网络安全设备主要性能要求和技术指标要求部分资料

1网络安全设备主要性能要求和技术指标要求

1.1防火墙

用于控制专网、业务内网和业务外网，控制专网、业务内网部署在XX干线公司、穿黄现地管理处（备调中心），每个节点各2台；业务外网部署在XX干线公司1台，共计9台。要求如下：

1.2入侵检测系统（IDS）

根据系统组建需要，控制专网、业务内网、业务外网均部署入侵检测系统（IDS），共需6套。

（1）控制专网：部署在XX干线公司及穿黄现地管理处（备调中心），每个节点各1套，共2套；

（2）业务内网：部署在XX干线公司及穿黄现地管理处（备调中心），每个

节点各2套，共4套；

1.2.1 产品规格及性能指标要求

（1）支持10/100/1000BASE-SX/1000BASE-T以太网接口，千兆接口不小于2个(提供的配置中至少包含两个GE多模850nm波长光模块)；

（2）能监控的最大TCP并发连接数不小于120万；

（3）能监控的最大HTTP并发连接数不小于80万；

（4）连续工作时间（平均无故障时间）大于8万小时；

（5）吞吐量不小于2Gbps。

（6）控制台服务器性能不低于“5服务器主要性能要求和技术指标要求”中的要求。

1.2.2 部署和管理功能要求

(1)传感器应采用预定制的软硬件一体化平台；

(2)入侵检测系统管理软件采用多层体系结构；

(3)组件支持高可用性配置结构，支持事件收集器一级的双机热备；

(4)各组件支持集中式部署和大型分布式部署；

(5)大规模分布式部署支持策略的派发，即上级可将策略强制派发到下级，以确保整个系统的检测签名的一致性；

(6)可以在控制台上显示并管理所有组件，并且所有组件之间的通讯均采用加密的方式；

(7)支持以拓扑图形式显示组件之间的连接方式；

(8)支持多个控制台同时管理，控制台对各组件的管理能力有明确的权限区别；

(9)支持组件的自动发现；

(10)支持NAT方式下的组件部署；

(11)支持IPv6下一代通信网络协议的部署和检测。

1.2.3 检测能力要求

(1)支持基于状态的协议分析技术并能按照RFC的规范进行深入细致的协议检测，准确的识别协议的误用和滥用；

(2)支持协议异常检测，协议分析和特征匹配等多种检测方式，能够检测到未命名的攻击；同时支持UNICODE解析、应用层协议状态跟踪、连接状态跟踪，辅以模式匹配、异常检测等手段来有效降低误报和漏报率，提高检测精度；

(3)产品应具备对Split、Injection等IDS逃避技术的检测和识别能力；

(4)能对每一个攻击进行详尽的过程状态量定义，使得IDS可以拥有最低的误报率和最小的漏报率。

(5)提供灵活的参数定制，比如全局的用户黑名单、违法IP、违法命令等；

(6)产品应具备IP碎片重组与TCP流重组功能；

(7)产品应具备抗编码变形逃避的能力；

(8)产品应具备抵抗事件风暴和欺骗识别的能力；

(9)支持自定义网络中TCP连接的超时等待时间，防止IDS被拒绝服务攻击；

(10)支持网络活动审计功能；

(11)支持主动识别目标主机的操作系统；

(12)支持设定网络访问规则，根据访问行为的源、目的地址，访问类型等特征确定该访问行为是否合法，对不符合安全规则的TCP的会话连接实现阻断；

(13)传感器具备多端口智能关联和分析技术；以及对非对称路由网络结构的检测能力，使得IDS系统能够适应复杂的高可用性网络。

1.2.4 系统升级能力要求

(1)支持在线升级签名库，在线升级的通讯过程采用加密方式；

(2)支持非在线升级签名库；

(3)如遇突发情况，厂商应提供应急式升级服务；

(4)升级过程中，传感器可以继续工作。

1.2.5 检测策略管理要求

(1)提供检测策略模板，并可针对不同的网络环境派生新的策略，方便用户

根据实际情况定制适合企业自身环境的安全策略；

(2)支持对签名库按照多种方式进行分类管理；

(3)每个签名有详尽的中文标注说明；

(4)容易启用/关闭一个或一类的签名；

(5)支持对签名的参数进行调节，以适用不同用户的网络环境；

(6)提供开放的检测签名编写语言平台，能够根据客户需求提供检测签名定制服务；或提供培训，使得客户能够自行对特殊协议定制检测签名；

(7)支持检测策略的导入导出。

1.2.6 攻击响应方式要求

(1)支持显示到控制台；

(2)支持记录到数据库；

(3)支持邮件通知；

(4)支持SNMP trap；

(5)支持syslog响应方式；

(6)支持用户自定义的响应方式；

(7)支持与多种主流防火墙（例如： cisco、netscreen、checkpoint、Nokia 等）进行联动；

(8)支持记录事件的详细内容，包括日期、时间、源地址、目的地址、描述以及事件相关的原始数据；

(9)告警事件支持网络管理系统的联动分析管理。

1.2.7 事件的关联和显示要求

(1)产品具备事件合并的功能，并且用户可以灵活的开启或关闭；

(2)支持符合设定条件的一条事件重新命名；

(3)支持将相互关联的一组事件重新命名；

(4)将符合条件的多条事件归并为一条在控制台显示；

(5)支持告警邮件中的事件归并；

(6)事件合并的参数可以灵活调整，打开事件合并功能不会遗漏事件；

(7)支持实时的事件统计功能；

(8)支持设定的条件过滤实时显示的事件；

(9)支持按照源地址、目的地址、事件名称和传感器名称分类显示实时事件。

1.2.8 事件的存储和管理能力要求

(1)支持的数据库类型包括SQL server等大型关系型数据库；

(2)数据库容量无限制（不考虑硬件限制）；

(3)支持按条件查询提取事件；

(4)支持数据备份；

(5)可显示数据库使用情况；

(6)网络中断的情况下事件可以存储在传感器本地，网络正常后可以回复事件的传送。

1.2.9 报表生成功能要求

(1)支持数据的统计分析、查询和报告生成。

(2)支持深度数据分析，统计或查询的结果均可以作为数据源进行进一步的数据分析，数据查询和数据统计的结果可以作为综合报告的一部分；

(3)提供多种统计模板；

(4)提供多种数据分析模板；

(5)支持生成组件的运行状态统计曲线图；

(6)支持生成以某一时间段为限定条件的事件统计查询报表；

(7)支持生成以某一攻击事件为限定条件的事件统计查询报表；

(8)支持生成以攻击源地址为限定条件的事件统计查询报表；

(9)支持生成以攻击目标地址为限定条件的事件统计查询报表；

(10)支持生成以探测到攻击的传感器为限定条件的事件统计查询报表；

(11)支持生成以风险级别分类为限定条件的事件统计查询报表；

(12)支持生成以服务分类为限定条件的事件统计查询报表。