东明县教育局网络改造及安全体系建设Word格式文档下载.docx
- 文档编号:7156165
- 上传时间:2023-05-08
- 格式:DOCX
- 页数:44
- 大小:31.53KB
东明县教育局网络改造及安全体系建设Word格式文档下载.docx
《东明县教育局网络改造及安全体系建设Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《东明县教育局网络改造及安全体系建设Word格式文档下载.docx(44页珍藏版)》请在冰点文库上搜索。
详见附件。
1.7拟采用的政府采购方式:
公开招标。
一.
附件:
投标人资质要求
标段
采购内容
供应商资格要求
不分标段
网络改造及安全体系建设
(1)符合《中华人民共和国政府采购法》第二十二条的规定;
(2)未被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单;
【投标人投标报名前应自行查询自身是否具有上述情形,如有,招标人将拒绝其参与政府采购活动。
查询网址为信用中国()或中国政府采购网()或信用山东()】;
(3)须具有信息安全服务资质认证证书(二级及以上)或信息安全管理体系认证证书;
(4)本项目不接受联合体投标。
二.招标技术参数
序号
设备名称
技术要求
数量
1
防火墙
1、多核架构,网络处理能力≥8G,并发连接≥240万,每秒新建连接≥15万/秒,标准2U机箱,冗余电源,≥6个10/100/1000M自适应电口,≥1个扩展板卡插槽,≥1个Console口,支持液晶屏;
2、产品支持路由、透明、交换以及混合模式接入,满足复杂应用环境的接入需求。
支持旁路模式;
支持≥3G接入,可实现≥3G连接与有线链路之间的互为备份(要求提供截图并加盖厂商公章);
3、支持静态路由、策略路由及动态路由。
策略路由支持用户自定义其优先级,动态路由应至少支持RIPv1/v2/ng,OSPFv2/v3,BGP4/4+协议
4、支持全面的NAT转换配置,包括一对一,一对多,多对一的源、目的地址转换,并至少支持FULL_CONE和SYMMETRIC模式。
5、支持入站的DNS代理功能;
支持出站的DNS代理功能;
支持在不更改内网终端设备DNS服务器地址设置的情况下,将DNS解析请求发送至指定的DNS服务器,并代理原DNS服务器返回解析结果;
6、支持基于策略的路由负载,支持根据应用和服务进行智能选路,可基于权重做路由负载均衡,支持≥12种均衡方式(要求提供截图并加盖厂商公章);
7、可实现应用控制,应用特征库包含的应用数量(非应用协议的规则总数)≥2400种;
8、支持本地、云端病毒查杀,本地病毒特征库规模≥3500万;
9、可防止对FTP、SMTP、POP3、IMAP、MYSQL等服务进行密码暴力破解;
支持统计网络中确认失陷的主机及有风险但不能完全确认为失陷的主机数量及风险等级状态,并支持查看失陷时间、威胁类别、情报来源、威胁简介、失陷主机IP、用户名、资产等信息,并支持一键跳转处置。
10、提供关联分析面板,可将Top应用、Top威胁、TopURL分类、Top源地址、Top目的地址等信息关联,并支持以任意元素为过滤条件进行数据钻取,提供包含上述信息的关联分析面板设备截图。
11、提供关联的威胁事件日志,系统可自动将产生威胁事件的连接经过防病毒、防漏洞、防间谍软件、URL过滤、文件过滤等安全模块检查的日志集中显示。
12、在单条策略中启用病毒防护、入侵防御、网址过滤、文件过滤、文件内容过滤等安全功能选项。
13、支持与本方案中配置的桌面杀毒或终端管理软件联动,增强防火墙对应用特征及木马特征的识别能力。
14、内置4000种以上的攻击特征;
支持AV病毒检测引擎,内置病毒特征不少于10万条。
