《XX软件公司关于XX人民医院网络安全服务功能需求的实施方案(2024年).docx》由会员分享,可在线阅读,更多相关《XX软件公司关于XX人民医院网络安全服务功能需求的实施方案(2024年).docx(38页珍藏版)》请在课桌文档上搜索。
1、XX软件公司关于XX人民医院网络安全服务功能需求的实施方案本项目以贯彻落实中华人民共和国网络安全法和信息系统网络安全等级保护相关标准要求为指导,以提高我院网络安全运行维护和整体防护水平为核心目标,通过开展安全工作,实现以下目标:1、确保我院信息系统满足等级保护要求,顺利通过三级等级保护测评;2、确保我院信息化业务系统的安全、有效、平稳运行;3、为我院建立完善的安全管理体系,配套安全设备、安全人员,让安全工作常态化开展,建立安全监测流程、安全事件处置流程和应急预案使得我院安全工作务实有效全面开展;4、供应商为我院整体安全负责,对接所有安全事项,包括院内部门、等保测评机构、业务系统厂商等;5、为我
2、院网络安全人员提供系统化培训,内容包括合规要求、技术技能、实战经验等方面,整体提升我院信息安全能力;一、总体服务要求1、供应商应具有专业的安全服务团队,为本项目配置项目开展所需的其他技能服务工程师,包括但不限于安全运营工程师、安全技术负责人、安全技术工程师等。所有项目组成员需遵从院方作息时间及指定办公地点。2、服务期间,如遇到我院有新的安全需求,供应商应协助我院提供对应的解决方案,包括软、硬件升级或寻找能够满足对应需求产品。3、服务期间,如因我院业务改造升级等,如须对安全设备进行配套升级时,供商应对安全设备(软、硬件)进行免费升级。更新设备或升级设备需按我院提出时间安排进行更换。4、服务期间,
3、如遇新的网络安全法律法规(如数据安全法)颁布,须及时予以解读并同时向我院提出系统安全改造、升级方案要求,满足我院的网络安全保护工作。5、36个月服务周期结束后,如我院下一年的安全服务还未最终招标确定,则供应商所提供的安全服务工具应无偿顺延至最终确认新中标人(时间不超过3个月的期限)且须与下一年的供应商交接相关工作,以便于我院完成接下来安全服务的工作。6、以上所有条款中涉及的软硬件升级或更换,需按网络安全要求考虑满足日志保存6个月的要求。7、如在服务周期内,安全服务工具如有信创要求的必须,在院方计划安排下,免费升级或更换。8、为保证服务质量,供应商应具备中国网络安全审查技术与认证中心颁发的信息安
4、全应急处理服务资质证书和信息安全风险评估服务资质证书、信息安全服务资质证书(安全集成)。二、项目服务需求清单本期项目以未来三年XX人民医院网络安全工作整体外包为目标,初步梳理以下安全工作需求:序号服务名称数量频率备注1网络安全设备服务1套全年满足医院三级等保所需所有安全设备,服务期过后归院方所有2驻点安全值守保障服务1项人/年3年,现场值守工程师至少持有ClSP注册安全工程师证书3信息系统资产梳理服1项每季度1次按次数提交资产调查表务4风险评估服务1项每2月1次按次数提交风险评估报告5网站安全监控服务1项全年365天每月提交网站安全监控报告6主机监控服务1项全年365天每月提交主机监控报告7安
5、全设备巡检服务1项每月1次每月提交设备巡检报告8应急响应服务1项按需提供按次数提供应急响应报告9网站安全检测服务1项每季度1次按次数提交网站安全检测报告10安全基线设计服务1项每月1次按次数提交相关材料11安全通告整改服务1项按需提供按次数提交安全通告整改报告12安全检查专题保隙服务1项每年不少于2次按次数提交相关安全检查专题材料13主机漏洞扫描服务1项每月1次按次数提交漏洞扫描报告14漏洞跟踪管理服务1项每月1次按次数提交漏洞跟踪管理报告15渗透测试服务1项每季度1次按次数提交渗透测试报告16系统上线测试服务1项每年至少3次按次数提交系统上线测试报告17安全意识培训服务1项每年1次按次数提交
