版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
IT资产和终端安全管理平台服务需求1.项目概况为了满足国家对IT资产和终端的安全监管要求,结合当前的实际情况,通过本项目的建设,实现对省级IT资产信息的采集、漏洞管理、事件管理及态势展示,并对接入PC终端的安全接入、安全漏洞采集、安全状态监测、统一病毒防护等管理目标,全面掌握省级业务外网中IT资产和终端已经发生或高概率会发生的安全问题风险,及时开展安全运营及监测的技术响应支撑,有效形成统一的IT资产和终端的威胁事件定位分析视角,构建多维度的日志、事件、问题等精细化安全分析,落实好省级数字电子业务外网IT资产管理和PC终端安全管理工作要求,提升省数字的整体安全保障能力。2.项目内容各服务明细如下:序号服务名称最高预算(万元)1IT资产管理流量探针服务2IT资产安全管理成品软件租赁服务3IT资产安全管理运营服务4终端安全管理成品软件租赁服务5终端安全管理运营服务3.服务期限基础设施服务和成品软件租赁服务的服务期为12个月,以采购人确认通过的基础设施和成品软件租赁服务的交付验收为本项目服务起始时间。运营服务的服务期以采购人确认的服务启动报审备案时间为准,服务期为12个月。4.服务内容应为采购人提供数字IT资产和终端安全管理平台的专业基础设施服务、成品软件租赁及许可服务、系统业务运营服务,具体需求如下:4.1.专业基础设施服务4.1.1.IT资产管理流量探针服务(一)服务内容需要为采购人提供为期12个月的IT资产管理流量探针租赁服务,要求在省数字电子业务外网业务核心网骨干网汇聚节点(具体位置由采购人具体指定)各部署1个流量探针,并基于流量深度报文检测识别终端资产信息,同时对流量资产进行风险检测,并上报资产安全分析平台。(二)技术要求服务单位提供IT资产管理流量探针服务应由软硬一体化构成,应支持基于流量实现资产识别和威胁检测功能,能基于流量实现设备资产识别和信息上传给本项目所租赁的资产安全分析平台,支持攻击检测,支持IPV6和满足信息技术应用创新要求,详细参数要求如下:序号指标项指标要求1基本要求应用层吞吐量(开启IPS/AV)≥30Gbps,最大并发连接数(开启IPS/AV)≥300万,每秒新建连接数(开启IPS/AV)≥9万。2硬件规格100GE光接口≥4个,25GE/10GE光接口≥16个(和4个100G光口复用),万兆光口≥8。3支持冗余电源冗余风扇部署。4安全检测能力支持IPS引擎,IPS签名数量≥20000,其中CVE高危漏洞签名≥11000。5支持反病毒能力,病毒库数量≥600万,支持检测的病毒种类≥2亿,支持100层病毒压缩文件检测。6支持IPS威胁取证,开启IPS取证功能后,系统检测到IPS攻击事件后,流探针会捕获IPS攻击事件的相关报文并生成PCAP文件发给IT资产安全分析平台,用于安全取证。7安全解析能力支持IPS、AV告警日志/流量元数据上报给IT资产安全分析平台。8支持HTTP、DNS、TLS、ICMP等应用层协议深度解析,通过解析主流的应用协议,对协议传输中承载的关键字段信息进行分析还原。9支持解析IPv6流量,提取IP地址、端口等流量网络层元数据;支持解析SRv6报文,并且在上送流量元数据时携带SRv6租户ID信息以区分不同租户。10支持SRv6报文解析。11支持对流量中传输的文件进行还原,支持基于HTTP、SMTP、POP3、IMAP4等协议传输的文件进行还原。12管理运维支持通过Syslog上报IPS/AV告警日志给第三方系统。13支持显示设备信息、接口流量统计,应用实时流量排名,源地址实时流量排名。14支持独立管理和集中管理方式,独立管理场景下探针提供了独立管理的配置/监控页面,集中管理场景与IT资产安全分析平台协同,通过IT资产安全分析平台集中配置管理多个探针。(三)数量要求序号服务单位数量说明1IT资产管理流量探针服务项1在省数字电子业务外网业务核心网骨干网汇聚节点(具体位置由采购人具体指定)各部署1个流量探针,总数不少于3个。4.2.成品软件租赁服务4.2.IT资产安全管理成品软件租赁服务服务单位应为采购人提供为期12个月的1项IT资产安全管理成品软件租赁服务,详细如下:4.2.1.IT资产安全分析平台租赁服务(一)服务要求服务单位应为采购人提供1套IT资产安全分析平台,用来接收IT资产管理流量探针、IT资产探测系统、IT资产漏洞扫描系统等数据上报,展示资产信息,统计信息、风险信息,大数据关联分析资产安全风险,并呈现资产态势。(二)技术要求服务单位提供的IT资产安全分析平台应为软硬一体化构成,并具备以下功能:(1)用户管理。平台支持系统管理员、配置管理员、审计管理员等三权模式,可自定义账号,支持多账号并发使用。支持各类管理员账号分级分域分权及自服务功能。(2)资产详情。管理员通过平台可以快速了解资产情况和风险情况,随时关注这些资产的状态,及时消除关键资产面临的风险,降低资产的威胁度。平台支持配置资产名称、资产IP、资产风险、资产责任人、区域、资产价值等过滤条件查询客户关注的资产,支持查看所有资产的名称、IP地址、风险打分、漏洞数、弱口令情况、资产类型、资产责任人、资产组、区域、资产价值等风险列表,支持查看资产风险等级、资产指纹信息(包括资产类型、区域、开放端口、责任人等)、攻击阶段分布、资产等级趋势、威胁推理分析、资产漏洞信息等多维度画像信息。