西南航食信息系统网络安全等级保护建设方案.docx

《西南航食信息系统网络安全等级保护建设方案.docx》由会员分享，可在线阅读，更多相关《西南航食信息系统网络安全等级保护建设方案.docx（7页珍藏版）》请在第一文库网上搜索。

1、西南航食信息系统网络安全等级保护建设方案根据国家相关信息安全法律法规及西南航空食品有限公司自身系统信息安全保护需要，西南航空食品有限公司拟进行信息系统网络安全等级保护建设项目。一、目标任务本次信息系统网络安全等级保护建设项目，最终达到的目标是：为西南航空食品有限公司提供综合安全保障，使其重要业务系统（物资管理系统、人力资源系统）满足国家网络安全等级保护二级要求。二、服务内容依据国家等级保护相关政策、标准以及其它相关要求，并结合西南航空食品有限公司信息系统具体情况，对各信息系统进行等级保护建设，内容包括：1、网络安全设备序号产品名称数单位技术参数及性能（配置）要求边界1、标准机架式设备，提供单电

2、源，支持液晶屏，配置10/100/100OM自适应电口28个，SFP插槽22个，Conso1e口21个，网络吞吐215G,最大并发连接数290万,每秒新增连接数21.8万，配置28个IPsecVPN并发隧道数和28个SS1VPN并发用户数授权。提供三年硬件质保服务。2、支持基于策略的路由负载，支持根据应用和服务进行智能迷路，支持源地址目的地址哈希、源地址哈希、轮询、时延负载、备份、随机、流量均衡、源地址轮询、目的地址哈希、最优链路带宽负载、最优链路带1防火墙1台宽备份、跳数负载等不少于12种路由负载均衡方式，支持基于IPv4或IPv6的TCP、HTTP、DNS、ICMP等方式的链路探测。3、支

3、持在单条策略中启用病毒防护、入侵防御、网址过滤、文件过滤、文件内容过漉、终端过滤等安全功能选项。4、为避免私接网络，造成出现无法管控的网络边界，产品能够进行共享上网检测功能，支持共享接入检测和共享接入管控功能，可以通过设置管控地址和例外地址优化管控功能，同时支持阻断或告警动作。5、支持漏洞防护功能，至少包括缓冲区溢出、跨站脚本、拒绝服务、恶意扫描、SQ1注入、WEB攻击等分类；漏洞防护支持日志、阻断、放行、重置等执行动作；支持基于FTP、HTTP、IMAP、OTHER_APP、PoP3、SMB、SMTP等应用协议的漏洞防护。（提供产品功能截图并加盖供应商公章）6、支持基于不同安全区域防御DNS

4、F1Ood、HnPF1OOd攻击，并支持警告、丢弃、普通防护、增强防护、授权服务器防护等多种防护措施（提供产品功能截图并加盖供应商公章）7、产品具备威胁情报检测、威胁情报库升级、失陷主机展示及处置功能，提供国家知识产权局、国家局、公安部、工信部等任意一家权威机构出具的证书或检测报告相关页。（提供相关证明材料复印件并加盖投标人公章）8、产品具备网元管理、网元服务链配置、网元引流功能。提供国家知识产权局、国家局、公安部、工信部等任意一家权威机构出具的证书或检测报告相关页。（提供相关证明材料复印件并加盖投标人公章）9、为保证产品后续能够在IPv4IPv6并存过渡时期提供强有力的网络安全保障，提供国家

5、知识产权局、国家局、公安部、工信部等任意一家权威机构出具的含有“高性能IPv6防火墙系统”字样的证书或检测报告相关页。（提供相关证明材料复印件并加盖投标人公章）2日志审计系统1台1、标准2U机架式设备，单电源，配置千兆电口26个，万兆光口22个，扩展插槽22个，ConSoIe接口21个，内置硬盘24T,日志综合处理能力22600EPS。提供260个日志审计授权，提供三年硬件维保服务和3年软件升级维护服务。2、支持对构成业务信息系统的各种网络设备、安全设备、安全系统、主机操作系统、虚拟化、云计算、数据库、中间件以及各种应用系统的日志、事件、告警等安全信息进行全面的审计。3、支持通过SyS1og、

