七院智能化技术参数要求文档格式.docx
- 文档编号:16725055
- 上传时间:2022-11-25
- 格式:DOCX
- 页数:64
- 大小:51.04KB
七院智能化技术参数要求文档格式.docx
《七院智能化技术参数要求文档格式.docx》由会员分享,可在线阅读,更多相关《七院智能化技术参数要求文档格式.docx(64页珍藏版)》请在冰豆网上搜索。
★支持对客户端/服务器是否被种植了远控木马或者其他病毒,恶意软件从而形成僵尸主机进行检测,僵尸主机识别特征总数在30万条以上;
★支持异常连接检测功能,对21,22,25,53,69,80/8080,110,143,443等常见端口的协议异常流量检测,并支持RDP和SSH端口反弹链接检测;
★支持恶意链接检测功能,内置恶意链接地址库,对于可疑的地址链接,设备能够同云端安全分析引擎进行联动,可疑威胁行为在云端进行沙盒执行检测并返回行为分析报告;
(需提供设备分析报告)
服务器防护
★支持OWASP十大Web安全威胁防护,支持SQL注入防护、XSS攻击防护、CSRF攻击防护、系统命令注入防护,文件包含攻击,目录遍历攻击,信息泄露,恶意爬虫,网站扫描,Webshell防护等,具备独立的Web应用防护规则库,Web应用防护规则总数在2800条以上;
★支持Web漏洞扫描功能,可扫描WEB网站SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞,(需提供截图证明)
★支持对常见Web建站内容管理系统的防护,所支持的CMS类型数量不少20种,如dedecms,phpcms,phpwind,Empirecms,discuz,wordpress,joomla等;
★提供针对关键URL或者其他非Web关键服务的短信强认证机制;
(要求提供三种以上服务的短信认证配置截图)
★支持HTTP应用信息隐藏,可自定义需要隐藏信息的HTTP响应参数字段,支持替换服务器出错和请求出错响应页面,支持FTP应用服务器信息、软件版本信息隐藏;
★支持Web登录密码明文传输检测和弱口令防护,支持针对Web页面和ftp的口令暴力破解防护;
支持敏感数据防泄密功能,内置预定义的敏感信息类型,如银行卡号、邮箱、身份证、手机号码、MD5等,支持敏感信息自定义,支持根据文件类型进行敏感文件下载过滤;
★支持asp/aspx/php/jsp等主流webshell后门扫描功能;
(需提供扫描工具)
★支持Php常见sql注入、xss跨站脚本、命令执行、文件包含等脚本漏洞白盒审计功能,显示出具体漏洞类型、存在问题代码所在行数(需要提供截图)
入侵防护
漏洞防护支持防护的类型包括:
Activex插件漏洞,邮件系统漏洞,backdoor漏洞,tftp/ftp服务器漏洞,操作系统漏洞,telnet漏洞,Web浏览器漏洞,网络设备漏洞,木马远控漏洞,应用程序漏洞,文件类型漏洞;
★漏洞规则特征库数量在3500条以上;
★具备云分析引擎,支持设备同云分析引擎进行联动;
支持区分针对客户端和服务端的漏洞保护;
支持针对服务器的漏洞风险评估功能,支持对ftp、mysql、oracle、mssql、ssh、RDP、NetBIOS、VNC等应用的弱密码扫描,扫描完成后生成安全风险评估报告;
(为了保障与防火墙之间智能联动,要求漏洞风险评估非第三方软件产品)
★风险评估可以实现与入侵防护策略和访问控制策略的智能联动,一键自动生成防护策略;
病毒防护
支持对HTTP,FTP,SMTP,POP3协议进行病毒文件检测;
病毒库具备的内置病毒特征数量超过1000万;
支持对常见压缩文件格式的检测,如zip,rar,7z等;
支持杀毒文件类型自定义;
支持杀毒白名单功能,可以根据URL或者IP进行排除不检测病毒;
检测到病毒后的操作支持阻断,记录杀毒日志;
网页篡改防护
支持网关型网页防篡改,无需在服务器中安装任何插件;
动态网页/静态网页支持,全面保护网站的静态网页和动态网页,支持网页的自动发布、篡改检测、应用保护、警告和自动恢复,保证传输、鉴别、地址访问、表单提交、审计等各个环节的安全,完全实时杜绝篡改后的网页被访问的可能性及任何使用Web方式对后台数据库的篡改;
