车站防火墙技术规格书doc.docx
《车站防火墙技术规格书doc.docx》由会员分享,可在线阅读,更多相关《车站防火墙技术规格书doc.docx(10页珍藏版)》请在冰豆网上搜索。
车站防火墙技术规格书doc
新建铁路海天至青岛线
物资采购招标
设备名称车站防火墙系统设备
技
术
规
格
书
中铁工程设计咨询集团有限公司
二0一一年二月济南
1.概述
2.技术规格
附件1:
技术建议书应包含的内容
附件2:
设备及服务要求一览表
车站防火墙系统技术规格书
1.概述
1.1适用范围
本技术规格书是对新建铁路海天至青岛线铁路全线CTC区段车站防火墙系统设备的构成、制造、试验、开通、验收的有关规定,并作为卖方编制技术建议书的依据。
1.2招标范围
招标范围为新建铁路海天至青岛线铁路全线CTC系统共计5个新建车站和满足本线接入CTC中心系统的防火墙系统设备。
1.3工程有关情况说明
1.3.1车站设置情况及建设原则
序号
站名
单位
车站性质
车站情况
车站设置原则
1
海天站
套
中间站
新建
新建车站防火墙系统
2
新河镇站
套
会让站
新建
新建车站防火墙系统
3
平度站
套
中间站
新建
新建车站防火墙系统
4
高密东站
套
中间站
新建
新建车站防火墙系统
5
芝兰庄站
套
中间站
新建
新建车站防火墙系统
1.3.2其他信号工程相关内容
1.3.2.新建铁路海天至青岛线为新建单线工程,新建线路设置CTC系统,各站新设CTC分机设备,纳入济南铁路局调度所。
1.3.2.2姚哥庄、胶州站修改CTC分机设备,纳入济南铁路局调度所既有调度台管辖。
1.3.2.3济南铁路局既有CTC总机系统设备相应修改。
2.技术规格
2.1概述
随着铁路信息化建设的迅速发展,已建成的TDCS、CTC等系统在列车调度指挥方面发挥着越来越重要的作用,TDCS、CTC的网络安全建设也自然成为系统建设中必不可少的关键环节
。
CTC车站防火墙系统主要为车站网络提供防止黑客攻击、阻断病毒传播等功能的系统安全解决方案。
众所周知,CTC车站通过车站自律机对列车行车进行实际的控制操作,各车站成为整个系统的防护重点,因此车站的网络安全性非常重要。
通过车站防火墙系统等安全设备的部署,将有效控制网络蠕虫病毒的传播途径,通过设置统一、严谨的防火墙策略形成对整个CTC系统最大化的安全保护。
具体而言,车站防火墙系统根据用户定义(安全策略)允许或拒绝某些数据包通过防火墙系统,因此可有效增强车站网络的安全性,加强车站网络间的访问控制,保护各车站网络设备不被破坏,防止内部网络数据被窃取。
另一方面,目前,蠕虫病毒已成为TDCS、CTC系统的主要安全威胁之一。
因蠕虫病毒具有极强的传染性、设置后门程序、发动拒绝服务攻击(DoS/DDoS)等特征,其主要利用系统漏洞进行主动传播和攻击,通过网络进行快速传播,对网络危害极大。
车站防火墙系统采用先进的蠕虫检测及阻断技术,在车站网络网关位置截获各种常见的蠕虫,当蠕虫发作时阻断蠕虫发出的各种病毒或破坏性数据包,而正常的网络数据包不受影响,保证网络的正常通畅以及业务的正常运行。
2.2工程依据
2.2.1关于印发《列车调度指挥系统(TDCS)、调度集中系统(CTC)组网方案和硬件配置标准》(暂行)的通知(运基信号[2009]676号)。
2.2.2《铁路列车调度指挥及调度集中系统设计暂行规定》(铁建设[2007]205号)
2.3卖方需要提供的产品一览表
序号
货物名称
单位
数量
交货期
备注
1
中心网络安全设备
1.1
中心网络安全设备
套
1
满足本线接入
2
车站防火墙安全系统
2.1
车站防火墙软件
站
5
每站2套
2.2
车站防火墙硬件
站
5
每站2台
2.3
车站反病毒软件