支持基于网络、用户、应用以及云租户的安全防护模式;
15、支持IPS、AV、应用、木马、Webmail、垃圾邮件等特征库;
内置URL分类库,具有≥1万条URL地址库;
内置≥1600种应用特征库;
16、具有病毒统计、分析、告警功能;
17、具备公安部网络安全保卫局颁发的《计算机信息系统安全专用产品销售许可证》(千兆三级),投标文件中提供证书复印件并加盖厂商公章。
2
上网行为管理
1、2U标准机架设备,最大并发连接数≥200万,最大新建链接数≥5万/秒;
适用用户数≥15000人,提供≥6千兆电口;
具备BYPASS功能,≥2个扩展插槽,≥1TB硬盘存储;
2、支持透明、网关、旁路、多路网桥模式部署;
支持IPv6环境下的应用识别管控、带宽管理、网址访问审计与管控、生成分析报表等功能;
能够在IPv6环境下,正确审计显示用户的IPv6地址;
能够正确配置免监控等功能的IPv6地址;
支持GRE、L2TP、WLTP、CAACWS、LWAPP、CAPWAP协议下的网络环境;
3、支持将设备管理权限分割为管理员、审计员与审核员共同管理设备;
4、支持本地、LDAP、Radius、邮件认证方式的WEB认证。
支持在界面上通过配置,将一台设备作为独立的认证服务器配合审计设备使用。
5、支持对802.1X、Kerberos、LDAP、POP3、SMTP、Radius、PORTAL、锐捷SAM、H3CCAMS、PPPOE、城市热点等系统的单点登录。
6、支持key免审计、key免管控、key免认证以及三者灵活组合
7、根据不同的终端类型(PC、移动)选择不同的用户认证或者用户识别方式
8、根据用户、终端类型、时间等多个条件为不同的用户推送Web页面。
可以建立多个Web推送页面,供不同的推送策略引用,支持用户完全自定义
9、QQ审计与管理,可针对QQ账号制定策略,对聊天、登录及登出的行为进行记录与控制;
能够对QQ文件传输行为进行审计,并且能够对传输的文件进行备份留存;
支持对QQ聊天内容进行审计。
可制定多条QQ审计控制策略,实现针对不同的用户匹配不同审计策略
10、可以对P2P,网络视频,游戏,炒股,期货,即时通讯,移动应用有独立的分类进行识别控制,协议库数量≥2000,移动协议库数量≥400
11、支持邮件及语音双重告警
12、可审计、控制Oracle,MySql,SqlServer,PostgreSQL等数据库的访问与操作,包括添加、删除、修改、查询等。
13、可对每个人的并发/新建连接数量进行控制。
14、提供物理硬件bypass按钮。
3
WAF(Web应用防护系统)
1.2U机架式硬件设备,采用全内置封闭式结构,≥6个10/100/1000自适应电口,≥2个SFP插槽,≥1个带外管理口,1个HA口。
2.双存储结构,软件系统采用独立存储,硬盘用来存储日志,硬盘容量≥1000GB,网络吞吐量≥4000Mbps,http新建速率≥10000/s,http最大并发≥60万。
3.支持透明在线部署、旁路部署、链路聚合(Channel)部署,支持802.1Q协议,支持IPv4和IPv6双协议栈流量过滤。
4.支持对负载均衡服务器任意数量网站进行防护,支持代理服务器模式。
5.支持SQL注入、跨站脚本、防爬虫、扫描器、信息泄露、溢出、协议完整性等至少7种知识库展示说明(要求提供相应截图并加盖厂商公章)
6.支持HTTP协议校验细粒度规则检测,至少提供20种HTTP协议校验策略参数,其中要包括Cookies、Response、Range等策略参数(要求提供相应截图并加盖厂商公章)
7.具有独立的防盗链规则,支持Referer和Cookie检测方式
8.具有防跨站请求伪造功能,支持Get、Post检测方式
