新昌人民法院信息安全等级保护整改项目采购要素Word格式文档下载.docx
- 文档编号:21365313
- 上传时间:2023-01-30
- 格式:DOCX
- 页数:54
- 大小:42.48KB
新昌人民法院信息安全等级保护整改项目采购要素Word格式文档下载.docx
《新昌人民法院信息安全等级保护整改项目采购要素Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《新昌人民法院信息安全等级保护整改项目采购要素Word格式文档下载.docx(54页珍藏版)》请在冰豆网上搜索。
防火墙
千兆中端防火墙,标准1U机架,冗余电源,网络处理能力:
6Gbps,并发连接数220万,标配6个10/100/1000自适应电口和4个SFP光纤插槽,三年硬件维修服务。
2台
2
入侵防护系统
标准1U机箱,IPS吞吐量:
2Gbps,标准配置2个千兆SFP插槽,内置2路bypass,6个10/100/1000M自适应电口,三年硬件维修服务。
3
安全管理系统
软硬件一体化系统,标配6个10/100/1000自适应电口,内置1TB存储空间,包含监控节点和审计节点至少50个许可,三年原厂质保服务。
1台
4
漏洞扫描
标准1U机架设备,产品提供6个千兆电口,2个千兆SFP接口插槽,1个CONSOLE口,三年原厂商硬件保修服务。
5
数据库审计系统
采用标准1U机架式架构,配置4个10/100/1000BASE-T电口采集口,内置500G存储空间,含3年应用特征库升级许可,记录事件数>30000条/秒,总记录事件>4亿条,可审计并发数据库用户数≥200个,三年原厂商硬件保修服务。
6
堡垒机
50个主机/设备审计节点许可。
专用千兆多核硬件平台和安全操作系统,内置500GB磁盘存储空间,4个千兆电口,三年原厂商硬件保修服务。
7
桌面云
10个用户授权和10个瘦终端
1套
8
调试笔记本
I5或I7,8G内存,含SSD,USB3.0接口,12或13寸,三年原厂保修
9
工作站
E3-1231V3,内存16G,主板B85,显卡GTX960,240GBSSD+1THDD,键鼠
四、主要技术指标
4.1防火墙(2台)
指标项
指标要求(★为关键指标,不允许负偏离)
★性能参数
标准1U机架,冗余电源,标配6个10/100/1000自适应电口和4个SFP光纤插槽,标配2个接口扩展插槽,最大可现场再扩展26个接口
网络层吞吐量≥6Gbps,新建连接数≥8万,并发连接数≥220万
功能要求
要求投标产品支持路由、透明、交换以及混合接入模式,满足复杂应用环境的接入需求;
要求支持基于源/目的地址、源/目的端口、协议类型、标识值、接口的策略路由;
支持通过设置过滤条件对系统当前的连接会话进行查询和统计;
要求支持URL重定向功能,可以根据源地址、目的地址、目的端口等条件将访问重定向到指定IP地址或域名;
要求可按接口、IP方式进行IP/MAC对应关系的自动探测,根据探测结果对IP、MAC进行单向、双向绑定;
▲支持双机热备和双机负载均衡功能功能,支持标准VRRP协议,支持路由、透明模式下“主-备”、“主-主”方式部署,设备支持一种多防火墙的负载均衡方法及装置的技术,提供支持此技术的知识产权证明复印件。
支持全面的NAT转换功能,支持对源、目的地址、端口的转换,包括一对一,一对多,多对一地址转换方式;
支持服务器负载均衡功能,最大支持对8个服务器进行负载均衡,负载算法支持轮循、权重轮循、加权随机、源地址HASH;
支持基于应用(ARP/PING/TCP/HTTP方式)的链路探测,链路探测失败可以自动进行链路负载重置、备份线路切换、服务器负载重置操作,要求提供功能界面截图;
▲支持日志记录功能,支持高性能的syslog日志处理和存储方法的技术,提供支持此技术的知识产权证明复印件。
可自动检测网段内IP地址冲突,并报警。
(提供配置界面)
支持多纯透明子桥和接口联动(提供配置界面)
▲支持IPSECVPN、SSLVPN、PPTP功能,设备支持一种利用IPSEC将网络路由扩展到远程网络的方法及装置的技术,提供支持此技术的知识产权证明复印件。
