S-DCN网络安全(边界集成)部分技术规范v

1、2005年中国网通集团DCN网络安全建设工程边界防护安全产品集成部分技术规范书 中国网络通信集团公司中国网通（集团）有限公司2006年2月目录 TOC o 1-2 h z HYPERLINK l _Toc126037791 1总则 PAGEREF _Toc126037791 h 1 HYPERLINK l _Toc126037792 2卖方技术建议书要求 PAGEREF _Toc126037792 h 2 HYPERLINK l _Toc126037793 2.1建议书的要求 PAGEREF _Toc126037793 h 3 HYPERLINK l _Toc126037794 2.2报价书要

2、求 PAGEREF _Toc126037794 h 4 HYPERLINK l _Toc126037795 3工程描述 PAGEREF _Toc126037795 h 5 HYPERLINK l _Toc126037796 3.1项目背景 PAGEREF _Toc126037796 h 6 HYPERLINK l _Toc126037797 3.2工程建设目标与原则 PAGEREF _Toc126037797 h 6 HYPERLINK l _Toc126037798 3.3工程建设范围 PAGEREF _Toc126037798 h 7 HYPERLINK l _Toc126037799 4

3、网络现状 PAGEREF _Toc126037799 h 7 HYPERLINK l _Toc126037800 4.1集团骨干网同各省边界现状 PAGEREF _Toc126037800 h 7 HYPERLINK l _Toc126037801 4.2EDC防护试点省份网络现状 PAGEREF _Toc126037801 h 8 HYPERLINK l _Toc126037802 5建议方案 PAGEREF _Toc126037802 h 9 HYPERLINK l _Toc126037803 5.1边界防护防系统部署 PAGEREF _Toc126037803 h 9 HYPERLINK

4、 l _Toc126037804 5.2边界防护防火墙部署 PAGEREF _Toc126037804 h 9 HYPERLINK l _Toc126037805 5.3边界防护IDS部署 PAGEREF _Toc126037805 h 9 HYPERLINK l _Toc126037806 5.4EDC防护试点省安全部署 PAGEREF _Toc126037806 h 9 HYPERLINK l _Toc126037807 5.5设备需求统计 PAGEREF _Toc126037807 h 11 HYPERLINK l _Toc126037808 6设备及软件技术规范 PAGEREF _To

5、c126037808 h 12 HYPERLINK l _Toc126037809 6.1总体技术要求 PAGEREF _Toc126037809 h 12 HYPERLINK l _Toc126037810 6.2入侵防护（IPS） PAGEREF _Toc126037810 h 13 HYPERLINK l _Toc126037811 6.3漏洞扫描产品 PAGEREF _Toc126037811 h 16 HYPERLINK l _Toc126037812 6.4防DDOS攻击设备技术要求 PAGEREF _Toc126037812 h 18 HYPERLINK l _Toc126037

6、813 6.5出口路由器 PAGEREF _Toc126037813 h 19 HYPERLINK l _Toc126037814 6.6三层交换机 PAGEREF _Toc126037814 h 22 HYPERLINK l _Toc126037815 7项目管理 PAGEREF _Toc126037815 h 23 HYPERLINK l _Toc126037816 7.1项目开发方式与策略 PAGEREF _Toc126037816 h 23 HYPERLINK l _Toc126037817 7.2项目风险分析及控制 PAGEREF _Toc126037817 h 24 HYPERLI

7、NK l _Toc126037818 7.3项目实施计划 PAGEREF _Toc126037818 h 24 HYPERLINK l _Toc126037819 7.4项目实施控制 PAGEREF _Toc126037819 h 24 HYPERLINK l _Toc126037820 7.5项目实施人员的结构 PAGEREF _Toc126037820 h 24 HYPERLINK l _Toc126037821 8各方职责划分 PAGEREF _Toc126037821 h 24 HYPERLINK l _Toc126037822 8.1卖方的职责 PAGEREF _Toc1260378

8、22 h 25 HYPERLINK l _Toc126037823 8.2总集成商职责 PAGEREF _Toc126037823 h 25 HYPERLINK l _Toc126037824 8.3服务器、存储、数据库供应商职责 PAGEREF _Toc126037824 h 26 HYPERLINK l _Toc126037825 8.4买方的职责 PAGEREF _Toc126037825 h 27 HYPERLINK l _Toc126037826 9工程实施 PAGEREF _Toc126037826 h 27 HYPERLINK l _Toc126037827 9.1工程实施计划

9、PAGEREF _Toc126037827 h 27 HYPERLINK l _Toc126037828 9.2安装和调试 PAGEREF _Toc126037828 h 27 HYPERLINK l _Toc126037829 9.3试运行及验收 PAGEREF _Toc126037829 h 28 HYPERLINK l _Toc126037830 9.4原厂保修期 PAGEREF _Toc126037830 h 29 HYPERLINK l _Toc126037831 10技术服务和技术培训 PAGEREF _Toc126037831 h 29 HYPERLINK l _Toc12603

10、7832 10.1技术服务 PAGEREF _Toc126037832 h 29 HYPERLINK l _Toc126037833 10.2技术培训 PAGEREF _Toc126037833 h 30 HYPERLINK l _Toc126037834 11技术文件 PAGEREF _Toc126037834 h 31 HYPERLINK l _Toc126037835 12其他 PAGEREF _Toc126037835 h 32 总则1.1本文件为中国网络通信集团公司（以下简称买方）“2005年中国网通集团DCN网络安全建设工程 边界防护安全产品集成部分”技术规范书，供集成商(以下简称

