1.2.10 用户权限管理
(1)审计员、用户管理员和系统管理员三种用户类型; (2)支持多管理员同时管理; (3)支持分级的用户权限设置; (4)支持管理员权限实时更改
1.2.11 系统的日志和审计功能
(1)有完整的审计日志; (2)审计日志可以导出;
(3)有详细的组件运行和状态日志; (4)支持系统日志和审计日志的统计查询; (5)支持以邮件、snmp trap方式发送系统日志。
1.2.12 入侵检测自身安全指标
(1)应支持使用透明方式进行部署,监听端口支持隐秘模式,无需IP地址和进行网络配置;
(2)各个系统组件之间的通讯应采用加密方式,并采用PKI认证; (3)IDS系统采用无shell的安全操作系统,除必要通讯端口外无其他端口开放;
(4)支持证书认证机制。
1.2.13 第三方产品集成要求
(1)提供开放数据库的表结构和架构,方便用户使用第三方报表系统生成所需要的报表,或者作进一步的数据分析。
(2)支持Syslog, EMAIL等方式进行报警。
1.3 安全网闸
根据系统组建要求,在控制专网、业务内网、业务外网等三网之间通过安全
网闸进行连接,实现数据互通。安全网闸部署在XX干线公司与穿黄现地站管理处(备调中心),共计7台。
1.3.1 基本要求
(1) 要求为硬件物理隔离,具备硬件物理隔离部件,系统采用“2+1”架构设计,包括内端机、外端机和独立的硬件隔离信息交换区。
(2) 采用专用隔离芯片设计,不支持通用通讯协议,不可编程,隔离区包含基于ASIC设计的电子开关隔离芯片,不采用SCSI、网卡以及任何加/解密等方式。隔离区信息交换采用DMA方式实现。
(3) 设备断开内外网网络TCP/IP连接。
(4) 系统带宽:>600Mbps,内部交换带宽>5Gbps。
(5) 接口要求:4个10/100/1000M以太网接口;一个RS232串行控制接口。 (6) 系统性能:并发连接会话数 >20000。 (7) 系统延时:<1ms。 (8) 电源冗余“1+1”。
1.3.2 能力要求
(1)应用支持:全面支持TCP/IP以上应用层协议,包括HTTP、SMTP/POP3、DNS、FTP、Telnet、SSH、各类数据库、MQ、MMS、NFS等,无需二次开发。
(2)文件数据交换方式,交换硬件对外不开放任何服务端口。 (3)以主动查询方式访问内外网的FTP服务器进行文件交换。
(4)访问控制:支持多种方式的访问控制,包括源IP地址、目的IP、子网、时间、时间端口、内容过滤。
(5)WEB保护功能,内置Web ApplicationTM网站保护功能,能够实现以下保护功能:
① 对网站目录、文件、动态脚本、WEB service实现访问控制; ② 对Cookie实现签名保护; ③ 对用户输入参数进行过滤;
④ 对URL串的字符类型、长度、字段等实现过滤; ⑤ 基于特征库的漏洞扫描; ⑥具有智能的规则学习功能。
(6)上网用户身份认证功能,严格控制上网用户,采用专用VIIE认证客户端浏览网页,用户列表存储在网闸设备上,未经授权的用户和使用普通IE浏览器的用户无法上网。
(7)邮件收发身份认证,严格控制邮件收发,采用专用VIMAIL邮件客户端,对收发邮件的用户实现身份认证,用户列表存储在网闸设备上,未授权的用户和使用普通OUTLOOK、FoxMail等邮件客户端的用户无法上网正常收发邮件。
(8)IP/MAC地址绑定,支持4096个以上的IP+MAC绑定的客户端访问控制。 (9)支持单/双向通讯控制,支持单、双向可选的访问控制。 (10)日志与审计支持:
系统可存储和审计包含:①系统日志;②管理日志;③网络活动日志;④入侵报警及处理日志;⑤访问控制日志。
1.3.3 安全可靠及管理要求
(1)高可用性:双机热备功能,无需第三方软件支持内置双机热备功能。 (2)基于应用层协议的连接数控制 系统可为特定应用层协议预留连接数资源。
