天津档案馆网络安全项目需求书

1、天津档案案馆网络络安全项项目需求求书项目概述述网络现状状天津档案案馆目前前网络简简单来说说可分为为：网站站、外网网、OAA网、资源网网，其中中网站服服务器托托管在网网通机房房，其余余三网在在局馆内内部，均均为物理理隔离的的独立网网络。建设内容容本次项目目主要建建设网站站防护系系统、内内外网安安全管理理系统和和内外网网数据摆摆渡系统统。网站防护护系统：要求为专专业用于于网站防防护的硬硬件产品品，有强强大的防防注入、防篡改改、防攻攻击、防防挂马、防病毒毒等功能能，还要要有强大大的审计计功能，自身安安全性能能强，吞吞吐量大大，具有有布置简简便、操操作简单单的人性性化管理理界面。内外网安安全管理理系统

2、：三套，分分装在外外网、OOA网及及资源网网，共计计2000点，其其中OAA网点数数为1000，外外网为770，资资源网为为30，具体分分配数在在具体实实施时可可能进行行微调。主要功功能包括括：监控控、审计计、上网网行为管管理、非非法外联联、资产产管理、外设管管理、打打印管理理、U盘盘管理等等。内外网数数据摆渡渡系统：主要用于于内网与与外网的的信息安安全交换换，单机机系统，自带正正版杀毒毒软件。其他要求求：以上系统统在实现参参数表中中所罗列的功能能时，不不需要用用户额外外购买其其他产品品授权、系统以以及数据据库（WWinddowss 20003 及SQQL SSERVVER 20005除外外）

3、。内内外网安安全管理理系统与与内外网网数据摆摆渡系统统能够无无缝链接，既通过过安全管理理系统认认证后的的内、外外网专用用移动介介质，可可以同时时通过内内外网数数据摆渡渡系统，此此处如有有不明者者，可在在投标前前与招标标方联系系确认。技术要求求投标书内内容要求求本招标文文件提出出的“天津市市档案馆馆网络安安全项目目”的基本本要求，是投标标人编制制投标文文件和报报价的主主要依据据，投标标人应充充分分析析甲方的的系统及及应用的的现状并并充分考考虑系统统现在及及未来发发展的要要求，设设计出完完整的实实施方案案；招标文件件的技术术部分应应至少包包含以下下技术文文件：总体设设计方案案：根根据对招招标文件件

4、的理解解，有针针对性的的对进行行总体方方案设计计。根据据招标文文件提供供的软硬硬件设备备的技术术规格要要求，进进行软硬硬件设备备的选型型及配置置。工程组组织与进进度计划划方案：根据据招标文文件对工工期的要要求，合合理安排排实施人人员，编编制工程程进度计计划，对对工程建建设各阶阶段进行行合理划划分。项目培培训方案案：提提供有针针对性地地项目培培训方案案。技术支支持与售售后服务务方案：投标标人应充充分考虑虑本次项项目的需需求特点点，进行行针对性性编制。中标后投投标人所所作的详详细设计计应完全全满足本本次项目目的需求求，同时时不得与与投标方方案有实实质性变变化。总体要求求投标人需需根据“天津市市档案

5、馆馆网络安安全项目目”的招标标要求，采用成成熟的软软硬件产产品进行行投标；产品必须须满足本本次项目目的主要要要求，并保证证能对选选用产品品进行很很好的集集成，如如遇所选选产品不不能满足足本次项项目建设设要求或或工程中中存在缺缺漏项情情况，中中标人应应承担相相应损失失，投标标总报价价不做调调整。实施过程程要求本项目建建设周期期为155个工作作日，在在规定时时间内包包括硬件件、软件件、集成成、安装装、调试试等必须须完成。项目竣工工验收，系统达达到了全全部设计计要求，并且能能够稳定定运行后后，承建建单位在在提交全全部相关关文档、报告等等交付物物的前提提下，可可以向甲甲方提出出系统竣竣工验收收的申请请

