重庆师范大学涉外商贸学院网络信息安全建设招标
发布时间:2016-05-04发布人:信息发布员点击:

  一、项目概况
项目名称: 网络信息安全建设(344万财政校园网络安全建设)
建设地点:全校
    建设内容:系统软件
二、投标人资格要求
(一)基本资格条件
1 .具有独立承担民事责任的能力。
2 .具有良好的商业信誉和健全的财务会计制度(提供诚信声明)。
3 .具有履行合同所必须的设备和专业技术能力(提供诚信声明)。
4 .有依法缴纳税收和社会保障资金的良好记录。(提供诚信声明)
5 .企业注册资金100万元以上
( 二)其他相关资质
安全网关主机具备公安部《计算机信息系统安全专用产品销售许可证》(提供证书证明,加盖原厂章)    
生产厂商具备中国信息安全测评中心《信息安全服务资质证书》(二级)(提供证书证明,加盖原厂章)    
生产厂商网络安全产品的设计和服务按照TL9000-HS R5.5/R5.0质量管理体系标准要求建立并实施,并提供相应认证证书。(提供证书证明,加盖原厂章)    
三、 投标须知:
1.   投标截止日期:2016年518
2.   投标地址:重庆师范大学涉外商贸学院财务处,4210办公室
3.   投标保证金:
项目投标保证金一万元开标前汇入学校账户。
账户名:重庆师范大学涉外商贸学院
账号:3100094019200108067
开户行:中国工商银行重庆合阳支行
联系人:张老师     联系电话: 15025319318
四.需求
(一)、网络信息安全的目标和任务
我校网络信息安全的主要目标是保障学校各种应用系统、网站、数据库、服务器及存储数据的安全,安全范畴主要为:
1 、防:防网络攻击、防网络篡改、防网络渗透、防数据泄露、防隐私泄露;除此以外,还需要对各种提供信息服务的设备提供定期的安全漏洞扫描。
2 、控:出现网络安全事件之后,能够迅速的对攻击行为进行分析和阻断,并对攻击源地址进行追查。
3 、告警:当出现攻击行为之后,能够通过网络对管理人员进行告警行为。
4 、行为记录:将各种网络攻击或渗透行为进行记录,形成固定的黑白名单,当出现网络攻击行为后,能够及时的找到攻击的位置和篡改的内容,从而保证信息数据不会遭到破坏,并能对攻击行为进行朔源。
针对我校目前的网络安全现状,需要从管理方面和技术防范两个方面进行:
1 、管理方面:加强网站站群建设,通过站群系统规范管理网站安全,杜绝各个二级的不规范代码,真正落实网站的责任审批制度,确保学校主网站和二级网站的真正安全。
2 、技术防范方面:
(1)对网站类的BS架构主页和应用系统进行应用层次的防护,防止网站和BS应用系统遭到攻击、篡改和破坏。
(2)对数据中心的服务器和业务系统进行入侵检测,确保访问服务器的各种数据能进行收集、查询、警告和阻断,确保服务器和操作系统的绝对安全。
(3)需要对学校的服务器和应用系统进行安全漏洞的扫描,确保服务器和应用系统的安全。
五、设备需求描述:
1 、网站安全、信息系统的防篡改
网站是一种面向公众的服务信息平台,首先需要应对各种公众访问和公众造成的威胁。我们并不清楚将要面临的风险到底是什么,可能是SQL注入、XSS跨站攻击或DDOS攻击等,另外网站的信息也面临篡改的威胁。随着应用系统不断增多,如仅使用人力来应对无时无刻的网络攻击,显然是很难的。其次,我校网站没有整体统一的数据编码,没有统一的后台,没有统一的安全防护,导致二级网站非常容易被来自公众网络的黑手所攻击。所以,针对目前的情况,学校一方面是要安装一台WAF设备,对所有的信息系统进行安全防护和防篡改操作,另外一方面是需要建立一套完整的网站群系统,以保证网站代码上的安全。
2 、入侵检测IPS与行为管理的互动
入侵管理和行为管理是网络安全管理中相辅相成的两个部分。行为管理主要是对内部用户上网访问所产生的行为进行审计和阻断;入侵检测IPS是对外部访问和威胁进行审计和阻断,两者一内一外,形成了对于网络出口的安全和防护。
3 、漏洞扫描和服务器安全
漏洞扫描是针对服务器的软件、硬件、操作系统和应用系统进行全方面扫描的工具,可以及时找到系统安全漏洞并及时打补丁的硬件设备。由于目前网络和服务应用不断增多,需要从安全的角度对服务器设备进行安全漏洞的扫描,以保证网络安全漏洞不被网络中的黑手所利用,从而从根本上保证网络服务的正常运行和安全。
