招标文件
采购内容及相关要求
对随着信息技术的飞速发展,网络安全威胁的范围和内容不断扩展和演化,网络安全形势与挑战日趋严峻与复杂。随着《网络安全法》正式实施,行业结合网络安全新形势和网络安全工作新要求,提出了网络安全新的工作目标。安徽省烟草公司在此环境下开展“大网络、大安全”改造工作,对全省网络安全工作提出新的要求,因此滁州烟草公司需要在全省“大安全”的建设思想下,进一步完善、统一网络安全技术体系、健全、统一网络安全运维体系。
滁州烟草公司网络安全建设工作主要为三个方面,分别是工业控制系统安全隔离与防护、虚拟化平台安全防护与安全运维服务。
滁州市烟草公司网络架构如图所示,网络边界域包括互联网出口和行业网接入两个部分,目前市烟草公司没有单独的互联网接入区,互联网接入区通过专线的方式与省公司进行互联,而行业网接入主要为上联到省公司和下联到各个县公司,但是配送中心区域因其物理位置与业务系统的特殊性,并没有进行相关安全建设工作,并且此区域与整个内网区域直接互联,没有进行访问控制策略的安全防护。
仓储、分拣等工业控制系统出了采用传统统的TCP/IP协议以外,又采用了基于工业控制系统的工业控制协议,如:PROFIBUS、MODBUS等,传统的IT安全防护系统无法识别工业控制协议,并且工业控制协议与传统协议在协议规则、特点、校验以及风险点等方面都有较大区别,因此工业控制系统安全防护的基础工作为将办公域与生产域进行安全隔离。
根据烟草行业工业控制系统特点,工业控制系统分生产执行层、过程监控层、现场控制层、现场设备层,而为了确保各个分拣线的安全性,需要在生产网中进行安全域的划分,主要划分为网络安全管理域、过程监控域和工业控制域。根据行业要求应明确各安全域边界,并采用安全技术措施进行逻辑隔离。
从行业要求与市烟草公司的实际安全需求出发,将市烟草公司的生产网与办公网环境进行安全隔离与防护,使用工控安全隔离装置将两个区域进行隔离,通过控制端与信息端主机分别运行工业网络隔离系统,实现主机之间的通讯使用私有协议的功能,私有协议采用专有加密算法实现数据高速加解密处理,保证数据传输的安全。
生产网与办公网隔离建设,将采用工控安全隔离装置,通过控制端和信息端系统中的隔离通信组件和中间的隔离单元三者构成了工业网络隔离系统的核心。隔离通信组件负责根据用户配置提取所需要的工业网络数据,屏蔽其它协议数据和用户配置之外的工业网络数据,并对数据进行必要的解析和安全检查;隔离单元负责使用加密的私有协议进行控制端和信息端之间的数据摆渡。
图:生产网与管理网隔离技术实现
|
类别 |
功能及技术描述 |
|
品牌 |
★国产品牌 |
|
硬件指标 |
1、系统应为2U机架式硬件设备,全内置封闭式结构,具有完全自主知识产权的专用安全操作系统,稳定可靠 |
|
2、内存≥4G,≥6*10/100/1000Mbps电口,4个千兆光口,≥2个USB接口,1个RJ45 Console口,支持3对Bypass,工业防护等级IP40 |
|
|
性能指标 |
3、吞吐量≥2G,最大并发连接数≥100万,新建连接数≥8万/秒, |
|
软件功能 |
4、采用多核专用处理器、轮询处理结构,保证高吞吐率和低延时 |
|
5、基础访问控制,应支持五元组过滤、IP/MAC绑定,支持配置白名单策略 |
|
|
6、应支持HTTP、FTP、SMTP、POP3、TELNET、RTSP等网络应用协议防护 |
|
|