业务管理与安全管理分离,支持提供管理员业务操作界面与网管管理界面分离功能,方便业务人员更新网站内容;
篡改防护效果,支持通过替换、重定向等技术手段,防护篡改页面;
报警方式,支持短信报警、邮件报警、控制台报警等多种篡改报警方式;
安全可视化
★支持对经过设备的流量进行分析,发现被保护对象存在的漏洞(非主动扫描),并根据被保护对象发现漏洞数量进行TOP10排名,列出每个服务器发现的漏洞类型以及数量,支持生成和导出威胁报告,报告内容包含对整体发现的漏洞情况进行分析;
(提供威胁报告)
★提供安全报表,报表内容体现被保护对象发现漏洞情况以及遭受到攻击的漏洞统计,可以查看到有效攻击行为次数和攻击趋势;
(提供安全报表)
支持自定义统计指定IP/用户组/用户/应用在指定时间段内的服务器安全风险、终端安全风险等内容,并形成报表;
支持每天/每周/每月自动生成报表,并将报表自动发送到指定邮箱,可以自定义报表内容;
支持对指定IP自定义业务名称,在报表中可快速识别业务系统存在的漏洞威胁和遭受攻击情况;
支持报表以HTML、Excel、PDF等格式导出;
集中管控
★支持安全设备的集中管理,包括配置统一下发,规则库统一更新,安全日志,流量日志实时上报等功能;
安全监控平台能够实时监控到各设备的当前的安全状况,设备安全状况可定时自动刷新;
安全监控平台可以查看到每台安全设备最近的有效安全事件及最近一周/月的安全有效事件趋势图;
支持对每台安全设备的最近一周/月的安全趋势进行安全状态分级;
(分优、良、中、差四个等级)
★通过安全监控平台可以看到每台安全设备的详细安全状态信息,包括安全评分级别、最近有效事件、有效事件趋势、用户安全统计、服务器安全统计和攻击来源统计;
能够实时监控并显示全网安全设备最近发生的50次有效安全事件,并可以根据时间、类型、ip、设备名称等条件查询历史有效事件日志;
可以分析出服务器上存在的漏洞,并统计针对已发现漏洞产生的所有攻击日志;
支持对一周内发现的漏洞类型以及总数进行统计,并可以根据服务器发现漏洞数量进行排名;
★支持所有安全设备的安全日志汇总,并能够通过时间、类型、严重等级、动作、区域、ip、用户、特征/漏洞ID、回复状态码、域名/URL、设备名称等多个条件查询过滤日志;
高可用性
双机支持A/S,A/A方式部署,支持配置同步,会话同步和用户状态同步。
支持操作系统和数据读写分离,系统运行在CF卡介质上,日志读写操作在硬盘上。
售后服务要求
必须在省内有厂家直属的服务办事机构,提供7*24小时快速上门服务和2小时内快速响应服务(官网上必须可查询到办事机构地址)
厂商资质
国家规划布局重点软件企业和国家级高新技术企业证书;
具有国密办商用密码产品生产定点单位证书
售后服务体系通过ISO9001认证
网络安全应急服务支撑单位证书(省级);
具有国家信息安全测评中心颁发的《信息安全服务资质证书》安全工程类一级;
中国反网络病毒联盟成员;
国家信息安全漏洞共享平台(CNVD)用户组成员;
为了保障项目的环境质量,要求产品制造厂商具备IS014001环境管理体系认证证书
产品资质
产品具备软件著作权登记证书;
产品具备计算机信息系统安全专用产品销售许可证;
产品具备军用信息安全产品认证证书(军B级);
★产品具备ISCCC中国国家信息安全产品认证证书;
★产品具备国家信息安全测评信息技术产品安全测评证书EAL3+;
★产品具备国家保密局颁发的《涉密信息系统产品检测证书》和产品《检测报告》;
★产品具备CVE兼容性认证证书和OWASPweb防火墙认证证书;
★产品获得NSSLAB实验室推荐级别认证
微软MAPP合作伙伴计划成员单位
产品成熟度要求
设备厂家必须是公安部二代防火墙(GA/T1177-2014)标准起草单位
产品Web应用防护能力经过国际知名实验室NSSLabs测试,并获得recommended推荐级别;
(提供NSSLabs相关测试报告)
其他
