韶关市公安信息网边界接入平台系统建设和检测项目.docx
《韶关市公安信息网边界接入平台系统建设和检测项目.docx》由会员分享,可在线阅读,更多相关《韶关市公安信息网边界接入平台系统建设和检测项目.docx(35页珍藏版)》请在冰豆网上搜索。
韶关市公安信息网边界接入平台系统建设和检测项目
韶关市公安信息网边界接入平台系统建设和检测项目
一、项目概述
本项目为市公安边界接入平台,包括:
一是构建市级边界接入平台。
按照边界安全接入的规范要求,采取区分链路安全防御的方法,构建集边界保护、身份认证、应用安全、安全隔离和平台自身安全防护等功能的边界接入平台。
二是建设边界接入平台监控和管理系统。
按照统一接入管理、统一应用审计、统一运行监控、统一策略部署的要求,建设边界接入平台的集中监控和审计系统。
二、项目内容
根据接入对象不同,边界接入业务划分为社会企/事业单位接入、党/政/军机关接入和公安驻地外用户接入方式。
三、技术要求
基本技术要求
1)平台建设方案要完全符合公安部颁发的《公安信息通信网边界接入安全规范》要求;
2)平台安全体系满足三重防护体系和两个基础设施的安全要求;
3)平台集中监控与审计系统支持部/省/市三级接入平台体系;
4)平台的关键设备:
可信边界安全网关、数据交换系统、集中监管与审计系统通过公安部指定的公安部等级评估保护中心的权威检测,并经公安部同意在全国公安信息通信网边界接入平台建设中广泛使用。
边界接入平台其他产品也应是获得公安部销售许可的产品。
功能要求
1)投标人必须严格按照公安部关于安全接入平台建设的有关文件《公安信息通信网边界接入平台安全规范》的边界接入平台要求实施项目建设,并负责将所有设备按照公安部对边界接入平台的建设要求进行项目集成。
2)平台必须实现涵盖数据交换和授权访问两类应用、三类接入业务(社会企事业单位接入、党政军机关接入、公安驻地外接入)完整功能的平台,外部网络接入业务上,需覆盖包括社会企事业单位接入、党政军机关接入和公安驻外地接入等各种业务的安全接入。
3)可信边界安全网关实现用户身份认证,与公安PKI/PMI系统同一厂商,支持证书链认证,支持证书撤销列表(CRL)下载、验证,保证接入用户身份的合法性;
4)可信边界安全网关实现设备认证,依据设备注册登记信息对通过专线、VPDN拨号等各种线路方式接入的终端设备进行认证,保证接入设备的合法性;
5)可信边界安全网关可以根据边界接入的需要,设置角色,指定相应的资源访问权限,防止非授权访问和越权访问;
6)可信边界安全网关基于角色、权限分配,设置细粒度访问控制策略,达到非法用户不能访问,合法用户不能越权访问的目的;
7)可信边界安全网关实现传输保护,与客户端之间使用SSL协议对通信过程进行加密和完整性保护,保证数据传输的安全性;
8)数据交换系统可实现不同类型文件、数据库间的同步和交换,如Oracle数据库、SQLServer数据库、DB2、SYBASE等,能够设置一对多数据同步,多对多数据同步,支持全表双向同步.支持数据库增删改同步。
9)数据交换系统业务扩展性强,接入新的前置业务时,只需在数据交换系统上作适当的配置即可实现新业务的数据交换,且不需要增加投资。
源目标数据库表结构一致情况下自动快速匹配,减少配置难度。
10)数据交换系统应实现丰富灵活的内容检查、病毒查杀、格式检查。
内容检查必须能够根据预先定义的规则进行内容过滤检查;病毒查杀能够查杀病毒木马等恶意程序,并能够更新病毒库;格式检查支持字段长度检查、数值范围检查、基于自定义布尔条件判断检查、身份证特定格式检查、大字段内容还原格式检查、不依赖扩展名文件格式检查。
11)数据交换系统应支持多业务复用:
必须支持多业务接入后,各业务之间不冲突,单独启停其他业务不会影响正常业务.底层通道独立.
