網(wǎng)絡安全安全設備主要性能要求和技術指標要求部分

1、PAGE26網(wǎng)絡安全設備主要性能要求和技術指標要求防火墻用于控制專網(wǎng)、業(yè)務內(nèi)網(wǎng)和業(yè)務外網(wǎng)，控制專網(wǎng)、業(yè)務內(nèi)網(wǎng)部署在XX干線公司、穿黃現(xiàn)地管理處（備調(diào)中心），每個節(jié)點各2臺；業(yè)務外網(wǎng)部署在XX干線公司1臺，共計9臺。要求如下：特性參考指標要求體系架構必須采用專用的安全操作系統(tǒng)平臺，非通用操作系統(tǒng)平臺；工作模式路由、NAT、透明（VLAN透傳）、混合；網(wǎng)絡接口需求 千兆電口4個，千兆光口4個。必須實現(xiàn)安全帶外管理功能，設備必須提供獨立的帶外管理接口；電源 配置雙電源，電源可熱插拔；性能與容量64字節(jié)吞吐量4Gbps；1518字節(jié)吞吐量8Gbps； 防火墻的IPSec VPN處理性能必須600Mbp

2、s； 支持的虛擬系統(tǒng)64個；實配32個虛擬防火墻； 防火墻的每秒新建會話能力必須高于9萬/秒； 防火墻支持的并發(fā)會話數(shù)必須高于100萬條；基本要求防火墻必須提供IPSec VPN功能，提供不少于4000條的并發(fā)VPN隧道能力； 防火墻必須支持抗DoS/DDoS攻擊功能， 支持對synflood、updflood、tear drop、land attack、icmp flood、ping of death等拒絕服務攻擊的防護，可根據(jù)不同的接口區(qū)域選擇是否需要實施抗DoS攻擊保護并選擇實施哪幾種攻擊防護。必須支持多媒體業(yè)務與組播功能，支持、SIP、MGCP，SCCP等多媒體協(xié)議，并支持以上多媒體應

3、用協(xié)議的NAT穿越；嚴格遵循RFC國際標準，其支持的算法有DES、3DES、AES128、AES192、AES256，SHA-256、SHA-512等，可于主流VPN廠商互通。必須支持OSPF、IP、RIP2動態(tài)路由協(xié)議；支持BT限流功能；支持Active-Passive HA 和 Active-Active 雙主高可用結構，在以上兩種結構下，必須保證防火墻Session同步和VPN狀態(tài)同步；必須支持AV防病毒功能，并能提供AV外置可插拔性能擴展卡。入侵檢測系統(tǒng)（IDS）根據(jù)系統(tǒng)組建需要，控制專網(wǎng)、業(yè)務內(nèi)網(wǎng)、業(yè)務外網(wǎng)均部署入侵檢測系統(tǒng)（IDS），共需6套。（1）控制專網(wǎng)：部署在XX干線公司及穿

4、黃現(xiàn)地管理處（備調(diào)中心），每個節(jié)點各1套，共2套；（2）業(yè)務內(nèi)網(wǎng)：部署在XX干線公司及穿黃現(xiàn)地管理處（備調(diào)中心），每個節(jié)點各2套，共4套；產(chǎn)品規(guī)格及性能指標要求（1）支持10/100/1000BASE-SX/1000BASE-T以太網(wǎng)接口，千兆接口不小于2個(提供的配置中至少包含兩個GE多模850nm波長光模塊)；（2）能監(jiān)控的最大TCP并發(fā)連接數(shù)不小于120萬；（3）能監(jiān)控的最大HTTP并發(fā)連接數(shù)不小于80萬；（4）連續(xù)工作時間（平均無故障時間）大于8萬小時；（5）吞吐量不小于2Gbps。（6）控制臺服務器性能不低于“5服務器主要性能要求和技術指標要求”中的要求。部署和管理功能要求(1)傳感

