智慧校园信息安全项目需求

智慧校园信息安全项目需求货物清单明细序号货物名称是否进口是否免税数量单位备注1终端杀毒否否100点2零信任2.1可信访问控制台否否1套2.2可信应用代理系统否否1套3态势感知系统3.1流量采集探针否否3套3.2分析平台否否1套4服务器安全管理系统否否20点5数据审计否否1台6防火墙否否2台7上网行为管理否否1台8密码安全8.1数字证书认证系统否否1套8.2密钥管理系统否否1套8.3服务器密码机否否1台8.4智能密码钥匙否否40套9网站安全监控系统否否1套核心产品具体技术要求序号货物名称招标技术要求1终端杀毒1.1信创版终端杀毒软件，产品支持通过管理中心对安装杀毒客户端的主机进行集中管理，具备病毒检测、病毒处理、策略自定义、隔离区管理、样本提交、告警信息、日志、升级更新、统一管理等功能。1.2支持文件分发到单个终端、部门终端、全网终端的功能，并支持分发到终端桌面、下载目录；支持文件分发落地后立即执行，指定时间执行，带参数执行；支持设置终端接收文件后提示确认、不提示。支持设置分发任务有限时间，如一周或者具体的制定日期时间。1.3支持查看全网资产的情况，包括计算机名、IP地址、MAC地址、操作系统、芯片类型等信息；支持对终端进行CPU和内存占用的资源实时监测，并可将占用和使用情况上报管控中心。1.4支持多个策略同时下发到同一终端，并按照策略优先级高的策略生效执行；此策略按照生效时间、生效规则、生效条件自动进行优先级匹配；支持生效规则和生效时间设定，策略可以根据生效规则下发到不同范围类型的终端上去，同时可针对多个策略设定不同的生效时间，确保策略在管理员指定的时间和条件范围内生效。1.5病毒查杀：支持通过分组或筛选对指定范围的终端下发快速扫描、全盘扫描、强力查杀、隔离区恢复；支持压缩包查毒，压缩层次支持不少于10层；发现病毒时的处理方式包括由程序自动处理及由用户选择处理两种。1.6支持分组策略下发，可以针对不同的终端分组（部门）下发不同的策略；支持防退出密码保护和防卸载密码保护，支持固定密码和动态密码；监控周期内，支持客户端上报当前状态日志。2零信任2.1可信访问控制台2.1.1可信访问控制台：虚拟化部署，为TAP、TIP提供集中配置、管理、会话、授权等能力；可和外部身份与访问管理平台实现认证、权限策略管理等能力；基于身份、环境、终端、应用、行为评估实现动态访问控制。含零信任客户端授权不少于4000个。2.1.2支持使用企业微信、钉钉和飞书登录认证，用户可使用企业微信、钉钉和飞书扫二维码进行登录。2.1.3提供用户概览统计能力，包括用户总数、启用用户数、锁定用户数、禁用用户数等信息，提升管理员运维能力。2.1.4支持从用户属性、环境属性、行为属性、终端属性维度设置准入策略，便于对用户准入进行控制。支持按认证方式、人员标签、共享账号、信任等级、设备绑定次数设置用户属性，以实现基于用户属性的准入控制，保证只有通过严格的身份校验后才能正常进入系统。2.1.5提供设备概览统计能力，包括终端总数、启用终端数、锁定终端数、禁用终端数等信息，提供设备绑定概览统计能力，包括绑定总数、管理员绑定数、申请审批绑定数、自助绑定数等信息，提升管理员运维能力。2.1.6设备原厂商通过测试依据：《ZeroTrustReadySDP解决方案基准能力测试方案»测试评估并获“ZeroTrustReady”认证。2.2可信应用代理系统2.2.1可信应用代理系统：虚拟化部署，实现应用的可信接入，提供业务应用访问安全通道服务、应用数据加解密服务、应用隐藏服务；根据身份、环境、终端、应用、行为等属性及可信环境感知状态，动态控制用户的应用访问，保证业务应用访问的安全策略控制及强制实施。2.2.2支持UDP+TCP单包授权机制，UDP+TCP方式默认不开放端口，可避免业务应用的端口被扫描，进而避免利用端口对业务应用发起攻击的风险。2.2.3支持连接到访问控制台，并根据访问控制台的自身策略，提供文件监控与防护，可监控与防护文件的读取、写入、删除、创建、执行、链接、重命名操作，从而缓解通过恶意文件的方式，对零信任系统进行攻击的安全风险。