网络信息安全系统升级建设方案

网络信息安全系统升级建设方案网络信息安全系统升级建设方案一．网络安全现状目前我院军卫一号业务网采用的是星树型混合网络结构，作为我院的业务网，核心交换机为H3CS12508高速三层核心交换机，两台核心设备通过设置网络虚拟化技术实现热备（异地多核心），保证网络不间断运行；全网根据楼宇和重要区域都实现了VLAN划分，以保障网络故障和攻击不会蔓延全网；网络中部署了医保、预约、银医、网络中心外网防火墙等共计四台,将院内网与外网进行有效隔离，保障内网不受外部网络的攻击；免费防病毒企业版系统一套，对网络病毒和各种攻击进行实时监控和防御。整个网络安全拓扑结构如图1所示。图1我院现有网络拓扑图网络信息安全系统升级建设方案全文共10页，当前为第1页。三．网络安全建设方案网络信息安全系统升级建设方案全文共10页，当前为第1页。我院将在现有网络安全基础上，建立全新企业级防病毒系统，保障病毒库实时监控、查杀网络病毒，并能及时更新病毒库，下载漏洞补丁并自动修复；新增终端管理及准入控制系统，严格控制外来人员或未知网络设备连接网络进行数据访问，并对U盘实施严密管控，也方便技术人员管理终端系统；建设IP地址管理系统，严格IP地址的授权、更新、更改，完善网络安全体系构架。建设完成后，我院网络安全体系架构如图2所示。图2计划建成后网络安全体系拓扑图网络信息安全系统升级建设方案全文共10页，当前为第2页。如图2所示，新增网络安全设备全部旁接在主要网络中，即能够对网络异常行为进行实时监控和及时处理，同时也不会占用医院信息系统资源，不会影响服务器性能和业务数据的传输速度，在保障临床业务正常开展的情况下确保网络信息的安全。网络信息安全系统升级建设方案全文共10页，当前为第2页。技术参数要求网络信息安全系统升级建设方案全文共10页，当前为第3页。1.防病毒系统（PC、服务器、虚拟化、移动终端）网络信息安全系统升级建设方案全文共10页，当前为第3页。功能指标要求品牌要求迈克菲、卡巴斯基、360、亚信、赛门铁克安装环境支持客户端支持操作系统：WindowsXP/Windows7/Windows8/Windows10；WindowsServer2003/WindowsServer2008/WindowsServer2012；Unix、SUSELinux/RedHatLinux/CentOS/Ubuntu等；★虚拟化杀毒支持VMware、Ctrix、Microsoft、Huawei、H3C等国内外主流虚拟化厂商平台，提供兼容性认证材料或厂商官方网站截图证明★移动客户端环境支持Android4.0以上，iOS7.0以上系统；授权数★支持50台windows物理服务器终端，30颗CPU（或150台）虚拟机服务器终端，支持不少于2500台计算机终端（包括500台移动终端）；杀毒功能★防御和查杀目前已知所有病毒，对新型未知病毒能有效防御并及时取样、定型、更新病毒特征库，有效清除病毒；系统管理控制中心采用B/S架构管理端，具备设备分组管理、策略制定下发、全网健康状况监测、统一杀毒、统一漏洞修复、网络流量管理、终端软件管理、硬件资产管理以及各种报表和查询等功能；产品支持终端保护密码，设置密码后，终端退出或卸载杀毒、或安装控制中心，都需要输入正确的密码方可执行；支持网页访问部署、离线安装包部署、域推送等部署方式，可自定义部署通知邮件及部署通知公告；要求产品具备本地多引擎查杀能力，且引擎可配置；要求产品具备公有云检测能力，并且公有云特征储备超过100亿；要求产品具备主动防御技术；要求产品具备应用级沙箱技术；要求支持文件解压缩病毒查杀，支持对zip、rar、7z等多种格式的压缩文件查杀能力；要求支持以自定义黑白名单的方式来管理全网终端的文件，管理员可以将文件加入白名单或者黑名单。如果文件被加入白名单，客户端就不会再查杀此文件，加入黑名单，客户端就不可以执行此文件；对勒索病毒提供防护机制，尝试提供解密工具，解密工具应为自主研发（提供产品功能界面截图并加盖原厂公章）病毒库升级管理要求支持服务器端病毒库的定时更新和手动更新两种升级模式补丁分发与漏洞修复产品具备漏洞集中修复、强制修复、自动修复、蓝屏修复功能；产品具备漏洞集中修复过程中的流量控制和保证带宽,补丁分发支持服务端带宽限流与客户端P2P补丁分发加速，有效节省外网带宽资源用户管理支持控制台多用户分级管理网络信息安全系统升级建设方案全文共10页，当前为第4页。