(1)无线网络建设。更新广州校区30、32栋学生宿舍无线校园网,共1769个房间,每个房间1个AP;更新佛山校区1-8、10- 21栋学生宿舍无线网络,共3211个房间,每个房间1个AP;中标人需协助拆除旧无线设备和线路。 (2)校园网运营和安全配套设施建设。包括更新BRAS、网络认证 计费、多业务安全网关、行为审计系统、综合威胁探针系统、终端安全管理系统和网络机房UPS和配电改造等。 (3)5G专网建设。增加校园5G专网认证网关和管理后台。...
附件1:
一、需求清单
(一)供应商资格条件
1)供应商必须是具有独立承担民事责任能力的在中华人民共和国境内注册的法人或其他组织或自然人,投标时提交有效的营业执照(或事业法人登记证或身份证等相关证明)副本复印件。投标人须具备工信部颁发的《基础电信业务经营许可证》证书。
2)供应商必须具有良好的商业信誉和健全的财务会计制度(提供2023年度财务状况报告或基本开户行出具的资信证明)。
3)有依法缴纳税收和社会保障资金的良好记录(提供投标截止日前6个月内任意1个月依法缴纳税收和社会保障资金的相关材料。如依法免税或不需要缴纳社会保障资金的,提供相应证明材料)。
(二)项目概况
本次项目通过公开招标方式,遴选一家运营商进行信息化合作,合作期限5年,合作期间由其提供学生宿舍、公共区域所需的出口带宽和两校互联链路,同时负责配套设备投资建设。
本次信息化合作项目需运营商需投资建设的内容如下:
(1)无线网络建设。更新广州校区30、32栋学生宿舍无线校园网,共1769个房间,每个房间1个AP;更新佛山校区1-8、10-21栋学生宿舍无线网络,共3211个房间,每个房间1个AP;中标人需协助拆除旧无线设备和线路。
(2)校园网运营和安全配套设施建设。包括更新BRAS、网络认证计费、多业务安全网关、行为审计系统、综合威胁探针系统、终端安全管理系统和网络机房UPS和配电改造等。
(3)5G专网建设。增加校园5G专网认证网关和管理后台。
(4)带宽租赁。提供广州到佛山校区互联线路线路(裸纤或者链路)、学生宿舍区互联网出口带宽、公共区域互联网出口带宽、国际带宽等。
本次信息化合作,中标人按学校要求进行无线网络、校园网运营和安全配套设施、5G专网建设,合作期间,中标人所投资建设的设备管理权、使用权归采购人所有,采购人将校园网收费按分成比例支付给中标人。目前学校约有32000在校学生,最近一年网络收费为495万(统计时间点为2024年3月13日),校园网收费标准见附件一。
(三)采购包划分与合同分包
包号 |
包组名称 |
主要建设内容 |
是否进口 |
分包要求 |
包1 |
运营商信息化合作项目 |
广州、佛山校区无线网络建设,BRAS,认证计费系统,多业务安全网关,两校区互联链路,出口带宽租赁等。 |
否 |
否 |
(四)采购项目预(概)算
硬件投资额: 15,370,862.00元
(五)采购标的汇总表
包号 |
建设内容 |
序号 |
标的名称 |
品目 |
计量单位 |
数量 |
1 |
广州校区无线网络建设 |
1 |
光网络单元 |
A02010205 |
台 |
1823 |
1 |
2 |
光电混合供电单元 |
A02069900 |
台 |
126 |
|
1 |
3 |
光网络核心设备 |
A02080501 |
台 |
1 |
|
1 |
4 |
光电复合缆及组件 |
A02069900 |
项 |
1 |
|
1 |
5 |
光网络单元授权 |
A02010699 |
项 |
1 |
|
1 |
6 |
广州校区综合布线 |
B02130105 |
批 |
1 |
|
1 |
佛山校区无线网络建设 |
7 |
汇聚交换机 |
A02010202 |
台 |
21 |
1 |
8(二选一) |
以太光主机AP(1) |
A02010202 |
台 |
150 |
|
以太光主机AP(2) |
A02010202 |
台 |
75 |
|||
1 |
9 |
以太光AP |
A02010202 |
台 |
3300 |
|
1 |
10 |
无线控制器 |
A02010205 |
台 |
1 |
|
1 |
11 |
光电混合缆 |
A02069900 |
x |
264000 |
|
1 |
12 |
佛山校区综合布线 |
B02130105 |
批 |
1 |
|
1 |
校园网运营和安全配套建设 |
13 |
BRAS |
A02010202 |
台 |
2 |
|
14 |
网络计费平台 |
A02081900 |
套 |
1 |
|
|
15 |
认证计费网关 |
A02010219 |
台 |
2 |
|
1 |
16 |
无线访客认证网关 |
A02010202 |
台 |
1 |
|
1 |
17 |
DNS\DHCP一体机 |
A02010399 |
台 |
1 |
|
1 |
18 |
网络认证计费系统服务器 |
A02010104 |
批 |
1 |
|
1 |
19 |
多业务安全网关 |
A02010301 |
台 |
2 |
|
1 |
20 |
行为审计系统 |
A02010399 |
台 |
1 |
|
1 |
21 |
综合威胁探针系统 |
A02010302 |
台 |
1 |
|
1 |
22 |
网络安全服务 |
X00000000 |
年 |
2 |
|
1 |
23 |
终端安全管理系统 |
A02010309 |
台 |
1 |
|
1 |
24 |
UPS主机 |
X00000000 |
台 |
1 |
|
1 |
25 |
配电柜 |
A02010601 |
个 |
1 |
|
1 |
26 |
蓄电池 |
A02061511 |
节 |
64 |
|
1 |
27 |
供电系统集成服务 |
A02010699 |
项 |
1 |
|
1 |
28 |
精密空调 |
A02052309 |
台 |
1 |
|
1 |
29 |
消防系统集成安装 |
A02010699 |
项 |
1 |
|
1 |
30 |
动环系统集成安装 |
A02010699 |
项 |
1 |
|
1 |
5G专网建设 |
31 |
5G智能应用网关系统 |
A02010219 |
台 |
1 |
1 |
带宽资源建设 |
32 |
两校区互联链路租赁 |
C17010100 |
年 |
5 |
1 |
33 |
学生宿舍区宽带租赁 |
C17010100 |
年 |
5 |
|
1 |
34 |
公共区域带宽租赁 |
C17010100 |
年 |
5 |
|
1 |
35 |
国际带宽 |
C17010100 |
年 |
5 |
|
1 |
36 |
短信服务 |
C17010100 |
年 |
5 |
(六)技术商务要求
1.包1
1)总体要求:
a.投标人所提供的所有设备必须是未使用过的全新产品,投标时需提供主要产品(光网络单元、光电混合供电单元、光网络核心设备、汇聚交换机、以太光主机AP、以太光AP、无线控制器、BRAS、网络计费平台、认证计费网关、无线访客认证网关、DNS\DHCP一体机、网络认证计费系统服务器、多业务安全网关、行为审计系统、综合威胁探针系统、UPS主机、校园5G专网认证网关和管理后台)的厂家、具体型号和加盖投标人公章的技术及性能指标说明;投标人须确保设备及所有配套件的完整性和可靠性。
b.为保障供货渠道正规合法,投标人必须承诺设备供货时提供原厂针对本项目的供货确认函原件,未提供供货确认函原件的,采购人有权不予验收。若发现提供的产品与所投产品参数不符合的,按相关政府采购法规定处理。
c.签订合同时提供主要产品原厂服务承诺函。
d.投标人投标时须提供承诺函,承诺包含完成所有设备安装所需光纤、网线、模块以及调试等系统集成配件与服务,保证网络、平台正常稳定运行。
e.学校无线网络现状与建设总体要求。(1)学校广州校区公共区域现有无线控制器为华为AC6805,室外AP为AirEngine6760R-51, 30、32栋周围学生宿舍AP主要采用华为OptiXstar W826E,因广州校区建筑密度较大,为确保合作期内校园网无线体验,投标人需对公共区域和30、32栋学生宿舍周围校园无线网络信号进行优化,确保视频直播、微信语音顺畅;(2)广州校区、佛山校区现有无线网络统一SSID、统一认证,要求本次建设的无线网络与学校现有的RG-N18K无线认证网关无缝对接,构建大二层统一认证组网,实现与学校现有的无线系统无缝漫游,IPv6认证兼容互通。为满足实际需求,如需要进行测试、接口开发、追加设备等所产生的任何额外费用,由投标人承担。投标人投标时提供盖章确认的兼容性承诺函。
