安全隔离与信息交换系统（双向网闸）需求说明.docx

《安全隔离与信息交换系统（双向网闸）需求说明.docx》由会员分享，可在线阅读，更多相关《安全隔离与信息交换系统（双向网闸）需求说明.docx（7页珍藏版）》请在第壹文秘上搜索。

1、安全隔离与信息交换系统（双向网闸）需求说明指标指标项详细要求基本要求系统架构“2+1”系统结构，内外端机为TCP/IP网络协议的终点，阻断TCP/IP协议的直接贯通。内外端机之间采用专用硬件和专用协议进行连接，不可编程。为保障产品运行的安全及稳定性，要求产品设计、开发、生产及售后服务符合T1.9000-H-S-V相关标准要求。硬件架构硬件架构由内端机、外端机、专有隔离硬件三部分组成。内端机和外端机各自具有独立主板、独立总线、独立的存储和运算单元；内端机和外端机之间非网线、USB线、SCSI线等线缆直连，基于光隔离技术专有硬件进行隔离和数据交换。管理架构管理控制层和业务数据层分离，管理系统部署于

2、内端机上，只能通过内端机上的管理口对网闸进行配置，不允许外端机存在任何形式的管理接口。可避免黑客从外部网络入侵，导致隔离网闸被黑客完全控制的现象。产品要求性能要求2U,内外端机双侧液晶屏；内端机6个101001000Base-T接口，4个SPF插槽，2个SPF+插槽1个扩展槽位；外端机6个10/100/1000BaSe-T接口,4个SPF插槽,2个SPF+插槽1个扩展槽位；冗余电源，网络吞吐量：7Gbps；并发连接数：40万；内外端机各ITB硬盘。可扩展WebFiIter过滤模块，防病毒模块。功能要求安全浏览功能提供HTTP页面访问和WEB代理上网功能；支持IP地址、端口、时间以及基于源用户身

3、份的访问控制策略；支持访问控制日志记录和告警功能；支持http消息头、消息体，上下行方向，命令及关键字的管控，支持允许、阻断、告警三种处理方式。支持基于单一域名的黑白名单访问控制。支持50种以上文件类型特征识别，非扩展名过滤，包括可执行文件、文本文件、压缩文件、图片文件、多媒体文件等，支持上下行方向过滤单独控制，支持允许、阻断、告警三种处理方式。支持JavaScript脚本、ActiveX插件、Applet插件过滤。内置HTTP安全模块，支持UR1.过滤引擎、内容过滤引擎、文件过滤引擎、病毒过滤引擎、网页过滤引擎安全防护及单独启停控制。文件传输功能提供基于FTP协议和TFTP协议的文件传输功能

4、；支持代理、透明、路由三种接入方式；支持IP地址、端口、时间以及基于源用户身份的访问控制策略；支持访问控制日志记录和告警功能；支持50种以上文件类型特征识别，非扩展名过滤，包括可执行文件、文本文件、压缩文件、图片文件、多媒体文件等，支持上下行方向过滤单独控制，支持允许、阻断、告警三种处理方式。内置FTP安全模块，支持内容过滤引擎、文件过滤引擎、病毒过滤引擎安全防护及单独启停控制。数据库访问功能提供对多种主流数据库，如：MYSQ1.SQ1.SERVER.ORAC1.E.DB2、SYBASE等系统的安全访问。支持代理、透明、路由三种接入方式；支持IP地址、端口、时间以及基于源用户身份的访问控制策略

5、；支持访问控制日志记录和告警功能；内置数据库安全模块，支持内容过滤引擎，能够对数据库用户名、命令、关键字等内容进行管控，支持允许、阻断、告警三种处理方式。安全邮件功提供安全的邮件访问功能，支持POP3、SMTP协议；能支持代理、透明、路由三种接入方式；支持IP地址、端口、时间以及基于源用户身份的访问控制策略；支持访问控制日志记录和告警功能；支持最大活动会话数的控制和统计；支持IPV6扩展头的安全设置。支持发件人、收件人、邮件标题、邮件正文、邮件附件等数据内容过滤，支持允许、阻断、告警三种处理方式。内置邮件安全模块，支持内容过滤引擎、文件过滤引擎、病毒过滤引擎安全防护及单独启停控制。安全VOIP

