安全审计系统.docx

安全审计系统.docx

《安全审计系统.docx》由会员分享，可在线阅读，更多相关《安全审计系统.docx（31页珍藏版）》请在冰豆网上搜索。

安全审计系统

第二章招标项目内容、数量、规格和技术要求

核心数据和核心设备的安全是数据中心管理的重中之重。

05年以来我市劳动保障数据中心网络安全防护管理不断加强，陆续配置了防火墙、防毒墙、网闸等安全设备，建立了数据级异地容灾系统，较好地保障了劳动保障网络信息系统的稳定安全运行。

但因经费等原因，数据中心在核心设备和核心数据安全防护方面还相对较弱，按照劳动保障网络信息系统安全等级保护的要求和数据中心网络安全管理实际需要，为进一步完善劳动保障网络信息系统安全防护体系，提出本次网络安全设备采购需求。

一、网络安全设备采购需求

（一）网络安全设备采购清单：

分类

设备名称

基本目的

基本参数要求

数量

备注

网络安全防御

千兆

防火墙

防护核心数据安全，提高整个网络可靠性

2U机架式结构；最大配置不少于24个接口，现配8个千兆SFP（含4个原厂SFP光模块）和8个10/100/1000BASE－TX电接口，2个10/100/1000BASE－TX管理口。

要求接口支持STP协议。

网络吞吐量不少于5G，最大并发连接数不少于200万，每秒最大新建连接数不少于5万，现配置双电源。

2台

原厂三年质保

IPS入侵防御系统

抵御网络攻击，防护网络系统安全

1U机架式结构，最大配置不少于24个接口，现配4个SFP口（含4个原厂SFP光模块）和4个10/100/1000BASE－TX接口，支持4路Bypass功能，2个10/100/1000BASE－TX管理口，吞吐量不少于6G，具有3000条以上的攻击事件，三年特征库升级服务

1台

原厂三年质保

网络交换设备

24口二层交换机

根据网络整合需要添置，与核心交换机H3C9508对接

H3CS5100-24P-SI24个10/100/1000Base-T以太网端口和4个复用的1000Base-XSFP千兆以太网端口（Combo）

4台

原厂三年质保

48口二层交换机

根据网络整合需要添置，与核心交换机H3C9508对接

H3CS5100-48P-SI48个10/100/1000Base-T以太网端口和4个复用的1000Base-XSFP千兆以太网端口（Combo）

3台

原厂三年质保

SFP光纤单模模块

用于H3C光纤连接用，10KM

H3C光纤单模模块，有效距离10KM

4个

原厂三年质保

数字认证系统

数字认证系统

用于浙江省社会保险网上申报系统统一软件安全认证

网关支持多种签名数据，支持原文包含模式及原文分享模式的PKCS＃7签名的验证。

并发用户数>200，最大吞吐量>50Mbit/s。

支持B/S结构和C/S结构。

支持符合X509标准的各种数字证书的签名验证。

支持国内多种数字证书的签名验证，如：

ZJCA、CFCZ、SHECA颁发的证书。

多种开发接口支持，如：

C/C++、ASP.NET、JAVA、VB、DELPHI、POWERBUILDER等。

验证结果除了包括是否正确值外，还需要包括：

签名用户的证书、原文、签名值（1024bit）等。

1台

原厂三年质保

行为审计设备

网络访问行为审计系统

对用户上网行为进行审计

2U机架式结构；包括2个可插拨的扩展槽,可在用户现场升级端口无需返厂，配置2个10/100/1000BASE－TX数据采集口，2个10/100/1000BASE－TX管理口，最少400G存储空间，支持双电源。

1台

原厂三年质保

安全管理软件

安全设备与策略管理系统

实现劳动保障网络系统内所有安全设备的分级部署和集中监控管理

系统要求能实现整网安全设备的网络拓扑管理、设备策略管理、用户管理、CA管理、日志管理，具有设备监控报警、设备升级管理、查询及统计分析功能。

要求界面美观、简洁易操作，支持基于角色的权限划分和管理。

1套

原厂三年质保

（二）采购主要设备技术参数要求

1、千兆防火墙

指标项

技术指标要求

系统架构

★采用专用硬件架构与专用安全操作系统，基于操作系统内核的会话检测技术，专用的安全操作系统具有自主知识产权，硬件设备可以机架安装。

★采用双安全操作系统，防止配置不当或防火墙系统故障造成的网络中断，充分保证了系统的稳定性。

★软件采用模块化结构设计，可以扩展IPSECVPN，SSLVPN，AV等功能。

性能指标

★2U机架式结构；最大不少于24个接口,包括3个可插拨的扩展槽,可在用户现场升级端口无需返厂，现配8个千兆SFP（含4个原厂SFP光模块）和8个10/100/1000BASE－TX电接口，2个10/100/1000BASE－TX管理口。

