惠州市国土资源局金土工程暨数字惠州地理空间框架应用系统建设招标编号:GMTC084H062ZFG077JO
附件:1
佛山市中医院信息安全等级保护项目
用 户 需 求 书
61.项目背景
62.项目依据
73.项目概述
73.1项目建设目标
73.3我院信息系统现状概述
104.项目建设内容总览
125.产品类建设详细需求
125.1外网防火墙
165.2Web应用防火墙
205.3内网防火墙
225.4入侵检测系统
275.5运维堡垒机
325.6网络终端安全准入系统
415.7网络监控系统
565.8综合日志审计系统
626.服务类建设详细要求
626.1安全加固服务
636.1.1操作系统加固
636.1.2网络/安全设备加固
646.1.3数据库加固
646.2安全管理制度建设
656.3应急响应类服务
656.3.1网站运维服务
656.3.2信息安全巡检服务
656.3.3信息安全事件应急服务
666.4安全培训服务
666.5信息安全等级保护验收测评服务
666.6等保三级系统年度测评
667.项目测评工具要求
667.1漏洞扫描设备要求
678.技术服务要求
678.1设备质量保证
688.2设备到货验收
688.3项目整体验收
698.4质保期内服务要求
698.5集成实施保障要求
698.6技术文档交付
709.实施地点及时间
1. 项目背景
依照国家、广东省、行业主管部门的政策要求,2013年6月,佛山中医院委托第三方安全服务单位对其建设运行的信息系统进行信息安全等级保护差距测评工作,并出具了针对被测评系统的差距测评报告。根据对差距测评报告以及现场交流的情况的分析,发现佛山中医院的信息系统现有安全保护措施与《信息安全技术信息系统安全等级保护基本要求》(GB/T
22239-2008)对应等级信息系统的保护要求存在差距,本方案就是在以佛山中医院信息系统差距测评结果为基础,按照国家、广东省对信息系统安全等级保护的相关建设规范和技术要求提出针对佛山中医院信息系统的信息安全等级保护建设方案。
本项目包含信息系统信息如下:
等级
对象
侵害客体
侵害程度
监管强度
控制粒度
安全标记保护级(三级)
1、 医院信息管理系统
2、 网站系统
社会秩序和公共利益
严重损害
监督检查
1)自主访问控制;
2)强制访问控制;
3)标记;
4)身份鉴别;
5)客体重用;
6)审计;
7)数据完整性;
系统审计保护级(二级)
1、 办公自动化系统
社会秩序和公共利益
一般损害
指导
1)自主访问控制
2)身份鉴别
3)客体重用
4)审计
5)数据完整性
2. 项目依据
中办【2003】27号文件(关于转发《国家信息化领导小组关于加强信息安全保障工作的意见》的通知)
公通字【2004】66号文件(关于印发《信息安全等级保护工作的实施意见》的通知)
公通字【2007】43号文件(关于印发《信息安全等级保护管理办法》的通知)
公信安【2007】861号文件(关于印发《关于开展全国重要信息系统安全等级保护定级工作》的通知)
《计算机信息系统安全保护等级划分准则》(GB17859-1999)
《信息系统安全等级保护基本要求》(GB/T 22239-2008)
《信息安全等级保护实施指南》(报批稿)
《信息系统安全保护等级定级指南》(GB/T 22240-2008)
《信息系统安全等级保护测评准则》(送审稿)
《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)
《信息安全技术网络基础安全技术要求》(GB/T20270-2006)
《信息安全技术操作系统安全技术要求》(GB/T20272-2006)
《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)
《信息安全技术终端计算机系统安全等级技术要求》(GA/T671)
《信息系统安全安全管理要求》(GB/T20269)
《信息系统安全工程管理要求》(GB/T20282)
《信息安全技术服务器技术要求》
《信息安全技术信息系统安全等级保护基本要求》GB/T aaaaa-xxxx
ISO/IEC 27001 信息系统安全管理体系标准
3. 项目概述
3.1项目建设目标
本项目安全整改建设的目标:在分域保护框架建立的基础之上,通过对佛山中医院信息系统进行安全通信网络、安全计算环境、安全区域边界、安全管理中心四个阶段的改造,建立起一个集中式的安全监控管理中心,在一个安全监控管理中心内,实现对网络、服务器、操作系统数据库、应用系统的综合安全监控管理,提高对安全事件的处理能力,从而保障信息系统的可靠性、安全性和稳定性,并确保相关信息系统通过第三方验收测评,成功在当地网警备案。
3.3我院信息系统现状概述
目前我院需要整改的3套系统网络拓扑图和介绍如下:
从根据前期专业测评公司差距测评结果及建议,为使我院3套信息系统达到相关等级保护要求,建议整改方面如下:
(1)结构安全方面:进行安全区域分区,分别划分为院内网区域和外网区域,核心应用域,安全管理域,内部终端域等区域。
(2)访问控制方面:在外网边界,一台防火墙,实现外网安全防护,在DMZ区,部署一台web应用防火墙,实现网站保护;在内网区域,部署两台内网防火墙,互为HA,实现内网的安全防护,内网防火墙方面,今年已经开始部署一套内网防火墙深信服AF-3180防火墙,故只需再采购一台同样型号的设备,实现HA功能即可。
(3)安全审计方面:部署网络监控系统及日志审计系统,采取措施对局域网网络设备运行状况、网络流量、用户行为等进行日志记录;部分操作系统启用审核登录事件记录功能,对重要用户行为、重要系统命令的使用等重要安全事件进行审计;部分数据库系统用户审计开启、开启审核功能,能对重要用户行为、重要系统命令的使用等重要安全事件进行审计;采取措施,监测操作系统资源的异常使用情况(如:CPU利用率、内存可用大小、磁盘可用空间等)。
(4)边界完整性检查方面:部署网络终端安全准入系统,对内部网络用户私自联到外部网络的行为进行检查;但未采取措施,对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
(5)入侵防范方面:部署入侵检测系统,对网络内的端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击事件进行监测。
(6)恶意防代码方面:在外网网络边界、内网网络边界,利用内外网防火墙的恶意防代码功能,对来至互联网和内部网络的恶意代码进行检测和清除。
(7)运维管理方面:部署运维审计系统,定期对网络系统、主机系统进行行为审计。
(8)安全服务方面:需要进行系统安全整改服务协助我院通过等级保护验收测评并完成通过测评验收后的三年内的每一年对三级系统进行含验收测评复评服务。
4. 项目建设内容总览
本次项目建设内容总览如下:
序号
产品名称
描述
数量
性能要求
参考品牌
安全产品类
1
外网防火墙
用于访问控制、网络边界入侵防范、网络边界恶意代码防范
1台
出口带宽100Mbps;出口链路2条;上网人数500人。要求防火墙10G吞吐(含防病毒模块、IPS模块)
山山石/启明星辰/天融信
22
WWeb应用防火墙
用于防护web网站
11台
出口带宽1000Mbps。要求4G吞吐量,200万并发连接数(非传统防火墙、下一代防火墙、二代墙或其它入侵防御)
山山石/启明星辰/深信服
3
内网防火墙
用于访问控制、网络边界入侵防范、网络边界恶意代码防范,与现有的防火墙AF-3180做HA
1台
与现有的防火墙做HA
深信服AF M3180
4
入侵检测系统
用于入侵防范及网络协议审计
1台
1个1000M Base-TX;监听口:3个10/100/1000M Base-TX;吞吐量200M,并发连接数60万;
启明星辰/天融信/绿盟
5
运维堡垒机
用于运维操作行为审计
1台
网络及安全设备:30台;服务器:40;运维人员:30人
奇治/极地/启明星辰
6
网络终端安全准入系统
解决终端安全接入及审计
1套
客户端数量:2000,含违规外联、设备指纹、移动存储介质管理模块
盈高/艾科
7
网络监控系统
解决统一监控及集中管理网络设备及应用系统
1套
网络设备:150,主机设备:40,数据库:12,中间件:5
ITIL:运维人员数:40人,资产管理:PC机在2000台,打印机估计4百台左右
北塔/赢领/摩卡
8
综合日志审计系统
解决统一日志审计及关联分析
1台
硬件设备,监控日志设备数量:100台,硬盘1T以上;
安恒/极地/国都兴业
安全服务类
1
安全加固
/
1项
1、 操作系统安全加固;
2、 网络及安全设备安全加固;
3、 数据库安全加固
/
2
安全管理制度建设
/
1项
完整的安全管理等级保护制度集
/
3
应急响应服务
/
1项
1、7*24小时应急保障服务;
2、网站运维服务;
3、信息安全巡检服务;
4、信息安全事件应急服务;
/
4
安全培训服务
/
1项
1、 原厂培训服务;
2、 信息安全培训服务;
3、 国家安全认证培训服务;
/
55
等等保三级系统年测
含三年验收测评复评服务
1项
2个三级系统、1个二级系统的验收测评(含三年验收测评复评服务)
备备注:三年验收测评为首次测评后的三年,首次测评由院方指定测评机构进行测评
其他要求:
· 所投产品提供至少原厂3年免费升级和7X24小时服务,以及3年后硬件维保和升级费用。
· 参考品牌为我院测试过并认可的品牌,报价在参考品牌范围内选择。
· 所投产品实施、部署满足我院等级保护整改项目需求。
· 协助我院完成信息系统等级保护验收。
· 协助我院完成通过测评验收后的三年内的每一年对三级系统进行含验收测评复评服务。
5. 产品类建设详细需求
5.1外网防火墙
