序号

项目

服务内容

1

增加防火墙（含入侵防御及漏洞库模块）

在吴忠三十一光伏、吴忠第十四光伏、中卫第二十二光伏、星能 (略) 署防火墙（含入侵防御及漏洞库模块）用于在关 (略) 监视网络攻击行为。

2

部署电子门禁系统

在吴忠三十一光伏、牛首山第三风电场、太阳山第一风电场、太阳山第二风电场、星能第一风电场、星能第七风电场 (略) 署电子门禁系统，保证机房安全。

3

主机加固

对吴忠三十一光伏、牛首山第三风电场、吴忠第十四光伏、中卫第二十二光伏、太阳山第一风电场、太阳山第二风电场、星能第一风电场、星能第七风电场、麻黄山第一风电场、麻黄山第五风电场的服 (略) 开展主机加固基线合规工作，并输出《主机加固报告》。对于Windows操作系统，在加固的基础上， (略) 署正版防病毒软件，包含三年病毒库免费升级。

4

技术调试及升级

对吴忠三十一光伏、牛首山第三风电场、吴忠第十四光伏、中卫第二十二光伏、太阳山第一风电场、太阳山第二风电场、星能第一风电场、星能第七风电场、麻黄山第一风电场、麻黄山第五风电场的网络安全监测装置及态势感知系统未满足测评要求的进行整改调试，并按照调度最新要求对主机白名单进行细化， (略) 的隔离装置和网监装置进行升级， (略) 的态势感知系统进行升级，并输出《技术调试整改报告》。

5

漏洞扫描及修复

对吴忠三十一光伏、牛首山第三风电场、吴忠第十四光伏、中卫第二十二光伏、太阳山第一风电场、太阳山第二风电场、星能第一风电场、星能第七风电场、麻黄山第一风电场、麻黄山第五风电场在测评中扫描发现的危险漏洞进行修复，并输出《漏洞修复报告》。漏洞修复完成后再次进行扫描，确保可以修复的漏洞得到全面修复。

6

应用系统加固

对吴忠三十一光伏、牛首山第三风电场、吴忠第十四光伏、中卫第二十二光伏、太阳山第一风电场、太阳山第二风电场、星能第一风电场、星能第七风电场、麻黄山第一风电场、麻黄山 (略) 内应用系统、包括但不限于后台监控，五防，快频，态势感知，功率预测等，按照调度和等保测评要求进行加固和策略调整。

7

管理制度整改

对吴忠三十一光伏、牛首山第三风电场、吴忠第十四光伏、中卫第二十二光伏、太阳山第一风电场、太阳山第二风电场、星能第一风电场、星能第七风电场、麻黄山第一风电场、麻黄山第五风电场的电力监控系统安全管理制度，在此次测评中不满足测评要求的进行整改，更新整改内容输出最新版本的《安全管理制度》。