支持从采购人指定的应用系统获取、同步、展示应用系统相关资产数据的功能。可管理资产数量不限。(3)漏洞管理。平台支持查看从漏洞扫描器同步过来的资产漏洞信息,包括资产的漏洞名称、漏洞编号、漏洞级别、漏洞来源、漏洞详情等,并支持配置过滤条件查询运维人员关注的资产漏洞。(4)关联分析。平台接收来自网络安全设备上报的日志事件,对其进行解析并进行日志归一化处理,并通过挖掘多个事件之间的关联和时序关系,结合系统预置(或用户自定义)的有关联规则进行在线分析,从而发现有效的攻击。(5)事件管理。平台能够检测出网络中的威胁事件,并提供威胁事件的详情、处置建议和威胁分析取证信息,方便使用人员及时查看处理网络中的潜在威胁。使用人员可利用文字查询项、统计图形设置查询条件,筛选出关键的、影响较为严重的威胁事件;可根据平台展示的信息了解威胁事件的过程,确认是否真的发生了攻击活动;可借助平台记录并分析“取证信息”中的内容,作为处置和溯源的素材;利用平台的“处置建议”功能来了解威胁事件的原理和危害,学习该威胁的处置方法。使用平台的设备联动、EDR联动等功能,自动或手动处理威胁事件;平台支持处理过程关键步骤信息保存,方便日后溯源。(6)资产态势呈现。平台可展示所有资产基本情况,包括纳入管理的资产数、资产活跃情况、操作系统分布、资产类型分布等信息;同时还可展示资产的风险状态,包括资产上的漏洞、高危端口、弱口令等情况。资产安全态势能够帮助用户清楚了解资产基本信息及风险状况。平台可详细展示当前网络资产中存在的漏洞情况,能够帮助安全运维人员清楚了解网络中资产的安全薄弱点。平台可详细展示当前完了资产中存在的威胁事件,能够帮助用户清楚了解资产中存在的威胁事件相关信息。(7)系统可信保护。平台支持通过脚本对操作系统、中间件、数据库等基础运行环境实施安全加固,屏蔽不相干的服务、组件、端口、用户等;支持对软件包/补丁包实施数字签名,在安装部署和启动时进行一致性、完整性校验。(8)安全隔离。平台支持管理平面与业务平面分离,阻断攻击者任意横向移动。平台支持三权分立模式,可按业务将管理员划分为安全管理员(安全维护人员)、系统管理员、安全审计员等角色。平台支持白名单模式,只有在白名单内的系统/设备才允许接入日志数据;平台支持最小权限控制,对业务服务、工程运维中心、大数据、数据库均采用不同操作系统用户安装部署和基于最小权限原则分配必须;平台支持日志审计功能,对所有管理面操作都能记录操作日志,对业务面关键操作也能操作日志,并提供日志备份、日志上传服务器等功能。(9)数据保护。平台支持使用用户口令、证书、license等机密数据要求采用单向/可逆算法加密存储。平台支持数据安全传输,如:Web/RESTful访问类采用HTTPs协议,文件传输采用SFTP协议。(10)冗余设计。平台采用集群/分布式部署,对安全管理、安全检测、安全响应等服务能采用Web集群负载均衡方案。平台支持故障检测及故障恢复,当微服务故障时,系统能自动拉起微服务进程,当连续3次无法拉起微服务进程,应有相应机制以防止DDOS攻击。(11)加密存储。平台支持对用户行为分析服务中的用户信息、通过流探针采集的PCAP文件、邮件正文等内容进行加密存储;并在在用户行为分析前台展示页面中,可对用户个人隐私数据进行脱敏、加扰处理。详细参数如下:序号指标项指标要求1基本要求流量分析处理能力≥3Gbps。2自主可控符合安全可靠测评要求的操作系统;符合安全可靠测评要求的数据库。3资产风险管理支持接收流量探针、资产探测系统的资产探测信息,并查看资产列表。支持配置过滤条件查询客户关注的资产,资产过滤条件包括:资产名称、资产IP、资产风险、资产责任人、区域、资产价值等。4支持查看从漏洞扫描器同步过来的资产漏洞信息,包括资产的漏洞名称、漏洞编号、漏洞级别、漏洞来源、漏洞详情等,并支持配置过滤条件查询运维人员关注的资产漏洞。5IPS签名能力支持IPS引擎,IPS签名数量≥12000。6AI检测算法支持多种AI检测算法,实现高级威胁检测,包括WebShell检测、DNSTunnel检测、DGA检测、pingtunnel检测、ECA检测等多种AI检测算法。7ECA加密流量异常检测针对加密流量,在无需对流量解密的前提下,通过检测模型实现对加密流量的异常检测,并呈现被感染主机及访问的C&C服务器信息,恶意加密C&C流对网络的危害信息,取证详情及处理建议。8协议解析能力支持HTTP、SMTP、POP3、IMAP4、DNS、TLS等应用层协议深度解析,通过解析主流的应用协议,对协议传输中承载的关键字段信息进行分析还原。9支持TLS协议解析,支持解析TLS客户端支持加密套件、TLS服务器选择的加密套件、TLS客户端支持的extension列表、TLS服务器选择的extension列表、TLS握手过程中客户端交换秘钥长度、TLS握手过程中服务器端交换密钥的长度、证书的有效期等信息。10协议解析能力支持GRE报文、CAPWAP、VLAN、QinQ、PPPoE、VXLAN、SRV6等封装报文解析。11安全联动能力当检测到威胁后,支持调用网络控制器、安全控制器的北向接口,从而联动防火墙或交换机下发控制策略,及时阻断攻击行为,并支持针对威胁事件触发手动联动、自动联动等联动响应方式。