《电力监控系统网络安全态势感知测试系统技术条件书-天选打工人.docx》由会员分享,可在线阅读,更多相关《电力监控系统网络安全态势感知测试系统技术条件书-天选打工人.docx(13页珍藏版)》请在金锄头文库上搜索。
1、东莞供电局电力监控系统网络安全态势感知实用化功能加装项目技术条件书审批人(签章)审核人(签名)编制人(签名)2024年2月目 录1总则32技术标准43技术要求53.1功能要求53.2性能要求104技术文件要求105包装、运输、安装116质量保证127质保期内服务承诺128供货范围清单13 1 总则1.1 本技术要求适用于东莞供电局电力监控系统网络安全态势感知实用化功能加装采购。1.2 本招标技术文件提出的是最低限度的技术要求。凡本招标技术文件中未规定,但在相关设备的行业标准、国家标准或IEC标准中有规定的规范条文,投标方应按相应标准的条文进行设备设计、制造、试验和安装。对国家有关安全、环保等强
2、制性标准,必须满足其要求。1.3 如果投标方没有以书面形式对本招标技术文件的条文提出异议,则意味着投标方提供的设备或服务完全符合本招标技术文件的要求。1.4 本招标技术文件所使用的标准如遇与投标方所执行的标准不一致时,按较高标准执行。1.5 对于有授权使用数量限制的软件,投标方应书面标出其基本配置可以合法使用的安装用户数量、使用级别和并发用户使用数量及单价,详细说明每个模块授权数量的价格计算方法,以后再增加用户数的价格计算方法,以及各种用户权限数之间的关系。若投标方没有明确表述告知或对招标方隐瞒,造成招标方少配、漏配、错配,导致授权数量、具体使用权限方面的版权纠纷,投标方应付全部责任。1.6本
3、招标技术文件经买、卖双方确认后作为订货合同的技术附件,与合同正文具有同等的法律效力。1.7 本招标技术文件未尽事宜,由买、卖双方协商确定。1.8 投标方在应标招标技术文件中应如实反映应标产品与本招标技术文件的技术差异。如果投标方没有提出技术差异,而在执行合同的过程中,招标方发现投标方提供的产品与其应标招标技术文件的条文存在差异,招标方有权利要求退货。1.9 供货方从采购方获得的与项目有关或因项目产生的任何商业、技术、运营数据或其他性质的资料,无论以何种形式或载于何种载体,都是供货方需要保密的秘密。保密信息及利用保密信息所形成的工作成果非经采购方书面同意,供货方及其相关人员应负保密责任,不得以任
4、何方式就保密信息及工作成果之全部或部分泄漏、告知、复制、传播、或对外发表、或为自己及第三人使用。2 技术标准本工程设计技术要求是根据以下有关建议及信息产业部有关规定来制定的。工程设计和设备性能必须满足下列标准的情况:1) 南方电网办总调202012号关于做好电力监控系统网络安全态势感知建设与实用化工作的通知2) 广电调控网20182号附件1广东电网电力监控系统网络安全2018年重点工作计划;3) 南方电网系统20187号关于印发2018年南方电网电力监控系统网络安全态势感知系统建设工作方案的通知;4) 电力监控系统安全防护规定(国家发展和改革委员会令2014年第14号);5) 电力监控系统安全
5、防护总体方案(国能安全201536号);6) 中国南方电网 电力监控系统安全防护技术规范(Q/CSG1204009-2015);7) 中国南方电网 电力监控系统安全防护管理办法(Q/CSG212001-2015);8) 电力监控系统安全防护整体方案(国能安全201536号文);9) 电力行业信息安全等级保护管理办法(国能安全2014318号);10) 电力行业网络与信息安全管理办法(国能安全2014317号);11) 电力行业信息系统安全等级保护基本要求(电监信息201262号);12) 中国南方电网电力调度管理规程(Q/CS212045-2011);13) 电力监控系统网络安全态势感知厂站装
