fcc.zzu.edu.cnfcc.zzu.edu.cn/photo/file/2009/2009240949306353820/145475… · Web view设备名称. 大数据中心机房设备. 数量. 1套. 设备用途. 临床大数据中心机房使用的硬件设备

设备名称

大数据中心机房设备

数量

1套

设备用途

临床大数据中心机房使用的硬件设备

技术参数

1 项目概述

郑州大学第一附属医院临床医学大数据中心，目标建成符合国家安全规范、满足大数据和人工智能应用需求的临床医学大数据科研及应用平台，实现医院临床数据的安全迁移和有效积累、集成、清洗、处理和利用，解决临床科研人员的数据采集难、数据处理难和数据利用难的实际问题；利用人工智能、深度学习、大数据等技术开展临床科学研究；优化与创新患者服务流程，实现临床业务的智能辅助与决策，提高医护人员的工作效率，减少医疗活动中的差错，提升医疗服务质量。

本次项目需要运用先进信息技术构造大数据支撑平台，满足海量数据的存储，满足大量数据分析的处理能力要求，有力支撑医院医疗业务与应用系统未来的发展。

2 大数据平台系统设计要求

2.1 设计原则

（1）架构领先，弹性扩展

（2）多源汇聚，统一接入

（3）共享交换，数据融合

（4）自主可控，安全可靠

2.2系统总体架构设计要求

要求按照“模块规划、分层构建”的思想，基于“松散耦合、结构开放、功能可扩展”的构建原则进行建设，主要包含如下内容：

（1）基础支撑平台：构建基于Hadoop+MPPDB平台的分布式计算与存储基础架构。

（2）数据使能平台：包括大数据汇聚集成平台、数据采集交换平台、数据治理、大数据和人工智能分析等模块。

（3）业务使能平台：二期可通过基于容器及微服务PaaS平台底座构建业务使能平台，提供大数据应用开发的各类开发支撑能力。

（4）应用层：辅助诊疗应用系统。基于底层的基础支撑平台、数据使能平台和业务使能平台，各类应用开发商可快速、高效、低成本的开发更多的创新应用。

（5）安全保障体系：通过落实各种安全保障手段和管理机制，实现大数据资源从采集接入、汇聚、清洗融合到服务的全流程安全可控。

（6）标准规范体系：包含平台建设、实施、使用等相关的一系列技术标准和规范，包含平台与系统的对接测试规范、平台技术规范、人工智能辅助诊疗相关规范等。

（7）专业服务体系：保障平台与院内各业务系统平台、各部门分平台以及平台内各组件与智能穿戴设备等的无缝对接和快速部署集成，同时确保平台的开放性和可服务性，满足大数据人工智能业务应用快速开发和部署。

2.3大数据基础支撑平台设计要求

本次设计的大数据平台是大数据存储、查询、分析的统一平台，能够帮助医院快速构建海量数据信息处理系统，通过对巨量信息数据实时与非实时的分析挖掘，发现全新价值点平台和企业商机。

大数据平台整体方案由2个子系统Hadoop、MPPDB和1个运维系统构成。

Hadoop：企业级的大数据处理环境，是一个分布式数据处理系统，对外提供大容量的数据存储、分析查询和实时流式数据处理分析能力。

MPPDB：企业级的大规模并行处理关系型数据库。采用MPP（Massive Parallel Processing）架构，支持行存储和列存储，提供PB（Petabyte，2的50次方字节）级别数据量的处理能力。

运维系统：企业级大数据的操作运维系统，提供高可靠、安全、容错、易用的集群管理能力，支持大规模集群的安装部署、监控、告警、用户管理、权限管理、审计、服务管理、健康检查、问题定位、升级和补丁等功能。

医院各业务系统数据及智能终端采集数据等通过统一数据汇聚平台采集到大数据中心形成贴源数据层-归集库，包括结构化数据和非结构化数据。贴源归集库数据通过数据治理平台对数据的清洗、比对去重、标准化加工形成标化数据，再进一步通过通过自然语言处理/图像识别等技术将半结构化和非结构化的数据转换成可以使用的结构化数据，最终建立成CDR,RDR,ODR及各类专病库。数据服务平台会将各类库封装成数据服务，上层应用可以用接口API、SQL、FTP等方式来灵活的访问各类数据。

一是建设结构化大数据资源池。采用大规模并行处理数据库（MPP DB）技术建设结构化大数据资源池，对海量的结构化数据进行分布式存储、分布式计算，提升快速存储、处理海量结构化数据的能力。

二是建设非结构化大数据资源池。以分布式文件系统、分布式计算为框架，搭建高效、高性价比的非结构化、半结构化数据的存储体系，提供对非结构化数据、半结构化数据进行分析挖掘的计算框架，用以应对不同应用场景。

2.4非功能特性要求

（1）开放性

（2）可靠性

（3）安全性

（4）易用性

2.5 超融合平台系统设计要求

本项目采用超融合一体机，结合网络虚拟化、存储虚拟化、服务器虚拟化、即可实现平台的搭建。可以虚拟出几十台虚拟机，满足大数据应用业务需求。超融合系统需具备特点如下：

（1）基础架构简化

超融合系统需提供一个开放的、可扩展的系统，具有计算/存储/网络融合、预集成、高性能、高可靠、高安全、业务自动化快捷部署、统一管理、资源智能弹性伸缩、运维简单的特点，可帮助客户业务快速上线，快速实现不同云应用的部署，同时降低维护管理的难度。

（2）横向线性扩展能力

超融合系统需具有极好的横向扩展能力，扩展简单，只要往集群里面添加新的机架物理主机即可实现横向扩展。

（3）业务连续性

为了提升服务器虚拟化系统的高可用性，系统需提供多种冗余策略，保障业务的连续性。

（4）数据可靠性

超融合系统需提供副本策略保证可靠性。每一次数据的变化，都会通过网络，同时在分布式存储中的所有副本里进行同步，从而确保数据的一致性。

（5）GPU能力

系统需提供GPU资源支持从复杂的多模式数据中获得有效的诊断数据。超融合系统需提供强大的GPU计算能力，为院内科研业务提供高性能GPU资源。

设备要求

1、Hadoop平台节点1

数量

2

规格

2U机架式，支持64位处理器

CPU

配置≥2颗处理器，单颗CPU主频≥2.6GHz，单颗CPU核心≥28物理核心

内存

内存类型ECC DDR4 RDIMM/LRDIMM内存插槽，内存槽位支持≥24根

内存配置容量≥256GB

内存工作频率≥2666M Hz

存储

内置硬盘配置数目≥6块2.5寸，单块要求≥600GB，≥10Krpm

硬盘扩展能力，可扩展≥16个热插拔2.5寸硬盘SAS/SATA硬盘

网络

配置≥4*10GE（含光模块）,≥4*GE网口

RAID卡

配置独立RAID卡，支持RAID0,1,5,6,10,50,60，缓存≥2G，配置掉电保护

电源

满配冗余热插拔电源，并提供配套的电源连接线

风扇

满配冗余风扇,支持单风扇失效，≥4个风扇

环境温度

长期工作环境温度支持5-40度，提供官网材料证明

可管理性

可管理和维护性:1. 集成系统管理处理器支持：自动服务器重启、风扇监视和控制、电源监控、温度监控、启动/关闭、按序重启、本地固件更新、错误日志，可通过可视化工具提供系统未来状况的可视显示； 2.具有图形管理界面及其他高级管理功能；3.配置独立的远程管理控制端口，支持远程监控图形界面, 可实现与操作系统无关的远程对服务器的完全控制，包括远程的开机、关机、重启、虚拟软驱、虚拟光驱等操作

