内蒙古高尔奇矿业有限公司二级等保采购项目

****二级等保采购项目

【竞价文件】

****二级等保采购项目具备采购条件。****将本着“公开、公平、公正”的原则，选择优秀的供应商与******。竭诚欢迎信誉好、实力强的供应商参与报价。

附件1

竞价授权报名表

本人 （身份证号： ）系 的法定代表人，现委托 （身份证号： ）为我方代理人。代理人根据授权，以我方名义参加 一切采购活动中的响应文件的签署、澄清、说明、补正、递交、撤回、修改和处理有关事宜，其法律后果由我方承担。****公司采购编号为 的竞价文件，做出如下承诺：

1、我公司提供 （工程、货物或服务）质量标准符合竞价文件要求，完全能满足采购方要求，如若无法满足采购方要求，我公司将对此负全部责任。

2、我公司与采购人不存在可能影响采购公正性的利害关系。

供应商全称（加盖公章）：

法定代表人签字：

附件2

偏 差 表

项目名称：

项目编号：

针对本项目《竞价文件》中规定的技术参数供应商应做充分考虑及响应，除了下列《偏差范围表》中列出的允许偏差内容，供应商所提供的产品其他技术参数（标准）应优于或相当于《竞价文件》技术规格中要求的标准，以满足采购单位的需要。

序号	内容	填写“偏差”或“不偏差”	备注（若偏离请备注实际偏离情况）
1	完全满足标的标包内容
2	完全满足标的服务期限
3	完全满足标的质量要求
4	完全满足报价说明
5	完全满足标的标包履约保证金的要求
6	完全满足合同价款结算
7	完全满足合同样板中的要求
8	满足项目概况中的其他要求

注：

1、请按清单内容逐项列出偏差情况，若偏差写明偏差内容（未注明视为不响应将被否决），采购人根据实际情况判断是否接受，不接受即否决资格。

2、逐页盖章。

附件3

承诺书

致：

****公司项目编号为 的竞价文件,郑重承诺：

1、我公司遵守国家的法律、法规，在经营活动中没有重大违法记录、无经营风险，过去三年内无司法风险。

2、我公司具有良好的商业信誉，产品具有竞争能力，售后服务良好。

3、我公司所提交的所有资质文件、报告、报表，保证其真实、有效，没有伪造、涂改、借用等违法违规情形。

4、我公司承诺全部满足竞价文件中的要求。

供应商全称（加盖公章）：

法定代表人或委托代理人签字：

日期： 年 月 日

附件4

报价单

报价单位： （公章）

日 期： 年 月 日

附件5

二级等保合规建设技术要求

一、总则

1.1 本招标技术要求针对二级等保合规建设项目，投标方所提供的设备、技术方案及相关服务，必须满足《网络安全等级保护基本要求》（GB/T 22239-2019）中二级等保的全部技术及管理要求，确保项目顺**过二级等保测评，并由具备评审资质的第三方机构出具正式的二级等保测评报告。

1.2 投标方需结合本项目现有网络环境（OLT+ONU组网），提供完整的技术实施方案、设备部署方案、日志溯源方案及等保测评配合方案，所有方案需满足本要求中明确的约束条件，不得存在任何遗漏或不符合项。

1.3 本项目所有设备及相关服务需符合国家网络安全相关法律法规及行业标准，确保设备兼容性、稳定性及安全性，杜绝安全隐患。

二、设备选型要求

2.1 投标方所选用的所有安全设备/虚拟化模块，必须为华为、紫光、华三、深信服、安恒信息、天融信厂家所生产的设备,安装中不得影响现有网络质量。厂家具备完善的生产资质、售后服务体系及技术支持能力，能够提供长期的设备升级、漏洞修复及技术咨询服务。下一代防火墙及日志审计设备与EDR必须为原厂物理机原厂软件，其他防护模块允许以平台统一交付/等同于下一代防火墙及日志审计与EDR的交付方式一致的物理机交付方式（二选一），管理平台需在同一个页面纳管并支持下发策略包括下一代防火墙、上网行为管理设备、堡垒机、日志分析、安全管理、数据库安全、Web应用防火墙、漏洞扫描设备、APT检测防护设备、终端安全杀毒等所有的防护系统所有防护系统。

