车站防火墙技术规格书docWord文档格式.docx

1、招标范围为新建铁路海天至青岛线铁路全线CTC系统共计5个新建车站和满足本线接入CTC中心系统的防火墙系统设备。1.3 工程有关情况说明1.3.1 车站设置情况及建设原则序号站名单位车站性质车站情况车站设置原则1海天站套中间站新建新建车站防火墙系统2新河镇站会让站3平度站4高密东站5芝兰庄站1.3.2 其他信号工程相关内容1.3.2. 新建铁路海天至青岛线为新建单线工程，新建线路设置CTC系统，各站新设CTC分机设备，纳入济南铁路局调度所。1.3.2.2姚哥庄、胶州站修改CTC分机设备，纳入济南铁路局调度所既有调度台管辖。1.3.2.3济南铁路局既有CTC总机系统设备相应修改。2.技术规格2.1

2、 概述随着铁路信息化建设的迅速发展，已建成的TDCS、CTC等系统在列车调度指挥方面发挥着越来越重要的作用，TDCS、CTC的网络安全建设也自然成为系统建设中必不可少的关键环节。CTC车站防火墙系统主要为车站网络提供防止黑客攻击、阻断病毒传播等功能的系统安全解决方案。众所周知，CTC车站通过车站自律机对列车行车进行实际的控制操作，各车站成为整个系统的防护重点，因此车站的网络安全性非常重要。通过车站防火墙系统等安全设备的部署，将有效控制网络蠕虫病毒的传播途径，通过设置统一、严谨的防火墙策略形成对整个CTC系统最大化的安全保护。 具体而言，车站防火墙系统根据用户定义（安全策略）允许或拒绝某些数据包

3、通过防火墙系统，因此可有效增强车站网络的安全性，加强车站网络间的访问控制，保护各车站网络设备不被破坏，防止内部网络数据被窃取。另一方面，目前，蠕虫病毒已成为TDCS、CTC系统的主要安全威胁之一。因蠕虫病毒具有极强的传染性、设置后门程序、发动拒绝服务攻击（DoS/DDoS）等特征，其主要利用系统漏洞进行主动传播和攻击，通过网络进行快速传播，对网络危害极大。车站防火墙系统采用先进的蠕虫检测及阻断技术，在车站网络网关位置截获各种常见的蠕虫，当蠕虫发作时阻断蠕虫发出的各种病毒或破坏性数据包，而正常的网络数据包不受影响，保证网络的正常通畅以及业务的正常运行。2.2 工程依据2.2.1关于印发列车调度指

4、挥系统（TDCS）、调度集中系统（CTC）组网方案和硬件配置标准（暂行）的通知（运基信号2009676号）。2.2.2 铁路列车调度指挥及调度集中系统设计暂行规定（铁建设2007205 号）2.3 卖方需要提供的产品一览表货物名称单 位数 量交货期备注中心网络安全设备1.1满足本线接入车站防火墙安全系统2.1车站防火墙软件站每站2套2.2车站防火墙硬件每站2台2.3车站反病毒软件每站1套2.4车站身份认证系统软件2.5车站身份认证系统终端注：以上设备数量、规格、型号，在施工阶段可能有一定调整，最终数量、规格、型号应以施工设计为准。2.4 产品规格及主要安全特性2.4.1 防火墙产品安全特性2.

5、4.1.1 产品安全策略防火墙应实施限制性政策，即在默认情况下禁止所有的服务，除非管理员对某种服务明确表示允许。2.4.1.2 产品安全目标防火墙应具有信息分析功能、高效包过滤功能、反电子欺骗手段。 防火墙系统还可以随时对网络数据的流动情况进行分析、监控和管理，用户可以及时制定保护内部网络数据的措施。2.4.2 车站防火墙软件功能2.4.2.1基于状态检测技术 防火墙应支持基于状态检测的包过滤技术。2.4.2.2 工作模式防火墙应支持网桥透明接入模式、路由模式、NAT模式以及以上几种模式的混杂模式。2.4.2.3 包过滤访问控制防火墙能够基于源/目的IP、源/目的端口、协议（包括P2P协议、即

6、时通讯QQ/MSN等）、时间、流量等进行完善的访问控制。2.4.2.4 地址转换功能防火墙系统应支持正向地址转换、反向地址转换、双向地址转换，支持静态NAT，支持地址池，并能够实现一对一、一对多的地址映射，并支持端口转移功能。2.4.2.5 内置IDS功能防火墙应具有实时入侵检测报警功能。2.4.2.6 内置VPN功能防火墙应支持IPSec隧道，支持PPTP协议；支持移动接入、一端动态及全动态IPSec VPN。2.4.2.7内置DHCP服务器防火墙应内置DHCP服务器，为内部网络动态分配IP。2.4.2.8 VLAN支持防火墙应支持IEEE 802.1q，能够识别VLAN数据包并能够根据策略

7、对其进行相应的访问控制。2.4.2.9静态路由及策略路由防火墙支持源地址路由和平衡路由。2.4.2.10 IPMAC绑定防火墙应支持IPMAC绑定，防止IP地址非法盗用。2.4.2.11抵御蠕虫攻击防火墙应具备蠕虫抑制功能，当内外网蠕虫发作时阻断蠕虫发出的各种病毒或破坏性数据包，保证网络的正常通畅以及业务的正常运行。2.4.2.12内置网络诊断工具防火墙应内置网络诊断工具：Ping、Traceroute、ARP、Tcpdump。2.4.2.13完善的日志记录防火墙应具有日志功能。2.4.3车站防火墙硬件指标2.4.3.1硬件架构百兆 NP架构硬件防火墙。2.4.3.2 接口数量3个10/100

