一體化智能化公共數據平臺建設方案

1、一體化智能化公共數據平臺建設方案 運維云提供在線運維云服務，實現告警訂閱、告警推送、工單流轉、 數據庫專家在線服務等功能：運維云服務采用多租戶方式交付，不同租戶之間安全隔離； 線下平臺采用加密方式和運維云實現單向連接，保證數據傳輸 安全；告警訂閱，可定義告警推送和服務人員接收的對應關系，包 括：告警站點、告警級別、通知方式等；支持數據庫專家主動告警響應服務訂購，通過把告警同步給線 上數據庫專家，數據庫專家在線響應并交付服務產品資質具有自主知識產權，非OEM產品，投標時提供國家版權局頒發(fā) 的計算機軟件著作權登記證書傳后服務能力要求原廠商實施工程師同時具有CDPSE和CISSPo數據庫防火墻指標項

2、具體要求品牌自主研發(fā)的國產化品牌，非OEM,具有軟件著作權證書(提供 軟件著作權證書)授權數量至少支持12個數據庫實例數據庫類型支持 ORACLE （含 12C、18C、19C）、MYSQL、SQLSERVER、DB2、 GBASE、HIVE、達夢、PG、優(yōu)炫、人大金倉、神舟通用、 MongoDB、SYBASE.巨杉、上海熱璞、HANA、informix.cache OceanBase RDS-Mysql、 RDS-PG、 TIDB Mariadb Greenplum PostgreSQL EnterpriseDB GaussDB KDB HBase、redis TDSQL、teledb、Ve

3、rtica 等主流數據庫、國產 數據庫、大數據平臺等部署模式支持透明代理、透明代理NAT、透明網橋、反向代理、HA主備 模式支持當安全設備全部不可用時，自動啟用BYPASS功能，避免 因安全設備本身影響業(yè)務系統支持IPV4、IPV6以及IPV4和IPV6的混合網絡環(huán)境運行模式支持學習、模擬、運行三種運行模式：學習模式支持SQL的自 學習，識別安全SQL；模擬模式可以模擬真實操作的管控情況支持在學習一定周期后，系統自動轉激活運行，減少人工操作防護策略內置數據庫漏洞虛擬補丁不少于1600個，可阻止黑客通過這 些漏洞進行攻擊（提供功能截圖）支持正常SQL特征及SQL注入特征雙重防護，防止SQL注入攻

4、 擊自動學習業(yè)務SQL,捕獲SQL語法，生成SQL白名單，通過SQL白名單進行訪問控制針對敏感數據集合的訪問，需要通過授權才可以訪問，不具備 訪問權限的操作，明確阻斷拒絕并提供錯誤信號支持設置敏感標簽身份，使之具備合法訪問指定敏感數據的權 限。未明確注冊的身份，默認表示為不合法身份，不能訪問任 何敏感表格支持數據行數（閥值）進行精細管控，超出閥值的行為進行阻斷 或攔截，避免數據大量泄漏支持訪問頻次控制，避免一定時間內的高頻次訪問識別真實應用程序，防止假冒應用訪問數據庫支持多維身份管理，至少支持應用程序名、IP地址、主機名、 操作系統賬戶、數據庫賬戶、數據庫實例名、時間、U盾等因 素的任意組合，

5、形成新的登陸認證規(guī)則支持檢測和審計密碼猜測行為，通過設置密碼猜測次數限制進 行防護，當達到密碼猜測限制時，鎖定猜測終端，支持自動解 鎖和手工解鎖防漏掃支持數據庫防漏掃，當特定的漏洞掃描器對數據庫進行掃描時，實現防御攔截審計支持SQL命令的細粒度審計和分析，并詳細記錄管理用戶的行 為信息，包括該語句執(zhí)行的時間、機器名、用戶名、IP地址、 MAC地址、客戶端程序名以及SQL語句等信息，對數據庫操作 進行審計，可對查詢，新增，修改，刪除等行為進行監(jiān)控支持以搜索引擎條的方式進行搜索，提供類似于百度，谷歌的 搜索方式；提供高級搜索，進行精確匹配搜索提供自動審閱，自動審閱過的審計信息，再次出現將不需要再

6、行審閱，依賴于審計信息可以提取訪問規(guī)則，把規(guī)則加入至訪 問及訂閱規(guī)則庫提供一致性回溯分析、相同事件查看分析；并提供依賴于審計 信息的即時報表分析告警管理安全告警支持基于任意組合訂閱的模式，實現個性化告警訂閱 管理支持多種安全響應措施，包括頁面、郵件、短信方式進行告警系統管理為增加系統管理的安全性、適應性、可維護性，產品需要具備以下的功能：1、支持雙因子認證，支持短信認證、證書認證；2、支持系統安全配置如會話鎖定、超時退出、密碼復雜性管理等安全措施；3、支持SNMP網絡監(jiān)控管理協議；4、支持數據自動清理功能，支持根據保留天數和剩余空間不 足時自動覆蓋。系統支持LDAP/AD域對接，通過域賬戶統一

7、登錄支持通過SYSLOG的方式進行日志外發(fā)，支持審計、告警等日志外發(fā)支持通過FTP的方式將日志進行上傳備份以及恢復報表管理支持登錄事件、訪問事件、風險事件、告警事件等報表的生成(提供功能截圖)直觀、可視化監(jiān)控數據庫整體安全情況，當出現風險時可快速 定位當前被攻擊的數據庫及發(fā)起攻擊的客戶端等支持按日、周、月等時間周期生成綜合報表報表支持以HTML、PDF、EXECL等格式保存到本地支持報表調度，保障報表數據快速展示24小時監(jiān)控主流SQL注入攻擊、數據庫漏洞攻擊、敏感訪問、 系統運行、流量等信息產品資質具備國家版權局頒發(fā)的計算機軟件著作權登記證書具備公安部頒發(fā)的計算機信息系統安全專用產品銷售許可

