《一体化平台网络安全监管体系升级项目(二期)需求说明.docx》由会员分享,可在线阅读,更多相关《一体化平台网络安全监管体系升级项目(二期)需求说明.docx(31页珍藏版)》请在课桌文档上搜索。
1、一体化平台网络安全监管体系升级项目(二期)需求说明一、项目概况XX市大数据发展管理局在数字化改革的要求下,不断持续完善网络安全基础建设。推进政务网络安全能力建设的过程中,结合政务外网网络安全实际情况,对网络安全监管体系进行能力升级。旨在提升政务外网安全应用能力,深化安全能力与自身业务结合,向市级及区县各单位进行业务赋能。二、建设需求 汇聚资产信息,明确资产对象随着网络攻击手段的升级,相关案例和事件在全球范围内大量出现。明确管理对象,梳理对象的资产底数是开展一切网络安全监管工作的基础。因此,需要利用相应技术及人工手段来汇聚区域资产信息,再通过成熟的资产运营机制,对云、网、端、应用等资产进行运营梳
2、理,实现资产精细化管理,完成对资产的深度和广度的利用,建立资产生命周期管理。 增加监测手段,拓宽监测范围随着网络空间安全问题日益严重,网络安全事件频发,严重影响国家安全、社会公共安全和人民群众切身利益。针对这种情况,亟需进一步加强监测预警的广度和深度,建立起一套全天候、全方位、全时段的网络安全监测预警网,覆盖网络流量、网站监测、僵木蠕毒、APT和漏洞等多维度的安全监测与问题发现,对各方面的信息安全问题进行全面监控,以整体安全视角对全域安全情况进行审查,并能够知广见微。 构建通报手段,把关执行质量在建立了常态化、有重点、全覆盖的网络安全监测体系和摸清资产底数后,对所面临的重点网络安全问题,需要快
3、速的响应、解决。需有一套与安全问题监控系统相配套、相适应的预警、通报、响应系统对安全问题进行之有效的处置。对于发现的潜在风险隐患、漏洞要能够及时通知责任单位进行预警,并能跟踪预警接收状态;对于已发生的安全事件,要能通过线上开展处置流程,通知被监管单位即时整改,并对结果进行反馈和验证。 落实检查抓手,履行考核职责充分压实网络安全责任制并发挥考核权,分别对下级被监管单位制定针对性考核指标,每一项指标要具科学性和专业性,评价和打分要有依据和作证。考核过程要流程化,每次考核要以任务的形式对考核结果进行归档管理,同时通过考核的结果能对全域的被监管单位进行多维度综合比较,借助考核工作对重点单位形成有效监督
4、,促进其工作改进,真正发挥考核权的作用。 深度分析研判,洞察安全态势利用大数据技术以及深度威胁分析引擎,打造本地化的分析研判能力,为网络安全业务开展提供准确高价值的安全事件及安全情报信息,帮助洞察全域网络安全宏观态势和整体趋势,呈现业务开展成果,是开展网络安全监管工作的重要业务导向。做到知晓被监管单位自身的安全概况,知晓监管单位自身工作开展情况,高层领导知晓区域网络安全整体宏观趋势,从点到面的覆盖各业务场景所需要的呈现效果和工作总结,予以后续工作的业务导向。 整合监管资源,构建处置闭环面对突发重大事件的应急处置,需要协同内部用户、行业主管部门、被监管单位、技术支撑单位等多个部门共同参与到应急指
5、挥体系当中。相应的应急资源是突发安全事件能否顺利完成处置的关键保障,需要具备应急资源的整合能力,在突发事件发生前完成资源保障,在发生时就能够物尽其用、人尽其力,及时准确的投放支撑力量,做到“兵马未动,粮草先行”。需要构建突发事件应急处置和重大活动保障两大协同处置场景,实现面对不同突发情况的灵活协同处置的能力。三、项目建设目标基于云、网、端、应用等基础数据的统一接入管理,通过多场景信息化关联,实现XX政务外网安全体系化、场景化呈现,通过建设安全中枢将原有各独立的云平台、网络设备、业务终端、业务系统等进行统一关联,实现XX电子政务外网所辖范围安全业务集中分析及智能化管理运营。XX市安全中枢系统建设
6、可实现集监测、预警、处置、应急、追踪、溯源为一体的网络安全综合治理体系,实时掌握整体安全态势、实时攻击情况、威胁情报信息、风险处置情况等,对发现的网络安全威胁可及时响应处置;一旦发生重大网络安全事件,能够快速分析定位,迅速指挥调度相关人员进行应急处置;在有重保任务期间,统筹指挥各个职能部门,协调组织专业技术力量及时有效地开展重保工作,保护XX关键信息基础设施安全,保障重大活动的顺利开展。必要时可对网络攻击事件进行追踪溯源,结合威胁情报进行调查取证。四、招标清单要求序号一级模块二级模块技术参数数量单位1平台基础软件基础支撑环境作为整个安全中枢的安全能力大数据底层基座,提供用于支撑安全中枢感知层、
