温州みかんエキス unshiu extract_j 3.0.pdf温州みかんの学名はCitrus unshiu Marc.です。英名は、原産地の鹿児島(薩摩)をとって、Satsuma、 Satsuma
BD%BB%D2%D7%C… · Web view2020-02-25 ·...
Transcript of BD%BB%D2%D7%C… · Web view2020-02-25 ·...
区网络安全框架升级服务项目采购需求
广州市黄埔区、广州开发区网络安全框架升级服务
项目采购需求
广州开发区信息化办公室
2020年2月13日
目录第一章 项目背景及必要性41.1. 项目背景41.2. 业务需求必要性51.2.1.投资需求的必要性61.2.2.安全技术进步必要性61.2.3.构建网络安全体系,保障电子政务资源安全7第二章 项目建设目标、任务、规模、周期82.1. 建设目标及任务82.2. 建设规模82.3. 项目服务期82.4. 项目总预算9第三章 项目建设要求103.1. 建设内容总体要求103.2. 建设内容具体要求163.2.1.WAF防火墙三年升级服务163.2.2.互联网出口防火墙163.2.3.下一代防火墙日志系统193.2.4.VPN系统213.2.5.数据库防火墙253.2.6.数据库审计273.2.7.区域安全边界防火墙303.2.8.镜像流量设备333.2.9.日志审计343.2.10.上网行为分析系统383.2.11.网络回溯分析系统493.2.12.主机安全管理平台513.2.13.SSL加载服务553.2.14.备份平台573.2.15.DNS融合升级61第四章 租赁服务要求624.1. 安全事件处理服务能力624.2. 安全管理体系建设服务624.3. 服务实施要求634.3.1.提供主动的预防服务634.3.2.提供快速的故障排除服务634.3.3.提供备机服务644.3.4.提供应急服务644.3.5.运维管理团队65第五章 系统设备安装、测试和验收要求675.1. 系统、设备安装要求675.2. 测试和验收要求685.2.1.项目测试685.2.2.项目验收68第六章 运营服务和培训要求706.1. 服务要求706.1.1.服务总体要求706.1.2.服务具体实施要求706.2. 培训要求706.2.1.培训目的706.2.2.培训对象716.2.3.培训形式716.2.4.培训内容72
项目背景及必要性项目背景
习近平总书记指出,“没有信息化就没有现代化,没有网络安全就没有国家安全”。党中央、国务院高度重视网络信息安全工作,特别是党的十八大以来,不断加强国家网络安全工作的组织机构、政策法规和支撑力量等方面的建设,推出网络安全立法、发布国家网络安全战略等重大举措,为建设网络强国、数字中国和智慧社会的网络安全工作提出了多层次、全方位的要求,为党政机关、事业单位做好网络安全工作指明了方向。
2019年5月10日发布《信息安全技术网络安全等级保护基本要求》,2019年5月发布 《关于印发广东省“数字政府”网络安全体系建设总体规划(2019-2021年)实施方案的通知》,2017年6月1日颁布了《中华人民共和国网络安全法》,都明确要求采取监测、防御、处置等措施应对网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏。同年,广州市人民政府政务管理办公室关于印发《广州市人民政府政务管理办公室信息化系统及设备突发事件应急预案》的通知,明确要求对潜在的风险进行有针对性的预防,对信息化系统及设备突发事件有序应对。
当今网络安全所面临的外部安全威胁十分复杂,安全事件层出不穷,网络空间边界越来越模糊。随着信息资产的增多、业务的不断拓展和日趋复杂,保障业务和网络的安全运行显得非常重要。采用网络安全技术和产品,可以极大地提高网络系统的安全性,减少安全隐患,防止恶意侵害的发生。
随着政府行业电子政务的发展,数据中心业务大集中已经成为一种趋势。当大量的业务都集中在数据中心时,数据中心的业务安全性以及可靠性将至关重要。除了在主干线路加强安全建设外,如何将安全和可靠性后移,保证关键业务的安全和高可靠性成现当前数据中心安全建设重点考虑方向。
广州市黄埔区、广州开发区两区已合并为广州市新黄埔区,现两区相关政府机构已合并,政务网络也在融合中。
原广州市黄埔区与广州开发区的网络整体架构,作为区级政务网络,结构相似,原广州市黄埔区依托市政务云平台,将部分业务迁移至市政务云平台,原广州市黄埔区机房的服务器及虚拟化平台最近几年没有采购升级。原广州市黄埔区机房有6台安全设备,安全体系不全。
原广州开发区的网络架构相对完整,但安全体系建设不完整,安全保护边界不清晰,互联网统一出口设备繁多,单点故障风险存在。广州开发区的多数单位的信息系统均托管在信息办机房内,因各单位的信息业务系统由不同的开发商开发建设,存在开发技术水平不一,开发平台不同,安全技术防范能力不等,综合多方面的因素,给区的信息安全运维带来很大压力。
随着网络安全法的实施二年,信息安全等保2.0刚刚出台,信息安全更为重视和关注,安全事件带来的影响更敏感。根据中共中央办公厅 国务院办公厅印发《推进互联网协议第六版(IPv6)规模部署行动计划》、工业和信息化部关于贯彻落实《推进互联网协议第六版(IPv6)规模部署行动计划》的通知(工信部通信〔2018〕77号)和《广州市工业和信息化委关于我市推进互联网协议第六版(IPv6)相关工作的报告》(综三工信[2018]525号)文件对IPv6工作要求,为做好区政务网络安全工作,对区网络安全作好物理层安全、网络层安全、操作系统安全、内容安全、应用层安全、安全审计、安全集中管理的建设,在此基础上,做好信息安全保障体系的建设。
业务需求必要性
广州市黄埔区、广州开发区两区已合并为广州市新黄埔区,原广州市黄埔区机房仅有6台安全设备,安全体系不全,也计划撤销;原广州开发区的网络安全架构相对完整,但时间久远、设备老化严重,技术落后、多年没有更新,历史原因导致个别区域界面不清晰,互联网统一出口设备繁多,存在单点故障风险,安全体系建设不完整。区的多数单位的信息系统均托管在信息办机房内,因各单位的信息业务系统由不同的厂商开发建设,存在开发技术水平不一,开发平台不同,安全技术防范能力不等,综合多方面的因素,给区的信息安全运维带来很大压力。因此对区网络安全框架升级是非常必要。
投资需求的必要性
2009年,原广州开发区(萝岗区)在新机房建设项目中,已按当时的网络安全水平,规划了信息安全架构,采购了防火墙,入侵防护,VPN、行为审计等设备,大部分为国外厂商的安全设备;2012年,采购了一台国外防垃圾邮件网关;2014年国产化要求环境下建设了安全改造升级项目,根据当时的规划对互联网主要安全设备进行国产化置换,更换了出口防火墙,流量控制,链路负载、VPN,行为审计设备。另外采购了一台堡垒机。2016年,在区领导对信息安全更加重视、关注,为解决WEB业务系统存在的安全高发问题,采购了一台WEB应用防火墙(WAF)。
区网络安全的大部分安全设备使用年限都已过5年,设备性能瓶颈,设备技术功能落后,厂家不再提供维保服务,设备特征库不能升级,不能满足当前网络安全环境的要求,因此设备更新是非常必要。
2016年两区融合,2019年黄埔机房撤销,原黄埔机房的基础网络、业务系统迁移到广州开发区机房,统一互联网出口,统一网络管理,主要使用原广州开发区的安全体系。现需求发生改变,互联网出口带宽由原来的800M升级到2.4G,原有安全设备都是千兆接口,性能已无法满足现在的使用与监管要求。
安全技术进步必要性
2019年5月10日发布《信息安全技术网络安全等级保护基本要求》,对网络与信息安全体系完整性提出了新的要求,需对标建设网络安全环境。随着区网络架构的升级,业务访问带宽容量的增大,互联网出口上基于千兆主干的安全设备已满足不了区对外业务访问的需求,互联网出口区和网络边界区都应满足万兆主干的需求,安全设备都应提供万兆的接入能力。
2017年11月中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版(IPv6)规模部署行动计划》,指出大力发展基于IPv6的下一代互联网;原大部分安全设备不支持IPV6能力,安全设备更新非常必要,满足支持IPV6能力的政策要求。
随着大数据、云计算、物联网、人工智能等技术诞生,网络安全技术也同步高速发展变化,安全技术进步,安全设备性能及功能也大大增强,“一机多能”方案可以简洁链路上设备、减少故障节点、减轻运维压力、节省投资成本,互联网统一出口建议采用此方案。
构建网络安全体系,保障电子政务资源安全
随着广州市黄埔区、广州开发区两区合并,区政务网安全将对整个电子政务资源起着至关重要甚至决定性的作用。
依据国家网络安全标准规范的要求,对标区对现有的网络设备、协议及安全现状,对区现有网络安全框架进行升级:升级现有网络接入、网络安全相关设备,完善网络安全的整体框架,同时建立符合区现状的安全管理机构、安全管理目标、安全管理制度、人员安全管理制度、系统建设过程安全、系统运行安全、信息安全应急预案制订、定期演练方案以及运维管理方案,实现对区信息化应用及网络环境全方位、全天候、全过程的安全防护,确保区信息化应用的安全稳定运行及电子政务数据资产的可信安全。
项目建设目标、任务、规模、周期建设目标及任务
本项目是依据《信息安全技术网络安全等级保护基本要求》、《广东省“数字政府”网络安全体系建设总体规划(2019-2021年)实施方案的通知》、《广州市电子政务外网管理办法(试行)》和广州市工业和信息化委《关于我市推进互联网协议第六版(IPv6)相关工作的报告》,对区信息安全进行升级,完善信息安全体系建设。
项目建设将充分考虑两区合并后政务网络与信息系统安全现状,以最新信息安全理论为基础,采用先进的网络与信息安全理念和技术进行本期网络安全框架升级服务;以技术体系建设为基础,以管理制度建设和运维体系建设为保障,以第二级安全要求和网络安全法为依据进行项目建设,最大程度降低两区合并后政务网络安全风险,保证网络和应用系统安全稳定运行,为广州市黄埔区政务信息系统提供有效的网络安全保障。
通过从技术、管理、运维三方面的安全建设将有助于区政务网络符合法律法规要求的同时综合提升安全防护水平,支撑其业务发展。
建设规模
区网络安全框架升级服务项目,依据《信息安全技术网络安全等级保护基本要求》和《推进互联网协议第六版(IPv6)规模部署行动计划》的要求,框架升级范围在政务外网互联网统一出口区域、内网服务器区域、政务网核心边界区域进行安全防护升级和备份设备升级工作,完善区网络安全体系建设。
项目服务期
平台建设期6个月内完成,验收合格后,进入项目租赁服务期3年。
项目总预算
本项目建设费用总预算为611.05万元。
项目建设要求建设内容总体要求
