图书馆基础安全系统建设需求

图书馆基础安全系统建设需求一、项目背景图书馆基础安全系统是在安全设施的基础上，从技术、管理和控制三方面为图书馆提供安全保障。整体安全架构包括网络边界安全、入侵检测、应用控制、安全审计、终端安全及数据安全，确保整个图书馆的信息安全防护。网络边界安全：互联网出口防火墙隔离来自互联网、VPN对端、政务外网的网络威胁，保障内部网络的稳定运行。链路负载均衡设备用于保证多ISP的多链路负载均衡，保证链路可用性和可靠性。入侵检测：IPS设备防护应用层的攻击或入侵，与防火墙形成功能互补；WEB应用防火墙针对应用层的安全防护能力，加强访问控制的同时还能够对网站服务器进行NAT地址转换，隐藏其IP地址，避免被攻击。与防火墙系统相互配合，实现2到7层立体的防护效果。应用控制：部署两台高性能的上网行为管理设备，架设在防火墙与核心交换机之间，对全网上网流量进行分析和记录，把用户认证的信息，包括用户账号，动态获得的IP地址对应关系也一并传递到安全设计系统，从而实现完整的行为记录。安全审计：数据库审计系统，实现数据库权限管控，数据库威胁分析，数据库访问路径回溯，数据破坏及时感知，并可提供精细的报表。日志审计系统作为一个统一日志监控与审计平台，能够实时不间断地将图书馆内来自不同厂商的安全设备、网络设备、主机、操作系统、数据库系统、用户业务系统的日志、警报等信息汇集到审计中心，实现全网综合安全审计。终端安全：终端防病毒系统实现对图书馆信息和所有计算机设备的保护，保护系统和数据免受病毒、蠕虫攻击，防止恶意软件安装，组织信息非法扩散；保障网络和系统资源，防止蠕虫攻击造成的网络堵塞，防止病毒对系统和网络资源占用。数据安全：备份系统采用备份一体机+物理磁带库实现重要数据D2D2T（物理磁盘到虚拟磁带到物理磁带）数据备份。物理磁带库作为备份一体机的二级备份，可以存放更长时间的业务数据。现全面的保护以及核心应用系统的备份。三、需求清单序号货物名称数量单位1互联网出口防火墙2台2WEB应用防火墙2台3链路负载均衡2台4上网行为管理2台5IPS（入侵防御系统）（互联网出口）2台6数据库审计系统1台7日志审计系统1台8终端防病毒与终端安全管理1套9备份一体机1套10物理带库1套合计数量15三、具体技术要求基础安全系统建设的具体硬件配置及软件功能需求如下表所示，所有软硬件功能均为实际可用。序号货物名称招标技术要求1互联网出口防火墙1.1设备接口配置≥6个千兆电口，≥4个千兆光口，≥2个万兆光口，满配光模块，≥1T硬盘，液晶屏，冗余电源，防火墙吞吐≥60G，并发连接≥2000万，每秒新建连接≥42万。1.2支持RIP、OSPF、BGP4、QinQ、PIM-SM、PIM-DM；支持域名控制，支持对多级域名进行控制，域名对象支持通配符；1.3支持配置文件、系统服务、路由、链路聚合、安全策略、NAT策略、带宽管理、认证策略、IPV6功能、URL过滤、病毒过滤、WAF、僵木蠕、高级威胁防护、内容过滤、邮件安全、审计、报表、防代理等安全功能虚拟化，简化用户管理；1.4支持NTPDDOS防护（采用阀值检查、源/目的限流、源认证等方式综合进行NTPQUERYFLOOD、NTPREPLYFLOOD攻击防护）和HTTPDDOS防护；1.5内置邮件安全防护功能（邮件过滤、邮箱防暴力破解、邮件泛洪攻击防护、邮件黑、白名单检测）和WEB界面网络诊断（含PING、TRACEROUTE、TCP、HTTP、DNS诊断方式）。1.6配备3年应用识别、IPS入侵防御、WAF、URL过滤、AV防病毒、僵木蠕攻击规则特征库授权升级许可。1.7防火墙的核心技术应符合自主原创的要求，核心功能模块应具备信息安全测评中心颁发的自主原创产品测评证书。2WEB应用防火墙2.1设备应为标准式机架硬件设备，全内置封闭式结构，具有国产化的操作系统、硬件平台；提供的产品≥8个千兆电口，≥8个千兆SFP光口，≥2个万兆光口，满配光模块；≥5个扩展槽。内存：≥32GB；硬盘：≥128GBSSD+4TBSATA；内置硬件Bypass。