甘肃省IP网络安全解决方案.doc

甘肃省 IP 网络安全解决方案 技术应答书 一 总 述 1 1 本规范为招标方甘肃数据局 甘 肃 数 据 局 安 全 解 决 方 案 的主要 技术 功能和工程规模要求 供卖方 投标方 编写项目建议书 和报价之用 应答 完全同意 我们将据此 招标书 对主要技术 功能和工程规模的描述 给 出我们的方案建议书和报价 1 2 卖方在建议书中 对本规范书中所提各项要求能否实现与满足 的程度应逐条逐项予以答复 说明和解释 同时要求提供相应 软 硬件产品 包括第三方产品 的详细技术资料 应答 完全同意 我们将在本文件中给出对各项要求的逐条答复 说明和解释 对 所推荐产品的软硬件详细技术资料将在 方案建议书 给出 1 3 卖方若对本文件中的相关要求不能满足或者根据自己产品特有 的技术性能及具体情况提出不同于本文件相关要求的其他建议 也 应在建议书中详细说明并附详细资料 应答 完全同意 CA 的方案建议书完全满足标书的要求 1 4 卖方提供的网络安全解决方案及其相关软 硬件设施应完全符 合卖方指明的标准 并满足或高于买方指出的要求 此文件中未说 明但国际标准组织已有建议的设备功能和性能的条款 应符合相应 的最新国际标准及建议 应答 完全同意 我们提供的网管系统完全符合各项标准 满足用户提出的要求 1 5 若卖方的系统 设备包含自己的专用标准 应在建议书中具体说 明 并附上相应的详细技术资料 卖方应明确当新的国际标准及建 议发布后 是否免费为其所提供给甘肃数据局的系统进行升级 以 保证符合新国际标准及建议并与所有符合新国际标准及建议设备能 够互通 应答 完全同意 我们提供的系统不包含专用标准 都建立在相关国际标准之上 1 6 卖方在建议书中应提出详细的系统组成和设备配置 在报价中 提出系统及其相关软 硬件的单价和总价 报价格式参考 应答 完全同意 我们将在 方案建议书 给出详细的系统组成和设备配置 按照 附件一 的格式给出相关软硬件的单价和总价 1 7 卖方在建议书中应说明对供货时间 设备检测和安装调测等的 应答 应答 完全同意 我们将在 商务文档 给出对供货时间 验货以及实施等情况的描 述 1 8 卖方在建议书中应说明给买方提供的技术文件 技术支持 技 术服务 人员培训等的范围和程度 应答 完全同意 我们将在 方案建议书 给出 1 9 卖方供货和服务范围 1 系统主要组成部分 甘肃省 IP 网络安全解决方案及其相关的软 件 硬件产品 2 安装材料 3 消耗品 4 工具和备件 5 技术文件 6 技术培训 7 安装 调测 试运转的技术服务和现场验收测试文件 8 技术支持服务 应答 完全同意 我们同意按照此范围供货和服务 1 10 买方工作范围 1 现场勘查和设备安装设计 2 卖方督导和帮助下的设备试运转和现场测试验收 3 设备所需电源 220V 或 48V 及其它配套设备 应答 完全同意 我们同意在买方提供上述环境下工作 1 11 卖方应根据本文件的技术要求在 8 天内提供十份 中文 建议 书和报价 建议书与报价书应单独分册 报价若以美元为单位 需 分别提出 FOB 和 CIF 价 报价内容应包括设备 软硬件 安装材料 备品备件 工具及仪表 安装督导 厂验 培训 技术文件及技术 服务等 在建议书中应提出离岸发货完成的日期 应答 完全同意 我们完全照此要求提供方案建议书和报价 1 12 买方保留对本文件的解释和修改权 应答 完全同意 我们同意买方保留此权力 二 工 程 说 明 及 技 术 要 求 2 1 甘 肃 数 据 局 IP 网 现 状 甘肃省 IP 网是一个以数据通信为基础的计算机综合信息网 通 过甘肃省 IP 网的建设 建立跨行业 跨部门的公用计算机信息交换 平台 实现信息通信和资源共享 面向社会提供网络服务和信息服 务 此网络中 网络设备是以 CISCO 公司的 75 45 系列路由器 catalist 系列交换机和 CABLETRON 公司的 SSR 交换式路由器为主 主机设备是以 sun 公司的各个系列的服务器和工作站为主 另有部 分 IRIX 设备和 FUJITSU 的 NT 服务器 具体的网络结构图见附页 2 2 工程说明 2 2 1 工程建设目标 本工程为甘肃省 IP 网络安全解决方案 包括安全管理制度政策 的制定 安全策略的实施体系结构的设计 安全产品的选择和集成 以及长期的合作和技术支持服务 工程总体目标是在不影响甘肃省 IP 网络当前业务的前提下 实现对该网的全面安全管理 1 将安全策略 硬件及软件等方法结合起来 构成一个统一的防御 系统 有效阻止非法用户进入网络 减少网络的安全风险 2 通过对非法活动的定期进行漏洞扫描 审计跟踪 提供一种快速 检测网络攻击和迅速做出反应的手段 及时发现问题 解决问题 3 使破坏者的一举一动均在有效监控之下通过入侵检测检测等方式 实现实时安全监控 提供快速响应故障的手段 同时具备很好的 安全取证措施 4 使网络管理者能够很快重新组织被破坏了的文件或应用 使系统 重新恢复到破坏前的状态 最大限度地减少损失 5 专 门 的 用 于 对 全 网 设 备 的 数 据 备 份 系 统 方 案 软 硬 件 均 考 虑 和 数 据 恢 复 方 案 完全满足 CA公司的安全工程不会影响当前业务 同时CA公司认为 要保证信息系统的安 全 提升整体安全级别 需要从网络 服务器操作系统 用户 各种应用系统 业务数据以及应用模式等各个方面统筹考虑 信息系统的安全防护需要与实际 应用环境 工作业务流程以及机构组织形式与机构进行密切结合 从而在信息 系统中建立一个完善的安全体系 因此CA eTrust 企业安全解决方案是完整的 技术与服务紧密结合的安全解决方案 同时 CA eTrust 企业安全解决方案中 突出的集中安全管理内容将有效的提高安全管理效率 节省管理资源开销 保 证企业系统性能 CA公司全面的数据保护 包括备份的解决方案 请详见建议 书 2 2 2 设 