等。
(5) 防止审计数据丢失
审计数据应定期备份,并严格控制访问权限。 (6) 用户角色管理功能
系统应具有三种角色,分别为:管理员、审计员和普通用户,分别具有不同用户管理权限。
1.5 漏洞扫描产品
部署在业务内网的XX干线及穿黄现地站管理处(备调中心),共计2套。投标人需提供所安装的硬件服务器,其性能不低于本章第六节“服务器主要性能要求和技术指标要求”中的要求。
1.5.1 基本要求
(1)投标人需明确产品架构,并能支持多级架构的灵活部署。
(2)发现网络设备和主机系统的安全漏洞,并提供安全解决建议;对全网网元进行安全配置基准检查。
(3)产品应可灵活调整物理和网络位置,对网络设备进行扫描。扫描结束后生成详细的安全评估报告。
(4)可以并行地检查多个被评估的系统,能够提供扫描策略定制,可以保证扫描的安全性,不影响应用系统和网络业务的正常运行。
(5)产品应界面友好,所有的图形界面、报警信息、报表与文档、技术资料要求均为简体中文。
(6)产品具有无限IP漏洞扫描能力,并提供相应许可。
1.5.2 产品部署要求
(1)支持多个或多级产品的统一管控。 (2)支持控制中心的多级部署。
(3)支持策略的统一制定和分发,应提供可编辑的策略模板。 (4)支持对全网扫描结果的集中查询、分析。
1.5.3 漏洞扫描能力要求
(1)产品扫描信息应包括主机信息、用户信息、服务信息、漏洞信息等内容。投标人需给出各类扫描信息的详细列表。
(2)产品应支持对扫描对象安全脆弱性的全面检查,如安全补丁、口令、服务配置等。请详细描述针对主机和网络的扫描类别及项目。
(3)产品漏洞库应涵盖目前的安全漏洞和攻击特征,漏洞库具备CNCVE、CVE和BUGTRAQ编号。
(4)应可对Windows系列、Linux、AIX、HPUX、IRIX、BSD、solaris等目标主机的系统进行扫描。
(5)支持SNMP等协议的漏洞检测。投标人需提供支持扫描的网络设备厂商IOS列表。
(6)支持主流数据库的检测,应包括但不限于:Oralce、Sybase、SQLServer、DB2等。
(7)支持Windows域环境扫描,可针对目标主机的系统配置缺陷及漏洞进行扫描。
(8)支持多主机、多线程扫描和断点续扫功能。 (9)支持动态的显示扫描结果和实时的查看扫描结果 (10)产品应能提供扫描IP范围的管理功能。
(11)投标人需说明产品授权方式,产品是否需要与网卡等硬件绑定或需要原厂提供KEY的管理。
1.5.4 报表能力
(1)报告应具有易懂的漏洞描述和详尽的安全修补方案建议,并提供相关的技术站点以供管理员参考。
(2)应可根据角色需求产生灵活的报告格式,支持用户自定义报表和预定义报表;产品应可灵活定制产生各类报表数据的饼图、柱图等图表信息。
(3)扫描报告应可对安全的威胁程度分级,并能够形成风险趋势分析报表和主机间风险对比分析报告。
(4)报表具备导出功能,可以导出不同格式的报表,如Excel、Word等。
1.5.5 扫描策略配置
(1)产品要求提供多种缺省扫描策略,并可按照特定的需求,灵活制定目标对象或目标群组,可以同时应用不同扫描策略,并允许自定义扫描策略和扫描参数。
(2)支持单机扫描、分组扫描和全部扫描的设置。
(3)支持自动定时扫描和多种计划扫描任务管理功能,可按照指定的时间、对象自动扫描,并自动生成报告。
1.5.6 升级、管理
(1)系统应支持自动和人工远程升级。升级内容应包括最新的漏洞库和系统自身的补丁程序。
(2)支持分级、分权管理,能够对不同管理员账号或角色灵活分配扫描任务。
(3)支持策略集中分发。 (4)支持用户的操作审计。
1.6 防DDoS攻击系统
部署在业务外网的XX干线公司节点,共1套。
