第三部分项目说明及要求

第三部分项目说明及要求一、项目背景在网络安全威胁越来越多的今天，传统的安全事件分析思路已无法满足日常安全日志的关联分析，尤其是攻击者采用某些技术手段进行证据销毁工作后，依靠传统的分析方式、传统安全设备通常都无法对APT攻击的各个阶段进行有效的检测，也就无法产生相应的告警，安全人员花费大量精力进行告警日志分析往往都是徒劳无功。为保障文物数据及各类业务系统安全，山东博物馆需要在其网络中部署威胁感知服务，及时发现潜藏在其网络中的安全威胁，对威胁的恶意行为实现早期的快速发现，对受害目标及攻击源头进行精准定位，对入侵途径及攻击者背景的研判与溯源，从源头上解决博物馆网络中的安全问题，尽可能地减少安全威胁对博物馆带来的损失。二、项目需求通过第三方服务进行自动化挖掘，由网络安全专家进行分析，提前洞悉各种安全威胁，推送定制的专属威胁情报。对未知威胁的恶意行为实现早期的快速发现，对受害目标及攻击源头进行精准定位，最终达到对入侵途径及攻击者背景的研判与溯源；支持运用SOAR编排技术，经过网络安全工程师分析，实现对确定的威胁进行多种类型的响应处置，实现监测预警、威胁检测、溯源分析和响应处置。由网络流量监测平台融合全流量数据检测分析能力、威胁情报能力以及资深安全专家经验，针对各类威胁事件实时告警监测、深度分析，帮助用户及时感知安全威胁事件，及早采取预防措施，降低可能造成的影响，最大限度避免安全损失。三、服务内容及要求通过第三方服务提供商实现对山东博物馆网络设备的防护告警日志、威胁告警日志、系统告警日志等数据进行威胁检测和主动响应。提供设备管理、威胁分析检测、威胁预警、监测响应、运营支持等安全服务，助力山东博物馆持续对抗攻击和快速响应，实现安全事件闭环。第三方服务提供商要全天候进行安全监测服务，提供技术支持，人员保障服务，发现问题要第一时间通知山东博物馆相关人员；要每周一报告，每月一总结，每周要对监测情况进行报告，形成报告文件，月底以书面文档形式对当月的安全情况进行总结。合同期内所用到的安全告警设备均由第三方服务提供商无偿提供使用。第三方服务提供商所提供的具体功能及要求如：服务维度子项服务说明资产管理设备巡检巡检流量采集状况、存储情况、授权、规则和情报更新状态，避免故障和异常影响设备威胁检测能力。设备升级/更新定期对设备进行威胁情报、规则库进行更新，对系统进行版本升级。设备故障管理日常巡检发现设备故障后，协调跟踪产品售后人员对设备进行故障修复。全网高风险漏洞预警、热点推送提供全网高风险安全漏洞预警及安全形势热点解读服务，在特高危漏洞爆发时期提供远程排查技术支持。事件管理安全事件报送对安全监测发现的安全隐患及事件在服务规定时间内进行通告。运营汇报管理运营解读汇报安排资深安全工程师在线进行运营情况汇报，进行威胁分析情况解读，并进行疑难解答。安全态势分析与汇报综合所发现的安全事件、攻击情况，评价客户侧整体网络安全态势，包括但不限于告警趋势分析、威胁类型分布分析、高威胁攻击者分析等。安全运营问题解答通过小助手对安全运营中的产品问题、基础安全运营问题、安全分析问题进行解答，协助进行问题解决。四、完成项目服务内容所需配套硬件产品技术指标序号功能类别招标要求1硬件硬件参数机架式设备，≥4个千兆电口，≥32G内存，≥1TB企业级硬盘，吞吐流量≥1Gbps，新建会话≥1万，含三年维保服务。2流量采集网络协议支持常见协议识别并还原网络流量，用于取证分析、威胁发现，支持：http、dns、smtp、pop3、imap、webmail、DB2、Oracle、MySQL、sqlserver、Sybase、SMB、FTP、SNMP、telnet、nfs、ICMP、SSL、SSH等3文件协议支持对流量中出现文件传输行为进行发现和还原，并记录文件MD5发送至分析设备，如可执行文件（EXE、DLL、OCX、SYS、COM、apk、bin等）、压缩格式文件（RAR、ZIP、GZ、7Z、tar等）、文档类型文件（word、excel、pdf、rtf、ppt、txt等）、多媒体文件（flash、jpg、jpeg、png、flv、swf等）、脚本文件（html、htm、java、mhtml、mht等）等类型。4数据库协议支持常见数据库协议的识别或还原：DB2、Oracle、SQLServer、MySQL、PostgreSQL等协议5威胁检测威胁情报▲设备具备主流的IOC。6Webshell攻击检测▲支持基于工具特征的WEBSHELL检测。7网络攻击检测支持多种攻击检测，能更全面的从流量中发现威胁，如：SQL注入、XSS、信息泄露、间谍软件、协议异常、网络欺骗、黑市工具、代码执行、挖矿等8威胁情报检测支持基于威胁情报的威胁检测，检测类型包含APT事件、僵尸网络、勒索软件、流氓推广、窃密木马、网络蠕虫、远控木马、黑市工具、其他恶意软件9语义分析▲支持基于网络请求的语义分析检测。10支持攻击特征高亮展示，方便分析人员事件分析11威胁检测高级威胁检测具备隧道检测、非TCP完整流、畸形包检测、数据包完整性检测、碎片重组检测、编码绕过检测、高级逃逸检测等防逃逸检测能力。12旁路阻断支持基于攻击特征的旁路阻断13支持基于IP地址的旁路阻断，能够在实时镜像的流量中发现恶意IP并实现实时阻断14支持基于URL的旁路阻断，并能将URL请求进行重定向15自定义弱口令支持自定义弱口令字典，支持HTTP、HTTPS、Telnet、FTP、POP、SMTP、IMAP等协议的自定义弱口令检测16HTTPS威胁检测▲支持旁路HTTPS解密、威胁检测17高级参数web端提供针对恶意扫描、Flood攻击、IP碎片攻击、ARPSpoof、PingSweep等检测策略配置功能。18系统配置▲支持AES256、SM4数据传输加密。19支持双协议栈，接口支持