【導(dǎo)讀】中國(guó)農(nóng)業(yè)科學(xué)院圖書(shū)館項(xiàng)目專(zhuān)用設(shè)備。工作站、計(jì)算機(jī)終端）采購(gòu)項(xiàng)目（第3包）－投標(biāo)書(shū)。中國(guó)電信集團(tuán)系統(tǒng)集成有限責(zé)任公司-ii-

　　

【正文】 問(wèn)日志、管理日志等重要信息。 14. 與安全管理平臺(tái)的銜接 網(wǎng)神防火墻支持 SNMP 協(xié)議。通過(guò)配置管理 IP 地址和 SNMP 協(xié)議，可接受安全管理平臺(tái)的統(tǒng)一管理。 網(wǎng)絡(luò)安全系統(tǒng) 設(shè)計(jì)方案 二 第二種方案中 IPS 的部署和方案一相同，不同之處在于 將新增 的 兩臺(tái)防火墻采用冗余方式部署在核心交換機(jī)和 內(nèi)部其它區(qū)之間，作為內(nèi)網(wǎng) 核心交換區(qū)和其它區(qū) 不同安全域之間的邊界，部署示意圖如下圖所示： 中國(guó)農(nóng)業(yè)科學(xué)院圖書(shū)館項(xiàng)目專(zhuān)用設(shè)備（網(wǎng)絡(luò)安全設(shè)備、工作站、計(jì)算機(jī)終端）采購(gòu) 項(xiàng)目（第 3 包） －投標(biāo)書(shū) 中國(guó)電信集團(tuán)系統(tǒng)集成有限責(zé)任公司 24 圖示： 33 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì) 方案 2 示意圖 防火墻部署方式說(shuō)明 新增加的 兩臺(tái)防火墻采用冗余方式部署在 核心交換機(jī) 和其他區(qū)的 之間 ， 作為內(nèi)網(wǎng) 中不同等級(jí) 安全域 之間的 邊界 ，實(shí)現(xiàn) 中國(guó)農(nóng)業(yè)科學(xué)院新圖書(shū)館 內(nèi)網(wǎng)安全域之 中國(guó)農(nóng)業(yè)科學(xué)院圖書(shū)館項(xiàng)目專(zhuān)用設(shè)備（網(wǎng)絡(luò)安全設(shè)備、工作站、計(jì)算機(jī)終端）采購(gòu) 項(xiàng)目（第 3 包） －投標(biāo)書(shū) 中國(guó)電信集團(tuán)系統(tǒng)集成有限責(zé)任公司 25 間的邊界防護(hù)隔離及訪問(wèn)控制的需求。 兩臺(tái)防火墻采用 透明模式部署，互為備份，通過(guò)防火墻對(duì)來(lái)自不同安全區(qū)域之間的流量進(jìn)行檢測(cè)和分析，控 制不同區(qū)域之間的互訪關(guān)系 ，保護(hù)內(nèi)部網(wǎng)絡(luò)系統(tǒng)穩(wěn)定運(yùn)行。 透明模式部署的優(yōu)勢(shì) 防火墻透明模式部署，不需要改變現(xiàn)有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，不需要改變現(xiàn)有的各種訪問(wèn)控制策略、應(yīng)用策略，不會(huì)影響既有業(yè)務(wù)系統(tǒng)的正常運(yùn)行。只需要設(shè)置基于現(xiàn)有應(yīng)用的訪問(wèn)控制策略，確保為應(yīng)用系統(tǒng)及基礎(chǔ)環(huán)境提供安全保障。 防火墻透明模式部署方案具有實(shí)施方便、快捷，運(yùn)維簡(jiǎn)單，不易出現(xiàn)故障的特點(diǎn)。尤其在復(fù)雜的網(wǎng)絡(luò)環(huán)境下，更能體現(xiàn)其優(yōu)勢(shì)。 