浙二医院PACS系统改造(浙江大学医学院附属第二医院)
一、招标内容与技术要求
1. 设备需求清单
序号
仪器设备名称
数量
1
局域网内网核心交换机
2
2
局域网内网汇聚交换机
10
3
内网24口千兆以太网接入交换机
7
4
数据库服务器
2
5
影像服务器
4
6
WEB服务器
2
7
其他服务器
2
8
配套设备
2
9
San交换机
2
10
NAS 网关
1
11
磁盘阵列柜
1
12
外网核心交换机
1
13
外网24口百兆以太网接入交换机
10
14
外网安全网关(UTM)
1
15
外网SSL VPN 设备
1
2. 具体技术需求
1、 局域网内网核心交换机(2台)
功能与指标
参数要求
推荐品牌
Cisco、H3C、Juniper
产品架构
支持多级交换架构,能够配置独立的交换网板与独立的主控板
虚拟化
支持两台物理设备虚拟化为一台逻辑设备,支持统一的管理、跨设备链路聚合,
实配的所有端口支持以太网端口捆绑技术(IEEE 802.3ad),并实现负载均衡
一个物理设备可支持虚拟交换机数量≥4,且支持每个虚拟交换机:
· 拥有独立的配置和管理界面;
· 拥有独立的协议软件进程,包括独立的生成树,独立的路由协议,独立的VLAN,独立的VRRP。
· 拥有独立的互不干扰的转发平面
交换容量
≥4Tbps(全双工双向)
每接口板槽位带宽(全双工双向) ≥400Gbps
包转发率
≥450Mpps
转发延迟
二层组播平均转发延迟≤20us
三层组播平均转发延迟≤30us
业务槽位数量
≥8
关键部件冗余
支持电源模块冗余,N+1(N≥2) ,并配置冗余电源
支持主控板1+1冗余
支持网络交换板冗余,N+1(N≥2),并配置冗余网络交换板
可支持接口类型
支持GE(电/光),支持10GE
整机万兆端口密度
≥128
链路聚合能力
支持端口聚合,支持跨板聚合
路由转发表容量
≥128K
MAC地址表
≥128K
ACL
支持双向ACL
支持端口ACL
支持VLAN ACL
硬件ACL表项≥64K
硬件支持以太网二层加密
接口板硬件支持802.1ae以太网二层链路加密
分布式控制平面保护
每张线卡独立控制和实现控制平面的流量保护
Qos
支持DWRR 和SRR等队列调度机制
支持VOQ
认证协议特性
支持IEEE 802.1x
生成树协议
支持STP/RSTP/MSTP协议,符合IEEE802.1D、IEEE802.1W、IEEE802.1S
组播协议
支持PIM sparse mode (PIM-SM),PIM Source Specific Multicast(SSM),PIM Bi-Direction,MSDP
路由协议
支持静态、BGPv4、IS-IS、OSPF、RIPv2.0
等值路由
支持至少16条等值路由
可靠特性
支持交换网板拔出0丢包
支持双引擎快速倒换,主控冗余时模块间支持状态化故障切换,支持主控板拔出0丢包
支持不间断业务在线软件升级(ISSU)
服务要求
提供原厂商三年服务承诺书
设备管理
SNMP V1/V2/V3; Syslog,SSHv2;支持WEB网管,支持MIB-II;图形化管理
支持内嵌事件管理器;
独立带外管理CPU,具有主控引擎的独立带外管理CPU
实配分布式Netflow/NetStream(符合RFC 3954)硬件转发
· 每张实配线卡支持Netflow/NetStream表项≥512K
· 支持Aggregated / Flex-Netflow
· 支持采样(Sampling),且支持1:1线速采样
扩展性
支持升级到40G/100Gbps
支持升级到统一的FCoE/DCE
配置要求
1、提供万兆核心交换机两台,并进行虚拟化
2、电源提供冗余备份
3、每台提供配置单引擎
4、每台设备提供交换网板≥3
5、每台提供万兆端口≥32
6、每台提供千兆以太网光口≥48
7、每台提供万兆多模光模块12块(含尾纤)
8、每台提供千兆多模光模块20块(含尾纤)
9、每台提供千兆光(SFP)转电(RJ45)模块20块
2、局域网内网汇聚交换机(10台)
功能与指标
参数要求
机型
插槽式模块化硬件三层交换机
业务插槽数量
插槽数量≥2
交换容量
≥300Gbps
包转发率
≥200Mpps
VLAN ID数量
≥4K
关键部件冗余
支持冗余电源
路由特性
支持RIP、OSPF、BGP-4等路由协议
支持路由策略和策略路由
支持IGMP v1/v2/v3、IGMP Snooping、PIM、MSDP等协议
支持IPV6,通过IPv6第二阶段认证
高可靠性
支持端口聚合,支持链路跨板聚合,
支持在线软件升级功能ISSU,支持接口模块的热插拔
QoS支持
支持根据IP ACL、IP Precedence、DSCP、802.1Q/p、COS等标准的分类机制。支持优先级队列调度:每端口支持8个优先级队列,3个丢弃优先级、,支持WRED拥塞避免算法,支持流量整形,支持基于时间段的流分类和QoS控制能力
ACL支持
支持标准和扩展ACL,支持出入方向的ACL,支持VLAN的ACL
管理协议
支持SNMPv3,支持RMON 1/2/
支持通过命令行、Web、图形化配置软件等方式进行配置和管理
