气象信息安全防护体系项目方案

(意见征求稿)深圳市气象局2019年6月目录1.
项目背景-1-2.
现状分析-1-2.
1政策文件分析-1-2.
2等保差距分析-1-2.
3其他安全现状-1-2.
3.
1云安全现状-1-2.
3.
2无线WIFI安全现状-2-3.
业务需求-2-3.
1网络安全监测预警技术平台建设需求-2-3.
1.
1资源管理需求-2-3.
1.
2安全接入统一管理需求-2-3.
1.
3实现安全事件处置功能-2-3.
1.
4漏洞发现需求-3-3.
1.
5数据库审计需求-3-3.
1.
6问题管理需求-4-3.
1.
7高级持续威胁分析需求-4-3.
1.
8WEB安全监测需求-5-3.
1.
9智能阻断功能-5-3.
1.
10SSL证需求-5-3.
1.
11系统自身管理需求-6-3.
1.
12无线WIFI管控建设-6-3.
1.
13安全管理移动办公需求-6-3.
1.
14安全管理大屏展示需求-7-3.
1.
15云防护需求-7-3.
1.
16政策合规需求-7-3.
2平台运营管理需求-9-4.
建设内容和目标-9-4.
1建设目标-9-4.
2建设内容-10-5.
整体设计-11-5.
1设计原则-11-5.
2平台总体架构图-14-5.
3平台总体部署图-15-5.
4云安全服务平台设计-15-5.
5信息与接入安全管理平台-34-5.
6安全态势感知服务平台设计-49-6.
资源需求-51-7.
规格要求-54-7.
1安全监测及分析引擎规格要求-54-7.
2威胁综合评估引擎规格要求-56-7.
3云平台安全监测及防御引擎规格要求-65-7.
4数据库审计规格要求-71-7.
5无线AP规格要求-79-7.
6无线AC规格要求-83-7.
7交换机规格要求-83-8.
项目组织及计划-85-1.
项目背景随着信息技术日新月异的发展,近些年来,深圳市气象局在信息化应用和要求方面也在逐步提高,信息网络覆盖面也越来越大,各种网络与信息系统安全问题也逐渐暴露出来.
习近平总书记"在网络安全和信息化工作座谈会上的讲话"(2016年4月19日)提到:"网络安全是整体的不是割裂的;网络安全是动态的而不是静态的;网络安全是开放的不是封闭的;网络安全是相对的不是绝对的.
"网络安全的威胁形式和攻击手段在不断变化,仅部署安全设备和安全软件就想永保安全的想法已不合时宜,需要树立动态、综合的防护理念.

因此,信息安全的是一个动态的、整体的安全,随着业务的发展和外界安全威胁的不断发展,例如:网络攻击、病毒传播、垃圾邮件、隐私盗取等等,亟需对现有的安全防护手段进行梳理、调整和加强,从全局出发,整合、协调各种安全设备、人员队伍,使之能够共同协作,发挥作用,建立面向气象局的全网络安全气象安全服务平台势在必行.

2.
现状分析2.
1政策文件分析根据《关于深圳市"护网2018"网络安全攻防演习的情况通报》([2019]第1期)、《深圳市新型智慧城市建设总体方案》(深经贸信息信息字[2018]24号)《关于落实2019年网络安全重点任务的通知》(深网安通[2019]7号)要求,持续推进网络安全体系建设,搭建网络安全监测预警技术平台,实现对网络与信息安全态势的动态感知和即时响应,形成实时发现、及时预警、跟踪处理的闭环防护机制.

2.
2等保差距分析目前深圳市气象局的二级信息系统在信息安全等级保护2级测评中基本符合要求,但也存在部分问题.
在应用与数据安全层面上,我局缺乏对应用系统和数据库进行审计的工具,存在发生安全事件时无法追溯相关线索的风险;在数据传输和存储过程中无法保证数据的完整性和保密性,存在被黑客攻击的威胁.
在安全管理制度层面需持续根据我局安全现状对相关管理制度和应急预案不断完善和修订.

2.
3其他安全现状2.
3.
1云安全现状随着"互联网+政务"服务的推广与普及,气象局的服务系统逐步迁移至公有云、政务云,大量"信息系统飞地"出现,给气象局信息安全带来巨大挑战,主要问题如下:气象局本地安全防护体系无法对云上业务系统提供安全防御.
上系统安全状况无法得到实时有效的监管,出现安全事件不能及时预警.

2.
3.
2无线WIFI安全现状目前深圳市气象局搭建了自己的WIFI,有认证准入系统,通过短信认证或申请授权进行WIFI连接,但未采取措施对无线WIFI进行审计.

3.
业务需求综合分析深圳市重要政策文件和国家等保要求后,需要重点建设的内容项目项:对气象局的信息化安全进行统筹,建设网络安全预警监测技术平台,持续推进安全管理机制建设.
在满足等级保护、市绩效管理办法、联合检查等国家及深圳市政策要求的基础上,结合新的安全技术,完善安全体系建设,达到业务稳定运行,不出事、不被通报的目的.

3.
1网络安全监测预警技术平台建设需求3.
1.
1资源管理需求资源管理是深圳市气象局网络安全安全服务平台的核心模块,组织并存储了安全服务平台所管理的资源信息.
资源管理包括业务系统管理和网络安全设备资产管理.
其中,资产管理包括资产建模和具体资产信息存储功能,它是其它功能模块针对资产信息进行获取、分析的基础.
比如安全事件管理模块中,安全事件要与资产信息进行关联,分析过程要参考资产的属性,配置检查需要资产属性信息参与,分析展示需要资产位置、业务关系等信息.
总之,资源管理是安全服务平台的覆盖范围的资产集中存储与管理的模块,所有资产相关信息均由此模块提供.

3.
1.
2安全接入统一管理需求气象局网络涉及内部人员在外办公、外部单位用户接入等,存在大量通过互联网、电子政务网、移动互联网等形式接入气象局业务网络需求.
为了保证不同类型用户接入安全,目前气象局采用VPN、堡垒机等措施保证不同类型用户接入安全,需要对类型安全接入设备接入信息进行统一管理、统一预警.

3.
1.
3实现安全事件处置功能3.
1.
3.
1安全事件管理对安全事件进行分级分类展示,方便各级信息安全管理员按照安全事件严重程度进行分析,如果确认为需要调查处置的安全事件,转入安全处置流程.
并跟踪安全事件的处置流程.

3.
1.
3.
2安全事件处置对于在事件管理中确认为需要调查处置的安全事件或系统检测到的安全威胁,生成任务处置工单,在相关安全管理员完成调查处置后填报处置结果,并支持在安全设备上以下发规则等方式进行自动化联动处置.

3.
1.
3.
3基线核查需求深圳市气象局近百余业务系统运行在规模庞大、结构复杂的各类IT基础设施上,除了采用先进信息安全防护技术与存储手段对设备进行主动防护外,还需要依托安全服务平台建立脆弱性管理模块,对系统配置进行检查和修复,实现对IT基础设施的全面安全防护,保障业务基础支撑资源受到完善的安全防护管理.

深圳市气象局期望能够对基础设施进行安全合规性检查,可以将发现的问题下发给问题单位,并要求其限期整改,同时对整改的结果及时复核;同时,期望能够对整改的过程进行跟踪,便于后续的问题管理和绩效考评.

3.
1.
4漏洞发现需求能够扫描到基础设施上存在的安全漏洞,实现对主流操作系统、网络设备、数据库和中间件的漏洞发现能力,并在平台进行统一分析和展示.

客户期望能够掌握安全漏洞的整体情况.
系统提供最近一次检查得到的不同级别的漏洞的分布情况、漏洞的类别的功能,提供查看漏洞的详细信息的功能,同时以图表的形式,展示现有漏洞的等级、数量、类型等分布情况,便于用户从整体层面把握安全漏洞业务的实际情况,利于后续分析处置,效果直观易懂.

3.
1.
5数据库审计需求气象业务复杂,大量气象业务数据、气象服务数据、个人数据存储于不同类型数据库,存在由于业务操作引发的数据库非法访问,应用模块在非设定的工作站上发生了相关操作引发的数据库访问,业务系统之外的仿冒应用程序对业务数据库等潜在风险.
需要能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,对攻击行为进行阻断.
它通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根溯源,同时加强内外部数据库网络行为记录,提高数据资产安全.

3.
1.
6问题管理需求为了确保安全运维工作的规范性和时效性,客户期望能够通过安全服务平台系统对系统中发现的问题进行统一的下发,落实问题定位、责任到人的管理流程.
将现有的线下问题通报流程线上化,遵守有据可查、有章可依的管理制度,为业务运行保驾护航.

其主要诉求在于:规范化:通过安全服务平台落实问题的管理工作,规范化运维工作中的问题处置的流程.

系统化:通过安全服务平台系统对不合规项、漏洞等问题进行统一的管理,提升工作效率.

可跟踪:通过安全服务平台系统对问题的处置情况跟踪,了解问题处置现状.

提升效率:通过安全服务平台系统支持漏洞、脆弱点等问题的管理工作,规范工作流程,实现数字化的问题管理体系,有效提升工作效率.

3.
1.
7高级持续威胁分析需求3.
1.
7.
1病毒木马高级持续性威胁监测通过部署高级安全设备,实现对互联网出口端的全流量数据采集和深度分析,将分析后的数据传送至大数据平台,结合威胁情报数据进行深度关联分析,构建机器学习模型,发现其中的攻击事件.
利用网络流量分析技术,异常访问定位技术、邮件社工分析技术、恶意文件分析技术、动态行为分析技术、云端的高级分析和威胁情报技术来分析检测发现APT攻击,极大提高APT攻击检测的成功检测率和减少误报情况.

3.
1.
7.
2威胁变种检测通过结合防病毒软件、恶意文件检测系统实现,对恶意文件、恶意代码的检查能力,定位利用文件进行攻击的攻击路径和感染的终端、系统等检测.

3.
1.
7.
3安全事件溯源结合威胁情报库,攻击路径溯源模型,可视化展示对单位网络威胁程度较高的攻击者,并展示该攻击者的攻击路径,定位到安全事件的责任人.

3.
1.
7.
4漏洞信息态势分析通过导入扫描设备的报告和结合安全威胁情报库数据,进行单位网络漏洞信息的态势分析,分析整体网站系统的漏洞方面展示系统自身脆弱性情况.
以漏洞维度、资产、重要资产维度进行漏洞态势分析和可视化.

3.
1.
8WEB安全监测需求WEB应用的网页挂马、SQL注入、XSS跨站脚本攻击是木马、病毒传播的主要途径之一.
WEB应用依赖的各种系统漏洞和软件漏洞的更多的暴露,通过挂马和脚本植入等入侵行为的可能性随之增加,用户只要浏览该应用,就会造成木马感染.
黑客通过SQL注入攻击或XSS跨站脚本攻击等手法入侵网站系统,进而篡改网站网页或数据库的内容,将对用户信息安全和网站管理机构造成恶劣影响.

WEB安全检测能够及时掌握网站的安全状态和现状,针对重要网站的运行情况,实现网站的可用性、网站的安全性、网站的完整性三方面的检测功能.
实现了定期对指定网站发起扫描,获取网站漏洞信息;同时监控指定网站的页面,对挂马、敏感词或页面篡改等安全事件做出及时响应,进而提高网站的可靠性和服务质量.
通过建立长期的跟踪机制,对安全态势的发展和变化进行分析,进而为后期安全运行工作改进提供支撑.

3.
1.
9智能阻断功能由于目前气象局业务系统较多,而负责安全工作总体人员紧张,日常的工作中往往对于发现的问题疲于奔命,而治理平台所发现的不合规网站、含有重大漏洞、重大安全隐患的Web系统,都是我们需要进行查看的.
为了高效的处理相应问题,避免出现重大安全事故,需能够智能进行阻断的系统,将风险点及时阻断在气象局内容.

3.
1.
10SSL证需求随着"气象+互联网"服务的不断发展,气象大量对公服务网站系统接入互联网对市民提供气象负,由此带来安全问题引发的事件也越来越频繁,通过"钓鱼"网站进行欺诈的行为、用户在网站提交的信息被黑客窃取造成的泄密事件层出不穷,这对网站的所有者及其用户的利益都造成了严重危害.
需要通过建立服务器证书利用鉴证与技术双重手段,一方面将网站所有者和网站一一对应,并用简单直观的方式让用户在页面上就可以查看相关信息,另一方面对用户和网站之间的信息传输实施加密,确保这些信息的安全.

3.
1.
11系统自身管理需求系统管理主要实现对深圳市气象局网络安全服务平台自身的配置、sensor管理,为了方便系统管理人员更好的配置和使用安全服务平台,系统管理包括但不限于以下功能:(1)系统必须使用中文操作界面.
(2)管理界面友好,符合中国人使用习惯.
(3)能够设置用户权限,方便系统管理员进行管理.
(4)具有基于客户对象的角色定义,支持用户角色机制.
(5)系统具有良好的冗余性,关键数据和功能模块支持热冗余,保证系统及数据的可用性和连续性.

(6)系统各组件间使用安全的传输协议,管理操作以安全方式连接.
3.
1.
12无线WIFI管控建设随着移动终端的普及,移动智能终端逐渐成为了人们不可或缺的工具移动政务将是公务员现在及将来的迫切需求和电子政务发展的新趋势.
但随着移动用户数量的激增,互联网技术的广泛应用,以及各类公共服务需求的增加,目前气象局无线网络带宽承载及覆盖范围均已不能满足现有移动办公、室外智能气象设备信息传输及信号覆盖范围需求,亟需改建扩容.

3.
1.
13安全管理移动办公需求通过移动办公应用系统将主要安全设备的监测数据、预警数据、日志记录等数据通过不同的提示窗口展示到界面中,把分散的数据集中管理,协助用户及时发现网络安全问题,快速定位事件位置.

移动办公应用可将日常工单业务信息化、电子化、流程化、规范化,通过软件中的角色设置、节点流转反向推动部门工作科学合理的执行,最终形成处置迅速、执行高效的工作机制.

移动办公应用能够将历史记录统一管理,通过统计的形式分类查看各类事件的阶段数据,以便于工作回顾.
历史数据的整理也能够形成宝贵的知识库,可作为同类业务处置决策的重要依据及参考资料.

3.
1.
14安全管理大屏展示需求目前网络安全管理工作中存在系统过于分散、数据功能重合、监测误报率高等问题,无法直观全面及从不同维度了解网络安全的现状,无法感知在未来一段时间内的网络安全发展趋势,给目前的工作增加了更大的难度.
通过态势感知大屏可视化系统,能够将气象局已部署或将要部署的安全设备的监测数据集中分类展示出来、将流量数据、日志数据、资产数据有效整合,将威胁、脆弱性、风险等多种因素关联分析反应出整体安全状况.
让管理人员直观了解安全现状,在发生安全事件时能够起到辅助决策的作用.

3.
1.
15云防护需求目前气象局大量便民系统部署于公有云,传统的硬件形态边界安全设备,如防火墙、IPS、WAF等安全产品难于在云上部署,且无法实现云环境内部东西向流量之前的访问控制,不能有效地提供针对应用攻击完善的防御能力.
针对云环境应用攻击,须采用专门的机制,对云上系统进行有效检测、防护,整体提升气象业务系统安全性.

3.
1.
16政策合规需求在2017年颁发的《中华人民共和国网络安全法》中明确规定了法律层面的网络安全.
具体如下:"没有网络安全,就没有国家安全",《网络安全法》第二十一条明确规定"国家实行网络安全等级保护制度".
各网络运营者应当按照要求,开展网络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作.
除此之外,《网络安全法》中还从网络运行安全、关键信息基础设施运行安全、网络信息安全等对以下方面做了详细规定:网络日志留存:第二十一条还规定,网络运营者应当制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;采取防计算机病毒、网络攻击、网络侵入等危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施,留存不少于六个月的相关网络日志;采取数据分类、重要数据备份和加密等措施.
未履行上述网络安全保护义务的,会被依照此条款责令整改,拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款.

漏洞处置:第二十五条规定,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告.
没有网络安全事件应急预案的,没有及时处置高危漏洞、网络攻击的;在发生网络安全事件时处置不恰当的,会被依照此条款责令整改,拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款.

应急演练:第三十四条第四项规定,关键信息基础设施单位应当制定网络安全事件应急预案,并定期进行演练.
没有网络安全事件预案的,或者没有定期演练的,会被依照此条进行责令改正.

安全检测评估:第三十八条规定,关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门.
每年没有进行安全检测评估的单位要被责令改正.

监测预警:第五十二条负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息.

《关于深圳市"护网2018"网络安全攻防演习的情况通报》要求持续推进网络安全制度建设,搭建网络安全监测预警技术平台.