9.具有windows、linux的64位操作系统的网页防篡改功能,并提供相应的客户端下载功能
10.支持网页防篡改客户端与Web应用防火墙实时联动,支持断点检测状态检测机制(要求提供相应截图并加盖厂商公章)
11.支持网站云防护通过域名解析方式实现Web防护功能(要求提供相应截图并加盖厂商公章)
支持对IP、TCP、UDP、HTTP等协议的DDoS攻击防护,非阈值的简单防护功能模式
12.具有对攻击、访问、审计、篡改、DDoS等日志审计功能。
13.支持三权分立管理。
14.支持冗余系统备份机制,升级或运行中出现软件异常,可自动切换至备份系统保障设备正常运行(要求提供相应截图并加盖厂商公章)
15.支持负载保护机制,设置CPU、内存使用率等参数,设备达到峰值时,自动切换bypass功能(要求提供相应截图并加盖厂商公章)
16.具有计算机软件著作权登记证书,中国国家信息安全产品认证证书,投标文件中提供证书复印件并加盖厂商公章。
4
数据库审计
1.硬件平台和安全操作系统,内置≥1TB磁盘存储空间。
1U机箱;
≥6个千兆自适应电口,1个Console口,支持液晶屏。
2.事件处理能力≥6000事物数/秒(TPS,TransactionperSecond),每秒实时关联分析≥4000条事件
3.支持MSSQLServer、Oracle、MySQL、达梦、Oscar、Cache、Postgresql、Domino、TeraData、Netezza在内的多种数据库审计;
4.支持Cache数据库集成工具terminal、portal、studio、Sqlmanager、MedTrak工具的审计,其中Portal能审计到sql语句、查询Global、返回结果,Terminal能审计到M语句和返回结果;
5.支持WEB攻击的识别、统计与告警;
6.支持数据库语句执行时间、语句执行回应、最大操作语句长度等作为分项响应条件;
支持数据库操作返回内容、返回行数作为分项响应条件;
7.审计数据支持多种查询条件,可支持按数据库操作命令、语句长度、语句执行回应,执行时间等;
8.具备公安部《计算机信息系统专用产品销售许可证》,投标文件中提供证书复印件并加盖厂商公章。
5
日志审计
1.系统为一个软硬件一体化产品,千兆多核硬件平台,安全操作系统。
系统内嵌数据库,用户无需另外安装数据库管理系统;
管理客户端基于浏览器,无需安装其他客户端软件。
2.1U机架式;
内置≥1TB磁盘存储空间。
支持双机热备。
配置≥6个10/100/1000MBase-T电口(RJ45),另外可扩展千兆以太网络模块2光\4光\8光\4电\8电。
1个Console口,支持Console口管理。
3.事件采集性能≥10000条;
每秒实时关联分析事件≥3000条;
丢包率小于0.1%;
百GB日志量查询平均响应时间不超过1分钟;
事件入库性能≥5000条/每秒;
控制台并发数≥50个;
本次配置125日志审计节点许可;
4.支持对各类网络设备,安全设备、安全系统、主机操作系统、各种数据库、各种应用系统,网管系统告警日志、终端管理系统告警日志、网络综合审计系统告警日志、上网行为系统日志等安全信息进行全面的审计。
5.通过syslog、snmptrap、netflow、netscreem、jdbc、odbc、openseclea、agent代理、wmi等多种方式完成各种日志的收集功能。
对windows服务器(系统、应用和安全)日志和文件类型日志,可免日志代理或插件;
6.所有日志采用统一的日志查询界面,用户可以自定义各种查询场景,并以树形结构组织。
查询场景可保存,并可支持在查询结果中继续查询。
7.用户在实时监视的过程中如果发现某条事件的相关属性需要持续予以关注,可以将该事件分配到黑白名单中。
