编号

工程或费用名称

单位

数量

功能/性能要求

三

信息化工程

(一)

通信及网络系统

1

网络传输系统

防火墙

套

9

****水库，泵站，调度中心，分中心各1套

设备类型：企业级防火墙；网络端口：5个GE口；控制端口：1个配置口（CON），1个MIM插槽，可通过该插槽扩展网络接口；VPN支持：L2TP VPN、GRE VPN、IPSec/IKE、SSL VPN；入侵检测： 支持对黑客攻击、蠕虫/病毒、木马、恶意代码、间谍软件/广告软件、DoS/DDoS常等攻击的防御、支持缓冲区溢出、SQL注入、IDS/IPS逃逸等攻击的防御、支持对BT等P2P/IM识别和控制、支持攻击特征库的分类（根据攻击类型、目标机系统进行分类）、分级（分高、中、低、提示四级）；管理：命令行接口、支持标准网管 SNMPv3，并且兼容SNMP v2c、SNMP v1、支持NTP时间同步、支持Web方式进行远程配置管理、支持SNMP、TR069网管协议

▲实际每台防火墙配置8个GE口，2个Combo接口

▲每台配置TI/ACG/IPS/URL/AV特征库升级授权3年

路由器

套

9

****水库，泵站，调度中心，分中心各1套

转发性能： 不低于2.5Mpps

带机量： 不低于50台PC

固定接口： 不低于336********370b670c80a4cdec28be98* Combo）

支持模块扩展基础功能 DHCP server/client/relay，PPPoE server/client，PPPoAserver/client，PPPoEoA server/client，NAT，子接口管理

WLAN接入口： 不少于4个100/1000Mbit/s RJ45端口WAN接入口： 4个100/1000Mbit/s RJ45端口

LAN接入口： 不少于4个100/1000Mbit/s RJ45端口

具备网络管理能力，支持QoS、支持VPN、所有业务板卡支持热插拔。

▲支持Web cache技术，减少设备到服务器的访问流量、降低传输成本、缓解目的端服务器压力，同时提高了用户访问网站的速度及响应时间，增强了用户体验。提供带CNAS或CMA章的测试报告证明

▲为确保后续IPv6改造后的网络安全，设备需支持IPv6-IPv6报文前缀转换，提供带CNAS或CMA章的测试报告证明

通信前置机

套

3

****中心各1套

2个64位处理器(核心数量8个及以上，额定运行频率3.5Ghz以上)

