车站防火墙技术规格书docWord文档格式.docx

车站防火墙技术规格书docWord文档格式.docx

《车站防火墙技术规格书docWord文档格式.docx》由会员分享，可在线阅读，更多相关《车站防火墙技术规格书docWord文档格式.docx（10页珍藏版）》请在冰豆网上搜索。

招标范围为新建铁路海天至青岛线铁路全线CTC系统共计5个新建车站和满足本线接入CTC中心系统的防火墙系统设备。

1.3工程有关情况说明

1.3.1车站设置情况及建设原则

序号

站名

单位

车站性质

车站情况

车站设置原则

1

海天站

套

中间站

新建

新建车站防火墙系统

2

新河镇站

会让站

3

平度站

4

高密东站

5

芝兰庄站

1.3.2其他信号工程相关内容

1.3.2.新建铁路海天至青岛线为新建单线工程，新建线路设置CTC系统，各站新设CTC分机设备，纳入济南铁路局调度所。

1.3.2.2姚哥庄、胶州站修改CTC分机设备，纳入济南铁路局调度所既有调度台管辖。

1.3.2.3济南铁路局既有CTC总机系统设备相应修改。

2.技术规格

2.1概述

随着铁路信息化建设的迅速发展，已建成的TDCS、CTC等系统在列车调度指挥方面发挥着越来越重要的作用，TDCS、CTC的网络安全建设也自然成为系统建设中必不可少的关键环节

。

CTC车站防火墙系统主要为车站网络提供防止黑客攻击、阻断病毒传播等功能的系统安全解决方案。

众所周知，CTC车站通过车站自律机对列车行车进行实际的控制操作，各车站成为整个系统的防护重点，因此车站的网络安全性非常重要。

通过车站防火墙系统等安全设备的部署，将有效控制网络蠕虫病毒的传播途径，通过设置统一、严谨的防火墙策略形成对整个CTC系统最大化的安全保护。

具体而言，车站防火墙系统根据用户定义（安全策略）允许或拒绝某些数据包通过防火墙系统，因此可有效增强车站网络的安全性，加强车站网络间的访问控制，保护各车站网络设备不被破坏，防止内部网络数据被窃取。

另一方面，目前，蠕虫病毒已成为TDCS、CTC系统的主要安全威胁之一。

因蠕虫病毒具有极强的传染性、设置后门程序、发动拒绝服务攻击（DoS/DDoS）等特征，其主要利用系统漏洞进行主动传播和攻击，通过网络进行快速传播，对网络危害极大。

车站防火墙系统采用先进的蠕虫检测及阻断技术，在车站网络网关位置截获各种常见的蠕虫，当蠕虫发作时阻断蠕虫发出的各种病毒或破坏性数据包，而正常的网络数据包不受影响，保证网络的正常通畅以及业务的正常运行。

