项目内容:项目基本信息 项目名称 互联网缴费平台 审批事项公示信息 绵阳市人力资源和社会保障局“绵阳市社会保障监督类信息工程硬件支撑平台、“互联网 政务服务”及总集成”公开招标征求意见的公告 绵阳市政府采购中心受绵阳市人力资源和社会保障局委托,拟对“绵阳市社会保障监督类信息工程硬件支撑平台、“互联网 政务服务”及总集成”项目进行国内公开招标,现就项目相关要求等公开征求意见。 一、招标编号:MYZC招(2019)78号 二、招标项目:绵阳市社会保障监督类信息工程硬件支撑平台、“互联网 政务服务”及总集成 三、资金来源:其他资金 四、招标项目简介: 本招标项目是绵阳市社会保障监督类信息化工程中重要的组成部分,主要包含:硬件支撑平台(数据中心核心设备设施、网络安全设备及服务 、标准化设备设施等)以及“互联网 人社”服务系统开发和项目总集成等。 五、供应商参加本次政府采购活动应具备下列条件: 1、具有独立承担民事责任的能力 2、具有良好的商业信誉和健全的财务会计制度 3、具有履行合同所必须的设备和专业技术能力 4、具有有依法缴纳税收和社会保障资金的良好记录 5、参加本次政府采购活动前三年内,在经营活动中没有重大违法记录 6、法律、行政法规规定的其他条件 六、征求意见的范围和期限:为了保证政府采购当事人合法权益,确保政府采购程序公开、公平、公正,希望潜在政府采购供应商提出有效的意见,并最迟在公示期(2019年 11 月 29日-2019年 12月5日)满后两个工作日内将意见以书面形式反馈至绵阳市政府采购中心和采购单位。逾期提出异议的将不再受理。 七、联系方式 采购人:绵阳市人力资源和社会保障局 地 址:绵阳市涪城区南河路26号 联 系 人:郭永龙 联系电话:18909011398 采购代理机构:绵阳市政府采购中心 地 址:绵阳市三江西路北段1号桃花岛商业街第4幢商业楼 邮 编:621000 联 系 人:郭女士 联系电话:0816-2335356 传 真:0816-2335356 招标项目技术、商务及其他要求 一、项目概况 本项目主要是硬件支撑平台(数据中心、网络安全、标准化)及“互联网 政务服务”两大部分,按照项目规划设计及建设方案,本项目建设除了支撑人社、医保外,还预留支撑其他五个部门与社会保障相关信息系统的能力。本项目计算及存储、安全支撑等均属于“准金融系统”级别,进行同步设计、同步建设、同步运维,为确保项目建设后质量,特别是确保数据和网络安全,避免出现“半截子或烂尾工程”,特对项目建设做以下整体要求,请各投标方认真阅读,并将此要求融入投标方案中。 特别注意事项: 全文中带有“★”、“▲”的条款为主要评分条款,对这些条款的任何负偏离将被扣分;带有“●”的条款为方案评分主要参考项。 本项目投标方必须完整地提供合同包要求的所有货物和服务,否则该投标方针对该项目的投标将按照无效投标处理。 招标文件中所述技术要求,应视为保证系统/设备运行所需的最低要求,如有遗漏,投标方应予以补充,否则一旦成为中标方将认为投标方认同遗漏部分并免费提供。 若招标文件第六章所述内容与其它部分的条款发生理解冲突,则以第六章所述内容为准;如招标文件发生变更,则相关条款的解释以更改通知为准。 经评标委员会认定要求澄清的证明文件必须在规定的时间内提供,否则其将不具有中标方的资格。 二、技术和服务要求 (一)项目名称 项目名称:绵阳市社会保障监督类信息化硬件支撑平台、“互联网 政务服 务”及总集成项目。 (二)建设背景 紧密围绕绵阳市人力资源和社会保障事业的重点工作和发展方向,以建设绵阳市城乡统筹的人力资源和社会保障体系为目标,借助信息化手段,建立统一的数据中心、互联网+人社,构建高效、安全的信息系统应用平台和硬件基础设施,实现对业务、人群、功能、网络的全覆盖。通过本次信息化建设对业务经办体系、基金监管体系、公共服务体系、宏观决策及运维管理体系的有力支撑,全面提升绵阳人力资源和社会保障事业在管理、服务、协同、决策方面的水平,最终实现人力资源和社会保障通筹城乡的一体化建设目标。 (三)建设目标 根据市委、市政府的工作要求,运用云计算等技术、遵循网络安全法等规定,适应“互联网 ”发展需要,建立一主一备数据中心,并构建统一的安全体系,保证数据及业务系统的访问安全,并制定应用安全规范,提高联网应用和数据的安全防护能力,为全面实现“互联网 政务服务”和公共服务体系建设打下基础。 并且更加强调是对人的服务,,互联网 创新技术能力巨大。 落实“互联网 人社”总体建设要求,充分利用信息技术,按照“以人为中心”的发展理念,以满足社会保障服务对象的实际需要为宗旨,提供多形式、全方位的线上线下融合,提高服务体验,提供更加便捷、智慧的人社服务。 (四)建设周期 1、硬件设备及非定制化软件产品:建设周期3个月,其中数据中心设备2个月供货并完成安装调试并完成系统迁移(此时间为硬性要求,若因中标方原因造成项目延期,自行承担相应责任)。 2、定制化软件产品:分两个阶段: (1)基于招标方现有核心信息系统开发:5个月内进行主要功能开发(含现有已有功能的升级)并上线试运行。 (2)基于招标方新版核心业务服务系统开发:5个月内完成所有功能开发并上线试运行(含重新对接核心业务服务系统)。 3、因中标方供货周期、设备故障等原因造成项目逾期的: 逾期超过20天(不含),在招标方指定市级或其以上纸质媒体上公告说明原因,招标方有权终止合同,并向中标方提起索赔及,中标方承担全部违约责任。 (2)逾期30天内,每逾期一天,按合同总额的万分之三的扣减合同款项; (3)逾期超过30天(含),每逾期一天,按合同总额的万分之四的扣减合同款项; 合同签订和付款实现 中标方接到中标通知书后10日内,持中标通知书以及招标文件中需加盖厂家公章的证明资料(证明资料与标书不一致做虚假应标处理,时间逾期做违约处理),与招标方先行签订两方合同并完成相应备案。后续为满足合作银行资金支付管理规定,还需按市财政局、市人社局、合作银行的要求,签订三方合同(由于合作银行是资金出资方,因此合同格式、审批流程以及时间由合作银行审定)。 合同款项支付,受合作银行资金支付科目(固定资产类、服务类)的要求,暂按“硬件设备及非定制化软件产品(即数据中心、网络安全和标准化设备,以下简称标准软硬件产品)”和“定制化软件产品(即互联网 政务服务,以下简称“定制软件产品”)” 两类进行,每次付款前中标方应按规定开具并提交对应金额的发票。若因中标方原因导致未达到付款条件或因银行审批流程原因导致付款时长过长,建设周期时长均不做任何变化。具体支付方式如下: 项目建设阶段 (1)第一批次付款:付款金额:合同总金额的25%。 下列条件全部满足,可申请项目第一批次进度付款:(1)合同签订生效;(2)中标方安排技术人员(不低于10人)驻场并开展工作;(3)熟悉用户现有环境及建设方案,并提交经用户认可的项目实施计划表;(4)与主要核心设备(数据库服务器及存储、云计算节点、数据库等)厂家的签订供货协议,原厂出具已签订本项目供货协议的证明(加盖原厂公章);(5)完成定制化产品开发环境搭建,并发布DEMO可以查看运行效果,具备原型演示和测试等条件,若用户服务器资源紧张,中标方自行提供试用机等设备用于搭建环境。 (2)第二批次付款:付款金额:合同总金额的45%。 下列条件全部满足,可申请项目第二批次进度付款:(1)“标准软硬件产品”到用户现场并签收,技术指标与招投标文件一致,在乡镇(社区)具备安装条件前提下,需先安装到位;(2)数据中心设备及安全设备等安装调试完成切换,按用户要求,进行一次主备数据中心切换、备份数据恢复等应急演练,对系统性能进行压力测试和攻防测试,切换、测试及演练均达到用户预期效果;(3)“互联网 人社”等定制化软件完成核心重要功能开发,并对开发框架进行对招标方培训,招标方达到对框架熟练运用,具备完善修改功能模块、自助维护的能力;(4)提交了产品对应的厂家售后服务承诺及供货证明(加盖厂家公章)(5)运行达到标书中对应要求,如核心数据库服务器CPU占有率,内存占有率等指标。 初验阶段 第三批次付款 合同中该部分产品总金额的20% (1)“标准软硬件产品”部分初验 付款金额:合同中该部分对应金额的20%。 申请条件:业务信息系统平移后稳定运行2-3月后,且通过安全风险评估,中标方可提请项目初验;初验完成后,中标方可以申请项目第三批次付款。若在此期间,出现异常或故障造成业务中断或较大影响,出现一次,初验时间向后顺延两个月,出现两次,初验时间向后顺延四个月,以此类推。(初验、终验专家费用由中标方承担,详见总体要求中“1”) (2)“定制化软件产品”部分初验 付款金额:合同中该部分对应金额的20%。 申请条件:招标方新建的核心服务系统完成后,定制化软件产品完成相应的二次对接和调整后,主要功能上线稳定运行2-3月后,且通过安全风险评估,中标方可提请项目初验。初验完成后,中标方可以申请项目第三批次付款。若在此期间,出现异常或故障造成业务中断或较大影响,出现一次,初验时间向后顺延两个月,出现两次,初验时间向后顺延四个月,以此类推。 终验阶段 第四批次付款 付款金额:合同中总金额的5% 初验完成后3个月系统运行均无异常,若期间,等级保护标准等规范公布,需通过三级等保测评,中标方可申请终验,终验完成后,中标方可以申请项目第四批次付款。 尾款阶段 第五批次付款 付款金额:合同中总金额的5% 剩余的未付金额为质保金,终验完成一年后,系统无异常或故障,无息退还。 (六)总体要求 1、本次硬件支撑平台属于全新建设,因此中标方需承担相关建设、运维以及安全管控、应急演练、管理制度制定等全部工作。项目为“交钥匙”工程,请投标方在投标预算中,将配件费、税费、交通费、差旅费、培训费、人工费、与第三方对接联调费、软硬件接口费、硬件多次调试配置、软件多次修改调整、项目验收费(按3万元标准预留)、总集成费等费用全部包含在内,特别是由于IT产品不同厂家出厂预配、服务响应、技术路线、成熟稳定度有所不同,若投标方在标书中有遗漏的产品或服务,请投标方在投标文件中自行补齐,并将对应价格包含在总报价中。招标结束后,招标方不针对本项目建设内容追加任何费用,投标方对本项目只能有一个报价,本项目不接受有选择的报价。 2、项目总体合规性要求,必须完全符合各级政府网络安全、电子政务、“互联网 政务服务”总体建设要求和标准规范(含已经正式公布的征求意见稿),以及人社部、省人社厅等部门公共服务体系、“互联网 人社”、“互联网 医保”总体建设要求,中标方在提交付款申请时,需先自查项目阶段性成果的合规性,并提交招标方审核通过。 终验时,若新版等保标准正式版出台,则必须通过三级等保测评和备案,作为项目终验的前提条件;若新版等保标准正式版尚未出台,则先按照征求意见版进行自查,并出具书面承诺,后续必须通过三级等保备案。 3、系统建设后,需进行完成一次主备数据中心切换、备份数据恢复等应急演练,对系统性能进行一次压力测试,对系统网络安全进行一次攻防测试,若应急演练和测试没有达到招标方、监理方的要求和预期效果,招标方有权委托第三方团队进行相关工作(相关费用由中标方承担,延误时间由中标方自行负责)。 4、由于本次项目是合作银行委托市人社局作为招标方进行项目招标,项目产权归合作银行所有,因此采购完成后,先行签订市人社局、中标方两方协议(市人社局作为甲方、中标方作为乙方),后行签订合作银行、中标方、市人社局三方协议(合作银行作为甲方、中标方作为乙方、市人社局作为丙方),票据按合作银行要求方式出具并提供给合作银行,同一项目的票据有可能开具给多家银行。特别提醒是:市人社局负责按招标文件和合同,按时办理付款手续,但由于付款流程需要分别在政府部门、合作银行(部分银行需要上报省分行)等多个环节审批,付款周期较之其他政府采购项目要长,存在一定不确定性,因审批周期导致的延误,市人社局不承担相应责任,但会积极协调相关部门和合作银行。项目由监理公司全程监理,除接受政府部门审计监管,还受银行部门审计监督。 5、项目按照国家规定执行三包和电子产品强制认证,服务一律采用现场驻场服务方式,不接受远程连接等方式,除标书中明确的外,硬件产品一律三年厂家质保、定制化软件产品验收合格后,一年免费维护升级。 对软硬件产品(单价超过5万元的,不含App运行监测等各类纯服务)后续原厂级维护升级等标准请在投标文件中单独列表说明: (1)明确若不购买原厂维护升级服务,其他第三方能否对设备提供维护支持服务。 (2)产品过保后,软硬件产品(单价超过5万元的,不含安全产品特征库和各类纯服务)每年原厂维护升级费用不得超过此次报价的15%(投标时,由投标商出具承诺加盖投标商公章,签订合同前,在此承诺函上加盖厂家公章。若两次承诺函不一致,视为虚假应标,同时,标书中公章均为红色鲜章,以下同)。 (3)软硬件产品(单价超过5万元的,含安全产品特征库,不含各类纯服务)每年原厂维护升级费用不得超过报价的25%(投标时,由投标商出具承诺加盖投标商公章,签订合同前,在此承诺函上加盖厂家公章)。 (4)各类纯服务(单价超过20万元/年标准的,如人工服务、安全监测等)后续续费,在内容不变的前提下,不得超过此次报价(投标时,由投标商出具承诺加盖投标商公章,签订合同前,在此承诺函上加盖服务提供商公章)。 6、由于本项目采用了较多第三方产品及服务,请投标方谨慎选择投标产品(投标时,由投标商就此专门出具承诺并加盖投标商公章)。 若第三方产品及服务后续停止升级或支撑,出现漏洞等运行隐患或者功能不 能满足招标时确定的需求,招标方有权要求中标方提供类似的主流品牌产品来替代(费用包含在内); 若提供的产品及服务,使用第三方开源框架及程序等,请在投标时予以标明, 若第三方开源框架及程序因停止升级服务,出现漏洞等运行隐患或者功能不能满足招标时确定的需求,招标方有权要求中标方采用其他类似功能的框架或产品来替代(费用包含在内); 移动应用集成的人脸识别、智能语音应答等第三方产品,需符合相关行业标 准,对用于支付场景的人脸识别,其产品选型参照支付宝、微信、国有大型商业银行等支付场景标准进行,若使用其他产品,人脸识别等出现失误等质量问题,而支付宝、微信、国有大型商业银行等应用场景没有出现类似失误等质量问题,相应损失及责任由中标方承担。 (4)投标方承诺按照系统应用需求提供的系统建设所需的所有配套软件,不会导致招标方在使用过程中有任何版权和法律层面问题,如有第三人向招标方提出侵权或其他损害赔偿的,投标方须承担全部经济责任,包含但不限于损害赔偿金、因诉讼或谈判所产生的公证费、交通费、差旅费、律师费等所有费用。 7、在投标文件中,请对评分细则中要求的产品生产制造商做说明,包括但不限于制造商的品牌及产品介绍,是否在国家央采入围、金融机构、电信运营商、全国性保险公司集采入围;在金融机构、电信运营商、全国性保险公司、市级及以上政务平台或人社、医保、税务、公安等部门使用案例。 8、系统投入运行后,在7:00----23:00期间,全年停机(含设备异常、软件故障等)累计不超过6个小时,在23.00-次日7:00期间,全年停机(含计划性)原则上不超过24小时(含硬件维保、软件升级等),如有超过此时限,中标方需在招标方指定市级或其以上纸质媒体上公告说明原因,招标方及因业务中断受影响的单位及个人均有权向中标方提起相应索赔。 9、由于市级网络需与部、省两级及市级平台等互联互通,相关设备及软件必须考虑与部、省及市级平台等兼容性。由于部、省信息系统均要部署在市内,打印机、高拍仪、读卡器、指静脉、人脸识别终端等标准化设备除用于支持市级人社、医保等信息系统外,若用户有需要,还需支持现有部、省人社、医保等信息系统,并免费开放接口供以后部署其他各类信息系统使用。 10、供货后,按照招标方及监理公司要求,提供原厂供货证明及售后服务承诺,按招标方要求设置标识等,建立固定资产台账。标准化设备一律由厂家直接送到招标方指定的用户现场,中途不能拆箱,配置到县市区(含社区、乡镇、街道),一律配送上门并安装,并按要求做好现场签收记录。 11、按规定提供现场环境查看,可查看内容主要有:(1)现有机房环境及部分要利旧的PC服务器等;(2)现有运行的业务信息系统;(3)现有数据库、中间件等环境;(4)现有网络环境等,以便投标方制定投标技术方案(特别是现有系统迁移方案)。查看地址:绵阳市桃园路192号4楼412办公室;联系电话:0816--2340290。 12、本次采购的核心设备为:生产区数据库服务器、生产区数据库磁盘阵列、数据库云管理软件、云平台计算节点、主中心离线备份一体机、终端安全管理系统、APT攻击分析系统、云安全管理平台、虚拟化杀毒安全防护系统。 13、若采购人在合同实施中发现中标方提供的产品达不到招标文件中提出的指标要求而中标方又未在投标文件中如实写明的,采购人有权在不承担任何责任的条件下单方面终止合同,按照评标报告中推荐的中标候选人顺序依次重新确定中标方,因终止合同而产生的一切损失由有虚假行为的中标方承担。 14、人员要求: 投标方根据项目建设需要,向中标方提出驻场人员的资质、技术能力等要求,招标方成立项目实施机构,未经招标方同意,人员中途不能更换。 项目初验前,中标方至少需派22人以上人员驻现场开发及维护(数据中心方面人员3人、网络安全人员3人、软件开发及测试人员12人,其他技术人员3人,现场管理人员1人); 项目初验后到终验期间,中标方至少需派16名以上人员驻现场开发及维护(数据中心方面人员2人、网络安全人员3人、软件开发及测试人员9人,其他技术人员1 人,现场管理人员1人); 项目终验到维护期结束期间,中标方至少需派11名以上人员驻现场开发及维护(数据中心人员1人、网络安全人员3人、软件开发及测试人员5人,其他技术人员1人,现场管理人员1人); 以上人员,均在招标方现场办公(含区县及乡镇等基层机构)接受招标方日常管理,未经允许,不得中途更换人员(投标时,提供驻场人员名单、资质及社保证明),此项相关所有费用(需有费用测算表)包含在报价中。 现场驻扎团队须具备以下证书:CISP 证书、CISAW证书、信息安全管理师证书、管理专业人士资格认证证书(PMP证书)、CCIE证书等,且不能派驻其他项目。驻场人员除了日常的安全运营外,每月必须对采购人运维范围内的网络与信息系统进行安全漏洞扫描,对发现的安全漏洞及时提交中心,督促并跟踪相关运维单位整改,保护中心网络安全;重大活动/节日网络安全保障期间,还需增加必要的安全检测、监测设备,提供全方位的网络安全保障;当发现有入侵事件正在发生或已经发生、主机网络异常时,驻场人员需立即进行事件调查、保存证据、查找后门、追查来源等,同时提供事件处理报告以及后续的安全状况跟踪。 15、售后服务要求 (1)硬件及产品化软件质保期从设备及软件试运行开始计算,定制化软件产品质保期从终验通过后开始计算。 (2)中标方需建立备品备件制度,合同期内,若因备品备件不及时,造成业务受影响,中标方承担相应责任。 (3)在质保期内,中标方应负责为采购人免费更换或维修的设备,并免费将设备按约定的时间送到采购人指定的交货地点,负责安装和调试,妥善做好相关设备数据保密工作。 16、项目培训要求 中标方应面向项目参与的相关领导、技术人员和主要业务操作人员提供培训服务,根据培训对象的总体水平,制定最优的培训计划。具体要求如下: 现场培训:在设备安装完成后,厂商和中标方必须提供相应的现场培训,内容涉及日常的运行、维护; 投标方案中需提供详细的培训计划; 中标方及厂家派出的培训教员应熟悉本系统,并有一定的教学经验; 中标方及硬件供应商为所培训人员提供中文培训、资料和讲义等纸质、电子资料; 培训需达到用户自行能进行独立日常维护的能力(作为项目验收标准),质保期内,如果采购人出现人事调整,机构的变换等,中标方应免费提供重新培训。 产品厂家(服务器、网络安全、软件三类)提供三个在北上广深杭厂家培训名额,用于参与厂家年度培训或技术交流会(时间不低于三天),交通、食宿、培训等费用统一由中标方承担。 定制化软件开发产品形成的源代码归招标方,在合同期内,未经招标方同 意,投标人不得参加人社行业类似“互联网 人社”项目建设。 本项目不接受联合投标。 (六)建设内容及要求 1.建设内容清单 序号 分项名称 主要建设内容 功能要求 1 数据中心 服务器、存储备份、超融合等 详见数据中心建设要求 2 网络安全 防火墙、APT、日志审计系统等 详见网络安全建设要求 3 互联网 政务服务 智慧人社移动端、API聚合服务网关、银政金融交易信息系统等 详见互联网 政务服务建设要求 4 标准化设备 高拍仪、台式电脑、打印机等 详见标准化设备建设要求 5 总集成服务 负责对项目进行总集成(项目分为多个包进行招标实施) 按照国家、行业规范及用户具体要求,对项目(本包以及核心业务服务包、机房托管及线路租赁包、网络安全测评包等)进行项目总集成。 2.数据中心建设要求 2.1 概述 随着信息化推进国家治理体系和治理能力现代化能力方向,通过信息化建设实现“简政放权、放管结合、优化服务”。按照项目总体建设方案,数据中心需承担市人社局、市医保局、市财政局、市卫计委、市民政局、市食药监局、市残联七个单位与社会保障有关的信息化支撑,满足应用负载容量与等保三级要求,实现各业务单位运行环境相对独立,包括数据的集中管理和高效利用,增强对实时业务的服务支撑能力,以各类跨区业务经办应用,为全民社会保障业务提供基础设施保障。 按照批复的规划设计及建设方案,本次数据中心需要支撑未来5年内相关单位的信息系统运行,考虑到数据中心核心设备各厂家技术体系、路线有较大差异,且各厂家选用不同的性能指标来体现各自产品的性能综合能力,因此在满足投标文件中技术指标外,还应达到下列条件: 1、现有人社、医保业务系统原样迁移到新建数据中心(业务系统不针对迁移做任何优化调整),在业务最高峰期(星期一上午10:00-11:00),核心数据库服务器CPU占有率低于30%,核心数据库服务器内存占有率低于30%(相关指标以数据库相关报表为准),未达到的此标准的,项目暂停付款或验收,并且由中标方更换更高配置的设备,同时要确保系统平稳运行(因设备性能不足或异常造成业务中断的时间延误及其他损失,由中标方全部负责)。 2、招标方负责协调现有业务信息系统建设方在新环境中参与测试环境和业务验证工作,中标方负责其他工作,整个工作时间控制在10天以内。 2.2 建设目标及原则 2.2.1 建设目标 此次数据中心建设与省级数据中心相对应,建设一主一备同城异地的两个数据中心,主要是提供数据的构建、保存、更新、集成、分发、与共享,以及提供存证、容灾、备份等信息服务的基础环境,实现数据的集中存放和应用的集中处理,完成数据的生产、交换和决策各项任务。其中备数据中心通过数据库自带的同步软件完成数据实时同步,包括: 当主数据中心出现故障时,通过人工或者自动切换,备数据中心能够接管主数据中心,保证业务运行的连续性和稳定性; 备数据中心承担大规模的数据查询,缓解主数据中心的压力; 备数据中心为业务系统实现“读写分离”提供基础条件。 2.2.2 建设原则 为了保障建设目标顺利实现,投标方在建设过程中需遵循国家及行业规范以及用户需求等进行数据中心的建设实施,包括合规性原则、合理性原则、一致性原则、先进性原则、灵活性与可扩展性原则、安全性原则等。 (1)合规性原则 根据全市社会保障监督类信息系统及网络实际情况和计算机网络技术的发展现状,投标方提供的方案从产品选型到项目实施都应遵循国家数据中心建设相关规范要求。 (2)合理性原则 数据中心的建设要以实际需求作为建设依据,在确保现有信息系统平稳运行及后续平稳切换的前提下,在数据中心方案的制订、产品及技术选型、服务等方面都应尽可能体现经济性原则,使有限的资源发挥重要的作用,使最小的投入获取最大的效益。 (3)一致性原则 主备数据中心建设目的是保证数据中心的稳定运行,应当最大限度地服务于系统业务,保证系统的连续性、可靠性、稳定性、可用性,因此要求统一建设整个主备数据中心,以保持高度的一致性。 (4)先进性原则 采用先进成熟的技术和设备,尽可能采用先进的技术和设备,以适应高速的数据增量发展的需要,使整个系统在一定时期内保证其先进性,以适应未来业务的发展和技术升级的需要。 (5)灵活性与可扩展性原则 除了能够满足目前需要还必须具有良好的灵活性与可扩展性,能够根据业务发展升级设备容量和性能以满足将来的业务需要。 (6)安全性原则 依据国家相关法律法规进行“网络安全建设”,保障全系统、全业务流程的安全性。 2.2.3 备份原则 为了保障数据安全,满足等保要求,对主数据中心与备数据中心进行数据备份应满足以下数据备份原则: (1)在线保护 在线数据保护技术应达到RPO为0,RTO为0或者秒级。 (2)近线保护 近线保护采用数据复制、克隆、快照等技术,达到秒级RPO和分钟级的RTO。 (3)离线保护 离线保护的保存周期和拷贝数量不受限制,达到RPO和RTO小时级或者天级。 2.3 实施方案要求 2.3.1 需求分析 ●方案及产品性能满足未来5年的人社、医保、财政、民政、卫健委、市场监管、残联与社会保障相关的信息系统运行所需的计算资源容量、存储资源容量、数据库资源容量、备份资源容量。需要考虑现数据中心的部分计算资源整合能力,备份方案应当充分考虑数据中心各类系统及存储的支持、兼容能力。投标方同时还需满足国家法律法规的资源池建设要求。 按照前期规划与等保要求,本次数据中心建设分为主数据中心与备数据中心。投标方在数据中心方案前需从功能进行分区,主数据中心从网络接入分为主数据中心生产区、互联网公共服务区等。这两个区参考“3-通过网络安全建设”完成数据安全交换。主数据中心从功能上分为核心生产区、备份区、测试区、交换区、公共服务区等。备数据中心分为核心生产区、备份区、交换区等。投标方需在方案中详细分析各区域的资源管理与资源隔离,应充分考虑多个单位共同使用的场景,保障各单位资源相对独立,不受其他单位业务影响,同时对各单位计算资源使用情况进行统计分析,并管控使用额度。 2.3.2 总体方案主要实施要求 数据中心建设应满足《GB/T 34982-2017 云计算数据中心基本要求》对云计算资源建设和维护要求。具体要求如下: 1、计算资源池要求 支撑云计算资源池运行的物理主机宜采用多核心处理器; 物理主机的系统软件应包括可适应多核心的操作系统、编程环境和运行时环境支撑; 应配置虚拟机管理器以实现单物理主机上多虚拟主机管理与配置; 计算资源池管理平台应具有执行过程的高可靠性和随云计算数据中心节点规模的增长而具有的高扩展性; 应支持提供可动态调整的CPU、内存、存储、输人输出设备等资源以满足用户及业务需求; 应支持在物理机资源或虚拟机资源上的部署和管理,并至少支持分布式、集群或负载均衡其中一种能力; 宜支持划分不同层次的计算资源以满足不同规格的计算资源需求; 宜至少提供两种虚拟化产品支持。 2、网络资源池要求 应支持多租户和多业务对网络协议和带宽要求; 应支持多样化业务,满足流量特性和行为要求; 宜能够实现网络资源动态调整,实现不同网络协议和网络带宽的选择; 应支持业务在不同网络环境之间平滑迁移; 应实现不同租户或不同业务之间的网络资源隔离; 网络资源应具备冗余性和高可用性; 应支持主流的网络协议,实现与主流云计算服务平台及计算资源池的对接; 应具备支持网络优先级管理。 3、存储资源池要求 存储资源池包括基于对象的云存储和基于键值的云存储; 应能够通过对多台异构物理存储设备的识别和管理实现资源池化; 应能够实现数据的分层存储及数据的生命周期管理; 应兼容多种的存储方式,满足计算、网络等资源池的访问要求; 应支持多种数据类型的数据存取; 应具备冗余的数据存储能力,并能够实现存储资源的动态调整、数据高可用性、数据迁移、自动精简配置; 宜支持多种存储系统的统一管理; 应支持存储多路径技术; 应提供完整性保障机制; 应提供本地数据备份能力,宜提供异地数据灾备能力。 4、资源池的运行维护要求 应满足《SJ∕T 11564.4-2015 信息技术服务运行维护 第4部分:数据中心规范》的要求; 应建立统一的云计算管理平台实现对资源池的监控和运行维护管理; 应建立对云计算数据中心物理设备的定期巡检制度,确保物理设备的稳定运行,发现问题及时处理; 应基于云计算管理平台建立对资源池的监控平台,实现对各类虚拟资源池的容量监控和性能监控,包括资源池的容量状况、虚拟资源的分配、使用状况、配置变更、健康属性、安全事件等,发现问题能及时告警; 应基于云计算管理平台实现对资源池的服务管理,包括资源调度、自动化部署、统一分配和回收、性能优化、系统升级、脆弱点改进、事件驱动响应和服务请求响应等; 应支持对资源池各类资源的常规操作进行日志记录,并对日志进行备份、分析,实现对资源池的行为管理和操作审计; 应支持对资源池的各类资源进行分区和分级管理,并针对云资源用户及云资源管理员建立不同的用户界面,以展现不同角色的服务、职责及权限,实现面向多租户的自服务; 应通过云计算管理平台实现对业务数据的备份、恢复、镜像、复制等功能,确保资源池内的业务数据的安全性; 应建立针对不同租户的身份认证和访问权限管理机制,并宜建立权限与身份绑定的机制,使用户能通过统一的门户登录对其限定的资源进行合规性操作; 应通过统一的下载与补丁管理平台对资源池内各虚拟机的软件版本进行升级和补丁。 2.3.3 主数据中心主要建设要求(包括不限于以下内容) 1、主数据中心互联网公共服务区 应能够支持现有的政务网、智慧人社APP等应用的部署。为各单位提供弹性的请求分发能力、计算资源、存储资源、网络资源,并保障各种资源的独立性、隔离性。互联网接入区还应兼容现有的计算资源。 弹性请求分发能力要求:应具备智能路由、DNS透明代理和智能DNS解析等功能,通过轮询、加权轮询等算法,解决多链路网络环境中流量分担的问题,充分提高多链路的带宽利用率,节约互联网接入区通信链路消耗,为用户分配最佳的通信线路。应利用链路健康检查及会话保持技术,实现多条链路可靠性保障。 弹性资源分配要求:应采用超融合架构,将计算、网络和存储等资源作为基本组成元素,根据各业务系统需求进行选择和预定义。应在每一套单元节点中融入软件虚拟化技术(包括计算、网络、存储、安全等虚拟化),实现每一套单元节点进行网络聚合和模块化的无缝横向扩展,构建统一的资源池。 安全隔离要求:应与生产区进行数据交换安全隔离。 2、主数据中心公共服务区 为主数据中心各业务系统提供数据资源。 数据库云平台要求:应采用可横向扩展的架构来承载数据库服务器和存储服务器;应采用数据多租户架构,可以在多租户架构中插入任何一个数据库,对现有应用的运行不会产生任何影响;应采用分散数据库的自有功能,对客户在私有云模式内进行数据库整合;多租户技术需要与所有数据库功能协同工作,包括应用集群、分区、数据防护、压缩、自动存储管理、应用测试、透明数据加密、数据库Vault等。 非结构数据存储要求:应提供CAS架构的网络存储设备,专门为存储和快速而方便地存取非结构数据;应提供专用的数据访问接口以及对存储内容进行加密保护来保证用户访问数据的安全性;应简化管理、共享和保护所有大小非结构数据存储的任务。 3、主数据中心核心生产区 为各单位核心业务系统如医保、社保等提供多租户模式的计算资源、存储资源、网络资源。同时对各类资源进行管理、隔离、监控。 存储资源要求:提供支持横向水平扩张的磁盘阵列与光纤网络。 云计算资源要求:提供主流的x86或ARM架构的云计算服务器。服务器应当支持计算资源虚拟化、网络虚拟化、存储虚拟化。物理设备应该支持一定容量的本地存储与IO扩展能力。●提供一定比例的国产自主品牌、自主CPU的云计算服务器。 4、主数据中心备份区 建设统一的集中式备份恢复平台,备份的调度、监控、管理由备份服务器负责,所有备份数据都由虚拟化服务器、数据库服务器、应用服务器等以SAN或者LAN方式备份到专用备份设备。应具有如下特性: ●通用性。应支持主流虚拟化系统、操作系统、数据库和备份设备,可以为数据中心所有系统提供统一的备份保护。 可拓展性。备份系统应具有良好的拓展性,可以方便地添加或删除备份客户端、服务器和备份设备,支持跨数据中心数据备份和备份数据级别的远程容灾。 高可靠性。应具有极高的可靠性;同时介质服务器、备份设备均为多套冗余,可满足7×24小时的数据备份需求,无单点故障。 高效率。相比较原有备份体系,新的备份架构对数据的备份应更有效率,也使得备份恢复过程更加简便、更有效率。 高度自动化。新的备份架构应自动完成数据备份,数据的备份对于应用系统来说完全透明,对任意的备份对象都能做到在线备份,不影响生产。 ●智能报告。除了普通的备份恢复日志外,应有生成备份恢复及其它相关管理的统计报表/图表的功能,可以将一段时间内备份恢复、备份设备及介质使用等操作进行详细的统计,并通过图表的方式呈现。 ●提升备份数据效率。应通过长期跟踪数据增长率(包括跟踪重复数据删除前后),预测备份存储需求,从而提高重复数据删除率。 ●虚拟机无侵入。虚拟机内无需使用代理即可进行备份。 ●快速的恢复能力。应直接从备份磁盘启动并恢复虚拟机。 ●安全防护能力。备份一体机应内置系统加固软件,防御零时差攻击和恶意内部人员威胁。 ●容器化支持。应支持最新的docker容器等新型数据备份。 5、主数据中心测试区 应在主数据中心进行测试区划分。