支持远程应用

NHJC-05-2018重点用能单位能耗在线监测系统技术规范第5部分省级平台机房与硬件配置规范(试行)2018年5月发布I目次前言.
II1适用范围.
12规范性引用文件.
13机房建设要求.
14服务器配置要求.
25存储配置要求.
26网络配置要求.
37安全设备配置要求.
4II前言为贯彻落实《国家发展改革委质检总局关于印发重点用能单位能耗在线监测系统推广建设工作方案的通知》(发改环资〔2017〕1711号),规范和指导重点用能单位能耗在线监测系统建设,按照统一标准、互联互通、信息共享的建设原则,特制定《重点用能单位能耗在线监测系统技术规范》.
本部分为《重点用能单位能耗在线监测系统技术规范》的第5部分.
本部分参照GB/T1.
1-2009给出的规则起草.
本部分起草指导单位为国家发展改革委环资司、市场监管总局计量司.
本部分主要起草单位:国家节能中心、中通服咨询设计研究院有限公司、国家信息中心、太极计算机有限公司、北京节能环保中心、浙江省能源监察总队、云南省计量测试技术研究院、湖北万洲电气集团有限公司.
1重点用能单位能耗在线监测系统技术规范第5部分省级平台机房与硬件配置规范1适用范围本规范中规定了省级平台机房、服务器、存储、网络硬件的配置标准及性能参数等内容,各级节能主管部门、质监部门建设省级平台时,可遵循本规范的相关要求本规范用于指导不具备使用政务云资源条件的地方自建机房环境及硬件资源开展能耗在线监测系统建设.
2规范性引用文件下列文件对于本文件的应用是必不可少的.
凡是注日期的引用文件,仅注日期的版本适用于本文件.
凡是不注日期的引用文件,其最新版本适用于本文件:GB50174电子信息系统机房设计规范GB/T2887电子计算机场地通用规范GB9361电子计算站场地安全要求GB6650电子计算机机房用活动地板技术条件SJ/T30003电子计算机机房施工及验收规范GB50052供配电系统设计规范GB50054低压配电设计规范GB14050系统接地的形式及安全技术要求JGJ/T16民用建筑电气设计规范GB50311综合布线系统工程设计规范YD/T1099以太网交换机技术要求3机房建设要求省级平台机房建设应满足等保二级要求,参照《电子信息系统机房设计规范》及相关规范及标准建设.
机房电气、环境、空调、消防、安防等配套设施参照B级机房要求建设.
机房关键设备按冗余要求配置,在设备冗余能力范围内,不会因为设备故障和维护需要,而导致数据中心信息系统运行中断.
机房基本参数列举如下:1)供配电系统:N+1;2)机房环境温度:18~27℃(冷通道);23)机房湿度:35%~60%;4)空调制冷系统:N+1;5)接地:采用联合接地系统,接地电阻=2GB.
7.
2堡垒主机1)含单交流电源,2*USB接口,1*RJ45串口,1*GE管理口,4*GE电口,不小于2TSATA硬盘.
缺省授权管理100台设备;2)支持证书、口令、短信、动态字符等多种认证方式,可基于角色和安全等级的动态授权;3)支持虚拟网关和虚拟防火墙;4)可支持不少于500个并发用户.
7.
3网络安全审计系统1)含交流冗余电源,标准配置提供一路监听,支持对未注册的用户终端实施自动阻断5网络的功能;2)支持对用户的进程审计、服务审计、主机资源审计、主机端口审计、主机账号审计、主机文件操作审计;3)支持客户端媒体介质控制,并进行日志记录与审计;4)支持客户端IP与MAC绑定控制管理;5)支持吞吐量≥1.
0Gbps;6)并发会话数≥80万;7)并发用户数≥2000;8)设备接口≥4个千兆电口;9)磁盘容量不小于500G.
7.
4漏洞扫描1)含交流单电源,1*RJ45串口,1*GE管理口,4个10M/100M/1000M自适应以太网电口扫描口,标准配置提供1路授权扫描端口,IP点授权,授权可扫描总数量不多于512个无限制范围的IP地址或域名,支持能对扫描目标的安全脆弱性进行全面检查,检查内容包括缺少的安全补丁、暴露的危害信息、不安全的服务配置等;2)漏洞库的数量应不低于2000条,支持国际CVE标准;应支持对主流数据库包括:Sybase、SQLServer、Oracle、MySql、DB2等的扫描检测功能;3)支持的最大并发扫描IP应不少于30个,单个IP的最大并发扫描线程应不少于30个,单个IP的平均扫描时间不大于30秒,扫描IP数量500以上.
7.
5入侵检测系统(IDS)1)百兆入侵检测系统,>4个10/100M以太网口,1个异步控制口;2)含交流冗余电源模块,2*USB接口,1*RJ45串口,2*GE管理口;3)漏洞特征库能够自动或者手动升级;4)IPS防护对像包括了防护服务器和防护客户端两种,防护的类型包括了蠕虫、木马、后门、DoS、DDoS攻击探测、扫描、间谍软件、利用漏洞的攻击、缓冲区溢出攻击、协议异常、IPS逃逸攻击等;IPS能够对应用服务器信息进行隐藏,并且能够对服务器进行扫描,从而评估服务器对漏洞的防护能力.
7.
6安全认证网关1)支持基于Linux、Windows等操作系统的企业端设备CA数字证书的身份认证和传6输加密,满足国家信息中心的数字证书信任链验证及证书黑名单验证,符合相关接入要求.