项目

内容

方法

帐号权限

对网络设备的管理权限进行划分和限制，将登录口令密文保存在配置文件中， (略) 口令长度和 复杂 度满足安全要求,避免使用弱口令

1.加强用户认证，对网络设备的管理权限进行划分和限制；

2. (略) 存在的弱口令（包括 SNMP 社区串），设置网络系统的口令长度>8位；

3.禁用不需要的用户；

4.对口令进行加密存储。

网络服务

关闭网络设备中不安全的服务，确保网络设备只开 (略) 必需的网络服务，远程控制有安全机制保证，限制能够访问本机的用户或 IP 地址

1.禁用 httpserver，或者对 httpserver进行访问控制；

2. 关闭不必要的SNMP服务，加强对网管参数的管理；

3.禁用与承载业务无关的服务（例如DHCP-relay、IGMP、CDP RUN、bootp服务等）；

4.对可管理配置网络设备的网段通过访问控制列表进行限制；

5.使用SSH等安全方式登录,禁用TELNET方式；

6.对SNMP进行ACL控制。

审计策略

配置网络设备的安全审计功能，设置日志缓存大小，指定日志服务器

1.为网络设备指定日志服务器；

2.合理配置日志缓冲区大小

恶意代码防范

配置访问控制策略，屏蔽蠕虫端口，关闭不安全的服务避免被入侵者利用

1.屏蔽病毒常用的网络端口；

2.使用 TCP eepalives 服务；

3. (略) 由功能。

项目

内容

方法

帐户口令

以最小权限原则对操作系统用户、用户组进行权限设置，删除系统多余用户，设置口令复杂性要求，为用户设置强壮的口令，设置鉴别失败阈值 (略) 采取的措施，设置系统超时自动注销功能

