15网络信息中心网络安全项目1招标文件Word文档下载推荐.docx
- 文档编号:17003424
- 上传时间:2022-11-27
- 格式:DOCX
- 页数:26
- 大小:29.39KB
15网络信息中心网络安全项目1招标文件Word文档下载推荐.docx
《15网络信息中心网络安全项目1招标文件Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《15网络信息中心网络安全项目1招标文件Word文档下载推荐.docx(26页珍藏版)》请在冰豆网上搜索。
(4)《信息系统等级保护安全设计技术要求》(信安秘字[2009]059);
(5)《信息系统安全管理要求》(GB/T20269-2006);
(6)《信息系统安全工程管理要求》(GB/T20282-2006);
(7)《信息系统物理安全技术要求》(GB/T21052-2007);
(8)《网络基础安全技术要求》(GB/T20270-2006);
(9)《信息系统安全等级保护体系框架》(GA/T708-2007);
具体建设任务及建设内容如下:
安全需求:
(1)我校在信息化建设时,除满足业务需求外,对网络架构设计需要秉持统一性、整体性原则,需要对我校网络架构从IP地址规划、网络设备命名、网络架构层次、结构可扩展性、网络的可靠性进行综合分析,进行网络架构的优化;
(2)我校业务系统相对较多,各业务系统之间存在较多的互访行为,需要针对关键业务流程分析,分析关键业务涉及的系统和业务软件,业务逻辑结构,业务模块通信端口,数据调用过程,数据流向,进而明确安全边界,合理划分安全域,为后续安全设备的采购、部署奠定基础;
(3)需要加强对外联单位的接入控制,并通过部署更新防火墙、防病毒网关等加强边界防护;
(4)重点加强核心业务系统服务器区安全防护,严格控制业务系统的细粒度的访问权限;
(5)部署漏洞扫描系统,针对全网设备定期扫描,及时发现内网系统存在漏洞并修复,提升自身安全防护能力;
(6)配置网络审计系统,通过实时的网络数据采集、智能信息处理、审计分析,实时记录网络访问行为,并对违规操作进行报警;
(7)部署日志审计系统,收集全网设备的系统日志,进行归并存储,供日后审计需求。
(8)部署WEB防护系统,部署在web应用服务器上,通过事件触发方式对网页文件进行实时监测,若发现变更,实时阻断篡改行为。
(9)完善我校的灾备体系,为我校网络信息系统业务的发展提供强有力的保障。
投标人要求:
(1)投标单位必须具备独立的法人资格,具有信息网络集成的能力;
工商注册登记应为两年以上,注册资金为人民币1000万元以上,营业执照在有效期内。
(2)拥有信息产业部“计算机信息系统集成”三级(含)以上资质证书。
(3)须开具针对此项目的原厂授权函和原厂服务承诺函(原件加盖公章),授权销售的产品必须有原厂商授权书。
(4)企业销售业绩良好,无不良业绩、不良贷款和劳资纠纷等。
(5)提供的资格、资质证明文件和业绩情况均真实有效,具有良好的商业信誉和健全的财务会计制度。
第二部分、质保期与后期服务
1.质保期
质保期为从项目验收合格日起计。
项目经验收合格,交付招标人使用日起不低于三年为质保期。
在质保期内中标人免费提供设备正常使用情况下的维修及保养升级服务。
1.1质保内容:
1.1.1本工程需要的一切设施、设备、材料等;
1.1.2五年以上软件(版本、应用规则库、URL库、安全规则库、病毒库等软件升级类服务)免费升级;
1.2质保期内的故障保修,中标人在接到招标人通知半个小时内到达现场,且在24小时内解决问题,若24小时内不能解决问题,中标人须提供同档次的货物供招标人使用。
2.售后服务
2.1在设备使用寿命期内,中标人应保证对设备零配件及易损件的供应;
2.2定期提供检查和维修服务;
2.3有良好的售后服务承诺。
第三部分技术规格要求
通过建立全院的信息安全保障体系,全面保障我校各业务应用的安全、可靠、稳定运行,进一步加强信息网络基础设施建设,提高信息系统的整体安全防护和管理水平,为我校网络信息业务的发展提供强有力的保障。
网络安全防护系统建设
