网络安全等级保护三级项目投标方案
第一章 技术参数
6
第一节 技术参数响应
6
一、 重要参数识别标注
6
二、 技术参数响应说明
25
三、 偏离情况详细说明
37
四、 证明材料对应支撑
56
五、 响应内容签字确认
62
第二章 技术方案设计
74
第一节 方案标准性
74
一、 遵循信息安全等级保护标准
74
二、 系统部署遵循规范
84
第二节 技术先进性
103
一、 新一代防火墙系统功能
104
二、 APT安全监测系统智慧引擎
109
三、 态势分析与安全运营系统功能
121
四、 终端威胁防御系统前沿技术
132
第三节 方案适用性
142
一、 适配医院现有网络架构
142
二、 系统与运维体系集成
154
三、 防火墙适应复杂网络
160
第四节 方案可扩展性
178
一、 多源日志归一化处理
178
二、 安全设备预留扩展空间
186
三、 日志系统多盘存储切换
197
四、 态势分析系统业务扩展
213
五、 安全隔离系统策略扩展
221
第五节 方案安全性
226
一、 设备独立审计策略功能
226
二、 防火墙暴力破解检测
234
三、 运维审计系统安全机制
243
四、 APT系统安全防护能力
252
第三章 技术评审实施方案
257
第一节 方案完整性
257
一、 供货计划安排
257
二、 安装方案制定
266
三、 调试方案规划
280
四、 测试方案设定
289
五、 验收标准流程
300
第二节 方案合理性
307
一、 阶段工作衔接
307
二、 专业人员分工
322
三、 施工工具设备
339
四、 设备环境要求
351
五、 资源调配计划
363
第三节 方案时效性
374
一、 设备交货周期
374
二、 施工进度安排
381
三、 备品配件机制
393
四、 服务响应机制
408
五、 质量保证措施
425
第四章 技术评审培训方案
435
第一节 培训计划制定
435
一、 防火墙系统专项培训
435
二、 APT安全监测系统培训
444
三、 日志收集与分析系统培训
452
四、 设备厂商认证讲师支持
458
五、 培训材料提供
463
第二节 培训安排合理性
468
一、 基础培训阶段
468
二、 进阶培训阶段
474
三、 实战演练阶段
479
四、 培训周期同步
486
五、 混合培训方式
493
第三节 培训人员配置
500
一、 认证工程师配备
500
二、 多角色协同团队
505
三、 培训讲师履历说明
511
四、 专职培训协调人
518
第四节 培训时间管理
522
一、 详细培训时间表
522
二、 避开业务高峰期
529
三、 培训时长控制
536
四、 培训回放与教材
544
第五章 安全保密
551
第一节 保密承诺
551
一、 遵守法律法规承诺
551
二、 不泄露数据技术承诺
558
三、 人员签署协议承诺
565
四、 人员接受培训承诺
571
第二节 保密原则与内容
577
一、 信息访问限制原则
577
二、 数据使用限定原则
583
三、 访问权限分级原则
590
四、 系统敏感资料保密
594
第三节 保密培训
600
一、 新员工入职培训
600
二、 定期知识讲座培训
603
三、 系统操作前培训
608
第四节 泄密惩罚办法
613
一、 警告处理措施
613
二、 罚款处理措施
620
三、 终止合同措施
625
四、 司法处理措施
630
第六章 质量保障及售后
640
第一节 项目实施标准规范
640
一、 设备部署规范
640
二、 网络配置规范
649
三、 系统集成规范
660
四、 安全策略配置规范
665
五、 测试验收规范
676
第二节 质量保证措施
682
一、 设备出厂检测与到货验收
682
二、 系统部署前环境评估
696
三、 部署后测试与安全加固
702
四、 定期巡检与系统健康检查
710
五、 质量回溯机制
718
第三节 售后服务方式和范围
727
一、 7×24小时电话技术支持
727
二、 网络安全设备远程诊断
736
三、 系统功能缺陷修复
745
四、 安全策略优化服务
752
五、 系统版本升级及补丁更新
762
六、 安全事件应急响应
768
七、 年度健康检查服务
778
第四节 现场服务支持与应急措施
784
一、 30分钟响应与2小时到达现场
784
二、 现场设备更换服务
793
三、 系统紧急恢复机制
804
四、 安全事件现场处置方案
810
五、 备品备件库存保障
821
六、 关键系统冗余部署支持
826
技术参数
技术参数响应
重要参数识别标注
明确▲重要参数
防火墙系统参数
性能关键指标
1)接口为千兆电口≥6个,千兆光插槽≥4个,此为保障网络连接和数据传输速率的重要参数。多个千兆电口和光插槽能够提供高速稳定的网络接口,满足大量设备的接入需求,确保数据能够快速、准确地传输,避免因接口不足或传输速率慢而导致的网络拥堵和数据延迟问题。
千兆电口和光插槽
2)冗余电源,确保设备在电源故障时仍能正常运行。冗余电源设计是一种重要的保障措施,当一个电源出现故障时,另一个电源可以立即接替工作,保证设备的持续稳定运行,避免因电源故障导致的设备停机和数据丢失,提高了设备的可靠性和可用性。
3)扩展槽位≥2个,为后续设备功能扩展提供空间。随着网络技术的不断发展和业务需求的变化,设备可能需要增加新的功能模块。足够的扩展槽位可以方便地安装新的扩展卡,如网卡、防火墙模块等,使设备能够灵活地适应不同的应用场景和需求,延长设备的使用寿命。
4)防火墙吞吐≥20G,并发连接≥500万,体现防火墙的数据处理和并发处理能力。高吞吐量和大量的并发连接数表明防火墙能够高效地处理大量的网络流量和同时连接的用户请求,确保在高负载情况下网络的流畅运行,防止因处理能力不足而导致的网络拥塞和服务中断。
