1、XX市数字政府安全运营(20242025年)项目采购需求书第一章项目概述1.1. 项目背景根据XX省数字政府基础能力均衡化发展指标任务执行标准(2023年修订)指标要求健全XX数字政府政务云基础安全保障体系,需要持续购买安全运营一体化软硬件服务、安全运营服务,并且在保障平台的安全运营基础上健全政务云基础安全保障体系,以满足省均衡化指标考核要求。1.2. 项目现状根据XX数字政府”政务云平台部署实施方案和XX省数字政府基础能力均衡化发展实施方案等文件要求,XX市开展政务云平台安全防护建设,已通过三级等保测评,安全服务多由国产化软硬件提供,不过当下多项服务到期,主机安全防护授权也不足。依托省市一体
2、化安全运营平台,XX市建立起安全运营体系和团队,有效保障政务云平台安全无事故。同时,XX市已部署商密资源池,能提供基础密码服务,然而部分业务系统未申请使用,这带来了一定的安全风险。在网络安全演练方面,XX在“X盾-2023”中荣获“地市优秀防守单位”称号,并组织了“X盾-2024”演练,有力地检验了政务信息系统的安全防护能力。1.3. 项目内容XX市数字政府安全运营(2024-2025年)项目以XX数字政府政务云平台节点等基础资源为底座,建成“云管端”一体、管理与技术防护并重的网络安全体系,覆盖网络攻击发现、通报、处置、溯源、打击全流程。本项目拟通过为XX数字政府政务云平台XX市节点持续提供包
3、括云平台安全设备基础设施服务、政务云安全运营服务、云租户安全防护(安全资源池)服务、商密资源池服务、安全攻防演练服务,形成一体化的全能力的安全运营服务体系,有效应对安全威胁,持续提升安全运营水平,抵御政务安全风险,满足“全局统筹、跨网联动、多维感知、智能闭环、安全可视、合规运行”的网络安全新时代要求,增强云平台安全运营能力,提升各部门网络安全防护能力,筑牢数字政府网络安全屏障。1.4. 项目目标本项目在充分利用已建成的XX数字政府政务云平台XX节点的安全基础上开展,结合省数字政府十四五安全总体框架规划及均衡化发展指标要求,持续提升省市一体化安全运营服务能力,增加政务云平台整体安全防护水平,为政
4、务云平台以及租户提供合规的安全能力,降低全省云平台安全运行风险,保障XX市数字政府基础设施、平台和应用系统平稳高效安全运行,提高全市数字政府网络安全的整体效果。1. 5.服务周期本期项目服务周期为12个月,起始时间为合同签订之日,具体结束时间按以下执行。序号服务内容起始时间结束时间1云平台安全设备基础设施服务合同签订之日合同签订后12个月2政务云安全运营服务合同签订之日合同签订后12个月3云租户安全防护(安全资源池)服务合同签订之日合同签订后12个月4商密资源池服务合同签订之日以服务实际使用情况为准5安全攻防演练服务合同签订之日合同签订后12个月内完成1次安全攻防演练服务1.6. 项目预算本项
5、目预算金额为人民币X元。第二章服务内容和要求2.1.政务云平台安全管理和运营服务需求2.L1,云平台安全设备基础设施服务2. 1.1.1.云平台边界安全防护服务云平台边界安全防护服务,主要为政务云平台互联网边界提供安全防护服务,包括网络入侵防护系统(IPS)和DDOS防护设备防护。2. 1.1.1.1.网络入侵防护系统(IPS)网络入侵防护系统(IPS)服务是平台边界的网络安全防御手段,具备网络层攻击的防护能力。 服务应用场景政务云平台边界的网络层安全边界检测服务。 服务能力政务云平台的网络入侵防护系统(IPS)服务能够为网络层提供协议安全检测,实时主动拦截黑客攻击、蠕虫、网络病毒、后门木马、
6、恶意文件、D.o.S等恶意流量。保障租户系统在网络层具备基础的安全防护。 参数要求入侵防护及检测系统IPS网络层吞吐量不低于12G,HTTP应用层吞吐量(IPS)不低于2G,HTTP新建连接数不低于10万,HTTP并发连接数不低于300万。2.1.1.1.2.DDoS防护设备 服务定义DDoS防护设备提供云平台抗拒绝服务攻击服务,是在云平台上部署ADS设备达到本地机房抵抗拒绝服务攻击服务攻击的效果。服务应用场景平台抗拒绝服务攻击服务主要是保障整个云平台与其上所有应用系统的安全稳定运行。 服务能力政务云平台提供平台级的抗拒绝服务攻击服务,可以为平台和租户系统提供轻量级的流量监控和清洗服务。平台抗
