1、1网络维护设备参数及技术要求一、 方案背景我局目前拥有的服务器、台式办公电脑、手提电脑、网络打印机等设备,网络体系架构比较复杂。在目前没有部署企业级杀毒软件的情况下,很容易发生一台电脑中毒,导致重要应用系统出现故障,甚至出现整个网络瘫痪的严重问题;另外,服务器文件备份不完善,服务器一旦中病毒,其数据很可能造成丢失或被篡改;为更好解决以上问题,制定本方案。2、建设内容1、网络优化处理:(1)增加一台上网行为管理。对各大队连接到局大楼核心交换机进行上网的行为进行审计,拟检测攻击的源头。因此部署一台上网行为管理,对其做上网审计和流控。(2)局大楼各楼层增加智能管理交换机。优化各楼层所使用的交换机。能
2、防止 DDOS、ARP 等网络攻击,隔离广播风暴,和蠕虫病毒,保证整个办公网络稳定性。(3)增加一台防火墙。在省网和核心交换机之间部署一台防火墙保证网络安全,并用作址转换,可以起到 IP 地址转换功能解决有的网段不能访问 OA 的问题,也可以增强局内的网络安全。2、病毒处理2(1)安装企业级杀毒软件,集中部署,能监管和扫描每台服务器及办公设备的是否收到病毒攻击情况。每天扫描所有客户端的病毒情况,定期每周做一次集中的扫毒情况。(2)在微信服务器上安装一套网页防篡改软件,减少遭到来自外网的攻击。3、网络安全检测服务在对系统信息未知或部分已知的前提下,经过收集信息、制定渗透策略、漏洞测试、漏洞验证、
3、提升权限、深度渗透等步骤,结合模拟黑客攻击手段,对被测信息系统进行可控的攻击测试,获取目标系统权限或找出系统的安全缺陷,以此评估目标系统的安全性。通过对支撑平台的网络设施、服务器系统、应用系统和数据库系统开展定期安全扫描、本地安全检测、安全日志分析和漏洞评估、安全加固优化等一系列作业内容的专业安全运维服务。充分分析和评估信息系统设施与监管单位要求,以及存在的安全漏洞和隐患。(1)安全漏洞评估使用专业的工具设备通过网络对现有信息系统服务器、应用系统、中间件应用和数据库管理系统等对象进行漏洞扫描和检测,分析和评估操作系统、应用和设备等存在的安全风险和隐患。(2)本地安全检测在用户授权下,依据相关信
4、息安全技术与管理标准要求对网络设备、操作系统、应用系统、中间件和数据库进行全面的本地化安3全核查、差距分析等工作(3)安全加固优化对安全检查的结果中发现的系统弱点、管理缺陷、管理薄弱等一系列安全问题,提出可行的整改解决方案,协助用户方开展整改工作,提高系统安全性和风险管理水平。(4)应急服务提供 7*24 小时多种方式的安全事件应急服务。一旦发生业务信息系统因非法攻击或病毒入侵等原因而遭到破坏、更改或泄露,造成系统不能正常运行,或已经发现的有可能造成安全事件的隐患,如非授权访问、信息泄露、系统性能严重下降、蠕虫或大面积爆发病毒等情况。我们公司派资深工程师将第一时间到达客户指定现场协助解决问题,
5、防止事态进一步扩大。三、设备采购清单及预算总价序号 产品名称 技术规格参数 数量 单位1 安全防毒网络版 详见(1)防毒技术规格参数 1 套2 防篡改、抗攻击 详见(2)防篡改规格参数 1 套3 防火墙 详见(3)防火墙规格参数 1 台4 上网行为管理 详见(4)上网行为管理规格参数 1 台5 交换机 详见(5)交换机规格参数 7 台6 系统安全维护服务 详见(6)系统安全维护服务内容 1 年金额合计: 251845.00 元(1)防毒技术规格参数厂商及产品资质1.达到中国计算机病毒防治产品检验中心检测认证一级品标准,提供一级品认证证书及检测报告。42.软件产品至少10次以上通过 VB100国