本项目建设要求,依据《中华人民共和国网络安全法》和《广东省“数字政府”网络安全体系建设总体规划(2019-2021年)实施方案的通知》的要求进行,建设标准需达到《信息安全技术 网络安全等级保护基本要求》 GB/T 22239-2019文件要求的第二级安全技术标准。服务提供方需协助业主完成安全管理体系建设。本项目所提供的设备均需满足IPV4/IPV6兼容的能力要求,并实现IPV6的应用环境。
根据当前区信息安全设备现状的分析,可利旧少量设备,结合本期项目对已建设的少量安全设备进行续保和功能升级建设,重点是对基础防护设施不足的部分继续进行补充建设,同时建立起网络事件证据收集、分析和留存体系,参照网络安全法有关要求,建立回溯机制。
互联网升级建设:由业主方建设,不纳入本项目预算内;互联网访问业务有电信的1.4G和联通800M。
前期建设内容且本期可利旧设备包括:政务网防火墙、防病毒系统、保垒机、网络交换机。
另外项目同步建设内容包括:身份认证系统、CA证书、漏洞扫描、态势感知平台、流量探针等。
本项目建设内容包括:互联网出口区下一代防火墙、核心边界区下一代防火墙、日志审计系统、SSL VPN、 WEB防火墙(利旧及升级)、数据库防火墙、数据库审计系统、主机安全管理平台、网络回溯分析系统、上网行为分析、SSL加速、备份一体机等。
本项目建设内容如下:
表3-1 项目建设内容表
序号
部署区域
产品名称
服务提供方式及产品参数推荐
数量/项
1
互联网统一出口区
WAF防火墙
当前已有1台设备,2016年采购的WAF防火墙,天清WEB应用安全网关WAF6000-C-TR,利旧使用,支持IPV6,购买三年维保服务。
1台
2
下一代防火墙(含链路负载、流量控制、IPS、防病毒库等能力)
本产品采用服务租赁方式采购,本期服务期限为3年,服务期间,服务提供方需按照本期网络信息安全设计方案要求,提供2台全新的下一代防火墙设备部署到互联网出口处,完成链路连接和功能调试,满足方案应用要求,同时提供每月1次的设备使用巡检工作。设备的主要监控页面,须接入区电子政务网络运行状态管理,以方便集中展示。
每台设备提供的设备配置参数不低于如下要求: 硬件性能参数:吞吐量≥80G,并发连接数≥3000万(交流双电源);万兆光接口≥ 6个(含模板),千兆光接口≥ 8个(含模板),千兆电接口≥ 8个。包含QOS流控模块服务;包含URL过滤模块服务;包含AV防病毒模块服务;包含IPS入侵检测模块服务; 双电源配置,设备包含防火墙、链路负载、流量控制、IPS、防病毒库及SSL卸载功能等应用能力。
1项
3
下一代防火墙日志系统
本产品采用服务租赁方式采购,本期服务期限为3年,服务期间,服务提供方需按照本期网络信息安全设计方案要求,提供1台全新的下一代防火墙日志审计系统部署到互联网出口处,完成链路连接和功能调试,满足方案应用要求;同时提供每月1次的设备使用巡检工作。设备的主要监控页面,须接入区电子政务网络运行状态管理,以方便集中展示。
每台设备提供设备配置参数不低于如下要求: 1*Xeon CPU, 内存≥8GB DDR,存储≥16T硬盘,接口≥2个千兆网口、静态导轨、双电源,为客户提供上网访问行为的监管和审计功能,该平台采用软硬件一体化设计,配合下一代防火墙的 NAT、IPS、上网行为分析等功能,能够有效记录接入用户的网络日志和安全日志,可以帮助用户解决网络出口日志审计的困扰,并为用户提供了丰富便捷的日志查询功能,满足《网络安全法》和上级单位的监管要求。
1项
4
VPN 系统
本产品采用服务租赁方式采购,本期服务期限为3年,服务期间,服务提供方需按照本期网络信息安全设计方案要求,提供2台全新的VPN系统部署到互联网出口处,完成链路连接和功能调试,满足方案应用要求;同时提供每月1次的设备使用巡检工作。设备的主要监控页面,须接入区电子政务网络运行状态管理,以方便集中展示。
每台设备提供设备配置参数不低于如下要求: 网络接口:6个千兆电口;可同时用于IPSec和SSLVPN用户接入,最大支持2000个VPN并发用户,本次授权≥500并发用户授权; SSL最大加密流量≥300Mbps; IPSec理论并发隧道数≥6000;
1项
5
数据库管理区
数据库防火墙
本产品采用服务租赁方式采购,本期服务期限为3年,服务期间,服务提供方需按照本期网络信息安全设计方案要求,提供1台全新的数据库防火墙串联部署到数据库管理区处,完成链路连接和功能调试,满足方案应用要求;同时提供每月1次的设备使用巡检工作。设备的主要监控页面,须接入区电子政务网络运行状态管理,以方便集中展示。
每台设备配置参数不低于如下要求: 采用独立的硬件架构,包含:(1)安全防护引擎及管理后台软件、策略管理、告警管理、权限管理、系统日志、系统配置。(2)性能指标:峰值10000条SQL/秒级吞吐量支持,并发连接数≥2000。(3)支持主流数据库的访问控制:Oracle、SQL-Server、DB2、Informix、Sybase、MySQL、PostgreSQL、人大金仓、达梦、神州通用等(4)支持主流运维协议的访问控制:Telnet、SSH等;(5)硬件:标配≥4个千兆电口,扩展≥4个千兆光口(含光模块),硬盘≥2T。(6)数据库实例支持及扩展:默认支持3个数据库实例,最大扩展到7个实例,从1个开始扩展。
1项
6
数据库审计系统
本产品采用服务租赁方式采购,本期服务期限为3年,服务期间,服务提供方需按照本期网络信息安全设计方案要求,提供1台全新的数据库审计系统部署到数据库管理区处,完成链路连接和功能调试,满足方案应用要求;同时提供每月1次的设备使用巡检工作。设备的主要监控页面,须接入区电子政务网络运行状态管理,以方便集中展示。
每台设备设备配置参数不低于如下要求: 审计数据中心,搭配审计引擎使用;2U机架专用设备,冗余电源;标配≥6个10/100/1000MBase-T电口(含1个管理口),扩展插槽≥1个,1个RJ45串口,存储≥3T,支持RAID5;默认含20个被审计DB服务数,可扩充;含嵌入式审计数据中心软件一套,支持管理4个审计引擎。
1项
7
安全边界防火墙
区域安全边界防火墙
本产品采用服务租赁方式采购,本期服务期限为3年,服务期间,服务提供方需按照本期网络信息安全设计方案要求,提供2台全新的边界防火墙部署到核心区域边界处,完成链路连接和功能调试,满足方案应用要求;同时提供每月1次的设备使用巡检工作。设备的主要监控页面,须接入区电子政务网络运行状态管理,以方便集中展示。 每台设备配置参数不低于如下要求: 硬件性能参数:吞吐量≥60G,并发连接数≥2000万;新建连接数(CPS)≥45万;万兆光接口≥ 8个(含模板),千兆光接口≥ 8个(含模板),千兆电接口≥ 8个。包含QOS流控模块服务;包含URL过滤模块服务;包含AV防病毒模块服务;包含IPS入侵检测模块服务; 双电源配置,设备包含防火墙、流量控制、IPS、防病毒库功能等应用能力。
1项
8
安全管理区
镜像流量设备
本产品采用服务租赁方式采购,本期服务期限为3年,服务期间,服务提供方需按照本期网络信息安全设计方案要求,提供2台全新的镜像流量设备部署到核心交换区域处,完成链路连接和功能调试,满足方案应用要求;同时提供每月1次的设备使用巡检工作。
每台设备设备配置参数不低于如下要求: 业务接口:≥48个10GE SFP+插槽(至少配8个模块),≥2个100GE/40GE QSFP28/QSFP+插槽(至少配置6个模块);管理接口:1个RS232 RJ45,1个RJ45管理网口,1个 USB2.0接口;支持Web页面管理方式,本地或者远程CLI命令行接口,RPC远程调用接口管理;1U设备,双电源模块。
1项
9
日志审计
本产品采用服务租赁方式采购,本期服务期限为3年,服务期间,服务提供方需按照本期网络信息安全设计方案要求,提供1套全新的日志审计设备部署到安全设备管理区,完成链路连接和功能调试,满足方案应用要求;同时提供每月1次的设备使用巡检工作。设备的主要监控页面,须接入区电子政务网络运行状态管理,以方便集中展示。 每台设备设备配置参数不低于如下要求: 日志审计硬件平台,集成日志审计系统,2U标准机架式,冗余电源,专用千兆硬件平台和安全操作系统,≥6个千兆电口,1个管理口,2个USB接口,1个接口板,标配采用Raid5,有效存储容量≥4TB,支持≥500个审计对象授权。
1项
10
上网行为分析
本产品采用服务租赁方式采购,本期服务期限为3年,服务期间,服务提供方需按照本期网络信息安全设计方案要求,提供1套全新的上网行为分析设备部署到安全设备管理区处,完成链路连接和功能调试,满足方案应用要求;同时提供每月1次的设备使用巡检工作。设备的主要监控页面,须接入区电子政务网络运行状态管理,以方便集中展示。
每台设备配置参数不低于如下要求: 2U标准机架式,双电源;支持路由模式、透明模式、混合模式,支持镜像接口,部署模式切换无需重启设备;支持≥12个10M/100M/1000M Base-T自适应电口,≥8个SPF千兆光口(包含SPF千兆单模光模块),≥6个SPF+万兆光口(包含SPF+万兆单模光模块),接口无路由/交换/LAN/WAN等固化区分,均可作为二三层接口使用,支持多桥组部署;网络吞吐量≥40Gbps,应用性能≥20Gbps,最大并发数≥600万;支持IPv6,支持用户认证和用户行为审计。
1项
11
网络回溯分析系统
本产品采用服务租赁方式采购,本期服务期限为3年,服务期间,服务提供方需按照本期网络信息安全设计方案要求,提供1套全新的网络回溯分析系统设备部署到安全设备管理区处,完成链路连接和功能调试,满足应用要求;同时提供每月1次的设备使用巡检工作。设备的主要监控页面,须接入区电子政务网络运行状态管理,以方便集中展示。 每台设备配置参数不低于如下要求: 2U设备,≥2个SPF+万兆光口(包含SPF+万兆单模光模块),≥4个SPF千兆光口(包含SPF千兆单模光模块);管理通讯端口:2个10/100/1000Base-T电口;硬盘≥32TB 热插拔RAID模式:RAID5流量处理能力≥4.5Gbps数据包处理能力≥1,000,000ppsTCP/UDP会话处理能力≥ 每秒200,000
1项
12
主机安全管理平台
本产品采用服务租赁方式采购,本期服务期限为3年,服务期间,服务提供方需按照本期网络信息安全设计方案要求,提供1套全新的主机安全管理平台部署到安全设备管理区处,终端软件包安装上服务器区操作系统上,完成链路连接和功能调试,满足应用要求;同时提供每月一次的设备使用巡检工作。设备的主要监控页面,须接入区电子政务网络运行状态管理,以方便集中展示。 每台设备配置参数不低于如下要求: 端点安全防护软件,提供更全面的主机安全的预防、防御、检测和响应能力。主机安全预防包含主机安全基线合规审查、访问控制微隔离。主机安全防御包含恶意文件实时监控防御、勒索病毒实时防御、WebShell实时防御、僵尸网络实时防御、暴力破解实时防御。主机安全检测包含恶意文件扫描检测、WebShell扫描检测。主机安全响应包含全网威胁定位、一键文件和主机隔离、设备联动响应。支持350个服务器操作系统终端授权(含WINDOWS/LINUX).
