【導讀】中國農(nóng)業(yè)科學院圖書館項目專用設(shè)備。工作站、計算機終端）采購項目（第3包）－投標書。中國電信集團系統(tǒng)集成有限責任公司-ii-

　　

【正文】 問日志、管理日志等重要信息。 14. 與安全管理平臺的銜接 網(wǎng)神防火墻支持 SNMP 協(xié)議。通過配置管理 IP 地址和 SNMP 協(xié)議，可接受安全管理平臺的統(tǒng)一管理。 網(wǎng)絡(luò)安全系統(tǒng) 設(shè)計方案 二 第二種方案中 IPS 的部署和方案一相同，不同之處在于 將新增 的 兩臺防火墻采用冗余方式部署在核心交換機和 內(nèi)部其它區(qū)之間，作為內(nèi)網(wǎng) 核心交換區(qū)和其它區(qū) 不同安全域之間的邊界，部署示意圖如下圖所示： 中國農(nóng)業(yè)科學院圖書館項目專用設(shè)備（網(wǎng)絡(luò)安全設(shè)備、工作站、計算機終端）采購 項目（第 3 包） －投標書 中國電信集團系統(tǒng)集成有限責任公司 24 圖示： 33 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計 方案 2 示意圖 防火墻部署方式說明 新增加的 兩臺防火墻采用冗余方式部署在 核心交換機 和其他區(qū)的 之間 ， 作為內(nèi)網(wǎng) 中不同等級 安全域 之間的 邊界 ，實現(xiàn) 中國農(nóng)業(yè)科學院新圖書館 內(nèi)網(wǎng)安全域之 中國農(nóng)業(yè)科學院圖書館項目專用設(shè)備（網(wǎng)絡(luò)安全設(shè)備、工作站、計算機終端）采購 項目（第 3 包） －投標書 中國電信集團系統(tǒng)集成有限責任公司 25 間的邊界防護隔離及訪問控制的需求。 兩臺防火墻采用 透明模式部署，互為備份，通過防火墻對來自不同安全區(qū)域之間的流量進行檢測和分析，控 制不同區(qū)域之間的互訪關(guān)系 ，保護內(nèi)部網(wǎng)絡(luò)系統(tǒng)穩(wěn)定運行。 透明模式部署的優(yōu)勢 防火墻透明模式部署，不需要改變現(xiàn)有的網(wǎng)絡(luò)拓撲結(jié)構(gòu)，不需要改變現(xiàn)有的各種訪問控制策略、應(yīng)用策略，不會影響既有業(yè)務(wù)系統(tǒng)的正常運行。只需要設(shè)置基于現(xiàn)有應(yīng)用的訪問控制策略，確保為應(yīng)用系統(tǒng)及基礎(chǔ)環(huán)境提供安全保障。 防火墻透明模式部署方案具有實施方便、快捷，運維簡單，不易出現(xiàn)故障的特點。尤其在復雜的網(wǎng)絡(luò)環(huán)境下，更能體現(xiàn)其優(yōu)勢。 透明模式部署的劣勢 透明模式部署會暴露內(nèi)網(wǎng) IP 地址，存在一定的安全隱患，且此模式不提供路由、 NAT 等地址映射功能。這需要 在路由器上進行 NAT 設(shè)置等方式來彌補內(nèi)網(wǎng) IP 地址暴露的問題。 防火墻部署策略建議 根據(jù) 中國農(nóng)業(yè)科學院新圖書館 內(nèi)部網(wǎng)絡(luò)的 主要功能和應(yīng)用 ，建議對 內(nèi)網(wǎng) 防火墻設(shè)置策略如下： 1. 實現(xiàn)訪問控制 通過在防火墻上配置安全訪問控制策略過濾訪問行為，實現(xiàn)基于協(xié)議、源 /目的 IP 地址、端口的訪問控制，對來自 不同安全區(qū)域間 的訪問進行 控制 ， 保證不同應(yīng)用系統(tǒng)間的流量是嚴格按照用戶的需求進行流向的 ； 2. 帶寬管理 啟用帶寬管理功能，如當某一地址或某地址段對外連接數(shù)超過一定數(shù)量或流量超過一個設(shè)定的閥值時，實現(xiàn)阻斷或流量限制的功能 ，保證內(nèi)網(wǎng)中的關(guān)鍵 應(yīng)用 中國農(nóng)業(yè)科學院圖書館項目專用設(shè)備（網(wǎng)絡(luò)安全設(shè)備、工作站、計算機終端）采購 項目（第 3 包） －投標書 中國電信集團系統(tǒng)集成有限責任公司 26 業(yè)務(wù)能得到帶寬保證 ； 3. 