6、际权威认证。3.在中国人民解放军信息安全测评认证中心组织的产品评测中,以高分获得军 B 等级,并获准进入军队系统。提供军用信息安全产品认证证书及认证报告。4.安全软件产品的厂家具有国内自主知识产权或在国内登记为国产软件产品。5.安全软件产品通过西海岸(West Coast Labs)东方之星认证(West Coast Labs)6.安全软件产品通过 AV-Comparativesrr 国际独立杀毒软件测试机构认证部署管理1 提供文件特征云查询服务器,该服务器属于产品内建组件而无需另外部署其他产品支持,云查询服务器能够连接厂家共有安全云系统自动进行文件特征查询同步,且能够支持隔离网环境。2 产品
7、采用稳定的 C/S 软件通讯架构,有良好的可扩展性和易用性,以支持大型网络跨地域跨网段等场景的部署;3 提供包括 Web 安装在内的多种安装方式,以适应大型网络的安装部署工作,而且要求采用 Web 安装过程中,可以不需要客户端进行任何干预。4 提供基于 Web 的 B/S 移动管理架构,管理员可以在网内任意一台计算机上通过 web 方式随时随地登录控制台实现全网管理,而勿须在实现该功能的客户机上安装特定的管理组件。5 管理控制台须支持谷歌、火狐、搜狗、opera、safari 等非 IE 核心浏览器,满足网络管理人员管理的便利性。6 安装部署管理端无需第三方组件,比如 IIS、SQL 数据库等
8、。7 可扩展的分级管理架构,通过对系统中心的分级,使用主系统中心来集中管理数据,以实现以单个系统中心对多个二级节点及其他特殊防毒节点的集中管理。具有良好的可扩展性和可伸缩性,对于网络规模扩大或新增节点都可以很容易地实现集中管理。8 可在物理资源不够的情况下虚拟分级来实现多级管理9 支持 IP 实名制,提供终端管理名称备注功能,通过对终端名称进行备注,实现终端管理实名制,可以实现终端与使用人员的关联,提升终端管理的便利性。10 提供隔离网络智能升级方案,能够保证隔离网络与在线网络相同频率的增量升级方案。11 提供在线工具,确保网络用户能时时在内网服务器获得病毒专杀工具及相关修复工具。12 多样式
9、的帐户管理设置,默认可分配三种管理员权限,普通管理员、配置管理员、审计管理员,并可以按实际需求,手动修改具体权限,可适应企业不同人员权限的划分设置,以保证灵活与安全管理规范。13 自主授权分割功能,管理员可以从主系统中心分割授权客户机数量给下级系统中心,限制下级系统中心对客户机的注册数量,阻止非法客户机注册。14 IP 分组,用 IP 可以进行分组和修改 IP 分组。客户机注册之后根据 IP 分组设定自动进入分组设定而无需人工手动分组。15 提供全网集中漏洞扫描及修复技术(包括隔离网络解决方案) ,提供网络内客户机存在漏洞补丁汇总报告,远程完成系统补丁程序的安装,以解决网内系统的漏洞修复问题。
10、修补过程勿须客户机参与,客户机以非管理员权限登录,也能完成漏洞扫描和修复。16 网络管理人员能够通过控制台查询特定电脑存在那些漏洞补丁、或者特定补丁都存在那些电脑没有进行修复,并能够实现远程通知立即修复或定制修复漏洞补丁策略。17 提供隔离网环境下系统补丁汇总与补丁下载同步工具,在隔离网环境下也能够方便快捷的实现补丁同步功能,提供全网补丁的修复下载。18 强大、灵活的管理和任务调度手段,允许管理员通过管理中心控制台,集中地实现全网范围内防(杀)病毒策略的定制、分发和执行。19 允许管理员通过控制台,集中地实现所有节点上防毒软件的监控、配置、查询等管理工5作,包括二、三级节点以下的防(杀)病毒软