2)最大并发连接数400;3)最大新建连接数60次/秒;每秒完成交易数(TPS)1000次/秒;4)最大流量不小于50Mbps;5)系统可以设置是否需要用户提交用户证书;6)系统可以自动、动态更新黑名单,不需要重新启动服务,支持LDAP、HTTP等多种方式更新,支持B64、DER等多种格式;7)系统可以拥有多个站点证书,不同的服务可以拥有不同的站点证书;8)一个SSL服务中可同时配置多条证书链,验证不同CA的用户证书;9)要求支持主流数字证书认证体系,并支持接入国家电子政务外网信息体系中;10)系统可以将用户证书信息包括扩展项信息传送给应用系统;11)支持B/S应用;支持FTP、telnet、远程桌面以及通用的C/S应用,系统可以创建多个SSL服务,保护不同的应用服务,也可以采用同一个SSL服务保护多个应用服务(需客户端);12)系统将真正应用服务的地址隐藏,用户仅知道网关地址;13)在有防火墙NAT映射的情况下正常访问有重定向的网站;14)可以独自完成基于数字证书的身份认证;15)国密算法支持:支持RSA1024及2048位算法;支持商用密码非对称算法SM2;支持商用密码杂凑算法SM3;支持商用密码对称算法SM4;支持扩展国密对称加密算法SM1;16)能够提供浏览、下载等日志管理功能,且可与第三方审计系统进行关联功能;17)支持串联、并联等多种部署方式,适用不同的网络环境和应用需求;18)拥有公安部销售许可证.
7.
7WEB防火墙(WAF)设备1)标准配置含SQL注入/XSS防护、WEB常规攻击防护、扫描防护、Cookie安全防护、URLACL、CSRF防护、HTTP协议防护、ARP欺骗防护、非法下载防护、非法上传防护、Web内容安全防护、网页盗链、爬虫防护等功能.
2)提供网页篡改防护以及服务器侧恶意代码过滤功能.
3)含交流单电源,1*RS232串口,1*FE管理口,4*100/1000M自适应电口(Bypass)7标准配置提供1路电口WAF防护,支持BYPASS.
7.
8VPN网关SSLVPN与IPSECVPN均可以实现由互联网企业监测端到系统平台服务端的加密访问,实现证书的验证和传输加密,下面提供两类产品的要求及参数:(1)SSLVPN:1)SSLVPN支持基于CA数字证书,实现互联网企业监测端到系统平台服务端的身份验证和加密通信.
2)SSLVPN要求支持互联网企业监测端到系统平台服务端的传输加密;3)SSLVPN支持第三方数字证书认证,支持硬件加速,提供C\S应用支持;4)最大并发连接数≥400;5)SSLVPN并发客户端数≥2000;6)系统能够对用户连接数、应用访问情况,系统资源占用等信息进行详细统计,为更好了解应用及调节资源提供基础;7)系统实现客户端策略的统一下发,用户无需对客户端进行任何配置;8)对于特定应用,系统采用用户映射技术,将证书映射为原有系统中的账户,并进行自动登录,在后台应用无需修改的情况下实现单点登录;9)系统通过特有的cookie技术将用户的证书信息传送给后台应用,使应用无需证书接口开发就可以方便的获取用户证书信息;10)系统支持国密SM1/SM2/SM3算法,11)实现URL级别的访问控制,对于不同用户、不同角色实现不同的控制;12)支持单点登录功能(SSO).
(2)IPSECVPN:1)支持基于CA数字证书,实现互联网企业监测端到系统平台服务端的身份验证加密通信.
2)IPSec支持第三方数字证书认证,支持硬件加速,提供C\S应用支持;3)IPSecVPN加密速度≥280Mbps;4)IPSecVPN隧道数≥2000;5)IPSecVPN并发客户端数≥2000;6)支持虚拟化远程应用发布;7)支持单点登录功能(SSO);88)系统对于认证错误可以重定向到用户指定页面,增强友好性7.
9数据库安全审计系统1)电源硬件冗余,配置双交流电源;2)性能指标,检测能力≥1000Mbps;3)最大并发TCP连接数≥100万;4)每秒新增TCP并发连接数≥30万;5)支持对不少于2000在线用户进行审计;6)端口配置≥4个10/100/1000M电口;7)≥4个千兆光口(SFP);8)系统要求,模块化设计,具有良好的可扩展性;9)旁路方式或透明方式接入网络;10)审计引擎支持不同的操作系统类型(Windows、Linux、Unix等);11)支持同时审计多种数据库及跨多种数据库平台操作;支持审计ORALCE、SQLSERVER、MYSQL、DB2、Sybase、Postpresql等各类主流数据库系;12)系统应支持基于IP地址、时间、用户/用户组、数据库用户名、数据库类型、数据库表名、字段名、关键字等组合数据库审计策略;13)应支持实时审计用户对数据库系统所有操作,如:登录、注销、插入、删除、执行存储过程、用户自定义操作等,支持分析、提取SQL语句中绑定变量,并可完全监测还原SQL操作语句包括源IP地址、目的IP地址、访问时间、MAC地址、数据库用户名、客户端类型、数据库操作类型、数据库表名、字段名等;14)支持对邮件系统的审计,支持SMTP、POP3、WEBMAIL等协议,支持基于邮箱地址、邮件主题、邮件内容、名的关键字审计功能;15)日志管理,支持按时间、级别、源\目的IP、源\目的MAC、协议名、源\目的端口为条件进行查询;16)支持日志自动备份;17)支持日志归并;18)具备分级管理功能,满足分级管理的要求;19)支持对审计数据的多种查询方式;20)提供多种形式的审计报表,数据格式报表可以保存为EXCEL、文本、WORD、HTML等多种格式;921)具备对外接口,可将审计结果上报给安全管理平台或其它安全产品.