服务要求
提供原厂商三年服务承诺书
认证
提供信息产业部入网证,要求入网证上生产企业和申请单位为同一名称
品牌
与局域网核心交换机同品牌
配置要求
1、提供局域网内网汇聚交换机10台
2、每台设备提供冗余电源
4、每台设备提供线速万兆端口≥8个
5、每台设备提供线速千兆以太网光口≥16个
6、每台提供万兆多模光模块2个
7、每台提供千兆多模光模块16个
3、内网24口千兆以太网接入交换机(7台)
功能与指标
参数要求
交换容量
≥32Gbps
包转发率
≥35Mpps
端口配置
提供10/100/1000M以太网电口≥24个
提供千兆以太网光口≥4个,共提供28个实际可用千兆接口
VLAN
支持基于端口的VLAN,VLAN ID数≥4K
路由协议
支持静态、RIPv2等路由协议,支持MCE
服务要求
提供原厂商三年服务承诺书
ACL
支持L2~L4的包过滤功能,提供基于源MAC地址、目的地址、源IP地址、目的IP地址等的流分类
支持时间段ACL
支持基于端口下发ACL
Qos
支持每个端口输出队列≥4个
入端口限速粒度≤8K
支持端口队列调度(SRR)
安全
支持802.1x认证、Radius认证
支持DHCP Server
支持DHCP snooping, 动态ARP检测(DAI)功能,IP Source Gurad等安全特性
支持SSH 2.0
支持端口隔离
管理
支持SNMP V1/V2/V3
支持Web网管
支持时域反射器
支持LLDP协议
支持RMON
支持Syslog
品牌
与局域网核心交换机同品牌
配置要求
1、提供千兆接入24端口交换机7台
2、提供千兆多模光模块14个(含尾纤)
4、数据库服务器:2台
指标项
技术参数
推荐品牌
国际知名品牌,所有服务器必需为同一品牌
硬件规格
机架式高度≤4U,配置机架安装导轨
CPU
当前配置2个四核INTEL E7420处理器,可扩展至4路以上,通过增加机箱扩展卡,可以扩展到16路64核。
内存
配置8G内存,内存插槽≥32个,支持四位纠错、内存镜像、内存冗余位校验,内存热添加和热插拔,最大可扩展至256G,通过增加机箱扩展卡,可以扩展到1T或者更高。
硬盘
2个 146GB 10K SAS 3G 2.5"双端口热插拔硬盘,最大内部硬盘扩展≥4
阵列控制器
标配阵列控制器,可实现RAID-0/1
HBA卡
配置2块4 Gb单口光纤通道卡
PCI I/O插槽
≥7个PCI-E(x8) 插槽
网卡
2块10/100/1000Mb自适应以太网卡
电源风扇
配置冗余热插拔电源,满配热插拔电源风扇
光驱
配置内置 CDRW/DVD Combo
管理维护
对CPU、内存、硬盘驱动器等关键部分的潜在的故障具有提前预警能力; 2.故障部件的快速诊断功能 :能够通过诊断板快速定位故障的部件,提高维修速度;
5、影像服务器:4台
指标项
技术参数
推荐品牌
国际知名品牌,所有服务器必需为同一品牌
硬件规格
2U机架式
CPU
2个四核英特尔至强处理器E5504 2.0Ghz
内存
配置4G内存
可实现高级Chipkill 内存保护功能, 内存镜像
内存最大支持≥128GB
硬盘
2块146G 10K SAS 2.5”硬盘
便于以后扩容,预留硬盘插槽≥10个
阵列控制器
标配阵列控制器,可实现RAID-0/1
PCI I/O插槽
≥4个PCI-E (x8)插槽
网卡
标配双10/100/1000Mb自适应以太网卡
电源风扇
配置大于600W冗余热插拔电源,满配热插拔电源风扇
光驱
内置 CDRW/DVD Combo
管理维护
1、对CPU、内存、硬盘驱动器、电源及风扇等关键部分的潜在的故障具有提前预警能力;
2.故障部件的快速诊断功能 : 在断电的情况下,能够通过诊断板快速定位故障的部件,提高维修速度。
6、WEB服务器:2台
指标项
技术参数
推荐品牌
国际知名品牌,所有服务器必需为同一品牌
硬件规格
2U机架式
CPU
2个四核英特尔至强处理器E5504 2.0Ghz
内存
配置4G内存
可实现高级Chipkill 内存保护功能, 内存镜像
内存最大支持≥128GB,
硬盘
2块146G 10K SAS 2.5”硬盘
便于以后扩容,预留硬盘插槽≥10个
可支持SAS/SATA/SSD(固态硬盘),要求最大硬盘容量大于6.0T
阵列控制器
标配阵列控制器,可实现RAID-0/1
光纤通道卡
配置单口4GB光纤通道卡2块
PCI I/O插槽
≥4个PCI-E (x8)插槽
网卡
标配双10/100/1000Mb自适应以太网卡
电源风扇
配置大于600W冗余热插拔电源,满配热插拔电源风扇
光驱
内置 CDRW/DVD Combo
管理维护
1、对CPU、内存、硬盘驱动器、电源及风扇等关键部分的潜在的故障具有提前预警能力;
2.故障部件的快速诊断功能 : 在断电的情况下,能够通过诊断板快速定位故障的部件,提高维修速度。
7、其他服务器:2台
指标项
技术参数
推荐品牌
国际知名品牌,所有服务器必需为同一品牌
硬件规格
2U机架式
CPU
2个四核英特尔至强处理器E5504 2.0Ghz
内存
配置4G内存
可实现高级Chipkill 内存保护功能, 内存镜像
