三防指揮中心設備更新優化項目招標公告

序號

產品名稱

產品要求

單位

數量

備注

1

抗拒絕服務

系統

詳見抗拒絕服務系統技術指標

臺

1

提供三年原廠的免費保修、免費升級及免費上門服務。

2

網頁防篡改

系統

詳見網頁防篡改系統技術指標

套

1

提供三年原廠的免費保修、免費升級及免費上門服務。

3

服務器

詳見服務器技術指標

臺

1

提供五年免費保修及免費上門服務。

4

WEB服務器操作系統和數據庫安全加固服務

詳見WEB服務器操作系統和數據庫安全加固服務技術指標

項

1

對水務信息系統網站平臺進行安全加固，通過打補丁、修改安全配置、增加安全機制等方法，合理進行安全性加強。

功能

說明

 

★資質要求

中華人民共和國公安部的《計算機信息系統安全專用產品銷售許可證》；

中國人民共和國版權局頒發的《軟件著作權登記證書》；

產品要求界面友好，易于安裝、配置和管理，并有詳盡的技術文檔。產品圖形界面以及各類技術文檔均應為中文；

產品要求在中華人民共和國境內開發，具備自主知識產權，并經過5年以上中國境內客戶實際環境下的應用檢驗（必須提供有效證明文件）；

廠商須在信息安全領域有著豐富的經驗與先進的技術，具備對操作系統或網絡設備的漏洞進行發現、驗證的能力（必須提供有效證明文件）；

廠商須具備提供針對抗拒絕服務攻擊事件的遠程和現場的緊急響應能力；

產品應采用專用機架式硬件設備，系統硬件為全內置封閉式結構，穩定可靠；

產品廠商須能夠提供本地化的售后服務，在省內或直轄市內設有廠家辦事機構和擁有具備CISP資質的技術工程師，能夠提供7×24現場支持服務并在2小時內提供備用機器；

生產廠商必須擁有完善的安全服務支持能力，具備國家信息安全服務二級資質。

 

 

 

 

 

 

 

安全特性

攻擊防護

系統可以提供如下攻擊的防護：

1.       ? Spoofed and Non-Spoofed Attacks

a)       TCP（syns, sync-acks, acks, fins, fragments）

b)       UDP（random port floods, fragments）

c)       UDP TCP 連接關聯防護

d)       ICMP（unreachable, echo, fragments）

e)       DNS Flood攻擊防護

2.       ? Client Attacks

a)       連接耗盡防護攻擊

b)       傳奇游戲CC攻擊

c)       傳奇游戲假人攻擊

d)       HTTP Get flood

3.       ? BGP Attacks

4.       各種混合型攻擊

★防護算法

系統采用無限并發連接機制，系統沒有最大并發連接數指標，從而防范連接耗盡和某些Flood攻擊；

為提高防護性能和針對未來DDoS攻擊的變形，采用非特征匹配方式，而使用智能攻擊流量識別的技術進行防護，而不基于特定規則的方式，即當發生未知攻擊，無需專門的撰寫規則即可對這些攻擊進行防護；

包過濾

提供基于五元組（源IP地址、目的IP地址、源端口、目的源口、協議類型）的ACL訪問控制規則；

提供基于七元組（源IP地址、目的IP地址、源端口、目的源口、協議類型、TOS及接口）以及對數據包payload進行匹配的模式匹配規則。

流量監控

提供實時流量監控

實時攻擊事件統計

★抓包取證

依據自行設置的條件啟動抓包任務，針對DDoS攻擊，獲取符合抓包條件的網絡數據包，為電子取證提供依據。

協議

鏈路層協議

支持802.1Q協議

網絡層協議

支持TCP/IP協議的處理

網絡管理

★網絡管理采用HTTPS的安全方式

SNMPv1/v2cTrap

Syslog

 

部署方式

支持串聯部署

★支持集群部署，利用多路并行處理，提高防護的容量。

配置與管理

終端服務

支持Console接口終端服務

支持SSH終端服務

系統管理

支持配置文件導入導出

支持分級分權管理

支持License控制

維護

系統診斷和調試功能

顯示物理端口狀態，顯示系統CPU、內存信息；

日志

日志管理

提供系統日志，提供操作日志，提供登錄日志，提供攻擊日志分析功能提供攻擊日志

日志服務

支持Syslog日志服務器

支持通過郵件自動發送日志

★性能參數

 