计 原 则 卖方应详细地解释 在制定本建议方案时 所采用的设计和建构 原则 产品选择理由 以及其他方面的考虑 卖方应清楚地说明 相对于竞争者 其建议方案和所选产品的技术优势和业务价值 CA 公司在设计系统安全管理策略时 具有以下特性 对数据进行多层次保护 保证方案开放且易于使用 这样既可采用先进技术又可降低人工成本 保证系统管理平台应具有强大功能 以解决复杂网络环境中的问题 所提供的功能是可集成的 提供高度的可扩充性 Scalability 能够管理系统中的一切可管理对象 如系统中的所有 硬件平台 操作系统 数据库以及典型应用 均可通过直观的人机介面进行监控 管理 应使系统管 理员及时发现并改正系统及网络运行中出现的问题 或潜在的问题 进行全面的数据备份和灾难恢复保护 2 2 3 工 程 技 术 要 求 1 卖方应具有丰富的网络安全方面的经验 曾经实施过相关的安全 解决方案 并列举出近期的成功案例 完全满足 CA 公司是全球最大的安全解决方案提供商 具有丰富的安全方案 设计 规划 实施经验 其产品在国际和国内许多大型系统中都有成功应用 有关近期的成功案例的情况请见 方案建议书 附录 2 卖方应具有强大的技术支持队伍 熟练掌握在甘肃省 IP 网络上 实现全面的网络安全体系所涉及到的软 硬件的安装 使用和维 护 完全满足 CA 公司良好的技术服务队伍可保证此项要求 3 本招标技术规范书是在参照有关国际标书和有关部门的建议以及 考察了甘肃省 IP 网现况的基础上提出的 卖方应根据综合因素 总体考虑 向买方提供最适用的一流系统 如果将来和本标书技 术条款发生冲突 由买方审定 完全同意 我们给出的方案是符合用户需要的强大的安全管理解决方案 我们 同意按照本 招标书 的条款审订提供方案的情况 4 卖方应提供所有投标内容 包括软 硬件 的技术资料 如果卖 方建议书中的技术文件太简单以至于无法评估 卖方将被要求提 供一个附件以陈述他的技术细节 完全满足 我们将提供包括方案建议 实施范围内容 培训情况 产品详细介 绍等详细的技术资料 如果用户有任何疑问 我们将以口头和书面形式给出解 答和解释 5 卖方在建议书中应明确本次工程所涉及到的所有软件 硬件产品 必须具有在中国境内的合法使用权和用户保护权 完全满足 我们提供的所有软件 硬件产品必须具有在中国境内的合法使用权 和用户保护权 6 卖方提供的所有材 资 料必须以中文书写 完全满足 我们提供的包括方案建议 实施范围内容 培训情况 产品详细 介绍等详细的技术资料均以中文书写 2 2 4 项目组织 卖方应提供一份关于卖方与买方联合项目组织的建议 内容包 括项目组织的结构和报告体系 每一位或类项目成员的角色和责任 定义 技能要求 是否全时参与项目等 现就项目组各成员的角色 责任 技能和参与程度详述如下 项目成员 姓名 责任 报告体系 工作时间 商务组 商务项目总协调 整个项目商务 协调 Ng Mabel 部分 CA 客户服务代表 日常项目商务 安排 Ng Mabel 全时 技术组 项目管理总负责人 项目决策及安 排 部分 项目管理经理 CA 项目管理指导 日常项目管理 项目管理委员 会 项目总负责 人 全时 CA 公司 项目技术主管经理 项目技术主管 项目经理 全时 安全技术咨询顾问 CA 产品技术顾 问 项目技术主管 全时 项目成员 姓名 责任 报告体系 工作时间 客户负责人 甘肃数据局 项目技术主管经理 项目技术主管 项目经理 全时 技术实施顾问 部分安全策略的 项目经理 技术 全时 定制与实施 经理 同时 吉通公司希望卖方对整个系统提供较长时间的服务和支持 卖方在其建议书中应提出有关卖方和买方之间合作的建议 三 甘肃数据局安全解决方案总体技术要求 3 1 管理范围 3 1 1 卖方提供的安全管理体系应能覆盖包括甘肃省 IP 网省际出口 省内网间互联 骨干节点设备 链路和业务服务系统等 完全满足 3 1 2 根据甘肃省 IP 网的网络结构 管理模式 业务划分 确定安 全等级 针对不同的安全等级 实施相应的安全策略 满足 3 2 总体需求 根据甘肃省 IP 网的特点 全面的安全解决方案需要涉及到网络 安全 系统安全 数据库系统安全 数据安全以及防病毒等多个方 面 每个方面都需要结合相关的安全产品 相应的安全政策策略以 及有效的管理制度共同实施 实施包括预防 检测 反映在内的全 过程 完全满足 CA 公司认为 要保证信息系统的安全 提升整体安全级别 需要从网络 服务器操作系统 用户 各种应用系统 业务数据以及应用模式 等各个方面统筹考虑 信息系统的安全防护需要与实际应用环境 工作业务流 程以及机构组织形式与机构进行密切结合 从而在信息系统中建立一个完善的 安全体系 CA 公司依据对安全威胁广泛而深刻的认识 从定制信息系统 安全策略 设计安全管理工作流程 部署企业级防病毒 入侵检测和防御 系统访问控制 安全漏洞扫描 加密 解密产品 培训用户安全防范技能等各个方面入手 形 成综合的和全面的端到端安全管理解决方案 CA 公司对系统安全管理是多层次 多方面的 她会从网络 操作系统 应用系统各个方面提高系统的安全级别 还会把原来通过管理规定由使用人员自觉维护的安全规则用系统自动实现 大 大加强了系统的总体安全性 3 2 1 管理制度安全政策 包括安全管理制度的制定和安全策略的实施 根据管理原则 管理对象 卖方应协助买方修改 制定切实可 行的安全管理制度或规范 同时结合安全策略的实施 建立完善的 安全管理体系 具体包括 甘肃省数据通信局的安全防护的主要考虑 1 整体和各级网络结构的正确规划 网络中设备的标准配置 2 整体和各级对系统的安全规范制度的确立 各级系统进行信息进行时需要 正确依照安全通讯规则 3 数据传输的一致性 完整性以及保密性 确保数据在各级网络中传输的安 全 以及明确各级信息的重要程度与不可否认性 4 网络安全防护 即数据出入各级网络的安全检查以及网络内部数据传输的 安全审计与管理如 