韶关市公安信息网边界接入平台系统建设和检
测项目
文件编码(008-TTIG-UTITD-GKBTT-PUUTI-WYTUI-8256)
韶关市公安信息网边界接入平台系统建设和检测项目一、项目概述
本项目为市公安边界接入平台,包括:
一是构建市级边界接入平台。
按照边界安全接入的规范要求,采取区分链路安全防御的方法,构建集边界保护、身份认证、应用安全、安全隔离和平台自身安全防护等功能的边界接入平台。
二是建设边界接入平台监控和管理系统。
按照统一接入管理、统一应用审计、统一运行监控、统一策略部署的要求,建设边界接入平台的集中监控和审计系统。
二、项目内容
根据接入对象不同,边界接入业务划分为社会企/事业单位接入、党/政/军机关接入和公安驻地外用户接入方式。
三、技术要求
基本技术要求
1)平台建设方案要完全符合公安部颁发的《公安信息通信网边界接入安全规
范》要求;
2)平台安全体系满足三重防护体系和两个基础设施的安全要求;
3)平台集中监控与审计系统支持部/省/市三级接入平台体系;
4)平台的关键设备:可信边界安全网关、数据交换系统、集中监管与审计系
统通过公安部指定的公安部等级评估保护中心的权威检测,并经公安部同
意在全国公安信息通信网边界接入平台建设中广泛使用。
边界接入平台其
他产品也应是获得公安部销售许可的产品。
功能要求
1)投标人必须严格按照公安部关于安全接入平台建设的有关文件《公安信息
通信网边界接入平台安全规范》的边界接入平台要求实施项目建设,并负
责将所有设备按照公安部对边界接入平台的建设要求进行项目集成。
2)平台必须实现涵盖数据交换和授权访问两类应用、三类接入业务(社会企
事业单位接入、党政军机关接入、公安驻地外接入)完整功能的平台,外
部网络接入业务上,需覆盖包括社会企事业单位接入、党政军机关接入和
公安驻外地接入等各种业务的安全接入。
3)可信边界安全网关实现用户身份认证,与公安PKI/PMI系统同一厂商,支
持证书链认证,支持证书撤销列表(CRL)下载、验证,保证接入用户身份的合法性;
4)可信边界安全网关实现设备认证,依据设备注册登记信息对通过专线、
VPDN拨号等各种线路方式接入的终端设备进行认证,保证接入设备的合法
性;
5)可信边界安全网关可以根据边界接入的需要,设置角色,指定相应的资源
访问权限,防止非授权访问和越权访问;
6)可信边界安全网关基于角色、权限分配,设置细粒度访问控制策略,达到
非法用户不能访问,合法用户不能越权访问的目的;
7)可信边界安全网关实现传输保护,与客户端之间使用SSL协议对通信过程
进行加密和完整性保护,保证数据传输的安全性;
8)数据交换系统可实现不同类型文件、数据库间的同步和交换,如Oracle
数据库、SQL Server数据库、DB2、SYBASE等,能够设置一对多数据同步,多对多数据同步,支持全表双向同步.支持数据库增删改同步。
9)数据交换系统业务扩展性强,接入新的前置业务时,只需在数据交换系统
上作适当的配置即可实现新业务的数据交换,且不需要增加投资。
源目标数据库表结构一致情况下自动快速匹配,减少配置难度。
10)数据交换系统应实现丰富灵活的内容检查、病毒查杀、格式检查。
内容检
查必须能够根据预先定义的规则进行内容过滤检查;病毒查杀能够查杀病毒木马等恶意程序,并能够更新病毒库;格式检查支持字段长度检查、数值范围检查、基于自定义布尔条件判断检查、身份证特定格式检查、大字段内容还原格式检查、不依赖扩展名文件格式检查。
11)数据交换系统应支持多业务复用:必须支持多业务接入后,各业务之间不冲
突,单独启停其他业务不会影响正常业务.底层通道独立.
12)数据交换行为可回溯:数据交换行为可追溯包括:数据来源,交换时间,是否
授权,交换内容,交换成功等.
13)数据交换的文件交换支持单向双向文件同步,支持各种常见文件类型,支持
不同操作系统下的文件同步,传输文件大小无限制.
14)数据交换必须支持单向的授权访问功能;支持TCP/UDP协议代理,同时也用
该支持常见协议代理,代理需做授权认证.