内存最大支持≥128GB
硬盘
4块300G 10K SAS 2.5”硬盘
便于以后扩容,预留硬盘插槽≥8个
可支持SAS/SATA/SSD(固态硬盘),要求最大硬盘容量大于6.0T
阵列控制器
配置单独阵列控制器,可实现RAID-0/1/5/6/10/50/60,可配置支持硬件加密的RAID卡;
PCI I/O插槽
≥4个PCI-E (x8)插槽
网卡
标配双10/100/1000Mb自适应以太网卡
电源风扇
配置大于600W冗余热插拔电源,满配热插拔电源风扇
光驱
内置 CDRW/DVD Combo
管理维护
1、对CPU、内存、硬盘驱动器、电源及风扇等关键部分的潜在的故障具有提前预警能力;
2.故障部件的快速诊断功能 : 在断电的情况下,能够通过诊断板快速定位故障的部件,提高维修速度。
8、配套设备:2套
名称
技术规格要求
数量
机柜等
42U服务器机柜、IP KVM(8口)、折叠式显示器
2套
9、San交换机:2台
指标项
技术参数
推荐品牌
国际知名品牌,建议与服务器同一品牌
硬件规格
24口 SAN交换机,激活16口,配16个8GB SFP模块及相关线缆
保修
提供原厂三年7*24保修承诺函原件
10、NAS 网关:1台
指标项
技术规格要求
数量
1台
总体要求
与服务器同一品牌
控制器
双控制器,采用64位技术,主频大于等于2.4G;冗余配置;
双控制器需要支持Active-Active的双活(即主-主的的配置)工作模式;如果不支持同时配置主-主和主-备的工作模式,必须配置3个或者更多控制器,保证2个以上控制器可以配置为 主-主。
存储操作系统
专用存储操作系统(非Windows、非Linux)
缓存
配置有效缓存≥8GB(不包含后端设备内存,不包含备用缓存,如果缓存为镜像缓存,必须配置16G,保证可用8G)
最大可扩展到64GB(不包含后端设备内存,不包含备用缓存)
通过集群或者升级的方式,可以扩展到160G以上。
系统开销内存
当前配置1G,记录缓存日志等信息。
存储协议
配置CIFS、iSCSI、FC SAN存储协议,支持NFS、HTTP、NDMP等
支持操作系统
支持主流操作系统:Solaris,IBM AIX,HP-UX,Red Hat Linux,Windows等
sfs2008性能指标
并发操作数IOPS≥40,000 ops/s,延迟ORT<3ms
FC端口
类型及数量
配置4Gb FC端口≥12,8Gb FC端口≥4
最大可扩展到32个4Gb FC端口,并支持8Gb FC端口
IP端口
类型及数量
配置1Gb千兆IP端口(电口)≥8,最大可扩展到32个1Gb千兆IP端口,并支持10Gb万兆端口
管理端口
配置远程Console端口,可以实现远程开机、关机
硬盘
类型及数量
单台存储系统最大磁盘扩展能力≥420,支持FC、SAS和SATA磁盘混插,NAS最大可用420T的容量(必须提供官方声明文件)
异构存储支持
支持将主流品牌的异构光纤存储接入同一个存储系统,可以实现跨磁盘阵列的统一RAID和LUN管理。投标时请提供支持列表和白皮书
RAID
支持RAID1/5/10或RAID4+/DP等多种RAID存储方式,支持RAID在线升级,满足同一RAID组同时有任意两块磁盘发生故障的情况下,仍能够确保数据安全
在线扩容
配置在线扩容功能,能实现在线添加磁盘,扩展NAS空间,扩展LUN空间
快照功能
配置快照功能,并且启动此功能后不能影响存储系统性能;
单卷最大快照数≥255
重复数据删除
功能
配置重复数据删除功能
瘦供给功能
配置瘦供给功能,实现容量按需分配;用户可分配大于实际对应物理空间的逻辑空间,文件系统空间可按需动态扩大或缩小
克隆功能
支持克隆功能,能基于时间点生成可读写的克隆副本,并且启动此功能后不能影响性能
容灾功能
支持对所有空间(NAS、iSCSI、SAN)提供通过内置IP链路(不用SAN router类高成本专用转换设备)的数据容灾功能,支持同步、异步、半同步的多种方式
管理
提供以Web界面管理工具以及终端、远程登陆的方式进行管理的功能
保修
提供原厂三年7*24保修承诺函原件
售后服务
所投品牌在杭州设立工商注册的分公司,有独立的售后人员
所投产品生命周期
必须是该厂商的最新一代产品。
11、磁盘阵列柜:1台
项目
指 标 要 求
品牌
与存储网关和服务器同一品牌
操作系统
支持主流操作环境:Solaris, IBM AIX, HP-UX, Red Hat Linux, Windows 2003,IBM AS/400等
可靠性
没有单点故障,阵列控制器实现冗余。必须支持不停机维护、在线调整(包括软、硬件升级、扩容、设备更换等操作)
控制器
双控制器双活,配置专用硬件RAID控制器和专用数据处理控制器。
主机端口
8Gb/s FC端口数≥8 ,最大可以扩展到16个。
磁盘端口
4Gb/s 后端磁盘通道(LOOP)≥16,支持交换和LOOP两种模式
配置容量
16个450G, 15000转光纤硬盘;
16个1T,7200转的SATA硬盘。
最大磁盘扩充能力
