安全感知管理平台建设需求

安全感知管理平台建设需求1.需求内容序号商品名称参数要求数量备注1安全感知管理平台1台2威胁检测探针1台3终端安全管理系统软件1套4资源访问控制系统1套技术参数及功能要求（1）安全感知管理平台功能项功能要求说明性能指标性能参数：在带宽性能1Gbps时存储时长≥1500天/1Gbps。硬件参数：规格≥2U，CPU≥2颗hygon5380处理器，主频不低于2.5GHz，核数≥16C，内存≥4*32GBDDR42933，系统盘≥2*240GBSATA，数据盘≥10*4T，标配盘位数≥12，电源：白金，冗余电源，接口：支持不低于4千兆电口+2万兆光口。配置要求要求设备相关配置为国家信息安全测评中心发布安全可靠测评目录内，提供相关证明材料。大屏可视支持安全态势的可视化呈现，以大屏的方式从全网安全态势感知大屏、分支安全态势、安全事件态势、全网攻击、资产态势、网络安全指挥调度安全态势、设备运行态势、外联风险态势大屏等提供不少于16块大屏展示界面。支持大屏轮播及自定义大屏顺序设置和大屏名称。自定义统计周期资产组划分、选择播放大屏及轮播时间间隔。资产发现支持通过主动发送微量包的扫描方式探测潜在的服务器（影子资产）以及学习服务器的基础信息，资产指纹信息包括资产类型、端口、操作系统、MAC地址、主机名等。支持资产属性重新识别，当发现资产数据不准确时，可清空该资产属性，如主机名、备注、操作系统、标签、地理位置、硬件信息、应用软件信息、账号信息、责任人信息、端口信息等，重新发起识别后，平台会自动补齐资产属性，可批量操作。支持安全基线配置监测，可监测到开放了禁用端口、协议、属性变更等，已IP地址、MAC地址、所属租户和检测到时间来判断是否处置。支持按照重要性级别识别Web明文传输监测、配置风险（风险端口、配置不当）监测列表，如资产组、发现时间、处理状态等。资产全生命周期管理支持自定义资产多级分支管理，最多可至15级分支。支持资产全生命周期自动管理，包括资产自动发现、多级资产、资产入库审核、资产离线风险识别、资产退库、资产数据更新，责任人管理机制等。联动行为管理支持联动原有行为管理设备，支持上网行为管理做资产用户名对接，精准识别终端资产责任人。支持联动原有行为管理设备，支持与行为管理设备的联动，包含上网提醒、冻结账号等。DNS日志接入支持DNS服务器日志导入，可以接入DNS服务器的日志，安全分析引擎将结合DNS服务器的日志，定位出DNS服务器代理风险外连场景下真实源IP，从而有效地进行风险处置闭环。脆弱性管理支持整体展示服务器脆弱性风险、热点漏洞情况、脆弱性风险详情（漏洞风险、配置风险、弱密码、web明文传输、可用性风险），支持第三方漏扫报告导入和解析，可按资产组分类上传。支持云镜对接，配置映射域名和IP，监控资产为域名资产信息。弱口令检测密码检测技术基于UEBA学习技术（无监督自我学习）提取登录成功的特征，通过UEBA技术对响应体内容和登录跳转路径进行持续学习训练登录成功特征，包括响应体内容Json、响应体关键字Keyword、响应体MD5值、响应体长度Length、登录跳转路径Location，可实时自动生成学习到的登录成功规则。弱密码检测规则支持高度自定义，包括规则名称、生效域名、长度规则、字符规则、字典序、web空密码、账号白名单、密码白名单、txt文件格式导入。弱口令识别弱密码识别支持主动扫描，支持加密协议的弱口令登录检测，支持SMB、MySQL、Oracle、RDP、SSH、Redis、MongoDB、ElasticSearch、MSSQL等协议。配置不当支持基于流量检测业务服务器的配置不当情况，检测列表包含服务器、所属业务、所属分支、配置不当类型、风险等级、发现时间等，支持配置不当类型下钻，展示配置不当详情，提供解决方案和数据包举证，并支持导出配置不当报告。