技术参数002Word格式文档下载.docx
《技术参数002Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《技术参数002Word格式文档下载.docx(35页珍藏版)》请在冰豆网上搜索。
韶关市公安局、检察院、司法局、法院、政法委都通过光纤连接到政法网共享信息平台中心机房,现在彼止之间没有部署网络安全设备。
考虑到政法网信息平台的数据安全要求,希望通过网络安全设备系统的综合部署,对内网进行网络边界和内部的安全保护,同时其他业务部门能够通过网络安全设备来进行必要的访问。
同时在市政法网共享平台与其他相关单位(在这里特指公安、法院、检察院、司法、政法委)网络之间,通过安全隔离设备将共享平台的重要数据进行保护,同时其他单位的业务部门能够通过隔离设备与共享平台进行必要的数据交换。
三、项目建设目标
根据政法信息系统的特点,在现有的安全设施的基础上,根据国家有关信息网络安全系统建设法律法规和标准规范以及系统对安全性设计的具体要求,并结合当前信息安全技术的发展水平,针对可能存在的安全漏洞和安全需求,在不同层次上提出安全级别要求,制定相应的安全策略,设计一套科学合理、多层次、分布式、并且融合技术和管理的安全体系,采用合理、先进的技术实施安全工程,加强安全管理,保证政法网信息系统的安全性。
建设一个具有可操作性、高性能、高可用性、高安全性的安全体系是总的建设目标。
四、项目建设内容
本期安全体系建设内容主要见下图:
主要建设内容如下:
1、在中心机房的网络出口部署一台高性能12口千兆防火墙,与公安局、检察院、法院、司法局、政法委等各级单位的网络相连。
2、将一台安全隔离与信息交换系统放置在中心机房共享平台与其他单位(在这里特指公安、法院、检察院、司法、政法委)网络之间,通过安全隔离与信息交换系统的安全隔离功能将中心机房共享平台的重要数据进行保护,同时其他单位的业务部门能够通过隔离设备与共享平台进行必要的数据交换。
公检法司政法委都有各自的专网,为了保护他们各自的核心业务,在他们与其它系统的网络连接处各部署一台安全隔离与信息交换系统,以防政法委、公安、法院、检察院、司法各单位之间出现非授权的访问和信息的非法传递。
3、在共享平台中心机房的服务器区前部署一台高性能千兆IPS,在政法、公、检、法、司的边界各部署一台百兆高端IPS,进行入侵防护。
4、在政法委、公安局、检察院、法院、司法局的所有终端PC及服务器上部署网络版杀毒软件。
5、韶关政法网共享平台,业务应用系统需要采购11台服务器。
6、韶关政法业务应用系统需要采购2套投影设备。
五、用户针对本次项目采购的安全设备软、硬件的指标要求
(1)防火墙:
高性能千兆防火墙(1台)
技术指标如下:
类别
指标项
详细描述
操作系统
要求具备自主研发的安全操作系统,并提供该安全操作系统的软件著作权及彩页作为证明
★产品规格
硬件规格
标配4个多模SFP光口模块,8个10/100/1000BASE-T端口,同时可用端口总数不少于12个,且每个端口均可连接独立的安全域;
标配单电源,可支持双冗余电源
最大无故障时间(MTBF):
90000小时
性能参数
吞吐量(bps):
3.5G
最大并发连接数;
200万
每秒新建连接数;
2万
IPSecVPN隧道数:
5000;
可支持扩展SSLVPN在线用户数:
200
绿色上网
P2P下载控制
识别和控制迅雷、BT、eDonkey、eMule等常见P2P下载软件
P2P视频播放控制
识别和控制PPLive、QQLive、PPStream等常见P2P视频播放软件
IM即时通讯软件控制
识别和控制QQ、MSN等常用IM软件,一键式阻断IM软件机密文件传输
在线游戏控制
识别和控制魔兽、CS、征途、联众、天堂、梦幻西游、仙剑情缘、热血江湖、劲舞团、诛仙、浩方、泡泡堂等多种在线游戏软件
炒股软件控制
识别和控制大智慧、同花顺、国泰君安、证券之星、广发证券、指南针、通达信、股票之星、华安证券、和讯报道、钱龙等多种炒股软件
WEB过滤
支持基于分类库的URL访问控制,可以对色情、反动等多种负面网站按类别进行选择控制
支持50多种分类库,800万级网址智能特征库
支持URL独立特征库,支持增量升级管理