5)默认包含应用识别功能,含1年应用特征库升级许可、IDP攻击规则特征库1年升级许可,保障防火墙的应用识别和攻击防护能力不断更新。应用识别功能可以帮助防火墙准确地识别各种应用程序的流量,从而实施更精细的访问控制策略。而定期的特征库升级能够使防火墙及时跟上新出现的应用和攻击手段,提高对未知威胁的防范能力。
6)需提供信息安全产品自主原创证明材料,证明产品的合法性和自主创新性。自主原创证明材料是对产品研发过程和知识产权的一种认可,能够证明产品是由企业自主研发的,具有独立的知识产权,保证了产品的合法性和创新性,也为用户提供了更可靠的安全保障。
路由交换功能
1)支持RIP、RIPng、OSPF、OSPFv3、BGP4、QinQ(VLANVPN)、PIM-SM、PIM-DM、IPv6静态和动态组播路由,这些功能对于网络路由和交换至关重要。多种路由协议的支持使得防火墙能够适应不同类型的网络环境,实现高效的路由选择和数据转发,满足多样化的网络需求。
2)各项功能需逐项提供截图证明,确保功能的真实性和可用性。截图证明可以直观地展示防火墙的各项功能是否正常工作,让用户和评估人员能够清晰地了解产品的实际性能和功能实现情况,增强对产品的信任度。
3)具备多种路由协议支持,可适应不同的网络环境和需求。不同的网络环境可能需要不同的路由协议来实现最佳的路由效果,多种路由协议的支持使得防火墙能够灵活地配置和调整,以适应各种复杂的网络拓扑和业务需求。
4)组播路由功能可满足特定网络应用的需求。在一些需要进行多媒体数据传输、视频会议等应用场景中,组播路由可以有效地减少网络带宽的占用,提高数据传输的效率,为特定的网络应用提供更好的支持。
5)QinQ(VLANVPN)功能可实现VLAN的嵌套,增强网络的灵活性和扩展性。通过VLAN的嵌套,可以在一个物理网络中创建多个逻辑上独立的子网,实现不同用户和业务之间的隔离和安全通信,同时也方便了网络的管理和扩展。
6)IPv6静态和动态组播路由支持,适应未来网络发展趋势。随着IPv6技术的逐渐普及,支持IPv6的路由和组播功能是防火墙适应未来网络发展的必要条件,能够确保网络在IPv6环境下的正常运行和发展。
路由协议
功能描述
适用场景
RIP
基于距离向量的路由协议,通过定期交换路由信息来更新路由表
小型网络
RIPng
适用于IPv6网络的RIP协议
IPv6小型网络
OSPF
基于链路状态的路由协议,通过交换链路状态信息来计算最短路径
大型企业网络
OSPFv3
适用于IPv6网络的OSPF协议
IPv6大型企业网络
BGP4
用于自治系统之间的路由协议,实现不同网络之间的互联
互联网服务提供商网络
QinQ(VLANVPN)
实现VLAN的嵌套,增强网络的灵活性和扩展性
需要多VLAN隔离和扩展的网络
PIM-SM
稀疏模式组播路由协议,适用于组播源和接收者分布较分散的网络
多媒体数据传输网络
PIM-DM
密集模式组播路由协议,适用于组播源和接收者分布较集中的网络
局域网内组播应用
IPv6静态和动态组播路由
支持IPv6网络的组播路由功能,适应未来网络发展趋势
IPv6网络
地址转换功能
1)支持源/目的NAT、双向NAT,支持源IP转换同一性,可实现网络地址的灵活转换。源/目的NAT和双向NAT功能可以有效地解决内部网络和外部网络之间的地址转换问题,使得内部网络的设备能够与外部网络进行通信,同时保护内部网络的隐私和安全。源IP转换同一性则进一步增强了地址转换的灵活性和可控性。
2)支持端口块地址转换和EIM地址转换,支持NAT64、NAT46、NAT66地址转换,满足不同网络地址转换需求。多种地址转换方式的支持使得防火墙能够适应不同的网络架构和应用场景,无论是IPv4到IPv6的过渡,还是不同网络之间的互联,都能够提供有效的地址转换解决方案。
3)各项功能需逐项提供截图证明,保证功能的有效性。截图证明可以直观地展示地址转换功能的实际运行情况,确保功能的正确性和稳定性,让用户能够放心使用。
4)源/目的NAT功能可实现内外网地址的转换。通过源/目的NAT功能,内部网络的设备可以使用私有地址与外部网络进行通信,外部网络的设备则可以通过转换后的公网地址访问内部网络的服务器,实现了内外网之间的互联互通。
5)双向NAT功能可进一步增强地址转换的灵活性。双向NAT允许在内外网之间进行双向的地址转换,不仅可以将内部网络的地址转换为外部网络的地址,还可以将外部网络的地址转换为内部网络的地址,为网络通信提供了更多的灵活性和可能性。
6)多种地址转换类型支持,适应不同网络架构和应用场景。不同的网络架构和应用场景可能需要不同的地址转换方式,多种地址转换类型的支持使得防火墙能够更好地满足各种复杂的网络需求,提高网络的适应性和可用性。
连接控制功能
1)支持连接控制和监控,可对源/目的地理对象、应用制定连接限制策略,有效管理网络连接。连接控制和监控功能可以帮助管理员对网络连接进行精细的管理和控制,通过制定连接限制策略,可以限制特定地理区域或应用的访问,防止非法的网络连接和数据传输,提高网络的安全性和可靠性。
2)可展示被拦截的IP、地址对象、应用的限制条件、被拒次数、最近被拒时间等信息,便于网络管理员进行监控和管理。详细的拦截信息展示可以让网络管理员及时了解网络中发生的异常情况,采取相应的措施进行处理,同时也可以对网络使用情况进行统计和分析,为网络优化提供依据。
3)各项功能需逐项提供截图证明,确保功能的可操作性。截图证明可以验证连接控制和监控功能的实际运行情况,保证功能的可操作性和稳定性,让网络管理员能够放心地使用这些功能进行网络管理。
4)连接控制功能可防止非法网络连接。通过设置连接限制策略,可以阻止未经授权的设备或用户访问网络,有效地防止网络攻击和数据泄露,保护网络的安全和稳定。
5)监控功能可实时掌握网络连接状态。实时监控网络连接状态可以让网络管理员及时发现网络中的异常情况,如异常流量、非法连接等,及时采取措施进行处理,避免网络故障的发生和扩大。