安全网关 代理服务器 防火墙 网络审计等技术的 实施 5 关键设备的重点保护 即对于承担系统中重要工作如 数据计算 数据存 储 信息传输等服务器进行有针对性的系统安全操作规则的制定 6 人员管理 对于使用系统的所有人员进行统一管理 明确划分其在不同网 络中的职责权力 7 通用安全防护 如对个人PC机的病毒检测 移动代码过滤等 8 全面的数据备份 保证数据的可恢复性 修改 确定全网的安全等级 根据确定的安全等级 确定安全管理范围 制定相应的机房出入管理制度 修改 制定严格的操作规程 则 修改 制定完备的系统维护制度 修改 制定应急措施 要制定在紧急情况下 系统如何尽快恢复的 应急措施 使损失减至最小 定期进行常规安全检测 3 2 2 网络安全 针对网络设备和链路的保护 由于甘肃省 IP 网网络结构的复杂 性 不可能对全网做到集中式的安全管理 可采取分布式 针对不 同网段 如网管网段 计费认证网段 用户接入网段 或根据提供 的不同业务类别 实施不同级别的安全管理措施 参考甘肃省 IP 网络结构图 对网络结构方面可能存在的漏洞 如单点故障等 提出切实可行的参考解决方案 完全满足 CA 解决方案中会针对目前甘肃 IP 网络结构制定合理可行的网络安 全解决方案 保证能对单点故障进行管理 设置防火墙保护 制定访问控制策略 安装基于网络的实时监控 防御系统 构造统一用户认证体系 3 2 3 系统安全 金桥网的系统安全主要 1 针对主机系统的安全 主要以 Solaris Irix 和 NT 为主 2 针对业务系统的安全 包括网管系统 计费系统和网络应用服务 器系统 目前网管 计费系统运行在 Solaris 平台和 NT 平台上 服务器包括 例如 DNS MAIL WWW FTP 等 所用操作系统 有 UNIX 和 WINNT 两种 完全满足 UNIX Windows 操作系统本身存在许多安全漏洞和隐患 必须加强这一级别 的安全防护 才能保护敏感的信息资源 同时对于系统的安全防护以及对于系统的业务访问等 需要进行有效的认 证保护 以保证在复杂环境中的诸多使用者 能够被有效进行安全管理 制定访问控制策略 根据需要安装基于系统的实时监控 防御系统 构造统一用户认证体系 制定完善的备份策略及灾难恢复措施 3 2 4 数据库系统安全 目前甘肃省 IP 网上数据库的安全管理涉及到用户的权限管理 数据的访问控制 数据的安全与备份等 完全满足 eTrust 系列安全产品以及 CA TNG ASO 领先的数据备份 恢复和灾难恢复 功能为企业用户提供高性能 易于扩展 易于使用 自动作业的完整的数据保 护解决方案 从而满足甘肃数据局 IP 网上数据库的安全管理 用户的权限管理 数据的访问控制 数据的安全与备份等要求 3 2 5 信息数据安全 管理对象主要是网络应用服务器中向用户提供信息服务的各类 信息 主要为 DNS 用户数据库管理系统 电子邮件系统和接入计 费系统 以及其他计划建设的数据对等 满足 eTrust 系列安全产品以及 CA TNG ASO 领先的数据备份 恢复和灾难恢复功能为各类 服务信息的用户提供高性能 易于扩展 易于使用 自动作业的完整的数据保护解决方案 加以相应的数据加密 可以确保甘肃数据局 IP 网上数据信息安全 3 2 6 防病毒 构造全网统一的防病毒体系 主要面向 MAIL FTP 服务器 以 及办公网段 NT 服务器和 PC 机等 完全满足 CA eTrust Antivirus 是完整的企业级防病毒方案 可以完整的构造全 网统一的防病毒体系 包括 MAIL FTP 服务器 以及办公网段的 PC 服务器和 PC 机等 3 2 7 网络故障分析故障 提供快速的网络故障诊断和分析手段 在发生网络故障或网络性 能较差时 能够用所提供的工具迅速而准确的确认故障所在 给网 管人员实行故障排除和实施网络优化时的提供最真实 可靠的参考 完全满足 CA Unicenter TNG 有一个强大的网络管理选件 NMO 可对网络 故障进行诊断和分析 可为网络优化提供最大的帮助 3 3 产品要求 卖方应提供安全解决方案所涉及的所有软 硬件产品的认证书 销售许可证或其他证明文件的复印件 具体要求如下 1 密码产品必须满足国家密码管理委员会的要求 2 计算机安全类产品必须获得公安部颁发的销售许可证 3 信息安全产品必须是获得国家信息安全评测认证中心的认证 4 网络安全设备所采用的技术必须是实用和成熟的 是采用 引用 国家标准的 满足 CA 公司提供已取得相应证书的复印件 详见建议书的附件 建议书中的一些 eTrust 产品 目前尚未取得相应证书 CA 公司正在作相应的 申请工作 我们力争在尽可能短的时间内达到用户的要求 3 4 安 全 标 准 安 全 标 准 的 采 用 应 遵 守 国 内 有 关 安 全 保 密 的 各 项 规 定 满 足 针 对 甘 肃 数 据 通 信 局 网 络 安 全 方 案 中 有 关 数 据 加 密 部 分 CA 公 司 将 严 格 遵 守 国 内 有 关 安 全 保 密 的 各 项 规 定 3 5 安 全 策 略 安 全 管 理 工 具 支 持 企 业 级 安 全 策 略 的 定 义 满足 安全策略的实施是一个复杂的任务 需要详细地规划以确保已实施的机 制对于提出的信息安全弱点是有效的 CA 公司已开发了实施程序保证已选的安全策略正确 有效地实施 这些 程序确保 充分地设定实施时间帧并由合适的资源支持 测试计划全面的设计与使用 正规地培训安全管理员 适当地通知最终用户 完整的文档 3 6 综 合 性 整 体 性 卖 方 应 从 系 统 综 合 的 整 体 角 度 考 虑 此 次 甘 肃 数 据 局 IP 网 安 全 招 标 项 目 制 定 有 效 可 行 的 安 全 措 施 建 立 完 整 的 安 全 防 范 体 系 满足 随 着 甘 肃 数 据 局 IP 网 系 统 的 发 展 与 建 设 甘 肃 数 据 局 IP 