《天津市地震局综合网络安全系统招标技术要求》由会员分享,可在线阅读,更多相关《天津市地震局综合网络安全系统招标技术要求(28页珍藏版)》请在金锄头文库上搜索。
1、一、天津市地震局综合网络安全系统招标技术要求:1、 所有产品都必须具备中华人民共和国公安部颁发的计算机信息系统安全专用产品销售许可证;2、 鉴于安全类产品牌投众多,性能差异较大,因此投标产品必须列出所投产品与招标要求差异,对于承诺可实现指标在实际工作中达不到要求的,甲方有权更换或退货;3、 此包产品共涉及10项内容,其中第6项防病毒软件为现有瑞星软件升级,根据多重防毒要求,因此第10项产品网络防毒墙的杀毒模块不能采用瑞星系统;4、 产品的1、2、3项必须为同一品牌;5、 此包部分产品部署拓扑图为:6、 根据上图要求,系统中的IPS系统必须各具备独立2路控制功能(或实现4路虚拟IPS技术),从而
2、实现对DMZ服务器、内网服务器及外网出口的防护。7、 防火墙产品必须提供虚拟防火墙功能,不能用安全域功能代替。序号名称描述数量单价小计1防火墙(可为插卡式防火墙)采用专用硬件架构与专用安全操作系统至少10个10/100/1000M接口(如为插卡式可采用交换机端口),扩展接口能力不低于16个千兆端口吞吐量5Gbps最大连接数180万每秒新建连接数50000支持VPN技术,包含2000VPN隧道许可支持不少于256个虚拟防火墙支持基于源IP地址、目的IP地址、源端口、目的端口、时间、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行访问控制;支持对HTTP、SMTP、POP3、FT
3、P等协议的深度内容过滤,支持URL、关键字过滤支持对移动代码如Java applet、Active-X、VBScript、Jscript、Java script的过滤动态端口支持协议:H.323、SIP、FTP、RTSP、SQL*NET、MMS、TFTP、RPC(msrpc,dcerpc)等支持MSN、QQ、新浪UC、阿里旺旺、google talk等Instant Messenger通信,并可以对于这些应用进行登陆限制,支持根据登陆等帐号进行登陆限制支持对MSN,QQ等IM应用通信的连接统计,支持对指定IP地址的IM应用通信的连接统计可限制BT,eMule,eDonkey、讯雷等多种P2P应
4、用,可以统计P2P流量和连接数,可以控制P2P流量的带宽可屏蔽受保护主机/服务器系统信息,可以替换服务器(FTP、SMTP、POP3、Telnet,HTTP)的BANNER信息可实现静态或自动的IP/MAC绑定有完善的地址转换能力,可以支持正向、反向地址/端口转换、双向地址转换等,能够提供完整的地址转换解决方案支持静态和动态路由,动态路由包括:RIP、OSPF、BGP动态路由协议;静态路由协议支持基于源地址、目的地址、METRIC值、网络接口的路由支持链路聚合功能,实现多条链路的负载均衡及备份在透明、路由、混合模式下支持主备模式(A/S),主主模式(A/A),两种模式都能支持防火墙配置的自动同
5、步支持对服务器的负载均衡,支持轮询、加权轮询、最少连接、加权最少链接、基于源IP地址HASH调度等多种负载均衡方式支持DHCP SERVER/CLIENT/RELAY功能支持告警信息分类、分级;当发生安全事件的时候支持以邮件、NETBIOS、声音、SNMP、控制台等方式告警可以提供多种方式的管理界面,包括GUI、WEBUI、CONSOLE、SSH、TELNET等远程集中监控管理功能:支持远程集中管理监控功能,在同一个管理平台下能够对所管理网络中所有的防火墙设备进行管理和监控,提供远程升级和配置变更方法,非常方便用户对防火墙软件版本和配置变更的管理支持远程TFTP、FTP、HTTP等方式升级日志