8.可对收集的日志根据过滤条件,针对设备地址、源地址、目标地址等进行事件数量、流量等的趋势分析。
9.对于关联告警事件,用户可以进行追溯,查看导致该关联事件的所有原始事件。
10.系统支持异常行为分析,维护一个与用户信息系统相关的合法账号的正常行为集合,以此区分入侵者的行为和合法用户的异常行为;
系统应至少有50条告警规则,系统提供可视化规则编辑器,对告警规则进行增删改查。
11.通过关联分析,对于发现的严重事件可以进行自动告警,告警内容支持用户自定义字段。
告警方式包括邮件、短信、SNMPTrap、Syslog、飞鸽传书等。
12.根据事件的级别、事件的累计发生次数等指标进行综合分析,从而对信息系统或信息系统中单个资源的风险等级进行评估
13.对系统的各项配置工作,包括日志的备份、恢复。
无需借助第三方数据库管理系统。
支持日志syslog转发,可以同时转发到多个日志服务器,支持指定关键字转发,转发功能可设置字符编码。
系统支持抓包功能。
14.用户对软件系统的操作都记录日志并进行持久化存储,便于追踪、审核和告警。
系统日志格式的属性包括:
时间、源IP、用户名、操作类型、操作说明、操作结果(成功/失败);
审计日志支持导入和导出,加密导出日志。
15.支持用户名密码认证方式,认证时需要提供验证码,用户身份鉴别失败的次数达到设定阈值时,产生系统告警消息,通知授权管理员;
支持USBkey双因子身份认证方式。
支持动态口令认证。
16.具备国家信息安全测评中心《信息技术产品安全测评证书》,EAL3+;
中国信息安全认证中心《中国国家安全产品认证证书》;
计算机软件著作权登记证书;
具有《软件产品登记证书》。
投标文件中提供证书复印件并加盖厂商公章。
6
堡垒机
1.千兆多核硬件平台,安全操作系统,1U机架式,≥6个千兆电口,支持≥1个接口扩展槽位,内置2TB硬盘,冗余电源,支持液晶屏,最大支持100路图形会话或300路字符会话并发。
本次配置≥200个管理资源数授权;
2.采用旁路部署,不影响原有业务环境,支持双机热备(主主模式),对外提供一个浮动IP,实现负载均衡功能,支持网口聚合、防止单链路或单网卡故障;
3.支持应用发布协议扩展,如支持web应用、Oracle/MSSQL/Mysql/DB2等数据库客户端、vSphereClient/用户等第三方C/S客户端;
4.支持用户构成(饼图)分析,可按活动用户、锁定用户、30天未登录用户等进行展示,分析是否存在僵尸账号、闲置账号;
5.支持静态密码、RADIUS、LDAP、AD域等认证方式,内置动态口令认证,无需安装认证服务器,支持AD/LDAP用户同步;
内嵌USBKey和动态令牌认证引擎,可使用第三方CA颁发的证书登录,也可使用堡垒机颁发的证书登录;
6.支持基于不同用户配置不同的单因子或双因子认证方式;
7.具有多种报表模板,支持以柱形图、饼图、折线图等方式生产报表并以html、Excel、txt、word、csv、pdf方式生成并导出报表;
8.支持对RDP屏幕文字内容、标题窗口、键盘输入、鼠标单/双击的记录检索和定位回放,定位回放无延迟;
9.支持基于用户、指令、数据库等组合设定访问控制策略;
10.具有《公安部销售许可证》;
获得《计算机软件著作权登记证书》;
7
漏洞扫描
1.1U机架式硬件设备,采用全内置封闭式结构;
≥6个10/100/1000自适应电口,≥2个SFP插槽;
配置有USB、console接口;
硬件为双存储结构,软件系统采用独立存储,硬盘只用来存储日志,硬盘容量≥500GB;
系统扫描IP地址无限制,系统扫描支持50个IP地址并行扫描;
Web扫描域名无限制,Web扫描任务并发数≥5个域名;
2.分布式部署支持自定义管理中心端口号、策略端口号、远端扫描引擎名称等信息;
