网络及数据安全体系建设需求

网络及数据安全体系建设需求一、需求清单序号内容名称数量单位流量深度检测分析服务（硬件）1台/6年流量深度检测分析服务（软件）1套/6年主机安全及管理服务1套/6年综合日志审计服务1台/6年运维审计与风险控制服务1台/6年周期性漏扫服务2次/年周期性渗透测试服务2次/年周期性基线审查服务1次/年安全培训服务2次/年应急响应服务1次/年安全驻场运维服务1人年二、技术要求1.流量深度检测分析服务（硬件）指标项技术要求性能规格整机吞吐量1.5Gbps；机箱高度：2U；标配网口：8*千兆业务电口，4*千兆业务光口；内存：16G；硬盘容量：2T；USB口：USB3.0口*1，USB2.0口*2；串口：RJ45口*1；电源：1+1热插拔冗余电源；综合能力1.支持双向流量审计，可对请求和响应内容进行审计；2.支持IPv4和IPv6网络环境下的部署，可同时对IPv4和IPv6网络流量分析检测；3.支持解析HTTP、FTP、SMTP、POP3、SMB、IMAP、DNS、HTTPS、SMTPS、POP3S、IMAPS、RADIUS、KRB5、SNMP、NETFLOWV9、TFTP、NNTP等协议报文（HTTPS、SMTPS、POP3S、IMAPS加密协议解析需要导入服务器私钥证书），并提供审计协议类型的端口号配置，可根据需要变更端口号；4.支持ORACLE、MSSQL、SYBASE、MYSQL、DB2、DMDB、KingBase、PostgreSQL、Redis、MongoDB、GBASE、TIDB、MEMCACHE等数据库协议解析和审计、支持COAP、MQTT等物联网协议解析和审计、支持GOOSE、MODBUS等工控协议解析和审计、支持GTP、PFCP、NGAP等5G协议解析和审计、支持识别QQ、WEB、LDAP、FTP、TELNET、SMTP、POP3、SMB、RADMIN、MQTT等登录行为；5.支持正则提取web用户名和密码，可针对性配置用户名白名单，相关登录行为不会进行弱口令以及暴力破解检测；6.风险查询支持一键切换运营模式和专业模式，满足不同场景的研判需求。运营模式可自由选择常用条件，如事件类型、风险级别、攻击状态、规则ID、回放包ID、报文、CVE/CNNVD编号等；专业模式支持多语法组合查询，包含但不限于AND、OR、NOTIN、IN、==、!=，专业模式包含数据窃取、恶意文件投递、内部横向扩散等7种常用查询模版外，支持通过历史筛选条件新增自定义模版，方便后续查询使用。Web攻击检测1.支持SQL注入、命令注入、跨站脚本、代码注入、WEB扫描或爬虫、网页篡改、系统/服务配置不当、SSRF攻击检测、XXE注入检测；2.包含30种以上的深度检测模块，可支持shiro反序列化、蚁剑、哥斯拉、冰蝎3.0、冰蝎4.0等检测能力，且能识别如shootback、dnscat2、reGeorg、reDuh、CobaltStrike等隧道通信工具。3.支持WEBSHELL检测，可检测访问webshell的行为，包含具体对应的URL、返回码、返回数据包内容等，可显示一句话类webshell后门是否植入成功；4.支持自定义配置旁路阻断规则，可自定义策略名称、阻断类型、防护IP范围、规则ID、生效时间等信息，可一键开启/关闭旁路阻断功能。mail攻击检测1.支持解析webmail、SMTP、POP3、IMAP、SMTPS、POP3S、IMAPS（加密协议需要导入服务器私钥证书）类型报文；2.对社工类攻击进行检测，检测内容包括：邮件头欺骗、邮件发件人欺骗、邮件钓鱼、邮件恶意链接；3.支持邮件恶意附件行为检测，支持高危文件后缀（如eml/mht）配置。文件攻击检测1.支持HTTP、FTP、SMB、SMTP、POP3、IMAP、NFS、TFTP、HTTPS、SMTPS、POP3S、IMAPS（加密协议需要导入服务器私钥证书）等协议传输文件检测；2.支持doc,xls,ppt,swf,pdf,rar,zip,rar,exe,vbs,scr、ps1、elf、mach-O、EML、MHT等多种文件解析；3.支持动态URL分析功能，能够检测针对浏览器的0Day攻击,以及远程下载恶意文件检测；4.