6、。在投标书书中，投投标人应应提供详详细的服服务计划划和服务务承诺，保证在在项目建建设完成成之后提提供详细细准确的的项目完完工资料料、用户户手册、管理手手册等技技术资料料。在项目建建设过程程中，投投标人应应与甲方方和系统统运行维维护单位位进行密密切沟通通，充分分考虑甲甲方使用用和系统统长期运运行维护护的需要要；在试试运行阶阶段，投投标人应应提供全全面技术术支持服服务，确确保试运运行的顺顺利进行行；系统竣工工验收并并投入正正式运行行后，投投标人需需提供三三年免费费技术支支持服务务。产品具体体要求本次项目目求：内外网网网络安全全管理系系统和网网站防护护产品为为同一品品牌内外网网网络安全全管理系系统：

7、3套，共共计2000点。外网网站站防护系系统：1台内外网数数据摆渡渡系统：18套套台式机：18台台U盘：445个详细参数数与性能能要求：内外网网网络安全全管理产产品性能能参数：招标类别别招标参数数功能及技技术描述述内外网网网络安全全管理系系统功能能1、系统统功能网络接入入控制能够按照照指定的的策略控控制机器器对网络络的接入入，保证证只有认认证通过过的机器器才能够够接入网网络，防防止存在在安全隐隐患或未未经授权权的机器器接入内内网。支持IIEEEE8022.1xx端口认认证的工工业标准准。对于于不支持持IEEEE8002.11x的交换环环境，采采用软件件控制的的方式实实现对终终端设备备的接入入控

8、制。根据网网络环境境，用户户可以选选择在不不同网段段分别启启用8002.11X认证证、非8802.1X认认证、不不启用网网络接入入认证组组合。网关强制制网关强制制可以实实现在网网关出口口处限制制未安装装代理软软件的终终端与外外网连接接，强制制将未安安装代理理终端的的URLL请求重重定向到到一个代代理安装装包下载载网页，从而禁禁止非法法终端通通过网关关连接外外网、泄泄露内网网信息，同时可可以加快快代理端端的安装装部署。补丁管理理从补丁安安装状况况的角度度出发对对终端主主机进行行接入控控制，补补丁安装装不及时时、不符符合安全全要求的的终端主主机将被被自动划划入修复复区，直直到符合合补丁管管理要求求

9、。自动搜集集终端主主机的已已安装补补丁信息息，并且且通过与与微软WWSUSS联动，统计各各终端主主机的未未安装补补丁信息息，完成成安全补补丁的自自动分发发，保证证终端主主机及时时打上最最新的安安全补丁丁，防止止安全漏漏洞被利利用，投投标方在在项目实实施时应应布置WWSUSS系统，补丁自自动分发发系统能能够正常常运行。病毒库同同步从病毒库库更新状状况的角角度出发发对终端端主机进进行接入入控制，未安装装反病毒毒软件、病毒库库更新不不及时的的终端主主机将被被自动划划入修复复区，直直到符合合病毒库库管理要要求。通过与常常用反病毒软软件联动动，实现现及时可可靠的病病毒库分分发，强强制病毒毒库与病病毒引擎

10、擎的升级级，统一一终端最最新的反反病毒策策略，阻阻止各类类病毒和和蠕虫的的发作。支持防防病毒软软件包括括：赛门门铁克、趋势、瑞星、江民、金山、卡巴斯斯基、MMcAffee、冠群等等各大防防病毒软软件厂商商的网络络版以及及个人版版防毒产产品。安全保护护在上述补补丁管理理、病毒毒库同步步基本安安全保护护的基础础之上，从网络络层、系系统层、应用层层纵深保保护终端端主机的的安全状状况，全全面保护护终端主主机不被被非法入入侵。防ARPP欺骗采用主动动防御技技术，在在系统驱驱动层实实现防AARP欺欺骗功能能，阻断断各种类类型的AARP欺欺骗行为为，保证证终端机机器不受受ARPP欺骗的的干扰与与攻击。及时发