在互联网边界进行部署1台下一代防火墙,边界隔离、访问控制的同时拦截来自外部区域的入侵、恶意代码等攻击,全面保护医院外网的网络安全。通过下一代防火墙的部署可以从从攻击源头上帮助中医院防护各类网络、系统、应用、数据层面的安全威胁;同时下一代防火墙提供的双向内容检测的技术帮助用户解决攻击被绕过后产生的网页篡改、敏感信息泄露的问题,实现防攻击、防篡改、防泄密的效果。
1、下一代防火墙部署于网络出口核心交换机前起到保障整网安全的作用,通过深度应用、协议检测和攻击原理分析的入侵防御技术,有效过滤病毒、木马、蠕虫、间谍软件、漏洞攻击、逃逸攻击等安全威胁,为用户提供L2-L7层网络安全防护;
2、能够有效抵御如SYN Flood、UDP Flood、HTTP
Flood等DoS/DDoS攻击,保障网络与应用系统的安全可用性;
3、支持SQL注入、跨站脚本、CC攻击等检测与过滤,避免Web服务器遭受攻击破坏;支持外链检查和目录访问控制,防止Web
Shell和敏感信息泄露,避免网页篡改与挂马,满足用户Web服务器深层次安全防护需求。
4、高性能的病毒过滤功能,基于流扫描技术的检测引擎可实现低延时的高性能过滤。支持对HTTP、FTP及各种邮件传输协议流量和压缩文件(zip,gzip,rar等)中病毒的查杀,提供超百万条实时更新的病毒特征库。
5、支持千万级URL过滤功能,可帮助网络管理员轻松实现网页浏览访问控制,避免恶意URL带来的威胁渗入。
6、可针对SSL 加密流量综合运用包括入侵防御、病毒防护、URL
过滤在内的多种管控手段,实现加密流量应用层威胁的全面防护。
7、在出站动态探测和入站SmartDNS等功能允许网络访问流量在多条链路上实现智能分担,极大提升链路利用效率和用户网络访问体验。
8、支持大规模网络环境中VPN部署,结合iOS及Android平台下的VPN客户端,可为用户提供移动终端远程接入解决方案。
9、支持虚拟防火墙技术,可将一台物理防火墙在逻辑上划分成多个虚拟防火墙,每个虚拟防火墙拥有独立系统资源和独立配置管理平台,可根据不同业务系统的安全需求为不同租户提供专属安全防护,还可对租户间互访的东西向流量进行安全隔离和策略防护。
10、支持系统日志、配置日志、流量日志、攻击日志及会话日志等类型日志的海量信息记录,保证提供上网访问行为的监管和审计,满足公安部82号令及上级单位合规性监管要求。
参考技术参数要求:
功能项
参数说明
性能要求
吞吐量≥10Gbps,IPS吞吐≥4Gbps,防病毒吞吐量≥2.5Gbps最大并发会话数≥400万,每秒新建会话数≥15万,SSL
VPN用户数≥6000个并发用户,本项目要求提供8个并发用户
设备硬件要求
配备至少4个千兆电口、4个SFP接口和2个万兆SFP+接口
支持2个通用业务扩展插槽,支持接口扩展,最多可扩展到22个千兆电口或者20个千兆光口
至少配置一个USB接口 ,支持不依赖网络的外接U盘方式进行系统升级
必须通过国家无线电监测中心检测中心浪涌(冲击)抗扰度(4KV)测试项目,并出具国家无线电监测中心检测中心委托测试报告
工作模式
必须支持透明、路由、混合、旁路4种工作模式(提供界面截图)
链路聚合
可在透明、路由模式下支持多条链路带宽进行捆绑
端口镜像
支持将任意接口数据完全镜像到设备自身的其余接口,用于抓包分析
NAT要求
要求必须支持NAT full cone模式。
要求必须支持多对多的NAT,且公网地址池可选择逐一使用和同时使用两种模式
为解决公网IP地址资源问题,要求必须支持NAT的端口扩展技术,突破传统单个公网地址64512个端口的瓶颈,而可以达到更大值。
要求必须支持基于标准SYSLOG及二进制的日志格式,且需具备高性能硬件日志服务器设备供选择。
必须支持所列所有应用,包括:H.323、SIP、FTP、TFTP、RSH、RTSP、SQL
Net、HTTP、MS-RPC、PPTP/GRE、SUN-RPC
策略要求
必须支持会话控制功能,要求能够基于源、目的、应用协议三种条件做会话数限制,必须支持会话控制功能,要求能够限制会话新建速率
支持按照应用、时间、用户帐号、IP地址、服务端口、物理端口等方式对数据进行访问控制
支持防火墙策略命中数统计功能,便于管理员维护防火墙策略
应用识别
具备对应用程序的识别和控制能力。应用程序特征库不少于1200种,并支持在线更新;(提供应用程序数量证明的界面截图)
DDoS防护
抗DDOS攻击:必须支持抵御下所列所有攻击类型,包括:DNS Query Flood、SYN Flood、UDP
Flood、ICMP Flood、Ping of Death、Smurf、WinNuke
ARP欺骗防护
为了防御ARP攻击和ARP病毒,要求支持免费 ARP广播及ARP客户端认证,软件端点数2000点
DNS防护
必须支持DNS透明代理
必须支持DNS代理黑白名单功能,用户可通过该功能过滤域名查询请求,保护DNS服务
路由功能
必须支持IPv4、IPv6的静态路由
必须支持OSPF、BGP、RIPv1/v2(动态路由协议非透传)支持策略路由、支持ISP路由并内置多运营商路由表
必须支持基于会话的原路回包功能,可设置优先于路由策略而通过会话表中的入接口进行回包。
必须支持基于角色、用户、用户组的策略路由
支持基于非固定端口的应用决定下一跳的策略路由
VRouter的功能与路由器相同,同时系统支持多VRouter(多VR)功能。
设备内置支持ISP路由表(提供界面截图)
支持BGP是边界网关协议(Border Gateway Protocol)
支持BFD for Static/OSPF/BGP
虚拟化要求
支持虚拟交换机功能,每个虚拟交换机拥有独立的MAC地址表
支持虚拟路由功能,每个虚拟路由中拥有独立的路由表
每个虚拟系统拥有独立的管理员,虚拟路由器、安全域、地址薄、服务薄,物理接口或逻辑接口,安全策略等。
支持自定义虚拟系统的资源,包括会话数、策略数、NAT规则数的最大限额设定
支持CPU资源的虚拟化
支持虚拟线技术(Virtual wire)和Vlan标签转换技术。
高可用性HA
支持AP模式
支持透明模式下AA方案,同时支持非对称的网络流量。
支持DNAT、SNAT模式下AA方案,支持NAT场景的非对称流量,同时支持BFD for
static,ospf,BGP,保证网络的快速收敛。
VPN要求
必须支持GRE和GRE over IPSec,IPSec VPN、SSL VPN、L2TP VPN
免费支持IPSEC VPN隧道
严格遵循RFC国际标准,必须支持的算法有DES、3DES、AES128、AES192、AES256,SHA-256、SHA-512等
支持速连VPN部署技术,中心端自动下发配置到分支设备而无需手工配置
支持XAUTH协议,支持iOS/Android移动终端接入,通过RADIUS/AD服务器进行用户身份认证
用户认证支持硬件USB-key的认证方式,支持基于手机短信的登录认证方式,支持文件证书的认证方式
支持多出口链路下支持选择最快响应链路建立SSL连接
支持SSL VPN客户端硬件特征码绑定认证
支持登录SSL VPN后自动打开可自定义的网页
必须支持对登录SSL
VPN的用户端系统进行端点安全检查,至少包括指定文件、指定进程、系统补丁、浏览器版本、杀毒软件等方面
内容过滤要求
支持2000万以上的URL分类过滤
支持自定义URL分类过滤
支持自定义域名过滤
支持对包含关键字的网页进行过滤,可审计用户、包含关键字的网页链接、时间等
支持包含关键字的邮件标题、邮件正文进行过滤,可审计用户、关键字、邮件发件人、收件人、发件时间等信息
支持Gmail加密邮件
支持根据邮件附件的文件类型进行过滤,可审计用户、关键字、邮件发件人、收件人、发件时间等信息
支持对QQ的上下线进行审计,可审计QQ账号
支持包含关键字的论坛发帖或者微博内容进行过滤,可审计用户、关键字、论坛发帖或发微博时间
可设置白名单,白名单内的用户免于过滤和审计
用户初次访问被审计或过滤时,弹出页面提示
流控控制要求
必须支持基于安全域、用户、ip地址以及7层应用进行保证带宽,最大带宽的控制,支持针对7层应用的优先级转发控制
多层QoS功能要求包含应用QoS 和IP QoS 是两个独立的数据流控制功能,应用QoS下可以嵌套IP Qos策略;IP
QoS可以嵌套应用QoS。
必须支持弹性带宽功能,可自定义阀值来上弹或回收带宽,充分利用网络带宽资源
负载均衡要求
支持SmartDNS,ISP动态探测,
支持出站就近负载均衡技术
支持服务器负载均衡
认证功能要求
具备WEB认证功能,可支持本地数据库,以及LDAP、Radius和Windows
AD域联动的第三方认证方式。(提供截图证明)支持Web短信认证功能,即能够通过短信认证的方式实现Web认证。
支持本地数据库,并可通过LDAP、Radius和Windows AD域联动
认证用户提供有效期功能,并在登录成功页面上提示剩余时间
支持与AD域联动,同步登录信息,使已登录域的用户实现单点认证
威胁防护功能要求
支持TCP/IP攻击防护
支持多种畸形报文攻击防护,扫描保护(IP地址扫描攻击、端口扫描攻击)
支持常见多种洪水攻击防护SYNFlood、DNSQueryFlood等多种DoS/DDoS防护
支持二层攻击防护,IP-MAC静态绑定、主机防御、ARP防护、DHCPSnooping
支持基于流模式病毒过滤检测
支持大病毒文件的扫描,多种类型的文件扫描:压缩类型有GZIP、BZIP2、TAR、ZIP和RAR)、PE(支持的加壳类型有ASPack
2.12、UPack
0.399、UPX的所有版本以及FSG的1.3、1.31、1.33和2.0版本)、HTML、Mail、RIFF、CryptFF和JPEG
