jscert 3包网络安全与管理 投标文件-博雅

江苏省通信管理局互联网数据中心维稳管控平台二期（安全管控部分）第三包网络安全监测与管控系统2014-11汇报内容：投标人简介项目建设方案项目报价与进度安排基础及能力博雅软件股份有限公司（原“青鸟软件股份有限公司”，以下简称“博雅软件”）起源于北京大学，是一家专业从事软件与信息技术服务的大型企业集团。

博雅软件信息安全事业部依托于北京大学网络和软件安全保障教育部重点实验室，重点分析网络与信息安全目前存在的主要问题和薄弱环节，评估、研究互联网、网路融合演进和业务创新对信息安全带来的挑战和应对措施；拥有自主核心技术研发能力，具有统一安全网关、异常流量分析、入侵检测等多个主流网络安全产品的自主知识产权。提供专业的电信级全网信息安全服务，对网络及计算机安全威胁、漏洞进行合理有效的监测、分析、预警，对重大安全事件采取及时有效的应急措施，提供系统的安全应急响应方案。主要资质博雅的网络与信息安全产品研发能力网关监控类安全运维中心综合网络管理风险评估网站守护综合业务网关网络行为管理网络流量控制网络审计运维审计被动域名监测路由异常监测异常流量监测管理服务类主要客户工业和信息化部，中国证监会，中国公安部，中国海关，辽宁公安厅，吉林省公安厅，国家科委，国家旅游局，福建省委，江苏省委机要局，吉林省委机要局，泸州机要局，广西高法，广西高检，上海公安局，上海安全局，宁波公安局，新疆武警边防总队……四川长虹，海尔集团，美菱集团，春兰集团，TCL集团，跃进集团，徐工集团，一汽集团，LG集团，科健集团，步步高集团，五粮液集团，济南国际机场，厦门机场股份公司，云天化股份公司，成都国泰制药，广深铁路股份公司，西门子（成都），高路华集团，山西烟草，甘肃烟草，天津烟草，……在CNCERT网安业务的相关项目经验2009，被动域名安全监测系统及数据分析技术研究一期2010，流监测系统二期2010，被动域名安全监测系统及数据分析技术研究二期2011，流监测系统三期2012，IPv6试点工程流监测子系统2012，基于被动方式的网络安全监测系统综合管理平台研究2014，基于深度流检测的攻击痕迹关联系统2014，288工程公网安全综合管理平台软件汇报内容：投标人简介

