附件：一、综合布线系统1、系统技术要求综合布线系统项目，是指焦作二院计算机网络的布线（包括工作区子系统、水平子系统、垂直主干子系统、设备间和管理间子系统），以及园区弱电市政地下埋管的施工。计算机网络采用核心层、汇聚层、交换层等三层结构。采用万兆核心，万兆主干，千兆到桌面的网络解决方案。投标人提供生产厂商针对本项目的授权及15年质保文件，承诺货到现场提供产品原厂真品证明。所投标的产品在郑州市有常年售后服务机构和专业维修人员。投标人必须持有有效的产品技术标准、产品质量证书和产品检测报告，凡属于国家强制性产品认证目录内的产品须通过3C认证。集成商在投标时，交付全部设计成果（包括全部设计变更）。集成商按照投标时最终的全部设计成果施工、安装。参加投标的单位自行考察施工现场，并对结果负责。投标商自行评估工程施工量，投标报价中应包含所有关于布线的辅材、人工和其他不确定因素等。具体设计思路如下：综合布线系统所有线路都使用线槽、线管安装。无明线。全部选用六类系列信息模块，性能要全部超过国际标准ISOIS 11801、TIA/EIA六类标准的指标。本项目涉及有6栋建筑物：门诊、制剂、内科、影像、外科主楼、外科配楼等。其中外科主楼的信息点的水平线缆已经铺设到位，但没有端接。具体信息点列表如下：楼层信息点配线间设置门诊楼961、2、3、5、7各设置一个配线间（IDF），其中5IDF收纳4/5楼信息点，7IDF收纳6/7/8/9楼的信息点；垂直主干光纤汇聚至1楼IDF中。86766105264363692126154小计339制剂楼小计5就近接入系统（待定）内科楼12162、5、8、11楼各设置一个IDF。其中2楼IDF收纳1/2/3楼信息点；5楼收纳4/5/6楼信息点；8楼收纳7/8/9楼信息点；11楼收纳10/11/12楼信息点；垂直主干光纤汇聚至2楼IDF中。11161016916816716616516416316216128小计204影像楼716在5楼设置1个配线间，收纳本楼所有信息点。就近接入系统（待定）616516416302010小计64外科楼（主楼）1737每层设有1个配线间。楼层垂直主干和建筑物间主干光纤都汇聚在5楼配线间小计508外科楼（配楼）610在3、5楼各设置配线间，3楼IDF收纳1/2/3/4信息点；5楼IDF收纳5/6信息点；在3楼设置为整个园区的MDF。所有建筑物间的光纤主干汇聚在5楼主机房；5104373（2、3共用）31212小计90总计1210建筑群间的主干铺设2条室外12芯铠装单模光纤（1条作备份用），建筑物内部的垂直主干光纤采用1条室内8芯单模光纤；所有光纤都需要端接完整,并提供足额的ST光纤尾纤，达到即插即用的效果。铺设方式由投标商自行设计；在部分楼内计划安装100个无线接入设备，需要铺设六类线和集中供电的电源线。无线接入设备的线缆就近接入配线间即可。具体位置如下表建筑物数量楼层小计急诊科11楼1老外科病房楼2 4/5/6楼6新外科楼45~17楼52内科楼21楼2内科楼42~12楼44合计105最终数量100个投标商在报价时，必须含有2米长和1米长原装非屏蔽六类跳线各500条，用于工作站的接入。验收时，以文本方式，电子档案方式向使用方提供系统设计图、方案配置、施工记录和线缆标示、第三方测试仪器出具的线缆测试报告等在内的文档。为确保布线产品品质，推荐品牌为：康普、西蒙、TCL。二、网络与网络安全系统1、网络平台子系统概述根据我院信息化建设要求，计算机网络内外网统一一个平台，内网用于承载和运行医院业务（HIS、LIS、PACS、电子病例、财务、办公系统等）；外网用于互联网的访问。同时还要考虑内网与省卫生厅医疗平台、省市医保平台、新农合、疾病控制中心以及其它医院等机构的网络连接，并能够满足远程会诊系统的网络要求。2、设计原则为构建高性能、高可靠、可扩展、可管理的焦作第二人民医院数字化医院网络平台，在网络建设中要坚持以下原则：A.高可靠性：网络的稳定可靠是应用系统正常运行的关键，保证在网络设计中选用高可靠性的网络产品设备，充分考虑冗余、容错和备份能力，同时合理设计网络架构，制订可靠的网络备份策略，最大限度地支持系统的可靠运行。B.技术先进性：在保证满足基本业务应用的同时，又要体现网络的先进性。在网络设计中把先进的技术与现有的成熟技术和标准结合起来，充分考虑到网络应用的现状和未来发展趋势。C.高可用性：骨干网络的性能是整个网络良好运行的基础，在设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图象）的高质量传输，才能使网络不成为业务开展的瓶颈。D.