合肥市軌道交通線網(wǎng)云平臺（二期）系統(tǒng)集成及安裝-7號線一期用戶需求書i 4 4 6 8 1全資源池由獨(dú)立設(shè)置的安全組件組成，投標(biāo)人可自行選擇安全組件采用X86投標(biāo)人應(yīng)無條件配合招標(biāo)人對軌道交通線網(wǎng)信息安全相關(guān)事宜的統(tǒng)一安排2業(yè)務(wù)系統(tǒng)的安全應(yīng)由應(yīng)用系統(tǒng)自身安全機(jī)制和云平遵循《網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計技術(shù)要求》（GB/T25070-2019），等級防御的安全體系，并且它們始終都在安全管理中心的3系統(tǒng)自身安全風(fēng)險防護(hù)需求，對各信息系統(tǒng)區(qū)域邊件，包括骨干網(wǎng)/城域網(wǎng)及局域網(wǎng)主干核心系統(tǒng)。不同安全等級的通信網(wǎng)絡(luò)有著根據(jù)GB/T22239-2019《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》，分4物理安全風(fēng)險主要是指網(wǎng)絡(luò)周邊的環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路行的前提是將物理層安全風(fēng)險降到最低或是盡量考慮在非正常情況下物理層出5合理的劃分安全區(qū)域，子網(wǎng)網(wǎng)段和VLAN；區(qū)域邊界的安全主要包括：邊界防護(hù)、訪問控制、入侵防范、要對內(nèi)部非授權(quán)用戶私自連到外部網(wǎng)絡(luò)的行為進(jìn)馬、間諜軟件、可疑代碼、端口掃描、DoS/DDoS等，實現(xiàn)對網(wǎng)絡(luò)層以及業(yè)務(wù)系6網(wǎng)絡(luò)（包括Internet、廣域網(wǎng)、局域網(wǎng)）形態(tài)進(jìn)行傳播，因此為了安全的防護(hù)用戶名/口令的復(fù)雜度，且防止被網(wǎng)絡(luò)竊聽7儲，會使很多安全事件漏掉，給系統(tǒng)安全運(yùn)維8用程序等進(jìn)行可信驗證，并在應(yīng)用程序的關(guān)鍵9了數(shù)據(jù)脫敏系統(tǒng)的核心需求，確保了數(shù)據(jù)脫敏體、客體進(jìn)行統(tǒng)一安全標(biāo)記，對主體進(jìn)行授權(quán)應(yīng)對網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的應(yīng)對安全策略、惡意代碼、補(bǔ)丁升級等安全組織相關(guān)人員制定安全管理制度并對制定的專職安全管理人員，職位不可兼任；應(yīng)對關(guān)鍵事批的項目、審批部門和審批人等信息；應(yīng)記錄授權(quán)專家作為常年的安全顧問，指導(dǎo)信息安全建設(shè)，參與安應(yīng)及時取回各種身份證件、鑰匙、徽章等以及人員進(jìn)行全面、嚴(yán)格的安全審查和技能考核；應(yīng)息進(jìn)行展示，安全管理中心需要個性化的安全管理投標(biāo)人提供的安全方案中所有串接于網(wǎng)絡(luò)安裝的安全設(shè)備均應(yīng)具有BYPASS裝-7號線一期工程的招標(biāo)要求，提出完整的云平臺網(wǎng)絡(luò)安全防護(hù)方案包含指標(biāo)進(jìn)行響應(yīng)與項目落地執(zhí)行，招標(biāo)人有權(quán)根據(jù)工程1）租戶業(yè)務(wù)平面主要承載各租戶的業(yè)務(wù)數(shù)據(jù)和操作，確保各3）運(yùn)維平面用于運(yùn)維人員的操作和管理，確保設(shè)備維護(hù)和系統(tǒng)更新等操作系統(tǒng)集成及安裝-7號線一期的要求，遵循統(tǒng)一接口標(biāo)準(zhǔn)要求，完善安全接口標(biāo)在外部服務(wù)網(wǎng)、內(nèi)部管理網(wǎng)和安全生產(chǎn)網(wǎng)的安全域邊云平臺既有工程已對云平臺信息安全防護(hù)進(jìn)行建設(shè)，本期工程僅針對云邊部署下一代防火墻FW和入侵防御IPS功能模塊，實現(xiàn)訪問控制和入侵部署下一代防火墻FW和入侵防御IPS功能模塊，實現(xiàn)訪問控制和入侵?jǐn)U容數(shù)據(jù)庫狀態(tài)監(jiān)控系統(tǒng)，實現(xiàn)數(shù)據(jù)庫各項活動監(jiān)測如事物活動、I/O部署下一代防火墻FW和入侵防御IPS功能模塊，實現(xiàn)訪問控制和入侵?jǐn)U容數(shù)據(jù)庫狀態(tài)監(jiān)控系統(tǒng)，實現(xiàn)數(shù)據(jù)庫各項活動監(jiān)測如事物活動、I/O部署流量探針采集云平臺、虛擬機(jī)、網(wǎng)絡(luò)中的流量信息，進(jìn)行異常分析集成及安裝-7號線一期工程的招標(biāo)要求，按照安全生產(chǎn)網(wǎng)、外部服務(wù)網(wǎng)、內(nèi)部（1）構(gòu)建分域的控制體系：網(wǎng)絡(luò)安全等級保護(hù)解決方案，在總體架構(gòu)上將（3）構(gòu)建縱深的防御體系：網(wǎng)絡(luò)安全建設(shè)方案包括技術(shù)和管理兩個部分，求，并且管理員可以對每個租戶最多能使用安全組服務(wù)可以提供虛擬機(jī)端口級別的控制能力，可以對報文協(xié)議（TCP、UDP、ICMP）以及端口進(jìn)行過濾保證在云平臺對虛擬機(jī)進(jìn)行訪問控制。防止虛擬虛擬私有云（VirtualPrivateCloud，后續(xù)簡稱VPC）是租戶在云上申請礦或?qū)ν釪DOS。因此，對主機(jī)進(jìn)行安全加固，使用專業(yè)的主機(jī)安全防護(hù)功能防護(hù)功能阻止惡意程序在業(yè)務(wù)主機(jī)上的執(zhí)行，惡意訪問者通過注入式攻擊、網(wǎng)頁木馬、WebShell等攻擊手段入侵網(wǎng)站，或者通過CC攻擊，利用大量惡意請求長時間占用網(wǎng)站計算資源響應(yīng)緩慢甚至無法提供正常的服務(wù)。利用跨站腳本（XSS）、網(wǎng)頁木馬、跨站請注入、配置注入、LDAP注入、跨站腳本等）進(jìn)行防護(hù)，也可通過協(xié)議規(guī)范性檢通過使用數(shù)據(jù)庫審計服務(wù)安裝Agent可以對云內(nèi)租戶的數(shù)據(jù)庫提供用戶行聯(lián)網(wǎng)/外網(wǎng)訪問時，支持使用VPN加密通道連接云堡壘機(jī)，進(jìn)行運(yùn)維操作。堡壘機(jī)集中了運(yùn)維賬號管理、權(quán)限(運(yùn)維對象)管理、授權(quán)管理和審計管理漏掃的能力應(yīng)該至少包含Web、數(shù)據(jù)庫、基線核查、操作系統(tǒng)及應(yīng)用軟件、弱口令、端口探測與服務(wù)識別等能力同時支持對C/C++/Python/Java/P庫中的鏡像以及私有倉庫中的鏡像，以便及時采取產(chǎn)運(yùn)行狀況的統(tǒng)一監(jiān)控，協(xié)助云租戶全面審計審計等功能，支持SSH/TELNET/RDP（遠(yuǎn)程桌面）/FTP/SFTP/VNC，并可通過應(yīng)用中心技術(shù)擴(kuò)展支持虛擬機(jī)KVM等虛擬機(jī)管理、oracle等數(shù)據(jù)庫管理、在云安全資源統(tǒng)一管控可通過多種形式向業(yè)務(wù)系統(tǒng)提供云資源的出租服終端準(zhǔn)入控制包括安全防護(hù)功能和安全監(jiān)控功能。