安全运营平台建设方案

安全运营平台建设方案(一)项目总体目标 3 31.安全建设框架设计要求 32.安全建设网络设计要求 4 51.安全运营配套硬件设施运维服务 52.云平台安全设备基础设施运维服务 53.安全资源池服务 54.智能网络流量检测服务 65.省市一体化安全运营平台及态势感知大屏展示服务 66.安全运营服务 67.密码服务 8 81.安全运营配套硬件设施运维服务要求 82.云平台安全设备基础设施运维服务要求 93.安全资源池服务要求 4.智能网络流量检测服务要求 5.省市一体化安全运营平台及态势感知大屏展示服务要求 6.安全运营服务要求 7.密码服务要求 本项目将通过购买安全服务，提升政务基础设施的安全防护能(二)服务技术要求1.1安全风险防护要求1.2安全合规性要求政务云平台的建设应结合工业和信息化部及国家下发有关云计本要求第2部分云计算安全技术要求》,按照确定的安全策略，对云1.3安全建设逻辑架构2.1应针对各个功能区域部署相应的安全产品，区域分别为：电2.2为了满足广东省数字政府改革“1+N+M”和“全省一盘棋”(三)服务内容集中日志审计、APT检测系统、云平台Web应用防火墙服务、云平台智能网络流量检测服务是通过镜像端口的形式对政务外网网络数据结合外界国内外互联网安全态势总体情况对当月的安全运营态的可能，在重要时段，面临的威胁环境更加严保期间的安全防护工作顺利有序开展、网络信息系统的安全稳定运(四)服务要求序号数量单位1安全态势感知服务2颗至强金牌511510核2.4GhzCPU,128G每个地市政务外网和互联网区采集各1台，3台2云安全运营平台地24个10GSFP+光纤端口每台配12个光模4台市节点专用交换机服务交换机高可用部署，互联网区和政务外网区各2台，共4台3云安全运营平台地市节点专用服务E5-2680V4*2,256G内存，256盘，256G*1SSD缓存盘，4T*4数据盘2个千兆电口，6个万兆光口，双电源，互联网区和政务外网区各1台，共2台2台4云安全运营平台地市节点专用服务(安全资源池)兆电口，4个万兆光口，双电源，互联网区和政务外网区各5台，共10台台集中日志审计、APT检测系统、云平台Web应用防火墙服务、云平台12台防护系统千兆电口≥4,千兆多模SFP≥4,2个接口扩展槽位。可第一时间获取最新威胁信息，准确检测并防御针对漏洞的攻击。可防护各种针对web的攻击，包括SQL注入攻击和跨站脚本攻击等。2DDoS防护设备清洗容量≥12Gbps(bps@64bytes),2U,含交流冗余电源，2*USB接口，1*RJ45串口，2*GE管理口，万兆光口≥2,3个网络接口卡插槽。Death、TearDrop、TCPErrorFlag等攻击防1台3主机安全防护系统服务端在主机上安装HIDS,能提供病毒木马检测、账号密码破解检测、登录异常行为审计、漏洞管理等服务1套4主机安全防护系统1000授权终端授权license,含1000授权1套5堡垒机2U,含交流冗余电源模块，2*USB接口，1*RJ45串口，1*GE管理口，6*GE电口，1个接口扩展槽位，2TSATA硬盘。缺省授权管理1000台设备。2台提供云计算安全管控的系统和组件，可以实现对运维资源的4A安全管控。主要包含用户管支持对Windows或Linux等操作系统的主机提供安全管控保护。通过提供统一的界面管理用以达到对权限的细粒度控制。通过集中访问授权和访问控制可以对用户通过B/S、C/S对服务器主机、网络设备的访问进行审计和阻断。6网络安全审计检测性能≥4Gbps,2U,含交流冗余电源模2*USB接口，1*RJ45串口，2*GE管理口，6*GE操作行为。从发起者、访问时间、访问对象、访问方法、使用频率等各个角度，提供丰富的1台7集中日志审计系统2U标准机架式设备，冗余双电源，专用硬件平台和安全操作系统，1个Console口，2GE1块CF卡，32G内存，支持多端口采集，4个电口，12TB(RAID5),支持储存容量定制扩支持500个审计对象授权(可以拓展到2000)日志审计服务是对日志进行统一收集、解析、1台分析、集中存储、监控及可视化的综合性日志管理平台。8APT检测系统APT监测系统通常部署在互联网接入口，检测进出网络的流量，发现企图进入内网的恶意软件，以及试图外连的木马连接，识别潜伏在网1台9Web应用防火墙服务网络吞吐≥3Gbps,HTTP/HTTPS单项防护能力≥1Gbps;2U,含交流冗余电源模块，2*USB接口，1*RJ45管理口，1*RJ45串口，6*GE电口(Bypass),千兆多模SFP≥4。