7数据中心安全 2Word格式文档下载.docx
《7数据中心安全 2Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《7数据中心安全 2Word格式文档下载.docx(75页珍藏版)》请在冰点文库上搜索。
部署数据保全系统,保障数据备份的有效性和可用性。
11、在互联网入口部署上网行为审计系统规范上网行为。
12、在互联网出口部署数据防泄漏系统,对外发文件进行保密和合规性检查。
13、在互联网出口部署防病毒网关。
14、为保证数据中心服务器主机系统安全新购10套主机安全增强系统。
15、为保障全省广域网核心路由器运行安全,新购一年期广域网路由器维保服务。
16、对招标人进行重要信息系统安全保护人员培训。
(四)安全服务要求
1、开展信息安全全面梳理工作。
从应用系统、信息资产、基础架构、规章制度、应急保障等五个维度对信息系统进行梳理,从等级保护、重点环节、安全风险三个方面对信息系统进行诊断,针对发现的问题制订加固整改方案,评估加固效果。
2、信息系统安全评估。
在结束项目部署后对山东省高级人民法院信息系统提供周期性风险评估,评估重点是新上线信息系统。
诊断和评估内容应包括安全技术评估、安全管理评估、符合性检查、整体网络安全检查、漏洞扫描、渗透测试等。
3、协助完成信息安全加固。
针对信息系统安全评估中发现问题的脆弱性严重程度及对业务风险的高低进行综合分析,提出的削减风险的技术与管理的安全建议与措施,协助对信息系统进行安全加固,提高安全性和抗攻击能力。
4、定制化安全数据整合分析与驻场服务。
驻场期间对项目的软硬件产品提供运维及数据分析,动态的安全策略优化,能够基于大数据工具出具个性化数据分析报表及巡检报告。
5、提供周期性数据备份和恢复演练服务。
按照国家相关标准协助招标人制定数据中心灾难恢复预案,落实灾难恢复演练,并依据灾难恢复预案和预定程序,检验灾难恢复能力。
6、提供数据中心安全故障恢复服务。
在故障或灾难发生时,将信息系统从故障或瘫痪状态恢复到可正常运行状态,将其支持的业务功能从不正常状态恢复到可接受状态。
7、开展信息安全培训。
对招标人相关的技术人员提供免费现场产品及安全技术培训。
(五)项目预算
建设预算580.61万元。
(六)项目建设地点
建设地点:
省法院网络中心机房。
二、设备清单及技术要求
1、投标人应提供本次投标所涉及设备及系统的技术指标彩页。
2、投标人应该保证所提供材料的真实性,保证所投产品能够满足所有技术要求,采购人将保留对相关材料进一步核查的权利,若发现投标人中标方案中存在虚假信息,将中止合同执行,并追求其法律责任。
投标设备及系统需满足下列技术要求:
序号
设备名称
技术指标要求
数量
1
云数据中心防火墙
与数据中心SDN控制系统实现自动交付对接开发,实现云管理软件对虚拟机安全防护系统的自动分配与安全业务配置,实现数据中心核心业务系统虚拟机的安全隔离防护
虚拟机安全防护系统对接开发要求:
1.支持VXLAN,实现与虚拟化管理软件中所有vSwitch、现有数据中心交换机配合,实现数据中心SDNVxLAN网络部署,业务虚拟机安全服务编排
2.支持CLI、Netconf、SNMPMIB、TCL脚本等对外接口,实现SDN控制系统配置信息的对接及相关功能配置
★虚拟机安全防护系统平台要求:
1.采用控制、数据、业务相分离的全分布式架构,主控引擎、业务引擎、交换引擎、接口单元均硬件槽位分离,所有主控引擎、交换引擎必须支持热插拔
2.配置冗余主控引擎,满配交换引擎,所有交换引擎必须为独立形态(非主控集成),占用专用的硬件槽位,独立交换引擎N+1冗余,N≥3;
配置冗余交流电源模块,非外置电源框扩展,电源M+N冗余,整机电源数量≥4;
支持100G、40G、10G、GE端口,配置10G光口≥32个,配置10G多模光模块≥4个,支持1个物理接口可以同时属于不同的虚拟防火墙;
配置业务引擎及接口单元占用总业务槽位数不高于总业务槽位50%
3.主控故障或切换时设备最大转发性能不受任何影响,支持双引擎快速倒换,实现50ms的引擎故障主备切换时间,支持热补丁功能,可在线进行补丁升级,支持静态链路聚合、动态链路聚合LACP,支持跨板链路聚合、跨设备链路聚合
