工作重要数据防护综合检测平台建设项目需求

工作重要数据防护综合检测平台建设项目需求项目背景工作重要数据是指机关、单位在履职过程中产生或者获取的，泄露后会妨碍机关、单位正常履职或者对国家安全、公共利益造成不良影响的内部敏感事项。工作重要数据管理应当坚持规范确定、严格管理、综合防范、便利工作的原则。国家秘密的实质要素是关系国家安全和利益，而工作重要数据涉及公务活动和内部管理，两者都是由机关单位产生，存在一定的内在联系，在外在表现上也具有很多相似之处。特别是两者都具有保密信息的一般属性，在一定时间内只限于一定范围人员知悉，而且在特定条件下可以相互转化。针对目前日益严峻的工作重要数据防护形势，迫切需要采取先进的技术手段，在机关单位所依托互联网及其他公共信息网络、存储、处理工作重要数据时，进行安全防护和日常管理，为保护工作重要数据安全提供保密技术保障。采购内容结合当前行业的背景，该项目拟研制工作重要数据防护综合检测平台1套，主要实现综合评估平台、综合分析平台、仿真验证平台，具备取证模块、结果可视化模块、测评分析模块等功能模块，集成综合态势分析工具、工作重要数据检查工具等多角度评估工具。每个系统及开发相关需求如下：序号系统名称子系统名称模块名称数量单位技术参数1工作重要数据防护综合检测平台综合检测平台开发综合检测平台开发1系统3综合检测工具箱（服务端）综合检测平台专用设备1系统4仿真验证平台安全沙箱模块1系统5数据传输防护模块1系统6数据标识管理模块1系统7互联网工作重要数据检查模块（支持信创）1系统8开源软件安全风险分析工具开源软件安全风险分析模块1系统9工作重要数据漏洞检测工具（Web、主机、数据库）漏洞扫描模块1系统10综合检测工具箱（便携式客户端）综合检测工具箱（便携式客户端）3套技术要求及参数4.1综合检测平台开发技术要求4.1.1综合检测平台开发标准要求综合检测平台参照的国家相关法律、法规和安全保密标准包括：《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）三级防护要求。《信息安全技术信息系统密码应用基本要求》（GB/T39786-2021）。4.1.2综合检测平台开发技术要求工作重要数据防护综合检测平台的目标是为了建设：综合评估平台、综合分析平台、仿真验证平台等。综合评估平台主要功能是实现工作重要数据检查条款分析、现场评估检查、抓包取证分析等功能。综合分析平台是对现场评估结果进行综合态势分析，供主管部门掌握本省工作重要数据防护情况。仿真验证平台是通过搭建仿真环境，供测评人员学习新的测评方法，同时支撑各机关单位完善工作重要数据防护建设方案。综合评估平台拟制定工作重要数据防护的安全基线，通过定制化网络安全、数据安全、终端信息安全、虚拟化安全等检查工具实现自动化或半自动化检测。配置综合评估平台便携式客户端对现场进行安全评估，将评估数据导入到综合分析平台进行汇总分析。综合分析平台构建通过数据、过滤、关联、聚合、事件等多元概念实现行为算子自定义建模，通过导入综合评估平台产生的评估数据，可以进行单项结果分析、单元汇总分析、整体风险分析、报告编制等工作。平台操作需求：支持工作重要数据事项变更全流程管理，包括变更任务的提交、审批、状态管理等功能。支持工作重要数据安全保密管理制度管理模块、内置标准化安全保密管理制度管理检测表，可以根据现场检测结果，自动出具管理制度检测分数。支持工作重要数据综合评估调研全流程管理，包括调研任务的创建、维护、过程管理、调研报告出具等。支持工作重要数据检测知识库管理，支持检测记录表模板知识库、工作重要数据指标项知识库、检测意见知识库的维护管理。支持对检测任务的全生命周期管理，包括检测任务的创建、检测任务的参与人员选择、检测周期等基本信息的维护、检测方案制定、支持对任务状态、检测结果、报告进行查看。支持根据角色对数据权限、菜单权限进行划分与控制。支持根据检测任务信息、检测结果等使用模板自动生成检测报告。支持检测报告的在线编辑与自动保存，支持下载word、pdf格式的报告。综合分析需求：支持数据采集、数据处理、数据分析、检查预警、态势感知等功能。支持多种数据汇聚采集方式，包括：接受第三方syslog日志。订阅kafka消息队列。使用http、https请求api接口。使用jdbc协议查询数据库。查询ElasticSearch搜索引擎。利用ftp拉取指定的位置的文件。手动上传数据进行离线汇聚等。支持对汇聚数据进行预处理，通过校验、过滤、去重等处理形成标准化数据。支持对数据深入分析，包括测评数据分析、测评结果分析、现状分析、异常状态分析等。