8、證證書具備ISCCC頒發(fā)的中國國家信息安全產品認證證書具備國家保密科技測評中心頒發(fā)的涉密信息系統產品檢測證書廠商資質具備ITSS信息技術服務標準符合性證書具備CCRC信息安全服務資質認證證書具備GB/T 29490知識產權管理體系認證證書為國家網絡與信息安全信息通報機制技術支持單位售后服務能力要求原廠商實施工程師同時具有CDPSE和CISSPo數據安全管理平臺類別指標項具體要求規(guī)格授權數量至少支持6個接入設備態(tài)勢感知態(tài)勢感知提供安全態(tài)勢大屏，直觀展示整體安全態(tài)勢，展示內容至 少包括數據庫量、事件總數、訪問數量、風險數量、風險 資產ToplO、用戶IP風險ToplO、風險類型ToplO、響應行為

9、分布、告警曲線趨勢、實時威脅分析等內容；提供資產發(fā)布態(tài)勢大屏，直觀展現出用戶整體系統的風險 情況。主要展示數據庫量、敏感表數量、敏感列數量、數 據訪問趨勢、數據庫類型占比、SQL執(zhí)行時長分布、數據 敏感列分布、敏感表數據分布、數據庫登錄情況TOP10等 內容；提供安全設備運行大屏，直觀展現出安全設計整體運行情 況。主要展示運行天數、安全設備數、事件總數、告警總 數、設備運行情況、日志采集趨勢等模塊基礎功能數據庫支持支持武漢達夢、南大通用、人大金倉、神舟通用、DB2、 Elasticsearchs Hbase、 Highgodb、 Hive Informix、 Mariadb、 Mongodb、

10、 Mysql、 Oracle、 PostgresqK RDS_Mysql RDS_Postgresql RDS_SQLserve、 Redis、 SQLserve. Sybase等關系型數據庫、數據倉庫、大數據 平臺、云數據庫核心功能敏感 數據 發(fā)現 與分 級分 類通過IP/IP段掃描發(fā)現數據源，用戶可對發(fā)現的數據源進 行添加具備敏感數據發(fā)現能力，自動發(fā)現SCHEMA表中的敏感 資產，同時對數據按照發(fā)現模版進行分級分類至少包含500種業(yè)務類型，可根據不同業(yè)務類型對數據進 行自動分類，業(yè)務類型包括個人信息、地理信息、組織機 構信息、企業(yè)信息、行業(yè)相關信息、基礎信息、商品物資 信息、設備信息、通用

11、類型等提供詳細的數據分級分類報告，給出敏感指數體現數據敏 感程度，報告包含敏感表格、敏感字段數量與占比，業(yè)務 類型分布情況與對應的敏感級別支持自定義發(fā)現模版，在發(fā)現模版內加入需要的業(yè)務類型，不同業(yè)務類型可設置對應不同的敏感級別設備監(jiān)控支持對所連接對子設備的運行狀態(tài)進行監(jiān)控，能直觀呈現 子設備的CPU、內存、磁盤使用率、網絡接發(fā)情況及其趨 勢支持對設備進行CPU、內存、磁盤使用率的閾值設置，超 過閾值平臺自動進行告警支持從數據安全管理平臺直接跳轉至子設備進行操作風險治理支持將子設備收集的風險事件在平臺集中展現，并能以時 間、風險類型、風險等級、設備類型、審閱狀態(tài)、客戶端 與資產端IP等要素進行精

12、確搜索支持利用多種分析檢測引擎和數據模型，建立身份行為與 資產訪問基線，監(jiān)測異常行為、異常身份與未知威脅，對 不同的安全問題進行策略下發(fā)系統內置超過350種SQL注入風險策略，可以向子設備進 行策略下發(fā)，支持自定義SQL注入風險策略系統內置超過600種漏洞特征庫風險策略，可以向子設備進行策略下發(fā)，支持自定義漏洞特征庫風險策略事件審計支持將子設備收集的所有安全事件在平臺集中展現，提供 事后安全審計追溯能力。并對安全事件進行合并去重、富 化支持以安全事件發(fā)生時間、設備類型、關鍵字等要素對安全事件進行快速檢索支持通過Syslog、SNMP、文件等多種采集方式安全告警支持對告警信息進行詳細的設置，包括

13、告警接受對象、接 受方式、接受內容、接受時間等信息告警方式多樣，支持以工作流與WEB界面的彈窗、聲音進行提醒，同時支持通過短信、郵件、企業(yè)微信、釘釘等方式發(fā)送提醒綜合報表支持將收集到數據進行統計分析，并通過基礎工作報表， 以每日、周、月、季度、年為單位給用戶提供相關數據支持以郵件方式，PDF、Word、Html等多種形式來訂閱報 表?？勺远x報表時間：日、周、月、季度、年等系統管理平臺安全平臺具有安全審計員、安全保密員、系統管理員三種角 色，實現三權分立。支持對平臺用戶的密碼復雜度（數據、大小寫字母、特殊 字符、密碼長度等）、有效期、復雜度、密碼錯誤鎖定策 略等進行限制，有效期過后提供登錄重置

14、密碼或禁止登陸 需聯系管理員處理2種處理方式，以確保平臺自身賬戶的 安全日志管理支持對所有操作日志進行展示與詳情查看，能以日志時 間、用戶名、操作類型、操作模塊等要素進行精確搜索系統配置支持對系統名稱與LOGO進行自定義設置，滿足用戶個性化需求資質產品資質具備國家版權局頒發(fā)的計算機軟件著作權登記證書具備公安部頒發(fā)的計算機信息系統安全專用產品銷售許 可證證書具備ISCCC頒發(fā)的中國國家信息安全產品認證證書具備國家保密科技測評中心頒發(fā)的涉密信息系統產品檢 測證書廠商資質具備ITSS信息技術服務標準符合性證書具備CCRC信息安全服務資質認證證書具備GB/T 29490知識產權管理體系認證證書為國家網