11、卖方)编写建议书和报价之用，建议书的内容格式应符合本规范书的要求。1.2 本文件中的“本项目”是指2005年中国网通集团DCN网络整合改造项目 安全系统工程；“本单项工程”是指2005年中国网通集团DCN网络整合改造项目 安全系统工程 边界防护安全产品集成部分，即本次招标的范围。1.3 卖方在建议书中，对本规范书中所提各项要求能否实现与满足，应逐项予以说明和答复。卖方亦可根据自己的产品技术性能具体情况，在建议书中提出建议，并附详细资料和说明。对本规范书各条目的应答为“满足”、“不满足”、“部分满足”，不得使用“明白”、“理解”等词语，在答复中，要求明确满足的程度，并做出具体、详细的说明。在回答

12、“满足”后，其后的任何解释均不能与“满足”相冲突，若发生冲突，则视解释无效。“不满足”可以详细解释。凡采用“详见”、“参见”方式说明的，应指明参见文档中的具体的章节或页码。需要做详细解释的内容应尽量放在逐条逐项答复中，若内容太多，可放在指明的附件中。1.4 卖方提供的各项设备和系统的特点、性能应完全符合买方指明的标准，并满足或高于买方指出的要求。在此文件中没有说明的条款，但相关国际标准化组织的标准(如ISO、IEEE、ITU-T、ETSI、IMTC、IETF等)及我国国家标准、信息产业部部颁标准已有建议的系统设备性能和功能，均应满足标准的最新建议要求。卖方供应设备的技术指标及这些设备构成网络系

13、统的性能应符合本规范书的要求。卖方应列出所提供设备和系统的规范，任何与买方技术规范书相关条款不同的都应指示出来，并详细说明原因。1.5若卖方的设备包含自己专用标准，也应在建议书中具体说明，并附上相应的详细技术资料。1.6 本技术规范书应视为保证网络运行所需的最低要求，如有遗漏，卖方应予以补充，否则一旦中标，将认为卖方认同遗漏部分并免费提供。1.7买方保留对本技术规范书的解释和修改权。买方修改和增补的内容与本技术规范书具有同等效力。1.8卖方应对所有提供产品的功能和性能负责，应对按照卖方提出的建议建设方案组建的相关系统功能和性能负责。如因卖方配置或建设方案不合理，而造成所提供的产品或采用其提供产

14、品及建议方案建设的安全系统未能满足本规范书要求，卖方应负全部责任。1.9本技术规范书包括DCN边界防护和试点省份EDC安全防护所需的IPS、漏洞描、出口路由器、交换机等产品技术规范以及包含防火墙、IDS等产品实施在内的边界防护和试点省份EDC安全防护工程规范。1.10卖方应承诺开放必要的产品接口，配合SOC集成商完成监控、采集接口的开发。1.11卖方所提供的硬件设备应保证是最新生产的设备、软件产品应是最新版的商用版本，并应对此软、硬件所涉及的专利、知识产权等法律条款承担义务，买方对此不承担任何责任。1.12卖方应在建议书中提供系统、设备的详细配置，并说明相应的计算方法及依据。1.13卖方在建议

15、书中应说明对供货时间、供货质量控制等的具体安排。1.14 卖方在建议书中应说明给买方提供的技术文件、技术支持、技术服务、人员培训、厂验等的范围和程度。1.15卖方应在建议书中列出提供的书面技术资料详细清单。1.16规范书有关内容的澄清(1) 卖方对于规范书的疑问可以通过书面材料与买方联系。在规定的建议书提交最后期限以前，买方将以书面材料给予答复，有关买方答复材料的复印件也将递交所有得到技术规范书的卖方。(2) 在技术谈判的各个阶段，买方将以书面形式要求卖方对有关问题进行进一步的技术澄清，卖方应以书面资料给予正式应答；所有各阶段的技术澄清文件都将作为合同附件。卖方技术建议书要求要求卖方在收到本规

16、范书之后十天内按买方的要求提供三份建议书、一份电子版文档（要求以中文OFFICE格式）和两份密封的报价书（中文）。建议书和报价书的要求如下。建议书的要求卖方所提供的建议书需按顺序必须含以下章节的内容（由于内容的不完整性造成的一切后果由卖方负责）：（1）综述（2）工程技术规范书点对点应答（3）详细设计和实施方案要求针对本文档中的建议方案进行细化或优化，除基本的方案建议内容外，还要包括实施方案等内容。要求实施方案面具备可操作性；方案建议包括但不限于以下内容：a.卖方需结合网通集团DCN骨干网络同省网的连接结构以及各试点省EDC网络结构等相关情况，针对建议部署方案进行细化。如有优化调整或全新方案，需

17、详细说明调整原因及调整、细化部分的规模。请卖方根据买方的功能和技术要求，提供两套方案。b.关于漏洞扫描系统，如果在省公司到市公司不进行分级部署，实施漏洞扫描时，省市公司之间的网络带宽占用应如何计算？厂家对此给出详细计算说明。c.技术建议方案应当具有完整性，形成一体化的解决方案。应包括产品或系统运维管理所必需的各类软、硬件，其中针对建议中涉及到的所有服务器、存储以及第三方软件，卖方应给出详细列表以及性能指标的详细需求和计算依据。服务器应详细列出内存（类型、大小）、CPU（频率、当前个数、满配个数）、硬盘(大小、类型)、显示器（类型、尺寸），核心服务器应列出TPCC值或EPS值；对于工作站应详细列

