网络安全设备建设项目采购需求(货物类) 一、项目介绍 1、资金来源: 财政性资金 2、系统概述: (1)、业务需求 随着中国政法大学校园信息化的发展,内部各类业务范围的不断扩大,各类业务系统不断上线运行。在业务系统应用范围越来越广、数据越来越多的同时,技术运维部门面临的确保系统安全稳定运行的压力也随之增加,复杂的人员结构和系统结构使得技术运维管理面临严峻的挑战,需要尽快在安全管理方面加强有效的技术手段。 (2)、技术需求 为了响应和遵守国家有关部门对校园网络安全的要求,此次需要建设校园网数据库安全审计系统、校园网运维安全审计系统,以及需要对校园网络进行信息安全体系咨询服务及网络和应用系统梳理、性能监测及安全优化等系列安全集成服务。 (3)、系统需求 对于运维安全管理方面,需要对准确识别操作人员的身份;对设备和系统的管理账号实现密码足够复杂和定期的修改系统账号密码;对操作人员的操作行为要进行事前主动的控制和约束;清晰的展示每个操作者具体的操作过程;整体上对系统运维在访问控制、操作审计等诸多方面实现更加全面有效的管理。 对于数据库安全管理方面,需要针对不同的应用协议,提供基于应用操作的审计;提供数据库操作语义解析审计,实现对违规行为的及时监视和告警;提供上百种合规规则,支持自定义规则(包括正则表达式等),实现灵活多样的策略和响应;提供基于硬件令牌、静态口令、Radius支持的强身份认证;根据设定输出不同的安
全审计报告。 (4)、集成需求 项目集成总体要求包含但不限于项目实施前期准备、设备到货验收、系统集成安装与联调测试、系统试运行、项目验收。中标方需要配合用户方提供产品安装调试服务、产品培训服务、信息安全体系咨询服务,以及提供现有校园网内部的整体网络和应用系统梳理、应用系统性能监测,做好网络安全优化等系列服务,结合用户的现状情况提供详细的安全集成服务方案,帮助用户完成校园网络的信息安全保障工作。 3、预算金额:96万元 4、所要达到的目标前景: 通过项目建设,可以建成并完善现有校园网络内部的业务环境下的网络操作行为和数据库行为操作进行细粒度审计的合规性管理系统。通过对业务人员访问各类运维设备和数据库系统的行为进行解析、分析、记录、汇报,以帮助用户事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源,加强内外部网络行为监管、促进核心资产(数据库、服务器、网络设备等)的正常运营,为校园网络的各类信息系统进一步的发展建立坚实基础。 二、项目履约时间、地点 1、履约时间:合同签订后 5 天内交货或 30 天内完成安装调试并具备验收条件。 2、履约地点:用户指定安装验收地点 3、现场踏勘:否 三、采购人信息 单位名称:中国政法大学
网络安全准入系统
网络安全准入系统 产品清单: 序号品目名称技术规格数量 1 网络准入控制管理系统详见附件1项 2 LIS数据实时备份系统详见附件1项 1.网络准入控制管理系统 序号指标参数要求 1品牌 型号 ★北信源VRV-BMG-FY 2 硬件 特征 及性 能要 求★单台最少支持300个用户数的并发 ★应具备液晶显示系统,能实时查看设备的CPU和内存占用情况、系统运行状态以及设备的网络接口IP信息。 硬件支持至少4个千兆电口 支持至少500M的数据吞吐率 单台至少支持双路业务控制 满足7*24小时不间断工作,设备无故障运行时间不低于80000小时
