网络安全扩容设备技术规格与要求

网络安全扩容设备技术规格与要求

顾伟

（广东联合电子服务股份有限公司，广州  510000）

摘要：文章介绍了“取消省界收费站”省联网中心基础设施网络安全扩容设备及安全检查服务采购项目，由广东联合电子服务股份有限公司承建。项目的主要内容包括网站云防护、日志收集与分析系统、主机安全及管理系统、服务器防病毒软件、网络回溯分析系统、网络准入系统、镜像分流器等。技术规格和要求涵盖了硬件设备的供应、安装、调试、培训及维护服务等多个方面。

关键词：省界收费站；网络安全；设备采购

1 引言

随着信息技术的不断发展，网络安全问题日益突出。为提高广东省网络基础设施的安全性，特制定“取消省界收费站”网络安全升级计划。本计划旨在通过采购一系列网络安全设备，实现对省联网中心基础设施的全面升级，以应对日益复杂的网络威胁。

2 项目概况

广东联合电子服务股份有限公司作为建设单位，对“取消省界收费站”省联网中心基础设施进行网络安全扩容设备及安全检查服务的采购与建设。项目的核心建设内容是网站云防护，具体规格型号为云防护服务10G-高防版。主要技术参数包括但不限于一级域名以及十个二级域名的防护。通过此次扩容与升级，来提升整体网络安全防护水平，确保收费站运营的稳定与安全。

为了实现主动式监控，日志收集与分析系统需要根据定时搜索结果进行实时报警、通知与动作。该系统可以通过RSS、Email或SNMP向安全或网管系统发送通知。此外，通过脚本启动的方式，可以重新启动服务器或发送派工单给自动化系统。网络准入系统需要提供至少4个千兆关口和4个千兆电口，并具备并发认证数10,000次/分钟、DHCP处理能力5,000IP/分钟以及1,000用户授权的能力。镜像分流器则需要提供至少8个万兆光口和8个千兆光口，并且网络端口均支持输入和输出。此外，输出支持基于五元组和特征值过滤功能。

3 安全扩容硬件技术规格及技术要求

3.1 扩容硬件详情

为了全面提高网络层面的安全性，我们计划对现有的网站云防护系统进行扩容，授权范围包括不少于一个一级域名和十个二级域名的防护。此次扩容将提供至少10Gbps的抗DDoS防护能力，并包含以下服务内容：DDoS攻击防御模块、云WAF标准模块、网页防篡改模块、服务质量监测、漏洞检测、篡改监测以及实时攻击监测模块。现有的日志收集与分析系统要求要实现主动式监控。并且该系统可根据定时搜索结果进行实时报警、通知与动作，可通过RSS、Email或SNMP通知安全或网管系统。此外还可通过脚本启动的方式重新开启服务器或发送派工单给自动化系统[1]。

3.2 技术要求

在本此次的项目当中，我们要求供应商需要承担的责任包括但不限于设备的供应、运输、安装、调试、培训及维护服务等。具体内容如下：

（1）设备的工作条件，除非另有说明，否则设备应在以下室内工作条件下运行：温度：10℃～32℃；相对湿度：30%～80%；存储设备电力供应：三相380V±5%，50Hz或220V±10%，50Hz；其他设备的电力供应：220V±10%，50Hz。

（2）电磁干扰：确保所提供的设备在正常运行过程中不会对其他仪器或设备产生电磁干扰，同时也不会受到其他正常运行的仪器或设备的电磁干扰。

（3）安装、调试：提供各个硬件设备的尺寸大小及功率，同时提出安装和固定方法以及对场地的需求；负责所提供设备及软件的现场安装及调试工作，确保设备及软件的所有功能均正常运作[3]；提供设备组装和维修所需的工具由投标人；在投标文件中详细列出硬件及相关软件的安装及调试计划，以及配合我们进行上线实施；在安装、调试等过程中给予其他人力上的支援，做出具体的计划，包括人员类别、素质要求及数量、时间安排等。

（4）到货检验：在货物运抵项目现场后，进行到货检验，检验内容包括货物数量、型号、外观、尺寸。到货检验通过后，产品进入安装调试阶段。

（5）正式验收：所提供的设备及相关软件全部由原厂商或者原厂商认证的代理商安装调试，并要求原厂商对所有配件签字确认；当设备和软件所有安装调试完毕且上线实施完成之后，开始进行正式验收工作[4]。正式验收内容包括：设备的配置、功能、性能及各项技术参数指标。

