云南省临沧卫生学校网络带宽升级及网络安全管理系统采购项目招标公告

序号

设备（项目）名称

规格、技术参数、性能要求

数量

计量
单位

交货地点

备注

1

互联网网络带宽

互联网专线：上行数率≥1Gbps，下行数率≥1Gbps。

1

条

临沧卫校

2

公安专网接入

公安网专线：上行数率≥20Mbps，下行数率≥20Mbps。

1

条

临沧卫校

3

网络安全管理
系统

★1、发布应用：支持将ipa文件和apk文件上传到应用商店；平台会自动识别为普通应用、内置应用、沙箱应用、支持从App Store应用商店的搜索应用，再添加到企业应用商店、支持添加应用标签，将上传的应用按标签分类，比如办公类、培训类、营销类等、支持按照已安装的数量、应用更新时间来排序；支持筛选。
2、更新应用：上传新版本应用到应用商店时，系统会提示选择：1.替换老版本， 2.新老版本同时保留。
3、更新提醒：在应用商店更新应用后，平台自动发送消息通知用户。
★4、推送应用及策略：推送或更新应用策略，客户端立即生效、支持指定推送时间延时推送，精确到分钟、支持设置必装或按需安装、组织架构变更，平台自动向用户推送新组织下已推送的所有应用、支持实现静默安装应用、支持一键自动安装或自动卸载应用，简化安装流程。
★5、远程删除应用：应用删除操作后，客户端接收到策略并立即执行、用组织架构变更时，自动删除该用户在原来组织结构下已推送的应用。
★6、应用安装分析：查看已安装/已分发应用的设备列表，支持导出、向未安装/未更新的设备重新推送等操作、查看单个设备上已安装的应用列表。
7、应用策略分析：查看该应用策略关联的所有应用、查看应用策略推送到用户信息和设备信息。
★8、应用黑白名单：支持设置应用黑名单，违规时持续推送警告信息；、支持设置应用白名单，违规时持续推送警告信息。
9、安全访问网关：提供 Android平台双层加密隧道的SDK。
★10、配置应用策略：企业或第三方应用可以通过集成 SecCom SDK 实现，1.推送应用参数名和参数值，2.应用级VPN（集成VPN SDK）以及配置参数、企业或第三方应用可以通过集成 SecCom SDK，可以实现单点登录；支持 Basic，OAuth，OIDC 和 Kerberos 等认证协议。
★11、高级应用管理仅：容器化后的应用具备数据的加密和解密功能，确保数据在移动设备上的安全、容器内可使用 SSL VPN 功能、支持通过沙箱策略对容器应用进行启用/禁用的控制、支持一键清除容器应用产生的数据、支持对 Android 容器应用的控制内部数据复制、剪切、粘贴，包括应用级：应用内可拷贝粘贴，但容器应用之间禁止拷贝粘贴容器级：应用内可拷贝粘贴，容器应用之间也可以拷贝粘贴，但容器应用与非容器应用之间禁止拷贝粘贴系统级：在系统级容器应用或非容器应用之间拷贝粘贴，不能拷贝到应用级和容器级应用、支持是否允许截屏、支持启用/禁用容器应用，在已分发应用列表显示容器应用的启用或禁用状态、Android 容器应用支持是否允许使用相机、麦克风、地理位置、读取短信、联系人、通话记录、手机号码、发送短信、媒体库、蓝牙、拨打电话、数据共享和打印功能、支持是否允许容器内数据共享。