单柜支持16个硬盘槽位,最大支持大于等于448个硬盘,所有硬盘扩展过程不停机(要求以官方网站资料为准);单柜内可以实现SATA硬盘和光纤硬盘的混插,并不影响性能。
吞吐量
≥6400MB/s
IOPS
≥650,000 IOPS,要求官方网站有公开IOPS值;在www.storageperformance.org上有公开测试值:SPC-1超过60000,SPC-2超过4500MB/s。
最大支持LUN数量
≥2048
LUN 容量管理
LUN 容量管理可以在不影响应用运行的情况下,动态调整LUN大小,支持超过28个硬盘做进同一个RAID,最大LUN容量超过28T。
缓存
配置数据Cache≥8GB,系统Cache≥4GB。最大缓存可以扩展到64GB采用镜像保护技术
分区*
配置8个分区使用许可,最大支持512个分区(LUN-Masking分区)。
软件
支持FlashCopy和VolumeCopy。配置存储管理软件的无限容量许可和大于255个主机并发连接许可。
线缆
提供连接所有设备(包括原有服务器和新增服务器)并实现冗余连接的光纤
电源风扇
支持冗余
访问控制
具有严格完善的访问控制解决
。既能满足数据共享,能够允许多达512台不同类型操作系统的主机访问不同的LUN,又能够隔离无关系统对数据的操作。
RAID支持类型
采用磁盘阵列RAID技术,当前配置能够支持RAID 0、RAID 1、RAID10、RAID5,RAID6等多种RAID方式
磁盘柜
磁盘柜为机架式,可扩充
保修
提供由 3 年原厂工程师 7*24 现场服务保修承诺函原件,要求原厂商在浙江有分公司
12、外网核心交换机:1台
指标项
指标要求
品牌
Cisco、H3C、Juniper
机型
插槽式模块化硬件三层交换机;
业务插槽数量
业务插槽数量≥5;
交换容量
≥300Gbps;
包转发率
≥200Mpps;
端口密度
最大千兆端口数≥220,最大万兆端口数≥22
最大MAC数量
≥55K
最大路由数量
≥57K
IPV6
硬件支持IPv6
所配置的板卡必须支持IPv6
支持IPv6路由转发
支持IPv6 Extended ACLs
支持IPv6/IPv4 Tunnel
支持IPv6的MTU path Discovery
VLAN ID数量
≥4K;
关键部件冗余
支持冗余引擎,支持冗余电源;
路由特性
支持静态、RIPv2等路由协议;
支持IGMP v1/v2/v3、IGMP Snooping、PIM、等协议;
高可靠性
支持端口聚合,支持链路跨板聚合
支持在线软件升级功能ISSU,支持接口模块的热插拔
QoS支持
支持根据IP ACL、IP Precedence、DSCP、802.1Q/p、COS等标准的分类机制。
ACL支持
支持标准和扩展ACL,支持出入方向的ACL,支持VLAN的ACL;
管理协议
支持SNMPv3,支持RMON 1/2
支持通过命令行、Web、图形化配置软件等方式进行配置和管理;
服务要求
提供原厂商三年服务承诺书;
认证
提供信息产业部入网证,要求入网证上生产企业和申请单位为同一名称
配置要求
提供冗余交流供电模块
提供双引擎,
提供千兆以太网光口≥24个
提供千兆以太网电口≥48个
提供多模光模块22个
提供单模光模块2个(10km)
13、外网接入交换机:10台
功能与指标
参数要求
品牌
与外网核心交换机同一品牌
交换容量
≥32Gbps
包转发率
≥35Mpps
端口配置
提供10/100/1000M以太网电口≥20个
提供千兆以太网光口≥4个
VLAN
支持基于端口的VLAN,VLAN ID数≥4K
ACL
支持L2~L4的包过滤功能,提供基于源MAC地址、目的地址、源IP地址、目的IP地址等的流分类
硬件支持ACL
Qos
支持每个端口输出队列≥4个
支持端口队列调度(SRR)
路由
支持静态路由、RIP路由协议
安全
支持802.1x认证、Radius、WEB认证
支持SSH 2.0
支持DHCP Server
支持DHCP snooping, 动态ARP检测(DAI)功能,IP Source Gurad等安全特性
支持端口隔离
管理
支持SNMP V1/V2/V3
支持Web网管
支持时域反射器
支持LLDP协议
支持RMON
支持Syslog
配置要求
1、提供千兆接入24端口交换机10台
2、提供千兆多模光模块8个(含尾纤)
3、提供单模光模块2个(10km) (含尾纤)
14、外网安全网关(UTM)设备:1台
项目
技术要求
网络接口
具备5个以上100/1000 Base-T 网口
吞吐速率
1.5 Gbps
并发会话数
1,200,000
转发时延
0.1 ms
Bypass功能
支持故障时Bypass功能
配置界面
支持中文界面(使用专用安全GUI客户端)
工作方式
路由模式、透明模式、旁路模式
功能要求:
项目
指标
具体功能要求
部署方式
网关模式
设备必须支持网关模式,以提供代理上网,路由转发等功能
网桥模式
设备必须支持网桥模式,以透明方式串接再网络中
旁路模式
设备必须支持旁路模式,在不影响原有网络情况下,实现对用户网络访问行为的审计和部分控制功能
VLAN支持
支持Access、Trunk模式;支持Vlan的穿透和终结
