1 网络安全设备主要性能要求和技术指标要求
1.1 防火墙
用于控制专网、业务内网和业务外网,控制专网、业务内网部署在XX干线公司、穿黄现地管理处(备调中心),每个节点各2台;业务外网部署在XX干线公司1台,共计9台。要求如下:
特性 体系架构 工作模式 网络接口需求 电源 参考指标要求 必须采用专用的安全操作系统平台,非通用操作系统平台; 路由、NAT、透明(VLAN透传)、混合; 千兆电口≥4个,千兆光口≥4个。 必须实现安全带外管理功能,设备必须提供独立的带外管理接口; 配置双电源,电源可热插拔; 64字节吞吐量≥4Gbps;1518字节吞吐量≥8Gbps;; 性能与容量 防火墙的IPSec VPN处理性能必须≥600Mbps; 支持的虚拟系统≥64个;实配≥32个虚拟防火墙; 防火墙的每秒新建会话能力必须高于9万/秒; 防火墙支持的并发会话数必须高于100万条; 防火墙必须提供IPSec VPN功能,提供不少于4000条的并发VPN隧道能力; 防火墙必须支持抗DoS/DDoS攻击功能, 支持对synflood、updflood、tear drop、land attack、icmp flood、ping of death等拒绝服务攻击的防护,可根据不同的接口区域选择是否需要实施抗DoS攻击保护并选择实施哪几种攻击防护。 必须支持多媒体业务与组播功能,支持H.323、SIP、MGCP,SCCP等多媒体协议,并支持以上多媒体应用协议的NAT穿越; 基本要求 严格遵循RFC国际标准,其支持的算法有DES、3DES、AES128、AES192、AES256,SHA-256、SHA-512等,可于主流VPN厂商互通。 必须支持OSPF、IP、RIP2动态路由协议; 支持BT限流功能; 支持Active-Passive HA 和 Active-Active 双主高可用结构,在以上两种结构下,必须保证防火墙Session同步和VPN状态同步; 必须支持AV防病毒功能,并能提供AV外置可插拔性能扩展卡。
1.2 入侵检测系统(IDS)
根据系统组建需要,控制专网、业务内网、业务外网均部署入侵检测系统(IDS),共需6套。
(1)控制专网:部署在XX干线公司及穿黄现地管理处(备调中心),每个节点各1套,共2套;
(2)业务内网:部署在XX干线公司及穿黄现地管理处(备调中心),每个
节点各2套,共4套;
1.2.1 产品规格及性能指标要求
(1)支持10/100/1000BASE-SX/1000BASE-T以太网接口,千兆接口不小于2个(提供的配置中至少包含两个GE多模850nm波长光模块);
(2)能监控的最大TCP并发连接数不小于120万; (3)能监控的最大HTTP并发连接数不小于80万; (4)连续工作时间(平均无故障时间)大于8万小时; (5)吞吐量不小于2Gbps。
(6)控制台服务器性能不低于“5服务器主要性能要求和技术指标要求”中的要求。
1.2.2 部署和管理功能要求
(1)传感器应采用预定制的软硬件一体化平台; (2)入侵检测系统管理软件采用多层体系结构;
(3)组件支持高可用性配置结构,支持事件收集器一级的双机热备; (4)各组件支持集中式部署和大型分布式部署;
(5)大规模分布式部署支持策略的派发,即上级可将策略强制派发到下级,以确保整个系统的检测签名的一致性;
(6)可以在控制台上显示并管理所有组件,并且所有组件之间的通讯均采用加密的方式;
(7)支持以拓扑图形式显示组件之间的连接方式;
(8)支持多个控制台同时管理,控制台对各组件的管理能力有明确的权限区别;
(9)支持组件的自动发现; (10)支持NAT方式下的组件部署;
(11)支持IPv6下一代通信网络协议的部署和检测。
1.2.3 检测能力要求
(1)支持基于状态的协议分析技术并能按照RFC的规范进行深入细致的协议检测,准确的识别协议的误用和滥用;
(2)支持协议异常检测,协议分析和特征匹配等多种检测方式,能够检测到未命名的攻击;同时支持UNICODE解析、应用层协议状态跟踪、连接状态跟踪,辅以模式匹配、异常检测等手段来有效降低误报和漏报率,提高检测精度;
(3)产品应具备对Split、Injection等IDS逃避技术的检测和识别能力; (4)能对每一个攻击进行详尽的过程状态量定义,使得IDS可以拥有最低的误报率和最小的漏报率。
