《天津档案馆网络安全项目需求书.docx》由会员分享,可在线阅读,更多相关《天津档案馆网络安全项目需求书.docx(12页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第12页 共12页天津档案馆网络安全项目需求书一、 项目概述1. 网络现状天津档案馆目前网络简单来说可分为:网站、外网、OA网、资源网,其中网站服务器托管在网通机房,其余三网在局馆内部,均为物理隔离的独立网络。2. 建设内容l 本次项目主要建设网站防护系统、内外网安全管理系统和内外网数据摆渡系统。l 网站防护系统:要求为专业用于网站防护的硬件产品,有强大的防注入、防篡改、防攻击、防挂马、防病毒等功能,还要有强大的审计功能,自身安全性能强,吞吐量大,具有布置简便、操作简单的人性化管理界面。l 内外网安全管理系统:三套,分装在外网、
2、OA网及资源网,共计200点,其中OA网点数为100,外网为70,资源网为30,具体分配数在具体实施时可能进行微调。主要功能包括:监控、审计、上网行为管理、非法外联、资产管理、外设管理、打印管理、U盘管理等。l 内外网数据摆渡系统:主要用于内网与外网的信息安全交换,单机系统,自带正版杀毒软件。l 其他要求:以上系统在实现参数表中所罗列的功能时,不需要用户额外购买其他产品授权、系统以及数据库(Windows 2003 及SQL SERVER 2005除外)。内外网安全管理系统与内外网数据摆渡系统能够无缝链接,既通过安全管理系统认证后的内、外网专用移动介质,可以同时通过内外网数据摆渡系统,此处如有
3、不明者,可在投标前与招标方联系确认。二、 技术要求1. 投标书内容要求本招标文件提出的“天津市档案馆网络安全项目”的基本要求,是投标人编制投标文件和报价的主要依据,投标人应充分分析甲方的系统及应用的现状并充分考虑系统现在及未来发展的要求,设计出完整的实施方案;2. 招标文件的技术部分应至少包含以下技术文件:l 总体设计方案:根据对招标文件的理解,有针对性的对进行总体方案设计。根据招标文件提供的软硬件设备的技术规格要求,进行软硬件设备的选型及配置。l 工程组织与进度计划方案:根据招标文件对工期的要求,合理安排实施人员,编制工程进度计划,对工程建设各阶段进行合理划分。l 项目培训方案:提供有针对性
4、地项目培训方案。l 技术支持与售后服务方案:投标人应充分考虑本次项目的需求特点,进行针对性编制。l 中标后投标人所作的详细设计应完全满足本次项目的需求,同时不得与投标方案有实质性变化。三、 总体要求l 投标人需根据“天津市档案馆网络安全项目”的招标要求,采用成熟的软硬件产品进行投标;l 产品必须满足本次项目的主要要求,并保证能对选用产品进行很好的集成,如遇所选产品不能满足本次项目建设要求或工程中存在缺漏项情况,中标人应承担相应损失,投标总报价不做调整。l 实施过程要求本项目建设周期为15个工作日,在规定时间内包括硬件、软件、集成、安装、调试等必须完成。项目竣工验收,系统达到了全部设计要求,并且
5、能够稳定运行后,承建单位在提交全部相关文档、报告等交付物的前提下,可以向甲方提出系统竣工验收的申请。l 在投标书中,投标人应提供详细的服务计划和服务承诺,保证在项目建设完成之后提供详细准确的项目完工资料、用户手册、管理手册等技术资料。l 在项目建设过程中,投标人应与甲方和系统运行维护单位进行密切沟通,充分考虑甲方使用和系统长期运行维护的需要;在试运行阶段,投标人应提供全面技术支持服务,确保试运行的顺利进行;l 系统竣工验收并投入正式运行后,投标人需提供三年免费技术支持服务。四、 产品具体要求1. 本次项目求:l 内外网网络安全管理系统和网站防护产品为同一品牌l 内外网网络安全管理系统:3套,共
