《精品专题资料(2022-2023年收藏)广州番禺区电子政务外网准入认证购项目广州公共资源交易中心》由会员分享,可在线阅读,更多相关《精品专题资料(2022-2023年收藏)广州番禺区电子政务外网准入认证购项目广州公共资源交易中心(19页珍藏版)》请在金锄头文库上搜索。
1、用户需求书1 商务要求(一)符合政府采购法第二十二条所规定的条件;分公司投标的,必须由具有法人资格的总公司授权。(二)投标人具有信息系统集成及服务资质证书三级或以上证书。(三)本项目不接受联合体投标。 2 需求说明2.1 项目背景与现状网络空间是继陆地、海洋、天空、太空之后的第五活动空间,也被称为“第五疆域”。随着互联网的快速发展,各种业务系统相互交织,网络安全重要性越来越突出。据中国互联网网络信息中心发布的第40次中国互联网络发展状况统计报告,截至2017年6月,我国网民规模达7.51亿,其中通过手机上网的网民占96.3%。伴随着互联网+的飞速发展,网络安全问题日益凸显。今年5月12日Wan
2、naCry勒索病毒(以下简称“勒索病毒”)在世界范围内爆发,越来越多的人领略到互联网病毒的威力。“网络安全”与“信息化”两翼齐飞、双轮驱动,既要解决网络安全问题,也要加快发展信息化。只有让“网络安全”与“信息化”协调一致,才能让互联网信息技术更好服务于社会。政府部门通过政务网络提供面向社会的服务,促进了政府服务能力的极大提高。政府日常办公业务与网络的联系不可分割,一方面这是政府部门加强对外服务的客观要求,另一方面这也是公务人员获取社情民意的行政需要。当前政务办公桌面终端环境仍以PC机为主,移动终端作为辅助工具。这种基础架构普遍受到信息安全、维护效率、 资源管理等方面的困扰。脆弱的用户终端一旦接
3、入网络,就等于给潜在的安全威胁敞开了大门,使安全威胁在更大范围内快速扩散,进而导致网络使用行为的“失控”。保证用户终端的安全、阻止威胁入侵网络,对用户的网络访问行为进行有效的控制,是保证网络安全运行的重要因素,也是目前急需解决的问题。番禺区电子政务网作为广州市电子政务网络系统的重要节点,为各业务部门提供信息服务和信息化基础资源服务,实现了上联广州市电子政务网络骨干,横向连接多个区委办局,下联各镇(街)、村(居)和区属国有企业,通过建设统一的门户网站站群管理子系统、番禺区政府公共资源共享子系统、办公自动化系统等,实现了各委办局、镇(街)、村(居)和区属国有企业的无纸化办公,有效的推进了番禺区电子
4、政务建设。番禺区政府政务外网已经建设成高性能万兆骨干网,采用BGP/MPLS VPN架构,规划合理建设规范。随着政务业务发展和人员扩展,办公人员的信息分布节点日益增加,在接入区域部分办公环境中的网络信息接口紧缺,致使部分人员通过HUB、路由器等设备接入网络。此外随着移动智能终端的普及,也导致人员通过各种无线设备接入政府办公网络,导致办公网络环境越来越复杂,管理复杂度变得越来越高,安全威胁越来越突出。番禺区政府政务外网主要节点石碁镇、发改局机房、区府核心机房等。区府机房下联大院内东附楼、西附楼、会议中心等,以及区府大院外多个单位接入,发改局机房下联市桥街、桥南街、安监局等。图1u 物理设备与链路
5、区府核心机房2台核心交换机通过虚拟化技术虚拟成一台设备。如图1每个重要节点机房部署一台汇聚交换机,通过万兆链路上联到区府核心机房。u 网络架构承载网网络架构基于BGP/MPLS VPN,业务接入交换机上联到汇聚交换机设备。u 业务描述由于接入单位业务比较复杂,比如区局单位部署IPSEC VPN直接上联到市局,视频会议系统、医院业务系统等等,出于安全、稳定需求,部分业务专网应该和现有办公业务网络隔离。2.2 需求分析电子政务网终端安全本身就是一个复杂的、动态发展的过程。当前针对网络的安全风险日益增加,建立完善的网络安全保障体系,保护核心数据和信息的安全,电子政务网要有规范统一的安全防护措施和手段