透明模式部署的劣勢(shì) 透明模式部署會(huì)暴露內(nèi)網(wǎng) IP 地址，存在一定的安全隱患，且此模式不提供路由、 NAT 等地址映射功能。這需要 在路由器上進(jìn)行 NAT 設(shè)置等方式來(lái)彌補(bǔ)內(nèi)網(wǎng) IP 地址暴露的問(wèn)題。 防火墻部署策略建議 根據(jù) 中國(guó)農(nóng)業(yè)科學(xué)院新圖書(shū)館 內(nèi)部網(wǎng)絡(luò)的 主要功能和應(yīng)用 ，建議對(duì) 內(nèi)網(wǎng) 防火墻設(shè)置策略如下： 1. 實(shí)現(xiàn)訪問(wèn)控制 通過(guò)在防火墻上配置安全訪問(wèn)控制策略過(guò)濾訪問(wèn)行為，實(shí)現(xiàn)基于協(xié)議、源 /目的 IP 地址、端口的訪問(wèn)控制，對(duì)來(lái)自 不同安全區(qū)域間 的訪問(wèn)進(jìn)行 控制 ， 保證不同應(yīng)用系統(tǒng)間的流量是嚴(yán)格按照用戶的需求進(jìn)行流向的 ； 2. 帶寬管理 啟用帶寬管理功能，如當(dāng)某一地址或某地址段對(duì)外連接數(shù)超過(guò)一定數(shù)量或流量超過(guò)一個(gè)設(shè)定的閥值時(shí)，實(shí)現(xiàn)阻斷或流量限制的功能 ，保證內(nèi)網(wǎng)中的關(guān)鍵 應(yīng)用 中國(guó)農(nóng)業(yè)科學(xué)院圖書(shū)館項(xiàng)目專(zhuān)用設(shè)備（網(wǎng)絡(luò)安全設(shè)備、工作站、計(jì)算機(jī)終端）采購(gòu) 項(xiàng)目（第 3 包） －投標(biāo)書(shū) 中國(guó)電信集團(tuán)系統(tǒng)集成有限責(zé)任公司 26 業(yè)務(wù)能得到帶寬保證 ； 3. 身份認(rèn)證 在防火墻上開(kāi)啟用戶身份認(rèn)證功能，利用防火墻自帶數(shù)據(jù)庫(kù)或通過(guò) Radius及 SecureID 和 LDAP 用戶認(rèn)證功能； 4. 抗攻擊 在防火墻上開(kāi)啟自動(dòng)抗攻擊功能，利用防火墻本身的防御功能防止 DoS、端口掃描等攻擊，確保 內(nèi)部安全域 不被外部 惡意流量破壞 ； 5. 抗蠕蟲(chóng) 通過(guò)防火墻的蠕蟲(chóng)過(guò)濾等功能保證數(shù)據(jù)庫(kù)及服務(wù)器不受來(lái)自互聯(lián)網(wǎng)的蠕蟲(chóng)及網(wǎng)絡(luò)病毒侵害，保障數(shù)據(jù)庫(kù)系統(tǒng)正常、高效運(yùn)行； 6. 實(shí)現(xiàn)多種手段報(bào)警 防火墻發(fā)現(xiàn)攻擊、非法入侵、未授權(quán)訪問(wèn)等違反安全規(guī)則的行為，立即以多種手段（告警、日志、 SNMP 陷阱等）實(shí)現(xiàn)違規(guī)行為的告警，并記錄日志，以便查詢。 7. 日志管理 在防火墻上開(kāi)啟日志記錄功能（建議安裝單獨(dú)的日志服務(wù)器），利用防火墻的日志功能記錄完整日志和統(tǒng)計(jì)報(bào)表等資料，尤其是流量日志、訪問(wèn)日志、管理日志等重要信息。 8. 與安全管理平臺(tái)的銜接 網(wǎng)神防火墻支持 SNMP 協(xié)議。通過(guò)配置管理 IP 地址和 SNMP 協(xié)議，可接受安全管理平臺(tái)的統(tǒng)一管理。 網(wǎng)絡(luò)安全系統(tǒng) 運(yùn)行管理建議 為了充分發(fā)揮 網(wǎng)絡(luò)安全系統(tǒng) 的安全防護(hù)功能，需要加強(qiáng)自身的安全管理和操作，制定合理的操作流程和規(guī)范。 1. 