(5)提供灵活的参数定制,比如全局的用户黑名单、违法IP、违法命令等; (6)产品应具备IP碎片重组与TCP流重组功能; (7)产品应具备抗编码变形逃避的能力; (8)产品应具备抵抗事件风暴和欺骗识别的能力;
(9)支持自定义网络中TCP连接的超时等待时间,防止IDS被拒绝服务攻击; (10)支持网络活动审计功能;
(11)支持主动识别目标主机的操作系统;
(12)支持设定网络访问规则,根据访问行为的源、目的地址,访问类型等特征确定该访问行为是否合法,对不符合安全规则的TCP的会话连接实现阻断;
(13)传感器具备多端口智能关联和分析技术;以及对非对称路由网络结构的检测能力,使得IDS系统能够适应复杂的高可用性网络。
1.2.4 系统升级能力要求
(1)支持在线升级签名库,在线升级的通讯过程采用加密方式; (2)支持非在线升级签名库;
(3)如遇突发情况,厂商应提供应急式升级服务; (4)升级过程中,传感器可以继续工作。
1.2.5 检测策略管理要求
(1)提供检测策略模板,并可针对不同的网络环境派生新的策略,方便用户
根据实际情况定制适合企业自身环境的安全策略;
(2)支持对签名库按照多种方式进行分类管理; (3)每个签名有详尽的中文标注说明; (4)容易启用/关闭一个或一类的签名;
(5)支持对签名的参数进行调节,以适用不同用户的网络环境;
(6)提供开放的检测签名编写语言平台,能够根据客户需求提供检测签名定制服务;或提供培训,使得客户能够自行对特殊协议定制检测签名;
(7)支持检测策略的导入导出。
1.2.6 攻击响应方式要求
(1)支持显示到控制台; (2)支持记录到数据库; (3)支持邮件通知; (4)支持SNMP trap; (5)支持syslog响应方式; (6)支持用户自定义的响应方式;
(7)支持与多种主流防火墙(例如: cisco、netscreen、checkpoint、Nokia等)进行联动;
(8)支持记录事件的详细内容,包括日期、时间、源地址、目的地址、描述以及事件相关的原始数据;
(9)告警事件支持网络管理系统的联动分析管理。
1.2.7 事件的关联和显示要求
(1)产品具备事件合并的功能,并且用户可以灵活的开启或关闭; (2)支持符合设定条件的一条事件重新命名; (3)支持将相互关联的一组事件重新命名;
(4)将符合条件的多条事件归并为一条在控制台显示; (5)支持告警邮件中的事件归并;
(6)事件合并的参数可以灵活调整,打开事件合并功能不会遗漏事件; (7)支持实时的事件统计功能;
(8)支持设定的条件过滤实时显示的事件;
(9)支持按照源地址、目的地址、事件名称和传感器名称分类显示实时事件。
1.2.8 事件的存储和管理能力要求
(1)支持的数据库类型包括SQL server等大型关系型数据库; (2)数据库容量无限制(不考虑硬件限制); (3)支持按条件查询提取事件; (4)支持数据备份; (5)可显示数据库使用情况;
(6)网络中断的情况下事件可以存储在传感器本地,网络正常后可以回复事件的传送。
1.2.9 报表生成功能要求
(1)支持数据的统计分析、查询和报告生成。
(2)支持深度数据分析,统计或查询的结果均可以作为数据源进行进一步的数据分析,数据查询和数据统计的结果可以作为综合报告的一部分;
(3)提供多种统计模板; (4)提供多种数据分析模板;
(5)支持生成组件的运行状态统计曲线图;
(6)支持生成以某一时间段为限定条件的事件统计查询报表; (7)支持生成以某一攻击事件为限定条件的事件统计查询报表; (8)支持生成以攻击源地址为限定条件的事件统计查询报表; (9)支持生成以攻击目标地址为限定条件的事件统计查询报表; (10)支持生成以探测到攻击的传感器为限定条件的事件统计查询报表; (11)支持生成以风险级别分类为限定条件的事件统计查询报表; (12)支持生成以服务分类为限定条件的事件统计查询报表。
1.2.10 用户权限管理
(1)审计员、用户管理员和系统管理员三种用户类型; (2)支持多管理员同时管理; (3)支持分级的用户权限设置; (4)支持管理员权限实时更改
1.2.11 系统的日志和审计功能
(1)有完整的审计日志; (2)审计日志可以导出;
(3)有详细的组件运行和状态日志; (4)支持系统日志和审计日志的统计查询; (5)支持以邮件、snmp trap方式发送系统日志。
1.2.12 入侵检测自身安全指标
(1)应支持使用透明方式进行部署,监听端口支持隐秘模式,无需IP地址和进行网络配置;