1项
13
SSL加载服务
本产品采用服务租赁方式采购,本期服务期限为3年,服务期间,服务提供方需按照本期网络信息安全设计方案要求,提供http转换为HTTPS的代理服务功能;同时提供每月1次的设备使用巡检工作。
每台设备配置参数不低于如下要求: 用来鉴别网站和网页浏览者身份,以及在浏览器使用者及网页服务器之间进行加密通讯;加密数据以防止数据中途被窃取;维护数据的完整性,确保数据在传输过程中不被改变。等保合规要求。
1项
14
备份一体机
备份平台
本产品采用服务租赁方式采购,本期服务期限为3年,服务期间,服务提供方需按照本期网络信息安全设计方案要求,提供3台全新的备份一体机设备满足大于260T可用备份容量(或者1至2台可满足大于260T可用容量的备份一体机)部署到服务器区处,完成链路连接和功能调试,满足应用要求;同时提供每月1次的设备使用巡检工作。设备的主要监控页面,须接入区电子政务网络运行状态管理,以方便集中展示。 每台设备配置参数不低于如下要求: 单台备份服务器为机架式设备,标配单路CPU (Intel Silver 4110 , 2.1GHz/8-core),标配内存≥64GB内存 ,标配系统盘≥ 480GB SSD ,标配接口≥2个千兆以太网口 , ≥2个万兆光口(含1个10GE光口多模光模块), 固定配置容量≥95TB磁盘,支持按节点进行集群扩展,最大可支持2节点,支持定时备份、CDP、重删、永久增量备份、LAN-Free、D2T、D2D2T、远程复制、云备份、SAP HANA、Hadoop等功能;包含重复数据删除场地授权,UNIX平台备份场地授权,磁带备份代理,永久增量备份代理;包含一块Emulex LPE 双端口8Gb光纤通道HBA卡。
1项
15
DNS融合升级服务
DNS融合升级
针对IPV6的应用要求,完成区DNS服务器的升级服务,现场服务1次
1项
建设内容具体要求WAF防火墙三年升级服务
2016年采购的WAF防火墙,天清WEB应用安全网关WAF6000-C-TR;需要购买三年硬件维保、三年软件升级及特征库升级服务。
互联网出口防火墙
表3-2 项目互联网出口防火墙指标要求表
序号
指标项
功能描述
1、设备基本要求
专有硬件平台
硬件平台采用先进的多核网络专用架构。硬件平台采用多核处理器,使用64位MIP多核处理器,多核核数≥24个
USB接口
USB接口≥1个,支持不依赖网络的外接U盘方式进行系统升级
接口数量
配备至少4个千兆电口,4个SFP接口,8个万兆SFP+接口,配置8块SFP+万兆多模光模块,8块千兆单模光模块
扩展
必须支持接口扩展,最多可扩展至40个千兆接口,最多可扩展15个万兆SFP+接口
电源
标配双冗余热插拔电源
设备功率
设备运行功率≤450W
2、性能要求
吞吐量
≥80Gbps
IPsec VPN吞吐率(AES256+SHA-1)
≥50Gbps(AES256+SHA-1)
AV防病毒
≥27Gbps
IPS吞吐量
≥35Gbps
最大并发会话数
≥3000万
每秒新建会话数
≥110万
3、主要参数和功能
工作模式
支持透明、路由、混合、旁路4种工作模式
NAT(网络地址转换)
支持源NAT和目的NAT,且支持NAT扩展技术,使单个公网IP支持的NAT转换端口突破65535限制 ;
支持NAT地址可用性探测,支持NAT公网地址池中IP有效性检测,避免因NAT地址无法使用导致业务中断
动态路由
支持OSPF、BGP、RIPv1/v2、IS-IS(动态路由协议非透传)路由
策略路由
支持基于应用引流技术,提供基于时间、应用协议的策略引流,如针对P2P、WEB视频协议,通过深度应用识别,将这些应用产生的流量引流到特定的互联网线路上。
支持基于URL引流技术,支持基于时间、URL的智能引流技术,通过DPI的智能引流技术,从而对具体URL的访问动作进行策略引流,将某个URL的流量引到特定的链路上
BFD协议
支持BFD for Static/OSPF/BGP
HA高可用性
支持A-P模式,A-A模式,解决非对称路由场景的对等模式(提供官方技术白皮书)
支持基于接口、HTTP、PING、ARP、DNS、TCP等监测对象实现HA切换
硬件配有独立HA心跳口,面板明确标注HA接口(提供设备实物照片)
应用识别
具备对应用程序的识别和控制能力。应用程序特征库不少于3300种,并支持在线/手动更新
支持应用过滤器便于配置和维护,至少支持6个维度进行过滤,包括:名称、类别、子类、所用技术、风险等级、特性;其中应用技术至少包括:基于浏览器、客户端服务器、网络协议、点对点;风险级别包括:1、2、3、4、5总共5个等级;特性包括:能够传输文件、已被大规模使用、大量消耗带宽、易逃逸、易被滥用、被其它应用使用、存在已知漏洞、被恶意软件利用
4、访问控制
抗DDOS攻击
抗DDOS攻击:支持抵御下所列所有攻击类型,包括:DNS Query Flood、SYN Flood、UDP Flood、ICMP Flood、Ping of Death、Smurf、WinNuke
ALG应用
支持所列所有应用,包括:H.323、SIP、FTP、TFTP、RSH、RTSP、SQL Net、HTTP、MS-RPC、PPTP/GRE、SUN-RPC
会话控制
支持会话控制功能,要求能够基于源、目的、应用协议三种条件做会话数限制
支持会话控制功能,要求能够限制会话新建速率
访问控制
支持按照应用、时间、用户帐号、IP地址、服务端口、物理端口等方式对数据进行访问控制
策略管理
支持防火墙策略命中数统计功能,便于管理员维护防火墙策略
支持基于国家地理位置设置安全策略
支持策略冗余检测,对策略重复检查
5、VPN
IPSEC VPN
设备必须支持IPSEC VPN算法硬件加速,厂家需明确应答所支持的加速类型、实现方式,并提供证明文件
严格遵循RFC国际标准,支持的加密算法有DES、3DES、AES128、AES192、AES256,SHA-256、SHA-512等,支持DM5、SHA、SHA-256、SHA-384、SHA-512等验证算法,可于主流VPN厂商互通
用户认证
支持硬件USB-key的认证方式
支持基于手机短信的登录认证方式
支持文件证书的认证方式
客户端检测
支持对登录SSL VPN的用户端系统进行端点安全检查,至少包括指定文件、指定进程、系统补丁、浏览器版本、杀毒软件等方面
6、URL过滤
URL过滤
支持使用通配符定义URL类型,支持不少于150个自定义RUL过滤。
支持30种以上域名分类库,控制不良网站访问,支持查询URL归属的URL分类库
支持基于URL地址的关键字对域名进行访问控制
支持自定义URL阻止访问的告警页面(URL重定向)
7、流量管理
智能流量管理(提供官方智能流量管理白皮书)
支持两层八级管道嵌套,能够同时做到两个维度的流量控制
支持对多层级管道进行最大带宽限制、最小带宽保证、每IP或每用户的最大带宽限制和最小带宽保证
8、IPS入侵防御
运行模式
支持旁路和在线两种模式,支持基于安全策略和安全域启用IPS功能,可在不同的攻击方向上启用IPS(至少支持流入\流出\双向等方向)
协议支持
支持对HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、UDP、DNS、RPC、FINGER、MSSQL、ORACLE、NNTP、DHCP、LDAP、VoIP、NETBIOS、TFTP、SUNRPC和MSRPC等常用协议及应用的攻击检测和防御
特征库
具备7000种以上攻击特征库规则列表,至少支持基于协议类型、操作系统、攻击类型、流行程度、严重程度、特征ID等方式的查询,提供产品界面截图有效
HTTP类攻击防护(WAF功能)
具备4000种以上HTTP特征库规则列表
支持SQL注入、XSS防护,支持HTTP头域中的URL、Cookie、Referer、POST检查点配置防护策略
支持外链检查防护,支持自定义外链特性,类型支持HTTP、HTTPS、FTP
支持CC攻击检测,支持访问限速、代理限速、自定义请求阈值、爬虫友好等方法,检测到CC攻击时支持JS Cookie、重定向、访问确认、验证码四种认证方法
处理方式
支持屏蔽攻击者,至少支持阻断攻击者IP或服务两种模式;
支持重置,向攻击者发TCP Reset包;
支持只记录日志,检测到攻击事件后记录日志
支持防火墙联动,仅限IDS模式运行;
9、AV防病毒
病毒库
具备200万种以上病毒特征库规则列表
扫描文件类型
支持对HTTP、FTP、SMTP、POP3、IMAP协议的应用进行病毒扫描和过滤
处理方式
检测到病毒扫描和恶意网站时,至少支持填充、重置连接、只记录日志三种处理方式
压缩文件扫描
支持对压缩文件类型的病毒检测,支持RAR、ZIP、GZIP、BZIP2、TAR等压缩文件类型;支持对多重压缩文件的病毒检测,且不小于5层压缩,支持对超出行为自定义处理方式
防病毒及恶意网站
支持恶意链接和病毒警告提示,提示用户所访问的网站为恶意网站或者发现病毒
10、管理功能
系统回滚
支持2个系统软件并存,并支持系统软件回滚,防止配置不当或系统故障造成的网络中断,充分保证了系统的稳定性。
配置文件保存
