集团公司网络安全解决方案优质资料

集团公司网络安全解决方案优质资料(可以直接使用，可编辑优质资料，欢迎下载）

集团公司网络安全解决方案优质资料(可以直接使用，可编辑优质资料，欢迎下载）集团集团公司网络安全设计方案一.方案概述集团公司网络规模日益扩大,下属几十家分公司都将与集团实现联网,使用一套集团财务系统。根据IT规划要求，为有效保障公司网络畅通、数据安全，集团公司需要构建一个严密的整体的网络安全系统。该系统包括四个主要方面：（一）设计网络系统优化方案及建立网络系统持续完善机制（二）建立智能化数据容灾系统（三）建立高效全面的病毒预防系统（四）建立科学合理的管理制度体系二.方案实现目标通过该系统的建设实现以下功能目标实现集团对网络病毒的统一防护,让网络管理人员可以清晰的管理到内部病毒防护系统的部署情况,有病毒爆发时可以及时确定病毒发作范围,并可以直接进行隐患清除工作，集团可以统一部署和执行安全防护策略.对集团机房较为重要的服务器和应用系统进行容灾备份,当服务器故障时,可以有效的快速启动替代系统,并在故障清除后快速恢复系统和数据.对于集团数据库系统,因关联使用的用户多且分布各不同下属单位,应使用有效措施来防范数据库的使用安全,防范数据被恶意使用或篡改,.因集团机房部署不同部门和下属公司的服务器,各部门都需要运维自己的服务器,有必要对服务器的使用进行安全审计和使用记录,防范来自使用服务器带来的风险.三.安全产品推荐选型项目品牌型号实现目标企业版防病毒趋势OfficeScan全网病毒统一防护和统一安全管理服务器容灾备份NOVELLPlateSpinForge对服务器进行实时灾备,服务器故障时实现紧急替代和快速恢复数据库审计安恒DAS-AC1000对数据库使用进行安全审计,防护对数据库的恶意侵入和篡改保垒机齐治SHTERM-L4对使用机房内服务器的人员的使用行为进行规范管理和审计记录,防范服务器内部使用风险.四.方案简述(1)网络拓扑图(2)信息安全设备物理分布图(3)产品说明：1、IT运维堡垒机接在核心交换机上，通过细粒度的安全管控策略，保证企业的服务器、网络设备、数据库、安全设备等安全可靠运行，降低人为安全风险，避免安全损失，保障企业效益；管理员可直观方便的监控各种访问行为，能够及时发现违规操作、权限滥用等。2、数据库审计设备接在核心交换机上，全面记录数据库访问行为，识别越权操作等违规行为，并完成追踪溯源；检测数据库配置弱点、发现SQL注入等漏洞、提供解决建议；为数据库安全管理与性能优化提供决策依据；提供符合法律法规的报告，满足等级保护、企业内控等审计要求。3、OfficeSan服务器接入核心交换机上，OfficeScan可以根据大同公司的自己的要求进行策略部署，并针对未来而设计的弹性架构，可让您透过插件来自定义您的威胁防护与数据保护。4、Forge设备部署在核心交换机，可同时对25台服务器做备份，一旦一台或多台生产服务器出现故障，该应用即刻在Forge上运行接管业务。五.方案子系统介绍趋势科技网络版防病毒软件–OfficeScan趋势科技的OfficeScan网络版防病毒产品将管理,配置与部署的功能集中到服务器端（Officescan服务器端）。透过Officescan服务器端的Web接口的管理主控台，管理人员可以从网络上的任何地点，来管理和设置全公司的防毒策略（每一台计算机都安装了Officescan客户端防病毒软件），并且也能迅速响应各种紧急事件。综合性的防护能力：免受病毒，特洛伊，蠕虫和现在的间谍软件的攻击，同时具备防火墙和入侵检测的能力；支持防护策略的自动/手动配置：有效控制病毒扩散（通过主控服务器，在设定的时间段内，关闭所有客户机的共享文件，特定端口，保护文件或文件夹不被病毒修改）；防火墙策略应用程序的备用服务器：客户计算机可能无法连接到防毒墙网络版服务器，但仍可连接到您指定的备用防毒墙网络版服务器上，以提供防火墙策略更新。集成专杀工具：病毒专杀工具和客户端防病毒软件无缝集成，专杀工具的扫描引擎和病毒码可以自动更新，完全摆脱传统防病毒软件需要独立使用专杀工具，并且每一个病毒都有特定的专杀工具，造成数量巨大；防御间谍软件和其他类型的灰色软件：防毒墙网络版可以帮助保护您的计算机远离被趋势科技视为灰色软件的各种威胁和损害，包括众所周知的类型－间谍软件；临界间谍软件/灰色软件例外列表：防毒墙网络版可能将特定类型的文件识别为灰色软件，尽管您计算机上合法的应用程序可能需要使用这些文件。为防止防毒墙网络版将这些文件识别为灰色软件，可以配置应用于所有扫描类型的临界间谍软件/灰色软件例外列表。实时更新病毒日志：方便而简单的配置管理与实时报告；自动更新：先进的自动更新技术,无须管理员与用户的手动操作,不需要重新启动；支持客户端自行上互联网更新防毒组件；灵活的更新代理设置：通过设定网络中任意计算机做为病毒码更新源，将其它计算机指定到该计算机更新，以节省网络带宽。对低带宽网络环境特别有效；检测为安装防病毒软件的计算机：支持网段扫描侦测尚未安装OfficeScan的用户机；强大的数据库管理：支持将纪录数据导入SQL服务器方便数据分析与管理；灵活的客户端迁移：支持在客户端可以在不同的OfficeScan服务器中转移,不需重新安装；定位病毒源头病毒：客户机的排行榜功能，帮助网管了解毒源、善后处理、报告领导；支持多种WebServer:IIS和Apache;部署建议：Officescan可以针对Windows全系列防范病毒。趋势科技网络版防病毒软件的组织架构为：通过一台Officescan服务器去远程的控制和管理局域网内部，甚至广域网中Officescan客户端。Officescan客户端可以通过多种方式安装到计算机上：通过网页远程自动下载安装；通过制作Officescan客户端安装包安装；通过共享文件夹方式安装通过集成Windows域自动安装客户端通过微软SMS安装；如此部署OfficeScan就可以为网络内部计算机提供综合性的安全防护，免受病毒，特洛伊，蠕虫和现在的间谍软件的攻击，以及具备防火墙和入侵检测的能力。从根本上对应用层的病毒文件以及网络层的病毒数据包进行防护，同时防护各种对于计算机的攻击。NovellPlateSpinForge服务器灾备保护产品方案Novell®PlateSpin®Forge是一个整合式的系统恢复硬件设备，通过采用内置虚拟化技术来保护实际物理和虚拟服务器工作负载。在生产服务器停止运转或发生故障时，工作负载可在PlateSpin®Forge恢复环境中快速通电，并继续正常运行，直到生产环境恢复。采用单台PlateSpinForge设备可保护和恢复最多达25个物理和虚拟工作负载。使用PlateSpinForge，客户可以保护多个地理位置分散的多达25台服务器的工作负载，并在服务器出现故障时予以快速恢复。通过使用PlateSpinForge综合恢复平台，客户能够更好地保护更多的工作负载，但无需支付高昂的复制硬件或冗余操作系统授权许可费用。PlateSpinForge不需要通过成本高昂的一对一硬件和软件冗余保护数据中心资产，从而实现了革命性的业务持续性。生产服务器可备份到虚拟机，而成本只是传统灾难恢复解决方案的一部分，而且可以更快、更轻松地实现恢复。除了标准文件类复制外，高速块级复制允许企业客户保护高级业务工作负载(如电子邮件和数据库服务器)。有效增加传输可确保仅源数据文件变化被复制到PlateSpinForge远程恢复环境中，从而减少了广域网的使用并使各大组织能够在最少数据丢失情况下有效满足数据恢复点目标(RPO)。快速容易的故障恢复计划和过程的完整性使用PlateSpinForge可实现对服务器工作负载以多达28个历史恢复点的方式进行保护备份，只需单击测试恢复按钮，即可快速容易地测试备份和恢复计划的完整性。在进行故障恢复测试时，可选择保护备份的任一快照并且在一个隔离的专用内部网中启动运行。这允许用户快速确认恢复计划和相关业务服务，而又不至于中断生产服务器工作负载。