二次系统安全防护设备—入侵检测装置

1、二次系统安全防护设备一入侵检测装置通用技术规范二次系统安全防护设备一入侵检测装置专用技术规范本规范对应的专用技术规范目录序号名 称编 号1二次系统安全防护设备入侵检测装置1104005-0000-d1二次系统安全防护设备一入侵检测装置采购标准技术规范使用说明1 本标准技术规范分为通用部分、专用部分。2. 项目单位根据需求选择所需设备的技术规范。技术规范通用部分条款、专用部分标准技术参数表和使用条件表固化的参数原则上不能更改。3. 项目单位应按实际要求填写“项目需求部分”。如确实需要改动以下部分，项目单位应填写专用部分“项目单位技术差异表”，并加盖该网、省公司物资部（招投标管理中心）公章，与辅助

2、说明文件随招标计划一起提 交至招标文件审查会：1 ）改动通用部分条款及专用部分固化的参数；2）项目单位要求值超出标准技术参数值范围；3）根据实际使用条件，需要变更环境温度、湿度、海拔、耐受地震能力、用途和安装方式等要求。经招标文件审查会同意后，对专用部分的修改形成“项目单位技术差异表”，放入专用部分表格中，随招标文件同时发出并视为有效，否则将视为无差异。4. 投标人逐项响应技术规范专用部分中“1标准技术参数表” 、“ 2项目需求部分”和“ 3投标人响应部分”相应内容。填写投标人响应部分，应严格按招标文件技术规范专用部分的“招标人要求值”一栏填写相应的投标人响应部分的表格。投标人还应对项目需求部

3、分的“项目单位技术差异表”中给出 的参数进行响应。“项目单位技术差异表”与“标准技术参数表”和“使用条件表”中参数不同时，以差异表给出的参数 为准。投标人填写技术参数和性能要求响应表时，如有偏差除填写“投标人技术偏差表”外，必要时应提供证明参数优于 招标人要求的相矢试验报告。5. 对扩建工程，如有需要，项目单位应在专用部分提出与原工程相适应的一次、二次及土建的接口要求。6. 技术规范范本的页面、标题等均为统一格式，不得随意更改。7. 一次设备的型式、电气主接线和一次系统情况对二次设备的配置和功能要求影响较大，应在专用部分中详细说明。二次系统安全防护设备一入侵检测装置采购标准技术规范使用说明37

4、11 总则3731.1 引言3731.2投标人职责3732 技术规范要求3742.1 环境要求3742.2 电源要求 3742.3入侵检测装置基本要求 3752.4入侵检测装置功能要求3752.5安全性要求3763 试验和验收3773.1 安装调试 3773.2 设备验收3774技术服务3774.1技术服务3774.2 培训3781总则1.1 引言本技术规范为入侵检测装置招标的主要技术功能要求、供货要求、服务要求，供投标人编制项目建议书及报价之用。1.1.1 投标人及投标产品应具备如下资质：1）投标人应具备招标公告所要求的资质，具体资质要求详见招标文件的商务部分。2）投标产品必须为自主知识产权

5、的国产设备，经公安部、国家信息安全测评认证中心等国家权威部门测试通过，并获得安全产品销售许可证，评测认证资质必须在两年内有效。3）若投标人为系统集成商，需提供原厂商的代理资质证明；同时保证有直接向原厂商下单权限并直接获得原厂商售后技术服务支持的权限。4）投标产品应在电力行业测评机构经过测评，必须符合变电站电磁兼容要求的电磁兼容三级要求，出具相应检测报告。5） 投标人应提供三年以内在电力行业网、省级公司及以上网络的应答产品的应用案例3个以上。1 -1 -2投标人应具有设计并集成过规模与本工程类似或更大的、条件与本工程规定相当或更严格的网络安全系统的业绩，并提供业绩清单，用户证明，联系人地址、电话

