电子政务网络安全监管平台建设方案

1、电子政务网络安全监管平台建设方案 TOC o 1-5 h z 一、项目背景3二、项目需求3三、项目目标5四、采购内容清单6五、技术参数要求7安全监管系统7对接要求7 HYPERLINK l bookmark37 o Current Document 数据采集8 HYPERLINK l bookmark43 o Current Document 数据分析9实时监测14资产普查18 HYPERLINK l bookmark52 o Current Document 信息通报19应急指挥21 HYPERLINK l bookmark58 o Current Document 考核评估23安全态势24

2、 HYPERLINK l bookmark67 o Current Document 定制开发功能29“零信任”动态业务安全30零信任环境感矢口系统30零信任应用代理系统33 HYPERLINK l bookmark70 o Current Document 流量探针34一、项目背景2020年5月7日，国家电子政务外网管理中心1号文件关于 加快推进全国政务外网安全监测平台建设工作的通知，明确要求 在2021年12月底前初步形成全国政务外网安全监测平台体系建 设，为贯彻落实国家政策要求以及浙江省政府数字化改革相关要 求，需共同推进省市县（区）三级政务外网监测体系建设。越城区大数据发展管理中心结合

3、数字化改革，落实支撑改革相 关的信息系统建设，组织指导、协调推进“互联网+政务”深度融合 和越城区数字化改革，组织、指导、协调电子政务发展管理和安全 建设工作，统筹推进越城区电子政务基础设施建设管理。电子政务 外网网络安全问题是影响政府安全、社会稳定和人民群众切身利益 的重大战略问题，需要对越城区电子政务外网进行整体安全监管体 系建设，应对未来复杂多变的安全风险和电子政务业务发展。二、项目需求（一）总体要求系统总体要求（1）可扩展性：系统的设计要考虑到未来业务发展的需要，架 构应满足横向和纵向扩展的需求，在架构简明的基础上，降低各功 能模块和组件的耦合度，并充分考虑到兼容性，实现快速高效的扩

4、展方案。（2）适应性：充分考虑采购人现有的电子政务网络环境与产品 架构，适应现有平台，与现有的网络设备、安全设备、应用系统等 实现互通、级联、对接，避免不必要的业务系统改造，降低安全平 台自身的复杂度和建设成本。（3）可靠性：充分考虑“大集中、一体化”背景下网络安全监 管平台系统自身的运营风险，提供科学合理、经济适用、操作性强 的业务连续性设计方案，在应对风险时具备自动调整和快速反应的 能力，以确保核心业务的高可用性。2 .产品总体要求（1）先进、可靠、安全、开放、实用。所投标产品必须是符合 国家技术规范和质量标准的合格产品，是符合国家有关规定的原厂 商生产或开发的原装正品，具有合法商标权，满

5、足采购人的使用需 求，并具有可靠的售后服务体系，质量可靠、使用安全。（2）所投标软件产品均必须为全功能的正式稳定版本、具有合 法知识产权的正版软件。（3）软件应能够提供很好的安全性策略，能够避免内部操作失 误造成的损害和来自外部的恶意攻击。（4）软件升级后的新版本，应能够向下兼容原有软硬件架构。（5）在服务期内，投标人有责任解决所提供软件系统的任何问 题。在服务期满后，当需要时，投标人仍须对因投标产品本身的固 有缺陷和瑕疵承担相应责任。（二）业务需求1、依托绍兴市级现有电子政务外网安全监管平台，通过定制开 发分权分域系统，并整合越城区现有数据信息，进行汇总分析，形 成越城区可管理，可分析，可处

6、置的自有监管系统。通过匹配专业 安全运营人员构建威胁预测、威胁防护、持续检测、响应处置的全 闭环安全运营能力，通过能力构建快速实时对电子政务外网安全态 势做出判断，找出安全技术不足之处，不断提升安全技术防护体 系，真正把安全技术防护措施发挥最大效能，安全运营服务最终将 安全技术、安全管理、安全运维贯穿整体电子政务外网安全运行保 障全生命周期，融合可以满足安全合规监管的要求，最终实现电子 政务外网合规安全运行。2、建立业务安全滤网的关键技术为零信任，通过开展建设零信 任体系能力，实现统一的身份认证管理的精细化、动态化的授权能 力，解决人或者接入设备的身份安全，确保所有接入云平台的人员 和设备身份

7、是安全可信的。采用能够根据数据的敏感程度和重要程 度进行细粒度的授权，并结合人员的行为分析和访问的环境状态动 态授权，在不影响业务效率的前提下，确保数据访问权限最小化原 则，避免因为权限不当导致的数据泄露。通过与绍兴市级零信任系 统的联动，实现越城零信任体系的落地。三、项目目标（一）安全运营一盘棋依托安全监管平台横向监测全区电子政务外网安全动态，对全 区安全事件统一运营；纵向联通市安全监管平台，安全数据对接上 传，建立安全风险报告和情报共享机制，形成全市政务外网安全统 一运营。（二）挂图作战依托安全监管平台对全区各委办局、镇街网络安全信息预警、 事件通报、应急处置、安全保障统一协调、指挥，对全

8、区安全事件 统一治理；接收市级下发安全事件，战时统一指挥、统一调度，建 设全区统一作战体系。四、采购内容清单序号名称规格数量1安全监管系 统功能模块包含数据采集、数据分析、实时监测、 资产普查、信息通报、应急指挥、考核评估、安 全态势。1套2终端可信环境感知本次项目配置终端授权数：100个。具备基础安 全感知、系统安全感知、应用合规感知、健康 状态感知、终端策略管理、感知模板管理等功 能。1套3可信应用代理可信接入代理的数据接入点，实现应用的可信 接入，提供业务应用访问安全通道服务、应用 数据加解密服务、应用隐藏服务；根据设备环 境、用户行为等属性及可信环境感知状态，动 态控制用户的应用访问，