提供的产品应用层吞吐量≥9000Mbps，最大并发连接数≥280万，每秒新建事务数≥6万。支持串联、反向代理、旁路部署模式。2.2支持针对主流Web服务器及插件的已知漏洞防护。Web服务器应覆盖主流服务器：apache、tomcat、lightpd、NGINX、IIS等；插件应覆盖：dedecms、phpmuadmin、PHPWind、shopex、discuz、echsop、vbulletin、wordpress等。2.3支持HTTP访问控制功能，支持针对主机名、URI-Path、HTTP方法、客户端IP等条件进行组合的访问控制。HTTP方法包括：GET、POST、HEAD、PUT、DELETE、MKCOL、COPY、MOVE、OPTIONS、PROPFIND、PROPPATCH、LOCK、UNLOCKTRACE、SEARCH、CONNECT。2.4提供盗链防护；支持Cookie安全机制，包括Cookie加密和Cookie签名的防护算法；可以支持http和https以及api防护，支持对扫描器防护、爬虫防护、OWASPTop10Web应用安全防护、支持通过扩展实现DDOS防护，提供PCI-DSSV3.0符合性报表；支持国密算法；2.5支持XML防护，包括XML基础校验、Schema校验以及SOAP校验。2.6支持基于规则和语义分析的检测引擎，提升SQLi和XSS检测精度。2.7支持误报分析功能，支持定时自动化分析，提升检测精度，减少告警噪音。2.8包含3年Web应用防护授权。3链路负载均衡3.14层吞吐量≥27.5Gbps，并发连接数≥38000000，4层新建连接数CPS≥1000000，7层新建连接数RPS≥1500000，规格：标准式机架硬件设备，电源：冗余电源，内存大小≥32GB，硬盘容量≥480GSSD，接口≥4个千兆电口，≥8个千兆光口，≥2个万兆光口,满配光模块。3.2支持常见的主动式健康检查功能，提供基于SNMP、ICMP、SIP、ICMPv6、TCP/UDP、FTP、HTTP、DNS、RADIUS，HTTPS、LDAP、ORACLE/MSSQL/MYSQL数据库等多种类型的探测判断机制。3.3支持负载均衡功能，包括但不限于主机加权最小连接、Hash负载均衡算法、优先级算法、基于源地址负载均衡调度、基于域名节点负载功能、复合负载均衡调度。3.4支持图片优化技术，通过对图片格式的转换，减少传输流量，提升web页面加载速度。无需改动服务器端的图片源文件，可根据浏览器种类自动识别转换类型，将图片转换为对应支持的WebP或JPEG格式，优化加速效果，支持会话保持功能，包括但不限于基于用户自定义的会话保持、跨站点cookie会话保持、cookie值加密、跨虚拟服务会话保持。3.5在SSL场景下，具备不同的证书信息透传编码格式、证书参数传递到服务器、反向传递证书DN序列等功能。3.6内置完备的IP地址库，无需手动导入并支持自动全网更新，可查看并编辑国内各省份的IP地址段、国内各大运营商IP地址段和国外各个国家IP地址段，并可灵活匹配IP地址库进行流量调度分发，实现链路负载功能。3.7支持X-Forward-For源地址透传方式，包括但不限于单向、双向认证。3.8支持轮询、加权轮询、按主机加权轮询、加权最小连接、按主机加权最小连接、动态反馈、最快响应时间、加权最小流量、按主机加权最小流量、源IP源端口哈希、源IP哈希、URI哈希和HOST哈希等。3.9支持当客户端为纯IPv6环境时,未经改造过的第三方IPv4资源就无法加载的问题具备2种解决方案：路径方案和域名方案；4上网行为管理4.1网络层吞吐量≥20Gb，应用层吞吐量≥9Gb，带宽性能≥5Gbps，支持用户数≥50000，最大并发连接数≥3200000，规格：标准式机架硬件设备，电源：冗余电源，硬盘容量≥128GSSD+960GSSD，接口≥4个千兆电口，≥4个千兆光口，≥2个万兆光口，满配光模块，≥3个扩展槽位；支持网关、网桥、旁路等多种部署方式。