天津档案馆网络安全项目需求书

项目需求书项目概述1.网络现状A网站服务器托管在网通机房，其余三网在局馆内部，均为物理隔离的独立网络。2.建设内容统。要求为专业用于网站防护的硬件产品，有强大的防注入、防篡改、防攻击、防挂马、防病毒等功能，还要有强大的审计功能，自身安全性能强，吞吐量大，具有布置简便、操作简单的人性化管理界面。括：监控、审计、上网行为管理、非法外联、资产管理、外设管理、打印管理、U盘管理等。主要用于内网与外网的信息安全交换，单机系统，自带正版杀毒软件。权、系统以及数据库(Windows2003及SQLSERVER2005除外)。内外网安全内、投标前与招标方联系确认。1.投标书内容要求考虑系统现在及未来发展的要求，设计出完整的实施方案；2.招标文件的技术部分应至少包含以下技术文件：型及配置。人员，编制工程进度计划，对工程建设各阶段进行合理划分。行针对性编制。性变化。总体要求产品进行投标；如遇所选产品不能满足本次项目建设要求或工程中存在缺漏项情况，中标人应承担相应损失，投标总报价不做调整。本项目建设周期为15个工作日，在规定时间内包括硬件、软件、集成、安装、调试等必须完成。收的申请。成之后提供详细准确的项目完工资料、用户手册、管理手册等技术资料。全面技术支持服务，确保试运行的顺利进行；1.本次项目求：.内外网网络安全管理系统和网站防护产品为同一品牌.内外网网络安全管理系统：3套，共计200点。.外网网站防护系统：1台.内外网数据摆渡系统：18套.台式机：18台.U盘：45个2.详细参数与性能要求：1)内外网网络安全管理产品性能参数：别术描述能令网络接入控制X入认证组合。令网关强制代理软件的终端与外网URL请求重定向到一个代理安装包下载快代理端的安装部署。令补丁管理要求。自动搜集终端主机的已安装补丁信息，并且通过与微软WSUS联动，统计各终端主机的未安装补丁信息，完成安全补丁的自动分发，保证终端主机及时打上最新的安全补丁，防止安全漏洞被利用，投标方在项目实施时应布置WSUS系统，补丁自动分发系统能够正常运行。令病毒库同步毒库管理要求。品。在上述补丁管理、病毒库同步基本安全保护的基础之上，从网络层、法入侵。令防ARP欺骗PARPARP正常稳定、快速协助管理人员定位网络中存在的问题。令主机入侵保护程控制、拒绝服务等各种攻击类型。SnifferFlood测内网终端主机的Sniffer行为以及洪水攻击行为。令异常端口监听上进行服务监听。令恶评软件查杀时自动检测各个终端是否被安装了恶评软件，根据安装的IE插件的信息，汇总到服务器统一展示。管理员可以设置哪些IE插件允许使用，哪些IE插件禁止使用。令网页防挂马IE页脚本时的漏洞来注入木无声息地注入木马。行为进行全方位的审计，一旦发生数据泄密事件后也可以做到有据可查。令外设访问控制对移动存储设备的使用进行严密控制，注册管理保证只有登记造册、管理员允许的移动存储设备才能在内网使用；数据读写控制保证终端用户对移动存储设备的使用权限完全受管理员控制；加密管理保证关键移动存储设备上的数据是加密存储的，即便被非法拿到外网使用，也无法获取其上存储的涉密信息；分组管理将移动存储设备、计算机进行分组，方便策略定制；审计功能保证EPS既能审计到终端主机插拔移动存储设备的行为，也能精确审计到终端用户对移动存储设备的文件读写行为。同时针对常见的外设端口类型(USB、红外、串口、并口)和设备类型(软驱、光驱、无线、蓝牙、键盘和鼠标、打印机)进行监控，对违反策略的行为及时告警并禁止使用，防止数据泄密。令非法外联检测从主动和被动两个方面全面检测终端主机的违规外联行为。能够按照管理员指定的时间间隔周期性地主动探测终端主机是否已能连通外网网址，能够联通则认为已经违规外联，则立即进行断网处理。另一方面，接多个网卡、改变网卡配置、拨号等外联手段都能够触发相应的检测程序，进而被动检测到终端用户的违规外联行为，并实时阻断。综上所述，通过主动探测、多网卡检测、网卡配置检测、拨号检测多种手段监控终端用户，杜绝违规外联行为。令全方位审计现违规操作及时报警，为数据防泄密设好最后一道防线。令资产管理自动收集计算机的软硬件资产信息，硬件资产信息包括：CPU、内存、主板、网卡等；软件资产信息包括：操作系统、杀毒软件、应用软件信息、计算机系统摘要、终端代理相关信息、当前策略信息、补丁信息等。自动发现以上各类软硬件资产的变化情况，灵活生成各种告警与图形报表，及时掌握每个终端用户资产最新状态，避免资产流失，方便企业资产的统一管理。令软件分发用户可以将应用软件的安装包(EXE/MSI格式)、各类文件分发到指定的机器上并执行。令交换机管理互查功能，能够打开或关闭指定的交换机端口。令系统性能监测值，及时告警通知。令远程支持管理员可以通过远程桌面连接到安装代理的终端进行管理和维护操作，支持客户端授权模式，确保系统安全性。本系统提供了两种模式的远程链接，一种是不支持鼠标和键盘输入的监视模式，另一种是支持鼠标和键盘输入的完全控制模式，很好地满足了管理员进行远程连接的不同需求。支持信息服务功能，管理员可以及时快捷向终端发送各种通知信息。令应用软件监控通讯等与工作无关、严重影响网络环境的软件，保证企业利益最大化。令上网监控的行为，并能按照预设的关键字对网页内容进行告警。令网络配置强制认的配置信息。