（6）备件及专用工具：在投标文件中列出关键设备的备品备件清单及报价。若有保证设备正常和连续运作所必需的专用工具、易损件/消耗性材料，列出详细清单及报价。

4 扩容设备技术要求

4.1 网站云防护

为了减少信息安全风险和降低信息安全事件发生的概率，实现全面的网络安全防护，我们引入了包括云WAF标准模块、漏洞监测、服务质量监测、DNS解析监测、敏感内容监测、篡改变更监测、链接监测、挂马监测、以及实时攻击监测等多项防御功能。本次项目目标是确保至少一个一级域名和十个二级域名得到全面的防护，且具备不低于10Gbps的抗DDoS能力。平台要求具备可视化界面配置，每个网站有独立账号，管理员可随时关注整体网站安全状况。通过这些来实现无需在网站前端安装安全设备或软件的要求，通过将DNS流量指向云端防护来实现全面的安全措施

[5]。

防御功能包括对DDoS攻击的防护、连接型和特征过滤，支持检查提交的报文是否符合HTTP协议框架，识别恶意请求和应用攻击行为，发现网站中的漏洞和网页木马程序，对用户上传的文件后缀名和内容进行全方面检查，同时支持智能识别攻击者，永久在线和网站关停功能。安全审计详细记录攻击事件的HTTP请求头信息和服务器响应头信息。平台提供全面详细的统计报表功能，可通过图形界面进行查询。管理员可查看安全防护报告，获取日报、周报、月报并支持导出和自动发送。告警方式支持Syslog、手机短信、邮件、密信等多种告警方式。我们提供7*24小时的安全事件监测和可用性监测，对监测到的安全事件进行人工审核和处理，并形成可监管的工作流。

4.2 日志收集与分析系统

系统经过综合考虑，我们制定了一系列计划要求，以提高数据管理效率和安全性。首先，对于数据存储，系统应支持分级存储和无损压缩，确保存储灵活性和资源有效利用。其次，系统需支持读取与写入操作，以满足用户对数据的灵活操作需求。为提升用户体验，系统应支持搜索指令扩展和与第三方可视化方案的整合。以及为提高系统的可扩展性，我们要求系统提供API接口和SDKs。为了实现数据处理的智能化，系统需要支持机器学习功能模块。在数据的时间戳和安全性方面，系统需要支持标准化时间戳和数据的安全性。

系统还需支持数据索引和命名规则的变化，以适应不同的业务需求。为提升搜索的精准度，系统需支持多种搜索模式，包括精确搜索和交替使用字段、事件类型和事务。实现用户对数据的实时监控，系统需提供告警功能和自定义仪表板。为更好地展现数据，系统需支持数据建模和地图展现。系统还需支持与事件管理平台的整合，提升对事件的处理效率。为了确保系统的安全性，我们要求系统支持系统管理员、审计人员、操作人员的角色分离，并提供精细化权限管理。系统还需支持与活动目录、LDAP应用、Kerberos和Radius等认证方式的集成，以提供多样化的认证方式。

4.3 网络回溯分析系统

网络回溯分析系统须满足数据采集性能的需求，并通过合理的部署和功能设计，最终实现既高效又稳定的数据采集和分析。首先，要求系统的采集性能达到4Gbps以上，以确保系统能够应对高密度和高速的网络流量。为了实现这一目标，我们采用了专用的流量分析硬件服务器，该服务器能够进行全数据采集分析，并对数据包进行7层的解码。同时，系统提供了数据包解码分析软件，具备中/英文双语协议解码能力，以应对多样化的网络通信协议。

此外，为了提高系统的灵活性和稳定性，我们要求系统能够分布式部署在关键的网络节点，实现7*24小时实时捕获、分析和存储原始流量。系统支持对捕获流量进行过滤、去除重复流量，并提供数据包回放功能，以方便对数据进行二次分析。系统还需支持MPLS虚链路分析、VLAN虚链路分析以及多链路分析，以满足不同网络环境的需求。

对于系统的存储空间，我们要求系统支持将存储空间划分为多个部分，实现原始数据包与统计数据的分层存储。要求支持按不同应用协议选择不同的原始数据包存储方式，包括只存储包头、完整数据包存储或不存储，以灵活应对存储需求的多样性。支持外接扩展存储，以满足大规模数据的存储需求。

最后对系统数据包解码软件具备智能诊断的功能，要求其能够自动诊断多种常见的故障场景，包括HTTP错误、SMTP/POP3服务器慢响应、TCP连接被拒绝等。为了加强系统的安全性，解码软件还支持对原始数据包的安全分析，能够自动判断ARP攻击、拒绝服务攻击等安全威胁。系统支持TCP会话解码分析，提供时序图分析功能，能够图形化显示TCP会话中的数据交互传输过程，为分析人员提供详细的时序信息，以更好地定位和解决网络问题。