支持根据预设规则策略，集合数据分析结果，生成预警信息。提供工作重要数据态势工作台，结合系统数据，从技术防护、安全保密管理等维度进行态势分析并展示。4.2综合检测工具箱技术要求4.2.1综合检测平台专用设备技术要求序号指标项指标项要求外形机架式，高度≥2U，标配原厂导轨。CPU配置2个16核心处理器（Intel）。内存最大支持32根DDR4内存，最高速率3200MT/s，支持RDIMM或LRDIMM，AdvancedECC、内存镜像、内存热备。配置128G（8*32GB）DDR43200内存。硬盘配置960GBSSD≥2块。配置4TBSATAHDD≥4块。最大可扩展至41个硬盘。网卡配置四端口千兆电口网卡≥1块。配置双端口万兆光口网卡≥2块（含模块）。阵列控制器配置1个阵列卡，12GbpsSAS磁盘阵列控制器，带2GB缓存，支持Raid0/1/10/5/6/50。GPU双宽GPU卡最大可支持4块。单宽GPU卡最大可支持14块。风扇满配冗余风扇。电源配置不小于1300w热插拔冗余电源≥2个。安全性支持安全机箱，TCM/TPM安全模块，双因素认证。嵌入式管理配置≥1Gb独立的远程管理控制端口。

配置虚拟KVM功能，可实现与操作系统无关的远程对服务器的完全控制，包括远程的开机、关机、重启、更新Firmware、虚拟光驱、虚拟文件夹等操作，提供服务器健康日记、服务器控制台录屏/回放功能，能够提供电源监控，可支持动态功率封顶。支持3D图形化的机箱内部温度拓扑图显示。支持OTP(OneTimePassword一次性密码）方案的双因素认证方案，提高系统安全性。售后服务三年技术支持服务（共计3个节点，每节点配置不要不低于上述技术参数要求）。4.3仿真验证平台技术要求4.3.1安全沙箱模块技术要求序号指标项指标参数PC沙箱管理平台策略管理策略支持进程配置、网络配置、模式切换配置、水印配置等。支持策略集方式的策略统一下发，下发方式简单快捷。支持不同部门或用户下发不同的管控策略。支持沙箱内接口管控，包括打印管控和刻录管控。资源管理管理支持在沙箱内能够访问的网络资源，支持配置IP+端口。管理支持在沙箱内能够运行的应用程序，支持配置应用程序的进程信息。终端管理支持设备分组管理。支持设备分组与用户分组同步。支持查询设备上登录的用户。支持静默部署、升级。支持管理端远程注销终端。系统管理支持数据备份，支持设置服务器备份周期、开始时间、备份路径、备份数据类型。内置系统管理员，安全管理员和审计管理员角色。同时支持公司根据情况，自定义角色并赋予角色相应的操作权限。支持系统日志审计，包括策略下发，用户登录等系统操作日志。PC沙箱客户端桌面运行模式支持普通桌面和沙箱桌面两种模式切换、两种模式独立运行，互不影响。普通桌面允许访问互联网，禁止访问内部业务系统，沙箱桌面允许访问内部业务系统，禁止访问互联网。普通桌面和沙箱桌面保持系统原生状态，文件新建、复制、打开方式等与原有系统完全一致，不影响用户操作系统。沙箱桌面下资源管理器插件可以正常操作。支持沙箱桌面、沙箱桌面不同桌面背景，用户可明显感知，避免误操作。存储隔离普通桌面下文件可复制到沙箱桌面，沙箱桌面文件不能复制到普通桌面。普通桌面和沙箱桌面数据隔离存储，沙箱桌面下不能看到普通桌面普通分区（例如C盘、D盘）下文件，普通桌面下不能看到沙箱安全密盘内的文件。支持沙箱桌面下密盘存储。沙箱桌面下打开文件夹或文件另存时，只能看到密盘路径，文件不能存储到安全密盘外的普通分区。沙箱文件加密存储在安全密盘内，通过windows安全模式启动、其他操作系统引导启动后不能查看沙箱内存储的明文文件。业务系统保护普通桌面下不能访问受保护的业务系统，只能访问互联网。沙箱桌面下可以访问受保护业务系统，不能访问互联网。内外网打印隔离支持普通桌面和沙箱桌面下打印隔离，普通桌面只能配置连接外网打印机，不能配置连接内网打印机，沙箱桌面可以配置并连接内网打印机，不能配置连接外网打印机。沙箱桌面水印控制水印内容支持按计算机名，IP，用户名，用户真实名，部门名，时间，自定义水印等。支持水印配置字体，字号，颜色，透明度等。支持文档明文阅读水印保护。支持文档阅读水印的全屏显示、软件内部显示。沙箱桌面截录屏控制沙箱桌面下禁止截录屏操作。沙箱文件审批带出沙箱桌面下文件如果需要复制到普通桌面，需要进行审批，审批通过后，可复制到普通桌面下。支持审批流程自定义配置，支持多人多级审批。支持应用程序多开支持普通桌面和沙箱桌面相同应用同时打开互不影响，例如普通桌面、沙箱桌面下可以同时允许word、excel等办公应用，可以同时运行chrome、edge浏览器。