濉溪不动产登记信息平台安全等级保护文档格式.docx

资源描述

濉溪不动产登记信息平台安全等级保护文档格式.docx

《濉溪不动产登记信息平台安全等级保护文档格式.docx》由会员分享，可在线阅读，更多相关《濉溪不动产登记信息平台安全等级保护文档格式.docx（78页珍藏版）》请在冰豆网上搜索。

濉溪不动产登记信息平台安全等级保护文档格式.docx

7：

支持用户的AD域和POP3登陆认证单点登录，支持自定义单点登录监听端口（提供配置界面截图）；

支持用户可配置的WEBUI接口，提供多套皮肤设置（提供配置界面截图）；

8：

产品具备一体化安全网关公安部销售许可证（增强型）、国家密码管理局防火墙商用密码产品型号证书（非VPN产品型号证书）。

9：

产品原厂商需具备《国家级网络安全应急服务支撑单位》、《信息安全服务资质证书（安全工程类三级）》；

原厂商需具备信息安全服务资质（安全开发类一级）；

厂商必须具有攻防实验室，具备独立的漏洞研究能力及积累，自主发现的CVE漏洞数量不少于124个，需提供列表清单及查询链接以验证；

请提供自主发现的CNNVD安全漏洞列表及证书，要求数量不少于30个；

所投品牌必须是下一代防火墙国家标准制定者之一，提供证明。

1台

防火墙

支持多系统（≥3个）引导，并可配置启动顺序；

多系统设置可在Web界面上完成全部操作（提供配置界面截图）；

标配18个10/100/1000MBase-TX和12个SFP光口插槽；

最大吞吐量≥5Gbps，并发连接数≥230万，每秒新建连接数≥4万；

2：

支持系统主要防护功能的统一化模版设置，模版分为高、中、低三个级别，分别对应不同防护强度，可通过Web界面单击选择切换及通过外置按键一键切换（截图及外置按键面板照片证明）；

支持IPv4和IPv6双栈协议下的入侵检测与防护、支持多接口的攻击行为监听检测方式，可并行旁路检测多个网段内的网络攻击行为，用于高可靠性要求的旁路应用环境（提供配置界面截图）；

4：

产品具备防火墙系统公安部销售许可证、《信息技术产品安全测评证书-EAL4+级别》、产品测评证书、国家密码管理局防火墙商用密码产品型号证书（非VPN产品型号证书）。

产品需具备《国家级网络安全应急服务支撑单位》、《信息安全服务资质证书（安全工程类三级）》、具备涉密信息系统集成（软件开发）单项资质；

需提供列表清单及查询链接以验证；

所投品牌必须是下一代防火墙国家标准制定者之一，提供证明；

防病毒网关

1、支持多系统（≥3个）引导（提供截图），并可配置启动顺序，支持系统分区备份，支持将系统A克隆至系统B；

具有模版式配置管理：

支持主动防御功能模块、支持病毒防护功能模块、支持系统主要防护功能的统一化模版设置，*模版分为高、中、低三个级别，分别对应不同防护强度，*可通过Web界面单击选择切换及通过外置按键一键切换（提供功能截图以及外置按键面板照片证明）;

★2、基于专用多核处理器硬件架构，标准机型；

标配18个10/100/1000BASE-T接口和12个SFP光口；

整机吞吐量不小于5Gbps，最大并发不小于3800,000,延时不高于200US；

3、支持无IP地址的透明桥下的网络病毒检测模式，支持VPN模式下的病毒扫描；

支持IPv4和IPv6双栈协议下的病毒扫描与防护（截图证明）；

4、支持病毒感染主机分析与隔离，防止病毒进一步扩散，提高网络整体安全性；

病毒库不少于300万种病毒特征，支持根据用户需求自定义病毒特征，病毒特征安全可控，要求具备自主研究分析病毒特征的能力；

采用双病毒防护引擎（提供界面截图证明）；

支持基于病毒防护规则设置病毒隔离（仅在全面扫毒模式下,且为全局配置）、阻断、清除、记录日志，发送电子邮件报警等。

支持基于策略的病毒扫描与防护，可针对不同的源目IP地址、源MAC地址、服务、时间、安全域、用户等，采用不同的病毒防护策略（截图证明）；

支持隔离病毒源地址，防止病毒源主机访问内部网络，提高网络整体安全性（截图证明）；

5、产品厂商资质：

具备涉密信息系统集成（软件开发）单项资质和信息安全服务资质（安全开发类一级）；

产品原厂商需具备环境管理体系认证证书（ISO14001:

2004）

具有《中国国家信息安全漏洞库（CNNVD）技术支撑单位一级》证书

《信息安全服务资质证书（安全工程类三级）》

入侵防御系统IPS

1、标准机架式；

6个10/100/1000Base-T电口和1个扩展插槽，至少支持4路硬件BYPASS；

含嵌入式软件一台，千兆检测引擎软件一套，NGIPS数据中心软件一套，最大吞吐量不小于5Gbps。

并发连接数不少于300万/S

★2、入侵防御事件库事件数量不少于4000条（提供截图）；

支持入侵防御事件库在线自动升级和手工导入，入侵事件特征库升级频率不少于一周一次；

3、支持无线攻击检测和防护功能扩展（提供截图），可手工或自动识别和区分内部AP和外部AP，也可以手工或自动识别合法终端，并基于此设定无线准入策略，通过射频信号阻止非法AP、终端的接入。

支持无线扫描、欺骗、DoS、破解等常见无线网络攻击行为的检测、告警、阻断功能，同时支持多种类型流氓AP的检测与阻断（提供截图）

4、系统应内置未知恶意代码检测引擎，能检测流经的http、ftp、邮件协议中包含的office文档、图片文档及压缩文档中的未知恶意文件,报警信息应包括源目的IP、协议类型、文件基本信息、检测方法、危险等级及文件的应用的详细信息（如邮件的发件人、收件人、标题等），方便跟踪恶意文件（提供截图）；

支持对国内流行木马的检测及防御功能；

提供SQL注入攻击、XSS攻击的检测和防御，对Web服务系统提供保护（要求提供SQL注入攻击、XSS攻击的检测和防御技术（提供截图）

5、系统应支持多种防web扫描能力，包括爬虫、CGI和漏洞扫描等，并支持设置至少5个不同级别的扫描容忍度/扫描敏感度（提供截图）；

系统应支持Web过滤功能，至少支持黑白名单、关键字过滤、禁止HTTP代理、URL分类过滤外，还支持Script、JavaApplet等过滤，并能通过统一模版设置（提供截图）；

产品需具备环境管理体系认证证书（ISO14001:

需具有通信网络安全服务能力评定证书（风险评估二级）

上网行为管控系统设备

★1、1U标准机架式，专用硬件平台和安全操作系统，4个Combo口+10GE（电），存储容量500G。

提供三年的免费软件升级服务；

2、部署方式：

支持两台设备同时做主机的部署模式，支持双机热备的自动切换链路，支持抢占模式和非抢占模式（提供截图，如功能与截图不符，将视为虚假应标）

★3、支持安装向导功能，用户可以按照设备提示进行产品配置（需提供截图证明）；

4、支持bypass功能，保障设备故障时，不影响网络使用；

（以上需提供截图证明）；

支持本地升级URL分类库、应用识别库、软件版本、系统平台；

支持升级日志查询（以上需提供截图证明）；

支持PPPoE拨号功能；

支持带宽租借功能。

即，在保证带宽和最大带宽的前提下，结合应用优先级的控制，高优先级可以租借低优先级通道的带宽，从而保证带宽得到合理、高效的使用（以上需提供截图证明）；

支持小包阻断，可实现对微博的控制和审计（以上需提供截图证明）；

在不安装客户端的情况下，支持雅虎通、ICQ、飞信、MSN的聊天内容记录；

提供当前在线用户信息；

提供在线用户的会话信息；

提供在线用户的应用排行；

支持手动控制用户下线；

提供在线用户的多终端接入信息，显示多终端具体类型，即用户是否有私接行为；

必须支持控制在线用户的临时锁定功能，并且可定义锁定时间；

必须支持本地升级URL分类库、应用识别库、软件版本、系统平台；

必须支持浏览权限、配置权限、执行权限三种操作权限（提供截图）。

服务器安全加固软件

★1.品牌：

国产品牌；

★2.要基于分权管理模式，不同的管理员账户具备不同权限分配，运用USB-KEY和静态口令对用户进行双重认证。

4.提供对文件/目录和系统用户指定安全级别，不同安全级别用户具备不同的文件/目录访问控制权限,提供软件功能截图说明。

5.文件完整性检测，通过记录和对比指定目录中所有文件的基本属性及内容校验和来进行完整性检测，识别被篡改文件，提供软件功能截图说明。

6.提供进程访问控制功能，防止非法用户终止进程，具备内核注册表访问控制，有效管理注册表配置进程读写安全策略，提供软件功能截图说明。

4套

数据库审计系统

1、审计系统采用独立硬件，内置审计数据的存储空间不得少于1T；

2、产品至少配置6个千兆电口，审计系统审计事件每秒入库速度至少在6000条/秒以上，日处理审计事件数至少1000万条；

3、支持MongoDB数据库的审计。

需提供截图证明。

4、采用B/S管理方式，无需在被审计系统上安装任何代理，下级控制台（数据中心）可以设置接受上级管理，上级控制台（数据中心）可以查看所有下级的拓扑和状态，上级控制台（数据中心）可以为下级生成报表，上级控制台（数据中心）可以为下级下发审计对象；

5、至少支持Oracle数据库审计、SQL-Server数据库审计、DB2数据库审计、Informix数据库审计、Sybase数据库审计、MySQL数据库审计、PostgreSQL数据库审计、Teradata数据库审计、Cache数据库所审计、人大金仓数据库的审计、达梦数据库的审计、南大通用数据库的审计、网络邻居审计、NFS协议审计，提供截图证明；

