广州番禺区电子政务外网准入认证购项目广州公共资源交易中心.docx

1、广州番禺区电子政务外网准入认证购项目广州公共资源交易中心用户需求书1 商务要求（一）符合政府采购法第二十二条所规定的条件；分公司投标的，必须由具有法人资格的总公司授权。（二）投标人具有信息系统集成及服务资质证书三级或以上证书。（三）本项目不接受联合体投标。 2 需求说明2.1 项目背景与现状网络空间是继陆地、海洋、天空、太空之后的第五活动空间，也被称为“第五疆域”。随着互联网的快速发展，各种业务系统相互交织，网络安全重要性越来越突出。据中国互联网网络信息中心发布的第40次中国互联网络发展状况统计报告，截至2017年6月，我国网民规模达7.51亿，其中通过手机上网的网民占96.3%。伴随着互联网

2、+的飞速发展，网络安全问题日益凸显。今年5月12日WannaCry勒索病毒（以下简称“勒索病毒”）在世界范围内爆发，越来越多的人领略到互联网病毒的威力。“网络安全”与“信息化”两翼齐飞、双轮驱动，既要解决网络安全问题，也要加快发展信息化。只有让“网络安全”与“信息化”协调一致，才能让互联网信息技术更好服务于社会。政府部门通过政务网络提供面向社会的服务，促进了政府服务能力的极大提高。政府日常办公业务与网络的联系不可分割，一方面这是政府部门加强对外服务的客观要求，另一方面这也是公务人员获取社情民意的行政需要。当前政务办公桌面终端环境仍以PC机为主，移动终端作为辅助工具。这种基础架构普遍受到信息安全

3、、维护效率、 资源管理等方面的困扰。脆弱的用户终端一旦接入网络，就等于给潜在的安全威胁敞开了大门，使安全威胁在更大范围内快速扩散，进而导致网络使用行为的“失控”。保证用户终端的安全、阻止威胁入侵网络，对用户的网络访问行为进行有效的控制，是保证网络安全运行的重要因素，也是目前急需解决的问题。番禺区电子政务网作为广州市电子政务网络系统的重要节点，为各业务部门提供信息服务和信息化基础资源服务，实现了上联广州市电子政务网络骨干，横向连接多个区委办局，下联各镇（街）、村（居）和区属国有企业，通过建设统一的门户网站站群管理子系统、番禺区政府公共资源共享子系统、办公自动化系统等，实现了各委办局、镇（街）、村

4、（居）和区属国有企业的无纸化办公，有效的推进了番禺区电子政务建设。番禺区政府政务外网已经建设成高性能万兆骨干网，采用BGP/MPLS VPN架构，规划合理建设规范。随着政务业务发展和人员扩展，办公人员的信息分布节点日益增加，在接入区域部分办公环境中的网络信息接口紧缺，致使部分人员通过HUB、路由器等设备接入网络。此外随着移动智能终端的普及，也导致人员通过各种无线设备接入政府办公网络，导致办公网络环境越来越复杂，管理复杂度变得越来越高，安全威胁越来越突出。番禺区政府政务外网主要节点石碁镇、发改局机房、区府核心机房等。区府机房下联大院内东附楼、西附楼、会议中心等，以及区府大院外多个单位接入，发改局

5、机房下联市桥街、桥南街、安监局等。图1 物理设备与链路区府核心机房2台核心交换机通过虚拟化技术虚拟成一台设备。如图1每个重要节点机房部署一台汇聚交换机，通过万兆链路上联到区府核心机房。 网络架构承载网网络架构基于BGP/MPLS VPN，业务接入交换机上联到汇聚交换机设备。 业务描述由于接入单位业务比较复杂，比如区局单位部署IPSEC VPN直接上联到市局,视频会议系统、医院业务系统等等，出于安全、稳定需求，部分业务专网应该和现有办公业务网络隔离。2.2 需求分析电子政务网终端安全本身就是一个复杂的、动态发展的过程。当前针对网络的安全风险日益增加,建立完善的网络安全保障体系，保护核心数据和信息

