网络维护设备参数及技术要求.docx
《网络维护设备参数及技术要求.docx》由会员分享,可在线阅读,更多相关《网络维护设备参数及技术要求.docx(44页珍藏版)》请在冰豆网上搜索。
网络维护设备参数及技术要求
网络维护设备参数及技术要求
一、方案背景
我局目前拥有的服务器、台式办公电脑、手提电脑、网络打印机等设备,网络体系架构比较复杂。
在目前没有部署企业级杀毒软件的情况下,很容易发生一台电脑中毒,导致重要应用系统出现故障,甚至出现整个网络瘫痪的严重问题;另外,服务器文件备份不完善,服务器一旦中病毒,其数据很可能造成丢失或被篡改;为更好解决以上问题,制定本方案。
2、建设内容
1、网络优化处理:
(1)增加一台上网行为管理。
对各大队连接到局大楼核心交换机进行上网的行为进行审计,拟检测攻击的源头。
因此部署一台上网行为管理,对其做上网审计和流控。
(2)局大楼各楼层增加智能管理交换机。
优化各楼层所使用的交换机。
能防止DDOS、ARP等网络攻击,隔离广播风暴,和蠕虫病毒,保证整个办公网络稳定性。
(3)增加一台防火墙。
在省网和核心交换机之间部署一台防火墙保证网络安全,并用作址转换,可以起到IP地址转换功能解决有的网段不能访问OA的问题,也可以增强局内的网络安全。
2、病毒处理
(1)安装企业级杀毒软件,集中部署,能监管和扫描每台服务器及办公设备的是否收到病毒攻击情况。
每天扫描所有客户端的病毒情况,定期每周做一次集中的扫毒情况。
(2)在微信服务器上安装一套网页防篡改软件,减少遭到来自外网的攻击。
3、网络安全检测服务
在对系统信息未知或部分已知的前提下,经过收集信息、制定渗透策略、漏洞测试、漏洞验证、提升权限、深度渗透等步骤,结合模拟黑客攻击手段,对被测信息系统进行可控的攻击测试,获取目标系统权限或找出系统的安全缺陷,以此评估目标系统的安全性。
通过对支撑平台的网络设施、服务器系统、应用系统和数据库系统开展定期安全扫描、本地安全检测、安全日志分析和漏洞评估、安全加固优化等一系列作业内容的专业安全运维服务。
充分分析和评估信息系统设施与监管单位要求,以及存在的安全漏洞和隐患。
(1)安全漏洞评估
使用专业的工具设备通过网络对现有信息系统服务器、应用系统、中间件应用和数据库管理系统等对象进行漏洞扫描和检测,分析和评估操作系统、应用和设备等存在的安全风险和隐患。
(2)本地安全检测
在用户授权下,依据相关信息安全技术与管理标准要求对网络设备、操作系统、应用系统、中间件和数据库进行全面的本地化安全核查、差距分析等工作
(3)安全加固优化
对安全检查的结果中发现的系统弱点、管理缺陷、管理薄弱等一系列安全问题,提出可行的整改解决方案,协助用户方开展整改工作,提高系统安全性和风险管理水平。
(4)应急服务
提供7*24小时多种方式的安全事件应急服务。
一旦发生业务信息系统因非法攻击或病毒入侵等原因而遭到破坏、更改或泄露,造成系统不能正常运行,或已经发现的有可能造成安全事件的隐患,如非授权访问、信息泄露、系统性能严重下降、蠕虫或大面积爆发病毒等情况。
我们公司派资深工程师将第一时间到达客户指定现场协助解决问题,防止事态进一步扩大。
三、设备采购清单及预算总价
序号
产品名称
技术规格参数
数量
单位
1
安全防毒网络版
详见
(1)防毒技术规格参数
1
套
2
防篡改、抗攻击
详见
(2)防篡改规格参数
1
套
3
防火墙
详见(3)防火墙规格参数
1
台
4
上网行为管理
详见(4)上网行为管理规格参数
1
台
5
交换机
详见(5)交换机规格参数
7
台
6
系统安全维护服务
详见(6)系统安全维护服务内容
1
年
金额合计:
251845.00元
(1)防毒技术规格参数
厂商及产品资质
1.达到中国计算机病毒防治产品检验中心检测认证一级品标准,提供一级品认证证书及检测报告。
