(一)项目概况:根据上级有关单位要求和我院信息安全工作的需要,针对我院现有网络架构进行安全加固和安全域调整。通过增加防火墙、上网行为管理系统、防病毒网关、WA F等设备,全面实现信息系统安全。同时,针对信息系统安全等级保护工作要求做针对性整改,提供安全规划咨询服务等,保证达到信息系统安全等级保护二级要求。
广州市设计院
信息系统安全等级保护项目
招
标
文
件
广州市设计院
2018年11月
第一部分 招标公告
一、招标项目:广州市设计院信息系统安全等级保护项目
二、资金来源:自筹
三、招标项目简介:
(一)项目概况:根据上级有关单位要求和我院信息安全工作的需要,针对我院现有网络架构进行安全加固和安全域调整。通过增加防火墙、上网行为管理系统、防病毒网关、WAF等设备,全面实现信息系统安全。同时,针对信息系统安全等级保护工作要求做针对性整改,提供安全规划咨询服务等,保证达到信息系统安全等级保护二级要求。
(二)招标内容:计划委托一家有经验的信息安全系统集成服务商完成相关设备采购、体系搭建、网络调整、制度完善及信息系统安全等级保护测评差距整改工作。
四、投标人应具备的资格条件:
(一)投标方须具有最新通过年审的企业营业执照。
(二)要求投标方注册资金200万人民币以上。
(三)投标方必须为网络安全产品的制造商或合法代理商(授权商),代理商(授权商)投标必须提供针对本项目及产品的代理证书或原厂商授权书。
(四)投标方承诺具有良好的企业资信,近年无不良业绩及投标行为记录。
(五)投标企业在广州地区应具备完善的售后服务体系。
(六)投标方最近一年内成功实施过类似信息系统安全等级保护项目。
(七)具有计算机信息系统集成资质、信息技术服务管理体系认证证书、信息安全管理体系认证证书、广东省安全技术防范系统设计施工维修资格证的企业优先考虑。
(八)投标方参与项目技术人员具有华为、CISSP、ISCCC、CCIE-Secruity、Checkpoint CCSE、微软MCSE证书等安全专家认证资格证书者优先。
(九)投标价格不能超过投标限价,超过限价一律废除投标资格。
(十)本项目不接受联合体投标。
五、招标方式:
本项目采取报名申请、资格审查、评标确定一家中标单位的招标方式。
第一步:投标人报名申请,并提交单位法人委托书(加盖公章)、企业介绍资料(加盖公章)以及前述投标人应具备的资格条件证明文件等原件或复印件(加盖公章)。
第二步:招标人对报名单位进行资格评审,选择符合条件且较优质的3~4家单位参加竞标。
第三步:竞标单位在规定时间内送达送达投标文件,投标文件要求印刷版壹份正本,贰份副本,电子版壹份。
第四步:招标人通过对竞标单位进行评标,确定一家符合招标文件需求、策划方案优秀并且报价合理的企业为中标方。
招标过程中在院内、外网公布院纪检监察投诉举报电话,全程接受院职工和社会监督。
六、资格审查:
本项目投标人的资格条件在竞标前进行审查。投标人应在报名文件中按招标文件的规定和要求附上所有的资格证明文件,要求提供复印件的必须加盖单位公章,并在必要时提供原件备查。若提供的资格证明文件不全或不实,将导致其投标或中标资格被取消。
七、投标相关时间及地点:
1.报名截止时间:2018年11月29日17:30前。
2.投标截止时间:另行通知。
3.报名及投标地点:广州市天河区体育东路体育东横街3号设计大厦四层。
4.报名资格审查文件、投标文件需在相应要求时间截止前送达指定地点。逾期送达、邮寄送达或文件的密封、标注不符合本招标文件规定的恕不接受。招标文件解释权归招标人所有,投标人有疑义应及时提出,若未提出,以招标人解释为准。
八、开标时间、地点:另行通知。
九、本招标公告在广州市设计院内、外网站公开发布。本次招标活动由广州市设计院科技质量部信息中心负责解释。
十、招标人对未通过资格审核和未中标者不作任何解释。
十一、招标方承诺严格遵守《中华人民共和国招投标法》。
十二、
招标人:广州市设计院
地址:广州市天河区体育东路体育东横街3号设计大厦4层。
联系人:周敬
联系电话:020-87513047
邮箱:zhoujing@gzdi.com
十三、广州市设计院纪委:
地址:广州市天河区体育东路体育东横街3号市设计院纪检监察室
电话:020-87545438
邮箱:sjy-jw@gzdi.com
广州市设计院
第二部分
广州市设计院
信息系统安全
等级保护项目
招 标 文 件
招标编号:GZDI-20181127
投标人名称: (盖章)
法定代表人或其委托代理人 (签字或盖章)
一、投标邀请函
______________ _ 公司:
广州市设计院(招标方)就等保项目,现诚邀具备相关资质的专业公司参加投标。请参加投标的公司仔细阅读本招标文件和相关标的项目细则,并按要求提供有关信息。
一、招标编号:GZDI-20181127
二、招标项目:广州市设计院信息系统安全等级保护项目
三、项目采购明细(详细需求描述见招标书中附件一的技术方案要求):
四、报名截止时间:2018年11月29日17:30前。
五、投标截止时间:另行通知。
七、报名及投标地点:广州市天河区体育东路体育东横街3号设计大厦四层。
八、投标文件需在相应要求时间截止前送达指定地点。逾期送达、邮寄送达或文件的密封、标注不符合本招标文件规定的恕不接受。招标文件解释权归招标人所有,投标人有疑义应及时提出,若未提出,以招标人解释为准。
九、开标时间、地点:另行通知。
十、本招标公告在广州市设计院内、外网站公布。本次招标活动由广州市设计院科技质量部信息中心负责解释。
十一、招标人对未通过资格审核和未中标者不作任何解释。
十二、招标人:广州市设计院
地址:广州市天河区体育东路体育东横街3号设计大厦
联系人:周敬
联系电话:020-87513047
二、投标资料表
业主名称: |
广州市设计院 |
项目名称: |
信息系统安全等级保护项目 |
招标机构名称: |
广州市设计院招标小组 |
投标报价和货币 |
|
投标报价: 相关费用: |
信息系统安全等级保护项目 商品含税价格(16%增值税专用发票) 服务含税报价(6%增值税专用发票) |
投标限价: |
伍拾伍万元整 |
投标货币: |
人民币 |
定标原则:符合招标人对本项目投标人的资质要求,满足招标人技术及服务需求,综合评价最优者得 |
|
开标日期: |
待定 |
地 点: |
广州市设计院天河区体育东路体育东横街3号 |
评 标 |
|
评标价量化因素: |
除考虑投标人的报价之外,还要考虑量化以下因素: |
1)在行业内口碑和工程质量; |
|
2)投标文件申报的交货期; |
|
3)与合同条款规定的付款条件的偏差; |
|
4)工程的售后服务的费用; |
|
5)得到投标设备的备件和售后服务的可能性; |
|
6)调试需要的时间; |
|
7)投标设备在使用周期内预计的运营费和维护费; |
|
8)投标设备的性能和使用生产率、产品质量; |
|
9)“投标资料表”和/或技术规格所列的其它具体标准; 10)投标文件是否按招标文件要求的格式进行填写和说明。 |
|
交货期的偏离 |
交货期:合同签定后等保项目按我院实际需求于30天内完成所有安装调试工作工作,并交付使用; |
投标人有完善的售后服务队伍,须有3人以上技术熟练的售后服务人员;其维修服务响应时间是在接到买方维修申请后的4小时内到达维修现场。 |
|
决定运行和维护费用: |
不适用 |
适用于本投标人须知的额外增加的变动: |
投标人在提交印刷版投标文件(壹份正本,贰份副本)的同时,另提交一份电子版的投标文件。如印刷版投标文件与电子版的投标文件的差异,以印刷版投标文件为准。 |
电子版的投标文件应包括: |
投标文件中的所有内容,其中文字、图象应以WORD、EXCEL、JPG格式存储。 |
投标说明:
1、适用范围
本招标文件仅适用于本次招标中所叙述项目服务。
2、定义
(1)“招标方”系指组织本次招标活动的机构——广州市设计院(以下简称“甲方”)。
(2)“投标方”系指向招标方提交投标文件的产品服务提供商。
3、合格的投标方
投标方须具有最新通过年审的企业营业执照;
(2) 要求投标方注册资金200万人民币以上;
(3) 投标方必须为网络安全产品的制造商或合法代理商(授权商),代理商(授权商)投标必须提供针对本项目及产品的代理证书或原厂商授权书。
(4) 投标方须具有良好的企业资信,近年无不良业绩及投标行为记录。
(5) 投标企业在广州地区应具备完善的售后服务体系。
(6) 投标价格不能超过投标限价,超过限价一律废除投标资格。
4、投标费用
投标方自行承担与投标有关的全部费用。
5、标书保密要求
投标方取得标书后,对从甲方标书内容及本招标项目中获得或知悉的甲方任何资料和信息承担保密任务,不得以任何方式透露给任何第三方,否则甲方将追究相关法律责任。
三、售后服务、货物需求一览表及技术规格要求
3.1、施工及技术服务
投标方默认承诺提供如下服务:
守局服务
在合同规定时期内,安排技术人员在设备现场提供技术支持、技术咨询、技术问题跟踪、用户档案管理等方面的服务。
现场测试服务
产品安装、调试完,试运行期结束,供应商工程师将协助用户对全系统的功能、性能测试,确定合格,交付用户使用。
现场巡检服务
现场巡检服务:包括产品的系统检查、一般检查、遗留问题处理等三项服务;
系统检查服务:对系统进行细致全面监视和检查,检查的内容包括软件、硬件检查,电源和告警的检查等。
一般检查服务:观察系统的运行情况,了解用户在维护管理方面的需求,传授维护经验。
遗留问题处理服务:针对用户系统存在的故障或设备存在的隐患,对系统进行检查,找出故障原因,分析并解决。
电话询检服务
通过电话询问工程现场情况及系统运行情况,及时有效了解用户需求。
故障呼叫服务
有专业的售后服务人员负责项目的故障呼叫服务,及时响应用户请求。
应急服务
提供应急服务措施,提供现场技术服务或产品更换服务,确保用户的正常工作。如果需要,支持人员可以在最快的时间(4小时)内赶到现场解决问题;
质保服务
承诺对质保期内发生无法修复非人为故障的产品,免费更换组件或产品,在质保期内提供现有功能的免费升级。
软件补丁升级服务
软件补丁是指对原授权软件所做的修正补充,是此版本软件运行过程中已发现问题的解决方案,这些软件补丁将对原授权软件起到消除运行中潜在隐患的作用。
负责将软件补丁和相应的指导书交给用户。
整个升级过程是在技术工程师的指导下,和用户协商一个时间,由用户技术人员现场协助技术工程师完成打补丁的各项工作。
软件补丁将不对原授权软件功能进行更改,也不包括增加新功能。
对系统软件的版本升级不属于软件补丁的服务范围。
在线支持服务
远程服务:通过网络联系的方式,远程与客户交流或远程登录,实时解决现场的产品问题;
技术支持网站:通过公司技术支持网站提供免费技术支持,第一时间公布系统中的最新信息、更新情况以及升级包等。
10、资料服务
提供的资料服务包括网上资料、资料索取和用户设备档案等三项服务。发放资料的内容包括技术手册、技术报刊、技术手册光盘、网上资料、设备档案等。
通过邮寄或电子邮件方式,向索取资料的用户发放技术资料。
为用户建立系统档案,并定期进行更新维护,在用户需要的时候,向用户开放信息。
11、提前通知服务
将近期发现的重大问题及时通知用户。重大问题的范围包括不属于产品原因造成的问题。
定期发布产品软、硬件版本更新,新功能增加的公告。
12、与其它产品互连互通服务
当用户需要配合其他厂家进行双方设备互连互通调试时,可以提供技术指导,必要时给予现场技术支持。
13、技术培训服务
项目安装部署过程中,必须有我司系统运维管理人员全程参与并提供相关的技术培训;交付使用后,前3个月安排技术人员在我司协助调试和带教工作,要求我司技术人员达到能独立操作服务器部署、系统环境搭建、资料备份、还原、软硬件安装、客户端安装、常见故障排除和重大故障应急处理的技术能力。