(2)各个系统组件之间的通讯应采用加密方式,并采用PKI认证; (3)IDS系统采用无shell的安全操作系统,除必要通讯端口外无其他端口开放;
(4)支持证书认证机制。
1.2.13 第三方产品集成要求
(1)提供开放数据库的表结构和架构,方便用户使用第三方报表系统生成所需要的报表,或者作进一步的数据分析。
(2)支持Syslog, EMAIL等方式进行报警。
1.3 安全网闸
根据系统组建要求,在控制专网、业务内网、业务外网等三网之间通过安全
网闸进行连接,实现数据互通。安全网闸部署在XX干线公司与穿黄现地站管理处(备调中心),共计7台。
1.3.1 基本要求
(1) 要求为硬件物理隔离,具备硬件物理隔离部件,系统采用“2+1”架构设计,包括内端机、外端机和独立的硬件隔离信息交换区。
(2) 采用专用隔离芯片设计,不支持通用通讯协议,不可编程,隔离区包含基于ASIC设计的电子开关隔离芯片,不采用SCSI、网卡以及任何加/解密等方式。隔离区信息交换采用DMA方式实现。
(3) 设备断开内外网网络TCP/IP连接。
(4) 系统带宽:>600Mbps,内部交换带宽>5Gbps。
(5) 接口要求:4个10/100/1000M以太网接口;一个RS232串行控制接口。 (6) 系统性能:并发连接会话数 >20000。 (7) 系统延时:<1ms。 (8) 电源冗余“1+1”。
1.3.2 能力要求
(1)应用支持:全面支持TCP/IP以上应用层协议,包括HTTP、SMTP/POP3、DNS、FTP、Telnet、SSH、各类数据库、MQ、MMS、NFS等,无需二次开发。
(2)文件数据交换方式,交换硬件对外不开放任何服务端口。 (3)以主动查询方式访问内外网的FTP服务器进行文件交换。
(4)访问控制:支持多种方式的访问控制,包括源IP地址、目的IP、子网、时间、时间端口、内容过滤。
(5)WEB保护功能,内置Web ApplicationTM网站保护功能,能够实现以下保护功能:
① 对网站目录、文件、动态脚本、WEB service实现访问控制; ② 对Cookie实现签名保护; ③ 对用户输入参数进行过滤;
④ 对URL串的字符类型、长度、字段等实现过滤; ⑤ 基于特征库的漏洞扫描; ⑥具有智能的规则学习功能。
(6)上网用户身份认证功能,严格控制上网用户,采用专用VIIE认证客户端浏览网页,用户列表存储在网闸设备上,未经授权的用户和使用普通IE浏览器的用户无法上网。
(7)邮件收发身份认证,严格控制邮件收发,采用专用VIMAIL邮件客户端,对收发邮件的用户实现身份认证,用户列表存储在网闸设备上,未授权的用户和使用普通OUTLOOK、FoxMail等邮件客户端的用户无法上网正常收发邮件。
(8)IP/MAC地址绑定,支持4096个以上的IP+MAC绑定的客户端访问控制。 (9)支持单/双向通讯控制,支持单、双向可选的访问控制。 (10)日志与审计支持:
系统可存储和审计包含:①系统日志;②管理日志;③网络活动日志;④入侵报警及处理日志;⑤访问控制日志。
1.3.3 安全可靠及管理要求
(1)高可用性:双机热备功能,无需第三方软件支持内置双机热备功能。 (2)基于应用层协议的连接数控制 系统可为特定应用层协议预留连接数资源。
(3) 设备故障检测与报警,要求系统管理平台和硬件液晶显示面板均可对硬件故障提示报警,包括通讯故障、硬件故障、软件故障。
(4)系统管理:要求集中设备管理系统,支持PKI安全认证、加密方式的远程管理,支持基于角色管理员分级管理。
(5)图形化网络行为监控:管理平台采用图形化的网络行为监控,可实时监控网络流量、并发连接数、违反规则尝试次数等统计信息。
(6)操作系统:采用经过安全加固的Linux操作系统。
1.4 WEB应用防火墙
1.4.1 基本架构
产品要求为一体化硬件产品,支持串接或旁路方式部署;
接口要求:网络接口10/100/1000M以太网电口不少于2个;管理接口1个。RS232串口1个。
1.4.2 HTTP 请求的过滤功能
(1)可以根据HTTP的请求类型(OPTIONS、GET、HEAD、POST、PUT、DELETE、TRACE、CONNECT)允许或者禁止。
(2)支持对HTTP协议头的各部分长度进行设置,防止缓冲区溢出攻击。 (3)支持对所请求的URL中所包含的关键字进行过滤。包括编码类型和特殊字符串,比如SQL关键字和用于测试漏洞的构建的表达式等。
