阜新市加油站智慧管理云平台服务项目招标公告

一、服务需求

1.1．智慧管理云平台应用软件数据采集

★1.加油机明细数据采集服务：主要采集加油机编号、加油枪编号、加油量、加油金额、加油单价、油品种类、加油时间、上报时间等数据。

★2.液位仪数据采集服务：采集罐油高、水高、油温、油水体积、进油量等数据。

★3.出入口AI视频采集：车牌识别、车型识别、进站时间、出站时间等数据。

★4.卸油口AI视频采集：油罐车车牌识别、罐车进站时间、罐车出站时间等数据。

▲5.加油区AI视频采集：对进入加油区的车辆实时进行视频捕捉采集，并实时监测加油站车辆行为、加油员行为、加油区状态等数据（须提供软件平台截图并加盖投标人公章）。

6.运维数据监测：物联网信号强度、供电电压、设备工作温度等数据。

1.2．智慧管理云平台应用软件功能

1.GIS地理信息系统：基于 GIS 系统的油站地图信息功能，能够可视化展示全市油站分布，支持缩放定位；鼠标触图标显核心信息悬浮窗，色彩区分油站不同状态；点击图标可查看油机、油枪详情，为监管提供便利。

2.实时数据管理系统：实时监测物联网加油数据、AI行为数据、车流量数据、液位数据、进油数据、油罐车数据、AI视频等数据，并支持按照时间维度查询与数据导出。

4.一站式服务管理平台：一屏概览油站信息、设备在线率、告警统计、物联网数据、AI综合数据及实时监控；油品销量统计；油品价格走势；车流量趋势分析；告警详情等。

5.预警与告警风险管理系统：具备设备离线、油量异常、信号强度异常、电压异常、价格波动异常等多种告警类型。并支持查询统计当前告警、历史告警，设备预警和告警信息。

6.工单管理系统：工单发布、工单管理与工单状态管理。

7.可视化看板：通过数据看板，实时展示物联网看板、告警心电图看板、AI数据看板。看板内容包括但不限于辖区内加油站经营数据、加油站GIS地图，告警数据、加油站详情数据等。通过可视化看板可全面掌握辖区内的平台运行情况。

8.日志管理系统：实时展示平台所有用户的操作记录，包括浏览页面，用户操作，停留时间与时长，日志查询。

9.权限管理系统：角色管理，用户管理，密码管理；菜单权限管理，数据查询权限管理等管理。

10.视频监控系统：视频播放、调阅、回放、算法管理、端云协同。

11.AI算法与建模：AI算法与建模系统可实时精准解析车辆、加油人员提挂枪行为、加油机状态等数据；加油站AI模型、加油机AI模型、AI计算算法；大数据建模与分析。

12.配置管理系统：权限管理、密码管理与角色管理。

13.多维数据交叉验证系统：AI加油量、AI加油金额、AI加油次数与物联网加油量、物联网加油金额与物联网加油次数交叉对比；车流量数据与加油数据；油罐车数据与液位数据。

14.确认式申报系统：平台将加油站每日加油数据推送至加油站，由加油站相关负责人确认或反馈平台监测数据是否与加油站销售数据一致，平台能够对确认结果进行统计与分析，提升加油站法人的纳税遵从度。

1.3．智慧管理云平台应用软件核心功能

★1.经营分析：实时采集加油站购油量、油品；加油机销售量、销售金额、车辆、加油行为、加油区状态、油罐车辆等关键数据，并形成采购和销售日报表，月报表，年报表；多种数据比对报表，为税务部门提供征税数据。建立油品购销台账，建立油品来源和销售去向数据，供市场监督部门进行计量监管，维护消费者合法权益。加油站进油、存储、销售报表，实现实时动态监管，提供商务局实时查看加油站日常运营情况，精准开展成品油市场整治活动，提高监管效能。

2.AI数据分析：

★（1）通过安装AI摄像机，实时监测加油站进出车辆情况，精准计算加油站日均车流量。

▲（2）利用平台的物联网、AI图像视频等数据，进行AI大数据建模，对加油车辆实现进出站加油的全流程监管，包括但不限于：油站名称、油品、油机编号、油枪编号、加油金额、加油量、车牌号、车牌地区、车牌颜色车辆类型、车辆照片、时间等信息（须提供国家认可的第三方检测机构出具的检测报告复印件并加盖投标人公章）。

▲（3）油罐车车辆信息抓取，对进入卸油区的油罐车进行视频捕捉并实时解析，解析信息包括但不限于油罐车车牌号、车牌颜色、车辆颜色等（须提供国家认可的第三方检测机构出具的检测报告复印件并加盖投标人公章）。

▲（4）AI人工智能算法对加油区状态、人员行为、车辆行为进行实时解析，得到车辆加油开始、车辆加油结束照片，并综合油站名称、油机、油枪、起始时间、结束时间形成完整的AI行为数据（须提供国家认可的第三方检测机构出具的检测报告复印件并加盖投标人公章）。

▲（5）从单位、油站两个维度对AI与物联网加油数据进行相互交叉印证，对比信息包括但不限于：AI综合油量、物联网油量、AI未匹配油量、AI综合金额、物联网金额、AI未匹配金额、AI综合次数、物联网次数、AI未匹配次数、差额百分比、日期等（须提供国家认可的第三方检测机构出具的检测报告复印件并加盖投标人公章）。

▲3、系统诊断实时告警：当出现设备离线、加油量异常、设备断电、设备开盖、设备断线、设备位置移动、摄像机离线等问题时，系统自动报警。所有报警，监管平台实时展示，同时将告警位置、告警信息等以短信形式通知相关人员，以便及时到达现场进行处置。系统对历史报警信息进行综合分析分类统计，报警信息可历史追溯（须提供国家认可的第三方检测机构出具的检测报告复印件并加盖投标人公章）。

▲4、数据对比告警：AI加油行为数据和物联网加油数据比对异常，实现每两个小时预警一次，通过管理平台查看加油站实时监控画面，告警情况利用柱状图或折线图在大屏幕进行实时展示，利用短信发送给需求部门管理人员及时进行处理（须提供国家认可的第三方检测机构出具的检测报告复印件并加盖投标人公章）。

5.数据自动续传：在网络故障排除后，物联网系统数据传输支持网络恢复后自动续传功能，自动续传的加油数据与实际记录数据一致，确保数据不丢失。服务设备存储能力能够自动保存2个月以上数据。

6.远程监管：本系统可以通过手机APP，向公安、应急管理发送站区影像数据，便于快速了解现场信息。

★7.多权限管理：根据不同部门、辖区、人员，分别设定不同的权限，并且记录各个账号的操作记录，确保账号与数据安全。

8.远程升级：所有服务支持远程升级，降低维护成本，提升维护效率。

1.4．智慧管理云平台应用软件平台性能

1.并发用户指标。并发用户数≥1000个。

2.平台稳定性指标。系统有效工作时间要求≥99.5%；Web服务持续稳定工作时间7×24小时。

3.业务处理能力性能指标。在业务高峰时，每分钟能够同时处理≥1000笔数据维护更新操作；≥1000笔的数据查询操作。在500个并发用户访问时，确定条件的信息查询响应时间小于2秒钟；每笔业务的响应时间在2秒以内；登录要求响应时间在2秒以内。

