机房参考资料入侵防御系统(IPS)技术参数及要求
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网关防病毒功能
可扩展病毒模块使用许可,加入模块后支持对HTTP、FTP、SMTP、POP3、IMAP、MSN协议的病毒检测和过滤功能;支持对文件感染型病毒、蠕虫病毒、脚本病毒、宏病毒、木马、恶意/灰色软件等的过滤,病毒库数量不少于15万,提供病毒库界面截图;入侵防御事件库事件数量不少于2000条;提供事件库界面截图;支持病毒库自动升级和手工导入,升级频率至少确保每周一次,需在厂商主页提供病毒库更新包下载;对于HTTP协议和邮件协议,提供信息替换功能,用以通知用户病毒被阻断,管理员可以自行设置替换信息;
管理功能
应具备集中控制、集中管理功能,可实现集中式安全监控管理和配置管理。要求支持带外管理(OOB)功能,可以通过专用管理口,进行引擎管理,解决远程应急管理的需求。
各组件间(管理平台与引擎等)使用加密信道通信;简便易用的GUI管理界面,要求能够对显示窗口进行自定义,做到只显示需要关注的内容。
具有设备的拓扑显示功能,可以在界面上以图形化的方式显示当前的部署拓扑。同时支持多个用户监测台的设置,支持至少8个以上的多用户监测台设置。
产品资质
必须是具有自主知识产权的国产产品,获得如下资质证书:
计算机信息系统安全专用Байду номын сангаас品销售许可证
国家信息安全认证产品型号证书!
涉密信息系统产品检测证书
计算机软件著作权登记证书
要求:完全国内自主知识产权,全中文管理界面、事件描述以及相关产品配套文档。
要求产品为市场第一品牌(提供相应证明文件)
生产厂商资质
日志功能
应支持多种数据库类型,包括:MSDE、SQL SERVER,支持独立的日志数据库部署。同时提供专门的数据库维护功能,要求能够按照事件上报的日期时间和风险等级、引擎来源等对日志数据库进行删除、转储等操作。
具备自定义报表功能,支持交叉统计和多元组合查询详细事件,支持导出为WORD\EXCEL\PDF\HTML等常用公文处理格式。
支持内置的BYPASS功能,保证在意外掉电的状况下可以保证网络直通能力,无须外置其他硬件设备。
策略功能
应提供按照检测对象、攻击类型等分类的默认内置检测模版,且默认模版不可修改;提供向导化的策略编制方式,提供合、并、交等策略集操作。
提供用户默认阻断事件、可选阻断事件和不可选阻断事件三大类不同的事件分类。
要求企业通过CMMI3;《涉及国家秘密的计算机信息系统集成资质证书(甲级);《国家信息安全认证信息安全服务资质证书(安全工程类二级)》;《计算机信息系统集成资质二级》;厂商具备针对安全事件的远程和现场的紧急响应能力,获得中国信息安全认证中心颁发的一级应急处理服务资质证书
检测能力
事件分析功能要求采用高级模式匹配及先进的协议分析技术对网络数据包进行分析。协议覆盖面广,事件库完备,能够对缓冲区溢出、网络蠕虫、木马软件、间谍软件、SQL注入等各种攻击行为进行检测。支持对国内常见木马/p2p/IM/网络游戏以及其他违规行为的控制。
具备碎片重组、TCP流重组、统计分析能力;具备分析采用躲避入侵检测技术的通信数据的能力;具有网络蠕虫病毒检测功能。
支持完善的会话管理功能,可实时查看当前会话,支持根据源地址、目的地址、端口号或协议类型查询会话,支持会话临时阻断功能,支持基于主机的会话限制功能;支持免客户端的用户本地认证功能,用户必须在经过设备认证后才能访问特定网络;
支持通过应用层检测来阻断或控制P2P下载,如BitTorrent、BitComet、eMule等;可单独设定P2P下载占用的带宽;支持通过应用层检测来阻断流媒体应用,如PP-live、QQ直播等;可单独设定流媒体占用的带宽;支持通过应用层检测来阻断即时通信软件登录,如QQ、MSN等;支持针对QQ和MSN用户名称的黑白名单功能;支持通过应用层检测来阻断股票软件登录,如大智慧、钱龙等;支持通过应用层检测来阻断网络游戏,如联众、QQ游戏等;