2.软件产品至少10次以上通过VB100国际权威认证。
3.在中国人民解放军信息安全测评认证中心组织的产品评测中,以高分获得军B等级,并获准进入军队系统。
提供军用信息安全产品认证证书及认证报告。
4.安全软件产品的厂家具有国内自主知识产权或在国内登记为国产软件产品。
5.安全软件产品通过西海岸(WestCoastLabs)东方之星认证(WestCoastLabs)
6.安全软件产品通过AV-Comparativesrr国际独立杀毒软件测试机构认证
部署管理
1提供文件特征云查询服务器,该服务器属于产品内建组件而无需另外部署其他产品支持,云查询服务器能够连接厂家共有安全云系统自动进行文件特征查询同步,且能够支持隔离网环境。
2产品采用稳定的C/S软件通讯架构,有良好的可扩展性和易用性,以支持大型网络跨地域跨网段等场景的部署;
3提供包括Web安装在内的多种安装方式,以适应大型网络的安装部署工作,而且要求采用Web安装过程中,可以不需要客户端进行任何干预。
4提供基于Web的B/S移动管理架构,管理员可以在网内任意一台计算机上通过web方式随时随地登录控制台实现全网管理,而勿须在实现该功能的客户机上安装特定的管理组件。
5管理控制台须支持谷歌、火狐、搜狗、opera、safari等非IE核心浏览器,满足网络管理人员管理的便利性。
6安装部署管理端无需第三方组件,比如IIS、SQL数据库等。
7可扩展的分级管理架构,通过对系统中心的分级,使用主系统中心来集中管理数据,以实现以单个系统中心对多个二级节点及其他特殊防毒节点的集中管理。
具有良好的可扩展性和可伸缩性,对于网络规模扩大或新增节点都可以很容易地实现集中管理。
8可在物理资源不够的情况下虚拟分级来实现多级管理
9支持IP实名制,提供终端管理名称备注功能,通过对终端名称进行备注,实现终端管理实名制,可以实现终端与使用人员的关联,提升终端管理的便利性。
10提供隔离网络智能升级方案,能够保证隔离网络与在线网络相同频率的增量升级方案。
11提供在线工具,确保网络用户能时时在内网服务器获得病毒专杀工具及相关修复工具。
12多样式的帐户管理设置,默认可分配三种管理员权限,普通管理员、配置管理员、审计管理员,并可以按实际需求,手动修改具体权限,可适应企业不同人员权限的划分设置,以保证灵活与安全管理规范。
13自主授权分割功能,管理员可以从主系统中心分割授权客户机数量给下级系统中心,限制下级系统中心对客户机的注册数量,阻止非法客户机注册。
14IP分组,用IP可以进行分组和修改IP分组。
客户机注册之后根据IP分组设定自动进入分组设定而无需人工手动分组。
15提供全网集中漏洞扫描及修复技术(包括隔离网络解决方案),提供网络内客户机存在漏洞补丁汇总报告,远程完成系统补丁程序的安装,以解决网内系统的漏洞修复问题。
修补过程勿须客户机参与,客户机以非管理员权限登录,也能完成漏洞扫描和修复。
16网络管理人员能够通过控制台查询特定电脑存在那些漏洞补丁、或者特定补丁都存在那些电脑没有进行修复,并能够实现远程通知立即修复或定制修复漏洞补丁策略。
17提供隔离网环境下系统补丁汇总与补丁下载同步工具,在隔离网环境下也能够方便快捷的实现补丁同步功能,提供全网补丁的修复下载。
18强大、灵活的管理和任务调度手段,允许管理员通过管理中心控制台,集中地实现全网范围内防(杀)病毒策略的定制、分发和执行。
19允许管理员通过控制台,集中地实现所有节点上防毒软件的监控、配置、查询等管理工作,包括二、三级节点以下的防(杀)病毒软件。
20一键式部署功能,产品无论主节点所有组件还是二级节点所有组件均提供一键式安装功能,提供快捷高效的产品部署方式。
21高级报表功能,可以按照用户的需求定制各种报表,或者按照策略按周、月、季、年度生成所需报表。
