《白云机场机电设备信息平台等级保护整改服务及设备采购项目合同.docx》由会员分享,可在线阅读,更多相关《白云机场机电设备信息平台等级保护整改服务及设备采购项目合同.docx(23页珍藏版)》请在课桌文档上搜索。
1、白云机场机电设备信息平台等级保护整改服务及设备采购项目合同甲方:广州白云空港设备技术发展有限公司乙方:依据中华人民共和国合同法及相关法律法规规定,经甲乙双方充分协商,甲方委托乙方实施白云机场机电设备信息平台(以下简称信息平台)等级保护测评以及整改服务项目,为明确双方的权利和义务,以公平、公正、诚实、守信的原则定立本合同,以兹共守。一、等级保护服务内容1、地点:广州市白云国际机场2、服务内容:乙方负责给出甲方信息平台的首次测评差距报告,并且根据差距报告为空港设备公司提供白云机场机电设备信息平台等级保护整改服务(以下简称整改服务)。乙方应以此差距报告为依据,结合信息平台的实际情况,根据GB/T22
2、239-2019信息系统安全等级保护基本要求等相关法规的要求,为空港设备公司提供信息平台等级保护整改方案并付诸实施,保证信息平台最终通过测评机构的验收测评。具体服务内容如下:(一)、对甲方信息平台进行信息安全等级保护测评服务,提交信息安全等级保护测评报告。要求2020年6月30日前出具首次测评差距报告,2020年10月31日前提交等保测评报告并拿到公安机关备案回执。具体信息系统如下:序号系统名称系统级别备注1白云机场机电设备信息系统二级(二)、提供等保咨询服务,包括以下内容:1、等级保护整改服务(1)提供等保测评差距分析报告。(2)结合信息平台运行情况、测评差距报告和等保标准,总体分析,制定整
3、改方案,完成整改达标目标。(3)落实方案,进行技术整改,开展安全加固。(4)落实管理方面的整改,指导、协助甲方建立安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面的制度。(5)协助测评:协助提供等级保护测评所需资料,现场陪同甲方配合测评机构的测评工作,协助回答测评人员问题。2、漏洞扫描根据等级保护的要求,使用远程漏洞评估产品,检测网络设备、操作系统、数据库和应用服务中存在的安全漏洞,提供漏洞评估报告和修复建议,一年提供5次服务。3、渗透测试服务根据等级保护的要求,提供针对Web应用系统的渗透测试服务。通过人工黑盒的测试方式,发现网络和业务系统中网络和系统存在的安全缺陷
4、,提供渗透测试报告和改进建议。渗透测试的系统数量为4套。4、漏洞修复根据等级保护的要求,指导、协助用户代码优化,对安全扫描发现的漏洞进行漏洞修复。5、安全配置评估使用安全配置核查产品或人工方式,对系统中网络设备、操作系统、数据库和应用服务器的配置进行安全检查,提供安全配置评估报告和改进建议。6、安全培训对甲方技术人员进行产品使用及网络安全技术培训,使甲方技术人员具备自主等保系统自主运维的能力。7、安全加固服务安全整改加固工作对通过安全评估服务、漏洞扫描等工作中发现的安全漏洞、安全弱点、安全风险,通过多方面的安全加固措施进行修补。特别对问题源头进行整改与加固,以最大限度的降低风险,安全加固应包含
5、但不限于以下内容:(1)配置核查结果的服务器安全加固(2)漏洞扫描的服务器安全加固(3)边界安全策略的安全加固(4)其它评估类工作(一体化信息安全风险评估、等级保护测评等)发现/公布的漏洞,以及国家、行业等上级及外部单位安全通告公布的安全漏洞,协助整改加固。8、应急响应服务提供年度的应急响应服务,对于单位管理人员提出的安全服务要求和安全技术工作进行实时响应,包含安全事件的应急和其他安全技术工作的配合。根据安全事件对单位的影响,定义不同的安全风险等级,进行不同级别的安全响应。当出现信息安全事件时,第一时间对信息安全事件进行应急支持,提供设备或者技术支持,帮助问题解决,并对事件发生的原因进行分析。
