网络安全产品需求一、项目概述根据宁波卫生职业技术学院信息系统的.doc

网络安全产品 项目概述 根据宁信息系统的实际情况的分析，并参照信息系统安全等级保护二级要求，本次网络基础平台安全升级改造的内容主要有： 1、构筑全方位网络安全防护体系，通过网络、、WEB防火墙等设备，完善网络基础设施，实现信息系统的全面保护。 2、构建一套管理手段与技术手段相结合的网络综合审计系统，来实现网络系统、安全设备、主机存储系统等日志的管控和审计。 3、器群部署WEB应用防火墙，对门户网站部门门户及业务系统网站进行全方位的保护。 4、系统集成，对项目中涉及的设备进行安装调试，并对整个网络进行优化。协助制定安全管理制度，达到信息系统安全等级保护二级要求。 计算机信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国，信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作；狭义上称为的一般指信息系统安全等级保护，是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置的综合性工作 计算机信息安全等级保护的工作的目的是分析面临的安全威胁和风险，评估安全防护水平，查找突出问题和薄弱环节，以有针对性地采取防范对策和改进措施，加强网络与信息系统安全管理、技术防护和人才队伍建设，促进安全防护能力和水平提升，预防和减少重大信息安全事件的发生，切实保障网络与信息安全。 宁波卫生职业技术学院信息系统网络安全现状 宁波卫生职业技术学院校园网络基础平台提供的网络应用有：用户管理、身份认证、IP网关、网络管理、电子邮件、教学平台、视频点播、主页发布、远程教育、校园卡等；学校使用作为自已的域名对外发布信息进行交流合作；学校的一些职能部门在校园网络环境下建设自己的应用系统，并投入运行，实现了部分传统校园功能的网络化，如学校协同办公系统，教务管理系统、学工管理系统、图书管理系统、档案管理系统、网络教学平台、精品课程制作与发布平台、教学媒体资源库等。 校园网主干最大带宽为万兆，出口总带宽210M，包括200M的电信和10M的教科网出口。主要设备包括RG-NPE60E网络出口引擎1台，RG-ACE3000 V5.0流量控制设备1台，RG-WALL 1600E-V VPN设备1台，RG-8614核心交换机2台，RG-S6200-48XS数据中心交换机万2台，RG-S2927XG 24口接入交换机17台，RG-S2951XG 48口接入交换机26台。具体网络拓扑图如下： 、 序号 设备 数量 备注 1 WAF 1 服务器区域 2 数据库审计 1 所有网络区域 3 运维安全审计系统(堡垒机) 1 所有网络区域 五、技术参数 1 基本要求 ★8个万兆模光模块及所模光跳线和系统免费升级服务。 采用专用硬件架构与专用安全操作系统，基于操作系统内核的完全检测技术；硬件设备机架安装 性能 ★整机吞吐率不小于最大并发连接数W 部署要求 ★支持透明模式部署、旁路防护模式部署等多部署模式。 网络适应性 实现VLAN划分，实现多VLAN环境下的部署 实现链路聚合(Channel)部署，提高链路带宽；实现Trunk链路防护 支持IPV6协议 安全模式 同时实现基于代理模式和透明模式的防护引擎 HTTPS实现 实现SSL卸载和加壳 ，即客户端到服务器端可以任意选择HTTPS和HTTP，强化应用层安全.为避免需要应标。 防护功能 ★应能识别和阻断SQL注入攻击,Cookie 注入攻击，命令注入攻击 应能识别和阻断跨站请求伪造(CSRF)攻击 ★应能识别和阻断敏感信息泄露、恶意代码攻击、错误配置攻击、隐藏字段攻击、会话劫持攻击、参数篡改攻击、缓冲区溢出攻击、弱口令攻击。 ★实现非法上传 ★实现对网页请求/响应内容中的非法关键字进行检测、过滤 实现盗链防护、爬虫防护、恶意扫描防护 ★实现不少于 实现多种威胁处理方式返回错误码、重定向、监控等 ★实现主动防御功能，当WAF检测到黑客对网站的攻击行为后，即将该IP地址划分到黑名单类，在一定时间内将该的访问直接在网络层过滤，网站 实现攻击IP阻断时间的设置 DDOS攻击防护 ★实现端口扫描防护，包括null扫描防护、 xmas扫描防护、 rst扫描防护、syn/fin扫描防护等 实现Winnuke攻击、 Land攻击、 Smurf攻击、 Ping-of-death攻击防护 实现端口扫描防护，包括null扫描防护、 xmas扫描防护、 rst扫描防护、syn/fin扫描防护等 实现Winnuke攻击