信息化项目技术参数表|江阴雨辰互联

2023年7月27日发(作者：)

信息化项目技术参数表

项目名称

预算金额

重量

校园网络通信设备拓展

98（万元）

数量/单位

见配置清单

额定功率

设备功能要求

西京医院校园网始建于1997年，是依托于国际互联网的医学、教育与科研网络，它隶属于空军军医大学校园网，通过学校的出口与国际互联网相连。为保障住院二部各科室校园网络正常运行，需新增网络设备和相关配件。提供的所有设备自主可控。

软硬件配置清单

序号

校园网核心交换机1

校园网核心交换机2

弱电间24 口接入交换机及设备供电系统

SDN控制系统

态势感知系统

上网行为审计

千兆多模光纤模块

万兆单模光纤模块

万兆多模光纤模块

描述数量及单位

2台

1台

80台

1套

1台

140块

16块

100块

见配置清单 10

铜跳线

光纤跳线

600根

300根

详细技术参数

校园网核心交换机1

序号

指标名称

★交换容量

★包转发率

≥470Tbps。

≥150000Mpps。

技术参数

3 ★业务槽位

主控引擎与交换网板物理分离且为正交CLOS架构；整机业务板槽位数≥8。

以太网支持千兆电口，千兆光口，万兆光口、40G端口。

支持端口 VLAN、PVLAN ，支持 STP、RSTP、MSTP 协议。

支持静态路由、策略路由、RIPVI、V2, 0SPF等路由协议。

支持ARP防攻击。

支持 SNMP V1/V2/V3、Telnet、RMON、SSHV2。

提供工信部的产品入网许可证和第三方检测报告。

配置2块主控引擎，满配交换网版，冗余电源，50个千兆电口、142个万兆光口，为保证业务可靠性，以上端口需分布在不同的业务板卡上（非主控卡集成），实配40G虚拟化所需模块和线缆。

4 ＃接口要求

5 二层功能

＃路由协议

安全性

管理特性

产品资质

10 ★具体配置

11 ★质保服务提供5年投标产品生产厂家商产品质保服务（需提供授权函和售后服务承诺函）。

校园网核心交换机2

★交换容量

★包转发率

★业务槽位

＃接口要求

虚拟化技术

≥230Tbps。

≥50000Mpps。

整机业务板槽位数≥6。

以太网支持千兆电口，千兆光口，10GE端口。

多虚一技术(N:1)。

支持静态路由、策略路由、RIP VI、V2, 0SPF等路由协议。

支持G.8032标准环网协议。

支持 SNMP V1/V2/V3、Telnet、RMON、SSHV2 。

提供工信部的产品入网许可证和权威第三方权威报告。

配置2块主控引擎，冗余电源，60个千兆电口、76个千10 ★具体配置兆光口、20个万兆光口，为保证业务可靠性，以上端口需分布在不同的业务板卡上，4个万兆多模光模块。

提供5年投标产品生产厂家商产品质保服务（需提供授权函和售后服务承诺函）。

6 ＃路由协议

可靠性

管理特性

产品资质

11 ★质保服务

弱电间24 口接入交换机及设备供电系统

★交换容量

★包转发率

★硬件要求

≥330Gbps。

≥120Mpps。

配置 24个10/100/ 1000Base-T以太网端口，同时配置4个 100/1000Base-X SFP。

支持端口 VLAN。

支持 STP、RSTP、MSTP 协议。

支持端口聚合、端口镜像功能。

支持QinQ，灵活QinQ。

5 ＃路由功能支持RIP、RIPng、OSPF协议。

支持 SNMP、Telnet、RMON。

支持通过命令行方式进行配置和管理。

提供提供工信部的产品入网许可证和第三方检测报告。

提供5年投标产品生产厂家商产品质保服务（本次采购的交换机品牌需保持一致）。

4 ＃功能要求

6 管理维护

7 产品资质

8 ★质保服务

SDN控制系统

为了便于后期我院各种终端能够被自动发现和管理，其连接拓扑可以自动生成和展示，要求终端设备优先（包含所有基于IP的物联网终端）能够自动上线，其次根据事先导入系统的各类哑终端MAC地址列表，实现哑终端的自1 ★软件功能

动化上线。

我院实际终端数较多，为了便于大批量终端的及时准入，所投设备需要支持自定义终端免准入确认时间，免确认时间内自动进行整网IP/终端MAC/端口/接入设备的信息收集。为了节约终端的上线时间以及简化我院维护人员的工作量，尽量要求资产终端上线时无需提前收集终端MAC地址，无需提前在控制器导入MAC相关信息，或者采用人工辅助的半自动化方式实现。

