上网行为管理技术方案解析.docx
《上网行为管理技术方案解析.docx》由会员分享,可在线阅读,更多相关《上网行为管理技术方案解析.docx(12页珍藏版)》请在冰点文库上搜索。
上网行为管理技术方案解析
(1)项目目标
建立信息安全等级保护体系,增强网络接入准入认证,对上网行为进行管理。
增强网络及电脑等终端设备安全性,防止信息泄露,病毒感染。
为了实现实用、易用的网络管理功能,在网络资源的集中管理基础上,实现拓扑、故障、性能、配置、安全等管理功能,不仅实现功能,更通过流程向导的方式告诉用户如何使用功能满足业务需求,为用户提供了网络精细化管理最佳的工具软件。
对于设备数量较多、分布地域较广并且又相对较为集中的网络,故需要一套管理平台提供分级管理的功能,有利于对整个网络进行清晰分权管理和负载分担。
管理平台除了涵盖网络管理功能外,还是其他业务管理组件的承载平台,共同实现了管理的深入融合联动。
可以帮助组织管理者透彻了解组织当前、历史带宽资源使用情况,并据此制定带宽管理策略,验证策略有效性。
不但可以在工作时间保障核心用户、核心业务所需带宽,限制无关业务对资源的占用,亦可以在带宽空闲时实现动态分配,以实现资源的充分利用。
基于不同时间段、不同对象、不同应用的管道式流控,能有效保障用户的上网体验,保障网络的稳定性。
互联网的普及让网络泄密和网络违法行为层出不穷。
如果员工利用组织网络发生泄密或违法行为,而如果又没有证据,无法找到直接责任人,IT部门将成为该事件压力的承担者。
本项目需要事先帮助管理员实现基于内容的外发信息过滤,管控文件、邮件发送行为,对网络中的异常流量、用户异常行为及时发起告警,更有数据中心保留相关日志,风险智能报表发现潜在的泄密用户,实现“事前预防、事发拦截、事后追查”。
并保证安全可靠,保证环保及其他上传数据安全稳定运行,不会因此系统原因造成中断。
(2)项目范围
本次招标范围限于***************。
本项目建设范围主要是对网络管理涉及软件、硬件进行选型及采购、硬件上架调试及验收、数据整理、实施配置、最终验收。
投标方的主要工作范围如下:
1.硬件设备安装调试
1)负责信息设备的拆箱及上架工作。
2)负责项目内所包含信息设备的机柜、设备之间的供电、信号、通讯电缆的铺设实施工作。
3)负责网络设备的配置调试工作,达到可以正常稳定运行条件。
4)负责项目的具体实施工作。
2.实施测试
1)负责网络设备及网络使用等相关配置和故障测试等工作。
2)负责编写测试计划及测试报告并交付用户。
3)负责编写故障应急预案操作指南。
(3)投标人的主要供货范围(不限于)
三年内软件免费升级服务。
(包含URL库升级、固件系统等升级)
根据招标方信息化建设的实际情况,本项目对服务器及存储设备硬件配置要求如下:
序号
设备名称
技术要求
数量
备注
1
上网行为管理设备
详见下文
1
2
智能管理平台
详见下文
1
3
上网管理软件
详见下文
1
注:
项目实施辅助材料及工具不在清单内,投标人在实施过程中需按实际需求提供,并包含在总价中。
(4)功能性需求
1.上网行为管理设备技术要求
机架式独立硬件设备,系统硬件为全内置封闭式结构,稳定可靠,加电即可运行,启动过程无须人工干预,多核架构设计,CPU核数目≥4个,不允许采用X86架构,功能采用模块化结构设计;
含三年免费服务和URL库,网络行为规则库的升级,内置不低于1T的存储硬盘。
支持外置存储不低于10T。
支持双机热备及会话同步,支持同步配置、运行状态,支持配置抢占模式和抢占延时,支持配置HA监控接口。
支持主流P2P、IM、在线视频、网络游戏、网络炒股等应用识别,支持BYOD特征库,可识别ios版和安卓版移动互联网软件如微博、微信等特征,支持基于IP、端口等自定义协议服务,支持智能和快速识别模式配置
