1、秦秦 山核电山核电 EM 楼信息安全升级改造楼信息安全升级改造技术规格书技术规格书QS-2ITS-MNIT-0691Rev.1本文件属于秦山核电有限公司、核电秦山联营有限公司、秦山第三核电有限公司和中核核电运行管理有限公司所有,未经书面许可,任何单位和个人不得采用、复制或转让。QS-2ITS-MNIT-0691 秦山核电 EM 楼信息安全升级改造技术规格书 Rev.1文档信息页(1)A. 基本信息文件名称 秦山核电 EM 楼信息安全升级改造技术规格书文件编码 QS-2ITS-MNIT-0691 版本 1 质保等级 QNC编制处室 信息系统处替代文件 文件名称 文件编码B. 编制者姓名(打印)
2、签名(须含签发日期)批 准 伍吉泽 2018-07-02审 查 张 忠 张 忠 2018-07-02校 核 胡有勤 胡有勤 2018-07-02编 制 吴 楠 吴 楠 2018-06-25C. 会签会签单位 姓名(打印) 签名(须含签发日期)QS-2ITS-MNIT-0691 秦山核电 EM 楼信息安全升级改造技术规格书 Rev.1文档信息页(2)D. 升版修订信息版本 修订说明初次发布。0编: 吴楠 校:胡有勤 审:张忠 批:伍吉泽 升版发布,修订系统项目采购范围1编: 吴楠 校: 胡有勤 审:张忠 批:伍吉泽 QS-2ITS-MNIT-0691 秦山核电 EM 楼信息安全升级改造技术规格书
3、 Rev.1 1 / 81.0 工作/服务范围本技术规格书适用于指导秦山核电应急控制中心网络安全设备升级改造工作。要求供应商(以下简称“供应方”)按照本技术规格书完成所有工作,达到本技术规格书规定的目标。2.0 技术要求和实施目标2.1 实施目标目前秦山核电应急控制中心(EM)应急支持系统和应急信息系统,已经进入了运行和维护阶段,因应急专网数据业务采集需求以及网络安全监管要求独立成网,EM 网络安全设备架构已有一部分不适应 EM 楼应急系统的需求。为保障相关信息系统的安全和稳定运行,进一步为应急的安全运行提供信息保障,进行相应的网络安全系统升级改造。2.2 技术线路:要求软件相关的硬件系统基本
4、保持原有的架构,不发生大的变动,保证系统能正常运行。设备核心部件需保证维护过程中,不能和现有系统发生冲突,不能影响现有网络的正常运行。各类维护据维修工作,对系统运行影响需降至最低,如确认会维修维护会对系统运行产生影响,应具备替代方案,可使用备用或替代设备维持系统最低运行需要,或可将维护时间尽可能缩短。信息安全要求:系统服务器等设备,应满足信息安全等级保护三级等保的相关要求。本系统在人员组织机构管理,报文,文档流转方面,遵循核应急管理中心要求可独立运行,无需依赖外部办公系统。关键设备的功能性替换:防火墙系统、审计系统等。3.0 法规/规范中华人民共和国网络安全法信息安全技术信息系统安全等级保护基
5、本要求GB/T 22239-2008信息安全等级保护管理办法(公通字200743 号)信息安全技术信息系统安全等级保护实施指南GB/T 25058-20103.1 采购方职责中核运行负责审查技术方案,确认功能规范、工程进度、培训内容、验收试验大纲等。负责参加现场验收试验。3.2 供应商职责调研现场情况提供符合电厂要求的本次改造技术方案。现场设备的实施、安装、调试与验收准备。QS-2ITS-MNIT-0691 秦山核电 EM 楼信息安全升级改造技术规格书 Rev.1 2 / 84.0 进度要求现场方案评审意见通过后,于 2018 年 12 月底前完成现场实施工作并通过验收。5.0 资质要求(1)
6、有电力行业系统网络安全项目实施历史经验。6.0 人员6.1 人员要求现场实施人员负责提供现场实施与技术支持,至少包含一名熟悉企业网络架构和一名熟悉网络安全逻辑架构的网络安全工程师,相关领域工作经验五年以上。7.0 物资7.1 拟采购关键性物资序号 名称 技术参数 单位 2018 备注1 千兆防火墙下一代防火墙;网络吞吐不小于12Gbps; 并发连接不小于 300 万;深信服 AF-1000-G680。台 2包含 IPS 模块,三年许可授权,三年软硬件升级服务2 日志审计支持 Windows、Linux 等操作系统、支持网络设备(交换机、路由器、UTM 等) 、安全设备(防火墙、VPN、IPS、
