当前位置：搜档网 › 网络安全设备主要性能要求和技术指标要求部分

网络安全设备主要性能要求和技术指标要求部分

1网络安全设备主要性能要求和技术指标要求

1.1防火墙

用于控制专网、业务内网和业务外网，控制专网、业务内网部署在XX干线公司、穿黄现地管理处（备调中心），每个节点各2台；业务外网部署在XX干线公司1台，共计9台。要求如下：

1.2入侵检测系统（IDS）

根据系统组建需要，控制专网、业务内网、业务外网均部署入侵检测系统（IDS），共需6套。

（1）控制专网：部署在XX干线公司及穿黄现地管理处（备调中心），每个节点各1套，共2套；

（2）业务内网：部署在XX干线公司及穿黄现地管理处（备调中心），每个

节点各2套，共4套；

1.2.1 产品规格及性能指标要求

（1）支持10/100/1000BASE-SX/1000BASE-T以太网接口，千兆接口不小于2个(提供的配置中至少包含两个GE多模850nm波长光模块)；

（2）能监控的最大TCP并发连接数不小于120万；

（3）能监控的最大HTTP并发连接数不小于80万；

（4）连续工作时间（平均无故障时间）大于8万小时；

（5）吞吐量不小于2Gbps。

（6）控制台服务器性能不低于“5服务器主要性能要求和技术指标要求”中的要求。

1.2.2 部署和管理功能要求

(1)传感器应采用预定制的软硬件一体化平台；

(2)入侵检测系统管理软件采用多层体系结构；

(3)组件支持高可用性配置结构，支持事件收集器一级的双机热备；

(4)各组件支持集中式部署和大型分布式部署；

(5)大规模分布式部署支持策略的派发，即上级可将策略强制派发到下级，以确保整个系统的检测签名的一致性；

(6)可以在控制台上显示并管理所有组件，并且所有组件之间的通讯均采用加密的方式；

(7)支持以拓扑图形式显示组件之间的连接方式；

(8)支持多个控制台同时管理，控制台对各组件的管理能力有明确的权限区别；

(9)支持组件的自动发现；

(10)支持NAT方式下的组件部署；

(11)支持IPv6下一代通信网络协议的部署和检测。

1.2.3 检测能力要求

(1)支持基于状态的协议分析技术并能按照RFC的规范进行深入细致的协议检测，准确的识别协议的误用和滥用；

(2)支持协议异常检测，协议分析和特征匹配等多种检测方式，能够检测到未命名的攻击；同时支持UNICODE解析、应用层协议状态跟踪、连接状态跟踪，辅以模式匹配、异常检测等手段来有效降低误报和漏报率，提高检测精度；

(3)产品应具备对Split、Injection等IDS逃避技术的检测和识别能力；

(4)能对每一个攻击进行详尽的过程状态量定义，使得IDS可以拥有最低的误报率和最小的漏报率。

(5)提供灵活的参数定制，比如全局的用户黑名单、违法IP、违法命令等；

(6)产品应具备IP碎片重组与TCP流重组功能；

(7)产品应具备抗编码变形逃避的能力；

(8)产品应具备抵抗事件风暴和欺骗识别的能力；

(9)支持自定义网络中TCP连接的超时等待时间，防止IDS被拒绝服务攻击；

(10)支持网络活动审计功能；

(11)支持主动识别目标主机的操作系统；

(12)支持设定网络访问规则，根据访问行为的源、目的地址，访问类型等特征确定该访问行为是否合法，对不符合安全规则的TCP的会话连接实现阻断；

(13)传感器具备多端口智能关联和分析技术；以及对非对称路由网络结构的检测能力，使得IDS系统能够适应复杂的高可用性网络。

1.2.4 系统升级能力要求

(1)支持在线升级签名库，在线升级的通讯过程采用加密方式；

(2)支持非在线升级签名库；

(3)如遇突发情况，厂商应提供应急式升级服务；

(4)升级过程中，传感器可以继续工作。

1.2.5 检测策略管理要求

(1)提供检测策略模板，并可针对不同的网络环境派生新的策略，方便用户

根据实际情况定制适合企业自身环境的安全策略；

(2)支持对签名库按照多种方式进行分类管理；

(3)每个签名有详尽的中文标注说明；

(4)容易启用/关闭一个或一类的签名；

(5)支持对签名的参数进行调节，以适用不同用户的网络环境；

(6)提供开放的检测签名编写语言平台，能够根据客户需求提供检测签名定制服务；或提供培训，使得客户能够自行对特殊协议定制检测签名；

(7)支持检测策略的导入导出。

1.2.6 攻击响应方式要求

(1)支持显示到控制台；

(2)支持记录到数据库；

(3)支持邮件通知；

(4)支持SNMP trap；

(5)支持syslog响应方式；

(6)支持用户自定义的响应方式；

(7)支持与多种主流防火墙（例如： cisco、netscreen、checkpoint、Nokia 等）进行联动；

(8)支持记录事件的详细内容，包括日期、时间、源地址、目的地址、描述以及事件相关的原始数据；

(9)告警事件支持网络管理系统的联动分析管理。

1.2.7 事件的关联和显示要求

(1)产品具备事件合并的功能，并且用户可以灵活的开启或关闭；

(2)支持符合设定条件的一条事件重新命名；

(3)支持将相互关联的一组事件重新命名；

(4)将符合条件的多条事件归并为一条在控制台显示；

(5)支持告警邮件中的事件归并；

(6)事件合并的参数可以灵活调整，打开事件合并功能不会遗漏事件；

(7)支持实时的事件统计功能；

(8)支持设定的条件过滤实时显示的事件；

(9)支持按照源地址、目的地址、事件名称和传感器名称分类显示实时事件。

1.2.8 事件的存储和管理能力要求

(1)支持的数据库类型包括SQL server等大型关系型数据库；

(2)数据库容量无限制（不考虑硬件限制）；

(3)支持按条件查询提取事件；

(4)支持数据备份；

(5)可显示数据库使用情况；

(6)网络中断的情况下事件可以存储在传感器本地，网络正常后可以回复事件的传送。

1.2.9 报表生成功能要求

(1)支持数据的统计分析、查询和报告生成。

(2)支持深度数据分析，统计或查询的结果均可以作为数据源进行进一步的数据分析，数据查询和数据统计的结果可以作为综合报告的一部分；

(3)提供多种统计模板；

(4)提供多种数据分析模板；

(5)支持生成组件的运行状态统计曲线图；

(6)支持生成以某一时间段为限定条件的事件统计查询报表；

(7)支持生成以某一攻击事件为限定条件的事件统计查询报表；

(8)支持生成以攻击源地址为限定条件的事件统计查询报表；

(9)支持生成以攻击目标地址为限定条件的事件统计查询报表；

(10)支持生成以探测到攻击的传感器为限定条件的事件统计查询报表；

(11)支持生成以风险级别分类为限定条件的事件统计查询报表；

(12)支持生成以服务分类为限定条件的事件统计查询报表。

1.2.10 用户权限管理

(1)审计员、用户管理员和系统管理员三种用户类型；

(2)支持多管理员同时管理；

(3)支持分级的用户权限设置；

(4)支持管理员权限实时更改

1.2.11 系统的日志和审计功能

(1)有完整的审计日志；

(2)审计日志可以导出；

(3)有详细的组件运行和状态日志；

(4)支持系统日志和审计日志的统计查询；

(5)支持以邮件、snmp trap方式发送系统日志。

1.2.12 入侵检测自身安全指标

(1)应支持使用透明方式进行部署，监听端口支持隐秘模式，无需IP地址和进行网络配置；

(2)各个系统组件之间的通讯应采用加密方式，并采用PKI认证；

(3)IDS系统采用无shell的安全操作系统，除必要通讯端口外无其他端口开放；

(4)支持证书认证机制。

1.2.13 第三方产品集成要求

（1）提供开放数据库的表结构和架构，方便用户使用第三方报表系统生成所需要的报表，或者作进一步的数据分析。

（2）支持Syslog， EMAIL等方式进行报警。

1.3安全网闸

根据系统组建要求，在控制专网、业务内网、业务外网等三网之间通过安全

网闸进行连接，实现数据互通。安全网闸部署在XX干线公司与穿黄现地站管理处（备调中心），共计7台。

1.3.1 基本要求

(1) 要求为硬件物理隔离，具备硬件物理隔离部件，系统采用“2+1”架构设计，包括内端机、外端机和独立的硬件隔离信息交换区。

(2) 采用专用隔离芯片设计，不支持通用通讯协议，不可编程，隔离区包含基于ASIC设计的电子开关隔离芯片，不采用SCSI、网卡以及任何加/解密等方式。隔离区信息交换采用DMA方式实现。