根据业务实际要求提供测试环境的计算资源、存储资源、网络资源、数据库资源容量设计。 6、主数据中心交换区 应合理设计核心数据与省厅、公安、银行等数据交换区数据交换方案。 2.3.4 备数据中心主要建设要求 备数据中心包括核心生产区、备份区、交换区。应在整体架构上与主数据中心的生产区、备份区一致。在主数据中心出现故障时,能够为核心业务提供备用资源,并接管主数据中心业务。 1、备数据中心核心生产区 应为核心业务系统提供多租户模式的数据库资源、计算资源、存储资源、网络资源,同时对各类资源进行管理、隔离、监控。数据库资源、存储资源应能够与主数据中心进行实时数据同步,支持物理级别的同平台容灾。 2、备数据中心备份区 建设备用的数据恢复平台,备份的调度、监控、管理由备份服务器负责,所有备份数据都由虚拟化服务器、数据库服务器、应用服务器等以SAN或者LAN方式备份到存储设备。 3、备数据中心交换区 应合理设计核心数据与公安、银行等数据交换区数据交换方案。 2.3.5 集成方案要求 对照国家标准委员会《云计算数据中心基本要求》(GB/T 34982-2017)、《信息技术服务 运行维护 第4部分:数据中心服务要求》(GB/T 28827.4-2019)体现本次数据中心达到的标准,以及后期维护能力。 2.3.6 配套需求 数据中心软硬件产品详见建设清单。 数据中心机柜外的网络布线由机房托管方负责,机柜内的布线、机柜内线路由中标方负责,但投标方需在方案中对机房内布线进行说明以及对机房布线提出要求。 由于数据中心(含网络设备)全部采用租赁机房方式托管,因此需提交对机房租赁方的规范要求以及主备机房线路连接方案,便于后期运维,若有遗漏,以后一律以机房租赁方要求为准。 2.3.7 风险点及难点解决方案要求 系统集成因与多方厂商共同实施项目,投标方案中需明确分工边界等。 2.4 建设清单 序号 设备名称 技术要求 单位 数量 一 主生产区服务器 1 生产区数据库服务器(含三年原厂硬件维保及集成商运维) 配置要求: ★架构要求:非刀片式服务器,高端机架式服务器; ★高端机架式服务器。配置服务器节点≥2个,配置原厂机柜;采用64位RISC、EPIC或X86架构芯片处理器,每服务器节点配置≥2颗新近发布的64位处理器,CPU处理器主频≥2.2GHz,每服务器节点CPU总核数≥48核;每服务器节点内存≥384GB DDR4 ECC内存,支持可扩展内存最大容量≥1536GB;每服务器配置≥4个1.2TB SAS硬盘,硬盘转数≥10K RPM;每服务器配置≥1GB缓存的磁盘控制器RAID卡,具备电池且支持缓存写功能,支持RAID0 、1、5、10;整套数据库云服务器CPU核数与主频的乘积≥220GHz ; 每服务器节点网卡:1/10Gb以太网口电口≥2个,10Gb/25Gb以太网光口≥2个(配置等数量的万兆光模块),FC或40Gb Infiniband接口≥2个; ★I/O:每服务器节点I/O通道带宽≥80Gb/s,整套数据库云服务器I/O通道总带宽≥160Gb/s; ▲采用并行总线架构,提供没有I/O瓶颈的Oracle等数据库运行环境,在8Kb 数据块大小下至少提供≥50万SQL读IOPS和≥50万SQL写IOPS。(供应商提供原厂白皮书技术说明,签订合同前,同款白皮书需加盖原厂公章,两次资料不同者,做虚假应标处理,以下同)。 其他要求: 可靠性:具备双机热备集群软件,支持负载均衡的高可靠性体系架构,硬件冗余设计,无单点故障,交流电源≥2个,冗余并支持热插拔电源、风扇、硬盘; 可管理性和维护性:集成系统管理处理器支持以下内容:自动主机重启、风扇监视和控制、电源监控、温度监控、启动/关闭、按序重启、错误日志;对CPU、内存、硬盘驱动器、电源及风扇等关键部分的潜在的故障具有提前预警能力;故障部件的快速诊断功能:在断电的情况下,能够通过诊断板快速定位故障的部件;配置远程管理软件,提供基于Web的GUI远程管理; 机柜:提供原厂商机柜,规格为:高度不超过42U,配有前后门,配置两路电源分配模块,配备冗余PDU; 配置操作系统为正版64位Unix或Linux,无限用户数; ▲支持数据库软件:支持Oracle 11g、12c、18c、19c数据库企业版等,并提供软硬件集成的优化支持,包括而不限于IO性能提升、通信算法优化以及数据库连接协议增强(供应商提供原厂白皮书技术说明,签订合同前,同款白皮书加盖原厂公章)。 (6)▲提供针对数据库服务器产品的原厂工程师证书复印件,并承诺该原厂工程师实施(投标时,加盖投标商公章,签订合同前,该资料加盖原厂公章)。 套 1 生产区数据库磁盘阵列(含三年原厂硬件维保及集成商运维) 配置要求: 高端存储阵列一套;配置存储控制器≥3个,可扩展数量≥14个,单个控制器缓存≥192GB,最大缓存≥1024GB;支持数据加载速率>2TB/小时; 支持数据加载速率>2TB/小时;在未压缩情况下提供原始磁盘带宽≥64GB/s;支持基于行和列的混合压缩技术,压缩率大于等于5倍; ★支持固态硬盘(SSD)或闪存卡,配置NVMe PCIe3.0闪存,Flash闪存总容量≥64TB;配置SAS机械磁盘,总容量≥360TB; ★每个存储服务器主机接口≥2个,整套分布式存储与前端主机接口总速率≥128Gbps,主机与数据库云服务器节点之间采用并行总线架构互联,端口类型支持FC或Infiniband; 电源风扇≥2个,全冗余的电源和风扇,可在线热插拔更换,具备对停滞磁盘或闪存的亚秒级 I/O 故障切换; 功能要求: 提供具备存储管理的图形化存储管理软件,支持图形化监控和虚拟化存储管理(数据压缩、IO、网络资源)等;盘阵可根据需要划分存储空间,具备实时性能监测、分析等功能;可以通过模块化增加或删减,系统可自动完成数据平衡分布;存储设备支持智能消除热点块;可靠性满足冗余互备要求; ▲提供与数据库服务器互联的冗余FC-SAN 或InfiniBand交换机能力,总交换带宽速率≥2880Gbps;存储交换机与数据库云服务器的每个服务器节点和存储节点的I/O通道带宽≥80Gb/s; 存储交换机和数据库云服务器、数据库存储服务器之间采用分布式架构互联。 (3)▲提供针对数据库存储产品的原厂工程师证书复印件,并承诺该原厂工程师实施(投标时,加盖投标商公章,签订合同前,该资料加盖原厂公章)。 网络交换机(含三年原厂硬件维保及集成商运维) 业务交换机(2台),配置要求: ▲配置≥2台业务网络交换设备,配置端口和激活端口数量≥36个,端口速率≥40Gb/s; 包含交换机需要的所有相关线缆及配置附件,无需额外采购; 管理交换机(1台),配置要求: 配置≥1台管理网络交换机,端口数量≥48个,每端口速率≥1000Mb/s,激活的端口数量与所配端口数量一致。 数据库云管理软件(含一年厂家标准维护升级服务) 提供对数据库多租户的管理能力,可同时管理多个数据库实例或租户,支持对数据库的云化管理,支持自动化交付体系; ▲应能同时管理数据库平台中所包含软硬件产品,包括服务器、存储、数据库软件等,可实现在WebGUI中对数据库平台集中统一管理和监控,构建自助门户策略; 可建立基于云计算的标准化运维体系和自动化交付体系; 支持restful接口,支持与第三方管理系统集成,完成统一管理交付; 提供对数据库IO资源使用比例的限制,支持在不同数据库间、不同用户间和不同工作类别间进行I/O带宽的使用优先级或比例的调整; ▲提供数据库查询卸载到存储服务器能力,仅将查询结果的相关行或列数据返回给数据库服务器;具备智能闪存缓存、能够对表扫描进行智能闪存缓存; 能够自动并行化处理数据扫描并将数据扫描分流至存储; 具备对存储设备中闪存和磁盘生命周期管理警报功能; 具有分布式命令行自动化工具;能够从远程服务器执行管理,包括主机重启、风扇监视和控制、电源监控、温度监控、启动/关闭、按序重启、错误日志等;对CPU、内存、硬盘驱动器、电源及风扇等关键部分的潜在的故障具有提前预警能力; 能够按数据库、用户或负载确定 I/O 优先级以确保服务质量,能够按用户、查询、服务、数据库等管理I/O 资源; 支持 Direct-to-Wire协议; 能够针对最小值/最大值运算的存储分流。如果存储 CPU 繁忙,能够反向分流到数据库服务器; 支持ZDP(零丢失零复制数据报协议),能够通过实施零复制来消除对数据块的不必要复制; (14)▲数据库一体化云平台能够参与SQL运算的处理器总核≥192核,峰值平均处理器使用率不超过30%;满足查询业务的交易频度、交易频次、在线人数合理的估算和适度的冗余,核心数据库服务器性能需要达到2600万tpmC (供应商提供承诺和原厂白皮书技术说明,签订合同前,承诺和白皮书技术说明加盖原厂公章); (15)▲支持≥10套以上数据库CPU、内存、IO资源使用比例限制,支持数据库实例、数据库租户、数据库用户、数据库会话级别的I/O带宽的使用优先级或比例的调整,支持基于web或者命令行方式的在线调整。(供应商提供承诺和原厂白皮书技术说明,签订合同前,承诺和白皮书技术说明加盖原厂公章)。 配套服务及要求 售后服务要求: ▲提供给三年原厂硬件维保服务和一年原厂软件标准服务,提供7x24小时故障报修和技术支持。平台可自动发起服务请求,发生硬件故障时,自动为提交故障并提出服务请求; 提供三年集成商定期巡检驻场,软件优化等运维服务; ▲安装调试:原厂工程师在规定时间(见招标文件)内完成用户指定现场的安装调试(安装时、工程师须提供原厂在职证明和相关的数据库服务器的认证证书)。 2 云平台计算节点1(原厂三年质保) 配置要求: CPU:2*12核 主频≥2.1GHz; 3级缓存 ≥16M;256GB内存; 磁盘:2*480G SSD 2.5;6*1.8T 10K SAS 2.5;2G缓存RAID阵列卡; 千兆电口2个,万兆光口4个(含4个多模模块); ★服务器管理系统支持国产自研管理芯片(需提供证明材料及芯片厂家资质证明、产品简介,签订合同前,相关资料加盖厂家公章),为保障兼容性,芯片与服务器为同一厂商; ▲具备环境、机械、EMC、安规的测试能力,且具备由中国合格评定国家认可委员会颁发的认可证书,提供证书证明; 冗余电源、支持交直流。 ▲厂家出具承诺,后期可提供3-5台同配置的测试用机(投标时,承诺函加盖投标商公章,签订合同前,承诺函加盖投标商公章)。 注:主备数据中心云平台计算节点均使用私有云平台,对主备数据中心云平台计算节点键盘、鼠标、显示器等不做数量要求,但应保障日常运维中对其操作的便利(同时,主备数据中心各预留一套多余的键盘、鼠标、显示器等) 台 10 3 云平台计算节点2(原厂三年质保) 配置要求: CPU:2*12核 主频≥2.3GHz;3级缓存≥16M;内存256G; 磁盘:4*480G SSD 2.5;8*1.8T 10K SAS 2.5 2G缓存 RAID阵列卡; 千兆电口2个,万兆光口4个(含4个多模模块); (4)★服务器管理系统支持国产自研管理芯片(需提供证明材料及芯片厂家资质证明、产品简介,签订合同前,相关资料加盖厂家公章),为保障兼容性,芯片与服务器为同一厂商; (5)▲具备环境、机械、EMC、安规的测试能力,且具备由中国合格评定国家认可委员会颁发的认可证书,提供证书证明,加盖原厂公章。 (6)冗余电源、支持交直流。 台 10 4 服务器光纤交换机 配置要求: 24端口16GB SAN交换机,开放24个8GbFC,24端口全部激活,包含24个8GB/s; 短波SF,配置24根10MLC-LC光纤跳线); 提供web tools、Zoning、EGM软件授权,全光纤支持级联; 机架套件,1+1冗余电源:光纤通道支持2、4、8和16Gbps端口速度自适应。 台 4 5 操作系统 Windows server 2018数据中心版操作系统,开放式许可,软件授权不绑定在物理服务器上,4个客户端。 台 4 6 操作系统 Windows server 2018标准版版操作系统,开放式许可,软件授权不绑定物理服务器,含10个客户端。 套 10 7 操作系统 Linux操作系统,企业版。 套 15 8 iCAS存储(三年原厂质保) 配置要求: 高可靠1TB SAS 硬盘,每台设备容量16TB,单个节点存储缓存>=16GB,单个RAID卷组支持硬盘数量不多于16块 (RAID6最大支持30块硬盘); 最大传输率(Disk读) 963MB/S(单节点107MB/S)、最大传输率(Disk写) 882MB/S(单节点98MB/s);网卡 集成两个Intel82563EB Gigabit Platform LAN服务器网卡,支持I/O AT技术; 其他要求: ▲必须为国内品牌CAS存储产品,CAS架构,需无缝加入原有CAS存储系统; 模块化设计:存储为模块化单元方式,以单个节点为最小扩容单位,每个节点都有独立运算单元与缓存; 对外访问方式:可通过千兆以太网进行直接访问; 对外访问接口:提供开发应用程序的开发访问接口API; 硬盘的冗余:单台设备4块硬盘损坏不会对数据有影响; 文件唯一性:要求相容内容的文件无论存入多少次,在存储内部只保留一份物理文件; 集成的管理界面:提供集成的Web管理界面功能,可以监控存储运行状态,设置报警方式,备份策略等; 安全:具有自定义安全级别功能,用户可以配置,当有硬盘发生损坏自动停止硬盘读或写操作; 内置同步软件:内置同步软件,实现多个CAS存储实时同步或定时同步,并能自动进行故障转移;随机带存储管理关键及数据备份软件; 内容指纹技术:屏蔽目录结构,通过数字指纹进行数据存储; 认证:通过公安部信息安全产品检测中心 安全检测认证;服务:提供7*24小时服务,4小时响应;三年原厂质保及上门服务。 套 2 9 数据库多租户云平台(一年原厂服务) 功能要求: ▲多租户云平台数据库企业版 1套,且提供不绑定任何应用的完全使用软件许可授权。CPU(软件授权许可)≥2 Processor(处理器); 基于SQL的大型关系型数据库管理系统; 具有集群、分区、内存数据库、多租户、数据实时备份、自动诊断和调优、数据库生命周期管理、数据隐藏、数据审计功能等;基于SQL的大型关系型数据库管理系统;支持数据库技术标准, ANSI/ISO SQL99、ODBC3.0、X/Open、JDBC,支持对象的存储管理; 支持在现有数据库平台上无缝及不间断升级至新平台; 多平台、开放式系统,可提供对Aix、Solaris、HP-UX、Linux(Oracle Enterprise Linux,Novell SuSE,RedHat)、Windows操作系统的支持; 支持多语种支持,完全支持中文国家标准的中文字符,如GBK、UNICODE、UTF-8; 数据类型提供对关系型数据、多媒体数据及空间数据的统一存储和管理;能够存储管理各种非结构化数据(如文本、图片、音频、视频; 集群:提供基于共享磁盘(shared disk)模式的集群处理,集群服务器支持联机处理和数据仓库应用; 集群:▲提供不依赖于第三方集群软件和存储管理软件即可实现的异地双机、多机互备及容灾备份; 集群:所有网格结点服务器对等,支持在线增删结点服务器而不影响应用系统持续运行; 提供数据分区管理,包括:哈希、列表、及其混合分区方式。支持分区修剪、智能化分区联接; 提供内存数据库1套,内存数据库中的数据可同时支持行和列两种格式,分析和报表使用列式,OLTP业务操作使用行式,行列并存并且保持数据一致性; 内存数据库需具备开放性,能部署在多种硬件平台上,支持Linux、Unix、Windows操作系统; 内存数据库对前端应用完全透明; 多租户:▲提供在单个容器数据库中容纳多个租户数据库,实现数据库的整合,对应用完全透明,无需修改就可以使用租户数据库,对于承载的多个租户数据库可以做统一的管理,包括备份,灾难恢复,数据库升级和补丁,而无需逐个对单个租户数据库进行操作; 多租户:单个租户数据库的启动停止和数据模型修改对其它租户数据库无影响,可通过动态的资源管理即时控制各租户数据库之间对于CPU和会话资源的争用; 提供数据库管理员在线维护,包括在线创建新索引、合并或删除现有索引、对表进行加减字段改变; 数据一致性:多个用户操作同一条记录时读、写互不影响; DML操作只能有行级锁,任何情况下不允许有锁定过多资源的锁升级,若出现死锁,能自动解锁; 自动识别影响系统性能最多的应用和占用资源最多的SQL语句,并对其进行分析,通过自动调整功能提出解决方案; 提供数据库闪回技术(库级、表级、行级的闪回); 提供数据压缩存储机制,支持增、删、改,支持压缩大对象字段; 其他要求: 提供角色、系统权限、对象权限控制手段。支持将数据库管理与安全管理职责分离技术,防止DBA查看应用数据,可控制何人、何时、何地访问应用程序; 提供C2到B1级安全标准,内嵌行级安全功能,提供基于行业标准的数据库存储加密、数据传输通道加密及完整性校验; 支持数据库审计功能,支持细粒度审计,支持按语句、权限、Schema等多种方式等审计策略; 提供企业级图形化数据库管理工具,支持跨平台、跨版本数据库管理,提供一体化运维、监控、性能优化能力; 提供自动诊断和调优、数据库生命周期管理、数据隐藏功能; 提供基于机器学习的智能运维管理服务,具备从海量日志中快速发现隐患,分析能力不限于数据库日志,支持对多种日志源智能聚集、智能关联,从而能从整体架构中快速发现问题和提升洞察力; 备份:备份过程中,备端应处于可用状态,分担生产端的压力,备份软件应基于全库复制,对于主库的所有数据类型、所有操作,都能够复制到备端,以便进行主备切换; 备份:支持上千公里的远距离数据灾备,远程同步可将零数据丢失保护扩展至位于主数据库任意距离的任意备用数据库; 售后服务要求: ▲供应商提供一年原厂标准服务,要求服务期内免费升级产品(包括各种大版本、小版本和补丁程序),提供原厂7×24电话技术支持。 CPU(软件授权许可) 2 10 数据库多租户云平台(一年原厂服务) 功能要求: 多租户云平台数据库企业版 1套,且提供不绑定任何应用的完全使用软件许可授权,CPU(软件授权许可)≥2 Processor(处理器); 基于SQL的大型关系型数据库管理系统; 具有集群、分区、内存数据库、多租户、数据实时备份、自动诊断和调优、数据库生命周期管理、数据隐藏、数据审计功能等;基于SQL的大型关系型数据库管理系统;支持数据库技术标准, ANSI/ISO SQL99、ODBC3.0、X/Open、JDBC,支持对象的存储管理; 多平台、开放式系统,可提供对Aix、Solaris、HP-UX、Linux(Oracle Enterprise Linux,Novell SuSE,RedHat)、Windows操作系统的支持; 支持多语种支持,完全支持中文国家标准的中文字符,如GBK、UNICODE、UTF-8; 数据类型提供对关系型数据、多媒体数据及空间数据的统一存储和管理;能够存储管理各种非结构化数据(如文本、图片、音频、视频; 集群:提供基于共享磁盘(shared disk)模式的集群处理,集群服务器支持联机处理和数据仓库应用; 集群:提供不依赖于第三方集群软件和存储管理软件即可实现的异地双机、多机互备及容灾备份; 集群:所有网格结点服务器对等,支持在线增删结点服务器而不影响应用系统持续运行; 提供数据分区管理,包括:哈希、列表、及其混合分区方式。支持分区修剪、智能化分区联接; 提供内存数据库1套,内存数据库中的数据可同时支持行和列两种格式,分析和报表使用列式,OLTP业务操作使用行式,行列并存并且保持数据一致性; 内存数据库需具备开放性,能部署在多种硬件平台上,支持Linux、Unix、Windows操作系统; 内存数据库对前端应用完全透明; 提供在单个容器数据库中容纳多个租户数据库,实现数据库的整合,对应用完全透明,无需修改就可以使用租户数据库,对于承载的多个租户数据库可以做统一的管理,包括备份,灾难恢复,数据库升级和补丁,而无需逐个对单个租户数据库进行操作; 单个租户数据库的启动停止和数据模型修改对其它租户数据库无影响。可通过动态的资源管理即时控制各租户数据库之间对于CPU和会话资源的争用 提供数据库管理员在线维护,包括在线创建新索引、合并或删除现有索引、对表进行加减字段改变; 多个用户操作同一条记录时读、写互不影响; DML操作只能有行级锁,任何情况下不允许有锁定过多资源的锁升级,若出现死锁,能自动解锁; 自动识别影响系统性能最多的应用和占用资源最多的SQL语句,并对其进行分析,通过自动调整功能提出解决方案; 提供数据库闪回技术(库级、表级、行级的闪回); 提供数据压缩存储机制,支持增、删、改,支持压缩大对象字段; 其他要求: 提供角色、系统权限、对象权限控制手段,支持将数据库管理与安全管理职责分离技术,防止DBA查看应用数据,可控制何人、何时、何地访问应用程序; 提供C2到B1级安全标准,内嵌行级安全功能,提供基于行业标准的数据库存储加密、数据传输通道加密及完整性校验; 支持数据库审计功能,支持细粒度审计,支持按语句、权限、Schema等多种方式等审计策略; 提供企业级图形化数据库管理工具,支持跨平台、跨版本数据库管理,提供一体化运维、监控、性能优化能力; 提供自动诊断和调优、数据库生命周期管理、数据隐藏功能; 提供基于机器学习的智能运维管理服务,具备从海量日志中快速发现隐患,分析能力不限于数据库日志,支持对多种日志源智能聚集、智能关联,从而能从整体架构中快速发现问题和提升洞察力; 备份过程中,备端应处于可用状态,分担生产端的压力,备份软件应基于全库复制,对于主库的所有数据类型、所有操作,都能够复制到备端,以便进行主备切换; 支持上千公里的远距离数据灾备,远程同步可将零数据丢失保护扩展至位于主数据库任意距离的任意备用数据库; ▲提供针对产品的原厂工程师证书复印件,并承诺该原厂工程师实施(投标时,加盖投标商公章,签订合同前,该资料加盖原厂公章)。 售后服务要求:提供一年原厂标准服务,要求服务期内免费升级产品(包括各种大版本、小版本和补丁程序),提供原厂7×24电话技术支持。(签订合同前,提供原厂盖章的售后服务承诺函原件)。 CPU(软件授权许可) 2 11 中间件云平台(一年原厂服务) 功能要求: ▲Java应用中间件 1套,且提供不绑定任何应用的完全使用软件许可授权。CPU(软件授权许可)≥4 Processor(处理器),能够进行水平的或垂直的集群扩展; 支持基于城域网集群技术,实现城域网内部负载均衡和容错,实现跨广域网的集群供集群服务支持和应用级的异地容灾; 支持主流硬件、数据库和支持 JDK 6.0 及以上标准;支持 JavaEE 5.0 及以上规范; 支持 JSP、 JSF2.0、 JSTL等标准; 支 持 JDBC 、 EJB 、JDO、JMS、J2EE Deployment API、 WSDL等; 各种主流的关系型数据库,包括 Oracle(11g,12c,18c,19c以上版本),支持 RAC、DB2、Sybase、MSSQLServer、MySQL等; 支持 JDK 6.0 及以上标准; 支持 JavaEE 5.0 及以上规范; 支持 JSP、 JSF2.0、 JSTL等标准; 支 持 JDBC、EJB等; 支持 Eclipse;提供基于 Struts 和 JSF 框架的丰富 Web 应用开发; 支持Spring 框架; 支持 HTTP Pub/Sub,支持 Ajax、Dojo 客户端,保证友好客户化界面; 支持集群内垂直扩充和水平扩充,支持异构的操作系统之间的多机集群实现,提供多种负载平衡的算法,支持负载的分配, 支持循环往复、权重、随机选取、外部亲和的均衡算法; 实现基于文件、内存、数据库的集群会话复制技术,提供基于内存数据控制技术;实现跨广域网的集群服务支持,实现异地应用容灾; 提供内建的遵循JMS规范的企业级消息服务,支持对单个JMS目的地进行管理操作,支持消息按序收发(Unit of Order)的JMS技术; 实现一个 JVM中多版本应用的共存技术机制;支持两阶段部署技术;支持应用不停的在线热部署; 其他要求: 提供统一的域管理机制,实现用户通过集中的一个控制台来实 现对多台主机上的应用、资源、J2EE实例管理; 提供一个 GUI实现配置、组装和发布应用和系统拓扑结构;并 可不依赖任何操作系统而直接创建 Application运行 Java应用; 支持 SNMP3.0及以上;支持管理模式把对应用程序的访问限制 到配置的管理通道; 提供开放的、可扩展的统一的安全架构,包括认证、授权、身 份识别、角色映射等功能能够和第三方安全平台,包括 RSA、 CA、Novell 或用户定制平台,进行各种功能的集成; 支持其他第三方 LDAP 服务器,包括:MS ActiveDirectory、 SuniPlanet、OpenLDAP、NovellNDS等; ▲提供分布式缓存和零数据丢失的内存数据网格计算解决方案,实现高端事务处理,并具有自动调优能力:自动负载平衡,支持事务,保证数据一致性;并行查询和缓存索引,提高性能;采用普通的硬件构建高可靠的网格系统; ▲提供数据缓存技术对常用数据访问,能够对应用程序进行可预测地伸缩。提供应用层的数据共享缓冲,应用能够从这个数据缓冲里满足要求,则不会将请求发给数据源;提供延迟写的功能,减轻数据源的写压力;提供数据的分区处理,使应用可以无线扩展对大数据、大对象的处理; ▲提供针对产品的原厂工程师证书复印件,并承诺该原厂工程师实施(投标时,加盖投标商公章,签订合同前,该资料加盖原厂公章)。 售后服务要求: ▲提供一年原厂标准服务,要求服务期内免费升级产品(包括各种大版本、小版本和补丁程序),提供原厂7×24电话技术支持。(供货时,提供原厂盖章的售后服务承诺函原件)。 CPU(软件授权许可) 4 二 备生产区服务器 12 容灾区数据库云服务器(三年原厂软硬件维保服务) 配置要求: 配置2个计算节点,单节点配置:≥2颗英特尔至强处理器,单CPU≥24核处理器、≥384GB内存、≥600GB SAS 10K硬盘*4、≥10Gb以太网口*4、配置≥56Gb Infiniband*4,配置RAID卡,支持raid10; 提供节点内部之间的≥56Gb Infiniband高速组网设备(36接口),配置双节点组网; 配置1个服务器管理节点,≥1颗处理器、单核≥10核、≥32G内存、≥600GB SAS 10k * 2 、1Gb电口*2。 提供针对产品的原厂工程师证书复印件,并承诺该原厂工程师实施(投标时,加盖投标商公章,签订合同前,该资料加盖原厂公章)。 套 1 容灾区磁盘阵列(三年原厂软硬件维保服务) 配置要求: 数据存储节点配置190T裸容量SSD固态硬盘,存储内部间通过Infiniband高速网络进行互联; 分布式存储架构,≥3个存储节点,单节点配置:≥2颗英特尔至强处理器,单CPU≥12核处理器、≥128GB内存、≥600GB SAS 10K硬盘*2、SSD单盘容量≤6.4TB、单节点数据盘数超过≥10块; 功能要求: 支持多副本方式实现数据高可靠性保护,数据写入存储节点时使用并行方式; 支持在线不停业务方式扩容,支持50万以上的IOPS,支持闪存缓存加速; 支持在管理网页的更换向导对故障硬盘进行替换操作,更换过程中不需要人工进行RAID卡和ASM操作,不需要关闭存储节点,提高存储节点的可维护性; 配置存储管理软件,可以执行存储介质的分区、初始化/卸载、RAID缓存配置、启停存储服务、添加/删除LUN及映射关系、加载远端存储资源等常规存储管理操作; 支持监控所有集群中的服务器的基本运行状态、系统服务状态、磁盘状态、设备的运行状态、链路状态以及告警信息,可快速获取所有集群的基本情况; 支持自动化巡检功能。 提供针对产品的原厂工程师证书复印件,并承诺该原厂工程师实施(投标时,加盖投标商公章,签订合同前,该资料加盖原厂公章)。 13 云平台计算节点3(三年原厂软硬件维保服务) 配置要求: CPU:2*12核 主频≥2.1GHz; 3级缓存 ≥16M ;内存 256GB; 磁盘:1*480G SSD 2.5;5*1.8T 10K SAS 2.5;2G缓存RAID阵列卡; 2个千兆电口,4个万兆光口(含4个多模模块); (4)★服务器管理系统支持国产自研管理芯片(需提供证明材料及芯片厂家资质证明、产品简介,签订合同前,相关资料加盖厂家公章),为保障兼容性,芯片与服务器为同一厂商; (5)▲具备环境、机械、EMC、安规的测试能力,且具备由中国合格评定国家认可委员会颁发的认可证书,提供证书证明加盖原厂公章; (6)冗余电源、支持交直流。 台 6 云平台计算节点4(三年原厂软硬件维保服务) 配置要求: CPU:2*12核、主频≥2.1GHz;3级缓存 ≥16M;内存256G; 磁盘:4*480G SSD 2.5;8*1.8T 10K SAS 2.5;2G缓存 RAID阵列卡; 2个千兆电口、4个万兆光口(含4个多模模块); (4)★服务器管理系统支持国产自研管理芯片(需提供证明材料及芯片厂家资质证明、产品简介,签订合同前,相关资料加盖厂家公章),为保障兼容性,芯片与服务器为同一厂商; (5)▲具备环境、机械、EMC、安规的测试能力,且具备由中国合 格评定国家认可委员会颁发的认可证书,提供证书证明加盖原厂公章; (6)冗余电源、支持交直流。 台 3 14 服务器光纤交换机(三年原厂质保及维保服务) 配置要求: 24端口16GB SAN交换机,开放24个8GbFC,24端口全部激活,包含24个8GB/s; 短波SF,配置24根10MLC-LC光纤跳线); 提供web tools、Zoning、EGM软件授权,全光纤支持级联; 机架套件,1+1冗余电源:光纤通道支持2、4、8和16Gbps端口速度自适应。 台 2 三 外网服务器 15 超融合一体机(三年原厂软硬件质保及维保服务) 配置要求: 处理器配置≥2颗(10C/20T/2.2GHz)处理器;内存≥128GB DDR4 2666MHz内存,最大支持16个内存插槽; 硬盘≥1块128G SSD硬盘,配置≥2块480GB SSD硬盘,用于缓存热点数据,配置≥6*1.8T SAS硬盘,用于存储数据; 配置≥6个GE接口,配置≥2个万兆光口,冗余双电源; 功能要求: 支持对平台虚拟机的精细化权限管理,可根据单个虚拟机开关机、打开控制台、删除等操作设定不同的权限,管理员也可以根据用户需求合理分配权限; 提供用户自助服务界面,用户能够通过自助服务门户完成虚拟机的查看、申请、使用、修改、销毁等操作; 支持工单功能,用户通过工单可以向云管理员反馈云资源使用所遇到的问题; 云计算管理平台和底层资源池部分的(计算虚拟化、存储虚拟化、网络虚拟化)均为同一厂商品牌提供; 支持平台中的集群资源环境一键检测,对硬件健康、平台底层的虚拟化的运行状态和配置,进行多个维度进行检查,提供快速定位问题功能,确保系统最佳状态; ▲为了保障核心数据资产安全,支持对oracle、sqlserver、Weblogic数据库及中间件监控,实现对数据库的语句的故障定位排错,执行时延分析(需提供产品功能截图,签订合同前,需在资料上加盖原厂公章); 支持存储虚拟化功能,无需安装额外的软件,在一个统一的管理平台上使用License激活的方式即可开通使用,存储虚拟化与计算虚拟化为紧耦合架构,减少底层开销,提升性能; 采用分布式架构设计,由多台物理服务器组成分布式存储集群,通过新增物理服务器可以实现存储容量和性能的横向扩展(Scale-Out架构),扩容过程保证业务零中断; 支持数据重建智能保护业务性能,可以对数据重建速度进行智能限速,避免数据重建过程中IO性能占用导致对业务的性能造成影响; 支持存储分卷功能,以物理主机为单位划分为不同的存储卷,如高性能卷,大容量卷,全闪存卷等,可使对存储性能和容量要求不同的业务运行在不同的存储卷上; 提供大屏展示功能,可直观看到当前整个数据中心业务状态; 主动探测业务系统,实时监控业务可用性,当业务出现故障时,通过多种方式(短信、邮箱)告知管理员进行排障; 提供虚拟机报表功能,可以导出TOPN的虚拟机进行1年以内的性能分析与趋势分析报表; 支持并发用户数≥500;吞吐量≥200M,具备加速、流控、Ipsec VPN等功能; 在链路加速的基础上,支持AES、DES、3DES、MD5、SHA1等算法; 针对B/S资源支持WebCache技术,动态缓存页面元素,提高Web页面响应速度。支持流缓存技术,实现网关与网关、网关与移动客户端之间进行多磁盘、双向、基于分片数据包的字节流缓存加速,削减冗余数据,降低带宽压力的同时提高访问速度;支持共享流缓存功能,实现多分支网关在总部共享流缓存数据,提高流缓存效果。 