jscert 3包網(wǎng)絡安全與管理 投標文件-博雅

江蘇省通信管理局互聯(lián)網(wǎng)數(shù)據(jù)中心維穩(wěn)管控平臺二期（安全管控部分）第三包網(wǎng)絡安全監(jiān)測與管控系統(tǒng)2014-11匯報內(nèi)容：投標人簡介項目建設方案項目報價與進度安排基礎及能力博雅軟件股份有限公司（原“青鳥軟件股份有限公司”，以下簡稱“博雅軟件”）起源于北京大學，是一家專業(yè)從事軟件與信息技術服務的大型企業(yè)集團。

博雅軟件信息安全事業(yè)部依托于北京大學網(wǎng)絡和軟件安全保障教育部重點實驗室，重點分析網(wǎng)絡與信息安全目前存在的主要問題和薄弱環(huán)節(jié)，評估、研究互聯(lián)網(wǎng)、網(wǎng)路融合演進和業(yè)務創(chuàng)新對信息安全帶來的挑戰(zhàn)和應對措施；擁有自主核心技術研發(fā)能力，具有統(tǒng)一安全網(wǎng)關、異常流量分析、入侵檢測等多個主流網(wǎng)絡安全產(chǎn)品的自主知識產(chǎn)權。提供專業(yè)的電信級全網(wǎng)信息安全服務，對網(wǎng)絡及計算機安全威脅、漏洞進行合理有效的監(jiān)測、分析、預警，對重大安全事件采取及時有效的應急措施，提供系統(tǒng)的安全應急響應方案。主要資質(zhì)博雅的網(wǎng)絡與信息安全產(chǎn)品研發(fā)能力網(wǎng)關監(jiān)控類安全運維中心綜合網(wǎng)絡管理風險評估網(wǎng)站守護綜合業(yè)務網(wǎng)關網(wǎng)絡行為管理網(wǎng)絡流量控制網(wǎng)絡審計運維審計被動域名監(jiān)測路由異常監(jiān)測異常流量監(jiān)測管理服務類主要客戶工業(yè)和信息化部，中國證監(jiān)會，中國公安部，中國海關，遼寧公安廳，吉林省公安廳，國家科委，國家旅游局，福建省委，江蘇省委機要局，吉林省委機要局，瀘州機要局，廣西高法，廣西高檢，上海公安局，上海安全局，寧波公安局，新疆武警邊防總隊……四川長虹，海爾集團，美菱集團，春蘭集團，TCL集團，躍進集團，徐工集團，一汽集團，LG集團，科健集團，步步高集團，五糧液集團，濟南國際機場，廈門機場股份公司，云天化股份公司，成都國泰制藥，廣深鐵路股份公司，西門子（成都），高路華集團，山西煙草，甘肅煙草，天津煙草，……在CNCERT網(wǎng)安業(yè)務的相關項目經(jīng)驗2009，被動域名安全監(jiān)測系統(tǒng)及數(shù)據(jù)分析技術研究一期2010，流監(jiān)測系統(tǒng)二期2010，被動域名安全監(jiān)測系統(tǒng)及數(shù)據(jù)分析技術研究二期2011，流監(jiān)測系統(tǒng)三期2012，IPv6試點工程流監(jiān)測子系統(tǒng)2012，基于被動方式的網(wǎng)絡安全監(jiān)測系統(tǒng)綜合管理平臺研究2014，基于深度流檢測的攻擊痕跡關聯(lián)系統(tǒng)2014，288工程公網(wǎng)安全綜合管理平臺軟件匯報內(nèi)容：投標人簡介