6、(1)远程技术应急支持:10分钟内对安全事件进行响应,对于能够解决的信息安全事件,远程协助进行处理,对于不能远程解决的事情,提供现场的应急支持。(2)现场技术应急支持:100分钟内到达事件现场,优先协助对事件进行处置,恢复业务,并对事件发生的原因进行分析,编写事件的分析报告,提出有效的安全建议。9、数据安全要求报价人须免费提供由国家信息中心网络安全部或者国家甲级涉密数据恢复机构提供的设备保修期内硬盘数据恢复服务,投标时提供上述机构对本项目的售后服务承诺函。10、设备联动乙方提供的产品必须支持与甲方已有安全设备(深信服防火墙AF-1720,明御WEB应用防火墙、明御综合日志审计平台、明御运维审计
7、与风险系统、天融信安全隔离与信息交换系统V3TR-72218)相互兼容,同时免费配合甲方与广东机场白云信息科技有限公司的杰势感知系统进行对接。(三)、乙方的服务方案必须包含以下产品:1、数据库审计系统。技术指标参考如下:序号指标项参数要求1.系统管理要求硬件规格内存216GBDDR31600Mhz,硬盘24TB(IT*2),支持RAlD1,最大支持扩展到4T*2硬盘;网络端口:支持监听接口扩展,配备至少2个千兆电口管理口;支持千兆网络环境下的监听能力,标配至少4个千兆电口和4个千兆光口;支持最大扩展至8电8光或16电或16光共16个千兆以太网口。2.处理能力审计性能:同时支持12个数据库数审计
8、能力,不会产生漏审;峰值SQL处理能力220,000条/秒;硬件最大吞吐量2000Mbps,最大纯数据库流量150Mbps,标配日志存储数20亿条;审计日志检索能力21500万条/秒。3.部署方式为适应各种复杂的部署环境,产品部署模式应满足以下要求:旁路部署模式下无须在被审计数据库系统上安装任何代理即可实现审计;支持在目标数据库安装agent解决云环境、虚拟化环境内部流量无法镜像场景下数据库的审计,提供国家权威检测机构(公安部或国家保密科技测评中心)检测报告;支持分布式部署,管理中心可实现统一配置、统一报表生成、统一查询;支持IPV4/IPV6双栈审计;支持和ES平台对接,将审计日志和告警日志
9、存储在ES系统中,并支持通过页面查询日志;支持在审计页面配置审计代理的CPU亲和性、最大CPU使用率、最大内存使用率、CPU使用率阈值、内存使用率阈值、流量接收端口、抓包过滤串;支持在审计页面批量安装、卸载、重新安装审计代理。4.协议支持为审计和防护不同类型、不同版本的数据库,产品协议支持应满足以下要求:支持OracleSQLServerDB2、InfOiTnix、Sybase、MySQLMariaDB等主流数据库审计;支持PostgreSQL、HANA、Teradata、人大金仓(Kingbase)、达梦(DM)、南大通用数据库(GbaSe)、Oscar、Redis审计;支持MOngODB、
10、HbaSe、Hive、impala、ElasticSearchHDFSsCanSSandra非关系型数据库审计;支持主流业务协议HTTP、HTTPS、Telnet.FTP的审计;会话解密:支持对SQLSerVer(2005及以上版本)数据库采用加密协议通讯,可以通过导入证书的方式实现审计,并提供国家权威检测机构(公安部或国家保密科技测评中心)检测报告证明。可以通过导入证书的方式实现MvSOL5.7及以上版本采用了加密协议通讯的审计;支持对各种协议自动识别编码及在web界面手工配置特定编码。5.审计功能为满足对数据库操作行为审计,满足业务、安全等方面的需求,产品需要满足以下要求:支持数据库操作表
11、、视图、索引、存储过程等各种对象的所有SQL操作审计;支持数据库请求和返回的双向审计,特别是返回字段和结果集、执行状态、返回行数、执行时长、客户端工具、主机名等内容,支持通过返回行数控制返回结果集大小(江提供国家权威检测机构(公安部或国家保密科技测评中心)检测报告);支持跨语句、跨多包的绑定变量名及绑定变量值审计;支持超长SQL语句(最长4M)审计。6.自动发现支持自动发现流量中的数据库信息,简化配置。7.安全审计为发现数据库中不安全访问行为及审计数据二次泄露等问题,数据库审计需支持以下功能:支持审计记录中敏感数据的模糊化处理,内置常见敏感数据掩码规则,支持自定义;内置安全特征库不少于300条