22系统中心控制台具有消息推送功能,能够实现网络管理人员对全网或者指定客户机发送消息
23提供按照月份病毒木马在企业网络查杀的统计曲线图,帮助网络管理人员了解企业网络病毒防范处理的整体概况。
24提供全网电脑终端防火墙管理功能,能够实时查看电脑终端系统防火墙状态。
25在产品中定期提供病毒木马预警信息,以及企业安全信息咨询。
26提供版本平滑升级功能,当有大版本更新时,中心管理端与客户端均能够一键式平滑升级为最新版本,无需再对中心端进行重新安装、重新授权的操作,客户端也可自动平滑升级为最新版本,无需人为参与,大大降低管理员的工作量。
客户机功能
1终端默认支持云防御与云查杀功能,且无需借助其他软硬件平台。
2提供实时和定时检测、清除病毒功能,实时检测和清除来自各种途径的各类恶意代码和特洛伊木马等黑客程序。
对来自Internet、E-mail或是光盘、软盘、移动存储、网络等各种入口渠道的宏病毒、特洛伊木马、黑客程序和有害程序等全面进行实时监控。
3发现病毒后,提供多种处理方法,例如清除、删除或隔离。
4要求占用系统资源低,网络版杀毒软件的客户端程序在监控状态占用系统资源CPU不高于10%,内存占用不超过30MB
5产品终端程序集成宏病毒专杀模块,并可在未安装office软件时也能对宏病毒进行查杀
6具备系统优化功能,能够统计开机时间,对开机所加载的启动项进行管理,可以关闭无需开机就加载的项目,提升开机速度;能够对启动项、系统服务项、计划任务项以及应用程序的扩展加载项进行开启或关闭处理。
7提供抢先加载防毒,在系统未加载前启动文件监控,通常情况下不必重启到安全模式也能清除病毒。
8客户端提供进程管理功能,可实时查看系统进程,并提供自动验证进程是否可信,支持一键结束进程
9提供专业工具,能够有效拦截来自互联网的网页木马入侵,针对日益广泛的钓鱼网站的危害,能够网址云端鉴定功能,实时保护上网购物、交易安全、避免被钓鱼网站危害。
10提供电脑安全边界防御功能,对通过优盘、网络、互联网、下载工具以及QQ类通讯软件进入的文件给于安全性鉴定,能够向用户报告这些文件是否为安全文件,有助于帮助终端用户在确认为安全文件时再执行,对于鉴定为未知的文件则谨慎处理。
11具有病毒自动隔离功能,对无法清除病毒的被感染文件,防(杀)病毒软件能够自动隔离感染文件,并在用户许可的情况下传送至防(杀)病毒软件生产商。
隔离系统不能将本地染毒文件隔离到其它计算机或服务器,以防止隔离的文件被XX的人员查看。
12提供优盘等移动设备接入电脑自动检测功能,全面拦截和清除在移动设备接入系统可能带来的病毒木马。
13提供电脑系统垃圾清理功能,能够对上网产生的垃圾,看视频和听音乐产生的缓存,以及Windows和常用软件生成的垃圾文件进行清理。
14提供清理痕迹功能,能够对上网浏览记录、Windows系统使用记录、办公、视频播放记录、文件下载记录等各项信息进行清除,保护企业终端隐私不被外泄。
15提供清理注册表功能,能够对各种冗余动态链接库以及各种无效的项目进行清理,加快系统运行速度。
16客户端支持漫游升级功能,当客户机脱离本地网络时,只要检测到具备互联网连接时,客户端能够自动更新到最新病毒库;支持从互联网下载系统漏洞修复补丁,支持连接厂家安全云平台进行云查杀。
服务保障
1每日提供病毒库更新不少于1次
2建立病毒跟踪、研究和支持响应体系,有强大的本地化技术支持力量,能配合其代理商一道,为客户提供完善、即时的售后服务。
保证网络系统在遭遇新型病毒或突发情况下得到及时响应。
3提供7×24专线电话支持;本地化应急服务紧急病毒事件2小时内响应,在获得有效样本后2小时内提供应急解决方案,避免病毒事件扩散,最大限度减少损失;
4定期回访服务定期通过电话或其它方式访问用户,了解产品使用情况及网络安全情况;
5提供重大病毒预警通知服务;