6、。网络系统安全防护分为三大区块,终端用户安全防护区,比如可访问互联网终端PC、和各类移动终端,后台服务器安全防护区,比如应用服务器、数据库,各类出口安全防护区,比如互联网出口。后台应用服务器和网络出口安全防护多由专业人员负责管理运维。终端安全防护相对薄弱,任何外来人员通过有线或无线可以进入内部网络,网络的终端全部都是基于工作组的模式,没有进行网络域的集中管理模式和相关的策略性的定义。对正常接入的终端没有进行健康性的检查和指导用户进行修复,以及不能对达不到安全要求的终端采取隔离措施。办公室私自部署无线设备,为移动终端提供无线网络服务的同时对政务办公信息安全造成威胁。因此目前PC、移动终端等成了“
7、整个网络系统安全防护的短板”。缺乏更严格稳定的终端准入控制、网络边界的不规范、终端位置缺失、IP资产信息难以管理等安全风险,所以现需部署一套专业网络准入控制系统。实现网络准入系统主管准入控制、网络边界、实时资产信息等功能,形成从终端入网前到终端入网后全流程化管理,保障电子政务网的安全高效运行。2.3 部署需求每个节点接入用户进入政务网,必须认证。区局到市局业务专网VPN,如审计局业务专网,类似业务专网,以及其他特定业务不进行认证。实现接入认证统一接口,除准入外还可保证准入接口安全,包括入侵防御、病毒防护、流量管理、权限控制等;实现终端管理一体化:桌面管理、终端准入、数据防泄密、终端防病毒四功能
8、合一,一个客户端解决终端安全管理的所有问题,减轻用户桌面压力。终端全面资产管理:对终端资产全生命周期进行管理,提供终端操作系统漏洞检测和修复、终端平台环境规范、远程支持和维护等全方位的终端运维管理。清除终端本地的病毒及木马,加固了终端自身安全性,从而大量减少了病毒、木马等的入侵行为,并减少了网络出现故障的几率;防止用户的私自非法外联行为,对用户的正常网络行为进行有效监管。规范终端行为:从终端审计、移动存储管理、安全基线设定等角度,提供全方位的终端合规管理功能,从规范终端用户行为出发,封堵终端违规的漏洞、监控和规范终端用户行为,全面提升终端安全管理水平。重点关注机房区府核心机房、发改局机房,接入
9、单位多,网络结构复杂。目前有二层、三层结构混合存在,还需进行大量整改。村居、有人值守公共服务站准入认证,安装客户端,其他单位可采取WEB认证。对于部分单位采取NAT技术接入政务,其内网的网络结构、IP规划根据项目需要统一规划。2.4 项目实施服务要求1、 投标人应针对本项目特点提出完善的工程管理措施,至少应达到如下6点要求:(1)项目实施计划进度要求、(2)项目实施人员组织要求、(3)项目实施技术和质量保障、(4)工程验收、(5)设备及软件质量保证、(6)服务与技术支持2、 负责项目实施的项目经理需具有PMP证书或信息系统项目管理师资质。3、 投标人需提供本项目中所有软、硬件产品的安装调试服务
10、;4、 提供与本项目实施相关的交换机、路由设备的策略配置、IP地址规划分配、无线路由器配置,终端设备准入认证配置调测等;5、 投标单位必须在用户单位办公现场安排不少于1名现场驻点服务人员,服务人员在用户单位现场办公时间内需在用户现场办公,随时为用户提供故障处理与应急响应的技术服务。并向招标人提供系统维护和管理文档。6、 质保期内中标人负责对出现故障的设备免费维修或更换并提供性能相同的替用设备。2.5 设备采购清单序号产品型号产品说明单位数量1准入网关设备标准2U设备;支持BYPASS;不少于6个GE口,至少一个扩展槽位,吞吐不少于4G,最大并发连接数不少于220万,每秒新建连接数不少于4万;台