(4)支持对所请求的WEB服务器文件后缀名进行过滤。包括.RAR/.ASP/.JPG等类型,根据需要可定制过滤。
(5)对返回的敏感信息(安装路径、数据库类型及版本等)、错误信息能进行定义和识别,并过滤,避免暴露给恶意攻击者获取到。
(6)能够支持动态和静态网页。
(7)支持HTTP 各种版本,包括HTTP 0.9/1.0/1.1
(8)支持Cookie 安全设置,支持 v0 和v1类型的Cookie 类型,支持对 Cookie 加密,支持设置 Cookie 为HTTP only 模式。
(9)支持多种编码格式,包括16进制、十进制、二进制等,对不同编码的报文能进行识别和转换。
(10)识别和限制HTTP 返回码,包括多种HTTP返回码的识别和限制。 (11)可限制使用HTTP 方法,包括客户端使用的 HTTP 数据传输方法(OPTIONS、GET、POST 、PUT、HEAD、DELETE、TRACE、CONNECT)。 1.4.3 安全防护功能
(1)网络层防护功能,管理员能根据需求制定网络层的ACL控制,能对TCP
Flood、HTTP Flood 等DOS 攻击进行防护,应检测不仅仅是针对交换机的ARP 欺骗、ARP Flood 攻击,并能进行防护。
(2)Web 服务器防护功能,可以实现对主流的Web服务器漏洞进行防护,例如IIS/Apache/Resin/Weblogic;并实现对主流的脚本语言软件进行防护,例如ASP.NET/Java/PHP。
(3)Web 应用的防护功能,应具备URL访问控制功能,可对指定的网页进行访问控制,应具备SQL注入攻击防护功能,应具备跨站脚本攻击防护功能。
(4) 应具备盗链防护功能。自动识别盗链行为,并根据配置的动作(包括接受、阻断、转发等)进行响应。
(5)应具备扫描防护功能,应识别扫描行为阻断扫描工具的探测。
(6) 应具备爬虫防护功能,识别爬虫行为并根据需求进行相应的动作(接受、阻止等)。
(7) 应具备CSRF防护功能,应能支持对自选的URL配置防护CSRF攻击。 (8)具备对敏感信息或非法内容设置自定义关键字过滤。 (9) 应具备对网页木马检测和过滤功能。 1.4.4 产品管理及审计功能
(1)规则库管理
用户能添加、删除、修改自定义规则。 具有内置的预设模板。 (2) 审计日志
a) 审应包括所有被过滤的事件。
b) 每个事件发生的日期、时间,对方IP 地址,所请求的URL,所匹配的规则。
c) 记录对网页访问次数。 (3) 日志管理功能
应提供对审计事件的清空、备份、查询功能。 (4) 可理解的格式
所有审计事件应包括时间、客户端类型、所请求的资源和参数、访问的方法
等。
(5) 防止审计数据丢失
审计数据应定期备份,并严格控制访问权限。 (6) 用户角色管理功能
系统应具有三种角色,分别为:管理员、审计员和普通用户,分别具有不同用户管理权限。
1.5 漏洞扫描产品
部署在业务内网的XX干线及穿黄现地站管理处(备调中心),共计2套。投标人需提供所安装的硬件服务器,其性能不低于本章第六节“服务器主要性能要求和技术指标要求”中的要求。
1.5.1 基本要求
(1)投标人需明确产品架构,并能支持多级架构的灵活部署。
(2)发现网络设备和主机系统的安全漏洞,并提供安全解决建议;对全网网元进行安全配置基准检查。
(3)产品应可灵活调整物理和网络位置,对网络设备进行扫描。扫描结束后生成详细的安全评估报告。
(4)可以并行地检查多个被评估的系统,能够提供扫描策略定制,可以保证扫描的安全性,不影响应用系统和网络业务的正常运行。
(5)产品应界面友好,所有的图形界面、报警信息、报表与文档、技术资料要求均为简体中文。
(6)产品具有无限IP漏洞扫描能力,并提供相应许可。
1.5.2 产品部署要求
(1)支持多个或多级产品的统一管控。 (2)支持控制中心的多级部署。
(3)支持策略的统一制定和分发,应提供可编辑的策略模板。 (4)支持对全网扫描结果的集中查询、分析。
1.5.3 漏洞扫描能力要求
(1)产品扫描信息应包括主机信息、用户信息、服务信息、漏洞信息等内容。投标人需给出各类扫描信息的详细列表。
(2)产品应支持对扫描对象安全脆弱性的全面检查,如安全补丁、口令、服务配置等。请详细描述针对主机和网络的扫描类别及项目。
