海西州教育局关于海西州教育城域网租赁项目包二（第三次）监理服务议价公告

序号

一：中小学教育城域网参数

数量

单位

备注

1

城域网专线覆盖性

要求线路覆盖市****

86

条

采用租用方式提供数据传输链路

2

城域网技术及服务要求

1.吞吐量：测试值与承诺带宽误差小于≤5%。

2.时延：1千公里以内，时延≤25ms；1-2千公里以内，时延≤35ms；2-3千公里以内，时延≤50ms；

3.丢包率：平均丢包率（统计周期为1 小时）≤0.01%

4.速率要求：州教育局至各市县教育局上下行速率≥1000Mbps，各区县教育局至区县学校上下行速率≥1000Mbps；

1

项

3

高考保障专线

海西州地区高考保障专线9条，高考保障专线上下行速率均≥1000Mbps，全年故障保障率≤0.1%，中高考期间保证业务100%不中断。

9

条

4

海西州特殊教育学院网络覆盖

1、海西州特殊教育学校专线1条，专线上下行速率≥100Mbps；

2、全年网络可用率不低于99.9%（年不可用时间≤8.76 小时），上下行速率测试≥95%。专线至网关的平均时延控制在20ms以内，丢包率控制在0.2%以内。

1

条

线路由建设单位负责提供

特殊教育学校食堂明厨亮灶监控网络5路、校内办公网络13条（覆盖整个办公区****

1

项

5

运维服务

服务期内提供运维服务，包含以下内容：

1、现场巡检：每季度提供不少于1次现场巡检服务，内容包括但不限于：现场网络测速、软硬件设备巡检等，并根据现场巡检情况向采购单位出具相关书面报告材料。

2、节假日值班和重保服务：在服务期内提供节假日值班服务，确保节假日全州****

3、因本项目特殊性，所有业务均需保证在中标后30日内完成交付。

1

项

云业务配置参数

数量

单位

备注

1

云服务器

1、合计提供12台云服务器，其中7台云云服务器用于高考阅卷系统部署，3台云服务器用于高考综合改革管理系统部署，2台云服务器用于数据库部署。

2、要求提供X86架构的，8vCPU,内存32G、块存储200G规格的7台，操作系统为Linux CentOS 7.6；

3、 要求提供X86架构的，16vCPU,内存32G、块存储200G规格的3台，操作系统为Linux CentOS 7.6；

4、要求提供X86架构的，16vCPU,内存32G、块存储2T规格的2台，操作系统为Linux CentOS 7.6；

5、共享带宽：200M；

6、支持绑定浮动私有 IP 地址，为网卡提供第二个IP地址，实现更灵活的网络功能，比如 HA双机热备时的浮动IP；

7、云镜像服务包括公共镜像、共享镜像、私有镜像三种类型。通过云镜像用户可以在云主机实例上实现应用场景的快速部署；

8、支持普通IO、高IO、通用SSD、超高IO四种类型的云硬盘，单盘最大支持32T容量，超高IO单盘最大吞吐量达到350Mbps，最大IOPS达到50000，时延低至1ms；

9、可信云评估要求：云管理平台通过Q/KXY M006一云多芯云管平台能力要求第2部分：云管服务商标准的检验。

12

台

租用政务云服务器

2

云存储

1、云存储支持NFS、CIFS、iSCSI、S3等多种主流存储协议，支持存储空间管理，要求提供统一管理的可视化界面，支持用户检索、 查看、 扩容、删除等操作；

2、支持数据统计，支持对象存储用量、文件存储用量监控，支持存储空间、流量、请求状态、请求次数等维度监控报表，支持下载监控报表；

3、支持安全访问，支持防盗链，支持通过设置 IP 黑白名单限制访问来源，支持 HTTPS 加密传输；

4、支持标准 S3 接口，使用通用 API 即可接入，支持上传、下载、删除或批量删除文件，支持分片上传，支持上传时设置对象元数据；支持跨域访问设置、http/https 设置；

