网络安全边界集成部分技术规范v060219.docx
《网络安全边界集成部分技术规范v060219.docx》由会员分享,可在线阅读,更多相关《网络安全边界集成部分技术规范v060219.docx(33页珍藏版)》请在冰豆网上搜索。
网络安全边界集成部分技术规范v060219
2005年中国网通集团DCN网络安全建设工程
边界防护安全产品集成部分
技术规范书
中国网络通信集团公司
中国网通(集团)有限公司
2006年2月
目 录
1总则1
2卖方技术建议书要求2
2.1建议书的要求3
2.2报价书要求4
3工程描述5
3.1项目背景6
3.2工程建设目标与原则6
3.3工程建设范围7
4网络现状7
4.1集团骨干网同各省边界现状7
4.2EDC防护试点省份网络现状8
5建议方案9
5.1边界防护防系统部署9
5.2边界防护防火墙部署9
5.3边界防护IDS部署9
5.4EDC防护试点省安全部署9
5.5设备需求统计11
6设备及软件技术规范12
6.1总体技术要求12
6.2入侵防护(IPS)13
6.3漏洞扫描产品16
6.4防DDOS攻击设备技术要求18
6.5出口路由器19
6.6三层交换机22
7项目管理23
7.1项目开发方式与策略23
7.2项目风险分析及控制24
7.3项目实施计划24
7.4项目实施控制24
7.5项目实施人员的结构24
8各方职责划分24
8.1卖方的职责25
8.2总集成商职责25
8.3服务器、存储、数据库供应商职责26
8.4买方的职责27
9工程实施27
9.1工程实施计划27
9.2安装和调试27
9.3试运行及验收28
9.4原厂保修期29
10技术服务和技术培训29
10.1技术服务29
10.2技术培训30
11技术文件31
12其他32
1总则
1.1本文件为中国网络通信集团公司(以下简称买方)“2005年中国网通集团DCN网络安全建设工程边界防护安全产品集成部分”技术规范书,供集成商(以下简称卖方)编写建议书和报价之用,建议书的内容格式应符合本规范书的要求。
1.2本文件中的“本项目”是指2005年中国网通集团DCN网络整合改造项目安全系统工程;“本单项工程”是指2005年中国网通集团DCN网络整合改造项目安全系统工程边界防护安全产品集成部分,即本次招标的范围。
1.3卖方在建议书中,对本规范书中所提各项要求能否实现与满足,应逐项予以说明和答复。
卖方亦可根据自己的产品技术性能具体情况,在建议书中提出建议,并附详细资料和说明。
对本规范书各条目的应答为“满足”、“不满足”、“部分满足”,不得使用“明白”、“理解”等词语,在答复中,要求明确满足的程度,并做出具体、详细的说明。
在回答“满足”后,其后的任何解释均不能与“满足”相冲突,若发生冲突,则视解释无效。
“不满足”可以详细解释。
凡采用“详见”、“参见”方式说明的,应指明参见文档中的具体的章节或页码。
需要做详细解释的内容应尽量放在逐条逐项答复中,若内容太多,可放在指明的附件中。
1.4卖方提供的各项设备和系统的特点、性能应完全符合买方指明的标准,并满足或高于买方指出的要求。
在此文件中没有说明的条款,但相关国际标准化组织的标准(如ISO、IEEE、ITU-T、ETSI、IMTC、IETF等)及我国国家标准、信息产业部部颁标准已有建议的系统设备性能和功能,均应满足标准的最新建议要求。
卖方供应设备的技术指标及这些设备构成网络系统的性能应符合本规范书的要求。
卖方应列出所提供设备和系统的规范,任何与买方技术规范书相关条款不同的都应指示出来,并详细说明原因。
1.5若卖方的设备包含自己专用标准,也应在建议书中具体说明,并附上相应的详细技术资料。
1.6本技术规范书应视为保证网络运行所需的最低要求,如有遗漏,卖方应予以补充,否则一旦中标,将认为卖方认同遗漏部分并免费提供。
1.7买方保留对本技术规范书的解释和修改权。