服务器端网络信息安全系统升级建设方案全文共10页，当前为第4页。要求至少支持WindowsServer2003、2008、2012三个版本操作系统平台的杀毒防护与漏洞管理，并可对Windowsxp和WindowsServer2003提供后续漏洞防护；至少支持3个以上Linux服务器版本并且可以和Windows统一管理。虚拟化杀毒★虚拟化产品控制中心授权永久有效，当虚拟化平台扩容新增时无需额外购买控制中心的扩展升级授权；一体化控制中心，自带高性能数据库，无需外置数据库即可实现日志存储和分析关联；采用独立安全接口，无需依赖虚拟化平台安全组件即可实现安全功能；支持统一部署，对Windows、Linux操作系统，物理服务器、虚拟机具备相同的防护模式，统一管理界面；产品支持VMwarevShpere、CtrixXen、MicrosoftHyper-V、HuaweiFusioncompute、H3CCAS等平台的虚拟机导入，并可在同一个管理平台进行统一管理；产品除支持一般性病毒木马查杀外，还支持宏病毒、敲诈勒索病毒、注册表病毒、间谍软件、僵尸远程软件等特定恶意文件的查杀；产品支持3种以上病毒查杀引擎，根据不同的虚拟化环境和查杀要求可灵活开启关闭；支持手动黑白名单操作，对目录、文件、扩展名进行信任操作，以提升查杀效率以及降低误杀率；支持感知物理机的任务状态，智能调度任务执行，防止引发启动、查杀风暴网络信息安全系统升级建设方案全文共10页，当前为第5页。移动终端杀毒网络信息安全系统升级建设方案全文共10页，当前为第5页。★支持从服务器管理端对医院所有移动终端查杀病毒和木马；客户端部署方式支持网页部署、邮件部署和应用市场部署；支持完善的设备基本信息展示，包括设备使用人名称、注册邮箱、手机型号、系统版本、设备所有权、最后一次在线时间等；支持根据在线频度（在线、离线时间）、设备所有权、系统版本、设备状态等筛选对应设备；支持应用黑白名单设置；支持设备事件日志，记录并展示设备的违规事件、执行策略、拦截事件和日常事件验收要求在授权数内实施完医院现有约2100台终端、100台虚拟机服务器、50台物理机服务器之后才进行项目验收。资质1.所投产品具备计算机信息系统安全专用产品销售许可证、软件著作权登记证书；2.病毒检测率≥95%，出具公安部检测证明复印件，原件备查质保期原厂质保三年及以上（提供原厂商售后服务承诺函加盖原厂鲜章）网络信息安全系统升级建设方案全文共10页，当前为第6页。2.终端管理及准入控制系统（白名单）网络信息安全系统升级建设方案全文共10页，当前为第6页。功能技术要求品牌国内外知名品牌系统部署要求系统部署方法简单，不影响现有网络基础架构及网络运行；要求支持复杂网络环境，不受网络防火墙限制授权数★不少于2500台终端客户端部署客户端安装部署简单多样；客户端部署支持windowsxp、win7、win8、win10等系统，兼容32位与64位系统；支持移动操作系统如IOS、android、wp、mac等；系统支持客户端在线自动更新；系统支持远程卸载功能，并提供离线状态下的客户端手动删除功能终端准入功能①★得到授权的合法计算机可入网正常访问网络和所有服务器；未得到授权的计算机无法访问受限服务器；有效避免外来终端仿冒网内合法计算机的IP/MAC地址和计算机名非法入网；②有效避免以私接路由器的方式违规接入网络；③支持冗余有线网卡、无线网卡、3G网卡、MODEM、ADSL、ISDN等设备的外联控制；违规外联发生时可针对内外网连接状态分别设置违规处理措施；④支持标准802.1X准入，支持动态VLAN、动态ACL下发；⑤提供硬件准入控制设备，设备需支持旁路部署方式，避免串行设备部署出现单点故障；⑥配合终端准入设备，可支持终端安全检查失败本地ACL隔离机制，可基于协议、特定端口、端口范围、特定地址、IP范围、URL来控制终端访问权限，从而无需操作交换机达到终端网络控制目的，实现细粒度的访问控制管理，支持不同终端修复区域定义；⑦支持终端合规检查，可以检查IP地址获取方式、杀毒软