1.6.1 设备功能要求
投标人应对能够清洗的所有DDoS攻击提供详细列表,并详细说明对应用的控制手段及实现方式。包含但不限于:支持对欺骗与非欺骗的TCP (SYN, SYN-ACK, ACK, FIN, fragments) 、UDP (random port floods, fragments)、ICMP (unreachable, echo, fragments)、(M)Stream Flood及混合类型攻击的防护。对不能清洗的DDoS攻击提供详细说明,并说明能够提供哪些监视和控制手段。
投标人须给出针对每种攻击的防护要求,例如防护方式是流量限制还是过滤,不对相应的正常用户流量造成影响等。
支持特定应用层攻击产品,提供支持的攻击类型列表,并详述其防护原理。 支持对BGP attacks的攻击防护。
系统支持对MPLS VPN , GRE Tunnel 等复杂环境提供DDOS保护。 支持按需保护,能为多个用户服务,能同时保护多个用户,而且DDOS防护设备的放置地点灵活,通过动态的方式牵引清洗DDOS流量。设备支持对用户进行分组防护,不同防护群组可以定义不同的防护策略。
支持冗余设计,投标人应详细说明防止设备故障中断的工作方式和原理。冗余设计是为了最大限度地减少因为设备故障而导致的DDoS保护中断。
产品须具备多台设备旁路集群部署的能力,支持在大攻击流量发生时手动或自动启动集群,保证整个系统可用性;产品支持基于负载均衡的旁路集群模式,并详述其原理。
整体DDOS防护设计必须支持Netflow/CFlow/Netstream、SPAN等监控技术与动态防护策略的全自动解决方案。投标人需详细说明DDOS防护动态设计原理。
系统设计支持BGP+三层策略路由、MPLS VPN核心网络应用与GRE Tunnel 注入,支持MPLS转移/VRF注入。在MPLS核心中,可以使用一个独立的VRF将注入流量从清洁中心传回目标。投标人需详细说明原理。
投标人需列出系统针对每种攻击的异常流量清洗与DDOS过滤的方式与原理,包括过滤,反欺骗,异常识别,协议分析,速率限制等尽可能多的方式方法。
投标人需明确说明攻击检测和保护的响应时间。
系统应支持远程在线更新,系统能够进行策略库远程升级。
使用独立的10/100/1000Mb/s端口作为其管理端口,此管理端口上联到本地IP网设备,实现流量清洗设备与管理服务器之间的IP连接;
投标人应给出流量清洗设备所需要的10/100/1000Mb/s端口的类型(电口或光口)、数量等。
支持交流供电方式。
1.6.2 设备性能要求
投标人须列出单台流量清洗设备或板卡的处理能力,在GRE隧道封装,802.1q,UDP fragment flooding等情况下的性能指标的影响程度。
投标人须列出在SYN 泛洪,ICMP ping泛洪,UDP泛洪,DNS 请求泛洪,TCP 分段泛洪,UDP 分段泛洪等不同攻击类型的攻击处理速度(基于64字节数据包,处理速度定义:各种数据包完成判别后转发性能,每秒能处理数据包的数量)。
投标人须说明单台设备对不同类型攻击的处理能力;
投标人须说明单台设备支持的GRE接口数量、源IP和端口检测能力、支持的TCP代理连接数、时延与抖动等。
1.6.3 设备管理要求
设备的安全特性与配置管理方式支持命令行方式以及Web图形化管理软件两种方式,无需安装专门的客户端管理系统;
系统的远程接入支持通过https和SSH 等加密方式实现, 保证登陆密码以加密方式在网络中传递;
系统具备统一管理平台,在集群部署时支持对多台设备的集中管理,日志收集,运行状态监控,策略下发;
系统应支持攻击日志和网络攻击统计功能,须具备各类DDoS攻击详细记录的能力。
1.7 流量控制系统