1.网络安全建设清单三级等保建设清单
(后附拓扑图)
序
号
产品名称功能概述数量备注
1网络边界
防火墙
对联网区域进行逻辑隔离,提供访问控制、入侵防范、病毒防
护、应用识别与控制、流量控制等功能。
基本功能参数:
标准1U设备,单电源;配置6个10/100M/1000M自适应千兆
电接口;支持下一代防火墙访问控制、入侵防御、网络防病毒、
上网行为及URL分类管理、流控和IPSec VPN模块;质保期三
web应用防护系统年,三年特征库升级。支持策略预编译技术,在大量防火墙访
问控制策略情况下整机性能不受影响;支持策略冗余分析、策
略冲突检查、策略包含分析功能;支持SD-WAN功能,包括对
SD-WAN隧道的时延、抖动、丢包率等提供可视化展示,支持双
边加速功能,在设备对称部署情况下,在链路存在丢包、延迟、
抖动等因素时,改善网络环境中的应用性能解决数据丢包、延
迟等问题;具备业务行为异常和端口扫描行为的检测能力;具
备TCP连接阻断能力,可及时阻断非法TCP连接;支持防浪涌
的能力(浪涌冲击抗扰度)(4kv)。
2台
2安全管理
区防火墙
对联网区域进行逻辑隔离,提供访问控制、入侵防范、病毒防
护、应用识别与控制、流量控制等功能。
基本功能参数:
标准1U设备,单电源;配置6个10/100M/1000M自适应千兆
电接口;支持下一代防火墙访问控制、入侵防御、网络防病毒、
上网行为及URL分类管理、流控和IPSec VPN模块;质保期三
年,三年特征库升级。支持策略预编译技术,在大量防火墙访
问控制策略情况下整机性能不受影响;支持策略冗余分析、策
略冲突检查、策略包含分析功能;支持SD-WAN功能,包括对
SD-WAN隧道的时延、抖动、丢包率等提供可视化展示,支持双
边加速功能,在设备对称部署情况下,在链路存在丢包、延迟、
抖动等因素时,改善网络环境中的应用性能解决数据丢包、延
迟等问题;具备业务行为异常和端口扫描行为的检测能力;具
备TCP连接阻断能力,可及时阻断非法TCP连接;支持防浪涌
的能力(浪涌冲击抗扰度)(4kv)。
1台
3上网行为
管理系统
提供人员上网行为管控、流量控制、人员身份认证等功能
基本功能参数:
旁路、路由、透明及混合式部署,1U标准机架式,专用硬件平
台和安全操作系统,8GE(电)+4GE(光),带1个扩展槽位,
2台
单电源。三年特征库升级服务和三年硬件维保。支持IPV6网络,可对IPV6网络进行审计、流量控制;支持P2P应用识别、P2P流量管理能力;应用特征数支持7200+,移动应用不少于2000+;系统具备P2P软件监测的能力;支持内网资产监控,可对终端风险级别、操作系统、浏览器类型、应用、杀毒软件等方面进行监控;
4服务器区
防火墙
对重要系统应用业务区进行逻辑隔离,提供访问控制、入侵防
范、病毒防护、应用识别与控制、流量控制等功能
基本功能参数:
标准1U设备,双电源;配置6个10/100/1000M自适应千兆电
接口及2个SPF+万兆接口及2个接口扩展槽,支持下一代防火
墙访问控制、入侵防御、网络防病毒、上网行为及URL分类管
理、流控、IPSec VPN等模块;质保期三年,质保期三年。支
持策略预编译技术,在大量防火墙访问控制策略情况下整机性
能不受影响;支持策略冗余分析、策略冲突检查、策略包含分
析功能;支持SD-WAN功能,包括对SD-WAN隧道的时延、抖动、
丢包率等提供可视化展示,支持双边加速功能,在设备对称部
署情况下,在链路存在丢包、延迟、抖动等因素时,改善网络
环境中的应用性能解决数据丢包、延迟等问题;具备业务行为
异常和端口扫描行为的检测能力;具备TCP连接阻断能力,可
及时阻断非法TCP连接;支持防浪涌的能力(浪涌冲击抗扰
度)(4kv)。
2台
5WEB应用
防火墙
提供业务系统应用攻击防护、非授权访问防护、web恶意代
码防护、应用交付管控等功能
基本功能参数:
产品为专业性WEB应用防火墙设备,而非NGAF、NGFW、UTM设
备;提供1个HA口,1个10/100/1000 Base-T带外管理口,
≥4个业务电接口(电接口支持bypass), ≥4个业务光口,
≥2个SPF+万兆接口,≥1个网络接口板扩展槽位;配置3年