6、计200点。l 外网网站防护系统:1台l 内外网数据摆渡系统:18套l 台式机:18台l U盘:45个2. 详细参数与性能要求:1) 内外网网络安全管理产品性能参数:招标类别招标参数功能及技术描述内外网网络安全管理系统功能1、系统功能u 网络接入控制能够按照指定的策略控制机器对网络的接入,保证只有认证通过的机器才能够接入网络,防止存在安全隐患或未经授权的机器接入内网。支持IEEE802.1x端口认证的工业标准。对于不支持IEEE802.1x的交换环境,采用软件控制的方式实现对终端设备的接入控制。根据网络环境,用户可以选择在不同网段分别启用802.1X认证、非802.1X认证、不启用网络接入认证
7、组合。u 网关强制网关强制可以实现在网关出口处限制未安装代理软件的终端与外网连接,强制将未安装代理终端的URL请求重定向到一个代理安装包下载网页,从而禁止非法终端通过网关连接外网、泄露内网信息,同时可以加快代理端的安装部署。u 补丁管理从补丁安装状况的角度出发对终端主机进行接入控制,补丁安装不及时、不符合安全要求的终端主机将被自动划入修复区,直到符合补丁管理要求。自动搜集终端主机的已安装补丁信息,并且通过与微软WSUS联动,统计各终端主机的未安装补丁信息,完成安全补丁的自动分发,保证终端主机及时打上最新的安全补丁,防止安全漏洞被利用,投标方在项目实施时应布置WSUS系统,补丁自动分发系统能够正
8、常运行。u 病毒库同步从病毒库更新状况的角度出发对终端主机进行接入控制,未安装反病毒软件、病毒库更新不及时的终端主机将被自动划入修复区,直到符合病毒库管理要求。通过与常用反病毒软件联动,实现及时可靠的病毒库分发,强制病毒库与病毒引擎的升级,统一终端最新的反病毒策略,阻止各类病毒和蠕虫的发作。支持防病毒软件包括:赛门铁克、趋势、瑞星、江民、金山、卡巴斯基、McAfee、冠群等各大防病毒软件厂商的网络版以及个人版防毒产品。2、 安全保护在上述补丁管理、病毒库同步基本安全保护的基础之上,从网络层、系统层、应用层纵深保护终端主机的安全状况,全面保护终端主机不被非法入侵。u 防ARP欺骗采用主动防御技术
9、,在系统驱动层实现防ARP欺骗功能,阻断各种类型的ARP欺骗行为,保证终端机器不受ARP欺骗的干扰与攻击。及时发现网络中存在的ARP“肉鸡”攻击者,可以定位到哪台终端、什么时间、哪个进程发起ARP欺骗攻击,实时定位ARP欺骗病毒源,保证网络通讯的正常稳定、快速协助管理人员定位网络中存在的问题。u 主机入侵保护精选Windows主机类入侵保护规则,对进、出机器的流量进行分析检测,防御各种针对主机的攻击行为,具体类型包括:防止扫描、溢出、远程控制、拒绝服务等各种攻击类型。除了入侵保护规则,还内嵌Sniffer检测模块与Flood检测模块,能检测内网终端主机的Sniffer行为以及洪水攻击行为。u
10、异常端口监听通过设置端口黑白名单,对特定的端口进行监控,禁止在黑名单端口上进行服务监听。u 恶评软件查杀可以手动检测或定时自动检测各个终端是否被安装了恶评软件,根据预置的策略将其禁用并生成告警。系统内置有丰富的恶评软件特征库,并能定期更新。能够收集每个终端所安装的IE插件的信息,汇总到服务器统一展示。管理员可以设置哪些IE插件允许使用,哪些IE插件禁止使用。u 网页防挂马针对当前流行的利用IE浏览器解释执行网页脚本时的漏洞来注入木马的攻击方式,EPS采用了独创的基于行为的检测方法,能够有效地检测并阻断IE浏览器执行恶意代码,防止用户在使用IE浏览网页时系统被悄无声息地注入木马。3、 数据防泄密
11、一方面从外设使用、非法外联的角度出发,对可能导致机密数据泄漏的渠道进行严密控制,将数据泄密的可能降低到最小。同时对终端用户的行为进行全方位的审计,一旦发生数据泄密事件后也可以做到有据可查。u 外设访问控制对移动存储设备的使用进行严密控制,注册管理保证只有登记造册、管理员允许的移动存储设备才能在内网使用;数据读写控制保证终端用户对移动存储设备的使用权限完全受管理员控制;加密管理保证关键移动存储设备上的数据是加密存储的,即便被非法拿到外网使用,也无法获取其上存储的涉密信息;分组管理将移动存储设备、计算机进行分组,方便策略定制;审计功能保证EPS既能审计到终端主机插拔移动存储设备的行为,也能精确审计