7、分析层、响应层、展示层等各模块的底层基础平台所需运行服务环境。1套2数据处理提供多源异构数据采集、处理、解析、去重等服务。1套3数据中心提供数据处理、归一化、处理形成数据仓库,提供数据标准、数据质量检测形成各类主题库,为其模块提供数据服务。1套4资产中心资产管理提供资产发现、运营、归档功能,形成设备、系统、网站、软件、服务、数据库等资产主题库,并以(云、网、端、应用等)维度进行资产分类管理。1套5资产运营通过资产的价值、脆弱性等级、威胁等级形成资产风险评估模型,对单个资产以及资产组(如:云、网、端、应用等)进行风险等级评估。1套6资产全息画像根据资产关系模型,提供资产全息画像能力,从资产基础信
8、息、资产风险、资产评估、资产安全响应等维度客户资产画像,安全作为日常安全运营的安全分析重要支支撑工具。1套7安全分析事件分析研判根据威胁告警数据,通过安全分析人员进行分析确认、信息举证形成安全事件,并启动通告、预警等安全响应动作。1套8关联分析引擎提供实时流及离线数据联合分析引擎,内置高可信安全分析规则模型,以及支持用户自定义安全分析规则。1套9告警实时监测实现对网络安全情况的实时监测,实现对安全漏洞、威1套胁隐患、高级威胁攻击的发现和识别。10安全专项场景分析提供攻击源场景、攻击目标场景、攻击手段场景、攻击阶段场景四类安全告警专项分析功能,协助安全分析人员在日常安全分析过程中针对海量的安全告
9、警能够抓住重点,比如关注高频源IP、高价值资产的告警、高频攻击手段的告警、失陷阶段的告警等,同时对每类专项分析可定义场景规则。1套11安全狩猎提供攻击主体分析、攻击链还原分析、溯源分析。1套12赋能中心基础数据共享通过资源目标的方式提供信息资源服务,让不同的数据使用者能够访问系统整合的各种基础数据资源1套13APl共享向下级单位平台或第三方平台提供可视化大屏API、情报查询API,报表分析API数据调用能力。1套14报表中心视图管理提供Bl报表分析能力,根据分析需求构建视图,支持构建交叉表、明细表、分组表,以及饼图、柱图、条形图、双轴图、指标卡、矩形树图、词云图等图形分析。1套15仪表板管理根
10、据分析需求构建,支持多视图组合分析,支持多区域、多维度、多级分析,可拖拽分析。1套16模板管理提供自定义报告模板在线配置功能,并支持定期生成日报、周报、月报、季报、年报等工作报告。1套17安全响应安全业务提供日常通报、重保活动保障、突发事件应急处置、重大风险预警、设备联动处置等业务场景。1套18流程编排提供安全业务编排能力,通过业务编排引擎支撑各类安全业务流程自定义。1套19治理资源提供单位、人员、装备、手段等网络安全应急资源统一管理调度。1套20安全中枢大屏-汇报视角总体分析对重保单位的资产状况、受威胁攻击、安全事件处置等情况进行全方位评估,并以多维可视化形式进行展现,直观了解辖区内整体网络
11、安全态势。1套21感知中枢站在业务感知层视角,对数据的采集、处理、计算、存储等全面可视化分析。1套22分析中枢站在业务分析层视角,内置云、网、端、应用等安全业1套务场景,可根据业务需要进行可视化分析。23响应中枢站在业务响应层视角,对各类安全业务处置情况进行详细数据可视化分析。1套24安全运营大屏-运营视角运行可视化站在运维视角对系统的数据采集、数据处理、数据存储等阶段进行性能监控,并对支撑平台正常运行的服务器、中间件、服务组件等进行性能监控。1套25漏洞可视化以资产脆弱性为切入点,对网络资产相关的漏洞进行可视化分析。1套26资产可视化以网络资产作为切入点,为网络安全业务决策做资产相关的可视化