Web应用防护特征库升级和硬件维保;支持智能部署,上线WAF
设备能够自动感知Web网站IP和端口;具备语义防护、AI智
能防护、算法防护功能,支持大屏展示能力;具备sql注入攻
击的检测、跨站脚本攻击的检测能力;具备API防护,可支持
API协议合规、API访问速率限制等功能,具备网站一键关停
功能,客户网站异常之后可通过一键关停,把网站转为维护状
态,具备网站锁功能,对网站进行锁定,可按日期、周期进行
锁定时间设置;、具备对恶意域名、网页爬虫识别能力;要求
设备过浪涌(冲击)抗扰度测试、雷击抗扰度测试;
2台
6入侵检测
系统
提供全网入侵威胁监测、安全威胁分析、安全管理平台告警信
息采集等功能;
1台
基本功能参数:
1U上架设备,1个RJ-45 Console口,1个10/100 Base-Tx带外管理口,5个10/100/1000 Base-T接口,2个USB口,单电源,含嵌入式软件,扩展插槽支持NT-C系列插板卡,质保期内三年,特征库三年,含1个监听口授权。系统需具备攻击检测基础能力,应支持IP碎片重组、TCP流重组、TCP流状态跟踪、2至7层的常见协议的解析;具备异常流量和业务行为异常的检测能力;具备对僵尸网络的分布式实时检测能力;、系统需具备强大的流量分析能力,支持根据历史流量数据,计算出当前时刻历史均值流量大小,并形成历史均值流量曲线,可以与实时流量曲线进行同时呈现并形成对比,方便分析人员掌握网络流量态势;
7VPN安全
网关
提供外部业务用户安全接入、人员认证、权限控制、业务行
为审计,传输数据通道加密等功能;
基本功能参数:
1、标准1U机架式设备,专业IPSec VPN和SSL VPN二合一设
备,采用符合国际标准SSL、TLS 协议,同时支持IPSec VPN
和SSL VPN功能,为非插卡或防火墙带VPN模块设备;1个RJ-45
Console口,≥6个10/100/1000M自适应电口,≥1个网络接
口扩展槽位,2个USB口;3年硬件维保服务;产品支持三系
统引导,即系统A、系统B和备份系统,可在管理员界面直接
配置启动顺序,支持两个操作系统,管理员可自由选择当前启
动系统,每个系统拥有独立的配置文件,且配置文件分别支持
加密导入导出;备份系统用于应急恢复;为满足多种VPN协议
场景使用,需具备自适应多模式匹配的能力;支持HTTPS的Web
方式管理,实现了远程管理信息加密传输;并具备转发HTTP
请求的能力;
1台
8漏洞扫描
系统
提供全网系统漏洞扫描、分析、处置等功能。
基本功能参数:
1U设备,配6个10/100/1000M Base-TX接口,1个RJ45 Console
口,2个USB接口,另具备1个接口扩展插槽,单电源。天镜
脆弱性扫描与管理系统漏扫授权,可扫描100个IP地址,具
体IP地址不限,并发扫描40IP。质保期三年,特征库升级三
年。支持扫描的漏洞数量不少于300000个;支持对主流操作
系统的识别与扫描,包括:Windows、Redhat、Ubuntu、Debian、
深度、红旗、麒麟、新支点等;支持对主流数据库的识别与扫
描,包括:Oracle、Sybase、GBASE、GaussDB、神通、达梦、
人大金仓、优炫等;具备局域网环境的网络节点扫描检测能力;
具备设备自动识别功能,支持自动识别内网中互联网服务的提
供设备;
1台
9堡垒机提供安全管理员、系统管理员、网络管理员等身份鉴别、权限
控制、运维行为审计等功能
基本功能参数:
1U机架式软硬一体设备,专用硬件平台和安全操作系统,6个
千兆电口,2个万兆光口,2个千兆光口,1个Console管理口,
存储容量4TB,单电源,带液晶面板,2个扩展槽。最大支持
600路字符会话或200路图形会话并发。50个被管资源数授权,
扩充被管资源数需要购买正式授权;免费赠送应用发布软件
(需客户自备服务器、Windows Server操作系统与Windows 远
程桌面授权)。质保期三年。支持数据库协议自动改密,改密
类型支持:Oracle、PostgreSQL、MySql、DB2、Informix 、SYBASE,Mssql(2005,2008,2012);为有效满足日常溯源需求,
产品需具备对操作行为基于回显的行为审计能力;支持僵尸、