12、到终端用户对移动存储设备的文件读写行为。同时针对常见的外设端口类型(USB、红外、串口、并口)和设备类型(软驱、光驱、无线、蓝牙、键盘和鼠标、打印机)进行监控,对违反策略的行为及时告警并禁止使用,防止数据泄密。u 非法外联检测从主动和被动两个方面全面检测终端主机的违规外联行为。能够按照管理员指定的时间间隔周期性地主动探测终端主机是否已能连通外网网址,能够联通则认为已经违规外联,则立即进行断网处理。另一方面,接多个网卡、改变网卡配置、拨号等外联手段都能够触发相应的检测程序,进而被动检测到终端用户的违规外联行为,并实时阻断。综上所述,通过主动探测、多网卡检测、网卡配置检测、拨号检测多种手段监控终端
13、用户,杜绝违规外联行为。u 全方位审计具备丰富的审计功能,包括非法接入审计、各种安全事件的审计、文件操作审计、帐号审计、系统日志审计、上网审计、进程启停审计、非法外联审计等。文件审计可以设置指定的文件名、文件后缀、文件夹,以及指定的操作;帐号审计对系统帐号添加、删除、修改情况进行审计;系统日志审计主要是对系统日志进行审计。系统将全面监控终端审计信息,发现违规操作及时报警,为数据防泄密设好最后一道防线。4、 桌面管理u 资产管理自动收集计算机的软硬件资产信息,硬件资产信息包括:CPU、内存、主板、网卡等;软件资产信息包括:操作系统、杀毒软件、应用软件信息、计算机系统摘要、终端代理相关信息、当前策
14、略信息、补丁信息等。自动发现以上各类软硬件资产的变化情况,灵活生成各种告警与图形报表,及时掌握每个终端用户资产最新状态,避免资产流失,方便企业资产的统一管理。u 软件分发用户可以将应用软件的安装包(EXE/MSI格式)、各类文件分发到指定的机器上并执行。u 交换机管理自动收集交换机端口信息,提供方便的IP/MAC/机器名/交换机端口的互查功能,能够打开或关闭指定的交换机端口。u 系统性能监测实时监测终端CPU、内存、硬盘的使用情况,发现系统超出设置的阈值,及时告警通知。u 远程支持管理员可以通过远程桌面连接到安装代理的终端进行管理和维护操作,支持客户端授权模式,确保系统安全性。本系统提供了两种
15、模式的远程链接,一种是不支持鼠标和键盘输入的监视模式,另一种是支持鼠标和键盘输入的完全控制模式,很好地满足了管理员进行远程连接的不同需求。支持信息服务功能,管理员可以及时快捷向终端发送各种通知信息。u 应用软件监控可以监控指定软件的安装使用行为,通过软件名称关键字,对非法安装使用的软件实时监控告警。可以设置应用软件黑白名单,被列在黑名单中的软件或进程禁止运行,从而禁止终端用户运行P2P、网络游戏、即时通讯等与工作无关、严重影响网络环境的软件,保证企业利益最大化。u 上网监控自动记录员工的上网历史,包括HTTP上网URL信息以及其它非HTTP上网信息,比如Telnet、Ftp等行为。另外可以检测
16、出通过代理上网的行为,并能按照预设的关键字对网页内容进行告警。u 网络配置强制防止随意修改机器的IP、机器名、MAC、网关、DNS服务器IP等信息,根据安全策略设置自动恢复默认的配置信息。针对重点服务器IP采用特殊保护,保证重点服务器IP优先权,避免地址冲突,提高内网管理效率。u 强制域登录强制终端加入或登录到指定的域,可以设置多个登录域;针对登录到其它域、或者不以域身份登录的行为,将采取告警、强制注销Windows等措施。5、 综合管理u 策略管理提供分时、分组、分场所策略管理,支持不同机器组在不同时间、不同网络环境执行不同的安全策略,可根据时间、场所(内网或外网)自动切换安全策略。策略类型
17、可以灵活组合,包括:网络接入控制策略、补丁管理策略、病毒同步策略、主机入侵保护策略、主机防火墙策略、异常端口监听策略、防ARP欺骗策略、应用软件监控策略、外设访问控制策略、非法外联监控策略、网络配置强制策略、强制域登录策略、上网监控策略、终端审计策略、系统性能监测策略、远程支持策略等。u 分级分权管理系统支持跨地域分级部署,没有级数限制。灵活设置上下级管理服务器,能够通过上级服务器管理下级服务器。安全策略中心支持分权管理功能,为不同的部门分配不同的管理员角色,部门管理员只能管理、查看、编辑管辖区内的终端信息。u 系统自保护通过多种技术手段(加载项保护、系统隐藏、防篡改保护、防进程删除)防止安全