9、保证业务应用访问的 安全策略控制及强制实施。1套4流量探针吞吐量lOGbps, HTTP并发连接数800万，HTTP 新建连接速率30万/秒；3U机箱，冗余电源， 标准配置1个10/100/1000M专用管理接口，1 个Console 口，8个接口扩展板卡插槽。包含 TCP流量采集、UDP流量采集、Web访问流量采 集。1台五、技术参数要求5. 1.安全监管系统按照浙江省政务外网安全监测平台建设要求，实现平台数据采 集、数据分析、实时监测、资产普查、信息通报、应急指挥、考核 评估、安全态势功能模块建设且需完成与市级平台数据对接要求。 采集越城区各部门的信息安全数据，提供汇总、分析、监管等服务

10、功能。5. 1. 1.对接要求对接和展示内容对接要求绍兴市监管平台对 接要求按照绍兴市数字化改革一体化政务网络安全监管平台对接规范与市级监管平台对接要求能够实现上下级通报流程打通，能够接收市级监管平台下发通报信息，并实现整改反馈现有终端安全管理系统对接要求对接现有终端安全管理系统，进行终端安装率、终 端感染数、终端感染率和终端资产信息采集阿里IDASS对接要求与阿里IDASS组织架构对接，获取单位名称，要求 单位名称唯一阿里多云管控对接要求与阿里多云管控对接，做到资产无需手动录入、自动同步浙政钉对接要求通报与浙政钉进行对接，通过浙政钉通知到具体责 任人进行签收反馈整改处置阿里云盾对接支持按照政

11、务云API相关标准规范对接，实现安全数据 采集，包括云盾告警、漏洞，云安骑士资产数据安全对接支持与数据安全产品进行数据（数据脱敏、审计追查、访问控制等）对接5. 1. 2.数据采集对电子政务外网的相关数据进行采集，形成统一的数据池，为 后续的调查分析和态势感知提供基础支撑。技术指标指标要求平台监控支持监控当前接入数据的实时性能情况支持监测数据中台节点信息以及集群的负载情况支持监测采集器自身性能数据接入支持对当前采集器进行管理维护、以及采集器类型的统计对每个采集器进行配置，包括SNMP Trap、文本格式日志、数 据库日志、WMI日志、Netflow日志、Syslog日志的配置。为 保障日志的快

12、速分析与存储，要求系统支持一种高性能syslog 日志处理和存储方法的技术，并提供国家权威机构相关证明。支持实时或定期通过API从云端获取情报的自动更新，包含失 陷检测情报、文件信誉情报、IP信誉情报、域名信誉、战略情 报、运营情报等要求安全监管平台的原厂商具备自己的漏洞平台，漏洞平台具 备自主知识产权、且平台上注册不少于60000人的白帽专家数量（并能提供链接地址及证明材料）且同时提供软件著作权证书证明数据处理支持配置日志采集器的解析规则支持统计没累采集器当前未解析的日志，并且可以查看未解析原始数据规则管理支持统计每种规则的个数，并以列表的方式展示规则，能够展 示每个规则被引用的次数支持添加

13、编辑规则规则能够支持正则表达式匹配、分隔符匹配、key-value匹配、json匹配数据管理支持可视化的配置页面，能够在页面上直观的验证规则是否正 确支持所有存储字段的管理维护日志类型配置支持自定义日志类型分组支持自定义日志类型，包括存储的方式、数据保留天数，重要 程度5. 1. 3.数据分析分析是整个系统的核心。对整个系统来说，数据服务是基础,安全分析是核心，通报处置是目标。通过丰富完善、准确详实的数 据，可以进行准确的数据分析，为各级指挥员和基层防御人员提供 有价值的决策支撑。技术指标指标要求攻击链分析分析任务管理：系统支持对溯源任务进行管理，支持溯源任务的创建、删除、任务重启等操作分析任

14、务创建:系统支持从任一安全事件做为线索创建分析任务分析任务查询：系统支持对溯源任务进行查询，查询条件包括但 不限于任务名称、创建者、攻击者名称、攻击IP、受害设施、受 害IP任务分析：系统支持用可视化的方式进行展示；系统支持在分析 过程中人工加入攻击者或受害者线索；支持以时间轴的方式展示 攻击过程；支持以攻击链阶段的方式展示攻击过程账号安全支持发现异地账号登录行为，通过流量发现非本地账户登录行 为，检测 SMTP、POP3、SSH、RDP、FTP、MSSQL、MYSQL、REDIS、 ES、ORACLE协议，判断内网资产(目的IP:dip)是否被外网IP (源IP:sip)尝试登录过，按照源I

15、P (sip) 目的IP(dip),协 议(proto),账号(user) , hour时间进行归并。呈现内容包括 源ip、源ip归属地、账号、登录资产、协议、登录次数、登录 成功率，以及通过世界地图的呈现方式展示登录IP的地域分布 情况支持发现暴力破解行为，通过流量发现暴力破解行为，在1分钟 以内，按照源IP(sip),目的IP(dip),目的端口(dport),协议 类型(proto),为四元组判断数值相同，连续登录失败超过100 次以上，就属于暴力破解行为。呈现内容包括攻击源ip爆破次 数toplO统计，爆破次数时间段内的出现次数统计，爆破账号时 间段内出现的次数统计，以及暴力破解行为数

