项目编号

WBMD-2017-GCZB-12012

所属地区

宿州市

项目名称

安徽恒源煤电股份有限公司虚拟化云平台系统建设项目

发布时间

2017年12月4日

报名截止时间

2017年12月8日

序号

名称

技术参数要求

数量

单位

1

▲

虚拟化云平台硬件

一、云计算存储资源：

★基于通用X86架构的模块化的“超融合虚拟化平台”设备，19英寸工业标准机架式，2U机架高度，可支持4个热插拔节点，本次项目配置不少于8个热插拔节点，每个节点需求如下：

1、处理器：处理器类型:支持Intel E5-2640 v4 CPU；

2、内存类型:最大支持1TB内存,支持2133 MHz内存，支持ECC,Chipkill，本次配置不少于512GB内存；

3、内置硬盘类型：不少于1块960GB SSD硬盘；不少于5块6TB硬盘；

4、网络接口：不少于2个千兆以太网接口，不少于一块双口10Gb SPF+，配齐模块和连接线；

5、电源：配置不少于2个电源 ；

★架构总体要求

采用符合超融合特性的系统架构横向扩展的体系结构，具有高可靠、无交换背板和No SAN等特性；在一个资源池内，支持横向扩展（Scale-out）；分布式架构需将所有节点的空间能无缝融合为单一的存储池，节间无主次之分,无计算、存储、管理节点之分。节点出厂配置服务器、存储虚拟化能力；集群规模扩展数量要求大于256采用符合超融合特性的系统架构横向扩展的体系结构，具有高可靠、无交换背板和No SAN等特性；在一个资源池内，支持横向扩展（Scale-out）；分布式架构需将所有节点的空间能无缝融合为单一的存储池，节间无主次之分,无计算、存储、管理节点之分。节点出厂配置服务器、存储虚拟化能力；集群规模扩展数量要求大于256

二、分布式文件系统

1、★配置≥匹配当前硬件配置的同系列软件虚拟化软件License, 支持多数据中心管理等高级虚拟化管理特性；配置≥3年的虚拟化软件升级及支持服务

2、★单一集群及存储资源池内没有节点/节点数、SSD和HDD存储容量的限制，可扩展大于256节点，支持以1个节点为单位进行扩容，自动发现新增节点/节点，在不中断业务的情况下将新节点/节点自动或手动加入现有集群中，实现集群计算和存储资源的无缝扩展

3、支持不同型号、不同年代的计算存储一体超融合设备的混用和兼容，真正实现按需购买，保护用户投资

4、可以实现数据保留2份和3份，充分保护数据；当一个或多个SSD损坏情况下，不影响本地磁盘组或分布式存储集群，本地存储的数据仍可用；当整个节点所有硬件全部失效时不会影响数据正常访问，业务不中断；要求节点不使用RAID技术或分布式RAID技术保护数据，避免由于磁盘故障导致整个RAID组性能降级，从而影响业务正常运行；

5、★支持SSD和HDD混插配置中实现智能数据分层，同一个SSD可同时作为缓存层和持久数据存储层；

6、★节点优先使用本地SSD磁盘进行IO吞吐，其次使用集群范围内其他节点SSD磁盘进行IO处理，不会由于某个SSD容量问题而导致性能降级，始终保持节点IO吞吐的高性能；；

7、提供内存、SSD、SATA不同性能层面的重复数据删除功能，并且使用几k到十几k的粒度保证重复数据删除的效率和效果

8、★在线重复数据删除：支持SSD和HDD混插配置中内存重复数据删除

9、后台重复数据删除：支持SSD和HDD混插配置中磁盘重复数据删除；

10、支持数据的在线压缩，写数据时同步压缩；也要支持线后压缩，在资源闲置时对于冷数据进行压缩处理，最大化存储层可用空间

11、★在线数据压缩：支持SSD和HDD混插配置中在线（数据写入时）数据压缩

12、后台数据压缩：支持SSD和HDD混插配置中离线/后台（数据写入后）数据压缩；

13、★支持SSD和HDD混插配置中纠删码（Erasure Coding）功能

14、支持纠删码的数据保护方式，实现数据的冗余保护和快速恢复机制；纠删码功能没有特殊硬件要求，例如不需要闪存卡支持或者其他特殊硬件支持，借助软件能力即可，无论是SSD还是HDD的数据都能够支持；在冗余2即两份数据的情况下，可用容量达到70%左右，在冗余3即三份数据的情况下，可用容量达到50%左右；

15、★支持以虚拟机为中心的快照和克隆

16、在存储层面提供基于虚拟机磁盘粒度的快照，并且具备自动快照管理功能，可以定制时间间隔自动拍摄快照，并且自定义保存最新的多个快照；

17、★支持虚拟机级别的远程数据双向复制和容灾恢复

18、★远程数据容灾：不需要额外的软硬件采购支持，就具备跨地域的远程数据容灾能力，包括同城的实时数据复制和异地的一对一、一对多、多对一及多对多等异步复制方式，需提供运行界面截图或测试证明。

19、同城数据级双活容灾支持二层网络方式；同时为了降低成本也要支持三层网络的容灾。必须支持跨Hypervisor的远程基础架构层数据容灾。；

20、★支持跨异构虚拟化平台（Hypervisor）间的数据复制；

21、在不需要额外备份软件的支持下，内置通过快照方式进行以虚拟机为中心的本地备份；也要能够支持主流虚拟化备份软件方案，并且经过厂商的相互认证，包括Veeam、Commvault等；针对于VMware vSphere存储备份，必须支持VAAI接口；

