公安交通管理信息安全监管系统建设项目技术参数

公安交通管理信息安全监管系统建设项目技术参数单位万元序号产品名称技术参数数量单价总价备注指标项技术规格要求架构M2U,机架式服务器CPU规格配置2*处理器，主频N

2.2GH乙核数210核内存配置128GBDDR4内存，内存插槽数N24个插槽硬盘支持热插拔SAS/SATA/SSD硬盘数据库服务硬盘配置2*600GB10KSAS盘:4*2400GB10KSAS盘台1器（核心产18配置RAID卡，支持RAID

0.0,1,5,6,

50.60缓存22G品）I/O扩展PCI-EI/O插槽总数210个，支持PCIe

3.0xl6,HBA卡配置HBA卡16G双端口以太网接口配置2个千兆电口和2个万兆光口《包含模块》电源模块满配冗余热插拔电源，并提供配套的电源连接线风扇满配冗余风扇，支持单风扇失效，风扇支持热插拔内置到了白名单中，但是还会有其它CDN、自建CDN以及负载均衡等无法直接获取到的IP,当通过这些IP访问时易被判定为CC攻击从而导致无法访问网站；而将这些IP直接加入到白名单，则通过这些IP的攻击也不会拦截▲

23、功能Bypass Agent提供监控点bypass功能，能够快速关停监控模块，方便问题处理或调试（提供相应截图证明并加盖公章）

24、Agent端性能程序占用的CPU低于10%、内存资源低于200M

25、禁止浏览畸形文件黑客通过构造类似;jpg之类的畸形文件的后缀名.上传到服务器上再结合IIS的解析特性即可成功执行代码，然后获取必要的网站配置等信息威胁网站的安全开启“禁止浏览畸形文件”功能抵御类似的攻击，保护网站服务器的安全

26、配置要求客户服务器无需再单独部署管理中心，安装PC控制台即可使用，通过授权key管理客户端实配23年升级维保服务性能指标信息系统单个软件安装节点，支持、业务表个数不少于2000张；6业务日志历史数据同步速度不低于20MB/秒；采集软件日志解析速度不低于20MB/秒；热备切换延迟W30秒1套3333产品架构产品采用B/S架构，全中文图形化界面，只需要一个合适的浏览器即可完成所有功能项的操作部署方式支持旁路独立部署，不需要与数据库安装在一起，实现与数据库之间的松耦合与安管系统无缝对接支持通过专用接口与安管系统无缝对接，实现授权信息登记、采集策略接收、控制指令接收、审计信息上报、异常信息上报、状态信息上报等功能数据采集环境兼容机制1）单个安装节点支持对多个数据库同时进行数据采集，并为每个数据库提供独立的数据库连接方式、数据库日志文件获取方式等参数的分别配置功能2）支持多种数据库日志文件获取方式，包括NFS、SMB、AgentoA3）支持Oracle、11g、12c等数据库的数据采集（提供权威证明材料）4）支持AIX及其他操作系统中，运行在RAC模式下、日志存储采用ASM/RAW方式的Oracle数据库的数据采集（提供产品功能截图并加盖公章）5）支持标准数据库字段数据的采集，包括基础类型（字符型、整数型、浮点形、时间型、XML型等）、LOB类型（CLOB、NCLOB、BLOB）等、二进制类型（raw、long raw.binary等）6）支持安装在不同操作系统环境下数据库的数据采集，包括windowsXP/2000/2003/2008/7^RedHat Linux4/5/