作為部署在各安全域邊界的關(guān)鍵網(wǎng)絡(luò)安全設(shè)備，必須嚴(yán)格限 制對(duì)防火墻和入侵防御系統(tǒng) 的管理訪問(wèn)權(quán)限，定期對(duì)防火墻 和入侵防御系統(tǒng) 的訪問(wèn)控制策略進(jìn)行檢查和備份。 中國(guó)農(nóng)業(yè)科學(xué)院圖書(shū)館項(xiàng)目專(zhuān)用設(shè)備（網(wǎng)絡(luò)安全設(shè)備、工作站、計(jì)算機(jī)終端）采購(gòu) 項(xiàng)目（第 3 包） －投標(biāo)書(shū) 中國(guó)電信集團(tuán)系統(tǒng)集成有限責(zé)任公司 27 2. 對(duì)防火墻 和入侵防御系統(tǒng) 策略的改變或調(diào)整要保持記錄。 3. 在人員允許的情況下，盡量使防火墻 和入侵防御系統(tǒng) 的管理人員與業(yè)務(wù)系統(tǒng)的管理人員分開(kāi)。 4. 安全策略要規(guī)定誰(shuí)對(duì)管理防火墻負(fù)責(zé) ，誰(shuí)對(duì)管理和入侵防御系統(tǒng)負(fù)責(zé) 。 5. 建議最終用戶任命兩名防火墻管理員（一個(gè)主要的，一個(gè)輔助的），負(fù)責(zé)防火墻設(shè)備維護(hù)，確保防火墻管理的持續(xù)性。 6. 建議最終用戶任命兩名 入侵防御系統(tǒng) 管理員（一個(gè)主要的，一個(gè)輔助的），負(fù)責(zé) 入侵防御系統(tǒng) 設(shè)備維護(hù)，確保 入侵防御系統(tǒng) 管理的持續(xù)性。 7. 主要的管理員負(fù)責(zé)改變配置，輔助的管理員僅在主管理員不在時(shí)維護(hù)，避免沖突。 8. 每個(gè)防火墻 和入侵防御系統(tǒng)的 管理員要提供電話號(hào)碼和手機(jī)號(hào)碼，以備緊急時(shí)刻聯(lián)系。 9. 防火墻 和入侵防御系統(tǒng)的 管理員必須精通網(wǎng)絡(luò)理論，對(duì)網(wǎng)絡(luò)設(shè)計(jì)和安裝實(shí)施有豐富經(jīng)驗(yàn)，這樣防火墻 和入侵防御系統(tǒng) 才能被正確配置和適當(dāng)?shù)毓芾怼? 10. 防火墻 和入侵防御系統(tǒng)的 管理員必須定期接受防火墻 和入侵防御系統(tǒng)關(guān)于 應(yīng)用和網(wǎng)絡(luò)安全方面的培訓(xùn)。 11. 防火墻 和入侵防御系統(tǒng) 上僅有的用戶帳號(hào)只能是防火墻 和入侵防御系統(tǒng)的 管理員和備用管理員，只有這些管理員擁有更新系統(tǒng)可執(zhí)行程序 或系統(tǒng)軟件的特權(quán)。防火墻 和入侵防御 系統(tǒng)軟件的任何修改 必須 要由防火墻 和入侵防御系統(tǒng)的 管理員或備用管理員執(zhí)行并且需要得到部門(mén)領(lǐng)導(dǎo)的核準(zhǔn)。 安全系統(tǒng)集成設(shè)計(jì)方案 我 方 將 在 安全 設(shè)備安裝上架以及整體集成前主動(dòng)與采購(gòu)人就集成方案的確定進(jìn)行溝通， 并根據(jù)多年在行業(yè)內(nèi)的經(jīng)驗(yàn)對(duì)采購(gòu)人提出的集成方案調(diào)整要求給予更專(zhuān)業(yè)以及更合理的意見(jiàn)，同時(shí) 全力配合采購(gòu)人提出的合理的集成方案調(diào)整要求。 