7、IDS、防毒墙、安全网关等) 、数据库操作行为、网络行为、中间件(Tomcat、Webspere、weblogic等)应用系统(Web 服务器日志集中管理与审计;思福迪LogBase A3180台 1 三年软硬件升级服 务3 邮件网关支持 5000 用户邮件收发过滤服务,具备 5000/秒并发连接数、每秒2000 封邮件处理能力,日邮件处理能力超过 360 万封以上;支持反垃圾邮件引擎、邮件过滤、弱口令防护、加密传输、日志归档等;美勋智 A1000。台 1 三年软硬件升级服 务8.2 技术要求1、千兆防火墙:序号 要求项 描述1 产品形态1) 下一代防火墙;2) 软硬件一体化设计,支持 19
8、英寸标准机架;3) 配置端口 10/100/1000MBASE-T6 个,SFP 插槽4 个;4) 双冗余电源;QS-2ITS-MNIT-0691 秦山核电 EM 楼信息安全升级改造技术规格书 Rev.1 3 / 82 产品性能1) 网络吞吐不小于 12Gbps; 2) 并发连接不小于 300 万。3 产品功能1) 支持多种工作模式:路由模式、交换模式、混合模式;2) 具备地址转换(NAT)功能,采用双向网络地址转换技术,能够实现动态NAT、静态 NAT,能够实现一对一、多对一、多对多的地址映射;3) 支持双机热备,可配置主主、主备方式,可自动同步会话信息;4) 支持链路聚合功能,支持多种聚合
9、负载算法;5) 能够进行服务质量保障(QOS) ,支持带宽管理,设定优先级,保证关键业务畅通;6) 策略路由支持基于入接口策略路由配置与全局策略路由配置;7) 支持基于 IPv4 和 IPv6 的安全控制策略设置,能针对目的/源地址、目的/源服务端口、服务、扩展头属性等条件进行安全访问规则的设置;8) 防火墙日志记录内容应包括网络行为日志和防火墙管理操作日志;支持本地保存日志和日志服务器(Syslog 接口)保存方式,日志报表导出功能;支持自动生成安全风险报表;9) 支持系统文件和配置文件的备份和恢复,提供多种恢复和备份方式;10) 支持扩展防病毒、入侵防御、URL 分类过滤等功能。11)设备
10、自身具有安全防护能力,无后门及严重漏洞,满足国家相关要求。4 管理模式1) 支持本地串口、Telnet、SSH 管理及标准 SNMP 网关协议,并支持 WEB中文界面的管理方式;2) 支持三员权限分离的管理方式;3) 支持邮件、短信和告警功能;5 资质要求1) 中华人民共和国公安部颁发的计算机信息系统安全专用产品销售许可证 ;2) 国家保密局测评中心颁发的涉密信息系统产品检测证书 ;3) 信息技术产品安全测评证书(测评中心颁发) (EAL3+) ;4) 中国信息安全认证中心颁发的 ISCCC 产品认证证书(认证中心) (三级) 。6 入 侵 防 护 功 能设 备 具 备 独 立 的 入 侵 防
11、 护 漏 洞 规 则 特 征 库 , 特 征 总 数 在 7000 条 以 上 ; 支 持 对 常 见 应 用 服 务 ( HTTP、 FTP、 SSH、 SMTP、 IMAP、 POP3、 RDP、 Rlogin、 SMB、 Telne、 Weblogic、 VNC) 和 数 据 库 软 件( MySQL、 Oracle、 MSSQL) 的 口 令 暴 力 破 解 防 护 功 能 ;具 备 防 护 常 见 网 络 协 议 ( SSH、 FTP、 RDP、 VNC、 Netbios) 和 数 据 库( MySQL、 Oracle、 MSSQL) 的 弱 密 码 扫 描 功 能 ; 支 持 同
12、防 火 墙 访 问 控 制 规 则 进 行 联 动 , 可 以 针 对 检 测 到 的 攻 击 源 IP 进 行 联 动封 锁 , 支 持 自 定 义 封 锁 时 间 ;QS-2ITS-MNIT-0691 秦山核电 EM 楼信息安全升级改造技术规格书 Rev.1 4 / 8可 提 供 最 新 的 威 胁 情 报 信 息 , 能 够 对 新 爆 发 的 流 行 高 危 漏 洞 进 行 预 警 和 自 动 检测 , 发 现 问 题 后 支 持 一 键 生 成 防 护 规 则 ;2、日志审计序号 要求项 描述1 产品形态1) 软硬件一体化设计,支持 19 英寸标准机架;2) 配备千兆电口 4 个。2