买方修改和增补的内容与本技术规范书具有同等效力。
1.8卖方应对所有提供产品的功能和性能负责,应对按照卖方提出的建议建设方案组建的相关系统功能和性能负责。
如因卖方配置或建设方案不合理,而造成所提供的产品或采用其提供产品及建议方案建设的安全系统未能满足本规范书要求,卖方应负全部责任。
1.9本技术规范书包括DCN边界防护和试点省份EDC安全防护所需的IPS、漏洞描、出口路由器、交换机等产品技术规范以及包含防火墙、IDS等产品实施在内的边界防护和试点省份EDC安全防护工程规范。
1.10卖方应承诺开放必要的产品接口,配合SOC集成商完成监控、采集接口的开发。
1.11卖方所提供的硬件设备应保证是最新生产的设备、软件产品应是最新版的商用版本,并应对此软、硬件所涉及的专利、知识产权等法律条款承担义务,买方对此不承担任何责任。
1.12卖方应在建议书中提供系统、设备的详细配置,并说明相应的计算方法及依据。
1.13卖方在建议书中应说明对供货时间、供货质量控制等的具体安排。
1.14卖方在建议书中应说明给买方提供的技术文件、技术支持、技术服务、人员培训、厂验等的范围和程度。
1.15卖方应在建议书中列出提供的书面技术资料详细清单。
1.16规范书有关内容的澄清
(1)卖方对于规范书的疑问可以通过书面材料与买方联系。
在规定的建议书提交最后期限以前,买方将以书面材料给予答复,有关买方答复材料的复印件也将递交所有得到技术规范书的卖方。
(2)在技术谈判的各个阶段,买方将以书面形式要求卖方对有关问题进行进一步的技术澄清,卖方应以书面资料给予正式应答;所有各阶段的技术澄清文件都将作为合同附件。
2卖方技术建议书要求
要求卖方在收到本规范书之后十天内按买方的要求提供三份建议书、一份电子版文档(要求以中文OFFICE格式)和两份密封的报价书(中文)。
建议书和报价书的要求如下。
2.1建议书的要求
卖方所提供的建议书需按顺序必须含以下章节的内容(由于内容的不完整性造成的一切后果由卖方负责):
(1)综述
(2)工程技术规范书点对点应答
(3)详细设计和实施方案
要求针对本文档中的建议方案进行细化或优化,除基本的方案建议内容外,还要包括实施方案等内容。
要求实施方案面具备可操作性;方案建议包括但不限于以下内容:
a.卖方需结合网通集团DCN骨干网络同省网的连接结构以及各试点省EDC网络结构等相关情况,针对建议部署方案进行细化。
如有优化调整或全新方案,需详细说明调整原因及调整、细化部分的规模。
请卖方根据买方的功能和技术要求,提供两套方案。
b.关于漏洞扫描系统,如果在省公司到市公司不进行分级部署,实施漏洞扫描时,省市公司之间的网络带宽占用应如何计算?
厂家对此给出详细计算说明。
c.技术建议方案应当具有完整性,形成一体化的解决方案。
应包括产品或系统运维管理所必需的各类软、硬件,其中针对建议中涉及到的所有服务器、存储以及第三方软件,卖方应给出详细列表以及性能指标的详细需求和计算依据。
服务器应详细列出内存(类型、大小)、CPU(频率、当前个数、满配个数)、硬盘(大小、类型)、显示器(类型、尺寸),核心服务器应列出TPCC值或EPS值;对于工作站应详细列出内存(类型、大小)、CPU(频率、个数)、硬盘(大小、类型)、显示器(类型、尺寸)、显示卡类型;磁盘阵列应列出相关配件、大小、类型等;局域网交换机应列出端口数量、速率等。
d.边界防护产品的部署(位置、方式及管控归属)方案建议。
e.各类安全产品集中管理、策略制定及分发建议。
f.后期边界防护及EDC安全防护的发展建议。
g.系统的安全性、可靠性解决方案。
h.系统组织连接图(包括网络和硬件的拓扑图以及安装的相应软件)。
i.系统管理。
(4)设备配置详细说明及设备配置详细清单(与报价表内容格式及项目相同,不含商务价格)。