11、件。20 一键式部署功能,产品无论主节点所有组件还是二级节点所有组件均提供一键式安装功能,提供快捷高效的产品部署方式。21 高级报表功能,可以按照用户的需求定制各种报表,或者按照策略按周、月、季、年度生成所需报表。22 系统中心控制台具有消息推送功能,能够实现网络管理人员对全网或者指定客户机发送消息23 提供按照月份病毒木马在企业网络查杀的统计曲线图,帮助网络管理人员了解企业网络病毒防范处理的整体概况。24 提供全网电脑终端防火墙管理功能,能够实时查看电脑终端系统防火墙状态。25 在产品中定期提供病毒木马预警信息,以及企业安全信息咨询。26 提供版本平滑升级功能,当有大版本更新时,中心管理端与
12、客户端均能够一键式平滑升级为最新版本,无需再对中心端进行重新安装、重新授权的操作,客户端也可自动平滑升级为最新版本,无需人为参与,大大降低管理员的工作量。客户机功能1 终端默认支持云防御与云查杀功能,且无需借助其他软硬件平台。2 提供实时和定时检测、清除病毒功能,实时检测和清除来自各种途径的各类恶意代码和特洛伊木马等黑客程序。对来自 Internet、E-mail 或是光盘、软盘、移动存储、网络等各种入口渠道的宏病毒、特洛伊木马、黑客程序和有害程序等全面进行实时监控。3 发现病毒后,提供多种处理方法,例如清除、删除或隔离。4 要求占用系统资源低,网络版杀毒软件的客户端程序在监控状态占用系统资源
13、 CPU 不高于10%,内存占用不超过30MB5 产品终端程序集成宏病毒专杀模块,并可在未安装 office 软件时也能对宏病毒进行查杀6 具备系统优化功能,能够统计开机时间,对开机所加载的启动项进行管理,可以关闭无需开机就加载的项目,提升开机速度;能够对启动项、系统服务项、计划任务项以及应用程序的扩展加载项进行开启或关闭处理。7 提供抢先加载防毒,在系统未加载前启动文件监控,通常情况下不必重启到安全模式也能清除病毒。8 客户端提供进程管理功能,可实时查看系统进程,并提供自动验证进程是否可信,支持一键结束进程9 提供专业工具,能够有效拦截来自互联网的网页木马入侵,针对日益广泛的钓鱼网站的危害,
14、能够网址云端鉴定功能,实时保护上网购物、交易安全、避免被钓鱼网站危害。10 提供电脑安全边界防御功能,对通过优盘、网络、互联网、下载工具以及 QQ 类通讯软件进入的文件给于安全性鉴定,能够向用户报告这些文件是否为安全文件,有助于帮助终端用户在确认为安全文件时再执行,对于鉴定为未知的文件则谨慎处理。11 具有病毒自动隔离功能,对无法清除病毒的被感染文件,防(杀)病毒软件能够自动隔离感染文件,并在用户许可的情况下传送至防(杀)病毒软件生产商。隔离系统不能将本地染毒文件隔离到其它计算机或服务器,以防止隔离的文件被未经授权的人员查看。12 提供优盘等移动设备接入电脑自动检测功能,全面拦截和清除在移动设
15、备接入系统可能带来的病毒木马。13 提供电脑系统垃圾清理功能,能够对上网产生的垃圾,看视频和听音乐产生的缓存,以及 Windows 和常用软件生成的垃圾文件进行清理。14 提供清理痕迹功能,能够对上网浏览记录、Windows 系统使用记录、办公、视频播放记6录、文件下载记录等各项信息进行清除,保护企业终端隐私不被外泄。15 提供清理注册表功能,能够对各种冗余动态链接库以及各种无效的项目进行清理,加快系统运行速度。16 客户端支持漫游升级功能,当客户机脱离本地网络时,只要检测到具备互联网连接时,客户端能够自动更新到最新病毒库;支持从互联网下载系统漏洞修复补丁,支持连接厂家安全云平台进行云查杀。服
16、务保障1 每日提供病毒库更新不少于1次2 建立病毒跟踪、研究和支持响应体系,有强大的本地化技术支持力量,能配合其代理商一道,为客户提供完善、即时的售后服务。保证网络系统在遭遇新型病毒或突发情况下得到及时响应。3 提供724专线电话支持;本地化应急服务紧急病毒事件2小时内响应,在获得有效样本后2小时内提供应急解决方案,避免病毒事件扩散,最大限度减少损失;4 定期回访服务定期通过电话或其它方式访问用户,了解产品使用情况及网络安全情况;5 提供重大病毒预警通知服务;6 提供反病毒专业技能培训。7(2)防篡改规格参数资质通过公安部信息安全产品检测中心检测并获得销售许可证书,提供证书复印件并加盖公章;通