身份認證 在防火墻上開啟用戶身份認證功能，利用防火墻自帶數(shù)據(jù)庫或通過 Radius及 SecureID 和 LDAP 用戶認證功能； 4. 抗攻擊 在防火墻上開啟自動抗攻擊功能，利用防火墻本身的防御功能防止 DoS、端口掃描等攻擊，確保 內(nèi)部安全域 不被外部 惡意流量破壞 ； 5. 抗蠕蟲 通過防火墻的蠕蟲過濾等功能保證數(shù)據(jù)庫及服務(wù)器不受來自互聯(lián)網(wǎng)的蠕蟲及網(wǎng)絡(luò)病毒侵害，保障數(shù)據(jù)庫系統(tǒng)正常、高效運行； 6. 實現(xiàn)多種手段報警 防火墻發(fā)現(xiàn)攻擊、非法入侵、未授權(quán)訪問等違反安全規(guī)則的行為，立即以多種手段（告警、日志、 SNMP 陷阱等）實現(xiàn)違規(guī)行為的告警，并記錄日志，以便查詢。 7. 日志管理 在防火墻上開啟日志記錄功能（建議安裝單獨的日志服務(wù)器），利用防火墻的日志功能記錄完整日志和統(tǒng)計報表等資料，尤其是流量日志、訪問日志、管理日志等重要信息。 8. 與安全管理平臺的銜接 網(wǎng)神防火墻支持 SNMP 協(xié)議。通過配置管理 IP 地址和 SNMP 協(xié)議，可接受安全管理平臺的統(tǒng)一管理。 網(wǎng)絡(luò)安全系統(tǒng) 運行管理建議 為了充分發(fā)揮 網(wǎng)絡(luò)安全系統(tǒng) 的安全防護功能，需要加強自身的安全管理和操作，制定合理的操作流程和規(guī)范。 1. 作為部署在各安全域邊界的關(guān)鍵網(wǎng)絡(luò)安全設(shè)備，必須嚴格限 制對防火墻和入侵防御系統(tǒng) 的管理訪問權(quán)限，定期對防火墻 和入侵防御系統(tǒng) 的訪問控制策略進行檢查和備份。 中國農(nóng)業(yè)科學院圖書館項目專用設(shè)備（網(wǎng)絡(luò)安全設(shè)備、工作站、計算機終端）采購 項目（第 3 包） －投標書 中國電信集團系統(tǒng)集成有限責任公司 27 2. 對防火墻 和入侵防御系統(tǒng) 策略的改變或調(diào)整要保持記錄。 3. 在人員允許的情況下，盡量使防火墻 和入侵防御系統(tǒng) 的管理人員與業(yè)務(wù)系統(tǒng)的管理人員分開。 4. 安全策略要規(guī)定誰對管理防火墻負責 ，誰對管理和入侵防御系統(tǒng)負責 。 5. 建議最終用戶任命兩名防火墻管理員（一個主要的，一個輔助的），負責防火墻設(shè)備維護，確保防火墻管理的持續(xù)性。 6. 建議最終用戶任命兩名 入侵防御系統(tǒng) 管理員（一個主要的，一個輔助的），負責 入侵防御系統(tǒng) 設(shè)備維護，確保 入侵防御系統(tǒng) 管理的持續(xù)性。 7. 主要的管理員負責改變配置，輔助的管理員僅在主管理員不在時維護，避免沖突。 8. 每個防火墻 和入侵防御系統(tǒng)的 管理員要提供電話號碼和手機號碼，以備緊急時刻聯(lián)系。 9. 防火墻 和入侵防御系統(tǒng)的 管理員必須精通網(wǎng)絡(luò)理論，對網(wǎng)絡(luò)設(shè)計和安裝實施有豐富經(jīng)驗，這樣防火墻 和入侵防御系統(tǒng) 才能被正確配置和適當?shù)毓芾怼? 10. 防火墻 和入侵防御系統(tǒng)的 管理員必須定期接受防火墻 和入侵防御系統(tǒng)關(guān)于 應(yīng)用和網(wǎng)絡(luò)安全方面的培訓。 11. 防火墻 和入侵防御系統(tǒng) 上僅有的用戶帳號只能是防火墻 和入侵防御系統(tǒng)的 管理員和備用管理員，只有這些管理員擁有更新系統(tǒng)可執(zhí)行程序 或系統(tǒng)軟件的特權(quán)。防火墻 和入侵防御 系統(tǒng)軟件的任何修改 必須 要由防火墻 和入侵防御系統(tǒng)的 管理員或備用管理員執(zhí)行并且需要得到部門領(lǐng)導的核準。 