当前,学院部署的网络防火墙、网络入侵防御模块主要针对外网网络威胁构建,内网防网络攻击难以保证。
为确保学院数字化校园网络安全稳定运行,防范各类网络攻击和病毒,确保网络应用、网络数据、网络访问的安全可控,拟在现有网络安全防护体系基础上,进一步构建全程可信可控的立体网络安全防御体系,满足高校等级保护的需求。
1.网络核心区域:
网络核心区域为互联网、滨州校区专线提供统一的安全接入,该区域与互联网区域采用防火墙、防病毒网关进行安全隔离及安全过滤,保证我校网络核心区域的安全边界防护。
核心区域目前采用单机作为核心,规划采用双机热备全网状互联,防止单台设备故障导致全网中断;
并通过专线连接未来规划建设的异地数据灾备。
2.安全支撑区域:
日志审计、漏洞扫描、网络审计等相关设备部署在该区域。
实现三级应用系统的统一运维审计、全网行为审计、业务系统数据访问记录审计、统一日志审计、全网安全态势监控、全网的安全管理、终端安全管理、全网的病毒防护等功能。
3.应用服务器区域
我校核心应用系统均部署在该区域,并通过web应用防护系统及防火墙设备对该区域的访问做访问控制。
4.实现功能
通过构建立体网络安全防护区域,网络架构将更加优化、区域划分更加合理,并能按照功能将各部分区域进行有效隔离,可以有效制定边界安全策略。
5.设备需求
数据中心安全防护体系建设所需设备清单如表所示。
6.数据中心安全防护体系建设软硬件需求表
序号
设备名称
参数要求
数量
单位
1
边界防火墙
机架式结构;
本次配置2个10/100/1000BASE-T接口,6个万兆接口(包含对应万兆模块及跳纤);
整机吞吐率:
≥40Gbps
最大并发连接数:
≥500万
标配双冗余电源及风扇
台
2
防病毒网关
机架式结构
本次配置2个10/100/1000BASE-T接口(作为HA口和管理口)以及4个SFP插槽(以及对应千兆模块)和4个10/100/1000BASE-T接口
双冗余电源,默认电口具有两组BYPASS接口;
≥6Gbps
≥400万
病毒检测吞吐率:
≥3Gbps
3
WEB应用安全防护系统
本次配置8个10/100/1000BASE-T接口和4个SFP插槽(以及对应千兆模块);
默认支持组业务防护接口;
配置双电源及风扇
整机吞吐量≥8Gbps;
应用层吞吐量≥4Gbps;
时延<
60us;
事务处理能力(TPS)≥55000;
并发连接:
≥200万
4
网络审计系统
入库速度≥100000条/秒;
日处理事件数≥30000万条;
2个10/100/1000BASE-TX管理口,4个SFP插槽(以及对应千兆模块),4个1000BASE电口采集口,1T存储空间,吞吐率≥5Gbps
配置双电源
5
日志审计系统
正式版(厂家授权原件)含日志收集、存储、查询、统计分析、关联分析、事件管理、多级管理等功能
套
6
漏洞扫描
本次配置8个1000BASE电口采集口,4个SFP插槽(以及对应千兆模块)
双电源
大于等于1T存储空间单个任务可包含128个C类网段
并发扫描大于60个IP地址;
并发扫描大于100个线程;
大于10个扫描任务并发;
检测漏洞数:
大于6000;
分布式部署中可以向上级服务器上传扫描结果;
最大扫描速度≥20IP/分钟,要求产品授权无限个IP地址
7
日志审计系统配套服务器
机架式,两颗E5-2640v2(2.0GHz/8c)/7.2GT/20MCPU,64GBDDR4-2133内存,3块2TBSATA(企业级)硬盘,一光两电千兆网卡,加配大于等于21英寸宽屏显示器、键盘、鼠标2个
推荐品牌(第1-6项):
启明星辰、绿盟、天融信、H3C
推荐品牌(第7项):
浪潮、联想、H3C。
7.主要设备技术参数要求
本节所列出的技术指标为此次招标品目的基本配置要求,其中带★的参数为关键指标,必须实质性满足。
各厂家可在技术要求上提高和扩展。
1).边界防火墙
功能类别
招标要求
基本要求
★采用专用硬件架构与多核多平台并行安全操作系统(需提供安全操作系统的《计算机软件著作权登记证书》
★要求产品为电信级产品。
★提供设备厂家针对本项目的授权函、质保函原件。
硬件要求