1.5．智慧管理云平台应用软件平台安全

1.登录控制：应用软件系统提供专用的或采用统一的登录控制模块对用户身份标识和鉴别。

2.用户口令：用户口令长度≥6个字符，口令为大写字母、小写字母、数字、特殊字符中三种或三种以上组合。

3.权限管理策略：应用软件系统仅允许授权的管理员配置访问控制策略，并根据访问控制策略限制用户对客体的访问权限。

4.会话终止机制：30分钟内用户未做任何响应时，服务器自动结束会话。

5.渗透安全：系统无明显可利用的安全漏洞。

6.端口安全：系统未开放高危端口和无关端口。

AI推理大模型服务技术要求

▲1.处理芯片：支持国产主流的计算芯片。

▲2.CV模型：基于CV大模型，可实现检测加油事件的起始和结束。（须提供相关功能截图并加盖投标人公章）

▲3.实时推理：支持摄像头直接接入，实时推理，模型算法支持二次开发。

4.视频接入：视频接入平台支持RTSPS、HTTPS和SRTP等加密传输。支持Onvif协议接入，支持 HOLO SDK私有协议接入。

▲5.视频分析：视频分析平台支持异构资源池的池化兼容管理，支持不同的资源池之间资源异构，包括主流GPU、NPU芯片，具有开放性，支持三方算法托管，提供图片和视频算法两种纳管模式。

▲6.AI算法迭代：云边协同，将算力下沉至边缘，降低视频数据传输的带宽和处理压力，满足算法服务的边缘业务低时延、高可靠、数据本地化等诉求。同时云上算法的更新可以同步到边缘节点，实现算法在线升级（须提供官网截图并加盖投标人公章）。

物联网实时数据采集服务

整体技术要求如下：

（1）系统适用性：能及时准确采集本区域所有加油站的加油机、液位仪实时数据，并通过安全网络上传平台。采集数据的同时不影响加油站正常营业。

（2）数据安全：采集数据直接传输至管理平台，数据存储采用加密算法。数据传输过程确保安全可靠，数据加密传输，支持国密算法加密或量子加密，支持数据加解密。

（3）易维护性：平台产品支持本地升级。

（4）设备安全性：通过电磁兼容测试、防爆安全认证，符合相关国家标准，确保在设备安装后加油机安全运行和计量性能准确可靠。

（5）防作弊能力：可规避加油机主板、业务系统等作弊手段，能够抵御无线干扰，防止数据流失，具备离线告警、误传告警、数据异常查询等功能。

1.6．加油机数据采集服务

1.数据接口服务：支持2路以上RS232接口，支持4路以上脉冲采集通信接口

★2.数据传输：支持4/5G网络直连

★3.数据加密：支持数据传输加密、存储加密，将加密数据传输到指定服务器后解密应用，确保数据传输及存储安全

★4.断网续传：数据支持断网缓存90天及以上，网络恢复以后，数据不丢失

▲5.故障诊断：支持信号强度、电压等监测，具备自身故障诊断功能（须提供软件截图并加盖投标人公章）。

▲6.可扩展性：支持模拟量、继电器、RS485等多路扩展接口，可集成现有加油站的监管系统（须提供产品样机图片并加盖投标人公章）。

7.集成度：支持每个加油机≥2把加油枪的数据采集。

▲8.升级服务：支持通过无线网络进行远程升级（须提供软件升级说明并加盖投标人公章）

▲9.升级服务：支持USB本地升级（须提供产品样机图片及升级证明并加盖投标人公章）。

10.供电电压：5-24VDC。

11.工作温度：-20℃~70℃。

12.存储温度：-40℃~85℃。

13.处理器：工业处理器，内置嵌入式操作系统。

14.端口防护：内置电源反相保护和过压保护。

1.7．液位仪数据采集服务

1.数据采集：支持≥2路RS232接口,可同时支持≥8个油罐数据采集服务。

★2.数据传输：支持4/5G网络直连。

★3.数据加密：支持数据传输加密及存储加密。

★4.断网续传：数据支持断网缓存90天及以上，网络恢复以后，数据不丢失。

▲5.故障诊断：支持信号强度、电压等监测，具备自身故障诊断功能（须提供软件截图并加盖投标人公章）。

▲6.可扩展性：支持模拟量、继电器、RS485等多种扩展接口，可集成现有加油站的系统（须提供产品样机图片并加盖投标人公章）。

▲7.升级：支持通过无线网络进行远程升级（须提供软件升级说明并加盖投标人公章）。

▲8.升级：支持USB本地升级（须提供产品样机图片及升级证明并加盖投标人公章）。

9.供电电压：5-24VDC。

10.工作温度：-20℃~70℃。

11.存储温度：-40℃~85℃。

万兆核心交换服务

提供满足城域网与核心机房相关设备之间高速数据需求的万兆核心交换服务，实现设备之间的高速互联，为服务器、存储设备和其他网络设备提供快速的数据传输通道。

★1.交换容量：交换容量≥102 Tbps，包转发率≥76800 Mpps（如数值为区间值，以小值为准）；

★2.单板槽位：主控板槽位≥2，业务板槽位≥4；

3.认证方式：支持 802.1X、Portal、MAC 认证方式；

4.路由协议：支持 RIP、OSPF、ISIS、BGP、RIPng、OSPFv3.ISISv6.BGP4+等路由协议；

5.安全：支持防范 DoS 攻击、TCP 的 SYN Flood 攻击、UDP Flood 攻击、广播风暴攻击、大流量攻击；

6.安全传输：支持 MACsec，提供逐跳设备的数据安全传输；

★7.配置要求：单台实配：双主控板，千兆电口48个，万兆光口48个，万兆多模光模块20个，万兆单模光模块4个，双交流电源，万兆堆叠线缆2条。

▲8.国产芯片：设备的CPU为厂商自研国产芯片（须提供国家认可的第三方检测机构出具的检测报告复印件并加盖投标人公章）。

▲9.主控双活机制：支持主控双活机制，运行时主控 1:1 热备，主备主控倒换时间？于5ms（须提供国家认可的第三方检测机构出具的检测报告复印件并加盖投标人公章）。

边界安全服务

提供满足安全防护要求的网络安全服务，位于内部网络和外部网络之间，根据预设的安全策略对进出网络的数据包进行过滤和检查，阻止未经授权的外部访问，防止黑客攻击、恶意软件入侵等安全威胁。

★1.性能：防火墙吞吐量≥100Gbps，最大并发连接数≥5000万，每秒新建连接数≥150万；

★2.接口 ：接口要求：≥2个100GE端口，≥2个40G端口，≥8个25G端口，≥20个10GE SFP+端口；

★3.存储空间：支持日志本地存储空间≥240GB;

