《网络信息一体化监管服务项目采购需求.docx》由会员分享,可在线阅读,更多相关《网络信息一体化监管服务项目采购需求.docx(12页珍藏版)》请在课桌文档上搜索。
1、网络信息一体化监管服务项目采购需求一、项目概况为了确保XX市规划和自然资源调查监测中心(XX市地理信息中心)维护的相关信息系统的可靠运行,全面、有效地防范和降低系统风险,实现网络信息一体化管理,保障相关信息系统平台稳定运行及数据安全,需要以购买服务方式,购买网络信息安全一体化监管服务。主要包括:(1)态势感知服务:网络重要资产的漏洞、弱口令、配置弱点等网络安全风险实现风险收集、归并、告警、分发,参考风险评估规范及相关指导文件,结合风险感知将资产价值、威胁、脆弱性等进行融合加权计算,形成量化指标,为安全分析提供参考。(2)基础设施、应用、网络、数据库安全监管服务:管理的基础设施资源,包括主流的操
2、作系统、网络设备、安全设备和数据库等实现统一接入认证、统一集中资源管理、统一资产设备管控服务、统一日志归集与分析。(3)国产化杀软、准入、非法外联管控服务:国产化安全管控平台,实现杀毒、准入控制、网络非法外联统一集中管控,实现全市信创客户端1500个节点接入管控,提供现场技术支持服务。(4)业务专网安全技术保障服务:对中心机房(华通云机房、兴仪托管机房、文三路15号机房、文三路档案大楼机房、市民中心C座机房)服务器、存储设备、网络设备、安全设备等提供巡检、日常运维、应急支持保隙,提供安全、主机等日常现场技术支撑服务和现场巡检。合同履行期限:合同签订之日起12个月。二、项目须执行的标准、规范服务
3、队伍响应及时,技术先进、可靠、安全;有完善的应急故障处理机制,要求提供7X24小时服务。三、服务内容清单:序号内容数量1威胁态势感知服统一安全策略管控服务1项务统一内容溯源跟踪审计服务安全事件管理和预警与处置服务2基础设施、应用、网络、数据库等安全监管服务统一认证接入服务1项统一资产设备管控服务日志统一归集与分析服务3国产化杀软、准入、非法外联管控提供国产化杀毒、准入控制、网络非法外联统一集中管控,实现全市信创客户端1500个节点接入管控,提供现场技术支持服务。1项4业务专网安全技术保障对中心机房(华通云机房、兴仪托管机房、文三路15号机房、文三路档案大楼机房、市民中心C座机房)服务器、存储设
4、备、网络设备、安全设备等提供巡检、日常运维、应急支持保障,提供安全、主机等日常现场技术支撑服务和现场巡检。1项四、服务具体要求(1)威胁态势感知服务1项指标项技术规格要求态势展示服务1、将所有态势大屏进行集中展示,帮助客户快速预览大屏的关键指标项。引用资产、脆弱性和威胁告警数据,分析全局风险等级,能够直观呈现综合安全态势以及各资产分组安全态势,通过综合安全态势协助用户快速提升安全管理能力。将资产探查、流量解析和数据同步等多种途径获取的资产信息统一呈现,能够直观展示内网资产数量、资产注册情况、资产分布情况、资产发现来源以及资产发现态势让用户摸清企业家底。按照业务资产分组展示对应资产风险,以及资产
5、、脆弱性和告警状况,实时呈现全局风险状况和变化趋势。另外包括支持展示全网脆弱性态势、外部威胁态势、内网威胁态势、攻击者态势、安全运营态势、威胁预警态势。2、对网页篡改、Web漏洞、主机漏洞、网站挂马、植入暗链、敏感词漏洞进行重点展示资产识别支持主机类资产识别能够识别资产数据来源、IP地址、主机名、MAC地址、基线异常、操作系统、操作系统详请、主机类型、服务与端口、状态、责任人、EDR状态、标签、最近上线时间、所属资产组织、资产名称、应用、IP类型、识别方式、首次发现时间及备注等。(1)支持自定义配置资产指纹识别规则,可基于流量行为细化资产类型,支持资产类型识别规则自定义和属性指纹特征自定义。(
