1网络安全设备主要性能要求和技术指标要求1.1防火墙用于控制专网、业务内网和业务外网，控制专网、业务内网部署在XX干线公司、穿黄现地管理处（备调中心），每个节点各2台；业务外网部署在XX干线公司1台，共计9台。

要求如下：1.2入侵检测系统（IDS）根据系统组建需要，控制专网、业务内网、业务外网均部署入侵检测系统（IDS），共需6套。

（1）控制专网：部署在XX干线公司及穿黄现地管理处（备调中心），每个节点各1套，共2套；（2）业务内网：部署在XX干线公司及穿黄现地管理处（备调中心），每个节点各2套，共4套；1.2.1 产品规格及性能指标要求（1）支持10/100/1000BASE-SX/1000BASE-T以太网接口，千兆接口不小于2个(提供的配置中至少包含两个GE多模850nm波长光模块)；（2）能监控的最大TCP并发连接数不小于120万；（3）能监控的最大HTTP并发连接数不小于80万；（4）连续工作时间（平均无故障时间）大于8万小时；（5）吞吐量不小于2Gbps。

（6）控制台服务器性能不低于“5服务器主要性能要求和技术指标要求”中的要求。

1.2.2 部署和管理功能要求(1)传感器应采用预定制的软硬件一体化平台；(2)入侵检测系统管理软件采用多层体系结构；(3)组件支持高可用性配置结构，支持事件收集器一级的双机热备；(4)各组件支持集中式部署和大型分布式部署；(5)大规模分布式部署支持策略的派发，即上级可将策略强制派发到下级，以确保整个系统的检测签名的一致性；(6)可以在控制台上显示并管理所有组件，并且所有组件之间的通讯均采用加密的方式；(7)支持以拓扑图形式显示组件之间的连接方式；(8)支持多个控制台同时管理，控制台对各组件的管理能力有明确的权限区别；(9)支持组件的自动发现；(10)支持NAT方式下的组件部署；(11)支持IPv6下一代通信网络协议的部署和检测。

1.2.3 检测能力要求(1)支持基于状态的协议分析技术并能按照RFC的规范进行深入细致的协议检测，准确的识别协议的误用和滥用；(2)支持协议异常检测，协议分析和特征匹配等多种检测方式，能够检测到未命名的攻击；同时支持UNICODE解析、应用层协议状态跟踪、连接状态跟踪，辅以模式匹配、异常检测等手段来有效降低误报和漏报率，提高检测精度；(3)产品应具备对Split、Injection等IDS逃避技术的检测和识别能力；(4)能对每一个攻击进行详尽的过程状态量定义，使得IDS可以拥有最低的误报率和最小的漏报率。

(5)提供灵活的参数定制，比如全局的用户黑名单、违法IP、违法命令等；(6)产品应具备IP碎片重组与TCP流重组功能；(7)产品应具备抗编码变形逃避的能力；(8)产品应具备抵抗事件风暴和欺骗识别的能力；(9)支持自定义网络中TCP连接的超时等待时间，防止IDS被拒绝服务攻击；(10)支持网络活动审计功能；(11)支持主动识别目标主机的操作系统；(12)支持设定网络访问规则，根据访问行为的源、目的地址，访问类型等特征确定该访问行为是否合法，对不符合安全规则的TCP的会话连接实现阻断；(13)传感器具备多端口智能关联和分析技术；以及对非对称路由网络结构的检测能力，使得IDS系统能够适应复杂的高可用性网络。

1.2.4 系统升级能力要求(1)支持在线升级签名库，在线升级的通讯过程采用加密方式；(2)支持非在线升级签名库；(3)如遇突发情况，厂商应提供应急式升级服务；(4)升级过程中，传感器可以继续工作。

1.2.5 检测策略管理要求(1)提供检测策略模板，并可针对不同的网络环境派生新的策略，方便用户根据实际情况定制适合企业自身环境的安全策略；(2)支持对签名库按照多种方式进行分类管理；(3)每个签名有详尽的中文标注说明；(4)容易启用/关闭一个或一类的签名；(5)支持对签名的参数进行调节，以适用不同用户的网络环境；(6)提供开放的检测签名编写语言平台，能够根据客户需求提供检测签名定制服务；或提供培训，使得客户能够自行对特殊协议定制检测签名；(7)支持检测策略的导入导出。

1.2.6 攻击响应方式要求(1)支持显示到控制台；(2)支持记录到数据库；(3)支持邮件通知；(4)支持SNMP trap；(5)支持syslog响应方式；(6)支持用户自定义的响应方式；(7)支持与多种主流防火墙（例如： cisco、netscreen、checkpoint、Nokia 等）进行联动；(8)支持记录事件的详细内容，包括日期、时间、源地址、目的地址、描述以及事件相关的原始数据；(9)告警事件支持网络管理系统的联动分析管理。

1.2.7 事件的关联和显示要求(1)产品具备事件合并的功能，并且用户可以灵活的开启或关闭；(2)支持符合设定条件的一条事件重新命名；(3)支持将相互关联的一组事件重新命名；(4)将符合条件的多条事件归并为一条在控制台显示；(5)支持告警邮件中的事件归并；(6)事件合并的参数可以灵活调整，打开事件合并功能不会遗漏事件；(7)支持实时的事件统计功能；(8)支持设定的条件过滤实时显示的事件；(9)支持按照源地址、目的地址、事件名称和传感器名称分类显示实时事件。