6、分级、分类;系统要能够提供多种日志存储方式,可以缓存在设备本地,也可以将日志以专用格式/Welf/Syslog等多种日志格式的输出;具有完善的日志收集、传输、存储、分析、报告等解决方案如为独立产品需提供冗余电源三年质保与服务(含升级费用)22入侵防系统(可为插卡产品或防火墙系统功能模块)开启全部的安全策略后吞吐量1Gbps支持IPS模式、IDS模式最大并发连接1,500,000监控能力:至少具备独立2路IPS监控能力或具备虚拟IPS功能能对当前主流的拒绝服务(DOS/DDOS)、蠕虫(worm)、后门(Backdoor)、木马(Trojan)、间谍软件(Spyware)、Web攻击(Web A
7、ttack)以及自定义攻击拒绝服务做检测和阻断响应方式支持允许Permit、阻断Block、报警Alert、限制流量Rate Limit、日志Log支持3000种以上的漏洞库能够控制P2P应用、IM游戏等应用进行跟踪和控制、能对设备的异常流量进行分析、阻断能够显示实时流量信息、流量大小、字节大小等信息、能够区分Out和In的流量支持按照时间、攻击类型、IP地址等多种方式的统计报表;支持自定义组合报表功能、支持Top10攻击者、被攻击者统计报表、支持选定时间内网络使用、网络攻击等情况统计报表、支持报表输出,输出格式可以为PDF、DOC、HTML、TXT等格式支持冗余部署可工作在Active/Ac
8、tive、Active/Passive模式三年系统与漏洞库升级如为独立产品需提供冗余电源三年质保与服务23SSLVPN4个10/100M 自适应RJ-45接口2个10/100/1000M自适应RJ-45接口加密吞吐量(MB)80MbpsSSL新建/拆除速率(TPS)120次/秒并发用户数(Cus)200在线用户并发连接数量2000延时(ms)0.5msMTBF(小时)10万200个License认证方式:LOCAL、RADIUS、LDAP、AD、证书、双因子具备动态授权功能三年质保与服务(含升级费用)14USBKEY可配置第3项SSLVPN实现认证功能2345漏洞扫描器机架式设备至少2个10/
9、100/1000M网络接口并发扫描IP地址30个可扫描IP数量不低于1000个扫描任务并发数10个产品可扫描的漏洞应不小于 2700,漏洞库与国际CVE标准兼容具备分布式部署及信息共享能力1. 漏洞知识库从操作系统、服务、应用程序和漏洞严重程度多个视角进行分类;2. 支持对漏洞信息的检索功能,可以从其中快速检索到指定类别或者名称的漏洞信息;3能够扫描常见的网络安全客户端软件(如常见的杀毒软件)的安全漏洞;4能够扫描常见的应用软件漏洞(如IE浏览器、MSN、Mozilla Firefox、Yahoo Messenger、MS Office、多媒体播放器、VMware虚拟机和各种P2P下载软件)的
10、安全漏洞;5. 全中文的规则库提供详细的漏洞描述和详尽的解决方案,用户可以直接点击里面的补丁链接升级系统;6. 漏洞知识库和漏洞检测规则支持手动升级和自动升级,支持本地升级和在线升级,在线升级支持代理方式升级;7. 系统内置不同的策略模板如针对Unix、Windows操作系统等模板,同时允许用户定制扫描策略;用户可定义扫描范围、扫描使用的参数集、扫描并发主机数等具体扫描选项;8. 可以在扫描过程中人工指定包括SNMP、SMB等常见协议的登陆口令,登陆到相应的系统中对特定应用进行深入扫描;9. 具备单独口令猜测扫描任务,支持多种口令猜测方式,包括利用Telnet、Pop3、 Ftp、 Windo