6、。1.1.3 本次投标的所采用的设备及主要安全防护技术，至少要有与本工程同等规模的系统中有1年以上成功商业运行经验。所投标的设备应经过有资质的检测机构的检测，并提供检测报告、业绩清单，用户证明，联系人地址、电话；如发现有失实情况，招标人有权拒绝该投标。1.1.4 投标人在建议书中，对本技术规范中所提的技术及工程要求，应逐项予以说明和答复。对涉及的主要产品、技术及 服务，应做出详细说明。投标人亦可根据产品技术性能的具体情况，在建议书中提出建议，并附详细资料和说明。对本规范各条目的应答为“满足”、“不满足”、“部分满足”，不得使用“明白”、“理解”等词语，如出现上述应答，将视为不符合要求且该应答无

7、效，在答复中，要求明确满足的程度，并做出 具体、详细的说明，凡采用“详见”、“参见”方式说明的，应指明参见文档中的具体的章节或页码，凡要求进行说明而未做说明的，视该条应答无效。1.1.5 本技术规范应视为保证网络运行所需的最低要求，如有遗漏，投标人应予以补充，否则一旦中标将认为投标人认同 遗漏部分并免费提供。1.1.6 招标人保留对本文件的解释和修改权。1.2投标人职责投标人的工作范围将包括下列内容，但不仅仅限于此内容。1.2.1 投标人提供的产品必须满足本规范所描述的硬件设备及外设配置要求，这是招标人提出的设备最低配置要求。1.2.2 投标人所提供的所有设备需完全满足本采购所述规格，所有需要

8、的硬件需配齐以构成一套完整实用产品。如果投标 人所列出的硬件设备及外部设备的配置建议，当实际采购时其软、硬件有任何遗漏（包括技术规范中未列出而设备正常运行又需要的软硬件），则设备正常运行需要时投标人必须免费提供，招标人将不再支付任何费用。1.2.3 招标人非常重视投标人在应答方案中所推荐产品的生命周期，要求所推荐的产品在未来两年内不能停产或淘汰。1.2.4 在招标人购买整机之日起，投标人对其所有部件保证五年供应。1.2.5 所有硬件系统均需符合下述标准：电磁学规范：FCC Class B 或 CISPR 22 Class B ;安全规范：UL Listed （美国）或EN 60950 （国际）

9、；质量标准：ISO 9000认证。1.2.6 投标人必须提供下列技术资料：各种设备机架（柜）外形尺寸、质量、面板布置、进出线方式；所需电源种类、功耗、电压、地线要求；机房荷重、环境要求；设备安装方式和抗震措施；设备、线缆、端口等的实施维护标识办法。1.2.7 投标人应提供由中国信息安全测评中心或电力行业内专业测评机构出具的覆盖全部技术指标项的测评报告。1.2.8 如果应答设备要求使用特别接头、插座等，由投标人提供。另外，所投设备的用电保护超过一般线路保护，保护设 备也由投标人提供。1 29设备/产品基于国际标准或工业标准，成熟、互联性强、易扩充。1.2.10 软件系统及相尖硬件有最佳的匹配和应

10、用运行能力。1.2.11 投标人必须提供产品相应的、配套的、正式的中文或英文版技术参考手册、安装及管理维护手册和使用手册。1.2.12 所有软件系统如果有使用时限和使用租金的问题，必须在应答书中明确说明。所有软件产品必须提供符合项目目标 环境的安装介质，必须提供相应配套的、正规出版的英文或中文版技术参考手册、安装及维护管理手册和招标人使用手册。1.2.13 投标人提供的所有硬件设备必须是全新的、出厂的新设备，软件产品应是最新版的商用版本，提供的产品准许在中 华人民共和国境内销售、能够在中国境内合法使用，且在性能及质量方面能提供可靠证明，并享有设备制造商承诺的质量保 证。同时，应对此软、硬件所涉