支持双向NAT,支持源地址转换、端口映射、IP映射三种类型的NAT。
支持设定网段内共享的或者任一地址的新建连接限制,支持设定网段内共享的或者任一地址的并发连接限制(提供配置界面)。
▲系统支持安全策略的统一处理,设备支持一种安全网关中进行安全策略统一处理的方法及装置,提供支持此技术的知识产权证明复印件。
支持多路由负载均衡(≥16条),可以根据链路探测结果自动进行链路切换(提供配置界面)
支持基于应用(TCP/HTTP)的链路探测(提供配置界面)
支持超级管理员/策略管理员/配置管理员/审计管理员,多级管理
内置安全助手,方便管理员了解内网状况(提供配置界面)
支持活动主机探测,并能根据探测结果自动生成资源对象和安全策略(提供配置界面)
质保服务
三年免费硬件保修服务,中标后提供原厂商质保函
▲资质要求
(提供证书复印件)
公安部计算机信息系统安全专业产品销售许可证(3级);
高性能IPv6防火墙系统计算机软件著作权登记证书
高性能一体化智能安全处理引擎计算机软件著作权登记证书
涉密信息系统集成甲级资质
要求原厂商为应用安全联盟会员
原厂商参与下一代防火墙标准制定,并提供证明文件
设备制造商要求为“信息安全等级保护关键技术国家工程实验室”理事单位
4.2入侵防护系统(2台)
技术指标
技术要求(★为关键指标,不允许负偏离)
★设备要求
标准1U机箱,≥6个10/100/1000M自适应以太网口和≥2个SFP光口插槽
至少提供3路IPS或7路IDS,不会受license限制影响防御路数;
整机吞吐量≥6Gbps,IPS策略开启后吞吐量≥2Gbps;
最大并发连接数≥220万;
工作模式
支持IPS模式、IPS学习模式、IDS模式、IDS监视模式、Forward模式、Mirror模式等多种模式,支持直路和旁路同时部署
具有完整的虚拟IPS功能,一台设备虚拟多个设备,每个虚拟设备不同内存空间、不同检测策略、不同时间控制,满足复杂网络环境;
安全策略
内置5500种以上的签名特征,其中内置僵尸网络(Botnet)特征规则数不少于200条.
系统内置DefaultIDS模板、DefaultIPS模板、web系统防护模板、探测扫描攻击防护模板、综合网络防护模板、P2P应用模板、IM及恶意网站访问控制模板等至少7种有针对性的策略模板。
可自定义策略以及策略运行时间。
支持基于安全区、IP地址(组、段)、规则(组、集)、时间、动作等对象,定制不同的规则和响应方式
安全事件监控
对事件的监控必须支持统计分析监控和实时监控;
统计监控器要能在一个配置页面中综合显示网络流量监控、告警等级统计、威胁分布图、攻击源IP统计、目的IP地址统计,此监控必须是通过实时采样及统计分析的实时数据。
▲基本检测功能
支持国家标准:
GB/T28451-2012(信息安全技术网络型入侵防御产品技术要求和测试评价方法)标准起草单位,提供证书复印件。
产品支持一种网络入侵行为检测系统及检测方法,提供支持此技术的国家知识产权证明复印件。
IPS能发现蠕虫入侵,并能立即丢弃入侵的数据包,让蠕虫无法顺利扩散,能对Zotobworm、MSSQLSlammerWorm等蠕虫进行检测和控制;
内置3000种以上的签名特征,其中内置僵尸网络(Botnet)特征规则数不少于250条。
系统支持一种大规模事件处理的规则群组系统和处理方法,提供支持此技术的国家知识产权证明复印件。
支持Ipv6地址设置,支持Ipv4及Ipv6网络环境运行,并可同时检测Ipv4及Ipv6的网络数据包。
产品必须获得IPV6Ready金牌认证,证书上必须标有“Intrusionpreventionsystem”等字样,提供证书复印件。
防御木马
检测基于ActiveX、XML、VML、MDAC等漏洞,可阻止访问者在浏览网站时被诱导植入木马的攻击;
具有丰富的漏洞特征库可以实现对木马的精准拦截;
间谍软件
可通过监测下载可执行程序、ActiveX、Javaapplet等活动,实现阻止间谍软件通过广告、浏览器漏洞、自定义ActiveX插件等渠道实现安装;
阻挡僵尸网络
