江西省自然灾害应急能力提升工程预警指挥项目网络安全包采购需求咨询论证公告
微信分享
关注项目
标讯收藏
| 项目名称 | 省份 | ||
| 业主单位 |
认领
立即查看
|
业主类型 | |
| 总投资 | 建设年限 | ||
| 建设地点 | |||
| 审批机关 | 审批事项 | ||
| 审批代码 | 批准文号 | ||
| 审批时间 | 审批结果 | ||
| 建设内容 | |||
根据工作需要,现对江西省自然灾害应急能力提升工程预警指挥项目网络安全包(以下简称本项目)采购需求进行咨询论证,欢迎符合资格条件的供应商参与咨询论证。
一、咨询论证目的
本项目咨询论证公告的内容,仅作为采购人与供应商进行讨论的参考,供应商可对采购内容提出意见及建议。采购项目实际采购需求、预算金额和执行时间以最终发布的采购公告和采购文件为准。
二、咨询论证项目的内容
本项目预算金额为859万元整。项目采取统招分签方式组织招标和项目实施。项目所有设备必须对接应急管理部安全运营管理平台。本项目预计采购时间为2024年5月。
(1)建设网络安全监测预警系统。在省级指挥信息网通过集群方式部署3台网络安全态势感知平台,确保高可用。汇聚告警信息、监测数据、各类日志等安全数据,可进行网络威胁监测预警、分析研判、应急处置和溯源追踪,具备向应急管理部安全管理中心统一汇聚安全数据能力,另外在省、市两级指挥信息网核心节点分别部署1台流量检测探针,合计12台探针(江西省厅、南昌市局、赣州市局、九江市局、宜春市局、吉安市局、萍乡市局、抚州市局、上饶市局、鹰潭市局、景德镇市局、新余市局各一台),与省级网络安全态势感知平台进行联动。
图 1 网络安全监测预警系统架构图
(2)建设跨网安全接入与数据安全交换系统。在省级指挥信息网边界部署3台应用安全网关(集群方式)、3台数据安全交换平台(集群方式)、3台视频安全网关(集群方式)、4台中心侧SD-WAN 网关(集群方式)、1台SD-WAN网关控制台、2台负载均衡器(主备方式)、1台网闸和2台边界防火墙(主备方式)。配备边缘侧SD-WAN网关(合计30台网关,江西省厅19台、南昌市局、赣州市局、九江市局、宜春市局、吉安市局、萍乡市局、抚州市局、上饶市局、鹰潭市局、景德镇市局、新余市局各一台),与中心侧 SD-WAN 网关联动,构建基于移动互联网远程安全接入指挥信息网的通路。为全省应急管理部门提供跨网安全接入和数据安全交换通道,用于业务应用、终端设备等跨网安全通信,满足音视频、数据文件等安全交换需要,具备常见威胁攻击检测、发现与管控能力。
图2 跨网安全接入与数据安全交换系统架构图
(3)建设指挥信息网网络违规外联检测系统,在省级指挥信息网部署1台网络违规外联检测控制台,在省级指挥信息网部署2台违规外联检测器,在市级指挥信息网部署1台网络违规外联检测器,监测发现指挥信息网违规连接互联网、政务外网、其他专网等行为。建设终端准入管控系统,在省级指挥信息网部署2台终端准入网关,在市级指挥信息网部署1台终端准入网关,用于管控接入本级的指挥信息网终端入网连接行为,县级指挥信息网终端根据本地网络连接情况,由省级或市级终端准入网关管控。合计1套网络违规外联检测控制台,13台网络违规外联检测器(江西省厅2台、南昌市局、赣州市局、九江市局、宜春市局、吉安市局、萍乡市局、抚州市局、上饶市局、鹰潭市局、景德镇市局、新余市局各1台),13台终端准入网关(江西省厅2台、南昌市局、赣州市局、九江市局、宜春市局、吉安市局、萍乡市局、抚州市局、上饶市局、鹰潭市局、景德镇市局、新余市局各1台)。
图 3网络违规外联检测与终端准入管控系统架构图
三、本项目基本性能参数要求
四、企业报名时需提供的材料
1.《企业法人营业执照》副本复印件加盖单位公章;
2.法人授权委托书原件,代理人身份证原件及复印件加盖单位公章。
注:第1-2项材料加盖公章扫描成PDF版文件发送到相应联系人邮箱(2024年4月28日12时前发送)。
五、参加咨询论证会的企业需提供的相关材料
1.平台、设备、相关服务的介绍及解决方案。
2.平台系统、设备参数、服务内容。
3.相关设备分项报价。
4.项目基本性能参数意见建议盖章回执。
注:第1-3项材料加盖公章扫描成PDF版文件发送到相应联系人邮箱(2024年4月28日12时前发送),论证会当天准备好纸质版资料参会。
六、咨询论证时间:2024年4月30日10时30分。
七、咨询论证地点:省应急管理厅办公大楼(南昌市青云谱区抚河南路199号,15楼会议室)。
八、报名及联系人:李扬,19970078097,
邮箱:605114073@qq.com
九、技术咨询联系人:吴屹,0791-85257019详情请下载附件!