安全防護(hù)功能主要是對制相結(jié)合，以用戶終端對合肥軌道業(yè)務(wù)安全策略的符合度為條件，控制用戶訪問合肥軌道網(wǎng)絡(luò)的接入權(quán)限，降低病毒、非法云平臺上各個業(yè)務(wù)系統(tǒng)使用云平臺統(tǒng)一提供對于內(nèi)部東西向流量的訪問在云安全資源統(tǒng)一管控可通過多種形式向業(yè)務(wù)系統(tǒng)提供云資源的出租服助企業(yè)構(gòu)建服務(wù)器安全體系，降低當(dāng)前服務(wù)確保服務(wù)器安全穩(wěn)定運(yùn)行，可對Web服務(wù)運(yùn)行狀態(tài)進(jìn)行安全監(jiān)控，保證Web云平臺安全管理平臺組件可以使用安全資源池進(jìn)行承載也可以使用獨(dú)立信息、會話時序關(guān)系，以及各個時序圖的請求和響應(yīng)信息，流還原視圖提供8Unicode(UTF-32BigEnd安全的總體態(tài)勢。網(wǎng)絡(luò)行為查詢，提供豐富的元數(shù)據(jù)字段和靈活的語法規(guī)則進(jìn)行自定投標(biāo)人應(yīng)保證本工程中云平臺線網(wǎng)態(tài)勢感知平臺具備或預(yù)留后續(xù)工程中態(tài)2）數(shù)據(jù)訪問控制：對數(shù)據(jù)的訪問進(jìn)行控制，確保只有授權(quán)的人員才能訪問4）數(shù)據(jù)加密：對數(shù)據(jù)進(jìn)行加密，以保護(hù)數(shù)5）數(shù)據(jù)銷毀：對數(shù)據(jù)進(jìn)行安全銷毀，以防止數(shù)據(jù)泄露。通過數(shù)據(jù)安全全生署的安全資源應(yīng)用系統(tǒng)做統(tǒng)一管理，同時應(yīng)滿足降級為。同時也可以進(jìn)行詳細(xì)指標(biāo)分析，如TCP會話建立延遲、網(wǎng)絡(luò)丟包/重關(guān)聯(lián)node、通過node關(guān)聯(lián)底層虛擬機(jī)或宿主機(jī)等。當(dāng)資產(chǎn)發(fā)生變化時，系統(tǒng)可測各項風(fēng)險KPI指標(biāo)，提前預(yù)知應(yīng)用風(fēng)險。動定位問題節(jié)點(diǎn)并且提供問題原因分析，幫助用戶現(xiàn)業(yè)務(wù)異常，提升復(fù)雜業(yè)務(wù)系統(tǒng)運(yùn)維的能力和效率，同時降低業(yè)務(wù)異常的MTTF4.支持控制臺超時、SSH后臺、系統(tǒng)時間、云端配置、郵件設(shè)置、短信設(shè)角，識別網(wǎng)絡(luò)中應(yīng)用間的互訪關(guān)系，策略管理以應(yīng)用為核心，有效降低基于IP標(biāo)準(zhǔn)機(jī)架式獨(dú)立硬件設(shè)備，4TB存儲硬盤；提供采集口：2個支持捕捉/存儲過濾器對采流量進(jìn)行過濾，既可對指定的流量不分析也不存于:HTTP/FTP/DNSIGMP/RDP等TCP/IP協(xié)議、VOIP、AMQP等IoT協(xié)議、IEC101支持對IP、國家或地區(qū)、端口、會話、協(xié)議應(yīng)用、網(wǎng)段等任意網(wǎng)絡(luò)對象進(jìn)志、會話日志等數(shù)據(jù)推送給第三方平臺，并提供標(biāo)準(zhǔn)的接口說明文檔。