《2022年朝阳区教育“校校通”工程招标文件—业务网安全系统技术要求》由会员分享,可在线阅读,更多相关《2022年朝阳区教育“校校通”工程招标文件—业务网安全系统技术要求(12页珍藏版)》请在金锄头文库上搜索。
1、朝阳区教育“校校通”工程业务网安全系统技术要求2019 年 4 月 12 日精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 1 页,共 12 页目录一. 业务网 11. 总体要求 12. 网络设计原则 13. 具体需求 14. 核心交换机主要性能指标要求35. 出口高性能 NAT 设备性能要求 66. 维护终端要求 67. 投标方应提交的技术文档6二. 安全系统 71. 核心防火墙技术要求72. 漏洞扫描系统技术要求73. 网络入侵检测技术要求84. 网络防病毒系统技术要求95. 投标方应提供的技术文档9精选学习资料 - - - - - - - -
2、 - 名师归纳总结 - - - - - - -第 2 页,共 12 页一. 业务网1. 总体要求业务网建设目标为构造一个可靠、可控、高速、可管理的核心交换平台,用于连接各个学校、数据中心及市教育信息网、区公共信息平台等不同的网络。投标方须对如何保证系统的高可靠性,从硬件体系结构、业务处理方式、控制软件等各方面做详细描述。投标方须考虑 IPV6、VoIP 等先进技术在网络上的应用,就未来应用的扩展性提出建设性意见。投标方要根据招标方需求进行网络设计并报价。招标结束后,中标方须进行深化设计,充分考虑已有的资源和实际情况,对方案进行调整,最终形成实施方案。2. 网络设计原则使用成熟先进技术简化网络结
3、构设备高性能高可靠可抵御网络异常流量的攻击3. 具体需求(1) 业务要求:2个网络出口(市教育信息网及区公共信息平台)1个数据中心接入 249个节点(2) 网络性能要求:核心交换万兆级连接背板容量 =1.5T 包转发率 =400Mpps 精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 3 页,共 12 页出口连接市教育信息网1000Mbps接口( 2 个)1.连接 Internet 100M(高性能 NAT)2.连接市教育信息网内网1000M 连接区公共信息平台1000Mbps接口(高性能 NAT)数据中心数据中心分三部分1.Internet服务器
4、区2.关键应用服务器区3.大流量服务器区数据中心关键应用服务器区通过千兆级防火墙连接到核心数据中心大流量服务器区通过ACL 进行 3、4层访问控制数据中心 Internet服务器区通过百兆级防火墙连接到出口学校(接入层网络)访问数据中心总带宽不小于6Gbps 接入的学校普通学校 100Mbps接入网络中心示范校 500Mbps接入网络中心(3) 网管要求网管网络相对于业务网络独立,网管网络与业务网络需要通过防火墙连接,要求严格的安全策略可实现现有和新增设备管理、网络管理、日志管理及网络性能管理的网管系统可实现基于 WEB 方式对设备端口进行流量监控可进行带内管理(通过网管防火墙)及带外管理可提
5、供 NTP 服务i.为网络中设备提供NTP 服务ii.为网络中计算机提供NTP 服务入侵检测控制台等属于网管网络(4) 可靠性要求:精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 4 页,共 12 页核心网络设备双机热备份;关键板卡 1+1热备电源 1+1或 1+n保护接入网络双链路负载均衡,热备份;路由连接冗余备份。(5) 其它要求已有 1 台千兆 NETEYE 防火墙可利旧已有 2 台 CISCO6506交换机低速引擎可利旧已有 1 台 CISCO6509交换机低速引擎可利旧须考虑今后将原有IP 网络迁移到本网络中须考虑基于用户的宽带认证计费系