4.4 网络准入系统

出于提高系统性能、灵活性和安全性的考虑，旨在更好地满足用户的实际需求，我们对体系架构进行了特定的要求和设计：选择基于Linux内核的体系架构，并独立开发操作系统（OS），内置了ACK OS安全操作系统，以确保系统在底层具备高度的稳定性和安全性。这样的设计和要求是为了在系统运行过程中提供可靠的基础支持，有效应对各类网络威胁和攻击。

为追求系统的全面保护和对网络资源的精细管理，能够更好地维护网络的稳定性和安全性，我们明确对IP地址管理及网络边界保护功能的要求，包括IP地址管理、IP审计和网络边界保护等三个方面。关于可靠性，如旁路式部署、多级分布、分级部署等功能。出于对系统高可用性和部署灵活性的追求，通过这些设计和要求的实现，能够提升系统的整体性能、增加了可靠性，并在不改变网络结构的前提下实现了多级分布和统一管理的目标。

4.5 镜像分流器

在设备性能和过滤功能的设计中，我们对于基本性能提出了严格的技术要求，以确保设备在实际应用中能够达到高度专业、卓越、稳定的工作状态，以满足用户对网络设备高性能的迫切需求。

在基本性能规格要求方面，设备的1U高度设计旨在实现高度紧凑的机架式安装，提供更灵活的机房空间利用。冗余双电源的配置旨在增强设备的可靠性和可用性，确保设备在单点故障情况下能够维持连续运行。双向480Gbps的线速数据处理能力则保证了设备在高负载情况下仍能够实现流畅的数据处理，满足用户对于大流量网络环境的需求。同时，我们对MTBF进行了严格要求，要求其超过10000小时，以保证设备长时间运行中不会频繁出现故障，提高设备的可维护性和稳定性。

在过滤功能方面，需注重对网络流量的精细化管理和控制。要求设备支持五元组过滤功能，以物理端口、源目的MAC、二层协议类型、源目的IP地址、源目的端口号等多维度对流量进行分类。这样的要求旨在为用户提供更灵活、更个性化的流量控制手段，满足不同场景下的网络管理需求。还要求设备支持特征值过滤功能，通过对数据包前128字节的特征码匹配，实现更为精准的流量过滤，可使设备更好地适应多样化的网络环境和应用场景[7]。

5 其他要求

5.1 本项目支持的主要人员要求

对本项目支持的主要人员要求见下表1。

表1 本项目支持的主要人员要求

5.2 培训要求

为了确保培训的全面性、质量性和可操作性，我们要求保证提供并安排有经验的教员以及适当的培训课程、设施、地点和有关教材，使招标人员工在培训后在日常操作和预防性维护以及对所有设备的故障搜寻和维修方面，都有足够的知识，能够独立地对系统进行日常管理和维护[8]。培训内容包括技术培训和产品使用培训，教材使用简体中文；提供包括但不限于系统及软、硬件等各层次的培训计划以及培训大纲，并在相关附件详细列出所设置的课程教材目录，注明每次课程的内容和目的以及每次课程的文件和资料，并注明每次培训课程的时间、地点及课时；培训主要为系统安全培训和安全合规性检查培训，培训人数不少于6人；培训地点、培训设施和培训内容如下表2所示。

表2 培训地点、设施内容

8 结语

通过“取消省界收费站”网络安全升级计划，此次的项目将得以拥有更强大和先进的网络安全体系。这不仅有助于提升网络基础设施的整体安全性，还为相类似的网络通信的稳定运行提供了有力支持和借鉴。项目的成功实施将为广东省未来的信息化建设奠定坚实基础，确保网络服务的安全可靠。

参考文献

[1] 王野.D公司采购管理优化研究[D].北京邮电大学,2021.DOI:10.26969/d.cnki.gbydu.2021.002030

[2] Baksh M.Trump Plan for Maritime Cybersecurity Would Introduce Procurement Requirements[J].Nextgov.com(Online),2021,

[3] Pouikli K.Towards mandatory Green Public Procurement(GPP)requirements under the EU Green Deal:reconsidering the role of public procurement as an environmental policy tool[J].ERA Forum,2020,21(4):1-23.

[4] 陈广辉.江西高速取消省界收费站网络与信息安全系统建设方案[J].中国交通信息化,2020,(02):122-124+129.DOI:10.13439/j.cnki.itsc.2020.02.011

[5] 孟繁玉.网络安全态势感知与人工智能[J].中国信息界,2019,(04):89-91.

[6] PFU Limited;Patent Issued for Network Security Device,Network Management Method,And Non-Transitory Computer-Readable Medium(USPTO 10,270,653)[J].Internet Business Newsweekly,2019,

[7] 严莉,李明,张丞等.网络安全分析与监控平台安全防护关键技术[J].软件导刊,2019,18(06):196-199.

[8] 张治兵,倪平,付凯.新形势下网络设备安全态势分析[J].保密科学技术,2018,(09):47-50.