11、ws SMB、SQL Server、MySQL、Oracle、Sybase等协议进行口令猜测,允许外挂用户提供的字典档;10. 允许管理员配置扫描通知,在扫描任务运行开始时向被扫描的资产发送扫描通知;11. 能够对扫描结果数据进行在线分析,能够根据端口、漏洞、BANNER信息、IP地址等关键字对主机信息进行查询并能将查询结果保存;12. 支持高级数据分析,能够进行历史数据查询、汇总查看、对比分析等,方便进行多个扫描任务或多个IP风险对比,能够在多个历史任务中,很快的检索到需要关注的资产IP点;13. 对扫描出来的资产的安全漏洞能够发送邮件给对应的资产管理员,通知其限期内修复漏洞并自动对修复进行
12、验证,实现对漏洞的有效跟踪和验证;14. 能够把资产管理和组织结构或者网络拓扑结构紧密结合, 支持通过Excel文件将地址导入到资产树功能.15. 资产管理能够将资产的重要性量化,并且通过形象的图示将资产的风险值和的风险等级直观地展现出来,并且能够将节点、风险及对应责任人相关联。具备漏洞修复功能,可与WSUS系统联动三年质保与服务三年漏洞知识库升级费16防病毒软件现有瑞星网络版软件升级具备20台windows服务器40台Linux服务器250台用户终端的整体病毒防护功能含三年技术支持及升级服务费17网页防篡改系统支持Windows、Linux和Unix(Solaris/HP-UX/AIX)支持
13、IIS、Apache、J2EE(Weblogic/Websphere)杜绝网站向外发送被篡改的页面内容;检测模块内嵌于Web服务器软件中;可检测静态页面/动态脚本/多媒体文件;可以按不同容器选择待检测的网页;网页发布同时自动更新水印值;网页发送时比较网页和水印值;能够防范SQL注入式攻击;支持断线/连线状态下篡改检测;支持连线状态下网页恢复;网页篡改时多种方式报警;能够保护动态脚本文件;同步和断线时都不影响检测;不影响原有的网页发布系统;自动检测文件系统任何变化;文件变化自动同步到多个Web服务器;支持虚拟目录/虚拟主机;可选支持双机冗余部署。上传文件速度5ms(50K文件)篡改检测时间: 访
14、问时实时检测篡改恢复时间6ms至少10家省部级以上同类型操作系统政府网站用户成功部署案例含1台LINUX环境WWW服务器防护许可含三年技术支持及升级服务费28综合网络安全管理平台管理范围:支持网络设备、安全设备、主机、数据库系统、中间件、各类服务和应用的日志收集与管理(如有License限制,则可管理节点数不低于150个)。必须能够对此次招标的防火墙、防毒墙、IPS和SSL VPN设备进行统一安全管理日志审计对象:支持对各类网络设备(路由器,交换机)、安全设备(包括防火墙,VPN,IDS,IPS,防病毒网关)、安全系统(Symantec、瑞星、江民、微软ISA、Windows防火墙)、主机操作
15、系统(包括windows, solaris, linux, AIX, HP-UX)、数据库以及各种应用系统(邮件,web,FTP,telnet)的日志、事件、告警等安全信息进行全面的审计日志采集方式:具备强大的数据收集能力,通过 SNMP、Syslog、数据库、文件、NetFlow等多种方式完成数据收集功能。支持软件Agent方式,硬件网络探测器方式采集日志日志实时关联分析和统计:系统具备日志实时关联分析功能,每秒实时关联分析不低于15000条事件,可以通过日志分析对来自企业和组织所有的日志进行实时查询、分析和统计,可快速识别安全事故。对于分析结果可以通过柱图、饼图、曲线图等形式展示事件可视化展现:除了能够将事件以柱图、饼图等图形统计事件信息外,还能够通过定位IP地址,通过事件攻击图展示网络安全态势,并支持雷达图反映当前事件流量。事件挖掘与追踪:系统提供事件追踪工具,管理员通过事件追踪工具可以对某条感兴趣的日志中的源IP地址、目的