1.合理配置应用帐户或自建帐户权限；

2.删除系统中多余的自建帐户；

3.禁用Guest帐户；

4.开启口令复杂性要求；5.设置口令确保长度和复杂度满足安全要求；

6.设置口令最短、最长存留期；

7.配置帐户锁定登录失败锁定次数、锁定时间；

8.配置管理控制台超时自动锁定时间，设置屏保口令保护；

网络服务

关闭系统中不安全的服务，确保操作系统只开 (略) 必需的服务和网络端口，限制能够访问本机的用户或IP地址，远程访问控制应有安全机制保证

1.在不影响业务系统正常运行情况下，停止或禁用与承载业务无关的服务；

2.屏蔽与承载业务无关的网络端口；

3.使用安全的远程管理方式并关闭多余的远程管理方式；

4.设置访问控制策略限制能够访问本机的用户；

5.禁止匿名用户枚举SAM帐户和共享；

6.禁止默认共享（IPC$、C$、D$...）

数据访问控制

合理设置系统中重要文件和数据的访问权限，只授予必要的用户必需的访问权限

1.将系统重要的文件或目录的访问权限修改为管理员完全控制、数据拥有者完全控制或配置特殊权限，避免EVERYONE完全控制；

2.设置合理的初始文件权限，限制特定执行文件的权限。

审计策略

配置操作系统的安全审计功能，确保系统在发生安全事件时有日志可供分析

1.配置系统审核策略，配置审核登录事

件、审核帐户登录事件、审核帐户管理、审核策略管理、审核系统事件等；

2.对审计产生的数据分配合理的存储空间和存储时间；

3.设置合适的日志配置文件的访问控制避免被普通修改和删除。

恶意代码防范

对扫描或手工检查发现的系统漏洞进行修补，配置防病毒软件的防护策略

1.安装系统安全补 点击查看>> ；

2.配置病毒库升级策略；

3.配置病毒查杀策略；

4.通过访问控制限制对漏洞程序的访问；

5.关闭存在漏洞的与承载业务无关的服务。

项目

内容

方法

帐户口令

修 (略) ， (略) 口令长度和复杂度满足安全要求

修改默认用户名和口令，设置用户口令长度>8位。

网络服务

关闭防火墙设备中不安全的服务，确保防火墙只开 (略) 必需的网络服务

1.关闭不必要的 SNMP 服务。对相关参数设置严格管理；

2.关闭不必要的 HTTP 管理服务，必要时应采用安全HTTPS方式来管理防火墙，若无法使用HTTPS方式，则必须严格限制可管理的IP。

数据访问控制

确保远程控制有安全机制保证，严格设置访问控制策略

1.管理网络安全设备的网段与业务网段分离， (略) 用户对防火墙进行用户管理；

2.使用SSH等安全方式登录,禁用TELNET方式；

3.防火墙策略应严格限制 IP 地址和服务端口；

4.删除无效或无用的防火墙策略；

5. (略) 。

审计策略

配置网络设备的安全审计功能，设置日志缓存大小，指定日志服务器。

1.为防火墙设备指定日志服务器；

2.配置防火墙日志的保存期限为半年以上；

3.对关键的防火墙策略记录日志；

4.防火墙要提供日志（包括：系统日志和重要策略产生的日志）分析和管理功能。

恶意代码防范

更新附加功能策略库，配置防火墙自身抗攻击的功能

1.配置防火墙自身的抗DOS攻击的功能；

2.设置防火墙必要的事件报警功能；

3.更新防火墙自带的防病毒。

项目

内容

方法

帐号权限

修 (略) ，确保管理员口令长度和复杂度满足安全要求

设置管理员口令长度>8位，至少包括数字和字母。

安全策略

配置装置的安全策略

1.严格设置安全控制策略，提高边界防护强度；

2.定期备份策略；

3.定期审核策略。

审计策略

配置装置的安全审计功能，设置日志缓存大小，指定日志服务器

1.为装置指定日志服务器；

2.配置装置日志的保存期限为一年以上并定期审核；

3.装置要提供日志（包括：系统日志和重要策略产生的日志）分析和管理功能。

项目

内容

方法

账号权限

以最小权限原 (略) 分配其必须的角色或权限，修 (略) ，确保 (略) 口令长度和复杂度满足安全要求，设置应用系统用户交互登录失败、系统超时自动注销功能

1.在应用系统用户中删除或 (略) ；

2.合理 (略) 或 (略) 的权限；

3.删除系统中多 (略) (略) ；

4.确保系统管理员、审计管理员、业务操作员三权分立、互斥；

5.设置口令长度，重要系统的用户口令长度>8 位，一般系统的用户口令长度>6位，并且至少为字母、数字组合；

6.设置口令过期时间，以及口令不能重复的次数；

7.为用户设置强壮的口令；

8.设置锁定口令错误输入次数，以及锁定时间；

9.设置自动注销时间。

会话控制

为应用系统建立基于IP地址、访问时间等的会话允许、拒绝机制，只允许相关客户端 IP 地址和恰当时间范围内可以直接访问应用系统，启用应用系统的通信加密功能，保证

