1、需求1:广东省西江流域管理局网络安全等级保护优化服务(2020年)项目采购需求1 .项目概况1.1. 基本信息1.1.1. 项目名称广东省西江流域管理局网络安全等级保护优化服务(2020年)项目1.1.2. 采购人采购单位名称:广东省西江流域管理局广东省西江流域管理局主要职责是:(一)承担流域全面推行河长制的具体事务工作;(二)承担流域综合规划和流域水资源保护、治涝、供水等与水利有关的专业规划的编制并组织实施;(三)组织流域相关科研项目研究;(四)承担制订流域水量分配方案、流域年度水量调度计划、流域内跨地级以上市及流域外调水的水量分配方案工作并组织实施;(五)协调流域、区域和行业之间的水事关系
2、六)参与核定干流及其三角洲河道和其他河道水域的纳污能力,对水功能区的水质状况进行监测;(七)承担对流域水资源、防洪、水土保持、河道(含采砂)等有关法律法规的执行情况实施日常巡查;(八)具体承担珠江河口整治和流域内岸线及滩涂综合开发利用项目建设和管理;(九)承担流域内行政区域的“三防”工作巡察、指导,建设流域防洪监测及预警响应机制相关具体工作;(十)承担省流域管理委员会和省水利厅交办的其他事项。1.1.3.用户单位用户范围:广东省西江流域管理局工作人员实施规模:使用业务信息系统的人员约60人1.1.4. 项目总体目标等级保护是我国关于信息安全的基本政策,国家法律法规、相关政策制度要求单位开展
3、等级保护工作,如中华人民共和国网络安全法和网络安全管理办法。网络安全等级保护制度是国家网络安全领域的基本制度和基本方法,网络安全法出台后,网络等级保护进入2.0时代。2019年5月13日,网络安全等级保护制度2.0标准正式发布,于2019年12月1日开始实施。本项目按照广东省“数字政府”网络安全体系建设总体规划(2019-2021年)实施方案要求,完善广东省西江流域管理局的网络安全防护体系,提高信息系统的安全保障能力和防护水平,确保网络与信息系统的安全稳定运行,保证信息和网络的机密性、完整性、可用性、可控性和可审计性,达到网络安全等级保护二级建设规范的要求,同时采用租用安全服务的方式,代替传统
4、的硬件购买,以租代建,实现轻资产,也可以快速形成安全体系为原则,提升安全服务效果。广东省西江流域管理局12项目背景1.2.1.项目背景为落实中华人民共和国网络安全法二十一条、等保2.0要求、广东省水利信息化建设管理暂行办法第二十九条的规定和关于传发2018年广东省公安机关网络安全执法检查工作方案的函(粤等保办“201808号)等文件的要求,需对信息系统开展等级保护建设工作。根据中华人民共和国网络安全法相关的法律法规,结合测评单位对局目前网络安全设备配备和基础设施建设情况的评估,计划对单位网络安全现状进行优化改造,以达到等保2.0二级等级保护标准,满足国家对网络安全的要求。122.信息化现状广东
5、省西江流域管理局现有网络中心机房1个,会商室1个,会议和值班设备室1个,已建成基础办公网络并配备部分网络安全设备和交换设备,已建系统主要包括综合办公业务系统、门户网站、档案管理系统、财务管理系统、资产管理系统和局水资源与三防管理工作平台等,通过专线访问水利专网相关业务系统资源和省三防视频会商系统,本项目以现有办公业务系统为保护对象,对相关网络基础架构及设备进行等级保护优化,达到二级等级保护标准。1.221.信息化服务现状基于运维现状,西江流域管理局整体运维项目在运维人员稳定的情况下,能保持系统平稳运行,但IT运维流程和信息安全制度还有待完善,需要提高IT服务管理水平,建立健全的运维工作管理模式
6、规范化、高效化管理各项运维工作。(1)硬件资源情况西江流域管理局现阶段基础硬件资源主要包括机房环境监控、空调、UPS、动环设备、网络设备、服务器、存储、安全设备、专网设备和其它设备等组成。设备使用年限较长,出现故障的机率较高,同时由于西江局临江办公,地理位貉特殊,汛期期间存在一定安全隐患,设备一旦出现问题,需要尽快进行维护和更换。(2)软件资源情况西江流域管理局现有水资源与三防管理工作平台、综合办公业务系统(OA)、三防综合数据库、门户网站、财务管理系统、资产管理系统、档案管理系统、视频会商系统等。由于应用系统种类较多,日常运维工作难度较大,需要专业的运维团队协助维护。表1已有设备清单序号名
