政府采购申报书1、项目概述（介绍采购项目情况、用途等）按照国家总局的要求，四川省工商局通过建设省级工商数据中心以满足日益增长的新增业务平台建设需求，实现未来工商业务数据的大集中、大统一。2、供应商资格条件、产品的资格条件一、投标人资格、资质性及其他类似效力要求1、具备《政府采购法》第二十二条规定的条件；二、投标产品的资格、资质性及其他类似效力要求1、本项目的硬件产品供货商必须是产品制造商或其授权代理商，若是代理商，必须提供相应制造厂商关于本次投标项目的授权（省级骨干路由器、核心交换机、防火墙系统、数据库审计系统四项是必须授权，其他产品可以不授权）。2、依照法律、行政法规、地方性法规、行政许可的强制性规定，生产、销售产品和产品本身需要取得许可证照或者需要经过认证的。3、采购项目的技术需求（项目技术及规格参数）注：采购项目的技术需求（项目技术及规格参数）部分所有的认证证书和测试报告都作为评分表中的加分项，不作为实质性响应要求。1、采购项目的技术需求（项目技术及规格参数）1 建设目标按照国家总局的要求，四川省工商局通过建设省级工商数据中心以满足日益增长的新增业务平台建设需求，实现未来工商业务数据的大集中、大统一。2 设计原则四川省工商局数据中心集成项目本着可管理性、高可扩展性、先进性、高可用性、安全性的原则进行设计。2.1 遵循可统一管理的要求设备按功能区域配置，实行区域内设备的集中、统一管理和共享使用。2.2 遵循可扩展性的要求在设计中考虑今后业务发展的需要，确保将来可根据需要平滑升级，保护投资。2.3 兼顾成熟性与先进性选用成熟、先进的技术和设备，使构建的省级工商数据中心有较高的技术水平，以适应今后的发展。2.4 兼顾高可用性与安全性核心设备采用双机部署，保证其高可用性；做好网络防护及数据库、运维审计，保证其安全性。3 建设内容3.1 市州局网络建设为保证各市州局访问省局业务系统的稳定高效，市州局至省局数据中心链路通过市州级网络接入设备，实现工商业务专网和电子政务外网双链路冗余组网。同时，为保障链路割接和调试的顺利进行，项目承建方必须协调链路提供商做好配合工作。3.2 省工商局数据中心机房建设3.2.1 全省网络核心节点及组网设计以省级数据中心机房为核心节点，使用高性能路由器做为全省广域网骨干路由器，负责全省工商系统网络的核心数据路由，有效保障业务的连续性和可靠性。同时，依托四川省电子政务外网，组建全省工商备用网络。在工商专网发生故障的时候，能够使用备用网络进行应急数据传输，保障关键业务数据传输不会发生长时间中断。3.2.2省工商局数据中心机房网络结构设计方案3.2.2.1 内网区域网络结构设计方案省级数据中心采用两台高端高性能核心交换机保证数据中心各应用系统数据的快速转发，并采用虚拟化技术，将两台核心交换机虚拟成为逻辑上的一台设备，在保证数据正常运行下，有效保障业务的安全性和可靠性，并方便后期数据中心的扩展。核心交换机下配置汇聚交换机，所有汇聚交换机使用千兆端口，双线分别上联两台核心交换机；汇聚交换机下联各应用系统服务器，实现各应用系统之间数据交换的快速转发，减小核心交换机压力，并方便后期为不同应用系统划分安全区域。整个数据中心所有网络设备均采用万兆光口互联，保证数据快速、高效、稳定地进行传输。3.2.2.2 外网区域网络结构设计方案在省级数据中心外网区域出口使用高性能防火墙做为省级互联网出口设备，负责省级工商系统网络的核心互联网出口安全及路由，在保证数据正常运行下，有效保障业务的高可用性及高安全性。采用两台高性能交换机保证数据中心外网区域的各应用系统数据的快速转发，并采用虚拟化技术，将两台外网区域核心交换机虚拟成为逻辑上的一台设备。外网区域核心交换机下联外网汇聚交换机，所有外网汇聚交换机使用千兆端口，双线分别上联两台外网区域核心交换机，在保证数据正常运行下，有效保障业务的安全性和可靠性，并方便后期数据中心的扩展。省级数据中心的外网区域与内网区域的数据交换通过网闸进行隔离，保证数据的安全、可靠。整个数据中心所有网络设备均采用万兆光口互联，保证数据快速、高效、稳定地进行传输。