嵊州市区域卫生信息化建设中心机房硬件设备及系统集成(一期）技术需求书
1．项目概况
嵊州市卫生局经过多方考察，汲取成功经验，并严格按国家、省、市、县有关部门的相关规定制作本规划，保障区域卫生信息化能够在一年中有条不紊地建设，最大限度地保证公民的医疗质量和安全性，以提升整体医疗服务质量、提高医疗服务可及性、降低医疗费用、减少医疗风险。在嵊州市医疗保健活动中建立集识别个人身份、医疗服务、预防保健、消费支付为一体的数字化健康管理体系。通过“国家数字卫生系统”所记录的个人身份及医疗保健信息，依托卫生信息平台，实现医院内的一站式服务，医院间、医院与社区卫生服务机构间的个人医疗服务信息共享，建立个人终身健康档案，构建医疗服务和健康管理新模式，创造“合理、有序、便捷、高效”的医疗服务新环境，进一步改善民生，推进和谐社会建设。
根据项目的要求，嵊州市卫生局拟通过配置UNIX服务器、存储设备、网络等一系列设备以及合理的系统集成，以满足市卫生局区域卫生信息化系统的正常、稳定运行。
2．采购清单
序号 设备名称 配置参数 数量
1 数据库服务器 小型机，64位CPU芯片，4路CPU，32G内存，2*300GB硬盘，2块4GB HBA卡，4个千兆网口，集群软件，配置原装42U机柜和2个PDU 2
2 SAN交换机 24个4GB/S的光纤交换接口，当前激活16个 2
3 磁盘阵列 配置冗余双控制器，支持FC及ISCIS端口，支持多种RAID功能, 容量达到10T以上 2
4 中间件服务器 配置中端PC服务器，四颗Intel Xeon E7-4807六核处理器主频≥1.86GHz/缓存≥18M
，32G内存，2块300G SAS硬盘，RAID卡，2个千兆光口，2个千兆网口，冗余电源，风扇 2
5 应用服务器 配置中端PC服务器，2*英特尔至强E5640系列处理器，16G内存，2块300G SAS硬盘，RAID卡，2个千兆网口，冗余电源，风扇 6
6 区域HIS服务器 配置中端PC服务器，4*英特尔至强E7-4807系列处理器，32G内存，2块300G SAS硬盘，RAID卡，8G HBA卡，2个千兆光口， 4个千兆电口，冗余电源，风扇 2
7 核心中心交换机 1个768G交换引擎，24端口千兆以太网电口（RJ45），24端口千兆以太网光口业务板，，冗余电源、风扇 2
8 路由器 全千兆以太网接口（支持电口及光口），3个千兆以太网，能够达到双向千兆线速转发，强大的安全性能，支持丰富的防DOS攻击、防ARP、防BT/QQ等P2P应用的控制功能 2
9 防火墙 核心交换机防火墙板卡 2
10 IPS 核心交换机入侵防御板卡 2
11 数据库审计与风险控制系统 端口镜像方式，峰值处理能力（SQL语句、条/秒）≥18000，日志本地存储容量≥7亿条，可接外部存储设备，网口数量≥6，冗余电源 1
12 全网行为管理系统 机架式安装，最大支持1500个客户端以上，当前配置≥1000客户端,包含U盘管理；补丁管理；应用行为管理；上网权限管理；网络管理；资产管理；跨网段管理等功能 1
13 服务器机柜 600MM*1000MM*2000MM，前后网孔门，后门双开式，最大静载≥800KG，带1搁板1键抽 9
14 KVM套件 1U 8口KVM服务器机柜套件含17LCD键盘鼠标 5
15 台式工作站 E5800/2G/320G/DVDRW/WIN7/17正屏显示器 4
16 笔记本电脑 I3/4G/320G HDD或128G SSD/ 13或14”/DVDRW /碳纤维或合金上盖/WIN7 2
17 网络版防毒软件 防杀病毒软件（一个控制中心，100个管理用户） 1

18 UPS 10k2小时UPS，三进单出，工频机 1
19 结构化布线 中心机房内部SAN光纤线、光纤跳线、六类非屏蔽网线、KVM线缆等综合布线 1
20 设备间备用空调 立柜式冷暖空调/正三匹/能效等级3级或以上 1
21 系统集成 上述设备及新农合机房设备、网络集成 1


3．技术需求表
3.1 数据库服务器技术指标
指标项 技术规格要求
参考品牌 国际知名品牌
机型选择 机架式UNIX 服务器，非刀片或刀片堆叠形式服务器
★CPU主频和数量 64位RISC或EPIC架构，当前至少配置4个CPU核，且CPU主频之和≥12GHz
★CPU高速缓存 当前每个插槽(socket)的L3缓存≥16MB
★内存 采用DDR2或DDR3内存，与当前CPU核比例8:1，即1CPU核对应8GB内存
★分区 支持硬件分区，并可动态调整逻辑分区
具有故障分区的自动隔离功能（即：一个分区的软硬件故障，如应用、操作系统、CPU、内存、I/O组件等的故障，不会造成其他分区应用系统的故障）
如果具备不重新启动分区操作系统的情况下，实现在线调整各分区的CPU、内存等资源的功能，该型号将被优先考虑
★硬盘 配置300GB以上SAS硬盘≥2块，支持磁盘热插拔，保证系统数据的可用性；
★光纤通道卡 配置2块4GB光纤通道卡，通过两台光纤通道存储交换机与共享磁盘存储系统实现冗余连接，构成SAN的架构；
DVDROM 配置1个DVDROM
网络连接 配置1块独立双口千兆以太网卡，主机自带2个千兆自适应电口网口，实现局域网冗余连接
I/O Slots 热插拔PCI插槽，同时支持PCI-x和PCIe 插槽
可靠性 冗余电源和冷却风扇等部件
操作系统 原厂自主产权最新版本64位Unix操作系统，支持主流数据库和中间件
高可用性 提供实现双机并行运行所需的原厂相关软硬件设备，提供双存储实时数据同步运行所需的相关软硬件设备；Oracle RAC系统所需配套软硬件设备。
机柜 每台数据库服务器配置1个42U原装机柜
PDU 每台数据库服务器配置2个原装PDU
★原厂培训 提供数据库服务器原厂认证培训1名，包含培训内容，课程，时间，地点，培训人数，培训、培训期间食宿及考试认证。
★服务及其它要求 原厂三年7*24免费服务，投标人签订合同时需提供有效的原厂商针对本项目的三年免费售后服务证明材料。
3.2 SAN交换机技术指标
指标项 技术规格要求
★品牌要求 与核心磁盘阵列或小机同一品牌
配置 2台24口4Gb SAN交换机，配置16口激活许可