应用特征库可提供在线升级和手动升级。
支持短信认证方式,用户输入手机号作为用户名,通过短信猫或短信平台发送验证码,支持微信认证和短信认证,微信认证通过DPI方式实现,提供web界面配置截图;支持3G扩展,支持电信、联通等主流3G网卡。
支持3G接口的常在线和按需上线模式,并支持在3G接口上运行IPSecVPN(提供界面证明)。
支持WEBPortal认证功能,支持本地认证、Radius认证、LDAP认证,H3CEIA认证支持选择同一用户是否允许在多个客户端同时登陆,支持配置强制重新认证间隔,支持配置认证通过后重定向URL。
支持即时通讯应用管控的精细化管理,可管控微信的“位置分享”、“朋友圈”、“附近的人”、“朋友圈”、“摇一摇”、“漂流瓶”、“收发文件”、“收发消息”、“视频语音”、“登陆注销”等行为。
支持股票应用的行情和交易特征,并可以将股票软件的行情和交易进行区分管控,提供web界面配置截图;
支持收集网站访问日志,记录用户所有访问网站行为;支持收集搜索引擎日志,记录用户的搜索内容;支持收集IM通讯软件日志,记录用户登陆、注销、收发消息、收发文件等行为;支持收集邮件日志,记录邮件发件人、收件人、主题、正文、附件等信息,并提供web界面配置截图;
内置URL分类库,支持约100个URL分类,URL库可在线升级,支持自定义URL过滤,并支持URL的模糊匹配,可广泛识别恶意网站、违法网站,支持对文件内容或URL进行缓存加速,当请求是已缓存文件,直接从本地响应,节省出口带宽。
添加、导入(注册)被管理设备,导出设备信息,显示设备基本信息:
设备名,设备型号,设备IP,设备SN号,设备相关信息,设备CPU,设备MEM实时和历史趋势图,可设置被管理设备信息可自动定期刷新。
支持多设备上网行为排名和趋势,设备用户行为排名,支持单设备邮件行为用户趋势,IM行为用户趋势,恶意网站访问排名,论坛微博用户排名,其他行为用户排名,设备用户行为趋势,网站访问用户排名,搜索关键字排名,恶意网站用户排名,论坛微博用户趋势,其他行为用户趋势,设备应用行为排名,网站访问用户趋势,搜索用户排名,恶意网站用户趋势,命令指令用户排名,邮件行为用户排名,IM行为用户排名,搜索用户趋势,论坛微博主题排名,命令指令用户趋势统计报表。
恶意URL审计日志,根据查询条件查询以设备、用户、源地址、目的地址、URL、URL分类、域名、动作、级别、创建时间为条件的设备的操作日志;聊天日志,根据查询条件查询以设备、用户、源地址、目的地址、内容、账号、内容关键字、创建时间为条件的设备的操作日志;根据查询条件查询以设备、用户、源地址、目的地址、内容关键字、动作、创建时间为条件的设备的操作日志。
显示当前设备的状态信息,按设备组-设备层次显示,包括设备管理IP、在线状态、设备型号和软件版本信息,批量或单个对设备进行远程升级选定设备APP库,URL库,AV库。
支持单用户全天行为分析报表,一个界面同时展示用户名、用户组、在线时长、虚拟身份(如QQ号码、微博账号等)、日志关联情况、全天流量使用分布、网站访问类别分布、全天关键网络行为轴等信息,提供web界面截图
必须具有公安部销售许可证,提供有效证书复印件。
为保障产品代码质量,供货厂商需通过CMMI4认证。
本次配置参数:
不得少于2000用户,吞吐量不低于32Gbps,并发会话数大于500万,最大新建连接数大于7万/S,配置冗余电源、4个万兆光口、4个千兆光电复用口,3个接口插槽(可扩展至12个万兆光口)。
包含访问控制、审计、监控、外发管理、带宽管理、报表和增强性安全功能,除提供主机自带管理软件外,本次配置专用外置管理软件,支持如管理状态、最新报表文件、日志统计等首页信息动态显示等。
配置用于含三年免费服务和URL库,网络行为规则库的升级。