11、及的专利、知识产权等法律条款承担义务，招标人对此不承担任何责任。1.2.14 投标人需提供应答设备及推荐设备的产品销售许可证书。1.2.15 提供图纸，制造和质量保证过程的一览表以及标书规定的其他资料。1.2.16 提供设备管理和运行所需有尖资料。1.2.17 所提供设备应发运到规定的目的地。1.2.18 如标准、规范与本标书的技术规范有明显的冲突，则投标人应在制造设备前，用书面形式将冲突和解决办法告知招 标人，并经招标人确认后，才能进行设备制造。1.2.19 在更换所用的准则、标准、规程或修改设备技术数据时，投标人有责任接受招标人的选择。1.2.20 现场服务。2技术规范要求2.1 环境要求

12、2.1.1 设备储存温度：40C+55C;2.1.2 设备工作温度：0+ 45C;2.1.3 大气压力：86kPa 106kPa；2.1.4 相对湿度：30%85%；2.1.5 抗地震能力：地面水平加速度0.3g，垂直加速度0.15g同时作用。2.2 电源要求设备采用交流电源供电，并在下列供电变化范围内正常工作：交流:220V 10%, 50Hz 5%。投标人应详细说明所供设备本期配置功耗及满配功耗。2.3 入侵检测装置基本要求装置至少应满足表1中最新版本的规定、规范和标准的要求，但不限于表1中规范和标准。表1投标人提供的设备和附件需要满足的主要标准标准号标准名称IEC 529防护等级IEC

13、61000-4-2静电放电试验IEC 61000-4-3辐射静电试验IEC 61000-4-4快速瞬变干扰试验IEC 61000-4-5浪涌抗扰性试验GB/T 13702计算机软件分类与代码GB/T 15532计算机软件测试规范GB/T 2423电工电子产品基本环境试验规程GB/T 2887电子计算机场地通用规范GB/T 6593电子测量仪器质量检验规则GB/T 4798.3电工电子产品应用环境条件 第3部分：有气候防护场所固定使用YD/T 1130基于IP网的信息点播业务技术要求YD/T 1163IP网络安全技术要求一一安全框架YD/T 1171IP网络技术要求一一网络性能参数与指标YD/T

14、 1190基于网络的虚拟IP专用网（IP-VPN ）框架GB/T 15153.1远动设备及系统第2部分：工作条件第1篇：电源和电磁兼容性2.4 入侵检测装置功能要求241数据探测 协议分析：入侵检测装置应能够对IP、ICMP、ARP、RIP、TCP、UDP、RPC、HTTP、FTP、TFTP、IMAP、SNMP、TELNET、DNS、SMTP、POP3 NETBIOS、NFS、NNTP 等常见协议进行解析。 行为监测：入侵检测系统至少应监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等。 流量

15、监控：系统应监视整个网络或者某一特定协议、地址、端口的流量。2.4.2入侵分析 分析方式：系统应能够以模式匹配、异常检测等方式进行入侵分析。2.422 防躲避功能：系统应能发现躲避或欺骗检测的行为，如IP碎片重组，TCP流重组，协议端口重定位，URL字符串变形，Shell代码变形等。 事件合并：系统应具有对高频度发生的相同安全事件进行合并告警，避免出现告警风暴的能力。2.4.3 入侵响应 告警方式：应至少支持屏幕实时提示、E-mail告警、手机短信提醒方式。 排除响应：系统应允许用户定义对被检测网段中指定的主机或特定的事件不予告警。2.4

16、.3.3 定制响应：系统应允许用户对被检测网段中指定的主机或特定的事件定制不同的响应方式，以对特定的事件突出 告警。243.4设备需要支持网络时间同步协议NTP，支持NTP认证和NTP客户端。2.441图形界面：应提供友好的用户界面用于管理、配置入侵检测系统。管理配置界面应包含配置和管理产品所需的所有功能。分布式部署：系统应具有本地或异地分布式部署、远程管理的能力。集中管理：系统应设置集中管理中心，对分布式的入侵检测系统进行统一集中管理，形成多级管理结构。带外管理：应配备不同的网络硬件接口分别用于产品管理和数据采集。事件数据库：系统的事件