支持10个配置文件并存,并支持配置回滚
RESTAPI管理
支持通过RESTAPI接口进行配置和查看地址簿、病毒过滤、入侵防御、安全策略、DNAT、SNAT、接口配置、安全域、路由功能
流量包统计
支持按64字节、128字节、256字节、512字节等数据包流量统计
监控和统计
要求支持在WEB界面上显示设备的整机流量、接口流量、每秒新建数、并发连接数信息
要求支持基于IP地址总流量、上行流量、下行流量,最近1小时、最近一天、最近一月以及自定义时间类型的统计
要求支持基于应用的流量、并发连接数、新建连接数的实时、最近1小时、最近一天、最近一月以及自定义时间类型的统计
要求支持对URL访问进行每小时、每天、每月统计,并以柱状图或者饼状图形式排名直观显示
安全运维APP
提供SaaS模式的安全运维APP:通过手机可以第一时间获知设备的实时CPU、内存、流量趋势,以及应用、用户排名、威胁信息等安全状态、 帮助快速定位问题、安全可视化实时呈现。提供App下载URL。该APP不能是VPN 客户端软件。该APP不限制使用用户数。
支持用户定义告警规则,配置CPU利用率、内存利用率、流量过界做为触发条件。
下一代防火墙日志系统
互联网出口防火墙与安全边界防火墙,是集成了防火墙、IDS、AV、负载均衡等功能,日常工作经常要查看日志进行调试或故障排查,需要与防火墙配套的日志系统,用以记录互联网出口防火墙和安全边界防火墙的日志,以完成日常工作调试或查故障需要,以及满足日志保存6个月的需要。具体如下:
表3-3 下一代防火墙日志系统要求表
系统条目
具体要求
日志设备硬件要求
硬件架构采用专用独立硬件设计,包含硬件、操作系统、数据库及日志审计软件等
配置不少于2个10/100/1000 BASE-T,支持管理与业务分开
日志存储空间≧16TB,支持RAID,须满足日志保存6个月的需要
支持交流电源,并配置双冗余热插拔电源
标准19英寸机架设备,不高于2U
兼容性考虑,要求日志设备品牌与本次采购的防火墙设备为同一品牌
设备监控要求
支持对20套的防火墙设备进行集中的日志采集
支持设备的可用性状态,包括CPU、内存、硬盘(包括NFS存储)
支持各类型日志磁盘存储占比统计
支持各类型日志接收趋势统计
支持对发送日志的设备状态监控
支持自定义监控面板和监控内容
日志管理要求
支持通过以下种类进行日志浏览并可自定义查询条件,包括:事件日志、网络日志、配置日志、IPS日志、威胁日志、安全日志、会话日志、策略路由日志、NAT日志(含NAT444)、URL日志、IM(包含移动QQ、微信)上下线日志、论坛发帖日志、邮件日志、FTP日志。
支持第三方日志的收集和查询
支持颜色区分日志级别
支持多条件组合查询
支持URL字段的全文检索
支持后台任务查询和邮件通知
支持智能记忆用户的常用查询条件,并支持查询条件的保存
支持分布式查询
统计报表要求
支持统计的报表内容包括:系统资源、设备日志条数排名、设备日志所用空间排名、日志条数排名、日志所有空间排名、源IP日志量排名、目的IP日志量排名、日志接收趋势排名、威胁攻击次数、会话日志APP访问量、URL访问量等排名
支持按照天、周、月、季等周期生成周期性统计报表,统计粒度可达到分钟、小时和天,并能够通过邮件发送给指定人员。
支持自定义报表任务和系统的预定义报表任务。
系统管理
支持自动磁盘清理
要求设备支持配置NTP时间
支持分布式设置:当需要接收大量日志信息时,单台日志平台无法满足日志信息的接收需求。针对这一问题,设备必须支持分布式管理功能,即配置多台日志平台设备,能够按照一定的算法把日志信息分布接收到多个日志平台上,可以对多个日志平台上的日志集中查询,进而缓解单台日志平台的压力,保证日志信息的完整、快速接收。
支持NFS功能
支持可信主机设备:为了保证设备的安全性,日志平台系统支持配置信任主机,即仅允许管理员在限定的地址范围登录并管理设备
日志备份
要求支持自动覆盖功能,当日志量达到磁盘设定的空间时,自动清理最早的日志文件,实现翻滚式存储
日志保存满足等保6个月的要求
支持日志导入功能,并支持通过FTP方式导入备份日志
VPN系统
根据最新的要求,本设备须采用国密的设备。具体要求如下:
表3-4 VPN系统建设要求
项目
功能指标要求
基本性能
要求SSL VPN最大加密速度≥300Mbps,SSL VPN最大并发用户数≥5000,SSL VPN每秒最大新建用户数≥260,IPsec VPN最大加密速度≥5400Mbps,IPSec VPN最大隧道数≥6000,最大并发会话数≥160000,千兆电口≥6,2U规格设备,本次授权≥500并发用户授权
部署方式
支持网关模式、单臂模式、双机模式、集群模式的部署
基本特性
专业VPN设备,采用标准SSL、TLS 协议,同时支持IPSec VPN、SSLVPN两种VPN,非插卡或防火墙带VPN模块设备。同时支持软件化交付
支持对基于HTTP、HTTPS、FileShare、DNS、H.323、SMTP、POP3、Telnet、SSH等的所有B/S、C/S应用系统,支持基于TCP、UDP、ICMP等IP层以上的协议的应用,例如即时通讯、视频、语音、Ping等服务;
支持PC终端使用包括Windows10、Windows8、Windows7、Windows Vista、Windows xp、Mac OS、Linux等主流操作系统来登录SSLVPN系统,并完整支持该操作系统下的各种IP层以上的B/S和C/S应用;
支持Windows、IOS、Android、塞班、黑莓等操作系统的智能手机、PDA、平板电脑(PAD)等移动终端的SSL VPN接入,或通过PPTP、L2TP VPN方式接入;
支持Mac系统主流浏览器,如Chrome、Firefox等最新版,免安装浏览器插件登陆SSL VPN;支持Linux系统主流浏览器,如Firefox、Chrome等最新版,免安装浏览器插件登陆SSL VPN。
WebVPN支持跨平台免插件访问,支持EasyLink泛域名发布Web资源,简化资源发布和访问。
产品应支持国家商用密码算法包括:SM1,SM2,SM3,SM4算法,投标设备具有国家密码管理局颁发的《商用密码产品型号证书》,且型号与证书对应。
易用性
可支持虚拟门户功能,在一台设备上配置不同的访问域名、IP地址,以及不同的使用界面,实现一台设备为多个不同用户群体服务的的使用效果;
支持文档WEB化管理,用户可通过任意浏览器,对存储服务器的文件进行管理操作(包括:上传、下载、删除、重命名、剪切、复制、粘贴、新建文件目录),而不需要额外安装FTP、文档共享软件等应用程序客户端。
支持用户登录界面、服务界面的完全自定义,上传单独的Web页面作为用户登录界面、服务界面
支持单点登录功能(SSO),支持移动用户登录VPN后再登录内部B/S、C/S应用系统时不需要二次重复认证。支持针对B/S单点登录用户名密码加密传输,保证安全;支持针对不同的访问资源设定不同的SSO用户名和密码,支持用户自行修改SSO账号。
支持断线重连自动技术,防止用户误操作关闭浏览器导致VPN隧道断开;防止用户在无线网络环境下网络正常切换时VPN隧道断开。
支持客户端永久在线功能,对于无人值守的设备可以设定永久在线,如果网络断开,可提供无限次重连。
支持智能递推技术,针对多外链的门户网站进行动态嗅探页面内的链接并完成资源自动授权,防止资源漏访;支持Web参数修正,可针对Flash、Java、Applet、或视频播放器对象所引用资源路径进行修正,避免无法播放的问题。
产品应提供环境检测、自动修复工具,支持对Windows的环境兼容性一键检测能力,以及对检测结果进行一键修复的能力,避免由于用户操作系统环境存在问题影响SSL VPN的使用,减轻运维工作。(提高截图证明)
终端安全
产品必须支持防中间人攻击,产品可在用户登录SSLVPN时智能判断存在中间人攻击行为,断开被攻击的连接,并可提示异常现象。(可提供证明材料)
支持用户终端登录前、登陆后的安全性检测,检测范围包括:用户接入IP、接入时间、接入线路IP、进程、文件、注册表、操作系统、使用终端,可以检测出客户端是否安装指定的防火墙或杀毒软件。
支持客户端注销后自动清除所有缓存、Cookies、浏览器历史记录、保存的表单信息,实现零痕迹访问
支持VPN专线功能,可配置用户在接入SSL VPN的同时,断开与Internet其他连接
产品应提供HTTPS驱动病毒查杀工具,支持对Windows环境下的针对HTTPS拦截监听的驱动病毒进行扫描查杀,避免因为HTTPS驱动病毒导致无法正常接入和使用SSL VPN。
权限、服务器安全
产品应具有用户/用户组细粒度的权限分配功能:可以针对被访问资源的IP地址、端口、提供的服务、URL地址等进行权限控制;针对同一B/S资源,可对不同用户做到细致到URL级别的授权。
产品应具有角色授权机制,支持在用户组的基础上,根据角色的不同,组合关联不同的资源权限。
支持主从认证账号绑定,必须实现SSL VPN账号与应用系统账号的唯一绑定,VPN资源中的系统只能以指定账号登陆,加强身份认证,防止登录SSL VPN后冒名登录应用系统
支持关键文件保护功能,可针对特定应用关键文件进行锁定,防止用户进行篡改进行越权
