安全审计系统.doc

第二章 招标项目内容、数量、规格和技术要求核心数据和核心设备的安全是数据中心管理的重中之重。05年以来我市劳动保障数据中心网络安全防护管理不断加强，陆续配置了防火墙、防毒墙、网闸等安全设备，建立了数据级异地容灾系统，较好地保障了劳动保障网络信息系统的稳定安全运行。但因经费等原因，数据中心在核心设备和核心数据安全防护方面还相对较弱，按照劳动保障网络信息系统安全等级保护的要求和数据中心网络安全管理实际需要，为进一步完善劳动保障网络信息系统安全防护体系，提出本次网络安全设备采购需求。 一、网络安全设备采购需求（一）网络安全设备采购清单：分类设备名称基本目的基本参数要求数量备注网络安全防御千 兆防火墙防护核心数据安全，提高整个网络可靠性2U机架式结构；最大配置不少于24个接口，现配8个千兆SFP（含4个原厂SFP光模块）和8个10/100/1000BASETX电接口，2个10/100/1000BASETX管理口。要求接口支持STP协议。网络吞吐量不少于5G，最大并发连接数不少于200万，每秒最大新建连接数不少于5万，现配置双电源。2台原厂三年质保IPS入侵防御系统抵御网络攻击，防护网络系统安全1U机架式结构，最大配置不少于24个接口， 现配4个SFP口（含4个原厂SFP光模块）和4个10/100/1000BASETX接口，支持4路Bypass功能，2个10/100/1000BASETX管理口，吞吐量不少于6G，具有3000条以上的攻击事件，三年特征库升级服务1台原厂三年质保网 络交 换设 备24口二层交换机根据网络整合需要添置，与核心交换机H3C 9508对接H3C S5100-24P-SI 24个10/100/1000Base-T以太网端口和4个复用的1000Base-X SFP千兆以太网端口（Combo）4台原厂三年质保48口二层交换机根据网络整合需要添置，与核心交换机H3C 9508对接H3C S5100-48P-SI 48个10/100/1000Base-T以太网端口和4个复用的1000Base-X SFP千兆以太网端口（Combo）3台原厂三年质保SFP光纤单模模块用于H3C光纤连接用，10KMH3C 光纤单模模块，有效距离10KM4个原厂三年质保数字认证系统数字认证系统用于浙江省社会保险网上申报系统统一软件安全认证网关支持多种签名数据，支持原文包含模式及原文分享模式的PKCS7签名的验证。并发用户数200，最大吞吐量50Mbit/s。支持B/S结构和C/S结构。支持符合X509标准的各种数字证书的签名验证。支持国内多种数字证书的签名验证，如：ZJCA、CFCZ、SHECA颁发的证书。多种开发接口支持，如：C/C+、ASP.NET、JAVA、VB、DELPHI、POWERBUILDER等。验证结果除了包括是否正确值外，还需要包括：签名用户的证书、原文、签名值(1024bit)等。1台原厂三年质保行为审计设备网络访问行为审计系 统对用户上网行为进行审计2U机架式结构；包括2个可插拨的扩展槽, 可在用户现场升级端口无需返厂，配置2个10/100/1000BASETX数据采集口，2个10/100/1000BASETX管理口，最少400G存储空间，支持双电源。1台原厂三年质保安全管理软件安全设备与策略管理系统实现劳动保障网络系统内所有安全设备的分级部署和集中监控管理系统要求能实现整网安全设备的网络拓扑管理、设备策略管理、用户管理、CA管理、日志管理，具有设备监控报警、设备升级管理、查询及统计分析功能。要求界面美观、简洁易操作，支持基于角色的权限划分和管理。1套原厂三年质保（二）采购主要设备技术参数要求1、千兆防火墙 指标项技术指标要求系统架构采用专用硬件架构与专用安全操作系统，基于操作系统内核的会话检测技术，专用的安全操作系统具有自主知识产权，硬件设备可以机架安装。采用双安全操作系统，防止配置不当或防火墙系统故障造成的网络中断，充分保证了系统的稳定性。