1、数据中心防护改造设备清单及技术参数1. 清单一览表序号 设备名称 参数规格及功能要求 要求 数量 单位数据中心防火墙 详见技术参数要求 1 台1 统一安全管理平台 详见技术参数要求同一品牌1 台统一安全感知平台 详见技术参数要求 1 台2 网络数据探针 详见技术参数要求同一品牌1 台注:上述产品数量为预估的最低数量。2. 产品技术参数要求1) 数据中心防火墙技术参数指标项 参数要求功能我院现有多台思科防火墙用于外单位互联、内外网互联、数据中心安全防护及边界虚拟防火墙等多业务应用。可以利用医院现有的防火墙设备提供的安全数据,进行联动动态策略调整;需要提供管理客户端并兼容现有防火墙设备(同一客户端
2、登陆到不同的设备) ,并针对所有配置项每一项提供单独的配置向导。 根据现有的实际数据中心流量,实现多台防火墙群集模式的应用数据流量负载均衡。提供详细介绍方案,并对迁移过程中可能存在的问题做详细分析。防火墙可以安装两种版本镜像,两个版本也都可以提供传统网络防御和 L4-7 层应用层防御,同时两个版本针对传统网络防御和 L4-7 层应用层防御提供性能方面各有侧重。提供平滑扩容数据中心安全数据转发能力的方案,并对数据中心安全扩容过程进行详细方案讲解。整机处理能力35 Gbps;防火墙延迟3.5 微秒;防火墙并发连接数10,000,000;每秒新建连接数150,000;虚拟防火墙数250 个;性能指标
3、VLAN 数量1024 个;VPN 性能 VPN 吞吐8Gbps,IPSec VPN 隧道数10,000,SSL VPN 隧道数10,000;要求VPN 技术要求防火墙必须同时支持 SSL VPN 和 IPSEC VPN,同时支持 WebVPN,Remote-to-Site 和 Site-to-Site IPSec VPN;SSL VPN 支持各类终端用户类型,包括 Windows(Vista, XP, 2000,7/8/10)/Linux/MacOS/等 PC, 支持 Apple,Android,Windows Mobile 等智能终端。支持第三方原生 IKEv2 客户端,如 Window7
4、/8/10, Android, APPLE iOS 等;IPS 性能要求IPS 吞吐能力10Gbps;应用识别种类和 URL 识别库支持超过 4000 个应用可视化;支持超过 80 个 URL 分类和 280,000,000 个 URL 库;防火墙部署和冗余要求支持路由模式和透明模式的防火墙部署;支持防火墙虚拟系统技术,支持透明模式与路由模式的混合部署;支持接口冗余 (Interface Redundant) 特性,支持 Full-Mesh 接口链路冗余部署,当冗余接口的一条链路出现故障后,可进行链路切换而非设备切换;支持防火墙多台设备的集群工作模式,能够实现不低于 15 台设备作为集群,多台
5、设备统一配置,统一管理,状态同步;支持 HA 模式下的状态同步:包括 Session 同步,ARP Cache 同步,NAT Cache 同步,IPSec SA 同步;在远程接入 VPN 情况下支持 VPN 集群技术,无需使用负载均衡设备,就可以实现通过多个VPN 网关实现负载分担和高可用性;接口配置要求板载提供 8 个 10GE 接口,2 个扩展接口板块,1 个带外管理接口;支持扩展接口板卡,最大支持 24 个 10 GE 接口,8 个 40GE 接口;网络功能支持动态地址转换、静态地址转换以及端口地址转换功能;支持不少于 8 路等价路由;支持虚拟防火墙技术,每个虚拟防火墙要求可以分配独立的
6、系统资源、独立的管理员、安全策略和状态表等;虚拟防火墙下,要求支持动态路由 OSPF、BGP 等路由协议,支持虚拟防火墙上的 VPN 功能;支持基于 Netflow 的流量分析技术;安全功能支持内置的防僵尸、木马程序功能,能够发现内网中感染僵尸、木马程序的主机,并生成报告;支持基于身份的访问控制,支持与 AD 域控制器的结合,域用户无需客户端、无需输入帐号即可以自动在防火墙上获得相应的权限;可以定义通过入侵防御模块的具体流量,不需要进行入侵检测的流量,可以直接通过防火墙转发;支持 IPS 和 IDS 工作模式,支持入侵防御模块流量 Bypass 功能;特征码升级方式,支持自动方式和手工方式升级