高扩展性：根据未来业务的增长和变化，网络可以平滑地扩充和升级，最大程度的减少对网络架构和现有设备的调整。E.可管理性：选用先进的网络管理平台，具有对设备、端口等的管理及流量统计分析，并可提供故障自动报警。F.安全性：制订统一的网络安全策略，整体考虑网络平台的安全性。做到业务数据的安全传递和网络设备不受黑客攻击。G.经济性：在充分利用现有资源的情况下，最大限度地降低网络系统的总体投资。3、网络结构网络拓扑设计采用三级架构，分为核心层、汇聚层和接入层。核心层位于核心机房，负责全网的路由交换，并与各服务器、小型机等核心医院应用相连；汇聚层位于各个大楼，汇聚所有楼层交换机，起到承上启下作用；接入层位于楼层配线间，负责直接接入桌面系统。核心交换机到各楼汇聚交换机采用双万兆单模光纤链路，且两台核心交换机分别与汇聚交换机分别相连接，当其中一台核心交换机出现故障或一条线路中断，业务正常进行。与并充分考虑到线路的备份和设备以及设备端口的冗余，以满足高可靠、高性能、高安全及网络扩展的要求。在外科楼和门诊楼，由于信息点多，业务量大，数据关键，建议配置高端机箱式汇聚交换机，双电源，双引擎，提供2路上联万兆连接分别接2台核心；内科楼配置1台盒式汇聚交换机，提供2路上联万兆连接核心；影像、外科配楼等由于信息点较少，可以通过万兆性能的接入交换机直接上联核心；所有与核心相连的设备都采用链路冗余，保证系统安全，且与接入层交换机采用千兆光纤相连接。汇聚交换机与接入层交换机采用双千兆光纤链路，确保系统稳定可靠和备份。接入层交换机到计算机终端采用6类非屏蔽网络连接实现1000M到桌面的传输速率。具体拓扑如下： 4、网络及安全设备清单序号名称单位数量备注1核心交换机套22汇聚交换机1套33汇聚交换机2套34三层48口万兆接入交换机套45二层24口接入交换机套176二层48口接入交换机套187无线控制器台18无线接入点台1009网管软件套110多核安全网关台111设备调试器台112内网安全管理套113WEB应用防护网关套114机房线路管理系统套115隔离网闸套15、网络及安全设备技术规格要求1、核心交换机（2套）指标项招标要求整机要求★为确保设备良好的扩展性，业务板槽位数≥12★交换容量≥13T★包转发率≥8600Mpps管理模块支持冗余,支持冗余供电，支持风扇冗余，风扇支持动态调速；支持FLASH自动纠错、内存自动纠错功能支持802.3ad(LACP)，支持负载均衡；支持本地镜像、远程镜像；支持STP、RSTP、MSTP、BPDU GUARD、ROOT GUARD；主机软硬件固化支持MPLS、IPv6等，利于未来平滑过渡。支持Static Routing、RIPv1/V2、OSPFv2、BGP4、RIPng、OSPFv3、BGP4+等；支持LPM Routing、支持Policy-based Routing、支持VRRP、URPF、黑洞路由、支持ECMP等价负载均衡支持IGMP v1/v2/v3、支持PIM-SM, PIM-SSM, PIM-DM， IGMP Snooping、IGMP Proxy、静态组播、边界组播、受控组播IPv6支持IPv6 LPM Routing、IPv6 Policy-based Routing(PBR) 、IPv6 VRRPv3、IPv6 URPF、IPv6黑洞路由 ，支持RIPng、OSPFv3、BGP4+等单播路由协议，支持IPv6静态组播路由、IPv6 边界组播、IPv6组播隧道等 ，支持IPv6 ACL、IPv6 QOS安全和管理支持标准和扩展IPv4/IPv6 ACL，完全硬件线速实现，不影响转发性能，支持IP-MAC-Port绑定功能ARP安全功能，可以防止ARP欺骗、防止ARP扫描.支持安全IP功能，保证远程管理核心设备的安全性，支持IPv4/IPv6 TACACS+、SSH★要求采用虚拟化技术，使两台核心主机虚拟成一台逻辑主机。配置要求★每台主机配备：双主控、双电源、≥24个万兆SFP口（必须兼容千兆模块，否则需另配10个千兆光口）、20个万兆单模光模块、10个千兆单模光模块；其它★推荐品牌：CISCO、H3C、神州数码。2、汇聚交换机1（3套） 指标项招标要求整机要求★交换容量≥2.4Tbps★包转发率≥1600Mpps硬件要求★模块化结构设计，满足本次业务需求后空余的业务扩展插槽≥2；功能、性能支持Static Routing、RIPv1/V2、OSPFv2、BGP4、RIPng、OSPFv3、BGP4+等；支持LPM Routing、支持Policy-based Routing、支持VRRP、URPF、黑洞路由、支持ECMP等价负载均衡千兆、万兆接口要求达到线速转发，保障核心设备高性能。