2.2工程依据

2.2.1关于印发《列车调度指挥系统（TDCS）、调度集中系统（CTC）组网方案和硬件配置标准》（暂行）的通知（运基信号[2009]676号）。

2.2.2《铁路列车调度指挥及调度集中系统设计暂行规定》（铁建设[2007]205号）

2.3卖方需要提供的产品一览表

货物名称

单位

数量

交货期

备注

中心网络安全设备

1.1

满足本线接入

车站防火墙安全系统

2.1

车站防火墙软件

站

每站2套

2.2

车站防火墙硬件

每站2台

2.3

车站反病毒软件

每站1套

2.4

车站身份认证系统软件

2.5

车站身份认证系统终端

注：

以上设备数量、规格、型号，在施工阶段可能有一定调整，最终数量、规格、型号应以施工设计为准。

2.4产品规格及主要安全特性

2.4.1防火墙产品安全特性

2.4.1.1产品安全策略

防火墙应实施限制性政策，即在默认情况下禁止所有的服务，除非管理员对某种服务明确表示允许。

2.4.1.2产品安全目标

防火墙应具有信息分析功能、高效包过滤功能、反电子欺骗手段。

防火墙系统还可以随时对网络数据的流动情况进行分析、监控和管理，用户可以及时制定保护内部网络数据的措施。

2.4.2车站防火墙软件功能

2.4.2.1基于状态检测技术

防火墙应支持基于状态检测的包过滤技术。

2.4.2.2工作模式

防火墙应支持网桥透明接入模式、路由模式、NAT模式以及以上几种模式的混杂模式。

2.4.2.3包过滤访问控制

防火墙能够基于源/目的IP、源/目的端口、协议（包括P2P协议、即时通讯QQ/MSN等）、时间、流量等进行完善的访问控制。

2.4.2.4地址转换功能

防火墙系统应支持正向地址转换、反向地址转换、双向地址转换，支持静态NAT，支持地址池，并能够实现一对一、一对多的地址映射，并支持端口转移功能。

2.4.2.5内置IDS功能

防火墙应具有实时入侵检测报警功能。

2.4.2.6内置VPN功能

防火墙应支持IPSec隧道，支持PPTP协议；

支持移动接入、一端动态及全动态IPSecVPN。

2.4.2.7内置DHCP服务器

防火墙应内置DHCP服务器，为内部网络动态分配IP。

2.4.2.8VLAN支持

防火墙应支持IEEE802.1q，能够识别VLAN数据包并能够根据策略对其进行相应的访问控制。

2.4.2.9静态路由及策略路由

防火墙支持源地址路由和平衡路由。

2.4.2.10IPMAC绑定

防火墙应支持IPMAC绑定，防止IP地址非法盗用。

2.4.2.11抵御蠕虫攻击

防火墙应具备蠕虫抑制功能，当内外网蠕虫发作时阻断蠕虫发出的各种病毒或破坏性数据包，保证网络的正常通畅以及业务的正常运行。

2.4.2.12内置网络诊断工具

防火墙应内置网络诊断工具：

Ping、Traceroute、ARP、Tcpdump。

2.4.2.13完善的日志记录

防火墙应具有日志功能。

2.4.3车站防火墙硬件指标

2.4.3.1硬件架构

百兆NP架构硬件防火墙。

2.4.3.2接口数量

3个10/100MBase-T非交换式以太网接口和4个10/100MBase-T交换式以太网接口。

2.4.3.3硬件性能指标

（1）并发连接：

200,000

（2）每秒新建会话数：

2000

（3）用户数限制：

无

（4）策略数：

10,000

（5）VPN隧道数：

500

（6）VPN最大带宽：

60M

2.4.3.4硬件物理指标

（1）尺寸：

440（W）*277（L）*45（H）mm,1U机架式设备。

（2）处理器：

IntelIXP422网络处理器

（3）内存：

128M

（4）Flash：

16M

（5）功耗：

最大55W

（6）温度：

32°

-104°

F,0°

-40°

C

（7）海拔：

0-14,800英尺

（8）湿度：

10-90%RH

2.4.4防火墙产品系统管理

2.4.4.1串口管理、配置

防火墙应支持通过串口进行管理和配置，以防防火墙配置错误时造成对防火墙无法管理的现象。

2.4.4.2策略下载备份和上传

防火墙应支持基于Web界面的本地和远程软件升级；

支持策略的备份与恢复。

2.4.4.3本地管理、远程管理

防火墙应支持本地管理和远程管理。

2.4.4.4多级系统管理权限

防火墙应支持四种用户权限管理防火墙系统：

超级管理员、系统管理员、日志管理员、审计员，责权分离。

2.4.5车站反病毒软件功能

2.4.5.1反病毒等恶意代码查杀功能

Ø

扫描内存，系统可以通过内存进程删除操作来查找和清除各类病毒。

扫描所有子系统区域（包括软盘、引导区、文件分配表和区分表、文件夹、文件和压缩文件）以提供广泛的安全保护。

精确清除文件、文件引导区、分区表和内存中的病毒。

实时扫描技术可在磁盘访问、文件复制、文件创建、文件重命名、程序执行、系统启动和关闭时捕获病毒。

阻止黑客利用Java、ActiveX小程序攻击、损坏和窃取用户的系统或资源。

2.4.5.2车站反病毒集中升级功能

要求能够实现与部中心－局中心－车站三级的每周一次的自动实时升级。

2.4.5.3日志集中管理功能

要求实现铁路局中心反病毒服务器对所有车站客户端进行统一管理，在中心反病毒服务器上即可查询到所有客户端的病毒扫描记录、病毒威胁记录、病毒库更新记录等日志记录。

2.4.6车站身份认证系统

2.4.6.1概述

根据铁道部TDCS/CTC安全性要求，身份认证系统应提供TDCS/CTC操作人员系统认证、授权和审计的能力，在允许用户访问受保护的资源以前，系统能够主动地去鉴别用户。

2.4.6.2身份认证系统能够通过对TDCS/CTC使用人员进行严格的身份认证，以克服静态密码的固有风险，有效控制、管理系统使用人员身份的合法性、真实性；

另一方面，通过每次登陆认证在服务器上的详细记录，可明确每位操作人员的使用责任。

2.4.6.3车站身份认证系统终端硬件为身份认证系统客户端。

2.4.6.4车站身份认证系统软件为身份认证系统终端登录接口程序。

2.4.6.5身份认证系统能够满足TDCS/CTC的访问控制要求，系统应满足以下功能：

TDCS/CTC程序登陆过程的身份认证。

身份认证系统应基于服务器/客户端的工作模式，通过在TDCS/CTC程序中嵌入客户端代理程序可实现TDCS/CTC程序登陆过程中的身份认证，认证过程由用户、接口函数库和服务器协作完成。

2.4.6.6操作系统登陆过程中的身份认证

身份认证系统应可以通过在Windows、Linux及Unix操作系统中嵌入客户端代理程序的方式实现系统登陆过程中的身份认证。

2.4.6.7身份认证系统安全性

身份认证系统可以通过身份认证系统客户端的使用实现身份认证机制。

操作人员可通过客户端输入身份鉴别信息来登陆TDCS/CTC程序或操作系统，该身份鉴别信息应具有极高的安全性。

操作人员无需记忆登陆口令，应用方便。

2.4.6.8身份认证系统统一管理

身份认证系统应可以通过专用的管理控制台程序对所有用户进行统一的管理，该管理控制台程序应具有图形化界面、操作简便。

对技术规格书中的所有条款进行逐项回答，说明是否能够照办，如不能照办，详细说明其原因。

1、设备型号及数量表；

2、有关技术资料：

3、系统硬件结构

4、系统功能

5、系统性能

6、传输特性

7、接口标准及有关通信协议

8、系统软件结构

9、系统的可靠性

10、维护子系统

11、各设备、终端性能要求

12、机械结构、工艺标准

13、环境要求

14、电源子系统的构成、耗电量

15、接地系统的构成及要求

16、为满足技术规格书中要求而重新设计部分的技术方案

17、投标人如有更新的技术和方案，可对本技术规格书提出修改建议或方案，供招标人参考。

设备及服务需求一览表

（一）需求一览表

1．设备需求

包件号

设备名称

规格型号

数量

（（含软、硬件）

（含软、硬件）

备品备件

维护仪器及仪表