2.2 所有设备需经过国家相关部门认证，具备对应的产品检测报告，确保设备性能及功能满足本招标技术要求及二级等保合规要求

2.3 设备需具备良好的兼容性，能够适配现有OLT+ONU组网环境，无需对现网结构及拓扑进行任何修改，可直接旁路部署并正常运行，日志审计需从vBRAS对接采集日志。

三、核心技术要求

3.1 必配设备功能要求

投标方需提供以下全部安全设备，所有设备功能需相互联动，形成完整的安全防护体系，确保实现全网资产身份行为可控可视及管局溯源要求：

1、下一代防火墙（NGFW）：需具备边界防护、NAT转换、流量镜像、入侵防范、防病毒、VPN透传等核心功能，能够支持SIP、IMS SIP、NCE-FAN NETCONF SD-WAN及公网私有协议VPN的正常透传，不影响现有公网业务；支持日志采集与上报，配合日志分析管理系统实现1:1溯源，日志留存时间不低于180天；具备灵活的策略配置功能，可实现最小权限访问控制，拦截非法访问及恶意攻击，设备性能需满足现有网络流量需求，无卡顿、丢包等现象。

2、上网行为管理系统：需适配现有条件部署，在不改变现有网络拓扑的前提下，实现上网行为管理系统的全部功能；具备流量审计、用户身份识别、上网行为管控、日志集中采集等功能，能够识别各类网络应用及终端资产，实现全网资产身份与行为的关联审计，支持关键字过滤、流量控制等功能，日志可同步至日志分析管理系统，满足等保审计要求。

3、堡垒机（运维审计系统）：需具备运维身份鉴别、细粒度权限控制、操作全程录像、命令级审计、1:1日志拉取等功能；支持双因素认证，可实现对运维人员操作的全程管控与追溯，杜绝非法运维操作；日志需实时上传至日志分析管理系统，留存时间不低于180天，满足等保“权限分离”“运维审计”强制要求，可对接现有运维体系，实现单点登录与统一运维管控。

4、日志分析管理系统：需具备内网日志1:1拉取、日志集中存储、日志分析、溯源查询、告警联动等核心功能；能够解决现有无三层交换机、无法从交换机拉取1:1溯源日志的痛点，通过从vBRAS开发采集日志技术方案，实现公网IP与私网终端的1:1映射，满足管局溯源要求；日志存储需采用加密防篡改技术，留存时间不低于180天，支持日志报表自动生成，可配合等保测评提供完整的日志样例及分析报告；可对接本项目所有安全设备，实现日志集中采集、统一分析，形成完整的日志溯源链路。

5、安全管理系统：需具备全网安全设备统一纳管、策略集中下发、安全态势可视化、合规报告自动生成等功能；能够对接下一代防火墙、行为管理、堡垒机、日志分析管理系统、数据库安全设备、WAF、漏洞扫描设备、APT检测防护设备、终端安全杀毒软件等所有安全设备及软件，实现设备状态、安全事件、日志信息的集中展示与管理；支持等保合规检查，可生成符合二级等保要求的合规报告，支撑等保测评材料准备。

6、数据库安全系统：需适配现有条件部署，在不改变现有网络拓扑的前提下，实现数据库安全系统的全部功能需采用旁路部署模式，不影响现有数据库及公网业务正常运行；具备数据库访问控制、敏感数据防护、SQL注入攻击防范、数据库行为审计、日志采集与上报等核心功能，兼容主流及国产数据库（如Oracle、MySQL、达梦、人大金仓等），能够识别敏感数据并进行分级管控，防范数据泄露、篡改等风险；日志需实时上传至日志分析管理系统，留存时间不低于180天，满足等保数据安全及审计要求，支撑数据安全合规溯源。

7、Web应用防火墙（WAF）：需采用旁路部署模式，不串联接入业务链路，不影响现有公网业务及Web应用正常运行；具备HTTP/HTTPS协议分析、SQL注入、XSS跨站脚本、网页挂马、Webshell等常见Web攻击防护功能，支持基于URL的访问控制、Web敏感信息防护、文件上传下载控制等功能，能够精准识别并阻断恶意请求，误报率低；支持日志采集与上报，可同步至日志分析管理系统，留存时间不低于180天，满足等保Web应用安全防护及审计要求，适配现有业务协议，不影响SIP、IMS SIP等业务正常传输。