一、咨询论证目的
本项目咨询论证公告的内容,仅作为采购人与供应商进行讨论的参考,供应商可对采购内容提出意见及建议。采购项目实际采购需求、预算金额和执行时间以最终发布的采购公告和采购文件为准。
二、咨询论证项目的内容
本项目预算金额为859万元整。项目采取统招分签方式组织招标和项目实施。项目所有设备必须对接应急管理部安全运营管理平台。本项目预计采购时间为2024年5月。
(1)建设网络安全监测预警系统。在省级指挥信息网通过集群方式部署3台网络安全态势感知平台,确保高可用。汇聚告警信息、监测数据、各类日志等安全数据,可进行网络威胁监测预警、分析研判、应急处置和溯源追踪,具备向应急管理部安全管理中心统一汇聚安全数据能力,另外在省、市两级指挥信息网核心节点分别部署1台流量检测探针,合计12台探针(江西省厅、南昌市局、赣州市局、九江市局、宜春市局、吉安市局、萍乡市局、抚州市局、上饶市局、鹰潭市局、景德镇市局、新余市局各一台),与省级网络安全态势感知平台进行联动。
图 1 网络安全监测预警系统架构图
(2)建设跨网安全接入与数据安全交换系统。在省级指挥信息网边界部署3台应用安全网关(集群方式)、3台数据安全交换平台(集群方式)、3台视频安全网关(集群方式)、4台中心侧SD-WAN 网关(集群方式)、1台SD-WAN网关控制台、2台负载均衡器(主备方式)、1台网闸和2台边界防火墙(主备方式)。配备边缘侧SD-WAN网关(合计30台网关,江西省厅19台、南昌市局、赣州市局、九江市局、宜春市局、吉安市局、萍乡市局、抚州市局、上饶市局、鹰潭市局、景德镇市局、新余市局各一台),与中心侧 SD-WAN 网关联动,构建基于移动互联网远程安全接入指挥信息网的通路。为全省应急管理部门提供跨网安全接入和数据安全交换通道,用于业务应用、终端设备等跨网安全通信,满足音视频、数据文件等安全交换需要,具备常见威胁攻击检测、发现与管控能力。
图2 跨网安全接入与数据安全交换系统架构图
(3)建设指挥信息网网络违规外联检测系统,在省级指挥信息网部署1台网络违规外联检测控制台,在省级指挥信息网部署2台违规外联检测器,在市级指挥信息网部署1台网络违规外联检测器,监测发现指挥信息网违规连接互联网、政务外网、其他专网等行为。建设终端准入管控系统,在省级指挥信息网部署2台终端准入网关,在市级指挥信息网部署1台终端准入网关,用于管控接入本级的指挥信息网终端入网连接行为,县级指挥信息网终端根据本地网络连接情况,由省级或市级终端准入网关管控。合计1套网络违规外联检测控制台,13台网络违规外联检测器(江西省厅2台、南昌市局、赣州市局、九江市局、宜春市局、吉安市局、萍乡市局、抚州市局、上饶市局、鹰潭市局、景德镇市局、新余市局各1台),13台终端准入网关(江西省厅2台、南昌市局、赣州市局、九江市局、宜春市局、吉安市局、萍乡市局、抚州市局、上饶市局、鹰潭市局、景德镇市局、新余市局各1台)。
图 3网络违规外联检测与终端准入管控系统架构图
三、本项目基本性能参数要求
| 序号 | 设备名称 | 技术参数 | 单位 | 数量 |
| 一 | 网络安全监测预警系统 | |||