4.电源冗余：支持冗余交流电源

5.功能要求：支持防火墙、VPN、入侵防御、防病毒、带宽管理、Anti-DDoS、URL过滤等多种功能；

6.安全策略：支持基于VLAN ID、五元组、安全域、地区、应用和时间段等维度对流量进行管控，并同时进行内容安全的一体化检测；

7.路由协议：支持RIP、OSPF、BGP、IS-IS、RIPng、OSPFv3.BGP4+、IPv6 IS-IS等动态路由协议；

8.加密算法：支持DES、3DES、AES、SHA、SM2/SM3/SM4等多种加密算法；

9.流量检测：支持僵尸网络、木马、蠕虫、远控工具、间谍软件等恶意程序软件及相关恶意流量的检测；

10.用户授权：支持IPSec VPN、SSL VPN、GRE等，提供100个SSL VPN并发用户授权；

11.配置 单台实配：双交流电源，万兆多模光模块≥8个，万兆单模光模块≥2个，IPS、AV、URL特征库升级许可3年；

▲12.国产芯片：CPU为厂商自研国产芯片（须提供国家认可的第三方检测机构出具的检测报告复印件并加盖投标人公章）。

出口安全服务

★1.性能：防火墙吞吐量≥35Gbps，最大并发连接数≥2000万，每秒新建连接数≥50万；

★2.接口：千兆Combo接口≥8，千兆电口≥4，万兆光口≥10；

★3.存储空间：支持本地存储SSD硬盘容量≥240GB；

★4.电源冗余：支持冗余交流电源；

5.功能要求：支持防火墙、VPN、入侵防御、防病毒、带宽管理、Anti-DDoS、URL过滤等多种功能；

6.路由协议：全面支持IPV4/IPV6下的多种路由协议，如RIP、OSPF、BGP、IS-IS、RIPng、OSPFv3.BGP4+、IPv6 IS-IS等；

7.反病毒：支持HTTP/FTP/SMTP/POP3/IMAP4/NFS/SMB等协议的文件病毒检测；

8.入侵防御：支持漏洞攻击防护、Web攻击防护、僵尸网络/远控/木马等恶意流量的检测，支持基于用户行为的暴力破解检测；

9.部署方式：透明、路由、混合部署模式，支持主/主、主/备 HA特性；

★10.配置要求：单台实配：固态硬盘≥240G，双交流电源，万兆多模光模块≥6个，万兆单模光模块≥4个，IPS、AV、URL特征库升级许可3年；

▲11.国产芯片：CPU为厂商自研国产芯片（须提供国家认可的第三方检测机构出具的检测报告复印件并加盖投标人公章）。

核心配置管理服务

提供满足核心机房内的网络设备集中管理和配置需求的配置管理服务。满足路由交换服务、万兆核心交换服务、网络安全服务等参数设置、软件升级、故障诊断等操作，提高设备管理的效率和便捷性。

1.支持软件：支持方德、UOS、麒麟操作系统，支持Windows7.10.11操作系统，支持RedHat、CentOS、Ubuntu商用Linux操作系统；

2.CPU：≥3.0G Hz，≥8核，≥16线程；

3.主机性能：内存：≥16G DDR4,最大支持≥256G。存储：≥512G SSD或2T HDD。板载≥4x SATA3.0接口。板载≥1x NVMe M.22280连接器(PClex2信号)接口；

4.电源：≥400W,支持冗余电源；

5.视频接口：支持≥双路显示输出。≥1xHDMIOut,支持最大分辨率≥3840x2160；≥1xVGA,支持最大分辨率≥1920x1080；

6.网络接口：≥4x LAN (10/100/1000M RJ45)；

7.串行接口：≥2xCOM(RS232/RS422/RS485)；≥10xCOM(板载插针 RS232)。

AI智能视频采集服务

1.硬件能力：本次视频采集设备传感器分辨率≥2560(H)*1440(V)，传感器靶面≥1/1.8英寸，便于更好识别加油车和人；

▲2.视频采集设备须具备AI能力，内置≥1个CPU、GPU、NPU—体化芯片；

3.适应能力：满足站内照度要求：最低照度：彩色：≤0.0002Lux，黑白：≤0.0001Lux；视频采集设备须内置补光灯，红外补光距离≥100m；

4.视频采集设备应具备良好的自适应能力，满足站内多场景变化，支持自动识别背光、运动速度、雾（雨）天、正常等场景，并能在＜1s的时间内快速自适应调整相应的图像参数；

5.智能识别：视频采集设备支持站内车流量检测、车头时距、车头间距、车辆类型、排队长度等指标，并可生成图表，便于油站数据统计；

▲6.视频采集设备应具备车辆、车牌识别能力，识别不低于5种车牌颜色、14种车牌、12种车身颜色、24种车型、250种车标识别、5600种车辆的品牌、二级子款、年款和车辆类型等信息；

7.算法应用：视频采集设备应为开放架构，支持快速集成智能算法或应用APP，可以独立升级；支持智能算法模块动态加载，加载过程中，视频业务不中断；

8.提供接口：具有不少于以下接口：1个RJ45以太网口、1个通用半双工RS485接口、2路报警输入/1路报警输出、1路音频输入、1路音频输出、1个SD卡接口、1个复位按键；

9.供电方式：支持DC12.POE；

10.防护等级：IP67；

11.配套：提供壁装支架。

POE视频交换服务

★1.交换容量：交换容量≥520Gbps,包转发率≥102Mpps（如数值为区间值，以小值为准）;

2.散热方式：为了提高设备散热的可靠性，支持风扇散热;

★3.供电方式：支持交流电源供电;

4.工作环境：设备运行时，环境温度最高≥65℃，最低≤零下40℃;

★5.接口配置：提供≥8个10/100/1000Base-T以太网端口，≥4个万兆SFP+端口；

★6.功率控制：要求上述以太网电口均支持POE+，PoE端口提供的总功率≥120W;

7.配置和维护 支持MAC表项≥32K;

8.支持802.1X/MAC等多种认证方式;

9.支持静态路由，支持RIP、RIPng、OSPF、OSPFv3.VRRP、VRRP6.路由策略、策略路由;

10.安全防护：支持防DOS、ARP攻击、ICMP防攻击、CPU保护；

11.故障倒换：支持G.8032（ERPS）标准以太环网协议，故障倒换收敛时间毫秒级；

12.支持协议：支持SNMP v1/v2/v3.Telnet、RMON、SSHv2；

★13.光模块：单台实配：千兆单模光模块≥2个。

▲14.快速 POE ：POE可控交换机支持快速PoE（须提供产品彩页并加盖投标人公章）。

▲15.永久POE：POE可控交换机支持永久PoE（须提供产品彩页并加盖投标人公章）。

▲16.国产芯片：POE交换服务的关键组件（CPU和转发芯片）为厂商自研国产芯片（须提供国家认可的第三方检测机构出具的检测报告复印件并加盖投标人公章）。

AI视频推理计算服务

CPU 和操作系统等关键部件应当符合安全可靠测评要求，验收时须通过政府有关部门指定的中国信息安全测评中心和国家保密科技测评中心网站查看安全可靠测评结果。

▲1.CPU：≥2颗48核CPU芯片处理器，单颗CPU主频≥2.6GHz

▲2.内存：配置≥16个内存插槽，配置RDIMM DDR4 512G内存，工作频率≥2900MHz；内存保护支持ECC、SEC/DED、SDDC、Patrol scrubbing功能；

▲3.AI加速卡：支持≥7张推理卡，单卡算力≥140T；单卡半精度，FP16算力≥70 TFLOPS以上；单卡内存规格要求：容量不小于24 GB，支持ECC；内存带宽不低于204GB/s；