服务

提供原厂售后服务承诺函盖鲜章原件和授权书盖鲜章原件；设备生产商需在国内设有400技术服务热线

其他要求

中标后，提供样机进行上述功能要求的逐一测试验证，全部通过后才能执行合同流程，测试中发现虚假应标的行为将予以废标处理并保留对该供应商追究相关责任的权利


数量

3

规格


CPU


内存




存储

内置硬盘配置数目≥10块2.5寸，单块要求≥600GB，≥10Krpm


网络


RAID卡


电源


风扇


环境温度


可管理性


服务


其他要求



数量

45

规格


CPU


内存




存储

内置硬盘配置数目≥2块2.5寸，单块要求≥600GB，≥10Krpm，≥2块3.5寸，单块要求≥4TB，≥7.2Krpm


网络


RAID卡


电源


风扇


环境温度


可管理性


服务


其他要求



数量

10

产品要求

国际知名品牌，投标产品上市五年以上，拥有完全的自主知识产权，分布式存储软件和硬件来自同一厂商，且软件和硬件均非OEM产品

系统架构

存储产品采用全对称分布式架构

大数据存储具备大规模横向扩展能力，单集群规模最大可扩展至≥4096节点。提供厂商彩页或技术材料证明

支持数据高冗余模式，最多可容忍4个节点同时失效而不丢失数据。支持动态EC，当节点故障时，自动调整EC配比，确保数据可靠性不降级

支持大比例纠删码技术获得更高的磁盘利用率，存储空间利用率高于90%，提供厂商彩页或技术材料证明

支持128KB以下小文件聚合

当磁盘或存储节点故障时，系统能自动进行数据重建，在无人工干预条件下，数据重建速度需能满足：每TB≤30分钟

支持10GE、25GE组网，组网全冗余部署，无单点故障

大数据兼容

完全兼容原生HDFS接口，无需在计算服务器上安装任何独立插件即可实现HDFS接口访问，提供厂商技术材料证明

支持Hbase、Hive、Spark、MR等组件，并支持追加写语义

兼容FusionInsight、Cloudra、Hortonworks、星环TDH等主流大数据平台，可提供相关产品兼容性认证证明或对接测试报告

增值特性

支持namespace级和租户级QOS, 支持读带宽、写带宽、总带宽、IOPS和连接数分别设置QOS

支持存储节点在线扩容，扩容后容量和性能可线性增长；支持存储软件在线升级，扩容和升级操作均不影响前端业务的连续性

配置要求

采用标准4U形态服务器，不得采用多控形态的控制器架构

所有存储节点可放置在1米深标准42U机柜

每节点≥256G内存，≥36块8T SATA硬盘，≥2块600G 10k SAS硬盘，≥4*10G（满配万兆光模块），≥4*GE网口

每节点配置≥1块 1.6TB NVMe SSD，缓存盘不占用主存盘槽位

集群整体配置要求

集群节点数量≥10台，整体配置CPU核数≥960核

考虑大数据平台数据膨胀及冗余，本次集群整体配置总可用容量≥1800TB，并配置相应分布式存储软件授权

集群整体配置≥2台48口万兆交换机实现内部组网，以及满配光模块、满足分布式存储系统组网要求

管理特性

分布式存储系统通过GUI图形界面提供独立的OM操作维护图形界面来对存储资源池进行管理

支持检测磁盘SMART信息，支持慢盘检测，并在磁盘损坏前进行隔离并告警

支持网络支持针对存储节点的网络出现丢包、网口故障等故障现象可提供故障告警并隔离

如果存储节点性能异常，分布式存储软件可以自动检测对应的节点，发出告警并提供处理方案

服务


其他要求


5、MPP平台节点1

数量

8

规格


CPU


内存




存储

内置硬盘配置数目≥2块2.5寸10Krpm 600GB硬盘，≥25块2.5寸1.8T10Krpm硬盘

配置独立RAID卡，支持RAID0,1,5,6,10,50,60，2GB Cache，配置掉电保护

网络


电源


风扇


环境温度


可管理性


服务


其他要求


6、MPP平台节点2

数量

2

规格


CPU


内存




存储

内置硬盘配置数目≥2块2.5寸10Krpm 600GB硬盘，≥4块2.5寸1.8T10Krpm硬盘

配置独立RAID卡，支持RAID0,1,5,6,10,50,60，2GB Cache，配置掉电保护

网络


电源


风扇


环境温度


可管理性


服务


其他要求


7、应用超融合平台节点

数量

10

体系架构

分布式存储软件构筑在标准硬件之上，非开源软件开发，通过软件层面的去中心化架构和数据冗余技术，来达到高可伸缩性和高可用性

支持2副本或3副本数据冗余模式，满足不同可靠性要求的业务场景

支持存储节点安装虚拟化软件，可以同时提供虚拟机业务和存储业务

支持横向扩展，当需要更多计算和存储资源时，只需要以服务器为单位进行扩容，即能实现计算与存储资源的同步扩展

兼容VMware、KVM等主流虚拟化软件，提供VMware官网认证链接，并截图证明

虚拟化软件及管理平台

支持在统一个管理界面中监控和管理计算、存储、交换机、虚拟化平台等

支持在统一图形界面上一键式软件、硬件升级，包括存储软件，虚拟化平台，硬件管理软件，firmware，driver，BIOS

支持在统一图形界面上一键式或定期自动输出系统健康巡检报告，包括CPU、内存、HDD、SSD、RAID卡等硬件状态，虚拟化平台，存储软件，管理软件等部件的健康状态，便于主动识别潜在的风险

支持在统一界面上一键式扩容节点，能够自动发现待扩容服务器，向导式完成网络配置、计算和存储集群的扩容

支持Call Home功能，可通过管理界面配置724小时自动将系统告警信息发送给原厂商，便于及时处理系统告警

单个集群（HA资源池）的计算节点可达128台

支持在统一图形界面上一键式完成存储、计算、网络的扩容，对于扩容节点自动完成操作系统和虚拟化平台软件安装与初始配置

支持手工/自动虚拟机HA功能，把虚拟机从故障的服务器上迁移至正常的服务器

支持虚拟机热迁移功能，可以在不停机的状态下，手工或自动地实现VM在集群之内的不同物理机之间迁移，保障业务连续性

支持虚拟机资源调整，根据实际需要修改虚拟机的属性，包括vCPU个数、内存大小、硬盘数量和网卡个数

虚拟交换机级别的用户态交换技术(OVS+DPDK），支持高性能网络转发，提高数据处理性能和吞吐量，提高数据平面应用程序的工作效率

分布式存储软件

在全SSD配置及SSD+HDD混合配置下，均支持EC（Erasure Code）算法实现数据冗余存储，支持+1、+2、+3三种冗余配置

EC配置情况下存储利用率可达80%

支持Nvme SSD 、SAS SSD、SATA SSD作为缓存介质

支持Nvme SSD 、SAS SSD、SATA SSD、SAS HDD、SATA HDD、NL-SAS HDD作为主存介质

支持标准scsi、iscsi接口，支持对接OpenStack，提供cinder driver，支持cinder-volume标准接口

单存储集群可支持扩展至≥1024个节点。单个存储集群最大支持128个存储资源池，单存储资源池最大硬盘数2048个

单系统支持存储卷的数量不少于1000000个,单卷最大容量支持≥256TB

当磁盘或者存储节点故障时系统能自动进行数据重构，在无人工干预的条件下，数据重构速度需最快每TB<30分钟

支持磁盘亚健康管理功能：支持定期检测磁盘SMART信息，判断磁盘亚健康情况(硬盘扇区重映射数超过门限、读错误率统计超标、慢盘)，并在磁盘损坏前进行隔离并告警，提供官网材料证明

支持网络亚健康管理功能：支持针对存储节点的网络出现丢包、错包、延时大、速率不匹配等故障现象可提供故障告警并自动尝试修复；提供官网材料证明

支持存储节点亚健康功能：如果存储节点在由硬件或者软件故障导致处理速度慢于其他节点时，分布式存储软件可以自动检测对应的节点，发出告警并提供处理方案。提供官网材料证明

支持磁盘漫游功能，同一存储节点内支持任意个存储磁盘交换位置，以防止维护时的误操作，提供官网材料证明

超融合资源池存储硬件要求

2U机架式，可放入42U标准机柜，冗余电源风扇

单节点配置：2*Intel至强金牌 6100系列处理器，主频≥3.0GHz, 核数≥12核，，≥256G内存，≥2*600G 10K SAS硬盘，≥10*2.4TB 10KSAS硬盘，≥1*3.2TBNVMe PCIE SSD卡，独立RAID卡，支持RAID 0/1/10，配置4*GE千兆接口，4*10GE万兆接口（含配套万兆模块）

每节点配置≥1块NVIDIA Tesla V100 GPU卡，及与业务需求匹配的GPU虚拟化license

所投产品存储节点SSD为企业级产品，与所投硬件为同一厂商。在3DWPD的前提下，存储节点SSD寿命>= 5年

保证可靠性，支持5～45摄氏度环境下长期运行，提供彩页

可管理和维护性:

1. 集成系统管理处理器支持：自动服务器重启、风扇监视和控制、电源监控、温度监控、启动/关闭、按序重启、本地固件更新、错误日志，可通过可视化工具提供系统未来状况的可视显示；

2.具有图形管理界面及其他高级管理功能；

3.配置独立的远程管理控制端口，支持远程监控图形界面, 可实现与操作系统无关的远程对服务器的完全控制，包括远程的开机、关机、重启、虚拟软驱、虚拟光驱等操作

支持最后一屏功能，在检测到宕机发生时将系统临终时刻的屏幕以指定的格式保存在指定的存储空间内，快速问题定位

软件授权

单节点分布式块存储软件授权许可配置2CPU或24T容量授权，3年软件订阅与保障

单节点配置2CPU虚拟化软件授权，3年软件订阅与保障

资质证书

所投产品厂商为2018年Gartner超融合魔力象限品牌，并提供Gartner报告

虚拟化平台厂商是国际主流云计算标准相关组织（如DMTF、SNIA等）的成员，有突出贡献并提供证明材料

售后服务


其他要求


8、Hadoop大数据软件

数量

1

品牌

为保证兼容性，要求本次Hadoop大数据软件与Hadoop硬件节点同一品牌，非OEM产品

著作权证明

投标人所投产品的大数据平台软件须提供中华人民共和国国家版权局颁发的软件著作权登记证书

开放性

大数据平台软件有良好的生态，支持与SAS、Tableau、QlikView、IBM InfoSphere DataStage、Oracle GoldenGate、Kettle、RStudio、Apache Zeppelin、DBeaver、SAP HANA等软件对接