| 1 | 网络安全态势感知平台 | 1)交流冗余电源,内存≥128G,存储硬盘≥40T,万兆光口≥4个,日志吞吐量≥50000EPS,能够满足180天的存储要求。 2)支持集群模式部署。 3)支持与部安全管理中心进行对接,按照本技术规范的数据汇聚方式和数据汇聚内容,通过 kafka的方式进行日志报送,通过 API 接口调用的方式供上级平台查询日志和 PACP 包。对流量检测探针进行集中管理。提供不少于1人的安全专业人员项目现场驻守,以及远程安全专家团队持续性开展网络及数据安全运营,并在重保期间指派安全专家现场值守,定期提供资产梳理、未知资产发现、漏洞扫描、终端病毒检测查杀等。提供项目所需网络模组及线缆,安装布放及调测实施,提供项目所列平台及硬件设备安装与调测实施 4)支持对接入的数据进行泛化处理,根据实际需求补全字段内容,修改字段名称,打上资产归属标签。能够对属于相同安全事件的告警信息进行归并处理。 5)支持以大屏的方式对各类安全态势进行可视化展示,能够满足本地大屏的分辨率要求。 6)支持对本地各类资产进行信息录入和管理,资产类型包含:终端、服务器、应用系统、交换机等,通过资产信息协助安全运营工作。 7)支持对安全事件进行告警,能够展示:IP 地址、事件名称、入侵类型、攻击载荷信息、流量上下文等内容,可以进行威胁判定。 8)支持自定义关联分析规则,可以基于时间、主客体、行为特征等多种数据进行关联,发生入侵时能够自由查询各类原始日志数据。具有情报辅助查询能力,用于协助进行溯源追踪。 9)支持设定自动化处置规则,针对可明确的入侵攻击进行自动化处置,降低受损面积,能够与其他设备进行联动。 10)支持建立重保活动的流程清单,将各环节流程化,支撑围绕重保目标和对象开展工作。 11)支持已处置及未处置告警统计、告警级别分布、告警类型分布,告警趋势、最新告警等告警信息展示。 12)支持多维度恶意程序感染分析,包括但不限于木马、蠕虫、僵尸程序、勒索软件、挖矿等维度。 13)提供不少于五年维保服务。 | 套 | 3 |
| 2 | 流量检测探针 | 1)交流冗余电源,内存≥128G,存储硬盘≥20T,万兆光口≥2个,网络层吞吐量≥10Gbps。 2)支持将日志数据报送给网络安全态势感知平台,能够接收态势感知平台的集中管理。 3)支持针对实时流量采集分析,能够解析常见的应用层和网络层协议,可以对上传离线流量数据包进行分析。 4)支持对基于SSL协议的加密数据进行解密和还原,协议类型包括:SMTPS、POP3S、IMAPS、HTTPS等,能够支持所需的国密算法和国际算法。 5)支持对实时流量采集的pcap包进行全量存储、威胁包存储、恶意文件存储,与网络安全态势感知平台联动支撑溯源取证。 6)支持针对SQL注入、XSS攻击、恶意文件上传、远程命令执行、隐蔽隧道外联、DGA域名访问等攻击进行威胁检测,能够与威胁情报进行联动。 7)支持对文件进行恶意代码检测,具备动态和静态两种检测模式,可以针对恶意内容生成报告,并留存恶意文件样本。 8)检测能够对目标文件实时检测实时还原效果,不依赖规则库检测实现对未知恶意程序检测。 9)提供不少于五年维保服务和不少于三年特征库升级。 | 台 | 12 |
| 二 | 跨网安全接入与数据安全交换系统 | |||
| 1 | 中心侧SD-WAN网关 | 1)交流冗余电源,万兆光口数量≥4个,应用层吞吐量≥500Mbps,所使用的密码组件通过国家密码管理局的检测认证。 2)支持被SD-WAN网关控制台进行统一管理。 3)支持进行广域网传输优化,有效提升传输效率,在 30%丢包的网络质量下,依然可保障视频类业务的流畅性。 4)支持进行传输加解密,使用算法包括国际算法和国密算法,能够通过商用密码应用测评。 5)支持与边缘侧SD-WAN网关配合,将接收的原始包和复制包进行解析处理,剔除冗余数据,增强视音频业务的可靠性。 6)支持在两个或多个站点之间基于互联网的二层互联,满足部分仅支持二层互联的业务场景需求。 7)支持DNS转发功能,无需修改本地DNS配置即可将所有DNS解析请求转发到指定的DNS服务器。 8)支持智能QoS功能,以保障重要业务系统优先使用带宽资源。 9)支持与接入设备进行绑定,未经认证的设备无法接入网络。 10)提供不少于五年维保服务。 | 台 | 4 |