(3) 设备断开内外网网络TCP/IP连接。

(4) 系统带宽：>600Mbps，内部交换带宽>5Gbps。

(5) 接口要求：4个10/100/1000M以太网接口；一个RS232串行控制接口。

(6) 系统性能：并发连接会话数 >20000。

(7) 系统延时：<1ms。

(8) 电源冗余“1+1”。

1.3.2 能力要求

(1)应用支持：全面支持TCP/IP以上应用层协议，包括HTTP、SMTP/POP3、DNS、FTP、Telnet、SSH、各类数据库、MQ、MMS、NFS等，无需二次开发。

(2)文件数据交换方式，交换硬件对外不开放任何服务端口。

(3)以主动查询方式访问内外网的FTP服务器进行文件交换。

(4)访问控制：支持多种方式的访问控制，包括源IP地址、目的IP、子网、时间、时间端口、内容过滤。

(5)WEB保护功能，内置Web ApplicationTM网站保护功能，能够实现以下保护功能：

①对网站目录、文件、动态脚本、WEB service实现访问控制；

②对Cookie实现签名保护；

③对用户输入参数进行过滤；

④对URL串的字符类型、长度、字段等实现过滤；

⑤基于特征库的漏洞扫描；

⑥具有智能的规则学习功能。

(6)上网用户身份认证功能，严格控制上网用户，采用专用VIIE认证客户端浏览网页，用户列表存储在网闸设备上，未经授权的用户和使用普通IE浏览器的用户无法上网。

(7)邮件收发身份认证，严格控制邮件收发，采用专用VIMAIL邮件客户端，对收发邮件的用户实现身份认证，用户列表存储在网闸设备上，未授权的用户和使用普通OUTLOOK、FoxMail等邮件客户端的用户无法上网正常收发邮件。

(8)IP/MAC地址绑定，支持4096个以上的IP+MAC绑定的客户端访问控制。

(9)支持单/双向通讯控制，支持单、双向可选的访问控制。

(10)日志与审计支持：

系统可存储和审计包含：①系统日志；②管理日志；③网络活动日志；④入侵报警及处理日志；⑤访问控制日志。

1.3.3 安全可靠及管理要求

(1)高可用性：双机热备功能，无需第三方软件支持内置双机热备功能。

(2)基于应用层协议的连接数控制系统可为特定应用层协议预留连接数资源。

(3) 设备故障检测与报警，要求系统管理平台和硬件液晶显示面板均可对硬件故障提示报警，包括通讯故障、硬件故障、软件故障。

(4)系统管理：要求集中设备管理系统，支持PKI安全认证、加密方式的远程管理，支持基于角色管理员分级管理。

(5)图形化网络行为监控：管理平台采用图形化的网络行为监控，可实时监控网络流量、并发连接数、违反规则尝试次数等统计信息。

(6)操作系统：采用经过安全加固的Linux操作系统。

1.4WEB应用防火墙

1.4.1 基本架构

产品要求为一体化硬件产品，支持串接或旁路方式部署；

接口要求：网络接口10/100/1000M以太网电口不少于2个；管理接口1个。RS232串口1个。

1.4.2HTTP 请求的过滤功能

(1)可以根据HTTP的请求类型（OPTIONS、GET、HEAD、POST、PUT、DELETE、TRACE、CONNECT）允许或者禁止。

(2)支持对HTTP协议头的各部分长度进行设置，防止缓冲区溢出攻击。

(3)支持对所请求的URL中所包含的关键字进行过滤。包括编码类型和特殊字符串，比如SQL关键字和用于测试漏洞的构建的表达式等。

(4)支持对所请求的WEB服务器文件后缀名进行过滤。包括.RAR/.ASP/.JPG 等类型，根据需要可定制过滤。

(5)对返回的敏感信息（安装路径、数据库类型及版本等）、错误信息能进行定义和识别，并过滤，避免暴露给恶意攻击者获取到。

(6)能够支持动态和静态网页。

(7)支持HTTP 各种版本，包括HTTP 0.9/1.0/1.1

(8)支持Cookie 安全设置，支持 v0 和v1类型的Cookie 类型，支持对Cookie 加密，支持设置 Cookie 为HTTP only 模式。

(9)支持多种编码格式，包括16进制、十进制、二进制等，对不同编码的报文能进行识别和转换。

(10)识别和限制HTTP 返回码，包括多种HTTP返回码的识别和限制。

(11)可限制使用HTTP 方法，包括客户端使用的HTTP 数据传输方法（OPTIONS、GET、POST 、PUT、HEAD、DELETE、TRACE、CONNECT）。

1.4.3安全防护功能

(1)网络层防护功能，管理员能根据需求制定网络层的ACL控制，能对TCP

Flood、HTTP Flood 等DOS 攻击进行防护，应检测不仅仅是针对交换机的ARP 欺骗、ARP Flood 攻击，并能进行防护。

(2)Web 服务器防护功能，可以实现对主流的Web服务器漏洞进行防护，例如IIS/Apache/Resin/Weblogic；并实现对主流的脚本语言软件进行防护，例如https://www.sodocs.net/doc/e411171437.html,/Java/PHP。

(3)Web 应用的防护功能，应具备URL访问控制功能，可对指定的网页进行访问控制，应具备SQL注入攻击防护功能，应具备跨站脚本攻击防护功能。

(4) 应具备盗链防护功能。自动识别盗链行为，并根据配置的动作（包括接受、阻断、转发等）进行响应。

(5)应具备扫描防护功能，应识别扫描行为阻断扫描工具的探测。

(6) 应具备爬虫防护功能，识别爬虫行为并根据需求进行相应的动作（接受、阻止等）。

(7) 应具备CSRF防护功能，应能支持对自选的URL配置防护CSRF攻击。

(8)具备对敏感信息或非法内容设置自定义关键字过滤。

(9) 应具备对网页木马检测和过滤功能。

1.4.4产品管理及审计功能

(1)规则库管理

用户能添加、删除、修改自定义规则。

具有内置的预设模板。

(2) 审计日志

a) 审应包括所有被过滤的事件。

b) 每个事件发生的日期、时间，对方IP 地址，所请求的URL，所匹配的规则。

c) 记录对网页访问次数。

(3) 日志管理功能

应提供对审计事件的清空、备份、查询功能。

(4) 可理解的格式

所有审计事件应包括时间、客户端类型、所请求的资源和参数、访问的方法

等。

(5) 防止审计数据丢失

审计数据应定期备份，并严格控制访问权限。

(6) 用户角色管理功能

系统应具有三种角色，分别为：管理员、审计员和普通用户，分别具有不同用户管理权限。

1.5漏洞扫描产品

部署在业务内网的XX干线及穿黄现地站管理处（备调中心），共计2套。投标人需提供所安装的硬件服务器，其性能不低于本章第六节“服务器主要性能要求和技术指标要求”中的要求。