资源管理器隔离普通桌面下打开的文件目录，切换到沙箱桌面下普通桌面文件目录保持打开状态，不能关闭。反之沙箱桌面下打开的文件目录，切换到普通桌面时，沙箱桌面依然保持打开状态。用户会话隔离沙箱桌面和普通桌面运行的应用查询支持用户会话（session）隔离，通过资源管理器可以查看沙箱桌面运行程序和普通桌面运行程序使用不同的用户。兼容性支持Windows、信创操作系统安装使用。卸载控制支持静默卸载。支持终端卸载密码保护控制。4.3.2数据传输防护模块技术要求序号指标项指标参数1基础功能支持客户端安全基线策略，动态访问控制策略、认证策略等管理。支持对策略的全生命周期管理，包括添加、修改、删除等。2支持TCP、UDP协议的应用接入，支持HTTP、HTTPS协议的应用接入。3支持对用户可注册次数、可注册时间的策略配置。4支持单包认证能力，系统不对外暴露任何TCP、UDP端口，拒绝一切TCP连接，支持UDP模式单包认证后，才允许对资源的访问。5支持基于访问策略对风险进行分级，不同的风险级别对就不同的处置方式，处置结果包括阻断、放行、动态权限伸缩、会话登出、锁定账号等至少三种。6访问控制支持B/S应用统一门户能力，仅显示用户有权限的全部业务应用。支持C/S应用统一门户能力，访问时可自动拉起相关客户端软件。7支持基于属性的访问控制，环境属性如IP、时间、位置等，实体属性如工号、姓名等。支持基于角色的访问控制，如用户/用户组/角色组。支持基于策略的访问控制，如用户+IP属性等。8客户端支持硬件客户端自带网口，自带USB接口、type-c接口。自带LED屏显功能。9性能指标模块校验速度：500Mbps;建立隧道数3000个。使用合规的商用密码认证技术。加密速度：大于800Mbps。最大并发加密隧道数：3000。10静默状态下，所消耗的系统资源，系统占用CPU不超过10%。支持加密隧道高效传输，数据传输速率达到非隧道传输数据传输速率的70%以上。11支持系统响应一个用户操作的时间满足规定的目标。系统完成一个作业或一个异步进程的周转时间满足规定的目标。规定目标时间为200ms。4.3.3数据标识管理模块技术要求序号指标项指标参数产品资质自主研发产品，拥有产品软件著作权证书。统一管理统一管理平台，支持对多种操作系统终端的混合统一管理，操作系统类型包括Windows7、Windows10、Windows11等Windows桌面操作系统及通用国产桌面操作系统。系统须与同品牌主机监控与审计系统、打印刻录监控与审计系统、服务器审计系统、身份鉴别系统、电子文档安全管理系统等，实现统一管理，各系统的管理端统一界面风格、统一单点登录、统一组织结构管理、统一运维，各系统客户端软件统一托盘图标、统一单点登录，各系统支持使用统一数据库、中间件系统。系统支持与安全沙箱系统集成部署，标识文件需要从沙箱内带出时，系统根据文件标识信息以及管控策略，自动判定带出操作是否被允许。终端组件支持流式文件（Office、WPS、永中）、版式文件（PDF、OFD等）、图片文件、文本文件的数据标识处理。同时支持对文档文件进行轻量版标识（仅打标不加密）以及密级标识。支持文件打标、标识保持、标识显示、标识修改、脱标、标识属性查看等。标密文件保存时应保持原密级标志属性信息。另存、导出、压缩、格式转换后，新文件密级标志属性文与原文件保持一致。资源管理器中使用特定图标展示标识文件。密级标识文件具备知悉范围设定，实现基于密级标识的访问控制。支持主机责任人模式，离线、账号异常退出、网络异常等情况不影响用户正常使用文件。支持终端加标文件统计，可根据文件密级、文件状态等维度进行统计。应用组件支持OA免改造，实现基于文件标识的流转管控。对OA上文档在线预览、上传、下载、在线编辑的管控。应用系统管控策略能够根据用户设定放行、审计以及禁止管控措施。提供API接口，支持第三方应用系统进行集成，实现标识文件的流转管控。支持应用系统的统一策略管理，同时对免改造的应用系统和基于API改造的应用系统，进行统一策略控制。管理端功能系统记录用户对标识文件的详细操作，可列出指定用户在指定时间段的全部操作内容。支持标识文件的分布统计、访问统计，汇总展示终端标识文件。支持应用系统登录日志审计，记录用户在什么时间，登录了哪个应用系统。支持应用系统访问日志审计，记录了用户访问应用系统内标识文件的行为记录。Windows终端可实现策略式升级、卸载、静默安装。应用集成系统提供组织机构信息同步接口，实现数据同步。系统支持与第三方身份体系集成，实现统一身份认证和单点登录。其他安全要求支持系统管理员、保密管理员、系统审计员三员管理。