6、统须考虑与 NTP 组网方案须考虑网络安全功能,配合网络中防火墙、入侵检测系统、防病毒系统综合设计网络(6) 工程要求使用的设备需要在业界有广泛应用;设备报价需包括设备安装附件;交钥匙工程。4. 核心交换机主要性能指标要求(1)数量: 2台(2)单台配置要求:冗余主控引擎冗余电源。内存(主控引擎 1G,路由模块 1G)2个 10GE以太网模块10个千兆单模以太网光模块精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 5 页,共 12 页48个 10/100/1000M自适应以太网双绞线端口。(3) 设备技术指标要求见下表技术指标要求高性能体系结构支持
7、分布式体系结构集成化路由引擎和交换背板,无需额外配置模块吞吐量IPv4 =400Mpps (第三层交换速率)背板容量=1.5Tbps 交换容量=700Gbps 用户槽位数=9 部件冗余支持交换引擎处理模块1+1冗余支持三层路由处理模块1+1冗余支持 1+1冗余交换矩阵支持冗余电源、散热风扇支持插板的热插拔路由冗余支持冗余路由切换及负载均衡多协议单播路由协议支持 BGPv4 、OSPF 、RIP2、Policy Routing IPV6 硬件支持 IPV6 支持 IPv6 RIP, OSPF ,BGP. 支持 IPv6/IPv4 及 IPv4/IPv6 Tunnel 基于硬件的多播实现支持硬件方
8、式实现多播协议多播路由协议PIM-Sparse, PIM-Dense, PIM-Sparse/Dense等协议MPLS 支持二,三层 VPN 支持 MPLS 流量工程支持 MPLS 虚拟专网支持缓存协议支持基于 WEB 的缓存协议精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 6 页,共 12 页接口以太网支持 FE,GE ,10GE 。端口密度千兆光纤端口密度大于等于12口/ 卡千兆双绞线端口密度大于等于12 口/ 卡通道技术支持跨模块的 10M/100M/1000M 以太网通道聚合技术。VLAN数量=4K Spanning-tree 支 持 基
9、于 每个 VLAN 的生 成树 (Spanning-tree), 802.1w, 802.1s. VLAN Trunking 支持 802.1Q 访问控制支持基于硬件方式的数据包访问过滤登陆安全支持基于VLAN 、物理地址、 IP 地址、端口号、应用内容等进行访问控制安全性速率限制支持反向的访问控制支持动态的访问控制支持地址翻译 (NAT) 支持 AAA安全认证协议 (Radius) ;支持通过基于限速(Rate Limit), 来控制DDOS 攻击IP 数据流量分类机制支持根据IP ACL、IP Precedence 、DSCP 、MPLS-exp 、802.1Q/p、COS 标准的排队技术
10、防止拥塞丢包技术支持 WRR (Weighted Round Robin) 多业务QOS 模式支持 Inter-serve,Differ-serve机制。端口级门槛值设置端口级的延迟与丢弃的门槛值设置排队技术支持优先处理低延迟数据的排队机制(LLQ )设备管理软件支持全网统一网管软件网络监测支持网络探针( Probe)管理模块,可对网络流量进行分析、统计等监测工作。网络管理网络设备管理手段支持多种管理策略、图形化管理工具精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 7 页,共 12 页管理协议支持 SNMPv2 、RMON 管理功能支持配置管理,
11、故障管理,性能管理,统计管理,安全管理。5. 出口高性能NAT 设备性能要求(1)数量: 2台(2)单台要求:1000M 单模光口上连1000M 多模光口下连(3)主要性能指标包转发速度 800kpps 6. 维护终端要求数量: 2台要求:便携电脑,奔腾M1.5G 以上,256M 内存, USB2.0,14.1 显示屏, 2.5kg,Windows XP Professional ,国际知名品牌,三年质保。7. 投标方应提交的技术文档网络设计方案方案内容应包括但不限于:设计依据(数据分析)网络物理连接图网络逻辑拓扑图网络时间同步方案设备配置清单本次投标设备的详细技术说明精选学习资料 - - -