其他满足日常运用的配套外设(如键盘、鼠标); 台 8 16 负载均衡(原厂三年质保及服务) 配置要求: 需采用独立的专用硬件应用交付设备,而非通过添加功能模块的方式实现; 四层吞吐量≥6Gbps;并发连接数≥400 万;四层新建能力≥120000CPS;七层新建能力≥120000RPS;千兆电口≥6个;千兆光口≥2个,1U空间; 其他要求: 支持轮询、加权轮询、加权最小连接、动态反馈、最快响应、最小流量、带宽比例、哈希、主备、首个可用、UDP强行负载等负载均衡算法; 提供针对多条出口线路的链路负载均衡功能,实现inbound和outbound流量的均衡调度,以及链路之间的冗余互备; 支持服务器被动式健康检查,可根据对业务流量的观测采样,辅助判断应用服务器健康状况;对常规HTTP应用可配置基于反映URL失效的HTTP响应状态码的观测判断机制,对于复杂应用可配置基于RST关闭连接和零窗口等异常TCP传输行为的观测判断机制,保障业务的高连续性(提供界面配置截图); 支持基于消息的长连接负载(MBLB),对于非HTTP协议的长连接应用,可通过分析议特征来识别消息的开始和截止,以消息为对象进行七层负载均衡,而非传统基于连接的四层负载均衡(提供设备操作界面截图证明材料,提供实际的功能测试报告); 支持主动探测方式与被动观测方式结合使用的服务器健康检查手段,以便适应各种复杂应用交互流程,保障业务系统的高可用性; 服务器负载状态支持投屏展示,能够显示设备的电源状态、风扇转速、磁盘温度、CPU温度、CPU和内存占用率、新建连接数、并发连接数、吞吐情况、SSL新建和SSL吞吐数据、压缩优化和缓存优化数据;业务的健康状态、新建连接数、并发连接数、上下行流量、每秒请求数;节点池的调度算法、健康状态、新建连接数、并发连接数、上下行流量(提供界面配置截图); 对于超过服务器的连接数上限或者请求数上限的新建连接缓存起来放入队列中,后续分批逐步发送给服务器,而不是直接丢弃数据包; ▲支持用户通过某种编程语言(如lua)实现自定义的流量编排,对TCP、SSL、HTTP和HTTPS等类型的流量进行分发、修改和统计等操作(提供界面配置截图,签订合同前,需在资料上加盖原厂公章); 支持命令行配置,支持Tab键补全操作,支持界面全部模块通过命令行的模式配置,支持命令批量操作,支持配置导入导出命令行操作; 支持面向服务器健康度的弹性调控机制,可通过监控业务流中的TCP传输异常来衡量服务器节点的有效性,尝试对性能不足的服务器临时开启过载保护,动态调节服务器的负载(提供界面配置截图); 支持多种链路检测方法,能够通过PING、TCP、HTTP等方式监控链路的连通性,当某一条链路故障时,可将访问流量切换到其它链路,保障用户业务的持久通畅,包含链路负载均衡、服务器负载均衡、全局负载均衡、商业智能分析功能,及缓存、压缩、SSL卸载、TCP连接复用等优化特性; 对于超过服务器的连接数上限或者请求数上限的新建连接缓存起来放入队列中,后续分批逐步发送给服务器,而不是直接丢弃数据包(提供界面配置截图,签订合同前,需在资料上加盖原厂公章); ▲同时提供负载均衡产品入围Gartner魔力象限证明材料和近三年IDC市场占有率前三证明材料(提供界面配置截图,签订合同前,需在资料上加盖原厂公章)。 台 2 五 存储备份 17 主中心离线备份一体机(原厂三年质保及维保服务) 配置要求: ▲配置大于等于2颗Intel Xeon 8核处理器,主频大于等于2.4GHz。DDR4高速内存,容量配置大于等于256GB; 配置千兆以太网的接口数量大于等于4个、万兆以太网的接口数量大于等于4个、8Gb速率的SAN接口的数量大于等于2个,所有光口均配置相应模块; 内置SAS高速硬盘,做RAID 6之后的有效容量大于等于100TB;最大可用容量可以扩展至200TB以上; 其他满足日常运用的配套配置; 其他要求: 基于Linux操作系统的全集成的一体机设备,内置备份软件和其他功能软件,软硬件要求为同一品牌; 吞吐量性能每小时大于等于50TB; 备份主服务器支持使用集群软件进行部署以实现高可用,支持共享存储和无共享存储两种方式,集群系统都可以为备份主服务器软件程序提供集群卷和集群文件系统,以实现高性能并发读写操作和快速切换,集群软件应与备份软件为同一厂商; ▲备份一体机内置有系统加固软件,可防御零时差攻击和恶意内部人员威胁。(提供原厂商技术白皮书或产品彩页或产品功能截图或官网截图,签订合同前,证明材料加盖原厂公章); 支持各种平台数据库的在线备份,包括Oracle、DB2、SQL、Sybase、SAP、HANA、Exchange、Domino和达梦等,备份软件与Oracle数据库软件具有良好的兼容性,通过Oracle的BSP认证,备份软件支持Oracle的ZFS文件系统,由Oracle提供支持该备份软件的功能插件; ▲支持oracle数据库的备份加速功能、Incremental Merge功能,无需恢复数据到生产存储中,可直接在备份存储上利用备份数据快速启动数据库用于测试或应急; 支持VMware、Hyper-V、KVM等虚拟化备份,支持VMWare虚拟机直接拉起的功能,省掉虚拟机故障后的完整恢复过程,并可在虚拟机拉起后通过vMotion将虚拟机从备份存储迁移至生产存储; 支持操作系统裸机恢复功能:在发生灾难性故障的情况下,可在几分钟之内将基于磁盘的系统恢复到不同硬件甚至虚拟服务器,为操作系统提供快速和灵活的恢复;支持完全异构硬件平台间的系统恢复:无需进行任何操作系统,任何应用系统,任何数据库系统,任何软件补丁的重装和任何应用程序及系统属性的配置、修改、设定。支持的操作系统包括UNIX,Linux 以及Windows等; ▲支持OpenStack, hadoop,Docker容器等新型数据备份,需通过Docker认证,并提供docker官网链接证明; ▲支持加速备份功能,在进行文件系统、虚拟机、数据库以及NAS的全备份时,能够快速定位并仅备份增量的数据,然后自动在后台合成一个全备份的恢复点,这样用传统增量备份的时间即可完成全备份,从而大幅提高备份速度,满足关键系统对缩短备份窗口以及快速恢复的要求。整个过程只需配置一个备份策略,全自动完成,无需人工干预; 具有重复数据删除功能,具有灵活的重复数据删除选项,可以在备份客户端、介质服务器和备份设备等点做去重处理,支持定长块和变长块重复数据删除; ▲支持LAN、LAN free、Server Free备份, 支持备份客户端将备份数据通过SAN网络传输给介质服务器而不管理备份介质和设备的SAN Client备份方式,其中SAN-CLIENT技术要求为:应用服务器不管理备份介质和设备;备份数据通过SAN网络进行传输;不允许以磁盘映射给介质服务器的方式进行存储设备管理(提供原厂商技术白皮书或产品彩页或产品功能截图或官网截图,签订合同前,证明材料加盖原厂公章); 能实现基于重复数据删除技术的备份数据远程优化复制,以便在窄带宽条件下实现数据级异地灾备,备份数据复制可在两个或更多的站点间进行,整个过程自动完成,无需人工干预,即使在生产站点完全瘫痪的情况下,在容灾站点也可以独立的直接恢复数据; 备份软件产品具备中华人民共和国公安部颁发的计算机信息系统安全专用产品销售许可证(MOPS),要求提供销售许可证的证书编号,并可在公安部的网站上查询验证。 台 1 备中心备份软件(原厂一年质保及维保服务) 支持系统和数据库:支持Windows/Linux/AIX/HP-UX等主流操作系统;支持SQL server/Oracle/Sybase/DB2/MYSQL等主流数据库;支持Hadoop/Redis等大数据结构备份; 支持虚拟化备份 支持VmWare、Microsoft Hyper-V、华为等主流虚拟机备份; 支持非结构化数据备份 支持普通文件、音频文件、视频文件等非结构化数据备份; 基本功能:通过增加系统保护,利用在线数据备份恢复技术、对数据和系统备份,为被保护的系统提供快速有效的系统重建、数据恢复手段,无论应用系统发生任何软件及硬盘故障,或数据逻辑错误,保证被保护应用系统在预定指标内恢复正常运行; 性能支持:支持备份数据压缩功能,压缩比在4倍以上;完全备份性能:1TB的数据库全备份时间小于2个小时;增量备份性能:小于30分钟;恢复性能指标:1TB的完全恢复时间小于2个小时;单表恢复性能指标:小于20分钟; 系统保护内容 支持Unix小型机、PC服务器操作系统、应用环境以及数据库环境的应急保护及快速恢复,系统应能够对各类数据提供可选的保护方式; 支持各种介质 支持磁盘、带库、虚拟带库等各种介质; 数据库保护内容:支持Oracle数据库的在线热备功能;支持数据库的时间点恢复功能,利用数据库的日志将数据库修复到指定的时间点支持单表直接恢复; 支持数据库备份的可验证性:备份数据预检测、备份数据模拟预恢复检测、模拟数据库恢复打开验证、结合容灾的自动验证,以上功能无需额外的存储空间需求; 支持对备份数据库直接打开验证,实现备份数据的快速可验证性; 监控和管理功能:具有完善的图形管理控制台,制定相应计划和策略,可提供邮件和短信告警; 数据库备份授权许可不低于6个,操作系统备份授权不低于10个。 套 3.网络安全建设要求 3.1 概述 随着网络技术的发展,越来越多的安全漏洞出现,市人社信息化项目面临着巨大的安全威胁, 该项目属于涉及社会秩序、经济建设和公共利益的信息系统,其受到破坏后,会对社会秩序、经济建设和公共利益造成较大损害。同时越来越多的网络黑客和各类网络病毒的扩散,给市人社项目的建设提出了新的挑战,因此,本项目工程应具有能够对抗来自大型的、有组织的团体(如一个商业情报组织或犯罪组织等),拥有较为丰富资源(包括人员能力、计算能力等)的威胁源发起的恶意攻击、较为严重的自然灾难(灾难发生的强度较大、持续时间较长、覆盖范围较广(地区性)等)以及其他相当危害程度(内部人员的恶意威胁、设备的较严重故障等)威胁的能力,并在威胁发生后,能够较快恢复绝大部分功能。需要深入研究安全建设当中的问题,并根据安全问题进行及时的防范和处理,加强系统性的安全建设。 同时国家陆续出台《中华人民共和国网络安全法》、《国家网络空间安全战略》、《关键信息基础设施安全保护条例(征求意见稿)》、《信息安全技术 网络安全等级保护基本要求》等法律法规,对网络安全提出了更高的要求。综合上述因素,针对本项目的具体要求如下: 对照《信息安全技术 网络安全等级保护实施指南》(GB/T 25058-2019)、《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)及公安部《网络安全等级保护条例(征求意见稿)》等法规和规范,设计本次安全建设方案。结合本次购置的设备及安全服务,在方案中体现对应法规及规范的具体条款,各设备功能、设置及服务。 国家网信办、公安机关、国家互联网信息中心、互联网公司、网络安全公司、本次设备及服务供应商等公布的安全预警及安全漏洞,原则上在3小时内通知用户,在合同有效期内(含购买驻场人工服务内),并在6小时内提供初步应急解决方案,在12小时按照方案进行问题处置,若遇紧急情况,相关处置时间按招标方要求缩短相应时间。 本次网络安全建设必须按照公安部新的《信息安全技术 网络安全等级保护测评要求》通过安全等级保护三级测试。 安全服务实行驻场,假期节日及重大活动期间,必须提前排查安全问题,在此期间,加派人手驻场,若相关单位有提前检查规定,中标方必须按要求完成。 安全设备投入试运行前,中标方自行先行进行攻防测试、漏洞扫描、流量监测等,并针对安全问题进行整改。 安全设备安装完毕,招标方有权将服务器、安全设备与现有服务器、安全设备(现有服务器、安全设备技术指标均低于本次购买的设备指标)进行比对测试,若运行出现异常或性能瓶颈,招标方有权委托第三方公司对设备性能技术指标进行检测核实。 (7)安全设备投入试运行前,设备性能使用率(CPU占有率、内存使用率)不能超过30%,每年安全设备累计中断时间不超过3个小时,在验收前,超过上述标准,需更换更高配置的设备,由此造成工期延误的,中标方自行负责,验收后到合同期,超过上述标准,需7日内更换更高配置的设备。 3.2 建设目标及原则 投标方在项目建设完成后,绵阳人社需具备完整安全防护体系:体系按照国家等级保护要求进行规划和部署,采用合理的安全技术手段,有效提升网络和系统的安全防护能力。通过多种安全技术为绵阳人社的网上业务系统提供全面的安全保障,全面保障内网安全、数据交换安全、内网与业务平台的安全等。 为了保障建设目标顺利实现,投标方在建设过程中需统一规划、分步实施、立足现状、节省投资、科学规范、严格管理,对绵阳人社系统进行合规性、整体性、合理性、一致性等进行安全体系的整体设计和实施。 合规性原则 根据全市社会保障监督类信息系统及网络实际情况和计算机网络技术的发展现状,在构建信息系统安全保障体系时,必须坚持遵循相关的标准。投标方提供的方案从设计到产品选型都应遵循“信息系统安全等级保护——第三级(安全标记保护级)”要求。 整体性原则 信息系统安全的强度取决于系统中最薄弱的环节,投标方必须采取技术和管理相结合的整体安全措施。 合理性原则 信息系统的安全建设要以实际安全需求作为设计依据,在不影响安全效果的前提下,在安全方案的制订、产品及技术选型、服务等方面都应尽可能体现经济性原则,特别加强对安全重点部位的保护,使有限的资源发挥重要的作用,使最小的投入获取最大的效益。 一致性原则 信息系统安全建设的目的是保证网络系统的安全运行,应当最大限度地服务于系统业务的高效运行,要最大限度保护系统的可靠性、稳定性、可用性,因此要求统一规划和建设整个系统网络,以保持高度的一致性。 3.3 实施方案要求 3.3.1需求分析 投标方需认识到该项目涉及社会秩序、经济建设和公共利益的信息系统,其受到破坏后,会对社会秩序、经济建设和公共利益造成较大损害,所以需参照第三级(即安全标记保护级)进行设计,从安全技术和安全管理两方面进行安全需求分析,既要满足业务的安全运行需求,也要满足数据中心的安全运行,同时还需满足国家法律法规的安全要求。 ●投标方在进行业务安全需求分析时需深入理解人社业务不同业务场景的使用方式、数据类型、数据存储方式以及不同场景的安全需求,包括业务经办安全需求、公共服务业务安全需求、基金监管业务安全需求、宏观决策业务安全需求,分析全系统的安全攻击面,设计安全保障策略。 ●投标方需合理设计安全方案,从逻辑层面划分安全域,保证整个安全网络结构更加清晰、简洁,各个部分的安全目标更加清楚,更加利于不同安全技术的策略制定及设计,人社网络结构主要分为外联接入域、主数据中心域、备数据中心域、数据交换域(网络隔离域)、外网接入域五大安全域。投标方需在方案中详细分析5大区域的安全需求。 ●投标方需按照《信息安全技术 网络安全等级保护测评要求》和渗透测试进行项目等保测评方案设计,保障系统合规性和安全性。 投标方需按照国家法律法规要求设计安全管理方案,在项目建设初期最大规避安全风险。 3.3.2总体架构 市人社信息化项目运行中有大量需要保护的数据和信息,有其自身特殊性。如果系统的安全性被破坏,造成敏感信息暴露或丢失或网络被攻击等安全事件,可能导致严重的后果。 ●构建全面的信息安全保障体系变得尤为重要,投标方在进行总体架构设计时不仅要满足安全需求同时也要符合国家标准要求,需对照《信息安全技术 网络安全等级保护实施指南》(GB/T 25058-2019)、《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)及《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)等法规及规范进行总体架构设计,逻辑合理,安全域清晰独立,能保障各安全域数据信息全生命周期的安全交换、使用和可追溯。 3.3.3建设内容 ●在建设过程中投标方需依据网络安全等级保护(三级)的安全要求,结合技术与业务的实际要求,结合安全域的划分,需给出清晰的网络架构图。 ●投标方需明确设备清单中的传统防火墙、网络入侵防御系统(IPS)、网络入侵检测系统(IDS)、WEB应用防火墙、日志审计、安全运维、移动安全、终端安全管理、身份认证、防病毒等安全设备分区部署和相关功能,以及对应的安全策略设置、解决了人社哪些应用场景的安全问题,并涵盖特定场景用户访问和数据流向及使用的安全防护方案。 投标方不仅提供安全设备,同时为了保障安全设备的运营效果,还需提供相应的安全服务,包括三级等保服务和日常安全运营,其中三级等保服务的安全制度建设和应急响应部分,需要全面、合规、可执行度强,日常安全运营的产品巡检、产品策略以及系统升级、源代码安全检测、网络应急演练、流量日志分析报告等,需要实现常态化运营的目的。 3.3.4项目实施 ●投标方安装调试完成后需配置好设备清单中的传统防火墙、网络入侵防御系统(IPS)、网络入侵检测系统(IDS)、WEB应用防火墙、日志审计、安全运维、移动安全、终端安全管理、身份认证、防病毒等所有安全设备的安全策略。 ●投标方在安全策略设置完成后需进行攻防演练,保证安装设备的安全所有策略都已生效。 3.4 建设清单 序号 项目名称 技术要求(除单独标注的外,一律原厂三年质保加升级) 单位 数量 一 终端安全 1 CA系统(原厂三年质保及服务) 通用性能参数: (签名验签服务器、时间戳服务器、数据安全网关) 标准2U机箱,标配冗余电源,Intel系列CPU; 千兆网口≥4个,千兆光口≥2个; 服务器级16G内存,1T监控级硬盘。 数据安全网关: RSA1024-并发连接数(个)>80000; RSA1024-最大吞吐率(Gpbs)>3Gpbs; RSA2048-并发连接数(个)>50000; RSA2048-最大吞吐率(Gpbs)>2Gbps; SM2-并发连接数(个)>75000; SM2-最大吞吐率(Gpbs)>2.8Gpbs。 时间戳服务器: SM2性能>2000、RSA性能>400 密码机性能参数: 1024位RSA签名速度≥2000次/秒、验签速度≥5000次/秒; 2048 位 RSA 签名速度≥130次/秒、2048 位 RSA 验证速度≥1000 次/秒; 256位SM2签名速度≥700次/秒、验签速度≥180次/秒; 256 位 SM2 密钥对生成≥350 对/秒;SM1加密/解密速度≥60Mbps; SM4 算法加解密速度≥60Mbps; AES 算法加解密速度≥100Mbps; 3DES 算法加解密速度≥100 Mbps; SM3 杂凑算法≥100 Mbps; 数量: 签名验签服务器:2台; 时间戳服务器:2台; 数据安全网关:2台; 证书注册中心:一套; 密码机:一台; 一代KEY:6000个; 证书注册中心(自建CA系统):负责证书申请、下载等功能,1套。 套 1 2 主机审计系统(原厂三年质保及服务) 系统自动采集终端的软、硬件信息,在WEB平台可查到软件属性框和硬件的更换情况,自动收集硬件的信息包括:硬盘类型、硬盘序列号、硬盘容量、硬盘分区、显卡类型、内存大小、CPU类型、CPU主频、主板序列号等硬件设别的信息; 能够识别外设类型,并根据策略配置进行管控,审计外设控制记录。能够启用/禁用打印机服务; 支持对移动存储设备的文件操作审计和使用权限管理; 支持资产信息和审计日志的导出; 能够识别外设类型,并根据策略配置进行管控,审计外设控制记录; 支持三权分立管理; 能快速发现和控制网络中的非法外联行为,阻断终端通过多网卡、WIFI、3G/4G网卡、手机等多种方式网络非法外联访问,杜绝网络非法外联行为发生; ▲产品具备《计算机软件著作权登记证书》和《国家信息安全测评信息技术产品安全测评证书》(EAL3 级及以上)(提供证书复印件,签订合同前,加盖原厂公章)。 套 1 3 终端安全管理系统(含防病毒) 终端安全管理系统: 支持RSA、SM2密码算法数字证书加密; 支持安全登录策略、客户端策略、主机策略集中管控; 可无缝集成AD域,使用域账号登录计算机; 可配置域账号登录修改账号密码,实现一次一密; 管理员可设定用户与计算机的IP绑定; 支持本机账号登录,针对本机账号可设置单用户或者多用户; 一台计算机可支持多个USB智能卡登录; 客户端应随操作系统启动; 客户端应接管操作系统登录认证界面,开机使用“USB智能卡 PIN码”双因子认证; 客户端支持实时检测智能卡,一旦智能卡被拔掉立即锁定计算机; 客户端禁止使用安全模式登录; 客户端能够设置时间周期定期提醒用户更换口令,PIN码复杂度及长度可配置; ▲客户端支持WindowsXP Professional SP2 版本以上(32 位)、Windows7-32/64、server2003、server2005、server2008;支持国产化操作系统,包括:中标麒麟/银河麒麟/普华/深度/红旗桌面操作系统。(提供操作系统厂商提供的兼容证书加盖原厂公章); ▲支持对windows/Linux/国产操作系统终端的文件黑白名单和信任区在服务端统一管理(提功能供截图,签订合同前,加盖原厂公章); 审计日志支持上报到第三方平台。 防病毒:系统控制中心软件-Windows版 防病毒:防病毒的病毒查杀引擎包括云查杀引擎、AVE、QEX、AI等引擎,支持多引擎的协同工作对病毒、木马、恶意软件、引导区病毒、BIOS病毒等进行查杀,提供主动防御系统防护等功能;客户端系统默认支持Windows XP/VISTA/WIN7/WIN8/WIN10,含三年升级服务。 补丁管理功能:支持对全网终端系统漏洞发现、补丁智能修复、强制修复等、蓝屏修复、补丁分发流量控制、客户端P2P补丁分发加速等功能;客户端系统默认支持Windows XP/VISTA/WIN7/WIN8,含三年升级服务。 ▲运维管控功能:支持控制中心防暴力破解,采用手机APP动态令牌方式进行二次认证,针对控制中心高危操作支持动态口令验证,要求令牌APP自主研发;(提供产品界面和手机动态令牌APP截图加盖原厂公章); 支持对终端上传下载速度与流量进行监控;支持对各种外接设备进行外联控制,并根据违规外联发生时内外网连接状态分别设置违规处理措施;支持终端进程的黑白红名单设置;支持网址黑白名单策略;支持对终端各种外设、接口设置使用权限;支持对终端桌面系统的账号密码、本地安全策略、控制面板、屏保与壁纸、浏览器安全、杀毒软件检查进行管控策略配置;客户端系统默认支持Windows XP/VISTA/WIN7/WIN8/WIN10; 含三年升级服务。 套 1 二 内部系统网络接入 4 市级人社系统接入防火墙(原厂三年质保及服务) 1、吞吐率≥4Gbps,千兆电口≥6个,应用层吞吐率(FW APP)≥1G,并发连接数≥200万 台 14 5 县级人社系统接入(原厂三年质保及服务) 国产自主研发,标准机架尺寸,2个USB接口,1个RJ45串口,1个GE管理口,千兆电口≥4个,不少于1个接口扩展插槽,三层吞吐量≥2G,应用层吞吐量(FW APP)≥500Mbps,最大并发数不少于100万。 台 15 6 接入省厅防火墙 吞吐率≥2Gbps,千兆电口≥4个,应用层吞吐率(FW APP)≥500Mbps,并发连接数≥100万。 台 2 三 网络汇聚(网络边界) 互联网接入 7 抗Ddos攻击(原厂三年质保及服务) 性能要求: 标准2U机箱,标配冗余电源 ; 设备攻击清洗能力≥2G; 千兆电口≥4个,千兆光口≥4个; 含三年原厂维保服务; 主要指标: 支持静态和动态牵引方式,并且支持BGP路由协议和OSPF协议; 支持对欺骗与非欺骗的TCP (SYN, SYN-ACK, ACK, FIN, fragments) 、UDP (random port floods, fragments)、ICMP (unreachable, echo, fragments)、(M)Stream Flood及混合类型攻击的防护; 设备具备对不同类型的url请求合法性进行验证,实行不同的防护策略,可防御CC及变种的能力; 设备支持使用智能攻击流量识别的技术进行防护,而不需要基于特定规则的方式,即当发生未知攻击,无需专门的撰写规则即可对这些攻击进行防护; 支持使用IP信誉库对流量进行防护,并支持IP信誉查询,信誉库更新周期≤7天(提供配置界面截图证明,签订合同前,证明材料加盖原厂公章); 产品支持导入SSL证书对HTTPS流量进行防护(提供配置界面截图证明,签订合同前,证明材料加盖原厂公章); ▲产品能够有效防护CC攻击,并提供etag、http cookies、url验证、ascii图片验证、bmp图片验证、传奇游戏验证、FCS检查和模式匹配检查防护算法以抵御不同程度的攻击(提供配置界面截图证明,签订合同前,证明材料加盖原厂公章); 支持通过手机APP客户端监控设备运行状态,包括产品的CPU、内存、接口状态、产品版本等信息; 产品具有公安部颁发的《计算机信息系统安全专用产品销售许可证》(增强级); 具有中国信息安全测评中心颁发的《国家信息安全测评信息技术产品安全测评证书EAL3 。 台 1 8 传统防火墙(原厂三年质保及服务) 标准2U机箱,标配冗余电源 ,吞吐率≥8Gbps ,千兆电口≥8个,千兆光口≥4个,并发连接数≥200万。 台 2 9 七层防火墙(原厂三年质保及服务) 标准2U机箱,标配冗余电源 ,千兆电口≥8个,吞吐率≥8Gbps ,应用层吞吐率(FW APP)≥2Gbps,并发连接数≥200万。 台 4 10 WEB应用防火墙(原厂三年质保及服务) 性能要求: 标准2U机箱,标配冗余电源,电源可热插拔; 千兆电管理口≥2,千兆电口≥4,千兆光口≥4; 应用吞吐量不小于4000Mbps,HTTP并发连接不小于30万,HTTP新建连接不小于3万; 含三年原厂维保服务; 主要指标: 支持WEB站点服务自动侦测功能,支持自动识别VLAN信息、服务器的IP地址、端口、域名等信息;自动识别爬虫、扫描器等自动化工具的扫描行为; 支持基于访问行为特征进行分析,能识别盗链、爬虫攻击的能力; 内置身份证、银行卡等服务器敏感信息库,对服务器响应敏感内容进行隐藏,并支持自定义; 支持Cookie安全机制,支持Cookie自学习,防止Cookie被篡改和劫持,并支持Cookie Httponly; 可实现访问流程的校验,向网站提交表单前必须先访问指定的网页,并等待可配置的时间长度后才能正常提交表单; 可根据URL、请求头字段、目标IP、请求方法等多种组合条件对CC攻击进行检测,检测指标为URL访问速率和URL访问集中度;可根据IP、IP URL和IP User_Agent等算法对客户端进行检测,并支持应用层字段解析和自定义检测字段功能,支持挑战模式,支持基于地址位置的识别,支持对特定的IP地址进行CC规则白名单放行,支持CC慢攻击防护,通过学习业务流量模型,在业务流量异常时开启CC防护,并支持启动配置阈值; 支持HTTPS服务器的防护,可支持第三方认证机构颁发的证书链,WEB应用防火墙前端与后端均为HTTPS加密链路,实现HTTPS应用系统的防御;内置SSL硬件加速卡,实现对HTTPS的加解密(提供配置界面截图证明,签订合同前,证明材料加盖原厂公章); 按地理区域对攻击次数等进行统计,通过地图展示,并在地图上可以指定某一地理区域进行访问控制,阻断此区域 IP的访问; ▲支持与本次购置的APT设备进行联动,对未知威胁流量进行检测和拦截;支持与云端威胁情报进行联动,实现对未知威胁进行识别和拦截,与云端抗D中心进行联动实现3-7层的DDOS防护(提供配置界面截图证明,签订合同前,证明材料加盖原厂公章); 通过公安部检测并获得公安部计算机信息系统安全专用产品销售许可证; 产品具备软件著作权证书和IPv6证书(提供证书或证明材料)。 台 2 11 日志审计系统(原厂三年质保及服务) 性能要求: 标准2U机箱,标配冗余电源,管理口≥1个,console口≥1个; 内存:8GB,磁盘:1T*1 raid1; CF卡启动; 支持审计100个日志源; 平均处理能力(每秒日志解析能力EPS)≥4000; 含三年原厂维保服务。 主要指标: ▲采用解决方案包上传对产品进行功能扩展,无需要代码开发(提供配置界面截图证明,签订合同前,证明材料加盖原厂公章); 支持Syslog、SNMP Trap、OPSec、FTP协议日志收集,支持使用代理(Agent)方式提取日志并收集; 支持目前主流的网络安全设备、交换设备、路由设备、操作系统、应用系统等; 支持常见的虚拟机环境日志收集,包括Xen、VMWare、Hyper-V等; 支持基于内存的实时关联分析,跨设备的多事件关联分析; ▲支持根据资产价值、资产漏洞、针对漏洞的威胁事件三者进行威胁的自动关联分析(三维关联),所有的三维关联算法和准则以CVE、Bugtraq、OWASP公开协议和标准为为基础(提供配置界面截图证明,签订合同前,证明材料加盖原厂公章); 支持日志备份自动传送到远程服务器; 极高的日志高查询性能,支持亿级的日志里根据做任意的关键字及其它的检索条件,在秒级里返回查询结果; 支持如下应用的性能监控(Windows、Linux、Aix、FeeBSD、HP-UX/Tru64、Max OS、Sun Solaris)、数据库(mysql、oracle)、应用服务器(weblogic、tomcat)、web服务器(apache); 产品获得公安部计算机信息系统安全产品销售许可证以及公安部信息安全产品检测中心出具产品检验报告,所提供的产品检验报告须符合《信息安全技术日志分析产品检验规范》(提供证书或证明材料); 产品具备软件著作权证书和IPv6证书(提供证书或证明材料)。 套 1 12 互联网和业务专网数据交换系统(数据交换平台 网闸) 总体要求: 硬件形态:标准机架式机箱,双服务器主机架构,专用安全加固Linux操作系统,冗余电源; 网闸部分: 采用2U机架式设备架构,双电源;配备液晶屏和整机健康监控声光报警装置; 内网接口:配置≥4个10/100/1000M Base-TX网络接口,≥1个10/100/1000M Base-TX管理接口,≥1个10/100/1000M Base-TX HA接口(双机热备口)。外网接口:配置≥4个10/100/1000M Base-TX网络接口,≥1个10/100/1000M Base-TX管理接口,≥1个10/100/1000M Base-TX HA接口(双机热备口); 网闸软件系统:具备文件交换、FTP访问、数据库交换、邮件传输、安全浏览、安全通道、消息模块, 支持主流数据库交换,包括:Oracle、DB2、SQL Server、Sybase及MYSQL的各种版本,支持国产数据库如:达梦、神舟通用等。 支持各种数据库之间的异构数据转换,包括:不同数据库、同类数据库不同版本的转换、异构表、异构字段名、异构字段类型的转换、异构字符类型、异构数据库字符集的转换、大字段的异构等; 系统支持内、外网络报文的识别功能(提供国家机构证明材料加盖投标商公章,签订合同前,加盖厂家公章); 支持IPv4、IPv6双协议栈接入; 支持断点续传;支持增量传输、发送后删除、改名传输等发送策略; 支持文件传输长度及MD5校验,并支持校验失败自动重传;支持文件格式特征过滤,并能提供文件类型判断工具以帮助用户识别不常见文件类型; 支持灵活的数据库冲突处理策略,当关键字数据发生冲突时可选择:覆盖/丢弃; 支持字段值按条件进行数据同步,支持数据库同步数据统计功能; 支持数据库SQL语句过滤功能; 支持访问用户的黑白名单过滤,支持FTP协议命令的黑白名单控制,支持上传/下载文件类型的黑白名单控制; 支持HTTP请求头部大小限制; 交换平台: 为保障安全可靠性,产品须是国产自主研发可控品牌,非OEM产品,提供国家版权局颁发的《计算机软件著作权登记证书》,且证书内容必须包含“数据安全交换”等关键字样; 支持主流数据库交换,包括:Oracle、DB2、SQL Server、Sybase及MYSQL的各种版本,支持国产数据库如:达梦、神舟通用等; 支持各种数据库之间的异构数据转换,包括:不同数据库、同类数据库不同版本的转换、异构表、异构字段名、异构字段类型的转换、异构字符类型、异构数据库字符集的转换、大字段的异构等; 支持FTP、POP3、SMTP、SOAP1.1/1.2、WSDL2.0等多种访问协议;支持主流数据库服务协议、文件服务协议、应用服务协议的识别和过滤; 支持实时监控某个业务当前状态,包括:流量、每分钟传输数、运行状态等; 支持实现对用户业务运行环境的实时监测,如用户数据库系统、文件系统的响应时间、当前性能、CPU/内存/共享缓冲区占用状态等; 支持基于报文流数据的无缓存模式匹配功能;支持交换对象的密级配置,低密级对象只能向高密级对象交换数据,高密级无法向低密级交换; 支持数据库错误信息提取的功能。 套 2 13 网络入侵检测系统(IDS) 性能要求: 机架式设备,配置管理口≥1个; 吞吐率≥2Gbps,千兆电口≥6个; 并发连接数≥200万,千兆管理口≥2个; 主要指标: 系统应提供覆盖广泛的攻击特征库,能够针对多种攻击行为、异常事件,以及网络资源滥用流量,进行检测和防御; 系统应提供服务器异常告警功能,可以自学习服务器正常工作行为,并以此为基线检测处服务器非法外联行为; 系统应提供敏感数据保护功能,能够识别通过自身的敏感数据信息(银行卡、身份证号、手机号等); 系统应提供关键文件保护功能,能够识别通过自身的关键文件,以防止非法外传行为。