一旦确认故障恢复计划，PlateSpinForge将屏弃测试过程中在恢复工作负载快照上发生的任何变化，并恢复工作负载复制。基于WEB浏览器方式的多种监控、报告和操作报警进行控制。PlateSpinForg提供基于Web方式的单一管理界面，便于IT运营专家随时查看其保护计划状况并管理、监控和报告所有工作负载保护事宜。在生产服务器停机或发生故障时，PlateSpinForge将以电子邮件方式自动警示管理员。通过个人计算机、Blackberry®或其它移动装置点击电子邮件内的链接可执行上下文相操作。多种报告功能可使管理员和业主清楚地掌握保护资源的使用方式。用户可报告实际对抗目标恢复时间和恢复点目标、复制窗口和数据传输速率。保护日志显示成功的复制和恢复测试，从而提供了满足定制服务级协议或合规性所需的审计能力。PlateSpinForge提供一个始终存在仪表盘，可让IT操作专家随时观察其保护计划状况，并管理、监控和报告所有的工作负载保护和恢复事宜一键故障恢复和灵活的灾难恢复方案单击运行恢复工作负载，可根据需要将其恢复到相同或不同的硬件。在生产服务器停机或发生故障时，通过单击故障恢复可快速恢复受保护的工作负载——仅重新连接会话，并且PlateSpinForge将验收工作负载。当生产环境恢复时，该工作负载可继续在PlateSpinForge恢复设备上正常运行。一旦生产环境联机，PlateSpinForge还可提供灵活的工作负载恢复方案。如果原始生产服务器修好并且硬件无损坏，用户可通过一个虚拟到物理(V2P)工作负载转移操作将工作负载从虚拟恢复环境移回到原始硬件服务器。如果原始硬件不能修好，用户可通过一个V2P转移操作将工作负载转移到新的硬件服务器上。还可轻易将工作负载移到生产虚拟环境中。灵活的硬件独立式恢复意味着新硬件可以为不同品牌、型号或配置。齐治运维操作管理系统通过Shterm的部署，可以有效的解决运维部门当前运维过程中存在的各种问题：以堡垒方式，形成统一的运维入口，实现运维操作的唯一路径；引入主从帐号管理概念，使用户认证与系统授权分开，从而有效解决系统帐号共享使用，带来的身份不唯一的问题；基于用户、设备、系统帐号、协议类型、登录规则的严格访问控制设置，有效规避了非授权访问带来的问题；密码托管和自动改密，使得密码管理规范能有效落地，避免了因人员的流动还会导致设备密码存在外泄的风险；能完整记录运维人员的操作过程，当系统因人为操作导致故障的时候，能够快速定位故障原因和责任人；可以满足等保、SOX、ISO270001、BS7799等安全规范对运维操作管理的要求。(1)总设计思路因为操作的风险来源于各个方面，所以必须要从能够影响到操作的各个层面去降低风险。齐治运维操作管理系统（Shterm）采用操作代理（网关）方式实现集中管理，对身份、访问、审计、自动化操作等统一进行有效管理，真正帮助用户最小化运维操作风险。集中管理是前提：只有集中以后才能够实现统一管理，只有集中管理才能把复杂问题简单化，分散是无法谈得上管理的，集中是运维管理发展的必然趋势，也是唯一的选择。身份管理是基础：身份管理解决的是维护操作者的身份问题。身份是用来识别和确认操作者的，因为所有的操作都是用户发起的，如果我们连操作的用户身份都无法确认，那么不管我们怎么控制，怎么审计都无法准确的定位操作责任人。所以身份管理是基础。访问控制是手段：操作者身份确定后，下一个问题就是他能访问什么资源、你能在目标资源上做什么操作。如果操作者可以随心所欲访问任何资源、在资源上做任何操作，就等于没了控制，所以需要通过访问控制这种手段去限制合法操作者合法访问资源，有效降低未授权访问所带来的风险。操作审计是保证：操作审计要保证在出了事故以后快速定位操作者和事故原因，还原事故现场和举证。另外一个方面操作审计做为一种验证机制，验证和保证集中管理，身份管理，访问控制，权限控制策略的有效性。自动运维是目标：操作自动化是运维操作管理的终极目标，通过让该功能，可让堡垒机自动帮助运维人员执行各种常规操作，从而达到降低运维复杂度、提高运维效率的目的。(2)操作网关方式部署集中管理是实现运维操作安全管理的首要前提。针对当前核心设备分散管理的现状，集中管理倡导的是一种统一管理的理念。集中管理是未来运维操作安全管理的必然趋势。实现集中管理，关键点在于对用户原有的运维环境不造成任何影响。综合各种部署方案，我们采用了“操作堡垒机”的部署方式。(3)用好共享账号在当前的运维环境中，普遍存在操作者身份无法识别的安全隐患。这主要是由操作者共享使用核心设备上的系统账号造成的。设备数量达到一定规模，必然会使用到共享账号。共享账号就是多人共同使用同一个存在于设备上的系统账号，使用共享账号会让整体账号的数量最少。但是仅仅依赖系统上的单一系统账号，无法既能区分用户身份，又能完成工作角色的定位。如何准确的区分用户身份和工作角色，进而实现操作者和具体的操作过程一一对应？Shterm将账号的用户身份确认和系统工作角色功能分离，在Shterm上增加了用户账号，完成用户的身份确认。原来系统上的账号依然存在，但是作用只是完成工作角色授权的工作账号。用户登录Shterm是采用唯一的用户账号，然后根据工作角色的需要，转换成系统账号登录到被管理设备上。这样既能够保证整体账号数量最少，管理方便；同时又能够实现对用户、工作角色的双重定位。当用户加入、离职或岗位变动，当代维人员和原厂商进行维护的时候，只需要在Shterm上变更该用户账号即可，对系统上的系统账号没有任何影响。代维人员维护系统并不需要知道用户系统的最高权限的系统帐号密码，这样大大降低了管理风险。原厂商进行临时维护的时候只需要临时分配一个用户账号，当使用结束后该账号会自动回收，减少了账号管理的成本。(4)访问控制规则目前，用户只要知道用户名和密码就可以任意访问任意设备,这种现状必然会带来“未授权访问的安全风险”。部署了Shterm后，情况就发生了变化。Shterm逻辑上成为了用户登录的唯一入口，因为入口唯一，访问控制很容易配置了。相同工作任务的集合可以放置在一个访问规则组里，当用户岗位、职责改变时，对用户相关联的组、系统权限、可访问设备通过Web的勾选，很容易调整。根据工作内容的需要，可以配置不同的许可或禁止的登录策略。既可以设定固定日期的登录策略，也可以设定固定时间间隔的策略，还可以设定一天中指定时间段的策略，并且能够针对具体的地址段进行控制。Shterm的访问控制列表可以让用户一目了然的知道某台设备上允许哪些用户登录。某台设备上的系统账号有多少个用户可以使用。另一方面，从安全运维的角度分析，权限控制策略是从操作的层面上，降低高危操作所带来的安全风险：对于使用Telnet/SSH等协议进行远程管理的设备（各种网络设备和Unix服务器），操作权限的多少取决于用户可以执行的命令。所以，针对操作指令的控制才是核心。对于服务器设备操作，Shterm可以对服务器的超级用户root操作权限进行控制，即使是root用户，权限也是受限制的，可以限制root用户只能执行某些操作（白名单）和无法执行某些操作（黑名单）。当多人同时使用一个root账号时，Shterm可以对同一个系统账号进行操作权限再分配，保证使用同一个root账号的不同用户拥有不同的操作指令权限，彻底解决了共享root账号权限一致的情况，真正实现细粒度的操作权限控制。对于网络设备操作，Shterm可以保证即使多个用户在进入enable状态的时候，提供高于网络设备系统更好级别的控制力度，保证每一个用户的操作指令都能严格受到控制。对于操作权限的控制意味着我们从被动接受用户输入到了主动控制。对于用户的操作可以有3种执行状态：允许执行，拒绝执行，禁止执行。对于高危命令（删除，重起，关机等）可以实时告警，一旦高危操作触发，会立即给相关人员发送告警邮件，保证用户在第一时间内知道高危操作是否对系统造成了影响。(5)完整操作审计运维操作审计是整个Shterm解决方案的重要组成部分。