6、功能提供音视频通话访问功能，支持SIP和H323协议；支持代理、透明、路由三种接入方式；支持IP地址、端口、时间以及基于源用户身份的访问控制策略；支持访问控制日志记录和告警功能；内置VOlP安全模块，内置VOlP安全引擎，支持主被叫用户黑名单的控制。自定义访问功能支持自定义的TCP、UDP协议的数据访问功能，用户自定义应用无需对自定义协议软件进行二次修改开发；支持代理、透明、路由三种接入方式；支持IP地址、端口、时间以及基于源用户身份的访问控制策略；支持访问控制日志记录和告警功能；文件同步功能提供有客户端和无客户端两种文件同步方式。无客户端方式无需在用户服务器上安装任何插件，网闸不开放任何服务

7、端口；有客户端方式可提供专用文件同步客户端安装在用户服务器上，提供安全的文件同步服务。支持NFS、FTP等多种文件服务器类型，支持实时同步和周期性同步。支持文件同步重名策略处理，可选覆盖、不同步、重命名三种处理方式。支持首次同步策略处理，可选合并和完全一致两种处理方式。支持源文件处理策略，包括保留、删除、转存三种处理方式。支持同步删除、文件续传、子目录同步、日志记录开关控制；支持单一任务的线程数和缓冲时间设置，可手动设置同步任务的线程数；支持基于文件大小和文件修改时间的同步策略，可手动指定上下限阈值。支持文件名和文件类型的黑白名单过滤，文件类型过滤基于文件特征识别，非扩展名识别，且支持不小于5

8、0种文件类型识别。支持文件同步信息统计，包括每个任务的开始时间、同步数据量、同步成功数、同步失败数，并能够以图表的方式进行实时可视化展现。数据库同步功能提供有客户端和无客户端两种数据据库同步方式。无客户端方式无需在用户服务器上安装任何插件，网闸不开放任何服务端口；有客户端方式可提供专用文件同步客户端安装在用户服务器上，提供安全的数据库同步服务。提供多种主流数据库系统如:ORAC1.E、SQ1.SERVER.MYSQ1.、达梦数据库的同步。支持一对一、一对多、多对一方式的数据库同步；支持同构、异构数据库之间的同步，同步可具体设置到字段级别。支持网闸同侧数据库之间的数据同步，网闸可旁路部署实现数据

9、库同步。支持自动读取数据库表名和字段名，无需手动录入表名和字段名，降低配置复杂度。快速配置支持全库表同步，可直接映射两个独立数据库进行同步，支持每策略映射表数量控制，支持每策略映射同步方向控制。支持首次同步策略处理，可选合并、完全一致、以源为准、以目的为准四种处理方式。支持数据库同步冲突策略处理，包括覆盖、忽略、以源为准、以目的为准等处理方式。支持实时同步和周期性同步方式，可分别控制插入、删除、更新的同步操作。支持数据库同步信息统计，包括每个任务的开始时间、同步成功数、同步失败数，同步忽略数，并能够以图表的方式进行实时可视化展现。病毒防御功能支持企业版和专业版双病毒防御引擎，采用国内外知名厂商

10、病毒库，支持病毒库升级，并提供后续升级服务。UR1.过滤功能支持基于UR1.分类知识库的Web网站过滤功能，支持UR1.知识库的升级，并提供后续升级服务。入侵防御功能支持入侵防御引擎，可基于攻击规则库对主流网络攻击行为进行拦截，支持告警和阻断两种处理方式。支持HTTP攻击类，RPC攻击类，WEBCGl攻击类，拒绝服务类、木马类、蠕虫类等H大类不少于4000条的攻击规则知识库。DDOS防护功能支持DOS攻击防御，支持端口扫描防御、IP扫描防御、支持IPTCPUDP源限速和目的限速，可手动设置相关阈值。安全防护功能提供连接保护功能，支持基于源和目的IP地址的并发连接数和新建连接数控制，并可以手动设