f.投标人须承诺,合作期间所投资建设的产品设备所有权清晰、无争议,产品设备的使用权、管理权归采购人所有。
2)技术要求
序号 |
标的名称 |
技术指标及性能要求 |
1 |
光网络单元 |
1. 面板式ONU,支持 86 盒安装、挂墙安装,内置Wi-Fi天线,支持光电复合缆远程供电; 2. 上行网络侧接口:不少于1*XG(S)-PON,下行用户侧接口:不少于4*GE电口,不少于1*POTS口,支持2.4G&5G Wi-Fi 6; 3. Wi-Fi支持2.4GHz IEEE 802.11 b/g/n/ax协议 和5GHz IEEE 802.11 a/n/ac/ax协议; 4. Wi-Fi6 MIMO数不少于2*2,支持1024-QAM和160MHz频宽,2.4GHz空口速率不少于570Mbps,5GHz空口速率不少于2400Mbps; 5. 支持Wi-Fi射频调优和漫游,支持FIT/FAT管理模式; 6. 支持 802.1X 认证、MAC 地址认证等安全接入认证; 7. 提供工信部进网证和进网测试报告; ▲8.为便于统一运维管理,确保网络稳定性和兼容性,要求此设备和光网络核心设备同一品牌。 |
2 |
光电混合供电单元 |
1. 支持向ONU提供光纤数据传输和远程供电功能; 2. 支持工作环境温度:-20°C~55°C; 3. 支持220V AC电压输入,内置电源模块,支持 PoE输出总功率大于500W,单端口最大输出PoE功率不小于90W; 4. 内置不少于1个2:16 分光器,可连接不少于16 台ONU设备; ▲5.为便于统一运维管理,确保网络兼容性和稳定性,要求此设备和光网络核心设备同一品牌。 |
3 |
光网络核心设备 |
1.支持双主控板、双电源板冗余备份,支持直流供电,可通过交流转直流模块提供交流供电; ▲2.交换容量≥8Tbit/s,业务板每槽位最大带宽≥200G,单台设备能提供≥15业务槽位,整机支持GPON /XGS-PON端口数≥240个;(提供证明文件加盖投标人公章) 3. 为了保证网络可靠性,OLT支持堆叠功能; 4. 支持typeB、C 保护组网,倒换时延<50ms; 5、提供GPON、XG-PON、XGS-PON、GE和10GE接入能力; 6. 支持WiFi管理功能,可以实现对WiFi 光接入终端(ONU/ONT)的控制管理;(提供证明文件加盖投标人公章); 7. 支持发起802.1x及portal认证,可为终端用户提供无线portal认证安全接入;(提供证明文件加盖投标人公章) 8.提供投标产品的中华人民共和国工业和信息化部颁发的电信设备入网许可证。 9. 实际配置:≥8块16端口OLT 接口板(含满配光模块,可提供≥128个XGS-PON接口),≥1769个WiFi ONU调优授权。 |
4 |
光电复合缆及组件 |
1. Hybrid SC光电一体连接器、光电复合缆,满足1769间宿舍需求。 |
5 |
光网络单元管理授权及设备调试 |
▲1.兼容学校现有esight网管平台,提供≥1769个光网络单元管理许可。如无法兼容现有网管平台,须提供新的网管平台,同时配置≥1769个光网络单元管理许可。 2.提供光网络核心设备、光网络单元、网管软件的原厂调试服务。 |
6 |
广州校区综合布线 |
1. 提供各楼栋至网络中心机房光纤(根据实际情况提供),含光网络单元安装所需的线槽、PVC管、电源线、连接件、光纤跳线、光纤盒等辅材,含人工费等。 |
7 |
汇聚交换机 |
▲1.支持并实配10G/1G光接口数≥20,40G接口数≥2。 2.交换容量≥2.56Tbps,包转发率≥570Mpps。 3.支持并实配可拔插双模块化电源,可拔插双模块化风扇,前后风道。 4.支持RIP,OSPF,BGP,RIPng,OSPFv3,BGP4+。 5.支持端口镜像功能,支持多对一端口镜像及一对多端口镜像,支持跨交换机的远程端口镜像功能 RSPAN。 6.支持多虚一技术,可将多台物理设备虚拟化为一台逻辑设备统一管理,支持跨设备链路聚合。 7.要求所投产品支持软件定义网络SDN,符合OpenFlow、NETCONF协议标准。 8.支持SNMP、CLI(Telnet/Console)、RMON(1,2,4,9)、Syslog、NTP、SNMP over IPv6、IPv6 MIB support for SNMP 、Telnet v6、FTP/TFTP v6、DNS v6、NTP for v6、Traceroute v6。 |
8 |
以太光主机AP(1) |
1.交换容量≥880Gbps, 包转发率≥426Mpps,实配一套光电一体化理线设备,实配一对万兆LC接口模块(1310nm)、10km、适用于SFP+接口。 ▲2.固化1G/2.5G SFP接口≥20个,1G SFP接口≥4个,10G SFP+接口≥4个。 3.固化PoE供电接口,支持为≥24个PoE供电接口,单供电端口支持PoE、PoE+,满足本次AP供电需求。 4.支持RJ45的MGMT接口≥1个,Console接口≥1个,USB接口≥1个。 5.支持光电混合缆传输数据和供电。 6.支持对无线终端负载均衡,支持本地数据转发 。 7.支持组播,支持IGMP Snooping。 8.支持无线用户二层隔离、基于SSID的无线用户隔离。 9.支持IPv6技术,包括报文透传,IPv6终端接入认证。 10.支持WEB、802.1X、MAC。 11.支持SNMP,支持SYSLOG。 |
以太光主机AP(2) |
1.交换容量≥2.4Tbps, 包转发率≥660Mpps,实配一套光电一体化理线设备,实配一对万兆LC接口模块(1310nm)、10km、适用于SFP+接口。 ▲2.固化1G/2.5G SFP接口≥40个,1G/2.5G /10G SFP+接口≥8个,25G SFP28接口≥4个,40G QSFP+接口≥2个。需提供设备照片和官网截图证明。 3.固化PoE供电接口,支持为≥48个PoE供电接口(通过DB78接口支持),单供电端口支持PoE、PoE+、PoE++,每个终端支持最大90W的PoE供电,为了保证设备兼容性,要求供电端口与光口分离设计。 4.支持RJ45的MGMT接口≥1个,RJ45的Console接口≥1个,USB接口≥1个,为了方便运维要求以上端口固化在设备前面板。 5.支持光电混合缆传输数据和供电,为节省空间,光电混合缆采用扁缆,并采用钢丝防拉伸。 6.支持对无线终端负载均衡,支持本地数据转发。 7.支持组播,支持IGMP Snooping。 8.支持iOS、xx和windows等主流智能终端操作系统自动识别,提供适应屏幕比例与尺寸的认证页面,实现轻松访问。 9.支持无线用户二层隔离、基于SSID的无线用户隔离。 10.支持IPv6技术,包括报文透传,IPv6终端接入认证。 11.支持PSK、WEB、802.1X、MAC。 12.支持SNMP,支持SYSLOG。 |
|
9 |
以太光AP |
1.支持多种形态安装,可壁挂或适配面板安装;实配一对1G光模块。 2.支持802.11ax标准,采用双路双频设计。 3.整机最大接入速率≥1.77Gbps。 4.不少于1个1G以太网光口上联。 5.支持本地供电\集中供电\光电混合缆供电。 |
10 |
无线控制器 |
▲1.千兆电口数≥8,xxx口数≥8个,10G万兆接口数≥8个,40G光口≥2个。 2.最大可支持管理10240个AP 。配置满足此次无线AP管理授权数。 3.不少于1个Console口。 4.2个电源模块,支持冗余电源。 5.无线控制器具备虚拟化功能,多台无线控制器可以被虚拟化成一台控制器,实现虚拟控制器对所有成员AC的统一管理、在成员AC间共享License、统一将AP 接入虚拟AC中。 0.XX设备多账户分权管理功能,实现一台物理AC设备或多台物理AC设备虚拟成一台AC设备后,均能受多账户管理,各账户分别管理不同的无线信息。 7.支持对钓鱼 AP 的无损检测与反制,在对钓鱼AP进行检测与反制时,不影响AP性能。 8.支持802.11k、802.11v协议,实现主动漫游切换。 |
11 |
光电混合缆 |
1.导体标称截面积≥0.5mm2。 2.采用低烟无卤聚烯烃。 ★3.为保证稳定性使用,后续便于维护,要求光电混合缆、以太光AP、无线控制器、以太光主机AP、汇聚交换机、光模块同一品牌。 |
12 |
佛山校区综合布线 |
含各类AP安装所需的线槽、PVC管、电源线、连接件、光纤跳线、光纤盒,满配模块等辅材;敷设从佛山校区学生宿舍网络机房到拓新楼主机房的独立光缆(至少24芯)共计11条;含施工人工费用。 |