15、絡弓信息安全信息通報機制技術支持單位服務能力售后服務能力要求原廠商實施工程師同時具有CDPSE和CISSPoAPI指標項具體要求流量采集采取旁路鏡像方式、主機Agent方式進行流量采集流重過濾支持IP過濾（黑白名單）支持域名過濾（黑白名單）采集部署流量采集方面，至少涵蓋兩個流量采集API,采集API必須支持萬兆光口、多模模塊SFP+, 850nm, 300m, LC流量解析支持Http流量解析支持Gzip流量進行解析支持提供私鑰后進行Https解密，支持以下11種加密套件進 行解密：TLS_RSA_WITH_RC4_128_MD5(0 x0004)；TLS_RSA_WITH_RC4_128_S

16、HA(0 x0005)；TLS_RSA_WITH_AES_128_CBC_SHA(0 x002f)；TLS RSA WITH AES 256 CBC SHA(0 x0035)；TLS RSA WITH AES 128 CBC SHA256(0 x003c)；TLS_RSA_WITH_AES_256_CBC_SHA256(0 x003d)；TLS_RSA_WITH_SEED_CBC_SHA(0 x0096)；TLS RSA WITH AES 128 GCM SHA256(0 x009c)；TLS_RSA_WITH_AES_256_GCM_SHA384(0 x009d)；TLS_RSA_WITH_

17、CAMELLIA_128_CBC_SHA(0 x0041)；TLS_RSA_WITH_CAMELLIA_256_CBC_SHA(0 x0084)對外應用清單提供應用列表功能，支持按訪問量、API數量、敏感API數 量、應用發(fā)現時間進行排序支持按照應用標簽、應用等級、訪問域、部署域進行分組支持按照應用域名、應用標簽、應用等級、訪問域、部署 域、請求數據標簽、返回數據標簽、應用發(fā)現時間進行篩選對外應用畫提供應用結構功能，支持以樹狀結構展示所有API像支持按API、API類型、返回類型、請求數據標簽、返回數據標簽進行篩選對外應用定義支持應用拆分功能，可將多個域名/IP合并為一個應用，如負載均衡或者微

18、服務架構的情況支持應用合并功能，將一個域名根據URL路徑拆分為多個應用數據清理支持對指定數據標簽、API分類、API等級、API標簽、應用標簽、弱點、訪問域、部署域、IP地域的清理數據重跑支持數據標簽、API分類、API標簽根據存量樣例進行重新識別數據輸出支持以kafka、openapi等形式將數據輸出到其他平臺數據采樣支持自動對接口訪問進行采樣，每種數據標簽組合的樣例數22；每種請求方法的樣例數22；每種請求參數組合的樣例$1支持對樣例進行可視化展示，支持對html頁面進行視覺還原支持對xml和json進行格式化展示最大可支持的API樣例不小于15M(7)應戶冃審計指標項具體要求敏感應用識別

19、 管理自動梳理業(yè)務系統中暴露數據的系統清單，包括：域名、部署IP、部署域、請求數據標簽、返回數據標簽、訪問域、API數量自動對API打標：登陸API清單、文件下載API清單、文件上傳API清單、攜帶密碼數據的API清單支持應用資產的導出敏感API識別管理支持自動識別應用下API清單包括對數據組合的樣例，維度至少 包括：請求頭、請求參數、返回頭、返回內容、個人信息或重要 數據支持可視化展示應用下API目錄結構支持應用系統多維度排序：訪問量、API數量支持識別業(yè)務API處理格式:JSON、HTML、XML、JSONP支持識別業(yè)務API編碼格式：Unicode、GBK、GB2312、UTF8支持業(yè)務

20、API全量導出支持自動對API進行分類，內置分類至少包括登錄API、文件上 傳API、文件下載API、數據釆集API、數據使用API,分類準確 度 90%支持手動對API類別進行管理支持自動對API進行分級，內置分級至少包括高敏感、中敏感、 低敏感、非敏感，分級準確度90%支持手動對API級別進行管理文件識別統計支持識別Http協議中傳輸的文件，識別內容包括：文件名稱、文 件格式、文件大小、文件中含有的個人信息及重要數據內容支持識別文件類型包括：pdf、excel、word ppt txt zip格 式內容支持識別操作文件動作：上傳文件、下載文件支持識別文件操作對象：操作人員賬號、操作IP、操

21、作時間、操 作動作（上傳/下載）支持統計一份文件上傳次數、下載次數、下載人數統計、上傳人 數統計。靜態(tài)特征識別自動識別訪問系統人員特征：訪問賬號、訪問IP、訪問域、訪問終端、訪問城市、訪問時間自動識別用戶靜態(tài)身份，包括：賬號、昵稱、手機號、身份證 號、銀行卡號、常用IP、常用終端、常用時間段、常訪問應用系 統動態(tài)行為記錄用戶動態(tài)日志行為記錄，記錄內容包括：操作時間、操作API、 操作終端、獲取個人信息或敏感數據、操作網段用戶下載日志行為記錄，記錄內容包括：下載/上傳時間、文件名稱、文件類型、文件大小、操作時間用戶風險記錄風險事件，包括：風險名稱、發(fā)生時間、風險等級、風險狀態(tài)、 風險日志數據流動

22、可視化基于訪問日志，支持自動生成賬號/IP/系統使用走勢可視化記錄基于訪問日志，可指定日志范圍，生成可視化訪問記錄數據安全弱點檢査應用系統弱點常態(tài)化檢查，支持檢查多種類別弱點，包括：口令 認證類、安全規(guī)范類、API權限類、數據暴露類、訪問權限類口令認證類：明文密碼傳輸、登陸弱密碼、登陸認證不合理安全規(guī)范類：GET方法執(zhí)行敏感操作、脆弱應用在公網暴露、鑒 權信息在URL中API權限類：命令執(zhí)行API、任意短信發(fā)送數據暴露類：脫敏策略不一致、返回數據量可修改、單次數據量 過大、單次返回類型過多，脫敏不合規(guī)檢查訪問權限類：API參數未鑒權、API參數可遍歷數據安全弱點運營支持弱點基礎信息提供，包括：