6)对源/目的地理对象和应用的限制策略,可提高网络安全性。根据源/目的地理对象和应用的不同,制定相应的连接限制策略,可以有针对性地保护网络中的重要资源和敏感信息,防止来自特定地区或应用的攻击和威胁,提高网络的整体安全性。
DDOS防御功能
1)支持IP、ICMP、TCP、UDP、DNS、HTTP、HTTPS、SIP、NTPDDOS防护,可有效抵御多种类型的DDoS攻击。多种协议的DDoS防护功能使得防火墙能够全面地保护网络免受各种类型的分布式拒绝服务攻击,确保网络的正常运行和可用性。
2)支持预定义和自定义策略模板,可根据不同网络环境和需求制定个性化的防御策略。预定义的策略模板可以提供一些常见的DDoS防御策略,方便用户快速配置和使用;而自定义策略模板则允许用户根据自己的网络特点和安全需求,制定个性化的防御策略,提高防御的针对性和有效性。
3)各项功能需逐项提供截图证明,保证防御功能的可靠性。截图证明可以直观地展示DDoS防御功能的实际运行情况,验证防御策略的有效性和可靠性,让用户对防火墙的防御能力有更直观的了解和信任。
4)多种协议的DDoS防护,全面保护网络安全。不同类型的DDoS攻击可能会利用不同的协议进行攻击,多种协议的防护功能可以确保网络在各种攻击场景下都能得到有效的保护,防止因单一协议防护不足而导致的网络故障和数据丢失。
5)预定义和自定义策略模板,提高防御策略的灵活性。预定义和自定义策略模板的结合,使得用户可以根据网络的实际情况和变化,灵活地调整防御策略,以适应不同的攻击场景和安全需求,提高防御的灵活性和适应性。
6)可根据攻击类型和频率调整防御策略。在实际的网络环境中,DDoS攻击的类型和频率可能会不断变化。通过实时监测攻击类型和频率,并根据监测结果调整防御策略,可以确保防火墙始终保持最佳的防御状态,有效地抵御各种DDoS攻击。
防护协议
攻击类型
防御策略
IP
IP洪水攻击
限制IP连接速率、设置IP黑名单
ICMP
ICMP洪水攻击
限制ICMP流量、过滤异常ICMP包
TCP
SYN洪水攻击、TCP连接耗尽攻击
SYNCookie技术、限制TCP连接数
UDP
UDP洪水攻击
限制UDP流量、过滤异常UDP包
DNS
DNS放大攻击、DNS查询洪水攻击
限制DNS查询速率、过滤异常DNS请求
HTTP
HTTP洪水攻击、慢速HTTP攻击
限制HTTP连接速率、检测异常HTTP请求
HTTPS
HTTPS洪水攻击
限制HTTPS连接速率、检测异常HTTPS请求
SIP
SIP洪水攻击、SIP注册滥用攻击
限制SIP注册请求、过滤异常SIP消息
NTP
NTP放大攻击
限制NTP请求速率、过滤异常NTP包
高级威胁防护功能
1)内置暴力破解检测引擎,支持检测telnet、ftp、mysql、smb、rlogin、ssh、rdp、imap、pop3、smtp等10种协议,有效防范暴力破解攻击。多协议的暴力破解检测引擎可以实时监测网络中的暴力破解行为,及时发现并阻止攻击者通过尝试不同的用户名和密码组合来获取系统访问权限,保护网络设备和数据的安全。
2)支持将暴力破解源IP添加到动态黑名单,及时阻止攻击源。动态黑名单功能可以自动将暴力破解攻击的源IP地址添加到黑名单中,在一定时间内禁止该IP地址对网络进行访问,有效地阻止攻击的继续进行,减少攻击对网络造成的影响。
3)各项功能需逐项提供截图证明,确保防护功能的有效性。截图证明可以直观地展示暴力破解检测和动态黑名单功能的实际运行情况,验证防护功能的有效性和可靠性,让用户对防火墙的高级威胁防护能力有更直观的了解和信任。
4)多协议的暴力破解检测,扩大防护范围。支持多种协议的暴力破解检测,使得防火墙能够对更多类型的网络服务进行保护,扩大了防护的范围,提高了网络的整体安全性。
5)动态黑名单功能,可实时更新阻止列表。动态黑名单会根据最新的攻击情况实时更新,确保阻止列表始终包含最新的攻击源IP地址,有效地防止新的攻击行为,提高了防护的及时性和有效性。
6)及时发现和阻止暴力破解攻击,保护网络设备和数据安全。通过及时发现和阻止暴力破解攻击,可以避免攻击者获取网络设备的访问权限,保护网络中的重要数据和信息不被泄露和篡改,确保网络的安全稳定运行。
检测协议
攻击方式
防护措施
telnet
通过不断尝试用户名和密码进行登录
检测登录失败次数,超过阈值将源IP加入黑名单
ftp
利用弱密码进行登录
监测异常登录行为,对可疑IP进行限制
mysql
暴力破解数据库账号密码
设置登录失败锁定时间,禁止频繁尝试
smb
尝试访问共享资源的账号密码
检测异常连接请求,阻止非法访问
rlogin
通过远程登录进行暴力破解
限制登录频率,对异常登录进行拦截
ssh
暴力破解SSH密钥或密码
使用密钥认证,检测异常登录尝试
rdp
尝试远程桌面连接的账号密码
设置登录失败次数限制,锁定可疑账号
imap
暴力破解邮箱账号密码
监测登录行为,对异常登录进行警告和阻止
pop3
利用弱密码登录邮箱
检测登录失败次数,对可疑IP进行封禁
smtp
尝试发送邮件的账号密码
验证账号密码的有效性,阻止非法发送
终端威胁防御系统参数
安装环境要求
1)客户端安装后至多占用50M硬盘资源,日常内存占用不到30M,有效节省PC/Server资源。低硬盘和内存占用意味着在安装终端威胁防御系统客户端后,不会过多地消耗计算机的硬件资源,使得计算机能够继续流畅地运行其他应用程序,避免因资源不足而导致的系统卡顿和性能下降。
2)低资源占用可确保系统的流畅运行,不影响其他应用程序。由于客户端对资源的需求较低,不会与其他应用程序争夺系统资源,这样可以保证计算机上的各种应用程序都能够正常运行,不会因为安装了防御系统而受到影响,提高了系统的整体稳定性和可用性。
3)节省的资源可用于其他业务需求。在企业或机构的计算机环境中,资源通常是有限的。节省下来的硬盘和内存资源可以用于其他重要的业务应用或数据存储,提高了资源的利用率,为企业的业务发展提供了更多的支持。