7、拒绝服务攻击服务,主要保障政务云平台的流量安全稳定,若租户系统的被攻击流量已对政务云平台其他系统访问带来明显影响,则云平台为保障其他租户系统的可用性,会将攻击流量引入黑洞路由,丢弃恶意和正常的网络访问流量包。 参数要求DDoS检测性能N6Gbps,DDoS清洗性能三6Gbps02. 1.1.2.云平台网络监测防护服务云平台网络监测防护服务,主要为政务云平台提供网络监测防护服务,包括网络安全审计、高级持续威胁检测系统、智能流量检测(旁路阻断)、流量分流等服务。3. 1.1.2.1.网络安全审计 服务定义网络安全审计服务是针对整体云平台互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相
8、关审计功能。从云平台维度提供互联网的有效监督,预防、制止数据泄密。 服务应用场景针对整体云平台的网络行为、内容等进行审计及告警,主要的使用对象为云平台的安全运营维护人员。 服务能力(1)用户和终端防共享技术、非法Wi-Fi热点识别技术,让非法用户和终端无所遁形,准确识别并封堵。(2)应用和内容千万级URL库和2500多种应用的应用特征识别库,以及每2周更新迭代一次,保障新应用及时识别,淘汰老应用保持识别库更精简SSL加密内容识别、代理识别等内容识别技术,防止非法内容绕过监管应用细分识别技术:精准识别网盘、论坛、微博等各类应用的细分动作,摆脱“管”与“不管”的苦恼。应用标签化技术,给每个应用都打
9、上业务标签,管理应用更轻松,更全面准确。(3)流量P2P智能流控技术,100%全量识别P2P应用流量,并通过控制上行流量达到抑制下行流量的目的,保障核心业务正常有序的运行。流控黑名单技术,保障核心业务的同时,提高用户上网体验。(4)大数据日志中心平台简单、持续、低成本地挖掘业务价值,提供各类高价值的业务报表模板。 参数要求检测性能24Gbps02. 1.1.2.2.高级持续性威胁检测系统(APT检测) 服务定义APT被称为高级复杂的,持续的,目标针对性很强的这种攻击。高级是指其利用复杂的攻击手段,甚至会利用到了Oday和Nday漏洞,使传统安全产品难以防范;持续是指攻击持续,不达目的不罢休,并
10、通过各种隐蔽技术,进行长期潜伏;目标是指其攻击目标明确,针对重要系统,主机,服务器等,具有高价值的对象,窃取和破坏为主。高级持续威胁检测服务系统可以对这种长期潜伏在网络中的行为进行检测,及早发现黑客攻击行为。服务应用场景为租户提供高级可持续攻击监测服务。该系统通常部署在互联网接入口,检测进出网络的流量,发现企图进入内网的恶意软件,以及试图出局的木马连接等。 服务能力APT监测与防护系统分为发现、追踪、取证、防御四个步骤,实现安全平台的完整体系从部署结构来看,平台采用的是分布式部署,集中管理的设计。前端可以部署在任意网络位置,包括网络出口或其它重要链路。中心和后台都部署于用户的核心机房,为用户提
11、供私有云的方式,与公有云相比,私有云更强调安全性,符合等保分保对文档安全管理的要求。后台只与中心相连,专门针对Oday或未知恶意代码的。发现:前端设备会从数据流里提取出各种文件或样本,首先,对于已知的攻击,通过前端提取的样本文件会转到分析中心,中心会将这些样本送到后台检测,已知的病毒或木马,在预检测系统就能被检测出来。追踪、取证:而APT最大的价值是在未知木马的发现能力,同样通过前端提取的样本文件会转到分析中心,中心会将这些样本送到后台检测,预检测系统无法检测出未知的恶意样本,样本会传到后台的深度检测系统。深度检测系统先会采用SheIlCode进行检查,判断是否存在SheIlCOde指令或代码
12、之后会进行动态检测,通过虚拟机技术,模拟用户真实环境,激发样本行为,进行未知恶意样本检测,并自动形成安全检测报告。防御:无论已知还是未知恶意样本,后台都能提取出恶意行为的特征,形成特征库或策略库,并通过中心管理分发到前端。前端接收安全策略,对相应规则进行拦截,并形成整体防御体系。 服务指标总体检测性能24Gbps。2.1.1.2.3.智能网络流量检测智能网络流量检测服务是通过镜像端口的形式对政务外网网络流量进行检测,可检测数据中心内部存在的安全威胁及恶意流量,同时能够识别网络协议、租户网络行为,根据网络行为智能判断攻击威胁并采取对应行为。其服务清单如下所示:序号服务名称服务内容数量单位1智能