6.CentOS5/6/

7、AIX5/

6、HP-UX、SUN Solaris、OracleEnterpris Linux等7）支持32位和64位操作系统中数据库的数据采集8）支持数据库多种字符集类型，包括GBK、UTF-8等9）支持数据库无主键且无唯一索引表数据的采集10）支持各种中文数据复制，如中文表名、中文字段名、中文数据等11）产品自身所用数据库支持独立部署的数据库，数据库类型为Oracle10g及以上版本增量数据采集1）支持基于数据库日志文件解析技术为原理的增量数据采集，严格按照数据操作顺序完整还原数据库交易数据，实现增量数据的准实时采集不需要在数据库中创建任何的trigger.snapshot,view.临时表、时间戳、存储过程等对象在采集数据的过程中，数据库不需要停机、重启等操作，不影响数据库的正常使用，实现对数据库的低干扰2）可根据采集策略实时或定时采集指定数据库、指定数据表、指定时间范围、指定过滤条件的增量数据3）在采集增量数据时，可随时把新表添加到采集队列中，而不会影响现有的采集任务4）支持采集数据库数据的事务性信息，如操作数据的机器名、客户端类型（SQLPlus、PUSQL、JDBC等）、操作时间、事务编号等5）支持把采集的数据打包生成指定格式的XML文件，并支持对XML文件进行压缩加密后，上传到文件服务器或Flume的指定目录中▲6）支持在产品界面中，对Oracle数据库进行初始化操作，提高初始化操作效率，降低初始化操作难度（提供产品功能截图并加盖公章）存量数据采集1）可根据采集策略实时或定时采集指定数据库、指定数据表、指定时间范围、指定过滤条件的存量数据2）在采集存量数据时，增量数据采集同时进行，互不影响并可随时把新表添加到采集队列中，而不会影响现有的采集任务DDL数据采集1）支持库表的truncatetable、droptablerename tablealtertable、create table等DDL数据采集2）支持DDL数据的操作用户、操作时间等信息的采集管理要求1）支持接口访问授权信息登记，包括备案编号、接口访问授权码、本级安管系统IP地址及访问端口2）支持细粒度数据采集记录审计，可依据各种查询条件对审计记录进行综合统计查询A3）支持在产品界面中，对产品进行运维管理操作，包括全局参数、文件服务器、配置库表空间、文件下载、版本升级、日志打印监控、主进程重启等运维功能（提供产品功能截图并加盖公章）安全要求1）支持用户身份鉴别、访问控制2）支持安全日志审计，并提供图形化综合条件查询及界面展现3）支持对XML数据文件的加密和完整性校验，防止数据被窃听、被篡改其他要求H志采集软件通过公安部交通安全产品质量监督检测中心测试，提供测试报告此软件由部局7FTP软件实现信息系统业务日志采集软件解析后日志存储和交换1套//统一配发实施数据库软此软件由部局81套//用于存储信息安全传输交换系统和信息系统业务日志采集软件的配置信息和相关系统的监控数据件统一配发实施此软件由部局信息安全传用于控制、监控数据和文件的传输交换信息安全传输交换系统、信息系统业务n志采集软件共用同91套//统■配发实施输交换系统一个数据库此软件由部局分布式文件统一配发实施传输系统10用于实现日志文件上传部级HDFS分布式文件系统1套//Flume Agent客户端

一、运维服务范围投标方须完善招标方整体信息化安全保障体系，提升网络系统和服务器系统的安全防护能力，提供专业的安全咨询和技术运维服务，针对招标方业务专网、核心机房内各信息系统实施安全运维，及时向安全运维招标方汇报平台系统安全隐患与整改建议，指导软、硬件运维单位按要求完成相应的安全控制，国家111项1010服务网络等区域做好安全防护运维与指导工作主要安全运维服务范围如下风险评估以信息系统设备和管理制度为基本单位，实施资产的弱点发现，针对关键信息系统实施渗透测试，以期发现和挖掘系统内部中存在的安全问题安全加固针对不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统的配置进行检查，制定安全的配置基线；定期对网络安全设备进行策略的检查、梳理和修正，如防火墙的访问控制列表、安全策略有效性，进行策略调整调优，发挥已部署网络安全设备的作用；针对上线应用系统，进行安全漏洞检查与功能有效性测试安全监控对网络设备、应用服务等进行相应的漏洞扫描和风险评估，并对网络日志、流量进行具体分析，协助完成各项网络安全检杳工作；同时提供最新的安全咨询信息，如安全漏洞和补丁，包括国内知名的漏洞发布平台，将最新最严重的网络安全问题以最快的速度通报安全运维提供n常网络安全运行维护驻场，对基础网络设施、安全设备进行日常检查，发现问题及时提供整改方案，指导相关硬件厂商进行处理；提供定期安全巡检，进行安全事件分析汇总；对重大信息安全事件及特殊时期提供应急响应服务，检查威胁痕迹、搜索取证及应急修复协助分析安全故障和事件原因，处理安全故障、消除入侵路径，并协助恢复应用系统正常工作