软件采用模块化结构设计，可以扩展IPSEC VPN，SSL VPN，AV等功能。性能指标2U机架式结构；最大不少于24个接口,包括3个可插拨的扩展槽, 可在用户现场升级端口无需返厂，现配8个千兆SFP（含4个原厂SFP光模块）和8个10/100/1000BASETX电接口，2个10/100/1000BASETX管理口。接口支持STP协议。配双电源。网络吞吐量不少于5G最大并发连接数不少于200万每秒最大新建连接数不少于5万FW功能参数工作模式支持透明、路由、透明及路由混合模式支持单对单、单对多、多对多的地址转换功能支持路由、透明模式下的虚拟系统功能，支持NAT模式下的虚拟系统功能支持每个虚拟系统具备独立的管理权限、安全策略，且虚拟系统间互不干扰可对DMZ区服务器实现保护， 如替换服务器（FTP、SMTP、POP3、telnet,HTTP）的BANNER信息支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤；支持对移动代码如Java applet、Active-X、VBScript、Java script的过滤动态端口支持协议：H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP，并对其实现安全控制支持服务器负载均衡功能，在没有专业均衡设备的条件下，通过防火墙实现多台服务器的性能叠加支持多链路备份功能，以实现链路层高可用性支持H.323/SIP的高可用性支持策略路由，可基于源地址选择路由支持动态路由协议RIP/OSPF/BGP等具有MPLS网络数据的安全控制支持使用一次性口令认证（OTP）、本地认证、双因子认证（SecureID）以及数字证书（CA）等常用的安全认证方、支持RADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方式；IPS功能具有对HTTP、SMTP、POP3、FTP等协议的深度内容过滤，具有URL、关键字过滤支持对移动代码如Java applet、Java script等的过滤具有MSN、QQ、阿里旺旺、google talk等Instant Messenger通信，并可以对于这些应用进行登陆限制,支持根据登陆等帐号进行登陆限制可限制BT，eMule，讯雷等多种P2P应用，可以统计P2P流量和连接数，可以控制P2P流量的带宽可以识别并阻断以下攻击行为：land 、Smurf、Pingofdeath、ip_option、teardrop、targa3、ipspoof、Portscan等VPN功能（IPSEC ）支持与防火墙、SSL VPN统一的认证体系，支持本地认证、双因子认证（SecureID）以及数字证书（CA）等常用的安全认证方、支持LDAP、域认证等安全认证方式；支持多路VPN隧道间备份、负载均衡；支持链路叠加、支持手工及智能选路；可扩展支持3000以上隧道数；VPN功能（SSL）支持角色分组的可信接入；支持PDA的安全接入；支持B/S ,C/S应用系统的安全转发；可扩展支持1500以上并发用户数；具有Cleaned VPN功能，能对隧道内数据进行病毒查杀和内容过滤。AV功能可过滤HTTP，FTP，POP3，SMTP，IMAP协议的病毒，并支持35万种以上的病毒非法报文攻击过滤：land 、Smurf、Pingofdeath、winnuke 、tcp_sscan、ip_option、ipspoof；统计型报文攻击：Synflood、Icmpflood、Portscan、ipsweep；SYN代理：对来自定义区域的Syn Flood攻击行为进行阻断过滤；可通过设置端口和阀值阻断CC攻击；具有病毒库的在线自动更新，三年特征库升级服务。产品资质要求（投标时提供，加盖原厂公章）1. 中华人民共和国公安部颁发的计算机信息系统安全专用产品销售许可证2. 中国国家保密局测评中心颁发的涉密信息系统产品检测证书3. 