可添加或删除指定分离的文件类型，并可选择适用的协议类型（HTTP可进一步按GET、POST来配置）；5.支持沙箱逃逸检测，当恶意文件进行逃逸尝试，在沙箱报告中进行体现；失陷主机检测1.具备DNS协议分析能力，发现受感染主机、危害程度、被感染病毒类型、回连C&C域名、DNS返回详情、恶意主机明细等行为；2.具备DNS重绑定攻击检测能力，分析域名与IP地址间的获取关系，并记录DNS解析返回的多个IP与时间；3.支持根据威胁情报、DGA域名请求、IDS规则、用户配置数据，发现被远程控制的内部主机；4.具备DNS协议解析功能，发现发起DGA域名请求的失陷主机5.可发现利用失陷主机挖矿的行为；6.可发现隐蔽信道搭建、通信连接建立、敏感数据内容传输、通讯应答等可疑行为；7.支持以失陷主机维度进行分析，分析内容包括失陷主机IP、MAC地址、攻击类型、访问次数、攻击开始时间、攻击结束时间。日志报表1.支持告警管理功能，可通过告警来源、IP分类等维度统计误报和漏报告警数据；2.支持KAFKA、短信、邮件、syslog、ftp、sftp、钉钉、企业微信等数据外送方式3.支持KAFKA、syslog、sftp和ftp外送方式支持配置多个服务器，分别发送不同业务数据。管理功能1.支持对流量中的IP地址、端口等进行统计，快速识别未登记资产。可基于特定应用或服务对内部资产进行梳理（系统类型、IP、域名、端口等），查看资产端口暴露情况，特别是以非标端口提供的服务情况；可深入识别运行在资产上的设备类型、应用、服务信息详细情况（类型、版本、服务名称等）；2.支持资产风险及健康度评估，支持对资产活跃程度分类，支持对资产分组，可配置资产IP所属的组织和网段，以展示资产层级关系。可自定义配置资产分组属性，包括但不限于资产等级、所属地理位置、内外网属性、单位地址、责任人等；3.提供三权分立的用户管理能力：配置员、用户管理员、审计员相互独立，支持自定义管理用户权限和角色；4.产品内置的排错平台可对系统进行深度配置和排错，支持一键检测故障、配置核对、表分区检查、表检测、信息收集等功能。服务要求本项目要求提供六年原厂7*24小时维护服务，保证产品能正常运转提供服务。2.流量深度检测分析服务（软件）指标项技术要求性能规格整机吞吐量1.0Gbps；综合能力1.支持双向流量审计，可对请求和响应内容进行审计；2.支持IPv4和IPv6网络环境下的部署，可同时对IPv4和IPv6网络流量分析检测；3.支持解析HTTP、FTP、SMTP、POP3、SMB、IMAP、DNS、HTTPS、SMTPS、POP3S、IMAPS、RADIUS、KRB5、SNMP、NETFLOWV9、TFTP、NNTP等协议报文（HTTPS、SMTPS、POP3S、IMAPS加密协议解析需要导入服务器私钥证书），并提供审计协议类型的端口号配置，可根据需要变更端口号；4.支持ORACLE、MSSQL、SYBASE、MYSQL、DB2、DMDB、KingBase、PostgreSQL、Redis、MongoDB、GBASE、TIDB、MEMCACHE等数据库协议解析和审计、支持COAP、MQTT等物联网协议解析和审计、支持GOOSE、MODBUS等工控协议解析和审计、支持GTP、PFCP、NGAP等5G协议解析和审计、支持识别QQ、WEB、LDAP、FTP、TELNET、SMTP、POP3、SMB、RADMIN、MQTT等登录行为；5.支持正则提取web用户名和密码，可针对性配置用户名白名单，相关登录行为不会进行弱口令以及暴力破解检测；6.风险查询支持一键切换运营模式和专业模式，满足不同场景的研判需求。运营模式可自由选择常用条件，如事件类型、风险级别、攻击状态、规则ID、回放包ID、报文、CVE/CNNVD编号等；专业模式支持多语法组合查询，包含但不限于AND、OR、NOTIN、IN、==、!=，专业模式包含数据窃取、恶意文件投递、内部横向扩散等7种常用查询模版外，支持通过历史筛选条件新增自定义模版，方便后续查询使用；Web攻击检测1.支持SQL注入、命令注入、跨站脚本、代码注入、WEB扫描或爬虫、网页篡改、系统/服务配置不当、SSRF攻击检测、XXE注入检测；2.