6、的安全，电子政务网要有规范统一的安全防护措施和手段。网络系统安全防护分为三大区块，终端用户安全防护区，比如可访问互联网终端PC、和各类移动终端，后台服务器安全防护区，比如应用服务器、数据库，各类出口安全防护区，比如互联网出口。后台应用服务器和网络出口安全防护多由专业人员负责管理运维。终端安全防护相对薄弱，任何外来人员通过有线或无线可以进入内部网络，网络的终端全部都是基于工作组的模式，没有进行网络域的集中管理模式和相关的策略性的定义。对正常接入的终端没有进行健康性的检查和指导用户进行修复，以及不能对达不到安全要求的终端采取隔离措施。办公室私自部署无线设备，为移动终端提供无线网络服务的同时对政务办

7、公信息安全造成威胁。因此目前PC、移动终端等成了“整个网络系统安全防护的短板”。缺乏更严格稳定的终端准入控制、网络边界的不规范、终端位置缺失、IP资产信息难以管理等安全风险,所以现需部署一套专业网络准入控制系统。实现网络准入系统主管准入控制、网络边界、实时资产信息等功能，形成从终端入网前到终端入网后全流程化管理，保障电子政务网的安全高效运行。2.3 部署需求每个节点接入用户进入政务网，必须认证。区局到市局业务专网VPN，如审计局业务专网，类似业务专网，以及其他特定业务不进行认证。实现接入认证统一接口，除准入外还可保证准入接口安全，包括入侵防御、病毒防护、流量管理、权限控制等；实现终端管理一体化

8、：桌面管理、终端准入、数据防泄密、终端防病毒四功能合一，一个客户端解决终端安全管理的所有问题，减轻用户桌面压力。终端全面资产管理：对终端资产全生命周期进行管理，提供终端操作系统漏洞检测和修复、终端平台环境规范、远程支持和维护等全方位的终端运维管理。清除终端本地的病毒及木马，加固了终端自身安全性，从而大量减少了病毒、木马等的入侵行为，并减少了网络出现故障的几率；防止用户的私自非法外联行为，对用户的正常网络行为进行有效监管。规范终端行为：从终端审计、移动存储管理、安全基线设定等角度，提供全方位的终端合规管理功能，从规范终端用户行为出发，封堵终端违规的漏洞、监控和规范终端用户行为，全面提升终端安全管

9、理水平。重点关注机房区府核心机房、发改局机房，接入单位多，网络结构复杂。目前有二层、三层结构混合存在，还需进行大量整改。村居、有人值守公共服务站准入认证，安装客户端，其他单位可采取WEB认证。对于部分单位采取NAT技术接入政务，其内网的网络结构、IP规划根据项目需要统一规划。2.4 项目实施服务要求1、 投标人应针对本项目特点提出完善的工程管理措施，至少应达到如下6点要求：(1)项目实施计划进度要求、(2)项目实施人员组织要求、(3)项目实施技术和质量保障、(4)工程验收、(5)设备及软件质量保证、(6)服务与技术支持2、 负责项目实施的项目经理需具有PMP证书或信息系统项目管理师资质。3、

10、投标人需提供本项目中所有软、硬件产品的安装调试服务；4、 提供与本项目实施相关的交换机、路由设备的策略配置、IP地址规划分配、无线路由器配置，终端设备准入认证配置调测等；5、 投标单位必须在用户单位办公现场安排不少于1名现场驻点服务人员，服务人员在用户单位现场办公时间内需在用户现场办公，随时为用户提供故障处理与应急响应的技术服务。并向招标人提供系统维护和管理文档。6、 质保期内中标人负责对出现故障的设备免费维修或更换并提供性能相同的替用设备。2.5 设备采购清单序号产品型号产品说明单位数量1准入网关设备标准2U设备;支持BYPASS;不少于6个GE口，至少一个扩展槽位，吞吐不少于4G，最大并发