18、出内存（类型、大小）、CPU（频率、个数）、硬盘(大小、类型)、显示器（类型、尺寸）、显示卡类型；磁盘阵列应列出相关配件、大小、类型等；局域网交换机应列出端口数量、速率等。d.边界防护产品的部署(位置、方式及管控归属)方案建议。e.各类安全产品集中管理、策略制定及分发建议。f.后期边界防护及EDC安全防护的发展建议。g.系统的安全性、可靠性解决方案。h.系统组织连接图(包括网络和硬件的拓扑图以及安装的相应软件)。i.系统管理。（4）设备配置详细说明及设备配置详细清单（与报价表内容格式及项目相同，不含商务价格）。（5）所推荐设备情况(各种技术指标、接口特性、设备特性、设备安装方式及物理尺寸、供电

19、方式及耗电量、设备或机架接地要求、重量、温湿度等环境要求)，最好能提供设备相关性能指标的测试记录文档。（6）系统软件和购置的第三方软件的情况（含功能、性能等指标）。（7）安装设备和材料、备件和工具的数量清单。（8）买卖双方责任及分工界面。（9）工程实施计划a.工程进度表，包括需求分析、供货、安装、调测、割接、验收等工程各环节。b.工程实施和服务人员安排。（10）机房场地及环境准备要求以及在工程实施过程中对买方的其它要求。（11）设备安装要求及建议，抗震加固措施（12）技术文件（13）买方技术人员和业务使用人员培训。（14）验收及测试安排，设备测试、系统测试的方法和环境。（15）技术服务的范围和

20、程度（包括技术服务、支持、保修、软件升级等）。售后服务安排及质量保证措施（16）卖方须详细介绍卖方公司的总体情况(包括人员结构、企业资质等方面)、曾做过的类似项目情况、应用实例以及最终用户评议。（17）对于中国网通集团DCN安全系统发展方向的建议报价书要求（1）报价应按照物理位置分开报价。（2）报价应包括设备（软、硬件）、安装材料、备件、工具、仪表、技术文件及安装调测、培训、技术支持、保修等，并逐条逐项列出。（3）报价应包括设备名称、型号及配置模块、数量等详细内容。（4）报价以人民币为单位，应该报设备到现场（买方指定地点）的价格，运输费单独列出。（5）报价应按目录价、折扣价和折扣率分项列清。（

21、6）对于卖方向买方建议采用的业务和功能，卖方应详细描述和说明这些业务和功能并作为可选项提出报价。（7）卖方对本规范书涉及到的服务器、存储系统、数据库软件和微软产品提出合理的建议配置，并提供详细的计算依据。卖方对服务器、存储系统、数据库软件和微软产品单独进行报价并列出详细的配置清单供买方独立采购参考，这部分产品不计入工程总报价。卖方对这部分产品的配置建议和系统集成负有全面责任，卖方须承诺对这部分产品进行集成，并保证整体工程质量。（8）硬件报价要求：硬件部分须报出系统所需的全部设备的价格；（9）软件报价要求：卖方应提供最新的、成熟的、稳定的软件版本，并注明所提供软件的版本号，提供详细的功能清单。（

22、10）软件报价按以下分类方法:系统软件报价：包括操作系统（如果硬件平台采用商用计算机平台，可包含在硬件报价中）、数据库软件、工具和组件等。应用软件：应分为基本功能模块、可选功能模块两个部分。卖方应按模块提供详细报价；可选功能模块指厂家自己定义的可选软件功能，只计单价不计入合价。（11）卖方应承诺买方在后续的设备订货时，同一类型的软、硬件设备成交价格至少应不高于本次合同的成交价格。（12）服务报价要求卖方应对下述服务项目进行报价：原厂安装服务：卖方负责所有设备的安装。原厂系统调测服务：卖方应负责全部系统调测。（13）培训卖方就所提供的产品提供原厂技术培训，分为高级培训（高级技术人员或管理者）和操

23、作培训。卖方需就此两种培训，列出培训人员的数量和费用单价并给出详细的培训计划(包括时间、地点、课程等)。（14）可选报价对于可选软件、硬件和服务或卖方认为可以推荐给买方选择的软件、硬件和服务，可单独提出其项目和报价，但不计入合价，并提供技术性能及供经济技术比较所需的资料。工程描述项目背景依据集团企业信息化总体规划、五统一战略、上市公司对信息化的需求，集团公司逐渐加大了信息化建设的步伐。根据集团公司2005年信息化工作的总体目标“确保“21”项目的完成、提升信息化工作的水平”，中国网通在完成集团门户二期DCN网络改造工程之后，启动了“2005年中国网通集团DCN网络整合改造项目”，以期为集团企业

24、信息化系统提供统一、专用、安全、高效、易管理、易维护的多业务网络平台。“2005年中国网通集团DCN网络整合改造项目”包括网络系统工程和安全系统工程两部分，本工程是其中的安全系统工程部分。目前，“2005年中国网通集团DCN网络整合改造项目网络系统工程”已经启动并顺利进行，该项目的实施将建成覆盖全国31省的物理承载网，初步实现DCN骨干网和省网的互通。网络系统工程的实施为安全系统部署创造了条件，同时也对安全系统工程提出了更加明确的需求。工程建设目标与原则建设目标本工程通过边界防护的建设，以保护DCN网不同区域的安全性，防范未授权的访问，杜绝非法的数据包在不同安全区域之间的传递，将攻击阻挡在安全