《深圳市新型智慧城市建设总体方案》(深经贸信息信息字[2018]24号)中要求构建网络与信息安全检测预警平台,实现对网络与信息安全态势的动态感知和即时响应,形成实时发现、及时预警、跟踪处理的闭环防护机制.

《关于落实2019年网络安全重点任务的通知》(深网安通[2019]7号)要求加快网络安全预警监测技术平台的建设,实时监测基础网络与网络系统的运行状态;制定或修订信息安全管理制度,完善应急预案.
并要求单位"一把手"签署《履行网络安全主体责任构建清朗网络环境承诺书》;3.
2平台运营管理需求任何工作的有序和高效开展都必须有配套的规范体系作为支撑,明确深圳市气象局络与信息安全监测的范围、内容、目标,各相关单位配合的事项和工作机制.
事件的上报流程,事件处置工作开展的资源、流程、措施等.
所以,安全态服务平台的配套运营规范体系建设工作也是本次项目的重要建设内容之一.

4.
建设内容和目标4.
1建设目标深圳市气象局网络安全服务平台建设项目通过安全事件监测、汇总、分析和安全管理流程整合,建立起包括事件预警、事件分析和安全管理等一体化集中管控和安全运行的自动化支撑平台,从而更好的支撑深圳市气象局的网络安全建设管理,并构建由人、技术和管理三个元素组成的安全运行组织体系,形成深圳市气象局网络安全事件事前预警分析、事中处置监控、事后总结追溯的闭环安全运行管理体系.

依据等级保护的思想和适度安全的原则,将信息安全风险管理目标转化为可测量、可验证的信息安全风险管理指标体系,并以其为依据,全面收集与信息安全风相关的风险事件数据,综合分深圳市气象局IT系统所面临的信息安全风险,指导、监督、检查信息安全措施的执行和落实情况.
通过安全服务平台建设,最终达到提升深圳市气象局信息安全综合管控能力,保障生产系统安全可靠运行的目标.

本项目的具体目标如下:集中监控:深圳市气象局网络安全服务平台通过网络安全相关设备上发现的威胁事件进行集中监控处置,实现对各类安全事件的快速定位和分析处理,甄别源头和成因、还原事件的发生过程、评估事件的影响范围、为安全监控运维管理提供可依据的技术手段.

集中运维:深圳市气象局网络安全服务平台借助流程化的安全运维处理机制,实现各类安全运行维护问题的集中下发、处理、跟踪和复核,能够有效的支持安全运维工作.

集中管理:目前深圳市气象局网络中部署了具备独立防护功能的安全相关基础设施,但在防护功能上相对独立并缺少联系,所以需要通过集成化的平台技术手段实现对各类异构安全防护系统的集中化管理,实现网络、系统、应用各层面安全防护系统的集中接入和运行状态的集中管理,将原本孤立的安全防护手段纳入到统一的平台管理架构中.

4.
2建设内容网络安全监测预警技术平台由安全云防护平台、信息接入与安全管理平台和安全态势感知服务平台3部分组成,具体内容如下:4.
2.
1安全云防护平台深圳市气象局各类不同类型业务分别承载于公有云、政务云,本地网络等不同网络环境,对于这类混合型网络缺乏各承载部分系统网络安全性的统一监测管理能力,建设云安全防护平台为此类同时构建于公有云、政务云、本地网络不同网络环境的Web系统提供7*24小时实时安全监测的安全平台.

4.
2.
2信息接入与安全管理平台目前,气象数据已经与多家组织机构建立数据互通,但数据交互方式不同,安全防护手段也不统一.
例如,我局与其他政府部门如规土委、海洋局之间的通信都是采用专线接入的方式,我局目前与其他组织机构之间的专线总共有十几条,不同专线的用户访问我局内网时所具备的访问权限也是不同的,如国土局在访问我局网络中的应用时,只能访问决策外网,不能访问其他应用,而海洋局通过海洋局专线访问我局则只能访问数据中心,不能访问其他应用.
相互孤立的连接方式,多样化的访问权限需求,使得网络的安全防护变得更加困难.

我局内网中有许多的应用系统,其中部分应用系统的重要数据需要和国内外其他机构活或企业进行共享交流,这些机构或企业的人员也可能接入我局系统访问我局数据,目前我局VPN、准入控制、堡垒机等安全接入、审计设备单独进行设置的访问权限控制机制进行管理授权,不仅工作量巨大、效率较低,容易出现错漏,而且难以进行统一管理审计.
所以,需要建设一个统一的接入管理平台,实现集约化的访问权限控制.
同时需要对接入网络各类设备、终端、系统的安全性进行综合评估,确保各类设备接入的安全性.

通过建设信息与接入安全管理平台可实现对通过VPN、准入控制、堡垒机等不同类型接入用户账号登录、退出状态、异常接入等事件进行统一管理审计.
同事根据气象局实际网络安全业务管理实际需求,在安全监测治理的基础之上定制开发实现安全事件监测、分析和安全管理流程整合,建立起包括事件分析、风险分析和安全管理等一体化集中管控和安全运行的自动化支撑平台,从而更好的掌控我局全网系统的整体态势,并构建由人、技术和管理三个元素组成的安全运行组织体系,形成我局事前防范、事中监控、事后追溯的闭环安全运行管理体系.

4.
2.
3安全态势感知服务平台依据《深圳市党政机关、事业单位和国有企业互联网网站安全专项整治行动方案》的通知(深公(网)字[2015]272号),安全态势感知监控通报平台是未来网络安全建设的重中之重.
另外我局网络与安全突发事件应急处理预案中要求对信息安全事件进行有列别分析和告警,但是目前我局并没有安全态势感知的相关设备,无法实时主动监测网络中存在的安全隐患,不能有力协助我局实施突发事件应急处理.

设计安全态势感知平台实现我局内部不同品牌安全设备集中管理,同时设计针对未知威胁的高级威胁的安全态势检测分析引擎,实现对变种木马、变种病毒、勒索病毒的等高级威胁的检测于分析能力,做到"事前发现,提前防御",在网络中的安全威胁对用户造成实际损失之前及时发现安全威胁,并做好对应的安全防护策略,真正做到"防患于未然".

5.
整体设计5.
1设计原则为保证平台能够切实有效的满足气象局提出的系统建设要求,符合气象局网络安全建设的现状,本系统在设计和建设过程中,应当遵循如下基本原则:5.
1.
1统一规划,分步实施任何信息系统的建设必然是一个渐进的过程,是一项系统工程,尤其对于气象局这样的国家事业单位来说,气象业务信息化处于高速发展阶段,单位的网络安全管理思想也在不断完善之中,如何在系统的设计中,制定有普遍意义、同时又能够充分考虑单位不同发展阶段、不同业务的特性的安全平台建设方案,有利于规避风险、取得预期效果.
本平台涉及到的技术复杂、用户面广,在系统实施前进行充分的论证,做出整体规划是也是必要的.

5.
1.
2技术的先进性、标准化系统所采用的技术必须具有先进性和前瞻性,以确保在未来3-5年内不落后,以适应气象局未来网络安全建设方针.
现有信息安全技术的发展越来越快,为了使该平台在未来运行过程中其技术能和整个信息技术的发展同步,系统应具备灵活适应性和良好的可扩展性,系统的结构设计和产品选型要坚持标准化,首先采用国家标准和国际标准,其次采用广为认可的实用化工业标准,要从工程的角度对系统进行整体规划,支持各类开放的技术与标准,不能陷入任何一种单一技术标准及架构中.

5.
1.
3安全性、可靠性服务平台作为单位网络安全运营管理的首要工作平台,系统的安全性和可靠性是必须得到保证的.
在系统的设计上要充分考虑大量硬件设备、软件系统和数据信息资源的实时服务特点,要保证网络、系统、数据的安全,保证系统运行的可靠,防止单点故障;安全管理要充分考虑安全、成本、效率三者的权重,并求得适度的平衡,不能一味的追求安全性而不顾带来的成本增加和效率损失;对整个系统要有周密的系统备份方案设计,有效的防止因数据丢失而造成的损失;采取必要措施防止数据丢失,保证数据的一致性,保证系统运行过程中的高可靠性;对于重要数据,系统应提供良好的密级管理,实现在数据存储和数据传输过程中的加密防护.
5.
1.
4可管理性、可维护性平台在技术层和应用层都应提供设计良好的管理工具,通过多层次的、方便而有效的管理手段,为平台正常运行提供技术管理保障.

从技术角度考虑,系统的各个技术层面都能够提供人机界面友好的可视化管理工具,确保从前端引擎到平台软件的各个系统技术层面,系统管理员都能够方便的管理、配置和监控.
5.
1.
5灵活性、可扩展性随着单位发展的需要,不可避免地需要进行单位机构及人员的调整,系统应提供充分的变更与扩展能力,系统应能够同时支持集中式或分布式的体系框架,支持功能的调整、迁移和再分布,以适应单位不断发展变化的要求.

平台的技术方案要能将现有各种安全防护资源有效地集成在一起,系统的结构要合理,要具有良好的可扩展性,由于网络安全领域技术发展十分迅速,应用环境安全设备硬件及系统软件都会不可避免将被更新,因此系统的可扩充性及版本的兼容性好坏,直接影响着平台系统和用户需求的发展和功能的提升.
因此,平台应能比较容易地适应调整、扩充和删减;另一方面,它还要有与其它系统的接口能力,利用各系统功能之长,进行优势互补.
5.
1.
6经济性、实用性在保证平台所采用的技术的先进性的同时,也应当充分考虑先进性与实用性的统一,对于任何一种技术的选择,都要充分考虑到技术的性能价格比.
既要保证当前平台的高可靠性,又能适应未来技术的发展,满足多业务发展的要求.
要本着"有用、适用和好用"的原则,不片面追求硬软件设施的先进性,强调整个系统具有最佳的性能价格比.
系统建设方案采用的技术在考虑先进性的同时,也要坚持实用的原则,在满足性能价格比的前提下,坚持选用符合标准的、先进成熟的产品和开发平台.

5.
1.
7兼容性、开放性系统的整体体系架构应具有良好的兼容性,首先系统不能限定系统所选用的硬件平台,其次对于与其他系统之间的接口,也应能够支持不同的技术标准,使得整系统可以具有相对灵活的配置和运行环境.
5.
1.
8易用性、适用性为了确保单位中具有不同网络安全专业水平的人员均能够对本系统快速地掌握并进行方便地使用,要重视用户界面的友好性和方便性.
重点考虑用户使用上的接受程度,要求开发出的应用软件系统具有友好的用户界面,易于上手,便于使用.
同时注重系统功能的适用性,不片面强调系统功能的多样性,使构建的系统具有高的性价比.

5.
2平台总体架构图气象服务平台框架主要包括组件化平台建设、平台运营管理体系建设、平台运行服务体系建设.

气象服务平台运营管理体系内容包括平台管理制度、角色和责任、及一系列操作规程与规范,确保服务平台在展示层:组件化平台建设内容主要包括pc端管理和展示模块,移动应用端管理和展示模块和大屏管理和展示模块.
Pc端进行业务功能操作,包括报表统计、业务流程定制、实时监控数据展示和通用操作功能.
移动应用主要支撑领导审批决策业务,提供实时数据统计展示以及整体安全状况展示,能够接受告警信息.
大屏模块是辅助决策的一种实现手段,通过大屏系统是实现各类数据综合统计、整体安全状况动态展示以及告警定位等功能.

业务层:组件化平台提供安全监测预警能力.
同时提供预警发布子系统,主要进行预警信息数据分析、预警信息发布、预警信息定向转发和预警信息跟踪归档等功能.
作支撑服务提供通用业务处置能力,包括预警管理功能、资产管理功能、信息通报功能、任务管理功能、系统上线审核功能、安全核查管理功能、事件处置功能等.

数据与应用支撑层:定义数据传输接口,接收前端安全设备所上传各类安全基础数据,利用领先的大数据、AI等技术进行数据关联分析、统计排名、趋势预测、业务流转等平台核心逻辑运算,起到平台引擎的作用.

设备层:通过各类网络安全设备提供专业化网络安全保障并为平台提供资产、预警、安全事件等不同类别数据源供平台进行安全关联、态势预测等大数据分析.
有综合安全威胁评估引擎、高级持续威胁检测引擎、WEB综合治理引擎、VPN、堡垒机和其他支撑设备等.

5.
3平台总体部署图在核心交换机旁路部署云平台安全监测引擎、高级持续威胁检测引擎、数据库审计,在安全管理区部署安全接入威胁综合评估引擎,信息安全管理平台软件.

5.
4云安全服务平台设计5.
4.
1云平台安全监测引擎深圳市气象局各类不同类型业务分别承载于公有云、政务云,本地网络等不同网络环境,对于这类混合型网络缺乏各承载部分系统网络安全性的统一监测管理能力,云平台安全监测引擎为此类构建不同网络环境的Web系统安全安全监测精心研发的一款治理型引擎,可为公有云、政务云、混合云系统提供7*24小时实时安全监测的安全平台.

其通过资产发现、漏洞扫描、旁路阻断、WEB系统安全监测等技术以及完善的网站及业务系统备案制度,形成网站及业务系统的全生命周期管理.
帮助客户主动发现全网在运网站(包含私搭滥建),实现如下功能:(1)建立平台化符合公安的网站安全准入备案制度监控网站日常运营状态(包含安全性、合规性、可用性).
(2)实时查看各个网站的流量状况,发现僵尸网站和被恶意探测的网站.
(3)主动探测各个服务器的指纹信息,更全面掌握服务器的信息.
(4)建立统一管理、监测、防护平台,满足2562号文件中的相应要求.
Web资产安全治理引擎,能够主动发现内部网站及业务系统,并通过备案机制可自动阻断私搭滥建以及退运网站或系统.
并将上线安全检查与备案系统相结合,简化工作流程,使网站及业务系统的安全状态一目了然.
治理平台提供网站安全的日常监控,包含脆弱性管理,篡改监控、暗链/黑链、网站后门、webshell等安全问题,并提供专业的修补意见.

并且提供网站监控平台7*24小时不间断监控,保持监控的持续性.
突发攻击事件发生时,及时进行响应与处理,构建完善的网站安全体系.
对于大范围的网站利用自动化的技术手段进行管理监控,减低人工成本.
通过统一的指标进行全方位监控,为统一管理、监测、防护提供技术依据和关键指标.

5.
4.
2网站云防护对于迁移到公有云、政务云的系统,气象局本地安全防御系统无法对云上业务系统提供有效的安全防护,抵御外来攻击,在结合云平台安全监测引擎提供的各类云安全监测能力的前提下,针对云业务系统设计针对性的安全防御措施.
云平台安全防御引擎以大数据为基础,基于安全自愈架构,为公有云、政务云Web系统提供全面安全保障的人工智能云防御平台.
可以为安全基础为0的Web系统提供100%的安全防御支持.
网站云防护系统功能特点如下:(1)规则防御针对全国攻击趋势,实时对云防御规则库优化和分发虚拟补丁程序.
防御功能和传统传统WAF类似,发现攻击行为就给云防护系统安装个针对性补丁,保证攻击防御的实时性.
全网的云防护系统都有完整的防护能力不用定期人工升级规则库.
(2)访问识别我国境内的Web系统尤其是国企和政府的网站多数情况下不需要外国用户访问.
一般来自外国的访问均为不怀好意者.
对境外访问进行区域控制,对来自境外的代理攻击进行全面阻断.
境外IP对我国进行访问进行记录,识别并杜绝境外代理.
可以指定白名单进行访问,可以指定时间段进行访问.

(3)自动攻击识别我们分析了互联网几乎所有(近百款)WEB自动攻击程序(扫描器、爬虫、僵尸网络等)几十种扫描器,根据攻击行为分析记录云防护系统可以自动识别、分析攻击者使用的是什么技术手段并直接屏蔽.

(4)防御联动云防御平台整体联动,对攻击IP进行全面封锁.
当攻击者A对网站B进行了攻击.
云防护系统会记录攻击者的行为.
并进行联动攻击防御,所有被云防护系统防护的网站都会屏蔽来着攻击者A的访问.
(5)安全评级云所有对被云防护系统防护的网站的访问行为都会被记录.
产生这些访问的IP都会被记录到云防护系统的安全评级云.
并依据访问行为进行安全评级,云防护系统会对每一个产生攻击行为的IP进行分类.
对于安全级别过高访问IP,云防护系统进行安全过滤,保证被防护Web系统的安全.
(6)整站锁特殊时期安全保护,敏感时期完全的安全保护.
云防护系统可以充当被保护网站的安全替身.
所有的访问、攻击行为都会直接发生在云防护系统上.
云防护系统会将被保护网站整体锁定,任何针对网站的攻击行为都会消弭无形.

