1、XX材料实验室网络安全体系建设项目采购需求一、项目概况(一)项目需求概述1 .项目背景XX材料实验室(以下简称“实验室”)于2018年4月注册完成,是XX省第一批省实验室之一,布局有前沿科学研究、公共技术平台和大科学装置、创新样板工厂、X港澳交叉科学中心四大核心板块,探索形成“前沿基础研究一应用基础研究一产业技术研究一产业转化”的全链条创新模式,定位于成为有国际影响力的新材料研发南方基地、国家物质科学研究的重要组成部分、X港澳交叉开放的新窗口。随着一期项目(新区,永久场所)于2022年完工并投入使用,实验室正式进入“过渡场所+永久场所”的双园区运营模式,网络基础架构也从单园区运营过渡到“双园局
2、域网模式”,并逐步向“多园局域网模式”发展。目前实验室IT网络基础设施已基本建设完成,支撑约1500人、4000+终端常态化用网需求,以及每天150+访客用网需求,用网数量每年逐步稳定递增。目前IT网络基础设施运行情况基本良好,正式进入运维阶段。目前该套IT网络基础架构在网络性能、安全防护等方面存在较大优化和提升空间,存在网络架构不完善、安全体系联动薄弱、治理不完备等问题。(1)网络架构不完善网络区域缺少安全划分、访客网络不完备、关键网络区域缺少安全策略支撑、上网准入认证体系分散不统一等。(2)安全体系薄弱安全设备已基本配置,但是安全设备之间联动薄弱或缺失;各安全设备性能有待提升,缺乏基于网络
3、整体维度综合参数调整和策略调优,整体网络基础设施性能还未达到最优;安全运营机制不规范,安全问题处理不能及时有效,运维团队联动资源不足,运行缺乏规范化/流程化管理。(3)治理不完备缺少统一规划,安全框架及体系设计不足。本项目招标内容为XX材料实验室网络安全体系建设项目(以下简称“网络安全体系建设项目”),主要包括安全规划咨询及管理制度建设、网络架构优化、网络安全服务、基础网络运维、团队网络安全咨询及测评服务等网络安全全流程、一体化相关的几大板块建设。2 .项目目标基于实验室实际,建设全流程、一体化的网络安全体系,保障实验室网络安全稳定运行;实验室安全能力持续增强;网络运维团队正向成长运转。(1)
4、建立安全体系,保障实验室网络安全稳定运行基于实验室实际,建立包含网络安全机制/制度、安全检查、安全整改、攻防演练及应急处置、网络安全宣传及培训等全流程、一体化闭环的网络安全体系,在该体系下,实验室网络安全稳定运行。该体系务必是可落地的,在实施过程中要充分复用现有网络/安全设施,查漏补缺,加固实验室安全。(2)实验室安全能力持续增强应确立实验室网络安全目标,并制订安全建设规划,确保建设资源有序投入,安全保障能力持续提高。(3)打造正向成长运营的运维队伍在战略规划指导下,管理制度、管理流程逐步完善,运维团队按正向成长机制运转。3 .建设原则(1)满足实验室特色安全要求网络安全体系既要满足等保合规要
5、求,又要结合实验室实际,制定符合实验室业务场景的安全制度/安全策略。作为新型研发机构,实验室的管理模式和业务模式与传统企事单位有很大的不同,实验室以科研团队为运营主体,采用PI(项目负责人、课题负责人)负责制,组织架构扁平化。因此,网络安全体系的建设,既要考虑实验室大网、公用信息系统的安全需求,又要考虑各科研团队个性化的安全需求,团队的安全建设也是此次项目建设的重要板块。在合规的基础上,整套安全体系的建设不应是一套模板、一套执行方法论,应是多个执行路线并存,最重要的是结合实验室实际,可有效落地执行。(2)可持续运营该体系的设计要遵循可持续、可扩展的原则。无论是管理体系的设计,还是技术体系的确定
6、不能只着眼于解决当前问题、当前项目节点目标,要基于当下,考虑未来的发展情形,制定可持续、可发展的体系蓝图。该体系的运营不能依赖于具体的项目和人,而是在该套管理框架和技术体系的指导下,开展相应的网络安全工作。该体系可以支撑和指导实验室未来5-10年的网络安全管理。(3)深度合作网络安全体系,不是一朝一夕就可以建设完成的。不仅需要对实验室网络现状进行单点查漏补缺,还需要对安全方案/策略的自适应验证,全面能力的优化提升,然后逐步收敛提炼出适应实验室发展的网络安全体系。所以,实验室需要和专业成熟的网络安全厂商一起,从现状调研、单点优化、策略验证、制度试运行等方面深度长期合作,才有梳理出有效且可落地的
