【正文】 固與管理系統(tǒng)安裝或卸載時不需要重啟系統(tǒng)。通過從內(nèi)核層截取文件訪問控制方式，加強操作系統(tǒng)安全性，同時，并不對操作系統(tǒng)的內(nèi)核進行修改。 入侵檢測系統(tǒng)技術(shù)要求 1） 產(chǎn)品需獲得如下資質(zhì)證書：計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證；國際信息安全認證產(chǎn)品 EAL3 認證證書；涉密信息系統(tǒng)產(chǎn)品檢測證書；國際 CVE 組織產(chǎn)品兼容認證證書。2）產(chǎn)品廠家應獲得如下資質(zhì)：安全服務2級資質(zhì)；應急相應1級資質(zhì)；企業(yè)CIMM3資質(zhì)。3） 系統(tǒng)集成商必須提交原廠家的授權(quán)書及售后服務承諾函。4） 引擎為標準機架式硬件設備；最少具備二個監(jiān)聽端口，最多可擴充到四端口監(jiān)聽。支持冗余電源設置。5） 具有用戶自定義事件功能。具備完備、開放的特征庫，支持生成自己的事件庫，對非通用入侵行為進行定義檢測；支持向?qū)降淖远x事件方式。5） 提供事件關(guān)聯(lián)分析功能，可實現(xiàn)入侵檢測事件之間的關(guān)聯(lián)，也可以實現(xiàn)入侵檢測事件和漏洞掃描事件之間的關(guān)聯(lián)。6） 采用基于行為分析的檢測技術(shù)，對未知漏洞進行攻擊能夠很好防范。支持協(xié)議衍生功能，定義檢測非標準端口協(xié)議事件。7） 支持異常流量檢測，及時發(fā)現(xiàn)網(wǎng)絡中的流量異常行為。8） 應具備集中控制、集中管理功能，可實現(xiàn)集中式安全監(jiān)測管理和配置管理，提供有選擇的上下級事件上報策略，并支持在整個網(wǎng)絡內(nèi)的全局預警功能。9） 各組件間（管理平臺與引擎等）使用加密信道通信；簡便易用的 GUI 管理界面，要求能夠?qū)︼@示窗口進行自定義，做到只顯示需要關(guān)注的內(nèi)容。10） 應具備與主機入侵檢測系統(tǒng)/漏洞掃描系統(tǒng)同臺管理功能。11）具有設備的拓撲顯示功能，可以在界面上以圖形化的方式顯示當前的 IDS 部署拓撲。同時支持多個用戶監(jiān)測臺的設置，支持至少8 個以上的多用戶監(jiān)測臺設置。12）應提供按照檢測對象、攻擊類型等分類的默認內(nèi)置檢測模版，且默認模版不可修改；提供向?qū)Щ牟呗跃幹品绞?，提供合、并、交等策略集操作策略?3）支持虛擬引擎功能，可以按照不同檢測對象設置不同的檢測策略。14）具備動態(tài)策略調(diào)整功能，對一些頻繁出現(xiàn)的低風險事件，自動調(diào)整其響應方式。15）應具備基于時間、事件、風險級別、源地址、源端口、目標地址、目標端口、行為參數(shù)、響應方式等復雜邏輯組合的分析查詢功能，并且可以產(chǎn)生各種圖片、文字報告；支持自定義的報表模版，生成的報表可以導出為 DOC/CSV/XLS 等常見文本格式。同時還應具備基于統(tǒng)計的圖表型報表。16）事件幫助信息必須全中文并提供對事件的描述和如何修補漏洞的指導。17）應支持多種數(shù)據(jù)庫類型，包括：ACCESS、MSDE（SQL SERVER）和任何具備 ODBC（開放式數(shù)據(jù)庫互聯(lián)）通用數(shù)據(jù)庫接口的數(shù)據(jù)庫系統(tǒng)，并且支持獨立的日志數(shù)據(jù)庫部署。