7、称及类别单位数量使用年限(一)机房基础环境1机房UPS套142空调通风系统套143综合监控系统套144机柜和综合布线系统套145环境监控采集主机套146机柜套14(二)服务器设备1高清KVM切换器套222服务器磁盘阵列套26序号名称及类别单位数量使用年限3IBMX3850X5套274HP服务器D1.380G5套1105HP服务器D1.388G9套22(三)网络设备1D-Iink交换机DES-1226GGigabitswitch套152H3C交换机套153网件24口交换机套654思科核心交换机套155交换机S5720S-28P-PWR-1.I-AC24口千兆套126二层快速以太网交换机套257H
8、3C交换机套128网络交换机S2326TP-SI套359交换机华三(H3C)SMB-S5024PV2-EI套1210华为交换机ES0Z1B06ACS0S7706套1211华三SMB-S1824-CN24口千兆套1212华为交换机ES0Z1B06ACS0S7706套1213H3C路由器套1514无线AP控制器套1415P-260套10416深信服无线NAPAP-260套14217信锐无线NAP-2600套6218华为交换机S5720-36PC-EI套12(四)安全设备1网络防火墙东软NetEyeFW5200-TI-AIC套142东软NetEye上网行为管理系统NIBC6000-S5220套143
9、WEB防火墙深信服AF-1210-W套14序号名称及类别单位数量使用年限4数据库审计系统套125入侵防御系统套126防火墙套127vpn设备MSR2600-10套15(五)视频会商系统1视频会商系统设备套14广东省西江流域管理局在前期的网络安全建设中,已采取了基本的安全防护措施,例如边界访问控制、入侵防御、数据库审计等,取得了一定的成效。但缺少全面的安全体系规划,缺乏全面性的安全规划,没有建立全面的安全体系。同时由于现有网络设施使用多年,导致品牌、型号较陈旧,运维还处于传统的方式,缺乏自动化监控手段,故障预警时效性较弱,存在影响业务稳定性的隐患,加大了运维难度。考虑到本单位信息系统承载业务的重
10、要性和面临的安全风险,按照国家网络安全等级保护制度的相关要求,需同步规划安全保障体系,并在系统建设过程中,落实安全保障技术措施和管理措施,建立安全运营体系,满足等级保护要求。因局人员编制限制,负责信息化工作的专职人员数量少,基础环境保障和系统日常运行维护工作量大,为了改变人员数量少所产生的安全隐患和无法及时处理的安全问题,通过采购专业安全服务的支持,提高安全等级,完成原来无法完成的一些安全管理工作。同时由于国内外互联网安全通报事件增多,安全隐患风险高,急需规范安全等级保护建设,提高信息安全保障能力。(3)省西江流域管理局与省水利厅网络关系省西江流域管理局与省水利厅通过水利专线进行通讯,主要承载
11、业务有综合办公业务系统、水资源与三防管理H作平台等系统,用于进行系统的信息共享,同时,与省厅及其他单位进行视频会商需要使用水利专线,防汛期间值班访问的水雨情、台风信息等厅建系统都需要使用水利专线进行访问。(4)专线及政务外网情况省西江流域管理局现有两种网络专线,分别是互联网专线(100M)、水利专线(100M),由于政务外网建设较慢,现阶段水利系统的相关单位,只有省水利厅、省水文局拥有独立政务外网专线出口,其他下属单位例如流域局和水文分局暂时没有政务外网的专线接入。2 .项目预算本项目总预算为70.19万元,3 .服务期限本项目服务期限为18个月,具体时间以项目合同为准。4 .服务内容依据国家
12、信息系统等级保护相关标准及其他信息安全标准规范,结合广东省西江流域管理局信息安全整改工作情况,进一步优化信息安全防护措施,提高网络与信息系统的安全保障能力和防护水平。项目主要服务内容包括:租用一套终端安全管理系统服务、一套统一综合网管平台服务,租用十八个月日志审计系统、十八个月安全态势感知系统,三十六人天安全风险检查服务、四十八人天应急响应服务、十二人天网络安全意识培训和安全演练服务等配套服务。通过本项目实施,使广东省西江流域管理局信息化系统通过网络安全二级等级保护测评,保障信息系统安全运行。4.1. 基础设施服务4.1.1. 特殊基础设施服务4.1.1.1. 日志审计系统服务目前国家的政策法