接口支持STP协议。

配双电源。

★网络吞吐量不少于5G

最大并发连接数不少于200万

每秒最大新建连接数不少于5万

FW功能参数

工作模式支持透明、路由、透明及路由混合模式

支持单对单、单对多、多对多的地址转换功能

支持路由、透明模式下的虚拟系统功能，支持NAT模式下的虚拟系统功能

支持每个虚拟系统具备独立的管理权限、安全策略，且虚拟系统间互不干扰

可对DMZ区服务器实现保护，如替换服务器（FTP、SMTP、POP3、telnet,HTTP）的BANNER信息

支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤；支持对移动代码如Javaapplet、Active-X、VBScript、Javascript的过滤

动态端口支持协议：

H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP，并对其实现安全控制

支持服务器负载均衡功能，在没有专业均衡设备的条件下，通过防火墙实现多台服务器的性能叠加

支持多链路备份功能，以实现链路层高可用性

支持H.323/SIP的高可用性

支持策略路由，可基于源地址选择路由

支持动态路由协议RIP/OSPF/BGP等

★具有MPLS网络数据的安全控制

支持使用一次性口令认证（OTP）、本地认证、双因子认证（SecureID）以及数字证书（CA）等常用的安全认证方、支持RADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方式；

IPS功能

具有对HTTP、SMTP、POP3、FTP等协议的深度内容过滤，具有URL、关键字过滤

支持对移动代码如Javaapplet、Javascript等的过滤

具有MSN、QQ、阿里旺旺、googletalk等InstantMessenger通信，并可以对于这些应用进行登陆限制,支持根据登陆等帐号进行登陆限制

可限制BT，eMule，讯雷等多种P2P应用，可以统计P2P流量和连接数，可以控制P2P流量的带宽

可以识别并阻断以下攻击行为：

land、Smurf、Pingofdeath、ip_option、teardrop、targa3、ipspoof、Portscan等

VPN功能（IPSEC）

支持与防火墙、SSLVPN统一的认证体系，支持本地认证、双因子认证（SecureID）以及数字证书（CA）等常用的安全认证方、支持LDAP、域认证等安全认证方式；

支持多路VPN隧道间备份、负载均衡；

支持链路叠加、支持手工及智能选路；

可扩展支持3000以上隧道数；

VPN功能（SSL）

支持角色分组的可信接入；

支持PDA的安全接入；

支持B/S,C/S应用系统的安全转发；

可扩展支持1500以上并发用户数；

★具有CleanedVPN功能，能对隧道内数据进行病毒查杀和内容过滤。

★AV功能

可过滤HTTP，FTP，POP3，SMTP，IMAP协议的病毒，并支持35万种以上的病毒

非法报文攻击过滤：

land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、ipspoof；统计型报文攻击：

Synflood、Icmpflood、Portscan、ipsweep；

SYN代理：

对来自定义区域的SynFlood攻击行为进行阻断过滤；可通过设置端口和阀值阻断CC攻击；

具有病毒库的在线自动更新，三年特征库升级服务。

★产品资质要求（投标时提供，加盖原厂公章）

1.中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》

2.中国国家保密局测评中心颁发的《涉密信息系统产品检测证书》

3.中国信息安全评测中心颁发的《信息技术产品安全评测证书级别：

EAL3》

4.国家版权局颁发的防火墙系统计算机软件著作权登记证书

★产品原厂服务要求（投标时提供，加盖原厂公章）

1.原厂商具备信息安全服务二级资质，提供资质证书证明材料

2.3年原厂商质保服务，投标时出具原厂商3年售后服务承诺函

2、入侵保护系统

指标

技术指标项

指标要求

设备要求

★专用的硬件和软件保障

产品采用多核处理器的硬件平台架构，专用的安全操作系统具有自主知识产权。

★端口数量和扩展能力

1U机架式结构：

最大配置不少于24个接口，可在用户现场升级端口无需返厂，包括4个SFP口（含4个原厂SFP光模块）和6个10/100/1000BASE－TX接口（其中2个可作为HA口和管理口），4个接口具有Bypass