多路桥接
设备必须支持多路桥接功能,即支持网桥模式下至少二个Lan口,二个WAN口的部署方式
设备管理
WEB管理界面
以SSL加密的WEB图形化界面进行设备配置和管理,支持中文/英文界面
远程管理
支持SSH、Telnet、Web方式远程管理
分权限管理
支持对设备管理员进行访问权限分级
自动告警
实现对攻击(DOS攻击、ARP欺骗)、病毒、含有指定关键字的Web上传、指定类型文件上传、发送泄密邮件等行为的自动告警功能
策略故障排查
提供图形化诊断工具,便于管理员发现错误策略、策略故障等问
用户认证
用户认证方式
支持触发式WEB认证(在WEB认证时支持某些IP范围的用户可不通过WEB认证);支持LocalDB本地自建、LDAP、AD、Radius、POP3、前置PROXY等认证方式
USB-Key认证
支持用户采用USB-Key的双因素身份认证
新用户认证功能
支持未建帐户的新用户以其计算机名/IP地址作为用户名自动创建帐户,同时绑定IP/绑定MAC/绑定IP和MAC;且新用户自动加入指定用户组,分配指定的访问权限
公用帐户
支持创建公用帐户以允许多人同时使用,并支持帐户有效时间限制
IP-MAC绑定
支持对用户绑定IP、绑定MAC、或同时绑定IP和MAC;*支持跨三层设备的IP-MAC绑定功能
单点登录
支持LDAP、AD的单点登录,基于数据包侦听,无需在域控服务器上安装任何插件;支持POP3、PROXY的单点登录
认证不通过用户
支持给未认证通过用户授予基本网络访问权限(默认组权限、除HTTP外)
帐户导入导出
支持从LDAP、AD服务器导入帐户信息;支持文本方式导入帐户、分组、IP、MAC、认证方式、描述、密码等信息
用户认证管理
支持通过WEB界面,查看认证后的用户列表和当前在线用户列表信息
公告文件显示
支持给未通过/通过认证的用户定向显示指定的公告文件页面
网页控制功能
URL(网址)过滤
内置超过800万条预分类的URL库,允许输入新URL地址和创建新分类;支持基于时间段的URL过滤,时间段可自定义
关键字过滤
可过滤通过搜索引擎搜索指定关键字(关键字可定义);可针对网页正文关键字进行网页过滤;
可过滤用户通过BBS、Webmail、Blog等方式发送带有指定关键字的言论
反钓鱼网站功能
支持对SSL加密的钓鱼网站的识别和过滤
SSL加密的炒股网站
支持对SSL加密的炒股网站、证券基金网站、在线购物网站的识别和过滤
文件类型过滤
识别和过滤通过HTTP、FTP下载、上传指定类型的文件;
支持对非标准端口FTP传输文件的识别和过滤
邮件控制功能
邮件地址限制
可限制指定后缀的邮件地址通过SMTP发送邮件;
可控制哪些用户可以使用哪些邮箱发送邮件;
邮件附件过滤
可控制用户所发送邮件的附件类型
邮件关键字过滤
可限制发送含有指定关键字的邮件
SSL加密邮箱控制
对用户可能使用SSL加密邮箱(如Gmail)的行为进行识别和限制
Webmail控制
可限制用户使用Webmail;
过滤用户Webmail邮件正文的指定关键字;
记录Webmail邮件正文及附件;
邮件监控
可监控所有通过Outlook、Foxmail等发送,接收的邮件;
邮件延迟审计功能
能对外发邮件进行延迟缓存,审计后才发出,且对发送者完全透明;
支持根据收件人地址、邮件大小、附件个数、关键字等条件进行邮件延迟缓存;
邮件延迟缓存后会自动
审核人员,并支持在指定时间段未审核后,自动删除邮件或放行邮件
垃圾邮件过滤功能
对接收的邮件进行垃圾邮件过滤
应用识别和管理
应用识别规则
至少包括19个大类、220种以上的应用识别规则;
不采用过时的IP和端口识别,通过深度内容检测,根据应用特征码进行应用识别;
P2P智能识别
支持对加密P2P、版本泛滥的P2P、未来可能出现的P2P进行识别和控制
Skype识别
必须能够彻底识别和封堵Skype的应用
P2P识别
包括:BT、BitComet、Kugou、eMule、Vagaa、PP点点通、POCO、百度下吧、百宝、Gnutella、Foxy、Kugoo等
P2P流媒体识别
包括:沸点电视、蚂蚁电视、猫眼电视、MySee、51TV、SopCast、QQLive、PPStream、UUSee、PPVod、P2PSrv、PPLive、TVKoo、QVOD、PPRich、PPGou、51TK、风行、球皇、VGO、FastTV等
IM识别
包括:阿里旺旺、雅虎通、QQ、TM、MSN、MSNShell、网易POPO、新浪UC、ICQ、POCO、卡盟等
网络游戏识别
包括:联众游戏、游戏中心、浩方、QQ游戏、MSNGame、边锋游戏、联众好友、新浪游戏大厅、网易泡泡、游戏茶苑、互动游戏中心、TOM在线游戏、UU棋牌、远航游戏等
炒股识别
包括:大智慧、钱龙、股票行情、同花顺、证券之星、富贵满堂、未来趋势、分析家、和讯股道、股道、通达信系列炒股软件、华安证券、银河证券、MSN炒股等
识别规则自定义
允许管理者根据应用协议特征字段和特征码,手工添加新的应用识别规则,实现个性化封堵
上网控制
可分组、分时段、分用户控制用户可以使用的网络服务(包括网页、下载、QQ、MSN、游戏、Email等)
IM控制
