《评分因素山东省公共资源交易中心》由会员分享,可在线阅读,更多相关《评分因素山东省公共资源交易中心(11页珍藏版)》请在金锄头文库上搜索。
1、A1包、网络安全建设及运维一、供应商资格要求1、符合中华人民共和国政府采购法第二十二条的规定。2、供应商的资质要求:无二、技术要求 山东司法警官职业学院网络安全建设及运维项目需求一、项目说明 (一)项目建设背景随着学院信息化建设的逐步深入,业务部门的工作对信息系统依赖的程度越来越高;教育信息化建设中大量的信息资源,成为学院成熟的业务展示和应用平台,在未来的教育信息化规划中占有非常重要的地位。从安全性上分析,高校业务应用和网络系统日益复杂,外部攻击、内部资源滥用、木马和病毒等不安全因素越来越显著,信息安全是业务应用发展需要关注的核心和重点。贯彻落实中华人民共和国网络安全法第三十一条对等级保护的安
2、全建设要求。根据信息安全等级保护测评所提出的信息系统安全等级保护整改方案,做相应的网络安全改造。(二)项目建设目标为满足物理安全、网络安全、主机安全、应用安全、数据安全五个方面基本技术要求进行技术体系建设;为满足安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面基本管理要求进行管理体系建设。使得学院信息系统的等级保护整改最终既可以满足等级保护的相关要求,又能够全方面为学院的业务系统提供立体、纵深的安全保障防御体系,整体提高信息系统的安全保护能力。本项目建设将完成以下目标:1以学院信息系统现有基础设施,建设并完成满足等级保护二级系统基本要求的信息系统安全基础设施,确保学
3、校的整体信息化安全建设符合二级等保相关要求。2建立完善的安全技术防护体系,在满足二级等保要求的安全技术防护基础之上,统一全网安全管控,简化网络安全管理的难度,实现网络可视化、实时监测机制、可靠的应急响应基础设施等,实现网络安全管理一体化、运维智能化。3建立健全信息系统安全管理制度。根据信息安全二级等保的要求,制定各项信息系统安全管理制度,对安全管理人员或操作人员执行的重要管理操作建立操作规程和执行记录文档。4制定学院信息系统不中断的应急预案。应急预案是安全等级保护的重要组成部分,按可能出现问题的不同情形制定相应的应急措施,在系统出现故障和意外且无法短时间恢复的情况下能确保活动持续进行。(三)安
4、全建设原则针对本次项目,等级保护整改方案的设计和实施将遵循以下原则:保密性原则:对安全服务的实施过程和结果将严格保密,在未经授权的情况下不会泄露给任何单位和个人,不会利用此数据进行任何侵害客户权益的行为; 标准性原则:服务设计和实施的全过程均依据国内或国际的相关标准进行;根据等级保护二级基本要求,分等级分安全域进行安全设计和安全建设。规范性原则:在各项安全服务工作中的过程和文档,都具有很好的规范性(安全服务实施规范),便于项目的跟踪和控制; 可控性原则:服务所使用的工具、方法和过程都会在校方认可的范围之内,服务进度遵守进度表的安排,保证双方对服务工作的可控性; 整体性原则:服务的范围和内容整体
5、全面,涉及的IT运行的各个层面,避免由于遗漏造成未来的安全隐患; 最小影响原则:服务工作尽可能小的影响信息系统的正常运行,不会对现有业务造成显著影响。体系化原则:在体系设计、建设中,充分考虑到各个层面的安全风险,构建完整的立体安全防护体系。先进性原则:为满足后续不断增长的业务需求、对安全产品、安全技术都充分考虑前瞻性要求,采用先进、成熟的安全产品、技术和先进的管理方法。分步骤原则:学校安全保障体系进行分期、分步骤的有序部署。服务细致化原则:在项目咨询、建设过程中将充分结合自身的专业技术经验与行业经验,结合学校目前及未来发展的实际信息系统量身定做,保障其信息系统安全稳定的运行。二、安全建设需求1
