甘肃省IP网络安全解决方案报告书.docx
《甘肃省IP网络安全解决方案报告书.docx》由会员分享,可在线阅读,更多相关《甘肃省IP网络安全解决方案报告书.docx(31页珍藏版)》请在冰豆网上搜索。
甘肃省IP网络安全解决方案报告书
甘肃省IP网络安全解决方案
技术应答书
一总述
1.1本规范为招标方甘肃数据局,甘肃数据局安全解决方案的主要技术、功能和工程规模要求,供卖方(投标方)编写项目建议书和报价之用。
应答:
完全同意。
我们将据此《招标书》对主要技术、功能和工程规模的描述,给出我们的方案建议书和报价。
1.2卖方在建议书中,对本规范书中所提各项要求能否实现与满足的程度应逐条逐项予以答复、说明和解释,同时要求提供相应软、硬件产品(包括第三方产品)的详细技术资料。
应答:
完全同意。
我们将在本文件中给出对各项要求的逐条答复、说明和解释。
对所推荐产品的软硬件详细技术资料将在《方案建议书》给出。
1.3卖方若对本文件中的相关要求不能满足或者根据自己产品特有的技术性能及具体情况提出不同于本文件相关要求的其他建议,也应在建议书中详细说明并附详细资料。
应答:
完全同意。
CA的方案建议书完全满足标书的要求。
1.4卖方提供的网络安全解决方案及其相关软、硬件设施应完全符合卖方指明的标准,并满足或高于买方指出的要求。
此文件中未说明但国际标准组织已有建议的设备功能和性能的条款,应符合相应的最新国际标准及建议。
应答:
完全同意。
我们提供的网管系统完全符合各项标准,满足用户提出的要求。
1.5若卖方的系统/设备包含自己的专用标准,应在建议书中具体说明,并附上相应的详细技术资料。
卖方应明确当新的国际标准及建议发布后,是否免费为其所提供给甘肃数据局的系统进行升级,以保证符合新国际标准及建议并与所有符合新国际标准及建议设备能够互通。
应答:
完全同意。
我们提供的系统不包含专用标准,都建立在相关国际标准之上。
1.6卖方在建议书中应提出详细的系统组成和设备配置,在报价中提出系统及其相关软、硬件的单价和总价,报价格式参考<<附件一>>。
应答:
完全同意。
我们将在《方案建议书》给出详细的系统组成和设备配置。
按照《附件一》的格式给出相关软硬件的单价和总价。
1.7卖方在建议书中应说明对供货时间、设备检测和安装调测等的应答。
应答:
完全同意。
我们将在《商务文档》给出对供货时间、验货以及实施等情况的描述。
1.8卖方在建议书中应说明给买方提供的技术文件、技术支持、技术服务、人员培训等的范围和程度。
应答:
完全同意。
我们将在《方案建议书》给出
1.9卖方供货和服务范围
1)系统主要组成部分:
甘肃省IP网络安全解决方案及其相关的软件、硬件产品
2)安装材料
3)消耗品
4)工具和备件
5)技术文件
6)技术培训
7)安装、调测、试运转的技术服务和现场验收测试文件
8)技术支持服务
应答:
完全同意。
我们同意按照此范围供货和服务
1.10买方工作范围
1)现场勘查和设备安装设计。
2)卖方督导和帮助下的设备试运转和现场测试验收。
3)设备所需电源(~220V或-48V)及其它配套设备。
应答:
完全同意。
我们同意在买方提供上述环境下工作
1.11卖方应根据本文件的技术要求在8天内提供十份(中文)建议书和报价。
建议书与报价书应单独分册,报价若以美元为单位,需分别提出FOB和CIF价。
报价内容应包括设备(软硬件)、安装材料、备品备件、工具及仪表、安装督导、厂验、培训、技术文件及技术服务等。
在建议书中应提出离岸发货完成的日期。
应答:
完全同意。
我们完全照此要求提供方案建议书和报价。
1.12买方保留对本文件的解释和修改权。
应答:
完全同意。
我们同意买方保留此权力。
二工程说明及技术要求
2.1甘肃数据局IP网现状