7、网络安全体系。(二)项目需求基于等保(等保二级及以上)合规要求,结合实验室实际及未来发展,建设技管结合、全覆盖、可闭环、可持续运营的网络安全体系。该体系可支撑实验室未来5-10年的网络安全管理需要。项目时长为3个周期,一个周期时长为1年,共计3年。1.网络安全风险评估基于实验室网络安全现状,对XX材料实验室的信息化资产、面临安全威胁、安全脆弱性及安全控制措施状况分析和评估,输出信息安全风险水平综合评价服务。章节产品名称单位数量备注1网络安全风险评估年31.1服务标准依据安全风险评估国家标准GB/T20984,对实验室信息化资产、面临安全威胁、安全脆弱性及安全控制措施状况分析和评估,输出信息安全
8、风险水平综合评价报告。1. 2服务资质负责实施网络安全风险评估的团队人员应具备中国信息安全测评中心颁发的注册信息安全管理人员(CISP-CIS0),注册信息安全工程师(ClSP-CISE),中国网络安全审查技术与认证中心颁发的信息安全保障人员认证证书-风险管理专业级(CISAW)等资质证书及相关工作经验。1 .3服务输出按照国标GB/T20984相关标准,输出XX材料实验室信息系统安全风险评估报告。2 .网络安全建设规划咨询根据实验室网络安全现状,结合风险评估结果,及国家/行业监管要求,确立安全建设目标,制订安全建设规划,确保建设资源有序投入,安全保障能力持续提高。(1)网络安全规划:确立安全
9、保障目标,制订安全建设规划,确保建设资源有序投入,安全保障能力持续提高。(2)管理制度及工作流程建设:结合实验室实际情况,基于等保合规要求,梳理网络安全管理规范、机房安全管理制度、应急响应管理制度、信息资产管理制度等管理制度以及相应的执行手册、流程等,完善实验室信息化管理体系。(3)运维队伍建设:梳理网络安全组织架构,明确各岗位管理范围和管理职责,将日常工作规范化流程化。整合各运维服务、设备厂家的技术资源,构建运维队伍。章节产品名称单位数量备注2网络安全建设规划咨询项12.1 服务标准参照ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求,项目服务涵盖解读信息安全策略、构建
10、信息安全能力评估模型、实现信息安全现状调研、信息安全差距分析、信息安全建设蓝图规划等多维度的统筹建设规划工作。2. 2服务资质负责实施网络安全建设规划咨询的团队人员应具有注册信息安全开发人员认证CISD,-中国网络安全审查技术与认证中心颁发的信息安全保障人员认证证书-风险管理专业级(CISAW)/CISAW-安全运维(专业级)等资质认证及相关工作经验。2. 3服务输出输出基于等保合规的网络信息安全相关管理制度、工作规范、工作流程等,建设完成技管结合、全覆盖、可闭环、可持续运营的网络安全体系。该体系可支撑实验室未来5-10年的网络安全管理需要。3.网络架构优化(含安全改造服务)针对实验室网络现状
11、提供有效可落地的优化方案,加固实验室网络基础设施,保障实验室网络稳定安全运营。具体优化要点包括但不限于以下几点。3.1 增加态势感知系统充分评估新老园区网络架构及设备配置。新老园区增加态势感知及探针,对内网流量攻击威胁流量进行监测与分析,提升态势感知、事件追溯能力。系统由“1套安全管理平台+2套探针系统”组成,其中老区配置1套探针系统,新区配置1套探针系统,管理平台部署在新区机房。本套态势感知系统需满足:相关特征库、威胁情报库可持续定期更新,可对实验室全网数据实现实时威胁分析,对异常情况作出及时告警等。3.1.1安全管理平台性能及配置要求(数量1)序号参数功能及技术描述硬件架构与性能2U标准