★中标后三个工作日内,提供样机进行上述功能要求的逐一测试验证,全部通过后才能执行合同流程,测试中发现虚假应标的行为将予以废标处理并保留对该厂商追究相关责任的权利。
上网行为管理
项目
指标
具体功能要求
部署方式
网关模式
支持网关模式,支持NAT、路由转发、DHCP等功能;
网桥模式
支持网桥模式,以透明方式串接在网络中;
旁路模式
支持旁路模式,无需更改网络配置,实现上网行为审计;
多路桥接
必须支持多路桥接功能,最多可支持32组网桥模式;
★多主模式
必须支持两台及两台以上设备同时做主机的部署模式;
IPV6
所有功能支持IPv6
支持部署在IPv6环境中,其所有功能(认证、应用控制、内容审计、报表等)都支持IPv6(提供产品界面截图)
网关管理
管理界面
支持SSL加密WEB方式、SSH命令行方式管理设备;
分级管理
不同用户组的管理权限支持分配给不同管理员;
集中管理
多台设备支持通过统一平台集中管理、集中配置等;
被控设备加入统一平台必须支持以硬件证书验证身份;
告警管理
*支持攻击、双机切换告警、移动终端管理告警、风险终端发现告警、web关键字过滤告警、杀毒告警、设备流量超限告警、磁盘/CPU/内存异常告警等;
IPsecVPN
必须具有IPSecVPN远程加密访问和连接的模块,并能提供IPSecVPN客户端授权远程接入访问;
*IPsecVPN支持多线路功能,支持配置主备线路组和流量分配模式的多线路选路策略;
*支持硬件特征码绑定认证;
*IPsecVPN支持与LDAP服务器、Radius服务器结合认证;
(提供产品界面截图)
链路负载
支持按剩余带宽、带宽比例、平均分配、前面优先的方式进行多链路负载;
支持使用VPN做专线备份;
支持链路故障检测;
排障工具
提供图形化排障工具,便于管理员排查策略错误等故障;
上网故障排除系统
支持开启直通后,流量控制模块依然生效,避免全部数据直通导致线路流量过大;
实时监控
设备资源信息
提供设备实时CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、网络接口、当天网络质量、最近发现移动终端等信息;
流量状态
实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息;
安全状态
实时显示当天的安全状况,最后发生安全事件的时间、类型、总次数、源对象,帮助管理员管理内网安全;
上网行为监控
实时显示设置过滤条件的用户上网行为监控,支持手动设置刷新时间;
★Web访问质量检测
1、针对内网用户的web访问质量进行检测,对整体网络提供清晰的整体网络质量评级
2、支持以列表形式展示访问质量差的用户名单
3、支持对单用户进行定向web访问质量检测
用户管理
本地认证
支持触发式WEB认证,静态用户名密码认证等;
第三方认证
支持LDAP、Radius、POP3、Proxy等第三方认证;
支持ISA\lotusldap\novelldap\oracle、sqlserver、db2、mysql等数据库等第三方认证;
★双因素认证
必须支持以USB-Key方式实现双因素身份认证;
IP、MAC认证
支持绑定IP认证、绑定MAC认证,及IP/MAC绑定认证等;
支持通过SNMP服务器跨三层获取MAC地址;
支持当用户MAC地址变动时,需要重新认证;
多终端自定绑定
同一个账号,支持与指定数量的多个终端进行自动绑定;
★短信认证
支持短信认证方式,用户输入手机号作为用户名,通过短信猫或短信平台发送验证码;
短信认证能够根据不同用户推送不同认证页面,该认证页面可自定义,编辑内容包括文字、颜色风格、图片,且图片支持轮询播放(提供界面证明)
★微信认证
1.支持与微信结合的认证方式,用户关注微信公众号后即通过身份认证,后台记录用户ID(提供产品界面截图)
2.与第三方微信平台无缝对接,不需要修改第三方微信平台代码;
3、支持不同门店选择不同的微信公众号进行认证;
★二维码认证
支持二维码认证,管理员扫描访客的二维码后对其网络访问授权(提供产品界面截图)
新用户认证
基于网段、VlanID、终端类型新用户差异化账户创建、自动分组、认证规则;