4.本地存储：配置≥2个960GB SSD硬盘，≥3个8TB SATA硬盘；

5.RAID支持、：RAID 0/1/10/5/50/6/60等，4GB cache，配置超级电容；支持iBMC带外管理；

6.PCIe：PCI-E 插槽总数≥8个；

7.电源：≥2个热插拔2000 W交流电源模块，支持1+1冗余备份

8.网卡：配置≥4个千兆网口，≥4个万兆光口（带光纤模块）；支持PXE；

▲9.国产品牌

10.其它接口：≥4个USB3.0端口、≥2个VGA端口、不低于1个串口、不低于1个管理端口;

11.管理功能：配置管理网口/管理软件，支持IPMI/IP KVM;

▲12.内存加固：配置独立的内存加固卡架，具有自主知识产权，符合苛刻环境使用标准，确保板卡接触稳定（须提供国家认可的第三方检测机构出具的检测报告复印件并加盖投标人公章）。

AI智能视频录像机服务

1.处理器：内置≥64位多核处理器，内存≥8GB，内置≥32GB eMMC

2.视频接入：≥128路网络视频接入，≥512Mbps视频输入带宽，≥512Mbps视频转发带宽，≥160Mbps视频回放带宽

3.算力：整机算力≥1TOPS

4.视频存储：支持≥16个SATA磁盘接口，单盘容量支持不少于4TB/6TB/8TB/10TB/16TB，单台容量配置不少于16*16T。

5.混合存储：支持视频流或图片流直存，支持视频流和图片流混合存储

▲6.RAID5：支持RAID5组失效,即大于N块硬盘同时损坏（N ≥3，小于RAID组硬盘总数），允许数据读取且能实现历史数据视频基本可查看。多块数据盘损坏后新盘插入，RAID组自动恢复读写状态。

7.AI算法：支持人脸视频、人脸图片、机非人视频、行为分析视频算法：多算法支持按通道配置，支持算法按需切换；支持多种算法并行使用。

8.视频分析：支持对前端接入的实时视频流进行分析，支持不少于2路视频流进行人车混合分析

▲9.数据安全：支持保险箱功能:将系统盘关键数据备份到数据盘中，并产生多份拷贝。关键数据包括数据库、配置文件及录像索引文件等涉及系统正常运行的数据。支持系统重装后软件通过手动选择从数据盘中找出关键数据，恢复到故障前状态。

10.接口：支持不少于如下接口：2个网口，1路音频输入，1路音频输出，3个USB接口，2个HDMI接口，16路报警输入，4路报警输出。

11.供电：支持100V~240V AC供电，工作温度-5℃~55℃。

云服务技术要求

1.8．云资源

提供满足本区域加油站所需的私有云平台：

（1）CPU：≥32核 ；内存：≥96GB；

（2）硬盘：≥2000G；

（3）对象存储：≥110T；

（4）数据存储：存储3年及以上加油站经营数据。

为契合云平台的安全需求，提供满足云的安全组件，这些组件将协同工作，为云平台提供多层次、全方位的安全防护。提供云平台所需硬件产权归属供应商所有。云服务涉及设备中的CPU 和操作系统等关键部件应当符合安全可靠测评要求。

1.9．云安全

云主机安全服务

支持windows/linux主流操作系统（包括但不限于以下）1.Windows Server 2003.2008.2012.2016.2019；2.Windows 7.Windows 10.Windows Vista；3.RedHat Enterprise Linux 6.0-7.7.CentOS6.0-7.7.Ubuntu 10.04-18.10.SUSE 11.12.15 、中兴新支点NewStart、BC-linux、Oracle Serve、Deepin、RE-DCOS、NeoKylin Linux等操作系统。

提供主机管理及终端管理功能，包括支持对主流虚拟化平台导入功能，非虚拟化平台支持可支持单台计算机或网段IP导入。支持对终端提供分组管理、安全策略配置、安全功能防护、特征库更新、客户端程序更新等功能。

采用主动的方式进行自动化病毒查杀，可支持Bitdefender、QOWL、云查杀、支持灵活开启或停用引擎；支持病毒文件自动隔离、自动删除、修复、监控多种处理方式。支持病毒查杀的结果生成报告。

支持快速扫描、全盘扫描；支持个性化扫描，可以提供不同路径、不同文件类型、时间等进行自定义病毒扫描查杀。针对压缩文件处理，支持压缩文件数量、压缩层级、压缩包大小进行精确扫描，系统除文件、文件夹例外，还需支持单独的病毒黑白名单的管理运维。

具有webshell扫描引擎功能，支持PHP、JSP、ASP、ASPX等文件的恶意webshell检测，支持对webshell文件设定白名单，支持对文件进行下载、隔离、恢复加白操作，避免对网站核心系统文件造成影响。

支持入侵防御功能，可针对出入虚拟机的流量进行检测识别，防御网络攻击及入侵行为，需覆盖系统、数据库、应用漏洞、防勒索、防挖矿等多种类型防御规则，防御规则支持严格、高、中三种预定义级别，需支持虚拟补丁功能。

云防火墙服务

支持全面的NAT转换配置，包括一对一，一对多，多对一的源、目的地址转换。

设备接口支持配置IPv6地址，并可使用IPv6地址管理设备；支持IPv6手动及自动的IP/MAC探测及绑定；

支持基于源安全域、目的安全域、源用户、源地址、源地区、目的地址、目的地区、服务、应用、隧道、时间、VLAN等多种方式进行访问控制。

支持自定义TCP、UDP、HTTP协议的漏洞特征，漏洞特征可通过多个字段以文本或正则表达式的形式进行有序和无序匹配，并可自定义漏洞的源、目的端口范围；同时可标识自定义漏洞的CVE编号或CNNVD编号。