支持常见病毒传输协议HTTP、FTP及各种邮件协议扫描,如POP3、HTTP、SMTP、IMAP4以及FTP
支持超过90万的病毒特征库,病毒库可以在线更新、本地更新
支持完整的基于状态的攻击检查
支持实时攻击源阻断、IP屏蔽、攻击事件记录
支持多种协议和应用的攻击检测和防御,针对HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、UDP、DNS、RPC、FINGER、MSSQL、ORACLE、NNTP、DHCP、LDAP、VOIP、NETBIOS、TFTP等
支持超过3,000种的攻击检测和防御
支持IPS特征库更新模式自动和手动两种更新方式
管理接口要求
支持SNMPV1/V2/V3
支持标准syslog格式,可外发到第三方日志服务器进行审计
支持http和https两种方式web管理
支持针对电信的TR069管理借口
支持console、telnet、SSH管理
资质要求
计算机信息系统安全专用产品销售许可证
国家涉密信息系统产品检测证书
国家信息安全产品认证证书(万兆三级)
要求通过全球下一代互联网测试中心的“IPv6 Ready”认证
具备工信部颁发的电信设备进网试用许可证
要求加入微软安全响应中心(Microsoft Security Response
Center)发起的MAPP(Microsoft Active Protection
Program)计划,作为该计划成员,可在微软发布每月安全公告之前获得微软产品的详细漏洞信息,为用户提供更及时的安全防护。
5.2Web应用防火墙
在DMZ区部署1台web应用防火墙,有效抵御SQL注入、跨站、挂马、恶意扫描等常见Web攻击,支持敏感信息防泄露、网页防篡改、应用层DDoS防护等功能,最大限度的保障网站运行安全。
1、防护Web通用攻击
通用Web攻击特征有效的防御来自外部的如SQL注入、文件注入、命令注入、配置注入、LDAP注入、跨站脚本等,部署WAF后自动障蔽相应的Web攻击行为,对OWASP
TOP10有完整的解决方案。
2、协议规范性检查
通过HTTP协议规范性检查可以实现Web主动防御功能,如请求头长度限制、请求编码类型限制等从而障蔽了大部分非法的未知攻击行为。
3、抗Web扫描器扫描
WAF能自动识别扫描器的扫描行为,并智能阻断如Nikto、Paros
proxy、WebScarab、WebInspect、Whisker、libwhisker、Burpsuite、Wikto、Pangolin、Watchfire
AppScan 、N-Stealth、Acunetix Web Vulnerability Scanner
等多种扫描器的扫描行为。
4、防护敏感信息泄露
WAF具备双向内容检测的能力,能识别服务器页面内容的敏感信息,防止敏感信息泄露,如服务器出错信息,数据库连接文件信息,Web服务器配置信息,网页中的连续出现的身份证、手机、邮箱等个人信息均可被WAF识别并依据策略采取相应的措施。
5、防止恶意言论提交
WAF支持中文关键字解析技术,通过对用户提交信息进行过滤,有效的解决了用户提交政冶敏感、违反法规相关的言论信息,从而保障网站的内容健康呈现。
6、CC攻击防护
可基于请求字段细粒度检测CC攻击,请求速率和请求集中度双重算法检测,有效应对CC慢速攻击,挑战模式识别人机访问减小误判概率,支持流量自学习建模和攻击者区域检测算法,完全隔离海外肉机,同时还能解决密码暴力猜解和商业爬虫行为。
7、防护盗链行为
WAF支持多种盗链识别算法能有效解决单一来源盗链、分布式盗链、网站数据恶意采集等信息盗取行为,从而确保网站的资源只能通过本站才能访问。
8、应用程序错误跟踪
WAF能自动记录应用程序的出错信息,并能将应用程序出错信息进行分类汇总,为程序人员进行分析原因和修复程序提供了重要参考。
9、网页篡改防护
WAF专注于动态应用程序的安全防护,考虑到门户网站对防篡改的要求,WAF内置了静态网页篡改防护与预警功能,防止篡改的页面显示到用户端并将篡改事件及时告警。
10、Cookie安全
支持Cookie自学习,防止Cookie被篡改或劫持,同时支持Cookie Http only机制。
11、Web访问行为合规
网站业务均需要逻辑上的合规判断,WAF根据业务逻辑顺序建立起一套业务合规性规则,不符合业务合规则则拦截。
12、要求具有标准Web应用防火墙的计算机信息安全专用产品销售许可证,不能使用传统防火墙、下一代防火墙、二代墙或其它入侵防御等设备代替专业的Web应用防火墙
13、性能的测试标准:
吞吐量:HTTP协议Get 512KB流量下测得,每秒新建连接数是在HTTP协议Get
1B流量下测得,并发数是HTTP协议Get64B流量测得
参考技术参数要求:
指标项
指标要求
规格
标准2U专用千兆硬件平台,标配1+1冗余电源,电源可热插拔
网口数量
标配:1个管理口,1个HA接口,1 个RS232 串口, 4GE 电口+4SFP 光口(2 组BYPASS 电接);
性能参数
网络吞吐量系统处理能力≥4000Mbps,应用吞吐量≥1600Mbps,最大并发连接数≥250000万,每秒新建连接数
≥35000,要求提供投标型号的产品彩页及官网链接截图;
拓展要求
2 个通用扩展槽,支持IOC-8GE、IOC-2SFP、IOC-8SFP、IOC-2SFP+、IOC-4SFP
部署方式
透明桥部署:防护口不占用IP地址,实现完全透明部署,无需以先终结用户的TCP会话后再发起新的TCP会话到服务器方式处理,并支持路由不对称场景;透明代理部署:防护口不占用IP地址,实现应用层透明部署,支持TCP连接复用,并优化服务器会话处理改善服务器处理性能。
端口镜像部署:镜像服务器流量即可实现安全审计和告警,支持添加服务器网段防护
网关模式部署:通过WEB应用防火墙对外发布应用,隐藏真实服务器
负载均衡模式部署:实现对WEB服务器进行负载均衡
路由模式部署:可支持静态路由、动态路由分发,无缝路由切换
高可用性
支持全透明集群模式、主-主模式、主备模式、硬件BYPASS、软件BYPASS
保护对象
支持多条链路数据的防护,可防护2路物理链路,防护网段数量不限
支持以域名和IP多种方式进行防护
支持ipv4/ipv6双协议栈
WEB服务自发现
支持WEB站点服务自动侦测功能,支持识别VLAN信息
Web应用安全防护功能
能够识别恶意请求含:跨站脚本(XSS)、注入式攻击(包括SQL注入、命令注入 、Cookie
注入等)、跨站请求伪造等应用攻击行为
能够识别服务端响应内容导致的缺陷:敏感信息泄露、已有的网页后门、错误配置、目录浏览等缺陷
能基于访问行为特征进行分析,能识别防盗链、应用DOS攻击的能力
能识别网站中的网页木马程序,通过策略可防止木马网页被用户访问
内置主流Webshell特征库,对上传内容进行检查,防止恶意Weshell上传
支持丰富的自定义规则,可以针对多个条件组合,形成深度的WEB防护规则
支持服务器隐藏
可配置删除服务器响应头信息
支持Cookie安全机制,支持Cookie自学习
支持Cookie Httponly
支持Cookie防篡改、防劫持
智能自学习功能
支持智能自学习功能,通过自学习得到每个站点下每个页面的行为特征,其结果可生成白名单规则
智能攻击者锁定
支持智能识别攻击者,对网站连接发起攻击的IP地址进行自动锁定禁止访问被攻击的网站,可配置攻击者识别策略和算法,可配置攻击者锁定时间,可配置将攻击者直接加入网络黑名单,可展示攻击者发生的时间和攻击者所在的地理位置
防御动作
针对触发安全规则的行为进行阻断并发出告警页面
支持告警页面支持重定向至其它URL
支持能将攻击者列入网络黑名单进行网络阻断该IP的访问
支持对攻击报文丢弃
WEB访问行为合规
支持对访问流程的校验,可配置页面合规页面流程,可配置页面思考时间,发现访问违反合规的直接被拦截并产生告警日志
CC防护功能
支持多种算法检测方法:对指定URL访问速率、对指定URL访问集中度检测
支持多种条件匹配算法:可基于URL、请求头字段、目标IP、请求方法等多种组合条件进行检测
检测对象支持IP或IP+URL算法,IP可支持X_Forwarded-For字段解析,并支持自定义检测字段功能
支持挑战模式,客户端访问时WAF发起302重定向与js挑战验证是真实客户还是CC工具发起的访问
支持学习业务流量模型,在业务流量异常时开启CC防护,并支持启动配置阈值
支持基于地理位置的识别,可设置不同地理区域的检测算法
支持统计访问流量信息,进行人机对抗
篡改监控
系统提供防篡改功能,能够防止被篡改内容被浏览者访问到,一旦检测到被篡改,实时发送告警信息给管理员。
安全审计
能详细记录攻击事件的HTTP请求头信息,含请求的URL、UserAgent、POST内容,cookie等所有的请求头内容
能详细记录服务器响应头信息,服务器响应内容
日志分析
根据产生的安全日志进行智能分析,提高人工分析效率,减小规则误判概率
报表方式
支持自定义报表、定时报表、支持各类导出格式(WORD,PDF等)
报表可自动发至管理员邮箱
告警方式
支持Syslog、手机短信、邮件等多种告警方式
访问审计
具备审计网站正常访问流量的能力,提供按小时,日期、月份生成报表
能记录、查询所有用户对网站的访问情况
能分析出访问量最大的URL,IP地址
能分析出访问流量最大的文件类型
加速功能
系统内嵌应用加速模块,通过对各类静态页面及部分脚本高速缓存,提高访问速度
支持响应内容压缩,并支持对压缩的响应内容识别
SSL透明代理
支持HTTPS服务器的防护,WEB应用防火墙前端与后端均为HTTPS加密链路,实现HTTPS应用系统的防御
部署在SSL网关后面,能够解析到真实的访问者IP,并能对真实的IP进行防护和阻断