我 方 將建立層次清晰，職責(zé)分明的項(xiàng)目組織結(jié)構(gòu)，在整個(gè)安全系統(tǒng)的 集成 過(guò)程中積極與用戶 溝通 和 配合， 在 遇到相關(guān)集成問(wèn)題 時(shí)做到不 互相推脫責(zé)任， 而是 中國(guó)農(nóng)業(yè)科學(xué)院圖書(shū)館項(xiàng)目專(zhuān)用設(shè)備（網(wǎng)絡(luò)安全設(shè)備、工作站、計(jì)算機(jī)終端）采購(gòu) 項(xiàng)目（第 3 包） －投標(biāo)書(shū) 中國(guó)電信集團(tuán)系統(tǒng)集成有限責(zé)任公司 28 按采購(gòu)人要求 在限期內(nèi)對(duì)問(wèn)題予以解決。 當(dāng) 本項(xiàng)目中網(wǎng)絡(luò)安全設(shè)備按系統(tǒng)集成需求需要與其它相關(guān)項(xiàng)目或設(shè)備進(jìn)行集成的部分， 我 方 承諾 無(wú)條件配合采購(gòu)人提出的集成要求 。相關(guān)項(xiàng)目組織及管理方面的內(nèi)容詳見(jiàn)第 6 章《 項(xiàng)目實(shí)施方案 》。 防火墻 設(shè)備端口 本次投標(biāo)采用的網(wǎng)神 SecGate 3600 防火墻 G6079AA 標(biāo)配 10 個(gè)標(biāo)準(zhǔn)10/100/1000BaseT 自適應(yīng)以太網(wǎng)電口和 6 個(gè) SPF 1000M 多模 LC 光模塊，滿足本次招標(biāo)的需求，并且還具備 4 個(gè) SPF 擴(kuò)展插槽，可配置 10/100/1000BaseT 自適應(yīng)以太網(wǎng)電口模塊和 1000M 多模 LC 光模塊，滿足用戶未來(lái)的發(fā)展需求。 1000BASET（ 符合 標(biāo)準(zhǔn)）是在雙絞線上傳送 1000Mb/s 基帶信號(hào)的以太網(wǎng)，稱(chēng)為吉比特以太網(wǎng)（又稱(chēng)為千兆以太網(wǎng)）。 此接口可以滿足和 中國(guó)農(nóng)業(yè)科學(xué)院 現(xiàn)有網(wǎng)絡(luò)系統(tǒng)無(wú)縫對(duì)接的需求。 入侵防御系統(tǒng)端口 本次投標(biāo)采用的 天清 入侵防御系統(tǒng) NDP1000 標(biāo)配 4 個(gè)標(biāo)準(zhǔn)10/100/1000BaseT 自適應(yīng)以太網(wǎng)電口和 4 個(gè) SFP 插槽，滿足本次招標(biāo)的需求， 4個(gè) SFP 插槽可配置 10/100/1000BaseT 自適應(yīng)以太網(wǎng)電口模塊和 1000M 多模 LC光模塊，滿足用戶未來(lái)的 發(fā)展需求。 1000BASET（ 符合 標(biāo)準(zhǔn)）是在雙絞線上傳送 1000Mb/s 基帶信號(hào)的以太網(wǎng)，稱(chēng)為吉比特以太網(wǎng)（又稱(chēng)為千兆以太網(wǎng)）。 此接口可以滿足和 中國(guó)農(nóng)業(yè)科學(xué)院 現(xiàn)有網(wǎng)絡(luò)系統(tǒng)無(wú)縫對(duì)接的需求。 安全設(shè)備 支持協(xié)議 本次投標(biāo)采用的網(wǎng)神 SecGate 3600 防火墻 G6079AA 和 天清入侵防御系統(tǒng)NDP1000 支持 IEEE VLAN 協(xié)議， IEEE 協(xié)議為標(biāo)識(shí)帶有 VLAN 成員信息的以太幀建立了一種標(biāo)準(zhǔn)方法。 標(biāo)準(zhǔn)定義了 VLAN 網(wǎng)橋操作，從而允許在橋接 局域網(wǎng)結(jié)構(gòu)中實(shí)現(xiàn)定義、運(yùn)行以及管理 VLAN 拓?fù)?