(3)产品漏洞库应涵盖目前的安全漏洞和攻击特征,漏洞库具备CNCVE、CVE和BUGTRAQ编号。
(4)应可对Windows系列、Linux、AIX、HPUX、IRIX、BSD、solaris等目标主机的系统进行扫描。
(5)支持SNMP等协议的漏洞检测。投标人需提供支持扫描的网络设备厂商IOS列表。
(6)支持主流数据库的检测,应包括但不限于:Oralce、Sybase、SQLServer、DB2等。
(7)支持Windows域环境扫描,可针对目标主机的系统配置缺陷及漏洞进行扫描。
(8)支持多主机、多线程扫描和断点续扫功能。 (9)支持动态的显示扫描结果和实时的查看扫描结果 (10)产品应能提供扫描IP范围的管理功能。
(11)投标人需说明产品授权方式,产品是否需要与网卡等硬件绑定或需要原厂提供KEY的管理。
1.5.4 报表能力
(1)报告应具有易懂的漏洞描述和详尽的安全修补方案建议,并提供相关的技术站点以供管理员参考。
(2)应可根据角色需求产生灵活的报告格式,支持用户自定义报表和预定义报表;产品应可灵活定制产生各类报表数据的饼图、柱图等图表信息。
(3)扫描报告应可对安全的威胁程度分级,并能够形成风险趋势分析报表和主机间风险对比分析报告。
(4)报表具备导出功能,可以导出不同格式的报表,如Excel、Word等。
1.5.5 扫描策略配置
(1)产品要求提供多种缺省扫描策略,并可按照特定的需求,灵活制定目标对象或目标群组,可以同时应用不同扫描策略,并允许自定义扫描策略和扫描参数。
(2)支持单机扫描、分组扫描和全部扫描的设置。
(3)支持自动定时扫描和多种计划扫描任务管理功能,可按照指定的时间、对象自动扫描,并自动生成报告。
1.5.6 升级、管理
(1)系统应支持自动和人工远程升级。升级内容应包括最新的漏洞库和系统自身的补丁程序。
(2)支持分级、分权管理,能够对不同管理员账号或角色灵活分配扫描任务。
(3)支持策略集中分发。 (4)支持用户的操作审计。
1.6 防DDoS攻击系统
部署在业务外网的XX干线公司节点,共1套。
1.6.1 设备功能要求
投标人应对能够清洗的所有DDoS攻击提供详细列表,并详细说明对应用的控制手段及实现方式。包含但不限于:支持对欺骗与非欺骗的TCP (SYN, SYN-ACK, ACK, FIN, fragments) 、UDP (random port floods, fragments)、ICMP (unreachable, echo, fragments)、(M)Stream Flood及混合类型攻击的防护。对不能清洗的DDoS攻击提供详细说明,并说明能够提供哪些监视和控制手段。
投标人须给出针对每种攻击的防护要求,例如防护方式是流量限制还是过滤,不对相应的正常用户流量造成影响等。
支持特定应用层攻击产品,提供支持的攻击类型列表,并详述其防护原理。 支持对BGP attacks的攻击防护。
系统支持对MPLS VPN , GRE Tunnel 等复杂环境提供DDOS保护。 支持按需保护,能为多个用户服务,能同时保护多个用户,而且DDOS防护设备的放置地点灵活,通过动态的方式牵引清洗DDOS流量。设备支持对用户进行分组防护,不同防护群组可以定义不同的防护策略。
支持冗余设计,投标人应详细说明防止设备故障中断的工作方式和原理。冗余设计是为了最大限度地减少因为设备故障而导致的DDoS保护中断。
产品须具备多台设备旁路集群部署的能力,支持在大攻击流量发生时手动或自动启动集群,保证整个系统可用性;产品支持基于负载均衡的旁路集群模式,并详述其原理。
整体DDOS防护设计必须支持Netflow/CFlow/Netstream、SPAN等监控技术与动态防护策略的全自动解决方案。投标人需详细说明DDOS防护动态设计原理。
系统设计支持BGP+三层策略路由、MPLS VPN核心网络应用与GRE Tunnel 注入,支持MPLS转移/VRF注入。在MPLS核心中,可以使用一个独立的VRF将注入流量从清洁中心传回目标。投标人需详细说明原理。
投标人需列出系统针对每种攻击的异常流量清洗与DDOS过滤的方式与原理,包括过滤,反欺骗,异常识别,协议分析,速率限制等尽可能多的方式方法。
投标人需明确说明攻击检测和保护的响应时间。
系统应支持远程在线更新,系统能够进行策略库远程升级。
使用独立的10/100/1000Mb/s端口作为其管理端口,此管理端口上联到本地IP网设备,实现流量清洗设备与管理服务器之间的IP连接;