针对服务器地址保护方面,可支持SSLVPN资源列表界面上的用户授权资源隐藏;针对B/S应用,可进行URL地址伪装,防止服务器真实IP地址泄露
身份认证
产品必须支持Local DB 、USB KEY、短信认证、硬件特征码、动态令牌、数字证书认证、LDAP、RADIUS、等认证方式;可针对用户/用户组设置认证方式的与、或组合,可进行用户名/密码、LDAP、USB KEY、硬件特征码、短信认证或动态令牌的五因素捆绑认证
支持有驱USB KEY、无驱USB KEY认证,无驱KEY无需在客户端安装驱动,方便用户;支持配置第三方KEY,可与其他业务系统无缝结合;支持满足中国国家标准的《智能IC卡及智能密码钥匙密码应用接口规范》的智能TF/SD卡。
支持随机验证码短信认证,可自定义所发送短信信息格式,支持用户端短信重发功能;
支持三大运营商移动、联通、电信运营商的标准的外置短信设备或API接口;
支持GSM、CDMA制式短信猫;支持webservice方式短信认证,支持webservice嘉迅版;
支持与阿里钉钉、企业级微信绑定,实现其内置OA的安全接入
设备内部必须支持自建CA中心,便于数字证书认证平台搭建;
支持与基于PKI体系的第三方CA进行结合认证 ,可根据CA某字段将通过CA认证的用户自动映射到指定用户组,方便进行权限授权配置;支持CRL证书撤销列表。
单台VPN设备可扩展同时支持5套以上CA根证书;(提供证明截图)
本地用户/用户组主要认证支持HTTP(S)认证;
支持灵活的变量配置;
实现用户组、角色的权限映射,支持通过将用户组、角色映射到本地用户组和角色,获取该角色访问资源的权限;
支持复杂的认证过程(例如多步请求认证);
支持对接多个HTTP(S)认证服务器;
支持通过如Cookie下发等方式来实现单点登录;
支持主流的短信验证码认证对接(例如,腾讯云、阿里云短信网关认证);
支持对接多个HTTP(S)辅助认证(HTTP(S)验证码认证、HTTP(S)令牌认证);
支持用户、用户组主要认证完成后,继续通过辅助认证(HTTP(S)验证码认证、HTTP(S)令牌认证);
支持对接微信开放平台,实现微信扫码快捷登录;
支持微信用户与VPN账号绑定与解绑;
高速性
必须支持至少4条以上的外网多线路配置;并在设备单臂部署模式下,多线路接入前置网关,仅依靠SSLVPN设备同样可实现SSLVPN接入用户的多线路自动优选功能(提供自主知识产权证明,专利号ZL200510121083.0)
支持启用多线路时,自动检测故障线路,并自动踢出故障线路;一旦线路恢复,可在一定时间内自动恢复。支持启用多线路时,自定义用户访问选路策略,包括按上/下行带宽,轮询,按优先级等方式。(提供自主知识产权证明,专利号ZL200310112006.X)
支持利用网页进行动态寻址的方法,客户端无需安装插件、不依靠IP地址库、不依赖于第三方动态IP寻址、直接根据速度探测实现用户端接入线路的自动优选,用户通过访问寻址代理页面(简称Webagent页面),通过Webagent页面自动寻找VPN设备IP(非DDNS),该方法不必单独注册域名或占用IP地址,大大降低了系统部署难度。(提供自主知识产权证明,专利号ZL03113974.4)
仅通过SSLVPN设备可实现资源负载均衡功能,用户接入同一资源根据权值可动态负载到多台承载服务器上;负载均衡可基于服务器性能指标、权值轮询、轮询等不同方式。
支持非对称式部署的传输协议优化技术(单边加速),不用在用户终端上安装任何插件和软件,即可提升用户访问应用服务的速度。(提供配置界面截图及第三方评测报告)
针对B/S资源支持WebCache技术,动态缓存页面元素,提高Web页面响应速度。支持流缓存技术,实现网关与网关、网关与移动客户端之间进行多磁盘、双向、基于分片数据包的字节流缓存加速,削减冗余数据,降低带宽压力的同时提高访问速度;支持共享流缓存功能,实现多分支网关在总部共享流缓存数据,提高流缓存效果(提供界面配置截图,并提供自主知识产权证明,专利号ZL200810065189.7)
支持设置对控制台管理员密码复杂度的要求,提升设备的安全性;
支持15级以上用户组树形结构分级管理,下级组可继承上级组的角色,资源及认证方式等属性
支持系统实时监控,图形化显示一段时间内的运行状况,可查看CPU占用率、各条线路网络吞吐量、各条线路的IP地址及发送接收流速、并发会话数、SSL并发用户数;可查看历史最高并发用户数并显示时间记录;可实时查看SSL接入用户的用户名、发送流速、接收流速、发送流量、接收流量、接入时间、并发会话数、接入IP、虚拟IP、认证方式等信息,并可在线中断指定用户
支持独立日志中心进行SSLVPN实时日志记录,可详细记录用户访问资源记录(用户、主机IP、资源、时间)、管理员日志(管理员、主机IP、时间、管理行为、对象)、系统日志、告警日志;可根据用户名、主机IP等信息进行用户行为查询;可提供用户组/用户流量排行及查询、资源流量排行及查询、资源活跃程度、用户活跃程度等记录;提供暴破登录记录;可提供用户登陆SSLVPN采用非绑定账号访问应用系统的记录
支持Syslog(系统日志)服务器,可将管理员日志,系统日志、用户日志输出到syslog服务器中。
稳定性、可扩展性
支持基于自组域简化部署VPN网络的方法,即当有多台设备处于VPN网络中时,通过连接任意节点的VPN设备,即相当于连入整个VPN网络,该方法解决了传统VPN部署是,需要部署多台; (提供自主知识产权证明,专利号ZL200710074182.7)
支持253台不同型号设备间进行集群(A/A),支持路由模式、单臂模式下多线路部署的集群;支持集群设备间Session同步,一台设备宕机后其上用户无需重新登录SSLVPN可继续使用;可扩展分布式集群功能,无需专门的全局负载设备即可实现异地SSLVPN设备间的接入用户负载分担、速度优选接入,异地设备间互为备份,分布式集群中用户可通过唯一的一个地址访问到所有加入到分布式集群的SSLVPN设备
在负载均衡集群部署模式下,支持授权漂移,即当集群中一台设备宕机,该宕机设备中的并发授权自动迁移到其他正常的设备中,而无需额外购买授权。
数据库防火墙
表3-5 数据库防火墙指标要求
指标项
指标要求
硬件指标
1、系统:产品采用专用工控机硬件架构,非普通PC服务器,MTBF(平均故障间隔时间)≥65000小时;
2、处理器:采用当前主流Intel I7系列CPU;
3、内存:≥16GB DDR3 1600Mhz;
4、电源模块:具备冗余热插拔双电源;
5、硬盘可用容量:≥2TB,2T*2,支持RAID1,硬盘容量按等保要求满足保存6个月要求。
6、网络端口:支持监听接口扩展;配备至少2个千兆电口管理口
支持千兆网络环境下的监听能力,配置至少4个千兆电口和4个千兆光口
支持两组电口bypass
硬件至少另外支持3个扩展板卡,最高支持扩展24个千兆电口或光口,或6个万兆口,万兆口支持bypass。
性能指标
防护数据库:支持8个数据库防护
并发连接:2000个
峰值处理能力:10000条/s
纯数据库流量:200Mb/s
部署模式
为适应各种复杂的部署环境,产品部署模式上应满足以下的要求:
1、支持透明串联部署
2、支持旁路部署
3、支持反向代理方式部署
4、支持HA部署方式
5、支持管理界面自定义网桥,并先呈现网桥的工作状态、MTU、网口信息
6、支持管理界面配置聚合端口
7、支持攻击阻断和攻击检测两种防护模式,攻击检测模式对业务是完全零影响
协议支持
为审计和防护不同类型、不同版本的数据库,产品在协议支持应具备以下的要求:
1、支持Oracle、SQL server、Mysql、DB2、Sybase、Informix、Oscar、达梦、Cache、Postgresql、dcom、teradata、kingbase、gbase、mariadb、hana、mongodb等数据库进行审计和防护
2、支持对SQL server(2005及以上版本)数据库采用加密协议通讯,可以通过导入证书的方式实现审计和防护;
3、支持自动检测协议编码和手工配置编码两种方式
4、支持跨语句、跨多包的绑定变量名及绑定变量值的解析
审计功能
为满足利用数据库防火墙实现对数据库操作行为感知的需求,产品需要满足以下的要求:
1、支持数据库操作类、表、视图、索引、存储过程等各种对象的所有SQL操作审计;
2、具有数据库防火墙与审计功能,可根据需要来切换。
可靠性
为保障业务稳定性,产品必须有各种保障机制应对各种突发情况,故产品需要满足以下的要求:
1、支持硬件bypass 和软件bypass相结合,确保设备高度稳定
2、支持系统性能(CPU、内存、swap)过载、系统异常、文件系统异常、代理引擎异常、服务异常、协议代理异常自动启用硬件bypass,保证数据库绝对稳定运行
3、对数据库的延时请求延时小于10ms
防护策略
为满足数据库防护需求,产品需要满足以下的要求:
1、支持系统防护、网络防护、数据库防护三大功能
2、支持数据库防护虚拟补丁技术
3、支持敏感数据泄露防护
4、内置的特征策略包含缓冲区溢出、SQL注入、提权、数据库内核入侵探测等常见攻击特征