6、相关培训材料18安全应急演练服务1项每年1次按次数提交安全应急预案、安全应急演练报告19重保服务1项每年1次按次数给出重保服务报告20攻防演练服务1项每年1次按次数给出攻防演练报告三、项目服务需求明细1、网络安全运营服务工具本次项目服务过程中,需要提供本项目所需的软硬件服务工具,为保障服务效果,服务工具支持安全设备之联动,至少支持对于所有安全设备分析发现的安全隐患,可以进行命令下发,联动动作包含但不限于阻断、自动检测。若不支持联动,可自带满足医院等保三级所需全部安全服务工具,相关服务工具须具备支持ipv6及ipv4双协议同时使用、或独立使用。1.1、服务工具清单表:由于我院现有服务工具服务结束
7、时间不一致,部分设备已经续不了保,需要替换,部分设备可以续保,可对其续保或替换(使用全新的服务工具来参与公平竞争),在服务期间内,部分设备维保到期的,需及时更换安全设备或续保。序号名称数量单位方式备注一、以下服务工具使用时间太久,需要新增;1核心防火墙2台替换含ips、avUR1.、应用识别等功能和特征库2边界防火墙1台替换含ips、av、UR1.、应用识别等功能和特征库3内网入侵检测系统1台替换4堡垒机1台替换5上网行为1台替换6网闸1台替换7网管系统1套新增不低于150个网络设备、200个虚机授权、30个实体机、30个安全设备及数据库、中间件等450个授权8微隔离系统(东西向流量)1套新增
8、不低于100个授权二、以下服务工具需要续保,也可以使用全新的服务工具来参与公平竞争1外网出口防火墙1台续保/替换含ips、avUR1.、应用识别等功能和特征库2态势感知1续保/替换3外网入侵检测系统1台续保/替换4日志审计系统1台续保/替换5防病毒网关1台续保/替换6WEB应用防护抗攻击系统1台续保/替换7VPN网关1台续保/替换8火绒杀毒2.01套续保不低于500个windows授权、50个1.inUX授权9准入控制系统1台续保2025.12.30过保10各安全设备维保到期时间不一致,在服务期间内,设备维保到期的,需及时更换安全设备或续保1.2、服务工具需求:提供本项目所需必备安全服务工具,
9、要求安全服务工具中的防火墙、WEB应用防护系统、杀毒软件、准入控制系统必须与安全态势感知平台联动,命令下发,联动动作包含但不限于阻断、自动检测。1.3、最低配置要求:下列服务工具配置仅是我院当前最低配置要求,服务期间,如因我院业务改造升级等,须对服务工具进行配套升级时,供应商应对服务工具(软、硬件)进行免费升级。更新设备或升级设备需按我院提出时间安排进行更换。1.3.1、新增服务工具1.3.1.K防火墙服务提供3套防火墙服务,需要A、B两类服务工具,满足以下要求:硬件及性能要求1、其中2套A类工具要求:2U标准机架式设备,模块化设计;标配26个千兆电口,24个SFP+万兆接口,2个网络模块扩展
10、槽,2个USB口,1个控制口,32G内存、128GSSD、4T企业级硬盘,冗余电源;支持堆叠技术,另配堆叠口和堆叠线缆;三年IPS、AV、应用识别特征库升级服务。整机最大吞吐235Gbps,最大并发连接数2500万,每秒新建连接数28万,全威胁处理吞吐28Gbps;2、其中1套B类工具要求:HJ标准机架式设备,标配10个千兆电口,4个千兆光口,2个USB,1个控制口,4核4线程,8G内存,IT硬盘,单电源:含三年IPS、AV、应用识别特征库升级服务,整机最大网络吞吐IOGbPS最大并发连接数220万,每秒新建连接数3万,全威胁处理乔吐2IGbps;功能要求1、支持路由、网桥、单臂、虚拟网线以及
11、混合部署方式;支持源地址转换、目的地址转换;2、支持链路聚合、支持PPPoE接入,支持ARP代理,V1.AN子接口、V1.AN、Trunk、802.3adSTP03、支持对ASP、PHPJSP等主流脚本语言写编的WebSheIl后门通信检测,识别已被植入WebSheIl后门的主机;4、支持配置多个网桥,支持配置网桥IP,网桥模式部署时支持V1.AN、PPPOE和策略路由;5、通过流量被动检测技术实现内部各种漏洞的检测,包括远程代码执行漏洞、OracleMySQ1.SQ1.Server数据库的SQ1.注入漏洞、OpenSS1.心脏出血漏洞、反序列化漏洞等高危漏洞。6、支持查看当前所有配置和规则信