11、连接数不少于220万，每秒新建连接数不少于4万；台82终端准入安全管理审计系统支持准入控制、安全基线、安全防护、桌面运维等功能；支持能够与准入网关实现准入控制联动；接入认证的内容包括用户名/密码、计算机安全状态、接入有效期等一种或多种条件的组合认证，授权数必须满足项目范围所有的终端使用套13网络非法接入检查系统支持远程扫描方式，支持对以地址克隆或修改MAC地址的NAT方式私接的路由设备（包括无线AP）进行检测套12.6 技术指标要求2.6.1 准入网关参数要求准入网关参数参数项描述接口配置不少于6个GE口，一个扩展槽位性能指标吞吐不少于4G，最大并发连接数不少于220万，每秒新建连接数不少于4

12、万；操作系统多系统设置可在Web界面完成全部操作【截图证明并中标后七天内提供加盖厂商公章原件】。支持按功能模块的配置导入导出模版式配置管理支持系统主要防护功能的统一化模板设置，模板分为高、中、低三个级别，分别对应不同防护强度，可通过Web界面选择切换及通过外置按键一键切换【截图证明并中标后七天内提供加盖厂商公章原件】。网络适应性支持静态路由，动态路由（OSPF、RIP、BGP、ISIS等），VLAN间路由，单臂路由，组播路由等。必须支持基于应用的策略路由，可实现为不同的应用类型智能选择相应的链路必须支持基于 WEB地址URL的策略路由，可实现将不同类型的网站流量智能分配到不同的链路必须支持基于

13、文件类型的策略路由，可实现将预定义或者自定义的文件按照不同的分类进行智能选路【截图证明并中标后七天内提供加盖厂商公章原件】。网络管理支持将任意接口数据完全镜像到设备自身的其他接口，用于抓包分析支持DHCP Client、DHCP Relay、DHCP Server。各种工作模式下均支持H.323（H.323 GK）、SIP、FTP、MMS、RTSP、XDMCP、TNS等多种动态协议。支持对虚拟环境的数据流进行全策略控制。支持链路聚合功能，支持802.3ad和静态轮询、热备等多种模式，MAC、MAC&IP、IP&Port多种聚合负载算法支持802.11A/B/G/N协议，支持设备作为WiFi热点

14、（即AP），为客户机提供无线安全接入服务支持无线设备接入的MAC地址认证，可设置默认接收或拒绝MAC地址。除本地有线链路接入外，必须可提供至少一种其他媒介的灾备链路接入方案支持，如3G广域网、VSAT卫星网、海事卫星网【截图证明并中标后七天内提供加盖厂商公章原件】。 网络访问控制支持一体化安全策略配置，可以通过一条策略实现用户认证、IPS、AV、URL过滤、协议控制、流量控制、并发限制、新建限制、垃圾邮件过滤、审计等功能,简化用户管理【截图证明并中标后七天内提供加盖厂商公章原件】。支持同一个地址对象中可以包含IP、IP段、IP range、排除地址等多种类型【截图证明并中标后七天内提供加盖厂商

15、公章原件】。支持将源MAC作为独立的访问控制条件，防止非法设备接入。支持以组的方式管理安全策略，支持安全策略组的增、删、改操作，简化安全策略管理【截图证明并中标后七天内提供加盖厂商公章原件】。支持针对策略中的源、目的地址进行并发限制，可以针对单IP(或地址范围)进行并发控制。支持针对策略中的源、目的地址进行新建限制，可以针对单IP(或地址范围)进行新建控制【截图证明并中标后七天内提供加盖厂商公章原件】。支持策略命中数显示，并支持通过安全策略命中数范围查询【截图证明并中标后七天内提供加盖厂商公章原件】。支持根据IP地址进行策略查询、支持根据服务端口进行策略查询。支持根据规则序号、规则名、源地址、

16、目的地址、入侵防护策略、服务、认证用户、认证用户组、所属策略组、备注进行规则查询。支持查看访问控制策略引用地址、服务、时间资源情况。准入认证管理支持对入网终端的系统版本和运行进程进行准入检查。支持在用户认证失败的情况下仍提供基本的网络访问权限。支持对WEB认证、LDAP认证、RADIUS认证、邮件账号认证、IP识别用户的强制下线。支持用户的AD域、POP3、BJCA单点登录，支持自定义单点登录监听端口【截图证明并中标后七天内提供加盖厂商公章原件】。支持设置认证服务器组。支持用户口令复杂度设置。支持显示详细的用户在线信息，包括用户名称、真实姓名、所属组、认证源、接入方式、认证方式、登录IP/MA

