网络入侵检测系统及安全审计系统技术规范.docx

1、 网络入侵检测系统及安全审计系统技术规范 网络入侵检测系统及安全审计系统 技术规范 （专用部分） 1 项目需求部分 1.1 基本要求 根据国能安全【 】36号（国家能源局关于印发《电力监控系统安全防护总体方案》等安全防护方案和评估规范的通知）的要求：生产控制大区能够统一部署一套入侵检测系统（IDS），应当合理设置检测规则，及时捕获网络异常行为，分析潜在威胁，进行安全审计；生产控制大区应当具备安全审计功能，能够对网络运行日志、操作系统运行日志、数据库重要操作日志、业务应用系统运行日志、安全设置运行日志等进行

2、集中收集、自动分析，及时发现各种违规行为以及病毒和黑客的攻击行为。对于远程用户登录到本地系统中的操作行为，应该进行严格的安全审计。 1.2 技术要求 1.2.1 入侵检测系统（IDS） 1.2.1.1 机种：百兆机架式硬件设备； 1.2.1.2 监听端口/数量：10/100Base-TX，总数≥2。 1.2.1.3 语言支持要求：支持全中文的操作界面以及中文详细的解决方案报告。 1.2.1.4 入侵检测能力 1）支持深度协议识别，能够监测基于Smart Tunnel方式伪造和包装的通讯。 2）支持70种以上的协议异常检测，能够对违背RFC的异常通讯进行报警。 3）

3、内置智能攻击结果分析，在入侵检测的平台上，无需使用外部的工具（如扫描器）就能够准确检测和验证攻击行为成功与否。 4）产品的知识库全面，至少能对当前网络中主流的攻击行为进行检测，规则库检测攻击的性能领先、规则更新快，至少能够做到一周一次检测模块的更新；升级过程不停止监测过程；事件库与CVE兼容。 5）支持所有部件包括引擎、控制台、规则库在内的实时升级，引擎支持串口，控制台两种升级方式。 6）在同一入侵检测平台上即可对所监控流量按照不同的协议类型进行排序和监控，并进行方便直观的图形输出。 7）能够对http、ftp、smtp、pop、telnet等常见协议进行连接回放；支持对P2P协议的解

4、码和流量排序，包括（BitTorrent、MSN等）。 1.2.1.5 性能要求 每秒并发TCP会话数≥100000。 最大并发TCP会话数≥ 00。 最大包捕获和处理能力≥200Mb。 1.2.1.6 管理能力 1）产品的所有的告警和流量信息都能够实时的汇总到监控中心，支持集中式的探测器管理、监控和入侵检测分析。 2）支持控制台与探测器的双向连接。 3）控制台支持任意层次的级联部署，上级控制台能够将最新的升级补丁、规则模板文件、探测器配置文件等统一发送到下级控制台，保持整个系统的完整统一性。 4）能够提供多种响应方式，包括控制台告警、Email、记录、切断连接、以及执行

5、用户自定义行为。支持主流防火墙联动。 1.2.1.7 日志与报告能力 1）支持日志缓存，在探测引擎的网络完全断开的情况下，探测引擎依然会将检测到的攻击行为在探测器本地保存，等到网络恢复正常自动的同步到控制台或日志数据库。不会出现网络断开而丢失告警信息的情况。 2）具备对反IDS 攻击技术的防护能力。 3）报表系统能够自动生成各种形式的攻击统计和流量统计报表，形式包括日报表，月报表，年报表等，经过来源分析，目标分析，类别分析等多种分析方式，以直观、清晰的方式从总体上分析网络上发生的各种事件，为管理人员提供方便。 4）对发现的攻击行为应该记录到典型数据库中，并提供基于时间、事件、风险级

6、别等组合的分析功能，而且能够产生各种图片、文字的报告形式。无需安装任何第三方软件支持输出到通用的HTML、JPG、WORD、EXCEL等格式文件。 1.2.1.8 必须满足的国家相关标准及规范 经过以下国家权威部门的认证：包括《公安部的销售许可证》、《国家信息安全测评认证中心认证》、《涉密信息系统产品检测证书》以及《军用信息安全产品认证》等。 1.2.2 安全审计系统 1.2.2.1 机种：百兆机架式硬件设备； 1.2.2.2 产品规格：采用专用安全操作系统、支持Console口管理、存储容量≥2TB。 1.2.2.3 运行环境及使用界面 系统应采用B/S架构，管理员只

7、需浏览器即可连接到系统进行各种操作。产品要求集成数据库，无需再独立安装数据库系统，亦无须对数据库进行专门的维护。产品应具备客户端浏览器兼容性。 1.2.2.4 管理范围 能对网络设备、安全设备和系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警等安全信息进行全面的审计。 1.2.2.5 采集方式 无需另外安装软件组件，审计中心即可经过FTP、HTTP、SMTP/POP3、TELNET、 SNMP Trap、Syslog、ODBC\JDBC、文件\文件夹、WMI、SFTP、NetBIOS、OPSEC等多种方式完成日志收集功能；允许用户安装独立的日志采集器经过上述方式采集日志

8、并转发给审计中心；允许用户在被采集节点上安装日志代理采集日志并转发给日志采集器或者审计中心；审计中心能够支持多个日志采集器。 1.2.2.6 部署方式 支持单级部署和级联部署，支持分布式部署。 1）单级部署：无需安装任何其它软件和组件，用户只需要安装审计中心即可实现对日志的采集、分析； 2）级联部署：两个审计中心之间能够进行级联，形成大规模统一审计； 3）分布式部署：一个审计中心能够连接多个分布式日志采集器或者日志代理，实现对全网分散日志的统一采集和审计。 1.2.2.7 功能要求 1）系统必须具备日志规范化功能，实现对异构日志格式的统一化；针对不支持的事件类型做规范化不需改

