网络安全重点保障建设项目具体参数.docx

《网络安全重点保障建设项目具体参数.docx》由会员分享，可在线阅读，更多相关《网络安全重点保障建设项目具体参数.docx（18页珍藏版）》请在第一文库网上搜索。

1、网络安全重点保障建设项目具体参数一、网络安全重点保障设备参数要求（一）重点区域防火墙硬件参数：规格：2U,内存大小216G,硬盘容量：264GSSD+480GSSD,电源：冗余电源，接口：216千兆电口+6万兆光口SFP+。产品质保23年;软件升级23年；网络层吞吐量235Gbps,应用层吞吐量215Gbps,并发连接数2410万。产品支持虚拟防火墙功能，支持虚拟防火墙的创建和删除，具备独立的接口、会话管理、应用控制策略、NAT等资源；产品支持路由类型、协议类型、网络对象、国家地区等条件进行自动选路的策略路由，支持不少于3种的调度算法，至少包括带宽比例、加权流量、线路优先等；产品支持应用管控功

2、能，应用特征识别库数量大于9160种；产品支持ftp协议命令控制功能,至少包含de1etermdirmkdirrenamemgetdir、mputgetPUt等，保护对外服务不被恶意篡改；产品支持对压缩病毒文件进行检测和拦截，压缩层数支持15层及以上；产品支持勒索病毒检测与防御功能，针对勒索病毒攻击设置专项安全策略；产品内置不低于10800种漏洞规则，同时支持在控制台界面通过漏洞ID、漏洞名称、危险等级、漏洞CVE标识、漏洞描述等条件查询漏洞特征信息，支持用户自定义IPS规则；产品支持僵尸主机检测功能，产品内置僵尸网络特征库超过128万种,可识别主机的异常外联行为；产品内置超过4580种WEB

3、应用攻击特征，支持对跨站脚本（XSS）攻击、SQ1注入、文件包含攻击、信息泄露攻击、WEBSHE11、网站扫描、网页木马等攻击类型进行防护。产品支持用户账号安全保护功能，包括用户账号多余入口检测、用户账号弱口令检测、用户账号暴力破解检测、失陷账号检测，防止因账号被暴力破解导致的非法提权情况发生。产品支持主动防御功能，通过与云端蜜罐智能联动，通过仿真虚拟业务混淆黑客攻击，并对攻击进行溯源取证和阻断威胁IP,保护网络真实业务安全；支持基于地区维度设置流控策略，实现多区域流量批量快速管控功能。支持CC攻击防护功能。产品的生产厂商具备云安全成熟度模型CSYMMI5认证。要求该产品能够支持与医院现有在用

4、网络安全态势感知平台进行联动对接，可实现将防火墙的安全日志上传至态势感知平台并通过态势感知平台发现威胁后一键下发指令对防火墙进行相关控制动作，包括但不限于：新增IP封锁、删除IP封锁、清空IP封锁、新增地址黑名单、删除地址黑名单、新增访问控制、删除访问控制、添加IP组、删除IP等。（二）服务器区流量探针硬件参数：规格：2U,内存大小28G,硬盘容量2480GBSSD,电源：冗余电源，接口26千兆电口+2万兆光口SFP+,万兆多模-850-300m-双纤22个;产品质保23年;软件升级N3年；旁路部署，支持探针接入多个镜像口，每个接口相互独立且不影响；具备报文检测引擎,可实现IP碎片重组、TCP

5、流重组、应用层协议识别与解析等；具备多种的入侵攻击模式或恶意UR监测模式，可完成模式匹配并生成事件，可提取UR1记录和域名记录；支持敏感数据泄密功能检测能力，可自定义敏感信息，支持根据文件类型和敏感关键字进行信息过滤；支持5种类型日志传输模式,包含标准模式、精简模式、高级模式、局域网模式、自定义模式，适应不同应用场景需求；支持传输协议审计日志，支持传输协议审计日志，包括https、http、DNS、邮件协议审计日志、SMBAD域、WEB登录、FTPTe1netICMP、TE1NET.ICMP、SNMP、SS1、SIP、ONVIF、mogoNFS、SOCKS、dhcp、netbios_nbns全