客户端与服务器通信的数据在网络传输过程中的安全，启用应用系统的重鉴别功能，保证关键、敏感操作的安全、可信

1.为关键用户设置登录的 IP 限制，仅允许最少的必要的 IP 地址可连接登录应用系统；

2.为关键用户设置登录的时间限制，仅允许必要的工作时间内可连接登录应用系统；

3.限制最大的客户端并发连接数；

4.禁止同一用户的多个并发连接；

5.启用应用软件提供的加密功能，在客户端和应用服务器之间加密网络通信；

6.启用应用软件提供的重鉴别功能，在用户执行关键、敏感权限时，必须再次进行鉴别（如口令鉴别等），才能执行成功。

数据访问控制

在操作系统中配置应用系统重要文件的访问权限，只授予必要的用户必要的访问权限

1.严格限制应用系统配置文件的访问权限，保证除属主和超级管理员外，其他用户对配置文件没有读、写权限；

2.设置可执行程序的访问权限，保证除属主和超级管理员外，其他用户对配置文件没有执行、修改权限。

审计策略

配置系统日志，设置日志过滤规则，对安全审计范围、日志文件存放位置等进行配置，防止审计数据被非法删除、修改

1.开启应用系统软件的日志记录功能，并配置恰当的参数；

2.修改应用 (略) 径保证日志存18加固项目加固内容加固方法

进行配置，防止审计数据被非法删除、修改放的地点的安全可靠；

3.修改日志访问权限，设置为只有审计管理员才能删除。

恶意代码防范

对扫描或手工检查发现的系统漏洞进行修补，配置防病毒软件的防护策略

1.安装系统安全补 点击查看>> ；

2.配置病毒库升级策略；

3.配置病毒查杀策略；

4.通过访问控制限制对漏洞程序的访问；

5.关闭存在漏洞的与承载业务无关的服务。

软件功能完善

（非现场加固项目）

修改应用软件，修补系统漏洞，增强系统欠缺的安全功能

1.由应用软件开发商修改应用软件，修补SQL 注入漏洞、越权操作、绕过验证、文件上传漏洞、允许匿名访问等漏洞；

2.由应用软件开发商开发欠缺的安全功能，例如审计功能、登录认证功能、加密功能等。

指标

参数规格要求

采购要求

数量

配置

标准1U机架式，无风扇；接口：标配6个10/100/1000M Base-TX网络接口，2个USB口；BYPASS:支持2对BYPASS网络接口；

标准1U机架式，无风扇；接口：标配6个10/100/1000M Base-TX网络接口，2个USB口；BYPASS:支持2对BYPASS网络接口；并发连接数不小于 点击查看>> ；每秒新建连接数不少于 点击查看>> ；吞吐量不少于2Gbps；

7台

性能

并发连接数不小于 点击查看>> ；每秒新建连接数不少于 点击查看>> ；吞吐量不少于2Gbps；

系统管理

支持系统盘、数据盘双存储磁盘结构；支持双系统引导，可在管理界面配置启动顺序，自由选择当前启动系统，同时具有备份系统；

支持三权分立功能，内置系统管理员、安全管理员、系统审计员；

支持异常行为特征库升级，并显示特征库升级记录；

网络适应性

产品既 (略) 署， (略) 部署；

(略) (略) 由、透明、冗余、trunk、 (略) 署；

旁路模式支持单臂和流量镜像到工业防火墙，进行安全检查；

监控统计

支持提供软硬件基本信息、运行时间等静态信息，还实时统计设备的网口使用状态、CPU使用率、内存使用率、系统盘使用率、数据盘使用率、并发会话量和吞吐量等动态安全信息；

(略)

针对安全日 (略) 理，可以准确呈现安全事件的数量，并基于事件可以自动完善策略；

网络学习

支持一键生成行为基线，实时监听网络中的流量，当违反行为基线时，支持异常行为预警功能；

支持网络访问行为自动学习功能，可以学习网络正常业务模型，支持境外访问关系识别，并支持以图形化和表格的形式呈现；

异常检测

支持异常检测功能，内置通用安全检测、工业安全检测、物联网安全检测、安全扫描检测、高危风险检测等专用特征库模板；

预置协议

预置动态协议包括ftp、h323、tns、rtsp、irc、mms等服务名、协议、端口和备注信息；

工业协议模型

支持Modbus、IEC104、EIP（Ethernet/ip）、OPC-DA 、DNP3.0、S7、OPC-UA、SECS-GEM等主流工业协议深度内容监测和过滤，支持协议完整性校验和合法性检查，支持对设备地址、指令功能码、寄存器、读写权限、异常报文的解析和控制；支持S7、Modbus、OPC-DA协议等至少3种协议的点位控制；

工业控制协议及规则自动生成

支持工业协议包括OPC-DA、OPC-UA、S7、MODBUS、Ethernet/IP、IEC104、DNP3、SECS-GEM的工业协议指令自动发现和向导式生成白名单规则；