5、器應采用預定制的軟硬件一體化平臺；(2)入侵檢測系統(tǒng)管理軟件采用多層體系結構；(3)組件支持高可用性配置結構，支持事件收集器一級的雙機熱備；(4)各組件支持集中式部署和大型分布式部署；(5)大規(guī)模分布式部署支持策略的派發(fā)，即上級可將策略強制派發(fā)到下級，以確保整個系統(tǒng)的檢測簽名的一致性；(6)可以在控制臺上顯示并管理所有組件，并且所有組件之間的通訊均采用加密的方式；(7)支持以拓撲圖形式顯示組件之間的連接方式；(8)支持多個控制臺同時管理，控制臺對各組件的管理能力有明確的權限區(qū)別；(9)支持組件的自動發(fā)現(xiàn)；(10)支持NAT方式下的組件部署；(11)支持IPv6下一代通信網(wǎng)絡協(xié)議的部署和檢測。檢

6、測能力要求(1)支持基于狀態(tài)的協(xié)議分析技術并能按照RFC的規(guī)范進行深入細致的協(xié)議檢測，準確的識別協(xié)議的誤用和濫用； (2)支持協(xié)議異常檢測，協(xié)議分析和特征匹配等多種檢測方式，能夠檢測到未命名的攻擊；同時支持UNICODE解析、應用層協(xié)議狀態(tài)跟蹤、連接狀態(tài)跟蹤，輔以模式匹配、異常檢測等手段來有效降低誤報和漏報率，提高檢測精度；(3)產(chǎn)品應具備對Split、Injection等IDS逃避技術的檢測和識別能力；(4)能對每一個攻擊進行詳盡的過程狀態(tài)量定義，使得IDS可以擁有最低的誤報率和最小的漏報率。(5)提供靈活的參數(shù)定制，比如全局的用戶黑名單、違法IP、違法命令等；(6)產(chǎn)品應具備IP碎片重組與

7、TCP流重組功能；(7)產(chǎn)品應具備抗編碼變形逃避的能力；(8)產(chǎn)品應具備抵抗事件風暴和欺騙識別的能力；(9)支持自定義網(wǎng)絡中TCP連接的超時等待時間，防止IDS被拒絕服務攻擊；(10)支持網(wǎng)絡活動審計功能；(11)支持主動識別目標主機的操作系統(tǒng)；(12)支持設定網(wǎng)絡訪問規(guī)則，根據(jù)訪問行為的源、目的地址，訪問類型等特征確定該訪問行為是否合法，對不符合安全規(guī)則的TCP的會話連接實現(xiàn)阻斷；(13)傳感器具備多端口智能關聯(lián)和分析技術；以及對非對稱路由網(wǎng)絡結構的檢測能力，使得IDS系統(tǒng)能夠適應復雜的高可用性網(wǎng)絡。系統(tǒng)升級能力要求(1)支持在線升級簽名庫，在線升級的通訊過程采用加密方式；(2)支持非在線升

8、級簽名庫；(3)如遇突發(fā)情況，廠商應提供應急式升級服務；(4)升級過程中，傳感器可以繼續(xù)工作。檢測策略管理要求(1)提供檢測策略模板，并可針對不同的網(wǎng)絡環(huán)境派生新的策略，方便用戶根據(jù)實際情況定制適合企業(yè)自身環(huán)境的安全策略；(2)支持對簽名庫按照多種方式進行分類管理；(3)每個簽名有詳盡的中文標注說明；(4)容易啟用/關閉一個或一類的簽名；(5)支持對簽名的參數(shù)進行調(diào)節(jié)，以適用不同用戶的網(wǎng)絡環(huán)境；(6)提供開放的檢測簽名編寫語言平臺，能夠根據(jù)客戶需求提供檢測簽名定制服務；或提供培訓，使得客戶能夠自行對特殊協(xié)議定制檢測簽名；(7)支持檢測策略的導入導出。攻擊響應方式要求(1)支持顯示到控制臺；(2