可分组、分用户、分时段封堵所有聊天软件
P2P控制
可分组、分用户、分时段封堵各种P2P工具;
并对加密P2P、版本泛滥的P2P、未来可能出现的P2P提供封堵策略;
SSL控制
可控制用户访问被SSL加密的网站;
控制用户使用被SSL加密的应用,如Gmail;
避免用户访问被SSL加密的钓鱼网站;
代理控制
识别并禁止使用HTTP、Socks代理;
对HTTP/HTTPS端口中封装的其他协议进行封堵;
可禁止内网用户使用代理软件代理他人上网
时间限制
支持基于时间段的访问控制策略;
支持对用户的总上网时间的限制策略;
排除IP
支持排除IP功能,即用户访问排除IP的行为将不进行控制和监控
流量控制功能
Internet多线路支持
支持复用2条以上Internet线路,多线路间可互为备份、负载均衡、且能够实现流量的智能选路
应用协议流控
针对不同的用户分组、根据应用协议类型进行带宽分配和流量管理
网站类型流控
针对不同用户分组、根据其访问的目标网站类型进行带宽分配和流量管理
文件类型流控
针对不同用户分组、根据其上传下载的文件类型进行带宽分配和流量管理
静态/动态带宽分配策略
支持静态带宽预留策略和动态带宽保证策略
单用户带宽分配
支持为组内每用户进行带宽分配,分配策略包括平均分配和自由竞争
基于时间段的流控
支持根据不同用户分组、不同时间段分别流量管理和带宽分配
WAN->LAN的流控
支持WAN(LAN方向访问行为的流量管理功能
监控和审计
实时会话监控
对用户实时会话数进行排名;
可查看指定用户当前具体会话信息;
实时流量监控
对用户产生的实时流量,包括上行、下行流量,进行排名和查看;
实时连接监控
监控用户的实时连接情况,并能断开指定用户的指定连接;
异常用户冻结
支持对异常用户进行临时冻结,阻止其网络访问,并能在冻结时间结束后,自动解冻
访问网站监控
分组、分用户监控用户访问的网址、网页标题或整个网页内容,或只记录含有指定关键字的网页内容
网络言论监控
分组、分用户监控用户通过BBS、WEBMail、BLog等发送的网络言论
邮件监控
分组、分用户监控用户发送、接收的所有邮件包含附件;
支持对Webmail正文及附件的监控和记录
IM监控
监控和记录QQ聊天内容,及市面上流行的所有聊天软件的聊天内容,包括:QQ、MSN、Gtalk、新浪UC、网易泡泡、Skype等
FTP监控
分组、分用户监控通过FTP上传的文件(和内容)及FTP上传下载行为
Telnet监控
监控用户的Telnet行为
其它网络行为监控
可监控用户的其它所有网络行为
管理员/系统日志记录
支持对管理员的所有操作日志、系统日志的监控和记录
免监控功能
支持指定用户使用“免审计key”,实现对该用户所有网络访问行为的免监控功能
自动邮件告警
对特定安全事件支持通过邮件自动告警
WAN->LAN的审计
支持审计WAN->LAN方向的应用行为,如FTP,HTTP,Mail等,能审计文件名,文件类型,URL和邮件等。
流量审计
统计指定用户在指定时间段内产生的总流量;
统计指定用户在指定时间段,使用指定应用协议产生的流量,如使用BT和大智慧产生的流量进行审计
时间审计
统计指定用户在指定时间段内产生的总上网时间;
统计指定用户在指定时间段,使用指定应用协议的上网时间,如使用QQ、网游、大智慧的上网时间
日志审计、报表、检索功能
日志集中管理
一个网络访问行为日志中心,可以以WEB方式查看多台网关设备的日志监控数据
独立日志中心
行为日志支持存储于设备本身;
考虑到设备内置存储空间有限和对性能的影响,必须支持将日志自动转存于第三方独立日志服务器,且必须以数据库形式存储
图形化日志审计工具
日志中心支持通过图形化工具,对日志进行分析、审计、统计、绘图等
报表分析功能
支持对各种网络监控数据进行报表分析及图形化分析,包括柱状图、饼状图,趋势图等
自动报表
根据管理员设定,日志中心能自动将指定时间段的指定统计结果汇总成PDF等报表文件,发送到指定Email邮箱
内容检索
支持类似百度的搜索工具,实现对海量日志的内容检索;
支持对日志中所记录附件:OFFICE、TXT、PDF等文档的正文内容的检索
主题订阅
支持将管理者感兴趣的内容检索结果周期性的自动形成报表结果,发送到指定邮箱
终端安全检查功能
终端安全检查
访问互联网时对存在安全隐患的终端设备进行预检测(检测范围包括操作系统补丁、杀毒软件、注册表、硬盘文件、进程等),只有满足预设安全要求的终端才允许访问互联网
防火墙基本功能
防火墙功能
基于状态检测的防火墙;
防火墙规则可基于时间段生效或失效(时间段可由用户定制)
路由功能
支持以源IP地址、目标IP地址、协议、源端口、目标端口为条件的策略路由功能
代理上网功能
支持代理内网用户访问Internet
NAT功能
支持SNAT、DNAT、PNAT
DHCP功能
支持DHCP功能,为接入用户动态分配IP地址
防火墙QOS功能
支持智能QOS,可根据源IP地址、目标IP地址、协议、端口对不同业务的数据分优先级投递,保证重要业务
网关杀毒功能
网关防毒功能
集成业界知名杀毒引擎,实现网络杀毒;
支持对HTTP、POP3、SMTP、FTP等协议的网络防毒功能;