64GB或以上ECC内存，支持双通道或以上DDR4/DDR5内存

配置512GB或以上NVME硬盘及2个2TB以上SAS热插拔硬盘

独立3D图形加速卡

2个100/1000-以太网卡

至少4个USB3.0以上接口

具备至少2个备用SATA接口或SAS接口

配有Windows或国产操作系统及丰富的、成熟的系统软件、接收软件。

北斗卫星通信接收终端

套

3

含接收软件

****中心各1套

北斗通信费

套

20

不含视频数据的点位，40G/年

2

局域网络设备

控制区工业以太网交换机

套

9

****水库，泵站，调度中心，分中心各1****水库，泵站，调度中心，分中心各1套

▲单台背板处理能力 不低于128Gbps

工作温度 -40℃至70℃

安装高程 1324~2240m

运输/存储温度 -40 到 +70 °C

工作湿度 ＜95%，无凝结

三层企业级交换机

支持QoS功能

支持SNMP（V1 、V2c、V3）网络管理功能

支持IGMP Snooping

支持广播/组播/单播限制

网管软件要求：

支持VLAN 配置管理

支持Web页面不间断监控

支持安全配置管理

支持组播配置管理

支持设备配置管理

支持SNMPv3

支持万兆扩展

24口

提供光模块（支持多模或单模）

▲设备支持24个千兆电口4个100M/1000MBASE-X SFP端口，8个100M/1G/10G SFP+端口

▲设备支持OSPF三层功能，IPv4/IPv6双栈功能，提供带CNAS或CMA章的测试报告证明

管理区工业以太网交换机

套

9

****水库，泵站，调度中心，分中心各1套

▲单台背板处理能力 不低于不低于128Gbps

工作温度 -40℃至70℃

安装高程 1324~2240m

运输/存储温度 -40 到 +70 °C

工作湿度 ＜95%，无凝结

三层企业级交换机

支持QoS功能

支持SNMP（V1 、V2c、V3）网络管理功能

支持IGMP Snooping

支持广播/组播/单播限制

网管软件要求：

支持VLAN 配置管理

支持Web页面不间断监控

支持安全配置管理

支持组播配置管理

支持设备配置管理

支持SNMPv3

支持万兆扩展

24口

提供光模块（支持多模或单模）

▲设备支持24个千兆电口，4个100M/1000MBASE-X SFP端口，8个100M/1G/10G SFP+端口

▲设备支持OSPF三层功能，IPv4/IPv6双栈功能，提供带CNAS或CMA章的测试报告证明

▲支持工业协议profinet被监控和管理，用于上位机组态软件统一化管理，提供带CNAS或CMA章的测试报告证明

管理区工业以太网接入交换机

套

6

****中心各2台/套

单台背板处理能力 不低于48Gbps

工作温度 -40℃至70℃

安装高程 1324~2240m

运输/存储温度 -40 到 +70 °C

工作湿度 ＜95%，无凝结

支持QoS功能

支持SNMP（V1 、V2c、V3）网络管理功能

支持IGMP Snooping

支持广播/组播/单播限制

网管软件要求：

支持VLAN 配置管理

支持Web页面不间断监控

支持安全配置管理

支持组播配置管理

支持设备配置管理

支持SNMPv3

支持万兆扩展

3

网络安全设备

日志审计、终端管理授权服务器

台

1

****中心

4个千兆电口，1个console口；内存：16GB，磁盘：2T*2 raid1；双电源；产品采用CF卡启动；内存可扩展至32GB；单个磁盘可扩展至4T(4个盘位)；支持HBA卡扩展；网口可扩展（4电4光、8电、8光、2万兆光）

▲支持审计>=1000个日志源； 每秒日志解析能力>=8000条；峰值处理能力>=12000。

支持Syslog、SNMP Trap、OPSec、FTP协议日志收集；

支持使用代理(Agent)方式提取日志并收集；

支持目前主流的网络安全设备、交换设备、路由设备、操作系统、应用系统等；

支持常见的虚拟机环境日志收集。

入侵检测

套

3

****中心各1套

▲（1）支持10/100/1000BASE-SX/1000BASE-T以太网接口，千兆接口不小于2个(提供的配置中至少包含两个GE多模850nm波长光模块)；

（2）能监控的最大TCP并发连接数不小于120万；

（3）能监控的最大HTTP并发连接数不小于80万；

（4）连续工作时间（平均无故障时间）大于8万小时；

（5）吞吐量不小于2Gbps。

（6）控制台服务器性能不低于“5服务器主要性能要求和技术指标要求”中的要求。

数据中心防火墙

台

3

****中心各1台/套

设备类型：企业级防火墙；网络端口：5个GE口；控制端口：1个配置口（CON），1个MIM插槽，可通过该插槽扩展网络接口；VPN支持：L2TP VPN、GRE VPN、IPSec/IKE、SSL VPN；入侵检测： 支持对黑客攻击、蠕虫/病毒、木马、恶意代码、间谍软件/广告软件、DoS/DDoS常等攻击的防御、支持缓冲区溢出、SQL注入、IDS/IPS逃逸等攻击的防御、支持对BT等P2P/IM识别和控制、支持攻击特征库的分类（根据攻击类型、目标机系统进行分类）、分级（分高、中、低、提示四级）；管理：命令行接口、支持标准网管 SNMPv3，并且兼容SNMP v2c、SNMP v1、支持NTP时间同步、支持Web方式进行远程配置管理、支持SNMP、TR069网管协议

▲实际每台防火墙配置8个GE口，2个Combo接口

▲每台配置TI/ACG/IPS/URL/AV特征库升级授权3年。

上网行为管理

台

1

****中心

▲流量管理吞吐量600Mbps，最大并发连接数120万，最**建连接数5000个/S，最大策略数 512接口，

网络接口4电千兆，支持独立管理网口，支持独立HA网口，USB接口数1，RS232串口(RJ45)1，

旁路模块，面板硬件bypass按钮支持，内置电口旁路模块支持(一组，E0/E1)，

存储硬盘500G

▲设备配置3年应用识别特征库升级授权，1年无线非经授权

▲支持花生壳DDNS客户端以及域名IP绑定功能，并提供web配置界面截图证明

▲支持全局WAB攻击防护分析，按趋势图呈现攻击次数，攻击类型分部、被攻击TOPURL；支持基于防护策略的精准访问控制匹配次数、防盗链、SCRF、CC攻击防护统计等，提供界面截图证明

数据库审计

台

1

****中心

数据库审计系统能够对业务网络中Oracle、SQL-Server、DB2、Informix、Sybase、MySQL、PostgreSQL、Cache、达梦等数据库进行全方位的安全审计, 数据库审计数量不受限制。具体包括：

（1）数据访问审计：记录所有对保护数据的访问信息，包括主机访问、文件操作、数据库执行SQL语句或存储过程等。系统审计所有用户对关键数据的访问行为，防止外部黑客入侵访问和内部人员非法获取敏感信息。