13 |
BRAS |
▲1.基础要求: (1)支持主控板、交换网板、线卡板完全物理分离,主控板、交换网板、线卡板分布在不同的物理槽位,需提供设备面板图并指出对应的主控板、交换网板和业务板槽位; (2)设备支持单槽单向最大带宽≥400Gbps;交换容量≥130T,包转发≥86000Mpps,独立主控板数≥2,独立业务板数≥4,独立子卡槽位数≥16,支持≥4块独立交换网板(N+M冗余); (3)配置≥2块独立主控板,≥2块独立交换网板,≥2块独立电源模块,配置≥1块多业务母卡,配置≥14个xxx接口,配置≥2个40G光接口,配置≥20个万兆多模模块,配置≥4个40G多模模块。 2.电源要求。电源个数≥4个,电源系统支持N+M冗余,支持一体化供电方式,任意拔掉两个电源,设备能够正常运行。 3.ARP。支持ARP协议,ARP表项≥512K,要求提供产品官网链接及官网截图。 4.IPv6。满足IPv6技术演进需求,所投机框具备IPv6+能力,提供IPv6+ Ready 2.0 & SRv6 Ready 证书扫描件加盖投标人公章。 5.无感知接入。支持二层无感知接入、三层无感知接入。 6.PPPOE。支持PPPoE、PPPoEoVLAN、PPPoEoQ接入认证,提供PPPOE代拨功能,完成校园网和运营商间的二次认证。 7.端口安全。设备支持IPoE+Web认证和802.1x在同一接口下的共存,实现用户认证随选功能。 8.漫游功能。设备支持BRAS跨VLAN、跨接口、跨单板、跨机框的漫游功能,设备内置或外置单独DHCP server均支持。 ▲9.网络计费。设备支持PPPoE、IPoE、Web,802.1x的智能靶向计费功能,支持按不同地址段区分业务,实现不同业务的差异化限速,差异化计费功能。要求提供第三方检测报告加盖投标人公章。 10.安全功能。设备支持防攻击能力,包括:ARP攻击、IPv6报文攻击、超大Trace报文攻击、TCP SYN flood、Ping flood、DHCP DDOS、PADI DDOS的防御等。 11.成熟度。产品具备工信部宽带网络接入服务器(BNAS)进网许可,设备入网时间≥3年。要求提供许可证扫描件加盖投标人公章。 12.代播认证。支持代拨认证功能。 13.双机热备。设备支持802.1x认证会话双机热备,单机框故障,BRAS会话不掉线,用户无感知。要求提供证明材料,加盖投标人公章。 14.提供五年原厂质保。 |
14 |
网络计费平台 |
1.要求提供30000以上用户并发在线客户案例。 2.支持多种计费策略。支持时间分段计费策略,使用不同的累计时间段,收取不同的费用;支持流量分段计费策略,使用不同的累计流量,收取不同的费用。期限用户赠送,可在操作员对单个期限用户进行赠送,也可以批量赠送。支持期限用户,先付后用,每月月租固定,到服务结束日时自动停机,可以续交费,计费开始日期重新按续费开始日期计算。 3.用户截单时不会被踢下线,需支持在线办理中途结算业务。结算时网关无需中断结账,保持网络畅通。 4.支持用户属性字段自定义扩展可视化配置,包括数据类型、字段排序、开户录入规则等,提供相关证明截图加盖投标人公章。 5.支持多种流量清零规则,包括但不限于:不清零;X月后清零(每次充值支持有效期X个月);每月月结清零;剩余用量封顶(将多余部分清零,比如一个账号限50GB可用流量);指定日期清零(支持四组日期配置,适用于寒暑假策略等)。要求提供相关证明截图加盖投标人公章。 6.操作员日志功能。保留每个操作员所有操作日志,防止非常操作。 7.权限控制。操作员根据不同的组有不同的操作权限;后台操作员,与普通用户账号独立分离,不可用于上网;要求不同级别系统管理员、操作人员能划分不同的权限。 8.加强用户信息保护,支持不同强度的加密算法,对用户信息的证件号、电话、密码等进行加密处理与显示。 9.支持多种在线用户管理:强制下线、修改用户资料;用户名、IP、MAC查询;短消息通知;自动发送催费信息等功能。 10.提供全业务接口,供第三方系统实现所有宽带业务办理和业务查询功能。 11.实现校园网账号转换运营商账号联动认证功能,终端用户使用校园网账号一次登录动作,后台同时进行“校园网账号”和“运营商账号”的两次认证,用户体验为一次认证。支持单个账号多个终端同时登录,如1个PC和2个移动端同时登录。 12.至少支持华为、华三、中兴、锐捷等厂家Radius属性,Radius对接可通过配置界面选择支持的厂家,与业界至少二个以上数通厂家产品有进行对接,每个厂家至少需要提供五份以上成功案例说明,案例中必须详细说明组网结构(附拓扑图)、用户需求、实现方案及效果等内容并加盖投标人公章。 ▲13.针对移动智能终端和无线信号不好的环境,系统需支持无感知认证功能,首次登陆后一定周期内无需重复输入账号密码,由系统根据MAC地址直接完成认证。 14.支持IPv4、IPv6独立出口环境的双栈联动认证,通过图表方式独立显示IPv4和IPv6在线用户数和活跃用户数。支持独立显示IPv4和IPv6用户在线表。通过图表分别显示IPv4和IPv6用户当日上下行流量趋势及统计,当日时长统计,当日认证数统计。提供截图证明加盖投标人公章。 15.在IPoE、Portal认证环境下,支持哑终端独立专线账号准入认证;支持授权用户在自助平台,输入终端Pv4或IPv6实现代认证上线;代认证哑终端在线表能显示在线的哑终端类别的MAC、IP、用户名、授权人、在线时长、流量、上线时间等;提供代认证哑终端白名单配置,在此名单内的IP才可授权代认证,提供截图证明并加盖投标人公章。 16.第三方认证源类型能支持LDAP、Radius、Socket、WebService、RDBMS、HTTP方式。支持3种LDAP类型,通用LDAP、OpenLDAP和WINAD。当选择WINAD时,可以配置基本域和指定域。LDAP认证时,支持账号附加属性检测、自定义分组属性、使用LDAP服务器中的MemberOf属性作为用户组ID、自定义属性二次匹配分组。支持对Socket认证的报文格式、加密方式进行自定义。支持Socket认证返回报文格式配置为JSON格式、XML格式和纯文本格式。 ▲17.支持多种认证协议类类型(如WEB、PPPoE、802.1x、PPTP、IPoE、专用私有协议等)能显示本地端配置的学校LOGO图片,无需定制和重新在应用商店上架,提供截图证明加盖投标人公章。 18.支持可选择运营商出口功能,支持多运营商选择登录界面; 19.提供产品通过等保2.0二级测评报告的复印件并加盖投标人公章。 20.提供5年产品原厂质保服务,含硬件维护、备机服务、软件服务。 |
15 |
认证计费网关 |
1.硬件网关可串接部署,也可旁路部署。全套系统支持完全软件部署方式,安装在甲方提供的PC服务器上运行。支持基于VM的虚拟化部署产品认证平台及数据库平台。 2.要求支持国际标准认证方式(Web、Portal、IPoE 、PPPoE、802.1x、PPTP、L2TP、专用客户端等),并支持以上认证方式混合接入。要求支持基于MAC地址的认证,支持基于IP地址的认证,基于VLAN ID认证。 3.要求支持用户账号的唯一性认证;同时可配置同一账户允许同时登陆数。 4.要求支持自动绑定数据功能。针对成千上万的用户的绑定数据,手动输入则工作量大并且容易出错。此功能可减少网管人员的工作量,解决了绑定数据输入错误等问题。 5.要求能和第三方标准Radius厂商的Radius服务器对接,本身也可以提供Radius服务。 6.要求支持跳过Radius认证机制和Radius服务器在中断后而不影响用户接入的机制,保证用户的利益。 7.支持本地认证、PORTAL协议、 RUCKUS、CISCO、MOTO、JUNIPER、ARUBA、TPlink等协议对接认证方式,提供功能截图证明加盖投标人公章; 8.支持多种页面推送策略:基于不同的VLAN ID、IP地址段、SSID、AP组推送不同的用户认证页面。 9.页面图片数量、大小、布局框架鼠标任意拖动设定;自定义模版:移动终端及PC的认证前后页面、广告页、跳转页面;提供多种页面组件:如图片、图片轮播、自动登陆等多种组件;页面编辑支持门户方案组功能,每个组包括PC页和手机页两个子组,每个子组又包括登陆页、登陆成功页、登陆失败页、注销页、注销成功页、注销失败页、无感知页、免责条款等子页。提供截图证明加盖投标人公章。 10.页面需强制集中统一审核才可正式生效,确保内容发布合法合规,支持管理员三级管理权限配置。提供截图证明加盖投标人公章。 ▲11.基于用户第7层应用报文识别代理私接特征,无需部署客户端,支持有线无线网任意认证方式。支持同时识别私接用户的终端类型、数量、代理软件,识别过程无溢出报文,无漏洞,能防破解防屏蔽。能按用户组配置允许接入的终端类型、数量及组合,如1台PC+2台移动终端。支持不同用户组不同共享接入控制策略。 12.支持与认证计费系统用户组同步。支持白名单功能,白名单内的用户不受防代理的控制,白名单可新增、删除、修改,新增可手动添加、批量增加或导入。支持黑名单功能,黑名单可新增、删除、修改,黑名单接受系统控制,禁止转发。 13.提供自助查询界面,供用户自行查询是否列入私接控制列表。 14.网关设备有定时备份功能,使设备故障后的恢复工作方便快捷。要求前后台之间互为备份,当后台数据库服务器宕机时不影响用户的正常认证及上网,服务器的数据要定时备份并在故障后可以迅速恢复。 15.设备需支持双机热备。 16.所提供的设备厂家必须满足二次开发要求(不可只提供接口),可以按照用户需求进行个性化相关定制。 17.提供信息产业部颁发的入网许可证加盖投标人公章。 18.提供IPv6 Ready认证加盖投标人公章。 19.提供5年产品质保服务,含硬件维护、备机服务、软件服务。 |