6、SNMPTrap、JDBC、Agent代理、WMI、FTP、NetBIOS、文件文件夹读取、Kafka等多种方式完成各种日志的收集功能。4、支持对资产IP地址的地理信息进行管理，支持单个IP、IP段设置区域及经纬度，支持地图显示。5、支持采用机器学习对原始日志进行聚类分析，能够对原始日志结构模式进行自动识别，使审计人员清晰了解采集的日志构成。6、为提升运维人员工作效率，产品应支持提供安全运维报告，帮助运维人员快速生成日常日志分析和运维报告。（提供产品功能界面截图并加盖投标人公章）7、产品支持异步日志处理和并发日志存储技术，提供高性能的日志处理能力，提供国家知识产权局、国家局、公安部、工信部等任

7、意一家权威机构出具的含有“高性能的日志处理和存储方法”字样的相关证书或检测报告相关页。（提供相关证明材料复印件并加盖投标人公章）8、产品能够通过语境关联分析技术对日志进行关联分析，以保证安全事件分析的准确性及效率，提供国家知识产权局、国家局、公安部、工信部等任意一家权威机构出具的含有“语境关联分析”字样的证书或检测报告相关页。（提供相关证明材料复印件并加盖投标人公章）3运维审计系统1台1、标准机架式硬件设备，冗余电源，配置千兆电口26个，万兆光口22个，接口扩展插槽22个，内置硬盘存储24T,支持2100路图形会话或500路字符会话并发，配置液晶屏，配置250个资源授权许可。提供不少于三年标准

8、维保服务。2、产品支持物理旁路，逻辑串联部署，支持运维审计SSH、RDPVNC、Te1netsFTPSCP、SFTP、DB2、MySQ1Orac1e、SQ1Server、R1ogin等协议，支持混合协议下的批量登录。3、支持对运维操作中的详细操作命令、步骤、以及双人授权、协同用户、剪切板拷贝行为进行记录，并可以通过关键字搜索定位回放，审计日志内容支持导出。4、支持不限操作客户端系统类型，无需安装任何客户端插件，使用H5即可直接运维WindoWs、1inUX、网络设备等资源。（提供产品功能截图并加盖投标人公章）5、支持运维过程中会话协同，可邀请其他用户参与、协助操作；会话协同过程中，参与者可以控

9、制会话，创建者强制获取控制权。6、支持绑定SSH公钥，实现免密码登录。7、支持水印功能，用户在运维或者是监控、查看会话时，H5页面会将用户的登录名作为水印展示，避免数据泄露无法追责。（提供产品功能截图并加盖投标人公章）8、为保证产品自身安全性，产品应可基于IP、用户名等属性对产品管理权限进行访问控制。提供国家知识产权局、国家局、公安部、工信部等任意一家权威机构出具的证书或检测报告相关证明材料。（提供相关证明材料复印件并加盖投标人公章）4入侵防御1台1.标准机箱，单电源，网络层吞吐量N15Gbps,IPS吞吐量2O.6Gbps,最大并发连接数230万，每秒新建连接数21万/秒。硬盘21TB,千兆

10、10/100/1OOOM自适应电口26个,扩展插槽21个,bypass22组，COnSo1e口1个，USB接口力2个。包含三年IPS特征库升级服务，三年硬件质保服务。2 .为标准IPS产品，非下一代防火墙、UTM等产品。支持入侵防御、网络防病毒、应用控制、网址过滤等功能；产品开通3年质保及特征库升级授权。3 .产品具备多种类型接口模式，可配置以太网接口、逻辑桥接口、逻辑链路聚合接口、VIan子接口、二层VIan接口等；4.支持路由、透明接入、虚拟网线、旁路等工作模式（请提供截图证明并加盖投标人公章）；5.产品具备自定义访问控制功能，针对源及目的MAC、报文头部信息（SYN标志、分片标志、TT1