項目建設方案項目報價與進度安排項目建設目標將目前江蘇管局已有的四個系統(tǒng)“互聯(lián)網(wǎng)綜合管理系統(tǒng)”、“互聯(lián)網(wǎng)應急處置平臺”和“IDC管控系統(tǒng)”、“IP動態(tài)比對系統(tǒng)”進行更新升級和功能整合。四個系統(tǒng)的硬件進行更換和升級，對系統(tǒng)功能進行完善和二次開發(fā)，同時整合四個系統(tǒng)，使之成為統(tǒng)一的整體，服務行業(yè)監(jiān)管和網(wǎng)絡信息安全管理工作。選取一些具有代表性的界面作為展示頁面，作為以后管控中心建成后高清大屏展示的內(nèi)容，如全省IDC機房的3D展示圖、網(wǎng)站內(nèi)容分類的統(tǒng)計圖、IDC機房管控設備運營狀態(tài)圖以及管控過程演示示意圖等。平臺總體架構采集層：多系統(tǒng)多部門共享數(shù)據(jù)及互聯(lián)網(wǎng)管理部門共享數(shù)據(jù)，實現(xiàn)信安、網(wǎng)安各類數(shù)據(jù)的統(tǒng)一獲取和有效整合。存儲層：對各數(shù)據(jù)源數(shù)據(jù)進行關聯(lián)分析和綜合運用，支撐數(shù)據(jù)分析和業(yè)務管控需要應用層：通過標準的統(tǒng)一接口，進行數(shù)據(jù)的共享、指令的下發(fā)及管理采集層：通過DNS采集系統(tǒng)、爬蟲采集系統(tǒng)、企業(yè)上報數(shù)據(jù)、分中心共享數(shù)據(jù)及互聯(lián)網(wǎng)管理部門共享數(shù)據(jù)，實現(xiàn)信安、網(wǎng)安各類數(shù)據(jù)的統(tǒng)一獲取和有效整合。存儲層：對各數(shù)據(jù)源數(shù)據(jù)進行關聯(lián)分析和綜合運用，支撐數(shù)據(jù)分析和業(yè)務管控需要，并形成管局相關的“網(wǎng)站信息庫”、“域名信息庫”、“接入信息庫”、“IP資源庫”等強大資源庫進行存儲及管理。應用層：通過升級和改造“互聯(lián)網(wǎng)應急處置平臺”把江蘇管局現(xiàn)有的“互聯(lián)網(wǎng)綜合管理系統(tǒng)”、“IDC管控系統(tǒng)”、“網(wǎng)絡安全系統(tǒng)”和“通信資源應急保障系統(tǒng)”通過標準的統(tǒng)一接口，進行數(shù)據(jù)的共享、指令的下發(fā)及管理。同時管局通過工信部及各企業(yè)的系統(tǒng)聯(lián)動，實現(xiàn)資源的共享、數(shù)據(jù)的查詢、指令的聯(lián)動。本期系統(tǒng)架構基礎:統(tǒng)一系統(tǒng)資源平臺提升2項監(jiān)測能力即網(wǎng)站安全事件的監(jiān)測能流量異常監(jiān)測能力建設2項網(wǎng)安手段一體化管理功能：網(wǎng)絡安全事件的一體化推送預警功能網(wǎng)絡安全系統(tǒng)一體化運維管理功能。本期系統(tǒng)架構整個網(wǎng)絡安全管控平臺結構門戶層、引擎層、以及接口層組成為本期所建的四個平臺提供整體的安全防護。門戶層：實現(xiàn)網(wǎng)絡信息安全管理平臺的監(jiān)測任務管理、安全事件統(tǒng)一展現(xiàn)、安全預警推送、接口管理、系統(tǒng)運維管理等功能。引擎層：實現(xiàn)網(wǎng)絡信息安全監(jiān)控相關的業(yè)務邏輯網(wǎng)站安全監(jiān)測子系統(tǒng)：重保網(wǎng)站監(jiān)測、安全事件云監(jiān)測、網(wǎng)頁數(shù)據(jù)的安全分析以及網(wǎng)站訪問日志的安全分析異常流量監(jiān)測子系統(tǒng)：異常流量事件監(jiān)測、客戶數(shù)據(jù)自動推送以及路由器流量矯正功能系統(tǒng)運維管理模塊構成本期系統(tǒng)架構接口層：系統(tǒng)對接：云檢測平臺、流監(jiān)測系統(tǒng)以及DNS日志采集，采用多種數(shù)據(jù)采集方式獲取數(shù)據(jù)：網(wǎng)站數(shù)據(jù)、DNS日志、流檢測數(shù)據(jù)、網(wǎng)絡安全數(shù)據(jù)。安全防護系統(tǒng)實現(xiàn)本期建設內(nèi)容的整體安全防護，達到等級保護三級的安全防護要求通過部署防火墻、UTM網(wǎng)關以及網(wǎng)絡審計系統(tǒng)，實現(xiàn)平臺的邊界防護、入侵防護、病毒防護以及安全審計。網(wǎng)站安全監(jiān)測子系統(tǒng)（1）重保網(wǎng)站的（點監(jiān)測）功能現(xiàn)有的網(wǎng)站被黑系統(tǒng)、掛馬系統(tǒng)實現(xiàn)技術比較單一（爬取指定URL頁面，匹配關鍵字）。新建網(wǎng)站漏洞掃描、被黑發(fā)現(xiàn)系統(tǒng)，實現(xiàn)深入的、細粒度的網(wǎng)站運行狀態(tài)監(jiān)控，第一時間內(nèi)發(fā)現(xiàn)、預警網(wǎng)絡安全事件。采用多元化的網(wǎng)站被黑識別手段，實現(xiàn)對重保網(wǎng)站被黑、被掛馬頁面的高精準發(fā)現(xiàn)，尤其提高網(wǎng)站后門文件、被黑圖片的識別功能。網(wǎng)站安全監(jiān)測子系統(tǒng)（2）第三方網(wǎng)站云檢測（面監(jiān)測）功能定義并實現(xiàn)網(wǎng)站類安全事件的數(shù)據(jù)同步接口，并開放給多家安全廠商、技術支撐單位（可包含奇虎360、知道創(chuàng)宇、杭州安恒等）試用最終根據(jù)測試效果選擇一家（或多家）單位，采取購買服務的形式，完成江蘇省網(wǎng)絡安全事件的實時上報。通過匯總、分析上述數(shù)據(jù)，利用第三方的網(wǎng)站云檢查能力，掌握全省范圍內(nèi)的網(wǎng)站類安全事件態(tài)勢。（3）網(wǎng)站數(shù)據(jù)爬取主動監(jiān)測功能復用輿情系統(tǒng)中網(wǎng)站爬蟲所獲取到的頁面數(shù)據(jù)，借助數(shù)據(jù)中心的大數(shù)據(jù)分析能力，通過特征比對的方式，發(fā)現(xiàn)網(wǎng)站漏洞、被篡改、被掛馬等網(wǎng)絡安全事件（4）離線日志數(shù)據(jù)分析針對重保網(wǎng)站，借助數(shù)據(jù)中心的大數(shù)據(jù)分析能力，對其海量用戶訪問日志進行大數(shù)據(jù)分析，發(fā)現(xiàn)其中的網(wǎng)絡攻擊行為。

