1、国陆丰宝丽华新能源电力有限公司BOWALUFENGBA0UHUANEWENERGYELECTRICPOWERCO.,LTD.信息网络及系统安全防范技术服务技术规范及要求厂长:总工程师:生技部:信息部:专业组:编写:陆丰宝丽华新能源电力有限公司2023年11月9日1.总则1.1.本要求是陆丰宝丽华新能源电力有限公司甲湖湾电厂关于信息网络及系统安全防范技术服务项目技术规范及相关要求。本技术要求适用于陆丰宝丽华新能源电力有限公司甲湖湾电厂信息网络及系统安全防范技术服务项目。要求主要内容为该项目工程范围、双方责任、安全指标、技术要求、质量控制要求、验收要求、安全文明施工和考核等相关事宜进行了规范和说明
2、1. 2.本技术要求提出的仅是最低限度的技术要求,并未对全部技术条件作出详细的规定,也未充分引述有关标准及规范的条文,投标方应保证提供符合本技术要求和相关的国家、行业标准的优质产品和服务。1.3. 签订合同和协议之后,招标方有权提出因规范、标准、规程及现场技术条件发生变化的一些补充要求,承包方必须接受并不得以此提出任何附加条件。1.4. 如果投标方对本技术要求中的条文有其它异议,投标方应以书面的形式提出并经双方协商后确定,否则招标方视为投标方完全符合本技术要求的内容。1.5. 本技术要求所提出的标准如遇与投标方所执行的标准发生矛盾时,按较高的标准执行。设备采用的专利涉及到的全部费用均被认为已
3、包含在报价中,投标方保证招标方不承担有关设备专利的一切责任。2.项目概况广东陆丰甲湖湾电厂位于陆丰市甲子镇以西海岬山附近海域,背山面海,厂距陆丰市约40km,西距湖东镇约5.5km,东北距甲子镇约8km,南面临南海;广东陆丰甲湖湾电厂规划容量为8X1000MW燃煤发电机组,一期规划建设21000MW机组,首两台100oMW机组已于2019年4月建成投产发电,本工程在首两台机组基础上扩建2X1000MW燃煤发电机组,同步建设100%烟气脱硫装置和脱硝装置。三大主机均采用上海电气集团产品,机组按基本负荷考虑,但具有较好的调峰性能,机组年利用小时为7000h0近年来,全球数据安全威胁呈现多样化趋势,
4、各类数据泄露、网络攻击、恶意软件、数据贩卖等问题层出不穷,极大危害到网络安全和企业利益。“没有网络安全就没有国家安全”,数据安全防护是网络安全的基础,是国家安全的重要部分,数据安全防护问题在全球范围内引起了广泛关注。除此之外,信息技术的快速发展,催生出许多新型高级的网络攻击手段,使得传统的检测、防御技术暴露出严重不足,无法有效抵御外界的入侵攻击。不断攀升的数据安全防护问题已成为当今全球网络安全的核心关注点,阻碍着数字经济的稳步发展。另外病毒的感染、传播的能力和途径也由原来的单一、简单变的复杂、隐蔽,Windows病毒更加复杂,带有黑客性质的病毒和特络依木马等有害代码大量涌现。DDOS.ARP等
5、网络攻击,广播风暴和蠕虫病毒等网络安全问题直接影响企业业务系统的正常运行和数据安全。由于甲湖湾电厂网络结构比较复杂,而且涉及众多服务器的管理和多部门,多系统之间的协调,不同的系统根据其应用状况具备不同的安全特性。如DCS系统等控制系统属于内层实时监控。与实时系统直接相连,与其他系统物理隔离;MlS等系统属于外层,通过防火墙与因特网相连。在电力系统专用通信数据网络的应用中,有直接光纤、数据网络、信息网络等3种方式,不同的应用也采取了不同的方式。继电保护、安全自动装置直接采用光纤或SDH进行信息的传输。计算机病毒可能带来的威胁和损失是不可估量的,而在信息被破坏后再杀毒也无法挽回已经造成的损失,所以
6、对于厂内信息管理人员来说,对计算机病毒的态度将是“防毒+杀毒”的结合,以防为主。在病毒可能流传的各个渠道中都设监控,结合定时病毒扫描和自动更新,才能保证系统的安全。同时,在新形势、新业杰下构建一套覆盖全网,具备全面深度威胁检测、感知全网安全态势的防御系统,抵御APT攻击,降低数据泄露、病毒感染风险。通过对攻击事件的聚合和关联分析,全面提升针对攻击威胁的检测、发现、分析、定位和溯源能力,从正常行为中发现未知威胁事件,利用情报线索预测未来可能发生的安全事件,从“被动式”向“预判主动式”转变,实现数据安全威胁的主动防御。通过引入信息网络及系统安全防范技术服务的技术支持,提升甲湖湾电厂信息化应用的整体