12自动化响应编排功能支持自动化响应编排,系统预定义多种自动化编排策略,发生安全事件后,系统自动编排可自动进行取证,下发策略到防火墙阻断处置。13大数据存储、索引、计算要求IT资产安全分析平台采用Cloudera、FusionInsight、Transwarp、阿里数加、网易猛犸等商用大数据平台中一种进行数据存储、检索与计算,大数据平台组件包含但不限于HDFS,Kafka,spark,Zookeeper,YARN、Elasticsearch,Flume,HBase、Hive。14大数据平台数据加密能力支持按照用户需求对大数据平台HBase和Hive中的数据进行列加密,并能够支持AES和SM4国密算法,满足国密加密需求。即可以按照用户需求,对所有数据进行加密,也可以只对部分关键数据进行加密。15IPv6支持IPv6流量解析、支持syslog、dataflow格式的含IPv6日志解析,支持IPv6地址封堵、支持IPv6文件还原、支持IPv6相关字段的响应编排联动。16IPS取证能力支持IPS威胁取证,开启IPS取证功能后,系统检测到IPS攻击事件后,流探针会捕获IPS攻击事件的相关报文并生成PCAP文件发给IT资产安全分析平台,用于安全取证。17日志采集能力支持采集第三方系统以及安全设备的syslog日志。18支持通过WEBUI快速配套以syslog方式传递的第三方日志,可以通过keyvalue、分隔符、JSON以及正则表达式的方式提取第三方日志的数据字段,字段映射完成并下发配置至采集设备,完成第三方日志格式化转换。19支持日志无码化采集,可采集第三方日志,能够查看到第三方日志的详细信息。20日志加密接入日志支持UDP、TCP协议、Restful接口等方式接入,当接入方式为TCP时支持TLS协议单向和双向认证加密,保障日志加密传输。21文件还原能力支持对流量中传输的文件进行还原,支持基于FTP、NFS、SMB、HTTP、SMTP、POP3、IMAP4等协议传输的文件进行还原。22日志关联分析支持用户自定义关联规则,针对简单事件和复杂事件的关联分析功能、基于时序的关联分析规则;支持针对日志、安全事件的实时关联分析。23支持开箱即用的关联规则,不需要客户自定义,将企业通用的安全违规事件抽象成关联规则预置在分析平台,包括:SQL注入、账号感染、管理员删除日志等。24事件聚合管理支持威胁事件聚合,支持将短时间内发生的相关事件聚合为一条信息展示,对聚合事件进行钻取,可以查看到全面的威胁取证信息,恶意payload,恶意请求响应码,恶意流量包等。25安全态势大屏支持不同视角展示全网态势,包括综合安全态势、内网安全态势、外网安全态势、脆弱性态势、资产安全态势、威胁事件态势等6个独立的大屏展示功能。支持大屏轮播功能,能手动配置轮播间隔事件。并支持大屏Logo定制功能。26智能检索检索内容区分为日志和流量元数据,可通过关键字、条件表达式、时间范围对事件和流量元数据进行快速检索,快速定位到管理员关注的威胁和上下文数据,支持查看数量趋势统计和检索结果详细数据,并支持用户自定义显示关注的字段。27数据加密传输流量探针、日志采集器、大数据服务等各组件之间数据传输支持UDP和TLS两种协议,默认采用TLS1.2协议加密方式进行传输数据,可保障数据传输的保密性和完整性。28多租户特性支持实现分域分权,支持按组织架构划分租户,实现分域管理。29多租户特性当部门的多分支网络存在子网IP地址重叠情况时,系统管理员可通过租户下的工作组关联流探针,解决不同租户下的工作组存在IP地址冲突的情况,解决IP地址重叠流量识别溯源的问题。30开放能力支持Restful北向接口,通过Restful接口可实现如下功能:资产查询、资产风险查询、威胁类型查询、漏洞列表查询等。31集群管理支持通过WEBUI监控集群节点及探针的运行状态,可实时监控设备的CPU、内存、存储空间使用情况,支持通过WEBUI管理流探针。32资质具备承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构颁发的信息技术产品安全测评证书EAL3+级。(三)数量要求序号服务单位数量1IT资产安全分析平台租赁服务项14.2.2.IT资产探测系统租赁服务(一)服务要求服务单位应为采购人提供为期12个月的1项IT资产探测系统租赁服务。系统应能主动发起探测,发现资产台账信息,上报资产安全分析平台。系统可以通过采用主动发包的形式,对目标范围进行探测,发现其中存活的资产及端口,后续会针对网络空间探测的资产信息,结合漏洞发现检测技术对其进行安全检测。(二)技术要求服务单位提供的IT资产探测系统应为软硬一体化构成,可探测资产数量不限。