7、;提供针对用户、移动设备、客户端应用、虚拟机、通信、漏洞、威胁等完整的情景感知功能;可针对发现的主机、应用、威胁和被攻击指标(IoC)等为用户提供仪表板和详细报告;特征库关联事件日志,通过特征类型,直接访问该类型攻击事件;支持恶意软件防护(AMP)来抵御零日和持久型攻击,可针对HTTP/SMTP/IMAP/POP3/FTP/SMB 等协议传送的文件进行持续可回溯安全分析;支持文件安全分析,可通过沙盒技术等执行、分析、发现未知零日恶意软件威胁,可以制定特定文件阻断策略,支持文件黑白名单;支持文件传送监控,可以跟踪回溯文件传送完整路径,当发现恶意软件时可以快速定位发现持有该软件的终端;针对最新的恶
8、意威胁和微软的漏洞披露,需要提供当日的特征更新响应;支持 IP 碎片整理和 TCP 流重组,防止 IP 碎片重组阻止企图绕过 IPS 的碎片攻击;攻击 IP 的信誉过滤;攻击特征码总量不低于 5000 个;识别/记录/防止企图进行 IP 地址欺骗;提供 API 接口,可以跟其他的网络和安全平台进行联动,支持跟网络设备的联动,第三方数据库的导入等;产品资质 要求投标产品具备公安部的销售许可;配置要求单台防火墙配置如下:配置冗余不少于 2 块交流电源;配置 10G 接口10 个,SSD 固态硬盘1 个;配置入侵防御功能恶意行为防护模块 1 套,策略更新授权不少于 3 年。配置 SFP+单模模块 1
9、0 个。2) 防火墙统一管理平台技术参数指标项 参数要求功能支持部署硬件一体化和虚拟化版本,本次需要提供安装在 VMware 平台的版本;集中管理此次采购和医院以前的防火墙配置,设备类型和位置 IP 以及快速遏制威胁控制访问强制实现合规性、增强基础设施安全性并简化服务操作;集中管理此次采购和医院以前的防火墙安全策略,在单一策略中配置防火墙访问、应用控制、威胁防御、URL 过滤和高级恶意软件保护设置方便策略管理,减少错误,并促进一致性;支持收集安全结果并和可信第三方来源相关联,减少不必要的警告,采用沙盒技术分析未知攻击来源,跟踪全院防火墙管理网络感染恶意软件的状况;分析存在全院防火墙管理网络的用
10、户、主机、应用、文件、移动设备、虚拟环境、威胁和漏洞。兼容性 与防火墙同一品牌,便于统一维护管理。管理功能 支持部署在 VMware 等主流虚拟化平台;配置要求单个平台配置如下:配置不少于 15 个实体防火墙管理授权;支持对目前医院现有的防火墙进行管理和数据收集、安全分析。3) 统一安全感知平台技术参数指标项 参数要求产品类型 统一安全感知平台支持自动识别网络内部主机网段和外网网段;支持通过流量中的应用内容自动区分网络内部网段 IP 是属于 PC 还是服务器;支持自动识别资产,在不影响内部网络的前提下,通过主动发送微量包的扫描方式探测潜在的服务器以及学习服务器的基础信息,如:操作系统、开放的端
11、口号等;(需提供截图证明;支持对医院现有网络防火墙的状态、威胁、流量等的图形化、可视化、集成化管理。支持自动识别已知服务器,通过被动检测机制,对经过探针的流量进行分析,识别已知服务器对外提供的所有服务、已开放端口及端口传输的协议/应用等;资产识别与管理支持通过 SNMP 协议,获取待监测设备机器名、 CPU 负载、内存使用和流量情况,同时也支持 OID 定制(需提供截图证明)支持通过镜像流量检测数据包中存在的用户名和密码信息,通过分析密码的强度检测网络中存在的弱密码风险;支持通过镜像流量检测 web 流量中是否存在可截获的口令信息,分析 web 业务系统是否存在明文传输情况,避免因明文传输导致
12、信息泄露的风险。 (需提供截图证明) ;脆弱性感知支持流量分析实时发现操作系统、数据库、web 应用等存在的漏洞风险,看清网络脆弱性,并支持生成漏洞检测报告。高级威胁检测能够与 CNCERT、VIRUSTOTAL 等国内外权威机构共享威胁情报,具备僵尸网络识别能力,行为规则 35 万条以上;支持通过云端沙盒对全球威胁情报源进行验证,提取有效信息形成规则定期更新到僵尸网络识别库,增量提升检测能力;支持 DNSFlow 分析引擎,利用机器学习算法结合威胁情报,能够从大量的样本中进行学习,总结其伪装的规律,从而发现伪装的恶意 DNS 协议; 支持 SMBFlow 分析引擎,利用机器学习技术,发现主机