3.2.3 省工商局数据中心安全区域设计方案3.2.3.1 内网安全区域设计方案1、在网络接入区串行部署防火墙（FW）网络安全设备，多层次、立体防范外部网络的恶意攻击和规范控制内部网络对外访问行为；2、在业务服务器区和外部区域之间部署运维安全审计系统，规范并审计服务器的登陆认证和运维操作和业务访问行为记录，帮助网络管理员事前认证授权、事中实时监控、事后精确溯源，加强内外部网络行为监管、促进服务器的正常运行。3、在业务服务器区和外部区域之间部署数据库审计系统，规范并审计核心数据库各项特性要求和运行情况，使系统能够达到IT审计合规性要求，能够有效减少核心信息资产的破坏和泄漏，方便追踪溯源，便于事后追查原因与界定责任，从而直观掌握业务系统运行的安全状况。3.2.3.2 外网安全区域设计方案1、在网络接入区串行部署防火墙（FW）网络安全设备和入侵防护系统（IPS），多层次、立体防范外部网络的恶意攻击和规范控制内部网络对外访问行为；2、在业务服务器区串行部署WEB应用防护系统（WAF），加强对应用服务器的访问控制以及恶意代码和恶意攻击的安全防护；防范外部网络的攻击行为和审计记录对应用服务器的访问行为。3、在省级数据中心外网区域与内网区域之间部署安全隔离网闸，保证内、外网数据交换的安全、可靠，提升网络整体安全性。3.3 设备清单考虑设备在网络中的部署情况，并且兼容以后的升级，对产品型号做如下选择：序号名称配置要求数量1省级骨干路由器1)配置双主控，业务槽位≥6个，冗余电源；2)端口配置≥4个千兆光口和≥4个千兆电口，配置4个10公里1310nm千兆单模光模块，4个千兆多模光模块；3)支持MPLS VPN。4)支持主控与交换分离的高可靠性硬件架构。5)整机背板交换容量≥6Tbps，整机包转发率≥2200Mpps，每插槽最大带宽≥200Gbps。6)支持母板卡、子卡的热插拔。7)路由器配置的所有板卡端口均可实现全线速转发。8)支持IPv4静态路由，支持RIP、OSPF等动态路由协议。9)支持IPv6静态路由，支持RIPng、OSPFv3等动态路由协议，支持DHCPv6。10)支持IPv4转发表容量≥500000条。11)支持IPv4向IPv6的过渡技术。12)IPv6 over IPv4隧道数量≥2000；IPv4 over IPv6隧道数量≥2000，支持IGMPv1/v2/v3协议。13)支持QOS，支持≥50000个队列。14)提供工信部入网许可证。15)提供3年原厂免费质保服务。12核心交换机1)配置双主控，业务槽位≥6个，交换槽位≥5个，冗余电源；2)端口配置≥24个万兆光口和≥48个千兆电口，配置12个万兆多模光模块；3)支持MPLS VPN；4)支持主控与交换分离的高可靠性硬件架构。5)具有虚拟化功能，双向带宽≥200Gbps；支持扩展到40G和100G端口。6)交换容量≥30Tbps，包转发率≥9000Mpps，每插槽最大带宽≥960Gbps。7)交换机配置的所有板卡端口均可实现全线速转发。8)支持整机MAC地址≥500000；支持静态MAC；支持IEEE 802.1d(STP)、 802.w(RSTP)、 802.1s(MSTP)。9)支持Trill。10)支持静态路由，支持RIP V1、V2, OSPF。11)支持IP/ARP/ICMP 安全，支持CPU保护技术，支持基于第二、三、四层的ACL，支持通过硬件监控模块对电源模块、板卡、风扇等进行监控和维护。12)交换业务板卡实现N 1备份。 13)支持通过命令行、Web等方式进行配置和管理。14)支持MPLS VPN，支持扩展到40G端口和100G端口。15)提供工信部进网许可证。16)提供3年原厂免费质保服务。23汇聚交换机1)端口配置≥48个千兆电口和≥4个万兆光口,配置4个万兆多模光模块（或万兆连接线缆）,冗余电源；2)交换容量≥360Gbps；包转发率≥130Mpps；包缓存≥4M。