12、,如SQL注入、缓冲区溢出等;可自定义审计规则,审计规则至少支持18个条件;规则各条件之间支持与或非逻辑关系;8.审计查询为湎足审计追踪溯源、分析安全问题等需求,数据库审计应满足以下查询需求:具有高效的查询性能,后台采用全文检索引擎检索;查询条件易于使用,审计查询条件均为非正则表达式形式进行;支持基于数据库访问日期、时间、源/目的IP、来源、数据库名、数据库表名、字段值、数据库登录账号、SQL关键词、数据库返回码、SQL响应时间、数据库操作类型、影响行数等条件的审计查询。9.统计报表为满足事后分析需求,数据库审计应满足以下需求:系统内置多种报表模板库,报表不少于20种;报表支持严格按照塞班斯(
13、SOX)法案、等级保护标准要求生成多维度综合报告;支持按照数据库访问行为生成报表,智能识别帐号的增删、权限变更、密码修改、特权操作等行为;支持按照时间曲线统计流量、在线用户数、并发会话、DDL操作数、DML操作数、执行量最多的SQL语句等报表;支持性能分析,准确提炼出SQL语句执行频率和执行时间异常的报表;支持HTML、PDF、Word等格式的报表导出。10.模型分析为了更加智能发现数据库安全问题,产品需要具备以下功能:支持对数据库自动建模及智能对异常行为告警功能(声邂供国家权威检测机构(公安部或国家保密科技测评中心)检测报告证明);可通过行为轨迹图方式展示数据库访问行为;对学习的安全基线以外
14、的行为自动智能进行告警。11.数据管理为满足数据备份保留的需求,产品需要具备以下功能:支持根据在线数据最小保留天数和在线数据的磁盘空间占比自动清理早期数据;支持将审计日志通过FTP的方式外送,支持自定义在线数据备份时间周期;提供审计策略和系统配置信息的单独导入、导出功能。12.系统管理为增加系统管理的安全性、适应性、可维护性,产品需要具备以下的功能:支持用户界面告警、SNMP、邮件、短信四种方式告警;采用B/S架构管理;支持系统安全配置(登录超时、用户登录失败锁定策略、密码强弱策略、密码有效时间);支持NTP时间同步,客户端浏览器时间同步、SNMP(V1、V2、V3)网络管理协议。13.API
15、化功能全面API化,支持第三方调用(需要提供API功能列表)。14.易用性支持资产组管理;支持分组管理,分组管理包含IP组、应用用户组、对象组、时间组、数据库账号组;支持一键取证;支持区分历史会话和在线会话;支持LADP用户认证;支持配置过滤规则,过滤规则包含IP过滤、SQL模板过滤和自定义过滤,自定义过滤条件不少于25个条件。15.租户化管理支持租户化管理,针对租户的账户只授权租户可查看租户内的数据库产生的审计日志、告警信息。16.产品要求产品资质所有资质必须为数据库审计产品专有的资质,非网络审计产品或综合审计产品的资质;具备公安部颁发的计算机信息系统安全专用产品销售许可证,数据库安全审计国
16、标-增强级;具备国家信息安全测评中心颁发的信息技术产品安全测评证书,级别EAL3+,提供证书复印件;通过中国网络安全审查技术与认证中心颁发的中国国家信息安全产品认证证书,增强级或以上,提供证书复印fl;具备国家保密科技测评中心颁发的涉密信息系统产品检测证书;信息系统安全专用产品销售许可证,提供资质证书复印件;中国国家信息安全产品认证证书,提供资质证书复印件。17.原厂家资质厂商获得中国信息安全测评中心颁发的国家信息安全测评信息安全服务资质证书(安全工程类三级)厂商获得IS09001质量管理体系认证证书,证书体系覆盖人数不少于600人,覆盖人数需提供认监委官方网站ex.查询结果厂商获得CMMI3
17、及以上认证证书2、防火墙。技术指标参考如下:序号指标项参数要求1.产品规格标准2U专用万兆硬件平台,内置交流双电源,硬盘21T2.网口数量12*GE电口,12*SFP光口,2*SFP+光口;支持千兆接口总数224个,支持万兆接口总数22个3.性能设备最大吞吐量210Gbps,HTTP吞吐量28.9Gbps,IPS吞吐量21.6Gbps,AV吞吐量21.1Gbps,IPSeCVPN性能22.9Gbps,最大并发连接数2400万,每秒新建连接数220万,IPSeCVPN隧道数21024,SSLVPN接入数215004.部署模式支持路由、网桥、旁路、混合、虚拟线工作模式;工作模式切换无需重启设备5.