17、数据库应包括事件定义和分析、详细的漏洞修补方案、可采取的对策等。A A事件分级：系统应按照事件的严重程度将事件分级，以使授权管理员能从大量的信息中捕捉 到危险的事件。产品升级：系统应具有及时更新、升级产品和事件库的能力。统一升级：系统应该提供由控制台对各探测器的事件库进行统-升级的功能。2.4.5检测结果处理事件记录：系统应记录并保存检测到的入侵事件。事件信息应至少包含以下内容：事件发生时间、源地址、目的地址、危害等级、事件详细描述以及解决方案建议等。事件可视化：用户应能通过管理界面实时清晰地杳看入侵事件。245.3报告生成和输出：系统应

18、能生成易于用户阅读的检测结果报告。报告定制：系统应支持授权管理员按照自己的要求修改和定制报告内容。2.5 安全性要求2.5.1 身份鉴别 用户鉴别：系统应在用户执行任何操作之前对用户身份进行鉴别。 多鉴别机制：系统应提供多种鉴别方式，或者允许授权管理员执行自定义的鉴别措施，以实现多重身份鉴别措施。多鉴别机制应同时使用。如口令认证、Radius认证等。 鉴别失败的处理：用户鉴别尝试失败连续达到指定次数后，系统应锁定该账号，并将有尖信息生成审计事件。 超时设置：系统应具有管理员登录超时重新鉴别功能。在设定的时间段内没有任何操作的

19、情况下，终止会话。2.5.2 用户管理 用户角色：系统应支持权限划分。 用户属性定义：系统应为每一个用户保存安全属性表，属性应包括用户标识、鉴别数据（如密码）、授权信息或 用户组信息等。 安全行为管理：系统应仅限于已识别了的指定的授权角色对产品的功能具有修改的能力。2.5.3 安全审计 审计数据生成：应在每个审计记录中至少记录如下信息：事件的日期和时间，事件类型，主体身份，事件的结果 （成功或失败）等。 审计数据可用性：审计数据的记录方式应便于用户理解以便对审计的事件进行分析。 受限的审计查阅：系统应仅为授权管

20、理员提供从审计记录中读取全部审计信息的功能。2.5.4告警事件数据安全 安全数据管理：系统应仅限于指定的授权角色访问事件数据，禁止其他用户对事件数据的操作。 数据存储告警：系统应在发生事件数据存储器空间将耗尽等情况时，自动产生告警，丿丫采取措施避免事件数据丟 失。 事件数据存储备份：系统应可以对事件数据的存储进行控制如：可以定期备份或存储文件超过指定大小后备份。2.5.5 通信安全 通信完整性：系统应确保各组件之间传输的数据（如配置和控制信息、告警和事件数据等）不被泄漏或篡改。 通信稳定性：应保证各部件和控制台之间传递的信息

21、不因网络故障而丟失或延迟。 升级安全：系统应确保事件库和版本升级时的通信安全，应确保升级包是由开发商提供的。2.5.6 产品自身安全 自我隐藏：网络型入侵检测系统应采取隐藏探测器IP地址等措施使自身在网络上不可见，以降低被攻击的可能性。2.562 自我监测：网络型入侵检测系统在启动和正常工作时，应执行自检，以验证产品自身执行的正确性。2.563 系统安全：支撑系统不含任何高、中风险安全漏洞且不提供多余的网络服务。3试验和验收3.1 安装调试安装地点和环境在买方指定的地点，卖方或制造商应负责设备的安装、调试，保障设备正常运行。卖方需明确以下问题：3.1.1 设备安装由

