安全审计系统

《安全审计系统》由会员分享，可在线阅读，更多相关《安全审计系统（13页珍藏版）》请在金锄头文库上搜索。

1、第二章 招标项目内容、数量、规格和技术要求核心数据和核心设备的安全是数据中心管理的重中之重。05 年以来我市劳动保障数据中心网络安全防护管理不断加强，陆续配置了防火墙、防毒 墙、网 闸 等安全设备，建立了数据级异地容灾系统，较好地保障了劳动保障网络信息系统的稳定安全运行。但因经费等原因，数据中心在核心设备和核心数据安全防护方面还相对较弱，按照劳动保障网络信息系统安全等级保护的要求和数据中心网络安全管理实际需要，为进 一步完善劳动保障网络信息系统安全防护体系，提出本次网络安全设备采购需求。 一、网络安全设备采购需求（一）网络安全设备采购清单：分类 设备名 称 基本目的 基本参数要求 数量 备注千

2、 兆防火墙防护核心数据安全，提高整个网络可靠性2U 机架式结构；最大配置不少于 24 个接口，现配 8 个千兆 SFP（含 4 个原厂 SFP 光模块）和 8个 10/100/1000BASETX 电接口，2 个10/100/1000BASETX 管理口。要求接口支持STP 协议。网络吞吐量不少于 5G，最大并发连接数不少于 200 万，每秒最大新建连接数不少于 5 万，现配置双电源。2 台 原厂三年质保网络安全防御IPS 入侵防御系统抵御网络攻击，防护网络系统安全1U 机架式结构，最大配置不少于 24 个接口， 现配 4 个 SFP 口（含 4 个原厂 SFP 光模块）和4 个 10/100

3、/1000BASETX 接口，支持 4 路Bypass 功能，2 个 10/100/1000BASETX 管理口，吞吐量不少于 6G，具有 3000 条以上的攻击事件，三年特征库升级服务1 台 原厂三年质保网 络交 换设 备24 口二层交换机根据网络整合需要添置，与核心交换机 H3C 9508对接H3C S5100-24P-SI 24 个 10/100/1000Base-T 以太网端口和 4 个复用的 1000Base-X SFP 千兆以太网端口（Combo）4 台 原厂三年质保48 口二层交换机根据网络整合需要添置，与核心交换机 H3C 9508对接H3C S5100-48P-SI 48 个

4、 10/100/1000Base-T 以太网端口和 4 个复用的 1000Base-X SFP 千兆以太网端口（Combo）3 台 原厂三年质保SFP 光纤单模模块用于 H3C 光纤连接用，10KMH3C 光纤单模模块，有效距离 10KM 4 个 原厂三年质保数字认证系统数字认证系统用于浙江省社会保险网上申报系统统一软件安全认证网关支持多种签名数据，支持原文包含模式及原文分享模式的 PKCS7 签名的验证。并发用户数200，最大吞吐量50Mbit/s。支持 B/S 结构和 C/S 结构。支持符合 X509 标准的各种数字证书的签名验证。支持国内多种数字证书的签名验证，如：ZJCA、CFCZ、S

5、HECA 颁发的证书。多种开发接口支持，如：C/C+、ASP.NET、JAVA、VB、DELPHI、POWERBUILDER 等。验证结果除了包括是否正确值外，还需要包括：签名用户的证书、原文、签名值(1024bit)等。1 台 原厂三年质保行为审计设备网络访问行为审计系 统对用户上网行为进行审计2U 机架式结构；包括 2 个可插拨的扩展槽, 可在用户现场升级端口无需返厂，配置 2 个10/100/1000BASETX 数据采集口，2 个10/100/1000BASETX 管理口，最少 400G 存储空间，支持双电源。1 台 原厂三年质保安全管理软件安全设备与策略管理系统实现劳动保障网络系统内