采用高速辨认技术,缩短匹配时间,不影响产品整体性能
访问控制
状态检测
基于源/目的IP地址、MAC地址、域名、端口或协议、服务、网口、时间、用户的访问控制
基于源/目的IP地址、端口、服务、网口、时间、应用等安全策略的带宽控制
可基于时间和安全域进行安全隔离,同一时间内网主机只能访问DMZ区或者只能访问外网
透明代理
实现基于策略的HTTP、FTP、TELNET、SMTP、POP3等透明代理和深度过滤
IP/MAC绑定
实现IP/MAC地址绑定,且支持IP/MAC地址对的自动探测和唯一性检查
用户认证
支持基于客户端的本地认证、无客户端软件的WEB认证,并支持Radius等第三方认证
网络适应性
接入模式
支持透明、路由、混合三种工作模式
支持DHCPClient、DHCPRelay、DHCPServer
支持PPPoE接入,并具备自动断线重连技术
支持纯透明桥接功能
路由
支持静态路由,动态路由(OSPF、RIP等),VLAN间路由,单臂路由,组播路由等
支持基于源/目的地址、接口的策略路由
支持多出口路由负载均衡
NAT
支持双向NAT、动态地址转换和静态地址转换,并支持多对一、一对多和一对一等多种方式的地址转换
VLAN
支持802.1Q和ISLVLAN封装协议,支持两种封装的互换以及VlanTrunk
带宽管理
基于IP地址、服务、网口、时间等定义带宽分配策略
支持最小保证带宽和最大限制带宽
支持分层的带宽管理
动态协议
在各种工作模式下均支持H.323(H.323GK)、SIP、FTP、MMS、RTSP、UPnP、XDMCP、TNS等多种动态协议
★VPN
IPSecVPN
支持标准IPSec协议,能够与CISCO、NETSCREEN等知名厂商的VPN设备互联互通
支持预共享密钥、证书等认证方式且支持X扩展认证
支持3DES、DES、AES等加密算法
支持AH和ESP封装模式以及MD5、SHA1、SHA2等通用摘要算法
支持DH1024、DH2048、RSA1024、RSA2048等非对称加密算法
支持多出口VPN,且支持NAT穿越
支持隧道接力,并可通过隧道接力实现分级的树状VPN结构部署
GRE/PPTP/L2TP
支持GRE、PPTP、L2TP等VPN连接
SSLVPN
支持SSLVPN和IPSecVPN同时使用
采用无客户端认证方式实现隧道安全连接
能进行个性门户(portal)定制化处理,可替换图片、文字等
VRC(VPN客户端)
IPSecVPN客户端可与所有支持标准IPSec协议的VPN网关互联互通
支持基于USBKey的证书认证方式
IPSecVPN客户端支持MicrosoftWindows2000/XP、Vista等操作系统
入侵检测与防御
入侵检测
集成基于统一安全引擎(USE)的IDS模块,具备1600种以上攻击特征库规则
遵循关联安全标准(CSC)实现与IDS的联动
蠕虫防护
采用基于摘要索引的内容加速算法(DCA算法)进行蠕虫病毒过滤
采用基于TCP连接数管理的侦测技术,对感染蠕虫病毒的异常主机进行定位
实现对blaster,nachi,nimda,codered,sasser,slapper,sqlexp,zotob等主流蠕虫病毒的识别、过滤和拦截
抗DDoS/DoS攻击
可识别和防御synflood、Pingflood、udpflood、teardrop、sweep、land-base、pingofdeath、smurf、winnuke、圣诞树、碎片等多种攻击
内容过滤
网页过滤
支持对网页关键字和Java、JavaScript、ActiveX进行过滤
邮件过滤
支持对邮件地址、主题、正文、附件名、附件内容等进行关键字匹配过滤
支持对中转垃圾邮件进行识别和过滤
FTP过滤
支持对FTP上传和下载文件的控制
关联安全应用
关联安全
支持关联安全标准(CSC)
可实现与IDS等设备的联动
可以监控MicrosoftExchange及其他各种邮件服务器
管理配置
系统管理
支持友好的Web图形界面配置
支持远程SSH和串口命令行配置
支持数字证书和电子钥匙两种管理员认证方式,支持管理员权限分级
支持SNMP管理,与当前通用的网络管理平台兼容
可导出可读的配置文件并进行打印存档
