一项目背景.docx
《一项目背景.docx》由会员分享,可在线阅读,更多相关《一项目背景.docx(34页珍藏版)》请在冰豆网上搜索。
一项目背景
舟山市图书馆网络与信息安全设备
一、项目背景
为了提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展,我国制定了《计算机信息系统安全保护等级划分准则》(GB17859-1999)。
该准则的发布为计算机信息系统安全法规和配套标准的制定和执法部门的监督检查提供了依据,为安全系统的建设和管理提供了技术指导,是我国计算机信息系统安全保护等级工作的基础。
舟山市图书馆网络位于我市整个文化系统网络的枢纽,根据信息安全等级保护的要求以及包括舟山市图书馆在内的全系统信息化规模的不断扩大,需要按照等级保护的要求,对核心网络及数据中心进行安全加固,根据实际需求,拟采购安全设备一批。
二、设备清单
序号
设备名称
单位
数量
1
网站防护系统
套
1
2
网络边界安全设备(上网行为管理、IPS)
套
1
3
日志审计
套
1
4
运维审计
套
1
5
SSLVPN设备
套
1
6
广域网加速设备
套
1
7
UPS系统
套
1
三、招标要求
1、网站防护系统,数量1套
项目
技术要求
▲系统组成
产品为软硬件结合的WEB安全应用防御系统,实现对WEB应用的整体防护。
整体系统包含恶意代码主动防御,网页防篡改,WEB应用防火墙,集中管理中心平台。
硬件系统采用自主研发的安全操作系统、增强型内核,能够对主机系统提供多层次、高强度的安全防护;软件系统基于内核级防御,采用主动防御的方式实时保护WEB服务器、数据库的不被篡改,免受病毒木马的侵害
▲适用的操作系统平台
网站防护产品应支持Windows2000/NT/2003/XP/2008、Linux、AIX及Solaris等操作系统。
使用的WEB服务
IIS/Apache/weblogic等
管理模式
远程和统一集中管理
▲设备规格
标准1U机架式
硬件功能
安全操作系统
采用自主研发的安全操作系统、增强型内核,能够对主机系统提供多层次、高强度的安全防护。
▲防SQL注入
通过高效的防护技术,阻止多种SQL注入类型的非法数据提交(POST/GET),支持SQL注入特征库用户自定义模式。
▲防跨站攻击
基于全包匹配机制,需有效的防止XSS攻击和注入。
高效阻止各类脚本语句嵌入。
SSL终止功能
支持HTTPS协议解析。
可信地址
支持可信地址设计,方便发布管理Web服务器
抗网络攻击
支持防网络扫描、支持连接数限制、支持连接速率限制
双机热备
支持双机热备,提高网络的可靠性
双链路
支持双链路工作接入模式
Bypass
支持Bypass功能
用户管理
提供多用户管理方式
接入模式
透明(桥)模式接入
▲接口配置
支持网络适配器类型:
10/100/1000M以太网控制器RJ45接口6个;Console1个;
▲性能指标
最大并发连接数:
1000,000
网络吞吐量≥500Mbps
MTBF≥300,000小时
软件功能
▲恶意代码主动防御
基于可信计算理念,利用信任链机制,对系统中所有装载的可执行代码进行控制。
网站防护产品应采用主动防御机制,在恶意行为发生前先行进行阻断。
网站防护产品以可信名单方式进行可执行程序的验证,确保系统对已知/未知木马、蠕虫、病毒及其变种的防护能力。
▲网页文件保护
网站防护产品应通过文件过滤驱动方式,对所发布的网站文件进行保护,即便是攻击者获取了系统最高权限也无法修改被保护的文件。
从而可以有效阻止对网页文件及系统配置文件的篡改,同时,还可有效防止内部人员的非法操作。
此外,其采用受保护目标授权对应方式,无需复杂的匹配算法,因此对系统的性能影响小于1%。
自我保护机
制
