华能临沂发电有限公司互联网用户认证及安全风险检测项目技术规范书.docx

*中国华能■ ■ CHINA HUANENG 华能临沂发电互联网用户认证及平安风 险检测工程技术规范书 IEEE802.1X认证系统中利用EAP协议，作为客户端和认证服务器之间交互认 证信息的手段。在客户端PAE和设备端PAE之间，EAP协议报文使用EAPOL封装 格式，直接承载在LAN环境中。在设备端PAE和认证服务器之间，EAP协议报文 承载在高层协议上，radius协议。设备端PAE和认证功能是别离的，认证服务器可 以采用多种不同的认证机制对客户端PAE进行认证，如MD5-challenge等。设备端 PAE根据认证服务器的指示(accept或reject)来决定受控端口的授权/非授权状 态，如以下图： RADIUS协议承载的IEEE 802. 1X认证系统的工作机制 客户端PAE EAP0L ■► 设备端PAE EAP/PAP/CHAP 交换 ・► 认证服务器 3互联网平安风险检测服务 1) 调研公司的互联网平安现状，发现系统面临的主要平安风险，为积极的采 取风险控制措施提供依据；根据检测发现的网络设备、主机系统问题，提出平安整改或加固的建议, 为公司平安整改或平安加固工作提供技术指导； 2) 对公司互联网平安设备、网络设备进行策略梳理与优化。对当前网络中的 业务进行分析，对当前网络结构进行整体熟悉掌握，梳理出每个业务在每 个访问控制设备上应该开放的策略。服务团队使用平安策略评估优化工具 进行梳理，最终能够实现将防火墙策略做到最优化，防火墙策略符合《网 络平安等级保护基本要求》(GB/T 22239-2019)规定。策略优化工具须具 备软件著作权证书，研制单位具备信息平安等级保护平安建设服务机构能 力评估合格证书。 2. 工程管理 在工程的计划、实施过程中，投标人应组织工程小组收集资料、实施的所有 相关信息，通过进度报告、例会、阶段会议以及会议记录等方式记录和收集工程 实行信息，监督、促进工程各项工作的顺利开展和进行，确保优质工程质量。 工程实施过程中投标人将协同买方开展设计联络会、技术培训、工程管理等 工程服务，进行系统的工厂及现场验收，提供系统的现场安装及技术支持服务。 3. 1工程质量 为确保本工程的顺利进行和质量可控，投标人需承诺本工程在三个质量控制 环节进行严格控制，质量控制承诺如下： 1）工程资料收集 投标人需承诺根据华能临沂发电有关技术标准要求，对电厂提交的 前期资料进行审核，确保资料数据的真实性。 2）现场实施质量承诺 招标人需按照工作计划开展对华能临沂发电现场检测，采集信息系 统的风险数据。投标人需承诺将严格按照本技术规范的规定开展工作。 3）检测报告质量承诺 投标人对现场阶段采集到的风险数据进行整理，并根据风险数据编写公司安 全检测相关的报告。投标人承诺在报告完成后，将及时与华能临沂发电 进行报告内容的沟通与交流。投标人将对华能临沂发电提出的书面修改 意见给予逐条的回答，明确修改与否，及其原因。 3. 2保密要求（1）工程实施方承当被评估、服务单位敏感信息的保密责任，在工程实施过 程中，双方需要复制对方提供的相关资料时，应提交书面申请，在得到对方书面 同意后方可复制，并将数据内容记录成表，签字确认。 (2) 未经双方书面同意，不得向除公司外的第三方透露工程的任何内容，不 得向第三方透露涉及双方企业信息平安和技术成果的任何内容。 (3) 工程结束后，双方评估过程中所提供的相关资料必须互相确认，相互承 担保密责任。 3. 3实施人员资质要求 (1) 投标人提供本工程的测评及服务人员的组成说明，包括团队成员履历、项 目实施经验、相关资质证明的复印件。 (2) 投标人及招标人明确指派工程负责人，工程负责人应具有类似工程管理和 实施经验。★工程经理须具有信息系统工程管理师或PMP证书，服务人员须具有 信息平安工程师认证证书或Security+证书。 3. 4验收要求1工程验收 本工程验收要求如下： 1、本工程的所有工作成果，必须符合本技术规范书的规范标准。 2、本工程的主要工作成果一《互联网终端用户接入方案》、《风险检测报 告》、《互联网终端接入手册》、《平安策略优化报告》。 3、招标人将组织人员对中标人交付项进行审核。 3.4. 2知识产权 招标人拥有工程文档使用权，对中标人在实施过程提交的所有工程文档，知 识产权归招标人所有。