甘肃省IP网是一个以数据通信为基础的计算机综合信息网,通过甘肃省IP网的建设,建立跨行业、跨部门的公用计算机信息交换平台,实现信息通信和资源共享,面向社会提供网络服务和信息服务。
此网络中,网络设备是以CISCO公司的75、45系列路由器、catalist系列交换机和CABLETRON公司的SSR交换式路由器为主。
主机设备是以sun公司的各个系列的服务器和工作站为主,另有部分IRIX设备和FUJITSU的NT服务器。
具体的网络结构图见附页。
2.2工程说明
2.2.1工程建设目标
本工程为甘肃省IP网络安全解决方案,包括安全政策的制定、体系结构的设计、安全产品的选择和集成,以及长期的合作和技术支持服务。
工程总体目标是在不影响甘肃省IP网络当前业务的前提下,实现对该网的全面安全管理。
1)将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险。
2)定期进行漏洞扫描,审计跟踪,及时发现问题,解决问题。
3)通过入侵检测等方式实现实时安全监控,提供快速响应故障的手段,同时具备很好的安全取证措施。
4)使网络管理者能够很快重新组织被破坏了的文件或应用。
使系统重新恢复到破坏前的状态。
最大限度地减少损失。
5)专门的用于对全网设备的数据备份系统方案(软硬件均考虑)和数据恢复方案。
完全满足.
CA公司的安全工程不会影响当前业务。
同时CA公司认为,要保证信息系统的安全,提升整体安全级别,需要从网络、服务器操作系统、用户、各种应用系统、业务数据以及应用模式等各个方面统筹考虑。
信息系统的安全防护需要与实际应用环境,工作业务流程以及机构组织形式与机构进行密切结合,从而在信息系统中建立一个完善的安全体系。
因此CAeTrust企业安全解决方案是完整的技术与服务紧密结合的安全解决方案,同时,CAeTrust企业安全解决方案中,突出的集中安全管理内容将有效的提高安全管理效率,节省管理资源开销,保证企业系统性能。
CA公司全面的数据保护(包括备份的解决方案)请详见建议书。
2.2.2设计原则
卖方应详细地解释,在制定本建议方案时,所采用的设计和建构原则,产品选择理由,以及其他方面的考虑。
卖方应清楚地说明,相对于竞争者,其建议方案和所选产品的技术优势和业务价值。
CA公司在设计系统安全管理策略时,具有以下特性:
对数据进行多层次保护
保证方案开放且易于使用,这样既可采用先进技术又可降低人工成本。
保证系统管理平台应具有强大功能,以解决复杂网络环境中的问题
所提供的功能是可集成的。
提供高度的可扩充性(Scalability).
能够管理系统中的一切可管理对象:
如系统中的所有、硬件平台、操作系统、数据库以及典型应用,均可通过直观的人机介面进行监控、管理。
应使系统管理员及时发现并改正系统及网络运行中出现的问题(或潜在的问题)。
进行全面的数据备份和灾难恢复保护
2.2.3工程技术要求
1)卖方应具有丰富的网络安全方面的经验,曾经实施过相关的安全解决方案,并列举出近期的成功案例。
完全满足。
CA公司是全球最大的安全解决方案提供商,具有丰富的安全方案设计、规划、实施经验,其产品在国际和国内许多大型系统中都有成功应用。
有关近期的成功案例的情况请见《方案建议书》附录。
2)卖方应具有强大的技术支持队伍,熟练掌握在甘肃省IP网络上实现全面的网络安全体系所涉及到的软、硬件的安装、使用和维护。
完全满足。
CA公司良好的技术服务队伍可保证此项要求。
3)本招标技术规范书是在参照有关国际标书和有关部门的建议以及考察了甘肃省IP网现况的基础上提出的,卖方应根据综合因素,总体考虑,向买方提供最适用的一流系统。
如果将来和本标书技术条款发生冲突,由买方审定。
完全同意。