6提供反病毒专业技能培训。
(2)防篡改规格参数
资质
通过公安部信息安全产品检测中心检测并获得销售许可证书,提供证书复印件并加盖公章;
通过国家保密局涉密信息系统安全保密检测中心检测并获得产品检测证书;,提供证书复印件并加盖公章;
通过中国信息安全测评认证中心检测并获得中国国家信息安全产品认证证书(3C);
产品原厂商近几年不得出现违法违纪或造假行为;
基本要求
产品形态软件
支持的操作系统Windows2000、2003、2008、2012、32&64位
Redhat,CentOS,SUSE,Asianux等32&64位
UNIX系列:
AIX,HP-UX,Solaris
支持WEB服务器IIS、apache2.0、apache2.2
java系列(weblogic,websphere,tomcat,jboss)等
nginx
管理方式B/S管理方式,支持windows/linux平台
管理端支持主备模式部署
核心技术采用先进内核驱动、WEB核心内嵌和实时触发机制结合
内核自定义编译支持云主机Xen内核
防篡改功能
文件保护支持各类网页文件的保护,包括静态和动态网页以及各类文件信息
目录保护支持对指定文件夹以及子文件夹的保护,避免上传非法文件及木马等恶意文件或插入恶意代码
模板配置支持在同一种操作系统下,网站路径相同,可通过规则模板,用模板统一将规则下发到各监控端,无需对监控端进行一一配置
一键启停文件保护一键启停所有监控端对文件保护,不必登录WEB服务启进行停启。
断线检测和防护在与其它模块网络断开的情况下能防止文件被篡改
篡改规则支持基于目录、进程、文件、文件类型等进行设置篡改规则
支持正则表达式设置许可策略
支持对符合许可策略的更新发布进行审计
Docker容器,支持docker容器
自我保护防篡改程序的进程被kill,防篡改功能不会失效
防篡改程序有自我保护机制
防攻击功能
WEB安全防护能够有效防止SQL注入攻击、跨站攻击、溢出代码攻击、对危险文件类型的访问、对危险系统路径的访问、特殊字符构成的URL利用、防止构造危险的Cookie等
防字段溢出支持自定义HTTP头的各字段溢出自定义(须提供功能截图并加盖原厂公章)
规则自定义支持防护规则基于HTTP头的各字段进行自定义(须提供功能截图并加盖原厂公章)基于时间,IP调整规则能根据时间段,IP段进行规则调整。
(须提供功能截图并加盖原厂公章)
IP黑白名单黑白名单内的IP访问页面时进行阻断
同步功能
自动同步支持事件触发机制和时间触发机制,将更新的文件同步到WEB服务器上。
且支持一对多同步
增量同步采用事件触发+定时同步机制
同步规则支持同步文件的包含与排除自定义
管理控制
站点管理对WEB服务器的CPU,内存,磁盘等信息进行监控展显
对WEB站点进行周期性网码扫描
用户管理支持多用户分级管理
管理端支持ACL,设定允许的源IP才能访问(须提供功能截图并加盖原厂公章)日志支持多种日志级别,并支持日志导出
告警方式支持SYSLOG、邮件、短信、界面提示等多种告警方式
网站备份支持对网站全量备份、增量备份
性能指标
最大保护对象不限
最大保护深度不限
占用资源情况CPU,内存占用资小于3%
售后服务
提供原厂合同期限内免费升级维护,需提供承诺函
提供原厂产品培训服务
(3)防火墙规格参数
资质
通过公安部检测并获得公安部计算机信息系统安全专用产品销售许可证
原厂商注册资金不少于3000万,需提供经年检合格的营业执照副本
原厂商具有中国信息安全测评中心颁发的信息安全服务资质
规格
标准1U专用千兆硬件平台
硬件架构
采用先进的多核网络专用架构,使用64位MIPS多核处理器,非X86的多核架构或ASIC架构
网口数量
10*GE电口,1*SFP光口
性能
设备最大吞吐量≥1Gbps
每秒新建连接数≥3万
最大并发连接数≥50万