12、分析。1套27可视化场景管理可视化场景管理内置相关可视化组件,按需选取组件、调整组件显示位置,支自定义场景中进行组件选取、调整布局的方式形成符合业务需求的自定义可视化大屏。1套28安全评估考核评估提供考核评估业务能力,建立符合客户实际业务场景的考核指标体系,通过主观指标与客户指标对被考核单位进行安全能力考核。1套29安全检查提供安全检查业务能力,支持在线、离线的方式建立检查模板,实现对被检查单位的专项检查工作闭环。1套五、技术参数要求以下能力要求基于现有安全监管平台进行定制开发。序号一级模块二级模块详细技术参数要求1平台基础软件基础支撑环境通过对统一安全数据接入治理,资产管理与运营、安全分析引
13、擎威胁发现、事件分析、高性能检索、专家模式交互分析,提供高效、深度发现安全威胁能力;支撑构建符合业务需要的应用。支持收集系统运行的日志,并可以在日志中进行快速检索的。系统在运行过程中,出现的故障,通过诊断系统可以定位发生故障的模块。支持对系统的CPU占用、内存占用、硬盘容量、带宽占用等关键指标进行监控,超过阈值进行报警。系统有定时备份的机制,能通过备份进行恢复。当系统资源不足时.,能够通过配置或用户操作来舍弃部分数据,来保持系统的可用性。支持扩展集群节点,以提升系统处理能力。2数据处理数据处理包含流程管理和部署管理、规则管理等功能模块。流程管理模块可以对数据的处理过程进行流程化管理和调试。部署
14、管理模块可以对已经创建好的流程,将其部署到某个运算资源上实际运行,每一次任务的部署可以包含一个或多个流程。规则管理模块分别包含数据处理策略、解析规则、过滤规则和富化规则。数据存储,包含日志类型、字段管理、值映射表、KAFKA管理以及数据清除,日志类型提供对日志类型的新增、修改、同步、查询等功能,帮助用户清晰的了解已经添加/已同步的日志类型信息,让用户更好的管理日志类型内容;还可以提供对存储的管理功能,对日志类型的重要程度及存储天数设置,以合理管理数据存储。3数据中心数据源管理模块支持对原始数据的可视化逻辑管理,支持数据标准定义。提供数仓能力,可以按照用户自定义的数仓分层和数据域创建各类数据表,
15、可使用统一的基础数据标准来进行字段设置,保障数据建模中数据表属性的一致性和准确性,数据接入层对原始数据进行数据清洗和轻加工,保障数据建模中接入数据是整洁的数据,在数据建模中根据企业业务需求生成各类数据表,最后通过统一任务中心实现数仓任务调度。数据服务是搭建智能数据体系的最后一步,数据服务总线支持数据资源的统一管理,用户可通过界面配置的方式选择APl数据服务,以满足不同的数据使用场景,降低数据使用的开发门槛,帮助客户实现数据应用价值最大化。4资产中心资产管理1、支持对单位实体以列表视图和树形视图进行展示,在树形视图可查看和当前单位关联的系统、设备、软件、网站、服务、网络;在单位详情中可以查看单位
16、信息、网络资源、关联资产、漏洞信息和变更记录2、支持对设备实体以列表方式进行展示,可对当前设备实体进行批量打标签、详情查看等操作;3、支持通过多网卡融合功能,关联融合当前设备实体下所承载的多个软件、服务、网站和系统。4、支持对软件实体以列表方式进行展示,可对当前软件实体进行查询、批量打标签和详情查看操作;5、支持对服务实体以列表方式进行展示,可对当前服务实体进行查询、批量打标签和详情查看操作;6、支持对系统实体以列表方式进行展示,可对当前系统实体进行批量修改和打标签以及详情查看等操作;7、支持对网站实体以列表方式进行展示,可对当前网站实体进行批量修改和打标签以及详情查看等操作;8、支持对机房实
17、体以列表视图和树形视图进行展示,在树形视图可查看和当前机房关联的系统、设备、软件、网站、服务、网络,并进行查询、批量修改和打标签以及详情查看等操作;在机房详情中可以查看基础信息、网络资源、关联资产和变更记录9、支持对云平台实体以列表视图和树形视图进行展示,在树形视图可查看和当前云平台关联的系统、设备、软件、网站、服务、网络,并进行批量修改和打标签以及详情查看等操作;在机房详情中可以查看基础信息、网络资源、关联资产和变更记录10、支持对数据库资产以列表方式进行展示,可对当前数据库资产进行批量修改和打标签以及详情查看等操作;(资产检索)11、支持资产检索范围的筛选,资产数据筛选范围至少包括云平台、