中国信息安全评测中心颁发的信息技术产品安全评测证书级别：EAL34. 国家版权局颁发的防火墙系统计算机软件著作权登记证书产品原厂服务要求（投标时提供，加盖原厂公章）1.原厂商具备信息安全服务二级资质，提供资质证书证明材料2. 3年原厂商质保服务，投标时出具原厂商3年售后服务承诺函2、入侵保护系统 指标技术指标项指标要求设备要求专用的硬件和软件保障产品采用多核处理器的硬件平台架构，专用的安全操作系统具有自主知识产权。端口数量和扩展能力1U机架式结构：最大配置不少于24个接口，可在用户现场升级端口无需返厂，包括4个SFP口（含4个原厂SFP光模块）和6个10/100/1000BASETX接口（其中2个可作为HA口和管理口），4个接口具有Bypass系统吞吐量不少于6G攻击规则库具有3000条以上的攻击事件，三年特征库升级服务工作模式网络接入透明，路由，IDS监听，混合防火墙访问控制基于状态检测的动态包过滤基于源/目的IP地址、端口、协议、时间的访问控制支持报文合法性检查，支持IP/MAC绑定NAT支持双向NAT，支持动态地址转换和静态地址转换支持协议包括H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP等拒绝服务（DOS/DDOS）能对当前主流的拒绝服务做检测和阻断，例如：WinNUKE攻击、UDP Flooding、SYN Flooding等HTTP能对当前主流的HTTP类攻击做检测和阻断，例如：HTTP Apache 批处理文件漏洞、Apache2.0.39及以前版本存在目录遍历漏洞、Cart32 管理员口令泄露漏洞等自定义攻击可以根据用户需求自行设置攻击规则，能对其他有害攻击行为做检测和阻断应用监控P2P应用支持识别BT、迅雷、Napster、Popo、Kazaa等P2P类应用IM支持识别QQ、MSN、ICQ、UC以及Google Talk等IM类应用游戏支持识别魔兽世界、征途、劲舞团、跑跑卡丁车、梦幻西游以及QQ游戏等网络游戏异常流量能对设备的异常流量进行分析、阻断入侵防御引擎具有路由、交换、直连、IDS监听四种模式支持基于源、目的、规则集、动作的入侵检测规则支持策略改变引擎自动重起DDOS防御非法报文攻击：land、Smurf、Pingofdeath、winnuke、targa3、ipspoof统计型报文攻击：Synflood、Udpflood、Portscan、ipsweep支持主机连接数和半连接数的限制动作支持阻断drop，检测到策略中设置的数据后，丢弃报文支持报警Alert， 检测到策略中设置的数据后，进行报警支持TCP Reset，向攻击者发TCP Reset包支持防火墙联动，与防火墙联动，仅限IDS模式运行报表Webui支持实时显示按发生次数累计的攻击事件排名支持Top10攻击者、Top10被攻击者、Top10事件统计报表支持按时间统计的IPS流量报表支持选定时间、网络攻击分类的统计报表支持报表输出，输出格式可以为PDF、DOC、HTML格式木马(Trojan)具备丰富的木马特征库，能识别包括灰鸽子、PCShare、Gh0st、上兴、Byshell、Npch、Downloader等多种热点木马及其变种，以及识别多种网页挂马攻击规则库维护支持自定义规则库导入、导出，支持系统规则库手动、自动升级系统规则预置系统规则集包含认证类、木马类、拒绝服务类、即时通讯类、p2p类、溢出攻击类、扫描类、系统漏洞类、蠕虫类、HTTP攻击类、RPC攻击类、高风险类、中风险类、低风险类和所有事件等自定义规则支持自定义规则，支持自定义规则集网络适应性路由支持静态路由支持基于源/目的地址、接口、Metric的策略路由支持Vlan路由，能够在不同的VLAN虚接口间实现路由功能ARP支持ARP代理、ARP学习，可设置静态ARP高可用性双机热备支持双机热备（Active-Active模式）支持连接、配置同步Bypass提供专业的硬件ByPass功能，保证网络通畅负载均衡具有轮询、加权轮叫、最少连接、加权最少链接等多种服务器负载均衡方式备份系统采用双安全操作系统，防止配置不当或防火墙系统故障造成的网络中断，充分保证了系统的稳定性。