SFP模块 每台SAN交换机配置16个4Gb SFP模块，其中2个单模
SAN划分功能 提供SAN交换机管理软件；支持并提供端口安全功能；支持并提供QoS功能；要求能够与所投标的磁盘阵列、服务器无缝兼容
光纤跳线 光纤线（4Gb传输速度，PC服务器、小型机通用）16对，其中2对单模
质保证明 原厂三年7*24免费服务，投标人签订合同时需提供有效的原厂商针对本项目的三年免费售后服务证明材料。
3.3 磁盘阵列技术指标
指标项 技术规格要求
★品牌 国际知名存储品牌，有八年以上存储生产研发经历，具有自有知识产权和开发能力产品，非OEM。
控制器 要求存储设备为冗余控制器结构，配置2个控制器。
★缓存配置 当前存储缓存配置≥24GB，要求读/写缓存的大小可以在线调整，写缓存镜像，支持掉电保护。
★FC 端口数量 配置不小于8个8Gb/s的前端FC光纤通道端口
I/O模块 要求存储系统的前端连接端口模块可扩展，并且支持前端连接端口模块热插拔
★磁盘驱动器数量 要求存储系统能提供不少于240块磁盘的扩充能力
★本次项目配置容量与支持磁盘类型 要求存储系统可支持固态硬盘（SSD）、SAS硬盘，NL-SAS硬盘，至少支持以下磁盘类型：
200GB或300GB 固态硬盘
300G、600G SAS驱动器
2TB NL-SAS 7.2k SAS驱动器
本次投标配置不少于10.8TB SAS硬盘裸容量，硬盘数量≥24块
硬盘转速 硬盘转速不少于15K
RAID方式 支持多种RAID存储方式，包括RAID1，RAID0，RAID10,RAID5，RAID6。支持不同RAID级别并存
高可靠性 磁盘阵列系统具有高可靠性，达到99.999%可用性
硬件冗余性 完全的硬件冗余：处理器、缓存、电源、风扇、适配卡、总线等都提供冗余，并保证在某硬件出问题时，能够进行自动切换，不出现单点故障
存储管理软件 需提供图形化存储管理软件，支持带外管理
★自动存储分层功能 配置根据数据的活动状况，自动将活动数据调整到高速磁盘上，将非活动数据放置到大容量低速磁盘上。可设置迁移策略和迁移时间。保证迁移过程多主机透明，无需停机。
数据本地迁移 要求存储系统配置具有内部数据迁移功能的软件；基于存储系统本身的控制器实现数据在不同LUN之间的数据迁移，迁移和切换且无需中断应用访问。
★数据通道安全(负载均衡/链路切换) 配置通道管理软件，实现对主机的多通道路径访问以及对应用透明的自动故障通道切换及负载均衡，具备在SAN环境中的负载均衡功能，配置2套基于数据库服务器操作系统的路径冗余软件。
支持操作系统 磁盘阵列能提供对主流操作系统的支持：能够同时支持SUN Solaris，HP-UX，IBM AIX，Linux，Windows操作系统，支持服务器集群功能
性能分析软件 支持基于阵列的性能分析软件，能够获取实时的性能数据和历史性能数据，并提供性能分析
服务质量管理(QoS) 支持应用程序服务级别管理功能；通过优化磁盘阵列中的应用程序IO队列，决定哪些应用程序可以获得更多的可用系统资源
SNMP告警提示 支持SNMP，Email等方式的错误，警告告警方式
SMI-S性能佳监控 支持SMI-S公开标准的性能监控
★原厂培训 提供磁盘阵列原厂认证培训1名，包含培训内容，课程，时间，地点，培训人数，培训、培训期间食宿及考试认证。
服务 原厂三年7*24免费服务，投标人签订合同时需提供有效的原厂商针对本项目的三年免费售后服务证明材料。
3.4 中间件服务器技术指标
指标项 技术规格要求
参考品牌 IBM、DELL、HP
★CPU 4U机架式服务器，带上架导轨；四颗Intel Xeon E7-4807四核处理器主频≥1.86GHz/缓存≥18M
★内存 ≥32GB内存
★RAID卡 支持RAID 0,1,5,6,10, 50 （RAID缓存512MB，RAID缓存保护电池模块,支持72小时数据保护）
★硬盘 ≥2*300GB,转速≥10Krpm, SAS Hard Drive 热插拔
管理功能 1.支持硬件故障检测，电源、电压、风扇监控,温度监控,远程开关机,报错日志管理。支持CPU,内存，硬盘，电源，风扇故障前预告警功能。
2．含硬件远程管理卡模块,可提供远程管理功能
3. 主板内部集成管理软件及驱动,可实现无需安装软件直接管理服务器,内置服务器驱动程序,提供快速无盘布署和管理功能。
4. 支持不开机箱或前面盖直接查看面板LCD显示屏显示告警信息。
★其他配置 千兆电口≥4，千兆光口≥2，热插拔冗余电源，中文服务器管理软件
服务 原厂3年当日四小时7*24专业服务
3.5 应用服务器技术指标
指标项 技术规格要求
品牌要求 与中间件服务器同一品牌
★CPU 2U机架式服务器，带上架导轨；配置2个Intel Xeon E5640以上四核处理器主频2.66GHz/12M 缓存/1066Hz前端总线
★内存 ≥16GB全缓冲内存
★RAID卡 配置RAID控制器（支持RAID 0/1/10/5等）缓存≥256MB
★硬盘 ≥2*300GB,转速≥10Krpm, SAS Hard Drive 热插拔
★其他配置 4个千兆电口/热插拔冗余电源/中文服务器管理软件
服务 原厂3年当日四小时7*24专业服务
3.6 区域HIS服务器技术指标
指标项 技术规格要求
参考品牌 与中间件服务器同一品牌
★CPU 4U机架式服务器，带上架导轨；四颗Intel Xeon E7-4807四核处理器主频≥1.86GHz/缓存≥18M
★内存 ≥32GB内存
★RAID卡 支持RAID 0,1,5,6,10, 50 （RAID缓存512MB，RAID缓存保护电池模块,支持72小时数据保护）
★硬盘 ≥2*300GB,转速≥10Krpm, SAS Hard Drive 热插拔
管理功能 1.支持硬件故障检测，电源、电压、风扇监控,温度监控,远程开关机,报错日志管理。支持CPU,内存，硬盘，电源，风扇故障前预告警功能。
2．含硬件远程管理卡模块,可提供远程管理功能
3. 主板内部集成管理软件及驱动,可实现无需安装软件直接管理服务器,内置服务器驱动程序,提供快速无盘布署和管理功能.