★支持云端备份功能，需提供运行界面截图或测试证明。

22、★支持虚拟机备份到AWS云端；

23、★支持虚拟机备份到AZURE云端；

24、★云平台支持：无缝支持开源OpenStack框架，无需做二次开发就可以实现对资源的部署和调用。需提供运行界面截图或测试证明。

25、支持为Docker容器提供持久化的容器服务；

26、★投标产品本身即可提供iSCSI块存储给虚拟机、物理机及容器；无需手动配置OS多路径软件即可自动实现路径高可用和负载均衡；

27、分布式架构，具备横向扩展能力，支持按需自动扩展文件服务器数量；

28、支持存储路径冗余；

29、无需配置支持文件服务器高可用；

30、支持SMB2.1协议，支持AD用户验证；

31、支持独立于分布式存储之外在线升级；

32、超融合系统通过SAP NetWeaver/Business Suite认证；

33、★支持集群健康监控、故障分析；支持一键式升级，包括超融合软件、支持在同一界面升级Hypervisor（VMware和KVM）

34、★在线升级：在不需要关闭业务系统的情况下，可以实现平台软件的在线升级，需提供运行界面截图或测试证明。

35、★跨地域的集中式管理：可在同一界面中对分布在不同数据中心或物理位置的多个集群进行统一管理，需要同时通过一个界面统一管理计算、存储、虚拟化等资源，需提供运行界面截图或测试证明。

36、★虚拟化平台通过x86服务器虚拟化来实现的，可以支持VMware vSphere、Microsoft HyperV、KVM等；

37、★x86虚拟化平台支持：根据业务快速部署、灵活转换的弹性需求，支持两种以上的虚拟化平台且能实现vSphere和KVM Hypervisor之间的VM一键式转换，需提供运行界面截图或测试证明。

38、在虚拟化Hypervisor层形成计算资源池，为业务系统虚拟机提供不同的服务质量和能力，包括了高可用(High Availability)、 在线迁移(Live Migration/vMotion)、镜像、克隆等虚拟化特性；

39、虚拟机平台须支持主流的X86架构的操作系统，包括Windows、Redhat、SUSE、CentOS等多个发行版的主流版本

40、★分布式文件系统必须提供企业级分布式文件的解决方案，不接受采用开源产品（例如GlusterFS、Ceph等）进行二次开发，单节点故障时不会影响整个存储空间的使用且数据不会发生错误或丢失，需提供该领域的技术实现的专利文件加盖原厂公章。

41、分布式存储软件提供的分布式文件系统可以将一组集群内的节点组成一个统一的分布式存储资源池。它对于x86虚拟化平台软件而言就是一个集中的共享式存储，与任何其他集中式存储阵列一样工作，且提供更为简单便捷的存储管理。

42、存储资源池应该支持适用不同工作负载的应用，并且允许混合节点类型：例如将计算密集型节点和存储密集型节点混合在一个集群中。

43、存储资源池需提供容量自动平衡能力，用来确保数据一致的分布在集群内部各节点上，使得所有节点的磁盘利用率大致相等

44、存储资源池支持线性扩展功能，可以根据用户的需求扩展服务器的数量，性能线性增长。

45、超融合系统具备计算、网络、存储、电源和风扇等部件的冗余。提供故障切换能力，当组件自身故障时，不影响整个集群正常运行，保证业务连续性；当SSD和SATA盘出现故障情况下，可以通过热插拔方式进行盘的替换；当整个节点处故障的情况下，可以支持整个节点的热插拔硬件替换。

46、需支持大集群下的单个节点故障时，数据不丢失，存储能不中断业务持续提供数据读写操作，支持硬盘故障检测和处理，扩容和减容时支持不停机情况下的数据自动在资源池内迁移和均衡；支持通过第三方工具将分布式存储系统的数据备份在外部存储上。

47、 ★分布式存储系统可以根据安全标准基线持续监测系统组件安全状况，并在检测到违反安全标准的情况后无需人工干预自动恢复到标准安全设置。

48、 一个管理软件平台实现所有监控和运维能力，包括软硬件监控、容量评估、风险分析、健康检查、错误告警、备份容灾等，而不是多种监控管理、备份、容灾等软件的组合；统一管理平台也是分布式架构，而不是主备（高可用）架构，访问统一服务域名（IP地址）或任意硬件节点服务域名（IP地址）都可以管理整个集群；任意管理节点及组件出问题，都可通过访问其他健康节点实现对整个平台的管理。

★智能化运维管理：需提供运行界面截图或测试证明

49、管理内容必须包括：支持远程监控图形界面, 可实现与操作系统无关的远程对服务器的完全控制，包括远程的开关机、重启、更新Firmware, 虚拟KVM, 虚拟软驱, 虚拟光驱等操作；可监控、报告及控制处理器、内存及系统级的能耗，允许通过一体化管理控制台实现基于策略的功耗封顶；

50、通过统一管理软件进行日常维护管理，能看到所有虚拟机磁盘文件IO性能和整个集群中CPU、内存使用情况；可以通过标准SNMP接口实现和现有监控系统的整合，并且支持多种告警方式，包括邮件告警等；

51、提供REST API接口方便进行定制开发和第三方接口；必须支持软硬件智能化健康检查，包括CPU、内存、SDD、HDD、网卡、电源等硬件的健康状况，也可以感知虚拟机、分布式存储等软件平台状态；必须支持性能数据采集和分析，缺省保留整个集群的性能数据，便于进行性能问题诊断和报表；提供灵活的性能报表展示，粒度达到每个独立的物理磁盘、网卡、虚拟机、主机等。

52、★网络可视化：运维管理平台支持网络可视化功能，可以动态的呈现虚拟机，主机及网络交换机的映射关系，方便管理人员快速的获取网络路径，快速定位网络故障。需提供运行界面截图或测试证明。

53、★自助服务门户：无需借助第三方系统，原生支持用户自助服务门户，与用户现网域环境进行对接，支持创建业务应用项目，分配资源，实现业务用户自助创建和管理业务应用虚拟机。需提供运行界面截图或测试证明。

54、★服务承诺：提供以上所有设备环境搭建，硬件设备上架，软件安装调优；提供原厂叁年质保服务，为保证设备的可靠性服务，投标时提供原厂授权及服务承诺函。

不少于1

套

2

▲

虚拟化云平台软件

一、基本要求
1、采用裸金属架构，无需绑定操作系统即可搭建虚拟化平台。

2、虚拟机之间可以做到隔离保护，其中每一个虚拟机发生故障都不会影响同一个物理机上的其它虚拟机运行，每个虚拟机上的用户权限只限于本虚拟机之内，以保障系统平台的安全性。