支持认证前使用某个组织结构的上网权限;
支持认证黑白名单功能,黑名单是名单中用户不能认证,白名单是只有名单中用户才能认证;
限制某个新用户只能在某个IP段、MAC段范围内登录;
自定义用户属性
支持为用户添加自定义属性(职位、临时项目组、邮件组等),能够根据用户属性自动归类并可以针对用户属性配置上网权限策略、流控策略,审计策略等(提供产品界面截图)
认证页面管理
支持认证页面分权分域管理。
启用后,普通管理员只能看到自己有权限的页面,其他管理员页面不可见。
系统管理员可以将某个页面授权给指定的普通管理员管理。
公用账户
支持多人使用同一帐号登录,且支持重复登陆检测机制;
支持限制公共账号的使用人数;
账户有效期
指定账户支持有效期限制,并支持自动过期;
支持自动删除长期不登录账号信息;
单点登录
支持radius、AD、POP3、Proxy、PPPOE、H3CIMC/CAMS、锐捷SAM、城市热点等系统进行认证单点登录,简化用户操作;
可强制指定用户、指定IP段的用户必须使用单点登录;
强制AD认证
指定用户必须用AD域账户登录操作系统,否则禁止上网;
★LDAP服务器的域对象的策略管理与同步
主要目的是对已有的AC与LDAP服务器结合进行优化,便于客户实现策略管理在AC上进行,用户管理在域上进行,不需同步用户到本地组织结构中即可实现策略管理功能
认证失败
支持为认证失败用户提供DNS等基本网络访问权限机制;
认证后页面跳转
认证成功的用户支持页面跳转:
1.跳转到用户原本输入的URL地址;
2.跳转到管理员指定的URL地址;
3.跳转到注销页面;
帐户导入
支持从本地导入和扫描导入,支持以CSV格式文件导入帐户/分组/IP/MAC/描述/密码等信息;
组织结构
用户分组支持树形结构,支持父组、子组、组内套组等;
用户状态查询
支持用户登录时间、注销时间、在线时长的查询;
自动注销
支持自动注销指定时间内无流量的已认证用户;
冻结用户
支持冻结认证失败次数超过最大值的用户,在冻结时间结束后恢复登录;
★用户密码强度
可设置用户密码不能等于用户名;
新密码不能与旧密码相同;
可设置密码最小长度;
可设置密码必须包括数字或字母或特殊字符;
无线管理
★有线无线统一的管理界面
统一界面,能够直接查看到接入点状态、射频状态、无线网络状态、接入用户状态。
(所有项提供产品界面截图)
★内置无线控制器功能,直接管理AP
1.支持配置开放式,WPA-PSK/WPA2-PSK(个人)、WPA/WPA2(企业)三种接入方式。
2.对接入点支持配置工作模式、射频参数、负载均衡。
3.支持入侵检测、Dos攻击防御,射频智能调整。
4.支持多种日志,接入点日志,系统日志,安全日志,用户认证日志。
5.支持实时显示接入点故障,并提供诊断工具下载。
★基于SSID的策略
支持基于SSID维度的上网权限、上网审计、上网安全、终端提醒、和流控等策略。
终端管理
★系统识别
支持识别终端操作系统版本、系统补丁安装情况;
(必须提供自主知识产权证明,加盖厂商公章);
文件识别
支持识别终端硬盘指定目录下的文件情况;
★进程识别
支持识别终端系统后台运行的进程信息,防止间谍软件的运行;
注册表识别
支持识别终端系统注册表中指定的表项和键值;
自定义识别
支持终端调用管理员指定脚本/程序以满足个性化检查要求;
终端准入
支持win864位操作系统,支持在旁路模式部署下准入生效;
支持禁止不满足终端检查要求的用户访问互联网;
应用管理
★应用识别规则库
1、支持根据标签选择应用,标签分类至少包含安全风险、高带宽消耗、发送电子邮件、降低工作效率、外发文件泄密风险、主流论坛和微博发帖6大类;
2、支持给每个应用自定义标签;
3、支持根据标签选择一类应用做控制;
4、支持对每一种应用的定义和解释,帮助客户快速定位应用的分类;
5、支持给每一种应用列上图标,易于客户了解应用的特征。
★应用控制
1、设备内置应用识别规则库,支持超过4700条应用规则数,支持超过2100种以上的应用,660种以上移动应用,并保持每两个星期更新一次,保证应用识别的准确率;