12、机架硬件,2*CPU210线程,内存128G,SSD硬盘2256G,SATA硬盘232T,千兆电口22个,接口扩展槽24个,设备具备前面板液晶屏显示设备状况;支持平均处理能力(每秒日志解析能力EPS)1000EPS1.数据采集平台应支持内置600+设备日志解析规则查看以及筛选,包括但不限于网络设备(防火墙、交换机、网关)、安全设备(入侵检测设备、WEB攻击防护设备、APT检测设备、防火墙、网络审计、流量探针等)、LinUX主机日志、数据库等(提供功能截图并加盖原厂公章)2.平台应支持外置转发器、转发器内置部署,支持单向光闸场景数据接入及不同网络间的数据采集3.平台应支持外部备份机制,支持超长日
13、志存储,支持通过NFS自动备份日志到外部服务器上,支持备份日志自动加密存储,支持内外部存储统一展示,支持外部备份文件可恢复可搜索(提供功能截图并加盖原厂公章)4.平台应支持界面化配置规范化规则采集第三方日志实现异构日志格式归一化。解析规则支持正则表达式等前置过滤方式及json、kv、csv、正则表达式类型的解析规则,支持界面划取字段配置、多级解析提取嵌套字段、配置规范化规则对解析提取的字段进行字段类型、名称、取值规范化。5.威胁检测与分析平台应支持规则分析能力,应支持不少于300种内置分析识别规则并支持内置规则的升级,支持用户自定义规则,用户自定义规则可以支持导入导出。(提供功能截图并加盖原厂
14、公章)6.平台应支持简易模式的自定义规则,可支持用户在选择日志类型、设置常见日志类型字段过滤条件之后,即可新建或编辑规则,从而生成事件。7.平台应支持专家模式的自定义规则,可支持行为分析、多源关联分析、机器学习等多种分析模式,同时可按需自定义生成的事件模版信息如威胁等级、攻击链阶段、事件类型、攻击意图等8.平台应支持与城市热点认证计费系统对接,支持安全事件中动态IP对应到账户,并支持用户威胁分析,支持基于用户账户展示用户账户关联的事件数、威胁类型TOPl0、最近发生事件ToPl0、最近使用主机IPTOPl0、在线状态等,支持用户账户等条件进行查询,查询结果支持导出为EXCeI文件,支持自定义列
15、表中展示的列。(提供功能截图并加盖原厂公章)9.资产管理平台应支持多维度资产管理,进行多维度资产视图分析,系统至少内置五种视图:资产组视图、业务系统视图、组织结构视图、地理位置视图、行业视图。(提供功能截图并加盖原厂公章)10.平台应支持资产稽查比对,对于实时发现资产和己有资产库资产比对分析资产新增、变更、减少的情况,变更分析需要细致到资产属性粒度,即可查看具体端口、服务的变化情况;并支持对资产发现结果进行处理,可选择入库或者丢弃11.漏洞管理平台应支持漏洞库管理能力,本地漏洞数应不少于18万,支持漏洞模板自定义和配置模板管理,支持漏洞库升级;12.支持完善的漏洞攻击防御库,应支持定期漏洞收集
16、和挖掘升级能力,产品厂商支持获得漏洞情报的咨讯13.支持web的威胁检测情报接入14.情报分析平台应支持接入威胁情报,支持在线自动接入和离线手动导入。(提供功能截图并加盖原厂公章)15.平台应支持界面查看热点事件情报以及配置热点情报预警预警,支持界面配置关心的情报关键词和预警邮箱,当收到事件情报更新时自动匹配关键词,如果匹配中,触发预警发送邮件16.一键封堵平台应支持针对IP、域名、会话进行封堵,支持主机隔离、流量牵引等方式联动设备进行封堵,设备类型包括但不限于防火墙、抗拒绝服务系统、WEB应用防火墙、网络流量探针等(提供功能截图并加盖原厂公章)17.相关服务提供5年硬件原厂维保服务和5年软件
17、免费升级服务3.1.2综合威胁探针系统性能及配置要求(数量2)序号参数功能及技术描述部署方式旁路部署,不影响网络架构,支持IPV4/IPV6流量解析18.硬件性能21千兆管理口,21RJ45串口,26个千兆业务口,24个千兆光口,2IT硬盘,22*USB,21个扩展插槽,检测流量21Gbps;最大并发TCP会话250万,每秒新增TCP会话数21200019.流量采集支持导入HTTPS证书,对流量进行解密和还原20.支持物联网、工控、车联网协议的深度解析和还原,包含S7、MMSsDNP3、ModbusMQTTsG00SECOAP、XMPPJTT808JTT905.GB/T32960等。须提供功能