結(jié)構(gòu)等 中國(guó)農(nóng)業(yè)科學(xué)院圖書(shū)館項(xiàng)目專(zhuān)用設(shè)備（網(wǎng)絡(luò)安全設(shè)備、工作站、計(jì)算機(jī)終端）采購(gòu) 項(xiàng)目（第 3 包） －投標(biāo)書(shū) 中國(guó)電信集團(tuán)系統(tǒng)集成有限責(zé)任公司 29 操作。 可以滿足和 中國(guó)農(nóng)業(yè)科學(xué)院 現(xiàn)有網(wǎng)絡(luò)系統(tǒng)在交換層面上進(jìn)行無(wú)縫對(duì)接。 本次投標(biāo)采用的網(wǎng)神 SecGate 3600 防火墻 G6079AA 支持 RIPv1/v2 和 OSPF標(biāo)準(zhǔn) 動(dòng)態(tài)路由 協(xié)議 ，可以滿足和 中國(guó)農(nóng)業(yè)科學(xué)院 現(xiàn)有網(wǎng)絡(luò)系統(tǒng)在路由層面上進(jìn)行無(wú)縫對(duì)接。 本次投標(biāo)采用的 天清入侵防御系統(tǒng) NDP1000 支持 RIPv1/v OSPF 和 BGP標(biāo)準(zhǔn)動(dòng)態(tài)路由協(xié)議，可以滿足和 中國(guó)農(nóng)業(yè)科學(xué)院 現(xiàn)有網(wǎng)絡(luò)系統(tǒng)在路由層面上進(jìn)行無(wú)縫對(duì)接。 本次投標(biāo)采用的網(wǎng)神 SecGate 3600 防火墻 G6079AA 和 天清入侵防御系統(tǒng)NDP1000 支持標(biāo)準(zhǔn) SNMP 協(xié)議，可以滿足和 中國(guó)農(nóng)業(yè)科學(xué)院 現(xiàn)有網(wǎng)絡(luò)系統(tǒng)在網(wǎng)絡(luò)管理層面上進(jìn)行無(wú)縫對(duì)接。 中國(guó)農(nóng)業(yè)科學(xué)院圖書(shū)館項(xiàng)目專(zhuān)用設(shè)備（網(wǎng)絡(luò)安全設(shè)備、工作站、計(jì)算機(jī)終端）采購(gòu) 項(xiàng)目（第 3 包） －投標(biāo)書(shū) 中國(guó)電信集團(tuán)系統(tǒng)集成有限責(zé)任公司 30 第 4章 項(xiàng)目實(shí)施方案 項(xiàng)目實(shí)施概述 本項(xiàng)目將建設(shè)中國(guó)農(nóng)業(yè)科學(xué)院新圖書(shū)館網(wǎng)絡(luò)安全系統(tǒng)，并與現(xiàn)有網(wǎng)絡(luò)環(huán)境進(jìn)行對(duì)接，實(shí)現(xiàn)在圖書(shū)館內(nèi)部應(yīng)用系統(tǒng)與中國(guó)農(nóng)業(yè)科學(xué)院各單位之間搭建安全性更高的專(zhuān)用安全網(wǎng)絡(luò)的目標(biāo)。 我方將 負(fù)責(zé) 本項(xiàng)目 全部 網(wǎng)絡(luò)安全 設(shè)備的安裝、調(diào)試、集成等工作，以及試運(yùn)行和驗(yàn)收等工作，并負(fù)責(zé)與原有的網(wǎng)絡(luò)系統(tǒng)互連互通。 在實(shí)施過(guò)程中，我方將提供全部設(shè)備安裝所需的各類(lèi)連接電纜和接插件，其價(jià)格 均已包含在合同總價(jià)中，如有短缺則將免費(fèi)提供。 在工程實(shí)施過(guò)程中我方將按照采購(gòu)人的需求和進(jìn)度要求進(jìn)行。 