支持ARP安全功能，防范ARP攻击，防止被大流量ARP攻击占满表项造成网络瘫痪。支持标准和扩展ACL，完全硬件线速实现，不影响核心设备的转发性能。安全和管理ARP安全功能，可以防止ARP欺骗、防止ARP扫描。支持IEEE802.1x, 配置要求★每台配置要求：双电源、双引擎、≥2个万兆光口、≥48个千兆光接口、≥24个千兆电接口、≥2个万兆单模光模块、≥20个千兆单模光模块其它★推荐品牌：CISCO、H3C、神州数码。3、汇聚交换机2（3台）指标项招标要求整机要求★交换容量≥368Gbps★包转发速率≥270Mpps硬件要求★配置满足本次招标要求的接口数之后，冗余的业务插槽数≥1个；功能要求支持三层协议：Static Routing；RIPv1/v2、OSPF、BGP、VRRP、IGMP v1/v2/v3；ARP、ARP Proxy；PIM-SM、PIM-DM、PIM-SSM；MPLS转发，LDP，访问公网。支持802.3ad(LACP)，支持负载均衡；支持STP、RSTP、MSTP协议；支持IPv6的各项功能：ICMPv6、ND、RIPng、BGP4+、 OSPFv3、PIM-SM for IPv6, PIM-DM for IPv6, PIM-SSM for IPv6, MLD snooping v1/v2,MLDv1/v2等。IPv6 DHCP 、IPv6 Telnet、IPv6 RADIUS+、IPv6 Syslog、IPv6 SNTP、IPv6 DHCP 、IPv6 FTP/TFTP、HTTP over IPv6 ；支持标准和扩展ACL，完全硬件线速实现，不影响转发性能；支持直流和交流电源冗余配置要求★单台设备：至少提供2个万兆光口、24个千兆光接口、12个千兆电口（COMBO）、2个万兆单模光模块、20个千兆单模光模块其它★推荐品牌：CISCO、H3C、神州数码。4、三层48口万兆接入交换机（4台）指标项招标要求硬件要求★三层路由交换机；配置满足本次招标要求的接口数之后，冗余的业务插槽数≥1个性能要求★交换容量≥256Gbps★包转发率≥130Mpps★每台配置： 48个千兆电口、4个千兆光口、2个万兆光口、2个万兆单模模块支持千兆/万兆全线速转发功能要求支持多对一、多session、基于流的、和基于CPU的镜像，支持RSPAN支持带宽管理，支持MAC绑定、MAC过滤 ，支持802.3ad，支持基于MAC和IP的负载均衡，支持STP、RSTP、MSTP协议、root guard、bpdu guard支持IP ACL，MAC ACL，IPv6 ACL，IP+MAC ACL ，Vlan ACL ，完全硬件线速实现，不影响转发性能。支持每个端口提供≥8个优先级队列，可分别设定队列带宽，支持WRR/SP/SWRR等调度方式。支持ARP安全功能，可以防止ARP欺骗、防止ARP扫描，可防范ARP攻击，防止被大流量ARP攻击占满表项。支持IEEE802.1x，支持安全IP功能，保证远程管理的安全性，支持SNMPv1, v2c, v3，SSH，配置界面可显示中文信息帮助，支持中文网管。其它★推荐品牌：CISCO、H3C、神州数码。5、二层24口接入交换机（17台）指标项招标要求交换能力★≥192Gbps包转发速率★≥39Mpps，全线速端口规格★配置24个千兆电口和4个千兆光口；每台主机提供4个单模光纤接口模块基本功能千兆端口支持IpV4/V6协议报文的线速转发支持多对一、多session、基于流的、和基于CPU的镜像支持QinQ需要提供基于VLAN的组播，多VLAN用户的组播流只在组播vlan中，节省带宽支持基于端口、基于VLAN的MAC 数量限制每个端口提供8个优先级队列，可分别设定队列带宽，支持WRR/SP/SWRR等调度方式。支持802.3ad，最大可支持32组trunk,每trunk可到8个端口，支持基于MAC和IP的负载均衡支持STP、RSTP、MSTP协议、root guard、bpdu guardIGMP Snooping，受控组播、组播VLAN安全管理支持防ARP扫描、欺骗支持IP-MAC-Port绑定功能支持标准和扩展ACL，MAC ACL，IP+MAC ACL，完全硬件线速实现，不影响转发性能。支持IEEE802.1x SNMPv1, v2c, v3，配置界面可显示中文信息帮助，支持中文网管支持SSH其它★推荐品牌：CISCO、H3C、神州数码。