7、工控协议合规性检查:应支持针对工业网络协议的内容和数据进行合规性检查 |
|
|
8、★工业协议深度过滤,应最少支持以下工控协议:Modbus TCP、IEC 101、IEC 104、DNP3、AB、OPC、Siemens_S7_Plus、mitsubishi、GE SNP-X、Siemens_S7,投标时提供截图证明加盖厂商公章 |
|
|
9、★工业协议指令级控制:应支持协议指令级控制功能,例如对Modbus协议实现某个功能码或寄存器地址上的数据进行解析和控制,投标时提供截图证明加盖厂商公章 |
|
|
10、应支持合规检查、警报和拦截防护模式 |
|
|
11、应支持单向和双向数据流控制 |
|
|
12、自身安全防护:应抗TCP Flood(TCP洪水攻击)、ICMP Flood(ICMP洪水攻击)、UDP Flood(UDP洪水攻击)、IP Flood(IP洪水攻击)、SYN Flood(SYN洪水攻击)、Ping of Death(Ping of Death攻击)、IP碎片攻击、TCP 碎片攻击、LAND攻击以及对SCANPORT(端口扫描)攻击 |
|
|
13、★应支持智能协议识别以及辅助规则生成,采用被动检测的方式从网络中采集数据包,并进行数据包的解析,智能的与系统内置的协议特征、设备对象等进行匹配,生成可供参考的网络交互信息列表,投标时提供截图证明加盖厂商公章 |
|
|
14、应支持透明接入,支持直通、测试和管控三种工作模式 |
|
|
15、应支持Syslog日志外发,SNMP状态监控 |
|
|
16、应支持静态路由和策略路由 |
|
|
17、应支持NAT,支持SNAT和DNAT |
|
|
18、★应支持IPSEC VPN,投标时提供截图证明加盖厂商公章 |
|
|
19、应支持系统管理员、安全管理员和日志管理员三种权限设置 |
|
|
20、★应支持对管理超时时间、允许登录次数、账号认证时间、账号锁定时间和可信管理地址的配置,投标时提供截图证明加盖厂商公章 |
|
|
21、★应支持软件狗,在程序异常时自动尝试恢复,不可恢复时进入bypass,投标时提供截图证明加盖厂商公章 |
|
|
22、应支持硬件狗,在系统或硬件异常、断电时进入bypass状态 |
|
|
23、应支持重载规则连续性 |
|
|
24、应支持双机热备 |
|
|
25、应支持配置信息备份和还原 |
|
|
26、应支持流量限制,支持最大带宽和保障带宽配置 |
|
|
27、★应支持工控协议深度过滤插件定制开发,投标时提供截图证明加盖厂商公章 |
|
|
28、应支持包括任何管理配置操作、登录、网络协议报警、应用协议报警等日志记录,并支持条件查询和导入导出等操作 |
|
|
产品资质要求 |
29、产品具备计算机信息系统安全专用产品销售许可证。提供有效证书的复印件加盖厂商公章 |
|
产品质保服务 |
30、★投标人承诺中标后、签订合同前须提供产品厂商 “对滁州烟草公司购买的该产品提供五年免费质保服务和软件升级服务”的授权书或承诺函。 |
本次项目的信息安全服务涉及滁州市烟草公司所有的应用系统及各类网络、设备等。
了解信息安全管理、网络及系统的安全现状
了解可能对资产造成危害的威胁
了解信息系统的已有安全措施的有效性
明确信息系统的安全需求,及安全投资的合理性
信息安全工作获得更专业的支持
提供单位员工信息安全意识
本次服务项目时间为三年!