7、可靠性及安全性,确保甲湖湾电厂的常规业务和核心业务的顺利开展,保障各项业务系统安全可靠平稳运行,防止数据泄露、病毒感染。3.职责分工3.1.投标方职责3.1.1.负责按照电厂设计及使用要求,对项目范围进行设计、部署、及维护。3.1.2.负责按照合同、协议及相关管理规范和技术标准要求开展、组织、实施承包范围内设备的供货、出厂检测、运输、检查、安装、调试、联调工作,并对承包范围内设备的完整性、完好性、合规性、合法性以及招标方厂区内作业过程中的安全、健康、环保、技术、质量、进度和文明生产负责。3.1.3.负责根据现场实际及安装、调整、试验、校核和联调等工作中发现的问题进行分析、判定和解决,必要时应对
8、所供设备及附件进行退换。3.1.4. 负责按照电厂管理要求提供所供设备和系统的出厂资料(包括使用和产品说明书、接线图、出厂检验报告等)及相关安装、调试方案和报告。3.1.5. 负责对招标方厂区内作业所需工器具、仪器仪表及所供设备、系统、材料进行安装使用前的检验,确保其符合相关技术标准和安全规范要求,并对质量不合格设备和材料投入使用产生的后果负责。3.1.6. 负责所供设备和系统安装投运后运行情况跟踪和后续问题的处理。3.1.7. 负责培训招标方现场运行和维护工程技术人员,并使这些人员能够满足现场设备以及系统运行操作和检修维护的需要。3.1.8. 负责招标方厂区内作业期间施工区域的文明卫生和施工
9、垃圾的清扫、清理,并按要求将施工废弃物集中放置在指定地点。3.2.招标方职责3.2.1. 负责按照合同、协议及相关规范、标准和管理制度要求对投标方厂区内的作业进行日常管理、并对其所供设备和系统的完整性、完善性、合规性、合法性及其厂区内作业的安全、健康、环保、技术、质量、进度和文明生产开展监督检查和考核工作。3.2.2.负责监督承包范围内作业计划落实,并对投标方所供设备和系统、材料及其作业质量进行检验验收。3.2.3.负责按照管理制度要求审阅投标方提供的所供设备出厂资料(包括合格证明、设备使用和产品说明书、接线图、出厂检验报告等)和审批投标方编制的相关安装、调试方案和报告。3.2.4.负责配合投
10、标方办理入厂作业手续并协助办理工作许可、设备隔离等入厂作业的配合、联络、协调、沟通工作(包括设备的领用和二次搬运、装卸)。3.2.5.负责施工垃圾和废弃物的处置。3.3.基本要求3.3.1,投标方应具有符合国家、行业相关规范和文件要求、与其承包范围相适应的企业资质,其拥有的相应企业资质应合法有效,并按照法律法规以及合同、协议约定在其资质许可范围内承接、开展相关的业务。3.3.2,投标方应严格遵守国家、地方的法律法规和招标方相关管理规范和技术标准。3.3.3.投标方具有独立承担民事责任的能力:在中华人民共和国境内注册的法人或其他组织或自然人,投标(响应)时提交有效的营业执照(或事业法人登记证或身
11、份证等相关证明)副本复印件。分支机构投标的,须提供总公司和分公司营业执照副本复印件,总公司出具给分支机构的授权书。3.3.4.有依法缴纳税收和社会保障资金的良好记录:提供投标截止日前6个月内任意1个月依法缴纳税收和社会保障资金的相关材料。如依法免税或不需要缴纳社会保障资金的,提供相应证明材料。3.3.5.具有良好的商业信誉和健全的财务会计制度:供应商必须具有良好的商业信誉和健全的财务会计制度(提供上一年年度财务状况报告或基本开户行出具的资信证明)。3.3.6.履行合同所必需的设备和专业技术能力:按投标(响应)文件格式填报设备及专业技术能力情况。3.3.7.参加采购活动前3年内,在经营活动中没有
12、重大违法记录:参照投标(报价)函相关承诺格式内容。重大违法记录,是指供应商因违法经营受到刑事处罚或者责令停产停业、吊销许可证或者执照、较大数额罚款等行政处罚。(根据法律、行政法规以及国务院有关部门明确规定相关领域“较大数额罚款”标准高于200万元的,从其规定)。3.3.8.供应商未被列入“信用中国”网站(.cn)”记录失信被执行人或重大税收违法案件当事人名单或政府采购严重违法失信行为”记录名单;不处于中国政府采购网(.cn)“政府采购严重违法失信行为信息记录”中的禁止参加政府采购活动期间。(以资格审查人员于投标(响应)截止时间当天在“信用中国”网站(.cn)及中国政府采购网()查询结果为准,如