8、漏洞扫描系统：需适配现有条件部署，在不改变现有网络拓扑的前提下，实现漏洞扫描系统的全部功能；具备全网资产扫描、漏洞检测、风险评估、漏洞修复建议等核心功能，可定期自动或手动对网络设备、服务器、终端、应用系统、数据库等进行全面漏洞扫描，支持对主流操作系统、中间件和数据库的深度检测，能够识别已知及未知漏洞，生成详细的漏洞扫描报告及风险评估报告；支持日志采集与上报，可同步至日志分析管理系统及安全管理系统，留存时间不低于180天，满足等保漏洞管理及风险防范要求，助力及时修复安全隐患，构建完整的漏洞防护体系。

9、APT检测防护系统：需采用旁路部署模式，不影响现有公网业务及网络正常运行；具备APT（高级持续性威胁）检测、恶意代码分析、异常行为识别、威胁溯源、告警联动等核心功能，可精准识别隐藏的高级威胁攻击，支持威胁情报更新，能够联动下一代防火墙、安全管理系统等设备实现协同防护，及时阻断攻击链路；支持日志采集与上报，可同步至日志分析管理系统及安全管理系统，留存时间不低于180天，满足等保入侵防范、恶意代码防范相关要求，提升全网高级威胁防护能力。

10、终端安全杀毒软件：需支持全网终端（含服务器、办公终端等）部署，不影响终端正常使用及现有公网业务运行；具备实时病毒查杀、恶意代码防护、漏洞补丁管理、终端行为管控、终端资产统计、日志采集与上报等核心功能，支持病毒库自动更新，可防范各类病毒、木马、勒索病毒等恶意程序攻击；支持对接安全管理系统实现集中管控，可远程部署、升级、管控终端杀毒策略，日志需实时上传至日志分析管理系统，留存时间不低于180天，满足等保终端安全、恶意代码防范相关要求，实现终端安全可控。

3.2 组网适配与业务保障要求

1、现有网络采用OLT+ONU组网模式，投标方所提供的设备及部署方案，严禁修改现网结构及拓扑，不得对现有网络设备、线路进行任何改动。

2、所有安全设备及软件（含数据库安全设备、WAF、漏洞扫描设备、APT检测防护设备、终端安全杀毒软件）需采用旁路部署（终端安全杀毒软件除外，采用终端本地部署，不影响业务）模式，不串联接入业务链路，确保不影响目前公网业务（SIP、IMS SIP、NCE-FAN NETCONF、SD-WAN公网私有协议VPN）的正常运行，业务中断时间为0，无任何卡顿、丢包、延迟等现象。

3、现有条件无法部署三层交换机，且无法从交换机拉取1:1溯源日志，投标方需提供切实可行的技术方案解决该痛点，方案需适配OLT+ONU组网特点，可通过OLT端口镜像、旁路交换机镜像或终端Agent采集等方式（可选用一种或多种组合），实现内网日志1:1拉取及管局溯源要求，方案需详细说明实施步骤、技术原理及适配性，确保方案可落地、可验证；同时需确保新增设备及终端安全杀毒软件的日志可通过该方案实现1:1拉取，纳入日志分析管理系统统一管理。

4、设备部署后，需实现全网资产身份行为可控可视，能够精准识别所有终端设备、网络设备、服务器、数据库、Web应用及终端安全状态，实时监控资产行为及APT威胁、终端病毒情况，发现异常行为可及时告警并留存相关日志，支撑溯源分析。

3.3 等保合规要求

5、投标方需确保所提供的设备、软件、技术方案及服务，完全满足二级等保技术及管理合规要求，涵盖身份与访问控制、安全审计、入侵防范、数据安全、设备管理、漏洞管理、恶意代码防范、高级威胁防护等所有二级等保强制条款，适配新增设备及软件的合规要求。

6、投标方需配合具备评审资质的第三方测评机构开展二级等保测评工作，提供测评所需的全部技术文档、配置截图、日志样例、设备认证材料等，确保项目顺**过测评并取得正式的二级等保测评报告。