2020年安徽省烟草公司开展省公司全面梳理工作,主要内容包括梳理省公司的资产情况、应用系统情况、运维权限情况等内容,并且要求各个下级单位上报各单位的资产梳理情况(省公司仅要求上报,不对下级单位提供梳理服务),在此情况下,滁州市烟草公司开展单位内全面梳理工作。
帮助滁州市烟草公司梳理网络安全监管工作“两个全覆盖”清单,每季度定期梳理检查监管职责履行情况。梳理并建立滁州市烟草公司信息系统台账,汇总单位信息系统台账,做到不缺项、不漏项;在台账中明确信息系统业务主管部门、系统使用部门、运维单位、安全保障单位以及服务器、操作系统、数据库、中间件、应用软件(包括品牌型号、部署位置、IP地址等)等情况,在台账中明确所有互联网运行系统并确保无遗漏。
服务频次:一年一次。
服务交付物:《滁州市烟草公司资产梳理报告》
1.3.3.2 安全加固服务
2020年安徽省烟草公司开展全省安全检查、安全扫描等工作,通过此工作对各个下级单位进行评估,下发评估结果,要求各个下级单位完成整改加固工作,在此情况下,滁州市烟草公司开展单位内安全加固工作,对已存在和评估出现的安全问题进行整改与加固。
根据操作系统安全评估、安全审计及漏洞扫描、安全检测、日志分析和配置检测中发现的问题,协调并指导服务器、网络设备、数据库系统等有关厂商进行修补,加强安全配置、安全加固处理。并且在各网络安全域之间配置访问控制策略,访问控制度要达到IP、端口级。
服务频次:按需
服务交付物:《滁州市烟草公司安全加固报告》
1.3.3.3 应急演练服务
2020年安徽省烟草公司开展全省应急演练工作(一年一次),此工作将由省公司牵头各个下级单位进行配合完成全省应急演练工作,但是根据国家局要求,烟草行业各个单位需要开展季度应急演练工作(一季度一次),因此在完成配合省公司应急演练工作的基础上,滁州市烟草公司开展单位网络安全应急演练工作。
滁州市烟草公司应急演练服务的对象范围主要针对组织核心业务及支撑核心业务的资源、人员、组织、流程、场所,以及相关第三方单位、上下级单位等,在服务过程中,重点需要梳理和掌握单位的组织架构、人员情况、业务流程、相关资产、关联第三方以及与应急演练相关的文档等。
按组织形式划分,安全应急演练可分为模拟演练和实战演练。
模拟演练:模拟演练是指参演人员利用各种辅助手段(如流程图、计算机模拟、视频会议)对IT运行环境进行模拟,针对事先假定的系统信息安全事件的演练情景,讨论和推演应急决策及现场处置的过程,从而促进相关人员掌握应急预案中所规定的职责和程序,提高指挥决策和协同配合能力。
实战演练:实战演练是指参演人员利用应急处置涉及的设备和物资,针对事先设置的突发事件情景及其后续的发展情景,通过实际决策、行动和操作,完成真实应急响应的过程,从而检验和提高相关人员的临场组织指挥、队伍调动、应急处置技能和后勤保障等应急能力。实战演练通常要在特定场所完成。
服务频次:一年二次。
服务交付物:《滁州市烟草公司应急演练方案》、《滁州市烟草公司应急演练报告》
1.3.3.4 安全意识与技能提高服务
2020年安徽省烟草公司开展全省网络安全意识培训工作,具体培训内容及主体由当前网络安全环境进行选定,此工作将要求各个下级单位进行参与和配合,为全面提供滁州市烟草公司办公人员的网络安全防护意识,滁州市烟草公司在参与全省网络安全意识培训工作后,根据已经培训的主题进行挖掘、学习和发散,对滁州市烟草公司的办公人员再度培训,全面提高全员网络安全意识。
对于内部员工的安全意识与能力的提高,是一个长期规划的过程而不是通过几次的安全培训就可以实现的,因此针对如何提高内部员工的安全意识,需要多种方式推进。
进行安全意识培训的讲座,让内部员工意识安全的重要性。培训内容:结合互联网中最新遇到的信息安全事件,进行生动有趣的描述,同时告诉市局和区县局员工怎样提高自身的信息安全防护能力。
服务频次:一年一次。
服务交付物:《滁州市烟草公司培训计划》、《滁州市烟草公司培训方案》、《滁州市烟草公司培训课件》