18、端口镜像支持端口镜像功能,支持入流量、出流量和双向流量等维度镜像6.接口接口支持配置从属IP地址,每个接口要求支持至少200个从属IP(提供相关功能证明)7.4G支持支持4G接入,并可实现4G连接与有线链路之间互为备份(提供相关功能证明);支持的4G网卡必须包括华为E3372;支持在4G接口上运行IPSecVPN8.NAT支持支持源NAT、目的NAT、静态NAT、NAT44;支持FTP、PPTP、RTSP、SIP、TFTP等应用协议ALG9.路由支持支持静态路由、动态路由、ISP路由;支持基于入接口、源地址、目标地址、用户、服务、应用、时间、域名的策略路由;ISP路由支持内置联通、电信、教育网
19、、移动等ISP服务商地址列表,并支持运营商地址自定义10.链路负载均衡支持基于7元组、域名的链路负载均衡策略,负载算法支持优先级和权重;支持过载保护、会话保持和健康检查,会话保持可实现用户的访问请求均分配至同一出口11.服务器负载均支持5元组的服务器负载均衡策略,负载算法支持权重、源地址散列+权重;支持服务器健康检查和会话保持12.DNS代理支持DNS透明代理功能,代理算法包括:优先级、权重和流量13.支持基于多出口的DNS代理功能,可根据配置实现对不同外网线路的DNS服务器地址管理,当一条链路出现故隙时,流量自动切换到其他链路的同时将DNS服务器进行切换,避免出现跨运营商解析而导致访问变慢或
20、中断14.支持静态域名配置,支持特定域名由特定DNS服务器解析,支持DNSProxy缓存控制15.DDNS支持DDNS功能,支持花生壳服务商的域名,将动态获取的IP地址映射为固定的域名16.IPv6支持支持配置基于IPv6地址的安全策略,并在一条策略中可同时启用入侵防御、反病毒、URL过滤、应用识别等安全功能17.支持6to4、ISATAP、IPv6手工等IPv6隧道技术18.VRF接口默认属于root,创建VRF后可把接口添加到VRF内,一个接口只能属于一个VRF;不同VRF下的接口可以配置相同的IP地址;支持VRF的静态路由19.双机热备支持路由模式、透明模式的HA高可靠性部署,可工作于主
21、备、主主模式,会话、用户、配置可实时同步;HA高可靠性部署支持接口联动,链路探测20.访问控支持一体化安全策略:可基于设备接口/安全域、地址、服务、应用、用制户、时间等属性,配置入侵防御、病毒防护、URL过滤、应用过滤、会话老化时间、终端过滤等高级访问控制功能21.应用识别与管支持应用识别,内置5000种以上应用特征库,并可识别iOS、安卓等移动互联网软件如微博、微信等特征,并可智能识别P2P和迅雷行为,并支持在线升级和手动升级22.支持智能和快速两种应用识别模式,在智能识别模式下应用引擎尽可能地用各种方式识别网络流量,在快速识别模式下应用引擎将关闭部分智能分析功能以提高性能23.支持自定义应
22、用,可基于协议、端口、IP、域名等维度定义未知应用24.提供应用控制,支持针对应用动作的细粒度控制,比如针对社区类型,支持管控”上传“、“发表”、“浏览、”登陆“等动作;提供邮件控制,支持针对邮件收发件人、邮件标题及内容关键字,邮件大小、邮件附件个数进行过滤;支持针对搜索引擎、HTTP上传、网页内容的WEB关键字过滤;支持针对虚拟账号过滤。25.用户认证支持本地认证、RadiUS认证、LDAP认证和LDAP用户同步26.支持IP准入、MAC准入、IP+MAC准入、本地WEB认证、Portal认证、短信认证、免认证、微信认证、混合认证、AD域单点登录。27.微信认证功能支持使用微信连WiFi2.