25、区域环境之外。保证网络安全状况的可知和可控，确保DCN骨干网的安全，同时将省DCN网内部的不安全因素控制在较小的范围内。通过对试点省、市的数据中心的安全部署，以实现试点省、市数据中心安全的“可知性”，以便后期逐步完善安全体系。建设原则系统建设实现过程中遵从先进性原则、高可靠性原则、开放性原则、安全性原则、可管理性原则、可扩展性、经济性的原则。（1）先进性原则：采用先进的、开放的系统结构；采用先进的计算机技术；采用先进的现代管理技术，以保证系统的科学性。（2）高可靠性原则：系统的不间断运行与服务应达到电信级要求，应具有极高可靠性，并采用容错的设计确保系统的可靠性稳定性。（3）开放性原则：构建在完

26、善的系统平台基础上，考虑升级和个性化服务。遵循开放性和标准化基本原则，所选用的硬件设备、软件等必须遵循相应的国际标准，保证系统具有互操作性和开放性。各系统之间采用优化的原则，使各系统之间更好地配合，达到最佳的应用效果。（4）安全性原则：在系统建设时通过安全技术保证网络的安全性、数据的安全性、用户访问的安全性，在技术保障的同时，从管理层面加强安全性管理。（5）可管理性原则：采用集中式的管理可以节约资金、人力的投入，为用户提供更大的自由发挥的空间，同时也使管理变得简单，有利于在出现问题时，能够用最短的时间检查出问题并及时解决。（6）可扩展性原则：产品或系统应具有很好的升级能力，以适应科学技术高速发

27、展的需要。在必要时采用新的技术和设备对整个系统进行升级，满足应用系统不断增长的需要。（7）经济性原则: 采取有效的措施和实施方案合理利用投资、规避投资风险。工程建设范围本项目包括对在其他工程中购置百兆/千兆防火墙、百兆/千兆IDS设备以及本项目采购的千兆IPS、出口路由器、三层交换机、防DDOS攻击设备的总体集成。本项目采购的产品主要解决网通集团DCN骨干网络同各省主用DCN网络的边界防护，以及辽宁、山东、内蒙和天津四个试点省、市的企业数据中心的安全防护。主要建设内容如下。（1）边界防护：在网通集团DCN骨干网络同各省主用DCN网络边界部署IDS设备。在网通集团DCN骨干网络同各省（内蒙、南方

28、21省）主用DCN网络边界部署防火墙设备。（2）数据中心防护：辽宁、山东、天津等三个EDC防护试点省、市企业数据中心部署IDS设备,内蒙古的企业数据中心部署IDS、VPN互访控制防火墙、业务出、入口及员工互联网访问出口所需的路由器、交换机、防火墙及防DDOS设备。（3）北京、天津、河北、河南、山东、山西、黑龙江、吉林、辽宁、内蒙古及集团总部各部署1套漏洞扫描系统。网络现状集团骨干网同各省边界现状网通集团DCN骨干网络同各省主用DCN网络连接结构如下：图4-1DCN骨干网络同各省主用DCN网络连接结构目前,DCN骨干网已经开通MPLS VPN，北方10省大部分也已经开通了省内MPLS VPN；除

29、少数省份外，南方21省大部分省份未开通MPLS VPN。已开通省内MPLS VPN的省份，与集团DCN骨干之间采用VPN跨域互联。未开通MPLS的省份，核心路由器作为CE，集团骨干网汇聚层设备作为PE/ASBR实现省DCN网与集团DCN骨干互联。EDC防护试点省份网络现状辽宁EDC网络现状辽宁EDC内部由2台Extreme BD6816交换机及1台Cisco2948交换机(汇聚OA系统)作为核心交换机，下联各业务系统主机。山东EDC网络现状山东EDC内部由2台Cisco7609交换机及2台Cisco6509交换机作为EDC核心交换机，下联各业务系统主机。天津EDC网络现状天津EDC内部由2台C

30、isco7609交换机及1台3com 6012交换机(汇聚各专业网管系统)作为EDC核心交换机，下联各业务系统主机。内蒙古EDC网络现状内蒙古现有2个EDC机房，每个EDC核心交换机为2台华为S8505交换机，2台S8505交换机双归上联省核心华为NE80路由器。EDC内部各系统经由汇聚交换机上联2台EDC8505核心交换机。图4-2内蒙古EDC网络上联现状建议方案边界防护防系统部署边界防护防火墙部署在内蒙和广东省核心路由器同集团DCN网骨干汇聚设备之间各部署2台千兆防火墙设备，在南方21省（除广东外）省核心路由器同集团DCN网骨干汇聚设备之间各部署2台百兆防火墙设备。边界防护IDS部署在辽宁

31、核心路由器同集团DCN网骨干汇聚设备之间部署2台千兆IPS设备，在北京、天津、河北、河南、山西、山东、黑龙江、吉林、内蒙古和广东省等十省、市核心路由器同集团DCN网骨干汇聚设备之间各部署2台千兆IDS设备，在安徽、广西、海南、湖北、江西、陕西、四川、浙江、重庆等9个业务量较大的南方省、市省核心路由器同集团DCN网骨干汇聚设备之间各部署2台百兆IDS设备，在福建、甘肃、贵州、湖南、江苏、宁夏、青海、上海、西藏、新疆、云南等11个业务量较小的南方省、市省核心路由器同集团DCN网骨干汇聚设备之间各部署1台百兆IDS设备。EDC防护试点省安全部署辽宁、山东、天津EDC安全部署结合目前各省DCN网数据中

