招标文件
- 招标需求
一、项目名称:湖州市公安局南浔区分局公安网终端准入系统采购项目
二、项目地点:湖州市南浔区
三、项目背景:
湖州市公安局南浔区分局作为公安网络和各类信息化系统的重要节点,为各警种各业务部门提供信息服务和信息化基础资源服务。按照公安部科技信息化局《公安信息中心技术建设总体框架》相关技术要求,信息中心要有规范统一的安全防护措施和手段,建立完善的网络安全保障体系,保护公安核心数据和信息的安全。
公安内网在终端安全方面之前是采用“一机两用”系统进行管理及控制,也收到一定的安全成效,但网络及终端安全本身就是一个复杂的、动态发展的过程,当前针对公安内网的安全风险日益增加,例如:缺乏更严格稳定的终端准入控制、网络边界的不规范、终端定位位置缺失信息等安全风险,所以现需部署一套准入控制系统与原有“一机两用系统”相互配合,准入系统主管准入控制、网络边界等功能,“一机两用”主管桌面级管理功能,发挥各自系统的优势,形成从终端入网前到终端入网后全流程化管理,保障公安内网的安全高效运行。
四、项目建设内容与技术要求
1、具有很好的网络环境适应性,不需要大幅调整网络结构
单位信息化建设已经达到一定高度,网络环境已经建设好,存在多种复杂网络设备。作为网络准入控制系统的选择,一定要考虑产品是否支持多种入网强制技术,以适应各种网络环境的复杂性。
产品必须能够适应用户多种多样的接入环境,尽量避免改造用户网络,要求产品支持多种入网强制技术,能够适应各种网络设备及环境。像思科设备、H3C设备、华为设备、中兴设备等等,另外像VPN接入网络,Hub网络、无线网络等等;
具备“不改变网络、不装客户端”的特性,适合各类复杂网络和混合型部署网络,支持多种接入方式,支持CISCO、H3C、华为等多个厂商的设备,满足及适应客户网络的复杂性。
2、能够支持快速部署的,支持不安装客户端
准入控制产品一定要能够让各类用户接受,能够快速部署,并且在部署时具有友好的WEB引导界面;让终端用户一目了然,可以减少管理员很多工作。用户上准入控制系统的目的,就是要将之前经常出问题的网络从源头上保护起来,但是安全性与易用性需要一个平衡的,如果一味地追求安全性,而给已经超负荷的管理员增加很多额外的工作,会对系统的建设、运营都将带来非常严重的阻碍。
系统支持AGENTLESS的无客户端模式,具备友好的Web引导界面,具有高可用性和可部署性。
3、具有高可靠性,一定要有很好的逃生方案
具有高可靠性的、系统集成度高的成熟方案,而不要因为先期的低廉带来后期高额的维护成本,另外选择无论哪种方案,一定要求有完善的逃生方案,具备“Fail-Open”模式,不存在单点故障。绝对不能因为网络准入控制系统的建设影响业务连续性,影响正常办公业务开展。
系统具有多种逃生方案,支持双机热备、后台数据共享和多级级联管理模式,在大量项目的实际应用中,获得客户满意认可。
4、能够提供不断更新的安全检查引擎和规则库升级,具有较好的可扩展性
产品具有很好的可扩展性,在产品的架构上是否可以很好实现扩展、方便升级,可以满足企业未来几年的发展。尤其是像安全检查规范库、补丁漏洞库、支持联动的防病毒软件、支持联动的终端安全管理软件以及入网强制技术适配器等。
系统提供了定期更新升级的安全检查引擎和检查规范库,满足网络安全威胁不断更新、不断升级的要求,真正做到良好的可扩展性。
5、具备从认证、安检、修复、访问控制“一条龙”体系
网络准入控制产品具备完整的、健壮的功能体系,包括身份认证、友好WEB重定向引导、可配置的安全检查规范库、“一键式”智能修复、基于角色的动态授权访问控制、实名日志审计等功能。
系统提供从多样化的身份认证、友好界面引导、不断升级的安全检查引擎及规则库、“一键式”智能修复、基于角色的动态授权访问控制及实名日志审计等完整的流程体系,真正提供“一条龙”式管理。
6、经验丰富、具有风险管理的专业技术服务团队支撑