包含30种以上的深度检测模块，可支持shiro反序列化、蚁剑、哥斯拉、冰蝎3.0、冰蝎4.0等检测能力，且能识别如shootback、dnscat2、reGeorg、reDuh、CobaltStrike等隧道通信工具；3.支持WEBSHELL检测，可检测访问webshell的行为，包含具体对应的URL、返回码、返回数据包内容等，可显示一句话类webshell后门是否植入成功；4.支持自定义配置旁路阻断规则，可自定义策略名称、阻断类型、防护IP范围、规则ID、生效时间等信息，可一键开启/关闭旁路阻断功能。mail攻击检测1.支持解析webmail、SMTP、POP3、IMAP、SMTPS、POP3S、IMAPS（加密协议需要导入服务器私钥证书）类型报文；2.对社工类攻击进行检测，检测内容包括：邮件头欺骗、邮件发件人欺骗、邮件钓鱼、邮件恶意链接；3.支持邮件恶意附件行为检测，支持高危文件后缀（如eml/mht）配置。文件攻击检测1.支持HTTP、FTP、SMB、SMTP、POP3、IMAP、NFS、TFTP、HTTPS、SMTPS、POP3S、IMAPS（加密协议需要导入服务器私钥证书）等协议传输文件检测；2.支持doc,xls,ppt,swf,pdf,rar,zip,rar,exe,vbs,scr、ps1、elf、mach-O、EML、MHT等多种文件解析；3.支持动态URL分析功能，能够检测针对浏览器的0Day攻击,以及远程下载恶意文件检测；4.可添加或删除指定分离的文件类型，并可选择适用的协议类型（HTTP可进一步按GET、POST来配置）；5.支持沙箱逃逸检测，当恶意文件进行逃逸尝试，在沙箱报告中进行体现。失陷主机检测1.具备DNS协议分析能力，发现受感染主机、危害程度、被感染病毒类型、回连C&C域名、DNS返回详情、恶意主机明细等行为；2.具备DNS重绑定攻击检测能力，分析域名与IP地址间的获取关系，并记录DNS解析返回的多个IP与时间；3.支持根据威胁情报、DGA域名请求、IDS规则、用户配置数据，发现被远程控制的内部主机；4.具备DNS协议解析功能，发现发起DGA域名请求的失陷主机5.可发现利用失陷主机挖矿的行为；6.可发现隐蔽信道搭建、通信连接建立、敏感数据内容传输、通讯应答等可疑行为；7.支持以失陷主机维度进行分析，分析内容包括失陷主机IP、MAC地址、攻击类型、访问次数、攻击开始时间、攻击结束时间。日志报表1.支持告警管理功能，可通过告警来源、IP分类等维度统计误报和漏报告警数据；2.支持KAFKA、短信、邮件、syslog、ftp、sftp、钉钉、企业微信等数据外送方式；3.支持KAFKA、syslog、sftp和ftp外送方式支持配置多个服务器，分别发送不同业务数据。管理功能1.支持对流量中的IP地址、端口等进行统计，快速识别未登记资产。可基于特定应用或服务对内部资产进行梳理（系统类型、IP、域名、端口等），查看资产端口暴露情况，特别是以非标端口提供的服务情况；可深入识别运行在资产上的设备类型、应用、服务信息详细情况（类型、版本、服务名称等）；2.支持资产风险及健康度评估，支持对资产活跃程度分类，支持对资产分组，可配置资产IP所属的组织和网段，以展示资产层级关系。可自定义配置资产分组属性，包括但不限于资产等级、所属地理位置、内外网属性、单位地址、责任人等；3.提供三权分立的用户管理能力：配置员、用户管理员、审计员相互独立，支持自定义管理用户权限和角色；4.产品内置的排错平台可对系统进行深度配置和排错，支持一键检测故障、配置核对、表分区检查、表检测、信息收集等功能。服务要求1.本项目要求提供六年原厂7*24小时维护服务，保证产品能正常运转提供服务。2.提供一名原厂技术支撑专家具备高级工程师-信息技术（信息安全）、CISP-CSE、网络工程师、CISP-CISE证书。3.主机安全及管理服务指标项技术要求配置要求本项目要求配置1200个终端授权，且包含部署管理中心软件所需要的硬件主机。可视化大屏1.支持可视化态势大屏展示，包括终端安全管控大屏和安全概况大屏，安全概况展示内容包括防护概况、检测概况、入侵检测概况、防护风险趋势、安全动态；终端管控包括终端状态、分组分类、版本状态、安装量、防护率、在线率等。