系统安装目录防删除、进程防卸载、终端进程防杀死。4.3.4互联网工作重要数据检查模块（支持信创）技术要求序号指标项指标参数产品资质产品须通过国家保密科技测评中心检测，具备涉密信息系统产品检测证书。检查方式支持多种检查模式：常规检查、深度检查（可全盘深度数据恢复检查）。系统通过网络实现远程检查，实现集中管控、分布执行，对受检主机可暂停检查、继续检查、终止检查等。支持自定义文件路径检查、自定义文档格式检查。支持边查边看，检查过程第一时间呈现结果。支持检查过程中文件操作行为及内容的实时监控。主机检查支持断点续查，在启动、重启机器后能够继续检查。支持文件增量检查，提升文件二次检索速度。支持安装客户端后自动发起检查，适应临时检查业务场景需要。支持行业词库作为内置关键字库，同时可自定义关键字库，发起检查时可快速选择检查关键字。支持多操作系统、多用户、多系统分区进行检查取证。支持对操作系统安装方式的检查，可准确区分实体主机系统、虚拟机系统、克隆系统，并对是否使用过多硬盘进行检查。支持检查计算机使用过的USB设备情况，包括设备的PID、VID、序列号、厂商、名称等，可区分手机使用痕迹、存储设备使用痕迹、无线红外蓝牙使用痕迹和其他USB痕迹，支持对USB使用痕迹的反取证检查。支持不限层级的压缩文件检查。支持对嵌套文件的检查。支持对文件头损坏的文件检查。支持修改扩展名的文件检查。能识别加密文件。支持无关键词标密文档检查和自定义关键词检查两种文件检查方式。支持多种非IE浏览器检查。支持多种下载工具、多种即时通讯软件、50种以上网盘的检查。支持对Office2003、Office2007、Office2010、Office2013文件，PDF文件，文本文件，网页文件，金山文件，图片文件，CAD文件，邮件文件，书生软件以及压缩文件等办公软件的常规文件检查。支持文件扫描件检查，支持图片缩略图。内容相同的文件副本支持关联分析和判定。检查内容支持上网痕迹检查：上网记录中能够统计多种聊天工具、下载工具、网盘、邮件客户端的信息，上网记录支持微信账号的检查。支持对多种图片文件类型（tiff、tif、jpg、bmp、jpeg等8种以上）的检查，支持对文件中图片的检查。支持对计算机文件操作记录的检查，即使删除后也可检查出来。支持关键词例外词组设置，可大幅度降低文件误报率。检查取证准确性高，重做系统、格式化硬盘、硬盘重新分区、分区格式被破坏，仍能进行准确的违规检查取证。文件内容检查时支持关键词例外词组自定义设置，明显降低误报率。文件判定支持按人员和检查任务两种维度进行报告查看和判定。支持增量判定，已判定过的文件下次检查自动判定。支持标密文件及文件相似性辅助判定。支持文件副本关联查看、统计、判定。可汇总检查命中的所有文件进行集中判定，可查看文件分布位置。支持管理端从客户端下载文件，保证文件属性不发生改变，支持50MB以内文件下载。报告汇总分析支持对检查报告的分类、排序、查询。报告保存采用地区编码格式，可区分报告所属地区。检查报告支持多种格式，并可在管理中心进行报告汇总分析、查看、管理工作。支持按单位、按部门、按项目等不同维度进行统计分析，支持趋势分析，从多维度、多视角为保密管理员提供决策依据。支持单机检查报告导入，可正常展示检查结果数据并可纳入单位整体检查结果中。日志审计审计事件记录全面，包含账户登录审计、检查策略审计、检查主机管控审计、检查报告导出审计。支持审计日志的导出、清理功能。部署管理支持客户端分发和静默安装，极大方便安装、应用和维护。组织机构批量导入、客户端安装过程中无需人工值守。支持客户端检查完毕自动卸载，不在受检主机遗留任何程序文件和临时文件。自动监控客户端运行状态是否良好，支持单个、所有客户端联网进行版本升级、卸载。安全性客户端与服务端之间的报告采用加密方式，防止数据被网络侦测软件窃取。采用内核驱动对客户端进程进行保护，防止客户端卸载和结束进程导致的检查漏洞。兼容性终端检查支持MicrosoftWindows2000/2003/XP/Vista/win7/win10以及国产操作系统。4.4开源软件安全风险分析模块技术要求序号指标项指标项要求部署要求支持在信创平台部署，兼容鲲鹏ARM、海光X86、麒麟V10、UOS操作系统、东方通中间件、宝兰德中间件，交付时根据用户环境进行适配。支持Docker、K8s平台部署，支持以节点方式进行横向扩展。检测能力支持Java、JavaScript、Python、PHP、Golang、Ruby、C#、C/C++、Erlang、Swift、Groovy等主流编程语言检测。