高效能計算資源擴容與數(shù)據(jù)庫安全集成服務項目需求

高效能計算資源擴容與數(shù)據(jù)庫安全集成服務項目需求（一）項目概況建設目標：本項目為信息技術中心超融合平臺，數(shù)據(jù)安全改擴建項目，通過對超融合平臺的的升級和擴建，滿足目前我校信息化系統(tǒng)建設的實際需求。因此擬在原有超融基礎上新增兩個節(jié)點，增加現(xiàn)有虛擬化環(huán)境中的計算和存儲資源，保障包括但不限于校內各對外發(fā)布的應用系統(tǒng)及數(shù)據(jù)、教職工及學生上網(wǎng)認證計費系統(tǒng)、虛擬化（私有云）管理維護平臺等對資源的需求。同時我校最核心、最重要、最有價值，同時也是最敏感的信息存儲庫——數(shù)據(jù)庫，很容易受到外部攻擊者利用Web應用程序實施的攻擊以及內部員工利用更直接的權限進行的違規(guī)操作。師生信息、財務報表以及其余各類重要數(shù)據(jù)都存在風險。因此，對于數(shù)據(jù)的安全管理和操作風險已經(jīng)引起高度重視。在安全風險管理方面，隨著信息化建設的不斷發(fā)展促使信息價值不斷提升。隨著業(yè)務和IT融合不斷地深入和數(shù)據(jù)共享需求的不斷擴展，數(shù)據(jù)庫安全面臨著管理、技術和審計的多方面風險。我校原有一套數(shù)據(jù)庫審計系統(tǒng)因時間久遠設備現(xiàn)已無法滿足正常使用需求，按等保要求需重新購置一套。另我校有一套備份一體機，購置于2021年，按需購買維保服務，服務期至2025年6月30日，維保期內提供軟、硬質保服務。主要內容：1、在原有超融合平臺的基礎上，增加2臺節(jié)點服務器，對資源池進行擴充。2、增加數(shù)據(jù)庫安全溯源系統(tǒng)，防范數(shù)據(jù)庫管理、技術和審計等多方面風險。3、備份一體機的軟硬件維保。（二）總體要求1.項目中涉及的硬件設備不低于技術方案中要求的最低配置。2.項目需設一名項目經(jīng)理具體負責整個項目全過程的統(tǒng)籌協(xié)調，項目經(jīng)理需24小時保持電話暢通，且在項目過程中未經(jīng)校方同意不得私自更換項目經(jīng)理。3.項目實施人員需具備相關的技術能力，具體需求以招標文件為準。（三）設備清單及詳細參數(shù)1超融合節(jié)點（兩臺）類別技術要求超融合一體機及節(jié)點授權1.單節(jié)點硬件配置（2節(jié)點）(1)品牌要求 國產(chǎn)服務器品牌。(2)機型 2U機架式服務器。(3)處理器：配置≥2顆IntelXeonIcelake5318YCPU，最高功耗為270W，同時在原有超融合集群上擴容授權，延用原超融合管理平臺。配置4個CPU的虛擬化和480TB的存儲使用。(4) 內存：支持≥32個內存插槽，最大可支持4TB內存容量，支持內存ECC保護、內存鏡像、內存熱備，最大可支持16根英特爾?傲騰?數(shù)據(jù)中心級持久內存（DCPMM）。配置≥16根32GBDDR43200MHzECCRDIMM內存。(5)硬盤：前置支持≥12個3.5寸或24個2.5寸熱插拔硬盤，可支持SAS/SATA/NVMeSSD混插。內置2個SATA接口M.2。后置支持≥4個2.5寸硬盤，可支持SAS/SATA/NVMeSSD混插。后置支持≥4個3.5寸熱插拔硬盤，可支持SAS/SATA硬盤、SSD混插最大可兼容26個U.2NVMeSSD。本次配置：系統(tǒng)盤：480GSATARSSD≥2塊。