3.提供远端扫描引擎列表,列表需对设备状态、策略同步、规则同步、引擎类型等状态提供最直观的展示效果(要求提供相应截图并加盖厂商公章);
4.支持多种不同的方式自动发现网络资产。
可以灵活配置资产发现所用技术手段,提供≥4种技术手段(要求提供相应截图并加盖厂商公章);
5.产品漏洞库列表数量≥15000条,提供详细的漏洞描述和对应的解决方案描述;
漏洞知识库与CVE、CNCVE、CNNVD、CNVD、Bugtraq等主流标准兼容;
6.支持主流虚拟机管理系统的漏洞检查,支持VmwareESX等相关漏洞;
7.支持通过WI-FI网关对移动设备系统进行漏洞检查,支持对iOS、Android、Blackberry、windowsphone等操作系统,并提供至少50种以上的相关漏洞库(要求提供相应截图并加盖厂商公章);
8.支持后门检测的安全漏洞检查,包括对MicrosoftIIS特洛伊木马检测、MacOSX恶意程序等常见后门漏洞的安全检测,并提供至少100种以上的相关漏洞库(要求提供相应截图并加盖厂商公章);
9.具备专用的Web漏洞库,具备SQL注入、跨站脚本、信息泄露等常见Web漏洞的漏洞库列表,并提供至少9种的漏洞库分类;
10.支持对Web网站漏洞扫描的同时,查看网站漏洞情况和Web目录结构,数据进行实时同步呈现(要求提供相应截图并加盖厂商公章);
11.口令破解利用SMB、TELNET、FTP、SSH、POP3、TOMCAT、SQLSERVER、MYSQL、ORACLE、SYBASE、SNMP等协议进行口令猜测;
12.具备操作系统的配置核查,能够对主流操作系统进行安全配置进行检查;
13.具备网络设备的配置核查,能够对主流网络设备进行安全配置进行检查,支持主流网络设备;
14.具备漏洞对比机制,针对多次漏洞扫描情况进行对比,了解新增漏洞、减少漏洞的详细数据;
15.提供漏洞验证工具,支持通用验证方式,提供GET、Post、Put、Delete等多种验证方式;
16.具备计算机信息系统安全专用产品销售许可证;
计算机软件著作权等级证书;
中国国家信息安全产品认证证书,投标文件中提供证书复印件并加盖厂商公章。
8
网络杀毒软件
1.网络版杀毒软件一套,配置1个管理中心,10个终端,15个windows服务器端;
2.客户端支持操作系统:
WindowsXP_SP3及以上/Windows7/Windows8/Windows10;
3.服务器支持操作系统:
WindowsServer2003_SP2/WindowsServer2008/WindowsServer2012/SUSELinux/RedHatLinux等;
4.控制中心:
具备设备分组管理、策略制定下发、全网健康状况监测、统一杀毒、统一漏洞修复、网络流量管理、终端软件管理、硬件资产管理以及各种报表和查询等功能;
5.客户端:
与安全控制中心通信,提供控制中心管理所需的相关数据信息;
执行最终的木马病毒查杀、漏洞修复等安全操作;
6.产品支持终端保护密码,设置密码后,终端退出或卸载杀毒、或安装控制中心,都需要输入正确的密码方可执行;
7.支持网页访问部署、离线安装包部署、域推送等部署方式,可自定义部署通知邮件及部署通知公告;
8.支持自定义默认分组的终端默认功能模块,包括产品功能模块及实用工具等;
9.能够自定义时间、自定义扫描频率,自定义扫描类型,对终端进行定时查毒,并且可以自定义查杀病毒后的处理方式自定义;
10.支持文件自定义黑白名单的方式来管理;
11.支持通过数字签名或者文件名的方式分别显示文件;
12.能够支持漏洞利用防御,对通过文件漏洞的攻击行为进行有效检测与防御;
13.对敲诈者病毒提供有效防护机制;
14.具备本地多引擎查杀能力,且引擎可配置;