建设好网络准入控制的项目,一定需要有一个相关项目实施经验丰富的,具有良好风险管理的专业技术服务团队支撑。甚至可以说“技术服务比产品更重要”,在项目建设前期,能够规划出适合用户网络的准入控制解决方案,从安全、管理、项目建设成本、风险控制等方面都要有详细的计划;在项目实施时,能有一套完整的项目建设计划与配置的项目管理制度;在项目运行后,一定要有及时响应的客服体系。
具备安全准入控制项目实施和客户服务经验的队伍,具备多个大型政府行业、金融行业、运营商和上市集团的项目实施经验,精通各个网络厂商的网络设备联动技术,熟悉各个政府及行业的入网规范要求,能有效保障项目的成功实施和可靠运营。
7、大致入网流程说明
通过在网络中部署入网准入控制系统,可以实现对用户的身份信息进行认证,对用户终端的完整性进行确认(如计算机名、系统补丁、防病毒软件病毒库版本、系统口令、域用户等),只有通过检查的终端才能够获得网络的访问权限。
用户接入控制的流程如下:
新入网用户在访问网络时会被重定向到入网准入控制系统页面,在填写注册信息后等待管理员审核。管理员审核用户身份信息正确后服务器端将对用户信息做相应记录,用户的登录信息将被记录,进行日后的查询、统计和违规处理。至此完成身份验证。
身份验证通过的用户将以浏览器方式进行安全检查,检查标准依据北仑区政府的网络管理规范进行制定。检查后不符合要求的用户可以通过web界面中的提示信息进行一键式智能修复(入网准入控制系统本身已集成了补丁服务器的功能)或引导至修复区进行修复,用户在修复区可以进行杀毒软件的安装或升级。入网设备的补丁升级或漏洞防护完成后,将重新进行认证,最终获得正常的访问权限。系统同时可以针对部分业务工作紧急的用户提供一定的修复时间,在修复时间内可以暂时放开网络。
网络接入控制流程示意图
综合提供了入网设备的身份验证和安全检查双重规范,确保了整体平台的安全、健康和规范。
五、平台建设收益
通过入网准入控制平台的系统建设,对单位内部的网络架构将实现接入流程的规范化和网内安全的制度化:
1、验证身份
本单位员工选择已有身份进行登录,从而设备与使用设备的入网人员进行人机对应的负责制;
来宾访客选择来宾身份入网,可以访问来宾区域(一些可以供外来人员使用的资源)。
2、安全监测
正式员工的终端设备在入网时必须经过单位的网络规范检查,包括监测计算机的软件使用情况(必须安装软件、禁止安装软件等),监测计算机的防病毒软件安装和运行情况,并确保病毒库及时更新;
对不符合要求的终端设备能够进行智能自动修复,在修复完成后允许入网。
3、访问控制
入网的员工将根据身份的角色(如归属部门、岗位等)被划分予相应的访问权限,从而接受网内的访问管理,避免越权访问和涉密资源的非法操作。
4、其他
平台运行过程中,入网设备需要定期接受安全检查,从而落实单位的网络安全管理制度,对于安检情况会生成相应报表并进行汇报和审核。
定期安检
为了保障网络的稳定正常运行,将定期进行入网设备的安全检查,检查项将依据单位的网络安全管理制度给出。利用定期的安全性检查与评估能够获得全网的整体安全性视图,建立安全事故的事前预防机制,确保对重点设备进行及时有效的修复。
网络变动与异常通知
平台将利用邮件或短信定期向网络管理员通知新设备的入网情况、网络检查情况、设备违规情况及修复情况等,网络管理员通过平台信息获知网络的现状和变化。
形成网络安全报表并归档
入网准入控制平台将综合身份识别、来宾控制、访问管理、网络规范落实等一系列的内网安全措施形成全网各个项目和条例的报表情况,通过导出为excel格式的文件形成本局的安全归档文件,方便随时参考与评定考核。
总体安全效果图
综上所述,本次的网络准入控制平台将实现以下的流程效果。
六、网络准入管理系统参数
|
网络准入管理系统 |
|||
|
指标项 |
功能描述 |
||
|
基本要求 |
系统要求 |
★ |
具有独立自主知识产权,符合公安部终端接入控制标准(GA/T 1105-2013)起草厂商(提供相关证明材料) 标准机架式硬件产品,除自身硬件设备外,产品功能的实现无需额外硬件或软件配合。 |
|
性能要求 |
|
1U机架结构;单电源;标准配置6个1000MBASE-T接口;每秒事务数(TPS):≥5000(次/秒),最大吞吐量:≥1.5Gbps,最大并发连接数:5000(条);支持最大终端用户认证数量2000点,非法外联模块。 |