大数据平台软件基于Apache开源社区，采纳社区精华，保持开放性，并在可靠性、安全性、管理性方面进行了增强，不使用私有架构和组件替代开源组件（如私有文件系统等），并能够跟随社区发展进行版本升级，本次提供的Hadoop大数据软件版本必须为Hadoop3.0及以上版本

兼容性

大数据平台至少兼容两种国产操作系统，提供大数据平台厂商官网兼容性查询截图及链接

运维管理平台

大数据平台支持多租户管理，提供大数据统一租户管理平台，实现租户资源的配置和管理，资源使用统计等功能，提供产品界面截图

大数据平台支持异构集群部署，在集群中存在不同硬件类型的服务器，允许在CPU类型，硬盘容量，硬盘类型，网卡类型，位置上有差异

大数据平台支持数据备份恢复功能，支持周期备份与手动备份方式，提供多种备份策略，支持备份到本地目录、远端HDFS、或者第三方文件系统（NFS或CIFS协议），并可以从备份路径恢复数据，提供产品界面截图

大数据平台支持自动健康检查与巡检，帮助用户实现一键式系统运行健康度巡检和审计，保障系统的正常运行，降低系统运维成本，提供截图证明

大数据平台支持在线日志检索，支持通过Web维护面登录后，在线检索并显示组件的日志内容，用于问题定位等其他日志查看场景，提供产品界面截图

数据集成

大数据平台提供自研的大数据集成工具，支持可视化对作业进行基于角色的权限控制，提供产品界面截图

分布式文件系统（HDFS）

大数据平台的HDFS组件，提供访问HDFS的REST接口，通过REST接口创建、删除、上传、下载文件等常规HDFS操作

大数据平台的HDFS组件，支持分级存储，用户可以将文件存放在指定类型的磁盘（SSD、SAS、SATA）上，用于满足不同类型的文件存储性能要求，提供产品文档截图证明

大数据平台的HDFS组件支持磁盘异构，即支持集群中配备多种不同容量的磁盘，方便后续扩容，提供产品界面截图

NoSQL数据库(Hbase)

大数据平台的HBase组件，支持可视化界面数据备份与恢复功能

Hbase支持多服务，可以创建不少于5个Hbase服务，提供产品界面截图

内存计算（Spark）

大数据平台提供Spark组件，并且保持开放性

大数据平台的Spark SQL，JDBC Server支持多租户并行执行，租户任务提交到不同的队列执行，租户间资源隔离，提供产品界面截图

全文检索

大数据平台同时支持solr与ElasticSearch两种全文检索引擎，方便用户根据使用习惯自由选择

安全性

大数据平台需要对集群内节点的服务使用端口情况加以控制，并提供各服务和组件使用的端口说明

大数据平台支持标准加密算法AES、国密算法SM4

可靠性

大数据平台的运维管理平台系统支持实现双机HA，防止因为单点出现问题导致运维管理平台不可用

大数据平台的组件进程故障后支持自动重启恢复，无需手动干预

配置

本次配置与Hadoop硬件平台配套的软件授权

服务


其他要求

中标后，进行上述功能要求的逐一测试验证，全部通过后才能执行合同流程，测试中发现虚假应标的行为将予以废标处理并保留对该供应商追究相关责任的权利

9、MPP平台数据库软件

数量

1

著作权证明

投标人所投的数据库软件须提供中华人民共和国国家版权局颁发的软件著作权登记证书，非OEM产品

厂商能力

同时具备数据库和hadoop研发能力，具有拥有自主知识产权的数据库和Hadoop产品

系统架构

数据库软件支持通用x86服务器或ARM服务器架构，支持本地磁盘存储模式

支持Shared-Nothing的MPP架构，支持全分布式并行执行，提供产品文档证明

采用基于全对称分布式的Active-Active多节点集群架构，系统设计无单点故障，提供产品文档证明

SQL功能及语法兼容

支持ANSI/ISO标准的SQL92、SQL99和SQL2003语法

兼容Oracle 11g通用语法，兼容Oracle Merge into语法

支持JOB，提供操作或运行截图证明

支持全局Sequence，提供操作或运行截图证明

支持DDL回滚，提供操作或运行截图证明

支持自定义表空间，提供操作或运行截图证明

数据存储与索引

同时支持行存储引擎和列存储引擎，支持用户自定义表的存储格式：行存储/列存储，支持行列表关联运算，提供操作或运行截图证明

行存表、列存表均支持B-tree索引，列存表支持局部稀疏索引，提供操作或运行截图证明，提供操作或运行截图证明

支持函数/表达式索引，例如对于查询条件中存在substr函数的场景，可以建立函数索引，提高性能，提供操作或运行截图证明，提供操作或运行截图证明

支持完善的分区管理功能

分区drop、add、truncate、merge、split、exchange、cluster、alter index unusable，提供操作或运行截图证明

高性能计算

支持垃圾空间自动清理回收，提供操作或运行截图证明

支持自动收集统计信息，无需人工定期收集，确保统计信息永新，提供操作或运行截图证明

支持Plan hint，支持用户添加Hints(提示)来实现干预执行计划，提供操作或运行截图证明

事务特性

支持RC/RR两种隔离级

支持单表和多表并发IUD(Insert、Update、Delete)，提供操作或运行截图证明

高可用容灾

支持自适应负载：无需调整全局内存参数，高并发、高负载情况下能够保证作业运行，提供操作或运行截图证明

集群内高可用-支持数据主备从副本高可用设计，支持节点故障后持续运行且无单点失败风险

支持集群级物理备份，支持全量、增量的备份与恢复，提供操作或运行截图证明

扩展性

支持在线扩容，扩容过程中数据持续可查询（包括正在数据重分布的表）；数据重分布阶段支持主流DDL（Drop/Truncate/Alter table），提供产品资料及官网证明

负载和资源管理

支持多租户管理，租户间CPU、内存、IO等资源隔离，相互不干扰，提供操作或运行截图证明

支持并发度控制、支持业务优先级自定义，提供操作或运行截图证明

运维

一套运维管理平台同时管理数据库和大数据平台，降低开发维护成本

数据库安全

支持三权分立及数据库审计，提供用户登录注销审计、数据库启停审计、用户锁定解锁审计、数据库对象增删改审计等

支持用户自定义审计日志保存策略，支持按照保存时间和大小两种配置方式，提供产品文档和官网地址证明

运行环境

产品可运行于通用X86或ARM平台

配置

本次配置80T并行计算数据库软件授权或同等能力软件授权

服务


其他要求

中标后，进行上述功能要求的逐一测试验证，全部通过后才能执行合同流程，测试中发现虚假应标的行为将予以废标处理并保留对该供应商追究相关责任的权利

10、便携式图形工作站

数量

2

配置要求

配置不低于如下要求：

英特尔酷睿i7-9750H CPU，16GB内存，1TB SSD硬盘，NVIDIA Quadro T2000独立显卡，15.6英寸4K IPS LED背光显示屏，鼠标。

服务要求

五年原厂质保

其他要求


11、台式图形工作站

数量

3

配置要求

配置不低于如下要求：

四核 3.6GHz CPU，32G内存，256G SSD硬盘，1T SATA硬盘，NVIDIA GEFORCE RTX 2080 Ti独立显卡，43英寸 4K 32:10超宽曲面显示器，含键盘鼠标，含配套可升降底座组件及线缆

服务要求

五年原厂质保

其他要求


12、设备互联线缆

配置要求

配置本次设备互联所需的所有光纤跳线，网络跳线

设备名称

大数据中心网络及安全系统

数量

1套

设备用途

为我院临床大数据中心提供高扩展性，高稳定性，高灵活性的网络以及强大的安全系统，以支持大数据平台的安全、可靠、高效地运行。

技术参数

1 项目概述

郑州大学第一附属医院临床医学大数据中心，目标建成符合国家安全规范、满足大数据和人工智能应用需求的临床医学大数据科研及应用平台，实现医院临床数据的安全迁移和有效积累、集成、清洗、处理和利用，解决临床科研人员的数据采集难、数据处理难和数据利用难的实际问题；利用人工智能、深度学习、大数据等技术开展临床科学研究；优化与创新患者服务流程，实现临床业务的智能辅助与决策，提高医护人员的工作效率，减少医疗活动中的差错，提升医疗服务质量。

