网络安全IDS部分技术规范v060219.docx

网络安全IDS部分技术规范v060219.docx

《网络安全IDS部分技术规范v060219.docx》由会员分享，可在线阅读，更多相关《网络安全IDS部分技术规范v060219.docx（21页珍藏版）》请在冰豆网上搜索。

网络安全IDS部分技术规范v060219

2005年中国网通集团DCN网络安全建设工程

入侵检测（IDS）产品部分

技术规范书

中国网络通信集团公司

中国网通（集团）有限公司

2006年2月

1总则1

2卖方技术建议书要求2

2.1建议书的要求2

2.2报价书要求4

3工程描述5

3・1项目背景5

3.2工程建设目标与原则6

3.3工程建设范丽

4网络现状及建议方案7

4.1集团骨干网同各省边界现状7

4.2EDC&护试点省份网络现状8

4.3边界防护IDS部署8

4.4EDC&护试点省份IDS部署9

4.5设备需求统硕

5设备及软件技术规范10

5・1总体技术要求10

5.2入侵检测IDS技术要求116项目管理14

6.1项目开发方式与策略14

6.2项目风险分析及控制146.3项目实施计划14

6.4项目实施控制14

6.5项目实施人员的结构15

7各方职责划分15

7・1卖方的职责15

7.2总集成商职责16

7・3服务器、存储、数据库供应商职责仃

7.4买方的职责帀

8工程实施188・1工程实施计划188.2安装和调试188.3试运行及验收188・4原厂保修期199技术服务和技术培训199.1技术服务19

9.2技术培训21

9・3技术文件2110其他22

1总则

1.1本文件为中国网络通信集团公司（以下简称买方）“2005年中国网通集团DCF网络安全建设工程IDS产品部分”技术规范书，供厂商（以下简称卖方）编写建议书和报价之用，建议书的内容格式应符合本规范书的要求。

1.2本文件中的“本项目”是指2005年中国网通集团DCF网络整合改造项目安全系统工程；“本单项工程”是指2005年中国网通集团DCN网络整合改造项目安全系统工程IDS产品部分，即本次招标的范围。

1.3卖方在建议书中，对本规范书中所提各项要求能否实现与满足，应逐项予以说明和答复。

卖方亦可根据自己的产品技术性能具体情况，在建议书中提出建议，并附详细资料和说明。

对本规范书各条目的应答为“满足”、“不满足”、“部分满足”，不得使用“明白,，.“理解”等词语，在答复中，要求明确满足的程度，并做出具体、详细的说明。

在回答“满足”后，其后的任何解释均不能与“满足”相冲突，若发生冲突，则视解释无效。

“不满足”可以详细解释。

凡采用“详见”、“参见”方式说明的，应指明参见文档中的具体的章节或页码。

需要做详细解释的内容应尽量放在逐条逐项答复中，若内容太多，可放在指明的附件中o

1.4卖方提供的各项设备和系统的特点、性能应完全符合买方指明的标准，并满足或高于买方指出的要求。

在此文件中没有说明的条款，但相矢国际标准化组织的标准

（如ISOIEEE、ITU-TETS、IMTCIETF等）及我国国家标准、信息产业部部颁标准已有建议的系统设备性能和功能，均应满足标准的最新建议要求。

卖方供应设备的技术指标及这些设备构成网络系统的性能应符合本规范书的要求。

卖方应列出所提供设备和系统的规范，任何与买方技术规范书相尖条款不同的都应指示出来，并详细说明原因。

1.5若卖方的设备包含自己专用标准，也应在建议书中具体说明，并附上相应的详细技术资料。

1-6本技术规范书应视为保证网络运行所需的最低要求，如有遗漏，卖方应予以补充，否则一旦中标，将认为卖方认同遗漏部分并免费提供。

1・7买方保留对本技术规范书的解释和修改权。

买方修改和增补的内容与本技术规范书具有同等效力

1.8卖方应对所有提供产品的功能和性能负责，应对按照卖方提出的建议建设方案组建的相矢系统功能和性能负责。

如因卖方配置或建设方案不合理，而造成所提供的产品或采用其提供产品及建议方案建设的安全系统未能满足本规范书要求，卖方应负全部责任。

1.9本技术规范书涉及DCF边界防护和试点省份EDC安全防护所需的IDS产

品。

卖方应承诺开放必要的产品接口，配合SOC集成商完成监控、采集接口的开放。

1.10卖方所提供的硬件设备应保证是最新生产的设备、软件产品应是最新版的商用版本，并应对此软、硬件所涉及的专利、知识产权等法律条款承担义务，买方对此不承担任何责任。

