关于“校园网络及网络安全”采购方案征集公告
一、征 集 人:泉州市高级技工学校
二、项目名称:校园网络及网络安全建设采购及服务
三、项目需求:详见附件
四、征集内容:项目实施方案设计及预算
五、提交材料
1.采购清单
序号 | 名称 | 规格及技术参数 | 单位 | 数量 | 单价 (元) | 总额 (元) |
1 |
2.方案优化配置、合理性说明材料
六、工作要求
1.所有熟悉该类项目建设的公司、机构均可参与方案设计。
2.有意向者请于即日起至2018年10月17 日(节假日除外),每日上午8:30—11:30,下午15:00—17:00(北京时间)将设计好的方案密封后(一式五份)交至泉州市丰泽区博东路251号泉州市高级技工学校办公室,设计方案电子版发至邮箱qzsgjjgxx@126.com,联系人:吴聪毅、李丽红 ,电话********查看详情。
3.方案评审由征集人组织有关人员进行评审。
4.本次征集递交的方案所有权归属征集人,且征集人不支付任何设计所需的费用。解释权归征集人所有,最终上报采购方案与此次征集无关。
附件:泉州市高级技工学校校园网络及网络安全建设采购要求
泉州市高级技工学校
2018年10月9日
附件:
泉州市高级技工学校校园网络及网络安全建设采购要求
一、项目建设内容
1.网络安全设备
2.千兆网络到桌面
3.无线网络全覆盖?中国采招网(bidcen ter.com.cn)
二、建设目标
(一)网络安全设备
1.防火墙:保障安全稳定有效的防止外部网络攻击,能精确分类和辨识各种风险的应用,根据不同风险等级制定不同的安全策略,及时准确的识别和拦截各种威胁攻击,保障网络我校应用的安全性,需通过中国信息安全测评中心根据“GB/T 18336-2015 《信息技术 安全技术 信息技术安全评估准则》”的测评,并达到最高级别,要求后期必须同步更新服务。
2.上网行为管理器:对学校内上网进行监控,防止网络浏览不健康网站和发表不当言论等功能。为保证安全设备的兼容性、稳定性及有效性,便于管理、统一部署规划要求防火墙和上网行为管理器需为同一品牌。
3.学校入网光纤统一管理:将学校入网的三条光纤(电信100M,90M各一条、移动50M一条)移至同一机房,通过防火墙和上网行为管理器统一管控,统一部署在3号楼5楼。
(二)千兆网络到桌面
1.基于三层交换网络架构。主机房布置三层核心交换机
2.校园建筑物间利用光纤连接,因原监控网络布线时,已预留12芯光纤线,大部分可以利旧,但应将原环状网络结构改为星状网络结构,增加从3号楼到4号楼、7号楼光纤和3号楼到操场车间建筑内机柜共计3条光纤。
3.办公区域网络线都按六类线进行综合布线,每台电脑专线到楼层交换机,通过划分VLAN进行网络管理。
4.楼层交换机按六类线布线到每台办公电脑(千兆网到桌面)。
5.在学生宿舍、实训车间的每座楼合适位置预留一个网络接口位。
(三)无线网络全覆盖
1.实现校园内建筑物中无线网络全覆盖。
2.无线ap支持多种准入认证,拟采用:账号口令一次认证+mac地址绑定,在固定周期内,不需要重新认证。账号密码由学校统一提供,通过读取OA系统的教师信息库和学生信息库自动生成。
3.支持较高水平的无线加密方式。
4.支持全网漫游,用户在校园内任意建筑物位置移动时,网络应不中断。
5.无线网络与有线网络应实现有效物理或逻辑隔离,防止黑客入侵办公网络。
三、设备参数要求
序号 | 产品分类 | 性能需求 | 数量 |
1 | 防火墙 | 1.机型≥2U,含交流冗余电源模块, RJ45串口≥1, RJ45管理口≥1,USB接口≥2, GE电口(Bypass)≥6,接口扩展槽位≥1。网络层吞吐量≥6Gbps,应用层吞吐量≥2Gbps,最大并发会话数≥400万,支持最大带宽≥1Gbps。含传统防火墙、流量管理、应用管理、IPSec VPN、资产识别功能。为保证安全稳定有效的防止外部网络攻击,保障我校应用的安全性,能精确分类和辨识各种风险的应用,根据不同风险等级制定不同的安全策略,及时准确的识别和拦截各种威胁攻击;需通过中国信息安全测评中心根据“GB/T18336-2015 《信息技术 安全技术 信息技术安全评估准则》”的测评,并达到防火墙产品的最高级别EAL4+级,需提供相关证明文件。 2. 功能:支持应用识别和控制,应用识别、过滤,自定义应用,未知应用识别,用户身份识别,日记记录和统计报表,时间关联分析。支持一体化策略与控制:一体化配置策略。提供应用层防护、入侵防护、防病毒功能。支持内网资产风险识别:资产风险识别,安全加固方案指导及实施,资产风险持续评估等功能模块。 | 1 |