机房入侵防御系统(IPS)技术参数及要求
指标体系
指标项
硬件指标
引擎为标准机架式硬件设备;可扩展至支持双路IPS接入模式。
*采用专用多核CPU平台,非X86架构;并采用专用安全操作系统。支持并配置双电源。(提供相应证明文件)
千兆
可提供最多两路同时的IPS接入方式。(光纤电口可选)另外提供独立的管理电口。
安全功能
对授权用户根据角色进行授权管理,提供用户登录身份鉴别和多次鉴别失败处理;可以严格按权限来进行管理。
要求对用户分级,并能够调整对不同用户的具体权限,提供不同的操作。对各级权限的用户行为进行审计。对控制台与探测引擎之间的数据通信及存储进行加密、完整性检查和基于RSA(1024位)的身份鉴别处理;防护引擎采用固化模块(包含软硬件),专有操作系统,引擎透明模式接入,在网络中实现自身隐藏及带外管理。
具备强大的规则自定义功能,应向用户提供自定义功能接口,能够定义包含:http\pop3\smtp\tns\tds\smb\bt等30种以上的应用协议而不仅限于tcp\udp\icmp\ip等常用协议,能够提供详细的协议分析变量。
采用基于行为分析的检测技术,对0day攻击能够很好防范。具备强大的协议自识别功能,用户无需手工指定协议和端口绑定关系,就能够正确分析和判断是否具有攻击,无漏报和误报。
提供对入侵防御事件的全中文解释
支持软件bypass功能,在下发策略等操作时,不会影响网络通讯。
提供动态策略调整功能,对一些频繁出现的低风险事件,自动调整其响应方式。
报警功能
应提供按照源地址、目标地址、网段进行的事件合并,避免事件风暴的产生。
应支持下列实时响应方式:屏幕报警,声音报警,邮件报警,通过SNMP协议远程报警,实时切断非法连接,调整网络配置,执行用户指定的操作。
网页过滤功能
支持基于URL的网页过滤,支持基于页面关键字的网页过滤,支持基于黑白名单的网页过滤;支持对网页中的Java Applet、Cookie、Script及Object进行过滤;支持禁止特定文件下载功能。
路由功能
支持静态路由、动态路由和策略路由;静态路由可指定出接口及Metric值;动态路由支持RIPv1/v2及OSPF,支持带权重的OSPF路由重发布;策略路由支持基于源地址、目的地址、源接口、服务类型、时间等条件设置报文的下一跳。
可扩展病毒模块使用许可,加入模块后支持对HTTP、FTP、SMTP、POP3、IMAP、MSN协议的病毒检测和过滤功能;支持对文件感染型病毒、蠕虫病毒、脚本病毒、宏病毒、木马、恶意/灰色软件等的过滤,病毒库数量不少于15万,提供病毒库界面截图;入侵防御事件库事件数量不少于2000条;提供事件库界面截图;支持病毒库自动升级和手工导入,升级频率至少确保每周一次,需在厂商主页提供病毒库更新包下载;对于HTTP协议和邮件协议,提供信息替换功能,用以通知用户病毒被阻断,管理员可以自行设置替换信息;
管理功能
应具备集中控制、集中管理功能,可实现集中式安全监控管理和配置管理。要求支持带外管理(OOB)功能,可以通过专用管理口,进行引擎管理,解决远程应急管理的需求。
各组件间(管理平台与引擎等)使用加密信道通信;简便易用的GUI管理界面,要求能够对显示窗口进行自定义,做到只显示需要关注的内容。
具有设备的拓扑显示功能,可以在界面上以图形化的方式显示当前的部署拓扑。同时支持多个用户监测台的设置,支持至少8个以上的多用户监测台设置。
产品资质
必须是具有自主知识产权的国产产品,获得如下资质证书:
计算机信息系统安全专用Байду номын сангаас品销售许可证
国家信息安全认证产品型号证书!