可依据BotNet僵尸网络实时黑名单(RBL)以及特征码,侦测并切断僵尸网络连接
带宽管理
支持限制连接传输宽带,可精准到1Kbps,限制传输总量等多种处理方式
法医分析
Web内容检查:
可基于URL、内容等制定黑白名单来对Web访问进行过滤;
支持对指定安全事件的原始信息记录;
可将数据镜像到指定的第三方设备或分析仪记录数据包内容或进一步分析
响应方式
系统须具备实时警报功能,可透过管理Console、E-MailAlert等方式通知管理者,并可显示实时攻击事件信息﹐及透过SNMP警示设备本身状况;
支持丢弃数据包、中断连机、事件监视/记录等;
支持与防火墙联动
管理/报表
可生成查询报表、自动报表、统计报表、一键报表、交叉报表。
并支持定时自动发送报表;
支持web界面及命令行下的管理,web管理界面为全中文界面;
集中管理
支持集中控制、集中管理功能,可实现集中进行安全监控管理和配置管理;
可靠性要求
支持硬件Bypass,保证设备在断电或宕机的情况下,不会引起网络中断;
支持软件bypass,保证设备在下发策略、编译应用策略时,不影响网络以及探测器与管理器之间的正常通讯;
支持冗余部署,基于HA网络物理接口,可实现在设备宕机、端口坏等故障下的主机和从机的及时切换;
特征库的升级
厂商提供对特征库的升级更新,频率不低于每周一次;
支持设备在线、离线升级特征库;
公安部销售许可证(符合国标三级)
4.3安全管理系统(1台)
★产品形态
该系统为软硬件一体化产品,标准1U机架设备,内置1T硬盘,标配6个10/100/1000自适应千兆电口。
本次配置网络设备、主机服务器、安全设备的监控和日志审计许可,监控和审计的节点数量各配置50个许可。
分为管理中心和管理客户端,采用B/S架构。
其中,管理中心内嵌数据库,用户无需另外安装数据库管理系统;
管理客户端基于浏览器,无需安装其他客户端软件。
要求采用Java开发。
管理范围
标明关键业务路径上的各资产等级,在对成百上千个监控指标进行监控时,可以分清告警信息处理的轻重缓急,按资产等级排列事件处理顺序。
用户可以在资产管理界面中查看当前资产树的统计摘要,并能够列举出当前所有资产不同严重等级的事件数量,用户点击数量,即可查看该等级事件明细,并进行深入的事件审计和追溯
能够集中监控和管理网络中的主机设备、网络设备、安全设备、应用系统和机房设备。
具体包括:
交换机、路由器、防火墙、Windows服务器、AIX服务器、Linux服务器、HP-UX服务器、Solaris服务器、SQLServer、Oracle、DB2、Sybase、MySQL数据库系统、webshpere/weblogic中间件、Mail/Web/FTP/DNS/DHCP/WINS和LDAP服务
机房物理视图管理
除了网络拓扑,还支持机房和机架物理拓扑显示,用户可以直观地看到每个机架上的每台设备的运行状态,一有问题就会闪烁告警。
用户点击机架上的每个设备,可以进入这个设备的明细监控界面。
管理员可以在机架图和网络拓扑图之间自由切换,实现双向设备位置定位。
真实设备面板图
用户可以看到设备的真实面板图,并可以针对面板上的接口进行实时监控和设置,进行形象化管理。
对于新的设备类型,用户可以自定义设备面板。
集中监控
通过一个控制台,用户就能够监控整个计算环境中所有设备的运行状态和性能分析,并实时获得告警,便于采取应急响应行动。
系统支持一种网络集中管理平台上的事件处理系统和方法,提供支持此技术的知识产权证明或检测报告复印件。
所有的监控指标都能够设置独立的轮询间隔。
对于每个监控指标都能够设置多级监控阈值,并能够进行门限计数,提升阈值告警的精确性。
★安全审计
能够实时不间断地将来自不同厂商的安全设备、网络设备、主机、操作系统、数据库系统、用户业务系统的日志、警报等信息汇集到审计中心,实现全网综合安全审计。
安全审计包括日志归一化和实时关联分析,系统支持一种大规模事件处理的规则群组系统及处理方法,提供支持此技术的知识产权证明或检测报告复印件。