緩存盤：960GNVMeSSD≥2塊。數(shù)據(jù)盤：4THDD≥12塊。(6)M.2接口：支持主板板載2個M.2接口。支持2個M.2組RAID1且支持熱插拔。(7)硬盤控制器：配置硬盤控制器緩存≥2G，支持RAID0/1/5/6/10/50/60。(8)擴展插槽：最大支持10個PCIe插槽，支持直插主板的riser方式擴展8個全高PCIe4.0標準卡。(9) 組合擴展性：支持后置8個PCIe卡且同時支持后置2個2.5寸硬盤作為系統(tǒng)盤。(10)電源：配置熱插拔鉑金標準CRPS電源，單個電源功率800W支持1+1冗余。(11)風扇：支持4個8038風扇，支持N+1冗余。(12)網(wǎng)絡：配置≥1個雙口千兆網(wǎng)卡，≥2個雙口萬兆網(wǎng)卡（含模塊）。(13)管理：集成系統(tǒng)管理芯片，提供iKVM和KVMOverIP高級管理功能，本地固件更新、錯誤日志，提供系統(tǒng)狀況的可視顯示。配置獨立的遠程管理控制端口，支持遠程監(jiān)控圖形界面、支持H5虛擬鍵盤、支持VNC功能，可實現(xiàn)與操作系統(tǒng)無關的遠程對服務器的完全控制，包括遠程的開機、關機、重啟、虛擬設備掛載等操作。可實現(xiàn)監(jiān)控服務器內部主要部件的狀態(tài)，包括CPU、內存、硬盤、風扇、電源。支持帶外獲取OS版本、OS下CPU內存使用率、網(wǎng)口狀態(tài)、系統(tǒng)磁盤分區(qū)等，支持RAID卡配置帶外導入導出。（14）配置物理服務器的裸金屬管理功能。支持納管VMware、KVM等第三方虛擬化平臺，配置虛擬機的在線遷移許可。支持ARM和X86兩種CPU架構體系，同一管理平臺下可同時管理。支持虛擬化平臺一鍵無縫升級，同時支持跨大版本升級，單集群支持管理物理主機個數(shù)≥1000臺。實施部署要求初始安裝要求：由原廠商工程師提供安裝實施服務，并提供原廠商工程師現(xiàn)場維護服務。投標人根據(jù)采購人實際需求，實施原有虛擬化環(huán)境的數(shù)據(jù)遷移、納管和集成等工作：完成原有虛擬化環(huán)境的設備調整、虛擬化遷移、數(shù)據(jù)備份以及涉及業(yè)務系統(tǒng)重新部署、遷移和優(yōu)化。2數(shù)據(jù)庫安全溯源系統(tǒng)一臺產(chǎn)品類別產(chǎn)品參數(shù)備注國產(chǎn)化數(shù)據(jù)庫安全溯源系統(tǒng)一、硬件及性能參數(shù)高度2U，千兆光口≥4個，千兆電口≥8個，USB接口≥2個，Console口≥1個，擴展槽≥2個。硬盤≥2T。內存≥16G。SQL處理能力≥20000條/秒，入庫量≥10000條/秒。采用國產(chǎn)化CPU。二、軟件功能特性數(shù)據(jù)庫兼容性：支持Oracle、SQLserver、DB2、MySQL、Cache、Sybase、Informix、Teradata、PostgreSQL、Hive、MongoDB、HANA、HBASE、ES、CacheWeb、Solr、HDFS、Redis、EsgynDB、Tibero、SSDB等國際主流數(shù)據(jù)庫。支持DM7、神通、人大金倉、南大通用、湖南上容、浪潮KDB、HWMPP、翰高等國產(chǎn)數(shù)據(jù)庫。系統(tǒng)兼容性：能夠與VMware、Hyper-V、OpenStack、CloudStack、KVM、Fusion等云平臺管理系統(tǒng)或第三方的云管理平臺進行無縫集成。