网站防护产品应具有自我保护机制,支持系统自保护,禁止
非法程序对网站防护产品自身进行非法操作。
▲防卸载机制
采用内核嵌入和指令中断机制,可保护终端防护软件不会被恶意强行卸载
▲开机防护机制
网站防护产品应支持开机保护,软件与系统内核相互依托,安全模块应随操作系统一起加载,防止安全机制被旁路的可能。
进程识别功能
网站防护产品应可以与门户网站的后台维护更新系统协同工作,识别后台维护进程,可以识别页面因正常的后台维护而发生的改变,防止误拦。
▲软件安装功能
对被保护的WEB系统如需要安装其他应用程序,可通过防护软件安装自动生成为可信程序(提供产品截图)
集中管理
▲管理功能
网站防护产品应提供网站服务器统一管控功能,构建网站系统统一的“安全管理中心”,对系统中的所有网站服务器进行统一安全管理、统一安全配置,审计信息统一存储、统一分析。
安全管理中心能够同时查看并分析软件以及硬件的日志。
管理方式
网站防护产品应采用B/S模式管理模式,可对软硬件模块进行集中管理。
▲多角色权限控制
网站防护产品应采用三权分立式管理方式,即将管理人员划分系统管理员、安全管理员、安全审计员,三个管理员分别承担不同的职责,相互监督,相互制约。
(提供产品截图)
日志审计管理
网站防护产品在检测到异常变化后,可自动报警并通知管理员。
网站防护产品可生成多种格式的日志图形报表。
网站防护产品应支持日志审记功能,并可进行日志过滤组合查询。
网站防护产品应提供日志备份功能,能将日志备份为多种格式。
▲资质要求
产品应具备:
《计算机软件著作权登记证》
《软件产品登记证书》
《计算机信息系统安全专用产品销售许可证》。
▲授权及服务
1、提供针对本项目的原厂授权函原件。
2、提供原厂针对本项目的三年7*24小时的售后服务承诺函原件。
3、提供三年原厂保修及原厂免费现场服务,产品的安装、培训由原厂工程师完成实施。
▲其他要求
中标单位于中标公示之日起7个工作日内向采购单位提供公安部信息安全产品检测中心关于应标产品的检测报告,产品类型必须为网站防护类,并提供测试机进行测试,测试结果如不满足招标参数要求,做废标处理.
2、网络边界安全设备,数量1套
项目
技术要求
▲专有硬件平台
机架式独立硬件设备或机框式插卡设备,业务模块采用多核处理器且运行模式下要求多核均参与工作(要求提供多核处理型号及产品界面截图或相关原厂盖章证明)
考虑到系统的整体性能不受影响,各个模块设备不可共用硬件资源,IPS设备必须为独立硬件设备。
▲接口要求
至少配置24个千兆光口,并配置10个千兆多模光口模块,配置24个千兆电口,最大可配置的千兆端口总数≥96个(提供原厂盖章的产品外观图证明最大接口数)
▲业务槽位数
≥4
▲流控审计性能
吞吐量≥3G
最大并发连接数≥400万
每秒新建会话数≥8万
时延<100微秒
▲入侵防御性能
吞吐量≥6G
最大并发连接数≥400万
每秒新建会话数≥10万
时延<100微秒
▲入侵检测引擎
融合模式匹配、协议分析、异常检测、会话关联分析,以及抗IDS/IPS逃逸等多种技术,准确识别各种黑客入侵,为用户提供2-7层深度入侵防御。
设备支持直接抵御,而非IDS(入侵检测)模式通过联动检测抵御。
▲电源
配置双电源热并支持热插拔
基本功能
▲IPv4协议
硬件支持分布式IPv4线速处理,其中路由协议必须支持RIP、OSPFV2、IS-IS和BGP,组播协议必须支持IGMPV1/V2/V3Snooping、PIM-SM、PIM-DM、PIM-SSM和IGMPFilter
▲访问控制
每板支持8kACL,支持Ingress/EgressCAR,粒度8Kbps
安全机制
支持Web认证,支持MAC认证,支持AAA/Radius,支持SSHv1.5/SSHv2
▲级联功能
支持多块业务板卡级联,支持多台设备进行级联