系统管理管理方式支持WEB图形配置、命令行配置，支持本地配置、远程配置支持基于SSH、SSL的安全配置SNMP支持SNMP 的v1 、v2 、v2c 、v3 版本与当前通用的网络管理平台兼容，如HP Openview 等丰富的私有MIB系统信息监控和报警支持网络接口、CPU利用率、内存使用率等支持邮件、SNMP、控制台等多种组合报警方式日志支持Welf、Syslog等多种日志格式的输出支持通过第三方软件来查看日志其它系统升级，支持远程维护和系统升级系统升级，支持TFTP、FTP、HTTP方式升级配置恢复，可进行配置文件的备份、下载、删除、恢复和上载产品资质要求（投标时提供复印件，加盖原厂公章）1. 中华人民共和国公安部颁发的计算机信息系统安全专用产品销售许可证2. 中国国家保密局测评中心颁发的涉密信息系统产品检测证书3. 中国信息安全评测中心颁发的信息技术产品安全评测证书级别：EAL34. 国家版权局颁发的入侵防御系统计算机软件著作权登记证书产品原厂服务要求1.原厂商具备信息安全服务二级资质，提供资质证书证明材料2. 3年原厂商质保服务，投标时出具原厂商3年售后服务承诺函3、24口二层交换机 数量4台指标项规格要求端口数量24个10/100/1000 Base-T以太网端口，4个1000Base-X SFP千兆以太网端口交换容量当前配置背板容量56Gbps包转发率当前配置包转发能力42Mpps端口聚合支持LACP链路聚合端口支持IEEE 802.3x流控（全双工）支持基于端口速率百分比的风暴抑制支持基于端口速率百分比、pps和bps的风暴抑制VLAN支持基于端口的VLAN（4K个）DHCP支持DHCP Client支持DHCP Snooping支持DHCP Snooping Option82组播支持IGMP Snoopingv1/v2/v3 支持组播VLAN生成树支持STP/RSTP/MSTP协议DHCP支持DHCP Client支持DHCP Snooping支持DHCP Snooping Option82组播支持IGMP Snoopingv1/v2/v3 支持组播VLAN生成树支持STP/RSTP/MSTP协议ACL支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN等ACL支持基于时间段的ACL支持基于全局、VLAN、端口（组）下发ACLQoS支持IEEE 802.1p/DSCP优先级支持优先级映射支持端口信任模式每端口支持4个队列支持端口队列调度(SP/WRR/SP+WRR) 镜像支持端口镜像安全特性支持用户分级管理和口令保护支持Radius认证支持SSH 2.0支持802.1X，集中式MAC地址认证支持Guest VLAN支持端口隔离支持端口安全支持MAC地址学习数目限制支持IP源地址保护支持ARP 入侵检测功能支持IP+MAC+端口的绑定管理与维护支持XModem/FTP/TFTP加载升级支持命令行接口（CLI），Telnet，Console口进行配置支持SNMP，WEB网管支持RMON（Remote Monitoring）支持iMC智能管理中心支持系统日志，分级告警，调试信息输出支持HGMPv2支持Modem远端拨号支持NTP支持Ping，Tracert支持Telnet远程维护支持VCT（Virtual Cable Test）电缆检测功能支持Loopback-detection 端口环回检测保修支持及服务集成商三年保修和服务, 提供原厂能正常运行需使用的特别支架、接头、插座、电缆等附件并满足机房实际布局连接要求.4、48口二层交换机 数量3台指标项规格要求端口数量48个10/100/1000 Base-T以太网端口，4个1000Base-X