★系统吞吐量

不少于6G

★攻击规则库

具有3000条以上的攻击事件，三年特征库升级服务

工作模式

网络接入

透明，路由，IDS监听，混合

防火墙

访问控制

基于状态检测的动态包过滤

基于源/目的IP地址、端口、协议、时间的访问控制

支持报文合法性检查，支持IP/MAC绑定

NAT

支持双向NAT，支持动态地址转换和静态地址转换

支持协议包括H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP等

拒绝服务（DOS/DDOS）

能对当前主流的拒绝服务做检测和阻断，例如：

WinNUKE攻击、UDPFlooding、SYNFlooding等

HTTP

能对当前主流的HTTP类攻击做检测和阻断，例如：

HTTPApache批处理文件漏洞、Apache2.0.39及以前版本存在目录遍历漏洞、Cart32管理员口令泄露漏洞等

自定义攻击

可以根据用户需求自行设置攻击规则，能对其他有害攻击行为做检测和阻断

应用监控

P2P应用

支持识别BT、迅雷、Napster、Popo、Kazaa等P2P类应用

IM

支持识别QQ、MSN、ICQ、UC以及GoogleTalk等IM类应用

游戏

支持识别魔兽世界、征途、劲舞团、跑跑卡丁车、梦幻西游以及QQ游戏等网络游戏

异常流量

能对设备的异常流量进行分析、阻断

入侵防御

★引擎

具有路由、交换、直连、IDS监听四种模式

支持基于源、目的、规则集、动作的入侵检测规则

支持策略改变引擎自动重起

DDOS防御

非法报文攻击：

land、Smurf、Pingofdeath、winnuke、targa3、ipspoof

统计型报文攻击：

Synflood、Udpflood、Portscan、ipsweep

支持主机连接数和半连接数的限制

动作

支持阻断drop，检测到策略中设置的数据后，丢弃报文

支持报警Alert，检测到策略中设置的数据后，进行报警

支持TCPReset，向攻击者发TCPReset包

支持防火墙联动，与防火墙联动，仅限IDS模式运行

报表

Webui支持实时显示按发生次数累计的攻击事件排名

支持Top10攻击者、Top10被攻击者、Top10事件统计报表

支持按时间统计的IPS流量报表

支持选定时间、网络攻击分类的统计报表

支持报表输出，输出格式可以为PDF、DOC、HTML格式

木马（Trojan）

具备丰富的木马特征库，能识别包括灰鸽子、PCShare、Gh0st、上兴、Byshell、Npch、Downloader等多种热点木马及其变种，以及识别多种网页挂马攻击

规则库维护

支持自定义规则库导入、导出，支持系统规则库手动、自动升级

系统规则

预置系统规则集包含认证类、木马类、拒绝服务类、即时通讯类、p2p类、溢出攻击类、扫描类、系统漏洞类、蠕虫类、HTTP攻击类、RPC攻击类、高风险类、中风险类、低风险类和所有事件等