6、置技术规范(试行);14) 广电调控2020187号附件广东电网2021年自动化专业重点工作及配套建设要求;15) 电力监控系统网络安全态势感知主站装置技术规范(试行);16) 国家和电力行业有关调度自动化的标准、规程、规范及国家有关安全、环保等强制性标准。3 技术要求3.1 功能要求序号产品要求具体参数1实用化评价指标实时监视覆盖率指标关键设备接入率:指包括防火墙、纵向加密认证装置、横向隔离装置、核心交换机的总体接入率,指在1年内成功产生该类型设备需要产生事件的设备数量占全部设备的比例。其中防火墙需产生不符合安全策略告警、用户登录和网口插拔安全事件,纵向加密装置需产生不符合安全策略告警、用户
7、登录安全事件,横向隔离装置需产生用户登录安全事件,核心交换机需产生用户登录、网口插拔安全事件和接入镜像流量,通用主机需产生外设接入、用户登录、关键文件变更安全事件。2网安运维指标网安设备在线率:指包括防火墙、纵向加密认证装置、横向隔离装置的总体在线率,指纳入实时在线资产发现的网安设备无故障运行时间占统计周期内总运行时间的比例(检修时间除外),按自然月作为周期统计区间。3数据录入指标资产注册率:指系统中已知资产占资产总数的比例,按自然月作为周期统计区间。4脆弱性指标III区脆弱性扫描覆盖率:III区脆弱性扫描覆盖率,是指已经纳入实时端口扫描的III区资产数量(不包括按需手动扫描),和已进行漏洞扫
8、描的III区资产数占III区资产总数的比例,统计时间点为每自然月最后一天。5告警处置指标告警响应及时率:告警响应及时率,指系统告警及时响应的比例。统计告警包含系统实时告警中的紧急、重要和一般告警。紧急告警包括了跨区互联、蜜罐受访、恶意IP通信、恶意域名访问、关键文件变更等类型,要求在1小时内在系统上完成响应。重要告警包括了USB设备插入、非法接入、不符合控制策略访问、重复登录失败、可疑文件等类型,要求在2小时内在系统上完成响应。一般告警要求在4小时内在系统上完成响应,按自然月作为周期统计区间。6告警正确率:告警正确率,指因系统缺陷产生的告警数量比例,按自然月作为周期统计区间。7态势感知系统运行
9、指标主站可用率:指态势感知主站无故障运行时间占统计周期内总运行时间的比例(检修时间除外)。当发生省级主站与网级主站之间实时数据转发同步中断,视为故障,触发主站系统启动故障时间记录,直至网省同步功能恢复为止,按自然月作为周期统计区间。8采集装置可用率:指态势感知采集装置无故障运行时间占统计周期内总运行时间的比例(检修时间除外)。当装置出现以下情况之一,则视为故障,并触发态势感知主站系统启动故障时间记录,直至相应功能恢复正常操作为止。9缺陷修复率:经态势感知运行分析会议确认的主站系统及采集装置缺陷在统计节点时的修复比例。此指标用于评判数研院及采集装置厂商的技术支持水平,按自然年为周期进行统计。10
10、攻防统计指标高危漏洞数量:该指标评价电力监控系统、网络、主机、应用的脆弱性,指在渗透测试中验证可以实现对电力监控系统、应用、主机、网络进行控制、破坏或者窃取数据的漏洞。11被控设备数:该指标为最终被渗透测试人员控制设备的数量,主要评价各单位针对电力监控系统内部隐患治理情况。以渗透测试人员成功在主机上创建文件或执行脚本,在网络、安防设备上创建无用策略为被控标准,统计被控的设备数量。12无告警的被控设备数:该指标为渗透过程中被控制设备在态势感知系统中未产生相关告警的设备数量,主要反映态势感知系统是否能够监测对相关设备的渗透测试行为并发出告警。将统计未产生有关告警的被控设备数量。13高经处置不当的被