支持maven、gradle、Ivy、ANT、Buildr、Poetry、Poetry、pypi、npm、Yarn、Bower、PNPM、Godep、Glide、Govendor、Vndr、GDM、GoModules、Conan、Autoconf、hpack、stack、Cargo、Paket、Composer、Leiningen等主流包管理器。支持Intel-Hex、S-Record、U-Boot、Azure-RTOS、AmazonFreeRTOS，以及常规的路由器、光猫、交换机、硬盘录像等固件类型检测。支持.jar、.war、.EAR、.HPI、.APK、JPI、PE、ELF、GoBinary、NETAssembly、dep、rpm等类型二进制部署包检测。支持Native二进制文件上传检测，包括但不限于.so、.dylib、无扩展名的可执行文件。支持rar、zip、tar、tar.bz2、tar.gz、tar.br、tar.lz4、tar.sz、tar.xz、tar.zst、br、gzip、bzip2、lz4、sz、xz、zst、7z、ISO9660等类型的文件检测。支持CycloneDX标准json格式的SBOM清单检测。支持组件Excel清单导入检测，适用于无源码场景下的开源组件检测。检测分析能力支持深度解析组件依赖关系，标记组件直接、间接依赖层级，识别组件依赖引入路径。支持识别疑似受篡改的组件，防止引入恶意软件。支持上传.tar包，识别镜像、命令，并分析镜像中组件、漏洞、许可，及镜像基础信息，包括但不限于sha256、ARCH/OS、镜像大小、创建时间、镜像作者、config信息等。支持以任务为单位个性化配置分析检测参数，包括识别开发依赖组件(识别provide、test、devdependency等开发依赖组件)、指定应用级私服仓库配置、指定或排除指定文件检测等。支持对源码文件中的敏感信息检测，可分析敏感信息内容、敏感信息类型、所在文件路径及代码片段定位。且支持自定义敏感信息检测规则。支持基于docker官方dockerfiles编写最佳实践、CISKubernetesBenchmark标准对IaC配置文件进行检测，并支持用户自定义添加IaC策略、自定义规则等级等。产品通过信通院《网络安全产品能力评价体系应用软件成分安全检测分析系统评价方法》的功能性、性能效率和安全性检验。二进制分析能力支持启发式二进制解包，通过文件头魔数（MagicNumber）来识别文件格式而不是依据文件后缀识别，最大程度解包出二进制格式中的可执行文件。支持x86、arm、mips、mipsel、PowerPC、loongarch64（龙芯64位平台）、risc-v、sparc64等CPU架构的二进制文件的分析。支持基于函数控制条件与数据流向的调用关系图分析方式，输出可视化函数调用关系树图。支持基于函数级（向量）的二进制相似度匹配，识别被检测文件中的开源组件，输出相似函数对、伪代码、地址、函数匹配度等内容。支持基于字符串的二进制相似度匹配，通过对检测文件内的ASCII字符串进行分词特征匹配、权重赋值，识别被检测文件中的开源组件。支持识别二进制文件内文件结构信息，包括但不限于文件名称、文件hash、文件大小、文件树结构、二进制文件类型、应用解包日志、文件分析日志、架构、操作系统、位数、编译器、安全编译选项片段信息等。支持以可视化视图，输出二进制多维算法引擎得分、综合得分。通过对二进制文件函数向量嵌入分析对比，输出相似函数对、伪代码、地址、函数匹配得分。同源分析检测能力支持Java、C/C++开发语言的源代码片段同源分析。提供Java开源项目的基础特征数据作为用户项目检验和研究样本。支持解析并识别文件源码，分析文件自研率，并标记自研文件、混源文件、开源文件。支持解析文件结构，形成应用文件结构树，并能够与代码溯源解析详情联动展示。支持识别文件代码引用的开源项目信息，包括开源项目名称、仓库地址、官网链接、匹配文件或代码片段及引入路径等。支持代码检测粒度精确至7行。支持应用基础信息、代码自研比例可视化展示。应用/任务管理能力支持以应用组、应用、版本、任务等维度对项目进行管理，支持多维度分布图展示风险概览信息。支持批量上传、或从仓库拉取项目，适用于大批量项目资产的快速对接。支持客户端通过命令行方式创建分析任务，客户端创建分析任务时支持指定平台名称、项目名称、系统编号、子系统名称、子系统编号、源代码仓库地址、代码分支、流水线名称、流水线构建id等参数创建分析任务，指定的参数与分析结果在管理后台进行展示。支持在代码仓库分支变更、新增Tag时，自动触发分析检测任务。