▲VLAN
支持动态划分VLAN;支持静态VLAN和802.1QVLANTrunk;VLAN数≥4K
端口聚合
支持跨模块的端口聚合,可负载分担的聚合组数不小于128组
端口镜像
支持多个物理端口的流量镜像到一个端口;支持跨单板的端口镜像;支持跨设备的端口镜像;支持流镜像到CPU和端口
▲虚拟系统
配置虚拟系统功能,每个虚拟系统配置独立的管理权限、安全策略、等功能,互不干扰;
流控审计功能
可识别P2P协议:
至少包括Thunder(迅雷)、电驴、BT、腾讯超级旋风下载协议、脱兔等,支持智能P2P识别,可控制加密和未知P2P
可识别IM应用:
支持QQ、ICQ、MSNMessenger、YahooMessenger、阿里旺旺、网易泡泡、新浪UC、飞信、校内通、多玩YY、慧聪发发、XXHI、51彩虹等协议
支持对用户URL访问历史记录的查询审计,包括提供访问的用户名/IP、网站信息、网页信息、URL信息、网页标题、访问时间等
可识别e-mail:
支持Webmail和本地邮箱,如新浪、21cn、中华邮、亿邮、搜狐、QQ、Hotmail等协议,支持SMTP、POP3、IMAP4协议识别。
支持SMTP/POP3邮件信息审计
可识别多媒体协议:
支持QQ直播、搜狐网络电视、PPLive(PPTV)、优酷网、电视蚂蚁、原力网络电视、风行网络电视、联合网视、偶偶网等不少于100种
可识别BBS论坛:
支持对天涯、猫扑、XX贴吧、19楼、51社区、淘宝网、阿里巴巴、东方论坛等论坛,支持按照Discuzbbs和phpwindbbs分类的BBS论坛
可识别企业桌面应用识别:
支持Notes、IMAP、POP、SMTP、FTP、Telnet及Syslog等
支持对FTP审计,包括记录登陆用户名、用户IP、服务器IP、操作类型、传输文件名、传输文件附件、访问时间等
可识别网页搜索:
支持对Google、XX、搜狗、狗狗、yahoo搜索引擎的识别
可识别炒股软件:
支持大智慧、同花顺、证券之星等
可识别网络游戏:
支持魔兽世界、QQ游戏、联众、新浪游戏大厅、浩方对战平台、VS对战平台、地下城和勇士、穿越火线、大唐无双等且不少于200种
▲URL地址:
支持超过1300万条地址库,分类超过50个,支持二级分类(提供原厂盖章截图)
▲可以识别协议数量超过1400个(提供原厂盖章截图)
入侵防御功能
▲攻击特征库数量≥4800(提供原厂盖章截图)
▲病毒特征库数量≥50000(提供原厂盖章截图)
▲集成第三方专业防病毒厂商的专业病毒库,在网站有相关声明,能提供与防病毒厂商的合作证明
支持深入七层的分析检测技术,能检测防范的攻击类型包括:
蠕虫/病毒、木马、后门、DoS/DDoS攻击、探测/扫描、间谍软件、网络钓鱼、利用漏洞的攻击、SQL注入攻击、缓冲区溢出攻击、协议异常、IDS/IPS逃逸攻击等。
可以识别迅雷、BT、eDonkey/eMule、Kugoo下载协议、多进程下载协议(网络快车、网络蚂蚁)、腾讯超级旋风下载协议、脱兔TuoTu下载协议、Vagaa哇嘎“画”时代、Gnutella、DC等P2P应用;可以识别MSN、QQ、ICQ、YahooMessenger等IM应用;可以识别PPLive、PPStream、HTTP下载视频文件、沸点电视、QQLive等网络视频应用;可在识别的基础上对这些应用流量进行阻断或限流。
支持IP碎片重组、TCP流重组、会话状态跟踪、应用层协议解码等数据流处理方式。
采用全面深入的分析检测技术,结合模式特征匹配、协议异常检测、流量异常检测、事件关联等多种技术,能识别运行在非标准端口上的协议,准确检测入侵行为。
支持URL过滤;URL过滤可以基于时间、主机,能够精细到单一IP地址
IPS检测到攻击报文或攻击流量后,支持阻断、隔离、限流的响应方式。