(3) 设备故障检测与报警,要求系统管理平台和硬件液晶显示面板均可对硬件故障提示报警,包括通讯故障、硬件故障、软件故障。
(4)系统管理:要求集中设备管理系统,支持PKI安全认证、加密方式的远程管理,支持基于角色管理员分级管理。
(5)图形化网络行为监控:管理平台采用图形化的网络行为监控,可实时监控网络流量、并发连接数、违反规则尝试次数等统计信息。
(6)操作系统:采用经过安全加固的Linux操作系统。
1.4 WEB应用防火墙
1.4.1 基本架构
产品要求为一体化硬件产品,支持串接或旁路方式部署;
接口要求:网络接口10/100/1000M以太网电口不少于2个;管理接口1个。RS232串口1个。
1.4.2 HTTP 请求的过滤功能
(1)可以根据HTTP的请求类型(OPTIONS、GET、HEAD、POST、PUT、DELETE、TRACE、CONNECT)允许或者禁止。
(2)支持对HTTP协议头的各部分长度进行设置,防止缓冲区溢出攻击。 (3)支持对所请求的URL中所包含的关键字进行过滤。包括编码类型和特殊字符串,比如SQL关键字和用于测试漏洞的构建的表达式等。
(4)支持对所请求的WEB服务器文件后缀名进行过滤。包括.RAR/.ASP/.JPG等类型,根据需要可定制过滤。
(5)对返回的敏感信息(安装路径、数据库类型及版本等)、错误信息能进行定义和识别,并过滤,避免暴露给恶意攻击者获取到。
(6)能够支持动态和静态网页。
(7)支持HTTP 各种版本,包括HTTP 0.9/1.0/1.1
(8)支持Cookie 安全设置,支持 v0 和v1类型的Cookie 类型,支持对 Cookie 加密,支持设置 Cookie 为HTTP only 模式。
(9)支持多种编码格式,包括16进制、十进制、二进制等,对不同编码的报文能进行识别和转换。
(10)识别和限制HTTP 返回码,包括多种HTTP返回码的识别和限制。 (11)可限制使用HTTP 方法,包括客户端使用的 HTTP 数据传输方法(OPTIONS、GET、POST 、PUT、HEAD、DELETE、TRACE、CONNECT)。 1.4.3 安全防护功能
(1)网络层防护功能,管理员能根据需求制定网络层的ACL控制,能对TCP
Flood、HTTP Flood 等DOS 攻击进行防护,应检测不仅仅是针对交换机的ARP 欺骗、ARP Flood 攻击,并能进行防护。
(2)Web 服务器防护功能,可以实现对主流的Web服务器漏洞进行防护,例如IIS/Apache/Resin/Weblogic;并实现对主流的脚本语言软件进行防护,例如ASP.NET/Java/PHP。
(3)Web 应用的防护功能,应具备URL访问控制功能,可对指定的网页进行访问控制,应具备SQL注入攻击防护功能,应具备跨站脚本攻击防护功能。
(4) 应具备盗链防护功能。自动识别盗链行为,并根据配置的动作(包括接受、阻断、转发等)进行响应。
(5)应具备扫描防护功能,应识别扫描行为阻断扫描工具的探测。
(6) 应具备爬虫防护功能,识别爬虫行为并根据需求进行相应的动作(接受、阻止等)。
(7) 应具备CSRF防护功能,应能支持对自选的URL配置防护CSRF攻击。 (8)具备对敏感信息或非法内容设置自定义关键字过滤。 (9) 应具备对网页木马检测和过滤功能。 1.4.4 产品管理及审计功能
(1)规则库管理
用户能添加、删除、修改自定义规则。 具有内置的预设模板。 (2) 审计日志
a) 审应包括所有被过滤的事件。
b) 每个事件发生的日期、时间,对方IP 地址,所请求的URL,所匹配的规则。
c) 记录对网页访问次数。 (3) 日志管理功能
应提供对审计事件的清空、备份、查询功能。 (4) 可理解的格式
所有审计事件应包括时间、客户端类型、所请求的资源和参数、访问的方法