1.5.1 基本要求

（1）投标人需明确产品架构，并能支持多级架构的灵活部署。

（2）发现网络设备和主机系统的安全漏洞，并提供安全解决建议；对全网网元进行安全配置基准检查。

（3）产品应可灵活调整物理和网络位置，对网络设备进行扫描。扫描结束后生成详细的安全评估报告。

（4）可以并行地检查多个被评估的系统，能够提供扫描策略定制，可以保证扫描的安全性，不影响应用系统和网络业务的正常运行。

（5）产品应界面友好，所有的图形界面、报警信息、报表与文档、技术资料要求均为简体中文。

（6）产品具有无限IP漏洞扫描能力，并提供相应许可。

1.5.2 产品部署要求

（1）支持多个或多级产品的统一管控。

（2）支持控制中心的多级部署。

（3）支持策略的统一制定和分发，应提供可编辑的策略模板。

（4）支持对全网扫描结果的集中查询、分析。

1.5.3 漏洞扫描能力要求

（1）产品扫描信息应包括主机信息、用户信息、服务信息、漏洞信息等内容。投标人需给出各类扫描信息的详细列表。

（2）产品应支持对扫描对象安全脆弱性的全面检查，如安全补丁、口令、服务配置等。请详细描述针对主机和网络的扫描类别及项目。

（3）产品漏洞库应涵盖目前的安全漏洞和攻击特征，漏洞库具备CNCVE、CVE和BUGTRAQ编号。

（4）应可对Windows系列、Linux、AIX、HPUX、IRIX、BSD、solaris等目标主机的系统进行扫描。

（5）支持SNMP等协议的漏洞检测。投标人需提供支持扫描的网络设备厂商IOS列表。

（6）支持主流数据库的检测，应包括但不限于：Oralce、Sybase、SQLServer、DB2等。

（7）支持Windows域环境扫描，可针对目标主机的系统配置缺陷及漏洞进行扫描。

（8）支持多主机、多线程扫描和断点续扫功能。

（9）支持动态的显示扫描结果和实时的查看扫描结果

（10）产品应能提供扫描IP范围的管理功能。

（11）投标人需说明产品授权方式，产品是否需要与网卡等硬件绑定或需要原厂提供KEY的管理。

1.5.4 报表能力

（1）报告应具有易懂的漏洞描述和详尽的安全修补方案建议，并提供相关的技术站点以供管理员参考。

（2）应可根据角色需求产生灵活的报告格式，支持用户自定义报表和预定义报表；产品应可灵活定制产生各类报表数据的饼图、柱图等图表信息。

（3）扫描报告应可对安全的威胁程度分级，并能够形成风险趋势分析报表和主机间风险对比分析报告。

（4）报表具备导出功能，可以导出不同格式的报表，如Excel、Word等。

1.5.5 扫描策略配置

（1）产品要求提供多种缺省扫描策略，并可按照特定的需求，灵活制定目标对象或目标群组，可以同时应用不同扫描策略，并允许自定义扫描策略和扫描参数。

（2）支持单机扫描、分组扫描和全部扫描的设置。

（3）支持自动定时扫描和多种计划扫描任务管理功能，可按照指定的时间、对象自动扫描，并自动生成报告。

1.5.6 升级、管理

（1）系统应支持自动和人工远程升级。升级内容应包括最新的漏洞库和系统自身的补丁程序。

（2）支持分级、分权管理，能够对不同管理员账号或角色灵活分配扫描任务。

（3）支持策略集中分发。

（4）支持用户的操作审计。

1.6防DDoS攻击系统

部署在业务外网的XX干线公司节点，共1套。

1.6.1 设备功能要求

投标人应对能够清洗的所有DDoS攻击提供详细列表，并详细说明对应用的控制手段及实现方式。包含但不限于：支持对欺骗与非欺骗的TCP (SYN，SYN-ACK， ACK， FIN， fragments) 、UDP (random port floods， fragments)、ICMP (unreachable， echo， fragments)、(M)Stream Flood及混合类型攻击的防护。对不能清洗的DDoS攻击提供详细说明，并说明能够提供哪些监视和控制手段。

投标人须给出针对每种攻击的防护要求，例如防护方式是流量限制还是过滤，不对相应的正常用户流量造成影响等。

支持特定应用层攻击产品，提供支持的攻击类型列表，并详述其防护原理。

支持对BGP attacks的攻击防护。

系统支持对MPLS VPN ， GRE Tunnel 等复杂环境提供DDOS保护。

支持按需保护，能为多个用户服务，能同时保护多个用户，而且DDOS防护设备的放置地点灵活，通过动态的方式牵引清洗DDOS流量。设备支持对用户进行分组防护，不同防护群组可以定义不同的防护策略。

支持冗余设计，投标人应详细说明防止设备故障中断的工作方式和原理。冗余设计是为了最大限度地减少因为设备故障而导致的DDoS保护中断。

产品须具备多台设备旁路集群部署的能力，支持在大攻击流量发生时手动或自动启动集群，保证整个系统可用性；产品支持基于负载均衡的旁路集群模式，并详述其原理。

整体DDOS防护设计必须支持Netflow/CFlow/Netstream、SPAN等监控技术与动态防护策略的全自动解决方案。投标人需详细说明DDOS防护动态设计原理。

系统设计支持BGP＋三层策略路由、MPLS VPN核心网络应用与GRE Tunnel 注入，支持MPLS转移/VRF注入。在MPLS核心中，可以使用一个独立的VRF将注入流量从清洁中心传回目标。投标人需详细说明原理。

投标人需列出系统针对每种攻击的异常流量清洗与DDOS过滤的方式与原理，包括过滤，反欺骗，异常识别，协议分析，速率限制等尽可能多的方式方法。

投标人需明确说明攻击检测和保护的响应时间。

系统应支持远程在线更新，系统能够进行策略库远程升级。

使用独立的10/100/1000Mb/s端口作为其管理端口，此管理端口上联到本地IP网设备，实现流量清洗设备与管理服务器之间的IP连接；

投标人应给出流量清洗设备所需要的10/100/1000Mb/s端口的类型（电口或光口）、数量等。

支持交流供电方式。

1.6.2 设备性能要求

投标人须列出单台流量清洗设备或板卡的处理能力，在GRE隧道封装，802.1q，UDP fragment flooding等情况下的性能指标的影响程度。

投标人须列出在SYN 泛洪，ICMP ping泛洪，UDP泛洪，DNS 请求泛洪，TCP 分段泛洪，UDP 分段泛洪等不同攻击类型的攻击处理速度(基于64字节数据包，处理速度定义：各种数据包完成判别后转发性能，每秒能处理数据包的数量)。

投标人须说明单台设备对不同类型攻击的处理能力；

投标人须说明单台设备支持的GRE接口数量、源IP和端口检测能力、支持的TCP代理连接数、时延与抖动等。

1.6.3 设备管理要求

设备的安全特性与配置管理方式支持命令行方式以及Web图形化管理软件两种方式，无需安装专门的客户端管理系统；

系统的远程接入支持通过https和SSH 等加密方式实现，保证登陆密码以加密方式在网络中传递；

系统具备统一管理平台，在集群部署时支持对多台设备的集中管理，日志收集，运行状态监控，策略下发；

系统应支持攻击日志和网络攻击统计功能，须具备各类DDoS攻击详细记录的能力。

1.7流量控制系统

要求为独立的物理硬件设备，部署在业务外网XX干线公司，共计1台。

（1）流量洞察

1）流量监控

能实时展示设备及链路的每10分钟、每小时、每天、每周及每月的流量走势图；

能实时展示本日或预定时间内各应用/用户流量及用户并发连接数的Top N 排名；

能实时展示本日设备、指定链路和通道的流量走势、各级通道/应用/用户的Top N流量排名；

能实时展示当前在线用户的IP五元组详细信息、上传/下载流量及并发连接数

2）流量查询

支持可查询指定日期、时间、通道、应用及用户的每分钟上传及下载流量（2）流量限制

1）应用封堵

支持对用户的指定应用进行封堵；

支持对用户去往某（些）服务器的指定应用进行封堵

2）流量限速

支持在基于特定时间、VLAN、用户、应用，把上传/下载速率限定在指定范围内；

3）流量限额

支持通过一条策略即可实现在预定时间周期为每个用户的应用设定相同的流量限额值；

支持在预定时间周期对从源用户（组）去往目的用户（组）的应用总体流量设定限额值。

4）连接控制

支持通过一条策略即可实现对每个用户设置相同的并发连接数和新建连接速度；

支持对从源用户（组）去往目的用户（组）的应用进行总体并发连接数和新

建连接速度控制

（3）流量保障

支持通过设定带宽保证值，可以保证关键应用在任何时刻最少所能获得的带宽资源；

支持带宽预留，使关键应用在任何时刻都独享该专线的全部带宽资源

支持根据用户数量的动态变化，实现基于内网/外网用户的带宽平均分配，保证用户间动态、公平地共享全部带宽资源

（4）流量分析

1）流量统计

支持对指定日期、时间的各应用、用户或通道的上传/下载/总流量及用户数量进行统计；支持递进式查收和多维关联分析

2）流量报告

支持输出指定日期、时间、通道、应用、用户的流量走势图及应用流量叠加走势图。

1.8防毒网关

1.8.1 硬件指标要求

（1）设备应支持机架式安装，支持具有双冗余电源。保证自身性能稳定性。

（2）支持复杂网络环境，TRUNK环境支持，保证能够在TRUNK环境下扫描病毒并进行Web管理；双机热备环境支持，保证能够部署在双机热备设备的前后。

（3）支持串行部署模式，对网络中的客户和服务透明，无需重新配置DNS 或重新路由网络数据流。默认提供初始IP管理地址，无需初始化设置。支持添加静态路由，保证能够跨网段对进行管理；

（4）支持10/100/1000M自适应,全双工,半双工模式，和手动模式。支持软硬件故障情况下的BYPASS功能，不能影响正常业务流量。

（5）支持系统的快速自动修复系统，当系统出现故障能够快速还原；自动恢复系统一旦发现硬件损害，将从一个正常的备份分区启动，同时会恢复被损坏的分区。

1.8.2 性能指标要求

SMTP扫描性能:要求 >= 700封/秒。

HTTP吞吐性能:要求 >= 700 Mbps。

用户数支持数量: 要求 >= 2500用户。

1.8.3 管理功能指标

（1）支持加密HTTPS方式进行管理。须具有中文、英文操作管理界面。

（2）支持集中管理（设备集中监控管理与策略统一配置）；支持多台设备集中监控（监控设备运行状态、防护状态、连接状态和系统事件的图形化显示）。

在Web管理界面提供高级诊断工具：Ping/Traceroute/DNS解析/显示系统网络状态/数据包抓包等辅助排查工具。

支持SOC厂商的数据接口；

可以提供相关多项报表。

（3）支持：-手动导入/导出配置。

必须支持分权限管理，可配置多账号并授予不同权限。

根据用户概况制定不同的配置策略，允许用户基于一个或者多个预定义策略进行个性化的界定和配置：支持LDAP用户组、支持树结构/个人LDAP用户/IP 地址/组/源和目的地IP地址等要素识别。