7、日志管理需符合等保要求，所有设备及软件（含新增设备、终端安全杀毒软件）日志（网络日志、运维日志、安全事件日志、数据库日志、Web防护日志、漏洞扫描日志、APT检测日志、终端杀毒日志等）需集中采集、统一存储，日志内容完整、可追溯，支持日志查询、导出及分析，采用数字签名等防篡改技术，确保日志真实性、完整性，留存时间不低于180天。

四、实施要求

8、投标方需提供详细的实施计划，明确实施流程、实施周期、人员配置、技术保障等内容，实施前需进行业务影响评估，采用“先旁路、后配置、不中断”的实施流程，确保现有公网业务零中断；需明确新增设备及终端安全杀毒软件的安装、配置、调试流程，确保与原有设备联动正常，终端杀毒软件可实现全网终端全覆盖部署。

9、实施过程中，投标方需安排专业技术人员现场指导，负责所有设备、软件（含新增设备、终端安全杀毒软件）的安装、配置、调试、联动测试等工作，确保所有设备及软件正常运行，功能满足本招标技术要求。

10、实施完成后，投标方需提供完整的技术文档，包括设备配置手册、部署拓扑图、日志联动方案、运维手册、等保测评配合手册、新增设备操作手册、终端安全杀毒软件部署及操作手册等，确保招标方运维人员可快速上手进行设备、软件管理及维护。

11、投标方需提供设备、软件安装后的调试、测试服务，组织招标方及相关人员进行验收测试，确保所有设备、软件（含新增设备、终端安全杀毒软件）功能、性能及合规性均满足要求。

12、投标单位负责设计、搬迁、****中心土建、消防以外的工程。

13、投标方须在验收合格后提供不少于三年的免费质保服务，涵盖设备硬件故障维修、软件版本升级、安全漏洞修复及7×24小时远程技术支持；质保期内如遇重**全事件，须在2小时内响应、8小时内到达现场处置，并提交详细分析报告与整改方案。

五、验收要求

14、验收标准：本项目验收以本招标技术要求、二级等保相关标准及投标方提交的技术方案为依据，确保所有设备、软件（含新增设备、终端安全杀毒软件）功能、性能、兼容性及合规性均满足要求。

15、核心验收指标：所有安全设备、软件（含数据库安全设备、WAF、漏洞扫描设备、APT检测防护设备、终端安全杀毒软件）正常运行，无故障；全网资产身份行为可控可视；日志分析管理系统实现内网1:1日志拉取（含新增设备、终端杀毒软件日志），满足管局溯源要求；不影响现有公网业务正常运行；顺**过二级等保测评，取得具备评审资质的第三方机构出具的正式二级等保测评报告。

16、验收流程：投标方完成实施后，提交验收申请及相关验收材料，招标方组织相关人员及第三方测评机构进行验收，验收合格后签署验收报告；验收不合格的，投标方需在规定期限内完成整改，直至验收合格。

机房搬迁

****中心及高可用综合布线技术规范书

第一章 总则与编制依据

1.1 编制目的

本技术规范****数据中心及其配套基础设施、物理布线系统的技术参数、施工工艺及验收标准。旨在通过高标准的硬件指标控制与科学的“动静分离”布线工艺，****中心具备极高的物理安全稳定性、能效控制能力及全生命周期内的平滑演进能力。