3、每个虚拟机都可以安装操作系统，并且操作系统可以异构。

4、虚拟机可以实现物理机的全部功能，如具有自己的资源（内存、CPU、网卡、存储），可以指定单独的IP地址、MAC地址等。

5、能够提供性能监控功能，对资源中CPU、网络、磁盘使用率等指标的实时数据统计，并能反映目前物理机、虚拟机的资源瓶颈。

6、虚拟化软件可以在线进行版本升级，不同版本之间可以相互兼容。本次招标需提供当前最新版本。

二、兼容性要求

1、支持现有市场上主要服务器厂商的主流X86服务器。

2、兼容现有市场上主流的存储阵列产品，如SAN、NAS和iSCSI。

3、兼容现有市场上主流的网卡和HBA卡产品。

4、兼容现有市场上X86服务器上能够运行的主流操作系统，尤其包括以下操作系统：Windows NT、WinXP、windows Vista、Win2000、Win2003、Windows 2008、Windows 8、Reahat Linux、Suselinux、Solaris x86、Novell、Trubolinux、FreeBSD、Ubuntu、Debian、Mac OS等等。

5、支持主流应用软件的运行，包括但不局限于数据库、中间件、ERP等。

三、功能性要求
1、支持HA功能，当一台物理机发生故障时，之上的VM（虚拟机）可以实现在集群之内的其它物理机上重新启动，保障业务连续性。

2、支持在线的VM迁移功能(vMotion)，无论有无共享存储，都可以实现VM在集群之内的不同物理机之间在线迁移，保障业务连续性。

3、VM具有Fault Tolerance（容错）机制，可以保证在硬件故障情况之下，业务系统的不中断运行，保障高级别的业务连续性。

4、具有合理的内存调度机制，能够实现内存的过量使用(如共享页面技术等)，保障内存资源的充分利用。

5、支持将多个物理机组成集群，同时支持动态资源分配功能，可以实现VM所拥有的资源(尤其是内存、存储等)可以自动地进行再分配，保障业务系统的服务水平。

6、具有智能的电源管理功能，可以将集群内的物理机自行下电，支持节能减排的政策性要求。

7、每个虚拟机可以支持虚拟多路CPU（vSMP）技术，以满足高负载应用环境的要求。

8、虚拟机不但可以通过文件系统访问存储设备，而且支持直接访问裸设备，可直接使用本地硬盘或集中存储，如SAN、NAS和iSCSI来安装虚拟机。

9、虚拟化平台内建虚拟交换机(vSwitch)，实现VM之间或与物理机之间的网络调度，支持同一物理机上VM之间的网络隔离(支持VLAN)。

10、提供防病毒接口平台，可以与第三方杀毒软件或安全软件融合，实现虚拟化环境下的安全防范。

11、提供阵列间复制功能，可以在虚拟机级别进行跨存储阵列的复制，提供基本的容灾保护能力。

12、提供整合备份功能，能够利用重复删除技术对VM进行快速备份(全备份或增量备份)和恢复；同时提供备份接口，能够与第三方备份软件无缝兼容。

13、具有共享数据文件系统，支持逻辑卷的动态调整，可以聚合多个异构逻辑卷（LUN），并实现在线进行存储容量的增长。

14、具有存储精简配置能力(Thin Provisioning)，减少存储容量的需求。

15、支持在线存储迁移功能，无需中断或停机即可将正在运行的虚拟机从一个存储位置实时迁移到另一个存储位置。

16、支持热添加CPU 和内存功能，在不对用户造成中断的情况下，根据需要为虚拟机部署更多 CPU 和内存。

17、虚拟机支持3D图形加速功能，可以根据需要启用或停用。

18、开放存储阵列接口规范，使主流的存储厂商可以将存储软件与虚拟化平台更好的整合。

19、提供统一的图形界面管理软件，可以在一个地点完成所有虚拟机的日常管理工作，包括控制管理、CPU内存管理、用户管理、存储管理、网络管理、日志收集、性能分析、故障诊断、权限管理、在线维护等工作。同时支持Web Client和命令行管理功能。以及基于Linux平台的管理软件。

20、支持vSAN功能，能够利用x86服务器的内置盘实现传统存储的数据在不同x86服务器上的共享功能。

四、指标要求
1、每台VM(虚拟机)的vCPU数量可以达到32个vCPU。

2、每台VM(虚拟机)的内存大小可以达到1TB。

3、每台VM(虚拟机)可以支持到64TB的存储容量。

4、每台虚拟化服务器最多支持512个虚拟机。

5、可以内建虚拟交换机vSwitch，vSwitch的端口数量≥4096个。

6、多台物理机可以实现虚拟化集群，一个集群内的物理机数量可达到32台。

7、单台服务器的虚拟机在线迁移(vMotion)并发数量可以达到8个以上。

8、对虚拟机容量风险情况进行警报，这里所说的容量包括但不限于vCPU、Memory、Storage等计算资源，能够直观的展示容量未来趋势走向。

9、对系统中存在事故隐患生成具有前瞻性的预警，以便管理员尽快做出响应，降低风险。能够将虚拟化服务器变更事件与性能和运行状况关联起来。

10、能够积极主动地对事件进行提醒、通知，可以根据对象的行为特征进行记录、学习，能够准确的判断出指标、行为异常、并提出告警，可以设定动态阀值，减少或消除误报，准确判断异常行为。