（4）具备隔离区功能，支持隔离区空间管理：可以实时显示隔离区的剩余空间；隔离区内容处理：可以观察隔离区的内容，以及可供选择的处理方式：删除和恢复、重定向邮件、扫描恶意软件项目，发送可疑或者未知项目至熊猫、下载这些内容和将他们从移出隔离区。

（5）实时显示网卡流量，活动连接，已建连接，连接成功率，CPU占用率等系统负载情况。

以曲线、饼图等多种方示显示病毒、垃圾邮件和内容过滤的查杀拦截情况，同时可以根据协议、任意时间段、恶意程序类型等进行分类查询。根据不同的检索条件，实时显示前十名用户以及前十名病毒列表。

（6）支持恶意软件定义文件，防恶意软件引擎，垃圾邮件定义文件，反垃

圾邮件引擎和Web 过滤的版本在线增量式升级，并且提供每日自动更新。支持离线病毒库更新。支持内核版本在线升级，手动本地升级，始终保持最新软件系统。

（7）用户可以自行编辑警告，支持中文和英文。可以设置警告发送的频率。支持Syslog和SNMP日志发送，同时支持(MIB-II版本)。

（8）能够自动生成多种病毒报告，卖方应详细说明提供设备所支持的病毒报告的种类。

（9）可以随时保存或恢复设备的网络设置和保护设置。

可以导入、导出下列列表：

1）反垃圾邮件白名单；

2）反垃圾邮件黑名单；

3）网络过滤URL白名单；

4）网页过滤URL黑名单；

5）网页过滤排除的用户列表。

1.8.4 病毒处理能力指标

（1）能够检测病毒，蠕虫，木马，间谍软件等威肋和恶意软件，卖方应当详细说明设备支持的检测种类。

（2）须至少支持（但不仅限于）以下常用Internet协议的监测:包括HTTP、FTP、SMTP、POP3等。

（3）须支持非标准端口扫描；

（4）提供防网络钓鱼保护，卖方应当详细说明设备对防钓鱼软件监测防护的实现过程以及技术细节。

（5）具有发式扫描技术，可以检测到隐藏在可执行文件中的未知病毒，保证潜在的危险内容被过滤掉。

（6）支持对常见协议（SMTP、POP3、IMAP、NNTP、HTTP和FTP等）内容过滤，能够阻止危险文件进入网络，减低带宽资源的占用。卖方应当详细说明内容过滤的检查项目。

1.8.5 其他威胁处理能力指标

（1）保证能够如下提供针对邮件内容的过滤规则：

支持对邮件主题、邮件正文和邮件附件名称的内容进行过滤，例如：能否检测出邮件主体内容包含“法轮功”的邮件，并且能够进行删除、报告或重定向处理；

（2）反垃圾邮件功能

能够分析SMTP/POP3/IMAP协议收发的邮件，判定邮件是垃圾邮件，疑似垃圾邮件或正常邮件，可以在屏蔽垃圾邮件。

（3）网页内容过滤，监控和阻断Web 页面的访问，将访问的Web网站自动划分为不同类型，例如：色情、购物、犯罪、武器和交通等。可自定义黑白名单。支持用户排除。显示中文警告页面，同时支持对警告页面进行编辑。

（4）即时通讯软件管理，至少支持（但不仅限于）监控并阻断如下即时通讯软件的连接：MSN Messenger、ICQ/AQL、Skype、IRC等，卖方应当详细说明支持监控管理的软件种类。

（5）P2P下载软件管理：至少支持（但不仅限于）监控并阻断如下P2P下载软件的使用：eDonkey、Bit Torrent等。卖方应当详细说明支持监控管理的软件种类。

1.8.6 高可用性与稳定性指标

（1）具有内置负载均衡功能，在对大量数据进行扫描时必须具备足够的扩展能力同时提升高可用性，内置负载均衡功能可配置为手动和自动模式，可适用于各种网络环境。

（2）支持快速自动修复系统；自动恢复系统一旦发现硬件损害，比如说硬盘或者是主引导记录出现损坏，它将从一个正常的备份分区启动，同时会恢复被损坏的分区。

1.9防病毒系统

1.9.1 基本要求

2017年中国信息安全行业发展现状及未来发展趋势分析

2017年中国信息安全行业发展现状及未来发展趋势分析（一）行业主管部门、监管体制以及主要法律法规和政策 1、行业主管部门和行业监管体制信息安全行业主要受信息产业及安全主管部门的监管，具体如下：数据来源：公开资料整理 2、行业主要法律法规及政策（1）行业主要法律法规信息安全行业，受到信息安全行业相关法律法规的管理。行业的主要法律法规如下：

数据来源：公开资料整理（2）行业主要发展政策

行业主要发展政策如下：数据来源：公开资料整理（二）信息安全行业概况及未来发展趋势 1、信息安全的定义

信息安全是指对信息系统的硬件、软件、系统中的数据及依托其开展的业务进行保护，使得它们不会由于偶然的或者恶意的原因而遭到未经授权的访问、泄露、破坏、修改、审阅、检查、记录或销毁，保证信息系统连续可靠地正常运行。信息安全具有真实性、机密性、完整性、不可否认性、可用性、可核查性和可控性七个主要属性：数据来源：公开资料整理 2、信息安全行业的技术、产品和服务（1）信息安全技术为了实现信息安全的七个核心属性，需要从信息系统的物理安全、运行安全、数据安全、内容安全、信息内容对抗等五个方面进行安全建设与安全防范。因而，目前信息安全的主流技术包括信息系统自身的安全技术（物理安全和运行安全技术）、信息自身的安全技术（数据安全与内容安全技术）、信息利用的安全技术（信息对抗技术），具体如下：

数据来源：公开资料整理（2）信息安全产品信息安全产品按照功能分类主要包括：防火墙产品、入侵检测与入侵防御产品、统一威胁管理产品、身份管理类产品、加密类产品、电子签名类产品、安全审计类产品以及终端安全管理产品等。主要产品的情况如下：

招标技术要求

第二部分招标内容及要求 1.工程概况 2.招标内容淮北市中泰广场项目空调末端设备采购。 3.设备名称、规格型号、数量，具体内容如下：风机盘管及新风机组汇总表所提供的服务包括货物的供货、运输、指导安装、技术及售后服务等。上述设备型号供参考，投标人可根据技术参数的要求，选择等于或优于本文件要求的产品投标。

4.技术要求 ①完整性：投标人所提供的设备应能满足空调系统等完整性的要求。需要招标人自行解决的设备、附件应在投标文件中列出，否则系统正常运行所缺的设备及附件，均视为免费及时提供。 ②适应性：投标人所提供的设备应能保证在使用地的自然环境、气候条件、公用设施等情况下全天候正常运行。 ③投标人所提供的设备必须是成套的、全新的、功能全的单元，并且必须是代表制造商最高水平的设计，同时应是先进的、工艺精良和高质量的产品。 ④所供设备按国产优质产品标准选用，满足通用性、体积小、互换性好，操作方便等要求。设备的通用性为“设备与使用的系统工程间衔接部件具有通用性，正常使用情况下易磨损或损坏部件应为市场通用的标准配件，如该设备不具备前述情况，在投标文件的货物性能详细说明中应载明”。 ⑤技术标准：符合国家和专业部门相关标准和规范。 ⑥末端设备详细技术要求空调末端主要评价其内部及其配套的主要部件选配情况、技术参数、性能等指标。该部分的调试等工作由投标人负责。 1、关于风机盘管的基本技术要求盘管供水温度7℃，回水温度12℃，盘管工作压力1.6兆帕。性能参数：各风机盘管均要求提供最近一次国家有关部门测试报告。性能差异：各投标单位用表格将招标要求与实际性能一一列出，有差异的应另附性能差异表。 2、空调机组（含新风机组）的基本技术要求 1）形式：组合式空调机组应考虑可分段制造和运输，在现场根据紧固件连接各功能段，实现最终的功能。另外各投标人需考虑对招标文件中所有组合式空调机组现场拼装并就位的费用。 2）使用年限和使用条件连续工作时间：全年工作**（由投标人填写）天，每天连续工作**（由投标

