财政地税系统桌面安全防护项目需求书.doc
- 文档编号:395261
- 上传时间:2022-10-09
- 格式:DOC
- 页数:11
- 大小:38KB
财政地税系统桌面安全防护项目需求书.doc
《财政地税系统桌面安全防护项目需求书.doc》由会员分享,可在线阅读,更多相关《财政地税系统桌面安全防护项目需求书.doc(11页珍藏版)》请在冰豆网上搜索。
财政地税系统桌面安全防护项目需求书
一、桌面安全防护系统
项目背景
根据国家税务总局《税务系统网络与信息安全防护体系建设》整体规划及财政部“金财工程”对信息安全体系建设的总体要求,为进一步完善我市财税系统信息安全体系,提高财税各基层单位网络与信息安全管理水平,进一步加强财税内部网络的整体安全防护能力,实现网络安全事件可监控、可管理、可预防,2010年度在我市财税系统信息安全防护体系建设项目计划中统一部署局域网桌面安全防护系统。
建设目标及内容
为了全面提升我局内网终端安全防护能力,增加安全防护手段,提高桌面安全管理水平,根据国家税务总局“金税三期”信息安全体系建设统一部署桌面安全安全防护系统的要求,建设覆盖我市财税系统的桌面安全防护系统,实现集中管理、多级级联的桌面安全管理平台,满足市局及各基层单位的安全准入、非法外联、系统补丁升级、进程监控、流量预警控制、非业务软件安装限制、资产管理等安全管理需求。
此次项目建设内容主要由局域网桌面安全管理系统、补丁及文件分发管理系统、信息安全管理公告平台三部分组成,建设内容概述如下:
1、局域网桌面安全管理系统:
通过对全网桌面终端的注册管理功能,进行终端设备行为与状态的监测、进程与安装的软件监测,实施联网终端设备的准入控制、防违规外联、IP管理、终端行为控制策略、审计分析等;同时,通过实时监测设备资产变化情况,实现终端软硬件资产的自动统计、记录、配置管理。
2、补丁及文件分发:
提供补丁检测审计,实现补丁分发管理中心服务器对网络终端用户进行分发安装;实现文件的自动及后台分发安装;
3、信息安全管理公告平台:
在桌面安全管理平台的基础上,构建我市财税系统统一的内部网络信息安全管理公告平台;
项目需求
(一)系统架构及管理架构要求
1、要求系统基于C/S、B/S构架,方便的对网络中Windows系统客户端及本系统进行管理。
2、管理构架上要求采用分级部署、分级管理和集中管理相结合的方式。
3、支持多级级联网络,能够实现上级直接查询下级数据的功能,要求能够与国家税务总局统一部署的北信源VRV桌面安全防护系统实现级联,并接受国家税务总局统一安排的版本升级、安全策略监控、维护管理等。
4、要求支持中央汇总、区域本地分布式报警方式相结合的管理机制,不同级系统逐级汇总网络设备变化、违规行为、系统运行状况异常信息,方便网管人员进行查询。
5、支持扩展建立信息安全管理通告模块,提供统一的内部网络安全信息公告平台,在区域中针对不同单位的网络进行安全等级划分,收集、汇总和管理网络中各相关安全和应用设备信息的各类相关信息。
(二)终端设备接入管理
1、要求支持跨Vlan、跨路由扫描,管理服务器能自动发现整个网络中的终端系统的IP地址、机器名和MAC地址,允许管理者对终端系统按部门进行登记管理,形成网络基本情况数据库。
2、要求系统能够自动发现识别新接入网络的设备。
3、要求系统提供对网络中的终端的注册管理,能够根据设定的安全策略允许/禁止终端接入网络,实现注册硬件设备信息的自动采集。
4、要求系统提供网络终端IP分组功能,能够按照不同的区域、部门进行管理组的划分。
能够自动检测网络中IP资源使用情况,实时统计并图形化显示注册客户端、未注册客户端及机器在线情况,增强设备管理信息的实时性、准确性。
5、能够与可管理型交换机进行联动,能够通过系统实现对交换机端口的关闭和启动操作,达到控制终端入网通讯的目的。
6、要求支持对客户端MAC和IP地址的绑定管理,IP和主机名绑定,任意其中一个发生改变,系统将自动报警,报警后自动恢复原有IP配置。