管理员确定了以操作网关方式来部署，解决了之前共享账号的问题，配置了访问规则，明确了操作权限，那么最后也是最重要的就是操作和操作审计。Shterm支持的运维操作方式和相应的操作审计基本涵盖了目前企业日常运维所涉及到的绝大部分操作模式，包括字符会话、图形会话、WebClient会话、文件传输、Oracle数据库操作审计等等。对不同会话采用不同的审计方式针对字符会话，Shterm的审计功能会完全记录所有会话内的输入输出，并可以使用模式方式对这些输入输出进行查询以定位操作时间节点和操作内容。对于图形会话要采用全程的录像和键盘鼠标操作的记录，并在图形会话回放的过程中同步的显示出来。对于WebClient方式的操作会话，也是目前非常主流的一种操作模式，Shterm可以利用对于图形会话的审计方式来审计WebClient方式的会话，即，既包括了图形录像也包括了键盘鼠标记录，并且可以如图形会话一样，键盘输入信息可以进行完全的检索以便快速定位一个较长的审计录像。针对文件传输，FTP、SFTP之类的上传下载，Shterm支持全部的信息记录，包含时间，人员，IP等等信息。对于Oracle数据库的操作审计，采用跳板机和应用发布的方式，能够把图形方式操作中的数据库语句全部完成的审计到Shterm平台内。此外，Shterm对审计人员本身也有严格要求，一方面，对审计人员的审计操作，Shterm有严格的记录，审计管理员何时查阅了某个会话操作都要有明确记录。另一方面，Shterm支持非全局性的操作审计，即，审计人员也没有权利审计所有的会话信息，因为会话中可能包含了非常敏感甚至机密的企业信息。(6)自动化日常运维中经常需要对一些操作进行重复性动作，例如每天去执行一些脚本、检测一些状态等，重复繁琐的工作容易令人出现操作的失误。如果能通过一些技术手段，替代用户的重复操作，使用户从重复繁琐的工作中释放出来，可以让用户有更多的时间去专注于更多技术领域。操作自动化是运维操作管理的终极目标，通过Shterm的自动脚本功能，可让堡垒机自动帮助运维人员执行各种常规操作，从而达到降低运维复杂度、提高运维效率的目的。安恒明御®数据库审计与风险控制系统介绍(1)产品介绍产品概述明御®数据库审计与风险控制系统（简称：DAS-DBAuditor）作为国内数据库审计产品领域第一品牌，是安恒信息结合多年数据库安全的理论和实践经验积累的基础上，结合各类法令法规（如SOX、PCI、企业内控管理、等级保护等）对数据库审计的要求，自主研发完成的业界首创细粒度审计、精准化行为回溯、全方位风险控制的数据库全业务审计产品。明御®数据库审计与风险控制系统可以帮助您解决以下问题:识别越权使用、权限滥用，管理数据库帐号权限跟踪敏感数据访问行为，及时发现敏感数据泄漏检测数据库配置弱点、发现SQL注入等漏洞、提供解决建议为数据库管理与优化提供决策依据满足法律、法规要求，提供符合性报告低成本且有效推行IT管理制度DAS-DBAuditor以独立硬件审计的工作模式，灵活的审计策略配置，解决企事业单位核心数据库面临的“越权使用、权限滥用、权限盗用”等安全威胁，满足各类法令法规对数据库审计的要求，广泛适用于“政府、金融、运营商、公安、能源、税务、工商、社保、交通、卫生、教育、电子商务及企业”等所有使用数据库的各个行业。DAS-DBAuditor支持Oracle、MS-SQLServer、DB2、Sybase、MySQL、Informix、CACHÉ、teradata、神通（原OSCAR）、达梦、人大金仓（kingbase）等业界主流数据库以及TELNET、FTP、HTTP、POP3、SMTP等，可以帮助用户提升数据库运行监控的透明度，降低人工审计成本，真正实现数据库全业务运行可视化、日常操作可监控、危险操作可控制、所有行为可审计、安全事件可追溯。技术优势技术优势功能价值超高的性能多核、多线程处理：采用多核处理技术，结合自主研发的多线程应用系统，单台最大可以达到50000条/秒的处理能力，支持多台数据库服务器，降低用户成本；分布式部署：支持分布式部署，并行处理，成倍提升业务处理能力，满足大型业务环境需求，兼顾未来扩容计划；丰富规则和报表通过对大量项目实施经验总结，已经形成了丰富的行业规则包和合规报表，包括合规性要求、帐号管理、权限管理、认证管理、敏感数据安全等多个维度的规则，系统默认配置60多种报表，解决普通审计产品规则设置困难、审计分析无从下手、报表过于简单且无实际分析价值等问题。精准的协议解析采用专利技术提升协议的准确率。支持oracle、DB2、sqlserver等10多种主流协议，满足复杂环境应用；领先的存储能力采用专用存储技术大大提升存储能力，最大可以存储7-10亿条审计日志，可以满足客户3-6个月的日志存储要求；高效的查询能力日志存储在自主研发的专用数据库中，并为日志记录标识唯一序号，采用先进的检索引擎，达到百万级每秒的查询能力，并大大提高查询准确度；自身安全性采用RAID、冗余电源等硬件架构，以及三权分立、数据自动备份、详尽的操作日志等技术确保审计记录不丢失，不被违规删除，满足法律法规要求；功能价值丰富的协议支持主流数据库Oracle、SQLserver、DB2、Mysql、Informix、CACHÉ、Sybase、PostgreSQL

国产数据库神通（原OSCAR）、达梦、人大金仓（kingbase）数据仓库Teradata其他协议FTP、HTTP、Telnet、SMTP、POP3、DCOM等细粒度的操作审计细粒度审计通过对不同数据库的SQL语义分析，提取出SQL中相关的要素（用户、SQL操作、表、字段、视图、索引、过程、函数、包…）双向审计不仅对数据库操作请求进行实时审计，而且还可对数据库执行状态、返回结果、返回内容进行完整的还原和审计，同时可以根据返回结果设置审计规则多行为审计实时监控来自各个层面的所有数据库活动，包括来自应用系统发起的数据库操作请求、来自数据库客户端工具的操作请求以及通过远程登录服务器后的操作请求等多层业务关联审计B/S三层架构支持HTTP请求审计，提取URL、POST/GET值、cookie、操作系统类型、浏览器类型、原始客户端IP、MAC地址、提交参数等；通过智能自动多层关联，关联出每条SQL语句所对应URL，以及其原始客户端IP地址等信息，实现追踪溯源；C/S三层架构在企业、医院等行业客户中，也部分采用C/S/S三层架构，同样面临追踪溯源的难题，DAS-DBAuditor支持基于DCOM的三层架构自动关联。运维审计关联通过运维审计产品进行统一认证、授权后，也将面临追踪溯源的难题，DAS-DBAuditor支持与运维审计产品关联，实现原始操作者信息的追踪全方位风险控制灵活的策略定制根据登录用户、源IP地址、数据库对象（分为数据库用户、表、字段）、操作时间、SQL操作命令、返回的记录数或受影响的行数、关联表数量、SQL执行结果、SQL执行时长、报文内容的灵活组合来定义客户所关心的重要事件和风险事件自动建模DAS-DBAuditor支持自动建模，可以非常方便了解整个数据库的允许状态，帮助管理员形成有效的审计规则，快速识别越权操作、帐号复用、违规操作等行为。多形式的实时告警当检测到可疑操作或违反审计规则的操作时，系统可以通过监控中心告警、短信告警、邮件告警、Syslog告警、SNMP告警、FTP告警等方式通知数据库管理员报表DAS-DBAuditor报表系统包括预定义报表和自定义报表两大模块，可以快速生成对安全事件的报表，并以PDF等格式导出。审计管理员报表支持从审计设备运行状况、安全事件、帐号的增删、密码是否修改等角度形成报表系统管理员报表支持从权限的变更、数据库权限分配状况、DDL/DML等特权操作、SQL语句的类型和使用比率等角度形成报表合规性报告能够形成符合SOX（塞班斯）法案、等级保护、分级保护等法规符合性的综合报告静态审计除了提供实时的动态审计功能，还提供了可选的扫描审计模块对数据库的不安全配置、弱口令等进行检测和审计，并提供安全加固建议。