1.11卖方应在建议书中提供系统、设备的详细配置，并说明相应的计算方法及依据。

1.12卖方在建议书中应说明对供货时间、供货质量控制等的具体安排。

1.13卖方在建议书中应说明给买方提供的技术文件、技术支持、技术服务、人员培训、厂验等的范围和程度。

1.14卖方应在建议书中列出提供的书面技术资料详细清单。

1.15规范书有矢内容的澄清

（1）卖方对于规范书的疑问可以通过书面材料与买方联系。

在规定的建议书提交最后期限以前，买方将以书面材料给予答复，有矢买方答复材料的复印件也将递交所有得到技术规范书的卖方。

（2）在技术谈判的各个阶段，买方将以书面形式要求卖方对有尖问题进行进一步的技术澄清，卖方应以书面资料给予正式应答；所有各阶段的技术澄清文件都将作为合同附件。

2卖方技术建议书要求

要求卖方在收到本规范书之后十天内按买方的要求提供三份建议书、一份电子版文档（要求以中文OFFICE格式）和两份密封的报价书（中文）。

建议书和报价书的要求如下。

2.1建议书的要求

卖方所提供的建议书需按顺序必须含以下章节的内容（由于内容的不完整性

造成的一切后果由卖方负责）：

⑴综述

（2）工程技术规范书点对点应答

（3）实施方案建议要求针对本文档中的建议方案进行细化或优化，除基本的方案建议内容外，还要包括实施方案等内容。

要求实施方案面具备可操作性；方案建议包括但不限于以下内容：

a.卖方需结合网通集团沏胃干网络同省网的连接结构以及内蒙古EDC网络结构等相矢情况，针对建议部署方案进行细化、报价。

如有优化调整或全新方案，需详细说明调整原因及调整、细化部分的规模。

请卖方根据买方的功能和技术要求，提供两套产品配置方案。

b.技术建议方案应包括产品或系统运维管理所必需的各类软、硬件，其中针对建议中涉及到的所有服务器、存储以及第三方软件，卖方应给出详细列表以及性能指标的详细需求和计算依据。

服务器应详细列出内存（类型、大小）、CPU（频率・当前个数、满配个数）、硬盘（大小、类型）、显示器（类型、尺寸），核心服务器应列出TPCQg或EPSS;对于工作站应详细列出内存（类型、大小）、CP（频率、个数）、硬盘（大小、类型）、显示器（类型、尺寸）、显示卡类型；磁盘阵列应列出相尖配件、大小、类型等;局域网交换机应列出端口数量、速率等。

c.边界防护及EDCIDS部署（位置、方式及管控归属）方案建议o

d.IDS集中管理及策略制定及分发建议。

e.IDS系统同SOC的接口（配置接口、安全事件的接口、知识库的接口）建议。

f-系统的安全性、可靠性解决方案。

g.系统组织连接图（包括网络和硬件的拓扑图以及安装的相应软件）。

h.系统管理。

（4）设备配置详细说明及设备配置详细清单（与报价表内容格式及项目相同，不含商务价格）。

（5）所推荐设备情况（各种技术指标、接口特性、设备特性、设备安装方式及物理尺寸、供电方式及耗电量、设备或机架接地要求、重量、温湿度等环境要求），最好能提供设备相矢性能指标的测试记录文档。