同時具備專門的數(shù)據(jù)庫維護功能，要求能夠按照事件上報的日期時間和風險等級、引擎來源等對日志數(shù)據(jù)庫進行刪除、轉(zhuǎn)儲等操作。18）要求對用戶分級，并能夠調(diào)整對不同用戶具體權(quán)限，具備不同的操作。對各級權(quán)限的用戶行為進行審計。對控制臺與探測引擎之間的數(shù)據(jù)通信及存儲進行加密、完整性檢查和基于 RSA（1024 位）的身份鑒別處理；網(wǎng)絡探測引擎采用固化模塊（包含軟硬件），專有操作系統(tǒng)，探測引擎無 IP 地址，在網(wǎng)絡中實現(xiàn)自身隱藏及帶外管理。 漏洞掃描系統(tǒng)技術(shù)要求 技術(shù)要求1) 對網(wǎng)絡設備、主機系統(tǒng)、數(shù)據(jù)庫和應用服務的漏洞進行掃描時，不更改任何配置和安裝任何類似探針的軟件，也不需要被掃描設備提供任何訪問權(quán)限的情況下，系統(tǒng)能夠正常工作。2) 掃描信息全面，包括主機信息、用戶信息、服務信息、漏洞信息等內(nèi)容。3) 能對掃描對象的安全脆弱性進行全面檢查，檢查內(nèi)容包括缺少的安全補丁、詞典中可猜測的口令、操作系統(tǒng)內(nèi)部是否有黑客程序駐留、不安全的服務配置等。4) 可檢測的目標主機的系統(tǒng)包括：Win系列、Linux、Unix、AIX、HPUX、IRIX、BSD等。掃描過程中能夠自動發(fā)現(xiàn)和識別目標系統(tǒng)的類型，并根據(jù)其類型選擇相應的掃描方法。5) 支持對網(wǎng)絡設備和安全設備，如Cisco、Checkpoint等的掃描。6) 可掃描的主流數(shù)據(jù)庫包括：Oralce、Sybase、SQLServer、DBMySQL、Infomix等。7) 為確保網(wǎng)絡的保密性，系統(tǒng)應能夠檢測到網(wǎng)絡中存在的網(wǎng)絡監(jiān)聽設備。8) 能夠支持Windows域環(huán)境掃描，實現(xiàn)類似基于主機的安全漏洞檢測深度。9) 具有豐富的漏洞檢查列表，內(nèi)置漏洞庫涵蓋當前系統(tǒng)常見的漏洞和攻擊特征，漏洞庫兼容CNCVE、CVE和BUGTRAQ標準。10) 漏洞掃描能力超過2200條。11) 支持分布式掃描，可以定義掃描端口的范圍。12) 可以定義掃描對象范圍、掃描策略。13) 歷史掃描任務可以導出導入和修改。14) 能定制臨時或定期掃描任務，系統(tǒng)自動執(zhí)行掃描，找出系統(tǒng)或配置上的漏洞和不安全因素。定期執(zhí)行任務的起始和終止時間可以自定義。15) 可以在掃描過程中通知被掃描的主機將要接受來自掃描器的掃描，如windows messange（用戶是Windows系統(tǒng)且該服務啟動情況下）。16) 提供掃描授權(quán)機制，在授權(quán)許可范圍內(nèi)進行單機掃描、分組掃描和全部掃描。17) 可以適應用戶的不同網(wǎng)絡帶寬環(huán)境，具有可配置的多主機、多線程掃描能力，采用漸進式多線程任務調(diào)度技術(shù)?？刹l(fā)掃描IP30。18) 在掃描的過程中不對目標系統(tǒng)產(chǎn)生破壞性影響，即掃描結(jié)束后目標系統(tǒng)不會被改動或破壞，掃描結(jié)束后目標系統(tǒng)不會出現(xiàn)死機或者停機現(xiàn)象，掃描過程中應保持目標系統(tǒng)的可用性。