11、发现网络络中存在在的ARRP“肉鸡”攻击者者，可以以定位到到哪台终终端、什什么时间间、哪个个进程发发起ARRP欺骗骗攻击，实时定定位ARRP欺骗骗病毒源源，保证证网络通通讯的正正常稳定定、快速速协助管管理人员员定位网网络中存存在的问问题。主机入侵侵保护精选Wiindoows主主机类入入侵保护护规则，对进、出机器器的流量量进行分分析检测测，防御御各种针针对主机机的攻击击行为，具体类类型包括括：防止止扫描、溢出、远程控控制、拒拒绝服务务等各种种攻击类类型。除了入侵侵保护规规则，还还内嵌SSniffferr检测模模块与FFloood检测测模块，能检测测内网终终端主机机的Snnifffer行行为以及及

12、洪水攻攻击行为为。异常端口口监听通过设置置端口黑黑白名单单，对特特定的端端口进行行监控，禁止在在黑名单单端口上上进行服服务监听听。恶评软件件查杀可以手动动检测或或定时自自动检测测各个终终端是否否被安装装了恶评评软件，根据预预置的策策略将其其禁用并并生成告告警。系系统内置置有丰富富的恶评评软件特特征库，并能定定期更新新。能够够收集每每个终端端所安装装的IEE插件的的信息，汇总到到服务器器统一展展示。管管理员可可以设置置哪些IIE插件件允许使使用，哪哪些IEE插件禁禁止使用用。网页防挂挂马针对当前前流行的的利用IIE浏览览器解释释执行网网页脚本本时的漏漏洞来注注入木马马的攻击击方式，EPSS采用了

13、了独创的的基于行行为的检检测方法法，能够够有效地地检测并并阻断IIE浏览览器执行行恶意代代码，防防止用户户在使用用IE浏览览网页时时系统被被悄无声声息地注注入木马马。数据防泄泄密一方面从从外设使使用、非非法外联联的角度度出发，对可能能导致机机密数据据泄漏的的渠道进进行严密密控制，将数据据泄密的的可能降降低到最最小。同同时对终终端用户户的行为为进行全全方位的的审计，一旦发发生数据据泄密事事件后也也可以做做到有据据可查。外设访问问控制对移动存存储设备备的使用用进行严严密控制制，注册册管理保保证只有有登记造造册、管管理员允允许的移移动存储储设备才才能在内内网使用用；数据据读写控控制保证证终端用用户对

14、移移动存储储设备的的使用权权限完全全受管理理员控制制；加密密管理保保证关键键移动存存储设备备上的数数据是加加密存储储的，即即便被非非法拿到到外网使使用，也也无法获获取其上上存储的的涉密信信息；分分组管理理将移动动存储设设备、计计算机进进行分组组，方便便策略定定制；审审计功能能保证EEPS既既能审计计到终端端主机插插拔移动动存储设设备的行行为，也也能精确确审计到到终端用用户对移移动存储储设备的的文件读读写行为为。同时针对对常见的的外设端端口类型型（USSB、红红外、串串口、并并口）和和设备类类型（软软驱、光光驱、无无线、蓝蓝牙、键键盘和鼠鼠标、打打印机）进行监监控，对对违反策策略的行行为及时时告

15、警并并禁止使使用，防防止数据据泄密。非法外联联检测从主动和和被动两两个方面面全面检检测终端端主机的的违规外外联行为为。能够够按照管管理员指指定的时时间间隔隔周期性性地主动动探测终终端主机机是否已已能连通通外网网网址，能能够联通通则认为为已经违违规外联联，则立立即进行行断网处处理。另另一方面面，接多多个网卡卡、改变变网卡配配置、拨拨号等外外联手段段都能够够触发相相应的检检测程序序，进而而被动检检测到终终端用户户的违规规外联行行为，并并实时阻阻断。综综上所述述，通过过主动探探测、多多网卡检检测、网网卡配置置检测、拨号检检测多种种手段监监控终端端用户，杜绝违违规外联联行为。全方位审审计具备丰富富的审

16、计计功能，包括非非法接入入审计、各种安安全事件件的审计计、文件件操作审审计、帐帐号审计计、系统统日志审审计、上上网审计计、进程程启停审审计、非非法外联联审计等等。文件件审计可可以设置置指定的的文件名名、文件件后缀、文件夹夹，以及及指定的的操作；帐号审审计对系系统帐号号添加、删除、修改情情况进行行审计；系统日日志审计计主要是是对系统统日志进进行审计计。系统统将全面面监控终终端审计计信息，发现违违规操作作及时报报警，为为数据防防泄密设设好最后后一道防防线。桌面管理理资产管理理自动收集集计算机机的软硬硬件资产产信息，硬件资资产信息息包括：CPUU、内存存、主板板、网卡卡等；软软件资产产信息包包括：操