并具备以下功能:(1)能够提供存活探测、指纹探测、CVE匹配、PoC探测、拓扑探测扫描五大探测功能模块;采用B/S设计架构,SSL加密方式通信,无须安装客户端,用户可通过浏览器远程管理系统;支持资产数据多种维度展示、检索、统计;支持IPV4、IPV6、域名资产探测;支持单机版、主控+引擎集群模式、主控+数据库+引擎集群模式;产品界面友好,简洁大方,所有的图形界面、告警信息、报表与文档、技术资料要求均提供简体中文版本;(2)能支持HTTPS/SSH安全访问方式;支持自定义登录超时设置,可以在无人操作时自动登出系统;支持登录错误锁定次数设置,用户多次登录失败时,自动锁定账户;支持账户首次登录、重置密码后登录强制修改密码;(3)能支持无感知轻量级高速存活探测,支持四种方式添加扫描任务,包括填写目标地址、选择目标地址组、文件上传、检索系统数据直接漏洞验证;支持自定义扫描策略模板,包括端口范围自定义、选择端口组范围;支持三种端口存活探测方式,包括SYN探测、全连接探测和抗干扰探测;支持自定义探测速率;支持域名地址扫描;支持IPV4、IPV6协议栈地址扫描;支持自选节点组和端口组填写后的自动存储;支持选择任务是否立即执行、定时执行、支持周期扫描,以天、小时、分钟为单位;支持显示扫描数量,随时查看扫描进度;支持实时显示扫描结果,在扫描过程中查看资产扫描情况;支持主机存活探测和端口探测;支持对任务的编辑、重启、暂停、停止、继续检测和删除操作;支持自定义节点探测的网段及端口;支持自定义例外IP填写或选择;支持大范围探测,覆盖范围广泛;能够设置不同的存活探测策略(如快速探测、慢速探测策略以及探测超时机制等),完成针对不同探测场景的网络空间资产存活检测;支持扫描执行优先级别设置,灵活调度任务;具备对互联网受影响节点快速普查与清分的能力,能够统计得出受影响范围,分析确定重保单位受影响情况与范围;具备定时扫描探测更新能力;支持PCAP、DPDK等探测模式,包括提供全球IPv4/IPv6用户的资产数据库,IPv4有效地址库不少于13亿,IPv6有效地址库不少于8亿;支持基于任务对比两轮资产结果,包括资产总数,端口数量,操作系统,设备类型等信息;(4)支撑深度协议栈分析与指纹探测,具备对指定范围IPv4/IPv6地址的节点属性精确识别能力;支持识别IP、端口、服务、协议等30种以上资产属性;支持识别版本、编程语言、数据库、Web容器、证书信息、server、运营商、运营商组织、ASN、响应头信息、HTML等网站指纹;支持自定义节点探测引擎进行探测;支持超过14万指纹信息;支持识别网络设备、安全设备、工业控制设备、网络打印机等20类以上指纹涵盖对象,累计可识别的型号种类≥6000种(其中:路由交换设备型号种类≥600种,安全防护设备≥100种,主流工业控制系统或设备型号种类≥60种,物联网设备的型号种类≥60种,物联网设备的型号种类≥60种,操作系统的型号种类≥160种,数据库服务器的型号种类:≥30种);支持对net、jsp、asp、php、perl、python、ruby等网站WEB服务器端开发语言进行探测和识别;支持对jQuery、BootStrap、HTML5等网站WEB前端框架进行探测和识别;支持对Apache、IIS、Nginx、ZendServer、Tomcat、Zeus、JBoss以及GlassFish等网站WEB服务器应用进行探测和识别;支持识别目标所使用的Windows、Unix、Ubuntu、Centos等操作系统和版本信息;支持识别Oracle、DB2、SQLServer、Mysql、Redis、Kingbase、Tencent、PingCAP、Huawei、Alibaba、GBASE、SequoiaDB、ZTEGoldenDB、DolphinDB、MongoDB等数据库服务器类型;支持识别MailEnable、Kerio、Microsoft、Postfix等邮件服务器类型;支持识别目标的设备厂商、设备品牌、设备型号等属性;可感知Web应用防火墙(WAF)、内容分发网络服务(CDN)等安全防护措施;支持检测华为、Juniper、锐捷、华三、迪普、思科、戴尔、奇虎360、网神、天融信等20种以上国际主流Web应用防火墙;支持检测BelugaCDN、华为、Akamai、CenturyLink、ChinaCache、Alibaba、Tencent等20种以上主要CDN服务提供商;支持够识别网络中的专用业务系统;支持深度探测获取目标地址视频流等信息对x11、rdp或摄像头截图功能;支持主动探测目标属性、安全防护、业务应用、基础服务、脆弱点分布等主要作战方向重点目标网络和重要信息系统基础数据;支持对DNS域名服务器探测识别;支持蜜罐检测和排除;支持挖矿资产识别和检索;(5)支持资产指纹拓扑图展示和资产关联信息画像。以ip为目标,通过选择开启证书获取功能、c段探测功能、whois查询功能、r/fDNS查询功能来探测和关联目标ip的地区、行业、域名网站等归属详情。详细参数如下:序号指标项指标要求1硬件规格属于符合安全可靠测评要求的CPU;内存≥64GB;硬盘≥4T;提供电口≥4个;千兆光口≥2个;万兆光口≥2个;提供冗余双电源。2性能要求探测IP数量≥10万个,提供IP地址存活性的检测能力,并能够对探测到的目标地址进行深度信息探测。3探测方式支持主机存活探测和端口探测。4支持三种端口存活探测方式,包括SYN探测、全连接探测和抗干扰探测。5能够设置不同的存活探测策略,如快速探测、慢速探测策略以及探测超时机制等,完成针对不同探测场景的网络空间资产存活检测。6具备对互联网IPv4/IPv6地址空间进行多个指定端口快速探测能力。