32、心的安全现状，首先要实现数据中心安全的“可知性”，只有在安全可知的前提下，才能更好的完善安全体系，部署更加完备的安全方案。为实现各试点省安全的“可知”，在辽宁EDC内2台Extreme BD6816交换机及1台Cisco2948交换机各侧挂1台千兆IDS设备，在山东EDC内2台Cisco7609交换机及2台Cisco6509交换机各侧挂1台千兆IDS设备，在天津EDC内2台Cisco7609交换机及1台3com 6012交换机各侧挂1台千兆IDS设备。在后期根据省DCN网络承载应用的不同，可以将其分为MSS、BSS和OSS。为了对各系统进行分类流量检测，建议后期进行如下部署。图4-3 试点省数

33、据中心安全监控系统部署后期目标内蒙古EDC安全部署对于内蒙古，考虑到自治区DCN骨干网为新建网络，链路条件较好，而内蒙古办公终端数量相对较少，为了便于对内蒙古网络安全进行集中管理，建议对内蒙古EDC做比较全面的安全部署。具体内容包括，EDC的入侵检测、EDC跨域安全互访控制和出入口集中控制。 图4-4内蒙古EDC安全防护建议方案如上图，可在2个EDC的核心交换机（PE设备）上各侧挂1台千兆防火墙和1台千兆IDS。IDS用以对病毒、蠕虫等引起的恶意流量进行进行检测，保证数据中心安全状况的可知，防火墙主要进行跨域（VPN）安全互访控制。为了对EDC出入口进行集中管理，建议在内蒙两个EDC分别部署一

34、套业务系统的Internet出口和Internet入口，出入口逻辑上分开，各建设1台出口路由器、2台千兆防火墙，并在业务入口建设1台防DDOS攻击设备。同时，为满足自治区办公人员上网的需求，建议在EDC部署一套员工上网出口，出口配置1台出口路由器、2台DMZ三层交换机、2台千兆防火墙设备。为便于省内办公人员互联网出口统一，建议此出口部署在省核心设备上，设备可安装在二枢纽EDC内。设备需求统计此部分设备需求为建议方案中边界防护和EDC防护中所涉及的相关产品的规模。表5-1 设备规模统计表序号设备单位数量本期端口需求部署位置1百兆防火墙台404个FE南方21省（除广东外）每省2台2千兆防火墙台14

35、4个GE内蒙、广东每省边界部署2台，内蒙2个EDC VPN互访4台、业务入口2台、业务出口2台、员工互联网出口2台3百兆IDS台292个FE安徽、广西、海南、湖北、江西、陕西、四川、浙江、重庆等9省、市省边界各部署2台百兆IDS，福建、甘肃、贵州、湖南、江苏、宁夏、青海、上海、西藏、新疆、云南等11省、市边界各部署1台百兆IDS。4千兆IDS台342个GE北京、天津、河北、河南、山西、山东、黑龙江、吉林、内蒙古和广东十省、市的边界各2台，辽宁EDC 3台，山东EDC 4台，天津EDC 3台，内蒙古EDC 4台。5千兆IPS台22GE(光口)辽宁边界2台6漏洞扫描器台11北京、天津、河北、河南、

36、山西、山东、黑龙江、吉林、辽宁、内蒙古、集团各1台7防DDOS攻击设备台1内蒙古EDC业务入口1台。8出口路由器台34个GE，4个FE/台内蒙古EDC业务出、入口和员工上网出口个1台。9三层交换机台22个GE，8个FE/台内蒙古EDC内员工上网出口2台。上表中百兆防火墙、千兆防火墙、百兆IDS、千兆IDS设备以及本工程所需的所有服务器、存储设备、第三方软件的采购不在本集成包中，本项目只负责此部分的集成建设。表中千兆IPS、出口路由器、三层交换机、防DDOS攻击设备的采购和集成由本项目负责。卖方系统及设备详细技术要求见第5章。设备及软件技术规范总体技术要求硬件（1）卖方提供的所有设备必须是最新的

37、商用产品，并保证所提供产品的数量、质量，特别是接口的兼容性。（2）各种设备应采用功能分担、分布式多处理机结构。设备支持冗余备份，风扇、电源、接口卡等关键部件支持带电热插拔，损坏时便于替换或者扩容。（3）设备要选用高质量的元器件，采用专业的硬件结构（NP、ASIC、经优化的X86），生产过程中进行严格质量控制，出厂前要经买方人员严格测试和检查，确保设备长期稳定、可靠地运行。（4）为满足后期工程建设需求，本期新增的网络设备应有良好的功能及端口扩展能力。软件（1）卖方提供的软件应包括确保设备正常运行所需的管理、运营、维护等软件。（2）软件要求为模块化结构，保证安全可靠，具有容错能力。（3）卖方提供的

38、软件应为最新商用版本，且不同时期软件版本应能兼容。同时要保证网络安全可靠及扩容和版本升级方便。（4）卖方应针对买方采购的设备为买方SOC系统提供完备的原厂产品知识库及更新服务。（6）卖方在建议书中应详细列出所提供的软件清单和说明。安装材料建议书中应包含各系统的安装材料清单。设备中应包含用于连接各种设备和硬件的室内线缆，如有错漏，由卖方无偿补足。消耗品卖方提供的设备应配有至少满足三年维护期使用的消耗品。维护工具仪器和备品备件（1）卖方应提供专用的维护工具和设备，提出建议和报价。（2）卖方应提供正常维护使用的备品备件及消耗材料，并提供清单。（3）卖方提供的设备应保证在至少五年内，不论提供的设备是否