2 | 上网行为管理 | 1. 机型≥1U,含交流单电源模块,千兆电口数量≥10,光电复用口(Combo)数量≥4,硬盘容量≥500G。网络吞吐量≥3Gbps,应用吞吐量≥2Gbps,每秒新建连接数≥2万,最大并发连接数≥50万。支持用户行为审计、SSL加密内容审计、防私接路由、应用缓存等等模块功能。为保证安全设备的兼容性、稳定性及有效性,便于管理、统一部署规划要求防火墙和上网行为管理器需为同一品牌。 | 1 |
3 | 多业务无线控制器 | 1.可管理AP数≥32个,最大可管理AP数≥512个(集中转发),整机支持千兆电口数≥16;千兆光复用口数≥4个,配置AP管理授权≥64个,认证用户授权≥2000个;为保障无线网络的可靠性,设备支持双电源冗余,内置SSD硬盘≥128G,支持硬盘扩展,进行本地日志存储,硬盘支持热插拔。 2.支持本地认证功能,支持微信连wifi认证,支持使用用户名密码+手机号及短信获取的6位数随机校验码作为认证要素进行双因子认证;支持与多种第三方身份中心对接,支持昵称认证,支持来宾用户通过输入手机号码认证。 | 1 |
4 | 放装AP | 1.支持标准的802.11acwave2协议,采用双路双频设计,可同时工作在802.11ac和802.11a/b/g/n模式;支持2条空间流,单频最大接入速率867Mbps,整机最大接入速率1167Mbps;支持mu-mimo特性;发射功率≤20dBm。 2.在高密度场景下,设备仍可以保证高时延业务的需求,可支持终端流畅播放视频≥120台。为保证AP下各用户均能获得良好的用户体验,在不限速场景下,采用非统一型号终端进行多用户场景测试,统计每个sta的性能,方差小于10。为保证在干扰源较多的2.4G频段下的性能,所投产品应具备较好的抗同频干扰能力。10米内,AP在同频干扰下性能不小于极限性能的50%;在邻频干扰下性能不小于极限性能的80%。 | 52 |
5 | 高密AP | 1.采用三路双频设计,一个2.4GHz/5GHz可变射频卡,两个5GHz射频卡;10/100/1000Base-T以太网上联端口≥2个,其中支持IOT扩展≥1个;支持蓝牙4.0(内置)支持苹果iBeacon协议,可扩展摇一摇等丰富的蓝牙应用,可应用于蓝牙定位应用.全尺寸USB接口≥1个;支持虚拟AP≥32个。 | 3 |
6 | 面板AP | 1.支持标准的802.11acWave2协议,采用双路双频设计,可同时工作在802.11acWave2和802.11 b/g/n模式;支持mu-mimo;支持空间流≥2条,2.4GHz单频最大接入速率300Mbps,5GHz单频最大接入速率867Mbps,整机最大接入速率1167Mbps。 2.支持独立的4GELAN口+ 1个有线逃生口,总计5个下行口;考虑安装后的美观度,安装后突出墙面部分不得超过24mm(厚度);考虑安装后的美观度,面板AP外露墙体部分尺寸不得超过120mm*86mm(长*宽);为保证用电安全与电源的易获得性,提供DC 5V本地电源供电接口。设备能适应较恶劣的高低温气候,工作温度:0°C~45°C;设备的外壳可以更换颜色,并提供不少于4种的颜色方案选择。支持双重防盗(固资保护)1)防盗螺钉;2)公钥+锁条(选配件);支持胖/瘦AP两种工作模式的切换,在瘦AP工作模式时,AP与控制器之间采用国际标准的CAPWAP协议通信。 | 2 |
7 | 核心交换机 | 1.整机主控引擎插槽≥2个,业务插槽≥6个;交换容量≥88T,包转发性能≥28000Mpps;整机ARP表项≥20K;整机MAC表项≥64K。配置双引擎,双电源,单板卡配置≥24端口千兆以太网光口(SFP,LC),≥12端口千兆以太网电口复用(RJ45),≥4端口万兆以太网光口(SFP+,LC)。设备具备端口防雷能力≥6KV。 2.单槽位能够同时提供千兆光口、千兆电口、万兆光口,非复用端口,且实际可用端口总数≥52,提高槽位利用率和业务可靠性。 3.支持sFlow网络监测技术,支持提供完整的第二层到第四层信息,可以适应超大网络流量环境下的流量分析,让用户详细、实时地分析网络传输流的性能、趋势和存在的问题。支持软件定义网络SDN,符合OpenFlow 1.3协议标准,支持SDN和SDN Ready功能。支持专门针对CPU的保护机制,能够针对发往CPU处理的各种报文进行流量控制和优先级处理,保护交换机在各种环境下稳定工作。 4.为了保障核心交换机的稳定性,避免遭受各类非法攻击导致全网瘫痪。要求设备支持基础安全保护策略,提供交换机防攻击功能,在受攻击情况下,保护系统各种服务的正常运行,以及保持较低的CPU负载,从而保障整个网络的稳定运行。 | 1 |