9、)支持記錄到數(shù)據(jù)庫；(3)支持郵件通知；(4)支持SNMP trap；(5)支持syslog響應方式；(6)支持用戶自定義的響應方式；(7)支持與多種主流防火墻（例如： cisco、netscreen、checkpoint、Nokia等）進行聯(lián)動；(8)支持記錄事件的詳細內(nèi)容，包括日期、時間、源地址、目的地址、描述以及事件相關的原始數(shù)據(jù)；(9)告警事件支持網(wǎng)絡管理系統(tǒng)的聯(lián)動分析管理。事件的關聯(lián)和顯示要求(1)產(chǎn)品具備事件合并的功能，并且用戶可以靈活的開啟或關閉；(2)支持符合設定條件的一條事件重新命名；(3)支持將相互關聯(lián)的一組事件重新命名；(4)將符合條件的多條事件歸并為一條在控制臺顯示；(

10、5)支持告警郵件中的事件歸并；(6)事件合并的參數(shù)可以靈活調(diào)整，打開事件合并功能不會遺漏事件；(7)支持實時的事件統(tǒng)計功能；(8)支持設定的條件過濾實時顯示的事件；(9)支持按照源地址、目的地址、事件名稱和傳感器名稱分類顯示實時事件。事件的存儲和管理能力要求(1)支持的數(shù)據(jù)庫類型包括SQL server等大型關系型數(shù)據(jù)庫；(2)數(shù)據(jù)庫容量無限制（不考慮硬件限制）；(3)支持按條件查詢提取事件；(4)支持數(shù)據(jù)備份；(5)可顯示數(shù)據(jù)庫使用情況；(6)網(wǎng)絡中斷的情況下事件可以存儲在傳感器本地，網(wǎng)絡正常后可以回復事件的傳送。 報表生成功能要求(1)支持數(shù)據(jù)的統(tǒng)計分析、查詢和報告生成。(2)支持深度數(shù)據(jù)

11、分析，統(tǒng)計或查詢的結果均可以作為數(shù)據(jù)源進行進一步的數(shù)據(jù)分析，數(shù)據(jù)查詢和數(shù)據(jù)統(tǒng)計的結果可以作為綜合報告的一部分；(3)提供多種統(tǒng)計模板；(4)提供多種數(shù)據(jù)分析模板；(5)支持生成組件的運行狀態(tài)統(tǒng)計曲線圖；(6)支持生成以某一時間段為限定條件的事件統(tǒng)計查詢報表；(7)支持生成以某一攻擊事件為限定條件的事件統(tǒng)計查詢報表；(8)支持生成以攻擊源地址為限定條件的事件統(tǒng)計查詢報表；(9)支持生成以攻擊目標地址為限定條件的事件統(tǒng)計查詢報表；(10)支持生成以探測到攻擊的傳感器為限定條件的事件統(tǒng)計查詢報表；(11)支持生成以風險級別分類為限定條件的事件統(tǒng)計查詢報表；(12)支持生成以服務分類為限定條件的事件統(tǒng)

12、計查詢報表。用戶權限管理(1)審計員、用戶管理員和系統(tǒng)管理員三種用戶類型；(2)支持多管理員同時管理；(3)支持分級的用戶權限設置；(4)支持管理員權限實時更改系統(tǒng)的日志和審計功能(1)有完整的審計日志；(2)審計日志可以導出；(3)有詳細的組件運行和狀態(tài)日志；(4)支持系統(tǒng)日志和審計日志的統(tǒng)計查詢；(5)支持以郵件、snmp trap方式發(fā)送系統(tǒng)日志。入侵檢測自身安全指標(1)應支持使用透明方式進行部署，監(jiān)聽端口支持隱秘模式，無需IP地址和進行網(wǎng)絡配置；(2)各個系統(tǒng)組件之間的通訊應采用加密方式，并采用PKI認證；(3)IDS系統(tǒng)采用無shell的安全操作系統(tǒng)，除必要通訊端口外無其他端口開放