3.2 外来施工项目安全消防环保清洁卫生责任保证书
保证书
投标方承诺:
一、按国家安全、消防等法律法规建立自我管理机制,建立安全管理网络,并提供施工单位资质证、特种作业人员的操作资质证等有效书面证明。
二、做好施工现场环境的清洁卫生工作。
三、听从甲方派出的项目负责人的现场监督,做到安全施工。
四、在工作期间,不乱动甲方其它设备,如现场需要提供动力源,则应向甲方该项目的负责人申请,并得到明确的指示。
五、施工过程中,若因本方责任造成招标方设备财产和人身安全事故责任及产生的损失由投标方负责,除此之外还需视情节按招标方相关制度处理。
法定代表人/授权代表签字:
公 章
3.3廉政要求
廉洁声明
投标方承诺:
一、通过正常途径开展相应业务工作,不为获取某些不正当利益向招标方工作人员赠送礼金、有价证券和贵重物品等。不以洽谈业务、签订经济合同为借口,邀请招标方工作人员外出旅游和进入营业性消费场所。不为招标方单位和个人购置或者提供通讯工具、交通工具、家电、高档办公用品等物品。
二、不为谋取私利擅自与招标方工作人员就服务产品的内容变化、材料变动、价格变动、质量变动等进行私下商谈或者达成默契。
三、如发现招标方工作人员有违反上述协议者,向招标方领导、纪检监察部门或者招标方上级单位举报。
法定代表人/授权代表签字:
公 章
3.4投标书
致:广州市设计院
根据贵方为(项目名称)项目招标采购货物及服务的投标邀请(招标编号),签字代表(姓名、职务)经正式授权并代表投标人(投标人名称、地址)提交下述文件正本壹份、副本贰份及电子文档壹份:
1. 投标一览表
2. 投标分项报价表
3. 货物说明一览表
4. 技术规格偏离表
5. 商务条款偏离表
6. 按招标文件资料和技术规格要求提供的有关文件
7. 资格证明文件
8. 不限于以上的其它相关文件(如有的话)
在此,签字代表宣布同意如下:
1. 所附投标价格表中规定的应提交和交付的货物投标总价为(注明币种,并用文字和数字表示的投标总价)。其中投标商品价格(用文字和数字表示的投标价格),服务价格(用文字和数字表示的投标价格)。
2. 投标人将按招标文件的规定履行合同责任和义务。
3. 投标人已详细审查全部招标文件,包括第(编号、补遗书)(如果有的话)。我们完全理解并同意放弃对这方面有不明及误解的权力。
4. 本投标有效期为自开标日起_ _个日历日。
5.我方承诺,与买方聘请的为此项目提供咨询服务的公司及任何附属机构均无关联,我方不是买方的附属机构。
6. 投标人同意提供按照贵方可能要求的与其投标有关的一切数据或资料,完全理解贵方不一定接受最低价的投标或收到的任何投标文件。
7. 与本投标有关的一切正式往来信函请寄:
详细地址:广州市天河区体育东横路3号
广州市设计院科技质量部信息中心 周敬
电话:(020)020-87513047
电子函件:zhoujing@gzdi.com
投标人代表签字___________________________
投标人名称_______________________________
公章_____________________________________
日期_____________________________________
3.5投标一览表格式
投标一览表
投人名称:_____________ 招标编号:
序号 |
招标号 |
项目名称 |
型号和规格 |
数量 |
投标商名称 |
价格条件 |
投标总价 |
交货期 |
备注 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3.6投标分项报价表格式
投标分项报价表
(国内投标商的投标)
投标人名称:_______________ 招标编号:
投标人代表签字____________________
注:1. 如果按单价计算的结果与总价不一致,以单价为准修正总价。
2. 如果不提供详细分项报价将视为没有实质性响应招标文件。
3.7项目说明一览表格式
项目说明一览表
投标人名称:______________ 招标编号:______________
-
招标号
项目名称
主要规格
数量
交货期
装运地
目的地
投标人代表签字________________________
注:各项货物详细技术性能应另面描述
3.8技术规格偏离表
技术规格偏离表
投标人名称:_____________ 招标编号:_____________
-
序号
货物名称
招标文件
条 目 号
招标规格
投标规格
偏离
说明
(本页不够转另一页)
投标人代表签字_______________________
3.9商务条款偏离表
商务条款偏离表
投标人名称:_____________招标编号:____________
序号 |
招标文件条目号 |
招标文件的商务条款 |
投标文件的商务条款 |
说明 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
投标人代表签字 ____________________
3.10法定代表人授权书
法定代表人授权书
本人(姓名)系(投标人名称)的法定代表人,现委托(姓名)为我方授权代表。授权代表根据授权,以我方名义签署、澄清、说明、补正、递交、撤回、修改(项目名称)投标文件、签订合同和处理有关事宜,其法律后果由我方承担。
委托期限:
被授权人无转委托权。
投标人:(公章)
法定代表人: (签字)
身份证号码:
授权代表:(签字)
身份证号码:
年 月 日
3.11资格证明文件格式
填写须知
1)投标商作为投标人应填写和提交下述规定的格式3.11-1、3.11-2、和3.11-3,以及其它有关资料。
2)所附格式中要求填写的全部问题和/或信息都必须填写。
3)本资格声明的签字人应保证全部声明和填写的内容是真实的正确的。
4)买方将应用投标人提交的资料根据自己的判断和考虑决定投标人履行合同的合格性及能力。
5)投标人提交的材料将被保密,但不退还。
6)全部文件应按“投标资料表”规定的份数提交。
3.11-1资格声明
致:广州市设计院
资格声明
尊敬的先生:
为响应你方_______年____月____日的(招标编号) 投标邀请,下述签字人愿参与投标,提供货物需求一览表中规定的(货物品目号和名称),提交下述文件并声明全部说明是真实的和正确的。
(1)投标商的资格声明,各有1份正本,2份副本及1份电子文档。
(2)下述签字人在证书证明本资格文件中的内容是真实的和正确的,同时附上我方银行(银行名称)出具的资信证明。
制造商 授权签署本资格文件
名称___________________________ 签字人姓名、职务(印刷字体)
地址___________________________ ______________________
传真___________________________ 签字______________________
邮编___________________________ 电话______________________
3.11-2投标商资格声明
1. 名称及概况:
(1)投标商名称:________________________________________________________
(2)总部地址:__________________________________________________________
电传 / 传真 / 电话号码:____________________________________________
(3)成立和/或注册日期:__________________________________________________
(4)实收资本:__________________________________________________________
(5)近期资产负债表(到_______年_____月____日止)
①固定资产:_______________________________________________________
②流动资产:_______________________________________________________
③长期负债:_______________________________________________________
④流动负债:_______________________________________________________
⑤净值:___________________________________________________________
(6)主要负责人姓名:(可选填)___________________________________________
(7)投标商在中国的代表的姓名和地址,(如有的话)
______________________________________________________________________
2.(1)关于制投标货物的设施及其它情况:
工厂名称地址 生产的项目 年生产能力 职工人数
___________ ____________ ____________ ____________
___________ ____________ ____________ ____________
(2)本制造商不生产,而需从其它制造商购买的主要零部件:
投标商名称和地址 要主零部件名称
______________________________________ ___________________________
______________________________________ ___________________________
3. 本投标商生产投标货物的经验(包括年限、项目业主、额定能力、商业运营的起始日期等):
____________________________________________________________________________________________________________________________________________________
4. 近3年该货物主要销售给国内、外主要客户的名称地址:
(1)出口销售
(名称和地址) (销售项目) _
(2)国内销售
(名称和地址) (销售项目) _
5. 近三年的年营业额
年份 国内 出口 总额
_______________ _____________ ______________ ______________
_______________ ______________ _______________ ______________
6. 易损件供应商的名称和地址:
部件名称 供应商
_____________________________________ ______________________________
_____________________________________ ______________________________
7. 最近3年直接或通过贸易公司向国内提供的投标货物:
合同编号:_______________________________
签字日期:_______________________________
项目名称:_______________________________
数 量:_______________________________