用于实时拦截SQL注入、XSS跨站、网站挂马、2台云平台漏洞扫描服务6个10M/100M/1000M自适应以太网电口扫描口，1个接口扩展槽位，含系统扫描，WEB扫描模块。针对服务器或网站进行漏洞扫描的一种安全检测服务，目前提供通用漏洞检测、漏洞生命周1台云平台基1台线配置核查服务6个10M/100M/1000M自适应以太网电口扫描口，全模块等保三级模块。支持对配置合规进行检查和综合分析，可输出数据分级分类和风险评估服务(1)数据梳理支持数据源手动添加和自动发现两种模式，数据源手工添加可针对不同的数据源添加附加信息，包括业务系统名称、所属部门、所属责任人；数据源自动发现基于网络嗅探技术进行周期性探测，在指定IP地址范围(2)内置丰富的分类分级模板，内置的AI引擎根据模板更快、更准确的自动发现敏感数据并完成分类分级，结合独有的智能推荐算法给出分类分级推荐度排序，最优匹配度的敏感项被作为默认推荐的类别和等级。同时，支持推荐命中率调节，大于配置值才会被默认推荐。系统内置丰富的分类分级模板，根据行业细分如金融、证券、电信等；根据法律法规细分如1台网络安全法、GDPR、个人信息安全规范、等保等。用户可根据行业特性以及业务场景选择合适的分类分级模板开展数据分类分级工作，且支持对规则进行过滤和编辑。支持对于不同类型的数据进行识别的算法规则进行启用/禁用、修改和删除，支持对敏感数据定义策略进行设定，如大于#级时定义为敏感数据；支持更改分级标签名称；支持对数据表级的分类分级策略(3)提供数据库漏洞检查、配置基线检查、弱口令检查等手段进行数据资产安全评估，通过安全现状评估能有效发现当前数据库系统的安全问题，对数据库的安全状况进行持续化监控，数据静态脱敏系统(1)支持图形化、全流程静态脱敏功能，通过屏蔽、变形、替换、随机、格式保留加密(FPE)和强加密算法(如AES),针对不同数据类型进行数据掩码扰乱，并可将脱敏后的数据按用户据脱敏方案与策略管理、可视化脱敏任务管理；1台(3)支持基于条件和定制化数据子集抽取和管理。(4)支持数据库到数据库，数据库到文件，数据库到大数据，文件到大数据，大数据到大数据等环境；(5)支持与数据资产可视化管理服务系统智能联动，能够接受其下发的脱敏策略和上报脱敏(6)并发连接数量≥500,数据库实例最大支持≥20,数据脱敏性能≥6万条/秒；3.安全资源池服务要求为政务云节点提供安全资源池服务，包括虚拟下一代防火墙组序号数量单位12虚拟基线核查(个)为租户的业务应用及配置提供基线核查个3虚拟数据库审计(个)虚拟化数据库审计服务为租户提供数据库安全审计，实现对数据库访问行为监个4虚拟网络安全审计(1Gbps授虚拟化网络安全审计服务是针对云平台单个租户(主要为各个地市的局委办单位)的互联网行为提供有效行为审计、内容审计、行为报警、行为控制及相关审计功能。从管理层面向单个租户提供互联网的有效监督，预防、制止数据泄密；满足单个租户对互联网行为审计备案及安全保护措施的要求，提供完整的上网记录，便于信息追踪、设备定位、系统安全管理和风险防范。45虚拟日志审计(个)对安全设备、网络设备、服务器设备、由集中日志审计系统进行分析、审计。对安全事件进行关联分析，发现潜在的个6虚拟增强型虚拟Web安全防火墙为租户提供Web安4网页防火墙(1Gbps授全防护服务，保护租户的Web应用免遭当前和未来的安全威胁。7虚拟网页防篡改(1个网站授权)虚拟化Web防篡改服务为租户提供网页个智能网络流量检测服务是通过镜像端口的形式对政务外网网络1智能网络流量检测提供政务外网网络流量检测能力，可检测数据中心内部存在的安全威胁及恶意流量，同时能够识别网络协议、租户网络行为，根据网络行为智能判断攻击威胁并采1套2流量分流服务为政务云平台节点的政务外网和互联网区提供流量分流功能，复制流量，并提供给多个流量安全分析设备，包括APT、智能网2套5.省市一体化安全运营平台及态势感知大屏展示服务要求安全运营平台及态势感知服务主要是为省市一体化安全运营平1省市一体化安全运营平台服务1套2态势感知模块安全态势感知平台是以大数据框架为基础，结合威胁情报系统，通过攻防场景模型的大数据分析及可视化展示等手段，协助客户建立和完善安全态势全面监控、安全威胁实时预警、安全事故紧1套6.1安全运营支撑服务要求需提供3名信息安全技术人员现场驻点服务12个月，负责安全6.2安全重保服务要求(1)事前检查与整改(2)事中预警与监控(3)事后总结与报告6.3应急演练服务要求(1)充分考虑最有可能发生的紧急事件场景。(2)由于时间和空间的限制，选取具有代表性和概括性的场景(3)在有限的时间内进行最基本的和最重要的场景演练。