18、机房、数据库、设备、网络、单位、用户、服务、软件、系统、网站;12、资产检索结果支持按照资产类型分类展示列表,资产列表支持展示字段配置,资产详情需要支持显示每个资产的基本信息、关联的资产信息、以及资产变更记录5资产运营1、支持根据运营规则进行自动化资产运营,至少包括资产归属规则配置、运营规则配置、忽略规则配置;其中运营规则至少包括自动纳管规则、冲突判断规则、数据融合规则。2、支持对待处理的更新资产和新增资产进行检索与列表化管理,可将选中的更新资产和新增资产进行纳管;43、支持对被忽略的已发现资产进行检索与列表化管理;支持根据已配置的忽略规则,自动忽略已发现资产,不对其进行资产运营和资产管理(资
19、产发现)4、支持对原始资产信息使用快捷检索和高级检索两种模式进行检索。快捷检索支持可选择要输入的快捷搜索字段进行数据检索。语句条件支持【二】【!二innotinrangeexistsnoexists;高级检索支持输出高级检索类SQL语句进行数据检索;支持保存历史检索条件5、支持资产的入库数据记录,资产入库相关信息最少支持厂商、记录编号、数据获取时间、数据源名称、获取方式、获取资产数量、导入状态等;6、支持资产发现置信度配置,等不同数据源发现的资产发生冲突时可根据资产置信度规则优先级确定入库资产;置信度规则需要支持可视化页面可视化配置;置信度配置条件至少可以根据括数据厂商、数据源名称、设备IP、
20、部署位置、获取方式等条件的不同组合形成规则;7、支持资产主动扫描能力,扫描方式至少支持快速扫描与周期任务扫描,扫描目标支持网段以及端口。(资产脆弱性)8、支持通过已纳管资产与漏洞扫描告警数据进行关联,获取该资产的漏洞告警,并支持漏洞告警进行查询、详情查看以及修复状态变更的操作;9、支持根据脆弱性类型进行分类管理,至少包括数据漏洞、Web漏洞、弱口令、配置核查10、支持创建漏扫任务下发至漏扫设备、并支持漏扫报告的导入,提供国家权威机构认证的“虚拟化平台下下发指令的方法和装置”证书复印件并加盖投标人公章。(资产漏洞库)12、支持从公共漏洞库、和我的漏洞两个视角,提供对漏洞知识库的管理以及漏洞影响面
21、评估等功能(资产风险评估)13、支持单位、机房、系统、设备等对象的评估模型定义;14、支持按照指标层级逐层下钻配置模型参数,至少支持3层指标下钻。15、支持重要性、防护能力、脆弱性、威胁性四个维度进行评估,提供预置的模型配平参数和计算算法说明,并支持具体指标参数配置。a.其中:重要性至少支持本征重要性、敏感性、可用性等维度评估;b.防护能力至少支持技术防护能力和管理防护能力维度进行评估;C.脆弱性至少支持漏洞维度,漏洞维度支持对漏洞自身关注度、易用性、危害程度、修复状态等维度的评估;d.威胁性支持告警、事件维度的评估,支持对告警评估范围、告警次数、威胁等级、关注度、处置状态、攻击结果严重程度、
22、告警发现时间段衰减的评估。16、预置单位、机房、系统、设备等对象的评估指标,包括但不限于重要性指标、防护能力指标、脆弱性指标、威胁性指标,并且能够根据数据源自动计算评分;17、支持查看评估指标的详情,包括不限于指标名称、指标属性、评估方式、评估对象类型、指标类型、关联模型、指标业务说明、指标计算逻辑。18、支持对每一个指标评级进行自定义增减评级等级和评级区间。19、支持评分的计算时间配置;支持漏洞数据、事件数据、告警数据计算周期定义,并支持根据配置计算历史未计算的漏洞数据、事件数据、告警数据。20、支持对通过设备类型、设备重要性对设备评分对象计算范围进行配置。(单位分组管理)21、支持自定义单
23、位分组类别,可根据用户的实际单位属性进行类别定义,并根据自定义分组进行单位管理(资产分组管理)22、支持自定义资产分组类别,可根据用户的实际资产属性进行类别定义,并根据自定义分组进行资产管理6资产全息画像1、支持通过流量、告警、资产等数据分析某个资产的详细画像信息,支持通过关系图的方式呈现资产之间的逻辑关系与访问关系,在资产关系图中需要体现资产节点类型、资产风险等级、资产是否互联网资产等信息;资产关系图支持以某个资产节点作为扩展分析起始点进行下钻分析;2、支持分析资产关系图上的每个资产节点相关的资产信息,根据资产类型的不同展示具体的资产详情并分析与该资产先关的关联资产;3、支持分析资产关系图上
