天津档案馆网络安全项目需求书

天津档案馆网络安全项目需求书一、项目概述1.网络现状天津档案馆目前网络简单来说可分为：网站、外网、OA网、资源网，其中网站服务器托管在网通机房，其余三网在局馆内部，均为物理隔离的独立网络。2.建设内容本次项目主要建设网站防护系统、内外网安全管理系统和内外网数据摆渡系统。网站防护系统：要求为专业用于网站防护的硬件产品，有强大的防注入、防篡改、防攻击、防挂马、防病毒等功能，还要有强大的审计功能，自身安全性能强，吞吐量大，具有布置简便、操作简单的人性化管理界面。内外网安全管理系统：三套，分装在外网、OA网及资源网，共计200点，其中OA网点数为100，外网为70，资源网为30，具体分配数在具体实施时可能进行微调。主要功能包括：监控、审计、上网行为管理、非法外联、资产管理、外设管理、打印管理、U盘管理等。内外网数据摆渡系统：主要用于内网与外网的信息安全交换，单机系统，自带正版杀毒软件。其他要求：以上系统在实现参数表中所罗列的功能时，不需要用户额外购买其他产品授权、系统以及数据库（Windows2003及SQLSERVER2005除外）。内外网安全管理系统与内外网数据摆渡系统能够无缝链接，既通过安全管理系统认证后的内、外网专用移动介质，可以同时通过内外网数据摆渡系统，此处如有不明者，可在投标前与招标方联系确认。二、技术要求1.投标书内容要求本招标文件提出的“天津市档案馆网络安全项目”的基本要求，是投标人编制投标文件和报价的主要依据，投标人应充分分析甲方的系统及应用的现状并充分考虑系统现在及未来发展的要求，设计出完整的实施方案；2.招标文件的技术部分应至少包含以下技术文件：《总体设计方案》：根据对招标文件的理解，有针对性的对进行总体方案设计。根据招标文件提供的软硬件设备的技术规格要求，进行软硬件设备的选型及配置。《工程组织与进度计划方案》：根据招标文件对工期的要求，合理安排实施人员，编制工程进度计划，对工程建设各阶段进行合理划分。《项目培训方案》：提供有针对性地项目培训方案。《技术支持与售后服务方案》：投标人应充分考虑本次项目的需求特点，进行针对性编制。中标后投标人所作的详细设计应完全满足本次项目的需求，同时不得与投标方案有实质性变化。三、总体要求投标人需根据“天津市档案馆网络安全项目”的招标要求，采用成熟的软硬件产品进行投标；产品必须满足本次项目的主要要求，并保证能对选用产品进行很好的集成，如遇所选产品不能满足本次项目建设要求或工程中存在缺漏项情况，中标人应承担相应损失，投标总报价不做调整。实施过程要求本项目建设周期为15个工作日，在规定时间内包括硬件、软件、集成、安装、调试等必须完成。项目竣工验收，系统达到了全部设计要求，并且能够稳定运行后，承建单位在提交全部相关文档、报告等交付物的前提下，可以向甲方提出系统竣工验收的申请。在投标书中，投标人应提供详细的服务计划和服务承诺，保证在项目建设完成之后提供详细准确的项目完工资料、用户手册、管理手册等技术资料。在项目建设过程中，投标人应与甲方和系统运行维护单位进行密切沟通，充分考虑甲方使用和系统长期运行维护的需要；在试运行阶段，投标人应提供全面技术支持服务，确保试运行的顺利进行；系统竣工验收并投入正式运行后，投标人需提供三年免费技术支持服务。四、产品具体要求1.本次项目求：内外网网络安全管理系统和网站防护产品为同一品牌内外网网络安全管理系统：3套，共计200点。外网网站防护系统：1台内外网数据摆渡系统：18套台式机：18台U盘：45个2.详细参数与性能要求：1)内外网网络安全管理产品性能参数：招标类别招标参数功能及技术描述内外网网络安全管理系统功能1、系统功能网络接入控制能够按照指定的策略控制机器对网络的接入，保证只有认证通过的机器才能够接入网络，防止存在安全隐患或未经授权的机器接入内网。支持IEEE802.1x端口认证的工业标准。对于不支持IEEE802.1x的交换环境，采用软件控制的方式实现对终端设备的接入控制。