★本次配置2个10/100/1000BASE-T接口以及六个万兆接口(本次需配置六个万兆多模光模块)
性能要求
★整机吞吐量≥40Gbps,最大并发连接数≥500万
功能要求
提供对复杂环境的接入支持,包括路由、透明、混合、直连(虚拟线模式)等接入模式;
支持ISL与802.1Q的trunk接口封装和解封,支持802.1D、PVST生成树协议,支持VLAN-VPN功能;
支持MPLS报文透传功能,并且能够针对MPLS报文进行访问控制。
支持网络应用自学习功能并自动生成相关安全策略。
支持深度统计功能,对系统总体及某一特定对象(如基于接口、协议、内容或其他规则)连接数、报文流量的统计。
支持通过邮件地址黑白名单、IP地址黑白名单、实时黑名单、灰名单、反向DNS查询等方式来实现对垃圾邮件的防护。
支持多种、灵活的身份认证技术,至少包括Radius/LDAP/TACACS+/
SecuID/数字证书/本地认证/短信认证等。
具有防止共享上网、防ARP欺骗及防路由欺骗功能
具有完善的路由解决方案,支持静态和动态路由,动态路由至少包括:
RIP、OSPF、BGP等动态路由协议;
静态路由和策略路由支持等价多路径(ECMP)与加权多路径(WCMP)的路由均衡方式;
ECMP和WCMP能够根据预设探测条件实现自动的链路切换。
支持物理端口的聚合功能,充分提高带宽利用率和高可用性。
支持根据访问控制规则,以及IP包头的DSCP值识别数据包,并在数据包的IP层和二层上分别标记新的DSCP值和COS值,便于下游的网络设备根据优先级别对报文进行流量控制。
支持IPv6、IPv6overIPv4、IPv6和IPv4混合网络,能够在该网络环境中进行使用。
支持服务器的负载均衡,保证用户关键服务的有效性。
支持双机热备功能,包括主备模式(A/S),主主模式(A/A),连接保护模式(SessionProtect);
切换过程中可以保持会话、数据的同步。
管理要求
要求系统管理员能够通过“用户名+口令+图形认证码”方式认证进行登录管理,支持管理员口令强度分级设置,分为高、中、低三级,并且口令长度限制可配置。
要求具有心跳接口物理备份及二级心跳接口功能
要求支持基于接口、应用层协议等流量异常检测功能,能够根据流量阀值、连接数阀值、协议比例异常阀值等条件触发报警规则,并在管理页面上亮起报警灯;
支持日志分级、分类,系统能够提供多种日志存储方式,可以缓存在设备本地,也可以将日志以Welf/Syslog等多种日志格式的输出,支持向多个外接日志服务器传输日志,提供加密传输日志功能。
资质要求
★公安部颁发的计算机信息系统安全专用产品销售许可证
★国家密码管理局颁发的防火墙产品密码检测证书
2).防病毒网关
招标要求
设备为专业的防病毒网关产品,非防火墙、UTM、上网行为管理等加配模块的产品;
要求基于多核多平台并行安全操作系统,并且采用双安全操作系统设计;
要求该设备与原有的设备实现联动;
为保证产品质量,要求产品为电信级产品;
★提供五年以上病毒库及版本免费升级。
★标准机箱,标配双冗余电源;
硬件采用模块化设计,要求至少具有3个接口板扩展槽位,可支持万兆(SFP+)接口数量≥8,可支持千兆接口数量≥34(非combo光电互斥接口或共享交换接口);
要求具有独立的管理接口与双机HA接口;
本次要求配置4个SFP插槽(包含四个千兆多模光模块)和4个10/100/1000BASE-T接口(至少具有两组BYPASS接口);
★整机吞吐:
>
6Gbps;
400万;
新建连接:
8万/秒;
防病毒吞吐(HTTP):
3Gbps;
防病毒引擎
内嵌双引擎杀毒技术,可单独采用流杀毒(快速扫描)引擎或文件型杀毒(深度扫描)引擎,也可同时支持两种杀毒引擎,能够根据不同的被检测协议采用不同杀毒引擎;
能够防御病毒、木马、蠕虫,且支持对压缩数据、加壳病毒的查杀;
能够支持对SMTP、POP3、IMAP、HTTP和FTP协议进行病毒扫描和过滤,有效地防止可能的病毒威胁;
支持病毒隔离功能,管理员可以方便的管理隔离区,可以选择把隔离区的内容发送给管理员或者删除;
可以实时检测到日益泛滥的蠕虫攻击,并对其进行实时阻断,从而有效防止内部网络因遭受蠕虫攻击而陷于瘫痪;
