9. 技术规格相关要求：

一、监控系统

监控系统网络安全技术建设方案

（1）总体建设方案

根据联网监控系统整体安全保护要求，****中心联网监控系统需要部署 1 台下一代防火墙、1 台流量探针、1 套日志审计系统。

（2）安全域划分

****中心联网监控系统结合现状，根据业务需求划分为 5 个安全域：

核心交换区、外联区、监控业务区、终端接入区和运维管理区。

1）核心交换区：连通内部各个区域之间的网络，提供数据交换服务。

2）外联区：提供互联网出口及视频上云出口，通过防火墙进行网络隔离。

3）监控业务区：用于监控业务数据处理，通过 VLAN 进行网络隔离。

4）终端接入区：用于监控终端设备接入，通过 VLAN 进行网络隔离。

5）运维管理区：部署运维管理终端及安全设备，提供统一高效的运维管理，通过 VLAN 进行网络隔离。

（3）目标拓扑图

1）下一代防火墙

外联区视频上云边界处部署 1 台下一代防火墙，进行视频上云区域边界隔离。

2）流量探针

在运维管理区部署流量探针。流量探针采集口连接到核心交换区交换机，采用端口镜像方 式采集流量，同时开启检测功能并记录日志，对网络中的攻击行为进行检测，并呈现在可视化 展示界面。流量探针管理口连接到运维管理区接入交换机，上报日志数据，实现维护管理。

3）日志审计系统

在运维管理区部署日志审计系统，通过 Syslog 等协议实现对服务器、数据库、中间件、网 络设备、安全设备、操作系统和应用系统所产生日志进行集中存放备份(备份不少于 6 个月);日 志审计系统设定针对业务环境下的网络操作行为进行细粒度审计，通过对业务人员访问系统的 行为进行解析、分析、记录、汇报，帮助用户事前规划预防，事中实时监视、违规行为响应，

事后合规报告、事故追踪溯源，同时加强内外部网络行为监管、促进核心资产（数据库、服务器、网络设备等）的正常运营。

流量探针

l 具备可视化展示功能；

l 标准机架式设备；

l 存储空间≥ITB、千兆电口≥2 个；

l 电源类型:交流双电源；

l 吞吐率≥2Gbps；

l 支持旁路部署模式，不影响原有组网拓扑结构；

l 能够对数据包抓取、数据包还原处理，对网络中的攻击行为进行检测，针对检测到的攻击行为的数据包抽取、上传，进行告警提醒，供进一步分析；

l 能够通过攻击行为监测引擎对网络中的攻击行为进行实时监测；

l 能够实现威胁情报信息和监测联动，对流量中的高危访问进行识别；

l 具备基于沙箱技术的动态检测能力，支持对未知威胁进行检测和告警；

l 流量探针数据格式需符合《高速公路联网收费系统网络安全态势感知平台体系对接暂行技术要求》 ；

l 提供三年原厂质保和所有检测模块规则库升级服务。

日志审计系统

l 标准机架式设备;

l 虚拟化部署，资产授权数≥50个；

l 千兆电口≥6 个;存储空间≥1TB;

l 平均每秒处理日志数(eps)最大性能:≥1200;

l 日志解码能力:能够通过解码工具，按照不同的解码方式解码成不同的目标内容， 支持的解码格式包括 base64、Unicode、GBK、 HEX、UTF-8;

l 自动过滤能力:自动过滤无用日志，满足根据实际业务需求减少采集对象发送到核 心服务器的安全事件数，减少对网络带宽和数据库存储空间的占用;

l 统计分析:支持自定义、多维度统计分析场景，支持统计分析的下钻与上卷，事件实时统计，查看统计结果时快速返回，统计结果以饼图、柱图等形式展示，可导出统计结果报表:

l 提供三年原厂质保和升级服务。。

下一代防火墙

l 采用标准机架式结构:

l 接口数量，千兆电口≥10 个，千兆光口≥6 个;

l 支持双电源:

l 整机吞吐量≥20Gbps、IPS 吞吐≥1.3Gbps

l 在同时开启防火墙、IPS、防病毒的情况下，最大并发连接数≥300 万每秒:

l **会话数 TCP **≥20 万，HTTP **≥15 万

l 支持基于源 IP、目的 IP、源区域、目的区域、MAC 地址、协议

l 端口等多种方式的访问控制:

l 持路由模式、交换模式、混合模式:

l 支持一对一、地址池等多种 NAT 方式:

l 具有全面的日志审计功能，支持 Syslog 等日志格式的输出:

l 支持硬件 bypass 功能、支持管理员双因素认证功能;

l 提供三年原厂质保和升级服务。

二、收费系统

收费系统网络安全技术建设方案

结合全省联网收费系统网络结构，部署分布式防病毒系统，组建两级管理结构。 ****中心，****中心所属计算机终端、防病毒管理，同时可监控全省计算机终端的的安全运营状态；****中心****收费站计算机终端和防病毒的管理。全省收费业务服务器及终端部署防病毒客户端，****中心分发，省中心定期从互联网升级，保持最新的升级文件，系统完成升级后，将自动通知网内所有客户端及服务器端升级。

分中心网络安全

安全通信网络

1）网络区域划分

根据《联网收费系统省域系统并网接入网络安全基本技术要求》：“应通过交换机或防火墙等设 施至少划分收费业务、收费站接入和运维管理等网络区域，并为各网络区域分配地址，应通过有效措施对各网络区域进行技术隔离”。****中心网络划分为 5 个区域：上联接入区、核心交换区、 收费业务区、收费站接入区和运维管理区。

2）区域边界隔离

根据《联网收费系统省域系统并网接入网络安全基本技术要求》对网络架构的基本要求，设计 采用 VLAN 和防火墙区域设置等技术手段，实现区域间隔离。

核心交换区部署 2 台防火墙进行区域间隔离，如图所示，设计防火墙需一个接口连接上联接入区 VPN 设备，一个接口连接核心交换机，并配置将两个接口放入不同的安全域内。收费业务区和运维管理区设置在核心交换机上按照连接接口不同，划分为不同 VLAN，对不同区域进行二层逻辑隔离。

3）通信传输

根据《联网收费系统省域系统并网接入网络安全基本技术要求》对通信传输的基本要求，设计****管理局颁发的商用密码产品型号证书的 VPN 设备防火墙实现安全通信传输。

上联接入区部署 1 台支持国产密码的 VPN，实现数据加密传输。****中心****中心之间采用环网连接。

在通信传输过程中，通过 SSL VPN 或者 IPSEC VPN 加密技术，实现通信过程中的整个报文或会话过程进行加密，通过 VPN 加密技术实现通信过程中数据的完整性和保密性。VPN 设备支持国产密码算法和证书。

安全区域边界

1）边界防护和访问控制

根据《联网收费系统省域系统并网接入网络安全基本技术要求》对边界防护和访问控制的基本 要求，通过在核心区防火墙设置访问控制列表，根据访问控制列表对源地址、目的地址、源端口、目的端口和协议等进行检查，仅允许需要通过的业务数据包出入，其他报文一律阻止。 防火墙配置为透明模式，之后按如下进行基础配置：

（1）区域划分：将不**全等级的接口划入到不同的安全域内。

（2）定义对象：定义地址对象和服务对象配置主机、范围、子网、地址组**和 TCP、UDP 等服务**。

（3）访问控制：访问控制策略配置（源：区域、地址，目的：区域、真实目的地址，服务：真实服务端口，权限：允许、禁止、收集），仅放行必须要通过的服务和流量，将其他流量一律阻断。

（4）日志审计：选择勾取配置管理、系统运行、访问控制、端口流量进行日志记录，可根据实际需求勾取记录其他类型日志。

防火墙完成基本边界防护和访问控制策略后，需按照《联网收费系统省域系统并网接入网络安全基本技术要求》相关****分中心和收费站需求的其他策略，如下：

根据“优化防火墙等安全设备的访问控制列表，删除多余或无效的访问控制规则，使访问控制 规则数量最小化”的要求，防火墙应设置在 WEB 界面上开启策略冲突检测功能，在出现策略冲突 时，能够在进行警告，辅助对访问控制列表进行优化。

