XX大学信息安全加固项目采购需求.docx

XX大学信息安全加固项目采购需求1 .项目概述随着信息技术在XX大学的广泛应用和深度融合，在教育系统、教育设备、教育环境等纷纷融入信息化元素的同时，加大了攻击行对于相关教育数据的关注程度和攻击面，使XX大学在网络安全面临的或胁持续加大。本项目通过采购一些新的安全设备来落换部分旧的安全设备和补充一些安全设备来达到如卜目标。（1）提高数据中心机房部署的应用系统的访问效率，改善师生使用应用系统的使用体验，旧的WEB应用防护系统设备目前已经不满足我们Web系统的防护要求。访问责高的时候，出现CPU或者内存过高的情况，会对防护的应用系统造成访问慢的影响。通过替换性能更好的WEB应用防护系统，提高数据中心机房部署的应用系统的访问效率，改善师生使用应用系统的使用体验。（2）更好的满足网络安全法3和网络安全等级保护的要求旧的运维安全管理系统设备只有500个授权，不能覆盖数据中心内部的所有服务冷。因此需要新增台运维安全管理系统设备来并对内部人员或第三方运维人员误悚作和非法操作进行审计监控，以便事后责任追踪，更好的满足网络安全等级保护的要求。需增加一台专门的综合日志审计分析平台设招来更好的满足网络安全法中保留6个月日志的要求。通过对备份系统进行扩容的服务，可以使更多的服务器纳入备份服务，更好的满足网络安全等级保护的要:求.2 .采购内容本项目包括以下内容：本项目采购内容包括运维安全管理系统、WEB应用防护系统、综合日志审计分析平台、备份系统扩容服务。序号分项数量/单位说明1运维安全管理系统一4、1、【软硬i体】2、【性能说明】:字符并发数23300,图形并发数22000,最大可管理设备数无限制。3、【硬件规格】:标准硬硬件,交流冗余电源，硬盘24T,千兆电口去8,千兆光口一8个，万兆光口24.具有国产化的操作系统、硬件平台,国密1.IKEY.处理器：C*Core32位R1.SC芯片，SRAM：32KB,EF1.SH:256KB,支持国密规范。主要功能包括：设备运维、访问控制及异常告警、运维管控、自动化运维、日志管理等。提供相当或优丁原厂三年维保服务2WEB应用防护系统一台1、【软硬一体】2、【性能说明】：应用层吞吐量去IOGbPs,Cps70000,.3、【硬件规格】:标准2U件件,交流冗余电源,千兆电口32,万兆光口24(ByPaSS22路)，硬盘21T。主要功能包括：TCPF1.ood防护,HTTPF1.ood防护,慢速攻击防护,Web服务器，插件防护，爬虫防护，Web通用防护，文件非法上传防护.非法下载限制等基础防护;扫描防护,CookiG安全，内容过滤，敏感信息过灌,暴力破解防护，XM1.防护，智能引擎检测等功能。提供相当于或优于原厂三年维保服务3绦合日志审计分析平台一台1、【软硬一体】2、【性能说明】：日志处理能力225000EPS,100O个日志源；3、【硬件规格】:标准2U硬件，电源：双电源：网口:千兆电口去5(包含管理口*1,业务口*4),万兆光口22：芯片+操作系统：相当于或优于第鹏920+统信序号分项数量/单位说明UOS内存2512G：硬盘26T*12;主要功能包括：日志收集、日志分析、日志杳询、日志备份等功能：日志收集包括支持Sys1.og,SNMPTrap,HTTP、ODBC/JDBC,WMkFTP、SFTP协议日志收集，支持目前主流的网络安全设备、交换设备、路由设备、操作系统、应用系统等。提供相当于或优于原厂三年维保服务4备份系统犷容服务一套(1)对已有爱数备份系统提供扩容授权服务，共增加75TB授权,其中大学城校区增加50TB授权,桂花岗校区作为异地备份增加25TB投权。(2)增加重笈数据则除代理授权，实现京纪数据删除功能。