6、二层48口接入交换机（18台）指标项招标要求交换能力★≥350Gbps包转发速率★≥120Mpps，全线速端口规格★配置48个千兆电口和4个千兆光口；每台主机提供4个单模光纤接口模块基本功能千兆端口支持IpV4/V6协议报文的线速转发支持多对一、多session、基于流的、和基于CPU的镜像支持QinQ需要提供基于VLAN的组播，多VLAN用户的组播流只在组播vlan中，节省带宽支持基于端口、基于VLAN的MAC 数量限制支持IPv6 ACL、IPv6 host每个端口提供8个优先级队列，可分别设定队列带宽，支持WRR/SP/SWRR等调度方式。支持802.3ad，最大可支持32组trunk,每trunk可到8个端口，支持基于MAC和IP的负载均衡支持STP、RSTP、MSTP协议、root guard、bpdu guardIGMP Snooping，受控组播、组播VLAN安全管理支持防ARP扫描、欺骗支持IP-MAC-Port绑定功能支持标准和扩展ACL，MAC ACL，IP+MAC ACL，完全硬件线速实现，不影响转发性能。支持IEEE802.1x SNMPv1, v2c, v3，配置界面可显示中文信息帮助，支持中文网管支持SSH其它★推荐品牌：CISCO、H3C、神州数码。7、无线控制器（1台）指标项招标要求管理AP数量★≥256，本次配备≥128个许可支持无线用户数★≥5000业务端口≥24个千兆电口,≥4个Combo光口可靠性支持1+1，N+1，N+N冗余CAPWAPAP和AC之间支持L2/L3层网络拓扑、AP可以自动发现可接入的AC、AP可以自动从AC更新软件版本、AP可以自动从AC下载配置、AP可以自动从AC下载使用报告无线特性支持802.11 a/b/g/n协议，支持对所有AP(802.11a/b/g/n)进行统一管理，AP真正零配置上线支持集中转发和本地转发★支持对AP的分组管理，不同的分组可以配置不同的认证方式、加密方式以及相关的所有WLAN特性802.11吞吐量为单向≥64G,双向≥128G★支持二三层快速漫游、支持跨AP、AC漫游支持对非法未授权无线AP的侦测并拒绝接入无线网络支持二三层用户隔离，登录到无线的用户之间不能互相访问。支持基于MAC地址过滤的二层ACL★支持不少于32组SSID,实现基于不同SSID下的用户身份验证，无线加密，访问控制，上下行链路速率限制、VLAN等的安全功能IPv6支持IPV4/V6双栈、6to4隧道、IPv4 over IPv6 隧道、DHCPv6、DNSv6、SNMP v6、Ping v6、Telnet/SSH v6、IPv6 QoSQoS支持不同SSID映射不同QoS策略、支持802.11e(WMM)、支持基于用户数量的负载均衡、支持AP负载能力的负载均衡、支持对语音、视频、数据等不同流量设置优先级、支持对每个SSID上下行流量限速安全认证支持MAC地址认证、802.1x认证、支持Captive Portal认证，且支持Captive Portal界面客户自定义8、无线接入点（100个）指标项招标要求硬件规格★10/100/1000Base-T≥1支持POE，支持802.3af /802.3at无线特性采用3X3 MIMO天线★完全符合IEEE802.11 b/g/n标准,最高无线数据传输速率可达300Mbps；最大发射功率≥100mW，功率可调★支持不少于16个SSID(虚拟AP)，每个SSID可单独配置安全策略，认证方法，RADIUS服务器和VLAN ID。★支持胖/瘦AP模式，无需更换软件支持自动信道选择和输出功率控制，实现无线信号的最优化传输支持负载均衡安全特性支持基础型无线安全标准WEP: 64 bit, 128 bit；支持WPA/WPA2,TKIP 和 PSK，802.11i AES，以实现增强型无线安全功能支持基于MAC地址的静态端口安全 支持SSID隐藏支持用户隔离，登录到无线的用户之间不能互相访问。支持802.1x认证QoS支持基于802.11e、支持4级优先级队列，保证语音、视频等实时效果敏感应用的优先传输、支持上下行分别设置的速率限制管理特性★可通过WEB页面、SNMP、CLI(Telnet)对产品实现管理★可以接受中央集中无线控制器的统一管理，也可单独管理。资质提供工信部无线电发射设备型号核准证提供国家密码管理局商用密码检测中心密码检测证书其他★与无线控制器同一品牌9、网络运维管理软件（1套）指标项招标要求1要求可即开即用，安装简便。2★支持SNMP V1、V2、V3、RMON1.2 和ICMP等协议，可以从网内任一节点，动态搜索整个网络内的所有子网和网段，全面呈现网络的拓扑结构，可以自动、准确、及时地发现各类大型网络的拓扑结构。3支持图形化中文管理界面。4可以对网络设备的可用性、性能、流量管理和业务分析等等进行监测和管理。