针对重点服务器IP采IP优先权，避免地址冲突，提高内网管理效率。令强制域登录措施。令策略管理提供分时、分组、分场所策略管理，支持不同机器组在不同时间、不同网络环境执行不同的安全策略，可根据时间、场所(内网或外网)自动切换安全策略。策略类型可以灵活组合，包括：网络接入控制策略、补丁管理策略、病毒同步策略、主机入侵保护策略、主机防火墙策略、异常端口监听策略、防ARP欺骗策略、应用软件监控策略、外设访问控制策略、非法外联监控策略、网络配置强制策略、强制域登录策略、上网监控策略、终端审计策略、系统性能监测策略、远程支持策略等。令分级分权管理没有级数限制。灵活设置上下级管理服务器，能够通过上级服务器管理下级服务器。中心支持分权管理功能，为不同的部门分配不同的管理员角色，部门管理员只能管理、查看、编辑管辖区内的终端信息。令系统自保护通过多种技术手段(加载项保护、系统隐藏、防篡改保护、防进程删除)防止安全代理受到非法破坏，保护系统正常、稳定地运行。支持授权安装功能，注册到服务器的代理只有经过管理员的批准才能成为合法代理，否则即使安装了代理也和未安装代理的机器一样只能访问受限的网络。支持在线卸载，可批量卸载安全代理；支持授权卸载，终端用户在卸载安全代理的时候必须输入授权码才能执行卸载。令查询与报表能够方便地查看各种安全告警事件、违规事件和网络访问事件。通过报表可以了解最新的补丁、反病毒软件安装情况，可以根据资产构成、变更、网络告警等条件生成丰富详细的图形报表并支持多种文件格式的下载。令集中升级以先只升级测试区域内的终端，待其测试通过后再升级所有终端。令用户管理管理，用户可以指定管理机器的IP地址，保证只有授权IP才能访问。令管理审计性。令系统支持全面支持Win2000，win2000sever,winXP,win2003,win7等操作系统，安全系统能够做到升级更新。令产品资质要求具有中华人民共和国公安部的《计算机信息系统安全专用产品销售许可证》。评中心的《涉密信息系统产品检测证书》2)外网网站防护产品性能参数：术描述PHTTP析能够完全解析HTTP事务、了解HTTP事务的交互流程、并对关键的事务信息进行解码处理，而无需中断HTTP连接。产品必须检查HTTP头字段、URL参数、表单字段、方法、Cookie和其他HTTP元素支持HTTP协议解码并对相关字段进行检查，包括方法、用的HTTP编码类型等。息跟踪作为服务器与客户端(浏览器)的中间设备，基于对HTTP协议的解码，能够跟踪会话信息，识别用户、Cookie或参数及其他会话信息，为用户提供基于会话的、可靠的保护。向安防护策略模型由基于静态规则的反向(黑名单)安全模式及基于智能用户行为识别的动态防护机制(正向安全模式，即白名单)构建。 ons实际应用灵活地调整具体特征规则。关联策略验证避免告警误报率高为用户管理带来的告警风暴。性TPRFCP护功能。HTTPS支持产品能够对SSL(HTTPS)加密会话进行分析。WEB洞产品提供SQL注入、跨站脚本(XSS)漏洞的扫描与分析。产品提供网页挂马主动检测功能。WEB构历等攻击。WEB全产品可防御SQL注入、XSS及跨站请求伪造(CSRF)。产品可防御常规盗链和分布式盗链。产品可防御恶意扫描。kie露，以及Cookie篡改。产品可提供服务器信息伪装/过滤，避免出错信息暴露网站敏感信息，为攻击者利用、提升攻击成功概率。产品提供URLACL功能。提供页面预取功能，自动监测页面被篡改情况。篡改前的正常页面。页篡改防护策略。提供恶意代码过滤功能。支持敏感关键字自定义功能。击产品可防御欺骗与非欺骗的TCP(如SYN,ACK)DDoS攻击及变种。HTTPFlood攻击具备专门的防护手段，能够对HTTP进行解码，对不同类型的URI请求合法性进行验证，实行不同的防护策略。写规则即可对这些攻击进行防护。产品提供基于五元组(源IP地址、目的IP地址、源端口、目的源口、协议类型)及接口的ACL访问控制功能标时延s事务数s提供安全报表(告警分类统计报表、告警时段统计报表、告警区域报表)、访问统计报表(访问时段、访问区域及业务类型)及流量趋势报表。可按事件类型、统计目标或周期类型等条件进行统计。支持将生成的报表以Excel及打印等通用格式输出。提供系统运行日志及安全防护日志(网络层访问控制、WEB访问)。可基于时间、IP、端口、协议、动作、事件类型、支持Syslog日志服务器。用HTTPS。系统自身安全可靠，不依赖于WEB系统自身安全级别。BYPASS方案网络接口内置fail-open特性，产品出现故障时，能自动转变成通路，不影响流量正常传输。现旁路保护，避免网络中断等事故的发生。EAL3级别3)内外数据摆渡系统别术描述同网络或涉密与不涉密的计算机之间进行数据交换的专用机。2、剪切、复制、粘贴、删除、杀毒、重命名、属性等操作一应俱全，充分满足了摆渡过程中的各项操作要求。息被带入内部网络。dows户只能在本机上做摆渡操作，只有管理员才能退回到Windows界面。、本系统会完整的记录用户所有的摆渡操作，形成日志，并可以查询、打印、导出日志信息，形成报表配合有关部门进行审计，可以取代人工登记管理，有效保证信息安全。式；4)台式计算机别术描述名牌产品/品牌机/CPUE5300/2GDDRII/SATA2320G(7200转)/SATADVD/