4)满足多用户环境下的使用需求。在多用户的计算机环境中,如企业办公网络或学校机房,每个用户的计算机都安装终端威胁防御系统客户端。低资源占用可以确保在大量用户同时使用的情况下,系统仍然能够稳定运行,不会因为资源耗尽而导致部分用户无法正常使用。
5)减少系统负担,提高整体性能。客户端占用资源少,减少了计算机系统的负担,使得系统能够更加高效地处理各种任务,提高了系统的整体性能。同时,也降低了系统出现故障和崩溃的风险,保障了计算机的正常运行。
6)适应不同配置的终端设备。不同用户的终端设备配置可能存在差异,低资源占用的客户端可以适应各种不同配置的计算机,无论是高性能的工作站还是配置较低的笔记本电脑,都能够顺利安装和运行,扩大了系统的适用范围。
安全防护策略
1)WindowsServer端点数为5、Linux客户端点数为5、Windows客户端点数为340,明确不同操作系统的客户端支持数量。明确不同操作系统的客户端支持数量,有助于企业或机构根据自身的网络环境和需求,合理规划和部署终端威胁防御系统,确保系统能够覆盖所有需要保护的终端设备。
2)支持定制安全防护策略,包括病毒防御、系统防御、网络防御、合规管控等多个方面。定制安全防护策略可以根据不同的业务需求和安全风险,为企业或机构提供个性化的安全解决方案。通过对不同方面的防护策略进行定制,可以更有针对性地保护终端设备和网络安全。
3)病毒防御涵盖病毒查杀、文件实时监控、恶意行为监控、U盘保护、下载保护、邮件监控、白名单等多种功能。病毒防御功能是终端威胁防御系统的核心功能之一,通过多种病毒防御手段的结合,可以有效地检测和清除计算机中的病毒、木马、恶意软件等威胁,保护终端设备和数据的安全。
4)系统防御包括浏览器保护、软件安装拦截、系统加固等措施。系统防御功能可以从多个层面保护计算机系统的安全,防止黑客通过浏览器漏洞、恶意软件安装等方式入侵系统。通过系统加固,可以增强系统的安全性和稳定性,减少系统受到攻击的风险。
5)网络防御可防止黑客入侵和恶意网站访问。网络防御功能可以对网络流量进行监控和分析,识别和阻止来自外部网络的攻击和恶意访问,保护终端设备免受黑客入侵和恶意软件的感染。同时,还可以对恶意网站进行拦截,防止用户访问这些网站,避免遭受钓鱼攻击和信息泄露。
6)合规管控可对文档、设备等进行监控和管理。合规管控功能可以帮助企业或机构满足相关的法规和标准要求,对文档的访问、存储和传输进行监控和管理,确保数据的安全性和合规性。同时,还可以对终端设备进行管理,如设备的注册、配置和更新,提高设备的管理效率和安全性。
终端发现功能
1)支持通过PING、ARP、NMAP方式扫描,发现尚未纳入管控的终端。多种扫描方式可以提高终端发现的准确性和全面性。PING扫描可以检测网络中存活的主机,ARP扫描可以获取主机的MAC地址信息,NMAP扫描则可以更详细地了解主机的开放端口和服务信息。通过结合使用这些扫描方式,可以更准确地发现网络中尚未纳入管控的终端设备。
2)支持展示终端的终端在线、离线、安装情况,便于管理员进行管理。展示终端的在线、离线和安装情况可以让管理员实时掌握终端设备的状态,及时发现异常情况并采取相应的措施。例如,如果某个终端设备长时间离线,可能表示该设备出现了故障或被非法移除;如果某个终端设备未安装防御系统客户端,则需要及时进行安装,以确保其安全。
3)多种扫描方式可提高终端发现的准确性。不同的扫描方式具有不同的特点和适用场景,结合使用多种扫描方式可以充分发挥它们的优势,提高终端发现的准确性。例如,PING扫描可以快速检测网络中存活的主机,但可能无法检测到某些防火墙或安全设备屏蔽的主机;而NMAP扫描则可以更详细地了解主机的信息,但扫描速度相对较慢。通过结合使用这两种扫描方式,可以更全面地发现网络中的终端设备。
4)实时掌握终端状态,及时进行管控。实时掌握终端设备的状态可以让管理员及时发现潜在的安全风险,并采取相应的措施进行管控。例如,如果某个终端设备被检测到存在安全漏洞或感染了病毒,管理员可以及时通知用户进行修复或隔离,防止安全事件的扩散。
5)发现潜在的安全风险终端。通过终端发现功能,可以发现网络中一些未被授权或存在安全隐患的终端设备,如非法接入的设备或感染了恶意软件的设备。及时发现这些潜在的安全风险终端,并采取相应的措施进行处理,可以有效地降低网络的安全风险。
6)确保所有终端都在管理范围内。通过不断地扫描和发现网络中的终端设备,可以确保所有的终端设备都被纳入到终端威胁防御系统的管理范围内,避免出现管理漏洞,提高网络的整体安全性。
Webshell检测
1)支持对webshell后门进行扫描检测,webshell后门库数量大于100000。大量的webshell后门库意味着终端威胁防御系统能够检测到更多类型的webshell后门,提高了检测的准确性和全面性。随着网络攻击技术的不断发展,新的webshell后门不断涌现,丰富的后门库可以确保系统能够及时跟上这些变化,有效地检测和防范新的攻击。
2)大量的后门库可提高检测的准确性和全面性。更多的后门库样本可以让系统学习到更多的webshell后门特征,从而更准确地识别和检测出隐藏在网站或服务器中的webshell后门。同时,也可以减少误报和漏报的情况,提高检测的可靠性。
3)及时发现和清除webshell后门。一旦检测到webshell后门,系统可以及时通知管理员,并提供相应的处理建议,帮助管理员快速清除后门,避免后门对网站或服务器造成进一步的破坏和数据泄露。
4)保护系统免受webshell攻击。Webshell攻击是一种常见的网络攻击手段,攻击者可以通过上传webshell后门文件,获取网站或服务器的控制权,进行非法操作。及时检测和清除webshell后门可以有效地保护系统免受这种攻击,确保网站和服务器的安全稳定运行。
5)定期更新后门库,确保检测效果。随着新的webshell后门不断出现,定期更新后门库是保证检测效果的关键。通过及时更新后门库,系统可以学习到最新的后门特征,提高对新出现的后门的检测能力,保持检测的准确性和有效性。
