网络入侵检测系统及安全审计系统技术规范.docxVIP

网络入侵检测系统及安全审计系统 技术规范 （专用部分）   PAGE \* MERGEFORMAT15 1 项目需求部分 1.1 基本要求 根据国能安全【2015】36号（国家能源局关于印发《电力监控系统安全防护总体方案》等安全防护方案和评估规范的通知）的要求：生产控制大区可以统一部署一套入侵检测系统（IDS），应当合理设置检测规则，及时捕获网络异常行为，分析潜在威胁，进行安全审计；生产控制大区应当具备安全审计功能，可以对网络运行日志、操作系统运行日志、数据库重要操作日志、业务应用系统运行日志、安全设置运行日志等进行集中收集、自动分析，及时发现各种违规行为以及病毒和黑客的攻击行为。对于远程用户登录到本地系统中的操作行为，应该进行严格的安全审计。 1.2 技术要求 1.2.1 入侵检测系统（IDS） 机种：百兆机架式硬件设备； 监听端口/数量：10/100Base-TX，总数≥2。 语言支持要求：支持全中文的操作界面以及中文详细的解决方案报告。 入侵检测能力 1）支持深度协议识别，能够监测基于Smart Tunnel方式伪造和包装的通讯。 2）支持70种以上的协议异常检测，能够对违背RFC的异常通讯进行报警。 3）内置智能攻击结果分析，在入侵检测的平台上，无需使用外部的工具（如扫描器）就能够准确检测和验证攻击行为成功与否。 4）产品的知识库全面，至少能对目前网络中主流的攻击行为进行检测，规则库检测攻击的性能领先、规则更新快，至少能够做到一周一次检测模块的更新；升级过程不停止监测过程；事件库与CVE兼容。 5）支持所有部件包括引擎、控制台、规则库在内的实时升级，引擎支持串口，控制台两种升级方式。 6）在同一入侵检测平台上即可对所监控流量按照不同的协议类型进行排序和监控，并进行方便直观的图形输出。 7）能够对http、ftp、smtp、pop、telnet等常用协议进行连接回放；支持对P2P协议的解码和流量排序，包括（BitTorrent、MSN等）。 性能要求 每秒并发TCP会话数≥100000。 最大并发TCP会话数≥200000。 最大包捕获和处理能力≥200Mb。 管理能力 1）产品的所有的告警和流量信息都可以实时的汇总到监控中心，支持集中式的探测器管理、监控和入侵检测分析。 2）支持控制台与探测器的双向连接。 3）控制台支持任意层次的级联部署，上级控制台可以将最新的升级补丁、规则模板文件、探测器配置文件等统一发送到下级控制台，保持整个系统的完整统一性。 4）能够提供多种响应方式，包括控制台告警、Email、记录、切断连接、以及执行用户自定义行为。支持主流防火墙联动。 日志与报告能力 1）支持日志缓存，在探测引擎的网络完全断开的情况下，探测引擎仍然会将检测到的攻击行为在探测器本地保存，等到网络恢复正常自动的同步到控制台或日志数据库。不会出现网络断开而丢失告警信息的情况。 2）具备对反IDS 攻击技术的防护能力。 3）报表系统可以自动生成各种形式的攻击统计和流量统计报表，形式包括日报表，月报表，年报表等，通过来源分析，目标分析，类别分析等多种分析方式，以直观、清晰的方式从总体上分析网络上发生的各种事件，为管理人员提供方便。 4）对发现的攻击行为应该记录到典型数据库中，并提供基于时间、事件、风险级别等组合的分析功能，并且可以产生各种图片、文字的报告形式。无需安装任何第三方软件支持输出到通用的HTML、JPG、WORD、EXCEL等格式文件。 必须满足的国家相关标准及规范 通过以下国家权威部门的认证：包括《公安部的销售许可证》、《国家信息安全测评认证中心认证》、《涉密信息系统产品检测证书》以及《军用信息安全产品认证》等。 1.2.2 安全审计系统 机种：百兆机架式硬件设备； 产品规格：采用专用安全操作系统、支持Console口管理、存储容量≥2TB。 运行环境及使用界面 系统应采用B/S架构，管理员只需浏览器即可连接到系统进行各种操作。产品要求集成数据库，无需再独立安装数据库系统，亦无须对数据库进行专门的维护。产品应具备客户端浏览器兼容性。 管理范围 能对网络设备、安全设备和系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警等安全信息进行全面的审计。 采集方式 无需另外安装软件组件，审计中心即可通过FTP、HTTP、SMTP/POP3、TELNET、 SNMP Trap、Syslog、ODBC\JDBC、文件\文件夹、WMI、SFTP、NetBIOS、OPSEC等多种方式完成日志收集功能；允许用户安装独立的日志采集器通过上述方式采集日志并转发给审计中心；允许用户在被采集节点上安装日志代理采集日志并转发给日志采集器或者审计中心；审计中心可以支持多个日志