安全系統(tǒng)集成設(shè)計方案 我 方 將 在 安全 設(shè)備安裝上架以及整體集成前主動與采購人就集成方案的確定進行溝通， 并根據(jù)多年在行業(yè)內(nèi)的經(jīng)驗對采購人提出的集成方案調(diào)整要求給予更專業(yè)以及更合理的意見，同時 全力配合采購人提出的合理的集成方案調(diào)整要求。 我 方 將建立層次清晰，職責分明的項目組織結(jié)構(gòu)，在整個安全系統(tǒng)的 集成 過程中積極與用戶 溝通 和 配合， 在 遇到相關(guān)集成問題 時做到不 互相推脫責任， 而是 中國農(nóng)業(yè)科學院圖書館項目專用設(shè)備（網(wǎng)絡(luò)安全設(shè)備、工作站、計算機終端）采購 項目（第 3 包） －投標書 中國電信集團系統(tǒng)集成有限責任公司 28 按采購人要求 在限期內(nèi)對問題予以解決。 當 本項目中網(wǎng)絡(luò)安全設(shè)備按系統(tǒng)集成需求需要與其它相關(guān)項目或設(shè)備進行集成的部分， 我 方 承諾 無條件配合采購人提出的集成要求 。相關(guān)項目組織及管理方面的內(nèi)容詳見第 6 章《 項目實施方案 》。 防火墻 設(shè)備端口 本次投標采用的網(wǎng)神 SecGate 3600 防火墻 G6079AA 標配 10 個標準10/100/1000BaseT 自適應(yīng)以太網(wǎng)電口和 6 個 SPF 1000M 多模 LC 光模塊，滿足本次招標的需求，并且還具備 4 個 SPF 擴展插槽，可配置 10/100/1000BaseT 自適應(yīng)以太網(wǎng)電口模塊和 1000M 多模 LC 光模塊，滿足用戶未來的發(fā)展需求。 1000BASET（ 符合 標準）是在雙絞線上傳送 1000Mb/s 基帶信號的以太網(wǎng)，稱為吉比特以太網(wǎng)（又稱為千兆以太網(wǎng)）。 此接口可以滿足和 中國農(nóng)業(yè)科學院 現(xiàn)有網(wǎng)絡(luò)系統(tǒng)無縫對接的需求。 入侵防御系統(tǒng)端口 本次投標采用的 天清 入侵防御系統(tǒng) NDP1000 標配 4 個標準10/100/1000BaseT 自適應(yīng)以太網(wǎng)電口和 4 個 SFP 插槽，滿足本次招標的需求， 4個 SFP 插槽可配置 10/100/1000BaseT 自適應(yīng)以太網(wǎng)電口模塊和 1000M 多模 LC光模塊，滿足用戶未來的 發(fā)展需求。 1000BASET（ 符合 標準）是在雙絞線上傳送 1000Mb/s 基帶信號的以太網(wǎng)，稱為吉比特以太網(wǎng)（又稱為千兆以太網(wǎng)）。 此接口可以滿足和 中國農(nóng)業(yè)科學院 現(xiàn)有網(wǎng)絡(luò)系統(tǒng)無縫對接的需求。 安全設(shè)備 支持協(xié)議 本次投標采用的網(wǎng)神 SecGate 3600 防火墻 G6079AA 和 天清入侵防御系統(tǒng)NDP1000 支持 IEEE VLAN 協(xié)議， IEEE 協(xié)議為標識帶有 VLAN 成員信息的以太幀建立了一種標準方法。 標準定義了 VLAN 網(wǎng)橋操作，從而允許在橋接 局域網(wǎng)結(jié)構(gòu)中實現(xiàn)定義、運行以及管理 VLAN 拓撲 結(jié)構(gòu)等 中國農(nóng)業(yè)科學院圖書館項目專用設(shè)備（網(wǎng)絡(luò)安全設(shè)備、工作站、計算機終端）采購 項目（第 3 包） －投標書 中國電信集團系統(tǒng)集成有限責任公司 29 操作。 可以滿足和 中國農(nóng)業(yè)科學院 現(xiàn)有網(wǎng)絡(luò)系統(tǒng)在交換層面上進行無縫對接。 本次投標采用的網(wǎng)神 SecGate 3600 防火墻 G6079AA 支持 RIPv1/v2 和 OSPF標準 動態(tài)路由 協(xié)議 ，可以滿足和 中國農(nóng)業(yè)科學院 現(xiàn)有網(wǎng)絡(luò)系統(tǒng)在路由層面上進行無縫對接。 