工程实施完成后，中标人对于该工程提交的所有文档任何 形式的使用必须得到招标人认可。 中标人对招标人提供的所有业务技术资料、文档，有责任对第三方保密。 中标人在工程实施过程中涉及第三方产品，假设出现技术、经济或法律上的纠 纷，应由中标人全面承当并全权解决，确保不影响工程的进度。 中标人在工程实施结束后，应提供所有的技术文档和输出物，交予招标人。 工程的交付项 中标人应在合同规定时间内，将合同所界定的工作完成，并在验收前，将项 目成果交付给招标人，包含且不限于以下内容： 《互联网终端用户接入方案》 《风险检测报告》 《互联网终端接入手册》 《平安策略优化报告》工程培训 中标人须负责招标人使用人员、技术人员和管理人员的技术培训，培训内容包 括三个层面： 1、信息平安意识培训； 2、信息平安风险评估培训； 3、信息平安技术培训。 3. 5工程联络会 为便于合同的执行、审查和确定测评方案，招标人与投标人应根据需要举行 测评和服务联络会，本工程应举行一次测评和服务联络会，在招标人所在地举行。 除按合同规定举行的联络会外，双方可以根据需要约定对方举行额外的服务联络 会。 3. 6技术服务 投标人必须向招标人提供技术规范书中列举的所有测试和评估的技术指导和 实施服务的全部内容。 投标人应根据买方的需要，对所测试评估的系统负责派技术人员到招标人现 场作技术服务。 投标人技术服务人员在现场除了应解答和解决由招标人在合同范围内提出的 问题外，还应详细解答流程、评估测试、平安服务本卷须知。 投标人应在技术建议书中详细说明技术服务的范围和程序。 3. 服务范围一览表加项，为必须满足项，否那么按无效投标处理。 序号 服务内容 数量 备注 1 互联网用户认证技术服务 1 2 互联网平安风险检测服务 1 目录投标要求错误!未定义书签。 1.1总体要求错误!未定义书签。 1.2投标人要求错误!未定义书签。 投标人资格要求错误!未定义书签。 投标文件编制要求错误!未定义书签。 1.3质量保证错误!未定义书签。 1.4双方责任错误!未定义书签。 1. 4. 1投标人责任错误!未定义书签。 招标人责任错误!未定义书签。 2. 服务内容错误!未定义书签。 2.1总体要求错误!未定义书签。 2.2互联网用户认证技术服务错误!未定义书签。 1. 2. 1体系结构错误!未定义书签。 工作机制错误!未定义书签。 2.3互联网平安风险检测服务错误!未定义书签。 2. 工程管理错误!未定义书签。 3.1工程质量错误!未定义书签。 3.2保密要求错误!未定义书签。 3.3实施人员资质要求错误!未定义书签。 3.4验收要求错误!未定义书签。 3. 4. 1工程验收错误!未定义书签。 3. 4.2知识产权错误!未定义书签。 3. 4.3工程的交付项错误!未定义书签。 3. 4.4工程培训错误!未定义书签。 3.5工程联络会错误!未定义书签。 3. 6技术服务错误!未定义书签。 4. 服务范围一览表错误!未定义书签。 1. 投标要求1.1总体要求 1.1.1本技术规范书表达了华能临沂发电互联网用户认证及平安风险检 测的技术要求。服务内容主要包括互联网用户认证技术服务与互联网平安风险检 测服务两局部。本技术规范书提供给技术服务提供商，作为其编写技术建议书和 报价之用。 投标人应仔细阅读本技术规范书所列的各项条款和技术要求，所提供服务 应满足本技术规范书的技术要求与服务内容，不允许偏差。投标人也可以提供能 满足本技术规范书技术要求的技术方案，但应对其技术要求方面与本技术规范书 之间存在的差异加以详细说明。 1. 1. 3投标人提供的服务必须是专业和及时的。 1. 1.5技术规范书经双方确认后，作为合同的附件，与合同正文具有同等的法律效 力。 1. 1. 6本技术规范书未尽事宜，由招标人和投标人在合同技术谈判时协商确定。 1. 1. 7在合同生效期间，下述文件与合同具有同样法律效力： •工程联络会的会议纪要 •投标人对技术问题的澄清及买方确认的文件2投标人要求 1. 2. 1投标文件编制要求投标文件需包含且不限于如下内容： 1、工程概况； 2、服务范围、服务内容; 3、服务依据、工作目标； 4、服务机构设置（框图）、岗位职责； 5、工作程序、方法和制度； 6、拟投入人员、仪器设备； 7、针对性工作方案； 8、应急方案； 9、工作重点、难点分析； 10、对本工程服务的合理化建议。 