6)结合其他安全防护措施,增强系统安全性。Webshell检测只是终端威胁防御系统的一部分功能,结合其他安全防护措施,如防火墙、入侵检测系统等,可以形成多层次的安全防护体系,进一步增强系统的安全性,提高对各种网络攻击的抵御能力。
检测指标
说明
重要性
后门库数量
大于100000个
数量越多,检测越全面
检测准确率
高
准确识别webshell后门
误报率
低
减少不必要的干扰
更新频率
定期
跟上新后门的出现
与其他防护措施结合
紧密
增强整体安全性
勒索病毒诱捕
1)支持开启勒索诱捕功能,设置诱饵文件并实时监控。勒索诱捕功能通过设置诱饵文件,模拟重要的文件或数据,吸引勒索病毒的攻击。同时,对诱饵文件进行实时监控,一旦发现有勒索病毒对其进行加密操作,系统可以立即采取措施进行拦截。
2)当勒索病毒对该文件进行加密操作时进行拦截,有效防范勒索病毒攻击。通过实时监控诱饵文件的状态,当检测到勒索病毒开始对诱饵文件进行加密时,系统可以迅速阻断病毒的加密进程,防止病毒进一步扩散和加密其他重要文件,从而保护用户的重要数据免受勒索。
3)实时监控诱饵文件状态。实时监控可以确保系统及时发现勒索病毒的攻击行为,在病毒加密文件的初期就进行拦截,减少数据被加密的风险。同时,也可以记录病毒的攻击过程和特征,为后续的分析和防范提供依据。
4)及时发现勒索病毒活动。通过设置诱饵文件和实时监控,可以更早地发现勒索病毒在网络中的活动迹象,及时采取措施进行防范和处理,避免勒索病毒大规模传播和造成严重的损失。
5)阻止勒索病毒的加密行为。一旦发现勒索病毒对诱饵文件进行加密,系统可以立即采取措施阻止加密行为的继续进行,保护用户的重要数据不被加密。即使勒索病毒已经开始加密其他文件,也可以通过及时阻断,减少被加密文件的数量和范围。
6)保护重要数据免受勒索。勒索病毒攻击往往会导致用户的重要数据被加密,需要支付高额赎金才能解锁。勒索诱捕功能可以有效地防止这种情况的发生,保护用户的重要数据安全,避免因数据丢失或泄露而带来的经济损失和其他后果。
功能特性
说明
作用
诱饵文件设置
可自定义设置诱饵文件
吸引勒索病毒攻击
实时监控
对诱饵文件进行实时监控
及时发现攻击行为
拦截机制
当检测到加密操作时进行拦截
阻止勒索病毒加密
数据保护
保护重要数据不被加密
避免数据丢失和损失
攻击记录
记录勒索病毒攻击过程
为分析和防范提供依据
系统加固功能
1)支持系统加固,从系统文件保护、病毒免疫、进程保护、注册表保护、危险动作拦截、执行防护等多个维度对系统进行防护。系统加固功能通过多个维度的防护措施,全面地保护计算机系统的安全。系统文件保护可以防止系统文件被篡改或删除,病毒免疫可以增强系统对病毒的抵抗力,进程保护可以监控和管理系统中的进程,防止恶意进程的运行,注册表保护可以保护系统注册表的安全,危险动作拦截可以阻止用户进行一些危险的操作,执行防护可以对程序的执行进行控制,确保只有合法的程序才能运行。
2)各项功能需逐项提供截图证明,确保加固措施的有效性。截图证明可以直观地展示系统加固功能的实际运行情况,验证各项加固措施的有效性和可靠性。通过提供截图,可以让管理员和用户更清楚地了解系统加固的效果,增强对系统安全的信心。
3)多维度的系统加固,全面保护系统安全。从多个维度对系统进行加固,可以形成一个多层次的安全防护体系,有效地抵御各种类型的网络攻击和恶意软件的入侵。不同维度的加固措施相互配合,共同保护系统的安全,提高了系统的整体安全性和稳定性。
4)防止系统文件被篡改。系统文件是计算机系统正常运行的基础,如果系统文件被篡改或删除,可能会导致系统无法正常启动或出现各种故障。系统文件保护功能可以对系统文件进行实时监控和保护,防止其被非法修改或删除,确保系统的稳定性和可靠性。
5)增强系统的病毒免疫力。病毒免疫功能可以让系统学习到常见病毒的特征,提前做好防范准备,当遇到病毒攻击时,能够迅速识别并采取相应的防护措施,减少病毒对系统造成的损害,增强系统的抗病毒能力。
6)监控和保护系统进程。系统进程是计算机系统运行的核心,恶意进程的运行可能会导致系统性能下降、数据泄露或被篡改等问题。进程保护功能可以实时监控系统中的进程,识别和阻止恶意进程的运行,确保系统的正常运行和数据安全。
运维安全审计系统参数
产品性能指标
1)接口为千兆电口≥5个,SFP插槽≥2个,满足网络连接需求。足够数量的千兆电口和SFP插槽可以提供高速稳定的网络接口,使得运维安全审计系统能够与各种网络设备进行连接,实现对网络流量的监控和审计。多个接口也方便了系统的部署和扩展,适应不同规模的网络环境。
千兆电口SFP插槽
2)数据盘1T硬盘,提供充足的存储空间。1T的硬盘容量可以满足系统对大量审计数据的存储需求,确保系统能够长期保存审计记录,以便后续的查询和分析。大量的存储空间也为系统的持续运行提供了保障,避免因存储空间不足而导致数据丢失或系统故障。
3)单电源,保障设备正常运行。单电源设计在一定程度上简化了设备的结构和维护工作,同时也能够为设备提供稳定的电力供应,确保设备在正常的电源环境下能够持续稳定地运行。
4)含50个主机/设备许可,明确系统可管理的设备数量。50个主机/设备许可规定了系统能够同时管理和审计的设备数量上限,企业或机构可以根据自身的网络规模和需求,合理规划和部署系统,确保系统能够覆盖所有需要审计的设备。
5)图形并发25,字符并发50,体现系统的并发处理能力。图形并发和字符并发能力反映了系统在同一时间内能够处理的图形和字符界面的连接数量。较高的并发处理能力可以确保在多个用户同时访问系统时,系统能够快速响应,提供流畅的操作体验,提高工作效率。
6)含一年软件升级许可和一年硬件维保,提供后续服务保障。一年的软件升级许可可以让系统及时获得最新的功能和安全补丁,提高系统的性能和安全性。一年的硬件维保服务则为设备的正常运行提供了保障,在设备出现故障时能够及时得到维修和更换,减少因硬件问题导致的系统停机时间。