本次投標采用的 天清入侵防御系統(tǒng) NDP1000 支持 RIPv1/v OSPF 和 BGP標準動態(tài)路由協(xié)議，可以滿足和 中國農(nóng)業(yè)科學院 現(xiàn)有網(wǎng)絡(luò)系統(tǒng)在路由層面上進行無縫對接。 本次投標采用的網(wǎng)神 SecGate 3600 防火墻 G6079AA 和 天清入侵防御系統(tǒng)NDP1000 支持標準 SNMP 協(xié)議，可以滿足和 中國農(nóng)業(yè)科學院 現(xiàn)有網(wǎng)絡(luò)系統(tǒng)在網(wǎng)絡(luò)管理層面上進行無縫對接。 中國農(nóng)業(yè)科學院圖書館項目專用設(shè)備（網(wǎng)絡(luò)安全設(shè)備、工作站、計算機終端）采購 項目（第 3 包） －投標書 中國電信集團系統(tǒng)集成有限責任公司 30 第 4章 項目實施方案 項目實施概述 本項目將建設(shè)中國農(nóng)業(yè)科學院新圖書館網(wǎng)絡(luò)安全系統(tǒng)，并與現(xiàn)有網(wǎng)絡(luò)環(huán)境進行對接，實現(xiàn)在圖書館內(nèi)部應(yīng)用系統(tǒng)與中國農(nóng)業(yè)科學院各單位之間搭建安全性更高的專用安全網(wǎng)絡(luò)的目標。 我方將 負責 本項目 全部 網(wǎng)絡(luò)安全 設(shè)備的安裝、調(diào)試、集成等工作，以及試運行和驗收等工作，并負責與原有的網(wǎng)絡(luò)系統(tǒng)互連互通。 在實施過程中，我方將提供全部設(shè)備安裝所需的各類連接電纜和接插件，其價格 均已包含在合同總價中，如有短缺則將免費提供。 在工程實施過程中我方將按照采購人的需求和進度要求進行。 項目管理 項目組織機構(gòu) 本次項目，將組建由 農(nóng)科院圖書館 領(lǐng)導和中國電信系統(tǒng)集成公司領(lǐng)導組成的項目領(lǐng)導小組領(lǐng)導，下設(shè) 農(nóng)科院圖書館 項目經(jīng)理和中國電信系統(tǒng)集成公司項目經(jīng)理，同時設(shè)中國電信系統(tǒng)集成公司項目顧問組支持，并組建各項目實施小組，協(xié)同完成本次項目的工程實施。 組織機構(gòu) 各小組的職責描述如下表 所 示： 名 稱 職 責 項目領(lǐng)導小組 由中國電信系統(tǒng)集成公司和 農(nóng)科院圖書館 的有關(guān)領(lǐng)導組成，主要是對項目實施的 整個過程中的重大問題進行決策。 農(nóng)科院 項目經(jīng)理 從合同簽訂之日起， 農(nóng)科院圖書館 指定本次安全服務(wù)項目的負責人員，主要是對中國電信系統(tǒng)集成公司的項目總負責人進行接口，協(xié)調(diào) 農(nóng)科院圖書館 的資源，解決項目中需要配合的問題，推進項目的 中國農(nóng)業(yè)科學院圖書館項目專用設(shè)備（網(wǎng)絡(luò)安全設(shè)備、工作站、計算機終端）采購 項目（第 3 包） －投標書 中國電信集團系統(tǒng)集成有限責任公司 31 進度。 中國電信系統(tǒng)集成公司項目經(jīng)理 從工程項目實施隊伍組建之日起，就承擔了將合同范圍內(nèi)的各項工程任務(wù)全面完成的重要職責。項目總負責人須做好日常資源管理工作，并直接控制項目管理計劃 (PMP)的各個要素，具體說來主要包括以下幾個方面： ? 項目執(zhí)行 —— 對以下幾方面工作提供指導：總體方案設(shè)計； 工程質(zhì)量和進度保證；系統(tǒng)驗收，培訓等。 ? 項目檢查 —— 通過其下屬實施小組提供的工程進展匯報，將項目進展狀態(tài)與項目計劃進度進行比較，發(fā)現(xiàn)過程誤差，提出調(diào)整措施。 ? 項目控制 —— 審核項目進展狀態(tài)，必要時調(diào)集各種備用資源，確保項目按計劃進度實施。 ? 項目協(xié)調(diào) —— 與各級單位進行協(xié)調(diào)，解決工程組織接口及技術(shù)接口問題；定期主持整個系統(tǒng)專題協(xié)調(diào)會，及時解決各系統(tǒng)間出現(xiàn)的相關(guān)問題。 中國電信系統(tǒng)集