本次项目旨在为我院临床大数据中心提供高扩展性，高稳定性，高灵活性的网络以及强大的安全系统，以支持大数据平台的安全、可靠、高效地运行。

2网络及安全系统总体建设需求

郑大一附院大数据中心网络及安全系统的总体建设需求如下：

（1）采用先进网络体系架构，构造高可靠、高稳定的无阻塞访问网络，支持业务与应用的良好业务体验；网络设计不仅要体现当前网络多业务服务的发展趋势，同时需要具有最灵活的适应、扩展能力。

（2）建设全面安全保障系统和设施，本项目建设依照等级保护相关要求，通过合理划分安全区域、部署各类安全产品并实行严格的安全防护与控制措施，形成检测、防护、响应和恢复的保障体系，同时引入安全管理咨询服务和专业安全服务，提升了大数据中心整体安全防护能力，从而建立有针对性的合规性安全保障体系框架和安全防护措施。

（3）建设运维监控平台，需要建立针对包括网络设备、安全设备、服务器及存储设备等IT资源的监控和告警。实现主动监控，能够主动、及时发现问题，解决被动服务的局面，从而缩短故障解决时间，减少维护成本。

（4）通过大数据分析技术实现对院内安全事件的分析与挖掘，依据真实的感知数据，通过对数据中心的各类设备日志、流量日志、资产漏洞和云端威胁情报进行自动化关联分析，强化数据中心安全运营的闭环管理和安全态势的可视化，并通过联动机制，实现安全设备的智能协同防御，构建多级联动安全防御体系。

3 设计原则

高扩展性：部署的网络安全设备应具有高扩展性，满足郑大一附院郑东院大数据中心网络业务的迅速发展，至少保证3到5年的业务发展需求；

高稳定性：部署的网络安全设备应具有高可靠，高稳定性特点，应具有关键器件冗余，双主控等可靠性保障，应选用电信级高可靠性设备；

高先进性：随着信息化技术的快速发展，各种新产品和新技术层出不穷，因此对本次建设对所需的各类产品、技术和服务必须要在当前的IT发展环境下具备高端的技术水平，确保在3-5年内始终领先于业界同等标准。

合规性：符合三级等保要求：按照国家信息安全等保保护要求，郑大一附院大数据中心需要按照三级等保要求来进行建设。

设备要求

1、核心交换机

数量

2台

整机性能

交换容量≥270Tbps（如官网有多个数值，以最小值为准）

包转发率≥230,000Mpps（如官网有多个数值，以最小值为准）

业务槽位数≥8；交换网槽位数量≥6, 且支持网板N+M 冗余

风扇框冗余设计，要求风扇框个数>=3，任意风扇框故障或者不在位不能造成业务中断，提供官网设备截图证明

为适应大数据中心机柜并排部署，要求设备机箱采用严格的前后风道设计，提供官网设备散热气流流向截图证明

为延长光模块寿命，要求线卡前面板开孔进风，加快光模块散热，要求提供官网设备截图证明

单板平均每端口缓存≥200ms，提供国际权威第三方测试报告证明

为最大程度保障设备的可靠性，要求设备的控制、转发、监控三个层面物理分离，由独立的硬件板卡支持，提供官网设备截图证明

二层功能

支持跨框链路聚合技术，要求配对设备有独立的控制平面，不能用堆叠等多虚一技术实现

MPLS

支持三种跨域MPLS VPN方式（OptionA、OptionB、OptionC）

支持MPLS TE

支持VPLS、VLL

DC特性

支持一虚多技术，至少可以虚拟成16个逻辑交换机

支持N:1虚拟化后再进行1：N虚拟化，提供国际权威第三方测试报告证明

支持Vxlan协议，且支持BGP EVPN协议

支持VXLAN over IPv6

安全性

支持BPDU guard

支持802.1X认证

支持IP/ARP/ICMP 安全

支持IPSG/MFF/DAI

运维管理

支持SNMP V1/V2/V3、Telnet、RMON、SSH

支持通过命令行、中文图形化配置软件等方式进行配置和管理

支持配置回滚

流量分析

支持Netstream、sFlow

支持NQA

资质证书

提供工信部入网证书

提供ISO9001、TL9000体系认证证书

实配（单台）

双主控，5交换网板，4电源（单个电源功率≥3000W），冗余风扇框（数量≥3），48端口十兆/百兆/千兆以太网电接口，48端口万兆以太网光接口，24端口40G以太网光接口，40G多模光模块 24个，10G多模光模块 48个，2根5米的40G高速集群电缆。

服务

提供原厂授权函及售后服务承诺函

其他要求


2、万兆接入交换机

数量

10台

转发性能

交换容量≥2.50Tbps，以官网所列最低参数为准

包转发率≥1000Mpps，以官网所列最低参数为准

硬件规格

高度1U，固定接口交换机

电源1+1备份，风扇3+1备份

CPU、LSW均为国产自研芯片

支持前后、后前风道

端口配置要求

40/100 GE 光接口≥6个

10GE光端口数量≥48个

二层功能

支持Access、Trunk和Hybrid三种模式

支持QinQ

支持跨框链路聚合，要求配对设备有独立的控制平面，不能用堆叠等多虚一技术实现，提供官网截图

支持DLDP

支持动态MAC、静态MAC和黑洞MAC表项

三层功能

支持RIP、OSPF、ISIS、BGP等IPv4动态路由协议

支持RIPng、OSPFv3、ISISv6、BGP4+等IPv6动态路由协议

支持IP报文分片重组，提供官网截图

支持BFD for OSPF，BGP，IS-IS，Static Route

支持IPv6 ND、PMTU发现

QoS

支持PQ, DWRR, PQ+DWRR调度方式

支持L2协议头、L3协议和L4协议等的组合流分类

支持双向端口限速

提供广播风暴抑制功能

支持流量整形

可靠性

支持VRRP、VRRP负载分担、BFD for VRRP

支持硬件BFD≤5ms检测间隔，提供官网截图

支持集群或堆叠多虚一技术，实现单一界面管理多台设备

安全性

支持方式Dos、arp攻击和ICMP攻击

支持IP、MAC、端口和VLAN的组合绑定

支持端口隔离

支持AAA、Radius和TACACS认证

组播

支持组播流量抑制

支持IGMP Snooping

支持IGMP Proxy

支持IGMP、PIM-SM和MBGP等协议

配置和维护

支持Telemetry、支持ERSPAN增强，提供官网截图

支持SNMP V1/V2/V3、Telnet、RMON、SSH

支持配置回滚，提供官网截图

支持缓存的微突发检测，提供官网截图

流量分析

支持Netstream、支持sflow，提供官网截图

市场地位

第三方权威机构给出的2016/17/18年中国区数据中心市场交换机份额排名前三，提供IDC报告证明

2018年进入Gartner数据中心魔力象限挑战者，提供证明文件

实配（单台）

冗余电源、冗余风扇框，40G多模光模块 2个，10G多模光模块 48个，配置1根3米的40G高速集群电缆

为便于统一运维和集中管理，要求和数据中心核心交换机同一品牌

服务


其他要求


3、千兆接入交换机

数量

8台

交换容量

交换容量≥400Gbps

包转发率

包转发率≥140Mpps

电源

为了提高设备可靠性，支持模块化可插拔双电源

端口类型

48个千兆电口，4个万兆SFP+

硬件

配置标准USB接口，支持U盘快速开局

二层功能

支持MAC地址规格≥16K

支持ARP表项规格≥8000

支持4K个VLAN，支持Voice VLAN，基于端口的VLAN，基于MAC的VLAN，基于协议的VLAN

支持1:1和N:1 VLAN Mapping功能

三层功能

支持RIP、RIPng、OSPF、OSPFv3、ISIS、BGP等路由协议

支持Ipv4路由FIB表≥8K，Ipv6路由FIB表≥3K

支持IPv4/IPv6双协议栈，支持6to4、ISATAP、手动配置tunnel

支持DHCPv4/v6 client/relay/server/snooping

组播

支持三层IPv4组播路由协议PIM，三层IPv6组播路由协议MLD

安全功能

支持802.1x、MAC认证和Portal认证

支持 IPSec 对管理报文加密

支持CPU保护功能

QOS

支持对端口接收报文速率和发送报文速率进行限制，支持SP、WRR、SP+WRR等队列调度算法

支持报文的 802.1p 和 DSCP 优先级重新标记

管理维护

支持SNMP v1/v2/v3、Telnet、RMON、SSHv2

支持通过命令行、Web、中文图形化配置软件等方式进行配置和管理

支持配合网络分析组件通过智能故障识别算法对网络数据进行分析，精准展现网络实时状态，并能及时有效地定界故障以及定位故障发生原因，发现影响用户体验的网络问题，精准保障用户体验

支持音视频业务的智能运维，将设备作为监控节点周期统计并上报音视频业务类指标参数至网络分析组件引擎，由网络分析组件引擎结合多个节点的监控结果，对音视频业务质量类故障进行快速定界