整體網(wǎng)絡分為504內(nèi)網(wǎng)以及對外服務平臺所在的公網(wǎng)。內(nèi)網(wǎng)系統(tǒng)依托于流監(jiān)測系統(tǒng)的三級的分布式架構上，分為國家中心，分中心與采集層。內(nèi)網(wǎng)與外網(wǎng)使用跨網(wǎng)數(shù)據(jù)交互系統(tǒng)進行數(shù)據(jù)傳輸。

網(wǎng)絡架構

對外推送接口-1

根據(jù)客戶所需的業(yè)務數(shù)據(jù)類型配置推送端IP地址，密鑰（支持對稱加密的單鑰和非對稱加密的公鑰和私鑰），具體數(shù)據(jù)需求（可選擇具體報表，F(xiàn)LOW詳細數(shù)據(jù)以及進行DDos監(jiān)測并推送監(jiān)測結果，DDos定位信息等）。

對外推送接口-2

內(nèi)網(wǎng)服務器根據(jù)管理員配置的客戶信息，根據(jù)事件的緊急性，定時或者及時打包并加密結果數(shù)據(jù)，并生成客戶以及數(shù)據(jù)描述信息（json文件），一起發(fā)送給跨網(wǎng)數(shù)據(jù)交互服務器（加密傳輸）。交互服務器留存json信息，并保存日志，轉(zhuǎn)發(fā)該部分數(shù)據(jù)到外網(wǎng)服務器（加密傳輸）。

