方正入侵检测系统NIDS-C指标参数.docVIP

指标参数 注：加“★”为必须满足项。 指标项 指标要求 ★产品资质 必须具有我国自主知识产权，获得计算机信息系统安全专用产品销售许可证（公安部）、涉密信息系统产品检测证书（国家保密局）、中国国家信息安全产品认证证书（中国信息安全认证中心）、军用信息安全产品认证证书（中国人民解放军信息安全评测中心）、计算机软件著作权证书（中华人民共和国国家版权局）、自主创新产品证书等，需提供以上所有证书的复印件并加盖厂商公章； ★硬件形态 1U机架，4个标准100Base-TX接口，，监听口与管理口分开，监听口数量≥3； 产品形态 产品应提供中文图形界面的管理中心软件； 网络入侵检测引擎为集成化的硬、软件平台,一个管理中心可以同时管理多个引擎； 入侵检测控制台可以实时监控探测引擎工作状态； 入侵检测系统能够实现分布式集中管理部署方式，形成统一协调管理的多层分级管理结构。 ★入侵检测能力 产品支持IP碎片重组，支持TCP流重组。 产品应采用基于会话的检测方式 产品应支持模式匹配、统计分析等分析技术，提供基于规则、行为分析、内容分析的检测方法。 产品应能检测多种类型的攻击行为。 产品可对多种网络协议进行分析，至少支持以下常见协议：ip、icmp、 tcp、udp、http、smtp、pop3、dns、finger、ftp、telnet、tftp、irc、login、netbios、snmp、ssh等； 产品能够对SSL会话进行分析 产品应具有蠕虫检测功能 产品应具备反IDS攻击技术,如stick 攻击、whisk，以及IP分片攻击等 ★入侵检测策略 产品应具备至少提供几种缺省检测策略集，以适应多样的网络环境，应提供多种灵活的手段允许用户定制合适的应用策略集。 产品可针对企业内部网络资产和内外可疑主机按服务类型、时间、响应方式等设置不同的检测策略 产品支持用户对网络安全事件自定义和定制功能，对各种非法网络应用进行定义检测。 ★入侵检测规则 入侵检测规则库的种类和数量能够覆盖常用的攻击方法和手段，规则数量2800个； 具有清晰的详细攻击划分和描述，能够识别各种黑客攻击或入侵的方法和手段，如扫描、后门、恶意代码、拒绝服务等。 产品应提供设定需要保护的网络地址范围的能力，以提高入侵检测的效率和准确性； 入侵检测的规则与国际上标准的漏洞库CVE、bugtraq等保持兼容。 ★报警与响应 产品应提供多种响应方式，并可以根据网络状况动态调整策略的响应方式。 产品应具备与本项目防火墙联动的能力，与防火墙同一品牌； ★监控功能 产品应提供多种实时的监控信息如：邮件监控、MSN控制、文件传输等。 入侵检测控制台可提供多种窗口形式显示不同类别监控信息 入侵检测控制台可以实时监控探测引擎工作状态； 提供会话监控功能 支持监控网络中常见应用服务事件检测，包括：WEB应用、IM通讯软件、BT下载、各种网络游戏、炒股软件等； 产品支持自定义窗口，管理员可定义不同的窗口监控不同级别的报警。 产品应具有引擎宕机监控功能，若引擎宕机，可以通过邮件、短信报警 IP盗用监控 可对网络中重要的服务器运行状态进行实时监控。 控制台报警 报警事件可按实时事件和历史事件进行查看，并以事件种类、入侵源地址、入侵目标地址等进行显示。 产品应将事件按照不同的风险级别进行分类，并可对不同风险级别事件用不同颜色进行分类显示。 产品探测引擎支持缓冲报警信息功能。当报警信息过多时，或控制台出现问题时，报警信息缓存在探测引擎 数据库功能 报警事件可以记录到数据库中，并且应支持多种数据库； 支持通过控制台对数据库中的记录提供备份、删除、合并； 支持通过控制台自动备份和删除数据。 报表功能 支持根据不同的风险级别、攻击事件、地址、入侵时间段等内容，生成不同的统计报表和明细报表； 系统支持用户自定义新的报表，报表可以直接打印，报表可以导出为其它文件格式。 产品升级 厂商应及时提供检测规则库的升级包，使系统能够侦测新的入侵行为，规则库升级周期不大于五个工作日； 规则库升级方便，可以在线（INTERNET）升级，也可以从INTERNET上下载后升级； ★产品自身安全性要求 产品可对管理用户进行权限划分，针对不同用户权限，提供不同的操作； 网络探测器的监听网口不带IP地址，管理网口不对外开放端口； 网络引擎与控制台之间采用加密方式通讯、并且可以相互认证； 入侵检测系统应提供自身安全审计功能； 服务要求 生产厂家必须具有国家信息安全认证的信息安全服务资质证书二级以上，要求年免费升级及维护