6、2)支持跨三层取MAC地址,识别资产MAC地址,并能够解决不同资产IP冲突问题,以及DHCP场景IP变更的问题。资产全生命周期管理支持自定义资产多级分支管理,最多可至15级分支。支持资产全生命周期自动管理,包括资产自动发现、多级资产、资产入库审核、资产离线风险识别、资产退库、资产数据更新,责任人管理机制等。脆弱性管理支持整体展示服务器脆弱性风险、热点漏洞情况、脆弱性风险详情(漏洞风险、配置风险、弱密码、Web明文传输、可用性风险),支持第三方漏扫报告导入和析,可按资产组分类上传。弱口令识别弱密码识别支持主动扫描,支持加密协议的弱口令登录检测,支持SMB、MySQ1.sOracle、RDP、SS
7、H、RediSMongoDBElasticSearch、MSSQ1.等协议。漏洞分析持流量实时识别漏洞分析,漏洞分析类型包含配置错误漏洞、OPenSSH漏洞、OPen1.DAP等操作系统、数据库、Web等,页面上支持展示业务脆弱性风险分布、漏洞类型分析、漏洞态势与危害和处置建议,并支持导出脆弱性感知报告。统一安全策略管控服务要求1、能够与上网行为管理系统、防火墙、终端安全准入系统、应用防火墙等产品进行联动,可针对关联分析后确认的失陷主机、恶意IP、域名、UR1.和问题帐号等下发联动处置任务。2、能够与终端安全管理系统联动,针对已被确认的恶意文件和失陷主机下发联动处置任务,有效缩短威胁防御时间,
8、遏制威胁态势进一步升级。统一内容溯源跟踪审计服务要求1、检索海量日志数据,对威胁告警、安全事件进行溯源分析,日志检索功能提供快捷模式和高级模式,满足不同用户对日志检索语法、溯源效率的要求。2、通过调查分析、攻击链分析、时间线分析等,使得安全专家或安全运营人员能够对日志、告警、资产、漏洞、弱口令、配置核查、情报等证据信息进行归纳整理,帮助其拓展分析思路,辅助其多角度研判威胁,还原攻击过程和威胁发生的切入口。3、具备报文检测引擎,可实现IP碎片重组、TCP流重组、应用层协议识别与解析等;具备多种的入侵攻击模式或恶意UR监测模式,可完成模式匹配并生成事件,可提取UR1.记录和域名记录。安全事件管理、
9、预警与处置要求1、提供威胁预警,完成企业内部网络安全影响面评估,并持续跟进事态的发展,协助用户快速完成网络安全事件的预警及处置。2、动态监控安全事件包括综合监控、告警统计、资产风险统计、脆弱性统计、口志统计等。3、挖矿专项检测,可实时查看挖矿各个攻击阶段,包括感染挖矿病毒、与控制端建立通信、获取挖矿任务、尝试挖矿、挖矿成功等;支持挖矿币种分布、挖矿风险态势、受影响主机等维度分析统计。4、脆弱性监测:对存在的脆弱性进行探查,包括SQ1.注入漏洞、跨站脚本漏洞、开放服务漏洞、网站第三方应用漏洞等,及时发现漏洞。5、安全事件监测:对系统后门进行监测;对被植入暗链进行监测。对系统重要页面或者其他指定页
10、面篡改变更进行监测;对网页敏感内容进行监测,如“博彩”、“色情”等。6、提供五种以上Web扫描策略,高危漏洞、中危漏洞、低危漏洞、SQ1.注入漏洞、跨站脚本攻击漏洞等7、根据事件类别,通过远程和现场支持的形式协助客户对遇到的突发性安全事件进行紧急分析和处理。主要工作内容包括:突发事件相关信息的收集、事件的分析、报告提交、问题解决建议等8、重要时期安全保障要求,针对国家规定的法定节假日、重大会议、政治活动及其它具有广泛影响的活动,运维工程师做好前期重要业务的检查、安全扫描、网络安全加固等准备工作,确保在重要敏感时期的网络安全。9、应急预案及操作演练要求:包括但不限于拒绝服务攻击DDOS、网页篡改