4.支持安全集群,配置两台物理设备虚拟化为1台逻辑设备所需要的软硬件,设备集群后能完全作为1台设备来统一配置管理;
支持不同型号设备之间进行集群
5.业务引擎能够资源池化管理、支持即插即用;
支持智能分流:
无需配置ECMP、链路聚合等策略来负载分担流量,无需配置哪些流量交给哪个业务引擎处理,无需手工控制某些会话的两个方向在指定业引擎处理
6.通过一个串口/IP即可进行虚拟机安全防护系统管理,在统一管理界面上能监控并管理所有业务模块
虚拟机安全防护系统防火墙虚拟化功能开发对接要求:
1.支持将1台设备虚拟化为多台设备使用,可为虚墙划分各类硬件资源(至少包括CPU、内存、存储空间),支持网络虚拟化(如IP、VLAN、VRF资源);
虚拟防火墙可以按需启动、停止,设备上可以查看到虚拟防火墙状态,每个虚拟防火墙支持VRF数量≥1000个
2.本次配置虚拟防火墙≥256个,整机虚拟防火墙数≥768,本次配置的所有虚拟防火墙总吞吐量≥100G(虚拟防火墙性能在30M-30G区间可调)
3.整机最大吞吐量≥640G,GRE隧道性能≥120G;
并发连接数≥2.4亿,每秒新建连接≥300万
虚拟机安全防护系统虚拟防火墙功能要求:
1.支持IPv4、IPv6静态路由、等价路由、策略路由,以及BGP、RIPv2、OSPF、ISIS等动态IPv4路由协议,支持BGP4+、OSPFv3、ISISV6等动态IPv6路由协议
2.支持IPV6OverIPV6orIPV4、IPv6overIPv4manual、IPv6overIPv46to4、IPv6overIPv4ISATAP、DS-LITEAFTR隧道技术,支持NAT64、DNS64、ALG翻译技术
3.能够防范DOS/DDOS攻击:
Land、Smurf、Fraggle、WinNuke、PingofDeath、TearDrop、IPSpoofing、SYNFlood、ICMPFlood、UDPFlood、HTTPFlood(cc)攻击、ARP欺骗、TCP报文标志位不合法、超大ICMP报文、地址扫描的防范、端口扫描的防范、DNSFlood、ACKFlood、FINFlood、分片Flood、Tiny-Fragment
4.支持扩展IPS防护功能:
支持阻断/丢弃/允许/断开/重定向/捕获/日志;
支持重定向报文、支持单独或组合配置特征动作;
支持对黑客攻击、蠕虫/病毒、木马、恶意代码、间谍软件/广告软件、DoS/DDoS等常见的攻击防御;
支持缓冲区溢出、SQL注入、IDS/IPS逃逸等攻击的防御
5.支持防病毒功能扩展:
支持基于流特征的病毒检测,基于文件的病毒检测,支持特征库手动、自动升级,支持病毒日志记录、病毒统计报表,可以查杀的病毒类型:
Backdoor、Email-Worm、IM-Worm、P2P-Worm、Trojan、AdWare、Virus等,支持病毒日志和报表
6.支持ICMP、TCP、FTP、HTTP、SSL、DNS、Radius、SMTP、POP3、RTSP、IMAP4、SNMP、SIP、ARP、UDP健康检查算法
7.支持4层服务器负载均衡、7层服务器负载均衡扩展:
支持HTTPProxy、TCP连接复用、SSL卸载、应用层优化、ISP选路、智能DNS解析、DNS代理
2
虚拟化杀毒软件
1、提供基于虚拟化系统底层的病毒、木马防护功能。
实配40颗CPU,三年服务,支持H3C、VMware、KVM等多个虚拟化平台。
2、单一防病毒扫描引擎可以跨物理服务器为虚拟机提供保护,不受物理服务器的限制,无须在每台物理服务器上部署单独的防病毒引擎,以节约服务器资源、降低性能开销。
3、为保障关键应用的业务连续性和虚拟化平台运行的稳定性,要求在软件部署过程中,不得重启物理主机,虚拟系统无需进入维护模式。
4、病毒扫描服务器具备HA能力,当主扫描服务器出现故障无法工作,备份扫描服务器可以继续进行病毒防护。
5、能够提供病毒监控、防病毒、防木马、入侵防护、反网络攻击等功能。