IPSecVPN隧道数≥1024
SSLVPN≥128
IPSecVPN性能≥280M
AV吞吐量≥600M
部署模式
支持路由模式、透明(网桥)模式、混模式,支持将多个物理网口加入一个网桥中;部署模式切换无需重启设备;支持镜像和被镜像;
NAT
支持源地址转换、目的地址转换、双向地址转换、NAT44
路由支持
支持静态路由、策略路由、动态路由、ISP路由;策略路由支持七元组策略;动态路由支持RIP、OSPF等;ISP路由支持运营商地址自定义;提供web配置界面截图
VRF
接口默认属于root,创建VRF后可把接口添加到VRF内,一个接口只能属于一个VRF
不同vrf下的接口可以配置相同的ip地址
支持静态路由
链路聚合
透明、路由模式下支持将多条链路带宽进行捆绑
4G支持
支持4G扩展网卡。
支持在4G接口上运行IPSecVPN,提供web配置界面截图
IPv6
支持接入IPv6网络
支持配置基于用户和应用均为任意的7元组的IPv6策略
支持NAT64
安全通信
实际配置支持一对一、多对一、多对多等多种形式的NAT,支持H.323等应用协议ALG
实际配置支持基于用户、应用、时间对象的流量管控和策略设置,并提供截图
接口实际配置支持secondIP地址
每个接口要求支持至少200个secondIP,并提供截图
IPS
支持基于源、目的、规则集的入侵检测
支持5种自定义动作
支持软件bypass(CPUand内存高于70%)
可记录攻击日志
支持针对Web服务器防护,包括网页防爬虫、网页防篡改、HTTPS防护、DDoS攻击防护、Web攻击过滤、漏洞防护自学习等
系统定义超过2800条主流攻击规则,包含Backdoor、bufferoverflow、dos/ddos、im、p2p、vulnerability、scan、webcgi、worm、game
AV
支持HTTP,FTP,POP3,SMTP,IMAP协议的病毒查杀
查杀邮件正文/附件、网页及下载文件中包含的病毒
支持启发式扫描查杀未知病毒
支持ZIP/RAR等压缩文件的病毒查杀
压缩:
默认5层,最大20层
支持TAR等多种打包文件的病毒查杀
VPN
实际配置支持IPSecVPN接入,内置VPN硬件协处理器
实际配置支持DES、3DES、AES加密算法,并提供截图
IPsecVPN支持第三方对接和快速配置,自有设备对接时加密算法等参数无需配置,自动生成,仅需配置保护子网、共享密钥、IP地址,支持配置国密,提供Web界面配置截图
HA可同步IPsecVPN状态,当HA主备切换时无需VPN重建
支持统计隧道持续时间,支持统计隧道流量
支持用户强制下线
支持SSLVPN,客户端支持适应多平台、多终端
应用协议识别
支持主流P2P、IM、在线视频、网络游戏、网络炒股等应用识别;
支持BYOD特征库,可识别ios版和安卓版移动互联网软件如微博、微信等特征,并提供web界面配置截图;
支持基于IP、端口等自定义协议服务;
应用特征库可提供在线升级和手动升级
支持智能和快速识别模式配置,要求提供web界面配置截图
URL过滤
内置URL分类库,支持55个URL分类,URL库可在线升级
支持自定义URL过滤,并支持URL的模糊匹配,提供web界面配置截图
可广泛识别恶意网站、违法网站
流量管理
支持通道化的QoS,支持基于源地址、用户、服务、应用、时间进行带宽控制,并支持配置保障带宽、限制带宽、带宽借用、每IP带宽、带宽优先级等QoS动作,时间选择支持基于日计划、周计划、单次计划等,并提供web界面配置截图
支持4级层次化QoS、支持多级用户/用户组嵌套,提供web界面配置截图
支持用户(用户组)+应用(应用组)+时间等条件的组合进行多线路带宽管理
支持进行IP、整机会话限制,提供web界面配置截图