可进行配置文件的备份、下载、恢复和上传
系统监控
支持对CPU、内存、磁盘、网口、用户在线状态、连接数、路由表等信息的监控
日志报警
支持设备内存储和专用事件分析服务器两种日志管理方式
支持分级报警,支持SNMPTrap和邮件等报警方式
★集中管理
可通过专用的集中管理系统实现对防火墙的集中设备监控、集中日志审计、安全报警以及防火墙、VPN部分策略的分发等功能
可通过专用的集中管理系统,实现对网络拓扑的管理,基于域的权限分配和报表自动生成,以及设备的历史状况回放
可提供专用的软件实现对防火墙接入用户认证的集中管理,至少可同时管理2048台防火墙
应用报表功能
具备强大的报表功能,可以生成多种基于业务的分组报表,如可用性趋势报表,储运损耗比较报表,历史报表等;
基于监视器类型的分组报表;
个别监视器报表;
或为自定义参数生成报表等
★高可用性
负载均衡
支持多重冗余协议(MRP),实现链路备份、端口备份、热备份、集群备份等
支持防火墙多WAN口备份和负载均衡
支持基于802.3ad标准的多端口聚合,实现零成本扩展带宽
通过状态同步技术实现2~32台防火墙的多机集群
双机热备
在NAT、路由、透明模式下支持A-A,A-S模式,且切换时间小于1秒
可在热备和集群工作模式下支持多台防火墙的配置自动同步
★产品资质
具备公安部颁发的《计算机信息系统安全专用产品销售许可证》
具备国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》
具备中国信息安全产品测评认证中心颁发的《国家信息安全认证产品型号证书》
具备中国人民解放军信息安全测评认证中心颁发《军用信息安全产品认证证书》
(2)千兆安全隔离与信息交换系统(6套)
功能点
功能详细要求
产品架构
系统架构
采用“2+1”系统架构,即由两个主机系统和一个隔离交换矩阵组成,主机系统采用通用安全平台,隔离交换矩阵基于专用交换芯片实现主机系统间采用自有协议摆渡数据,确保信任网络和非信任网络之间任何连接的断开,彻底阻断TCP/IP协议及其他网络协议
隔离交换矩阵
自主研发的硬件,无操作系统,外界无法编程控制,而不是采用低安全性的通用可编程硬件,如网线、SCSI、USB等
接口
★接口配置
千兆标准型,2U机箱,单电源;
内网:
标配1个10/100/1000M自适应网络接口,1个10/100/1000M自适应网络扩展接口,1个10/100/1000M自适应管理口,1个10/100/1000M自适应HA口(双机热备口);
外网:
标配1个10/100/1000M自适应网络接口,3个10/100/1000M自适应网络扩展接口,1个10/100M自适应管理口,1个10/100/1000M自适应HA口(双机热备口);
可扩展为热备冗余电源;
★性能
系统吞吐量
不小于300Mbps(单向)
并发连接数
不小于2万
延时
小于5ms
功能模块
文件交换
实现文件的安全交换,支持NFS、SMBFS等文件系统和多种细粒度检测控制功能
支持改名传输方式,可实现对源文件改名,标明传输状态
支持增量传输方式,可实现只传输修改和增加了的源文件
支持传输后删除方式,可实现传输结束后删除源文件
FTP访问
实现安全的FTP访问,支持对用户、命令、文件类型等细粒度访问控制
支持动态建立数据通道,并可对访问端口号自由定义
数据库传输
支持客户端对多种主流数据库系统的安全访问控制,支持TNS协议,支持对访问数据库的用户进行控制
数据库同步
支持Oracle、SQL、Sybase、DB2等主流数据库,支持不同类型的数据库间、不同结构的表间的内容同步;
支持同步内容的单向传输或双向更新,包括同步的数据库间或同步的表间;
支持客户端与安全隔离与信息交换系统间的第三方数字证书方式的身份认证,确保只有被授权的合法用户才能运行;
支持客户端与安全隔离与信息交换系统间的SSL加密传输,确保网络数据传输的安全
邮件传输
实现用户安全访问邮件服务器,访问过滤选项涵盖邮件地址、主题、正文内容、附件等
安全浏览
实现内网用户安全浏览外网资源,支持本地、Radius、LDAP等认证方式,提供对URL、ActiveX、Cookie、JavaApplet等的过滤功能
定制访问