23、0接口,限制微信流量放通(移动端,认证通过放通),支持基于http获取accesstoken,支持微信内部浏览器http弹PortaI,支持强制关注功能(定时检查用户是否关注公众号)28.Portal认证功能支持联动portal和radius服务器,支持portal逃生,支持针对HTTPS网页推送Portal页面,支持伪Portal推送抑制,可限制应用产生的HTTP伪推请求,有效缓解认证服务器压力29.用户全天行为分析支持用户全天行为分析,界面可展示用户名、用户组、在线时长、虚拟身份(如号码、微博账号等)、日志关联情况、全天流量使用分布、网站访问类别分布、全天关键网络行为轴等信息。30.SSL
24、解密支持对SSL协议进行解密,解密类型支持https和邮箱31.流量管理支持基于线路和多层通道嵌套的带宽管理和流量控制功能,提供至少四层管道嵌套;支持基于地址、用户、服务、应用、时间等匹配条件进行流量控制;并支持配置保障带宽、最大带宽、每IP带宽、每用户带宽、带宽优先级等QoS动作32.支持带宽动态调整技术,带宽繁忙通道支持动态借用空闲通道的带宽,避免带宽浪费33.支持用户限额策略,可基于流量和时长两种限额类型、口限额和月限额两种统计维度;超过限额阈值,支持终端网页提醒,支持添加到惩罚流控通道或禁止上网的惩罚设置34.网络攻击防护支持防ARP欺骗、ARP千IOod攻击防御35.支持IPV4、I
25、Pv6双协议栈异常包攻击防御,攻击类型至少包含:PingofDeath、Land-BaseTearDrop、TCPflag、Winnuke、Smurf、IP选项、IPSpoofJolt2等36.支持扫描攻击防御,可基于设定的阈值识别扫描,并自动对发起扫描的主机进行限制37.支持基于目的IP和接口的SYN、UDP、ICMP、DNS等flood攻击防御38.入侵防御内置不少于8000条IPS规则库,包含安全漏洞、CGI攻击、缓存溢出、木马后门、网络数据库攻击、蠕虫病毒、间谍软件、欺骗劫持等安全类型(提供相关功能证明);并支持在线升级和手动升级39.支持自定义IPS特征,至少支持IP、UDP、TCP
26、、ICMP、HTTP、FTP、POP3、SMTP等协议自定义入侵攻击特征;可拓展协议字段,设置数据包中的匹配内容,支持选择包含、等于、不等于、大于、正则匹配等匹配方式,可选择多种匹配条件,支持设置“与”和“或”的匹配顺序40.至少支持telnetsftp、imapPOP3、SnTtp、rlogin、http、oracle、mysql、Postgres等常见协议的防暴力破解功能,针对每种协议可自定义检测时长、阈值和阻断时长41.至少支持telnet、ssh、ftp、imap、POP3、Smtp、mysql、PoStgreSq1、mssqlsrlogimVnC等常见协议的弱密码检测功能,支持弱口令
27、、空密码、用户名和密码相同等检测方式,弱口令字典可自定义设置42.支持DNS隧道传输检测,用于检测DNS隧道协议中的恶意流量43.支持非法外联学习和防护特性,可有效保障服务器安全,可定义外联白名单地址和端口,也可通过流量自学习获得服务器合法的外联行为。44.支持IPS高阶告警功能,可以配置多种告警条件,达到告警规则可通过邮件或者SYSLOG告警,不同告警规则可以发送给不同的用户45.病毒防护支持病毒检测引擎,内置病毒库不少于400万条,支持在线升级和手动升级46.支持对HTTP,FTP,POP3,SMTP,IMAP等协议进行病毒查杀47.支持对最多20级的压缩文件进行解压查杀(提供相关功能证明
28、)48.Web防护支持HTTP协议的精确访问控制,可针对IP、URL、Method、Referer.User-AgentsCookie、Ur-args等字段设置内容,匹配内容包括但不少于:包括、不包含、等于、不等于、属于、不属于、长度小于、长度等于、长度大于、正则匹配等49.支持防盗链、CSRF攻击、CC攻击、应用隐藏、网页防篡改等防护;应用隐藏可隐藏SerVer信息、X-PoWered-By信息,可替换服务器端出错页面(4xx)、替换服务器端出错页面(5xx)等50.内置Web防护特征库,提供SQL注入攻击、XSS攻击、恶意扫描与爬虫、服务器防护、CMS漏洞防护等不少于10种的防护类型,支持