3 注册 管理支持自定义注册信息,要求可以定义必须填写的注册信息项,可根据需要启用/禁用自定义项。 要求可根据需要自定义客户端注册的服务端地址,客户端可自动识别服务端信息并注册。 要求提供终端注册的日志记录功能,并可根据时间、设备名、注册者、IP 及动作等关键字进行记录查询。 ★应能根据准入客户端保活情况确定客户端的事实存在(未被卸载或者终止进程),保活周期应不高于1分钟(即如若准入客户端被卸载,1分钟内就可以发现) ★准入客户端应支持一对多注册功能,即单一的准入客户端可与多台准入控制硬件设备进行联动,并且可以在每台硬件设备上查看到客户端的注册信息。 ★要求支持注册审核管理功能,已注册终端必须通过管理员手动审核通过之后才可以接入网络。
★要求必须支持针对IE、QQ登陆及弹出窗口等web形式的访问提供入网重定向提示,提示进行客户端注册。 4 资产 管理要求支持终端硬件资产统计和查询,统计内容应至少包含CPU、内存、硬盘等基本硬件设备信息以及光驱、显卡、鼠标、网卡、键盘等相关外设信息。 要求支持终端软件资产统计和查询,统计内容应至少包含操作系统版本、操作系统补丁安装情况、IE版本、主机名称、网卡MAC信息以及设备内安装的应用软件使用情况。 ★要求支持设备资产信息变化报警,报警未注册设备、注册程序卸载行为,实时检测硬件设备变化情况(如设备硬件变化、网络地址更改、USB 设备接入等)。 必须支持对终端计算机软件安装信息的收集,包括当前软件安装信息和历史安装信息。
主流网络安全设备列表 上网行为治理 一、产品介绍 深信服上网行为治理上网行为治理第一品牌;上网行为治理市场占有率第一;持续创新的上网行为治理产品;在核心技术创新方面,深信服科技申请的上网行为治理领域有关的发明专利数已超过6个并在业内遥遥领先。 核心专利: 1、一种网关、网桥上实现用户安全接入外网的方法 2、一种基于网关/网桥的线路自动选路方法 3、基于网关、网桥防范网络钓鱼网站的方法 4、一种网路插件的安全检测方法、系统及安全检查设备 5、一种在网关进行数据安全的检测方法、系统及设备 6、一种网络数据流识不方法 二、部署深信服上网行为治理的必要性 1.防止宽带资源滥用 2.防止无关网络行为阻碍工作效率 3.记录上网轨迹满足法规要求 4.管控外发信息,降低泄密风险 5.把握组织动态、优化职员治理 6.为网络治理与优化提供决策依据 7.防止病毒木马等网络风险 8.低成本且有效推行IT制度 三、深信服上网行为治理产品优势 1.识不能力最强、 2.治理最智能、 3.上网最安全 四、要紧功能及创新技术 1.精确的上网行为识不:网页智能识不、SSL加密流量识不、基于特点的文件识不、应用特点识不库+应用智能识不库等
2.灵活的授权策略:上网策略对象化强调继承、人性化授权治理等 3.细致的带宽和流量治理:多线路留空技术、带宽资源平均分配最公平、父子通道、应用/网站/文件虚拟通道等 4.详细的上网轨迹记录:审计SSL加密行为、内容检索等 5.安全防护能力:过滤恶意插件、危险脚本、病毒等、危险流量识不与防备等 一、产品介绍: 深信服为您提供高速、易用、安全且高度可靠的SSL VP N产品。作为中国SSL VPN领域的绝对领导者,深信服SSL VPN解决方案已在政府、金融、运营商、能源、教育、大中型企业等各个领域都得到了广泛应用。在中国入选世界五百强的企业中,有近70%的企业选择了深信服SSL VPN解决方案。 二、产品功能 1、松移动办公 2、第三方远程接入 3、内网分区逻辑隔离爱护 4、关键业务信息系统安全加固 5、防范WLAN非法访咨询 三、产品解决方案 1、内网访咨询安全解决方案 2、防信息泄露解决方案 3、快速、安全、稳固的分布式企业广域网组建方案 4、移动办公的最佳部署方案 5、安全性极高的第三方网络接入解决方案