投标人应给出流量清洗设备所需要的10/100/1000Mb/s端口的类型(电口或光口)、数量等。
支持交流供电方式。
1.6.2 设备性能要求
投标人须列出单台流量清洗设备或板卡的处理能力,在GRE隧道封装,802.1q,UDP fragment flooding等情况下的性能指标的影响程度。
投标人须列出在SYN 泛洪,ICMP ping泛洪,UDP泛洪,DNS 请求泛洪,TCP 分段泛洪,UDP 分段泛洪等不同攻击类型的攻击处理速度(基于64字节数据包,处理速度定义:各种数据包完成判别后转发性能,每秒能处理数据包的数量)。
投标人须说明单台设备对不同类型攻击的处理能力;
投标人须说明单台设备支持的GRE接口数量、源IP和端口检测能力、支持的TCP代理连接数、时延与抖动等。
1.6.3 设备管理要求
设备的安全特性与配置管理方式支持命令行方式以及Web图形化管理软件两种方式,无需安装专门的客户端管理系统;
系统的远程接入支持通过https和SSH 等加密方式实现, 保证登陆密码以加密方式在网络中传递;
系统具备统一管理平台,在集群部署时支持对多台设备的集中管理,日志收集,运行状态监控,策略下发;
系统应支持攻击日志和网络攻击统计功能,须具备各类DDoS攻击详细记录的能力。
1.7 流量控制系统
要求为独立的物理硬件设备,部署在业务外网XX干线公司,共计1台。 (1)流量洞察
)流量监控
能实时展示设备及链路的每10分钟、每小时、每天、每周及每月的流量走势图;
能实时展示本日或预定时间内各应用/用户流量及用户并发连接数的Top N排名;
能实时展示本日设备、指定链路和通道的流量走势、各级通道/应用/用户的Top N流量排名;
能实时展示当前在线用户的IP五元组详细信息、上传/下载流量及并发连接数
2)流量查询
支持可查询指定日期、时间、通道、应用及用户的每分钟上传及下载流量 (2) 流量限制
)应用封堵
支持对用户的指定应用进行封堵;
支持对用户去往某(些)服务器的指定应用进行封堵
)流量限速
支持在基于特定时间、VLAN、用户、应用,把上传/下载速率限定在指定范围内;
)流量限额
支持通过一条策略即可实现在预定时间周期为每个用户的应用设定相同的流量限额值;
支持在预定时间周期对从源用户(组)去往目的用户(组)的应用总体流量设定限额值。
)连接控制
支持通过一条策略即可实现对每个用户设置相同的并发连接数和新建连接速度;
支持对从源用户(组)去往目的用户(组)的应用进行总体并发连接数和新
建连接速度控制
(3) 流量保障
支持通过设定带宽保证值,可以保证关键应用在任何时刻最少所能获得的带宽资源;
支持带宽预留,使关键应用在任何时刻都独享该专线的全部带宽资源 支持根据用户数量的动态变化,实现基于内网/外网用户的带宽平均分配,保证用户间动态、公平地共享全部带宽资源
(4)流量分析 1)流量统计
支持对指定日期、时间的各应用、用户或通道的上传/下载/总流量及用户数量进行统计;支持递进式查收和多维关联分析
2)流量报告
支持输出指定日期、时间、通道、应用、用户的流量走势图及应用流量叠加走势图。
1.8 防毒网关
1.8.1 硬件指标要求
(1)设备应支持机架式安装,支持具有双冗余电源。保证自身性能稳定性。 (2)支持复杂网络环境,TRUNK环境支持,保证能够在TRUNK环境下扫描病毒并进行Web管理;双机热备环境支持,保证能够部署在双机热备设备的前后。
(3)支持串行部署模式,对网络中的客户和服务透明,无需重新配置DNS或重新路由网络数据流。默认提供初始IP管理地址,无需初始化设置。支持添加静态路由,保证能够跨网段对进行管理;
(4)支持10/100/1000M自适应,全双工,半双工模式,和手动模式。支持软硬件故障情况下的BYPASS功能,不能影响正常业务流量。
(5)支持系统的快速自动修复系统,当系统出现故障能够快速还原;自动恢复系统一旦发现硬件损害,将从一个正常的备份分区启动,同时会恢复被损坏的分区。
1.8.2 性能指标要求
SMTP扫描性能:要求 >= 700封/秒。 HTTP吞吐性能:要求 >= 700 Mbps。 用户数支持数量: 要求 >= 2500用户。 1.8.3 管理功能指标
(1)支持加密HTTPS方式进行管理。须具有中文、英文操作管理界面。 (2)支持集中管理(设备集中监控管理与策略统一配置);支持多台设备集中监控(监控设备运行状态、防护状态、连接状态和系统事件的图形化显示)。