(4)保证整个演练过程的风险可控。(5)尽可能多的操演应急处置过程的各个环节。(6)演练的过程既要达到演练的目的，又要尽可能保证演练对6.4网络安全攻防演练服务要求(1)需协助采购人组织一场数字政府攻防演练活动，组织由国团队组成不少于8支攻防演练攻击队伍，在安全可控的场地开展为期提升主动防御能力，为快速处置大面积政务网络攻击事件积累了经(2)本次演练活动将以全市范围内各市直单位和各区政府单位提升全程全网主动防御以及快速处置大面积政务网络攻击事件的能和相互合作的能力，推动全市电子政务领域网络安全工作迈上新台6.5等保测评服务要求等保级别1目前本地政务云平台节点由逻辑隔离的互联网区域和政务外网应的网络安全设备以及加强防范管理措施，确保政务外网数据的安码基础设施。本期项目采购服务时间为12个月。服务名1高性能服务器密码机服务支持SM2、SM3、SM4商用密码算法，提供数据加解密、签名和验证、数据摘要等功能，SM2签名不低于40000次/秒，SM4加密不低于700Mbps产品通过国家密码管理部门核准并具有商用密码产品认证证书，规格为2U,含2百兆/千兆自适应网口。互联网区和政务外网区4台2云密钥管理系统服务支持对SM2、SM4等商密算法的密钥在产生、分发、更新、备份与恢复、归档、删除等环节提供服务功能，并进行安全管理，实现密钥全生命周期的管理，支持租户管理，产品通过国家密码管理部门核准并具有商用密码产品认证证书，规格为软件系统，互联网区和政务外网区各1套，共2套。每区域通过双机部署实2套3国密安全网关服务遵循密码行业标准，具有SSLVPN功能即在客户端与服务端建立国密SSL安全通道实现VPN功能，同时支持国密https卸载服务，保证数据传输的机密性与完整性，不小于80000连接数，每秒新建不低于2000连接，产品通过国家密码管理部门核准并具有商用密码产品认2台证证书，规格为2U,互联网区和政务外网区各1台，共2台。4国密安全浏览器服务遵循密码行业标准，为基于B/S架构的应用提供客户端与服务端之间通过国密https协议建立的安全通道提供传输的机密性与完整性保障，产品通过国家密码管理部门核准并具有商用密码产品认证证书，规格为软件系统，产品通过国家密码管理部门核准并具有商用密码产品认证证书，为运维人员提供10套客户端服务。该项服务只提供云平台密码基础设施管理端使用，不作为上云业务系统业务前端使套5密码服务运营平台服务线管理、租户管理等管理功能，对密码设备、2套6套智能密码钥匙服务商密算法的运算服务功能，提供基于数字证书签名验签、存储等功能，规格为USB接口硬件并含10个数字证书，产品通过国家密码管理部门核准并具有商用密码产品认证证书，为运维人员提供10套硬件及一年有效期数字证书。该项服务只提供云平台密码基础设施管理端使用，不作为上云业务系统业务前端使用，业7数字证书服务证书签发机构需具有电子认证服务许可证等提供国密SSLVPN安全网关设备国密卸载有效期一年。该项服务只提供云平台密码基础设施管理端使用，不作为上云业务系统业务前端使用，业务前端需另外自行承担接入。28密码运营管理服务密码运营管理服务包括日常密码运营服务、日常巡检和异常情况分析排查：1、日常密码运营服务：包括租户账户开通、密码服务开通、密钥方案设计支持、密码安全租户账户开通：为本地政务云的接入单位设置租户，为其管理人员配置租户账户。为租户账3人1月密码服务开通：管控密码运算支撑服务对接入业务系统的服务状态。未开启策略的业务系统密钥方案设计支持：为接入业务系统的密钥方案设计提供技术支持，包括业务系统本身密钥方案设计，业务系统版本迭代涉及的密钥方案更新，业务系统对接新系统之间的密钥方案设密码安全策略制定：为接入业务系统的密钥安全策略提供技术支持，包括密钥生成策略制定、密钥分发策略制定、密钥更新策略制定、提供密码接口参数指导、密码接口使用场景指联调测试支持：对接入业务系统的联调测试提供异常分析支持，包括接口参数指导、接口调2、日常巡检：密码应用系统、密码设备、密钥管理系统、密码服务运营平台等每天对重要配置数据、密钥备份文件、运行日志、审计数重要配置数据常规性检查：检查重要配置数据密钥备份文件常规性检查：检查密钥备份文件运行日志常规性检查：检查运行日志是否正常产生、运行日志是否出现告警信息和运行日志审计数据常规性检查：检查审计数据是否正常3、异常情况分析及故障排查：对运行过程中出现的异常密钥状态、失败请求、审计信息异常等进行分析排查，并提供24小时远程应急对异常密钥状态进行确认密钥值是否丢失，分对失败请求进行分析，定位失败请求的引起原因，排查网络问题、系统bu