| 2 | SD-WAN网关控制台 | 1)交流冗余电源,万兆光口数量≥4个,内存≥128G,能够管理的SD-WAN网关数量≥300个。 2)支持将日志数据报送给网络安全态势感知平台,并且对中心侧和边缘侧SD-WAN网关进行统一管理,提供开放API接口供其他平台调用。 3)支持结合短信或动态口令完成双因子登录认证,提高登录安全性。 4)支持查看链路状态和拓扑结构,可以实时显示每条链路的延时、抖动、丢包和吞吐等统计信息。 5)支持分权分域管理功能,用户管理权限至少支持三级:一级权限可管理所有单位站点,二级权限可管理部分指定单位站点,三级权限可管理单一指定站点。 6)支持将基础配置进行集中导入,实现SD-WAN网关设备的批量化上线。 7)提供不少于五年维保服务。 | 台 | 1 |
| 3 | 边缘侧SD-WAN网关 | 1)网口数量≥4个,根据实际需求配备具备4G/5G和WiFi模组,所使用的密码组件通过国家密码管理局的检测认证。 2)支持被 SD-WAN 网关控制台进行统一管理。提供5G CPE含5G流量卡,向下兼容4G网络。提供的流量卡每月流量不低于10Gb,持续提供5年。 3)支持进行广域网传输优化,有效提升传输效率,在30%丢包的网络质量下,依然可保障视频类业务的流畅性。 4)支持进行传输加解密,使用算法包括国际算法和国密算法,能够通过商用密码应用测评。 5)支持与中心侧SD-WAN网关配合,将原始数据包复制后,将原始包和复制包通过两条不同的链路共同发送,增强弱网情况下视音频业务的可用性。 6)支持在两个或多个站点之间基于互联网的二层互联,满足部分仅支持二层互联的业务场景需求。 7)支持DNS转发功能,无需修改本地DNS配置即可将所有 DNS 解析请求转发到指定的 DNS 服务器。 8)支持智能QoS功能,以保障重要业务系统优先使用带宽资源。 9)支持与接入设备进行绑定,未经认证的设备无法接入网络。 10)提供不少于五年维保服务。 | 台 | 30 |
| 4 | 应用安全网关 | 1)交流冗余电源,万兆光口≥4个,网络吞吐量≥8Gbps,应用层吞吐量≥5Gbps,最大并发连接数≥20万,新建连接数≥2万。 2)支持集群化方式部署和IPv4/IPv6双栈工作模式。 3)支持将日志数据报送给网络安全态势感知平台。 4)支持对Web请求进行代理访问,并对协议的报文头和报文格式进行格式检查与控制,可根据不同的URL进行独立配置。 5)支持对HTTPS访问请求进行数据解密,将SSL证书进行卸载,还原成HTTP访问请求。 6)支持对拒绝服务攻击、SQL注入、跨站脚本攻击、文件上传、远程命令执行漏洞等常见应用攻击防护能力,具备语义分析检测能力。 7)支持对HTTP报文进行敏感内容识别,能够根据不同的URL自定义规则,检查其中是否含敏感内容。 8)支持敏感信息脱敏。 9)提供不少于五年维保服务和不少于三年特征库升级。 | 台 | 3 |