17、操作系统统、杀毒毒软件、应用软软件信息息、计算算机系统统摘要、终端代代理相关关信息、当前策策略信息息、补丁丁信息等等。自动动发现以以上各类类软硬件件资产的的变化情情况，灵灵活生成成各种告告警与图图形报表表，及时时掌握每每个终端端用户资资产最新新状态，避免资资产流失失，方便便企业资资产的统统一管理理。软件分发发用户可以以将应用用软件的的安装包包（EXXE/MMSI格格式）、各类文文件分发发到指定定的机器器上并执执行。交换机管管理自动收集集交换机机端口信信息，提提供方便便的IPP/MAAC/机机器名/交换机机端口的的互查功功能，能能够打开开或关闭闭指定的的交换机机端口。系统性能能监测实时监测测终端

18、CCPU、内存、硬盘的的使用情情况，发发现系统统超出设设置的阈阈值，及及时告警警通知。远程支持持管理员可可以通过过远程桌桌面连接接到安装装代理的的终端进进行管理理和维护护操作，支持客客户端授授权模式式，确保保系统安安全性。本系统统提供了了两种模模式的远远程链接接，一种种是不支支持鼠标标和键盘盘输入的的监视模模式，另另一种是是支持鼠鼠标和键键盘输入入的完全全控制模模式，很很好地满满足了管管理员进进行远程程连接的的不同需需求。支支持信息息服务功功能，管管理员可可以及时时快捷向向终端发发送各种种通知信信息。应用软件件监控可以监控控指定软件件的安装装使用行行为，通通过软件件名称关关键字，对非法法安装使

19、使用的软软件实时时监控告告警。可可以设置置应用软软件黑白白名单，被列在在黑名单单中的软软件或进进程禁止止运行，从而禁禁止终端端用户运运行P22P、网网络游戏戏、即时时通讯等等与工作作无关、严重影影响网络络环境的的软件，保证企企业利益益最大化化。上网监控控自动记录录员工的的上网历历史，包包括HTTTP上上网URRL信息息以及其其它非HHTTPP上网信信息，比比如Teelneet、FFtp等等行为。另外可可以检测测出通过过代理上上网的行行为，并并能按照照预设的的关键字字对网页页内容进进行告警警。网络配置置强制防止随意意修改机机器的IIP、机机器名、MACC、网关关、DNNS服务务器IPP等信息息，

20、根据据安全策策略设置置自动恢恢复默认认的配置置信息。针对重重点服务务器IPP采用特特殊保护护，保证证重点服服务器IIP优先先权，避避免地址址冲突，提高内内网管理理效率。强制域登登录强制终端端加入或或登录到到指定的的域，可可以设置置多个登登录域；针对登登录到其其它域、或者不不以域身身份登录录的行为为，将采采取告警警、强制制注销WWinddowss等措施施。综合管理理策略管理理提供分时时、分组组、分场场所策略略管理，支持不不同机器器组在不不同时间间、不同同网络环环境执行行不同的的安全策策略，可可根据时时间、场场所（内内网或外外网）自自动切换换安全策策略。策策略类型型可以灵灵活组合合，包括括：网络络

21、接入控控制策略略、补丁丁管理策策略、病病毒同步步策略、主机入入侵保护护策略、主机防防火墙策策略、异异常端口口监听策略略、防AARP欺欺骗策略略、应用用软件监监控策略略、外设设访问控控制策略略、非法法外联监监控策略略、网络络配置强强制策略略、强制制域登录录策略、上网监监控策略略、终端端审计策策略、系系统性能能监测策策略、远远程支持持策略等等。分级分权权管理系统支持持跨地域域分级部部署，没没有级数数限制。灵活设设置上下下级管理理服务器器，能够够通过上上级服务务器管理理下级服服务器。安全策略略中心支支持分权权管理功功能，为为不同的的部门分分配不同同的管理理员角色色，部门门管理员员只能管管理、查查看、