6、支持对针对数据库的XSS攻击、SQL注入攻击行为进行审计。

需提供截图证明；

支持IP-MAC绑定变化情况的审计。

7、支持基于场景的操作异常分析；

可直观展现数据库异常、异常账号的访问、同账号多IP登录、上下班操作量对比异常、操作响应时间超时等信息；

8、数据库访问日志，支持按数据库名、数据库表名、字段值、数据库登陆账号、数据库操作命令、数据库返回码、SQL响应时间、数据库返回行数作为查询和统计条件；

9、支持连接外置存储，以扩展日志存储能力；

10、产品需为成熟稳定并经市场考验的产品，产品市场在售时间不小于5年；

11、产品具有国家信息安全评测EAL3+证书（产品具有IPv6Ready

logoPhrase2认证

运维堡垒机

★1、设备采用专用安全操作系统，标准机架式设备。

至少配置6个千兆电口和一个扩展插槽（可扩展2个万兆接口）。

设备自带内部存储容量不小于1T；

设备最大并发字符协议不低于700个，最大图形协议不低于200个，可同时管理设备数不低于500个，本次要求配置不少于55个被管资源授权许可；

2、需支持的协议审计类型：

字符协议包括：

SSHv1、SSHv2、TELNET、RLOGIN、TN5250（AS400）；

图形协议包括：

RDP、VNC；

文件传输协议包括：

FTP、SFTP；

数据库协议包括：

Oracle、MSSQLServer、IBMDB2、Sybase、IBMInformixDynamicServer、MySQL、PostgreSQL等；

（提供截图）；

支持目标资源访问方式：

支持通过堡垒机web页面内嵌Ssh、Ftp、Telnet、Rdp\Vnc运维工具访问目标资源（提供截图）；

RDP协议支持windows服务端开启安全层SSL加密，加密级别符合FIPS标准，允许运行使用网络级别身份验证的远程桌面的计算机连接（提供截图）；

3、具备身份认证及访问授权功能：

具备本地账号+密码认证功能（提供截图），具备其它认证支持AD/RADIUS/LDAP（提供截图）；

深度解析：

oracle,postgresql,sybase,mysql,sqlserver数据库下行返回行数和oracle数据库变量绑定（提供截图）；

4、基于用户、目标设备、系统帐号、协议类型、生效时间范围、IP地址限制等设置访问控制策略（提供截图）；

运维用户多次登录失败自动锁定账号功能（提供截图）；

支持通过应用发布进行协议审计，记录命令详情，包括字符协议和数据库协议等，审计回放支持协议回放和图形回放（提供截图）

5、随机生成不同密码、随机生成相同密码以及手工指定相同密码的密码策略，并严格遵守密码强度设置（提供截图）；

支持用户客户端IP和MAC限制，非法地址无法登录（需提供截图）；

支持修改系统自身对外提供服务的默认端口，以满足不同环境的部署要求（需提供截图）

6、产品需具备：

1）公安部信息安全产品销售许可证（增强级）、ISCCC信息安全产品强制认证证书（增强级）、IPv6Ready认证证书，提供认证证书复印件；

备注：

需保证设备间的兼容性。

漏洞扫描系统

★1、接口配置：

≥6个扫描电口和1个扩展插槽（可扩展4个万兆口），2个USB接口；

至少可扫描300个IP地址，具体IP地址不限，并发扫描40IP。

产品源厂商应具备多年的漏洞研究经验和专业的攻防技术研究团队，具备独立漏洞发掘的能力。

请提供自主发现的CVE安全漏洞列表，要求数量不少于124个。

请提供自主发现的CNNVD安全漏洞列表及证书，要求数量不少于30个。

2、漏洞扫描方法应不少于19000种。

集成系统漏洞扫描、Web应用扫描、配置核查于一体；

支持扫描IPv6环境中的设备、系统（提供截图证明）；

支持云平台扫描，漏洞覆盖OpenStack、KVM、Vmware、Xen等主流的云计算平台（提供截图证明）；

支持python的多个模块的漏洞扫描，如audioop模块、audioop模块、rgbimg模块的漏洞（提供截图证明）。

支持对主流数据库的识别与扫描，包括：

Oracle、Sybase、SQLServer、DB2、MySQL等，能够扫描的数据库漏洞扫描方法不小于800种（提供截图证明）；

支持云计算平台扫描策略（提供截图证明）；

报告中的漏洞应具备统一的CVSS国际标准评分，以准确衡量漏洞的危险级别，为漏洞修补工作的优先级提供指导。

支持实时提醒当前的系统消息，包括报表下载消息、升级内容消息、日志下载消息等（提供截图证明）。

3、应支持漏洞验证功能，在扫描结束后，能够对结果中的重要漏洞进行现场验证，展示漏洞利用过程和风险（提供截图证明）。

应支持Ping、HTTP、GET请求等网站安全监控功能（提供截图证明）。

4、支持TELNET、SSH、SMB、RDP、WinRM协议的安全基线配置检查方式；

支持对主流网络设备的安全配置核查，包括：

cisco交换机、华为交换机、H3C交换机、力腾交换机、锐捷交换机、cisco路由器、华为路由器、H3C路由器、juniper路由器；

支持Wlan设备安全配置核查，包括：

邦讯、H3C、中兴、国人、、思科、傲天、华为、大唐；

在建立核查任务时支持从“资产库获取、IP段添加、Excel导入”方式添加核查设备。

（提供截图证明）；

5、支持对数据库和中间件设备安装路径自动探测功能。

密码文件读取：

系统提供密码文件模版下载功能，在建立核查任务时提供导入功能，系统读取设备信息后保存在内存中，在任务执行完毕后销毁，做到一次性使用。

6、产品资质：

产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》，要求为增强型；

产品具有中国信息安全测评中心颁发的《信息技术产品安全测评证书》，级别EAL3+；

中国信息安全认证中心的《中国国家信息安全产品认证证书》，要求为增强级；

日志审计系统

1、日志采集：

支持SNMPTrap、Syslog、ODBC\JDBC、文件\文件夹、WMI、FTP、SFTP、NetBIOS、OPSEC等多种方式完成日志收集功能.；

系统必须采用基于浏览器的用户界面，至少支持IE与Firefox。

为了适应不同用途，用户可以对界面颜色进行选择调整

2、资产管理：

系统提供基于资产的拓扑视图，可以按列表和拓扑两种模式显示资产拓扑节点【必须提供截图】；

可查看每个资产设备本身产生的事件信息、关联告警信息，并且支持向下钻取，直接进入事件列表、关联告警列表；

能够根据收到的事件的设备地址自动识别新的资产。

拓扑视图可以显示被审计资产之间的网络连接关系。

用户可以手工编辑拓扑，包括添加节点，添加/编辑连线，任意拖动节点，可以对拓扑图进行缩放，可以更换拓扑图背景；

3、系统必须内置基本的仪表板。

用户可以在工作台中自定义仪表板，按需设计仪表板显示的内容和布局，可以为不同角色的用户建立不同维度的仪表板；

4、日志管理：

日志可加密压缩传输支持加密压缩方式转发，定时转发；

支持对日志的过滤和合并；

合并支持设定合并的时间范围；

合并支持设定合并的时间范围（提供产品功能界面截图）；

5、日志分析：

系统需内置不同分析场景，包括各种实时分析场景、历史统计场景、实时统计等。

并支持支持自定义场景；

可以对选中的日志提供在线/离线地图定位、视网膜图、事件拓扑图等多种分析工具；

可以建立日志合并规则，设定合并的时间范围【必须提供截图】

6、关联分析：

提供实时和历史2种关联分析功能；

提供基于图形化方式的规则编辑器；

规则可导入导出；

7、综合显示：

能够显示告警状态雷达图，日志趋势曲线图；