23、弱點應用、弱點URL、弱點特征 信息、弱點風險描述、弱點修復建議。并保留弱點的證據信息提供弱點信息下載支持對弱點進行操作，并記錄弱點操作記錄數據安全風險識別支持用戶通過指標自定義風險支持內置風險策略，內置風險策略包括：賬號共用、賬號多地訪 問、撞庫、IP兼任多賬號身份、賬號發(fā)現腳本行為特征、賬號單 日獲取大量數據、境外IP獲取數據、運營人員異常頻繁下載文 件、API突發(fā)獲取大量數據、API突。發(fā)被頻繁訪問、用戶突發(fā)訪 問不常用敏感數據、用戶突發(fā)訪問不常用API、用戶在非常用時 間段訪問API等內置風險風險支持保留完整的事件證據支持對風險結果統計涉及的敏感數據標簽數據安全風險運營支持對風險進行運

24、營操作，支持變更狀態(tài)對風險進行處理數據線索溯源支持敏感數據泄露溯源功能，能夠依據泄露的數據內容，對敏感 事件記錄進行回溯，進行集中度分析對溯源結果支持以源IP、目標系統、UA、接口、時間等條件進行過濾篩選及關聯排序主體溯源支持通過賬號、IP、接口、User-Agent等維度對敏感事件記錄進 行檢索和統計分析溯源分析支持對溯源的結果進行可視化呈現，并可展示詳細日志，包括訪 問時間、訪問目的ip、訪問方式、訪問方式對象、訪問數據類 型、訪問的數據等運行監(jiān)控審計系統需具備設備運行監(jiān)控管理界面，包括:設備CPU、內存、 存儲等狀態(tài)，支持查看當前系統流量接入情況審計系統需具備主動發(fā)現并嘗試自動處理系統運

25、行中的問題，包 括：內存問題、cpu高的問題，避免產生宕機或其他嚴重問題，在 界面可查看到事件處理日志，以及滿足系統異常運維的后臺功能開放API支持提供開放接口調用，獲取數據或配置產品syslog 同步支持syslog形式同步數據推送Kafka推送支持kafka形式同步數據推送自定義推送支持自定義數據推送內容，支持通過條件自定義數據推送內容。 包括應用上：新增API、新增請求數據標簽、新增返回數據標 簽、新增API標簽、新增API類型、新增請求類型、新增返回類 型、新增訪問域、新增部署域賬號管支持角色劃分：系統管理員、安全管理員、審計管理員理支持三權分立：i.系統管理員：用戶使用的賬號和角色的

26、管理；安全管理員：系統日常運營操作及管理；審計員：審計系統管理員和安全管理員的操作行為密碼管理支持初始化強制修改密碼支持密碼復雜度校驗支持密碼強度校驗支持超過6個月未修改密碼，強制修改身份認證支持賬號密碼+圖片校驗碼方式驗證賬號安全支持密碼連續(xù)輸入錯誤5次鎖定支持管理員使用到期鎖定用戶管理系統管理員支持對用戶進行鎖定/解鎖系統管理員支持創(chuàng)建賬號/刪除賬號系統管理員支持禁用賬號日志記錄日志存儲時間需保存6個月運行環(huán)境系統采用B/S架構，管理員可通過瀏覽器直接訪問系統進行操作兼容性系統采用基于瀏覽器的中文用戶界面支持Chrome IE EDGE及Firefox三種主流瀏覽器，系統界面設計風格符合中

27、心相關要求3.2.2.一體化智能化公共數據平臺”硬件部分（一）服務器1.計算服務器（50臺）、WAF服務器（2臺）、安全基礎組件服務器（2臺）和大數據基礎服務器（2臺）指標項具體要求服務器外觀機架式，2路服務器CPUIntel_Xeon_Gold52182, x86_64 架構內存256GB, ECC DDR4 RDIMM 頻率&2666MHz硬盤240G240G_sata_ssd*1, 960G960G_nvme_ssd*1； NVMe_SSD:企業(yè)級主流品牌型號，接口類型為U. 2盤或AIC 皆可，擦寫壽命：R0.7DWPD 5年，帶掉電保護功能：即 有連續(xù)數據寫入的情況下，異常掉電不丟數

28、據； SATA_SSD:市場主流品牌，企業(yè)級SATA SSD硬盤（普通 SATA SSD 或 sata SATA SSD, =240G）； 磁盤順序要求：1）240G sata SSD作為系統盤，盤序排在第一位置 （系統下識別盤符為sda）；2）所有磁盤開啟cache磁盤控制器sas 卡（none-raid） *1 或板載 AHCI, non-raid 直通，滿 足機型磁盤配置需求，釆用板載AHCI直出或以下芯片型 號的標準卡或自研卡：SAS3008it、SAS3408it、SAS3216 SAS3416it網卡10GE*2:雙端口 10G光口獨立網卡，主控芯片型號Intel 82599,并滿

29、配兼容多模模塊（SFP+）,支持PXE,支持 DPDK應用（兼容2. 2版本），支持SRIOV技術，支持特定 五元組（源IP地址，源端口，目的IP地址，目的端口和 傳輸層協議）分流到SRIOV VF電源220VAC/240HVDC交直流兼容電源*2,主動式PFC,通 過80plus白金認證可靠性1+1冗余電源，支持熱插拔；冗余系統風扇管理維護提供基于Web的遠程管理控制、配備硬件監(jiān)控、遠程管理 功能；支持IPMI2. 0標準。提供IKVM功能，實現遠程KVM 功能；獨立管理口 100%兼容千兆或百兆交換網絡，通過管 理口實現遠程開關機、重啟、網絡安裝操作系統等操作兼容性所投產品需與云平臺兼容，