18、截图并厂商盖章21.应覆盖多种攻击特征,可针对网络病毒、蠕虫、间谍软件、木马后门、扫描探测、暴力破解等恶意流量进行检测,攻击特征库数量至少为9000种以上,支持常见应用的识别不低于3000种22.支持VPN协议的识别,识别的VPN类型主要包括:向日葵远控、TeamViewerPPTP、L2TP、IPSec等等,须提供功能截图并厂商盖章23.支持流量白名单,过滤掉不关注资产流量,白名单类型应包括IP、端口、邮箱、域名24.WEB应用检测内置WEB应用机器学习检测模型,支持对sqli,xss,exec,phprce,ptravel和jeli攻击类型进行分类检测和告警,告警信息至少包括机器学习告警类
19、型和威胁事件名称。25.WEB类告警详情中包含请求和响应信息,在请求和响应信息中能标记规则匹配中的字段信息,便于运维人员快速进行确认攻击事件。26.恶意文件检测内置恶意文件检测引擎,支持对可执行文件、文档、压缩包和网页脚本进行恶意代码检测和告警,告警信息中至少包含恶意文件类型、恶意文件家族信息和恶意文件变种信息。须提供告警界面信息截图并厂商盖章27.威胁情报检测支持与威胁情报平台联动,可进行实时流量匹配检测和告警,支持对恶意IP、恶意域名、恶意URL和恶意文件进行检测。须提供包含命中情报信息的告警信息截图并厂商盖章28.厂商应建立自身的恶意网站信息库,提供相关截图证明并厂商盖章。29.扫描检测
20、支持自定义TCP/UDP端口扫描检测模型,结合模型对流量进行检测和告警。30.响应支持对入侵检测告警、WEB应用告警、威胁情报告警和恶意文件告警中的攻击IP和受害IP发送阻断报文,进行旁路阻断。31.支持与安全平台联动:提供APl接口,由大数据平台通过接口下发一键封堵断策略,探针执行封堵动作并将封堵日志信息发送给大数据平台。须提供功能界面截图并厂商盖章32.部署模式系统应支持监听(Monitor),能够快速部署在各种网络环境中。33.系统应支持VLAN802.IQ、BGPMPLSQinQ.PPPoE等封装协议,能够适应多种不同的网络环境。34.相关服务提供5年硬件原厂维保服务,提供入侵检测模块
21、恶意文件检测模块、威胁情报检测模块、WEB应用检测模块授权且包含5年特征库升级服务3. 2划分DMZ区新区网络划分DMZ区及内网服务区域,通过安全设备进行内网防护。实验室公共应用系统将会部署在新区机房,需增加WEB应用防护系统(物理WAF)保证应用的安全(因后续的对外映射的应用数量未知,所以必须保证该设备的可拓展性,确保3-5年无需更换设备或者提升性能)。3. 2.IDMZ区性能及配置要求划分DMZ区域用于放置对外服务的应用,用反向代理模式通过旁路部署WEB应用防护系统,同时需部署防火墙设备确保DMZ区域与办公网区域及其他核心区域的安全隔离。3. 2.2硬件参数要求(I)WEB应用防护系统性
22、能及配置要求(数量1)序号参数功能和详细描述硬件性能接口含交流双电源,22*USB接口,21*RJ45串口,2*GE管理口,网络层吞吐H20Gbps,至少具备6个GE业务电口带BYPASS,和24个千兆光口,22个接口扩展槽位,并且所有业务接口均无需授权全部可用,需要自带硬盘进行日志存储,硬盘空间不小于1T。35.部署能力支持在线部署、旁路部署、VRRP协议、反向代理部署,镜像部署。旁路部署支持流量牵引、二层回注、跨接回注及PBR回注方式。36.HA部署能力支持A/S部署模式(链路切换、配置同步);支持VRRP协议。支持非对称路由下的部署37.紧急模式支持紧急模式,当并发连接数超过阀值时,WA
23、F自动进入紧急模式,已经代理的连接正常代理,对新增的请求不进行代理,直接转发,防止WAF成为访问瓶颈。当连接数恢复正常时,自动退出紧急模式,提供配置界面截图盖章证明38.例外策略支持对安全策略的一键式例外配置。39.HTTPRFC符合支持对HTTP协议合法性进行验证,提供HTTP协议防护性功能。需要提供配置截图。规则体系系统提供可配置的内置规则;且支持自定义规则,规则属性要求支持“检测方向(请求或响应)”、“检测对象(URIURI-pathHost参数名/参数Header-nameHeaderCookie名/Version/请求方法/Request-Body)匹配操作、特征签名等丰富要素。HT
