二次系统安全防护设备安全扫描通用技术规范.docx
《二次系统安全防护设备安全扫描通用技术规范.docx》由会员分享,可在线阅读,更多相关《二次系统安全防护设备安全扫描通用技术规范.docx(16页珍藏版)》请在冰豆网上搜索。
二次系统安全防护设备安全扫描通用技术规范
(2012年版)
国家电网公司物资采购标准
(自动化系统及设备卷
二次系统安全防护设备册)
二次系统安全防护设备—安全扫描
通用技术规范
(编号:
1104005-0000-a0)
国家电网公司
二〇一二年
本规范对应的专用技术规范目录
序号
名 称
编 号
1
二次系统安全防护设备-安全扫描专用
1104005-0000-a1
二次系统安全防护设备—安全扫描
采购标准技术规范使用说明
1.本标准技术规范分为通用部分、专用部分。
2.项目单位根据需求选择所需设备的技术规范。
技术规范通用部分条款、专用部分标准技术参数表和使用条件表固化的参数原则上不能更改。
3.项目单位应按实际要求填写“项目需求部分”。
如确实需要改动以下部分,项目单位应填写专用部分“项目单位技术差异表”,并加盖该网、省公司物资部(招投标管理中心)公章,与辅助说明文件随招标计划一起提交至招标文件审查会:
1)改动通用部分条款及专用部分固化的参数;
2)项目单位要求值超出标准技术参数值范围;
3)根据实际使用条件,需要变更环境温度、湿度、海拔、耐受地震能力、用途和安装方式等要求。
经招标文件审查会同意后,对专用部分的修改形成“项目单位技术差异表”,放入专用部分表格中,随招标文件同时发出并视为有效,否则将视为无差异。
4.投标人逐项响应技术规范专用部分中“1标准技术参数表”、“2项目需求部分”和“3投标人响应部分”相应内容。
填写投标人响应部分,应严格按招标文件技术规范专用部分的“招标人要求值”一栏填写相应的投标人响应部分的表格。
投标人还应对项目需求部分的“项目单位技术差异表”中给出的参数进行响应。
“项目单位技术差异表”与“标准技术参数表”和“使用条件表”中参数不同时,以差异表给出的参数为准。
投标人填写技术参数和性能要求响应表时,如有偏差除填写“投标人技术偏差表”外,必要时应提供证明参数优于招标人要求的相关试验报告。
5.对扩建工程,如有需要,项目单位应在专用部分提出与原工程相适应的一次、二次及土建的接口要求。
6.技术规范范本的页面、标题等均为统一格式,不得随意更改。
7.一次设备的型式、电气主接线和一次系统情况对二次设备的配置和功能要求影响较大,应在专用部分中详细说明。
目次
二次系统安全防护设备—安全扫描采购标准技术规范使用说明323
1 总则325
1.1 引言325
1.2 投标人职责325
2 技术规范要求326
2.1 环境要求326
2.2 电源要求326
2.3 安全扫描基本要求327
2.4 漏洞检测能力327
2.5 安全扫描管理能力328
2.6 日志与报告能力328
2.7 产品自身安全性328
3 试验和验收328
3.1 安装调试328
3.2 设备验收329
4 技术服务329
4.1 技术服务329
4.2 培训330
1 总则
1.1 引言
本技术规范为安全扫描设备招标的主要技术功能要求、供货要求、服务要求,供投标人编制项目建议书及报价之用。
1.1.1投标人及投标产品应具备如下资质:
1)投标人应具备招标公告所要求的资质,具体资质要求详见招标文件的商务部分。
2)投标产品必须为具有自主知识产权的国产设备,经公安部、国家信息安全测评认证中心等国家权威部门测试通过,并获得安全产品销售许可证,评测认证资质必须在两年内有效。
3)若投标人为系统集成商,需提供原厂商的代理资质证明;同时保证有直接向原厂商下单权限并直接获得原厂商售后技术服务支持的权限。
4)投标产品应在电力行业测评机构经过测评,硬件产品必须符合变电站电磁兼容要求的电磁兼容三级要求,出具相应检测报告。
5)投标人提供三年以内在电力行业网、省级公司及以上网络的应答产品的应用案例3个以上。
1.1.2投标人应具有设计并集成过规模与本工程类似或更大的、条件与本工程规定相当或更严格的网络安全系统的业绩,并提供业绩清单,用户证明,联系人地址、电话。