网 在 生 产 经 营 中 的 作 用 愈 来 愈 显 著 与 此 同 时 日 常 的 业 务 运 营 对 甘 肃 数 据 局 IP 网 管 理 信 息 系 统 的 要 求 也 越 来 越 高 使 得 甘 肃 数 据 局 IP 网 系 统 信 息 安 全 防 护 及 系 统 安 全 管 理 成 为 另 一 个 非 常 重 要 的 工 作 作 为 业 界 领 先 的 系 统 管 理 软 件 CA eTrust 除 了 提 供 一 个 综 合 性 的 系 统 管 理 方 案 同 样 也 提 供 全 面 的 IT 环 境 安 全 管 理 方 案 以 满 足 系 统 运 行 时 的 管 理 需 求 CA 开发的信息安全服务解决方案 以帮助企业检查信息安全的每一关键所在 系 统 管 理 员 权 利 分 散 资 源 安 全 性 的 管 理 用 户 认 证 管 理 系 统 资 源 授 权 特 性 的 扩 展 机 制 企 业 范 围 内 安 全 性 的 单 一 界 面 管 理 对 违 反 安 全 策 略 事 件 的 审 计 及 报 表 生 成 单 一 登 录 管 理 企 业 用 户 的 统 一 管 理 统 一 创 建 删 除 基 于 角 色 的 管 理 等 可以对信息系统安全威胁的广泛识别 并具有完整的防范体系 3 7 一 致 性 卖 方 提 供 的 安 全 解 决 方 案 应 与 甘 肃 数 据 局 IP 网 的 网 络 业 务 的 安 全 需 求 相 一 致 并 适 当 的 提 出 有 利 于 甘 肃 数 据 局 IP 网 发 展 的 安 全 建 设 建 议 满足 CA 方案能和业务需求一致 通 过 ETrust 管 理 机 上 的 图 形 用 户 界 面 安 全 管 理 员 可 以 对 以 下 甘 肃 数 据 IP 网 络 中 所 有 IT 资 源 进 行 集 中 信 息 安 全 管 理 管 理 从 桌 面 机 工 作 站 NT UNIX 服 务 器 乃 至 专 用 的 大 型 主 机 系 统 ETrust 支 持 IBM AIX INTEL NT DIGITAL Digital UNIX ALPHA NT HP HP UX SUN Solaris SGI IRIX 等 几 乎 所 有 的 服 务 器 客 户 机 平 台 支 持 对 典 型 的 商 业 应 用 进 行 管 理 如 SAP R 3 Lotus Notes Netscape Web Server Microsoft IIS 及 Exchange 等 应 用 系 统 提 供 简 便 的 API 接 口 用 于 与 用 户 的 特 殊 应 用 进 行 集 成 3 8 用 户 界 面 卖 方 提 供 的 安 全 管 理 工 具 应 提 供 友 好 的 图 形 化 GUI 管 理 界 面 完 全 满 足 CA ETrust 为 用 户 提 供 直 观 的 图 形 用 户 介 面 使 用 户 可 更 直 观 监 控 和 管 理 分 布 在 网 络 中 的 各 种 资 源 3 9 尽量降低对原有网络 系统性能的影响 由于增加了安全设置后 必将影响网络和系统的性能 包括对 网络传输速率的影响 对系统本身资源的消耗等 因此要求卖方平 衡双方的利弊 提出最为适当的安全解决建议 并可以提供相关安 全工具在不同环境下的测试数据 卖方应针对其建议方案对甘肃数据局 IP 网的网络 系统的影响 提供仔细的评估 满足 由于增加了安全设置后 必将影响网络和系统的性能 包括对网络传输速 率的影响 对系统本身资源的消耗等 而 eTrust 是平衡双方的利弊 提出最 为适当的安全解决建议 特别其中包括许多为保证系统性能而采用的专利技术 以及集中化的安全管理 都有效的对网络和系统的性能进行了保障 3 10 避免复杂性 卖方提供的安全解决方案应该避免造成网络结构的复杂 操作 与维护的复杂 满足 CA ETrust Manager Agent 的 集 中 控 管 结 构 发 布 管 理 与 使 用 并 且 为 用 户 提 供 直 观 的 图 形 用 户 介 面 使 用 户 可 更 直 观 监 控 和 管 理 分 布 在 网 络 中 的 各 种 资 源 所 以 CA 解 决 方 案 不 会 造 成 操 作 护 的 复 杂 性 3 11 可用性 包括两个方面 安全系统本身的可用性和建立在安全管理体系 下的网络的可用性 对于安全系统来说 要求可提供方便 友好的 图形化管理界面 对于网络来说 要求不影响原有业务的开展 满足 CA 提供的信息安全管理方案 完全符合规则式安全实施机制 可用性很强 同时提供 Manager Agent 的集中控管结构 提供方便 友好的图形化管理界面 对于网络来说 要求不影响原有业务的开展 同时 当业务发生变化时 能够 及时随同调整 3 12 开 放 性 卖 方 提 供 的 安 全 管 理 工 具 应 支 持 广 泛 的 安 全 管 理 标 准 满足 eTrust 支持广泛的的标准 如 SNMP OPSEC x 509 x 500 等安全管理 标准 3 13 纵 深 性 卖 方 提 供 的 安 全 解 决 方 案 应 是 一 个 多 层 保 护 体 系 各 层 保 护 相 互 补 充 当 一 层 保 护 被 攻 破 时 其 它 层 保 护 仍 可 起 到 安 全 防 范 的 作 用 满足 CA 的信息安全解决方案是提供一个企业级安全管理方案 以解决 IT 基 础设施内各个领域的问题 CA 明确了以下的这些安全领域 1 网络 2 服务器 3 用户 4 应用程序与服务 5 数 据 为信息系统提供多层保护 构造安全防护网 3 14 适 应 性 卖 方 提 供 的 安 全 解 决 方 案 应 能 够 随 着 甘 肃 省 IP 网 网 络 性 能 及 安 全 需 求 的 变 化 而 变 化 要 容 易 适 应 容 易 修 改 满足 CA 提 供 的 信 息 安 全 管 理 方 案 完 全 符 