5、支持通过图形化管理工具登陆连接对象存储；要求ak/sk/endpoint等多种验证方式；登陆后可创建桶、对象，支持进行上传下载删除等操作；

6、支持事件通知，当对象存储资源发生变动（如新对象上传、删除对象）时，可通过事件通知配置及时发送通知消息；

7、支持静态网站托管，支持通过控制台将 Bucket 配置成静态网站托管模式，并通过绑定的自定义域名访问；

8、支持图片处理，支持对图片文件进行处理如添加图片水印、转换格式等，支持图片缩放，可以通过图片缩放参数，调整媒体存储内存储的图片大小；

9、对象存储支持高可用，要求业务可用性不低于99.99%，数据存储持久性不低于99.99%；支持规模在线扩展， 支持多副本和纠删码冗余，可根据对象的重要程度选择不同的冗余方式；

10、要求同时具备块、文件和对象等多协议存储能力；要求支持NFS、CIFS、iSCSI等多种主流存储协议，与AWS S3协议完全兼容。

11、要求云服务提供商具备ISO 27036 供应链信息安全认证和ISO 27034 应用安全体系认证。

200

T

租用政务云存储

3

云安全服务

所提供的云安全服务涉及产品需符合国家网络信息安全等级保护（2.0）三级及以上标准，并确保运行平台通过三级及以上等保测评。提供6套云安全服务，用于云服务器的安全防护，并提供6台部署相应安全应用的云承载主机；

（一）云下一代防火墙服务

1、吞吐量（虚拟网卡/SR-IOV）≥2Gbps/10Gbps，最大并发连接数≥50万，每秒新建连接数（虚拟网卡/SR-IOV）≥2万/3万，提供IPSecVPN隧道数≥500条，并发SSLVPN用户许可≥100个，SSLVPN并发用户数支持扩展到100个；

2、支持通过扩展功能模块扩展防病毒功能、入侵防御功能、流量管控功能、僵尸网络检测功能、IP信誉功能、等安全功能；

3、支持防火墙策略重复与冗余规则检测、策略自学习、垃圾策略检测与清理；

4、需要具备网络链路或探测分析功能，以保障网络的可靠性，并具备链路可用性探测分析功能，要求支持通过不少于5种协议同时对某条链路状态进行探测分析监控；

5、要求具备源NAT转换支持公网IP可用端口扩展技术，要支持将单个公网ip可用端口扩大10-16倍；

6、具备根据流量进行深度分析，自动生成包含IP、端口、协议、应用的策略功能并支持自动或手动聚合；

7、具备云沙箱功能，支持PE文件类型的检测将疑似威胁数据上传到云端，通过沙箱来判断文件是否为恶意软件；

8、服务期内病毒库实时更新。

（二）云日志审计服务

1、日志处理能力：二进制日志入库速度≥30000EPS ；标准SYSLOG日志入库速≥4000EPS；

2、支持云服务器的可用性状态监控，包括vCPU、内存、硬盘（包括NFS存储）；支持各类型日志磁盘存储占比统计；支持各类型日志接收趋势统计；支持日志接收趋势统计；

3、支持通过以下种类进行日志浏览并可自定义查询条件，包括：事件日志、网络日志、配置日志、IPS日志、威胁日志、安全日志、会话日志、策略路由日志、NAT日志(含NAT444)、URL日志、IM（包含移动QQ、微信）上下线日志、论坛发帖日志、邮件日志、Ftp日志；

4、为满足细粒度的组合查询，支持多条件的组合查询功能、URL字段的全文检索功能、后台任务查询和邮件通知功能、查询条件记忆功能、查询条件的保持功能、分布式查询功能可指定一台主节点去查询从节点设备的日志，实现集中检索；

5、支持统计的报表内容包括：系统资源、设备日志条数排名、设备日志所用空间排名、日志条数排名、日志所有空间排名、源IP日志量排名、目的IP日志量排名、日志接收趋势排名、威胁攻击次数、会话日志APP访问量、URL访问量等排名；

6、支持日志备份功能，支持FTP和SFTP设置日志备份；支持日志导入、日志清理和日志转发；

7、为保证系统长时间正常运行，支持自动磁盘清理功能；支持NFS功能；支持分布式设置；

8、保存日志记录时长满足180天；

（三）云主机安全服务

1、支持从风险终端、病毒事件、行为事件、不合规终端四个维度统计展示安全状态；

2、支持展示最近7天/最近30天病毒事件趋势、最近7天/最近30天组织病毒事件Top5，最近7天/最近30天行为事件数量Top5和最近7天/最近30天组织行为事件Top5；