7、要求支持对合法计算机IP地址使用的保护机制,对新接入设备占用他人IP地址的行为进行自动断网,不影响合法计算机在网络中的正常使用。
8、要求支持内网完整性管理,对网络中计算机的接入、带出行为进行报警,并能够自动阻断违规行为。
9、要求支持对未授权的终端设备接入具有阻断能力(不依赖交换机、路由器),同时提供安全源事件远程阻断,系统在管辖范围内。
10、支持接入网关或802.1X方式的两种或两种以上的接入控制管理模式。
(三)统一安全策略
1、系统要求提供安全策略制定功能,根据终端安全防护需要提供安全策略(全局策略、本地策略、备份策略)。
2、策略制订后,能够自动分发至网络中所有注册终端,根据策略类型决定执行方式。
3、要求具有上级策略锁定功能,下级管理中心强制执行上级下发的策略且不可对策略进行修改。
4、可以定义策略执行的网络环境,如在特定网络中策略有效或无效。
(四)非法外联监控
1、要求监控网络中客户端的非法外联行为,实时检测内部网络(包括物理隔离和逻辑隔离网络)用户通过调制解调器、ADSL、双网卡等设备非法外联互联网行为,发现非法外联行为后,可自动进行远程告警、断网等操作。
2、支持监控已注册的设备网络连接行为,如改变网络地址接入其它网络,根据接入网络环境因素判定其是否非法接入其它网络。
3、客户端非法外联支持详细记录非法上网计算机的名称、单位、上网方式,可以在报警平台和报警查询中获知信息,并且可以对客户端进行提示信息,自动关机,断网等处理。
4、要求支持是否允许使用代理服务器上网的控制。
(五)安全管理及审计要求
1、要求支持硬件接口控制,控制外设接口,如软驱、光驱、U盘、USB接口、打印机、Model、串口、并口、1394接口、红外接口等的使用。
2、要求支持桌面流量管理,能够对网络客户端流量进行实时监控,并可对全网计算机的流量统计和流量排名,对可疑发包行为(蠕虫病毒等)、多并发连接等进行自动检测、断网,防止非法入侵、滥用网络资源、感染病毒后影响网络正常工作。
3、要求支持软件黑白名单审计管理,可自定义软件安装或软件监控策略,并根据策略管理客户端中非法软件及非法进程,如QQ、MSN、炒股软件等,搜索病毒、木马等可疑程序,并上报管理中心。
4、针对绿色免安装软件,要求能够识别软件的产品名称和源文件名,即使进程名称发生改变也能进行管理和控制。
5、要求支持软件安装行为管理,具备禁止、允许指定软件在注册表启动项、注册表服务项、(开始)程序菜单中添加相关值和快捷方式。
6、要求支持进行客户端防病毒软件审计,能够识别财税系统瑞星版杀毒软件,监控防病毒软件在客户端的安装情况、实时运行情况,对没有安装、实时运行杀毒软件的计算机自动进行告警、断网等处理,能够以图表的形式直观显示全网内杀毒软件客户端安装、运行及报警统计情况。
7、要求支持客户端防火墙功能,能够通过制订执行统一下发的策略实现对客户端端口的访问控制、ICMP控制、IP地址访问控制等。
8、要求支持对客户端进行系统安全性审计,包括注册表审计:
审计注册表键或者键值是否符合某一条件,对不符合审计要求的键值进行添加或删除;用户密码审计:
审计系统用户、网络共享、屏幕保护等密码是否符合规范;用户权限审计:
监控系统用户及用户组增加、减少的变化。
9、要求支持系统日志审计,管理员能够对客户端计算机的日志(系统日志、应用日志、安全日志等)进行远程读取查看。
10、要求支持脚本分发控制客户端操作,向客户端分发用户脚本,控制客户端的程序运行,以及软件的下载、安装等;向客户端分发注册表脚本,对客户端的注册表进行新建、修改、删除操作。
11、要求具有桌面消息通知回馈功能,管理中心可以向客户端发送客户端重新注册、客户端代理程序升级等消息,并能够查询消息回馈情况。
12、要求支持终端点对点信息远程管理功能,如抓包分析、运行进程查看、当前开放端口察看、安装软件审核、漏打补丁查看、终端安全审计、客户端网络配置修改等。
(六)补丁检测审计与补丁分发
1、要求在互联网连通网络上安装补丁下载服务器模块,通过补丁下载增量分离工具,区分内网已导入和未导入补丁,将最新补丁导入内网补丁分发服务器;要求内外网补丁服务器应支持跨网闸等网络安全隔离设备的实时同步。