等保干货:等保2.0 安全设备清单汇总 【前言】 等保2.0的规范中,并没有要求使用任何一种产品,只是要求你的网络安全达到一个什么样的安全程度的标准。但是我们如何去实现这个标准?在达成要求的整个过程中,网络安全产品是最低成本最高效率的路径。 【等保安全设备清单】 一、数据库防火墙 1、具备数据库审计、数据库访问控制、数据库访问检查与过滤、数据库服务发现、敏感数据发现、数据库状态和性能监控、数据库管理员特权管控等功能; 2、支持桥接、网络和混入接入方式,基于安全等级标记的访问控制策略和双机设备功能,保障连续服务能力。 二、网络防火墙 1、具备访问控制、入侵防御、病毒防御、应用识别、WEB防护、负载均衡、流量管控、身份认证、数据防泄露等9项功能; 2、支持区域访问控制、数据包括访问控制(例如基于IP、端口、网络协议访问的数据包)、会话访问控制、信息内容过滤访问控制、应用识别访问控制等5种访问控制类型。 三、网络安全审计
记录网络行为并进行审计和以上行为发现的专用安全设备;1、对网络系统中的网络设备运行状况、网络流量、用户行为进行日志记录;2、审计记录包括事件的时间和日期、用户、事件类型、事件是否成功及其他与审计相关的信息;3、能够对记录数据进行分析,生成审计报表。 四、数据库审计 1、具备数据库审计操作记录的查询、保护、备份、分析、审计、实时监控、风险预警和操作过程回放等功能; 2、支持监控中心报价、短信报警、邮件报警、SYSIONG报警等报警方式。 五、运维审计 1、具备资源授权、运维监控、运维操作审计、审计报表、违规操作实时报警与阻断、会话审计与回放等功能; 2、支持基于用户、运维协议、目标主机、运维时间段(年、月、日、时间)等授权策略组合; 3、支持运维用户、运维客户端地址、资源地址、协议、开始时间等实时监控信息项。 六、主机安全审计 1、支持重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要事件审计; 2、支持记录事件的日期、事件、类型、主体标识、客体标识和结果等。 七、入侵防御设备 1、具备深层检测、内容识别、即时侦测、主动防御、无线攻击防御、拒绝服务、日志审计、身份认证等9项功能; 2、支持攻击行为记录(包括攻击源IP、异常流量监视、统计阈值、实时阻断攻击等6种入侵防御技
1项目实施案 1.1项目实施计划 考虑到xxx与数据库建设项目的工程量、质量与涉及面等因素,在此工程实施前必需有密的进度控制和精心的组织安排。我们根据本案确定的项目目标以及具体建设要求,对建设任务以及工程进度进行综合安排计划,具体各个部分的实施可以视工程情况相互协调、齐头并进。 1.2项目任务分解
1.3安装调试、系统集成 1.3.1准备工作 ?查看软件版本 1)通过IE浏览器登陆到安全设备,查看当前安全设备的软件版本。 2)通过串口登陆到安全设备后台,查看软件版本。 ?产品信息记录 记录下用户安全设备编号,作好记录工作 1.3.2实施前注意事项 ?查看安全设备重启后能否正常启动 ?查看安全设备的console口是否可用 1.3.3配置网络安全设备 1.3.3.1边界防护系统配置 1.要求管理员分级,包括超级管理员、安全管理员、日志管理员等,并定义相应 的职责,维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制,包括,关闭telnet、http、ping、snmp等,以及使用SSH 而不是telnet远程管理防火墙。 4.账号管理是否安全,设置了哪些口令和帐户策略,员工辞职,如进行口令变更? 5.防火墙配置文件是否备份?如进行配置同步? 6.改变防火墙缺省配置。 7.是否有适当的防火墙维护控制程序?