涉密信息系统产品检测证书
计算机软件著作权登记证书
要求:完全国内自主知识产权,全中文管理界面、事件描述以及相关产品配套文档。
要求产品为市场第一品牌(提供相应证明文件)
生产厂商资质
日志功能
应支持多种数据库类型,包括:MSDE、SQL SERVER,支持独立的日志数据库部署。同时提供专门的数据库维护功能,要求能够按照事件上报的日期时间和风险等级、引擎来源等对日志数据库进行删除、转储等操作。
具备自定义报表功能,支持交叉统计和多元组合查询详细事件,支持导出为WORD\EXCEL\PDF\HTML等常用公文处理格式。
支持内置的BYPASS功能,保证在意外掉电的状况下可以保证网络直通能力,无须外置其他硬件设备。
策略功能
应提供按照检测对象、攻击类型等分类的默认内置检测模版,且默认模版不可修改;提供向导化的策略编制方式,提供合、并、交等策略集操作。
提供用户默认阻断事件、可选阻断事件和不可选阻断事件三大类不同的事件分类。
要求企业通过CMMI3;《涉及国家秘密的计算机信息系统集成资质证书(甲级);《国家信息安全认证信息安全服务资质证书(安全工程类二级)》;《计算机信息系统集成资质二级》;厂商具备针对安全事件的远程和现场的紧急响应能力,获得中国信息安全认证中心颁发的一级应急处理服务资质证书
检测能力
事件分析功能要求采用高级模式匹配及先进的协议分析技术对网络数据包进行分析。协议覆盖面广,事件库完备,能够对缓冲区溢出、网络蠕虫、木马软件、间谍软件、SQL注入等各种攻击行为进行检测。支持对国内常见木马/p2p/IM/网络游戏以及其他违规行为的控制。
具备碎片重组、TCP流重组、统计分析能力;具备分析采用躲避入侵检测技术的通信数据的能力;具有网络蠕虫病毒检测功能。
支持完善的会话管理功能,可实时查看当前会话,支持根据源地址、目的地址、端口号或协议类型查询会话,支持会话临时阻断功能,支持基于主机的会话限制功能;支持免客户端的用户本地认证功能,用户必须在经过设备认证后才能访问特定网络;
支持通过应用层检测来阻断或控制P2P下载,如BitTorrent、BitComet、eMule等;可单独设定P2P下载占用的带宽;支持通过应用层检测来阻断流媒体应用,如PP-live、QQ直播等;可单独设定流媒体占用的带宽;支持通过应用层检测来阻断即时通信软件登录,如QQ、MSN等;支持针对QQ和MSN用户名称的黑白名单功能;支持通过应用层检测来阻断股票软件登录,如大智慧、钱龙等;支持通过应用层检测来阻断网络游戏,如联众、QQ游戏等;
机房入侵防御系统(IPS)技术参数及要求
指标体系
指标项
硬件指标
引擎为标准机架式硬件设备;可扩展至支持双路IPS接入模式。
*采用专用多核CPU平台,非X86架构;并采用专用安全操作系统。支持并配置双电源。(提供相应证明文件)
千兆
可提供最多两路同时的IPS接入方式。(光纤电口可选)另外提供独立的管理电口。
安全功能
对授权用户根据角色进行授权管理,提供用户登录身份鉴别和多次鉴别失败处理;可以严格按权限来进行管理。
要求对用户分级,并能够调整对不同用户的具体权限,提供不同的操作。对各级权限的用户行为进行审计。对控制台与探测引擎之间的数据通信及存储进行加密、完整性检查和基于RSA(1024位)的身份鉴别处理;防护引擎采用固化模块(包含软硬件),专有操作系统,引擎透明模式接入,在网络中实现自身隐藏及带外管理。
具备强大的规则自定义功能,应向用户提供自定义功能接口,能够定义包含:http\pop3\smtp\tns\tds\smb\bt等30种以上的应用协议而不仅限于tcp\udp\icmp\ip等常用协议,能够提供详细的协议分析变量。
采用基于行为分析的检测技术,对0day攻击能够很好防范。具备强大的协议自识别功能,用户无需手工指定协议和端口绑定关系,就能够正确分析和判断是否具有攻击,无漏报和误报。
提供对入侵防御事件的全中文解释
支持软件bypass功能,在下发策略等操作时,不会影响网络通讯。
提供动态策略调整功能,对一些频繁出现的低风险事件,自动调整其响应方式。
报警功能
应提供按照源地址、目标地址、网段进行的事件合并,避免事件风暴的产生。
应支持下列实时响应方式:屏幕报警,声音报警,邮件报警,通过SNMP协议远程报警,实时切断非法连接,调整网络配置,执行用户指定的操作。
网页过滤功能
支持基于URL的网页过滤,支持基于页面关键字的网页过滤,支持基于黑白名单的网页过滤;支持对网页中的Java Applet、Cookie、Script及Object进行过滤;支持禁止特定文件下载功能。
路由功能
支持静态路由、动态路由和策略路由;静态路由可指定出接口及Metric值;动态路由支持RIPv1/v2及OSPF,支持带权重的OSPF路由重发布;策略路由支持基于源地址、目的地址、源接口、服务类型、时间等条件设置报文的下一跳。