2.智能管理平台
2U机架式,2路4核处理器,32G内存,2*500G硬盘(硬盘托架支持读写数据等状态显示,防止读写数据中拔出硬盘),4个GE网口,面板支持服务器部件,如风扇、内存等状态显示
支持在线部署,自动发现网络中的所有网络设备,并在拓扑中显示出来,支持拓扑图自定义修改,包括设备、链路等。
支持IP拓扑、二层拓扑、邻居拓扑、自定义拓扑、网络拓扑视图(支持网络区域的任意划分、命名、拖拽、折叠和展开)、业务拓扑、STP拓扑、MSTP拓扑等多种拓扑类型。
支持对全网设备告警的实时监控和统一浏览;支持多种提醒方式,如告警实时提醒(告警板)、告警音响提示;支持多种转发方式,比如转E-mail,转短信,转上级网管或其它网管等。
支持告警分析,可以屏蔽重复告警、闪断告警,支持告警自动确认功能;支持告警智能分析,包括告警分类关联分析、告警多源关联分析、告警拓扑根源分析、告警网络影响度分析。
实现网络IP地址自动扫描、统计、分配和管理,同时允许用户手工分配和管理IP地址,以达到更加灵活的分配管理。
结合IP地址段的管理功能,将整个网络的IP,划入各个不同的IP地址段,分别进行管理,并给出详细直观的IP分配情况统计图表,使管理员能清楚的了解和掌握整个网络的IP使用情况。
提供对常见Windows、AIX、Linux、MacOS、SunSolaris等操作系统的监控管理;提供对常见MySQL、Oracle、MSSQL、DB2、Sybase、PostgreSQL、OracleRAC、Oracle数据库服务器的监控管理,包括错误日志等,支持自定义数据库查询;提供对常见.NET、GlassFish、Jboss、OracleAS、lotusDomino、Tomcat、websphere等应用服务器的监控管理;提供对常见WebLogicIntegration、officesharepoint、activeMQ、WebSphereMQ等中间件服务器的监控管理;
对绑定的IP/MAC进行监控,如果该MAC地址对应的机器更换了IP地址,或者其它机器冒用了本IP地址,则系统会立即发送相关告警,通知管理员发生了IP使用违规现象,从而管理员能够及时采取措施应对。
通过IP/MAC绑定,能有效的防治网络IP地址使用冲突或盗用的现象。
支持对主流虚拟化业务平台的全面监控,包括KVM、CAS、VMware、Hyper-V。
对ESX,Hyper-V和KVM服务器以及其上运行的虚拟机的相关性能指标项进行数据采集并监控,如CPU利用率、内存使用率、网络接收速率、网络发送速率等,对我单位主要的五个业务系统运行的健康度、繁忙度、可用性等集中图形化展示,提供业务健康度低、业务繁忙、业务可用性低等告警。
支持绘制虚拟网络拓扑,以展示虚拟主机内部各虚拟设备(如虚拟主机、vSwitch等)的连接关系、设备状态等信息,虚拟网络拓扑要实时感知vCenter,SCVMM和KVM的数据变化,如VM添加删除,并将最新结果实时反馈到拓扑中。
在设备增加到网络资产管理的同时,系统还会自动发现该设备上可以管理的配件信息,并将这些配件加入到网络资产中进行管理,网管员可以根据不同的查询条件查询网络资产信息,对资产信息进行审计。
提供多种报表样式,包括普通的行列报表、主/子报表、图形摘要报表、交叉表、TopN和BottomN报表。
支持多种图形展示:
包括条形图、饼图、曲线图、甘特图、面积图、圆环图、三维梯形图、三维曲面图、XY散点图、雷达图、气泡图、股票图、漏斗图等。
可以修改预定义报表,进行简单的修改就可得到想要的报表,支持用户自定义报表,终端用户可以修改、创建、发布报表
提供基于时间轴同步的业务投资分析,及可了解业务整体负载和性能的变化规律,也可分析造成业务负载高的原因,可输出报表(提供产品截图)