一体化安全策略1.支持自定义安全策略、安全策略可继承，内置多个初始策略模板，包括防护模板、审计模板；2.支持通过对终端制定模板的方式做到一键策略下发；3.支持设置策略修改规则，包括是否允许用户修改策略以及不允许修改的时间。系统监控1.支持监控系统CPU使用率、内存占用率、磁盘读写以及上下行流量；2.支持对CPU、内存、磁盘读写、网络上下行流量达到配置阈值时告警。支持对CPU、内存达到一定阈值时客户端自动进行熔断；3.支持Agent性能监控，支持对客户端占用的CPU、内存达到配置阈值时告警。支持对CPU、内存达到一定阈值时客户端自动进行熔断。资产指纹1.支持自动收集终端资产信息，包括：计算机名称、内核版本、操作系统、处理器、主板、内存、硬盘、显卡、终端版本、病毒库版本、信息最新更新时间；2.支持自动收集终端资产：监听端口、运行程序、账号、软件、启动项、Web框架、Web服务、数据库、Web应用、系统安装包、JAR包、计划任务、环境变量等信息，支持从资产的维度和信息的维度去查看数据，并支持数据的导出。资产登记1.支持中心可对全网终端下发资产信息登记任务，支持在客户端和管理平台更新资产信息；2.支持自定义登记信息内容及格式，包括输出框格式、下拉框格式、是否必填项等；3.支持启停资产登记能力，针对未完整登记信息的终端支持设置开机提醒、定期提醒、常驻提醒；入侵检测1.检测规则包含初始访问、执行、权限维持、权限提升、防御规避、凭据访问、信息发现、横向移动、数据收集、数据渗漏、命令与控制（C2）、影响等类型，并且可根据规则类型设置可信白名单；2.支持“attackmovie”功能，能够将自定义时间范围内（5分钟、30分钟、1小时、一天等）终端上发生的基于ATT&CK攻击技术的攻击事件以视频的形式进行回放，可视化展示攻击过程及演变历史。系统安全性模块1.支持网络分域访问，在服务端设置不同网络访问域，资产在同一时间只能访问任意一个网络域，支持资产自主切换不同网络访问域；2.支持基于IP及域名设置探测地址，实时感知违规外联行为，针对违规外联行为支持多种处置方式，包括不做处理、弹窗提醒用户并关机、弹窗提醒用户并断网；3.支持网站漏洞防护，防护内容包括SQL注入、XSS攻击、应用程序漏洞及自定义规则；4.支持智能检测并防御CC攻击，并可进行高、中、低三档设置；5.内核级防火墙（业务间流量东西向隔离）功能，包括IP、端口、协议、流向等细粒度权限控制。微隔离1.支持可视化展示业务与业务、主机和主机之间的通信访问关系和访问详情，包括业务、主机、时间、协议、端口等；2.支持按照资产标签、协议、端口、时间等维度筛选、展示业务和主机的访问关系。产品资质1.具备先进网络安全能力评测证书；2.产品具备勒索病毒的精准识别与全网联动防御功能。服务要求本项目要求提供六年原厂7*24小时维护服务，保证产品能正常运转提供服务。4.综合日志审计服务指标项技术要求性能规格授权资产数350个；每秒事务处理数5500个（条）；标准1U硬件，芯片+操作系统：兆芯6780A+统信UOS，内存：16G（8G*2），硬盘：6T机械硬盘,固态500G;电源：双电源，网口：千兆电口*8（包含管理口*1，HA口*1，业务口*6）千兆光口*4（含2个千兆SFP多模光模块）；功能扩展1.采用解决方案包上传对产品进行功能扩展，无需代码开发。2.支持kafka日志接收转发、大数据安全域同步、APT沙箱报告转发等大数据联调功能。Kafka收发支持SSL加密；3.日志转发与存储支持数字签名与加密，数字签名支持SM3和SHA256，加密模式支持AES和SM4，日志接收支持解密。日志收集1.支持Syslog、SNMPTrap、HTTP、ODBC/JDBC、WMI、FTP、SFTP协议日志收集；支持阿里云SLS日志的采集；2.支持使用代理（Agent）方式提取日志并收集，安装包支持界面下载，且安装支持可视化向导；3.支持对Agent进行统一管控，包括卸载、升级、启动及停止操作，支持将日志收集策略统一分发。日志分析1.对日志样例可进行划词辅助解析，一键生成正则表达式；2.支持解析规则性能以界面列表形式显示，可了解解析耗时、解析成功或失败次数等信息；3.