1.1.3本次投标的所采用的设备及主要安全防护技术,至少要有与本工程同等规模的系统中有1年以上成功商业运行经验。
所投标的设备应经过有资质的检测机构的检测,并提供检测报告、业绩清单,用户证明,联系人地址、电话;如发现有失实情况,买方有权拒绝该投标。
1.1.4投标人在建议书中,对本技术规范中所提的技术及工程要求,应逐项予以说明和答复。
对涉及的主要产品、技术及服务,应做出详细说明。
投标人亦可根据产品技术性能的具体情况,在建议书中提出建议,并附详细资料和说明。
对本规范各条目的应答为“满足”、“不满足”、“部分满足”,不得使用“明白”、“理解”等词语,如出现上述应答,将视为不符合要求且该应答无效,在答复中,要求明确满足的程度,并做出具体、详细的说明,凡采用“详见”、“参见”方式说明的,应指明参见文档中的具体的章节或页码,凡要求进行说明而未做说明的,视该条应答无效。
1.1.5本技术规范应视为保证网络运行所需的最低要求,如有遗漏,投标人应予以补充,否则一旦中标将认为投标人认同遗漏部分并免费提供。
1.1.6招标人保留对本文件的解释和修改权。
1.2 投标人职责
投标人的工作范围将包括下列内容,但不仅仅限于此内容。
1.2.1投标人提供的产品必须满足本规范所描述的硬件设备及外设配置要求,这是招标人提出的设备最低配置要求。
1.2.2投标人所提供的所有设备需完全满足本采购所述规格,所有需要的硬件需配齐以构成一套完整实用产品。
如果投标人所列出的硬件设备及外部设备的配置建议,当实际采购时其软、硬件有任何遗漏(包括技术规范中未列出而设备正常运行又需要的软硬件),则设备正常运行需要时投标人必须免费提供,招标人将不再支付任何费用。
1.2.3招标人非常重视投标人在应答方案中所推荐产品的生命周期,要求所推荐的产品在未来两年内不能停产或淘汰。
1.2.4在招标人购买整机之日起,投标人对其所有部件保证五年供应。
1.2.5所有硬件系统均需符合下述标准:
电磁学规范:
FCCClassB或CISPR22ClassB;
安全规范:
ULListed(美国)或EN60950(国际);
质量标准:
ISO9000认证。
1.2.6投标人必须提供下列技术资料:
各种设备机架(柜)外形尺寸、质量、面板布置、进出线方式;
所需电源种类、功耗、电压、地线要求;
机房荷重、环境要求;
设备安装方式和抗震措施;
设备、线缆、端口等的实施维护标识办法。
1.2.7投标人应提供由中国信息安全测评中心或电力行业内专业测评机构出具的覆盖全部技术指标项的测评报告。
1.2.8如果应答设备要求使用特别接头、插座等,由投标人提供。
另外,所投设备的用电保护超过一般线路保护,保护设备也由投标人提供。
1.2.9设备/产品基于国际标准或工业标准,成熟、互联性强、易扩充。
1.2.10投标人必须提供产品相应的、配套的、正式的中文版技术参考手册、安装及管理维护手册和使用手册,如无中文版需提供英文版。
1.2.11所有软件系统如果有使用时限和使用租金的问题,必须在应答书中明确说明。
所有软件产品必须提供符合项目目标环境的安装介质,必须提供相应配套的、正规出版的中文或英文版技术参考手册、安装及维护管理手册和招标人使用手册。
1.2.12投标人提供的所有硬件设备必须是全新的、出厂的新设备,软件产品应是最新版的商用版本,提供的产品准许在中华人民共和国境内销售、能够在中国境内和合法使用,且在性能及质量方面能提供可靠证明,并享有设备制造商承诺的质量保证。
同时,应对此软、硬件所涉及的专利、知识产权等法律条款承担义务,招标人对此不承担任何责任。
1.2.13投标人需提供应答设备及推荐设备的产品销售许可证书。
1.2.14提供图纸,制造和质量保证过程的一览表以及标书规定的其他资料。
1.2.15提供设备管理和运行所需有关资料。
1.2.16所提供设备应发运到规定的目的地。
1.2.17如标准、规范与本标书的技术规范有明显的冲突,则投标人应在制造设备前,用书面形式将冲突和解决办法告知需方,并经需方确认后,才能进行设备制造。
1.2.18在更换所用的准则、标准、规程或修改设备技术数据时,投标人有责任接受需方的选择。
1.2.19现场服务。
2 技术规范要求