對外推送接口-3

根據(jù)json文件中的具體客戶信息，向客戶服務器發(fā)送加密過的文件信息。根據(jù)傳輸狀態(tài)返回給504內(nèi)網(wǎng)系統(tǒng)該客戶是否成功接收數(shù)據(jù)。

重點客戶和路由器報表推送

采集路由器BPS，PPS,FPS信息，并分析路由器的流量組成，形成報表。并根據(jù)用戶的配置，對目標用戶進行數(shù)據(jù)推送。推送可以配置時間段，推送頻率根據(jù)路由器信息建立歷史流量報表，并使用動態(tài)基線異常監(jiān)測報警功能對流量進行監(jiān)測和異常報警。

重點客戶和路由器報表推送

通過504內(nèi)網(wǎng)根據(jù)用戶關注的重點IP和IP段，配置成為重點客戶監(jiān)測對象。通過504內(nèi)網(wǎng)的配置頁面配置推送的目標用戶信息，需要推送的報表內(nèi)容，時間段信息，推送頻度等。推送的數(shù)據(jù)包含數(shù)據(jù)內(nèi)容和圖片格式的統(tǒng)計結果信息。

重點IP流異常監(jiān)測

重點監(jiān)測對象可以配置為IP或者IP段。監(jiān)測的內(nèi)容分為流量報表，詳細FLOW信息的留存以及DDOS監(jiān)測定位。

1.流量報表按1分鐘（普通用戶5分鐘）為間隔自動生成客戶流量報表，IPTOPN，端口TOPN等詳細數(shù)據(jù)報表。

2.重點監(jiān)測對象FLOW數(shù)據(jù)快速推送，獨立存儲（使用MongoDB

）重點客戶的FLOW信息以提高查詢速度，當客戶需要詳細數(shù)據(jù)時。

3.重點監(jiān)測對象DDOS監(jiān)測與自動定位。采集路由器的每對IP信息，匹配該IP的流入和流出流量。當該IP存在于出入兩方向，則用該IP作為真實IP地址。使用該ＩＰ地址上傳到國家中心，針對全國ＩＰ的進行全國流量排名，流量最多的省份為該ＩＰ所在省份，并矯正全網(wǎng)的地址信息庫。這兩部分內(nèi)容聯(lián)合組成本省的活躍ＩＰ信息。該ＩＰ信息每日更新一次，并推送給用戶。

活躍IP地址統(tǒng)計系統(tǒng)安全性設計（1）軟件系統(tǒng)安全主機操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)定期自動做備份；開發(fā)、測試系統(tǒng)與生產(chǎn)系統(tǒng)嚴格分開；數(shù)據(jù)傳輸、處理有校驗功能和較強的糾錯功能。（2）網(wǎng)絡系統(tǒng)安全對非法的外部登錄系統(tǒng)能告警。網(wǎng)絡登錄應受到監(jiān)控，對反復試驗密碼的行為系統(tǒng)能告警系統(tǒng)的各級登錄密碼嚴格管理。網(wǎng)絡登錄密碼定期更換。（3）數(shù)據(jù)安全數(shù)據(jù)庫本身有較強的安全機制；數(shù)據(jù)安全性能達到相關標準的級別；數(shù)據(jù)庫的用戶名和密碼應與操作的用戶名和密碼不同；數(shù)據(jù)庫級，系統(tǒng)應用級數(shù)據(jù)按照數(shù)據(jù)備份制度定期備份；數(shù)據(jù)庫有較強的故障恢復能力；內(nèi)部數(shù)據(jù)查詢應對不同的人員設定不同的級別，每人只能查詢與自己相關的數(shù)據(jù)。(4)應用級安全提供基于業(yè)務規(guī)則控制的系統(tǒng)應用安全措施。支持根據(jù)業(yè)務的要求設置功能控制點，對每一個功能控制點實施權限控制。支持根據(jù)系統(tǒng)功能應用的具體情況，對于應用系統(tǒng)的某些處理模塊和某些功能的使用權限、登錄用戶對于數(shù)據(jù)字典的訪問權限、應用系統(tǒng)操作人員不同角色的處理權限等，實施權限控制。提供操作日志和審計功能，記錄操作員進入和退出的時間，記錄每項重要的操作。匯報內(nèi)容：投標人簡介項目建設方案項目報價與進度安排序號名稱型號和規(guī)格制造商/型號分項價1防火墻支持并發(fā)連接數(shù)1600000，網(wǎng)絡吞吐量2Gbps，網(wǎng)絡端口4個10/100/1000BASE-T接口和4個SFP插槽，支持VPN天融信GFW4000-UF