15)集中监管与审计系统提供接入平台注册管理功能,包含平台信息注册、业
务信息注册、使用单位信息注册、设备信息注册、接口信息注册。
16)集中监管与审计系统提供流量监测,能够监测整个平台以及平台内部各个
链路和业务的流量信息。
17)集中监管与审计系统提供在线用户统计分析,用户行为审计,业务应用审
计,设备安全审计,异常行为审计,系统备份恢复功能,日志收集和导出
功能和集中管理等功能。
18)平台信息统计分析能够对平台本身进行相关信息统计和分析,包括设备运
行状况,负载情况。
19)实现与公安信息网络运行管理系统对接。
内置集成级联上报功能。
安全要求
3.3.1系统安全要求
1)提供有效手段保障网络通信基础设施、网络上的各种系统以及系统上各种
应用的正常运行,防止对公安专网信息资源进行非授权访问和操作,防止
通过外网对公安专网的各种攻击行为。
包括访问控制、病毒防护、审计与
跟踪、可用性保障等内容。
2)用户身份认证:能与公安PKI/PMI体系无缝集成,支持证书链认证,支持
证书撤销列表(CRL)下载、验证,保证接入用户身份的合法性。
整个平台须与公安PKI/PMI无缝集成,使平台接入终端在通过边界接入平台安全认
证后可使用PKI/PMI系统的数字身份证书访问公安信息网资源。
3)设备认证:能依据设备注册登记信息对通过专线、ADSL拨号、3G无线等各
种线路方式接入的终端设备进行认证,实现设备唯一性认证,防止非法设
备接入。
访问控制:能对用户访问公安信息通信网进行细粒度访问控制。
通过身份认证的接入终端只能访问接入平台内的指定设备,并且只能进行
允许的操作,非授权的访问应被阻断。
4)配置安全:单向UTC,外网服务器不提供任何服务端口,不接受任何服务请
求,所有服务请求由内网信任服务器发起.
5)安全信任链:内外网服务器与安全隔离网闸联动,通过证书建立信任关系,
在数据交换唯一通道形成一条安全信任链.增加系统健壮性。
3.3.2通信安全需求
1)保障用户在接入公安专网过程中的身份的鉴别、数据传输中的保密性、数
据完整性验证等。
2)数据通道保护:基于角色、权限分配、设置细粒度访问控制策略,能达到
非法用户不能访问,合法用户不能越权访问的目的。
在客户端和可信边界
安全网关之间建立高强度的安全加密通道,能保证数据传输的机密性、完
整性,防止公安敏感信息在传输过程中被泄露或被篡改。
3)链路认证:能对应用访问链路进行认证,防止非法链路接入。
网络安全需
求。
3.3.3网络安全需求
1)需实现包括社会企事业单位接入、党政军机关接入、移动警务办公接入等
在内的各类业务从链路安全、网络安全、主机安全、应用安全等层面的安
全措施,并将社会企事业单位接入与其他接入链路从物理链路上隔离建立
安全通道,确保链路安全。
2)网络安全防护:需实现通过探针等对接入的行为进行分析,防止非法和恶
意的入侵行为;防病毒服务器对接入流量进行扫描,阻止病毒、恶意代码
对公安信息通信网的渗透,为边界接入平台提供病毒防范功能。
四、设备清单
本次招标采购的软硬件货物具体清单:
表1-1货物清单
五、软硬件技术指标要求
数据交换系统
表1-2数据交换系统
集中监控与管理系统
表1-3集中监控与管理系统
集控探针
表1-4集控探针
可信边界安全网关
表1-5可信边界安全网关
CA身份认证服务器
表1-6 CA身份认证服务器
安全隔离与信息交换系统
表1-7 安全隔离与信息交换系统
防火墙
表1-8 防火墙
IDS入侵检测系统
表1-9 IDS入侵检测系统
二层交换机
表1-10 二层交换机
路由器
表1-11 路由器
三层交换机
表1-12 三层交换机
服务器
表1-13 服务器
机柜
表1-14机柜
三层交换机
表1-15机柜
注:以上加“★”的技术参数指标必须满足,否则作无效投标处理。
六、项目要求
公安信息网边界接入平台建成后,须经公安部授权的安全测评机构进行安全检测合格后方可正式入网运行。
(检测费用由中标方承担,并包含在本次招标总报价当中,采购方不再另行支付任何费用。
)
七、工期要求
合同签订后三十个工作日内完工,并提供详细的完工时间表。
八、付款方式
签订合同后付30%,项目验收合格后先付65%,余款在验收合格后12个月付清。