12)数据交换行为可回溯:
数据交换行为可追溯包括:
数据来源,交换时间,是否授权,交换内容,交换成功等.
13)数据交换的文件交换支持单向双向文件同步,支持各种常见文件类型,支持不同操作系统下的文件同步,传输文件大小无限制.
14)数据交换必须支持单向的授权访问功能;支持TCP/UDP协议代理,同时也用该支持常见协议代理,代理需做授权认证.
15)集中监管与审计系统提供接入平台注册管理功能,包含平台信息注册、业务信息注册、使用单位信息注册、设备信息注册、接口信息注册。
16)集中监管与审计系统提供流量监测,能够监测整个平台以及平台内部各个链路和业务的流量信息。
17)集中监管与审计系统提供在线用户统计分析,用户行为审计,业务应用审计,设备安全审计,异常行为审计,系统备份恢复功能,日志收集和导出功能和集中管理等功能。
18)平台信息统计分析能够对平台本身进行相关信息统计和分析,包括设备运行状况,负载情况。
19)实现与公安信息网络运行管理系统对接。
内置集成级联上报功能。
安全要求
3.3.1系统安全要求
1)提供有效手段保障网络通信基础设施、网络上的各种系统以及系统上各种应用的正常运行,防止对公安专网信息资源进行非授权访问和操作,防止通过外网对公安专网的各种攻击行为。
包括访问控制、病毒防护、审计与跟踪、可用性保障等内容。
2)用户身份认证:
能与公安PKI/PMI体系无缝集成,支持证书链认证,支持证书撤销列表(CRL)下载、验证,保证接入用户身份的合法性。
整个平台须与公安PKI/PMI无缝集成,使平台接入终端在通过边界接入平台安全认证后可使用PKI/PMI系统的数字身份证书访问公安信息网资源。
3)设备认证:
能依据设备注册登记信息对通过专线、ADSL拨号、3G无线等各种线路方式接入的终端设备进行认证,实现设备唯一性认证,防止非法设备接入。
访问控制:
能对用户访问公安信息通信网进行细粒度访问控制。
通过身份认证的接入终端只能访问接入平台内的指定设备,并且只能进行允许的操作,非授权的访问应被阻断。
4)配置安全:
单向UTC,外网服务器不提供任何服务端口,不接受任何服务请求,所有服务请求由内网信任服务器发起.
5)安全信任链:
内外网服务器与安全隔离网闸联动,通过证书建立信任关系,在数据交换唯一通道形成一条安全信任链.增加系统健壮性。
3.3.2通信安全需求
1)保障用户在接入公安专网过程中的身份的鉴别、数据传输中的保密性、数据完整性验证等。
2)数据通道保护:
基于角色、权限分配、设置细粒度访问控制策略,能达到非法用户不能访问,合法用户不能越权访问的目的。
在客户端和可信边界安全网关之间建立高强度的安全加密通道,能保证数据传输的机密性、完整性,防止公安敏感信息在传输过程中被泄露或被篡改。
3)链路认证:
能对应用访问链路进行认证,防止非法链路接入。
网络安全需求。
3.3.3网络安全需求
1)需实现包括社会企事业单位接入、党政军机关接入、移动警务办公接入等在内的各类业务从链路安全、网络安全、主机安全、应用安全等层面的安全措施,并将社会企事业单位接入与其他接入链路从物理链路上隔离建立安全通道,确保链路安全。
2)网络安全防护:
需实现通过探针等对接入的行为进行分析,防止非法和恶意的入侵行为;防病毒服务器对接入流量进行扫描,阻止病毒、恶意代码对公安信息通信网的渗透,为边界接入平台提供病毒防范功能。
四、设备清单
本次招标采购的软硬件货物具体清单:
表1-1货物清单
序号
设备名称
数量
单位
性能指标
1
数据交换系统
2
套
详见以下
2
集中监控与管理系统
1
台
详见以下
3
集控探针
2
台
详见以下
4
可信边界安全网关
2
台
详见以下
5
CA身份认证服务器
1
台
详见以下
6
安全隔离与信息交换系统
2
台
详见以下
7
防火墙