6、、出口区安全防护:本地化实施,具备网络层、传输层、应用层安全防护功能,包括但不限于DDOS、IPS 、WAF功能,从边界隔离、入侵防御、僵尸网络以及持续监测方面做防护。2、上网行为管理:按最新网络安全规范要求,对内网进行审计、流控、应用控制,以及对网络行为进行监测,判断是否存在异常风险行为。3、上网数据分析:对学校学生上网行为的数据做价值分析,包括校园网贷、沉迷网络、热点事件等,对学生上网行为数据进行分析,有效治理校园网贷等网络危险行为,同时可以指导学校进行教学。4、安全运维审计:应具备核心系统运维和安全审计能力,在系统运维人员和信息系统(网络、主机、数据库、应用等)之间搭建一个唯一的入口和统
7、一的交互的界面,针对信息系统中关键软硬件设备运维的行为进行管控及审计,实时收集和监控各部分状态、安全事件和网络活动。5、数据库审计:对网络访问数据库操作行为进行细粒度分析,可提供实时监控、违规响应、历史行为回溯等操作分析功能,满足数据库风险管理和内控要求、提升内部安全监管和保障数据库安全的手段。6、安全服务:所有应用业务包括网站、办公、教务、学工、人事、财务、APP等系统和安全事件的应急响应服务,服务期限3年。7、运维管理服务器及运维监控中心:运维管理服务器用于部署运维监控中心软件和存储安全日志,采用两台进行集群部署保障业务运行的稳定性,存储日志是为了满足等保日志存储的要求,运维监控软件帮助运
8、维管理人员监控网络、应用系统及数据库运行状况,部署3套分别用于监控对外发布区、应用系统区域、核心数据库区域的业务应用情况,及时发现问题和解决问题,提高管理人员日常运维管理的效率。三、设备清单及技术参数序号产品名称描述及技术要求数量1上网行为管理1、标准机架式设备,支持硬件Bypass模块,吞吐量10Gb,并发会话数400万,最大用户数8000,千兆光/电口8个,万兆光口2个(配置万兆光模块),支持多桥组部署,双电源,实现功能包含上网认证、终端检查、访问控制、行为监控、外发管理、带宽管理、行为审计、统计报表等功能。2、支持主流P2P、IM、在线视频、网络游戏、网络炒股等应用识别;支持BYOD特征
9、库,可识别IOS版和安卓版移动互联网软件如微博、微信等特征,同时支持智能和快速识别模式配置。3、支持自定义关键字对象,提供多种匹配模式,匹配类型包含关键字和数字,支持即时通讯应用管控的精细化管理,例如微信的 “语音”、“发消息”、“收消息”、“登录”、“发文件”等行为。4、支持网络社区应用管控的精细化管理,可管控“所有行为”、“登录”、“网页浏览”、“发表”、“上传”等行为,支持收集网站访问日志,记录用户所有访问网站行为,支持收集搜索引擎日志,记录用户的搜索内容,支持收集IM通讯软件日志,记录用户登录、注销、收发消息、收发文件等行为,支持收集邮件日志,记录邮件发件人、收件人、主题、正文、附件等
10、信息5、支持通道化的QoS,支持基于源地址、用户、服务、应用、时间进行带宽控制,并支持配置保障带宽、限制带宽、带宽借用、每IP带宽、流量限额、带宽优先级等QoS动作,时间选择支持基于日计划、周计划、单次计划等,支持流量限额以日、月为单位配置,支持4级层次化QoS、支持多级用户/用户组嵌套;6、支持用户(用户组)+应用(应用组)+时间等条件的组合进行多线路带宽管理,支持进行IP、整机会话限制,支持应用、用户流量统计,应用流量支持趋势图、饼状图呈现,可查看某一应用的流量趋势图和其Top流量用户7、支持认证页面自定义;支持portal服务器联动,portal服务器故障全部用户逃生,支持radius服
11、务器联动,支持HTTPS弹PORTAL;支持微信认证功能;支持短信认证,登录后方可认证上网;支持混合认证,支持界面配置选择多种认证方式,用户可根据需要更换认证方式;8、支持自新建、移动、删除和搜索用户、用户组,支持模糊搜索用户名、用户组名;支持针对管理员开启双因子认证;9、日志数据建模:内置数据中心并支持外置数据中心管理,支持对上网行为数据实时汇总、建模、分析,对数据进行网贷风险、敏感事件、沉迷网络、上网态势、教学资源访问等分析,帮助用户进行分类管理和分析数据,并展示数据分析结果,支持10000人以上在线人数的数据建模和分析,并且不受数据节点授权数限制。10、免费开放数据分析接口,支持与第三方