可对日志进行细粒度解析，解析后的日志根据具体日志包含但不限于：日期、发生时间、接收时间、设备类型、日志类型、日志来源、威胁值、源地址、目的地址、事件类型、时间范围、操作主体、操作对象、行为方式、技术动作、技术效果、攻击类型、特征类型、协议、地理信息；4.具备安全评估模型，评估模型基于设备故障、认证登录、攻击威胁、可用性、系统脆弱性等纬度加权平均计算总体安全指数。安全评估模型可以显示总体评分、历史评分趋势。安全评估模型各项指标可钻取具体的评分扣分事件。5.三维关联分析；支持通过资产、安全知识库、弱点库三个维度分析事件是否存在威胁，并形成关联事件。应用性能监控1.通过在目标主机上安装Agent程序，支持监测目标主机的CPU利用率、内存使用率、磁盘使用率、磁盘使用情况、流量等信息；2.支持监控Windows操作系统以下参数：CPU使用率、内存使用率、磁盘使用率、网络发送流量、网络接收流量、网络发送接收总流量、交换区使用率、磁盘总使用率、进程数、线程数；3.支持监控Linux操作系统以下参数：一分钟系统负载、5分钟系统负载、15分钟系统负载、CPU使用率、内存使用率、磁盘使用率、网络发送流量、网络接收流量、网络发送接收总流量、交换区使用率、磁盘总使用率、进程数、线程数；4.支持监控MySQL以下参数：查询缓存命中率、键缓存命中率、立即获得锁数、连接数、线程数、每秒SQL查询数、每秒发送字节、每秒接收字节；5.支持监控Oracle以下参数：库缓存命中率、内存排序比率、词典缓存命中率、SGA数据缓存命中率、重做日志缓存命中率；6.支持监控Apache以下参数：总访问数、写日志次数、每秒发送字节数、长连接数、关闭连接数、空闲活动数、查询DNS数、正在发送数、请求完成数、负载、等待连接数、总数据量、读操作数、工作线程数、空闲线程数、CPU占用率；7.支持监控应用服务器（Tomcat、Weblogic）以下参数：活动线程数、堆内存（已用）、守护线程数。用户管理1.用户支持双因子认证登录，双因子认证令牌支持绑定至具体用户；2.提供一键式故障排除功能；3.提供自助式的升级接口，支持对产品升级、规则升级。产品资质具备计算机软件著作权登记证书。服务要求本项目要求提供六年原厂7*24小时维护服务，保证产品能正常运转提供服务。5.运维审计与风险控制服务指标项技术要求性能规格授权资产数500个；并发字符连接最大数500个；并发图形连接最大数100个；标准2U机架式，芯片+操作系统：飞腾腾锐D2000+统信UOS，内存：16G，硬盘容量：2T，电源：1+1冗余电源，网络接口：千兆业务电口*6、千兆业务光口*4；用户管理1.支持手机APP动态口令认证方式登录堡垒机，新用户首次登录后需强制绑定APP动态口令；支持钉钉/企业微信扫码认证方式登录堡垒机；支持AD、LDAP、RADIUS、吉大正元、CA认证系统联动登录堡垒机；支持多个AD域认证源；支持自动同步AD/LDAP用户。2.支持标准化对接CAS、JWT、SAML2、OAuth2单点登录认证，且支持配置是否自动创建堡垒机中不存在用户。3.支持与Get、Post、Soap发送方式的HTTP短信网关平台进行联动，实现短信动态口令双因素认证机制，如与阿里云短信服务、SendCloud联动。4.支持目录树模式对主机进行管理，可以按主机组、部门、主机网络、操作系统4种视图进行树状目录排列。浏览器代填支持IE、谷歌或火狐浏览器代填应用发布：HTTP/HTTPS协议的web设备，且可以直接代填账号和密码。自动收集和自动授权支持自动收集设备IP、运维协议、端口号、账号、密码、与用户的权限关系，可自动完成授权。数据库兼容性标准支持DB2、Oracle、MySql、SQLServer、PostgreSQL、KingbaseES、DM、GBase8a、GBASE8s的协议运维代理，可实现自动登录，自动登录可直接调用本地windows系统的数据库客户端工具（包括ssms、sqlwb、DBeaver、mysqlcli、MySQLWorkbench、MySQLFront、DbVisualizer、PLSQL、SQLPlus、Toad、ToadforDB2、db2cmd、QuestCentral、pgAdmin3、psql、Ksql、Isql、DIsql、DMmanger、GBaseDateStudio、navicat系列等），无需应用发布前置机。