2.2.4支持全局逃生设置及按规则逃生设置，按规则逃生设置包含按IP逃生、按User-Agent逃生、按可信访问控制台状态逃生，从而保证已登录的在线用户，在系统故障期间能够继续使用零信任。2.2.5支持预防synflood攻击、忽略icmp回显请求、禁用SSLv3tLS1.0以及开启TOA，支持网络测试，提供ping、arp、link方式进行连接测试，提供tcpdump网络抓包。2.2.6管理加解密算法的强度，加密算法选择支持：AES128-SHA,AES256-SHA,ECDHE-RSA-AES128-GCM-SHA256,ECDHE-RSA-AES256-GCM-SHA384,ECDHE-RSA-AES128-SHA,ECDHE-RSA-AES256-SHA,DES-CBC3-SHA,RC4-SHA,RC4-MD5。3态势感知系统3.1流量采集探针3.1.1硬件参数：内存≥16G，硬盘总容量≥4TB，规格≥2U，冗余电源，≥4千兆电口，≥4千兆光口，≥2万兆光口。需采用国产化cpu和操作系统的设备。性能参数：网络层吞吐量≥8Gbps，应用层吞吐量≥2.8Gbps。3.1.2配备≥4*USB接口；≥1*DB9Console接口。3.1.3支持自动识别内网的服务器及其开放的服务与端口，支持以列表形式显示资产IP、提供的服务及其开放的端口、设备类型、操作系统等信息。3.1.4支持访问检测日志，包括正常访问、风险访问、违规访问。3.1.5支持检测出网络中的网络拓扑设备进行绘制，更多直观可视化查看网络整体情况。3.1.6支持流量抓包分析，基于五元组灵活抓取数据包，可定义配置源IP、源端口、目的IP和目的端口、传输层协议以及标签类型（vlan、mpls）选择添加抓包任务，接口额外提供标签选项，帮助安全工程师高效分析威胁。3.1.7支持多种类型弱口令策略可选；支持自定义FTP弱口令检测，规则设置如空口令、用户名和密码相同、长度、弱口令列表等。3.1.8支持传输协议审计日志，包括https、http、DNS、邮件协议审计日志、SMB、AD域、WEB登录、FTP、TELNET、ICMP、SNMP、SSL、SSH、SIP、ONVIF、NFS、SOCKS、dhcp、netbios_nbns、全流量元数据审计、数据库审计协议等。3.1.9支持3年硬件质保、软件升级、远程技术支持和上门实施、每年一次巡检服务。含三年威胁情报更新授权与规则升级授权。3.2分析平台3.2.1单台设备接口≥4千兆电口+2万兆光口，单台设备内存≥4*32GB，单台设备标准2U机箱。单套设备服务器≥3台。需采用国产化cpu和操作系统的服务器。3.2.2单台设备配备≥4*USB接口；≥1*DB9Console接口，包含≥2个SOAR流程授权，960GSSD+12*4TBSATA存储硬盘。3.2.3单套设备的性能可至少达3亿日志量/天。3.2.4支持将第三方设备产生的每个级别的数据（日志，告警，事件）进行统计，直观的看出每个设备的数据使用情况。并支持将接入的第三方设备进行数据质量效果评级，且至少支持三个不同级别。3.2.5支持展示资产统计、资产来源、资产类型分布、资产防护统计、资产互联网暴、指纹信息、高风险应用统计、特殊账号统计TOP5、端口统计TOP5、应用软件统计TOP5、数据库统计TOP5。3.2.6支持攻击链、入口点、父子进程、影响面的还原，可支持进程树纵向拓展至10个及以上层级，横向拓展至15个及以上层级，以对风险资产的复杂威胁提供更全面细颗粒度的展现视角。3.2.7支持自定义报告生成，包括时间、报告组件、可视化组件、图标设置及文字编辑，可上传自定义页眉和自动化目录生成，支持预览和导出。3.2.8支持不同安全视角展示4个独立的大屏展示功能，包括全网安全能力监控大屏、安全运维大屏、安全告警监控大屏、资产态势大屏等，支持自定义配置大屏统计周期。3.2.9支持多源告警消减与融合能力，具备对告警进行payload相似度、单个攻击源对多个目标发起的相似攻击、多个攻击源对单个目标发起的相似攻击等维度的深度聚合归并能力。