6、所有安全设备的分级部署和集中监控管理系统要求能实现整网安全设备的网络拓扑管理、设备策略管理、用户管理、CA 管理、日志管理，具有设备监控报警、设备升级管理、查询及统计分析功能。要求界面美观、简洁易操作，支持基于角色的权限划分和管理。1 套 原厂三年质保（二）采购主要设备技术参数要求1、千兆防火墙 指标项技术指标要求采用专用硬件架构与专用安全操作系统，基于操作系统内核的会话检测技术，专用的安全操作系统具有自主知识产权，硬件设备可以机架安装。采用双安全操作系统，防止配置不当或防火墙系统故障造成的网络中断，充分保证了系统的稳定性。系统架构软件采用模块化结构设计，可以扩展 IPSEC VPN，SSL

7、VPN，AV 等功能。2U 机架式结构；最大不少于 24 个接口,包括 3 个可插拨的扩展槽, 可在用户现场升级端口无需返厂，现配 8 个千兆 SFP（含 4 个原厂 SFP 光模块）和 8 个10/100/1000BASETX 电接口，2 个 10/100/1000BASETX 管理口。接口支持 STP 协议。配双电源。网络吞吐量不少于 5G最大并发连接数不少于 200 万性能指标每秒最大新建连接数不少于 5 万工作模式支持透明、路由、透明及路由混合模式支持单对单、单对多、多对多的地址转换功能支持路由、透明模式下的虚拟系统功能，支持 NAT 模式下的虚拟系统功能支持每个虚拟系统具备独立的管理

8、权限、安全策略，且虚拟系统间互不干扰可对 DMZ 区服务器实现保护， 如替换服务器（FTP、SMTP、POP3、telnet,HTTP）的BANNER 信息支持对 HTTP、SMTP、POP3、FTP 等协议的深度内容过滤；支持对移动代码如 Java applet、Active-X、VBScript、Java script 的过滤动态端口支持协议：H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP，并对其实现安全控制支持服务器负载均衡功能，在没有专业均衡设备的条件下，通过防火墙实现多台服务器的性能叠加支持多链路备份功能，以实现链路层高可用性支持 H.323/SIP

9、的高可用性支持策略路由，可基于源地址选择路由支持动态路由协议 RIP/OSPF/BGP 等具有 MPLS 网络数据的安全控制FW 功能参数支持使用一次性口令认证（OTP） 、本地认证、双因子认证（SecureID）以及数字证书（CA）等常用的安全认证方、支持 RADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方式；具有对 HTTP、SMTP、POP3、FTP 等协议的深度内容过滤，具有 URL、关键字过滤支持对移动代码如 Java applet、Java script 等的过滤具有 MSN、QQ、阿里旺旺、google talk 等 Instant Messenger 通信

10、，并可以对于这些应用进行登陆限制,支持根据登陆等帐号进行登陆限制可限制 BT，eMule，讯雷等多种 P2P 应用，可以统计 P2P 流量和连接数，可以控制 P2P 流量的带宽IPS 功能可以识别并阻断以下攻击行为：land 、Smurf、Pingofdeath、ip_option、teardrop、targa3、ipspoof、Portscan 等支持与防火墙、SSL VPN 统一的认证体系，支持本地认证、双因子认证（SecureID）以及数字证书（CA）等常用的安全认证方、支持 LDAP、域认证等安全认证方式；支持多路 VPN 隧道间备份、负载均衡；支持链路叠加、支持手工及智能选路；VPN

11、 功能（IPSEC ）可扩展支持 3000 以上隧道数；支持角色分组的可信接入；支持 PDA 的安全接入；支持 B/S ,C/S 应用系统的安全转发；可扩展支持 1500 以上并发用户数；VPN 功能（SSL）具有 Cleaned VPN 功能，能对隧道内数据进行病毒查杀和内容过滤。可过滤 HTTP，FTP，POP3，SMTP，IMAP 协议的病毒，并支持 35 万种以上的病毒非法报文攻击过滤：land 、Smurf、Pingofdeath、winnuke 、tcp_sscan、ip_option、ipspoof；统计型报文攻击：Synflood、Icmpflood、Portscan、ipsw