12、 - - - - - - 名师归纳总结 - - - - - - -第 8 页,共 12 页二. 安全系统1. 核心防火墙技术要求(1)数量: 6台(2)设备技术指标要求如下:千兆级处理性能吞吐量 1.4Gbps 以上,并发连接数至少180 万,每秒新建连接数大于 2.5 万。接口模块热插拔。双电源冗余备份。最少提供 3个千兆以太网接口。支持 L2TP VPN、GRE VPN、IPSec VPN、MPLS VPN 、SSL VPN等多种 VPN 业务。支持包过滤技术,支持应用层报文过滤ASPF,提供多种攻击防范技术等。支持邮件过滤和网页过滤等。可提供各种日志功能,提供流量统计和分析功能以及提供各
13、种事件监控和统计功能。支持虚拟系统防火墙。虚拟系统防火墙之间可以使用VLAN划分,也可以使用端口划分。虚拟系统防火墙内部可以配置独立的防火墙规则,虚拟系统防火墙之间默认隔离,通过配置可以互通。具备公安部的销售许可证、国家信息安全测评中心的认证证书、国家保密局的推荐证明等2. 漏洞扫描系统技术要求扫描范围:网络中心可扫描的服务器数量:不少于100台具有扫描分析网络系统能力。精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 9 页,共 12 页具有报告网络存在的弱点和漏洞能力。具有报告网络系统相关信息和对外提供的服务能力。能够建议补救措施和安全策略。生成
14、分析报告。具有远程和本地工作能力。具有安全策略的自定义能力。用户界面友善,方便用户操作。自身安全机制完备。具有国家安全部颁发的国家信息安全认证证书和公安部颁发的计算机信息系统安全专用产品销售许可证产品。3. 网络入侵检测技术要求(1)数量: 2台(2)设备技术指标要求如下:在高速网环境下能够稳定运行,系统性能指标必须达到:单台探头数量:不少于2个 GE 256字节包长下,处理能力达到线速64字节包长下,处理能力达到400Mbps 以上系统内置安全知识库,能够检测端口扫描、可疑行为、未授权访问尝试,后门、木马等,其安全规则与国际标准CVE 兼容详尽的报警事件审计分析查询与报告支持关联分析支持实时
15、流量统计与监控完善的数据维护功能,支持数据转储、导出与压缩系统具有完善的安全保护机制,如探测器隐藏IP 地址、通信加密、多级用户管理、支持系统自身安全审计等支持安全域拆分支持大型网络的多级层次化部署管理架构完备的探测器管理(状态检测与动作管理)分级安全管理,支持系统自身安全审计精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 10 页,共 12 页4. 网络防病毒系统技术要求防护范围:网络中心服务器数量:不少于100台PC数量:不少于 30台具备 跨平台分级查杀病毒能力,支持IBM AIX, Linux, AS/400, OS/390,SUN Sol
16、aris,Windows 9x, Windows NT Workstation/Server, Windows 2000, Windows XP, OS/2, Macintosh等多种操作系统。能够实现统一集中的管理,其中包括防病毒软件的安装、维护、病毒定义码和扫描引擎的自动更新升级、网络防病毒策略的统一配置、报警的集中管理、定时调度、隔离、实时扫描和监控等等。支持建立内部的更新资源库,局域网络内部所有的防病毒服务器和工作站可直接从更新资源库下载病毒定义码和扫描引擎。具有网络节点自动检测功能。可以根据需要对于不同地域和工作组设置不同的扫描策略。支持查、杀各种未知病毒,具备将被病毒感染的文件进行
17、修复的功能。具备对电子邮件的防病毒保护,能够支持包括市场上流行的所有邮 件 系 统 如 : IBM Lotus Notes/Domino(on AIX 、 AS/400 、OS/390、SUN Solaris、NT/2000/2003)、MS Exchange Server 以及其他的基于 Unix 平台下的邮件系统。5. 投标方应提供的技术文档对全系统制定的安全策略方案安全系统设计方案(可以包含在业务网络设计方案中)设备配置清单本次投标设备详细技术说明精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 11 页,共 12 页精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 12 页,共 12 页