17、过国家保密局涉密信息系统安全保密检测中心检测并获得产品检测证书;,提供证书复印件并加盖公章;通过中国信息安全测评认证中心检测并获得中国国家信息安全产品认证证书(3C) ; 产品原厂商近几年不得出现违法违纪或造假行为;基本要求产品形态 软件支持的操作系统 Windows2000、2003、2008、2012、 32&64位Redhat,CentOS,SUSE,Asianux 等 32&64位UNIX 系列:AIX ,HP-UX,Solaris支持 WEB 服务器 IIS、apache2.0、apache2.2java 系列(weblogic,websphere,tomcat,jboss)等ngi
18、nx管理方式 B/S 管理方式,支持 windows/linux 平台管理端支持主备模式部署核心技术 采用先进内核驱动、WEB 核心内嵌和实时触发机制结合内核自定义编译 支持云主机 Xen 内核防篡改功能文件保护 支持各类网页文件的保护,包括静态和动态网页以及各类文件信息目录保护 支持对指定文件夹以及子文件夹的保护,避免上传非法文件及木马等恶意文件或插入恶意代码模板配置 支持在同一种操作系统下,网站路径相同,可通过规则模板,用模板统一将规则下发到各监控端,无需对监控端进行一一配置一键启停文件保护 一键启停所有监控端对文件保护,不必登录 WEB 服务启进行停启。断线检测和防护 在与其它模块网络断
19、开的情况下能防止文件被篡改篡改规则 支持基于目录、进程、文件、文件类型等进行设置篡改规则支持正则表达式设置许可策略支持对符合许可策略的更新发布进行审计Docker 容器,支持 docker 容器 自我保护 防篡改程序的进程被 kill,防篡改功能不会失效防篡改程序有自我保护机制防攻击功能WEB 安全防护 能够有效防止 SQL 注入攻击、跨站攻击、溢出代码攻击、对危险文件类型的访问、对危险系统路径的访问、特殊字符构成的 URL 利用、防止构造危险的 Cookie 等防字段溢出 支持自定义 HTTP 头的各字段溢出自定义(须提供功能截图并加盖原厂公章)规则自定义 支持防护规则基于 HTTP 头的各
20、字段进行自定义(须提供功能截图并加盖原厂公章)基于时间,IP 调整规则 能根据时间段,IP 段进行规则调整。 (须提供功能截图并加盖原8厂公章)IP 黑白名单 黑白名单内的 IP 访问页面时进行阻断同步功能自动同步 支持事件触发机制和时间触发机制,将更新的文件同步到 WEB 服务器上。且支持一对多同步增量同步 采用事件触发+定时同步机制同步规则 支持同步文件的包含与排除自定义管理控制站点管理 对 WEB 服务器的 CPU,内存,磁盘等信息进行监控展显对 WEB 站点进行周期性网码扫描用户管理 支持多用户分级管理管理端支持 ACL,设定允许的源 IP 才能访问(须提供功能截图并加盖原厂公章)日志
21、 支持多种日志级别,并支持日志导出告警方式 支持 SYSLOG、邮件、短信、界面提示等多种告警方式网站备份 支持对网站全量备份、增量备份性能指标最大保护对象 不限最大保护深度 不限占用资源情况 CPU,内存占用资小于3%售后服务提供原厂合同期限内免费升级维护,需提供承诺函提供原厂产品培训服务(3)防火墙规格参数资质通过公安部检测并获得公安部计算机信息系统安全专用产品销售许可证原厂商注册资金不少于 3000 万,需提供经年检合格的营业执照副本原厂商具有中国信息安全测评中心颁发的信息安全服务资质规格 标准 1U 专用千兆硬件平台硬件架构采用先进的多核网络专用架构,使用 64 位 MIPS 多核处理