合 规 则 式 安 全 实 施 机 制 有 易 该 性 同 时 提 供 Manager Agent 的 集 中 控 管 结 构 因 此 当 业 务 发 生 变 化 时 能 够 及 时 随 同 调 整 3 15 集 成 性 卖 方 提 供 的 安 全 管 理 工 具 应 能 够 和 其 它 系 统 管 理 工 具 有 效 集 成 如 HP OV 等 等 满足 CA 网 络 管 理 工 具 支 持 SNMP 完 全 可 以 和 HP OV 的 集 成 同 时 CA 也 建 议 用 户 可 使 用 CA 的 Unicenter TNG 来 全 面 的 对 网 络 和 网 络 安 全 进 行 管 理 四 甘肃数据局安全解决方案各项功能要求 卖方应详细列出与本章中涉及到的功能 技术实现相关的所有 产品的厂家名称 产品名称 软硬件所需平台以及详细配置 并可 针对某些具体的功能 技术 性能指标提出自己的可行性建议 完全满足 4 1 入侵检测 安全评估 4 1 1 制定定期进行入侵检测和安全审计的制度 4 1 2 提 供 对 网 络 各 个 层 面 进 行 入 侵 检 测 安 全 评 估 的 技 术 和 工 具 4 1 3 提 供 有 效 的 安 全 漏 洞 修 补 建 议 和 工 具 4 1 4 支持多种类别的设备 系统及数据库的检测 4 1 5 具有强大报表生成功能 4 1 防火墙 4 2 1 网络接口规范 支持 100M 1000M 以太网接口 4 1 1功能要求eTrust FireWall是一般意义的防火墙的超集 一般的 ETRUST FIREWALL被安放在整个企业网络边界处 控制所有的进出系统的数据 保护企业中关键资源 ETRUST FIREWALL的操作是完全透明的 所有的客户和服 务器上现存的应用程序都不需要修改 在安全保障方面 ETRUST FIREWALL是基于全状态检查技术的防火墙工具 结合了proxy技术 包过滤技术特征以及基于用户的访问控制等多项技术 ETRUST FIREWALL工作在数据包层 它自动检测数据包的全部内容 可以 支持象UDP这样的 无连接 网络协议 另外 ETRUST FIREWALL支持基于状态 信息的智能过滤 采用ETrust安全引擎和管理技术进行用户识别和授权 由于 避免了上下文交换以及数据复制 网络性能可以得到有效地保证 1 支持透明接入和透明连接 不影响原有网络设计和配置 支持 eTrust FireWall 操作是完全透明的 所有的客户和服务器上现存的应用 程序都不需要修改 2 带有 DMZ 的连接方式 满足 eTrust FireWall 支持多网卡环境 即当其所运行的设备拥有三块以上网 卡时 eTrust FW 可以将其进行有效划分 分别指向内外及 DMZ 3 支持本地和远程管理两种管理方式 支持 eTrust FireWall 的整体结构由Server Administrator Client 和 Engine等组成 而各个部分可以分布式实现 即Client 能够与Server集中安 装 也可以在不同设备上实施 远程通过Client对Server 和 Engine进行管理 4 支持命令行和 GUI 方式的管理与配置 支持 eTrust FW 提供命令行 图形等多种管理和配置方式 特别是其 JAVA 图 形管理界面中的 Wizard 和鼠标托拽功能 将使得防火墙的管理与配置更加直观 简便 5 对分布式的防火墙支持集中统一状态管理 满足 ETrust FireWall 的整体结构由Server Administrator Client 和 Engine等组成 而各个部分可以分布式实现 即Client 能够与Server集中安 装 也可以在不同设备上实施 远程通过Client对Server 和 Engine进行管理 同时eTrust FW Server 是对整体防火墙安全策略进行管理与配置 而这些策略 规则可以通过Server之间的主从关系进行同步等集中管理 6 规则测试功能 支持规则一致性测试 支持 eTrust FW 对与其定制的各个网络安全规则都提供自行检测的功能 能够 在规则实现前有效的进行验证 7 透明代理功能 支持 在安全保障方面 ETRUST FIREWALL是基于全状态检查技术的防火墙工具 结合了proxy技术 包过滤技术特征以及基于用户的访问控制等多项技术 ETRUST FIREWALL的操作是完全透明的 所有的客户和服务器上现存的应 用程序都不需要修改 8 地址转换功能 支持静态地址转换 动态地址转换以及 IP 地址 与 TCP UDP 端口的转换 满足 地址翻译技术是指让 IP 数据包的源地址和目的地址以及 TCP 或 UDP 的端口号发生改变 以达到屏蔽网络内部细节的目的 eTrust FW 支持静态地址转换 动态地址转换以及 IP 地 址与 TCP UDP 端口的转换 9 访问控制 包括对 HTTP FTP TFTP SMTP TELNET 等服务类型 的访问控制 满足 ETRUST FIREWALL是基于全状态检查技术的防火墙工具 它自动检测数据 包的全部内容 可以支持象UDP这样的 无连接 网络协议 ETrust ETRUST FIREWALL提供基于用户的访问规则 这样对特定的网络资 源 管理员不仅可以控制来访者的IP地址 还可以控制来访者的身份 来访者 访问这类网络资源时 需要向ETRUST FIREWALL Server进行登录 验证身 份 10 用户级权限控制 完全满足 ETrust ETRUST FIREWALL 提供基于用户的访问规则 这样对特定的网络资源 管理员不仅可以控制来访者的 IP 地址 还可以控制来访者的身份 来访者访问 这类网络资源时 需要向 ETRUST FIREWALL Server 进行登录 验证身份 11 防止 IP 地址欺骗功能 完全满足 eTrust FW 和 eTrust ID 能够有效防止 IP 