支持基于Python语言的开放可编程系统，管理员可以通过Python脚本对交换机进行运维功能的编程，快速实现功能创新，实现智能化运维

节能

支持能效以太网EEE节能环保

资质

提供工信部入网证

投标产品须是国内主流厂商产品，所投厂商的交换机产品在中国区市场占有率排名前三，提供权威的国际咨询机构证明报告

实配（单台）

冗余电源、10G多模光模块 2个，配置1根3米的10G高速集群电缆

为便于统一运维和集中管理，要求和数据中心核心交换机同一品牌

服务


其他要求


4、互联网边界防火墙

数量

1台

规格

≥2U机架式设备，冗余交流电源；电口≥6*GE，光口≥4*SFP；配置100个SSL VPN用户授权。含防病毒许可。

性能

三层吞吐量≥8 Gbps，最大并发连接数大于200万。

双机热备

支持路由、网桥、旁路、混合、虚拟线工作模式；工作模式切换无需重启设备；支持路由模式、透明模式的HA高可靠性部署，可工作于主备、主主模式，会话、用户、配置可实时同步；HA高可靠性部署支持接口联动，链路探测

NAT

支持IPv4／v6 NAT地址转换，支持源地址转换，目的地址转换和双向地址转换，支持针对源IP、目的IP和双向IP连接数控制；支持NAT64、NAT46 地址转换；

路由支持

支持静态路由、动态路由、ISP路由；支持基于入接口、源地址、目标地址、用户、服务、应用、时间、域名的策略路由；

链路负载均衡

支持基于7元组、域名的链路负载均衡策略，负载算法支持优先级和权重；支持过载保护、会话保持和健康检查，会话保持可实现用户的访问请求均分配至同一出口；

IPv6支持

支持配置基于IPv6地址的安全策略，支持6to4、ISATAP、IPv6手工等IPv6隧道技术；

访问控制

支持一体化安全策略：可基于设备接口/安全域、地址、服务、应用、用户、时间等属性，配置入侵防御、病毒防护、URL过滤、应用过滤、会话老化时间、终端过滤等高级访问控制功能

病毒防护

支持病毒检测引擎，支持在线升级和手动升级

支持对HTTP，FTP，POP3，SMTP，IMAP等协议进行病毒查杀

IPSec VPN

支持与主流VPN厂商的IPSec VPN接入，支持的算法有DES、3DES、AES128、SM2、SM3、SM4等，支持预共享密钥、数字证书、国密证书方式建立隧道

支持GRE隧道，支持GRE over IPSec VPN

配置管理

支持中英文Web界面管理及命令行管理，支持基于SSL协议的远程安全管理

支持通过集中管理平台进行集中管理，包括统一状态检测、配置下发、配置自动备份，版本升级、特征库升级、日志收集（提供相关功能证明）

支持SNMPv1、v2、v3版本，支持跨三层自学习MAC地址

支持多配置切换，配置文件之间相对独立，灾备场景可快速恢复业务

产品资质

具备公安部颁发的防火墙《计算机信息系统安全专用产品销售许可证（增强级）》

具备中国信息安全认证中心颁发的《中国国家信息安全产品认证证书（增强级）》

服务


其他要求


5、互联网入侵防御系统

数量

1台

硬件架构

≥2U机架式设备，冗余交流电源；，支持路由、网桥、旁路、混合、虚拟线工作模式；工作模式切换无需重启设备；

性能接口

IPS吞吐量≥8 Gbps；千兆电口≥6*GE，千兆光口≥4*SFP；

IPv6支持


双机热备

支持路由模式、透明模式的HA高可靠性部署，可工作于主备、主主模式，会话、用户、配置可实时同步；HA高可靠性部署支持接口联动，链路探测;

应用识别

支持应用识别，可识别iOS、安卓等移动互联网软件如微博、微信等特征，并可智能识别P2P和迅雷行为，并支持在线升级和手动升级

网络攻击防护

支持防ARP欺骗、ARP flood攻击防御

支持IPv4、IPv6双协议栈异常包攻击防御，攻击类型至少包含：Ping of Death、Land-Base、Tear Drop、TCP flag、Winnuke、Smurf、IP选项、IP Spoof、Jolt2等

支持扫描攻击防御，可基于设定的阈值识别扫描，并自动对发起扫描的主机进行限制

支持基于目的IP和接口的SYN、UDP、ICMP、DNS等flood攻击防御

入侵防御

内置不少于6000条IPS规则库，包含安全漏洞、CGI攻击、缓存溢出、木马后门、网络数据库攻击、蠕虫病毒、间谍软件、欺骗劫持等安全类型；并支持在线升级和手动升级

支持自定义IPS特征，至少支持IP、UDP、TCP、ICMP、HTTP、FTP、POP3、SMTP等协议自定义入侵攻击特征；可拓展协议字段，设置数据包中的匹配内容，支持选择包含、等于、不等于、大于、正则匹配等匹配方式，可选择多种匹配条件，支持设置“与”和“或”的匹配顺序

至少支持telnet、ftp、imap、pop3、smtp、rlogin、http、oracle、mysql、postgres等常见协议的防暴力破解功能，针对每种协议可自定义检测时长、阈值和阻断时长

至少支持telnet、ssh、ftp、imap、pop3、smtp、mysql、postgresql、mssql、rlogim、vnc等常见协议的弱密码检测功能，支持弱口令、空密码、用户名和密码相同等检测方式，弱口令字典可自定义设置

支持IPS高阶告警功能，可以配置多种告警条件，达到告警规则可通过邮件或者SYSLOG告警，不同告警规则可以发送给不同的用户

支持20余种威胁分类，包括C&C节点、僵尸网络、木马、勒索、钓鱼等

提供最新的威胁情报信息，能够对新爆发的0day、高危漏洞等进行预警，并提供配置向导协助管理员生成安全防护策略

安全分析

具备对检测到的攻击行为按照攻击源地址的地理位置进行威胁信息展示，并支持将攻击源地址一键加入到黑名单的操作

支持基于资产的安全分析，支持展示网络中存在安全风险的资产以及对应的风险级别，至少可查看资产基本信息、攻击态势、攻击日志统计、攻击的具体事件类型、攻击时间等

支持基于攻击不同阶段的方式来匹配并展示攻击者发起攻击的具体所处状态，资产遭受到攻击的具体所处状态，展示出具体的攻击链并可对威胁进行取证

服务


其他要求


6、上网行为管理系统

数量

1台

硬件规格

2U硬件，≥6个千兆电接口，≥1T硬盘，冗余交流电源。

性能要求

最大并发连接数≥120万；每秒最大新建连接数≥30000个

设备部署

设备支持网关模式、网桥模式、旁路模式部署。

支持设备模式选择，可以设置为Portal模式实现Portal服务器功能；

防共享接入

支持对内网用户私自安装无线路由器、随身WIFI等共享接入行为的检测，发现可识别私接主机个数，并可制定策略以私接主机个数为阀值进行封堵，同时可建立白名单，并可生成日志

应用访问管理

应用协议库包含的应用数量不低于6000种，应用规则总数不低于8000种，移动应用不少于1000种。

信息外发管理与审计

可以对网页的文件，根据传输方向、文件名、扩展名、文件大小、网站域名进行控制管理，违规文件下载阻塞同时可以告警；

产品资质

《计算机信息系统安全专用产品销售许可证》，可提供复印件并加盖厂家公章

国家版权局颁发的《SSL加密内容识别》著作权登记证书，可提供复印件并加盖厂家公章

中国信息安全测评中心颁发的《国家信息安全测评信息技术产品安全测评证书》，级别为 EAL3+，可提供复印件并加盖厂家公章

国家版权局颁发的《网页过滤软件著作权证书》，可提供复印件并加盖厂家公章

国家版权局颁发的《互联网内容审计软件著作权证书》，可提供复印件并加盖厂家公章

服务


其他要求


7、内网边界防火墙

数量

2台

硬件规格

专用万兆硬件平台，≥2U机架式设备，冗余交流电源；万兆光口≥4*SFP+（满配万兆光模块），光口≥8*SFP，电口≥8*GE；硬盘≥1T；含防病毒许可。

性能

三层吞吐量≥40 Gbps，应用层吞吐量≥18 Gbps，AV吞吐量≥18Gbps；

双机热备

支持路由、网桥、旁路、混合、虚拟线工作模式；工作模式切换无需重启设备；支持路由模式、透明模式的HA高可靠性部署，可工作于主备、主主模式，会话、用户、配置可实时同步；HA高可靠性部署支持接口联动，链路探测

NAT

支持IPv4／v6 NAT地址转换，支持源地址转换，目的地址转换和双向地址转换，支持针对源IP、目的IP和双向IP连接数控制；支持NAT64、NAT46 地址转换；