五、管理要求

1、适用于VMware虚拟化架构以及GuestOS（操作系统）运营管理。

2、以直观的图形方式（如仪表盘、面板等等）展示系统架构的运行状态和健康状况。

3、能够积极主动地对事件进行提醒、通知。

4、能够管理不小于3000 VM（虚拟机）的扩展规模。

5、可以设定动态阀值，减少或消除误报，准确判断异常行为。

6、容量计划。具有完善的容量计量功能，这里所说的容量包括但不限于vCPU、Memory、Storage等计算资源，可以实现基于成本的容量优化。

7、趋势分析。能够直观的展示容量未来趋势走向。

8、场景建模。通过对停机、故障或灾难的影响进行建模，预先对可能发生的业务和服务中断进行规划。

9、预警能力。可以对系统中存在事故隐患生成具有前瞻性的预警，以便管理员尽快做出响应，降低风险。

10、容量报告。需要更强大的报告呈现功能，可以对报告形式进行一定的自定义。

六、配置要求

本次项目要求至少配置10个CPU Vmware Vsphere企业增强版授权，1个Vcenter授权。

七、其他要求：

1、虚拟化管理平台提供API、SDK等接口，可以与第三方管理软件结合或二次开发。

2、虚拟化软件的功能必须为同一家厂商提供，禁止借用第三方软件的整合，以保证功能的可靠性和安全性。

3、中标后要求原厂工程师配合用户实施本次虚拟化项目，须提供详细的虚拟化项目设计、实施和测试方案。

4、提供技术支持服务，如免费的版本升级和专业的售后服务专线支持（800电话）等(报价时须考虑此项费用)。

5、投标时提供原厂授权及服务承诺函原件。

6、提供1年不少于4次的原厂季度巡检服务（投标人报价时须考虑此项费用）。

7、提供原厂一年质保服务。

不少于1

套

3

▲

虚拟化安全防护系统

虚拟化平台：支持Vmware、KVM等虚拟化平台，无需额外购买组件

★系统架构：采用业务数据平面、控制平面、管理平面相分离的分布式架构设计，每个平面采用独立的虚拟机部署实现，提供双主控，实现控制平面冗余。

支持在线软件升级（ISSU），使部署的更新和升级不会产生任何服务中断。

★性能规格：本次提供 4CPU物理主机防护授权，不限制虚拟机数量。

支持业务平台性能弹性扩展，根据将来业务发展需求，可扩展至吞吐量≥1Tbps，可扩展至最大并发连接数≥3亿、每秒新建连接数≥500万、可保护物理主机≥200台，提供官网可下载的白皮书或者彩页加盖厂家公章；可按宿主机CPU数量进行授权扩展，和内存数量不受限制。

★部署模式：支持二层透明模式、旁路模式部署，无需修改虚拟化平台和虚拟机配置；不需要在每台虚拟机上安装软件或插件，以便减少对物理机的资源占用。

支持Vmware标准交换机和分布式交换机环境。

支持对相同Vlan、不同Vlan、相同端口组、不同端口组、相同Vswitch、不同Vswitch之前虚拟机的通信进行访问控制、应用识别、攻击防护、入侵检测和防御等功能。

带状态迁移：支持虚拟机迁移技术（vmotion），自动感知和保护虚拟环境的变更和迁移，虚拟机迁移时相关联的安全策略自动跟随虚拟机带状态同步迁移，无需人工干预。

★功能：可基于IP、服务、应用协议、时间的过滤，支持基于虚拟机名称设置访问规则，虚拟机名称修改后无需人工干预，虚拟化微隔离系统自动调整相应访问规则。

支持抵御所列所有攻击类型，包括：DNS Query Flood、SYN Flood、UDP Flood、ICMP Flood、Ping of Death、Smurf、WinNuke，动作支持记录、阻断两种模式。

提供IPS入侵防御功能，具备6000种以上攻击特征库规则列表，支持SQL注入、XSS防护，支持HTTP头域中的URL、Cookie、Referer、POST检查点配置防护策略，支持CC攻击检测，支持访问限速、代理限速、自定义请求阈值、爬虫友好等方法，检测到CC攻击时支持JS Cookie、重定向、访问确认、验证码四种认证方法。
支持安全资源池，支持划分为为1000个微隔离系统，每个微隔离系统互不干扰可拥有独立的系统资源、管理员、安全策略等，每个虚拟系统提供独立的web管理界面，每个虚拟系统可自定义CPU资源、会话数、安全域数、策略数、源NAT数、目的NAT数、IPSEC隧道数，提供截图证明。

★操作系统及软件支持：Microsoft Windows 2000 (32位) ， XP (32 /64位) ，Vista (32/64位) ，Windows 7；Windows Server 2003 (32/64位)， Windows Server 2008 (32/64位) ，各类linux和UNIX主流操作系统；支持Oracle, MySQL, Microsoft SQL Server等主流数据库。

★管理：整套系统采用同一管理界面，即为一套系统，便于统一监控、管理，不接受通过集中管理平台管理多台独立虚拟化系统的形式。

虚拟化微隔离系统的安装、卸载完全不影响宿主机或虚拟机的工作，其过程对于应用业务而言为完全透明状态；

虚拟化微隔离系统业务平台组件出现异常时，虚拟化微隔离系统组件自动Bypass，不影响虚拟机的工作；

★资质及质保：要求投标厂家提供虚拟化网络微隔离安全防护系统软件著作权、EAL3+证书；投标厂家获得权威机构NSS LAB下一代防火墙推荐级别认证；获得ICSA LABS认证、至少连续三年入围Gartner防火墙魔力象限，并提供上述相关的证明；提供原厂商对本项目的授权和售后服务承诺；提供三年软件升级服务；

★配置要求：本次提供4CPU防火墙和IPS授权。

不少于1

套

4

万兆数据中心交换机

一、技术要求：

1、交换容量≥12.8Tbps，转发性能≥720Mpps，提供官网截图及链接。

2、支持纵向虚拟化技术，通过将接入设备作为远程接口板加入主设备系统，在纵向维度上将核心层设备和接入层设备虚拟为一台逻辑设备，以达到扩展I/O端口能力和进行集中控制管理的目的。