1. 3质量保证1. 3.1投标人在服务的各个阶段，均应满足运行的高度可靠性这一要求。 投标人提供的所有技术服务，须有投标人签字的质量保证书和检查记录。 投标人所使用的第三方的软硬件设备及使用的工具，应由中国境内的公司 直接提供完善的售后服务和技术支持。 1.4双方责任1. 4. 1投标人责任 a）提供合同范围内所有服务，并保证完全符合最终技术规范书的要求； b）提供合同范围内所有服务的报价清单； c）提供最新的、正确完整的技术资料和文件； d）对提出技术服务的环境要求； e）对检测技术和检测报告负责，即使买方签字验收，但投标人仍应对其系统存在缺陷处理方案承当技术责任; f）提供测试和维修工具等； j）负责在投标人地点举行的测评联络会，参加在买方地点举行的测评联络会。 1.4. 2招标人责任 a）提供有关的技术资料； b）确认投标人提出的服务方案； c）协助投标人完成的现场服务工作； d）为投标人到招标人现场工作提供便利条件； e）负责在招标人地点举行的测评和服务联络会，参加在投标人地点举行的测 评联络会。 1. 服务内容1总体要求 为降低公司互联网面临的风险，对互联网用户统一进行身份认证，减少非法 接入的风险，对公司互联网环境整体进行平安检测及加固。 2.2互联网用户认证技术服务 要求使用802.lx对厂内互联网终端用户进行接入认证，包括有线无线用户, 终端类型包括台式机、笔记本、手机等。要求服务商根据目前厂内的设备情况进 行配置调试，如当前厂内设备无法实现，须提供可实现的技术及产品方案。 IEEE802.1x （Port-Based Network Access Control）是一个基于端 口的网络存取 控制标准，为LAN接入提供点对点式的平安接入。IEEE 802.lx标准定义了一种 基于“客户端 服务器"（Client-Server）模式实现了限制未认证用户对网络的访 问。客户端要访问网络必须先通过认证服务器的认证。在客户端通过认证之前， 只有 EAPOL 报文（Extensible Authentication Protocol over LAN）可以在网络上通 行。在认证成功之后，正常的数据流便可在网络上通行。 2. 2. 1体系结构 802.IX 系统中共有三个实体：Supplication （客户端），Authenticator System （设 备端），Authentication Server System （认证服务器） 客户端 客户端是位于点对点局域网段一端的一个实体，由连接到该链接另一端的设 备端对其进行认证。客户端一般为一个用户终端设备，用户启动客户端软件发起802.IX 认证。 设备端是位于点对点局域网段一端的一个实体，便于对连接到该链接另一端 的实体进行认证，设备端一般是支持802.IX协议的网络设备，它为客户端提供接 入局域网的端口，该端口可以是物理端口（如以太网交换机的一个以太口或AP的 接入信道），也可以是逻辑口（如用户的Mac地址、VlanlD等）。 认证服务器是为设备端提供认证服务的实体。认证服务器用于实现用户的认 证、授权、计费。 端口 PAE 端口 PAE为802.IX系统中一个给定的设备端口执行算法和协议的实体对象。 设备端口 PAE利用认证服务器对需要接入局域网的客户端执行认证，并根据 认证结果相应的控制受控端口的授权/非授权状态。 客户端PAE负责响应设备端口的认证请求，向设备端提供用户的认证信息。 客户端PAE也可以主动向设备端发送认证请求和下线请求。 受控端口 设备端为客户端提供接入局域网的端口，这个端口被划分为两个虚拟端口： 受控端口和非受控端口。非受控端口始终处于双向连通状态，用于传递EAP认证 报文。受控端口在授权状态下处于连通状态，用于传递业务报文。受控端口在非 授权状态下处于断开状态，禁止传递任何报文。受控端口和非受控端口是同一端 口的两个局部；任何到达该端口的帧，在受控端口和非受控端口都是可见的，如 图所示： 设备端 1 受控端口非受控端口 I!I I授权/非授权||fI I耳畋可操作/1；I / lan/wlan / 非受控端口和受控端口 受控方向 受控端口在非授权状态下，可以被设置成单向受控和双向受控。实行双向受 控时，禁止帧的发送和接收；实行单向受控时，禁止从客户端接收帧，但允许向客 户端发送帧。 默认情况下，受控端口实行双向受控。