路由支持

支持静态路由、动态路由、ISP路由；支持基于入接口、源地址、目标地址、用户、服务、应用、时间、域名的策略路由；

链路负载均衡

支持基于7元组、域名的链路负载均衡策略，负载算法支持优先级和权重；支持过载保护、会话保持和健康检查，会话保持可实现用户的访问请求均分配至同一出口；

IPv6支持


访问控制

支持一体化安全策略：可基于设备接口/安全域、地址、服务、应用、用户、时间等属性，配置入侵防御、病毒防护、URL过滤、应用过滤、会话老化时间、终端过滤等高级访问控制功能

病毒防护

支持病毒检测引擎，支持在线升级和手动升级

支持对HTTP，FTP，POP3，SMTP，IMAP等协议进行病毒查杀

IPSec VPN

支持与主流VPN厂商的IPSec VPN接入，支持的算法有DES、3DES、AES128、SM2、SM3、SM4等，支持预共享密钥、数字证书、国密证书方式建立隧道

支持GRE隧道，支持GRE over IPSec VPN

配置管理

支持中英文Web界面管理及命令行管理，支持基于SSL协议的远程安全管理

支持通过集中管理平台进行集中管理，包括统一状态检测、配置下发、配置自动备份，版本升级、特征库升级、日志收集（提供相关功能证明）

支持SNMPv1、v2、v3版本，支持跨三层自学习MAC地址

支持多配置切换，配置文件之间相对独立，灾备场景可快速恢复业务

产品资质

具备公安部颁发的防火墙《计算机信息系统安全专用产品销售许可证（增强级）》

具备中国信息安全认证中心颁发的《中国国家信息安全产品认证证书（增强级）》

服务


其他要求


8、内网入侵防御系统

数量

2台

硬件架构

专用万兆硬件平台，内置交流双电源，支持路由、网桥、旁路、混合、虚拟线工作模式；工作模式切换无需重启设备；

性能接口

IPS吞吐量≥40 Gbps，万兆接口≥4*SFP+光口（含万兆光模块）；千兆光口≥8*SFP，电口≥8*GE；硬盘≥1T；

IPv6支持


双机热备

支持路由模式、透明模式的HA高可靠性部署，可工作于主备、主主模式，会话、用户、配置可实时同步；HA高可靠性部署支持接口联动，链路探测;

应用识别

支持应用识别，可识别iOS、安卓等移动互联网软件如微博、微信等特征，并可智能识别P2P和迅雷行为，并支持在线升级和手动升级

网络攻击防护

支持防ARP欺骗、ARP flood攻击防御

支持IPv4、IPv6双协议栈异常包攻击防御，攻击类型至少包含：Ping of Death、Land-Base、Tear Drop、TCP flag、Winnuke、Smurf、IP选项、IP Spoof、Jolt2等

支持扫描攻击防御，可基于设定的阈值识别扫描，并自动对发起扫描的主机进行限制

支持基于目的IP和接口的SYN、UDP、ICMP、DNS等flood攻击防御

入侵防御

内置不少于6000条IPS规则库，包含安全漏洞、CGI攻击、缓存溢出、木马后门、网络数据库攻击、蠕虫病毒、间谍软件、欺骗劫持等安全类型；并支持在线升级和手动升级

支持自定义IPS特征，至少支持IP、UDP、TCP、ICMP、HTTP、FTP、POP3、SMTP等协议自定义入侵攻击特征；可拓展协议字段，设置数据包中的匹配内容，支持选择包含、等于、不等于、大于、正则匹配等匹配方式，可选择多种匹配条件，支持设置“与”和“或”的匹配顺序

至少支持telnet、ftp、imap、pop3、smtp、rlogin、http、oracle、mysql、postgres等常见协议的防暴力破解功能，针对每种协议可自定义检测时长、阈值和阻断时长

至少支持telnet、ssh、ftp、imap、pop3、smtp、mysql、postgresql、mssql、rlogim、vnc等常见协议的弱密码检测功能，支持弱口令、空密码、用户名和密码相同等检测方式，弱口令字典可自定义设置

支持IPS高阶告警功能，可以配置多种告警条件，达到告警规则可通过邮件或者SYSLOG告警，不同告警规则可以发送给不同的用户

支持威胁分类，包括C&C节点、僵尸网络、木马、勒索、钓鱼等

提供最新的威胁情报信息，能够对新爆发的0day、高危漏洞等进行预警，并提供配置向导协助管理员生成安全防护策略

安全分析

具备对检测到的攻击行为按照攻击源地址的地理位置进行威胁信息展示，并支持将攻击源地址一键加入到黑名单的操作

支持基于资产的安全分析，支持展示网络中存在安全风险的资产以及对应的风险级别，至少可查看资产基本信息、攻击态势、攻击日志统计、攻击的具体事件类型、攻击时间等

支持基于攻击不同阶段的方式来匹配并展示攻击者发起攻击的具体所处状态，资产遭受到攻击的具体所处状态，展示出具体的攻击链并可对威胁进行取证

服务


其他要求


9、WEB应用防火墙

数量

1台

配置要求

千兆电口≥6个，千兆光业务口≥4个，冗余交流电源；WEB应用防护数量不限，应用层吞吐≥4Gbps、并发连接数≥30万、新建连接数≥3万、业务时延小于<50ms

部署模式

支持透明串接、反向代理、旁路引流部署、旁路镜像审计部署，支持链路聚合

高可用

支持集群模式、主-主模式、主备模式、硬件BYPASS、软件BYPASS

保护对象

支持多条链路数据的防护，防护网段数量不限

支持ipv4/ipv6双协议栈

Web服务自发现

支持自动发现现网环境中存在的Web业务系统，记录服务器的IP、Port、域名等信息

HTTPS防护

支持透明串接和旁路反向代理下的HTTPS服务器的防护

内置SSL硬件加速卡，实现对HTTPS的加解密，提供设备对HTTPS的处理性能，提供界面截图并加盖厂商公章

攻击检测

能够识别恶意请求含：跨站脚本(XSS)、注入式攻击（包括SQL注入、命令注入、Cookie 注入、代码注入、LDAP注入、SSI注入文件注入等）、跨站请求伪造等应用攻击行为

支持对HTTP请求分割攻击和HTTP响应报文截断攻击的防护

能够识别服务端响应内容导致的缺陷，包括：敏感信息泄露、已有的网页后门、错误配置、目录浏览等缺陷

Webshell检测

内置主流Webshell特征库，对文件上传内容进行检查，防止恶意Webshell上传，对已经上传的webshell发起请求的行为进行拦截阻断

敏感信息隐藏拦截

内置身份证、银行卡、手机号等服务器敏感信息库，对服务器响应敏感内容进行隐藏，并支持自定义敏感词，提供界面截图并加盖厂商公章

支持服务器隐藏，可配置删除服务器响应头信息

Cookie安全

支持Cookie安全机制，支持Cookie自学习，防止Cookie被篡改和劫持，并支持Cookie Httponly

识别爬虫、扫描器等自动化工具的扫描行为

WAF能自动识别扫描器的扫描行为，并智能阻断如Nikto、Paros proxy、WebScarab、WebInspect、Whisker、libwhisker、Burpsuite、Wikto、Pangolin、Watchfire AppScan 、N-Stealth、Acunetix Web Vulnerability Scanner 等多种扫描器的扫描行为

能基于访问行为特征进行分析，能识别盗链、爬虫攻击的能力

防篡改

系统提供防篡改功能，能够防止被篡改内容被浏览者访问到,一旦检测到被篡改，实时发送告警信息给管理员，同时可提供下载篡改前和篡改之后的代码文件

自定义规则

支持丰富的自定义规则，可以针对多个条件组合，形成深度的WEB防护规则

智能语义分析

系统内置针对SQL注入、XSS的语义分析规则提供界面截图并加盖厂商公章

机器学习

1、系统内置机器学习安全引擎，通过机器学习可以对用户web业务系统建立安全的访问模型，学习的内容包括URL、参数、参数类型、参数长度、匹配频率等信息提供界面截图并加盖厂商公章

2、支持设定学习的周期、学习的域名、学习的URL等信息，可设定阀值，当达到一定阀值后执行告警或者阻断，提供界面截图并加盖厂商公章

智能攻击者锁定

支持智能识别攻击者，对网站连接发起攻击的IP地址进行自动锁定禁止访问被攻击的网站；可配置攻击者识别策略和算法以及攻击者锁定时间，提供界面截图并加盖厂商公章

WEB访问流程合规防护

可实现访问流程的校验，向网站提交表单前必须先访问指定页面，并等待可配置的时间长度后才能正常提交表单

CC防护功能

可根据URL、请求头字段、目标IP、请求方法等多种组合条件对CC攻击进行检测，检测指标为URL访问速率和URL访问集中度；可根据IP、IP+URL和IP+User_Agent等算法对客户端进行检测，并支持应用层字段解析和自定义检测字段功能，支持挑战模式，支持基于地址位置的识别，支持对特定的IP地址进行CC规则白名单放行，支持CC慢攻击防护，通过学习业务流量模型，在业务流量异常时开启CC防护，并支持启动配置阈值