多个备份任务可以共享同一个选制指纹池，也可以根据数据的不同单独设置专属选制指纹池，支持并行垂友数据割除，解决存储空间压力问题.以上两个授权均为永久使用授权。(3)完成项目交付的管理、业务场景的梳理和规划、产品的部署线及业务上线后的保障与支持。根据客户的实际需求进行灵活配置。(4)提供相当于或优于原厂三年维保服务授权.2.1 运维安全管理系统随着信息化的发展，学校IT系统不断发展，网络规模迅速扩大、设备数量激增，建设重点逐步从网络平台建设，转向以深化应用、提升效益为特征的运行维护阶段，IT系统运维与安全管理正逐渐走向融合。信息系统的安全运行直接关系学校效益，构建一个强健的IT运维安全管理体系对学校信息化的发展至关重要，对运维管理安全性提出了更而要求.由r代维人抗流动性大、对操作行为缺少监控带来的风险日益凸显。因此，需要运维安全管理系统通过严格的权限控制和操作行为审计,加强对代维人员的行为管理，从而达到消院患、避风险的目的。目前学校使用的运维安全管理系统设备是2017年采购的，只有SoO个授权，性能也不够。我们仅仅是数据中心的服务涔（含虚拟化+物理）就已817台，为f更好满足操作系统的操作需耍管控和审计的安全要求,急需增加一台运维安全管理系统设备，该设备参数要求如下。1、【软硬体】2、【性能说明工字符并发数23300.图形并发数22000,最大可管理设备数无限制。3、【展件规格】：标准2U硬件，交流冗余电源，硬盘24T,千兆电口28.千兆光口8个，万兆光口24。具有国产化的操作系统、硬件平台，国密UKEY,处理涔：C*Core32位RISC芯片，SRAM：32KB.EF1.ASH：256KB.支持国密规范>主要功能包括：设备运维、访问控制及异常告警、运维管控、自动化运维、日志管理等。提供相当于或优了原厂三年维保服务技术指标参数见表：序号指标项技术参数1.接口与性能指标系统应为2U标准式机架硬件设备，全内置封闭式结构，具有国产化的操作系统、硬件平台，28个千兆电口，8个千兆光口，24个万兆光口。存储空间不低于4T：最大可管理设备数不低于无限个，本次授权不少于无限个设备，字符并发数不少于3300个，图形并发数不少于2000个。2.网络访问支持基于IP的DNAT网络环境部弱，通过映射后的IP信息能够访问堡垒机。（提供功能被图证明）3.远程访问支持基于SDP技术的远程接入，无需额外部署VPN设备。支持服务隐做功能，开后后，攻击者无法扫描到对应服务端口.支持服务端口代理功能，支持可将多个服务湍口代理成一个，支持客户端在开启VPN的情况下，通过SDP技术和核端口建立安全隧道。（提供功能截图证明）4.多级组织管理/分权分域支持划分多级组织架构（至少10个层级），支持管理员批量导入用户信息，可通过勾选账户进行批信操作如停用/启用、冻结、移除本组织成员。5.支持划分多级组织架构（至少10个层级），不同层级有独立的用户管理，用户角色管理，资产管理，密码管理、策略管理、审计管理的权限角色，支持不同角色相互组合。6.个性化支持页面风格个性化配置，可以自定义”系统.名称二“系统标签”、“系统图标”、“登录页1.ogo”和“网站ico*,无需额外定制。（提供功能截图证明）一.分布式/集群支持堡垒机系统定义为控制器模式和网关模式，控制器模式支持单机或HA部署.网关模式支持单台或多台集群部署.（提供功能截图证明）8.客户端堡垒机系统支持BS以及CS模式，支持免费专用客户端，支持在WindoWs、IinUX、国产化等操作系统卜.部署，支持在客户端上完成日常运维工作.9.支持堡垒机专用客户端和堡垒机建立加密隧道,隧道加密兑法可按需选择是国密或者标密。10.