4. 支持不开机箱或前面盖直接查看面板LCD显示屏显示告警信息。
★其他配置 ≥4个千兆电口，≥2个千兆光口，2块8G HBA卡，热插拔冗余电源，中文服务器管理软件
服务 原厂3年当日四小时7*24专业服务
3.7 核心交换机技术指标
指标项 技术规格要求
参考品牌 H3C、思科、JUNIPER
★硬件指标 总插槽数≥8
整机交换容量≥768Gbps；整机包转发能力≥492Mpps
配置单引擎、配置冗余电源
配置千兆光口≥24、千兆电口≥24，千兆多模光模块10个；千兆单模光模块2个
关键部件冗余 配置冗余电源、引擎支持冗余配置；
★通风和散热 业务板插槽采用竖插式设计，便于通风散热；
关键部件热插拔 引擎、电源、接口模块等关键部件可热插拔；
接口支持 支持百兆和千兆的以太网电口和光口，以及万兆的以太网光口
路由协议 支持三层路由协议，包括RIPv1/v2、RIPng、OSPFv1/v2、OSPFv3、BGP4、BGP4+ for IPv6、等价路由、策略路由等
二层特性 支持IEEE 802.1d（STP）/802.1w（RSTP）/802.1s（MSTP）
MPLS
ACL/QoS 支持MPLS全线速转发功能，支持MPLS分布式处理能力
支持基于第二层、第三层和第四层的ACL；支持VLAN ACL和IPv6 ACL；支持出方向ACL，以便于灵活实现数据包过滤；支持IP/Port/MAC的绑定功能；支持出方向的流量限速功能（Egress Car）；提供广播风暴抑制功能
组播 支持IGMPv1/v2/v3，支持IGMPv1/v2/v3 Snooping
虚拟化特性 支持虚拟化功能，能提供统一的管理、跨设备链路聚合功能，简化网络拓扑管理，提高运营效率，降低维护成本
VLAN 支持动态划分VLAN；支持静态VLAN和802.1Q VLAN Trunk；
★业务支持 支持与核心交换机一体化的防火墙业务模块、IPS业务模块、ACG业务模块，并提供官网链接和产品彩页作为证明
访问控制 支持IEEE 802.1x和Portal方式用户认证, 802.1x动态VLAN分配；支持IP/Port/MAC的绑定功能
管理特性 支持SNMP V1/V2/V3、RMON、SSHV2；支持通过命令行、Web、图形化配置软件等方式进行配置和管理。支持中文管理，引擎支持并配置外置Flash，便于配置升级和日志存放
可靠性 支持热补丁；故障检测时间小于50ms；
产品认证 投标型号产品成熟稳定可靠，有自主知识产权，有3年以上行业使用历史，提供信息产业部入网证复印件。且入网证上申请单位与生产企业必须为同一厂商。产品通过第三方权威机构TOLLY GROUP的产品测试，提供测试报告。
★原厂培训 提供交换机及同品牌路由器等原厂认证培训1名，包含培训内容，课程，时间，地点，培训人数，培训、培训期间食宿及考试认证。
产品质保与原厂认证工程师服务 原厂三年7*24免费服务，投标人签订合同时需提供有效的原厂商针对本项目的三年免费售后服务证明材料，产品需原厂认证高级工程师上门服务。
3.8 核心路由器技术指标
指标项 技术规格要求
品牌要求 与核心交换机同一品牌
★基本功能 IP转发性能≥2M pps，可扩展接口模块插槽≥4；千兆接口（WAN接口）≥3个光电Combo口，配置2个单模光模块，2个多模光模块。
支持独立的硬件防病毒接口板卡、网络流量分析接口板卡、广域网加速接口板卡，必须在原厂商产品彩页和官方网站上能体现。
★防火墙功能 支持并配置状态防火墙
支持Secure Shell（SSH）协议2.0
支持DDOS防攻击；支持ARP防攻击、入侵保护
支持业务识别的报文过滤和限制功能
支持PPPoE Client & Server，PORTAL，802.1x
支持包括bittorrent[BT]、edonkey、exchange等在内的多种应用业务的识别、限制、控制、QoS策略配置；支持HTTP协议特殊属性的识别(如HTTP报文中的URL地址、hostname主机名和MIME类型)、支持RTP协议特殊属性的识别(对RTP报文的负载类型对数据流进行分类)、支持端口号类型的自定义和对应业务的识别、支持对协议类型名称重命名的自定义
支持NAT/NAPT
局域网协议 ARP （代理ARP，免费ARP，授权ARP）、Ethernet，VLAN，802.3x，802.3ad，802.1p，802.1Q，802.1x、802.1w，802.1s
★广域网接口 支持POS（155M）、CPOS（155M）、ATM（155M）等接口，必须在原厂商产品彩页和官方网站上能体现
语音接口 支持FXS、FXO、E&M、E1接口，必须在原厂商产品彩页和官方网站上能体现
网流分析 配置NetStream或netflow网流分析功能
链路层协议 支持ATM、PPP、MP、ETHERNET等链路层协议
路由协议 支持RIP、OSPF、BGP、IS-IS等路由协议；支持IPv6静态路由（包括组播静态路由）、RIPng，OSPFv3，IS-ISv6，BGP4+、NAT-PT，IPv6隧道，6PE、手工隧道，自动隧道，GRE隧道，6to4，ISATAP
MPLS LDP，MPLS TE，MPLS/BGP VPN，L2VPN
组播 组播路由协议：IGMP/IGMPv3，PIM-DM，PIM-SM，PIM SSM，MBGP，MSDP
QOS SP、LR、Port-Based Mirroring、Priority Mapping、Port Trust Mode,Port Priority、CAR、FIFO、PQ、CQ、WFQ、CBQ、RTPQ、WRED/RED、GTS
可靠性 支持电源等关键部件冗余；支持VRRP，支持VRRPv3，支持备份中心、路由监控备份