3)支持DHCP Snooping Trust, 防止私设DHCP服务器；支持DHCP Snooping Binding Table, 防止ARP攻击、DDOS攻击、中间人攻击。4)支持IP/Port/MAC的绑定功能。5)MAC地址≥30000；支持静态MAC； 6)支持IEEE 802.1d(STP), 802.w(RSTP), 802.1s(MSTP)；支持端口聚合，每个聚合组最多能提供≥8个端口。7)支持Trill。8)支持通过配套网管软件实现虚拟机迁移。9)支持通过命令行、Web等方式进行配置和管理。10)支持带外管理接口。11)提供工信部入网证书。12)提供3年原厂免费质保服务。24网络管理软件1)支持网络拓扑发现以及拓扑展示，支持网络设备流量监控，支持网络设备性能监控。2)支持网络设备手动添加、删除、修改等操作，支持网络设备配置监控。3)支持网络设备Log日志监控。4)支持网络性能监控，提供采集探针到某个地址的时延、抖动、丢包等网络基本性能参数的监控，并提供性能监控的可视化。5)支持服务器监控，支持通过SNMP对服务器进行监控，支持通过Telnet以及SSH对服务器进行监控。6)支持通过Email、短信进行远程报警。7)可管理设备数≥100台。8)支持对物理、虚拟网络设备统一管理，并展示各虚拟网络设备间拓扑关系。9)与省级骨干路由器和核心交换机同品牌。10)提供3年原厂免费质保服务。15外网核心交换机1)配置双主控，业务槽位≥6个，冗余电源；2)端口配置≥12个万兆光口，≥12个千兆光口，≥36个千兆电口，配置8个万兆多模光模块，配置8个千兆多模光模块；3)具有虚拟化功能,双机间带宽≥200Gbps。。4)交换容量≥5Tbps，包转发率≥2800Mpps。5)支持整机MAC地址≥500000；支持静态MAC。6)支持静态路由，支持RIP V1、V2, OSPF。7)支持IPV6，并提供IPV6 Phase II认证。8)支持通过硬件监控模块对电源模块、板卡、风扇等进行监控和维护。9)支持通过命令行、Web等方式进行配置和管理。10)提供工信部进网许可证。11)提供3年原厂免费质保服务。26外网汇聚交换机1)端口配置≥48个千兆电口, ≥4个万兆光口,配置4个万兆多模光模块,冗余电源；2)交换容量≥256Gbps；包转发率≥128Mpps；包缓存≥4M。3)支持DHCP Snooping Trust, 防止私设DHCP服务器；支持DHCP Snooping Binding Table, 防止ARP攻击、DDOS攻击、中间人攻击。4)支持IP/Port/MAC的绑定功能。5)MAC地址≥30000；支持静态MAC；6)支持IEEE 802.1d(STP), 802.w(RSTP), 802.1s(MSTP)；支持端口聚合，每个聚合组最多8个端口。7)支持通过命令行、Web等方式进行配置和管理。8)支持带外管理接口。9)提供工信部入网证书。10)提供3年原厂免费质保服务。27市州骨干路由器1)配置双主控；配置冗余电源；配置≥4个千兆路由光口，配置≥10个千兆交换电口，配置4个10公里1310nm单模光模块。2)板卡插槽≥8个。3)包转发性能≥5Mpps。4)所有业务板卡支持直接热插拔。5)电源、风扇支持可插拔。6)具有IPSec硬件加密功能，加密性能≥500Mbps。7)支持智能策略路由，可根据多个链路的网络质量，动态选择最佳链路。8)提供工信部入网证书。9)提供3年原厂免费质保服务。218防火墙系统1)采用下一代防火墙技术，实现基于应用管控的业务优化；支持应用抗攻击沙箱云；冗余电源；2)配置≥6个千兆电口和≥6个千兆光口插槽，配置4个千兆多模光模块；吞吐量≥5Gbps；并发连接数≥200万，每秒最大新建连接数≥5万。3)支持路由、透明及混合模式部署。4)可针对源接口、目的接口、安全域、协议类型、源地址、目的地址和报文通讯时间等条件设定安全策略。