设备管理
配置变更时不影响在线业务,操作界面支持全中文界面
支持HTTPS方式进行设备管理
设备管理采用管理员与审计员分离
资质要求
Web应用防火墙的计算机信息安全专用产品销售许可证
涉密信息信息系统产品检测证书
OWASP-Web应用防火墙认证证书
5.3内网防火墙
医院内网边界进行部署准万兆级的防火墙,并且实现双机热备,进行边界隔离、访问控制的同时拦截来自不同区域的入侵、恶意代码等攻击,全面保护医院内网的网络安全。由于刚刚采购了一台深信服下一代防火墙AF-3180放在该位置使用,这次只需要增加一台同类型号设备进行HA功能即可。
通过深信服下一代防火墙的部署可以从从攻击源头上帮助中医院防护各类网络、系统、应用、数据层面的安全威胁;同时下一代防火墙提供的双向内容检测的技术帮助用户解决攻击被绕过后产生的网页篡改、敏感信息泄露的问题,实现防攻击、防篡改、防泄密的效果。大概实现以下功能:
1、下一代防火墙双机部署于网络出口核心交换机前起到保障整网安全的作用;
2、通过DDOS/DOS子系统功能模块进行网络层面的安全加固,可以防止利用协议漏洞对服务器发起的拒绝服务攻击使得服务器无法提供正常服务,导致业务中断等问题;
3、利用入侵防御子系统功能模块可实现对服务器集群操作系统漏洞(如:winserver2003、linux、unix等)、应用程序漏洞(IIS服务器、Apache服务器、中间件weblogic、数据库oracle、MSSQL、MySQL等)的防护,防止黑客利用该类漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击获取服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题;
4、通过web安全子系统功能模块的开启,可实现对内部web服务器、数据库服务器、FTP服务器等服务器的安全防护。防止黑客利用业务代码开发安全保障不利,使得系统可轻易通过web攻击实现对web服务器、数据库的攻击造成数据库信息被窃取的问题;
5、通过信息泄漏防护子系统功能模块的开启,可自定义业务系统的敏感信息防止黑客绕过防御体系窃取业务系统的敏感信息;
6、通过风险评估子系统模块的启用对服务器集群进行安全体检,通过一键策略部署的功能开启入侵防御子系统模块、web安全子系统模块的对应策略,可帮助管理员的实现针对性的策略配置。
7、通过智能联动模块的应用,可形成防火墙子系统功能模块、入侵防御子系统功能模块、web安全子系统功能模块的智能联动,有效的防止工具型、自动化的黑客攻击,提高攻击成本,可抑制APT攻击的发生。
参考技术参数要求:
技术指标
指标要求
硬件指标
2U设备,吞吐量≥20Gbps,并发连接数≥500万,千兆电口≥6个,千兆光口≥4个,万兆光口≥4个
部署方式
支持路由,网桥,单臂,旁路,虚拟网线以及混合部署方式。
网络特性
支持链路聚合功能
支持端口联动
支持802.1Q VLAN Trunk、access接口,子接口。
路由支持
支持静态路由,ECMP等价路由
支持RIPv1/v2,OSPFv2/v3动态路由协议
支持多链路出站负载,支持基于应用类型的策略路由选路。
基础功能
访问控制策略支持基于源/目的IP,源端口,源/目的区域,用户(组),应用/服务类型,时间组的细化控制方式;
能够识别应用类型超过1100种,应用识别规则总数超过3000条;
支持IPv4/v6
NAT地址转换,支持源目的地址转换,目的地址转换和双向地址转换,支持针对源IP或者目的IP进行连接数控制;
支持基于应用类型,网站类型,文件类型进行带宽分配和流量控制;
移动终端支持通过IPSec/SSL VPN方式接入,分支支持通过IPSec VPN方式接入;
内容安全
支持URL过滤和文件过滤功能,URL过滤支持GET,POST请求过滤和HTTPS网站过滤,文件过滤支持文件上传和下载过滤;
DDoS攻击防护
支持Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP
Spoofing攻击防护、支持SYN Flood、ICMP Flood、UDP Flood、DNS Flood、ARP
Flood攻击防护,支持IP地址扫描,端口扫描防护,支持ARP欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测;
支持对信任区域主机外发的异常流量进行检测,如ICMP,UPD,SYN,DNS Flood等DDoS攻击行为;
入侵防护功能
入侵防护漏洞规则特征库数量在4000条以上,入侵防护漏洞特征具备中文相关介绍,包括但不限于漏洞描述,漏洞名称,危险等级,影响系统,对应CVE编号,参考信息和建议的解决方案;
支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP)和数据库软件(MySQL、Oracle、MSSQL)的口令暴力破解防护功能;(需提供截图证明并加盖厂商公章)
具备对常见网络协议(SSH、FTP、RDP、VNC、Netbios)和数据库(MySQL、Oracle、MSSQL)的弱密码扫描功能;
(需提供截图证明并加盖厂商公章)
支持同防火墙访问控制规则进行联动,可以针对检测到的攻击源IP进行联动封锁,支持自定义封锁时间;
可提供最新的威胁情报信息,能够对新爆发的流行高危漏洞进行预警和自动检测,发现问题后支持一键生成防护规则;(需提供截图证明并加盖厂商公章)
僵尸主机检测
支持对终端种植了远控木马或者病毒等恶意软件进行检测,并且能够对检测到的恶意软件行为进行深入的分析,展示和外部命令控制服务器的交互行为和其他可疑行为;
具备独立的僵尸主机识别特征库,恶意软件识别特征总数在50万条以上;
对于未知威胁具备同云端安全分析引擎进行联动的能力,上报可疑行为并在云端进行沙盒检测,并下发威胁行为分析报告;
病毒防护
支持对HTTP,FTP,SMTP,POP3协议进行病毒文件检测;
病毒样本数量超过1000万;
支持对常见压缩文件格式的检测,如zip,rar,7z等;
支持杀毒文件类型自定义;
支持杀毒白名单功能,可以根据URL或者IP进行排除不检测病毒;
检测到病毒后的操作支持阻断,记录杀毒日志;
安全可视化
支持对经过设备的流量进行分析,发现被保护对象存在的漏洞(非主动扫描),并根据被保护对象发现漏洞数量进行TOP
10排名,列出每个服务器发现的漏洞类型以及数量,支持生成和导出威胁报告,报告内容包含对整体发现的漏洞情况进行分析;(提供威胁报告并加盖厂商公章)
支持在首页多维度的展示发现的安全威胁,如攻击风险,漏洞风险,终端安全威胁和数据风险等,并支持将所有发现的安全问题进行归类汇总,并针对给出相应的解决方法指引;(提供操作配置截图并加盖厂商公章)
提供安全报表,报表内容体现被保护对象的整体安全等级,发现漏洞情况以及遭受到攻击的漏洞统计,可以查看到有效攻击行为次数和攻击趋势;(提供安全报表并加盖厂商公章)
支持自定义统计指定IP/用户组/用户/应用在指定时间段内的服务器安全风险、终端安全风险等内容,并形成报表;
支持每天/每周/每月自动生成报表,并将报表自动发送到指定邮箱,可以自定义报表内容;
支持对指定IP自定义业务名称,在报表中可快速识别业务系统存在的漏洞威胁和遭受攻击情况;
支持报表以HTML、Excel、PDF等格式导出;
高可用性
双机支持A/S,A/A方式部署,支持配置同步,会话同步和用户状态同步。
与医院现有的防火墙做HA。
系统配置
支持管理员权限分级,支持安全管理员、审计员、系统管理员三种权限;
支持自动备份配置,最大支持十五天内的配置恢复;
支持NTP协议;
支持修改TCP,UPD和ICMP协议的连接超时时间;
支持内置规则库的手动/自动更新;
支持邮件和短信告警;
售后服务要求
在佛山有厂家直属的服务办事机构,提供7*24小时快速上门服务和2小时内快速响应服务(官网上必须可查询到办事机构地址)
资质要求
所投防火墙产品入围Gartner企业级防火墙魔力象限
所投防火墙产品通过ICSA Labs的认证;
所投防火墙厂商为公安部第二代防火墙(GA/T 1177-2014)标准的制定单位之一
具有国家信息安全测评中心颁发的《信息安全服务资质证书》安全工程类一级;
中国反网络病毒联盟成员;
国家信息安全漏洞共享平台(CNVD)用户组成员;
5.4入侵检测系统
在医院内网安全管理区域部署入侵检测系统,对佛山中医院网络系统的入侵行为进行检测分析。主要功能如下:
1、入侵检测系统定位于智能威胁检测、分析与管理产品,威胁管理涉及:威胁发现、威胁展示、威胁分析、威胁处理四个环节,该产品对于病毒、蠕虫、木马、DDoS、扫描、SQL注入、XSS、缓冲区溢出、欺骗劫持等攻击行为以及网络资源滥用行为(如P2P上传/下载、网络游戏、视频/音频、网络炒股)等威胁具有高精度的检测能力,同时,该产品中的流量模块对于网络流量的异常情况具有非常准确、有效的发现能力。
2、系统支持智能威胁分析功能可以大大减少低质量报警事件的数量,降低用户的使用成本,提高使用效率;
3、具有威胁全流程闭环管理的IDS,可以帮助用户完成从威胁发现、威胁分析,到威胁处理的完整的威胁管理过程;智能的流量分析、报警能力,可以在用户零参与的情况下智能识别出流量的异常并进行报警。
4、具备3000条以上的攻击检测规则。支持事件统计分析,协议异常检测,有效防止各种攻击欺骗,可检测的攻击事件类型包括:网络设备攻击、安全扫描、蠕虫病毒、安全审计、可疑行为、网络娱乐、安全漏洞、欺骗劫持、网络通讯、脆弱口令、穷举探测、间谍软件、流量事件、分布事件、CGI访问等。
5、内置专业的病毒检测引擎,具有百万级的病毒特征库。