3.2.10支持规则库及补丁包离线导入、可设置并规定升级时间范围，规避业务峰值升级造成影响。3.2.11支持事件智能定性分析，可以将事件诊断定性为定向攻击、病毒事件、自动化攻击、风险暴露、未定性威胁等。同时，支持告警智能定性分析，可以将告警诊断定性为定向攻击、攻防演练、内部测试、监管通报、病毒、扫描器攻击、脆弱性风险、业务不规范与其他威胁等。3.2.12提供2年专家全天候在线、节假日守护、7*24小时重大事件应急响应的安全运营服务。3.2.13三年硬件质保、软件升级、含三年威胁情报更新授权与规则升级授权。远程技术支持和上门实施、每年一次巡检服务。4服务器安全管理系统4.1提供信创版单CPU安装版系统，系统需与客户原有的服务器安全管理系统兼容;包括防病毒+防火墙+入侵防御三项功能;包括7X24小时远程电话支持服务、病毒库+入侵防御规则库升级、软件升级服务。4.2系统需要可独立完成管理、自带升级功能、特征库升级、代理云查功能，无需额外部署升级服务器、代理服务器等节点。4.3提供防火墙功能，支持虚拟机/终端系统的双向控制。可提供对威胁情报实时分析网络流量功能，检测出失陷主机并提供监控及阻止失陷主机与恶意域名的连接功能。4.4支持开启实时防护防恶意软件，支持多种防恶意软件引擎，包括云查杀引擎、启发式引擎、增强引擎、人工智能引擎；恶意软件处理支持隔离、删除、修复、监控多种处理方式；勒索病毒防护支持勒索诱饵防护、禁止删除系统还原点、内核免疫。支持病毒查杀的结果生成报表、报表生成可以定制时间。系统支持快速扫描、全盘扫描、扫描制定目录、定制扫描等安全操作；针对压缩文件处理，支持压缩文件数量、压缩层级、压缩包大小进行精确扫描。4.5应支持入侵防御功能，产品预置入侵防御规则应不少于8000条次（不包含自定义规则），需覆盖操作系统、数据库、web服务器、中间件、应用、渗透工具、开发工具、论坛系统、暴力破解、邮件系统、商务/企业管理等多种类型防御规则，防御规则安全等级支持严格、高、中三种预定义级别。针入侵威胁，提供检测和阻止模式，可针对出入虚拟机的流量进行检测识别，防御网络攻击及入侵行为。4.6应支持上网行为管理功能，对应用协议的内容进行解析和识别，包括应预置应用分类协议库，针对分类配置阻止、强制允许策略；应用分类协议库需包含主流应用及协议，如：P2P、交通/旅游/地理、体育、即时信息、商业、商城/在线购物、域名管理/云计算、娱乐/游戏小说、安全服务、宗教、工作/效率、应用服务、彩票/赌博、成人、招聘教育/文化/艺术/历史数据库文件/存储服务、新闻/军事、生活服务、瘦客户端、社交网络、科技/数码/手机/计算机/通信、统计/分析、网址导航/搜索引擎、网站浏览、网络基础服务、营销/广告、认证、论坛/社区、软件下载、软件开发、邮件、金融/财经/网银/支付、隧道(Tunneling)、音频/视频等。5数据审计5.1支持国产芯片和国产操作系统，设备≥2U，内存≥16GB，硬盘≥4T，电源≥双电源，板载：RJ45接口≥1个,USB接口≥2个，千兆电口≥10个，千兆光口≥4个，万兆光口≥2个。5.2支持的数据库实例个数≥12，双向审计数据库流量100Mbps。5.3支持Oracle、MySQL、SQLServer、DB2、Informix、Cache、PostgreSQL、达梦、南大通用(GBase）、人大金仓等主流及国产数据库的审计。5.4设置日志检索条件时，检索条件可根据历史信息自动弹出，即输入检索条件时支持智能联想。5.5支持安全规则遍历匹配，针对某个操作，将全部安全规则进行匹配，并返回所有匹配的告警结果。5.6历史会话中的审计记录支持直接导出，支持通过“查询分析”按钮跳转至审计日志页面进行进一步的分析筛选。5.7支持在审计日志中一键添加过滤规则，支持在告警规则中一键添加信任规则或规则白名单。5.8可以通过导入证书的方式实现SQLServer、MySQL等采用了加密协议通讯的审计。