2.1 环境要求
安全扫描如为硬件形式,设备要需要符合如下运行要求:
2.1.1设备储存温度:
-40℃~+55℃;
2.1.2设备工作温度:
0~+45℃;
2.1.3大气压力:
86kPa~106kPa;
2.1.4相对湿度:
30%~85%;
2.1.5抗地震能力:
地面水平加速度0.3g,垂直加速度0.15g同时作用。
2.2 电源要求
安全扫描如为硬件形式,设备采用交流电源供电,并在下列供电变化范围内正常工作:
交流:
220V±10%,50Hz±5%。
投标人应详细说明所供设备本期配置功耗及满配功耗。
2.3 安全扫描基本要求
2.3.1安全扫描如为硬件形式,装置至少应满足表1中最新版本的规定、规范和标准的要求,但不限于表1中规范和标准。
表1投标人提供的设备和附件需要满足的主要标准
标准号
标准名称
IEC529
防护等级
IEC61000-4-2
静电放电试验
IEC61000-4-3
辐射静电试验
IEC61000-4-4
快速瞬变干扰试验
IEC61000-4-5
浪涌抗扰性试验
GB/T13702
计算机软件分类与代码
GB/T15532
计算机软件测试规范
GB/T2423
电工电子产品基本环境试验规程
GB/T2887
电子计算机场地通用规范
GB/T6593
电子测量仪器质量检验规则
GB/T4798.3
电工电子产品应用环境条件第3部分:
有气候防护场所固定使用
YD/T1130
基于IP网的信息点播业务技术要求
YD/T1163
IP网络安全技术要求——安全框架
YD/T1171
IP网络技术要求——网络性能参数与指标
YD/T1190
基于网络的虚拟IP专用网(IP-VPN)框架
GB/T15153.1
远动设备及系统第2部分:
工作条件第1篇:
电源和电磁兼容性
2.3.2提供产品的软、硬件形式说明。
投标产品若是硬件,则应基于专用硬件平台,机架式设备。
2.3.3安全扫描功能模块应能够灵活配置,具有良好的可扩展性。
2.3.4安全扫描应易于安装、配置和管理,并有详细的技术文档。
2.3.5安全扫描应支持全中文的操作界面以及中文详细的解决方案报告,提供在线帮助。
2.4 漏洞检测能力
2.4.1应能够扫描网络范围内的所有TCP/IP协议的设备,扫描的对象包括常见的操作系统(WindowsNT/2000/2003/XP、Linux、Solaris、HP-UX、AIX等)、数据库(Oracle、SQLServer、DB2等)、网络设备(防火墙、路由器、交换机)和应用系统等的安全漏洞。
对网络设备和操作系统网络层漏洞的扫描在不更改任何的配置和安装任何类似探针的软件,也不需要提供任何的访问权限的情况下正常工作。
2.4.2应能够对扫描对象的安全漏洞进行全面检查,检查内容包括缺少的安全补丁、词典中可猜测的口令、不恰当的用户权限、不正确的系统登录权限、操作系统内部是否有黑客程序驻留、不安全的服务配置等。
2.4.3扫描信息全面完备,包括主机信息、账号信息、服务信息、漏洞信息等内容。
2.4.4应可以在扫描过程中人工指定包括HTTP、FTP、SMB、Oracle等常见协议的登录口令,使扫描器能够登录到相应的系统中对特定应用进行深入扫描。
2.4.5内置不同的策略模板,如针对Unix、Windows服务器,便于用户定制扫描策略和扫描参数。
用户可定义扫描范围,扫描策略,实现不同内容、不同级别、不同程度、不同层次的扫描。
2.4.6可定义扫描端口范围,支持多种方式的口令猜测方式,包括利用Telnet,POP3,FTP,WindowsSMB进行口令猜测;允许外挂用户提供的字典库。
2.4.7具有强大的漏洞库和丰富的漏洞检查列表,漏洞库涵盖当前系统常见的漏洞和攻击特征。
并能够每周进行一次检测模块的升级,对重大漏洞支持3天进行升级,支持定期安全漏洞库的全自动和手动升级。
2.4.8漏洞库应与CVE兼容。
2.4.9具有多线程扫描能力,采用渐进式多线程任务调度技术;具有断点续扫功能。
2.4.10支持多种端口扫描模式方法,如TCPConnect,SYNScan等。
2.4.11提供定时扫描和多种计划扫描任务功能,按照用户指定的时间对指定的对象自动扫描,并自动生成报告。