合同金额:_______________________________
8. 有关开户银行的名称和地址:_____________________________________________
9. 投标商所属的集团公司,如有的话:_______________________________________
10. 其它情况:____________________________________________________________
兹证明上述声明是真实、正确的、并提供了全部能提供的资料和数据,我们同意遵照贵方要求出示有关证明文件。
投标商 名 称_______________________________________________________
签字人姓名和职务_______________________________________________________
签 字 人 签 字_______________________________________________________
签 字 日 期_______________________________________________________
传 真_______________________________________________________
电 话_______________________________________________________
电 子 函 件_______________________________________________________
3.11-3证书
上述签字人证明本资格文件和要求的格式中的说明是真实的和正确的。
下述签字人在此授权并要求任何被征询的银行向买方提供任何买方所要求的资料,以验证本声明及本公司实力和信誉。同时附上从我方银行(银行名称)出具的资信证明。
下述签字人知道,买方可能要求提供进一步的资格材料并同意按买方要求提交。
投标商 受权签署本资格文件
名称:_______________________________ 签字人姓名、职务(印刷字体):
地址:_______________________________ _______________________________
传真:_______________________________ 签字:_________________________
邮编:_______________________________ 电话:_________________________
3.12质量、品牌、性能和销售业绩评审细则
商务及服务部分(30分)
投标人在项目所属地区有固定服务点或分支机构(提供相关说明资料,如果有分支机构,需附分支机构三证合一的营业执照),没有不得分。
技术部分(40分)
A级: 设备配置完全满足招标文件要求, 性能达到国际先进水平,全部设备完全满足招标文件的要求, 设备各种技术条件优良, 设备精度高,耐用性优于其他产品,售后服务承诺好,有业主需求货物的交货及销售业绩。
B级: 设备的性能较先进,设备各种技术条件优良, 设备精度和耐用性较好,售后服务条件好。
C级: 设备的性能一般,设备采用的部件一般, 设备各种技术条件一般, 设备精度和耐用性一般,售后服务一般,在国内有销售的业绩者。
价格部分(30分)
未按标书规定范围进行报价的应标单位,总分计零分处理。
附件一:
广州市设计院
信息系统安全等保项目技术方案
广州市设计院
2018年11月
一、背景概述
广州市设计院组建于1952年,是国内首批甲级勘察设计单位,原国家计委确定的全国旅游旅馆设计4个指导性设计院之一。拥有工程设计建筑行业甲级,市政工程(道路、排水)、工程勘察、工程咨询等多项甲级资质,以及城市规划编制、施工图审查、房屋安全鉴定、特种设备(压力管道)设计等其他多项资质。本院员工近千名,其中全国工程设计大师1名,各专业的国家注册师近200多名,各类高中级技术人员800多名。建院65年来,广州市设计院秉承岭南人敢为天下先的精神,打造了一大批标志性建筑精品,如广州友谊剧院、白天鹅宾馆、广州天河体育中心、广州天河城、广州新图书馆、毛泽东遗物馆、广州塔(建筑高度600米)、广州珠江城、广州周大福中心、南越王宫博物馆、珠海长隆海洋王国等。这些高端项目均以过硬的质量、独特的设计理念和领先的技术优势赢得业界的广泛认可。目前该院建筑设计作品遍布国内24个省、自治区、直辖市和亚、欧、非等11个国家,荣获各级奖项900多项(次),品牌影响力在全国位居行业同类单位前列。
随着互联网技术应用的普及,国家信息化的不断推进与当前电子政务系统的大力建设,信息已经成为最能代表综合国力的战略资源,网络办公已经逐渐替代了传统的工作模式。在网络办公的模式下,用户信息系统作为一个开放的网络系统,应用状况日趋复杂。一方面各级组织成员对于信息资源的使用得到改善,但另一方面也给其信息系统的运行带来更高的网络使用危险性和复杂性,在帮助企业走向成功的同时,也成倍的加大了其信息系统遭遇到各种风险的可能性。
信息化建设对于信息资源的保护、信息化进程的健康是关乎企业持续与良性发展;保障信息安全是企业合法权益保障的重要保证。为了进一步提高信息安全的保障能力和防护水平,经党中央和国务院批准,国家信息化领导小组决定加强信息安全保障工作,通过制定并实行信息安全等级保护,将等级保护作为信息安全的实施标准与技术实现保证,重点保护基础信息网络和重要信息系统安全,抓紧安全等级保护制度建设。对信息系统实行等级保护是国家法定制度和基本国策,是开展信息安全保护工作的有效办法,是信息安全保护工作的发展方向。
具体参考以下准则和要求:
《计算机信息系统安全保护等级划分准则》(GB17859-1999)
《信息系统安全等级保护基本要求》(GB/T22239-2008)
《信息系统等级保护安全设计技术要求》(GB/T 25070-2010)
二、现状
2.1网络架构
网络拓扑图如下:
我院网络架构采用典型的三层模块化层次架构,即分为核心层、汇聚层和接入层,整个网络在传输层/网络层采用TCP/IP协议,使用国际标准的路由协议为核心层以及其它网络核心之间提供路由和负载均衡,各主干网络采用千兆高速网络。核心层采用vrrp方式,任何一台核心交换机故障都不会影响网络,实现冗余可靠性。采用VLAN的方式将生产和职能部门分别接入不同的VLAN;楼层接入层增加无线接入解决方案,方便生产移动终端接入网络进行业务操作。
我院主要应用系统有OA、慧智打图归档系统等。Internet出口带宽280M,各有一条联通和电信光纤专线。
三、信息安全分析
在本方案中我院网络的相关资产包括:
有形资产:有通信基础设备、网络设备(路由器、交换机、防火墙等)、主机(含外购的操作系统、数据库管理系统、邮件服务器等)、外围设备、存储设备、数据介质等构成的IT支撑系统;
无形资产:业务系统,业务数据,数字化的业务相关信息与知识(以文档或程序的形式存在)。
本次网络信息安全建设的内容就在于保障上述有形及无形资产。
从我院的网络结构来看,目前所面临的主要问题可以简要归纳为:
网段之间边界不够清晰,控制力度弱,病毒、攻击等安全事件容易扩散;
多数业务网段间仅采用VLAN隔离,存在较大风险;
终端与重要服务器处于同一逻辑区域,重要信息服务器存在安全风险;
边界复杂,缺乏对边界策略的统一控制;
网络病毒,木马利用网络大肆传播;
存在IM/P2P、网络游戏等滥用行为,影响工作效率和组织生产力;
垃圾邮件防不胜防,成为病毒、木马传播的新载体。
需要对终端用户方便地进行管理和审计,对用户进行准入控制。
四、安全需求分析
根据我院信息系统的现状以及风险分析,此次着重解决如下安全需求:
我院信息系统的边界之内包含多个局域网以及计算资源组件。边界环境是比较复杂的。如果在边界没有一个可集中控制访问请求的措施,很容易被恶意攻击者或其它企图人员利用这些边界进行非法入侵。入侵者可以利用多种入侵手段,如获取口令、拒绝服务攻击、SYN Flood攻击、IP欺骗攻击等等获取系统权限,进入系统内部。所以需要对边界部署访问控制系统,有效地监控内部网和公共网之间的活动,并对数据进行过滤与控制,保证内部网络的安全。
访问控制系统可以静态的实施访问控制策略,防止一些非法的访问等。但对利用合法的访问手段或其它的攻击手段(比如,利用内部系统的漏洞等)对系统入侵和内部用户的入侵等是没有办法控制的。因此系统内需要建设统一的符合国家规定的安全检测机制,实现对网络系统进行自动的入侵检测和分析,对非法信息予以过滤,提高系统整体安全性。
防病毒必须立足于系统全网的角度,除了在终端部署放病毒产品控制病毒对终端的破坏,更应该在网络中部署安全产品,控制病毒的传播。随着网络的普及和网速的提高,计算机之间的远程控制越来越方便,传输文件也变得非常快捷,正因为如此,病毒与黑客程序(木马病毒)结合以后的危害更为严重,病毒的发作往往伴随着用户机密资料的丢失。病毒的传播可能会具有一定的方向性,按照制作者的要求侵蚀固定的内容。因此部署网关防病毒产品,控制病毒的传播至关重要。
中心与下级机构以及合作伙伴互联过程中,要向特定的远程用户或主机提供访问许可,同时中心内部业务人员在作业现场或出差在外,需要通过目前已知的所有上网方式接入到企业内部网。也可在某些通过地址转换方式上网的局域网以私有IP地址通过安全IP通道接入企业内部网。
这些数据传输中涉及到大量的身份认证,确保机密性和不可抵赖性。主要需要认证的用户包括应用系统用户、数据用户、操作系统用户等。要求对关键业务、关键系统、关键数据的访问采用认证鉴别技术,保证合法用户访问合法数据。
中心与各级机构之间以及移动用户与信息中心进行业务操作过程中,通过租用电信运营商线路或者通过INTERNET进行数据业务的传输,在传输过程中,信息将面临搭线窃听、电磁信号分析都攻击手段,通过这些攻击手段,具有恶意行为的攻击者可以窃取信息的内容。对于广州市设计院业务、办公信息等敏感内容,将带来较大的危害性。
因此需要在信息传输两端部署具有VPN能力的设备或者软件保证传输安全。
日志审计是信息安全的重要方面,它是实现安全事件的可追查性、不可否认性的重要数据环节。对于我院信息系统由于数据来源多、数据量大、数据类型复杂,将面临大量的攻击事件。良好的安全审计能力是分析我院信息系统安全状况的必要条件。
随信息网络技术的发展,网络安全的势态发现了变化,终端正在成为新的网络边界。
首先,随着网络接入技术的发展,终端接入网络的方式已经不再局限于局域网接口,包括双网卡,360WiFi,4G CDMA/GPRS上网卡,红外,蓝牙…,这些接口已经成为企业内部网络的另一道边界。不能管理内部PC通过这些接口上网,就类似在防火墙的城堡下,存在很多没有安全警卫的后门、小道,内部内部网络的安全性无法保障。
其次,在传统的企业网络中,终端具有固定的办公位置,内部网络相对是静态的。然而随着移动终端的普及(笔记本销售超过台式机),产生了移动办公方式,内部网络上接入的终端变得动态化。一方面,员工的终端可能在多个位置动态接入内部网络;另一方面,各种非公终端也可能接入内网(包括员工个人PC,以及合作伙伴,客户的PC)。随着用户PC的不断接入,内部网络的边界在不断扩充。内部网络的动态化,需要我们从另外一个视角来看边界安全问题。在内网边界动态变化的过程中,我们必须在新加入的PC这一新的边界上,进行必要的安全检察,配置必要的安全防护,才能满足网络安全的需要。
目前大多数的终端安全解决方案中,网关安全和终端安全是孤立起来考虑的,不能做到有效的协同。但随着终端的边界化,只有站在网关的视点来看待终端安全,才能确保内网的真正安全。要使得网关和终端能够完美融合,真正的起到纵深防御,遥相呼应,需要在网关产品上整合终端安全策略,在网关产品上对内网终端进行统一的安全管理。
五、信息安全建设
建议首先采用安全域划分方法将整个信息系统分成多个安全等级不同的相对独立的子系统,既按照业务流程的不同层面划分为不同的安全域针对每个安全域或安全子域来标识其中的关键资产,分析所存在的安全隐患和面临的安全风险,然后给出相应的保护措施。
由于不同的安全域之间存在着数据流,这时候就需要考虑安全域边界的访问控制、身份验证、信息过滤、防病毒、入侵防御和审计等安全策略的实施。根据对市场已有的安全技术分析,功能全面、维护简单且性价比较高的下一代防火墙产品是比较好的选择。NGFW产品提供了完整的边界安全保护能力,可以有效的实施访问控制、入侵检测与防护、防病毒、应用层信息过滤、流量管理、带宽管理等能力。同时由于一台防火墙设备即可实现较为完整的边界安全解决方案,将大大降低用户采购成本和维护成本。
网络的建设是由业务系统的驱动建设而成的,初始的网络建设大多没有统一规划,有些系统是独立的网络,有些系统又是共用一个网络。而这些系统的业务特性、安全需求和等级、使用的对象、面对的威胁和风险各不相同。
当前我院网络系统是一个庞大复杂的系统,在支持业务不断发展的前提下,如何保证系统的安全性是一个巨大的挑战,对系统进行区域划分,进行层次化、有重点的保护是有保证系统和信息安全的有效手段。
按数据分类分区域分等级保护,就是按数据分类进行分级,按数据分布进行区域划分,根据区域中数据的分类确定该区域的安全风险等级。目的是把一个大规模复杂系统的安全问题,分解为更小区域的安全保护问题。这是实现大规模复杂信息的系统安全等级保护的有效方法。
根据我院信息系统的特点将整个信息系统分为如下安全域:
中心接入域:包括外联区(与公网相连)、内联区(与二级机构相连)、DMZ区(对外公开服务器)以及内部网中的信息中心的接入部分。
主要关注安全层面如下:
合法接入控制:接入域内各子域边界的访问控制以及对应用数据进行安全过滤,对接入的数据或者用户进行身份认证与授权。
防入侵:检测来自外部的入侵行为并予以阻断。
病毒过滤:发现并阻断可能出现的病毒传播。
抗拒绝服务攻击:根据网络异常行为判断出拒绝服务攻击并予以阻断。
Web防护:对应用攻击发现予以阻断。
传输安全:接入域和其他安全域的互联方式可能需要加密传输,因此需要对敏感数据采用VPN技术进行加密。
中心办公域:设计院工作人员办公用网络。
主要关注安全层面如下:
合法接入控制:仅允许可信主机进入办公域,同时仅允许有业务需求的主机访问外部网络。
防入侵:检测来自外部的入侵行为并予以阻断。
病毒过滤:发现并阻断可能出现的蠕虫和勒索病毒传播。
抗拒绝服务攻击:根据网络异常行为判断出拒绝服务攻击并予以阻断。
防泄密:监控接入域客户的非业务流量,特别是进行文件和信息交换的协议,比如:电子邮件、FTP、WEB访问等。通过控制文件传输以及纪录文件传输行为两种方式进行防泄密保护。
内容过滤:对基于标准协议的内容进行过滤,防止色情、非法信息的下载与传播。
上网行为管理:对IM应用进行管理和控制,对P2P/网络视频等行为进行阻断或者限流,确保带宽的有效利用。
防垃圾邮件:防止邮件炸弹攻击,对垃圾邮件进行过滤,提升工作效率。
中心生产域:设计所终端所在网络。
主要关注安全层面如下:
合法接入控制:仅允许可信主机进入办公域,同时仅允许有业务需求的主机访问外部网络。
防入侵:检测来自外部的入侵行为并予以阻断。
病毒过滤:发现并阻断可能出现的蠕虫传播。
安全审计:对所有与业务相关的通讯进行纪录,保证可进行事后分析和可追查性检查。
中心服务域:所有的业务系统的服务器都放置在这个区域。
主要关注安全层面如下
合法接入控制:仅允许可信主机进入办公域,同时仅允许有业务需求的主机访问外部网络。
防入侵:检测来自外部的入侵行为并予以阻断。
病毒过滤:发现并阻断可能出现的蠕虫传播。
抗拒绝服务攻击:根据网络异常行为判断出拒绝服务攻击并予以阻断。
二级机构办公域:分院的办公网络,每个具体的二级机构办公域形成一个独立子安全域。
主要关注安全层面如下
合法接入控制:仅允许可信主机进入办公域,同时仅允许有业务需求的主机访问外部网络。
防入侵:检测来自外部的入侵行为并予以阻断。
病毒过滤:发现并阻断可能出现的蠕虫传播。
抗拒绝服务攻击:根据网络异常行为判断出拒绝服务攻击并予以阻断。
防泄密:监控接入域客户的非业务流量,特别是进行文件和信息交换的协议,比如:电子邮件、FTP、WEB访问等。通过控制文件传输以及纪录文件传输行为两种方式进行防泄密保护。
内容过滤:对基于标准协议的内容进行过滤,防止色情、非法信息的下载与传播。
上网行为管理:对IM应用进行管理和控制,对P2P/网络视频等行为进行阻断或者限流,确保带宽的有效利用。
防垃圾邮件:防止邮件炸弹攻击,对垃圾邮件进行过滤,提升工作效率。
二级机构生产域:二级机构的设计所网络,每个具体的二级机构生产域形成一个独立子安全域。
主要关注安全层面如下
防入侵:检测来自外部的入侵行为并予以阻断。
病毒过滤:发现并阻断可能出现的蠕虫传播。
安全审计:对所有与业务相关的通讯进行纪录,保证可进行事后分析和可追查性检查。
六、实施计划和项目范围
从以上设计方案可以看出,企业信息安全主要解决身份认证、防泄密、防攻击、安全管理的问题;但增加安全管理设备后,需要保证用户的网络使用质量、可持续性、高可用性。因此安全系统的实施必须是分步的、按需的。根据以上安全方案涉及的安全产品及实施计划,初步规划我院信息网络安全项目范围(信息安全设计拓扑图)如下:
七、等保项目选用产品技术要求
7.1、外网防火墙(贰台)
建议品牌采用:绿盟、亚信、铱迅等。需购买三年维保和相应授权服务,保修期内提供免费7*24技术服务支持,设备维修期间,需提供备机设备。
指标项 |
指标子项 |
技术要求 |
系统架构 |
系统架构 |
产品应采用专用机架式硬件设备,系统硬件为全内置封闭式结构 |
硬件架构 |
★基本网络接口 |
千兆电口≥6,可扩展电口/光口≥4,2对千兆电口Bypass |
★性能要求 |
★最大吞吐能力 |
开启IPS/AV吞吐量≥2000Mbps |
★并发TCP会话数 |
≥200万 |
|
★网络延迟 |
≤ 0.04毫秒 |
|
VPN用户数 |
★SSL VPN用户授权 |
标配50个用户数,可扩至2000个用户 |
部署能力 |
部署模式 |
透明部署(基于透明网桥),需即插即用,无需做任何配置即可防护。支持旁路部署。 |
策略路由(支持流量牵引) |
||
网关部署,支持PPPoE拨号,支持线路数≥4 |
||
支持旁路镜像部署 |
||
基本功能 |
防火墙 |
支持放行、丢弃、拒绝等动作 |
支持根据接口、协议、源地址、源端口、目的地址、目的端口的访问控制 |
||
支持基于时间的计划任务 |
||
NAT |
支持基于源IP、源端口、目的IP、目的端口、协议的NAT |
|
支持SNAT |
||
上网行为管理 |
识别应用库不少于500种,并能够对其进行速率控制 |
|
支持恶意域名防护策略,能够对色情/赌博/钓鱼/黑客/欺诈/违规类别进行域名区分,并提供防护 |
||
支持IP或IP段的MAC绑定 |
||
应用流控 |
支持基于应用的访问控制策略 |
|
支持访问控制策略中对上下行带宽进行限速 |
||
入侵防御 |
支持拦截对操作系统、数据库、邮件服务、FTP的攻击 |
|
规则数量≥20000条 |
||
病毒过滤 |
支持过滤病毒、木马、恶意软件通讯行为 |
|
DDOS防护 |
TCP/UDP Flood防护,基于最大上限阀值设置,而非DDOS特征库 |
|
负载均衡 |
支持服务器负载均衡 |
|
支持链路负载均衡 |
||
PPTP |
支持PPTP VPN |
|
IPSec VPN |
支持IPSec VPN |
|
SSL VPN |
支持SSL VPN, |
|
内容缓存加速 |
提供接口缓存加速,缓存下载重复度较高的HTTP下载资源和网页内容(如图片等),引导用户优先获得本地资源,进一步节省出口流量。 |
|
用户可自定义缓存的大小,文件后缀名,时间等。支持X-Forword-For字段,解析真实的来源IP地址 |
||
准入控制 |
支持Radius,LDAP认证 |
|
IPv6支持 |
支持IPv6地址管理与防护 |
|
DNS高级应用 |
支持DNS代理功能 |
|
支持内网劫持DNS |
||
支持DNS缓存功能,加速dns解析 |
||
支持用户自定义DNS转发策略,支持针对域名定义DNS服务器或针对域名直接对应IP地址。 |
||
版本管理 |
支持手动离线升级或在线升级,支持用户自定义在线升级策略包括自动升级、有新版本时提示、关闭自动升级 |
|
网络自适应能力 |
802.1Q支持 |
支持VLAN解码,在Trunk线路上部署并提供防护 |
端口汇聚(Trunk) |
支持端口汇聚(Trunk),显著提高设备间的吞吐能力 |
|
路由配置 |
支持静态路由、OSPF、RIP |
|
报表功能 |
报表类型 |
安全报表(入侵统计、按入侵类别统计、被攻击主机、攻击来源IP和地理位置、网络接口流量趋势) |
报表查询 |
按事件类型、统计目标或周期类型条件进行统计 |
|
输出格式 |
支持将生成的报表以HTML、Word等通用格式输出 |
|
日志系统 |
日志类型 |
系统日志、审计日志和安全防护日志(入侵记录、攻击源IP所处地理位置、网络流量)SSL登陆日志。 |
日志查询 |
可基于时间、IP、端口、协议、动作、规则、规则类别、危害等级、等条件进行日志查询。 |
|
日志管理 |
日志导出、清空、自动磁盘日志清理 |
|
系统监控 |
监控类型 |
安全事件监控、访问情况监控、设备负载监控,VPN在线用户监控,IPSEC VPN连接状态监控。 |
系统信息 |
显示网络接口状态,引擎状态、系统CPU、内存及磁盘使用率 |
|
系统诊断和调试功能 |
维护工具 |
支持抓包工具,可抓取的网络原始报文,用于分析网络状况 |
配置备份与导入 |
支持系统配置的备份与导入功能 |
|
高可用性 |
HA双机 |
支持主从部署模式 |
支持链路是否正常的监控 |
||
支持双机配置自动同步 |
||
硬件BYPASS |
内置bypass模块,设备故障直接切换到bypass模式 |
|
销售许可证 |
获得公安部颁发的 《计算机信息系统安全专用产品销售许可证》,产品名为“第二代防火墙系统”,级别为增强级。并出具加盖厂商公章的复印件 |
|
获得公安部计算机信息系统安全产品质量监督检验中心颁发的《第二代防火墙》级别为增强级的检测报告,并出具加盖厂商公章的复印件 |
||
售后服务支持 |
技术支持服务 |
上述硬件平台、所有软件功能模块提供三年原厂保修和升级服务。 为应对网络安全事件,投标方应成立安全应急处置小组进行紧急响应,响应时间:7×24小时响应。 |
7.2、Web应用防护系统(壹台)
建议品牌采用:铱迅、亚信、CISCO等。需购买三年维保和相应授权服务,保修期内提供免费7*24技术服务支持,设备维修期间,需提供备机设备。
指标项 |
指标子项 |
技术要求 |
系统架构 |
★系统架构 |
产品应采用1U专用机架式硬件设备,系统硬件为全内置封闭式结构,非NGFW、NGAF等下一代防火墙或UTM安全网关产品 |
硬件架构 |
★基本网络接口 |
电口≥5,千兆电口Bypass≥2,标配支持1个防护IP |
|
★并发TCP会话数 |
≥30万 |
★HTTP请求速率 |
≥ 3000 次/秒 |
|
★网络延迟 |
≤ 0.1毫秒 |
|
部署能力 |
部署模式 |