7资产识别支持识别资产属性≥30种,包括但不限于,IP、端口、服务、协议、操作系统、地理位置、icp备案号、网站标题、资产年份、行业、server、中间件、端口状态、运营商、运营商组织、证书、证书持有机构、开发语言、设备名称、设备类型、设备型号、品牌名称、厂商名称、设备原产地、组件名称、ASN、是否是IDC、响应头信息、HTML、标签、资产拓扑、端口变化、标签等。8支持超过24万指纹信息。9指纹涵盖对象类型:≥30类。包括但不限于网络设备、安全设备、工业控制设备、网络打印机、网络投影仪、网络摄像头、邮件服务器、认证服务器、数据中心、数据库服务器、云服务资源、操作系统类、网页技术类、应用服务类、中间件类等,其中能够识别的:路由交换设备的型号种类:≥600种;安全防护设备(防火墙、入侵检测、安全审计等)的型号种类:≥100种;主流工业控制系统或设备的型号种类:≥60种;4)物联网设备的型号种类:≥60种;操作系统的型号种类:≥160种;数据库服务器的型号种类:≥30种;所有对象累计可识别的型号种类:≥6000种;10管理运维支持数据下载,其中支持JSON、XML、CSV和XLS格式选择、导出范围选择。11支持在线word报表预览,展示统计数据。12支持一键诊断、PING测试、HTTP请求测试、抓包工具。(三)服务要求序号技术参数单位数量1IT资产探测系统租赁服务项14.2.3.IT资产漏洞扫描系统租赁服务(一)服务要求服务单位需为采购人提供为期12个月的1项IT资产漏洞扫描系统租赁服务,以实现资产漏洞信息发现和上报IT资产安全分析平台。(二)技术要求服务单位提供的IT资产漏洞扫描系统应为软硬一体化构成,满足信息技术应用创新要求,可扫描资产数量不限,并具备以下功能:(1)用户管理。支持三权模式,至少具备系统管理员、配置管理员、审计管理员、报表管理员四类用户;支持账号的分级管理;支持多账号并发使用;支持设定用户允许登录范围及允许扫描范围。(2)任务管理。支持手动创建扫描对象、资产导入扫描对象、从文件批量导入扫描对象等多种方式添加扫描任务;支持IPv4/IPv6双协议栈地址扫描;支持设置扫描执行优先级和灵活调度任务;支持显示扫描剩余时间;支持多个扫描进度并发统计展示和查看历史扫描记录;支持对已经新建的任务做任务复制和再编辑,以便快速生成一个新任务;支持设置立即执行、自动定时扫描和周期性扫描三种扫描任务策略配置;支持指定时间、指定对象自动扫描和自动生成报告;Web扫描支持标记已修复、误报、新增发现等任务状态。(3)扫描策略配置。支持手动创建扫描对象、资产导入扫描对象、从文件批量导入扫描对象;支持多主机、多线程扫描;除web扫描外应支持断点续扫功能;支持多种默认扫描策略和自定义扫描策略;支持新建任务、任务优先级、扫描延迟等自定义任务参数;支持资产列表定义和分组。(4)系统扫描策略配置。支持CONNECT、SYN等端口扫描方式设置;支持扫描端口范围设置;支持向被扫描目标发送message消息通知;支持SSH、SMB、TELNET、POP、POP3、IMAP、FTP、RSH、REXEC、WSUS、SNMP、RDP等多种登录方式;支持完全扫描、强制扫描、登录扫描等扫描模式设置;支持设置每个任务最大并发IP数。(5)Web扫描策略配置。支持自定义每台主机最大并发线程数(默认5,最大50);支持HTTP、SOCKS等Web扫描代理;支持自动过滤重复页面;支持自定义错误页面特征;支持大小写敏感或不敏感的网页爬行方式;支持选择是否扫描子域名;支持检测隐藏字段;支持设置预先访问登录URL及POST认证参数;支持自定义Cookie进行深入检测;支持Cookie/Session、Form、Basic、NTLM、Digest和SSL证书等认证方式;支持自定义检测网站时爬虫爬取网站的页面深度;支持自定义引擎爬虫爬取网站页面多叉树时的先后顺序策略;支持自定义http请求头;支持例外URL、例外文件、例外特定参数设置;支持根据用户操作,录制并指定Web扫描和分析一些常规页面爬取程序检测不到的URL;支持自定义设置引擎爬虫模拟提交时需要填充的表单内容。(6)系统漏洞扫描。支持扫描包括主机信息、漏洞信息、端口信息、服务信息、漏洞信息的内容;支持60000种以上扫描规则;支持Web路径下敏感文件检测(如:页面文件的备份文件、数据库文件、密码文件等);支持CGI扫描、后门、SNMP扫描;支持对扫描对象安全脆弱性的全面检查(如安全补丁、服务配置);支持对Windows、macOS、Linux、SUSE、AIX、HPUX、IRIX、BSD、Solaris等操作系统进行扫描;支持对IOS、Android等移动应用软件扫描;支持对华为、H3C、Cisco、Juniper、F5、Checkpoint等网络设备扫描;支持VMware、KVM、Xen等虚拟化主机扫描;支持对SSH、SMB、TELNET、POP、POP3、IMAP、FTP、RSH、REXEC、WSUS、SNMP、RDP等登录方式扫描;支持对Windows域环境扫描(包括对目标主机的系统配置缺陷及漏洞进行扫描)。(7)Web漏洞扫描。