17、C、在线时间、登录时间和可对其进行相关操作【截图证明并中标后七天内提供加盖厂商公章原件】。2.6.2 终端准入安全管理审计系统参数要求终端准入安全管理审计系统参数技术指标指标要求终端授权不少于20000个点的终端授权，以实际合法接入番禺区政务外网的终端数为准。管理平台服务器端部署简单方便，并可以通过快速安装方式，一键安装所需要的所有系统服务器组件和数据库，并支持自动生成客户端安装包。服务器支持在支持Windows2008R2 X64、Windows2012R2 X64或Linux上部署，支持的数据库为开源的免费版MYSQL数据库。支持客户端安装注册机制，客户端安装时，可以由管理员自定义设置需要

18、终端用户选择和填写客户端注册信息项目内容和是否为必填项，信息注册并提交后，系统后台自动将终端与该信息绑定保存。注册信息项除了系统预置的部门、设备使用人、联系电话、地址、Email地址等信息项类型之外，还可以根据客户端注册的个性化要求，新增个性化客户端注册信息项类型。管理员还可以对新增的自定义客户端注册信息进行修改、删除，并可以选择该项是否为必填项。【截图证明并中标后七天内提供加盖厂商公章原件】支持时间策略，可以设置工作日及时间、加班日期及时间和休假日期及时间。如果启用时间策略，非工作时间（包括休假时间），无论客户端是否离线，客户端启用并执行离线策略；在工作时间（包括加班时间），终端如果在线，则

19、客户端执行在线策略，如果终端离线，客户端则执行离线策略。安全基线支持进程黑名单，黑名单进程支持MD5校验，能够有效禁止运行与工作无关的软件。防止修改进程名逃避安全检查。对于运行的黑名单进程，既可以自动结束进程，也可以只进行违规提示。支持黑名单进程的MD5校验和源文件名校验。【截图证明并中标后七天内提供加盖厂商公章原件】支持进程红名单，能够确保必须运行的软件的进程处于正常运行状态。能通过MD5码校验的方式检查进程名，防止用户对程序改名逃避安全检查。支持自定义的进程延迟检测时间及从样本终端上计算进程可执行文件的MD5值。支持进程白名单，强制用户只能运行指定的软件，对于运行的进程白名单之外的进程，可

20、以自动结束进程，也可以只进行违规提示，还可以选择仅记录违规行为，不进行提示。能通过MD5码校验和源文件名检验的方式检查进程名，防止用户对程序改名逃避安全检查。并支持文件目录排除及证书名排除，防止系统关键进程被误关闭。通过检测指定注册表项的存在，检测指定注册表值的存在，检测指定的注册表项和值的匹配关系来检查是否有隐藏的木马或病毒。通过对指定注册表项的保护来防止木马或病毒修改关键注册表而控制用户终端。能够通过策略启用Windows系统自带的对SYN攻击进行防护的功能，并可以精确设定“指定触发SYN洪水攻击保护所必须超过的TCP连接请求阀值”，“指定处于 SYN_RCVD 状态的 TCP 连接数的阈

21、值”和“指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值”，增强终端对SYN攻击的抵御能力。【截图证明并中标后七天内提供加盖厂商公章原件】桌面运维能够准确统计计算机终端数量。支持客户端软件安装包的自动分发和安装，且支持MSI、EXE、BAT、脚本等格式的安装程序，支持自定义安装包。能够支持无线可信SSID管理，支持终端只能连接指定的SSID，不在可信列表中的无线SSID不允许连接。简明可靠的多网卡非法外联管理，可以设定只有与策略系统通讯的网卡才能发送和接收数据，禁止其他任何网卡发送和接收数据，包括多网卡、拨号连接，VPN连接等。避免通过注册表设置禁用多网卡、拨号连