运维工单1.运维人员可以向管理员申请需要访问的设备，申请时可以选择：设备IP、设备账户、运维有效期、备注事由等，并且运维工单以邮件方式通知管理员；2.管理员将资产（包括主机、主机账户、应用账户）预授权给用户，以便用户申请预授权工单时添加资产，可跨部门授权，审批通过后能够跨部门运维，实现了跨部门运维的权限最小化；3.提供紧急运维工单能力，通过赋予部分运维员紧急运维权限，使其可以不通过审批即可进行主机运维；支持配置紧急运维工单告警，可以选择多个告警对象；4.提供工单离岸审批能力，由堡垒机生成审批码邮件/短信/OTP发给审批员，支持申请者自助输入审批员提供的审批码，并且一次验证后失效。主机自动改密支持定期自动修改windows服务器、网络设备、linux/unix等目标设备密码功能，且自动改密不借助于Agent，无需开放445、135、139等高危端口。专用客户端运维1.支持Windows/macOS操作系统下C/S架构的堡垒机专用客户端，可通过此专用客户端登录堡垒机，对堡垒机进行简单的管理及运维资产操作；2.支持UOS/麒麟等国产操作系统下C/S架构的堡垒机专用客户端登录堡垒机并进行管理及运维操作；3.运维客户端自带运维工具，可不依赖xshell/Securecrt/mstsc等工具进行运维操作；安全策略1.支持对重要命令进行审核：运维人员执行命令后，需等到管理员审批通过后才可执行成功。可选择性设置自定义时间内未审批，对命令自动放行。执行命令的运维人员在运维待审批命令时，可选择终止此命令。2.对于审批操作，可以设置多级审批人及审批人有权限审批的对象，审批对象类型支持用户和用户组两种，审批类型包括：运维工单、密码工单、预授权工单、紧急运维工单、自动运维任务、命令审批、运维二次审批等；3.支持添加命令列表和上传脚本两种方式自动推送命令任务，如可自动备份交换机/路由器的配置信息、可自动执行周期任务；并将结果以邮件/FTP/SFTP的方式发送给相关管理员。系统管理1.支持自身审计，包括但不限于：系统状态检测、登录日志、用户日志、资产日志、策略操作日志、审计日志、配置日志、维护日志、运维日志等；2.支持系统日志报表统计功能，包括但不限于登录日志统计、配置日志统计、运维访问日志统计、工单报表等，可以导出报表；3.支持中文、英文、繁体中文，并可配置是否允许用户进行语言切换，支持自定义WEB管理界面的LOGO。产品资质产品获得权威性单位认可，近两年年入围国际性咨询机构报告，如Gartner报告等。服务要求1.本项目要求提供六年原厂7*24小时维护服务，保证产品能正常运转提供服务。2.提供一名原厂技术支撑专家具备高级工程师-信息技术（信息安全）、信息系统项目管理师（高级）、信息安全等级测评师（中级）、CISP-CISO证书。6.周期性漏扫服务技术指标指标要求期限及频率1年2次服务范围用户指定系统服务内容采用业界认可的、专业的扫描工具，通过定制的扫描规则，形成安全扫描策略文档，对用户指定主机进行一次全面的自动化安全扫描，人工验证扫描结果，并输出安全扫描报告及修复建议。输出物《漏洞扫描报告》工具要求须提供漏洞扫描系统。漏洞扫描系统1.产品具备国家信息安全漏洞库《CNNVD兼容性资质证书》；2.产品厂商为《GA/T1139-2014信息安全技术数据库扫描产品安全技术要求》标准起草单位之一；3.系统为B/S架构，并采用SSL加密通信方式，用户可以通过浏览器远程访问设备，方便用户操作，支持多用户同时登录操作；4.厂商漏洞特征库大于200000条；提供详细的漏洞描述和对应的解决方案描述；漏洞知识库与CVE、CNNVD、Bugtraq、CNCVE、CNVD等国际、国内漏洞库标准兼容；5.支持对各种网络主机、操作系统、网络设备（如交换机、路由器、防火墙等）、常用软件以及应用系统的识别和漏洞扫描；6.