2、支持根据应用的特征智能识别新更新的应用;
3、支持根据IP、端口、协议等自定义应用规则;
4、支持根据不同的应用类型或具体的某种应用设置允许或拒绝;
★应用细分控制
1.能够对新浪微博、腾讯微博、网易微博等进行细分控制,如:
登录、浏览、发微博、上传附件等。
2.能够对QQ空间、豆瓣网、人人网等社交类应用做细分控制,如:
登录、浏览、发帖回帖、上传附件等。
3.能够对天涯论坛、猫扑社区、XX贴吧等论坛类应用做细分控制,如:
4.能够对网易网盘、金山快盘、华为网盘等云盘类应用做细分控制,如:
登录、上传、下载等。
★移动应用的细分控制
支持对移动应用的细分权限控制,微信:
微信网页版、微信传文件、微信朋友圈、微信游戏。
移动QQ:
QQ传文件、QQ视频语音等。
端口控制
支持根据端口设定用户不允许访问的目标IP组提供的服务;
QQ白名单
支持基于用户组、终端类型、位置、SSID的QQ白名单功能。
代理控制
1、不允许使用外部HTTP代理;
2、不允许使用外部Sock4/5代理;
3、不允许在HTTP,SSL一些的标准端口上使用其他协议;
(比如在80端口上传输非HTTP协议数据,在443端口上传输非HTTPS协议数据等)
★共享接入管理(防共享)
设备能够发现私接路由(或者共享软件等)共享网络的行为:
1.支持自定义配置终端数量和冻结时间。
2.支持“仅统计电脑”和“统计所有终端”两种模式。
3.支持可选“冻结IP”还是“冻结用户名”。
4.支持添加信任列表
5.支持显示以IP或用户名的维度统计一段时间内的趋势图。
6.支持例外排除功能:
如冻结条件是2.指定例外条件1台PC,2个终端。
当PC或终端数超过例外条件才会被判定为共享。
7.支持在数据中心报表中可查询通过共享上网的IP、用户,并能导出报表;
(提供产品界面截图)
网页管理
静态URL库
设备内置海量预分类的URL地址库,支持根据URL类别实现URL过滤;
★SSL加密网页
识别并过滤SSL加密的钓鱼网站、金融购物网站、非法网站等(必须提供自主知识产权证明,加盖厂商公章);
自定义URL
设备支持管理者自定义新的URL地址和URL分类;
关键字过滤
过滤同时匹配三个以上关键字的搜索行为;
过滤同时匹配三个以上关键字的网页访问行为;
网页过滤
支持根据访问的URL、网页关键字进行网页过滤,支持设置拒绝以IP访问网页行为;
支持在放行URL时,自动放行主域名的子链接中被禁止的网站,保证网页显示完整;
发帖管理
过滤同时匹配三个以上关键字过滤的网络发帖行为;
必须支持允许用户浏览帖子但不准发帖功能;
★SSL发帖管理
必须支持基于关键字过滤SSL加密的网页、论坛、BBS上的发帖行为;
网页附件管理
支持根据文件类型限制http、FTP方式上传、下载行为;
邮件管理
邮件地址过滤
支持根据源地址和目的地址过滤外发邮件;
邮件附件过滤
支持基于扩展名过滤含指定文件类型的邮件外发行为;
支持根据附件大小、附件个数限制外发邮件;
邮件关键字过滤
过滤同时匹配三个以上关键字的邮件主题、正文和附件的邮件外发行为;
Webmail管理
必须支持允许用户登录Webmail收邮件,而禁止发送Webmail邮件的功能;
SSL邮件管理
必须能基于关键字、发件人地址等识别和过滤使用邮件客户端外发SSL加密邮件的行为;
加密Webmail管理
必须能够基于关键字识别和过滤使用SSL加密的Webmail邮箱外发邮件的行为,比如gmail;
★加密SMTP邮件过滤
支持对加密HTTPS、SMTP-SSL、SMTP-TLS、SMTP、Gmail、闪电邮客户端的邮件进行关键字过滤;
(提供实际测试效果图)
★加密SMTP、POP3邮件审计
支持对加密HTTPS、POP3-SSL、POP3、IMAP、IMAP-TLS、IMAP-SSL、SMTP-SSL、SMTP-TLS、SMTP、Gmail、闪电邮客户端邮件内容的审计。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 智能化 技术参数 要求