4.2支持图形化查看当前内网IP使用情况，帮助管理员减少人工维护IP表的工作量。4.3支持针对上网权限策略进行检测分析，查看各个应用是否匹配相关策略。4.4支持首页分析显示已接入用户人数、终端类型、流量分析、应用流量排名等信息。4.5对接入的终端进行可视化管理，展示终端详细信息，包括但不限于IP地址、MAC地址、终端类型、操作系统，支持流控功能，包括但不限于流控通道实时可视化、动态流控、流量配额黑名单。4.6支持攻击告警、移动终端管理告警、web关键字过滤告警、设备流量超限告警、磁盘/CPU/内存异常告警等。4.7支持Web访问质量检测功能。4.8支持网页管理,包括但不限于SSL加密网页内容识别、网页附件管理。5IPS（入侵防御系统）（互联网出口）5.1规格：标准式机架硬件设备，内存≥64G，机械硬盘≥1TB，含1个HA口和1个管理口,1个CONSOLE口，≥8个千兆电口，≥8个千兆光口，≥6个万兆光口,满配光模块，冗余电源，整机吞吐率≥50Gbps，最大并发连接数≥1800万，IPS吞吐率≥20Gbps。5.2能够检测包括扫描探测、暴力猜解、拒绝服务攻击、后门控制、溢出攻击、代码执行、非授权访问、注入攻击、URL跳转、跨站攻击、WebShell、浏览器劫持、文件漏洞攻击、工控漏洞攻击、物联网漏洞攻击等在内的16大类超过9000种网络攻击事件；5.3支持对SMTP、POP3、IMAP、FTP、TELNET、RDP、LDAP、MSSQL、DB2、REDIS、POSTGRESQL、HTTP等服务的弱口令登录行为检测，采用弱口令字典和口令强度两种方式检测，可自定义口令强度规则，如密码长度、密码字符类型等。支持对发生的弱口令事件进行告警、取证和在线阻断。5.4系统应支持DDoS检测、阻断及防御基线自学习功能，能够进行自学习配置、自学习结果查看、防护配置设置；支持DDoS防护模板，提供包括100M/1000M/10000M的WEB服务器、DNS授权服务器、DNS缓存服务器、FTP服务器等模板选择，模板可设置，以及对FLOOD类攻击网络流量阈值设置，可对按pps、Kbps、Mbps等单位设置。5.5支持根据IP地址添加IP黑名单、IP白名单；并支持将来源于攻击检测、僵尸主机和恶意加密流量检测中发现的恶意IP和恶意URL加入动态IP黑名单（黑名单IP地址数据包阻断，白名单IP地址不做检测。）、动态URL黑名单；支持根据文件hash添加文件白名单；根据规则编号+IP+端口添加事件白名单。支持批量导入IP黑白名单和文件白名单。5.6支持卸载SSL（对HTTPS、IMAPS、SMTPS、POP3S、FTP、RDP、MQTT、SIP等加密流量的分析检测防护）和证书（导入ssl证书版本支持：sslv3、tls1.0、tls1.1、tls1.2；密钥交换算法支持：RSA；对称加密算法支持：DES、3DES、ARCFOUR、RFC2268_128、IDEA、AES、AES256、CAMELLIA128、CAMELLIA256、SEED等；摘要算法：MD5、SHA、SHA256、SHA384；加密类型：STREAM、CBC、GCM、CCM、CCM_8）。5.7支持隐蔽通信检测，支持对HTTP、FTP、SMTP、IMAP、POP3、Telnet等服务的隐蔽通信检测，可设置相应警告、阻断动作。支持外发日志服务器时，自定义传输协议、编码格式UTF8/GB2312、合并传输。5.8包含3年攻击检测规则库、应用识别库、地理信息库升级许可。6数据库审计系统6.1支持的数据库实例个数≥25个，审计性能：峰值SQL处理能力≥70000条/秒，硬件最大吞吐量7000Mbps，双向审计数据库流量700Mbps。标配日志存储数60亿条，审计日志检索能力≥1500万条/秒。6.2规格：标准式机架硬件设备；电源：交流冗余1+1电源；处理器：国产芯片（2.6GHz，24核）*2，国产操作系统。内存≥32GB，硬盘≥12TB，千兆电口≥4。