| 5 | 数据安全交换平台 | 1)交流冗余电源,万兆光口≥4个,网络层吞吐量≥8Gbps,应用层吞吐量≥5Gbps,数据库同步速率(1KB)≥12000条/秒,FTP 文件同步速率(350KB)≥2500个/秒,消息同步速率(1KB)≥10000条/秒,最大任务数≥80。 2)支持集群化方式部署和IPv4/IPv6双栈工作模式。 3)支持将日志数据报送给网络安全态势感知平台。 4)支持进行对外部接入数据源进行签名验证,对验证异常的数据进行拦截丢弃。 5)支持通过数字证书、口令密码、硬件指纹等标识进行身份认证和准入控制。 6)支持对数据库、消息队列、文件进行数据交换,能够检查交换数据的名称、协议、大小,只允许符合安全策略的数据通过。 7)支持对交换数据进行恶意代码检测,发现恶意代码时进行隔离和告警。 8)支持网关同侧数据库之间的数据同步。 9)支持木马类、蠕虫类等攻击规则知识库。 10)提供不少于五年维保服务。 | 台 | 3 |
| 6 | 视频安全网关 | 1)交流冗余电源,万兆光口≥4个,应用层吞吐量≥3Gbps,720P高清视频并发≥600路,视频流传输时延≤300ms。 2)支持集群化方式部署和IPv4/IPv6双栈工作模式。 3)支持将日志数据报送给网络安全态势感知平台。 4)支持接入的设备进行签名验证,确保信令流和视频流合法性。 5)支持基于设备ID、数字证书、硬件指纹等标识进行设备身份认证和准入控制。 6)支持对应用层协议进行格式检查,对畸形协议数据进行拦截阻断,兼容SIP、H.323、RTSP、ONVIF等常见协议和华为、海康等私有协议。 7)支持检查SIP消息中的文本内容,以匹配预定义的关键字或正则表达式,阻止非法内容传输和防范数据泄漏。 8)提供不少于五年维保服务。 | 台 | 3 |
| 7 | 负载均衡器 | 1)交流冗余电源,内存≥16G,万兆光口≥6个,网络层吞吐量≥20Gbps,最大并发连接数≥2000万,每秒新建连接数≥50 万。 2)支持 IPv4/IPv6 双栈工作模式。 3)支持将日志数据报送给网络安全态势感知平台。 4)支持对负载设备进行健康检查,在设备出现故障时不再对其进行流量分发对于视频业务具有专项优化能力。 5)支持进行服务负载和链路负载,算法包括:轮询、最小连接、最小流量、哈希、优先级等。 6)支持HTTP2网关部署; 7)提供不少于五年维保服务。 | 台 | 2 |
| 8 | 网闸 | 1)交标准2U机架式设备,内外端机双侧液晶屏; 2)内端机配置≥6个10/100/1000Base-T接口(含1个管理口),≥4个千兆光口插槽,≥1个扩展槽位; 3)外端机配置≥6个10/100/1000Base-T接口(含1个HA口),≥4个千兆光口插槽,≥1个扩展槽位,冗余电源,网络吞吐量≥5Gbps,并发连接数≥30万,延时1ms,内外端机各≥16G内存,内外端机各配置≥1T机械硬盘。 | 台 | 1 |
| 9 | 边界防火墙 | 1)交流冗余电源,万兆光口≥8,网络层吞吐量≥40Gbps,最大并发连接数≥2000万,每秒新建连接数≥50万。 2)支持 IPv4/IPv6 双栈工作模式,具备 bypass能力。 3)支持将日志数据报送给网络安全态势感知平台。提供不低于100M互联网专线接入(提供2条)。 4)支持五元组的访问控制,提供双向控制能力,可以批量设置规则。 5)支持静态路由、策略路由、RIP、OSPF、BGP、ISIS等路由协议。具备虚拟路由功能,且虚拟路由功能不依赖虚拟防火墙功能。 6)支持全面 NAT 功能,对多种应用层协议支持ALG功能,包括 DNS、FTP、H323、RTSP、SIP等。 7)支持对访问流量进行恶意指令清洗,涵盖应用层和网络层协议。 8)支持对夹带文件进行病毒检测,具备压缩包检测能力,压缩包嵌套不低于3层。 9)支持DDOS防护等防护。 10)支持与态势感知系统联动,能将日志信息等上报给态势感知进行统一管理,并能获取态势感知下发的访问控制策略和黑名单策略等,从而对流量进行动态阻断。 11)提供不少于五年维保服务和不少于三年特征库升级。 | 台 | 2 |