1.2.8 事件的存储和管理能力要求(1)支持的数据库类型包括SQL server等大型关系型数据库；(2)数据库容量无限制（不考虑硬件限制）；(3)支持按条件查询提取事件；(4)支持数据备份；(5)可显示数据库使用情况；(6)网络中断的情况下事件可以存储在传感器本地，网络正常后可以回复事件的传送。

1.2.9 报表生成功能要求(1)支持数据的统计分析、查询和报告生成。

(2)支持深度数据分析，统计或查询的结果均可以作为数据源进行进一步的数据分析，数据查询和数据统计的结果可以作为综合报告的一部分；(3)提供多种统计模板；(4)提供多种数据分析模板；(5)支持生成组件的运行状态统计曲线图；(6)支持生成以某一时间段为限定条件的事件统计查询报表；(7)支持生成以某一攻击事件为限定条件的事件统计查询报表；(8)支持生成以攻击源地址为限定条件的事件统计查询报表；(9)支持生成以攻击目标地址为限定条件的事件统计查询报表；(10)支持生成以探测到攻击的传感器为限定条件的事件统计查询报表；(11)支持生成以风险级别分类为限定条件的事件统计查询报表；(12)支持生成以服务分类为限定条件的事件统计查询报表。

1.2.10 用户权限管理(1)审计员、用户管理员和系统管理员三种用户类型；(2)支持多管理员同时管理；(3)支持分级的用户权限设置；(4)支持管理员权限实时更改1.2.11 系统的日志和审计功能(1)有完整的审计日志；(2)审计日志可以导出；(3)有详细的组件运行和状态日志；(4)支持系统日志和审计日志的统计查询；(5)支持以邮件、snmp trap方式发送系统日志。

1.2.12 入侵检测自身安全指标(1)应支持使用透明方式进行部署，监听端口支持隐秘模式，无需IP地址和进行网络配置；(2)各个系统组件之间的通讯应采用加密方式，并采用PKI认证；(3)IDS系统采用无shell的安全操作系统，除必要通讯端口外无其他端口开放；(4)支持证书认证机制。

1.2.13 第三方产品集成要求（1）提供开放数据库的表结构和架构，方便用户使用第三方报表系统生成所需要的报表，或者作进一步的数据分析。

（2）支持Syslog， EMAIL等方式进行报警。

1.3安全网闸根据系统组建要求，在控制专网、业务内网、业务外网等三网之间通过安全网闸进行连接，实现数据互通。

安全网闸部署在XX干线公司与穿黄现地站管理处（备调中心），共计7台。

1.3.1 基本要求(1) 要求为硬件物理隔离，具备硬件物理隔离部件，系统采用“2+1”架构设计，包括内端机、外端机和独立的硬件隔离信息交换区。

(2) 采用专用隔离芯片设计，不支持通用通讯协议，不可编程，隔离区包含基于ASIC设计的电子开关隔离芯片，不采用SCSI、网卡以及任何加/解密等方式。

隔离区信息交换采用DMA方式实现。

(3) 设备断开内外网网络TCP/IP连接。

(4) 系统带宽：>600Mbps，内部交换带宽>5Gbps。

(5) 接口要求：4个10/100/1000M以太网接口；一个RS232串行控制接口。

(6) 系统性能：并发连接会话数 >20000。

(7) 系统延时：<1ms。

(8) 电源冗余“1+1”。

1.3.2 能力要求(1)应用支持：全面支持TCP/IP以上应用层协议，包括HTTP、SMTP/POP3、DNS、FTP、Telnet、SSH、各类数据库、MQ、MMS、NFS等，无需二次开发。

(2)文件数据交换方式，交换硬件对外不开放任何服务端口。

(3)以主动查询方式访问内外网的FTP服务器进行文件交换。

(4)访问控制：支持多种方式的访问控制，包括源IP地址、目的IP、子网、时间、时间端口、内容过滤。

(5)WEB保护功能，内置Web ApplicationTM网站保护功能，能够实现以下保护功能：①对网站目录、文件、动态脚本、WEB service实现访问控制；②对Cookie实现签名保护；③对用户输入参数进行过滤；④对URL串的字符类型、长度、字段等实现过滤；⑤基于特征库的漏洞扫描；⑥具有智能的规则学习功能。

(6)上网用户身份认证功能，严格控制上网用户，采用专用VIIE认证客户端浏览网页，用户列表存储在网闸设备上，未经授权的用户和使用普通IE浏览器的用户无法上网。

(7)邮件收发身份认证，严格控制邮件收发，采用专用VIMAIL邮件客户端，对收发邮件的用户实现身份认证，用户列表存储在网闸设备上，未授权的用户和使用普通OUTLOOK、FoxMail等邮件客户端的用户无法上网正常收发邮件。

(8)IP/MAC地址绑定，支持4096个以上的IP+MAC绑定的客户端访问控制。

(9)支持单/双向通讯控制，支持单、双向可选的访问控制。

(10)日志与审计支持：系统可存储和审计包含：①系统日志；②管理日志；③网络活动日志；④入侵报警及处理日志；⑤访问控制日志。

1.3.3 安全可靠及管理要求(1)高可用性：双机热备功能，无需第三方软件支持内置双机热备功能。

(2)基于应用层协议的连接数控制系统可为特定应用层协议预留连接数资源。

(3) 设备故障检测与报警，要求系统管理平台和硬件液晶显示面板均可对硬件故障提示报警，包括通讯故障、硬件故障、软件故障。

(4)系统管理：要求集中设备管理系统，支持PKI安全认证、加密方式的远程管理，支持基于角色管理员分级管理。

(5)图形化网络行为监控：管理平台采用图形化的网络行为监控，可实时监控网络流量、并发连接数、违反规则尝试次数等统计信息。