其支持的网络设备包括各种类型的交换机、路由器、防火墙、VoIP网关设备和其他启用了SNMP协议的网络设备。可以兼容管理多厂家、不同品牌、不同型号的网络设备，提供逼真的面板图。并且可通过面板图直观反映各端口的流量及状况，并支持对面板图的远程操作。5★支持实时监控网络设备的CPU、内存、流量等性能指标，并可跟踪这些指标的变化情况，支持实时查看网络设备的网管信息如端口列表、ARP表、STP表、TCP/UDP会话表等信息，监控主机的CPU、内存、磁盘等使用情况，监控HTTP、FTP、POP3、SMTP、ORACLE等应用的可用性。6用户可根据需要建立起自己的特色网络管理中心，并配制个性化的监控界面。7★支持自动发现所有链路，并自动发现设备之间端口连接情况。可以监控网络链路的通断、带宽利用率、流量等信息，在链路带宽利用率超出阈值时报警。并可统计指定时间内链路的流量、中断时间等。8支持实时采集、统计、分析网络流量，支持端口镜像、NetFlow、SFlow等流量采集。NM可对网络流量、业务流量和网络设备流量进行细致、深入的分析，通过对数据报文的协议分析，可以对HTTP、FTP、DNS、ICMP、ARP等协议进行流量统计排名，发现网络中的ARP攻击、蠕虫病毒。9★要求具有强大的报表自定义功能，能够提供健全的报表定制和网络分析服务，能完全满足用户对网络流量精确管理的需求。10★支持持续监视、报告网络的运行情况，发现异常及时告警，如：设备故障与链路阻断告警； 支持设备与链路性能告警；异常流量告警，如ARP病毒爆发、BT下载等。配置要求★管理节点数≥100。与核心交换机同一品牌10、多核安全网关（1 台）指标项招标要求硬件要求★64位多核安全网关（为确保产品性能，X86架构网关不在考虑范围）电源要求要求配置双冗余电源接口类型★为了保证良好的扩展性，至少提供10/100/1000M千兆电口≥12个，千兆光口≥6个，并配置6个单模光纤接口模块；产品性能★吞吐量≥4G bps，最大并发连接数≥400万支持IPV4/IPV6双栈模式；产品功能要求★支持防病毒功能：可对HTTP\FTP\POP3\SMTP\IMAP等协议进行病毒检测；对压缩文件类型的病毒检测，须支持RAR、ZIP、GZIP、BZIP2、TAR等压缩文件类型；病毒扫描文件的大小无限制；对多重压缩文件的病毒检测。支持IPS功能：可基于安全策略和安全域启用IPS；可在不同的攻击方向上启用IPS（流入\流出\双向），可以用在线防御和在线告警方式部署IPS功能；可防御的的攻击类型≥3000种；IPS特征库手工更新和自动在线更新。可据不同网站发布的内容进行URL分类过滤，控制用户对不良网站的访问，URL分类库包含的web站点数量至少2000万。支持上网行为管理功能：P2P应用类可识别和阻断、IM类可识别和阻断、网络游戏类可识别和阻断、炒股类可识别和阻断、在线视频类可识别和阻断、对Web页面内容可进行关键字过滤、具有SSL代理功能，可对HTTPS协议进行内容审计等功能支持带宽管理功能：a.可根据IP/IP段分别设置其上、下行的最大带宽、预留带宽，并可定制带宽策略的生效时间；b.可基于应用（例如P2P、网游、SIP等)分别设置其上、下行的最大带宽、最小带宽，并可定制带宽策略的生效时间。c.可根据认证后的用户/用户组/用户角色分别设置其上、下行的最大带宽、预留带宽，并可定制带宽策略的生效时间；d.可根据IP/应用/认证用户/自定义数据流/时间/DSCP/CoS/等多种元素制定高级复合带宽管理策略分别控制上下行的最大、最小带宽及保证带宽。支持路由功能：a.RIP v1/v2、OSPF封装及多链路负载均衡。b.支持虚拟路由器；c.支持源路由\源接口路由\策略路由；d.基于应用的策略路由（例如对BT\迅雷转发设置下一跳路由）；e.静态组播路由VPN要求★为了保障医院通过VPN更好的访问内部网络，要求能够提供SSL VPN、IPSEC VPN等功能。管理维护基于SSL的Web图形化管理，提供专业的命令行配置方式，提供SNMP网管协议的管理方式，提供Console标准控制方式支持备份系统映像，在当前系统映像出现故障时可切换至备份固件运行支持配置的备份和恢复，配置可导出保存至安全位置支持系统、内核及特征库的在线升级和手工升级配置要求★1台，每台配备≥16个SSL VPN许可，≥4000个IPSEC VPN隧道许可，≥64个虚拟防火墙许可。