12、息,支持按功能模块进行策略配置备份和恢复。7、支持网络资源分级管控,根据不同的资源等级分配不同的安全控制级别,只允许具有相应级别权限的用户访问,支持终端分级管控,根据不同的终端等级授予不同的访问权限;8、提供基于HTTPS协议的全中文、图形化的Web管理界面进行配置和管理,无需安装客户端管理软件,支持SSH、本地ConSOle、SNMP管理,支持SNMPVlv2cv3,支持集中管理。1.3.1.2、内网入侵检测系统服务提供1套入侵检测系统服务,满足以下要求:硬件及性能要求标准机架式设备,标配6个千兆电口,4个千兆光口,和1个扩展槽,2个USB口,1个COM口,2核4线程,8G内存,128GSS
13、D固态盘,2T企业级硬盘;包含威胁监测、资产发现、资产风险分析、黑客画像功能。每秒TCP新建连接数210万,最大TCP并发会话数2200万,整机吞吐率210Gbps,IDS吞吐率24.5GbpSo功能要求1、展示选定时间内的攻击趋势、攻击总数、攻击源IPTopl0攻击目的IPToplO.攻击协议统计、攻击严重性统计、攻击类型统计、攻击详情;2、展示选定时间内的文件检测威胁趋势、危险文件总数、危险文件下载源IPToplO,危险文件下载目标IPTOPl0、病毒文件类型、文件关联邮箱、文件关联UR1.、文件报告列表,提供病毒文件样本下载功能;3、展示选定时间内的扫描探测趋势、扫描探测总数、扫描探测源
14、IPToPl0、扫描探测目的IPToplO,扫描探测详细信息;4、以全球、中国两个维度,滚动展示今天、昨天、最近7天和最近30天的热点攻击;5、统计和展示高可疑近1小时、8小时、12小时、1天、7天和30天内的告警TOP5、中可以告警Top5和低可疑告警Top5;6、监控和展示系统当前的固态硬盘、机械硬盘使用情况、健康状态;监控和展示系统各个网络接口的收发包流量和网络连线情况;7、事件详情查看中以分类规整方式动态嵌入与之相关的攻击证据,并能实现证据内容的无限次数的钻取。分类方式应包括:尝试获取用户信息、疑似敏感行为、尝试获取用户权限、疑似Web应用攻击、疑似木马活动、病毒扫描、协议异常、网络扫
15、描、异常连接;1.3.1.3、堡垒机服务提供1套堡垒机系统服务,满足以下要求:硬件及性能要求2U模块化设计,标准配置8个千兆电口、4个千兆光口;2个IJSB口,1个控制口,4核4线程,16G内存,IT企业级硬盘;内置前置机系统。资源投权点数:220;字符型并发数:900;图形型并发数:300功能要求1、支持对图形操作界面的文字内容进行识别并文本记录;支持以关键字进行图形搜索,搜索出来的结果可以直接定位到相关图形画面进行回放。2、支持展示用户构成分析,支持按照活动用户、被锁定用户、临时用户、30天未登录用户进行饼状图表展示分类,支持用户角色构成、分布分析。3、支持根据设备、系统帐号、时间、频率、
16、改密方式生成详细的改密计划,到期自动执行;支持随机生成不同密码、手动指定密码、根据密码规则生成等;改密结果可以支持邮件、密码信封、FTP、ZIP、EXCel加密文件等形式外发或下载;支持手动备份设备密码到本地、FTP服务器,支持打印密码信封;4、告警策略支持以短信、邮件方式发送,支持告警接受内容为时间拦截、地址拦截、指令拦截,告警来源可设置为用户、用户组;5、支持口令修改计划,按照密码策略或手工指定方式进行自动或手动执行口令修改任务;支持账号同步计划,按照策略进行自动或手动执行账号同步任务;支持实时查看当前任务执行情况;6、支持工单管理,用户可创建电子工单,内容包括:用户账号、设备资源、系统账
17、号、协议类型、拟执行命令、时间窗口等;电子工单提交给配置管理员审批,审批通过后,即时生效;支持对未处理工单、已完成工单、延期工单等统计分析;7、命令操作审计支持全文回放、支持从任一条命令点开始回放;输入输出在同一界面展示,并能自动以不同颜色标记出被系统拒绝、切断的操作;支持以输入或者输出结果中的任意字符为关键字进行搜索,搜索结果局亮显不;1.3.1.4、上网行为管理服务提供1套上网行为管理系统服务,满足以下要求:硬件及性能要求标准机架,标准配置6个千兆电口,4个千兆光口、2个USB,1个控制口,2核4现场,8G内存,IT硬盘;适用带宽2200M,适用用户数2500人,网络吞吐量3G,最大并发连