2.4.12可以显示正在扫描任务的详细信息的功能,显示等待扫描任务详细信息;当网络不通时能够缓存扫描结果,当网络正常后再把缓存结果上传给相关模块。
2.4.13支持跨网段扫描。
2.4.14支持自动模板匹配技术提高扫描速度和准确率。
2.5 安全扫描管理能力
2.5.1支持分布式部署,可向上级服务器上传扫描。
2.5.2支持多个用户使用扫描器,对每个使用者能够设定其允许登陆的范围和允许扫描的范围。
2.5.3能够定制临时、周期性扫描任务自动扫描网段,找出系统或配置上的漏洞和不安全因素。
2.6 日志与报告能力
2.6.1内置漏洞知识库,可以从其中快速搜索到指定类型或者名称的漏洞特征信息。
2.6.2扫描报告可以输出成常用格式文件,应包括针对发现的安全漏洞的详细说明、补救方法步骤、补丁文件的互联网下载连接及国际安全组织关于该漏洞的说明或连接。
2.6.3产品的检测报告可以能够针对安全漏洞提供安全解决建议。
2.6.4可针对不同对象生成管理人员、技术人员等不同级别的扫描报告,形成包括柱状图、表格等方式,以直观、清晰的方式从总体上分析网络上的漏洞分布,为管理人员提供方便。
2.7 产品自身安全性
硬件形态的扫描设备应能够抵御PingofDeath,PingFlood,Land,TCPSYNFloods,TearDrop,IPSpoofing等典型DOS攻击。
3 试验和验收
3.1 安装调试
安装地点和环境在买方指定的地点,卖方或制造商应负责设备的安装、调试,保障设备正常运行。
卖方需明确以下问题:
3.1.1设备安装由卖方负责,安装过程中所有电缆及接头均由卖方提供并施工。
3.1.2卖方负责对施工地点进行现场勘察,提供工程施工和相关安装资料,并负责指导买方人员掌握和使用这些技术资料。
卖方应提供下列各种详细资料:
3.1.2.1设备外形尺寸、质量、面板布置、进出线方式。
3.1.2.2所需电源种类、功耗、电压、地线要求。
3.1.2.2机房荷重、环境要求。
3.1.2.3设备安装方式和抗震措施。
3.1.3安装调测时使用的工具、设备由卖方提供,通用工具由买方协助解决。
双方应协商制定工程进度表,卖方负责按工程进度表进行施工。
3.1.4设备调试由卖方负责,卖方调试前应提出完整的调试计划并经买方确认,包括设备调试的内容、项目、指标、方法和进度,并提供相应的仪器和工具。
卖方有责任对买方的技术人员提出的问题做出解答。
调试应进行详细记录,系统调试结束后,由卖方技术人员签字后交给买方验收。
3.2 设备验收
3.2.1项目单位与卖方或制造商对设备到货后共同配合进行开箱检查,出现损坏、数量不全或产品不对等问题时,由卖方或制造商负责解决。
3.2.2依技术规范要求对全部设备、产品、型号、规格、数量、外形、外观、包装及资料、文件(包括装箱单、保修单、随箱介质等)的验收。
3.2.3根据技术规范要求,全部设备在技术规范规定的地点和环境下,进行安装、调试,加电实现正常运行,并达到技术规范要求的性能和产品技术规格中的性能。
3.2.4按规范技术部分要求对产品进行测试检查。
设备产品测试中出现性能指标或功能上不符合规范和合同时,项目单位有拒收的权利。
3.2.5如验收及测试中出现不符合规范和合同要求的严重质量问题时,买方保留索赔权利。
3.2.6技术文档齐全,包括操作手册、配置参数手册、排错手册、管理维护手册等其他技术文件,如果有中文设备技术文件,必须提供中文版本的设备技术文件,如没有,必须提供英文版设备技术文件。
4 技术服务
4.1 技术服务
4.1.1技术后援支持
卖方或制造商必须向买方承诺技术后援支持,为今后买方主要软、硬件设备的功能扩充、服务提供至少五年的技术支持。
4.1.2质保及售后服务
4.1.2.1质保及售后服务
本技术规范中所有设备必须有以下条件:
质保:
所有本规范内包含的产品质保期为36个月,对于设备,包括硬件、软件,在质保期内,提供免费的生产原厂商软件升级包和免费的生产原厂商设备保修备件;质保期自设备通过最终验收之日起计算,其费用计入总价。
请卖方或制造商详细描述质保方案。
售后服务:
卖方或制造商需提供质保期内免费的7×24技术支持与服务。