39、还生产，买方均可得到备件。入侵防护（IPS）体系结构与硬件指标（1）产品应为硬件产品。（2）支持千兆以太网光接口，千兆以太网接口数量不小于4个。请详细描述。（3）开启过滤时的吞吐量不小于1Gbps。（4）最大并发会话数不小于100万。（5）应用多种过滤条件下延迟不大于800微秒。（6）硬件探测引擎的平均无故障时间不低于8万小时。（7）漏报率1%，误报率1%，卖方需明确设备的检测处理率。（8）应支持IPS和IDS两种模式，且两种模式可并行工作。（9）产品工作在IPS模式应具备bypass功能，要有防止检测引擎故障造成网络不可用的机制，故障切换时间小于1秒。请详细描述。（10）产品应支持双机部署的

40、HA和负载均衡。（11）支持IPv6隧道通信的识别。（12）产品应支持非对称路由网络结构，请详细说明对非对称路由的支持原理。（13）产品应提供大型关系型数据库接口以适应大规模部署及二次开发。检测能力（1）支持启发式上下文分析。（2）支持常见协议的分析，请提供支持的协议列表。（3）支持流量状态分析。（4）支持用户定义流量特征。（5）支持TCP重组、IP重组、RFC一致性检查、统一编码等抗IDS/IPS躲避技术。（6）支持异常流量监控、协议异常监控、二层流量监控等分析特性。（7）支持攻击数据的搜集，可防止DOS/DDOS攻击、防止端口/主机扫描等攻击。（8）支持漏洞攻击拦截、慢速扫描检测等入侵检测

41、技术。（9）卖方需明确产品支持的攻击特征签名数量。（10）支持对即时通信和点对点通信的检测和审计。（11）支持事件的过滤和合并。（12）卖方需说明产品对于跨产品、跨探测器的事件关联分析的支持能力，支持对不同类型事件、不同探测器检测到的事件以及其他第三方安全产品产生的安全事件综合关联分析。请详细描述进行事件关联分析的原理和效果，并给出支持的第三方安全产品的列表。（13）支持图形化的用户自定义攻击签名界面和向导。响应能力（1）支持应用程序预处理。（2）支持主动的、基于策略的响应措施：如会话终结、流量记录、执行用户定义程序等。（3）支持对网络中的会话连接进行监控，能够记录必要的会话内容并回放。如FT

42、P、Telnet、Http等会话。（4）支持与其他安全设备联动，请详细说明联动的方式和支持的品牌清单。（5）应支持对于交换机、路由设备中的流量统计数据的分析，并可识别、跟踪伪造源地址的攻击来源。（6）支持多种方式的报警，必须包括但不限于邮件、控制台声音报警、SNMP Trap、Syslog、脚本以及用户自定义等告警方式。（7）卖方需提供IPS架构中不同层次功能模块间响应时间的可信参考值。管理功能（1）支持集中管理和策略编制、分发。（2）策略编辑器应支持灵活的过滤规则，应能批量选取特征签名和定制特征签名的响应方式。（3）支持带宽管理、拓扑图形化管理等管理功能。（4）支持管理用户分级分权定制。（5

43、）能够与其他网管软件或安全管理软件集成。请列出支持的安全管理软件和网管软件。日志、报表功能（1）支持本地磁盘、syslog服务器、远端服务器等多种日志保存方式。（2）有完整的审计日志,审计日志可以导出，可进行统计分析。（3）应支持报告、报表的柱状图、饼图、表格等显示方式，导出报告方式应至少包括文本、PDF以及HTML格式。报表可定时生成。（4）报告内容应包括摘要性质的图表和详细的事件描述。（5）产品支持中文，包括界面、帮助信息、特征描述、解决方法、报表等内容。（6）支持用户自定义报表和预定义报表。升级更新（1）支持远程和本地升级服务器的更新。（2）支持自动和用户自行下载的安全弱点修补。（3）特

44、征库和检测引擎应支持手动、自动的更新方式。（4）更新的攻击特征应可按照一定规则自动应用，无需管理员手动在检测策略中添加或调整。漏洞扫描产品基本要求：（1）产品应为软件产品，卖方需明确产品架构，并能支持多级架构的灵活部署。（2）发现网络和主机系统的安全漏洞，并提供安全解决建议；对全网进行安全配置检查。（3）支持从不同的网络位置对网络设备进行扫描。扫描结束后生成详细的安全评估报告。（4）可以并行地检查多个被评估的系统，不能影响业务的正常运行。（5）产品应界面友好，所有的图形界面、报警信息、报表与文档、技术资料要求均为简体中文。产品部署要求（1）支持多个或多级产品的统一管控。（2）支持控制中心的多级

45、部署。（3）支持策略的统一制定和分发，应提供可编辑的策略模板。（4）支持对全网扫描结果的集中查询、分析。漏洞扫描能力要求（1）产品扫描信息应包括主机信息、用户信息、服务信息、漏洞信息等内容。卖方需给出各类扫描信息的详细列表。（2）产品应支持对扫描对象安全脆弱性的全面检查，如安全补丁、口令、服务配置等。请详细描述针对主机和网络的扫描类别及项目。（3）产品漏洞库应涵盖目前的安全漏洞和攻击特征，漏洞库具备CNCVE、CVE和BUGTRAQ编号。（4）应可对Windows系列、Linux、AIX、HPUX、IRIX、BSD等目标主机的系统进行扫描。（5）支持网络协议SNMP的漏洞检测。卖方需提供支持扫