性能指标
具体要求
作用
接口
千兆电口≥5个,SFP插槽≥2个
满足网络连接需求,便于部署和扩展
数据盘
1T硬盘
提供充足的存储空间,保存审计记录
电源
单电源
保障设备正常运行
主机/设备许可
50个
明确系统可管理的设备数量
图形并发
25
体现系统图形界面的并发处理能力
字符并发
50
体现系统字符界面的并发处理能力
软件升级许可
一年
提供最新功能和安全补丁
硬件维保
一年
保障设备正常运行,及时维修和更换
工作模式特点
1)采用物理旁路部署,不改变现有网络结构,降低对现有网络的影响。物理旁路部署方式意味着运维安全审计系统不会直接接入网络中的数据传输路径,而是通过监听网络流量来进行审计。这种部署方式不会对现有网络的拓扑结构和数据传输造成影响,减少了因部署审计系统而带来的网络故障和性能下降的风险。
2)支持双机部署,保证系统发生故障时的可用性。双机部署是一种常见的高可用性解决方案,通过配置两台审计系统,当其中一台系统出现故障时,另一台系统可以立即接替工作,确保审计工作的连续性,避免因系统故障而导致审计数据的丢失和业务的中断。
3)物理旁路部署可实现对网络流量的透明监控。由于不改变现有网络结构,审计系统可以在不影响网络正常运行的情况下,对网络流量进行实时监控和审计,获取准确的审计数据。这种透明监控方式可以让管理员更全面地了解网络中的活动情况,及时发现潜在的安全问题。
4)双机部署可提高系统的可靠性和稳定性。双机部署通过冗余设计,增加了系统的可靠性和稳定性。在一台系统出现故障时,另一台系统可以迅速接管工作,减少了系统停机的时间,保证了审计工作的持续进行,提高了系统的可用性和业务的连续性。
5)在系统故障时可快速切换,减少业务中断时间。双机部署的切换机制可以在系统出现故障时迅速响应,实现自动化的切换,将业务中断时间降到最低。这对于一些对审计工作要求较高的企业或机构来说尤为重要,可以避免因审计工作中断而带来的潜在风险和损失。
6)适应不同规模和要求的网络环境。物理旁路部署和双机部署的工作模式特点使得运维安全审计系统能够适应不同规模和要求的网络环境。无论是小型企业网络还是大型企业级网络,都可以根据实际情况选择合适的部署方式,确保系统能够有效地发挥作用。
资产管理功能
1)支持资产网域化管理,按照不同局域网进行资产配置和管理。资产网域化管理可以将网络中的资产按照不同的局域网进行划分和管理,每个网域可以有独立的资产配置和访问权限。这种管理方式可以提高资产的管理效率和安全性,方便管理员对不同区域的资产进行分类和监控。
2)网域化管理可提高资产的管理效率和安全性。通过将资产划分为不同的网域,可以减少管理的复杂度,使得管理员能够更快速地定位和管理特定区域的资产。同时,不同网域可以设置不同的访问权限,加强了对资产的安全保护,防止未经授权的访问和操作。
3)便于对不同局域网的资产进行分类和监控。在大型企业或机构的网络中,通常存在多个不同的局域网,每个局域网可能有不同的资产类型和使用需求。资产网域化管理可以根据局域网的特点对资产进行分类和管理,便于管理员对不同局域网的资产进行监控和维护,及时发现资产的异常情况。
4)实现资产的集中管理和统一配置。资产网域化管理可以将分散在各个局域网中的资产进行集中管理,通过统一的管理界面进行配置和操作。这样可以提高管理的效率,减少管理成本,同时也便于对资产进行统一的安全策略配置和更新。
5)及时发现和处理资产异常情况。通过对不同网域的资产进行监控,管理员可以及时发现资产的异常情况,如资产的丢失、损坏或异常访问等。及时发现和处理这些异常情况可以避免资产的进一步损失和安全风险的扩大,保障网络的正常运行。
6)提高资产的利用率和价值。通过合理的资产配置和管理,资产网域化管理可以提高资产的利用率,避免资产的闲置和浪费。同时,也可以根据资产的使用情况和需求,对资产进行优化和调整,提高资产的价值和效益。
管理特性
说明
优势
网域化管理
按不同局域网划分资产
提高管理效率和安全性
分类管理
对不同类型资产分类
便于监控和维护
集中管理
统一管理界面和配置
提高管理效率,降低成本
异常监控
及时发现资产异常
避免损失和风险扩大
资产优化
根据使用情况调整资产
提高资产利用率和价值
快捷菜单优势
1)支持快捷菜单,用户可自行设置快捷菜单项,快速定位至此功能。快捷菜单允许用户根据自己的使用习惯和需求,将常用的功能设置为快捷菜单项,这样在需要使用这些功能时,无需在复杂的菜单中进行查找,只需点击快捷菜单中的相应选项即可快速打开该功能,大大提高了操作的效率。
2)方便用户查找经常使用的功能,提高工作效率。对于频繁使用某些功能的用户来说,快捷菜单可以节省大量的时间和精力,避免在繁琐的菜单操作中浪费时间。通过快速定位到常用功能,用户可以更高效地完成工作任务,提高工作效率。
3)用户可根据自己的使用习惯进行设置。不同的用户对功能的使用频率和偏好可能不同,快捷菜单的自定义设置功能可以满足用户的个性化需求。用户可以根据自己的实际情况,将最常用的功能添加到快捷菜单中,使操作更加符合自己的使用习惯,提高了用户体验。
4)减少操作步骤和时间。快捷菜单直接提供了常用功能的入口,减少了用户在菜单中查找和选择功能的操作步骤,从而缩短了操作时间。在一些需要频繁使用某些功能的场景下,这种操作步骤的减少可以显著提高工作效率。
5)提高系统的易用性和用户体验。快捷菜单的存在使得系统的操作更加便捷和直观,降低了用户的学习成本和操作难度。用户可以更加轻松地使用系统的各项功能,提高了系统的易用性和用户体验,增强了用户对系统的满意度和忠诚度。
6)适应不同用户的操作需求。由于不同用户的操作习惯和需求存在差异,快捷菜单的自定义设置功能可以适应各种不同类型的用户。无论是新手用户还是熟练用户,都可以根据自己的需求设置快捷菜单项,使系统更好地满足自己的操作需求。