16、据，包括源ip、源 ip归属地、登录资产ip、协议、目的端口、爆破次数、爆破结 果、最近爆破时间等支持发现存在弱口令的系统，通过流量检测存在弱口令的系统， 测SMTP和POP3的协议的登录数据，并且只对登录成功的账号 做检测。匹配内置的弱口令正则匹配，看是否命中。呈现内容包 括弱口令、受影响账号、受影响资产、最近访问时间，以及通过 词云的方式呈现弱口令出现的频率支持发现VPN账号登录行为以及登录地域，通过流量检测VPN账 号登录地域分布情况，首先判断日志是否是VPN网关日志，再判 断是否是登录请求，再判断在3分钟以内(susr sip),连续超 10次以上登录成功率小于30%是否存在两地不可达

17、的情况，如果 不可达这标记本次和前后两次的登录行为为异常行为，呈现内容 包括源ip、源ip归属地、账号、认证服务器、登录次数、登录 成功率，以及用世界地图的方式呈现登录ip的地理位置分布情 况邮件安全支持发现敏感内容邮件，过流量发现存在邮件内容存在敏感信息 的邮件行为，通过定义的敏感关键词，匹配邮件正文内容和邮件 标题以及附件名称检测，如果其中任意一个匹配中关键词则视为 敏感邮件。呈现内容包括发件人邮箱、收件人邮箱、敏感关键词、 邮件主题、发生时间、发现时间等支持发现存在敏感附件的邮件，通过流量发现邮件附件中存在敏 感附件的邮件行为，通过定义的敏感后缀，匹配邮件附件后缀， 如果匹配中后缀则视为

18、敏感邮件，呈现内容包括发现人邮箱、收 件人邮箱、邮件主题、附件名称、发生时间、发现时间等行为分析支持发现业务资产主动外联场景，通过TCP流量日志、UDP流量 日志进行分析判断、源IP是内网IP,目的IP是外网IP,并且 源IP属于业务资产的IP满足这些条件的属于业务资产主动外 联，呈现内容包括外联IP、外联IP归属地、服务商、业务资产 ip、流量。并以地图的方式呈现外联IP地理位置分布情况以及 在地图上热力图的方式表示各外联地理位置流量的大小支持通过机器学习模型发现DGA域名，读取dns解析日志里面 的 host 字段，取出域名(例如：www. google, com, google, com

19、 为 域名)，通过机器学习模型判断该域名是DGA产生的概率，如果 概率大于0.9(90%)可以配置，则作为DGA域名。呈现内容包括 源ip、请求域名、请求次数、准确率、最近访问时间等支持发现HTTP代理，在tcp流量中发现http代理请求，判断在 tcp载荷里面是否有特殊HTTP代理的特征码，如果有就是HTTP 代理，呈现内容包括源ip、http代理ip、端口、使用次数、最 近访问时间，以及通过词云等方式展示代理IP的出现频率支持发现socks代理，在tcp流量中发现socks代理请求，判断 在tcp载荷里面是否有特殊socks的特征码，如果有就是socks 代理，呈现内容包括源IP、sock

20、s代理ip、端口、使用次数、最 近访问时间，以及通过词云等方式展示代理IP的出现频率支持发现异常DNS服务器，通过DNS解析记录发现异常内网中 的异常DNS服务器，通过判断发往该DNS服务器解析的请求的 主域名不超过阈值个数，则判定为异常服务器，呈现内容包括 dns服务器地址、端口、响应次数、上级dns服务器地址、解析 异常地址，以及通过饼状图的方式展现异常dns服务器响应次数 分布情况。支持DNS隧道发现，通过NDS解析记录发现隧道连接，请求DNS host的总长度超过50,并且子域名长度占总长度的一半以上(倒 数第二个”以前的部分按照”分割成多个子域名)。同时 以源IP (sip)、目的I

21、P(dip)、根域名(host)为三元组，判断 在3分钟内连续10次以上的相同数值，呈现内容包括源ip、清 求地址、请求次数、最近访问时间等支持reGeorg隧道发现，通过流量日志分析reGeorg隧道连接， 判断web访问日志里面是否有命令语句符合reGeory请求特征 的数据，呈现内容包括源ip. tunnel地址、最近访问时间等。支持多种扫描工具识别，包括：AWVS Empire PowerShell 渗透攻击框架、SQLMap、antSwordBugScan、CaiDao s webinspect、netspark w3af nessus、SharinGan_Scanner、Windo

22、wsPowerShe11、WebVulnScanmasscan 等关联分析新建场景分组删除场景分组，分组内有关联任务的时候进行提示修改场景分组的名称新建任务，可指定任务名称、描述以及对该任务打标签任务展示分为卡片和表格两种。展示任务名称、创建人、创建时 间、标签以及任务的描述通过任务创建时间搜索任务。点击搜索后展示过滤后的任务卡片或者列表信息任务可选择不同的场景管理分组点击删除，对任务进行删除，删除前有明显的提示信息编辑任务的名称以及标签点击全屏模式按钮将除分析画布外的其他组件全部收起。进入全 屏模式点击一键截图按钮将分析画布中当前的分析结果进行截图并下 载支持块状布局、树状布局、横向树状布局

23、、引力布局以及环状布 局的五种布局模式，点击使分析任务结果按照对应的布局进行展 示设定每次返回的最大数量点击清空画布按钮，清空当前任务分析得到的实体节点点击将画布中的所有节点选中点击显示名称按钮画布中分析结果实体显示对应的名称点击显示序号按钮画图中分析结果实体显示分析顺序的序号显示任务的整体图，鼠标拖动画图中跟随移动展示缩略图视窗中的内容展示每一步溯源的历史操作。展示操作、时间、发现节点以及数 据来源，以及此实体节点是由哪种模型发现的。点击可回溯至当前选中的历史快照。标签列表展示发现的实体类型、节点列表展 示发现的节点并支持过滤、连线展示当前的连线内容。根据选择时间窗口选择查询的对应IP。时间