六、安全设备技术要求
1 、总体要求(以下要求为必须满足要求)
(1)安全设备系统用于学校数据中心的综合安全防护,总数1套;建设完成后数据中心安全网关应实现的功能包括:漏洞扫描业务设备、入侵防御业务设备、WEB应用防火墙业务设备;
(2)适应未来访问量的增加和保护学校投资,安全网关应具备各业务模块性能和功能平滑扩展升能的能力;
(3)入侵防御业务系统、WEB应用防火墙业务系统(WAF)、漏洞扫描业务系统必须为同一品牌,且分别由独立专用硬件实现并提供产品照片,可以进行统一管理、配置和安全事件分析;
(4)售后服务:硬件产品原厂质保不低于3年;质保期内软件免费升级;系统所有功能需要的特征库免费升级服务不低于3年;签订合同时须提供原厂授权书及售后服务承诺函。
(5)中标供应商所投产品不能为OEM产品且所投产品必须在厂商官方网站上能够查询到产品具体型号及参数。中标供应商必须完成中标设备的网络集成,设备调试必须由设备原厂商工程师完成。
2 、设备详细指标
技术指标    
技术描述    
★系统架构    
为实现扁平化组网和方便后期针对性能和功能的扩展,数据中心安全网关要求采用机框式多扩展插槽架构,非x86、工控机架构;    
★型号说明    
投标产品必须为现有平台销售产品,并在制造商官方网站上能找到相对应的投标产品型号(提供官网截图及链接并加盖原厂章证明);    
★系统容量    
≥22Tbps      (提供设备厂家官方截图,加盖原厂章证明,如果官方网站以X/Y双指标出现,以低参数为准)    
★转发性能    
≥4800Mpps      (提供设备厂家官方截图,加盖原厂章证明,如果官方网站以X/Y双指标出现,以低参数为准)    
★业务槽数    
≥10(业务槽位为全尺寸槽位,不允许使用半宽业务槽位,且不包含主控、交换网板、电源槽位)    
★系统可靠性    
电源M+N冗余,配置电源数量≥4    
主控板支持1+1冗余,主控故障或切换时设备最大转发性能不受任何影响    
如果使用了具备交换网板的设备,要求满配交换网板保证线速转发    
★业务模块支持能力    
为实现扁平化组网和方便后期针对性能和功能的扩展,安全网关要求支持:防火墙、入侵防御、抗DDOS攻击、负载均衡、SSL VPN、Web应用防火墙、漏洞扫描等硬件业务板卡。(提供设备厂家官方网站介绍截图,加盖原厂章证明)    
入侵防御业务系统    
★1、端口:万兆端口≥4个,千兆电口≥12个,千兆光口≥12个;    
2      、吞吐量≥20G    
3      、并发连接数≥3000万    
4      、每秒新建连接≥50万    
5      、内置IPS特征库,特征规则数量不少于5500条;具备系统一键修改特征级别的功能,用户可根据自身安全需求将特征内容根据流行度规则高低进行检索,并可一键修改流行度规则级别(警告、一般、严重、致命、废除);(需提供产品配置截图证明,并加盖原厂鲜章);    
6      、可根据IT资源的类型定义保护规则,支持对操作系统如Windows、Unix/Linux、Novell、Sun Solaris、Mac OS、AIX;办公软件如Microsoft Office、WPS、Adobe Acrobat;应用软件如聊天类软件、下载类软件、游戏、媒体播放器、安全杀毒软件、备份软件、邮件客户端;数据库如Mysql、MS-SQL、OracleSybase、DB2、Access、Postgre SQL;WEB应用如Apache、Microsoft IIS、WebLogic、Tomcat、Resin、CGI、WEB;浏览器如IE、Firefox、Netscape、Maxthon、Tencent Traveler;邮件服务器如微软Exchange、Postfix、SendMail、Qmai、lMdaemon等IT资源进行保护;(需提供产品配置截图证明,并加盖原厂鲜章)    