支持展示任务基础信息，包括但不限于任务来源、任务创建者、任务扫描状态、文件大小、文件名、文件SHA-1等信息。支持从组件、漏洞、许可三个维度输出两条任务检测结果的对比，包括资产和风险的新增、减少和变更分析。支持应用版本管理、应用成员管理、设置定时任务等内容。支持应用级缺陷管理平台集成配置、指定应用级私服仓库配置等。漏洞管理支持漏洞全局查询，可根据漏洞编号CNNVD、NVD（CVE）、CNVD漏洞编号查询。漏洞库兼容NVD、CNNVD、CNVD以及漏洞社区库等多种漏洞平台库，提供漏洞详情信息包括但不限于漏洞名称、CVSS2和3的评分细则、风险等级、漏洞描述、影响组件区间、影响应用信息、修复建议、补丁链接等。支持提供漏洞poc、exp参考示例，包括漏洞利用代码示例、利用验证方法、参考链接等。支持根据漏洞可达性验证结果，展示验证细节，包括但不限于触发漏洞可达原因、漏洞触发所处文件路径、漏洞精准定位至代码行、漏洞起始索引、漏洞终止索引等。对于认为误报、无实际影响的漏洞，可在检测结果中将其标记为“忽略”状态，该状态能够在应用中持续继承、并在检测报告中提示“忽略”状态。组件资产管理支持组件资产全局查询。支持组件资产可视化展示，包括组件风险分布、风险排行、使用年限分布等。组件信息包括但不限于组件名称、版本、组件风险等级、版本发布日期、许可协议、漏洞分布、关联影响应用、升级建议等。支持自研资产全局查询，可根据组件包管理器、厂商、组件名称进行查询。支持对自研组件厂商及组件信息自定义标记，实现自研组件自动识别的能力，对自研资产自动纳入托管。许可资产管理支持许可资产全局查询，并支持根据许可特性进行筛选。许可信息包括但不限于许可名称、许可描述、组织认证信息、许可过期信息、官方链接、条款解读、使用建议等。支持通过开源许可的特性、组件的引入方式、项目/应用属性等维度，对许可证的合规性和兼容性进行综合评估。制品仓库检测与防护支持对接Nexus、Artifactory、蓝鲸Cpack组件库，支持Maven、NPM、Pypi、Nuget、Rubygems等包管理器类型组件的资产检测。支持组件资产检测、漏洞风险检测、许可资产检测等内容。支持针对组件库配置定时检测任务，支持单个或多个分库。提供制品库防火墙功能，在不需要代理仓库和对开发人员工作电脑中的配置文件修改的前提下，支持针对上传风险组件、违反安全策略下载的行为进行的阻断，保障组件库的纯净与可信。支持对违反安全策略的下载风险组件的行为进行阻断。开源组件漏洞防御和修复插件制品库防火墙阻断策略可依据漏洞危害等级、是否存在漏洞poc、漏洞评分、漏洞可达性等维度、组件名称、组件版本、自定义组件黑白名单库、许可名称、自定义许可黑白名单库。应提供防护插件支持应用系统在不需要修改源代码的前提下，应用系统运行时临时修复或防御开源组件漏洞，对应用系统引入的开源漏洞达到防御阻断/修复漏洞的作用。防护插件支持系统运行时修复或防御以下开源组件的漏洞：SpringCloudFunctionSPEL表达式注入、ShiroRegExPatternMatcher权限绕过、ApacheLog4j2JNDI查询触发远程命令执行（Log2shell)、Jackson-databindSSRF&RCE、Fastjson反序列化、ApacheAxis远程命令执行、apachecommonstext反序列化、XStream任意文件删除反序列化、SpringSecurityRegexRequestMatcher认证绕过、SpringBeanForShell。支持在线查询开源组件漏洞防御和修复插件的运行状态。支持查询攻击来源、时间、关联服务等信息，支持以攻击时间维度、服务维度记录攻击事件。组件修复方案推荐支持基于组件嵌套调用解析结果、项目构建编译原理，能够针对间接或嵌套引入的风险组件，提供顶层依赖级别的推荐版本，确保顶层开源组件及其下层依赖全链路安全无漏洞。从而解决组件修复时组件重复修、依赖漏洞无法解决、引入新依赖漏洞、依赖风险无法修复等问题。通过依赖修复能够保障组件及其依赖链路安全无漏洞，同一组件仅修一次、修复后依赖链路无漏洞、提高风险修复效率。针对供应商停止维护、代码仓库合并等因断供而无法修复风险的开源软件，能够提供组件替换修复建议。组件选型功能对于开源软件（组件）用途进行分类（数据库、日志处理、IO、消息等），并提供热门组件的健康度（包括：项目年龄、贡献者数量，问题更新频率、发版频率等）和安全性评分。基于建设项目的功能特征，以开源组件的健康度、许可特性、版本及安全性为依据，以可视化方式提供项目开源组件选型构建能力，并可以包管理器类型生成对应的依赖管理文件。