16 |
无线访客认证网关 |
1.硬件网关可串接,也可旁路,网关部署模式下需支持纯网桥模式部署。全套系统能支持完全软件部署方式,安装在甲方提供的PC服务器上运行,支持基于VM的虚拟化部署产品认证平台及数据库平台 2.要求能和第3方标准RADIUS厂商的RADIUS服务器对接,本身也可以提供RADIUS服务。 3.支持提供独立的WEB方式访客审核平台入口,自适应终端类型,方便手机端登陆审核操作;审核人员能授权访客能否访问内网。 4.需提供eduroam来访和出访认证服务;Eduroam来访用户认证成功后,需在用户终端自动显示审核授权页面,提供短信、二维码和邮件等申请审核方式,需提交受访人姓名和手机号,受访人收到申请,审核通过后,eduroam来访用户才可访问外网。 5.支持设置受访人审核单个访客和团体访客的权限(是否可以审核、一定周期内的审核人数、有效期等)。支持具有审核权限人员先录入访客身份信息后生成独立的访客二维码,访客扫码后即可上网。支持设置接待人员批量导入访客的权限。系统可实现短信推送接入验证码或邮件推送二维码。 6.系统自动管理新生访客的有效期,过期自动销户处理。访问控制策略包括:带宽控制、有效期控制、终端数控制、允许多次激活(可限定次数)、呆滞账号自动销户。支持配置呆滞账号规则。 7.支持国际标准认证方式(WEB、PPPoE、802.1x、PPTP、IPoE、专用客户端等),并支持以上认证方式混合接入。 8.要求支持用户账号的唯一性认证;同时可配置同一账户允许同时登陆数。 9.支持Eduroam 漫游账号出访的报表统计,包括出访目的学校分布、终端数分布、用户数分布;可选择特定的出访学校进行统计。支持Eduroam 漫游账号来访的报表统计,包括访客所在学校分布、终端数分布、用户数分布;可选择特定的来访学校进行统计。 10.针对移动智能终端和无线信号不好的环境,系统需支持无感知认证功能,首次登陆后一定周期内无需重复输入账号密码,由系统根据MAC地址直接完成认证。 11.支持终端识别。在线表和登录记录详单都能看到准确的MAC,主机名、终端类型 。 ▲12.支持本地认证、PORTAL协议、 RUCKUS、CISCO、MOTO、JUNIPER、ARUBA、TPlink等协议对接认证方式,提供功能截图证明; 13.支持多种页面推送策略:基于不同的VLAN ID、IP地址段、SSID、AP组推送不同的用户认证页面。 14.支持二维码授权认证模式,访客上网弹出二维码的portal页,被访人扫描来访人终端上的二维码,授权访客上网,访客的临时上网账号关联被访人账号,用于事后对访客溯源。 15.页面图片数量、大小、布局框架鼠标任意拖动设定;自定义模版:移动终端及PC的认证前后页面、广告页、跳转页面;提供多种页面组件:如图片、图片轮播、自动登陆等多种组件;页面编辑支持门户方案组功能,每个组包括PC页和手机页两个子组,每个子组又包括登陆页、登陆成功页、登陆失败页、注销页、注销成功页、注销失败页、无感知页、免责条款等子页。提供截图证明加盖投标人公章。 16.页面需强制集中统一审核才可正式生效,确保内容发布合法合规,支持管理员三级管理权限配置。提供截图证明加盖投标人公章。 17.要求网关设备有定时备份功能,使设备故障后的恢复工作方便快捷。要求前后台之间互为备份,当后台数据库服务器宕机时不影响用户的正常认证及上网,服务器的数据要定时备份并在故障后可以迅速恢复。 18.设备需支持双机热备。 19.Radius厂家属性需至少支持华为、华三、中兴、锐捷等厂家。Radius对接需可通过配置界面选择支持的厂家,提供相关证明截图加盖投标人公章。 20. 提供5年产品质保服务,含硬件维护、备机服务、软件服务。 |
17 |
DNS\DHCP一体机 |
1.接口:不少于6个千兆电口,可扩展8个xxx口或者4个xxx口;硬盘:1TB硬盘*2;开启解析日志DNS QPS不低于15W,DHCP LPS,不低于1500;DHCP容量不低于10万;双电源/风扇,支持双机热备集群化部署配置数据自动同步。 2.内置域名库包括但不限于新闻媒体、购物网站、游戏网站、视频动漫、下载网站、网银、国际域名和教育网资源等,同时域名库可进行主动编辑和更新升级;可以通过域名库调节流量,将不同网站应用类别的应用调配到特定出口;可支持100万自定义域名库。 3.完善的日志管理服务: (1)支持用户操作日志记录:包括用户登录、详细的操作配置日志(包括但不限于配置变更、策略变更、记录的增删改查等)、操作是否成功等。 (2)支持系统日志记录:可查看全部或指定服务节点DNS服务进程运行情况的相关日志(字段包括并不限于:记录时间、优先级、类别、IP地址、记录内容)。 (3)支持DNS解析日志:记录解析应答结果,每一次解析延迟,精确到毫秒,日志应包括但不限于如下字段,请求的时间、请求源IP、源端口、请求类型、请求的域名、命中的视图、解析结果。 4.域名审核流程管理:支持审核工作流,审核人员可对被审核人员在DNS系统中所有的新建,编辑,删除,批量变更等操作进行审批,审批结果支持邮件通知,且可指定审核人员与被审核人员的对应关系,审核记录支持追溯。 5.DNS隧道攻击防护支持更多算法可基于DNS协议层域名字符分布频率、请求响应比、特定关键字、域名长度等多种特征维度进行训练。 6.DNS图表展示:支持查看指定节点设备和所有节点设备当前及与最近6小时、12小时、1天、1周、1个月、3个月的DNS关键运行指标:包括但不限于QPS、域名排行、IP 排行、解析状态、解析类型、解析成功率、缓存命中率等,指标通过曲线图、柱状图进行清晰展现,统计数据可在WEB直接下载为PDF或CSV格式文件(提供功能配置界面截图并加投标人公章)。 7.支持告警功能设置:支持图形化方式的全局所有子节点监控,可针对不同节点设定不同的报警阈值,发生问题时可实时触发故障报警,支持邮件、SNMP TRAP、URL回调、短信等报警方式。 8.支持对应用服务器的健康检查,提供实时的应用服务器状态监测,通过网络层到应用层ICMP、UDP、TCP_SYN、TCP、HTTP、HTTPS、FTP、SMTP、SNMP、TCP_KEEP、SNMP_LINK、DNS、MySQL、Oracle等多种探测协议,应用状态探测变更、多个探测模板中任一探测状态变更、节点间信息同步时连接状态变更均支持告警;根据应用健康检测结果进行解析调度,对于宕机的应用进行只告警或者不解析的处理。 9.域名动态调度:支持动态调度算法,包括但不限于如下算法:动态就近性、CPU/内存负荷算法,静态就近算法、全局可用算法、返回备用IP算法、自定义比例加权轮询算法等,且多种调度算法可以进行组合,并支持二级调度,即优先按照某策略调度到某应用服务器池,然后在根据某策略调度到该池内具体服务器。。 10.支持通过配置相关Xxxxxxxx过滤参数,自动识别Servfail攻击,并启动拦截防护策略,避免因Servfail攻击影响解析服务质量。 ▲11.支持容器ExternalName等注册模式,实现域名学习;由微服务注册中心调用智能DNS系统的API完成配置下发,智能DNS根据域名记录对应的IP等信息对微服务进行健康检查,并根据全局负载策略进行解析和切换完成业务发布。 12.二级域名注册:支持二级域名注册,管理员可通过动态增删申请项定制域名申请表,支持对申请域名可设置生效期限、变更域名属主、一键禁用所有或特定注册域名、配置允许用户自助维护注册域名或审核变更过程。 