1

套

临沧卫校

12、安全桌面策略：支持仅能使用企业推送的应用及管理员指定的第三方应用、支持应用图标自由拖动，平板设备上支持横屏和竖屏显示、支持是否允许使用通知栏下拉菜单、支持显示快捷设置图标，可以设置WiFi、移动数据、蓝牙、GPS、显示、声音和语言等选项、支持统一配置桌面背景图片、支持设置退出安全桌面需输入的密码、支持设置访问CIMS客户端密码、支持将安全桌面自动设置为系统默认桌面。
13、安全杀毒策略：支持设置扫描频率、病毒库升级周期和危险处理方式等、支持配置自动扫描和处理危险的应用程序、支持记录设备的所有杀毒记录，包括扫描时间，扫描应用数量，危险应用数量、支持统计危险设备分布情况。
14、安全浏览器策略：支持网络控制，可配置在指定WiFi下使用安全浏览器、支持扫描二维码直接访问网址、支持设置默认主页、支持推送书签、支持将安全浏览器设置为默认浏览器，并且屏蔽系统和第三方的浏览器、支持设置网址黑白名单。网址黑白名单可以使用文件方式导入，支持的txt和csv格式、支持上传网址访问记录，访问记录可在安全浏览器日志中查看。
15、注册设备：支持手动注册设备、支持文件导入批量注册设备，文件格式为CSV格式，使用逗号分割、支持用户在自服务平台自行注册设备。
16、激活设备：支持三种激活方式：手动激活、扫描二维码激活、短信激活支持设备激活时对硬件信息进行验证（注册时指定设备硬件信息序列号、IMEI、IMSI等，激活时如不匹配则无法激活）。客户端直接扫描二维码进行激活，也可以通过扫描本地图库中的二维码、支持短信激活，打开 Android客户端自动读取7天内的短信进行自动激活，也可自动扫描剪切板，发现激活信息后自动激活、支持配置不注册设备直接激活设备，用户在CIMS客户端自行激活设备，极大减少IT管理员注册设备的工作量、在配置文件添加APN接入点，扫码激活时自动配置并连接该接入点，进行激活设备。
17、设备强管控：激活设备管理器的 Android 设备支持文档中所有列出的功能、非激活设备管理器的 Android 设备不支持：锁屏、设置密码、密码限制策略、设备擦除、密码清除不生效、相机、存储加密。
18、筛选设备：根据用户组织架构、设备状态、资产归属、平台、是否Root或越狱、最近上线时间、设备安全状态进行筛选。
19、查询设备：支持查询指定设备的详细信息，包括硬件信息、APN信息、运营商信息、流量信息等、支持查询对该设备已安装的应用程序、支持查询对该设备已推送的策略、支持查询对该设备已推送的文档、支持查询该设备终端病毒扫描信息、支持查询该设备应用的耗电量情况。
20、设置流量：支持设置该设备当月允许使用的移动流量

临沧卫校

21、标记丢失：支持对设备标记丢失，标记后设备状态由已激活变为已丢失，设备可被正常管控；设备标记丢失后，可标记找回。
22、锁定设备：支持向 Android设备发送锁屏密码。
23、清除密码：支持清除设备上的锁屏密码。
★24、设备定位：支持获取单个设备定位，中文下使用百度地图，英文下用Google地图；选择起始和结束时间，可查询单个设备的历史轨迹、支持定位多个设备定位，勾选设备信息左侧的选择框，可以给多个设备进行定位。
25、消息通知：支持向设备推送铃声、支持向设备推送消息，也可以在用户模块对用户/用户组发送消息；在消息日志中可以查看、重新发送消息。
26、淘汰设备：支持手动淘汰设备，淘汰后数据将被自动擦除。支持两种擦除方式，包括：仅擦除企业数据、擦除全部数据、从组织架构删除某一用户/用户组后，该用户/用户组下所有设备会自动淘汰删除用户/用户组时，可选择设备擦除方式：仅擦除企业数据、擦除全部数据。
27、擦除设备：支持手动擦除企业数据，即仅擦除CIMS平台推送的应用，数据及文档、支持手动擦除全部数据，即设备恢复出厂设置。
★28、远程截屏：支持发送截屏指令，设备截屏图片自动上传到服务器；在截屏日志中下载图片。
29、远程拍照：支持发送拍照指令，调用主摄像头拍一张照片后自动上传到服务器；在拍照日志中下载。
30、客户端升级：客户端每次打开时自动检测新版本；每隔7天会自动检测新版本、支持设备上手动检查更新。
31、调试日志：持上传调试日志，获取指定终端在指定日期范围内的调试日志、支持查看，下载或删除调试日志。
32、远程控制：支持在管理平台打开模拟桌面，对设备进行远程操作，实现点击home键、返回键、菜单键等操作、支持记录远程控制的操作日志；在设备日志中查看记录，包括：谁、什么时间、对谁，做什么操作。
★33、配置策略：支持查看指定的配置策略的执行情况、已应用/已分发的设备信息、支持配置一个或多个服务集标识符 SSID 和 WiFi 密码，可配置仅允许使用管理员推送的 WiFi 热点。支持配置 VPN 参数并分配到指定设备，支持L2TP、PPTP和L3VPN的类型、支持向 Android 版 CIMS 客户端推送Web轻应用，内容包括：名称、URL地址、图标、可配置企业证书并推送至设备，并查看证书信息、支持配置 APN 参数并推送到设备、支持配置蓝牙 MAC 地址的白名单并推送到设备、支持配置允许连接到该设备的其他设备的WiFi Mac地址。