二、运维服务期限维护服务期限为1年

三、运维服务人员要求投标方应派遣驻场运维服务人员，在运维服务地点办公区域内安排具备相应资质要求的专职安全运维服务人员1名，同时远程为项目安排应急响应运维服务工程师1名，共同构成驻场运维服务小组投标方须提供5天*8小时驻场服务，7天*24小时系统维护服务，并应根据招标方临时需求增加人员驻场服务人员正常工作时间与节假日值班时间应与招标方同步投标方应做好参与运维人员的保密教育，做好相关技术、安全等各方面保密工作若运维期间运维人员能力不合格，招标方有权要求投标方更换人员

四、运维服务内容投标方负责与招标方进行工作协调和运维服务组织落实；负责按照招标方的要求，做好网路安全设备的操作与管理，完成相应的日常检查、安全巡检、信息安全风险评估、安全加固，协助等级保护评测、重要任务保障等工作；信息管理驻场人员应协助招标方完成日常信息化管理方面临时性相关工作，对相关信息化及运维方面工作提供技术沟通与协调（-）安全运维服务要求投标方负责对网络安全设备日常巡检，实施安全监控，并定期实施风险评估、安全加固，辅助完成系统等级保护备案等工作，并辅助投标方完成具体落地的安全整改建设方案，用于指导安全建设具体服务要求如下服务内容分项服务要求描述风险评估弱点发现至少每季度一次，从漏洞、配置弱点两个维度发现资产的脆弱性，包括漏洞的脆弱性和配置暴露的脆弱性渗透测试服务至少每半年一次，从专网内、互联网等位置利用各种手段对某个特定网络进行测试，以期发现和挖掘系统中存在的安安全问题，然后输出渗透测试报告及修复建议安全加固配置基线核查至少每季度一次，针对不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统的配置进行检方，并为系统制定安全的配置基线，便于进行配置核杳策略优化服务至少每半年一次，对网络安全设备进行策略的检查、梳理和修正，如防火墙的访问控制列表、安全策略有效性，进行策略调整调优，发挥已部署网络安全设备的作用安全建设规划针对后期网络建设及调整，辅助完成网络安全规划及建设设计，提供安全建设方案安全规范管理针对招标方现有安全建设情况，配合招标方制定安全管理制度规范，完善信息安全事件处理流程应用系统安全性评估针对上线应用系统，从身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制、数据完整性和数据保密性进行安全功能有效性测试安全监控网络安全监控对网络拓扑、网络设备、网管服务等进行相应的漏洞扫描和评估，并对网络日志、流量进行具体分析安全检查服务按照上级机关各项安全检查工作要求，协助完成本级单位的安全检查工作，并辅助投标方完成地市单位信息安全检杳方案的制定及协助本级单位对下属单位进行安全检查安全通告服务提供最新的安全咨询信息，包括安全漏洞和补丁，包括国内知名的漏洞发布平台，如乌云、漏洞盒子、补天等平台，将最新最严重的网络安全问题以最快的速度通报协助完成定级信息系统分析、定级系统边界划分、定级系统的等级确定、定级报告和备案编写安全建设咨询结合信息系统实际情况，进行系统性、全方位的分析信息系统安全，根据项目资金和时间规划，进行安全规划方案设计；同时提供具体落地的安全整改建设方案，用于指导安全建设安全巡检服务至少每半年一次系统安全巡检，进行安全事件分析汇总应急响应对信息安全事件及时响应，排查攻击痕迹、取证及修复提供相应咨询，分析安全故障和事件原因，处理安全故障、消除入侵路径并协助恢复系统正常工作（如政治类攻击事件第一时间通知，并协助修复，降低影响到最低水平）安全培训每年至少一次的安全培训，根据招标方要求就现有的硬件环境、软件平台、数据库系统和安全管理系统等制定应急预案，检验整体系统运行是否正常，应急准备是否完善，支持中文BIOS界面，提供中文界面截图（提供官网证明材料）BIOS投标产品支持支持图形化界面，支持鼠标操作投标厂商需要提供白皮书，证明材料投标产品BIOS支持Secureboot启动，支持第三方证书的导入/导出安全特性投标产品支持可信启动度量指标项技术规格要求架构N2U,机架式服务器CPU规格★配置2*处理器，主频