我们给出的方案是符合用户需要的强大的安全管理解决方案。
我们同意按照本《招标书》的条款审订提供方案的情况。
4)卖方应提供所有投标内容(包括软、硬件)的技术资料。
如果卖方建议书中的技术文件太简单以至于无法评估,卖方将被要求提供一个附件以陈述他的技术细节。
完全满足。
我们将提供包括方案建议、实施范围内容、培训情况、产品详细介绍等详细的技术资料。
如果用户有任何疑问,我们将以口头和书面形式给出解答和解释。
5)卖方在建议书中应明确本次工程所涉及到的所有软件、硬件产品必须具有在中国境内的合法使用权和用户保护权。
完全满足。
我们提供的所有软件、硬件产品必须具有在中国境内的合法使用权和用户保护权。
6)卖方提供的所有材(资)料必须以中文书写。
完全满足。
我们提供的包括方案建议、实施范围内容、培训情况、产品详细介绍等详细的技术资料均以中文书写。
2.2.4项目组织
卖方应提供一份关于卖方与买方联合项目组织的建议。
内容包括项目组织的结构和报告体系,每一位或类项目成员的角色和责任定义,技能要求,是否全时参与项目等。
现就项目组各成员的角色,责任,技能和参与程度详述如下:
项目成员
姓名
责任
报告体系
工作时间
商务组
商务项目总协调
整个项目商务协调
NgMabel
部分
CA客户服务代表
日常项目商务安排
NgMabel
全时
技术组
项目管理总负责人
项目决策及安排
部分
项目管理经理(CA)
项目管理指导/
日常项目管理
项目管理委员会/项目总负责人
全时
CA公司
项目技术主管经理
项目技术主管
项目经理
全时
安全技术咨询顾问
CA产品技术顾问
项目技术主管
全时
项目成员
姓名
责任
报告体系
工作时间
客户负责人
甘肃数据局
项目技术主管经理
项目技术主管
项目经理
全时
技术实施顾问
部分安全策略的定制与实施
项目经理/技术经理
全时
三、甘肃数据局安全解决方案总体技术要求
3.1管理范围
3.1.1卖方提供的安全管理体系应能覆盖包括甘肃省IP网省际出口、省内网间互联、骨干节点设备、链路和业务服务系统等;
完全满足。
3.1.2根据甘肃省IP网的网络结构,管理模式,业务划分,确定安全等级,针对不同的安全等级,实施相应的安全策略;
满足。
3.2总体需求
根据甘肃省IP网的特点,全面的安全解决方案需要涉及到网络安全、系统安全、数据库系统安全、数据安全以及防病毒等多个方面。
每个方面都需要结合相关的安全产品,相应的安全政策,实施包括预防、检测、反映在内的全过程。
完全满足。
CA公司认为,要保证信息系统的安全,提升整体安全级别,需要从网络、服务器操作系统、用户、各种应用系统、业务数据以及应用模式等各个方面统筹考虑。
信息系统的安全防护需要与实际应用环境,工作业务流程以及机构组织形式与机构进行密切结合,从而在信息系统中建立一个完善的安全体系。
CA公司依据对安全威胁广泛而深刻的认识,从定制信息系统安全策略、设计安全管理工作流程,部署企业级防病毒、入侵检测和防御、系统访问控制、安全漏洞扫描,加密/解密产品,培训用户安全防范技能等各个方面入手,形成综合的和全面的端到端安全管理解决方案。
CA公司对系统安全管理是多层次、多方面的,她会从网络、操作系统、应用系统各个方面提高系统的安全级别,还会把原来通过管理规定由使用人员自觉维护的安全规则用系统自动实现,大大加强了系统的总体安全性。
3.2.1安全政策
包括安全管理制度的制定和安全策略的实施。
根据管理原则,管理对象,卖方应协助买方修改、制定切实可行的安全管理制度或规范,同时结合安全策略的实施,建立完善的安全管理体系。
甘肃省数据通信局的安全防护的主要考虑
1.整体和各级网络结构的正确规划,网络中设备的标准配置;
2.整体和各级对系统的安全规范制度的确立,各级系统进行信息进行时需要正确依照安全通讯规则;