服務發(fā)現(xiàn):支持掃描網(wǎng)絡中的開放的服務，自動發(fā)現(xiàn)網(wǎng)絡中存在的數(shù)據(jù)庫系統(tǒng)，能夠能夠對這些數(shù)據(jù)庫系統(tǒng)進行安全審計。數(shù)據(jù)發(fā)現(xiàn)：支持自動發(fā)現(xiàn)敏感數(shù)據(jù)如身份證號、銀行賬號等信息，便于進行用戶權限控制，支持將掃描到的敏感表信息進行導出。SQL注入特征庫：內置SQL注入特征規(guī)則庫，特征庫存儲常見的SQL注入行為特征規(guī)則，支持特征規(guī)則自定義配置，支持策略修正配置。危險操作規(guī)則配置：內置危險操作規(guī)則庫配置，包括賬戶管理操作（Createuser、Alteruser、dropuser等），授權管理操作，業(yè)務對象操作（Truncattable，droptable），業(yè)務代碼操作（修改Package，刪除view，沒有where條件的update操作，沒有條件的delete操作）等，支持自定義配置，支持策略修正配置。策略自學習：支持自學習功能，能夠基于自學習機制的模型策略，審計未授權的客戶端ip地址，未授權的表操作訪問、未授權的數(shù)據(jù)庫用戶、未授權的特權操作等。審計粒度：支持SQL命令的細粒度審計和分析，并記錄詳細的用戶行為信息，包括該語句執(zhí)行的時間、機器名、用戶名、IP地址、MAC地址、客戶端程序名以及SQL語句等信息，對數(shù)據(jù)庫操作進行審計，可對查詢，新增，修改，刪除等行為進行監(jiān)控。敏感日志模糊化：支持將審計日志的敏感字段進行模糊化處理，防止敏感數(shù)據(jù)泄露。超長語句解析：支持跨包的SQL語句進行拼接功能，能夠完整解析與審計超長SQL語句（超過1460字節(jié)），屏蔽逃逸審計通道。入侵檢測：支持對網(wǎng)絡中存在的SQL注入、緩沖區(qū)溢出、權限提升等漏洞攻擊行為進行審計和告警。審計告警：根據(jù)客戶端IP、客戶端操作系統(tǒng)主機名、客戶端操作系統(tǒng)用戶、客戶端MAC、客戶端工具，sql語句等精細組合對數(shù)據(jù)庫敏感行為預設警報策略，并能夠為特定的審計需求自定義審計規(guī)則。狀態(tài)監(jiān)控：支持查看數(shù)據(jù)庫系統(tǒng)的監(jiān)視器信息、軟件版本信息、補丁信息、表空間情況、會話信息、回退信息、權限等信息來判斷數(shù)據(jù)庫系統(tǒng)運行是否正常，保證數(shù)據(jù)庫系統(tǒng)的可用性和響應能力。口令風險掃描：支持檢測數(shù)據(jù)庫賬戶是否存在弱口令，提供口令格式校驗，口令有效期檢測，口令修改間隔時間檢測，口令攻擊檢測等功能。授權風險掃描：支持掃描以下風險：數(shù)據(jù)庫鏈接信息的訪問權限，默認的系統(tǒng)表空間，public對象權限設置，public系統(tǒng)權限設置，被授予管理員權限的角色，connect角色授權，resource角色授權等。系統(tǒng)風險掃描：支持掃描以下系統(tǒng)風險：數(shù)據(jù)庫表級訪問的安全性設置，SGA共享池分配私有空間的限制，每次調用讀入的數(shù)據(jù)塊數(shù)目的限制，一次會話讀入的數(shù)據(jù)塊總數(shù)的限制，是否啟用資源限制等數(shù)據(jù)庫系統(tǒng)配置等。日志歸檔：支持按時間范圍進行數(shù)據(jù)備份，支持自動與手動兩種備份歸檔方式。