(完整版)公司内部网络安全和设备管理制度

公司内部网络安全和设备管理制度 1、网络安全管理制度 (1)计算机网络系统的建设和应用，应遵守国家有关计算机管理规定参照执行； (2)计算机网络系统实行安全等级保护和用户使用权限控制；安全等级和用户使用网络系统以及用户口令密码的分配、设置由系统管理员负责制定和实施； (3)计算机中心机房应当符合国家相关标准与规定； (4)在计算机网络系统设施附近实施的维修、改造及其他活动，必须提前通知技术部门做好有关数据备份，不得危害计算机网络系统的安全。 (5)计算机网络系统的使用科室和个人，都必须遵守计算机安全使用规则，以及有关的操作规程和规定制度。对计算机网络系统中发生的问题，有关使用科室负责人应立即向信息中心技术人员报告；(6)对计算机病毒和危害网络系统安全的其他有害数据信息的防范工作，由信息中心负责处理，其他人员不得擅自处理； (7)所有HIS系统工作站杜绝接入互联网或与院内其他局域网直接连接。 2、网络安全管理规则 (1)网络系统的安全管理包括系统数据安全管理和网络设备设施安全管理； (2)网络系统应有专人负责管理和维护，建立健全计算机网络系统各种管理制度和日常工作制度，如：值班制度、维护制度、数据库备份制度、工作移交制度、登记制度、设备管理制度等，以确保工作有序进行，网络运行安全稳定； (3)设立系统管理员，负责注册用户，设置口令，授予权限，对网络和系统进行监控。重点对系统软件进行调试，并协调实施。同时，负责对系统设备进行常规检测和维护，保证设备处于良好功能状态； (4)设立数据库管理员，负责用户的应用程序管理、数据库维护及日常数据备份。每三个月必须进行一次数据库备份，每天进行一次日志备份，数据和文档及时归档，备份光盘由专人负责登记、保管； (5)对服务器必须采取严格的保密防护措施，防止非法用户侵入。系统的保密设备及密码、密钥、技术资料等必须指定专人保管，服务器中任何数据严禁擅自拷贝或者借用； (6)系统应有切实可行的可靠性措施，关键设备需有备件，出现故障应能够及时恢复，确保系统不间断运行； (7)所有进入网络使用的U盘，必须经过严格杀毒处理，对造成 “病毒”蔓延的有关人员，应严格按照有关条款给予行政和经济处罚； (8)网络系统所有设备的配置、安装、调试必须指定专人负责，其他人员不得随意拆卸和移动； (9)所有上网操作人员必须严格遵守计算机及其相关设备的操作规程，禁止无关人员在工作站上进行系统操作；

信息安全管理制度-网络安全设备配置规范v1

网络安全设备配置规范网络安全设备配置规范

网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级，包括超级管理员、安全管理员、日志管理员等，并定义相应的职责，维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制，包括，关闭telnet、http、ping、snmp等，以及使用SSH而不是telnet远程管理防火墙。 4.账号管理是否安全，设置了哪些口令和帐户策略，员工辞职，如何进行口令变更？ 1.2变化控制 1.防火墙配置文件是否备份？如何进行配置同步？ 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序？ 4.加固防火墙操作系统，并使用防火墙软件的最新稳定版本或补丁，确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试？（随机和定期测试）

1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致？应该确保访问控制规则集依从防火墙策略，如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等，以满足用户安全需求，实现安全目标。 2.防火墙访问控制规则是否有次序性？是否将常用的访问控制规则放在前面以增加防火墙的性能？评估防火墙规则次序的有效性。防火墙访问控制规则集的一般次序为： ?反电子欺骗的过滤（如，阻断私有地址、从外口出现的内部地址） ?用户允许规则（如，允许HTTP到公网Web服务器） ?管理允许规则 ?拒绝并报警（如，向管理员报警可疑通信） ?拒绝并记录（如，记录用于分析的其它通信）防火墙是在第一次匹配的基础上运行，因此，按照上述的次序配置防火墙，对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗DoS/DDoS攻击？ 5.防火墙是否阻断下述欺骗、私有（RFC1918）和非法的地址 ?标准的不可路由地址（255.255.255.255、127.0.0.0） ?私有（RFC1918）地址（10.0.0.0 –10.255.255.255、 172.16.0.0 –172.31..255.255、192.168.0.0 –

我国网络安全行业研究报告

我国网络安全行业研究报告（一）行业发展概况 1、行业简介网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，网络系统连续可靠正常地运行。网络安全从其本质上指网络上的信息安全。网络安全产品主要包括安全硬件、安全软件及安全服务。网络安全产业链上游为基础硬件供应商，中游主要为软硬件安全产品及安全服务提供商，下游则是政府、金融、电信、能源、互联网等各行业的企业级用户。本公司主要提供安全软件及安全服务，处于网络安全行业的中游。

2、全球网络安全行业概况（1）全球网络安全行业市场规模较大，预期将保持稳步增长 2013年“棱镜门”曝光，以此为界，大国之间的网络安全竞争逐步浮出水面，全球网络安全行业迎来转折。2015年2月，美国成立“网络威胁情报整合中心”，对网络攻击严重程度进行整合归类，并采取相应措施。2016年7月，欧盟出台《欧盟网络与信息系统安全指令》，以助于欧盟成员国共同应对网络威胁。根据前瞻产业研究院对权威机构的数据汇总，2017年全球网络安全市场规模超过800亿美元。随着网络安全行业的快速发展，全球网络安全市场规模将进一步增长，根据Persistence Market Research（PMR）的预测数据，2025年全球网络安全市场规模达将达到2,058亿美元，网络安全市场将以平均12%的速度稳步增长。数据来源：IDC、Gartner、PMR

（2）北美地区市场规模领先，亚太新兴地区和拉丁美洲增速领先其他地区2019年4月，CB Insights发布《2019网络卫士》（2019 Cyber Defenders）报告。报告数据显示，2014年以来全球网络安全领域交易数量稳步上升，2018年再创新高，达到601次。按国别分，截至2019年3月21日，全球网络安全交易中美国以64.3%的份额独占鳌头，以色列（ 6.7%）与英国（6.5%）分别位列其后，中国以 5.6%的占比排名第四。数据来源：CB Insights 根据Gartner数据，从市场规模看，以美国为主的北美地区占据全球市场最大份额，其次是西欧及亚太地区。2017年北美地区网络安全市场规模达到343

设备基础工程招标范围及技术要求

索特三坐标设备基础工程招标范围及技术要求一、工程概况 1、工程名称：索特龙门三坐标设备基础工程 2、工程地点：常熟三一产业园一号车间 3、建设单位：索特传动设备有限公司二、招标范围 1、尺寸见地基图纸，按图纸要求施工三、技术要求 1、索特龙门三坐标设备基础，开挖基础之前参考“1、2号厂房地勘报告”，并确定承重能力，需要注意地下管线及排水设施保护。 2、所用预埋件、预埋角钢规格按图纸要求制作。 3、设备基础二次灌浆必须使用无收缩专用灌浆料，地基加固项目施工方自行参考勘探数据实施。 4、基础混泥土全部采用C30 S6抗渗商品混凝土，基础底板压密注浆施工应该按照国家规范施工；基础底板钢筋采用Φ16@150，墙板钢筋采用Φ12@150（详见图纸要求），其他细部钢筋构按规范要求设置。 5、投标人需自行编制工程量清单，报价时需充分考量现场所有不确定因素，建设单位不接受任何情况增加的工程量和工期的索赔；：业主清单仅作参考，施工方应自行根据图纸结合现场实地测算，总价包干。 6、施工所用钢材必须采用国内主流钢厂（宝钢、武钢、莱钢、鞍钢、马钢、沙钢、苏钢、永钢、唐钢、首钢、济钢）国标钢材，以上为商标或厂家简称，优先商标，投标时必须在报价书中注明厂家； 7、甲方未确定品牌的，乙方必须在报价书上明确所报品牌，且所报品牌必须是市场上中等以上的品牌产品，若报价中未明确品牌，甲方在施工过程中将以上等品牌要求施工，且不计差价费用； 8、施工前所有施工材料，需送样品经甲方负责人确认签字后才能进场使用，擅自采用视不合格品处理，且甲方有权对其行为进行相应处罚； 9、每道施工工序必须请甲方负责人进行确认，特别是基槽、钢筋、预埋件等需要隐蔽的工序必须请甲方负责人进行签字确认方可进入下道工序施工，如未经确认且擅自进入下道工序视投工减料行为处理，且甲方有权对其行为进行相应处罚；