用户角色自定义堡垒机具有用户角色权限自定义功能，可对用户进行细粒度权限划分，可细分用户管理，用户角色管理，资产管理，密码管理、策略管理、审计管理,支持不何角色相互组合。1.i.终端安全基线检查支持终端合规检查策略,包含针对WindoWS补丁检测、操作系统版本检测、端口检测、进程检测和安装应用检测：支持可由管理员自定义配置合规策略，自定义篦困包括但不限于检查项、告警等级、执行操作等（提供功能翻图证明）12.账号安全基线支持账户安全策略，可以对爆破登录、弱宓码认证、循尸检查账号认证、不合规终端认证、非常用时间使用、非常用终端认证、非常用地理位置认证、非常用网络认证进行识别并采取相美的处置措施,处置措施包括仅告警、警告、增强认证、禁止认证。（提供功能截图证明）13.认证策略支持根据机构/角色/访问时间/地理位置/网络地址/终端类型来定义用户的认证方式和是否必须使用双因子认证，精细化管理用户认证策略I1.在同策略条件内,支持为不同客户端（泉面端、Web门户）接入用户提供不同认证方式选择。（提供功能截图证明）14.用户登录堡垒机支持多种认证方式，包括本地静态密码认证、U）AP认证、RADIUS认证、USBKEY认证、PIN+软件OTP、短信认证、企做扫码认证、钉钉扫码认证、OAUth2.0等身份认证方式.15.自身安全性堡垒机托管大量的服务器密码信息，为r保证堡垒机的安全性，厂商需在信息安全领域有丰富的经验与先进的技术，须有对系统漏洞进行发现、验证、以及提供应急服务的技术能力.自主发现并提交CVE的安全漏洞数不少F20个.（提供CVE官方的截图证明）16.授权策略支持基于组织机构、角色、属性和账户的静态授权，通过不同授权模型满足运维管控要求。（提供功能被图证明）17.支持基于网络、位置、时间的动态授权，并支持仅告警、二次认证、授权审批和阻断的授权管理动作。（提供功能截图证明）18.自动分析处理支持获取用户在客户端远程泉面上进行图形运维操作所对应的、通过堡垒机发往服务器的事件请求,根据事件请求费取事件类型，根据事件类型获取权重值，获取服务器根据事件请求而返回的响应画面集，计算图形运维操作的仃效性信息，解决了现有技术中人工评估运维人员操作的有效性所存在的效率低，耗费时间长，准确性差的问题.（请提供工业和信息化部或经济和信息化委员会或国家知识产权局或其他国家认可的第三方机构发的相关证明）19.本地文件客户端运维支持本地文件客户端程序如winscp,Xftp等客户蝴登录堡笔机，实现了在第三方客户端预先不知道服务器信息的情况下可以获取要访问的服务器信息以及能够访问的服务器信息，进而可以连接用户需要的服务器。（提供功能截图证明）20.产品资质拥有软件著作权证书。（提供证书扫描件）21.拥有信息技术产品安全测评证书（分级评估证书E1.3+）.（提供证书扫描件）22.通过IPv6Ready1.ogo测试认证,提供IPv6Ready1.ogo证书。（提供证书扫描件）2.2 WEB应用防护系统随着学校信息化建设的不断发展，学校的重要信息系统越来越多，服务全校的业务也越来越多.大凡早期开发的Web应用，由于历史原因,都存在不同程度的安全何翘。对于这些已上线、正提供生产的Web应用，由于其定制化特点决定了没有通用补丁可用，而整改代码因代价过大变得较难施行或者需要较长的整改周期,WEB应用防护系统可以对学校现有的WEB网站进行防护，同时尽可能弥补WEB应用存在的安全问题，目前学校使用的WEB应用防护系统设备是2017年采购的，应用层吞吐量3Gbps,20,0（XkPS用前已经不满足我们Web系统的防护要求，访问量高的时候，出现cpu或者内存过高的情况。急需增加一台性能更强的WEB应用防护系统设备，该设备参数要求如下。1、【软硬一体】2、【性