安全策略

系统支持全通模式、调试模式和防护模式三种工作模式；

支持流经设备不同网口流量在可配置时间内，对超过一定阈值带宽流量的监控、告警和统计功能，并选择是否记录日志；

支持对异常流量的行为预警；

支持会话状态的管控，可详细设置会话SYN发送、SYN接收、超时等状态的设定；

(略) 家要求

1、所投工业 (略) 商具有国家 (略) 颁发的《网络安全应急服务支撑单位-国家级》。

2、所投工业 (略) 商具有中国信 (略) 《国家信息安全测评信息安全服务资质证书（安全工程类）》证书。

3、所投 (略) 商具备国家信息安全漏洞库（CNNVD）技术支撑单位证书（一级）。

产品资质及荣誉

1、 (略) 颁发的工业控制系统专用防火墙（增强级）《计算机信息系统安全专用产品销售许可证》, 要求出具证书复印件。

序号

项目

服务内容

1

增加防火墙（含入侵防御及漏洞库模块）

在吴忠三十一光伏、吴忠第十四光伏、中卫第二十二光伏、星能 (略) 署防火墙（含入侵防御及漏洞库模块）用于在关 (略) 监视网络攻击行为。

2

部署电子门禁系统

在吴忠三十一光伏、牛首山第三风电场、太阳山第一风电场、太阳山第二风电场、星能第一风电场、星能第七风电场 (略) 署电子门禁系统，保证机房安全。

3

主机加固

对吴忠三十一光伏、牛首山第三风电场、吴忠第十四光伏、中卫第二十二光伏、太阳山第一风电场、太阳山第二风电场、星能第一风电场、星能第七风电场、麻黄山第一风电场、麻黄山第五风电场的服 (略) 开展主机加固基线合规工作，并输出《主机加固报告》。对于Windows操作系统，在加固的基础上， (略) 署正版防病毒软件，包含三年病毒库免费升级。

4

技术调试及升级

对吴忠三十一光伏、牛首山第三风电场、吴忠第十四光伏、中卫第二十二光伏、太阳山第一风电场、太阳山第二风电场、星能第一风电场、星能第七风电场、麻黄山第一风电场、麻黄山第五风电场的网络安全监测装置及态势感知系统未满足测评要求的进行整改调试，并按照调度最新要求对主机白名单进行细化， (略) 的隔离装置和网监装置进行升级， (略) 的态势感知系统进行升级，并输出《技术调试整改报告》。

5

漏洞扫描及修复

对吴忠三十一光伏、牛首山第三风电场、吴忠第十四光伏、中卫第二十二光伏、太阳山第一风电场、太阳山第二风电场、星能第一风电场、星能第七风电场、麻黄山第一风电场、麻黄山第五风电场在测评中扫描发现的危险漏洞进行修复，并输出《漏洞修复报告》。漏洞修复完成后再次进行扫描，确保可以修复的漏洞得到全面修复。

6

应用系统加固

对吴忠三十一光伏、牛首山第三风电场、吴忠第十四光伏、中卫第二十二光伏、太阳山第一风电场、太阳山第二风电场、星能第一风电场、星能第七风电场、麻黄山第一风电场、麻黄山 (略) 内应用系统、包括但不限于后台监控，五防，快频，态势感知，功率预测等，按照调度和等保测评要求进行加固和策略调整。

7

管理制度整改

对吴忠三十一光伏、牛首山第三风电场、吴忠第十四光伏、中卫第二十二光伏、太阳山第一风电场、太阳山第二风电场、星能第一风电场、星能第七风电场、麻黄山第一风电场、麻黄山第五风电场的电力监控系统安全管理制度，在此次测评中不满足测评要求的进行整改，更新整改内容输出最新版本的《安全管理制度》。