以上功能可采用软件定制开发实现或是采用完全满足上述功能的网管软件,并提供开发软件原型截图
为保障产品代码质量,生产厂家国内研发机构需通过CMMI4认证,必须为2009-2014连续六年入选“国家规划布局内重点软件企业”,所投产品需提供计算机软件著作权证书;以上证书需提供复印件。
本次配置要求:
智能运维管理平台1套(含硬件设备),500个网络设备、虚拟机管理License;
智能分析报表功能软件1套,15个定制报表模板开发License。
提供5套主要业务系统运行状态展示功能。
3.上网管理软件
不低于2000接入用户认证授权;2000接入用户行为审计功能授权
账号登录认证授权。
支持RADIUS认证、802.1x认证。
支持WEB认证后的自动跳转指定页面功能。
支持纯Web认证和客户端Portal认证,客户端方式支持可溶解方式,无需安装;支持二次地址分配;Portal页面支持定制;支持IPV6纯Portal认证以及NAT环境下的Portal认证;基于不同的端口组、WLANSSID、终端操作系统推出不同的认证页面;支持WebPortal页面可视化定制;支持用户只需要输入一次用户名/密码,后续接入无需再输入用户名/密码。
支持用户名、密码与用户IP、MAC、VLAN、设备IP、设备端口、主机名、域用户、SSID、AD域、硬盘序列号等多种元素的绑定认证;支持第一次认证成功时的自学习绑定属性功能;可基于用户角色、接入位置、接入终端类型等情境,向联动设备下发事先配置的接入控制策略,按用户不同的情境场景控制用户的网络使用行为
支持详细的用户上网行为日志记录。
具体包括:
(1)账号日志:
能记录详细的账号日志,可查询账号的接入明细日志和认证失败日志,日志可导出;支持账户失效提醒,过期账号自动销户。
(2)提供设备管理员认证日志:
记录设备管理用户登录设备成功或失败信息,包括登录名、登录结果(失败原因)、认证时间、登录设备IP、终端用户IP、权限级别、登录动作、认证类型、服务类型等,认证日志可以导出到文本文件和CSV表格中。
(3)提供设备管理用户行为审计日志:
服务器记录用户登录、登出设备以及各种行为日志,审计日志内容包括:
登录名、审计类型、审计时间、设备IP、终端用户IP、命令行等。
用户行为审计日志可以导出到文本文件和CSV表格中。
消息管理功能:
可以在线查看用户状态及其所连接的网络设备信息,对非法用户可以执行发送消息、在线检查、强制下线、关闭端口等操作,也支持对离线用户下发消息。
(5)非功能性需求
1.硬件现场安装调试需求
硬件采购到达现场后,由投标方或生产厂家组织人员进行现场的设备的安装和调试工作。
2.性能需求
1)性能指标
设备正常运行率在99.99%以上。
2)可靠性
系统具有7×24小时的不间断运行,允许在非工作时间对系统进行维护;
3)如果硬件损坏,可以提供应急和替代方案;
(2)项目实施和管理要求
投标人应针对本项目建立实施团队,根据招标文件的要求配备经验丰富并承担过同规模同类项目的项目经理和实施人员。
中标方于发布中标通知书后启动项目建设,并于合同签订后3个月内完成项目的实施、培训、运维移交等工作,正式上线试运行。
投标人应根据实施进度要求制定详细的进度计划,并在规定时间内向招标方提交各个阶段的计划、方案、报告、质量检测、项目进展状态等相关文档。
项目结束后,中标方按照招标方要求把整个系统建设的技术管理文档,系统运行、维护管理体系对应的全部管理规范和管理规定的文档全部移交给招标方。
移交的文档和资料均应以纸张和磁介质(或光盘)为载体,文件格式为可编辑的常用文档格式。
投标人中标后在项目实施过程中需要提交的项目资料应至少包括以下内容:
1)硬件采购、安装阶段:
《硬件采购及进场清单》《硬件调试验收清单》;
2)专家整理数据阶段:
《信息盘点整理清单》、《项目实施计划》等;