30、通過云專有云平臺認證，各廠 商機型認證情況見云官網鏈接： HYPERLINK https:/www https:/www. aliyun. com/product/apsara-stack 頁面最 下方“合作伙伴硬件認證”；提供截圖維保提供三年全免費（免上門費、備件費、人工費及相關費 用）技術支持與保修服務負載均衡服務器（6臺）和堡壘機服務器（1臺）指標項具體要求服務器外觀機架式，2路服務器CPUIntel_Xeon_Gold5218*2, x86_64 架構內存256GB, ECC DDR4 RDIMM 頻率&2666MHz硬盤240G240G_sata_ssd*1, 960G960G_nv

31、me_ssd*1； NVMe_SSD:企業(yè)級主流品牌型號，接口類型為U. 2盤或AIC 皆可，擦寫壽命：=0. 7DWPD 5年，帶掉電保護功能：即 有連續(xù)數據寫入的情況下，異常掉電不丟數據； SATA_SSD:市場主流品牌，企業(yè)級SATA SSD硬盤（普通 SATA SSD 或 sata SATA SSD, =240G）； 磁盤順序要求：1）240G sata SSD作為系統盤，盤序排在第一位置（系統下識別盤符為sda）；2）所有磁盤開啟cache磁盤控制器sas 卡(none-raid) *1 或板載 AHCI, non-raid 直通，滿足機型磁盤配置需求，采用板載AHCI直出或以下芯片

32、型號的標準卡或自研卡：SAS3008it、SAS3408it、SAS3216 SAS3416it網卡1GE*2:主控芯片型號 Intel 1350/82580/82576,物理網口 10/100/1000Mbps,支持PXE,支持虛擬化應用;10GE*2:雙端口 10G光口獨立網卡，主控芯片型號Intel 82599,并滿配兼容多模模塊（SFP+）,支持PXE,支持 DPDK應用（兼容2. 2版本），支持SRIOV技術，支持特定 五元組（源IP地址，源端口，目的IP地址，目的端口和 傳輸層協議）分流到SRIOV VF電源220VAC/240HVDC交直流兼容電源*2,主動式PFC,通 過80p

33、lus白金認證可靠性1+1冗余電源，支持熱插拔；冗余系統風扇管理維護提供基于Web的遠程管理控制、配備硬件監(jiān)控、遠程管理 功能；支持IPMI2. 0標準。提供IKVM功能，實現遠程KVM 功能；獨立管理口 100%兼容千兆或百兆交換網絡，通過管 理口實現遠程開關機、重啟、網絡安裝操作系統等操作兼容性所投產品需與云平臺兼容，通過云專有云平臺認證，各廠 商機型認證情況見云官網鏈接：https :/www. aliyun. com/product/apsara-stack 頁面最 下方“合作伙伴-硬件認證”；提供截圖維保提供三年全免費（免上門費、備件費、人工費及相關費 用）技術支持與保修服務云防火墻

34、服務器（2）、VPC服務器（2臺）和流量監(jiān)控服務 器（2臺）指標項具體要求服務器外觀機架式，2路服務器CPUIntel_Xeon_Gold5218*2, x86_64 架構內存256GB, ECC DDR4 RDIMM 頻率2666MHz硬盤240G240G_sata_ssd*1, 960G960G_nvme_ssd*1； NVMe_SSD:企業(yè)級主流品牌型號，接口類型為U. 2盤或AIC 皆可，擦寫壽命：N0.7DWPD 5年，帶掉電保護功能：即 有連續(xù)數據寫入的情況下，異常掉電不丟數據；SATA SSD:市場主流品牌，企業(yè)級SATA SSD硬盤(普通SATA SSD 或 sata SATA

35、 SSD, =240G)；磁盤順序要求：240G sata SSD作為系統盤，盤序排在第一位置(系統下識別盤符為sda);所有磁盤開啟cache磁盤控制器sas 卡(none-raid) *1 或板載 AHCI, non-raid 直通，滿 足機型磁盤配置需求，采用板載AHCI直出或以下芯片型 號的標準卡或自研卡：SAS3008it、SAS3408it、 SAS3216 SAS3416it網卡1GE*2:主控芯片型號 Intel 1350/82580/82576,物理網口 10/100/1000Mbps,支持PXE,支持虛擬化應用;10GE*4:雙端口 10G光口獨立網卡，主控芯片型號Inte

36、l 82599,并滿配兼容多模模塊(SFP+),支持PXE,支持 DPDK應用(兼容2. 2版本)，支持SRIOV技術，支持特定 五元組(源IP地址，源端口，目的IP地址，目的端口和 傳輸層協議)分流到SRIOV VF；兩塊萬兆網卡，要求必須 插在不同的CPU對應的pcie插槽上電源220VAC/240HVDC交直流兼容電源*2,主動式PFC,通 過80plus白金認證可靠性1+1冗余電源，支持熱插拔；冗余系統風扇管理維護提供基于Web的遠程管理控制、配備便件監(jiān)控、遠程管理 功能；支持IPMI2. 0標準。提供IKVM功能,實現遠程KVM 功能；獨立管理口 100%兼容千兆或百兆交換網絡，通過

37、管 理口實現遠程開關機、重啟、網絡安裝操作系統等操作兼容性所投產品需與云平臺兼容，通過云專有云平臺認證，各廠 商機型認證情況見云官網鏈接：https :/www. aliyun. com/product/apsara-stack 頁面最 下方“合作伙伴-硬件認證”；提供截圖維保提供三年全免費（免上門費、備件費、人工費及相關費 用）技術支持與保修服務云管控基礎服務器（18臺）和云數據庫服務器（14臺）指標項具體要求服務器外觀機架式，2路服務器CPUIntel_Xeon_Gold5218*2, x86_64 架構內存384GB, ECC DDR4 RDIMM 頻率2666MHz硬盤240G240G

