网络安全准入系统正式版.docx
《网络安全准入系统正式版.docx》由会员分享,可在线阅读,更多相关《网络安全准入系统正式版.docx(81页珍藏版)》请在冰点文库上搜索。
网络安全准入系统正式版
网络安全准入系统
产品清单:
序号
品目名称
技术规格
数量
1
网络准入控制管理系统
详见附件
1项
2
LIS数据实时备份系统
详见附件
1项
1.网络准入控制管理系统
序号
指标
参数要求
1
品牌型号
★北信源VRV-BMG-FY
2
硬件特征及性能要求
★单台最少支持300个用户数的并发
★应具备液晶显示系统,能实时查看设备的CPU和内存占用情况、系统运行状态以及设备的网络接口IP信息。
硬件支持至少4个千兆电口
支持至少500M的数据吞吐率
单台至少支持双路业务控制
满足7*24小时不间断工作,设备无故障运行时间不低于80000小时
3
注册管理
支持自定义注册信息,要求可以定义必须填写的注册信息项,可根据需要启用/禁用自定义项。
要求可根据需要自定义客户端注册的服务端地址,客户端可自动识别服务端信息并注册。
要求提供终端注册的日志记录功能,并可根据时间、设备名、注册者、IP及动作等关键字进行记录查询。
★应能根据准入客户端保活情况确定客户端的事实存在(未被卸载或者终止进程),保活周期应不高于1分钟(即如若准入客户端被卸载,1分钟内就可以发现)
★准入客户端应支持一对多注册功能,即单一的准入客户端可与多台准入控制硬件设备进行联动,并且可以在每台硬件设备上查看到客户端的注册信息。
★要求支持注册审核管理功能,已注册终端必须通过管理员手动审核通过之后才可以接入网络。
★要求必须支持针对IE、QQ登陆及弹出窗口等web形式的访问提供入网重定向提示,提示进行客户端注册。
4
资产管理
要求支持终端硬件资产统计和查询,统计内容应至少包含CPU、内存、硬盘等基本硬件设备信息以及光驱、显卡、鼠标、网卡、键盘等相关外设信息。
要求支持终端软件资产统计和查询,统计内容应至少包含操作系统版本、操作系统补丁安装情况、IE版本、主机名称、网卡MAC信息以及设备内安装的应用软件使用情况。
★要求支持设备资产信息变化报警,报警未注册设备、注册程序卸载行为,实时检测硬件设备变化情况(如设备硬件变化、网络地址更改、USB设备接入等)。
必须支持对终端计算机软件安装信息的收集,包括当前软件安装信息和历史安装信息。
5
身份认证与安全检查
★要求支持本地认证系统,支持自定义本地用户和密码,支持本地认证用户自行修改密码。
要求支持与Radius认证系统联动进行身份认证,必须支持包含PAP、EAP-MD5、MD5-CHAP等加密认证方式。
支持与AD域服务器、LDAP服务器实现联动认证,并且支持帐户信息的自动同步以及导入导出;
★要求支持与CA认证系统联动实现身份认证,必须支持当前主流CA厂家的认证配套流程
★要求支持认证超时机制,超时帐户强制自动登出,要求超时时间可以自行配置。
必须支持帐户超期统一登出机制,登出时间可根据需要自行设置。
要求支持帐户尝试登录限制,要求尝试登录次数可进行配置,尝试登录失败可锁定帐户,锁定时间可按需配置。
★要求支持帐户角色绑定功能,不同用户帐户继承所属角色的访问权限以及安检要求。
★要求支持安检规范定义配置功能,可根据角色属性定制不同的安检规范,安检规范应至少包含杀毒软件安装情况检查、补丁漏洞检查、系统共享资源检查、IE主页修改项检查、guest来宾帐户启用情况检查、远程桌面启用情况检查、系统启动项检查、系统进程检查等。
★要求支持安全域控制功能,可根据角色属性定制不同的安全域,用户认证成功后,安全域角色控制功能自动生效,相关角色帐户只能访问指定的安全控制域。
要求支持认证日志记录和查询功能,可根据认证帐户、认证起止日期、认证起止时间、认证动作行为以及IP地址等组合因素查询认证日志信息。
★要求支持未认证通过用户入网时进行阻断,能够提供web重定向提醒,并说明入网阻断原因。