3、支持支持OpenFlow 1.3标准，支持多控制器（EQUAL模式、主备模式）；支持多表流水线，支持Group table，支持Meter。

4、支持电源的告警功能，支持风扇、温度告警。

二、配置要求：

1、配置48个10GE SFP+接口。

2、配置虚拟化线缆一根。

3、配置双电源。

4、配置双风扇。

5、配置10个万兆多模模块。

不少于2

台

5

网络USB集线器

网络共享USB设备的硬件解决方案,完整的TCP/IP协议支持;通过网络远程使用加密狗等USB设备；WEB管理界面,支持VMWare\Xen\Hyper-V等主流服务器虚拟环境;协议兼容USB over network客户端,1U机架式结构，1个GBE千兆网口;14个USB2.0 Host端口,每端口提供750mA 供电;支持通过vpn方式连接远程办公室;支持snmp网络管理协议。

不少于1

台

6

运维服务综合管理系统

一、系统要求：

1、支持安装在window、linux或Unix三种任一系统之上。

2、支持系统数据存储在关系数据库和NoSQL数据库，监控历史数据需保持一年以上。

3、要求支持混合云架构（公有云和私有云）的分布式数据中心运维管理模式。（提供系统截图证明文件）

4、支持两种安装模式并统一运维管理，即系统安装在私有云上，同时接入公有云并统一运维管理；或系统安装在公有云上，接入私有云并统一运维管理。

5、支持系统各模块即可相对独立运行，又能有机结合，统一管理；重点需支持资产管理、资产运行监控和运维服务流程相关功能和信息有机结合，方便用户实际操作及关联信息查看。

二、功能要求：

（一）资产管理

1、★基础设施：要求支持对基础设施（数据中心、区域设置、机柜设置、运营商线路、供配电、空调、消防、动环）进行管理。（提供系统截图证明文件）

2、★网络及安全：支持对网络及安全（路由器、交换机、防火墙、负载均衡、WAF、IPS、IDS、VPN、网闸、漏扫、上网行为）进行管理。（提供系统截图证明文件）

3、★主机及存储：支持对主机及存储（服务器、虚拟机、存储设备）。（提供系统截图证明文件）

4、终端：支持对终端（笔记本电脑、台式机、掌上电脑、投影仪、扫描仪、打印机）进行管理。

5、应用系统：支持对应用系统（数据库、中间件、应用系统）进行管理。

6、★ip管理：支持对 ip（私网ip、公网ip、nat、vlan、链路）进行管理。包括私网ip段录入和ip占用管理，公网ip录入和占用管理，公网ip和端口与私网ip和端口对应关系，运营商线路管理。（提供系统截图证明文件）

7、备品备件管理：支持备品备件入库、申请领用、出库、退库、报废和查询业务。

（二）监控管理

1、★服务器监控：支持对服务器进行检测，检测内容包括系统的性能和接口。（提供系统截图证明文件）

2、网络及安全：支持对网络设备（路由器、交换机、防火墙、负载均衡、WAF、IPS、IDS、VPN、网闸、漏扫、上网行为）的性能和可用性的自动化检测。

3、中间件监测：支持对服务器的业务系统（包括中间件系统、业务平台、基础服务等）的性能关注点进行监测。

4、数据库监测：支持对服务器的数据库系统（包括Oracle、SQL Server、Sybase、DB2、Infomix、My SQL等）的性能关注点进行监测。

5、存储监测：支持对存储系统的监测，检测内容包括系统的性能和接口。

6、★虚拟机监测：实现对虚拟机检测，虚拟机信息来源于vcenter平台，检测结果也取之于vcenter。支持多个vcenter集成，实现虚机统一管理，方便查看设备运行状态和告警集中处理。（提供系统截图证明文件）

7、Ping功能：支持对ip进行检测，利用“ping”命令可以检查网络是否连通，可以很好地帮助分析和判定网络故障。

（三）配置管理

1、数据中心管理：支持数据中心3d展示，以三维模式呈现数据中心机房整体结构、设备分布情况。对数据中心资产设备，资源设备运行状况等进行全面监控和管理。

2、业务拓扑图：实现业务拓扑图展现功能，能够根据所添加的IT组件，自动或手动去生成拓扑图。拓扑图能够实时地展示组件健康状况，链路的通断、性能状况，凸显出异常的设备、系统以及链路。

3、网络拓扑图：实现网络拓扑图展现功能，能够根据所添加的IT组件，手动去生成拓扑图。拓扑图能够实时地根据管理的IT组件在线、健康状况，链路的通断、性能状况，凸显出异常的设备、系统以及链路。

4、链路拓扑图：实现链路拓扑图展现功能。拓扑图能够实时地根据管理的IT组件在线，链路的通断、性能状况。

5、★要求配置管理系统具有《计算机软件著作权登记证书》，提供证书复印件。

（四）运维管理

1、事件管理：支持事件流程管理。用户发现信息系统故障，通过电话或者邮件通知服务台，由服务台人员在系统中手动创建事件;用户、运维及中心领导也可以直接发起事件管理流程。

2、问题管理：支持问题流程管理。对事件进行分析，将之前重复发生过的或者非常严重的事件升级为问题，然后将问题指派给相应的专家组，由专家组对问题进行分析并找出问题的根源，从而提出相应的解决方案，审批通过后，进行解决方案的实施。当实施结束后，对实施效果进行评审，评审通过后，同时根据情况，将解决方案记录到运维知识库中，为以后处理同类问题提供参考。

3、变更管理：支持问题流程管理。变更请求有两个来源:一是为了解决系统问题;二是为了适应业务的变化。用户发现信息系统需要变更，直接在系统创建新的变更请求或通过电话或者邮件通知服务台，由服务台人员在系统中手动创建变更。