项目

内容

方法

帐号权限

对网络设备的管理权限进行划分和限制，将登录口令密文保存在配置文件中， (略) 口令长度和 复杂 度满足安全要求,避免使用弱口令

1.加强用户认证，对网络设备的管理权限进行划分和限制；

2. (略) 存在的弱口令（包括 SNMP 社区串），设置网络系统的口令长度>8位；

3.禁用不需要的用户；

4.对口令进行加密存储。

网络服务

关闭网络设备中不安全的服务，确保网络设备只开 (略) 必需的网络服务，远程控制有安全机制保证，限制能够访问本机的用户或 IP 地址

1.禁用 httpserver，或者对 httpserver进行访问控制；

2. 关闭不必要的SNMP服务，加强对网管参数的管理；

3.禁用与承载业务无关的服务（例如DHCP-relay、IGMP、CDP RUN、bootp服务等）；

4.对可管理配置网络设备的网段通过访问控制列表进行限制；

5.使用SSH等安全方式登录,禁用TELNET方式；

6.对SNMP进行ACL控制。

审计策略

配置网络设备的安全审计功能，设置日志缓存大小，指定日志服务器

1.为网络设备指定日志服务器；

2.合理配置日志缓冲区大小

恶意代码防范

配置访问控制策略，屏蔽蠕虫端口，关闭不安全的服务避免被入侵者利用

1.屏蔽病毒常用的网络端口；

2.使用 TCP eepalives 服务；

3. (略) 由功能。

项目

内容

方法

帐户口令

以最小权限原则对操作系统用户、用户组进行权限设置，删除系统多余用户，设置口令复杂性要求，为用户设置强壮的口令，设置鉴别失败阈值 (略) 采取的措施，设置系统超时自动注销功能