24、TPS支持支持对SSL(HTTPS)加密会话进行分析。WEB基础架构防护支持防护:蠕虫、缓冲区溢出、CGI信息扫描、目录遍历等攻击。WEB应用安全防护支持SQL注入、XSS防护,支持使HTTP头域中的CookieRefererUser-Agent,Except字段过防护策略设备的漏洞防护库应有专业漏洞挖掘团队维护,漏洞挖掘团队须有对系统漏洞进行发现、验证、以及提供应急服务的技术能力。自主发现并提交CVE安全漏洞数不少于30个,需提供相关截图并厂商盖章证明。支持CSRF(跨站请求伪造)防护;支持识别判定自动扫描行为,在设定周期内采集发送端向网站服务器发送的访问请求消息和网站服务器向发送端返回的响
25、应消息,将设定周期等分为至少两个子周期,依次统计每个子周期内访问请求消息个数,确定发送端请求可信度,判定发送端是否发生了自动扫描的行为。须提供国家权威机构(如工业和信息化部、经济和信息化委员会或国家知识产权局等)证明材料,加盖厂家公章。支持Cookie安全机制,包括加密和签名的防护方法,支持Cookie自学习支持盗链防护,可采用Referer和Cookie算法支持对服务器状态码进行过滤和伪装的安全策略数据泄露防护对流出数据内容进行安全审查,对敏感关键字实施过滤,防止身份证等隐私信息非法泄露XML防护支持XML防护,包括XML基础校验、Schema校验以及SOAP校验。网络层访问控制支持基于五元
26、组(源IP地址、目的IP地址、源端口、目的源口、协议类型)及接口的网络层访问控制功能40.第三方日志对接支持通过syslog和snmp两种方式将日志发送到第三方日志平台进行分析,Syslog方式支持通过Base64编码进行发送,包含服务器漏洞、爬虫防护、防篡改、智能补丁、防盗链、Cookie安全、IP信誉控制、Web访问日志、会话追踪、慢速攻击、XML攻击等类型日志,应支持按类别设置是否发送(能够筛选只发送部分的日志)。因Web访问日志量较大,应支持设置Web访问日志量只发送到第三方日志平台,不保存在设备本地存储41.Base64编码攻击防护为防止web攻击手段采用base64编码混淆真实攻击
27、意图,WAF应支持Base64编码攻击防护42.升级管理系统应提供多种升级方式,至少提供自动在线升级、离线升级两种方式43.IP信誉利用威胁情报建立IP风险画像,提供6类信誉数据DDos攻击、安全漏洞、垃圾邮件、Web攻击、扫描源、Botnet客户端;44.相关服务提供5年硬件原厂维保服务和5年特征库升级服务(2)防火墙性能及配置要求(数量1)序号参数功能和详细描述硬件及性能硬件:216个千兆电口,24个千兆光口,24个COmbO光电复用口,26个万兆光口,22个接口扩展槽位性能:网络吞吐量210Gbps,最大并发会话数2500万,新建会话数210万/秒45.部署模实现路由模式、透明(网桥)模
28、式、混合模式。式46.路由实现实现静态路由、策略路由、RIP、OSPF、BGP等路由协议。47.NAT功能实现一对一、多对一、多对多等多种形式的NAT,实现DNSFTP、H.323等多种NATALG功能。48.NAT地址池支持动态探测和可用地址分配49.VPN实现高性能IPSCc、L2TP、GREVPNSSLVPN等功能。50.支持IPSCCvPN隧道自动建立,无需流量触发;51.支持IPSeCVPN智能选路,根据隧道质量调度流量,提供相关证明截图材料52.SSLVPN支持IPv6接入方式53.攻击防护实现安全区域划分,访问控制列表,配置对象及策略,动态包过滤,黑名单,MAC和IP绑定功能,基
29、于MAC的访问控制列表,802.IqVLAN透传等功能。54.安全策略支持一体化安全策略,能够基于时间、用户/用户组、应用层协议、五元组、内容安全统一界面进行安全策略配置55.支持策略冗余分析,冲突策略分析以及命中率统计。56.支持策略风险调优,支持安全策略优化分析,支持策略数冗余及命中分析,支持基于应用风险的策略调优,可根据流量、应用、风险类型等细粒度展示,并给出总体安全评分,便于用户更好的管理安全策略,提供相关证明截图材料57.应用识别支持至少8000条以上的应用识别,且提示风险类型及风险级别,便于用户根据实际情况进行上网行为管理。58.URL过滤设备提供海量预分类的URL地址库,支持根据