11、82终端准入安全管理审计系统支持准入控制、安全基线、安全防护、桌面运维等功能;支持能够与准入网关实现准入控制联动;接入认证的内容包括用户名/密码、计算机安全状态、接入有效期等一种或多种条件的组合认证,授权数必须满足项目范围所有的终端使用套13网络非法接入检查系统支持远程扫描方式,支持对以地址克隆或修改MAC地址的NAT方式私接的路由设备(包括无线AP)进行检测套12.6 技术指标要求2.6.1 准入网关参数要求准入网关参数参数项描述接口配置不少于6个GE口,一个扩展槽位性能指标吞吐不少于4G,最大并发连接数不少于220万,每秒新建连接数不少于4万;操作系统多系统设置可在Web界面完成全部操作【
12、截图证明并中标后七天内提供加盖厂商公章原件】。支持按功能模块的配置导入导出模版式配置管理支持系统主要防护功能的统一化模板设置,模板分为高、中、低三个级别,分别对应不同防护强度,可通过Web界面选择切换及通过外置按键一键切换【截图证明并中标后七天内提供加盖厂商公章原件】。网络适应性支持静态路由,动态路由(OSPF、RIP、BGP、ISIS等),VLAN间路由,单臂路由,组播路由等。必须支持基于应用的策略路由,可实现为不同的应用类型智能选择相应的链路必须支持基于 WEB地址URL的策略路由,可实现将不同类型的网站流量智能分配到不同的链路必须支持基于文件类型的策略路由,可实现将预定义或者自定义的文件
13、按照不同的分类进行智能选路【截图证明并中标后七天内提供加盖厂商公章原件】。网络管理支持将任意接口数据完全镜像到设备自身的其他接口,用于抓包分析支持DHCP Client、DHCP Relay、DHCP Server。各种工作模式下均支持H.323(H.323 GK)、SIP、FTP、MMS、RTSP、XDMCP、TNS等多种动态协议。支持对虚拟环境的数据流进行全策略控制。支持链路聚合功能,支持802.3ad和静态轮询、热备等多种模式,MAC、MAC&IP、IP&Port多种聚合负载算法支持802.11A/B/G/N协议,支持设备作为WiFi热点(即AP),为客户机提供无线安全接入服务支持无线设
14、备接入的MAC地址认证,可设置默认接收或拒绝MAC地址。除本地有线链路接入外,必须可提供至少一种其他媒介的灾备链路接入方案支持,如3G广域网、VSAT卫星网、海事卫星网【截图证明并中标后七天内提供加盖厂商公章原件】。 网络访问控制支持一体化安全策略配置,可以通过一条策略实现用户认证、IPS、AV、URL过滤、协议控制、流量控制、并发限制、新建限制、垃圾邮件过滤、审计等功能,简化用户管理【截图证明并中标后七天内提供加盖厂商公章原件】。支持同一个地址对象中可以包含IP、IP段、IP range、排除地址等多种类型【截图证明并中标后七天内提供加盖厂商公章原件】。支持将源MAC作为独立的访问控制条件,
15、防止非法设备接入。支持以组的方式管理安全策略,支持安全策略组的增、删、改操作,简化安全策略管理【截图证明并中标后七天内提供加盖厂商公章原件】。支持针对策略中的源、目的地址进行并发限制,可以针对单IP(或地址范围)进行并发控制。支持针对策略中的源、目的地址进行新建限制,可以针对单IP(或地址范围)进行新建控制【截图证明并中标后七天内提供加盖厂商公章原件】。支持策略命中数显示,并支持通过安全策略命中数范围查询【截图证明并中标后七天内提供加盖厂商公章原件】。支持根据IP地址进行策略查询、支持根据服务端口进行策略查询。支持根据规则序号、规则名、源地址、目的地址、入侵防护策略、服务、认证用户、认证用户组、所属策略组、备注进行规则查询。支持查看访问控制策略引用地址、服务、时间资源情况。准入认证管理支持对入网终端的系统版本和运行进程进行准入检查。支持在用户认证失败的情况下仍提供基本的网络访问权限。支持对WEB认证、LDAP认证、RADIUS认证、邮件账号认证、IP识别用户的强制下线。支持用户的AD域、POP3、BJCA单点登录,支持自定义单点登录监听端口【截图证明并中标后七天内提供加盖厂商公章原件】。支持设置认证服务器组。支持用户口令复杂度设置。支持显示详细的用户在线信息,包括用户名称、真实姓名、所属组、认证源、接入