4、配置管理：支持配置管理流程。将配置项的详细信息以及配置项之间的关系记录到配置管理库中，并定期对配置管理库进行审验，保证其配置信息能真实反映实际的情况。

5、发布管理：支持发布流程管理，由变更管理触发生成发布请求

6、知识库：支持知识库的创建、审核、维护和共享。为客户及运维人员提供技术支持和服务。

7、排班：支持排班管理，用户发现信息系统异常、技术或服务支持时可以方便查找到值班人。

（五）系统管理

1、用户管理：支持对用户角色维护，支持登录授权。

2、角色管理：支持对角色维护，可以按岗位和职责设置。

3、角色对应资源：支持角色对应资源，对不用角色授权。

4、资源管理：支持资源管理，资源包括菜单、按钮、tab页及数据权限。

三、其他要求

1、★资质要求：要求产品具有《计算机软件著作权登记证书》，投标时提供证书复印件。

2、★售后服务要求：原厂一年质保服务，并提供原厂安装服务。

不少于1

套

7

安全运行维护审计系统

1、★产品形态及性能：专用安全操作系统，软硬件一体化，标准2U机架式硬件，支持冗余电源；★网络接口：至少6个千兆电口 ,可扩展SFP光口插槽，支撑万兆接口扩展；图形并发用户会话数≥200；图形协议并发用户数≥1000个；本次配置≥200个主机/设备审计节点许可，最大审计许可数≥2000； 硬盘存储容量不低于2T，硬盘存储容量可扩展，最大支持48T；物理内存不低于8G。

2、部署方式：旁路部署；支持HA双机热备、支持分级/群集部署；支持多机部署智能负载均衡。

3、★操作审计：可以对图形操作界面的文字内容进行模式识别并文本记录，支持sftp/ftp文件传输协议审计，支持指令检索，并可展现本次会话的所有操作指令（提供系统截图证明文件）。

4、支持协议：字符协议：SSH、TELNET；图形协议：RDP、VNC、X11；文件传输协议：FTP、SFTP；数据库：ORACLE、MSSQL、Sybase、Mysql、DB2、Informix等数据库远程访问协议。

5、★其他：支持通过外置应用发布进行协议扩展，支持定制开发其他访问协议及第三方客户端工具( 至少支持PL/SQL、TOAD、SQL *PULS、SQL Server Management Studio) （提供系统截图证明文件）。

6、Web页面方式：支持通过堡垒机web页面内嵌运维工具访问目标资源；Web页面内嵌RDP协议管理工具，支持剪切板、本地磁盘映射、自定义窗口分辨率、全屏自适应；Web页面内嵌SecureCRT、FTP/SFTP、VNC/X11管理工具。

7、CLI菜单选择方式：★使用SSH安全字符管理页面访问堡垒机系统即可显示用户当前具有访问权的资源列表，通过字符菜单选择方式直接访问目标资源（提供系统截图证明文件）。

8、客户端直连方式：系统支持SSH单点登录后，支持自由切换被授权的内部账号（代替命令），自动完成授权检测及密码代填。提供功能截图。★系统支持SSH协议rz/sz文件传输命令（提供系统截图证明文件）。

9、 身份认证与访问授权：堡垒机身份认证方式：本地认证、RADIUS认证、LDAP认证、AD域认证；支持扩展认证方式，支持智能卡、人体特征（指纹、视网膜等）、动态令牌等认证方式；★支持临时授权功能：可申请目标设备的临时访问授权；临时授权可限制授权协议、账号及生效时间等；临时授权申请方式支持通过Web页、邮件及短信（短信网关及短信猫）的方式呈交对应设备负责人审批（提供系统截图证明文件）。

10、可以制定细粒度策略；支持高危指令对象、访问时间对象、源IP地址对象、访问目标设备对象根据“最小授权原则”进行策略合成。

11、★主机及组管理：支持对网络设备配置检查功能，支持检查账户安全策略信息、不必要的服务和端口、版本信息检查、安全审计策略等, 支持对主机设备按科室、部门等进行独立管理（提供系统截图证明文件）。

13、★支持智能运维脚本管理：支持堡垒机定时自动执行包含运维指令的脚本，支持脚本执行结果输出（提供系统截图证明文件）。

14、★产品资质及服务：公安部销售许可证、IT信息安全产品认证证书、信息技术产品安全测评证书、计算机软件著作权登记证书；为便于后期项目集成及服务所投产品与服务器核心防火墙应为同一品牌。

15、★提供原厂三年免费硬件保修和原厂技术服务服务承诺函。证书及产品截图需提供复印件。

不少于1

台

8

WEB应用防火墙

1、★硬件配置及性能：标准机架式设备，标配6个千兆接口和2个千兆SFP插槽，支持万兆接口扩展。所有接口都是三层接口，非二层交换口或combo接口；网络接口内置fail-open特性，支持软件BYPASS功能，bypass电路≥2路；性能及模块要求：网络吞吐率≥4Gbps，应用层处理能力≥800Mbps；并发连接数≥100万。

2、支持VRRP协议，VRRP组管理（提供系统截图证明文件）、支持双系统，支持系统回滚，避免单一系统故障而影响正常业务（提供系统截图证明文件）。

3、★WEB应用防护：能识别和阻断敏感信息泄露、恶意代码攻击、错误配置攻击、隐藏字段攻击、会话劫持攻击、参数篡改攻击、缓冲区溢出攻击、弱口令攻击。

4、★应用交付：具备系统内嵌应用加速模块，通过对各类静态页面及部分脚本高速缓存，提高访问速度；支持多服务器的负载均衡，工作在网关模式，对保护的多台负载WEB服务器，达到平均分发、按比例分发、负载分摊 、响应比分摊等多种负载均衡模式（提供系统截图证明文件）。

5、★网站代码安全审计要求：提供专业硬件设备(提供设备图片和型号)对招标方网站的源代码进行安全审计：检测代码缺陷，检查源代码中存在的安全缺陷；支持代码注入、跨站脚本、输入验证、API误用、密码管理、资源管理错误、配置错误、不良实现、异常处理、代码风格、代码质量及危险函数等13个大类，400多个小类型的审计策略。进行合规性检测，要求根据国际计算机安全应急响应组织CERT发布的一系列安全开发标准遵从性检测，对源代码合规，检查源代码是否违背代码开发规范，及时发现违规代码；通过对源代码安全检测与分析、缺陷遍历与定位，结合专业人员的代码分析，定位源代码中的风险点。通过专业人员对源代码中的源代码缺陷成因分析，给出风险的描述、产生的路径、危害级别等信息，并给出源代码缺陷整改建议。（提供厂商网站代码审计承诺文件）