22、编编辑管辖辖区内的的终端信信息。系统自保保护通过多种种技术手手段（加加载项保保护、系系统隐藏藏、防篡篡改保护护、防进进程删除除）防止止安全代代理受到到非法破破坏，保保护系统统正常、稳定地地运行。支持授授权安装装功能，注册到到服务器器的代理理只有经经过管理理员的批批准才能能成为合合法代理理，否则则即使安安装了代代理也和和未安装装代理的的机器一一样只能能访问受受限的网网络。支支持在线线卸载，可批量量卸载安安全代理理；支持持授权卸卸载，终终端用户户在卸载载安全代代理的时时候必须须输入授授权码才才能执行行卸载。查询与报报表能够方便便地查看各各种安全全告警事事件、违违规事件件和网络络访问事事件。通过报报

23、表可以以了解最最新的补补丁、反反病毒软软件安装装情况，可以根根据资产产构成、变更、网络告告警等条条件生成成丰富详详细的图图形报表表并支持持多种文文件格式式的下载载。集中升级级通过自动动升级或或手动升升级，定定期升级级最新版版本或相相关补丁丁。支持持终端安安全代理理统一升升级，升升级终端端安全代代理时可可以一次次性升级级所有终终端，也也可以先先只升级级测试区区域内的的终端，待其测测试通过过后再升升级所有有终端。用户管理理采用B/S浏览览器管理理方式，管理人人员可以以随时随随地登录录到服务务器进行行管理，用户可可以指定定管理机机器的IIP地址址，保证证只有授授权IPP才能访访问。管理审计计系统对管

24、管理人员员的登录录行为、操作行行为、以以及任务务的下发发情况等等进行全全面的审审计，并并且只有有审计员员具有审审计日志志的维护护权限，保证了了管理员员和审计计员的权权限制衡衡，避免免了所有有管理权权限集中中于一人人导致非非法管理理的可能能性。系统支持持全面支持持Winn 20000，winn20000 sseveer,wwin XP,winn 20003,winn7等操操作系统统，安全全系统能能够做到到升级更更新。产品资质质要求具有中华华人民共共和国公公安部的的计算算机信息息系统安安全专用用产品销销售许可可证。国家保密密局涉密密信息系系统安全全保密测测评中心心的涉涉密信息息系统产产品检测测证书

25、外网网站站防护产产品性能能参数：招标类别别招标参数数功能及技技术描述述系统功能能要求HTTPP协议理理解HTTPP 事务务解析能够完全全解析HHTTPP事务、了了解HTTTP事事务的交交互流程程、并对对关键的的事务信信息进行行解码处处理，而而无需中中断HTTTP连连接。产品必须须检查 HTTTP 头头字段、URLL 参数数、表单单字段、方法、Coookiee和其他他 HTTTP 元素支持HTTTP协协议解码码并对相相关字段段进行检检查，包包括方法法、URRI、版版本、HHTTPP头部各各字段、Coookiee、表单单字段、常用的的HTTTP编码码类型等等。会话信息息跟踪作为服务务器与客客户端（

26、浏览器器）的中中间设备备，基于于对HTTTP协协议的解解码，能能够跟踪踪会话信信息，识识别用户户、Coookiie或参参数及其其他会话话信息，为用户户提供基基于会话话的、可可靠的保保护。防护机制制正向和反反向安全全模式防护策略略模型由由基于静静态规则则的反向向（黑名名单）安安全模式式及基于于智能用用户行为为识别的的动态防防护机制制（正向向安全模模式，即即白名单单）构建建。防护规则则除了提供供系统内内置规则则，还支支持自定定义规则则，且提提供了灵灵活的匹匹配算法法，包括括“字符串串比对”、“BM算算法”及“PCRRE（PPerll-coompaatibble reggulaar eexprres