管理特性 支持CLI、SNMP V1/V2/V3、RMON 1/2/3/9
★认证 投标产品成熟、稳定、可靠，有三年以上行业市场使用历史，非OEM（入网证上申请单位与生产企业必须为同一厂商），提供产品入网证作为证明。产品通过第三方权威机构TOLLY GROUP的产品测试，提供测试报告。
服务 原厂三年7*24免费服务，投标人签订合同时需提供有效的原厂商针对本项目的三年免费售后服务证明材料，产品需原厂认证高级工程师上门服务。
3.9 核心交换机防火墙板卡
指标项 技术规格要求
数量 每台核心交换机1块
★总体要求 防火墙板卡安装在核心交换机插槽内，板卡配置数量以满足招标性能要求为依据（例如：单块防火墙板卡吞吐量为3G，则需要配置防火墙板卡数为：6G/3G=2块的防火墙板卡）
★硬件架构 多核处理器架构
操作系统 专业的安全操作系统，系统具有特性可扩展能力
★产品性能 最大并发连接数≥200万
每秒新建连接数≥60000
防火墙吞吐量≥10Gbps
3DES加密性能≥2Gbps
IPSec VPN隧道≥5000条
可靠性要求 支持基于状态的热备份
★虚拟防火墙 当前配置不少于200虚拟防火墙许可
基本功能 支持FTP、HTTP、SMTP、RTSP、H323协议簇的状态报文过滤，支持基于时间段的安全策略设置
支持虚拟防火墙技术
★支持 P2P限流功能
支持IPSec VPN、GRE VPN
支持Syslog、NAT转换、攻击防范、黑名单、地址绑定等日志
支持流量监控日志
支持二进制格式日志、支持用户行为流日志
支持一对一、地址池等NAT方式
支持多种应用协议，如FTP、H323、RAS、HWCC、SIP、ICMP、DNS、PPTP、NBT的NAT ALG功能
★支持一个公网IP地址NAT并发不少于100万连接
支持策略NAT ALG功能
支持策略NAT功能
支持静态路由、RIP v1/2、OSPF、BGP、策略路由等
支持应用层过滤，支持Java Blocking、ActiveX 过滤，支持FTP协议深度检测，支持FTP命令字过滤，支持URL过滤
部署模式 支持路由模式、透明模式和混合模式
★配套管理 支持网管软件统一网管，支持SNMPv1、SNMPv2、SNMPv3，可以与网络、交换设备统一管理、支持WEB管理
支持CONSOLE、TELNET、SSH V1.5管理方式
支持NTP时间同步
保修服务及授权 原厂三年7*24免费服务，投标人签订合同时需提供有效的原厂商针对本项目的三年免费售后服务证明材料
3.10 核心交换机IPS板卡
指标项 技术规格要求
数量 每台核心交换机1块
★总体要求 IPS板卡安装在核心交换机插槽内，板卡配置数量以满足招标性能要求为依据（例如：单块IPS板卡吞吐量为500Mbps，则需要配置IPS板卡数为：（1200Mbps/500Mbps=2.4）3块的IPS板卡）
★产品结构 多核MIPS架构，CPU核数目≥8个
★网络接口 管理接口：10/100/1000以太网口≥4个
业务接口：交换机中所有业务口均可应用于IPS模块
扩展性 交换机中可以同时配置多块IPS模块，进行平滑升级
★产品性能 最大并发连接数≥200万
每秒新建连接数≥25万
吞吐量≥1.2Gbps
数据处理延迟≤200微秒
可靠性要求 支持热插拔
支持二层回退，当检测引擎在极端情况下失效时，设备可回退到二层模式，保证网络连通
支持VRRP双机热备
★功能要求 攻击特征库数量≥3000+
支持专业防病毒功能
病毒特征库数量≥8000+
支持的协议识别数量≥800+
支持深入七层的分析检测技术，能检测防范的攻击类型包括：蠕虫/病毒、木马、后门、DoS/DDoS攻击、探测/扫描、间谍软件、网络钓鱼、利用漏洞的攻击、SQL注入攻击、缓冲区溢出攻击、协议异常、IDS/IPS逃逸攻击等。
可以识别迅雷、BT、eDonkey/eMule、Kugoo下载协议、多进程下载协议（网络快车、网络蚂蚁）、腾讯超级旋风下载协议、脱兔TuoTu下载协议、Vagaa哇嘎“画”时代、Gnutella、DC等P2P应用；可以识别MSN、QQ、ICQ、Yahoo Messenger等IM应用；可以识别PPLive、PPStream、HTTP下载视频文件、沸点电视、QQLive等网络视频应用；可在识别的基础上对这些应用流量进行阻断或限流。
支持IP 碎片重组、TCP 流重组、会话状态跟踪、应用层协议解码等数据流处理方式。
采用全面深入的分析检测技术，结合模式匹配、协议异常检测、事件关联等多种技术，能识别运行在非标准端口上的协议，准确检测入侵行为，能提供支持的网络协议列表。
支持URL过滤；URL过滤可以基于时间、主机，能够精细到单一IP地址
IPS检测到攻击报文或攻击流量后，支持阻断、隔离、Web重定向、限流的响应方式。
支持基于时间、方向、用户IP对网络滥用流量进行限流
支持对病毒感染主机或黑客主机的网络隔离或访问重定向，支持对攻击报文进行抓包追踪。
支持白名单和黑名单功能
内置缺省使能的IPS检测策略，支持策略自定制能力。
支持对不同的网段运用不同的检测策略
支持细粒度的特征规则设置，可以为单条不同的特征规则设置不同响应方式，包括告警、阻断、隔离、限流、重定向等。
可以识别并检测802.1Q、MPLS、QinQ、GRE等特殊封装的网络报文。
支持手动、自动升级特征库
部署模式 支持在线部署模式（IPS模式）、并同时支持旁路部署模式（IDS模式），两种模式可以同时工作。
在线部署时，支持透明部署，即插即用。
★管理方式 支持基于Web的中文化图形化管理方式，支持HTTP、HTTPS登录Web图形管理系统进行管理。
不需要部署额外的管理系统，通过基于Web的图形化管理方式，即可实现完备的单机的设备管理、安全策略管理、攻击事件统计分析功能。