友好真实的操作过程回放对于客户关心的操作可以回放整个相关过程，让客户可以看到真实输入及屏幕显示内容，并可以通过精细内容的检索，对特定行为进行精确回放，如执行删除表、文件命令、数据搜索等。典型部署DAS-DBAuditor可以在不改变现有网络体系结构、不占用数据库服务器任何资源、不影响数据库性能的情况下，快速部署到业务系统网络中。简单部署模式分布式部署模式典型应用案例安恒信息助力“国信证券”通过“等级保护”三级测评背景介绍和需求国信证券在信息科技建设方面一直走在行业前列，2021年国信证券计划对集中交易系统的网上交易系统、营业部交易系统、CRM系统等几个核心系统数据库进行全面的升级改造，通过部署数据库安全审计系统来加强数据库的安全访问管理，全方位提升集中交易系统及CRM系统安全应用级别，以实现对数据库非法行为的事前预防、实时告警、事后追查等功能，并满足等级保护的测评要求。解决方案集中交易系统是国信证券最核心的资产，而且数据流量比较大，安全可靠性要求高，因此建议在集中交易系统的5个核心交易系统中分别部署一台明御数据库审计与风险控制系统采集器。在总控系统中部署1台明御数据库审计与风险控制系统采集器，并部署1台数据库审计管理中心。另外需要在CRM和网上交易等系统中部署1-2台明御数据库审计与风险控制系统采集器。所有采集器通过网络把数据上传到管理中心，客户通过管理中心统一进行查询管理等。客户价值全面满足国家等级保护三级测评要求，成功通过测评认证；能够从合法、合规的方面满足证监会对信息化的监管要求；从帐号管理、权限管理等多维度进行监控，助力IT管理制度实施；建立数据库权限模型，为数据库安全建设提供优化经验；定期评估数据库漏洞，防止数据库密码破解数据库操作全审计，不放弃任何可疑统方行为双向审计，准确判断违规统方行为丰富的审计报表，满足纠风办审计需求短信、邮件告警，第一时间了解违规统方行为(2)产品规格:类别分布式部署管理中心产品型号DAS-AC1000规格2U日志数量(最详细日志)20亿条RAIDRAID5HBA有网口数量2网路类型电口电源1+1冗余电源功率450W甘肃省IP网络安全解决方案技术应答书一总述本规范为招标方甘肃数据局,甘肃数据局安全解决方案的主要技术、功能和工程规模要求，供卖方(投标方)编写项目建议书和报价之用。应答:完全同意。我们将据此《招标书》对主要技术、功能和工程规模的描述，给出我们的方案建议书和报价。卖方在建议书中，对本规范书中所提各项要求能否实现与满足的程度应逐条逐项予以答复、说明和解释，同时要求提供相应软、硬件产品（包括第三方产品）的详细技术资料。应答:完全同意。我们将在本文件中给出对各项要求的逐条答复、说明和解释。对所推荐产品的软硬件详细技术资料将在《方案建议书》给出。1.3卖方若对本文件中的相关要求不能满足或者根据自己产品特有的技术性能及具体情况提出不同于本文件相关要求的其他建议，也应在建议书中详细说明并附详细资料。应答:完全同意。CA的方案建议书完全满足标书的要求。1.4卖方提供的网络安全解决方案及其相关软、硬件设施应完全符合卖方指明的标准，并满足或高于买方指出的要求。此文件中未说明但国际标准组织已有建议的设备功能和性能的条款，应符合相应的最新国际标准及建议。应答:完全同意。我们提供的网管系统完全符合各项标准，满足用户提出的要求。1.5若卖方的系统/设备包含自己的专用标准，应在建议书中具体说明，并附上相应的详细技术资料。卖方应明确当新的国际标准及建议发布后，是否免费为其所提供给甘肃数据局的系统进行升级，以保证符合新国际标准及建议并与所有符合新国际标准及建议设备能够互通。应答:完全同意。我们提供的系统不包含专用标准，都建立在相关国际标准之上。1.6卖方在建议书中应提出详细的系统组成和设备配置，在报价中提出系统及其相关软、硬件的单价和总价，报价格式参考<<附件一>>。应答:完全同意。我们将在《方案建议书》给出详细的系统组成和设备配置。按照《附件一》的格式给出相关软硬件的单价和总价。1.7卖方在建议书中应说明对供货时间、设备检测和安装调测等的应答。应答:完全同意。我们将在《商务文档》给出对供货时间、验货以及实施等情况的描述。1.8卖方在建议书中应说明给买方提供的技术文件、技术支持、技术服务、人员培训等的范围和程度。应答:完全同意。我们将在《方案建议书》给出1.9卖方供货和服务范围系统主要组成部分：甘肃省IP网络安全解决方案及其相关的软件、硬件产品安装材料消耗品工具和备件技术文件技术培训安装、调测、试运转的技术服务和现场验收测试文件技术支持服务应答:完全同意。我们同意按照此范围供货和服务1.10买方工作范围现场勘查和设备安装设计。卖方督导和帮助下的设备试运转和现场测试验收。设备所需电源（～220V或-48V）及其它配套设备。应答:完全同意。我们同意在买方提供上述环境下工作1.11卖方应根据本文件的技术要求在8天内提供十份（中文）建议书和报价。建议书与报价书应单独分册，报价若以美元为单位，需分别提出FOB和CIF价。报价内容应包括设备（软硬件）、安装材料、备品备件、工具及仪表、安装督导、厂验、培训、技术文件及技术服务等。在建议书中应提出离岸发货完成的日期。应答:完全同意。我们完全照此要求提供方案建议书和报价。1.12买方保留对本文件的解释和修改权。应答:完全同意。我们同意买方保留此权力。二工程说明及技术要求2.1甘肃数据局IP网现状甘肃省IP网是一个以数据通信为基础的计算机综合信息网，通过甘肃省IP网的建设，建立跨行业、跨部门的公用计算机信息交换平台，实现信息通信和资源共享，面向社会提供网络服务和信息服务。此网络中，网络设备是以CISCO公司的75、45系列路由器、catalist系列交换机和CABLETRON公司的SSR交换式路由器为主。主机设备是以sun公司的各个系列的服务器和工作站为主，另有部分IRIX设备和FUJITSU的NT服务器。具体的网络结构图见附页。2.2工程说明2.2.1工程建设目标本工程为甘肃省IP网络安全解决方案，包括安全管理制度政策的制定、安全策略的实施体系结构的设计、安全产品的选择和集成，以及长期的合作和技术支持服务。工程总体目标是在不影响甘肃省IP网络当前业务的前提下，实现对该网的全面安全管理。将安全策略、硬件及软件等方法结合起来，构成一个统一的防御系统，有效阻止非法用户进入网络，减少网络的安全风险。通过对非法活动的定期进行漏洞扫描，审计跟踪，提供一种快速检测网络攻击和迅速做出反应的手段。及时发现问题，解决问题。使破坏者的一举一动均在有效监控之下通过入侵检测检测等方式实现实时安全监控，提供快速响应故障的手段，同时具备很好的安全取证措施。使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态。最大限度地减少损失。专门的用于对全网设备的数据备份系统方案（软硬件均考虑）和数据恢复方案。完全满足.CA公司的安全工程不会影响当前业务。同时CA公司认为，要保证信息系统的安全，提升整体安全级别，需要从网络、服务器操作系统、用户、各种应用系统、业务数据以及应用模式等各个方面统筹考虑。信息系统的安全防护需要与实际应用环境，工作业务流程以及机构组织形式与机构进行密切结合，从而在信息系统中建立一个完善的安全体系。因此CAeTrust企业安全解决方案是完整的技术与服务紧密结合的安全解决方案，同时，CAeTrust企业安全解决方案中，突出的集中安全管理内容将有效的提高安全管理效率，节省管理资源开销，保证企业系统性能。CA公司全面的数据保护（包括备份的解决方案）请详见建议书。2.2.2设计原则卖方应详细地解释，在制定本建议方案时，所采用的设计和建构原则，产品选择理由，以及其他方面的考虑。卖方应清楚地说明，相对于竞争者，其建议方案和所选产品的技术优势和业务价值。CA公司在设计系统安全管理策略时，具有以下特性：对数据进行多层次保护保证方案开放且易于使用，这样既可采用先进技术又可降低人工成本。