站进行动态嗅探页面内的链接并完成资源自动授权，防止资源漏访，并提供功能配置截图支持通过域服务器下发控件，可在只有user权限的机器上安装SSL控件，并提供功能配置截图支持资源导入导出，单独保存配置，并提供功能配置截图产品必须可在用户登录SSL VPN时智能判断存在中间人攻击行为，断开被攻击的连接，并可提示异常现象和记录攻击日志，并提供功能配置截图；支持用户终端登录前、登陆后的安全性检测，检测范围包括：用户接入IP、接入时间、接入线路IP、进程、文件、注册表、操作系统、使用终端，可以检测出客户端是否安装指定的防火墙或杀毒软件，并提供功能配置截图；针对同一用户/用户组可根据客户端检查结果的安全级别进行不同的资源授权，保护重要资源安全；可配置用户在接入SSL VPN的同时，断开与Internet其他连接产品应具有用户/用户组细粒度的权限分配功能：可以针对被访问资源的IP地址、端口、提供的服务、URL地址等进行权限控制；针对同一B/S资源，可对不同用户做到细致到URL级别的授权，并提供功能配置截图；支持主从认证账号绑定，必须实现SSL VPN账号与应用系统账号的唯一绑定，VPN资源中的系统只能以指定账号登陆，加强身份认证，防止登录SSL VPN后冒名登录应用系统，并提供功能配置截图；支持关键文件保护功能，可针对特定应用关键文件进行锁定，防止用户进行篡改进行越权，并提供功能配置截图；针对服务器地址保护方面，可支持SSLVPN资源列表界面上的用户授权资源隐藏；针对B/S应用，可进行URL地址伪装，防止服务器真实IP地址泄露；产品必须支持Local DB 、USB KEY、短信认证、硬件特征码、动态令牌、数字证书认证、LDAP、RADIUS、CA等认证方式；可针对用户/用户组设置认证方式的与、或组合，可进行LDAP、USB KEY、硬件特征码、短信认证或动态令牌的四因素捆绑认证，并提供功能配置截图；支持IKE证书压缩产品必须支持用户的硬件特征码认证，通过自动获取而非手动输入获取登录终端硬件信息并生产证书；不同用户必须允许拥有不同数目的硬件特征码个数； 硬件特征码审批支持自动审批及分级分权管理，并提供功能配置截图；同一RADIUS认证支持服务器多地址配置；RADIUS认证支持读取手机号码、虚拟IP；通过RADIUS认证的用户，可根据该用户字段属性自动映射到指定用户组，并享有该用户组所绑定的角色资源授权，方便进行管理；支持随机验证码短信认证，可自定义所发送短信信息格式，支持用户端短信重发功能；支持结合移动、联通、电信的短信网关进行认证；可结合短信猫自行搭建SSLVPN短信认证平台；支持webservice短信认证，并提供功能配置截图；设备内部必须支持自建CA中心，便于数字证书认证平台搭建；并支持与基于PKI体系的第三方CA进行结合认证，可根据CA某字段将通过CA认证的用户自动映射到指定用户组，方便进行权限授权配置；支持多CA环境；支持CRL证书撤销列表；支持图形校验码，验证码必须包含数字和字母组合；支持软键盘认证，每次登陆数字和密码随机变换；支持基于同用户名或同IP的防暴力破解，可设置锁定时间进行自动解锁或手动解锁防火墙规则支持配置VPN通信缺省策略，可选择直接放行或进行规则匹配支持基于用户、用户组分配不同的虚拟IP；对于用户仅启用L3VPN应用/仅启用TCP应用/仅启用Web应用，都可支持用户的虚拟IP绑定，并提供功能配置截图；支持系统实时监控，图形化显示一段时间内的运行状况，可查看CPU占用率、各条线路网络吞吐量、各条线路的IP地址及发送接收流速、并发会话数、SSL并发用户数；可查看历史最高并发用户数并显示时间记录；可实时查看SSL接入用户的用户名、发送流速、接收流速、发送流量、接收流量、接入时间、并发会话数、接入IP、虚拟IP、认证方式等信息，并可在线中断指定用户，并提供功能配置截图；支持独立日志中心进行SSLVPN实时日志记录，可详细记录用户访问资源记录（用户、主机IP、资源、时间）、管理员日志（管理员、主机IP、时间、管理行为、对象）、系统日志、告警日志；可根据用户名、主机IP等信息进行用户行为查询；支持路由模式、单臂模式下多线路部署的集群；支持集群设备间Session同步，一台设备宕机后其上用户无需重新登录SSLVPN可继续使用；可扩展分布式集群功能，无需专门的全局负载设备即可实现异地SSLVPN设备间的接入用户负载分担、速度优选接入，异地设备间互为备份，分布式集群中用户可通过唯一的一个地址访问到所有加入到分布式集群的SSLVPN设备支持硬件网关的硬件鉴权，可根据设备本身的硬件信息生成证书，分支设备接入总部根据该证书进行验证，防止非法网关的接入支持IPSecVPN组网设备进行双向访问权限控制，总部可限制分支对本地访问权限，分支可限制总部对本地访问权限，对对端设备仅开放指定服务，可细致到IP、端口支持VPN隧道内流量控制，为每个接入分支和移动用户的上下行带宽限制总部与分支有多条线路，可在线路间一一进行IPSecVPN隧道建立，并设置主隧道及备份隧道，对主隧道可进行带宽叠加、按包或会话进行流量平均分配，主隧道断开备份隧道自动启用，保证IPSecVPN连接不中断；可为每一分支单独设置不同的多线路策略；单臂部署下同样支持多线路策略支持与主流厂商标准的IPSec