网络安全设备主要性能要求和技术指标要求部分汇总

1网络安全设备主要性能要求和技术指标要求 1.1防火墙用于控制专网、业务内网和业务外网，控制专网、业务内网部署在XX干线公司、穿黄现地管理处（备调中心），每个节点各2台；业务外网部署在XX干线公司1台，共计9台。要求如下： 1.2入侵检测系统（IDS）根据系统组建需要，控制专网、业务内网、业务外网均部署入侵检测系统（IDS），共需6套。（1）控制专网：部署在XX干线公司及穿黄现地管理处（备调中心），每个节点各1套，共2套；（2）业务内网：部署在XX干线公司及穿黄现地管理处（备调中心），每个

节点各2套，共4套； 1.2.1 产品规格及性能指标要求（1）支持10/100/1000BASE-SX/1000BASE-T以太网接口，千兆接口不小于2个(提供的配置中至少包含两个GE多模850nm波长光模块)；（2）能监控的最大TCP并发连接数不小于120万；（3）能监控的最大HTTP并发连接数不小于80万；（4）连续工作时间（平均无故障时间）大于8万小时；（5）吞吐量不小于2Gbps。（6）控制台服务器性能不低于“5服务器主要性能要求和技术指标要求”中的要求。 1.2.2 部署和管理功能要求 (1)传感器应采用预定制的软硬件一体化平台； (2)入侵检测系统管理软件采用多层体系结构； (3)组件支持高可用性配置结构，支持事件收集器一级的双机热备； (4)各组件支持集中式部署和大型分布式部署； (5)大规模分布式部署支持策略的派发，即上级可将策略强制派发到下级，以确保整个系统的检测签名的一致性； (6)可以在控制台上显示并管理所有组件，并且所有组件之间的通讯均采用加密的方式； (7)支持以拓扑图形式显示组件之间的连接方式； (8)支持多个控制台同时管理，控制台对各组件的管理能力有明确的权限区别； (9)支持组件的自动发现； (10)支持NAT方式下的组件部署； (11)支持IPv6下一代通信网络协议的部署和检测。 1.2.3 检测能力要求

网络安全管理方案

网络安全管理方案 Document number：NOCG-YUNOO-BUYTT-UU986-1986UT

网络安全管理一、集团网络安全网络安全分析： 1.物理安全网络的物理安全是整个集团网络系统安全的前提。物理安全的风险主要有，地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获；高可用性的硬件；双机多冗余的设计；机房环境及报警系统、安全意识等，因此要尽量避免网络的物理安全风险。 2.网络结构的安全网络拓扑结构设计也直接影响到网络系统的安全性。在设计网络时有必要将公开服务器（WEB、DNS、EMAIL等）和外网及内部其它业务网络进行必要的隔离，避免网络结构信息外泄；同时还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其它的请求服务在到达主机之前就应该遭到拒绝。 3.系统的安全系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。目前没有完全安全的操作系统，所以必须加强登录过程的认证（特别是在到达服务器主机之前的认证），确保用户的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。 4.应用系统的安全

应用系统的安全跟具体的应用有关，它涉及面广。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性，它包括很多方面，例如：E-mail等。 5.管理的安全管理是网络中安全最最重要的部分。责权不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。二、集团安全技术手段 1.物理措施：对集团网络所有关键网络设备及服务器，制定严格的网络安全规章制度，采取防辐射、防火以及安装不间断电源（UPS）等措施，确保设备能安全高效的运行。 2.访问控制：对集团网络中所有用户访问网络资源的权限进行严格的认证和控制。进行用户身份认证，对口令加密、更新和鉴别，设置用户访问目录和文件的权限，控制网络设备配置的权限，等。 3.数据加密：对集团所有重要数据进行加密，保障信息被人截获后不能读懂其含义。并对客户端安装网络防病毒系统。 4.网络隔离：对集团研发中心进行网络隔离，严格控管与集团内网及intel网的访问，确保数据不会流失到外网。 5.防火墙技术：防火墙技术是通过对网络的隔离和限制访问等方法来控制网络的访问权限。 6.上网行为管理：控制和管理集团所有终端对互联网的使用，包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。

网络信息安全需求分析.

网络信息安全需求分析随着医院信息化建设步伐的不断加快,信息网络技术在医疗行业的应用日趋广泛,这些先进的技术给医院的管理带来了前所未有的便利,也提升了医院的管理质量和服务水平,同时医疗业务对行业信息和数据的依赖程度也越来越高,也带来了不可忽视的网络系统安全问题,本文主要从网络系统的硬件、软件及对应用系统中数据的保护,不受破坏、更改、泄露,系统连续可靠、正常地运行,网络服务不中断等方面探讨医院网络信息安全的需求。医疗业务对行业信息和数据的依赖程度越来越高,带来了不可忽视的网络系统安全问题,现分析如下: 一、网络安全建设内容在医院信息网络建设中,网络安全体系是确保其安全可靠运行的重要支柱,能否有效地保护信息资源,保护信息化健康、有序、可持续地发展,是关系到医院计算机网络建设成败的关键。 ①保障网络信息安全,要防止来自外部的恶意攻击和内部的恶意破坏。 ②运用网络的安全策略,实行统一的身份认证和基于角色的访问控制。 ③医院计算机网络提供统一的证书管理、证书查询验证服务及网络环境的安全。 ④建立和完善统一的授权服务体系,实现灵活有效的授权管理,解决复杂的权限访问控制问题。 ⑤通过日志系统对用户的操作进行记录。二、网络安全体系建设网络安全体系建设应从多个层次完整地、全方位地对医院的信息网络及应用情况进行分析,所制定的安全机制基本包括了对各种安全隐患的考虑,从而保护关键业务系统的正常运行,控制内网用户接入,避免患者电子信息以及医院重要数据的泄密。如图1。 2.1 物理设备安全需求即使应用了功能最强大的安全软件,如果没有注意物理安全,会大大地破坏系统安全的整体性,攻击者会通过物理接触系统来达到破坏的目的,因此,物理安全是安全策略中最为关键的一步。 ①设备和操作系统都提供了通过物理接触绕过现有密码的功能。 ②机房内各服务器和网络设备均放置在上锁的机柜中,钥匙专人负责保管,同时要在中心机房安装视频监视设备进行监控。 ③网络整体要部署防雷系统,机房要有防静电地板,配线间注意散热且定期进

网络安全操作规程

网络安全操作规程 1.目的为加强公司计算机设备及网络，系统数据，研发数据，源代码，信息安全的管理，确保计算机及公司网络系统正常可靠地运行，保证各部门日常工作的顺利开展，特制定计算机网络及信息安全管理规程。 2.范围适用于本公司各部门的计算机，网络设备，办公设备（以下简称IT设备）和数据，信息安全的管理。 3.职责 3.1公司内IT设备维护，系统管理，信息安全管理，网络管理由IT部门统一安排执行管理。 3.2使用者对分配给其使用的IT设备安全和完整性负责，部门负责人对本部门IT设备的安全和完整性负责。部门负责人对部门网络及信息安全负责。 3.3各个部门配合本规定的实施。 4.操作规程 4.1 计算机与网络管理程序 4.1.1 IT设备的领用、采购，回收，维修，更换流程（1）各部门新增招聘计划时，必须提前15天到行政部备案，如果库存的IT设备无法满足申请部门的需求或者库存无货时，就转采购申请。需采购的IT设备必须经IT人员确认配置后方可交由采购部采购。采购回来的设备由物资部交由仓库管理员签收后入库。（2）新入职人员必须接受计算机网络及信息安全管理规程培训，培训合格后才可以申请IT设备。（3）库存IT设备的申领申请人填写IT需求申请表，经IT人员确认核实相关配置。在库存有货的情况下由申请人经各级领导逐级审批，凭审批后的申请表到仓库领取。库存无货转采购流程。（4）回收后的IT设备数据处理为保障公司信息数据安全，对于需要归还的IT设备，使用部门归还前自行备份IT设备数据，归还前清空数据。需归还的设备由归还人员填写归还申请表经IT人员检测配置无误后，由归还人员将IT设备搬到仓库指定地点。由仓库管理员清点入库签收。（5）IT设备的维修IT设备的报修由申请人直接向IT人员提出，不产生费用且过保的维修事项由IT人员直接维修，对于保修期内的设备由采购人员联系供应商维修。经评估对于可能产生费用且过保的设备维修，由申请人填写IT设备需求申请表，经逐级审批后，方可由IT人员联系供应商进行维修。（6）IT设备的更换必须由当事人提出书面申请（IT需求申请表），经IT人员对原有IT 设备配置检查记录后，由申请人凭（经各级领导逐级审批后的）申请表到仓库管理员处领取更换。原有IT设备回收按照第4.1.1（4）执行。（7）离职员工离职前必须到IT人员处登记，由IT人员对其IT设备配置完整性进行检查，注销个人账户信息等，经确认IT设备完好无损，账户信息完全注销后方可办理其他离职手续。如有it设备损坏的情形将根据实际情况进行登记，由财务人员进行扣款处理后方可办理离职手续。离职员工的IT设备回收按照第4.1.1（4）执行。（8）计算机设备调换必须到it人员处登记信息。IT设备调换前双方自行备份并清空数据。IT人员做好IT资产变更信息。