实现特定TCP、UDP协议的数据隔离交换,可合作定制开发针对特定协议的安全检测,实现如黑白名单控制、关键字过滤等
★内核级身份认证
支持内核级身份认证,支持本地和RADIUS等多种方式认证,支持在线客户数达10000以上,支持用户组管理,支持在线用户信息监控,支持在线用户强制断开,支持SKEY和PAP两种认证协议
★消息传输
支持基本字符和文本的消息传输,支持二次开发API,支持SSL加密传输,提供文本消息的内容过滤
★攻击防御
专业检测引擎
主机系统内置USE统一安全引擎
入侵检测功能
具有实时入侵检测机制,可设置阻断规则,实时阻断入侵
攻击特征库规则1600条以上,并可自定义检测规则和扫描攻击检测阈值
抗DDoS攻击
具有抗DoS、DDoS攻击功能,当拒绝服务攻击发生时能保障对正常应用请求的应答
★管理方式
灵活多样的管理方式
支持HTTPS的Web方式管理,实现了远程管理信息加密传输
支持命令行方式管理,可通过命令行完成全部管理配置工作
高安全的管理形式
内/外网主机系统分别具有独立管理接口,而不是采用低安全的管理方式,如通过网络接口管理、通过内网一个管理接口完成全部管理等
管理员分级管理
管理员权限支持超级管理、配置管理、策略管理、审计管理权限,不同的管理员可以设置不同的帐号
物理接口管理
可指定物理接口的MAC地址、IP地址、工作模式、速度、MTU(最大传输单位)、工作模式等,可设置是否允许PING、TRACEROUTE、启用等,并可实时显示系统接口的总计和当前设备总发送和总接收的字节数,并可以查看设备收发数据的统计图示
适应性
★多网隔离能力
可通过端口激活方式扩展升级,实现外网主机系统直接通过独立的网络接口连接4个相同安全级别的网络,内网主机系统直接通过独立的网络接口连接2个相同安全级别的网络
IP/MAC地址绑定
支持IP/MAC地址绑定,具有自动学习功能
时间控制
支持自由定制时间策略,并在各安全策略中调用
设备时间管理
设备支持强制与管理主机或自动与指定时间服务器的时间实现同步
域名控制
支持域名访问控制策略
广泛应用支持
支持广泛的应用协议,包括:
H323、因特网中继聊天协议IRC、微软流媒体协议MMS、实时流协议RTSP、SIP协议、XDMCP、OICQ、SNMP等
灵活的接入方式
支持相同网络地址段之间部署
支持透明接入方式,用户无需改变任何访问习惯
支持普通接入方式,方便用户更改网络参数
不同接入方式单独控制
许可证管理
通过License控制应用模块的激活状态和使用期限
软件部署方式
支持第三方软件部署方式
支持无第三软件部署方式
★可靠性
专用冗余协议
支持MRP多重冗余协议,保障设备的高可靠性
通过独立的热备端口实现双机热备
支持2~32台设备实现负载均衡,无需第三方软硬件支持
端口冗余
支持设备自身物理端口冗余功能
链路聚合
物理端口支持802.3ad标准,实现链路聚合功能
日志审计
日志管理
日志实现按功能模块分组管理,支持WebTrends格式
实现对日志的浏览、查询、导出、删除等操作
★其它
安全隔离与信息交换系统厂家需要有三年或以上的销售时间,以销售许可证为准并加盖原厂公章;
并与防火墙同一品牌。
★产品资质要求
具有公安部公共信息网络安全监察局颁发的《计算机信息系统安全专用产品销售许可证》
具有中国信息安全产品测评认证中心颁发的《国家信息安全认证产品型号证书》
具有国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》
具有中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》
具有国家版权局颁发的《计算机软件著作权登记证书》
(3)入侵防护系统A(5套)
分类
特性/功能
硬件架构
主机不带有硬盘,以减少设备的故障几率
采用自研操作系统,并提供著作权证书
1U机箱,单电源;
6个10/100/1000M自适应电口,(其中包括2对IPS接口,每对的两接口之间支持旁路保护功能,1个IDS和HA共用接口,1个管理接口),内置硬件Bypass
性能
IPS吞吐量不小于200Mbps,
不小于50万
小于200微秒
入侵检测与防护
★工作模式
支持IPS、IDS、IPSMonitor、Forward等多种工作模式