漏洞分析支持流量实时识别漏洞分析，漏洞分析类型包含配置错误漏洞、OpenSSH漏洞、OpenLDAP等操作系统、数据库、Web等，页面上支持展示业务脆弱性风险分布、漏洞类型分析、漏洞态势与危害和处置建议，并支持导出脆弱性感知报告。安全日志检测支持安全检测日志、审计日志、第三方日志存储，日志类型包括漏洞利用攻击、网站攻击、僵尸网络、业务弱点、邮件安全、文件安全、网络流量、DNS、HTTP、SSL协议识别、数据库、文件审计、POP3、SMTP、IMAP、LDAP、FTP、Telnet等。Webshell具备webshell通信流量检测，可检出加密（如冰蝎）的通信流量，具备650+webshell规则检测，且覆盖webshell整个攻击阶段检测，包括webshell上传点探测、webshell上传下载、webshell通信。挖矿专项检测支持挖矿专项检测页面，具备挖矿攻击事前、事中和事后全链路的检测分析能力，综合运用威胁情报、IPS特征规则和行为关联分析技术，如检测发现文件传输（上传下载）阶段的异常，对挖矿早期的准备动作即告警。平台内置挖矿安全知识库，对常见的挖矿如：Bluehero挖矿蠕虫变种、虚拟货币挖矿、EnMiner挖矿病毒、PowerGhost挖矿病毒、DDG挖矿病毒、Docker挖矿、DDG挖矿变种、GroksterMiner挖矿病毒、Linux挖矿木马、ZombieBoy挖矿木马等提供详细的背景介绍、感染现象、详细分析、相关IOC（MD5、C2、URL）、解决方案。文件威胁分析文件威胁分析支持平台内置的静态文件检测引擎、AI智能引擎，利用LSA,AutoEncoder,LogicRegression,SVM,随机森林，XGBoost等多种机器学习算法组合进行综合研判。支持采用AI技术针对无文件落地的恶意脚本进行检测。联动终端检测响应支持与同厂商的安全态势感知平台进行安全联动，支持管理员在安全感知管理平台管理界面下发快速查杀任务，并查看任务状态、结果并进行处置。支持管理员在同厂商的安全态势感知平台管理界面下发一键隔离指令，对终端所有连接进行阻断，防止病毒进一步扩散。支持将终端安全软件客户端检测出来的恶意文件事件、暴力破解事件的日志上报到同厂商安全态势感知平台，安全态势感知平台进行分析和展示。邮件威胁分析支持对smtp、imap、pop3、webmail等邮件协议审计，提取邮件正文和附件中的流量，并对邮件附件、正文链接、邮件行为、发件人等多维度进行规则和机器学习检测，从而识别出钓鱼邮件、比特币欺诈、垃圾邮件等恶意邮件。服务能力证明所投产品的生产厂商应是国家互联网应急响应中心网络安全应急服务支撑单位（甲级），提供有效证书的复印件。所投产品厂商需是国家信息安全漏洞共享平台CNVD用户组成员。异常流量分析支持按照对外业务流量可视、横向流量可视、外联流量可视等开放的业务流量情况，展示服务器流量排行、最活跃源主机的内网服务器的流量情况，支持全球地图展示整体外联流量情况。日志关联分析结果可视化支持对700+网络安全设备规则，包括网络设备、安全设备、中间件、操作系统等；接入方式。支持文件、数据库、API、Syslog、FTP、Snmptrap、Kafka、wmi、webservice、winlogbeat等方式进行日志行接入，并支持用户对日志进行自定义解析规则，支持接入设备自动发现功能。主机行为EBA分析支持利用EBA技术进行资产的行为分析，对这些对象进行持续的学习和行为画像构建，以基线画像的形式检测异于基线的异常行为作为入口点，结合以降维、聚类、决策树为主的计算处理模型发现异常用户/资产行为。并支持用户对EBA基线进行自定义调整，优化模型。事后异常行为检测具备元数据行为分析引擎：httpflow、dnsflow、adflow、icmpflow、maillflow等,通过异常行为分析，结合各类机器学习算法完成未知威胁检测。