★要求支持对身份认证通过后的用户终端进行安全检查,并对安检进度提供进度条提示,未通过安检的终端给出未通过项提示并阻断入网,支持安检未通过一键修复功能。
6
准入控制
要求支持基于源IP设置准入控制白名单,并且支持基于源IP设置准入控制流程。
★要求支持基于目的IP设置准入控制白名单,对白名单范围内的目的IP不进行准入控制。
★要求必须支持串接和镜像监听部署模式。
★要求必须支持支持策略路由、旁路干扰、透明串接、虚拟网关等多种准入控制模式。
★要求支持基于终端心跳和终端水印认证双重准入判断,自动发现采用NAT模式入网的终端并强制认证。
★要求支持准入策略制定功能,可根据访问IP源、目的域以及准入流程进行策略制定,目的域需是IP、端口以及目录的组合
★要求支持准入流程差异化控制,可根据准入策略控制终端仅注册、仅认证、注册及认证、注册认证及安检等差异化准入控制策略。
★要求不依靠准入网关实现未安装桌面安全管理软件终端不能访问已安装桌面安全管理软件终端的功能,但已安装桌面安全管理软件的终端之间可以实现互访。
★要求必须支持认证的终端在发生违规操作时必须二次认证。
要求支持对路由、无线、AP、HUB等环境下的终端实施准入控制,支持对IPHONE、IPAD等非windows操作系统的终端实施准入控制。
要求支持采用丢包、ACL、TCP连接干扰以及动态VLAN切换等方式实现准入控制
7
交换机管理
★应能提供管理交换机的模拟视图,根据交换机的端口数量自动生成交换机的模拟视图,并能通过交换机模拟视图确定端口的物理开启/关闭情况。
★应能提供交换机端口的统计列表,统计内容包含交换机端口名、初始VLAN、当前VLAN以及端口的开启/关闭情况。
★应能针对具体的交换机端口手动配置端口的当前VLAN以及VLAN的映射关系,当终端所在交换机端口处于某种状态时可自动将端口VLAN切换到映射VLAN,支持一键初始化交换机所有端口VLAN。
8
访客控制
要求支持外来终端或者访客初次入网阻断,并给出入网指导提示
★要求支持外来终端或者访客自助申请上网码,只需要提供管理员要求提供的入网申请资料,便可申请上网码,要求支持管理员自定义入网申请内容。
★要求支持访客自助查询上网码功能,访客提交入网资料并经管理员审批通过后,可以自助查询上网码。
★要求支持访客上网码自动分配和手动分配模式,针对手动分配模式,可提供访客申请入网邮件提醒功能。
★要求支持访客上网码短信审核功能,管理员无需登录管理平台,只需回复短信就可以对访客入网进行审核。
要求支持设置访客入网的截止时间,时间截止后自动阻断访客接入网络。
★要求支持访客超时帐户处理,对于超时访客帐户,可设定自动清除机制,到期自动删除超时访客帐户
9
系统监控
要求支持对系统本身业务接口的连接状态以及接口速率进行监控,支持对系统本身的CPU以及内存使用率提供仪表盘式图形化实时监控数据,支持数据自动刷新。
支持根据时间段对终端在线情况提供趋势图表,可以根据终端注册状态进行区分显示,支持最近一小时,最近一天,最近一周,最近一月的统计区间;
★支持对终端的安检状态进行逐项统计,能够统计每条安检项的通过/不通过次数,支持通过深度钻取记录每条安检项的终端通过/不通过日志;
★要求支持对在线终端状态提供图形化实时分析报表,分析内容至少包含接入设备、待审核设备、注册设备。
★要求支持对在线终端识别出认证设备、访客设备、入网设备、白名单设备、隔离设备、离线设备等不少于6种状态。
★要求支持分析结果深度钻取功能,对不同状态的终端分析结果进行深度钻取获取终端的IP列表。
要求支持终端重新注册、重新认证、重新安检或者一键隔离,并可在终端分析结果中进行设置。
10
系统安全
产品采用自主研发的专业实时操作系统,系统内核应该专为准入控制功能设计,便于减小系统开销,提供优异的准入控制性能,不基于任何现有公用操作系统平台(例如:
windiows、linux、unix)。
要求设备提供内置旁路模块,在设备发生异常的情况下能够快速切换到Bypass模式,从而有效地保证网络链路的畅通。
要求支持多种逃生模式,至少支持交换机策略路由逃生模式和系统一键软旁路逃生模式。
11
系统管理
要求支持基于s的B/S架构管理、支持基于SSH的命令行操作管理界面、支持基于serial串口的设备后台管理模式
要求支持自定义系统管理员,支持管理员角色定义,支持三权分立的管理员角色管理,支持管理员密码复杂度设置,支持管理员帐户登录尝试次数限制和超时限制,其中尝试次数和时间都可以根据需要进行自定义。
★要求支持级联管理员功能,在部署一台设备的情况下,可以根据IP范围建立多个级联帐号,级联管理员只能查看和管理自己IP范围内的数据;
要求支持系统配置备份、导入和导出,支持一键初始化系统配置
★支持邮件或者短信告警机制,支持与短信网关联动,当出现访客或注册待审核信息、设备违规信息、帐号到期、帐号尝试次数超限锁定等情况,可以以邮件或者短信告警的方式通知管理员
★支持系统界面皮肤设置,系统应支持至少不少于7种皮肤,并可根据星期模式、时钟模式自动切换界面皮肤
★支持OEM自定义功能,提供OEM设置接口,管理员可随意更换页面LOGO以满足自身要求。
要求支持系统信息查询,查询内容应包含硬件处理器、内存、硬盘、当前登录管理员、系统时间以及系统当前已运行时长等相关信息,支持查询系统软件序列号、过期时间以及当前系统的软性能参数信息。
支持系统在线升级,支持系统使用手册在线下载
要求提供人性化的日志接口,支持记录所有的管理员操作日志,包括管理员的登录日志、系统操作日志以及各种类型的策略设置日志等信息,日志信息内容简单易懂,方便分析定位故障。
12
★服务要求
支持系统、应用协议库、URL地址库的在线自动升级;采购结果公示前出具原厂针对此项目的授权函及三年售后服务承诺函;本次安全产品涉及网络安全,中标产品厂商提供原厂技术支持人员进行标书要求的安全功能验证测试。
2.LIS数据实时备份系统
品牌型号
1.★上海浪擎实时备份系统
兼容性要求
2.支持WINDOWS/LINUX/UNIX操作系统,满足对32/64位平台及应用;
3.支持Unix平台下Oracle、OracleRAC、Sybase、DB2等大型数据库在线备份,例如:
AIX、HPUX下Oracle在线备份;
4.支持文件、SQLServer、Oracle、MySQL、Sybase、DB2等数据定时、实时复制、手动任意时间点和版本恢复、实时恢复容灾等丰富功能,无备份时间点、备份存储空间限制;
5.支持操作系统在线完全或增量备份;支持VMware和Hyper-V主流版本虚拟机的全量和增量备份恢复;
6.★无需主备端数据库文件存储路径一致,提高部署灵活性;
★虚拟化要求
7.支持服务器Windows操作系统进行备份;支持对整个逻辑磁盘的备份;支持操作系统裸机恢复、异机还原;
8.支持对VMware虚拟机进行在线整机备份,而无需在虚拟机内部安装软件;
9.支持虚拟化,支持将物理机数据复制至虚拟机和将虚拟机数据复制至物理机;灾难发生时可无需数据恢复阶段,即可替代生产机提供业务支持;绝对保障数据库自身的一致性
可靠性要求
10.★备份端的SQLServer、Oracle可以处于在线运行状态,以备日常检验备份数据、审计,保障数据备份可靠运行;
11.★支持SQLServer、Oracle数据库Checkpoint一致性点检测保护技术,数据库能恢复到稳定的一致性点,保障容灾数据库的稳定性;
数据实时保护
12.支持数据库容错,容灾软件能够保存任一数据块级别的数据更改,并提供记录着所有历史数据状态的动态恢复日志,当数据被损坏或被误删除时,可以手动恢复到一个好的状态;
13.支持文件系统的压缩以及重复数据删除和过期数据清除功能,提高数据的存储利用率;
数据恢复