24、窗口可以选预置的 最近一天、最近七天、最近三十天以及自定义时间窗口选择。默 认选择最近七天进行查询根据不同的分析实体展示对应类型的详细信息根据实体的发现时间将实体在时间轴上进行分布打点可以将当前的分析结果保存为案例。或者将已保存的案例导入到当前的分析任务中数据分析采用云计算技术进行支撑，为保障数据分析稳定和安 全，要求厂商具备国测信息安全服务资质的云计算安全类证书， 提供相关证明5. 1.4.实时监测通过网络流量监测，挖掘、汇聚网络上的各类威胁信息及流量 异常信息，同时构建深度威胁分析模型，将网络攻防专家的经验固 化于平台中，从攻击方、攻击目标等不同维度将威胁信息进行归 并、融合，形成高价值的

25、网络安全事件，结合钻石模型和攻击链模 型，还原网络攻击各个阶段的攻守对象、基础设施、攻击手段等信 息。在对网络威胁不断挖掘、分析、整合的过程中，实现越城区电 子政务外网网络安全态势的实时掌握。技术指标指标要求监测概况支持根据时间段统计分析整体安全状况，默认统计最近一 天的数据，并支持未匹配单位告警统计支持告警各维度分析统计，维度包括攻击结果、事件级别、 告警类型、事件类型支持单位安全事件发生T0P5统计支持按照时间度段分析网络安全风险趋势，包括告警趋势、事件趋势、时间可精确到小时支持告警、事件同比环比分析，统计每种事件的同比、环比情况以及增长趋势支持按照数据来源统计时间周期内每种告警的数量支持

26、按照告警受影响资产统计涉及单位、涉及网站、涉及IP的排名情况支持威胁来源toplOO分析，并可通过威胁IP下钻到具体 的告警列表支持按照单位视角统计每个单位涉及的每类告警的数量告警列表支持37种类型的漏洞发现能力，漏洞类型包括：SQL注入,跨站脚本攻击（XSS），文件包含，代码执行，命令 执行，文件上传，任意文件操作，权限绕过，跨站请求伪造 （CSRF）,路径遍历，配置错误，逻辑漏洞，弱口令，后门，信 息泄露，后置链接，数字错误，信任管理，竞争条件,授权问 题，代码问题，资源管理错误，输入验证，缓冲区错误，格式 化字符串，命令注入，操作系统命令注入，代码注入，失效的 访问控制，访问控制错误，加

27、密问题，未充分验证数据可靠 性,安全特性问题，失效的身份认证,XML外部实体（XXE）, 不安全的反序列化，使用含有已知漏洞的组件拥有目前国内最大的威胁情报库，结合资产匹配威胁情报 告警，情报类型包括：僵尸网络，勒索软件，黑市工具，远控木马，窃密木马，网络 蠕虫，流氓推广,APT事件,威胁情报告警，电脑病毒,特洛伊 木马，挂马，键盘记录，用户自定义，间谍软件，恶意广告，挖矿木马，协议异常，应用异常,SYN Flood, UDP Flood, ICMP Flood, ACK Flood, DNS Flood, HTTP Flood, HTTPS Flood,后 门程序,SQL注入,URL跳转，代

28、码执行，非授权访问/权限绕 过,跨站脚本攻击（XSS），跨站请求伪造（CSRF），逻辑/设 计错误，命令执行，日录遍历，配置不当/错误，文件包含，文 件读取，文件上传，文件下载，文件写入，溢出攻击，浏览器 劫持，端口扫描，网络钓鱼，网络扫描，暴力猜解，高级威胁， 黑链，内容变更，热点钓鱼，信息泄露，违规内容,弱口令，访 问状态异常,DNS解析异常,Webshell利用,WEB扫描，网络 爬虫，敏感操作,Webshell上传，隧道，代理通道，拒绝服务， 网络欺骗支持网页漏洞利用告警发现，主要类型包括：SQL注入,跨站脚本攻击（XSS），文件写入，文件下载，文件 上传，文件读取，文件包含,弱口令，

29、配置不当/错误，目录遍 历，默认配置不当，命令执行，敏感信息/重要文件泄漏，逻 辑/设计错误,跨站请求伪造（CSRF）,后门程序，非授权访问 /权限绕过，代码执行，URL跳转，系统/服务配置不 当,WEBSHELL利用,WEBSHELL上传，隧道，电脑病毒，网络蠕 虫，特洛伊木马，窃密木马，僵尸网络，远控木马，挂马，键盘 记录，用户自定义，间谍软件，恶意广告，勒索软件，挖矿木 马，黑市工具，流氓推广，协议异常，应用异常，SYN Flood, UDP Flood, ICMP Flood, ACK Flood, DNS Flood, HTTP Flood, HTTPS Flood,溢出攻击，浏览器

30、劫持，端口扫描，网络 钓鱼，网络扫描，暴力猜解，高级威胁，黑链，内容变更，热点 钓鱼，信息泄露，违规内容，访问状态异常，DNS解析异 常,Webshell利用,WEB扫描，网络爬虫，敏感操作,Webshell 上传，代理通道，拒绝服务，网络欺骗支持恶意软件的发现支持DDOS攻击告警的发现，主要类型包括：SYN Flood, UDP Flood, ICMP Flood, ACK Flood, DNS Response Flood, Http Flood, LAND Flood, IGMP Flood, TCP Flag NULL, TCP Flag 误用,Protocol NULL Flood,

31、 Https Flood, DNS Request Flood, SIP Flood, DARK IP, PRIVATE IP, NTP REFLECTION Flood, SSDP REFLECTION Flood, SNMP REFLECTION Flood, CHARGEN REFLECTION Flood, TRAFFIC ABNORMAL, cc攻击，拒绝服务，协议异常，SIP-IP- Flood,SIP-ACK-Flood, SIP-SYN-Flood, SIP-Frag-Flood,SIP-UDP-Flood, SIP-ICMP-Flood, Frag-flood支持60多种网络