自定义规则

支持自定义规则，支持自定义规则集

网络适应性

路由

支持静态路由

支持基于源/目的地址、接口、Metric的策略路由

支持Vlan路由，能够在不同的VLAN虚接口间实现路由功能

ARP

支持ARP代理、ARP学习，可设置静态ARP

高可用性

★双机热备

支持双机热备（Active-Active模式）

支持连接、配置同步

★Bypass

提供专业的硬件ByPass功能，保证网络通畅

★负载均衡

具有轮询、加权轮叫、最少连接、加权最少链接等多种服务器负载均衡方式

★备份系统

采用双安全操作系统，防止配置不当或防火墙系统故障造成的网络中断，充分保证了系统的稳定性。

系统管理

管理方式

支持WEB图形配置、命令行配置，支持本地配置、远程配置

支持基于SSH、SSL的安全配置

SNMP

支持SNMP的v1、v2、v2c、v3版本

与当前通用的网络管理平台兼容，如HPOpenview等

丰富的私有MIB系统信息

监控和报警

支持网络接口、CPU利用率、内存使用率等

支持邮件、SNMP、控制台等多种组合报警方式

日志

支持Welf、Syslog等多种日志格式的输出

支持通过第三方软件来查看日志

其它

系统升级，支持远程维护和系统升级

系统升级，支持TFTP、FTP、HTTP方式升级

配置恢复，可进行配置文件的备份、下载、删除、恢复和上载

★产品资质要求（投标时提供复印件，加盖原厂公章）

1.中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》

2.中国国家保密局测评中心颁发的《涉密信息系统产品检测证书》

3.中国信息安全评测中心颁发的《信息技术产品安全评测证书级别：

EAL3》

4.国家版权局颁发的入侵防御系统计算机软件著作权登记证书

★产品原厂服务要求

1.原厂商具备信息安全服务二级资质，提供资质证书证明材料

2.3年原厂商质保服务，投标时出具原厂商3年售后服务承诺函

3、24口二层交换机数量4台

指标项

规格要求

★端口数量

≥24个10/100/1000Base-T以太网端口，≥4个1000Base-XSFP千兆以太网端口

★交换容量

当前配置背板容量≥56Gbps

★包转发率

当前配置包转发能力≥42Mpps

端口聚合

支持LACP链路聚合

端口

支持IEEE802.3x流控（全双工）

支持基于端口速率百分比的风暴抑制

支持基于端口速率百分比、pps和bps的风暴抑制

VLAN

支持基于端口的VLAN（4K个）

DHCP

支持DHCPClient

支持DHCPSnooping

支持DHCPSnoopingOption82

组播

支持IGMPSnoopingv1/v2/v3

支持组播VLAN

生成树

支持STP/RSTP/MSTP协议

DHCP

支持DHCPClient

支持DHCPSnooping

支持DHCPSnoopingOption82

组播

支持IGMPSnoopingv1/v2/v3

支持组播VLAN

生成树

支持STP/RSTP/MSTP协议

ACL

支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN等ACL

支持基于时间段的ACL

支持基于全局、VLAN、端口（组）下发ACL

QoS

支持IEEE802.1p/DSCP优先级

支持优先级映射

支持端口信任模式

每端口支持4个队列

支持端口队列调度（SP/WRR/SP+WRR）

镜像

支持端口镜像

安全特性

支持用户分级管理和口令保护

支持Radius认证

支持SSH2.0

支持802.1X，集中式MAC地址认证

支持GuestVLAN

支持端口隔离

支持端口安全

支持MAC地址学习数目限制

支持IP源地址保护

支持ARP入侵检测功能

支持IP+MAC+端口的绑定

管理与维护

支持XModem/FTP/TFTP加载升级

支持命令行接口（CLI），Telnet，Console口进行配置

支持SNMP，WEB网管

支持RMON（RemoteMonitoring）

支持iMC智能管理中心

支持系统日志，分级告警，调试信息输出

支持HGMPv2

支持Modem远端拨号

支持NTP

支持Ping，Tracert

支持Telnet远程维护

支持VCT（VirtualCableTest）电缆检测功能

支持Loopback-detection端口环回检测

保修支持及服务

集成商三年保修和服务,提供原厂能正常运行需使用的特别支架、接头、插座、电缆等附件并满足机房实际布局连接要求.

4、48口二层交换机数量3台

指标项

规格要求

★端口数量

≥48个10/100/1000Base-T以太网端口，≥4个1000Base-XSFP千兆以太网端口

★交换容量

当前配置背板容量≥104Gbps

★包转发率

当前配置包转发能力≥78Mpps

端口聚合

支持LACP链路聚合

端口

支持IEEE802.3x流控（全双工）

支持基于端口速率百分比的风暴抑制

支持基于端口速率百分比、pps和bps的风暴抑制

VLAN

支持基于端口的VLAN（4K个）

DHCP

支持DHCPClient

支持DHCPSnooping

支持DHCPSnoopingOption82

组播

支持IGMPSnoopingv1/v2/v3

支持组播VLAN

生成树

支持STP/RSTP/MSTP协议

DHCP

支持DHCPClient

支持DHCPSnooping

支持DHCPSnoopingOption82

组播

支持IGMPSnoopingv1/v2/v3

支持组播VLAN

生成树

支持STP/RSTP/MSTP协议

ACL

支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN等ACL

支持基于时间段的ACL

支持基于全局、VLAN、端口（组）下发ACL

QoS

支持IEEE802.1p/DSCP优先级

支持优先级映射

支持端口信任模式

每端口支持4个队列

支持端口队列调度（SP/WRR/SP+WRR）

镜像

支持端口镜像

安全特性

支持用户分级管理和口令保护

支持Radius认证

支持SSH2.0

支持802.1X，集中式MAC地址认证

支持GuestVLAN

支持端口隔离

支持端口安全

支持MAC地址学习数目限制

支持IP源地址保护

支持ARP入侵检测功能

支持IP+MAC+端口的绑定

管理与维护

支持XModem/FTP/TFTP加载升级

支持命令行接口（CLI），Telnet，Console口进行配置

支持SNMP，WEB网管

支持RMON（RemoteMonitoring）

支持iMC智能管理中心

支持系统日志，分级告警，调试信息输出

支持HGMPv2

支持Modem远端拨号

支持NTP

支持Ping，Tracert

支持Telnet远程维护

支持VCT（VirtualCableTest）电缆检测功能

支持Loopback-detection端口环回检测

保修支持及服务

集成商三年保修和服务,提供原厂能正常运行需使用的特别支架、接头、插座、电缆等附件并满足机房实际布局连接要求.