(7)库带锁防撞库攻击,自动屏蔽敏感信息及关键词,并防止盗链和盗取信息.
(8)安全重塑云防护系统会对出站进站的数据进行对比校验主要包括:校验格式内容,图片元素,URL…….
一旦发现网站出现严重安全问题会用自身保存的网站内容对被破坏网站进行覆盖.
进行安全重塑.
保护网站信息不回被篡改.

(9)攻击溯源云防护系统通过对访问会话、相关数据节点和历史数据的关联分析,进行攻击溯源;根据对每天上百亿条访问日志的分析,我们标记和建立了全球30多万黑客的黑客档案库(包括手机号、邮箱、QQ号、银行卡账号、常用攻击工具、常用攻击手段等).
对重要攻击事件、时间、状态或重要网站,通过部署GhostX系统进行反向APT、数据取证并与黑客档案库进行联动分析得到详细结果.
可以进行攻击后的取证工作,日志永久保存.

(10)内容防护云防护系统对出站内容进行合规性检查,自动屏蔽和转译政治敏感信息和敏感关键词(所有页面).
专门针对危害极大的特殊攻击手段"撞库攻击"进行防御.
防止页面内容被抓取,防止网站被盗链.

(11)抗DDoS云防护系统拥有数百GB的海量带宽和内部高速传输网络有效抵御各类DDoS攻击、CC攻击.
5.
4.
3SSL证书全球服务器证书是数字证书的一种,可以理解为给网站颁发了一张身份证,一方面可以证明网站的真实身份,另一方面服务器证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道,实现数据信息在客户端和服务器之间的加密传输,可以防止数据信息的泄露,保证了双方传递信息的安全性.

其主要可以为用户提供两大保护:(1)确认网站真实性(网站身份认证):用户需要登录正确的网站进行在线购物或其它交易活动,但由于互联网的广泛性和开放性,使得互联网上存在着许多假冒、钓鱼网站,用户如何来判断网站的真实性,如何信任自己正在访问的网站,服务器证书将帮你确认网站的身份.

(2)保证信息传输的机密性:用户在登录网站在线进行电子交易时(如网络购物),需要多次向服务器端传送信息,而这些信息很多是用户的隐私和敏感信息,直接涉及经济利益或个人隐私信息,如何来确保这些信息的安全呢全球服务器证书将帮您建立一条安全的信息传输加密通道.

5.
4.
4云平台运营服务体系运维过程中保证系统能够安全稳定运行.
服务内容包括气象局网络安全服务平台涉及的相关安全设备运维、安全事件监控、安全事件处置等服务,包括系统维护服务、安全监控服务、安全加固服务、应急响应服务、安全通告服务,服务范围如下:(1)系统维护服务的运维范围包括安全服务平台、管理平台依赖的软硬件系统与安全设备.

(2)安全监控服务的范围包括安全服务平台、安全服务平台依赖的软硬件系统、安全设备以及安全态势感知平台覆盖的其它业务系统.

为了保障整个运行服务工作有序开展,需要组建专门的运营保障队伍,并设计好各项服务内容之间的关联关系,同时建立对应的管理制度进行规范化和标准化要求.

5.
4.
4.
1运行组织架构设计结合气象局网络安全服务平台的建设,安全运营工作将组建相应的安全运营团队,该团队由系统运维人员、事件监控人员(后台远程支持)、安全技术人员(后台远程支持)、应急响应人员(后台远程支持)和漏洞跟踪人员(后台远程支持)共同组成.

一、系统运维人员岗位职责:(1)负责气象局网络安全服务平台和相关子系统的安全运维、系统运维及网络运维等,保障业务安全可靠.

(2)负责协调外围技术人员或开发团队对气象局网络安全服务平台和相关子系统故障进行定位和修复.

(3)负责对气象局网络安全服务平台以及其所有相关设备进行软、硬件升级和维护等工作.

(4)根据气象局网络安全服务平台实际运行需求,负责平台各模块的功能、安全等方面的变更设计以及二次开发工作协调.

(5)负责气象局网络安全服务平台各个模块压力、性能、功能以及安全等方面的测试工作的组织协调工作.

团队人员能力说明:(1)熟练掌握气象局网络安全服务平台中的各厂商安全设备的使用,具备工作协调能力.

(2)熟悉现今市场主流的安全产品(例如启明星辰、绿盟、瑞星、天融信等相关安全设备,包括品牌型号、性能参数、部署方案等).

(3)了解VPN、IDS、防病毒、防火墙、网络监控、身份认证等基本原理,能够独立安装调试各类主流安全产品,熟练应用各类安全规则.

(4)具备良好的沟通能力,良好的团队合作精神,服从管理,适应一定程度的加班.

(5)数量掌握Windows、Linux操作系统使用,熟悉oracle、MYSQL数据库系统.
(6)熟悉Tomcat或WebLogic等主流应用服务器的部署、配置,熟悉java、C语言开发.

二、安全监控人员岗位职责:(1)负责通过气象局网络安全服务平台对气象局信息系统等各监控对象进行7*24小时的病毒监控、网络攻击行为监控、信息系统安全状态监控等.

(2)负责通过气象局网络安全服务平台对安全监控事件预警信息进行核查,以及安全事件的定位、分类、预定级等基础分析工作.

(3)负责整理当日报警信息进行统计汇总,并形成报警信息统计报告,向分析预警小组进行上报.

能力说明:(1)了解漏洞扫描、入侵检测和病毒防护等安全设备的基本原理和使用.

(2)熟悉网络基础知识及网络安全技术,了解主流的网络攻防技术.
(3)熟悉主流的Web应用安全技术.
(4)具有网络渗透测试和安全态势感知平台运维经验者优先.
(5)具有良好的表达能力和较强的沟通能力,有较好的文档撰写能力.
三、技术支持人员岗位职责:(1)对事件监控小组上报的安全事件进行分析和确认,判定事件的安全风险,确认安全事件等级,并将分析结果和处置建议进行上报风险管理小组.

(2)对每周的监控报警数据进行深层次分析,挖掘安全隐患,判断安全事件的影响程度,并对所有的安全事件进行归类、整理.

(3)对每月的监控报警数据进行深层次分析,挖掘安全隐患,判断安全事件的影响程度,并对所有的安全事件进行归类、整理,综合分析监控范围内的安全状态,与前期数据进行对比,挖掘广泛存在的安全问题,并对安全态势的发展进行预警.

(4)整理和分析月报数据,对全年报警事件类型网络攻击手段、常见问题原因、病毒爆发趋势等信息进行汇总,结合互联网安全态势情况,对监控对象总体安全态势进行分析,提出下一年信息化安全建设方向.

(5)负责提供安全事件的分析报告.
(6)对特定的安全事件或特定的安全时期进行专项分析.
(7)接受其他部门提出的安全技术支持申请,负责远程或现场技术支持工作.

(8)负责向其他相关部门和单位发送安全预警以及安全态势报告.
能力说明:(1)能够熟练使用漏洞扫描、入侵检测和病毒防护等安全设备.
(2)熟悉网络基础知识及网络安全技术,了解主流的网络攻防技术.
(3)熟悉主流的Web应用安全技术.
(4)具有一定的漏洞和攻击方法分析能力,可以判断漏洞和攻击可能造成的危害和影响.

(5)具有良好的表达能力和较强的沟通能力,有较好的文档撰写能力.
四、应急响应人员岗位职责:(1)负责提供安全事件的应急响应服务和故障处置服务.
(2)对特定的安全事件进行专项分析.
(3)接受其他部门提出的安全技术支持申请,负责远程或现场应急响应工作.

能力说明:(1)精通网络基础知识及网络安全技术,了解主流的网络攻防技术.
(2)精通主流的Web应用安全技术和攻击方法,可准确定位攻击方式和漏洞利用情况.

(3)具有一定的漏洞和攻击方法分析能力,可以判断漏洞和攻击可能造成的危害和影响.

(4)具有良好的表达能力和较强的沟通能力,有较好的文档撰写能力.
五、漏洞跟踪人员岗位职责:(1)负责定期渗透测试、漏洞扫描和风险分析,对发现的风险提出管理控制建议.

(2)针对分析预警小组上报的安全事件分析结果和处置建议进行审批.
(3)负责指导气象局网络安全服务平台及相关子系统的安全加固.
(4)根据上级要求,编制和更新信息安全规范、制度和安全事件处置流程.

(5)负责安全策略研究、制定、下发,并指导安全策略的实施.
(6)定期或非定期对各单位信息系统进行安全检查.
(7)负责指导各单位信息化建设满足国家与行业安全规范与标准.
能力说明:(1)能够熟练使用漏洞扫描、入侵检测和病毒防护等安全设备.
(2)熟悉网络基础知识及网络安全技术,了解主流的网络攻防技术.
(3)对Web应用安全有较深的理解,熟悉主流的Web应用安全技术.
(4)具有一定的漏洞分析能力,可以判断漏洞可能造成的危害和影响.
(5)具备网络渗透测试能力,熟悉应用、数据库、中间件和操作系统的漏洞分析和利用.

(6)熟悉信息安全管理要求,对国家和行业安全规范和标准比较了解.
(7)具有良好的表达能力和较强的沟通能力,有较好的文档撰写能力.
5.
4.
4.
2运行服务内容设计运营服务内容的设计包括系统维护、安全加固、安全监控、应急响应和安全通告五个部分,各部门共同配合,遵循PDCA持续改进模型,持续提升气象局的安全防护水平.

运行服务内容框架图5.
4.
4.
3运行管理制度设计服务平台运营管理体系文档至少包括以下内容:(1)运营管理办法.
(2)安全事件上报流程.
(3)安全事件处置流程.
(4)安全事件通告流程.
(5)运维绩效考核规范.
(6)账号密码管理规范.
(7)设备管理规范.
(8)其他组成文件.
一、运维管理办法的主要内容包括:1.
编写目的.
2.
适用范围.
3.
职责划分.
4.
平台运维内容.
5.
平台运维标准.
6.
考核措施.
7.
奖惩手段.
二、安全事件上报的主要内容包括:1.
目的2.
使用范围3.
职责与权限4.
事件等级划分5.
信息安全事件管理5.
1信息安全事件分类5.
2信息安全事件处理原则5.
3信息安全事件处理流程三、应急处置流程的主要内容包括:1.
应急预案概述1.
1编制目的1.
2编制依据2.
适用范围3.
安全事件处理与应急管理要求4.
事件分类分级4.
1事件分类4.
2事件分级4.
3工作原则5.
应急响应小组6.
应急响应6.
1应急事件的发现6.
2确认应急事件及等级6.
3不同等级应急事件处理方式6.
3.
1一级应急事件响应要求;6.
3.
1二级应急事件响应要求;6.
3.
1三级应急事件响应要求;6.
4应急事件处理流程6.
4.
1判断事件类型6.
4.
2启动专项预案6.
4.
3事件处理6.
5应急响应总结6.
6后续补救措施四、账号密码管理规范主要内容包括:1.
目的2.
适用范围3.
职责与权限4.
账号口令管理要求4.
1数字证书登陆方式账号口令管理原则4.
2动态口令登陆方式账号口令管理原则4.
3本地账号口令管理原则5.
账号管理流程5.
1账号生命周期管理流程5.
2本地账号使用流程6.
设备账号管理6.
1认证方式说明6.
2角色及权限7.
设备账号管理7.
1认证方式说明7.
2角色权限8.
应用系统账号管理8.
1认证方式说明8.
2角色权限一、用户账号管理单五、设备管理规范主要内容包括:1.
目的2.
适用范围3.
职责4.
规范内容5.
相关文档5.
4.
4.
4全监控服务方案服务目标专业的网络安全顾问通过5*8小时安全事件监控与分析服务,能够及时发现并通报出现的各类外部网络攻击事件和内部信息泄露事件,较好地提高信息安全事件的监控预警能力.
通过定期对监控数据进行分析,能够对总体监控工作开展情况进行总结,得出监控范围内的网络、信息系统的安全态势.
同时,结合日常安全通告的成果,能够对气象局信息安全态势进行整体把握.

服务范围用户服务范围内的安全设备(安全态势感知平台、IDS、IPS、DDos、防火墙等)、关键服务器、网络设备等产生的数据、日志信息进行实时监控,对异常的病毒、入侵行为、后门以及攻击事件等进行分析.

服务内容负责安全日志统计分析及日常运维工作,负责对用户服务范围内的安全设备(安全服务平台、IDS、IPS、DDos、防火墙等)、关键服务器、网络设备等产生的数据、日志信息进行实时监控,对异常的病毒、入侵行为、后门以及攻击事件等进行分析、及时处理和上报,并编写安全监控报告.
主要服务内容包括:安全技术检查服务在日常运维中,进行例行安全技术性检查,并严格按照安全管理制度执行.
针对各类设备的检查项,需包括但不限于:系统资源、系统配置、运行状态等.
定期安全技术监控服务是定期对安全服务平台的安全设备、网络设备和服务器的运行状态进行安全巡检,重点搜集分析系统配置数据和日志信息,并做好工作记录提交给安全负责人.
通过对安全服务平台服务器、网络设备、安全设备的日常安全技术检查,实时监控设备的是否处于健康的工作状态,及时发现安全隐患,及时纠正安全策略,建立服务质量过程监控机制,降低由于设备软硬件故障或漏洞可能带来的安全风险.

专业安全团队以"专业工具+手工检测"的方式,对安全服务平台设施的健康状态进行检测,涉及设备自身硬件资源的使用情况、业务应用服务所占用的网络资源情况、端口服务开放情况的变更等内容,具体内容包括:服务及相关应用系统(1)设备物理状态:主要检查设备的物理体征,如设备是否存在破损,状态灯显示是否正常,是否有物理报警提示等.

(2)设备标识信息:主要检查设备表面及连接线标识信息的完整性和正确性.

(3)设备连线状态:主要检查设备间连线的状态,是否存在破损,并需要更换.

(4)检查CPU、内存、磁盘的使用率,进程数目及状态,分析异常.
(5)系统关键补丁更新情况.
(6)检查系统账户,是否有多余账户存在,管理员账户口令是否强壮.
(7)检查系统共享情况,是否存在非应用共享.
(8)检查系统应用服务状态,检查系统启动项是否异常;检查系统时钟.
(9)日志检查,日志记录是否正常,查看日志内容是否有警告或者错误记录,日志备份情况,日志覆写策略,分析日志.

(10)安全策略检查,核对策略配置是否有变动,是否进行了策略备份.
(11)网络连接信息,检查系统开放端口,是否存在多余端口,是否存在可疑、高危端口连接信息.

(12)检查系统是否安装有防病毒软件,病毒库版本是否最新,检查防病毒软件的日志记录情况.
如病毒库不能升级,查明原因.

(13)检查系统是否存在风险程序,如应用需求以外的程序.
(14)检查服务器中相关应用程序是否运行正常.
(1)安全设备和网络设备(2)设备物理状态:主要检查设备的物理体征,如设备是否存在破损,状态灯显示是否正常,是否有物理报警提示等.

(3)设备标识信息:主要检查设备表面及连接线标识信息的完整性和正确性.

(4)设备连线状态:主要检查设备间连线的状态,是否存在破损,并需要更换.

(5)检查CPU、内存的使用率,电源工作情况,设备连通情况.
(6)检查设备内系统信息,设备事件信息,硬件信息.
(7)检查设备日志内系统警告信息.
安全工程师对日常安全技术检查所发现的安全隐患,提出整改建议,协调有关各方技术力量处理漏洞,并对处理结果进行验证和长期跟踪,确保问题得以排除或有效控制.

安全监控服务针对各类安全事件进行持续的监测.
具体内容如下:(1)负责安全服务平台安全报警分析、网站监控和各类安全设备报警信息的监控和分析.

(2)对系统平台报警和监控设备报警进行深入分析,并判断报警危害程度,确认报警性质.
形成安全事件后,对事件进行处置和跟踪,并完成相关记录工作.

(3)在日常工作中对第三方通报的安全事件进行及时核实和跟踪,对所有通报事件进行记录,结合自身的监控情况形成对比分析和补充.

(4)对每日分析的报警进行整理和记录,对可疑报警建立跟踪观察机制.
(5)编写每日值班记录,详细描述本日监控工作、故障报警的排查情况,并对典型报警进行详细的分析描述,对可疑报警进行记录.

(6)做好人员轮岗知己,确保非工作时间值班人员在值班前得到充足睡眠,值班期间不得出现脱岗、离岗现象.