1.2 编制依据与遵循标准

本规范书的制定参照并严格执行以下国家、行业及特定高可靠性机房的标准规范：

《数据中心设计规范》（GB 50174-2017）

《综合布线系统工程设计规范》（GB 50311-2016）

《综合布线系统工程验收规范》（GB 50312-2016）

《数据中心基础设施施工及验收规范》（GB 50462-2015）

《中国铁路通信机房物理基础设施施工及典型工艺规范》（参考动静分离与集中交叉跳接架构标准）

《金融级信息系统机房基础设施高可用性导则》

1.3 投标品牌限制

****中心底层基础设施的品质、兼容性与长期运维的可靠性，本项目仅接受以下指定品牌的原厂设备及材料参与投标：

综合基础设施及配电制冷类： 华为、中兴、艾默生、海信、施耐德、ABB、GE通用电气

综合布线及光通信物理连接类： 华为、烽火、长飞、博扬、中航光电、华脉

本项目的核心配套组件必须严格遵照以下最低数量及规格要求进行配置及供货：

第二章 微模块总体架构与物理环境技术规范

2.1 模块化整体拓扑

微模块系统必须采用单排、密闭冷热通道设计，实现气流组织的完全物理隔离。系统整体高度集成，包含机柜系统、密闭通道系统、供配电系统、制冷系统及走线梯等。

2.2 核心物理参数要求

部署规模：系统整体包含 11 面标准机柜。其中 1 面为综合主柜（配线与核心集中管理区）、9 面为 IT 业务机柜、1 面为配套蓄电池柜。

外观尺寸：单体机柜外部尺寸为 2000mm（高）× 600mm或800mm（宽）× 1350mm（深）。

高强度承重结构：机柜需具备极高的框架机械抗压与抗震强度，静载能力需达到 ≥ 2400kg，动载能力需达到 ≥ 9000kg。系统整体防护等级要求达到 IP20。

运行工况自适应：系统整体结构组件必须支持在 -20°C 至 +45°C 的宽温工作环境下稳定运行。

负载支持：系统支持的 IT 负载总最大功耗需达到 35kW，单 IT 业务机柜最大功率密度需支持 ≥ 7kW。

2.3 气流组织与满配盲板隔离工艺

为防止因机柜内部空隙导致冷热气流短路、混风及回风紊乱现象，降低系统 PUE 值并消除局部热点，本工程明确要求：

IT机柜内所有未安装设备的闲置U位，必须100%满配原厂免工具安装的物理防气流短路挡板（盲板）。在初次交付及后续设备未上架前，严禁出现任何未经封堵的空置漏风孔洞。

第三章 高可用精密制冷子系统技术规范

3.1 厂商一体化交付要求

****中心底层核心监控逻辑的深度统一、联动控制的无缝配合以及售后维保层面的责任清晰，精密制冷子系统必须与微模块主系统（机柜及通道）为同一厂家的原厂整体解决方案，确保各子系统间的通讯协议无缝对接。

3.2 室内精密空调核心指标

设备形态：配置机架式直膨式风冷精密空调，送风方式要求为前送风、后回风。

尺寸限制：为最大化释放机柜内部宝贵的 IT 可用空间，室内空调设备整体物理安装高度须严格控制在 ≤ 11U。

制冷与风量：单台空调额定制冷量须 ≥ 12.5kW。单台循环风量须 ≥ 2600m3/h。

功能精准配置：系统需提供完整的制冷、加热、加湿及单冷功能组合配置。

低载可靠除湿技术：系统必须具备轻载除湿技术，要求在 IT 业务负载低至 10% 的极端轻载工况下，仍能实现可靠除湿与温度精准控制，彻底避免机房内部因低载产生凝露引起短路隐患。

变频**调节：空调核心制冷与送风部件必须采用全直流变频压缩机与高效 EC 风机，支持根据实际IT热负载变化实现制冷量的**调节。

**全维保工艺：考虑到**全等级机房的动火审批严苛性，压缩机与冷媒管路的连接接口必须支持免动火的螺纹连接维护工艺，严禁现场明火焊接。

硬件级防液击保护机制：系统内关键的电子膨胀阀组件必须配置原厂级储能模块。当机房或模块发生突发异常掉电时，系统必须能够利用储能自动将电子膨胀阀完全关闭，杜绝再次恢复供电时因冷媒倒灌引发的压缩机液击损坏故障。

3.3 室外冷凝器配置指标

制冷剂与电压适应性：配套提供与室内机同品牌原厂配套的风冷室外机。采用 R410A 环保制冷剂。电气系统必须原生支持 208-240VAC 单相宽交流电压输入，具备 50Hz/60Hz 双频自适应运行能力。

电流控制：室外机满载运行电流需严格控制在 30A 以内。

底层变频联动：室外机必须具备与室内机控制系统底层逻辑直接联动的变频调速散热机制，可根据室内实际压力与室外环境温度动态调整风机转速，保障系统级稳定性。

第四章 智能动环监控与柜内消防系统（拓展与预留规范）

4.1 功能规划说明

柜内自动化气体消防灭火子系统以及深度动环监控组件作为系统的拓展模块（含选配及后期规划）。为了确保整体基础设施的架构连续性，微模块的物理底座必须满足以下平滑演进和前置预留规范：