根据“应能够对非授权设备私自联到收费网络的行为进行检查或限制，能够对收费网终端或用户非授权连接到外部网络的行为进行检查或限制”的要求，****中心终端安全管理系统，通 过终端安全管理系统配合交换机设置准入控制检查，所有终端或用户连接到内部网络时，应先进行认证，认证通过方可接入，否则将进行限制。且当内部终端或用户连接到外部网络时，应及时在终 端安全管理系统内进行告警。

2）恶意代码防范

根据《联网收费系统省域系统并网接入网络安全基本技术要求》对恶意代码防范的基本要求， ****中心防火墙上启用防病毒功能模块，通过防火墙防病毒模块对流经的流量进行细 粒度分析防护，实现恶意代码防范功能。

3）入侵防范

通过入侵检测系统对流量的实时分析，及时发现网络中由内部像外部的入侵行为，以及由外部 向内部的入侵行为，并配合日志审计系统定期对防火墙日志进行审核分析，完成对入侵行为的防范。

4）安全审计

日志审计系统设定针对业务环境下的网络操作行为进行细粒度审计，通过对业务人员访问系统 的行为进行解析、分析、记录、汇报，帮助用户事前规划预防，事中实时监视、违规行为响应，事 后合规报告、事故追踪溯源，同时加强内外部网络行为监管、促进核心资产（数据库、服务器、网 络设备等）的正常运营。

安全计算环境

基于安全区域边界的防护设备和措施，****中心通过设置防火墙、日志审计实现安全审计、访问控制、入侵防范；通过在交换机中配置访问控制列表或通过防火墙设备安全配置加固 方式实现访问控制；通过设置终端安全管理系统对非法内联和非法外联行为进行管控；关键业务数 据****中心进行存储，满足数据备份恢复的要求；通过设置服务器操作系统策略实现剩余信息保护要求。

收费站网络安全

收费站系统根据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）技 ****运输部《联网收费系统省域系统并网接入网络安全基本技术要求》以及其他相关管理制度、标准规范开展建设，从安全管理和安全技术两方面进行，梳理指**全管理制度，对人员、机构、系统建设、运维多方面加强管理建，****收费站工作环境。

区域边界隔离

根据《联网收费系统省域系统并网接入网络安全基本技术要求》对网络架构的基本要求，设计采用 VLAN 和 ACL 等技术手段，实现区域间隔离。

收费站部署 2 台综合应用网关设备进行区域边界隔离。综合****分中心和收费站之间采用环网连接， 基于业务和流量扩展考虑，综合应用网关需启用防火墙、入侵防御、VPN 和病毒过滤模块。

通信传输

综合应用网关上启用支持国产密码的 VPN 功能，实现数据加密传输。综合应用网关需配置为透明模式，采用 SSL VPN 或者 IPSEC VPN 的加密方式进行加密传输。实现通信过程中的整个报文或会话过程进行加密，实现通信过程中数据的完整性和保密性。设备支持国产密码算法和证书。

安全区域边界

1）边界防护和访问控制

综合应用网关按照《联网收费系统省域系统并网接入网络安全基本技术要求》相关要求进行 ****收费站需求的其他策略，如下：

根据“收费专网应严格禁止无线局域网络的使用”的要求，为防止用户私接无线路由器、随身 WIFI 等设备产生安全隐患，综合应用网关应设置启用防共享接入功能，能够有效识别、报警或阻 断局域网网络共享行为。

根据“优化防火墙等安全设备的访问控制列表，删除多余或无效的访问控制规则，使访问控制 规则数量最小化”的要求，综合应用网关应设置在 WEB 界面上开启策略冲突检测功能，在出现策略冲突时，能够进行警告，辅助对访问控制列表进行优化。根据“应能够对非授权设备私自联到收费网络的行为进行检查或限制，能够对收费网终端或用户非授权连接到外部网络的行为进行检查或限制”的要求，****中心部署的终端安全管理系统，通过终端安全管理系统配合交换机设置准入控制检查，所有终端或用户连接到内部网络时，应先进行认证，认证通过方可接入，否则将进行限制。且当内部终端或用户连接到外部网络时，应及时在终端安全管理系统内进行告警。