1.合理配置应用帐户或自建帐户权限；

2.删除系统中多余的自建帐户；

3.禁用Guest帐户；

4.开启口令复杂性要求；5.设置口令确保长度和复杂度满足安全要求；

6.设置口令最短、最长存留期；

7.配置帐户锁定登录失败锁定次数、锁定时间；

8.配置管理控制台超时自动锁定时间，设置屏保口令保护；

网络服务

关闭系统中不安全的服务，确保操作系统只开 (略) 必需的服务和网络端口，限制能够访问本机的用户或IP地址，远程访问控制应有安全机制保证

1.在不影响业务系统正常运行情况下，停止或禁用与承载业务无关的服务；

2.屏蔽与承载业务无关的网络端口；

3.使用安全的远程管理方式并关闭多余的远程管理方式；

4.设置访问控制策略限制能够访问本机的用户；

5.禁止匿名用户枚举SAM帐户和共享；

6.禁止默认共享（IPC$、C$、D$...）

数据访问控制

合理设置系统中重要文件和数据的访问权限，只授予必要的用户必需的访问权限

1.将系统重要的文件或目录的访问权限修改为管理员完全控制、数据拥有者完全控制或配置特殊权限，避免EVERYONE完全控制；

2.设置合理的初始文件权限，限制特定执行文件的权限。

审计策略

配置操作系统的安全审计功能，确保系统在发生安全事件时有日志可供分析

1.配置系统审核策略，配置审核登录事

件、审核帐户登录事件、审核帐户管理、审核策略管理、审核系统事件等；

2.对审计产生的数据分配合理的存储空间和存储时间；

3.设置合适的日志配置文件的访问控制避免被普通修改和删除。

恶意代码防范

对扫描或手工检查发现的系统漏洞进行修补，配置防病毒软件的防护策略

1.安装系统安全补 点击查看>> ；

2.配置病毒库升级策略；

3.配置病毒查杀策略；

4.通过访问控制限制对漏洞程序的访问；

5.关闭存在漏洞的与承载业务无关的服务。

项目

内容

方法

帐户口令

修 (略) ， (略) 口令长度和复杂度满足安全要求

修改默认用户名和口令，设置用户口令长度>8位。

网络服务

关闭防火墙设备中不安全的服务，确保防火墙只开 (略) 必需的网络服务

1.关闭不必要的 SNMP 服务。对相关参数设置严格管理；

2.关闭不必要的 HTTP 管理服务，必要时应采用安全HTTPS方式来管理防火墙，若无法使用HTTPS方式，则必须严格限制可管理的IP。

数据访问控制

确保远程控制有安全机制保证，严格设置访问控制策略

1.管理网络安全设备的网段与业务网段分离， (略) 用户对防火墙进行用户管理；

2.使用SSH等安全方式登录,禁用TELNET方式；

3.防火墙策略应严格限制 IP 地址和服务端口；

4.删除无效或无用的防火墙策略；

5. (略) 。

审计策略

配置网络设备的安全审计功能，设置日志缓存大小，指定日志服务器。

1.为防火墙设备指定日志服务器；

2.配置防火墙日志的保存期限为半年以上；

3.对关键的防火墙策略记录日志；

4.防火墙要提供日志（包括：系统日志和重要策略产生的日志）分析和管理功能。

恶意代码防范

更新附加功能策略库，配置防火墙自身抗攻击的功能

1.配置防火墙自身的抗DOS攻击的功能；

2.设置防火墙必要的事件报警功能；

3.更新防火墙自带的防病毒。

项目

内容

方法

帐号权限

修 (略) ，确保管理员口令长度和复杂度满足安全要求

设置管理员口令长度>8位，至少包括数字和字母。

安全策略

配置装置的安全策略

1.严格设置安全控制策略，提高边界防护强度；

2.定期备份策略；

3.定期审核策略。

审计策略

配置装置的安全审计功能，设置日志缓存大小，指定日志服务器

1.为装置指定日志服务器；

2.配置装置日志的保存期限为一年以上并定期审核；

3.装置要提供日志（包括：系统日志和重要策略产生的日志）分析和管理功能。

项目

内容

方法

账号权限

以最小权限原 (略) 分配其必须的角色或权限，修 (略) ，确保 (略) 口令长度和复杂度满足安全要求，设置应用系统用户交互登录失败、系统超时自动注销功能

1.在应用系统用户中删除或 (略) ；

2.合理 (略) 或 (略) 的权限；

3.删除系统中多 (略) (略) ；

4.确保系统管理员、审计管理员、业务操作员三权分立、互斥；

5.设置口令长度，重要系统的用户口令长度>8 位，一般系统的用户口令长度>6位，并且至少为字母、数字组合；

6.设置口令过期时间，以及口令不能重复的次数；

7.为用户设置强壮的口令；

8.设置锁定口令错误输入次数，以及锁定时间；

9.设置自动注销时间。

会话控制

为应用系统建立基于IP地址、访问时间等的会话允许、拒绝机制，只允许相关客户端 IP 地址和恰当时间范围内可以直接访问应用系统，启用应用系统的通信加密功能，保证

客户端与服务器通信的数据在网络传输过程中的安全，启用应用系统的重鉴别功能，保证关键、敏感操作的安全、可信

1.为关键用户设置登录的 IP 限制，仅允许最少的必要的 IP 地址可连接登录应用系统；

2.为关键用户设置登录的时间限制，仅允许必要的工作时间内可连接登录应用系统；

3.限制最大的客户端并发连接数；

