绍兴市招投标中心招标文件 招标编号:SXCG2008-08-0174
二、校园网整体解决方案安全功能要求
针对目前校园网应用的实际情况,我们要求投标单位,在提供满足性能要求设备基础上,组网方案要实现以下功能:
一、强制入网身份安全
首先通过身份认证保证,合法用户才能够接入学校的网络,非法用户在任何地点不能以任何方式接入我校的网络;通过对用户入网身份识别以及用户入网参数的多元素绑定,可以确保每个接入网络的用户的身份唯一性,同时有效控制用户对网络的访问权限,防止越权访问。比如,某台未登记的计算机就不能随便接入校园网,散发反动的、色情的信息;要对学生上网行为进行日志记录。
二、入网主机信息收集
主机信息收集和管理主要涉及学校主机硬件信息,操作系统信息和已安装程序信息。 在校园网安全管理系统上能够收集和查看各种主机信息,并且根据主机信息定位到相应的接入用户,了解整个网络中各种硬件,软件,操作系统的分布和使用情况。
这一方面可以协助网络管理人员更好的制定网络安全策略,针对仍然使用旧版本操作系统的用户,提醒其进行升级,从而防止因为旧版操作系统的漏洞给整个网络的正常运营带来威胁甚至灾难。
三、入网主机健康性检查
主机健康性检查的含义就是我们校园网的网络管理者们通过主机完整性检测机制可以制定用户所使用的PC的入网标准。不符合入网标准的用户,将通过下文的设备联动将其隔离。比如我们以杀毒软件的入网标准的制定来分析:
首先,规定主机的状态,如必须安装杀毒软件(多种杀毒软件中的一种即可)。符合这个要求的PC即可以认为其符合主机完整性,允许接入网络;
其次,监测主机的状态,虽然安装了杀毒软件,但是若用户没有运行或没有升级,同样会被监测到,因为这同样不符合主机完整性的要求,用户将被隔离。
最后,主机状态的更新,这主要针对杀毒软件的版本,用户安装并运行了杀毒软件,但是病毒库版本过低,同样会让主机面临着安全的威胁。
当客户端PC不满足主机完整性的时候(如杀毒软件版本过低或未打系统补丁), 需要对用户进行处理。如对用户进行相应的提示,将用户隔离到相应的安全区域进行自动修复。只有自动修复成功后,用户才能够正常的访问网络。
四、安全事件监控和设备联动处理
- 16 -
绍兴市招投标中心招标文件 招标编号:SXCG2008-08-0174
安全事件就是网络中所发生的各种攻击事件,安全管理平台通过同入侵检测设备IDS的联动,学习和检测网络中存在的安全攻击事件,并能通过安全事件处理手段进行手动或者自动处理。能够以报表或者日志的形式进行安全事件的统计,协助网络管理员进行网络的安全管理和安全评估,并帮助网络管理员轻松的应对网络中的攻击事件,并进行多种形式的处理(如警告,下发修复程序,进行用户网络访问的隔离和阻断),为网络管理员构造一个安全稳定的网络。
自动的监控和处理降低了安全事件造成的影响的机率和范围,同时提高了网络攻击情况下,安全事件处理的效率(因为,我们学校在过去手工处理一个事件,网络管理人员耗费在走路到达目的地的时间,对于网络恢复正常的紧迫性就是一个严重的制约;而且对于学校的网管人员也很辛苦)。
五、对未知安全事件的学习及处理
在投标单位提供的解决方案中,我们要求组建的方案应该是一个学习能力很强的网络,它应该能够随时感知到网络中的环境变化。在网络中,针对网络环境的感知能力,能有效协助网络管理员进行网络安全隐患的判断。
校园网安全管理平台通过同入侵检测设备的联动,能够在不同的网络中自动学习到不同的网络安全事件,能够随时感知网络中的环境变化。通过安全事件的自动学习功能,将安全事件保存在安全管理平台中,自动将网络环境的变化通知管理员,由管理员进行有效的处理。学习到新的安全事件之后,管理员通过第一次的手工处理,可以完成后续该事件的全部自动处理。
六、全面的ARP欺骗立体防御
在我们学校,ARP的病毒是最头痛与烦恼的。投标单位所提供的方案中,我们要求对ARP攻击或欺骗进行立体防御,提出从主机、到接入交换机、网关交换机的三位一体的全面ARP欺骗防护。
三、学校各楼宇信息点数
楼座 1#学生公寓 2#学生公寓 3#学生公寓 4#学生公寓 5#学生公寓 6#学生公寓 7#学生公寓 8#学生公寓 9#学生公寓 节点/间 2 2 4 6 2 2 2 2 4 24口交端口数量 48口交换机数量 换机 250 210 624 936 312 408 360 360 720 5 4 13 19 6 8 7 7 3*6=18 - 17 -
备注 30间*4节点*6层 1 1 1 1 1 1 1 每层一绍兴市招投标中心招标文件 招标编号:SXCG2008-08-0174
个弱电房 每层一10#学生公寓 4 720 3*6=18 个弱电房 每层一个弱电11#学生公寓 4 840 3*6=18 房 每层一个弱电12#学生公寓 4 840 3*6=18 老校区网络信息节点统计(按每房间1个节点计算) 老行政楼前排 老行政楼后排 老实习楼 图书馆 A楼 B楼 C楼 行政楼 校外教工宿舍 教学楼 北1G 北2F 南1E 南2D 实训楼 南 北 体育馆 食堂 168 120 48 72 节点数 交换机 54+36 46+48 16+18 66+32 24*3+24*4 24*2+24*3 24×2 24*3 二楼、四楼两个弱电房 二楼、四楼两个弱电房 二楼、四楼两个弱电房 二楼、四楼两个弱电房 二楼、四楼(东、西)四个弱电房 二楼、四楼(东、西)四个弱电房 90 2个48口+1个24口 94 2个48口 34 2个24口 7个24口 5个24口 2个24口 3个24口 98 2个48口+1个24口 端口 72 48 72 48 86 84 56 120 48 交换机 3个24口 1个48口 1个48口+1个24口核心 2个24口 2个48口 2个48口 1个24口+1个48口 1个48口 房 35间*4节点*6层 35间*4节点*6层 30间*4节点*6层 节点 24*3=72个节点 24*2=48个节点 24*3=72个节点 24*2=48个节点 43×2 42×2 28×2 24*2=48个节点 四、一卡通专网设计要求:
为了保障到校园一卡通系统的可靠性,一卡通专网采用双核心、双链路上行设计。同时,为了节约投资,学生宿舍、行政楼、图书馆、新老食堂等楼的汇聚交换机与校园网共用一台交换机,通过VLAN技术将两个网络隔开。其它楼宇汇聚交换机需提供足够的光口数量冗余,方便今后一卡通系统的扩展。
注意:网络拓扑图仅作为参考,投标方必须严格按照下面的具体设备技术要求选择合适的产品参与投标。
- 18 -