（6）系统软件和购置的第三方软件的情况（含功能、性能等指标）。

（7）安装设备和材料、备件和工具的数量清单。

（8）买卖双方责任及分工界面。

（9）工程实施计划

a.工程进度表，包括需求分析、供货、安装、调测、验收等工程各环节。

b.工程实施和服务人员安排。

（10）机房场地及环境准备要求以及在工程实施过程中对买方的其它要求。

（11）设备安装要求及建议，抗震加固措施

（12）技术文件

（13）买方技术人员和业务使用人员培训。

（14）验收及测试安排，设备测试、系统测试的方法和环境。

（15）技术服务的范围和程度（包括技术服务、支持、保修、软件升级等）。

售后服务安排及质量保证措施

（16）卖方须详细介绍卖方公司的总体情况（包括人员结构、企业资质等方

面）、曾做过的类似项目情况、应用实例以及最终用户评议。

（17）对于中国网通集团DCN安全系统发展方向的建议

2.2报价书要求

（1）报价应按照物理位置分开报价。

（2）报价应包括设备（软、硬件）、安装材料、备件、工具、仪表、技术文件及安装调测、培训、技术支持、保修等，并逐条逐项列出。

（3）报价应包括设备名称、型号及配置模块、数量等详细内容。

（4）报价以人民币为单位，应该报设备到现场（买方指定地点）的价格，运输费单独列出。

（5）报价应按目录价、折扣价和折扣率分项列清。

（6）对于卖方向买方建议采用的业务和功能，卖方应详细描述和说明这些业务和功能并作为可选项提出报价。

（7）卖方对本规范书涉及到的服务器、存储系统、数据库软件和微软产品提

出合理的建议配置，并提供详细的计算依据。

卖方对服务器、存储系统、数据库软件和微软产品单独进行报价并列出详细的配置清单供买方独立采购参考，这部分产品不计入工程总报价。

卖方对这部分产品的配置建议和系统集成负有全面责任，卖方须承诺对这部分产品进行集成，并保证整体工程质量。

（8）硬件报价要求：

须报出系统所需的全部设备的价格；

（9）软件报价要求：

卖方应提供最新的、成熟的、稳定的软件版本，并注明所提供软件的版本号，提供详细的功能清单。

（10）软件报价按以下分类方法：

——系统软件报价：

包括操作系统（如果硬件平台采用商用计算机平台，可包含在硬件报价中）、数据库软件、工具和组件等。

——应用软件：

应分为基本功能模块、可选功能模块两个部分。

卖方应按模块提供详细报价；可选功能模块指厂家自己定义的可选软件功能，只计单价不计入合价。

（11）卖方应承诺买方在后续的设备订货时，同一类型的软、硬件设备成交价格至少应不高于本次合同的成交价格。

（12）服务报价要求——卖方应对下述服务项目进行报价：

原厂安装服务：

卖方负责所有设备的安装。

——原厂系统调测服务：

卖方应负责全部系统调测。

（13）培训

——卖方就所提供的产品提供原厂技术培训，分为高级培训（高级技术人员或管理者）和操作培训。

——卖方需就此两种培训，列出培训人员的数量和费用单价并给出详细的培训计划（包括时间、地点、课程等）。

（14）可选报价对于可选软件、硬件和服务或卖方认为可以推荐给买方选择的软件、硬件和服务，可单独提出其项目和报价，但不计入合价，并提供技术性能及供经济技术比较所需的资料。

3工程描述

3・1项目背景依据集团企业信息化总体规划、五统一战略、上市公司对信息化的需求，集团公司逐渐加大了信息化建设的步伐。

根据集团公司2005年信息化工作的总体目标一一“确保“2+T项目的完成、提升信息化工作的水平”，中国网通在完成集团门户二期DCF网络改造工程之后，启动了“2005年中国网通集团曲雁各整合改造项目”，以期为集团企业信息化系统提供统一、专用、安全、高效、易管理、易维护的多业务网络平台。

“2005年中国网通集团加V舸络整合改造项目”包括网络系统工程和安全系统工程两部分，本项目是其中的安全系统工程部分。

目前，

“2005年中国网通集团加V雁各整合改造项目网络系统工程”已经启动并顺利进行，该项目的实施将建成覆盖全国31省的物理承载网，初步实现DCF#干网和省网的互通。

网络系统工程的实施为安全系统部署创造了条件，同时也对安全系统工程提出了更加明确的需求。

3.2工程建设目标与原则

3.2.1建设目标

本单项工程通过边界防护的建设，以保护处V酥同区域的安全性，防范未授权的访问，杜绝非法的数据包在不同安全区域之间的传递，将攻击阻挡在安全区域环境之外。

保证网络安全状况