包括：内网穿透、代理、远控、隧道、反弹shell等事后检测场景。先进性证明为保障安全服务效果，满足数据和网络安全要求，所投态势感知平台产品厂商需通过可信云评估，提供相应的可信云认证报告。要求所投产品的生产厂商具备国家网络安全审查技术与认证中心的信息安全软件开发服务一级（一级＞二级＞三级）资质，提供有效证书复印件。威胁视角支持展示处置状态、资产类型、威胁等级、攻击阶段（脆弱性风险-侦察-入侵-命令控制-横向扩展-目的达成）、威胁类型等安全事件的视角，展示内网发生的所有安全事件。告警视角的攻击者和受害者的关系，支持展示：威胁描述、攻击方向、风险资产数、威胁等级、攻击阶段、威胁类型、检测引擎、最近发生时间、处置状态、操作等。可针对重点关注的资产、重点关注的威胁类型及显示业务不规范等告警筛选。策略模板处置中心和重保中心的多个模块的安全事件内置多个处置策略模板，不仅支持与同品牌防火墙、终端安全响应系统、超融合、负载均衡联动封锁、访问控制，支持与终端安全响应系统联动一键查杀、进程取证，支持关闭超融合上的中毒虚拟主机，支持对超融合上中毒的虚拟主机进行快照。售后服务能力厂商应是国家互联网应急响应中心网络安全应急服务国家级支撑单位。为确保服务质量响应效果，要求提供服务厂商在本地有办事处原厂人员，及时上门支撑相关问题。为确保应急问题处置及时性，要求投标供应商，出现安全问题后，工作时间1小时内上门处置，非工作时间2小时内上门处置，降低安全事件影响面。提供三年原厂质保及原厂免费现场服务，产品的安装、培训由原厂工程师完成实施。（2）威胁检测探针功能项功能要求说明性能规格性能参数：网络层吞吐量≥1Gbps，应用层吞吐量≥500Mbps。硬件参数：规格≥1U，内存大小≥8G，硬盘容量≥128GSSD，电源：单电源，接口：支持不低于6千兆电口+4千兆光口SFP。配置要求要求设备相关配置为国家信息安全测评中心发布安全可靠测评目录内。部署模式旁路部署，支持探针接入多个镜像口，每个接口相互独立且不影响。系统状态系统使用资源状态、吞吐量、接口状态、安全感知平台整体展示。对象定义1.支持根据数据包方向、协议、端口、IP地址等信息自定义应用规则来识别应用类型。2.支持通过规则ID、名称、攻击影响、威胁等级、字符串、正则表达式及匹配方向来自定义web应用检测规则库、自定义IPS规则库及自定义登录规则库。3.支持自定义内网服务器IP组、客户端IP组，用于识别资产信息。定义的时间段内不能访问或能访问某服务器。内网资产具备主动发送少量探测报文，发现潜在的服务器（影子资产）以及学习服务器的基础信息，如：操作系统、开放的端口号等。违规访问1.检测内网主机的访问情况是否符合规定，需要人工事先进行梳理好访问关系再进行配置。策略从上到下进行匹配，可以通过右侧置顶功能对策略优先级进行调节。2.支持IP，IP组，服务，端口，访问时间等定义访问策略，主动建立针对性的业务和应用访问逻辑规则，包括白名单和黑名单方式。WEB智能检测支持命令注入检测、PHP代码检测、XSS攻击检测、Webshell上传检测、SQL注入检测、XXE攻击检测、JAVA代码检测、SQL非注入型检测、MYSQL解析增强、php反序列化检测等自定义配置启用、高检出、低误报模式。弱口令检测支持多种类型弱口令策略可选；支持自定义FTP弱口令检测、口令暴力破解检测不同格式和爆破次数，规则设置如空口令、用户名和密码相同、长度、弱口令列表等。网站攻击检测支持SQL注入、XSS攻击、网页木马、网站扫描、WEBSHELL、跨站请求伪造、系统命令注入、文件包含攻击、目录遍历攻击、信息泄露攻击、Web整站系统漏洞、自定义WAF规则、WAF云防护等网站攻击检测。