13、；(4)支持證書認證機制。 第三方產(chǎn)品集成要求（1）提供開放數(shù)據(jù)庫的表結構和架構，方便用戶使用第三方報表系統(tǒng)生成所需要的報表，或者作進一步的數(shù)據(jù)分析。（2）支持Syslog， EMAIL等方式進行報警。安全網(wǎng)閘根據(jù)系統(tǒng)組建要求，在控制專網(wǎng)、業(yè)務內(nèi)網(wǎng)、業(yè)務外網(wǎng)等三網(wǎng)之間通過安全網(wǎng)閘進行連接，實現(xiàn)數(shù)據(jù)互通。安全網(wǎng)閘部署在XX干線公司與穿黃現(xiàn)地站管理處（備調(diào)中心），共計7臺?；疽?1) 要求為硬件物理隔離，具備硬件物理隔離部件，系統(tǒng)采用“2+1”架構設計，包括內(nèi)端機、外端機和獨立的硬件隔離信息交換區(qū)。(2) 采用專用隔離芯片設計，不支持通用通訊協(xié)議，不可編程，隔離區(qū)包含基于ASIC設計的電子開關

14、隔離芯片，不采用SCSI、網(wǎng)卡以及任何加/解密等方式。隔離區(qū)信息交換采用DMA方式實現(xiàn)。(3) 設備斷開內(nèi)外網(wǎng)網(wǎng)絡TCP/IP連接。(4) 系統(tǒng)帶寬：600Mbps，內(nèi)部交換帶寬5Gbps。(5) 接口要求：4個10/100/1000M以太網(wǎng)接口；一個RS232串行控制接口。(6) 系統(tǒng)性能：并發(fā)連接會話數(shù) 20000。(7) 系統(tǒng)延時：= 700封/秒。HTTP吞吐性能:要求 = 700 Mbps。用戶數(shù)支持數(shù)量: 要求 = 2500用戶。管理功能指標（1）支持加密HTTPS方式進行管理。須具有中文、英文操作管理界面。（2）支持集中管理（設備集中監(jiān)控管理與策略統(tǒng)一配置）；支持多臺設備集中監(jiān)控

15、（監(jiān)控設備運行狀態(tài)、防護狀態(tài)、連接狀態(tài)和系統(tǒng)事件的圖形化顯示）。在Web管理界面提供高級診斷工具：Ping/Traceroute/DNS解析/顯示系統(tǒng)網(wǎng)絡狀態(tài)/數(shù)據(jù)包抓包等輔助排查工具。支持SOC廠商的數(shù)據(jù)接口；可以提供相關多項報表。 （3）支持：-手動導入/導出配置。必須支持分權限管理，可配置多賬號并授予不同權限。根據(jù)用戶概況制定不同的配置策略，允許用戶基于一個或者多個預定義策略進行個性化的界定和配置：支持LDAP用戶組、支持樹結構/個人LDAP用戶/IP地址/組/源和目的地IP地址等要素識別。（4）具備隔離區(qū)功能，支持隔離區(qū)空間管理：可以實時顯示隔離區(qū)的剩余空間；隔離區(qū)內(nèi)容處理：可以觀察隔

16、離區(qū)的內(nèi)容，以及可供選擇的處理方式：刪除和恢復、重定向郵件、掃描惡意軟件項目，發(fā)送可疑或者未知項目至熊貓、下載這些內(nèi)容和將他們從移出隔離區(qū)。（5）實時顯示網(wǎng)卡流量，活動連接，已建連接，連接成功率，CPU占用率等系統(tǒng)負載情況。以曲線、餅圖等多種方示顯示病毒、垃圾郵件和內(nèi)容過濾的查殺攔截情況，同時可以根據(jù)協(xié)議、任意時間段、惡意程序類型等進行分類查詢。根據(jù)不同的檢索條件，實時顯示前十名用戶以及前十名病毒列表。（6）支持惡意軟件定義文件，防惡意軟件引擎，垃圾郵件定義文件，反垃圾郵件引擎和Web 過濾的版本在線增量式升級，并且提供每日自動更新。支持離線病毒庫更新。支持內(nèi)核版本在線升級，手動本地升級，始終