保证系统管理平台应具有强大功能，以解决复杂网络环境中的问题所提供的功能是可集成的。提供高度的可扩充性(Scalability).能够管理系统中的一切可管理对象：如系统中的所有、硬件平台、操作系统、数据库以及典型应用，均可通过直观的人机介面进行监控、管理。应使系统管理员及时发现并改正系统及网络运行中出现的问题(或潜在的问题)。进行全面的数据备份和灾难恢复保护2.2.3工程技术要求卖方应具有丰富的网络安全方面的经验，曾经实施过相关的安全解决方案，并列举出近期的成功案例。完全满足。CA公司是全球最大的安全解决方案提供商，具有丰富的安全方案设计、规划、实施经验，其产品在国际和国内许多大型系统中都有成功应用。有关近期的成功案例的情况请见《方案建议书》附录。卖方应具有强大的技术支持队伍，熟练掌握在甘肃省IP网络上实现全面的网络安全体系所涉及到的软、硬件的安装、使用和维护。完全满足。CA公司良好的技术服务队伍可保证此项要求。本招标技术规范书是在参照有关国际标书和有关部门的建议以及考察了甘肃省IP网现况的基础上提出的，卖方应根据综合因素，总体考虑，向买方提供最适用的一流系统。如果将来和本标书技术条款发生冲突，由买方审定。完全同意。我们给出的方案是符合用户需要的强大的安全管理解决方案。我们同意按照本《招标书》的条款审订提供方案的情况。卖方应提供所有投标内容（包括软、硬件）的技术资料。如果卖方建议书中的技术文件太简单以至于无法评估，卖方将被要求提供一个附件以陈述他的技术细节。完全满足。我们将提供包括方案建议、实施范围内容、培训情况、产品详细介绍等详细的技术资料。如果用户有任何疑问，我们将以口头和书面形式给出解答和解释。卖方在建议书中应明确本次工程所涉及到的所有软件、硬件产品必须具有在中国境内的合法使用权和用户保护权。完全满足。我们提供的所有软件、硬件产品必须具有在中国境内的合法使用权和用户保护权。卖方提供的所有材（资）料必须以中文书写。完全满足。我们提供的包括方案建议、实施范围内容、培训情况、产品详细介绍等详细的技术资料均以中文书写。2.2.4项目组织卖方应提供一份关于卖方与买方联合项目组织的建议。内容包括项目组织的结构和报告体系，每一位或类项目成员的角色和责任定义，技能要求，是否全时参与项目等。现就项目组各成员的角色，责任，技能和参与程度详述如下：项目成员姓名责任报告体系工作时间商务组商务项目总协调整个项目商务协调NgMabel部分CA客户服务代表日常项目商务安排NgMabel全时技术组项目管理总负责人项目决策及安排部分项目管理经理(CA)项目管理指导/日常项目管理项目管理委员会/项目总负责人全时CA公司项目技术主管经理项目技术主管项目经理全时安全技术咨询顾问CA产品技术顾问项目技术主管全时项目成员姓名责任报告体系工作时间客户负责人甘肃数据局项目技术主管经理项目技术主管项目经理全时技术实施顾问部分安全策略的定制与实施项目经理/技术经理全时同时，吉通公司希望卖方对整个系统提供较长时间的服务和支持，卖方在其建议书中应提出有关卖方和买方之间合作的建议。三、甘肃数据局安全解决方案总体技术要求3.1管理范围3.1.1卖方提供的安全管理体系应能覆盖包括甘肃省IP网省际出口、省内网间互联、骨干节点设备、链路和业务服务系统等；完全满足。3.1.2根据甘肃省IP网的网络结构，管理模式，业务划分，确定安全等级，针对不同的安全等级，实施相应的安全策略；满足。3.2总体需求根据甘肃省IP网的特点，全面的安全解决方案需要涉及到网络安全、系统安全、数据库系统安全、数据安全以及防病毒等多个方面。每个方面都需要结合相关的安全产品，相应的安全政策策略以及有效的管理制度共同实施。，实施包括预防、检测、反映在内的全过程。完全满足。CA公司认为，要保证信息系统的安全，提升整体安全级别，需要从网络、服务器操作系统、用户、各种应用系统、业务数据以及应用模式等各个方面统筹考虑。信息系统的安全防护需要与实际应用环境，工作业务流程以及机构组织形式与机构进行密切结合，从而在信息系统中建立一个完善的安全体系。CA公司依据对安全威胁广泛而深刻的认识，从定制信息系统安全策略、设计安全管理工作流程，部署企业级防病毒、入侵检测和防御、系统访问控制、安全漏洞扫描，加密／解密产品，培训用户安全防范技能等各个方面入手，形成综合的和全面的端到端安全管理解决方案。CA公司对系统安全管理是多层次、多方面的，她会从网络、操作系统、应用系统各个方面提高系统的安全级别，还会把原来通过管理规定由使用人员自觉维护的安全规则用系统自动实现，大大加强了系统的总体安全性。管理制度安全政策包括安全管理制度的制定和安全策略的实施。根据管理原则，管理对象，卖方应协助买方修改、制定切实可行的安全管理制度或规范，同时结合安全策略的实施，建立完善的安全管理体系。具体包括：甘肃省数据通信局的安全防护的主要考虑整体和各级网络结构的正确规划，网络中设备的标准配置；整体和各级对系统的安全规范制度的确立，各级系统进行信息进行时需要正确依照安全通讯规则；数据传输的一致性、完整性以及保密性，确保数据在各级网络中传输的安全，以及明确各级信息的重要程度与不可否认性；网络安全防护，即数据出入各级网络的安全检查以及网络内部数据传输的安全审计与管理如，安全网关，代理服务器，防火墙，网络审计等技术的实施。关键设备的重点保护，即对于承担系统中重要工作如，数据计算，数据存储，信息传输等服务器进行有针对性的系统安全操作规则的制定；人员管理，对于使用系统的所有人员进行统一管理，明确划分其在不同网络中的职责权力；通用安全防护，如对个人PC机的病毒检测，移动代码过滤等。全面的数据备份，保证数据的可恢复性修改、确定全网的安全等级。根据确定的安全等级，确定安全管理范围。制定相应的机房出入管理制度。修改、制定严格的操作规程。则修改、制定完备的系统维护制度。修改、制定应急措施。要制定在紧急情况下，系统如何尽快恢复的应急措施，使损失减至最小。定期进行常规安全检测。网络安全针对网络设备和链路的保护。由于甘肃省IP网网络结构的复杂性，不可能对全网做到集中式的安全管理，可采取分布式，针对不同网段（如网管网段、计费认证网段、用户接入网段）或根据提供的不同业务类别，实施不同级别的安全管理措施。参考甘肃省IP网络结构图，对网络结构方面可能存在的漏洞（如单点故障等）提出切实可行的参考解决方案。完全满足CA解决方案中会针对目前甘肃IP网络结构制定合理可行的网络安全解决方案，保证能对单点故障进行管理。设置防火墙保护；制定访问控制策略；安装基于网络的实时监控、防御系统；构造统一用户认证体系；系统安全金桥网的系统安全主要针对主机系统的安全，主要以Solaris、Irix和NT为主。针对业务系统的安全，包括网管系统、计费系统和网络应用服务器系统，目前网管、计费系统运行在Solaris平台和NT平台上，服务器包括（例如：DNS、MAIL、WWW、FTP等），所用操作系统有UNIX和WINNT两种。完全满足。UNIX/Windows操作系统本身存在许多安全漏洞和隐患，必须加强这一级别的安全防护，才能保护敏感的信息资源。同时对于系统的安全防护以及对于系统的业务访问等，需要进行有效的认证保护，以保证在复杂环境中的诸多使用者，能够被有效进行安全管理。制定访问控制策略；根据需要安装基于系统的实时监控、防御系统；构造统一用户认证体系；制定完善的备份策略及灾难恢复措施；数据库系统安全目前甘肃省IP网上数据库的安全管理涉及到用户的权限管理，数据的访问控制，数据的安全与备份等。完全满足。eTrust系列安全产品以及CATNG/ASO领先的数据备份、恢复和灾难恢复功能为企业用户提供高性能、易于扩展、易于使用、自动作业的完整的数据保护解决方案。从而满足甘肃数据局IP网上数据库的安全管理，用户的权限管理，数据的访问控制，数据的安全与备份等要求。信息数据安全管理对象主要是网络应用服务器中向用户提供信息服务的各类信息（主要为DNS、用户数据库管理系统、电子邮件系统和接入计费系统），以及其他计划建设的数据对等。