24、的每个资产节点相关的安全风险信息,至少包括该资产的风险趋势、攻击源排名、以及相关告警信息4、支持分析资产关系图上的每个资产节点相关的风险评估信息,至少包括该资产的风险等级、资产价值评估结果、脆弱性等级评估结果、威胁等级评估结果、风险评估趋势、以及未进行处置的告警信息5、支持分析资产关系图上的每个资产节点相关的安全响应信息,至少包括该资产的告警研判情况、事件研判情况7安全分析事件分析研判1、支持事件的检索区、事件显示列表和事件导出的字段配置,包括显示哪些字段以及字段的排列顺序;2、支持关键字和特征字段结合的方式进行检索,有效的提升检索效率;3、支持按照单个状态或者配置的聚合状态组对事件进行分组展
25、示并支持两种模式的切换呈现;4、支持通过列表和卡片两种方式呈现事件信息,并支持两种模式的切换展示。事件信息显示配置的呈现字段已经相关的状态和该状态下,当前用户可进行的操作;5、支持点击创建按钮对事件进行填报,包括其中对于主视图和补充视图的配置;a.举证信息种支持上传包括pcap在内的各类证据文件,同时PCAP包支持进使用PCaP包分析工具进行分析;b.支持对于告警转事件在关联信息种显示原始的告警信息;c.支持依照钻石模型描述事件的相关攻击者、受害者、能力以及基础设施的相关信息;由此实现根据攻击者的活动来进行安全事件的关联、分类和分析,并可为威胁处置策略的计划和实施提供支撑,更好的保障保护目标的
26、安全性。d.支持记录事件的处置进展信息,用于追踪事件的的状态变更历史;e.支持对事件的操作记录,用于记录各用户对于事件的更新操作;6、支持事件的详情展示,详情展示页面中定义为可编辑的字段可直接进行所见即所得的编辑进行内容的更新。7、支持事件的导入、导出以及导出模版操作。8、支持事件进行处置,包括启动通报预警、启动应急和关联应急的处置方式。9、支持事件的批量操作,包括事件的批量删除和批量启动处置动作。10、支持与现有终端安全系统对接,提高终端事件处置的效率。投标人承诺在签订合同前提供原厂承诺函并盖原厂公章。11、支持与现有服务器加固系统对接,提高服务器事件处置的效率。投标人承诺在签订合同前提供原
27、厂承诺函并盖原厂公章。8关联分析引擎一、规则管理:1、平台提供在线规则模板建模工具,通过拖拉拽的建模编排生成当前规则的命中条件,随后制定告警生成策略、后置配置规则以及告警归并策略;2、支持穿透、单表过滤、单表统计、关联统计、序列、不发生、威胁情报、灵活配置规则模板,针对特定场景,方便分析师快速定义流式规则,系统内置安全分析规则不少于800种3、支持导出规则使用AESECBPKCS5Padding算法加密。二、规则分析:1、穿透规则采纳数据源输出的告警日志,将其转化为平台LDM定义的标准告警描述,并可对告警进行过滤、标注、归并等操作。目前已支持多种类型的安全设备日志。2、单表过滤规则通过对日志信
28、息的逻辑匹配,并将满足条件的日志生成告警,将其转化为平台LDM定义的标准告警描述,并可对告警进行过滤、标注、归并等操作。3、单表统计规则通过对某个时间窗口内重复出现的日志信息统计(计数,求和,平均数,最大值,最小值),并将满足条件的日志生成告警,将其转化为平台LDM定义的标准告警描述,并可对告警进行过滤、标注、归并等操作。4、威胁情报规则通过云端和本地威胁情报进行匹配命中,并将满足条件的日志生成告警(包含情报信息),将其转化为平台LDM定义的标准告警描述,并可对告警进行过滤、标注、归并等操作。5、关联统计规则通过两个日志过滤信息匹配并且关联字段相等,并将满足此条件生成告警,并将其转化为平台LD
29、M定义的标准告警描述,并可对告警进行过滤、标注、归并等操作。6、序列统计规则通过一个事件出现后接着另一个事件发生(描述流程先后依次发生的场景),将满足此类条件的成告警,将其转化为平台LDM定义的标准告警描述,并可对告警进行过滤、标注、归并等操作。7、不发生规则通过一个事件出现后接着另一个事件并没有按照预期发生(通常描述异常行为),并将满足条件的日志生成告警,将其转化为平台LDM定义的标准告警描述,并可对告警进行过滤、标注、归并等操作。三、策略管理:1、支持对告警生成策略、归并策略模板以列表化的方式进行管理,提供检索、新建、导入、导出、启用、停用、删除、查看功能四、资源管理:1、支持定义IP地址