透明部署(基于透明网桥),需即插即用,无需做任何配置即可防护。支持旁路部署。 |
策略路由(支持流量牵引) |
||
支持反向代理部署 |
||
支持透明代理部署 |
||
代理模式下,支持输入HTTP页面自动跳转到HTTPS页面。 |
||
安全特性 |
检测引擎 |
高性能攻击特征检测引擎 |
智能阻断 |
基于智能用户行为识别的动态防护机制,识别并彻底阻断黑客的攻击行为 |
|
URL自学习 |
自动学习并构建网站的URL模型,禁止违反现有模型的尝试行为 |
|
支持更新、修正现有URL模型 |
||
IPv6 |
IPv6协议通过和防护 |
|
HTTP RFC符合性 |
HTTP协议防护 |
|
HTTPS支持 |
SSL加密会话分析 |
|
真实来源IP解析
|
支持解析通过代理服务器访问用户的真实IP地址,默认支持X-Real-IP或X-Forwarded-For字段的值作为真实来源IP地址,同时支持用户自定义字段名称。 |
|
内置规则
|
系统提供完善的内置规则 |
|
支持用户自定义防护策略集,针对不同的来源/目的IP,目的URL选择不用的策略集。 |
||
提供高度灵活的自定义规则向导,适用于高级用户 |
||
WEB应用漏洞扫描 |
能够对SQL注入、CGI、跨站脚本(XSS)进行应用层漏洞扫描 |
|
碎片组包 |
支持任意碎片组包 |
|
支持超长报文组包(默认30M)(提供界面截图) |
||
编码还原 |
ASCII编码的还原 |
|
Unicode编码的还原 |
||
各种混淆编码的还原 |
||
WEB基础架构防护 |
蠕虫、缓冲区溢出、CGI信息扫描、目录遍历等WEB通用攻击防护 |
|
防扫描 |
支持对恶意扫描行为开启防扫描功能,用户可自定义防护等级。(提供界面截图) |
|
WEB应用安全防护 |
SQL注入及XSS攻击防护 |
|
跨站请求伪造(CSRF)攻击防护 |
||
爬虫防护 |
||
恶意扫描防护 |
||
Cookie安全 |
||
服务器信息伪装/过滤 |
||
缓冲区溢出 |
||
HTTP请求类型过滤 |
||
Webshell行为拦截 |
||
智能木马检测
|
能够智能识别木马上传行为,支持自定义上传文件的大小、后缀名。 |
|
用户可自定义对上传脚本文件的处理方式:直接拦截,智能识别。 |
||
支持木马上传日志,记录上传时间,源地址,目的地址,目的URL,拦截原因。支持将木马文件直接下载至本地进行人工分析。 |
||
支持虚拟化功能 |
支持对虚拟机中的任意数量网站进行防护,使多个虚拟机共用一个IP地址 |
|
内容安全 |
恶意代码过滤 |
|
支持敏感关键字过滤,用户可自定义关键字内容 |
||
弱密码记录 |
记录登陆过程中使用的弱密码 |
|
备案检查 |
检测网站的备案情况,对于通过备案网站放行,未通过备案禁止访问 |
|
访问控制 |
基于规则的ACL |
|
来源IP的ACL |
||
目的IP的ACL |
||
目的URL的ACL |
||
支持基于时间的计划任务 |
||
主动阻断方式 |
丢弃数据包、阻断TCP连接、禁止恶意IP的后续访问 |
|
防CC攻击防护 |
来源IP攻击防护 |
|
Rerferer攻击防护 |
||
特定URL攻击防护 |
||
CC防护的访问控制(黑、白名单) |
||
抗拒绝服务攻击 |
TCP/UDP Flood防护,基于最大上限阀值设置,而非DDOS特征库 |
|
网络自适应能力 |
802.1Q支持 |
支持VLAN解码,在Trunk线路上部署并提供防护 |
端口汇聚(Trunk) |
支持端口汇聚(Trunk),显著提高设备间的吞吐能力 |
|
路由配置 |
支持静态路由的配置 |
|
统计功能 |
网站统计 |
统计被防护网站每天的总访问量和总攻击数。 |
URL统计 |
统计被防护网站的URL每天的总访问次数,最后一次访问IP、访问时间与访问端口。 |
|
网站详情 |
统计每天访问所有站点或某个站点的地域统计,并以地理热点分布图的形式体现。 |
|
统计每天访问所有站点或某个站点的浏览器类型和比例,并以图表方式体现。 |
||
统计每天访问所有站点或某个站点的操作系统类型和比例,并以图表方式体现。 |
||
统计每天访问所有站点或某个站点的来源页面的次数和比例。 |
||
统计每天访问者通过哪些搜索引擎访问到web防护系统后的站点,同时统计搜索引擎的次数和比例。 |
||
统计每天访问者在搜索引擎中通过哪些搜索词访问到web防护系统后的站点,同时统计次数和比例。 |
||
统计每天访问所有站点或某个站点的IP,及其浏览量和比例,以图表方式体现。 |
||
统计每天所有站点或某个站点每分钟的访问次数和攻击次数,以图表方式显示。 |
||
报表功能 |
报表类型 |
安全报表(入侵统计、按入侵类别统计、被攻击主机、攻击来源IP和地理位置、页面访问次数、网络接口流量趋势) |
webshell提示 |
报表提供对防护Web网站中已经存在Webshell文件的告警功能 |
|
报表查询 |
按事件类型、统计目标或周期类型条件进行统计 |
|
输出格式 |
支持将生成的报表以HTML、Word等通用格式输出 |
|
日志系统 |
日志类型 |
系统日志、审计日志和安全防护日志(入侵记录、攻击源IP所处地理位置、页面统计、网络流量、防篡改日志、防CC日志) |
日志查询 |
可基于时间、IP、端口、协议、动作、规则集、规则集类别、危害等级、请求方法等条件进行日志查询。 |
|
日志管理 |
日志导出、清空、自动磁盘日志清理 |
|
系统监控 |
监控类型 |
安全事件监控、访问情况监控、设备负载监控 |
系统信息 |
显示网络接口状态,引擎状态、系统CPU、内存及磁盘使用率 |
|
系统诊断和调试功能 |
维护工具 |
抓包工具,可抓取的网络原始报文,用于分析网络状况 |
配置备份与导入 |
支持系统配置的备份与导入功能 |
|
高可用性 |
硬件BYPASS |
内置bypass模块,设备故障直接切换到bypass模式 |
|
销售许可证 |
获得公安部颁发的web应用防火墙产品(增强级)的《计算机信息系统安全专用产品销售许可证》。 |
获得公安部计算机信息系统安全产品质量监督检验中心颁发的web应用防火墙(增强级)的检测报告。 |
||
售后服务支持 |
技术支持服务 |
上述硬件平台、所有软件功能模块提供三年原厂保修和升级服务。 为应对网络安全事件,投标方应成立WEB安全应急处置小组进行紧急响应,响应时间:7×24小时响应。 |
7.3、防病毒综合安全网关(壹台)
建议品牌采用:亚信、江民、赛门铁克等。要求设备必须支持一键bypass功能,必须能够与防病毒软件联动。需购买壹年维保和相应授权服务,保修期内提供免费7*24技术服务支持,设备维修期间,需提供备机设备。
指标项 |
指标子项 |
技术要求 |
系统架构 |
系统架构 |
专用综合安全网关平台 |
硬件架构 |
系统基本接口 |
Bypass千兆光纤卡≥4,千兆电口 ≥4 |
性能要求 |
★最大吞吐量 |
吞吐量≥8G |
★开启AV |
开启AV≥3G |
|
★开启IPS |
开启IPS≥4G |
|
★SSL VPN授权用户数 |
无限制 |
|
侦测能力 |
支持协议 |
超过100种协议支持, 如HTTP/HTTPS/FTP/SMTP/POP3/TFTP/TCP/UDP/NFS/SNMP/ICMP/RTMP/DNS/IRC… |
应用防火墙 |
用户及终端管理 |
|
应用识别及管理 |
||
带宽管理及控制 |
||
防DoS/DDoS |
||
防恶意软件 |
防已知恶意软件 (病毒、木马、蠕虫、后门、加密勒索软件、间谍软件、灰色软件、Rootkits等) |
|
具有高级未知恶意程序侦测及分析能力,可提供详细高级未知恶意程序的分析报告,并且可以进一步进行拦截 |
||
APT防护 |
C&C违规外联及僵尸网络检测及拦截 |
|
已知文档漏洞检测及拦截 |
||
未知文档漏洞及零日文档漏洞检测及拦截 |
||
可与APT增强侦测模块TDA联动,获取APT增强侦测模块TDA侦测到的本地C&C黑名单,并阻止C&C违规外联 |
||
可提交可疑文件、URL、IP及域对象至APT增强定制化沙箱模块DDAn做联动分析,并根据DDAn的分析结果做进一步处理 |
||
入侵检测 及虚拟补丁 |
服务器及终端虚拟补丁和主动式主机入侵防御系统,可在漏洞攻击主机之前予以侦测和拦截 |
|
防止漏洞利用和SQL注入, 命令注入, Webshell 攻击, XSS 攻击, CSRF 攻击 |
||
主机零日漏洞防护 |
||
6,000+条虚拟补丁及入侵检测特征库 |
||
VPN |
站点到站点 VPN (Site-to-site VPN) |
|
PPTP VPN |
||
SSL VPN |
||
支持移动VPN,并且支持 IOS 5.x+ 及 Android 4.0+ 移动终端无代理部署 |
||
支持VPN 数据安全过滤,如VPN数据防病毒,VPN数据URL过滤等 |
||
支持多WAN/ISP VPN接入 |
||
无终端用户数限制 |
||
Web安全 |
URL信誉检测(恶意网站主动实时防御,支持黑白名单,每天十亿网页分析) |
|
URL分类过滤(支持自定义URL分类) |
||
钓鱼网站检测 |
||
支持本地URL信誉检测及云端实时URL信誉检测两种检测模式 |
||
邮件安全 |
垃圾邮件检测 |
|
病毒邮件、恶意邮件检测 |
||
支持邮件黑白名单,支持关键字和正则表达式内容过滤 |
||
支持邮件隔离、带标记转发、记录、清除恶意附件保留邮件正文转发等管理功能 |
||
病毒识别码 |
3,000,000+种病毒识别码,每年约新增750,000+识别码 |
|
全球病毒实验室+本地病毒实验室支持 |
||
本地病毒特征码 (至少百分之20是中国的特征码) |
||
应用程序侦测 |
全球 1300+ 应用程序协议支持 |
|
点对点 (P2P) 软件控制: Ares,Bittorent,Blubster,eDonkey,Kazaa,Gnutella,Winny,Foxy |
||
IM软件登陆及文件控制: AIM,Goggle Talk,MSN,Skype,Yahoo messenger |
||
网络游戏控制 |
||
股票软件控制 |
||
流媒體/音频/视频软件控制 |
||
数据库软件控制 |
||
文件服务器软件控制 |
||
论坛软件控制 |
||
邮件软件控制 |
||
Microsoft 软件控制 |
||
精简客户端软件控制 |
||
Web应用控制 |
||
Web邮件控制 |
||
无界,自由门软件控制 |
||
部署与管理 |
带宽控制 |
支持基于策略(源和用户/目标/通讯类型/时段)的带宽控制 |
支持上行流量/下行流量的带宽控制 |
||
支持最大带宽限制/最小带宽保证 |
||
支持带宽服务优先级 |
||
终端管理 |
支持本地用户及LDAP用户(MS Active Directory及Open LDAP)管理 |
|
支持本地用户及LDAP用户认证和识别,支持网页认证及透明认证方式 |
||
支持不同用户分组利用策略分类管理 |
||
策略支持 |
针对不同用户分组利用策略分类管理 |
|
支持MS AD及Open LDAP用户认证,支持网页认证及透明认证方式 |
||
部署 |
桥接模式 |
|
路由模式 |
||
监控模式 (旁路模式) |
||
混杂模式(桥接+路由) |
||
多路ISP & WAN模式 |
||
支持以虚拟设备的方式部署在VMWare、FusionShpere、KVM、Xen、Hyper-V等主流虚拟化平台 |