| 三 | 网络违规外联检测与终端准入管控系统 | |||
| 1 | 违规外联检测器 | 1)交流冗余电源,万兆光口≥2个。 2)支持被违规外联检测控制台统一管理能力。 3)支持通过主动探测方式发现违规外联主机,并能够基于网络流量及协议的深度解析,完成违规外联行为监控。 4)支持通过主动探测的方式发现网络内的联网资产,可以自定义标签分类对资产进行管理。 5)支持通过主动探测模式进行资产发现,并进行全网拓扑绘制。 6)支持自定义外联探测地址范围和探测时间范围,根据规则周期性开启探测工作。 7)提供不少于五年维保服务。 | 台 | 13 |
| 2 | 违规外联检测控制台 | 1)交流冗余电源,万兆光口≥2 个,内存≥16G,管理的违规外联检测器≥50个。 2)支持将日志数据报送给网络安全态势感知平台,并且对各个违规外联检测器进行统一管理,并提供开放API接口,与部安全管理中心对接。 3)支持添加级联违规外联检测器,按照区域新增级联检测器,能够显示检测器级联状态。 4)支持配置策略对指定事件类型进行告警,包括网页、短信、邮件等告警方式能力。 5)支持同步获取所有级联检测器的资产信息和违规信息能力。 6)提供不少于五年维保服务。 | 台 | 1 |
| 3 | 终端准入网关 | 1)交流冗余电源,内存≧16G,万兆光口≥2个,网络层吞吐量≧3Gbps,可交互终端≧500。 2)支持IPv4/IPv6双栈工作模式,具备bypass能力。 3)支持将日志数据报送给网络安全态势感知平台。 4)支持发现网络内的 NAT 设备,对使用 NAT 接入的终端进行准入控制或切断其访问。 5)支持通过 IP/MAC 的方式进行终端绑定,针对随意变换地址的终端进行切断访问。 6)支持无线和有线环境下的接入控制,适应复杂网络环境下的接入控制。 7)支持资产管理功能,可管理不同类型入网资产;提供交换机网络设备管理功能。对入网资产可发现、可审批入网。 8)支持终端信息绑定认证,可检查入网终端IP、终端MAC、用户名、交换机端口等多要素信息。 9)提供不少于五年维保服务。 | 台 | 13 |
四、企业报名时需提供的材料
1.《企业法人营业执照》副本复印件加盖单位公章;
2.法人授权委托书原件,代理人身份证原件及复印件加盖单位公章。
注:第1-2项材料加盖公章扫描成PDF版文件发送到相应联系人邮箱(2024年4月28日12时前发送)。
五、参加咨询论证会的企业需提供的相关材料
1.平台、设备、相关服务的介绍及解决方案。
2.平台系统、设备参数、服务内容。
3.相关设备分项报价。
4.项目基本性能参数意见建议盖章回执。
注:第1-3项材料加盖公章扫描成PDF版文件发送到相应联系人邮箱(2024年4月28日12时前发送),论证会当天准备好纸质版资料参会。
六、咨询论证时间:2024年4月30日10时30分。
七、咨询论证地点:省应急管理厅办公大楼(南昌市青云谱区抚河南路199号,15楼会议室)。
八、报名及联系人:李扬,19970078097,
邮箱:605114073@qq.com
九、技术咨询联系人:吴屹,0791-85257019详情请下载附件!
微信扫码关注