支持DDoS攻击防御,包括TCPFlood、UDPFlood、ICMPFlood、SYNFlood、DNSReply\RequestFlood、HTTPGet等攻击种类。
支持基于时间、方向、用户IP对网络滥用流量进行限流
支持对病毒感染主机或黑客主机的网络隔离或访问重定向,支持对攻击报文进行抓包追踪。
支持白名单和黑名单功能
支持策略自定制能力。
支持对不同的网段运用不同的检测策略
支持细粒度的特征规则设置,可以为单条不同的特征规则设置不同响应方式,包括告警、阻断等。
其他功能要求
支持应用防火墙、IPS、流量控制、安全审计、应用交付、异常流量清洗/检测等深度业务功能的按需扩展。
配置可热插拔风扇,更换风扇不影响设备正常运行
配置管理页面上可进行端口流量的动态显示和统计、IP数量的统计、端口数量的统计、IP连接数的统计以及IP新建连接数的统计等;
▲资质证明
具备公安部《计算机信息系统安全专用产品销售许可证》
具备国家保密局《涉密信息系统产品检测证书》
具备国家解放军《军用信息安全产品认证证书》
具备国家测评中心《信息技术产品安全测评证书EAL1》
具备国家信息安全认证中心《中国国家信息安全产品认证证书》(3C认证)
具备国家版权局的《著作权登记证书》
审计模块为浙江省公安厅互联网专线用户入围推荐品牌
▲授权及服务
1、提供流控审计及IPS三年特征库免费升级。
2、提供针对本项目的原厂授权函原件。
3、提供原厂针对本项目的三年7*24小时的售后服务承诺函原件。
4、提供三年原厂保修及原厂免费现场服务,产品的安装、培训由原厂工程师完成实施。
3、日志审计,数量1套
基本要求
描述
▲资质要求
1、提供三年以上国家公安部颁发的《计算机信息系统安全专用产品销售许可证》;
2、通过国家信息安全产品强制认证(增强型认证);
3、军用信息安全产品认证证书,认证等级"军C+"级以上;
4、提供三年以上国家保密局涉密信息系统认证;
5、提供产品《计算机软件著作权登记证书》。
▲系统要求
1、产品结构:
要求为一个完整的软硬件一体化的日志审计系统;无需用户另行提供服务器、操作系统、数据库、防火墙软件、及用户手动升级系统补丁;
2、操作系统:
Linux系统;
3、日志生命周期管理:
包括日志采集、审计分析、存储备份功能。
4、管理方式:
B/S方式;
5、设备部署:
提供旁路接入模式,设备部署不影响原有网络结构。
▲网络接口
审计主机至少提供千兆RJ45*2(一路数据传输口;一路系统管理口);
网络接口支持电口,可升级为光口;
采集要求
采集日志范围
支持网络行为日志(HTTP、FTP、TELNET、SMTP、POP\POP3、P2P、即时聊天等)
支持数据操作行为日志(Orale[8i、9i、10g、11g],SQL-SERVER[2000、2003],MYSQL、Informix、SyBase);
支持网络系统运行状态日志(主流安全产品防火墙[Juniper、NETSCREEN、Checkpoint、天融信、东方龙马、东软、H3C等],IPS/IDS[启明星辰、绿盟],防毒墙[趋势、FortiGate]、UTM[Fortinait、启明星辰];网络设备交换机和路由器[Cisco、H3C、HUAWEI];
操作系统MicSoftwindows[2000、XP、2003、Vista],HPUNIX、IBMAIX、SUNSolaris等;
支持所有文本型日志。
(提供相关配置截图,原厂商盖章)
必需提供每类日志的产品截图(不少于三种),原厂商盖章。
日志采集方式
网络行为日志及数据库行为日志采用旁路镜像网络流量,提取筛选日志数据;
Windows系统日志采用安装Agent方式采集日志;
安全产品、网络设备、及*Nix操作系统通过SYSLOG、SNMP、OPSECLEA采集;