对RAR,Gzip等压缩包内文件同样提供病毒查杀支持
防DOS攻击功能
防DOS攻击
不仅防范来自外网的DOS攻击,对于来自内网的DOS攻击同样能够防御;
侦测出内部发起DOS攻击的客户端,并封堵其访问行为及流量
防ARP欺骗
防ARP欺骗
支持对用户终端和网关的双向防ARP欺骗功能,抵御ARP欺骗攻击
IPS功能
IPS功能
支持IPS入侵防御系统,抵御超3000种网络攻击行为
资质要求
公安部《信息安全产品检测中心检验报告》
《国家信息安全认证产品型号证书》
国家保密局《涉密信息系统产品检测证书》
国家保密局涉密信息系统安全保密评测中心《检测报告》
具有国密办商用密码产品生产定点单位证书
具有国密办商用密码产品型号证书
具有国密办商用密码产品销售许可证
提供所有软件特征库三年免费升级
提供原厂三年质保函
15、外网SSL VPN设备:1台(开放20个VPN用户)
分类
功能
详细指标
性能
最大并发用户数
200
并发会话数
2000
SSL VPN加密速度(RC4 128bis)
70 Mbps
SSL VPN转发时延
0.3-0.4 ms
SSL VPN每秒新建会话数
35
设备吞吐量
95M bps
最大并发会话数目
100,000
最大防火墙规则数目
65535
最大URL匹配数目
1024
最大时间规则数目
1024
规格
最大QOs规则数目
1024
局域网接口
100RJ-45×2
广域网接口
100RJ-45×2
控制口
RS232*1
电气特性
电源
180-240V
使用环境温度
-10~ 50 ℃
使用环境湿度
5~90%,非冷凝
功能
操作易用性
IPSEC、SSL VPN二合一网关,同时支持IPSec VPN和SSLVPN两种VPN协议;用户可以自行选择采用IPSec或SSL方式移动接入;
SSLVPN功能支持对基于IP(TCP、UDP、ICMP)的所有B/S、C/S应用系统的支持,例如视频、语音、Ping等服务
支持通过web方式访问FTP、Mail服务
提供页面定制功能,可根据自行需要定义欢迎、登录、服务、注销、出错、短信认证界面
产品支持单点登录功能(SSO),支持移动用户登录VPN后再登录内部B/S、C/S应用系统时不需要二次重复认证,支持NTLM方式单点登录
支持拨号、ADSL、CDMA、GPRS等各种网络接入方式
支持socks、http代理穿透,支持NAT穿透
支持Pocket PC、PDA、SmartPhone、Palm、智能手机等移动设备的接入
采用标准SSL 协议,只对外开放443端口
第三方权威测试单位认证的真正的SSLVPN(而非将IPSec VPN封装到443端口实现)
支持用户、用户组、各种资源的查询和排行功能
高安全性
支持用户登陆前和登陆后的安全性检测,检测范围包括:进程、文件、注册表、操作系统,可以检测出客户端是否安装指定的防火墙或杀毒软件。可以根据需要做与或规则。(提供自主知识产权证明)
客户端注销后自动清除所有缓存和临时文件,清除客户端访问记录,实现零痕迹访问
支持客户端主机硬件特征码认证,通过获取客户端的硬件信息生成HARDCA证书,实现HARDCA证书和用户账户的绑定,实现用户身份的唯一性控制(提供自主知识产权证明)
产品具有VPN专线功能,移动用户在接入VPN内网的同时断开与Internet其他连接的功能
产品应具有细粒度的权限分配功能:可以针对被访问资源的IP地址,端口,提供的服务,URL地址等进行权限控制。针对不同的用户和用户组,基于角色的权限控制功能;
产品应支持主流的商业加密算法,包括:AES,DES,3DES,MD5,SHA,DH,RSA等,并支持加载扩展其他安全算法模块
产品应具备基于状态监测技术的防火墙功能,能够抵抗常见的网络攻击,能够进行包过滤或ACL控制(访问控制)。对防火墙的过滤规则能够进行虚拟测试,避免人为配置错误
认证丰富性
产品支持Local DB ,LDAP(MS/OPEN/SUN)/AD ,Radius等第三方认证
支持用户名密码认证(提供图形验证码,软键盘等强密码验证技术)/ USB Key双因素认证/Secure ID(动态令牌认证)
支持短信认证(用户可自己更改绑定的小灵通或者手机号码)
支持对于上面提供的多种身份认证方式的与或组合,必须实现4因素绑定认证,实现更高的安全级别(提供界面支持)
内置CA认证中心,并支持基于PKI体系的第三方CA认证
采用PDA,SmartPhone等移动终端接入时,支持数字证书以及图形码验证功能(提供界面证明)
高速性
IPSec功能需支持LZO等加速技术,另外对跨运营商等丢包环境需提供畅联等技术提升访问速度(提供自主知识产权证明)
内置LZO流压缩算法,提高数据传输率;在采用CDMA,GRPS等移动网络时,使用SSLVPN访问速度可以提升两倍以上;采用普通网络接入方式,使用SSLVPN访问速度平均提升130%
支持WEB压缩,提高访问速度(提供界面证明)
产品支持至少4条公网线路叠加,扩展带宽的同时,能够实现多线路之间流量的负载均衡(提供自主知识产权证明)
产品支持基于web的线路自动优选技术:对于采用不同运营商接入的移动用户,无插件的自动优选最快的线路接入VPN网络(提供自主知识产权证明)