13、相关失信记录已失效,供应商需提供相关证明资料)。3.3.9.单位负责人为同一人或者存在直接控股、管理关系的不同供应商,不得同时参加本采购项目(或采购包)投标(响应)。为本项目提供整体设计、规范编制或者项目管理、监理、检测等服务的供应商,不得再参与本项目投标(响应)。投标(报价)函相关承诺要求内容。4.技术要求4.1.方案设计原则4.1.1.高可靠性原则可靠的网络是其信息化的基础,网络安全设备由于部署在关键节点,成为网络稳定性的重要因素。整个网络防入侵设计必须考虑到高可靠性因素。4.1.2.可扩展性要保证网络安全的基础上整个网络具有灵活的可扩展性,特别是对安全区域的新增以及原有安全区域扩充等要求
14、具有良好的支持。4.1.3.开放兼容性设计系统时,既要保证安全产品设计规范、技术指标符合国际和工业标准,也要支持多厂家产品,从而有效的保护投资。4.1.4.先进性原则网络中的安全设备必须采用专用的硬件平台和专业的软件平台保证设备本身的安全。既体现先进性又比较成熟,并且是各个领域公认的领先产品。4.1.5.安全最小授权原则数据防入侵策略管理必须遵从最小授权原则,不同安全区域内的主机只能访问属于相应网络资源。对网络资源必须控制保护,防止未授权访问,保证信息安全。为了提高整体安全性,抵御网络攻击,很多企业会在网络架构上部署IPSo4.1.6.产品选型原则1)先进性:所选产品及其组网技术必须达到国际先
15、进水平,并具备适当的技术前瞻性;2)高性能:所选产品硬件设计上严格依据业界同等技术最高性能标准进行设计;所选产品软件开发必须采用优化的平台进行开发;所选产品必须经过严格的功能和性能测试,并达到标准;3)高可用性:提供多种故障恢复和冗余备份机制;提供各种网络负载分担机制;设备需具有一定程度的智能特性,以提高网络的可用性;4)可管理性:设备必须提供界面友好、易于操作的管理方式;为网络管理者提供多种易于使用的故障定位手段;对用户的接入提供灵活、安全的管理手段;5)安全性:必须对无线用户提供全面的安全接入保护能力;对无线网络中存在的不安全因素具有发现和告警(或抵御)机制;6)可扩展性:设备必须具备技术
16、前瞻性和向后兼容性;组网灵活,易于扩展;7)开放性:设备功能研发尽可能遵循国际标准的协议;可根据客户应用需求开放必要的应用接口;8)经济性和实用性:所选产品具有较高的性价比;在符合用户需求的前提下选择性能合适的产品。4.2.入侵监测防护要求4.2.1.基础网络安全优化原则(1)先进性:选择的产品要技术领先期长、产品丰富,价格适中。具有大容量、高速率、能适应多媒体应用需求,及将来发展的应用。(2)可扩展性:布线系统不但要能满足现阶段的业务需求,还要满足将来业务增长和新技术发展的要求。(3)便于升级:计算机网络技术以惊人的速度向前发展,因此系统的设计要便于升级。(4)高可靠性:综合布线系统是网络应
17、用所依赖的基础,因此选择的系统产品要具备较好的可靠性和抗干扰性。(5)标准化:通讯协议和接口符合国际标准,并应是今后的发展主流。(6)开放性:能容纳不同厂家的设备和不同的网络平台。(7)安全性:具有保证信息不被窃、不丢失的机制。(8)实用性:系统拓扑结构必须要满足厂区的各种应用要求。(9)设计、施工、运营与服务:强调以人为本的设计思想,为用户提供安全、方便、快捷、高效、工作环境。(10)在设计时应尽量做到统一规划,注重实用,适当超前,达到较为先进的水平;避免反复布线只会造成投资上的浪费和时间上的消耗。4.2.2.无线AP防入侵需求无线AP网络解决方案应在用户安全、系统安全、数据安全等方面提供多
18、种无线接入安全特性,充分满足各种场所下无线数据安全接入的需求。用户安全:方案所选设备应支持目前各种用户认证的方式(802.IX、WEB认证、MAC、SSID等),网络管理者可以根据需求方便的选择不同认证方式向用户提供安全的无线接入,并有效阻止非授权人员访问网络。同时,本方案所选无线接入点(AP)上还提供无线用户数据隔离功能,防止恶意用户通过无线网络访问其它用户的电脑。系统安全:方案所选设备应提供对非法及恶意AP接入的检测和隔离、针对无线网络的DOS攻击防护、对无线终端的异常流量进行检测及报警等功能。数据安全:方案所选设备应完全符合802.Ili强健无线安全的要求,并提供包括WEP、WPA、WP
