网络入侵检测系统及安全审计系统 技术规范 (专用部分) 9 1 项目需求部分 1.1 基本要求 根据国能安全【2015】36 号(国家能源局关于印发《电力监控系统安全防护总体方案》等安全防护方案和评估规范的通知)的要求:生产控制大区可以统一部署一套入侵检测系统(IDS),应当合理设置检测规则,及时捕获网络异常行为,分析潜在威胁,进行安全审计;生产控制大区应当具备安全审计功能,可以对网络运行日志、操作系统运行日志、数据库重要操作日志、业务应用系统运行日志、安全设置运行日志等进行集中收集、自动分析,及时发现各种违规行为以及病毒和黑客的攻击行为。对于远程用户登录到本地系统中的操作行为,应该进行严格的安全审计。 1.2 技术要求 1.2.1 入侵检测系统(IDS ) 1.2.1.1 机种:百兆机架式硬件设备; 1.2.1.2 监听端口/数量:10/100Base-TX,总数≥2。 1.2.1.3 语言支持要求:支持全中文的操作界面以及中文详细的解决方案报告。 1.2.1.4 入侵检测能力 1)支持深度协议识别,能够监测基于 Smart Tu nnel 方式伪造和包装的通讯。 2)支持 70 种以上的协议异常检测,能够对违背 RFC 的异常通讯进行报警。 3)内置智能攻击结果分析,在入侵检测的平台上,无需使用外部的工具(如扫描器)就能够准确检测和验证攻击行为成功与否。 4)产品的知识库全面,至少能对目前网络中主流的攻击行为进行检测,规则库检测攻击的性能领先、规则更新快,至少能够做到一周一次检测模块的更新;升级过程不停止监测过程;事件库与 CVE 兼容。 5)支持所有部件包括引擎、控制台、规则库在内的实时升级,引擎支持串口,控制台两种升级方式。 6)在同一入侵检测平台上即可对所监控流量按照不同的协议类型进行排序和监控,并进行方便直观的图形输出。 7)能够对 http、ftp、smtp、pop、telnet 等常用协议进行连接回放;支持对 P2P 协议的解码和流量排序,包括(BitTorrent、MSN 等)。 1.2.1.5 性能要求 1 0 每秒并发TCP 会话数≥100000。 最大并发TCP 会话数≥200000。 最大包捕获和处理能力≥200Mb。 1.2.1.6 管理能力 1)产品的所有的告警和流量信息都可以实时的汇总到监控中心,支持集中式的探测器管理、监控和入侵检测分析。 2)支持控制台与探测器的双向连接。 3)控制台支持任意层次的级联部署,上级控制台可以将最新的升级补丁、规则模板文件、探测器配置文件等统一发送到下级控制台,保持整...