能够自动识别虚拟服务器或虚拟桌面系统,提供不同的防护功能,支持Windows、Linux系统虚拟机。
6、产品具备共享缓存模式(只对虚拟系统中出现的相同数据进行一次扫描),以大幅减少扫描时间和资源占用。
具备主机入侵防护和虚拟补丁功能,响应可疑网络传输行为,阻止漏洞和零日攻击。
7、可提供深度包检测功能,对各种常用压缩格式文档中的病毒能有效的检测和清除,支持2000种以上存档和压缩格式,并能对任意层数压缩文档进行扫描操作(至少20层以上)。
可以对rar、zip、cab、arj等压缩格式的病毒做到包内清除。
8、可基于IP地址、传输方向、端口、传输协议、应用程序网络行为创建防火墙规则,可为每个虚拟机设定不同的规则。
9、产品具备对可疑文件删除操作进行回滚,文件可恢复到原始状态。
具备文件完整性检查和启发式检测功能,可对打开文件、运行进程、静态文件等进行未知威胁检查和HTTP、FTP协议的检测。
支持扫描内存和正在运行的文件,能够扫描和清除内存和文件中的病毒和蠕虫。
10、产品具备邮件协议防御功能,支持标准邮件协议POP3/SMTP/IMAP/NNTP。
可以同时保护数据库服务器,邮件服务器、文件服务器、备份服务器、存储服务器等。
11、产品支持在招标人内网部署私有云杀毒服务器,从而加强对未知威胁的防护和处理能力。
12、★支持多平台统一管理,管理中心支持对无代理、轻代理、物理(Windows、Linux、Mac系统)、移动终端(Android、iOS系统)等多个安全防护产品,实现多平台、多产品的统一管理。
管理控制中心具备网络扫描功能,快速锁定未被保护的虚拟机。
支持报告定制,包括内容、时间、图形、LOGO等。
13、产品必须是“中央政府采购网”中的杀毒软件入围品牌、山东省政府采购协议供货杀毒软件入围品牌。
3
网络端点杀毒软件
★1、在招标人原有网络端点杀毒软件基础上扩容升级,提供一个管理中心/800用户授权,包含三年版本、病毒库、杀毒引擎免费升级。
2、要求支持常见的操作系统平台,客户端至少包括:
WindowsXP/Vista/7/8/10(32位与64位),服务器版至少包括WindowsServer2003/2008/2012(32位与64位)、CentOS、RHEL、Novell,FreeBSD等系统。
3、提供防病毒、防木马、反垃圾邮件、防火墙、反网络攻击等多重安全防护。
4、管理方式不得采用建立在被攻击最多的IIS基础上的WEB管理方式,应采用基于C/S架构基于微软MMC管理。
管理中心具备资产管理功能,可以对全网计算机的软、硬件资产进行统计,生成软、硬件资产报告。
5、服务器版具备防火墙、反网络攻击和病毒爆发监控功能,一旦客户机连接异常,可以迅速发出报警或隔离被感染的计算机,服务器版本在安装过程中不得重启。
管理控制台可以安装在windows7、windowsXP操作系统上。
6、要求客户端的网络代理通讯软件和客户端的防病毒软件分开安装,两者不能集成。
7、提供丰富的报表和查询功能,可以查询、统计软件运行的活动状态、病毒查杀日志、系统漏洞日志、外接设备使用日志、邮件防护日志、系统帐号日志等功能。
8、提供终端日志审计功能,通过生成报表的形式,提供U盘使用记录等日志。
9、为保证防病毒系统与操作系统的兼容性,不误杀系统文件,不与其他常用软件发生冲突。
10、为便于维护人员的管理,要求软件支持操作系统及第三方软件的漏洞扫描、补丁远程推送、软件分发、软硬件资产管理等功能。
11、反病毒数据库条数少要达到750万条以上。
12、要求防病毒软件必须具备针对XP系统特殊的安全防护功能,支持提供系统加固、启用系统监控及漏洞入侵防护系统,通过为XP系统提供类似于虚拟补丁的方式阻断病毒的传播。
4
广域网万兆下一代防火墙
★1、基本要求:
设备硬件平台采用先进的多核处理器全并行架构,非X86多核或ASIC架构,多核核数≥10个;
配置1个CON接口,不少于1个USB口,不少于6个千兆电口(至少1对bypass接口),不少于4个SFP接口和2个万兆SFP+接口(配置2个SFP+单模万兆光模块);
不少于4个通用扩展板卡插槽,最多可扩展到40个千兆接口和18个万兆SFP+接口;