数据分析和挖掘服务驻场工程师定期(周、月、年)对监控报警数据进行汇总、分析、整理,按照应急处置中心要求完成事件简报、周、月、年度分析报告,报告中需对监控数据进行分类统计、历史对比、危害程度分析判断和评估,对发生的重点事件提出其成因、危害程度、发展趋势和解决建议等说明,数据分析内容如下:(1)按照周、月、季度和年为固定周期,对监控数据进行汇总,完成数据分析报告的编写:对安全监控工作进行总结,对风险和报警进行详细的分析,对安全态势进行评估,并预测今后的发展趋势.
报告中需对监控数据进行分类统计、历史对比、危害程度分析判断和评估,对发生的重点事件提出其成因、危害程度、发展趋势和解决建议等说明.

(2)对可疑安全事件进行深层次的分析,并判断其可能造成的伤害和影响,并对这些事件提出处理建议和辅助实施(3)对发生攻击或者病毒等事件的源点做深层次的监控与分析,明确这些源点可能对系统造成的危害,并提出处理建议和辅助实施.

(4)特定时间周期的数据分析,在重大节日或活动后,对相关数据进行总结分析;其他特定阶段的数据分析.

(5)总结和分析现有数据分析方法的优缺点,提出改进方法.
(6)通过监控数据分析来深度挖掘安全隐患、判断安全事件的严重程度.
数据分析人员采用的安全事件关联分析方式包括:基于规则的关联分析:将可疑的安全活动场景(暗示某潜在安全攻击行为的一系列安全事件序列)加以预先定义.
分析师使用定义好的关联性规则表达式,对收集到的安全事件进行检查,确定该事件是否和特定的规则匹配.

(1)分析师能够对以下安全活动场景预先定义关联规则:——DDOS攻击——缓冲区溢出攻击——网络蠕虫——邮件病毒——垃圾邮件——电子欺骗——非授权访问——企图入侵行为——木马——非法扫描——可疑URL(2)可以通过可视化的流程图的定义某种网络攻击行为.
(3)可根据安全事件发生的因果关系,进行逻辑上关联分析.
(4)给出事件关联相关度的定量分析.
(5)可根据网络安全的动态情况,过滤相关度较低的事件.
(6)分析师利用分析工具采用多种事件关联规则定义的方式.
5.
4.
4.
5事件响应及处置服务方案服务目标通过7*24小时气象局安全服务平台的安全监测,事件响应服务是及时针对识别出的风险及脆弱性问题进行及时的响应及处置,以降低、消除事件发生的可能性和影响范围.

服务范围服务范围涵盖网络安全服务平台范围内的WEB应用系统、安全设备(安全服务平台、IDS、IPS、DDos、防火墙等)、关键服务器、网络设备等.

服务内容(1)事件响应发现可疑安全报警后立即进行报警事件分析,分析主要以监控平台、各安全设备控制台或引擎上的报警数据为主,遇复杂事件时,可咨询二线技术支持人员或厂家工程师.

(2)安全事件处置发现可疑安全事件后立即定位事件源及涉及范围,经分析确是危险网络危险行为、木马病毒,则立即确认为安全事件,进行事件处置.

安全事件确认后,电话通知责任不卖处置,并通知安全负责人,通报事件情况,根据安全负责人要求进行事件处置,及时在安全服务平台工作流中生成工单并填写详细的记录.

(3)处置结果追踪《安全事件通知单》发送后应主动进行电话跟踪,询问事件处置情况,原则上处置时间不超过三个工作日.

网页篡改、挂马和第三方单位通报的安全事件,经核实后立即进行事件处置,但监控人员要及时跟踪事件处置情况,同时在安全服务平台工作流中生成工单.

所有通知的安全事件须同时建立相应事件工单,跟踪安全事件,并随事件的进展填写和修改事件工单.

安全事件的处置过程必须通过安全服务平台统工单进行跟踪和记录,完成一项安全事件处置以完成工单为标志,在接到责任部门回复2小时内须结束工单.

5.
4.
4.
6安全通告服务方案服务目标安全通告服务,通过气象局网络安全服务平台识别出的风险和问题,同时结合人员跟踪和收集最新风险预警、漏洞与问题,第一时间通告相关单位以提供前期的预警与预防效应.

服务内容安全通告服务是为了跟踪最新的系统、网络和设备发现的安全问题而设置的,专业安全服务机构的安全专家会不断关注安全技术的发展和新漏洞的出现.

将漏洞信息、系统补丁信息、病毒信息及时或定期有针对性地通报,确保在第一时间内得到相关的网络安全信息,通告详细内容包括:(1)实时跟踪业界漏洞发展的动态,相关信息的采集.
(2)最新安全漏洞、补丁程序的安全通告.
(3)及时提交病毒发现报告.
(4)每半月一次的安全通告,每半年一次的安全问题总结报告.
5.
4.
4.
7系统维护服务方案服务目标安全维护工作通过开展一系列的安全服务平台配置管理、软硬件升级、病毒木马查杀、数据备份/恢复等日常运行维护工作,进而有效降低设备硬软件的故障率,保障安全服务平台安全稳定的运行和监控工作的连续性,同时完成相关运行维护记录,确保相关数据不被损坏或丢失.
具体目标包括:(1)安全服务平台和安全设备时刻处于稳定的运行状态.
(2)及时发现设备中存在安全弱点和风险,从设备日志中分析设备是否处于安全状态.

(3)保障服务器、安全设备、网络设备和相关软件系统的安全.
(4)定期备份设备重要数据保证设备的高可用性和可恢复性.
(5)通过专业的病毒预警服务、病毒扫描服务以及病毒事件快速响应服务全方位保障信息系统的用户终端和主机、数据库服务器免遭由于病毒传播和数据被破坏所造成各个层面的损失.

服务范围服务对象是气象局网络安全服务平台,以及整个气象局网络安全服务平台相关的安全设备、网络设备、服务和软件系统.

5.
4.
4.
8服务内容维护服务包括但不限于如下内容:新增设备接入服务在气象局网络安全服务平台运行期间,如有新的安全设备接入,或者监控范围有新增的服务器、网络设备和信息系统,服务人员负责按照安全配置规范对设备进行检查和加固,确保按照接入管理要求进入到生产网络.

策略升级服务气象局网络安全服务平台包括大量的软件系统和硬件设备,在气象局网络安全服务平台的日常运行过程中,根据工作需要可能涉及配置参数的调整、网络架构的调整或者设备IP地址的变化等情况,因此安全服务平台配置管理工作内容主要是根据日常维护工作需要,对安全服务平台的路由器、交换机、日常网络接入、设备管理、IP地址管理、日志管理、设备配置管理等提供日常维护,对气象局网络安全服务平台相关的安全设备与平台策略(如事件范式化、事件知识、安全模型、配置等)进行升级,确保策略符合安全管理需求,平台的正常运行.

备份服务气象局网络安全服务平台在运行过程中会产生大量的数据,为了确保监控系统的完整性及可用性,在系统发生故障时能够及时恢复,同时为了避免数据量过大所引起的系统工作效率降低等问题,需要定期对相关数据进行备份和恢复测试.

运维工程师将严格按照备份策略和规范流程定期对网络、安全设备的配置文件、日志记录、以及重要系统和业务数据进行备份,并将存储数据的介质单独存放安全的地点,并采用加密手段对数据进行加密管理,保证设备数据的安全.
每月组织一次备份文件的还原测试工作,确保备份文件的可用性.
每日进行数据备份,进行日常系统备份、日志检查、数据备份检查,以及服务器安全检查.

日常数据清理服务由于气象局网络安全服务平台运行期间可能会产生大量无用或者暂时不适用的数据,如果长期积累将导致安全服务平台运行缓慢,因此需要对日常的数据进行清理.
每周组织专人对数据进行梳理,确认数据清理的范围,数据首先清理到非生产数据库保存,1年后确认无用后再进行彻底清理.

资产安全维护服务气象局网络安全服务平台安全监控设备主要由病毒检测设备、入侵检测设备和行为审计设备组成,另外还包括维护系统正常运行的防火墙、VPN.
定期对监控设备进行补丁、策略库、特征库、病毒库的升级,可以减少漏报和误报的出现,能有效保障安全监控工作的正常开展.

故障处置服务根据气象局网络安全服务平台实际需要,组成专业技术人员在内的外围保障小组,负责监控中心、各监控节点的设备巡检、故障处置以及技术咨询等工作.
对气象局信息系统所有网络、安全设备进行故障预防性维护,包括配置变更记录,配置文件定期备份、故障处置等工作.

将提供设备故障预防处置服务,具体内容如下:(1)监控中心、各监控节点的设备巡检、故障处置以及技术咨询等工作.

(2)网络、安全设备配置文件由于配置更新、变更导致的配置文件变动,需要对配置文件变更进行记录备案.

(3)对所有设备的配置文件进行配置保存和离线保存.
(4)故障的处置工作,对监控中心设备故障实时解决,监控节点设备故障处理提供故障处理热线电话,派工程师赶赴现场.

(5)定期总结系统工作状况,在用户现场进行技术总结,对系统存在的潜在安全或故障隐患进行分析并提出相应的解决方案加以排除,并科学分析现有系统资源使用情况.

5.
5信息与接入安全管理平台5.
5.
1信息与接入安全管理平台软件目前,气象数据已经与多家组织机构建立数据互通,但数据交互方式不同,安全防护手段也不统一.
例如,我局与其他政府部门如规土委、海洋局之间的通信都是采用专线接入的方式,我局目前与其他组织机构之间的专线总共有十几条,不同专线的用户访问我局内网时所具备的访问权限也是不同的,如国土局在访问我局网络中的应用时,只能访问决策外网,不能访问其他应用,而海洋局通过海洋局专线访问我局则只能访问数据中心,不能访问其他应用.
相互孤立的连接方式,多样化的访问权限需求,使得网络的安全防护变得更加困难.

我局内网中有许多的应用系统,其中部分应用系统的重要数据需要和国内外其他机构活或企业进行共享交流,这些机构或企业的人员也可能接入我局系统访问我局数据,目前我局VPN、准入控制、堡垒机等安全接入、审计设备单独进行设置的访问权限控制机制进行管理授权,不仅工作量巨大、效率较低,容易出现错漏,而且难以进行统一管理审计.
所以,需要建设一个统一的接入管理平台,实现集约化的访问权限控制.
同时需要对接入网络各类设备、终端、系统的安全性进行综合评估,确保各类设备接入的安全性.

通过信息与接入安全管理平台可实现对通过VPN、准入控制、堡垒机等不同类型接入用户账号登录、退出状态、异常接入等事件进行统一管理审计.
同事根据气象局实际网络安全业务管理实际需求,在安全监测治理的基础之上定制开发实现安全事件监测、分析和安全管理流程整合,建立起包括事件分析、风险分析和安全管理等一体化集中管控和安全运行的自动化支撑平台,从而更好的掌控我局全网系统的整体态势,并构建由人、技术和管理三个元素组成的安全运行组织体系,形成我局事前防范、事中监控、事后追溯的闭环安全运行管理体系.

5.
5.
1.
1信息与接入安全管理平台软件功能特点在线用户集中管理平台实现与VPN、准入控制、堡垒机、安全审计等接入设备用户管理同步,各类接入用户在线情况实时概览.

用户登录退出日志记录平台统一记录VPN、准入控制、堡垒机、安全审计等安全接入设备用户登录退出信息,在出现安全时间后便于集中溯源.

异常登录预警管理平台统一对接VPN、准入控制、堡垒机、安全审计等安全事件预警信息,对安全接入安全事件进行统一管理,对事件进行响应与处置,并通过平台对处置过程进行监督,指导,审查与总结.

5.
5.
1.
2定制开发部分大屏可视化模块安全指数可视化通过对接多种安全设备,获取多种安全数据,综合关联分析得出我局整体安全健康指数.

安全趋势可视化可视化展示过去一段时间内的网络安全状况.
安全告警可视化可实时展示安全告警提醒.
资产组成可视化可查看我局资产组成情况以及具体数量.
整改情况可视化可查看我局安全事件的处理情况,如:处于不同处置状态下的安全事件的数量.

移动处置模块安全监测实时获取安全监测数据,通过多种方式进行提醒.
工单下发能够自动生成工单,并且支持手动补充信息的形式进行工单编辑.
支持工单下发及处置,同时能够收到相关的处置反馈信息.

事件管理支持工单事件统一管理,能够通过多种条件组合查询的方式获取目标事件,支持事件状态自定义修改,管理员可实时跟踪事件处置状态.

资产管理支持资产信息管理,能够新增、修改、删除、查询资产,并能对不同类型的资产进行数据统计.

安全处置模块流程引擎管理可根据我局组织架构的调整自定义工作流转流程,修改关键节点的处置角色及转发角色.

资产管理安全处置平台也可实现资产管理,并且与移动应用保持数据同步.
集中管理平台集成多种安全设备入口地址,可一键打开对应的处置系统继续进行安全处置工作.

策略下发平台可对接如WAF引擎,实现对其进行专业工作的操控.
情报管理平台能够管理并更新情报信息,为安全管理及安全管理工作提供技术支撑.

预案管理针对重大安全事件,平台具有预案库,能够新增、修改、查询预案信息.
5.
5.
2安全接入威胁综合评估引擎1、威胁综合评估引擎简介威胁评估引擎通过对系统漏洞、数据库漏洞、服务后门、网页挂马、SQL注入漏洞以及跨站脚本等攻击手段多年的研究积累,总结出了智能主机服务发现、智能化爬虫和SQL注入状态检测等技术,可以通过智能遍历规则库和多种扫描选项组合的手段,深入准确的检测出系统和网站中存在的漏洞和弱点.
最后根据扫描结果,提供测试用例来辅助验证漏洞的准确性,同时提供整改方法和建议,帮助管理员修补漏洞,全面提升整体安全性.

威胁评估引擎以综合的漏洞规则库(本地漏洞库、ActiveX库、网页木马库、网站代码审计规则库等)为基础,采用深度主机服务探测、Web智能化爬虫、SQL注入状态检测、主机配置检查以及弱口令检查等方式相结合的技术,实现了业界首款及唯一一款将Web漏洞检测、系统漏洞检测、数据库漏洞检测、基线配置核查、工控漏洞检测与弱口令扫描于一体的综合威胁评估引擎2、云平台威胁评估引擎功能特点系统漏洞检测全方位的网络对象支持(1)网络主机:服务器、客户机、网络打印机、移动设备、虚拟化设备等.

(2)操作系统:MicrosoftWindows9X/NT/2000/XP/2003、苹果操作系统、国产操作系统、SunSolaris、HPUnix、IBMAIX、IRIX、Linux、BSD、HPUX等.
(3)网络设备:Cisco、Juniper、华为、F5、3Com、Checkpoint等主流厂商网络设备.

(4)安全设备:Checkpoint、赛门铁克、Cisco、Juniper、PaloAlto等主流厂商的安全设备.
(5)应用系统:数据库、Web、FTP、电子邮件等.
全面的系统漏洞知识库储备威胁评估引擎漏洞库涵盖丰富的安全漏洞和攻击特征,至少支持CVE、CVSS、CNVID、CNNVD、CNCVE、Bugtraq等漏洞种类,蕴含着丰富的研究经验和深厚的知识积累,收录多个标准下的漏洞,能够为客户提持续的、高品质的产品应用价值.

漏洞检测与目前市面上的其它网站安全检测类产品单一地考虑系统安全、网页编程安全、SQL注入、跨站漏洞等方面的安全问题不同,威胁评估引擎从设计网站安全的各个方面来对网站安全状况做出最全面的评估,包括:系统补丁、危险插件、代码审计、恶意网站、网页木马、网站暗链、SQL注入、跨站注入、管理入口以及敏感信息等等.
积累丰富的网马特征库威胁评估引擎采用了研究团队多年积累的丰富的网马特征库,不仅包括网马代码特征、而且包括挂马网站的列表,双重检测手段保障网马检测较低的漏报率和误报率,同时我们保持每周至少一次的特征库的升级以及0day漏洞的24小时紧急升级保障.

高效的网页爬虫技术(1)引擎的网页抓取模块采用广度优先爬虫技术、深度优先爬虫技术以及网站目录还原技术.

(2)广度优先的爬虫技术不会产生爬虫陷入的问题,网站目录还原技术则去除了无关结果,提高抓取效率.

基于状态的SQL注入扫描技术威胁评估引擎不同于传统的针对错误反馈判断是否存在注入漏洞的方式,而采用自主创新的状态检测来判断.
所谓状态检测,即:针对某一链接输入不同的参数,通过对网站反馈的结果使用向量比较算法进行比对判断,从而确定该链接是否为注入点,此方法不依赖于特定的数据库类型、设置以及CGI语言的种类,对于注入点检测全面,不会产生漏报现象.
而常见的SQL注入扫描产品均不具备此项技术.

基于状态比较的注入验证技术引擎威胁评估引擎采用状态检测来对数据库的数据进行猜解,无论网站采用什么CGI语言,无论网站是否反馈错误信息,都能进行正常的猜解,而常见的SQL注入扫描产品均不具备此项技术.

