1、网络入侵检测系统及安全审计系统技术规范(专用部分)1 项目需求部分1.1 基本要求根据国能安全【2015】36号(国家能源局关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知)的要求:生产控制大区可以统一部署一套入侵检测系统(IDS),应当合理设置检测规则,及时捕获网络异常行为,分析潜在威胁,进行安全审计;生产控制大区应当具备安全审计功能,可以对网络运行日志、操作系统运行日志、数据库重要操作日志、业务应用系统运行日志、安全设置运行日志等进行集中收集、自动分析,及时发现各种违规行为以及病毒和黑客的攻击行为。对于远程用户登录到本地系统中的操作行为,应该进行严格的安全审计。1.2 技
2、术要求1.2.1 入侵检测系统(IDS)1.2.1.1 机种:百兆机架式硬件设备;1.2.1.2 监听端口/数量:10/100Base-TX,总数2。1.2.1.3 语言支持要求:支持全中文的操作界面以及中文详细的解决方案报告。1.2.1.4 入侵检测能力1)支持深度协议识别,能够监测基于Smart Tunnel方式伪造和包装的通讯。2)支持70种以上的协议异常检测,能够对违背RFC的异常通讯进行报警。3)内置智能攻击结果分析,在入侵检测的平台上,无需使用外部的工具(如扫描器)就能够准确检测和验证攻击行为成功与否。4)产品的知识库全面,至少能对目前网络中主流的攻击行为进行检测,规则库检测攻击的
3、性能领先、规则更新快,至少能够做到一周一次检测模块的更新;升级过程不停止监测过程;事件库与CVE兼容。5)支持所有部件包括引擎、控制台、规则库在内的实时升级,引擎支持串口,控制台两种升级方式。6)在同一入侵检测平台上即可对所监控流量按照不同的协议类型进行排序和监控,并进行方便直观的图形输出。7)能够对http、ftp、smtp、pop、telnet等常用协议进行连接回放;支持对P2P协议的解码和流量排序,包括(BitTorrent、MSN等)。1.2.1.5 性能要求每秒并发TCP会话数100000。最大并发TCP会话数200000。最大包捕获和处理能力200Mb。1.2.1.6 管理能力1)
4、产品的所有的告警和流量信息都可以实时的汇总到监控中心,支持集中式的探测器管理、监控和入侵检测分析。2)支持控制台与探测器的双向连接。3)控制台支持任意层次的级联部署,上级控制台可以将最新的升级补丁、规则模板文件、探测器配置文件等统一发送到下级控制台,保持整个系统的完整统一性。4)能够提供多种响应方式,包括控制台告警、Email、记录、切断连接、以及执行用户自定义行为。支持主流防火墙联动。1.2.1.7 日志与报告能力1)支持日志缓存,在探测引擎的网络完全断开的情况下,探测引擎仍然会将检测到的攻击行为在探测器本地保存,等到网络恢复正常自动的同步到控制台或日志数据库。不会出现网络断开而丢失告警信息
5、的情况。2)具备对反IDS 攻击技术的防护能力。3)报表系统可以自动生成各种形式的攻击统计和流量统计报表,形式包括日报表,月报表,年报表等,通过来源分析,目标分析,类别分析等多种分析方式,以直观、清晰的方式从总体上分析网络上发生的各种事件,为管理人员提供方便。4)对发现的攻击行为应该记录到典型数据库中,并提供基于时间、事件、风险级别等组合的分析功能,并且可以产生各种图片、文字的报告形式。无需安装任何第三方软件支持输出到通用的HTML、JPG、WORD、EXCEL等格式文件。1.2.1.8 必须满足的国家相关标准及规范通过以下国家权威部门的认证:包括公安部的销售许可证、国家信息安全测评认证中心认
6、证、涉密信息系统产品检测证书以及军用信息安全产品认证等。1.2.2 安全审计系统1.2.2.1 机种:百兆机架式硬件设备;1.2.2.2 产品规格:采用专用安全操作系统、支持Console口管理、存储容量2TB。1.2.2.3 运行环境及使用界面系统应采用B/S架构,管理员只需浏览器即可连接到系统进行各种操作。产品要求集成数据库,无需再独立安装数据库系统,亦无须对数据库进行专门的维护。产品应具备客户端浏览器兼容性。1.2.2.4 管理范围能对网络设备、安全设备和系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警等安全信息进行全面的审计。1.2.2.5 采集方式无需另外安装软件组件,审
7、计中心即可通过FTP、HTTP、SMTP/POP3、TELNET、 SNMP Trap、Syslog、ODBCJDBC、文件文件夹、WMI、SFTP、NetBIOS、OPSEC等多种方式完成日志收集功能;允许用户安装独立的日志采集器通过上述方式采集日志并转发给审计中心;允许用户在被采集节点上安装日志代理采集日志并转发给日志采集器或者审计中心;审计中心可以支持多个日志采集器。1.2.2.6 部署方式支持单级部署和级联部署,支持分布式部署。1)单级部署:无需安装任何其他软件和组件,用户只需要安装审计中心即可实现对日志的采集、分析;2)级联部署:两个审计中心之间可以进行级联,形成大规模统一审计;3)