在大量终端入网后，如还有个别我院新增终端在超出免确认时间接入，管理员需在准入界面手动确认，才能入网，保证终端接入的安全性和合规性。

在维护人员针对终端一次性确认后，后续接入无需频繁确认且每个终端无需部署特定账号与密码，大大减轻我院维护人员压力。

相比传统方式可以实现智能的IP+MAC+端口的绑定，在解决传统安全问题的同时，可以提升我院维护人员工作效率

为了规范我院终端接入标准，当用户信息发生变更，即用户MAC或用户IP或用户接入位置发生变更，需要管理员重新审批后入网以保障网络准入安全合规。

为了简化后期运维，最好支持接入的资产终端无须安装任何客户端与插件，审批后即可入网。

IP地址作为网络中的重要元素结合我院的实际情况（大量IP地址），SDN控制器能自动判断静态IP、动态IP、设备的接口IP、排除IP地址冲突，能直观的显示哪些静态ip地址是否可以分配，哪些IP地址不可分配,避免长时间的维护后人员的更替和记忆的衰减导致的IP地址管理混乱而导致的安全问题。

为了提升我院对于IP地址管理的便捷性，需要所投产品支持可视化，能清楚的看见IP地址的占用情况，通过SDN技术能快速收集设备报废情况，（设备报废了IP也跟着回收）需要精确到30分钟内。能通过手动或者自动方式来进行ip地址回收。

基于我院大量的终端资源管理难的问题，支持资产终端的位置识别，满足辅助终端资产管理难的问题。

基于指纹或其他技术，可以实现对终端类型进行识别，从而实现对终端的预判，达到辅助决策的安全问题。

为了保障业务的稳定性和可靠性，当出现控制器故障的时候，支持逃生机制，不影响当前业务运行。

本次采用SDN架构，通过Netconf协议用户首次上线成功后无需二次认证，控制器挂掉后需要保证用户的安全性不变。

配置本次园区项目SDN解决方案相关的组件（包括但不2 ★配置情况限于各种模块等）及设备管理相应节点授权。本次实配10000个终端（包含但不限于物联网终端）接入授权。

3 ★质保服务提供5年投标产品生产厂家商产品质保服务。

态势感知系统 1 ★硬件规格

要求配置双电源，配置不小于4T硬盘，不小于6个千兆电口，不小于1个扩展槽。

支持三个展示维度大屏，包含内到内流量监控大屏、内到外流量监控大屏、外到内流量监控大屏。

2 态势感知展示

支持从管理角度，根据业务自身需要对需要关注的安全事件进行分类，可以分为一般关注、中等关注、重点关注和极度关注四个大类。

支持被动漏扫功能，可以通过流量发现相关资产的高危端3 被动漏扫功能口和漏洞等信息，同时通过流量层面发现相应端口和漏洞是否有被黑客或者不法分子利用。

支持文件检测，通过特征匹配或检测算法对被检测文件的文件内容进行检测。

支持完整语义的数据包过滤规则（BPF语法）。

4 ＃文件安全

5 数据包基础处理支持网络巨帧（Jumbo Frame）的处理。

实时统计网络吞吐情况，包括BPS、PPS及每秒会话数。

普通以太头解析。

6 以太层处理支持单向、双向VLAN处理。

支持VLAN QinQ处理。

完整IPv4协议和相关选项处理。

7 ＃网络层处理完整IPv6协议和相关选项处理。

IP分片包处理。要求支持全量网络会话留存，包含会话主要全部元数据，8 全会话留存以及应用协议特有相关元数据保存，全面还原网络连接情况。

支持TCP、UDP、ICMP、ICMPv6、SCTP、IGMP等协9 传输层处理

议的识别和处理。

对TCP协议进行完整处理，包括重传和乱序。

支持识别和处理HTTP、FTP、SMTP、IMAP、POP3、SSH、SSL/TLS、DCERPC、SMB、TELNET、HTTPS、MySQL、Oracle、SQLServer等主要应用层协议。