29、手动和自动特征库升级51.支持网页防篡改,可手动清理缓存内容52.威胁情报拥有自有数据来源,每日可获得不低于5亿次的互联网访问样本53.具有情报数据置信度算法,提供高置信度活跃威胁情报数据不低于160万54.支持20余种威胁分类,包括C&C节点、僵尸网络、木马、勒索、钓鱼等55.提供在设备端上的全网威胁情报的搜索查询,包括尸、域名、文件(MD5/SHA1等)情报的查询56.提供最新的威胁情报信息,能够对新爆发的Oday、高危漏洞等进行预警,并提供配置向导协助管理员生成安全防护策略57.支持实时获取威胁情报,并应用威胁情报对本地资产进行威胁检测,并可对检测到的威胁情报支持单点登陆威胁情报云平台查
30、看该情报详情58.59.60.协同防御支持与市场主流大数据智能安全分析平台协同工作,实现将大数据智能安全分析平台分析到的外部攻击源IP或者对外主动发起攻击的内部攻击源IP同步给本设备,通过本设备的黑名单功能实现自动阻断61.IPSecVPN支持与主流VPN厂商的IPSeCVPN接入,支持的算法有DES、3DES、AES128.SM2、SM3、SM4等,支持与共享密钥、数字证书、国密证书方式建立隧道62.支持IPSeC快速配置,当跟自有设备对接时,自动生成加密算法等参数,仅需配置保护子网、共享密钥、IP地址63.支持GRE隧道,支持GREoverIPSecVPN64.SSLVPN支持自定义资源类
31、型,可定义发布的协议和端口,资源支持导入导出,可快速完成配置;支持自定义门户页面中的标题、log。和公告内容65.支持SSLVPN用户防暴力破解功能,可根据用户和IP设置防护阈值66.支持SSLVPN账号与VPN资源唯一绑定,针对拨入用户设置拨入时间段和强制下线时间,精细管控用户访问权限67.应用缓存支持缓存安卓和iOS文件,文件形式不限于视频、APP,文本文件等,并支持自学习性缓存,设备可自动缓存特定服务器的所有终端应用68.共享接入管理支持识别和封堵私接主机,包括360随身Wifi、猎豹Wifi、无线路由器等软硬件网络共享方式;可制定策略分别设置私接终端类型个数为阀值进行封堵,同时支持基于
32、IP配置白名单,支持自定义阻断时间,支持限速时长内添加到惩罚通道(提供相关功能证明)69.支持私接用户的PPP。E账号展现,支持状态监控、解锁操作,支持基于用户、MAC、终端数量的监控和搜索70.广告推送支持配置在用户上网时弹出广告页面,支持配置广告跳转链接和广告推送间隔,广告类型支持本地或第三方广告71.PKI支持X.509V3数字证书;支持CERPEMPKCSl2多种证书编码;支持内置CA,为其他设备或移动用户签发证书;支持本地CA根证书、根私钥的更新:支持在线CRL列表72.会话管理支持基于IP的会话限制和每秒新建限制73.实时显示当前会话数和历史1小时、1天、1周会话数;支持基于会话的
33、源地址、目的地址、目的端口的排名统计74.会话监控界面展示当前会话数信息,显示会话属性至少包含用户、用户组、源地址、源端口、目的地址、目的端口、协议、类型、应用、策略ID、发送包数、接收包数、总包数、发送流量、接收流量、总流量、会话状态、本地连接、策略动作、创建时间、超时时间、存在时间、入接口、出接口、源NAT地址、源NAT端口、目的NAT地址、目的NAT端口等25项,并且可根据任意条件进行查询和排序75.策略分析支持策略分组,每条策略添加到一个策略组,便于管理员区分化管理和运维76.提供策略分析引擎,支持一-键全局分析和单独策略的即时分析,至少支持检测出冗余策略、隐藏策略、冲突策略、可合并策
34、略、空策略、过期策略,并提供问题策略的原因说明、优化建议,同时提供快捷的编辑修改方式,并以表格和柱状统计图形式展示全局问题策略77.支持全局策略宽松度分析,以引用策略中的源地址、目的地址中的实际IP地址数目换算得到极宽松、较宽松、正常、准确这4种宽松度级别,并以表格和柱状统计图形式展示地址精确度分析结果78.安全分析具备对检测到的攻击行为按照攻击源地址的地理位置进行威胁信息展示,并支持将攻击源地址一键加入到黑名单的操作79.支持基于资产的安全分析,支持展示网络中存在安全风险的资产以及对应的风险级别,至少可查看资产基本信息、攻击态势、攻击日志统计、攻击的具体事件类型、攻击时间等80.支持基于攻击