件是否安装以及更新时间等项目，未通过的，不能访问受限服务器；⑧对于特殊设备，支持白名单管理，无需认证管控模式采用网络集中式管控，支持多用户管理及权限划分移动终端管理对接入军卫网的所有移动终端实现安全管控：①支持安全策略展示，展现所应用的策略和未应用策略，可选择应用策略；②可对全部或者部分设备进行清除工作数据、下发锁屏密码、锁定设备、解锁设备、锁定工作区、解锁工作区、启动关闭鸣响、推送消息、推送链接、同步邮件以及企业所有权设备全部数据擦除等操作；③支持设备位置管理，定位设备，记录设备位置信息，展示所有设备的地理位置；④支持工作区界面与个人区界面完全隔离，工作区界面只展示工作邮箱、工作信息、工作应用等内容；网络信息安全系统升级建设方案全文共10页，当前为第7页。⑤支持工作区锁屏，可设置手势密码、数字密码等锁屏密码及密码更换周期，能对工作区内运行的数据进行加密；网络信息安全系统升级建设方案全文共10页，当前为第7页。⑥支持功能禁用：设定某一区域内禁止使用相机、WiFi、蓝牙、移动数据（2G/3G/4G）的强制开关，禁止恢复出厂设置；⑦支持违规检测，可检测设备是否root，离线是否超过指定时间，是否感染病毒，是否更换SIM卡。检测到违规操作后，可进行违规处理，对部分或者全部违规设备进行清除工作数据、下发锁屏密码、锁定设备、解锁设备、锁定工作区、解锁工作区、推送通知、推送链接、启动响铃、关闭响铃等操作；⑧支持应用黑白名单设置；⑨支持设备事件日志，记录并展示设备的违规事件、执行策略、拦截事件和日常事件PC终端管理①对即时通讯工具以及游戏、视频播放等系统资源滥用的管理，规范员工的终端使用行为，避免工作时间非工作行为的发生，提高工作效率；②支持终端进程黑名单、白名单功能；③支持网址白名单，通过信任网址白名单可以管理企业网络内信任的网址，加入信任后终端不再将此网址视为威胁，支持网址黑名单，可设置终端不能访问的网址URL，终端访问这些URL时会被拦截，并展示拦截记录；④支持对终端各种外设（USB存储、硬盘、存储卡、光驱、打印机、扫描仪、摄像头、手机、平板等）、接口（USB口、串口、并口、1394、PCMIA）设置使用权限；⑤支持对终端桌面系统的账号密码、本地安全策略、控制面板、屏保与壁纸、浏览器安全、杀毒软件检查移动存储介质管理①★灵活定义U盘使用和管控，不影响现有业务系统所需的USB接口设备正常使用，如票控盘、U-KEY、打印机、扫描枪等；网络信息安全系统升级建设方案全文共10页，当前为第8页。②支持管理员对入网的移动存储介质进行注册，可以对已注册的移动网络信息安全系统升级建设方案全文共10页，当前为第8页。介质进行管理，包括学习注册、授权、启用、停用、删除、取消注册、导出注册列表等；③支持客户端自主申请移动存储介质注册，管理员统一进行申请审批；④支持移动存储介质读写权限划分设置，有效控制不明来历的移动存储可能带来的病毒传播等隐患；⑤支持移动存储介质外出管理，并可以设置外出使用权限以及外出使用次数与有效时间；⑥支持移动存储介质权限设为普通设备与加密设备，可设置是否允许网外使用桌面管理★可以远程操控终端桌面（不依赖Windows远程桌面协议，可以指定TCP访问端口）、远程关机、重启终端，方便管理人员运维终端资产管理终端资产监视管理，自动上报软、硬件变更，杜绝私自变更单位终端硬件安全防护主要包括终端计算机、无线网络等泄密途径的控制、监控和审计；报表功能生成全网资产信息，支持报表和各种日志的查询，支持Excel等多种格式的文件导出系统管理要求支持系统配置备份、导入和导出，支持服务器硬件一键还原功能；系统出现故障不影响客户端联网性能要求客户端程序CPU占用率低，内存占用量小验收要求在授权数内实施完医院现有所有相关服务器和终端之后才进行项目验收质保期原厂质保三年及以上（提供原厂商售后服务承诺函加盖原厂鲜章）网络信息安全系统升级建设方案全文共10页，当前为第9页。3.IP地址管理系统网络信息安全系统升级建设方案全文共10页，当前为第9页。序号技术规格要求1具有DHCPserver基本功能,自定义DHCPOPTION,支持地址池黑、白名单；2★支持识别用户终端设备类型（PC、移动设备、路由器等）、操作系统类型(Windows、MacO