支持基于串口、Telnet的命令行管理。
支持对多块分布式部署的IPS模块进行集中管理。
支持分布式和一站式管理。
日志功能 提供全面的系统日志、审计日志功能，日志可导出。
支持本地磁盘、syslog服务器、远端服务器等多种日志告警保存方式
支持实时的攻击日志归并功能，可以根据用户需要，对告警日志执行任意粒度的归并，有效避免告警风暴。
能够按照用户需求生成各种风格的统计报表，并可导出报表。
支持Syslog日志发送接口。
保修服务及授权 原厂三年7*24免费服务，投标人签订合同时需提供有效的原厂商针对本项目的三年免费售后服务证明材料
3.11 数据库审计与风险控制系统
指标项 技术规格要求
品牌要求 ★产品需获得公安部计算机信息系统安全产品销售许可证以及公安部信息安全产品检测中心出具产品检验报告。所提供的产品检验报告须符合《信息安全技术数据库安全审计产品检验规范》，并提供完整的检测报告复印件。
★通过国家保密局检测并获得国家保密局涉密产品检测证书
产品列入中央国家机关2010年计算机政府采购入围产品
产品通过中国国家信息安全测评认证中心强制认证检测并获取相应3C证书，提供证书复印件；
产品通过军用信息安全产品检测并获得军用信息安全产品认证证书，提供证书复印件；
★产品具有自主知识产权，需提供相应证明文件（软件著作权、软件产品登记）；
企业通过ISO9001:2008质量管理体系认证
工作模式 独立完成审计数据采集，不依赖于数据库自身的日志系统；
审计工作不影响数据库的性能、稳定性或日常管理流程；
审计结果存储于独立存储空间；
自身用户管理与数据库管理、使用、权限无关联；
支持中文简体和英文, UTF8三种编码的分析处理
提供全中文WEB管理界面
硬件规格 ★峰值处理能力（SQL语句、条/秒）：18000，本地存储空间≥7亿条，可接外部存储设备，网口数量≥6，冗余电源
静态审计 数据库不安全配置；
数据库潜在弱点；
数据库用户弱口令；
数据库软件补丁层次；
数据库潜藏木马等等。
实时动态审计 能够针对TNS、TDS等协议进行解析还原，包括数据访问的各项要素，如执行的SQL命令、请求内容、包长度、操作回应、作用数量、执行时长；以及客户端及主机端IP、MAC地址、客户端操作系统用户名、主机名、端口、工具、及数据库登录用户名、服务标识等内容。
实时监控与风险控制告警 针对于数据库的操作行为进行实时检测，根据预设置的风险控制策略，结合对数据库活动的实时监控信息，进行特征检测，任何尝试的攻击操作都会被检测到并进行阻断或告警。
双向审计 不仅支持对数据请求的报文进行审计，同时应对请求的返回结果进行审计，如操作回应、作用数量、执行时长等内容，并能够根据返回的回应进行审计策略定制。
多层业务审计 提供全方位的多层（应用层、中间层、数据库层）的访问审计，通过多层业务审计可实现数据操作原始访问者的精确定位。
审计层次及规则策略 提供针对用户（数据库）、表、字段、操作的审计规则；
提供对存储过程、函数、包的审计规则；
提供对视图、索引的审计规则；
精细到表、字段、具体报文内容的细粒度审计规则，实现对敏感信息的精细监控；
基于IP地址、MAC地址和端口号审计；
提供可定义作用数量动作门限，如SQL操作返回的记录数或受影响的行数大于等于此值时触发策略设定；
提供可设定关联表数目动作门限，如SQL操作涉及表的个数大于等于此值时触发策略设定；
可根据SQL执行的时间长短设定规则； 如命令执行时长超过30秒进行告警；
可根据SQL执行的结果设定规则；
分级管理 支持多级部署环境下数据查询；
支持多级管理下审计规则分发；
违规告警 可预设置安全策略；
告警（邮件、短信、SYSLOG、SNMP、屏幕）。
综合查询及报表管理 提供详细的操作记录查询，包括库、表、字段、具体报文内容查询；
提供所有或单个数据库登录用户、源IP、目的IP的审计规则统计、特征告警、对象访问、请求统计等报表功能，并提供用户自定义报表功能；
能够自动导出WORD、PowerPoint、PDF等各种格式文件；
支持点线图、柱状图、饼图等图文并茂式报表展现；
支持访问数据的趋势分析；
用户管理 根据三权分立的原则和要求进行职、权分离，对系统本身进行分角色定义，如管理员只负责完成设备的初始配置，规则配置员只负责审计规则的建立，审计员只负责查看相关的审计结果及告警内容；日志员只负责完成对系统本身的用户操作日志管理。
事件回放与追溯 根据事件发生的时间、用户、访问方式（客户端、TELNET、FTP）、用户IP、服务器等组合查询，并对过程进行回放和追溯。
审计数据库类型 ★支持Oracle8/9/10、MS SQL Server2000/2005/2008、Sybase11/12、Informix 9.2、DB2 V8/v9、MYSQL V4/v5、Oscar V5等主流数据库；
故障自动排错平台 实现不使用客户端工具实现审计设备的端口状态监听、镜像数据流量监控、设备服务状态检查、授权许可查看、前台系统配置等内容自动检测，对报错的内容提供针对性的解决方案。
审计协议支持 支持TNS、TDS、HTTP、POP/POP3、SMTP、TELNET、FTP等；
部署方式 支持端口镜像、分光等采集数据；
支持分布式部署、集中式管理模式；
服务及售后支持 原厂三年7*24免费服务，投标人签订合同时需提供有效的原厂商针对本项目的三年免费售后服务证明材料。
3.12 全网行为管理技术指标
指标项 技术规格要求
厂商资质 国家商用密码产品生产定点单位
★国家商用密码产品销售许可证
国家质量管理体系(ISO9001:2000)认证证书
浙江省内具备使用的安全网关数量在1000台以上的成功案例（出具用户证明）
产品资质 ★国家商用密码产品型号证书