13、网络流量检测智能网络流量检测服务是通过镜像端口的形式对政务外网网络流量进行检测,可检测数据中心内部存在的安全威胁及恶意流量,同时能够识别网络协议、租户网络行为,根据网络行为智能判断攻击威胁并采取对应行为。1套2流量分流服务为地市云平台节点的政务外网和互联网区提供流量分流功能,复制流量,并提供给多个流量安全分析设备,包括APT、智能网络流量检测等2套 服务定义智能网络流量检测服务是通过镜像端口的形式对政务外网网络流量进行检测,可检测数据中心内部存在的安全威胁及恶意流量,同时能够识别网络协议、租户网络行为,根据网络行为智能判断攻击威胁并采取对应行为。 服务应用场景部署架构图如上图所示,在网络中通过
14、分流器或分光器镜像网络流量,对流量进行实时分析,对异常流量进行分析、告警、阻断。 服务能力1 .全流量网络ACL访问控制网络会话实时阻断,网络层ACL控制,基于安全的技术积累,通过旁路部署的方式,可以无感知的对黑客攻击进行自动拦截,并能实现网页防篡改功能,在国家省市级重大事件期做到零故障保证。2 .网络流量日志审计智能流量检测能自动采集全协议的网络流量日志,提供180天的存储时长。日志包含HTTP日志(header,bady,payload),网络五元组日志,DNS解析日志。帮助用户通过合规,并通过日志审计回溯安全事件,排查入侵,黑客攻击等安全事件。3 .网络内容监测政务外网若出于安全目的对网
15、络中所有流量进行内容监测并执行下发的行政命令(下线一个页面或一张图片),切断平台中涉政页面、血腥内容、未备案域名、黄色露点图片的外网访问。智能网络流量监测提供了IP、URL、域名黑白名单,一键断网、访问规则配置,页面防篡改。帮助政务云快速响应国家监管部门的行政命令,并能在国家重大事件中,一键提供静态页面,避免不可控的安全事件发生。4 .租户违规行为监控、审计租户利用云平台服务器偷偷挖矿、资源被浪费,发垃圾邮件,导致外网IP被列入黑名单;租户被黑客入侵,变成肉鸡后对外打DDOS攻击,带宽占满,云平台业务全部中断。智能网络流量检测可识别云平台安全风险有:对外攻击扫描、对外DDOS攻击、对外暴破,僵
16、尸网络通信、挖矿、发送垃圾邮件。在专有云平台的运营中,能对租户的违规行为进行监控和审计,并能切断网络通信或进行网络隔离,同时也提供事件日志API,方便导入工单系统统一管理。5.服务功能功能功能描述应用攻击阻断对黑客发起的应用层网络攻击进行识别和阻断黑白名单配置IP,URL,域名的黑白名单管理180天网络日志存储保存180天的全端口网络五元组日志报表应用攻击告警报表、连接阻断告警报表40个威胁模型策略识别正在的高级威胁攻击,覆盖40个策略模型服务指标总体检测性能三4Gbps。2.1.1.2.4.流量分流服务服务定义为地市云平台节点的政务外网和互联网区提供流量分流功能,复制流量,并提供给多个流量安
17、全分析设备,包括APT、智能网络流量检测等。以实现对流量的全面监控、深度分析和安全防御。这种服务不仅有助于提升网络的整体性能,还能有效增强网络的安全性,防止潜在的网络攻击和数据泄露。服务应用场景1、安全加固:流量分流服务可以将进入政务外网的流量复制并分发到APT检测设备,以便及时发现并阻止高级持续性威胁(APT)等复杂网络攻击。2、流量监控:流量分流服务可以实时监控网络流量情况,了解网络使用状况,及时发现异常流量并进行处理。同时,通过智能网络流量检测系统,可以对流量进行深入分析,识别潜在的网络威胁和恶意行为。3、多场景下的负载均衡:在高峰时段或特定应用场景下,流量分流服务可以根据实际负载情况,
18、动态调整流量分配策略,确保各个流量安全分析设备能够均衡地处理流量,避免单点过载。服务能力流量分流服务具备高效的流量复制和分发能力,能够实时、准确地将网络流量复制到多个流量安全分析设备中,确保数据的完整性和一致性,同时通过与多个流量安全分析设备的集成,流量分流服务能够实现对流量的全面监控和深度分析。这包括但不限于APT检测、DDOS攻击防御、恶意软件识别等,为网络提供全方位的安全保障。服务指标支持最大吞吐量三2.16TB,支持最大转发流量21.08TB。2.1.1.2.5.数据库审计服务数据库审计服务,用于XX市安全运营平台的业务数据审查审计,对业务数据库的增删改查进行统一审计,实现安全运营平台