6.3支持Oracle（包括9i、11g、21C及其他版本）、MySQL、SQLServer、SybaseASE、DB2、Informix、Cache、PostgreSQL（14及其他版本）、Teradata、MariaDB、Hana、LibrA、SybaseIQ、TiDB、Vertica、PolarDB、PolarDB-X等主流数据库的审计。6.4支持MongoDB、HBase、Hive、Redis、Elasticsearch、Cassandra、HDFS、Impala、Graphbase、Greenplum、SparkSQL、SSDB、ArangoDB、Neo4j、OrientDB等数据库的审计。6.5可以通过导入证书的方式实现MySQL5.6.23及其他版本采用了加密协议通讯的审计。6.6审计信息能够记录执行时长、影响行数、执行结果描述、返回结果集。6.7支持HTML、PDF、PNG、WORD、EXCEL、CSV等格式的报表导出。6.8支持在页面批量安装、配置、删除、挂起、唤醒、启动、停止、升级、回退所有的Agent。6.9支持在审计日志中一键添加过滤规则，支持在告警规则中一键添加信任规则或规则白名单。6.10支持在审计页面直接升级或回退已安装在数据库服务器上的Agent，显示相应的升级/回退进度和结果，且升级或回退不需要输入数据库服务器的账号、密码。7日志审计系统7.1支持≥750个日志源，日志处理能力EPS≥20000/秒。7.2设备规格：标准式机架硬件设备，千兆电口≥5个（包含管理口*1，业务口*4），内存≥32G，硬盘容量≥6T*3（RAID5），电源：1+1冗余热插拔电源，使用芯片+操作系统：国产。7.3支持对日志数据的综合性统一管理平台，满足合规、深度日志数据分析。；7.4支持关联规则性能以界面列表形式显示，可了解触发次数、最近一周监控状态等信息；采用解决方案包上传对产品进行功能扩展，无需代码开发。7.5支持Syslog、SNMPTrap、HTTP、ODBC/JDBC、WMI、FTP、SFTP协议日志收集。7.6支持对Agent进行统一管控，包括卸载、升级、启动及停止操作，支持将日志收集策略统一分发。7.7支持按日期、时间、设备类型、日志类型、日志来源、威胁值、源地址、目的地址、事件类型、时间范围、操作对象、技术方式、技术动作、技术效果、攻击类型、地理城市等参数进行过滤查询。7.8支持解析规则性能以界面列表形式显示，可了解解析耗时、解析成功或失败次数等信息。7.9可对日志进行细粒度解析，解析后的日志根据具体日志包含但不限于：日期、发生时间、接收时间、设备类型、日志类型、日志来源、威胁值、源地址、目的地址、事件类型、时间范围、操作主体、操作对象、行为方式、技术动作、技术效果。7.10具备安全评估模型，评估模型基于设备故障、认证登录、攻击威胁、可用性、系统脆弱性等纬度加权平均计算总体安全指数。安全评估模型可以显示总体评分、历史评分趋势。安全评估模型各项指标可钻取具体的评分扣分事件。7.11支持kafka日志接收转发、大数据安全域同步、APT沙箱报告转发等大数据联调功能。Kafka收发支持SSL加密。8终端防病毒与终端安全管理8.11.中心支持WindowsServer2003SP1及以上版本/WindowsXP（SP3）/WindowsVista/Windows7及以上版本。2.管理中心集成可视化威胁数据概览、终端统一运维管控、漏洞修复、资产管理、级联部署、中心管理、威胁日志报表、邮件预警等八大模块功能，有效针对全网终端安全进行管理与防护。3.终端基于虚拟沙盒环境与通用脱壳技术实现对病毒的有效识别，将病毒防御、系统防御、网络防御和访问控制四大模块深度协作运行，构建主动防御入侵系统，为全网终端保驾护航。8.2提供≥800台windowsPC客户端授权（防病毒、补丁管理、主机防火墙、终端管控）；提供≥60台windows服务器授权（防病毒、补丁管理）；提供≥120台Linuxs服务器授权（防病毒）。8.3中心支持容灾备份功能，当主中心计算机遭受如宕机、断电、硬件/软件故障等意外情况或人为操作错误导致主中心计算机无法正常使用时，备用中心将顶替宕机的主中心且同步数据。