22、器,非 X86的多核架构或 ASIC 架构网口数量 10*GE 电口,1*SFP 光口设备最大吞吐量1Gbps每秒新建连接数3 万最大并发连接数50 万性能IPSec VPN 隧道数10249SSL VPN128IPSec VPN 性能280MAV 吞吐量600M部署模式支持路由模式、透明(网桥)模式、混模式,支持将多个物理网口加入一个网桥中;部署模式切换无需重启设备;支持镜像和被镜像;NAT 支持源地址转换、目的地址转换、双向地址转换、NAT44路由支持支持静态路由、策略路由、动态路由、ISP 路由;策略路由支持七元组策略;动态路由支持 RIP、OSPF 等;ISP 路由支持运营商地址自定义
23、;提供 web 配置界面截图接口默认属于 root,创建 VRF 后可把接口添加到 VRF 内,一个接口只能属于一个 VRF不同 vrf 下的接口可以配置相同的 ip 地址VRF支持静态路由链路聚合 透明、路由模式下支持将多条链路带宽进行捆绑4G 支持支持 4G 扩展网卡。支持在 4G 接口上运行 IPSec VPN,提供 web 配置界面截图支持接入 IPv6 网络支持配置基于用户和应用均为任意的 7 元组的 IPv6 策略IPv6支持 NAT64实际配置支持一对一、多对一、多对多等多种形式的 NAT,支持H.323 等应用协议 ALG实际配置支持基于用户、应用、时间对象的流量管控和策略设置
24、,并提供截图安全通信接口实际配置支持 second IP 地址每个接口要求支持至少 200 个 second IP,并提供截图支持基于源、目的、规则集的入侵检测支持 5 种自定义动作支持软件 bypass(CPU and 内存高于 70%)IPS可记录攻击日志10支持针对 Web 服务器防护,包括网页防爬虫、网页防篡改、HTTPS 防护、DDoS 攻击防护、Web 攻击过滤、漏洞防护自学习等系统定义超过 2800 条主流攻击规则,包含Backdoor、bufferoverflow、dos/ddos、im、p2p、vulnerability、 scan、webcgi、worm、game支持 HT
25、TP,FTP ,POP3,SMTP,IMAP 协议的病毒查杀查杀邮件正文/附件、网页及下载文件中包含的病毒支持启发式扫描查杀未知病毒支持 ZIP/RAR 等压缩文件的病毒查杀压缩:默认 5 层,最大 20 层AV支持 TAR 等多种打包文件的病毒查杀实际配置支持 IPSecVPN 接入,内置 VPN 硬件协处理器实际配置支持 DES、3DES、AES 加密算法,并提供截图IPsec VPN 支持第三方对接和快速配置,自有设备对接时加密算法等参数无需配置,自动生成,仅需配置保护子网、共享密钥、IP 地址,支持配置国密,提供 Web 界面配置截图HA 可同步 IPsec VPN 状态,当 HA 主
26、备切换时无需 VPN 重建支持统计隧道持续时间,支持统计隧道流量支持用户强制下线VPN支持 SSL VPN,客户端支持适应多平台、多终端支持主流 P2P、 IM、在线视频、网络游戏、网络炒股等应用识别;支持 BYOD 特征库,可识别 ios 版和安卓版移动互联网软件如微博、微信等特征,并提供 web 界面配置截图;支持基于 IP、端口等自定义协议服务;应用特征库可提供在线升级和手动升级应用协议识别支持智能和快速识别模式配置,要求提供 web 界面配置截图内置 URL 分类库,支持 55 个 URL 分类,URL 库可在线升级支持自定义 URL 过滤,并支持 URL 的模糊匹配,提供 web 界面配置截图URL 过滤可广泛识别恶意网站、违法网站流量管理 支持通道化的 QoS,支持基于源地址、用户、服务、应用、时间进行