22、接而易被破解。【截图证明并中标后七天内提供加盖厂商公章原件】通过客户端信息发布，可以对终端用户进行安全教育。并可以将事先准备好的安全教育内容，定时通过信息发布传送到客户端，客户端收到后，将自动弹出信息提示框，并提示终端用户及时进行阅读，待终端用户全文阅读完毕并点击确认，客户端消息框将不再弹出。除此之外，管理员还可以根据实际情况，调整信息提示框弹出的频率和消息有效期，保证达到理想的安全教育效果。能够为终端设定自动关机的条件，一旦条件符合，终端将自动关机，方便管理员对无人值守或者长期空闲的机器进行关机处理。【截图证明并中标后七天内提供加盖厂商公章原件】安全防护能够对终端访问的目的地址、服务以及发起

23、访问的进程进行管理，只有允许的进程才能对指定目的地址和服务进行访问。能够对终端接受访问的源地址、接受访问的服务以及接受访问的进程进行管理，只有允许的进程才能接受指定的访问者对指定服务的访问。支持UDP发包行为白名单，对客户端上指定进程的UDP发包行为不予限制。终端审计能够对终端的非法外联行为进行监控和告警，一旦探测发现终端发生非法外联行为，即可根据设定的告警对象和告警方式，进行告警，直至非法外联行为中止后才会解除。【截图证明并中标后七天内提供加盖厂商公章原件】支持多种方式对非法外联行为进行审计和告警，告警方式包括：终端提示，上报告警事件及电子邮件告警，支持同时对多个用户发送告警信息。能够对终端

24、用户登录Windows情况进行审计，掌握每台终端用户活跃情况。能够对终端开关机进行审计，记录终端Windows操作系统启动、重启和关机的行为，并生成审计日志，上报服务器，掌握终端系统使用真实情况。全程跟踪和审计客户端的运行状况，审计的客户端运行状况包括：客户端服务的启用和停止，客户端的卸载行为，客户端策略获取等信息。【截图证明并中标后七天内提供加盖厂商公章原件】能够对终端曾经使用过的USB设备进行审计，审计的内容包括：USB设备名称、设备实例ID、使用时间等信息，方便对终端USB设备历史情况进行了解；移动存储能够对接入终端的移动存储进行认证，对未认证的移动存储设备，能给用户弹出认证和注册窗口，

25、提示用户对设备进行认证，确保只有认证过的移动存储设备才能够在终端使用。提交认证时，除了可以填写移动设备的使用人相关信息之外，还可以选择使用人所在的部门，方便对以后设备的维护和管理。【截图证明并中标后七天内提供加盖厂商公章原件】可以直接授权认证过的移动存储设备禁止使用、只读或可读写，也可以对认证过的移动存储设备进行多种模式的安全认证，保证认证的移动存储设备保存的数据安全保密，移动存储设备授权共享。安全认证模式包括：专用目录加密认证、全盘加密认证。能够对移动存储设备使用进行授权，可以指定由分组的终端、用户在线或离线时对移动存储设备的使用权限，确保认证后的移动存储设备授权共享。对于加密目录，可以设置

26、读、写、离线读、离线写等操作权限，对于非加密目录，可以设置读、写、离线读、离线写等操作权限。全面适应各种复杂移动存储设备应用场景。支持自动安全格式化移动存储设备，所有保存到移动存储设备的文件，将全部自动被加密，在非管理环境下，移动存储设备完全不能使用，从而最大限度保证内部资料的安全。准入控制能够与准入网关实现准入控制互动。当终端通过准入网管进行访问时，由准入网关和产品联动，只容许认证通过并且安全状态符合要求的终端通过准入网关进行访问【截图证明并中标后七天内提供加盖厂商公章原件】可以对使用浏览器进行访问的终端，通过浏览器进行友好提示，引导终端用户完成客户端的自助安装。接入认证的内容包括用户名/密

