天津檔案館網(wǎng)絡(luò)安全項目需求書

項目需求書項目概述1.網(wǎng)絡(luò)現(xiàn)狀A(yù)網(wǎng)站服務(wù)器托管在網(wǎng)通機房，其余三網(wǎng)在局館內(nèi)部，均為物理隔離的獨立網(wǎng)絡(luò)。2.建設(shè)內(nèi)容統(tǒng)。要求為專業(yè)用于網(wǎng)站防護的硬件產(chǎn)品，有強大的防注入、防篡改、防攻擊、防掛馬、防病毒等功能，還要有強大的審計功能，自身安全性能強，吞吐量大，具有布置簡便、操作簡單的人性化管理界面。括：監(jiān)控、審計、上網(wǎng)行為管理、非法外聯(lián)、資產(chǎn)管理、外設(shè)管理、打印管理、U盤管理等。主要用于內(nèi)網(wǎng)與外網(wǎng)的信息安全交換，單機系統(tǒng)，自帶正版殺毒軟件。權(quán)、系統(tǒng)以及數(shù)據(jù)庫(Windows2003及SQLSERVER2005除外)。內(nèi)外網(wǎng)安全內(nèi)、投標(biāo)前與招標(biāo)方聯(lián)系確認(rèn)。1.投標(biāo)書內(nèi)容要求考慮系統(tǒng)現(xiàn)在及未來發(fā)展的要求，設(shè)計出完整的實施方案；2.招標(biāo)文件的技術(shù)部分應(yīng)至少包含以下技術(shù)文件：型及配置。人員，編制工程進度計劃，對工程建設(shè)各階段進行合理劃分。行針對性編制。性變化?？傮w要求產(chǎn)品進行投標(biāo)；如遇所選產(chǎn)品不能滿足本次項目建設(shè)要求或工程中存在缺漏項情況，中標(biāo)人應(yīng)承擔(dān)相應(yīng)損失，投標(biāo)總報價不做調(diào)整。本項目建設(shè)周期為15個工作日，在規(guī)定時間內(nèi)包括硬件、軟件、集成、安裝、調(diào)試等必須完成。收的申請。成之后提供詳細準(zhǔn)確的項目完工資料、用戶手冊、管理手冊等技術(shù)資料。全面技術(shù)支持服務(wù)，確保試運行的順利進行；1.本次項目求：.內(nèi)外網(wǎng)網(wǎng)絡(luò)安全管理系統(tǒng)和網(wǎng)站防護產(chǎn)品為同一品牌.內(nèi)外網(wǎng)網(wǎng)絡(luò)安全管理系統(tǒng)：3套，共計200點。.外網(wǎng)網(wǎng)站防護系統(tǒng)：1臺.內(nèi)外網(wǎng)數(shù)據(jù)擺渡系統(tǒng)：18套.臺式機：18臺.U盤：45個2.詳細參數(shù)與性能要求：1)內(nèi)外網(wǎng)網(wǎng)絡(luò)安全管理產(chǎn)品性能參數(shù)：別術(shù)描述能令網(wǎng)絡(luò)接入控制X入認(rèn)證組合。令網(wǎng)關(guān)強制代理軟件的終端與外網(wǎng)URL請求重定向到一個代理安裝包下載快代理端的安裝部署。令補丁管理要求。自動搜集終端主機的已安裝補丁信息，并且通過與微軟WSUS聯(lián)動，統(tǒng)計各終端主機的未安裝補丁信息，完成安全補丁的自動分發(fā)，保證終端主機及時打上最新的安全補丁，防止安全漏洞被利用，投標(biāo)方在項目實施時應(yīng)布置WSUS系統(tǒng)，補丁自動分發(fā)系統(tǒng)能夠正常運行。令病毒庫同步毒庫管理要求。品。在上述補丁管理、病毒庫同步基本安全保護的基礎(chǔ)之上，從網(wǎng)絡(luò)層、法入侵。令防ARP欺騙PARPARP正常穩(wěn)定、快速協(xié)助管理人員定位網(wǎng)絡(luò)中存在的問題。令主機入侵保護程控制、拒絕服務(wù)等各種攻擊類型。SnifferFlood測內(nèi)網(wǎng)終端主機的Sniffer行為以及洪水攻擊行為。