交警支队公安信息网安全设备采购需求.doc-采购需求.docVIP

PAGE - 20 - 采 购 需 求 （以下采购需求部分由采购人：安徽省宣城市公安局交通警察支队提供并负责解释，联系方式详见招标公告） 一、项目介绍： 1、项目概述 为加强我市公安交管信息系统安全，根据信息系统安全防范加固需求，拟增加配备堡垒机、防火墙、入侵检测、安全管理平台、数据防泄漏软件等软硬件安全防范措施，构建完备高效的信息系统安全防范体系。 2建设原则 ? 2.1符合行业规范要求 依据公安部交管局《关于加强公安交通管理信息系统安全管理的通知》要求，对宣城市公安局交警支队公安交警信息系统进行网络安全加固，确保达到部局和省总队对公安交警信息网络安全的建设要求。 ?2.2满足国家等级保护要求 按照三级等级保护的要求，对照《信息安全等级保护管理办法》、《信息系统安全等级保护基本要求》、《信息系统安全管理要求》等规范和标准。 3、建设目标 3.1对核心系统应用服务器和数据库服务器分别设立独立安全区，在两个区域出口前分别配置防火墙，对核心系统重要应用系统及数据系统进行安全区隔离、重点防护，设置更加细致的访问控制策略。 3.2根据数据库安全区访问控制要求，服务器区可利用服务器区域防火墙设置应用服务器安全区内指定服务器通过指定端口访问数据库服务器。 3.3根据应用服务安全区访问控制要求，数据库区可利用应用服务器区域防火墙设置应用服务器区外的计算机访问权限，只允许其通过与应用有关的指定端口访问指定应用服务器，同时可设置负载均衡设备对应用服务器访问流量进行精确指定。通过在两个区域利用原有的防病毒网关，对流入流出应用服务区安全区、数据库服务安全区的流量进行病毒木马查杀，防止服务器区域感染病毒木马。 3.4根据远程维护访问控制要求，利用堡垒机设备对远程维护需求进行权限控制，可以为不同操作人员设置不同的账号，分配与其职责匹配的权限，并设置严格的审计策略。 3.5根据公安网接入安全的要求，在安全接入区设置防火墙、入侵防御系统等设备，保护内网安全，根据等级保护相关技术要求，通过在安全管理区部署网络审计系统以及在数据库区域部署数据库审计系统，实现对应用访问行为、数据库访问行为实时审计还原，便于事后的安全取证分析。 3.6根据公安网内部信息的保护要求，在终端处部署数据防泄漏系统，针对终端所查询数据信息和使用身份的不同制定不同防护策略。 3.7通过在公安网接入区部署入侵检测系统，对网内的流量进行攻击检测，一旦检测到攻击行为及时发出告警信息。 3.8根据公安网安全管理要求，在安全管理区部署安全管理平台类产品，针对公安专网服务器、网络设备、安全设备等资产进行统一管理，通过采用多种技术、手段，收集和整合各类安全事件，并运用实时关联分析技术、智能推理技术和风险管理技术，实现对安全事件的深度分析，能快速做出智能响应，实现对安全风险的统一监控分析和预警处理。 3.9公安网信息系统如综合应用平台和集成指挥平台等级保护通过测评机构评定达到三级等级保护。 二、设备清单和技术要求： 具体清单如下（备注：带★号必须完全响应或优于响应，否则废标处理）： 序号设备名称设备配置数量单位备注1WEB应用防火墙一、性能要求： ★并发连接≥220万；吞吐率≥2G。 二、配置要求： ★2U机架式结构；最大配置为26个接口； 默认包括2个可插拨的扩展槽和4个10/100/1000BASE-T接口和4个SFP插槽，2个10/100/1000BASE-T接口（作为HA口和管理口）； 双电源； 三、功能要求： 支持透明模式，负载均衡模式，旁路防护模式、旁路监测模式部署； ★实际使用中至少支持两路链路部署，至少支持30个站点数的安全防护。 ★支持SSL加速，即从客户端到waf到web服务器全部都是https，同时waf提供web安全服务。支持SSL卸载，即waf可以对数据解密并进行安全过滤处理后不加密数据直接把http数据发送给服务器（提供截图） ★支持防护SQL注入，Cookie 注入，命令注入、跨站脚本(XSS)、会话劫持、缓冲区溢出攻击等WEB攻击，内置预定义防护规则数量大于900条；支持自定义防护规则；跨站请求伪造(CSRF)攻击防护；（提供截图）支持非法上传阻断，包括WebShell攻击防护；支持对网页请求/响应内容中的非法关键字进行检测、过滤； 支持盗链防护、爬虫防护、恶意扫描防护；支持多种威胁处理方式，包括返回错误码、重定向、监控等。（提供截图） ★支持独立的DDOS攻击防护功能模块，支持null扫描防护、 xmas扫描防护、 rst扫描防护、syn/fin扫描防护；支持Winnuke攻击、 Land攻击、 Smurf攻击、 Ping-of-