18、接数80万,每秒最大新建连接数30000;功能要求1、支持对内网电脑终端的操作系统和运行的进程进行检测,对不符合要求的终端禁止上网。2、能够对网络共享行为进行检测,并把共享IP加入黑名单,例如无线路由器共享、360WIFl共享限制等。3、根据每用户在连续一段时间的“上行速率/下行速率”、并发会话数(上行/下行)、新建会话数(上行/下行)超过预设阀值,则自动进入黑名单;对进入黑名单的用户可采取强制下线或修改阀值的方式进行惩罚。4、支持基于轮询的多链路负载均衡算法,支持基于链路的下行流量自动均衡的多链路负载均衡算法,支持基于最佳路径的多链路负载均衡算法。5、必须支持IM账号白名单功能,IM账号不在
19、白名单,不允许登陆,支持IM即时通讯的过滤(登录/聊天/文件传输/语音聊天)。6、支持终端类型(PC,android,苹果)识别,可识别手机操作系统和IP地址,并可将其添加到信任列表或者拒绝上网。7、可自定义基于协议和端口的对象,可根据协议、端口、报文长度、报文特征、目的IP等信息自定义特征识别规则。8、支持将特殊协议(如1.2TP、GRE、1.WAPP、CAPWAP等)的协议头剥离掉,对特殊协议封装内的原始数据进行认证、审计和控制。9、支持多路PPPoE拨号,DHCPReplay/Server,支持DNS代理和DNS缓存;支持GRE隧道、IPSeCVPN、PPTP、1.2TPVPNo1.3.
20、1.5. 网闸服务提供1套网闸系统服务,满足以下要求:硬件及性能要求内端机6个千兆电口、2个SFP接口、1个控制口、2个USB接口;外端机6个千兆电口、2个SFP接口、1个控制口、2个USB接口;2核4线程,4G内存,网络吞吐2800Mbps;系统延时1ms;MTBF50,000小时;最大并发连接数:100,000功能要求1、采用2+1系统架构即由内网单元、外网单元及安全数据交换单元三个物理部件组成。2、支持访问控制,对象包括:源地址、目标地址、应用、时间、并发数等;支持内容关键字、文件类型过滤;支持病毒检测功能。3、支持设备配置的导入、导出、备份还原功能;支持自动备份功能,会自动备份配置并上
21、传到服务器。4支持Ping、traceroutetelnet、抓包等工具方便排查故障。5、具有完整的审计日志:系统日志、管理日志、访问日志、攻击日志、内容过滤日志、文件交换日志、数据库交换日志;日志支持SYS1.OG外传。6、设备支持透明、代理、路由、WEB代理工作模式,可设定安全通道的传输方向。7、设备内置各类常用应用支持模块,内置的应用至少包含HTTP、SS1.、FTP、POP3、SMTP、FTP、SMB、MYSQ1.、SQ1.、ORAC1.E;可根据应用协议的命令、动作、参数进行控制;支持自定义应用,支持应用组,支持根据应用启停日志记录功能。8、内置视频交换功能,支持平台级联和视频点播两
22、种模式;支持海康、华为、华三、大华、公安一所、科达等多个视频厂商;可根据视频信令进行控制。9、设备自身支持数据库应用同步功能,无需另装同步软件;支持ORAC1.E、SQ1.SERVERMYSQ1.SYBASE、DB2、POSTGRESQ1.等多种主流数据库的同步,支持国产达梦数据库、人大金仓数据库的同步。1.3.1.6. 网管系统服务提供1套网管系统服务,满足以下要求:平台要求授权管理数450网元。实现UPS、小型机、服务器、网络设备、存储设备、操作系统、数据库、中间件的集中监控及运维。实现故障集中告警、集中展示、快速故障定位等,三年原厂技术支持和服务。功能要求1、系统支持IT基础架构全链路的
23、监控需求,包括UPS、小型机、服务器、网络设备、存储设备、操作系统、数据库、中间件等。2、支持X86服务器的监控,监控内容包括X86服务器的CPU、内存、电源、硬盘、风扇、温度传感器等各个组件运行状态的监控和告警。3、支持网络设备的监控,监控内容CPU、内存使用率,部件状态、各端口的流量、利用率、丢包情况和出错率等信息。另外还要求可以通过自定义SNMP监控,监视指定的性能指标。4、支持存储设备的监控,支持对主流厂商的存储设备监控,监控内容包括控制器、电池、磁盘、电源、风扇、链路卡、端口、存储池、1.UN等的运行状态进行监控。5、支持安全设备的监控,支持对安全设备的可用性、性能、容量等指标监控,