8.加固防火墙操作系统,并使用防火墙软件的最新稳定版本或补丁,确保补丁的来源可靠。 9.是否对防火墙进行脆弱性评估/测试?(随机和定期测试) 10.防火墙访问控制规则集是否和防火墙策略一致?应该确保访问控制规则集依从防火墙策略,如格禁止某些服务、格开放某些服务、缺省时禁止所有服务等,以满足用户安全需求,实现安全目标。 11.防火墙访问控制规则是否有次序性?是否将常用的访问控制规则放在前面以增加防火墙的性能?评估防火墙规则次序的有效性。 12.防火墙访问控制规则集的一般次序为: ?反电子欺骗的过滤(如,阻断私有地址、从外口出现的部地址) ?用户允规则(如,允HTTP到公网Web服务器) ?管理允规则 ?拒绝并报警(如,向管理员报警可疑通信) ?拒绝并记录(如,记录用于分析的其它通信) 防火墙是在第一次匹配的基础上运行,因此,按照上述的次序配置防火墙,对于确保排除可疑通信是很重要的。 13.防火墙访问控制规则中是否有保护防火墙自身安全的规则 14.防火墙是否配置成能抵抗DoS/DDoS攻击? 15.防火墙是否阻断下述欺骗、私有(RFC1918)和非法的地址 ?标准的不可路由地址(255.255.255.255、127.0.0.0) ?私有(RFC1918)地址(10.0.0.0 –10.255.255.255、172.16.0.0 – 172.31..255.255、192.168.0.0 – 192.168.255.255) ?保留地址(224.0.0.0) ?非法地址(0.0.0.0) 16.是否确保外出的过滤? 17.确保有仅允源IP是部网的通信通过而源IP不是部网的通信被丢弃的规则,并确保任源IP不是部网的通信被记录。 18.是否执行NAT,配置是否适当?
网络安全设备系统集成 方案 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
网络设备、网络安全设备、服务器和存储系 统集成
第一章投标函 致:XXX公司 XX公司(投标单位全称)授权XX (全权代表姓名)XXX (职务、职称)为全权代表,参加贵方组织的XX (招标编号、招标项目名称)招标的有关活动,并对网络设备、网络安全设备、服务器和存储设备货物进行投标。为此: 1.提供投标须知规定的全部投标文件: a.投标书技术方案文件正本1份,副本6份; b.商务文件正本1份,副本6份; c.投标书资格证明文件正本1份,副本6份 2.投标货物的总投标价为(大写):XX 元人民币。 3.保证遵守招标文件中的有关规定和收费标准。 4.保证忠实地执行买卖双方所签的经济合同,并承担合同规定的责任义务。 5.愿意向贵方提供任何与该项投标有关的数据、情况和技术资料等。 6.本投标自开标之日起XX天内有效。 7.与本投标有关的一切往来通讯请寄: 投标单位名称: XX 地址: XX 邮编: XX 电话: XX 传真: XX 全权代表姓名:(签字)职务: XX
第二章项目背景 项目名称 项目背景 现有网络基础 目前,X部局域网除太重铸锻各分厂外,已基本建成和连通。网络主干带宽为100M,铺设的光纤以单膜4芯为主,主交换设备Cisco3550EM,各单位使用的交换机以二层交换机为主,大多数交换机不支持标准网管,给网管人员带来很大的不便,且使用品牌较杂,主要有华为、神码、D-Link等。 现有网络设备性能过低,基本不具备安全控制功能,无法满足企业大规模ERP 的部署和企业未来几年信息化对网络平台的要求。太重信息系统架构 第三章项目需求分析 本次项目就是为了满足信息化建设需求,建设太重信息化应用的支撑平台,内
