合肥市引江濟淮投資有限公司官方網站安全策略升級項目詢價公告

類別

序號

服務內容

網絡安全

結構安全

1

應保證主要網絡設備的業務理能力具備冗千空間，滿足業務高峰期需要。

2

應保證網絡各個部分的帶寬滿足業務高峰期需要。

3

應在業務終端與業務服務器之間進行路由控制建立安全的訪問路徑。

4

應繪制與當前運行情況相符的網絡拓撲結構圖。

5

應根據各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網或網段，并按照方便管理和控制的原則為各子網、網段分配地址段。

6

應避免將重要網段部署在網絡邊界處且直接連接外部信息系統，重要網段與其他網段之間采取可靠的技術隔離手段。

7

應按照對業務服務的重要次序來指定帶寬分配優先級別，保證在網絡發生擁堵的時候優先保護重要主機。

訪問控制

8

應在網絡邊界部署訪問控制設備，啟用訪問控制功能。

9

應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為端口級。

10

應對進出網絡的信息內容進行過濾，實現對應用層HTTP、FTP。TELNET。SMTP POP3 等協議命令級的控制。

11

應在會話處于非活躍一定時間或會話結束后終止網絡連接。

12

應限制網絡最大流量數及網絡連接數。

13

重要網段應采取技術手段防止地址欺騙。

14

應按用戶和系統之間的允許訪問規則，決定允許或拒絕用戶對受控系統進行資源訪問，控制粒度為單個用戶。

15

應限制具有撥號訪問權限的用戶數量。

安全審計

16

應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄。

17

審計記錄應包括:事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。

18

應能夠根據記錄數據進行分析，并生成審計報表。

19

應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。

邊界完整性檢查

20

應能夠對非授權設備私自聯到內部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷。

21

應能夠對內部網絡用戶私自聯到外部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷。

入侵防范(G3 )

22

應在網絡邊界處監視以下攻擊行為:端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等。

23

當檢測到敗擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發生嚴重入侵事件時應提供報警。

惡意代碼防范

24

應在網絡邊界處對惡意代碼進行檢測和清除。

25

應維護惡意代碼庫的升級和檢測系統的更新。

網絡設備防護

26

應對登錄網絡設備的用戶進行身份鑒別。

27

應對網絡設備的管理員登錄地址進行限制。

28

網絡設備用戶的標識應唯一。

29

主要網絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別。

30

身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換。

31

應具有登錄失敗處理功能，可采取結束會話、限制非法登錄次數和當網絡登錄連接超時自動退出等措施。

32

當對網絡設備進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽。

33

應實現設備特權用戶的權限分離。

主機安全

身份鑒別

34

應對登錄操作系統和數據庫系統的用戶進行身份標識和鑒別。

35

操作系統和數據庫系統管理用戶身份標識應具有不易被冒用的特點，口令應有復雜度要求并定期更換。

36

應啟用登錄失敗處理功能，可采取結束會話、限制非法登錄次數和自動退出等措施。

37

當對服務器進行遠程管理時，應采取必要措施，防止鑒別信息在網絡傳輸過程中被竊聽。

38

應為操作系統和數據庫系統的不同用戶分不同的用戶名，確保用戶名具有唯一性。

39

應采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別。

通信完整性

40

應采用密碼技術保證通信過程中數據的完整性。

通信保密性

41

在通信雙方建立連接之前，應用系統應利用密碼技術進行會話初始化驗證。

42

應對通信過程中的整個報文或會話過程進行加密。

抗抵賴(G3 )

43

應具有在請求的情況下為數據原發者或接收者提供數據原發證據的功能。

44

應具有在請求的情況下為數據原發者或接收者提供數據接收證據的功能。

軟件容錯

45

應提供數據有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數據格式或長度符合系統設定要求。

46

應提供自動保護功能，當故障發生時自動保護當前所有狀態，保證系統能夠進行恢復。

數據安全

數據完整性

47

應能夠檢測到系統管理數據、鑒別信息和重要業務數據在傳輸過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施。