46、描的网络设备厂商IOS列表。（6）支持主流数据库的检测，应包括：Oralce、Sybase、SQLServer、DB2等。（7）支持Windows域环境扫描，可针对目标主机的系统配置缺陷及漏洞进行扫描。（8）支持多主机、多线程扫描和断点续扫功能。（9）支持动态的显示扫描结果和实时的查看扫描结果（10）产品应能提供扫描IP范围的管理功能。（11）卖方需说明产品授权方式，产品是否需要与网卡等硬件绑定或需要原厂提供KEY的管理。报表能力（1）报告应具有易懂的漏洞描述和详尽的安全修补方案建议，并提供相关的技术站点以供管理员参考。（2）应可根据角色需求产生灵活的报告格式，支持用户自定义报表和预定义报表。

47、（3）扫描报告应可对安全的威胁程度分级，并能够形成风险趋势分析报表和主机间风险对比分析报告。（4）报表具备导出功能，可以导出不同格式的报表，如Excel、Word等。扫描策略配置：（1）产品要求提供多种缺省扫描策略，并可按照特定的需求，灵活制定目标对象或目标群组，可以同时应用不同扫描策略，并允许自定义扫描策略和扫描参数。（2）支持单机扫描、分组扫描和全部扫描的设置。（3）支持全自动定时扫描和多种计划扫描任务功能，可按照指定的时间、对象自动扫描，并自动生成报告。升级、管理（1）系统应支持自动和人工远程升级。升级内容应包括最新的漏洞库和系统自身的补丁程序。（2）支持分级、分权管理，能够对不同管理员

48、账号或角色灵活分配扫描任务。（3）支持策略集中分发。（4）支持用户的操作审计。相关认证（1）必须具备中华人民共和国公安部的计算机信息系统安全专用产品销售许可证，中国国家信息安全评测认证中心的国家信息安全认证产品型号证书，并提供证明。（2）产品要求取得CVE（Common Vulnerabilities and Exposures，世界漏洞披露组织）正式的兼容认证 （Certificate of CVE Compatiblity），并提供证明、文件或者在CVE网站可以查阅到。防DDOS攻击设备技术要求性能指标（1）提供不少于3个千兆以太网端口。（2）并发连接数不小于200万。（3）延迟10微秒。

49、（4）攻击防护性能：平均900M/BPS的DOS，DDOS攻击流量下保证100%的连接成功率。（5）请提供产品在遭受各类DDoS攻击情况下新建连接成功率、已有连接保持率的测试数据。（6）请提供在数据包大小分别为64字节、512字节和1518字节的流量下产品的吞吐量、延迟数据。功能需求（1）可实时显示设备状态信息（CPU、内存、流量、连接状态）。（2）支持攻击检测和防护参数的调整。（3）产品须支持通过“串联”或“并联”两种方式灵活接入网络；产品能够适应不同的网络环境，支持RIPv2，OSPF，BGPv4协议，支持全冗余的VRRP网络，支持VLAN。（4）产品须具备多台设备集群部署的能力，支持在大

50、攻击流量发生时手动或自动启动集群，保证整个系统可用性；。（5）可防护SYN FLOOD、ACK FLOOD、ICMP flood、UDP Flood/UDP DNS Query Flood、(M)Stream Flood和ICMP Flood、HTTP Get Flood全连接攻击及其变种。（6）使用智能攻击流量识别的技术进行防护，而不基于特定规则的方式，即当发生未知攻击，无需专门的撰写规则即可对这些攻击进行防护。（7）支持攻击流量的统计、排序。（8）支持Web页面的统计数据显示。（9）支持WEB和超级终端管理。（10）支持用户分级、分权管理。（11）支持Web方式在线升级。（12）提供完整的

51、系统运行日志，支持事件日志、流量日志和配置日志。（13）提供日志的本地存储、排序和查询功能。（14）支持标准的Syslog日志，支持Syslog日志加密传输。（15）支持多种报告和告警方式。（16）支持统一的策略、分发管理。卖方需提供推荐设备的详细功能及性能指标。出口路由器路由器技术协议本工程要求采用多协议路由器，至少支持以下技术协议：（1） 用户协议：IP、OSI CLNS、ATM、Frame Relay（2） 广域网协议： HDLC、PPP、Frame Relay、ATM（3） 路径协议：OSPF、BGP、IS-IS、PIM 、MPLS（4） 路由器管理/安全协议： SNMP Telnet

52、 Remote Access Username/Password for remote Access Security Control Access Lists (Routing) Debug Commands Syslog Event Logging Performance Tuning业务功能（1） 支持千兆以太网、快速以太网、E1/CE1、SDH(STM-1、STM-4)、ATM、DDN、Frame Relay连接，速率范围主要在2Mbps、100Mbps 、155Mbps、622Mbps、1000Mbps。（2） 支持服务质量保证。（3） 良好的队列管理和拥塞管理功能。（4）请卖方明确

53、产品对NetFlow或类似功能的支持情况。（5）除了以上业务功能外，卖方在建议书中要详细列出可供用户选用的其它业务项目。（6）卖方应对本节各项功能的实现方法给以说明。接口卖方需对下述接口的满足程度作详细说明。（1） SDH帧方式接口。路由器应能提供POS接口，接口速率以STM-1、STM-4为主，应至少能提供光接口，光接口应满足ITU-T G.957建议，接口协议可采用ITU-T X.85(IP over SDH using LAPS)、PPP over SONET/SDH(RFC1662、RFC2615)等。卖方应说明可支持的接口协议，若建议采用厂家专用协议，需给出详细的技术说明。POS接口