地图态势分析

按地理区域对攻击次数等进行统计，通过地图展示，并在地图上可以指定某一地理区域进行访问控制，阻断此区域 IP的访问，需提供第三方测评机构的检测报告

云端威胁情报联动

支持云端威胁情报联动，可主动发现包括僵尸IP、代理IP、扫描IP、黑产IP、C&C等恶意IP发起的访问行为，针对访问行为进行日志记录通知客户，实时统计威胁情报的攻击攻击类型占比和攻击的频率，提供界面截图并加盖厂商公章

服务


其他要求


10、全流量威胁检测探针

数量

1台

品牌要求

与大数据安全运营态势预警平台为同一品牌

配置要求

2U机架式安装，千兆电口≥4个、千兆光口≥4个、千兆管理口≥2个，性能指标≥3Gbps；硬盘容量：≥2T*2，RAID1配置。

部署模式

旁路部署，支持探针同时接入多个镜像口，每个口相互独立不影响,可以多台采集器同时部署于网络不同位置并将数据传输到同一套分析平台；

基础检测功能

具备报文检测引擎,可实现IP碎片重组、TCP流重组、应用层协议识别与解析等, 具备多种的入侵攻击模式或恶意URL监测模式,可完成模式匹配并生成事件,可提取URL记录和域名记录,在特征事件触发时可以基于五元组和二元组(IP对)进行原始报文的录制。

监测识别规则库

能够识别应用类型超过2800种，具备亿万级别URL识别能力。

异常会话检测

可实现对外联行为分析、间歇会话连接分析、加密通道分析、异常域名分析、上下行流量分析等在内的多场景网络异常通信行为分析能力。

深度监测能力

可提供网络流量的会话级视图,根据网络流量的正常行为轮廓特征建立正常流量模型,判别流量是否出现异常,对原始流记录进行异常检测,可发现网络蠕虫、网络水平扫描、网络垂直扫描、IP地址扫描，端口扫描，ARP欺骗，IP协议异常报文检测和TCP协议异常报文等常见网络异常流量事件类型;

支持对节点检测节点内部主机外发的异常流量进行检测 支持对信任区域主机外发的异常流量进行检测，如ICMP，UDP，SYN，DNS Flood等DDoS攻击行为；

支持对常见应用服务（HTTP、FTP、SSH、SMTP、IMAP）和数据库软件（MySQL、Oracle、MSSQL）的口令暴力破解检测功能；

可提供最新的威胁情报信息，能够对新爆发的流行高危漏洞进行预警和自动检测

Web应用安全检测能力

支持HTTP 1.0/1.1，HTTPS协议的安全威胁检测；

支持针对B/S架构应用抵御SQL注入、XSS、系统命令等注入型攻击；支持跨站请求伪造CSRF攻击检测；支持对ASP,PHP,JSP等主流脚本语言编写的webshell后门脚本上传的检测；支持其他类型的Web攻击，如文件包含，目录遍历，信息泄露攻击等的检测；

Mail攻击检测

Webmail攻击检测：支持基于webmail攻击类型检测，包括sql注入、跨站、命令注入等攻击检测

社工类攻击检测：对社工类攻击进行检测，检测内容包括：邮件头欺骗、邮件发件人欺骗、邮件钓鱼欺骗、邮件恶意链接（需提供截图证明并加盖原厂商公章）

僵尸网络检测

支持对终端种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为

流量记录

能够对网络通信行为进行还原和记录，以供安全人员进行取证分析，还原内容包括：TCP会话记录、Web访问记录、SQL访问记录、DNS解析记录、文件传输行为、LDAP登录行为。

管理功能

支持一键登录排错平台，对系统进行深度配置和排错，支持一键检测故障、配置核对、表分区检查、表检测、同步验证、信息收集等功能。

资质要求

要求具备公安颁发的APT安全检测类系统销售许可证与产品ISCCC认证

服务


其他要求


11、大数据安全运营态势预警平台

数量

1套

硬件指标

服务器数量：考虑机柜可用空间，下述硬件要求可通过不超过2台硬件服务器满足；

平台总体硬盘容量≥80TB可用，CPU≥48核心，内存≥512G内存，接口数量≥8个千兆电口、4个USB口，电源冗余电源

产品形态

1.为灵活适应现场环境，必须满足软硬一体化形态和纯软件形态部署模式，软件形态支持部署在物理机/虚拟机/云环境；

2.支持横向平滑扩展，可以通过增加硬件服务器数量的方式增加平台集群的计算处理性能。

运行环境

系统必须采用B/S架构，管理员只需浏览器即可连接到系统进行各种操作。

用户的浏览器客户端无需安装JRE或者JAVA Web Start即可访问管理中心；

产品要求集成数据库，无须再独立安装数据库系统，亦无须对数据库进行专门的维护。数据库应可满足海量安全事件的存储与快速查询与检索，可支持分布式弹性扩展，提供数据冗余存储。

管理范围

涵盖网络设备、安全设备、主机、数据库、中间件以及各种应用系统

事件处理性能要求

管理中心的事件处理性能最大可达到平均每秒50000条事件

安全态势可视化

支持安全态势的可视化呈现，以大屏的方式从攻击事件、资产安全、追踪溯源、运行监测、重保方案等多个维度进行可视化展示，提供不少于10块大屏展示界面；（要求提供截图并加盖厂商公章）。

资产管理及风险评估

支持管理资产主机设备、网络设备、安全设备、应用系统等资产类型管理；

支持资产详情信息的展示，能够展现资产基础信息（资产名称、IP地址、分组、厂家、型号、操作系统类型、物理地址、资产使用状态等）；支持资产的添加，删除，编辑、检索；支持对资产进行查询；支持资产服务变化趋势视图统计；

提供多个视角的资产视图，包括资产分组、组织架构、业务分组、地理位置进行属性分组，支持视图名称自定义；资产能够按照机密性、完整性、可用性、资产价值进行属性赋权。

支持按照单一资产进行资产风险评估列表展示，内容至少包含“资产名称、资产风险值、资产告警数、资产漏洞数、资产访问关系、资产失陷状态标识”等信息；支持展示资产告警及漏洞数量，可按照趋势、等级、处置状态等信息系进行展示。

其中访问关系支持多级钻取，支持流量自动关联关系分析（需提供截图证明并加盖原厂商公章）

威胁情报

支持本地威胁情报的检索，检索类型支持域名、IP地址，内置威胁情报数量不少于400W（需提供截图证明并加盖原厂商公章）

关联分析

支持接入数据进行关联分析，以发现网络攻击、僵尸网络、勒索软件、APT事件、业务违规事件和远控木马等高级威胁事件；

支持新增、删除、修改自定义对象资源，包括IP地址、端口、时间和字符串类型，可与日志数据进行关联分析时引用；支持对日志进行过滤，过滤条件支持AND/OR/NOT等逻辑运算、多层级嵌套

支持统计规则建模，通过统计规则建模，在指定的时间范围内，对符合过滤条件的日志中数字类字段进行求和，将其与阈值进行比较以发现异常威胁事件；

AI高级分析

平台内置不少于8种机器学习分析场景模型，可检测发现勒索挖矿告警数异常、安全设备日志数异常、网络会话数异常、域名请求数异常等特定场景条件下的安全态势异常；（提供截图并加盖厂商公章）

支持自定义部署AI机器学习模型，允许用户选用的高级机器学习算法不少于4种，通过输入任意指标类数据进行模型训练，发现异常行为并生成安全事件与告警，辅助用户发现潜在的安全风险（要求提供截图并加盖厂商公章）。

支持时间序列、UEBA、Bayes、随机森林等长周期高级机器学习算法；（提供相关专利受理证明）

场景化分析

提供DGA域名检测发现场景，以检测网络中的DGA域名活动状态；支持以列表的形式展示源IP地址、请求域名、请求次数

提供业务资产主动外连场景，实时监控那些不被允许主动外连资产的外连情况；支持以列表的形式展示外连IP地址、外连IP归属地、资产名称相关关键信息

提供弱口令检测场景，针对POP3/SMTP协议，检测使用了弱口令的账号和受影响资产；

提供VPN账号登录行为统计场景，监控账号登录次数和登录成功率等情况；

具备文件威胁鉴定模块,集成静态文件检测引擎和智能分析检测引擎，有效识别流量与邮件中的恶意文件并生成文件威胁分析报告

支持发现主机发送可疑附件的邮件行为、伪造发件人发送邮件、发送钓鱼网站邮件和垃圾邮件等行为；支持对恶意邮件详情分析，包含收件人账号、发件人账号、附件名称、病毒名称、恶意链接名称等。