临沧卫校

★34、限制策略：支持设置密码长度，可设置4-16位、支持设置密码复杂度：1.数字密码，2.数字+字母密码，3.复杂密码、支持设置密码有效期，可选：一周、两周、一个月、两个月、三个月、永远、支持设置密码历史记录：可设置密码不允许与之前使用过的1至50个密码相同 、支持设置自动锁定前最长时间（分钟），可设置1-60分钟。支持是否允许使用相机、是否允许使允许启用 SD 卡、是否允许使允许使用 WiFi（允许使用WiFi和移动数据两者需至少选择一项）、是否允许使允许使用蓝牙、是否允许使允许使用移动数据、是否允许使允许移动热点、强制开启/关闭 GPS、允许更改日期或时间、允许安装未知来源的应用、允许使用安全模式、允许启用 USB 调试模式、数据传输、允许通过 USB 使用、MTP 数据传输、允许录音、允许截屏、允许恢复出厂设置、禁用应用程序、通话白名单、允许安装/卸载应用、允许拨打电话、允许收发短信、允许使用NFC发送数据、允许启用状态栏下拉菜单、允许移动数据网络漫游、允许修改用户图像、允许修改墙纸、允许使用指纹解锁
允许系统升级、允许使用卡槽2、禁止卸载指定应用、禁止指定应用程序运行、通话白名单。
35、系统合规策略：支持检测设备是否更换SIM卡、更换SD卡、支持检测设备是否系统版本过低、设备是否Rooted或越狱、支持检测设备是否开启数据加密、支持检测使用流量是否当月流量阈值。
36、应用合规策略：支持检测是否安装一个或多个应用黑名单中的应用、支持检测设备全部应用是否存在于应用白名单、支持检测设备上是否安装了必装应用中的应用。
37、失联合规策略：支持配置设备失联后的离线策略。失联时间的单位为"天"，可输1到365的整数。
38、违规自动处理：设备检测到违规，自动标识该设备、设备检测到违规，自动向终端用户发出违规通知，向管理员发出告警信息、设备检测到违规，自动禁用部分功能，如设备锁定、禁用MCM、禁用应用商店、禁用相机、禁用CIMS客户端、锁定在指定页面等、设备检测到违规，自动擦除企业数据；可选项为：仅企业擦除数据、擦除全部擦除、设备检测到违规，SAG 拒绝除 CIMS 客户端之外的其他应用访问企业内网 。
39、违规自动恢复：支持检测违规设备的违规条件，若违规条件不满足，则设备变为合规状态，设备上违规处理会自动恢复注：设备锁定、擦除企业数据、擦除全部数据不支持自动恢复。
★40、时间/地理围栏：支持配置在围栏内连续锁屏、配置移动数据和 WiFi、禁用摄像头、禁用蓝牙、相机安全提示、定位安全提示、通话白名单、支持配置在围栏内启用或禁用的沙箱应用、支持配置在围栏内禁用或启用的安全浏览器黑白名单、支持配置在围栏内显示执勤模式；可显示通话、短信和联系人，也可以自定义添加应用程序。
★41、客户端防卸载：管理员可配置是否启用客户端防卸载，设置防卸载后用户无法通过拖动的方式卸载CIMS客户端。
★42、微信QQ策略：支持手动添加或文件导入目标关键字；在客户端提示用户或者不提示用户直接审计、支持是否自动上传审计日志；设置上传日志的周期和时间、支持禁用微信摇一摇、附件的人、漂流瓶；禁用QQ的查看附近支持微信/QQ的发红包、转帐、发送文件和发送图片时添加水印等功能。