账号管理特色
1)等价账号,可配置为等价账号的账号为同一资产不同协议的同名账号。等价账号的设计可以将同一资产不同协议下的同名账号进行关联和管理,方便用户对这些账号进行统一的操作和维护。例如,对于一个服务器资产,可能存在SSH、Telnet等不同协议的登录账号,通过配置等价账号,可以将这些账号视为一个整体进行管理。
2)等价账号主要用于账号改密,通过将同名账号配置为等价账号,可实现改密任务改密等价账号密码时,会将等价账号中所有不同协议同名账号的密码一并修改。在进行账号密码修改时,使用等价账号功能可以避免用户需要分别对不同协议的同名账号进行逐个修改的麻烦,提高了密码修改的效率和准确性。同时,也可以确保同一资产不同协议下的账号密码保持一致,增强了账号的安全性。
3)提供功能截图证明,确保功能的可用性。功能截图可以直观地展示等价账号和账号改密功能的实际运行情况,验证功能的有效性和可靠性。通过提供截图,用户可以更清楚地了解这些功能的操作方法和效果,增强对系统功能的信心。
4)简化账号管理流程。等价账号的使用可以将多个相关账号的管理合并为一个操作,减少了账号管理的复杂度。在进行账号创建、修改、删除等操作时,只需对等价账号进行操作,系统会自动同步到所有关联的账号,简化了管理流程,提高了工作效率。
5)提高账号密码管理的安全性。通过将同一资产不同协议下的同名账号密码保持一致,可以避免因密码不一致而带来的安全风险。同时,在进行密码修改时,统一修改等价账号的密码可以确保所有关联账号的密码都得到及时更新,提高了账号密码管理的安全性。
6)减少账号密码管理的工作量。在传统的账号管理方式下,对同一资产不同协议的同名账号进行密码修改需要分别进行操作,工作量较大。而等价账号功能可以将这些操作合并为一次,大大减少了账号密码管理的工作量,节省了时间和精力。
密码托管作用
1)支持对已添加的设备账号进行密码托管,从而实现单点登录功能。密码托管功能可以将设备账号的密码集中存储和管理,用户在登录相关设备时,无需手动输入密码,系统会自动完成认证过程,实现单点登录。这大大提高了用户登录设备的便捷性,减少了用户记忆多个账号密码的负担。
2)提高用户登录的便捷性和安全性。单点登录功能让用户只需一次登录操作,就可以访问多个相关的设备和系统,避免了频繁输入密码的麻烦。同时,密码托管采用了安全的存储和管理方式,对密码进行加密保护,提高了密码的安全性,防止密码泄露和被盗用。
3)减少用户记忆多个账号密码的负担。在企业或机构的网络环境中,用户通常需要管理多个设备和系统的账号密码,记忆这些密码不仅困难,而且容易出错。密码托管功能可以将这些密码集中管理,用户只需记住一个主密码,就可以通过单点登录访问所有相关的设备和系统,减轻了用户的记忆负担。
4)防止账号密码泄露。密码托管采用了先进的加密技术对密码进行存储和传输,确保密码在存储和传输过程中的安全性。同时,系统还可以设置严格的访问权限和审计机制,对密码的使用和管理进行监控,防止账号密码被非法获取和泄露。
5)增强系统的安全性和可靠性。通过密码托管和单点登录功能,可以减少因用户密码管理不善而带来的安全风险,如密码泄露、被盗用等。同时,系统可以对密码进行统一的管理和更新,确保所有设备和系统的密码都符合安全要求,增强了系统的安全性和可靠性。
6)适应多设备、多账号的使用场景。在现代企业或机构的网络环境中,用户通常需要使用多个设备和系统进行工作。密码托管和单点登录功能可以很好地适应这种多设备、多账号的使用场景,为用户提供便捷、安全的登录方式,提高了工作效率和用户体验。
区分一般参数
防火墙系统一般参数
报表相关参数
1)内置不少于20种预定义报表模板,可提供多种报表类型。丰富的预定义报表模板可以满足不同用户和不同场景下的报表需求,用户无需手动创建报表,只需选择合适的模板即可快速生成所需的报表,大大提高了报表生成的效率。
2)支持应用流量、用户流量、上网行为、威胁统计等报表,满足不同的统计需求。这些报表类型可以从不同的角度反映网络的使用情况和安全状况,帮助管理员了解网络的运行状态,及时发现潜在的问题和风险。例如,应用流量报表可以显示各个应用程序的流量使用情况,帮助管理员优化网络资源的分配;威胁统计报表可以展示网络中出现的各种威胁类型和数量,帮助管理员采取相应的防范措施。
3)支持报表自定义,用户可根据自身需求定制报表内容。报表自定义功能允许用户根据自己的特定需求,对报表的格式、内容、统计条件等进行个性化设置。这样可以生成更符合用户实际需求的报表,满足用户的特殊统计和分析要求。
4)报表功能可帮助管理员了解网络使用情况和安全状况。通过查看各种报表,管理员可以直观地了解网络中各个方面的情况,如哪些应用程序占用了大量的网络流量,哪些用户的上网行为存在异常,网络中是否存在潜在的安全威胁等。这些信息可以为管理员制定网络管理策略和安全措施提供有力的依据。
5)多种预定义模板可提高报表生成的效率。预定义报表模板已经包含了常见的报表格式和统计逻辑,用户只需选择合适的模板,即可快速生成报表,无需从头开始创建。这大大节省了时间和精力,提高了工作效率。
6)自定义功能可满足个性化的报表需求。不同的用户和不同的场景可能有不同的报表需求,报表自定义功能可以让用户根据自己的实际情况进行定制,生成符合自己需求的报表。这种个性化的报表可以更准确地反映用户关注的信息,为用户提供更有价值的决策支持。
报表类型
功能描述
适用场景
应用流量报表
显示各个应用程序的流量使用情况
优化网络资源分配
用户流量报表
统计各个用户的流量使用情况
监控用户上网行为
上网行为报表
记录用户的上网行为,如访问的网站、使用的应用等
发现异常上网行为
威胁统计报表
展示网络中出现的各种威胁类型和数量
制定安全防范措施
审计相关参数
1)支持独立审计策略,可对URL地址、网页标题、网页内容、邮件行为、邮件内容、FTP上传/下载文件名、FTP上传文件内容进行审计。独立审计策略允许管理员根据不同的审计需求,对不同的网络行为和数据进行有针对性的审计。通过对这些内容的审计,可以及时发现潜在的安全问题,如非法访问、数据泄露、恶意软件传播等。