(5)所推荐设备情况(各种技术指标、接口特性、设备特性、设备安装方式及物理尺寸、供电方式及耗电量、设备或机架接地要求、重量、温湿度等环境要求),最好能提供设备相关性能指标的测试记录文档。
(6)系统软件和购置的第三方软件的情况(含功能、性能等指标)。
(7)安装设备和材料、备件和工具的数量清单。
(8)买卖双方责任及分工界面。
(9)工程实施计划
a.工程进度表,包括需求分析、供货、安装、调测、割接、验收等工程各环节。
b.工程实施和服务人员安排。
(10)机房场地及环境准备要求以及在工程实施过程中对买方的其它要求。
(11)设备安装要求及建议,抗震加固措施
(12)技术文件
(13)买方技术人员和业务使用人员培训。
(14)验收及测试安排,设备测试、系统测试的方法和环境。
(15)技术服务的范围和程度(包括技术服务、支持、保修、软件升级等)。
售后服务安排及质量保证措施
(16)卖方须详细介绍卖方公司的总体情况(包括人员结构、企业资质等方面)、曾做过的类似项目情况、应用实例以及最终用户评议。
(17)对于中国网通集团DCN安全系统发展方向的建议
2.2报价书要求
(1)报价应按照物理位置分开报价。
(2)报价应包括设备(软、硬件)、安装材料、备件、工具、仪表、技术文件及安装调测、培训、技术支持、保修等,并逐条逐项列出。
(3)报价应包括设备名称、型号及配置模块、数量等详细内容。
(4)报价以人民币为单位,应该报设备到现场(买方指定地点)的价格,运输费单独列出。
(5)报价应按目录价、折扣价和折扣率分项列清。
(6)对于卖方向买方建议采用的业务和功能,卖方应详细描述和说明这些业务和功能并作为可选项提出报价。
(7)卖方对本规范书涉及到的服务器、存储系统、数据库软件和微软产品提出合理的建议配置,并提供详细的计算依据。
卖方对服务器、存储系统、数据库软件和微软产品单独进行报价并列出详细的配置清单供买方独立采购参考,这部分产品不计入工程总报价。
卖方对这部分产品的配置建议和系统集成负有全面责任,卖方须承诺对这部分产品进行集成,并保证整体工程质量。
(8)硬件报价要求:
硬件部分须报出系统所需的全部设备的价格;
(9)软件报价要求:
卖方应提供最新的、成熟的、稳定的软件版本,并注明所提供软件的版本号,提供详细的功能清单。
(10)软件报价按以下分类方法:
――系统软件报价:
包括操作系统(如果硬件平台采用商用计算机平台,可包含在硬件报价中)、数据库软件、工具和组件等。
――应用软件:
应分为基本功能模块、可选功能模块两个部分。
卖方应按模块提供详细报价;可选功能模块指厂家自己定义的可选软件功能,只计单价不计入合价。
(11)卖方应承诺买方在后续的设备订货时,同一类型的软、硬件设备成交价格至少应不高于本次合同的成交价格。
(12)服务报价要求
――卖方应对下述服务项目进行报价:
――原厂安装服务:
卖方负责所有设备的安装。
――原厂系统调测服务:
卖方应负责全部系统调测。
(13)培训
――卖方就所提供的产品提供原厂技术培训,分为高级培训(高级技术人员或管理者)和操作培训。
――卖方需就此两种培训,列出培训人员的数量和费用单价并给出详细的培训计划(包括时间、地点、课程等)。
(14)可选报价
对于可选软件、硬件和服务或卖方认为可以推荐给买方选择的软件、硬件和服务,可单独提出其项目和报价,但不计入合价,并提供技术性能及供经济技术比较所需的资料。
3工程描述
3.1项目背景
依据集团企业信息化总体规划、五统一战略、上市公司对信息化的需求,集团公司逐渐加大了信息化建设的步伐。
根据集团公司2005年信息化工作的总体目标——“确保“2+1”项目的完成、提升信息化工作的水平”,中国网通在完成集团门户二期DCN网络改造工程之后,启动了“2005年中国网通集团DCN网络整合改造项目”,以期为集团企业信息化系统提供统一、专用、安全、高效、易管理、易维护的多业务网络平台。