能识别的关键文件类型应包含至少以下几类:文档类如Excel、PDF、PowerPoint、Word等,压缩文件类如CAB、GZIP、RAR、ZIP、JAR等,图像类如BMP、GIF、JPEG等,音频视频类如MP3、AVI、MKV、MP4、MPEG、WMV等,脚本类如BAT、CMD、WSF等,程序类如APK、DLL、EXE、JAVA_CLASS等; 系统支持基于信誉的僵尸网络防护,具备可以持续升级的信誉库,IDS通过信誉库内的恶意网站IP、C&C服务器地址的信誉值执行相应的防护动作; 系统应提供基于告警设备、时间、IP地址、事件类型、用户身份等条件的日志检索功能,具备日志备份、清除和恢复功能。系统应具备递归查询功能,在查询结果中再次输入查询条件获得更详细的查询结果,进行细粒度分析; 支持针对多种数据库类型的SQL注入攻击检测功能 ; 支持网络入侵事件的管理功能 ; 支持检测恶意HTTP请求的功能; ▲须支持服务器异常告警功能,可以自学习服务器正常工作行为,并以此为基线检测处服务器非法外联行为(提供配置界面截图证明,签订合同前,证明材料加盖原厂公章); 须具有公安部颁发的《计算机信息系统安全专用产品销售许可证》 ; 须具有中国信息安全测评中心颁发的《信息技术产品安全测评证书》千兆EAL3 。 台 2 14 网络入侵防御系统(IPS) 性能要求: 标准2U机箱,标配冗余电源; IPS性能≥2Gbps; 千兆电口≥8个,千兆光口≥2个; 并发连接数≥200万,千兆管理口≥2个; 三年入侵防御特征升级服务,三年原厂维保服务; 主要指标: 为保障安全可靠性,产品须是国产自主研发可控品牌,非OEM产品,提供国家版权局颁发的《计算机软件著作权登记证书》,且证书内容必须包含“入侵防御”等关键字样; 支持应用协议自动识别功能,能够对至少200种以上的网络应用及服务(HTTP、FTP、SMTP、POP、DNS、RPC等)进行协议分析,同时提供实时警告和实时入侵防范; 支持多种防web扫描能力,包括爬虫、CGI和漏洞扫描等,并支持设置至少4个不同级别的扫描容忍度/扫描敏感度; 入侵防御事件库事件数量≥4500条; 支持对IPv6协议族的转发和解析能力,保证设备在下一代网络的可用性,适应多种不同的网络环境; 支持单独的恶意样本检测规则升级功能,方便对恶意样本检测功能进行扩充; 支持未知C&C通道(隐蔽通道)检测功能,能够提供C&C通道的危险级别、连接建立时间、连接持续时间、控制端IP地址和端口、受控端IP地址和端口等C&C通道信息,提供各种响应动作:阻断会话、临时阻断和抓包分析等; 支持虚拟IPS功能,不同的用户可以方便定制满足自身要求的检测模版; 支持敏感信息防护功能,识别信息和文件中的关键字、身份证、手机号码、固定电话号码、银行卡、IP地址等敏感信息,并支持文件指纹识别和白名单功能; 系统支持弱口令检测功能,支持至少8种网络协议并支持至少7种弱口令检测元素; 支持计算机网络入侵定位功能(提供国家权威机构证明文件,签订合同前,加盖原厂公章) 。 台 2 15 数据库审计系统 性能要求: 标配冗余电源,千兆电口≥2,千兆光口≥2; 吞吐能力≥2000M; 硬盘容量≥1TB*2,支持RAID1,内存 ≥8G; 日处理业务操作数≥4亿条;峰值处理能力≥2万条/秒; 主要指标: 支持分布式部署、旁路部署(镜像流量)、大数据平台部署等,为了解决无法镜像流量的场景,可在被审计的数据库服务器上安装Agent代理实现数据库的审计; 审计对象包括但不仅限于SQLServer、甲骨文、DB2、Informix、Sybase、MySQL等主流数据库; 支持审计 HTTP、Telnet、FTP、SMTP、POP3、DCOM等主流业务协议; 可采取导入证书来实现对SQLserver加密协议通讯的审计和防护; 支持数据库双向审计,包括对数据库服务的请求审计、数据库返回审计,返回审计的内容包括但不仅限于数据库字段、运行状态、审计返回行数、访问时长等(提供公安部或国家保密科技测评中心检测报告); 通过对流量分析可自动识别、智能发现数据库; 内置50种数据库审计安全特征库,审计规则可自定义,内置敏感信息脱敏规则,且支持规则自定义; 可设置告警数据限制,告警阀值;告警方式支持手机短信、syslog、FTP、web页面等; 可采用匹配模糊查询、自定义条件、按照访问IP地址、数据库类型、字段、账号、时间等多种方式检索查询日志,且查询性能高; 内置多种报表,支持按照会话、SQL语句、流量、用户、DDL操作数等报表; 支持三层关联分析、自动建模分析和异常行为智能分析并告警; ▲具备《国家信息安全漏洞库兼容性证书》(提供证书复印件,签订合同前,加盖原厂公章)。 套 1 16 运维管控系统(堡垒机) 性能要求: 标准1U机箱,单电源 ; 运维审计磁盘空间≥1T,千兆电口≥4个; 可管理设备数量≥100个,运维用户无限制; 单台堡垒机字符类并发会话≥100个、图形类并发会话≥100个; 主要指标: 系统须安装在专用的CF卡或固态盘中,审计数据存储在磁盘中,防止操作系统故障导致审计数据丢失; 支持旁路部署、HA主备模式部署、集群部署等;可采用google、IE、firefox等浏览器登录,直接调用客户端运维工具及H5方式运维; 支持手动录入和批量导入运维账号、资产等信息,支持以部门分组运维资产、运维账号、运维权限和审计; 登录认证方式包括但不仅限于与LDAP、AD、RADIUS、CA等第三方认证对接,与post、get、soap发送方式的http短信网关平台进行联动实现短信口令认证对接,动态令牌和usbkey、手机APP等,并可基于用户自定义设置双因子认证模式,选择启用一种认证登录窗口(提供相关截图证明); 支持telnet、ssh、ftp、rdp、等运维协议,无需前置机实现SQL、oracle、mysql等主流数据库运维; 支持自学习设备IP地址、端口、协议、用户名和密码以及权限等信息并自动完成授权,支持自动改密,周期可自定义; 支持工单申请和工单审批,支持登录账号密码托管、二次输入账号密码登录等;支持启用对重要命令执行前审批、重要设备登录审核等功能; 通过SSH、RDP、SFTP、FTP等运维传输的文件支持将源文件保存并可实现源文件下载; 内置多种报表模板,点击折线图、柱状图等实现数据钻取分析,导出支持word、PDF、html等格式; 会话操作过程可实现实时桌面监控、远程阻断、视频回放等,RDP协议运维可启用对内容、标题、输入内容进行记录和搜索定位; ▲同时具有销售许可证、软件著作权证书、IPv6证书和《国家信息安全漏洞库兼容性资质证书》(提供证书或证明材料,签订合同前,加盖原厂公章)。 套 1 业务专网接入 县级经办机构接入 17 七层防火墙 标准2U机箱,标配冗余电源,千兆电口≥8个,吞吐率≥8Gbps,应用层吞吐率(FW APP)≥2Gbps,并发连接数≥200万。 台 2 基层平台、两定机构等接入 18 七层防火墙 标准2U机箱,标配冗余电源,千兆电口≥8个,吞吐率≥8Gbps,应用层吞吐率(FW APP)≥2Gbps,并发连接数≥200万。 台 2 银行等第三方机构 19 防火墙 标准2U机箱,标配冗余电源 ,千兆电口≥8个,吞吐率≥8Gbps,应用层吞吐率(FW APP)≥2Gbps,并发连接数≥200万。 台 2 医保 20 防火墙 标准2U机箱,标配冗余电源 ,千兆电口≥8个,吞吐率≥8Gbps ,应用层吞吐率(FW APP)≥2Gbps,并发连接数≥200万。 台 2 四 备数据中心 21 接入应用防火墙 标准2U机箱,标配冗余电源 ,千兆电口≥8个,吞吐率≥8Gbps ,应用层吞吐率(FW APP)≥2Gbps,并发连接数≥200万。 台 2 22 核心万兆防火墙 标准2U机箱,标配冗余电源,千兆电口≥4个,千兆光口≥4个,万兆光口≥2个(配万兆多模SFP 模块),吞吐率≥14Gbps,应用层吞吐率(FW APP)≥3Gbps,并发连接数≥300万。 台 2 五 主数据中心 23 准入控制系统 服务器端: 标准2U机箱,标配冗余电源; 吞吐率≥8Gbps,支持5000终端以下环境; 千兆电口≥6个,管理口≥1个,SATA硬盘≥1TB; 客户端: 准入模块客户端程序,包含:应用准入打点功能、802.1x认证客户端功能、合规检查功能、隔离修复、动态VLAN切换、配合相关策略实现网络访问控制、相关客户端交互配置等功能; 与服务器通信,接收控制中心管理所需入网策略配置和上报入网数据等信息; 主要指标: 支持旁路终端准入部署方式,避免串行设备部署单点故障; 支持有线、无线基于应用协议准入方式,准入配置支持保护服务器区域、例外终端等灵活的配置方式; ▲支持与终端安全管理系统共用控制中心和客户端软件,无需再安装客户端软件,保障入网访问终端是安全可信,检测是否安装准入客户端,以达到入网遵从条件(提供配置界面截图证明,签订合同前,证明材料加盖原厂公章); 支持快速部署客户端、提高客户端部署效率、防止恶意卸载缺失必要的终端保护机制,未安装准入的终端将不能访问被保护的区域,将被重定向到客户端安装页面,安装成功后才能访问,并可结合安检合规进行更加细粒度的入网控制; 支持有线、无线基于应用协议准入方式,准入配置支持保护服务器区域、例外终端等灵活的配置方式; 支持标准802.1X准入,支持动态VLAN、动态ACL下发; 支持终端安全检查失败本地ACL隔离机制,可基于协议、特定端口、特定地址、URL来控制终端访问权限,从而无需操作交换机达到终端网络控制目的,实现细粒度的访问控制管理,支持不同终端修复区域定义; 支持入网健康检查策略,策略检查项至少包括:远程桌面、U盘自动运行、防火墙、IP获取方式、文件共享、屏幕保护、空密码、IE代理;支持终端修复向导,对不合规的终端提供软隔离,并进行修复向导和一键修复功能; 需支持各阶段的容灾及逃生措施,支持双机热备、冷备、一键认证放行、软Bypass、域认证缓冲、第三方认证源异常自动放行逃生方式,保证各阶段的逃生措施; 需支持和多种第三方认证源联动认证,至少支持AD、LDAP、Email、HTTP服务器联动认证,实现统一认证管理要求(提供配置界面截图证明,签订合同前,证明材料加盖原厂公章); 提供注册用户入网申请流程; 提供自动审批和管理员手动审批两种方式; 提供管理员审批后邮件发送; 提供注册用户遗忘密码管理员重置; 强制用户注册时输入姓名、手机号码、入网原因、Email; 第三方服务器异常时,自动放行; 提供一定期限的用户认证缓存机制,当第三方认证源无返回时,提供一定时间的认证放行,便于第三方服务器在恢复维修期的认证放行逃生; ▲网络异常情况或第三方认证源故障,开启后全局认证放行Bypass;可利用语境关联分析技术实现准确的识别(具备语境关联分析软件著作权证书提供复印件,签订合同前,加盖原厂公章); 产品具有计算机信息系统安全专用产品销售许可证(提供复印件,签订合同前,加盖原厂公章); 产品厂商具有ISO20000信息技术服务管理体系认证证书及ISO18001职业健康安全管理体系认证证书(提供复印件,签订合同前,加盖原厂公章) 提供三年硬件质保服务的售后服务承诺函原件并原厂商盖章。 台 2 24 漏洞扫描(部署核心交换机) 允许最大并发扫描≥90个IP地址,允许最大并发任务≥15个任务,本次需授权≥1000个IP和WEB扫描模块。千兆电口≥6个,千兆光口≥4个,管理口≥1个; 具有检测的漏洞数大于4000条,兼容CVE、CNCVE、CNNVD、CNVD、Bugtraq等主流标准,并提供CVE Compatible证书; 具有扫描国产操作系统、应用及软件的安全漏洞,如红旗、麒麟、起点操作系统; 产品提供Web应用扫描能力,提供多种Web应用漏洞的安全检测,如SQL注入、跨站脚本、网站挂马、网页木马、CGI漏洞等; 具有Oracle、MySQL、MS SQL、DB2、Sybase数据库漏洞检查; (6)▲提供高级漏洞模板过滤器,具有将符合筛选条件的漏洞自动加入到自定义漏洞模板中,及后续插件升级包中的漏洞也可以自动加入到模板中(提供原厂盖章的配置界面截图证明,签订合同前,加盖原厂公章) (7)产品应具有多路扫描功能,可以同时对多个隔离业务子网进行扫描; (8)具有通过仪表盘直观展示资产风险值、主机风险等级分布、资产风险趋势、资产风险分布趋势等内容,并可查看详情; (9)▲提供对 IPv6 环境的扫描,保证设备在下一代网络的可用性,适应多种不同的网络环境,(提供IPv6 Ready Logo证书复印件,签订合同前,加盖原厂公章); (10)支持专门针对DNS服务的安全漏洞检测,包括DNS投毒等漏洞检测能力;支持“幽灵木马”检测; (11)支持风险告警和风险闭环处理,可在集中告警平台灵活配置告警内容、告警方式、告警资产范围等,支持邮件和页面告警,支持单个或批量修改风险状态; (12)▲支持扫描主流虚拟机管理系统的安全漏洞(须提供国家版权局颁发的适用于云计算环境的漏洞扫描系统《计算机软件著作权登记证书》复印件,签订合同前,加盖原厂公章); (13)须具有公安部颁发的《计算机信息系统安全专用产品销售许可证》;须具有中国信息安全测评中心颁发的《信息技术产品安全测评证书》千兆EAL3 。 台 1 25 核心万兆防火墙 标准2U机箱,标配冗余电源,千兆电口≥4个,千兆光口≥4个,万兆光口≥4个(配万兆多模SFP 模块),吞吐率≥20Gbps,应用层吞吐率(FW APP)≥12Gbps,并发连接数≥800万。 台 2 26 日志审计系统 性能要求: 平均处理能力(每秒日志解析能力EPS)≥10000; 千兆光口≥4个,管理口≥2个; 支持审计400个日志源; 4个电口,1个console口,内存:32GB,磁盘:4T*4 raid5; 双电源、非CF卡启动,可扩展项:内存可扩展至128GB; 单个磁盘可扩展至4T(8个盘位),支持HBA卡扩展、支持扩展光模块; 主要指标: 集成数据库,无须再独立安装数据库系统,亦无须对数据库进行专门的维护;通过SNMP协议,集中监视整个系统的网络设备、安全、主机等设备的各类状态;所有日志采用统一的日志查询界面;查询支持全文关键字查询;实时监控设备的各类告警信息;支持通过电子邮件、SNMP Trap、短信告警等方式对外发出通告; 日志采集支持的协议包括但不仅限于Syslog、SNMP、FTP等,支持在被采集日志的设备上安装agent代理提取日志; 日志采集支持的对象包括但不仅限于目前主流品牌的交换机、路由器等网络设备、安全设备、操作系统、应用系统、中间件等; 日志采集支持的环境包括但不仅限于主流的虚拟环境威睿(VMWare)、微软Hyper-V、Xen等; 支持对日志进行标准化和归一化处理、细粒度解析,关联分析,解析规则支持自定义; 具有丰富的合规性报表、自动化审计报告并支持自定义报表,导出报表支持PDF、word等方式; 支持按默认检索条件、任意关键字等进行日志检索,查询结果反馈秒级; 支持以资产维度、弱点库维度、安全知识库维度关联分析存在的安全威胁,并形成关联事件(提供第三方检测报告); 支持分布式、集中式部署,可实现分级管理,无需在管理终端上安装任何软件或插件实现B/S模式管理; 告警方式包括但不仅限于手机短信、web界面、邮件等,并可自定义告警策略; 支持将备份的日志自动传送到第三方平台,具有销售许可证、软件著作权证书和IPv6证书(提供证书或证明材料)。 套 1 27 APT攻击分析系统 分析平台: 内存≥256G,冗余电源; 存储≥12×4TB,千兆电口≥4个,事件入库性能≥2万条/秒,事件查询性能≥90万条每分钟; 流量采集器: 数据处理能力≥8Gbps吞吐率,内存≥32G,支持冗余电源; 存储≥4TB,千兆电口≥2个,万兆光口≥2个,并发会话≥700万,新建会话≥8万; 主要指标: 可支持集群部署,可水平扩展至多台设备集群,以满足冗余以及大量数据情况,可支持PB级数据检索; 支持常见协议识别并还原网络流量,用于取证分析、威胁发现,支持:http、dns、smtp、pop3、imap、webmail、DB2、Oracle、MySQL、sql server、Sybase、SMB、FTP、SNMP、telnet、nfs等; 网络攻击引擎支持多种DDoS检测:SYN FLOOD、NTP放大、DNS放大、CC拒绝服务攻击、Udpflood、http flood、Pingflood、Dnsreqflood、Dnsreplyflood、ACK_FLOOD、PSH_ACK_FLOOD、ACK_FIN_FLOOD等; 支持常见数据库协议的识别或还原:DB2、Oracle、SQL Server、Sybase、MySQL、MongoDB、PostgreSQL、SIP等协议; 支持终端采集的数据至少要包括进程socket事件、进程DNS事件、带附件邮件发送接收事件; 支持原始告警数据包留存:告警相关的原始数据包能够本地留存,用于威胁事件的取证、分析; 支持语义分析检测,提升未知威胁检测能力; 支持基于WEB攻击检测技术,检测类型包含SQL注入、跨站脚本攻击、文件写入、文件下载、文件上传、文件读取、文件包含、弱口令、权限许可和访问控制、配置不当/错误、目录遍历、默认配置不当、命令执行、敏感信息/重要文件泄露、逻辑/设计错误、跨站请求伪造、后门程序、非法授权访问/权限绕过、代码执行、URL跳转、系统/服务配置不当等,告警事件能标记主机攻陷状态是否失陷; 支持能够对告警进行深层次分析,分析内容包含:基本信息、主机详情、威胁情报详情、投递的恶意样本、在主机上运行的恶意样本、外联C&C服务器域名、C&C服务器会话记录、C&C服务器传送文件、受到的攻击等; 支持漏洞利用行为检测,并支持第三方权威漏洞裤信息共享; 可基于机器学习和行为模型进行未知威胁和异常行为的检测,可检测异常行为包含:业务资产主动外连、HTTP代理、SOCKS代理、异常DNS服务器、DNS Tunnel、reGeorg Tunnel、DGA域名、异地账号登录、暴力破解、明文密码泄露、弱口令监测、敏感关键词邮件、敏感后缀邮件; 威胁事件的追踪溯源分析能力,可基于事件告警进行调查分析,对攻击过程进行可视化展现,可展示命中威胁情报的内部主机之间的连接行为,能输出完整的基于时间序列和攻击链的事件报告,事件报告支持word格式导出; 支持基于威胁情报的威胁检测,检测类型包含APT事件、僵尸网络、勒索软件、流氓推广、窃密木马、网络蠕虫、远控木马、黑市工具、其他恶意软件,并可自定义威胁情报; 流量日志至少包含异常报文、域名解析、文件传输、邮件行为、Web访问、登录动作、FTP控制通道、数据库操作、LDAP行为、SSL加密协商等流量行为日志,并可按照以上应用协议的各个关键字段搜索日志; 流量日志记录至少包含以下字段:时间、IP、MAC、IP地理位置、端口、域名、HTTP头信息、SQL语句、邮件收件人和发件人、文件名、文件MD5、应用层payload前100字节、协议; 告警报表内容包括APT事件、攻击利用、恶意软件、拒绝服务、侦察等类型。报表内容可以按照汇总报表和分项报表进行生成导出; ▲提供产品应具备公安部销售许可证证明材料,销售许可证必须为“APT安全监测产品”; 产品原厂三年技术支持服务及三年特征库升级服务的售后服务 ; ▲产品同时通过IPV6检测并提供IPV6检测证书,通过国家保密科技测评中心检测并获得涉密信息系统产品检测证书(同时提供IPv6 ready logo证书和涉密信息系统检测证书,签订合同前,同样资料加盖原厂公章)。 套 1 28 安全运维管理中心 (SOC) 总体性能: 软件形态,包含资产管理、安全事件管理、拓扑管理、基础关联、脆弱性管理、配置基线核查、流量分析等扩展性功能模块; 基本功能:系统平台框架、资产管理、安全事件管理、基础关联分析、标准脆弱性管理、风险评估、首页、标准的报表模块、标准的响应管理模块、权限管理、知识管理、系统自身管理; 重要功能:基础监控模块,增强监控模块,业务管理模块,增强关联分析模块,历史关联模块,≥200个管理节点授权,后续可扩张授权; 安高数据挖掘能力,为安全提供决策依据、提高信息安全的纵深防御能力; 系统配置自动网络拓扑发现功能,自动描绘网络中资产节点之间网络连接关系,拓扑发现功能支持ICMP,SNMP,STP等协议方式; (6)原厂商具有自主漏洞挖掘能力,截止2019年10月底,在CNVD企业单位原创积分排名前三(提供国家信息安全漏洞共享CNVD官网链接及截图证明,签订合同前,同样资料加盖原厂公章) 主要指标: 系统支持将安全事件与当前网络和业务的实际运行环境进行关联,透过更广泛的信息相关性分析,识别安全威胁,系统应至少支持基于弱点的情境关联、基于资产的情境关联、基于网络告警的情境关联; 系统支持快速内容分析的多关键字匹配功能;采用基于规则的安全事件关联分析方法及技术;系统支持安全事件实时确认的功能; 系统具有资产管理的功能,能够将被管理IT资产进行分组、分域的统一维护; 系统支持标准日志范式化功能,在事件采集时采用了基于通用范化标签语言的安全信息管理技术(提供国家权威机构证明并加盖厂家公章),范式化字段至少包括事件接收时间、事件产生时间、事件持续时间、用户名称、源地址、源MAC地址、源端口、操作、目的地址、目的MAC地址、目的端口、事件名称、事件摘要、等级、原始等级、原始类型、网络协议、网络应用协议、设备地址、设备名称、设备类型等; 系统内置超过3000条分析策略,包括各种实时分析策略、历史分析策略、告警统计策略、工作台仪表板视图; 实时显示事件内容包括:接收时间、事件类型、事件名称、报警级别、来源IP、目的IP、设备类型、设备来源IP等; 系统具有基于规则的安全事件实时关联分析的能力,能够对不同的事件进行相关性分析,发掘潜在的信息; 对选中的事件源/目的IP地址进行全球地图定位,包括在线定位和离线定位; 系统支持将安全事件与当前网络和业务的实际运行环境进行关联,透过更广泛的信息相关性分析,识别安全威胁,系统应至少支持基于弱点的情境关联、基于资产的情境关联、基于网络告警的情境关联; 系统支持基于观察列表的事件关联分析,可分析长期和短期事件的实时关联分析,可将关注的事件或符合条件的事件保存至观察列表中供后续规则读取并关联; 系统支持丰富的事件可视化展示能力,具备多种展现手段,至少包括事件拓扑图、IP全球定位图、动态事件移动图、事件多维分析图、资产拓扑图等; 系统支持弱点管理功能,能够导入资产的弱点信息,并计算资产/安全域/业务系统的脆弱性值; 系统内置的风险计算模型,能综合考虑资产的价值、脆弱性和威胁,计算风险的可能性和风险的影响性,展示出安全域的风险矩阵; 用户可自定义告警统计策略,并以树形结构进行组织,形成一棵告警统计策略树。 套 1 29 云安全管理平台 (含 云防火墙、 云WEB应用防火墙、 云堡垒机、 云数据库审计、 云日志管理、 云漏洞扫描) 性能要求: 标准2U机架式服务器,标配冗余电源,吞吐能力:≥10G,最大支持60VM; 硬盘≥12*4T,CPU≥2颗,内存≥256G,万兆光口≥4个,千兆电口≥4个,(部署到私有云管理(支持虚拟机台数不低于60台); 主要指标: 平台包含云防火墙(包含IPS/AV)、云WEB应用防火墙、云堡垒机、云数据库审计、云综合日志审计、云漏洞扫描、网页防篡改等安全资源镜像; 无需安装客户端,提供集中的基于Web浏览的管理界面环境,支持主流浏览器包括IE、Chrome、Firefox等; 支持云平台安全管理视角和云租户管理视角,云平台安全管理视角负责对整个安全资源进行统一管理、统一安装、统一引流、统一分析等,云租户管理视角则对自身权限范围内的安全资源进行管理和分析; 支持根据采购人规划的安全域、租户情况提供基于安全域和租户的安全功能,以平台管理视角给租户主动分发安全资源; 允许租户在统一管理平台自助申请和启停安全资源; 采取有效的隔离措施,确保云平台上不同安全区域、不同单位、以及不同业务系统之间的安全隔离以及相互间的访问控制; 提供开放的API接口,支持第三方品牌的安全产品接入平台管理,为租户提供灵活的安全产品使用方案; 支持统一用户管理,包括WEB防护引擎、网页防篡改引擎、运维审计引擎、日志审计引擎、云数据库保护引擎、大数据分析引擎、态势感知引擎等所有安全资源,实现所有安全产品单点登录,角色权限统一控制; 在实现三权分立的前提下支持所有安全资源的统一认证能力,用户通过认证中心认证完毕即可拥有相应角色的菜单和权限; 支持平台管理员安全服务的统一订单管理,做到订单的查看、审计、统计等; 支持申请流程管理:租户提交申请安全资源以后,管理员对申请审批通过以后,租户才能正常使用安全资源; 软硬一体化设备,包含通用硬件平台、虚拟化资源池、安全管理平台、安全模块。安全资源池包括计算资源、存储资源、网络资源、网络功能资源、安全功能等IT基础资源的虚拟化。安全资源池采用分布式存储,提供安全产品的高可用和物理节点的动态迁移; ★平台整合云防火墙、云综合日志审计、云堡垒机、云数据库审计、云WAF、云漏洞扫描、网页防篡改、云主机加固系统等安全资源镜像(需提供界面截图和所有产品的销售许可证,销售许可证需和平台同一厂商);提供API接口实现第三方品牌安全产品接入(提供截图证明,签订合同前,同样资料加盖原厂公章); 支持等级保护二级推荐套餐和等级保护三级推荐套餐,且支持用户根据业务规模自定义选择套餐规格,实现一键开通等级保护服务套餐(提供截图证明); 支持三权分立,可实现所有云安全产品角色统一授权,授权粒度精细到每一个安全产品的每一个角色,同时可以给用户批量授权;支持用户认证统一,被授权的用户可以通过登录到云安全管理平台单点登录到各个安全产品; 支持管理员分配和用户自主申请开通等方式;支持一键开通,自动部署;支持安全产品开通审批流程,普通用户申请开通安全产品需要管理员审批通过以后才能够自动激活安全产品; 支持通过云安全管理平台直接给扫描下发扫描策略,并通过可视化图表展示扫描资产统计,漏洞数量TOP5资产,出现频率最高TOP5漏洞等信息(提供截图证明); 支持通过管理平台统一添加资产自动同步到相关安全产品,添加主机资产自动同步到堡垒机、主机扫描,添加网站资产自动同步到网站扫描等,无需到不同的安全产品模块逐一添加(提供截图证明); 授权许可按需消耗,资源池只记录许可总数,即消耗一个安全许可可激活任意一款安全产品,支持两个许可合并激活一个高规格的安全产品;支持许可包导入,通过扩展许可数量,扩展资源池允许激活的安全产品数量; 支持管理员通过可视化大屏获取整个安全资源池的物理节点总数量和物理节点在线/离线数量,虚拟机总数量和虚拟机在线/离线数量信息(提供截图证明); ▲产品同时具备CSA云安全CAS CSTR(增强级)证书和国家信息安全漏洞库CNNVD兼容性资质证书(提供证书复印件证明,签订合同前,同样资料加盖原厂公章); ▲云安全管理平台具备由公安部第三研究所颁发的云计算产品信息安全认证证书 (须提供证书证明,签订合同前,同样资料原厂公章)。 套 1 30 虚拟化杀毒安全防护系统(私有云部署) 性能要求: 控制中心≥1个,授权终端≥100个,后续可扩展授权; 主要指标: 支持按照客户端、按照物理CPU、客户端 CPU混合的授权模式,以满足不同的虚拟化环境; 支持统一部署,对Windows类、Linux类操作系统,物理服务器、虚拟机具备相同的防护模式; 产品支持自带升级、查询、代理功能,无需额外部署升级服务器、代理服务器等节点; 产品应至少支持VMware 、Ctrix、Microsoft、Huawei 、H3C等国内外主流虚拟化厂商平台及本次云平台采用的虚拟化架构,提供兼容性认证材料或厂商官方网站截图证明; 产品应至少支持Windows Server 2003、Windows Server 2008、Windows Server 2012、Windows Server 2016等WindowsNT系列服务器操作系统; 产品应至少支持SuSE、Red Hat、Ubuntu、Debian、CentOS、Asianux、NeoKylinLinux等基于Linux内核的操作系统; 支持对已防护的主机统计在线率、对主机是否安装安全组件统计整体部署率; 产品应至少支持VMware vShpere、Ctrix Xen、Microsoft Hyper-V、Huawei Fusioncompute、H3C CAS等平台的虚拟机导入,并可在同一个管理平台进行统一管理; 产品应支持自带高性能数据库,无需外置数据库即可实现日志存储和分析关联; 产品应支持采用独立安全接口,无需依赖虚拟化平台安全组件即可实现安全功能; 产品应支持不少于3种病毒查杀引擎,根据不同的虚拟化环境和查杀要求可灵活开启关闭; 产品除支持一般性病毒木马查杀外,还应支持例如:宏病毒、敲诈勒索软件病毒、注册表病毒、间谍软件、僵尸远程软件等特定恶意文件的查杀; 产品应预置全盘扫描功能,具备对系统全路径、全文件进行彻底病毒扫描查杀能力; 产品应提供个性化扫描,能够基于不同路径、不同文件类型、使用不同引擎、时间等进行自定义病毒扫描查杀; 产品应支持提供实时主动防护,智能监控系统文件操作行为,利用文件审计关联技术,实时对病毒木马及恶意相关文件进行拦截和防护; 产品应支持对病毒文件进行手动加白置黑操作、对目录、文件、扩展名进行信任操作,以提升查杀效率和降低误杀率; 产品应支持手动、自动、离线升级系统文件、引擎和特征库信息,支持自动化灰度升级功能; 产品应支持对病毒扫描查杀进行资源占用限制,防止引发查杀资源黑洞,修改资源利用方式无需重启; 产品应支持报表订阅功能,支持对报表进行时间、内容展示、订阅人等自定义; 生产厂商2018年入库国家信息安全漏洞共享平台漏洞库共享原创漏洞不少于15000条(提供网站链接和截图,签订合同前,加盖原厂公章); 产品应具备公安部颁发“虚拟化杀毒”品类增强级销售许可证; ★提供原厂本产品三年技术支持及三年病毒库升级的售后服务(签订合同前,提供三年质保加三年免费病毒特征库升级服务的售后服务承诺函原件并原厂盖章); 产品支持可扩展webshell检测功能,针对网站系统恶意webshell、后门等文件进行扫描防护; ▲产品支持自动化安全运维,包括自定义安全策略的定时、指定范围执行;手动、自动升级系统文件、引擎版本、特征库信息,能够基于分组、时间设定灰度升级策略(提供功能截图,签订合同前,同样资料加盖原厂公章); 生产厂商具有ISO20000信息技术服务管理体系认证证书及ISO18001职业健康安全管理体系认证证书(提供证书复印件)。 套 1 31 数据脱敏系统 性能要求: 吞吐能力:≥2000M;峰值处理能力:5000条/s(指单一表,10个敏感数据字段,进行脱敏的速率); 标配冗余电源;千兆电口≥2个,千兆光口≥2个,千兆电口管理口≥2个,硬盘容量≥1TB,支持RAID0、RAID1,支持最大扩展到4T*2硬盘,支持监听接口扩展 ; 主要指标: 支持Oracle、SQL-Server、Hive 、MySQL等四种主流数据库脱敏; 支持自动扫描发现敏感数据;支持敏感数据扫描任务自定义运行时间, 可根据星期、天、月来选择工作时间与非工作时间,需要可以指定具体的某几个小时为任务可运行时间; 支持数据敏感任务自定义运行时间, 可根据星期、天、月来选择工作时间与非工作时间,需要可以指定具体的某几个小时为任务可运行时间; 支持任务启停,随时查看任务的进度情况,百分比信息,支持客户自定义脱敏规则, 可以有随机、按位替换、模糊、敏感数据掩码等规则; 支持客户指定脱敏规则,可对要脱敏的字段使用的脱敏规则进行选择可以有随机、按位替换、模糊、敏感数据掩码等规则; 支持针对具体的表、字段指定脱敏规则,支持初始化测试库,可以将生产库中的权限、表、视图、存储过程、触发器、函数等对象一次性初始化至测试库中; 支持数据脱敏从数据库到数据库以及从生产库脱敏到文件两种方式; 支持根据客户使用场景创建组织层级结构,支持资产归属部门的设置,支持针对个人的账户创建,可设置用户角色为操作员或管理员; 管理员具有其部门下所有数据库管理权限,操作员可以创建扫描与脱敏任务,但需要管理员审批才能执行; 系统具备审批模块,系统中操作员可以创建脱敏任务,但需要管理员审批后脱敏任务才可执行; 支持敏感数据发现规则的自定义,可通过正则表达式方式或者导入模板方式来自定义; 支持脱敏规则的自定义,只需根据提示填写,简单易用; 报表支持导出pdf、doc、html三种格式,支持自动导出、自动邮件发送; 支持三权分立,内置系统管理员、操作员、审计员三种默认用户; 支持双因子认证,支持短信认证、动态口令卡认证。 (16)★提供原厂本产品三年技术支持及三年病毒库升级的售后服务(签订合同前,提供三年质保加三年免费病毒特征库升级服务的售后服务承诺函原件并原厂盖章); 套 1 32 数据库审计系统 性能要求: 标配冗余电源,千兆电口≥4个,千兆光口≥4个,万兆光口≥2个,吞吐能力≥6000M; 硬盘容量≥4TB,支持RAID1、RAID5,支持最大扩展到4T*4硬盘; 网络端口支持监听接口扩展; 日处理业务操作数≥6亿条; 峰值处理能力≥8万条/秒; 审计日志检索能力:≥3000万条/秒; 系统启动采用CF卡加硬盘方式,保证稳定可靠不可篡改; 主频至少3.4G,至少4核8线程,内存≥32GB DDR3 1600Mhz; 主要指标: 支持旁路模式部署、支持云环境、虚拟化环境部署数据库审计; 支持Oracle、SQL-Server、DB2、Informix、Sybase、MySQL等六种主流数据库审计,支持PostgreSQL、HANA、Teradata、Cache、人大金仓、达梦、MongoDB、南大通用等数据库审计; 支持对SQLserver 2005以上版本采用通讯加密的数据库,可以导入证书的方式实现审计解密; 支持对SQL语句、返回结果集、影响行数、执行时长、实例名、源/目的IP、源/目的端口、客户端主机名、客户端程序名称、客户端操作系统用户名、SQL模板、事件唯一ID等至少21个条件进行审计; ▲支持数据库请求和返回的双向审计,特别是返回字段和结果集、执行状态、返回行数、执行时长等内容,支持通过返回行数和内容大小控制返回结果集大小(提供公安部或国家保密科技测评中心检测报告,签订合同前,报告加盖原厂公章); 支持B/S业务系统三层关联审计;支持审计记录中敏感数据的模糊化处理,内置常见敏感数据掩码规则,支持自定义敏感数据掩码规则; 内置安全特征库规则不少于300条,支持对数据库安全进行检查,如SQL注入,缓冲区溢出,数据库漏洞、弱口令等; 内置审计规则库不少于200条。支持事件类型和策略分组,同时支持黑白名单方式策略,可自定义审计策略。审计策略至少支持18个条件; 告警查询应支持根据登陆用户、客户端工具名、客户端IP、规则进行归并分析,能详细展示每类告警占总告警数量百分比,便于告警分析处理; 系统提供内置多种报表模板库,内置的报表不少于35种;报表支持严格按照塞班斯(SOX)法案、等级保护标准要求生成多维度综合报告;支持报表自定义,自定义的条件不少于20个,支持对数据库自动建模及智能对异常行为告警功能; 所有资质必须为数据库审计产品专有的资质,不能是网络审计产品或者综合审计的产品资质; ▲具备公安部颁发的《计算机信息系统安全专用产品销售许可证》,数据库安全审计国标-增强级; ▲具备国家信息安全测评中心颁发的《信息技术产品安全测评证书》,级别EAL3 ; 产品具备中国信息安全认证中心颁发的《IT产品信息安全认证证书》,级别增强级以上; ▲ 具备《国家信息安全漏洞库兼容性证书》(提供证书复印件,签订合同前,资料加盖原厂公章)。 套 1 33 运维管控系统(堡垒机) 性能要求: 标准2U机箱,标配冗余电源,运维审计磁盘空间≥1T,千兆电口≥6个,千兆光口≥4个,可管理设备数量≥400个,运维用户无限制; 单台堡垒机字符类并发会话≥400个、图形类并发会话≥100个; 应用中心和运维审计一体化设备,系统须安装在专用的CF卡或固态盘中,审计数据存储在磁盘中,防止操作系统故障导致审计数据丢失; 主要指标: 支持用户多角色划分功能,如系统管理员、部门管理员、运维员、审计管理员、密码管理员等,对各类角色需要进行细粒度的权限管理; 堡垒机须内嵌动态令牌和usbkey认证引擎,可同时使用动态令牌和USBkey,且认证引擎须具备原认证引擎厂家授权和资质 (提供相关截图证明); 基于不同的用户设置不同的双因子认证模式,如user1用动态令牌、user2用USBkey、user3手机APP动态口令认证; 支持常用的运维协议:SSH、TELNET、RDP、VNC、FTP、SFTP、rlogin;可通过应用发布的方式进行协议扩展,如数据库Oracle、MSSQL、MySQL、VMware vSphere Client等客户端工具; 支持自动收集设备IP、运维协议、端口号、账号、密码、与用户的权限关系,甚至可自动完成授权; 支持完善的自动改密策略,包括改密前发送密码、发送失败不改密、改密后发送密码、密码文件加密、密码强度控制、自动密码恢复等,发送方式包括邮件、FTP、SFTP等; 持通过堡垒机页面直接调用本地Windows系统里的plsql、sqlplus、toad、sqlwb、ssms、mysql.exe等数据库客户端工具; 持批量登录字符设备功能:能自动生成SecurCRT/Xshell工具的批量登录文件,实现在工具中批量自动登录多台设备; 支持保存SSH的sz/rz命令(zmodem)传输的原始文件,支持保存RDP粘贴板(桌面之间复制-粘贴)传输的原始文件; 支持保存RDP磁盘映射传输的原始文件; 需提供用户、资产、授权的增删改查等API接口,允许第三方平台调用堡垒机的API接口,实现用户、资产、权限自动同步到堡垒机,简化堡垒机配置工作量; 具备公安部颁发的《计算机信息系统安全专用产品销售许可证》; 产品具备国家保密科技测评中心颁发的《涉密信息系统产品检验证书》; 产品具备中国信息安全认证中心颁发的《IT产品信息安全认证证书》; ▲产品具备国家网络与信息安全产品质量监督检验中心颁发的《信息技术产品安全分级证书》(提供证书复印件,签订合同前,资料加盖原厂公章),评估保障3增强级别。 台 1 34 数据防泄露 性能要求: 标准2U机箱,标准冗余电源; 内存≥8G,硬盘≥1T; 1个RJ45串口,1个双机备份HA口,4个千兆网口; 主要指标: 具备数据安全防护管理系统,无需二次安装。支持由应用准入引导用户自助完成客户端安装,而不需通过发邮件或现场安装的方式安装客户端。支持Windows XP SP3(32位),Windows 7(32位/64位), Windows 8(32位/64位), Windows 10(32位/64位)系统上部署; 支持服务器端自动生成客户端安装包,支持Https方式访问Web控制台,支持管理员分级管理,不同的管理员可以授权不同的区域或部门; 支持基于部门下发策略,支持面向不同的终端组织机构下发不同的策略,策略对部门生效,也可以对用户生效,可以单独生效,也可以同时生效,用户策略优先级高于部门策略; 支持滚动显示终端最新违规事件,多种报表30天/半年/一年内的风险趋势统计展示,支持客户端完整性检查,并将故障终端信息上报到服务器进行统计; 客户端和服务器之间通过SSL加密通道进行通讯,管理员可以远程批量卸载客户端,客户端具备自我保护,提供卸载、停止客户端服务的密码保护,防止恶意停止和卸载客户端; 支持客户端与服务器之间进行时钟同步,时钟源既可以是管理服务器,也可以使指定地址的NTP服务器,客户端安装注册机制,由管理员自定义设置注册项,用户填写并提交后,系统后台自动将终端与该信息绑定保存,支持AD域类型的身份认证方式,且支持转发认证,无需导入用户数据; 支持服务器级联管理,可以支持无限级的中心服务器进行级联,每一级服务器仍然可以支持一个中心服务器和多个本地服务器,结合级联; 支持识别常见的文档类型,包含但不限于:MS Office文档、WPS、Rtf、Pdf、各类文本格式; 支持识别常见的压缩文件,包含但不限于:Zip、rar、7Z; 支持识别常见的加密文档,包含但不限于:Office类文档、RAR、PDF文档; 支持对于不带扩展名或修改扩展名的文件,能根据其文件特征识别其文件类型; 支持识别各种位置的关键字:支持文档页眉、页脚、批注信息识别; 支持各格式文档之间相互嵌套的检测; 支持文件属性识别,包含但不限于:文件格式、文件大小; 支持关键词检测、正则表达式检测、MD5检测、文档指纹、机器学习; 支持对文档、文字通过任意途径外发进行审计,并支持通过文档水印方式防止拍照,截屏。 台 1 35 等保安全检查箱 性能要求: 系统支持扫描进程≥20,系统支持扫描任务≥15; 便携:移动便携加固式笔记本电脑;强度:支持防溅水、防尘、防撞、耐摔; CPU处理器:英特尔® 酷睿I7系列; 内存≥8GB ;硬盘≥256 GB; 光驱:支持外置蓝光刻录机; 屏幕尺寸≥14英寸移动便携加固式笔记本电脑; 主要指标: 监察指标库应至少包含:检查范围、检查内容、检查项、检查要点、检查结构录入类型; 提供监察知识库升级功能,可以对监察知识库进行手动更新,知识库内容必须覆盖所有检查指标,知识库可以针对不同类型的检查任务,对检查结果进行自动分析和安全评分,比自动生成相应的检查结果记录; 支持检查主机系统配置信息,支持检查主机硬件信息,支持快速扫描、全盘扫描、自定义目录扫描,检查流氓软件、蠕虫病毒、其它恶意程序等; 支持检查系统中的木马程序、Rootkit、间谍程序等,支持快速扫描、全盘扫描、自定义目录扫描; 支持asp、asa、cer、jsp、jspx、等文件格式检查,支持异性、变异WEBSHELL后门代码检查,能够对NSA机密文档内的黑客工具攻击后留下的系统后门进行检测; 支持检查主机系统配置信息,支持检查系统安全补丁升级情况; 支持对华为、华三、思科、中兴等路由器、交换机通用系列网络设备安全分析检查,支持对天融信、启明星辰、网御星云、Juniper、三石网科、深信服防火墙通用系列设置安全分析检查; 支持按时、按日、按周定制扫描计划,到时间自动进行扫描,支持数据库检查任务以文件形式导出备份,支持以文件形式导入检查任务; 支持主动扫描、被动扫描两种模式的深度扫描,支持多域名批量扫描,支持扫描原始数据、测试数据的查看与浏览器回放显示,支持对扫描用时、扫描页面数、发包数、页面请求时间等扫描过程数据进行统计; 支持设置跳过主机发现进行扫描,支持设置主机发现方式进行扫描,支持UDP端口扫描及端口对应服务探测,并支持端口扫描范围设置; 支持检测是否必须SMTP认证,支持检测发送的邮件内容是否必须加密,支持检测发件人、收件人欺骗是否拦截,支持检测邮件头、邮件内容、附件头含跨站脚本是否拦截 ▲产品为公安部认可的信息安全等级保护检查工具,且具备中国信息安全测评中心颁发的《国家信息安全漏洞库兼容性资质证书》,提供公安部入围文件和证书复印件。 台 1 六 移动安全(app安全服务) 36 移动应用安全自动化检测系统 具备静态分析能力和动态分析能力,静态分析包括问题代码位置,动态分析需提供安全问题检出的动态信息,包括问题发生日志或者应用截图; 支持超过60项测评项,覆盖自身安全、程序源文件安全、本地数据存储安全、通信数据传输安全、身份认证安全、内部数据交互安全、恶意攻击防范能力七大类别; 敏感行为检测:对应用程序进行指令码的行为分析,敏感词汇分析,检测移动应用是否包含敏感的系统函数调用、是否含有违规内容; 病毒检测:结合现有的优秀杀毒引擎,扫描移动应用文件内容,检测移动应用是否含有木马、病毒特征; 自身安全:检测应用本身行为是否符合安全规范,是否包含信息泄露,权限混乱,带有敏感内容,带有病毒或者广告等安全问题; 程序源文件安全:检测移动应用程序的源文件可能面临的安全风险,此类风险主要关系到应用的源文件保密性,它们可能导致源代码被破解,代码信息泄露,篡改数据信息进行二次打包,盗版等问题; 本地数据存储安全:检测移动应用本地数据存储可能面临的安全风险及漏洞; 通信数据传输安全:检测移动应用的通信数据传输中可能面临的安全隐患; 身份认证安全:检测移动应用在身份认证上可能存在关键信息泄露的风险; 内部数据交互安全:检测移动应用内部数据在内部组件交互过程中可能面临的风险漏洞,包括组件导出、Intent组件使用不当和Receiver注册等; 恶意攻击防范能力:分析移动应用对于恶意攻击手段的防范能力,体现在应用代码设计、安全漏洞防范措施和是否应用保护技术等多个方面。如恶意代码注入攻击、恶意代码远程执行、隐藏接口调用、解压文件目录遍历、外部加载dex文件风险等; 测评系统可以通过升级包的方式在升级系统中实现升级; 支持至少50个应用的测评结果统计并且以报告的形式展示,包括应用得分、问题项目发生占比等; 检测项目的修复方案中包含具体的代码级修复示例,方便快速的进行安全漏洞的自查和修复; 可支持应用安全性版本管理,统计应用不同版本之间的安全性对比,对比结果可以在系统界面查看或输出报告,报告可输出word和pdf格式版本; 含三年的原厂服务和升级; Android应用加固检测:检测移动应用是否使用加固,以及使用何种加固,加固方式覆盖市场中5家主流加固厂商; Android应用权限检测:应用安全测评平台的Android检测中,更新了权限库信息以及权限检测逻辑,不但可以检测App申请了哪些权限,还能够识别哪些权限是App使用的; SDK安全检测:可明确区分应用本身安全问题和集成第三方SDK安全问题,并且将第三方SDK的安全单独页面呈现; 检测结果编辑:针对自动化检测后的结果,可根据人工审核后的情况和应用自身的业务特点等,对检测结果进行编辑,如可对确认无害的问题调整结果为通过。可编辑内容包括检测结果、问题代码详情以及人工验证截图上传等,编辑完成可输出最终报告; ▲iOS应用测评项:支持28项测评项,覆盖自身安全、二进制代码保护、客户端数据存储安全、数据传 输安全、加密算法及密码安全和iOS应用安全规范六大类别(提供详细测评报告,签订合同前,报告加盖原厂公章)。 ▲提供产品演示视频,:1)、超范围使用权限,对移动应用使用权限情况,和《信安标委-网络安全实践指南-移动互联应用基本业务功能必要信息规范》进行对照,自动化评估超范围使用情况并记录和高亮标识;2)、境外通信行为告警,对移动应用和境外通信的行为,可以一键高亮显示;3)、敏感权限使用取证,过真机沙盒环境(虚拟化技术除外),对移动应用访问敏感权限的返回值进行记录(不仅仅是访问行为本身),作为审计或取证使用;4)、内置隐私政策检查模版,平台内置符合国家监管要求的隐私检查模版,需要覆盖GB35273,《移动应用使用个人信息自评估指南》,网信办等要求。 套 3 37 应用安全合规性审计 对移动应用进行合规性审计的初审和复审,初审之后辅助配合开发者进行整改,整改完成后进行复审,审计项目由甲方提供《应用安全审计项目表》,包括但不限于身份鉴别、访问控制、组件安全、运行安全、数据有效性校验、审计日志、安装和卸载安全、应用升级、恶意行为、内容违规、程序保护、第三方工具、密码安全、认证方式、认证失败处理、会话管理、通信安全、数据录入、数据存储、数据传输等; 每年不低于提供1次服务,三年不低于3次服务。 套 1 38 移动应用安全管理平台 平台具有整合渠道监测、移动应用安全自动化检测系统、移动安全加固等移动安全系统的能力,实现在统一平台上的联动和流程管理; 可对应用安全开发流程进行方便的操作及管理,并进行可视化展示; 可结合用户所在行业的规范要求为用户定制专属的安全基线标准; 可根据用户安全开发的实际流程对安全管控流程进行适配; 提供涵盖应用在需求分析、设计、开发、编码、整改、应用发布、及运维运营各阶段的全生命周期安全管理; 通过安全指数,综合评定应用的安全水平,提供可量化的安全基线,具备定制和调整安全基线的功能; 针对基线检测不合格的APP,平台将检测报告及对应的应用安全开发规范反馈给应用开发者; 可对应用安全开发流程进行方便的操作及管理,并进行可视化展示; 通过记录操作日志的形式跟踪每一个用户在系统的操作行为,操作日志支持日志导出; 支持应用的检测结果统计并且以报告的形式展示,包括应用得分、问题项目发生占比等; 支持应用加固结果统计并且以图表的形式展示,包括应用加固失败率、加固版本占比等数据; 系统可以通过升级包的方式进行升级; 含三年服务和升级; 以自动化的方式实现安全开发流程的指导和监控,根据不同部门角色对执行及审核权限进行分配,实现开发部门与安全部门的协同工作,提升安全开发效率,提供流程追溯; 覆盖对象包括Android、iOS及web; 提供达到安全基线标准和修复整改的必要安全组件; 采用具有静态分析能力和动态分析能力的自动化检测模块,最大程度实现部分检测项目,静态分析包括问题代码位置,动态分析需提供安全问题检出的动态信息,包括问题发生日志或者应用截图; ▲提供产品投标现场演示视频,进行技术验证,要求能够包括Android、iOS及web三类应用。 套 1 39 渠道监测服务 须提供盗版应用、钓鱼应用上线告警,发现钓鱼、盗版应用后立即通知招标方; 须提供盗版应用、钓鱼应用下架服务,由投标方与应用市场进行交涉,下架盗版、钓鱼应用,招标方提供相关证明材料; 提供各渠道上现存版本的相关统计信息,如新版本上线情况、历史版本留存情况、下载量等; 每月定期提供渠道监测报告,汇报监测数据统计信息; 能够针对盗版、钓鱼应用样本进行病毒扫描和分析,包括隐私窃取、远程控制、恶意扣费、恶意传播、自费消耗、系统破坏、诱骗欺诈、流氓行为等; 含三年服务。 年 3 40 移动应用加固 DEX加固:对DEX文件进行加壳防护,防止被静态反编译工具破解获取源码; SO加密保护:对SO里面的逻辑进行分析,保护Native代码不被逆向分析; 防二次打包:保护应用在被非法二次打包后不能正常运行; 内存防Dump保护:防止通过在内存中破解,从而获取源代码; 防逆向:抽取classes.dex中的所有代码,剥离敏感函数功能,混淆关键逻辑代码,整体文件深度加密加壳,防止通过apktool,dex2jar,JEB等静态工具来查看应用的Java层代码,防止通过IDA,readelf等工具对so里面的逻辑进行分析,保护native代码; 防调试:防止代码注入,避免钓鱼攻击、交易劫持、数据修改等调试行为; 加固产品通过中国网络安全审查技术与认证中心颁发的EAL3认证; 热更新兼容:Tinker:兼容腾讯tinker热更新技术;阿里百川(andfix):兼容阿里andfix热更新技术;乐变:兼容乐变热更新技术; iOS应用加固:使用源码对源码混淆的技术,可直观查看混淆效果、不引入除苹果官方工具链以外的其它编译工具、可定位问题、代码可调试、代码可优化等,能够反向追溯混淆前的源代码的问题,并具体到某行代码的位置;支持防调试、完整性保护和防动态注入等动态防护手段;要求所有代码完全自主研发,不能存在第三方代码,无安全引入风险;▲能够提供演示视频,在Xcode开发环境中展示源代码和混淆后的源代码区别; H5应用加固:字符串加密-投标产品需对源代码进行词法分析和语法分析,解析出代码中所用到的所有字符串,将代码中的字符串进行抽取加密;虚拟化保护技术-投标产品需支持自定义JS虚拟化保护技术,对JS核心代码进行虚拟化保护,将JS代码转换为厂家自定义的JS指令解释并运行;APP绑定-支持将被保护的JS文件同允许的应用进行绑定,防止JS被盗用到其他APP上;一旦被盗用,JS根本无法运行;支持绑定多个APP;代码紧凑-投标产品需支持混淆HTML5中的JS文件内代码格式,增加代码分析难度;对混合开发框架的支持:支持hybrid混合应用,包括APPCan、APIcloud、ReactiveNative; 服务提供三年。 套 3 41 移动应用防火墙 性能要求: 标准2U机箱,千兆电口≥4个,吞吐率≥500M ,并发TCP连接数≥90万; 平均故障事件≥450000小时; 主要指标: 支持静态路由及策略路由配置; 在不同接口上应用ACL规则,以阻断或允许特定的IP通行; 在接口上配置虚拟IP地址,实现子接口功能; 可配置防护对象,包括IP集,端口集,时间集; 应能识别和阻断SQL注入攻击,Cookie 注入攻击,命令注入攻击; 应能识别和阻断跨站脚本(XSS)攻击; 支持对appscan、awvs等扫描器的扫描防护; 支持远程文件包含、本地文件包含、目录遍历、信息泄露等攻击防护; 支持爬虫防护; 支持IP黑白名单、URL黑白名单控制; 支持对URL编码、多次编码等方式绕过WAF的编码方式进行识别,防止绕过; 可对文件上传做控制,包括最多上传文件数、最大文件上传大小、最大表单个数、最大表单参数长度、可以通过对上传文件的扩展名、MIME类型及允许请求体编码类型等做上传控制; 防剪羊毛,可查看可能存在剪羊毛行为的用户列表和对应的设备指纹信息; 可查看异常登录的用户、时间、异常登录设备ID、异常登录设备、常用登录设备等信息; 数据分析 网络数据分析 可以查看使用业务接口的上下行实时流量; 可以查看通过WAF的所有IPV4客户端和服务器IP地址及端口连接数及状态; 攻击日志支持记录包括时间、严重程度、客户端IP、客户端端口、服务器IP、服务器端口、触发规则ID、处理动作、攻击请求头等相关信息; 支持按日、按月、按年等多种条件内攻击源IP攻击次数及攻击分布的统计; 含三年服务和升级。 套 1 42 移动应用安全风险评估系统 性能要求: 配备移动设备系统需包含:iphone、android; 标准2U机箱; SSD硬盘≥120G,内存≥8G; 千兆电口≥2个,USB 2.0接口≥2个; 主要指标: 支持对已加固的移动应用自动进行加固厂商、技术识别; 支持对已加固的移动应用自动进行加固对抗,将已进行过加固处理的移动应用进行逆向处理,还原原有移动应用包和源程序文件; 对于应用业务检测以及通信安全检测,应不仅通过静态代码分析方式进行风险判断,还需要将应用运行在真实手机上进行检测,并通过真实的自动化攻击手段进行攻击,最终根据应用响应结果来验证风险; 能够对APP检测是否存在以下配置安全风险:Android四大组件暴露、危险性识别及冗余权限、允许调试、允许备份、隐藏启动代码、未保护地申明自定义权限、允许访问路径等风险; 能够对APP检测是否存在以下通信安全风险:使用安全通信协议、安全套接字、服务端证书校验、客户端证书绑定等情况; 能够对APP检测是否存在以下安全漏洞:是否对运行环境进行ROOT权限检测、是否对关键数据进行加密、WebView远程代码执行漏洞、WebView密码明文保存漏洞、WebView file域同源策略绕过漏洞、WebView不校验https证书漏洞、有风险的Webview接口、AES/DES弱加密风险、本地数据存储安全、file配置安全风险、Database配置模式安全风险、数据备份配置安全、HTTPS中间人劫持漏洞、日志泄露风险、异常处理等; 产品应将目标Android应用动态地运行在真机环境中,并对其进行以下项目的动态检测:二次打包检测、Acitivity劫持检测、动态调试检测、SO注入检测、本地SQL注入检测、敏感信息泄漏检测、图形验证码识别、重放攻击检测等; 对WEB应用和APP后台服务器进行如下类型的漏洞检测:SQL注入检测;XSS(跨站脚本攻击)检测;CSRF(跨站请求伪造)检测;弱口令检测;敏感信息泄漏检测;远程代码执行漏洞检测;目录遍历漏洞检测; 含三年原厂售后服务。 套 1 七 其它 43 https数字证书(增强型 https 证书(EVSSL)) 8个3年使用权 年 3 44 上网行为管理 性能要求: 千兆电口≥6个,千兆光口≥2个,吞吐率≥1.2Gbps; 实时流量处理能力≥450Mbps; 支持用户数≥5000,并发连接数≥40万; 主要指标: 提供用户接入认证、权限控制、合规审计、流量控制; 支持基于虚拟化平台的软件版本,支持VMware虚拟平台安装; 支持部署在IPv6环境中,其所有功能(认证、应用控制、内容审计、报表等)都支持IPv6; 支持按剩余带宽、带宽比例、平均分配、前面优先的方式进行多链路负载、链路故障检测; 针对内网用户的web访问质量进行检测,对整体网络提供清晰的整体网络质量评级; 统一界面,能够直接查看到接入点状态、射频状态、无线网络状态、接入用户状态; 支持识别终端系统后台运行的进程信息,防止间谍软件的运行; 基于流量、流速、时长设置配额,当配额耗尽后,将用户加入到指定的流控黑名单惩罚通道中。 台 1 45 SSL VPN 性能要求: 千兆电口≥6个,吞吐率≥1.2Gbps,并发会话数≥130万; 支持SSL VPN 并发用户≥2000个; SSL 最大加密流量≥350Mbps,IPSEC最大加密流量≥170Mbps; 主要指标: 支持终端使用包括IE6、7、8、10、11或其他IE内核的浏览器,以及最新版本的非IE内核浏览器,如Windows EDGE,Google Chrome,Firefox,Safari,Opera最新版登录SSLVPN系统,登录后可完整支持各种IP层以上的B/S和C/S应用; 专业VPN设备,采用标准SSL、TLS 协议,同时支持IPSec VPN、SSLVPN两种VPN,非插卡或防火墙带VPN模块设备;同时支持软件化交付; 产品应提供环境检测、自动修复工具,支持对Windows的环境兼容性一键检测能力,以及对检测结果进行一键修复的能力,避免由于用户操作系统环境存在问题影响SSL VPN的使用,减轻运维工作; 支持客户端注销后自动清除所有缓存、Cookies、浏览器历史记录、保存的表单信息,实现零痕迹访问; 支持VPN专线功能,可配置用户在接入SSL VPN的同时,断开与Internet其他连接; 支持主从认证账号绑定,必须实现SSL VPN账号与应用系统账号的唯一绑定,VPN资源中的系统只能以指定账号登陆,加强身份认证,防止登录SSL VPN后冒名登录应用系统; 单台VPN设备可扩展同时支持5套以上CA根证书; 支持针对移动APP的VPN安全代码的自动封装,实现App应用的安全加固。 台 2 46 源代码安全检测系统 性能要求 标准2U机箱,CPU≥E5-2630*2个;内存≥128G,存储≥4TB,千兆电口≥2个; 主要指标 具备中文界面,易操作,具有中文缺陷描述、修复建议; 能够对检测队列进行管理,如删除正在执行的任务,调整任务优先级等; 支持C、C 、Object-C、C#、Java、PHP、JSP、ASPX、JavaScript、Python、Cobol等主流编程语言开发的软件源代码的缺陷检测; 支持SQL注入、跨站脚本、整数溢出、内存泄露、二次释放等常见安全缺陷类型的检测,缺陷类型不少于700个; 支持用户对源代码缺陷分析模板的灵活配置,具体到每一个缺陷类型; 支持用户自定义函数白名单功能,检测过程中自动识别白名单函数进行路径裁剪,减少误报; ▲支持能够对源代码安全缺陷扫描结果进行汇总,并按照问题的严重性和可能性进行威胁级别的划分,如高、中、低等多个级别,为了保障代码缺陷扫描结果的质量,生产厂商2018年入库国家信息安全漏洞共享平台漏洞库共享原创漏洞不少于15000条,(提供入库单位证明文件加盖原厂公章); 支持构建工具集成,如Maven,Gradle自动获取被测源代码的第三方依赖进行构建; 支持能够迅速定位某一特定源代码缺陷问题所在的源代码行,对问题产生的整个过程进行跟踪; 支持从客户端浏览器上传源代码到服务器进行源代码缺陷分析; 支持从代码版本管理工具SVN、Git上获取源代码进行源代码缺陷分析; 支持能够按照用户进行统计分析,统计每个用户发起的任务数量、检测的代码量、检测出的缺陷数量; 支持能够对源代码安全缺陷扫描结果进行汇总,并按照问题的严重性和可能性进行威胁级别的划分,如高、中、低等多个级别; 支持能够提供中文的源代码安全缺陷分类、缺陷描述及修复建议; 支持缺陷报告应能够根据用户角色分为概要报告和详细报告,概要报告主要包括缺陷等级及缺陷类型等基本统计信息,详细报告除了包括缺陷等级及缺陷类型等基本统计信息外,还应包括缺陷分类、缺陷描述、修复建议、风险点、缺陷跟踪信息及关键API、审计日志等详细信息; 支持能够根据任务名称、创建者、开发语言、检测状态、检测开始时间、检测结束时间、缺陷数量等多种条件对源代码缺陷分析任务进行查询,针对每一个源代码缺陷任务能够展现相关信息,如任务名称、开发语言、检测开始时间、检测完成时间、检测状态、缺陷总数、等级分布以及创建者; ▲支持提供自定义检测规则功能,自主添加检测规则用于源代码缺陷检测,并支持多用户同时使用、多检测任务并发执行功能(提供功能截图加盖原厂公章); 支持能够针对同种类型的多个源代码缺陷的成因路径进行统一展示,便于找到最佳修复节点; 产品应具备公安部销售许可证和计算机软件著作权登记证书; 产品生产厂家为信息安全等级保护关键技术国家工程实验室建设单位; 产品生产厂商具有ISO20000信息技术服务管理体系认证证书及ISO18001职业健康安全管理体系认证证书; 产品三年技术支持服务及检测规则更新服务售后服务。 台 1 九 安全服务 47 等保实施服务 资产梳理服务 主要采取现场人工梳理、问卷调查、现场询问等方式。包括:网络结构(交换机、路由器等)调整与梳理、物理链路(包括内部链路与外部链路)调整与梳理、系统边界梳理、主要的硬件(服务器等)、软件(应用系统、操作系统、数据库等)资产梳理、数据和信息资产(敏感性)梳理、人员与管理制度梳理; 信息系统风险评估服务 通过开展风险评估工作,全面识别信息系统在技术层面存在的不足和风险;汇总操作系统、网络设备、安全设备、安全控制、安全策略、应用系统等方面的信息,汇总信息安全现状并进行综合安全风险分析; 信息系统管理评估服务 按照国家信息系统等级保护相关标准,对安全管理机构、安全管理制度、人员安全管理、系统安全建设管理、系统安全运维管理等机构设置现状进行安全评估,找出信息安全管理现状与等级保护标准之间的差距; 渗透测试服务 通过渗透测试发现重要信息系统存在的安全隐患,并协助运维方、开发方进行整改工作; 人工安全加固服务 根据风险评估、渗透测试以及安全检测的结果,对存在的脆弱性风险点制定相应的加固方案,针对不同系统,通过协助运维方、开发方进行打补丁、修改安全配置、增加安全机制等操作,合理进行安全性加强; 安全管理咨询服务 根据等级保护要求建立完整的管理体系、技术体系及运维体系制度; 安全培训服务 安全意识培训,系统管理员等保政策、技术、运维培训,安全技术培训; 应急演练服务 提供重要系统应急演练服务,应急演练服务包括:应急响应方案制定、应急演练测试。 年 1 48 安全制度建设及应急服务 安全制度建设 依照国家的相关安全标准、规定以及业主的相应安全管理与技术规范; 应急保障 重大安全事故须在2个小时内到达现场进行安全服务,一般安全事故进行远程服务,能在1天内提供备机; 应急响应 对绵阳市社会保障监督类信息系统紧急网络安全事件提供即时的响应技术服务,对绵阳市社会保障监督类信息系统无法迅速解决的各种紧急安全问题提供技术支持,控制事态发展;保护或恢复主机、网络服务的正常工作;并且提供事后分析,找出信息系统的安全漏洞,根据现场保留情况尽可能对入侵者进行追查。 年 1 49 源代码安全检测服务 进行包含源代码安全缺陷分析并提供分析报告,包括源代码合规性分析、源代码溯源分析; 支持代码缺陷检测,检查源代码中存在的安全缺陷; 支持代码注入、跨站脚本、输入验证、API误用、密码管理、资源管理错误、配置错误、不良实现、异常处理、代码风格、代码质量及危险函数等13个大类,400多个小类型的审计策略; 支持国际计算机安全应急响应组织CERT发布的一系列安全开发标准遵从性检测,支持ISO/IEC TR24772安全缺陷指南遵从性检测,每月一次,一共12次。 年 1 50 安全驻场服务 2-3人左右规模在市级数据中心及人社部门驻场服务,负责本次建设项目的安全设备及项目的服务; 网络安全产品运行维护服务包括本次所有安全设备硬件和安全应用服务等,并包含部署到县市区的相关设备,包括:日常巡检 、梳理策略、配置备份、设备配置及优化、设备升级、故障处理等; 网络安全产品升级保修; 网络安全技术服务:漏洞扫描及整改、上线设备及应用安全检测、系统网站渗透测试、安全加固、漏洞修复、数据库加固、网络设备加固、安全设备加固、Web 系统加固; 安全风险监测分析与处置服务; 网络安全工作资料文档整理; 基线检测; 安全审计等。 年 1 4.“互联网 政务服务”建设要求 4.1 建设目标及原则 按照“互联网 政务服务”、“互联网 人社”的要求,充分实现线上线下业务融合,根据绵阳实际情况,本期建设目标是利用智能化身份识别、智能问答机器人、语音识别、语音播报、业务移动经办等现代化的信息手段,通过全方位、立体化、便捷便民的服务方式,进一步提升人社公共服务能力,让广大市民的有获得感,提升智慧人社系统的使用率和好评率,提升我市人社管理科学化、信息化的水平,提高绵阳科技城在全国在智慧人社领域上的政务知名度和竞争力,形成绵阳智慧人社在全国人社系统中的示范效应。 本项目建设原则如下: 结合生物特征识别技术,进一步提高身份认证的准确度与方便性。提供线上综合身份认证手段,形成业务办理的实名制验证能力,并与各级统一建设的用户身份认证体系实现互联互通。 把绵阳市人社服务搬到网上,通过“互联网 政务服务”推动人社工作观念的转变,以民为本,为民服务,提升人社部门公共服务的整体质量,提高百姓满意度。 对具备网上办理条件的服务事项,尽量实现网上受理、网上办理、网上反馈,提供办理进度和办理结果网上实时查询服务,做到“应上尽上、全程办理”。 创新网上服务模式,利用现代化的信息手段提升政务服务智慧化水平,让政务服务更聪明,让企业和群众办事更方便、更快捷。 拓展服务渠道,开放服务资源,分级分类推进“互联网 政务服务”建设。 4.2 实施方案要求 4.2.1 需求分析 根据国务院印发的《国务院关于加快推进“互联网 政务服务”工作的指导意见》(国发〔2016〕55号,以下简称《指导意见》)以及《行动计划》等文件要求,为推进“互联网 政务服务”的发展和成果共享,人社服务建设应聚焦基础能力提升、管理服务创新和社会协作发展三大任务,其主要任务需求如下: (1)普遍发放社保卡,推进“一人一卡” 建设社保卡持卡人员基础信息库(以下简称持卡库)、用人单位基础信息库、线上线下综合身份认证手段,结合生物特征识别技术,进一步提高身份认证的准确度与方便性。 (2)构建“人社电子档案袋” 聚集整合个人就业经历、职业技能培训、参保缴费、待遇享受、工资收入、权益保障、表彰奖励等数据,以及用人单位的劳动用工行为等数据,融合社保卡应用、服务、管理信息,构筑“用卡轨迹图”。 (3)构建“人社信用体系” 建设全国统一的人力资源和社会保障信用信息平台,归集整合就业、社会保险、人事人才、劳动关系、工资收入分配等方面的信用信息,实现跨地区、跨业务共建共享共用。建立信用信息综合评价模型与标准,构建“人社信用体系”。 (4)拓展社保卡的线上支付结算模式 充分发挥社保卡普遍加载金融功能的优势,强化社保卡的银行账户功能,支持各类缴费和待遇享受应用。建设人力资源和社会保障支付结算平台,广泛借助合作商业银行、第三方支付平台等支付渠道,拓展社保卡的线上支付结算模式。 (5)整合线上服务,构筑统一的网上服务大厅。 凡具备网上办理条件的服务事项,都要实现网上受理、办理及反馈,提供办理进度和办理结果网上实时查询服务,做到“应上尽上、全程办理”。大力发展多种服务渠道,实现线上各渠道之间的集成,并与实体大厅服务联动。借助银行、医院、药店等社会服务渠道,为群众提供更为便捷化的服务。 (6)协同业务服务 充分发挥社保卡的身份凭证功能,推动持卡办事。按照统一标准建设电子档案系统,统一业务入口。推进就业失业登记、社会保险登记、劳动用工备案的协同办理。构建线上线下相衔接的权益保障平台。 (7)主动服务 为劳动者提供就业创业和人才服务;为离校未就业高校毕业生、就业困难人员实施分类帮扶和精准扶持;为广大群众提供的社会保障诉求服务;提供参保人员的待遇享受资格判断服务;借助移动互联网、生物特征识别等技术,推进待遇享受资格远程认证。 (8)引导服务 引导劳动者有序流动、理性择业,引导用人单位合理设置招聘计划,引导培训机构开发更具针对性的培训课程;在线监测人才需求,及时公布人才供给与市场需求信息,引导劳动者合理制定职业发展规划,引导用人单位优化人力资源结构;引导群众网上自助参保、续保、缴费等服务,促进全民参保。 (9)精确监管 推动建立统一的网上劳动用工备案平台,加强劳动用工动态监测。推进就医一卡通,实现对门诊、住院、线上线下购药等医疗服务行为的全方位智能监控。构建基于大数据分析技术的失业预警体系和人力资源市场供求信息监测体系。 综上,《指导意见》及《行动计划》全面部署了人社领域的“互联网 ”行动计划,对推进“互联网 政务服务”提出了具体要求,计划和要求中涉及到公共服务和人社工作的多个领域,如医疗服务、社保服务、就业及培训、便民业务线上融合、政务及审批、支付结算、信用体系打造等。 图1 《互联网 人社行动计划》工作任务 4.2.2 建设内容 (1)社保服务 社保服务包括电子社保卡相关功能、参保人员实名认证、社保断缴提醒和社保断缴明细查询、结合生物特征识别技术对退休人员进行生存认证、工伤认定信息、工伤鉴定信息、离退休养老待遇信息、离退休人员遗属信息等。其中电子社保卡涉及通过实名、实卡及人脸认证之后的一级签发功能、电子社保卡密码设置、卡面和二维码信息展示、支付相关功能开通和绑定等相关功能。 (2)线上线下业务融合 线上线下业务融合将已具备网上办理条件的服务事项搬到线上,本期具体功能包括居民医保参保登记、个人医保停保续保服务、在线工资缴费申报业务、工伤信息申请及查询、社保普通信息变更及在线异地生育险申报等。 (3)医疗服务 医疗服务包括针对住院人员增加手持设备身份认证、门诊搜索、药品搜索、服务设施搜索、账单确认与结算、预结算、结算回退、异地就医信息、居民医保转入转出信息等功能。 (4)劳动就业服务 劳动就业服务主要涉及人才就业服务、在线劳动能力鉴定;其中人才就业服务涵盖个人求职、企事业单位招聘、招聘会、智能推荐、单位资质审核、高层次人才服务及服务直通车等功能。 (5)便民及配套服务 ●便民服务包括智能机器人问答、智能语音助手、公告语音播报、公开信息查询、打造在线便民网络社区、人社互动交流社区等业务功能。 (6)政务及审批 政务及审批具体涉及领导在线办公业务、事业单位管制申报、事业单位工资经办等业务。其中领导在线办公业务聚焦线下办公业务在线办理,审批消息提醒,利用电子签章技术进行公文审批,在线查看社保相关业务数据分析,会议和日程提醒、差勤信息审批,单位人事信息查看,企业通讯录等功能。 (7)现有移动端业务升级或优化 鉴于操作平台的升级(如Android、iOS操作系统升级)、界面和功能优化等需求,原智慧人社移动应用部分功能需进行优化和升级,具体包括参保人实名认证、村医通、在线学习服务增加在线考试功能、优化城乡居民养老查询、技能补贴进度查询、生成电子缴费凭证、人社服务圈功能优化、社保办事机构查询、社保卡专题、短信业务提示、功能个性化定制等功能。 (8)统一公众号集群管理平台 ●统一绵阳人社的各种微信公众号的管理,提供用户管理、内容管理、个性化消息推送、数据管理分析、运营宣传管理、公众号统一管理等功能。 (9)运营管理平台 运营管理平台在原智慧人社运营管理平台的基础上,新增对人社互动交流社区信息的管理模块、轻应用包管理、电子签章消息展示及APP应用相关配置等功能。其中人社互动交流社区信息管理主要涉及话题的增、删、改、查等功能;轻应用包管理模块方便统一管理轻应用的发布及更新;电子签章管理主要涉及签章消息的展示。 (10)API聚合服务网关 API聚合服务网关是面向互联网应用的Pass服务平台,针对社保核心业务系统外网服务化的业务进行应用监控、访问分析、安全防护等功能。同时,为网厅、APP、微信公众号以及其他应用系统,在保障安全性的前提下,提供社保核心系统的接口服务调用。 ●所选产品须在市级大型政务服务或银行、税务、人社、医保等金融或”准金融”系统有成熟案例。 (11)银证金融交易信息系统 ●银证金融交易信息系统包括银政服务(电子交易平台)、交易管理平台(统一管理平台)、互联网缴费平台(第三方支付平台),需支撑市内主流银行及银联、微信、支付宝等第三方主流支付机构。 (12)软件开发配套服务 软件开发配套服务包括投标方人员驻场服务要求、投标方和业务方之间的业务协作模式以及软件测试要求等。软件测试要求需包括功能测试、性能测试、安全性测试、可靠性测试、易用性测试、可移植性测试、文档测试、维护性测试等要求。 (13)“互联网 政务服务”统一信任服务平台建设 打造“互联网 政务服务”统一信任服务平台,主要包含密码服务器、SVS签名验签服务器、统一认证发放管理模块、统一认证互信管理模块、统一认证单点登录模块、统一认证互信管理定制化开发、“一站式”电子签名平台、移动电子认证服务系统、国密标准USBKey、第三方数字证书、时间戳服务器等业务模块。 4.2.3 总体架构 根据以上需求分析和建设内容,投标方项目建设需遵循如下业务架构,具体建设内容应包含但不限于图中所示业务内容。 图2 总体业务架构 4.2.4 技术选型要求 (1)终端技术选型要求 Web开发技术要求 HTML5/CSS3/JavaScript TypeScript开发语言; 兼容性构建环境Node.js/Babel/Webpack; 前端框架Vue.js/React.js/Zepto.js/JQuery; 测试框架Jest; 移动端技术要求 HTML 原生混合开发方式,保证App与微信公众号体验一致; iOS:Xcode集成开发环境,Objective-C/Swift开发语言,iOS SDK 9.0及以上; Android:AndroidStudio安卓集成开发环境,Java/Kotlin开发语言,ADT23.0.6及以上,Android5.0及以上; (2)云平台技术选型要求 JDK:1.8; 关系数据库:MySQL; NOSQL:MongoDB; 分布式缓存:redis; 模版引擎:thymeleaf 2.3; 框架技术:Spring4.0,SpringMVC4.0,Spring Security4.0,mybatis3.4,dubbo,Quartz; 反向代理:Nginx 1.9; 应用服务器:Tomcat 8.0 64位; 微服务部署; ●按照数据中心服务器架构要求,移动APP的服务后台需适配国产自主可控服务器,投标方需在方案中提供APP管理后台运行的录制视频。 4.2.5 应用安全要求 投标方在进行系统设计和实现时应严格遵照金保工程的安全要求和等保三级来开发和实施本项目。 应用系统必须支持业务安全管理方面的需求,对关键数据进行加密存储和传输,记录业务操作过程并提供相应审计功能,建立不可抵赖机制。 业务系统必须保证数据通信的安全性,通信数据不会被监听、窃取、篡改等,业务系统还应保证通信数据的完整性。 业务系统中所有的请求和访问均要采用采购https证书的方式,提供客户端和服务端的加密信息传输,保证数据传输安全。数据传输必须签名和验签,以提供认证和防篡改保护。每次数据发送都进行签名验签及时间戳检查,敏感数据请求加入时间戳以防重放攻击。 对常见的敏感信息数据如用户名、账号密码、交易密码、密钥、域名或IP地址、身份证、银行卡等信息必须进行加密保护。 ●本项目涉及到的移动应用、web应用及相关SDK包必须在对源码进行压缩、混淆的基础上进行安全加固保护,实现包含但不限于下列功能:防逆向保护、防篡改保护、防动态调试、防进程调试、防内存DUMP、数据防泄漏、防日志泄露、本地数据加密、页面防劫持等。 4.2.6 应用性能要求 用户体验:应用在用户日常使用中应保证持续稳定、连贯、流畅运行,不应出现卡顿及闪退现象。 稳定性:数据跨多架构、多设备冗余存储,保证持续稳定运行,并在业务增长的情况下,系统仍然可以保持高性能运行。 网络性能:日常查询及文件上传时网路连通率不低于99.95%。 系统性能满足对响应时间和并发业务的要求,该项目系统性能可以达到以下响应时间要求: 应用响应时间﹤= 2秒; 日常查询时间﹤= 3秒; 一般情况下单个批处理应用在1分钟以内。 4.3 建设清单 4.3.1 智慧人社移动端 智慧人社移动端包括Android端、iOS端、微信公众号端及微信公众号集群管理平台。主要具体功能要求如下(以下功能属于定制开发,不允许做负偏离,否则做废标处理,功能模块后期项目实施根据招标方确定,费用总包干,模块有增减,一律不变动费用): 序号 业务类别 业务名称 技术要求 单位 数量 1 社保服务 电子社保卡 具备电子社保卡一级签发功能:电子社保卡实名、实卡认证、人脸识别实人认证; 支持电子社保卡密码设置、通过人脸识别或短信方式进行密码重置; 电子社保卡一级签发成功之后支持开通缴费结算和银行卡绑定; 其他渠道已领取电子社保卡的支持通过电子社保密码登录方式领取电子社保卡,领取成功展示卡面和二维码; 一级签发的社保卡支持通过电子社保卡密码或人脸识别验证方式解除关联;二级签发的社保卡支持通过电子社保卡密码、短信、人脸识别验证方式解除关联。 套 1 生存认证 (第三方服务集成) 支持OCR识别身份证和银行卡,采集证件号码信息功能; 参保人员活体检测支持通过人脸检测、3D检测、活体算法检测、连续性检测来确认真实活体人脸; OCR识别服务须满足50万次使用次数,人脸识别服务须满足70万次使用次数; 支持多光照图像,在逆光、背光、偏照光等情况下,能够进行人脸检测; 兼容现有手机终端,能够识别主流格式的照片,对不同环境、不同角度采集、光线、遮挡的图像具有一定的容错能力,且不显著影响比对结果; 活体检测支持多种动作,随机自由组合式活体识别; 支持SDK (IOS和安卓)、H5等多种解决方案; 具备防欺诈功能,能有效杜绝照片攻击和视频攻击,对照片翻拍、3D建模、视频模拟等攻击行为,能够识别并提示; 参保人员人脸比对功能,误识别率不高于0.1%。 实名认证 通过绑定银行卡进行参保人员实名认证。 参保信用查询 支持社保断缴提醒和社保断缴明细查询。 离退休人员养老信息 离退休人员养老待遇信息查询; 离退休人员遗属信息查询。 2 线上线下业务融合 居民医保参保登记 对于具备参加居民医保条件的家庭和居民个体,支持在线进行参保申请及登记。 套 1 个人医保停保续保 对与单位解除劳动关系的基本医疗保险参保人员,支持以灵活就业人员身份在线申请继续参保。 工资缴费申报 支持在线进行社会保险缴费工资申报业务; 支持在线查询申办业务办理进度及反馈。 工伤信息申请及查询 支持在线工伤认定申请,包括在线填写工伤认定申请表格及相关证明文件上传; 支持在线查询工伤鉴定结果。 社保普通信息变更 城乡居民医疗保险参保人员信息变更申报; 参加企业职工养老保险、城镇职工医疗保险、失业保险、工伤保险及生育保险人员信息变更申报。 异地生育险申报 支持参保职工生育保险异地生育申报。 3 医疗服务 手持设备认证 支持入院时对病人人脸进行扫描,并提取面部特征值存储到HIS; 支持移动设备可实时扫描病人面部特征(设备内嵌人脸SDK),并提取识别特征值。 套 1 医保移动应用服务 门诊诊断搜索及选址; 药品搜索、药品选择; 诊疗搜索、诊疗选择; 服务设施搜索、服务设施选择; 账单确认、预结算、正式结算; 结算统计及明细查询; 结算回退。 异地就医信息 异地就医在线备案; 在线查询备案登记信息; 在线查看异地就医结算信息。 居民医保转入转出信息 居民医保转入转出信息查询。 4 劳动就业服务 人才就业服务 人才就业服务涵盖个人求职、企事业单位招聘、招聘会、智能推荐、单位资质审核、高层次人才服务及服务直通车等功能,具体要求如下: 个人求职: 求职者注册、登录; 简历新增、删除、编辑、查询、发布、投递; 职位查询、职位收藏、招聘会信息查询; 企事业单位招聘: 企事业单位注册、登录; 职位新增、职位删除、职位查询、职位编辑、职位发布; 面试邀请、简历查询、简历收藏; 招聘会信息: 招聘会信息查询、新增、编辑; 企事业单位资格审核; 平台管理员登录; 智能推荐支持简历推荐和职位推荐; 高层次人才服务: 高层次人才落户办事指南查询、常见问题查询、办事政策查询、相关表格下载; 高层次人才证办理办事指南查询、常见问题查询、办事政策查询、相关表格下载; 出入境服务: 出入境办事指南查询、常见问题查询、办事政策查询、相关表格下载; 服务直通车: 个人就医办事指南查询、常见问题查询、办事政策查询、相关表格下载;子女就学办事指南查询、常见问题查询、办事政策查询、相关表格下载; 购房补贴办事指南查询、常见问题查询、办事政策查询、相关表格下载; 人才公寓办事指南查询、常见问题查询、办事政策查询、相关表格下载; 职称申报办事指南查询、常见问题查询、办事政策查询、相关表格下载; 社保转移办事指南查询、常见问题查询、办事政策查询; 教育服务、就业服务、医疗卫生、社会保障、住房服务、交通服务、劳务派遣信息、职业介绍信息、创业服务信息、政策安置信息、聘用管理信息等查询 套 1 劳动能力鉴定 支持在线提交劳动能力申请信息及病史电子文档上传; 支持在线劳动能力鉴定审核; 支持通过身份证号码查询申请进度; 允许导出pdf格式的鉴定结果。 在线考试 在现有的培训服务模块中增加在线考试功能,包括: 支持在线考试内容发布; 支持在规定的时间内在线考试答题; 支持在线试卷评阅; 支持在线查询考试成绩。 5 便民服务 智能机器人问答 (第三方服务集成) 智能机器人问答功能包括包含日常闲聊、业务知识应答、拼音/错别字解析、敏感词过滤、上下文关联、多候选输出、题外话拒识、相关问题推荐、推广信息推送等功能模块; 问答系统功能要求:智能自动应答,提升客户满意度;智能客服与人工坐席协同服务;服务渠道多元化、统一化(实现官网、微信、APP等各个渠道的统一接入);支持业务系统对接;发掘数据价值,提升工作效率(通过用户管理与数据分析,快速了解客户的咨询需求,便于客服在交流过程中及时获取用户意图,推送相应服务;通过交互数据统计,从时间、空间、身份等各个维度综合分析客户的咨询行为,为调整问答策略提供支持;通过报表分析模块中的报表可以尽快查询当前问题所在,为完善内部管理、提升工作效率数据支撑); 动态输入补全引导、反问引导提示、焦点问题自动排行、最新问题自动展示、问题满意度调查、会话满意度调查、多皮肤可选、快捷服务选项个性化、相关问题展示、多媒体展示、语音识别反馈、智能推荐、多渠道展示自适应、标签管理、咨询推荐展示,文字链接等功能; 知识学习系统应具有句法语义分析、寒暄问答功能、聊天调侃功能(自定义)、英文支持、同义词处理、噪声词管理、敏感词过滤、业务术语定义、分类聚类学习、上下文处理、知识库学习处理、知识导出、相似问法聚类、未知问题管理、智能学习等; 人员管理系统应具有管理员及角色配置、角色及权限配置、管理用户导入、来访者角色配置、访客列表、访客日志、客户名片管理等; 系统管理与配置模块应具有后台公告、机器人配置、功能开关配置、参数配置、操作日志和登录日志等功能; 支持业务服务集成:支持添加ThirdAuth第三方应用标准接口,并支持管理,业务人员方便直接调用;支持集成其他业务系统,完成业务查询、业务办理功能;支持与在线客服集成(跟在线客服进行集成,多种转人工机制可灵活调整); 可扩展性:系统所有模块均应开放二次开发接口,并提供标准接口文档,满足前端、管理台、报表、后端服务调用的二次开发; 产品稳定性:在业务高峰期,大数据量的情况下的产品稳定性支持负载均衡部署,系统内各组件做到负载分担,单个组件故障、停机、升级不影响业务运行; 处理能力:单台处理能力支持400用户并发,10000人同时在线,20万知识条目,单个事务处理响应时间<2S; 数据分析挖掘系统:具有数据分析模块、数据异常报警、访问量统计、访问问题明细统计、访问问题类别数量统计、访问问题分级别数量统计、访问问题及所在区域统计、转接人工客服统计、题库统计、题库更新数量统计、满意度统计、未知问题数量统计、智能回复时间统计、客服后台维护工作量统计等功能; 问答系统技术设计应具有高安全、运行高可靠、应用高扩展的特点; 性能指标:智能客服支持的并发数不低于400次/每秒; 服务器部署要求:满足高并发和高可用的高要求,支持对服务的横向扩展,支持异地容灾,数据丢失恢复(由于服务器硬盘受损、管理员意外删除格式化等操作); 数据库软件:MySQL5.0及以上;操作系统软件:Linux Centos6.5及以上。 套 1 智能语音识别、语音播报 (第三方服务集成) 具备语音识别功能: 用于指定业务功能快捷跳转,内容关键字识别查询,要求: 具备识别中文和中英文混读的常见语句能力; 支持中文标点智能预测; 支持对说话人语音进行检测、降噪等预处理; 识别准确率不低于90%,识别响应时间不高于250ms; 具备语音播报功能: 支持使用标准普通话播报; 在WIFI和3G/4G 等正常网络环境下,识别响应不超过3.0S; 提供2年升级维护服务。 公开信息查询 人社基本信息公开展示: 机构职能信息查询;领导介绍及分工信息查询 内设、直属机构信息查询;预结算及“三公”经费信息查询; 人社政策文件及专项资金解读信息: 政策文件信息查询、下载; 文件解读信息查询、下载; 专项资金信息查询、下载; 人社动态信息展示: 规划计划信息查询及下载; 工作动态信息查询及下载; 统计数据信息查询及下载; 重要会议信息查询及下载; 人事信息查询及下载; 执法监督信息查询及下载; 公告展示信息查询及下载; 其他信息展示: 应急管理信息查询及下载; 人大建议政协提案信息查询及下载; 政府网站工作年度报表信息查询及下载; 政府信息公开工作年度报表信息查询及下载; 依申请公开指引信息查询及下载。 便民网络社区 支持在线大厅排号和预约,能实时查询社保办事大厅及各网点的业务排号情况; 支持取号业务,超过取号数量进行重复取号提示,根据取号人数进行取号限制; 支持人社知识问答信息新增、查询、删除、发布、编辑及查询。 人社互动交流社区 具备社区话题发布和管理功能:支持注册用户在社区发表社保相关话题,人社社区管理员能够管理所有发布的内容; 具备社区话题查看和筛选功能:可按精华、名称及实时筛选话题; 支持社区话题评论、点赞和转发至朋友圈、微博、QQ空间等。 6 政务及审批业务 领导办公 查看业务数据报表分析: 包括注册用户数分析; 参保人数分析; 五险缴费分析; 医保卡挂失数据分析等; 公文审批: 公文查阅:查阅文件明细、附件、审批历史; 公文审批:利用电子签章技术,可用常用批复语快速审批; 待审批公文提醒:显示待审批的公文数量; 电子签章功能: 支持上传本地印章/手写签名图片; 支持流程自动化处理、顺序签名/无序签名、嵌入内部审批流程、为签名人指定签署位置; 支持文档无控件签署、签署日期、文档中插入文本、印章签署、拖拽签署、骑缝章加盖、文件高清渲染、自动合同编号等功能; 提供3年维护服务; 手机视频监控功能: 实时监控社保大厅,监控地点可供选择; 视频监控至少支持5路; 通讯录功能: 联系人收藏:可以收藏常用联系人,便于快速、准确查找; 群组功能:可以建立群组,并且可以基于群组发起会议和任务; 通讯功能:可以查看联系人信息,并且可以打电话、发短信、邮件,发起会议及任务; 会议功能: 发起会议:发起会议,并可以通过应用消息推送以及短信多渠道通知参会人; 会议提醒:会议时间临近或当多个会议有冲突,可以及时提醒用户; 日程安排及备忘录: 查看当天以及历史的会议以及任务; 可以创建待办事项并设置提醒; 套 1 事业单位管制申报 支持在线申请机构新增、删除、修改、申报、审核及查询; 支持在线申请职能配置新增、删除、修改、申报、审核及查询; 支持在线申请人员新增、删除、修改、申报、审核及查询; 支持在线领导职数新增、删除、修改、申报、审核及查询。 工资经办业务 工资变动功能: 职务工资变动:新增职务工资变动信息;查询职务工资变动的办理流程状态;查询职务工资变动的政策; 特岗津贴变动:新增特岗津贴变动信息;可查询特岗津贴变动的办理流程状态;可查询特岗津贴变动的政策; 绩效工资变动:新增绩效工资变动信息;可查询绩效工资变动的办理流程状态;可查询绩效工资变动的政策; 高低定工资:新增高低定工资变动信息;可查询高低定工资变动的办理流程状态;可查询高低定工资变动的政策; 人员新增功能: 人员新增:新增人员的人事信息、学历简历、任职简历等信息;可查询新增人员的办理流程状态;查询新增人员的政策; 新进人员工资申报:新增新进人员工资申报信息;可查询新进人员工资申报的办理流程状态;可查询新进人员工资申报的政策; 调入调出功能: 人员调入:新增人员调入信息并展示;可查询人员调入的办理流程状态;可查询人员调入的政策; 人员减少:新增人员减少信息;可查询人员减少的办理流程状态;可查询人员减少政策; 退休待遇功能: 新增退休待遇信息并展示; 可查询退休待遇的政策; 抚恤丧葬功能包括: 新增抚恤丧葬信息并展示; 可查询抚恤丧葬的政策信息; 信息查询功能支持通过身份证查询在职人员的基本情况、人事工资关系、津补贴信息等。 7 现有业务升级及优化 城乡居民养老保险查询 新增个人参保信息查询; 优化城乡居民养老保险缴费明细查询、城乡居民养老保险待遇记录查询和个人账户信息查询。 套 1 短信提示 对用户注册、身份认证、消息推送(缴费提示、年度计息提示、调待提示等)业务需具备短信提示功能。 两定机构定位显示 优化显示基于用户手机定位自动显示半公里范围内的人社服务网点(医院、药店等)。 社保办事机构查询 优化绵阳市范围内各区县社保办事机构的位置及办公电话查询。 村医通服务 增加政策查询和患者端明细查询。 个性化定制功能 增加安全手势密码; 支持界面定制化(功能图标可拖拽、排序等)。 技能补贴进度查询 支持通过证书编号查询技能补贴申领进度。 缴费凭证 人社综合缴费及医疗服务在线缴费成功后自动生成pdf格式的缴费凭证。 社保卡专题 汇集社保卡办卡指南查询、办卡机构说明查询、卡流程说明查询及社保卡作用图说介绍查询功能。 视频云存储 (第三方服务集成) 支持视频上传到云存储空间; 支持视频上传的后台运行; 支持断点续传; 支持上传时的视频格式转换; 支持通过原始视频生成手机、标清、高清、超清等分辨率的视频; 支持MP4、AVI、WMV、MOV等格式视频的在线播放查看; 支持视频不同分辨率下的在线播放; CDN结点要求:不低于300 CDN节点下发支撑; 提供两年服务。 8 微信公众号集群管理平台 客户管理功能,精准识别客户地域、性别等信息; 个性化推送功能,支持按标签、群组、地域、性别等分类的定向消息推送和个性化回复功能; 具备数据分析功能; 具备运营宣传管理后台管理系统,运营内容包括新闻政策推送、社保知识问答管理及热门话题推送等分类; 自主时间选择进行消息推送; 信息群发及信息分组推送; 微信运行数据查询统计; 根据客户原始需求或行业政策变化,在官微即时信息推送(每月保证4条); 及时分析用户增减情况,收集分析客户信息情况,为营销推广及互动活动提供有效依据; 具备统一公众号管理功能,方便对各区县公众号进行统一管理。 套 1 9 其他要求 移动APP针对主流手机、PAD等移动端具备自适应能力; APP须采用“轻应用”架构,支持通过“管理平台”管理轻应用版本及软件包,用户按需加载各个功能模块; 开发商自行提供一台四路PC服务器、两台 Surface Pro 7 二合一平板笔记本电脑 (12.3英寸 第十代酷睿i7 16G 256G SSD)以及明基(BenQ)GV1 智能短焦投影仪(高清宽屏 手机/便携投影 自带电池) ,供开发时、业务讨论和内部测试。 其他线上线下业务依据核心业务系统开发进行完成(费用包含在总费用中,此条不允许负偏离,负偏离做废标处理) 允许统一开发版本的App、微信公众号用于不同单位,做不同名称发布(费用包含在总费用中,此条不允许负偏离,负偏离做废标处理) 基于业务系统的线上审批系统允许单独发布(费用包含在总费用中,此条不允许负偏离,负偏离做废标处理) 项 1 “互联网 政务服务”建设涉及到人社业务有两部分:1、对核心业务服务系统中的服务进行二次开发封装,形成基于互联网的API服务,2、建设移动端、微信公众号,按照实现线上线下业务融合,应上尽上的原则,建立线上服务端,其中:线下业务包含(以下列表供参考,实际融合业务根据项目情况和业务发展来定) 线下核心业务服务信息系统软件(人社、医保部分)主要功能点明细表 序号 模块 功能点计数项名称 1 单位信息 2 人员信息 3 基数信息 4 征集信息 5 账户信息 6 年终结转信息 7 账户计息信息 8 人员账户返还信息 9 区域内人员转入、转出信息 10 省内人员转热、转出信息 11 跨统筹人员转入、转出信息 12 退休待遇核定信息 13 待遇支付信息 14 待遇调整信息 15 待遇管理信息 16 社会化信息 17 生存认定信息 18 工伤认定信息 19 工伤鉴定信息 20 生育津贴信息 21 生育医疗费信息 22 医疗机构信息 23 特检特治信息 24 家庭病床信息 25 异地就医信息 26 异地安置信息 27 个人医疗费用结算信息 28 协议管理医疗机构信息 29 零售药店费用信息 30 保证金结算信息 31 医保三大目录信息 32 药品诊疗代码信息 33 医师药师信息 34 单位管理信息 35 职工管理信息 36 个体管理信息 37 人员身份认证信息 38 人员死亡登记信息 39 个体险种信息 40 职工停保信息 41 转移管理信息 42 退费管理信息 43 职工续保信息 44 人员参保状态信息 45 居民医保转入/转出信息 46 药品目录信息 47 报销参数信息 48 药品医疗机构信息 49 药品认定医师信息 50 药品备案模块信息 51 医院36种国家谈判药品备案信息获取交易 52 医院36种国家谈判药品门诊结算接口交易 53 医院36种国家谈判药品处方上传接口交易 54 医院36种国家谈判药品药店结算接扣交易 55 贫困人员门诊倾斜支付接口 56 贫困人员住院倾斜支付接口 57 贫困人员门诊慢性病倾斜支付接口 58 个人账户门诊预结算接口 59 个人账户门诊正式结算接口 60 个人账户门诊结算撤销接口 61 个人账户门诊正式结算冲正接口 62 个人账户门诊结算撤销冲正接口 63 两定医疗机构信息上传接口 64 个人账户门诊预结算接口 65 个人账户门诊正式结算接口 66 个人账户门诊结算撤销接口 67 个人账户门诊正式结算冲正接口 68 个人账户门诊结算撤销冲正接口 69 个人账户门诊结算查询接口 70 经办人员信息 71 精神障碍患者备案信息 72 精神障碍报销目录信息 73 精神障碍患者人员信息 74 管理员信息 75 免费配送药品信息 76 门诊肾透析信息 77 定点零售药品信息 78 异地备案信息 79 就业信息 80 失业信息 81 劳务派遣信息 82 职业介绍信息 83 劳动事务信息 84 就业训练信息 85 创业服务信息 86 就业扶持政策信息 87 高校毕业生服务信息 88 职业培训服务信息 89 技能信息 90 机关事业单位工资信息 91 事业单位人事信息 92 专业技术人员信息 93 专业技术培训信息 94 公开招聘信息 95 人员调入信息 96 政策安置信息 97 聘用合同信息 98 聘用管理信息 99 考核记录信息 100 培训计划信息 101 人员交流信息 102 岗位管理信息 103 社保卡服务接口信息 104 全民参保服务登记接口信息 105 机关事业养老保险接口信息 106 城乡居民养老保险接口信息 107 劳动力市场99三版接口信息 108 服务预约信息 109 服务受理信息 110 业务材料信息 111 受理文书信息 112 任务分发信息 113 办理进度信息 114 办结反馈信息 115 审核流程环节信息 116 业务经办信息 117 智能任务调度信息 118 业务流程信息 119 业务规则信息 120 日志信息 121 日志监控信息 122 服务效能信息 123 社会保险接口 124 就业服务接口 125 人事人才接口 126 劳动关系接口 127 人员参保信息 128 单位参保关系信息 129 人员信息 130 组织信息 131 缴费申报信息 132 个人账户信息 133 征集信息 134 个人缴费工资申报信息 135 缴费基数核定信息 136 应缴计划生成信息 137 实收分配信息 138 离退休养老待遇信息 139 离退休人员零星/批量待遇调整信息 140 离退休人员/遗属信息 141 个人中心报销结算信息 142 定点医疗信息 143 零售药店费用信息 144 保证金结算信息 145 病种目录信息 146 特殊病种用药范围信息 147 个人专员申请信息 148 异地安置信息 149 家庭病床信息 150 体检特治用药申请信息 151 工伤认定申请信息 152 工伤人员生存健康调查信息 153 工伤供养亲属情况调查信息 154 生育待遇资格认定信息 155 生育医疗费核定信息 156 生育津贴核定信息 157 财务征收数据信息 158 绩效工资信息 159 津贴补贴信息 160 假期待遇核算信息 161 抚恤金核算信息 162 护理费申报信息 163 退休人员活动费申报信息 164 招聘计划备案信息 165 拟聘人员备案信息 166 试用情况信息 167 聘用信息 168 奖惩信息 169 考核信息 170 合同信息 171 人员退出信息 172 高级专家基础信息 173 高级专家工作成果信息 174 职称评审机构信息 175 职称评审专家信息 176 评审活动监督信息 177 职称上报审批信息 178 职称核验信息 179 继续教育报名信息 180 继续教育选课信息 181 继续教育学习信息 182 继续教育考试信息 183 工种信息 184 督导信息 185 实训考勤信息 186 竞赛工种信息 187 师资培训工种信息 188 基地信息 189 学员信息 190 开班备案信息 191 政府补贴申请信息 192 政府补贴资格审核信息 193 人才需求信息 194 个人求职信息 195 视频简历信息 196 单位信用评价信息 197 个人竞争力评价信息 198 见习生活补贴申请信息 199 见习毕业生信息 200 毕业生人才报到信息 201 毕业生档案信息 202 毕业生组织关系信息 203 党员缴费信息 204 党员基本信息 205 党员组织关系信息 206 人事考试信息系统接口信息 207 异地服务系统对接部接口 208 异地服务系统对接省接口 209 异地服务系统对接参保关系转移接口 210 异地服务系统对接养老接口 211 异地服务系统对接工伤定期待遇认证接口 212 省“一体化”平台接口 213 市“一体化”平台接口 214 市政务信息共享交换平台接口 215 省“社保卡管理服务”接口 216 省“全民参保登记管理服务”接口 217 省“机关事业养老保险管理服务”接口 218 省“城乡居民养老保险管理服务”接口 219 省“劳动力市场管理服务”接口 220 省劳动仲裁服务系统接口 221 省劳动检查服务系统接口 222 缴费金额查询接口 223 缴费申请接口 224 缴费结果反馈接口 225 代扣协议维护接口 226 支付渠道管理信息 227 渠道路由执行信息 228 有待抚恤管理机构信息 229 优抚对象基本信息 230 抚恤金发放信息 231 优抚对象困难帮扶信息 232 优抚对象走访慰问信息 233 优抚对象信访信息 234 扶助重点优抚对象建房信息 235 扶持重点优抚对象发展生产信息 236 重点优抚对象医疗补助信息 237 重点优抚对象工作资料信息 238 特困人员供养信息 239 临时救助信息 240 医疗救助信息 241 一门受理信息 242 社会救助资金信息 243 社会救助对象信用信息 244 社会救助绩效信息 245 审计部门系统对接接口 246 公安部门系统对接接口 247 住建部门系统对接接口 248 金融部门系统对接接口 249 教育部门系统对接接口 250 工商部门系统对接接口 251 税务部门系统对接接口 252 财政部门系统对接接口 253 救助方案信息 254 救助标准信息 255 审核流程信息 256 知识信息 257 知识模板信息 258 知识分类信息 259 知识评价信息 260 知识过期预警信息 261 知识订阅信息 262 人社(社保)信用评价信息 263 治理信息 264 学习评估信息 265 课程信息 266 在线评估信息 267 在线考试信息 268 在线培训信息 269 组织机构信息 270 组织人员信息 271 用户信息 272 角色信息 273 权限信息 274 接入系统信息 275 认证日志信息 276 服务信息 277 版本管理信息 278 服务日志信息 279 服务目录信息 280 政务目录信息 281 办事指南信息 282 政策目录信息 283 个人资料信息 284 服务授权信息 285 通知公告信息 286 办事进度信息 287 热点信息 288 移动渠道统一服务接入 289 短信渠道统一服务接入 290 自助终端渠道服统一务接入 291 微信渠道统一服务接入 292 支付宝渠道统一服务接入 293 12333渠道统一服务接入 294 网厅渠道统一认证接入 295 移动渠道统一认证接入 296 短信渠道统一认证接入 297 自助终端渠道统一认证接入 298 微信渠道统一认证接入 299 支付宝渠道统一认证接入 300 12333渠道统一认证接入 301 服务评价信息 302 门户信息 303 人工信息 304 系统信息 305 运行监测信息 306 知识库信息 307 商业银行支付接入 308 银联支付接入 309 医保支付接入 310 融合支付接入 311 微信支付接入 312 保险公司支付接入 313 其他支付接入 314 API接口账户信息 315 站点信息 316 广告管理信息 317 留言信息 318 评论信息 319 词汇信息 320 问卷调查信息 321 操作日志信息 322 工资信息 323 监考员信息 324 考评员信息 325 预警配置信息 326 内设科室信息 327 角色信息 328 权限信息 329 用户信息 4.4.2 运营管理平台 序号 名称 技术要求 单位 数量 1 人社互动交流社区 支持社区话题发布:管理员在管理平台可发表社保相关话题; 支持社区话题的删除:管理员有权限删除指定社区话题; 支持对已发布话题的展示、排序和筛选:以列表形式展示已发布话题;可根据发布时间等条件对话题进行筛选和排序;支持按精华、名称及时间筛选话题。 