站
5
每站1套
2.4
车站身份认证系统软件
站
5
每站1套
2.5
车站身份认证系统终端
站
5
每站1套
注:
以上设备数量、规格、型号,在施工阶段可能有一定调整,最终数量、规格、型号应以施工设计为准。
2.4产品规格及主要安全特性
2.4.1防火墙产品安全特性
2.4.1.1产品安全策略
防火墙应实施限制性政策,即在默认情况下禁止所有的服务,除非管理员对某种服务明确表示允许。
2.4.1.2产品安全目标
防火墙应具有信息分析功能、高效包过滤功能、反电子欺骗手段。
防火墙系统还可以随时对网络数据的流动情况进行分析、监控和管理,用户可以及时制定保护内部网络数据的措施。
2.4.2车站防火墙软件功能
2.4.2.1基于状态检测技术
防火墙应支持基于状态检测的包过滤技术。
2.4.2.2工作模式
防火墙应支持网桥透明接入模式、路由模式、NAT模式以及以上几种模式的混杂模式。
2.4.2.3包过滤访问控制
防火墙能够基于源/目的IP、源/目的端口、协议(包括P2P协议、即时通讯QQ/MSN等)、时间、流量等进行完善的访问控制。
2.4.2.4地址转换功能
防火墙系统应支持正向地址转换、反向地址转换、双向地址转换,支持静态NAT,支持地址池,并能够实现一对一、一对多的地址映射,并支持端口转移功能。
2.4.2.5内置IDS功能
防火墙应具有实时入侵检测报警功能。
2.4.2.6内置VPN功能
防火墙应支持IPSec隧道,支持PPTP协议;支持移动接入、一端动态及全动态IPSecVPN。
2.4.2.7内置DHCP服务器
防火墙应内置DHCP服务器,为内部网络动态分配IP。
2.4.2.8VLAN支持
防火墙应支持IEEE802.1q,能够识别VLAN数据包并能够根据策略对其进行相应的访问控制。
2.4.2.9静态路由及策略路由
防火墙支持源地址路由和平衡路由。
2.4.2.10IPMAC绑定
防火墙应支持IPMAC绑定,防止IP地址非法盗用。
2.4.2.11抵御蠕虫攻击
防火墙应具备蠕虫抑制功能,当内外网蠕虫发作时阻断蠕虫发出的各种病毒或破坏性数据包,保证网络的正常通畅以及业务的正常运行。
2.4.2.12内置网络诊断工具
防火墙应内置网络诊断工具:
Ping、Traceroute、ARP、Tcpdump。
2.4.2.13完善的日志记录
防火墙应具有日志功能。
2.4.3车站防火墙硬件指标
2.4.3.1硬件架构
百兆NP架构硬件防火墙。
2.4.3.2接口数量
3个10/100MBase-T非交换式以太网接口和4个10/100MBase-T交换式以太网接口。
2.4.3.3硬件性能指标
(1)并发连接:
200,000
(2)每秒新建会话数:
2000
(3)用户数限制:
无
(4)策略数:
10,000
(5)VPN隧道数:
500
(6)VPN最大带宽:
60M
2.4.3.4硬件物理指标
(1)尺寸:
440(W)*277(L)*45(H)mm,1U机架式设备。
(2)处理器:
IntelIXP422网络处理器
(3)内存:
128M
(4)Flash:
16M
(5)功耗:
最大55W
(6)温度:
32°-104°F,0°-40°C
(7)海拔:
0-14,800英尺
(8)湿度:
10-90%RH
2.4.4防火墙产品系统管理
2.4.4.1串口管理、配置
防火墙应支持通过串口进行管理和配置,以防防火墙配置错误时造成对防火墙无法管理的现象。
2.4.4.2策略下载备份和上传
防火墙应支持基于Web界面的本地和远程软件升级;支持策略的备份与恢复。
2.4.4.3本地管理、远程管理
防火墙应支持本地管理和远程管理。
2.4.4.4多级系统管理权限
防火墙应支持四种用户权限管理防火墙系统:
超级管理员、系统管理员、日志管理员、审计员,责权分离。
2.4.5车站反病毒软件功能
2.4.5.1反病毒等恶意代码查杀功能
Ø扫描内存,系统可以通过内存进程删除操作来查找和清除各类病毒。
Ø扫描所有子系统区域(包括软盘、引导区、文件分配表和区分表、文件夹、文件和压缩文件)以提供广泛的安全保护。
Ø精确清除文件、文件引导区、分区表和内存中的病毒。
Ø实时扫描技术可在磁盘访问、文件复制、文件创建、文件重命名、程序执行、系统启动和关闭时捕获病毒。
Ø阻止黑客利用Java、ActiveX小程序攻击、损坏和窃取用户的系统或资源。
2.4.5.2车站反病毒集中升级功能
要求能够实现与部中心-局中心-车站三级的每周一次的自动实时升级。
2.4.5.3日志集中管理功能
要求实现铁路局中心反病毒服务器对所有车站客户端进行统一管理,在中心反病毒服务器上即可查询到所有客户端的病毒扫描记录、病毒威胁记录、病毒库更新记录等日志记录。
2.4.6车站身份认证系统
2.4.6.1概述
根据铁道部TDCS/CTC安全性要求,身份认证系统应提供TDCS/CTC操作人员系统认证、授权和审计的能力,在允许用户访问受保护的资源以前,系统能够主动地去鉴别用户。
2.4.6.2身份认证系统能够通过对TDCS/CTC使用人员进行严格的身份认证,以克服静态密码的固有风险,有效控制、管理系统使用人员身份的合法性、真实性;另一方面,通过每次登陆认证在服务器上的详细记录,可明确每位操作人员的使用责任。
2.4.6.3车站身份认证系统终端硬件为身份认证系统客户端。
2.4.6.4车站身份认证系统软件为身份认证系统终端登录接口程序。
2.4.6.5身份认证系统能够满足TDCS/CTC的访问控制要求,系统应满足以下功能:
ØTDCS/CTC程序登陆过程的身份认证。
Ø身份认证系统应基于服务器/客户端的工作模式,通过在TDCS/CTC程序中嵌入客户端代理程序可实现TDCS/CTC程序登陆过程中的身份认证,认证过程由用户、接口函数库和服务器协作完成。
2.4.6.6操作系统登陆过程中的身份认证
身份认证系统应可以通过在Windows、Linux及Unix操作系统中嵌入客户端代理程序的方式实现系统登陆过程中的身份认证。
2.4.6.7身份认证系统安全性
身份认证系统可以通过身份认证系统客户端的使用实现身份认证机制。
操作人员可通过客户端输入身份鉴别信息来登陆TDCS/CTC程序或操作系统,该身份鉴别信息应具有极高的安全性。
操作人员无需记忆登陆口令,应用方便。
2.4.6.8身份认证系统统一管理
身份认证系统应可以通过专用的管理控制台程序对所有用户进行统一的管理,该管理控制台程序应具有图形化界面、操作简便。
附件1:
技术建议书应包含的内容
对技术规格书中的所有条款进行逐项回答,说明是否能够照办,如不能照办,详细说明其原因。
1、设备型号及数量表;
2、有关技术资料:
3、系统硬件结构
4、系统功能
5、系统性能
6、传输特性
7、接口标准及有关通信协议
8、系统软件结构
9、系统的可靠性
10、维护子系统
11、各设备、终端性能要求
12、机械结构、工艺标准
13、环境要求
14、电源子系统的构成、耗电量
15、接地系统的构成及要求
16、为满足技术规格书中要求而重新设计部分的技术方案
17、投标人如有更新的技术和方案,可对本技术规格书提出修改建议或方案,供招标人参考。
附件2:
设备及服务需求一览表
(一)需求一览表
1.设备需求
序号
包件号
设备名称
规格型号
单位
数量
备注
1
中心网络安全设备
((含软、硬件)
套
1
满足本线接入
2
车站防火墙安全系统
(含软、硬件)
站
5
3
备品备件
套
4
维护仪器及仪表
套