38、_sata_ssd*1, 3840G3840G_nvme_ssd*3； NVMe_SSD:企業(yè)級主流品牌型號，接口類型為U. 2盤或AIC 皆可，擦寫壽命：R0.7DWPD 5年，帶掉電保護功能：即 有連續(xù)數據寫入的情況下，異常掉電不丟數據； SATA_SSD:市場主流品牌，企業(yè)級SATA SSD硬盤（普通 SATA SSD 或 sata SATA SSD, =240G）； 磁盤順序要求：1）240G sata SSD作為系統盤，盤序排在第一位置 （系統下識別盤符為sda）；2）所有磁盤開啟cache磁盤控制器sas 卡（none-raid） *1 或板載 AHCI, non-raid 直通，

39、滿 足機型磁盤配置需求，采用板載AHCI直出或以下芯片型 號的標準卡或自研卡：SAS3008it SAS3408itSAS3216、 SAS3416it網卡10GE*2:雙端口 10G光口獨立網卡，主控芯片型號Intel 82599,并滿配兼容多模模塊（SFP+）,支持PXE,支持 DPDK應用（兼容2. 2版本），支持SRIOV技術，支持特定 五元組（源IP地址，源端口，目的IP地址，目的端口和 傳輸層協議）分流到SRIOV VF電源220VAC/240HVDC交直流兼容電源*2,主動式PFC,通 過80plus白金認證可靠性1+1冗余電源，支持熱插拔；冗余系統風扇管理維護提供基于Web的遠

40、程管理控制、配備硬件監(jiān)控、遠程管理 功能；支持IPMI2. 0標準。提供IKVM功能，實現遠程KVM 功能；獨立管理口 100%兼容千兆或百兆交換網絡，通過管 理口實現遠程開關機、重啟、網絡安裝操作系統等操作兼容性所投產品需與云平臺兼容，通過云專有云平臺認證，各廠 商機型認證情況見云官網鏈接：https :/www. aliyun. com/product/apsara-stack 頁面最 下方“合作伙伴-硬件認證”；提供截圖維保提供三年全免費（免上門費、備件費、人工費及相關費 用）技術支持與保修服務高速塊存儲服務器（18臺）指標項具體要求服務器外觀機架式，2路服務器CPUIntel_Xeon

41、_Gold5218*2, x86_64 架構內存256GB, ECC DDR4 RDIMM 頻率 2666MHz硬盤240G240G_sata_ssd*1, 1920G1920G_nvme_ssd*10； NVMe_SSD:企業(yè)級主流品牌型號，接口類型為U. 2盤或AIC 皆可，擦寫壽命：=0. 7DWPD 5年，帶掉電保護功能：即 有連續(xù)數據寫入的情況下，異常掉電不丟數據； SATA_SSD:市場主流品牌，企業(yè)級SATA SSD便盤(普通 SATA SSD 或 sata SATA SSD, =240G)； 磁盤順序要求：240G sata SSD作為系統盤，盤序排在第一位置(系統下識別盤符為

42、sda)；所有磁盤開啟cache磁盤控制器sas 卡(none-raid) *1 或板載 AHCI, non-raid 直通，滿 足機型磁盤配置需求，采用板載AHCI直出或以下芯片型 號的標準卡或自研卡：SAS3008it、SAS3408it、SAS3216、 SAS3416it網卡10GE*2:雙端口 10G光口獨立網卡，主控芯片型號Intel 82599,并滿配兼容多模模塊(SFP+),支持PXE,支持 DPDK應用(兼容2. 2版本)，支持SRIOV技術，支持特定 五元組(源IP地址，源端口，目的IP地址，目的端口和 傳輸層協議)分流到SRIOV VF電源220VAC/240HVDC交直

43、流兼容電源*2,主動式PFC,通 過80plus白金認證可靠性1+1冗余電源，支持熱插拔；冗余系統風扇管理維護提供基于Web的遠程管理控制、配備硬件監(jiān)控、遠程管理 功能；支持IPMI2. 0標準。提供IKVM功能，實現遠程KVM 功能；獨立管理口 100%兼容千兆或百兆交換網絡，通過管 理口實現遠程開關機、重啟、網絡安裝操作系統等操作兼容性所投產品需與云平臺兼容，通過云專有云平臺認證，各廠商機型認證情況見云官網鏈接：https :/www. aliyun. com/product/apsara-stack 頁面最下方“合作伙伴-硬件認證”；提供截圖維保提供三年全免費（免上門費、備件費、人工費及

44、相關費 用）技術支持與保修服務髙效塊存儲服務器（18臺）、大數據計算服務器（10臺）和云存儲服務器（6臺）指標項具體要求服務器外觀機架式，2路服務器CPUIntel_Xeon_Gold5218*2, x86_64 架構內存384GB, ECC DDR4 RDIMM 頻率2666MHz硬盤240G240G_sata_ssd*2, 8000G8T_sata_hdd*12, 1920G1920G_nvme_ssd*2；NVMe_SSD:企業(yè)級主流品牌型號，接口類型為U. 2盤或AIC 皆可，擦寫壽命：N0.7DWPD 5年，帶掉電保護功能：即 有連續(xù)數據寫入的情況下，異常掉電不丟數據；SATAJID

45、D:企業(yè)級 SATA 硬盤,=7200rpm； SATA_SSD:市場 主流品牌，企業(yè)級SATA SSD硬盤（普通SATA SSD或sata SATA SSD,二240G）；磁盤順序要求：1） 240G SATA SSD作為系統盤，盤序排在第一位置（系統下識別盤符為sda）;2）第二塊240G SATA SSD盤排在第二位置（系統下識別 盤符為sdb）;注：所有SATA磁盤系統下識別盤符順序與磁盤物理slot 順序對應磁盤控制器sas 卡（none-raid） *1 或板載 AHCI, non-raid 直通，滿 足機型磁盤配置需求，采用板載AHCI直出或以下芯片型 號的標準卡或自研卡：SAS