基于模糊匹配的管理入口检测技术威胁评估引擎管理入口检测模块不仅采用常规管理入口检测技术,即:使用常用的管理入口库进行逐一匹配检查,而且还采用了模糊匹配的方式来检测管理入口,所谓的模糊匹配即软件使用模糊匹配的方式来对网站所有链接进行匹配,从而最大可能找出所有管理入口.

强有力的解析方式威胁评估引擎支持支持爬虫表单自动分析、Javascript解析、Java与HtmlElement自动交互、Ajax解析、Flash解析等新型、丰富而高效的解析方式.
深度解析web页面,可以准确而高效的发现web漏洞.
数据库漏洞检测威胁评估引擎采用先进的数据库发现技术和实例发现技术等,可以针对当下主流的数据库,如Oracle、MySQL、DB2、PostgreSQL、sybase、SQLServer、Informix等进行漏洞检测,包括对数据库系统的各项设置、数据库系统软件本身已知漏洞、数据库系统完整性进行检查和对数据库系统的整体安全性做出评估,并给出提高数据库安全性的修复建议.
通过登录扫描可对数据库的每张表每个字段进行安全检测.

基线安全核查安全配置核查是安全管理的基本工作,同时也是安全运维的重要技术手段.
安全配置核查首先要建立满足组织信息安全管理体系的安全配置要求的基线.
当前,部分重要行业和监管部门已经针对行业的信息系统建立详细的安全配置要求及规范.
它构建针对不同系统的详细检查项清单和操作指导,为安全运维人员的安全技术操作提供标准化框架和指导,有很广泛的应用范围,主要包括新系统的上线安全检查、第三方入网安全检查、安全合规检查、日常安全检查等.

威胁评估引擎参考国内外标准、行业技术规范和安全运维最佳实践构建了以业务系统为核心,覆盖业务层、系统支撑层的安全配置基线模型.
从业务系统安全要求出发,将要求分解到对应的支撑系统的具体安全要求.
支撑系统包括操作系统、数据库、中间件和应用系统,还包括网络基础设施如网络设备和安全设备等.
针对这些支撑系统的具体产品类型如Windows,Oracle,Weblogic,交换机,信防火墙等,根据具体的安全要求可细化到可执行和实现的具体要求,尽管属于同类设备,但品牌型号不同,具体的安全要求及配置检查方法不同,这就构成了不同设备和系统的专项安全基准线.

覆盖面广的漏洞库威胁评估引擎包含CNNVD认证的系统漏洞库20多类,50000多条;Web漏洞库共覆盖OWASP定义的10大类漏洞规则.
包含虚拟化设备、移动设备、网络设备、安全设备等多种类型的规则,覆盖了当前网络环境中重要的,主流的系统和数据库等漏洞,并且能够根据即时更新,确保漏洞识别的全面性和时效性.

可自定义规则库威胁评估引擎中,用户除了可以使用软件默认提供的检测库外,也可以添加自定义的规则库模板,批量筛选所需模板,通过新建模板并选择所需的规则,可高效、有针对性的检测漏洞.

强有力的扫描效率威胁评估引擎综合运用预探测、渐进式、多线程的扫描技术,能够快速发现目标网络中的存活主机,然后根据渐进式探测结果选择适合的扫描策略,启动多个线程进行并发扫描,从而保证了扫描任务可以迅速完成.

准确的漏洞识别率威胁评估引擎采用渐进式扫描分析方法,融合最新的操作系统指纹识别、智能端口服务识别等技术,能够准确识别被扫描对象的各种信息,如操作系统、网络名、用户信息、非常规端口上开放的服务等.

便捷的漏洞验证工具集威胁评估引擎提供一键式漏洞验证工具集,包含SQL注入漏洞验证、浏览器漏洞验证及通用漏洞验证等.
运维人员可以直接在系统界面中选择相应的协议并填充测试字段对目标进行漏洞验证,并且针对系统已发现的漏洞可以实现一键填充式自动验证功能,降低人工操作难度的同时提升结果验证的准确性.

多样化的结果报表呈现威胁评估引擎能够生成面向多个用户角色的客户化报表,并以图、表、文字说明等多种形式进行展现,同时支持以PDF、XML、HTML、EXCEL、WORD等多种格式导出结果报表.

5.
5.
3数据库审计深圳市气象局各类不同类型的业务分别承载着不同的气象数据,对于这类数据的使用和运维的安全性需统一监测管理,而数据库审计系统利用DPI或DFI技术的对气象应用及数据进行审计,数据库审计系统应提供安全审计功能,对来自应用系统客户端和DBA对数据库的访问行为进行全面审计,不仅针对SQL语句,还可以对FTP、TELETN等远程访问进行审计.
审计系统能详细记录查询、删除、增加、修改等行为及操作结果,对危险操作实现事前预警、事中相应、事后溯源,从而保护数据库.

审计系统要求:(1)支持Oracle、SQL-Server、DB2、Informix、Sybase、MySQL、PostgreSQL、达梦、人大金仓、南大通用Gbase、神舟、Hbase等主流数据库系统.
(2)支持数据库嵌套、函数审计(sum求和函数等)、返回结果、脚本等审计.

(3)提供管理员权限设置和分权管理,审计用户,系统管理用户、规则管理用户权限分开,相应权限的用户只能查看、管理相应的功能,责任明确,相互监督.

(4)能定制符合需求的策略规则输出报告,使审计人员能够迅速的得到自己需要去审计的信息.

(5)审计能覆盖到每个用户,对重要的用户行为和重要安全事件进行审计.

(6)审计记录包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息.

(7)应对审计进程进行保护,防止未经授权的中断.
(8)审计记录产生时的时间应由系统范围内唯一确定的时钟产生,以确保审计分析的正确性.

5.
5.
4无线WIFI管控设计气象局为提升自身的服务水平和办公效率,Wi-F覆盖已经成为必须的配备.
总体来说气象局WLAN建设最大的需求在于提供办公效率更好的业务运营.

项目建设采用统一的SSID,采取集中认证和审计,为各委办局、街道办、行政机构等内部办公人员和外来访客提供政务无线网络,清理各单位私接的无线路由器,有效提升我区机关工作人员移动办公工作效率,消除信息安全隐患,进一步提升气象局政务外网覆盖面.

具体建设目标如下:本项目对竹子林气象局主楼全楼层、附楼1~3楼、石岩、求雨坛以及西涌基地办公及生活楼层进行无线覆盖.

对所有办公区域上网AP进行统一管理、认证、漫游,保证访问网络速度要.

根据办公区域业务场景不同,分场景部署无线接入设备,如普通办公区域,大小型会议室、报告厅等高密场景区域等.

NAC双机热备,旁挂在核心交换机上,旁路部署本地转发,实现让现有的AC做有线无线统一审计.

具体网络设计如下:高性能无线硬件,无死角无线覆盖无线硬件设备全部采用支持802.
11ac以上协议的智能AP进行建设,通过合理实地勘查和点位设计,实现高速的无线网络,提高内部员工的办公效率,提升员工内部办公体验和办事民众的上网体验.

通过无线网络,辅助以微信公众号、短信方式,做到政府形象和便民事务的网路展示和传达,及时推送便民信息到民众,建立政府单位和人民群众的直达通道,打通政务便民的中间环节.

安全设计做严格的终端准入控制,保障非法终端无法接入无线网络.
对员工上网行为进行安全管控,不同部门岗位的员工分配不同的互联网及内网资源访问权限.
同时对所有员工的上网进行行为规范,上班时间只能访问业务相关应用和系统,禁止观看在线视频、炒股软件等,提供员工效率.
对员工外发文件进行审计记录,包括邮箱、HTTP上传、论坛微博发帖等内容,防止故意、不经意的造成的内部敏感数据信息被泄露.

对于民众开放的无线网络,记录无线接入用户身份等信息,做到事后痕迹可追溯,可实名.
同时,提供无线安全入侵检测和防御机制,主动感知和防御风险.

通过技术手段,在无线热点设备上开启非法AP反制功能,彻底封杀私搭乱建的无线热点,保障网络安全可控.

无线网络采用先进的下一代架构,去除了多余的中间件,不需要服务器承载,同时无线控制器兼容性强,可对原有无线网络做平滑升级,有效保护前期建设投资成本.

5.
5.
5安全咨询与风险分析服务5.
5.
5.
1安全咨询服务5.
5.
5.
1.
1政策解读及应对建议工作目标针对上级部门及市信息安全管理部门颁布的政策进行解读以及给出合理化咨询建议.

服务方式根据上级部门及市信息安全管理部门颁布的政策条例,结合我局信息安全的现状进行解读,并对政策要求项制定应对方案和实施计划.

提交成果《XXX信息安全解读及咨询建议》5.
5.
5.
1.
2安全管理流程优化建议工作目标针对气象局对于现有的信息安全管理流程,在实际业务中的不合理处,给出优化和咨询建议.

服务方式依据我国信息安全管理要求和ISO27000相关的规范,对我局现有的信息安全管理流程中存在的问题进行调研和问题分析,结合我局现有的业务情况对此流程提出相应的咨询建议和优化设计.

提交成果《深圳市气象局XXX信息安全管理流程优化和咨询建议》5.
5.
5.
1.
3安全规划和落地建议工作目标针对气象局2019年信息安全规划和落地提出咨询建议.
服务方式依据国内外信息安全标准和最新信息安全发展趋势,结合我局信息现状,对我局2019年信息安全规划中的存在对不足和问题,提出合理化咨询建议和制定相应的实施方案.

提交成果《深圳市气象局2019年信息安全规划和落地咨询建议》5.
5.
5.
1.
4安全规划和落地建议针对气象局信息安全管理体系建设和落地给出咨询建议.
服务方式信息安全管理体系的工作方式主要如下:(1)调研访谈:采用定制的调研问卷进行访谈,了解我局信息系统系统的详细情况,如组织机构(部门设置、人员职务、外部联系和接口)、业务流程(目标、流程、人员、物理位置、外部联系和接口)、信息资产(网络拓扑、主机和设备资料)、内部文件(运维程序、安全管理制度、建设方案)、原有管理相关文件及需遵守的法律法规文件等.

(2)项目会议:安全咨询顾问通过组织差距分析实施人员召开会议,以调研访谈记录和差距分析结果为依据,研究制定安全管理制度框架和编写相应的管理制度.

(3)客户交流:与我局相关人员就管理制度框架、管理制度内容进行反复的沟通、讨论和修订,确保安全管理制度贴合我局信息系统的业务实际,并满足等级保护标准和相关政策要求.

提交成果《深圳市气象局XX信息安全管理制度》《深圳市气象局XX信息安全管理制度落地建议》5.
5.
5.
1.
5安全整改加固工作目标针对气象局现有业务系统预报处(2系统)、办公室(1系统)、科技处(2系统)、减灾处(1系统)、服务中心(1系统、短信平台)的安全整改加固工作给出咨询建议.

服务方式本项服务采取现场服务方式进行.
服务方将派遣高级系统工程师、安全工程师及资深安全分析师在等级保护风险评估输出结果的基础上与我局相关负责人就每台安全加固的主机、网络与安全设备的具体加固内容进行协商,明确操作风险,探讨利害关系,确定加固方式,最终确定安全加固方案.
在此基础之上,服务方工程师将根据加固方案进行专业的安全加固,加固工作将会同系统运维相关负责人就每台设备的配置策略,逐项进行核实、整改加固.
并且在加固完成后再次进行复查确认工作,对加固结果和存在加固风险的问题进行记录备案.

提交成果《深圳市气象局XX信息系统安全整改加固报告》5.
5.
5.
1.
6外部服务工作目标对气象局现有网站云防护和监控(1个网站)手段对比传统手段有和优劣势给出咨询建议,并给出对应的解决方案以及依据.

服务方式根据信息安全发展的趋势和技术的发展,对我局现有网站的云防护和监控手段是否能适应当前的安全现状进行分析,结合当下流行的防护手段对比传统手段的优劣势给出咨询建议和对应的解决方案.

提交成果《深圳市气象局XX网站云防护和监控咨询建议》5.
5.
5.
1.
7下级及外包人员协调管理和统筹工作目标针对气象局对于下级单位及外包人员的管理给出咨询建议.
服务方式依据《2019年深圳市党政机关信息安全联合检查指标及评分标准》与我局对下级单位及外包人员管理制度要求,制定我局对下属单位和外包人员的管理建议和咨询意见.

提交成果《深圳市气象局下级单位及外包人员管理咨询建议》5.
5.
5.
1.
8其他工作目标对于气象局其他信息安全事务给出咨询建议.
服务方式从信息安全的角度出发,对我局在日常事务中出现的与信息安全相关的事务,结合相关的政策要求和标准规范给出相应的咨询建议.

提交成果《深圳市气象局XX信息安全事务咨询建议》5.
5.
5.
2风险分析服务工作目标本工作是针对气象重点信息系统,从资产、威胁和脆弱性三方面对网络系统、主机系统、数据库系统、应用中间件、应用系统和安全管理进行了综合分析,识别出了其中的风险点,同时对比信息系统与等保相应等级间的差距,并针对性的给出改进建议.

设计内容风险评估内容包含:资产识别、威胁识别、脆弱性识别、已有安全措施分析和风险综合分析,识别出当前气象信息系统的的安全风险,并在评估分析完成后提出风险控制建议.

(1)资产识别主要是对资产进行相对估价,而其估价准则就是依赖于对其影响的分析,主要从保密性、完整性和可用性三方面的安全属性进行影响分析,从资产的相对价值中体现出资产的重要性,以及遭受破坏后所带来影响的严重程度;(2)威胁识别是对资产所受威胁发生可能性的评估,主要从威胁源的动机和能力两个方面进行分析,识别出信息系统所面临的主要威胁和发生的可能性大小;(3)脆弱性识别是对资产脆弱程度的评估,主要从脆弱性被利用的难易程度、被利用成功后的严重性两方面安全属性进行分析;(4)已有安全措施分析是对保障措施的有效性进行的评估活动,主要考虑安全措施在防范威胁、减少信息系统整体脆弱性方面的有效性进行分析;(5)风险综合分析就是通过综合分析评估后的资产信息、威胁信息、脆弱性信息和安全措施信息,最终生成风险信息.

风险评估的具体流程如下图所示:工作成果评估工作完成后,将提交安全风险与差距分析报告,具体文档包括:《气象XX信息系统风险评估综合报告》该报告为风险评估工作的主体报告,首先描述气象XX信息系统的信息系统的安全现状,从资产、威胁和脆弱性三方面对慧气象XX信息系统相关的网络系统、主机系统、数据库系统、应用中间件、应用系统和安全管理进行了综合分析,识别出了其中的风险点,并针对风险点提出了安全建议.

《气象XX信息系统差距分析报告》气象XX信息系统国家相关标准基本技术要求差距分析报告主要内容:差距分析是以现场调查和测试所收集的信息为依据,满足国家相关标准基本技术要求要求为目标,对现有系统安全做出的一种客观的、真实的评价.
报告内容包括对气象XX信息系统现有安全技术水平与安全管理水平与等保三级要求差距分析和整改建议等.
差距分析是制定信息系统安全方案设计方案前的一个非常关键的环节,为信息系统安全方案设计方案的撰写提供参考.

《气象XX信息系统风险评估_网络设备手工检查报告》该报告为风险评估工作的中间过程报告,主要是对网络设备的手工配置核查工作所发现的脆弱点进行了详细的描述,并针对具体的问题提出了安全建议.

《气象XX信息系统风险评估_安全设备手工检查报告》该报告为风险评估工作的中间过程报告,主要是对安全设备的手工配置核查工作所发现的脆弱点进行了详细的描述,并针对具体的问题提出了安全建议.

《气象XX信息系统风险评估_主机系统手工检查报告》该报告为风险评估工作的中间过程报告,主要是对主机系统的手工配置核查工作所发现的脆弱点进行了详细的描述,并针对具体的问题提出了安全建议.

《气象XX信息系统风险评估_数据库系统手工检查报告》该报告为风险评估工作的中间过程报告,主要是对数据库系统的手工配置核查工作所发现的脆弱点进行了详细的描述,并针对具体的问题提出了安全建议.

《气象XX信息系统风险评估_应用中间件手工检查报告》该报告为风险评估工作的中间过程报告,主要是对应用中间件的手工配置核查工作所发现的脆弱点进行了详细的描述,并针对具体的问题提出了安全建议.

《气象XX信息系统风险评估_信息系统脆弱性扫描报告》该报告为气象XX信息系统的脆弱性扫描报告,主要是对在此次信息系统扫描评估结果的详细描述,并按高中低漏洞进行了分类.