3.数据传输的一致性、完整性以及保密性,确保数据在各级网络中传输的安全,以及明确各级信息的重要程度与不可否认性;
4.网络安全防护,即数据出入各级网络的安全检查以及网络内部数据传输的安全审计与管理如,安全网关,代理服务器,防火墙,网络审计等技术的实施。
5.关键设备的重点保护,即对于承担系统中重要工作如,数据计算,数据存储,信息传输等服务器进行有针对性的系统安全操作规则的制定;
6.人员管理,对于使用系统的所有人员进行统一管理,明确划分其在不同网络中的职责权力;
7.通用安全防护,如对个人PC机的病毒检测,移动代码过滤等。
8.全面的数据备份,保证数据的可恢复性
1)
2)
3)
4)
5)
6)
3.2.2网络安全
针对网络设备和链路的保护。
由于甘肃省IP网网络结构的复杂性,不可能对全网做到集中式的安全管理,可采取分布式,针对不同网段(如网管网段、计费认证网段、用户接入网段)或根据提供的不同业务类别,实施不同级别的安全管理措施。
参考甘肃省IP网络结构图,对网络结构方面可能存在的漏洞(如单点故障等)提出切实可行的参考解决方案。
完全满足
CA解决方案中会针对目前甘肃IP网络结构制定合理可行的网络安全解决方案,保证能对单点故障进行管理。
1)
2)
3)
3.2.3系统安全
1)针对主机系统的安全,主要以Solaris、Irix和NT为主。
2)针对业务系统的安全,包括网管系统、计费系统和网络应用服务器系统(例如:
DNS、MAIL、WWW、FTP等)。
完全满足。
UNIX/Windows操作系统本身存在许多安全漏洞和隐患,必须加强这一级别的安全防护,才能保护敏感的信息资源。
同时对于系统的安全防护以及对于系统的业务访问等,需要进行有效的认证保护,以保证在复杂环境中的诸多使用者,能够被有效进行安全管理。
1)
2)
3)
4)
3.2.4数据库系统安全
目前甘肃省IP网上数据库的安全管理涉及到用户的权限管理,数据的访问控制,数据的安全与备份等。
完全满足。
eTrust系列安全产品以及CATNG/ASO领先的数据备份、恢复和灾难恢复功能为企业用户提供高性能、易于扩展、易于使用、自动作业的完整的数据保护解决方案。
从而满足甘肃数据局IP网上数据库的安全管理,用户的权限管理,数据的访问控制,数据的安全与备份等要求。
3.2.5数据安全
管理对象主要是网络应用服务器中向用户提供信息服务的各类信息(主要为DNS、用户数据库管理系统、电子邮件系统和接入计费系统),以及其他计划建设的数据等。
满足。
eTrust系列安全产品以及CATNG/ASO领先的数据备份、恢复和灾难恢复功能为各类服务信息的用户提供高性能、易于扩展、易于使用、自动作业的完整的数据保护解决方案。
加以相应的数据加密,可以确保甘肃数据局IP网上数据信息安全。
3.2.6防病毒
构造全网统一的防病毒体系。
主要面向MAIL、FTP服务器,以及办公网段NT服务器和PC机等。
完全满足。
CAeTrustAntivirus是完整的企业级防病毒方案,可以完整的构造全网统一的防病毒体系。
包括MAIL、FTP服务器,以及办公网段的PC服务器和PC机等。
3.2.7网络故障分析故障
提供快速的网络故障诊断和分析手段。
在发生网络故障或网络性能较差时,能够用所提供的工具迅速而准确的确认故障所在,给网管人员实行故障排除和实施网络优化时的提供最真实、可靠的参考。
完全满足。
CAUnicenterTNG有一个强大的网络管理选件NMO可对网络故障进行诊断和分析,可为网络优化提供最大的帮助。
3.3产品要求
卖方应提供安全解决方案所涉及的所有软、硬件产品的认证书、销售许可证或其他证明文件的复印件。
具体要求如下:
1)密码产品必须满足国家密码管理委员会的要求。