22.2GHz,核数210核内存★配置256GBDDR4内存，内存插槽数N24个插槽硬盘支持热插拔SAS/SATA/SSD硬盘应用服务硬盘★配置2*600GB10KSAS盘4*2400GB10KSAS盘22n Q18器配置RAID卡，支持RAID0,0,1,5,6,

50.60缓存22GI/O扩展PCI-EI/O插槽总数210个，支持PCIe

3.0xl6,HBA卡配置HBA卡16G双端口以太网接【1配置2个千兆电口和2个万兆光口《包含模块》电源模块满配冗余热插拔电源，并提供配套的电源连接线风扇满配冗余风扇，支持单风扇失效，风扇支持热插拔应急处理能力是否达到要求；其它要求驻场服务工程师需自行配备一台笔记本电脑用于运维工作

（二）技术咨询服务要求安全运维服务商应对相关应用系统的建设提供必要的技术自询服务进行系统建设或升级时，运维服务商应能协助提供合理化建议，及时指出各方面的漏洞和不足针对本运维服务范围外的服务，供应商应提供紧密的配合，协助相关供应商提供必要的技术支持

（三）其他服务要求

1、安全服务评估要求投标方须通过使用国内外主流的漏洞扫描工具，评估系统的安全漏洞状况通过访谈、安全检查手册等对被评估系统进行详细的安全检查参照国际/国内较高标准，能够从安全配置、安全管理等方面全面的反映出信息系统目前存在的安全隐患和安全状况

2、安全服务频率要求投标方须提供每年不低于2次的安全巡检服务、安全加固和策略优化服务，并出具响应的网络安全监控报告；每年至少1次的等级测评服务，并能够辅助取得备案证明；每月1次的安全通告，针对重大系统变更或者新系统上线提供相应的安全测试服务12总计大写:人民币玖拾伍万元整（小写人民币

950000.00元）支持中文BIOS界面，提供中文界面截图（提供官网证明材料）BIOS投标产品支持支持图形化界面，支持鼠标操作投标厂商需要提供白皮书，投标产品BIOS支持Secureboot启动，支持第三方证书的导入/导出安全特性投标产品支持可信启动度量三年原厂7*10小时现场服务，设备生产商需在国内设安装服务有400技术服务热线序号指标项技术指标要求实配SAN与NAS统一存储;配置NAS协议（包括NFS和CIFS）、体系架构上IPSAN和FCSAN协议，不需额外配置.NAS网关，存储操作界面同时1支持块存储和文件存储功能，提供功能截图证明并加盖公章；2控制器扩展能力支持控制器扩展，最大支持8控；1A3存储1414i tr控制器配置配置双Active-Active控制器；采用2U盘控一体架3构，控制器框提供N12个硬盘槽位，缓存232G4控制器处理器★采用多核处理器，处理器总物理核心数216核前端主机通道接配置2块4端口SmartI/O模块SFP+,8GbFC5口★6后端磁盘通道★配置后端磁盘通道带宽N192Gbps7支持硬盘类型支持SASSSD、SAS、NLSAS硬盘，并支持混插8配置硬盘支配置H12个4TBNL-SAS