30、URL类别实现URL过滤;59.设备支持管理者自定义新的URL地址和URL分类;60.威胁可视化僵尸网络分析,攻击链推导及资产安全风险等级的可视化呈现61.入侵防支持基于对包括但不限于操作系统、网络设备、办公软件、网御页服务等保护对象的入侵防御策略,支持基于对漏洞、恶意文件、信息收集类攻击等的攻击分类的防护策略,支持基于服务器、客户端的防护策略。且缺省动作支持黑名单62.防病毒可基于病毒特征进行检测,实现病毒库手动和自动升级,实现病毒日志和报表;63.支持基于文件协议、邮件协议(SMTPPOP3imap)共享协议(NFS/SMB)的病毒功能。64.可基于病毒特征进行检测、动作响应、提供报表。6
31、5.共享上网管理支持多用户共享上网行为管理66.加密流量检测支持HTTPS加密流量的安全检测,支持TCP代理和SSL代理,且代理策略中可同时配置多类过滤条件,具体包括:源安全域、目的安全域、源地址、目的地址、用户和服务。一类过滤条件可以配置多个匹配项。67.诊断中心支持基于接口及IP的报文捕获,并将捕获到的报文生成Wireshark(一种网络封包分析软件)可识别的.cap后缀文件,保存到本地或外部服务器,供用户分析诊断出入设备的流量。68.支持网页诊断功能,用于当内网用户访问网页出现故障时,对网络进行基本的诊断,并给出故障原因。69.国密算法支持国密SM2/3/4算法。70.相关服务提供5年硬
32、件原厂维保服务和5年IPS、AV特征库升级服务3.3 新老园区进行内网安全隔离新老园区的局域网互联需增加安全设备进行内网安全隔离。防火墙(数量1)性能及配置要求如下:序号参数功能和详细描述硬件及性能硬件:216个千兆电口,24个千兆光口,24个Combo光电复用口,26个万兆光口,22个接口扩展槽位性能:网络吞吐量210Gbps,最大并发会话数2500万,新建会话数210万/秒71.部署模式实现路由模式、透明(网桥)模式、混合模式。72.路由实现实现静态路由、策略路由、RIP、OSPF.BGP等路由协议。73.NAT功能实现一对一、多对一、多对多等多种形式的NAT,实现DNS、FTP、H.32
33、3等多种NATALG功能。74.NAT地址池支持动态探测和可用地址分配75.VPN实现高性能IPSec、L2TP、GREVPN、SSLVPN等功能。76.支持IPSeCVPN隧道自动建立,无需流量触发;77.支持IPSeCVPN智能选路,根据隧道质量调度流量78.SSLVPN支持IPv6接入方式79.攻击防护实现安全区域划分,访问控制列表,配置对象及策略,动态包过滤,黑名单,MAC和IP绑定功能,基于MAC的访问控制列表,802.IqVLAN透传等功能。80.安全策略支持一体化安全策略,能够基于时间、用户/用户组、应用层协议、五元组、内容安全统一界面进行安全策略配置81.支持策略冗余分析,冲突
34、策略分析以及命中率统计。82.支持策略风险调优,支持安全策略优化分析,支持策略数冗余及命中分析,支持基于应用风险的策略调优,可根据流量、应用、风险类型等细粒度展示,并给出总体安全评分,便于用户更好的管理安全策略83.应用识别支持至少8000条以上的应用识别,且提示风险类型及风险级另U,便于用户根据实际情况进行上网行为管理。84.URL过滤设备提供海量预分类的URL地址库,支持根据URL类别实现URL过滤;85.设备支持管理者自定义新的URL地址和URL分类;86.威胁可僵尸网络分析,攻击链推导及资产安全风险等级的可视化呈视化现87.防病毒可基于病毒特征进行检测,实现病毒库手动和自动升级,实现病