日志備份：支持通過FTP\SFTP將日志及系統(tǒng)備份和報表備份數(shù)據(jù)外發(fā)到其他存儲設備。日志查詢：支持還備份的數(shù)據(jù)，還原之后數(shù)據(jù)可在系統(tǒng)中查詢。HA功能：HA雙機主備自動切換，策略同步、日志同步機制。鏈路聚合：可通過圖形化界面配置鏈路捆綁，無需登錄系統(tǒng)后臺。部署方式：旁路部署模式，Agent探針部署。安全評分：支持針對單個數(shù)據(jù)庫進行安全狀況分析，以分值的形式動態(tài)展現(xiàn)數(shù)據(jù)庫當前狀態(tài)。WEB管理：支持基于WEB方式的遠程管理方式，采用HTTPS進行安全加密的配置管理。三權分立：提供管理員權限設置和分權管理，提供三權分立功能，系統(tǒng)可以對使用人員的操作進行審計記錄，可以由審計員進行查詢，具有自身安全審計功能。多用戶：支持多用戶管理模式，可以指定新的安全賬號管理指定的數(shù)據(jù)庫。3.TAP交換機一臺硬件參數(shù)整機吞吐量≥100Gbps。接口具備萬兆光口≥24個，千兆電口≥2個。工作模式旁路模式支持旁路監(jiān)聽分析模式。應用協(xié)議識別識別數(shù)量支持常用協(xié)議總量大于1200種。

1、支持對2～7層流量的識別能力，特別是針對第7層的應用識別能力，能夠識別主要應用協(xié)議，并逐級細分P2P下載、網(wǎng)絡視頻、網(wǎng)絡電話、游戲、HTTP協(xié)議的子類別和具體客戶端名稱，比如HTP協(xié)議---Web視頻---土豆、網(wǎng)絡游戲---移動游戲等。

2、支持國內各類常見協(xié)議>=1000種，其中大型游戲>=300種，移動APP應用>=30種（將持續(xù)新增至>=200種移動APP應用），現(xiàn)網(wǎng)協(xié)議識別率>=95%。協(xié)議識別支持DPI、DFI、節(jié)點跟蹤、主動探測、加密分析等多種技術。

1、對已經(jīng)采用加密技術的P2P類應用比如BT、迅雷、Skype、eDonkey、Qvod、PPFilm、百度影音等精確識別。

2、可以區(qū)分迅雷、網(wǎng)際快車等下載工具的HTTP下載和IE瀏覽器下載。

3、支持“迅雷增強識別”，大幅度改進對迅雷加密流量識別。

4、支持“P2P智能識別”，大幅度改進P2P加密協(xié)議識別。

5、協(xié)議精細分類且必須包含：移動瀏覽器（如iPhone手機上網(wǎng)）、應用商店（如安卓市場、手機報等）、云服務、網(wǎng)絡支付（招商銀行、興業(yè)銀行等）、移動游戲（手機游戲、iPad游戲）。虛擬身份識別支持虛擬身份的識別，如QQ號碼、MSN帳號、POP3帳號、新浪微博、百度貼吧等。特征庫更新支持在線狀態(tài)下的特征庫的更新升級。識別準確率現(xiàn)網(wǎng)識別準確率在95%以上。業(yè)務識別率現(xiàn)網(wǎng)業(yè)務識別率在95%以上。自定義協(xié)議支持自定義協(xié)議、自定義協(xié)議組。分流管理流量復制轉發(fā)支持基于策略的流量復制轉發(fā)，策略條目數(shù)不低于65535。支持基于端口輸入\輸出雙向的流量復制。支持基于IP五元組、VLAN的流量復制。支持基于應用協(xié)議的流量復制。支持基于協(xié)議群組的流量復制。支持基于域名的流量復制。支持基于時間的流量復制策略調度。支持基于指定輸出接口轉發(fā)。