8、M Base-T非交换式以太网接口和4个10/100M Base-T交换式以太网接口。2.4.3.3硬件性能指标（1）并发连接：200,000（2）每秒新建会话数：2000（3）用户数限制：无（4）策略数：10,000（5）VPN隧道数：500（6）VPN最大带宽：60M 2.4.3.4 硬件物理指标 （1）尺寸：440（W）*277（L）*45（H）mm, 1U机架式设备。 （2）处理器：Intel IXP422网络处理器（3）内存：128M（4）Flash：16M（5）功耗：最大55W（6）温度：32-104 F, 0-40 C（7）海拔：0-14,800 英尺（8）湿度：10-90%RH

9、2.4.4 防火墙产品系统管理2.4.4.1 串口管理、配置防火墙应支持通过串口进行管理和配置，以防防火墙配置错误时造成对防火墙无法管理的现象。2.4.4.2策略下载备份和上传防火墙应支持基于Web界面的本地和远程软件升级；支持策略的备份与恢复。2.4.4.3 本地管理、远程管理防火墙应支持本地管理和远程管理。2.4.4.4 多级系统管理权限防火墙应支持四种用户权限管理防火墙系统：超级管理员、系统管理员、日志管理员、审计员，责权分离。2.4.5车站反病毒软件功能2.4.5.1反病毒等恶意代码查杀功能扫描内存，系统可以通过内存进程删除操作来查找和清除各类病毒。扫描所有子系统区域（包括软盘、引导区

10、、文件分配表和区分表、文件夹、文件和压缩文件）以提供广泛的安全保护。精确清除文件、文件引导区、分区表和内存中的病毒。实时扫描技术可在磁盘访问、文件复制、文件创建、文件重命名、程序执行、系统启动和关闭时捕获病毒。阻止黑客利用Java、ActiveX小程序攻击、损坏和窃取用户的系统或资源。2.4.5.2车站反病毒集中升级功能要求能够实现与部中心局中心车站三级的每周一次的自动实时升级。2.4.5.3日志集中管理功能 要求实现铁路局中心反病毒服务器对所有车站客户端进行统一管理，在中心反病毒服务器上即可查询到所有客户端的病毒扫描记录、病毒威胁记录、病毒库更新记录等日志记录。2.4.6车站身份认证系统2.

11、4.6.1概述根据铁道部TDCS/CTC安全性要求，身份认证系统应提供TDCS/CTC操作人员系统认证、授权和审计的能力，在允许用户访问受保护的资源以前，系统能够主动地去鉴别用户。2.4.6.2身份认证系统能够通过对TDCS/CTC使用人员进行严格的身份认证，以克服静态密码的固有风险，有效控制、管理系统使用人员身份的合法性、真实性；另一方面，通过每次登陆认证在服务器上的详细记录，可明确每位操作人员的使用责任。2.4.6.3车站身份认证系统终端硬件为身份认证系统客户端。2.4.6.4车站身份认证系统软件为身份认证系统终端登录接口程序。2.4.6.5身份认证系统能够满足TDCS/CTC的访问控制要

12、求，系统应满足以下功能：TDCS/CTC程序登陆过程的身份认证。身份认证系统应基于服务器/客户端的工作模式，通过在TDCS/CTC程序中嵌入客户端代理程序可实现TDCS/CTC程序登陆过程中的身份认证，认证过程由用户、接口函数库和服务器协作完成。2.4.6.6操作系统登陆过程中的身份认证身份认证系统应可以通过在Windows、Linux及Unix操作系统中嵌入客户端代理程序的方式实现系统登陆过程中的身份认证。2.4.6.7身份认证系统安全性身份认证系统可以通过身份认证系统客户端的使用实现身份认证机制。操作人员可通过客户端输入身份鉴别信息来登陆TDCS/CTC程序或操作系统，该身份鉴别信息应具有

13、极高的安全性。操作人员无需记忆登陆口令，应用方便。2.4.6.8身份认证系统统一管理身份认证系统应可以通过专用的管理控制台程序对所有用户进行统一的管理，该管理控制台程序应具有图形化界面、操作简便。对技术规格书中的所有条款进行逐项回答，说明是否能够照办，如不能照办，详细说明其原因。1、设备型号及数量表；2、有关技术资料：3、系统硬件结构4、系统功能5、系统性能6、传输特性7、接口标准及有关通信协议8、系统软件结构9、系统的可靠性10、维护子系统11、各设备、终端性能要求12、机械结构、工艺标准13、环境要求14、电源子系统的构成、耗电量15、接地系统的构成及要求16、为满足技术规格书中要求而重新设计部分的技术方案17、投标人如有更新的技术和方案，可对本技术规格书提出修改建议或方案，供招标人参考。设备及服务需求一览表（一）需求一览表1设备需求包件号设备名称规格型号数量（含软、硬件）（含软、硬件）备品备件维护仪器及仪表