5)具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》；6)具有中国国家信息安全测评认证中心颁发的《信息安全产品认证证书》；7)具有国家版权局颁发的《计算机软件著作权登记证书》；8)具有中国国家保密局测评中心颁发的《涉密信息系统产品检测证书》；9)提供3年原厂特征库免费升级和免费质保服务。29入侵防护系统1)标准2U设备，冗余电源；多核多线程并行操作系统，配置≥6个千兆电口和≥6个千兆光口插槽，配置4个千兆多模光模块；整机吞吐量≥5Gbps，IPS吞吐量≥3Gbps；并发连接数≥200万。2)设备前面板提供显示界面，用于查看设备当前运行状态及配置情况。3)支持具备自主知识产权的网络入侵特征配置技术，支持IPv6安全控制策略设置，能针对IPv6的目的/源地址、目的/源服务端口、服务、扩展头属性等条件进行安全访问规则的设置；4)支持对溢出攻击、蠕虫病毒类攻击、木马类攻击、拒绝服务类攻击、统计型及非法报文攻击等行为的防护。5)具备恶意、非法网站过滤功能，支持恶意站点防护，具备恶意站点库，能够在终端用户访问恶意站点时主动切断连接，并提供站点库的实时动态更新；6)具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》7)具有国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》8)具有国家版权局颁发的《计算机软件著作权登记证书》9)提供3年原厂特征库免费升级和免费质保服务。110WEB应用防护系统1)2U设备，冗余电源，配置≥12个千兆光电互斥口，12个接口永久使用授权，≥1个CF卡插槽，≥2个USB口。2)设备前面板提供显示界面，用于查看设备当前运行状态及配置情况。3)吞吐量≥3Gbps，最大并发连接数≥370000，每秒新建连接数≥6500，响应≤25ms，延时≤15ms。4)支持VXID算法的SQL注入攻击防御；产品支持VXID算法的XSS攻击防御；支持Web应用防护事件库，支持≥700条Web安全相关事件特征；支持定期和突发Web安全事件的紧急升级服务能力；支持针对指定的URL页面，产品可定义页面允许的方法、URL长度以及查询字符串长度；支持针对Web恶意扫描，可以通过多个层次进行恶意扫描攻击行为检测防护。5)具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》6)具有中国信息安全认证中心颁发的《IT产品信息安全认证证书》7)提供3年原厂特征库免费升级和免费质保服务。 111数据库审计系统1)审计引擎和审计数据中心采用分布式部署以提高数据处理能力，均采用独立硬件，支持旁路部署；2)审计引擎为2U设备，配置双电源，专用加速操作系统；硬件配置≥6个千兆电口和≥4个千兆光口，4个千兆多模光模块，包括≥1个电口管理口永久使用授权，≥2个电口监听口永久使用授权；3)审计数据中心为2U设备，配置双电源，专用加速操作系统；硬件配置≥6个千兆电口，包括≥1个电口管理口永久使用授权，≥1个电口数据口永久使用授权；4)审计数据中心支持磁盘阵列，存储空间≥2TB；事件入库速度≥16000/秒，日处理日志数≥1200万条。5)支持审计ORALCE、SQL SERVER、MY SQL、DB2、Sybase、Informix、PostgreSQL等各类主流数据库系统；提供对数据库返回码的知识库和实时说明，帮助管理员快速对返回码进行识别；支持数据库并发会话数、并发进程数、并发用户数、并发游标数、并发事务数、数据库锁等超过限制的审计；审计策略支持时间、源IP、目的IP、协议、端口、登陆账号、命令作为响应条件；审计策略支持数据库客户端软件名称、数据库名、数据库表名、数据库字段名、数据库返回码作为响应条件。6)具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》7)具有中国国家信息安全测评认证中心颁发的《信息安全产品认证证书》8)具有国家版权局颁发的《计算机软件著作权登记证书》9)具有中国国家保密局测评中心颁发的《涉密信息系统产品检测证书》10)提供3年原厂免费质保服务。