19、数据库的全面记录审查工作。服务功能描述:1、服务部署,支持旁路镜像部署、软探模式部署、混合部署。部署模式可通过界面快速选择与切换。2、服务环境兼容,操作系统至少支持当前云平台所需支持的主流国产操作系统,并考虑平台的扩展性需求,要求可兼容主流的X86操作系统。3、服务支持在IPV4、IPV6环境中部署,支持所有数据库IPV4、IPV6协议的审计,且支持IPV4、IPV6混合流量审计。4、服务支持数据传输加密,可通过界面快速开启或关闭加密传输,保证待审计数据安全传输。5、服务至少支持当前云平台所需支持的主流大数据环境审计服务,并考虑平台的扩展性需求,要求可兼容主流的X86架构大数据环境审计服务。6
20、服务至少支持当前云平台所需支持的主流数据库审计。7、结果集支持最多保存行数与最大保存长度大小自定义。同时支持全量审计与满足审计规则审计模式切换。8、服务支持针对应用产生的会话中各数据包中字符串的状态和数据包的特征从定义的大量协议中筛选出与该应用匹配的协议,进而根据协议优先级选择出与该应用匹配的协议中优先级最高的协议作为该应用所依据的协议。9、服务能同时支持高级查询,需包括:SQL关键字、结果集关键字查询,提供:与、或、非三种查询依赖条件。10、服务支持IP别名建立,方便审计与风险跟踪。n、服务支持镜像旁路部署下,对风险IP、风险账号、风险工具、风险时间段、风险语句进行阻断。12、服务支持将待
21、检测的字符串与预先存储的SQL注入SQLI语句对应的字符串库中的字符串进行匹配;当待检测的字符串与预先存储的SQLI语句对应的字符串库中任一字符串匹配成功时,则确定存在SQL注入攻击。13、服务支持对数据库访问行为建立基线,维度至少应包含:数据库对象、账号、客户端IP、客户端工具以及操作类型。14、服务内置安全审计规则,且支持按照:口令攻击、SQL注入、账号滥用、访问规则、风险操作、统计规则等规则类型进行审计策略自定义。服务指标网络吞吐量NIGbits,SQL处理性能三25000条s,入库语句量三15000条s,并发会话三2500个。2. 1.1.2.6.网络蜜罐服务网络蜜罐服务可以根据攻击者
22、行为和资产状态,实时构建动态沙箱,在不同网络环境中自动化部署沙箱、伪装代理、漏洞、诱饵等形成动态蜜网,实现对攻击者的全链路欺骗,使攻击者无法探测真实网络环境;结合威胁情报库,提前识别并溯源攻击者,在攻击者的入侵路径上设置多种反制手段,能够反控攻击者设备,凭借内核级的攻击行为取证技术如实记录攻击者入侵手法和行为新增攻击的捕获能力,主动识别攻击行为,提升整体主动防御能力。具备同时模拟运行不少于20个实例的能力。3. 1.1.2.6.1.主动流量牵引网络蜜罐服务(欺骗诱捕平台服务)支持基于SDN技术的网络编排和实时威胁检测能力,对链路中指定威胁流量牵引至目标蜜罐及蜜网。流量牵引工作在网络层,不破坏攻
23、击IP与受害IP间的联网结构。攻击IP在扫描或渗透真实受害IP过程中,高级可持续威胁攻击防护系统检测到威胁行为,触发SDN联动,实时牵引后续威胁流量至指定蜜罐及蜜网,网络牵引过程对于攻击者无感,有效的解决了直接暴漏蜜罐给攻击者欺骗能力不足的问题。4. 1.1.2.6.2.基于攻击行为的智能诱捕网络蜜罐服务(欺骗诱捕平台服务)针对进入欺骗诱捕平台的攻击者,支持攻击者进行一定程度的反制,包括但不限于通过JSOnP来反制、文件下载欺骗反制、数据库反制、RDP反制等等。攻击反制获取的信息,包括但不限于攻击者的浏览器隐私数据、主机账号、主机IP及端口开放情况、个人应用账号、身份ID等等。通过升级的方式来
24、更新反制策略并不断增强。网络蜜罐服务(欺骗诱捕平台服务)反制模块是由数据库反制、JaVaSCriPt反制、JSonP反制、可执行文件、文档文件反制组成。其中数据库反制功能是蜜罐自己就可以产生日志文件交于日志解析工具后入库告警,可以读取到攻击者的etcpasswd文件内容。JavaScript反制功能是通过JaVaSCriPt代码获取攻击者浏览器信息系统信息等。JSOnP反制功能是通过jsonp漏洞获取攻击者一些常见社交账号信息。可执行文件、文档文件反制功能是构建的反制文件引导攻击者进行下载。并通过反制服务端来返回攻击者数据和接收攻击者信息。5. 1.1.2.6.3.自动化仿真网络蜜罐服务(欺骗