支持爬虫表单自动分析、JavaSCRIPT解析、Java与HtmlElement自动交互、Ajax解析能力;支持Web漏洞扫描检测基于OWASP标准进行规则定义;支持各类注入攻击、XSS跨站脚本、伪造跨站点请求(CSRF)漏洞检测;支持网页挂马、暗链、表单绕过、弱口令、敏感文件和目录、钓鱼攻击、信息泄露、恶意编码、第三方软件、中间件漏洞、CGI漏洞检测;支持WEB2.0、AJAX、HTML5、WAP协议、静态页面、动态页面检测、FLASH攻击检测、基于HTTPS应用系统的检测;支持对WAF、NGFW、IPS/IDS等网络防护工具的扫描;支持检测IIS、Tomcat、Apache、Resin、WebSphere、Weblogic等常见Web服务器;支持取证存储功能,可配置留存所有页面或恶意页面;支持自动探测网段的未知站点,并转为资产进行web扫描;支持爬虫结果树形结构展示;支持漏洞结果展示,有详细的HTTP请求头内容;支持发现网站IP地址、服务器架构类型、网站标题、页面编码、物理地址、页面总数等指纹信息;支持浏览器验证、注入验证、通用验证等三种漏洞验证方式。(8)数据库漏洞扫描。支持Postgres、Oralce、MySQL、MsSQL、DB2、Informix、Sybase等主流数据库漏洞的检测;支持Postgres、MySQL、MsSQL等数据库在线登录验证;支持账号、密码、SYSDBA、SYSOPER、NORMAL认证、SID、数据库名称、实例名称及实例号等数据库登录设置。(9)安全基线核查。支持对Windows、Linux、Solaris、Aix、HP-UX、SUSE、Ubuntu、Debian、中标麒麟、凝思等操作系统进行安全配置核查;支持对Oralce、Mysql、DB2、SQLServer、sybase、PostgreSQL、武汉达梦、人大金仓等数据库进行安全配置核查;支持对Tomcat、Weblogic、Websphere、Nginx、Apache、IIS、Resin、TongWeb、Jboss等中间件进行安全配置核查;支持对cisco、华为、juniper、H3C、锐捷、力腾、天融信、网神、网御等品牌的网络设备进行安全配置核查;支持满足行业要求的默认和自定义安全基线核查模板;支持SSH、Telnet、RDP、WinRM、SMB等协议。(10)弱口令扫描。支持TELNET、FTP、SSH、POP3、SMB、SNMP、RDP、SMTP、REDIS、Oracle、MySQL、PostgreSQL、MsSQL、DB2、MongoDB等协议的弱口令扫描;支持用户自定义导入字典进行弱口令检测;支持用户名字典检测、密码字典检测、组合字典检测。详细参数如下:序号指标项指标要求1硬件规格机架式设备,支持6个千兆电口,4个千兆光口,2个扩展槽,1个CONSOLE口,2个USB口,4T硬盘。2性能要求支持无限个IP或域名授权扫描。支持并发扫描能力≥130个IP或域名。支持web漏洞扫描任务并发数≥2个。支持系统漏洞扫描任务并发数≥15个。3功能要求系统应支持针对指定IP段,同时一键下发系统扫描、Web扫描、弱口令扫描任务,Web扫描能够自动发现该网段内的在线网站并开展扫描。4系统应支持检测的系统漏洞数不少于35万,覆盖CVE、CVSS、CNVD、CNNVD、CNCVE、Bugtraq多种漏洞标准。5系统应支持通过SSH、SMB、TELNET、RDP、POP、POP3、IMAP、FTP、WMI、RSH、REXEC、WINRM、SNMP等协议对目标主机进行深度登录扫描。6系统应支持不同维度的漏洞库视图,包含漏洞类别维度、操作系统维度、漏洞发现时间维度、服务维度、应用维度。7系统应支持Web登录认证扫描,支持基于Cookie认证、Form认证、Basic认证、NTLM认证、Session认证、Digest认证、自定义header的Web应用系统扫描。8系统应支持Web应用系统登录验证功能,验证Web登录认证信息的正确性,以确保登录扫描正常执行。9系统应提供Web漏洞验证工具,至少具备三种漏洞验证方式。10系统应支持中间件弱口令检测,包含但不限于:Tomcat、WebLogic、JBoss、WebSphere、GlassFish。11系统应支持缺省内置标准基线核查模板,包括:等保三级安全基线规范、安全基线规范、电信安全基线规范、移动安全基线规范。12系统应支持导出针对相同扫描目标的同时包含系统扫描、Web扫描、弱口令扫描结果的综合脆弱性分析报表。(三)数量要求类型技术参数单位数量1IT资产漏洞扫描系统租赁服务项14.3.终端安全管理成品软件租赁服务4.3.1.终端安全管理平台服务(一)服务要求服务单位需为采购人提供为期12个月的1项终端安全管理平台租赁(许可)服务,要求平台基于“数字化运营”思想,以终端安全数据和威胁情报数据为基础,结合数据采集、实时关联分析、持续监测、可视化技术,基于终端安全指标化运营的理念,结合标准操作流程,为终端安全运营和决策提供数据支撑。平台能支持Windows、Linux等常见主流操作系统,可运行于中标麒麟、银河麒麟或统信UOS等操作系统运行环境,支持所管理的终端数量不少于8000个。(二)技术要求服务单位提供的终端安全管理平台应为软硬一体化构成,满足信息技术应用创新要求,可管理终端数量不限,能多维度采集终端安全数据,形成终端安全监测,漏洞收集,安全预警等能力,实现业务外网终端防病毒防护态势,具体功能要求如下:(1)数据采集。