3.5寸盘9最大硬盘数最大支持磁盘插槽个数2400支持RAID支持RAID

1、RAID

3、RAID

10、RAID

50、RAID

5、10RAID6等可选配置，提供功能截图证明并加盖公章；11支持SAN在线重删功能（非重复页面缩减），提升空间的有效利用率效率提升12支持SAN压缩功能，提升空间的有效利用率13本地数据保护支持数据快照功能，恢复某个时间点的快照，其他时间点快照不丢失由发读写1）提供双活架构，实现两套核心存储数据Active-Active双活（主机能够一双同活卷），任何一套设备宕机均不影响上层业务系统运行14远程容灾保护2）双活架构需要具备独立的第三方仲裁设备仲裁设备故障时，不影M同时业务运行,双活卷仍能保持数据实时一致支持文件分级后重删功能，在开启Tier后可以启动后台重删，在文件从f•SD层迁移到HDD层是自动重删15效率提升上支持NAS在线重删功能16重删支持NAS在线重删功能，提升空间的有效利用率17压缩支持NAS压缩功能，提升空间的有效利用率支持内置备份功能直接将文件系统备份到备份存储，支持配置本地备份18NAS一体化备份策略、异地备份策略；可用本地或者异地备份副本进行恢复支持WORM特性，满足一次写入不可修改和删除，满足关键业务文件19WORM信息安全以及法规遵从的要求支持NAS双活功能，单套存储故障，另外一套存储可自动接管FS文件20NAS双活共享特性三年原厂7*10小时现场服务，设备生产商需在国内设有400技术服务21安装服务执线指标项技术规格要求架构N2U,机架式服务器文件交换CPU规格配置2*处理器，主频M

2.2GH乙，核数210核台41R8服务器内存★配置128GBDDR4内存，内存插槽数N24个插槽硬盘支持热插拔SAS/SATA/SSD硬盘硬盘配置2*600GB10KSAS盘:4*2400GB10K SAS盘:★配置RAID卡，支持RAID0,0,1,5,6,50,60缓存22GI/O扩展PCI-EI/O插槽总数2瓶个,支持PCIe

3.0xl6,HBA卡★配置HBA卡16G双端口以太网接口配置2个千兆电口和2个万兆光口《包含模块》电源模块满配冗余热插拔电源，并提供配套的电源连接线风扇满配冗余风扇，支持单风扇失效，风扇支持热插拔支持中文BIOS界面，提供中文界面截图（提供官网证明材料）BIOS投标产品支持支持图形化界面，支持鼠标操作投标厂商需要提供白皮书，投标产品BIOS支持Secureboot启动，支持第三方证书的导入/导出安全特性投标产品支持可信启动度量安装服务三年原厂7*10小时现场服务，设备生产商需在国内设有400技术服务热线

1、虚拟化平台支持产品应至少支持VMware、Citrix、Microsoft HuaweiH3c等国内外主流虚拟化厂商服务器安平台全管理系套

51442、操作系统支持支持SuSE、Red Hat、Ubuntu CentOS、debian、等常见官方发布版本的Linux内核统的操作系统支持windows/linux主流操作系统，包括但不限于以下的操作系统WindowsServer2003SP2（x86/x64）、Windows Server2008（x86/x64）、WindowsServer

2012、WindowsServer2016sWindowsServer2019RedHat

4.3^RedHat

5.11x86/x

64、RedHat

6.0-RedHat

6.7x86/x

64、RedHat

7.0-RedHat

7.2RedHat

8.0；CentOS

4.3-CentOS

5.11x86/x

64、CentOS

6.0-CentOS

6.10x86/x

64、CentOS

7.0-CentOS

7.6Centos

8.0；Ubuntul

0.0-16W上；Suse10-Suse10sp

3、Suse11-Suse11sp

3、Suse12；中标麒麟

3、安全巡检针对服务器和网站的忖录及文件进行全面巡检扫描，对服务器和网站存在的安全隐患进行检查并修复“服务器安全”主要针对计划任务、账户登录账户、克隆账户、隐藏账户及服务器安全管理系统各功能开启状态进行检查和修复；“网站安全”主要针对网页木马、网站挂马和暗链进行检查和清除

