轨道交通线网云平台系统用户需求书-中心部分网络安全专用技术要求

i 4 4 6 8 1投标人应无条件配合招标人对轨道交通线网信息安全相关事宜的统一安排2业务系统的安全应由应用系统自身安全机制和云平遵循《网络安全等级保护安全设计技术要求》（GB/T25070-2019），等级防御的安全体系，并且它们始终都在安全管理中心的3系统自身安全风险防护需求，对各信息系统区域边件，包括骨干网/城域网及局域网主干核心系统。不同安全等级的通信网络有着根据GB/T22239-2019《网络安全技术网络安全等级保护基本要求》，分4物理安全风险主要是指网络周边的环境和物理特性引起的网络设备和线路行的前提是将物理层安全风险降到最低或是尽量考虑在非正常情况下物理层出5合理的划分安全区域，子网网段和VLAN；区域边界的安全主要包括：边界防护、访问控制、入侵防范、要对内部非授权用户私自连到外部网络的行为进马、间谍软件、可疑代码、端口扫描、DoS/DDoS等，实现对网络层以及业务系6网络（包括Internet、广域网、局域网）形态进行传播，因此为了安全的防护用户名/口令的复杂度，且防止被网络窃听7储，会使很多安全事件漏掉，给系统安全运维8用程序等进行可信验证，并在应用程序的关键9了数据脱敏系统的核心需求，确保了数据脱敏体、客体进行统一安全标记，对主体进行授权应对网络链路、安全设备、网络设备和服务器等的应对安全策略、恶意代码、补丁升级等安全专职安全管理人员，职位不可兼任；应对关键事批的项目、审批部门和审批人等信息；应记录授权专家作为常年的安全顾问，指导信息安全建设，参与安应及时取回各种身份证件、钥匙、徽章等以及人员进行全面、严格的安全审查和技能考核；应息进行展示，安全管理中心需要个性化的安全管理应依据《GB/T39786-2021信息安全技术信息机房通信时进行网络通信安全防护，涉及的密码应用需求主要有:依据《GB/T39786-2021信息安全技术信息系统密码应用基本要求》中5）可采用密码技术对从外部连接到内部网络的设备进行接入认对系统中的应用服务器、数据库服务器、网络设备、安全设备进行运维管理，依据《GB/T39786-2021信息安全技术信息系统密码应用基本要求》中4）宜采用密码技术保证设备中的重要信息资6）宜采用密码技术对重要可执行程序进行完整性保护，并对其来源进行依据《GB/T39786-2021信息安全技术信息系统密码应用基本要求》中8）在可能涉及法律责任认定的应用中，宜采用密码技术提供数据原发证根据《GB/T39786-2021信息安全技术信息系统密码应用基本要求》第投标人提供的安全方案中所有串接于网络安装的安全设备均应具有BYPASS提出完整的云平台网络安全防护方案包含但不限于安全通信网络、安全区域1）租户业务平面主要承载各租户的业务数据和操作，确保各3）运维平面用于运维人员的操作和管理，确保设备维护和系统更新等操作投标人应根据轨道交通线网云平台一期工程实际情况及云平台二期工云平台一期工程已对云平台信息安全防护进行建设，本期工程仅针对云边部署下一代防火墙FW和入侵防御IPS功能模块，实现访问控制和入侵部署下一代防火墙FW和入侵防御IPS功能模块，实现访问控制和入侵扩容数据库状态监控系统，实现数据库各项活动监测如事物活动、I/O部署下一代防火墙FW和入侵防御IPS功能模块，实现访问控制和入侵扩容数据库状态监控系统，实现数据库各项活动监测如事物活动、I/O部署流量探针采集云平台、虚拟机、网络中的流量信息，进行异常分析（1）构建分域的控制体系：网络安全等级保护解决方案，在总体架构上将（3）构建纵深的防御体系：网络安全建设方案包括技术和管理两个部分，求，并且管理员可以对每个租户最多能使用安全组服务可以提供虚拟机端口级别的控制能力，可以对报文协议（TCP、UDP、ICMP）以及端口进行过滤保证在云平台对虚拟机进行访问控制。防止虚拟虚拟私有云（VirtualPrivateCloud，后续简称VPC）是租户在云上申请矿或对外DDOS。因此，对主机进行安全加固，使用专业的主机安全防护功能防护功能阻止恶意程序在业务主机上的执行，恶意访问者通过注入式攻击、网页木马、WebShell等攻击手段入侵网站，或者通过CC攻击，利用大量恶意请求长时间占用网站计算资源响应缓慢甚至无法提供正常的服务。利用跨站脚本（XSS）、网页木马、跨站请注入、配置注入、LDAP注入、跨站脚本等）进行防护，也可通过协议规范性检通过使用数据库审计服务安装Agent可以对云内租户的数据库提供用户行联网/外网访问时，支持使用VPN加密通道连接云堡垒机，进行运维操作。堡垒机集中了运维账号管理、权限(运维对象)管理、授权管理和审计管理漏扫的能力应该至少包含Web、数据库、基线核查、操作系统及应用软件、弱口令、端口探测与服务识别等能力同时支持对C/C++/Python/Java/P库中的镜像以及私有仓库中的镜像，以便及时采取产运行状况的统一监控，协助云租户全面审计审计等功能，支持SSH/TELNET/RDP（远程桌面）/FTP/SFTP/VNC，并可通过应用中心技术扩展支持虚拟机KVM等虚拟机管理、oracle等数据库管理、在云安全资源统一管控可通过多种形式向业务系统提供云资源的出租服终端准入控制包括安全防护功能和安全监控功能。