招标项目需求及技术要求

第五章 招标项目需求及技术要求

一、采购项目概况

国家电子政务外网（CEGN）是依据中央有关文件精神，经国家发展改革委正式批准建设的电子政务基础设施。国家电子政务外网（CEGN）基于国家电子政务传输网，由中央政务外网和地方政务外网组成，主要服务于各级党委、人大、政府、政协、法院和检察院等政务部门，为部门业务应用提供网络承载服务，支持业务网络的互联互通，支持跨地区、跨部门的业务应用、信息共享和业务协同，满足各级政务部门社会管理、公共服务等方面的需要。

新华区电子政务外网是国家和省、市电子政务外网的重要组成部分，是电子政务外网国家、省、市、县、乡镇互联互通的县区级节点。随着我县电子政务业务的需要，现需建设新华区电子政务外网安全域认证管理平台。新华区电子政务外网安全域认证管理平台建设包括安全域认证管理中心平台和局域网安全域认证接入设备两部分。所投方案及产品应符合国家电子政务外网标准中《接入政务外网的局域网安全技术规范》（GW0206-2014）、《国家电子政务外网安全接入平台技术规范》 （GW0202-2014）的要求。

中标人须对新华区电子政务外网安全域认证管理平台进行详尽的设计，并将设计方案报上级有关业务部门审批后实施。项目实施工期为合同签订后10个日历天。

二、技术需求描述 （一）采购清单 序号 1

（二）设备具体参数

以下设备参数为最低配置参数，投标产品不得低于以下功能配置要求，招标人保留实际功能参数测试的权利。 1、政务外网安全域认证接入网关

指标项 参数要求 ★配置三层千兆光口数量≥2，三层千兆电口数量≥4，二层千兆以太硬件规格 电口数≥24个 ★支持冗余电源模块（非RPS电源） 名称 安全域认证接入网关 单位 台 数量 30 备注 ★支持万兆以太接口卡 ★可用扩展模块插槽≥4个（非SFP模块插槽），可扩展TDD/FDD LTE 全制式4G模块，E1/CE1模块、同步/异步串口模块、国密局加密模块等 配置USB接口≥1，SD卡接口≥1 为便于设备管理，要求设备面板提供多功能复原键 ，便于紧急情况的设备状态恢复 ★支持并实配支持L2TP、IPSec VPN、GRE VPN、DMVPN功能；支持流量分析功能；支持状态防火墙功能；支持并内置MPLS VPN、IPv6等组网功能 ★支持国密局SM1\\SM2\\SM3\\SM4加密算法的硬件加密模块 产品功能 支持静态路由、RIPv1/v2、OSPF、BGP4等路由协议 支持IGMP、PIM-SM、PIM-DM、DVMRP等组播协议 支持web管理界面、TR-069网管协议、SNMP v1/v2c/v3网管协议 配置广域网优化功能，支持提高3G/4G业务传输效率 售后服务 ★含三年质保和实施服务。 ★产品具有工信部入网证证书复印件； ★产品具备公安部《计算机信息系统安全专用产品》销售许可证证书复印件； ★产品通过信息产业数据通信产品质量监督检验中心IPV4、IPV6检硬件产品资质 验，提供检验报告复印件； ★产品取得国家、河南省或平顶山市电子政务外网运维机构电子政务外网接入准入系统功能符合性测试通过证明或使用报告，投标时提供证明复印件加盖厂商公章或投标专用章。 安全域认证管理软件要求 ★支持分布式部署。总部部署身份策略中心，统一管理全网的身份信认证软件部署形态 息；分支单位机构部署认证管理系统，可将身份策略信息汇总至身份策略中心，实现各个分布式下认证管理系统之间的用户身份漫游认证；含安全域认证管理软件终端授权500个。 可对分支机构管理员进行分权，分级管理员只能管理本单位的用户。 支持集中式部署 ★认证服务器支持内置Portal和802.1x功能 为满足多种应用场景，准入方式应支持有线的用户名密码认证（EAP-MD5）、无线的用户名密码认证 （PEAP-MSCHAPV2） 和USB-KEY CA证书认证（EAP-TLS）。 ★支持已认证的用户使用自己的智能手机为访客终端扫描二维码进行访客入网接入认证授权，支持只有授权指定的用户组才能为访客做二维码授权，且在认证系统后台有访客与授权访客开户的用户账号绑定。 支持访客二维码名片/公共二维码注册。 支持授权码认证，普通用户可生成授权码，访客在Portal认证页面输入授权码认证上网，同时授权码具备有效期。 认证软件网络准入控制 短信URL短码认证，点击短信里面的URL链接即可认证 微信OpenID审计（需要开发者模式公众号支持） 支持VIP客户到达提醒。 闲置时间间隔超过 x [1，1000] 天的用户将会被暂停或者销户。 认证页面合并：普通用户、短信、二维码、微信web认证合并。 支持使用用户名密码+手机号及短信获取的6位数随机校验码作为认证要素进行双因子认证。 ★支持与第三方Radius联动，将认证信息转发给第三方Radius服务器进行认证，即实现统一身份源。 支持从基于Java/web service的第三方接口读取用户数据信息进行认证 认证软件与第三方认证支持与Windows AD域联动，实现与WindowsAD的整合认证，一次登陆完成802.1X系统联动 认证和Windows AD认证。 ★PEAP-Mschapv2认证支持多个不同AD域名认证 ★支持与数据库SQL SERVER、MySQL、ORACLE、DB2、PostgreSQL对接。 支持使用短信、邮箱、第三方数据库系统联动自助开户功能。 支持开户、销户、分组管理用户；支持定制用户信息包含的字段，例如部门、年龄等；支持由已认证用户通过自助平台建立短时间临时用户账号，供访客使用；支持违反规定的用户放入黑名单，一段时间内禁止登陆；支持设置账号的使用期限，到期自动销户，并提前通知用户 昵称认证：采用昵称代替用户名认证。 ★支持用户上线后弹出广播消息、网页；支持设置禁止认证时段，在该时段内用户禁止认证，无法上网。 ★首次登陆账号激活，并强制修改密码。 ★首次进行认证时，强制要求用户设置密保：手机号、邮箱账号、私密问答作为密保凭据任选其一。 ★密保找回密码： 通过自助服务平台修改密保信息时，需要提供原正确的密保信息才能修改成功。 软件用户管理 手机号作为密保凭据时，需要向原手机号发送短信校验码才能变更手机号。邮箱账号作为密保凭据时，需要向原邮箱账号发送校验码才能变更邮箱账号。私密问答作为密保凭据时，需要提供正确的答案才能变更密保答案。 ★防密码暴力破解-随机校验码机制： 认证页面输入N（默认3 次）次错误密码后，将需要输入随机校验码，并记录登录者的IP及MAC，以防止用户通过自动化工具暴力破解密码。 自助服务平台登录时默认需要验证码。 支持对在线用户进行管理，可下发实时和离线短消息、查看在线用户、下发实时和离线修复程序、强制在线用户下线以及重认证、实时进程信息获取以及远程协助的功能 ★支持禁止已认证用户给未认证用户提供代理服务；禁止已认证用户启用拨号服务，进行非法外连；支持设置用户密码输错的次数上限，防暴力破解 支持直接获取用户网卡的物理MAC地址，防止篡改MAC地址。