5、策略动作支持阻断会话、阻断语句和放行
6、支持自学习模式,通过自学习自动建立数据访问的访问白名单
风险告警
为让用户可以直观、清晰的了解到数据库面临的风险,产品需要满足以下的要求:
1、产品需要支持直观、可视、简单的数据库安全评分,直观展示数据库安全级别。
2、产品支持风险告警查询,且查询条件支持常见的账号、数据库名、客户端工具、操作系统用户名、客户端IP、操作类型、SQL关键字、执行结果、影响行数、执行时长等字段。
系统管理
为增加系统管理的安全性、适应性、可维护性,产品需要具备以下的功能
1、支持双因子认证,支持短信认证、动态口令卡认证
2、支持系统安全配置如会话锁定、超时退出、IP访问控制、密码复杂性管理等安全措施
3、支持SNMP V1、V2、V3网络监控管理协议
4、支持数据自动清理功能,支持根据保留天数和占用百分比自动清理最早的数据。
5、支持网络诊断ping、路由追踪、端口探测、抓包等
数据库审计
表3-6 数据库审计指标要求
指标项
指标要求
硬件指标
1、系统:产品采用专用工控机硬件架构,非普通PC服务器, MTBF(平均故障间隔时间)≥65000小时;
2、系统启动采用CF卡加硬盘方式,保证稳定可靠不可篡改;
3、处理器:采用Intel高性能CPU;
4、内存:≥16GB;
5、电源模块:具备冗余热插拔双电源;
6、硬盘容量:≥1T*2,支持RAID1,支持扩展到4T*2硬盘。
7、网络端口:标配至少6个千兆电口和4个千兆光口,支持扩展端口。
8、总网络吞吐量:2000Mbps,双向审计最大数据库流量:150Mbps
处理能力
1、审计性能:能够稳定、流畅地同时支持20个数据库数审计能力,不会产生漏审;
2、峰值处理能力:≥25000条/秒;
3、审计日志检索能力:≥1500万条/秒;
部署方式
1、旁路部署模式下无须在被审计数据库系统上安装任何代理即可实现审计;
2、软件代理:支持对缺失物理端口的数据库服务器(如虚拟化服务器),可以安装软件代理,进行数据拆包分析并将数据库相关包内容转发给审计设备
3、支持分布式部署,管理中心可实现统一配置、统一报表生成、统一查询;
4、管理中心和探测器都可存储审计数据,实现大数据环境下磁盘空间的有效利用和扩展;
5、管理中心和探测器直接的数据传输速率、时间、端口都可自定义;
6、支持大数据平台部署,具有成熟的大数据hadoop平台处理,支持后期无缝扩展大数据版本,支持审计数据外送至大数据平台;
协议支持
1、支持Oracle、SQL-Server、DB2、Informix、Sybase、MySQL数据库审计;
2、支持PostgreSQL、HANA、Teradata、Cache、人大金仓、达梦、南大通用数据库审计;;
3、支持MongoDB、Hbase非关系型数据库审计;
4、支持主流业务协议 HTTP、Telnet、FTP、SMTP、POP3、DCOM;
5、会话解密:支持对SQL server(2005及以上版本)数据库采用加密协议通讯,可以通过导入证书的方式实现审计
6、支持对各种协议自动识别编码及在web界面手工配置特定编码
审计功能
1、支持数据库操作类、表、视图、索引、存储过程等各种对象的所有SQL操作审计
2、双向审计:支持数据库请求和返回的双向审计,包括返回结果集、执行结果、返回行数、执行时长等内容
3、堡垒机关联:支持与堡垒主机关联,审计通过ssh等加密方式进行的会话,记录客户端、堡垒机、目标地址的操作数据库行为
智能发现
1、支持自动识别流量中存在的数据库;
2、数据库风险评估:支持提供对主流数据库进行安全漏洞扫描,针对扫描结果需要能够出具综合评估报告,且支持定制任务模式,可按月、周自动进行扫描,
应用关联
1、三层关联:提供客户端访问WEB服务器的URL和应用服务器访问数据库的SQL语句一一关联功能,便于准确追踪溯源确定任何一个SQL语句是前端具体哪个URL访问触发
2、支持旁路自动学习三层审计关联功能
安全审计
1、支持审计记录中敏感数据的模糊化处理,内置常见敏感数据掩码规则,支持自定义;
2、内置安全特征库不少于300条,如SQL注入、缓冲区溢出、弱口令等;
3、可自定义审计规则,审计规则至少支持18个条件;;
4、规则各条件之间支持与或非逻辑关系;
5、告警数量需支持最大告警数量限制,超过告警阈值之后便不告警;;
6、告警查询应支持根据登陆用户、客户端工具名、客户端IP、规则进行归并分析,能详细展示每类告警占总告警数量百分比,便于告警分析处理;
审计查询
1、查询条件易于使用,审计查询条件均为非正则表达式形式进行
2、支持采用部分匹配模糊查询方式检索审计日志
3、支持基于数据库访问日期、时间、源/目的IP、来源、数据库名、数据库表名、字段值、数据库登陆账号、SQL关键词、数据库返回码、SQL响应时间、数据库操作类型、影响行数等条件的审计查询;
统计报表
1、系统提供内置多种报表模板库,内置的报表不少于35种;
2、报表支持严格按照塞班斯(SOX)法案、等级保护标准要求生成多维度综合报告;
3、支持按照数据库访问行为生成报表,智能识别帐号的增删、权限变更、密码修改、特权操作等行为;
4、支持按照时间曲线统计流量、在线用户数、并发会话、DDL操作数、DML操作数、执行量最多的SQL语句等报表;
5、支持性能分析,准确提炼出SQL语句执行频率和执行时间异常的报表;
6、支持Word、PDF、ppt等格式的报表导出;
7、支持报表自定义,自定义的条件不少于20个;
模型分析
1、自动建模:支持对数据库的访问行为创建模型,并能根据模型数据自动对模型以外的行为进行自动智能告警
2、可通过行为轨迹图方式展示数据库访问行为;
3、可基于账号、IP地址、访问权限、客户端工具等维度对行为模型做钻取分析、变更分析,对学习的安全基线以外的行为自动智能的进行告警;
4、可以自动对比不同时期的行为模型,以区分其审计日志数趋势、用户、IP地址、工具、访问权限的差异情况;
数据管理
1、支持根据保留天数和占用百分比自动清理最早的数据;
2、提供审计策略和系统配置信息的单独导入、导出功能;
系统管理
1、支持用户界面告警、Syslog、SNMP、邮件、短信、ftp六种方式告警;
2、采用B/S架构管理,支持中英文两种管理界面
3、支持系统安全配置(会话锁定、超时退出、IP地址访问控制、密码复杂性管理、验证码登陆等措施)
4、支持NTP时间同步、SNMP(v1、V2、V3)网络管理协议
故障排错
系统内置独立的故障排错系统,支持一键导出系统调试日志,一键检测服务、许可证、流量等常见故障;支持流量分析功能,包括抓包、包内容查看、自动探测sql语句等;
产品资质
获得公安部颁发的《计算机信息系统安全专用产品销售许可证》,数据库安全审计(国标-增强级)
获得国家信息安全测评中心颁发的《国家信息安全测评 信息技术产品安全测评证书》,级别EAL3+
获得中国网络安全审查技术与认证中心颁发的《中国国家信息安全产品认证证书》(增强级级别)
获得国家保密科技测评中心颁发的《涉密信息系统产品检测证书》
获得中国信息安全测评中心颁发的《国家信息安全漏洞库 兼容性资质证书》
获得IPv6 Ready Logo认证证书
厂商资质
厂商获得中国信息安全测评中心颁发的《国家信息安全测评信息安全服务资质证书》(安全工程类三级)
厂商获得中规(北京)认证有限公司颁发的《知识产权管理体系认证证书》(知识产权管理体系符合标准:GB/T 29490-2013)
厂商获得ISO9001质量管理体系认证证书,证书体系覆盖人数不少于600人,覆盖人数需提供认监委官方网站cx.cnca.cn查询结果
厂商获得CMMI5认证证书
区域安全边界防火墙
该设备与互联网出口防火墙类似,具有IPS、AV、流量控制等功能。与互联网出口防火墙同一品牌。
表3-7 区域安全边界防火墙指标要求
序号
指标项
功能描述
1、设备基本要求
专有硬件平台
硬件平台采用先进的多核网络专用架构。硬件平台采用多核处理器,使用64位MIP多核处理器,多核核数≥24个
接口数量
配备至少8个千兆电口,8块千兆单模光接口,配置8个万兆单模光接口。
扩展
必须支持接口扩展,最多可扩展至40个千兆接口,最多可扩展15个万兆SFP+接口
电源
标配双冗余热插拔电源
2、性能要求
吞吐量
≥60Gbps
AV防病毒
≥20Gbps
IPS吞吐量
≥25Gbps
最大并发会话数
≥2000万
每秒新建会话数
≥80万
3、主要参数和功能
工作模式
支持透明、路由、混合、旁路4种工作模式
NAT(网络地址转换)
支持源NAT和目的NAT,且支持NAT扩展技术,使单个公网IP支持的NAT转换端口突破65535限制 ;
支持NAT地址可用性探测,支持NAT公网地址池中IP有效性检测,避免因NAT地址无法使用导致业务中断
动态路由
支持OSPF、BGP、RIPv1/v2、IS-IS(动态路由协议非透传)路由
策略路由
支持基于应用引流技术,提供基于时间、应用协议的策略引流,如针对P2P、WEB视频协议,通过深度应用识别,将这些应用产生的流量引流到特定的互联网线路上。
支持基于URL引流技术,支持基于时间、URL的智能引流技术,通过DPI的智能引流技术,从而对具体URL的访问动作进行策略引流,将某个URL的流量引到特定的链路上