13.DNS数据的存储配置更新传输支持国密算法,有国家保密局颁发的符合国家保密标准的资质证书。 ▲14.可扩展支持本地DNS与云端威胁情报资源库对接,实现域名访问安全防护,对内部受控或恶意终端通过DNS访问非法站点有效阻断,阻断威胁对外连接建立,提升递归访问的安全性。提供丰富的数据报表,可追溯相关终端信息、访问的恶意域名网址、威胁事件等威胁事件分类包括但不限于:传统的僵尸网络病毒、后门木马、蠕虫病毒、检测DDoS木马等。 15.IPV6地址管理:支持通过IPAM系统自动生成IPV6地址,在指定的地址区间内正序、倒叙、随机的生成地址,并支持设置生成的IP地址个数。 16.具备业务快速应急接管能力,支持DHCP的数据快照在DHCP单机模式下进行数据恢复及业务接管。数据快照支持转换至windows-dhcp server上导入。 17.支持IPv4-IPv6双栈地址自动生成功能,可根据现网IPv4和MAC地址自动生成IPv6地址,并支持反向溯源查。 18.可与学校现网的DDI节点统一纳管对接并可组成HA高可靠冗余集群架构。 19.自定义报表功能:需实现分析类型(TOP总量、TOP百分比、百分比、次数/秒)的自定义;需实现分析项目(源IP、源端口、查询区、查询域名、查询记录类型、应答状态、RD位状态、请求签名、是否包含EDNS、是否TCP请求、DO位状态、CD位状态、是否命中缓存、ISP、国家/省/市)的自定义;需实现匹配规则(所有、等于、不等于、包含、不包含、是)的自定义;且可以根据报表需求选择多层嵌套分析,前台可进行开关选择,自定义报表功能支持统计节点选择。 |
18 |
网络认证计费系统服务器 |
1.认证服务器I型 (2台,认证计费管理服务器),2U机架式服务器,相当于或优于Intel C621A芯片组;系统,CentOS7.x 64位系统;CPU:两个Intel至强可扩展处理器主频≥2.0GHz且≥16核;内存:≥128GB TruDDR4 3200MHz;硬盘,3块2.4TB 10K 热插拔SAS硬盘;≥1张12Gb阵列卡配2GB闪存,支持0/1/10/5/50 RAID级别,可选RAID 6/60, 最大支持8GB闪存;1+1热插拔冗余电源;配置双口万兆光纤网卡(含光模块);支持一个专用的OCP 3.0 SFF接口,可选多种双口/四口 千兆万兆和25GbE网卡配置远程管理模块和独立远程管理网口(含授权); 2.认证服务器II型(3台,自助服务平台服务器、5G专网认证管理后台、访客认证管理平台),2U机架式服务器,相当于或优于Intel C621A芯片组;系统,CentOS7.x 64位系统;CPU:两个Intel至强可扩展处理器主频≥2.0GHz且≥12核;内存:≥64GB TruDDR4 3200MHz;硬盘,3块2.4TB 10K 热插拔SAS硬盘;≥1张12Gb阵列卡配2GB闪存,支持0/1/10/5/50 RAID级别,可选RAID 6/60, 最大支持8GB闪存;1+1热插拔冗余电源;配置双口万兆光纤网卡(含光模块);支持一个专用的OCP 3.0 SFF接口,可选多种双口/四口 千兆万兆和25GbE网卡配置远程管理模块和独立远程管理网口(含授权)。 |
19 |
多业务安全网关 |
▲1.规格性能: (1)采用非X86多核架构,采用控制、数据、业务相互解耦分离的全分布式架构,主控引擎、业务引擎、接口单元均采用硬件槽位分离的独立硬件模块,业务和接口扩容槽位≥8; (2)接口模块需采用采用独立且可热插拔的硬件模块形态,整机要求支持最大100G接口,方便后续扩容; (3)配置双主控及双独立交换网板,满配电源;配置≥4个40G QSFP光口,至少16个10G xxx口; (4)配置≥2块防火墙安全业务板卡; (5)防火墙单板卡吞吐量≥160 Gbps,并发连接数≥5000万,新建连接数≥100万,应用层吞吐量≥36万; (6)最大安全策略≥6万;配置AV 防病毒安全授权≥5年,IPS 特征库升级授权≥5年,应用识别升级授权≥5年,URL特征库升级授权≥5年;配置10G多模模块≥16个,40G多模模块≥8个。 2.设备硬盘支持2个480G SSD。 3.支持源地址和目的地址一对一的静态NAT地址转换功能,源地址和目的地址同时多对多的双向静态NAT地址转换,源地址和目的地址以网段到网段形式的静态NAT地址转换功能。提供功能截图加盖投标人公章。 4.支持IPsec VPN智能选路,根据隧道质量调度流量,提供功能截图加盖投标人公章。 5.支持策略风险调优,支持安全策略优化分析,支持策略数冗余及命中分析,支持基于应用风险的策略调优,可根据流量、应用、风险类型等细粒度展示,并给出总体安全评分,便于用户更好的管理安全策略,提供功能截图加盖投标人公章。 6.支持一体化安全策略,能够基于时间、用户/用户组、应用层协议、五元组、内容安全统一界面进行安全策略配置。 7.设备需支持CC攻击防护,并可基于检测请求报文头的X-forward-for字段,以获取真正的源IP地址,并对其中非法源IP进行日志记录和联动封锁。提供证明材料加盖投标人公章。 8.支持至少5000条以上的应用识别,且提示风险类型及风险级别,便于用户根据实际情况进行上网行为管理。提供功能截图加盖投标人公章。 9.分析并提取出终端信息,例如终端的厂商、型号等,并支持在终端信息发生变更时(比如将原厂商的摄像头换为其他厂商的摄像头)向用户发送日志,提示用户。提供功能界面截图证明加盖投标人公章。 10.支持基于对包括但不限于操作系统、网络设备、办公软件、网页服务等保护对象的入侵防御策略,支持基于对漏洞、恶意文件、信息收集类攻击等的攻击分类的防护策略,支持基于服务器、客户端的防护策略。且缺省动作支持黑名单,提供功能界面截图证明加盖投标人公章。 11.可支持基于应用层协议设置流控策略,包括设置最大带宽、保证带宽、协议流量优先级等。要求支持带宽通道独占以及共享管理模式,支持父子带宽策略。 12.支持报文示踪功能,支持真实流量、导入报文、构造报文等方式,用于分析和追踪设备中各个安全业务模块(如:攻击防范、uRPF、会话管理和连接数限制等)对报文的处理过程,通过查看报文示踪记录的详细信息,有利于管理员对网络故障的快速排查和定位,提供功能界面截图证明加盖投标人公章。 13.可基于病毒特征进行检测,实现病毒库手动和自动升级,报文流处理模式,实现病毒日志和报表;支持基于文件协议、邮件协议(SMTP/POP3/imap)、共享协议(NFS/SMB)的病毒功能,提供功能界面截图证明,加盖投标人公章。 14.防火墙本地防病毒特征库数量不小于600万种,且支持不小于16层压缩文件的防病毒检测能力,提供CNAS认证的第三方权威测试报告加盖投标人公章。 15.支持云端防病毒,为保证检测时效性,特征缓存数至少保证20万条且缓存保留时间不应少于700分钟,提供截图证明加盖投标人公章。 16.支持报文示踪功能,支持真实流量、导入报文、构造报文等方式,用于分析和追踪设备中各个安全业务模块(如:攻击防范、uRPF、会话管理和连接数限制等)对报文的处理过程,通过查看报文示踪记录的详细信息,有利于管理员对网络故障的快速排查和定位,提供功能界面截图证明加盖投标人公章。 17.支持2台设备堆叠成一台设备使用,实现统一管理,统一配置,所投设备支持高可靠性(包含主备/主主模式)部署。 18.提供五年原厂质保服务,含病毒库、特征库升级。 |
20 |
行为审计系统 |