2020年安徽省烟草公司开展安全应急响应工作,此工作范围仅限省公司及全省爆发安全事件,不包含各个下级单位的个别安全事件,因此为全面加强滁州市烟草公司网络安全防护及应急工作,滁州市烟草公司开展单位内网络安全应急服务,通过此服务提高单位内各种网络安全事件的应急能力。
安全工作是动态的,随时都会发生的,因此时刻做好安全应急的准备是安全工作的一个重要体现,发生安全事件的第一时间,专业安全工程师需要第一时间进行安全应急,协助排查安全事件的原因,掌控安全事件风险,将安全事件的影响降至最低。
服务频次:按需。
服务交付物:《滁州市烟草公司应急方案》、《滁州市烟草公司应急材料交付》
2020年安徽省烟草公司开展全省网络安全检查工作,对下级单位进行安全检查,在此情况下,滁州市烟草公司开展安全迎检服务,配合省公司完成检查材料的准备、提交等工作,并且滁州市烟草公司为全面提供滁州市各个单位的安全防护能力,将主动开展滁州市内各个县区单位的安全检查工作。
结合此次省公司全省安全检查服务内容,滁州市烟草公司开展单位内迎检、自查、区县检查安全服务,针对每年的国家局及省局的安全检查提供安全技术检查的支撑服务,协助滁州市烟草公司明确检查内容和形式,制定相应对策满足安全检查要求。
安全技术检查支撑服务主要包含:管理制度类安全检查、网络系统安全检查、主机系统安全检查、主机系统安全检查、应用系统安全检查。
服务频次:一年一次。
服务交付物:《滁州市烟草公司安全检查方案》、《滁州市烟草公司安全检查清单》、《滁州市烟草公司培安全检查报告》
2020年安徽省烟草公司为各个下级单位提供安全咨询工作,在网络安全的各个方面提供专家性的安全咨询,在此基础上,滁州市烟草公司需要将咨询结果结合单位内实际网络安全现状,编写适合滁州市烟草公司的网络安全规划方案,并且需要编写适合市公司特有部分业务系统的安全规划方案,因此滁州市烟草公司开展单位内安全规划设计服务,完成上述内容。
因此滁州市烟草公司在省公司开展的全省网络安全咨询服务的基础上,完成单位内安全规划编写工作,因此开展安全规划设计服务,此服务将协助滁州市烟草公司完成安全规划的编写工作应该具有良好的前瞻性和指导性,必须采取动态、科学的设计及原则,能够为安徽省烟草公司滁州市烟草公司的信息安全建设指明方向。
安全规划应当在对安徽省烟草公司滁州市烟草公司目前信息安全情况进行充分调研的前提下,指出目前安徽省烟草公司滁州市烟草公司信息安全面临的主要问题,以及解决这些问题的思路和方法。具体工作包括以下几个方面:
1.3.3.7.1 信息安全差距分析
信息安全差距分析是开展信息安全体系建设工作的前提和依据,是将行业等级保护及三全工作的各项要求与市公司信息安全现状进行比较分析,从管理和技术两个层面找出存在的问题,发现风险点。差距分析是安全体系建设工作的一项重要环节。
差距分析具体工作如下:
网络架构梳理:了解整个网络的布局是否合理
安全策略检查:安全设备策略配置是否符合规范
管理制度梳理:现有安全管理制度是否满足信息安全管理需求
1.3.3.7.2 信息安全技术体系建设
信息安全技术体系建设是在梳理差距分析的基础上,形成市信息安全整改方案。主要通过网络架构的完整性、安全设备部署的合理性、安全设备策略配置的完善性等方面,解决技术层面存在的问题,提高信息安全防护(技术)水平,加强安全保障的能力。
1.3.3.8 终端计算机信息安全检查
2020年安徽省烟草公司开展全省漏洞扫描工作及重要业务系统的配置核查工作,但终端计算机的安全风险不仅仅体现在安全漏洞方面,因此滁州市烟草公司为全面了解内部资产安全风险及状态,在安徽省烟草公司的全省扫描工作的基础上,主动开展工作单位内终端计算机安全检查工作,检查内容包括配置情况、软件安装情况、操作系统使用情况、系统漏洞情况等内容。
信息系统的安全是全方面的,在考虑服务器安全、网络设备的安全之外,终端的安全也是信息系统安全的重点工作,通过协助做终端计算机的安全检查,发现终端计算机的弱口令、防病毒软件安装及策略配置情况、计算机系统漏洞和配置问题,了解问题所在,以便及时进行修补和加固,防范于未然。
服务频次:一年一次。
服务交付物:《滁州市烟草公司安全检查方案》、《滁州市烟草公司安全检查清单》、《滁州市烟草公司培安全检查报告》