18、代理受到非法破坏,保护系统正常、稳定地运行。支持授权安装功能,注册到服务器的代理只有经过管理员的批准才能成为合法代理,否则即使安装了代理也和未安装代理的机器一样只能访问受限的网络。支持在线卸载,可批量卸载安全代理;支持授权卸载,终端用户在卸载安全代理的时候必须输入授权码才能执行卸载。u 查询与报表能够方便地查看各种安全告警事件、违规事件和网络访问事件。通过报表可以了解最新的补丁、反病毒软件安装情况,可以根据资产构成、变更、网络告警等条件生成丰富详细的图形报表并支持多种文件格式的下载。u 集中升级通过自动升级或手动升级,定期升级最新版本或相关补丁。支持终端安全代理统一升级,升级终端安全代理时可以
19、一次性升级所有终端,也可以先只升级测试区域内的终端,待其测试通过后再升级所有终端。u 用户管理采用B/S浏览器管理方式,管理人员可以随时随地登录到服务器进行管理,用户可以指定管理机器的IP地址,保证只有授权IP才能访问。u 管理审计系统对管理人员的登录行为、操作行为、以及任务的下发情况等进行全面的审计,并且只有审计员具有审计日志的维护权限,保证了管理员和审计员的权限制衡,避免了所有管理权限集中于一人导致非法管理的可能性。u 系统支持全面支持Win 2000,win2000 sever,win XP,win 2003,win7等操作系统,安全系统能够做到升级更新。u 产品资质要求具有中华人民共和
20、国公安部的计算机信息系统安全专用产品销售许可证。国家保密局涉密信息系统安全保密测评中心的涉密信息系统产品检测证书2) 外网网站防护产品性能参数:招标类别招标参数功能及技术描述系统功能要求HTTP协议理解HTTP 事务解析能够完全解析HTTP事务、了解HTTP事务的交互流程、并对关键的事务信息进行解码处理,而无需中断HTTP连接。产品必须检查 HTTP 头字段、URL 参数、表单字段、方法、Cookie和其他 HTTP 元素支持HTTP协议解码并对相关字段进行检查,包括方法、URI、版本、HTTP头部各字段、Cookie、表单字段、常用的HTTP编码类型等。会话信息跟踪作为服务器与客户端(浏览器
21、)的中间设备,基于对HTTP协议的解码,能够跟踪会话信息,识别用户、Cookie或参数及其他会话信息,为用户提供基于会话的、可靠的保护。防护机制正向和反向安全模式防护策略模型由基于静态规则的反向(黑名单)安全模式及基于智能用户行为识别的动态防护机制(正向安全模式,即白名单)构建。防护规则除了提供系统内置规则,还支持自定义规则,且提供了灵活的匹配算法,包括“字符串比对”、“BM算法”及“PCRE(Perl-compatible regular expressions)”,便于管理员根据实际应用灵活地调整具体特征规则。关联策略验证功能对于特征不明显的复杂攻击,提供多重检查机制和智能关联分析,确保对
22、高安全风险级别攻击的高识别率,同时也有效避免告警误报率高为用户管理带来的告警风暴。安全特性HTTP RFC符合性支持对HTTP协议合法性进行验证,提供HTTP协议防护功能。HTTPS支持产品能够对SSL(HTTPS)加密会话进行分析。WEB应用漏洞扫描产品提供SQL注入、跨站脚本(XSS)漏洞的扫描与分析。网页挂马检测产品提供网页挂马主动检测功能。WEB基础架构防护产品可防御蠕虫、缓冲区溢出、CGI信息扫描、目录遍历等攻击。WEB应用安全防护产品可防御SQL注入、XSS及跨站请求伪造(CSRF)。产品可防御常规盗链和分布式盗链。产品可防御恶意扫描。产品提供Cookie安全机制,防止Cookie