能支持采集多维度终端安全数据,可连接多个数据源,支持连接至少五个不同品牌厂家的终端安全服务控制台。(2)数据分析。能满足对终端安全概况、终端资产概况、终端漏洞概况、漏洞事件分析、终端病毒概况、病毒事件分析、终端安全管控、终端安全画像等数据分析功能,支持分析展示全网终端安全总体情况,包括终端部署总数、在线数、在线率、中毒终端、当日发现病毒终端数、当月发现终端数等统计数据。支持分析展示病毒查杀情况、漏洞修复情况以及资产概况等维度数据的展示;能支持分析展示终端操作系统资产版本和硬件资产概况。支持对终端操作系统版本、操作系统激活、未激活操作系统排行、资产未登记情况、软件安装、计算机品牌、CPU、内存、硬盘等资产数据进行统计展示;能支持分析展示全网终端的漏洞方面的安全态势。支持全部漏洞以及高危漏洞的筛选,以方便针对重点漏洞进行数据统计;支持云端数据更新,第一时间了解最新漏洞做出对应的安全决策准备;能支持利用漏洞威胁情报,结合内网终端数据,对指定漏洞进行完整性安全分析,并支持CVE与KB双视角查询,从不同维度查看终端上漏洞的修复情况;能支持分析展示全网终端的病毒方面的安全态势。包括病毒仍感染次数、感染次数、中毒终端分布、仍感染终端比率排行、查杀趋势等统计数据的展示;能支持针对特定病毒,查看内网终端的感染情况,支持追溯展示病毒在内网的感染历史与趋势;能支持分析展示终端管控相关的统计信息和实时告警事件,支持分组告警、终端告警统计、告警趋势统计、告警终端Top5等统计信息(其中告警事件包括违规外联事件和告警事件,实时展示终端实时发生的告警事件以及违规外联事件。);支持终端安全画像,能通过在终端上所采集到的关键安全数据对特定终端的软硬件资产情况、安全软件运行情况、病毒查杀与漏洞修复情况、终端用户行为等进行全面的分析与展示。支持通过IP、MAC、计算机名等信息进行查询与定位。(3)可视化管理.支持对各维度终端安全可视化的显示参数进行配置管理,包括但不限于终端安全概况、终端资产概况、终端资产概况、漏洞事件分析、终端病毒概况、病毒事件分析、终端安全管控及终端安全画像展示等。(4)用户管理。支持对管理员账号或普通用户账号进行配置管理,支持三权分立。支持各类管理员账号分级分域分权及自服务功能。支持从采购人指定的应用系统获取、更新、展示单位、部门、人员信息的功能。(5)系统设置。支持对所需要连接的数据源进行配置管理;支持对安全知识库进行下载更新管理。(6)系统日志。支持对接第三方日志系统,用于问题排查追溯时使用。本服务需包含一年的产品标准维保服务、安全知识库更新授权与规则升级授权服务,7×24小时原厂电话咨询服务,5×8小时原厂远程技术支持服务。本服务所提供的终端安全管理平台需满足以下技术参数要求:序号指标项指标要求1基本要求支持闲置场景下客户端侧:WindowsAgent平均CPU占用低于0.15%,内存占用低于70MB,网络带宽0.2kB/s;LinuxAgent平均CPU占用低于0.08%,内存占用低于420MB,网络带宽0.2kB/s。2支持杀毒实时防护场景下:WindowsCPU占用低于11%,实时防护性能内存低于70MB,网络带宽0.7kB/s;LinuxCPU占用低于25%,实时防护性能内存低于420MB。3支持Windows7、Windows10、Windows11(X86)、Windowsserver2012及以上版本(X86)的客户终端操作系统。支持银河麒麟V10及以上、统信V20以上(海思麒麟990/9006C、鲲鹏920、飞腾FT2000/D2000)。4支持采集终端设备ID、MAC、IP、主机名、CPU型号、操作系统、进程等信息,可以通过管理平台实时向第三方上报终端资产信息。5终端资产管理支持通过粤政易扫码实现用户和上线终端(设备ID)的绑定关系,没有粤政易账号,可以手工填写来进行注册并由主管部门审批确认。6支持资产端侧Agent安装后自动上线,展示资产整体数量,识别端侧软硬件信息,提供安全评估能力,威胁一站式管理。7支持主机使用历史IP可追溯,对DHCP自动分配终端IP的场景,用户可以对终端主机和IP历史关联关系进行查询。8终端Agent升级及卸载支持Agent后台自动升级和手动升级,即管理员手动控制Agent升级范围,指定分组升级,指定单终端升级,全量升级。9支持通过终端卸载码、资产管理员删除、资产管理员批量删除等操作实现终端Agent卸载。10终端病毒库分发支持主动推送病毒库升级、增量升级和病毒库灰度发布。11终端策略管理支持客户端分组批量下发策略、服务器端主动向客户端推送策略。12支持网络隔离功能,可以通过切换网络模式实现无法同时业务外网应用和互联网。13支持配置多租户管理、账号权限分级管理等管理模式。14终端安全可视支持按终端视角查看、统计威胁事件。支持终端维度威胁事件趋势风险,支持威胁事件批量一键处置。15支持在线管理终端隔离区隔离文件,支持远程人工方式恢复或立即清理被隔离文件。16支持远程实时查看在线终端运行中进程信息(类似Windows任务管理器)。支持联动威胁信誉引擎,在线查看各进程威胁信息。17终端病毒查杀支持提供僵尸网络、木马、蠕虫病毒、挖矿软件、勒索软件、间谍软件、黑客工具、恶意广告等病毒和病毒家族的主动防御和查杀的能力。用户可以在云端一键在线查杀,批量查杀或者制定周期性定时查杀任务。