32、攻击的发现，主要包括：网络欺骗，端口扫描，溢出攻击，拒绝服务，代码执行，信息 泄露，黑市工具,SQL注入，网络钓鱼，恶意广告，暴力猜解， 间谍软件，后门程序，浏览器劫持，键盘记录，窃密木马，僵 尸网络，网络蠕虫，电脑病毒，协议异常，网络扫描,WEB扫 描，应用 异常，SYN Flood, UDP Flood, ICMP Flood, ACK Flood, DNS Flood, HTTP Flood, HTTPS Flood,违规内容，网 络爬虫，敏感操作，代理通道，特洛伊木马，远控木马，挂马， 用户自定义，勒索软件，挖矿木马，流氓推广,URL跳转，非授 权访问/权限绕过，跨站脚本攻击（XSS）

33、，跨站请求伪造 （CSRF），逻辑/设计错误，命令执行，目录遍历，配置不当/ 错误，文件包含，文件读取，文件上传，文件下载，文件写入， 高级威胁，黑链，内容变更，热点钓鱼，弱口令，访问状态异 常,DNS解析异常,Webshell利用,Webshell上传，隧道支持恶意文件检测告警发现能力，主要包括：僵尸网络，勒 索软件，黑市工具，远控木马，窃密木马，网络蠕虫,流氓推 广，电脑病毒，特洛伊木马，间谍软件，恶意广告，挖矿木马监测能力原厂商入选中国国家信息安全漏洞库CNNVD 一级技术支撑 单位且2019年、2020年每年向国家信息安全漏洞共享平台 提供漏洞个数不少于15000个以上，提供相关证明文

34、件支持自定义告警规则，用于自动确认或告警属性的映射规 则配置5. 1. 5.资产普查通过主动探测、流量分析、人工报送、数据导入等手段汇聚网 络资产，包括关键信息基础设施以及公共空间资产，并通过统一的 资产数据模型将多源异构的数据进行融合，形成以系统、网站、计 算设备、软件、服务、机房、云平台为主体的网络资产库，建立关 键资产和所属单位、四方单位、运营人员之间的联系，形成资产知 识图谱。针对核心关键资产，提供相关运营手段，自动或半自动对 资产变动进行维护。同时整合资产脆弱性、关联的网络安全事件、 访问情况等信息，对系统、网站、IDC机房、单位、行业等关键对 象进行全面画像。技术指标指标要求资产概

35、况支持资产总量及资产分类数量统计，支持待明确资产统计 以及下级单位上报资产数量统计支持未知资产发现趋势统计，包括流量发现、下级单位上报支持软件资产类型分布统计支持设备资产类型分布统计支持按照单位、区域进行资产分布统计资产发现支持未知资产导出支持未知资产二次运营后形成本地资产库支持对单位信息按地区、统计和筛选资产管理支持按列表的方式统计展示单位信息，展示信息包括单位 名称、单位简称、地区、网络数量、业务系统数量、IP数 量、监管单位、主管单位、标签能够对单位资源按单位名称、单位简称、标签字段进行查询能够对单位资源进行添加、批量删除、导入、导出支持按软件资产、硬件资产、IP资产分类展示资产信息，

36、支持资产数据的批量导入、导出支持对IDC机房的管理，IDC机房列表按机房名称、IDC所 属单位、联系电话、机房地址、经度、维度字段展示，支持 按机房名称、IDC所属单位、机房地址对IDC机房信息进行 检索，支持对IDC机房信息进行新增、批量删除、导入、导 出操作支持资产自定分类一键搜索支持输入关键字对资产数据进行一键搜索，一次最多支持查询10个词组支持显示历史检索条件支持检索结果以资产实体的形式呈现资产简介对平台管理维护的设备资产、软件资产进行相关名词解释5. 1.6.信息通报支持监测到重要信息系统存在重大风险隐患，或产生重大安全 事件时，根据谁使用、谁管理原则，可通过浙政钉进行通报下发， 被

37、通报的业主单位按期反馈处置结果。技术指标指标要求安全事件分 析支持通过单位视角展示漏洞事件、网站可用性事件、网站篡改 事件、网页仿冒事件、威胁情报事件、攻击利用事件、恶意软 件事件、拒绝服务攻击事件数量统计列表。支持对选择确定单位后统计该单位下各类资产的安全事件分 布（按事件类型进行统计），并可下钻查看各类安全事件详情支持对确认的安全事件进行忽略处理；并可通过单位名称、行 业进行单位检索，查看对应单位的忽略数据，并进行安全事件 忽略数据的恢复操作日常通报支持对待需要处理的安全事件可选择进行通报，通报类型包 括：隐患告知、限期整改、行政处罚，可配置通报时间、处理 时限、系统自动附带网络安全隐患告

38、知书网络安全检测 报告网络安全整改报告。支持通过手工方式导出通报文件利用其他方式完成对重保单位的网络安全通报支持对于通报反馈情况、整改情况及处罚情况的跟踪和记录应能够通过移动端应用、短信、邮件方式提醒被通报单位的相关责任人及时受理及处置综合通报支持根据用户设置的各类通报模板，按照指定的周期完成对于 指定行业、单位、行政区域的网络安全综合数据分析，并形成 通报文件支持通过手工方式导出通报文件利用其他方式完成专项分析通报支持配置以周、月、季、年为维度生成综合通报，具备启用/停 用功能移动端应用应能支持本地部署，且各项应用可根据需要支持相应的数据钻取通报预警移动端应用(H5)应能够接入态势感知组织机