入侵检测技术
采用自研检测引擎,具备基于协议异常、会话状态和七层应用行为等的攻击识别功能
策略时间管理
可自定单个策略的运行时间
★检测方向
可自定义检测方向,进行针对性检测,节省系统资源,提供相关管理界面截图
特征规则
内置IPS特征库,特征规则数量超过2,300条,并可自定义入侵攻击和应用软件的特征
协议分析
支持对VLAN、MPLS、ARP、TCP、UDP、RPC、WCCP、GRE、IPV6等多种协议的分析
防护攻击类型
支持对病毒、蠕虫、木马、间谍软件、广告软件、可疑代码、端口扫描、非法连接、SQL注入、XSS跨站脚本等多种攻击的防护;
可防范三至七层DoS/DDoS攻击;
可防范IPSpoofing攻击。
响应方式
支持丢弃封包、切断会话、事件监视/记录、限制带宽、实时报警、记录日志、邮件报警等多种响应方式,提供相关管理界面截图
上网行为管理
★IM应用管理
可对IM的登陆、聊天、传输文件、实时语音、实时视频等进行分项管理,提供管理MSN的界面截图;
支持的IM软件包括MSN、QQ、YahooMessenger、Skype、GoogleTalk、等10多类;
支持的Web-IM软件包括:
MSN、Yahoo、ICQ、GoogleTalk等
在线游戏管理
支持对QQ游戏大厅、联众世界、浩方对战平台、魔兽世界、泡泡堂、梦幻西游、劲舞团、新浪游戏大厅、搜狐游戏大厅、Real游戏大厅等流行的在线游戏阻断管理
★P2P应用管理
基于底层协议,可检测未知P2P应用;
支持的常用P2P软件包括Thunder、eMule、WinMX、QQLive(China)、Skype、eDonkey、BitTorrent、Mldonkey等130多种,提供相应特征库截图
流媒体软件管理
支持qqlive、pplive、ppstream、uusee、sopcast、mysee、bbsee、沸点等常见流媒体软件的阻断、限流控制
股票软件管理
支持对大智慧、钱龙、大福星、同花顺、指南针等股票分析软件的阻断管理
★虚拟通道管理
支持对VNN、SoftEther、Hamachi、TinyVPN、PacketiX、HTTP-Tunnel、Tor等流行的虚拟隧道的管控,提供相应特征库截图
反动软件管理
支持对自由门、无界、花园等反动类软件的阻断管理,提供相应特征库截图
Web访问检查
可基于URL、内容等制定黑白名单来对Web访问进行过滤
★限流功能
支持针对VLAN、源/目的IP地址、应用协议端口、七层应用软件(如P2P、FTP、PPlive、PPStream等)进行网络传输带宽和网络传输总量两种限流方式,带宽限制可精确到1Kbps,
防火墙
防火墙功能
支持状态检测防火墙功能,支持基于网络接口、源/目的IP地址、协议、时间等自定义访问控制策略
高可靠性
基于HA网络物理接口,实现双机热备功能
★联机自动切换
支持LinkFaultPassThrough功能,适应各种冗余环境
旁路保护
支持硬件Bypass、软件Bypass功能,以避免在任何情况下,因本系统无法正常运作而造成网络中断
管理功能
管理方式
基于Java的B/S管理架构,图形管理界面为中文界面
直观的状态显示
具有显示攻击事件百分比的仪表盘、显示协议流量的柱状图、安全事件趋势分析曲线图、实时事件列表等多种实时状态显示,方便分析网络的现状和趋势,提供相关管理界面截图
设备升级
支持通过线升级和离线升级,来对特征库、管理软件、设备操作系统实现升级
★镜像端口
设备自身提供Mirror物理接口,可将流经设备数据镜像到其他设备上进行分析
报表
内置多样化的报表模版,支持自定义生成报表;
支持自动定时生成报表,可利用邮件或FTP等形式定时外传报表,支持HTML、PDF、CSV等文件格式。
事件查询
可根据事件类型、虚拟设备、时间、源/目的IP、攻击名称等信息进行快速问题定位,提供相关管理界面截图
服务
特征库升级
三年免费特征库升级服务
硬件保修
三年免费硬件保修服务
具有备公安部公共信息网络安全监察局颁发的《计算机信息系统安全专用产品销售许可证》
具有中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》(军B级)
具有国家版权局颁