在Web管理界面提供高级诊断工具:Ping/Traceroute/DNS解析/显示系统网络状态/数据包抓包等辅助排查工具。
支持SOC厂商的数据接口; 可以提供相关多项报表。 (3)支持:-手动导入/导出配置。
必须支持分权限管理,可配置多账号并授予不同权限。
根据用户概况制定不同的配置策略,允许用户基于一个或者多个预定义策略进行个性化的界定和配置:支持LDAP用户组、支持树结构/个人LDAP用户/IP地址/组/源和目的地IP地址等要素识别。
(4)具备隔离区功能,支持隔离区空间管理:可以实时显示隔离区的剩余空间;隔离区内容处理:可以观察隔离区的内容,以及可供选择的处理方式:删除和恢复、重定向邮件、扫描恶意软件项目,发送可疑或者未知项目至熊猫、下载这些内容和将他们从移出隔离区。
(5)实时显示网卡流量,活动连接,已建连接,连接成功率,CPU占用率等系统负载情况。
以曲线、饼图等多种方示显示病毒、垃圾邮件和内容过滤的查杀拦截情况,同时可以根据协议、任意时间段、恶意程序类型等进行分类查询。根据不同的检索条件,实时显示前十名用户以及前十名病毒列表。
(6)支持恶意软件定义文件,防恶意软件引擎,垃圾邮件定义文件,反垃
圾邮件引擎和Web 过滤的版本在线增量式升级,并且提供每日自动更新。支持离线病毒库更新。支持内核版本在线升级,手动本地升级,始终保持最新软件系统。
(7)用户可以自行编辑警告,支持中文和英文。可以设置警告发送的频率。支持Syslog和SNMP日志发送,同时支持(MIB-II版本)。
(8)能够自动生成多种病毒报告,卖方应详细说明提供设备所支持的病毒报告的种类。
(9)可以随时保存或恢复设备的网络设置和保护设置。 可以导入、导出下列列表: 1)反垃圾邮件白名单; 2)反垃圾邮件黑名单; 3)网络过滤URL白名单; 4)网页过滤URL黑名单; 5)网页过滤排除的用户列表。 1.8.4 病毒处理能力指标
(1)能够检测病毒,蠕虫,木马,间谍软件等威肋和恶意软件,卖方应当详细说明设备支持的检测种类。
(2)须至少支持(但不仅限于)以下常用Internet协议的监测:包括HTTP、FTP、SMTP、POP3等。
(3)须支持非标准端口扫描;
(4)提供防网络钓鱼保护,卖方应当详细说明设备对防钓鱼软件监测防护的实现过程以及技术细节。
(5)具有发式扫描技术,可以检测到隐藏在可执行文件中的未知病毒,保证潜在的危险内容被过滤掉。
(6)支持对常见协议(SMTP、POP3、IMAP、NNTP、HTTP和FTP等)内容过滤,能够阻止危险文件进入网络,减低带宽资源的占用。卖方应当详细说明内容过滤的检查项目。
1.8.5 其他威胁处理能力指标
(1)保证能够如下提供针对邮件内容的过滤规则:
支持对邮件主题、邮件正文和邮件附件名称的内容进行过滤,例如:能否检测出邮件主体内容包含“法轮功”的邮件,并且能够进行删除、报告或重定向处理;
(2)反垃圾邮件功能
能够分析SMTP/POP3/IMAP协议收发的邮件,判定邮件是垃圾邮件,疑似垃圾邮件或正常邮件,可以在屏蔽垃圾邮件。
(3)网页内容过滤,监控和阻断Web 页面的访问,将访问的Web网站自动划分为不同类型,例如:色情、购物、犯罪、武器和交通等。可自定义黑白名单。支持用户排除。显示中文警告页面,同时支持对警告页面进行编辑。
(4)即时通讯软件管理,至少支持(但不仅限于)监控并阻断如下即时通讯软件的连接:MSN Messenger、ICQ/AQL、Skype、IRC等,卖方应当详细说明支持监控管理的软件种类。
(5)P2P下载软件管理:至少支持(但不仅限于)监控并阻断如下P2P下载软件的使用:eDonkey、Bit Torrent等。卖方应当详细说明支持监控管理的软件种类。
1.8.6 高可用性与稳定性指标
(1)具有内置负载均衡功能,在对大量数据进行扫描时必须具备足够的扩展能力同时提升高可用性,内置负载均衡功能可配置为手动和自动模式,可适用于各种网络环境。
(2)支持快速自动修复系统;自动恢复系统一旦发现硬件损害,比如说硬盘或者是主引导记录出现损坏,它将从一个正常的备份分区启动,同时会恢复被损坏的分区。
1.9 防病毒系统 1.9.1 基本要求
(1)病毒防护系统与南水北调东线XX干线工程调度化管理系统内的系统软件、应用软件、网络软硬件,具有完全兼容性。