云web应用防火墙服务

支持HTTP访问控制，可根据实际网络状况自定义请求方法等参数的访问控制规则，过滤非法请求

支持HTTPS防护

支持应能识别和阻断注入攻击

对网页请求/响应内容中的非法关键字进行检测、过滤

支持恶意代码攻击、错误配置攻击、隐藏字段攻击、参数篡改攻击、缓冲区溢出攻击防护

提供多种威胁处理方式：返回错误码、重定向、封禁等

支持规则库离线升级和在线升级

云堡垒机服务

支持SSH、RDP、VNC、Telnet、FTP、SFTP、DB2.MySQL、Oracle、SQL Server、Rlogin等协议

支持资源自动发现，可自动发现设置的IP范围内的资产，并且可以指定端口

支持用户的IP地址（黑名单或白名单）和MAC地址限制（黑名单或白名单）限制，非法地址无法登录

访问图形协议资源时，支持分辨率设置

支持堡垒机推送账户到Linux服务器，通过账户推送，能够自动在服务器创建待推送的账户

详细记录用户登录资源的所有操作，包括：资源名称、协议类型、主机或应用地址、资源账户、起止时间、会话时长、操作用户、来源IP、操作记录、文件传输记录、会话协同记录

支持在线回放会话过程，支持播放速度调整、拖动、暂停、停止、跳过空闲、重新播放等播放控制操作

云数据库审计服务

支持传统的数据库：Oracle、SQL-Server、MySQL、PostgreSQL、达梦等数据库的审计。

支持Telnet、pop3.smtp、nfs协议审计，针对FTP协议，txt文件传输可对其内容进行审计。

支持数据库绑定变量审计、函数审计(sum求和函数等）。

支持超长操作语句审计，针对传统型数据库，支持3万字节审计而不截断。

支持对SQL注入、跨站脚本攻击等web攻击的识别与告警。

管理员登录支持静态口令认证，支持密码的复杂性管理，比如大小写、数字、特殊字符、长度等。

云漏洞扫描服务

集成系统扫描、WEB扫描、数据库扫描、弱口令扫描于一体，且为单独功能模块。

支持对网站进行可用性检测、漏洞检测、篡改检测、身份证信息、银行卡等敏感内容检测、网马和暗链检测、钓鱼网站检测；

支持监控和扫描的网站协议包括：HTTP、HTTPS，Web服务器类型包括：IIS、Websphere、Weblogic、ApacheTomcat、Resin、Nginx；支持编程语言：Asp、Jsp、.Net、J2EE、Php等；支持的第三方组件：WordPress、eWebEditor、FCKeditor、Struts2等。

支持对Windows 、Linux、Unix、中标麒麟、红旗、深度等操作系统主机进行漏洞扫描，支持Vmware EXSi、XenServer等虚拟化平台主机进行漏洞扫描；支持对应用程序、网络设备、安全设备进行漏洞扫描。

支持与微软WSUS补丁系统联动。

支持对Oracle、Mysql、Sqlserver 、Postgresql、Kingbase、Sybase、DB2.Informix、达梦、南大通用、Mongodb、Redis等数据库进行漏洞扫描。

支持对SMB、FTP、POP3.SMTP、SSH、TELNET、SNMP、RDP、redis、Oracle、MSSQL、MySQL、Postgres、HTTP等协议进行在线弱口令扫描。

弱口令扫描支持对windows、linux、Tomcat、mysql、Oracle、weblogic等密码进行离线破解；

支持木马病毒和网站恶意代码扫描检查；

云日志审计服务

支持市面主流安全设备、网络设备、中间件、服务器、数据库、操作系统等设备对象的日志数据采集；

支持主动、被动相结合的数据采集方式；支持日志转发；支持Syslog、SNMP、JDBC、WMI、FTP、文件等进行数据采集；支持通过Agent采集日志数据；

支持日志归一化处理，将不同设备所产生的不同格式的难以理解的日志数据进行统一格式化处理，提炼出有用信息清晰、明确的展示给管理者；

提供TOP10资产事件趋势，支持实时告警数、资产总数、日志事件总数、系统健康状况的图表显示。并支持资产总数、日志事件总数、系统健康状况四项的下钻查看详情；提供首页“进入/退出全屏”显示按键；

支持邮件、声音、syslog、邮件等多种告警方式，支持在全局显示告警提醒；可以针对不同类型、不同种类以及不同安全级别制定不同的告警方式。

云防篡改：

支持对网页篡改、添加、删除进行日志记录，并针对IP、文件、进程、攻击类型进行详细记录；

支持针对时间、IP、主机名文件、进程、攻击类型等进行日志筛选；

支持IIS、Weblogic、Websphere、Apache、Tomcat等服务器；

提供网页防篡改的发布模式，能和主流的CMS系统集成进行内容发布，提供32.64位系统集成；

支持对网站服务器的CPU、内存、收包量、发包量等信息进行实时监控；

支持对网页篡改、添加、删除进行日志记录，并针对IP、文件、进程、攻击类型进行详细记录；

支持针对时间、IP、主机名文件、进程、攻击类型等进行日志筛选；

云防篡改服务

支持Windows、linux等主流操作系统网站防篡改；

支持对网页篡改、添加、删除进行日志记录，并针对IP、文件、进程、攻击类型进行详细记录；

支持针对时间、IP、主机名文件、进程、攻击类型等进行日志筛选；

支持各类网页文件的保护，包括静态和动态网页以及各类文件信息；

支持不依赖访问事件篡改后自动恢复功能，可直接由篡改动作触发恢复机制；

支持对网页篡改、添加、删除进行日志记录，并针对IP、文件、进程、攻击类型进行详细记录；

数据无线传输服务

为物联数据采集终端提供4G和5G无线网络流量，每张物联网卡≥2G/年数据流量。

链路租赁服务

为项目提供到专网的光纤链路专线服务，为数据传输提供网络保障，确保智慧监管平台能够实时、准确地获取数据，为加油站的安全监管和智能化管理提供支持。

（1）链路1

1.带宽：≥100M;

2.接入数量：133条

3.误码率≤10e-9

4.延时：双跨干线时延：0.8ms/百公里；本地网≤10ms。

5.丢包率正常带宽负荷下≤0.1%。

（2）链路2

1.带宽：≥1000M;

2.接入数量：1条

3.误码率≤10e-9

4.延时：双跨干线时延：0.8ms/百公里；本地网≤10ms。

5.丢包率正常带宽负荷下≤0.1%。

（3）链路3

1.带宽：≥100M;

2.接入数量：1条

3.误码率≤10e-9

4.延时：双跨干线时延：0.8ms/百公里；本地网≤10ms。

5.丢包率正常带宽负荷下≤0.1%。

（4）链路4

1、带宽：≥100M;

2、接入数量：1条

3、误码率≤10e-9

4、延时：双跨干线时延：0.8ms/百公里；本地网≤10ms。

5、丢包率正常带宽负荷下≤0.1%。

核心机房托管服务

将本区域加油站核心机房所用到的服务器、存储设备、网络设备等硬件资源托管到专业的数据中心，由数据中心提供物理空间、电力供应、网络连接、环境控制、安全防护等基础设施及运维管理服务。

机柜要求：

1）W×D×H：600mm×1000mm×2000mm

2）数量：5

密码安全防护服务

通过对阜新市加油站智慧管理云平台服务项目功能和密码应用需求进行分析，依据GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》（以下简称《基本要求》），从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面，以及密钥管理、安全管理等方面，对本项目的密码应用技术安全、安全管理和实施保障进行设计。

在充分考虑本项目的密码应用需求，以阜新市加油站智慧管理云平台服务项目整体安全为目标，构建和业务需求相匹配的综合密码安全防护能力，并通过密码安全管理制度落地和加强运维过程中的监测预警能力和应急处置工作，最终全面提升系统综合防护能力。依据GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》，并结合《信息系统密码应用高风险判定指引》、《商用密码应用安全性评估量化评估规则》等指导性文件，从技术和管理所属各个层面进行安全风险分析，得出对本项目密码应用各项需求。

1.10．密码应用技术框架

根据密码应用需求分析，综合考虑网络拓扑和业务功能，在满足总体性、完备性、经济性原则的基础上，通过部署数字证书认证系统、签名验签服务器、IPSec VPN网关、SSL VPN安全网关、安全认证网关、安全浏览器、密码模块（二级）、服务器密码机、国密堡垒机和安全门禁系统、安全视频监控系统，实现对系统各项密码应用需求的响应。