2)支持审计白名单,可排除不需要审计的内容。审计白名单可以让管理员将一些已知安全的URL地址、邮件地址、文件类型等添加到白名单中,在审计过程中,系统将自动排除这些白名单中的内容,减少不必要的审计工作量,提高审计效率。
3)各项功能需逐项提供截图证明,确保审计功能的有效性。截图证明可以直观地展示审计功能的实际运行情况,验证审计策略的有效性和可靠性。通过提供截图,管理员可以更清楚地了解审计功能的效果,确保审计工作的准确性和完整性。
4)独立审计策略可灵活配置审计范围。管理员可以根据企业或机构的安全策略和实际需求,灵活调整独立审计策略的配置,选择需要审计的内容和审计的深度。这样可以更好地满足不同用户和不同场景下的审计需求,提高审计的针对性和有效性。
5)审计白名单可提高审计效率。通过排除不需要审计的内容,审计白名单可以减少审计系统的工作量,缩短审计时间,提高审计效率。同时,也可以减少因审计大量无关内容而产生的误报和干扰,提高审计结果的准确性。
6)全面审计可发现潜在的安全风险。对URL地址、网页内容、邮件行为等多个方面进行全面审计,可以从多个角度发现网络中的潜在安全风险。例如,通过审计网页内容,可以发现网页中是否存在恶意脚本或钓鱼链接;通过审计邮件行为,可以发现是否存在邮件诈骗或数据泄露等问题。及时发现这些潜在的安全风险,可以采取相应的措施进行防范和处理,保障网络的安全稳定运行。
审计内容
审计方式
作用
URL地址
检查访问的URL是否合法
防止非法访问
网页标题和内容
分析网页是否存在恶意信息
发现恶意脚本和钓鱼链接
邮件行为和内容
监测邮件是否存在诈骗或数据泄露
防范邮件安全风险
FTP上传/下载
审查文件名和文件内容
防止恶意文件传播
其他相关参数
1)部分功能可能在特定场景下使用频率较低,但仍需满足基本要求。虽然这些功能在某些
技术参数响应说明
说明产品满足参数
防火墙系统参数响应
产品性能响应
我公司提供的防火墙系统,其接口设计充分满足本项目需求。配备千兆电口≥6个,可实现高速稳定的数据传输;千兆光插槽≥4个,拓展了网络连接的多样性。冗余电源的配置,确保系统在突发电力问题时仍能持续运行,保障业务不间断。扩展槽位≥2个,方便后续根据业务发展进行功能升级。在性能方面,防火墙吞吐≥20G,能够高效处理大量网络流量;并发连接≥500万,满足大规模网络环境下的多用户访问需求。同时,该系统默认包含应用识别功能,可精准识别各类网络应用,为网络安全管理提供有力支持。此外,还含1年应用特征库升级许可、IDP攻击规则特征库1年升级许可,确保系统能及时应对不断变化的网络威胁。相关证明材料见产品说明书,可充分证明产品完全满足性能要求。
路由交换功能响应
我公司的防火墙系统在路由交换功能上表现卓越。它全面支持RIP、RIPng、OSPF、OSPFv3、BGP4、QinQ(VLANVPN)、PIM-SM、PIM-DM、IPv6静态和动态组播路由等多种路由协议。通过这些协议,系统能够灵活地进行网络拓扑构建和数据转发,适应不同的网络环境和业务需求。为了证明这些功能的有效性,我们可提供对应功能的截图证明。无论是在大型企业网络还是复杂的云计算环境中,该系统都能确保数据的高效传输和网络的稳定运行,完全满足本项目对路由交换功能的要求。
地址转换功能响应
此防火墙系统具备强大的地址转换功能。它支持源/目的NAT、双向NAT,可灵活地进行网络地址转换,实现内外网之间的互联互通。同时,支持源IP转换同一性,确保数据传输的准确性和安全性。此外,还支持端口块地址转换和EIM地址转换,以及NAT64、NAT46、NAT66地址转换,满足不同网络环境下的地址转换需求。为了证明这些功能的实现,我们可提供对应功能的截图证明。在实际应用中,该系统能够有效地解决IP地址短缺问题,提高网络的安全性和可用性,符合本项目对地址转换功能的要求。
终端威胁防御系统参数响应
安装环境响应
我公司的终端威胁防御系统在安装环境方面具有显著优势。客户端安装后至多占用50M硬盘资源,日常内存占用不到30M,这一特性有效节省了PC/Server资源。在当今企业级网络环境中,大量的终端设备需要安装安全防护软件,而资源的有效利用至关重要。该系统的低资源占用率,使得企业无需为了安装安全软件而对现有设备进行大规模升级,降低了企业的IT成本。证明材料见产品检测报告,报告详细记录了系统在不同环境下的资源占用情况,充分证明了系统满足安装环境要求。
安全防护策略响应
此终端威胁防御系统拥有全面且灵活的安全防护策略。WindowsServer端点数为5、Linux客户端点数为5、Windows客户端点数为340,能够满足不同规模企业网络的安全防护需求。系统支持定制安全防护策略,涵盖了病毒防御、系统防御、网络防御、合规管控及其他设置等多个方面。在病毒防御方面,具备病毒查杀、文件实时监控、恶意行为监控等功能,可有效防范各类病毒入侵;系统防御功能包括浏览器保护、软件安装拦截等,保护系统的核心组件不受攻击;网络防御则通过黑客入侵拦截、IP协议控制等手段,确保网络的安全性;合规管控涵盖文档检测、设备监控等多项内容,帮助企业满足相关法规和行业标准的要求。这些丰富的安全防护策略,为企业网络提供了全方位的安全保障,符合本项目对安全防护策略的要求。
终端发现功能响应
终端威胁防御系统的终端发现功能十分强大。它支持通过PING、ARP、NMAP方式扫描,能够快速、准确地发现尚未纳入管控的终端。在企业网络中,随着业务的发展和设备的不断增加,新设备的接入可能会带来安全隐患。该系统的终端发现功能可以及时发现这些新设备,并将其纳入管控范围。同时,系统支持展示终端的终端在线、离线、安装情况,方便管理员实时掌握终端的状态。无论是在日常的网络管理中,...
网络安全等级保护三级项目投标方案.docx