11、设备调试控制器（1套）指标项招标要求整体要求采用嵌入式实时操作系统，性能稳定可靠功能要求★提供丰富的工作模式实现串口设备立即联网功能支持Real Com/TTY驱动，完全兼容原有软件系统具有TCP Server、TCP Client和UDP等通用透明传输模式支持调试控制器直接对联模式和反向终端模式可通过网页浏览器或TELNET终端进行配置管理附带Windows平台下的管理软件，提供强大管理功能硬件要求★≥16个RJ45串行通信口12、内网安全管理及补丁分发（1套）指标项规格要求资质要求1.投标产品必须具备公安部销售许可证或国家保密局涉密信息系统检测证书；2.投标产品具有商用密码产品销售许可证系统功能1.★支持策略级联管理功能，上级管理服务器可强制定制策略并下发给下级管理服务器；下级管理服务器的报警和统计信息级联上报，同时支持上级直接登录下级管理服务器，以进行详细数据查询；2.★具备对管理员分权限管理，达到管理员、审计员权限分立，互不交叉。提供系统运行审计和操作审计机制，保证系统的稳定运行，系统管理员登录要求支持IP地址访问限定，只有获得授权的计算机才能进入系统控制台。提供产品功能界面截图并加盖厂商公章有效3.策略漫游功能：当计算机从当前管理器服务器管理区域变换至其它管理器的管理区域后，直接接受该区域管理服务器的接管，并自动获得和执行新管理服务器理的管理策略。提供产品功能界面截图并加盖厂商公章有效违规联网管理1.支持监控网络中客户端的非法外联行为，实时检测内部物理隔离网络用户通过调制解调器、ADSL、双网卡等设备非法外联互联网行为，并立即阻断和告警；2.具备互联网报警接收功能，对连接互联网后未再连接内网的设备进行报警；3.内网级联报警功能，违规联网的设备连接内网后内网可接收到报警信息。接入控制管理1.★强制注册管理：在没有交换机配合、不更改硬件配置的情况下，实现新接入计算机未注册强制按提示注册的功能，该功能在未注册计算机；不受主机防火墙、Arp防火墙的影响。提供产品功能界面截图并加盖厂商公章有效2、对接入网络的终端进行完整的接入控制、身份认证和核准准入流程管理。1)对接入到网络的终端能够详细记录终端的设备属性和身份。2)新接入的设备进行身份识别和系统健康检查，当接入的终端出现非法接入行为能及时发现和报警。3)对新接入网络准入性进行控制和核准，对于不需要接入网络或接入终端自身防护不达标的将禁止接入网络4)只有指定设备和用户才能存取网络资源 。5)未注册的计算机进行干扰和重定向，已达到对未注册计算机进行智能强制安装Agent。6)以上技术要求不需要改变任何网络环境，也不需要新增网络硬件设备。补丁及文件分发管理1.产品拥有自主研发的补丁自动分发功能，不依赖于第三方产品实现；2.要求支持补丁自动分发安装，可按系统、IE、Office等类型和级别对不定进行分类，分发对象可基于客户端网络IP范围、操作系统种类、域角色、自定义组等多种方式分发，策略能够在指定的时间、指定网络范围内有效；3.系统自动对新导入补丁提供安全性测试。测试完成后再大面积下发补丁；4.对于长期不打补丁的客户端，要求阻止其接入内网的行为；对新接入网络的计算机要求立即安装补丁，否则阻断其入网；5.支持客户端补丁的自动下载及安装补丁，支持用户自定义补丁策略，系统可基于终端网络IP范围、操作系统种类、补丁类别等多种方式制订策略，可在指定时间、指定网络范围内分发补丁；移动存储介质管理1. 用户移动存储介质注册功能：由用户自己对普通移动存储介质（如u盘，移动硬盘等）进行注册，注册后生成移动介质唯一标识，同时进行数据加密，由用户进行密码设置，需要输入密码才可访问移动介质内的信息；2.只有带有注册并且符合移动存储介质管理策略的存储介质才可以接入内网计算机使用，未注册的移动存储介质无法在内网使用（或根据策略在指定设备受限使用）；2.支持对移动硬盘、U盘等存储介质进行可信集中注册，移动存储介质按需求可划分为交换区和加密区，分区容量可由管理员灵活定义，经过处理后的移动设备，可分保密区、交换区。保密区仅能在授权计算机上使用，在非授权计算机上不可用。交换区通过用户密码认证后在内外网计算机均可使用。交换区供内外网数据交换使用，加密区存储涉密文件，涉密文件和非涉密（如个人文档）文件分别存放。提供产品功能界面截图并加盖厂商公章有效3. 支持注册后的移动存储介质依据授权信息数据交换控制功能，并支持移动存储设备（分区域、网段等）接入管理，对指定区域内支持禁用、只读、读写等访问控制形式；内网安全管理资产管理功能1.资产管理：系统要求支持管理网络终端软硬件资产，包括硬件设备信息（诸如硬盘、CPU、内存等）、位置信息（设备名称、使用人、联系电话、所属部门等）、网络信息（MAC地址、IP地址、主机名、网关地址）、软件安装信息（操作系统、防病毒软件等）等；2.