8 | 24口交换机 | 1.配置千兆电口数量≥24,千兆非复用SFP口≥4;最大可同时使用端口≥28个;交换容量≥3.36T;包转发率≥120Mpps。MAC地址表容量≥16K。 2.支持抗攻击功能,在交换机端口启用802.1X和WEB认证功能的前提下,支持DHCP抗攻击、ICMP抗攻击、防IP防扫描攻击等功能。为了避免强雷雨天气,设备遭受雷击损坏,支持抗雷击≥10KV。 3.为保证设备兼容稳定性,要求与核心交换机为同一品牌。 | 1 |
9 | 48口交换机 | 1.配置千兆电口数量≥48,千兆非复用SFP口≥4;最大可同时使用端口≥52个;交换容量≥3.36T;包转发率≥166Mpps;MAC地址表容量≥16K。 2.支持ARP防欺骗的功能,在交换机端口启用802.1X和WEB认证功能的前提下,能够禁止非法用户的ARP欺骗报文,保护合法用户免受其害,防止合法用户的数据被窃取;支持终端用户安全防护功能,在交换机端口启用802.1X和WEB认证功能的前提下,支持认证端口配置IP地址过滤、ACL;支持认证通过后,自动进行IP+MAC+端口绑定或IP+MAC绑定;支持认证通过后,防源IP地址欺骗功能;支持认证通过后,多播源IP/源端口检测,防止非法组播源。 3.为保证设备兼容稳定性,要求与核心交换机为同一品牌。 | 3 |
10 | 8口POE交换机 | 1.千兆电口≥10个,SFP口≥2个,最大可用千兆端口≥12个;交换容量≥330Gbps;包转发率≥80Mpps;MAC地址表容量≥16K。 2. 为保证设备兼容稳定性,要求与核心交换机为同一品牌。 | 4 |
11 | 24口POE交换机 | 1.交换容量≥3.36T ,转发性能≥120Mpps ;固化10/100/1000M以太网端口≥24,固化SFP非复用口≥4个;MAC地址≥16K,ARP表项≥1000条,FIB表项≥500;防雷等级≥6KV ;单端口POE输出功率≥60W。所有电口支持POE和POE+远程供电,POE+同时可供电端口数≥12个,整机POE功率输出≥370W;产品支持面板自带一键查看POE供电状态功能,可通过同一品牌的前端适配器实现常见的AC 24V、DC 12V等规格的非POE终端远程供电。 2.为提升设备适应环境的能力,保证寿命更长,要求所投产品必须涂装三防漆,充分提升设备防腐蚀能力,符合GB-T2423.51-2000标准。 | 3 |
12 | 光模块 | 1.1000BASE-LX mini GBIC转换模块(1310nm) | 30 |
13 | 六类网线 | 1.六类非屏蔽网线,拉丝成型一体、实时在线检测技术,有效保证了芯线的同心度,提高产品的回波损耗;绝缘采用低介电常数的进口优质HDPE料、优化设计线对节距,减少衰减;4对非屏蔽双绞线采用“十字骨架”隔离技术,最大化增加线对间距离,保持线对之间精确的平衡对称性,更好的减少了线对间串扰,获得更好的产品性能。为保证系统的稳定性,通过六连接信道链路与永久链路的认证测试,提供第三方权威检测机构信息产业部产品质量监督检验中心的产品检测报告。获得欧洲CPR认证、美国UL阻燃等级CM/CMR认证,产品采用绿色环保材料,经过有害成分检测,符合RoHS环保测试要求,提供相关证明文件。 | 40 |
14 | 标准机柜 | 标准42U机柜 | 1 |
15 | 集成费用 | 布线施工,光纤布线(3号楼下联4芯光纤跳到4号楼2F机柜, 4芯光纤跳到7号楼2F机柜;操场车间建筑内机柜4芯光纤上联3号5楼机房, 将校内的三条光纤(电信100M,90M各一条、移动50M一条)移至同一机房,通过防火墙和上网行为管理器统一管控,统一部署在3号楼5楼),安装调试,人工费,线管、光纤跳线,光纤熔接,六类网络模块及面板,扎带,网络机柜,排插等 | 1 |