★公安部销售许可证书
★国家商用密码产品技术鉴定证书
性能参数 设备基本情况 ★独立设备(非标准PC)，支持19英寸标准机架安装，1U或2U
支持最大用户数 1500个
支持最大带宽 200M
日志保存时间 大于6个月
用户管理 系统支持以单位、部门、组、用户多级管理，根据单位实际网络情况支持以IP地址、MAC地址、账号验证、Windows域帐号等多种模式来精确识别、定位用户，按个人、分组或全体等层次对用户的上网情况进行审计分析以及控制。
基于IP地址定位 适合用户电脑IP是固定的网络结构，以IP地址对应上网人员
基于MAC地址定位 适合用户电脑IP是动态分配的网络结构，以MAC地址对应上网人员
Web账号验证 采用本地用户数据库进行Web登录验证，支持USB-Key等双因素认证方式
第三方同步验证 可以和Windows AD、LDAP、Radius等认证服务器结合起来进行同步认证
自动认证 支持基于IP或MAC的用户自动学习和自动认证功能
★数字证书认证 支持基于数字证书的用户认证
应用识别能力 应用识别数量 基于数据包特征码的应用识别技术，识别超过200多种当前主流应用，并支持用户手工添加新识别规则
P2P智能识别技术 提供基于P2P行为特征的智能识别技术，以实现对加密的、版本泛滥的、不常见的P2P行为的识别
IM软件识别 至少能识别QQ、TM、MSN、MSNShell、阿里旺旺、雅虎通、网易POPO、新浪UC、ICQ、POCO、卡盟等，并支持对IM软件的细分功能识别（如QQ视频、传文件、远程协助）
网络游戏识别 至少能识别联众游戏、游戏中心、浩方、QQ游戏、MSNGame、边锋游戏、联众好友、新浪游戏大厅、网易泡泡、游戏茶苑、互动游戏中心、TOM在线游戏、UU棋牌、远航游戏等
炒股软件识别 至少能识别大智慧、钱龙、股票行情、同花顺、证券之星、富贵满堂、未来趋势、分析家、和讯股道、股道、通达信系列炒股软件、华安证券、银河证券、MSN炒股等
网址识别能力 支持基于云端和本地URL库的“零时”分类技术，支持64个大类超过一亿条URL地址分类并且允许用户手工添加新URL分类
文件类型识别能力 能够识别通过HTTP、FTP上传下载的文件类型
流量管理 多线路复用 一台设备支持最多同时连接三条公网线路，扩展出口带宽
多线路智能选路 访问外网的流量支持在多线路间智能分担，并且流量自动选择最快的线路接入外网
流量排除策略 基于目标IP地址和应用类型对指定的应用流量不进行任何流量控制策略
应用类型流量控制 基于不同用户、不同应用类型进行流量控制
网站类型流量控制 基于不同用户、被访问的不同网站类型进行流量控制
文件类型流量控制 基于不同用户、上传下载的不同文件类型进行流量控制
带宽保证策略 静态预留带宽策略，保证指定带宽绝不会被其他应用抢占；
动态保证带宽策略，为指定应用的带宽需求提供动态带宽保证，且将指定应用未占用的带宽共享给其他应用
带宽限制策略 为指定应用行为提供带宽限制策略，保障带宽不会被其滥用
每用户流量策略 为用户组内每用户提供平均分配的流量管理策略、或自由竞争的流量管理策略
时间段控制 支持基于不同时间段实施不同的流量管理策略
优先级控制 支持最少8级优先级带宽管理策略
SSL加密的炒股网站 支持对SSL加密的钓鱼网站、炒股网站、证券基金网站、在线购物网站的识别和过滤
文件类型过滤 识别和过滤通过HTTP、FTP下载、上传指定类型的文件；
支持对非标准端口FTP传输文件的识别和过滤
内网安全管理 ★准入控制 对接入内网的主机进行主机风险评估。如果发现主机上存在安全威胁或未达到该接入网络要求的安全级别，则限制该主机在内网和对外网的访问能力
防洪流攻击 对于有异常洪流（异常ICMP/TCP/UDP数据）的主机，即时发出告警，并根据预先制订的洪流阀值断开问题PC的网络连接，防止威胁在公司网络进一步扩散
非法外联监测 能够自动识别网络中PC的各种非法外联行为，并能够自动根据策略进行报警或阻断其外部连接，从而真正达到杜绝非法外联的行为
主机外设补丁管理功能

主机风险评估 对主机系统的安全状况（如：没有启用杀毒软件、防火墙，有木马和恶意程序以及病毒库是否是最新等）进行检测和评估，以决定是否允许其登录网关接入内网
程序管控（协议过滤的重要补充） 恶意程序监控 可监控对主机和局域网有安全威胁的软件，包括：木马后门、间谍软件、扫描软件、嗅探检测、蠕虫病毒等
禁用程序监控 可监控用户单位管理制度禁止运行的软件，包括：单机版软件和联网软件
强制运行程序监控 可强制保证客户端PC安全的软件运行，包括：防火墙、杀毒软件等
自定义程序监控 用户可自定义程序特征来进行特定软件运行的管控
主机工作效率报表 支持按照“程序分时统计”、“程序使用排名”和“程序使用查询”三种方式来分析查询用户的程序使用状况，分析用户每天的工作时间和工作效能，并能形成相应图表，从而分析用户每天的工作时间和主机使用效能
★外设管理 支持对主机的外设进行统一集中管理，针对移动存储（U盘、CF卡等），非移动存储(1394口、蓝牙、MODEM、串并口、光驱、红外、磁带)计算机外设的控制功能，按照用户角色/身份进行独立控制
★U盘加密管理 对内网中USB等移动存储设备进行授权管理，只有授权过的移动存储设备才允许在内部使用，未授权U盘无法在内网的计算机上使用。经过授权的U盘当离开了TPN系统保护的网络后，无法正常使用
主机资产管理 支持自动侦测计算机的硬件信息，可根据硬件属性进行查询，并提供报表和导出；支持自动侦测计算机安装的软件，可根据软件名称、是否安装某软件进行查询，并提供报表和导出；支持自动跟踪计算机的硬件变动更换动作，提供历史数据的查询、报表和导出；支持自动跟踪计算机的软件安装和卸载动作，提供历史数据的查询、报表和导出；支持自动跟踪计算机的IP地址的变动情况，提供历史数据的查询、报表和导出；支持自动跟踪计算机的计算机名的变动情况，提供历史数据的查询、报表和导出；支持管理员补充录入计算机的资产编号、物理位置、使用人等相关信息