25、诱捕平台服务)自动化仿真模块是实现资产高仿模块。该模块主要实现:根据收集到的“资产”IP进行主动爬取,通过对爬取内容进行智能分析,自动生成Web服务,以尽可能真实的仿真资产。网络蜜罐服务(欺骗诱捕平台服务)针对应用广泛的Web服务可实现基于登录认证的资产高仿。结合资产高仿的主动爬取功能去伪造并预置常见重点应用如0A、邮件系统的后台登录页面,模拟各类登录蜜罐,对于攻击者的诱惑非常大。支持登录反制蜜罐,用于定制真实网站的登录界面仿真,与真实网站的登录界面一致,并含有反制与钓鱼功能。6. 1.1.2.6.4.多设备仿真系统结合云端大数据收集的数百种协议的设备指纹(banner)库涵盖几千种网络设备或
26、服务。实现多设备类型的仿真能力。7. 1.1.2.6.5.实战化漏洞靶场网络蜜罐服务(欺骗诱捕平台服务)内置多种漏洞靶场环境及重点应用系统。结合实战化攻防演练经验,对攻击队关注的且可能存在Oday或Nday漏洞的重点应用、系统、CMS或网络设备等进行虚拟化安装,让攻击者误以为是真实的系统。2.1.1.3.主机安全防护服务2.1.1.3.1.主机安全防护系统服务端主机安全防护系统是通过在租户的主机上部署Agent的方式,实现对租户主机的安全防护。租户根据自身需求自行配置防病毒、主机入侵检测等策略。主机入侵检测系统为软件,部署在主机上,管理系统部署在运营管理安全资源池中,保证云主机客户端与管理端系
27、统网络可达即可。主机入侵防护功能以进程为核心,可以对进程所产生的行为,如运行、访问网络、访问注册表、访问文件、注册驱动、进程注入、组件调用等进行监控,并且可以向用户发送行为报告,如果用户阻止了某个异常行为,那么它将无法执行此行为。可以通过类似监控的手段对文件、注册表、网络等资源进行保护,防止未授权进程对其读写或扫描。系统会根据用户设置的安全策略弹出对话框询问或直接阻止这些行为,使得系统免受威胁。防病毒功能为租户业务主机提供病毒检测、行为分析、漏洞修复能力。本期项目为在原主机安全防护系统服务端基础上为租户增加提供资产清点、入侵检测、风险发现、合规基线、微蜜罐、内存后门、文件完整性、外联检测、病毒
28、查杀等服务内容,满足均衡化指标要求。主机安全防护服务端主要功能如下:序号设备名称功能描述1主机自适应安全统一控制台功能包括:通知系统、主机管理、IP通用设置、账户信息管理、服务监控、Agent安装与管理、系统审计、权限管理2资产清点资产清点模块包括以下内容:主机和设备、硬件配置、操作系统、内核模块、启动项和计划任务、环境变量、软件应用、数据库、进程和端口、系统账号、Web服务、Web站点、Web应用、Web框架。3风险评估风险评估模块包括以下功能:安全补丁、系统风险、账号序号设备名称功能描述风险、应用风险、弱口令检测、漏洞检测。4入侵检测入侵检测模块包括以下功能:暴力破解检测、异常登录检测、反
29、弹SheIl检测、Web后门检测、本地提权检测、暴力破解封停、可疑操作、系统后门检测、系统后门隔离删除、Web后门隔离删除、报表系统。5合规基线合规基线模块包括以下功能:系统基线、应用基线、数据库基线、报表系统。6文件完整性通过对系统关键目录的监控,发现文件或目录发生的重要更改,并进行告警和事件上报。7病毒查杀通过实时监控和扫描发现主机上运行的病毒进程,并进行告警和事件上报,同时支持对病毒进行阻断、隔离、删除的闭环处理。8微蜜罐通过在主机中设置多个蜜罐端口,监听黑客对这些端口的攻击行为,并将发现的攻击行为进行告警通知。9内存后门通过扫描和实时监控两种方式发现内存后门,可发现内存WebshelK
30、shellcode和动态链接库注入等内存马攻击,并发送告警通知。10安全响应支持对发现的入侵行为进行对应的响应处理,提供登录封停/解封、进程阻断、文件隔离/还原/删除、IP封禁/解封/端口封禁/解封等响应处理能力。2.1.1.3.2.主机安全防护授权服务结合本地实际需要,购买终端授权IiCenSe,在现有的100O个授权(已到期)基础上,拟新增500个授权服务,以满足存量和未来一年新增的主机安全防护服务,因此本项服务需购买1500个终端授权,此授权根据实际需求申请,按实结算。2.1.1.4. 应用安全防护服务云平台应用安全防护服务,主要为政务云平台提供云平台漏洞扫描、云平台基线配置核查、云平台