5.9可根据客户端工具名、数据库用户名、操作系统用户名、客户端主机名、数据库名、操作类型等配置行为模型，并可查看相应告警日志。5.10支持数据库请求和返回的双向审计，包括返回结果集和返回字段、执行状态、影响行数、执行时长、客户端工具、主机名等内容，支持通过设置保存行数、最大保存长度来控制返回结果集的大小。5.11支持安全规则优先级设置，在匹配规则时支持按照优先级顺序进行匹配并返回唯一匹配结果。5.121支持在日志页面一键取证。5.13支持在界面查看告警日志，同时支持邮件、短信、企业微信、钉钉、SNMP、SYSLOG等方式实时告警。5.14通过曲线图方式直观展示每小时统方告警数量，支持首页显示统方告警名称的TOP5。5.15审计信息能够记录执行时长、影响行数、执行结果描述、返回结果集。6防火墙6.1网络层吞吐量≥50G，并发连接≥3000万，每秒新建连接数≥28万，至少包含1个管理网口，1个HA接口，2个40GQSFP光口（含QSFP模块），6个万兆SFP+接口（含光模块），16个千兆SFP接口（含光模块），8个10/100/1000BASE-T（支持4对硬件bypass）;标准2U机箱；冗余电源，支持国密算法IPSecVPN、SSLVPN功能。含三年应用识别库、URL分类特征库、病毒防护特征库、入侵防御特征库升级服务及威胁情报订阅服务。6.2支持基于主机或威胁情报视图，统计网络中存在安全风险的主机数量以及对应的风险等级，至少可查看遭遇风险的时间、威胁类别、情报来源、威胁简介、失陷主机IP、用户名、资产等信息。6.3支持在源地址转换过程中，对NAT地址池利用率进行监控，并在地址池利用率超过阈值时，通过Trap、邮件等方式告警。6.4支持MPLS流量透传；支持针对MPLS流量的安全审查，包括漏洞防护、反病毒、防间谍软件、内容过滤、URL过滤、文件过滤、邮件过滤、行为管控等安全防护功能。6.5支持灵活的服务链管理功能，支持串接链和旁路链；支持灵活的细粒度引流策略，可基于源安全域、目的安全域、源用户、源地址、目的地址、服务、VLAN、服务链、流量方向的引流策略。6.6能够对HTTP/FTP/POP3/SMTP/IMAP/SMB六种协议进行病毒查杀；本地病毒库规模大于3000万。支持在设备漏洞防护特征库直接查阅攻击的名称、ID、CVEID、CNNVDID、CWEID、严重性、漏洞平台、类别名称、描述、解决方案建议等详细信息。6.7支持VXLAN功能，详细包括VXLAN二层转发、VXLAN三层转发、IPv6VXLAN二层转发、IPv6VXLAN三层转发功能；支持流量编排功能，详细包括PNF功能、PNF探测功能、服务链监控、服务链负载均衡、流量编排支持隧道接口；支持动态路由功能，详细包括OSPF与BFD联动、OSPF与BFD联动IPV6、BGP与BFD联动、BGP与BFD联动IPV6功能。7上网行为管理7.1性能参数：网络层吞吐量≥20Gb，应用层吞吐量≥9Gb，带宽性能≥5Gb，支持用户数≥50000，包转发率≥1Mpps，每秒新建连接数≥80000，最大并发连接数≥3200000。7.2硬件参数：规格≥2U，内存大小≥24G，硬盘容量≥128GSSD+960GSSD，电源：双电源，接口≥4千兆电口，≥4千兆光口，≥2万兆光口SFP+。7.3支持路由模式、网桥模式、旁路模式部署。7.4支持根据IP、协议、带宽、域用户、域名、应用、DSCP设置选路策略。7.5支持多种认证方式，包括本地用户名密码、第三方服务器、短信认证、二维码认证等。7.6支持内置支持2000种以上网络主流应用，管理IM、webIM、微博、网络游戏、网络炒股、P2P、流媒体、远程控制、木马、代理翻墙软件、移动APP等常用网络应用。7.7支持对单个用户/用户组、位置、终端类型等设置日流量、月流量配额，当配额耗尽后，将用户加入到指定的流控黑名单惩罚通道中。7.8支持客户端SSL解密，客户端会自动推送根证书安装；同时，支持账号密码+动态令牌（AuthenticatorAPP）验证码身份认证，支持通过短信和密码绑定动态令牌。