19、A2在内的全面安全特性,满足不同用户的安全需求。保障甲湖湾电厂行政办公区和生产办公区部署的无线网络安全,保护网络的移动边缘免受有害网络安全的无线威胁。将无线入侵防护集成到移动边缘基础结构中,使管理员可以清楚地观察网络,阻挡恶意无线攻击、伪冒和未认证的入侵。需要提供以下AP防入侵服务。防止欺诈AP(2)欺诈AP分类和自动阻拦(3)拒绝服务(DoS)攻击侦测(4)管理框架洪水(5)未认证的入侵(6)认证洪水(7)探测请求洪水伪冒AP洪水(9)EAP握手洪水(10)网络障碍侦测和广播探测(11)蜜罐AP防护(12)有效站点防护(13)无线网桥防护(14)脆弱加密执行侦测(15)伪冒侦测和防护(16)
20、MAC地址欺骗防护(17)中间人攻击4.2.3.防病毒要求4.2.3.1.安全性:防病毒产品必须具有国内完全自主知识产权(包括杀毒引擎、程序和病毒库三个部分)4.2.3.2.防病毒产品自身必须有足够的安全性,管理、运行不能建立在安全漏洞众多的平台上面(如IlS),并且不需要安装ACtiVeX控件,无需依靠APaCheHTTPServer、JDK(Java2SDKStandardEdition)等,避免本意是保护系统的安全而实际给系统带来更大的安全隐患的现象出现。4.2.3.3.防病毒软件的隔离模式为本地隔离,不允许集中隔离到服务器,避免领导计算机上的涉密文件感染病毒后,防病毒系统将该涉密文件传
21、输到系统管理员的计算机(或服务器)上造成泄密的情况出现。4.2.3.4.防病毒产品控制台必须能实时显示客户端状态(如软件版本,实时监控状态,IP地址,操作系统类型等);具有任意分组分级功能,并能够为不同组、不同客户端设定单独的防病毒策略;4.2.3.5.必须支持多级中心(至少三级以上)管理,管理升级平台不需要第三方产品支持,日志管理和统计不需要第三方产品支持;4.2.3.6.单独一个管理中心只需一部服务器(包含管理、升级等功能);单独一个管理中心必须能承担同时100o台以上客户端在线的管理和升级;实现我厂所有计算机的防病毒软件安装,包括一年的升级服务,新版本出现后,对系统免费升级更换到最新版本
22、4.2.3.7.防病毒软件实时监控必须至少有文件监控、邮件(发和收)监控、内存监控、网页监控、注册表监控、引导区监控、漏洞攻击监控;具有网络黑名单功能,能阻断网络中向本机传播病毒的机器的连接。4.2.3.8.支持各种Windows操作系统平台;支持各种UNIX(至少支持Solaris.AIX.HP-UX).LINUX等常用操作系统平台;管理控制台能统一管理WindowsUnix和LinUX端。4.2.3.9.具有领先的主动防御技术定时数据保护和数据恢复功能。4.2.3.10.具有漏洞扫描、系统漏洞补丁自动分发、注册表修复功能,具有病毒预警功能;42.311支持多种压缩格式,支持多语言(同时支
23、持中英文),并自动识别系统平台语言,具有病毒自动隔离功能;4.2.3.12.支持USB和软盘的DoS应急盘制作,DoS应急盘支持NTFS文件系统和图形界面;4.2.3.13.病毒代码库和病毒扫描引擎的更新每工作日不少于一次;4.2.3.14.提供多种远程病毒报警手段,能将病毒报警信息多种方式传递给管理控制台或管理员;具有二次开发接口及服务的能力;并且防病毒软件开放程序接口(API),以便用户网管软件能接收病毒报警信息。4.2.3.15.具有查询统计功能,并且查询统计功能可以不借助第三方数据库;能按时间(日、周或任意时间段)、按IP地址、机器名、按病毒名称、病毒类型进行统计查询。4.2.3.16
24、集成全网端点准入控制管理功能,提供专项准入控制支持模块,实现和思科、华为3C0M和迈普等相应产品实现无缝集成和联动。4.2.3.17集中管理支持多级系统管理中心部署,至少三级以上,并支持各级管理中心进行的统一升级,统一管理。4.2.3.18.支持在管理控制台显示全网的安全概况,如当前防病毒系统的运行状态、重要事件和最近感染的病毒和客户端排行。4.2.3.19.支持分级管理及多管理员权限划分,如:超级管理员,审计管理员,操作管理员。4.2.3.20.管理控制台支持对防病毒客户端的分组管理,分组管理功能支持预制策略、自动分组,自动分组可以按机器名称、IP地址、操作系统类型进行自动分组。客户端自动