具备弱口令扫描功能，支持弱口令扫描协议数量≥22种，包括FTP、SMB、RDP、SSH、TELNET、SMTP、IMAP、POP3、Oracle、MySQL、MSSQL、DB2、REDIS、MongoDB、Sybase、Rlogin、RTSP、SIP、Onvif、Weblogic、Tomcat、SNMP等协议进行弱口令扫描，允许用户自定义用户、密码字典；7.支端口探测方式≥7种，如TCPACK、TCPSYN、TCPConnect、TCPNull、TCPXmas、TCPWindow、TCPFin等；8.支持Oracle、MySQL、SQLServer、DB2、Informix、PostgreSQL、Sybase、达梦、人大金仓的授权数据库漏洞扫描；9.数据库扫描支持的检测类型大于10种，至少包括弱口令、执行权限过大、访问控制漏洞、提权漏洞、缓冲区溢出漏洞、缺省配置、访问权限绕过、PL-SQL注入、危险程序、安全信息查看等。7.周期性渗透测试服务技术指标指标要求期限及频率1年2次服务范围用户指定系统服务内容通过真实模拟黑客使用的工具、分析方法来对信息系统进行模拟攻击，并结合智能工具扫描结果，由高级工程师进行深入的手工测试和分析，识别工具弱点扫描无法发现的问题。主要分析内容包括逻辑缺陷、上传绕过、输入输出校验绕过、数据篡改、功能绕过、异常错误等以及其他专项内容测试与分析，重点发现信息系统应用层业务流程和逻辑上的安全漏洞和敏感信息泄露的风险，输出渗透测试报告。输出物《渗透测试报告》工具要求须提供WEB应用弱点扫描工具。WEB应用弱点扫描工具1.产品具备国家信息安全漏洞库《CNNVD兼容性资质证书》；2.产品获得IT产品信息安全认证证书；3.产品厂家应为《GB/T37931-2019信息安全技术Web应用安全检测系统安全技术要求和测试评价方法》标准起草单位之一；4.支持扫描的第三方组件：大汉CMS,PHPCMS,DEDECMS,Discuz,ECSHOP,WordPress,eWebEditor,FCKeditor,Struts2等国内外常见第三方组件；5.支持在漏洞知识库中单独选择某漏洞直接下发扫描任务以验证是否存在该漏洞；6.支持多种网站认证方式：支持包括Basic、Digest、NTLM在内的认证方式，支持HTTP和SOCKS代理，并支持各种代理的认证方式；7.支持端口扫描和服务的协议版本识别，支持自定义扫描端口范围；8.支持IP地址的形式下发扫描任务并自动发现存在的web资产；9.漏洞知识库支持漏洞描述、修复建议、CVEID、CNCVEID、CNVDID、CNNVDID、Bugtraq、CVSS分值、漏洞名称、风险等级、发现日期等维度查看；10.漏洞特征库大于11000条，漏洞评分支持CVSS3.0标准；11.提供审计功能，能够对登录日志、操作日常进行记录和查询，并可以将日志导出备份操作。8.周期性基线审查服务技术指标指标要求期限及频率1年1次；服务范围用户指定系统；服务内容根据既定的检查规范及方法，采用人工检查用表（checklist）、脚本程序或基线扫描工具对评估目标范围内的主机系统安全、数据库安全、中间件安全等进行系统的策略配置、服务配置、保护措施以及系统和软件升级、更新情况，是否存在后门等内容进行检查。服务要求检查内容包括但不限于：1.操作系统安全检查1.1支持对Windows、Linux、Aix、Unix等系统进行安全漏洞及安全配置缺陷的检查与评估。1.2检测内容包括（不限于）：身份鉴别方式、帐号安全设置、远程管理方式、多余帐号和空口令检查、默认共享检查、文件系统安、网络服务安全、系统访问控制、日志及监控审计、拒绝服务保护、补丁管理、病毒及恶意代码防护、系统备份与恢复、硬件冗余情况、硬盘分区格式等安全情况。2.数据库安全检查2.1支持对MySql、Oracle、DB2、sql等数据库系统进行安全漏洞及安全配置缺陷的检查与评估。2.2检测内容包括（不限于）：身份认证方式、帐号安全设置、管理权限和角色设置、多余帐号和缺省口令检查、数据库目录和文件系统安全、监听器管理设置、日志及监控审计、数据库版本和补丁管理、数据库备份策略、硬件冗余情况等安全情况。3.网络设备配置检查3.1支持对防火墙、入侵检测（入侵保护）系统、路由器、交换机等网络和网络安全设备进行安全漏洞及安全配置缺陷的检查与评估。