15.支持与旁路威胁检测系统设备、NGFW产品联动,达到网关边界联动防御效果。
9
服务器
不低于Intel®
Xeon®
E5-2609v3处理器;
≥128GB内存,配置RAID卡,支持RAID0、1、10、5、50、6、60等,支持Cache超级电容保护,提供RAID状态迁移、RAID配置记忆、自诊断、Web远程设置等功能;
配置3*300GSAS2.5硬盘,4个GE接口,2*460W电源,配置DVD驱动器,配置机架安装滑轨,配置服务器双机软件。
10
存储设备
系统缓存:
双控16GB;
存储协议:
支持FC、FCoE、iSCSI;
前端端口类型:
支持1/10GbpsEthernet、10GbpsFcoE、8/16GbpsFC,配置≥12个GE接口;
支持≥12块3.5英寸硬盘,配置≥5块6TBNLSAS硬盘;
支持存储虚拟化,支持快照、LUN拷贝、卷镜像、数据克隆等软件特性;
11
灭火系统
要求根据机房现状,配置气体灭火系统,配置气体灭火控制器,感烟探测器、感温探测器、柜式七氟丙烷灭火装置和灭火剂等设备;
12
精密空调
机房专用空调,额定制冷量:
≥12.7KW;
风量:
≥3500m3/h;
显热比:
0.96;
能效比:
3.55;
压缩机:
全封闭涡旋式;
室内风机形式:
前倾叶片离心风机;
提供安装。
13
门禁系统
要求根据机房现状,为机房配备门禁管理系统,机房门1套,设备间1套;
配置电源模组、刷卡器、磁力锁、室内开关、ID卡等设备;
提供系统安装所需辅材一宗,提供系统安装调试;
14
机房改造
要求根据机房现状,对机房进行改造,建设需求:
1)顶面:
最大限度利用现有结构进行改造,顶面进行翻新处理,保留现有灯具。
2)地面:
对现有抗静电地板进行更换处理。
要求承载力大,抗冲击性强,互换性能好,铺装效果美观,防水,防火,防静电。
电源、网线、音频、视频等各种信号线在地板下通过,地板上预留接口。
地面施工符合国家标准确保质量。
3)墙面:
整体墙面进行翻新处理。
4)综合布线:
对现有综合布线系统进行梳理,查缺补漏;
综合布线系统作为基础建设的一部分,各种线缆(光纤、网线、电源线、音频线、视频线等)均应符合相关标准,线缆选材必须满足相应规范要求。
其中,网线采用超五类非屏蔽双绞线。
做出机房网络拓扑图,对各种线缆进行标识。
5)强电:
对现有强电线路进行梳理,查缺补漏;
强电均采用国标电缆,强电线缆与弱电线缆相互隔离。
6)原有隔断外移1.5m
潜在投标人需进行现场踏勘。
15
机房动环监控系统
具体见“附件--机房动环监控系统要求”
16
运维服务
对本项目中主要涉及的网络安全系统、服务器存储设备及机房基础设施的相关设备提供运维服务;
供应商须提供运维管理软件;
提供上述设备的不定期巡检服务、电话技术咨询/支持,特殊事项支持(上门服务)等运维服务。
运维服务年限:
≥1年。
机房动环监控系统要求
智能电量仪
实时测量三相电流、电压、功率因素、有功功率、无功功率、无功电能、视在功率、频率等;
LCD显示;
盘面尺寸85mm*85mm。
输入电压:
380V;
输入频率:
45-65HZ;
输入功耗<0.5VA;
精度等级:
电压、电流:
0.5级频率:
0.05Hz有功功率,有功电能:
0.5级无功功率无功电能1.0级;
输出通讯:
RS485Modbus-RTU协议/Profibus-DP协议
1个
智能电量仪监测模块
监控内容:
实时监测配电开关状态,当有断电现象发生时记录存储并报警
断电报警器
断电开关监测模块
UPS设备监测模块
监测UPS,由甲方提供监控通
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 东明县 教育局 网络 改造 安全 体系 建设