报告管理支持以Excel格式导出系统级资产报表，包括但不限于应用、制品仓库、组件、许可、漏洞等资产数据。支持Word、PDF、Excel、SBOM格式导出任务级检测报告，包括但不限于资产统计图、风险分布图，以及组件、漏洞、许可、影响应用范围、应用负责人、联系方式等资产详情。其中SBOM文件支持CycloneDX、Spdx、Swid格式。策略管理可依据漏洞危害等级、是否有公开poc漏洞、漏洞利用难度、漏洞可达性等维度自定义组件的风险等级。支持自定义组件、许可黑白名单，并设置黑白名单作用域。支持将黑白名单应用于应用扫描、组件仓库防火墙阻断、CI/CD流水线阻断。许可配置软件授权需为永久授权，开放源码分析、容器镜像分析、固件二进制分析、组件防火墙、仓库安全扫描、同源分析等所有功能模块许可，软件平台用户开通数目不受限，不限制并发检测任务数量，不限制同时在线管理用户数。不限制仓库对接。并发应用/项目管理数量不少于50个。硬件配置配置1颗10核心，主频不低于2.1GHz的CPU处理器，可扩展至2颗。配置960GBSSD≥3块，最大可支持8块，配置1个阵列卡，12GbpsSAS磁盘阵列控制器，带2GB缓存，支持Raid0/1/10/5/6/50，配置热插拔冗余电源≥2个，配置四口千兆电口。服务要求3年原厂7*24小时，紧急故障15分钟内响应，原厂工程师2小时到现场，原厂商提供安装服务，1年4次现场知识库更新与调优服务。4.5工作重要数据漏洞检测工具（Web、主机、数据库）技术要求序号技术指标指标详细要求产品形态漏洞扫描系统软件部署于便携式管理主机，本系统含便携式管理主机硬件系统。便携式管理主机X86架构CPU、频率≥3.4G、核数不少于4、内存≥16G、硬盘≥1T且为SSD形态、千兆网卡、包鼠。性能参数支持无限制IP扫描，并发系统扫描任务≥6个，并发扫描IP地址≥60个。域名扫描≥100个，并发web扫描任务≥6个。基线配置核查≥100点，并发基线配置核查任务≥5个。总体要求支持在WEB界面网络诊断，包含PING、TRACEROUTE、TCP、HTTP、DNS多种诊断方式。为快速阻断安全漏洞，最大限度提升设备功能，能与防火墙联动，防火墙能根据漏扫提供的资产信息对重要资产信息进行防护，根据漏洞信息自动生成防护规则，保护内网安全，快速阻断具有重大漏洞的主机和系统。支持限制WEBUI、SSH、TELNET方式登陆最大并发管理数，超出限额时，处理策略可选提示不能登陆和踢掉最不活跃的用户。支持磁盘管理功能，能查看和搜索历史扫描收集信息，选择删除无用的数据信息。支持外发至SYSLOG服务器，可将多条日志合并成一条日志传送到日志服务器中，可选择对日志传输是否加密，设定8位的加密密钥。支持任务概况显示，包括任务总数、正在扫描任务、等待扫描任务、已经完成任务、下发失败任务。支持WSUS补丁服务器联动功能。符合GB/T18336-2015《信息技术安全技术信息技术安全性评估准则》安全功能要求。漏洞管理支持扫描系统漏洞数量不少于370000种，Web漏洞数量不少于5000种，数据库不少于3000种。产品漏洞库应涵盖目前的安全漏洞和攻击特征，漏洞库具备至少CVE、CNCVE、CNVD、BUGTRAQ、CNNVD编号。设备厂商具备较强的漏洞报送（发现）能力，设备厂商连续4年为CNVD漏洞信息报送突出贡献单位以及原创漏洞报送（发现）突出贡献单位的证明。支持创建漏洞验证任务，核查漏洞修复情况。支持漏洞项目与工单系统联动，至少支持与JIRA、Bugzilla联动，能够将漏洞修复情况及时与第三方系统同步。联动扫描支持堡垒机联动登录扫描，支持跳板机联动登录扫描。能够获取堡垒机内的资产的凭证信息，实现快速登录扫描，支持凭证信息自动更新，支持自定义更新周期。扫描任务支持同时下发系统扫描任务、弱口令扫描任务、Web扫描任务、基线核查任务。支持扫描主流操作系统、Web服务器、数据库、网络主机、移动设备、应用及软件的安全漏洞。支持扫描虚拟机安全漏洞，如VMWare、EXSI、KVM、XEN、XenServer、HyperV，可扫描漏洞数量不少于4500条。支持扫描大数据组件的安全漏洞，如Spark、Splunk、Kafka、Storm、Cassandra、Ambari、Impala、Solr、Oozie、Hbase、Hadoop等，可扫描漏洞数量大于400条。支持网络打印机、摄像头、移动终端等设备的漏洞发现。支持对扫描任务进行克隆、搜索、导出、删除、查看等操作，支持断点续扫功能。主机存活探测支持ARPping、ICMPping、TCPping、UDPping、TCPSYNPing、TCPACKPing等多种方式。