35、毒日志和报表;88.支持基于文件协议、邮件协议(SMTPP0P3imap)共享协议(NFS/SMB)的病毒功能。89.可基于病毒特征进行检测、动作响应、提供报表。90.共享上网管理支持多用户共享上网行为管理,提供相关证明截图材料91.加密流量检测支持HTTPS加密流量的安全检测,支持TCP代理和SSL代理,且代理策略中可同时配置多类过滤条件,具体包括:源安全域、目的安全域、源地址、目的地址、用户和服务。一类过滤条件可以配置多个匹配项,提供相关证明截图材料92.诊断中心支持基于接口及IP的报文捕获,并将捕获到的报文生成WireShark(一种网络封包分析软件)可识别的.cap后缀文件,保存到本地
36、或外部服务器,供用户分析诊断出入设备的流量。93.支持网页诊断功能,用于当内网用户访问网页出现故障时,对网络进行基本的诊断,并给出故障原因。94.国密算法支持国密SM2/3/4算法。95.相关服务提供5年硬件原厂维保服务和5年IPS、AV特征库升级服务3.4安全策略持续调优对实验室所有网络设备的访问策略及安全策略进行调优。结合实验室网络架构,对各区域的所有网络及安全设备进行详细的调优及精细化配置,既保证网络交换效率同时又确保网络访问安全。3.5 增加准入认证系统(数量2)统一实验室老区准入认证机制,使用一套认证机制将有线、无线网络认证统一管理。通过在实验室老区建设一套完善的入网规范认证管理系统
37、对网络内所有终端设备进行统一入网管控,通过终端、网络、人员、管理四个维度的管控从而实现终端、网络使用的过程化管理,实现“违规不入网,入网必合规”的网络安全管理目标。具体管控要求如下:(1)终端接入控制:对全网所有网络接入点及终端接入点进行准入控制,自动隔离非法终端,确保接入内网的终端均为合法终端;(2)实名制入网:对接入内网的各类终端进行实名制的入网,将终端与人员对应;(3)访问权限控制:根据接入终端的不同设备类型或身份进行网络权限控制,防止越权访问情况(4)资产台账梳理:协助对管理员进行资产台账管理,自动发现网内所有设备信息,并可查看设备类型、接入位置、IP/MAC、接入时间、使用人等信息
38、方便管理员全方面动态掌握网内资源的使用及运行情况。该系统要支持免终端入网。无需安装客户端的情况下,实现通过网络准入控制技术阻断非法终端接入和同交换机合法终端的互访,并支持非法终端接入受控网络后,自动强制引导终端至重定向认证页面并完成入网流程。章节产品名称单位数量备注3.5网络准入认证设备及实施服务套2提供2套网络准入认证设备,主备。老区网络准入认证系统(数量2)性能及配置要求如下:序号参数功能及技术描述1基础架构22个千兆电口,22个万兆SFPP光口,23个接口扩展槽2性能参数每秒事务数(TPS):215000(次/秒),最大吞吐量:4Gbps,最大并发连接数:21000(条);终端授权最大
39、支持扩容到15000点,存储2T实配终端授权10000点。(提供相关承诺函)3高可用支持多种灵活的部署方式,无需改变网络结构,部署方式包括但不限于独立部署、热备部署、探针式部署、负载均衡部署、集群部署、扁平化部署、云化部署。4支持智能逃生判断及管理恢复机制,在单位时间内终端异常离线达到指定逃生阀值则放开网络管控,当终端在线数达到阀值临界点时恢复网络管控;可灵活设置策略生效时间。5准入技术支持策略路由、端口镜像、透明网桥、802.IX、ARP、DHCP、VLAN隔离、Portal等准入技术,支持准入技术自由组合使用,满足各种复杂网络环境。6VLAN隔离技术须实现无客户端下的端口级准入效果,vla
40、n隔离须采用不同正常vlan对应不同隔离vlan的方式,并可对通过小路由器、hub接入的设备实现颗粒度管控,不得采用全禁全放的风险行为。7终端通过有线或无线申请接入,可无需用户操作,自动引导终端设备至认证入网页面。8支持划定关键业务范围,针对终端用户发起的访问请求可强制要求二次认证校验。(功能截图,加盖厂商公章)9客户端支持安全客户端(Agent)安全控件、无客户端等多种模式;提供WindOWs、IinUx、MACoS、安卓、IOS专属客户端及APP010支持灵活的客户端卸载策略,包括但不限于万能卸载码,一对一卸载码,无需卸载码等多种模式。支持设置离线客户端策略,包括但不限于超过指定时间后客户