卖方或制造商必须按照如下格式对服务响应时间进行明确描述。
“设备出现故障时必须在2h内对买方所提出的维修要求做出响应,12h内到达现场。
对于24h解决不了的问题,应提供备用设备。
”卖方或制造商如有其他服务响应可以另加描述。
卖方或制造商详细说明所提供的设备原厂商三年售后服务与技术支持的级别及服务内容。
应答人必须提出质保期内的维修、维护内容及服务方式、范围(产品、技术、模块、部件)。
在质保期内,应答人应提供相关软件的免费升级和备品更换服务;应答应人负责对其提供的设备进行现场维修与维护,不收取额外费用;在质保期后应答人应以不高于本合同相应的最优惠价格向买方提供修理和维修合同设备必要的备品备件。
要求各应答人承诺在产品交付时提供针对交付产品的原厂三年质保函。
4.1.2.2质保期后的质保与售后服务
卖方或制造商按照上述质保与售后服务为标准为买方提供质保期后的维保方案和报价,不计入总价。
在质保期过后,卖方或制造商应以不高于本合同相应的最优惠价格向买方提供修理和维修合同设备必要的备品备件。
原厂商技术支持站点(或办事处)与原厂商备品备件库。
卖方或制造商需提供国家电网公司涉及地理区域范围内的原厂商技术支持站点及原厂商备品备件库。
4.2 培训
4.2.1培训总则
1)培训服务为项目单位自愿采购内容。
2)卖方提供的培训服务必须满足4.2条要求。
3)卖方必须提供高水平的培训。
培训应包括硬件、软件等。
所提供的培训课程表随应答文件一起提交。
4)卖方派出的培训教员应至少具有三年的相同课程的教学经验。
5)所有的培训教员必须用中文授课(如果讲师不会讲中文,卖方必须提供中文翻译),除非有其他的协议规定。
6)卖方必须为所有被培训人员提供培训用计算机、网络环境、文字资料和讲义等相关用品。
所有的资料必须是中文。
7)培训场所由卖方提供。
8)培训时间和日期与招标方协商决定。
9)培训费用根据培训内容按照每人每天计算。
10)培训费用单独报价,不计入总价。
11)卖方应提供现场免费培训。
4.2.2培训内容与课程要求
1)培训内容应包括:
卖方所提供的软、硬件设备的相关技术原理、性能、操作使用方法、维护管理的技术、实际的操作练习等。
使买方具备独立进行管理、维护测试和故障处理等工作的能力,以保证卖方所提供的设备能够正常、安全运行。
2)培训费用包括课程费、资料费等,不计入总价。
3)提供详细培训体系内容。
附录:
专用采购标准固化部分
1.1104005-0000-a1_二次系统安全防护设备-安全扫描专用
名称
标准值
1技术特性表
1.1兼容10/100Base-TX接口(≥个)
2
1.2漏洞库中漏洞特征描述(≥个)
1500
1.3单IP扫描速度(≤min)
5
1.4最小并发扫描IP数(≥个)
5
1.5在强扫描策略下占用目标主机系统资源(≤%)
8
1.6在强扫描策略下占用网络资源(≤%)
5
1.7扫描通知
可以在扫描过程中通知被扫描的主机将要接受来自扫描器的扫描,方式有:
SMTP(用户主机上有邮件服务器运行情况下)、WindowsMessage(用户是Windows系统且该服务启动情况下)
1.8联动功能
扫描发现的安全漏洞事件可以直接通过SNMP发送给网管系统;能够与主流入侵检测系统联动,实现对事件攻击效果的进一步验证
1.9资产管理
支持被扫描系统的资产管理,自动发现网络资产的信息,并能够结合资产管理的情况进行扫描和分析。
能够对已有资产进行查阅和管理,可以手工增加新的资产信息
1.10消息通知
支持管理通知,允许管理员配置,使扫描任务运行结束时向指定电子邮箱地址发送邮件通知或使用Windows消息告诉管理员任务运行完成
1.11日志与报告能力
支持多任务报告分析;能够在界面和报告中,自动依照危险程度进行排序
2项目货物组件材料配置表
2.1项目货物组件材料配置表
2.3推荐的备品备件、专用工具和仪器仪表供货表
2.3.1推荐的备品备件、专用工具和仪器仪表供货表
3使用环境条件表
3.1环境温度
3.4耐受地震能力
4销售及运行业绩表
4.1销售及运行业绩表
5投标人提供的试验检测报告表
5.1投标人提供的试验检测报告表
6投标人提供的鉴定证书表
6.1投标人提供的鉴定证书表
升级会员 