项目建设方案项目报价与进度安排项目建设目标将目前江苏管局已有的四个系统“互联网综合管理系统”、“互联网应急处置平台”和“IDC管控系统”、“IP动态比对系统”进行更新升级和功能整合。四个系统的硬件进行更换和升级，对系统功能进行完善和二次开发，同时整合四个系统，使之成为统一的整体，服务行业监管和网络信息安全管理工作。选取一些具有代表性的界面作为展示页面，作为以后管控中心建成后高清大屏展示的内容，如全省IDC机房的3D展示图、网站内容分类的统计图、IDC机房管控设备运营状态图以及管控过程演示示意图等。平台总体架构采集层：多系统多部门共享数据及互联网管理部门共享数据，实现信安、网安各类数据的统一获取和有效整合。存储层：对各数据源数据进行关联分析和综合运用，支撑数据分析和业务管控需要应用层：通过标准的统一接口，进行数据的共享、指令的下发及管理采集层：通过DNS采集系统、爬虫采集系统、企业上报数据、分中心共享数据及互联网管理部门共享数据，实现信安、网安各类数据的统一获取和有效整合。存储层：对各数据源数据进行关联分析和综合运用，支撑数据分析和业务管控需要，并形成管局相关的“网站信息库”、“域名信息库”、“接入信息库”、“IP资源库”等强大资源库进行存储及管理。应用层：通过升级和改造“互联网应急处置平台”把江苏管局现有的“互联网综合管理系统”、“IDC管控系统”、“网络安全系统”和“通信资源应急保障系统”通过标准的统一接口，进行数据的共享、指令的下发及管理。同时管局通过工信部及各企业的系统联动，实现资源的共享、数据的查询、指令的联动。本期系统架构基础:统一系统资源平台提升2项监测能力即网站安全事件的监测能流量异常监测能力建设2项网安手段一体化管理功能：网络安全事件的一体化推送预警功能网络安全系统一体化运维管理功能。本期系统架构整个网络安全管控平台结构门户层、引擎层、以及接口层组成为本期所建的四个平台提供整体的安全防护。门户层：实现网络信息安全管理平台的监测任务管理、安全事件统一展现、安全预警推送、接口管理、系统运维管理等功能。引擎层：实现网络信息安全监控相关的业务逻辑网站安全监测子系统：重保网站监测、安全事件云监测、网页数据的安全分析以及网站访问日志的安全分析异常流量监测子系统：异常流量事件监测、客户数据自动推送以及路由器流量矫正功能系统运维管理模块构成本期系统架构接口层：系统对接：云检测平台、流监测系统以及DNS日志采集，采用多种数据采集方式获取数据：网站数据、DNS日志、流检测数据、网络安全数据。安全防护系统实现本期建设内容的整体安全防护，达到等级保护三级的安全防护要求通过部署防火墙、UTM网关以及网络审计系统，实现平台的边界防护、入侵防护、病毒防护以及安全审计。网站安全监测子系统（1）重保网站的（点监测）功能现有的网站被黑系统、挂马系统实现技术比较单一（爬取指定URL页面，匹配关键字）。新建网站漏洞扫描、被黑发现系统，实现深入的、细粒度的网站运行状态监控，第一时间内发现、预警网络安全事件。采用多元化的网站被黑识别手段，实现对重保网站被黑、被挂马页面的高精准发现，尤其提高网站后门文件、被黑图片的识别功能。网站安全监测子系统（2）第三方网站云检测（面监测）功能定义并实现网站类安全事件的数据同步接口，并开放给多家安全厂商、技术支撑单位（可包含奇虎360、知道创宇、杭州安恒等）试用最终根据测试效果选择一家（或多家）单位，采取购买服务的形式，完成江苏省网络安全事件的实时上报。通过汇总、分析上述数据，利用第三方的网站云检查能力，掌握全省范围内的网站类安全事件态势。（3）网站数据爬取主动监测功能复用舆情系统中网站爬虫所获取到的页面数据，借助数据中心的大数据分析能力，通过特征比对的方式，发现网站漏洞、被篡改、被挂马等网络安全事件（4）离线日志数据分析针对重保网站，借助数据中心的大数据分析能力，对其海量用户访问日志进行大数据分析，发现其中的网络攻击行为。

整体网络分为504内网以及对外服务平台所在的公网。内网系统依托于流监测系统的三级的分布式架构上，分为国家中心，分中心与采集层。内网与外网使用跨网数据交互系统进行数据传输。

网络架构

对外推送接口-1

根据客户所需的业务数据类型配置推送端IP地址，密钥（支持对称加密的单钥和非对称加密的公钥和私钥），具体数据需求（可选择具体报表，FLOW详细数据以及进行DDos监测并推送监测结果，DDos定位信息等）。

对外推送接口-2

内网服务器根据管理员配置的客户信息，根据事件的紧急性，定时或者及时打包并加密结果数据，并生成客户以及数据描述信息（json文件），一起发送给跨网数据交互服务器（加密传输）。交互服务器留存json信息，并保存日志，转发该部分数据到外网服务器（加密传输）。

对外推送接口-3

根据json文件中的具体客户信息，向客户服务器发送加密过的文件信息。根据传输状态返回给504内网系统该客户是否成功接收数据。

重点客户和路由器报表推送

采集路由器BPS，PPS,FPS信息，并分析路由器的流量组成，形成报表。并根据用户的配置，对目标用户进行数据推送。推送可以配置时间段，推送频率根据路由器信息建立历史流量报表，并使用动态基线异常监测报警功能对流量进行监测和异常报警。

重点客户和路由器报表推送

通过504内网根据用户关注的重点IP和IP段，配置成为重点客户监测对象。通过504内网的配置页面配置推送的目标用户信息，需要推送的报表内容，时间段信息，推送频度等。推送的数据包含数据内容和图片格式的统计结果信息。

重点IP流异常监测

重点监测对象可以配置为IP或者IP段。监测的内容分为流量报表，详细FLOW信息的留存以及DDOS监测定位。

1.流量报表按1分钟（普通用户5分钟）为间隔自动生成客户流量报表，IPTOPN，端口TOPN等详细数据报表。

2.重点监测对象FLOW数据快速推送，独立存储（使用MongoDB

）重点客户的FLOW信息以提高查询速度，当客户需要详细数据时。

3.重点监测对象DDOS监测与自动定位。采集路由器的每对IP信息，匹配该IP的流入和流出流量。当该IP存在于出入两方向，则用该IP作为真实IP地址。使用该ＩＰ地址上传到国家中心，针对全国ＩＰ的进行全国流量排名，流量最多的省份为该ＩＰ所在省份，并矫正全网的地址信息库。这两部分内容联合组成本省的活跃ＩＰ信息。该ＩＰ信息每日更新一次，并推送给用户。