11、、病毒事件等场景,进行预案编制、修改完善等工作内容。由有经验的高级工程师进行现场应急预案的操作演练,目的在于检查应急预案的可行性,同时提升安全工作人员的事件应急处理能力。10、每季度提供威胁态势感知服务安全风险报告1份。主机行为EBA分析支持利用EBA技术进行资产的行为分析,对这些对象进行持续的学习和行为画像构建,以基线画像的形式检测异于基线的异常行为作为入口点,结合以降维、聚类、决策树为主的计算处理模型发现异常用户/资产行为。并支持用户对EBA基线进行自定义调整,优化模型。事后异常行为检测具备元数据行为分析引擎:httpflowdnsflowadfIowicmpflowmaillflow等,
12、通过异常行为分析,结合各类机器学习算法完成未知威胁检测。包括:内网穿透、代理、远控、隧道、反弹shell等事后检测场景。(提供功能截图)(2)基础设施、数据库、网络、应用等安全监管服务1项指标项技术规格要求统一认证接入服务要求1、根据用户场景的实际需要,为不同用户提供不同类型的认证方式,能集成现有认证方式,例如AD域、1.DAP、Radius,实现用户认证的统一管理2、提供统一集中的资源账户管理,支持管理的资源包括主流的操作系统、网络设备、安全设备和数据库等资源。3、支持动态口令牌认证采用SM3国密算法且内置于系统中,用户无需额外部署认证服务器。4、支持资源帐号全生命周期管理,可方便添加、删除
13、、修改、查看、激活、未激活资源账号。5、支持以EXCE1.方式批量导入、导出资源账号,对重复数据的导入可支持跳过或覆盖处理。6、支持通过组织机构分级实现对帐号各类角色的权限管理,使得不同机构的管理员、普通用户只能管理或者访问自己机构或下级机构的资源。7、支持动态授权模式,即通过授权资产后,该资产后续添加的协议或账号均会进行动态授权,无需再人工干预。统一资产设备管控服务要求1、参考风险评估规范及相关指导文件,结合态势感知将资产价值、威胁、脆弱性等进行融合加权计算,形成量化指标,给安全分析人员提供参考。2、结合态势感知实现对重要资产的漏洞、弱口令、配置弱点的收集和管理,并将漏洞、弱口令和配置弱点的
14、结果同步到风险分析中,参与风险计算。3、建立资产信息、资产分组信息,支持录入以下类型资产:主机设备、终端办公主机、网络设备、安全设备和应用系统等。4、资产自动发现提供多种方式,包括网关扫描、种子扫描及手动设置网段扫描等,可自动、批量发现网络环境中的IT基础设施,并进行识别与归类。5、支持资产IP信息总概览,图示化所有被管资产IP地址的状况,系统通过不同颜色直观标识出未使用、己使用、暂态或保留和非保留的IP地址,为IP地址的分配与合理利用提供依据。6、支持资产自定义检验脚本、运维管控脚本、改密脚本以及自定义脚本测试,实现所有资产的运维及改密功能。7、支持运维管控脚本批量定时执行,可按照日、周、月
15、设置执行时间,可批量上传多个脚本,可根据设备、协议、设备账号、脚本目录、结果存放目录等创建自动脚本任务8、支持通过手动或定时任务两种方式收集各资源上的幽灵账号。9、支持系统告警管理,可设置登录重要资产告警、磁盘告警、服务到期提醒、系统自检异常告警、资产被运维管控告警、资产运维管控行为突变告警等告警的设置,可设置触发告警时通过邮件、微信等多种方式发送告警通知。10、虚拟组件监控:支持对VMwareESX/ESXi的监控,能够监控物理服务器与在其之上的虚拟服务器,能够监控虚拟服务器的磁盘、网络、性能等指标,并能对虚拟服务器上部署的VM虚拟进行监测;实现短信告警。11、网络设备监控:支持对主流网络设