12、eep；SYN 代理：对来自定义区域的 Syn Flood 攻击行为进行阻断过滤；可通过设置端口和阀值阻断 CC 攻击；AV 功能具有病毒库的在线自动更新，三年特征库升级服务。产品资质要求（投标时提供，加盖原厂公章）1. 中华人民共和国公安部颁发的计算机信息系统安全专用产品销售许可证2. 中国国家保密局测评中心颁发的涉密信息系统产品检测证书3. 中国信息安全评测中心颁发的信息技术产品安全评测证书级别：EAL34. 国家版权局颁发的防火墙系统计算机软件著作权登记证书产品原厂服务要求（投标时提供，加盖原厂公章）1.原厂商具备信息安全服务二级资质，提供资质证书证明材料2. 3 年原厂商质保服务，投标

13、时出具原厂商 3 年售后服务承诺函2、入侵保护系统 指标 技术指标项 指标要求专用的硬件和软件保障产品采用多核处理器的硬件平台架构，专用的安全操作系统具有自主知识产权。端口数量和扩展能力1U 机架式结构：最大配置不少于 24 个接口，可在用户现场升级端口无需返厂，包括 4 个 SFP 口（含 4 个原厂 SFP 光模块）和 6 个10/100/1000BASETX 接口（其中 2 个可作为 HA 口和管理口） ，4个接口具有 Bypass系统吞吐量 不少于 6G设备要求攻击规则库 具有 3000 条以上的攻击事件，三年特征库升级服务工作模式 网络接入 透明，路由，IDS 监听，混合访问控制基于

14、状态检测的动态包过滤基于源/目的 IP 地址、端口、协议、时间的访问控制支持报文合法性检查，支持 IP/MAC 绑定NAT支持双向 NAT，支持动态地址转换和静态地址转换支持协议包括H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP 等拒绝服务（DOS/DDOS）能对当前主流的拒绝服务做检测和阻断，例如：WinNUKE 攻击、UDP Flooding、SYN Flooding 等HTTP能对当前主流的 HTTP 类攻击做检测和阻断，例如：HTTP Apache 批处理文件漏洞、Apache2.0.39 及以前版本存在目录遍历漏洞、Cart32 管理员口令泄

15、露漏洞等防火墙自定义攻击 可以根据用户需求自行设置攻击规则，能对其他有害攻击行为做检测和阻断P2P 应用 支持识别 BT、迅雷、Napster、Popo、Kazaa 等 P2P 类应用IM 支持识别 QQ、MSN、ICQ、UC 以及 Google Talk 等 IM 类应用游戏 支持识别魔兽世界、征途、劲舞团、跑跑卡丁车、梦幻西游以及QQ 游戏等网络游戏应用监控异常流量 能对设备的异常流量进行分析、阻断引擎具有路由、交换、直连、IDS 监听四种模式支持基于源、目的、规则集、动作的入侵检测规则支持策略改变引擎自动重起DDOS 防御非法报文攻击：land、Smurf、Pingofdeath、win

16、nuke、targa3、ipspoof统计型报文攻击：Synflood、Udpflood、Portscan、ipsweep支持主机连接数和半连接数的限制动作支持阻断 drop，检测到策略中设置的数据后，丢弃报文支持报警 Alert， 检测到策略中设置的数据后，进行报警支持 TCP Reset，向攻击者发 TCP Reset 包支持防火墙联动，与防火墙联动，仅限 IDS 模式运行报表Webui 支持实时显示按发生次数累计的攻击事件排名支持 Top10 攻击者、Top10 被攻击者、Top10 事件统计报表支持按时间统计的 IPS 流量报表支持选定时间、网络攻击分类的统计报表支持报表输出，输出格式可以为 PDF、DOC、HTML 格式木马(Trojan)具备丰富的木马特征库，能识别包括灰鸽子、PCShare、Gh0st、上兴、Byshell、Npch、Downloader 等多种热点木马及其变种，以及识别多种网页挂马攻击入侵防御规则库维护 支持自定义规则库导入、导出，支持系统规