6、内置专业的Web应用攻击检测引擎,实时检测针对各种Web应用的攻击行为。
7、事件智能分析-自动过滤低风险事件
可以自动过滤掉海量的低质量事件,正常的网络环境中每天呈现的事件量不超过20条,大大降低了安全运维人员的运维工作量,提高安全运维人员的工作效率,使安全运维人员将主要的精力放在需要关注的重要报警之上。
8、组织化威胁管理-海量数据以组织为单位进行归类
用户可以根据所在公司/单位的组织设置及组织间隶属关系的情况自定义组织结构,在产生报警之后,报警会自动在不同的组织目录中进行展示,便于运维人员直接了解报警事件发生的组织部门,实现对大型的组织进行威胁管理,同时也方便对大型组织的威胁进行统计分析。
9、威胁闭环管理-流程化的威胁管理
传统的IDS产品定位于入侵事件的发现和报警,但是从用户对于报警事件进行管理的角度来讲,用户需要对威胁事件完成从威胁发现
-> 威胁上报 -> 威胁分析 ->
威胁处理这一整套的威胁管理过程,为了解决这一问题,具备威胁事件处理功能,实现对威胁事件的闭环管理过程。
10、流量异常挖掘-基线对比法识别异常流量
传统IDS在流量模块中往往针对于简单的流量统计、简单的流量走势曲线的绘制。这导致网络管理人员要花费很大的精力在这些简单的流量统计数据、流量曲线中手工挖掘发现异常流量的出现。
产品采用了自动学习网络内各个时间段的流量基线的方法,在用户零参与的情况下将当前流量与该时间段内的流量基线进行对比,并在此基础上决定是否产生报警。
11、面向安全结论的分析报表-分析报表带有结论性信息
传统的IDS产品的报表的设计一直以来是以堆砌原始报警数据为主,最多也只不过对这些原始数据做一下数量上的统计汇总,但安全分析人员的最终目标实际上是诸如:这些数据告诉我的结论是什么?我到底不安全?为什么说我安全或不安全?我需要做些什么?等等这类有帮助的结论性信息。
解决管理员在实际使用IDS过程中的这些问题与不便,设计了面向安全结论的分析报表,该报表通过对不同时期安全报警数据的对比,为安全分析人员提供结论性信息,免去了安全分析人员在海量的报警数据中繁琐的分析挖掘功能,提高了安全分析人员的工作效率,降低了IDS的使用成本。
参考技术参数要求:
指标项
技术规格、参数及要求
硬件规格
具有不少于1个带外管理口、5个千兆电口、1个扩展槽、2个USB口、1个RJ45
Console口;内存大于等于4G;配置不少于5个监听口授权;
性能指标
设备吞吐量至少2.5Gbps,最大并发≥150万,每秒新建连接≥6万;
攻击检测能力
攻击检测基础能力,系统应支持IP碎片重组、TCP流重组、TCP流状态跟踪、2至7层的协议分析、超7层应用协议(如:HTTP
Tunnel)识别与分析,系统应支持工作在非默认端口下的周知服务(如运行在8000端口下的Web
Server)的协议识别与协议分析能力;
系统需要支持如下常见协议的解析:ETHER、ARP、RARP、IP、ICMP、IGMP、PPPoE、Vlan
Tag、MPLS、TCP、UDP、NetBIOS、CIFS、SMB、FTP、TELNET、POP3、SMTP、IMAP、SNMP、MSRPC、SUNRPC、TNS、TDS、HTTP、QQ、MSN、BT、Thunder、CHARGEN、ECHO、AUTH、DNS、FINGER、IRC、MSPROXY、NFS、NNTP、NTALK、PCT、WHOIS等,协议覆盖面广,与之对应的事件库完备,需提供截图证明;
设备具有抗逃避检测机制,可以针对分片逃逸攻击、重叠逃逸攻击、加入多余或者无用字节逃逸攻击进行有效防范,并且能具体说明;
设备支持与高级持续威胁检测设备的联动,并且能提供有效的界面截图;
能够对缓冲区溢出、网络蠕虫、网络数据库攻击、木马软件、间谍软件等各种攻击行为进行检测,需提供界面截图;
系统首页提供最近24小时内网络发生的展示界面,包括对拒绝服务事件、扫描事件、蠕虫事件、木马病事件、网络整体状况等展示,需提供界面截图;
系统需具备对针对Web系统(包括浏览器、服务器)的攻击具备检测能力:SQL注入(包括各种变形)、XSS(包括存储式XSS、反射式XSS)及其各种语法变形、Webshell、网页挂马、语义变形、编码等环境下的精确检测能力,需提供界面截图;
系统提供的攻击特征不应少于3600条有效最新攻击特征,并且根据协议类型、安全类型、流行程度、影响设备等方式做有效分类,需提供截图;
具备协议自识别功能,具备规则用户自定义功能,可以对应用协议进行用户自定义,并提供详细协议分析变量;
系统需提供对事件的二次检测能力,即对已生成的事件进行二次分析与统计,并根据统计结果进行报警,同时,系统需支持对统计阈值进行设定的图形化用户接口,通过该图形化接口,用户可以选择需要统计的基础事件并对阈值进行设置与调整;
系统需具备针对如下几种拒绝服务攻击的检测能力:针对特定主机的TCP(SYN)FLOOD、针对特定主机的TCP
(STREAM)FLOOD、针对特定主机的UDP FLOOD、针对特定主机的ICMP
FLOOD;对上述所有攻击检测都可通过控制界面配置统计时间、报警阈值(提供加盖原厂商公章的产品界面截图);
系统具备针对IPv6环境下网络数据包捕获、IPv6协议分析、协议异常状态检测、协议规则匹配和响应处理能力,需提供界面截图;
系统提供自定义弱口令规则的能力,使用户可以灵活定义网络内的弱口令条件,需提供界面截图;
流量监控能力
系统需支持完善的流量统计、异常流量分析、异常流量报警的能力,需提供界面截图;
支持对今日总流量、Web流量、数据库流量、邮件流量的统计功能,以及历史均值的基线自动学习能力,需提供界面截图;
具有独立的报警界面对异常流量进行界面报警,报警须区分偏低、偏高两种情况,总计不少于4种报警等级,报警需具备不同颜色的警灯保警方式;
异常流量报警至少提供:界面报警、警灯闪烁、邮件报警三种通知方式;
威胁展示能力
系统提供威胁的实时展示能力,可以将引擎检测到的威胁在威胁展示界面进行实时显示,现实内容需全面丰富,包括:威胁的中文名称、威胁的处理状态、威胁的等级、威胁流行程度、威胁的源ip、威胁的目标ip、威胁发生的时间段(今日该威胁第一条的发生时间、今日该威协最后一条发生时间)、该威胁今日发生次数、该威协最近十分钟的发生次数;
系统需提供威胁在展示界面的合并能力,并可根据相同IP合并、目的IP合并、目的IP加目的端口合并等多条件,并且可配置基于IPV6的前缀长度,需提供界面截图;
系统可配置过滤条件,可根据MAC过滤和IP过滤关系进行“与”“或”策略配置;
系统需要具备在引擎端合并事件的能力并提供合并的设置界面;在显示端需要提供在显示过程中的二次合并能力,以便进一步精简报警,系统需要提供不少于5种在显示端进行事件二次合并的模板,并且支持在实时事件显示界面中对每条上报事件选择各自的二次合并方式;
系统需具备入侵定位能力,需提供界面截图;
系统需提供对历史事件进行查询的能力,通过历史事件查询功能,用户可以通过制定查询条件对历史告警事件进行查询,同时需提供至少3种默认的查询条件模板;
系统需提供设置用户关注事件的能力,通过设置,可以明确地将事件设置为需要关注或不需要关注,用户的设置结果将取代用户自动分析的结果,即:用户设置为需要关注的报警事件,直接在告警界面进行显示,用户设置为不需要关注的报警事件,不再在用户的事件报警展示界面进行展示,提供界面截图;
定制事件显示条件模板,通过事件所属的协议类型、事件所属的安全类型、事件的流行程度、事件的严重级别、事件的影响设备、事件影响的系统等条件定义事件过滤模板;
操作系统资产配置与报警自动关联,根据配置的目的地址、影响系统与影响设备进行上报事件的过滤,提供界面截图;
针对达到识别策略的事件进行优化处理,包括对日志的处理和策略的处理;
多级分布和全局预警
系统支持多级部署,集中管理能力,可以添加组件(包括子控、引擎)提供各个组件(子控、引擎)的拓扑图,并在图中动态显示组件之间的实时连接状态;
系统首页呈现本级控制中心与各引擎的拓扑图,并且可设定显示或隐藏;
上级节点可以跨级为下级节点发送策略、支持对引擎批量下发策略;下级节点可以将报警日志逐级上报,同时,下级节点也可以设置向上级管理节点上报事件所必须满足的条件;
为了提高全局预警的预警级别,提高用户对全局预警事件的关注度,并能用高亮或报警灯等方式进行提醒;
系统需提供常用的内置策略模板,并可以将策略导入、导出、合并,同时支持用户自定义策略,自定义策略的时候,可以根据事件名称、协议类型、安全类型等维度进行事件的快速查询;
系统支持从威胁发现到威胁展示、威胁说明、分析帮助、处理过程帮助、处理过程记录、后继续自动处理的威胁全过程处理流程,帮助用户发现威胁、分析威胁、处理威胁,完成威胁管理工作的全流程闭环,需提供step
by step界面截图;
威胁响应能力
支持如下报警响应方式:计入日志、页面报警、发送邮件、发送SNMP
Trap信息、发送SYSLOG信息、发送RST阻断报文、防火墙联动、全局预警、提取原始报文;
报表功能
系统需提供完善的报表系统,支持面向安全结论的分析报表;报表需支持如下格式:HTML、PDF、EXCEL、WORD,所生成的报表可以自动发送到多个邮箱,能辅助用户查阅,提供界面截图;
系统需支持虚拟引擎的功能,支持按照抓包口、IP地址、IP地址范围、VLAN、MAC地址配置虚拟引擎,不同的虚拟引擎可以采用不同的事件集,需提供界面截图;
可以针对组织来查看历史事件与生成报表,提供界面截图;
资质要求(提供相关证明文件)
投标IDS产品应具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》(千兆),并达到三级标准或以上级别,提供有效证书的复印件。说明:要求投标产品的证书上明确标识“千兆”产品;