1.支持网络层吞吐量≥80G,带宽性能≥40G,最大并发连接数≥2000万,支持用户数≥20万;千兆电口≥4个,40G光口≥2个,SFP+xxx口≥8个;硬盘容量≥1.92T SSD,内存≥128G。 2.提供不少于5年硬件维保服务和软件版本、URL库和应用协议库的升级授权服务。 3.支持图形化查看当前内网IP使用情况,IP使用情况包含正常使用、未使用和长期离线,长期离线状态可自定义连续未活跃天数,帮助管理员减少人工维护IP表的工作量。提供产品功能截图证明加盖投标人公章。 4.可设置四类管理员,分别为系统管理员、安全管理员、审计管理员,以及多种权限的超级管理员;管理员支持分级,高级别管理员的策略配置优先生效,并可修改低级管理员的策略; 5.支持首页分析显示接入用户人数、终端类型;带宽质量分析、实时流量排名;资产类型分布、新设备发现趋势、终端违规检查项排行、终端违规用户排行;提供产品功能截图证明加盖投标人公章。 6.支持终端用户账号绑定手机号码和微信号,绑定后可以通过手机验证码和微信扫码实现上网快捷登录认证;提供产品功能截图证明加盖投标人公章。 7.支持为用户添加属性(职位、临时项目组、邮件组等),能够根据用户属性配置上网权限策略、流控策略,审计策略等; 8.支持冻结认证失败次数超过最大值的用户,在冻结时间结束后恢复登录。 9.针对https加密的网页审计,支持在办公电脑端安装插件、实现SSL解密,便于审计加密网页的访问行为。 10.支持加密的网页、论坛、BBS上的发帖行为精细化管理:过滤同时匹配三个以上关键字过滤的网络发帖行为、允许用户浏览帖子但不准发帖功能; ▲11.设备内置应用识别规则库,支持超过9000条应用规则数,支持超过6000种以上的应用,支持根据标签选择应用,并支持给每个应用自定义标签,可以根据标签选择一类应用做控制,支持超过900种主流Saas应用,对Saas应用有默认分类标签,帮助用户统一配置策略。提供产品功能截图证明加盖投标人公章。 12.支持发现私接路由(或者共享软件等)共享网络的行为,支持“仅统计电脑”和“统计所有终端”两种模式,自定义配置终端数量和冻结时间,支持添加信任列表,支持例外排除功能 13.基于“流量”、“流速”、“时长”设置配额,当配额耗尽后,将用户加入到指定的流控黑名单惩罚通道中;用户指定应用上网流速超过预设阈值后,网关自动提醒该用户。 14.支持记录全部或者指定类别URL、网页标题、网页内容等信息,支持网页内容审计后的网页快照功能。 15.支持对单个用户/用户组、位置、终端类型等设置日流量、月流量配额,当配额耗尽后,将用户加入到指定的流控黑名单惩罚通道中; 16.支持通过客户端实现加密网页的SSL解密,客户端可以自动推送根证书安装,提供产品功能截图证明加盖投标人公章。 17.支持外发截屏,当用户外发附件时,会自动截取外发时刻的屏幕,并记录到文件审计日志;提供产品功能截图证明加盖投标人公章。 18.网关必须能同时连接多条外网线路,且支持多条线路负载,负载策略支持包括线路优先级、按运营商、剩余带宽、带宽比例、平均分配。 19.支持在不同线路上,根据不同的应用、目标IP、时间段、日期、用户/用户组、位置、终端类型来保证或者限制流量,可根据百分比或数值设置通道带宽,并支持设置各通道的优先级。 20.能够实时看到各级流控通道的状态:包括所属线路、瞬时速率、通道占用比例、用户数、保证带宽、最大带宽,启用状态等。 21.可审计Zoom、腾讯会议等会议软件的文件外发行为; 22.设备可审计WinSCP、Xftp、FileZilla文件传输工具的文件外发行为,提供产品功能截图证明加盖投标人公章。 23.设备可审计ToDesk、向日葵、AnyDesk远程工具的文件外发行为,提供产品功能截图证明加盖投标人公章。 24.提供应用自定义能力,可基于进程名称、应用签名、图标SHA256等参数进行应用自定义,可审计自定义应用的文件外发行为。 25.支持对上网日志进行大数据分析,并支持多个大数据分析模型:包括业务审计、上网态势分析、带宽分析,可导出报表。 26.支持SSL加密网页的内容检查,可对SSL加密网页进行解密并识别、过滤其内容,针对加密后的钓鱼网站、非法网站,可对用户进行重定向告警。
|
21 |
综合威胁探针系统 |
1.部署方式:旁路部署,不影响网络架构,支持IPV4/IPV6流量解析,与学校现有的安全运营平台进行API接口对接,非SYSLOG日志对接,提供承诺函并加盖投标人公章。 2.硬件性能≥2千兆管理口,≥1 RJ45串口,≥4个千兆电口,≥4个xxx口,≥ 4*12T硬盘, ≥2*USB, ≥2个扩展插槽,交流冗余电源,检测流量≥20 Gbps; 3.支持5G协议的深度解析和还原,包含NGAP、PFCP、HTTP2、GTPv2等。须提供功能界面截图加盖投标人公章。 4.支持物联网协议的深度解析和还原,包含S7、MQTT、XMPP等。提供功能界面截图加盖投标人公章。 ▲5.支持完善的漏洞攻击检测库,应支持定期漏洞收集和挖掘升级能力,产品厂商支持获得漏洞情报的一线咨讯,需提供相关证明材料加盖投标人公章。 6.支持识别判定自动扫描行为,在设定周期内采集发送端向网站服务器发送的访问请求消息和网站服务器向发送端返回的响应消息,将设定周期等分为至少两个子周期,依次统计每个子周期内访问请求消息个数,确定发送端请求可信度,判定发送端是否发生了自动扫描的行为。提供第三方证明材料并加盖投标人公章。 7.支持从流量中自动识别资产信息和归类,识别的信息至少包括资产IP、资产MAC、资产类型、地理位置、操作系统名称、操作系统版本、操作系统标识、软件名称、软件标识、软件版本、设备标识、设备版本、端口、服务、协议。提供功能界面截图并加盖投标人公章。 8.提供5年原厂质保,含软件、特征库更新。 |
22 |
网络安全服务 |
1.攻击队服务。提供不少于2次的实战化攻防演练-攻击队服务,对网络与信息基础设施进行实战化测试,以获取权限、数据为目的,检验客户的防护能力,交付服务报告。 2.攻防演练保障服务。提供不少于2次,每次不少于7*24小时的攻防演练保障服务,在攻防演练保障期间,为用户提供攻防专家现场值守服务,提供保障的技术支撑工作,如安全值守指导,告警研判分析、事件应急响应等服务。 3.互联网资产核查服务。含全量的核查服务内容,包括基础信息核查,敏感信息核查、移动端资产核查。 4.渗透服务。以SaaS的方式交付10个系统渗透测试,使用自动化+人工的方式发掘学校WEB网站/APP业务系统中存在的安全风险并提供渗透测试报告及修复建议,提前发现资产脆弱性。 5.云端安全运营。提供2年重保期间7*24的安全运营服务,从监测、研判、预警、处置、优化完整的闭环服务。 6.支持webshell类威胁监测、研判、处置。如冰蝎、哥斯拉等大量Wbshell样本的连接、上传,加密webshell检测等监测与响应。 支持针对攻防演练实战中常见高危漏洞的真实攻击类威胁事件监测、研判、处置。如组件RCE、OA系统RCE等常见攻防演练高危漏洞威胁监测与响应。 7.网络安全服务提供商需具备中国信息安全测评中心颁发的信息安全服务资质证书。提供服务资质证书,并加盖投标人公章。 8. 网络安全服务提供商应通过ISO20000的安全认证,认证范围包括安全相关的SaaS及运营服务,提供证明文件并加盖投标人公章。 |
23 |
终端安全管理系统 |
1. 提供200用户终端授权,包括Windows PC防病毒更新、软件管理更新、终端桌面弹窗防护功能; 2. 支持主流Windows PC客户端操作系统;支持多引擎协同,可对病毒、木马、恶意软件等进行查杀,提供主动防御功能。 3. 支持全屏模式拦截和全天开启拦截两种模式,支持管理员统一策略拦截和终端用户手动设置拦截。 4. 提供5年原厂服务,含软件、病毒库更新。 |
24 |
UPS主机 |
1.UPS最大容量不低于150KVA,单个功率模块为30kVA,单台UPS主机配置3个30KVA模块采用2+1冗余模式。 2.标配支持实现双路市电切换、市电配电、空调配电、UPS输出配电,UPS和配电部分集成于同一机柜,带C级防雷设计,采用标准上进上出走线。 3.标配不小于7英寸触摸液晶屏,设备操作采用硬件+软件组合方式,双键开关按钮防误操作,确保在触摸屏失效时依然可以开关机操作,提供证明文件。 4.一体化UPS采用单屏显示,显示内容集成配电与UPS显示内容,显示屏置于设备门板之外。 5.支持智能ECO模式,在超级ECO旁路供电的基础上优化电网质量,功率模块能对旁路电源进行谐波补偿,提高旁路PF值和THDV、以及降低THDI,单机和并机系统均支持WECO模式,可以设置ECO执行计划。 6.具有UPS智能录波功能,有利于现场故障分析和快速故障定位,缩短维护时间,提供证明文件。 7.变频器功能 :具备变频功能,在50Hz(或60Hz)电网里获得60Hz(或50Hz)的输出; 8.电池智能管理:电池管理功能丰富,既方便电池日常维护,也可延长电池使用寿命。 9.模块化UPS采用集中旁路,避免分散旁路出现电流不均衡、不可控引起故障;且要求旁路具有独立接线和开关控制,提高供电可靠性; 10.应能够实现模块化ups的资产安全管理功能,不仅支持电容、风扇等关键部件具备失效告警功能,提醒运维人员及时更换器件,实现器件级管理,还可通过主机面板记录更换备品备件的种类、日期与ID,实现备品备件的资产追溯与档案管理,运维省心无忧。 11.配电实现智能监控,可实时检测UPS的运行状态、主路及支路。 12.额定电压12V蓄电池不低于±16~±23节、电池节数可调范围大,现场配置更加灵活。 13.所投UPS产品获得中国节能产品认证证书,投标时必须提供证书。 14.UPS具备自动除尘功能,当设备运行周期较长或设备积尘过多时,UPS启动自动在线除尘功能,无需停机维护,防范未然,提高供电可靠性。提供针对该功能设置界面的实际照片证明材料,加盖投标人公章。 ▲15.所投UPS产品具备≥7烈度第三方抗震报告,投标时提供证明材料,加盖投标人公章。 |