41、端自动卸载,提醒用户确认是否卸载等。(功能截图,加盖厂商公章)11身份认证支持用户名密码、Ukey.指纹等认证方式,支持与AD域、LDAP、钉钉、Email联动。与钉钉等作为认证源时,终端认证自动跳转认证服务,无需打开相关app。12支持设置来宾专属地址段;来宾入网提供二维码、来宾码、自助申请(管理员审批)多种方式;提供来宾入网审批气泡弹窗提醒功能,被访人点击即可审批。(功能截图,加盖厂商公章)13安全基线检查(windows)支持主流的杀毒软件版本、病毒库和运行情况的检查,包括但不限于微软MSE、火绒、安天、天融信、赛门铁克、瑞星、卡巴斯基、金山毒霸、江民、NOD32、360、天擎、亚信趋势
42、小红伞、可牛、AVaSt等,支持自动下发软件及运行修复功能。(功能截图,加盖厂商公章)14安全基线检查(IinUX/国产操作系统)支持操作系统版本、磁盘使用、计算机名称、网络监听端口、系统时间、主机防火墙、必须安装的软件、禁止安装软件、必须允许进程、禁止运行进程、软件白名单、系统服务、密码策略、弱口令检查。15安全基线检查(移动终端)移动终端可以支持通过将指纹和用户账户绑定的方法,实现用户按压指纹认证入网。(功能截图,加盖厂商公章)16支持禁用移动终端入网策略。17支持移动终端必须安装apps禁止安装app、必须运行进程、禁止运行进程及杀毒软件检查。18运维管理软件、消息分发:支持基于部门、
43、角色(分组)、设备或ip段进行软件、消息分发,分发周期支持立即、每天、每周、每月等周期设置。针对分发的源文件支持设置保留或不保留,分发后支持重启或关闭计算机。19远程协助:支持管理员或终端用户双向发起远程协助。20相关服务提供5年硬件原厂维保服务和5年软件免费升级服务3.6建设新区访客网络建设实验室新区访客网络,与办公网络进行物理隔离。本套访客网络需满足:与办公网物理隔离、能够实现覆盖新园区84个公共区域、总在线终端数为200+、兼容现有访客网络设备(华为系列设备)、出口带宽在200M上下行对等、实现访客可通过短信认证方式接入并保存相关上网日志6个月以上。新区访客无线网络系统建设部分建设内容主
44、要清单如下:序号产品名称参数说明数量备注1上网行为审计系统网络层吞吐量(大包):25.8Gb,应用层吞吐量:2750Mb,带宽性能:500Mb,IPSECVPN加密性能(最高性能):2120Mb,支持用户数:24000,准入终端数22000,包转发率:90Kpps,每秒新建连接数:10000,最大并发连接数:500000,硬件参数:规格:1U,内存大小:8G,硬盘容量:128GSSD+960GSSD,电源:单电源,接口:6千兆电口+2万兆光口SFP+o1具体要求详见:3.6.1章节2短信认证服务Lwifi短信验证通过手机接收短信来记录手机号,从而实现实名认证(中国移动100000条短信授权)1
45、按此数量要求提供3AC管理器无线接入控制器(Accesscontroller),最大可管理512个AP,同时集成千兆以太网交换机功能,实现有线无线一体化的接入方式。可灵活配置无线接入点的管理数量,具有良好的可扩展性。可支持1+1或N+1备份。产品质保(*1年);1具体要求详见:3.6.2章节4POE汇聚交换24个10/100/1000BASE-T以太网端4具体要求机口,4个千兆SFP,PoE+,交流供电)交换容量336Gbps3.36Tbps,包转发率51126Mpps,POE功率380肌产品质保(*1年);详见:3.6.3章节5无线吸顶式P(WiFi-6)1.支持Wi-Fi6(802.Ilax)标准的室内AP。支持2.4GHz(2x2)和5GHz(2x2)双频同时提供业务,整机速率可达2.975Gbps内置智能天线、最大用户数:1024o产品质保(*1年);74具体要求详见:3.6.4章节6无线吸顶式AP(高密)Hax室内型,2+2+4三射频,智能天线,USB,蓝牙,推荐并发用户数72,整机数率6.575Gbps,最大发射功率26dBm,参考覆盖距离19m,LeaderAP能力12个(最大24),最大功耗17.9W,尺寸220x5Omnb支持USB,内置IOT模块,支持2个GE下行口,
免费区 