24、可根据用户实际情况快速适配安全设备告警或安全日志的监控。6、支持对VMWareVCenterHyper-VXenServerK8SDocker的监控。并可获取CPU利用率、磁盘利用率、宿主机列表及其占用资源情况等关键运行参数。7、支持WindowS操作系统监控,监控内容包括CPU、内存、换页空间、服务状态,各磁盘使用情况,网络使用情况、事件日志等进行监控和告警。8、支持IirlUX操作系统监控,包括ARM版本的IinUX系统,例如银河麒麟等,监控内容包含、CPU、内存、进程和换页空间使用情况、文件系统空间使用率,磁盘I/O读写统计、网络I/O使用情况统计等进行监控和告警。9、支持对应用进程、S
25、CrViCeS监控,监控内容包括对进程的和services运行状态、CPU和内存使用情况进行监控和告警。10、支持对分布式数据库、分布式缓存、分布式消息队列、分布式文件系统、分布式计算框架、分布式服务框架、分布式容器等开源组件监控。11支持OraclesqlserverMysqlMongodbPostgresql,redis,ES、人大金仓(Kingbase)达梦(DM)、南大通用等国产主流数据库监控库。12、支持对B/S架构的业务系统UR1.检活,如:响应速率、返回码、状态等,支持以业务系统为角度的监控,包括业务系统整体健康度、组成资产对象列表、业务拓扑等。13、支持知识库知识推送:当平台产
26、生告警工单,系统可以根据告警的类型,平台推荐算法自动推送相关的知识,为运维人员解决问题提供帮助。14、系统具备资产信息管理功能,系统管理范围内的IT资源信息(包括各类参数)进行录入、修改、删除等操作,支持对管理范围内的IT资源对象实例之间的关联关系进行快捷管理,需具备单独的资产信息管理入口,为提高CMDB配置及变更的效率,资产关系管理需采用图数据库管理。15、系统采用多级用户设计,可对运维服务商、服务商值班工程师、服务商现场工程师、用户主管、用户工程师等角色分别生成及管理。16、系统支持智能检测及动态阈值功能,内置单指标或多指标异常检测的机器学习算法模型。运维平台内置算法需具备有监督学习和无监
27、督学习的异常检测多种算法模型。具备多算法投票功能,当超过多数模型判断为异常,即推定为异常数据,提高智能算法异常检测的准确率和召回率。17、系统支持告警聚合、工单聚合,以大幅度降低告警及工单数量,提高运维服务响应的效率。需通过时间维度、业务链路维度等多种策略实现多告警合并为事件,事件所包含的告警条目可有条件触发为工单,也可人工将事件升级为工单。18、系统支持对监控对象的监控指标时序性数据的保存和展示,可快速以图形化形式展示最近1小时、最近3小时、最近6小时、最近24小时和最近3天的监控数据连续性的变化趋势,方便运维服务人员快速分析处理问题。19、系统支持自定义复杂告警逻辑,支持多条件组合告警策略
28、,支持告警聚合等功能以有效减少告警误报量。20、系统支持提供IT系统运维实时状况的大屏展示,包括资产状态、告警、工单信息、自定义资产监控项的TOPN实时展示等。运维监控服务平台需支持移动端展示,方便用户或相关人员快速接收运维相关信息。1.3.1.7、微隔离系统(东西向流量)提供1套微隔离系统服务,满足以下要求:平台要求具备主流操作系统兼容性,主机代理(Agent)支持WindOWS2008R2以上64位服务器操作系统,及CentOSUbuntuRedhat等主流1.inux发行版。单控制台集群最大可纳管1000个工作负载。本次配置不低于100个授权;功能要求1、具备较低的性能开销,主机代理(A
29、gent)在2核CPU、2GB内存规格的虚拟机稳态运行时,CPU占用率不超过1%,内存占用不超过100MBo2、具备工作负载标签化管理功能,应能够为工作负载设定至少4个维度的标签以标识其业务属性。3、具备工作负载正常网络流量/阻断流量/违规流量学习功能,可识别流量的源IP、目的IP、协议和端口、连接次数、最近访问时间/阻断时间/预阻断时间、策略匹配情况等详情信息,并可基于访问源、访问目标、服务、连接次数/阻断次数/预阻断次数、发生时间等进行筛选检索。4、具备基于身份的策略功能,能够基于源工作负载访问流量报文中嵌入的唯一身份标识信息进行访问控制。5、具备动态协议控制功能,支持对FTP/TFTP协