8、分布式部署:一个审计中心可以连接多个分布式日志采集器或者日志代理,实现对全网分散日志的统一采集和审计。1.2.2.7 功能要求1)系统必须具备日志规范化功能,实现对异构日志格式的统一化;针对不支持的事件类型做规范化不需改动编码,通过修改配置文件即可完成;支持长安全事件格式;对日志设备类型、日志类型、日志级别等可进行重定义。2)系统允许管理员实时的,以监视场景的形式查看不同类型的日志信息;可查看日志的详细信息、原始信息和参考说明。3)系统允许管理员以统计场景的形式查看不同类型的日志信息;统计的条件和时间段可自由设定;支持柱状图、饼图等形式的统计信息可视化展示;根据统计结果可直接钻取符合条件的日志
9、。4)系统允许管理员以查询场景的形式查看不同类型的日志信息;查询场景可保存,并可重复使用;可对日志进行模糊搜索查询。提供基于任务模式的日志导出功能。5)系统具有日志关联分析的能力,能够对不同的日志进行相关性分析,发掘潜在的信息;所有事件字段都可参与关联;可实现嵌套及复杂关联;关联分析规则可以导入导出;安全规则与日志源设备厂家无关,更换设备无需修改规则;规则可实时启用和停用。6)系统具有综合展示界面和仪表板;用户可自定义首页和展示仪表板;包括展示的内容和展示的形式;应该提供传统的线形图、饼图、条状图等多种方式来显示信息;可以图形化显示日志上报数量、事件等级分布、设备事件分布、事件类型分布等信息。
10、7)系统提供内置报表模板;支持按照天、月度、季度、年度等时间周期生成报表;支持在报表中以柱状图、曲线图、饼状图等方式统计安全报警情况;支持报表报告的导出,导出的格式支持EXCEL、PDF、DOC、XML、HTML、RTF等。8)系统应提供日志维护功能,能够自动定时备份采集上来的安全事件(日志),也支持手动备份与恢复;管理员可设置存储容量告警阈值。9)可对日志采集器进行集中管理和配置;记录系统自身日志,可查询;可对系统自身的CPU、内存、数据库空间大小等进行监控;支持系统时间同步,能够指定时钟服务器,确保审计系统与用户网络环境的时间保持同步。10)实现基于角色的权限管理;要求系统管理员、权限管理
11、员和用户管理员三权分立;系统内置上述三类管理员;用户登陆界面具备登陆验证码功能。1.2.2.8 必须满足的国家相关标准及规范通过以下国家权威部门的认证:包括公安部的销售许可证、国家信息安全测评认证中心认证、涉密信息系统产品检测证书以及军用信息安全产品认证等。1.3 供货范围表2 供货范围一览表序号项目单位要求投标人响应设备名称单位数量型式、规格数量1网络入侵检测系统套12安全审计系统套13现场安装(含配线)项1说明:设备的安装方式由投标人根据现场实际情况确定。1.4 必备的备品备件、专用工具和仪器仪表表3 必备的备品备件、专用工具和仪器仪表供货表序号名称单位项目单位要求投标人响应备注型号和规格
12、数量型号和规格数量1231.5 图纸资料提交单位需确认的图纸、资料应由投标人提交到表4所列单位。表4 投标人提交的需经确认的图纸资料及其接收单位提交图纸、资料名称接收图纸单位名称、地址、邮编、电话提交份数认可图、最终图(附电子文档)(设计填写)2认可图、最终图说明书、试验报告(附电子文档)(业主填写)2 工程概况1)工程项目名称: 2)项目单位名称: 3)工程规模: 4)工程地址:5)交通、运输:6)环境温度:3 投标人响应部分3.1 投标人技术偏差表投标人提供的产品技术规范应完全满足本招标文件中规定。若有偏差投标人应如实、认真地在投标人技术偏差表(表4)中填写偏差值,否则视为与本招标文件中规
13、定的要求一致。若无技术偏差则应在技术偏差表中填写“无偏差”。表5 投标人技术偏差表序号项目对应条款编号招标文件要求差异备注12343.2 产品部件列表投标人按技术规范通用部分2.2要求提供构成表1设备(单台)的全部部件、模块。表6 产品部件列表序号部件代码英文名称中文名称数量备注1233.3 推荐的备品备件、专用工具和仪器仪表供货表表7 推荐的备品备件、专用工具和仪器仪表供货表序号名称型号和规格单位数量1233.4 销售及运行业绩表表8 销售及运行业绩表序号项目单位项目名称联系人联系人电话合同签订时间型号规格数量备注1233.5 用户使用情况证明或有关合同证明材料3.6 设备原厂商办事处表9 设备原厂商办事处表序号省、市自治区办事处名称地址联系人联系人电话售后技术人员售后技术人员电话项目实施经验备注1233.7 设备原厂商备品备件库表10 设备原厂商备品备件库表序号省、市、自治区备品备件库名称地址联系人联系人电话备注1233.8 本投标产品其他有关资料及说明15