23、中敏感信息泄露,以及Cookie篡改。产品可提供服务器信息伪装/过滤,避免出错信息暴露网站敏感信息,为攻击者利用、提升攻击成功概率。产品提供URL ACL功能。网页篡改防护提供页面预取功能,自动监测页面被篡改情况。提供视觉恢复功能,即发生网页篡改后,对外仍显示被篡改前的正常页面。提供时间管理功能,可以在不同的时间段设定不同的网页篡改防护策略。内容安全提供恶意代码过滤功能。支持敏感关键字自定义功能。抗拒绝服务攻击产品可防御欺骗与非欺骗的TCP (如SYN, ACK) DDoS攻击及变种。产品可防御特定应用层攻击,针对HTTP Flood攻击具备专门的防护手段,能够对HTTP进行解码,对不同类型的
24、URI请求合法性进行验证,实行不同的防护策略。系统应使用智能攻击流量识别的技术进行防护,而不基于特定规则的方式,即当发生未知攻击,无需专门的撰写规则即可对这些攻击进行防护。网络层安全产品提供ARP欺骗防护功能产品提供基于五元组(源IP地址、目的IP地址、源端口、目的源口、协议类型)及接口的ACL访问控制功能性能指标产品性能吞吐量800Mbps时延30us每秒最大事务数10,000tps抗DDoS能力小包攻击时,60万pps转发性能。日志与报表系统报表系统报表类型提供安全报表(告警分类统计报表、告警时段统计报表、告警区域报表)、访问统计报表(访问时段、访问区域及业务类型)及流量趋势报表。报表查询
25、可按事件类型、统计目标或周期类型等条件进行统计。输出格式支持将生成的报表以Excel及打印等通用格式输出。日志系统日志类型提供系统运行日志及安全防护日志(网络层访问控制、URL ACL防护、DDoS防护、WEB安全、ARP防护及WEB访问)。日志查询可基于时间、IP、端口、协议、动作、事件类型、URL、方法、状态等条件进行日志查询。日志服务支持Syslog日志服务器。设备自身安全性、可靠性设备自身安全性设备网络管理采用HTTPS。系统安全系统自身安全可靠,不依赖于WEB系统自身安全级别。BYPASS方案网络接口内置fail-open特性,产品出现故障时,能自动转变成通路,不影响流量正常传输。支
26、持软件BYPASS功能,系统软件故障时,系统自动实现旁路保护,避免网络中断等事故的发生。 产品资质1、中华人民共和国公安部的计算机信息系统安全专用产品销售许可证2、国家保密局涉密信息系统安全保密测评中心的涉密信息系统产品检测证书3、中国信息安全产品测评认证中心的国家信息安全认证产品型号证书并获得EAL3级别3) 内外数据摆渡系统招标类别功能及技术描述内外网数据摆渡系统功能1、不连接任何网络的单机,采用一定的安全措施,用于内、外网等不同网络或涉密与不涉密的计算机之间进行数据交换的专用机。2、剪切、复制、粘贴、删除、杀毒、重命名、属性等操作一应俱全,充分满足了摆渡过程中的各项操作要求。3、摆渡流程
27、化,防止用户非法操作,增强摆渡安全性;4、强制杀毒,有效防止病毒和木马的入侵;在数据摆渡之前,本系统会自动调用杀毒软件对摆渡介质进行病毒查杀,防止病毒、木马等非法信息被带入内部网络。5、在计算机开机时,本系统会自动接管Windows操作界面,普通用户只能在本机上做摆渡操作,只有管理员才能退回到Windows界面。6、本系统会完整的记录用户所有的摆渡操作,形成日志,并可以查询、打印、导出日志信息,形成报表配合有关部门进行审计,可以取代人工登记管理,有效保证信息安全。7、用户管理:摆渡账户灵活设置,适用各种摆渡管理方式;8、符合国家相关摆渡规定,具有很强的适应性和很广的应用性。9、自带正版可升级杀
28、毒软件,能与本系统无缝链接。4) 台式计算机招标类别功能及技术描述台式机名牌产品/品牌机/CPU E5300/ 2G DDRII/SATA2 320G(7200转) /SATA DVD/声卡/网卡10/100/1000M自适应/集成显卡/防水抗菌键盘/ USB光电鼠标/WIN XP HOME中文版,带有原版防伪标签,带介质/串口一个,6个USB且有2个前置/180W电源/三年维保/ 19英寸LCD宽屏低辐射液晶显示器(符合国家能效等级一级认证)/电源线为一拖二式/标准MATX立式机箱,所有模块免螺钉拆卸/机箱密码锁位,防止内部配件丢失/5) U盘招标类别功能及技术描述U盘名牌正品,容量4G,数据传输率5(MB/s),USB2.0接口,轻薄小巧,便于携带第 12 页 共 12 页