6、流量元数据审计、数据库审计协议等；支持IP,IP组，服务，端口，访问时间等定义访问策略，主动建立针对性的业务和应用访问逻辑规则，包括白名单和黑名单方式；要求产品能够与医院在用网络安全态势感知平台进行联动，可将采集到的流量数据、威胁情况统一上传到态势感知平台进行综合分析，日志传输模式包含：标准模式、精简模式、高级模式、局域网模式、自定义模式5种。（三）威胁诱捕系统硬件参数：规格：1U,内存大小8G,硬盘容量2128GSSD,电源：冗余电源，接口N6千兆电口+2万兆光口SFP+o云蜜罐订阅软件23年;产品质保23年;软件升级23年；产品支持应用管控功能，应用特征识别库数量大于9160种；产品支持f

7、tp协议命令控制功能，至少包含de1etermdirmkdirrenamemgetdirmput、getPUt等，保护对外服务不被恶意篡改；产品支持对压缩病毒文件进行检测和拦截，压缩层数支持15层及以上；产品支持勒索病毒检测与防御功能，针对勒索病毒攻击设置专项安全策略；产品支持僵尸主机检测功能，产品内置僵尸网络特征库超过128万种,可识别主机的异常外联行为；产品支持X-Forworded-For字段检测，并对非法源IP进行日志记录和联动封锁；产品支持主动防御功能，通过与云端蜜罐智能联动，通过仿真虚拟业务混淆黑客攻击，并对攻击进行溯源取证和阻断威胁IP,保护网络真实业务安全；产品支持对安全策略管

8、理和审计功能，记录安全策略变更时间、变更账号、变更类型等内容，提升日常安全策略运维效率；（四）特权账号1、采用专用千兆多核硬件平台和安全操作系统，外观：标准IU机架式，6个千兆电口，支持2个接口扩展槽位，内置4TB硬盘，双电源，支持液晶屏。账号改密/验证15账号s,账号签出300TPSo（说明：默认资源数为空，选主机时必须购买资源授权许可，此型号硬件最大可选300授权许可。）含三年标准售后服务。产品功能模块包括：1）特权访问控制台，主要功能包括账号生命周期管理、账号威胁分析、角色权限管理、访问控制、策略管理、审计、工单系统等；2)密码保险箱(系统底层内置)，实现密码/凭证在生成、存储，传输、使

9、用、销毁全生命周期的安全管理；3)策略执行器(CPM),支持策略执行，包括账号发现，账号改密、账号验证；2、采用专用千兆多核硬件平台和安全操作系统，外观：标准IU机架式，6个千兆电口，支持2个接口扩展槽位，内置4TB硬盘，双电源,支持液晶屏,最大支持150路图形会话或400路字符会话并发。含三年标准售后服务。3、授权200个被管资源数二、常态化安全技术服务要求(-)渗透测试服务应保证医院信息系统正常运行前提下，模拟黑客攻击行为通过远程或本地方式对信息系统进行非破坏性的入侵测试，查找针对应用程序的各种漏洞，帮助医院理解应用系统当前的安全状况，发现在系统复杂结构中的最脆弱链路并针对安全隐患提出解决

10、办法，切实保证信息系统安全。应在得到医院授权后方可开始实施渗透工作。应根据医院安全需求及重要业务系统结构，设计针对性的渗透测试方案，并提交至医院进行评审。文件技术部分详细说明渗透测试的实施流程、渗透测试方法、实施过程中用到的工具、实施过程中可供考量的具体工作指标及各阶段输出成果。提供的渗透测试方案必须包括但不限于:渗透方法和流程渗透测试风险评估和控制方案渗透测试须采用国内外商业检测工具或自有检测工具提供渗透测试所面临的主要风险及相应的风险规避措施医院授权后，应通过模拟黑客攻击行为通过本地或远程方式对目标对象进行非破坏性的入侵测试渗透测试应至少包括但不限于以下范围的漏洞：WEB应用系统渗透主机操

11、作系统渗透数据库系统渗透渗透测试内容包括但不限于：身份验证类会话管理类访问控制类输入处理类信息泄露类第三方应用类渗透测试人员应针对使用不同技术手段发现不同纬度的漏洞，并进行验证，形成记录和报告。渗透测试人员应在医院授权许可的情况下以目标业务系统为跳板进行横向渗透，发掘更深层次的漏洞并展现漏洞被利用后的危害。应编写渗透测试报告并提交给医院，报告应该阐明医院业务系统中存在的安全隐患以及专业的漏洞风险处置建议。服务频率：包含20个业务系统服务交付物：渗透测试报告、渗透测试复测报告(-)漏洞扫描服务应对漏洞扫描的目标对象进行全面梳理和识别，识别内容包含但不限于资产类型、IP地址、业务部门、责任人、用途