支持PDA,SmartPhone等手持设备基于web的线路自动优选技术
管理易用性
设备的配置和管理,支持完全通过web图形化方式完成,无需安装任何客户端软件
产品能够实现管理员的分级分权限管理:支持多用户操作,允许不同的管理员进行相应权限范围内的管理
通过产品web图形化的管理配置界面,可实时监控系统运行状况、用户接入情况,并能在线中断指定用户
产品支持第三方独立的日志和审计功能中心,包括系统运行日志、管理员日志、用户登陆日志等,实现各种日志的海量存储;其中用户日志包括访问者的用户名、源IP地址、访问资源的详细列表,并通过柱状和饼状图协助管理员了解VPN的应用情况;
具有备份功能,支持本地和远程备份及恢复
支持网关、单臂接入方式
可选硬件加速卡,加快数据处理速度,提升设备性能
无故障运行时间(MTBF)大于40,000小时
高可用性
产品支持双机热备方式
公网线路支持多线路互为备份,带宽叠加和智能选路技术(提供自主知识产权证明)
产品支持不依赖于第三方的动态IP寻址系统和动态IP组网支持(非DDNS,提供自主知识产权证明)
产品支持普通拨号、ADSL拨号等连接方式,并具备自动拨号、代理上网等功能,其中自动拨号能够在Internet线路中断的情况下自动进行重拨,无需人为干预
企业资质
IPSec国家标准制定厂商之一
具有国密办商用密码产品生产定点单位证书
具有国密办商用密码产品型号证书
具有国密办商用密码产品销售许可证
具有公安部销售许可证
具有公安部信息安全产品检测中心检验报告
提供自主知识产权证明,并加盖公章
服务
提供三年原厂质保函
提供软件三年免费升级
3. 服务要求
3.1. 服务总则
1. 投标方向采购方提供标书中的所有硬件、软件的技术支持服务的全部内容。提供详尽的集成方案,尽量利用医院现有的设备和相关材料,满足医院的需求。本项目是“交钥匙工程”,一旦中标将不再产生其他任何费用。
2. 投标方完成系统的安装测试、系统联调工作,在系统集成中解决全部技术问题。针对本院的网络、系统需求提供详细的实施割接方案,如在升级过程中造成数据丢失或造成用户业务不能正常运转,集成商则需承担相应责任并赔偿由此造成的经济损失。
3. 从保护现有投资角度考虑,本项目需要最大程度利用医院现有设备,投标人应在方案中详细阐述现有设备的利旧原则。
4. 投标方应针对本项目的安全环境,根据所提供安全产品的特性,提出并配置完备的安全策略。
5. 投标方应本着认真负责的态度组织技术队伍,做好投标的整体方案并提出长期保修、维护、服务以及今后技术支持的措施计划和承诺。
6. 投标方应允许项目单位的工作人员参与系统的安装、测试、诊断及解决问题等各项工作。
3.2. 设备、软件安装、调试、开通
1、 投标人负责所提供的软件的安装、调试及开通,采购人予以配合。
2、 软件安装、调试所需的工具、仪表及安装材料等应由投标人自行解决。
3、 投标人应向采购提交测试内容和方法。移交测试计划和技术内容由投标人拟定,经采购人确认。
4、 实施要求:
(1)中标人应在实施前提供详细的实施方案,并提交采购人认可。
(2)实施过程应严格执行相关的实施
,并保证项目实施安全。
(3)中标人应根据采购人的需要,在规定的时间内,保证质量,完成工程。
5、 实施过程中应科学、合理地掌握与其他工程界面的协调、交叉。
3.3. 产品服务及保修要求
1. 所有产品原厂保修期或维护期至少为三年。
2. 服务及保修期内,中标方负责对其提供的主要设备进行现场维修与维护,不收取额外费用(特殊产品经双方商定的除外)。
3.4. 服务要求
1、考虑到信息系统对医院业务的重要性,中标方提供7*24小时服务支持,服务响应时间小于半小时,到达现场时间要求1小时以内,2小时解决问题;4小时内不能解决问题的,必须提供备品、备件或备机等措施,以保证采购单位的正常使用。如果逾期未作出响应,中标人应承担由于故障所造成的全部损失。服务期限为本项目终验后3年,请投标方提供响应的承诺。
2、要求对投标产品应提供长期技术支持。如对产品有新的改进、增加新功能或者为适应最新标准所形成的最新版本,免费提供给采购方。
3、投标人应确保其技术建议以及所提供的设备的完整性、实用性,保证全部系统及时投入正常运行。否则若出现因投标人提供的设备不满足要求、不合理,或者其所提供的技术支持和服务不全面,而导致系统无法实现或不能完全实现的状况,投标人负全部责任。
4、对产品的软、硬件提供三年软件应用支持服务和硬件升级服务。软件应用支持及升级服务包括主要版本的故障排除、版本维护、故障修复、补丁和主要版本升级、规则库、引擎、控制台的技术支持等。
3.5. 计划工期和实施方式
本项目实施计划分三个阶段进行,请投标人根据阶段划分进一步细化成工作计划:
第一阶段:合同签订后10天内进一步优化需求分析和设计、出具项目施工计划,并细化系统建设计划、目标任务书和测试验收方案,向采购人提供上述文档并需经采购人审查通过;
第二阶段:1个月内完成所有设备的到货,设备清点验货结束后10天内,完成安装、调试和集成,投入试运行;
第三阶段:培训、试运行后正常运行1个月,提请正式验收。