25、分组自动获取策略(设置自动分组规则,设置组策略,新安装客户端自动进入相应组自动应用组策略)。4.2.3.2L支持移动式管理,管理员根据需要可以在任一客户端进行集中管理操作。4.2.3.22.管理控制台支持实时显示客户端的状杰,并可导出已安装所有客户端详细报表,包括机器名称、IP地址、操作系统类型、连接状态、监控状态、当前版本信息、所使用的通讯端口等信息。4. 2.3.23.管理员可通过控制台锁定防病毒客户端的使用权限。4.1. 3.24.为防止防病毒客户端未开机,而进行全网查杀或设置,在防病毒客户端下次启动提供补做功能。4.2. 3.25.控制台支持系统加固、应用程序控制、木马行为防御木马入侵
26、拦截(网站拦截)、木马入侵拦截(U盘拦截)、智能防御自定义白名单、自我保护等主动防御策略下发。4.2.3.26.管理控制台支持远程对防病毒客户端进行漏洞扫描,并能进行补丁的自动分发。4.2.3.27.管理控制台支持通知客户端立即升级、客户端主动升级。4.2.3.28.管理控制台支持远程安装/卸载防病毒客户端和管理控制台。4.2.3.29支持多种病毒报警方式,包括发送到管理控制台、声音报警、发送邮件(SMTP)、发送SNMP陷阱(SNMPTrap)、显示消息框(MeSSage)、保存NT事件日志(NTLog)、报告给上级中心、支持SySLog日志报警,同时,用户可自订制报警方式。4.2.3.30
27、病毒日志二次开发功能;提供全面第三方二次开发接口,兼容其它安全管理软件。4.2.3.31.具有病毒日志查询与统计,可以随时对网络中病毒发生的情况进行查询统计,能按时间(日、周或任意时间段)、按IP地址、机器名、按病毒名称、病毒类型进行统计查询;能将染毒机器进行排名,能将查询统计结果打印或导出多种报表格式(如txt/htm/csv/xls)。4.2.3.32.支持病毒的ToP统计,同时也支持客户端,组和中心的病毒TOP统计;支持对病毒事件和客户端的病毒发作进行趋势分析;支持组与组之间,中心与中心之间的病毒趋势比较分析。4.2.3.33.防病毒客户端的病毒事件上报策略支持如下两种自定义方式,解决
28、大型网络中病毒日志庞大引起的效率问题。4.2.3.34.支持按计划生成日报、月报,并发送给指定管理员的邮箱中。4.2.3.35.具有安全密码保护功能,防止用户随意卸载杀毒软件、关闭实时监控等功能。4.2.3.36.集成化的强制性安全管理,与知名硬件厂商联动,如思科NACs华为3comEAD4.2.3.37.管理控制台支持远程提取防病毒客户端各种诊断信息,便于管理员分析客户端问题。4.2.3.38.支持病毒库无缝主动式智能升级。全网统一自动升级,不需要人为干涉。系统管理中心升级支持自动、手动等多种升级方式。4.2.3.39.防病毒客户端升级支持代理功能,并可锁定升级代理,减轻服务器升级压力4.2
29、3.40.升级过程支持增量升级(包括病毒集中管理服务器从网站升级,客户端从毒集中管理服务器升级,下级毒集中管理服务器从上级毒集中管理服务器升级),以减少升级时带来的网络流量;可设置升级周期和升级时间范围,保证及时升级并避免升级时占用网络带宽影响用户正常业务的通讯;可任意调整升级时的数据包大小,以解决窄带网络的升级问题。4.2.3.41.可检测并清除隐藏于电子邮件、公共文件夹的计算机病毒、恶性程序等。支持压缩文件查毒、清毒,压缩层次不少于50层,支持的压缩格式不少于15种。能够对各种加壳的病毒文件进行病毒查杀,支持的加壳种类不少于80种。打包文件查毒、清毒(最高支持50层)。对常见格式(7zi
30、p,rar,zip)支持解压分卷压缩包,支持多任务查杀。防(杀)病毒软件能够自动隔离感染而暂时无法修复的文件,并在用户许可的情况下传送至生产商。4.2.3.42.邮件病毒检测及清除能力:支持邮件接收、发送检测;邮件文件静态检测、清毒;邮箱静态检测、清毒。同时,至少同时支持FoXmai1、Outlook、OutlookExpressNotes和NetSCaPe等客户端邮件系统的防(杀)病毒。4.2.3.43.采用宏指纹识别技术更有效的查杀OFFlCE宏病毒。无毒文件安全码技术提高病毒查杀速度。4.2.3.44.支持共享文件的病毒查杀。能够准确查杀计算机病毒不少于130万种。能够实现主动防御,应包