統計周期30秒

統計結果保存期限5年

原始數據保存期限3個月

界面操作響應延遲小于10秒

產品的最大并發連接數為無限制；

序號

貨物名稱

招標規格

說明

1

網頁防篡改系統

★阻止網站內容非授權新增、修改、刪除

支持

2

網頁防篡改系統

★網站內容保護系統驅動級實時保護技術實現

支持

3

網頁防篡改系統

★可針對網站任意內容設置防篡改屬性，如動態腳本（JSP/PHP/ASP等）、圖片、視頻文件、CSS、JAVASCRIPT

支持

4

網頁防篡改系統

支持IIS、APACHE等任意WEB應用服務器

支持

5

網頁防篡改系統

★非內嵌于Web服務器軟件中實現網頁防篡改功能

支持

6

網頁防篡改系統

★支持FTP的授權訪問與傳輸

支持

7

網頁防篡改系統

★客戶端以USB方式認證

支持

8

網頁防篡改系統

★支持網站后臺頁面的授權訪問

支持

9

網頁防篡改系統

★支持遠程桌面的授權訪問

支持

10

網頁防篡改系統

記錄授權客戶端的訪問記錄

支持

11

網頁防篡改系統

能夠保護動態腳本文件

支持

12

網頁防篡改系統

支持任意WEB服務器軟件

支持

13

網頁防篡改系統

HTTP包過濾，實現防SQL注入式攻擊

支持

14

網頁防篡改系統

客戶端支持斷網延遲連接功能

支持

15

網頁防篡改系統

可實現1個認證端+N個管理端的部署方式

支持

16

網頁防篡改系統

站點保護密鑰證書存儲在閃存設備中，防止密鑰證書被非法破壞

支持

17

網頁防篡改系統

軟件具有防卸載功能

支持

18

網頁防篡改系統

網站內容數據經過處理后，以密文形式存儲，阻止非授權獲取網站源文件

支持

19

網頁防篡改系統

支持多站點的客戶端隔離訪問

支持

20

網頁防篡改系統

支持指定客戶端的授權登錄

支持

21

網頁防篡改系統

防止網站向外發送被篡改的頁面內容

支持

22

網頁防篡改系統

不改變現有網絡結構

支持

名稱

產品技術參數

 服務器及配件

主機

2U機架式服務器。 六核英特爾至強處理器X5660 2.8GHz(12MB三級緩存，最高支持1333MHz內存頻率，6.4 GT/s QPI), 可擴展至2個處理器。2x4GB 1.5V DDR3 RDIMM內存，高達18個內存插槽(每處理器配置9個內存插槽)。4個PCI-Express x8二代插槽；4個x8插槽通過可選的擴展卡可轉換為2個x16插槽；通過可選的擴展卡支持PCI-X。最多支持16個2.5英寸熱插拔硬盤托架；標配8個，通過選件擴展至16個。集成雙口千兆以太網，支持網絡喚醒、網絡卸載引擎（TOE）等網絡高級特性?？蛇x光驅。675W熱插拔電源，可選冗余。ServerRAID M5015陣列卡，支持RAID5（512MB緩存,不帶電池）。集成IMM, 可選的Virtual Media Key用于遠程呈現支持，光通路診斷面板(對處理器、VRM、內存、硬盤驅動器、電源及風扇關鍵部分的故障進行快速診斷)。

CPU

X5660 6C 2.8GHz 12MB Cache 1333MHz 95w

內存

4GB (1x4GB, 2Rx4, 1.5V) PC3-10600 CL9 ECC DDR3 1333MHz LP RDIMM Chipkill,iDataPlex

硬盤

146GB 10K 6Gbps SAS 2.5" SFF Slim-HS HDD x3550M2/x3650M2/HS22 數量8個

光驅

超薄內置光驅 DVD-ROM

電源

Redundant 675W Power supply　

售后服務

5年7*24服務   

加固對象

加固項目

安裝和配置 Windows Server 2003

1.       將<systemroot>\System32\cmd.exe轉移到其他目錄或更名；

2.       更改默認帳戶名（如Administrator）和描述，密碼盡量復雜；

3.       拒絕通過網絡訪問該計算機默認開通賬號

4.       禁止和限制缺省共享

5.       設置匿名用戶無法列舉本機用戶列表

6.       設置賬戶管理審核

7.       設置登錄事件審核

8.       設置對象訪問審核

9.       設置策略更改審核

10.    設置特權使用審核

11.    設置系統事件審核

12.    設置目錄服務訪問審核

13.    設置賬戶登錄事件審核

14.    設置密碼復雜性要求

15.    設置密碼長度最小值

16.    強制密碼歷史次數

17.    設置最長存留期

18.    設置賬戶鎖定錯誤登錄次數

19.    設置鎖定時間

20.    設置復位鎖定計數時間

21.    解除NetBios與TCP/IP協議的綁定

22.    在網絡連接的協議里啟用TCP/IP篩選，僅開放必要的端口

23.    禁止139空連接

24.    修改數據包的生存時間(TTL)值

25.    設置防止SYN洪水攻擊

26.    禁止響應ICMP路由通告報文

27.    設置防止ICMP重定向報文的攻擊

28.    設置arp緩存老化時間設置

29.    禁止死網關監測技術

30.    禁止不必要開啟的系統服務

安全更新

應用所需的所有 Service Pack 和 定期手動更新補丁。  

加強數據備份

Web數據定時做備份，保證在出現問題后可以恢復到最近的狀態。

實施 IPSec 篩選器

用 IPSec 過濾器阻斷端口

設置Internet 協議安全性 (IPSec) 過濾器。

加固對象

加固項目

安全更新

定期手動更新補丁。  

密碼策略

更改默認帳戶名，密碼盡量復雜；

用戶權限

取消不必要的用戶權限；

數據庫日志的記錄

設置審核數據庫登錄事件。

管理擴展存儲過程

優化數據庫訪問的存儲過程。

防TCP/IP端口探測

更改原默認的通訊端口。

過濾拒絕掉端口的UDP通訊。

對網絡連接進行IP限制

對IP連接進行限制，保證只有自己的IP能夠訪問，拒絕其他IP進行的端口連接。