||
管理 |
Web界面支持 |
|
提供命令行(CLI)配置模式 |
||
提供SSH远程调试模式 |
||
SNMP管理支持 |
||
语言支持 |
支持中文管理界面 |
|
升级更新 |
升级方式 |
支持自动/手动在线升级,可配置自动升级周期 |
更新来源 |
全球升级架构以及本地升级源的设计,降低升级带宽使用 |
|
报告/日志 |
日志管理 |
提供安全日志/流量日志/VPN日志/系统日志/审计日志的查询/打印/导出 |
提供基于策略(源和用户/目标/通讯类型/时段)的流量日志记录/查询/打印/导出 |
||
可按照时间,协议,威胁类型等查询条件查询日志 |
||
支持Syslog协议,可以实时传输日志到Syslog 服务器 |
||
报告系统 |
提供日/周/月图形化报表,以及实时图形化报表 |
|
提供按源用户/源地址生成报告 |
||
提供恶意软件/垃圾邮件/入侵防御/Web信誉服务违例事件安全报告,前N个用户违例报告,以及按应用程序/URL类别/带宽使用等前N个通信报告 |
||
通知 |
通知类别 |
URL访问警告通知及URL阻止通知 |
CPU阀值/数据分区阀值/硬盘容量阀值/交换内存阀值监视警告等 |
||
安全/可靠性 |
安全性 |
通过加密的SSL命令行远程管理 |
通过加密的SSL访问管理控制台 |
||
管理控制台访问控制 |
||
可靠性 |
系统保证36 月, 下一个工作日提供备机 |
|
提供Fail Open功能,在停电与系统出现问题时自动实现直通功能 |
||
提供流量过载保护 |
||
设备硬件监测 |
||
产品具备公安部“防病毒网关”销售许可证 |
||
硬件资质 |
获得国家强制性产品CCC认证证书 |
|
入围《节能产品政府采购清单》 |
||
入围《环境标志产品政府采购清单》 |
||
厂商资质 |
厂商在国内有独立的监控中心 |
|
厂商可根据用户需求提供高级别的服务承诺,如大客户专署服务、主动式服务、快速响应服务(SLO/SLA)、在线技术支持服务等,可提供5×8乃至7×24小时的专业防毒服务 |
||
厂商在国内、国外分别有独立的研发中心 |
||
厂商在国内、国外分别有独立的病毒响应中心 |
||
通过中国信息安全评测认证中心的《信息安全服务资质标准》的信息安全服务一级资质认证 |
||
通过CMMI 5认证测评 |
7.4、上网行为管理(壹台)
建议品牌采用:深信服、360安全、天融信、亚信等,要求设备必须支持一键bypass功能。需购买叁年维保和相应授权服务,保修期内提供免费7*24技术服务支持,设备维修期间,需提供备机设备。
指标项 |
指标要求 |
|
性能要求 |
1U硬件,支持300Mb带宽,1500人网络。标配6个千兆电接口 + 4个千兆光口(其中含1个管理接口和1个HA接口),提供1个扩展插槽,每个插槽支持4GE/4SFP/8GE/8SFP接口扩展,支持3条互联网链路接入,单交流电源。支持三年原厂质保和三年规则库升级服务。 |
|
设备部署 |
网关模式 |
设备可部署在网络中提供路由转发和NAT功能,可连接ADSL线路和专线。 |
|
|
镜像模式 |
设备可连接一条或多条镜像线路,获取网络信息,进行行为分析和审计。 |
网桥模式 |
设备可直路串联在一条或多条原有网络线路上,进行行为分析、审计和控制。不改变网络拓扑,路由表项。 |
|
多路桥接 |
支持多路网桥功能,实现X进X出,即X路桥接 |
|
协议处理 |
支持GRE、L2TP、WLTP、CAACWS、LWAPP、CAPWAP协议下的网络环境 |
|
IPv6支持 |
能够支持IPv6环境下的网址访问审计、生成分析报表等功能;能够在IPv6环境下,正确审计显示用户的IPv6地址 |
|
系统管理 |
WEB方式管理 |
可通过IE、谷歌、火狐浏览器访问设备管理界面 |
|
命令行管理 |
必须支持采用公开SSH2客户端远程访问设备,配置命令行 必须支持采用PC自带超级终端通过设备串口管理设备,配置命令行 |
管理员账号安全 |
支持管理员账号初始密码检测,如果发现管理员未更改初始密码,能够进行提醒 |
|
分级管理/权限管理 |
可设置多名管理员、审计员角色,根据授权配置局部策略,查看局部日志 |
|
支持三权制衡管理机制 |
支持策略管理、日志审计、权限分配相互独立的三权制衡管理机制,避免超级管理员权限过大的弊端。系统管理员和审计员的账号创建,权限变更需要审核员审批才能生效。管理员和审计员的操作会形成日志受审核员监督。(提供审核员审批操作截图) |
|
设备集中管理 |
支持多台设备可以被集中管理平台统一下发、回收策略; |
|
审计日志集中存储 |
支持将多台设备日志集中存储于一台日志中心服务器,便于数据的集中查询与统计。 日志中心支持选择Oracle数据库,访问日志中心数据必须采用https加密方式访问,避免传输过程被窃取。 日志中心能够对多台设备的日志进行聚合式搜索,用户执行一次关键字搜索即可在多台设备中搜索出所有具有此关键字的审计日志 |
|
策略模板 |
支持内置的常用模板策略,方便管理员快速生成策略;支持策略的复制 |
|
IPSec VPN |
支持标准IPSec协议的VPN功能,能够实现隧道建立于配置、隧道状态监视、证书管理等内容。 |
|
系统监控 |
系统状态 |
能够实时提供产品CPU、磁盘占有率、接口状态、授权状态等信息。能够提供24小时内流量状态趋势图。 |
|
网络活动 |
能够实时提供应用流量排名、网址分类排名、用户流量排名、应用流量趋势、用户流量趋势等信息 |
流量监控 |
能够提供设备流速趋势、用户实时流速、设备实时日志等信息。 |
|
报警平台 |
能够提供各类报警信息,包括行为合规、内容审计、系统状态、网络流量等 |
|
用户管理 |
组织架构建立 |
可通过手工方式、LDAP导入、数据库导入(SQL Server、MySQL、ORACLE)、文件导入、IP扫描等方式建立组织架构 |
|
web认证 |
支持本地、LDAP、Radius、邮件认证方式的WEB认证。支持在界面上通过配置,将一台设备作为独立的认证服务器配合审计设备使用,提升认证性能。 |
短信认证 |
支持短信认证方式,用户输入手机号作为用户名,设备通过短信网关为用户手机发送密码。短信认证能够根据不同用户推送不同认证页面,该认证页面可自定义。支持白名单。 |
|
认证策略 |
可以基于IP、MAC等多因素进行用户认证、识别 |
|
用户识别 |
支持对802.1X、华为controller、Kerberos、AD、POP3、Radius、数据库识别、PPPOE、华三iMC、城市热点、深澜计费等系统的单点登录。 |
|
特权用户 |
支持key免审计、key免管控、key免认证以及三者灵活组合 |
|
用户认证安全机制 |
认证密码支持全局统一设定与随机获取的方式;支持强制用户修改初始密码;支持认证账号黑名单;支持自定义登录失败的提示信息; |
|
终端类型认证 |
根据不同的终端类型(PC、移动)选择不同的用户认证或者用户识别方式 |
|
自动录入 |
对于认证或者识别到的新用户自动录入到指定的组织位置 |
|
用户自动分类 |
可以为用户添加多个属性,并根据用户的属性(如职位、部门、电话、邮件等)自动进行用户分类,根据分类的结果进行审计与控制 |
|
认证与认证成功页面 |
可以建立认证页面与多个认证跳转成功页面,供不同的Web认证策略引用,并支持用户完全自定义 支持对不同用户推送不同的认证成功页面 |
|
针对设备类型、IP、IP段、VLAN的管控 |
可识别用户上网设备类型并作为策略条件。 可将IP、IP段、VLAN作为策略条件。 |
|
微信认证 |
支持通过微信“扫一扫”二维码方式,快速连接Wi-Fi 支持利用微信公众号进行网络接入的身份准入认证 |
|
一次认证长期有效 |
支持记录用户信息,第二次上线无需输入用户名密码即可获取上网权限,可配置永久有效或长期有效时间 |
|
网页管理 |
URL分类反馈 |
当用户的网页访问被网页浏览策略封堵时,用户如果发现分类错误能够在页面中进行反馈 |
|
|
搜索关键字审计与管理 |
根据关键字管理搜索引擎访问;一条策略实现搜索关键字的阻断、记录、告警,方便维护; |
网址访问审计与管理 |
根据URL库及URL关键字进行网址访问管理,一条策略实现阻断、记录、告警,方便维护; |
|
网页内容关键字过滤 |
可根据网页内容关键字进行审计与过滤,一条策略实现阻断、记录、告警;每个关键字对象要求可至少录入500个关键字 |
|
阻塞提示 |
不同网页被阻塞后会跳转不同的阻塞页面;支持用户完全自定义 |
|
发帖审计与管理 |
对网站的发帖正文关键字进行管理,一条策略可同时实现控制、记录、告警、便于维护管理; |
|
Web页面推送 |
根据用户、终端类型、时间等多个条件为不同的用户推送Web页面。可以建立多个Web推送页面,供不同的推送策略引用,支持用户完全自定义 |
|
免认证网站 |
支持配置免认证网站,用户在认证前即可访问免认证网站 |
|
邮件管理 |
Webmail管理 |
一条策略可实现Webmail以及SSL加密的Webmail基于发件人、收件人、主题、内容、附件名、附件大小维度的记录、阻塞、告警; |
|
客户端邮件收发管理 |
能够基于发件人、收件人、主题、内容、附件名、附件大小维度进行过滤、记录、告警;能够支持SSL加密的SMTP邮件发送; 能够对POP3、IMAP邮件接收进行审计 |
邮件延迟预审策略 |
根据邮件标题、正文、附件名、文件触发延迟审计,邮件在通过管理员审核后才能够发送。 |
|
文件管理 |
FTP文件外发管理 |
支持FTP文件上传管理,可根据文件大小、文件名、扩展名、传输方向、内容关键字进行审计过滤;支持对帐号、命令的审计与过滤 |
|
网页文件管理 |
可以对网页的文件,根据传输方向、文件名、扩展名、文件大小、网站域名进行控制管理,违规文件下载阻塞同时可以告警; |
百度网盘PC客户端文件审计 |
支持对Windows百度网盘客户端的文件标题和内容审计 |
|
IM管理 |
QQ审计与管理 |
可针对QQ账号制定策略,对聊天、登录及登出的行为进行记录与控制;能够对QQ文件传输行为进行审计,并且能够对传输的文件进行备份留存;支持对QQ聊天内容进行审计。可制定多条QQ审计控制策略,实现针对不同的用户匹配不同审计策略 |
|
|
Skype审计 |
支持Skype账号、聊天内容、行为审计与控制。 支持skype外发文件内容的审计 |
Windows版客户端微信审计 |
支持对微信windows版客户端进行聊天内容审计 支持对微信Windows版客户端的外发文件进行文件内容审计 支持记录发送/接受信息的微信账号 支持记录与单人/群聊/公众号的发送/接收内容 支持记录发送/接收文件的路径/名称/大小 支持以列表/会话形式展示审计日志 支持基于用户/位置/账号等元素对审计日志进行统计 |
|
终端管理软件联动 |
支持在安装终端管理软件时,不再需要安装客户端即可审计IM聊天内容 |
|
应用访问管理 |
应用审计及控制 |
应用协议库包含的应用数量不低于5000种,应用规则总数不低于10000种,一级分类不少于40种,移动应用数量不低于900种 |
|
内置应用标签 |
设备内置常用应用标签,分类至少包含内容外发风险、期货行业合规、证券行业合规、高安全风险、影响工作效率、消耗带宽6大类; |
网安应用行为策略 |
支持独立的网安应用行为审计策略 |
|
应用时长限额 |
可以根据应用协议库限制每个人的应用使用时长 |
|
应用流量限额 |
可以根据应用协议库限制每个人的应用流量 |
|