安全防护功能主要是对制相结合，以用户终端对轨道业务安全策略的符合度为条件，控制用户访问轨道网络的接入权限，降低病毒、非法云平台上各个业务系统使用云平台统一提供对于内部东西向流量的访问在云安全资源统一管控可通过多种形式向业务系统提供云资源的出租服助企业构建服务器安全体系，降低当前服务确保服务器安全稳定运行，可对Web服务运行状态进行安全监控，保证Web云平台安全管理平台组件可以使用安全资源池进行承载也可以使用独立信息、会话时序关系，以及各个时序图的请求和响应信息，流还原视图提供8Unicode(UTF-32BigEnd安全的总体态势。网络行为查询，提供丰富的元数据字段和灵活的语法规则进行自定投标人应保证本工程中云平台线网态势感知平台具备或预留后续工程中态2）数据访问控制：对数据的访问进行控制，确保只有授权的人员才能访问4）数据加密：对数据进行加密，以保护数5）数据销毁：对数据进行安全销毁，以防止数据泄露。通过数据安全全生在系统环境监控区部署符合GM/T0030-2014《服证；采用密码技术保证通信过程中数据的完整性;采用密码技术保证通信过程配合商密安全浏览器构建虚拟专用通道来保证对务区PC端部署安全浏览器，并向系统管理员配发USBKey，对登录设备（堡的Hmac值或签名信息，在软件启动时调用接口2）通过云平台的密码模块对接硬件，实现信息系统应用的操作日志3）服务调用软件密码模块和硬件密码机等密码设备，实现重要密钥管理系统是基于密码资源池基础设施，通过虚拟化镜像部署到ECS署的安全资源应用系统做统一管理，同时应满足降级为。同时也可以进行详细指标分析，如TCP会话建立延迟、网络丢包/重关联node、通过node关联底层虚拟机或宿主机等。当资产发生变化时，系统可测各项风险KPI指标，提前预知应用风险。动定位问题节点并且提供问题原因分析，帮助用户现业务异常，提升复杂业务系统运维的能力和效率，同时降低业务异常的MTTF标准机架式独立硬件设备，4TB存储硬盘；提供采集口：2个支持捕捉/存储过滤器对采流量进行过滤，既可对指定的流量不分析也不存于:HTTP/FTP/DNSIGMP/RDP等TCP/IP协议、VOIP、AMQP等IoT协议、IEC101支持对IP、国家或地区、端口、会话、协议应用、网段等任意网络对象进志、会话日志等数据推送给第三方平台，并提供标准的接口说明文档。SYSLOG所投产品应能够接入线网云一期项目中已部署的安全态势感知平台，满足基础功能：支持检测漏洞(Vulnerabilities)、蠕虫(Worm)、网马、木马、用层漏洞扫描器(L7VulnerabilityScanners)、暴力破解工具(Brute-ForceAttackTools)、应用层DDoS工具封装报文解析：支持VXLAN、GRE、VLAN等报文解析，项目实施期间，招标中已部署的流量分析业务运行平台，满足一期平台功能要求，投标时应提供免应满足国密TLS协议，GMTLSv1.1，国密算法套件ECC_SM4_CBC_SM3、ECDHE_SM4_CBC_SM3、ECC_SM4_GCM_SM3、ECDHE_SM4_应满足支持FTP代理、SMTP/SMTPS应满足后端应用服务的数字证书CRL管理，支持上传CRL文件、LDAP发布份鉴别、服务链路商密加密通信、内部敏感数据的商密存储加密、镜像/日志/密码系统能力应具备提供分布式密钥管理组件、密码运算组件等，支持书的身份鉴别，支持USB-KEY证书+PIN码方式双因素认证，支持SM2商密双证书。基于服务口令登录保护：对服务的登录口令加密保护，支持商密HMAC-SM3应满足云管运维平台接入链路加密防护，支持商密算法及服务应用层商密应满足服务APIG对外暴露API接入链路加密防护，支持商密算法及服务应基于运营CA颁发的数字证书，配合合规的软硬件密码设备，实现云平台应满足用户通过API接口导入用户自己生成或获取到的用户主密钥，并对密应满足消息或消息摘要的签名、签名验证（仅支持通过API调用）等能力。应满足对称密钥:AES_256、SM4和非对称密钥:RSA_2048、RSA_3072、配套的硬件加密机应支持GMT0018、PKCS#11、JCE标准接口，支配套的硬件加密机应满足Web端支持对密钥及系统配置等重要数据的备份/配套的硬件加密机应满足支持创建基于SSL单双向认证双证书模式高可靠配套的硬件加密机相关的性能指标SM4算法加解密不低于850Mbps，256位实施集中管理、访问认证、集中授权和操作审计;件使用;储资源）和安全风险状态，安全风险能够体现全部业务的风险分布;漏洞扫描服务能够以Web、数据库、基线核查、操作系统、软件的安全检测支持多租户。支持用户基于统一云管理平台自助完成漏端口、服务、协议、软件版本号、操作系统Debian、Fedora、RedHat、Ubuntu、SUSE、中标麒麟等操作系统基线扫描，项目实施期间，招标人根据项目实际需求，对支持的操作系统新增、扩充时，投标人须无条件响应，包括且不限于升级设备、更协议弱口令扫描，支持SQLserver、Mysql，oracle、DB2等数据库项目实施期间，招标人根据项目实际需求，对支持的弱口令提出新增、扩充时，投标人须无条件响应，包括且不限于升级设备、更换设备等，对服务器、云主机、数据库、应用系统等云上资源的支持通过浏览器就可以登录堡垒机进行主机支持