39、构基础数据和重保单位基础数据， 并支持分级管理、分权管理、人员属性管理、可见性设置等功 能专项通报支持针对多个通报主体的专项通报任务，任务类型支持体检 类、综合类，能够设置任务名称，任务时间，模板选择，监控 类别、重点监控单位任务模板支持行业/区域视角报告、单位视角报告公开预警支持创建公开预警，能够设置预警来源、预警名称、预警等级、 风险评级、标签、预警时间，支持pdf格式附件上传预警等级支持红色、橙色、黄色、蓝色四级风险评级支持危急、高危、中危、低危四级5. 1. 7.应急指挥应急指挥子系统主要用于在重大活动安保期间、应急响应期 间，加强相关人员调度，全方位全天候掌握活动相关的单位、系统 和

40、网站安全状况，及时发现网络安全隐患，高效处置网络安全事 件。技术指标指标要求指挥大屏支持以可视化的方式展示重保单位的地理位置分布；支持 重保单位名称的显示与隐藏支持查看单位的概况信息以及单位的详细信息支持查看重保目标的信息，包括重保单位的数量以及重保对象的数量，支持查看重保单位的详细信息支持查看指令下发的历史信息，支持指令的下发支持查看告警信息，支持展示当天以及重保期间所有的告 警信息，支持查看告警的详细信息，支持按告警的处置状态 进行统计支持展示信息报送的信息，支持展示当天报送的信息以及 重保期间报送的所有信息，支持查看报送信息的详情；支持 报送信息的实时滚动展示，为保障统一指挥、协调的能力

41、 支持查看安保组的组织架构，支持查看安保组的详细信息 支持查看重保期间重保单位以及指挥部每日值守的信息， 支持查看值守的人员以及联系方式任务管理支持对重保任务进行管理，支持重保任务的创建、删除、复 制等操作筹备阶段支持确定重点安保对象，按照突出重点、分级保障的原则， 根据有关要求，结合行业实际，研究确定在重大活动期间重 点保障的对象并上报至本平台。督促重保单位进行隐患自 查与风险评估，并实现对重点保卫对象的风险整改报告、责 任书的管理临战阶段安保任务中的重要过程，主要完成设定安保人员、建立安保 指挥部、组建专家队伍、组建技术支撑队伍、实施专项检查 及渗透测试、制定安保方案与应急预案决战阶段明确

42、重保对象驻场民警、技术人员和各重保单位的预警预案的管理工作战后总结根据重保总结模板，系统自动生成重保总结内容的信息，来 完成总结的编制工作，并实现对重保任务总结文档的关联 维护工作安全告警监测监测本次重保任务相关告警，包括：漏洞、网站可用性、网 站篡改、网页仿冒、威胁情报、网页漏洞利用、恶意软件、 拒绝服务攻击，支持处置中、己处置状态过滤，支持推送至 大屏签到规则管理签到规则管理，支持按照最近一次签到统计、按照最近一日签到统计指令下发管理支持指令创建、下发、跟踪管理信息上报管理支持对下级单位报送的事件进行统计管理，支持选择事件推送至大屏重保报告管理支持对重保报告进行管理，支持创建报告，明确任务

43、、报告 类型选择、报告描述、附件上传专家管理对网络安全专家人员进行管理维护驻场管理者管理提供驻场人员基础信息维护管理功能，支持关联历史重保任务支撑数据技术支撑单位管理模块提供技术支撑单位基础信息维护管理功能，支持关联历史重保任务支撑数据专业技能标签管理支持对人员的技能标签进行管理维护技术支持单位管理支持对驻场单位场景进行维护管理5. 1. 8.考核评估为了有效开展网络安全防护工作，需要了解网络安全现状，分 析存在的问题，统筹指引系统通过态势分析、工作指引以及工作考评等直观展示内容为网络安全主管部门提供数据决策支持。技术指标指标要求考核统计分析支持统计每个考核任务的考核概况统计，包括考核单位数、

44、 考核任务权重、考核指标数量、最高评分、最多评分、评分 top5、单项指标最低评分top5支持按照单位过滤筛选考核任务统计页面考核任务管理支持创建考核任务，选择考核单位、选择考核指标，制定考 核评分上线以及各考核指标权重支持考核模板引用保存考核评分管理支持考核评级等级分数区间自定义规则支持考核指标的主观指标设置、自评指标设置支持安全业务类指标的系统自动评分规则设置支持被考核单位自评支持考核单位对被考核单位进行主观评分考核指标支持系统内置考核指标支持自定义考核指标5.1. 9.安全态势安全态势是整个分析平台的分析与呈现中心，态势呈现形式多 样，呈现形式可定制，包括数值、表格，多种统计图，仪表盘，

45、拓 扑图等类型。具备呈现内容逐级递进、多层钻取的能力。具备大屏 呈现的能力，能够在独立大屏或者拼接大屏上展示丰富的态势信 息。技术指标指标要求总体态势评估通过监测数据能够评估区县级、单位安全指数和安全等级支持以不同颜色（红色、黄色、绿色）代表高危、中危、低 危三个等级，能够过滤安全等级并显示在区域地图上资源统计能够整体纳入被监管的单位、网站、IP的数量，并以统计 图表的方式展示，支持点击下钻查看资产单位详情信息地图展示地图样式提供蓝色主题、白色主题、紫色主题、黑子主题、 太空灰主题、天空蓝主题等多种配色风格，支持切换支持国家、省级、地市、区县多层级地图呈现支持N层级查看离线地图支持在地图上标记