套 1 2 应用包管理 新增轻应用包管理功能,具体包括: 支持新增轻应用; 支持轻应用的编辑、更新、删除、启用、禁用等功能; 支持轻应用管理的角色权限配置。 3 电子签章管理 提供签章审批流程消息的展示。 4 APP应用配置 语音识别关键词库配置:关键词及页面跳转配置; 支持管理员权限用户可设置人脸识别判断结果阈值; 第三方服务管理平台入口管理。 4.4.3 API聚合服务网关系统 API聚合服务网关是面向互联网应用的服务平台(Pass),需具备如下功能: 序号 名称 技术要求 单位 数量 1 API聚合服务网关 API网关功能要求: 具备服务熔断、流量控制、服务路由、请求校验、访问分析、API发布/下线、域名管理、安全防护等功能; 支持多种公私有云环境(阿里云,vSphere/vCloud,AWS,OpenStack,Rackspace等); 支持Java、Python、Go、PHP、Nodejs、Ruby等语言的应用,支持Spring、Java Web、Rails等应用框架开发的应用的接口管理; 本地化开发(调用内网服务总线),配合网厅、微信、APP及其他应用渠道开发商调用;平台支持二次开发,方便后续扩展; 系统具备足够软件成熟度,提供案例证明; 性能参数要求: 最大并发:500TPS以上; 系统响应时间:小于3秒。 微服务能力开放平台功能要求: 具备应用承载、应用监控、访问分析、应用管控等功能; 具备微服务框架; 支持应用监控平台的自动化部署,支持开发服务注册到一体化汇聚基础平台; 支持自动弹性部署、扩容、缩容,支持多租户和用户物理CPU隔离。 本地化服务要求: 本地化开发(调用内网业务服务),配合网厅及其他应用渠道开发商调用。 套 1 4.4.4 银证金融交易信息系统 银证金融交易信息系统,统一与各银行和第三方支付渠道完成对接,为政府各部门业务系统提供与银行业务及数据交互的标准接口,提供互联网缴费、结算、查询等业务,具体功能要求如下: 序号 项目名称 主要技术要求 单位 数量 1 互联网缴费平台 功能参数要求: 开放标准接口,提供支持移动端APP的client sdk支持Android 、iOS,服务端的server sdk 支持java与PHP; SDK集成市内主流银行及银联、微信、支付宝等第三方主流支付方式; 支持用户银行卡的查询、绑定、解绑等功能; 用户前端通过接口与平台对接的,平台提供主动或被动两种方式向请求方反馈支付结果;主动方式指平台收到银行或第三方支付机构明确结果后,立即给予请求方回调通知;被动方式指平台为请求方提供支付结果查询服务; 提供交易管理功能,包括缴费情况查询、历史缴费记录查询; 性能参数要求: 最大并发:200TPS以上; 系统响应时间:小于3秒。 套 1 2 银政服务(电子交易平台) 功能参数要求: 查询银行账户最新余额接口; 查询银行账户交易流水接口; 向指定的单个个人或单一企业客户银行账户转入指定的金额接口; 向指定的多个收款银行账户转入指定的金额接口; 支持实时付款和非实时付款,可在平台设置付款计划,达到指令的日期才进行付,以及设置否延迟付款计划、更新付款金额等操作; 平台支持业务系统银行账户信息配置、查看操作; 平台需获得银行标准数字签名证书/UK证书保证,为业务系统与银行数据交换提供安全保障方案; 性能参数要求: 最大并发:200TPS以上; 系统响应时间:小于3秒。 套 1 3 统一交易管理平台 功能参数要求: 交易管理:实时统计不同业务系统及不同交易类型的实时交易订单,并支持基于交易时间、付款方、收款方、交易方式等多维度查询; 基于交易订单可进行退款等操作处理; 提供角色权限板块,管理统一交易管理系统登录的角色、用户及对应功能及数据权限; 渠道配置管理:支持渠道接入新增、编辑、查询、启用/禁用等; 接入系统配置管理:支持新增、编辑修改、银行账户配置、交易额度控制设置、冻结/解冻、接入银行渠道管理等; 用户管理:个人及企业用户基本信息包含户名、银行账户等基本信息等列表; 支持平台用户修改登录密码等操作; 性能参数要求: 最大并发:100TPS以上; 系统响应时间:小于3秒。 套 1 4 开发语言 为保证系统兼容性、跨平台性,并考虑后续可扩展,需使用JAVA开发语言。 项 1 5 行业案例 ▲需提供与银行等金融机构对接的案例证明(合同复印件加盖银行公章)。 项 1 4.4.5 软件开发配套服务 软件开发配套服务包括人员驻场要求、业务协作方式要求及软件测试要求。 序号 服务名称 服务要求 单位 数量 1 人员驻场要求 投标方需保证两年内有2-3名专业人员(5年以上开发经验)长期入驻业务方现场。 项 1 2 业务协作要求 投标方需协助业务方进行业务流程梳理。包括: 配合业务技术单位、软件开发公司等进行核心业务流程梳理、优化及再造,形成业务规则和流程图及需求文档; 投标方需在开发过程中审核开发商技术文档,以保证文档规范、准确、实时和合规性。 负责部分重点业务原型图制作 项 1 3 软件测试要求 功能测试:测试报告必须注明是那一种测试方法,功能性测试内容需包括以下4方面:适合性、准确性、互操作性、安全保密性; 性能测试:性能测试内容主要包括:组件调用并发访问,检测用户的数量极限以及响应时间的压力测试:利用测试软件,模拟巨大的工作负荷以查看应用程序在峰值使用情况下如何执行操作,包含基本能力测试、负载测试、容量测试、压力测试、疲劳强度测试、大数据量测试、并发性测试等; 安全性测试:安全性测试范围包括:系统安全设计方案审查、系统安全管理机构和安全管理制度汇编的审查,测试内容主要包括:安全管理评估、安全运行情况评估、环境适应性评估、主要安全性技术指标评估、 密码及密钥管理评估、系统具有的一些特殊安全功能评估等; 可靠性测试:可靠性测试包括以下3方面:成熟性、容错性、易恢复性。主要测试系统的可用度、初期故障率、偶然故障率、平均失效前时间(MTTF)、平均失效间隔时间(MTBF)、缺陷密度(FD)、平均失效恢复时间(MTTR)等指标; 易用性测试:易用性测试包括以下3个方面:易理解性、易学性、易操作性; 维护性测试:可维护性测试需包括以下4个方面:易分析性、易改变性、稳定性、易测试性; 可移植性测试:可移植性测试包括以下4个方面:适应性、易安装性、共存性、易替换性; 文档测试:对系统竣工文档进行测试,主要包括以下6个方面:完整性、正确性、一致性、规范性、易理解性、易浏览性; 软件维护期间对用户反馈的问题需及时修复并升级,并进行完整的软件测试,升级迭代时间为2-3天。 项 1 4 其他工作 按招标方要求,完成其他与软件系统运行有关的工作,如,对业务软件商运维情况及质量进行抽查和评估等。 4.4.6 “互联网 政务服务”统一信任服务平台 序号 名称 技术要求 单位 数量 1 密码服务器 产品特性要求: (1)全面支持国产算法:SM2非对称算法,SM3杂凑算法,SM1、 SM4、SM7对称算法,并兼容国际算法RSA、3DES、AES等,具有良好的可扩展性; (2)支持标准接口:密码机API接口符合《密码设备应用接口 规范(GM/T 0018-2012)》标准接口规范,同时支持PKCS#11、JCE等国际标准接口,通用性好; (3)采用“系统保护密钥-用户密钥(内部密钥对或KEK)-会话密钥”的三层密钥保护结构,充分保证用户密钥及应用系统的安全性; (4)安全密钥存储:保证关键密钥在任何时候不以明文形式出现在设备外,密钥备份文件也受主密钥的加密保护; (5)支持连接密码及白名单:通过连接密码和白名单的支持,实现密码机对应用服务器的授权认证; (6)支持多机并行:多机并行可以提供容错功能,当有密码机出现故障时不影响业务运算。多机并行还可以提高密码运算性能。 产品功能要求: (1)密钥生成与管理:支持通过物理噪声源生成256位SM2密钥对和1024/2048/3072/4096位RSA密钥对; (2)密钥的安全存储:设备内可存储50对SM2密钥对(包括签名密钥对和加密密钥对)和50对RSA密钥对,并且私钥部分受系统保护密钥加密保护; (3)对称加解密:支持SM1、SM4、SM7国密算法和3DES、AES国际算法的数据加密和解密运算; (4)数据摘要的产生和验证:支持SM3、SHA1、SHA256杂凑算法; (5)数字签名的产生和验证:可以根据需要使用内部存储的RSA/SM2私钥或外部RSA/SM2私钥进行数字签名和验签; (6)数字信封功能:支持基于RSA/SM2密码算法的数字信封,并支持由内部密钥保护到外部密钥保护的数字信封转换; (7)随机数的产生:采用由国家密码管理局批准的双物理噪声源生成随机数; (8)用户权限控制:具有用户管理功能,对访问用户分级管理,提高密码设备自身的安全性; (9)密钥备份及恢复:支持基于主密钥保护下的密钥备份和恢复,保证系统的安全性和可靠性。 技术参数要求: 256位SM2密钥对生成:3000对/秒; 256位SM2签名:3000次/秒; 256位SM2验证:2000次/秒; 256位SM2加密:14000次/秒; 256位SM2解密:2000次/秒; 1024位RSA密钥对生成:40对/秒; 1024位RSA签名:6200次/秒; 1024位RSA验证:40000次/秒; 2048位RSA密钥对生成:5对/秒; 2048位RSA签名:1300次/秒; 2048位RSA验证:10000次/秒; SM1算法加解密:400Mbps; SM4算法加解密:400Mbps; AES算法加解密:400Mbps; 3DES算法加解密:200Mbps; SM3杂凑算法:400Mbps; 最大并发:1000; 规格:2U; 液晶屏:有; 外形尺寸(宽x深x高):440x520x89mm; 重量:12Kg; 工作电源:220V,50Hz,350W; 功耗:280W; 网络接口:RJ-45 10/100/1000Mb x2; 工作协议:TCP/IP; MTBF:30000小时; 工作温度:10℃-50℃。 套 1 2 SVS签名验签服务器 产品特性要求: (1)全面的算法支持:全面支持国家密码管理局颁发的SM1、SM2、SM3、SM4等密码算法。兼容支持RSA、3DES、AES、SHA1、SHA2等国际算法; (2)密码算法由硬件芯片实现:支持的密码算法均由自主研发并通过国密局鉴定的硬件密码卡实现; (3)密钥安全存储:服务器内存储的用户密钥均由密码卡内的主密钥加密后保存在硬件密码卡模块内; (4)系统安全性:服务器系统采用裁剪后的LINUX系统,关闭除管理端口和业务端口外的所有端口;只保留必要的管理命令及系统服务; (5)支持多证书验证方式:证书验证方式可配置,支持CA证书验证、CRL验证、OCSP验证等多种方式。并可配置多CA; (6)支持多种开发接口:客户端支持C、JAVA等API。API接口符合《通用密码服务接口规范》及《证书应用综合服务接口规范》国家标准接口规范,通用性好; (7)权限控制:采用多管理员、操作员的分级权限控制,保证操作时的安全性; (8)备份恢复:服务器具有备份恢复机制,服务器内的密钥信息经加密后备份到文件保存,加密密钥采用门限算法分割保存在多个管理员介质中; (9)冗余热备:持多台签名验证服务器的并行,实现了设备的冗余热备和负载均衡,不仅提高了性能,更提高了系统的可靠性,并且仅需要通过简单的配置即可实现,对应用透明。 产品功能要求: (1)密钥生成与管理:可以生成1024/2048位RSA密钥对和256位SM2密钥对,支持双密钥体制。设备内支持存储40对RSA密钥对和100对SM2密钥对; (2)数据签名及验证:提供PKCS#1格式、PKCS#7 Attach/Detach、XML等多种格式的数字签名及验证签名功能; (3)文件签名:提供文件签名功能; (4)验证文件签名:提供文件验证签名功能; (5)数字信封:提供PKCS#7各种格式的数字信封加密和解密功能。加密算法支持SM1、SM4、AES、3DES等; (6)数据摘要:支持MD5、SHA1、SHA2 、SM3等杂凑算法; (7)证书验证:提供CA、CRL、OCSP等方式证书有效性验证; (8)密钥备份及恢复:基于主密钥保护下的密钥的备份和恢复功能,保证了安全应用系统的安全性和可靠性; (9)日志审计:提供管理日志、业务日志记录,提供syslog发送日志功能; (10)NTP时间同步:支持通过配置的NTP时间源定时自动同步系统时间,保证签名、验证证书等业务的有效性。 产品技术参数: 1024位RSA密钥对生成 :50对/秒; 1024位RSA PKCS1签名速度 : 5000次/秒; 1024位RSA PKCS1验证速度 : 25000次/秒; 2048位RSA密钥对生成 : 10对/秒; 2048位RSA PKCS1签名速度: 1000次/秒; 2048位RSAPKCS1验证速度: 10000次/秒; 2048位RSA PKCS7签名速度: 1000次/秒; 2048位RSAPKCS7验证速度: 10000次/秒; 256位SM2密钥对生成: 3000对/秒; 256位SM2 PKCS1签名速度: 2400次/秒; 256位SM2 PKCS1验证速度: 1500次/秒; 256位SM2 PKCS7签名速度: 2400次/秒; 256位SM2 PKCS7验证速度: 1500次/秒; SM1算法加密/解密: 200Mbps; SM4算法加密/解密: 150Mbps; AES算法加密/解密: 200Mbps; 3DES算法加密/解密: 200Mbps; 最大并发数: 2000; 规格: 2U; 液晶屏: 有; 外形尺寸(宽x深x高): 440x 520x 89mm; 重量: 12Kg(15Kg); 工作电源: 220V,50Hz,350W; 冗余:(可选); 功耗: 280W; 网络接口: RJ-45 10/100/1000Mb x2; 工作协议: TCP/IP; MTBF: 50000小时; 工作温度: 10℃-50℃; 非凝结的工作湿度: 5%-85%; 存储温度: 0℃-60℃; 非凝结的存储湿度: 5%-95%; 工作协议: TCP/IP。 套 1 3 统一认证发放管理模块 数字证书统一发放系统包括用户注册审核管理、RA(注册中心)配置管理、用户数字证书管理、用户数字证书过期提醒等功能。 产品功能要求: 支持数字证书的签发,废除,冻结,解冻,更新,恢复等; 可列表显示用户注册信息,支持多项证书信息的匹配过滤查询规则; (可填写用户制作证书时候所用信息、例如用户姓名,邮件地址等信息; ▲可根据用户注册证书模板策略签发制作证书,支持u-key、文件证书形式签发(提供证明材料加盖投标商公章,签订合同前,资料加盖原厂公章); 当用户的某些证书项信息大量重复使用,可使用该功能进行用户信息的复制,产生两条完全相通的用户注册信息,但所签发的证书是不同的; ▲提供在线服务,提供用户注册,用户查询,状态查询,证书签发,证书更新等网络API(提供证明材料加盖投标商公章,签订合同前,资料加盖原厂公章); 管理员在权限范围内,可以更新用书的证书状态,即可以启用证书、停用证书,并可以更新用户的证书; 平台可以根据用户数字证书的有效期,设置到期提醒功能; 证书格式支持标准X.509.V3证书格式包括第三方证书及CA支持全中文证书; 证书算法可以同时支持国密标准SM2算法以及兼容支持RSA1024~2048算法; 支持签名证书和加密证书的双证书认证体系; 提供多应用系统环境下,统一的用户管理、身份认证、授权管理、安全审计等功能; ▲平台支持多RA服务接入,可根据应用需要接入多家CA机构的系统,用户可以在一网通客户端根据自己的需要选择或者设定申请并下载对应CA机构的数字证书(提供证明材料加盖投标商公章,签订合同前,资料加盖原厂公章); 可根据安全等级设置,选择数字证书、账号口令、手机二维码扫描、手机短信验证码、Eid等多种不同认证方式,支持基于数字证书申请的人脸识别实名认证; 支持PKI相关的API,使用Open API即可快速接入,无需PKI开发经验; 提供基于WEB形式的图形管理控制界面,可对设备完成全部管理、维护、监控等操作。支持数字证书登录及验证码功能; 支持选择指定时间范围对CPU、内存、磁盘IO、网络连接数、服务等资源使用情况信息的图形化统计; 可检查系统配置的正确性并生成正确性检查报表。用于快速地找出系统配置中可能存在的问题; 提供备份当前服务配置功能,保证系统瘫痪时的快速恢复; 系统具有恢复默认设置功能,方便使用; 支持Console连接和管理; 支持多设备相互热备和第三方的负载均衡服务等功能; 支持国密标准密码机、加密卡等硬件加速提高密码运算效率; 可通过SNMP管理软件(如HP OpenView)远程查看设备运行状态,大部分网络管理产品都内嵌SNMP支持; 提供日志查看、条件过滤、导出等功能; 支持系统将日志以SYSLOG的方式发送到指定服务器进行日志审计; ▲同时支持SM2及RSA、ECC证书签发和管理(提供证明材料加盖投标商公章,签订合同前,资料加盖原厂公章)。 硬件参数要求: 网络接口: 千兆* 6(RJ-45);机箱开口: 前置;机架高度: 2U;CPU: Intel双核四线程以上,频率≥3Ghz;内存: ≥4GB,DDR4内存;硬盘: ≥320GB SSD;外观尺寸(mm)(宽*长*高): 430*500*88;液晶面板: 前置,有;串口管理: RJ45 * 1;输入电压: 100~240V acV;输入功率: 350W(双电源);扩展接口: 具备外置USB接口; 3.性能要求: 最大并发:1500TPS以上;系统响应时间:小于1秒。 套 1 4 统一认证互信管理模块 统一认证互信系统包括多CA接入管理,数字证书及用户统计等功能。 产品功能要求: (1)▲平台支持多CA接入,CA接入到平台后,其业务根CA下所签发的数字证书将可被允许到平台登录、认证(提供证明材料加盖投标商公章,签订合同前,资料加盖原厂公章); (2)▲一个CA可添加多个业务根证书,支持RSA和SM2算法。CA接入时,提供证书链、CRL、OCSP服务等(提供证明材料加盖投标商公章,签订合同前,资料加盖原厂公章); (3)平台提供用户统计功能,平台管理员可以以CA机构为维度统计用户的分布情况,可以以列表的方式查看所有用户,可以查看用户的详细信息; (4)支持验证不同CA的用户证书,兼容支持国际通用、国内商密厂商密产品数字证书及权威第三方CA运营商标准; (5)支持国内商密厂商密产品数字证书及CA运营商标准; (6)可以快速对接权威第三方CA认证机构并兼容使用多家权威第三方CA机构颁发的数字证书,使这些数字证书可以在授权的业务系统安全使用。 (7)提供基于WEB形式的图形管理控制界面,可对设备完成全部管理、维护、监控等操作。支持数字证书登录及验证码功能; (8)支持选择指定时间范围对CPU、内存、磁盘IO、网络连接数、服务等资源使用情况信息的图形化统计; (9)检查系统配置的正确性并生成正确性检查报表。用于快速地找出系统配置中可能存在的问题; (10)提供备份当前服务配置功能,保证系统瘫痪时的快速恢复; (11)系统具有恢复默认设置功能,方便使用; (12)支持Console连接和管理; (13)支持多设备相互热备和第三方的负载均衡服务等功能; (14)支持国密标准密码机、加密卡等硬件加速提高密码运算效率; (15)可通过SNMP管理软件(如HP OpenView)远程查看设备运行状态,大部分网络管理产品都内嵌SNMP支持; (16)提供日志查看、条件过滤、导出等功能; (17)支持系统将日志以SYSLOG的方式发送到指定服务器进行日志审计。 (18) ▲可提供CRL无差别匹配功能,可在所有可用的CRL中搜索证书系列号是否已被废除,而不仅限于某个证书签发者(提供证明材料加盖投标商公章,签订合同前,资料加盖原厂公章)。 硬件参数要求: 网络接口:千兆* 6(RJ-45); 机箱开口:前置; 机架高度:2U; CPU:Intel双核四线程以上,频率≥3Ghz; 内存:≥4GB,DDR4内存; 硬盘:≥320GB SSD; 外观尺寸(mm)(宽*长*高):430*500*88; 液晶面板:前置,有; 串口管理:RJ45 * 1; 输入电压:100~240V acV; 输入功率:350W(双电源); 扩展接口:具备外置USB接口; 性能参数要求: 最大并发:1500TPS以上; 系统响应时间:小于1秒。 套 1 5 统一认证单点登录模块 单点登录系统以证书统一管理、统一认证为基础,支持第三方信任源,采用OAuth2.0协议,实现在绵阳政务系统应用,以及四川省互联网政务应用之间的单点登录。 产品功能要求: (1) 提供统一认证及单点登录功能,基于OAuth 2.0协议,用户可通过平台直接访问应用系统,也可通过访问应用系统统一到平台认证; (2)平台支持设置平台管理员、应用管理员、用户等自助服务多级管理平台; (3)提供各业务系统信息资源的综合展示和主要业务系统应用推荐的门户首页系统,可根据需要配置; (4)提供数据加密接口,支持国家密码管理局推荐的相关密码算法,所有应用都可以调用完成加密解密操作,保证数据安全; (5)支持标准PKCS数字信封数据格式; (6)支持多种手机终端系统环境,包括IOS、安卓; (7)支持跨浏览器的手机扫码登录和应用,包括IE、FireFox、Chrome等; (8) 在身份认证和单点登录的安全认证阶段,采用SSL加密通道保证安全性;而在正常访问业务系统数据时,可以综合考虑安全与效率的平衡,可选择采用只保证关键信息安全的方式,充分保证使用效率; (9)平台支持软件方式的负载均衡,充分满足并发认证的需求; (10)平台与业务系统之间采取松散耦合的方式,灵活满足业务系统的调整和升级; (11)提供基于WEB形式的图形管理控制界面,可对设备完成全部管理、维护、监控等操作。支持数字证书登录及验证码功能; (12)支持选择指定时间范围对CPU、内存、磁盘IO、网络连接数、服务等资源使用情况信息的图形化统计; (13)检查系统配置的正确性并生成正确性检查报表。用于快速地找出系统配置中可能存在的问题; (14)提供备份当前服务配置功能,保证系统瘫痪时的快速恢复; (15)系统具有恢复默认设置功能,方便使用; (16)支持Console连接和管理; (17)支持多设备相互热备和第三方的负载均衡服务等功能; (18)支持国密标准密码机、加密卡等硬件加速提高密码运算效率; (19)可通过SNMP管理软件(如HP OpenView)远程查看设备运行状态,大部分网络管理产品都内嵌SNMP支持; (20)提供日志查看、条件过滤、导出等功能; (21)支持系统将日志以SYSLOG的方式发送到指定服务器进行日志审计。 (22) 支持国密标准算法SM2证书,同时兼容支持国际标准RSA、ECC证书事宜。 硬件参数要求: 网络接口:千兆* 6(RJ-45); 机箱开口:前置; 机架高度:2U; CPU:Intel双核四线程以上,频率≥3Ghz; 内存:≥4GB,DDR4内存; 硬盘:≥320GB SSD; 外观尺寸(mm)(宽*长*高):430*500*88; 液晶面板:前置,有; 串口管理:RJ45 * 1; 输入电压:100~240V acV; 输入功率:350W(双电源); 扩展接口:具备外置USB接口; 性能指标要求: 最大并发:1500TPS以上; 系统响应时间:小于1秒。 套 1 6 统一认证互信管理定制化开发 数字证书应用API接口:对应用提供数字证书应用接口,保护数字证书的签名和验证; 单点登录API接口:提供基于数字证书的单点登录接口; 数字证书颁发接口:提供数字证书颁发接口; 数字证书驱动定制化:提供定制化证书驱动安装程序; 人脸识别认证接口:提供人脸识别认证接口; eID认证接口:提供eID认证接口; 业务信息系统可视化配置:提供业务信息可视化配置功能与界面。 套 1 7 “一站式”电子签名平台 产品功能要求: 算法及硬件设备:支持RSA、SM系列算法;支持x.509v3数字证书,数字证书支持SM2和RSA算法;支持国内主流USBKey。 文档版式处理:具有自主知识产权的PDF版式处理系统;支持在线转换DOC、DOCX、XLS、XLSX、PPT、PPTX、JPG、JPEG、PNG、GIF等格式文档为PDF版式文档;支持PDF文档的无控件渲染; ▲电子印章管理(提供截图证明材料加盖投标商公章,签订合同前,资料加盖原厂公章)包括:支持上传本地印章/手写签名图片;支持扫码上传印章;支持手机扫码上传手写签名;支持印章授权;支持印章废弃;支持在线印章制作、支持标准印章模板(公章、团章、法人章、财务章);支持用印日志记录查看;支持印章自动扣图;支持用印印章检索; 文档签署流程自动化:支持流程自动化处理;支持顺序签名/无序签名;支持嵌入内部审批流程;支持为签名人指定签署位置; 文档在线签署:支持文档无控件签署,提升用户体验;支持签署日期;支持文档中插入文本;支持印章签署;支持拖拽签署;支持骑缝章加盖;支持文件高清渲染;支持自动合同编号; ▲组织成员管理:支持批量导入组织成员(提供截图证明材料加盖投标商公章,签订合同前,资料加盖原厂公章);支持批量导出成员(提供截图证明材料加盖投标商公章,签订合同前,资料加盖原厂公章); 系统部署及交付:支持独立部署;支持标准RESTful API与第三方应用集成;支持Docker部署与交付;支持集群模式。 套 1 8 移动电子认证服务系统 功能要求: 数据签名功能:移动电子认证系统提供符合国标规范的数据签名功能,手机端与服务器端的分别根据自身密钥因子完成中间签名,最后由手机盾合成符合规范的电子签名; 签名验签功能:移动电子认证系统提供标准数据签名的验签功能,系统可以利用CA颁发的数字证书完成对数据签名值的验证功能,能够根据签名结果判断数据的真实性,可靠性; 支持CA系统的业务对接:移动电子认证系统可以对接CA系统,利用手机盾产生的公钥申请数字证书,完成移动端的SM2证书颁发,同时可以利用CA系统固定的对接流程完成数字证书的申请、颁发、验证、注销等证书业务; 支持白名单与网络隔离机制:移动电子认证系统支持白名单与网络隔离机制,可以充分结合业务系统自身的安全策略,通过建立安全访问规则提高系统的安全性与抗风险能力; 日志审计功能:移动电子认证系统可以提供全流程的日志审计,对于任何一笔签名业务,系统都会完成全证据链信息记录,用户可以时刻掌握自己的密钥的使用情况,对于任何可疑的签名业务都可以进行追溯查询; 应用业务系统对接接口:提供多种形式的系统对接,其中包括常见移动平台(IOS,Android)的SDK,可以有效的对接应用业务系统的各种场景;移动电子认证系统服务端提供业务查询,证书调用等Web接口; 高危操作预警控制:移动电子认证系统具备完善的风险预警机制,应用端、手机端和服务端都存在相应的监控规则,任何一方发生异常的操作行为,都会在第一时间通知用户,同时根据行为的风险等级,采取临时冻结,永久冻结用户密钥的措施,确保用户密钥不被非法使用; 合规性保证:移动电子认证系统以安全性和合规性作为设计原则,参考遵循国家密码管理及行业内的多项标准,符合商用密码管理标准和规范等多项基础法律的要求,系统支持多种算法服务并提供符合国家标准的通用计算接口; 统一管理平台:移动电子认证系统提供统一的管理员管理平台,可以实现对用户密钥,用户证书的统一管理,支持证书的批量导入导出,支持应用管理系统白名单配置,监控系统健康运行状况等。 技术参数要求: 支持操作系统:iOS 7.0 Android 6.0 ; 支持签发证书类型: RSA证书、SM2国密证书; 签署速度:平均签名时间低于100ms; 最大支持在线数:5000。 套 1 9 国密标准USBKey 产品功能要求: 支持硬件真随机数发生器; 安全存储数字证书; USB Key支持PC/SC驱动,支持智能卡登录; 32位CPU,128K字节证书(密钥存储),支持SM2、RSA算法; 技术参数要求: USB标准:SB Key为标准USB 1.1设备,支持USB2.0接口; 公钥私钥对生成:大于30次/秒; 数字签名和验证时间: 小于1秒/次; 其他要求: 数量:2500个; 提供2年维护服务。 个 2500 10 第三方数字证书 产品要求: 支持个人人员的网上身份标识; 支持单位用户的网上身份标识; 支持持自定义证书扩展域管理; 证书有效期:3-36个月; 证书格式:X509; 支持存放介质:智能USBKey。 其他要求: 数量:2500个; 提供2年维护服务。 个 2500 11 时间戳服务器 产品功能要求: 证书格式支持标准X509V3证书格式包括第三方证书及CA支持全中文证书; 支持即签名证书和加密证书的双证书认证体系; 可信时间源同步,支持NTP协议,能够与第三方授时中心、卫星授权时间源进行时间同步,确保所签发时间戳时所获取的时间的有效性。(时间源设备和器件需另配); 签发时间戳,用户将需要加盖时间戳的数据,通过调用API将数据发送到TSA服务器,最终返回时间戳签名; 验证时间戳,用户将需要验证的时间戳签名数据,通过调用API将数据发送到TSA服务器,最终返回验证结果; 支持B/S及通用的C/S架构应用; 能够对新用户访问情况,进行实时的图形监控。支持对系统资源使用情况信息的图形化统计; 基于WEB形式的图形管理控制界面,可对设备完成全部管理、维护、监控等操作。