SFP千兆以太网端口交换容量当前配置背板容量104Gbps包转发率当前配置包转发能力78Mpps端口聚合支持LACP链路聚合端口支持IEEE 802.3x流控（全双工）支持基于端口速率百分比的风暴抑制支持基于端口速率百分比、pps和bps的风暴抑制VLAN支持基于端口的VLAN（4K个）DHCP支持DHCP Client支持DHCP Snooping支持DHCP Snooping Option82组播支持IGMP Snoopingv1/v2/v3 支持组播VLAN生成树支持STP/RSTP/MSTP协议DHCP支持DHCP Client支持DHCP Snooping支持DHCP Snooping Option82组播支持IGMP Snoopingv1/v2/v3 支持组播VLAN生成树支持STP/RSTP/MSTP协议ACL支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN等ACL支持基于时间段的ACL支持基于全局、VLAN、端口（组）下发ACLQoS支持IEEE 802.1p/DSCP优先级支持优先级映射支持端口信任模式每端口支持4个队列支持端口队列调度(SP/WRR/SP+WRR) 镜像支持端口镜像安全特性支持用户分级管理和口令保护支持Radius认证支持SSH 2.0支持802.1X，集中式MAC地址认证支持Guest VLAN支持端口隔离支持端口安全支持MAC地址学习数目限制支持IP源地址保护支持ARP 入侵检测功能支持IP+MAC+端口的绑定管理与维护支持XModem/FTP/TFTP加载升级支持命令行接口（CLI），Telnet，Console口进行配置支持SNMP，WEB网管支持RMON（Remote Monitoring）支持iMC智能管理中心支持系统日志，分级告警，调试信息输出支持HGMPv2支持Modem远端拨号支持NTP支持Ping，Tracert支持Telnet远程维护支持VCT（Virtual Cable Test）电缆检测功能支持Loopback-detection 端口环回检测保修支持及服务集成商三年保修和服务, 提供原厂能正常运行需使用的特别支架、接头、插座、电缆等附件并满足机房实际布局连接要求.5、数字认证系统 数量 1套指标指标项规格要求基本要求支持协议与基本性能网关支持标准的SSL协议，无需客户端安装专门的SSL代理产品。并发用户数200，最大吞吐量50Mbit/s支持B/S结构和C/S结构。功能要求支持多种应用标准与算法支持符合X509标准的各种数字证书的访问。支持国内多种数字证书的访问，如：ZJCA、CFCZ、SHECA颁发的证书。支持业界标准的高强度加密算法（如：RSA、RC4、SHA-1等）支持多种开发接口多种开发接口支持，如：C/C+、ASP.NET、JAVA、VB、DELPHI、POWERBUILDER等。支持多种验证方式支持双向身份认证。支持黑名单验证。支持浙江CA的白名单验证。支持服务器站点重定向。支持用户证书信息捆绑，向应用服务器转发用户证书信息。支持多个HTTPS服务。支持从HTTP到HTTPS相互转换时的Session保持功能。支持用户证书信息捆绑：能够根据应用需求将用户证书信息传递至应用，并可获取白名单中的用户非证书信息传递至应用。产品服务及测试要求（加盖原厂或测试单位公章）1、3年原厂商质保服务，投标时出具原厂商3年售后服务承诺函6、安全审计系统 数量1台指标指标项规格要求基本要求专用的硬件和软件保障采用专用硬件架构与专用安全操作系统；专用的安全操作系统具有自主知识产权；硬件设备可以机架安装。端口数量和扩展能力2U机架式结构；包括2个可插拨的扩展槽, 可在用户现场升级端口无需返厂，配置2个10/100/1000BASETX数据采集口，2个管理口，最少400G存储空间，支持双电源。功能要求支持多种应用协议的监控、还原和审计Web浏览（HTTP）：能完全截获、记录、回放、归档被监测网络中所有用户浏览的WEB内容。