投标IDS产品应具有中国信息安全测评中心颁发的《国家信息安全测评信息技术产品安全测评证书》(千兆),并获得EAL3级别或以上级别,提供有效证书的复印件。说明:要求投标产品的证书上明确标识“千兆”产品;
投标IDS产品具有中国信息安全认证中心颁发的《中国国家信息安全产品认证证书》(千兆)说明:要求投标产品的证书上明确标识“千兆”产品;
投标IDS产品应具有国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》(千兆),提供有效证书的复印件。说明:要求投标产品的证书上明确标识“千兆”产品;
投标IDS产品应具有IPV6金牌(IPv6 Ready Logo Phase-2)认证证书,提供有效证书的复印件;
厂商资质
必须是CNCERT网络安全应急服务国家级支撑单位;
厂商应具备涉及国家秘密的计算机信息系统集成资质证书(甲级);
安全厂商拥有国家专利证书,提供可在国家知识产权局网站可查询到专利证书号,不少于100项;
安全厂商CVE漏洞发现数超过90个,请给出漏洞发现列表(CVE编号,漏洞描述)及证明方法并加盖公章。
5.5运维堡垒机
通过运维堡垒机的部署,可以有效的解决运维部门在运维过程中存在的各种问题:
1、以堡垒方式,形成统一的运维入口,实现运维操作的唯一路径;
2、引入主从帐号管理概念,使用户认证与系统授权分开,从而有效解决系统帐号共享使用,带来的身份不唯一的问题;
3、基于用户、设备、系统帐号、协议类型、登录规则的严格访问控制设置,有效规避了非授权访问带来的问题;
4、密码托管和自动改密,使得密码管理规范能有效落地,避免了因人员的流动还会导致设备密码存在外泄的风险;
5、能完整记录运维人员的操作过程,当系统因人为操作导致故障的时候,能够快速定位故障原因和责任人;
主要功能:
1、 部门管理
可以将不同的用户、目标设备分配到不同的部门;部门之间彼此隔离;不同部门的用户只能管理自己部门内的目标设备、策略、操作的审计、控制等;同时,还支持树状结构部门管理,上级部门可以管理下级部门的资源,包括资源调整、统计报表等。
2、 身份认证
支持的认证方式包括:本地静态认证,第三方AD域、LDAP、radius、iso8583认证和内置totp(time-based-one-time-passwd)认证。
3、 访问控制
可以根据用户/用户组、设备/设备组、系统帐号和时间来设置详细的访问控制规则,设置完成后,用户只能按照规则设置来访问相应资源,彻底杜绝了非授权访问所带来的问题。
4、 权限控制
可以针对超级用户(root)做操作权限的控制,当多人同时使用一个系统账号时,堡垒机可以对同一个系统账号进行权限再分配,保证使用同一个系统账号的不同用户拥有不同的权限,解决了共享账号和root用户权限的问题,实现细粒度的操作权限控制。
对于用户的操作可以有3种状态:允许,拒绝,禁止。
对于高危命令(删除,重起,关机等)可以实时告警,一旦高危操作触发,会立即给相关人员发送告警邮件,保证用户在第一时间内知道高危操作是否对系统有影响。
5、 实时监控与阻断
对于普通用户登录到目标设备上正在进行的操作,审计管理员可以在堡垒机的WEB界面做到实时监控,同时对于用户的违规操作,审计管理员还可以做到实时切断。
6、 多人授权访问及复核功能
在对核心设备登录时候的多人授权功能(针对不同的访问控制策略分配不同的用户),必须经过相关管理人员的授权才能够进行;
对于核心设备上的敏感指令操作,需要经过管理员的复核后,指令才能被执行。
7、 会话共享
具有图形操作会话共享功能,可让多位运维人员对同一个会话进行共享操作;
8、 密码托管
堡垒机上能够对目标设备访问帐号及密码进行集中托管;能够使用策略对管理的目标设备进行批量定期自动修改密码,并且能够将密码列表进行导出(需要经过解密后,方可查看到明文密码)。
9、 自动运维
能够通过策略对网络设备进行自动备份,对unix系统进行自动执行功能。
10、 应用发布
可以通过web管理界面,直接发布安装在某台windows服务器上的各类客户端/应用程序,可以使用普通用户在本机未安装客户端软件下也能够正常进行运维。
11、 操作审计
能够记录用户在目标设备上进行的Telnet、SSH、RDP、VNC、X-Windows、Http、Https、FTP、SFTP、SCP等协议所有操作行为(命令操作及图形操作),支持TELNET、SSH协议使用SecureCRT工具批量登录目标资源,同时还有审计第三方客户端工具的操作。对图形操作审计,可以进行快速回放、定位回放、任意回放,会话协议回放空闲时间过滤,应用发布图像操作回放支持操作空闲过滤(可设置无操作多长时间开始过滤)
12、 数据库审计
数据库协议:支持Oracle、MS SQL Server、IBM DB2、Sybase、IBM Informix Dynamic
Server、MySQL、PostgreSQL等数据库类型;oracle,postgresql,sybase,mysql,sqlserver数据库下行返回行数和oracle数据库变量绑定。
13、 操作搜索
针对字符操作记录,可按时间、用户帐号、目标设备、命令等关键字进行搜索;针对图形操作记录,可以根据键盘输入、剪贴板操作、模糊识别的内容等关键字进行搜索。
14、 统计报表
实现情况总览、会话报表、报表模板、自动报表、命令报表等统计报表功能。
参考技术参数要求:
项目
基本参数
硬件要求
可管理对象数量≥100个;硬盘容量≥2*1T SATA硬盘,支持raid1;内存≥8G;CPU=4核;网口≥2个千兆网口
并发操作性能:图形操作并发数≥100个;字符操作并发数≥300个
支持协议类型
支持Telnet、SSH、RDP、VNC、XWIN、SCP、FTP、SFTP协议;
可通过应用发布实现对IE、pcomm、plsql、Vcenter等应用程序/客户端的扩展支持;
支持操作终端类型
支持windows、linux、MAC OS等类型、各版本的操作终端;
支持IE、chrome、firefox、MyIE等类型、各版本的浏览器;
电子工单
产品内置电子工单,运维人员可以在产品的web界面,手动填写电子工单,填写的内容至少应包括:用户账号、设备资源、系统账号、协议类型、要执行的命令、时间窗口、审批人;工单经审批通过后,运维人员可立即取得相应访问权限;
无限级部门分权
资源按部门分权
支持用户帐号和目标设备的部门分权,不同的用户和设备可以归属于不同的部门(子部门);
权限按部门分权
支持访问控制策略按部门分权,不同部门的配置管理员只能针对自己部门及自己直属子部门设备进行访问权限设置;
支持密码修改计划部门分权,使得不同部门的密码保管员只能修改/保管自己部门的设备上的帐号密码;
审计按部门分权
支持审计功能按部门分权,使得不同部门的审计管理员只能审计自己部门、自己直属子部门设备上的操作日志;
堡垒机用户帐号管理
内置TOTP方式的动态双因素认证,用户不需要额外部署认证服务器;
内置手机令牌认证,用户可以直接使用andriod、ios上的令牌APP产生的动态码,直接登录堡垒机;
支持自定义MIX组合认证功能,即两类认证方式组合为一种新的认证,以加强安全认证强度;
支持与第三方认证,如AD域、LDAP、radius、ISO8583认证整合;
目标设备管理
设备自动发现
支持针对某些地址、地址段内的目标设备自动发现和批量导入功能;
rdp连接视图
针对windows
server登录,用户通过堡垒机登录时,鼠标放到rdp协议图标上时,可以自动列出该windows设备当前远程连接数量;
应用发布
支持remoteAPP方式的应用发布,确保通过堡垒机打开应用程序后,无任何多余页面背景,如同在本地打开一样;
支持同时通过堡垒机打开多个应用程序,并能通过ALT+TAB键进行程序切换;
支持堡垒机与应用发布服务器之间的用户账号自动同步;
权限控制
访问权限控制
支持同时以用户(用户组)、目标设备(设备组)、系统帐号、协议类型、所在部门、时间段、来源IP为核心要素,来设置多对多的访问控制策略;
支持访问控制策略一键克隆;
针对高敏设备,支持用户登录时候的二次授权;授权码可采用“专用授权PIN码+内置的动态双因素认证码”,
避免授权密码外泄带来的安全风险;
命令权限控制
可跟据用户(用户组)、目标设备(设备组)、系统帐号、命令集和生效时间来设置详细的命令权限控制策略,支持命令黑白名单和命令正则表达式;
对于高危指令,支持用户执行时候的二次复核,只有被管理员复核通过,才可被执行;
URL白名单控制
支持通过堡垒机,打开浏览器访问目标设备(如防火墙)后的URL输入白名单控制,即用户只可以登录被许可范围内的URL;
数据库连接限制
支持通过堡垒机,打开oracle客户端访问目标数据库时候的数据库连接限制,限制内容包含:OCI_HOST、Service_Name和OCI_PORT;
会话共管
对于图形操作会话支持多人会话共管,即当前运维人员可以邀请其他的堡垒机用户参与当前操作会话中,同时也可以将被邀请人权限;
自动运维
自动脚本任务
管理员可以根据设备/设备组、系统账号、时间、脚本内容(自定义),创建自动脚本任务;该任务到期自动执行,执行的结果自动发送给相关管理员;
网络设备配置自动备份
支持定期自动备份指定的网络设备上的配置信息,备份结果可以自动加密发送给相关管理员或特定文件服务器,加密方式支持GPG和ZIP两种;
并发限制
支持自动脚本任务和自动网络设备配置备份执行时的并发数量限制,并发数量可在web界面调整;
自动改密
改密计划
可以根据设备(设备组)、系统帐号、时间、频率、改密方式生成详细的改密计划,到期自动执行;改密方式至少可以支持随机生成不同密码、自动设置相同密码、手动指定密码、随机定制密码;改密结果自动加密发送给密码保管员;