漏洞利用攻击检测支持Database漏洞攻击、DNS漏洞攻击、FTP漏洞攻击、Mail漏洞攻击、NetworkDevice、Media漏洞攻击、Shellcode漏洞攻击、Scan漏洞攻击、System漏洞攻击、Telnet漏洞攻击、Tftp漏洞攻击、IPS云防护、Web漏洞攻击等服务漏洞攻击检测。支持Application漏洞攻击、File漏洞攻击、Scan漏洞攻击、Shellcode漏洞攻击、System漏洞利用攻击、WebActivex等客户端漏洞攻击检测。支持FTP、IMAP、MSSql、Mysql、Oracle、POP3、RDP、Sip、Redis、Ldap、Nntp、Openssl、SMTP、SSH、Telnet、Tomcat、Sybase、Xmpp、Zabbix、Weblogic、Wordpress、VNC等72种协议暴力破解检测。异常流量检测支持标准端口运行非标准协议，非标准端口运行标准协议的异常流量检测，端口类型包括3389、53、80/8080、21、69、443、25、110、143、22等。支持IRC、HFS、Socks、HTTP、DNS、ICMP、端口异常、上下行流量、Ngork、FRP等协议及登录异常流量检测。安全策略支持检测出网络中的网络拓扑设备进行绘制，更多直观可视化查看网络整体情况。支持通过白流量过滤的方式，过滤安全网站访问，提升性能。僵尸网络行为检测支持HTTP未知站点下载可执行文件、浏览最近30天注册域名、浏览恶意动态域名、访问随机算法生成域名、暴力破解攻击、反弹连接、IRC通信等僵尸网络行为检测。审计白名单审计白名单支持源目IP、源目端口和日志类型、日志来源。特征库内置URL库、IPS漏洞特征识别库、应用识别库、WEB应用防护识别库、僵尸网络识别库、实时漏洞分析识别库、恶意链接库、白名单库。服务能力要求所投产品的生产厂商应是国家互联网应急响应中心网络安全应急服务支撑单位（甲级）。厂商是微软安全响应中心的MAPP计划成员。厂商为国家信息安全漏洞共享平台CNVD用户组成员。抓包分析支持流量抓包分析，可定义抓包数量、接口、IP地址、端口或自定义过滤表达式。管理功能支持设备内置简单命令行管理窗口，便于基础运维调试；可实时监控设备的CPU、内存、存储空间使用情况；能够监控监听接口的实时流量情况。部署支持多台采集器同时部署于客户网络不同位置并将数据传输到同一套分析平台。先进性要求具备国家泰尔实验室检测认证。厂商需是国家反网络病毒联盟ANVA成员单位。售后服务能力厂商应是国家互联网应急响应中心网络安全应急服务国家级支撑单位。为确保服务质量响应效果，要求提供服务厂商在本地有办事处原厂人员，及时上门支撑相关问题。为确保应急问题处置及时性，要求投标供应商，出现安全问题后，工作时间1小时内上门处置，非工作时间2小时内上门处置，降低安全事件影响面。提供三年原厂质保及原厂免费现场服务，产品的安装、培训由原厂工程师完成实施。（3）终端安全管理系统软件功能项功能要求说明产品形态产品可以纯软件交付，包含管理控制中心软件及终端客户端软件，其中管理控制中心可云化部署；同时也支持硬件管理平台交付；提供6个服务器防护授权。一体化管控单一管理控制中心可统一管理分别部署在WindowsPC、Windows服务器、Linux服务器以及服务器的客户端软件。管理可视化采用B/S架构的管理控制中心，具备终端安全可视，终端统一管理，统一威胁处置，统一漏洞修复，威胁响应处置，日志记录与查询等功能。多维度威胁展示提供勒索病毒整体防护体系入口，直观展示最近七天勒索病毒防护效果，包括已处置的勒索病毒数量、已阻止的勒索病毒行为次数、已阻止的未知进程操作次数、已阻止的暴力破解攻击次数。云端威胁分析支持跳转链接至云端威胁情报中心，针对已发生的威胁提供详细的分析结果，包含威胁分析、网络行为、静态分析、分析环境和影响分析。