实时监控功能
在线用户监控 实时查看当前在线用户的IP地址、上线时间、访问流量等信息
IP连接监控 实时刷新当前用户的并发IP连接状态，如时间、流量等
网站（表单）监控 实时刷新当前用户的网站访问和发送信息情况，如URL、网站标题、BBS发帖等
网络会话内容监控 实时刷新FTP、Telnet等应用的交互信息内容
信息审计分析功能
对所有的上网行为和发送的信息内容进行记录存档，一方面是单位宝贵的信息资料库，另一方面也满足国家法律法规的要求。记录日志可以设定保留期限来循环记录，也可以备份在远程服务器上离线搜索查看。
日志审计 详细记录用户的上网的各类日志，包括HTTP、SMTP、POP3、Telnet、FTP、QQ、MSN、游戏、股票、视频等近百种常见应用的上网日志
内容审计 支持对邮件、WebMail邮件信息，BBS等POST表单信息，MSN、QQ、雅虎通、ICQ等即时通信信息，包括其附件内容的还原、审计
图表功能 可通过图表等统计分析手段了解一段时期内的网络使用情况、带宽占用情况和内部的网络行为是否符合单位的要求等，定位上网问题的所在，为管理提供强有力的决策依据。所有统计结果可直接打印，也可导出到PDF文档。
统计分析 对单位、部门、个人的上网流量、上网时间、网站访问、邮件收发、聊天信息等进行统计，并可以图表的方式从各个角度对用户上网情况进行分析，帮助管理者了解员工上网情况，及时调整管理策略
TOP排行 对个人或部门常用的上网数据进行TOP排行统计，如上网流量、上网时间、网站点击次数、应用服务等，掌握上网统计的关键数据
智能维护功能 数据清理 可以设定对过期数据自动清理，防止数据溢出
自动备份 配置数据和存档数据可根据要求自动备份在本机或远程服务器上，备份数据可直接下载查看
软件升级 可手动或在线自动升级软件、应用特征库和网址分类库
★硬件BYPASS 支持设备断电或系统故障时串接网口直通，保证网络畅通
智能保障 智能清理废弃资源和整理磁盘空间，自动检测和修复文件和数据系统等等，保障系统可靠稳定地运行
部署方式 网关模式 支持网关模式，提供防火墙功能
网桥模式 支持网桥模式，以透明方式串接在网络中 支持多路桥接，即双进双出功能
混合模式 支持混合模式，适应复杂应用环境
售后服务 ★保修服务 原厂三年7*24免费服务，投标人签订合同时需提供有效的原厂商针对本项目的三年免费售后服务证明材料。
3.13服务器机柜及配件技术指标
指标项 技术规格要求
参考品牌 IBM、DELL、图腾、BOTTOM、AARON、APC、D-link
外部尺寸 600MM*1000MM*2000MM
柜体材料 SPCC优质冷扎钢板
门 前后网孔门，后门双开式
最大静载 ≥800KG
3.14 KVM配置技术指标
指标项 技术规格要求
参考品牌 ATEN、睿讯、Avocent、D-link
整体需求 总控制端17寸LCD液晶屏幕、键盘及鼠标触控板整合于一个1U的抽拉式控制端模块内，总控制端内建或外接一个8口USBKVM，另配4个8口USB KVM，所有KVM支持菊链式串联并配置相应的菊链线，所有KVM满配USB KVM线缆,提供一个信号延长器并配置相应的线缆
单台设备计算机直接连接数 ≥8
支持计算机最大串联数 ≥256
计算机切换选择 热键、OSD (屏幕选单功能)
安装 19英寸标准机架式安装
控制端连接接口 显示器HDB-15，键盘鼠标USB
计算机端连接接口 SPHD-15
串联连接接口 D Type-25
固件更新 支持
重置 支持
键盘、鼠标仿真模式 USB
视频分辨率 2048 x 1536
外壳材料 金属
3.15台式工作站技术指标
指标项 技术规格要求
参考品牌 DELL、HP、联想、方正
技术参数 E5800/2G/320G/键鼠/DVDRW/17液晶/WIN7/三年保修
3.16笔记本电脑技术指标
指标项 技术规格要求
参考品牌 DELL、HP、宏基、华硕、索尼、富士通、THINKPAD
技术参数 I3/4G/320G HDD或128G SSD/ 13或14”/DVDRW /碳纤维或合金上盖/WIN7
3.17 网络版防毒软件技术指标
指标项 技术规格要求
品牌与资质 国际知名品牌，必须通过Check Mark （Level 1、Level 2和Trojan）、ICSA Certified、 PC Magazine、 ICSA、VB100%等国际知名认证。
配置要求 ★一个管理控制器，当前配置100个客户端许可（许可支持服务器）
服务器、工作站防病毒基本能力 ★资源占用率低，主要指对于CPU资源、内存资源和硬盘空间资源的占用，应当不影响客户端计算机的快速使用,客户端占用内存小于30M
支持对所有Windows/Linux/Unix平台的实时监控和手动扫描防护
★支持零天保护，具有 ThreatSense 病毒引擎，在不更新或无病毒库的状态下，具备查杀未知病毒的能力，侦测率在75%以上
自动侦测病毒、蠕虫、木马、间谍软体、广告软体、网络钓鱼、骇客攻击等恶意攻击，并能作出即时防护
支持对系统引导区、加壳程序以及各种压缩格式文件的扫描，并能对其中的病毒进行彻底的查杀
支持多种升级方式，如通过代理服务器从互联网升级、共享文件夹升级等。产品包括局域网内更新服务器，通过HTTP或者共享文件夹分发病毒库
★升级服务同时包含病毒库升级和软件模块的升级，无须客户端中断任何当前操作
★强大的日志功能，应当包括事件日志和病毒疫情日志，并能对日志相关功能进行设定，如日志占用空间、可用时限等