30、、端口、时间、字符串、表作为静态资源进行管理,提供新增、删除、修改对象资源操作,满足在流式分析过程中,引用静态资源进行规则构建;2、支持过滤器的新增、删除、修改、查看、导入和导出。五、运行管理:1、支持对发布规则的启动、停止、删除等操作;2、支持对基于规则的CPU利用率、内存占用等计算资源的消耗监控;3、支持实时查看规则的运行状态,包括任务数量分类统计(任务总数、运行中、运行失败、运行结束)、告警数量统计(原始告警、归并告警);告警1、支持对安全告警信息使用快捷检索和高级检索两种模式进行检索。快捷检索支持可选择要输入的快捷搜索字段进行数据检索。语句条件支持【二】【!二】inrangeexist
31、snoexists;高级检索支持输入ESDSL语法进行数据检索;2、支持对告警类型分布进行统计,使用饼图展示不同类型告警的分布情况;3、支持对规则命中情况的排名统计,统计命中规则产生告警最多的前5条规则;9实时监测4、支持根据检索条件统计告警总数以及对应未知、提示、低危、中危、高危和危急各个分级的对应统计分析;5、支持使用趋势图统计分析不同等级告警的趋势6、支持告警按照全部字段或展示字段和全部数据或本页数据进行导出;7、告警详情展示支持按照告警信息类别进行分组展示,至少包括告警研判信息、五元组信息、攻击者信息、PayIOad信息、载荷内容、请求头、请求体、响应头、响应体、告警利用的漏洞信息、情
32、报ioc信息、文件信息、web页面信息、快照信息、url源码信息、受害者信息、NDS协议信息、病毒信息、注册表信息、日志操作信息、产生告警的规则信息、受害资产相关信息、告警原始日志信息等8、支持告警列表表头自定义;9、支持根据告警检索结果进行单字段聚合统计;10、日志对告警进行研判动作,研判结论至少支持误报、无需处置、查实需处置、转事件、己处置等11、具备网络入侵行为检测分析能力,提供国家部门认证的“网络入侵行为检测系统及检测方法”证书复印件并投标人公章。10安全专项场景分析一、场景规则配置:1、支持根据针对特定攻击场景配置分析规则,至少支持针对攻击源、攻击目标、攻击阶段、攻击手段四大类场景进
33、行细化规则配置,针对大类攻击场景规则可以设置二级分类,场景规则可配置内容可根据场景大类所关注的不同条件进行组合,攻击源场景可配置条件至少包括源ip是否境外、源ip内外网属性、源ip范围、源ip所属国家范围;攻击目标场景可配置条件至少包括攻击目标价值范围、攻击目标等保等级、攻击目标是否关基、攻击目标所属网络、攻击目标所属云平台、攻击目标所属单位、攻击目标是否终端、攻击目标是否暴露互联网;攻击阶段场景可配置条件至少包括CyberKillChain模型的全阶段条件、ATT&CK模型的全技术战术条件、攻击结果范围;攻击手段场景可配置条件至少包括告警分类、命中规则条件。二、各类场景分析:1、支持针对攻击
34、源、攻击目标、攻击阶段、攻击手段场景进行可视化分析展示,攻击源场景至少需要统计攻击源分布情况、攻击源排名情况、告警趋势、告警数据列表及告警详情;攻击目标场景至少需要体现攻击目标资产价值分布、攻击目标资产所属行业分布、目标资产被攻击次数排名、告警趋势以及告警列表和详情;攻击阶段场景至少需要体现攻击链(CyberKillChain)模型的各阶段分布情况、攻击行为(ATT&CK)模型的各技术战术分布情况、告警趋势、告警列表及详情;攻击手段场景至少需要体现告警规则命中情况、告警分类统计、告警趋势、告警列表以及详情;11安全狩猎1、支持对攻击者IP行为进行详细刻画,至少包括攻击者IP的首次告警时间、最近
35、告警时间、所属单位信息、威胁类型、地理位置、使用漏洞、身份信息、使用工具、情报标签等;攻击ip相关的溯源信息,至少包括WhOiS信息、ip行为相关的告警日志、流量日志、终端等日志、攻击IP相关的安全告警、操作记录,以及对攻击IP相关的研判评论记录;针对IP的告警信息内容,至少包括攻击链相关的七个阶段,具体为侦查跟踪、武器构建、载荷投递、突防利用、安装植入、通信控制、达成目标等。2、针对攻击IP支持下发处置指令给相关处置责任人,处置动作类型至少包括持续关注、建议封禁、暂不封禁、单点封禁、临时1-4天、永久封禁等。12赋能中心基础数据共享基础数据共享赋能,至少支持平台数据的外发功能,数据共享的内容