“2005年中国网通集团DCN网络整合改造项目”包括网络系统工程和安全系统工程两部分,本工程是其中的安全系统工程部分。
目前,“2005年中国网通集团DCN网络整合改造项目网络系统工程”已经启动并顺利进行,该项目的实施将建成覆盖全国31省的物理承载网,初步实现DCN骨干网和省网的互通。
网络系统工程的实施为安全系统部署创造了条件,同时也对安全系统工程提出了更加明确的需求。
3.2工程建设目标与原则
3.2.1建设目标
本工程通过边界防护的建设,以保护DCN网不同区域的安全性,防范未授权的访问,杜绝非法的数据包在不同安全区域之间的传递,将攻击阻挡在安全区域环境之外。
保证网络安全状况的可知和可控,确保DCN骨干网的安全,同时将省DCN网内部的不安全因素控制在较小的范围内。
通过对试点省、市的数据中心的安全部署,以实现试点省、市数据中心安全的“可知性”,以便后期逐步完善安全体系。
3.2.2建设原则
系统建设实现过程中遵从先进性原则、高可靠性原则、开放性原则、安全性原则、可管理性原则、可扩展性、经济性的原则。
(1)先进性原则:
采用先进的、开放的系统结构;采用先进的计算机技术;采用先进的现代管理技术,以保证系统的科学性。
(2)高可靠性原则:
系统的不间断运行与服务应达到电信级要求,应具有极高可靠性,并采用容错的设计确保系统的可靠性稳定性。
(3)开放性原则:
构建在完善的系统平台基础上,考虑升级和个性化服务。
遵循开放性和标准化基本原则,所选用的硬件设备、软件等必须遵循相应的国际标准,保证系统具有互操作性和开放性。
各系统之间采用优化的原则,使各系统之间更好地配合,达到最佳的应用效果。
(4)安全性原则:
在系统建设时通过安全技术保证网络的安全性、数据的安全性、用户访问的安全性,在技术保障的同时,从管理层面加强安全性管理。
(5)可管理性原则:
采用集中式的管理可以节约资金、人力的投入,为用户提供更大的自由发挥的空间,同时也使管理变得简单,有利于在出现问题时,能够用最短的时间检查出问题并及时解决。
(6)可扩展性原则:
产品或系统应具有很好的升级能力,以适应科学技术高速发展的需要。
在必要时采用新的技术和设备对整个系统进行升级,满足应用系统不断增长的需要。
(7)经济性原则:
采取有效的措施和实施方案合理利用投资、规避投资风险。
3.3工程建设范围
本项目包括对在其他工程中购置百兆/千兆防火墙、百兆/千兆IDS设备以及本项目采购的千兆IPS、出口路由器、三层交换机、防DDOS攻击设备的总体集成。
本项目采购的产品主要解决网通集团DCN骨干网络同各省主用DCN网络的边界防护,以及辽宁、山东、内蒙和天津四个试点省、市的企业数据中心的安全防护。
主要建设内容如下。
(1)边界防护:
在网通集团DCN骨干网络同各省主用DCN网络边界部署IDS设备。
在网通集团DCN骨干网络同各省(内蒙、南方21省)主用DCN网络边界部署防火墙设备。
(2)数据中心防护:
辽宁、山东、天津等三个EDC防护试点省、市企业数据中心部署IDS设备,内蒙古的企业数据中心部署IDS、VPN互访控制防火墙、业务出、入口及员工互联网访问出口所需的路由器、交换机、防火墙及防DDOS设备。
(3)北京、天津、河北、河南、山东、山西、黑龙江、吉林、辽宁、内蒙古及集团总部各部署1套漏洞扫描系统。
4网络现状
4.1集团骨干网同各省边界现状
网通集团DCN骨干网络同各省主用DCN网络连接结构如下:
图4-1 DCN骨干网络同各省主用DCN网络连接结构
目前,DCN骨干网已经开通MPLSVPN,北方10省大部分也已经开通了省内MPLSVPN;除少数省份外,南方21省大部分省份未开通MPLSVPN。
已开通省内MPLSVPN的省份,与集团DCN骨干之间采用VPN跨域互联。
未开通MPLS的省份,核心路由器作为CE,集团骨干网汇聚层设备作为PE/ASBR实现省DCN网与集团DCN骨干互联。