4.2 物理与协议前置预留要求

原生插槽预留：微模块控制主柜必须原生预留 1U 高度的标准消防气体灭火控制模块插槽，严禁占用IT可用空间。

接口与总线预留：控制总线需标配或预留可满足全量温湿度、漏水、门禁、烟感传感器接入的 RJ45/PoE 通讯接口，所有数据链路上层协议需原生兼容。

平滑无损升级：后续进行消防与动环系统加装时，严禁对现有机柜的钣金结构、通道密闭件进行任何破坏性物理改造，必须支持原厂标准件模块化即插即用（Plug and Play）。

界面一体化融合：系统拓展的动环数据及消防状态，必须能够直接无缝融入原厂触摸大屏（Pad）本地界面中统一管理。

柜内精准消防指标：预留接入的柜内全氟己酮灭火模块，单模块药剂充装量须精确为 6.25kg，外形尺寸限制在 265mm(高) × 442mm(宽) × 690mm(深) 以内。系统需支持温感/烟感双路互锁启动，具备高温告警时天窗/机柜门应急自动弹开辅助散热的功能。

第五章 综合布线“永久链路”物理架构与施工工艺标准

为保障核心业务网络具备极高的物理级稳定，本项目综合布线系统必须严格遵循《数据中心设计规范》（GB 50174）及《综合布线系统工程验收规范》（GB 50312），并参考高可靠通信机房的“动静分离”和“集中管理”标准进行规划施工。

5.1 物理拓扑架构：核心集中交叉连接（MDA-EDA）

微模块内部要求采用集中交叉连接架构，避免跨机柜的设备端口直连。在综合主柜设立独立的主配线区（MDA），作为整排微模块的网络跳接中枢；各 IT 业务机柜作为设备配线区（EDA）。

5.2 **度主干线缆配置规范

每一个 IT 业务机柜至综合配线主柜之间，必须独立敷设以下主干链路：

铜缆主干：每个 IT 机柜向综合配线柜配置敷设 24 条（根）六类（或超六类）高性能无屏蔽/屏蔽**度铜缆。

光缆主干：每个 IT 机柜向综合配线柜配置敷设 1 条 48 芯**度室内光缆

5.3 “永久链路”与预端接施工工艺（工艺核心优势）

成端要求：为了消除现场施工打线及光纤熔接带来的质量不确定性，所有 48 芯光缆主干要求采用一管一芯，熔接保护管需要设立纤芯顺序标签，永久链路固化：上述网线与光缆主干在布放敷设时，按照如图工艺敷设。并出具测试报告，一经测试通过，该段链路即被固化不可移动的“永久链路”）。

5.4 物理接口保护机制与运维优势

设备端口物理级保护：核心交换机、**度服务器等设备接口极其精密。采用本工艺后，核心设备接口仅在初次上架时通过短跳线（Patch Cord）连接至本柜配线架。此后运维过程中无需在核心设备端插拔线缆，从根本上保护了核心IT设备的物理接口，降低静电击穿风险。

实现“动静分离”**全性运维：将“静态”的服务器布线区与“动态”的网络跳接管理区完全剥离。后期的网络拓扑重构、业务割接，统一在综合主柜（MDA）的**度无源配线架上进行交叉跳线变更。极大地降低了因运维人员进入业务柜导致的人为误操作断网风险。

资产长效保护与系统平滑演进：主干“永久链路”生命周期可长达 10 至 15 年。未来即便机柜内的服务器进行带宽升级，模块顶部的主干光缆和网线也无需重新布设，仅需在前端更换相应的短跳线即可完成系统换代，大幅降低二次改造成本。

第六章 测试、验收与关键技术参数检查表

6.1 物理链路100%专业认证测试

所有完工的“永久链路”，必须使用经过校准的专业线缆认证测试仪（如 Fluke 系列）进行 100% 连通性与性能余量认证。

测试模型必须选择为永久链路（Permanent Link）测试模型。测试标准需完全符合 TIA-568.2-D 或 ISO/IEC 11801 的规范要求。

施工方需向甲方及监理方提交所有物理链路的电子版测试报告及纸质版通过（PASS）报告。

6.2 关键技术参数响应检查表

本表所列参数为本项目基础设施及工艺的核心技术指标，投标方需在技术方案中予以明确响应及说明：