25 |
配电柜 |
1.UPS输入输出、空调配电、电池开关,带电量仪,防雷器。 2.主开关选用市场主流品牌。 |
26 |
蓄电池 |
▲1.蓄电池为阀控式铅酸蓄电池,单体电池10HR额定容量为150Ah,电池重量≥48Kg,内阻≤2.8mΩ,64节。 2.蓄电池在环境温度25℃时的折合浮充寿命应≥6年。 3.蓄电池组按规定的试验方法,10h率容量第一次充放电循环时应达到0.95C10;在第三次循环之前,10h率容量应达到C10,3h率容量应达到0.75C10,1h率率容量应达到0.55C10。 4.蓄电池采用全密封防泄漏结构,外壳无异常变形、漏液、裂纹及污迹,上盖及端子无损伤,正常工作时无酸雾逸出;标识应清晰。 5.蓄电池正负极端子应有明显标志,且便于连接,极板厚度应,与使用寿命相适应。 6.蓄电池使用期间安全阀应自动开启闭合,开阀压力应在10kpa-25kpa范围内,闭阀压力应在10kpa-25kpa范围内。 7.大电流放电:蓄电池以30I10(A)放电3min,极柱应不熔断、内部汇流排应不熔断,其外观不得出现异常。 8.蓄电池静置28天后,其容量保存率不低于98%。 9.蓄电池的密封反应效率不低于98%。 10.耐过充电能力:完全充电的蓄电池在25℃±5℃环境中再以0.03I10电流连续充电160h,静置1h,外观应无明显变形及渗液。11.封口剂性能:蓄电池在-30℃~+65℃时,封口剂应无裂纹及溢流现象。 12.阻燃性能:蓄电池壳应符合GB/T 2408-2008《塑料燃烧性能试验方法 水平法和垂直法》中的第8.3.2条FH-1(水平级)和第9.3.2条FV-0(垂直级)的要求。 13.防爆性能:蓄电池在充电过程中遇到明火,内部应不引燃、不引爆。 |
27 |
供电系统集成与配套配件 |
1.电池架可安装64节150AH蓄电池,包含电池之间的连接线、电池开关、承重架。 2.UPS间接入一条新电力电缆到广州校区实验楼605机房,规格:80米4*70+1*35,包含安装布线。 3.拆除旧UPS、蓄电池、电池柜、配电柜。 4.安装新UPS、蓄电池、电池柜、配电柜,UPS房间墙体地面修缮。 |
28 |
精密空调 |
1.UPS房间配置一台7.5KW上送风精密空调,制冷量不低于:7.5kW,风量不低于:2300m³/h。 2.室内空调机组要求 100% 全正面维护,空调本体外部应预留各种管道接口(冷媒管、凝水管),包括下 、后、侧面三方向预留各种管道接口,以便现场安装。 3.为了降低回风风阻,机组应设计三面回风,即正面和左右两侧回风。 4.室内风机:为保证良好的制冷效果,空调应有较大的送风量,需标准配置EC风机,要求使用知名品牌的成熟产品,室内风机属于关键器件,要求采用可抽拉设计,便于运维和更换。 5.换热盘管应采用铜管铝翅片形式,应具有较高的换热效率、较好的耐腐蚀性、较长的使用寿命。换热盘管翅片应采用亲水铝箔“/”字型蒸发器,在保证较大换热面积的同时应尽可能降低风阻。换热盘管不得使用铝制微通道。要求提供内螺纹铜管、亲水铝箔图片证明材料,加盖投标人公章。 6.膨胀阀:为保证系统运行的高效性和稳定性,空调须配置电子膨胀阀,不接受毛细管和热力膨胀阀的节流形式。 7.空调系统应具有高可靠性,要求机组平均无故障时间MTBF≥10万小时,要求提供计算依据。 8.应具有大容量的故障报警记录储存的功能,存储历史告警信息不小于300条,提供加盖投标单位公章的显示界面证明材料。 具有LCD屏幕中文显示器,能显示回风温度、回风湿度、排气温度、吸气温度等,支持控制系统应具有多级密码保护功能。 9.须提供投标同系列产品的中国节能产品认证证书(CQC)证明,并加盖投标单位鲜章。 ▲10.投标设备厂家应具有中国制冷空调行业评定合格的焓差实验室,评定类别不低于A类,提供该试验装置评定合格证书并加盖投标单位公章。 11.精密空调安装,免费提供精密空调支架、制冷剂、管道、保温棉、电缆等。 |
29 |
消防系统集成安装 |
1.悬挂式七氟丙烷灭火装置,4个/10KG共40KG,包含安装。 2.喷发时间短,灭火速度快,便于安装在防护区域上空或墙壁上。 |
30 |
动环系统集成安装 |
1.精密空调故障告警、漏水、温度远程控制。 2.UPS故障告警、输入电压、输入电流、输入频率、负载电压、负载电流等。 ▲3.接入学校广州校区实验楼605机房环境监控平台。 |
31 |
5G智能应用网关系统 |
1. 应用层吞吐量≥5Gbps,PPS(包转发率)≥600万,并发IP数≥4500,配置千兆电口≥5,千兆光口≥4,万兆光口≥2,2U机架式,交流电源,含5年保修及软件升级服务。 2. 支持双OS备份,主OS故障时,备份OS自动切换,切换时间小于500毫秒。 3. 工作模式:支持透明网桥模式;支持路由模式;支持NAT模式;支持旁路分析模式;支持路由、NAT、网桥和旁路分析的混合模式。 4. 支持链路负载:负载均衡最大链路数≥900条; 负载均衡模式支持源IP、目标IP、源IP加目标IP、4元组(源IP、源端口、目标IP、目标端口)四种方式。 5. 支持对2~7层流量的识别能力,支持国内各类常见协议1000种,现网协议识别率 95%。 6. 支持基于全局、数据流向、移动终端、应用协议/协议组和IP/IP群组的速率控制。 7. 支持URL访问控制,支持第三方分类URL库手动上传,实现基于“类型”的URL过滤功能,串接模式下,支持URL重定向;支持根据内网IP、文件类型、访问方法(GET或POST)和目标URL等参数设置控制策略。 8. 支持radius对接要求:通过radius报文识别出用户的MSISDN手机号码信息,并支持转发给AAA服务器进行认证对接。 9. UPF头增强对接要求:能HTTPS协议头增强信息解码;能对UPF设备通过头增强发过来的HTTPS数据包进行解码;还原出头增强MSISDN信息里面的手机号码。 10. 具有头增强信息去除功能当HTTP/HTTPS协议数据包通过5G融合网关对校内进行数据包转发时,需要去掉头增强MSISDN信息,实现5G客户端对服务器的正常访问。 11. 具备5G融合网络对用户手机号码的日志审计溯源功能,支持对用户手机号码进行权限控制和访问控制。 12. 支持5G上网会话日志审计留存,支持对接学校原有日志审计系统。 13. 支持与统一身份认证CAS联动,通过CAS校验用户账号有效性,绑定对应手机号码二次鉴权。 14. 具备SD-WAN组网能力,支持分支设备使用域名与总部服务器进行iWAN隧道建立,客户端支持创建≥128条iWAN隧道,并支持ipsec、GRE等隧道方式组网。 15. 支持IPv6 TOP应用排序、多个应用协议进行趋势图分析对比,各个协议的IPV6地址排名等。支持IPV6 TOP用户排名、各个用户使用的协议、IPV6连接信息等。 16. 支持分析每一条TCP连接基于应用的时延进行检测,应包括:应用类型、客户时延,服务时延、应用时延)、最大包长,可以进行时延排序,以快速判断“网络慢”的故障原因。 17. 支持端口镜像功能;可根据设置条件将不同应用、流量方向、源目IP/IP段、终端类型等流量等镜像至指定网络接口,与第三方审计设备联动,便于用户做精细化、个性化的数据分析;支持端口镜像只镜像会话前N个包功能,支持筛选流量复制,支持远程镜像功能。 18. 内置威胁情报阻断:要求设备中内置威胁情报资源库,可以识别数字货币情报、恶意软件情报、僵尸网络情报、Web攻击情报等目标地址或目标域名,并可以对其进行阻断、拦截;并对阻断日志进行记录,便于事后分析。 |
32 |
两校区互联链路租赁 |
提供从广东财经大学广州校区至佛山校区的20G长途互联链路,合作期内当带宽利用率达到80%时,投标人需免费自动扩充。 1.线路类型要求 为保证网络传输质量的稳定性和安全性,要求链路类型须为OTN(OPTICAL TRANSPORT NETWORK、光传送网)链路,确保业务畅达。 2.线路性能指标要求 (1)网络指标: 1)端到端线路的传输比特差错率(误码率):≤1.0×10E-9 2)丢包率:在正常带宽负荷下(负荷小于70%)≤0.1% 3)线路保护:运营商骨干线路和城域网层次采用多冗余备份。 4)线路24小时连续运行 (2)线路延迟:传输时延≤15ms (3)线路性能集中管理:该系统需提供以下服务: 1)7×24小时实时监控; 2)主动发现、处理网络故障 (4)可扩展性和可升级性:链路需具有良好的扩展性和可升级性,确保满足将来因业务发展而产生的升级扩展需求 |