满足。eTrust系列安全产品以及CATNG/ASO领先的数据备份、恢复和灾难恢复功能为各类服务信息的用户提供高性能、易于扩展、易于使用、自动作业的完整的数据保护解决方案。加以相应的数据加密，可以确保甘肃数据局IP网上数据信息安全。防病毒构造全网统一的防病毒体系。主要面向MAIL、FTP服务器，以及办公网段NT服务器和PC机等。完全满足。CAeTrustAntivirus是完整的企业级防病毒方案，可以完整的构造全网统一的防病毒体系。包括MAIL、FTP服务器，以及办公网段的PC服务器和PC机等。3.2.7网络故障分析故障提供快速的网络故障诊断和分析手段。在发生网络故障或网络性能较差时，能够用所提供的工具迅速而准确的确认故障所在，给网管人员实行故障排除和实施网络优化时的提供最真实、可靠的参考。完全满足。CAUnicenterTNG有一个强大的网络管理选件NMO可对网络故障进行诊断和分析，可为网络优化提供最大的帮助。3.3产品要求卖方应提供安全解决方案所涉及的所有软、硬件产品的认证书、销售许可证或其他证明文件的复印件。具体要求如下：密码产品必须满足国家密码管理委员会的要求。计算机安全类产品必须获得公安部颁发的销售许可证。信息安全产品必须是获得国家信息安全评测认证中心的认证。网络安全设备所采用的技术必须是实用和成熟的，是采用、引用国家标准的。满足。CA公司提供已取得相应证书的复印件，详见建议书的附件。建议书中的一些eTrust产品，目前尚未取得相应证书，CA公司正在作相应的申请工作，我们力争在尽可能短的时间内达到用户的要求。3.4安全标准安全标准的采用应遵守国内有关安全保密的各项规定。满足针对甘肃数据通信局网络安全方案中有关数据加密部分，CA公司将严格遵守国内有关安全保密的各项规定。3.5安全策略安全管理工具支持企业级安全策略的定义。满足。安全策略的实施是一个复杂的任务，需要详细地规划以确保已实施的机制对于提出的信息安全弱点是有效的。CA公司已开发了实施程序保证已选的安全策略正确、有效地实施。这些程序确保：充分地设定实施时间帧并由合适的资源支持测试计划全面的设计与使用正规地培训安全管理员适当地通知最终用户完整的文档3.6综合性、整体性卖方应从系统综合的整体角度考虑此次甘肃数据局IP网安全招标项目，制定有效、可行的安全措施，建立完整的安全防范体系。满足。随着甘肃数据局IP网系统的发展与建设，甘肃数据局IP网在生产经营中的作用愈来愈显著。与此同时，日常的业务运营对甘肃数据局IP网管理信息系统的要求也越来越高，使得甘肃数据局IP网系统信息安全防护及系统安全管理成为另一个非常重要的工作；作为业界领先的系统管理软件，CAeTrust除了提供一个综合性的系统管理方案，同样也提供全面的IT环境安全管理方案，以满足系统运行时的管理需求：CA开发的信息安全服务解决方案，以帮助企业检查信息安全的每一关键所在。系统管理员权利分散资源安全性的管理用户认证管理系统资源授权特性的扩展机制企业范围内安全性的单一界面管理对违反安全策略事件的审计及报表生成单一登录管理企业用户的统一管理：统一创建、删除，基于角色的管理等；可以对信息系统安全威胁的广泛识别，并具有完整的防范体系。3.7一致性卖方提供的安全解决方案应与甘肃数据局IP网的网络，业务的安全需求相一致，并适当的提出有利于甘肃数据局IP网发展的安全建设建议。满足。CA方案能和业务需求一致。通过ETrust管理机上的图形用户界面，安全管理员可以对以下甘肃数据IP网络中所有IT资源进行集中信息安全管理：管理从桌面机、工作站、NT/UNIX服务器，乃至专用的大型主机系统；ETrust支持IBM(AIX)、INTEL(NT)、DIGITAL(Digital-UNIX/ALPHANT)、HP(HP-UX)、SUN(Solaris)、SGI(IRIX)等几乎所有的服务器/客户机平台；支持对典型的商业应用进行管理：如SAPR/3、LotusNotes、NetscapeWebServer、MicrosoftIIS及Exchange等应用系统。提供简便的API接口，用于与用户的特殊应用进行集成3.8用户界面卖方提供的安全管理工具应提供友好的图形化（GUI）管理界面。完全满足CA-ETrust为用户提供直观的图形用户介面，使用户可更直观监控和管理分布在网络中的各种资源。3.9尽量降低对原有网络、系统性能的影响。由于增加了安全设置后，必将影响网络和系统的性能，包括对网络传输速率的影响，对系统本身资源的消耗等，因此要求卖方平衡双方的利弊，提出最为适当的安全解决建议，。并可以提供相关安全工具在不同环境下的测试数据。卖方应针对其建议方案对甘肃数据局IP网的网络、系统的影响提供仔细的评估。满足。由于增加了安全设置后，必将影响网络和系统的性能，包括对网络传输速率的影响，对系统本身资源的消耗等，而eTrust是平衡双方的利弊，提出最为适当的安全解决建议，特别其中包括许多为保证系统性能而采用的专利技术，以及集中化的安全管理，都有效的对网络和系统的性能进行了保障。3.10避免复杂性卖方提供的安全解决方案应该避免造成网络结构的复杂，操作与维护的复杂。满足。CA-ETrustManager/Agent的集中控管结构发布管理与使用，并且为用户提供直观的图形用户介面，使用户可更直观监控和管理分布在网络中的各种资源。所以CA解决方案不会造成操作护的复杂性。3.11可用性包括两个方面，安全系统本身的可用性和建立在安全管理体系下的网络的可用性。对于安全系统来说，要求可提供方便、友好的图形化管理界面。对于网络来说，要求不影响原有业务的开展。满足。CA提供的信息安全管理方案，完全符合规则式安全实施机制，可用性很强。同时提供Manager/Agent的集中控管结构，提供方便、友好的图形化管理界面。对于网络来说，要求不影响原有业务的开展。同时，当业务发生变化时，能够及时随同调整。3.12开放性卖方提供的安全管理工具应支持广泛的安全管理标准。满足。eTrust支持广泛的的标准，如SNMP，OPSEC，x.509，x.500等安全管理标准。3.13纵深性卖方提供的安全解决方案应是一个多层保护体系，各层保护相互补充，当一层保护被攻破时，其它层保护仍可起到安全防范的作用。满足。CA的信息安全解决方案是提供一个企业级安全管理方案，以解决IT基础设施内各个领域的问题，CA明确了以下的这些安全领域:1.网络2.服务器3.用户4.应用程序与服务5.数据为信息系统提供多层保护，构造安全防护网3.14适应性卖方提供的安全解决方案应能够随着甘肃省IP网网络性能及安全需求的变化而变化，要容易适应、容易修改。满足。CA提供的信息安全管理方案，完全符合规则式安全实施机制，有易该性。同时提供Manager/Agent的集中控管结构，因此，当业务发生变化时，能够及时随同调整。3.15集成性卖方提供的安全管理工具应能够和其它系统管理工具有效集成。如HPOV等等。满足。CA网络管理工具支持SNMP，完全可以和HPOV的集成。同时CA也建议用户可使用CA的UnicenterTNG来全面的对网络和网络安全进行管理。四甘肃数据局安全解决方案各项功能要求卖方应详细列出与本章中涉及到的功能、技术实现相关的所有产品的厂家名称，产品名称，软硬件所需平台以及详细配置，并可针对某些具体的功能、技术、性能指标提出自己的可行性建议。完全满足4.1入侵检测、安全评估4.1.1制定定期进行入侵检测和安全审计的制度。4.1.2提供对网络各个层面进行入侵检测、安全评估的技术和工具。4.1.3提供有效的安全漏洞修补建议和工具。4.1.4支持多种类别的设备、系统及数据库的检测。4.1.5具有强大报表生成功能。4.1防火墙4.2.1网络接口规范支持100M/1000M以太网接口4.1.1功能要求eTrustFireWall是一般意义的防火墙的超集。一般的，ETRUSTFIREWALL被安放在整个企业网络边界处，控制所有的进出系统的数据，保护企业中关键资源。