信息安全管理制度网络安全设备配置规范

网络安全设备配置规范 2011年1月

网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级，包括超级管理员、安全管理员、日志管理员等，并定义相应的职责，维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制，包括，关闭、、、等，以及使用而不是远程管理防火墙。 4.账号管理是否安全，设置了哪些口令和帐户策略，员工辞职，如何进行口令变更？ 1.2变化控制 1.防火墙配置文件是否备份？如何进行配置同步？ 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序？ 4.加固防火墙操作系统，并使用防火墙软件的最新稳定版本或补丁，确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试？（随机和定期测试）

1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致？应该确保访问控制规则集依从防火墙策略，如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等，以满足用户安全需求，实现安全目标。 2.防火墙访问控制规则是否有次序性？是否将常用的访问控制规则放在前面以增加防火墙的性能？评估防火墙规则次序的有效性。防火墙访问控制规则集的一般次序为： ?反电子欺骗的过滤（如，阻断私有地址、从外口出现的内部地址） ?用户允许规则（如，允许到公网服务器） ?管理允许规则 ?拒绝并报警（如，向管理员报警可疑通信） ?拒绝并记录（如，记录用于分析的其它通信）防火墙是在第一次匹配的基础上运行，因此，按照上述的次序配置防火墙，对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗攻击？ 5.防火墙是否阻断下述欺骗、私有（1918）和非法的地址 ?标准的不可路由地址（255.255.255.255、127.0.0.0） ?私有（1918）地址（10.0.0.0 –10.255.255.255、172.16.0.0 – 172.31..255.255、192.168.0.0 – 192.168.255.255）

常见网络安全设备

Web应用防火墙（WAF）为什么需要WAF？ WAF（web application firewall）的出现是由于传统防火墙无法对应用层的攻击进行有效抵抗，并且IPS也无法从根本上防护应用层的攻击。因此出现了保护Web应用安全的Web应用防火墙系统(简称“WAF”)。什么是WAF？ WAF是一种基础的安全保护模块，通过特征提取和分块检索技术进行特征匹配，主要针对HTTP访问的Web程序保护。 WAF部署在Web应用程序前面，在用户请求到达Web 服务器前对用户请求进行扫描和过滤，分析并校验每个用户请求的网络包，确保每个用户请求有效且安全，对无效或有攻击行为的请求进行阻断或隔离。通过检查HTTP流量，可以防止源自Web应用程序的安全漏洞（如SQL注入，跨站脚本（XSS），文件包含和安全配置错误）的攻击。与传统防火墙的区别 WAF区别于常规防火墙，因为WAF能够过滤特定Web应用程序的内容，而常规防火墙则充当服务器之间的安全门。 WAF不是全能的 WAF不是一个最终的安全解决方案，而是它们要与其他网络周边安全解决方案（如网络防火墙和入侵防御系统）一起使用，以提供全面的防御策略。入侵检测系统（IDS）什么是IDS？ IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

跟防火墙的比较假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。部署位置选择因此，对IDS的部署唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。在这里，”所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。因此，IDS在交换式网络中的位置一般选择在：尽可能靠近攻击源；这些位置通常是：服务器区域的交换机上； Internet接入路由器之后的第一台交换机上；重点保护网段的局域网交换机上防火墙和IDS可以分开操作，IDS是个临控系统，可以自行选择合适的，或是符合需求的，比如发现规则或监控不完善，可以更改设置及规则，或是重新设置！主要组成部分事件产生器，从计算环境中获得事件，并向系统的其他部分提供此事件；事件分析器，分析数据；响应单元，发出警报或采取主动反应措施；事件数据库，存放各种数据。主要任务主要任务包括：监视、分析用户及系统活动；审计系统构造和弱点；

自动化招标技术要求

郴电国际宜章分公司太平里、天塘、四矿35KV 变电站综合自动化系统及通讯系统电气设备采购招标文件（技术部分）二〇一〇年九月

第1 章总则 1.1变电站概况此次招标变电站设备计划安装于太平里、天塘、四矿3 座35KV变电站，概况如下：太平里变电站，主变为两卷变两台，容量4000KVA，3 回35KV线路，16 回10KV 线路，2台电容器，1 台10KV母联，所用变2 台；天塘变电站，主变为两卷变两台，容量4000KVA，3 回35KV线路，16回10KV线路，2台电容器，1 台10KV母联，所用变2 台；四矿变电站，主变为两卷变两台，容量6300KVA，3回35KV线路，18 回6.3KV 线路，2台电容器，1 台6.3KV 母联，所用变2 台。变电站按“无人值班” （少人值守）原则设计，采用计算机监控系统。投标单位要仔细阅读本文件及设计单位提供的保护配置图、主接线图，供货设备不能低于设计单位要求，如果改变应征得业主及设计单位同意。 1.2标准与工艺 1.2.1招标文件中采用的技术标准名称和编写代号：机构名称缩写中华人民共和国国家标准GB 中华人民共和国电力行业标准DL 国际电工委员会IEC 国际标准化组织IS0 原水电部标准SD 卖方采用的标准应不低于中华人民共和国国家标准及电力行业标准和原水电部标准。国外合作厂家采用的标准应不低于上表所列的国际标准或相关所在国的国家标准。 1.2.2选用的标准，应是在招标书发出前已颁布的最新版本，若标准之间出现矛盾时，以较高要求为准。本招标文件中的技术标准及要求，与国标及有关部标不一致的，以较高的技术要求为准。 1.2.3若投标单位采用上述以外的标准时，须在投标文件中说明，并征得买方同意后方能使用。

中国信息安全行业发展现状及未来发展趋势分析

年中国信息安全行业发展现状及未来发展趋势分析

————————————————————————————————作者：————————————————————————————————日期：

数据来源：公开资料整理

（2）行业主要发展政策行业主要发展政策如下：数据来源：公开资料整理（二）信息安全行业概况及未来发展趋势 1、信息安全的定义

设备招标技术要求

以下所有设备在满足技术要求的同时必须满足“设备采购的总体要求” “设备采购的总体要求” 1、设备的功能要求（1）要求本设备采用的微机应用软件成熟可靠，具有安全良好的自我诊断与自我恢复功能；并能在设备出现故障时使操作者明确故障的原因，同时指导操作者排除故障；（（（（（（（能要求，还包括电源插座、与外部的连接线以及其他附属连接设备等。（9）提供的产品必须是经过省、市级以上计量局计量的产品。 2、设备可靠性、可操作性、可维护性要求投标方必须在投标文件中详细说明所投设备的可靠性、可操作性、可维护性情况。（1）要求有严谨、科学的人机工程设计，安全有效的保证整机的可靠性、稳定性；采用全中文操作界面，有帮助文件；（2）要求设计先进、技术成熟可靠、设备占地面积小、测试精度高；

（3）要求选用的微机性能优越、配置可靠，操作使用时能够迅速完成运算；（4）要求节省能源，维护和使用成本低，力求免维护，外形美观大方；（5）要求安全性高，必须为全新制造，使用寿命在10年以上，外购机电产品必须是先进、可靠的标准化系列产品；（6）电气相关产品必须有CCC认证。 3、设备主要部件的工艺、材料要求投标方必须在投标文件中详细说明设备的制造工艺、选用材料情况。 3.1 （1 （2 （3 （4 3.2 （1 （2 （3 （4 （5 4 （1）必须包含提供设备在使用和维修过程中所需要的全部辅助设备和设备维修工具；（2）必须说明设备中使用的各种润滑脂、润滑油的牌号（包括可以代替的牌号）以及生产厂家或代理销售商以及其销售情况；（3）必须说明使用的软件的名称与版本，必须永久免费提供软件的升级最新版；（4）必须提供整套详细的计算机程序（包括客户使用程序、修改程序、编写程序和编译程序等）；（5）设计时，必须考虑与系统其他接口，供货商必须全权无条件负责设备的安装、调试。

信息安全管理制度-网络安全设备配置规范1.doc

信息安全管理制度-网络安全设备配置规范 1 网络安全设备配置规范 XXX 2011年1月网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级，包括超级管理员、安全管理员、日志管理员等，并定义相应的职责，维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制，包括，关闭telnet、http、ping、snmp 等，以及使用SSH而不是telnet远程管理防火墙。 4.账号管理是否安全，设置了哪些口令和帐户策略，员工辞职，如何进行口令变更？

