(6)事件合并的参数可以灵活调整,打开事件合并功能不会遗漏事件; (7)支持实时的事件统计功能;
(8)支持设定的条件过滤实时显示的事件;
(9)支持按照源地址、目的地址、事件名称和传感器名称分类显示实时事件。
1.2.8 事件的存储和管理能力要求
(1)支持的数据库类型包括SQL server等大型关系型数据库; (2)数据库容量无限制(不考虑硬件限制); (3)支持按条件查询提取事件; (4)支持数据备份; (5)可显示数据库使用情况;
(6)网络中断的情况下事件可以存储在传感器本地,网络正常后可以回复事件的传送。
1.2.9 报表生成功能要求
(1)支持数据的统计分析、查询和报告生成。
(2)支持深度数据分析,统计或查询的结果均可以作为数据源进行进一步的数据分析,数据查询和数据统计的结果可以作为综合报告的一部分;
(3)提供多种统计模板; (4)提供多种数据分析模板;
(5)支持生成组件的运行状态统计曲线图;
(6)支持生成以某一时间段为限定条件的事件统计查询报表; (7)支持生成以某一攻击事件为限定条件的事件统计查询报表; (8)支持生成以攻击源地址为限定条件的事件统计查询报表; (9)支持生成以攻击目标地址为限定条件的事件统计查询报表; (10)支持生成以探测到攻击的传感器为限定条件的事件统计查询报表; (11)支持生成以风险级别分类为限定条件的事件统计查询报表; (12)支持生成以服务分类为限定条件的事件统计查询报表。
1.2.10 用户权限管理
(1)审计员、用户管理员和系统管理员三种用户类型; (2)支持多管理员同时管理; (3)支持分级的用户权限设置; (4)支持管理员权限实时更改
1.2.11 系统的日志和审计功能
(1)有完整的审计日志; (2)审计日志可以导出;
(3)有详细的组件运行和状态日志; (4)支持系统日志和审计日志的统计查询; (5)支持以邮件、snmp trap方式发送系统日志。
1.2.12 入侵检测自身安全指标
(1)应支持使用透明方式进行部署,监听端口支持隐秘模式,无需IP地址和进行网络配置;
(2)各个系统组件之间的通讯应采用加密方式,并采用PKI认证; (3)IDS系统采用无shell的安全操作系统,除必要通讯端口外无其他端口开放;
(4)支持证书认证机制。
1.2.13 第三方产品集成要求
(1)提供开放数据库的表结构和架构,方便用户使用第三方报表系统生成所需要的报表,或者作进一步的数据分析。
(2)支持Syslog, EMAIL等方式进行报警。
1.3 安全网闸
根据系统组建要求,在控制专网、业务内网、业务外网等三网之间通过安全
网闸进行连接,实现数据互通。安全网闸部署在XX干线公司与穿黄现地站管理处(备调中心),共计7台。
1.3.1 基本要求
(1) 要求为硬件物理隔离,具备硬件物理隔离部件,系统采用“2+1”架构设计,包括内端机、外端机和独立的硬件隔离信息交换区。
(2) 采用专用隔离芯片设计,不支持通用通讯协议,不可编程,隔离区包含基于ASIC设计的电子开关隔离芯片,不采用SCSI、网卡以及任何加/解密等方式。隔离区信息交换采用DMA方式实现。
(3) 设备断开内外网网络TCP/IP连接。
(4) 系统带宽:>600Mbps,内部交换带宽>5Gbps。
(5) 接口要求:4个10/100/1000M以太网接口;一个RS232串行控制接口。 (6) 系统性能:并发连接会话数 >20000。 (7) 系统延时:<1ms。 (8) 电源冗余“1+1”。
1.3.2 能力要求
(1)应用支持:全面支持TCP/IP以上应用层协议,包括HTTP、SMTP/POP3、DNS、FTP、Telnet、SSH、各类数据库、MQ、MMS、NFS等,无需二次开发。
(2)文件数据交换方式,交换硬件对外不开放任何服务端口。 (3)以主动查询方式访问内外网的FTP服务器进行文件交换。
(4)访问控制:支持多种方式的访问控制,包括源IP地址、目的IP、子网、时间、时间端口、内容过滤。
(5)WEB保护功能,内置Web ApplicationTM网站保护功能,能够实现以下保护功能:
① 对网站目录、文件、动态脚本、WEB service实现访问控制; ② 对Cookie实现签名保护; ③ 对用户输入参数进行过滤;
④ 对URL串的字符类型、长度、字段等实现过滤; ⑤ 基于特征库的漏洞扫描; ⑥具有智能的规则学习功能。
(6)上网用户身份认证功能,严格控制上网用户,采用专用VIIE认证客户端浏览网页,用户列表存储在网闸设备上,未经授权的用户和使用普通IE浏览器的用户无法上网。
(7)邮件收发身份认证,严格控制邮件收发,采用专用VIMAIL邮件客户端,对收发邮件的用户实现身份认证,用户列表存储在网闸设备上,未授权的用户和使用普通OUTLOOK、FoxMail等邮件客户端的用户无法上网正常收发邮件。
(8)IP/MAC地址绑定,支持4096个以上的IP+MAC绑定的客户端访问控制。 (9)支持单/双向通讯控制,支持单、双向可选的访问控制。 (10)日志与审计支持:
系统可存储和审计包含:①系统日志;②管理日志;③网络活动日志;④入侵报警及处理日志;⑤访问控制日志。
1.3.3 安全可靠及管理要求
(1)高可用性:双机热备功能,无需第三方软件支持内置双机热备功能。 (2)基于应用层协议的连接数控制 系统可为特定应用层协议预留连接数资源。
(3) 设备故障检测与报警,要求系统管理平台和硬件液晶显示面板均可对硬件故障提示报警,包括通讯故障、硬件故障、软件故障。
(4)系统管理:要求集中设备管理系统,支持PKI安全认证、加密方式的远程管理,支持基于角色管理员分级管理。
(5)图形化网络行为监控:管理平台采用图形化的网络行为监控,可实时监控网络流量、并发连接数、违反规则尝试次数等统计信息。
(6)操作系统:采用经过安全加固的Linux操作系统。
1.4 WEB应用防火墙