2)计算机安全类产品必须获得公安部颁发的销售许可证。
3)信息安全产品必须是获得国家信息安全评测认证中心的认证。
4)网络安全设备所采用的技术必须是实用和成熟的,是采用、引用国家标准的。
满足。
CA公司提供已取得相应证书的复印件,详见建议书的附件。
建议书中的一些eTrust产品,目前尚未取得相应证书,CA公司正在作相应的申请工作,我们力争在尽可能短的时间内达到用户的要求。
3.4安全标准
安全标准的采用应遵守国内有关安全保密的各项规定。
满足
针对甘肃数据通信局网络安全方案中有关数据加密部分,CA公司将严格遵守国内有关安全保密的各项规定。
3.5安全策略
安全管理工具支持企业级安全策略的定义。
满足。
安全策略的实施是一个复杂的任务,需要详细地规划以确保已实施的机制对于提出的信息安全弱点是有效的。
CA公司已开发了实施程序保证已选的安全策略正确、有效地实施。
这些程序确保:
∙充分地设定实施时间帧并由合适的资源支持
∙测试计划全面的设计与使用
∙正规地培训安全管理员
∙适当地通知最终用户
∙完整的文档
3.6综合性、整体性
卖方应从系统综合的整体角度考虑此次甘肃数据局IP网安全招标项目,制定有效、可行的安全措施,建立完整的安全防范体系。
满足。
随着甘肃数据局IP网系统的发展与建设,甘肃数据局IP网在生产经营中的作用愈来愈显著。
与此同时,日常的业务运营对甘肃数据局IP网管理信息系统的要求也越来越高,使得甘肃数据局IP网系统信息安全防护及系统安全管理成为另一个非常重要的工作;作为业界领先的系统管理软件,CAeTrust除了提供一个综合性的系统管理方案,同样也提供全面的IT环境安全管理方案,以满足系统运行时的管理需求:
CA开发的信息安全服务解决方案,以帮助企业检查信息安全的每一关键所在。
系统管理员权利分散
资源安全性的管理
用户认证管理
系统资源授权特性的扩展机制
企业范围内安全性的单一界面管理
对违反安全策略事件的审计及报表生成
单一登录管理
企业用户的统一管理:
统一创建、删除,基于角色的管理等;
可以对信息系统安全威胁的广泛识别,并具有完整的防范体系。
3.7一致性
卖方提供的安全解决方案应与甘肃数据局IP网的网络,业务的安全需求相一致,并适当的提出有利于甘肃数据局IP网发展的安全建设建议。
满足。
CA方案能和业务需求一致。
通过ETrust管理机上的图形用户界面,安全管理员可以对以下甘肃数据IP网络中所有IT资源进行集中信息安全管理:
管理从桌面机、工作站、NT/UNIX服务器,乃至专用的大型主机系统;ETrust支持IBM(AIX)、INTEL(NT)、DIGITAL(Digital-UNIX/ALPHANT)、HP(HP-UX)、SUN(Solaris)、SGI(IRIX)等几乎所有的服务器/客户机平台;
支持对典型的商业应用进行管理:
如SAPR/3、LotusNotes、NetscapeWebServer、MicrosoftIIS及Exchange等应用系统。
提供简便的API接口,用于与用户的特殊应用进行集成
3.8用户界面
卖方提供的安全管理工具应提供友好的图形化(GUI)管理界面。
完全满足
CA-ETrust为用户提供直观的图形用户介面,使用户可更直观监控和管理分布在网络中的各种资源。
3.9尽量降低对原有网络、系统性能的影响。
由于增加了安全设置后,必将影响网络和系统的性能,包括对网络传输速率的影响,对系统本身资源的消耗等,因此要求卖方平衡双方的利弊,提出最为适当的安全解决建议,并可以提供相关安全工具在不同环境下的测试数据。
卖方应针对其建议方案对甘肃数据局IP网的网络、系统的影响提供仔细的评估。
满足。
由于增加了安全设置后,必将影响网络和系统的性能,包括对网络传输速率的影响,对系统本身资源的消耗等,而eTrust是平衡双方的利弊,提出最为适当的安全解决建议,特别其中包括许多为保证系统性能而采用的专利技术,以及集中化的安全管理,都有效的对网络和系统的性能进行了保障。
3.10避免复杂性
卖方提供的安全解决方案应该避免造成网络结构的复杂,操作与维护的复杂。
满足。
CA-ETrustManager/Agent的集中控管结构发布管理与使用,并且为用户提供直观的图形用户介面,使用户可更直观监控和管理分布在网络中的各种资源。
所以CA解决方案不会造成操作护的复杂性。
3.11可用性
包括两个方面,安全系统本身的可用性和建立在安全管理体系下的网络的可用性。
对于安全系统来说,要求可提供方便、友好的图形化管理界面。
对于网络来说,要求不影响原有业务的开展。
满足。
CA提供的信息安全管理方案,完全符合规则式安全实施机制,可用性很强。
同时提供Manager/Agent的集中控管结构,提供方便、友好的图形化管理界面。
对于网络来说,要求不影响原有业务的开展。
同时,当业务发生变化时,能够及时随同调整。
3.12开放性
卖方提供的安全管理工具应支持广泛的安全管理标准。
满足。
eTrust支持广泛的的标准,如SNMP,OPSEC,x.509,x.500等安全管理标准。
3.13纵深性
卖方提供的安全解决方案应是一个多层保护体系,各层保护相互补充,当一层保护被攻破时,其它层保护仍可起到安全防范的作用。
满足。
CA的信息安全解决方案是提供一个企业级安全管理方案,以解决IT基础设施内各个领域的问题,CA明确了以下的这些安全领域:
1.网络
2.服务器
3.用户
4.应用程序与服务
5.数据
为信息系统提供多层保护,构造安全防护网
3.14适应性
卖方提供的安全解决方案应能够随着甘肃省IP网网络性能及安全需求的变化而变化,要容易适应、容易修改。
满足。
CA提供的信息安全管理方案,完全符合规则式安全实施机制,有易该性。
同时提供Manager/Agent的集中控管结构,因此,当业务发生变化时,能够及时随同调整。
3.15集成性
卖方提供的安全管理工具应能够和其它系统管理工具有效集成。
如HPOV等等。
满足。
CA网络管理工具支持SNMP,完全可以和HPOV的集成。
同时CA也建议用户可使用CA的UnicenterTNG来全面的对网络和网络安全进行管理。
四甘肃数据局安全解决方案各项功能要求
卖方应详细列出与本章中涉及到的功能、技术实现相关的所有产品的厂家名称,产品名称,软硬件所需平台以及详细配置,并可针对某些具体的功能、技术、性能指标提出自己的可行性建议。
完全满足
4.1防火墙
4.1.1功能要求eTrustFireWall是一般意义的防火墙的超集。
一般的,ETRUSTFIREWALL被安放在整个企业网络边界处,控制所有的进出系统的数据,保护企业中关键资源。
ETRUSTFIREWALL的操作是完全透明的,所有的客户和服务器上现存的应用程序都不需要修改。
在安全保障方面,ETRUSTFIREWALL是基于全状态检查技术的防火墙工具,结合了proxy技术、包过滤技术特征以及基于用户的访问控制等多项技术。
ETRUSTFIREWALL工作在数据包层,它自动检测数据包的全部内容,可以支持象UDP这样的“无连接”网络协议。
另外,ETRUSTFIREWALL支持基于状态信息的智能过滤,采用ETrust安全引擎和管理技术进行用户识别和授权。
由于避免了上下文交换以及数据复制,网络性能可以得到有效地保证。
1)支持透明接入和透明连接,不影响原有网络设计和配置;
支持。
eTrustFireWall操作是完全透明的,所有的客户和服务器上现存的应用程序都不需要修改。
2)带有DMZ的连接方式;
满足
eTrustFireWall支持多
升级会员 