項(xiàng)目管理 項(xiàng)目組織機(jī)構(gòu) 本次項(xiàng)目，將組建由 農(nóng)科院圖書(shū)館 領(lǐng)導(dǎo)和中國(guó)電信系統(tǒng)集成公司領(lǐng)導(dǎo)組成的項(xiàng)目領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)，下設(shè) 農(nóng)科院圖書(shū)館 項(xiàng)目經(jīng)理和中國(guó)電信系統(tǒng)集成公司項(xiàng)目經(jīng)理，同時(shí)設(shè)中國(guó)電信系統(tǒng)集成公司項(xiàng)目顧問(wèn)組支持，并組建各項(xiàng)目實(shí)施小組，協(xié)同完成本次項(xiàng)目的工程實(shí)施。 組織機(jī)構(gòu) 各小組的職責(zé)描述如下表 所 示： 名 稱(chēng) 職 責(zé) 項(xiàng)目領(lǐng)導(dǎo)小組 由中國(guó)電信系統(tǒng)集成公司和 農(nóng)科院圖書(shū)館 的有關(guān)領(lǐng)導(dǎo)組成，主要是對(duì)項(xiàng)目實(shí)施的 整個(gè)過(guò)程中的重大問(wèn)題進(jìn)行決策。 農(nóng)科院 項(xiàng)目經(jīng)理 從合同簽訂之日起， 農(nóng)科院圖書(shū)館 指定本次安全服務(wù)項(xiàng)目的負(fù)責(zé)人員，主要是對(duì)中國(guó)電信系統(tǒng)集成公司的項(xiàng)目總負(fù)責(zé)人進(jìn)行接口，協(xié)調(diào) 農(nóng)科院圖書(shū)館 的資源，解決項(xiàng)目中需要配合的問(wèn)題，推進(jìn)項(xiàng)目的 中國(guó)農(nóng)業(yè)科學(xué)院圖書(shū)館項(xiàng)目專(zhuān)用設(shè)備（網(wǎng)絡(luò)安全設(shè)備、工作站、計(jì)算機(jī)終端）采購(gòu) 項(xiàng)目（第 3 包） －投標(biāo)書(shū) 中國(guó)電信集團(tuán)系統(tǒng)集成有限責(zé)任公司 31 進(jìn)度。 中國(guó)電信系統(tǒng)集成公司項(xiàng)目經(jīng)理 從工程項(xiàng)目實(shí)施隊(duì)伍組建之日起，就承擔(dān)了將合同范圍內(nèi)的各項(xiàng)工程任務(wù)全面完成的重要職責(zé)。項(xiàng)目總負(fù)責(zé)人須做好日常資源管理工作，并直接控制項(xiàng)目管理計(jì)劃 (PMP)的各個(gè)要素，具體說(shuō)來(lái)主要包括以下幾個(gè)方面： ? 項(xiàng)目執(zhí)行 —— 對(duì)以下幾方面工作提供指導(dǎo)：總體方案設(shè)計(jì)； 工程質(zhì)量和進(jìn)度保證；系統(tǒng)驗(yàn)收，培訓(xùn)等。 ? 項(xiàng)目檢查 —— 通過(guò)其下屬實(shí)施小組提供的工程進(jìn)展匯報(bào)，將項(xiàng)目進(jìn)展?fàn)顟B(tài)與項(xiàng)目計(jì)劃進(jìn)度進(jìn)行比較，發(fā)現(xiàn)過(guò)程誤差，提出調(diào)整措施。 ? 項(xiàng)目控制 —— 審核項(xiàng)目進(jìn)展?fàn)顟B(tài)，必要時(shí)調(diào)集各種備用資源，確保項(xiàng)目按計(jì)劃進(jìn)度實(shí)施。 ? 項(xiàng)目協(xié)調(diào) —— 與各級(jí)單位進(jìn)行協(xié)調(diào)，解決工程組織接口及技術(shù)接口問(wèn)題；定期主持整個(gè)系統(tǒng)專(zhuān)題協(xié)調(diào)會(huì)，及時(shí)解決各系統(tǒng)間出現(xiàn)的相關(guān)問(wèn)題。 中國(guó)電信系統(tǒng)集