要求支持信任站点功能,网关针对信任站点不做病毒扫描,以降低病毒扫描引擎的负担;
支持IPv4和IPv6双栈协议的病毒扫描和过滤;
支持智能检测应用协议的病毒行为,采用智能方式准确扫描常用协议任意端口的病毒传输行为,而非通过传统手动配置协议端口绑定形式进行病毒扫描;
支持多接口旁路的病毒传输监听检测方式,可并行监听并检测多个网段内的病毒传输行为,用于高吞吐量、高可靠性要求的旁路应用环境;
基于WEB应用系统上传文件的病毒查杀;
支持通过采用java的CommonsFileUpload或其他类似控件的OA、CRM及其他基于WEB的应用系统(包括WEBMAIL)上传文件时的病毒查杀;
要求提供病毒检测率不低于98%的第三方证明;
病毒库
采用国际国内知名主流品牌病毒库,并提供两家以上专业病毒厂商的授权证明文件,病毒库提供商应通过VB100认证(需能够在病毒库提供商的网站首页可查);
流(快速)扫描病毒库大于230万种,文件(深度)扫描病毒库大于260万种;
要求具有独立的蠕虫防护规则库,并可通过手动或自动方式进行升级;
内容过滤
支持对数据内容进行检查,可以采用关键字过滤、URL过滤等方式来阻止非法数据进入内部网络,并且能够针对“ActiveX”、“JavaApplets”及“Script”等控件实施拦截;
要求能够根据文件内容识别文件真实类型,有效的阻断非法类型的文件进入企业网络,能够防止通过修改文件扩展名的方式逃避过滤;
反垃圾邮件
采用邮件地址与IP地址的黑、白名单技术实时检测垃圾邮件并阻止其进入企业网络,为企业节省宝贵的带宽;
维护与管理
提供完整的病毒日志、访问日志和系统日志等记录,并可根据日志数据生成多种格式的统计图形化统计报表;
提供强大的监控功能,可以监控系统资源、网络流量、当前会话数、当前病毒扫描信息等;
报警配置用于当病毒突然爆发时,可向网络管理员发送报警信息,需支持邮件报警、声音报警、SNMP等报警方式;
要求具有配置文件自动定时上传到指定外部服务器功能;
★要求设备为专业的防病毒网关产品,非防火墙、UTM、上网行为管理等加配模块的产品,
★公安部-计算机信息系统安全专用产品销售许可证;
3).Web防护系统
★采用专用硬件架构与专用安全操作系统,基于操作系统内核的完全检测技术,机架安装;
★2U机型,包括8个10/100/1000BASE-T接口,以及4个SFP插槽(以及四个千兆多模光模块)。
★整机吞吐量≥8Gbps;
网络部署
支持透明代理,反向代理工作模式。
支持串行及旁路部署方式。
支持多路部署。
安全特性
基于代理模式的防护引擎
支持HTTP协议解码并对相关字段进行检查,包括URI、HTTP版本、请求方法、响应状态码、HTTP头部各字段和其他HTTP元素。
能够对SSL(HTTPS)加密会话进行分析。
支持导入SSL证书(包括PEM和PFX格式)。
OS命令注入、远程文件包含、目录遍历等WEB通用攻击防护
SQL注入、跨站脚本等常见WEB应用攻击
爬虫防护,能够审计或阻止谷歌、雅虎、XX等20种以上搜索引擎对网站的爬取行为。
盗链防护,保护网站中的视频类、音频类及图片类等资源不被盗链。
支持Cookie防护及Referer防护两种防盗链算法。
漏洞扫描器扫描防护,能够审计或阻止IBMAppScan及AcunetixWebVulnerabilityScanner漏洞扫描工具对网站的扫描行为。
恶意扫描防护,能够通过对WEB的请求行为判断是否为恶意扫描。
可设置行为参数阀值,超过阀值后自动将攻击IP加为黑名单进行阻断。
阻断时间可手动调节。
HTTP请求限制,协议规范化。
支持对HTTP请求长度、请求方法及请求文件类型等进行限制。
支持Cookie安全机制。
支持IP及URL的黑白名单访问控制
支持报警、断开连接、给客户端发送警告页面三种攻击响应方式
支持自定义警告页面
支持自定义防护规则
支持自定义策略和策略集,不同被保护服务可以应用不同的防护策略集
支持对象自定义,可定义来源地址组、目的URL组、时间段
支持代理方式工作模式,客户端不直接和服务器建立连接
支持服务器信息隐藏,客户端得不到服务器版本信息
支持特定页面返回信息隐藏,可返回自定义警告页面