硬件变化管理：系统要求支持设备硬件变化行为（如设备硬件变化、网络地址更改等）报警；支持对未注册设备、注册程序卸载行为的报警；3.对于无法采集信息的硬件（如IP电话等），支持手动修改和添加硬件信息。安全管理1.要求支持网管统一管理的主机防火墙功能，具备对客户端进行端口访问控制、IP地址访问控制等功能，策略由管理员制订统一策略在客户端执行；2.★能够识别具有公安部颁发销售许可证的全部杀毒软件，并监控这些防病毒软件在客户端的安装情况、实时运行情况，对未运行杀毒软件的计算机进行如告警、断网处理；3.★要求支持终端流量监控，对网络客户端流量达到策略设定阈值时报警或断网，对可疑发包（疑似蠕虫病毒发包）行为、并发连接数过多进行提示或断网；4.★支持进程管理功能：支持对（指定公司名、源文件名）的进程进行黑白名单的控制，黑名单内的进程自动被禁止，指定执行目录下的白名单内进程自动启动；5.密码管理支持检测系统密码弱口令检测功能，并可强制用户设定系统（屏保）密码，密码的设定强度和更换频率可由管理员控制；6.★支持IE的BHO黑名单管理功能；其他采购要求★提供500个终端的管理许可；推荐品牌：网御星云、天融信、北信源；13、WEB应用防护网关（1套）项目指标具体功能要求基本要求品牌推荐品牌：深信服、绿盟、梭子鱼。接口具备≥4个10/100/1000 Base-T 千兆电口、≥2个SFP千兆光口Bypass支持故障时Bypass功能（2路）技术规范CPU★必须支持多核CPU硬盘必须提供不小于500G的硬盘Web攻击防护双向内容检测支持HTTP/HTTPS协议检测与防护能力，可对不同类型的HTTP请求协议头部及参数进行双向深度检测和过滤Web应用防护识别库★支持web应用防护识别数量1000+（需提供截图证明）Web攻击防护★支持OWASP定义10大web安全威胁，保护服务器免受基于Web应用的攻击，如SQL注入防护、XSS攻击防护、CSRF攻击防护、支持根据网站登录路径保护口令暴力破解（需提供截图证明）文件上传过滤★严格控制上传文件类型，检查文件头的特征码防止有安全隐患的文件上传至服务器，并支持结合病毒防护、插件过滤等功能检查文件安全性访问权限控制支持指定URL的黑名单、加入排除URL目录功能其他应用防护 ftp弱口令防护、telnet弱口令防护应用信息隐藏Web服务隐藏★支持Web网站隐藏，包括HTTP响应报文头出错页面的过滤，web响应报文头可自定义（需提供截图证明）FTP服务隐藏★支持FTP服务应用信息隐藏包括：服务器信息、软件版本信息等（需提供截图证明）网页篡改防护网关型网页防篡改支持网关处网页防篡改，无需在服务器中安装任何插件篡改实时检查支持文件比对、特征码比对、网站元素、数字指纹比对多种比对方式，保证网站安全动态网页/静态网页支持★全面保护网站的静态网页和动态网页，支持网页的自动发布、篡改检测、应用保护、警告和自动恢复，保证传输、鉴别、地址访问、表单提交、审计等各个环节的安全，完全实时杜绝篡改后的网页被访问的可能性及任何使用Web方式对后台数据库的篡改检测方式支持各级页面模糊框架匹配、精确匹配的方式适用不同的网页类型业务管理与安全管理分离支持提供管理员业务操作界面与网管管理界面分离功能，方便业务人员更新网站内容重定向支持网站其他页面、自定义页面、web备份服务器篡改后重定向报警方式支持短信报警、邮件报警、控制台报警等多种篡改报警方式★敏感信息防泄漏可定义的敏感信息可定义多种特征的敏感信息，如用户名、密码、邮箱、身份证信息、MD5密码等http敏感信息检测支持正常访问http连接中非法敏感信息的外泄操作数据文件敏感信息检测支持数据库文件敏感信息检测，防止数据库文件被“拖库”、“暴库”风险评估端口服务扫描支持目标IP进行端口、服务扫描漏洞风险评估支持服务器、客户端的漏洞风险评估功能弱口令扫描★支持ftp、mysql、oracle、mssql、ssh、RDP、网上邻居NetBIOS、VNC等多种应用的弱口令评估与扫描Web系统/应用漏洞防护Web发布服务器漏洞攻击防护★必须提供IIS、Apach等web应用软件的漏洞攻击防护功能（需提供截图证明）操作系统漏洞防护必须支持windows、linux、unix等操作系统漏洞防护功能WEB安全防护URL过滤对用户web行为进行过滤，保护用户免受攻击；支持只过滤HTTP GET、HTTP