13、规、行业标准中都明确对日志审计提出了要求,日志审计已成为满足合规内控要求所需的功能。2016年11月7日发布,2017年6月1日起施行的中华人民共和国网络安全法中规定:采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。本次服务目标为满足网络安全法日志存留合规要求,通过日志审计服务进行事件关联分析,有效发现网络攻击行为痕迹,满足溯源要求。本项目需要采购日志审计服务,建立日志审计机制和体系,实时不间断地将来自不同厂商的安全设备、网络设备、主机、操作系统、数据库系统、用户业务系统的日志、警报等信息汇集到审计中心,实现全网综合安全审计。本项目租用日志审计软硬
14、件一年,含25个节点授权。含软件部署,策略配辂服务,每月进行1次安全日志分析服务,共18次。功能指标指标要求硬件性能性能参数:默认包含主机审计许可证书数量250,最大可扩展审计主机许可数2150,可用存储量21TB(RAIDl模式),平均每秒处理日志数(eps)最大性能21200。硬件参数:规格:2U,内存大小28G,硬盘容量264GBminiSata+1TBSATA*2,电源:单电源,接口26千兆电口。系统安全支持通过SS1.加密对数据传输等进行处理、采用B/S架构,HTTPS访问支持对象支持各类设备的日志采集要求,主要包括:安全设备:国内主流防火墙;操作系统:1.inux、WindowsW
15、indowsServerUnix等操作系统;数据库:Oracle、MySQ1.、SQ1.SerVer等;应用系统:如APaChe、Tomcat、IISWeblogic等:网络设备:主流的路由器、交换机、负载均衡等网络设备等主流网络设备采集方式支持SySlog、SNMPTrap、数据库、文件、SMB、WMI、Console、日志导入、镜像流量等方式采集日志,审计中心可以支持多个日志采集器标准化支持对日志格式进行标准化操作时,不破坏原始日志内容。从不同设备或系统的日志中抽取相关片段准确和完整地映射至日志的标准字段中,统一格式。支持对安全事件重新定级,能根据统一的安全策略,按照安全设备识别名、事件类
16、别、事件级别等所有可能的条件及各种条件的组合对事件严重级别进行重定义过滤支持在安全事件收集引擎上设置过滤条件,可过滤出无关安全事件归并支持归并技术,一段时间内对重复日志进行归并日志查询支持根据设备类型,按口期展示日志的接入情况,包含不同级别日志数量统计;支持精确的专家模式查询,根据页面的指导提示,通过组合查询表达式完成精确查询支持全球地理位置库,支持不同设备相同IP的日志识别。(提供截图)关联分析支持挖掘不同类型、来源于不同设备或系统的日志或安全事件之间可能存在的关联关系,关联的类型包括基于规则和基于统计的。(提供截图)告警响应支持关联、审计策略命中后定义告警,响应方式包括:SYS1.OG,邮
17、件、自定义命令行。支持列表的方式展示告警;告警声音设置:告警过滤策略;支持实时监控,滚动显示实时的口志接入信息。人员审计支持定义部门和人员的对应关系,支持定义人员与账号的对应关系。流量审计支持HTTP网页标题、BBS、威胁情报、DGA、搜索关键词的网络会话分类展现(提供截图)支持DNS、DGA、解码错误、解码失败、解码超时的网络会话分类展现(提供截图)支持T1.S会话、数据库会话、邮件会话、FTP会话、Telnet会话,即时通讯会话的展现(提供截图)全文检索支持全文检索功能,能对系统内的对象提供全文检索功能用户管理支持根据三权分立的原则和要求进行职、权分离,对系统本身进行分角色定义,如系统管理
18、员只负责完成设备的初始配置,规则配置员只负责审计规则的建立,安全审计员只负责查看相关的审计结果及告警内容;安全管理员只负责完成对系统本身的用户操作日志管理产品资质产品具有公安部计算机信息系统专用产品销售许可证产品具有国家版权局计算机软件著作权登记证书厂商资质厂商具有国家信息安全漏洞库(CNNVD)技术支撑单位等级证书(二级)厂商具有中国信息安全测评中心颁发的信息安全服务资质(安全工程类一级)厂商具有国家计算机网络应急技术处理协调中心颁发的网络安全应急服务支撑单位证书(国家级)4.1.1.2. 统一综合网管平台服务统一综合网管平台主要用于管理本地的设备为主,省水利厅暂无覆盖流域局的统管和建设计划