用户时长/次数限额 |
支持针对用户的上网时长/次数限额策略,策略只和用户有关,与应用和流量无关 |
|
应用告警 |
可以记录应用行为,并对于阻断的应用可以触发告警 |
|
告警方式 |
支持邮件及语音双重告警 |
|
数据库审计 |
数据库审计控制 |
可审计、控制Oracle, MySql, SqlServer, PostgreSQL等数据库的访问与操作,包括添加、删除、修改、查询等。 |
协议审计 |
Https审计 |
通过HTTPS审计功能,可以针对网站分类、证书颁发者、证书所有者、证书有效期等进行审计,加以控制 |
|
ftp审计 |
通过设置FTP审计策略对使用ftp的用户、位置、命令、文件名/目录名进行审计和控制 |
telnet审计 |
通过设置telnet策略,对使用Telnet的用户、位置、登录名、命令等,实现对telnet使用的控制和审计 |
|
DNS审计 |
通过DNS审计策略对DNS通信内容进行审计和控制 |
|
SNMP审计 |
通过SNMP审计策略对SNMP通信内容进行审计和控制 |
|
NFS审计 |
通过NFS审计策略对NFS访问和传输文件进行审计和控制 |
|
NETBIOS审计 |
通过NETBIOS审计策略对NETBIOS通信、登录名及文件、目录进行审计和控制 |
|
流量管理 |
多级虚拟通道 |
可将物理带宽分成至少7级虚拟通道,合理分配物理带宽资源 |
|
动态流控 |
支持在设置流量策略后,可根据整体线路空闲情况,允许流量通道内的流量突破策略上限,以提升带宽的高使用率;空闲值可自定义 |
带宽控制 |
可以限制P2P、视频等大流量应用的最大带宽上限,减少带宽的浪费 |
|
带宽保障 |
可以设定OA、邮件、视频会议的基本带宽保障,保障关键应用必要的带宽资源 |
|
带宽借用 |
当部分虚拟通道空闲时,其带宽资源可以被繁忙的带宽通道借用,避免带宽浪费 |
|
带宽平均 |
可以根据用户平均分配虚拟通道内的带宽资源,使每个用户平均分配带宽,公平访问避免资源浪费。 |
|
连接限制 |
可以每个人的并发/新建连接数量进行控制。 |
|
每用户带宽限制 |
可以指定每个人的最大上传、下载带宽 |
|
行为日志分析 |
实时监控 |
可监控到设备运行的天数,确保设备中间无重启,无宕机 可用仪表盘方式展示设备CPU、内存、硬盘使用情况 可监控到24小时内的带宽分布、流量构成比例 可监控到当前在线的用户信息 |
|
日志查询 |
可查询到网页访问、论坛发帖,webmail、邮件收发、应用访问、应用流量历史日志 |
日志排序 |
所有日志可以按照用户,IP地址,匹配策略,访问控制,时间等各个列排序 |
|
日志统计 |
可生成网页访问、论坛发帖,webmail、邮件收发、应用访问、应用流量等各种统计报表 |
|
数据挖掘 |
支持钻入式关联检索。基于用户、应用、内容等访问行为的统计排名,从不同角度发现异常行为,并能根据相关统计结果,逐层点击定位详细日志内容; |
|
报表导出 |
报表可导出为pdf、excel、word等格式; |
|
集中告警 |
设备必须提供告警信息集中展示页面,便于快速发现所有告警 |
|
综合分析报告 |
支持带宽资源报告、行为合规报告及工作效率报告,可对一段时间内的某个或某些用户的上网行为进行综合分析。 |
|
自定义统计报告 |
自定义统计列表支持显示报表名称、最近生成时间、历史报表、生成周期、启用状态、邮件地址、订阅人、上次操作结果、操作选项。 |
|
支持以折线图、饼图、柱状图和表格形式显示统计结果 |
||
*支持根据自身需要自定义报表中折线图、饼图、柱状图和表格的描述文字内容 |
||
日志FTP导出 |
支持FTP和SFTP方式将历史数据导出到指定服务器,支持SSL加密传输,支持ZIP压缩后上传,支持自定义导出数据的时间段和数据定时上传的频率。支持定义导出日志数据的范围、用户、位置和工具。 |
|
日志USB导出 |
支持将日志数据通过设备USB接口导出。 |
|
安全管理 |
支持对病毒的云查杀 |
支持配置病毒查杀策略,检查网络中传输的文件是否是病毒,支持记录日志、病毒过滤 "支持与云端杀毒平台联动,对网络中传输的文件进行特征比对,以便减少对本地计算资源的消耗。 至少应支持对以下几类网络应用传输的文件进行病毒云查杀:HTTP/FTP/IMAP/SMTP/POP3" 支持病毒查杀日志查询,日志应包含时间/用户/终端类型/内外网IP地址和端口号/MAC/传输病毒的网络应用类型/病毒名/文件名/访问控制类型。 |
|
支持对恶意URL的云查杀 |
支持基于云端大数据安全平台,对恶意URL访问进行封堵和记录日志。 支持恶意URL访问日志查询,日志应包含时间/用户/终端类型/内外网IP地址和端口号/MAC/网址/网站类型/访问控制类型。 |
支持失陷主机检测 |
支持与威胁情报大数据平台对接,能够快速识别、封堵失陷主机、记录日志。 至少支持拦截对外部威胁IP的访问请求和阻塞失陷主机IP两种控制策略。阻塞后支持向用户推送威胁情报阻塞提示页面。 支持失陷主机检测日志查询,日志应包含时间/用户/终端类型/内外网IP地址和端口号/MAC/类别/威胁情报/失陷威胁简介/访问控制类型。 |
|
安全防护中心状态监控 |
支持统计显示安全防护功能所保护的终端数量 支持统计显示病毒查杀数量 支持统计显示检测/拦截的恶意URL访问次数(恶意URL至少应包含挂马网站/木马网站/恶意下载/钓鱼欺诈等类型) 支持统计显示检测到的失陷主机数量 支持显示最近10次安全事件记录,应包含发生时间/用户/IP地址/事件类型/事件描述等内容。 |
|
硬件规格 |
管理口 |
设备必须具备独立的(具备标识的)网络管理接口。所有接业务接口均被用满后,仍然可以存在独立的管理口可以访问设备 |
|
硬件bypass按钮 |
设备必须提供物理硬件bypass按钮,便于设备巡检、设备故障时管理员无需重启、关机、断电即可恢复网络通畅。 |
光口bypass |
如果有光接口线路,设备厂商需可以提供带bypass能力的光板卡。 |
|
界面bypass |
支持远程登录在界面实现bypass,并可进行切换。 |
|
升级服务 |
软件升级 |
设备的软件版本变化时,支持在线升级。 |
|
修改网络配置无需重启 |
必须可以做到在修改任何网络配置后均无需重新启动设备 |
URL库定期升级 |
支持URL库的自动与手动更新,支持自定义更新时间计划,避开业务高峰; |
|
应用协议库升级 |
支持应用协议库的自动与手动更新,支持自定义更新时间计划,避开业务高峰。 |
|
共享接入 |
共享接入配置 |
可识别网络中的私接路由或共享wifi的网络行为并配置阻塞策略 阻塞条件支持基于终端总数量、PC数量、移动终端数量分别配置 支持自定义阻塞时间 支持可配置阻塞IP或阻塞用户 支持单独配置是否阻塞非80端口流量 支持自定义阻塞页面内容,可上传图片或文件共阻塞页面使用。 支持基于用户或IP自定义免阻塞白名单 支持开启/关闭flashcookie分析。 支持配置特征老化周期。 |
|
共享接入监控 |
支持基于终端数量和用户数量显示统计图,支持显示阻断/允许用户比例图。 支持显示被监控用户的详细列表,应包含IP、用户、设备总数、PC数量、移动终端数量、发现时间、当前状态等信息 支持显示被堵塞用户的详细列表,应包含IP、用户、阻断开始时间、阻断结束时间、阻断方式等信息 |
共享接入日志 |
可基于日期时间查询共享接入日志 可基于用户、IP、MAC查询共享接入日志 可基于设备总数、PC数量、移动终端数量和状态查询共享接入日志 |
|
控制热点开启 |
支持配置禁用PC热点开启功能。禁用时PC仍可以使用网络,但是无法通过随身wifi或笔记本自带功能创建热点。 |
|
终端管理软件联动 |
终端管理软件联动 |
能够与终端管理软件联动,设备检测到未安装终端管理软件的PC,可将其Web访问自动重定向到特定页面并提示下载; |
|
终端准入控制 |
设备能够根据终端管理软件检测到的信息配置准入控制策略,准入规则应包括: 1、系统是否存在某个特定进程 2、注册表中是否含有特定内容 3、制定位置是否存在特定文件 4、操作系统类型和版本等 5、系统是否安装了特定的杀毒软件和特定版本 6、系统是否安装了特定的漏洞补丁 7、系统是否开启了文件实施防护功能 |
7.5 服务器防病毒软件(壹套)
建议品牌采用:360安全、亚信、江民等。最低配置1套控制台+4套防病毒许可。需购买叁年维保和相应授权服务,保修期内提供免费7*24技术服务支持。
指标 |
指标项 |
品牌要求 |
投标产品有公安部的安全产品销售许可证,必须是自主开发,拥有自主知识产权,市场主流的,非OEM产品,具有先进性,并成熟可靠,至少已在市场销售五年以上,以首次取得销售许可证为准。 |
操作系统支持 |
Windows 2000 (32位) , XP (32 /64位) ,Vista (32/64位) ,Windows 7;Windows Server 2003 (32/64位), Windows Server 2008 (32/64位) ,主流各类linux和UNIX操作系统 |
管理控制台要求 |
能够同时支持物理跟虚拟服务器防护,在一个管理控制台上管理多个异构虚拟化安全策略。可以在一个管理控制台中同时管理如下虚拟化平台的安全策略:
|
功能要求 |
产品要求提供完整的主机安全防护,同时支持实体服务器防御和虚拟服务器的主机防御,包括防火墙、防病毒、完整性监控、虚拟补丁技术、日志审计等功能;在虚拟化环境中,除日志审计模块,其余模块要求和虚拟化环境以无代理方式集成,不需要在每台虚拟机上安装客户端,以便减少对物理机的资源占用;主机整体资源与搭载虚拟机数量无直接关系;虚拟资源消耗不会随虚拟机数量成长 |
产品要求提供完整的主机安全防护,同时支持实体服务器防御和虚拟服务器的主机防御,包括防火墙、防病毒、完整性监控、虚拟补丁技术、日志审计等功能;在实体服务器操作系统上面支持轻代理插件,操作系统防护包括(windows linux)等系统 |
|
产品必须具有防火墙功能,不依赖分布式交换机可以无代理运行,并且可集中控管防火墙策略,策略定制可以针对IP,Mac地址或通讯端口,可保护所有基于IP通讯协议(TCP、 UDP、 ICMP 等)和所有框架类型(IP、ARP 等) |
|
产品必须具有DPI(深度内容检测)功能,不依赖分布式交换机可以无代理运行,必须可以同时保护操作系统和应用服务(数据库,Web,DHCP等) |
|
产品必须具有操作系统虚拟补丁功能,不依赖分布式交换机可以无代理运行,在服务器尚无安装补丁前,提供针对此补丁攻击的防护能力 |
|
具备特征库更新功能,实时追踪并保护最新动态威胁:提供自动扫描功能,针对服务器弱点、漏洞进行安全检测并自动形成防护,产品必须能够防御应用层攻击、SQL Injection 及Cross-site跨网站程序代码改写的攻击。 |
|
产品必须提供包含攻击来源、攻击时间及试图利用什么方式进行攻击等必要信息,并在事件发生时,立即自动通知管理员。 |
|
产品必须可以支持无代理方式,不需要在每台虚拟机上安装,只需在虚拟化环境底层安装即可,对每个虚拟机没有资源占用。 |
|
产品必须可以支持轻代理方式,在每台主机上安装,对每个主机低资源占用。 |
|
产品可以通过在整个虚拟环境中安装单一拷贝来达到保护所有虚拟环境中Guest OS和应用的功能。 |
|
产品支持完整性监控,能够监控操作系统和关键应用包括注册表项、关键目录、特定目录变更,以防范恶意修改。 |
|
产品必须具有集中控管的功能,能够统一的管理和配置,并且日志能够统一的在集中控管平台上呈现。 |
|