17、保持最新軟件系統(tǒng)。（7）用戶可以自行編輯警告，支持中文和英文?？梢栽O置警告發(fā)送的頻率。支持Syslog和SNMP日志發(fā)送，同時支持(MIB-II版本)。（8）能夠自動生成多種病毒報告，賣方應詳細說明提供設備所支持的病毒報告的種類。（9）可以隨時保存或恢復設備的網(wǎng)絡設置和保護設置?？梢詫搿С鱿铝辛斜恚?）反垃圾郵件白名單；2）反垃圾郵件黑名單；3）網(wǎng)絡過濾URL白名單；4）網(wǎng)頁過濾URL黑名單；5）網(wǎng)頁過濾排除的用戶列表。病毒處理能力指標（1）能夠檢測病毒，蠕蟲，木馬，間諜軟件等威肋和惡意軟件，賣方應當詳細說明設備支持的檢測種類。（2）須至少支持（但不僅限于）以下常用Internet協(xié)議的監(jiān)

18、測:包括HTTP、FTP、SMTP、POP3等。（3）須支持非標準端口掃描；（4）提供防網(wǎng)絡釣魚保護，賣方應當詳細說明設備對防釣魚軟件監(jiān)測防護的實現(xiàn)過程以及技術細節(jié)。（5）具有發(fā)式掃描技術，可以檢測到隱藏在可執(zhí)行文件中的未知病毒，保證潛在的危險內(nèi)容被過濾掉。（6）支持對常見協(xié)議（SMTP、POP3、IMAP、NNTP、HTTP和FTP等）內(nèi)容過濾，能夠阻止危險文件進入網(wǎng)絡，減低帶寬資源的占用。賣方應當詳細說明內(nèi)容過濾的檢查項目。其他威脅處理能力指標（1）保證能夠如下提供針對郵件內(nèi)容的過濾規(guī)則：支持對郵件主題、郵件正文和郵件附件名稱的內(nèi)容進行過濾，例如：能否檢測出郵件主體內(nèi)容包含“法輪功”的郵件

19、，并且能夠進行刪除、報告或重定向處理；（2）反垃圾郵件功能能夠分析SMTP/POP3/IMAP協(xié)議收發(fā)的郵件，判定郵件是垃圾郵件，疑似垃圾郵件或正常郵件，可以在屏蔽垃圾郵件。（3）網(wǎng)頁內(nèi)容過濾，監(jiān)控和阻斷Web 頁面的訪問，將訪問的Web網(wǎng)站自動劃分為不同類型，例如：色情、購物、犯罪、武器和交通等?？勺远x黑白名單。支持用戶排除。顯示中文警告頁面，同時支持對警告頁面進行編輯。（4）即時通訊軟件管理，至少支持（但不僅限于）監(jiān)控并阻斷如下即時通訊軟件的連接：MSN Messenger、ICQ/AQL、Skype、IRC等，賣方應當詳細說明支持監(jiān)控管理的軟件種類。（5）P2P下載軟件管理：至少支持（

20、但不僅限于）監(jiān)控并阻斷如下P2P下載軟件的使用：eDonkey、Bit Torrent等。賣方應當詳細說明支持監(jiān)控管理的軟件種類。高可用性與穩(wěn)定性指標（1）具有內(nèi)置負載均衡功能，在對大量數(shù)據(jù)進行掃描時必須具備足夠的擴展能力同時提升高可用性，內(nèi)置負載均衡功能可配置為手動和自動模式，可適用于各種網(wǎng)絡環(huán)境。（2）支持快速自動修復系統(tǒng)；自動恢復系統(tǒng)一旦發(fā)現(xiàn)硬件損害，比如說硬盤或者是主引導記錄出現(xiàn)損壞，它將從一個正常的備份分區(qū)啟動，同時會恢復被損壞的分區(qū)。防病毒系統(tǒng)基本要求（1）病毒防護系統(tǒng)與南水北調(diào)東線XX干線工程調(diào)度化管理系統(tǒng)內(nèi)的系統(tǒng)軟件、應用軟件、網(wǎng)絡軟硬件，具有完全兼容性。（2）提供的軟件應為最