网络安全设备测试 一、部署测试总体拓扑图 二、安全设备简介 1、软件防火墙和硬件防火墙 软件防火墙工作于系统接口与NDIS之间,用于检查过滤由NDIS发送过来的数据,在无需改动硬件的前提下便能实现一定强度的安全保障,但是由于软件防火墙自身属于运行于系统上的程序,不可避免的需要占用一部分CPU资源维持工作,而且由于数据判断处理需要一定的时间,在一些数据流量大的网络里,软件防火墙会使整个系统工作效率和数据吞吐速度下降,甚至有些软件防火墙会存在漏洞,导致有害数据可以绕过它的防御体系,给数据安全带来损失,因此,许多企业并不会考虑用软件防火墙方案作为公司网络的防御措施,而
是使用看得见摸得着的硬件防火墙。 硬件防火墙是一种以物理形式存在的专用设备,通常架设于两个网络的驳接处,直接从网络设备上检查过滤有害的数据报文,位于防火墙设备后端的网络或者服务器接收到的是经过防火墙处理的相对安全的数据,不必另外分出CPU资源去进行基于软件架构的NDIS数据检测,可以大大提高工作效率。硬件防火墙一般是通过网线连接于外部网络接口与内部服务器或企业网络之间的设备,这里又另外派分出两种结构,一种是普通硬件级别防火墙,它拥有标准计算机的硬件平台和一些功能经过简化处理的UNIX系列操作系统和防火墙软件,这种防火墙措施相当于专门拿出一台计算机安装了软件防火墙,除了不需要处理其他事务以外,它毕竟还是一般的操作系统,因此有可能会存在漏洞和不稳定因素,安全性并不能做到最好;另一种是所谓的“芯片”级硬件防火墙,它采用专门设计的硬件平台,在上面搭建的软件也是专门开发的,并非流行的操作系统,因而可以达到较好的安全性能保障。 硬件防火墙中可能还有除软件防火墙的包过滤功能以外的其他功能,例如CF(内容过滤)、地址转换、路由、IDS(入侵侦测)IPS(入侵防护)以及VPN等等的功能。 硬件防火墙的三种部署方式:路由模式、透明模式、混合模式 1、路由模式 当防火墙位于内部网络和外部网络之间时,需要将防火墙与内部网络、外部网络以及DMZ 三个区域相连的接口分别配置成不同网段的IP 地址,重新规划原有的网络拓扑,此时相当于一台路由器。 2、透明模式 采用透明模式时,只需在网络中像放置网桥(bridge)一样插入该防火墙设备即可,无需修改任何已有的配置。与路由模式相同,IP 报文同样经过相关的过滤检查(但是IP 报文中的源或目的地址不会改变),内部网络用户依旧受到防火墙的保护。 3、混合模式 如果防火墙既存在工作在路由模式的接口(接口具有IP 地址),又存在工作在透明模式的接口(接口无IP 地址),则防火墙工作在混合模式下。混合模式主要用于透明模式作双机备份的情况,此时启动VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)功能的接口需要配置IP 地址,其它接口不配置IP地址 2、行为管理设备 简单的来说上网行为管理设备就是基于用户、时间、应用、带宽等元素对员工的上网行为进行全面而灵活的策略设置,把网络风险管理从“被动式响应管理”提升为“主动式预警管理”,从“防范管理”提升为“控制管理”,把网络的“通信安全”提升为“应用安全”。为了实现真正安全的网络环境,企业需要“内外兼修”,除了阻挡外部攻击外,还应该转换视角,大力加强对内的管理,对员工的上网行为进行规范管理。 行为管控设备的三种部署方式:路由模式、网桥模式、旁路模式 1、路由模式-就是把设备当成路由器使用,和防火墙的路由模式差不多。 2、网桥模式- “透明模式”在网络中像放置网桥(bridge)一样插入该防火墙设备即可,无需 修改任何已有的配置。(在部署的时候,一般都是用的这个模式) 3、旁路模式-这个需要做端口镜像,一般不推荐。