5、数字认证系统数量1套

 指标

指标项

规格要求

基本

要求

★支持协议与基本性能

网关支持标准的SSL协议，无需客户端安装专门的SSL代理产品。

并发用户数>200，最大吞吐量>50Mbit/s

支持B/S结构和C/S结构。

功能

要求

★支持多种应用标准与算法

支持符合X509标准的各种数字证书的访问。

支持国内多种数字证书的访问，如：

ZJCA、CFCZ、SHECA颁发的证书。

支持业界标准的高强度加密算法（如：

RSA、RC4、SHA-1等）

支持多种开发接口

多种开发接口支持，如：

C/C++、ASP.NET、JAVA、VB、DELPHI、POWERBUILDER等。

★支持多种验证方式

支持双向身份认证。

支持黑名单验证。

支持浙江CA的白名单验证。

支持服务器站点重定向。

支持用户证书信息捆绑，向应用服务器转发用户证书信息。

支持多个HTTPS服务。

支持从HTTP到HTTPS相互转换时的Session保持功能。

支持用户证书信息捆绑：

能够根据应用需求将用户证书信息传递至应用，并可获取白名单中的用户非证书信息传递至应用。

★产品服务及测试要求（加盖原厂或测试单位公章）

1、3年原厂商质保服务，投标时出具原厂商3年售后服务承诺函

6、安全审计系统数量1台

 指标

指标项

规格要求

基本

要求

★专用的硬件和软件保障

采用专用硬件架构与专用安全操作系统；专用的安全操作系统具有自主知识产权；硬件设备可以机架安装。

★端口数量和扩展能力

2U机架式结构；包括2个可插拨的扩展槽,可在用户现场升级端口无需返厂，配置2个10/100/1000BASE－TX数据采集口，2个管理口，最少400G存储空间，支持双电源。

功能

要求

★支持多种应用协议的监控、还原和审计

Web浏览（HTTP）：

能完全截获、记录、回放、归档被监测网络中所有用户浏览的WEB内容。

电子邮件（POP3、SMTP、WEBMAIL）：

能完全截获、记录、回放、归档被监测网络中所有用户收发的电子邮件。

文件下载（FTP）：

能记录、查询访问FTP服务器的用户名、口令，回放用户在服务器上的操作过程、还原用户传输的数据。

即时聊天（MSN、QQ等）：

能完全记录用户登录时间、离开时间，用户登录IP地址、目的IP地址、还原用户聊天内容。

流媒体（MMS、RTSP）：

能记录用户访问的流媒体地址，访问开始时间、结束时间，访问流媒体名称及简介。

远程登录（TELNET）：

能记录和查询访问服务器上TELNET的用户名和口令字；能记录和回放用户在服务器上的操作过程。

★流量监控与统计功能

对重要IP进行流量监测，并绘制出直观的流量曲线图，有效发现网上出现的异常流量。

支持对历史流量统计分析。

★报表与统计功能

支持多种条件的统计分析。

完善的报表功能：

提供多种专业化报表和分析图表。

支持多种审计方式

实时监控：

对网络中各种应用进行实时监控分析。

行为监控：

可以完全记录、回放用户的网络行为。

内容查看审计：

支持网络数据内容的完全还原，后期可以进行内容审计、取证。

关键词审计：

根据设定的关键词，自动快速的进行全文检索。

流量监控：

通过流量监控，有效发现网上出现的异常流量。

报表统计：

通过统计分析，发现网络中潜在的危险。

支持多种报警响应方式

邮件报警

阻断

★灵活全面的审计策略

采集策略

关键词策略

流量监控策略

报警响应策略

统计分析策略

★资源监控和日志功能

支持系统资源的实时监控。

提供完整的操作日志、系统日志记录,可以进行方便的查看、导入导出。

支持多种编码、压缩格式

支持多种编码方式