11、控设备数:该指标为渗透过程中监测单位未正确处置态势感知系统中被控设备的告警,最终未能排查出被控情况的设备数量,主要评价各单位的监测分析能力。统计设备被控后48小时内监测单位未向总调提交异常处置报告的设备数,报告需包含相关告警及被控痕迹。14未解析日志数据处理未解析日志上送模块支持接收态势感知系统未解析的日志数据,内容包括日志来源的资产、时间和未解析日志内容。15支持对未解析日志数据进行存储。16未解析日志数据统计模块支持通过未解析日志数据的资产信息、事件类型等字段进行统计展示,如柱形图形式展示统计结果。17支持通过未解析日志数据的时间维度进行统计展示,如提供折线图形式展示数据的统计结果。18提
12、供对安全日志数据根据字段和内容进行搜索和筛选等操作。19网络流量数据处理网络流量数据调阅模块支持根据时间段调阅网络流量数据,以 pcap 格式进行保存。20支持根据流量中的源、目 IP 地址调阅网络流量数据,以 pcap 格式保存。21网络流量数据统计模块支持通过网络流量数据的通信对象、网络地址和网络协议等字段进行统计展示,如柱形图方式展示各种分类的统计结果。22支持通过网络流量数据的时间维度进行统计展示,如折线图展示数据的统计结果。23提供对安全日志数据根据字段和内容进行搜索和筛选等操作。24安全数据范式化生成与管理内部安全数据范式化生成模块支持通过对未解析日志定义告警类型、子类型、安全等级
13、、IP 地址等信息,生成该未解析日志的范式化文件。25支持范式化分析文件的测试功能,根据人机接口录入范式化分析文件和测试日志数据,显示匹配测试结果。26内部安全数据范式化管理支持通过设备类型、设备型号和操作系统等信息检索范式化分析文件,能够展示。27支持对已有范式化分析文件的重新编辑和导出,并支持版本更新记录。28威胁情报管理平台威胁情报导入支持以自动的方式从南网总部威胁情报管理平台查询威胁情报数据。29支持以自动的方式导入已有安全逻辑生产的内部威胁情报,包括文件鉴定器检出的新恶意文件的 MD5 值等。30支持以离线的方式导入从威胁情报厂商官方渠道下载的更新文件。31威胁情报编辑及自定义支持手
14、动录入内外部威胁情报。对内外部威胁情报,支持提供多种录入方案,如手工单条导入、手工批量录入等。32支持提供威胁情报的自定义编辑功能,包括对威胁情报数据的增删改查等操作。33鉴定单元管理支持提供不同类型鉴定器的鉴定单元的管理功能,包括鉴定单元的配置管理、鉴定单元工作状态管理及版本信息管理等。34支持根据鉴定单元分析结果的准确程度对鉴定单元进行评价考核,对于结果准确的鉴定单元分配高权重值,对于不准确的鉴定单元分配低权重值,并支持将权重值反馈给相应的鉴定器。35鉴定单元调度持将待鉴定的网络安全事件数据调配给不同类型的鉴定器。具体为将待鉴定文件统一分发给文件鉴定器;将待鉴定报文统一分发给报文鉴定器;将
15、待鉴定通信对数据统一分发给通信域鉴定器。36鉴定单元分析结果管理支持对各类鉴定器的鉴定单元的分析结果的查询,包括但不限于各鉴定单元针对文件样本、报文样本、通信域样本的检测判断结果的查询。鉴定单元输出的分析结果应包含时间,结果,取证信息等。37漏洞情报评估历时数据回溯检测支持定期更新威胁情报,并对海量历史网络安全事件数据,包括文件 MD5、域名、通信对等,进行快速回溯查询和检测分析。38漏洞扫描功能支持调用多个第三方漏洞扫描工具对资产进行漏洞扫描,第三方漏洞扫描工具需支持针对主流操作系统和应用软件的已知漏洞。39支持通过接口管理第三方漏洞扫描工具,包括扫描任务创建、任务中止、扫描任务状态的查询等。40支持通过接口读取扫描结果,并在页面上展示扫描结果,展示内容包括漏洞信息、潜在影响和修复建议等。41