（2）数据变更审计：统计和查询所有被保护数据的变更记录，包括核心业务数据库表结构、关键数据文件的修改操作等等，防止外部和内部人员非法篡改重要的业务数据。

（3）权限操作审计：统计和查询所有用户的登录成功和失败尝试记录，记录所有用户的访问操作和用户配置信息及其权限变更情况，可用于事故和故障的追踪和诊断。

（4）数据库安全：支持对SQL注入、跨站脚本攻击等web攻击的识别与告警。

漏洞扫描

台

1

****中心

（1）产品扫描信息应包括主机信息、用户信息、服务信息、漏洞信息等内容。投标人需给出各类扫描信息的详细列表。

（2）产品应支持对扫描对象安全脆弱性的全面检查，如安全补丁、口令、服务配置等。请详细描述针对主机和网络的扫描类别及项目。

（3）产品漏洞库应涵盖目前的安全漏洞和攻击特征，漏洞库具备CNCVE、CVE和BUGTRAQ编号。

（4）应可对Windows系列、Linux、AIX、HPUX、IRIX、BSD、solaris等目标主机的系统进行扫描。

（5）支持SNMP等协议的漏洞检测。投标人需提****设备厂商IOS列表。

（6）支持主流数据库的检测，应包括但不限于：Oralce、Sybase、SQLServer、DB2等。

（7）支持Windows域环境扫描，可针对目标主机的系统配置缺陷及漏洞进行扫描。

（8）支持多主机、多线程扫描和断点续扫功能。

（9）支持动态的显示扫描结果和实时的查看扫描结果

（10）投标人需说明产品授权方式，产品是否需要与网卡等硬件绑定或需要原厂提供KEY的管理。

▲（11）产品应能提供扫描IP范围的管理功能。

（12）投标人需说明产品授权方式，产品是否需要与网卡等硬件绑定或需要原厂提供KEY的管理。

▲（13）系统应支持针对工控专用设备包括PLC、SCADA、DCS、工控专用网络设备的漏洞扫描。提供截图证明

▲（14）具备工信部公开测试机构颁发的《网络产品IPv6支持检测》证书

安全隔离设备

台

2

****中心

▲(1) 要求为硬件物理隔离，具备硬件物理隔离部件，系统采用“2+1”架构设计，包括内端机、外端机和独立的硬件隔离信息交换区。

(2) 采用专用隔离芯片设计，不支持通用通讯协议，不可编程，隔离区包含基于ASIC设计的电子开关隔离芯片，不采用SCSI、网卡以及任何加/解密等方式。隔离区信息交换采用DMA方式实现。

(3) 设备断开内外网网络TCP/IP连接。

▲(4) 系统带宽：>600Mbps，内部交换带宽>5Gbps。

(5) 接口要求：4个10/100/1000M以太网接口；一个RS232串行控制接口。

(6) 系统性能：并发连接会话数 >20000。

(7) 系统延时：<1ms。

(8) 电源冗余“1+1”。

网络审计系统

台

1

****中心

不少于6个千兆RJ45电口和不少于1个串行接口，支持1个扩展插槽，扩展模块可选；

▲4个千兆电口；4个千兆SFP接口；2个千兆电口2个千兆SFP接口；

220V AC供电，冗余电源，不少于2个USB2.0接口，X86架构，无风扇散热，支持宽温设计，工作温度-25℃~55℃，0%~95%（无冷凝），IP40。

帐户集中管理系统（堡垒机）

套

1

****中心

支持对unix**、网络**、windows**、数据库**、C/S**、B/S**、中间件**等资产的运维审计，支持SSH、TELNET、FTP、SFTP、VNC、XWINDOW、RDP等协议，

▲支持对网络设备、主机设备的定期自动密码修改，支持对运维对象账号密码的统一管理、统一认证，可记录字符运维过程的所有字符指令，支持图形**的运维审计，可记录键盘、剪切板等内容，支持基于角色的三权分立，保证账号权限的最小化，支持对运维对象的一键单点登录功能，

▲支持双因子认证功能，支持脚本的自动定期执行，支持第三方运维的运维流程审批，支持双机热备。

统一监管平台

套

1

****中心

最少管理30**全设备和500个工业卫士客户端1U机箱，最少8个千兆电口，2T SATA硬盘。

1、日志管理：支持安全事件和日志数据的存储、查询。记录监管平台登录日志，监管平台操作日志，配置管理日志、并支持日志数据查询、导出和删除。（需提供相应产品截图并加盖公章）

▲2、支持对安全设备、工控设备和网络设备的实时监控功能，可查看设备的实时状态,如设备在线信息展示、掉线的状态的告警显示。可应对每秒2000条事件同时上报。

3、设备管理：支持安全设备、工控设备、网络设备和安全卫士主机资产的管理功能。

▲支持对设备进行策略查看、策略备份和策略复制，以及对多台设备进行安全策略统一配置

负载均衡

套

1

****中心

▲固定接口≥16个千兆电口，≥12个千兆光口，≥4个万兆光口

▲接口扩展槽≥4；硬盘扩展槽≥2

▲整机吞吐量≥3Gbps

▲支持HTTP CARP哈希、源IP地址CARP哈希、源IP地址和端口CARP哈希、目的IP地址CARP哈希算法，当服务池中的某个服务器故障时，只有故障服务器上的业务流量重新HASH调度，正常服务器上负载的业务不重新进行HASH，将业务系统的震荡降到最低（提供设备操作界面截图证明材料)

▲支持MySQL、Oracle、AntDB、TDSQL等主流数据库内容级别的健康检测，通过模拟真实用户进行数据库查询，主动分析并判断查询结果是否正常，若返回内容符合预期,则认为该数据库状态正常，否则数据库状态异常（提供设备操作界面截图证明材料)

杀毒软件

套

1

不少于100个点位，5年病毒路更新；共用

服务器柜

台

3

****中心

KVM

台

1

****中心