4.2EDC防护试点省份网络现状
4.2.1辽宁EDC网络现状
辽宁EDC内部由2台ExtremeBD6816交换机及1台Cisco2948交换机(汇聚OA系统)作为核心交换机,下联各业务系统主机。
4.2.2山东EDC网络现状
山东EDC内部由2台Cisco7609交换机及2台Cisco6509交换机作为EDC核心交换机,下联各业务系统主机。
4.2.3天津EDC网络现状
天津EDC内部由2台Cisco7609交换机及1台3com6012交换机(汇聚各专业网管系统)作为EDC核心交换机,下联各业务系统主机。
4.2.4内蒙古EDC网络现状
内蒙古现有2个EDC机房,每个EDC核心交换机为2台华为S8505交换机,2台S8505交换机双归上联省核心华为NE80路由器。
EDC内部各系统经由汇聚交换机上联2台EDC8505核心交换机。
图4-2 内蒙古EDC网络上联现状
5建议方案
5.1边界防护防系统部署
5.2边界防护防火墙部署
在内蒙和广东省核心路由器同集团DCN网骨干汇聚设备之间各部署2台千兆防火墙设备,在南方21省(除广东外)省核心路由器同集团DCN网骨干汇聚设备之间各部署2台百兆防火墙设备。
5.3边界防护IDS部署
在辽宁核心路由器同集团DCN网骨干汇聚设备之间部署2台千兆IPS设备,在北京、天津、河北、河南、山西、山东、黑龙江、吉林、内蒙古和广东省等十省、市核心路由器同集团DCN网骨干汇聚设备之间各部署2台千兆IDS设备,在安徽、广西、海南、湖北、江西、陕西、四川、浙江、重庆等9个业务量较大的南方省、市省核心路由器同集团DCN网骨干汇聚设备之间各部署2台百兆IDS设备,在福建、甘肃、贵州、湖南、江苏、宁夏、青海、上海、西藏、新疆、云南等11个业务量较小的南方省、市省核心路由器同集团DCN网骨干汇聚设备之间各部署1台百兆IDS设备。
5.4EDC防护试点省安全部署
5.4.1辽宁、山东、天津EDC安全部署
结合目前各省DCN网数据中心的安全现状,首先要实现数据中心安全的“可知性”,只有在安全可知的前提下,才能更好的完善安全体系,部署更加完备的安全方案。
为实现各试点省安全的“可知”,在辽宁EDC内2台ExtremeBD6816交换机及1台Cisco2948交换机各侧挂1台千兆IDS设备,在山东EDC内2台Cisco7609交换机及2台Cisco6509交换机各侧挂1台千兆IDS设备,在天津EDC内2台Cisco7609交换机及1台3com6012交换机各侧挂1台千兆IDS设备。
在后期根据省DCN网络承载应用的不同,可以将其分为MSS、BSS和OSS。
为了对各系统进行分类流量检测,建议后期进行如下部署。
图4-3试点省数据中心安全监控系统部署后期目标
5.4.2内蒙古EDC安全部署
对于内蒙古,考虑到自治区DCN骨干网为新建网络,链路条件较好,而内蒙古办公终端数量相对较少,为了便于对内蒙古网络安全进行集中管理,建议对内蒙古EDC做比较全面的安全部署。
具体内容包括,EDC的入侵检测、EDC跨域安全互访控制和出入口集中控制。
图4-4内蒙古EDC安全防护建议方案
如上图,可在2个EDC的核心交换机(PE设备)上各侧挂1台千兆防火墙和1台千兆IDS。
IDS用以对病毒、蠕虫等引起的恶意流量进行进行检测,保证数据中心安全状况的可知,防火墙主要进行跨域(VPN)安全互访控制。
为了对EDC出入口进行集中管理,建议在内蒙两个EDC分别部署一套业务系统的Internet出口和Internet入口,出入口逻辑上分开,各建设1台出口路由器、2台千兆防火墙,并在业务入口建设1台防DDOS攻击设备。
同时,为满足自治区办公人员上网的需求,建议在EDC部署一套员工上网出口,出口配置1台出口路由器、2台DMZ三层交换机、2台千兆防火墙设备。
为便于省内办公人员互联网出口统一,建议此出口部署在省核心设备上,设备可安装在二枢纽EDC内。