ETRUSTFIREWALL的操作是完全透明的，所有的客户和服务器上现存的应用程序都不需要修改。在安全保障方面，ETRUSTFIREWALL是基于全状态检查技术的防火墙工具，结合了proxy技术、包过滤技术特征以及基于用户的访问控制等多项技术。ETRUSTFIREWALL工作在数据包层，它自动检测数据包的全部内容，可以支持象UDP这样的“无连接”网络协议。另外，ETRUSTFIREWALL支持基于状态信息的智能过滤，采用ETrust安全引擎和管理技术进行用户识别和授权。由于避免了上下文交换以及数据复制，网络性能可以得到有效地保证。支持透明接入和透明连接，不影响原有网络设计和配置；支持。eTrustFireWall操作是完全透明的，所有的客户和服务器上现存的应用程序都不需要修改。带有DMZ的连接方式；满足eTrustFireWall支持多网卡环境，即当其所运行的设备拥有三块以上网卡时，eTrustFW可以将其进行有效划分，分别指向内外及DMZ。支持本地和远程管理两种管理方式；支持eTrustFireWall的整体结构由Server,AdministratorClient,和Engine等组成，而各个部分可以分布式实现，即Client能够与Server集中安装，也可以在不同设备上实施，远程通过Client对Server和Engine进行管理。支持命令行和GUI方式的管理与配置；支持eTrustFW提供命令行，图形等多种管理和配置方式，特别是其JAVA图形管理界面中的Wizard和鼠标托拽功能，将使得防火墙的管理与配置更加直观，简便。对分布式的防火墙支持集中统一状态管理；满足ETrustFireWall的整体结构由Server,AdministratorClient,和Engine等组成，而各个部分可以分布式实现，即Client能够与Server集中安装，也可以在不同设备上实施，远程通过Client对Server和Engine进行管理。同时eTrustFWServer是对整体防火墙安全策略进行管理与配置，而这些策略规则可以通过Server之间的主从关系进行同步等集中管理。规则测试功能，支持规则一致性测试；支持eTrustFW对与其定制的各个网络安全规则都提供自行检测的功能，能够在规则实现前有效的进行验证。透明代理功能；支持在安全保障方面，ETRUSTFIREWALL是基于全状态检查技术的防火墙工具，结合了proxy技术、包过滤技术特征以及基于用户的访问控制等多项技术。ETRUSTFIREWALL的操作是完全透明的，所有的客户和服务器上现存的应用程序都不需要修改。地址转换功能，支持静态地址转换、动态地址转换以及IP地址与TCP/UDP端口的转换；满足地址翻译技术是指让IP数据包的源地址和目的地址以及TCP或UDP的端口号发生改变，以达到屏蔽网络内部细节的目的。eTrustFW支持静态地址转换、动态地址转换以及IP地址与TCP/UDP端口的转换访问控制，包括对HTTP、FTP、TFTP、SMTP、TELNET等服务类型的访问控制；满足ETRUSTFIREWALL是基于全状态检查技术的防火墙工具，它自动检测数据包的全部内容，可以支持象UDP这样的“无连接”网络协议。ETrustETRUSTFIREWALL提供基于用户的访问规则，这样对特定的网络资源，管理员不仅可以控制来访者的IP地址，还可以控制来访者的身份。来访者访问这类网络资源时，需要向ETRUSTFIREWALLServer进行登录，验证身份。用户级权限控制；完全满足。ETrustETRUSTFIREWALL提供基于用户的访问规则，这样对特定的网络资源，管理员不仅可以控制来访者的IP地址，还可以控制来访者的身份。来访者访问这类网络资源时，需要向ETRUSTFIREWALLServer进行登录，验证身份。防止IP地址欺骗功能；完全满足。eTrustFW和eTrustID能够有效防止IP欺骗行为。包过滤，支持IP层以上的所有数据包的过滤；完全满足。ETRUSTFIREWALL的基本功能让管理员定义是否允许传输指定的网络数据包数据。但是，对于一些复杂的应用协议，ETRUSTFIREWALL采用特定的逻辑来监视和过滤数据包，主要有：FTP、UDP、TFTP、RealAudio、RPC和portmapper、EncapsulatedTCP/IP等等。信息过滤，包括HTTP、FTP、SMTP、TFTP等协议的信息过滤；完全满足。ETRUSTFIREWALL的基本功能让管理员定义是否允许传输指定的网络数据包数据。但是，对于一些复杂的应用协议，ETRUSTFIREWALL采用特定的逻辑来监视和过滤数据包，主要有：FTP、UDP、TFTP、RealAudio、RPC和portmapper、EncapsulatedTCP/IP等等。地址绑定功能，实现MAC地址与固定IP地址的绑定，防止IP地址盗用；完全满足。eTrustFW和eTrustID能够有效发现网络中的MAC冲突，IP冲突等问题，并进行记录与报警，因此根据这些信息进行IP与MAC使用规范的制定。抗攻击性要求，包括对防火墙本身和受保护网段的攻击抵抗；完全满足。对于现有的各种网络进攻手段，ETRUSTFIREWALL可提供有效的安全保障：IPSpoofing、TCPsequencenumberpredictionattacks、Sourceoutingattacks、RIPattacks、ICMPattacks、Data-drivenattacks(SMTPandMIME)、DomainNameServiceattacks、Fragmentattacks、Tinyfragmentattacks、Hijackingattacks、Dataintegrityattacks、EncapsulatedIPattacks等等。而eTrustAccessControl对系统的安全防护能够充分加强防火墙运行环境的安全保护。审计日志功能，支持对日志的统计分析功能；完全满足。ETRUSTFIREWALL提供强大的日志功能，帮助管理员跟踪访问，发现一些潜在的安全问题。实时告警功能，对防火墙本身或受保护网段的非法攻击支持多种告警方式（声光告警、EMAIL告警、日志告警等）以及多种级别的告警；完全支持。支持负载均衡；支持流量控制；支持冗余路径；支持联网版本升级；支持SNMP协议；支持防火墙双机热备的管理模式；4.1.2技术性能指标时延；吞吐量；最小规则数为500；包转发率；最大位转发率；并发连接数，支持32000个并发用户连接；由于eTrustFireWall是纯软件防火墙，其性能状况重要取决于运行系统的软硬件环境，所以以上性能指标，目前无法提供明确参数。但可以肯定的是eTrustFireWall防火墙是CA新技术下的产物，它的性能水平比传统的软件防火墙要好。4.2安全监控、防御基于网络和系统的实时安全监控，对来自内部和外部的非法入侵行为做到及时响应、告警和记录日志，并可采取一定的防御和反入侵措施。具体要求如下：支持统一的管理平台，可实现集中式的安全监控管理；满足CAeTrust系列产品是工作在其通用安全服务的基础之上的.因此能够通过统一的管理平台，实现集中式的安全监控管理;自动识别类型广泛的攻击；支持eTrustFireWall对于现有的各种网络进攻手段，可提供有效的安全保障,如:IPSpoofingTCPsequencenumberpredictionattacksSourceoutingattacksRIPattacksICMPattacksData-drivenattacks(SMTPandMIME)DomainNameServiceattacksFragmentattacksTinyfragmentattacksHijackingattacksDataintegrityattacksEncapsulatedIPattacks等等。