支持应用、用户流量统计,应用流量支持趋势图、饼状图呈现,可查看某一应用的流量趋势图和其Top流量用户,提供web界面截图
防私接路由
可识别私接主机个数,并可制定策略分别设置私接终端类型个数为阀值进行封堵,支持自定义阻断时间,同时支持基于IP及IP段配置白名单,提供Web界面配置截图
支持私接用户的PPPoE账号展现,提供Web界面配置截图
支持基于用户、MAC、终端数量的监控和搜索
用户认证功能
支持WEBPortal认证功能,支持本地认证、Radius认证、LDAP认证和LDAP用户同步,支持对接IMC、AAS、SAM等常见AAA服务器,支持配置强制重新认证间隔,支持配置认证通过后重定向URL,要求本机自身支持短信认证功能,提供web界面配置截图
支持portal服务器联动,支持radius服务器联动,支持实现NAS-Identifier(32)在无线场景携带AC名字
支持认证页面自定义
支持微信认证功能,使用微信连WiFi2.0接口,限制微信流量放通(pc和移动端,认证通过放通),支持基于http获取access_token,支持微信内部浏览器http弹portal
强制关注功能(定时检查用户是否关注公众号),提供Web界面配置截图
支持短信认证,登录后方可认证上网
支持混合认证,支持界面配置选择多种认证方式,用户可根据需要更换认证方式
用户管理
支持同步LDAP用户,支持标准AD服务器和OPENLDAP服务器的用户导入,支持针对同步的用户和用户组配置策略
支持用户批量移动功能,支持一键删除所有的用户,用户组
支持与AD的自动、手动同步用户,支持定时、配置及手动同步第三方用户
支持自定义移动用户、用户组,支持模糊搜索用户名、用户组名
应用缓存
支持文件缓存,支持安卓和IOS形式的文件,文件形式不限于视频、APP、文本文件等
服务质量管理
支持PING、TCP、DNS探测
支持接口探测、域名探测
支持自定义间隔时间探测
广告推送
支持配置在用户上网时弹出广告页面,可自定义广告图片,支持与第三方广告联动,可配置点击广告后的返回页面和广告弹出时间
链路负载均衡
支持7元组的链路负载均衡策略
支持基于域名的负载均衡策略
基于支持直连网段和特定网段的负载均衡排除
支持基于ICMP、TCP、DNS等协议的接口探测机制
DNS透明代理
支持DNS透明代理;支持DNS负载均衡;支持DNS静态域名映射;支持DNS特定域名请求转发
支持基于优先级、权重的DNS代理算法,支持静态域名配置,支持特定域名特定DNS服务器解析,静态域名和特定域名支持模糊匹配
支持DNS域名匹配顺序
支持DNS透明代理缓存管理
双机热备
支持双机热备,支持主主模式、主备模式,支持同步配置、会话、运行状态、VPN状态、特征库,支持配置抢占模式和抢占延时,支持配置HA监控接口
支持地址代理
支持非对称路由
配置管理
支持通过管理平台进行集中管理,统一升级,下发配置,收集日志
PKI
支持X.509V3数字证书,支持DER/PEM/PKCS12多种证书编码
支持内置CA,为其他设备或移动用户签发证书
支持本地CA根证书、根私钥的更新
支持在线CRL列表
系统维护
web管理界面支持Ping、Traceroute、TCPSyn诊断工具,可支持基于接口、协议、IP地址、端口、应用进行网络抓包,并可下载导出分析,提供web界面配置截图
支持命令行、Web界面管理
SNMP
支持v1、v2、v3版本,支持跨三层自学习MAC地址,支持IP、MAC绑定
系统日志
支持本地日志记录和远程日志输出;支持专用的日志审计管理软件
(4)深信服上网行为管理规格参数
网关模式
支持网关模式,支持NAT、路由转发、DHCP、GRE、OSPF等功能;
网桥模式
支持网桥模式,以透明方式串接在网络中;
旁路模式
支持旁路模式,无需更改网络配置,
升级会员 