临沧卫校

★43、支持手动添加或文件导入网址黑白名单，提供专用版的移动端百度、搜狗以及360浏览器、支持是否自动上传客户端访问的网址日志、网页发帖和搜索关键字，在日志模块查看、支持设置网页关键字，禁止访问标题、内容、发帖或搜索中包含关键字的网页。
★44、短信策略：支持手动添加或文件导入目标关键字；在客户端提示用户或者不提示用户直接审计、持是否自动上传审计日志。
★45、输入法策略：提供专用版本的安全输入法，包括百度、谷歌、搜狗输入法，激活后可以强制设置为默认输入法，从输入入口来进行敏感词过滤。
★46、大数据分析：地图实时定位，敏感官词，数据统计，风险数据分析，高危地理位置预警等。
★47、系统集成：能集成学校现有所有系统。

临沧卫校

4

出口网关(负载均衡、出口路由)

1、 千兆电口≥8个，千兆光口≥4个；
★2、 标准1U机箱，多核非X86架构；
3、内置硬盘容量≥950G，硬盘支持可插拔更换；
4、支持路由模式、桥接模式、旁路模式；
★5、支持VPN功能，SSL VPN授权≥500个，IPSEC VPN隧道数授权≥500个；
6、最大并发用户数≥3000；
7、为保证在多条外网线路情况下带宽的合理分配使用，设备必须支持多链路负载均衡，负载均衡可基于带宽、负载等多种方式。；
8、支持线路过载保护功能，当某条外网线路拥塞时，自动将其流量切换到其他链路，防止虚假应标；
★10、为保证在满足网络安全法的要求，要求该设备具有用户上网行为记录功能，能够对用户网络访问行为进行记录，提供第三方权威机构出具的检测报告复印件；
★11、支持应用流量识别管理功能，支持上网行为管理功能，能够精确识别网络应用，保障关键业务的系统带宽，具备完善的应用协议库，协议识别数量≥890种，提供上网行为管理系统的ISCCC测试报告以及信息过滤（行标-基本级）公安部销售许可证；
★12、提供有效的工信部电信设备进网许可证复印件，设备类型为路由器；
★13、提供互联网公共上网服务场所信息安全管理系统（无线接入前端）公安部销售许可证；
14、为保证兼容性与统一管理，要求该项产品必须与核心交换机为同一品牌；

1

台

临沧卫校

5

核心交换机

★1、实配：整机主控引擎插槽≥2个，业务插槽≥3个，电源槽位≥2个，配置双电源，满配风扇，配置≥24个千兆光口、配置≥24个千兆电口、≥4个万兆SFP+光口；
★2、交换容量≥52Tbps，包转发性能≥16500Mpps，整机ARP表项≥20K；
3、要求支持IPV6，提供IPv6 Ready认证证书复印件；
4、支持静态路由、RIP、OSPF、IS-IS、BGP-4、OSPFv3、IS-ISv6、BGPv4+等路由协议
★5、支持1：2虚拟化：可将一台物理设备虚拟化为多台逻辑设备，各虚拟交换机间具备独立的转发表项及配置界面，各虚拟交换机的配置/重启互不影响，提供威尔克通信实验室测试报告；；
★6、交换机采用专业的内置防雷技术，要求支持业界领先的防雷能力，业务端口防雷不低于6kv；
7、采用模块化操作系统，支持多进程备份及ISSU不中断业务升级特性，支持支持热补丁功能；
★8、支持专门基础网络保护机制，增强设备防攻击能力，即使在受到攻击的情况下，也能保护系统各种服务的正常运行，保持较低的CPU负载，从而保障整个网络的稳定运行，提供威尔克通信实验室测试报告；
9. 提供设备入网证复印件和测试报告，提供3C证书复印件及检测报告。