11、置相关阈值，超过阈值后可选限制和警告两种处理方式。提供IPV4IPV6双栈IP+MAC绑定功能，支持基于物理接口和IP网段的IP+MAC主动探测，支持IP、MAC信息查询功能。用户认证功能提供本地认证功能和外部认证功能，外部认证支持Radius1.dap.TaCaCS等类型的认证服务器。支持认证页面的门户配置，支持认证用户的界面保活，可手动设置保活时间。网络管理功能网络接口支持IPV4IPV6双栈IP地址配置，支持MTU、双工模式、接口速度的手动设置。支持接口聚合，可手动设置聚合接口的负载均衡算法。支持IPV4/IPV6双栈基础路由配置和邻居学习。提供服务器负载均衡功能，支持轮询、加权轮询、最

12、少连接、加权最少连接等负载均衡算法。暴露面检测支持关键资产系统域名发现，自动发现客户所填入域名相关的所有子域名。支持检测网站服务器端口开放情况，比如数据库端口、FtP服务端口等。漏洞脆弱性检测支持对漏洞进行扫描，覆盖通用漏洞和常规漏洞。支持SQ1.注入、XSS、安全配置错误、已知漏洞组件包含、敏感信息泄露等常见漏洞的检测；业务可用性监测支持整站内容进行篡改监测，梳理并在首页展示站点结构图，显示网站各节点是否存在被篡改事件；风险管理可视支持每日生成安全运营日报，每月生成安全运营月报，并针对安全事件实时生成安全事件报告（提供各类报告证明）；平台可自动生成以下报告：安全事件报告、云扫描报告、每日值守

13、报告、安全运营报告、重大活动值守报告；支持手动按时间范围导出值守报告o篡改事件应支持查看“举证图片”，管理人员可通过微信及Web登录界面，直观查看被篡改内容，便于第一时间掌握被篡改的情况（提供微信及Web界面截图证明）。设备监控功能提供状态信息监控，以图表形式实时展现内外端机的CPU、内存、硬盘利用率，流量和会话数。提供接口流量监控，以图表形式实时展现内外端机每个物理接口的当前状态和流量信息。提供应用流量监控，以图表形式实时展现内外端机TOPlO应用流量排名，包括上下行流量、总流量和流速信息。提供用户流量监控，以图表形式实时展现内外端机TOPlO用户流量排名，包括上下行流量、总流量和流速信息。

14、提供威胁统计监控，以图表形式实时展现内外端机TOP20的病毒防御威胁事件统计排名。提供在线用户监控，可实时展现内外端机在线用户名称、IP地址、认证服务器名称、客户端类型和在线时间信息，并可根据管理需要手动强制指定用户下线。系统管理功能管理端通过独立的管理口与网闸内端机相连，策略统一从内端机下发，不允许采用外端机上的任何网络接口进行管理。提供统一的https管理界面，支持ssh和telnet远程管理，支持配置文件的加密导入导出。提供固件维护和IiCenSe升级功能，支持本地、FTP、TFTP三种导入方式。提供Ping、traceroutetcphttpdns等诊断诊断测试工具，支持设备健康记录和调试信息的导出。提供告警功能，支持邮件、声音、控制台、SNMP等多种告警方式。日志审计功能支持日志审计功能，包括管理日志、系统日志、策略日志、同步日志和应用行为日志。支持日志记录查询、删除、导出，日志记录可导出文本文件和数据库文件两种格式。支持日志记录本地数据库存储，也可以将日志传输到独立的日志服务器上，传输日志格式支持SySlOg和Welf,支持日志加密传输。