46、重点单位数量，单位数量过多时可切换成按数量统计的展示方式数据展示单位地理位置和名称等信息支持地图缩放以及还原节点支持层层深入数据钻取安全评分趋势支持分析、呈现每小时的安全评分和安全等级，具备隐藏和显示功能安全威胁分析能够统计受攻击单位TopN,支持柱状图和环形图等展示方 式，支持数据钻取查看相关安全事件详情安全事件详情按列表方式展示相关信息，内容包括：发现时 间、一级分类、二级分类、事件等级、通报状态、数据来源 支持事件搜索，搜索条件包括：受影响资源、一级分类、二 级分类、事件等级、通报状态、发现时间支持对呈现的安全事件进行批量通报和批量处置支持对选定单位发现安全事件、未通报事件、已通报事件、

47、 已处理事件数量进行统计支持按矩阵方式展示受攻击最多的行业，受攻击行业支持 数据获取查看相关单位详情单位详情按列表方式展示相关信息，内容包括：单位名称、 安全评分、所属行业、级别支持单位搜索，搜索条件包括：单位名称、所属行业、级别能够统计攻击来源IP TopN,支持条形图和环形图等展示方 式，支持数据钻取查看相关单位详情单位详情按列表方式展示相关信息，内容包括：单位名称、安全评分、所属行业、级别支持单位搜索，搜索条件包括：单位名称、所属行业、级别支持分类展示各类攻击事件所占百分百，提供柱状图和环 形图两种展示方式，支持数据钻取查看发生事件单位详情 单位详情按列表方式展示相关信息，内容包括：单位

48、名称、 安全评分、级别支持单位搜索，搜索条件包括：单位名称、级别支持按照高危、中危、低危事件等级分类展示事件所占百分 比，提供柱状图和环形图两种展示方式，支持数据钻取查看 发生事件单位详情单位详情按列表方式展示相关信息，内容包括：单位名称、 安全评分、级别支持单位搜索，搜索条件包括：单位名称、级别支持条形图展示通告数量单位TopN；内容包括单位名称和通报数量支持条形图展示通告整改质量单位TopN；内容包括单位名 称、通报数、反馈节点数、实际整改数支持列表方式展示通告整改效率单位TopN；内容包括单位 名称、通报数、未整改数、平均时长支持触犯法律法规事件数量的统计展示支持通报状态同比安全事件数量

49、的统计展示支持通报状态环比安全事件数量的统计展示重点单位安全事件快照支持通过点击地图上的单位节点，查看该单位的安全事件 快照，内容包括风险级别，安全评分，安全评分趋势，各类 安全事件统计和查看单位安全事件列表支持通过告警事件评估单位风险级别和安全评分支持分析、呈现单位每小时的安全评分和安全等级支持按列表方式展示该单位安全事件详情，内容包括：发现 时间、一级分类、二级分类、事件等级、通报状态、数据来 源支持事件搜索，搜索条件包括：受影响资源、一级分类、二级分类、事件等级、通报状态、发现时间支持对呈现的安全事件进行批量通报和批量处置支持展示针对该单位的攻击来源TopN,内容包括攻击IP和 对应的攻

50、击次数支持数据钻取，按列表方式展示各攻击IP发起的攻击事件， 内容包括：发现时间、一级分类、二级分类、事件等级、通 报状态、数据来源支持事件搜索，搜索条件包括：受影响资源、一级分类、二 级分类、事件等级、通报状态、发现时间支持对呈现的安全事件进行批量通报和批量处置支持分类展示该单位各攻击类别所占百分比，以环形图方 式展示支持对展示的数据进行钻取，查看该类型事件详情，内容包 括：发现时间、一级分类、二级分类、事件等级、通报状态、 数据来源支持事件搜索，搜索条件包括：受影响资源、一级分类、二 级分类、事件等级、通报状态、发现时间支持对呈现的安全事件进行批量通报和批量处置支持对单位发现的安全事件、未

51、通报事件，己通报事件，己 处理事件等数量进行统计支持查看单位基本信息，内容包括单位名称、所属行业、地 址、联系人、联系人电话、联系人职位、联系人邮箱、主管 单位、主管单位联系人、主管单位联系人电话、监管单位场景模式态势感知系统内置不同分析主件，能够针对被监管单位进 行不同维度的分析呈现，便于安全运营管理者在宏观角度 上了解网络安全情况。所有分析主件组成的不同分析维度 场景均可保存为模板或存为默认首页，并关联到不同用户。支持多场景切换功能支持自定义大屏展示场景，通过指定分析内容确定大屏首页支持对展示场景进行删除及批量删除支持设置场景载入动画，包括从小变大、翻转、X轴翻转、y轴翻转自定义场景布局，

52、包括选择栅格化，选择地图，选择搜索，选择整体风险，选择组件栅格化包括3行4列栅格，24行9列栅格，24行12列栅格地图包括地图瓦片、3D地图、无地图展示选择搜索包括，显示全局搜索和b不显示全局搜索选择整体风险包括，展示整体风险和不展示整体风险组件管理支持基础图表样式的筛选，包括柱状图、饼图、区域图、折 线图、列表图；支持根据不同业务需求选择相关组件展示，包括攻击统计相关、安全事件相关、通报相关、补天相关；支持图表的搜索查询；多维度统计组件展示，内容包括：安全事件类型分布安全事件等级分布安全事件实时监测安全事件趋势分析安全事件同比分析安全事件环比分析单位通报排行通报整改质量通报整改效率单位风险排

53、行行业风险排行触犯法律法规事件安全事件实时监测攻击源分布奇安信补天漏洞资产态势能够提供多维态势分析及统计组件展示，包括资产概况、资 产告警、应用/端口/协议使用统计排名、重点资产统计、资 产发现趋势支持统计分析组件的自定义组合及摆放位置并保存为场 景，支持快速进行场景切换攻击态势攻击源炮图支持3D地球方式展示当前网络攻击态势能够控制3D地球自转的启停支持对安全事件分维度展示，展示维度包含：弱点、攻击、 受损，安全事件包含：恶意软件、漏洞、APT、拒绝服务、 攻击利用、网站可用性、网站篡改、网页仿冒能够统计攻击源IP Top5,统计攻击次数、IP及攻击源地 址能够统计攻击源所属国家发起攻击的数量

54、支持列表展示单位告警TopN；内容包括排名、单位、告警 分布、数目，提供自动轮播方式展示告警排名情况；告警分布类型包括网站篡改、网站可用性、拒绝服务、网页 仿冒、APT、攻击利用、恶意软件、漏洞支持列表方式统计实时攻击事件，内容包含：时间、攻击方 式、来源地址、目的地址5. 1. 10.定制开发功能技术指标指标要求定制开发功能1、组织管理模块：为平台开发分权分域和分级管理的数据 权限划分2、权限管理流程模块：安全监管平台进行功能、操作、数 据权限开发，为不同人员登录系统划分不同的使用权限3、账户权限配置模块：开发本级平台注册到市级平台的能 力和账号管理的能力5. 2. “零信任”动态业务安全“

55、零信任”动态业务安全实现对重要应用的可信访问控制和授 权管理。对接入人员的身份、接入设备的身份进行验证，确保所有 接入人员和设备的身份是安全可信的，同时根据数据的敏感程度和 重要程度进行细粒度的授权，结合人员的行为分析和访问的环境状 态进行动态授权。5. 2. 1.零信任环境感知系统终端环境感知是零信任动态业务安全体系组成之一，感知终端 环境的安全状态。针对发起访问终端的多种维度的风险感知，包 括：网络环境、应用环境、终端防护环境等，并对其进行持续的风 险分析及信任评级，同时将结果上报至可信访问控制台以实现访问 风险的综合研判和信任评估。技术指标指标要求基本要 求控制中心配置要求控制中心配置：

56、CPU：最低8核2.4Ghz；内存容量：最低8GB；硬盘：最低500GB,推荐 1TB；操作系统：centos 7. X版本；网卡：千兆单网卡；本次配置100个终端授权。产品性能客户端请求响应小于200ms客户端能力系统安全感知支持登录失败限制的风险感知。包括：账户锁定阀值、账 户锁定时间、重置账户锁定计数器支持密码维护要求风险感知。包括：密码长度最小值、密 码最短使用期限、密码最长使用期限、强制密码历史、密 码必须符合复杂性要求、使用可还原的加密来存储密码支持网络安全访问控制风险感知。包括：网络访问：不允 许SAM帐户的匿名枚举、网络访问：不允许SAM帐户和共 享的匿名枚举、网络访问：可匿名

57、访问的命名管道、网络访 问：可匿名访问的共享、远程过程调用：用于未验证的RPC 客户端的限制、远程过程调用：RPC终点映射程序客户端 验证、NetMeeting：禁止远程桌面共享、远程桌面配置支持账户访问控制与账户权限控制风险感知。包括：帐户： 来宾帐户状态、帐户：使用空密码的本地帐户只允许进行 控制台登录、帐户：重命名管理员帐户、帐户：重命名来 宾帐户、用户权限分配：拒绝从网络访问此计算机、用户 权限分配：允许通过远程桌面服务登录支持感知终端中系统配置安全风险，从身份鉴别、安全设 计、访问控制、资源控制和入侵防范5个领域进行系统安 全性感知所有感知项能够支持风险等级、扣分标准、修复方式的自

58、定义。支持自动修复。应用合规感知支持外设合规感知。包括：多网卡开启感知、警员Key拔 出感知、热点开启感知、蓝牙开启感知、USB移动存储感 知支持针对终端是否安装违规的软件，运行违规的进程、存 在违规的注册表和服务项行为进行感知，保证终端安全合 规的运行支持网络连接感知。包括：互联网连接感知、磁盘目录共 享感知、Wi-Fi连接感知支持系统账户风险感知。包括：隐藏账户感知、应禁用账 户感知。健康状态感知支持健康状态感知。支持对终端的internet选项、系统 常用组件、网络驱动、打印机设置等基础组件进行故障检 测，保证基础设施运行顺畅；实时环境变更监测客户端实时监控终端系统的环境是否发生变更，在

59、发生变 更后立刻对变更部分重新进行感知，调整环境感知评估结 果。设备可信标识为终端机器生成唯一设备可信标识。具备唯一性、不变性。 在和其他外部设备联动中，整个业务访问过程中使用设备 可信标识进行对机器的标识，不使用IP、MAC等可篡改属 性。环境感知服务终端管理能够对安装了终端环境感知系统客户端的电脑进行统一 管理，能够对所有终端进行统一分组管理、查看所有终端 的状态、并针对终端进行策略统一下发等。终端列表支持 排序、筛选、导出。感知模板管理能够支持环境感知的模板创建功能，感知模板目前支持基 础安全感知、系统安全感知、应用合规感知、健康状况感 知、物理环境感知等五大感知分类的百余项配置项，能够

60、 对所有感知风险进行风险的自定义和扣分规则的自定义， 并能够创建多个不同模板。外部联动客户端支持和本次投标访问控制联动，提供终端设备可信 标识、终端基本信息以及感知结果信息。支持和本次投标访问控制联动，提供终端感知结果查询。终端感知结果变更后支持推送给访问控制。要求可信环境感知能够兼容X86和信创终端，可以通过定 制开发与现有终端安全管理系统合并为一个客户端环境感知代理环境感知代理支持和本次投标可信API网关联动，包括令牌申请、令牌 续期等。支持为环境感知客户端提供终端接入功能，将环境感知客 户端的请求发送给本次投标的可信API网关，由网关转发 给环境感知服务，完成客户端的请求。5. 2. 2