BFD协议
支持BFD for Static/OSPF/BGP
HA高可用性
支持A-P模式,A-A模式,解决非对称路由场景的对等模式(提供官方技术白皮书)
支持基于接口、HTTP、PING、ARP、DNS、TCP等监测对象实现HA切换
硬件配有独立HA心跳口,面板明确标注HA接口
应用识别
具备对应用程序的识别和控制能力。应用程序特征库不少于3300种,并支持在线/手动更新
支持应用过滤器便于配置和维护,至少支持6个维度进行过滤,包括:名称、类别、子类、所用技术、风险等级、特性;其中应用技术至少包括:基于浏览器、客户端服务器、网络协议、点对点;风险级别包括:1、2、3、4、5总共5个等级;特性包括:能够传输文件、已被大规模使用、大量消耗带宽、易逃逸、易被滥用、被其它应用使用、存在已知漏洞、被恶意软件利用
4、访问控制
抗DDOS攻击
抗DDOS攻击:支持抵御下所列所有攻击类型,包括:DNS Query Flood、SYN Flood、UDP Flood、ICMP Flood、Ping of Death、Smurf、WinNuke
ALG应用
支持所列所有应用,包括:H.323、SIP、FTP、TFTP、RSH、RTSP、SQL Net、HTTP、MS-RPC、PPTP/GRE、SUN-RPC
会话控制
支持会话控制功能,要求能够基于源、目的、应用协议三种条件做会话数限制
支持会话控制功能,要求能够限制会话新建速率
访问控制
支持按照应用、时间、用户帐号、IP地址、服务端口、物理端口等方式对数据进行访问控制
策略管理
支持防火墙策略命中数统计功能,便于管理员维护防火墙策略
支持基于国家地理位置设置安全策略
支持策略冗余检测,对策略重复检查
5、URL过滤
URL过滤
支持使用通配符定义URL类型,支持不少于150个自定义URL过虑
支持30种以上域名分类库,控制不良网站访问,支持查询URL归属的URL分类库
支持基于URL地址的关键字对域名进行访问控制
支持自定义URL阻止访问的告警页面(URL重定向)
6、流量管理
智能流量管理(提供官方智能流量管理白皮书)
支持两层八级管道嵌套,能够同时做到两个维度的流量控制
支持对多层级管道进行最大带宽限制、最小带宽保证、每IP或每用户的最大带宽限制和最小带宽保证
7、IPS入侵防御
运行模式
支持旁路和在线两种模式,支持基于安全策略和安全域启用IPS功能,可在不同的攻击方向上启用IPS(至少支持流入\流出\双向等方向)
协议支持
支持对HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、UDP、DNS、RPC、FINGER、MSSQL、ORACLE、NNTP、DHCP、LDAP、VoIP、NETBIOS、TFTP、SUNRPC和MSRPC等常用协议及应用的攻击检测和防御
特征库
具备7000种以上攻击特征库规则列表,至少支持基于协议类型、操作系统、攻击类型、流行程度、严重程度、特征ID等方式的查询,提供产品界面截图有效
HTTP类攻击防护(WAF功能)
具备4000种以上HTTP特征库规则列表
支持SQL注入、XSS防护,支持HTTP头域中的URL、Cookie、Referer、POST检查点配置防护策略
支持外链检查防护,支持自定义外链特性,类型支持HTTP、HTTPS、FTP
支持CC攻击检测,支持访问限速、代理限速、自定义请求阈值、爬虫友好等方法,检测到CC攻击时支持JS Cookie、重定向、访问确认、验证码四种认证方法
处理方式
支持屏蔽攻击者,至少支持阻断攻击者IP或服务两种模式;
支持重置,向攻击者发TCP Reset包;
支持只记录日志,检测到攻击事件后记录日志
支持防火墙联动,仅限IDS模式运行;
8、AV防病毒
病毒库
具备200万种以上病毒特征库规则列表,提供产品界面截图有效
扫描文件类型
支持对HTTP、FTP、SMTP、POP3、IMAP协议的应用进行病毒扫描和过滤
处理方式
检测到病毒扫描和恶意网站时,至少支持填充、重置连接、只记录日志三种处理方式
压缩文件扫描
支持对压缩文件类型的病毒检测,支持RAR、ZIP、GZIP、BZIP2、TAR等压缩文件类型;支持对多重压缩文件的病毒检测,且不小于5层压缩,支持对超出行为自定义处理方式
防病毒及恶意网站
支持恶意链接和病毒警告提示,提示用户所访问的网站为恶意网站或者发现病毒
10、管理功能
系统回滚
支持2个系统软件并存,并支持系统软件回滚,防止配置不当或系统故障造成的网络中断,充分保证了系统的稳定性。
配置文件保存
支持10个配置文件并存,并支持配置回滚
RESTAPI管理
支持通过RESTAPI接口进行配置和查看地址簿、病毒过滤、入侵防御、安全策略、DNAT、SNAT、接口配置、安全域、路由功能
流量包统计
支持按64字节、128字节、256字节、512字节等数据包流量统计
监控和统计
要求支持在WEB界面上显示设备的整机流量、接口流量、每秒新建数、并发连接数信息
要求支持基于IP地址总流量、上行流量、下行流量,最近1小时、最近一天、最近一月以及自定义时间类型的统计
要求支持基于应用的流量、并发连接数、新建连接数的实时、最近1小时、最近一天、最近一月以及自定义时间类型的统计
要求支持对URL访问进行每小时、每天、每月统计,并以柱状图或者饼状图形式排名直观显示
安全运维APP
提供SaaS模式的安全运维APP:通过手机可以第一时间获知设备的实时CPU、内存、流量趋势,以及应用、用户排名、威胁信息等安全状态、 帮助快速定位问题、安全可视化实时呈现。提供App下载URL。该APP不能是VPN 客户端软件。该APP不限制使用用户数。
支持用户定义告警规则,配置CPU利用率、内存利用率、流量过界做为触发条件。
镜像流量设备
表3-8 镜像流量设备指标要求表
指标项
配置及技术参数要求
硬件要求
机架空间
标准19英寸1U机架式结构;
业务接口要求
≥48个10GE SFP+插槽(至少配8个模块),≥2个100GE/40GE QSFP28/QSFP+插槽(至少配置6个模块)
业务接口特性
支持单纤收发,支持端口收发复用,光接口在仅插入接收方向单纤时能够成功Link并采集流量,在端口通过单纤输入采集流量的同时能够通过同一端口单纤输出流量;
支持端口Link状态自动监测和安全保护;
系统性能要求
单系统处理性能不低于1.08Tbps;
复制性能不低于1.08Tbps;
所有端口支持100%线速转发无丢包;
硬件架构要求
设备硬件架构应基于可编程芯片架构设计(注:需提供设备无盖俯视图片,并标注关键器件位置及类型);
管理接口要求
提供至少一个Console口、一个GE RJ45管理口、一个USB3.0接口;
电源
配置交流冗余电源,单电源模块故障不影响系统正常运行;
风扇
配置冗余风扇,单风扇故障不影响系统正常运行;
功能要求
流量汇聚/复制
可将采集的一路或多路网络流量进行复制并分发给不同的工具处理;可将通过不同网络端口采集的网络流量进行汇聚,并分发给单台工具处理;可将采集的多路网络流量进行汇聚之后同时复制成多份输出给不同的工具处理;
流量过滤
支持基于报文采集来源端口、源/目的MAC、以太网上层承载协议类型、内/外层VLAN、IPv4/IPv6五元组、DSCP字段、VNI字段、L3层协议类型、隧道封装情况下的内层IPv4/IPv6五元组、关键字特征、IP分片报文等对流量进行分类过滤转发;(注:需分别提供上述流量过滤的命令行截图证明)
支持基于IPv4/v6通配五元组规则(支持mask和range)设置,通配五元组规则不少于2k条;
支持基于IPv4/IPv6精确五元组匹配规则设置,精确五元组规则不少于10k条;
支持不少于500条的字符串匹配规则;
支持IPv4/IPv6五元组与字符串组合匹配规则;
支持在一次输入到输出过程中分别在入接口、中间环节以及出接口分别执行不同的流量策略,支持L2/L3/L4/L7层组合策略规则,例如在一次输入到输出的过程中,可以在入接口匹配ACL规则,然后复制多份流量,最后在出接口再匹配ACL规则,从而满足不同后端工具的需要;(注:需提供相应的截图证明,并说明多级过滤处理的实现机制),
支持有隧道封装情况下的内层IPv4/IPv6五元组匹配规则,且内层匹配性能不低于1.08Tbps;(注:需提供实现机制说明或测试报告)
流量负载均衡
支持基于源目的IP、IP五元组、源目的端口等策略的流量负载均衡;
支持隧道封装情况下的内层IP五元组负载均衡;
支持弹性Hash的动态负载均衡保护;(注:提供弹性Hash实现机制说明)
支持同源同宿负载均衡输出;
支持基于IPv6的流量负载均衡输出;
设备增强功能
支持线速的纳秒级时间戳处理,性能不低于1.08Tbps;(注:需提供实现机制说明或测试报告)
支持线速的报文截短,可以设置保留的字节长度,性能不低于1.08Tbps;(注:需提供实现机制说明或测试报告)
支持线速的隧道剥离(如MPLS、GTP、GRE、VXLAN、ERSPAN、VNTag等),性能不低于1.08Tbps;针对MPLS、VXLAN可以进行多层封装的剥离;(注:需提供实现机制说明或测试报告)