27、ssionns）”，便于于管理员员根据实实际应用用灵活地地调整具具体特征征规则。关联策略略验证功功能对于特征征不明显显的复杂杂攻击，提供多多重检查查机制和和智能关关联分析析，确保保对高安安全风险险级别攻攻击的高高识别率率，同时时也有效效避免告告警误报报率高为为用户管管理带来来的告警警风暴。安全特性性HTTPP RFFC符合合性支持对HHTTPP协议合合法性进进行验证证，提供供HTTTP协议议防护功功能。HTTPPS支持持产品能够够对SSSL（HHTTPPS）加加密会话话进行分分析。WEB应应用漏洞洞扫描产品提供供SQLL注入、跨站脚脚本（XXSS）漏洞的的扫描与与分析。网页挂马马检测产品提供供

28、网页挂挂马主动动检测功功能。WEB基基础架构构防护产品可防防御蠕虫虫、缓冲冲区溢出出、CGGI信息息扫描、目录遍遍历等攻攻击。WEB应应用安全全防护产品可防防御SQQL注入入、XSSS及跨跨站请求求伪造（CSRRF）。产品可防防御常规规盗链和和分布式式盗链。产品可防防御恶意意扫描。产品提供供Coookiee安全机机制，防防止Coookiie中敏敏感信息息泄露，以及CCookkie篡篡改。产品可提提供服务务器信息息伪装/过滤，避免出出错信息息暴露网网站敏感感信息，为攻击击者利用用、提升升攻击成成功概率率。产品提供供URLL ACCL功能能。网页篡改改防护提供页面面预取功功能，自自动监测测页面被被

29、篡改情情况。提供视觉觉恢复功功能，即即发生网网页篡改改后，对对外仍显显示被篡篡改前的的正常页页面。提供时间间管理功功能，可可以在不不同的时时间段设设定不同同的网页页篡改防防护策略略。内容安全全提供恶意意代码过过滤功能能。支持敏感感关键字字自定义义功能。抗拒绝服服务攻击击产品可防防御欺骗骗与非欺欺骗的TTCP (如SSYN, ACCK) DDooS攻击击及变种种。产品可防防御特定定应用层层攻击，针对HHTTPP Flloodd攻击具具备专门门的防护护手段，能够对对HTTTP进行行解码，对不同同类型的的URII请求合合法性进进行验证证，实行行不同的的防护策策略。系统应使使用智能能攻击流流量识别别的

30、技术术进行防防护，而而不基于于特定规规则的方方式，即即当发生生未知攻攻击，无无需专门门的撰写写规则即即可对这这些攻击击进行防防护。网络层安安全产品提供供ARPP欺骗防防护功能能产品提供供基于五五元组（源IPP地址、目的IIP地址址、源端端口、目目的源口口、协议议类型）及接口口的ACCL访问问控制功功能性能指标标产品性能能吞吐量800MMbpss时延30uus每秒最大大事务数数10，0000ttps抗DDooS能力力小包攻击击时，660万ppps转转发性能能。日志与报报表系统统报表系统统报表类型型提供安全全报表（告警分分类统计计报表、告警时时段统计计报表、告警区区域报表表）、访访问统计计报表（访

31、问时时段、访访问区域域及业务务类型）及流量量趋势报报表。报表查询询可按事件件类型、统计目目标或周周期类型型等条件件进行统统计。输出格式式支持将生生成的报报表以EExceel及打打印等通通用格式式输出。日志系统统日志类型型提供系统统运行日日志及安安全防护护日志（网络层层访问控控制、UURL ACLL防护、DDooS防护护、WEEB安全全、ARRP防护护及WEEB访问问）。日志查询询可基于时时间、IIP、端端口、协协议、动动作、事事件类型型、URRL、方方法、状状态等条条件进行行日志查查询。日志服务务支持Syysloog日志志服务器器。设备自身身安全性性、可靠靠性设备自身身安全性性设备网络络管理采用HTTTPSS。系统安全全系统自身身安全可可靠，不不依赖于于WEBB系统自自身安全全级别。BYPAASS方方案网络接口口内置ffaill-oppen特特性，产产品出现现故障时时，能自自动转变变成通路路，不影影响流量量正常传传输。支持软件件BYPPASSS功能，系统软软件故障障时，系系统自动动实现旁旁路保护护，避免免网络中中断等事事故的发发生。 产品资质质1、中华华人民共共和国公公安部的的计算算机信息息系统安安全专用用产品销销售许可可证2、国家家保密局局涉密信信息系统统安