46、3008it SAS3408itSAS3216、 SAS3416it網卡10GE*2:雙端口 10G光口獨立網卡，主控芯片型號Intel 82599,并滿配兼容多模模塊（SFP+）,支持PXE,支持 DPDK應用（兼容2. 2版本），支持SRIOV技術，支持特定 五元組（源IP地址，源端口，目的IP地址，目的端口和 傳輸層協議）分流到SRIOV VF電源220VAC/240HVDC交直流兼容電源*2,主動式PFC,通 過80plus白金認證可靠性1+1冗余電源，支持熱插拔；冗余系統風扇管理維護提供基于Web的遠程管理控制、配備硬件監(jiān)控、遠程管理 功能；支持IPMI2. 0標準。提供IKVM功能

47、，實現遠程KVM 功能；獨立管理口 100%兼容千兆或百兆交換網絡，通過管 理口實現遠程開關機、重啟、網絡安裝操作系統等操作兼容性所投產品需與云平臺兼容，通過云專有云平臺認證，各廠 商機型認證情況見云官網鏈接：https :/www. aliyun. com/product/apsara-stack 頁面最 下方“合作伙伴-硬件認證”；提供截圖維保提供三年全免費（免上門費、備件費、人工費及相關費 用）技術支持與保修服務云管控基礎服務服務器（4臺）指標項具體要求服務器外觀機架式，2路服務器CPUIntel_Xeon_Gold5218*2, x86_64 架構內存384GB, ECC DDR4 R

48、DIMM 頻率 2666MHz硬盤240G240G_sata_ssd*2, 8000G8T_sata_hdd*12,1920G1920G_nvme_ssd*2；NVMe_SSD:企業(yè)級主流品牌型號，接口類型為U. 2盤或AIC 皆可，擦寫壽命：=0. 7DWPD 5年，帶掉電保護功能：即 有連續(xù)數據寫入的情況下，異常掉電不丟數據；SATA_HDD:企業(yè)級 SATA 硬盤,=7200rpm； SATA_SSD:市場 主流品牌，企業(yè)級SATA SSD硬盤（普通SATA SSD或sata SATA SSD, =240G）；磁盤順序要求：1）240G SATA SSD作為系統盤，盤序排在第一位置（系統

49、下識別盤符為sda）;2）第二塊240G SATA SSD盤排在第二位置（系統下識別 盤符為sdb）;注：所有SATA磁盤系統下識別盤符順序與磁盤物理slot 順序對應磁盤控制器sas 卡（none-raid） *1 或板載 AHCI, non-raid 直通，滿 足機型磁盤配置需求，釆用板載AHCI直出或以下芯片型 號的標準卡或自研卡：SAS3008it、SAS3408it、SAS3216、 SAS3416it網卡1GE*2:主控芯片型號 Intel 1350/82580/82576,物理網口 10/100/1000Mbps,支持PXE,支持虛擬化應用；10GE*4:雙端口 10G光口獨立網

50、卡，主控芯片型號Intel 82599,并滿配兼容多模模塊（SFP+）,支持PXE,支持 DPDK應用（兼容2. 2版本），支持SRIOV技術，支持特定 五元組（源IP地址，源端口，目的IP地址，目的端口和 傳輸層協議）分流到SRIOV VF；兩塊萬兆網卡，要求必須 插在不同的CPU對應的pcie插槽上電源220VAC/240HVDC交直流兼容電源*2,主動式PFC,通 過80plus白金認證可靠性1+1冗余電源，支持熱插拔；冗余系統風扇管理維護提供基于Web的遠程管理控制、配備硬件監(jiān)控、遠程管理 功能；支持IPMI2. 0標準。提供IKVM功能,實現遠程KVM 功能；獨立管理口 100%兼容

51、千兆或百兆交換網絡，通過管 理口實現遠程開關機、重啟、網絡安裝操作系統等操作兼容性所投產品需與云平臺兼容，通過云專有云平臺認證，各廠 商機型認證情況見云官網鏈接： HYPERLINK https:/www https:/www. aliyun. com/product/apsara-stack 頁面最 下方“合作伙伴硬件認證”；提供截圖維保提供三年全免費（免上門費、備件費、人工費及相關費 用）技術支持與保修服務& NTP服務器（1臺）指標項具體要求服務器外觀1U/2U品牌市場主流品牌網卡10GE(SPF+)=2, 1GE(RJ45)=2電源1+1冗余電源設計10接口USB 接口數量=2 VGA

52、 口=1 Serial Console=l授時模塊支持單/多模北斗授時，支持單/多模GPS授時守時模塊鈿原子鐘守時精度lus守時誤差小于等于5ms/l年授時精度=14000 次/s協議支持NTP： V1/V2/V3/V4、 SNTP、 SNMP、 UDP、 Telnet、 IP、 TCP用戶容量=4W加密協議MD5&證書（二）網絡1.核心交換機（2臺）指標項具體要求外觀框式交換機，支持4槽位，前后通風硬件架構1）電源、風扇支持N:1冗余；2）主控板M2,交換機矩陣板26；基本性能交換容量N92T,包轉發(fā)率N57600M端口36端口 40G以太網光接口模塊（QSFP+） 2重點特性1）所有端口支