112安全隔离与信息交换系统1)2U设备，冗余电源，多核多线程并行操作系统，隔离交换矩阵基于专用芯片实现主机系统间采用自有协议摆渡数据。2)设备前面板提供显示界面，用于查看设备当前运行状态及配置情况。3)配置≥6个千兆电口和≥4个千兆光口扩展槽，4个千兆多模光模块；内外网主机系统分别具有独立的网络口、管理口、HA口（热备口），≥4个USB口。4)吞吐量≥900Mbps，并发连接数≥60000，全功能模块（文件交换、FTP访问、数据库传输、邮件传输、安全浏览、安全通道、消息模块）。支持文件交换、FTP访问；支持ORACLE、MS SQL、SYBASE、MySQL、Access等主流数据库；数据库同步应用可通过灵活的同步机制保证安全等级不同的网络中的数据库系统实现数据同步更新，支持表级、字段级同步；支持多种方式同步（如镜像、增量），同步模式支持单向和双向同步。 5)具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》6)具有中国国家信息安全测评认证中心颁发的《中国国家信息安全产品认证证书》7)具有国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》8)提供3年原厂免费质保服务。113运维安全审计系统（堡垒主机）1)标准机架式结构，冗余电源，配置≥4个千兆电口，支持≥700路字符会话或≥200路图形会话并发，默认可管理节点数≥50个。2)支持多种认证方式如用户名密码、域、目录服务等；支持运维用户静态口令、动态口令认证方式；3)支持管理员静态口令、动态口令、证书 KEY等认证方式；4)支持密码强度、密码效期、口令尝试死锁、用户激活等安全管理功能；5)支持帐户和资源信息导入导出，方便批量处理；提供基于用户、运维协议、目标主机、运维时间段（年、月、日、周、时间）、会话时长、运维客户端IP 等组合的授权功能，实现细粒度授权功能；提供在线运维的操作的实时监控功能。6)针对命令交互性协议可以图像方式实时监控；7)针对运维过程中可能存在潜在操作风险，根据用户配置的安全策略实施运维过程中的违规操作检测，对违规操作提供实时告警和阻断，从而达到降低操作风险及提高安全管理与控制能力；8)运维操作审计以会话为单位，提供当日和条件查询定位。9)条件查询支持按运维用户、运维地址、后台资源地址、协议、起始时间、结束时间，并对操作中的关键内容和文字信息提供搜索功能。10)具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》；11)提供3年原厂免费质保服务。1注：采购方保留对中标候选人所投设备的测试权利，如发现中标候选人所投设备对应招标要求存在实质性不响应，采购方有权递增第二中标候选人作为中标候选人（以此类推）。4、售后服务要求1 服务内容1.1 软硬件系统维护提供3年原厂特征库免费升级和免费质保服务，对硬件设备运行性能、状态检测；异常情况紧急处理；硬件配件更新、优化及升级等。1.2 远程服务免费远程咨询和维护服务，分为电话支持和远程通讯支持服务。中标人提供7*24小时受理热线电话（投标人提供服务受理热线电话号码）支持，安排专职值班维护人员接听电话，解答问题，指导排除故障，以满足服务需求。远程通讯支持服务，使用聊天工具等提供5*8小时网上在线服务。1.3 现场维护项目自验收合格提供3年现场技术人员维护服务，提供7*24小时技术服务，1小时响应。2 提供培训免费提供2个核心交换机原厂商的高级认证培训及考试名额。5、交货时间及地点，付款方式1.软件交货时间：合同签订之日起1个月内；2.硬件交货时间：合同签订之日起1个月内；3.交货地点：采购人指定地点；4.交货方式：由供货方免费运输、安装到甲方指定地点5.付款方式：合同签订后预付30%的货款；所有硬件设备安装调试符合要求，并完成设备初验后再支付总款项的40%；本项目的承建方必须全面配合甲方线路升级及机房改造的实施，项目整体验收合格后支付总款项的30%。