21、新版本，為模塊化結構，具有易于升級和維護的能力。（3）用戶界面友好，安裝、配置、使用、管理方便，具有的良好的在線幫助和操作提示功能。（4）具有基于WEB方式和 SNMP 協(xié)議的管理。（5）在架構整體防毒體系時能根據(jù)網(wǎng)絡架構關系部署多級管理防毒體系，即XX干線公司能管理下級單位（包括干線公司本身） 所有的防毒節(jié)點。（6）當防范病毒的節(jié)點比較多，在升級時的并發(fā)升級流量肯定比較大，提供的軟件能夠支持架設多臺升級服務器并可以以級聯(lián)的方式進行部署以均衡升級負載。（7）業(yè)務內(nèi)網(wǎng)與互聯(lián)網(wǎng)隔離，應充分考慮業(yè)務內(nèi)網(wǎng)病毒防護系統(tǒng)升級的多途徑，并提出解決方案及升級響應措施。（8）應包括應用軟件及服務器硬件，其服務器

22、性能不低于本章“第6節(jié) 服務器主要性能要求和技術指標”。（9）每套liscence數(shù)量約1500個。病毒軟件技術要求（1）支持集中式部署；（2）管理控制工具支持通過遠程登陸來管理；（3）管理員新建或更改策略或任務后，如果策略或任務指定的用戶處于離線狀態(tài)，當用戶在線時策略或任務能夠自動同步生效或立即執(zhí)行；（4）支持在統(tǒng)一的管理平臺上遠程安裝、卸載、更新病毒特征庫和升級防病毒模塊的功能；（5）根據(jù)需要可以遠程啟動或停止實時監(jiān)控，手動掃描任務，病毒特征庫更新；（6）管理服務器與被管理計算機之間通信應采取安全措施，說明所使用的端口號與應用層協(xié)議類型；（7）如果系統(tǒng)的各個模塊需要授權許可才能正常運行和升

23、級，系統(tǒng)應當支持在統(tǒng)一的管理平臺上遠程分發(fā)授權許可；（8）整個防病毒系統(tǒng)必須支持跨網(wǎng)段的管理功能，具備良好的可擴展性，當網(wǎng)絡規(guī)模擴大或新增節(jié)點時可以很容易地實現(xiàn)集中管理；（9）支持在統(tǒng)一的管理平臺上遠程查看客戶端殺毒軟件狀態(tài)，是否安裝并運行了防病毒客戶端及安裝的防護產(chǎn)品類型；（10）支持用戶根據(jù)實際需要來定制針對特定目標計算機的掃描任務；（11）具有遠程集中的設置，管理功能，能做到客戶端的零操作；（12）支持允許和禁止客戶端更改任務或策略的功能；（13）可以統(tǒng)計指定對象，指定的時間內(nèi)發(fā)現(xiàn)病毒的報告；（14）可以統(tǒng)計全局感染病毒最嚴重的計算機的報告；（15）可以統(tǒng)計全局反病毒數(shù)據(jù)庫更新的報告，包括更新日期，數(shù)目等； （16）可以通過過濾事件功能快速查找處理事件，如要找到某感染病毒的客戶端計算機?？蛻舳朔啦《疽螅?）防病毒產(chǎn)品支持Windows平臺所有操作系統(tǒng)，并支持Linux平臺的實時監(jiān)控和手動掃描防護； （2）提供針對