支持GRE隧道终结,能够单独配置IP地址用于终结GRE隧道;
支持MAC地址修改;
支持源端口标记功能;
管理要求
管理方式
支持Console、SSH、WEB等多种方式登录系统;
日志审计
日志审计系统,主要是审计服务器及相关安全日志信息,须实现等保日志保存6个月的要求。
表3-9 日志审计指标要求表
功能指标
指标要求
基本要求
性能要求
冗余电源;接口≥6个千兆电口;可用存储量≥4TB(RAID1 模式);
支持≥500个主机审计许可证书;
资产管理
资产管理
支持添加、修改、删除资产
支持对资产的基本属性进行维护
支持资产增加自定义属性
视图管理
资产支持组织、地域等各类视图的管理
网络管理
资产支持组织、地域等各类视图的管理
拓扑管理
支持拓扑管理,并能够支持拓扑维度展示整体安全、事件分布、告警分布等
IP
自动发现
系统支持对IP对象的自动发现功能,支持IPv6,对自动发现的设备可以转资产或删除
日志采集
采集对象
系统满足设备的信息采集要求,主要包括:
安全设备:启明WAF防火墙、绿盟IDS、华为防火墙、Juniper防火墙、天融信防火墙等
操作系统:Linux、Windows、Window server、Unix等操作系统
数据库:Oracle、MySQL、SQLServer等
应用系统:如Apache、Tomcat、IIS、Weblogic等
网络设备:主流的路由器、交换机、负载均衡等网络设备等,如Cisco、华为、juniper等
虚拟化平台:VMware Esxi、Xen、Hyper V等
支持常见的虚拟机环境日志收集,包括Xen、VMWare、Hyper-V 等
采集接口
系统支持Syslog、Syslog-ng 、SNMP Trap、文件、WMI、FTP、数据库、SMB、Console、镜像流量等方式采集日志
支持获取各种主流网络及数据库访问行为,支持Syslog、WMI、SNMP trap专用协议等协议事件日志;
支持零管理配置,系统自动发现域名并监控域名的访问及攻击情况
日志采集器可实时将指定的日志送到审计中心
日志采集器在将日志送往审计中心的时候,可以制定传送策略,仅传送符合条件的日志
审计中心可以支持配置多个日志采集器
标准化
对日志格式进行标准化操作时,将不破坏原始日志内容
标准化自动识别系统类型至少达到200种
系统支持从不同设备或系统中所获得的各类日志、事件中抽取相关片段准确和完整地映射至安全事件的标准字段
支持对安全事件重新定级。能根据统一的安全策略,按照安全设备识别名、事件类别、事件级别等所有可能的条件及各种条件的组合对事件严重级别进行重定义
系统能够将标准格式的事件写入存储设备
系统的标准化策略具备良好的可扩展性,可通过配置文件或界面实现管理功能
支持相同IP不同设备类型的日志识别
日志
处理
过滤
系统支持完全收集采集对象上的日志信息,也支持在安全事件收集引擎上设置过滤条件,可过滤出无关安全事件,满足根据实际业务需求减少采集对象发送到核心服务器的安全事件数,从而减少对网络带宽和数据库存储空间的占用
可通过自定义聚合规则修改日志的聚合归并逻辑规则,提高日志分析效率
归并
支持归并技术,一段时间内对重复日志进行归并
支持内置归并策略,对HTTP数据进行自动归并处理;
日志分析
实时监控
支持自定义配置实时监控的策略,可以涵盖日志解析中的所有字段,滚动持续监控
实时监控页面具有全屏监控功能
日志查询
支持根据设备类型,按日期展示日志的接入情况,包含不同级别日志数量统计
支持多种方式的查询检索,包括:日志检索、事件检索、告警检索、高级检索及文件检索;
TB级原始日志查询耗时低于1秒
支持简单易用的日志查询普通模式,根据系统预置的查询条件,根据用户需求查询对应的日志,并且支持查询条件的保存,供后续快捷使用
支持查询模版创建、删除功能;
支持更加精确的专家模式查询,根据页面的指导提示,通过组合查询表达式完成精确查询
支持全球地理位置库
日志管理
支持文本型日志原始文件管理,可将系统作为日志服务器使用;
关联策略
支持挖掘不同类型、来源于不同设备或系统的日志或安全事件之间可能存在的关联关系,系统支持GUI方式的关联规则设置功能
支持对安全事件重新定级。支持根据统一的安全策略,按照安全设备识别名、事件类别、事件级别等所有可能的条件及各种条件的组合对事件严重级别进行重定义
支持基于因果式的状态关联分析
支持实时关联告警实时偏差不大于3秒
支持实时关联策略命中后可以定义告警并通过相应方式转发,如:SYSLOG、邮件等
支持基于异常统计模型的检查分析功能,如:识别异常的流量攻击等
系统内置关联规则280条以上
规则条件设定支持逻辑运算符与支持正则表达式;
关联事件
若日志满足系统内置或用户定义的关联策略,将产生关联事件
关联事件管理可以统一监控事件的命中情况,包括来源的设备、事件类型、最近命中时间以及命中总次数等
日志审计
审计事件
支持显示审计事件分类统计列表,根据审计策略名称、审计事件类型、被审计人员、目标设备地址四个维度展现
通过事件总数查看具体的审计事件,并可以查看产生该审计事件的原始事件的详细内容和归并数量
审计策略
支持自定义审计策略
支持可视化方式进行策略制定
支持从审计策略模板直接创建策略
支持通过事件的任意字段制定规则创建策略
支持审计策略命中后可以定义告警并通过相应方式转发,如:SYSLOG、邮件等
支持审计策略可以定义审计事件的名称、分类、级别以及命中后是否继续匹配其余审计策略
审计策略模板
支持预置审计策略模板,包括:Windows主机类审计策略模板、Linux/Unix主机类审计策略模板、防火墙类审计策略模板、扫描器类审计策略模板、IDS/IPS类审计策略模板、防病毒类审计策略模板、数据库系统类审计策略模板、萨班斯审计策略模版、等级保护审计模板等
支持从模板创建审计策略
审计类型
支持可自定义审计类型配合不同的审计策略
审计对象
支持审计对象的定义,包括:审计目标对象、审计行为对象、审计行为执行者对象、审计来源对象、审计时间段对象等
审计人员
支持定义部门和人员的对应关系
支持定义人员与账号的对应关系
流量
审计
会话数据解码和分析
支持二层数据包解码:普通以太头解析、支持PPPoE、VLAN、VLAN QinQ
支持三层数据包解码:支持IPv4、IPv6
支持四层数据解码:支持TCP、UDP、ICMP、ICMPv6、SCTP、IGMP等
支持HTTP数据解码和元数据分析:对HTTP请求的域名、URL、状态码、UserAgent等进行分析
支持DNS数据解码和元数据分析:对DNS的请求域名、返回地址进行分析
支持邮件数据解码和元数据分析:对SMTP、POP3、IMAP等邮件协议中的发件人、收件人、主题、附件等进行分析
支持TLS数据解码和元数据分析:分析TLS、SSL协议的证书以及服务器等信息
支持SMB数据解码和元数据分析:分析SMB相关信息
支持其他数据解码和元数据分析:包括诸如对FTP、SSH、DCERPC、TELNET、MySQL、Oracle、SQLServer、IEC、MMS、MODBUS、OPC、OPCUA、EthernetIP CIP等相关信息进行分析
支持应用层DPI识别:Syslog、SNMP、IRC、NTP、RDP、RTP、QQ、Wechat、电驴、BT、PPStream、DHCP、Kerberos、Skype、大智慧等,对HTTP上附着协议进行识别,如新浪、百度、163、微博、头条等
HTTP会话
支持HTTP网页标题、BBS、威胁情报、DGA、搜索关键词的网络会话分类展现
DNS会话
支持DNS、DGA、解码错误、解码失败、解码超时的网络会话分类展现
其他会话
支持TLS会话、数据库会话、邮件会话、FTP会话、Telnet会话,即时通讯会话的展现
下级接入
接收下级审计系统转发告警
支持接收来自下级日志审计系统转发的告警日志进行二次分析、关联
告警
管理
告警处理
支持告警的清除(认为不是问题)和确认(认为可能是问题)操作
告警监控
支持以列表的方式展示告警:告警声音设置:告警过滤策略
全文检索
支持全文检索功能,能对系统内的对象提供全文检索功能
报表管理
报表管理
支持内置实例管理和报表任务管理
支持管理员自定义审计报表模板;
知识库管理
支持内置日志接入配置指导、典型日志事件介绍、安全经验等。并支持自定义创建增加知识库内容
用户管理
支持根据三权分立的原则和要求进行职、权分离,对系统本身进行分角色定义,如管理员只负责完成设备的初始配置,规则配置员只负责审计规则的建立,审计员只负责查看相关的审计结果及告警内容;日志员只负责完成对系统本身的用户操作日志管理
支持对所有审计管理员操作审计系统的动作进行审计;审计员只限于操作权限设置范围内的日志数据,无权限日志数据透明;
安全仪表板
仪表板
仪表板应内置支持下列内容:
整体安全概况(包括攻击地图展示,事件来源基于地域及组织)
安全资产概况
告警概况
安全事件概况
审计事件概况
自定义仪表板
支持自定义仪表板,客户可以选择对应的微件,组成想要关注的仪表展现内容
系统配置管理
配置管理
支持设置日志存储备份策略。包括系统日志保存期(天)、磁盘使用率百分比
支持日志文件备份到外部存储设备,包括FTP/NFS等
支持按�
