1、15)集中监管与审计系统提供接入平台注册管理功能,包含平台信息注册、业务信息注册、使用单位信息注册、设备信息注册、接口信息注册。16)集中监管与审计系统提供流量监测,能够监测整个平台以及平台内部各个链路和业务的流量信息。17)集中监管与审计系统提供在线用户统计分析,用户行为审计,业务应用审计,设备安全审计,异常行为审计,系统备份恢复功能,日志收集和导出功能和集中管理等功能。18)平台信息统计分析能够对平台本身进行相关信息统计和分析,包括设备运行状况,负载情况。19)实现与公安信息网络运行管理系统对接。内置集成级联上报功能。3.3安全要求3.3.1系统安全要求1)提供有效手段保障网络通信基础设施
2、、网络上的各种系统以及系统上各种应用的正常运行,防止对公安专网信息资源进行非授权访问和操作,防止通过外网对公安专网的各种攻击行为。包括访问控制、病毒防护、审计与跟踪、可用性保障等内容。2)用户身份认证:能与公安PKI/PMI体系无缝集成,支持证书链认证,支持证书撤销列表(CRL)下载、验证,保证接入用户身份的合法性。整个平台须与公安PKI/PMI无缝集成,使平台接入终端在通过边界接入平台安全认证后可使用PKI/PMI系统的数字身份证书访问公安信息网资源。3)设备认证:能依据设备注册登记信息对通过专线、ADSL拨号、3G无线等各种线路方式接入的终端设备进行认证,实现设备唯一性认证,防止非法设备接
3、入。访问控制:能对用户访问公安信息通信网进行细粒度访问控制。通过身份认证的接入终端只能访问接入平台内的指定设备,并且只能进行允许的操作,非授权的访问应被阻断。4)配置安全:单向UTC,外网服务器不提供任何服务端口,不接受任何服务请求,所有服务请求由内网信任服务器发起.5)安全信任链:内外网服务器与安全隔离网闸联动,通过证书建立信任关系,在数据交换唯一通道形成一条安全信任链.增加系统健壮性。3.3.2通信安全需求1)保障用户在接入公安专网过程中的身份的鉴别、数据传输中的保密性、数据完整性验证等。2)数据通道保护:基于角色、权限分配、设置细粒度访问控制策略,能达到非法用户不能访问,合法用户不能越权
4、访问的目的。在客户端和可信边界安全网关之间建立高强度的安全加密通道,能保证数据传输的机密性、完整性,防止公安敏感信息在传输过程中被泄露或被篡改。3)链路认证:能对应用访问链路进行认证,防止非法链路接入。网络安全需求。3.3.3网络安全需求1)需实现包括社会企事业单位接入、党政军机关接入、移动警务办公接入等在内的各类业务从链路安全、网络安全、主机安全、应用安全等层面的安全措施,并将社会企事业单位接入与其他接入链路从物理链路上隔离建立安全通道,确保链路安全。2)网络安全防护:需实现通过探针等对接入的行为进行分析,防止非法和恶意的入侵行为;防病毒服务器对接入流量进行扫描,阻止病毒、恶意代码对公安信息
5、通信网的渗透,为边界接入平台提供病毒防范功能。四、设备清单本次招标采购的软硬件货物具体清单:表1-1货物清单序号设备名称数量单位性能指标1数据交换系统2套详见以下表1-2集中监控与管理系统台详见以下表1-33集控探针详见以下表1-44可信边界安全网关详见以下表1-55CA身份认证服务器详见以下表1-66安全隔离与信息交换系统详见以下表1-77防火墙详见以下表1-88IDS入侵检测系统详见以下表1-99二层交换机 详见以下表1-1010路由器 详见以下表1-1111三层交换机 详见以下表1-1212服务器 详见以下表1-1313机柜 详见以下表1-1414 详见以下表1-15五、软硬件技术指标要
6、求5.1数据交换系统表1-2数据交换系统指标项详细要求规格主机包括两台主机,分别部署在两个网络之间,连接两个网络中应用服务器传输数据,主机之间部署安全隔离网闸实现隔离环境下进行数据安全交换I/O设备网络每台设备具备2个千兆高速以太网网络接口,可扩展至最多4个其他操作系统使用安全加固的TopOS安全Linux操作系统数据交换数据库同步支持SQLServer、Oracle、Sybase、DB2等的单、双向数据交换;无需修改数据库表结构,不涉及代码修改;可同时发送和接收多个数据库中多个表;支持多种增量方式;可分别定义增加、删除、修改的数据传输;根据指定字段值进行条件传输;支持大字段数据同步交换;支持
7、异构数据库安全传输;数据传输高度可靠,采用文件落地缓存确认机制进行保证。文件同步支持多种文件传输方式:专用客户端、FTP、Samba、NFS;高可靠文件传输,文件完整性校验;文件内容识别检查过滤;文件传输加密。流数据交换支持包括网络音频、视频、流媒体在内的多种协议数据传输交换:如FTP、TNS、POP3、SMTP等。日志收集收集平台系统内部各网络设备、应用服务器的运行日志,并同步到内部监管系统,用于平台系统日志分析。数据传输方向控制可根据实际应用需求配置应用传输方向,可根据管理员配置实现单向或双向的数据传输交换。数据传输以静态数据格式方式传输,也可根据需要落地到主机上形成静态文件进行交换。内容
8、过滤、格式检查、病毒查杀可对交换的数据内容进行检查过滤,识别敏感关键字符;对于数据库记录中的大字段内容可在还原后进行处理;对交换的数据库数据内容可根据用户定义进行格式匹配检查,防止数据被恶意篡改;内嵌病毒查杀引擎,可对不同平台下的病毒进行查杀。业务、应用控制系统可根据管理员配置单独启停数据交换服务;也可根据管理员定义单独启停任何一个独立的应用。用户认证对系统管理员、普通用户分层次进行管理认证。系统审计对用户、管理员的所有操作均进行审计记录,并对非授权、越权访问进行记录。系统管理使用基于HTTPS的安全加密协议进行管理;可指定管理终端主机。性能及其它要求1、稳定性运行时间(MTBF):50000
9、小时2、可实现520Mbps的交换能力,10000个并发会话 ;数据库到数据库交换最大并发数据表1024;3、数据影射最大字段数256;4、数据库到数据库交换记录数(100Kb/记录)1000条/秒;5、数据文件处理文件数(100Kb/记录)800个/秒;数据文件处理吞吐量200Mbps;6、应用层数据交换速度(FTP)200 Mbps;7、并发客户端数量3000;最大数据文件10G;8、任务调度粒度为秒级;9、目录监控触发时间1秒;最大传输延时50000小时;2、支持双机热备、支持负载均衡3、最大新建连接数:1500次/秒4、最大并发连接数:2500条5、每秒事务数目(TPS):6500次6
10、、最大吞吐量:480Mbps7、最大接入用户数:250008、产品必须满足计算机信息系统安全产品第一部分:安全功能检测身份鉴别类标准要求,满足国家保密局涉及国家秘密的信息系统安全中间件产品技术要求(秘密),并能提供同类项目的有效证明性文件。5.5 CA身份认证服务器表1-6 CA身份认证服务器标准机架式机箱大于1个百兆网络接口性能及其它要求包括证书注册模块、证书签发模块、证书发布模块、密钥管理模块等四个部分,提供了完备的证书管理功能:1、用户信息注册/签发;用户信息更新;2、证书恢复;证书废除;证书重发;3、微软智能卡证书/计算机证书/域控制器证书签发;4、证书注销列表(CRL)与CA证书下载
11、;内置LDAP服务;5、产品在未来3年内符合国家密码技术发展要求,支持ECC算法。6、支持最大用户数量20000个,并发用户数1000同时,它具备完备的产品管理功能,如系统备份/恢复、系统在线升级、系统日志查询、License在线升级、管理员管理、网络配置等5.6安全隔离与信息交换系统表1-7 安全隔离与信息交换系统产品架构系统架构采用 “2+1”系统架构,即由两个主机系统和一个隔离交换矩阵组成,主机系统采用VSP通用安全平台,隔离交换矩阵基于专用交换芯片实现主机系统间采用自有协议摆渡数据,确保信任网络和非信任网络之间任何连接的断开,彻底阻断TCP/IP协议及其他网络协议隔离交换矩阵自主研发的
12、硬件,无操作系统,外界无法编程控制,而不是采用低安全性的通用可编程硬件,如网线、SCSI、USB等。接口接口配置2U机箱;单电源;可扩展为热备冗余电源;软件系统:设备管理配置功能和定制访问功能(可实现访问控制,但无应用层过滤功能;内网:标配1个10/100M自适应网络接口,1个10/100M自适应网络扩展接口,1个10/100M自适用应管理口,1个10/100M自适应HA口(双机热备口);外网:标配1个10/100M自适应网络接口,3个10/100M自适应网络扩展接口,1个10/100M自适应管理口,1个10/100M自适应HA口(双机热备口)。性能系统吞吐量不小于91Mbps(单向)延时小于
13、5ms功能模块文件交换实现文件的安全交换,支持NFS、SMBFS等文件系统和多种细粒度检测控制功能。支持改名传输方式,可实现对源文件改名,标明传输状态。支持增量传输方式,可实现只传输修改和增加了的源文件。支持传输后删除方式,可实现传输结束后删除源文件。支持Oracle、SQL、Sybase、DB2等主流数据库,支持不同类型的数据库间、不同结构的表间的内容同步;支持客户端与网闸间的第三方数字证书方式的身份认证,确保只有被授权的合法用户才能运行;支持客户端与网闸间的SSL加密传输,确保网络数据传输的安全定制访问实现特定TCP、UDP协议的数据隔离交换,可合作定制开发针对特定协议的安全检测,实现如黑