7、★产品资质：公安部销售许可证（增强级）、信息安全产品认证证书（3C认证）、信息测评中心安全测评证书（EAL3+）。

8、★厂商资质：信息安全等级保护安全建设服务机构（提供证明文件），国家保密局《涉密集成甲级资质》；《ISO20000信息技术服务管理体系认证证书》、信息系统安全集成服务资质认证（一级）、信息安全服务资质证书（安全开发类 一级）、OWASP组织的应用安全联盟会员资格。

9、★服务要求：厂商在本地须具有专业本地化服务人员，有不少于2名CISSP工程师和1名信息安全等级安全建设专业技术人员，需提供证书复印件及2017年安徽省内社保缴费证明。

10、★提供原厂三年免费硬件保修和原厂技术服务服务承诺函。证书及产品截图需提供复印件。

不少于1

台

9

VPN远程安全接入网关

1、★性能及硬件要求：采用多核并行操作系统，提供证书；网络处理能力≥40Gbps，64字节小包吞吐能力≥20Gbps，应用处理能力≥8Gbps；并发连接≥300万，每秒新建连接50万/秒，VPN隧道数≥8000；标准2U机架式设备，模块可扩展，标准配置6个千兆电口和2个SFP插槽，1个扩展插槽，支持万兆接口；所有接口都是三层接口，非二层交换口或combo接口。

2、★支持接受招标方防火墙集中管理系统的集中管理，实现对防火墙的集中策略分发和全面监控与管理（中标后需进行测试，通过签订合同）。

3、★能够与招标方部署VPN网关实现无缝互联互通，支持现有VPN管理系统的隧道统一集中监控与管理，隧道策略的自动部署与分发（中标后需进行测试，通过签订合同）。

4、支持终端使用Win7、win7 64位、win8、win10、Mac、Linux等操作系统登录，保证登录后能够正常访问SSL VPN发布的服务。

5、支持IPv6地址配置，支持IPV6手动及自动的IP/MAC探测及绑定，支持IPV6的本地认证；支持IPV6下静态路由及策略路由；能够实现端到端的互联，能够配置多条设备之间互联的IPsec/IKE策略，在设备与设备建立的端到端隧道上能够实现局域网之间通过路由进行通信。

6、★支持防火墙动态策略功能，可以通过与入侵防护策略、防弱口令扫描、威胁情报中心、终端安全管理系统的联动，生成动态策略信息，根据用户在基本配置中配置的动态策略动作，命中动态策略的数据将会被阻断或者记录日志（提供系统截图证明文件）。

7、★支持与终端安全管理系统联动：支持与招标方目前在用终端安全管理系统联动，支持动态策略功能；当终端扫描检测发现已知或未知的病毒、0day漏洞、未知恶意代码和APT攻击等信息，可将所有信息传递至防火墙，防火墙会生成动态策略，能够阻断或者记录日志（提供防火墙和终端安全管理系统联动截图；中标后需进行测试，通过签订合同）。

8、产品资质：公安部销售许可证。

9、★其他要求：证书及产品截图需提供复印件；需提供原厂商针对本项目的授权、三年售后服务承诺函。

不少于2

台

10

互联网安全控制网关

1、★性能及硬件要求：标准2U机架设备，6千兆电口和4个SFP插槽，2个扩展插槽，支持万兆扩展；1T硬盘；适用带宽：4G；最大并发连接数400万；最大新建连接数≥300,000个/S；提供用户上网日志分析软件。2、设备部署：支持网关模式、镜像模式、网桥模式、多路桥接、协议处理、IPv6。

3、★系统管理：支持管理员账号初始密码检测，如果发现管理员未更改初始密码，能够进行提醒（提供系统截图证明文件）；支持将设备管理权限分割为管理员、审计员与审核员共同管理设备：管理员能够设置策略，无法查看审计日志；审核员能够审核管理员配置的策略是否合法；审计员能够查看策略，无法设置策略（提供系统截图证明文件）；支持内置的常用模板策略，方便管理员快速生成策略。

4、★网页管理：当用户的网页访问被网页浏览策略封堵时，用户如果发现分类错误能够在页面中向管理员进行反馈；管理员可查看用户反馈的分类错误，并可以选择向服务器反馈（提供系统截图证明文件）。

5、★应用管理：可以对P2P，网络视频，游戏，炒股，期货，即时通讯，移动应用有独立的分类进行识别控制，协议库数量不低于2000，移动协议库数量不低于400；URL库大小: ≥3000万条URL数据，≥150种网页分类；不同网页被阻塞后会跳转不同的阻塞页面；支持用户完全自定义（提供系统截图证明文件）; 支持网盘的文件外发审计与过滤，可根据文件大小、文件名、扩展名、传输方向、内容关键字进行审计过滤（提供系统截图证明文件）。

6、★终端安全管理软件联动：能够与我公司部署的终端安全管理软件联动，设备检测到未安装终端管理软件的PC，可将其Web访问自动重定向到特定页面并提示下载；能够通过终端管理软件检测到操作系统漏洞及补丁情况，并支持在设备管理界面针对系统补丁情况配置用户互联网准出控制策略（提供配置截图，中标后需进行测试，通过签订合同）。

7、★流量管理：可以每个人的并发/新建连接数量进行控制（提供系统截图证明文件）;可以建立多个Web推送页面，供不同的推送策略引用，支持用户完全自定（提供系统截图证明文件）。

8、★IM外发控制：可针对QQ账号制定策略，对聊天、登录及登出的行为进行记录与控制；支持skype外发文件内容的审计; 支持百度HI账号、内容、行为审计与控制（提供系统截图证明文件）。