31、括以下模块:系统加固、应用程序控制、木马行为防御木马入侵拦截(网站拦截)、木马入侵拦截(U盘拦截)、智能防御自定义白名单、自我保护,具有未知病毒检测、清除能力。4.2.3.45.支持族群式变种病毒的查杀。具有智能解包还原技术能够对原始程序的入口进行检测。4.2.3.46.支持文件监控、邮件监控一体化实时监控:文件监控支持“智能监控”和“强制杀毒”两种模式;邮件监控支持多端口设置功能,可以对设置的所有端口的进行邮件监控。网页监控支持监控网页脚本来检测恶意网页内容并提示用户进行处理。4.2.3.47.集成主动防御功能和安全软件自我保护功能,阻断未知病毒和各种网络威胁的入侵。4.2.3.48.支持O
32、ffice/IE/LotusNotes等嵌入杀毒;支持用户添加嵌入杀毒的应用程序;支持MSNMessengerAOLMessengerFlashGetNetAnts、NetVampireWinZipWellGetWinRAR等工具的嵌入式杀毒功能。4.2.3.49.自持可疑文件上报功能,如果用户觉得某个文件比较可疑,可将此文件上报给防毒厂商进行检查分析和处理。4.2.3.50.支持电脑安全评测功能,让用户全面了解自己计算机,引导用户增强其安全性,防止病毒入侵。4.2.3.51.支持内嵌信息中心,能够及时提供最新的安全信息和病毒预警提示。4.2.3.52.具有漏洞扫描和管理功能,可以通过扫描系统
33、中存在的漏洞和不安全的设置,提供相应的解决方案,同时,支持从防病毒管理中心下载补丁的功能。4.2.3.53.支持病毒查杀时目录排出功能。支持密码保护设置,防止客户端用户关闭实时监控或卸载杀毒软件等。4.2.3.54.支持光盘启动杀毒,支持通过IinUX引导查杀NTFS分区病毒。4.2.3.55.支持空闲查杀、异步查杀、断点查杀、后台查杀、快捷杀毒功能;支持开机扫描功能;支持关键点扫描。42.356具有病毒隔离系统,保护无法查杀的带毒文件;支持引导扇区和主引导记录区备份和恢复。4.3.入侵监测技术要求投标方制定符合实际需要的安全策略,防止可能从网络和系统内部或外部发起的攻击行为,重点防止那些来自
34、国外、地域级IP黑名单和内部可疑IP的攻击。投标方提供的防止入侵和攻击的主要技术措施应包括但不限于访问控制技术、防火墙技术、入侵检测技术、安全扫描、安全审计和安全管理。4.3.1.访问控制技术访问控制是网络安全保护和防范的核心策略之一。访问控制的主要目的是确保网络资源不被非法访问和非法利用。提供的访问控制技术至少需要包括网络登录控制、网络使用权限控制、目录级安全控制,以及属性安全控制等多种手段,每种访问控制手段的要求如下。(1)网络登录控制网络登录控制是网络访问控制的第一道防线。通过网络登录控制可以限制用户对网络服务器的访问,或禁止用户登录,或限制用户只能在指定的工作站上进行登录,或限制用户登
35、录到指定的服务器上,或限制用户只能在指定的时间登录网络等。网络登录控制一般需要经过三个环节,一是验证用户身份,识别用户名;二是验证用户口令,确认用户身份;三是核查该用户账号的默认权限。在这三个环节中,只要其中一个环节出现异常,该用户就不能登录网络。其中,前两个环节是用户的身份认证过程,是较为重要的环节,用户应加强这个过程的安全保密性,特别是增强用户口令的保密性。用户可以使用一次性口令,或使用IC卡等安全方式来证明自己的身份。网络登录控制由网络管理员依据网络安全策略实施的。网络管理员可以随时建立或删除普通用户账号,可以控制和限制普通用户账号的活动范围、访问网络的时间和访问方式,并对登录过程进行必
36、要的审计。对于试图非法登录网络的用户,一经发现立即报警。(2)网络使用权限控制当用户成功登录网络后,就可以使用其所拥有的权限对网络资源(如目录、文件和相应设备等)进行访问。系统需要对用户的使用权限进行有效的控制,否则可能导致用户的非法操作或误操作。网络使用权限控制能针对可能出现的非法操作或误操作提供一种安全保护措施。通过网络使用权限控制可以规范和限制用户对网络资源的访问,允许用户访问的资源就开放给用户,不允许用户访问的资源一律加以控制和保护。网络使用权限控制是通过访问控制表来实现的。在这个访问控制表中,规定了用户可以访问的网络资源,以及能够对这些资源进行的操作。根据网络使用权限,将网络用户分为