支持所有文本记录型日志、SYSLOG协议日志自定义格式采集;
文本记录型日志[IIS、APACHE、WEBlogic等]可通过FTP、HTTP、SMB共享方式下载或在宿主操作系统安装agent方式采集;
日志采集能力:
4500条/秒以上
存储要求
所供系统设备必须自带本地存储功能;
▲存储系统为自主研发文件系统,须提供计算机软件产品著作权登记证书
物理磁盘空间>=900GB;日志存储量至少1'000'000'000条(十亿条);(指标以原厂公开资料为准)
日志存储周期三个月以上;
▲RAID5架构以保证数据可靠性,(指标以原厂公开资料为准);
基本功能
实时功能
实时窗口支持自定义布局,多种日志类型分子窗口实时滚动显示;
实时滚动显示的明细日志可自定义显示日志字段;
实时窗口支持图形(饼、柱、曲线图)及明细日志等多种显示方式;
实时显示多种日志属性滚动显示(原始日志、重要日志、告警日志);
实时显示审计主机系统状态(CPU、内存、磁盘空间);
实时显示当前日志流量(当前总流量、各日志源流量等多种TOPN显示方式);
审计分析报告
系统默认报告数量不少于百种;
以图(柱、曲线、饼等),统计、明细数据的方式表现;
支持动态\静态(日报、周报、月报)两种系统生成方式;
支持报告模版创建、修改、删除功能;
支持报告的邮件转发、生成提醒功能;支持多人邮件接收;
支持自定义审计报告;
支持多层嵌套报告;
支持报告自定义归类;
支持导出html、Excel、PDF;
报告名称以树型菜单统一高效管理;
查询检索
日志数据全字段检索至少满足500万条<5秒;
支持多条件组合查询方式;
支持多日志类型同时查询,以日志类型分别显示;
支持逻辑运算符(或、与、非);
支持IP、字符、数字、日期、时间等日志字段;
支持查询模版创建、修改、删除功能;
支持历史查询任务列表的查看;
支持导出html、Excel、PDF;
支持日志字段自定义选择显示;
分析规则
默认规则库数量至少500条;
支持自定义规则;
规则条件支持逻辑运算符运算;
规则条件支持正则表达式方式;
规则告警支持屏幕、邮件、短信方式;
规则条件支持多条件组合方式;
支持告警日志内容自定义等级、接收用户组、描述信息;
支持对规则启动、停用;
备份归档
支持日志属性(原始日志、重要日志、告警日志)、日志类型、存储周期的方式选择备份;
支持日志恢复导入;
支持自动与手动两种归档策略
支持本地、FTP上传、SFTP上传等归档方式;
支持各种日志类型磁盘空间比例分配;
系统管理
支持审计系统帐号、组管理(添加、修改、删除);
支持资产管理,即所有采集日志源管理维护;
系统安全
系统自身安全
系统内置安全防火墙;支持控制访问审计主机范围;
必需提供内部通讯检查机制,传输128加密;
管理接口支持串口或电口的方式管理;
管理界面与其他功能模块分离;
日志数据安全
审计日志文件方式存储;
审计日志加密导出审计系统;
支持所有审计管理员操作审计系统的动作进行审计;
支持记录审计系统之间的物理、逻辑状态变化;
日志权限
审计员只限于操作权限设置范围内的日志数据,无权限日志数据透明;
支持日志类型权限设置;
支持IP地址权限设置;
支持页面功能模块权限设置;
扩展能力
▲支持系统维护行为审计(以原厂公开资料为准)
支持分布式部署升级
▲系统升级
二次开发
1、在设备维保期内,厂家提供对系统软件的免费升级服务,保证系统软件为最新版本。
2、根据用户需求定制开发相关内容,包括报表和报表日志的查询等功能。
其他要求
▲系统
许可方式
永久许可方式,再增加审计用户的情况下不用增加授权许可。
▲成功案例
2006年6月至今成功案例,浙江省省级机关单位案例不少于3个,浙江省市级机关单位案例不少于3个,浙江省图书系统案例不少于1个。