日志检索

支持按照日志分类进行日志筛选和检索，如网络流量日志、安全设备日志、网络设备日志、服务器日志、中间件日志、存储日志、平台日志等日志类型

支持检索基于时间、攻击类型、严重等级等选择项进行组合查询，可基于具体设备、来源/目的所属、IP地址、特征ID、URL进行具体条件搜索。

潜伏威胁黄金眼

支持基于可视化的形式展示威胁的影响面，通过大数据分析和关联检索技术，能对风险主机进行溯源，及时找到并处理风险源头，并可通过攻击链进行溯源，同时展示攻击、违规访问、风险访问、可疑行为、正常访问等详细信息。

SIEM

具备SIEM管理功能，支持接入第三方安全设备、网络设备、DHCP服务器、蜜罐、中间件等日志接入和解析功能，并支持导入正则文件解析主流设备日志，支持多种日志接入方式

支持暴力破解、新增/修改/删除账号/账号提权、高危操作等内置规则模型、内置规则模型数量达到700条以上；（需提供截图证明并加盖原厂商公章）

模型可通过串并联方式组合编排，前一个模型的输出可以作为后一个模型的输入，支持分析模型编排层级>5层；（要求提供截图并加盖厂商公章，并在投标现场演示）

通报工单预警

通报总览：支持通报事件统计，包括未处理、处理中、已解决、已关闭工单。提供组织工单统计，包括待办工单、滞留工单、总资产数、风险资产数、风险概率等内容。

工单举证：支持工单举证信息一键溯源，工单处置人员可以直接定位到工单关联的原始信息进行查看

情报预警：支持威胁情报预警功能包含事件的详细描述，并针对事件提供解决方案；支持自定义情报功能，包括情报类型、IOC、标签；

分级权限管理：支持多级管理员间资产风险信息的隔离和共享，总部用户管理员可以分配下属组织架构的功能权限。分部安全管理员只可以使用所属组织架构具备的功能；（需提供截图证明并加盖原厂商公章）

报告中心

综合风险报告：支持完整展示网络的安全态势和详情的综合风险报告，报告内容包括平台说明、安全风险概括、业务与终端安全详情分析、安全规划建设建议等。

重大活动管理服务：支持重大活动保障任务前期、中期、后期分阶段的任务管理，保障预案管理（需提供截图证明并加盖原厂商公章）

设备联动

EDR组件联动：支持与终端EDR组件联动响应，一键查杀木马病毒，禁止攻击流量出站或入站，也可以实现被感染主机IP封锁隔离，防止风险扩展

防火墙设备联动：支持与第三方防火墙等网关类设备进行联动响应，支持平台下发安全策略到防火墙上，阻断攻击流量，防护策略支持设置每次阻断不同时长生效时间。

设备管理

平台运行监控，支持对平台的CPU、内存、磁盘利用率进行实时监控，同时支持支持数据集与数据索引健康度监控；

平台支持通过REST API接口实现 “开放”与“共享”，直接调用第三方数据源进行大屏展示，无需二次开发。（需提供截图证明并加盖原厂商公章）

IPV6管理，平台支持IPV6平台管理，审计日志支持IPv6。

厂商资质

原厂具有国家信息安全漏洞库（CNNVD）技术支撑单位等级证书（一级）；

原厂具有中国信息安全测评中心颁发的信息安全服务资质-安全工程类（三级）

为更好的提供安全分析服务，要求原厂应具有专业的大数据安全分析团队和云安全团队，需提供至少3份由中国信息安全测评中心认证的CISP-BDSA（大数据安全分析师）；至少3份中国信息安全测评中心认证的CISP-CSE（云安全工程师）。

产品资质

投标产品具有相应的销售许可证；

服务


其他要求


12、主机安全防护软件

数量

1套

资质

通过公安部检测获得网络版防病毒产品（一级品）销售许可证书

兼容性

考虑兼容性，要求与大数据安全运营态势预警平台统一品牌，实现产生告警后自动下发查杀及阻断策略。

支持的操作系统

Windows server 2003、Windows server 2008、Windows server 2012、Windows server 2016、win xp 、win 7、win 8、win 10、Centos 5.0 +、Redhat 5.0 + 、Suse11 +、Ubuntu 14 +等操作系统；

Web服务器

Apache 2.0-2.4、IIS6、IIS7、IIS8、IIS10、Java系列(JBoss、Tomcat、Weblogic、Websphere)等；

系统性能监控

支持对CPU使用率监控、内存占用率监控、磁盘读写监控、上下行流量监控，在达到配置阈值时报警；

支持网络通信全时监控；

系统安全性模块

支持防端口扫描，防违规外联，锁定恶意的端口扫描及外联行为，并记录告警。

支持网站防护，包括SQL注入、XSS、Web应用及容器漏洞防护、访问控制、屏蔽扫描器等；

内核级防火墙（业务间流量东西向隔离）功能，包括IP、端口、协议、流向等细粒度权限控制；

支持流量画像，支持全网流量可视化（提供产品界面演示视频）

支持登录防护，包括以系统账号为粒度的异常登录防护、支持五个任意维度(任意地理位置，任意IP，任意域名，任意计算机名，任意时间)的系统登录访问策略设置、防暴力破解、弱口令检测并告警。触发登录防护后，自动联动添加微隔离规则；

具有系统漏洞扫描和修复功能，提供真实漏洞补丁；支持对移动存储设备的行为监控、权限管理、行为审计；支持对文件变化的审计；支持对无线网卡的使用审计、权限管理；

提供专门的勒索风险评估功能。（提供截图并加盖厂商公章）

防病毒模块

支持文件实时监控，在进程启动、文件创建、存储介质连接时自动触发。

支持强力查杀，对于无法普通隔离的病毒文件强制停止进程并隔离或动态移除到删除队列；

支持部分病毒感染文件的修复功能，对于二进制文件可剥离感染部分，保证应用正常使用；（提供截图并加盖厂商公章）

文件推送

支持下发文件、安装应用程序、远程执行命令；

屏幕水印

支持对屏幕拍照泄密数据的行为进行溯源；

告警功能

告警类型包括：异常文件、网站防护、性能监控、登录防护。

告警方式包括：Email，短信，syslog，snmptrap，自定义；

集中管控

管理平台支持一键卸载客户端、一键设置客户端卸载密码、一键停止/恢复所有防护、一键解除绑定；

支持多级中心部署，查看所有下级控制中心的资产部署情况以及风险数据；（提供截图并加盖厂商公章）

本次配置

终端管理中心软件一套，主机防护软件授权≥100台，具有对终端的统一管理和策略下发功能；

应急响应

对于新发现的病毒、零日漏洞，厂商能够于24小时内作出响应，及时通知用户，并提供专应急预案、处置工具或专杀工具。

软件升级

提供3年的病毒库、程序升级服务；提供7*24小时威胁溯源服务，投标人提供原厂商针对本项目售后服务函；

服务


其他要求


13、综合日志审计

数量

1台

品牌要求

与大数据安全运营态势预警平台为同一品牌

安装方式

2U机架式安装，冗余电源。

硬件要求

配置不低于如下要求：6个千兆电口、4个千兆光口插槽，内存：16GB，磁盘：2T*2 raid1，EPS：9000/秒（峰值：12000/秒），支持接入资产数量≥200个，双电源、CF卡启动；网口可扩展至34个（4电4光、8电、8光、2万兆光）。

部署模式

旁路部署，日志源网络可达

采集方式

日志采集方式应支持但不仅限于Syslog、kafka、ftp、部署代理等4种方式（需提供截图证明并加盖原厂商公章）

采集内容

支持采集异构设备的日志数据，实现包括但不限于安全类、网络类、应用服务器类、操作系统类等至少4大类、50种设备的日志接入采集

日志解析

内置解析规则支持厂商>200家，支持解析日志设备型号>2000种

可对日志进行细粒度解析，解析后的日志根据具体日志包含但不限于：日期、发生时间、接收时间、设备类型、日志类型、日志来源、源地址、目的地址、事件类型、时间范围、操作主体、操作对象、行为方式、技术动作、技术效果、攻击类型、特征类型、协议、地理信息，≥30个字段。

日志发送

支持将采集的日志发送给安全感知平台以及第三方日志采集平台。

产品资质

要求产品具备公安部颁发的日志分析类销售许可证，提供证书复印件。

服务


其他要求


14、数据库审计

数量

1台

硬件指标

配置不低于如下要求：2U机架式设备，双交流电源；硬盘容量：2TB，1000M电口≥6，审计口≥4个

处理能力

审计性能：同时支持12个数据库数审计能力；

峰值SQL处理能力≥25,000条/秒;

硬件吞吐量≥2000Mbps，日志存储数≥4亿条；

部署方式

为适应各种复杂的部署环境，产品部署模式应满足以下要求：

Documents

fcc.zzu.edu.cnfcc.zzu.edu.cn/photo/file/2009/2009240949306353820/145475… · Web view设备名称. 大数据中心机房设备. 数量. 1套. 设备用途. 临床大数据中心机房使用的硬件设备