5.
6安全态势感知服务平台设计依据《深圳市党政机关、事业单位和国有企业互联网网站安全专项整治行动方案》的通知(深公(网)字[2015]272号),安全态势感知监控通报平台是未来网络安全建设的重中之重.
另外我局网络与安全突发事件应急处理预案中要求对信息安全事件进行有列别分析和告警,但是目前我局并没有安全态势感知的相关设备,无法实时主动监测网络中存在的安全隐患,不能有力协助我局实施突发事件应急处理.

我局内部的安全设备包括多个不同的品牌,设备产生的日志很难进行统一的分析,即使是能够定期对网络安全设备的产生的日志人为进行分析,也会消耗巨大的人力资源,所以目前的我局的安全防护还是偏向于传统网络安全架构的"事前防御,事中拦截,事后补救"的防护方式,没办法做到"事前发现,提前防御",在网络中的安全威胁对用户造成实际损失之前及时发现安全威胁,并做好对应的安全防护策略,真正做到"防患于未然".

5.
6.
1软件平台深圳市气象局气象服务平台通过安全事件监测、分析和安全管理流程整合,建立起包括事件分析、风险分析和安全管理等一体化集中管控和安全运行的自动化支撑平台,从而更好的掌控我局全网系统的整体态势,并构建由人、技术和管理三个元素组成的安全运行组织体系,形成我局事前防范、事中监控、事后追溯的闭环安全运行管理体系.
为实现以上需求,建议由三部分组成本平台系统.

5.
6.
2安全引擎设计5.
6.
2.
1高级持续威胁检测引擎高级持续威胁检测简介:高级威胁检测引擎为安全服务平台重要组成,实时分析网络全流量,结合威胁情报数据及网络行为分析技术,深度检测所有可疑活动.
文件检测采用全面沙箱分析与入侵指标(IOC)确认技术,通过在沙箱(Sandbox)中运行(行为激活/内容"引爆")各种文件和内容的功能,并观察虚拟机中入侵指标,识别出未知威胁.
网络检测与文件检测同步进行,采用情报共享机制,构筑检测生态圈,准确、快速地掌握攻击链条,以便进一步采取相关措施,将APT(高级持续性威胁)攻击阻止在萌芽状态.

高级威胁检测引擎具有如下功能特点:人工智能、大数据与安全技术的结合采用了机器学习,深度学习技术,结合大数据架构,用海量已知恶意威胁数据进行训练,从而具备检测未知威胁的能力,并有效减少安全运维人员的人工识别工作量.

高效的网络异常行为检测技术可识别丰富的网络应用层协议,通过协议分析、内容萃取等报告事件,再经深度分析快速鉴别出DGA恶意域名、DDoS攻击、SSH/FTP暴力破解、SQL注入、DNS/ARP污染和漏洞扫描等网络恶意行为.

独特的基因图谱检测技术通过结合图像纹理分析技术与恶意代码变种检测技术,将恶意代码映射为无压缩灰阶图像,基于纹理分割算法对图片进行分块,使用灰阶共生矩阵算法提取各个分块的纹理特征,并将这些纹理特征作为恶意代码的纹理指纹;然后,利用样本的纹理指纹,建立纹理指纹索引结构.

在检测阶段,通过恶意代码分段纹理指纹生成策略,使用综合多分段纹理指纹相似性匹配算法检测未知恶意代码及其变种.
基于图像映射的方法可以有效的避免反追踪、反逆向逻辑以及其他常用的代码混淆策略.
而且,该方法能够有效地检测使用特定封装工具打包的恶意代码.

全面的已知、未知威胁检测通过内置的下一代入侵检测引擎,Multi-AV防病毒引擎和威胁情报检测技术对已知威胁进行静态检测;通过基因检测技术结合智能检测技术防止逃逸和躲避(AET)对恶意代码的变种进行检测;通过对恶意代码在沙箱中的主机行为和网络行为进行深入分析,对未知威胁进行检测.

便捷的溯源取证能力威胁检测引擎元数据追溯取证功能支持解析存储http、dns、ftp、smtp等几十种协议信息,具有完整的追溯信息.
通过可视化操作,可快速定位攻击者,并定位出攻击者的IP,MAC,攻击方式,攻击协议,以及攻击目标等详细信息.

全流量追溯取证功能基于元数据工作流的可信数字取证模型,着重考虑了数字取证过程的可信,即动态行为可信,每个步骤都保存了相关有用信息,便于事后的分析和回溯.
具有追溯信息的完整性、数据采集的高效性、准确性以及数据采集的可行性,为单位防止安全信息泄露保驾护航.

强大的处理性能威胁检测引擎最大带宽处理能力可达10Gbps,文件处理性能最高可达24万文件/天,并支持通过集群技术按需扩展处理能力.

5.
6.
3等级保护测评服务在完成等保安全加固的基础上,邀请具备网络安全等级保护测评资质第三方测评机构进行等保测评,以确认最终的等保二级的符合结果情况,本项工作的成果包括:《等保测评报告》.

6.
资源需求序号平台名称名称性能参数数量1云安全服务平台建设费用云平台安全监测引擎2U机架;1个CONSOLE口,2个USB口;2个100/1000M电口;2个100/1000M光口;2个扩展插槽,可扩展千兆电口或千兆/万兆光口;32G内存,1TB硬盘,单电源;备案管理系统;可支持网站及服务器资产自动识别梳理功能;可支持漏洞风险监控预警功能;可支持WebShell检测功能;可支持操作系统、中间件等指纹信息识别功能;可支持资产访问流量的统计与分析功能;可支持报表分析与管理导出功能;可支持对资产弱口令风险检测功能;可支持对问题资产进行智能阻断的功能;50个系统综合管理站点1台平台定制开发包含大屏展示系统定制开发、安全处置平台定制开发、微信处置应用定制开发和数据接口定制开发等内容.

1套平台运营服务体系提供一名人员一年驻场,进行平台运营服务,包含管理策略制定、管理规范制定和记录表单制定等内容.

1年2信息与接入安全管理平台建设费用安全接入威胁综合评估引擎1U机架式设备;1个CONSOLE口,2个USB口;板载6个100/1000M电口,2个扩展槽;1T硬盘;单电源;2个B类系统扫描,64个Web网站扫描;系统扫描任务并发3,系统扫描IP并发150;Web扫描网站并发2;口令破解检测,口令破解并发2;系统漏扫最大可添加IP或域名数:131064;系统扫描并发:3;系统扫描IP并发:150;web漏洞最大可添加网站数:64;Web扫描并发:2口令破解并发:2;系统漏洞扫描引擎,可扫描网络设备、安全设备、移动设备等;Web漏洞扫描引擎,包含OWASP定义的10种攻击;包含漏洞验证模块;涵盖常见协议和数据库的弱口令扫描;数据库漏洞评估引擎,可以支持ORACLE、SQLServer、MySQL等数据库检测;对被扫目标进行配置基准核查,默认核查模板包含移动、联通、工信、等保三级4种,可自定义检查模板1台网站云防护2年云防护功能2年安全咨询与风险分析服务包含政策解读及应对建议、安全管理流程优化建议、安全规划和落地建议、下级及外包人员协调管理和统筹、体系建设和落地、风险评估、安全整改加固和外部服务等服务1年无线Wi-Fi管控包含56台无线NAP和1台无线控制器NAC,以及配套的10口POE交换机12台和24口POE交换机1台.

1套数据库审计外观:标准2U机架式;4个万兆光口,2个千兆电口,其中一个管理口,五个审计口,1个DB9串口,硬盘4*1T,SSD150G;4个万兆光模块;SQL峰值事件处理能力30000条语句/秒,日志存储32亿条.

1台3安全态势感知通报平台建设费用安全监测及分析引擎标准2U,PowerEdgeR730,3.
5寸大盘,双电750W;两颗Intel双路14核心处理器,支持超线程和虚拟化技术,2.
0G及以上主频;内存128GDDR4;硬盘5*8TB(raid5);流量3G以内;日处理文件数量6万以内;镜像支持光;包含威胁情报、异常检测、病毒检测、入侵检测、基因图谱检测、沙箱行为检测等1台等保测评服务对于8个业务系统的等保测评服务8个ssl证书数据传输加密6张7.
规格要求7.
1安全监测及分析引擎规格要求功能指标指标项指标项需求硬件配置硬件参数2U标准机架设备,2*14核CPU,128GB内存,400GBPCIESSD,1*300GB系统盘,2*4TB数据盘,硬件RAID卡,4个千兆网口,2个万兆光口,双电源.
产品性能性能参数0-10G带宽,1W-18W+处理文件个数(根据不同型号修改)全流量检测威胁情报检测支持本地威胁情报检测和云端威胁情报追溯.
通过实时下发恶意IP、恶意域名、恶意URL等黑名单到设备本地进行威胁情报检测,每天下发到设备本地的黑名单数量不少于5万条.

通过联动提交IP、域名、URL、文件或文件的HASH值、漏洞等到云端威胁情报系统进行追溯取证及可视化关联分析,云端积累的各种威胁情报数量不少于10亿条.

网络异常检测支持DoS&DDoS攻击检测、会话连接行为异常检测、中间人劫持攻击检测、非标准协议检测、SMTP行为异常检测、可疑SMTP源IP检测、垃圾邮件检测、钓鱼邮件检测、扫描行为检测、路由跟踪行为检测、密码猜测行为检测、密码暴力破解行为检测、提权行为检测、隐私策略检测、信息泄露检测、SSL行为检测、ARPSpoof检测、ARP回复检测、ARP操作码检测、ARPMAC-IP关系检测等失陷主机检测通过检测网络流量中的DGA域名,可以有效定位网络内部已经被僵尸/木马控制的主机(失陷主机).

下一代入侵检测对网络内部的扫描探测、入侵攻击、横向渗透等行为进行检测.
支持SQL注入攻击检测、Bash漏洞攻击检测、心脏出血漏洞攻击检测、协议动态识别、无效SSL证书检测、无效OCSP回应检测、网络应用攻击检测、软件版本脆弱性检测、Shellcode检测、钓鱼网站检测、C&C通讯检测、网络木马检测等.

支持协议分析及文件还原,支持还原的文件格式:PE、TXT、OFFICE、FLASH、PDF、JAVA、WEB、PYTHON、RAR、ZIP、VBS、TORRENT等.

文件检测已知威胁检测采用多个反病毒引擎对流量中的文件进行交叉检测和交叉验证,从而发现其中的已知威胁.
要求本地集成不少于4个反病毒引擎;云端集成不少于20个反病毒引擎.

威胁变种检测采用基因图谱模糊比对技术对流量中的文件进行静态检测,通过结合图像文理分析技术与恶意代码变种检测技术,将可疑文件的二进制代码映射为无法压缩的灰阶图片,与已有的恶意代码基因库图片进行相似度匹配,根据相似度判断是否为威胁变种.

支持Windows、Linux和Android所有的文件格式;支持基因树快速查找比对技术.

未知威胁检测采用沙箱行为模式匹配技术对流量中的文件进行动态检测,根据恶意行为判断是否为威胁变种.

支持各种Windows文件、PE文件、Office文件、PDF文件、HTML文件等的检测.
支持沙箱环境定制;恶意行为模式库不少于300个,支持反沙箱行为检测.
支持恶意代码的行为相似性聚类.
通过聚类分析和文件追溯判断该文件是否为恶意文件.

支持针对文件具有多个恶意行为且成功逃过多个反病毒引擎的检测及基因图谱检测,则该文件极有可能为新型的恶意代码,即未知威胁.

元数据追溯取证追溯取证内置网络流量元数据审计取证引擎,对常见的网络协议流量进行元数据提取及事后追溯取证.
支持的协议包括HTTP、SMTP、FTP、DNS、SSH等;协议分析对网络流量进行协议解析,能够解析的网络协议不少于100种;应用识别对网络流量进行应用识别,能够识别的网络应用不少于3000种会话分析对网络流量进行会话分析,实现网络连接可视化.
系统自身管理过滤设置针对协议的过滤机制,支持HTTP、FTP、SMTP、POP3、IMAP、IRC、KRB、SMB等协议.

针对文件类型的过滤机制,支持PDF、PE、OFFICE、Rar、ZIP、Python、Flash、JAVA、HTML、VBS等.

访问限制管理允许访问的IP段,以及访问时间.
用户管理支持用户组与用户的添加删除以及锁定.
7.
2威胁综合评估引擎规格要求整体要求总体要求可提供包含系统扫描、WEB扫描、数据库扫描、基线配置核查、弱口令扫描、工控漏洞扫描在内的六大扫描能力;产品可灵活调整物理和网络位置,扫描结束后自动生成详细的安全评估报告;可以并行地检查多个被评估目标,提供扫描策略定制;需提供策略保证扫描的安全性,不影响应用系统和网络业务的正常运行;产品界面友好,简洁大方,所有的图形界面、报警信息、报表与文档、技术资料要求均可支持简体中文或英文版本;厂家应针对相关产品提供相应的培训计划;厂家应对所售产品提供不少于三年维保服务;最大可支持无限个IP或域名扫描,提供大于100个IP或域名的并发扫描能力;厂家提供平均每周一次的规则库升级,并提供升级包和漏洞更新公告;产品部署要求支持多个产品分布式部署,统一下发策略,集中管控;产品网络配置需提供快速配置向导,支持快速部署上线;支持对全网扫描结果的集中查询、分析;支持自定义VLAN、路由信息,满足多组链路并行扫描检测;安全管理支持HTTPS/SSH安全访问方式;支持可信IP管理,自定义可访问主机网段或IP;支持自定义登陆超时设置,可以在无人操作时自动登出系统;支持用户多次登录失败时,自动锁定账户;策略管理支持扫描范围自定义、已知资产导入扫描范围、批量导入扫描范围三种方式添加扫描任务;支持扫描执行优先级别设置,灵活调度任务;支持显示扫描剩余时间,随时查看扫描进度结果;支持实时显示扫描结果,在扫描过程中查看资产风险情况;支持多个扫描进度并发统计展示,能够查看历史扫描记录;支持多主机、多线程扫描;支持自适应网络扫描;支持针对已经新建的任务做任务复制,快速生成一个相同任务,支持对复制出来的任务进行再编辑,包括:基本信息、策略、目标范围、调度、扫描参数;支持IPV4、IPV6双协议栈地址扫描;(提供产品功能截图)支持自动定时扫描、周期性扫描和多种计划扫描任务管理功能,可按照指定的时间、对象自动扫描,并自动生成报告,时间可具体到某月、某天、某时、某分;系统漏洞扫描支持50000条以上系统漏洞库,并按照漏洞类别及漏洞威胁程度进行分类;支持漏洞库涵盖标准包含CVE、CVSS、CNVID、CNNVD、CNCVE、Bugtraq编号6种;(提供产品功能截图)支持和微软WSUS补丁系统的联动,方便进行自动化的补丁修补;(提供产品功能截图)支持可对Windows系列、苹果操作系统、Linux、AIX、HPUX、IRIX、BSD、Solaris等目标主机的系统进行扫描;支持SNMP等协议的漏洞检测;(提供产品功能截图)支持对国产化操作系统扫描;支持移动设备扫描;(提供产品功能截图)支持Cisco、Juniper、华为、F5、Checkpoint在内的交换机、路由器等网络设备的漏洞扫描;(提供产品功能截图)支持Checkpoint、赛门铁克、Cisco、Juniper、PaloAlto、华为在内的主流厂商的防火墙等安全设备漏洞扫描;(提供产品功能截图)支持检测VMware、KVM等虚拟化设备;(提供产品功能截图)支持SSH、SMB、TELNET、POP、POP3、IMAP、FTP、RSH、REXEC、WSUS协议的登陆扫描;(提供产品功能截图)支持系统预登陆验证,确保登陆扫描成功;(提供产品功能截图)支持主机存活探测,支持ARP、ICMPping、TCPping及UDPping四种类型;(提供产品功能截图)支持断点续扫功能;支持指定端口扫描,限定端口扫描数量以及TCP、UDP端口扫描开启;(提供产品功能截图)支持单个任务最大并发IP数设置,可设置单个任务并发达到授权允许最大;支持端口扫描方式设置,提供CONNECT和SYN两种方式对端口进行扫描检测;(提供产品功能截图)支持通知被扫描主机设置,在扫描主机的时候会向被扫描主机发送messager消息来通知主机;(提供产品功能截图)支持根据节点名称、设备名称、设备IP范围、设备操作系统、设备风险等级、漏洞名称、时间段进行查询资产风险情况并将查询结果导出;(提供产品功能截图)Web漏洞扫描支持Web漏洞扫描检测基于OWASPTop10标准进行规则定义;(提供产品功能截图)支持爬虫表单自动分析、Javascript解析、Java与HtmlElement自动交互、Ajax解析能力;支持WEB2.
0扫描;支持HTML5扫描;支持WAP协议;支持静态页面、动态页面检测;支持FLASH检测;支持基于HTTPS应用系统的检测;支持HTTP1.
0和1.
1版本的WEB应用系统检测;支持自动探测网段的未知站点,并可转为资产进行WEB扫描;(提供产品功能截图)爬虫结果支持树形结构展示,并支持在对应目录上显示相应漏洞;(提供产品功能截图)漏洞结果展示支持详细的HTTP请求头内容;支持自动发现网站IP地址、服务器架构类型、网站标题、页面编码、物理地址、页面总数等指纹信息;(提供产品功能截图)支持Web登陆扫描,支持Cookie认证、Form认证、Basic认证、NTLM认证、Session认证、Digest认证、SSL;(提供产品功能截图)支持Web登陆验证;支持三种漏洞验证方式:浏览器验证、注入验证、通用验证;(提供产品功能截图)支持Web扫描代理检测,能够使用HTTP代理和SOCKS代理方式;(提供产品功能截图)支持设置预先访问登录URL及POST认证参数;支持自定义检测网站时爬虫爬取网站的页面深度;支持自定义检测方向设置,引擎的爬虫在爬取网站树时,采用的先后顺序策略;(提供产品功能截图)支持标记任务状态区分已修复、误报、新增发现;(提供产品功能截图)支持自定义HTTP请求头设置,引擎爬虫模拟浏览器的UserAgent;支持自定义设置引擎爬虫模拟提交时需要填充的表单的内容;支持例外URL、例外文件、例外特定检测参数设置;(提供产品功能截图)支持并发线程数设置;支持大小写敏感或不敏感的检测方式;支持最大类似页面数和同目录下最大页面数设置;安全基线检测支持对安全对象的配置暴露面进行全面检查,识别内容应包括操作系统和网络及安全设备、数据库和中间件等的账号、口令、授权、日志安全要求、不必要的服务、启动项、注册表、会话设置等配置;针对Linux、Windows、Unix、网络设备、安全设备、数据库、中间件等配置基线漏洞扫描;(提供产品功能截图)支持通过TELNET、SSH、SMB、RDP、WinRM等协议进行安全配置核查;支持对主机设备操作系统Windows系列、Linux系列、HP-UX、AIX、Solaris等的安全配置核查;支持对主流数据库Oracle、Mysql、SQLServer、Sybase、DB2、达梦、人大金仓等的安全配置检查;(提供产品功能截图)支持对主流网络设备思科、华为、H3C、、Juniper等系列交换机和路由器的安全配置核查;(提供产品功能截图)支持对主流安全设备思科、华为、H3C、Juniper、天融信防火墙的安全配置核查.