资产管理支持系统信息的清点，包括操作系统及其版本、环境变量、内核模块、运行服务、启动项、计划任务、注册表、网络连接、开放共享以及终端替代率（真替真用）。支持对终端账户信息进行梳理，了解账号权限分布概况以及风险账号分布情况，可按照隐藏账号、弱密码账号、可疑root权限账号、长期未使用账号、夜间登录、多IP登录进行账号分类查看，支持统计最近一年未修改密码的账户。风险评估支持基于系统内置弱密码字典和自定义弱密码字典的检查功能，弱密码检测支持至少包括SSH、RDP、MySQL、Tomcat、Redis等应用类型，可按照空密码、自定义弱密码、密码长度小于8、字符种类小于3等常见弱密码类型进行分类查看。支持勒索风险管理功能，持续跟踪最新的勒索情报和技战法，实时展示出资产中的入侵风险，包括勒索风险端口、勒索应用弱密码和勒索风险漏洞，为用户做勒索风险加固提供数据支撑。终端日志报表支持根据统计周期、终端名称、IP地址，补丁信息和漏洞等级等多维度的入侵检测日志，杀毒扫描日志，微隔离日志，合规检测日志，管理员操作日志，运维日志，联动日志等的日志查询和检测。升级管理支持客户端的错峰升级，可根据实际情况控制客户端同时升级的最大数量，避免大量终端程序同时更新造成网络拥堵或I/O风暴。威胁检测通过智能识别终端环境情况（低配硬件、老旧设备、虚拟化等）和当前终端资源占用，在闲时实时监控和病毒扫描场景，都可智能调整客户端的资源占用（CPU、IO等），为业务让出资源，不卡业务，对业务零摩擦。终端自保护支持禁止黑客工具启动，包含：冰刃、xuetr、ProcessHacker、PCHunter、火绒剑、Mimikatz的自启动，可以防止黑客攻击。针对Windows系统，支持实时监控所有非授信驱动及黑客工具的装载、运行等行为,发现风险行为时进行提示和拦截，同时，支持设置敏感时间段，监控敏感时段内可疑驱动的装载、运行等行为，发现风险行为时进行提示和拦截。文件实时监控可实时监控文件的状态，在文件读、写、执行或者进入主机时主动进行扫描，支持根据用户性能偏好设置高、中、低3种防护级别。Webshell事件处理支持展示终端检测到的WebShell事件及事件详情，包括：恶意文件名称，威胁等级，受感染的文件，发现时间，检测引擎，文件类型，文件名，文件Hash值，文件大小，文件创建时间；可配置WebShell实时扫描，一旦发现WebShell文件，可自动隔离或仅上报不隔离。勒索病毒专防支持用户直接对勒索病毒的家族名、病毒名、加密文件后缀名执行链接查询，可通过直接上传加密文件的方式确定勒索病毒类型，如果能解密可以提供必要的解密工具。支持对勒索入侵的主流方式RDP暴破做全方位保护，包括RDP登录校验、RDP文件加白二次校验等功能。支持勒索可疑行为检测，通过行为AI能力对勒索信、命令行、修改文件等多种躲避式投放勒索病毒的高危高频场景进行精准告警和自动拦截。暴力破解检测统计单个攻击源及分布式攻击源的暴力破解检测，支持按照RDP、SMB和SSH类型进行封堵并自定义爆破阈值，可对封停时间进行自设置。先进性证明提供国际权威机构AV-Test2022年出具的测试报告，至少含有两项是满分。提供终端安全产品所使用检测引擎入围VirusTotal平台的资质证明。威胁处置构建全网文件信誉库，当一台终端发现某一病毒文件，全网可进行感知并进行针对性查杀，支持处置病毒时选择是否在其它终端上同步处置。具备强力专杀云端下发通道，支持在管理端批量下发强力专杀工具到内网各终端快速响应终端威胁。漏洞防护支持对Windows终端的漏洞情况进行扫描，并查看漏洞具体情况及KB号，并显示具体修复情况。支持流行Windows高危漏洞的轻补丁免疫防御，支持Windows补丁批量一键修复。微隔离流量线详情支持展示该流量线对应的控制策略；图形化显示服务器间流量关系，包括访问详情、流量趋势等；支持图形化显示业务系统、服务器及流量详情。