对主要应用层协议支持深度解析，将应用协议、端口、流10 ＃应用层处理

入/流出字节数、流入/流出包数等相关字段进行分析。

系统支持其它诸如门户、论坛、金融、游戏、炒股、聊天等应用协议的识别。

对其它附着在HTTP协议之上的其它协议进行二次识别。

系统存储相关网络协议会话数据。

系统根据协议或应用协议策略保存相关会话数据的原始网络数据包。

网络数据存储及查询

可以通过相关接口查询网络会话数据以便进行回溯。

可以通过相关接口下载与特定会话数据相关的网络原始数据包，以便详细查询。

可以将相关会话数据（Session Log）、会话统计数据外发至相关系统。

支持网络带宽占用检测。

支持TCP连接延时检测。

12 ＃网络质量检测

支持TCP重传检测。

支持TCP零窗口检测。

支持设置网络攻击相关检测类型。

支持IP分片、小包攻击、ARP泛洪、ICMP泛洪、UDP泛洪、TCP比例异常等网络异常检测。

13 ★攻击检测

支持检测端口扫描、口令猜测、木马、蠕虫、僵尸网络、拒绝服务、漏洞利用、溢出、WebShell、XSS、跨站请求伪造、远程提权等类别的网络攻击。

生成网络攻击事件并外发至相关系统。

支持多种类型的威胁情报检测，包括CnC、勒索、僵尸网络、挖矿等。

对于所有网络会话，支持基于黑IP检测。

对于HTTP、DNS协议，支持黑域名的检测。

14 ★威胁情报检测对于HTTP协议，支持黑URL检测。

针对SMTP、POP3、IMAP等邮件协议，支持黑邮箱检测。

支持检测动态域名（DGA）异常。

生成威胁情报检测事件并外发至相关系统。会话连接及流量统计检测。

网络流量智能历史基线分析。

15 其它检测策略

支持网络流量异常离群分析，距离建模包含欧氏、马氏距离等方法。

支持基于信息熵的网络行为异常检查。

★质保服务

★配置要求

提供5年投标产品生产厂家产品质保服务。

配置5年特征库授权。

上网行为审计

★接口数

★硬盘

★适用带宽

常用协议

最少支持6个千兆电口。

具有不少于8T的硬盘存储。

设备最大适用带宽≥700Mbps。

如FTP、SMTP、TFTP、IMAP等常用协议。

可自定义基于协议和端口的协议。

5 自定义协议

可根据协议、端口、报文长度、报文特征、目的IP等等信息自定义协议规则。

支持将特殊协议（如MPLS、PPPoE、VLAN（Q-in-Q）6 协议剥离等）的协议头剥离掉，这样可以对特殊协议封装内的原始数据进行认证、审计和控制。

HTTP下载、WEB视频、P2P下载、流媒体、网络游戏、即时通讯、股票交易、网上银行、网络电话等。

支持基于线路的流控、基于应用的流控、基于URL的流7 其他协议

8 流控管理方式控、基于IP的流控、基于用户组的流控、基于时间段的流控、基于单个用户的流控。

9 应用限额管理限制指定的应用一天内可以使用的流量总额或使用时长。

TOP 50服务流量监控,服务组流量监控,活跃服务统计,所10 流量实时监控有服务统计,TOP 50 用户流量监控,在线用户统计,动态更新实时监控图。

将每个用户收发的邮件详细记录并显示。邮件信息包括：邮件收发者、主题、正文、附件及大小、日期等信息。若用户使用了多个邮件账户，每个账户将分别显示其收发邮件的信息。

＃个人账号登陆将每个用户的网购、微博、博客、论坛、邮箱、视频网站、记录社交娱乐、即时通讯等等账号登陆分项记录。

11 ＃个人邮件记录

＃个人外发文件将每个用户的http上传、即时通讯上传、FTP上传和下记录

导出个人行为记录

载文件、EMAIL发送文件分项统计和记录。

14 将单个用户的上网行为的数据导出为Excel文件。

15 策略免审计

可根据IP地址来配置策略，对特定IP的用户免除上网行为的审计。

基于URL、网站类型，对其流量、新建会话、活跃会话16

网站URL、网站进行分时段统计分析，并进一步统计分析每个URL的服类型统计务有哪些用户/用户组在使用，及每个用户/用户组的使用情况；以及每种服务类型在各条链路上的分配情况。详细记录每一个会话的信息，包括：用户名、用户组、源IP/端口、目的IP/端口、转换IP/端口、MAC地址、协17 会话日志议类型、协议名称、发送流量、接收流量、会话持续时间、会话结束时间。并可导出为EXCEL或者HTML格式的报表。

报表生成

告警方式

★质保服务

★配置要求

可将报表中心相关内容转换为Excel、PDF报表。

对特定安全事件支持通过邮件、短信方式自动告警。

提供5年投标产品生产厂家产品质保服务。

配置3年特征库授权。

千兆多模光纤模块

1 ★光模块规格

支持千兆速率，SFP双LC接口，传输距离0.3Km，传输波长850nm。

万兆单模光纤模块