支持网站管理后台隐藏,可定义允许访问网站后台的IP地址
支持网站镜像功能,支持爬虫、ftp(支持篡改后恢复)两种镜像方式
支持定时篡改检测,记录篡改日志并报警
支持篡改页面重定向功能,客户端访问不到被篡改的页面
支持篡改页面自动恢复功能
扫描网站的应用层漏洞信息,自动生成网站漏洞分析报告
支持立即扫描、周期扫描、指定时间点扫描三种方式
支持单个网站扫描和批量扫描两种方式
全中文扫描结果报告
WEB优化
支持缓存页面方式加快访问速度,减轻服务器访问压力
支持加速率记录和统计功能
支持负载均衡功能,把访问分担到多台WEB服务器上
高可用性
支持主从部署模式
支持链路是否正常的监控
支持开机及断电bypass模式,光口支持外置bypass模块
支持直通模式。
当网站有突发流量产生,导致WAF系统性能瓶颈时,可以手动切换为直通模式。
此时WAF系统将不再对经过的流量进行过滤,直接转发数据包。
保证网站业务顺畅。
★中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》
4).日志审计系统
★软件方式,具有自主知识产权;
本次配置150个设备的日志收集。
★接收日志性能≥10000条/秒,存储日志能力≥20000条/M(每M空间存储20000条以上日志,压缩存储,压缩比:
10:
1)
1、支持协议类型:
支持Syslog、SNMPTrap、Netflow、JDBC等协议日志收集;
特殊协议支持订制;
2、支持日志转发:
通过设置转发信息可将日志指向需要的设备;
3、原始日志支持长期存储;
存储策略可以通过管理平台配置;
4、支持将不同设备所产生的不同格式的难以理解的日志数据进行统一格式化处理,提炼出有用信息清晰、明确的展示给管理者;
5、系统状态实时监视:
可以通过管理平台首页可以清晰查看到单日安全事件概况、系统逻辑拓扑图、实时告警信息,可以实时查看审计中心主机的CPU、内存、流量以及磁盘等的使用情况;
6、实时监控:
通过管理台实时查看当前发生的安全事件,实时掌握网络运行状况。
支持按照优先级、规则名进行安全事件查看。
7、支持安全事件回溯查询,可以准确查询到生成该事件的所有关联原始日志,帮助管理员判断该事件是否有效,可以通过设置地址、类型、端口、事件等级等条件,对事件进行基本查询;
8、支持事件分组管理,对事件进行导入、导出、删除等管理操作;
9、事件趋势图以曲线或柱状的形式展示了指定年月的事件走向,使管理员对事件的分布情况一目了然;
10、支持管理员根据日志的URL、时间、源地址、目的地址、源端口、目的端口等参数的设置自定义产生事件的规则;
11、实时日志提供给管理员实时更新的最近的2000条日志信息,管理员可以进行监视、刷新、清零等基本监视条件管理;
12、日志查询功能:
支持多条件组合查询,查询结果即查即显;
支持原始日志全文检索;
13、查询结果可将归一化日志和原始日志对比显示;
支持等于、不等于、大于、小于、正则表达式等查询条件;
14、支持为不同类型日志设置不同的查询条件和显示条件;
15、支持在查询结果页面上直接下钻二次查询,快速定位关键日志,还可以返回上次查询条件;
16、支持手动备份指定时间段内的日志数据;
17、通过日志趋势图,可查看指定时间段的日志数量。
18、管理员可以对日志源进行查看、添加、编辑、删除以及启\禁用的操作。
19、日志压缩存储功能:
原始日志数据进行高效压缩存储,灵活设置系统日志存储空间上限,达到告警上限提示管理员及时处理,达到删除上限会自动删除最旧日志释放空间;
20、查询结果支持分页显示;
支持查询结果导出;
支持外部备份文件导入进行查询;
21、管理员可以查看系统内置的各种类型的报表,系统内置高达500多种报表模板,报表生产成时间小于20秒,用户可以按照自己的需求制作个性化的报表,报表生产成时间小于20秒;
22、可以定期定时发送报表到指定的邮件账户,满足了用户有规律的接收报表、定期了解设备情况
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 15 网络信息中心 网络安全 项目 招标 文件