27、码、计算机安全状态、接入有效期等一种或多种条件的组合认证。【截图证明并中标后七天内提供加盖厂商公章原件】支持仅验证客户端的准入控制，只要终端上安装了客户端，用户无需输入用户名、密码即可通过认证并访问网络和应用。支持对终端安全状态进行认证，如果终端安全状态不符合安全策略，能够禁止终端访问受保护的应用、服务器或网络资源，也可以对安全状态不符合安全策略的终端只提示，但不对网络访问进行拦截。能够通过与支持802.1x协议的接入交换机互动，实现有线局域网网络准入，对接入的计算机及接入的用户进行认证。支持华为、H3C、3Com、Cisco等主流网络设备。【截图证明并中标后七天内提供加盖厂商公章原件】接入认

28、证的内容包括用户名/密码、计算机安全状态等多种条件的组认证。支持仅验证客户端的准入控制，只要终端上安装了客户端，用户无需输入用户名、密码即可通过接入认证并接入网络。能够通过GUEST VLAN，自动隔离没有安装客户端的计算机或安全状态不符合要求的计算机，并进行安全修复。支持基于Port-based模式和基于MAC-based模式的认证混合使用，可以实现对交换机下接HUB连接的终端执行准入控制可实现准入控制。支持对终端安全状态进行认证，如果终端安全状态不符合安全策略，能够禁止终端接入内网，或者自动将终端接入指定的GuestVLAN，也可以对安全状态不符合安全策略的终端只进行提示，但不对网络访问进

29、行拦截。【截图证明并中标后七天内提供加盖厂商公章原件】支持基于802.1x网络准入MAC认证例外，能够只认证接入设备的MAC地址，如果MAC地址属于MAC免认证列表中，则允许该设备接入网络。网络准入MAC认证例外，方便用户在启用基于802.1x网络准入认证后，能够对特殊终端或网络设备，例如特定用户电脑、网络打印机、IP电话、智能手机等设备进行识别和放行，保证特殊设备正常接入和访问网络。支持Windows、Linux、Android、iOS等系统平台自带的802.1X客户端在系统中进行认证。支持的目录服务包括本地目录服务和AD域等目录服务。【截图证明并中标后七天内提供加盖厂商公章原件】支持无线网

30、络的网络准入控制，能够接管所有支持WPA企业版的无线接入设备类型，对通过无线网络接入的终端和用户进行准入控制认证。支持对通过无线接入的终端和用户进行多因素身份认证。无线网络准入的控制，支持仅验证客户端的准入控制，只要终端上安装了客户端，用户无需输入用户名、密码即可通过接入认证并接入网络。2.6.3 网络非法接入检查系统参数要求网络非法接入检查系统参数要求指标项规格要求网络边界完整性检查要求以远程网络扫描方式，不需要部署客户端，完成对下列违规行为的检测和定位：能够对以地址克隆或修改MAC地址的NAT方式私接的路由设备（包括无线AP）进行检测；【截图证明并中标后七天内提供加盖厂商公章原件】能够对网

31、络内部私设的网中网或违规路由进行检测；能够对市场主流随身Wifi设备和免费Wifi接入进行检测；能够对以AP或普通NAT方式私接的无线AP设备进行检测，要求能够定位到无线AP的SSID号；要求能够对双网卡之间的网络共享行为进行检测；要求能够对通过智能手机以USB共享网络方式进行非法外联的行为进行检测；要求能够对通过WIFI连接智能手机个人热点方式进行非法外联的行为进行检测；提供对私接设备的快速网络定位，实现IP-MAC-Switch Port的快速定位，直接定位到私接设备所连接的交换机端口，并可按照实际需要进行端口阻断；能够对是否安装Vmvare虚机进行远程检测；上述功能要求能够和网络拓扑结合，即可在拓扑中通过图形界面进行违规内联设备的可视化网络定位与阻断控制。网络资产管理要求通过网络扫描，能够对网络内部的资产进行自动识别和分类，要求至少能够自动区分终端PC、应用服务器，网络设备、网络打印机、视频监控设备及安全运维类设备（防火墙、入侵检测、防病毒网关、上网行为审计等）；【截图证明并中标后七天内提供加盖厂商公章原件】要求能够对Inte AMT（INTE Active Management Technoogy(英特尔主动管理技术)）地址进行识别。要求能够对主流视频监控设备（海康威视、大华、宇视、科达、博世等）、打印设备（惠