（1）数字证书认证系统：主要为设备/用户的身份鉴别提供真实性、身份验证、签名验签等信任服务。

（2）签名验签服务器：提供基于PKI体系和数字证书的数字签名、验证签名等运算功能，保证用户身份的真实性、完整性和关键操作的不可否认性。

（3）IPSec VPN网关：提供通信前通信双方身份鉴别、通信数据传输机密性、完整性保护等功能，对设备在通信前进行双向身份鉴别，保证通信通道的机密性、完整性。

（4）SSL VPN安全网关：主要用于在网络上建立安全的信息传输通道，通过对数据包的加密和数据包目标地址的转换实现远程访问，进行加密通信。

（5）安全认证网关：集成业务系统网站SSL证书，反向代理业务系统，实现由客户端访问业务系统SSL卸载，并且规避业务系统服务器自卸载的风险。

（6）安全浏览器：配合SSL VPN，建立客户端和服务器之间的安全通信信道。

（7）身份鉴别KEY（二级密码模块）：主要提供签名验签、加密解密、杂凑等密码运算服务，实现信息的完整性、真实性和不可否认性保护，同时提供一定的存储空间，用于存放数字证书（加密、签名双证书）。

（8）服务器密码机：主要为应用系统提供数据加解密、签名验签、杂凑等密码运算服务，实现信息的机密性、完整性、真实性和不可否认性保护，同时提供安全、完善的密钥管理功能。

（9）国密堡垒机：内置加密卡，集成国密算法，可认证、监控运维，管控操作，加密存日志，保运维安全合规。

（10）安全电子门禁系统：满足GM/T 0036-2014《采用非接触卡的门禁系统密码应用指南》标准要求，使用SM4算法进行密钥分散，实现门禁卡的“一卡一密”，并基于SM4算法对人员身份进行鉴别。

（11）安全视频监控系统：支持基于SM4算法的音视频信息传输加密和基于SM3算法的视频文件存储完整性保护。

1.11．密码安全服务

数字证书认证系统服务

数字证书认证系统（也称为证书认证系统）是对生命周期内的数字证书进行全过程管理的安全系统。数字证书认证系统必须采用双证书（用于数字签名的证书和用于数据加密的证书）机制，并按要求建设双中心（证书认证中心和密钥管理中心）。数字证书认证系统在逻辑上可分为核心层、管理层和服务层，其中，核心层由密钥管理中心、证书/CRL生成与签发系统、证书/CRL存储发布系统构成；管理层由证书管理系统和安全管理系统构成；服务层由证书注册管理系统（包括远程用户注册管理系统）和证书查询系统构成。

在数字证书认证系统中，CA（狭义CA，负责证书签发、存储和发布等功能的组件）提供的服务功能主要包括：提供数字证书在其生命周期中的管理服务；提供RA的多种建设方式，RA可以全部托管在CA，也可以部分托管在CA，部分建在远端；提供人工审核或自动审核两种审核模式；支持多级CA认证；提供证书签发、证书查询、证书状态查询、证书撤销列表下载、目录服务等功能。

RA负责用户的证书申请、身份审核和证书下载，可分为本地注册管理系统和远程注册管理系统。证书申请和下载均可采用在线和离线两种方式。RA主要功能包括用户信息的录入、审核、用户证书下载、安全审计、安全管理及多级审核。

KM为系统内其他实体提的功能包括：生成非对称密钥对、对称密钥、用于签名过程的随机数；接收、审核CA的密钥申请；调用备用密钥库中的密钥对；向CA发送密钥对；对调用的备用密钥库中的密钥对进行处理，并将其转移到在用密钥库；对在用密钥库中的密钥进行定期检查，将超过有效期的或被撤销的密钥转移到历史密钥库；对历史密钥库中的密钥进行处理，将超过规定保留期的密钥转移到规定载体；接收与审查关于恢复密钥的申请，依据安全策略进行处理；对进入本系统的有关操作进行人员的身份与权限认证。

在双证书（签名证书和加密证书）体系下，用户持有两对不同的公私密钥对。KM提供了对生命周期内的加密证书密钥对进行全过程管理的功能，包括密钥生成、密钥存储、密钥分发、密钥备份、密钥更新、密钥撤销、密钥归档和密钥恢复等，具体如下：

密钥生成：根据CA的请求为用户生成非对称密钥对，该密钥对由密钥管理中心的硬件密码设备生成。

密钥存储：密钥管理中心生成的非对称密钥对，经硬件密码设备加密后存储在数据库中。

密钥分发：密钥管理中心生成的非对称密钥对，通过证书认证系统分发到用户证书载体中。

密钥备份：密钥管理中心采用热备份、冷备份和异地备份等措施实现密钥备份。

密钥更新：当证书到期或用户需要时，密钥管理中心根据CA请求为用户生成新的非对称密钥对。

密钥撤销：当证书到期、用户需要或管理机构依据合同规定认为必要时，密钥管理中心根据CA请求撤销用户当前使用的密钥。

密钥归档：密钥管理中心为到期或撤销的密钥提供安全长期的存储。

密钥恢复：密钥管理中心可为用户提供密钥恢复服务，可为司法取证提供特定密钥恢复。密钥恢复需依据相关法规并按管理策略进行审批，一般用户只限于恢复自身密钥。

作为一种普适性的安全基础设施，数字证书认证系统应用非常广泛，能够在保密性、数据完整性、数据起源鉴别、身份鉴别和不可否认服务等方面为各种不同的应用系统提供安全服务。

数字证书认证系统签发的证书可以用于标明设备、用户、机构身份。

签名验签服务

签名验签服务是为应用实体提供基于PKI体系和数字证书的数字签名、验证签名等运算功能的，可以保证关键业务信息的真实性、完整性和不可否认性。签名验签服务支持以三种方式提供服务：

（1）API调用方式。用户通过GM/T 0020-2012《证书应用综合服务接口规范》中规定的API接口访问签名验签服务器。

（2）通用请求响应方式。通过GM/T 0029-2014的附录A“消息协议语法规范”中规定的协议，请求者将数字签名、验证数字签名等请求发送给签名验签服务器，由签名验签服务器完成签名验签服务并返回结果。

（3）HTTP请求响应方式。其工作原理与请求响应模式类似，不同的是将消息格式从二进制的ASN.1格式，转换为易于在Web应用和HTTP协议中传递的文本格式。通过GM/T 0029-2014的附录B“基于HTTP的签名消息协议语法规范”的HTTP请求发送给签名验签服务器，由签名验签服务器完成签名验签服务并返回结果。

签名验签服务必备的系统功能如下：

IPSec VPN网关、SSL VPN安全网关服务

VPN（虚拟专用网络、Virtual Private Network）技术是指使用密码技术在公用网络（通常指互联网）中构建临时的安全通道的技术。其之所以称为虚拟网，主要是因为VPN中任意两个节点间的连接并没有使用传统专网所需的端到端的物理链路，而是在公用网络服务商提供的网络平台上形成逻辑网络，用户数据在逻辑链路中进行传输。VPN使得分散在各地的企业子网和个人终端安全互联，实现了物理分散、逻辑一体的目的。通过VPN技术提供的安全功能，用户可以实现在外部对企业内网资源的安全访问。VPN技术具有以下特点：

a) 节省搭建网络的成本。利用现有的公用网络资源建立VPN隧道，不需要租用专门的物理链路，相比于物理专网的搭建节省了开销。

b) 连接方便灵活。通信双方在联网时，如果使用传统物理专网，则需要协商如何在双方之间建立租用线路等；使用VPN之后，只需要双方配置安全连接信息，连接十分便捷。

c) 传输数据安全可靠。VPN产品采用了加密、身份鉴别等密码技术，保证通信双方身份的真实性和通信数据的保密性、完整性等。VPN类产品包括IPSec VPN网关、SSL VPN网关和安全认证网关。