支持对主流中间件和应用如Apache、IIS、Nginx、Resin、Tomcat、Weblogic、Websphere等的安全配置核查.

支持特定的基线检查模板,涵盖:等保三级检测要求、工信部检测要求、中国电信安全配置规范、中国移动安全配置规范;(提供产品功能截图)核查报告内容应至少包含:检查任务总体概要,检查任务总体合规率,检查对象详细报表,报表中检查项目描述详细、清晰,报表中包含原始结果、实际值、判断说明、加固建议等,支持多种报表导出格式.

数据库漏洞扫描支持主流数据库漏洞的检测,应包括但不限于:Oralce、Sybase、SQLServer、DB2、MySQL、Postgres、Informix等.

支持数据库登录扫描,至少应包括数据库账号,密码,SYSDBA、SYSOPER、NORMAL认证,SID、数据库名称、实例名称及实例号等登录选项的设置.

支持数据库在线登陆验证.
弱口令检测支持目前协议和数据库弱口令检测,TELNET、FTP、SSH、POP3、SMB、SNMP、RDP、SMTP、REDIS、Oracle、MySQL、PostgreSQL、MsSQL、DB2、MongoDB;(提供产品功能截图).

支持用户自定义用户名密码列表导入检测.
支持用户名字典检测、密码字典检测、组合字典检测多种方式;(提供产品功能截图工控设备漏洞扫描支持Modbus、S7、EtherNet/IP、BACnet、Crimson、DNP3、Ecom、Omron、Fox、Foxboro、Hollysys_dcs、Hollysys_lk、IEC104、PCWorx、ProConOS、SNMP、SoundsVirtual、Enip等主流协议支持至少20种厂商,包含施耐德、西门子、AB、欧姆龙、Tridium、Foxboro、和利时、Phoenix、GE、Mitsubishi、Koyo、RedLion、艾默生、三星、研华、罗克韦尔、Panasonic松下、亚控科技、Janitza捷尼查、Modicon莫迪康等;支持工控系统合规性检测,具备工控配置基线核查规则;(提供产品功能截图)支持工控蠕虫病毒检测;(提供产品功能截图)支持自动识别出设备的类型,IP地址,厂商,型号,固件版本号,端口信息,漏洞等信息;(提供产品功能截图)分布式多级管理支持引擎或者下级管理中心自动连接上级管理中心;支持查看连接状态、拓扑结构、下级引擎状态;告警及报表能力报表支持漏洞验证,要求提供详细的验证用例,且漏洞验证需要提供完整的http请求头,并要求提供详细的测试用例;(提供产品功能截图)报告应具有易懂的漏洞描述和详尽的安全修补方案建议,并提供相关的技术站点以供管理员参考;扫描报告应可对安全的威胁程度分级,并能够形成风险趋势分析报表和主机间风险对比分析报告;报表具备导出功能,可以导出5种常见格式的报表,如Excel、Word、HTML、PDF、XML;(提供产品功能截图)支持实时查看报表导出进度;(提供产品功能截图)支持自定义报表种logo及公司信息;(提供产品功能截图)支持报表导出压缩包设置密码;(提供产品功能截图)支持扫描结果自动发送报告至指定FTP服务器;扫描结束自动发送HTML报表到指定邮箱;可跟据漏洞状态(新建、误报、已修复)筛选导出报表;(提供产品截图)支持扫描完成后进行邮件告警、短信告警、SNMPtrap告警、SYSLOG告警、FTP告警;(提供产品功能截图)支持扫描结果自动发送短信,支持http短信网关;(提供产品功能截图)支持扫描结果自动发送微信;(提供产品功能截图)资产管理支持资产自动发现功能,支持利用历史扫描过程中所发现的在线主机信息,来添加部门的资产;(提供产品功能截图)支持显示资产的历史扫描结果,支持显示资产的风险评估值;支持直接查看资产的漏洞扫描情况;(提供产品功能截图)支持对资产及资产检测结果进行备份及恢复;(提供产品功能截图)支持仅对资产检测结果进行备份恢复;(提供产品功能截图)升级、管理规则库支持在线升级,可设置周期自动升级时间,指定时间自动检测升级到最新规则库;支持通过设置代理进行升级;(提供产品功能截图)支持手动升级和本地升级.
升级内容包括最新的规则库和系统版本;(提供产品功能截图)支持新建自定义功能权限的用户;(提供产品功能截图)支持日志存储告警,能够灵活配置存储空间占用阈值,触发后告警;(提供产品功能截图)支持SSL的Web界面、SSH、Console等多种方式对系统进行管理;支持ping,wget对网络进行诊断;+AA1:B1207.
3云平台安全监测及防御引擎规格要求系统功能要求核心功能网络部署应支持旁路模式部署支持快速配置模式支持一键快速检测设备部署状态应能支持VLAN划分,支持多VLAN环境下的部署网站自学习能够对镜像流量进行分析,自动学习到网站的标题、IP地址、URL,包括端口号支持对自学习的资产进行自动或手动分组支持内核模式以及caphttp模式进行流量学习网站流量分析能够查看今天、昨天、近7天、近30天的网站访问情况;首界面支持显示网站访问量最高top10以及最低top10支持自定义时间查看网站访问流量指纹学习能够检测出Web系统所对服务器中间件、操作系统、网站编码、物理地址信息,并支持批量导出.

能够以饼形图的方式,对全网Web站点的操作系统、中间件的信息进行统计展示后门检测支持通过流量分析检测网站后门,并能够自动判别是否后门攻击类型能够对来源IP进行统计、并以饼图的形式进行显示能够查看后门连接的来源IP、请求数据、时间、后门类型,并标注安全等级备案管理应能够以四种状态描述网站备案状态,未审核、已审核、未申请、已驳回能够查看备案流程,包括操作时间、操作原因应能在审核备案的界面直接查看网站的安全状态,包括漏洞情况、篡改情况、敏感词、暗链、后门情况应能在申请备案时输入网站详细信息,包括联系人及联系方式、应急联系人及联系方式、网站运行方式、服务类型等漏洞管理能够在界面中显示含有相同漏洞的网站数量.
支持图形化形式查看各网站的漏洞变化情况旁路阻断支持配置手动及自动阻断,可基于篡改、后门、暗链、敏感词等事件进行阻断配置阻断策略时,支持选择漏洞进行阻断能够在旁路部署的模式下,实现对于不合规网站进行阻断Web检测应支持对Oracle、MySQL、SQLserver等数据库的SQL注入攻击漏洞进行扫描评估检查应支持对XSS跨站脚本攻击漏洞进行扫描评估检查应支持对Apache、Tomcat、IIS等系统漏洞进行扫描评估检查应支持对网络爬虫、扫描器的信息泄露、目录遍历等攻击方式进行扫描评估检查应支持对CSRF、Shell上传文件等漏洞进行扫描评估应支持对独立域名、范围域名进行自定义漏洞扫描评估应支持五种以上Web扫描深度策略,高危漏洞、中危漏洞、低危漏洞、SQL注入漏洞、跨站脚本攻击漏洞等应支持三种以上扫描类型,深度扫描、普通扫描、快速扫描等.
应支持自定义每日、每周、每月等时间进行Web扫描应支持在扫描过程对扫描时间、扫描URL地址、扫描进度进行实时监控应支持对在Web扫描中对空闲的CPU、内存使用进行手工释放,提高扫描器使用效率能对Web扫描的漏洞提供快速的链接和方法能自定义白名单,排除已知的链接应支持对系统漏洞扫描进行日志记录,需有URL地址、URL域名、严重级别、漏洞类型、规则ID号等详细记录应支持对Web漏洞扫描进行日志记录,需有IP地址、漏洞描述、漏洞名称、CVEID、严重级别、版本号、服务及端口号等详细记录审计及告警应支持对系统内部操作进行审计日志记录应支持对系统日志进行备份,支持手工备份和自动备份两种模式所有日志记录应支持第三方日志服务器记录,并预留有第三方日志服务器接口应支持对系统漏洞、Web漏洞进行告警功能,同时支持SNMPv1、SNMPv2、SNMPv3、Syslog协议,并以短信、邮件进行实时告警支持微信告警能提供弹窗的报警模式,便于管理员管理系统漏洞扫描支持对网络主机(如网络打印机、服务器、客户机等)、网络设备(Cisco、3Com、Checkpoint等主流厂商网络设备)、操作系统(MicrosoftWindows9X/NT/2000/XP/2003、SunSolaris、HPUnix、IBMAIX、IRIX、Linux、BSD和国产麒麟操作系统等)以及应用系统等进行漏洞扫描检测.

敏感信息检测能对网站存在的敏感信息进行检测,检测种类不少于4种类型的敏感信息能自定义倒入敏感信息;能自定义设置不同级别的检测敏感度篡改监控能进行配置自动分发功能能对网站发生的改动行为进行监控能清晰展现篡改发生的现场信息实时监控对下设网站的漏洞情况具有基于严重程度的分析图示,能够列出漏洞最多的top10站点能支持动态的展示每个网站的状态对于网站安全情况能够利用滚屏实时进行呈现报表功能能够根据网站的访问防护的网站、被篡改内容、篡改内容的类型、试图进行的篡改、成功的篡改、发现的日期、事件发生的日期等条件进行详细信息的查询.

报表应该可以通过表格以及图形方式进行展现,支持将生成的报表以Excel、word、HTML及PDF等通用格式输出.

支持自定义报表的页眉页脚、封面信息支持自用的网站备案模板支持公安部规定的网站模版报告升级系统每月提供一次规则升级;紧急事件第一时间提供升级.
支持系统的离线升级支持规则库的离线升级及在线自动升级支持ARP绑定支持静态路由管理用户自注册管理允许用户在服务器上进行自我注册、自我服务,自我设置网络监控允许批量、自定义导入、导出监控报告可管理性管理功能统一监控能进行集中管理和统一监控,并且支持8级级联部署能够以漏洞情况、安全事件情况两种维度对网站进行划分能够显示出漏洞数最多的TOP10网站cc支持多级用户管理,支持的用户至少包括:系统管理员、策略管理员、审计管理员账号及认证管理至少支持以下帐号管理功能:帐号创建、帐号授权、帐号属性修改和帐号删除进行身份认证,用户切换角色时,必须进行重新认证支持超时重新认证机制并能够定义用户认证尝试的最大允许失败次数支持HTTPS的Web界面、SSH、Console、WebShell多种方式管理界面支持远程技术支持信息提取支持ping,tcpdump,ifconfig,urltest安全性管理员认证对授权进行严格管理,并且下列权限只能授权给管理员:1)管理员属性修改(如密码更改等);2)增加或撤消对被保护目录的监控;3)授权合法用户对网页内容进行合法更新权限管理对管理员身份进行严格认证,并且只有授权的管理员才能使用产品的管理功能对授权进行严格管理,并且下列权限只能授权给管理员:1)管理员属性修改(如密码更改等);2)增加或撤消对被保护目录的监控;3)授权合法用户对网页内容进行合法更新7.
4数据库审计规格要求系统功能要求硬件规格指标项指标要求外形标准2U机架设备硬盘2*1T/SATA网口6*100/1000电口,支持至少一个扩展槽位,可扩展4千兆电口卡或2千兆光口卡性能峰值处理能力20000条语句/秒日志存储能力16亿条日志存储能力网络流量驱动过滤支持驱动过滤,在流量进入网卡之前对网络流量进行扫描,对无用的信息从网络层进行过滤;(网络驱动过滤,减少30%资源占用率,提供配置项截图).

突发流量处理能力性能有多级缓存机制,能够在突发流量超出性能设计指标的30%以内流量时,系统能够保证在2个小时内不漏审.

部署方式旁路部署可通过端口镜像(SPAN)或者分流器(TAP)模式旁路部署,无需改造网络、无需在服务器上安装插件、对服务器零干扰、不影响性能、无需服务器账号信息、无需重启服务器、不中断业务.

分布式部署支持分布式部署方式,并支持数据库审计集中管理功能,可快速查看所有审计系统的状态、风险状态等,方便区域性管理及防护策略的落实.

虚拟化、小型云、大型云支持Agent引流,运行时CPU占用率低于3%,内存占用小于100M,程序文件小于2M,可以提供SDN无插件引流方案与云平台进行对接整合.

数据库审计数据库支持支持的数据库:Oracle、SQL-Server、DB2、Informix、Sybase、MySQL、PostgreSQL、达梦、人大金仓、南大通用Gbase、神舟、Hbase、IP21、Caché、等.
旁路阻断旁路阻断功能(非串联方式)不改变网络结构、不安装插件,设备异常不影响网络.
阻断模式具备"严格模式"与"宽松模式".

数据库自动发现系统能自动发现网络中存在的数据库,并自动添加成审计对象进行审计,简化操作,避免用户因模糊记忆引起的配置故障.

新数据库定制支持响应能力对于新型数据库审计需求快速响应、快速适配,率先能够支持Hbase、IP21数据库的审计(提供Hbase、ip21等数据库审计项目案例).

Hadoop审计能力支持Hadoop架构下的大数据库Hbase审计;支持solr全文检索数据库审计;支持HIVE、phoenix等操作工具的审计(要求提供功能效果截图并厂家盖章证明).

支持Hive-hwi、Hive-view、Hive-hue,能审计到HadoopHivesql创建数据库、建表、删除表、修改表结构、创建/删除视图、向数据表内加载文件、将查询结果插入到Hive表中、基本的查询等操作支持全文检索数据库solr的审计,能审计到solr的查询、插入行为的操作信息支持Hbase的JDBC、NativeJavaAPI等接口的调用审计支持多个node节点的审计,并对结果进行统计Caché审计能力支持Caché的后关系型数据库的审计,支持的版本包括:Caché5.
2.
4/2010/2015/2016(要求提供功能效果截图并厂家盖章证明,至少8个以上用户案例).

Terminal:能够审计操作数据库的M语言指令,并能审计到do操作返回的结果内容(要求提供功能效果截图并厂家盖章证明,至少8个以上用户案例).