4.禁止同一用户的多个并发连接；

5.启用应用软件提供的加密功能，在客户端和应用服务器之间加密网络通信；

6.启用应用软件提供的重鉴别功能，在用户执行关键、敏感权限时，必须再次进行鉴别（如口令鉴别等），才能执行成功。

数据访问控制

在操作系统中配置应用系统重要文件的访问权限，只授予必要的用户必要的访问权限

1.严格限制应用系统配置文件的访问权限，保证除属主和超级管理员外，其他用户对配置文件没有读、写权限；

2.设置可执行程序的访问权限，保证除属主和超级管理员外，其他用户对配置文件没有执行、修改权限。

审计策略

配置系统日志，设置日志过滤规则，对安全审计范围、日志文件存放位置等进行配置，防止审计数据被非法删除、修改

1.开启应用系统软件的日志记录功能，并配置恰当的参数；

2.修改应用 (略) 径保证日志存18加固项目加固内容加固方法

进行配置，防止审计数据被非法删除、修改放的地点的安全可靠；

3.修改日志访问权限，设置为只有审计管理员才能删除。

恶意代码防范

对扫描或手工检查发现的系统漏洞进行修补，配置防病毒软件的防护策略

1.安装系统安全补 点击查看>> ；

2.配置病毒库升级策略；

3.配置病毒查杀策略；

4.通过访问控制限制对漏洞程序的访问；

5.关闭存在漏洞的与承载业务无关的服务。

软件功能完善

（非现场加固项目）

修改应用软件，修补系统漏洞，增强系统欠缺的安全功能

1.由应用软件开发商修改应用软件，修补SQL 注入漏洞、越权操作、绕过验证、文件上传漏洞、允许匿名访问等漏洞；

2.由应用软件开发商开发欠缺的安全功能，例如审计功能、登录认证功能、加密功能等。

指标

参数规格要求

采购要求

数量

配置

标准1U机架式，无风扇；接口：标配6个10/100/1000M Base-TX网络接口，2个USB口；BYPASS:支持2对BYPASS网络接口；

标准1U机架式，无风扇；接口：标配6个10/100/1000M Base-TX网络接口，2个USB口；BYPASS:支持2对BYPASS网络接口；并发连接数不小于 点击查看>> ；每秒新建连接数不少于 点击查看>> ；吞吐量不少于2Gbps；

7台

性能

并发连接数不小于 点击查看>> ；每秒新建连接数不少于 点击查看>> ；吞吐量不少于2Gbps；

系统管理

支持系统盘、数据盘双存储磁盘结构；支持双系统引导，可在管理界面配置启动顺序，自由选择当前启动系统，同时具有备份系统；

支持三权分立功能，内置系统管理员、安全管理员、系统审计员；

支持异常行为特征库升级，并显示特征库升级记录；

网络适应性

产品既 (略) 署， (略) 部署；

(略) (略) 由、透明、冗余、trunk、 (略) 署；

旁路模式支持单臂和流量镜像到工业防火墙，进行安全检查；

监控统计

支持提供软硬件基本信息、运行时间等静态信息，还实时统计设备的网口使用状态、CPU使用率、内存使用率、系统盘使用率、数据盘使用率、并发会话量和吞吐量等动态安全信息；

(略)

针对安全日 (略) 理，可以准确呈现安全事件的数量，并基于事件可以自动完善策略；

网络学习

支持一键生成行为基线，实时监听网络中的流量，当违反行为基线时，支持异常行为预警功能；

支持网络访问行为自动学习功能，可以学习网络正常业务模型，支持境外访问关系识别，并支持以图形化和表格的形式呈现；

异常检测

支持异常检测功能，内置通用安全检测、工业安全检测、物联网安全检测、安全扫描检测、高危风险检测等专用特征库模板；

预置协议

预置动态协议包括ftp、h323、tns、rtsp、irc、mms等服务名、协议、端口和备注信息；

工业协议模型

支持Modbus、IEC104、EIP（Ethernet/ip）、OPC-DA 、DNP3.0、S7、OPC-UA、SECS-GEM等主流工业协议深度内容监测和过滤，支持协议完整性校验和合法性检查，支持对设备地址、指令功能码、寄存器、读写权限、异常报文的解析和控制；支持S7、Modbus、OPC-DA协议等至少3种协议的点位控制；

工业控制协议及规则自动生成

支持工业协议包括OPC-DA、OPC-UA、S7、MODBUS、Ethernet/IP、IEC104、DNP3、SECS-GEM的工业协议指令自动发现和向导式生成白名单规则；

安全策略

系统支持全通模式、调试模式和防护模式三种工作模式；

支持流经设备不同网口流量在可配置时间内，对超过一定阈值带宽流量的监控、告警和统计功能，并选择是否记录日志；

支持对异常流量的行为预警；

支持会话状态的管控，可详细设置会话SYN发送、SYN接收、超时等状态的设定；

(略) 家要求

1、所投工业 (略) 商具有国家 (略) 颁发的《网络安全应急服务支撑单位-国家级》。

2、所投工业 (略) 商具有中国信 (略) 《国家信息安全测评信息安全服务资质证书（安全工程类）》证书。

3、所投 (略) 商具备国家信息安全漏洞库（CNNVD）技术支撑单位证书（一级）。

产品资质及荣誉

1、 (略) 颁发的工业控制系统专用防火墙（增强级）《计算机信息系统安全专用产品销售许可证》, 要求出具证书复印件。