8.4支持备用中心查看和审批，支持通过本地安装的配置工具申请成为主中心的备用中心，主中心审批通过后，显示备用中心的相关信息。8.5支持邮件预警功能，当全网发现病毒事件、网络攻击事件、超过一周未更新时发送邮件通知。8.6支持备份终端信息,分组及规则,防护策略,事件日志,管理员信息,系统设置；支持自动备份，按照月/周/时间设置自动备份。8.7支持按全网终端迁移或部分终端迁移，当网络环境发生变化或物理设备出现故障时可转移终端。8.8支持可对终端添加多个中心地址,当终端接入网络环境时,中心可对终端实施管控。8.9支持第三方软件调用API接口，包括调用接口获取全部分组信息、调用接口创建分组、调用接口修改分组名称、调用接口删除分组、调用接口查询上线终端情况、调用接口查询终端详情、调用接口修改终端名称、调用接口修改终端分组、调用接口查询终端详情、调用接口查询。8.10要求中心可统计全网操作系统版本信息、安装时间、激活状态且具有操作系统占比可视化数据图；可统计全网终端硬件信息包括CPU、内存、硬盘、硬盘序列号、硬盘ID、网卡、显卡、主板、主机序列号、显示器且支持硬件清单导出、支持全网终端硬件、软件变更历史记录包括变更时间等其他信息。8.11支持热补丁机制，利用产品自身防御功能，防护其他软件以及系统出现的漏洞，阻止对计算机造成损害与入侵。8.12具有反病毒底层技术，反病毒引擎为本地反病毒引擎，不依赖云（联网时的病毒查杀能力与断网时的病毒查杀能力一致）具有轻量级的病毒库，却有较强的病毒查杀能力。8.13支持基于HTTP协议的数据流量检测，可检测恶意代码并追溯恶意代码来源。8.14支持勒索病毒诱捕，可在根目录生成txt、pem、sql、xlsx、mdb、jpg、rtf、xls、doc、docx等格式的诱捕文件，当出现勒索行为，对其进行捕获并进行隔离。8.15支持恶意行为监控，通过监控程序运行过程中是否存在恶意操作来判断程序是否安全，从而可以作为传统特征查杀的补充，极大提升电脑反病毒能力。8.16支持暴破攻击防护，阻止黑客通过SMBv1、SMBv2、RPC、SQLServer、PDP协议进行暴力破解攻击。8.17支持横向渗透防护，防护内网中已中毒机器感染其他主机，阻止横向传播、病毒以及木马的扩散防护项包括默认共享访问、远程服务创建、远程计划任务创建、远程注册表篡改、远程MMC调用、远程DCOM调用、远程WMI调用有效阻止病毒横向渗透。8.18支持系统加固，针对病毒会利用或修改的系统脆弱点，设置相应的防护规则，有效保护系统关键文件不被篡改、破坏或恶意创建，防止特定注册表项目不被恶意篡改，监控针对系统的敏感行为，拦截高风险动作，阻止特定命令行被恶意利用的行为，保护系统关键进程不被攻击利用，针对病毒特殊行为进行免疫等。8.19支持应用加固，通过对容易被恶意代码攻击的软件进行行为限制，防止这些软件被恶意代码利用。8.20具有终端动态口令验证功能，当终端用户登录计算机时都将弹出动态口令安全认证窗口，若用户设置了计算机密码，该弹窗将在用户输入正确的账户密码后弹出用户需再次输入正确的动态口令才可登入计算机且可设置应用范围：远程登录时启用或本地登录时启用。8.21终端具有弹窗拦截工具，具备自动拦截方式，手动截图拦截方式，可拦截流氓、广告、以及恶意弹窗等。8.22支持病毒查杀时支持开启GPU加速，可将CPU的计算任务转移一部分到系统集成的GPU里来运行，以提升扫描效率。8.23支持导出安全分析报告，对当前中心进行安全状况分析并生成分析报告，可按照最近7天、最近30天、最近一年等时间范围生成报告，也可自定义时间范围生成报告；安全报告支持邮件订阅功能，可给管理员配置订阅功能。8.24包含3年病毒库升级。