令異常端口監(jiān)聽上進行服務(wù)監(jiān)聽。令惡評軟件查殺時自動檢測各個終端是否被安裝了惡評軟件，根據(jù)安裝的IE插件的信息，匯總到服務(wù)器統(tǒng)一展示。管理員可以設(shè)置哪些IE插件允許使用，哪些IE插件禁止使用。令網(wǎng)頁防掛馬IE頁腳本時的漏洞來注入木無聲息地注入木馬。行為進行全方位的審計，一旦發(fā)生數(shù)據(jù)泄密事件后也可以做到有據(jù)可查。令外設(shè)訪問控制對移動存儲設(shè)備的使用進行嚴(yán)密控制，注冊管理保證只有登記造冊、管理員允許的移動存儲設(shè)備才能在內(nèi)網(wǎng)使用；數(shù)據(jù)讀寫控制保證終端用戶對移動存儲設(shè)備的使用權(quán)限完全受管理員控制；加密管理保證關(guān)鍵移動存儲設(shè)備上的數(shù)據(jù)是加密存儲的，即便被非法拿到外網(wǎng)使用，也無法獲取其上存儲的涉密信息；分組管理將移動存儲設(shè)備、計算機進行分組，方便策略定制；審計功能保證EPS既能審計到終端主機插拔移動存儲設(shè)備的行為，也能精確審計到終端用戶對移動存儲設(shè)備的文件讀寫行為。同時針對常見的外設(shè)端口類型(USB、紅外、串口、并口)和設(shè)備類型(軟驅(qū)、光驅(qū)、無線、藍牙、鍵盤和鼠標(biāo)、打印機)進行監(jiān)控，對違反策略的行為及時告警并禁止使用，防止數(shù)據(jù)泄密。令非法外聯(lián)檢測從主動和被動兩個方面全面檢測終端主機的違規(guī)外聯(lián)行為。能夠按照管理員指定的時間間隔周期性地主動探測終端主機是否已能連通外網(wǎng)網(wǎng)址，能夠聯(lián)通則認(rèn)為已經(jīng)違規(guī)外聯(lián)，則立即進行斷網(wǎng)處理。另一方面，接多個網(wǎng)卡、改變網(wǎng)卡配置、撥號等外聯(lián)手段都能夠觸發(fā)相應(yīng)的檢測程序，進而被動檢測到終端用戶的違規(guī)外聯(lián)行為，并實時阻斷。綜上所述，通過主動探測、多網(wǎng)卡檢測、網(wǎng)卡配置檢測、撥號檢測多種手段監(jiān)控終端用戶，杜絕違規(guī)外聯(lián)行為。令全方位審計現(xiàn)違規(guī)操作及時報警，為數(shù)據(jù)防泄密設(shè)好最后一道防線。令資產(chǎn)管理自動收集計算機的軟硬件資產(chǎn)信息，硬件資產(chǎn)信息包括：CPU、內(nèi)存、主板、網(wǎng)卡等；軟件資產(chǎn)信息包括：操作系統(tǒng)、殺毒軟件、應(yīng)用軟件信息、計算機系統(tǒng)摘要、終端代理相關(guān)信息、當(dāng)前策略信息、補丁信息等。自動發(fā)現(xiàn)以上各類軟硬件資產(chǎn)的變化情況，靈活生成各種告警與圖形報表，及時掌握每個終端用戶資產(chǎn)最新狀態(tài)，避免資產(chǎn)流失，方便企業(yè)資產(chǎn)的統(tǒng)一管理。令軟件分發(fā)用戶可以將應(yīng)用軟件的安裝包(EXE/MSI格式)、各類文件分發(fā)到指定的機器上并執(zhí)行。令交換機管理互查功能，能夠打開或關(guān)閉指定的交換機端口。令系統(tǒng)性能監(jiān)測值，及時告警通知。令遠程支持管理員可以通過遠程桌面連接到安裝代理的終端進行管理和維護操作，支持客戶端授權(quán)模式，確保系統(tǒng)安全性。本系統(tǒng)提供了兩種模式的遠程鏈接，一種是不支持鼠標(biāo)和鍵盤輸入的監(jiān)視模式，另一種是支持鼠標(biāo)和鍵盤輸入的完全控制模式，很好地滿足了管理員進行遠程連接的不同需求。支持信息服務(wù)功能，管理員可以及時快捷向終端發(fā)送各種通知信息。