7.9支持通过抑制P2P的下行丢包，来减缓P2P的下行流量，从而解决网络出口在做流控后仍然压力较大的问题。7.10支持SSL加密网页的内容检查，可对SSL加密网页进行解密并识别、过滤其内容，针对加密后的钓鱼网站、非法网站，可对用户进行重定向告警。7.11支持3年硬件质保、软件升级、远程技术支持和上门实施、每年一次巡检服务。8密码安全8.1数字证书认证系统8.1.1支持龙芯、飞腾、麒麟、兆芯、统信等适配平台；具有高可靠性的安全机制及完善的管理及配置策略，可以提供自动化地密钥和证书管理服务，支持多操作系统。系统对整个证书的生命周期进行管理，主要功能包括初始化、系统管理、证书模板管理、RA管理、CA证书服务、CRL管理、证书发布、日志审计和接口服务等。8.1.2支持通过RA管理终端或HTTP接口对外提供证书请求服务（证书申请、证书更新、证书延期、证书恢复）。8.1.3支持通过超级管理员管理业务管理员、再由业务管理员向下授权的方式，可以有效的将授权功能集中在一个身上再向下扩散，多级权限管理方式实现对管理员的控制和管理及事件追踪。8.1.4支持证书全生命周期的管理，包括证书管理证书的申请、审核、生成、签发、存储、发布、注销、归档等。8.1.5支持多种数据库：系统支持多种数据库，数据库包括：MySQL、postgresql、GBase。8.1.6多算法支持：支持签发SM2证书，支持输入密钥索引和/或密钥索引范围（1-5000），支持输入1，3或者5-12或者是单个密钥号；支持签发RSA1024证书、RSA2048证书，可扩展支持RSA3072证书、RSA4096证书。8.2密钥管理系统8.2.1私有化部署环境支持应用系统对接限制数量5个，数据库实例对接限制数量5个；云环境下支持2个租户；软件交付，虚拟资源由招标人提供，需求为：4C/8GB/200G存储。QUICKCSP作为信息系统与密码应用系统及密码设备之间的重要中间件，提供统一的密码接口、密钥管理、密码设备与计算资源调度，以及特色的密码设备模拟器，一站式解决信息系统密码建设难的困境，快速赋能安全合规的国密能力。8.2.2支持密码服务可视化、以大屏动态展示的方式清晰直观反馈出所有密码服务的运行状态、应用服务排名等运行信息，提高密码服务感知效果，包含系统信息、近七日密码服务趋势、密码服务类型统计，密码服务应用top5，近期访问，密码服务总次数，密钥总数量，应用总数量，加密服务吞吐速率，MAC-SM3吞吐速率，签名验签速率，时间戳速率，支持以柱状图的方式展示成功次数等。8.2.3提供数据加解密、签名验签、HMAC、CMAC、摘要计算等密码服务能力，通过封装SDK接口调用。8.2.4加密插件或加密代理对应用透明，实现数据写入数据库时自动加密，从数据库中读取时自动解密；不影响管理员使用数据库提供的工具实现备份恢复和运维。8.2.5支持密码服务发布功能，提供对称加解密、非对称加解密、签名、验签、MAC计算、MAC验签、数字信封加解密、时间戳创建、时间戳验证等能力；提供文件加解密，支持版式、流式、图像音视频等文件。支持对数据库中历史的存量明文数据进行批量加密，支持对密文数据进行模糊查询。8.2.6提供密码计算资源池管理，密码计算类型包含SM4对称加密、SM4对称解密、SM2非对称加密、SM2非对称解密、SM2签名、SM2验签、MAC-SM3、时间戳签名、时间戳验签。并能够显示各密码计算类型的计算能力及使用率等。8.3服务器密码机8.3.12U机箱，CPU≥8核，内存≥16G，硬盘≥512G，≥6个千兆电口，≥4个光口，1个RJ45串口，2个USB口，350W冗余电源。8.3.2性能：SM1算法加/解密速率≥880/880Mbps。SM4算法加/解密速率≥880/880Mbps。MAC≥890Mbps。SM3杂凑算法速率≥500Mbps。SM2密钥对生成速率≥16000Tps。SM2签名/验签速率≥12000/6000Tps。SM2加密/解密速率≥3500/5000Tps。随机数生成速率≥76Mbps。8.