而CA信息安全管理方案中的另一网络安全工具eTrustIntrusionDetection可以与eTrustFW完善网络信息安全,如增加了对-探测与不同数据的交叉接受SYN包中的数据碎片处理(包重组)-ID测试支持-Sweepattack-TCP包重叠-确定入侵的新模型-缓冲区溢出匹配应用冲突反馈等网络攻击的检测,同时对于可疑网络活动，恶意的applets,也提供相应的检测与报警.支持按行为特征的入侵检测；满足。CA提供的网络安全管理软件ETrustIntrusionDetection,可以允许用户灵活定义网络安全防护规则,对于网络数据包可以进行实时分析,因此,可以定义相关网络操作行为特征,根据行为特征对网络数据进行过滤,确保信息安全。提供对特定网段的实时保护，支持高速交换网络的监控；满足由于eTrustIntrusionDetection采用网络监听的技术,进行其网络安全保护工作,因此是与业务同时,并行运行,进行实时防护，而且可支持高速交换网络。提供对关键服务器，如Web、E-mail、DNS、FTP、用户数据库服务器、计费数据库服务器等的实时保护；满足。eTrustAccessControlent中的安全管理实现了预设式管理。安全规则不仅可以保护磁盘上已有的文件，对不存在的文件也可提供保护。同时CA针对系统的安全访问控制,能够提供部分内容的强制访问控制机制,以及对于系统内存的实时检测,因此,可以有效的对关键服务器，如Web,E-mail,DNS等的实时保护。能够在检测到入侵事件时，自动执行预定义的动作，包括切断服务、重起服务进程，记录入侵过程信息等；满足。CA提供的eTrustIntrusionDetection是一种易于使用的软件型网络分析方案。它对网络流量进行监听，并对传输内容进行扫描、显示、报告、记录和报警，并提供了全面地查看有关内容的途径，以易于理解的方式提供了相应的信息。另外，ETrustIntrusionDetection采用了专利型的"unobtrusiveblocking"技术，在基于规则和相应的报警条件的情况下对自动执行预定义的动作，包括切断服务、重起服务进程，记录入侵过程信息等。支持集中的攻击特征和攻击取证数据库管理；支持ETrustIntrusionDetectionLogView使用户可以通过选取特定的数据库，并对其中存档的信息进行浏览和查看，监控一段时间内网络使用的细节。用户们也可以在关系型数据库中对从多个ETrustIntrusionDetection节点得到的会话信息进行合并。用户可以在ETrustIntrusionDetection中创建规则，以便将会话数据存入到备份档案中，从而可以在晚些时候对数据进行查找。支持攻击特征信息的集中式发布和攻击取证信息的分布式上载；满足。ETrustIntrusionDetectionCentral是若干个不同服务的基础。ETrustIntrusionDetectionCentral：使同一个网络管理员可以对多个远程和本地的ETrustIntrusionDetection进行监视和管理。利用这一功能，网络管理员可以在控制台上查看报警信息，并拥有远程控制特定SW3节点的功能，就象它们在本地一样。使系统管理员可以管理远程的ETrustIntrusionDetection节点。使远程网络上的授权用户可以查看已被授权的特定信息。ETrustIntrusionDetectionCentral支持以下组件：ETrustIntrusionDetectionCentral组件运行于Windows95、Windows98或WindowsNT。Central组件接收、排序和显示由一个或多个远程SW3agent生成的信息，并使管理员可以连接到agent并对其进行操作。ETrustIntrusionDetectionCentralAgent是运行于安装了SW3企业版软件的节点上的组件。CentralAgent包括的代理应用可以在后台运行，接收报警，通过可以对远程访问进行授权的远程控制应用将其发送到Central，并使Central可以远程控制。提供对监视引擎和检测特征的定期更新服务，更新方式可有多种，包括厂家的直接服务和联网更新操作；提供。ETrustIntrusionDetection,中包含的有关网络攻击行为的检测,网络病毒的检测以及URL访问控制清单,全部提供定期在线更新,以确保产品能够有效的为用户服务。网络访问控制；ETRUSTFIREWALL提供基于用户的访问规则，这样对特定的网络资源，管理员不仅可以控制来访者的IP地址，还可以控制来访者的身份。来访者访问这类网络资源时，需要向ETRUSTFIREWALLServer进行登录，验证身份。支持与防火墙的配合监控；完全支持。它对所有流行的“防火墙”是有效的补充，可以提供与应用相关的保护，提供入侵探测，并对现有的设置进行审计。eTrustIntrusionDetection能够与eTrustFW的动态安全规则应用相结合，形成互动式网络安全防护体系，同时也可以通过使用OPSEC接口与FireWall-1连接。4.3漏洞扫描技术提供对主机、网络设备的定期漏洞扫描完整解决方案。提供基于网络的和基于主机系统的安全隐患扫描，对目标可能存在的安全隐患进行逐项检查，目标可以是工作站、服务器、交换机、数据库应用等各种对象。（需扫描设备的详细信息参见甘肃IP网介绍）满足。eTrustPCM提供的是风险评估和政策审查技术，可寻找和报告在网络，主机，程序，记录，口令和文件系统/容量等方面的安全缺陷，并提供纠正方案修复确认的问题。它建立基线政策定义，然后监视所有关系到该政策和措施的变动。它有交互方式和预定操作方式。PCM的查询，报表和模拟工具允许监视特定节点，数据库和整个网络设备。2)提供根据扫描结果向系统管理员提供周密可靠的安全性分析报告和具体漏洞的解决方法的建议，为提高网络安全整体水平提供重要依据。完全满足。使用eTrustPCM就是要向安全管理员提供安全性分析报告和漏洞解决建议。4.4数据备份方案提供一套完备的用户可以对全网进行网络备份的系统方案。设置专门的备份服务器，带有大容量的数据存储设备，能够方便的通过网络，实现定期对全网的任何主机和网络设备的进行备份和回复，减轻网管的日常工作量。本方案提供CAUnicenterTNGASO来对全网服务器进行网络备份。CAUnicenterTNGASO(AdvancedStorageOption)高级存储选件是企业级数据存储的综合性集成管理解决方案。ASO领先的数据备份、恢复和灾难恢复功能为企业用户提供高性能、易于扩展、易于使用、自动作业的完整的数据保护解决方案。支持通过简单的配置实现对全网的任何设备的数据或配置信息的备份。完全满足。利用UnicenterTNG，我们可以在某一台具有备份介质服务器，这样通过它可以远程备份网络中任意一台服务器上的数据或数据库中的数据。从TNG/ASO的‘备份窗口’可实时对后台任意机器上的的数据进行备份，自动地备份、恢复及灾难恢复，防止硬盘、数据和介质遭到灾难性的破坏，用户可根据现在和将来的需要实施存储管理解决方案。TNG/ASO还为企业级提供一个综合而全面的存储管理平台。支持对数据库系统，如对Oracle等的备份。TNG/ASO实现企业级数据备份/恢复的集中化管理，从TNG/ASO管理器可以控制并监控TNG/ASO所有的活动，所有远程的管理性工作都可以借助TNG/ASO管理器或远程访问服务实现。企业版可以管理多个TNG/ASO主服务器，在TNG/ASO管理器界面的可以显示任何选定的主服务器的工作队列，所有跨企业级的TNG/ASO工作的实时状态都可以被监视和管理。支持对于不同重要性的数据按照不同的周期实现自动配置。完全满足。在TNG/ASOManager的Backup选项的Schedule功能可以实现用户对数据备份策略的定义，如可以定义一周的差量、增量备份，或可以按一定的时间间隔定义备份策略。TNG/ASO可以按照用户定