11、DSCP、PrecedenceTOS内网域地址、外网域地址、长连接超时时间等细粒度的访问控制功能（请提供截图证明并加盖投标人公章）；6 .产品具备A1G协议类型过滤功能，支持FTPJ1323JI.323GK、PPTP、MMS、RTSP.SIPxXDMCP、SQ1*NAT/TNS和V2V协议类型（请提供截图证明）；7 .产品具备移动终端管理功能，无需安装APP和第三方插件，通过手机浏览器即可管理设备，并可查看设备CPU、内存、硬盘使用情况（请提供截图证明）；5漏洞扫描1套1、标准IU机架式，Web扫描域名无限制，Web扫描任务并发数25个域名。系统扫描IP地址最大支持21024个，支持扫描A类、

12、B类、C类系统地址，系统扫描支持250个IP地址并行扫描。IT硬盘，标准配置10/100/1000M自适应电口26个，扩展插槽22个,USB口22个，1个Conso1e,单电源。包含一年漏洞特征库升级，三年硬件维修服务.；2、支持同时下发系统扫描、Web扫描、弱口令扫描任务，无需单独下发扫描任务，扫描目标可以是IP、域名、UR1的任一格式；（提供产品功能截图并加盖投标人公章）3、采用B/S设计架构，SS1加密方式通信，无须安装客户端，用户可通过浏览器远程管理系统；4、支持扫描物联网设备，支持扫描BriCkCOn1、大华、索尼、TP-1INK、宇视、AXIS、佳能、海康威视等国内外厂商的摄像头，

13、支持扫描佳能、惠普等网络打印；（提供产品功能截图并加盖投标人公章）5、支持自动探测指定网段中的Web站点，并可一键转为Web资产或一键下发Web扫描任务；（提供产品功能截图并加盖投标人公章）6、系统应支持自定义例外UR1、例外文件类型、例外特定检测参数，支持扫描并发线程数设置；7、支持导出同时包含系统扫描、Keb扫描、弱口令扫描结果的报表，可以统一分析网站漏洞、网站所在主机漏洞以及主机弱口令；（提供产品功能截图并加盖投标人公章）8、系统应支持Web漏洞扫描，支持检测O1YASPTOPIO定义的常见10大类Web漏洞；9、系统应支持至少三种漏洞验证方式如浏览器验证、注入验证、通用验证。10、投标

14、人资质：国家信息安全测评中心信息安全服务资质（安全工程类三级）；国家信息安全测评中心信息安全服务资质（云计算安全类一级）；CNCERT应急服务支撑单位（反网络诈骗）。（提供以上3项资质复印件或证明材料，并加盖投标人公章）6服务器1台1、2U机架式服务器2、个第二代英特尔“至强”可扩展处理器的金系列，最高205W3、24个D1MM插槽中多达9TB,使用128GBDIMM和英特尔傲腾M数据中心级持久内存;2666MHz2933MHZTruDDR44、8个可选的PC1e3.O插槽，包含1个适用于RAID适配器的专用PC1e插槽，可通过NVMe交换机适配器扩展到12个PC1e3.05、支持热插拔硬盘，

15、3.5英寸硬盘最多到14个，或2.5英寸硬盘最多到24个(其中最多可支持12个AnyBay,或其中最多可支持24个NVMe);另可支持2个M.2的启动盘(可支持RA1D1)6、硬件RAID(最多24个端口)，带有闪存缓存;最多16端口HBA7、TPM12/2.0;PFA;热插拔/几余驱动器、风扇和电源，450C温度下持续运行，光通路诊断1ED;通过专用USB端口进行前端访问诊断8、2/4端口IGbE1OM;2/4端口IOGbE1OM(Base-T或SFP+);1个专用IGbE管理端口9、2个热插拔/余：550W750WI1OOW/1600W80P1US白金电源;或750W80P1US金电源:或-48VDC80P1US白金电源10、XC1arityContro11er嵌入式管理,XC1arityAdministrator集中基础架构交付，XC1arityIntegrator插件以及XC1arityEnergyManager集中服务器电源管理IR支持MiCroSOft、RedHat、SUSE、VMware(,12、提供3年7x24x4全国上门有限保修服务2、技术服务(1)协助西南航食规范机房安全物理环境。