3.2检测内容包括（不限于）：帐号安全设置、管理权限和角色设置、多余帐号和缺省口令检查、备份和升级情况、访问控制、路由协议、日志审核、网络攻击防护及端口开放、远程访问等安全情况。4.中间件安全检查4.1支持对weblogic、apache、IIS、WAS等进行安全漏洞及安全配置缺陷的评估。4.2检测内容包括（但不限于）：系统和中间件的可用性、系统和中间件的完整性、系统中间件和应用的性能、通过与系统使用中关键人员的访谈来评估系统整体要求、对系统结构及运营架构进行高层面的评测、定位系统的运作流程中潜在的风险区域、产生基于中间件的最佳应用准则的建议报告等。输出物《基线检查报告》9.安全培训服务技术指标指标要求期限及频率1年2次服务范围指定人员服务内容对单位全体人员、管理人员、技术人员等不同用户群体开展针对性网络与信息安全培训，提高受众个人隐私保护、常规攻击防护、信息安全管理等能力，增强个人网络安全防护意识，规避网络攻击风险。服务要求1.针对管理和技术两个层面制定阶梯性人员能力培训计划，通过安全培训使相关人员的安全意识、安全技术能力及安全管理能力有明显提升。2.管理人员主要包括：高层管理、业务专家等。3.培训目标：对管理人员的培训，使他们了解国家相关部门对系统信息安全管理和建设的相关标准，同时建立起一套具有针对性和适用性的安全管理办法。4.技术人员主要包括：操作人员、开发人员、维护人员等。5.培训目标：对技术人员的培训，使他们了解信息系统所面临的严峻安全威胁和挑战，以及如何进行全面有效的安全防护措施。6.全员培训主要包括：安全意识培训等。7.培训目标：全体成员的培训，、让大家对信息安全的有初步的认识和逐步提高安全意识，让安全事故可以得到有效的避免。输出物《网络安全培训大纲》《网络安全培训课件》。10.应急响应服务技术指标指标要求期限及频率1年1次服务范围所有安全事件服务内容服务期内，通过远程和现场支持的形式协助客户对遇到的突发性安全事件进行紧急分析和处理。服务要求当出现安全事件时，必须及时进行响应，具体要求包括：1.技术人员必须在2小时内到达现场；2.对入侵事件进行分析，查找原因；3.抑制入侵事件的进一步发展，将事故的损害降低到最小化；4.排除安全隐患，消除安全威胁，协助恢复系统正常运作；5.提交应急响应报告及系统安全改进方案。输出物《安全事件应急响应报告》工具要求须提供应急处置工具箱。1.任务管理（1）支持新建应急处置任务，包括事件名称、事件等级、事件发生时间、事件发生单位关键信息记录。2.资产与数据管理（1）支持按资产上传专用数据采集工具所生成的采集数据包，并对上传数据进行分析；（2）支持添加多个处置对象资产，分别上传所采集的数据信息。3.数据分析（1）支持设置线索，发现关键可疑行为，包括IP线索、关键词线索、文件名线索、时间线索的设置；（2）支持对所采集的系统配置数据、使用痕迹数据、运行状态数据、恶意代码情况、系统日志、中间件日志等进行数据分析；（3）支持按照策略进行自动分析，包括非授权时间登录、口令爆破、恶意启动项、DDOS、可疑账号、木马回连、webshell攻击、SQL注入、java反序列化攻击等主机安全事件、网站安全事件、病毒感染事件等高危、中危、低危、信息等级的安全事件进行分析，形成可疑行为事件。（4）支持手动分析，支持处置人员查看采集的数据信息，标记关键数据形成可疑行为事件；（5）支持根据所提供的线索自动发现关键可疑行为并进行标记；（6）可疑行为信息应可疑行为名称、行为时间、行为描述、行为主机、危险等级等关键信息；（7）支持在处置过程中的发现，动态调整线索内容并进行重新分。4.情况调查（1）支持安全事件基本情况调查，包括系统名称、备案等级、时间发生时间、调查处置时间的记录，支持处置过程人员记录，包括涉事单位人员、研发单位人员、运维单位人员、调查人员相关信息记录。（2）支持访谈笔录的管理并提供事件调查详表、事件调查简表、人员访谈记录等常用表单的模板下载，支持这些表单填写后的上传、下载与删除。（3）支持处置定性，对事件发生原因、现场调查情况、事件后果评估等定性信息记录。5.处置报告（1）支持生成应急处置报告，报告内容包括事件基本信息、后果评估等定性信息记录。6.知识库要求（1）包括应急处置知识、应急处置案例、政策法规。