支持POE接口,最大可扩展8个POE接口,支持扩展bypass接口,最大可扩展16个bypass接口,配置双冗余热插拔电源。
2、性能要求:
吞吐量不少于25Gbps,IPS吞吐量不少于6Gbps,防病毒吞吐量不少于5Gbps。
IPsecVPN吞吐率≥12Gbps,最大并发不少于1200万,每秒新建连接不少于35万;
最大IPsecVPN隧道数≥20000,SSLVPN并发用户数可扩展到至10000个。
3、功能要求:
支持透明、路由/NAT工作模式和基于三层交换技术的混合工作模式;
支持根据安全域、IP地址、MAC地址、域名、协议、端口和时间等对IP数据包进行控制;
支持双机热备、端口聚合、IPV6、虚拟防火墙功能;
支持对3000种以上应用的识别和控制,包括200+移动应用;
支持非等价链路的智能链路负载均衡,包括出站动态探测、TCPTrack、入站SmartDNS,支持虚拟路由器且具备独立路由表,支持虚拟交换机且具备独立MAC表;
实现单个公网IP的无限地址转换,支持NAT地址可用性探测,支持NAT公网地址池中IP有效性检测,避免因NAT地址无法使用导致业务中断;
可扩展入侵防御、流量控制和防病毒等功能;
支持对设备自身CPU使用率、内存使用率、存储空间、机箱温度、CPU温度、新建连接数、并发连接数、接口流量等资源的主动检测,计算全网健康指数,生成检测报告;
支持IPSecVPN、SSLVPN、L2TPVPN、GREVPN、L2TPoverIPSecVPN、GREoverIPSecVPN、HubandSpoke、Dial-up等VPN组网,要求支持IPv66to4、IPv44to6隧道配置,严格遵循RFC国际标准,其支持的算法必需包括3DES、AES128、AES192、AES256,SHA-256、SHA-384、SHA-512。
5
公有云出口边界下一代防火墙
1个CON接口,不少于1个USB口,不少于5个千兆电口,不少于4个千兆光口,接口支持GE/SFP模块(至少配置2个SFP千兆光模块)。
吞吐量≥6Gbps,最大并发连接数≥220万,每秒新建会话≥8.5万;
AV吞吐量≥600Mbps,IPS吞吐量≥1Gbps,IPsecVPN吞吐率≥1Gbps,最大IPsecVPN隧道数≥1000,SSLVPN并发用户数可扩展到至500个。
支持NAT端口扩展技术,单IP可支持N*64500个并发连接;
支持对设备自身CPU使用率、内存使用率、存储空间、机箱温度、CPU温度、新建连接数、并发连接数、接口流量等资源的主动检测);
6
千兆边界下一代防火墙
★1、产品具备病毒防御、入侵防御、应用识别、网站分类库过滤、IPSECVPN功能并具有良好的扩展性,可以支持扩展APT防御功能;
配置不小于6个10/100/1000Base-T电口和4个SFP光口(配置2个SFP千兆多模光模块),防火墙吞吐量大于等于8Gbps,最大并发连接数大于等于280万。
2、支持路由、交换、混合、工作模式,支持静态路由、策略路由模式,支持802.1q、QinQ模式,支持IPSECVPN接入,支持智能DNS功能,有效提高用户跨网访问效率;
支持DNSDocting,能够将来自内部网络的域名解析请求定向到真实内网资源,降低路径开销,提高访问效率;
3、支持ICMP、Traceroute、TCP、HTTP、DNS等多种链路质量探测方式,用户可以根据探测结果有效判断链路质量;
通过HTTP链路质量探测方式,探测结果可以提供DNS解析响应时间、TCP建立连接时间、HTTP交易时间等;
通过TCP链路质量探测方式,探测结果可以提供TCP建立连接时间等;
通过DNS链路质量探测方式,探测结果可以提供DNS解析响应时间等;
4、支持IPv4/IPv6双栈工作模式,支持IPv6安全控制策略设置,支持基于IPv6的应用层检测(FTP\TFTP)、病毒过滤、IPS检测;
5、内置强大的用户身份管理系统,支持RADIUS、LDAP、证书等多种认证协议和认证方式;
6、内置强大应用识别引擎,综合运用端口识别、行为识别、特征识别、关联识别等技术手段,准确识别传统应用如P2P、web应用、移动应用、云应用、加密应用等;