幽灵、孤儿帐号稽核功能,并可以导出异常账号稽核情况报告,
方便管理员统计异常账号情况;为保障运维行为安全性,产品
需具备对操作行为基于角管理的安全审计的能力;支持通过
应用发布开启运维屏幕水印,运维本地无法篡改水印内容,震
慑不规范的运维行为,提升运维过程数据安全性;
1台
10数据库审
计系统
提供业务系统数据库操作行为、通信协议审计等功能;
基本功能参数:
1U上架专用设备,6电口,1个接口扩展槽,1个RJ45串口,
硬盘2T,单电源;3个被审计DB服务数,可扩充;含嵌入式
审计软件一套;支持Oracle、SQL-Server、MySQL等数据库的
审计。质保期三年。支持旁路部署方式,无须在被审计系统上
安装软件,对原有网络不造成影响,审计产品的故障不影响被
审计系统的正常运行;系统支持数据库中存储过程自动学习,
可学习存储过程中涉及的操作并与审计事件中的存储过程名
进行关联,方便确认存储过程是否存在风险;支持业务系统权
限配置和越权统计,可自动生成业务系统用户的权限列表,可
协助管理员梳理业务系统权限分配是否科学,支持自学习业务
操作特征,并支持对学习到的业务操作进行编辑和调整;系统
具备分析数据库的操作行为能力,具备测算数据库操作响应时
间的能力方法;
1台
11日志审计提供全网统一的日志采集、存储、分析等功能;
基本功能参数:
1U标准机架式,单电源,6个千兆电口,不支持扩展接口,2
个USB接口,有效存储容量2TB。支持40个审计对象授权。提
供三年硬件维保服务。支持日志源管理功能,对日志源进行增
删查等维护、对断点日志源可以设置产生告警,单个日志源设
备可查看该设备最近7天的事件趋势;为实现对不同安全事件
1台
进行相关性分析,发掘潜在的信息,平台需支持基于规则的安全事件关联分析功能;支持日志加密压缩传输,支持加密压缩方式转发,加密方式支持SM4国密算法,支持定时转发;支持安全监测场景,至少包含漏洞利用攻击、SQL注入攻击、XSS 攻击、越权尝试、后门攻击、暴力登录、账户异常、病毒感染、漏洞端口扫描、僵尸主机等;具备《IT产品信息安全认证证书》,级别为EAL4增强级;
12杀毒软件提供主机防病毒功能。
基本功能参数:
标准网络版管理中心。系统服务端软件,提供防病毒策略管理、
下发任务、病毒告警分析、报表等功能,可管理win系列客户
端、Linux系列客户端,可安装在Windows2008R2及以上操作
系统、Win7sp1、Win10或 centos7.0、Redhat7.0 及以上操作
系统;
本次配置30个win点位授权。三年质保期+病毒库升级。
1套
13高级威
胁分析
检测平
台
提供全网高级威胁、未知威胁和潜伏威胁等检测分析等功
能;
基本功能参数:
标准机架式一体化设备,≥4个1000M Base-T网络接口,≥2
个万兆光口,配置3年检测规则库和威胁情报库升级授权;3
年硬件质保;支持从不同视角对攻击事件进行威胁分析,至少
支持攻击者视角、被攻击者视角、特征事件视角、样本视角、
威胁情报视角、ATT&CK视角;具备全流量检测能力,告警事件
须自动给出攻击结果判定,以减少分析噪音,攻击结果包括成
功、失败、正在利用等,对于告警事件须提供原始数据报文以
供研判分析;支持邮件二维码检测和钓鱼邮件算法检测;具备
对僵尸网络分布式实时检测能力;具备安全漏洞回溯分析能
力;产品安全监测能力需具备未知威胁监测、未知漏洞利用行
为、未知木马传播和活动行为、支持IPv4/ IPv6网络环境,
未知威胁分析能力需具备动态沙箱分析能力、事件关联分析能
力;支持与本项目中的防火墙和WEB应用防火墙进行联动,在
系统界面上支持进行联动设备管理和联动阻断规则编辑,联动
阻断规则支持威胁情报匹配和阻断时长设定。
1台
14全流量
分析取
证系统
提供全网流量采集、存储、分析等功能
基本功能参数:
提供≥2个1000M Base-T网络接口,≥2个万兆光口,配置
≥24T HDD硬盘,;内存≥64GB;剩余接口可扩展插槽≥2个,
数据检索速度10TB/秒;3年硬件质保;支持全流量存储,
支持流量过滤,过滤方式支持BPF语法过滤、过滤策略、应
用过滤,过滤条件包括源IP、源端口、目的IP、目的端口、
1台
发表评论