7      、支持IPv4、IPv6环境下的攻击检测,支持基于多种协议类型的深度攻击防御,如IP、ARP、IGMP、GGP、ICMP、TCP、UDP、SSH、PPTP、POP3、SQL server、HTTP、IMAP3、SHELL、PRINTER、MYSQL、HTTPS、RTSP、SNMP、NFS、MOUNT进行深度检测,并可提供设置预定义的致命特征动作、严重特征动作、一般特征动作、告警特征动作四个级别进行防御;(需提供产品配置截图证明,并加盖原厂鲜章)    
8      、具备自定义攻击特征功能,可以灵活的定义特征流的出入方向、协议类型,可以根据固定的字符串格式、正则表达式、源目的IP、TTL值、TCP和UDP源目的端口设置特征,并可以设置特征的严重等级,根据告警、一般、严重、致命四种流行度规则进行定义,以满足用户不同级别的安全需求;(需提供产品配置截图证明,并加盖原厂鲜章)    
9      、集成第三方专业防病毒厂商的专业病毒库,特征规则数量不少于10000条;(能提供与防病毒厂商的合作证明,并加盖原厂鲜章)    
10      、具备对病毒感染主机或黑客主机的网络隔离功能,用户可以根据自身的安全需求设置高、中、低三种流行度规则,可以设置告警、阻断、邮件病毒替换、TCP Reset等方式进行防御,并且用户可以自定义配置告警推送内容;(需提供产品配置截图证明,并加盖原厂鲜章)    
11      、一台探测器实体可被虚拟成多个独立的虚拟探测引擎,每个虚拟探测引擎支持多监听口并行数据采集,各个独立地虚拟系统支持配置相应的策略实现在数据汇聚分析基础上再进行攻击检测;(需提供产品配置截图证明,并加盖原厂鲜章)    
★12、支持将多块业务板卡虚拟成一块板卡来处理业务,增强业务处理的可靠性;(提供第三方权威机构测试报告,加盖原厂章证明)    
★13、具备公安部《计算机信息系统安全专用产品销售许可证》;    
★14、具备国家保密局《涉密信息系统产品检测证书》;    
★15、本次配置入侵防御业务模块必须由专用硬件实现,在本项目中独立使用,且不和其它业务模块共享硬件资源,并提供产品照片,并加盖原厂鲜章;    
WEB      应用防火墙业务系统    
★1、端口:万兆端口≥4个,千兆电口≥12个,千兆光口≥12个;    
2      、吞吐量≥20G    
3      、并发连接数≥700万    
4      、每秒新建连接≥10万    
5      、能够防护SQL注入攻击、XSS攻击、命令注入、目录遍历、LDAP注入、Strust1/2注入等多种攻击参数攻击手段,能够提供自定义白名单,防止误报影响业务正常使用;(需提供产品配置截图证明,并加盖原厂鲜章)    
6      、支持HTTP0.9/1.0/1.1版本以及GET、POST、HEAD等方法的请求行正规化配置;并且能够自定义方法的黑白名单;(需提供产品配置截图证明,并加盖原厂鲜章)    
7      、针对Cookie总长,参数个数及长度提供正规化配置;针对HOST、User-Agent字段能够提供正规化校验;(需提供产品配置截图证明,并加盖原厂鲜章)    
8      、能够将敏感信息内容(如:账号、身份信息)以及服务器相关进行隐藏,并且能够自定义信息内容;(需提供产品配置截图证明,并加盖原厂鲜章)    
9      、具备防盗链能力,并且支持白名单例外。(需提供产品配置截图证明,并加盖原厂鲜章)    
10      、提供EXCEL、PDF等多种格式的日志统计报表,提供遭受攻击TOP10服务器、攻击类型分布、攻击来源IP、服务器安全分析等内容服务器安全报表;(需提供产品配置截图证明,并加盖原厂鲜章)    
★11、具备公安部《计算机信息系统安全专用产品销售许可证》    
★12、具备国家保密局《涉密信息系统产品检测证书》    
★13、本次配置WEB应用防火墙业务模块必须由专用硬件实现,在本项目中独立使用,且不和其它业务模块共享硬件资源,并提供产品照片,并加盖原厂鲜章;    
漏洞扫描业务系统    
★1、端口:万兆端口≥4个,千兆电口≥12个,千兆光口≥12个;    
2      、最大可扫描IP数:无限制    
3      、并发IP数:≥50    
4      、每IP最大线程≥10    
5      、漏洞库≥2800种;漏洞库能够保证定期升级;    