3)实施阶段:
《模块配置说明书》、《用户操作手册》等;
4)测试阶段:
《测试计划》、《测试报告》等;
5)验收阶段:
《验收报告》、《培训计划》等;
6)管理类文档:
《工程周报月报》等;
7)其它资料:
中标方必须向项目单位提供所有软件的安装、运行、使用、测试、诊断和维修的技术文件。
(3)知识产权
招标方拥有本项目实施完成的应用软件及其源代码的所有权,以及在实施过程中用到的所有第三方产品和投标人自主版权软件产品在招标方内部的使用权。
项目建设完成后投标人应向招标方移交相关知识产权,应包含但不限于:
项目中产生的各类文档、数据。
投标人对招标方提供的所有业务技术资料、文档,具有保密义务。
投标人在项目实施过程中涉及第三方产品,若出现技术、经济或法律上的纠纷,应由投标人全面承担并全权解决,确保不影响项目的进度。
招标方有权独立享有关于本项目在当地申请科技技术进步成果等奖项的权利。
(4)技术支持与售后服务
(1)技术支持与服务
投标人若中标则应提供系统设计、测试时所需的设计资料、技术服务和技术咨询。
投标人应在技术建议书中详细说明技术服务的范围和程序,应说明本项目的技术服务队伍和实施组织方式、服务模式以及售后服务的开展方式。
(2)项目质保期服务
投标人中标后应提供的软件产品以及进行的实施工作从竣工验收完成之日起的1年内为质保期。
在质保期内,投标人应提供7×24小时的服务响应,并提供技术支持人员的名单和联系方式,保证招标方可以随时找到相应的技术人员。
在质保期内,投标人必须保证在报修48小时内恢复系统的正常运行。
投标人对系统软件服务时应不影响原有应用系统的正常运行和效率,不涉及到对原有应用系统重新设计。
对系统软件的更新及升级时,未经招标方同意,不得改变针对本项目定制的功能。
对于招标方提出的不涉及技术架构调整、较大业务流程变更等的需求,双方经确认后,投标人须免费进行虚拟化系统优化。
(3)质保期后服务
质保期后,投标人仍应根据合同要求向招标方提供技术服务,以合理价格提供招标方需要的系统维护及更新服务。
在系统质保期满后,投标人仍应对所出现的系统故障进行响应。
投标人对于系统的相关维护咨询应免费。
(5)系统培训要求
投标人必须提供高水平的培训,培训应包括各类软件产品,所提供的培训计划表应在应答文件中提交。
所有的培训教员必须用中文授课。
投标人必须提醒被培训人员提前准备培训用计算机、网络环境,投标人必须为培训人员提供文字资料和讲义等相关用品。
所有的资料必须是中文书写。
(1)培训要求
培训对象分为所有最终使用人员、系统运维人员。
培训分为集中培训和分层次培训,集中培训的对象是系统运维人员,分层次培训的对象是系统使用人员以及具有特殊任务的使用人员。
投标人应根据不同培训对象提供不同培训内容,以满足被培训人员所应掌握的知识要求。
对系统运维人员应针对系统涉及的所有产品及系统实施方案进行详细的培训,理解和执行系统管理任务,设置和维护某些选项如配置数据库、管理用户权限等,应能够达到软件的一般性维护、程序的细微调整要求,还应包括系统整体架构、系统日常运行维护操作和故障定位与排除等内容。
对系统使用人员应能够掌握基本操作方法,了解软件结构及其功能,了解模块间的关系,掌握信息查询方法以及报表生成。
培训时间、培训地点和培训人数由投标人指定,后期双方共同协商执行。
(2)培训费用
投标人应将所有培训费用(含培训教材费、应用手册)及各项支出费用计入应答总价,若不列出视为投标人免费提供。
培训费用包括项目单位所在地城市与培训地之间的往返交通费、食宿费用、具体课程的培训费用等。
(3)培训计划
投标人为招标方设计一个专门的培训计划,应在投标技术方案中明确列出培训计划表,培训计划表内容应包括培训内容、培训对象、培训人数、培训天数、培训地点等信息。
升级会员 