扫描对象支持手动输入、批量文件导入及资产树导入，支持填写排除目标。登录扫描支持ssh、smb、snmp、esxi、mysql、db2、postgresql、mssql、ftp、imap、pop3、pop2、rsh、rexec、rlogin、smtp、telent、gbase、dmdb、oracle、RDP、Redis、MongoDB等类型。Web漏洞扫描能力要求支持设置站点扫描范围，包括：目录扫描、单URL扫描、域名扫描。支持设置目录扫描范围，包括：扫描所有目录、扫描当前目录、扫描指定目录。SSL认证支持输入私钥并导入软证书。支持认证自动登录，提供用户名密码登录、自定义表单登录、cookie登录、登录录制等功能。支持通过代理服务器扫描目标url，代理报文可选http、http1.0、socks4、socks4a、socks5、socks5h等多种类型。支持被动扫描功能，支持http代理和镜像流量两种被动扫描方式。支持网页敏感信息扫描，支持设置敏感字字典。支持自定义http请求，包括UserAgent、httpcookie、httpheader、超时时间、重试次数、表单输入。支持API扫描，通过API扫描补充扫描链接，支持上传csv、wsdl等格式的文件进行扫描。镜像扫描支持镜像漏洞扫描和配置扫描。支持镜像仓库管理，支持本地上传镜像、支持添加互联网上公开仓库中的镜像、支持Harbar、DockerRegistry等私有仓库。提供镜像配置规范模板，模板种类不少于7类，至少包含不安全端口检查、不安全用户检查、容器健康检查、是否禁止递归构建等检查内容。口令猜解支持ActiveMQ、FTP、Highgo、HTTP、IMAP、Kingbase、MongoDB、MSSQL、Mysql、Oracle、POP3、Postgres、RDP、RTSP、SMB、SMTP、SNMP、SSH、Sybase、Telnet、Tomcat、UXDB、Weblogic等弱口令探测。支持自定义口令猜测时间、猜测频率、猜测次数、最大并发线程数。基线配置核查支持主流操作系统配置核查，包括但不限于Windows、BClinux、Solaris、HPUnix、AIX等操作系统，支持中标麒麟、优麒麟、中兴新支点等国产化操作系统。支持防火墙、入侵防御、入侵检测、防毒墙、上网行为管理等安全设备配置核查。支持Elasticsearch、ZooKeeper、Spark、HDFS、Kafka、HBase、Hive、Sqoop、Yarn-MR、Impala等大数据组件的配置核查。支持chrome、IE、Firefox等浏览器配置核查。漏洞验证内置丰富的POC脚本库，通过构造真实可控的请求报文，对目标进行无害化漏洞验证。支持POC自定义功能，提供POC脚本编写模板，可依据业务场景编写符合自身需求的PoC验证脚本导入系统使用。报表能力支持在线报表，可详细展示任务综述信息、主机列表、漏洞列表、对比分析及参考标准，漏洞分布支持风险等级过滤查看。站点在线报表支持OWASP2021、OWASP2017、WASC等标准展示风险类型。质保提供原厂商３年质保维保服务。4.6综合检测工具箱（便携式客户端）技术要求序号指标项指标参数硬件设备防水防摔工具箱，外壳采用加固设计。单颗CPU≥14核，≥20线程，主频≥5GHz。配置≥64GBDDR4内存。配置≥1T固态硬盘。终端信息防护检测工具终端信息防护检测工具支持进程通信隔离检查、网络隔离检查、存储隔离检查、窗口隔离检查、剪切板隔离检查、文件检查等检查功能。数据传输防护检测工具数据传输防护检测工具支持传输加密、网络数字证书证据收集等功能。应用系统防护检测工具应用系统防护检测工具支持应用系统权限划分数据收集、数据分类、数据标识检测、水印技术检测等功能。数据存储与备份检测工具数据存储与备份检测工具支持检测结构化数据加密措施、检测非结构化加密措施、收集存储安全策略等功能。安全保密管理评估工具检测安全保密管理评估工具支持保密监测能力检测、保密监测能力验证、保密监测能力有效性评估等功能。系统功能需求（一）安全沙箱模块1．在个人生活区与工作重要数据区之间可进行状态切换，个人生活区与工作重要数据区可设定不同的桌面壁纸、默认应用程序等配置。2．个人生活区与工作重要数据区之间实现存储隔离，在个人生活区中只能查看普通的存储区域（C、D、E等磁盘），在工作重要数据区中只能看到加密磁盘，个人生活区与工作重要数据区之间数据实现存储隔离。3．在个人生活区对一个文档进行复制，切换到工作重要数据区，在桌面上进行粘贴，成功将文件从个人生活区粘贴到工作重要数据区