（1）IPSec VPN 和 SSL VPN

IPSec VPN和SSL VPN是两种典型的VPN产品实现技术，它们分别采用IPSec和SSL密码协议为公用网络中通信的数据提供加密、完整性校验、数据源身份鉴别和抗重放攻击等安全功能。但是，由于两者工作于不同的网络层次来搭建网络安全通道，因此，在部署方式和控制粒度方面还存在一定差异。

IPSec VPN产品采用工作在网络层的VPN技术，对应用层协议完全透明。在建立IPSec VPN隧道后，就可以在安全通道内实现各种类型的连接，如Web（HTTP)、电子邮件（SMTP）、文件传输（FTP）、网络电话（VoIP），这是IPSec VPN的最大优点。另外，IPSec VPN产品在实际部署时，通常向远端开放的是一个网段，也就是IPSec VPN产品通常是保护一个内网整体，而非单个主机、服务器端口。所以，针对单个主机、单个传输层端口的安全控制部署较复杂，因此其安全控制的粒度相对较粗。

SSL VPN产品采用工作在应用层和传输层之间的VPN技术。由于它所基于的SSL协议内嵌在浏览器中，所以，接入端在不增加设备、不改动网络结构的情形下即可实现安全接入。这种基于B/S的架构是SSL VPN最为常见的应用方式。此外，SSL VPN安全控制粒度可以更为精细，能够仅开放一个主机或端口。

（2）安全认证网关

安全认证网关是采用数字证书为应用系统提供用户管理、身份鉴别、单点登录、传输加密、访问控制和安全审计服务等功能的产品，保证了网络资源的安全访问。

安全认证网关与一般安全网关产品的主要区别在于它采用了数字证书技术。在产品分类上，安全认证网关可分为代理模式和调用模式，其中代理模式是基于IPSec/SSL VPN实现的网关产品；调用模式的产品一般提供专用的安全功能（如身份鉴别），被信息系统所调用。目前，大多数安全认证网关产品基于IPSec SSL协议实现。

（3）典型应用场景

由于IPSec VPN和SSL VPN各自不同的技术特点，在实际部署中，IPSec VPN产品通常部署于站到站（Site to Site）模式和端到站（End to Site）模式的安全互联场景，端到端（End to End)模式的场景并不多见。其中，端到站、站到站之间的IPSec VPN通信需采用隧道模式，而端到端之间的IPSec VPN通信可以采用隧道模式或者传输模式。SSL VPN产品则更多地用于端到站的应用场景。对于IPSec VPN产品，站到站部署模式要求两端网络出口成对部署IPSec VPN网关；而端到站和端到端两种部署模式，一般要求接入端安装IPSec客户端。SSL VPN在应用时，只需在内网出口部署SSL VPN网关，接入端采用集成SSL协议的终端即可。

安全认证网关服务

安全认证网关做为SSL代理服务器部署于WEB应用服务器前端，结合PKI/CA、SSL代理等技术，为用户提供SSL卸载功能，使用户访问内网资源时能够建立SSL协议的安全连接，保障对内网资源的远程访问安全。

安全认证网关主要功能如下：

安全浏览器服务

在使用SSL/TLS链接保护网络安全时，通用浏览器支持基于国际通用算法的安全证书，但不支持我国商用密码算法证书。取得商用密码模块产品认证的安全浏览器（俗称“国密浏览器”）增加了商用密码算法模块和商用密码安全协议模块，因此能够支持基于商用密码算法的加密通信。安全浏览器可以自动探测目标网站是否使用商密通信，并在用户无感知的情况下，自动切换到商密加密通信模式。

安全浏览器的主要功能如下：

智能密码钥匙（密码模块）服务

智能密码钥匙是最常见的硬件密码模块，具备密码运算、密钥管理能力，可提供密码服务的终端密码设备，其主要作用是存储用户秘密信息（如私钥、数字证书），完成数据加解密、数据完整性校验、数字签名、访问控制等功能。智能密码钥匙一般使用USB接口形态，因此也被称作USB Token或者USB Key。

典型的智能密码钥匙的外形与普通U盘类似，其特征主要包括使用USB接口，内置安全智能芯片；有一定的存储空间（一般是从几KB到几MB不等），可以存储用户私钥及数字证书等数据；具备密码运算能力，能够完成密钥生成和安全存储、数据加密和数字签名等功能；采用基于身份的用户鉴别机制，通常采用个人识别码（PIN）来实现；配有供其他应用程序调用的软件接口程序及驱动。有的智能密码钥匙中不仅配有智能IC卡芯片，还配有USB控制芯片，也就是说在智能密码钥匙功能基础上，增加了大容量移动存储的功能。为避免智能密码钥匙为伪造的数据生成签名，交互型电子签名在生成电子签名过程中增加了与用户的交互过程。相应地，具备双向交互功能、配有屏幕和操控按键的智能密码钥匙称为第二代智能密码钥匙。第二代智能密码钥匙每次收到指令以后，可以在内部解析指令内容，从待签名数据中提取关键信息，及时显示在屏幕上供用户确认。如果屏幕显示信息与用户真实交易意图不符，说明信息被篡改，用户可以马上取消操作。如果信息无误，用户可以通过内置的“确认”按键控制操作进一步执行。第二代智能密码钥匙的主机接口除USB外，也出现了更多形态，如Wi-Fi、蓝牙、音频、Lightening、NFC、红外等，这些新型智能密码钥匙的区别主要是使用接口不同，所具备的功能类似。

服务器密码机服务

服务器密码机又称主机加密服务器，能独立或并行为多个应用实体提供密码运算服务和密钥管理服务，也可作为身份认证系统以及密钥管理系统的主要密码设备和核心构件。

服务器密码机通过应用接口为业务系统提供密码服务，应用接口遵循《GM/T 0018-2012 密码设备应用接口规范》，可实现与多种类型业务系统的平滑对接，为业务系统提供密码运算服务和相应的密钥管理服务，为业务系统提供数据存储的机密性、完整性和源认证等安全需求。

服务器密码机必备的系统功能如下：

国密堡垒机服务

国密堡垒机内置加密卡，集成国密算法，对运维人员进行身份认证，杜绝非法人员接入核心服务器、数据库等关键资产；对所有运维操作进行实时监控与精细化管控，可根据角色权限限制操作范围，防止越权操作或恶意操作；对所有运维行为会被加密存储形成不可篡改的审计日志，满足等保 2.0 等合规要求的同时提供符合国密标准的运维安全保障。

主要功能如下：

1.12．物理环境安全服务

安全门禁系统服务

指符合GM/T 0036-2014《采用非接触卡的门禁系统密码应用指南》要求，用户身份鉴别、门禁记录存储完整性保护基于商用密码技术，关键组件取得商用密码产品认证的电子门禁系统。