22、卖方负责，安装过程中所有电缆及接头均由卖方提供并施工。3.1.2 卖方负责对施工地点进行现场勘察，提供工程施工和相尖安装资料，并负责指导买方人员掌握和使用这些技术资 料。卖方应提供下列各种详细资料： 设备外形尺寸、质量、面板布置、进出线方式。 所需电源种类、功耗、电压、地线要求。 机房荷重、环境要求。 设备安装方式和抗震措施。3.1.3 安装调测时使用的工具、设备由卖方提供，通用工具由买方协助解决。双方应协商制定工程进度表，卖方负责按工 程进度表进行施工。3.1.4 设备调试由卖方负责，卖方调试前应提出完整的调试计划并经买方确认，包括设备

23、调试的内容、项目、指标、方法 和进度，并提供相应的仪器和工具。卖方有责任对买方的技术人员提出的问题做出解答。调试应进行详细记录，系统调试结 束后，由卖方技术人员签字后交给买方验收。3.2 设备验收3.2.1 项目单位与卖方或制造商对设备到货后共同配合进行开箱检查，出现损坏、数量不全或产品不对等问题时，由卖方 或制造商负责解决3.2.2 依技术规范要求对全部设备、产品、型号、规格、数量、外形、外观、包装及资料、文件（包括装箱单、保修单、 随箱介质等）的验收。3.2.3 根据技术规范要求，全部设备在技术规范规定的地点和环境下，进行安装、调试，加电实现正常运行，并达到技术规范要求的性能和产品技术规格

24、中的性能。3.2.4 按规范技术部分要求对产品进行测试检查。设备产品测试中出现性能指标或功能上不符合规范和合同时，项目单位 有拒收的权利。3.2.5 如验收及测试中出现不符合规范和合同要求的严重质量问题时，买方保留索赔权利。3.2.6 技术文档齐全，包括操作手册、配置参数手册、排错手册、管理维护手册等其他技术文件，如果有中文设备技术文 件，必须提供中文版本的设备技术文件，如没有，必须提供英文版设备技术文件。4技术服务4.1技术服务4.1.1技术后援支持卖方或制造商必须向买方承诺技术后援支持，为今后买方主要软、硬件设备的功能扩充、服务提供至少五年的技术支 持。4.1.2 质保及售后服务4.121

25、质保及售后服务本技术规范中所有设备必须有以下条件：质保：所有本规范内包含的产品质保期为36个月，对于设备，包括硬件、软件，在质保期内，提供免费的生产原厂商软件升级包和免费的生产原厂商设备保修备件；质保期自设备通过最终验收之日起计算，其费用计入总价。请卖方或制造商详细描述质保方案。售后服务：卖方或制造商需提供质保期内免费的7X 24技术支持与服务。卖方或制造商必须按照如下格式对服务响应时间进行明确描述。“设备出现故障时必须在2h内对买方所提出的维修要求做出响应，12h内到达现 场。对于24h解决不了的问题，应提供备用设备。”卖方或制造商如有其他服务响应可以另加描述。卖方或制造商详细说明所提供的设

26、备原厂商三年售后服务与技术支持的级别及服务内容。应答人必须提出质保期内的维修、维护内容及服务方式、范围（产品、技术、模块、部件）。在质保期内，应答人应提供相尖软件的免费升级和备品更换服务；应答应人负责对其提供的设备进行现场维修与维护， 不收取额外费用；在质保期后应答人应以不高于本合同相应的最优惠价格向买方提供修理和维修合同设备必要的备品备件。要求各应答人承诺在产品交付时提供针对交付产品的原厂三年质保函。 质保期后的质保与售后服务卖方或制造商按照上述质保与售后服务为标准为买方提供质保期后的维保方案和报价，不计入总价。在质保期过后，卖方或制造商应以不高于本合同相应的最优惠价格向买方提供修理和维修合同设备必要的备品备件。 原厂商技术支持站点（或办事处）与原厂商备品备件库。卖方或制造商需提供国家电网公司涉及地理区域范围内的原厂商技术支持站点及原厂商备品备件库。4.2 培训4.2.1 培训总则1）培训服务为项目单位自愿采购内容。2） 卖方提供的培训服务必须满足4.2条要求。3） 卖方必须提供高水平的培