Portal:可以审计执行的sql语句和global操作及文件导入导出操作,并能审计到global变量返回的结果(要求提供功能效果截图并厂家盖章证明,至少8个以上用户案例).

Studio:能够审计通过Studio工具对数据库进行读写调试等编程操作,长语句审计可支持3万字节(要求提供功能效果截图并厂家盖章证明,至少8个以上用户案例).

Sqlmanager:可以审计传统sql语句访问Cache数据库操作(要求提供功能效果截图并厂家盖章证明,至少8个以上用户案例).

MedTrak:可以审计通过Medtrak执行do操作的详细指令,并且可以审计到访问数据库的返回结果内容,通过应用层账号直接定位到人,(要求提供功能效果截图并厂家盖章证明,至少8个以上用户案例,提供合同复印件).

IP21审计能力支持对实时数据库IP21的审计,可审计到WEB操作指令及API调用的指令,并且可审计到返回的位号(要求提供案例、功能效果截图并厂家盖章证明,并提供具体的案例合同).

SQL语句审计能力支持数据库嵌套、函数审计(sum求和函数等)、返回结果、脚本等审计(要求提供功能效果截图并厂家盖章证明).

绑定变量:可以审计通过隐藏用户名的绑定变量,包含动态和静态变量的方式访问数据库行为,如:Varchar、Nvarchar、int、shortint、tinyint、biint、float、guid、datetime、datetime2、image、Nvarchar等(要求提供功能效果截图并厂家盖章证明).

运维工具的审计对图形界面运维工具检索后再删除检索出的记录,能够审计到删除的具体记录内容(要求提供功能效果截图并厂家盖章证明).

SQLserver加密协议审计支持对MSSQLServer加密协议的审计,可正常审计到数据库账号、操作系统用户名、操作系统主机名等身份信息,无需重启计算机(要求提供功能效果截图并厂家盖章证明).

端口重定向审计支持端口重定向审计,在服务器端口变化动态协商为其他端口时同样能精确审计.

语句审计能力针对传统型数据库,支持3万字节审计而不截断,支持对执行时间长达48小时操作的审计B/S三层架构审计支持B/S应用系统三层架构http应用审计,可提取包括应用系统的人员工号(账号)在内的"六元组"身份信息,精确定位到人,并可获取XML返回结果.
支持框架:tomcat、apache、weblogic、jboss(要求提供功能截图并厂家盖章证明)C/S三层架构审计支持带COM、COM+、DCOM组件的三层架构应用审计,可提取包括应用层工号(账号)之内的"六元组"身份信息.

系统语句过滤支持添加系统语句规则来过滤系统语句,根据系统语句定义规则进行应用层过滤(要求提供功能截图并厂家盖章证明).

白名单支持白名单管理,根据白名单(条件为IP/MAC/数据库账户/审计对象/操作语句)定义规则进行应用层过滤).

跨交换机环境真实MAC的审计支持跨交换机环境中审计到访问者的真实MAC地址网络协议审计ftp审计能力支持对FTP协议的审计,支持对文件上传下载的审计,可审计到下载的文件名及内容和上传的文件名(要求提供功能截图并厂家盖章证明).

telnet审计能力支持对TELNET协议的审计,支持类似于terminal等远程工具的审计,并且可返回查询结果(要求提供功能截图并厂家盖章证明).

Smtp审计能力支持对SMTP协议的审计,能审到邮件标题、正文和.
可下载并能识别内容(要求提供功能截图并厂家盖章证明).

Pop3审计能力支持对POP3协议的审计,能审到邮件标题、正文和.
可下载并能识别内容(要求提供功能截图并厂家盖章证明).

NFS审计能力支持NFS协议审计,能审计到文件名.
安全审计暴力破解系统应具备防范非法IP地址、防范暴力破解登录用户密码(能够对连续失败登陆进行自动锁定,锁定时间可设置)等安全功能.

非法进程监控可监控发现未知仿冒进程工具,如通过非法第三方工具连接数据库进行风险操作的行为权限滥用监控可监控权限滥用行为,对超出用户权限范围内的操作根据IP、MAC等五元组实时监控提权监控可审计通过grant语句进行提权操作的审计,SQL注入支持对SQL注入的审计,内置疑似SQL注入的规则跨站脚本支持对跨脚本攻击的审计,内置防跨脚本攻击的规则拖库检测支持对拖库行为的审计,内置防拖库行为规则APT攻击支持APT攻击的审计,可通过结合多种操作行为结果来统一分析(要求提供功能截图并厂家盖章证明).

审计策略自定义审计策略审计策略支持18种以上分项响应条件;可支持数据库操作命令(包括select、create等14个命令);语句长度、语句执行回应、语句执行时间、返回内容、返回行数、数据库名、数据库账户、服务器端口、客户端操作系统主机名、客户端操作系统用户名、客户端MAC、客户端IP、客户端端口、客户端进程名、会话ID、关键字、时间(含开始结束日期)等内置丰富的规则库内置疑似SQL注入、跨站脚本攻击、数据库导库、字段猜测、代码更改、等近百种高危风险审计规则库,无需单独配置,直接调用(要求提供功能截图并厂家盖章证明).

关键字审计可对SQL语句中提取任意关键审计,可对应用层协议中任意方法,如HTTP中的get、post、head等关键字进行审计,包括支持对协议方法内容中的关键字提取审计.

组合规则支持操作语句系列的组合审计规则,可根据某一客体的操作行为序列,连续操作了设定的语句序列时进行规则审计告警(要求提供功能截图并厂家盖章证明).

统计规则支持重复操作的统计审计规则,可根据在一定的时间内,重复某项操作达到设定的统计次数进行规则审计告警(要求提供功能截图并厂家盖章证明).

监控记录检索与统计检索能力支持全数据库检索,检索效率高达亿条数据秒级响应,快速定位相应的审计会话内容.

查询细粒度可根据审计对象、风险级别、行为状态、事件范围、处理状态、操作类型、客户端IP、进程名、数据库账户、应用账户等三十种条件进行精细化查询.

自动图形化展示实现对所有违规事件出现频率进行图形化的汇总统计分析,并提供对汇总结果的实时查询功能;可以对客户端使用的程序、客户端IP、用户名进行图形化排名展示,并生成报表事件回放可根据事件的时间范围、客户端IP、关键字、进程名、数据库账号、规则名、客户端端口号、返回内容等多种条件进行事件回放,回溯事件过程.

报表导出支持查询结果自定义报表,支持Word、PDF、xls格式报表导出防规避监控三权分立提供管理员权限设置和分权管理,审计用户,系统管理用户、规则管理用户权限分开,相应权限的用户只能查看、管理相应的功能,责任明确,相互监督.

防拔插/网络断流监控拔插网口,或者更改镜像配置导致无流量导入的监控防设备拆箱监控对于拆开主机机箱破坏审计设备物理器件规避审计行为能主动发现并告警(要求提供功能设计说明并厂家盖章证明).

易用性与灵活性翻译功能支持审计对象、用户别名管理,实现对SQL语句转换成中文自然语言的描述功能,便于非技术人员理解审计内容系统健壮性异常检查提供系统漏包告警、磁盘存储容量不足等情况时的自动报警提醒自身防护隐秘处理对审计记录返回内容中的敏感数据能进行隐秘处理,防止二次泄露(要求提供功能截图并厂家盖章证明).

密码复杂性要求管理员登陆支持静态口令认证,密码短信认证.
支持密码的复杂性管理,支持限制登录时间、登录次数、锁定用户时间、超时退出时间、密码最短长度、密码最长长度、密码过期时间、密码过期状态自身安全防护系统本身具备访问防火墙,对于系统的异常访问可对账号进行强制下线管理,能有效防范非法IP地址、防范暴力破解登录用户密码(能够对连续失败登陆进行自动锁定,锁定时间可设置)、设置系统黑白名单等安全功能可视化报表预定义报表系统内置多种丰富报表,基于合规的等保报表、基于数据库访问源、目的服务器的多维度分析报表,并且支持excle、word、PDF等格式导出自定义报表支持自定义报表,客户可根据需求定义报表的统计内容,报表支持塞班斯(SOX)法案、等级保护标准要求生成多维度综合报告;支持按照源IP地址、客户端工具、帐号、告警数等源信息生成报表;支持按照数据库访问行为生成报表;可自定义条件生成报表告警方式Syslog系统支持管理界面告警,支持Syslog方式告警RaBbitMQ系统支持管理界面告警,支持RabbitMQ的日志接口snmp系统支持管理界面告警,支持snmp方式告警Email与短信系统系统支持管理界面告警,支持邮件和第三方短信平台方式的告警短信猫提供短信猫实现短信告警方式设备运行状态监控设备运行状态监控支持本地和数据中心查看CPU、内存、磁盘、网口、运行状态等信息流量监控可以对系统的流量进行统计监测并提供检测的数据指标数据管理自动清理支持根据保留天数和占用百分比自动清理数据备份提供审计数据管理功能,能够实现对审计数据的自动备份、手动备份,支持增量、全量备份方式ftp上传备份数据可自动存储在指定的FTP服务器上;互联互通能力级联接口通过级联接口可实现设备的分布式管理互连接口通过互联接口可与堡垒机联动阻断,在审计风险操作后通过互联接口通知堡垒机执行操作的阻断(建议根据项目统一品牌,提供案例合同).

日志接口可将日志信息通过API接口或SNMP等协议发送到第三方日志管理平台统一管理短信接口支持短信猫及短信平台的对接,通过与短信平台对接,统一短信告警7.
5无线AP规格要求7.
5.
1室内AP规格要求硬件规格项目描述尺寸(不包含天线接口和)170x170x39mm以太网口1*10/100/1000MbpsConsole口1个RJ45口USB口1个USB口PoE支持802.
3af/802.
3at兼容供电本地供电12V/2A发射功率≤20dBm可调节功率粒度1dBm可调功率范围1dBm~相应国家规定功耗250000H软件规格项目描述射频空间流数(streams)2单频最大传输速度2.
4G:400Mbps5G:867Mbps工作频段802.
11ac/n/a:5.
725GHz-5.
850GHz;5.
15~5.
35GHz(中国)802.
11b/g/n:2.
4GHz-2.
483GHz(中国)调制技术OFDM:BPSK@6/9Mbps、QPSK@12/18Mbps、16-QAM@24Mbps、64-QAM@48/54MbpsDSSS:DBPSK@1Mbps、DQPSK@2Mbps、CCK@5.
5/11MbpsMIMO-OFDM:MCS0-15MIMO-OFDM(11ac):MCS0-9调制方式11b:DSS:CCK@5.
5/11Mbps,DQPSK@2Mbps,DBPSK@1Mbps11a/g:OFDM:64QAM@48/54Mbps,16QAM@24Mbps,QPSK@12/18Mbps,BPSK@6/9Mbps11n:MIMO-OFDM:BPSK,QPSK,16QAM,64QAM11ac:MIMO-OFDM:BPSK,QPSK,16QAM,64QAM,256QAM支持信道数802.
11a、802.
11n、802.
11ac(兼容802.
11a模式):13个信道802.
11b、802.
11g、802.
11n(兼容802.
11b/g模式):13个信道信道自动、手动调整支持功率自动调整支持功率手动调整AP可手动功率调整,调整粒度为1dBm,调整范围为1dBm~国家规定功率范围射频定时开启或关闭支持基于时间段定时开启或关闭射频覆盖黑洞检测及补偿支持WLAN功能最大接入用户数256(单射频最大接入用户数128)接入用户数限制支持,并支持基于SSID的接入用户数限制虚拟AP32中文SSID支持SSID隐藏支持无线中继/网桥支持点对点、点对多点基于用户、流量、频段的智能负载均衡支持带宽限制支持基于STA/SSID/AP的限速STA相关支持STA异常下线检测、STA老化、基于STA的统计和状态查询等链路完整性检测支持安全认证认证方式支持预共享秘钥、Portal、802.
1x、CA证书认证、微信认证、短信认证、二维码认证、临时访客认证、免用户认证、WAPI个人认证、WAPI企业认证、Facebook认证预共享秘钥WPA-PSK、WPA2-PSK、WPA-PSK/WPA2-PSK混合加密Portal认证支持智能识别终端类型,为不同终端推送合适匹配终端的尺寸页面,支持自定义页面logo、展示信息等,并支持设置验证、认证间隔和断线重连需再次认证的时间阈值.

802.
1x认证支持802.
1x一键自动配置部署,支持802.
1x无感知认证,只需首次接入时,下载一键自动配置工具,快速完成无线网络配置,极大减少了网络部署工作.

7.
5.
2室外AP硬件规格项目描述型号NAP-8000(L)尺寸(不包含天线接口和)242mm*242mm*68mm网口2个10/100/1000Mbps接口(RJ45)1个SFP接口Console口1个Micro-USB管理口POE802.
3at发射功率≤27dBm可调节功率粒度1dbm可调功率范围3dbm~相应国家法规功耗250000H软件规格项目描述型号NAP-8000(L)射频空间流数(streams)2单频最大传输速度2.
4G:300Mbps5G:867Mbps工作频段802.
11ac/n/a:5.
725GHz-5.
850GHz;5.
15~5.
35GHz(中国)802.
11b/g/n:2.
4GHz-2.
483GHz(中国)调制技术OFDM:BPSK@6/9Mbps、QPSK@12/18Mbps、16-QAM@24Mbps、64-QAM@48/54MbpsDSSS:DBPSK@1Mbps、DQPSK@2Mbps、CCK@5.
5/11MbpsMIMO-OFDM:MCS0-15MIMO-OFDM(11ac):MCS0-9调制方式11b:DSS:CCK@5.
5/11Mbps,DQPSK@2Mbps,DBPSK@1Mbps11a/g:OFDM:64QAM@48/54Mbps,16QAM@24Mbps,QPSK@12/18Mbps,BPSK@6/9Mbps11n:MIMO-OFDM:BPSK,QPSK,16QAM,64QAM11ac:MIMO-OFDM:BPSK,QPSK,16QAM,64QAM,256QAM支持信道数802.
11a、802.
11n、802.
11ac(兼容802.
11a模式):13个信道802.
11b、802.
11g、802.
11n(兼容802.
11b/g模式):13个信道信道自动、手动调整支持功率自动调整支持功率手动调整AP可手动功率调整,调整粒度为1dBm,调整范围为3dBm~国家规定功率范围射频定时开启或关闭支持基于时间段定时开启或关闭射频关闭MIMO支持,可选择射频口进行单流输出WLAN功能最大接入用户数256(单射频最大接入用户数128)接入用户数限制支持,并支持基于SSID的接入用户数限制虚拟AP32中文SSID支持SSID隐藏支持无线中继/网桥支持点对点、点对多点基于用户、流量、频段的智能负载均衡支持带宽限制支持基于STA/SSID/AP的限速STA相关支持STA异常下线检测、STA老化、基于STA的统计和状态查询等链路完整性检测支持7.
6无线AC规格要求硬件规格项目描述端口数量6个千兆以太网口(可扩展)1个RJ45Console口2个USB2.
0口外形尺寸(长*宽*高,单位:mm)430*375*44.
5重量6.
65kg功耗<180w电源单电源输入输入电压额定电压范围:100V~240VAC;50/60Hz最大电压范围:90V~264VAC;47/63Hz工作/存储温度-10℃~55℃/-40℃~70℃cc工作/存储湿度5%~95%(非凝结)硬盘128GSSD软件规格基础性能缺省管理AP数32最大管理AP数288/1200(集中转发/本地转发)APLicense步长1最大在线并发用户数15000最大并发连接数200000每秒新建连接数7000内置本地认证账户数65000VLAN数量4094ESSID数量(每射频口)16无线基础802.
11协议簇支持802.
11a/b/g/n/ac/wave2;支持802.
11e/802.
11i/802.
11h/802.
11k/802.
11v等7.
7交换机规格要求7.
7.
1无线汇聚交换机整体要求24个千兆POE电口,4个10GSPF+万兆光口,支持IEEE802.
3af/at供电标准,单端口最大输出功率30W,整机最大输出功率370W1个Console口100-240VAC,50/60Hz工作温度:0°C~40°C存储温度:-40°C~70°C相对湿度:5%~90%RH无凝结336Gbps/3.
36Tbps108Mpps/126Mpps支持胖瘦一体化,支持智能交换机和普通交换机两种工作模式,可以根据不同的组网需要,随时灵活的进行切换二层广播自动发现控制器配置静态IP地址三层发现控制器DHCPOption43方式发现控制器DNS域名发现控制器通过控制器一键替换"按钮"即可完成故障设备替换支持STP、RSTP、MSTP协议支持IGMPv1/v2/v3Snooping支持4K个VLAN支持IEEE802.
3az标准的EEE节能技术:当EEE使能时,从而大幅度的减小端口在该阶段的功耗,达到了节能的目的.