14.★支持备份端数据实时恢复,使业务运行不中断;
15.支持备份端数据任意时间点恢复,异机恢复;
16.支持操作系统、应用环境的裸机或异机恢复;
数据备份技术
17.具备定时全量复制和实时、定时增量复制技术,实现定时将增量I/O块与全量数据合成差异版本,以优于CDP历史全量版本叠加增量I/O块备份恢复技术的方式进行备份端存储数据,避免数据恢复时增量I/O块叠加失败的风险;
18.为保障SQLServer、Oracle等数据库的稳定性,备份软件必须采用实时日志备份方式;
★售后服务
19.采购结果公示前提供原厂技术支持人员进行标书要求的安全功能验证测试,合同签订前必须提供壹年原厂7x24小时质保和现场服务承诺函原件;系统序列号对应最终用户名:
宁波市鄞州区妇幼保健所
税收与网络安全
各位领导、同仁,大家下午好。
今天我就税收与网络安全的话题与大家做一些交流与讨论。
近年来,国税系统税收信息化建设取得长足进步,可以毫不夸张地说,网络已经成为国税系统的“生命线”,信息化已经成为国税事业赖以生存发展的强大支撑。
税务网络作为重要的征管、办公基础设施,担当着税收征管、日常办公、管理和数据交换等许多任务,网络安全状况直接影响着税务系统的征管活动。
下面我从三个方面简要做一个介绍。
一、日常生活网络安全
税收是大家的职业,这个不用说了,什么是网络安全?
XX百科输入“网络安全”的词条后,是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
网民:
半年内使用过互联网的6周岁及以上中国公民。
该词条诞生于1998年7月8日。
可以说我们每个人都是网民,互联网的网络安全和我们每个人都息息相关。
我国网民的数量逐年递增。
从2021年的4.75亿人到2021年的6.32亿人,中国已经成为世界上网民数量最多的国家。
下面请大家观看一个公益小短片。
这个短片虽然也是阿里巴巴的一个小广告,但支付宝的运用确实大大方便了我们的日常生活,我们现在的生活已经离不开各种网络科技的运用。
下面在我国互联网发展历程中抽取一些重要节点介绍一下。
1987年9月14日,钱天白教授发出我国第一封电子邮件“AcrosstheGreatWallwecanreacheverycornerintheworld.(越过长城,走向世界)”。
1992年12月底,清华大学校园网(TUNET)建成并投入使用,是中国第一个采用TCP/IP体系结构的校园网。
1993年3月12日,朱镕基副总理主持会议,提出和部署建设国家公用经济信息通信网(简称金桥工程)。
1995年3月,中国科学院完成上海、合肥、武汉、南京四个分院的远程连接(使用IP/X.25技术),开始了将Internet向全国扩展的第一步。
1996年2月27日,外经贸部中国国际电子商务中心正式成立。
1997年12月30日,公安部发布了由国务院批准的《计算机信息网络国际联网安全保护管理办法》。
2014年2月27日中央网络安全和信息化领导小组宣告成立。
14年11月24日首届国家网络安全宣传周在京召开。
当晚,中共中央政治局常委、中央书记处书记、中央网络安全和信息化领导小组副组长刘云山在启动仪式上发表讲话,参观了网络安全公众体验展。
听取了我国最大的网络安全公司360公司总裁齐向东关于中国网络安全威胁地图的相关介绍。
刘云山强调,要不断增强全民网络安全意识,为建设网络强国提供有力保障。
在充分享受互联网种种便利的同时,也要清醒的看到,网络攻击、网络诈骗网络侵权时有发生,网上黄赌毒、暴力恐怖、网络谣言等有害信息屡禁不止,严重危害国家安全,损害人民利益。
维护网络安全,规范网络秩序,已成为广大群众的共同呼声。
根据2021年互联网安全大会的数据,每天20亿人使用互联网,发生网络攻击2亿次,网络安全的重要性日益凸显。
就像我们对《哈利波特》以及各种魔法系小说和游戏中描绘的世界所理解的那样,魔法师有白袍、灰袍和黑魔法师,网络黑客的世界也分为白帽子、灰帽子和黑帽子几个不同流派,行事风格各不相同。