根据网络环境，用户可以选择在不同网段分别启用802.1X认证、非802.1X认证、不启用网络接入认证组合。网关强制网关强制可以实现在网关出口处限制未安装代理软件的终端与外网连接，强制将未安装代理终端的URL请求重定向到一个代理安装包下载网页，从而禁止非法终端通过网关连接外网、泄露内网信息，同时可以加快代理端的安装部署。补丁管理从补丁安装状况的角度出发对终端主机进行接入控制，补丁安装不及时、不符合安全要求的终端主机将被自动划入修复区，直到符合补丁管理要求。自动搜集终端主机的已安装补丁信息，并且通过与微软WSUS联动，统计各终端主机的未安装补丁信息，完成安全补丁的自动分发，保证终端主机及时打上最新的安全补丁，防止安全漏洞被利用，投标方在项目实施时应布置WSUS系统，补丁自动分发系统能够正常运行。病毒库同步从病毒库更新状况的角度出发对终端主机进行接入控制，未安装反病毒软件、病毒库更新不及时的终端主机将被自动划入修复区，直到符合病毒库管理要求。通过与常用反病毒软件联动，实现及时可靠的病毒库分发，强制病毒库与病毒引擎的升级，统一终端最新的反病毒策略，阻止各类病毒和蠕虫的发作。支持防病毒软件包括：赛门铁克、趋势、瑞星、江民、金山、卡巴斯基、McAfee、冠群等各大防病毒软件厂商的网络版以及个人版防毒产品。2、安全保护在上述补丁管理、病毒库同步基本安全保护的基础之上，从网络层、系统层、应用层纵深保护终端主机的安全状况，全面保护终端主机不被非法入侵。防ARP欺骗采用主动防御技术，在系统驱动层实现防ARP欺骗功能，阻断各种类型的ARP欺骗行为，保证终端机器不受ARP欺骗的干扰与攻击。及时发现网络中存在的ARP“肉鸡”攻击者，可以定位到哪台终端、什么时间、哪个进程发起ARP欺骗攻击，实时定位ARP欺骗病毒源，保证网络通讯的正常稳定、快速协助管理人员定位网络中存在的问题。主机入侵保护精选Windows主机类入侵保护规则，对进、出机器的流量进行分析检测，防御各种针对主机的攻击行为，具体类型包括：防止扫描、溢出、远程控制、拒绝服务等各种攻击类型。除了入侵保护规则，还内嵌Sniffer检测模块与Flood检测模块，能检测内网终端主机的Sniffer行为以及洪水攻击行为。异常端口监听通过设置端口黑白名单，对特定的端口进行监控，禁止在黑名单端口上进行服务监听。恶评软件查杀可以手动检测或定时自动检测各个终端是否被安装了恶评软件，根据预置的策略将其禁用并生成告警。系统内置有丰富的恶评软件特征库，并能定期更新。能够收集每个终端所安装的IE插件的信息，汇总到服务器统一展示。管理员可以设置哪些IE插件允许使用，哪些IE插件禁止使用。网页防挂马针对当前流行的利用IE浏览器解释执行网页脚本时的漏洞来注入木马的攻击方式，EPS采用了独创的基于行为的检测方法，能够有效地检测并阻断IE浏览器执行恶意代码，防止用户在使用IE浏览网页时系统被悄无声息地注入木马。3、数据防泄密一方面从外设使用、非法外联的角度出发，对可能导致机密数据泄漏的渠道进行严密控制，将数据泄密的可能降低到最小。同时对终端用户的行为进行全方位的审计，一旦发生数据泄密事件后也可以做到有据可查。外设访问控制对移动存储设备的使用进行严密控制，注册管理保证只有登记造册、管理员允许的移动存储设备才能在内网使用；数据读写控制保证终端用户对移动存储设备的使用权限完全受管理员控制；加密管理保证关键移动存储设备上的数据是加密存储的，即便被非法拿到外网使用，也无法获取其上存储的涉密信息；分组管理将移动存储设备、计算机进行分组，方便策略定制；审计功能保证EPS既能审计到终端主机插拔移动存储设备的行为，也能精确审计到终端用户对移动存储设备的文件读写行为。同时针对常见的外设端口类型（USB、红外、串口、并口）和设备类型（软驱、光驱、无线、蓝牙、键盘和鼠标、打印机）进行监控，对违反策略的行为及时告警并禁止使用，防止数据泄密。