虚拟化系统支持 |
支持基于虚拟化平台底层的无代理安全防护功能,而非在每台虚拟机中部署安全软件实现防护功能 |
虚拟化系统支持 应用防护支持 |
今后可扩展支持华三,VMware,微软, Citrix,等主流虚拟化平台的无代理安全防护。 |
可以用有代理模式支持Docker,Container linux |
|
产品必须可以保护以下类型存储服务器,Symantec, Veritas。 |
|
原厂资质和服务要求 |
厂家在国内具有独立的病毒研发和响应中心。 厂商已通过ISO 20K的质量体系认证。 厂商参加国家级活动和提供网络安全保障工作。 国家计算机病毒应急处理中心技术支持单位。 厂商可根据用户需求提供高级别的服务承诺,如大客户专署服务、主动式服务、快速响应服务、在线技术支持服务等,可提供5×8乃至7×24小时的专业防毒服务。 |
其他要求 |
投标商不得随意扩大所投产品的技术功能及性能,以官网公布的资料为准;技术偏离表需逐条应答,签订合同前需提供功能性测试。 |
7.6、日志审计系统(壹套)
为了节省成本,此次日志系统采取自建的方式进行。我院提供正版的软件(windows 2012 R2操作系统、linux系统、sql数据库)和服务器(双路E5 CPU、32G内存、3T硬盘),必须使用GPL(GNU通用公共许可证)的开源系统(声明:我院不承担任何的知识产权风险),如中标商因为使用的日志审计系统所造成的侵权后果,我院将申请法律诉讼,并追究相关的损失。请各位投标商提供技术方案,要求如下:
该系统能够配置的NTP和DNS服务,从而能够有助于提高日志记录工作的精确性;
该系统能够将日志数据装载进入mysql、sql和oracle数据库,方便我司进行日志查询和管理;
该系统运行syslog守护进程能够被配置成接受来自防火墙、交换机、任意一台主机的系统日志消息;
该系统能够将日志消息存储和备份。
7.7、数据库审计系统(壹套)
为了节省成本,此次数据库审计系统采取自建的方式进行,开启sql server的aduit功能,按等保二级要求配合测评公司。必须要求实施人员具有微软MCSE认证。
1、能够查询记录两类事件:登入事件和登出事件;
2、能够进行客户源信息的审计,包括审计哪个网络节点连接到了数据库,审计使用哪个应用程序访问了数据库;
3、能够审计由数据库返回的错误,返回的记录数或受影响的行数;
4、能够审计操作时间、SQL操作命令;
5、能够审计联表数量、SQL执行结果、SQL执行时长。
7.8广州市设计院门户网站系统二级等保服务
投标方依据《信息系统安全等级保护基本要求》和《信息系统安全等级保护测评准则》,根据评测记录和我院提供的安全体系相关的设计和建设方案历史数据,并结合业务特点,对信息系统进行整体安全等级符合性分析。
服务标的:
广州市设计院网站系统(二级),目前放置在阿里云机房,已经通过阿里云网站备案。
服务方式:根据评测公司提供的差距报告进行相关整改。
此服务采用包干方式,总费用不超过7万元,可自行设计解决方案协助我院通过门户网站的二级等保验收,并提供不少于贰年满足等保要求的各项安全服务。
7.9、AD域建设
使用微软的Active Directory平台服务,搭建统一身份认证系统。投标人需提供具体的实施建设方案及实施计划以帮助解决以下问题:
根据我院现状和未来规划设计合适的AD架构和访问权限区域。
终端内网合规准入控制,保证只有合法和安全的终端接入内网,同时确保每个接入的终端用户身份不可更改和网络行为受控;
终端接入内网后,身份标示不可更改,并且访问全程受控,实现用户网络实名制管理,提高内网合规管理执行力;
实现终端分级安全管理,保证每个终端用户只能获得与自己角色相符的内网和Internet的访问控制权限;
终端自身安全加固和漏洞动态修复,全面提高内网终端安全健康状况和威胁抵御能力,杜绝因病毒导致的网络阻塞。
实现AD域与整体安全防护架构的融合,以AD域作为其他安全设备、软件身份辨识、来源辨识、权限划分的基础。
协助将客户端和网络设备加入域;通过控制单元如何将管理角色委派给OU里的管理员;域控制器管理数据库(NTDS)的备份与恢复;
域培训,主要是域控的管理方向;(管理全局编译目录、管理活动目录数据库、组策略管理、活动目录集成区域DNS服务、管理用户、组、组织单位、操作主机角色等)
对于域控的高级功能技术支持。例如:vmware的部署、双机集群部署、hyper-v部署、SQL的分布式部署、DFS文件映射服务器部署、NPS(network protect secruity)、RDP(remote desktop protocal)、证书服务器等。
须提供AD域的建设方案并提供贰年的技术维护服务。
7.10、安全咨询服务
现阶段我院的安全建设正处于起步阶段,本期项目将投资购买多种安全基础设施,以确保我院整体安全建设体系符合需求。咨询服务主要是计划未来我院的技术发展方向,保证安全设施的投资有效性,提高投资回报率。
中标人须提供安全规划咨询服务,投标人需提供详细的咨询服务方案,服务内容包含但不仅限于如下几点:
现状评估
通过对我院的现有网络分析对比,了解采购人组织现状,寻找与ISO27001和国家安全等保标准的差距。对信息系统及由其生成、处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行调研和评价;识别各业务流程所采取的管理流程和管理职责;评估信息资产面临的威胁以及导致安全事件发生的可能性,并结合安全事件所涉及的信息资产价值来判断安全事件一旦发生对组织造成的影响。
制定信息安全建设规划路线图
了解我院的业务发展需求和未来的拓展战略,了解业务对安全的需求痛点,根据我院业务性质、组织特征、信息资产状况和技术条件等,将业务需求与安全技术路线相结合,制定长远安全业务规划建设路线图,并提供不少于贰年的安全咨询服务。
信息安全体系的初步建设
结合我院现状,帮助我院建立初步的信息安全管理制度,提供一系列的信息安全管理制度参考文件,帮助建立有效的信息安全管理组织及办事机制。
整合信息安全管理体系手册,明确各管理过程的顺序及相互关系。
整合信息安全管理体系所要求的程序文件,从体系维护管理、资产管理、物理环境安全、人力资源安全、访问控制、通信和运作管理、业务连续性管理、信息安全事件管理、符合性等方面对各类管理活动及作业指导进行文件化。
在信息安全管理体系建立的文件中应该包含有:安全方针文档、适用范围文档、风险评估文档、实施与控制文档、适用性声明文档。
帮助采购人对安全管理体系文件进行审核、修订和发布。
★提供两个或两个以上客户证明函,证明该公司有类似的项目经验,提供详细的信息系统安全规划方案。
本咨询项目需要在项目周期内完成,整个项目中间需要有2名以上安全顾问提供咨询服务,对于咨询顾问要求如下:
安全架构师:做为咨询项目的技术专家负责人,要求该架构师具备CISSP/CCIE-secruity/华为/Checkpoint CCSE/之中的任意两项安全专家认证,具备丰富的安全项目实施经验,包括10年以上的IT咨询/安全咨询经验,加盖公章。
安全技术顾问:做为咨询项目的技术实施人员,要求该安全顾问具备CISSP/Cisco/华为/Checkpoint/任意两项的认证,具备一定的安全项目实施经验,包括5年以上的IT咨询/安全咨询经验,加盖公章。
7.11 信息安全培训
提供针对用户的信息安全培训,每次培训学时不少于1小时,可采用实际操作、讨论、演示等多种方式;培训完成后将对培训效果进行评价,评价效果不及格的,中标方需无偿再次组织一次培训,确保培训的有效性。
提供讲解PPT以及面向培训用户的网络安全试题电子文档,供培训之后效果验证,提供贰年的培训服务。
7.12网络安全集成培训服务
投标方必须提供以下内容的培训:
包括但不限于本项目采购的所有设备、软件的安装部署、管理等内容,所有的培训教员必须用中文授课;
培训教员必须具备原厂专业资格和相关实际工作经验;
提供3人次的中标产品的原厂商培训以及原厂商的工程师认证证明;
培训时间与培训教员在合同生效之后由双方协商安排。
★提供培训教员的相关证书
7.13 NTP服务器搭建
我院由于各种通信网络的时间配置、网络安全性设计、分布性的网络计算和处理、以及数据库文件管理涉及时间戳的应用,都需要精确、可靠和公认的时间,通过时间标记的通信使网络设备的时间向统一的参考源看齐靠拢,在所覆盖的网络范围上得到一致同步,确保获得精确可靠的时间,这包括了TCP/IP中ICMP的时间标记、日志审计服务等。我司提供操作系统软件(Centos6.X系统)和两台服务器(双路E5 CPU、16G内存、600G硬盘)。请投标商提供技术方案,要求如下:
能够使我院局域网上的主备NTP服务器通过因特网与其它的NTP主机同步时钟,接着再向局域网内其他客户端提供时间同步服务;
随着时间的推移,计算机的时钟会倾向于漂移。网络时间协议(NTP)是一种确保我院的时钟保持准确的方法,能够为我院司路由器、交换机、工作站和服务器之间提供了一种时间同步的机制,其精度在局域网内须达到0.1ms。
须能提供壹份具体主备NTP服务器的搭建详细步骤,提供贰年的服务。
7.14漏洞扫描及服务器补丁服务
投标商根据漏洞扫描情况,对服务器的补丁每个季度做一次风险评估,评估已有的漏洞所能带来的风险,确定风险的级别和影响。
投标商必须提供贰壹年的漏洞扫描和服务器打补丁服务。
须能提供壹份具体用户的漏扫报告和相关打补丁的建议说明,提供贰年的漏扫服务。
7.15病毒风险预警服务
投标商需提供风险预警服务,并达成如下目标:
全面掌握我院全网的安全形势,做到安全问题早发现,将安全事件控制在萌芽状态;
清晰识别全网安全问题源头,准确定位问题计算机,做到安全问题定点定人,将信息安全建设变被动响应为主动服务;
通过全网风险预警服务,推动广州市设计院更好地提高信息安全建设水平,提高信息部门的信息安全运维水平;
投标商提供壹年的风险预警服务,每月提供一次详细的风险分析报表,报表包含内容如下:
日期/时间戳、检测严重性、检测类型、检测名称、威胁描述、源IP、目标 IP、协议、攻击方向、文件名、协议组、VLAN ID、威胁类型组、目标端口、目标MAC地址、源端口、源MAC地址、域名、主机名、规则ID、风险类型、真实文件类型、文件扩展名、文件大小、可信度、潜在风险、电子邮件收件人、检测者、有可疑文件、归档中的文件名、目标主机名、源主机名、源组名、源网络区域、目标组名、ece_严重性、攻击_阶段、cc_服务器、cc_服务器类型、恶意软件类型、事件_子级、状态、客户端标志等。
须能提供壹份具体用户的风险预警报告作为参考,提供贰年的病毒风险预警服务。
7.16网络整改服务
我院的核心网络设备由于稳定性的原因,部分有待调整。拟以此次等保的时机对整个网络作适度的规划,、调整原有较为脆弱的网络环境,最终解决信息系统的整体安全性问题。
请各位投标商根据我院的网络拓扑提供有效的整改方案,请提供华为工程师证书,提供贰年的网络维护服务。
7.17安全事件应急保障服务
针对各类信息安全事件,包括有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等,投标商提供安全应急响应及保障服务。投标商将提供远程或者现场专家服务,协助客户快速定位安全事件的原因,抑制或者根除安全事件的隐患,并及时恢复客户业务。
请各位投标商图表列出服务模块、服务子项、服务内容,并提供贰年的安全应预案、安全应急演练、安全应急响应服务。
7.18广州市设计院综合管理信息系统等保二级整改服务
我院于2018年5月向广州市公安局申报《广州市设计院综合管理信息系统》二级等保备案,此次招标项目包含该系统整改服务,请各位投标商一并列出整改服务价格。
第 22 页 共 78 页