白帽子,是指在网络安全技术的研究者,他们对电脑系统比如语言、TCP协议等有比较高的造诣,精通攻击和防御,同时头脑里具有信息安全体系的宏观意识。
白帽子是相对比较正面的黑客,他们可以识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是公布其漏洞。
这样,系统管理员可以在系统被攻占、利用之前进行查漏补缺。
灰帽子,他们擅长攻击技术,但不轻易去造成破坏,他们精通攻击与防御,同时头脑里具有信息安全体系的宏观意识。
黑帽子,也就是Hacker,他们研究攻击技术的目的就是惹事生非。
下面大家可以谈谈你们日常生活中所涉及到或者了解到的网络安全问题。
日常网络安全小贴士:
使用强口令、文件必须安全存储、临时离开请及时锁屏或注销、杀(防)毒软件不可少、个人防火墙不可替代。
不打开来历不明的邮件或附件、不要随意浏览黑客、色情网站、警惕“网络钓鱼”、聊天软件的安全、移动设备的安全。
我们抽取两个小贴士简要的描述一下:
使用强口令:
一个好的强口令就是足够长、足够复杂、没有规律,难以猜测。
但在现实生活中,好的强口令不仅仅是对黑客和别有用心的人难以猜测,在提供安全性的同时,由于其复杂性有时也会给我们带来麻烦,在计算机用户日常工作中最经常碰到的问题就是忘记口令。
我们的各类办公系统都有密码设置,大家要创建一些易记忆.但难以猜测的强口令,例如渠牧用儿子生日作为密码,安全性太差。
李辉的“g,szsg.”(高,实在是高。
),如果可以变换大小写,那么安全系数将更高。
大家可以找一个句子,然后有规律的从中选择出字符组成口令。
但是归根结底,你们要把自己的密码保护好,像他们这样让我知道了密码,那密码设计的再复杂都是徒劳。
移动设备的安全:
我们的办公电脑都是内外网分离的,移动设备插口也是分内外网连接的,在使用移动设备时不要公私不分、内外不分,使用前,一定要进行杀毒,对敏感数据要进行加密存储。
有些同事使用的是笔记本电脑,也要关闭所有无线设备(包括无线网络和蓝牙)。
二、税收信息化当前形势
国内篇:
2014年8月1日,国家税务总局在武汉召开了“国家下一代互联网信息安全专项--过渡期网站安全防护研发与应用试点工程”初步验收会。
湖北省地方税务局搭建的新型电子税务局,包括涵盖税务机关通过业务专网办税和纳税人通过互联网自助办税的电子税务局业务平台,基于第三方数据共享的税费征收保障平台,优化纳税服务的线下派送服务、税费缴纳和纳税服务平台等几大模块,可以完成税务局全部业务职能,为纳税人提供更加方便、快捷、优质、安全的电子化、智能化服务。
通过基于下一代互联网的新型电子税务局,IPv4和IPv6纳税人都能够随时随地网上纳税,不再需要上班时间去税务局排队;打开“易税”软件,精准接收个性化涉税信息和最新政策;通过NFC、二维码存储及电子报送等递送方式,简并资料、简化程序、优化流程;信息一次采集,全程使用,多项业务免填单,同城通办;税费缴款渠道更多样,支付宝、财付通、微信等第三方支付手段,随时支付。
大数据环境下,如何利用先进的技术提高我们的工作效率与工作质量是摆在我们面前的一大课题。
我们江苏国税就是在面对这一新课题时,开辟税收工作数据化的崭新道路,自主研发税收数据情报管理平台。
它是基于数据仓库技术,集成了数据加工、数据分析等工具,实现了情报交换、一户式全景展示等应用功能。
截至目前集中存储15个内部业务系统和58个外部部门的124亿条数据,能够对各类数据进行一户式归集和全景式展示,实现对相关风险的准确识别和精确制导。
依托平台,完成101个行业风险建模工作,建立200余个风险监控指标,有效堵塞管理漏洞,降低执法和廉政风险。
2014年10月30日江苏省国家税务局正式开通政务微博微信,政务微博名、政务微信名都是江苏国税,有兴趣的可以来扫一扫微信二维码。
国际篇:
(一)美国税收信息化建设情况。
美国从上世纪60年代起逐步在全国范围内建立了税收征管网络,实现了从税收预测、税务登记、纳税申报、税款征收、税务稽查、税源控制到纳税资料的收集、存储、检索等一系列工作环节的信息化。
在税收信息化的建设过程中,重视先进技术的运用,是美国的一大特色。
如1999年,美国开始运用信用卡技术,支付预估的税款;2000年,美国开始采用顾客账户方式,纳税人通过国税局电子报税系统支付的税款可以直接从其银行账户中扣除。
近期,美国又在新的征管软件中启用了数据挖掘信息技术,极大地保障了信息的真实性,减少了偷漏税现象。
(二)澳大利亚税收信息化建设情况。
澳大利亚已在全国税务机关内部全面运用计算机系统管理纳税申报,办理出口退税等日常工作,并实现了与政府相关部门如海关、工商、保险、金融及大企业的网络互联,有效地对税源进行控制,有针对性地开展税务审计。
另外,在安全方面,澳大利亚税务系统也采取了一些措施,如为防止灾难性毁坏而设计建立了数据库备份运行系统,以备不时之需。
在保密机制上,采用了口令或密码、电子通行证等机制,同时使系统具有屏幕保护功能、权限保护功能和追踪查询功能。
(三)意大利税收信息化建设情况。
在欧盟国家中,意大利拥有最成功、最大的税收信息管理系统——ITIS(ItalyTaxInformationSystem)。
财政部通过ITIS对全国税收工作进行管理,同时,通过公用数据网实现税收环节相关部门的信息交换和资源共享。
ITIS包括16个子系统,主要有:
税务登记注册系统、所得税子系统、增值税子系统、税务检查子系统、技术支持与培训子系统等。
这些子系统相互配合、相互辅助,各种资料集中存放,各地区、各系统之间十分频繁地进行信息交换,构成了遍布意大利全国的税务信息网络。
(四)日本税收信息化建设情况。
日本的税收信息管理系统也有其自身的特点。
首先,国税局及税务署的系统根据征管工作的需要统一开发运行。
国税局接收税务署传送的纳税人信息,并对银行传送的税款入库信息进行核对后,再传送给税务署。
后者采用统一的定型统计,从而实现了国税局与税务署系统在统一的状态下运行。
从国内及以上四个典型国家的税务信息化现状可以看出课税对象多元化、财务信息无纸化、结算支付电子化、税收区域国际化、税收征管手段网络化、税收申报方式多样化、税收宣传多样化。
这是互联网对税收工作的七大影响。
而网络上运行的关键税收信息系统逐年增多,并呈现出以下发展趋势:
一是流程逐渐整合,随着税收管理系统不断发展升级,管理系统流程不断优化。
二是服务逐渐延伸,网上办税业务快速发展,为纳税人服务手段不断丰富。
三是数据高度集中,信息管税对管理决策提供支撑。
四是税收业务专网规模庞大、结构复杂,税务部门与外部单位的联网快速增长。
五是税务系统规模庞大,总局、省、市、区、所五级联网,用户量大。
随着电子税务的不断发展,税收业务对互联网的依赖程度越来越高,税收信息系统面对的信息安全风险愈发复杂,税务信息系统安全工作面临的挑战更加严峻。
一方面,规模庞大、影响广泛的税务信息系统,特别是网上办税系统,可能成为众多网络黑客的攻击目标,外部威胁日益增长。
另一方面,税收业务对信息技术的依赖程度逐步提高,数据高度集中,依托互联网运行的业务逐年增多,外部信息交换不断扩展,对税收信息数据的安全性提出了更高的要求。
各级税务机关内网是全国税务系统重要的组成部分之一,承载着税收业务、行政办公等类业务应用系统。
内网连接着全国所有的省级国税局和地税局,我们把这种连接称为纵向连接;内网还连接着人民银行、海关、公安、质检、市委市府等其它机构,我们把这种连接称为横向连接。
外网连接着互联网,承载着网上办税系统和12366税收服务系统,向广大纳税人和社会提供纳税申报、税款征收和税收政策咨询等服务,还承载着电子邮件等互联网应用系统。
一旦疏于防范互联网风险很可能引入内网。
纳税人服务、征收管理
升级会员 