14、白名单控制、关键字过滤等消息传输支持基本字符和文本的消息传输,支持二次开发API,支持SSL加密传输,提供文本消息的内容过滤攻击防御专业检测引擎主机系统内置USE统一安全引擎关联安全应用内网管理联动遵循CSC关联安全标准,实现与内网安全管理系统联动,通过Leadsec安全管理系统实现集中安全管理可靠性专用冗余协议支持MRP多重冗余协议,保障设备的高可靠性链路聚合物理端口支持802.3ad标准,实现链路聚合功能其它与防火墙、入侵检测系统IDS为同一品牌,确保统一遵循安全标准(CSC),实现无缝联动。证书资质要求具有计算机信息系统安全专用产品销售许可证具有国家信息安全认证产品型号证书具有涉密信息系
15、统产品检测证书具有军用信息安全产品认证证书具有计算机软件著作权登记证书具有计算机信息系统集成一级资质具有国家信息安全认证服务二级资质具有涉及国家秘密的计算机系统集成甲级资质5.7防火墙表1-8 防火墙要求具备自主研发的安全操作系统,并提供该安全操作系统的软件著作权及彩页作为证明产品规格硬件规格标准1U设备,标配6个10/100/1000BASE-T端口,最大可扩展至8个10/100/1000BASE-T端口最大无故障时间(MTBF):80000小时性能参数吞吐量(bps);1.1G最大并发连接数;180万每秒新建连接数;16000可支持扩展IPSecVPN 与SSL VPN模块绿色上网P2P下
16、载控制识别和控制迅雷、BT、eDonkey、eMule等常见P2P下载软件P2P视频播放控制识别和控制PPLive、QQLive、PPStream等常见P2P视频播放软件IM即时通讯软件控制识别和控制QQ、MSN等常用IM软件,一键式阻断IM软件机密文件传输在线游戏控制识别和控制魔兽、CS、征途、联众、天堂、梦幻西游、仙剑情缘、热血江湖、劲舞团、诛仙、浩方、泡泡堂等多种在线游戏软件炒股软件控制识别和控制大智慧、同花顺、国泰君安、证券之星、广发证券、指南针、通达信、股票之星、华安证券、和讯报道、钱龙等多种炒股软件WEB过滤支持基于分类库的URL访问控制,可以对色情、反动等多种负面网站按类别进行选
17、择控制支持50多种分类库,800万级网址智能特征库支持URL独立特征库,支持增量升级管理 采用高速辨认技术,缩短匹配时间,不影响产品整体性能状态检测基于源/目的IP地址、MAC地址、域名、端口或协议、服务、网口、时间、用户的访问控制基于源/目的IP地址、端口、服务、网口、时间、应用等安全策略的带宽控制可基于时间和安全域进行安全隔离,同一时间内网主机只能访问DMZ区或者只能访问外网透明代理实现基于策略的HTTP、FTP、TELNET、SMTP、POP3等透明代理和深度过滤IP/MAC绑定实现IP/MAC地址绑定,且支持IP/MAC地址对的自动探测和唯一性检查支持基于客户端的本地认证、无客户端软件
18、的WEB认证,并支持Radius等第三方认证网络适应性接入模式支持透明、路由、混合三种工作模式支持DHCP Client、DHCP Relay、DHCP Server支持PPPoE接入,并具备自动断线重连技术支持纯透明桥接功能路由支持静态路由,动态路由(OSPF、RIP等),VLAN间路由,单臂路由,组播路由等支持基于源/目的地址、接口的策略路由支持多出口路由负载均衡NAT支持双向NAT、动态地址转换和静态地址转换,并支持多对一、一对多和一对一等多种方式的地址转换VLAN支持802.1Q和ISL VLAN封装协议,支持两种封装的互换以及Vlan Trunk带宽管理基于IP地址、服务、网口、时间等定义带宽分配策略支持最小保证带宽和最大限制带宽支持分层的带宽管理动态协议在各种工作模式下均支持H.323(H.323 GK)、SIP、FTP、MMS、RTSP、UPnP、XDMCP、TNS等多种动态协议VPNIPSec VPN支持标准IPSec协议,能够与CISCO、NETSCREEN等知名厂商的VPN设备互联互通支持预共享密钥、证书等认证
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 