改密容错
支持预改密功能:在密码修改前由堡垒机自动发送预改密邮件/文件出去,以能否成功发送作为是否执行改密计划的前提;
支持密码校验机制:堡垒机保存新、旧两份密码,在设备改密出现异常时,可以通过校验登录,确认目标设备的正确密码;
具备密码拨测功能,即在系统完成密码修改之后,自动进行新密码登录测试,以便进一步校验密码修改结果;
操作审计
命令操作审计
拥有专利技术,实现对各种非常规指令操作的100%识别;
支持从任一条命令点开始回放用户的操作过程;回放过程支持暂停和整行快放操作;
支持对用户命令操作的输入输出,在同一界面展示,并能自动以不同颜色标记出被系统拒绝、切断的操作;
图形操作审计
具备OCR图形识别技术,可以对图形操作过程中的键盘鼠标操作、剪贴板操作、标题栏操作、图形界面文字模糊识别四大类信息,进行文本审计;
可根据文本审计的内容为关键字进行图形搜索,搜索出来的结果可以直接定位到相关图形画面进行回放;
支持以2M会话流量或者15分钟操作时长为标准的会话缩略图切片展示功能;
数据库操作审计
拥有专利技术,实现有别于传统网络抓包方式的数据库审计(无需侦听网络流量),可支持的数据库类型包含:sqlserver、sybase和oracle;
支持以文本方式100%还原数据库客户端操作所对应的每一条SQL语句,包括语句的参数、变量等内容;SQL语句可直接对应到具体操作者;
支持从任一条sql语句开始,回放用户的操作过程;
支持以sql语句为关键字进行全文检索,检索关键字支持语句/参数支持中文,检索结果可以直接定位到图形操作界面进回放;
实时监控
支持对任意类型的活动会话进行无延时的实时监控和实时切断;
统计报表
TOP N报表
支持报表热点功能,即只根据特定类型的TOP N数据来生成报表;
自动报表
管理员可以手动定制报表模版,并支持根据不同模版自动生成日报、周报、月报,报表内容自动发送给相关管理员;
投标产品资质要求
投标产品《计算机软件著作权登记证书》中的发表日期不晚于2006年,并提供证书扫描件;
投标产品需要确保是自主研发而不是OEM其他厂商产品,并提供国家版权局颁发的《计算机软件著作权登记证书》扫描件;
投标产品必须具备公安部颁发的《计算机信息系统安全专用产品销售许可证》,并提供证书扫描件;
投标产品必须具备中国信息安全认证中心颁发的《中国国家信息安全产品认证证书》,并提供证书扫描件;
投标产品必须具备“一种识别终端命令行的方法和装置” 技术专利,并提供国家知识产权局颁发的专利证书扫描件;
投标产品必须具备“一种获取数据库访问过程的方法、装置及系统”技术专利,并提供国家知识产权局颁发的专利证书扫描件;
投标产品必须具备国家保密局涉密信息系统安全保密测评中心出具的《涉密信息系统产品检测证书》,并提供证书扫描件;
5.6网络终端安全准入系统
在医院内网安全管理区域部署网络准入控制系统,避免佛山中医院网络系统的非法接入行为,保证网络边界的完整性。主要功能如下:
1.准入效果
功能效果:入网终端必须完成准入流程,才能接入网络,非授权终端被隔离
功能特性:提供最全面的准入技术,提供无客户端、控件、客户端三种自定义安全客户端模式,同时采用WEB重定向认证流程。
预期结果:
1)新终端接入网络,只能与ASM通信,不能与任何其它设备通信。
2)页面被重定向至内网终端安全管理系统认证页面,提示身份认证。
2.网络透视
功能效果:终端管理和准入系统的终端级网络拓扑透视功能,提供网络拓扑、交换机面板显示并提供做终端精确定位
功能特性:
1)能在准入系统管理页面形成全网拓扑
2可查看到交换机接口面板,以及每个接口模式及状态。
3、可查看所选择交换机上接口的详细信息,查看交换机下连终端信息。
4、能够根据IP或MAC地址精确定位该PC所在交换机的具体端口及终端详细信息。
3.系统补丁检查
功能效果:提供检查并修复系统补丁
功能特性:准入设备具有独立的补丁管理模块,无需第三方补丁服务器支持,自身即可以提供完整的流程化补丁管理,包括同步更新、补丁分类、补丁分发、补丁报表等功能。
4.设备指纹
功能效果:防止IP/MAC仿冒
功能特性:采用IP/MAC之外的第三元素,为每台入网终端都生成唯一指纹信息(二维码)可在完全无客户端情况下,做到设备的准确识别,即使终端更改了IP和mac,依然能够准确识别终端并阻断非法终端入网
5.移动存储介质管理
功能效果:测试移动存储功能是否正确
功能特性:
1)加密过的U盘在内网可以使用,在外网无法使用;
2)未加密的U盘在内网不可使用,在外网可以使用;
3)U盘管理功能离线生效,即使准入客户端被爆力删除,U盘管理功能依然有效。
6.违规外联
功能效果:禁止内网终端违规访问互联网,离线生效。
功能特性:能够支持拨号、双网卡、代理等违规联网行为的即时检查,并能够对违规联网的终端实时断网并通知管理员。违规外联检测项能够正确识别终端设备的外联行为并及时断开终端网络(离线生效),即使终端准入客户端被爆力删除,违规外联功能仍然生效。
7.其他要求
支持级联授权拆分管理,可以根据每级实际的终端数量分配客户端授权数量,并可支持授权回收,能够回收下级单位富余的授权数量,并重新对回收的授权数量进行重新分配。
支持由管理员自定义设置要求终端用户提供准确的身份信息,管理员可以自定义需要终端用户选择和填写客户端注册信息项目内容、注册项排列顺序和必填项。
支持管理员对新增的自定义客户端注册信息进行修改、删除和调整顺序,并可以设置该项是否为必填项等参数,方便客户端管理。
能够对终端网络行为异常进行监测和控制,网络行为异常包括但不限于异常的网络连接、异常发包行为、异常的终端流量等,避免因为终端的网络异常导致整个企业内网网络阻塞或者瘫痪。
支持软件安装红名单、黑名单和白名单,确保终端能够按照要求安装指定的软件。
进入管理界面查看全网硬件资产统计及查询、查看全网软件资产统计及查询。在PC上插拔鼠标,在管理界面查看硬件变动记录。在PC上删除软件,在管理界面查看软件变动记录。
8.安全检查库
不仅能够帮助管理员了解全网终端的安全漏洞情况,还提供“一键式”智能修复功能,通过傻瓜式的漏洞修复模式为员工提供简单、形象的安全自我修复功能,完全不需要管理员的介入即可完成终端安全风险项修补,最终将管理人员从日常重复、繁琐、低效的运维管理工作中解脱出来。
准入检查项:
检查项
说明
1
Guest来宾账户检查
检查终端是否存在已启用的Guest账户。
2
IE控件检查
检查终端是否安装了禁止安装的IE控件。
检查终端是否安装了必须安装的IE控件。
3
IE主页检查
检查终端IE主页设置是否符合要求。
4
IP/MAC绑定检查
检查终端IP/MAC是否符合绑定要求。该检查项的配置。
5
P2P软件检查
检查终端是否安装了被禁用的P2P软件。
6
WSUS更新配置检查
检查终端WSUS更新配置是否符合要求。
7
Windows防火墙检测
检查终端是否开启了Windows防火墙。
8
必须安装软件检查
检查终端是否安装了必须安装的软件。
9
必须运行进程检查
检查终端是否运行了必须运行的进程。
10
禁止安装软件检查
检查终端是否安装了被禁止安装的软件。
11
禁止运行进程检查
检查终端是否运行了被禁止运行的进程。
12
客户端运行状态检查
检查终端是否运行了指定的客户端程序。
13
垃圾文件检查
检查终端回收站和Windows临时文件夹内的文件数量和大小是否超过指定值。
14
密码策略设置检查
检查终端组策略的密码策略是否符合要求。
15
屏幕保护设置检查
检查终端屏幕保护设置是否符合要求。
16
弱口令账户检查
检查终端所有开启的账户是否为弱口令账户。
17
杀毒软件检查
检查终端是否安装了指定的杀毒软件,其引擎版本和病毒库版本是否符合要求。
18
网络监听端口检查
检查终端是否关闭或开放了指定的端口。
19
网络连接检查
检查终端是否存在拨号或双网卡行为。
20
系统补丁检查
检查终端是否安装了指定的系统补丁。
21
系统服务检查
检查终端是否启用了被禁止启用的服务。
22
系统共享资源检查
检查终端是否存在共享的文件或文件夹。
23
系统时间检查
检查终端系统时间是否和ASM一致。
24
域用户检查
检查终端是否使用指定域的账户登陆。
25
远程桌面检查
检查终端是否开启了远程桌面功能。
参考技术参数要求:
指标项
功能描述
基本要求
系统要求
具有独立自主知识产权,须为标准机架式硬件产品,除自身硬件设备外,产品功能的实现无需额外增加服务器等设备。
性能要求
1U机架结构;标准配置6个1000MBASE-T接口,可配置4个1000M光口(固化接口卡,无液晶屏)每秒事务数(TPS):≥5000(次/秒),最大吞吐量:≥2Gbps,最大并发连接数:4000(条);至少支持2000终端授权;
高可用性
1. 准入设备必须具备HA模式,HA须支持主备机心跳IP检测及虚地址管理模式。
2. 提供第三方监控平台,在出现重大异常情况时能及时通知网络设备放开网络。
3. 准入设备支持协同服务器功能,以便后期灵活扩展设备性能及终端管控能力。
终端部署
1. 准入设备应至少提供安全客户端(Agent)、安全控件、无客户端等多种可供自定义部署、管理模式。
2. 安全客户端模式部署时,客户端程序应支持功能定制,以降低系统资源耗用,提升客户端兼容性。
准入
架构
终端发现
能够实时监测并发现接入内网的PC、平板电脑、智能手机、IP设备等终端,能够在第一时间隔离阻断并通知管理员对自动发现的终端能够按照类别自动归类,以方便网络终端的统计管理。
准入技术
1. 准入设备须原生支持802.1x标准协议,无需第三方RADIUS服务器支持。
2. 准入设备支持基于多厂商Virtual Gateway的VLAN隔离技术,实现无客户端环境下端口级准入控制。
3.