37、三大类,一是系统管理员用户,负责网络系统的配置和管理;二是审计用户,负责网络系统的安全控制和资源使用情况的审计;三是普通用户,由系统管理员创建的用户,其网络使用权限是由系统管理员根据他们的实际需要授予的。系统管理员可随时更改普通用户的权限,或将其删除。(3)目录级安全控制用户获得网络使用权限后,即可对相应的目录、文件或设备进行规定的访问。系统管理员为用户在目录级指定的权限对该目录下的所有文件、所有子目录及其子目录下的所有文件均有效。如果用户滥用权限,则会对这些目录、文件或设备等网络资源构成严重威胁。目录级安全控制和属性安全控制需要提供可以防止用户滥用权限的功能。对目录和文件的访问权限包括系统管
38、理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限和访问控制权限。目录级安全控制可以限制用户对目录和文件的访问权限,进而保护目录和文件的安全,防止权限滥用。(4)属性安全控制属性安全控制是通过给网络资源设置安全属性标记来实现的。当系统管理员给文件、目录和网络设备等资源设置访问属性后,用户对这些资源的访问将会受到一定的限制。属性安全控制需要提供限制用户对指定文件进行读、写、删除和执行等操作,可以限制用户查看目录或文件,可以将目录或文件隐藏、共享和设置成系统特性等。(5)服务器安全控制网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等。
39、网络服务器的安全控制包括设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。4.3.2,防火墙技术防火墙是用来保护内部网络免受外部网络的恶意攻击和入侵,为防止计算机犯罪,将入侵者拒之门外的网络安全技术。内部网络和外部网络之间的所有网络数据流都必须经过防火墙。这是防火墙所处网络位置特性,同时也是一个前提。只有当防火墙是内、外部网络之间通信的通道,才可以全面、有效地保护企业网部网络不受侵害。所谓网络边界即是采用不同安全策略的两个网络连接处,比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的
40、连接等。防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。投标方利用防火墙技术需要能够严密监视进出边界的数据包信息,能够阻挡入侵者,严格限制外部网络对内部网络的访问,也可有效地监视内部网络对外部网络的访问。4.3.3.入侵检测技术入侵检测技术是网络安全技术和信息技术结合的产物。使用入侵检测技术实时监视网络系统的某些区域,当这些区域受到攻击时,能够及时检测和立即响应。4.3.3.1.IPS特征库应内置不少于五千种攻击特征,并自动通过Internet更新,确保用户在第一时间实现对最新攻击方式的防御IPS特征库
41、应包含大量国内特有的攻击或应用,如、微信、迅雷等,适应国内用户的本土化需求。特征库至少需要包括以下几大类攻击库。(1)溢出类攻击(bufferoverflow)缓存溢出(BUfferoverflow),在存在缓存溢出安全漏洞的计算机中,攻击者可以用超出常规长度的字符数来填满一个域,通常是内存区地址。在某些情况下,这些过量的字符能够作为“可执行”代码来运行。从而使得攻击者可以不受安全措施的约束来控制被攻击的计算机。(2)SQL注入类攻击SQL注入即是Web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在Web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情
42、的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。(3)跨站脚本类攻击(XSS)跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。(4)跨站请求伪造攻击(CSRF)浏览器有关Cookie的设计缺陷当前主流的Web应用都是采用Cookie方式来保存会话状态,但是浏览器在引入COOkie时却忽视了一项非常重要的安全因素,即从WEB页面产生的文件请求都会带上COoKIE。Cookie的这一特性使得