30、议的动态端口进行最小特权的白名单控制。6、具备基于时间的策略功能,能够按单次计划、周期设置策略生效时间段。7、具备管理员三权分立功能,可为管理员设置相互制约的角色,可限制用户查阅、配置、发布等操作权限。1.3.2.以下服务工具可以续保,也可以使用高于提供的性能参与竞价1.3.2.K外网出口防火墙续保服务续保或新增1套防火墙服务,满足以下要求:硬件及性能要求标准机架,标准配置6个10/100/100OM电口,一个扩展槽,2个USB口,1个CoM口,2核4线程,4G内存,IT硬盘;最大吞吐量:4Gbps,并发会话22.5M,新建会话260K,VPN吞吐量21.5Gbps,防病毒吞吐量21.OGbp
31、s,IPS吞吐量21GbPS且每个端口均可做独立的安全域;功能要求1、支持路由、网桥、单臂、虚拟网线以及混合部署方式;支持源地址转换、目的地址转换;2、支持链路聚合、支持PPPOE接入,支持ARP代理,V1.AN子接口、V1.AN、Trunk802.3adSTP03、支持对ASP、PHP、JSP等主流脚本语言写编的WebSheIl后门通信检测,识别已被植入WebSheIl后门的主机;4、支持配置多个网桥,支持配置网桥IP,网桥模式部署时支持V1.AN、PPPOE和策略路由;5、通过流量被动检测技术实现内部各种漏洞的检测,包括远程代码执行漏洞、OracleMySQ1.SQ1.SerVer数据库的
32、SQ1.注入漏洞、OPenSS1.心脏出血漏洞、反序列化漏洞等高危漏洞。6、支持查看当前所有配置和规则信息,支持按功能模块进行策略配置备份和恢复。7、支持网络资源分级管控,根据不同的资源等级分配不同的安全控制级别,只允许具有相应级别权限的用户访问,支持终端分级管控,根据不同的终端等级授予不同的访问权限;8、提供基于HTTPS协议的全中文、图形化的Web管理界面进行配置和管理,无需安装客户端管理软件,支持SSH、本地Console.SNMP管理,支持SNMPvlv2cv3,支持集中管理。1.3.2.2、态势感知平台续保服务续保或新增1套态势感知平台服务,满足以下要求:硬件及性能要求2U标准机架式
33、设备,全模块化设计,标配10个千兆电口,3个扩展槽,4核8线程,32G内存,1块4T硬盘,2个USB接口,1个COM口;配置150个监控节点授权;单电源;含资产发现、漏洞扫描、安全事件采集、工单管理、多源日志关联分析、可视化大屏等功能。安全事件采集能力26000EPS;280亿条日志存储能力功能要求1、支持采集的设备类型:路由器、交换机、防火墙、IDS/IPS.WAF应用防火墙、APT威胁检测防御设备、数据库审计、网络审计、堡垒机、主机监控系统、安全扫描设备、网页防篡改系统、WindOws、1.inuxUnixApacheIISJBOSs、TomcatNginx、Web1.ogic、牙木DNS
34、等;2、资产审核:支持资产的审核管理,与资产自动引擎识别等资产进行审核与信息不全,实现资产自动发现、资产审核以及资产入库管理的资产全生命周期管理;3、支持事件的分类规则,可分为九大类、百余子类的事件分类,包括:网络安全事件、数据安全事件、业务安全事件、内容安全事件、主机安全事件、可用性安全事件、异常网络访问安全事件、合规性事件、系统运行事件。4、工单管理:支持漏洞、告警的派单处理,按照安全运维的设定流程进行工单流转并最终到达该告警的负责人,该负责人进行告警事件的处理,在处理过程中,该工作单的处理过程的各个状态可查看、可追踪。5、支持大屏展示综合态势,从资产、漏洞、攻击、告警等维度呈现整体安全状
35、态,包括安全评级、资产总数、漏洞分布、漏洞top5、高危漏洞、告警总数、已封堵ip、安全事件趋势等信息。6、支持大屏展示资产态势,包括业务总数、资产总数、新增业务系统、新增风险业务系统、新增资产、新增风险资产、新增高危漏洞资产、资产应用Web服务top5、资产概况趋势、资产设备类型分布、开放服务排名等;7、资产发现:内置资产自动发现引擎,支持与公安部一所、Webray、FOFA,知道创宇等第三方资产发现引擎联动,自动发现网络中的新资产,识别资产的IP、UR1.、端口、服务、操作系统、安装的中间件、数据库等属性;8、具备丰富的资产管理属性,支持通过资产名称、IP、域名、UR1.、所属单位、负责人