13、 基本要求1) 操作系统为深度定制优化的 Linux 系统;2) 支持 B/S 方式,采用 HTTPS 方式远程安全管理,无需安装管理客户端;3) 支持旁路接入模式部署;4) 设备必须自带本地存储功能,物理磁盘空间至少为 2TB;5) 支持扩展外部网络存储(IP SAN、NAS、DAS、磁盘阵列等);6) 支持 Windows、Linux 等操作系统、支持网络设备(交换机、路由器、UTM 等)、安全设备(防火墙、VPN、IPS、IDS、防毒墙、安全网关等)、数据库操作行为、网络行为、中间件(Tomcat、Webspere、weblogic 等)应用系统(Web 服务器、邮件服务器、OA、CRM
14、 等)日志集中管理与审计;7) 设备自身应具有安全防护能力,设备无后门及严重漏洞,满足国家相关要求。3 产品性能 1) 日志采集能力:5000 条/秒以上。4 产品功能1) 支持通过页面直接将日志文件导入或以 syslog 方式接收日志信息,支持日志类型:UNIX、WINDOWS 事件2000、2003、2008、XP、VISTA、Win7及以上版本、网络及安全设备Cisco、Array、Juniper、H3C、神州数码、绿盟、天融信、安氏领信、深信服、网神、AS400 日志、数据库访问Mysql、WEB 访问Apache、IIS、Tomcat、Nginx、Weblogic、Resin、Web
15、sphere、文件访问VSftpd、Pureftpd、NCftpd、IISftpd、Proftpd、Glftpd、Serv-u、数据库服务Oracle、Mssql、Mysql、DB2、Informix、Sybase、WEB 服务Apache、Tomcat、Nginx、Weblogic、Resin、Websphere、FTP服务VSftpd、NCftpd、Proftpd、Glftpd、Serv-u;2) 支持 SNMP 日志采集,支持日志类型:网络及安全设备Cisco、Array、Juniper、H3C、神州数码、绿盟、天融信、安氏领信、深信服、网神;3) 支持镜像数据采集,支持类型:数据库模块
16、Oracle、Mssql、Mysql、DB2、Informix、Sybase、文件传输模块FTP、SMB、HTTP、邮件模块SMTP、POP、HTTP、即时通讯模块淘宝旺旺、MSN、QQ、远程控制模块Telnet、网站访问模块网页浏览、论坛微博、入侵检测、业务检测、流量监控;QS-2ITS-MNIT-0691 秦山核电 EM 楼信息安全升级改造技术规格书 Rev.1 5 / 84) 支持文本型日志文件定时采集,可自动将日志文件采集到系统中分析存储;5) 支持文本型日志原始文件管理,可将系统作为日志服务器使用;6) 支持以图表方式(饼图、柱图、曲线图)显示当日日志数据分布情况;7) 支持以图表方
17、式(饼图、柱图、曲线图、清单列表)显示当日安全事件及告警日志数据分布情况;8) 系统内置多种类报表模板,支持动态静态(日报、周报、月报)两种系统生成方式,支持导出 html、Excel、PDF,支持管理员自定义审计报表模板;9) 支持查询分析功能:支持多种方式的查询检索,包括:日志检索、事件检索、告警检索、高级检索及文件检索;支持查询模版创建、修改、删除功能;支持查询结果导出;10)支持策略管理功能:支持内置归并策略,对 HTTP 数据进行自动归并处理;支持数据策略,可设定采集多种 WEB 访问数据,包括:脚本访问、样式访问、图片访问及地理数据访问;支持以告警页面、短信、邮件、SYSLOG、S
18、NMP 等各种方式呈现告警信息;11)支持数据管理功能:支持按日志属性、日志类型、时间范围进行数据备份;支持 WEB 界面备份及日志恢复导入工作;持自动与手动两种备份归档方式;支持以 FTP 上传方式将归档文件存储到第三方存储系统中;12)支持永久许可方式,再增加审计用户的情况下不用增加授权许可;13)支持三员权限分离的管理方式。5 资质要求1) 中华人民共和国公安部颁发的计算机信息系统安全专用产品销售许可证 ;2) 国家保密局测评中心颁发的涉密信息系统产品检测证书 ;3) 信息技术产品安全测评证书(测评中心颁发) (EAL3+) ;4) 中国信息安全认证中心颁发的 ISCCC 产品认证证书(