9、行为日志分析：可查询到网页访问、论坛发帖，webmail、邮件收发、应用访问、应用流量历史日志及应用流量等各种统计报表。

10、资质要求：公安部销售许可证。

11、★其他要求：证书及产品截图需提供复印件；需提供原厂商针对本项目的授权、三年售后服务承诺函，三年特征库升级服务。

不少于1

台

11

核心服务器防火墙

1、★性能及硬件要求：采用多核并行操作系统，提供证书；网络处理能力≥80Gbps，64字节小包吞吐能力≥55Gbps，应用处理能力≥65Gbps；并发连接≥800万，每秒新建连接≥80万/秒，VPN隧道数≥50000；标准2U机架式设备，配置4个可扩展插槽，标准配置6个千兆电口和4个SFP插槽，2个万兆接口；所有接口都是三层接口，非二层交换口或combo接口。

2、★支持接受招标方防火墙集中管理系统的集中管理，实现对防火墙的集中策略分发和全面监控与管理（中标后需进行测试，通过签订合同）。

3、★能够招标方部署VPN网关实现无缝互联互通，支持现有VPN管理系统的隧道统一集中监控与管理，隧道策略的自动部署与分发（中标后需进行测试，通过签订合同）。

4、病毒防御功能要求：反病毒查杀支持实时和批处理扫描模式；支持公有云杀毒功能，病毒库需为第三方专业杀毒软件厂商，病毒库原厂商通过VB100、AV-Test、ICSA、OPSWAT认证，提供上述证书复印件。

5、应用深度过滤功能要求：支持对HTTP、https、SMTP、POP3、FTP等协议的深度内容过滤，支持收、发信人地址、邮件主题、邮件内容关键字。

6、★支持与终端安全管理系统联动：支持与招标方目前在用终端安全管理系统联动，支持动态策略功能；当终端扫描检测发现已知或未知的病毒、0day漏洞、未知恶意代码和APT攻击等信息，可将所有信息传递至防火墙，防火墙会生成动态策略，能够阻断或者记录日志（提供防火墙和终端安全管理系统联动截图；中标后需进行测试，通过签订合同）。

7、★产品资质：公安部销售许可证（万兆 增强级）；信息安全产品认证证书3C证书（万兆 增强级）；信息安全测评技术产品证书 EAL3+（万兆）；涉密信息系统产品检测证书（万兆）；信息安全产品自主原创证书、高性能一体化智能安全处理引擎证书、国家信息安全漏洞库兼容性资质证书。

8、★厂商资质：信息安全等级保护关键技术国家工程实验室单位（提供协议）、信息安全等级保护建设服务机构能力评估合格证书、《涉密集成甲级资质》、《ISO20000信息技术服务管理体系认证证书》、信息安全服务资质证书（安全开发类 一级）、CNCERT/CC网络安全应急服务支撑单位（国家级）。

9、★厂商服务能力及人员资质：信息安全服务资质证书（安全工程类 二级）；厂商在本地须具有专业本地化服务人员，有不少于2名CISSP工程师、2名CISP和1名信息安全等级安全建设专业技术人员，需提供证书复印件（提供人员证书复印件及社保缴费原件）。

10、★其他要求：证书及产品截图需提供复印件；需提供原厂商针对本项目的授权、三年售后服务承诺函。

不少于1

台

12

集成与数据迁移服务

1、完成新购设备安装、调试、集成服务；要求原厂实施虚拟化集群平台搭建与部署；本项目为交钥匙工程，提供完成施工所需要的万兆光纤跳线、RJ45跳线等所有辅材。

2、要求按照用户要求的安全策略进行虚拟化安全防护策略部署。

3、要求实施前，全面梳理用户现有的业务系统，并进行关联性分析，形成配置文档。使现有业务系统数据能够平滑过渡到新平台架构上。

4、数据迁移实施前进行风险分析，制定风险应对措施，形成风险分析报告。

5、要求根据风险分析报告，制定详细的数据迁移方案，必须进行详细周密的规划以及步骤分工，包括责任分工、迁移步骤、施工组织人员配备等；将传统架构相关业务系统数据和业务迁移至新的虚拟化平台，保证业务平滑迁移，确保业务数据安全，不对环境中的业务系统造成任何影响。

6、迁移之前，对所有需要迁移的业务系统和数据进行实施备份。制定数据备份方案，包括实施数据备份时间、业务系统迁移时间、网络、操作系统、数据库环境、软硬件设备的保障工作。以及需要相关软硬件到达的现场人员，以作为数据迁移及突发情况的应急保障；避免迁移过程中出现故障导致数据受损。

7、对超融合平台架构环境进行统筹规划设计；包括资源规划、网络规划、IP地址规划等；按照用户实际的业务需要进行合理规划部署。

8、数据迁移过程中，以保障数据安全为宗旨，要求确保迁移数据零丢失；业务系统中断时间不超过用户方要求的合理时间。

9、在迁移后新的环境中，在上线前务必要求对业务系统进行全面检查，确保该业务系统的完整和运行顺畅稳定。跟踪测试系统的可靠性，确保在规定时间内实现系统的正常使用。

10、制定应急响应方案，迁移过程中出现如应用系统无法安装等不可控因素造成迁移工作无法正常进行时，可根据应急方案及时回退。保障业务系统能够正常运行。

11、完成公司驻外机构VPN设备的优化及系统集成，本次采购的VPN安全接入网关必须与公司在用的网神VPN安全网关设备策略实现无缝对接，并能够实现在用VPN安全集中管理平台的集中监控与管理，支持VPN策略的统一配置及集中下发。

12、服务器群核心防火墙需与现部署的网神核心防火墙实现无缝集成与对接，并完成与现有网神防火墙集中管理系统联调部署。同时，完成与公司部署的网神终端安全管理系统的准入对接，实现对服务器访问终端的统一接入管理。

13、互联网安全控制网关需完成与公司部署的网神终端安全管理系统的准入对接，确保互联网安全控制网关上线后能够无缝的实现对终端的统一准入管理。

14、安全运行维护审计系统及WEB应用防火墙需支持公司在用网神安全管理平台的集中监控与管理，支持设备策略集中下发及联动。

15、要求对用户现有的虚拟化集群平台进行调优配置，实现不同网段三层网络互通调试。

16、要求新平台建成后，协助用户方完成新购虚拟化集群平台的数据备份策略制定和实施，确保集群平台数据安全，避免逻辑故障。

1

项