支持数字证书登录及验证码功能; 可以同时支持国密标准SM2算法以及RSA算法; 摘要算法同时支持SHA1、SHA256、SHA384、SHA512、SM3; ▲根据用户证书的特定信息(例如签发者, 证书项, 序列号, 证书指纹等)将证书划分建立特定的分组的应用范围,采取不同的证书认证机制, 提供一种数字证书细粒度的验证系统及验证方法;(提供自主知识产权证明材料加盖投标商公章,签订合同前,资料加盖原厂公章) 可提供CRL无差别匹配功能,可在所有可用的CRL中搜索证书序列号是否已被废除,而不仅限于某个证书签发者; 内部集成时间戳的生成、验证的功能测试模块; 支持对原文数据、摘要数据的时间戳签发和验证; 支持精简模式,支持签发者证书全文将不包含在TSA签名结果中,在部分应用场景下有效的提高网络传输及业务处理效率; 支持网络时间、GPS和北斗等多种时间同步方式; ▲支持微软代码签名时间戳副署及验证;(提供截图证明材料加盖投标商公章,签订合同前,资料加盖原厂公章); ▲支持PKCS#7副署及验证;(提供截图证明材料加盖投标商公章,签订合同前,资料加盖原厂公章); 提供PING、路由检测(根据输入目标地址检测下一跳的路由地址)、域名查询(根据输入的IP地址从WHIOS查询显示详细的域名信息)、MAC地址侦测、Nmap(根据输入的目标地址显示扫描完成的服务端口列表); 可以备份当前服务配置,保证系统瘫痪时的快速恢复; 系统具有恢复默认设置功能,方便使用; 提供日志查看、条件过滤、导出等功能,可以将系统日志以SYSLOG的方式发送到指定服务器; 支持故障、热备切换、性能警戒等敏感状态的邮件发送提醒; 支持国密标准密码机、加密卡等硬件加速提高密码运算效率; 可通过SNMP管理软件(如HP OpenView)远程查看设备运行状态,大部分网络管理产品都内嵌SNMP支持; 支持多设备相互热备,同时提供自动回切、热备分组、配置同步等功能,可支持自身和第三方的负载均衡集群服务; 技术参数要求: RSA 时间戳签发:5800以上/s; RSA 时间戳验证:6300以上/s; SM2时间戳签发:9700以上/s; SM2时间戳验证:3400以上/s。 套 1 12 电子印章扩容 用于企业和两定机构; 数量:3000个印章,含key盘; 提供三年升级维护服务; 与现有系统、市政务系统等无缝对接。 个 3000 5.标准化设备建设要求 5.1 概述 按照人社部、省人社厅标准,购置标准化设备,为公共服务体系建设、“柜员制”系统建设、”互联网 政务服务”等要求,配置电脑、打印机、扫描仪、高拍仪、指静脉等都,重点支持各级业务管理和基层平台,为业务管理和经办打开基础。由于标准化设备大多配置乡镇、社区,此处操作人员水平参差不齐,投标方案中必须包含安装、培训、运维的技术细节(作为技术方案评审的依据),特别是针对机器故障后,相关备机提供、故障机数据备份恢复以及厂家维修包换,并确保后期与部、省人社信息系统兼容等,相关要求如下: 5.2 建设清单 序号 设备名称 技术要求 单位 数量 一 市本级标准建设 1 台式电脑 技术指标: (1) 业界主流品牌,CPU :i5及以上六核处理器;内存:配置 8G DDR4 2133MHz内存;显卡:集成显卡;硬盘:1000G SATA3 7200RPM ,支持SSD HDD双硬盘配置;网卡:集成10/100/1000M以太网卡,802.11B/G/N无线网卡(含蓝牙);显示屏 ≥21寸背光液晶显示屏(分辨率1600x900);键盘、鼠标 USB键盘、光电鼠标;接口:6个USB(至少4*USB 3.0)接口,HDMI-out输出接口; (2) 售后服务:三年原厂维保,带正版win7及以上操作系统(符合机关正版化验收标准,以下同)。 台 80 2 笔记本 技术指标: (1)业界主流品牌, CPU:i5及以上四核处理器;内存:8G;硬盘:128GSSD 1T;显卡:2G-4G独显;显示屏: 12-14寸IPS屏;原厂真皮包等; (2) 售后服务:三年原厂维保,带正版win7及以上操作系统; 台 40 3 高拍仪(原厂三年质保) 业界主流品牌;摄像头主头:·1000万像素摄像头、分辨率: 3742*2806;副头:200万像素摄像头,分辨率:1600*1200;拍摄范围:扫描尺寸:A4、A5、A6、证件、名片;补光灯:触控式灯控开关;麦克风:副头含麦克风; 接触式IC卡读卡模块:可操作符合ISO7816标准的IC卡; 非接触式IC卡读卡模块:可操作符合ISO14443 TYPE A&B标准的非接触IC卡,支持人社部二、三代社会保障卡; 二代证阅读模块:内置公安部二代证阅读模块,可读取二 代身份证卡信息; 密码键盘:加密密码键盘;数字键:0~9;功能键:清除、 确认、F1、F2、F3; 提供智能条码识别、二维码识别; 软件支持:自带专业影像处理软件且支持二次开发;自带 WDM Driver标准TWAIN 接口;SDK支持B/S和C/S软件系统的无逢集成;支持Windows,Linux,Mac系统的图像采集和处理软件;多浏览器支持;支持IE、Chrome 62版本、FireFox 56版本;防篡改:采集影像的同时,完成图像自动加密;可对图像的出处、真伪、删改、在流转使用中是否被非法篡改进行鉴别,确保图像信息安全可控; 提供绵阳备机服务(正式验收前,在用户初预留5台备机),在维修期间,当天及时提供备机。 (9)支持市级人社、医保系统, 兼容支持部、省系统部署的系统。 台 15 4 电子签名设备 (液晶数位屏) 业界主流品牌,原理及物理参数:无源无线电磁屏,显示屏尺寸≥10.6 英寸,色彩≥16.7M,TFT LCD材质,可视角度≥170°,具备俯仰角调节底座; 分辨率:使用USB接口信号传输分辨率≥1920*1080; 笔迹识别参数:压感级别≥1024级,电磁手写读取速度≥ 200pps,书写反应时间≤16ms; 防窃取及审计:具备加密技术及硬件ID(非机身序列号),签 名可追溯; 特征识别:须具备图片上展示书写原笔迹功能,可实现签名的 压力值、时间轴、速度和角度的动态记录; 驱动程序:须提供B/S架构开发包,满足在IE、chrome等主浏 览器(32位、64位)下进行二次开发的控件,所提供源代码支持瘦客户机安装端,同时支持云端形式实现手写签批或手写签名; 功能要求:可实现在服务器端操作PDF合并、分割、签名、批 注、视屏播放、宣传资料显示、满意度评价等订制化功能; 接口:USB2.0及以上接口,同一接口完成供电、数据及高清信 号传输,功耗≤5W,配套线缆长度≥3米; 其他:具有安全防盗锁孔;配件每台设备包装箱里必须有安装 使用说明书,驱动光盘,手写笔以及备用笔芯; ★与部、省、市的信息管理系统应用兼容并能顺利实现数据交换,保证与各个应用系统能实现无缝连接; ★若用户有需求,需汇同核心业务服务开发商一起,定制开发相应评价系统等; 原厂三年质保。 台 10 5 A4高速扫描打印机 业界主流品牌。 扫描速度:彩色/黑白/灰阶:每分钟50页/80个影像; 文件格式输出和目的地TIFF/多页 TIFF、PDF、RTF、TXT、excel,可搜索 PDF、PDF-A、电子邮件、打印机、Microsoft Sharepoint Server 和 Microsoft Word 文件、网络文件夹以及驱动器; 3个传感器的智能文档保护、交互式操作员控制面板 (OCP)、条形码读取器、可在主机显示影像的交互式重张进纸功能、条纹过滤、受控堆叠、完美页面技术、智能阈值处理、自动颜色检测、自动裁剪、填满影像边缘(黑色或白色)、强力裁剪、纠偏、基于内容的空白页检测和删除、滤除多种颜色、孔洞填充、双流扫描、自动调整方向、即时彩色切换补丁码等; CCD(黑白、彩色、灰度);输出分辨率:彩色/灰度/黑白;压缩方式:CCITT Group IV;JPEG 或未压缩输出;照明:白色双LED;纸张通道及文档厚度:直通道或U型通道;连接性:USB 2.0; 进纸器:多达 75 张 80 g/m²(20 磅)纸张;可处理小型文档,如身份证、浮雕卡、名片和保险卡; 智能触控;Nuance PaperPort 和 OmniPage; 产品具有中国国家强制性产品认证证书(3C)证书; (9)与现有信息管理系统应用兼容并能顺利实现数据交换,保证与各个应用系统能实现无缝连接; (10)原厂三年质保。 台 12 6 彩色数码复印机 业界主流品牌; 复印速度:20张/分钟;首页;复印时间: 黑白5.9秒,彩色8.2秒; 分辨率: 复印600*600dpi;内存容量: 2G; 连续复印张数(张): 999张; 打印功能分辨率: 打印1200*1200dpi;扫描分辨率:扫描600*600dpi;双面打印,带输稿器、工作台等。 原厂三年质保。 台 9 7 管理服务器 业界主流品牌 CPU:至强E5-2600V4及以上系列;3级缓存 ≥15M ;内存16G 磁盘:1T*3 SAS RAID阵列卡 ;集成四口千兆网卡 ; 正版windows2018服务器标准版, 冗余电源; 原厂鼠标键盘等外设; 原厂三年质保。 台 9 8 A3高速扫描仪 (1)业界主流品牌 扫描度:200 dpi 和 300 dpi 时最高每分钟 110页;文件格式输出和目的地TIFF/多页 TIFF、PDF、RTF、TXT、excel,可搜索 PDF、PDF-A、电子邮件、打印机、Microsoft Sharepoint Server 和 Microsoft Word 文件、网络文件夹以及驱动器; (2)交互式操作员控制面板 (OCP)、条形码读取器、可在主机显示影像的交互式重张进纸功能、智能印刷、条纹过滤、受控堆叠、完美页面技术、智能阈值处理、自动颜色检测、自动裁剪、填满影像边缘(黑色或白色)、强力裁剪、纠偏、基于内容的空白页检测和删除、滤除多种颜色、孔洞填充、双流扫描、自动调整方向、即时彩色切换补丁码等; (3)扫描技术:CCD(黑白、彩色、灰度);光学分辨率:≥600 dpi;输出分辨率:彩色/灰度/黑白;JPEG 或未压缩输出;照明:白色双LED; (4)纸张通道及文档宽度:直通道或U型通道:如果手动选择直通纸张通道选项,文档可退出到前面的出纸盘或扫描仪的后部;长文档模式: 4.1 米(160 英寸)最大长度(扫描仪支持不间断扫描模式)连接性:USB 2.0; 进纸器:多达 300 张 80 g/m²(20 磅)纸张;可处理小型文档,如身份证、浮雕卡、名片和保险卡; (5)WIA 驱动程序;智能触控;Nuance PaperPort 和 OmniPage; (6)产品具有中国国家强制性产品认证证书(3C)证书; 三年原厂质保及售后服务,本地备品备件。 台 3 二 区市县经办机构(部署全市通办的柜员制信息系统及电子档案影像设备) 9 智能服务终端 机柜:整机采用优质钢材制造,坚硬厚实;防水、防锈、防腐、耐磨;模块全部采用拖拉式道轨维护,内部布线整齐规范;独立的通风系统符合银行要求; 主控系统:主机应具有通用性、兼容性,以方便分行自行升级;主机应能24小时连续工作,稳定性强,散热性能好;CPU:i3系列处理器;内存:4GB;硬盘:SSD 128GB;串口:六个;USB接口:四个(含)以上(仅用于系统维护,客户操作界面不可见);网卡:一个(要求100M及以上);多媒体:包含声卡、音箱等; 客户操作屏:19寸触显一体化显示器5:4,分辨率1280*1024(max.),显示颜色:16.2百万色,对比度:300:1;亮度:250cd/㎡;检视角度:水平17°,垂直160°;集成19’多点触控电容屏,分辨率4096*4096以上,定位精度:2mm,响应时间:<=16ms,特殊要求:防尘、防暴、防刮擦,寿命:5000万次以上; 电子签名笔:电磁电子签名笔,保持签名轨迹,防止失真。 密码键盘:标准EPP硬加密金属小键盘(16键), 其中10只数字键(0-9),6只功能键。密钥存储方式:可存储16组64位的密钥,只能写入不能读出,应用程序不可读。加密模块从密码键盘拆离时,启动硬件加密模块中的密钥自毁功能,保证密钥不离开自助终端设备,确保密钥的安全。加密算法支持DES、3DES算法及ANSI X9.8PIN Block格式,符合ANSI X9.24安全标准,在非加密模式下可做系统数字键盘使用;具有防尘、防水、防暴及防偷窥功能的安全措施; 电动读卡器:读卡模块;电动式;磁条卡可读,IC卡可读写;ISO7811标准读/写,1、2、3磁道可读,IC卡标准: ISO7816(T=0或T=1)CPU卡,符合人民银行颁布的《中国金融集成电路(IC)卡规范》2.0版本; 凭条打印机:宽度大于79.5mm;打印速度最高150mm/s;自动切纸,连续纸带切纸刀,提供半切/全切功能;打印密度:203 DPI;纸卷直径:150mm;黑斑识别;预缺纸检测、缺纸检测;支持全图形打印;寿命:打印头不低于100公里,切刀不低于100万次; 电源:短路保护:有;标准工业级电源标准;工作温度最小范围:0-45℃;散热方式:自然冷却;输入电压最小范围:180-260伏特;效率:78%;过压保护:有;稳压精度:8%; 激光打印机:打印方式:A4幅面激光打印;标准纸盒容量:250张;纸张尺寸:长度127mm–356mm,宽度76mm–216mm;打印速度:24页/分钟;首页输出时间:≤8.5秒;有操作提示灯(常亮、闪烁、关闭可设置);支持双面打印;接口类型:USB接口;中文字体:宋体、繁体; 摄像头:捕获幅面:≥640*480;视像解析度:≥640*480;数据接口:USB; 二代证阅读模块:符合身份证阅读器标准,兼容ISO14443(TypeB)标准;接口:使用USB2.0接口;波特率:115200bps;阅读距离:0~3cm;阅读时间:<2s;人体感应器:可感应客户在机器前面,工作电压: DC 5V或12V;感应距离:10-100厘米; 操作系统:支持Linux、Windows操作系统; 配套系统开发(功能从智慧人社移动平台功能中选取部分,此项不允许负偏离,否则,做废标处理) 自带语音提示功能; (14)自带纸质资料拍照功能; (15)售后服务:三年免费质保,提供现场安装、维护服务。 台 15 10 管理服务器 CPU:至强E5-2600V4及以上系列;3级缓存 ≥15M 内存16G ;磁盘:1T*3 SAS RAID阵列卡 ;集成四口千兆网卡 冗余电源;正版windows2018服务器标准版,原厂鼠标键盘、显示器等,原厂三年质保。 台 13 11 高拍仪 与(3)高拍仪一致 台 20 12 电子签名设备 (液晶数位屏) 与(4)电子签名设备一致 台 20 13 A4高速扫描打印机 扫描速度:彩色/黑白/灰阶:每分钟50页/80个影像; 文件格式输出和目的地TIFF/多页 TIFF、PDF、RTF、TXT、excel,可搜索 PDF、PDF-A、电子邮件、打印机、Microsoft Sharepoint Server 和 Microsoft Word 文件、网络文件夹以及驱动器; 3个传感器的智能文档保护、交互式操作员控制面板 (OCP)、条形码读取器、可在主机显示影像的交互式重张进纸功能、条纹过滤、受控堆叠、完美页面技术、智能阈值处理、自动颜色检测、自动裁剪、填满影像边缘(黑色或白色)、强力裁剪、纠偏、基于内容的空白页检测和删除、滤除多种颜色、孔洞填充、双流扫描、自动调整方向、即时彩色切换补丁码等; CCD(黑白、彩色、灰度);输出分辨率:彩色/灰度/黑白;压缩方式:CCITT Group IV;JPEG 或未压缩输出;照明:白色双LED;纸张通道及文档厚度:直通道或U型通道;连接性:USB 2.0; 进纸器:多达 75 张 80 g/m²(20 磅)纸张;可处理小型文档,如身份证、浮雕卡、名片和保险卡; 智能触控;Nuance PaperPort 和 OmniPage; 产品具有中国国家强制性产品认证证书(3C)证书。 台 13 14 库房pda 主流PDA厂商和品牌,533MHZ以上CPU、支持多语言、DDR2-256MB以上RAM内存、256MB及以上ROM闪存、3.5寸液晶彩色触控屏,与现有档案系统兼容。 台 26 15 档案本地服务器 CPU:Xeon E5-2603 v4及以上;3级缓存 ≥15M 内存16G 磁盘:8TB SAS 2.5 1G缓存 RAID阵列卡 板载2个千兆电口 冗余电源 远程访问管理 ,正版windows2018服务器标准版. 台 13 三 乡镇、社区基层平台(用于市本级业务延伸、兼容其他部门使用) 16 电脑 CPU :i5及以上四核处理器;内存:配置 8G DDR4 2133MHz内存;显卡:集成显卡;硬盘:1000G SATA3 7200RPM;网卡:集成10/100/1000M以太网卡;显示屏 ≥21寸背光液晶显示屏(分辨率1600x900);键盘、鼠标:原厂 USB键盘、光电鼠标;接口:6个USB(至少4*USB 3.0)接口,HDMI-out输出接口;售后服务:三年原厂维保。 台 781 17 电子签名设备(液晶数位屏) 与(3)高拍仪一致 台 781 18 高拍仪(身份证、社保卡阅读器、摄像头) 与(4)电子签名设备一致 台 781 19 针式打印机 最高分辨率 :360dpi,打印针寿命:4亿次/针; 打印速度:中文(6.7cpi)173汉字/秒 115汉字/秒 57汉字/秒;中文(7.5cpi)195汉字/秒 130汉字/秒 65汉字/秒;英文(10cpi) 347字符/秒 260字符/秒 86字符/秒;打印宽度:纸张宽度;纸张类别:单页纸、单页拷贝纸、连续纸(单页纸和多页纸)、信封、明信片、带标签的连续纸;纸张厚度:0.052-0.53mm;供纸方式:摩擦进纸(前部进纸),拖纸器进纸(后部进纸); 字体:字符集:14种国际字符集和一种法定字符集;位图字体:6种;可缩放字体:4种;条码字体:8种; 接口:IEEE-1284双向并口;USB2.0(全速)接口; 耗材:色带 黑色色带架,黑色色带芯; 噪音水平:约56分贝 (ISO7779模式); 支持纸张尺寸:单页纸:70-257mm;连续纸:76.2-254mm; 负责到县市区安装调试,并定期巡检,三年内提供上门服 务; (9)提供绵阳备机服务(正式验收前,提供10台备机),在维修期间,当天及时提供备机;负责到县市区安装调试,并定期巡检,三年内提供上门服务。 台 781 20 一体机(激光打印、复印、传真) 功能:打印/复印/彩色扫描;处理幅面:A3,A4,A5; 打印速度:A3:不低于20页/分钟; 打印速度:黑白(A5,横向打印)不低于47页/分钟,黑白(A4,正常模式)不低于28页/分钟; 月打印负荷:不少于25000页; 处理器:内存:256M;标配打印语言及字体:PCL5c、PCL6、PS、PCLm、PDF,84种可扩展的TrueType字体; 耗材类型:鼓粉分离;接口类型:USB2.0; 扫描技术:TWAIN扫描或平板式CIS等;支持一键式身份证复印、扫描、奖状、证书等特殊纸张打印,可扫描到电子邮件、共享文件夹、支持一键式文件夹打印,标配进纸盒:500页进纸盒; 控制面板: 不小于4行3.0寸液晶显示屏;按钮(确认、返回、前进/后退、取消、份数、明暗度、复印菜单、开始复印);(5)支持的介质类型:纸张(激光打印纸、普通纸、相纸、糙纸、牛皮纸)、信封、标签、卡片、明信片; (9)提供绵阳备机服务(正式验收前,提供10台备机),在维修期间,当天及时提供备机;负责到县市区安装调试,并定期巡检,三年内提供上门服务。 台 781 21 交换机等辅助设备 交换机、网络布线等。 套 781 四 村级平台 22 自助服务终端(桌面终端) Android 5.1/四核1.2Ghz、2GB内存、8GB存储/10.1寸多点触摸屏,支持手写电子签名/以太网、WIFI、全网通、蓝牙、RJ45网口×1、串口×2、USB口×2、TF插口×1/内置热敏打印机,纸宽57±0.5mm,卷纸直径50mm,安卓专用按键,菜单、HOME、返回(触控)/音量、开关机键(机械按键); 1个,支持1/2/3磁道/支持二代身份证、社会保障卡、符合银联标准的银行卡等/500万像素可见光高清摄像头或者200万近红外双目摄像头; 可选配公安部标准的指纹模块,实现采集和比对指纹信息/配指静脉模组,实现采集和比对指静脉信息; 支持GPS定位/10000mAH锂电池;支持设备连续工作6小时/外 置12V/4A 适配器电源;/可外接银联标准密码键盘,实现操作银联卡。 (5)配套系统开发(功能从智慧人社移动平台功能中选取部分,此项不允许负偏离,否则,做废标处理)。 台 13 五 生物特征识别 23 手持人脸识别终端主机 主要指标 系统支持打印功能,支持二代身份证识别,支持指纹识别,支持人脸识别采集,由于后续用户将建立统一的认证平台,此终端主机暂时不供货,仅做报价,待后续认证平台建立后,再供货(此供货不影响项目验收),若终端主机与认证平台不兼容,必须更换为兼容的厂家型号。 配置要求: 产品具有不低于5.4寸1920*1080P高清LCD触控显示屏,采用不低于8核1.5GHz的CPU,并具备不低于2G RAM内存,产品使用Android 5.0以上操作系统,主机能内置2路mic输入、扬声器,且可接入有线耳麦及蓝牙耳机,具备内置摄像头,录像分辨率需达到1080P,支持外接专用摄像机,外接摄像机分辨率可达1080P/25帧,产品至少2种及以上的外接摄像头形态可选,满足不同应用场景,可在预览模式下,长按“录像”键或在触摸屏上点击按钮在本机上进行录音录像;本机可存储容量不低于30G,并可支持最大128G的TF存储卡;可通过无线方式将采集到的音视频信号上传,并可通过客户端软件远程调看实时视频录像;产品具备群组通信功能:群组语音对讲、群组文字消息;单对单语音、视频对讲;视频推送;图片和视音频数据发送;具备定位功能,可在本机选择开启GPS定位或北斗定位方式,并显示相应的经度、纬度、速度等信息;具备对讲,报警(SOS),开关机,拍照,音量 ,-。HOME,退出,MENU,录像等按键; 产品支持电信/移动/联通 4G移动通讯接入,同时支持VPDN专网拨号;支持WIFI网络,要求 802.11 a/b/g/n;具有大容量电池,连续摄录时间不少于4h,待机时间不小于120h。 台 13 24 人脸识别终端 由于后续用户将建立统一的认证平台,若此平台与后续平台不兼容的话,按后续建立的认证平台要求更换设备(此供货不影响项目验收); 10.1寸电容触摸屏; 设备应能显示时间、日期、星期; 设备应具有中文语音提示功能; 支持1路30万可见光,1路30万红外补光摄像头; 刷卡(人脸)时,设备可抓拍图片,并实时显示在显示屏上; 抓拍图片可叠加显示卡号、用户名字等用户信息;在网络中,除授权、查询、集中报警、异地核准控制等管理功能外,对所要求的功能均不应依赖中央管理机是否工作; 人脸识别模式支持人脸1:1,1:N人脸识别;识别速度:≤2秒;拒真率<1%;认假率<0.001%;误识率<0.01%。 台 13 25 指静脉识别仪 识别准确率 FRR(拒真率):0.01%;FAR(认假率):0.0001%;FER(注册失败率):<0.03%; 采集认证功能 在指静脉采集验证系统软件支持下可以实现联网采集功能; 在指静脉采集验证系统软件支持下可以指静脉认证功能,包括二代身份证1:1认证、社保卡1:1认证、1:N认证等等; 系统支持 支持Windows平台和安卓平台; 产品资质获得中国信息技术标准化委员会生物特征识别注册证书,若后续人社部出台生物特征识别规范,必须免费升级或更换到满足人社部规范要求。 原厂质保三年。 提供三个类似人社、银行等行业应用的三个案例。 200 七 电子社保卡二维码识别仪 26 二维码识别仪 处理器: 8 位处理器;插拔次数:20 万次; 扫码功能:支持扫描一维码、二维码;感应距离:0~4cm; 通讯类型:USB、RS232;通讯速率:USB2.0 全速,串口9600~115200; 显示屏:LCD 液晶显示屏,可显示2 行每行8 个汉字(16 个字符),支持GB2312 汉字字库;语音:支持语音播报/扬声器:支持;按键:数字键:0~9;功能键:清除、确认、F1、F2、F3;蜂鸣器:支持,时钟:支持;加密:DES、3DES 加密,16 组主密钥,每个主密钥有4 组工作密钥;操作系统:Windows、Linux、安卓;取电方式:USB,电源5V;符合标准:人社部、住建部、卫健委相关标准。 台 1100 评分标准及方法 序号 评分因素 分值 评分标准 评分因素类别 价格评分(30分) 1 报价 30分 投标方有效报价中的最低报价为评标基准价,按照下列公式计算每个投标方的投标价格得分。公式:投标报价得分=(评标基准价/投标报价)×30。 共同评分因素 技术评分(56分) 2 产品技术指标 22分 投标产品技术参数完全满足或优于招标文件要求的得22分。“★”部分为核心技术指标,每负偏离一项扣0.8分;“▲”部分为重要技术指标,每负偏离一项扣0.4分,非“▲”、“★”部分为一般技术指标,每负偏离一项扣0.1分。本项最高得22分,最低得0分。 (提供说明材料不真实,视为虚假应标,以下同) 技术评分因素 3 技术方案 34分 1.数据中心建设及系统集成技术方案(6分) 对投标方案中主备两个数据中心的整体方案(包括性能水平、区域设置和扩展能力等)以及系统集成总方案等,并将国家标准要求以及招标要求中“●”部分作为重要评判依据,进行评分。本项评分须为整数,方案全面完善、措施得力可操作性强、计划严密有序、建设周期短得5-6分,方案在上述方面存在一定瑕疵得3-4分,方案在上述方面存在较多问题的得1-2分,差不得分。 2.网络安全建设技术方案(6分) 通过投标方案中网络安全部分的技术整体方案(方案完整性、措施有效性、策略针对性、进度控制等),特别是业务场景安全分析要素及应对方案、安全域架构清晰程度、设备安全策略设置合理性、攻防演练全面性等方面内容,并将国家法律法规要求以及招标要求中“●”部分作为重要评判依据,对投标方案进行评分。本项评分须为整数,方案全面完善、措施得力可操作性强、计划组织有序、风险防控详细到位、完全合规等优异得5-6分,方案在上述方面存在一定遗漏或不足得3-4分,方案在上述方面存在较多遗漏或不足的得1-2分,差不得分。 3.“互联网 政务服务”建设技术方案(6分) 对投标方案中“互联网 政务服务”部分进行评分,对整体技术架构和业务结构清晰度与合理性、对招标要求的覆盖范围和细化设计深度、开发语言通用性和安全性、界面设计及交互体验友好度、应用功能场景设计清晰度等方面内容,重点是考核客户端(多种类多版本手机、不同版本浏览器等)兼容性测试、安全设计和整体架及银企互联实施经验,并将国家法律法规要求以及招标要求中“●”部分作为重要评判依据,对投标方案进行评分。 本项评分须为整数,方案全面完善、措施得力可操作性强、计划组织有序、系统设计详细到位、完全合规、重难点分析准确、移动端兼容性测试全面、派驻人员能力强且职责准确得5-6分,方案在上述方面存在一定遗漏或不足得3-4分,方案在上述方面存在较多遗漏或不足的得1-2分,差不得分。 4. 智慧人社移动端系统Demo演示(6分) 基于Android、iOS两大操作系统,提供人脸识别(用于实人实名认证)、移动端电子签章签名、移动端智能客服、移动端政策语音播报、线上线下业务融合(参保登记、停保续保、工资申报等业务任选一项)、在线考试、自定义界面七个应用场景进行产品实景功能演示(演示方式及要求见标书) 演示上述7个应用场景的,且功能场景原型完整得3分,低于4个的得1分,无演示演示不完整则不得分。 对演示的系统响应速度、界面设计、体验友好度、功能点、后台数据库实时响应度及逻辑处理、安全加固等进行综合评分,系统响应速度快、界面设计美观、互动体验好、功能详实、后台数据库实时响应度快及逻辑处理严密、安全加固有效得3分,存在较少不足得2分,演示的场景不足7个或存在较多瑕疵得0-1分。 5、投标产品技术成熟度和兼容性(10分) (1)现有信息系统迁移持续或切换运行评估 6分 1)现有运行的信息系统平稳迁移评估(含兼容性),要求产品提供对应的软件兼容性承诺等有效证明材料(无法提供不得分) 本次投标的服务器环境、数据库、中间件等软件满足现有应用,且能将现有系统平滑迁移到本次新的软硬件环境中。系统迁移时间控制在最短(提供能支撑此时间要求的迁移方案),现有系统无需调整代码或进行兼容性测试(有可支撑的技术说明和类似案例)得3分,否则不得分。(投标方可查看用户实际环境,查看时间详见“技术和服务要求”) 2)移动端App持续运行及切换评估(含兼容性) 对已经下载的移动端(注册用户30万)有完善平稳可行过渡切换方式,技术架构延续性兼容性好、切换时间短、对终端用户的影响小得3分;技术架构延续性兼容性存在一定不足、变更切换时间较长、对终端用户很一定较大影响得1分;技术架构延续性兼容性存在严重不足、变更切换时间长、对终端用户有较大影响得0分。 2、硬件设备能力 4分 1)硬件设备成熟度能力 2分 数据中心、网络安全核心设备投标产品生产制造商的荣誉及资质好,投标产品的技术成熟度、技术优势、市场范围、节能产品、环标产品等方面优异、类似行业(金融、运营商、保险或人社、医保、税务、公安等)使用案例多、属于业界主流常用品牌的,有较多的正偏离得2分,有一定不足得1分,提供较多不足或提供不全得0分。 2)核心硬件与关键软件环境支撑兼容能力 2分 本次投标的数据库、服务器环境等对人社行业常用的技术架构支撑兼容性好,本次投标的备份一体机对中间件、数据库、服务器及云计算节点操作系统等软件环境支撑兼容性好(提供厂家白皮书等正式依据,签订合同前,相关资料加盖原厂公章)得2分,支撑兼容能力有一定不足得1分,支撑兼容能力存在较大问题不得分。 技术评分因素 商务评分(12分) 4 投标方实力 2.5分 1、投标单位具有CMMI3级及以上证书的得1分,没有不得分。 2、投标单位具有ISO27001信息安全管理体系认证证书、CCRC信息安全服务资质认证证书、ITSS信息技术服务运维资质证书的得1分,缺一项不得分。 3、投标单位具有国家保密局颁发的二级(含)及以上保密证书的得0.5分,没有不得分。 共同评分因素 5 投标方业绩 4分 投标方近三年(2017-2019)以来全国范围内所具有的信息化建设类似项目案例:三年合同总金额≥1.5亿的得2分,≥7500万的得1分,其余不得分(提供最多不超过8个合同作为案例佐证)(说明:提供政府采购网中标公示截图、采购合同复印件或者中标通知书)。 2、有银企互联项目实施案例,且项目应用收支资金规模较大(提供系统界面、案例介绍和合同等证明材料),案例丰富,技术说明完善严密, 可靠性高得2分,有案例但设计、运行规模较小及其他证明材料存在一定不足得1分,无不得分。 共同评分因素 6 项目团队能力 2.5分 1.投标方提供1名技术类正高级职称证书,并作为本项目经理 的得1分,无不得分。 2.投标方提供1名注册信息安全工程师证书(CISP证书)的得1分,无不得分。 3.投标方提供1名高级网络工程师证书(CCIE等级别证书)的得0.5分,无不得分。 注:以上证书须提供投标方针对以上人员缴纳的社保证明及证书复印件,否则视为无效。 共同评分因素 7 投标方服务及后续支撑能力 3分 1、根据投标方提供的售后服务方案(重点是服务响应时间、响应速度、响应能力以及应急保障措施)、售后人员(提供本地社保)、售后服务机制等进行量化,时间最短、速度最快、影响最小得2分,响应时间相对较长,在确保系统7*24小时不间断运行方面和服务能力存在一定不足得1分,其余不得分。 2、投标商及所投的安全设备厂家承诺后期可根据用户需求,提供10台不同类型安全设备试用机(包括不限于漏洞扫描、等保安全检查箱、防病毒、移动应用防火墙、基于互联网的云安全管理平台等,承诺厂家必须有产品),免费使用期限不超过2年(由投标商和所投安全设备生产厂家共同出具承诺,加盖投标商公章,签订合同前,承诺加盖原厂公章,承诺未完成的,视为虚假应标),有得1分,其余不得分。 共同评分因素 其他(2分) 8 投标文件 的规范性 2分 投标文件制作规范,没有细微偏差情形的得2分;有一项细微偏差扣0.2分,直至该项分值扣完为止。 共同评分因素 阅读原文 意见反馈 反馈 我的反馈 30秒前
发布时间:2019-11-27
投标开始时间:
投标截止时间:
开标日期:
项目名称:绵阳市社会保障监督类信息工程硬件支撑平台、“互联网 政务服务”及总集成征求意见
项目分类:招标结果-中标
招标单位:绵阳市人力资源和社会保障局
招标单位联系人:郭永龙
招标单位联系电话:18909011398
代理机构:绵阳市政府采购中心
代理机构联系人:郭女士
代理机构联系电话:0816-2335356
项目编号:无
资金来源:其他
投资额:0
招标预算:0
中标单位:合作银行委托市人社局
中标金额 :0
中标联合单位:
省份:四川省
地市:绵阳市
区县:
行业分类:信息技术
行业细分:系统集成,软件开发,硬件设备
参与投标厂商:国家保密局
评标办法:
网站名称:剑鱼标讯
原文链接:https://www.jianyu360.com/article/content/ABCY2FCYikvUT06RGBldXUoDCcCESNgZlJyKA4sOSE3fFZzcTtUCc4=.html
网站域名:jianyu360.com
转载请注明原文地址:https://www.youmifa.com/read-64515.html