磐安县玉山镇中心小学网络安全设备清单一、综合布线 序号设备 类型 设备 名称 具体参数品牌 单 位 数量 1 综合布线终端 布线 RJ45非屏蔽超五类网线 可选:IBM ACS、 FOREVER、 Leviton 捆10 2 水晶头、套等套35 3 标号管个35 4 超五类网络模块个35 5 防尘面板(按实际用另计 算) 个35 6 标准底座(按实际用另计 算) 个35 7 配线 部分非屏蔽跳线(2~3米)(按 实际用另计算) 条70 8 标准理线架个 2 9 标准配线架(24口)个 2 10 布线PVC管槽、配件等 (按实际信息点另计算) 国产点35 11 语音电话布线(采有三类 线) 国产点12 12 机柜金盾22U配接入交换机用国产个 1
(评标室用) 13 视频 布线线材 视频线RVV75-5 国产米1500 14 电源线国产米1200 15 配件摄像头专用电源国产个15 16 布线PVC管槽、配件等国产点15 17 网络 设备 (要 求五 年保 修)三层 交换 机 IPv4/IPv6双协议三层交 换机(24FE口+4千兆端 口) 参数:背板带宽≥37.6G; IPv4/IPv6包转发率≥ 9.6M;4个SFP光接口和 4个电口接口,光口和电 口复用;(提供IPv6 Ready 第二阶段认证证书) 可选:锐捷、 CISCO思科、 H3C; 台 1 18 二层 交换 机 24口智能网管交换机(带 两扩展槽)参数:背板带 宽≥12.8G;线速包转发率 ≥6.6M; 台 3 19 防火 墙 百兆防火墙/VPN网关 物理参数:固化7个百兆 端口,包括4个交换端口, 性能不受规则数及会话数 台 1
网络安全的检测清单 作者:J. Craig Lowery, Ph.D. 目前,网络上的计算机应用程序以爆炸方式进行增长,但是网络安全问题也日益加重。事实 上,系统的网络连接是安全攻击的主要目标。本文为系统管理员在网络安全实施时提供了一 个基本的检测清单。 网络:将一个计算机与其它多个计算机进行连接的方式。网络有效的改善了生产力,并提高了人们的生活质量。它提高了工作效率,提供了新的通讯联络方式,增强了研究能力,扩展了商业机会。但网络也带来了计算机的一些负面影响,如数据可能被截获和盗用,网络服务中断。随着网络的功能日益增加,网络的安全问题也对应的增长。系统管理员所面临的挑战则是在获得网络所提供的高效的同时尽可能缩小网络所带来的危险。 一个非常实用的网络安全检测清单可以帮助网络系统管理员,在这个清单中可以有特定的网络地址描述,系统管理员可以使用这个清单完成对其网络的安全设置。 防火墙系统 防火墙是单点控制通讯的防范措施,防火墙设置在信任网络和非信任网络之间。它有几种方式,比较简单的是采用网络地址范围限制,还有通过网关路由进行包过滤方式,以及通讯分析等多种形式。防火墙可以防御基于多个IP平台方式攻击,如IP地址欺骗,ping包拥塞,拒绝服务等多种的攻击方式。防火墙可以构建一个相对安全的区域。 防火墙的能力取决于设备应用时管理员所创建的管理策略。每个设备都可以提供收益并同时带来局限。例如,一个顶级的防火墙可以充分满足用户对于安全方面的实施策略要求,但同时也如果不适当的设置也会误用其中的限制功能,给用户带来不便。 防火墙如何提供保护的功能取决于如获构架信任域网络和非信任域网络之间的连接。最典型的非信任域网络就是Internet 。图一显示了两种连接模式,路由连接和代理连接。 图 1. 将信任域网络连接到Internet 防火墙带有路由连接 一个路由网关可以简单的被扩展为将Internet 地址空间通过路由方式与信任域网络进行通讯。路由器实施包过滤方式,决定那些特定的包被允许通过路由到达目标,其中控制的方式有目标IP地址,协议和端口号码等等。例如,一个简单的设置就可以防范诸如ICMP(Internet Control Message Protocol )包,或者datagram包(带有目标地址的数据包)的攻击,因此,它可以防范很多中类型的拒绝服务攻击。