POST、HTTPS等应用行为；并进行阻断和记录日志文件类型过滤支持针对上传、下载等操作进行文件过滤；支持自定义文件类型进行过滤；支持基于时间表的策略制定；支持的处理动作包括：阻断和记录日志ActiveX过滤支持基于签名证书的ActiveX过滤；支持添加白名单和合法网站列表；支持基于应用类型的ActiveX过滤，如视频、在线杀毒、娱乐等；脚本过滤支持基于操作类型的脚本过滤，如注册表读写、文件读写、变形脚本、威胁对象调用、恶意图片等应用访问控制应用特征识别支持对800种以上应用1000种以上的应用动作应用智能识别★支持应用更新版本后的主动识别和控制（必须提供自主知识产权证明，加盖厂商公章）基于用户、应用访问策略必须提供基于应用识别类型、用户名、接口、安全域、IP地址、端口、时间进行应用访问控制列表的制定抗拒绝服务攻击特性DOS/DDOS攻击防护支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能，此外还支持静态和动态黑名单功能、MAC和IP绑定功能应用层DOS攻击支持应用层DOS攻击防护，具有HTTP Get Flood、CC攻击防护功能14、机房线路管理系统（1套）指标项招标要求硬件标准★要求一体机结构，采用标准机架式状态指示带液晶面板。能显示系统运行状态、系统型号、CPU、内存占用数等系统运行状态信息。液晶面板自带导航功能可以前后翻页查看这些信息。线路接口数4个10/100/1000M电口，接口前置,可扩展至12个电口工作模式基于B/S结构模型, 功能强大、管理界面友好。具体功能用户权限：可实行跨地域管理和分工管理,用户权限明确，方便管理，完善的日志管理功能，方便对所有操作进行历史查看。添加设备：可以直接添加标准与非标准的网络设备。★信息点查看：能够直观的在楼层平面图上查看所有的信息点位置，并可以对其进行查看与编辑。★线缆管理：线缆线标管理，可以对综合布线中的所有的线缆进行管理，方便查找。★图形化：数据和图形相结合，只要输入数据就能够生成所有模拟图形。且能在模拟图上进行设备和端口的管理和查看功能，方便的把图形和信息进行紧密的结合，方便管理和查找。批量管理：可以对系统内的设备端口及线路进行批量添加和管理，减少了用户对系统维护的复杂度。文档管理：完善的分层文档管理，更接近于windows的资源管理器，便于布线文档的管理和查询。派工单位：详细的派工单管理，记录管理员对系统进行的变更。设备统计功能：可以统计整个网络中使用的硬件设备数量，以方便查看统计。导出功能：对查询到的数据具有导出功能，方便数据的拷贝和对数据的整理分析。终端检测：能够对网络中的终端设备进行实时检测，查看其运行状态。 扩展功能：方便的扩展功能可以根据用户要求与任何系统对接.15、隔离网闸（1套）指标项标书要求硬件物理隔离具备硬件物理隔离部件：系统采用2+1架构设计，包括内端机、外端机和独立的硬件隔离信息交换区。采用专用隔离芯片设计，不支持通用通讯协议,不可编程：隔离区包含基于ASIC设计的电子开关隔离芯片，不采用SCSI、网卡以及任何加/解密等方式。隔离区信息交换采用DMA方式实现。设备断开内外网络TCP/IP连接接口★接口：≥4个100/1000M自适应端口；系统性能并发连接会话数>10000系统带宽>400Mbps内部数据交换速率>2Gbps数据库SQLServer、Oracle、Sybase、DB2等的单、双向数据交换；支持周期复制、实时复制、增量更新等多种同步方式；支持设定同步时间和同步周期；支持复杂网络部署，不需改变用户网络环境；文件交换支持客户端、samba、NFS、ftp、有客户端等多种文件交换方式；支持文件复制、移动、增量等多种传输方式； 安全访问控制功能支持多种方式的访问控制，包括源，目的IP、子网、时间、时间端口、内容过滤必须支持针对URL中包含的控制字符、URL携带的参数安全过滤必须支持FTP、HTTP协议基于RFC全面控制命令的访问控制，包括HTTP中的WEBDAV命令的访问控制。工作模式支持SAT和透明应用代理两种工作模式，支持混合工作模式； 操作系统采用经过安全加固的Linux操作系统厂商资质要求1、★流媒体隔离网闸著作权证书2、★入围河南省保密局2012年《河南省保密技术防范设备（产品）管理目录》推荐名单中（提供相关证明文件复印件）备注：1、所投产品要求免费质保期限为5年，所有产品要求原厂商提供针对本次招标项目的授权书原件和5年免费质保期限承诺书原件；否则视为废标；2、针对产品参数中的技术描述，投标人必须提供产品技术彩页或者技术性能证明文件，以证明所投产品符合标书要求。带★号部分为必须满足项目，否则视为废标；3、为确保系统兼容性和稳定性，所有光纤模块要求必须与交换机同一品牌。供货时提供厂商出具的真品证明文件（加盖厂商公章有效）。4、所投产品要求：硬件免费质保期限为5年；软件提供5年内免费升级；若设备出现故障，要求厂家承诺4小时内到达现场进行检查、调试。