财政地税系统桌面安全防护项目需求书.doc

财政地税系统桌面安全防护项目需求书 一、桌面安全防护系统 项目背景 根据国家税务总局《税务系统网络与信息安全防护体系建设》整体规划及财政部“金财工程”对信息安全体系建设的总体要求，为进一步完善我市财税系统信息安全体系，提高财税各基层单位网络与信息安全管理水平，进一步加强财税内部网络的整体安全防护能力，实现网络安全事件可监控、可管理、可预防，2010年度在我市财税系统信息安全防护体系建设项目计划中统一部署局域网桌面安全防护系统。 建设目标及内容 为了全面提升我局内网终端安全防护能力，增加安全防护手段，提高桌面安全管理水平，根据国家税务总局“金税三期”信息安全体系建设统一部署桌面安全安全防护系统的要求，建设覆盖我市财税系统的桌面安全防护系统，实现集中管理、多级级联的桌面安全管理平台，满足市局及各基层单位的安全准入、非法外联、系统补丁升级、进程监控、流量预警控制、非业务软件安装限制、资产管理等安全管理需求。 此次项目建设内容主要由局域网桌面安全管理系统、补丁及文件分发管理系统、信息安全管理公告平台三部分组成，建设内容概述如下： 1、局域网桌面安全管理系统：通过对全网桌面终端的注册管理功能，进行终端设备行为与状态的监测、进程与安装的软件监测，实施联网终端设备的准入控制、防违规外联、IP管理、终端行为控制策略、审计分析等；同时，通过实时监测设备资产变化情况，实现终端软硬件资产的自动统计、记录、配置管理。 2、补丁及文件分发：提供补丁检测审计，实现补丁分发管理中心服务器对网络终端用户进行分发安装；实现文件的自动及后台分发安装； 3、信息安全管理公告平台：在桌面安全管理平台的基础上，构建我市财税系统统一的内部网络信息安全管理公告平台； 项目需求 系统架构及管理架构要求 要求系统基于C/S、B/S构架，方便的对网络中Windows系统客户端及本系统进行管理。 管理构架上要求采用分级部署、分级管理和集中管理相结合的方式。 支持多级级联网络，能够实现上级直接查询下级数据的功能，要求能够与国家税务总局统一部署的北信源VRV桌面安全防护系统实现级联，并接受国家税务总局统一安排的版本升级、安全策略监控、维护管理等。 要求支持中央汇总、区域本地分布式报警方式相结合的管理机制，不同级系统逐级汇总网络设备变化、违规行为、系统运行状况异常信息，方便网管人员进行查询。 支持扩展建立信息安全管理通告模块，提供统一的内部网络安全信息公告平台，在区域中针对不同单位的网络进行安全等级划分，收集、汇总和管理网络中各相关安全和应用设备信息的各类相关信息。 （二）终端设备接入管理 要求支持跨Vlan、跨路由扫描，管理服务器能自动发现整个网络中的终端系统的IP地址、机器名和MAC地址，允许管理者对终端系统按部门进行登记管理，形成网络基本情况数据库。 要求系统能够自动发现识别新接入网络的设备。 要求系统提供对网络中的终端的注册管理，能够根据设定的安全策略允许/禁止终端接入网络，实现注册硬件设备信息的自动采集。 要求系统提供网络终端IP分组功能，能够按照不同的区域、部门进行管理组的划分。能够自动检测网络中IP资源使用情况，实时统计并图形化显示注册客户端、未注册客户端及机器在线情况，增强设备管理信息的实时性、准确性。 能够与可管理型交换机进行联动，能够通过系统实现对交换机端口的关闭和启动操作，达到控制终端入网通讯的目的。 要求支持对客户端MAC和IP地址的绑定管理，IP和主机名绑定，任意其中一个发生改变，系统将自动报警，报警后自动恢复原有IP配置。 要求支持对合法计算机IP地址使用的保护机制，对新接入设备占用他人IP地址的行为进行自动断网，不影响合法计算机在网络中的正常使用。 要求支持内网完整性管理，对网络中计算机的接入、带出行为进行报警，并能够自动阻断违规行为。 要求支持对未授权的终端设备接入具有阻断能力（不依赖交换机、路由器），同时提供安全源事件远程阻断，系统在管辖范围内。 支持接入网关或802.1X方式的两种或两种以上的接入控制管理模式。 （三）统一安全策略 系统要求提供安全策略制定功能，根据终端安全防护需要提供安全策略（全局策略、本地策略、备份策略）。 策略制订后，能够自动分发至网络中所有注册终端，根据策略类型决定执行方式。 要求具有上级策略锁定功能，下级管理中心强制执行上级下发的策略且不可对策略进行修改。 可以定义策略执行的网络环境，如在特定网络中策略有效或无效。 （四）非法外联监控 要求监控网络中客户端的非法外联行为，实时检测内部网络（包括物理隔离和逻辑隔离网络）用户通过调制解调器、ADSL、双网卡等设备非法外联互联网行为，发现非法外联行为后 ，可自动进行远程告警、断网等操作。 支持监控已注册的设备网络连接行为，如改变网络地址接入其它网络，根据接入网络环境因素判定其是否