安全态势感知平台的联动响应支持与同厂商的安全态势感知平台进行安全联动，支持管理员在安全态势感知平台管理界面下发快速查杀任务，并查看任务状态、结果并进行处置。支持管理员在同厂商的安全态势感知平台管理界面下发一键隔离指令，对终端所有连接进行阻断，防止病毒进一步扩散。同厂商的安全态势感知平台检测到某主机有僵木蠕毒的C2通信时，支持手动或自动化将恶意域名信息下发到本产品做C2通信的封锁拦截，实现精准防远控，且安全态势感知的此事件不再重复告警。售后服务能力厂商应是国家互联网应急响应中心网络安全应急服务国家级支撑单位。为确保服务质量响应效果，要求提供服务厂商在本地有办事处原厂人员，及时上门支撑相关问题。为确保应急问题处置及时性，要求投标供应商，出现安全问题后，工作时间1小时内上门处置，非工作时间2小时内上门处置，降低安全事件影响面。提供三年原厂质保及原厂免费现场服务，产品的安装、培训由原厂工程师完成实施。（4）资源访问控制系统序号具体技术(参数)要求1资源访问控制系统（2套）一、整体描述1）采用高可靠架构，多工作节点统一配置管理，包含1个资源访问控制系统工作节点。2）提供一套基于HTML5（无需安装客户端/插件）的资源访问系统，用户通过本系统可以访问其授权范围内的资源，且用户的所有访问/操作行为均可完整记录，并可查询和审计。3）配合应用开发公司，结合现有校园手机APP（安卓和iOS，基于H5的校园应用）和微信小程序（智慧校园APP作为移动校园统一访问入口，通过管理与业务管理中心实现事项、应用、服务、资讯、消息、日程的统一管理）进行无感知认证对接，学生登录校园手机APP和微信小程序后即可后端通过VPN安全访问校内应用，无须再次登录VPN。4）对接学校现有Web资源发布系统，无论用户从内网或外网访问资源时，均使用同一套域名即可。二、配置项1）国产品牌，拥有自主知识产权，中文界面。2）提供虚拟机模板，导入虚拟机模板的系统安装方式。

3）节点数量：1个资源访问控制系统工作节点。4）提供无限制注册用户数授权及无限制并发用户数授权。三、WebVPN功能1）支持通过系统访问HTTP、HTTPS、WebSocket、HLS、RDP、VNC、Telnet、SSH等协议的资源，且无须在系统中通过域名或别名对资源进行预先定义或适配；2）支持用户通过门户中导航块直接访问资源，且支持通过门户中的地址栏自定义其访问目标；3）不使用客户端的情况下，全网资源访问无需配置泛解析域名即可进行资源访问；4）支持用户通过IPv4或IPv6利用本系统访问IPv4、IPv6资源；5）针对HTTP、HTTPS协议的资源，支持单点登录功能，用户登录门户后再访问目标资源时，无须重复认证；6）支持PC、iOS（iPhone/iPad）、Android等操作系统的移动设备，无需安装客户端/插件，直接通过支持HTML5的浏览器使用系统全部功能；7）用户的其他应用流量不经过本系统转发，降低系统负载，减少系统所需带宽；8）无需针对基于HTTP/HTTPS的应用进行适配，包括绝对路径/特殊代码的适配、子域名/外链的适配、网站改版的更新适配；9）支持在用户访问目标资源时提示用户正在使用WebVPN环境访问；支持用户自行选择极速模式以加速WebVPN访问效果；10）支持使用国密算法进行流量传输；11）支持对业务系统进行加密隐藏；支持生成用户独有加密链接，支持生成一次性链接，登出后即失效；12）支持动态使用IP地址池中的多个地址，且支持对整体以及特定用户进行下载频率控制，避免被误判为攻击或恶意访问。四、用户及权限管理1）支持临时账号管理；2）支持对接外部统一认证系统，包括LDAP、RADIUS、CAS、OAuth、企业微信、钉钉等；3）支持提供对第三方提供接口进行认证；4）支持对外部认证系统内账