4、文件监控与防护支持对磁盘所有文件的监控和防护，包括读取、写入、删除、创建、执行、链接、重命名、完整性等关于文件操作的监控和防护并且支持通配符设置，支持监控和防护两种模式，文件监控和防护生成的相关日志信息，会在系统防护日志里进行展示

5、系统加固通过服务器内核加固技术，加强操作系统自身对抗恶意代码和黑客攻击的能力，抵御非法提权、非法创建可执行文件等黑客行为，有效降低无补丁可打、无法打补丁带来的的安全风险提供相应截图证明并加盖公章

6、防暴力破解具有防暴力破解技术，能有效防御针对RDP、SSH服务的暴力破解

7、ip黑白名单黑白名单工具分为黑名单和白名单黑名单框用来展示被系统拦截并禁用的IP列表，可以从黑名单中删除禁用名单（解禁限制IP）白名单用于添加例外的IP,也可以批量导入白名单中IP操作将不做拦截

8、防端口扫描一键禁止端口扫描工具非法探测、并设置端口数量和限制ip地址的锁定时间

9、防护开关文件防护、读取功能的总控制开关

10、封闭端口禁止外界访问

11、系统登录防护“登录防护”功能，针对Windows及Linux操作系统的远程登录进行限制及防护，用户可对“用户名”、“IP地址范1制”、“时间范围”进行具体设置，并通过选择“允许登录”、“禁止登录”等相应的处理方式进行防护

12、自身防护具有系统自身应用程序的保护功能、禁止修改应用程序关键文件（提供相应截图证明并加盖公章）

13、SQL注入防护支持通过在web应用（IIS、apache、nginx、tomcat等）中插入waf探针的方式，高效过渡网络流量，防止黑客利用web应用漏洞或网站漏洞攻击服务器

14、XS8跨站脚本防护通过匹配XSS跨站脚本特征库对用户输入进行过滤，从而实现防止攻击保护网站的目的根据不同检测对象（URL、Cookie,Post）进行具体防护规则的配置（开启与关闭）（提供相应截图证明并加盖公章）

15、防漏洞攻击通过匹配漏洞攻击特征库对用户输入进行过滤，从而实现防止攻击保护网站的目的根据不同检测对象（URL、Cookie、Post）进行具体防护规则的配置（开启与关闭）

16、Web服务器文件名解析漏洞防护黑客对网站上传类似;jpg、.的可执行脚本文件，利用IIS和Apache的解析漏洞，使脚本文件执行从而获取系统权限，威胁网站的安全用户可以通过开启“Web服务器文件名解析漏洞防护”功能防止黑客利用这些漏洞对服务器进行攻击，对黑客类似攻击行为进行拦截

17、禁止下载特定类型文件保护添加到列表的文件不被下载，进而保护用户数据和运行日志的安全▲

18、自动屏蔽扫描器可以屏蔽扫描器扫描以确保网站，服务器不被恶意扫描（提供相应截图证明并加盖公章）

19、陂藏Webserver版本信息隐戴WEBserver版本避免版本漏洞被非法利用

20、X-Forwarded-For防护防护网站被恶意用户构造异常的X-Forwarded-For”字段进行访问，从而对网站造成威胁

21、RASP通过（RuntimeApplicationSelfProtection）技术对应用系统的流量、上下文、行为进行持续监控,识别及防御已知及威胁支持IIS、nginx、Apache、Tomcat、Weblogic、WebSphere、东方通、Jboss等各种Web中间件

22、自定义CDN智能识别到CDN节点的访问，可自定义添加CDN名单；已将市面上.主流CDN。