6      、支持注入攻击漏洞检测:可检测SQL注入/LDAP注入漏洞;    
7      、支持注射攻击漏洞检测:可检测XSS、SCRIPT、HTML等注射攻击漏洞;    
8      、支持代码执行漏洞检测:可检测代码执行/远程shell漏洞;    
9      、支持弱口令扫描:预定义弱口令字典,进行弱口令扫描探测。    
10      、支持网页木马检测,并能够溯源,web服务漏洞检测;web服务漏洞检测;SMTP漏洞扫描;主机端口扫描;FTP漏洞扫描;数据库扫描,包括MySQL、Sybase、Oracle等;    
★11、具备公安部《计算机信息系统安全专用产品销售许可证》    
★12、具备国家保密局《涉密信息系统产品检测证书》    
★13、本次配置漏洞扫描业务模块必须由专用硬件实现,在本项目中独立使用,且不和其它业务模块共享硬件资源,并提供产品照片,并加盖原厂鲜章;    
★接口板卡    
支持40G端口;支持高密万兆端口,每单板支持的万兆接口≥32个;支持高密千兆光口、千兆电口,每单板支持的千兆接口≥48个;(提供设备厂家官方网站介绍截图,加盖原厂章证明)    
★万兆模块    
万兆光模块,多模,(850nm,0.3km,LC)≥12块    
★千兆模块    
千兆光模块,单模,(1310nm,15km,LC)≥2块    
★统一管理    
通过一个IP即可进行设备管理,在统一管理界面上能管理所有业务硬件安全系统。(提供第三方权威机构测试报告,加盖原厂章证明)    
★智能分流    
支持对流量进行定义和分类,对特定的业务和流量设定转发路径和策略。(提供第三方权威机构测试报告,加盖原厂章证明)    
★安全集群    
支持安全集群,将多台物理设备虚拟化为一台逻辑设备,设备集群后能完全作为一台设备来统一配置管理;(提供第三方权威机构测试报告,加盖原厂章证明)    
支持一虚多虚拟化技术,可将一台物理/逻辑设备虚拟成多台的逻辑设备,通过不同管理账号进行配置管理;(提供第三方权威机构测试报告,加盖原厂章证明)    
热备技术    
支持1:1热备,支持主/备、主/主部署;    
BFD      联动    
支持BFD链路检测协议(需提供产品配置截图证明,并加盖原厂鲜章)    
二层协议    
支持基于端口、MAC地址、IP子网的VLAN,802.1q Vlan封装,最大Vlan数≥4096,支持GVRP    
支持STP/RSTP/MSTP协议族    
支持端口聚合,支持跨板聚合,支持跨设备链路聚合    
路由协议    
支持基于IPv4的静态路由、RIP V1/V2、OSPF、BGP,支持策略路由、VRRP    
支持基于IPv6的静态路由、RIPng、OSPFv3、BGP4+,IPv4向IPv6过渡隧道技术等    
组播    
支持PIM-DM、PIM-SM、PIM-SSM、IGMPv1/v2/v3等协议    
支持PIM6-DM、PIM6-SM等协议    
QOS    
优先级队列调度:每端口支持8个优先级队列,支持SP、WRR、SP+WRR三种队列调度算法,支持WRED拥塞避免算法,支持流量整形,支持802.1P,DSCP/TOS优先级和重新标记能力,支持基于时间段的流分类和QoS控制能力    
设备管理    
支持FTP、TFTP、Xmodem    
支持SNMP v1/v2/v3    
支持RMON    
支持NTP时间同步功能,NTP server、client模式均支持(需提供产品配置截图证明,并加盖原厂鲜章)    
支持电源智能管理    
支持设备在线状态监测机制,实现对包括主控引擎,背板,芯片和存储等关键元器件进行检测    
资质要求    
安全网关主机具备公安部《计算机信息系统安全专用产品销售许可证》(提供证书证明,加盖原厂章)    
生产厂商具备中国信息安全测评中心《信息安全服务资质证书》(二级)(提供证书证明,加盖原厂章)    
生产厂商网络安全产品的设计和服务按照TL9000-HS R5.5/R5.0质量管理体系标准要求建立并实施,并提供相应认证证书。(提供证书证明,加盖原厂章)    
2016 年5月4日

 

关闭