9、动编码，经过修改配置文件即可完成；支持长安全事件格式；对日志设备类型、日志类型、日志级别等可进行重定义。 2）系统允许管理员实时的，以监视场景的形式查看不同类型的日志信息；可查看日志的详细信息、原始信息和参考说明。 3）系统允许管理员以统计场景的形式查看不同类型的日志信息；统计的条件和时间段可自由设定；支持柱状图、饼图等形式的统计信息可视化展示；根据统计结果可直接钻取符合条件的日志。 4）系统允许管理员以查询场景的形式查看不同类型的日志信息；查询场景可保存，并可重复使用；可对日志进行模糊搜索查询。提供基于任务模式的日志导出功能。 5）系统具有日志关联分析的能力，能够对不同的日志进行相关

10、性分析，发掘潜在的信息；所有事件字段都可参与关联；可实现嵌套及复杂关联；关联分析规则能够导入导出；安全规则与日志源设备厂家无关，更换设备无需修改规则；规则可实时启用和停用。 6）系统具有综合展示界面和仪表板；用户可自定义首页和展示仪表板；包括展示的内容和展示的形式；应该提供传统的线形图、饼图、条状图等多种方式来显示信息；能够图形化显示日志上报数量、事件等级分布、设备事件分布、事件类型分布等信息。 7）系统提供内置报表模板；支持按照天、月度、季度、年度等时间周期生成报表；支持在报表中以柱状图、曲线图、饼状图等方式统计安全报警情况；支持报表报告的导出，导出的格式支持EXCEL、PDF、DOC、

11、XML、HTML、RTF等。 8）系统应提供日志维护功能，能够自动定时备份采集上来的安全事件（日志），也支持手动备份与恢复；管理员可设置存储容量告警阈值。 9）可对日志采集器进行集中管理和配置；记录系统自身日志，可查询；可对系统自身的CPU、内存、数据库空间大小等进行监控；支持系统时间同步，能够指定时钟服务器，确保审计系统与用户网络环境的时间保持同步。 10）实现基于角色的权限管理；要求系统管理员、权限管理员和用户管理员三权分立；系统内置上述三类管理员；用户登陆界面具备登陆验证码功能。 1.2.2.8 必须满足的国家相关标准及规范 经过以下国家权威部门的认证：包括《公安部的销售许可

12、证》、《国家信息安全测评认证中心认证》、《涉密信息系统产品检测证书》以及《军用信息安全产品认证》等。 1.3 供货范围 表2 供货范围一览表 序号 项目单位要求 投标人响应 设备名称 单位 数量 型式、规格 数量 1 网络入侵检测系统 套 1 2 安全审计系统 套 1 3 现场安装（含配线） 项 1 说明：设备的安装方式由投标人根据现场实际情况确定。 1.4 必备的备品备件、专用工具和仪器仪表 表3 必备的备品备件、专用工具和仪器仪表供货表 序号 名称 单位 项目单位要求 投标人响应 备注 型号和规

13、格 数量 型号和规格 数量 1 2 3 1.5 图纸资料提交单位 需确认的图纸、资料应由投标人提交到表4所列单位。 表4 投标人提交的需经确认的图纸资料及其接收单位 提交图纸、资料名称 接收图纸单位名称、地址、邮编、电话 提交份数 认可图、最终图 （附电子文档） （设计填写） 2 认可图、最终图 说明书、试验报告 （附电子文档） （业主填写） 2 工程概况 1）工程项目名称： 2）项目单位名称： 3）工程规模： 4）工程地址： 5）交通、运

14、输： 6）环境温度： 3 投标人响应部分 3.1 投标人技术偏差表 投标人提供的产品技术规范应完全满足本招标文件中规定。若有偏差投标人应如实、认真地在投标人技术偏差表（表4）中填写偏差值，否则视为与本招标文件中规定的要求一致。若无技术偏差则应在技术偏差表中填写“无偏差”。 表5 投标人技术偏差表 序号 项目 对应条款编号 招标文件要求 差异 备注 1 2 3 4 3.2 产品部件列表 投标人按技术规范通用部分2.2要求提供构成表1设备（单台）的全部部件、模块。 表6

15、 产品部件列表 序号 部件代码 英文名称 中文名称 数量 备注 1 2 3 3.3 推荐的备品备件、专用工具和仪器仪表供货表 表7 推荐的备品备件、专用工具和仪器仪表供货表 序号 名称 型号和规格 单位 数量 1 2 3 3.4 销售及运行业绩表 表8 销售及运行业绩表 序号 项目单位 项目名称 联系人 联系人电话 合同签订时间 型号规格 数量 备注 1 2

16、 3 3.5 用户使用情况证明或有关合同证明材料 3.6 设备原厂商办事处 表9 设备原厂商办事处表 序号 省、市 自治区 办事处 名称 地址 联系人 联系人 电话 售后技术人员 售后技术 人员电话 项目实 施经验 备注 1 2 3 3.7 设备原厂商备品备件库 表10 设备原厂商备品备件库表 序号 省、市、自治区 备品备件库 名称 地址 联系人 联系人电话 备注 1 2 3 3.8 本投标产品其它有关资料及说明