2
台
详见以下
8
IDS入侵检测系统
1
台
详见以下
9
二层交换机
2
台
详见以下
10
路由器
1
台
详见以下
11
三层交换机
2
台
详见以下
12
服务器
4
台
详见以下
13
机柜
2
套
详见以下
14
三层交换机
1
台
详见以下
五、软硬件技术指标要求
数据交换系统
表1-2数据交换系统
指标项
详细要求
规格
主机
包括两台主机,分别部署在两个网络之间,连接两个网络中应用服务器传输数据,主机之间部署安全隔离网闸实现隔离环境下进行数据安全交换
I/O设备
网络
每台设备具备2个千兆高速以太网网络接口,可扩展至最多4个
其他
★操作系统
使用安全加固的TopOS安全Linux操作系统
★数据交换
数据库同步
支持SQLServer、Oracle、Sybase、DB2等的单、双向数据交换;
无需修改数据库表结构,不涉及代码修改;
可同时发送和接收多个数据库中多个表;
支持多种增量方式;可分别定义增加、删除、修改的数据传输;根据指定字段值进行条件传输;
支持大字段数据同步交换;
支持异构数据库安全传输;
数据传输高度可靠,采用文件落地缓存确认机制进行保证。
文件同步
支持多种文件传输方式:
专用客户端、FTP、Samba、NFS;
高可靠文件传输,文件完整性校验;
文件内容识别检查过滤;
文件传输加密。
流数据交换
支持包括网络音频、视频、流媒体在内的多种协议数据传输交换:
如FTP、TNS、POP3、SMTP等。
日志收集
收集平台系统内部各网络设备、应用服务器的运行日志,并同步到内部监管系统,用于平台系统日志分析。
数据传输方向控制
可根据实际应用需求配置应用传输方向,可根据管理员配置实现单向或双向的数据传输交换。
★数据传输
以静态数据格式方式传输,也可根据需要落地到主机上形成静态文件进行交换。
★内容过滤、格式检查、病毒查杀
可对交换的数据内容进行检查过滤,识别敏感关键字符;对于数据库记录中的大字段内容可在还原后进行处理;对交换的数据库数据内容可根据用户定义进行格式匹配检查,防止数据被恶意篡改;内嵌病毒查杀引擎,可对不同平台下的病毒进行查杀。
★业务、应用控制
系统可根据管理员配置单独启停数据交换服务;也可根据管理员定义单独启停任何一个独立的应用。
用户认证
对系统管理员、普通用户分层次进行管理认证。
★系统审计
对用户、管理员的所有操作均进行审计记录,并对非授权、越权访问进行记录。
系统管理
使用基于HTTPS的安全加密协议进行管理;可指定管理终端主机。
性能及其它要求
1、稳定性运行时间(MTBF):
>50000小时
★2、可实现520Mbps的交换能力,10000个并发会话;数据库到数据库交换最大并发数据表≥1024;
3、数据影射最大字段数≥256;
★4、数据库到数据库交换记录数(>100Kb/记录)≥1000条/秒;
★5、数据文件处理文件数(>100Kb/记录)≥800个/秒;数据文件处理吞吐量≥200Mbps;
★6、应用层数据交换速度(FTP)≥200Mbps;
★7、并发客户端数量≥3000;最大数据文件≥10G;
8、任务调度粒度为秒级;
9、目录监控触发时间<1秒;最大传输延时<50ms
★10、支持SYSLOG、SNMPV2/V3;
11、全国安全隔离网闸制造厂商之一,保证与网闸协议的兼容性。
集中监控与管理系统
表1-3集中监控与管理系统
指标项
详细要求
规格
主机
标准机架式机箱,1U设备
I/O设备
网络
2个千兆网络接口,可扩展至最多4个
其他
★操作系统
使用安全加固的TopOS安全Linux操作系统
★终端认证
对终端用户身份进行认证,只允许合法用户进入平台系统内部提交或采集数据
授权
对终端用户进行授权,允许访问指定的应用服务器;对数据交换服务器授权,允许在指定服务器之间交换应用数据。