1.2变化控制 1.防火墙配置文件是否备份？如何进行配置同步？ 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序？ 4.加固防火墙操作系统，并使用防火墙软件的最新稳定版本或补丁，确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试？（随机和定期测试） 1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致？应该确保访问控制规则集依从防火墙策略，如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等，以满足用户安全需求，实现安全目标。 2.防火墙访问控制规则是否有次序性？是否将常用的访问控制规则放在前面以增加防火墙的性能？评估防火墙规则次序的有效性。防火墙访问控制规则集的一般次序为：

?反电子欺骗的过滤（如，阻断私有地址、从外口出现的内部地址） ?用户允许规则（如，允许HTTP到公网Web服务器） ?管理允许规则 ?拒绝并报警（如，向管理员报警可疑通信） ?拒绝并记录（如，记录用于分析的其它通信）防火墙是在第一次匹配的基础上运行，因此，按照上述的次序配置防火墙，对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗DoS/DDoS攻击？ 5.防火墙是否阻断下述欺骗、私有（RFC1918）和非法的地址 ?标准的不可路由地址（255.255.255.255、127.0.0.0） ?私有（RFC1918）地址（10.0.0.0 –10.255.255.255、 172.16.0.0 –172.31..255.255、192.168.0.0 – 192.168.255.255） ?保留地址（224.0.0.0）

招投标技术标准和要求专用部分

第九章技术标准和要求专用部分

技术标准和要求专用部分 1. 现场条件和周围环境 1.1现场的具体地理位置如下：东至：西至：南至：北至： 1.3 施工现场临时供水管径：满足施工要求。施工现场临时供电容量（变压器输出功率）：满足施工要求。 1.4 招标人提供的现场条件和周围环境的其他资料和信息数据如下（也可以附表的形式表现）：图纸状态：图纸已具备；现场状态：具备开工条件。 2. 承包（招标）范围 2.1. 本招标工程承包人自行施工的工程范围：注释：此处主要描述项目承包范围。应由造价咨询公司或工程预算部予以体现，且要描述的与图纸描述的一致，保证工程的完整性。为将来竣工结算时少给建设单位留下罗乱 5、工期要求 5.1. 定额工期 5.1. 本招标工程的定额工期为日历天。 5.2. 要求工期 5.2.1 对于本招标工程，招标人要求的工期（含区段工期）如下：日历天注释：此处应与定额工期相等，若招标人实在想抓紧工期，可以0.7*定额工期。但这样做的弊端是相应的措施费应予以增加，且1.0-0.7间，越靠近0.7，措施费增加越多，详见2010版工期定额 5.3. 计划开工和计划竣工日期 5.3.1 本招标工程计划开工日期：年月日 6. 质量要求 6.2.1 招标人对本招标工程质量方面的特殊要求如下：无

7. 安全文明施工措施及要求 7.2 本招标工程关于安全文明施工措施的具体要求及措施项目内容如下（也可以附表的形式表现）：本招标工程关于安全防护、文明施工措施的具体要求及措施项目内容如下：建筑工程安全防护、文明施工措施费用是按照国家现行的建筑施工安全、施工现场环境与卫生标准和有关规定及《北京市建设工程施工现场安全防护、场容卫生、环境保护及保卫消防标准》和《北京市建设工程施工现场生活区设置和管理标准》，购置和更新施工安全防护用具及设施、改善安全生产条件和作业环境所需要的费用。为贯彻《建筑工程安全防护、文明施工措施费用及使用管理规定》京建施 [2005]802号”的要求，施工组织设计中应当包括安全防护、文明施工具体措施。投标人根据本招标文件中关于安全防护、文明施工措施要求及措施项目内容，依据现行标准规范，结合工程特点、工程场地、周围环境、工期进度和作业环境要求，在施工组织设计文件中制定相应的安全防护、文明施工的具体措施。投标总价中应当包括安全防护、文明施工措施费,投标人将安全防护、文明施工措施费在措施项目清单中单独列项。若措施项目清单中列项未全投标人可自行补充,安全防护、文明施工措施费不得低于[2005]802号及京造定[2009]4号文规定的费率。投标人必须响应上述要求，在其投标文件中制定具体措施，并将落实有关措施必须发生的费用计入投标价格中，不允许以任何理由不报价，上述费用不得作为让利因素参与竞标。 8. 适用规范 8.1.3 适用于本招标工程的主要设计和施工验收规范名录如下：混凝土结构工程施工及验收规范等国家及北京市其它现行规范、规程、标准、规定方法的技术标准和在合同履行过程中新颁布的此类文件均对本工程适用。 8.2.1 适用于本招标工程的特殊技术规范如下：无 9. 技术要求 9.1.1适用于本招标工程的特殊技术要求如下：无 9.2.2 本招标工程施工现场所用砼或砂浆的供应方式为预拌砼 9.2.3 样品的具体要求： /

信息安全管理制度-网络安全设备配置规范v1

网络安全设备配置规范

网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级，包括超级管理员、安全管理员、日志管理员等，并定义相应的职责，维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制，包括，关闭telnet、http、ping、snmp 等，以及使用SSH而不是telnet远程管理防火墙。 4.账号管理是否安全，设置了哪些口令和帐户策略，员工辞职，如何进行口令变更？ 1.2变化控制 1.防火墙配置文件是否备份？如何进行配置同步？ 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序？ 4.加固防火墙操作系统，并使用防火墙软件的最新稳定版本或补丁，确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试？（随机和定期测试）

变配电设备招投标技术要求

变配电室设备技术要求

修订记录 1 高低压配电柜 1.1使用环境条件： 1.1.1 环境温度：-10℃— +40℃ 1.1.2 相对湿度：日平均值≤95%，月平均值≤90% 1.1.3 环境条件：户，无明显尘埃和腐蚀性气体1.1.4 抗地震能力：7级烈度 1.2防护等级：IP4X。 1.3货物壳体表面处理和颜色：

计算机灰（或由需求部门确定），并且由生产厂具备的自动喷塑生产流水线进行表面喷塑，以保证表面涂覆的可靠质量。 1.4标准的适用和执行： (1)GB3906-2006《3~35KV户交流高压开关设备》 (2)DL404-2007《户交流高压开关柜订货技术条件》 (3)GB311.1-2012和GB311.2~311.6-2012《高电压试验技术》 (4)GB863《交流高压电器在长期工作时的发热》 (5)SD201《交流高压隔离开关的技术条件》 (6)SD318-89《高压开关柜闭锁装置技术条件》 (7)GB2706《交流高压电器动热稳定试验方法》 (8)DL403-2000《10~35户高压真空断路器订货技术条件》 (9)SDJ5-85《高压配电装置设计技术规程》 (10)GB763《交流高压电器在长时间工作时的发热》 (11)GB7251.1-2013 《低压成套开关设备和控制设备》 (12)GB762-2002 《电气设备额定电流》 (13)IEC157-1 《低压开关设备及控制设备》 (14)IEC229-1A 《短路保护并列设备》

(15)IEC60439 《低压成套开关设备和控制设备》 (16)GB4942.4-93 《低压电气外壳防护等级》 (17)GB/T24274-2009 《低压抽出式成套开关设备》 (18)GB1208-2006 《电流互感器》 (19)IEC-185 《电流互感器》 (20)GB3983.1-89 《低电压并联电容器》 (21)GB91667-88 《低压成套开关设备基本试验方法》 (22)GB50150-2016 《电气装置安装工程电缆线路施工及验收标准》 (23)GB50171-2012 《电气装置安装工程盘柜及二次回路接线施工及验收规》 (24)GB50303-2015 《建筑电气工程施工质量验收规》 1.5 铭牌：每台开关柜、每段母线桥均应配备铭牌，铭牌要铆固固定在明显易见的外壳表面上。铭牌上标记的容：（1）产品名称、型号规格（2）制造厂商名称和商标（3）制造年、月和出厂日期

网络安全设备主要性能要求和技术指标要求部分

2017年中国信息安全行业发展现状及未来发展趋势分析

招标技术要求

(完整版)公司内部网络安全和设备管理制度

信息安全管理制度-网络安全设备配置规范v1

我国网络安全行业研究报告

设备基础工程招标范围及技术要求

网络安全设备主要性能要求和技术指标要求部分汇总

网络安全管理方案

网络信息安全需求分析.

网络安全操作规程

信息安全管理制度网络安全设备配置规范

常见网络安全设备

自动化招标技术要求

中国信息安全行业发展现状及未来发展趋势分析

设备招标技术要求

信息安全管理制度-网络安全设备配置规范1.doc

招投标技术标准和要求专用部分

信息安全管理制度-网络安全设备配置规范v1

变配电设备招投标技术要求

相关文档

最新文档