13、传输可疑文件、恶意软件行为、文件或关键目录的可疑操作行为以及 SMB 暴力破解等;支持 SMTPFlow 分析引擎,利用机器学习技术,发现主机发送可疑附件的邮件行为、伪造发件人发送邮件、发送钓鱼网站邮件和垃圾邮件等行为;支持检测恶意邮件检测,可定位具体的收件人账号、发件人账号、恶意邮件数量、邮件附件是否包含病毒。支持 HttpFlow 分析引擎,利用机器学习技术,发现绕过防御的 webshell 攻击,并能够大幅度降低传统检测技术带来的误判;支持检测业务的异常行为,从而识别业务是否已失陷被控制,并设立失陷等级和威胁等级展示当前业务的状态和产生的威胁程度;支持检测网络内部用户的异常行为,要求能够
14、基于僵尸网络识别库,检测用户是否存在风险,并通过可视化方式展示:风险用户对业务产生的影响、内部的横向攻击、风险/违规行为等;支持 NetFlow 分析引擎,利用 UEBA 方式来检测服务器外发异常,包括是否正在进行 DoS 攻击、网络内部的横向探测:如 IP 扫描、端口扫描、数据收集(如到其他服务器下载)或数据传输(将数据传给其他服务器或外网)。支持检测主机与 C支持对节点检测节点内部主机外发的异常流量进行检测 支持对信任区域主机外发的异常流量进行检测,如 ICMP,UDP,SYN,DNS Flood 等 DDoS攻击行为;支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP)和数
15、据库软件(MySQL、Oracle、MSSQL)的口令暴力破解检测功能;可提供最新的威胁情报信息,能够对新爆发的流行高危漏洞进行预警和自动检测高级检测支持同步 DNS 审计日志,主要用于平台 dns flow 分析引擎进行安全分析;同步 HTTP 审计日志,主要用于平台 http flow 分析引擎进行安全分析;同步 SMB 审计日志,主要用于平台 SMB flow 分析引擎进行安全分析;同步 SMTP 审计日志主要用于平台 smtp flow 分析引擎进行安全分析(需提供截图证明)Web 应用安全检测能力支持 HTTP 1.0/1.1,HTTPS 协议的安全威胁检测;支持针对 B/S 架构应
16、用抵御 SQL 注入、XSS、系统命令等注入型攻击;支持跨站请求伪造 CSRF 攻击检测;支持对 ASP,PHP,JSP 等主流脚本语言编写的 webshell 后门脚本上传的检测;支持其他类型的 Web 攻击,如文件包含,目录遍历,信息泄露攻击等的检测;(要求对以上列出的攻击类型进行逐条响应并提供相应的功能界面截图)产品应具备独立的 Web 应用检测规则库,Web 应用检测规则总数在 3000条以上; 支持敏感数据泄密功能检测能力,支持敏感信息自定义,支持根据文件类型和敏感关键字进行信息过滤;(需提供截图证明)支持对被 Web 网站是否被挂黑链进行检测僵尸主机检测具备独立的僵尸主机识别特征库
17、,恶意软件识别特征总数在 35 万条以上;支持对终端种植了远控木马或者病毒等恶意软件进行检测,并且能够对检测到的恶意软件行为进行深入的分析,展示和外部命令控制服务器的交互行为和其他可疑行为;(需提供截图证明)对于未知威胁具备同云端安全分析引擎进行联动的能力,上报可疑行为并在云端进行沙盒检测,并下发威胁行为分析报告;违规访问检测能够针对 IP,IP 组,服务,端口,访问时间等策略,主动建立针对性的业务和应用访问逻辑规则,包括白名单(哪些访问逻辑是正常的)和黑名单(哪些访问逻辑肯定是异常的)两种方式(需提供截图证明)流量记录能够对网络通信行为进行还原和记录,以供安全人员进行取证分析,还原内容包括:
18、TCP 会话记录、Web 访问记录、SQL 访问记录、DNS 解析记录、文件传输行为、LDAP 登录行为。抓包分析支持通过设备对流量进行抓包分析,可定义抓包数量、接口、IP 地址、端口或自定义过滤表达式集中管控支持安全感知平台对接入探针的统一升级,可展示当前所有接入探针的规则库日期、是否过期等,并支持禁用指定探针的升级;(需提供截图证明)部署支持旁路部署,对镜像流量进行监听可以多台采集器同时部署于客户网络不同位置并将数据传输到同一套分析平台厂商资质厂商软件研发实力需通过 CMMI L5 认证;要求厂商是微软安全响应中心(Microsoft Security Response Center)发起的 MAPP(Microsoft Active Protection Program)计划成员,可在