支持对各类网络设备(路由器,交换机)、安全设备(包括防火墙,VPN,IDS,IPS,防病毒网关)、安全系统(Symantec、瑞星、江民、微软ISA、Windows防火墙)、主机操作系统(包括Windows,Solaris,Linux,AIX,HP-UX)、数据库以及各种应用系统(邮件,Web,FTP,Telnet)的日志、事件、告警等安全信息进行全面的审计。
通过SNMP、Syslog、数据库、文件、NetFlow、OPSEC、软件日志采集器、硬件探针等多种方式完成数据收集功能,拥有高性能的syslog日志处理和存储方法技术,以便于设备达到最佳日志处理性能,提供支持此技术的知识产权证明或检测报告复印件。
除了能够将事件以柱图、饼图等图形统计事件信息外,还能够通过世界地图定位IP地址,通过事件攻击图展示网络安全态势,通过行为分析图展示一段时间内的用户访问行为,并支持雷达图反映当前事件流量。
能够在世界地图上实时定位事件源/目的IP地址的地理位置
主机监控
IBMAIX、Linux、HP-UX、Solaris、Windows2000/2003/2008服务器、小型机
网络设备监控
所有支持SNMP协议的网络设备
安全设备监控
主流防火墙、VPN、IDS、IPS、UTM、LOGBASE、LENDSEC、防病毒网关、网闸、启明星辰-天玥网络安全审计系统、格尔CA、山石、网康-智能流量控制系统、
报表管理
提供丰富的报表管理功能;
根据时间、数据类型等定期自动生成报表,提供打印、导出以及邮件送达等服务;
直观地为管理员提供决策和分析的数据基础,帮助管理员掌握网络及业务系统的状况。
报表可以保存为HTML、EXCEL、文本、PDF、WORD、PNG等多种格式,提供报表模版的导入、导出功能,用户可根据需求自定义相关报表模版进行数据的导入、导出
认证管理
可以在一个界面集中管理所有监控对象的认证方式,便于管理员进行统一修改。
通过集中管理界面可以实现所有设备和应用管理的入口,从而实现设备统一认证和管理
IP地址管理
可以管理企业的IP地址资源,提供了IP地址查询,IP地址扫描,实时把握当前IP使用情况
权限管理
采用基于角色的权限管理机制,通过角色定义支持多用户访问。
角色能够从设备和功能两个维度进行定义,从而达到控制谁可以对什么设备进行什么操作的控制粒度。
此外,用户管理支持第三方认证,支持WindowsAD/LDAP/Radius等认证方式
系统管理
完成对系统自身的各项配置工作、系统自身日志记录、系统自身运行状态监视等
▲资质要求(提供证书复印件)
安全管理系统公安部销售许可证
信息技术产品安全测评证书EAL3+
国家保密局涉密系统集成甲级资质;
国家信息安全服务二级资质;
服务
三年原厂免费硬件保修服务
4.4漏洞扫描系统(1台)
★硬件规格
标准1U机架设备,产品提供6个千兆电口,2个千兆SFP接口插槽,1个CONSOLE口
标准1U机架设备
无WEB扫描域名限制,无IP地址扫描限制
系统架构
产品应是B/S架构,而不是C/S架构
网络适用性
产品应旁路部署在网络中,可以对Web、系统进行扫描,不影响网络结构
系统扫描
应支持对Windows系统漏洞进行扫描评估检查
应支持对Linux、Unix系统漏洞进行扫描评估检查
应支持对网络设备(Cisco、Juniper、华为)和防火墙等系统漏洞进行扫描评估检查
应支持对数据库、中间件系统的漏洞进行扫描评估检查
应支持对CGI攻击行为进行扫描评估检查明
应支持对邮件、操作系统等本地系统安全进行扫描评估检查
应支持对各种系统的远程服务进行扫描评估检查
应支持对各种系统服务项进行扫描评估检查
系统扫描任务应支持自定义扫描策略、自定义扫描漏洞库。
应支持对独立IP地址、IP地址段、IP范围进行系统漏洞扫描
应支持对端口号、扫描深度进行自定义系统漏洞扫描
应支持自定义每日、每周、每月等时间进行系统漏洞扫描
应支持在扫描过程中对扫描器端口号、扫描IP地址、扫描进度进行实时监控
Web扫描
应支持对Oracle、MySQL、SQLserver等数据库的SQL注入攻击漏洞进行扫描评估检查
应支持对XSS跨站脚本攻击漏洞进行扫描评估检查
应支持对Apache、Tomcat、IIS等系统漏洞进行扫描评估检查