53、持巨幀轉發(fā)（$9216 bytes）2）10G、40G端口支持路由口、路由子接口功能3）端口支持LLDP功能4）支持IPv4/V6雙棧二層功能1）VLANM4K,支持 STP/RSTP/MSTP2）支持DHCP relay,且server地址不小于2個3）支持基于端口的廣播風暴/組播/未知單播抑制三層功能1）支持IPv4/v6雙棧支持靜態(tài)路由、0SPFv2/v3、 ISIS/v6 BGP/4+等動態(tài)路由協議2）支持ECMP3）支持 IPv4/v6 三層組播:PIM-DM/SM; IGMP/MLD4）支持VRRP網絡管理1）支持POAP/Ansible/ZTP等設備零配置自動化部署功能2）支持N

54、ETCONF標準接口3）支持SNMP通過域名方式訪問4）支持NTP客戶端，支持時區(qū)修正，支持基于IP和域名 訪問sever5）支持Console、Telnet和SSH2命令行配置等網管方式6）支持單物理端口和聚合組本地鏡像、遠程鏡像7）支持流量統計功能安全服務1）支持基本ACL、擴展ACL、基于時間ACL等安全防護技 術2）支持AAA認證，并支持用戶分級管理和口令保護3）支持設置SNMPv3加密，加密方式支持AES1284）支持遠程日志記錄，指定記錄服務器IP地址萬兆接入交換機（15臺）指標項具體要求外觀機架式1U盒式交換機，前后通風硬件架構冗余電源；冗余風扇基本性能交換容量N2. 56Tbp

55、s,包轉發(fā)率N1080Mpps端口N48 口 SFP+萬兆，M6 口 QSFP+40G重點特性1）支持堆疊（IRF） /VSS,或者跨設備LACP聚合2）所有端口支持巨幀轉發(fā)（$9216 bytes）3）10G、40G端口支持路由口、路由子接口功能4）端口支持LLDP功能5）支持IPv4/V6雙棧二層功能1）VLANM4K,支持 STP/RSTP/MSTP2）支持DHCP relay,且server地址不小于2個3）支持基于端口的廣播風暴/組播/未知單播抑制三層功能1）支持IPv4/v6雙棧支持靜態(tài)路由、0SPFv2/v3、ISIS/v6、BGP/4+等動態(tài)路由協議2）支持ECMP3）支持 I

56、Pv4/v6 三層組播:PIM-DM/SM;IGMP/MLD4）支持VRRP網絡管理1）支持POAP/Ansible/ZTP等設備零配置自動化部署功能2）支持NETCONF標準接口3）支持SNMP通過域名方式訪問4）支持NTP客戶端，支持時區(qū)修正，支持基于IP和域名 訪問sever5）支持Console、Telnet和SSH2命令行配置等網管方式6）支持單物理端口和聚合組本地鏡像、遠程鏡像7）支持流量統計功能安全服務1）支持基本ACL、擴展ACL、基于時間ACL等安全防護技 術2）支持AAA認證，并支持用戶分級管理和口令保護3）支持設置SNMPv3加密，加密方式支持AES1284）支持遠程日志

57、記錄，指定記錄服務器IP地址帶外管理核心交換機（4臺）指標項具體要求外觀機架式1U盒式交換機硬件架構冗余電源基本性能交換容量N512Gbps,包轉發(fā)率200Mpps端口M48 口千兆電，M4個SFP+萬兆光重點特性1）所有端口支持巨幀轉發(fā)（$9216 bytes）2）端口支持LLDP功能，且支持配置TLV指定managementip地址二層功能1）VLANN4K,支持 STP/RSTP/MSTP；2）支持 DLDP/UDLD3）支持基于端口的廣播風暴/組播/未知單播抑制三層功能1）支持靜態(tài)路由、0SPFv2、ISIS、BGP等動態(tài)路由協議2）支持VRRP網絡管理1）支持SNMP V1/V2/V

58、3,支持SNMP通過域名方式進行訪問2）支持管理VLAN3）支持Console、Telnet和SSH2命令行配置等網管方式安全服務1）支持基本ACL、擴展ACL、基于時間ACL等安全防護技 術2）支持AAA認證，并支持用戶分級管理和口令保護3）支持設置SNMPv3加密，加密方式支持AES1284）支持遠程日志記錄，指定記錄服務器IP地址帶外匯聚交換機（2臺）指標項具體要求外觀機架式1U盒式交換機硬件架構支持交流電源基本性能交換容量N176Gbps,包轉發(fā)率132Mpps端口$48 口千兆電，$4個SFP千兆光重點特性1）VLANN255,支持 STP/RSTP/MSTP；2）支持基于端口的廣播

59、風暴/組播/未知單播抑制3）支持靜態(tài)路由網絡管理1）支持SNMP V1/V2/V3,支持SNMP通過域名方式進行訪 問2）支持管理VLAN3）支持Console. Telnet和SSH2命令行配置等網管方式安全服務1）支持基本ACL、擴展ACL、基于時間ACL等安全防護技 術2）支持AAA認證，并支持用戶分級管理和口令保護3）支持設置SNMPv3加密，加密方式支持AES1284）支持遠程日志記錄，指定記錄服務器IP地址帶外接入交換機（5臺）指標項具體要求外觀機架式1U盒式交換機硬件架構支持交流電源基本性能MACM8k端口M48 口百兆電，M4個SFP千兆光重點特性VLAN$255,支持 STP

60、/RSTP/MSTP；支持靜態(tài)路由網絡管理支持Console、Telnet和SSH2命令行配置等網管方式安全服務支持AAA認證，并支持用戶分級管理和口令保護（三）網絡安全1.防火墻系統（4臺）指標項具體要求產品架構要求產品釆用自主知識產權的專用操作系統，應用多核并行處理技術 保障產品處理性能，需提供公安部計算機信息系統安全產品質量 監(jiān)督檢驗中心、中國信息安全測評中心、中華人民共和國國家版 權局、公安部信息安全產品檢測中心之中任意一家檢測機構出具 關于“多核并行安全操作系統”的證書或檢測報告性能要求性能參數：網絡層吞吐量M50G,應用層吞吐量N12.7G,并發(fā)連接數$410萬,HTTP新建連接數