31、Web应用防火墙等服务。2.1.1.4.1. 云平台漏洞扫描 服务定义为云平台提供主机操作系统、数据库、应用系统等内容的漏洞扫描服务。 服务应用场景对云平台的主机、数据库、应用系统等进行漏洞扫描,并查看相关的报表文件,并给出漏洞加固建议。 服务能力在端口扫描后得知目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在;通过模拟黑客的攻击手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等。若模拟攻击成功,则表明目标主机系统存在安全漏洞。 服务指标支持最大扫描速度三2000IP/H,最大并发任务数三15,最大并发扫
32、描主机巳90o2.1. 1.4.2.云平台基线配置核查 服务定义为云平台的相关配置提供基线核查的服务,通过基线核查工具,对云平台操作系统、中间件、数据库等相关组件的安全配置进行检查核对,确保满足安全基线要求。 服务应用场景根据云平台的实际情况,通过基线核查工具对云平台的各个组件进行安全配置核查。 服务能力支持多种协议远程登录目标系统进行检查,支持在线设备安全配置核查和离线设备安全配置核查;安全配置核查过程只检查系统配置情况,不对系统配置进行任何修改,确保业务持续性和业务安全;主要包括了账号、口令、授权、日志、IP通信等方面内容,反映了系统自身的安全脆弱性。2.1. 1.4.3.云平台Web应用
33、防火墙服务定义云平台Web应用防火墙,是通过执行一系列针对HTTP、HTTPS的安全策略,来专门对web应用提供保护的一项服务。云平台web应用防火墙基于规则进行安全防护,可以提供各种Web应用的安全规则,规则库通过实时更新的方式进行维护,通过相关的规则,可以对应用进行全方面的保护。服务应用场景云平台web应用防火墙服务主要是对云平台上的应用进行统一的应用安全防护。可通过透明模式、反向代理模式、旁路模式三类模式在连接云平台的物理通信链路进行部署。服务能力(1)网页篡改在线防护按照网页篡改事件发生的时序,WAF提供事中防护以及事后补偿的在线防护解决方案。事中,实时过滤HTTP请求中混杂的网页篡改
34、攻击流量(如SQL注入、XSS等)。事后,自动监控网站所有需保护页面的完整性,检测到网页被篡改,第一时间对管理员进行短信告警,对外仍显示篡改前的正常页面,用户可正常访问网站。(2)网页挂马在线防护当用户请求访问某一个页面时,WAF会对服务器侧响应的网页内容进行在线检测,判断是否被植入恶意代码,并对恶意代码进行自动过滤。(3)敏感信息泄漏防护WAF可以识别并更正Web应用错误的业务流程,识别并防护敏感数据泄漏,满足合规与审计要求,具体如下:L可自定义非法敏感关键字,对其进行自动过滤,防止非法内容发布为公众浏览。2.Web站点可能包含一些不在正常网站数据目录树内的URL链接,比如一些网站拥有者不想
35、被公开访问的目录、网站的WEB管理界面入口及以前曾经公开过但后来被隐藏的链接。WAF提供细粒度的URL访问控制,防止对这些链接的非授权访问。3.网站隐身:过滤服务器侧出错信息、,如错误类型、出现错误脚本的绝对路径、网页主目录的绝对路径、出现错误的SQL语句及参数、软件的版本、系统的配置信息等,避免这些敏感信息为攻击者利用、提升入侵的概率。4.对数据泄密具备监管能力。能过滤服务器侧响应内容中含有的敏感信息,如身份证号、信用卡号等。(4)Web漏洞检测能力WAF能够对OWASPTOPlO的典型漏洞进行准确的检测,并可以选择告警或阻断Web漏洞利用。其中包括注入漏洞、跨站脚本、失效验证和会话管理、不