33 |
学生宿舍区宽带租赁 |
1. 提供总带宽不低于24G的基础带宽出口,保障单用户带宽不少于50M,当出口带宽使用率达到70%时,投标人需免费自动扩充。 2. 服务要求:需保证网络传输质量的稳定性和安全性,确保业务畅达。 3. 服务标准:线路需具有良好的扩展性和可升级性,确保满足将来因业务发展而产生的升级扩展需求。 |
34 |
公共区域带宽租赁 |
1.提供一条不少于4Gbps的上下行对等互联网出口动态带宽,使用期5年。具体要求如下: (1)本采购项目为独享带宽的Internet接入,要求直接接到数据网的城域网的骨干节点上平均丢包率不高于2%,并提供本Internet 接入的组网拓扑图。 (2)能实时提供网络监控服务,提供灵活的路由策略方案,提供限制最大带宽或保障最小带宽、应用的策略路由功能,7*24小时提供互联网出口线路保障服务。 (3)在该线路遭受DDOS攻击时,要求供应商具备在2小时内提供防 DDOS 攻击业务的能力,有效地对恶性流量攻击进行检测、阻断及清洗,保护网络安全。 (4)供应商提供加速与安全防护一体的产品服务。具备动静态数据加速,智能路由优化等加速特性,同时融合DDoS、WAF等安全防护能力,可高效支撑采购方对时延敏感、安全性要求高的的相关业务。提供实时一站式托管网站安全监测服务,一旦发现安全风险,系统将产生邮件、短信告警推送至采购方。(投标人需提供产品控制台功能配置截图证明材料) (5)本次提供的带宽IP地址池归属地为广州市。 2.提供一条不少于2Gbps为教育网IPv6带宽,具体要求如下: (1)教育网IPv6带宽至少1G为教育网骨干网,使用期4年4个月。 (2)提供Edu域名SSL证书服务-OV通配符,使用期五年。 |
35 |
国际带宽 |
1.提供不少于30Mbps的国际带宽。 2.部署要求。所提供的解决方案应包含软件客户端,需支持多种终端设备类型(Windows/macOS/Android/IOS/统信UOS/鸿蒙),各终端类型的软件界面应风格统一。软件客户端同时应支持对组网及互联网流量基于IP和域名进行分流。提供证明文件,并加盖投标人公章。 3.可靠性要求。所提供的SD-WAN网络服务应集成广域网优化技术,有效提升传输效率,对于网络质量敏感类业务(例如:视频会议),要求在50ms延时及双向30%丢包的网络质量下,依然可保障敏感类业务的流畅性(例如:视频会议清晰流畅、无卡顿和马赛克)。提供证明文件,并加盖投标人公章。 4.安全性要求。所提供的SD-WAN硬件CPE需采用嵌入式硬件密码模块实现国产SM2、SM3、SM4商用密码算法。嵌入式硬件密码模块需符合 GM/T 0028-2014 《密码模块安全技术要求》和GM/T 0039-2015《密码模块安全检测要求》中提出的安全等级第二级或以上等级的相关要求。提供证明文件,并加盖投标人公章。 5.易用性要求。所提供的SD-WAN网络服务需提供可视化监控界面,以组网链路为单位, 提供实时带宽利用率、实时网络时延、丢包率、抖动、连接数、Top N流量等信息。相应监控指标均可保留历史数据并可查询。投标时需提供截图并充分说明,加盖投标人公章。 |
36 |
短信服务 |
1.每年提供50万条短信。 2.支持学校短信平台对接和调用。 |
(2)商务要求
1)交货期及地点
施工地点:广东财经大学用户指定地点;
施工期:施工及设备安装调试工作必须在签订合同后2个月内完成,校园网运营和配套建设、带宽租赁最迟不得超过2024年7月15日完成。
2)安装、调试与培训要求
A.送货、安装施工期间,货物的保管由中标人负责。
B.所有货物交货后的拆箱、安装、调试等各项工作由中标人负责,但必须在采购人指定人员的参与下按校方要求进行。
C.培训服务:中标人提供相关设备维护的现场培训服务,主要包括设备的基本日常维护操作,设备在故障情况下的应急处理措施等。
D.中标人负责对用户管理技术人员进行系统的项目课程培训和应用技术培训,人数、时间由用户确定。
3)项目质量与验收标准
A.投标人所提供的设备须是未使用过的全新产品,中标人需随设备装箱提供制造厂的设备检验、测试报告、设备检验合格证书、质量保证书和保修书等证明文件。
B.投标人须确保设备及所有配套件的完整性和可靠性。对于招标文件没有列出,而对该设备的正常运行和维护必不可少的部件、配件等,投标人有责任给予补充。
C.中标人须在项目验收时时提供各主要设备原厂售后服务承诺函。中标人在供货时需提供原厂商出具的原厂供货确认函原件。
D.如调试验收过程中发现产品性能或功能上未达到投标文件承诺时,用户有权要求供应商提供第三方权威检测机构出具的设备性能测试报告,或将设备送往第三方权威检测机构进行检测,相关费用由供应商承担,如果检测结果不满足招标文件要求,将视为不合格,采购人有权拒收并保留解除合同和要求中标人赔偿的权利。
F若设备验收时有关技术参数不能满足招标文件技术要求,采购人有权要求更换,同时有权要求赔偿,所产生的一切费用由中标人全部承担。
3)质保期
A.要求投标人所有设备整机质保期为验收合格后五年,有特别要求的按特别要求的质保期执行。
B.从验收合格之日起五年内,用户所购设备发生非人为故障,中标人应上门维修。如不能完全修复,则应更换不低于原规格型号的新部件或设备,设备在验收合格后头三个月内发生故障,中标人须无条件更换同一档次的设备。
C.质保期内,同一硬件一个月内连续2次出现同一故障,中标人须更换不低于原规格型号的设备或部件。
4)售后服务要求
A.提供至少五年质保和五年7*24小时现场保修服务, 包括硬件保修电话支持、现场支持、软件升级。主要产品和有特别说明的产品提供五年原厂质保。
B.项目验收通过之日起,中标人提供2人每周5天*8小时驻场服务(广州校区、佛山校区各1人),服务期限5年。
C.中标人接到用户报修后,须在24小时内派技术人员上门到场维护,并在48小时内解决问题。如在规定时间内不能解决问题,中标人应提供相同档次的设备或部件给采购人代用。质保期内中标人负责所有因设备质量问题而产生的费用。
D.出口带宽故障修复时限为6小时(因市政工程破坏需24小时内修复);两校区互联链路中断修复时间,除因不可抗力导致链路中断以外,光纤问题需在6小时内修复(因市政工程破坏需24小时修复),用户节点到光纤收发器端口的设备故障需4小时内修复。
5)结算与付款方式
A.中标人完成本项目建设内容并开通网络后提出初步验收申请,采购人组织专家进行验收,验收通过后采购人开始按分成比例将校园网收费支付给中标人。
B.合作期内采购人负责收取校园网用户基本网络套餐费用,每季度第1个月将上一季度的校园网收费报表提交给运营商,运营商按分成比例计算应该收取的费用后,将相应发票提供给学校,学校收到发票后15个工作日内完成支付。如遇寒暑假和节假日顺延。
C.每年最后一个月,采购人对当年中标人的服务质量进行评价,如评价未通过,暂停支付校园网收费,直至中标人完成整改,通过评价。暂停支付期间中标人须确保校园网正常使用。
D.因在校生规模变化、不可抗力等原因可能造成的校园网收入波动风险由中标人承担。
6)违约处罚
A.中标人交付的货物、提供的服务不符合采购文件、投标文件或合同规定的,采购人有权拒收,并且中标人须向采购人支付合同硬件投资额5%的违约金。
B.中标人未能按本合同规定的交货时间交付货物的,从逾期之日起每日按合同硬件投资额总价3‰的数额向采购人支付违约金;逾期半个月以上的,采购人有权终止合同,中标人须向采购人支付合同硬件投资额5%的违约金,采购人因此而造成的经济损失由中标人承担。
C.其它违约责任按《中华人民共和国民法典》处理。
7)其他重要事项说明或要求
中标人须文明施工、爱护现场其它设施。交付使用前要清理现场,废料垃圾由中标人负责清运出校园区域,不得留下任何垃圾,做到现场整洁、货物干净。
附件一:
校园网收费标准
用户类型 |
收费标准 |
||
包月 |
包半年 |
包年 |
|
在校生 |
30元 |
125元 |
220元 |
本校教职工 |
30元 |
150元 |
250元 |
校外人员 |
50元 |
250元 |
450元 |
校外单位 |
50元 |
250元 |
450元 |
说明:
1、包月:使用期限为开通日起1个月的时间;包半年:使用期限为开通日起6个月的时间;包年:使用期限为开通日起12个月的时间。
2、每个账号允许2个移动终端、1个台式电脑(笔记本电脑)使用。
—33—