★平台审计
对平台内部所有设备的操作进行审计,包括网络设备、安全设备、服务器、终端、数据交换服务器等;审计的方式包括系统日志收集等。
设备管理
对平台内部设备通过SNMP或专用客户端进行管理和监控,对平台内部设备的异常流量、异常关机、异常中断等进行监控。
★业务管理
对平台内部数据交换服务器上所交换的业务进行集中监管,屏蔽内部数据交换细节,以业务逻辑方式展现,便于系统管理人员管理、维护。
报表输出
根据用户选择提供多种形式的图形报表,展现数据交换趋势、汇总数据交换总量;报表可导出、可打印。
系统监管
使用动态图形展示整个数据交换平台内部的设备,展示的信息包括:
设备运行状态、设备信息、链路数据吞吐量、终端用户信息;使用拓扑形式展现,方便系统维护管理人员对系统运行状况实时掌握,易于理解。
★报警
对系统内部出现的异常情况以图形、声音方式报警提示;并可结合网管系统实现短信报警。
级联监管
对于同样使用本系统的上下级平台网络系统可直接进行级联监管;对于其他的平台系统可使用数据库数据导入导出的方式实现(符合公安部标准)。
性能及其它要求
★1、实现对整个内外网数据交换平台的业务、应用、终端、服务器、网络设备监管;并实现对下级系统的管理和向上级网络的级联上报
2、稳定性运行时间(MTBF):
>50000小时
★3、最大支持业务数量:
≥500;
★4、最大监控并发用户数量:
≥2000;
5、最大审计用户数量:
≥10000;
6、自身内置大型关系型数据库;
★7、可在内网实现对全网业务运行状态监控;
★8、可在内网实现对全网设备运行状态监控;
★9、可在内网实现对全网设备运行状态的管理;
★10、内置级联上报信息系统,满足后期级联上报数据需求。
11、全国安全隔离网闸制造厂商之一,保证与网闸协议的兼容性。
集控探针
表1-4集控探针
指标项
详细要求
规格
主机
标准机架式机箱,1U设备
I/O设备
网络
2个千兆网络接口,可扩展至最多4个
其他
★操作系统
使用安全加固的TopOS安全Linux操作系统
★协议支持
支持SYSLOG协议;支持SNMPv2/v3协议
性能及其它要求
★1、部署于应用服务区,收集边界接入平台数据交换系统外的网络设备、应用服务器以及前置机的日志信息,并整理写入到平台监管系统的数据库
2、稳定性运行时间(MTBF):
>100000小时
3、全国安全隔离网闸制造厂商之一,保证与网闸协议的兼容性。
可信边界安全网关
表1-5可信边界安全网关
指标项
详细要求
规格
主机
标准机架式机箱,1U设备,包括访问控制模块、审计模块
I/O设备
网络
2个千兆网络接口
主要功能包括
用户身份认证、设备认证、访问控制、权限管理、传输加密、终端加固、监控审计等,并能支持与安全监控与管理系统的对接。
★用户身份认证
与公安系统现有PKI/PMI系统属同一软件厂商,具备良好兼容性,支持对多种证书链的认证,支持证书撤销列表(CRL)下载、验证,保证接入用户身份的合法性。
★设备认证
依据设备注册登记信息对接入平台的终端设备进行认证,保证接入设备的合法性
★权限管理
可以根据边界接入的需要,设置角色,指定相应的资源访问权限,防止非授权访问和越权访问
访问控制
基于角色、权限分配,设置细粒度访问控制策略,达到非法用户不能访问,合法用户不能越权访问的目的
传输加密
与客户端之间使用SSL协议对通信过程进行加密和完整性保护,保证数据传输的安全性
监控审计
对接入用户的访问过程进行详细的记录,并实时报送给集中监控与审计系统,保证用户访问过程可控、可查、可追溯
★安全加固
能实现对客户端软件的自动下载,并可实现客户端的自动启动、外联网口关闭及自动断网功能,以实现对客户端的安全加固。
性能要求
1、稳定性MTBF(平均无故障时间间隔)>50000小时;