活跃IP地址统计系统安全性设计（1）软件系统安全主机操作系统和数据库系统定期自动做备份；开发、测试系统与生产系统严格分开；数据传输、处理有校验功能和较强的纠错功能。（2）网络系统安全对非法的外部登录系统能告警。网络登录应受到监控，对反复试验密码的行为系统能告警系统的各级登录密码严格管理。网络登录密码定期更换。（3）数据安全数据库本身有较强的安全机制；数据安全性能达到相关标准的级别；数据库的用户名和密码应与操作的用户名和密码不同；数据库级，系统应用级数据按照数据备份制度定期备份；数据库有较强的故障恢复能力；内部数据查询应对不同的人员设定不同的级别，每人只能查询与自己相关的数据。(4)应用级安全提供基于业务规则控制的系统应用安全措施。支持根据业务的要求设置功能控制点，对每一个功能控制点实施权限控制。支持根据系统功能应用的具体情况，对于应用系统的某些处理模块和某些功能的使用权限、登录用户对于数据字典的访问权限、应用系统操作人员不同角色的处理权限等，实施权限控制。提供操作日志和审计功能，记录操作员进入和退出的时间，记录每项重要的操作。汇报内容：投标人简介项目建设方案项目报价与进度安排序号名称型号和规格制造商/型号分项价1防火墙支持并发连接数1600000，网络吞吐量2Gbps，网络端口4个10/100/1000BASE-T接口和4个SFP插槽，支持VPN天融信GFW4000-UF

2×5万元2UTM安全网关8个千兆电口主机防火墙:安全规则下发,进程访问控制,攻击防护,流量管理,外设管理；完整的IPS攻击特征库:系统预定义>2000种；防拒绝服务攻击:抵御多种DoS/DDoS攻击,检测并阻断常见的木马程序和后门软件应用流量识别与控制支持P2P、流媒体等多种应用；启明星辰USG-800

1×28万元3网络安全审计系统部署管理:采用旁路部署方式对原有网络不造成影响；数据库审计支持:Oracle,SQL-Server,DB2,Informix,Sybase,MySQL,PostgreSQL,Teradata,Cache；文件共享审计支持:网络邻居审计,NFS协议审计运维审计支持:Telnet协议,FTP协议,Rlogin协议,Radius协议启明星辰天玥CA3001×12万元硬件设备报价总报价175万，其中硬件设备50万，软件系统125万1网站安全监测系统实现重保网站的漏洞监测，基于OWASPTop10漏洞对网站Web应用进行安全漏洞扫描。实现重保网站的被黑行为监测，包括挂马、篡改、暗链、后门等被黑特征的监测。通过特征比对的方式，发现网站漏洞、被篡改、被挂马等网络安全事件。博雅软件股份有限公司

40万元2异常流量监测系统自动监测发现IDC内的DDoS攻击流量、NTP流量、DNS服务器解析流量、重点网站流量等。针对监测对象的数据业务需求，及时以及定时推送数据结果。自动记录采集机上收到的运营商流量PPS，并定期自动比对监测流量与运营商侧流量。博雅软件股份有限公司

40万元3安全事件展现子系统对来自各网安业务系统的基础事件数据，实现网安事件的动态、实时、一体化展现功能。博雅软件股份有限公司

15万元4预警推送子系统在数据中心的基础上，通过对海量安全事件数据进行综合展现、分析与比对，根据预设的事件危害等级，实现重点网络安全事件的实时告警功能。博雅软件股份有限公司

15万元5系统运维管理子系统完成对已有网络安全手段运行状态的可视化管理，监测服务器配置信息、服务器运行状态、进程信息列表、重要程序运行状态、资源使用率，并实现对系统异常状态的实时告警。博雅软件股份有限公司

15万元软件系统报价序号项目阶段开始时间结束时间任务内容人员要求

江苏通管局博雅公司1功能设计2014.11.302014.12.051、系统功能设计2、系统需求分析项目开发小组业务负责人项目设计小组需求调研小组2功能编码修改2014.12.062014.12.201、编写系统功能代码项目开发小组项目设