36、、所属网络、所属业务、部署位置、等保定级、维护方等属性对资产进行标识和管理;9、关联分析:支持针对日志或事件类型进行事件关联分析规则配置,并内置规则,包括:失陷主机活动、敏感数据传输、数据泄露、SQ1.注入、提交WebShen代码、违规访问敏感文件、代码执行攻击等;10、支持对日志可信度判断和标记。并通过规则进行配置定义。11、支持的日志采集方式包括但不限于:SyslogSNMPTrap、Ka:fka、WebAPI接口、FTP、Netflowagent、ODBC等方式采集日志。12、实现漏洞生命周期管理,提供包括漏洞扫描任务创建、漏洞扫描结果确认、漏洞派单处置等流程在内的漏洞闭环处置。13、支
37、持自动绘制黑客IP画像,基于攻击链展示黑客IP的攻击行为,描绘IP的攻击对象Top5归属地、资产名称、所属应用、所属单位、所属网络、漏洞信息;1.3.2.3、外网入侵检测系统(探针)续保服务续保或新增1套入侵检测系统(探针)服务,满足以下要求:硬件及性能要求标准机架,标准配置10个10/100/100OM接口,支持扩展3个扩展槽;2个USB口,1个(:0卜1口;2核4线程,8G内存,IT企业级硬盘;每秒并发TCP会话数290000;最大并发TCP会话数2900000;最大包处理能力21000Mb;功能要求1、展示选定时间内的攻击趋势、攻击总数、攻击源IPToplO.攻击目的IPToplO攻击协
38、议统计、攻击严重性统计、攻击类型统计、攻击详情;2、展示选定时间内的文件检测威胁趋势、危险文件总数、危险文件下载源IPTOPl0、危险文件下载目标IPToplO、病毒文件类型、文件关联邮箱、文件关联UR1.、文件报告列表,提供病毒文件样本下载功能;3、展示选定时间内的扫描探测趋势、扫描探测总数、扫描探测源IPToplO.扫描探测目的IPToplO扫描探测详细信息;4、以全球、中国两个维度,滚动展示今天、昨天、最近7天和最近30天的热点攻击;5、统计和展示高可疑近1小时、8小时、12小时、1天、7天和30天内的告警ToP5、中可以告警Top5和低可疑告警Top5;6、监控和展示系统当前的固态硬盘
39、、机械硬盘使用情况、健康状态;监控和展示系统各个网络接口的收发包流量和网络连线情况;7、事件详情查看中以分类规整方式动态嵌入与之相关的攻击证据,并能实现证据内容的无限次数的钻取。分类方式应包括:尝试获取用户信息、疑似敏感行为、尝试获取用户权限、疑似Web应用攻击、疑似木马活动、病毒扫描、协议异常、网络扫描、异常连接;1.3.2.4、日志审计系统续保服务续保或新增1套日志审计系统服务,满足以下要求:标准机架式硬件设备,1个管理网口/5个工作网口,3个扩展槽最大可扩充硬件及性能要至30个千兆接口,4核4线程,4G内存,4T硬盘,无需在被采集目标系统求上安装任何软件;产品功能的实现无需额外增加服务器
40、等设备。采用B/S架构操作方式,可支持无需安装客户端软件。平均日志入库速率2300000条/秒;综合性能50000条/秒(实时关联分析);支持到220个管理设备;日志容量:25亿条功能要求1、至少应包含资产管理、拓扑管理、日志采集、日志处理、日志存储、日志查询、日志分析、日志统计、日志报表、仪表呈现等基本功能,无需额外授权。2、支持网站监控功能,可监控网站的访问量、响应时间、攻击事件、告警等。Q3、支持日志归并功能,对收集到的重复的日志进行自动的聚合归并,减少日志量。4、支持灵活多样的日志检索方式,可根据日志的级别、IP、端口、类型、编号、用户名、地理位置等属性进行组合精确查询;支持自建表达式
41、的高级检索方式。5、提供预置审计策略模板,包括:Windows主机类审计策略模板、1.inUX/Unix主机类审计策略模板、防火墙类审计策略模板、扫描器类审计策略模板、IDS/IPS类审计策略模板、防病毒类审计策略模板、数据库系统类审计策略模板、萨班斯审计策略模版、等级保护审计模板等;支持从模板创建审计策略。6、支持全局检索功能,能根据输入的关键字,对资产、告警、事件进行全局检索。7、支持SySlog、SNMPTrap、文件导入、持SSMB、数据库等日志采集方式。8、内置不少于300种设备的日志解析规则,设备品牌包含但不限于:华为、H3C、深信服、天融信、绿盟、黑盾、锐捷等;解析规则可定制扩展