36、,包括但不限于资产、告警、事件、原始日志等数据。13API共享通过配置的方式,定义可供第三方调用的API能力共享接口,至少支持输入参数和返回参数的配置,以及相关的接口认证信息的配置等。相应的API能力包括可视化大屏API、情报查询API,报表分析APl数据调用能力等。14报表中心视图管理1、支持视图的复制,复制后进行编写可生成新的视图;支持视图编辑功能,通过拖拽方式配置视图数据,支持对数据排序、显示格式配置;支持视图统计指标高级计算,包括同环比分析、累计值、占比分析;2、支持视图数据直接使用日期维度的不同时间粒度;支持视图数据下钻、数据ToPN、颜色标记、参考线等;支持对视图数据进行复杂条件过
37、滤;支持自定义视图功能,满足个性化视图样式渲染;支持视图目录管理。15仪表板管理1、支持根据分析需求构建仪表板,支持多视图组合分析,支持多区域、多维度、多级分析,支持可拖拽分析。支持对已有视图、复制仪表板内视图进行分析;支持日期选择、数值输入、数值范围、下拉列表、文本输入、级联选择等多种过滤分析;支持画布分析,支持仪表板样式定义、拖拽分析;2、支持视图联动及跳转等交互设置;支持仪表板的查看和预览,支持仪表板数据导出为PDF、图片、CSV、EXCEL文件;支持仪表板PC端、移动端分别设置画布布局,适应多终端查看;支持仪表板配置文件的导入和导出;支持仪表板目录管理;支持对仪表板进行授权或公开。16
38、模板管理1、支持周期表根据预定的时间及执行频率自动输出报表、分析结果;支持周期报表模版设定,包括仪表板、WORD模板;支持周期报表参数、执行频率设置;支持运行和启/停用周期报表;支持周期报表详情查看、执行记录查看;支持周期报表目录管理;支持对周期报表进行授权或公开。17安全响应安全业务一、通报:支持通报处置工作过程中指令协同功能,包括指令的发送、接收、反馈等;支持通报文书的在线预览与通报变量编辑,以所见即所得可视化交互方式对通报文书进行设置,可在线编辑内容包括不限于文件台头、文件副标题、通报编号、年份、事件类型、urhip.事件urh验证情况、处置建议、联系人、联系电话、落款单位等;支持通报处
39、置过程中的相关文书报告管理,包括不限于每日日报、事件处置报告、调查分析报告、安全检查报告、综合报告、总结报告、通报文件、进展简报、进展详报;支持在通报处置过程中动态修改通报工作流程,以及流程节点的相关配置。二、重保:1、支持以列表的方式管理维护重保工作任务,任务维护基本信息不限工作名称、重保分级、工作周期、工作类型、工作流程选择、重保主要区域、描述等;2、任务卡片显示内容不限于、工作类型、启动时间、预期结束时间、重保对象个数、已处置任务个数、已完成指令个数、执行状态、创建时间等。3、支持基于工作流程编排,按照选择的预案组装形成工作任务界面,包括阶段导航、任务导航,阶段导航支持工作时间区间配置。
40、4、支持工作任务界面中的浮动指令面板,支持当前阶段、任务相关的指令列表展示、列表搜索、指令创建。5、支持业务协同过程中仅展示此任务关联的指令6、支持监测与本重保任务相关的安全事件7、支持对单项重保工作流程中历史执行任务环节,按时间顺序的图形化展示。三、应急支持对网络安全事件应急处置预案的准备,支持对预案的创建时间、预案名称以及标签进行检索;支持将预案类型分为突发事件应急处置和网络安全应急演练两个类型进行统计,同志支持选择不同类型对展示列表做数据过滤;支持对已创建的应急预案进行管理,每个预案卡片形式展示,卡片概览信息包括:事件类型、事件级别、创建时间、当前状态;支持预案任务创建,填写预案基本信息
41、,包括:预案名称、预案类型、事件类型、事件级别、预案描述;支持编辑预案相关信息,包括基本信息、预案编排、预案审核;预案名称、事件类型、事件级别、预案描述;支持预案编排,从左边措施库选择手段措施,拖拽到右边编排面板进行编排,支持顺序调整,支持对每个措施进行配置;支持提交预案审核,填写:审核结果、审核意见、审核人、审核时间;3、支持应急处置工作相关事件的统计、数据列表展示以及事件详情展示应急处置工作相关事件列表展示,事件搜索及事件详情展示;支持应急处置工作相关报告的维护,报告种类不限于工作方案、进展简报、每日日报、综合报告、总结报告、调查分析报告、安全检查报告、事件处置报告等;支持应急处置工作过程