2、支持双机热备、支持负载均衡
★3、最大新建连接数:
1500次/秒
★4、最大并发连接数:
2500条
5、每秒事务数目(TPS):
6500次
6、最大吞吐量:
480Mbps
7、最大接入用户数:
25000
★8、产品必须满足《计算机信息系统安全产品第一部分:
安全功能检测身份鉴别类》标准要求,满足国家保密局《涉及国家秘密的信息系统安全中间件产品技术要求》(秘密),并能提供同类项目的有效证明性文件。
CA身份认证服务器
表1-6CA身份认证服务器
指标项
详细要求
规格
主机
标准机架式机箱
I/O设备
网络
大于1个百兆网络接口
★性能及其它要求
包括证书注册模块、证书签发模块、证书发布模块、密钥管理模块等四个部分,提供了完备的证书管理功能:
1、用户信息注册/签发;用户信息更新;
2、证书恢复;证书废除;证书重发;
3、微软智能卡证书/计算机证书/域控制器证书签发;
4、证书注销列表(CRL)与CA证书下载;内置LDAP服务;
5、产品在未来3年内符合国家密码技术发展要求,支持ECC算法。
6、支持最大用户数量≥20000个,并发用户数≥1000
同时,它具备完备的产品管理功能,如系统备份/恢复、系统在线升级、系统日志查询、License在线升级、管理员管理、网络配置等
安全隔离与信息交换系统
表1-7安全隔离与信息交换系统
指标项
详细要求
产品架构
★系统架构
采用“2+1”系统架构,即由两个主机系统和一个隔离交换矩阵组成,主机系统采用VSP通用安全平台,隔离交换矩阵基于专用交换芯片实现主机系统间采用自有协议摆渡数据,确保信任网络和非信任网络之间任何连接的断开,彻底阻断TCP/IP协议及其他网络协议
隔离交换矩阵
自主研发的硬件,无操作系统,外界无法编程控制,而不是采用低安全性的通用可编程硬件,如网线、SCSI、USB等。
接口
接口配置
2U机箱;单电源;可扩展为热备冗余电源;软件系统:
设备管理配置功能和定制访问功能(可实现访问控制,但无应用层过滤功能;内网:
标配1个10/100M自适应网络接口,1个10/100M自适应网络扩展接口,1个10/100M自适用应管理口,1个10/100M自适应HA口(双机热备口);外网:
标配1个10/100M自适应网络接口,3个10/100M自适应网络扩展接口,1个10/100M自适应管理口,1个10/100M自适应HA口(双机热备口)。
性能
系统吞吐量
不小于91Mbps(单向)
延时
小于5ms
功能模块
文件交换
实现文件的安全交换,支持NFS、SMBFS等文件系统和多种细粒度检测控制功能。
支持改名传输方式,可实现对源文件改名,标明传输状态。
支持增量传输方式,可实现只传输修改和增加了的源文件。
支持传输后删除方式,可实现传输结束后删除源文件。
数据库同步
支持Oracle、SQL、Sybase、DB2等主流数据库,支持不同类型的数据库间、不同结构的表间的内容同步;
★支持客户端与网闸间的第三方数字证书方式的身份认证,确保只有被授权的合法用户才能运行;
★支持客户端与网闸间的SSL加密传输,确保网络数据传输的安全
定制访问
实现特定TCP、UDP协议的数据隔离交换,可合作定制开发针对特定协议的安全检测,实现如黑白名单控制、关键字过滤等
消息传输
支持基本字符和文本的消息传输,支持二次开发API,支持SSL加密传输,提供文本消息的内容过滤
攻击防御
专业检测引擎
主机系统内置USE统一安全引擎
关联安全应用
内网管理联动
遵循CSC关联安全标准,实现与内网安全管理系统联动,通过Leadsec安全管理系统实现集中安全管理
可靠性
专用冗余协议
支持MRP多重冗余协议,保障设备的高可靠性
链路聚合
物理端口支持标准,实现链路聚合功能
其它
与防火墙、入侵检测系统IDS为同一品牌,确保统一遵循安全标准(CSC),实现无缝联动。