SYSLOG所投產(chǎn)品應(yīng)能夠接入線網(wǎng)云既有項目中已部署的流量分析業(yè)性能要求：應(yīng)用層吞吐量≥3Gbps，最大并發(fā)連接數(shù)300萬，每秒新建連接基礎(chǔ)功能：支持檢測漏洞(Vulnerabilities)、蠕蟲(Worm)、網(wǎng)馬、木馬、用層漏洞掃描器(L7VulnerabilityScanners)、暴力破解工具(Brute-ForceAttackTools)、應(yīng)用層DDoS工具封裝報文解析：支持VXLAN、GRE、VLAN等報文解析，項目實施期間，招標(biāo)所投產(chǎn)品應(yīng)能夠接入線網(wǎng)云既有項目中已部署的安全態(tài)勢感知平臺，滿足實施集中管理、訪問認(rèn)證、集中授權(quán)和操作審計;件使用;儲資源）和安全風(fēng)險狀態(tài)，安全風(fēng)險能夠體現(xiàn)全部業(yè)務(wù)的風(fēng)險分布;漏洞掃描服務(wù)能夠以Web、數(shù)據(jù)庫、基線核查、操作系統(tǒng)、軟件的安全檢測支持多租戶。支持用戶基于統(tǒng)一云管理平臺自助完成漏端口、服務(wù)、協(xié)議、軟件版本號、操作系統(tǒng)Debian、Fedora、RedHat、Ubuntu、SUSE、中標(biāo)麒麟等操作系統(tǒng)基線掃描，項目實施期間，招標(biāo)人根據(jù)項目實際需求，對支持的操作系統(tǒng)新增、擴(kuò)充時，投標(biāo)人須無條件響應(yīng)，包括且不限于升級設(shè)備、更協(xié)議弱口令掃描，支持SQLserver、Mysql，oracle、DB2等數(shù)據(jù)庫項目實施期間，招標(biāo)人根據(jù)項目實際需求，對支持的弱口令提出新增、擴(kuò)充時，投標(biāo)人須無條件響應(yīng)，包括且不限于升級設(shè)備、更換設(shè)備等，對服務(wù)器、云主機(jī)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)等云上資源的支持通過瀏覽器就可以登錄堡壘機(jī)進(jìn)行主機(jī)支持多個人同時使用堡壘機(jī)進(jìn)行運(yùn)維，還能工單審批，支持全面日志采集：實現(xiàn)云上信息資產(chǎn)的日志獲取，并支持智能關(guān)聯(lián)分析：實現(xiàn)全維度、跨設(shè)備、細(xì)粒度關(guān)聯(lián)支持?jǐn)?shù)據(jù)挖掘和數(shù)據(jù)預(yù)測：支持對歷史日志數(shù)據(jù)進(jìn)行數(shù)現(xiàn)日志和事件間的潛在關(guān)聯(lián)關(guān)系，并對挖掘結(jié)果進(jìn)行自帶多種數(shù)據(jù)統(tǒng)計預(yù)測算法，可以根據(jù)歷史數(shù)據(jù)的規(guī)生情況進(jìn)行有效預(yù)測。投標(biāo)人可考慮在單一設(shè)備上實如果安全事件相同，則只需發(fā)送一條安全事件，該安全事事件詳情及該安全事件發(fā)生的次數(shù)，這樣可支持可視化展示：實現(xiàn)所監(jiān)控的信息資產(chǎn)的實時監(jiān)控、侵防御(IPS)、網(wǎng)絡(luò)防病毒（AV）以及負(fù)載均衡、流量控制