2、要求能够按照不同类别对补丁进行归类(系统补丁、IE补丁、应用程序补丁以及网管自定义补丁组等),并提供详细补丁信息列表。
3、要求支持其他非Windows系统补丁,如各种应用程序更新补丁,用户可以自定义索引文件。
4、要求支持补丁闭环自动测试功能,对新下载的补丁进行真实环境的自动测试(管理员选定测试组计算机),测试完成并确认补丁安全后再在指定时间进行大面积下发补丁。
5、要求支持客户端补丁自动检测,在内网中建立补丁检测网站,客户端用户访问网站后,Web网页自动检测显示客户端补丁安装信息,用户可进行手动(批量)下载补丁安装;管理员可以在管理平台上点对点远程检测客户端补丁安装状况。
6、要求支持补丁分发策略制定,支持用户自定义补丁策略并自由分发,基于客户端网络IP范围、操作系统种类、补丁类别、风险级别(系统补丁、IE补丁、应用程序补丁以及网管自定义补丁组等)等制定策略,补丁发送至客户端后统一按策略执行应用。
7、要求支持补丁自动分发安装 ,在指定时间、指定网络范围内以不同方式(如推、拉)分发补丁,或者根据脚本策略统一控制客户端下载补丁。
当系统监测到有客户端未打补丁时,可对漏打补丁客户端进行推送补丁。
8、要求支持补丁分发流量和并发连接数控制,支持补丁下载代理转发机制,以免造成对带宽资源占用,影响网络正常运行。
9、要求对网内计算机的补丁安装情况进行整体收集,补丁下发完成后服务器端要有信息回馈,便于管理员查询并导出报表。
10、要求支持普通文件分发功能,可以指定软件安装的系统用户类型,在分发软件包文件时要求能够自定义软件安装成功的条件,以便准确了解软件下发后安装情况。
(七)网络主机运维管理
1、要求支持对网络中的客户端进行流量监控报警:
对客户端设备流量进行采样并实时排序,能够快速检测到网络的异常流量和异常连接,若客户端输入或输出流量超越管理员设定阈值时,将报警信息上报服务器,对可疑发包、可疑并发连接终端计算机进行阻断,防止非法入侵、滥用网络资源。
2、要求对重要主机进行运维监控,支持对客户端的硬盘、CPU、内存等系统资源应用状况进行监控,在超过管理员设定阈值时自动报警。
3、要求对系统重要进程、服务器、软件等的运行监控,对关键进程、关键服务进行保护,并在其发生死锁时自动恢复。
4、要求支持对重要服务器、路由器、交换机等网络设备的保护,有效保障网络的稳定运行。
5、系统必须支持远程文件备份机制,要求把指定的文件在规定时间间隔内备份到远程指定服务器上。
6、要求系统支持管理员多路呼叫帮助平台,每个管理员可同时对多个用户提供远程帮助。
(八)终端IT资产管理
1、要求系统支持管理网络终端软硬件资产:
采集客户端的硬件设备信息(诸如硬盘、CPU、内存等)、位置信息(设备名称、使用人、联系电话、房间号等),注册信息存储到数据库中;可自动发现客户端安装的软件,将所有相关数据入库管理;支持在管理中心对注册客户端进行联机卸载。
2、要求系统支持设备资产信息变化监控,实时检测硬件设备变化情况(如设备硬件变化、网络地址更改等),对未注册设备、注册程序卸载行为进行报警。
3、要求支持对终端计算机软件安装信息的收集,包括当前软件安装信息和历史安装信息。
(九)Web方式客户端快速注册
1、系统安装部署要求支持网页自动注册,在本地Web主页上设置探测代码,未注册客户端访问本地Web页面时能够自动弹出注册提示窗口。
(十)统计报表与分类查询
1、要求系统提供设备分类查询功能,设备统计查询支持柱状图方式直观显示网络中注册设备和安装杀毒软件情况,并可以对设备系统信息(如操作系统和IE类型)和设备硬件信息(如CPU、内存、硬盘等)进行图形化统计。
2、要求支持对各种日志的导出查询,至少支持EXCEL、TXT、HTML格式的文件导出。
同时,可根据用户要求提供自定义的报表格式
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 财政 地税 系统 桌面 安全 防护 项目 需求