35、不同阶段的方式来匹配并展示攻击者发起攻击的具体所处状态,资产遭受到攻击的具体所处状态,展示出具体的攻击链并可对威胁进行取证81.系统H志支持本地日志记录和远程日志输出,SYSLOG日志支持同时发给多个日志服务器82.业务告警支持基于设备健康状态,业务信息等维度的邮件等方式告警83.统计报表支持每天、每周、每月生成报表,报表支持本地保存、下载、FTP服务器上传、邮件发送;支持自定义报表模板,模板下默认支持设备健康状态、数据统计、网络质量、网络安全等模块84.系统维护Web管理界面支持Ping、TracerouteTCPSyn诊断工具;可支持基于接口、协议、IP地址、端口、应用进行网络抓包,并可下
36、载导出分析85.支持通过ICMP、TCP、DNS等协议实现对链路可用性的多重健康检查,并支持统计探测目标的成功率和延时86.支持三权管理方式,包括账号管理员、权限管理员、审核员,各管理员权限制约;权限管理员支持分配权限,可细致分配界面中每一个模块的读写权限87.支持管理员双因子认证88.配置管理支持中英文Web界面管理及命令行管理,支持基于SSL协议的远程安全管理89.支持通过集中管理平台进行集中管理,包括统一状态检测、配置下发、配置自动备份,版本升级、特征库升级、日志收集90.支持U盘零配置上线,设备端无需预配置,将U盘插入设备USB接口中,即可实现快速上线实施(提供相关功能证明)91.支持
37、SNMPV1、V2、v3版本,支持跨三层自学习MAC地址92.支持多配置切换,配置文件之间相对独立,灾备场景可快速恢复业务93.产品资质具备公安部颁发的防火墙计算机信息系统安全专用产品销售许可证(增强级)具备中国网络安全审查技术与认证中心颁发的中国国家信息安全产品认证证书(增强级)具备全球IPv6测试中颁布的IPv6ReadyPhase2证书94.厂商资质厂商获得中国信息安全测评中心颁发的国家信息安全测评信息安全服务资质证书(安全工程类三级)厂商获得S09001质量管理体系认证证书,证书体系覆盖人数不少于600人,覆盖人数需提供认监委官,方网站CX查询结果厂商获得CMMl3及以上认证证书3、网
38、络版防病毒系统。支持LinUX或WindOWS服务器,以及PC终端防护、支持集中监控、产品更新和病毒警报,服务器WindOWS授权10个,服务器LinUX授权5个。技术指标参考如下:序号详细参数产品部署管理1达到中国计算机病毒防治产品检验中心检测认证标准,提供认证证明或销售许可证。2多样式的帐户管理设置,默认可分配三种管理员权限,普通管理员、配置管理员、审计管理员3网络管理人员能够通过控制台查询特定电脑存在那些漏洞补丁、或者特定补丁都存在那些电脑没有进行修复,并能够实现远程通知立即修复或定制修复漏洞补丁策略。4强大、灵活的管理和任务调度手段,允许管理员通过管理中心控制台,集中地实现全网范围内防
39、(杀)病毒策略的定制、分发和执行。5允许管理员通过控制台,集中地实现所有节点上防毒软件的监控、配置、查询等管理工作。6系统中心控制台具有消息推送功能,能够实现网络管理人员对全网或者指定客户机发送消息7为便于管理员集中管理全网软件资产,系统需提供软件统计、软件禁用管理、软件卸载管理、软件分发管理功能8支持管理员通过控制台,集中地实现所有节点上防毒软件的监控、配置、查询等管理工作,包括WindOWs、Linux、虚拟化、移动端等系统上的防病毒软件。提供功能截图及原厂盖章证明9管理中心叩p,支持管理员实时了解和查询网内终端安全情况。紧急情况下,管理员可在手机上对终端进行病毒查杀等应急操作10提供实时
40、和定时检测、清除病毒功能,实时检测和清除来自各种途径的各类恶意代码和特洛伊木马等黑客程序。对来自Internet.E-mail或是光盘、软盘、移动存储、网络等各种入口渠道的宏病毒、特洛伊木马、黑客程序和有害程序等全面进行实时监控。11发现病毒后,提供多种处理方法,例如清除、删除或隔离。12要求占用系统资源低,网络版杀毒软件的客户端程序在监控状态占用系统资源CPU不高于10%,内存占用不超过60MB13提供优盘等移动设备接入电脑自动检测功能,全面拦截和清除在移动设备接入系统可能带来的病毒木马。14支持多个虚拟化系统,如VMWare、MiCrOSOftHyPer-V和华为平台等。4、其他乙方认为信