12、、操作系统、数据库、中间件等。应提交漏洞扫描工具的情况(包括但不限于：设备厂商、设备型号、漏洞库、销售许可证等)、漏洞扫描工作方案(包括但不限于：目标对象、扫描时间、风险规避措施等)及漏洞扫描申请，医院授权后，方可进行。应对漏洞扫描结果进行人工验证，保证漏洞扫描结果的真实性。应提交针对性的解决方案，保证漏洞修复可落地。漏洞扫描参数应包含但不限于:版本漏洞、开放端口、开放服务、空/弱口令账户、安全配置等服务频率壹年4次()应急演练服务应帮助医院通过应急演练最大限度地在安全事件发生前暴露预案和流程的缺陷，反馈应急资源的保障情况，改善各部门、机构、人员之间的协调性，增强应对突发安全事件的信心和意识，

13、提高队伍人员的熟练程度和技术水平，进一步明确各自岗位职责，提高各级预案之间的协调性，提高应急反应能力。应结合医院网络安全要求制定对应的应急演练预案，演练预案包含但不限于以下内容：有害程序事件：内网传播型病毒应急演练、勒索病毒应急演练、挖矿病毒应急演练等。网络攻击事件：漏洞攻击应急演练、后门攻击应急演练等。信息破坏事件：网站篡改应急演练、信息泄露应急演练等。设备设施故障事件：网络设备故障应急演练、服务器故障应急演练等。根据医院年度演练需求，参考演练预案制定演练方案，并提交至医院相关人员进行评审。根据评审后的演练方案组织相关人员开展应急演练，并对应急演练过程进行记录，形成配套演练材料。服务流程包括

14、演练准备、演练实施、演练总结三个主要阶段。演练准备：主要包括需求调研、预案分析、演练场景设计、确定演练组织架构、演练方案制定、演练动员和培训、人员场地保障、演练工具保障及演练环境搭建。演练实施：主要包括系统准备、演练启动、演练执行、演练解说、演练记录、演练结束及系统恢复。演练总结：主要包括演练总结报告、文件归档备案、完善预案并提供改进建议。壹年内提供4次应急演练服务交付文档：应急演练脚本、应急演练总结报告支撑材料：演练解说词、现场照片等三、运营类安全技术服务要求(-)运营安全技术服务1、资产识别与梳理需借助安全工具对医院资产进行识别和梳理，并在后续服务过程中根据识别的资产变化情况触发资产变更等

15、相关服务流程，确保资产信息的准确性和全面性。需结合安全工具发现的资产信息，首次进行服务范围内资产的全面梳理（梳理的信息包含支撑业务系统运转的操作系统、数据库、中间件、应用系统的版本，类型，IP地址；应用开放协议和端口；应用系统管理方式、资产的重要性以及网络拓扑），并将信息录入到安全运营平台中进行管理；当资产发生变更时，安全专家对变更信息进行确认与更新。2、安全现状评估系统与Web漏洞扫描：对操作系统、数据库、常见应用/协议、Web通用漏洞与常规漏洞进行漏洞扫描。弱口令扫描：实现信息化资产不同应用弱口令猜解检测，如:SMB.Mssq1Mysq1Orac1esmtpVNCftp、te1netsshmysq1tomcat等。基线配置核查：检查支撑信息化业务的主机操作系统、数据库、中间件的基线配置情况，确保达到相应的安全防护要求。检查项包含但不限于帐号和口令管理、认证、授权策略、网络与服务、进程和启动、文件系统权限、访问控制等配置情况.蠕虫病毒事件：服务商需确认文件是否被感染，定位失陷的代码并进行修复.针对漏洞利用攻击行为、Webshe11上传行为、Web系统目录遍历攻击行为、SQ1注入攻击行为、信息泄露攻击行为、口令暴力破解攻击行为、僵尸网络攻击行为、系统命令注入攻击行为及僵尸网络攻击行为进