准入设备支持基于策略路由技术的准入控制模式,入网设备在访问网内关键资源时,将被强制隔离、引导至认证管理页面,同时支持交换机接口动态VLAN下发、端口隔离模式的网络边界管理。
4. 单台准入设备可支持至少2个核心交换机进行策略路由准入控制。
5. 准入设备可支持端口镜像准入技术,通过对交换机镜像数据的实时分析,能够及时发现并阻断非授权终端的接入。
定向引导
1. 支持终端入网IE重定向引导,当用户访问网页时能够自动转向到指定的页面或地址,并支持http代理及多重重定向引导。
2. 可根据用户的实际环境自定义非80端口的Web服务端口号及用户重定向引导。
3. 能通过浏览器完成身份认证、控件安装、设备注册、安全检查、检查结果展现等全流程引导管理。
4. 具有Mac OS、Linux、iOS、Android等系统专属客户端,支持认证引导和准入管理。
违规外联
违规外联
1. 能够针对3G拨号、双网卡、随身WIFI、代理等多种违规联网行为做实时检测,不接受间歇性ping外网地址的探测方式。
2.
能够针对违规外联终端进行即时断网,断网方式应支持断开链接、关闭连接进程、断网后重启恢复、重启计算机等多级模式,并能够实时通知管理员。
3. 准入设备能够支持按照用户角色定义、限制员工的内网访问范围,防止其越权访问操作。
边界
管理
IP/MAC绑定
具有入网设备自动学习功能,支持IP/MAC/端口三者强制绑定,以及违规终端VLAN隔离机制,防止终端仿冒IP接入网络或移动设备位置。
主机防火墙
1. 终端在准入通过后访问域严格受管理员策略控制。
2. 同网段终端无法互相访问,做到精确到端口的高安全性控制。
设备特征指纹
设备特征指纹
1. 具有非智能IP终端信息库,能够精准识别网络打印机、网络摄像头、IP电话等设备,并根据设备特征进行自动匹配和归类。
2. 通过伪造合法IP或MAC地址的非法设备和行为,能够被即时发现并阻断。
设备私接管理
NAT设备
1.
具有独立的NAT设备集中管理功能,支持对全网NAT设备的扫描及NAT设备数的例表展示;支持单独禁用或放开NAT设备及NAT设备下所接终端接入网络;具有NAT识别和检测机制能够自动发现NAT网络所隐藏的真实计算机设备和IP地址,对通过NAT入网的计算机可以实现准入控制、安全评估和修复等流程化管理。
2. 对通过NAT入网的计算机可以实现准入控制、安全评估和修复等流程化管理
Hub管理
1. 能够发现内网私接的Hub、傻瓜交换机等非网管设备,当多台计算机通过Hub接入网络时,能够及时产生告警通知管理员。
2. 准入设备能够采用VLAN隔离、逻辑关闭端口等方式禁止Hub下联计算机接入网络。
3. 支持Hub下多个终端需分别认证才能入网和只需一台认证即可全部入网两种认证机制。
网络
管理
设备识别
1. 支持自动识别网络设备类型,包括:交换机、路由器、防火墙等。
2. 支持设备管理模板的定义功能,能够通过SNMP、SSH、TELNET等方式自动、批量添加网络设备。
终端网络拓扑
1. 准入设备支持交换机到终端计算机的网络拓扑管理功能,能够自动绘制出网络拓扑图。
2. 能够在拓扑图上选取设备查看其基本状态信息、设备型号、所处位置、子节点、路由表、ARP表等信息。
3. 支持在界面上提供对该网络设备进行TELNET、SSH等管理。
交换机状态展现
1.
支持可网管型交换机面板图形化展现各接口状态(up、down、trunk等),以及各接口下联的终端详细信息(IP、地址、MAC地址等)。
2. 能够支持自上而下逐级查找终端的具体位置、安全状态、认证用户、上下线时间等信息。
AP联动管理
能够与主流的AP设备深度联动,支持AP控制器面板的图形展现,包括AP连接状态、下联终端信息(IP地址、MAC地址等)等。
DHCP中继
1. 能提供稳定的DHCP服务,并可以通过DHCP二次地址分配机制实现安全准入管理,支持交换机中继认证方式。
2. 能够根据用户、IP/MAC绑定信息等条件,为指定终端设备分配特定的IP地址。
3. 支持DHCP服务器筛选,防止非法DHCP服务器分发错误地址
移动存储设备管理
移动存储
设备管理
1.
管理员可以通过对存储介质统一注册、授权的方式来加强管理存储介质的使用范围和权限,并支持存储介质分区加密,未经标识的存储介质将不能在企业内正常使用。
2.
针对不同注册状态的存储介质制定不同的控制策略,能够对存储介质进行只读、禁用、放行、脱机生效以及时间范围等做精细控制。
移动存储
设备审计
1.
支持查询存储介质的类型、设备名称、设备插入时间、设备拔出时间、设备使用IP地址、类型代码、设备容量、厂家名称、产品名称、该存储介质使用人、操作系统用户名、备注信息。
2.
支持使用存储介质的终端信息显示,包括:设备名称、IP地址信息、所在部门、所在位置、联系人、联系电话、E-Mail地址、设备状态(开机、关机)、最后在线时间等。
移动
终端
入网
管理
终端识别
支持当前主流智能终端设备的安全准入控制,能够自动识别主流手机、智能终端等设备。
移动终端入网
1. 提供独立的智能终端入网引导界面的自主定制功能,至少包括界面标题、界面LOGO、界面说明文字等。
2. 能够提供移动终端入网的设备注册功能。
认证检查
1. 苹果应用商店提供支持iOS的安全准入app下载安装;支持Android客户端自动生成,以及自动签名等功能。
2. 可提供手机或智能终端强制VPN拨号认证管理。
3. 支持基于Android系统对安全管家、金山手机卫士、NQ Mobile
Security、瑞星手机安全软件等安全应用程序的状态安全检查。
4. 支持进行基于Android的安装软件、运行进程等的安全检查。
锁屏密码策略
支持修改移动终端密码策略,支持自定义密码复杂度设置。
移动终端集中管理
1. 支持对移动终端应用进行控制管理。支持建立软件黑名单和白名单,强制终端只能在管理策略允许的范围内安装应用。
2. 支持终端应用安装的实时监控,违规应用的安装将被实时锁屏或强制卸载。
3. 支持实时监控移动终端用户权限,在终端获取ROOT权限后可进行多种违规处罚措施。
4. 支持对移动终端文件进行实时监控,可监控指定文件的新增、修改、删除。
5. 可收集管理员指定范围的文件动态,显示终端文件的更新、删除、新增、操作时间等信息。
用户认证
管理
联动认证
能够全面结合用户已有的认证或业务系统,可以与RADIUS、LDAP、STMP
/POP等采用标准协议的系统做深度联动认证。
AD域单点登录
1. 能够与用户现有的AD域相结合,当用户登录到AD域后,无需二次认证即可入网,避免多次认证的繁琐流程。
2. 当用户未登录到AD域时,该终端将一直被隔离,该状态下只有通过IE页面进行认证才能够入网。
短信认证
支持短信认证模式,用户在登记入网手机号码后,能够在手机上接收到入网的短信验证码,并在IE页面上利用短信验证码认证入网。
来宾管理
能够提供来宾角色选择,能够设定来宾设备的访问权限和入网时长,提供临时入网码,支持来宾设备与受访人员进行一对一绑定功能,并可以生成对应的审计报表。
接入审核
能够针对不同的角色或设备类别有选择的开启入网审核功能,待审核的用户或设备必须经过管理员审批才能入网。
终端
安全
检查
安全检查库
准入设备须提供系统安全配置、用户行为规范等类别检查项,至少提供25种以上安全检查项。
系统补丁
1.
准入设备具有完整的补丁管理子系统,无需第三方补丁服务器支持,自身即可以提供完整的流程化补丁管理,包括同步更新、补丁分类、补丁分发、补丁报表等功能。
2. 能够在IE页面进行入网终端的补丁检查,补丁均划分为严重、重要、中等的类别,能够在IE页面显示出检查结果。
防病毒软件
支持基于IE页面的杀毒软件状态检查,支持杀毒软件版本、病毒库和运行情况的检查,支持20种以上主流杀毒软件检查,。
安全配置检查
支持windows密码策略、屏保、共享目录、弱口令、防火墙、网卡配置等项进行检查和修复。
健康性检查
能够对终端的磁盘使用率、垃圾文件、IE主页、网络监听端口等安全性配置进行检查和修复。
客户端检查
能够检查主流桌面管理系统(包括Lan
![(FNS-Ⅱ70CF) 防サッシ67]FNS-II70CF... · b認定サッシ 断熱・ 防音サッシ 共通商品 防火 防火 防火 複合サッシアルミ樹脂 サッシバリアフリー](https://img.pdfslide.net/doc/110x75/610cbcc0f8135e153c7fe159/ifns-a70cfi-eff-67fns-ii70cf-beff-cf-eeff.jpg)