18病毒检测支持对蠕虫、木马、后门、挖矿、脚本恶意程序、勒索病毒、恶意文件压缩包、大文件等病毒的检测,为保障终端安全性,病毒检出率应≥99%,误报率≤0.1%。19支持管理员远程指定在线终端执行病毒扫描,支持快速查杀、全盘查杀和自定义查杀。使用华为第三代智能检测引擎,拥有亿级海量病毒的检测能力,支持勒索、挖矿、僵尸、后门、木马、蠕虫、间谍、黑客工具、恶意广告等各类病毒家族的检测。20挖矿威胁检测支持终端主机挖矿木马外联请求检测,以及挖矿运行时行为检测,具备未知挖矿变种检测能力,支持DNS挖矿域名溯源到恶意进程。21网络访问控制终端支持单网通策略功能,可限制用户终端单次仅能访问互联网或特定专网。22暴力破解检测支持提供RDP、SMB、FTP协议的暴力破解检测、支持常规暴力破解和慢速分布式暴力破解检测以及内网横移暴力破解检测的能力。23漏洞检测支持基于异常行为的漏洞检测,检测客户端软件漏洞利用,如office、浏览器等客户端软件。24异常登录检测支持基于用户配置策略(合法登录IP,合法登录账户,合法登录时间),检测规则外的异常登录事件。25终端审批管理支持在终端Agent安装时,在平台进行Agent资产登记,可手动登记终端使用人、部门、联系电话、联系邮箱等,管理员可在终端管理平台上对登记进行通过、拒绝等审批动作。26黑白名单策略支持基于进程特征(SHA256)、进程名称自定义进程黑名单列表,实时拦截黑名单中恶意进程。27支持基于文件路径、特征值(SHA256)等配置白名单列表,保护系统白名单文件不被误处置。28支持用户可以通过终端独立配置和终端组批量方式配置黑白名单策略。29主动防御支持基于勒索样本攻击路径分析,勒索必经路径放置诱饵文件,优先命中诱饵触发告警事件。30支持勒索本地轻量化备份恢复,自动恢复加密文件,回滚恶意攻击链的完整行为操作,有效防御勒索病毒攻击。31支持用户自定义数据存储位置,数据类型,可访问进程等属性,定义数据资产防篡改策略。内核级保护文件数据资产安全,实时拦截恶意加密、删除等篡改行为。32威胁事件响应处置支持提供恶意文件隔离处置的能力,检测恶意文件后移入隔离区,阻断恶意文件继续运行;恶意进程终止处置,阻断进程恶意行为。33支持挖矿木马、勒索攻击事件自动处置模型管理,基于检测事件研判精准度,事件攻击路径溯源,自动匹配处置方案,下发处置动作。34安全分析支持事件聚合和关联分析功能,将威胁事件聚合和消噪,降低事件量,并关联多维度事件综合分析研判,提高威胁处置效率。35威胁事件溯源支持提供威胁事件通过进程自动溯源的能力,用户可以一键处置攻击链条上多个异常进程和恶意文件。36支持基于威胁图的方式展示溯源信息,支持登录用户名、进程、恶意域名、文件、注册表、自启动、进程CPU占用取证溯源。37支持挖矿木马、勒索软件、高级威胁等事件的主动溯源。38与网络安全设备联动处置支持提供和与网络安全设备联动处置的能力,对网络安全设备检测的失陷主机、恶意文件事件,联动执行主机病毒查杀,清理。39日志报表通知支持按月为用户提供安全服务报告,安全服务报告将以邮件形式发送至用户订阅邮箱。40检测到高危害威胁事件后,支持立即通过短信方式及时通知预警。短信接收人范围支持管理员按需订阅。41支持提供对现网问题支撑、咨询线下人工服务等需提交工单场景,用户可通过用户安全运维平台的工单功能,提交工单并跟踪工单处理进度。(三)数量要求序号服务名称单位数量1终端安全管理平台租赁服务(许可)项14.4.网络安全运营服务4.4.1.IT资产安全管理运营服务(一)服务要求服务单位应为采购人提供资产识别服务,并按照省业务外网资产管理制度要求,发现各类资产,构建资产识别特征库,并针对该资产的流量数据或扫描数据进行分析。对未能识别的资产信息,应通过专家定义提升资产识别率
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 节能oem合同范例
- 代销售合同范例
- 明星代言签约合同范例
- 两兄弟宅基地合同范例
- 居间劳务派遣合同范例
- 铜仁幼儿师范高等专科学校《数字场景设计与表现》2023-2024学年第一学期期末试卷
- 铜川职业技术学院《数学教学技能与训练》2023-2024学年第一学期期末试卷
- 同济大学《刑法学(一)》2023-2024学年第一学期期末试卷
- 人教版小学数学五年级下册 3 3《长方体和正方体的体积》同步练习
- 镇江2024年江苏镇江扬中市公安局招聘警务辅助人员47人历年参考题库(频考版)含答案解析
- 家庭教育与孩子的阅读习惯培养
- 沪科黔科版《综合实践活动》5上农业小当家 活动一《花坛小暖棚》课件
- 期末素养展示试卷-2024-2025学年统编版语文三年级上册
- 劳动与社会保障法-001-国开机考复习资料
- 铸牢中华民族共同体意识-形考任务2-国开(NMG)-参考资料
- 2024年国家开放大学期末考试《律师实务》机考题库(课程代码:55742)
- T-CECS120-2021套接紧定式钢导管施工及验收规程
- 机械工程技术训练智慧树知到期末考试答案章节答案2024年北京航空航天大学
- 小学科学跨学科项目化学习案例
- 应急演练工作三年规划
- 2007年心理学考研312真题及答案
评论
0/150
提交评论