★证书资质要求
具有《计算机信息系统安全专用产品销售许可证》
具有《国家信息安全认证产品型号证书》
具有《涉密信息系统产品检测证书》
具有《军用信息安全产品认证证书》
具有《计算机软件着作权登记证书》
具有计算机信息系统集成一级资质
具有国家信息安全认证服务二级资质
具有涉及国家秘密的计算机系统集成甲级资质
防火墙
表1-8防火墙
指标项
详细要求
★操作系统
要求具备自主研发的安全操作系统,并提供该安全操作系统的软件着作权及彩页作为证明
产品规格
硬件规格
标准1U设备,标配6个10/100/1000BASE-T端口,最大可扩展至8个10/100/1000BASE-T端口
最大无故障时间(MTBF):
80000小时
性能参数
吞吐量(bps);1.1G
最大并发连接数;180万
每秒新建连接数;16000
可支持扩展IPSecVPN与SSLVPN模块
绿色上网
P2P下载控制
识别和控制迅雷、BT、eDonkey、eMule等常见P2P下载软件
P2P视频播放控制
识别和控制PPLive、QQLive、PPStream等常见P2P视频播放软件
IM即时通讯软件控制
识别和控制QQ、MSN等常用IM软件,一键式阻断IM软件机密文件传输
在线游戏控制
识别和控制魔兽、CS、征途、联众、天堂、梦幻西游、仙剑情缘、热血江湖、劲舞团、诛仙、浩方、泡泡堂等多种在线游戏软件
炒股软件控制
识别和控制大智慧、同花顺、国泰君安、证券之星、广发证券、指南针、通达信、股票之星、华安证券、和讯报道、钱龙等多种炒股软件
WEB过滤
支持基于分类库的URL访问控制,可以对色情、反动等多种负面网站按类别进行选择控制
支持50多种分类库,800万级网址智能特征库
支持URL独立特征库,支持增量升级管理
采用高速辨认技术,缩短匹配时间,不影响产品整体性能
访问控制
状态检测
基于源/目的IP地址、MAC地址、域名、端口或协议、服务、网口、时间、用户的访问控制
基于源/目的IP地址、端口、服务、网口、时间、应用等安全策略的带宽控制
可基于时间和安全域进行安全隔离,同一时间内网主机只能访问DMZ区或者只能访问外网
透明代理
实现基于策略的HTTP、FTP、TELNET、SMTP、POP3等透明代理和深度过滤
IP/MAC绑定
实现IP/MAC地址绑定,且支持IP/MAC地址对的自动探测和唯一性检查
用户认证
支持基于客户端的本地认证、无客户端软件的WEB认证,并支持Radius等第三方认证
网络适应性
接入模式
支持透明、路由、混合三种工作模式
支持DHCPClient、DHCPRelay、DHCPServer
支持PPPoE接入,并具备自动断线重连技术
支持纯透明桥接功能
路由
支持静态路由,动态路由(OSPF、RIP等),VLAN间路由,单臂路由,组播路由等
支持基于源/目的地址、接口的策略路由
支持多出口路由负载均衡
NAT
支持双向NAT、动态地址转换和静态地址转换,并支持多对一、一对多和一对一等多种方式的地址转换
VLAN
支持和ISLVLAN封装协议,支持两种封装的互换以及VlanTrunk
带宽管理
基于IP地址、服务、网口、时间等定义带宽分配策略
支持最小保证带宽和最大限制带宽
支持分层的带宽管理
动态协议
在各种工作模式下均支持(GK)、SIP、FTP、MMS、RTSP、UPnP、XDMCP、TNS等多种动态协议
VPN
IPSecVPN
支持标准IPSec协议,能够与CISCO、NETSCREEN等知名厂商的VPN设备互联互通
支持预共享密钥、证书等认证方式且支持X扩展认证
支持3DES、DES、AES等加密算法
支持AH和ESP封装模式以及MD5、SHA1、SHA2等通用摘要算法
支持DH1024、DH2048、RSA1024
升级会员 