1.3.3.9 虚拟化安全防护服务
2020年安徽省烟草公司开展全省虚拟化安全防护工作,主要内容针对省公司虚拟化平台的全面安全防护,在此防护工作中将会为各个下级单位虚拟化平台提供杀毒软件的安装工作,为全面提高市公司虚拟化安全防护工作,在省公司提供杀毒软件安装的基础上,部署虚拟化安全防护工具。
根据滁州市烟草公司虚拟化安全平台的防护需求,结合省公司此次全省虚拟化平台病毒防护建设工作,开展滁州市烟草公司虚拟化安全防护服务,此服务主要部署虚拟化安全防护产品对虚拟化平台进行安全防护,主动防御已知和未知攻击,实时阻断各种黑客攻击,如缓冲区溢出、SQL注入、暴力猜测、拒绝服务、扫描探测、非授权访问、蠕虫病毒、僵尸网络等,广泛精细的应用防护帮助客户避免安全损失。虚拟化防护系统分为两个部分,一部分是管理平台,一部分是部署于网站服务器上的Agent防护节点。管理平台负责Web统一展示、Agent防护节点的集中管理、授权管理、账户统一管理、日志和报表的生成以及对外提供标准的对接接口等。Agent防护节点负责在主机操作系统层面实现防篡改双引擎保护,Agent的自保护、网站状态的监控以及日志告警的上传等。管理平台支持多Agent防护节点同步通信与交互。这样设计的好处是可以实现大规模网站安全的统一管控与展示,同时由于节点上剥离不必要的管理功能,可以将其对服务器的消耗降到最低。管理平台与Agent防护节点之间的通信经过加密,保证自身安全和网站信息不被泄露。
部署虚拟化安全防护工具需具备全面阻止木马后门、广告软件、间谍软件等恶意程序下载和扩散的功能,有助于滁州市烟草公司降低IT成本、防止潜在的隐私侵犯和保护机密信息。并且满足下述要求:
1. 支持HTTP 0.9/1.0/1.1,完全解析HTTP事务。
2. 支持对SSL(HTTPS)加密会话进行分析。
3. 支持对HTTP协议的异常元素、异常参数、非法编码和解码的灵活控制与处理。提供配置界面截图证明。
4. 支持针对主流Web服务器及插件的已知漏洞防护。Web服务器应覆盖主流服务器:apache、tomcat、lightpd、NGINX、IIS等;插件应覆盖:dedecms、phpmuadmin、PHPWind、shopex、discuz、echsop、vbulletin、wordpress等。
5. 支持对注入、XSS、SSI指令、Webshell防护、路径穿越及远程文件包含的攻击防护。提供配置界面截图证明。
6. 支持CSRF(跨站请求伪造)防护。提供配置界面截图。
7. 支持爬虫防护,实现对100种以上的爬虫特征进行识别和阻断,防止页面因爬虫而引起信息泄露等问题。
8. 支持盗链防护,有效识别网页盗链行为,避免用户网页资源被滥用。
9. 支持扫描防护,应至少包括阈值告警、请求量统计、应答分布统计等防护手段
10. 支持Cookie安全机制。提供配置界面截图证明。
11. 支持对服务器状态码进行过滤和伪装的安全策略。提供配置界面截图证明。
12. 支持敏感关键字自定义功能。
13. 支持URL ACL。对多种HTTP方法执行访问控制,包括:GET、POST、HEAD、PUT、DELETE等。
14. 支持TCP Flood防护和HTTP Flood防护,并说明HTTP Flood防护的检测算法。提供配置界面截图证明。
15. 支持XML防护,包括XML基础校验、Schema校验以及SOAP校验。提供配置界面截图证明。
16. 支持基于五元组(源IP地址、目的IP地址、源端口、目的源口、协议类型)及接口的网络防火墙功能。提供配置界面截图证明
17. 应支持HTTPS国密算法
18. 应支持镜像监听模式下HTTPS流量的解析
19. 应支持base64解码能力
20. 支持对响应页面内容进行gzip压缩
21. 支持配置HSTS功能
1.3.3.10 网络安全事件和风险处置
安徽省烟草公司滁州市公司出现网络安全事件(风险)时,从人力、物力上全力保障给予应急处置,需要派员至现场的应在4小时内到达。
服务频次:按需
服务交付:网络安全事件(风险)处置报告。
收藏