同时支持基于IPv4/IPv6的应用协议识别;
7、支持应用流量排名,可根据应用类型进行实时流量、实时会话数、统计流量排名,同时通过图表或表格的方式进行展示,展示的图表和表格支持自动刷新;
8、支持基于IP/IP组、用户/用户组、服务/服务组、应用/应用组和时间等配置带宽策略,支持针对带宽策略中对每IP、每用户进行带宽控制;
支持带宽策略优先级;
9、内置高度集成的一体化智能过滤引擎技术,实现在同一条访问控制策略中配置传统的五元组信息、应用、服务、时间、安全引擎的识别与控制;
10、内置攻击检测引擎,采用协议分析、模式识别、统计阀值和流量异常监视等综合技术手段来判断入侵行为;
支持web攻击识别和防护;
内置攻击检测引擎,支持独立的DDOS检测、阻断能力,支持检测包括land、Smurf、winnuke、tcp_sscan、ip_option、targa3、Synflood、Icmpflood、Udpflood、Portscan、ipsweep等攻击;
支持DNS异常包检测,支持DNSQueryflood、DNSReplyFlood攻击;
支持DHCP异常包检测,支持DHCPFlood攻击检测;
11、内置病毒检测引擎,支持HTTP/SMTP/POP3/FTP/IMAP等协议的病毒防御;
支持病毒白名单,用户可以根据实际业务需求将特定威胁进行排除;
12、内置文件过滤引擎,支持对HTTP/FTP/SMTP/POP3等应用协议传送PDF、Office、java-class、jpg等文档类型的文件过滤;
13、支持SYSLOG格式的日志,可外发至SYSLOG服务器。
7
万兆IPS
1、配置至少4个千兆电口4个千兆光口;
配置2路万兆多模光口及光模块,配置软硬BYPASS,双电源;
配置吞吐量不少于10Gbps,最大并发连接数不少于250万。
2、系统应支持常见默认事件集,默认事件集至少包括:
全集、中高级事件、僵尸木马蠕虫事件集、WEB事件。
系统应支持密码穷举探测功能,提供至少16种应用的密码穷举行为探测和阻断;
3、提供支持检测的具体应用。
系统应提供SQL注入攻击、XSS攻击的检测和防御功能,对Web服务系统提供保护;
系统应针对SQL注入、XSS攻击提供白名单功能,能够精确到检测点、属性和名称;
4、系统应支持多种防web扫描能力,包括爬虫、CGI和漏洞扫描等,并支持设置至少5个不同级别的扫描容忍度/扫描敏感度;
5、系统应提供旁路部署及在线、旁路混合部署等部署方式。
系统应支持路由模式,至少包括:
静态路由、策略路由、ISP和OSPF路由协议;
6、系统应支持完善的会话管理功能,可实时查看当前会话状态,支持根据源地址、目的地址、端口号或协议类型查询会话;
7、系统应支持通过授权扩展支持对HTTP、FTP、SMTP、POP3、IMAP协议的病毒检测和过滤功能;
8、系统应支持敏感信息防护功能,识别信息和文件中的关键字、身份证、手机号码、固定电话号码、银行卡、IP地址等敏感信息,并支持文件指纹识别和白名单功能;
9、系统应支持软件Bypass功能,通过CPU和内存阈值实现软件Bypass的开启,提供不同的阈值计算方式(最高值/平均值、时间区间等);
10、系统应支持在线管理员数目限制和管理员唯一性检查功能,提高系统管理的安全性,系统应支持WEB登录图像验证码功能,防止暴力破解。
系统应支持syslog格式修改功能,通过对日志内容裁剪、修改次序,满足用户安全管理平台日志格式要求。
8
网络安全审计系统
1、双电源,2个独立的千兆管理口,1个独立的数据口,2个千兆电口监听,可扩充至4个千兆电口监听,硬盘支持RAID5,2T存储空间,审计日志入库速度大于200000条/秒,审计流量4Gbps。
2、审计记录支持关键信息翻译,正确识别业务语言;
3、审计记录支持页面形式回放,方便用户进行场景还原;
4、可提供对应用、数据库环境下的用户-应用系统-数据库访问的精确关联审计。
关联算法具有一定的先进性,提供专利编号;
5、支持记录访问的源目的IP、端口、MAC以及浏览器类型、上下行流量等信息;
6、支持对XSS、SQL注入等常
升级会员 