(以客户使用报告或者合同为准)
▲产品授权
及服务
1、提供针对本项目的原厂授权函原件。
2、提供原厂针对本项目的三年7*24小时的售后服务承诺函原件。
3、提供三年原厂保修及原厂免费现场服务,产品的安装、培训由原厂工程师完成实施。
4、运维审计,数量1套
1.▲产品资质
6、提供《计算机信息系统安全专用产品销售许可证》三年以上;
7、通过国家信息安全产品强制认证(增强型认证);
8、军用信息安全产品认证证书,认证等级"军C+"级以上;
9、提供通过国家保密局涉密信息系统认证三年以上;
10、提供产品《计算机软件著作权登记证书》
2.厂商资质及要求
1、厂商总部本省优先考虑。
2、提供厂商在本省人员社保证明,20人以上。
3、厂商产品需要为主流产品,提供厂商在浙江省机关单位审计产品案例不少于3个,浙江省图书系统案例不少于1个。
(合同或用户使用报告为准)
4、厂商注册资金至少壹仟万以上。
5、厂商具有(ISO9001:
2000)质量管理体系统认证证书。
3.系统架构
▲基于X86的嵌入式系统,内核版本3.0以上,不得使用第三方发行版Linux
▲系统盘与数据盘分离,且系统盘为只读
▲系统盘存储介质DOM盘或CF卡;
▲系统盘不超过512M;
▲系统盘必需加密;
提供系统主机必须为软硬体一体,硬件形态;应用的发布系统内嵌在系统主机;
▲存储系统为自主研发文件系统,须提供计算机软件产品著作权登记证书(数据检索实时性高,所以不考虑关系型数据库)
网络接口不少于2个(千兆电口)、物理磁盘不少于450G,raid架构
多级架构部署能力
并发数峰值达到:
字符会话600个,图形会话200个
4.认证管理
支持多种认证方式:
本地密码认证、RSA动态口令认证、安盟动态口令认证、第三方RADIUS协议服务系统认证、LDAP认证、AD域认证以及短信认证;(提供原厂商出据的证明)
支持“审计系统帐号”与“服务器帐号”相关联,实现操作者的自然人身份确认;
支持SSO功能,使用人员不必知道服务器帐号及密码,无需进行二次登录认证;
5.授权控制
支持按访问对象主机、访问协议、账号等组合方式进行授权;
支持审批模式:
运维用户访问特定的服务器设备必须经过管理员的临时审批授权才能进行,否则无法进行任何操作;
支持备注模式:
运维用户访问服务器前必须先填写该次访问的维护目的等内容,否则不能进行访问操作;
支持针对指令操作授权;
6.事后审计
所有审计数据(文本记录,视频记录)在系统页面上查看.无需提供其他设备或客户端;
支持所有运维操作系统视频记录,WEB在线视频回放,无需安装播放客户端。
支持所有键盘操作,文本记录。
支持回放界面中显示操作发生时间;
支持回放界面中显示键盘输入、特殊按键、鼠标动作;
图形会话回放支持分段截图功能;
7.策略配置、告警功能
支持向导式访问策略和授权策略配置过程;
支持根据源IP地址、时间、用户名、操作指令、目标服务器主机等内容设定安全事件规则;
支持旁路阻断不通过系统的运维访问,无需通过配置ACL完成
支持对违规操作的指令(黑名单)进行忽略处理;
支持对违规事件进行告警及自动阻断;
支持对违规事件进行二次审批;
支持以屏幕、邮件、SYSLOG、SnmpTrap等方式实时发送告警信息;
8.密码管理
支持自动改密功能;
支持改密结果自动发送至密码管理员功能;
支持自动改密结果报表
9.运维管理方式
支持客户端方式访问RDP、SSH、TELNET协议;
支持字符菜单方式访问SSH、TELNET、Rlogin协议
支持图形菜单方式访问RDP、VNC、X11、Oracle、MSSQL、Sybase、Mysql、Radmin、Pcanywhere、HTTP、HTTPS协议;
支持所有提供的协议双人协同操作;
支持访问目标对象方式:
直接浏览器
升级会员 