36、安全的直接对象引用、跨站伪造请求、安全配置错误、不安全的加密存储、为限制的URL访问、不足的传输层保护、未经验证的重定向转发。(5)WAF可视化数据统计分析WAF支持大部分可视化数据分析,包括实时安全事件、查看历史数据、查看实时业务负载、查看接口流量、查看系统负载等可视化分析。服务指标网络层吞吐量N4G,HTTP应用层吞吐量NIG,HTTP事务处理能力30000TPSo2.1.1.4.4.集中日志审计系统 服务定义对安全设备、网络设备、服务器设备、应用系统的日志进行收集、归一化处理,由集中日志审计系统进行分析、审计。对安全事件进行关联分析,发现潜在的安全威胁。 服务应用场景为租户提供集中的日志
37、审计系统,适用于设备、服务器较多的场景,通过人工单机分析存在困难时,可考虑采取集中日志审计系统。 服务能力通过对安全设备、网络设备、服务器设备、应用系统的日志进行归一化处理,采集到集中日志审计系统,对日志进行关联分析、统计,识别安全事件,解决单台设备日志无法发现的安全事件,提高综合安全保障能力。 服务指标日志处理性能Nl亿条日志/24小时。2.1.1.5.安全运维服务2.1.1.5.1.堡垒机服务堡垒机服务,围绕XX市政务云安全运营中的日常运维管理进行统一身份接入,及日常运维操作记录的审计留痕,堡垒机运维安全管理系统符合国密要求,满足政务云安全建设指数的安全运维工作需求。服务功能描述:1、服务
38、支持基于IP的DNAT网络环境部署,通过映射后的IP信息能够访问堡垒机。2、服务支持基于SDP技术的远程接入,无需额外部署VPN设备。支持服务隐藏功能,开启后,攻击者无法扫描到对应服务端口。3、服务支持客户端在开启VPN的情况下,通过SDP技术和该端口建立安全隧道。4、服务支持页面风格个性化配置,可以自定义“系统名称”、“系统标签”、“系统图标”、“登录页hg。”和网站ico无需额外定制。5、服务支持BS以及CS模式,支持免费专用客户端。支持在WindoWs、IinUX、麒麟、统信、MAC等操作系统下部署。支持在客户端上完成日常运维工作。6、服务支持堡垒机专用客户端和堡垒机建立加密隧道,隧道加
39、密算法可按需选择是国密或者标密。7、服务具有用户角色权限自定义功能,可对用户进行细粒度权限划分,可细分用户管理,用户角色管理,资产管理,密码管理、策略管理、审计管理,支持不同角色相互组合。8、用户登录服务支持多种主流认证方式,至少包括本地静态密码认证、PIN+软件。TP、短信认证等身份认证方式。9、服务支持静态密码认证,支持配置静态密码的期限、最小长度要求、到期提醒、密码强度限制级禁止使用常用密码。10、服务支持通过堡垒机直接代理HTTP/HTTPS协议,无需前置机。11、服务支持主流运维协议的HTML5运维,如RDP.VNCSSH、SFTP等协议,无需本地运维客户端。支持通过H5文件运维的方
40、式上传和下载文件。12、服务支持当客户端需要进行单点登录时,直接向堡垒机发送该跨域访问cookie信息,客户端仅根据堡垒机发送的包含用户信息的响应数据包即可实现单点登录,无须在客户端中安装专用登录系统。13、服务支持通过PC/WebPortal唤起本地浏览器来访问目标网页,支持主流浏览器。14、服务支持获取用户在客户端远程桌面上进行图形运维操作所对应的、通过堡垒机发往服务器的事件请求,根据事件请求获取事件类型,根据事件类型获取权重值,获取服务器根据事件请求而返回的响应画面集。15、服务支持当前云平台所需支持的主流国产数据库协议代理,并考虑平台的扩展性需求,要求可兼容主流的X86数据库协议代理,
41、支持调用本地工具运维,保留运维习惯。16、服务支持终端合规检查策略,包含针对补丁检测、操作系统版本检测、端口检测、进程检测和安装应用检测。支持可由管理员自定义配置合规策略,自定义范围包括但不限于检查项、告警等级、执行操作等。17、服务支持账户安全策略,可以对爆破登录、弱密码认证、僵尸账号认证、不合规终端认证、非常用时间使用、非常用终端认证、非常用地理位置认证、非常用网络认证进行识别并采取相关的处置措施,处置措施包括仅告警、警告、增强认证、禁止认证。18、服务支持根据机构/角色/访问时间/地理位置/网络地址/终端类型来定义用户的认证方式和是否必须使用双因子认证,精细化管理用户认证策略且在同一策略