12、大数据分析平台对接提供研究和教学。1台2数据中心应用防火墙1、 一体化软硬件产品,标准机架式设备,具备千兆电口8个,千兆光口8个(须满配千兆光模块),万兆光口2个(须配置万兆光模块),扩展插槽须支持硬件电口Bypass卡.网络层吞吐量20Gbps,应用层吞吐量10Gbps,并发连接数750万,硬盘1T SATA,双电源,配置IPSec VPN隧道13000,配置SSL VPN并发用户100,配置虚拟防火墙数量450,实现防火墙、IPS、WAF、SSL VPN等功能。2、 支持数据防泄露,对传输的文件和内容进行识别过滤,对内容与身份证、信用卡、银行卡、社会安全卡号等类型进行匹配; 能够基于时间、
13、用户/用户组、应用层协议、地理位置、IP地址、端口、内容安全统一界面进行安全策略配置;3、 加强数据中心边界访问控制、安全防护,入侵防御等功能。划分安全域,避免来自外部、分支机构、办公PC等各地的安全威胁影响到内部网络、业务系统等重要IT资产。1台3数据库审计与风险控制系统1、标准机架式设备,双电源,千兆管理口1个,千兆HA口1个,千兆电口2个,千兆光口2个(标配2个多模SFP模块),硬盘2T(支持RAID1),支持数据库审计12个,吞吐能力2Gbps ,峰值事务处理能力20000(条/秒),日志数量存储4亿条,含软件基本模块。2、具备在目标数据库安装agent解决云环境、虚拟化环境内部流量无
14、法镜像场景下数据库的审计。3、协议支持:Oracle、SQL-Server、DB2、Informix、Sybase、MySQL 等主流数据库审计;可以对SQLserver 2005 以上版本加密用户名的审计。4、支持数据库请求和返回的双向审计,特别是返回字段和结果集、执行状态、返回行数、执行时长等内容。 5、数据库模型分析:具备对数据库自动建模及智能对异常行为告警功能。基于账号、IP 地址、访问权限、客户端工具等维度对行为模型做钻取分析、变更分析,对学习的安全基线以外的行为自动智能的进行告警。6、应用层三层关联分析:具备 B/S 业务系统三层关联审计,具备旁路自动学习三层审计关联功能,具备通过
15、部署 agent 实现 java web 环境关联。7、具备定期自动扫描数据库漏洞和不安全配置,提供漏洞扫描报告。8、审计查询功能:具备基于数据库访问日期、时间、源/目的 IP、来源、 数据库名、数据库表名、字段值、数据库登陆账号、SQL 关键词、数据库 返回码、SQL 响应时间、数据库操作类型、影响行数等条件的审计查询。9、故障排除功能:系统内置独立的故障排错系统,具备一键导出加密的系统调试日志。 1套4运维审计与风险控制系统1、标准机架式设备,双电源。千兆电口4个,硬盘1T,硬盘可扩展到4T,实配资产许可数200个,最大字符连接数500个,最大图形连接数100个,运维用户无限制。2、身份认
16、证要求:设备须内嵌动态令牌和usbkey 认证引擎,通过手机 APP 获取动态口令即可登录设备,具备基于不同的用户设置不同的双因子认证模式。3、设备管理要求:支持常用协议:SSH、TELNET、RDP、VNC、FTP、 SFTP;可通过应用发布的方式进行协议扩展,如数据库Oracle/MSSQL/MySQL/DB2 等运维客户端工具 、VMware vSphere Client/AS400 等远程管理工具。 4、支持DB2、oracle、mysql、sqlserver 主流数据库协议代理运维,可直接调用本地windows 系统的数据库客户端工具,具备自动登录、无需应用发布前置机。 5、设备访问方