54、应支持APS自动线路切换功能，卖方应详细解释其切换过程和方式。（2）卖方应列出设备可提供的其他接口类型。（3）卖方应给出各种接口详细的技术规格和各种指标说明,并说明各种接口上支持的协议和可实现的业务特点。（4）卖方提供的路由器应能提供STM-1 POS、STM-4 POS和Gigabit Ethernet几种高速接口，并支持在这些高速接口上的多条链路负载分担能力，另外还要求在这些高速接口上支持多条相同metric的IGP路由之间的负载分担和快速切换能力。（5）卖方应说明上述各种接口是否支持端口捆绑。（6）卖方应提供上述高速接口对传输系统(SDH)相应传输指标的要求。设备主要性能参数卖方应就以下

55、性能参数提出满足情况或具体数值(说明数值来源)。(1) 路由器转发能力应可达线速，各种端口的经过ACL等控制后实际吞吐速率不应低于线速的100%。(2) 路由器交换容量应在20Gbps以上，转发能力应在10Mpps以上。(3) 在链路利用率不超过70%的情况下，路由器交换延时不应超过100微秒。(4) 详细描述路由器的处理结构、背板结构及最大吞吐能力。(5) 描述路由器的最大负载能力(最大可容纳模块数、端口数及端口速率)。(6) 卖方应提供路由器的下列IP包处理性能指标：IP包丢失率、IP包错包率、IP包处理时延，并说明上述指标所基于的具体条件(负载、包大小、带宽等)。(7) 描述路由器各种接

56、口的最大利用率。(8) 卖方应提供其设备的路由表容量和路由查询能力。(9) 系统的无故障工作时间（MTBF）大于10000 小时。MPLS支持（1）要求卖方设备支持MPLS。支持在单一设备开通MPLS VPN的PE、PE-ASBR功能，支持三种跨域VPN实现方式。（2）设备应支持L3 MPLS VPN(RFC 2547bits)、L2 MPLS VPN,支持VLAN，L2TP，FR，ATM到MPLS VPN的映射。支持MPLS VPN地址重叠。支持MPLS QoS服务质量保证。（3）设备虚拟路由转发表（VRF）不小于1K。（4）设备支持MPLS TE，支持MPLS TE实施后的每链路/每节点快

57、速重路由以及路径保护，单条标记交换路径进行链路保护的速度应在1秒以内。Ipv6支持要求卖方说明设备对于Ipv6及其过渡技术的支持程度。互操作性（1） 卖方应详细说明与其它厂家产品的互连、互通程度和能力。（2） 卖方应说明其各种设备端口，包括POS端口、千兆以太网端口、ATM端口、FR端口等，与其它设备的互通能力与保证。（3） 卖方应说明其设备支持的各种协议与其它设备的互通能力与保证。管理要求(1) 设备应至少支持SNMP网管协议与RMON II，可与网管中心配合完成故障管理、配置管理、性能管理和安全管理。卖方应说明其设备所支持的MIB以及从其设备各种接口上可得到的管理信息内容。(2) 卖方应列

58、明设备的安全措施。时钟同步卖方应提出其设备的时钟同步方式、是否可接受外时钟同步、设备内部自备时钟的精度指标。环境要求 设备要在下列环境下能够保证长期正常工作： 环境温度：5 35 相对湿度：30 80电源要求 设备应能在下列供电变化范围内正常工作： 直流： 40V 57V；交流：220V 10，50Hz 5。三层交换机满足以下局域网标准：（1） IEEE 802.3：以太网标准（包括802.3ab/802.3u/802.3z等）。（2） IEEE 802.1d：介质存取控制桥标准。（3） IEEE 802.1q：虚拟网标准。（4） IEEE 802.1p：优先级。（5） 组播协议支持及流量优化

59、功能。（6） 卖方应说明设备所能支持的其它标准。体系结构和能力（1） 无阻塞交换结构。（2） 背板带宽：大于等于8Gbps。（3） 包转发能力：大于等于5Mpps。技术参数及性能指标卖方应说明设备的下述指标，并说明所需的具体条件。（1） 交换机的端口容量。（2） 各种端口的buffer容量。（3） 每端口支持的MAC地址数和整机支持的MAC地址数。（4） 各端口对全双工、半双工的支持能力。（5） 内部交换能力、数据转发速率。（6） 交换机的传输时延。（7） 交换机的流量控制方式。物理接口具备接口速率：10/100 BASET,1000 BASE-T/LX/SX系统可靠性系统的无故障工作时间（M

60、TBF）大于10000 小时。管理规程（1） RFC 1157：简单网络管理协议（SNMP）；（2） RFC 1213：SNMP MIBII；（3） RMON/RMON II。互操作性具备与其它厂家产品互连互通能力。环境要求（1） 设备要在下列环境下能够保证长期正常工作： 环境温度：5 35相对湿度：30 80（2） 设备要在下列环境下能够保证短期正常工作： 环境温度：0 40相对湿度：20 90电源要求 设备应能在下列供电变化范围内正常工作： 直流： 40V 57V；交流：220V 10，50Hz 5项目管理项目开发方式与策略（1）卖方要详细介绍本次项目开发所采用的方式、策略、技术理论、适用