16、备的监控,能够监控的设备包括但不限于:SAN网络节点、交换机、防火墙、路由器、负载均衡、F5、VPN等。12、主机服务器监控:支持对主流主机服务器的监控,能够监控的主机包括但不限于:Windows1.inux、SolarisUlNX、AIX等;实现短信告警。13、能够监控主机服务器的运行状态、CPU、内存、接口、存储空间、计数器、磁盘读写、处理器、地址、进程、TCP连接、服务等指标,并通过图表方式加以展示,支持远程控制Windows设备服务的开启与关闭。14、资产支持树状分层视图,支持基于组织机构添加子网,创建网络的树状视图,以便轻松查找子网。日志统一归集与分析要求1、支持对国内外数十家厂商的
17、上百种常见设备的日志进行自动解析、过滤、富化、内容转译、范式化;支持SySlOg、DB、SNMP、镜像流量等多种采集方式。使用分布式搜索和分析引擎能对采集的日志进行分析,为调查取证提供有力支撑。2、支持日志解析模板管理,能够将日志源的日志根据回应模板进行解析与范式化3、支持将不同设备所产生的不同格式的难以理解的日志数据进行统一格式化处理,提炼出有用信息清晰、明确的展示给管理者4、支持全网日志级别数量统计展示图,支持全网日志数量时间分布展示图5、实现信息资产(网络设备、安全设备、主机、应用及数据库)的日志获取,并通过预置的解析规则实现日志的解析、过滤及聚合,同时可将收集的日志通过转发功能转发到其
18、它网管平台等6、对采集上来的信息进行分析、审计,这是日志审计系统的核心。分析技术上采用实时关联分析引擎技术,包括基于规则审计、统计审计、时序审计以及人工智能审计算法等等。实现全维度、跨设备、细粒度关联分析,内置众多的关联规则,支持网络安全攻防检测、合规性检测,采购人可轻松实现各资产间的关联分析。7、对于采集到原始信息,以及审计后的信息都要进行保存,备查,并可以作为取证的依据。采用技术包括:海量信息存储技术以及审计信息安全保护技术等。(3)国产化杀软、准入、非法外联管控1项指标项技术规格要求基本要求提供国产化杀毒、准入控制、网络非法外联统一集中管控,实现全市信创客户端1500个节点接入管控,提供
19、现场技术支持服务。电话基本服务提供合同期内每天24小时(以下简称7X24小时)不间断热线电话支持服务,通过电话可以直接联络技术工程师,寻求问题的解决方案、技术文档以及技术指导,电话支持需及时响应。升级维护提供1年软件升级及维护服务补丁分发与漏洞修复服务提供专网内补丁更新和客户端自动分发,同时可以设置筛选高危漏洞、软件更新、功能性补丁等修复类型;提供补丁灰度发布,提供设置对特定分组优先进行补丁分发,一段时间后再全网升级;提供漏洞集中修复,强制修复,自动修复,蓝屏修复功能;终端支持智能屏蔽过期补丁、与操作系统不兼容的补丁,可以查看或搜索系统已安装的全部补丁。管理服务提供客户端木马病毒查杀、漏洞修复
20、等安全服务;提供控制中心高危操作动态口令验证服务;支持终端保护密码,设置密码后,终端退出或卸载杀毒、或安装控制中心,都需要输入正确的密码方可执行。要求客户端程序具备自保功能,避免被恶意篡改。资产管理服务提供按终端维度展示终端的硬件、软件、操作系统、网络、进程等信息;可监控CPlJ温度、硬盘温度和主板温度;支持IdaP联动,终端实名认证后自动同步资产信息;提供硬盘序列号收集、SN号收集;支持插件清理,按插件显示展示全网存在的插件和涉及的终端,可清理指定或全部插件、加入信任;按终端显示展示全网每个终端存在的插件,可清理插件病毒、恶意代码、木马防护服务提供文件、引导区、内存、注册表、服务、进程、进出
21、文件、目录、压缩文件、网页等恶意代码、恶意样本查杀,内存实时监控查毒,拦截下载器自动下载木马程序、恶意推广程序、盗号木马;提供浏览器防护,对篡改浏览器设置的恶意行为进行有效防御,并可以锁定默认浏览器设置准入方式1.支持有线、无线基于应用协议准入方式,准入配置支持保护服务器区域、例外终端等灵活的配置方式。2 .支持基于应用协议的访问控制,并提供灵活的访客控制列表。3 .支持基于受控域的入网流程配置,区分有线和无线网络,能够针对有线和无线网络分别采用有客户端和无客户端方式准入。4 .支持临时用户的接入请求,并且可以限制临时用户入网时间长和强制临时用户下线。5 .支持标准802.IX准入,终端提供详