欺骗行为 12 包过滤 支持 IP 层以上的所有数据包的过滤 完全满足 ETRUST FIREWALL的基本功能让管理员定义是否允许传输指定的网络数据 包数据 但是 对于一些复杂的应用协议 ETRUST FIREWALL采用特定的逻辑来 监视和过滤数据包 主要有 FTP UDP TFTP RealAudio RPC和 portmapper EncapsulatedTCP IP等等 13 信息过滤 包括 HTTP FTP SMTP TFTP 等协议的信息过滤 完全满足 ETRUST FIREWALL的基本功能让管理员定义是否允许传输指定的网络数据 包数据 但是 对于一些复杂的应用协议 ETRUST FIREWALL采用特定的逻辑来 监视和过滤数据包 主要有 FTP UDP TFTP RealAudio RPC和 portmapper EncapsulatedTCP IP等等 14 地址绑定功能 实现 MAC 地址与固定 IP 地址的绑定 防止 IP 地 址盗用 完全满足 eTrust FW 和 eTrust ID 能够有效发现网络中的 MAC 冲突 IP 冲突等问题 并进行记录与报警 因此根据这些信息进行 IP 与 MAC 使用规范的制定 15 抗攻击性要求 包括对防火墙本身和受保护网段的攻击抵抗 完全满足 对于现有的各种网络进攻手段 ETRUST FIREWALL可提供有效的安全保障 IPSpoofing TCP sequence number prediction attacks Source outing attacks RIP attacks ICMP attacks Data driven attacks SMTP and MIME Domain Name Service attacks Fragment attacks Tiny fragment attacks Hijacking attacks Data integrity attacks Encapsulated IP attacks等等 而 eTrust Access Control 对系统的安全防护能够充分加强防火墙运行环境的 安全保护 16 审计日志功能 支持对日志的统计分析功能 完全满足 ETRUST FIREWALL提供强大的日志功能 帮助管理员跟踪访问 发现一些 潜在的安全问题 17 实时告警功能 对防火墙本身或受保护网段的非法攻击支持多种 告警方式 声光告警 EMAIL 告警 日志告警等 以及多种级别 的告警 完全支持 支持负载均衡 支持流量控制 支持冗余路径 支持联网版本升级 支持 SNMP 协议 支持防火墙双机热备的管理模式 4 1 2 技术性能指标 1 时延 2 吞吐量 3 最小规则数为 500 4 包转发率 5 最大位转发率 6 并发连接数 支持 32000 个并发用户连接 由于 eTrust FireWall 是纯软件防火墙 其性能状况重要取决于运行系统 的软硬件环境 所以以上性能指标 目前无法提供明确参数 但可以肯定的是 eTrust FireWall 防火墙是 CA 新技术下的产物 它的性能水平比传统的软件防 火墙要好 4 2 安全监控 防御 基于网络和系统的实时安全监控 对来自内部和外部的非法入 侵行为做到及时响应 告警和记录日志 并可采取一定的防御和反 入侵措施 具体要求如下 1 支 持 统 一 的 管 理 平 台 可 实 现 集 中 式 的 安 全 监 控 管 理 满足 CA eTrust 系列产品是工作在其通用安全服务的基础之上的 因此能够通过统 一的管理平台 实现集中式的安全监控管理 2 自 动 识 别 类 型 广 泛 的 攻 击 支持 eTrust FireWall 对于现有的各种网络进攻手段 可提供有效的安全保障 如 IPSpoofing TCP sequence number prediction attacks Source outing attacks RIP attacks ICMP attacks Data driven attacks SMTP and MIME Domain Name Service attacks Fragment attacks Tiny fragment attacks Hijacking attacks Data integrity attacks Encapsulated IP attacks 等等 而 CA 信息安全管理方案中的另一网络安全工具 eTrust Intrusion Detection 可以与 eTrust FW 完善网络信息安全 如增加了对 探测与不同数据的交叉 接受 SYN 包中的数据 碎片处理 包重组 ID 测试支持 Sweep attack TCP 包重叠 确定入侵的新模型 缓冲区溢出 匹配应用冲突反馈等网络攻击的检测 同时对于可疑网络活动 恶意的 applets 也提供相应的检测与报警 3 支 持 按 行 为 特 征 的 入 侵 检 测 满 足 CA 提供的网络安全管理软件 ETrust Intrusion Detection 可以允许用户灵活 定义网络安全防护规则 对于网络数据包可以进行实时分析 因此 可以定义相关 网络操作行为特征 根据行为特征对网络数据进行过滤 确保信息安全 4 提 供 对 特 定 网 段 的 实 时 保 护 支 持 高 速 交 换 网 络 的 监 控 满足 由于 eTrust Intrusion Detection 采用网络监听的技术 进行其网络安全 保护工作 因此是与业务同时 并行运行 进行实时防护 而且可支持高速交换网 络 5 提 供 对 关 键 服 务 器 如 Web E mail DNS FTP 用 户 数 据 库 服 务 器 计 费 数 据 库 服 务 器 等 的 实 时 保 护 满 足 eTrust Access Controlent 中 的 安 全 管 理 实 现 了 预 设 式 管 理 安 全 规 则 不 