43、用户始终以登录的身份访问网站提供了便利,但同时,也方便了攻击者盗用身份信息执行恶意行为。(5)暴力破解类暴力破解(bruteforce),又名暴力攻击、暴力猜解,从数学和逻辑学的角度,它属于穷举法在现实场景的运用。比如,由于同一个Web应用系统需要同时提供给不同的用户进行访问,为了区分用户及权限,身份认证和访问控制作为Web应用安全手段逐渐应用开来。然而由于登录功能的公开性,使得攻击者猜测用户名和密码以获取未授权访问的应用程序功能的攻击成了一种常见的Web应用安全风险。(6)Webshell类攻击攻击者在入侵企业网站时,通常要通过各种方式获取webshell从而获得企业网站的控制权,然后方便进
44、行之后的入侵行为。常见攻击方式有:直接上传获取webshell.SQL注入、远程文件包含(RFD、FTP,甚至使用跨站点脚本(XSS)作为攻击的一部分,甚至一些比较老旧的方法利用后台数据库备份及恢复获取websheik数据库压缩等。通用功能包括但不限于shell命令执行、代码执行、数据库枚举和文件管理。(7)扫描类攻击(SCanner)漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测(渗透攻击)行为。漏洞扫描器包括网络漏扫、主机漏扫、数据库漏扫等不同种类。4.3.3.2.入侵监测模块应具备多种部署模式选择,用户可以根据自
45、己的实际网络情况调整相应的部署方式。至少需要包含三种模式选择。(1)NAT模式设备工作在三层路由模式,以网关模式部署在组织网络中,所有流量都通过处理,实现对内网用户上网行为的流量管理、行为控制、日志审计等功能。作为组织的出口网关,安全功能可保障组织网络安全,支持多线路技术扩展出口带宽,NAT功能代理内网用户上网,实现路由功能等。(2)旁落模式采用流量镜像的方式,也就是在交换机或者路由器上做流量镜像。IDS对流量进行监听,发现其中的攻击、病毒和各种网络行为。H)S可以支持多路流量的审计。(3)透明模式设备工作在二层交换模式,设备以网桥模式部署在组织网络中,如同连接在出口网关和内网交换机之间的“智
46、能网线”,实现对内网用户上网行为的流量管理、行为控制、日志审计、安全防护等功能。网桥模式适用于不希望更改网络结构、路由配置、IP配置的组织。4.3.3.3.监测系统应满足对DDOS攻击的异常流量进行清洗,应综合考虑到基于BGP的流量清洗技术的多层面、多角度、多结构的多元立体系安全防护体系。至少需要能对以下三种类型的flood攻击进行防护。(1) SYNfloodSyn-Flood攻击是当前最为常见的DDoS攻击,也是最为经典的拒绝服务攻击,它利用了TCP协议实现上的一个缺陷,通过向网络服务所在端口发送大量的伪造源地址的攻击报文,就可能造成目标服务器中的半开连接队列被占满,从而阻止其他合法用户进
47、行访问。(2) UDPflood攻击者通过僵尸网络向目标服务器发起大量的UDP报文,这种UDP报文通常为大包,且速率非常快,通常会造成以下危害。从而造成服务器资源耗尽,无法响应正常的请求,严重时会导致链路拥塞。(3) ICMPfloodICMP全称InternetControlMessageProtocol(网际控制信息协议)。提起ICMP,一些人可能会感到陌生,实际上,ICMP与我们息息相关。在网络体系结构的各层次中,都需要控制,而不同的层次有不同的分工和控制内容,IP层的控制功能是最复杂的,主要负责差错控制、拥塞控制等,任何控制都是建立在信息的基础之上的,在基于IP数据报的网络体系中,网关
48、必须自己处理数据报的传输工作,而IP协议自身没有内在机制来获取差错信息并处理。为了处理这些错误,TCP/IP设计了ICMP协议,当某个网关发现传输错误时,立即向信源主机发送ICMP报文,报告出错信息,让信源主机采取相应处理措施,它是一种差错和控制报文协议,不仅用于传输差错报文,还传输控制报文。(4) 3.4.安全扫描安全扫描是对计算机系统或其他网络设备进行相关安全检测,以查找安全隐患和可能被攻击者利用的漏洞。安全扫描既是保证计算机系统和网络安全必不可少的技术方法,也是攻击者攻击系统的技术手段之一,系统管理员运用安全扫描技术能排除隐患,防止攻击者入侵。投标方需要提供主动式和被动式两种安全扫描。主动式安全扫描是基于网络的,主要通过模拟攻击行为记录系统反应来发现网络中存在的漏洞,这种扫描称为网络安全扫描;而被动式安全扫描是基于主机的,主要通过检查系统中不合适的设置、脆弱性口令,以及其他同安全规则相抵触的
免费区 