2）恶意代码防范和入侵防范

综合应用网关上启用防病毒功能模块实现恶意代码防范功能完成对入侵行为的防范。

3）安全审计

日志审计系统设定针对业务环境下的网络操作行为进行细粒度审计，通过对业务人员访问系统 的行为进行解析、分析、记录、汇报，帮助用户事前规划预防，事中实时监视、违规行为响应，事 后合规报告、事故追踪溯源，同时加强内外部网络行为监管、促进核心资产（数据库、服务器、网 络设备等）的正常运营。

安全计算环境

基于安全区域边界的防护设备和措施，收费站可通过设置综合应用网关、防火墙并配合路段 分中心的日志审计系统实现安全审计、访问控制、入侵防范；通过在交换机中配置访问控制列表 方式实现访问控制；****中心终端安全管理系统实现对非法内联和非法外联行为进行管控；关****分中心****中心进行存储，满足数据备份恢复的要求；通过设置服 务器操作系统策略实现剩余信息保护要求。

防火墙

技术指标：

n 4 个千兆电口，4 个千兆光口，标准 IU 设备，三层吞吐量不低于 5G，并发连接数不低于 180W；

n VPN 支持隧道不低于 1000；

n 不限制终端用户数量；

部署方式：

n 支持链路聚合功能；

n 支持端口联动功能，当上行/下行端口链路出现故障时，对应的另一端上行/下行端口自动切断链路；

n 支持 802.1Q VLAN Trunk、access 接口，VLAN 三层接口，子接口；

基础功能：

n 支持连接会话展示，可针对具体的 IP 地址进行会话详情查询，支持封锁异常会话信息，并支持设置监听具体 IP 的会话记录；

n 访问控制规则支持基于源/目的 IP，源端口，源/目的区域，用户（组），应用/服务类型，时间组的细化控制方式；

n 访问控制规则支持失效规则识别，如规则内容存在冲突、规则生效时间过期、规则超长时间未有匹配等情况。

内容安全：

n 支持 URL 过滤和文件过滤功能，URL 过滤支持 DET，POST 请求过滤和 HTTPS 网滤，文件过滤支持文件上传和下载过滤；

n 入侵防护漏洞规则特征库数量在 4000 条以上；

n 支持对常见应用服务（HTTP、FTP、SSH、SMTP、IMAP）和数据库软件（MySQL、Oracle、MSSQL 的口令暴力防破解功能）；

n 具备防护常见网络协议（SSH、FTP、RDP、VNC、Netbios）和数据库（MySQL、Oracle、MSSQL）的弱密码扫描功能；

n 支持 TTL 合法性检测，防止利用 TTL 过期进行绕过；

n 支持管理员权限分级，支持安全管理员、审计员、系统管理员三种权限。

10.结算支付方式：每月11日买卖双方核对供货数量并办理结算手续，卖方向买方提供13%增值税专用发票（一票制）后30个工作日内支付该批物资货款的85%；安装调试并经验收合格后支付当期结算货款总额的百分之十；剩余5%的货款在买方项目交工验收合格后3个月内付清。****银行转账、电汇、银行承兑及E****银行产品；且银行产品支付比例不低于合同金额的50%，贴息费由卖方承担；若因卖方不及时办理结算及开具发票，而造成付款迟延的责任由卖方自行承担。卖方应具有一定的风险承受能力，对资金支付与使用可能出现的各种不利因素，已做出了合理的安排和保证，在合同履行过程中，如因业主拨付工程款不及时导致我方资金紧张，卖方应给予充分理解，同意不追究逾期付款的违约金、利息及各项损失费用。

11.其他要求：

（1）中标单位需要缴纳中标金额的10%的履约保证金，方式为现金转账，供完货一个月内返还。

（2）以上物资材料预计数量、型号应以买方实际收货数量为准。

（3）实际供货时间以买方发货订单的时间为准。

（4）以上物资采用固定单价投标及结算。