|
|
高可用性 |
|
1. 准入设备必须具备HA模式,HA须支持主备机心跳IP检测及虚地址管理模式,支持vrrp管理模式。 2. 提供第三方监控平台,在出现重大异常情况时能及时通知网络设备放开网络。 |
|
|
终端部署 |
▲ |
1. 准入设备应至少提供安全客户端(Agent)、安全控件、无客户端等多种可供自定义部署、管理模式。(提供功能截图并加盖原厂商公章) 2. 安全客户端模式部署时,客户端程序应支持功能定制,以降低系统资源耗用,提升客户端兼容性。 |
|
|
准入 架构 |
终端发现 |
|
1、 能够实时监测并发现接入内网的PC、平板电脑、智能手机、IP设备等终端,能够在第一时间隔离阻断并通知管理员。 2、 对自动发现的终端能够按照类别自动归类,以方便网络终端的统计管理。 |
|
准入技术 |
|
1. 准入设备须原生支持802.1x标准协议,无需第三方RADIUS服务器支持。 2. ★准入设备支持基于多厂商MVirtual Gateway的VLAN隔离技术,实现无客户端环境下端口级准入控制。(提供功能截图并加盖原厂商公章) 3. 准入设备支持基于策略路由技术的准入控制模式,入网设备在访问网内关键资源时,将被强制隔离、引导至认证管理页面,同时支持交换机接口动态VLAN下发、端口隔离模式的网络边界管理。 4. ★单台准入设备可支持至少2个核心交换机进行策略路由准入控制。(提供功能截图并加盖原厂商公章) 5. 准入设备可支持端口镜像准入技术,通过对交换机镜像数据的实时分析,能够及时发现并阻断非授权终端的接入。 6. 支持使用802.1x MAC认证时,记录详细的认证信息,包括:认证的时间、认证类型、认证的MAC、认证是否成功等,并支持报表记录。 |
|
|
定向引导 |
|
1. 支持终端入网IE重定向引导,当用户访问网页时能够自动转向到指定的页面或地址,并支持http代理及多重重定向引导。 2. 可根据用户的实际环境自定义非80端口的Web服务端口号及用户重定向引导。 3. 能通过浏览器完成身份认证、控件安装、设备注册、安全检查、检查结果展现等全流程引导管理。 4. 具有Mac OS、Linux、iOS、Android等系统专属客户端,支持认证引导和准入管理。 |
|
|
边界 管理 |
IP/MAC绑定 |
|
具有入网设备自动学习功能,支持IP/MAC/端口三者强制绑定,以及违规终端VLAN隔离机制,防止终端仿冒IP接入网络或移动设备位置。 |
|
主机防火墙 |
|
1. 终端在准入通过后访问域严格收管理员策略控制 2. 同网段终端无法互相访问,做到精确到端口的高安全性控制 |
|
|
设备私接管理 |
NAT设备 |
▲ |
1. 具有NAT识别和检测机制能够及时发现网内私接的小路由器、无线AP、随身WIFI等NAT设备,帮助清查通过网中网隐藏的真实网络终端。 (提供功能截图并加盖原厂商公章) 2. 对通过NAT入网的计算机可以实现准入控制、安全评估和修复等流程化管理 |
|
Hub管理 |
|
1. 能够发现内网私接的Hub、傻瓜交换机等非网管设备,当多台计算机通过Hub接入网络时,能够及时产生告警通知管理员。 2. 准入设备能够采用VLAN隔离、逻辑关闭端口等方式禁止Hub下联计算机接入网络。 3. 支持Hub下多个终端需分别认证才能入网和只需一台认证即可全部入网两种认证机制。 |
|
|
网络 管理 |
设备识别 |
|
1. 支持自动识别网络设备类型,包括:交换机、路由器、防火墙等,并按照类别自动进行归类。 2. 支持设备管理模板的定义功能,能够通过SNMP、SSH、TELNET等方式自动、批量添加网络设备。 |
|
终端网络拓扑 |
▲ |
1. 准入设备支持交换机到终端计算机的网络拓扑管理功能,能够自动绘制出网络拓扑图。 2. 能够在拓扑图上选取设备查看其基本状态信息、设备型号、所处位置、子节点、路由表、ARP表等信息。 3. 支持在界面上提供对该网络设备进行TELNET、SSH等管理。 (以上三项提供功能截图并加盖原厂商公章) |