42、。9、支持资产自动发现功能,可对网络中的资产进行搜索,搜索结果可转化为资产。支持拓扑管理功能,可根据资产生成拓扑,并可通过拓扑查看资产事件、告警等。1.3.2.5、防病毒网关续保服务续保或新增1套防病毒网关系统服务,满足以下要求:硬件及性能要求2U标准机架,标配6个1000M电口,2个USB口,1个COM口,2核4线程,4G内存,IT硬盘;HnP吞吐量21000Mbps,在线用户数21500;功能要求1、支持IPV4、IPv6双栈网络环境,可分别配置IPV4、IPV6的接口IP、路由、管理方式。2、支持WEB界面的BYPASS开启与关闭,支持自动BYPASS及震荡参数设定,支持网桥接口异常状态
43、传递功能。3、支持在WEB界面进行PlNG、TRACEROUTE、TCP连接测试、DNS解析测试、捕包等网络调试功能。4、支持病毒引擎各项参数配置,包括扫描超时时间设定,文件扫描尺寸设定(默认不得低于60M,最大支持2048M),压缩层数扫描设定(支持20层)。5、支持多种过滤策略,包括:破坏、隔离、阻断、告警、不过滤。6、支持文件病毒、APP病毒、蠕虫、木马通讯、勒索活动、APT通讯、WEB攻击、安全漏洞、恶意IP、可疑UR1.等网络威胁类型的识别、防护。7、界面支持可疑样本提交、分析功能,在无需联网下即可识别。支持格式包括:文件型样本和网络层PCAP包格式。8、支持病毒库、入侵库双库分项管
44、理,病毒库数量至少1200万,入侵库数量至少1万条,双库应支持互联网在线更新、离线更新、设备间指向更新;支持病毒库、入侵库版本回滚,至少支持3个版本回滚。1.3.2.6、WEB应用防护抗攻击系统续保服务续保或新增1套Web应用防护抗攻击系统服务,满足以下要求:硬件及性能要求标准机架,标准配置6个10/100/1000M接口和1个扩展槽;可支持扩8口的千兆光或者电模块,整机最大可以支持14个1000M接口,2核4线程,8G内存,500G硬盘;HTTP吞吐:1200Mbps,HTTP新建连接(CPS):90000,HnP最大并发:900000;功能要求1、支持HTTP访问控制,可根据实际网络状况自
45、定义请求方法等参数的访问控制规则,过滤非法请求。2、应能识别和阻断注入攻击,支持防扫描陷阱、爬虫防护,支持文件上传、下载过滤。3、支持IDP防御功能,并提供IDP防御特征库,特征库需要提供10种类型并提供至少100OO条IDP特征库;支持IDP防御策略设置,支持防护等级、处理动作,特征库等多项策略选择。4、支持通过移动终端管理,不需要安装APP和第三方插件,通过手机浏览器即可,并可管理设备实现网站快速应急处置;5、对网页请求/响应内容中的非法关键字进行检测、过滤,识别和防止敏感信息泄露,支持弱密码保护功能;6、支持通过自学习的UR1.参数的长度、类型、范围及请求方法等数据特点创建黑白名单模型,
46、如果参数违反模型则判断为非法流量,直接执行阻断或封禁动作。7、支持第三方威胁情报库更新,支持利用威胁情报规则进行防护,可基于威胁情报的日志查询。8、支持网站自学习建模,可通过学习UR1.、host等信息展示网站结构树形图,并支持对UR1.的访问量和响应健康度进行图形化统计。9、支持HTTP协议校验,可根据实际网络状况自定义协议参数合规标准,过滤非法数据。1.3.2.7、VPN网关续保服务续保或新增1套VPN网关系统服务,满足以下要求:硬件及性能要求标准机架,标准配置6个10/100/100OM接口和1个扩展槽;2核4线程,4G内存,支持100M(SS1.),280M(3DES+SHA)加密吞吐量,最大支持500个SS1.VPN并发接入,1000个IPSEC隧道,100个PPTP;SS1.VPN标配许可不低于50个并发。功能要求1、支持PC、笔记本终端和移动智能终端接入,支持WindowSXPJVindows7Windows8、Windows10、Android终端操作系统。2、支持HTTP、HTTPS协议的WEB透明代理功能;