电子邮件（POP3、SMTP、WEB MAIL）：能完全截获、记录、回放、归档被监测网络中所有用户收发的电子邮件。文件下载(FTP)：能记录、查询访问FTP服务器的用户名、口令，回放用户在服务器上的操作过程、还原用户传输的数据。即时聊天（MSN、QQ等）：能完全记录用户登录时间、离开时间，用户登录IP地址、目的IP地址、还原用户聊天内容。流媒体（MMS、RTSP）：能记录用户访问的流媒体地址，访问开始时间、结束时间，访问流媒体名称及简介。远程登录（TELNET）：能记录和查询访问服务器上TELNET的用户名和口令字；能记录和回放用户在服务器上的操作过程。流量监控与统计功能对重要IP进行流量监测，并绘制出直观的流量曲线图，有效发现网上出现的异常流量。支持对历史流量统计分析。报表与统计功能支持多种条件的统计分析。完善的报表功能：提供多种专业化报表和分析图表。支持多种审计方式实时监控：对网络中各种应用进行实时监控分析。行为监控：可以完全记录、回放用户的网络行为。内容查看审计：支持网络数据内容的完全还原，后期可以进行内容审计、取证。关键词审计：根据设定的关键词，自动快速的进行全文检索。流量监控：通过流量监控，有效发现网上出现的异常流量。报表统计：通过统计分析，发现网络中潜在的危险。支持多种报警响应方式邮件报警阻断灵活全面的审计策略采集策略关键词策略流量监控策略报警响应策略统计分析策略资源监控和日志功能 支持系统资源的实时监控。提供完整的操作日志、系统日志记录,可以进行方便的查看、导入导出。支持多种编码、压缩格式支持多种编码方式：Base64、Quoted-Printable、UTF-7、UTF-8。支持多种压缩格式：Zip、Rar、Arj、Gz等，可支持多达十四层的压缩。高速、完整、海量信息处理能力零拷贝高速抓包。分布式数据采集、数据处理。强大的包重组和流重组能力，可以监控各种基于协议碎片的逃避检测行为。增强的自身安全性基于SSL协议的加密数据传输。各软硬件模块间的身份认证。审计引擎不对外开放端口。分权、分级、分角色的用户管理。系统日志审计功能。旁路方式接入网络使用交换机镜像口、共享式HUB接入网络，不影响网络部署方式、不影响网络性能。即插即用，安装非常简单。强大便捷的部署、管理方式分布式部署，集中式管理。提供功能强大的串口管理功能。友好易用的界面，易于上手使用。提供详细的帮助，极大地减轻了管理员的负担。产品资质要求（投标时提供复印件，加盖原厂公章）1. 中华人民共和国公安部颁发的计算机信息系统安全专用产品销售许可证2. 中国国家保密局测评中心颁发的涉密信息系统产品检测证书3. 国家版权局颁发的安全审计系统计算机软件著作权证书产品原厂服务要求（投标时提供，加盖原厂公章）1.原厂商具备信息安全服务二级资质，提供资质证书证明材料2.3年原厂商质保服务，投标时出具原厂商3年售后服务承诺函7、安全设备与策略管理系统 功能大类子功能描述设备管理多级安全域管理可以将设备按照管理范围划分为多个域；域之间可以有上下级关系设备远程管理在设备管理列表中选择设备，通过调用浏览器登录远程设备进行管理、在拓扑图上选择设备进行远程管理调用设备配置集中保存和更新能够查询、接收并保存设备配置信息，并为设备提供配置更新服务。可以为一个设备保存多个配置，可定期检查设备配置是否被私自修改；可显示配置变化状态。设备操作开启服务、设备重启、时钟设置、设置ROOT管理员口令等；设备批量升级可以按域或按设备制定升级计划，在有可用的升级包时在指定时间自动升级拓扑管理拓扑图维护显示和编辑拓扑图；放大缩小等功能。根据安全域、设备列表以及隧道列表，生成拓扑图；基于拓扑图状态管理基于拓扑图的设备与隧道监控图形化编辑手动图形化增加、移除设备、安全域、隧道； 策略全局对象管理包括地址、区域、服务、时间和内容过滤对象等；对象分发策略管理支持包过滤策略、访问控制策略、NAT策略、内容过滤策略；防火墙、VPN、IPS等设备参数的统一配置