|
|
交换机状态展现 |
▲ |
1. 支持可网管型交换机面板图形化展现各接口状态(up、down、trunk等),以及各接口下联的终端详细信息(IP、地址、MAC地址等)。 2. 能够支持自上而下逐级查找终端的具体位置、安全状态、认证用户、上下线时间等信息。 (以上两项提供功能截图并加盖原厂商公章) |
|
|
AP联动管理 |
|
能够与主流的AP设备深度联动,支持AP控制器面板的图形展现,包括AP连接状态、下联终端信息(IP地址、MAC地址等)等。 |
|
|
DHCP中继 |
|
1. 能提供稳定的DHCP服务,并可以通过DHCP二次地址分配机制实现安全准入管理,支持交换机中继认证方式。 2. 能够根据用户、IP/MAC绑定信息等条件,为指定终端设备分配特定的IP地址。 3. 支持DHCP服务器筛选,防止非法DHCP服务器分发错误地址 |
|
|
认证 管理 |
联动认证 |
|
能够全面结合用户已有的认证或业务系统,可以与RADIUS、LDAP、STMP/POP等采用标准协议的系统做深度联动认证。 |
|
AD域单点登录 |
|
1. 能够与用户现有的AD域相结合,当用户登录到AD域后,无需二次认证即可入网,避免多次认证的繁琐流程。 2. 当用户未登录到AD域时,该终端将一直被隔离,该状态下只有通过IE页面进行认证才能够入网。 |
|
|
短信认证 |
|
支持短信认证模式,用户在登记入网手机号码后,能够在手机上接收到入网的短信验证码,并在IE页面上利用短信验证码认证入网。 |
|
|
微信认证 |
★ |
通过关注微信公众号放行移动终端入网(提供功能截图并加盖原厂商公章) |
|
|
接入审核 |
|
能够针对不同的角色或设备类别有选择的开启入网审核功能,待审核的用户或设备必须经过管理员审批才能入网。 |
|
|
来宾管理 |
来宾角色 |
|
能够提供来宾角色选择,能够设定来宾设备的访问权限和入网时长 |
|
来宾码认证 |
|
提供临时入网码,支持来宾设备与受访人员进行一对一绑定功能 |
|
|
二维码认证 |
★ |
通过扫描二维码进行来宾入网管理(提供功能截图并加盖原厂商公章) |
|
|
来宾使用报表 |
|
生成来宾分配、来宾入网等动态审计报表 |
|
|
终端 安全 管理 |
安全检查库 |
★ |
准入设备须提供系统安全配置、用户行为规范等类别检查项,至少提供24种以上安全检查项。(提供功能截图并加盖原厂商公章) |
|
系统补丁 |
|
准入设备具有完整的补丁管理子系统,无需第三方补丁服务器支持,自身即可以提供完整的流程化补丁管理,包括同步更新、补丁分类、补丁分发、补丁报表等功能。 能够在IE页面进行入网终端的补丁检查,补丁均划分为严重、重要、中等的类别,能够在IE页面显示出检查结果。 |
|
|
防病毒软件 |
|
能够在IE页面检查出终端的杀毒软件情况,支持主流的20种以上的杀毒软件检查,包括微软MSE、可牛、Avast等,支持杀毒软件版本、病毒库和运行情况的检查,能够在IE页面显示出检查结果。 |
|
|
Windows 组策略检测 |
|
windows密码策略、屏保、共享目录、弱口令、防火墙、网卡配置等系统策略进行检查和修复 |
|
|
计算机 健康性检测 |
|
对终端的磁盘使用率、垃圾文件、IE主页、网络监听端口等安全性配置进行检查和修复 |
|
|
自定义安全检查 |
|
通过检测终端文件路径、指定文件版本、大小、MD5,注册表的项、注册表值,进程,服务名称、服务状态,进行检查。通过安装包运行、访问站点、开关服务、关闭进程、执行文件、删除文件、修改注册表进行修复。可以灵活的全访问的对终端进行安全检查和修复。 |
|
|
终端安全加固 |
|
能够通过傻瓜式的漏洞修复模式为用户提供简单、形象的漏洞自我修复功能,完全不需要管理员的介入即可完成终端安全风险项修补。 |
|
|
桌管系统联动 |
|
能够在IE页面检查出主流的桌面管理系统(包括Landesk、北信源、威盾、盈高、圣博润等)客户端是否安装并正常运行,能够在IE页面显示出检查结果。 |