管理控制台的功能 ★支持多级管理以及移动控制台，各级服务端之间的通讯应当加密；管理员可以通过管理控制台远程连接到管理服务器
可集中统一设定客户端密码，防止用户随意关闭客户端或者更改客户端设置
★可通过控制台统一制作满足不同需要的各种配置的客户端安装包
控制台新建或更改策略与任务时，如果指定用户处于离线状态，当用户在线时策略应当立即生效
客户端程序中止运行或者某程序组件发生异常时，能够及时反馈给控制台；
支持在统一的管理平台上，对特定或者所有客户端进行远程控制，包括如远程启动或停止实时监控、手动扫描、实时更新、功能组件配置、设定分组任务或策略等
可以对基于NT内核操作系统的客户端，如Windows 2000或者XP进行远程安装和卸载
可自动搜索网络中未安装防病毒客户端的计算机终端
★服务端和控制中心可部署在个人版操作系统上，如Windows XP等
★自动生成个性化的报表，从整体上掌握网络的病毒情况，帮助维持局域网中的数据完整性。对网络中的计算机安全了解清楚、明了
★防（杀）毒产品不少于50次通过VB100测试
远程管理控制台可以支持管理5种语言版本以上的客户端
★支持LINUX、UNIX、LOTUS、EXCHANG等；支持手机杀毒（塞班和windows）
服务要求 原厂三年免费技术支持和病毒库升级，投标人签订合同时需提供有效的原厂商针对本项目的三年免费服务证明材料。
3.18 UPS技术指标
指标项 技术规格要求
参考品牌 科士达、APC、科华、山特
输 入电压范围(Vac) 380±25%
输入频率范围(Hz) 50±5%
输入相数 3φ4W+PE
输入电池电压(Vdc) 192
输出容量（KVA） 10
输出电压(Vac) 220±1％，隔离变压器输出
输出频率(Hz) 市电正常，自动同步跟踪
并联方式（并机型） 并机可选；无主从自适应并联均流，可多台扩容并联或N+1并联冗余
波形失真 线性负载下THD≤3%
静态旁路转换时间（ms） 0
电池效率 ≥92％
过载能力 125％全载持续1分钟
输出方式 接线排
UPS类型 ★双变换工频在线式UPS，内置输出隔离变压器
手动维护旁路 无
冷启动功能 具备直流启动功能
备用时间 电池供电时间可任意配置
充电特性 采用智能化电池管理系统，独有的多模式充电提高电池的可靠性和使用寿命。
电池管理 定时自动均/浮充转换，具备电池自测试功能，当电池异常时自动告警并判断电池好坏
电池监测功能 具有电池监控管理系统，实时监测单节电池工作状态
配置电池 配置免维护12V100AH电池≥16节，参考品牌（约顿、科土达、德国阳光、沈阳松下，友联等），及相应电池柜及连接线缆；电池原厂保修三年
LCD显示 输入电压、输出电压、电池电压、负载大小、历史记录的查询等（20KVA以上）
LED显示 整机的工作状态
报警功能 市电异常、电池欠压、过载、UPS故障
通信功能 提供干接点通信和RS232/RS485，实现UPS的智能监控。
保护功能 电池低压保护、过载保护、过温保护、输出短路保护、输出过压保护
远程监控（选件） 独立的数字化远程监控器，通过RS485支持，距离可达1000米，实现安全、便捷的远程监控。
电磁兼容 符合GB7260.2
音频噪音（dB） ＜60（离箱体正面一米处）
冷却方式 强制风冷
质保 原厂三年质保，上门服务
3.19 机房综合布线技术指标
指标项 技术规格要求
总体要求 利用弱点桥架敷设各类线缆，线缆的长度根据不同设备间的实际距离选用，留有0.5-1米的长度冗余，充分利用桥架、机柜等设备，必要时添设理线架等设备，使敷设线缆整齐、美观。
SAN光纤线 配置与SAN交换机激活端口数一致的SAN光纤线（32条），并根据原有设备及本次采购设备情况完成布线
光纤跳线 配置与原有设备及本次采购设备相容的光纤跳线，并完成与各网络设备及服务器设备的连接，不同长度及接口的光纤条线各提供2对备用。
与新农合设备连接光纤 中心机房与新农合机房间已敷设2条8芯单模光缆，投标人须完成光缆尾纤熔接并提供相应数量的跳线，同时提供2个光纤收发器备用。
运营商光纤接入 广域网光纤由运营商完成接入和熔接，投标人提供光纤跳线并完成设备接入，运营商提供的光纤收发器作为备用设备。
六类非屏蔽双绞线 根据网络设备与接入网络的设备间的实际距离定制六类非屏蔽双绞线跳线，敷设量根据实际机柜使用情况确定，整体敷设量不少于80条六类线，并制作2米、3米、5米、8米六类跳线各5条备用。
KVM线 预敷设机柜内KVM线及机柜间的串联线，并提供KVM线和串连线各2条备用。
信息点布线 控制区与办公区基本信息点布线已完成，根据实施进展，如需增设信息点且点数在10个以内，相关费用包含在本次投标报价内。布线使用超五类或以上非屏蔽双绞线，信息面板使用超五类或以上模块，并配置相应的3米跳线。
3.20 设备机房备用空调要求
指标项 技术规格要求
参考品牌 大金、三菱、格力、美的、海尔
技术参数 立柜式冷暖空调/正三匹/能效等级3级或以上
质保 三年，上门服务

3.21系统集成要求
投标人应根据本次招标技术需求书，结合自身优势，提供满足招标需求的技术方案和产品，并对本次招标产品的系统集成提供自身设计的集成方案，由于本次采购的设备需与原新农合机房设备相容，故投标人须在现场踏勘期内进行现场踏勘，提供的系统集成方案须充分考虑原新农合设备及新农合机房的合理利用。
采购人将结合未中标投标人的系统集成方案和相关软件供应商的意见及建议，要求中标人根据实际情况进行适当的系统集成方案调整，形成最终系统集成方案，并要求中标人按最终系统集成方案完成实施，应系统集成方案变更而产生的人力和低值配件（单件价值300元以下）采购人不再另行支付费用，设备增设或单件价值超过300元的配件由采购人另行支付费用采购。