19) 掃描過程可視化，能夠?qū)崟r顯示掃描進度和IP地址、漏洞信息。20) 能夠?qū)崟r在線顯示掃描漏洞報表，掃描任務結(jié)束后可直接對漏洞結(jié)果進行查看。21) 支持斷網(wǎng)續(xù)掃功能，并且對已經(jīng)完成的掃描結(jié)果進行保存。22) 提供漏洞驗證功能，對掃描出來的重要漏洞能夠模擬黑客行為進行漏洞風險展示。資質(zhì)要求1) 產(chǎn)品應具備中華人民共和國公安部的《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》，中國國家信息安全評測認證中心的《國家信息安全認證產(chǎn)品型號證書》。具備國家保密局涉密信息系統(tǒng)安全保密中心的《涉密信息系統(tǒng)產(chǎn)品檢測證書》。具備中國人民解放軍信息安全測評認證中心《軍用信息安全產(chǎn)品認證證書》。產(chǎn)品廠家必須有CMMI3證書，涉密甲級單項軟件開發(fā)證書。2) 漏洞掃描廠商應具備多年的漏洞研究經(jīng)驗積累，國際CVE組織成員，能夠查看微軟操作系統(tǒng)源代碼。3) 產(chǎn)品有5年以上的市場銷售時間，是成熟可信產(chǎn)品。4) 產(chǎn)品要求取得CVE（Common Vulnerabilities and Exposures，世界漏洞披露組織）正式的兼容認證 （Certificate of CVE Compatiblity ），并提供證明文件。5) 產(chǎn)品要求為國內(nèi)開發(fā)，具備自主知識產(chǎn)權(quán),必須具備《計算機軟件著作權(quán)登記證書》。6) 漏洞掃描系統(tǒng)必須與入侵檢測系統(tǒng)為同一廠家產(chǎn)品。即在同一平臺界面上可以進行NIDS和掃描引擎的統(tǒng)一管理、配置、執(zhí)行任務。入侵檢測的事件和漏洞掃描結(jié)果統(tǒng)一顯示?？蓪θ肭质录拖到y(tǒng)漏洞進行綜合分析。 安全審計管理平臺（1） 國內(nèi)自主研發(fā)，系統(tǒng)提供方應擁有所提供系統(tǒng)的全部知識產(chǎn)權(quán)，并能夠在其上進行進一步開發(fā)。（2） 平臺化設計，功能模塊插件化，用戶可以自主選擇需要的功能模塊，或在現(xiàn)有平臺上進行客戶化定制。（3） 平臺必須采用業(yè)界主流的B/S方式，不需要安裝客戶端。（4） 系統(tǒng)應對I/II區(qū)的安全設備、網(wǎng)絡設備等的運行工況、日志告警進行集中統(tǒng)一的監(jiān)控管理。（5） 系統(tǒng)應實時接收各類業(yè)務系統(tǒng)、網(wǎng)絡系統(tǒng)和安全產(chǎn)品（防火墻、IDS、防病毒系統(tǒng)、路由器、隔離裝置、交換機、業(yè)務主機、機房設施等）的安全事件信息，能對上述信息進行集中存儲、查詢。（6） 系統(tǒng)支持網(wǎng)絡（TCP、UDP）、串口等多種通訊方式，采用SYSLOG、SNMP和訂制接口等方式采集不同格式的日志信息和告警信息。（7） 系統(tǒng)能按照既定規(guī)則對接收的安全事件信息進行分析，發(fā)生設備異常及異常的安全事件時，能自動檢測并告警，能自動執(zhí)行預定義處理動作，如通過發(fā)送手機短信向管理員告警，并存儲在后臺數(shù)據(jù)庫系統(tǒng)中供事后分析處理。（8） 系統(tǒng)應具備完善的報警檢測規(guī)則定義機制，能自定義事件信息處理規(guī)則，能過濾誤報事件信息，能智能識別真假報警事件。