9备份一体机9.1设备硬件配置：≥2*至强银牌CPU（cpu42142.2G,12C/24T,9.6GT/s）、≥256GB内存、≥2块960GBSSD系统盘、≥24块8TB大容量硬盘；≥2GB缓存RAID卡（含掉电保护）；≥2*1GE电口，≥2*10GE光口（满配光模块）；软件配置要求：配置基于硬件设备的容量授权许可（150TB备份可用容量）一次性交付，不限客户端授权；配置CDP备份模块（10个，150TB容量授权）、配置实时复制模块、配置文件备份模块、配置数据库备份模块、配置数据比对模块、配置在线压缩模块、配置流量控制模块、配置BaseLine模块、配置永久增量模块，配置整机备份模块、配置虚拟机无代理备份；9.2提供厂家软件成熟度模型≥CMMI3认证证书；原厂商需通过ISO14001环境管理体系认证证书/ISO27001:2013信息安全管理系统认证；9.3支持国产操作系统，如中标麒麟、银河麒麟、红旗linux等。满足对32/64位系统平台及应用支持，满足IT系统复杂性和兼容性需求；客户端数量不做限制。提供备份存储服务。9.4支持VMware/KVM/OpenStack/FushionCompute/华为云Stack平台下虚拟机的备份和恢复；支持Linux/Windows/Unix操作系统下Oracle/OracleRac/DB2/Sybase/Informix/数据库的备份和恢复；实现Windows/Linuxx86/LinuxPPC/LinuxIA64平台下MSSQL数据库的备份和恢复；支持Linux/Windows/Unix操作系统下MySQL/PostgreSQL/MongoDB数据库的备份和恢复；支持Linux/Windows操作系统和国产自主操作系统下国产达梦/人大金仓/南大通用/神舟通用/GaussDB/TBase/HighGoDB/UXDB等数据库的备份和恢复；支持国产自主操作系统下Informix/MySQL/PostgreSQL/MongoDB等数据库的备份和恢复；支持Linux/Windows/Unix操作系统下OracleDataGuard环境下数据库的备份和恢复；支持支持Linux/Windows/VM/Unix操作系统下Oracle双机环境下数据库的备份和恢复；支持Linux/Windows操作系统下的ExchangeServer/Domino/SharePoint的备份和恢复；支持Windows/linux操作系统和国产自主操作系统下的整机备份和裸机恢复；支持Linux/Windows/Unix操作系统和国产自主操作系统下数据库自动容灾演练；支持华为、EMC、NetApp等NAS设备基于NDMP协议的在线备份。9.5统一管理平台：所投产品支持WEB方式便捷管理，所有软件功能均为模块化功能，可在控制台进行统一管理。所有界面和支持手册均是中文全中文图形化提供系统管理、资源管理、数据库管理、数据安全、高可用管理、实时数据复制、副本管理、、日志管理等。支持容灾平台支持且不限于用户名密码登录、邮箱登录、手机登录、LDAP登录等方式。支持管理员、普通用户、查看用户等多种权限角色，同时和业务系统嵌入后，保持和备份系统的权限独立。普通用户可以进行设备管理、备份管理等操作；查看用户则可以进行备份内容审计、备份设备审计和备份以及用户管理的审计。以保证灾备平台的安全性。支持平台默认封闭管理员账号，以保证平台自身安全性。平台支持凭据管理功能，能够快速进行大批量部署，避免反复输入密码。支持灾备管理平台备份配置信息的周期性备份与恢复，保证灾备管理平台出现故障后可即使快速恢复。9.6支持工作机与备份机之间网络状态以及备份状态故障诊断检查功能。为保证备份效率及节省灾备数据存储空间，持续数据保护的对象必须为指定的文件及目录，而不是整体lun镜像；支持自由选择需忽略的文件或目录，自动跳过临时文件；支持对上层应用透明访问，无需应用层访问权限。支持被删文件存放于指定第三方路径，实现被删文件3份以上的完整副本，支持被指定路径可直接查看到被删数据，无需合并、恢复等操作，以保证数据安全性。支持缓存和断点续传机制。当备份端硬件故障或网络传输异常中断时，自动缓存生产端数据库的新增数据，系统或网络故障恢复后自动实现断点续传。支持生产端到灾备端数据传输时要基于字节级实时数据传输而非存储块级,