5.5设备需求统计
此部分设备需求为建议方案中边界防护和EDC防护中所涉及的相关产品的规模。
表5-1设备规模统计表
序号
设备
单位
数量
本期端口需求
部署位置
1
百兆防火墙
台
40
4个FE
南方21省(除广东外)每省2台
2
千兆防火墙
台
14
4个GE
内蒙、广东每省边界部署2台,内蒙2个EDCVPN互访4台、业务入口2台、业务出口2台、员工互联网出口2台
3
百兆IDS
台
29
2个FE
安徽、广西、海南、湖北、江西、陕西、四川、浙江、重庆等9省、市省边界各部署2台百兆IDS,福建、甘肃、贵州、湖南、江苏、宁夏、青海、上海、西藏、新疆、云南等11省、市边界各部署1台百兆IDS。
4
千兆IDS
台
34
2个GE
北京、天津、河北、河南、山西、山东、黑龙江、吉林、内蒙古和广东十省、市的边界各2台,辽宁EDC3台,山东EDC4台,天津EDC3台,内蒙古EDC4台。
5
千兆IPS
台
2
2GE(光口)
辽宁边界2台
6
漏洞扫描器
台
11
北京、天津、河北、河南、山西、山东、黑龙江、吉林、辽宁、内蒙古、集团各1台
7
防DDOS攻击设备
台
1
内蒙古EDC业务入口1台。
8
出口路由器
台
3
4个GE,4个FE/台
内蒙古EDC业务出、入口和员工上网出口个1台。
9
三层交换机
台
2
2个GE,8个FE/台
内蒙古EDC内员工上网出口2台。
上表中百兆防火墙、千兆防火墙、百兆IDS、千兆IDS设备以及本工程所需的所有服务器、存储设备、第三方软件的采购不在本集成包中,本项目只负责此部分的集成建设。
表中千兆IPS、出口路由器、三层交换机、防DDOS攻击设备的采购和集成由本项目负责。
卖方系统及设备详细技术要求见第5章。
6设备及软件技术规范
6.1总体技术要求
6.1.1硬件
(1)卖方提供的所有设备必须是最新的商用产品,并保证所提供产品的数量、质量,特别是接口的兼容性。
(2)各种设备应采用功能分担、分布式多处理机结构。
设备支持冗余备份,风扇、电源、接口卡等关键部件支持带电热插拔,损坏时便于替换或者扩容。
(3)设备要选用高质量的元器件,采用专业的硬件结构(NP、ASIC、经优化的X86),生产过程中进行严格质量控制,出厂前要经买方人员严格测试和检查,确保设备长期稳定、可靠地运行。
(4)为满足后期工程建设需求,本期新增的网络设备应有良好的功能及端口扩展能力。
6.1.2软件
(1)卖方提供的软件应包括确保设备正常运行所需的管理、运营、维护等软件。
(2)软件要求为模块化结构,保证安全可靠,具有容错能力。
(3)卖方提供的软件应为最新商用版本,且不同时期软件版本应能兼容。
同时要保证网络安全可靠及扩容和版本升级方便。
(4)卖方应针对买方采购的设备为买方SOC系统提供完备的原厂产品知识库及更新服务。
(6)卖方在建议书中应详细列出所提供的软件清单和说明。
6.1.3安装材料
建议书中应包含各系统的安装材料清单。
设备中应包含用于连接各种设备和硬件的室内线缆,如有错漏,由卖方无偿补足。
6.1.4消耗品
卖方提供的设备应配有至少满足三年维护期使用的消耗品。
6.1.5维护工具仪器和备品备件
(1)卖方应提供专用的维护工具和设备,提出建议和报价。
(2)卖方应提供正常维护使用的备品备件及消耗材料,并提供清单。
(3)卖方提供的设备应保证在至少五年内,不论提供的设备是否还生产,买方均可得到备件。
6.2入侵防护(IPS)
6.2.1体系结构与硬件指标
(1)产品应为硬件产品。
(2)支持千兆以太网光接口,千兆以太网接口数量不小于4个。
请详细描述。
(3)开启过滤时的吞吐量不小于1Gbps。
(4)最大并发会话数不小于100万。
(5)应用多种过滤条件下延迟不大于800微秒。
(6)硬件探测引擎的平均无故障时间不低于8万小时。
(7)漏报率<1%,误报率<1%,卖方需明
升级会员 