1

台

临沧卫校

6

汇聚交换机1

★1、千兆SFP光口≥28个，千兆电口≥8个，万兆光口≥4个，除固定端口外剩余扩展插槽≥2个，热插拔电源≥2个；
★2、交换容量≥5.9Tbps，包转发率≥342Mpps；
3、要求所投设备MAC地址≥64K；
4、支持ARP、IP包过滤、策略路由；
5、支持静态、OSPF、BGP、PIM-SM、MP-BGP，MPLS/BGP VPN，BGP4，ISIS等路由协议；
6、支持IPv6静态路由、手工隧道、自动隧道、PBR、IPv4 Over IPv6等IPv6路由协议；
7、支持SNTP协议、Telnet、Console、RMON、SSHv2、SNMPv1/v2/v3管理方式，支持Radius v6、Tacacs+ v6、SSH v6；
8、支持专门基础网络保护机制，增强设备防攻击能力，即使在受到攻击的情况下，也能保护系统各种服务的正常运行，保持较低的CPU负载，从而保障整个网络的稳定运行。
★9、要求所投产品支持软件定义网络SDN，符合OpenFlow 1.3协议标准，支持SDN和SDN Ready功能，提供OpenFlow1.3 认证证书及测试报告；
★10、为提升设备适应环境的能力，保证寿命更长，要求所投产品必须涂装三防漆，充分提升设备防腐蚀能力，符合GB-T2423.51-2000标准，提供流动混合气体腐蚀试验测试报告；
11、提供电信入网许可证。
12、为保证兼容性与统一管理，要求该项产品必须与核心交换机为同一品牌；
13、为保证设备节能环保，要求该设备入围第24期节能政府采购清单，提供清单截图

6

台

临沧卫校

7

汇聚交换机2

1、要求配置千兆电口数量≥48个，提供非复用的千兆SFP光插槽≥4，整机可用千兆端口数量≥52个；
2、 交换容量≥3Tbps，包转发率≥150Mpps；
3、设备MAC地址≥16K，ARP表项≥1000条；
4、支持静态路由、RIP/RIPng、OSPFv2/OSPFv3等三层路由协议；
5、 要求所投设备支持1对1、1对多、多对1和基于流的镜像；且支持RSPAN和ERSPAN；
6、支持专门基础网络保护机制，增强设备防攻击能力，即使在受到攻击的情况下，也能保护系统各种服务的正常运行，保持较低的CPU负载，从而保障整个网络的稳定运行；
★7、支持虚拟化功能，最多可将9台物理设备虚拟化为一台逻辑设备统一管理，并且链路故障的收敛时间≤30ms；                                             
8、支持SNTP、Syslog，CLI兼容业界主流标准；
9、交换机采用专业的内置防雷技术，要求支持业界领先的防雷能力，业务端口防雷≥9kv；
★10、 符合国家低碳环保等政策要求，支持IEEE 802.3az标准的EEE节能技术；
★11、提供电信入网许可证复印件或官网查询链接。

4

台

临沧卫校

8

24口POE交换机

★1、 千兆以太网端口≥24个（均支持POE和POE+远程供电，整机POE功率输出≥370W），支持单端口POE输出功率≥90W，千兆SFP非复用口≥4个；
2、可通过同一品牌的前端适配器实现常见的AC 24V、DC 12V等规格的非POE终端远程供电；
★3、 交换容量≥330Gbps，转发率≥126Mpps；
4、支持虚拟化功能，非堆叠模块实现，不占用扩展槽；
8、 符合国家低碳环保等政策要求，支持IEEE 809.3az标准的EEE节能技术；
9、 支持线缆检测，可对线路进行正常、短路、断路、半断开状态进行检测
10、 支持软件定义网络SDN，符合OpenFlow 1.3协议标准，支持SDN和SDN Ready功能
★11、 交换机采用专业的内置防雷技术，要求支持业界领先的防雷能力，业务端口防雷不低于7.5、 为保证兼容性与统一管理，要求该项产品必须与核心交换机为同一品牌；

10

台

临沧卫校

9

千兆单模模块

1000BASE-LX mini GBIC转换模块（1310nm），10km

60

个

临沧卫校

10

网线

六类非屏蔽双绞线裸铜线径为0.57mm（线规为23AWG），绝缘线径为1.02mm，STP电缆直径为6.53mm。

10

箱

临沧卫校

11

施工

60间教室沿墙面布线，实验楼实验机房组网。

1

次

临沧卫校