42、条件内,支持为不同客户端(桌面端、Web门户)接入用户提供不同认证方式选择。19、服务支持自动化运维,支持自定义自动化脚本,可在线编辑和本地导入。支持设定任务为手动、定时和周期执行方式。支持登录后自动执行脚本,执行完后堡垒机保存运维记录。20、服务支持自动化运维功能,支持当前云平台所需的主流国产操作系统脚本,并考虑平台的扩展性需求,要求可兼容主流的X86操作系统脚本。服务指标支持字符最大并发会话数三1500,图形最大并发会话数三800。2. 1.1.6.省市一体化安全运营平台及态势感知服务3. 1.1.6.1.省市一体化安全运营平台配套硬件设施服务本项服务主要是为已建的省市一体化安全运营平台构
43、建基础的硬件服务器和交换机等资源提供运维服务,以承载上层平台的运行。主要的硬件设施如下表所示:序号服务名称服务内容数量单位备注1安全态势感知服务器协助客户建立和完善安全态势全面监控、安全威胁实时预警、安全事故紧急响应的能力。3台运维服务2云安全运营平台地市节点专用交换机服务满足安全资源池网络接入需求,互联网区和政务外网区各2台,共4台4台运维服务3云安全运营平台地市节点专用服务器满足安全运营平台的服务器使用需求,互联网区和政务外网区各1台,共2台2台运维服务2.1.1.6.2.省市一体化安全运营平台及态势感知服务为地市提供省市一体化安全运营平台软件服务。本软件功能包含省市一体化的多节点协同,边
44、缘计算下的数据采集、存储、分发,基于事务的安全监控预警,基于通用任务引擎的安全编排,多维异构数据下的智能化风险检测,基于操作的事件驱动引擎,统一归口下业务调度服务,全局共享知识库,全局一体可视化管控中心,智能风险决策等功能。安全态势感知模块是以大数据框架为基础,结合威胁情报系统,通过攻防场景模型的大数据分析及可视化展示等手段,协助客户建立和完善安全态势全面监控、安全威胁实时预警、安全事故紧急响应的能力。1、省市一体化的多节点协同省市一体化安全运营中平台具备3大部分核心模块:日志中台,计算服务层和一体可视化管控中心,其中一体可视化管控中心需具备根据数据处理中心对外提供的服务接口面向用户提供资产风
45、险管理、全局安全态势可视化感知、面向事务的风险监控预警、自动化风险追踪处置等功能。2、边缘计算下的数据采集、存储、分发所有的数据分析功能都是基于数据进行的,多维度数据采集功能采集主机审计日志、数据库审计日志、应用服务活动日志、资产上报日志(包括软件版本等)、网络活动日志、安全设备活动日志。3、基于事务的安全监控预警基于事务的高级检索引擎,对从政务云采集的基础安全数据,如主机审计日志、数据库审计日志、应用服务活动日志、资产上报日志、网络活动日志、安全设备活动日志进行实时检索查询,通过多维度(资产、漏洞、攻击事件、统计、规则)进行数据关联分析,发现潜在的安全问题。基于事务的实时监控预警,将原本碎片
46、化的威胁告警、异常行为告警、资产管理等数据结构化,以安全大数据为基础,结合安全运营平台高级检索能力,从不同视角和维度进行风险呈现,实现安全事件实时监控与预警。4、基于通用任务引擎的安全编排基于可检索的数据引擎系统、格式化存储数据,面向用户实现的通用低频周期性任务执行引擎,以支持不断变化的通用任务需求。(基于索引数据、知识库、操作器的任意安全编排引擎)5、多维异构数据下的智能化风险检测通过采用机器学习的方法,以任意目标为分析对象,学习对应目标行为数据以建立行为模型,再在实时计算的过程中,基于训练所得模型和实时数据流进行面向对象的行为分析,能够快速的对业务攻击和和内部恶意风险进行响应告警。6、基于
47、操作的事件驱动引擎事件驱动引擎通过对接内外部相关组件,向内部提供统一的事件控制机制。7、统一归口下业务调度服务业务调度服务对内统筹路由所有服务接口,并向外提供统一的接口调用,并在此基础上进行分布式多节点下的协调管控。8、全局共享知识库全局共享知识库内存储着低频率更新的用于全局决策执行、流程执行的各种知识,包括训练模型数据、系统资产数据、威胁情报数据、漏洞库数据、用户群组数据等。知识库自身按照自身的设定低频周期性的更新自身知识,并向外提供多种接口服务以充分利用知识库中存储的各种知识。9、全局一体可视化管控中心全局一体可视化系统向用户提供了包括多节点管控、颗粒化用户权限设置、安全态势可视化和节点一体化管控的功能,包括:用户认证与权限控制、安全事件汇聚浏览、资产汇聚浏览、全局可视化和一体化管控等功能,其中可视化系统通过归集所有包括安全事件信息、资产信息、资产风险信息、分析统计数据等在
免费区 