19、认证中心) (三级) 。3、邮件网关序号 要求项 要求内容1 产品形态 1) 设备为软硬件一体化设计的机架式设备,支持 19 英寸标准机架;2) 配备至少 2 个 10/100/1000BASE-T 端口。QS-2ITS-MNIT-0691 秦山核电 EM 楼信息安全升级改造技术规格书 Rev.1 6 / 82 基本要求1) 设备部署支持透明网桥方式,同时支持传统的旁路或者代理方式。2) 支持 SMTP、SMTPS、POP3 过滤,支持代理服务器功能;3) 支持集群方式部署;4) 操作系统为深度定制优化的 Linux 系统;5) 远程管理安全(如在远程管理过程中使用加密的通讯协议 HTTPS)
20、 ;6) 垃圾邮件特征库以及反病毒库每日更新,支持软件版本升级。识别100%已知病毒和恶意代码,7x24 自动在线升级;7) 设备自身应具有安全防护能力,设备无后门及严重漏洞,满足国家相关要求。3 产品性能1) 支持 5000 用户邮件收发过滤服务, 具备 5000/秒并发连接数、每秒2000 封邮件处理能力,日邮件处理能力超过 360 万封以上;2) 配备 1TB3 SATAII 7200 转/最大支持 12 块热插拔 SATA 硬盘,7200转,支持 RAID 0、1、5、104 产品功能1) 支持反垃圾邮件引擎,提供全面的反垃圾邮件技术:并发数、连接频率控制,发件人策略框架(SPF) ,
21、实时跟踪系统(垃圾、钓鱼、间谍软件),垃圾邮件行为识别(邮件滥发行为、邮件非法行为、邮件匿名行为、邮件伪造行为),指纹识别(文本、图像、音频、视频、可执行文件、压缩文件),语义识别、启发式扫描、词典扫描、自学习系统;2) 支持反病毒邮件引擎,查杀邮件正文和附件内的病毒,支持 20 多种压缩文件,支持多种病毒引擎;3) 支持邮件过滤与审计,支持过滤邮件全文内容(邮件头、主题、正文、附件内容) ,支持常文档格式,支持压缩格式附件。预定义过滤模板和内容辞典,灵活、方便自定义过滤规则。支持自定义邮件隔离区。支持过滤法轮功、藏独、台独、港独等反政府言论邮件;4) 邮件路由:支持根据发件人邮件账号、发件人
22、邮件域名、收件人邮件账号、收件人邮件域名、邮件正文内容和邮件主题进行邮件路由;5) 支持邮件过滤策略组。可设置不同的过滤策略组,每个组执行不同的过滤策略。垃圾邮件过滤策略、病毒邮件过滤策略可在不同组内设置不同的过滤条件和级别;6) 支持邮件归档与管理,支持同域之间、Inbound、Outbound 的邮件归档,支持所有邮件或指定邮件用户的邮件归档。支持邮件归档的自动化管理和维护,可设置归档时长、存储空间等。支持归档邮件查询、下载、放行、黑白名单等处理。查询时,可依据时间、发件人、收件人、主题检索;7) 支持国际黑名单 RBL,功能支持把某一个区域排除,例如把中国地区 IP排除,不做 RBL 检
23、查;8) 支持黑白名单设置,同时可以对白名单进行个性化设置,例如不执行转发控制,但是执行反攻击模式控制。同时支持 VIP 用户名单设置功能;9) 提供邮件中继服务,支持按指定条件设置中继,提高邮件投递成功率。中继服务具备海外投递能力;10)具有基于 HTTPS 的统一管理界面,进行日志、报表集中管理。具有智能升级更新、初始化向导、邮件报警、备份与恢复等功能;11)支持邮件传输过程中默认为 128 bits TLS 加密传输,可避免封包被截取后的数据外泄,该模块也可在界面上导入证书,满足加密传输需求。12)邮件备份导入和导出:管理页面支持对归档邮件按照时间导出和导入查看邮件;13)提供邮件日志、
24、投递日志、连接日志(记录每次连接详细情况包括远程IP、连接时间等),能够实时监控式输出,可以指定监控的日志类别,支持 Syslog 接口,用于发送日志、分析结果;14)支持三员权限分离的管理方式。QS-2ITS-MNIT-0691 秦山核电 EM 楼信息安全升级改造技术规格书 Rev.1 7 / 85 资质要求1) 中华人民共和国公安部颁发的计算机信息系统安全专用产品销售许可证 ;2) 信息技术产品安全测评证书(测评中心颁发) (EAL3+) ;3) 中国信息安全认证中心颁发的 ISCCC 产品认证证书(认证中心) (三级)。4) 软件产品登记证书 ;8.0 文件要求按照采购方的文档格式要求提供验收文件; 9.0 验收要求验收满足基本功能型要求,符合预订的网络安全方案。提供满足验收的文档要求。