41、息平台通过等保所必须的产品服务,例如网页防篡改、漏洞扫描器、入侵检测系统、终端安全管理系统等,请列出产品服务的详细功能、规格型号。(四)、服务人员资质要求本项目服务人员需具备软件服务相关的资质证书,提供复印件。项目经理资质要求:1、具有中国信息安全测评中心颁发的注册信息安全专业人员证书(即ClSP证书);2、项目管理类证书,PMP或者ITSS证书项目实施人员资质要求:拟派参与本项目实施的工程师具有注册信息安全专业人员证书(CISP证书)或信息安全保障人员认证(ClSAW证书)二、硬件采购甲方向乙方采购一台WEB应用防火墙。标准机架式设备,22个USB接口,22*GE电管理口,24*GE电口(B
42、ypass),24*GE光口(Bypass)。自带SATA硬盘容量21TB,最大支持4路防护。网络吞吐量4G。技术指标参考如下:序号指标项参数要求1.规格与性能硬件规格要求产品必须为标准机架式WAF硬件设备而非软件WAFo产品必须为专业性WEB应用防火墙设备及专业性WEB应用防火墙资质,而非NGAF、NGFWUTM设备及资质2.网络接口标配2*GE电管理口,标配4*千兆电口+4*千兆光口电业务口(配置2个SFP光模块)3.电源冗余电源4.防护网站数量不限5.设备性能应用层吞吐24GbPS并发连接数230万新建连接数23万业务时延小于50ms6.基本功能部署模式支持透明串接、反向代理、旁路引流部
43、署、旁路镜像审计部署,支持链路聚合7.高可用支持集群模式、主主模式、主备模式、硬件BYPASS、软件BYPASS8.保护对象支持多条链路数据的防护,防护网段数量不限9.支持ipv4ipv6双协议栈10.支持保护站点快速向导配置部署11.Web服务自发现支持自动发现现网环境中存在的Web业务系统,记录服务器的IP、Port、域名等信息12.HTTPS防护支持透明串接和旁路反向代理下的HTTPS服务器的防护13.攻击检测能够识别恶意请求含:跨站脚木(XSS)、注入式攻击(包括SQL注入、命令注入、Cookie注入、代码注入、LDAP注入、SSl注入文件注入等)、跨站请求伪造等应用攻击行为14.支持
44、对HTTP请求分割攻击和HTTP响应报文截断攻击的防护15.能够识别服务端响应内容导致的缺陷,包括:敏感信息泄露、已有的网页后门、错误配置、目录浏览等缺陷16.Webshell检测内置主流Webshell特征库,对文件上传内容进行检查,防止恶意Webshell上传,对已经上传的webshell发起请求的行为进行拦截阻断17.敏感信息隐藏拦截内置身份证、银行卡、手机号等服务器敏感信息库,对服务器响应敏感内容进行隐藏,并支持自定义敏感词,提供界面截图并加盖公司公章18.支持服务器隐藏,可配置删除服务器响应头信息19.Cookie安全支持Cookie安全机制,支持Cookie自学习,防止COokie
45、被篡改和劫持,并支持CoOkieHIIPOMy20.识别爬虫、扫描器等自动化工具的扫描行为WAF能自动识别扫描器的扫描行为,并智能阻断如Nikto、ParosproxyWebScarabWebInSpect、Whisker、IibWhiSker、Burpsuite、Wikto、Pangolin、WatchfireAppScan、N-Stealth、AcunetixWebVulnerabilityScanner等多种扫描器的扫描行为21.能基于访问行为特征进行分析,能识别盗链、爬虫攻击的能力22.防篡改系统提供防篡改功能,能够防止被篡改内容被浏览者访问到,一旦检测到被篡改,实时发送告警信息给管理员,同时可提供下载篡改前和篡改之后的代码文件23.自定义规则支持丰富的自定义规则,可以针对多个条件组合,形成深度的WEB防护规则24.mi级功能智能语义分析系统内置针对SQL注入、XSS的语义分析规则25.机器学习1、系统内置机器学习安全引擎,通过机器学习可以对用户Web业务系统建立安全的访问模型,学习的内容包括URL、参数、参数类型、参数长度、匹配频率等信息2、支持设定学习的周期、学习的域名、学习的URL等信息,可设定阀值,当达到一定阀值后执行告警或者阻断26.智能攻击者