|
|
资源 管理 |
软件检查 |
|
1. 通过安全检查检测终端软件安装、使用状态 2. 自动强制为终端安装软件 3. 软件产品授权,支持进行windows、office、WPS的产品授权信息进行检查 |
|
IP地址管理 |
|
1. 提供IP地址分配表,能够通过图示直观的查看各网段中未分配、开机、关机的数量和分布情况。 2. 能够直接、快捷的查看全网终端历史上线、下线、在线时长等详细的IP使用情况。 |
|
|
能耗管理 |
|
提供未关机终端自动统计功能,并能够按照部门、时间段等条件生成统计报表。 |
|
|
运维 管理 |
移动终端管理 |
|
移动端管理平台可实现设备快速定位、设备审核、实时报警监控、小助手确认码生成、准入控制器管理、平台基本信息、关机与重启 |
|
管理角色控制 |
|
准入设备须采用系统管理员、安全管理员、审计员三权分立机制,防止单个角色管理者权限滥用。 |
|
|
网络诊断工具 |
★ |
支持通过Web管理界面提供ping、抓包、traceroute、nslookup等功能,并可以设置命令参数进行相关调试。 (提供功能截图并加盖原厂商公章) |
|
|
消息群发 |
|
能够支持在指定的一台或者多台终端计算机上产生桌面消息通知,该消息会立即弹出在用户桌面上,对用户进行提醒。 |
|
|
软件分发 |
|
1. 准入设备应具有软件分发和部署功能,管理员可以预定义软件分发的路径、运行参数、是否执行等任务策略,以提升软件部署效率。 2. 能够自动判断并统计软件分发、部署的成功率,支持进程、注册表、安装路径等多种参数的组合判断。 |
|
|
报警 报表 管理 |
虚拟监控台 |
★ |
为了方便管理员从整体上把握网络安全态势,系统提供虚拟监控台功能。通过集中的仪表、数值显示快速进行安全态势的把握,主要包括:报警、安全风险等级、全网终端数、清理终端数、安检和规律、安检项状态分布。 |
|
安全管理报表 |
|
1. 准入设备后台能够按周、月、年统计安全状况走势图。 2. 准入设备后台提供每日入网报告、每周入网报告、每月入网报告。 |
|
|
报警信息 |
|
1. 可以提供紧急、重要、次要、提示等多个级别自定义报警模式。 2. 支持系统报警、网络报警、终端报警等类别,超过20种以上自定义报警类型。 3. 支持Syslog报警信息的定向输出。 |
|
|
报警提醒 |
|
准入设备能够以邮件、手机短信、页面消息等多种报警方式提醒管理员各种安全异常状态。 |
|
|
产品授权及服务 |
|
提供原厂商针对本项目的授权函及至少三年的售后服务承诺函。 |
|
|
资质要求 |
|
1. 公安部《计算机信息系统安全专用产品销售许可证》 2. 国家保密局《涉密信息系统产品检测证书(网络访问控制产品)》 3. 国家版权局《计算机软件著作权登记证书》 4. 国家知识产权局产品专利2项及以上 5. 商用密码产品销售许可证 6. 原厂商2位及以上ISO27001主任审核员证书 7、要求所投产品具有公安部销售许可证; |
|
|
售后服务保障要求 |
|
中标方需在系统验收合格后提供不低于三年的免费维护,且须为7X24小时现场免费维护。在免费维护期内,中标方应保证系统的正常运行、日常数据备份等工作,及时解决项目运行过程中发生的各类故障以及修补各系统漏洞。 |
|
|
说明 |
中标单位须在三个工作日内,针对技术指标关键项提供样机验证测试,如投标书中技术指标关键项说明与测试结果不一致,将作为恶意竞标处理。 |
||
七、其他要求:
1、中标方需提供平台整体操作使用培训,包括对系统管理员的专业技术培训和普通技术员的推广使用培训。同时为了做好整个平台的维护管理工作。
报价说明:投标人的报价必须已包含本标项所含软件费、软件安装费及相关人员培训费用。
2、交货时间:合同签定后六十天内完成部署、设备安装和调试,七十天内交付甲方使用,九十天内完成综合数据库的整理、整合。安装地点为采购人指定地点。
3、支付方式:
中标方完成整个项目后,并通过甲方最终验收合格后一次性全部付清。
收藏