令應(yīng)用軟件監(jiān)控通訊等與工作無關(guān)、嚴(yán)重影響網(wǎng)絡(luò)環(huán)境的軟件，保證企業(yè)利益最大化。令上網(wǎng)監(jiān)控的行為，并能按照預(yù)設(shè)的關(guān)鍵字對網(wǎng)頁內(nèi)容進行告警。令網(wǎng)絡(luò)配置強制認(rèn)的配置信息。針對重點服務(wù)器IP采IP優(yōu)先權(quán)，避免地址沖突，提高內(nèi)網(wǎng)管理效率。令強制域登錄措施。令策略管理提供分時、分組、分場所策略管理，支持不同機器組在不同時間、不同網(wǎng)絡(luò)環(huán)境執(zhí)行不同的安全策略，可根據(jù)時間、場所(內(nèi)網(wǎng)或外網(wǎng))自動切換安全策略。策略類型可以靈活組合，包括：網(wǎng)絡(luò)接入控制策略、補丁管理策略、病毒同步策略、主機入侵保護策略、主機防火墻策略、異常端口監(jiān)聽策略、防ARP欺騙策略、應(yīng)用軟件監(jiān)控策略、外設(shè)訪問控制策略、非法外聯(lián)監(jiān)控策略、網(wǎng)絡(luò)配置強制策略、強制域登錄策略、上網(wǎng)監(jiān)控策略、終端審計策略、系統(tǒng)性能監(jiān)測策略、遠程支持策略等。令分級分權(quán)管理沒有級數(shù)限制。靈活設(shè)置上下級管理服務(wù)器，能夠通過上級服務(wù)器管理下級服務(wù)器。中心支持分權(quán)管理功能，為不同的部門分配不同的管理員角色，部門管理員只能管理、查看、編輯管轄區(qū)內(nèi)的終端信息。令系統(tǒng)自保護通過多種技術(shù)手段(加載項保護、系統(tǒng)隱藏、防篡改保護、防進程刪除)防止安全代理受到非法破壞，保護系統(tǒng)正常、穩(wěn)定地運行。支持授權(quán)安裝功能，注冊到服務(wù)器的代理只有經(jīng)過管理員的批準(zhǔn)才能成為合法代理，否則即使安裝了代理也和未安裝代理的機器一樣只能訪問受限的網(wǎng)絡(luò)。支持在線卸載，可批量卸載安全代理；支持授權(quán)卸載，終端用戶在卸載安全代理的時候必須輸入授權(quán)碼才能執(zhí)行卸載。令查詢與報表能夠方便地查看各種安全告警事件、違規(guī)事件和網(wǎng)絡(luò)訪問事件。通過報表可以了解最新的補丁、反病毒軟件安裝情況，可以根據(jù)資產(chǎn)構(gòu)成、變更、網(wǎng)絡(luò)告警等條件生成豐富詳細的圖形報表并支持多種文件格式的下載。令集中升級以先只升級測試區(qū)域內(nèi)的終端，待其測試通過后再升級所有終端。令用戶管理管理，用戶可以指定管理機器的IP地址，保證只有授權(quán)IP才能訪問。令管理審計性。令系統(tǒng)支持全面支持Win2000，win2000sever,winXP,win2003,win7等操作系統(tǒng)，安全系統(tǒng)能夠做到升級更新。令產(chǎn)品資質(zhì)要求具有中華人民共和國公安部的《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》。評中心的《涉密信息系統(tǒng)產(chǎn)品檢測證書》2)外網(wǎng)網(wǎng)站防護產(chǎn)品性能參數(shù)：術(shù)描述PHTTP析能夠完全解析HTTP事務(wù)、了解HTTP事務(wù)的交互流程、并對關(guān)鍵的事務(wù)信息進行解碼處理，而無需中斷HTTP連接。產(chǎn)品必須檢查HTTP頭字段、URL參數(shù)、表單字段、方法、Cookie和其他HTTP元素支持HTTP協(xié)議解碼并對相關(guān)字段進行檢查，包括方法、用的HTTP編碼類型等。