22、细的入网合规性检查报告,支持动态V1.AN、动态Ae1.下发,且无需登录交换机。支持账号同时在线用户上限、账号有效时长等限制。入网合规性检查1.入网条件必须符合健康检查策略,策略检查项至少包括:远程桌面、U盘自动运行、防火墙、IP获取方式、文件共享、屏幕保护、空密码、IE代理。2 .支持对入网终端所安装的软件、服务、进程设置黑白名单,管理员可以自己编辑黑白名单。3 .支持基于终端的AC1.,可以基于协议、端口来控制终端流量,从而无需操作交换机达到终端网络控制目的。4 .支持终端入网分数配置,检查项分值配置,并提供友好的操作界面。5 .支持终端修复向导,对不合规的终端提供软隔离,并进行修复向导和
23、一键修复功能。6 .支持用户和V1.AN绑定、用户和AC1.绑定、用户和健康检查策略绑定等灵活配置。(4)业务专网安全技术保障1项指标项技术规格要求基本要求XX市规划和自然资源调查监测中心(XX市地理信息中心)所在机房(华通云机房、兴仪托管机房、转塘灾备机房、文三路15号机房、文三路档案大楼机房、档案馆机房、市民中心C座机房)的服务器、存储设备、NAS存储设备、存储光纤交换机、网络设备、安全设备等提供巡检、日常运维、应急支持保障服务;要求提供7X24小时服务,并根据甲方要求提供安全、主机等日常现场技术支撑服务和现场巡检服务;通过运维服务,保证各类软硬件设施的安全、高效、稳定地运行。电话基本服务
24、提供合同期内每天24小时(以下简称7X24小时)不间断热线电话支持服务,通过电话可以直接联络技术工程师,寻求问题的解决方案、技术文档以及技术指导,电话支持需及时响应。巡检服务提供现场设备检查服务,内容涉及到PC服务器、存储设备、安全设备,网络设备等所辖维保设备的各个方面,主要包含常见故障,性能管理,空间管理,对象管理,安全管理,备份管理等内容。巡检工作完毕进行巡检登记。服务商需根据实际运行维护情况,提供季度、年度的运维保障服务总结报告。现场技术支持投标人应按要求提供的7X24小时技术支援请求应包括但不限于以下内容:小型机,PC服务器、存储,光纤交换机,备份软件的日常维护,故障处理网络及安全设备
25、常见的故障分析解决,并按需要提供网络防入侵等的安全解决手段。配合采购方进行维护范围内设备的故障应急方案预演。故障响应和处理指定1名服务经理,协调内部直至原厂商人员、软硬件等资源,及时对采购人提供服务、保证故障的及时解决,7X24小时接听采购人电话;指定至少1名资深工程师提供现场技术支持及服务,7X24小时接听采购人电话。当远程电话支持无法解决故障时,根据采购人要求,2小时内赶到现场进行故障排除。针对小型机,PC服务器、存储,光纤交换机,备份软件协助进行受支持的软件产品的基本的日常维护和管理。协助对报告问题进行定义及指导客户相关技术人员完成解决问题所需相关信息的收集工作。对报告中的问题根源进行分析和诊断。对于软件本身的问题,将根据需要免费提供相关的修正性软件。在应用软件安装完毕后应进行基本系统测试。提供后期各类系统扩容、升级技术服务支持。不定期开展病毒查杀和安全漏洞修补等安全加固工作,确保系统安全。针对网络及安全设备设备故障定位和排错设备软件版本升级配置状态检测系统使用状态检测系统日志分析和监控网络及安全系统调优应急保障方案。综合分析软硬件配置,应用情况,在巡检后向采购方提供安全、可靠、切实可行的应急措施。提供信息安全整体规划,保障用户业务系统数据的安全可靠重保重大活动或紧急保障时,提出的额外工作要求。维护工作不受工作时间限制,满足用户