VPN进行对接支持设置IPSec VPN隧道权重，实现隧道备份和隧道负载均衡功能资质要求：1、提供中华人民共和国公安部颁发的有效的计算机信息系统安全专用产品销售许可证,复印件加盖公章；2、提供中国信息安全测评中心颁发的有效的国家信息安全测评信息技术产品安全测评证书（EAL3级别）复印件；3、中华人民共和国国家保密局颁发的涉密信息系统检测证书复印件；4、提供所投产品的中华人民共和国国家密码管理局颁布的有效的商用密码产品生产定点单位证书复印件；5、提供所投产品的有效的国家密码管理局商用密码产品销售许可证复印件；6、提供原厂规格参数响应表原件、3年售后服务承诺书原件，原件备查(签订合同前)。1套2核心交换机技术参数要求：1.固化千兆电接口24个，千兆SFP光接口8个，业务扩展槽数2个，USB接口1个；2.交换容量256Gbps，包转发率96Mpps；3.支持将两台物理设备虚拟化为一台逻辑设备，非堆叠模块实现，虚拟组内可以实现一致的转发表项，统一的管理，跨物理设备的链路聚合，支持16台虚拟化为1台，本次2台设备要求做虚拟化；4.为保证设备稳定运行、设备防浪涌8kv5.支持Voice VLAN，基于MAC/协议/IP子网/端口的VLAN，MAC地址自动学习和老化，静态、动态、黑洞MAC表项；支持STP/RSTP/MSTP生成树协议；6.支持ITU-TG.8032(ERPS)和CFM、且ERPS链路故障的恢复时间<15ms7.支持802.1x和WEB认证/计费功能，且交换机端口802.1x和WEB认证可以同时开启，不会相互冲突制约8.支持静态路由、RIP、RIPng、ECMP、MPLS MCE；9.支持DHCP Server、DHCP Snooping、DHCP Snooping Option82；10.管理特性：SNMPv1/v2c/v3、CLI(Telnet/Console)、RMON(1,2,3,9)、SSH、Syslog、NTP/SNTP；11. 提供原厂3年售后服务承诺书原件，原件备查(签订合同前)。2台3接入交换机技术参数要求：1.固化千兆电接口24个，独立千兆SFP光接口4个，USB接口1个；2.交换容量256Gbps，包转发率51Mpps；3.支持Voice VLAN，基于MAC/协议/IP子网/端口的VLAN，MAC地址自动学习和老化，静态、动态、黑洞MAC表项；4.支持IPv4、IPv6静态路由、RIP、RIPng等三层路由和组播功能；5.为保证设备稳定运行、设备防浪涌8kv，提供权威机构测试报告复印件证明加盖原厂公章；6.设备采用无风扇静音节能设计，同时支持IEEE 802.3az 标准的 EEE节能技术，提供官网截图和链接证明；7.支持802.1x和WEB认证/计费功能，且交换机端口802.1x和WEB认证可以同时开启，不会相互冲突制约，提供权威机构测试报告复印件证明；8.支持16台设备通过SFP接口进行堆叠，提供权威机构测试报告复印件证明；9.支持DHCP Server、DHCP Snooping、DHCP Snooping Option82；10.管理特性：SNMPv1/v2c/v3、CLI(Telnet/Console)、RMON(1,2,3,9)、SSH、Syslog、NTP/SNTP；11.考虑设备兼容性及售后服务，采用与核心交换机同一品牌。资质要求：1.提供工信部入网许可证复印件；2.提供国家强制性3C认证证书复印件；3.产品符合CQC3140-2013以太网交换机节能认证技术规范并提供节能产品认证证书复印件及权威机构测试报告复印件；4.提供原厂3年售后服务承诺书原件，原件备查(签订合同前)。5台4KVM16口混接型号设备（主控端、服务器端双混接）,16口KVM切换器（主控端、服务器端双混接），可连接PS/2或USB接口服务器,主控端可连接PS/2或USB键鼠，支持热键、按钮、OSD菜单切换，1U标准可上机架，支持级联1套5PDU竖装 1U 16A万用孔16位 带防雷 配2.5平方3米导线带16A插头3个6业务维护服务内容：1、财政一体化管理信息系统内网管理及外网200个VPN客户端含八个乡镇财政所日常维护。2、财政非税征收管理系统内网管理、外网40个VPN拨号客户端及四大银行专线接收端日常维护。3、要求接到报修后服务响应时间30分钟内，上门服务时间2小时内。1年7系统集成1、综合布线原网络机柜中内外网80个终端线，进行重新打线，整理，标记，做到美观、整洁，更换原有网络中的所有跳线（使用六类成品线）2、网络整改对原有财政专网、党政网、外网重新设计、规划与布署，实现各类业务专网专用，充分保证业务的安全性、实用性、可靠性。3、本次项目中采购的VPN安全网关所涉及到的所有用户建立完整证书管理系统，用于制作、颁发、管理给设备或者客户端软件、专用数字证书。4、安装与培训所有设备安装调试结束后，供应商必须出具机房网络结构拓普图，详细标明各设备功能描述，以便后期故障排查，对信息管理人员进行系统化培训，掌握基础知识和应急排查故障的方法。1批专心-专注-专业