支持對多個策略組進行調度，多個策略組可以同時生效。支持兩級策略匹配，先匹配策略組，后匹配策略，實現(xiàn)策略的高度靈活性、高效率，方便維護。支持多條策略的一鍵“啟用”、“禁用”和“刪除”功能。負載均衡支持全局同源同宿負載均衡。支持端口健康狀態(tài)監(jiān)測，實時檢測后端監(jiān)控分析系統(tǒng)的健康狀態(tài)，當設備宕機，立即停止數(shù)據(jù)轉發(fā)，進行負載均衡組內的數(shù)據(jù)負載均衡轉發(fā)。支持負載均衡輸出到指定的單個或多個輸出端口組，端口組支持輸出流量權重配比。報文剝離支持內/外層VLAN、MPLS、GRE、VXLAN、PPPoE報文的識別和外層頭部去封裝。流量監(jiān)控統(tǒng)計實時流量分析支持實時顯示設備接入的流量信息（上行，下行，連接數(shù)）。支持實時顯示每個接口的流量信息（上行，下行，連接數(shù)）。支持實時顯示某個應用下的Top用戶。支持實時顯示當前所有在線IP用戶數(shù)。支持按組織架構方式展示IP用戶信息。支持實時顯示當前所有連接數(shù)信息。支持實時顯示IP用戶畫像信息（按IP進行用戶畫像，關聯(lián)MAC、移動終端、流量大小、連接數(shù)、應用協(xié)議、連接信息、對端服務信息、虛擬身份等信息進行關聯(lián)）。支持實時顯示應用協(xié)議畫像信息（按協(xié)議進行協(xié)議畫像，關聯(lián)協(xié)議訪問的流量趨勢，訪問IP用戶，連接排名，流量大小，連接數(shù)節(jié)點信息等進行關聯(lián)分析和展示）。支持實時顯示接入流量的TOPIP信息。支持實時顯示接入流量的TOP應用協(xié)議信息。支持實時顯示接入流量的TOP連接信息。支持實時顯示每一個IP流量速率和當前各個應用的速率明細。流量統(tǒng)計分析支持提供整個系統(tǒng)、各鏈路的流量和連接數(shù)統(tǒng)計圖表。支持提供最近10分鐘流量、累計流量、并發(fā)連接數(shù)統(tǒng)計圖表。支持實時顯示各協(xié)議組的當前速率、連接數(shù)等統(tǒng)計信息，自動刷新。支持顯示最近一天、最近一周和最近一月的流量趨勢圖表。支持顯示上行流量、下行流量、并發(fā)連接數(shù)的“三日對比”趨勢圖。支持TOP應用排序。支持TOP用戶排序。支持實時顯示每一個IP流量速率和當前各個應用的速率明細（如同時在線60萬IP用戶）。支持實時顯示某個IP的當前速率及連接明細，以便于異常流量診斷。支持對IP對應的身份信息，如QQ號碼、MSN帳號、POP3帳號、微博帳號等。支持基于應用速率、流量和連接數(shù)等條件進行排序。可提供在線并發(fā)連接、連接新建和刪除速率等數(shù)據(jù)的趨勢圖表?？商峁┰诰€IP數(shù)和共享用戶趨勢圖表?？蛇x擇兩個或多個應用協(xié)議進行趨勢圖分析對比?？商峁皯梅至鳌鼻昂蟮乃俾蕦Ρ取ＶС帧耙苿咏K端”信息統(tǒng)計，包含手機類型、訪問IP和時間等。支持TOP連接排序，可以指定應用和IP條件進行IP（內網(wǎng)IP和外網(wǎng)IP均可）連接數(shù)排名統(tǒng)計，以快速定位攻擊或被攻擊IP。支持通過趨勢圖方式顯示網(wǎng)絡數(shù)據(jù)包PPS（PacketPerSecond）的趨勢。支持通過趨勢圖方式顯示TCPSYN數(shù)據(jù)包和SYN+ACK數(shù)據(jù)包的PPS（PacketPerSecond）的趨勢。增加顯示流量所匹配具體的某條策