(2)提供的软件应为最新版本,为模块化结构,具有易于升级和维护的能力。
(3)用户界面友好,安装、配置、使用、管理方便,具有的良好的在线帮助和操作提示功能。
(4)具有基于WEB方式和 SNMP 协议的管理。
(5)在架构整体防毒体系时能根据网络架构关系部署多级管理防毒体系,即XX干线公司能管理下级单位(包括干线公司本身) 所有的防毒节点。
(6)当防范病毒的节点比较多,在升级时的并发升级流量肯定比较大,提供的软件能够支持架设多台升级服务器并可以以级联的方式进行部署以均衡升级负载。
(7)业务内网与互联网隔离,应充分考虑业务内网病毒防护系统升级的多途径,并提出解决方案及升级响应措施。
(8)应包括应用软件及服务器硬件,其服务器性能不低于本章“第6节 服务器主要性能要求和技术指标”。
(9)每套liscence数量约1500个。
1.9.2 病毒软件技术要求
(1)支持集中式部署;
(2)管理控制工具支持通过远程登陆来管理;
(3)管理员新建或更改策略或任务后,如果策略或任务指定的用户处于离线状态,当用户在线时策略或任务能够自动同步生效或立即执行;
(4)支持在统一的管理平台上远程安装、卸载、更新病毒特征库和升级防病毒模块的功能;
(5)根据需要可以远程启动或停止实时监控,手动扫描任务,病毒特征库更新;
(6)管理服务器与被管理计算机之间通信应采取安全措施,说明所使用的端口号与应用层协议类型;
(7)如果系统的各个模块需要授权许可才能正常运行和升级,系统应当支持在统一的管理平台上远程分发授权许可;
(8)整个防病毒系统必须支持跨网段的管理功能,具备良好的可扩展性,当网络规模扩大或新增节点时可以很容易地实现集中管理;
(9)支持在统一的管理平台上远程查看客户端杀毒软件状态,是否安装并运行了防病毒客户端及安装的防护产品类型;
(10)支持用户根据实际需要来定制针对特定目标计算机的扫描任务; (11)具有远程集中的设置,管理功能,能做到客户端的零操作; (12)支持允许和禁止客户端更改任务或策略的功能; (13)可以统计指定对象,指定的时间内发现病毒的报告; (14)可以统计全局感染病毒最严重的计算机的报告;
(15)可以统计全局反病毒数据库更新的报告,包括更新日期,数目等; (16)可以通过过滤事件功能快速查找处理事件,如要找到某感染病毒的客户端计算机。
1.9.3 客户端防病毒要求
(1)防病毒产品支持Windows平台所有操作系统,并支持Linux平台的实时监控和手动扫描防护;
(2)提供针对脚本病毒、宏病毒和基于SMTP、POP3协议的邮件实时监控保护;
(3)支持对嵌入式OLE对象的扫描;
(4)支持对磁盘引导区的扫描;实现能不解压清除压缩包内病毒; (5)产品可基于网络层对病毒攻击包进行扫描和清除,在病毒写入硬盘前执行清除;
(6)支持扫描时对资源占用过大进行限制;
(7)请简要说明防病毒产品所采用的杀毒引擎及所采用的技术; (8)支持对染毒对象和可疑对象的采取不同的处理方法; (9)针对特定的病毒是否提供病毒专杀工具;
(10)支持在扫描过程中和扫描完成后,提示用户进行操作(包括感染病毒
对象和可疑对象);
(11)防毒程序可以自动对染毒和可疑对象采取清除,隔离,删除和放弃操作等动作;
(12)支持通过代理服务器从互联网升级病毒库;支持提供自动升级,手动升级以及计划定制升级病毒库方式;
(13)客户端杀毒程序支持从自己架设的HTTP,本地文件夹等方式升级病毒库;
(14)病毒库应当及时更新,请说明通常情况下病毒库的升级频率及每次升级病毒库的文件的大小,同时,由于业务内网与互联网隔离,应充分考虑多种有效升级途径;
(15)在病毒爆发的时候,可以迅速推出解决方案,请说明中标人在收集到病毒样本后的反应流程和反应时间;
(16)支持对恶意软件、广告软件的检测;
(17)支持对软件的所有任务(扫描任务、更新任务、病毒检测处理、策略更改等)进行日志记录;
(18)可以根据实际需要,添加自定义任务(如更新任务和扫描任务等); (19)在网络结构发生改变(包括路由、IP地址、VLAN等改变)时,对防病毒系统产生的影响及解决方案。
1.9.4 资质认证
(1)计算机信息系统安全专用产品销售许可证; (2)中国国家信息安全评测认证中心认证; (3)国家保密局科学技术成果鉴定证书; (4)中国人民解放军信息安全评测认证中心认证。 投标人应提供该类产品在中国大陆境内应用案例及用户证明。