2×5萬元2UTM安全網(wǎng)關8個千兆電口主機防火墻:安全規(guī)則下發(fā),進程訪問控制,攻擊防護,流量管理,外設管理；完整的IPS攻擊特征庫:系統(tǒng)預定義>2000種；防拒絕服務攻擊:抵御多種DoS/DDoS攻擊,檢測并阻斷常見的木馬程序和后門軟件應用流量識別與控制支持P2P、流媒體等多種應用；啟明星辰USG-800

1×28萬元3網(wǎng)絡安全審計系統(tǒng)部署管理:采用旁路部署方式對原有網(wǎng)絡不造成影響；數(shù)據(jù)庫審計支持:Oracle,SQL-Server,DB2,Informix,Sybase,MySQL,PostgreSQL,Teradata,Cache；文件共享審計支持:網(wǎng)絡鄰居審計,NFS協(xié)議審計運維審計支持:Telnet協(xié)議,FTP協(xié)議,Rlogin協(xié)議,Radius協(xié)議啟明星辰天玥CA3001×12萬元硬件設備報價總報價175萬，其中硬件設備50萬，軟件系統(tǒng)125萬1網(wǎng)站安全監(jiān)測系統(tǒng)實現(xiàn)重保網(wǎng)站的漏洞監(jiān)測，基于OWASPTop10漏洞對網(wǎng)站W(wǎng)eb應用進行安全漏洞掃描。實現(xiàn)重保網(wǎng)站的被黑行為監(jiān)測，包括掛馬、篡改、暗鏈、后門等被黑特征的監(jiān)測。通過特征比對的方式，發(fā)現(xiàn)網(wǎng)站漏洞、被篡改、被掛馬等網(wǎng)絡安全事件。博雅軟件股份有限公司

40萬元2異常流量監(jiān)測系統(tǒng)自動監(jiān)測發(fā)現(xiàn)IDC內(nèi)的DDoS攻擊流量、NTP流量、DNS服務器解析流量、重點網(wǎng)站流量等。針對監(jiān)測對象的數(shù)據(jù)業(yè)務需求，及時以及定時推送數(shù)據(jù)結果。自動記錄采集機上收到的運營商流量PPS，并定期自動比對監(jiān)測流量與運營商側(cè)流量。博雅軟件股份有限公司

40萬元3安全事件展現(xiàn)子系統(tǒng)對來自各網(wǎng)安業(yè)務系統(tǒng)的基礎事件數(shù)據(jù)，實現(xiàn)網(wǎng)安事件的動態(tài)、實時、一體化展現(xiàn)功能。博雅軟件股份有限公司

15萬元4預警推送子系統(tǒng)在數(shù)據(jù)中心的基礎上，通過對海量安全事件數(shù)據(jù)進行綜合展現(xiàn)、分析與比對，根據(jù)預設的事件危害等級，實現(xiàn)重點網(wǎng)絡安全事件的實時告警功能。博雅軟件股份有限公司

15萬元5系統(tǒng)運維管理子系統(tǒng)完成對已有網(wǎng)絡安全手段運行狀態(tài)的可視化管理，監(jiān)測服務器配置信息、服務器運行狀態(tài)、進程信息列表、重要程序運行狀態(tài)、資源使用率，并實現(xiàn)對系統(tǒng)異常狀態(tài)的實時告警。博雅軟件股份有限公司

15萬元軟件系統(tǒng)報價序號項目階段開始時間結束時間任務內(nèi)容人員要求

江蘇通管局博雅公司1功能設計2014.11.302014.12.051、系統(tǒng)功能設計2、系統(tǒng)需求分析項目開發(fā)小組業(yè)務負責人項目設計小組需求調(diào)研小組2功能編碼修改2014.12.062014.12.201、編寫系統(tǒng)功能代碼項目開發(fā)小組項目設