1) 智能IC卡（CPU卡）：为具备商密产品认证资质的密码模块，支持SM2/SM3/SM4算法，支持内外部双向认证。

2) 门禁读卡器：内置PSAM卡模块（安全模块）与CPU卡进行安全认证，该PSAM模块通过商密产品资质认证，PSAM卡模块支持SM2/SM3/SM4等算法，卡内存放厂商发行密钥、系统根密钥等信息，并具有符合相关标准的片上操作系统（COS）。

3) 门禁控制器：门禁控制器根据CPU卡联的身份ID进行放行策略判别，控制电锁是否开启。

4) 门禁发卡器：内置非接触通讯模块，支持符合ISO14443 通讯协议的智能卡；具有1个PSAM卡槽，方便用户实现对非接触智能卡发卡操作。

5) 密钥注入器：内置非接触通讯模块，能够支持符合ISO14443 通讯协议的智能卡；具有1个PSAM卡槽，方便用户实现对非接触智能卡诸如加密解密、卡片双向认证和密钥注入操作。）PCI-E密码卡：支持SM2\SM3\SM4算法，支持采用消息鉴别码(MAC)实现门禁记录完整性保护，支持数据加解密，支持签名验签/MAC。

6) 门禁管理系统：支持区域管理；支持时段管理；支持考勤管理；支持中央监控 ；支持记录查询；支持统计报表；支持报警提示；支持安防联动；支持事件管理。

7) 日志审计系统：支持日志采集；支持日志存储；支持日志检索；支持合规审计；支持实时监控；支持时间告警

8) 密钥管理系统：支持商用密码算法；支持安全策略；支持身份认证；支持多级密钥 ；支持密钥生成；支持密钥分发；支持密钥管理；支持密钥更新。

安全视频监控系统服务

指视频记录存储完整性保护基于商用密码技术，关键组件取得商用密码产品认证的视频监控系统。

安全视频监控系统包括支持密码模块的安全网络摄像机、安全网络录像机（NCR）和内置PCI-E密码卡的安全视频客户端。采用SM3算法生成HMAC，实现视频流和视频录像的完整性保护。安全视频监控系统为闭环网络，通过L2层交换机实现前后端的互联互通，不允许任何外部网络或设备接入，系统中使用的商用密码产品情况如下：

安全摄像机：内置安全TF卡，支持SM2、SM3、SM4算法，支持HMAC计算；

安全网络录像机：配智能密码钥匙，支持SM2、SM3、SM4算法，支持视频录像的完整性保护；

安全视频客户端：内置密码卡，支持SM2、SM3、SM4算法，实现视频流实时监控和录像回放，支持视频录像回放的完整性验证。

数据对接方案

本平台需与多个外部系统进行数据对接，涵盖基础信息、业务数据、监控数据、告警信息等多个维度，具体对接内容见下文。

1.13．与省税务监管平台对接方案

通过 API 接口与省税务监管平台的对接是实现 "上下联动" 监管的核心，需完成基础信息同步、实时数据报送、AI 数据报送及告警信息报送，确保省级平台全面掌握阜新市成品油市场监管情况。

1.14．与国营加油站数据对接方案

通过 API 接口对接中国石油、中国石化的 "加油站管理系统"，获取其旗下加油站的交易数据，实现与本平台物联网采集数据的交叉验证，确保数据真实性。

系统集成服务

1.15．核心机房设备安装服务

万兆核心交换服务、边界安全服务、出口安全服务、核心配置管理服务、AI视频推理计算服务、AI智能视频录像机服务所涉及设备的安装，专线链路以及软件平台的安装。

运维服务

1.16．运行维护内容

（1）设备维护服务：对硬件设备进行定期的维护保养，确保设备的正常运行。

（2）软件维护服务：对应用软件进行更新和维护，确保软件稳定性和安全性。

（3）数据维护服务：对数据进行备份、恢复和管理，确保数据的安全和完整性。

（4）故障处理服务：对人为设备故障进行故障处理及维护。

（5）培训服务：对用户开展培训，解决用户使用中出现的基础问题。

（6）日常巡检服务：线上/线下专业系统巡检、专业设备巡检。

1.17．运维服务要求

定期巡检：维护单位需建立巡检制度，每半年进行1次现场巡检服务，及时发现和排除潜在问题或故障隐患，保证平台的稳定运行。

运维服务内容包括以下方面：现场维护、对软硬件进行定期巡检、开展预防性维护、软硬件产品故障排除、产品（软件）的调试调优和补丁修复、软件版本的升级、软件功能的优化完善、数据库优化、紧急恢复服务、技术支持、技术咨询等内容。运维期内，及时、全面记录系统运行中出现的异常事件、故障，定期巡检形成巡检报告。

1.18．运行维护其他要求

提供售后服务机构，包括地址、技术人员及联系方式，售后技术人员力量等。

运行维护服务期内为采购主体提供以下技术支持和服务：

（1）电话咨询。供应商应当为采购主体提供技术援助电话，解答采购主体在使用中遇到的问题，及时为采购主体提出解决问题的建议和办法。

（2）现场响应。遇到使用及技术问题，电话咨询不能解决的，供应商售后应在4小时内到达现场进行处理，一般故障修复时间不超过12小时。重大故障48小时内解决，如48小时内无法解决须提供相应备用配件替换，保障正常使用。注：一般故障：前端采集设备故障、AI智能摄像机故障、AI算法故障、平台单一功能不可用；重大故障：核心机房设备故障、平台多个功能不可用。

（3）供应商应当定期对所供系统运行情况进行检测，消除故障隐患，以保证系统的正常运行。

（4）维护期内若须系统升级，则提供升级服务。

（5）运行维护服务期内定期上门检查、上门维修（维修费和元器件费包含在本项目中）；维修中如需要更换配件的，要求更换的配件应跟被更换的品牌、类型相一致或者是同类同档次的替代品，后者需提供相应证明文件并征得采购方管理人员同意。

1.19．运维保障机制

建立专业的运维团队，明确团队成员的岗位职责，包括系统管理员、网络工程师、安全专员等，确保各项运维工作有人负责。制定完善的运维管理制度，涵盖设备管理、数据管理、安全管理等方面，规范运维操作流程。实行 7×24 小时值班制度，保障系统出现故障时能及时响应。建立运维沟通机制，通过定期会议、即时通讯工具等，确保团队内部及与用户之间信息畅通，及时解决问题。同时，建立绩效考核机制，对运维人员的工作进行评估和奖惩，提高工作积极性和责任心。

1.1.19.1日常巡检计划

1、性能分析：定期对服务器、网络等的性能数据进行汇总分析，找出潜在的性能瓶颈，制定优化方案。

2、安全漏洞扫描：使用专业工具对系统进行全面的安全漏洞扫描，及时发现并修复漏洞。

3、文档更新：更新设备配置文档、运维手册等，确保文档与实际情况一致。

1.1.20.云平台智慧服务中心

通过可视化大屏数据呈现，便于全市在税控工作中的决策与参考。（具体方案由供应商自行提供）

备注：以上数据仅供投标方参考，截至投标基准日的加油机、加油枪等具体数量以投标方实地踏勘结果为准。

二、商务需求

本项目全部的采购需求具体以招标文件第三章服务需求为准。