非法外联检测从主动和被动两个方面全面检测终端主机的违规外联行为。能够按照管理员指定的时间间隔周期性地主动探测终端主机是否已能连通外网网址，能够联通则认为已经违规外联，则立即进行断网处理。另一方面，接多个网卡、改变网卡配置、拨号等外联手段都能够触发相应的检测程序，进而被动检测到终端用户的违规外联行为，并实时阻断。综上所述，通过主动探测、多网卡检测、网卡配置检测、拨号检测多种手段监控终端用户，杜绝违规外联行为。全方位审计具备丰富的审计功能，包括非法接入审计、各种安全事件的审计、文件操作审计、帐号审计、系统日志审计、上网审计、进程启停审计、非法外联审计等。文件审计可以设置指定的文件名、文件后缀、文件夹，以及指定的操作；帐号审计对系统帐号添加、删除、修改情况进行审计；系统日志审计主要是对系统日志进行审计。系统将全面监控终端审计信息，发现违规操作及时报警，为数据防泄密设好最后一道防线。4、桌面管理资产管理自动收集计算机的软硬件资产信息，硬件资产信息包括：CPU、内存、主板、网卡等；软件资产信息包括：操作系统、杀毒软件、应用软件信息、计算机系统摘要、终端代理相关信息、当前策略信息、补丁信息等。自动发现以上各类软硬件资产的变化情况，灵活生成各种告警与图形报表，及时掌握每个终端用户资产最新状态，避免资产流失，方便企业资产的统一管理。软件分发用户可以将应用软件的安装包（EXE/MSI格式）、各类文件分发到指定的机器上并执行。交换机管理自动收集交换机端口信息，提供方便的IP/MAC/机器名/交换机端口的互查功能，能够打开或关闭指定的交换机端口。系统性能监测实时监测终端CPU、内存、硬盘的使用情况，发现系统超出设置的阈值，及时告警通知。远程支持管理员可以通过远程桌面连接到安装代理的终端进行管理和维护操作，支持客户端授权模式，确保系统安全性。本系统提供了两种模式的远程链接，一种是不支持鼠标和键盘输入的监视模式，另一种是支持鼠标和键盘输入的完全控制模式，很好地满足了管理员进行远程连接的不同需求。支持信息服务功能，管理员可以及时快捷向终端发送各种通知信息。应用软件监控可以监控指定软件的安装使用行为，通过软件名称关键字，对非法安装使用的软件实时监控告警。可以设置应用软件黑白名单，被列在黑名单中的软件或进程禁止运行，从而禁止终端用户运行P2P、网络游戏、即时通讯等与工作无关、严重影响网络环境的软件，保证企业利益最大化。上网监控自动记录员工的上网历史，包括HTTP上网URL信息以及其它非HTTP上网信息，比如Telnet、Ftp等行为。另外可以检测出通过代理上网的行为，并能按照预设的关键字对网页内容进行告警。网络配置强制防止随意修改机器的IP、机器名、MAC、网关、DNS服务器IP等信息，根据安全策略设置自动恢复默认的配置信息。针对重点服务器IP采用特殊保护，保证重点服务器IP优先权，避免地址冲突，提高内网管理效率。强制域登录强制终端加入或登录到指定的域，可以设置多个登录域；针对登录到其它域、或者不以域身份登录的行为，将采取告警、强制注销Windows等措施。5、综合管理策略管理提供分时、分组、分场所策略管理，支持不同机器组在不同时间、不同网络环境执行不同的安全策略，可根据时间、场所（内网或外网）自动切换安全策略。策略类型可以灵活组合，包括：网络接入控制策略、补丁管理策略、病毒同步策略、主机入侵保护策略、主机防火墙策略、异常端口监听策略、防ARP欺骗策略、应用软件监控策略、外设访问控制策略、非法外联监控策略、网络配置强制策略、强制域登录策略、上网监控策略、终端审计策略、系统性能监测策略、远程支持策略等。分级分权管理系统支持跨地域分级部署，没有级数限制。灵活设置上下级管理服务器，能够通过上级服务器管理下级服务器。安全策略中心支持分权管理功能，为不同的部门分配不同的管理员角色，部门管理员只能管理、查看、编辑管辖区内的终端信息。系统自保护通过多种技术手段（加载项保护、系统隐藏、防篡改保护、防进程删除）防止安