42、中指令协同功能,包括指令的发送、接收、反馈等;支持应急工作编排阶段配置,包括组织专家研判、研判审核、启动应急响应、结束应急响应的业务配置;支持应急处置工作相关上报信息展示,支持应急装备的维护;支持应急过程中的会商记录,包括完成会议时间、参会人员、会议决议的信息记录;支持应急过程中对使用的预案流程进行动态调整,并可实时显示当前任务所处的流程位置四、预警:1、风险预警工作管理功能通过卡片方式展示当前系统中存在的风险预警工作任务,支持通过创建时间、工作名称、标签字段、预警方式(选项包括:全部/常规预警/快速预警)进行卡片筛选,支持通过红/橙/黄/蓝进行不同风险等级风险预警工作的筛选,支持通过未开始、
43、进行中、已结束状态筛选。2、以指令协同的方式完成预警工作处置闭环,可记录处置过程中签收、执行记录、反馈记录、以及跟踪预警处置过程中的催办、告警、通知等工作记录。3、提供业务审核功能,用于对预警工作任务的审核。五、设备联动处置1、支持事件的一键封禁操作,可对相关安全设备发送管控数据信息。2、支持联动安全设备进行告警、事件的联动处置。18流程编排1、支持通过画布的方式进行业务工作流程的自定义编排功能,将业务流程成中涉及到的过程动作作为手段库,业务编排时可以从手段库中选取各类业务手段编排适合诸如通报、重保、应急等业务的工作流程,每个流程节点需要支持配置该业务手段的审核人以及必要的支撑业务动作的各类属
44、性;2、系统默认需要内置通报、重保、应急相关的业务流程。19治理资源1、支持对安全治理相关资源进行统一管理,至少包括以下功能a、支持单位的增删改查,维护信息不限于单位名称、单位简称、组织机构代码、单位类型、行业类别、网站URL、上级主管、单位地址、详细地址、单位标签、单位描述等b、支持查看单位相关治理资源,包括单位基本信息、关联人员信息、拥有装备情况、拥有手段情况;C、支持单位与其他治理资源之间的关系维护,支持单位视角查看“拥有人员、装备、手段”情况。d、支持单位的关键词检索、排序、标签配置等e、支持人员的增删改查,维护信息不限于人员姓名、所属单位、人员分类、技能标签、职务、出生年月、身份证号
45、、联系电话、收集号码、联系邮箱等。f支持查看人员相关治理资源,包括手段基本信息、拥有装备情况、拥有手段情况;g、支持人员类型统计、排序、关键词搜索等功能h、支持手段的增删改查,维护信息不限于手段名称、手段模板、手段类型、手段标签、手段描述等i、支持查看装备相关治理资源,包括装备基本信息、人员信息、拥有手段情况;j、支持装备与其他治理资源之间的关系维护,支持装备视角查看“所属单位、相关人员、拥有手段”情况。k、支持装备类型统计、排序、关键词搜索等功能1、支持手段的增删改查,维护信息不限于手段名称、手段模板、手段类型、手段标签、手段描述等m、支持查看装备相关治理资源,包括装备基本信息、人员信息、拥
46、有手段情况;n、支持装备与其他治理资源之间的关系维护,支持装备视角查看“所属单位、相关人员、拥有手段”情况。、支持装备类型统计、排序、关键词搜索等功能20安全中枢大屏-汇报视角总体分析1、支持以人脑工作机制为参考将平台功能以及技术能力划分为感知中枢、分析中枢、响应中枢,以3d视图的方式呈现感知中枢、分析中枢、响应中枢的关键指标,感知中枢需要体现各类日志的接入情况、分析中枢需要体现安全告警的分析指标情况、响应中枢需要体现安全业务工单相关指标;总体视角可视化分析组件至少包括数据接入状况分析、网络资产概况分析、告警分析概况、告警趋势、事件研判情况、安全响应情况、风险评估情况、事件趋势,总体风险评分,每个分析组件需要支持下钻分析21感知1、支持以数据处理流程图的方式监测数据采集、数据接中枢收、数据处理、数据入库的各阶段的检测指标,可视化分析组件至少包括平台集群状态监测、数据源概况、数据处理概况、数据处理性能监测、数据存储统计、平台主机性能监测、平台服务状态监测,每个分析