息跟蹤作為服務(wù)器與客戶端(瀏覽器)的中間設(shè)備，基于對HTTP協(xié)議的解碼，能夠跟蹤會話信息，識別用戶、Cookie或參數(shù)及其他會話信息，為用戶提供基于會話的、可靠的保護。向安防護策略模型由基于靜態(tài)規(guī)則的反向(黑名單)安全模式及基于智能用戶行為識別的動態(tài)防護機制(正向安全模式，即白名單)構(gòu)建。 ons實際應(yīng)用靈活地調(diào)整具體特征規(guī)則。關(guān)聯(lián)策略驗證避免告警誤報率高為用戶管理帶來的告警風(fēng)暴。性TPRFCP護功能。HTTPS支持產(chǎn)品能夠?qū)SL(HTTPS)加密會話進行分析。WEB洞產(chǎn)品提供SQL注入、跨站腳本(XSS)漏洞的掃描與分析。產(chǎn)品提供網(wǎng)頁掛馬主動檢測功能。WEB構(gòu)歷等攻擊。WEB全產(chǎn)品可防御SQL注入、XSS及跨站請求偽造(CSRF)。產(chǎn)品可防御常規(guī)盜鏈和分布式盜鏈。產(chǎn)品可防御惡意掃描。kie露，以及Cookie篡改。產(chǎn)品可提供服務(wù)器信息偽裝/過濾，避免出錯信息暴露網(wǎng)站敏感信息，為攻擊者利用、提升攻擊成功概率。產(chǎn)品提供URLACL功能。提供頁面預(yù)取功能，自動監(jiān)測頁面被篡改情況。篡改前的正常頁面。頁篡改防護策略。提供惡意代碼過濾功能。支持敏感關(guān)鍵字自定義功能。擊產(chǎn)品可防御欺騙與非欺騙的TCP(如SYN,ACK)DDoS攻擊及變種。HTTPFlood攻擊具備專門的防護手段，能夠?qū)TTP進行解碼，對不同類型的URI請求合法性進行驗證，實行不同的防護策略。寫規(guī)則即可對這些攻擊進行防護。產(chǎn)品提供基于五元組(源IP地址、目的IP地址、源端口、目的源口、協(xié)議類型)及接口的ACL訪問控制功能標(biāo)時延s事務(wù)數(shù)s提供安全報表(告警分類統(tǒng)計報表、告警時段統(tǒng)計報表、告警區(qū)域報表)、訪問統(tǒng)計報表(訪問時段、訪問區(qū)域及業(yè)務(wù)類型)及流量趨勢報表?？砂词录愋?、統(tǒng)計目標(biāo)或周期類型等條件進行統(tǒng)計。支持將生成的報表以Excel及打印等通用格式輸出。提供系統(tǒng)運行日志及安全防護日志(網(wǎng)絡(luò)層訪問控制、WEB訪問)?？苫跁r間、IP、端口、協(xié)議、動作、事件類型、支持Syslog日志服務(wù)器。用HTTPS。系統(tǒng)自身安全可靠，不依賴于WEB系統(tǒng)自身安全級別。BYPASS方案網(wǎng)絡(luò)接口內(nèi)置fail-open特性，產(chǎn)品出現(xiàn)故障時，能自動轉(zhuǎn)變成通路，不影響流量正常傳輸。現(xiàn)旁路保護，避免網(wǎng)絡(luò)中斷等事故的發(fā)生。EAL3級別3)內(nèi)外數(shù)據(jù)擺渡系統(tǒng)別術(shù)描述同網(wǎng)絡(luò)或涉密與不涉密的計算機之間進行數(shù)據(jù)交換的專用機。2、剪切、復(fù)制、粘貼、刪除、殺毒、重命名、屬性等操作一應(yīng)俱全，充分滿足了擺渡過程中的各項操作要求。息被帶入內(nèi)部網(wǎng)絡(luò)。dows戶只能在本機上做擺渡操作，只有管理員才能退回到Windows界面。、本系統(tǒng)會完整的記錄用戶所有的擺渡操作，形成日志，并可以查詢、打印、導(dǎo)出日志信息，形成報表配合有關(guān)部門進行審計，可以取代人工登記管理，有效保證信息安全。式；4)臺式計算機別術(shù)描述名牌產(chǎn)品/品牌機/CPUE5300/2GDDRII/SATA2320G(7200轉(zhuǎn))/SATADVD/