应支持对网络爬虫、扫描器的信息泄露、目录遍历等攻击方式进行扫描评估检查
应支持对CSRF、Shell上传文件等漏洞进行扫描评估
应支持对独立域名、范围域名进行自定义漏洞扫描评估
应支持五种以上Web扫描深度策略,高危漏洞、中危漏洞、低危漏洞、SQL注入漏洞、跨站脚本攻击漏洞等
应支持三种以上扫描类型,深度扫描、普通扫描、快速扫描等(请提供相应截图证明)。
应支持自定义每日、每周、每月等时间进行Web扫描
应支持在扫描过程对扫描时间、扫描URL地址、扫描进度进行实时监控
应支持对在Web扫描中对空闲的CPU、内存使用进行手工释放,提高扫描器使用效率
审计及告警
应支持对系统漏洞扫描进行日志记录,需有URL地址、URL域名、严重级别、漏洞类型、规则ID号等详细记录
应支持对Web漏洞扫描进行日志记录,需有IP地址、漏洞描述、漏洞名称、CVEID、严重级别、版本号、服务及端口号等详细记录
应支持对系统内部操作进行审计日志记录
应支持对系统日志进行备份,支持手工备份和自动备份两种模式
所有日志记录应支持第三方日志服务器记录,并预留有第三方日志服务器接口
应支持对系统漏洞、Web漏洞进行告警功能,支持SNMPv1、SNMPv2、SNMPv3、Syslog协议,并以短信、邮件进行实时告警
报表分析
根据系统漏洞、Web漏洞自动生成报表,报表格式必须支持PDF\WORD\EXECL\HTML格式
报表中需有扫描两次的漏洞对比风险和评估
可以根据时间段提供日报、周报、月报、年报,也可以自定义时间节点生成报表
报表可以根据漏洞级别自动生成报表,需支持四种以上漏洞报告,高危漏洞、中危漏洞、低危漏洞、告警漏洞等
升级系统
应支持公有云自动升级服务
支持系统离线升级服务
应支持公有云自动特征库升级服务
支持特征库离线升级服务
每两周提供一次特征库升级,紧急事件第一时间提供特征库升级支持
防护联动
可以与Web应用防火墙进行信息共享,Web漏洞信息可以发送给Web应用防火墙,Web应用防火墙根据信息自动生成防护规则
账户管理与认证
支持三权分立管理,必须有管理员账户、审计管理员、配置管理员
支持虚拟化管理划分,虚拟多个系统进行设备划分管理
支持超时重新认证机制并能够定义用户认证尝试的最大允许失败次数
管理界面
支持SSL的Web页面、SSL、Console、Webshell多种方式,并进行相应管理限制
支持中、英文管理界面
系统诊断
支持ping、tcpdump、ifconfig、url测试等网络工具
支持远程技术支持信息提取
可靠性
支持冗余双系统技术,保证软件不停机
计算机信息系统安全专用产品销售许可证
4.5堡垒机(1台)
★硬件要求
1U机架式结构型,标配4个10/100/1000BASE-T电口采集口,500G存储空间,50个主机/设备许可。
▲系统架构
支持分(多)级部署,分区域、分权限管理,为避免虚假应标,投标时需提供产品功能截图并加盖原厂公章。
系统运行在安全系统平台,运行过程中自身开放端口数目不超过4个,为避免虚假应标,投标时需提供产品功能截图并加盖原厂公章。
具备智能负载均衡功能,支持对当前的运维管理所需的网络资源占用进行智能化分配调度。
基础功能
提供网络卫士运维审计系统自身状态的监控功能,包括:
cpu、内存、磁盘、网卡等。
支持网络卫士运维审计系统自身程序通过WEB方式升级;
支持日志的备份、导出和恢复;
支持双机热备。
账号管理
支持对主账号分组管理
支持主帐号的整个生命周期管理,对主帐号进行增加、修改、删除及锁定、解锁等操作。
支持对主账号进行批量操作。
设置主账号有效期
支持通过配置访问时间策略达到限制主帐号只能在规定的时间段内进行资源访问。
支持通过配置访问地址策略达到限制主帐号只能在规定的地址段内进行资源访问。
支持通过配置访问锁定策略,达到限制主帐号密码输入错误次数和锁定时间。
支
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 新昌 人民法院 信息 安全 等级 保护 整改 项目 采购 要素
![提示](https://static.bdocx.com/images/bang_tan.gif)