系統(tǒng)應通過圖形界面定制事件信息處理規(guī)則，并可靈活地嵌入定制的事件處理程序。（9） 內(nèi)置短信平臺，支持短信的告警、查詢和處理，同時也支持聲光、郵件等多種告警方式。（10） 采用觸發(fā)器（優(yōu)先級）、計數(shù)器、滑動窗口等多種機制實現(xiàn)對安全事件的監(jiān)控和分析，具有“檢修”狀態(tài)設置功能，屏蔽由于設備更換、退出運行產(chǎn)生的直接和相關(guān)告警。（11） 具有排班功能，靈活定義告警信息發(fā)送對象，對告警記錄和處理過程可以查詢和統(tǒng)計。（12） 系統(tǒng)支持多種認證方式，具有基于角色的用戶授權(quán)管理功能，以及詳細的系統(tǒng)日志，為分布部署和多人管理提供了可能。（13） 支持對調(diào)度數(shù)據(jù)網(wǎng)絡設備的鏈路通斷的狀態(tài)和設備運行狀態(tài)的自動監(jiān)測，判斷狀態(tài)變化并產(chǎn)生告警。（14） 系統(tǒng)應提供完善的用戶界面，查詢各設備、系統(tǒng)的運行狀態(tài)、工況信息。以報表的方式實現(xiàn)安全審計，提供模糊查詢功能和多種報表格式。（15） 系統(tǒng)應具有良好的模塊化結(jié)構(gòu)，采用JAVA/DCOM/.NET等通用的主流技術(shù)。（16） 系統(tǒng)應支持多個數(shù)據(jù)采集子系統(tǒng)，支持今后在橫向（不同安全區(qū)）和縱向（上下級調(diào)度單位）上的擴充，都可以方便接入采集的信息。（17） 系統(tǒng)內(nèi)部數(shù)據(jù)傳輸具有流控機制，避免內(nèi)部傳輸?shù)母婢畔⑦^多的占用網(wǎng)絡帶寬，從而影響業(yè)務系統(tǒng)的正常運行。 防病毒系統(tǒng)在安全區(qū)II區(qū)部署一套防病毒系統(tǒng)。對區(qū)中的所有計算機統(tǒng)一進行病毒定義碼的更新、防病毒政策的設定、病毒情況的監(jiān)控，手動的、定時的病毒掃描及清除、病毒日志及匯總報表以及集中隔離未知病毒；并能隔離有病毒的客戶端。手工定期升級防病毒系統(tǒng)病毒庫。16 投資估算表調(diào)度數(shù)據(jù)網(wǎng)接入及二次系統(tǒng)安全防護工程投資估算表序號設 備數(shù)量費用（萬元）備注一電能量采集及發(fā)電計劃申報系統(tǒng)1電能量采集系統(tǒng)1套442發(fā)電計劃申報系統(tǒng)1套32小計76三調(diào)度自動化系統(tǒng)1調(diào)度自動化系統(tǒng)接入省調(diào)主站端的擴容1套402調(diào)度自動化系統(tǒng)接入備調(diào)主站端的擴容1套8小計48四調(diào)度數(shù)據(jù)專網(wǎng)接入1路由器2臺242交換機4臺103縱向認證加密裝置2套204防火墻2套165機柜2面26至地調(diào)通道調(diào)試費1項107至省調(diào)通道調(diào)試費1項10小 計92五二次安全防護1監(jiān)控系統(tǒng)主機加固軟件4套監(jiān)控系統(tǒng)已定貨2橫向隔離裝置1套83入侵檢測系統(tǒng)2套364漏洞掃描系統(tǒng)1套205防病毒系統(tǒng)1套46綜合管理服務器1臺27安全審計平臺1套56小 計122六時鐘同步裝置1套18小計18總 計356