序号评分项目评分依据及标准1投标报价(30分)1、有效投标中投标价格最低的投标报价为评标基准价，其价格分为满分。2、其他投标人的价格分统一按照下列公式计算：投标报价得分=(评标基准价／投标报价)×30；3、超过财政预算（最高限制报价）的投标报价为无效报价。2商务评审(25分)投标人资质（12分）（1）投标人具有工业和信息化部颁发的计算机信息系统集成一级及以上资质的得3分，二级的得1分，否则不得分。（2）投标人具有工业和信息化部颁发的《通信信息网络系统集成企业甲级资质》的得3分，否则不得分。（3）投标人具有中国信息安全测评中心颁发的《信息安全服务资质证书安全工程类二级资质》的得3分，否则不得分。（4）投标人（或其所属部门）具备中国信息安全认证中心颁发信息技术服务管理体系ISO20000证书的得3分，否则不得分。投标人专业能力（6分）（1）本次项目实施的技术经理须具备ITIL（IT基础架构库）及CISP（国家注册信息安全专家）认证，满足要求的得3分，否则不得分；（提供认证证书复印件和近三个月有效社保证明并加盖投标人公章）（2）项目组其他成员至少包括3名CCIE和3名CISP（国家注册信息安全专家），满足要求的得3分，否则不得分（提供认证证书复印件和近三个月有效社保证明并加盖投标人公章）。投标人和原厂商的项目建设经验和案例（7分）（1）投标人在省级及以上政府部门有项目合同金额不小于500万元的集成类项目成功案例（必须提供合同复印件和用户质量证明），3个案例的得5分，2个案例的得3分，1个案例的得1分，否则不得分（同一案例在1、2项不重复计分）；（2）防火墙产品厂商在四川省政府行业单次合同金额不小于300万元并提供防火墙产品合同复印件的得2分，否则不得分。3技术评审(30分)技术方案合理性（5分）投标人提交的技术设计方案充分考虑了采购人的具体情况，反映了采购人的实际需求，方案描述清楚，设计合理、可行，投标文件制作规范。优良：5分一般：4分较差：3分技术指标和配置（12分）投标产品技术指标和配置必须完全满足招标要求（投标方必须提供省级骨干路由器、核心交换机、防火墙系统、数据库审计系统加盖厂商公章的彩页宣传资料），若所投标产品技术指标和配置与招标文件要求或彩页宣传资料有负偏离的，一项扣2分，扣完为止。投标产品资质要求（8分）（1）骨干路由器支持虚拟化技术并提供加盖厂商公章的彩页宣传资料的，得2分，否则不得分。（2）核心交换机支持硬件BFD，具有快速保护切换和快速收敛功能，并提供权威第三方测试机构的测试报告的，得2分，否则不得分。（3）核心交换机ACL表数量≥250000条，并提供权威第三方测试机构的测试报告的得2分，否则不得分。（4）安全隔离与信息交换系统和WEB应用防护系统具有IPv6 Ready金牌认证，提供证书复印件证明，两个产品均提供的得2分，否则不得分。投标产品厂商所获荣誉（5分）（1）核心交换机产品厂商具有科技部、国资委和全国总工会颁发的《创新型企业》称号并提供加盖厂商公章的相关证书复印件的得2分，否则不得分。（2）骨干路由器厂商通过CMMI4及以上认证并提供相关证明文件的得1分，否则不得分。（3）入侵防护系统产品厂商具有《涉及国家秘密的计算机信息系统集成资质证书（甲级）》的得2分，否则不得分。4售后服务(15分）投标人售后服务体系（13分）（1）服务及技术支持方案（共3分）。其中，提供施工组织方案的得1分，否则不得分；提供测试方案的得1分，否则不得分；提供培训计划的得1分，否则不得分。（2）投标人具有涵盖全省的技术保障服务能力，在省内各市州有下辖的、长期的分支机构和技术服务人员，提供全省21个市州当地分支机构营业执照复印件并加盖当地分支机构公章的，得6分，否则不得分。（3）投标人提供四川省工商系统广域网线路运营商针对本项目的通信服务承诺书的，得4分，否则不得分。投标产品原厂商支持服务能力（2分）省级骨干路由器、核心交换机、防火墙系统、数据库审计系统原厂商在成都本地有分支机构和备品备件库的得2分（提供明确备件库地点），否则不得分。