仅 可 以 保 护 磁 盘 上 已 有 的 文 件 对 不 存 在 的 文 件 也 可 提 供 保 护 同 时 CA 针 对 系 统 的 安 全 访 问 控 制 能 够 提 供 部 分 内 容 的 强 制 访 问 控 制 机 制 以 及 对 于 系 统 内 存 的 实 时 检 测 因 此 可 以 有 效 的 对 关 键 服 务 器 如 Web E mail DNS 等 的 实 时 保 护 6 能 够 在 检 测 到 入 侵 事 件 时 自 动 执 行 预 定 义 的 动 作 包 括 切 断 服 务 重 起 服 务 进 程 记 录 入 侵 过 程 信 息 等 满足 CA 提供的 eTrust Intrusion Detection 是一种易于使用的软件型网络分 析方案 它对网络流量进行监听 并对传输内容进行扫描 显示 报告 记录 和报警 并提供了全面地查看有关内容的途径 以易于理解的方式提供了相应 的信息 另外 ETrust Intrusion Detection 采用了专利型的 unobtrusive blocking 技术 在基于规则和相应的报警条件的情况下对自动执行预定义的动 作 包括切断服务 重起服务进程 记录入侵过程信息等 7 支 持 集 中 的 攻 击 特 征 和 攻 击 取 证 数 据 库 管 理 支持 ETrust Intrusion Detection Log View 使用户可以通过选取特定的数据 库 并对其中存档的信息进行浏览和查看 监控一段时间内网络使用的细节 用户们也可以在关系型数据库中对从多个 ETrust Intrusion Detection 节点得 到的会话信息进行合并 用户可以在 ETrust Intrusion Detection 中创建规则 以便将会话数据 存入到备份档案中 从而可以在晚些时候对数据进行查找 8 支 持 攻 击 特 征 信 息 的 集 中 式 发 布 和 攻 击 取 证 信 息 的 分 布 式 上 载 满足 ETrust Intrusion Detection Central 是若干个不同服务的基础 ETrust Intrusion Detection Central 使同一个网络管理员可以对多个远程和本地的 ETrust Intrusion Detection 进行监视和管理 利用这一功能 网络管理员可以在控制台 上查看报警信息 并拥有远程控制特定 SW3 节点的功能 就象它们在本 地一样 使系统管理员可以管理远程的 ETrust Intrusion Detection 节点 使远程网络上的授权用户可以查看已被授权的特定信息 ETrust Intrusion Detection Central 支持以下组件 ETrust Intrusion Detection Central 组件运行于 Windows 95 Windows 98 或 Windows NT Central 组件接收 排序和显示由一 个或多个远程 SW3 agent 生成的信息 并使管理员可以连接到 agent 并 对其进行操作 ETrust Intrusion Detection Central Agent 是运行于安装了 SW3 企业 版软件的节点上的组件 Central Agent 包括的代理应用可以在后台运 行 接收报警 通过可以对远程访问进行授权的远程控制应用将其发送 到 Central 并使 Central 可以远程控制 9 提 供 对 监 视 引 擎 和 检 测 特 征 的 定 期 更 新 服 务 更 新 方 式 可 有 多 种 包 括 厂 家 的 直 接 服 务 和 联 网 更 新 操 作 提供 ETrust Intrusion Detection 中包含的有关网络攻击行为的检测 网络病 毒的检测以及 URL 访问控制清单 全部提供定期在线更新 以确保产品能够有效 的为用户服务 10 网 络 访 问 控 制 ETRUST FIREWALL提供基于用户的访问规则 这样对特定的网络资源 管 理员不仅可以控制来访者的IP地址 还可以控制来访者的身份 来访者访问这 类网络资源时 需要向ETRUST FIREWALL Server进行登录 验证身份 11 支 持 与 防 火 墙 的 配 合 监 控 完全支持 它对所有流行的 防火墙 是有效的补充 可以提供与应用相 关的保护 提供入侵探测 并对现有的设置进行审计 eTrust Intrusion Detection 能够与 eTrust FW 的动态安全规则应用相结合 形成互动式网络安 全防护体系 同时也可以通过使用 OPSEC 接口与 FireWall 1 连接 4 3 漏 洞 扫 描 技 术 1 提 供 对 主 机 网 络 设 备 的 定 期 漏 洞 扫 描 完 整 解 决 方 案 提供基于网络的和基于主机系统的安全隐患扫描 对目标可 能存在的安全隐患进行逐项检查 目标可以是工作站 服务 器 交换机 数据库应用等各种对象 需扫描设备的详细 信息参见甘肃 IP 网介绍 满 足 eTrust PCM 提供的是风险评估和政策审查技术 可寻找和报 告在网络 主机 程序 记录 口令和文件系统 容量等方面的 安全缺陷 并提供纠正方案修复确认的问题 它建立基线政策定 义 然后监视所有关系到该政策和措施的变动 它有交互方式和预 定操作方式 PCM 的查询 报表和模拟工具允许监视特定节点 数据库和整个网络设备 2 提供根据扫描结果向系统管理员提供周密可靠的安全性分 析报告和具体漏洞的解决方法的建议 为提高网络安全整体水平提 供重要依据 完 全 满 足 使 用 eTrust PCM 就 是 要 向 安 全 管 理 员 提 供 安 全 性 分 析 报 告 和 漏 洞 解 决 建 议 4 4 数 据 备 份 方 案 提 供 一 套 完 备 的 用 户 可 以 对 全 网 进 行 网 络 备 份 的 系 统 方 案 设 置 专 门 的 备 份 服 务 器 带 