3、支持梳理全网资产软件信息（软件名称、软件版本、软件厂商、软件大小、关联终端数量），账号信息（终端名称、账号、终端IP、账号类型、权限、账号状态、最近修改密码、最近登录），网络信息（本地端口、协议、关联终端数量），进程信息（进程启动命令行、关联终端数量）。

4、支持配置资产信息登记策略，开启后终端用户可以在客户端输入相关信息上报。

5、支持检测勒索病毒、蠕虫病毒、灰色软件、压缩炸弹、黑客工具、木马病毒、挖矿病毒、恶意代码、风险软件、其它病毒。

（四）云堡垒机服务

1、支持第三方负载均衡，并支持集群自带的负载均衡模块。

2、无缝应用发布：要求以上所有图形化应用在实际操作环境中均可以正常使用且可自由调整应用的窗口大小，做到无缝发布，拖拽窗口应自然流畅，无卡顿现象，像是在本地运行应用程序一样。

3、内置应用发布中心，无需用户提供独立的服务器或者虚拟机。

4、为管理员和运维人员提供操作向导模式，方便用户进行设备管理和使用，智能判断操作系统版本及浏览器版本，自动判断当前最优的运维方式，运维向导设置第二步可选择运维方式是IE控件运维、运维助手。

5、在系统完成密码修改之后，自动进行新密码登录测试，以便进一步校验密码修改结果。

6、系统应具备审计到FTP/SFTP传输的原始文件，并可以在审计系统上进行备份并下载查看其具体内容。支持人工开关自由选择是否备份原文件。对大于一定大小的FTP/SFTP运维审计中的文件可进行异地转储，并可记录文件md5值，保障文件的完整性和有效性。字符运维命令返回值搜索和屏幕导出，支持搜索命令的返回值信息，并支持将屏幕信息导出为文本。

7、角色权限强制分离：要求堡垒机必须严格实现系统管理员、审计管理员、运维管理员三权分立，系统应内置独立的角色类型，且不允许同一用户账号同时具备两种及以上的三权角色权限

8、日志记录完整性参数：要求堡垒机对所有用户登录行为、资源访问过程、指令执行内容、权限变更操作等进行完整日志记录，日志内容字段至少包含事件发生精确时间、发起用户账号、目标资源地址、操作指令、事件执行结果、源 IP 等，并且针对图形化运维操作，需支持基于图像识别技术自动提取关键操作行为信息到日志中。对于所有运维会话，无论通过 SSH、TELNET、RDP、VNC 等任何协议，均需自动进行全程录像，录像内容应清晰还原运维人员操作画面、鼠标轨迹及键盘输入，支持以时间轴为索引进行录像回放定位。

9、保存时效：堡垒机需支持自定义日志和录像保存时长，要求保存时长不少于 180 天，

（五）云主机漏扫服务

1、端口扫描方式：支持TCP SYN扫描、connect扫描、TCP ACK扫描、UDP扫描、TCP FIN扫描、TCP NULL扫描、Xmas Tree扫描、idle扫描等。

2、支持对IIS、Websphere、Weblogic、Apache、Tomcat、Nginx等web服务器的安全监控扫描，包括可用性检测、内容篡改检测、敏感内容检测、网马暗链检测、钓鱼检测等不同维度。

3、支持输入Cookie信息和Cookie自动录制，进行登录扫描。

4、支持oracl、MySQLsqlserver等常见关系型数据库，支持Mongodb、Redis、Couchdb、Memcache等非关系型数据库。

5、支持常见操作系统、中间件、虚拟化平台、网络设备等对象的基线扫描。其中支持国产数据库达梦、人大金仓，国产操作系统深度、红旗、凝思。

6、支持多种渗透测试方法，如SQL注入（获取数据库、表、执行任意命令等）、子域名爆破、GNU Bash 远程代码执行漏洞、Struts 2 S2-005、Adobe ColdFusion 文件读取漏洞等。