有 大 容 量 的 数 据 存 储 设 备 能 够 方 便 的 通 过 网 络 实 现 定 期 对 全 网 的 任 何 主 机 和 网 络 设 备 的 进 行 备 份 和 回 复 减 轻 网 管 的 日 常 工 作 量 本方案提供CA Unicenter TNG ASO来对全网服务器进行网络备 份 CA Unicenter TNG ASO Advanced Storage Option 高级存储选 件是企业级数据存储的综合性集成管理解决方案 ASO领先的数据备 份 恢复和灾难恢复功能为企业用户提供高性能 易于扩展 易于 使用 自动作业的完整的数据保护解决方案 1 支 持 通 过 简 单 的 配 置 实 现 对 全 网 的 任 何 设 备 的 数 据 或 配 置 信 息 的 备 份 完 全 满 足 利用UnicenterTNG 我们可以在某一台具有备份介质服务器 这样通过它可以远程备份网络中任意一台服务器上的数据或数据库 中的数据 从TNG ASO的 备份窗口 可实时对后台任意机器上的的数据进 行备份 自动地备份 恢复及灾难恢复 防止硬盘 数据和介质遭 到灾难性的破坏 用户可根据现在和将来的需要实施存储管理解决 方案 TNG ASO还为企业级提供一个综合而全面的存储管理平台 支 持对数据库系统 如对Oracle等的备份 TNG ASO实现企业级数据备份 恢复的集中化管理 从TNG ASO管 理器可以控制并监控TNG ASO所有的活动 所有远程的管理性工作都 可以借助TNG ASO管理器或远程访问服务实现 企业版可以管理多个 TNG ASO主服务器 在TNG ASO管理器界面的可以显示任何选定的主 服务器的工作队列 所有跨企业级的TNG ASO工作的实时状态都可以 被监视和管理 2 支 持 对 于 不 同 重 要 性 的 数 据 按 照 不 同 的 周 期 实 现 自 动 配 置 完 全 满 足 在TNG ASO Manager的Backup选项的Schedule功能可以实现用户 对数据备份策略的定义 如可以定义一周的差量 增量备份 或可 以按一定的时间间隔定义备份策略 TNG ASO可以按照用户定义的上 述数据备份策略按不同的周期自动实现数据备份 ASO对数据备份的 重要性还有优先级的设定 可以让备份设备先备谁或后备谁 ASO的 备份策略还可以保存 即使备份服务器更换也可迅速将以往的备份 策略得到迅速恢复 ASO里面储存了很多基本的备份策略 管理员 也可迅速将其应用 3 超 大 容 量 的 数 据 存 储 系 统 能 够 满 足 对 数 十 台 主 机 数 据 备 份 的 大 存 储 容 量 要 求 完 全 满 足 TNG ASO 完 全 支 持 各 种 大 容 量 数 据 存 储 系 统 而 且 备 份 时 支 持 网 络 传 送 压 缩 在 有 限 的 网 络 带 宽 下 可 以 轻 松 对 数 十 台 主 机 的 数 据 进 行 备 份 ASO 还 支 持 光 线 通 道 的 备 份 方 式 如 果 以 后 采 用 光 线 通 道 的 备 份 方 式 就 更 能 体 现 TNG ASO 备 份 的 高 效 性 4 5 防病毒 不作为主要内容 CA ETrust ANTIVIRUS 高级防病毒选件是一个集成的企业级防病毒解决方 案 它支持了企业对安全和管理的需求 该选件通过了美国计算机安全协会 NCSA 的认证 能够 100 检测现存的病毒 1 支 持 对 网 络 服 务 器 和 工 作 站 的 实 时 病 毒 监 控 满足 ETRUST ANTIVIRUS 主动内核技术的基础是ETrust无缝连接技术 这种技术可以保证反毒模块从底层内核与各种操作系统 网络 硬 件 应用环境密切协调 确保了主动内核在发生病毒入侵反应时 反毒操作不会伤及到操作系统内核 同时确保杀灭来犯的病毒 无 缝连接技术是主动内核保障系统安全性的最根本技术 2 能 够 在 中 心 控 制 台 上 向 多 个 目 标 系 统 分 发 新 版 杀 毒 软 件 满足 主动内核杰出的特点是对网络的管理能力 对各种网络 它都可 以自动地探测网络的每一个计算机是否都安装了主动内核 是否都 已经升级到了最新的版本 如果有一个计算机没有做到 主动内核 就可以对这个计算机进行安装或升级 使得全网络没有一个漏洞 即使用户是一个全球性的远程大型异构网络 主动内核技术也能轻 易地实现 没有这项技术要实现全网络的可靠反病毒 几乎是不可 能的 3 能 够 在 中 心 控 制 台 上 对 多 个 目 标 系 统 监 视 病 毒 防 治 情 况 ETRUST ANTIVIRUS是企业级网络防病毒解决方案 提供无可匹 敌的企业管理和防病毒解决方案 ETRUST ANTIVIRUS具有独有的实 时治愈 统一管理器 分域管理 病毒防火墙 病毒检查 能够在 中心控制台上对多个目标系统监视病毒防治情况进行自动更新 增 强的报警选择 支持对Internet下载的和E mail附加文件病毒防护 等特征 4 支 持 多 种 平 台 的 病 毒 防 范 支 持 eTrust Antivirus 支 持 多 平 台 病 毒 查 杀 无 论 是 早 期 的 DOS 或 WINDOWS3 1 系 统 还 是 WINDOWS95 98 WINDOWS NT 2000 或 者 是 NetWare 都 有 相 应 版 本 支 持 最 新 版 本 还 支 持 对 Unix 的 Mail 服 务 器 进 行 病 毒 检 查 和 保 护 5 能 够 识 别 广 泛 的 已 知 和 未 知 病 毒 包 括 宏 病 毒 满足 ETRUST ANTIVIRUS能识别已知的所有病毒 而且病毒特征码几 乎一周更新一次 CA 在中国和公安部合作设有专门的病毒采样点 专门对付亚洲的突发性病毒 ETRUST ANTIVIRUS 主动内核技术在形式上是将已经开发的各种 反毒技术从源程序级嵌入操作系统和网络系统内核 如实时防毒墙