19、本期西江流域管理局计划租用1套网管平台硬件及配套软件系统,实现省西江流域管理局内网设备和资源的统一集中管理,实现拓扑、故障、性能、配貉、安全等管理功能,提高内网安全性,实现对整个网络进行清晰分权管理和负载分担。本项目需要租用一套统一综合网管平台,含软硬件、部署安装、售后维保服务,提供现场技术支持服务。平台需要包括首页及大屏显示、基础资源管理、拓扑、告警管理、性能管理、配貉管理等功能。指标项指标要求硬件参数硬件一体化专用设备,外观尺寸2U,支持旁路部署;单路Intel至强CPU,8核,内存32G,存储空间不少于1TB,支持RAID1;配置2个千兆自适应电口,支持4个端口扩展插槽;1+1冗余双电
20、源;用户分权管理可以为不同的管理员设置不同的用户名、密码,并限制管理员的管理权限和管理范围,实现用户分权管理;多平台支持支持WindOWs、1.inux平台及MSSQ1.Oracle数据库,支持B/S架构;支持自定义用户主页管理员可以首页中通过拖拽,自定义需要在首页展示页面;提供官方网站链接及截图说明该功能;拓扑管理支持IP拓扑、二层拓扑、邻居拓扑、业务拓扑;二层拓扑支持多协议;拓扑可融合链路状态、设备告警等多种信息;自动发现网络中的所有网络设备,并在拓扑中显示出来,支持拓扑图自定义修改,包括设备、链路等;告警智能分析包括告警分类关联分析、告警多源关联分析、告警拓扑根源分析、告警网络影响度分析
21、故障管理支持对全网设备告警的实时监控和统一浏览;支持多种提醒方式,如告警实时提醒(告警板)、告警音响提示;支持多种转发方式,比如转E-mail,转短信,转上级网管或其它网管等;支持告警分析,可以屏蔽重复告警、闪断告警,支持告警自动确认功能;性能管理支持基于任务的性能监控,可定制监控任务,长期监控网络性能,可以形成日报、周报、月报等报表;提供直观的设备的面板视图支持设备面板的显示、定时刷新、面板缩放功能,通过面板管理,网络管理人员可以直观地看到设备、板卡、端口的工作状态;支持对第三方设备的面板级管理;提供官方网站链接说明及设备面板管理显示界面截图;IPv6管理支持IPv6环境下的资源、性能、告
22、警、拓扑、面板管理,包括纯IPV6组网和双栈组网;支持设备配置集中管理配置库包括配置文件和配置片断,配置内容可带有参数,在部署时根据设备的差异设置不同的值;配置文件可部署到设备的启动配置或者运行配置;配置片断只能部署到设备的运行配置,提供官方网站链接及截图说明该功能;支持批量的设备配置备份和恢复;支持向导方式或者任务方式(周期性任务、一次性任务或立即任务)批量的备份、恢复完整的配置文件,也可以批量的下发配置片断;多厂商设备配置及软件管理支持H3C/HUAWEI/3COM/CISCO/HP设备的批量配置和软件管理,包括的软件版本和软件库中最新可用的软件,更新设备的软件,保留测试权利;业务联动控制
23、根据预定义的联动策略对匹配的事件(Trap)执行联动控制;支持各类安全威胁的分析和联动(支持防火墙、IPS、交换机、终端软件等上报信息的分析);并支持在拓扑中显示攻击路径、攻击源等节点信息;基线化的设备配置变更审计提供设备运行配置和启动配置的基线化版本管理;通过备份、恢复手段,以及备份历史、升级历史管理,使配置文件管理和软件升级管理具有了可回溯性;支持设备软件智能升级支持网络运行设备的软件版本查询功能,支持先备份后升级,保证一旦升级失败后可以恢复到原有设备软件版本,支持对整个升级过程的可靠性检查,如设备软件版本和设备是否配套,flash空间是否足够等,确保用户的整个升级操作万无一失;非法接入设
24、备监控对接入设备MAC地址进行监控,如果其它MAC地址接入到该接口,或者该MAC从其它设备接口接入网络,系统会立即发送相关告警,通知管理员发生了MAC接入违规现象,从而管理员能够及时采取措施应对;通过MAC/接口绑定,能有效的防止网络中非法设备接入的现象,提供官方网站链接及截图说明该功能;网络资产自动发现提供设备资产管理功能,在设备增加到网络资产管理的同时,系统还会自动发现该设备上可以管理的配件信息,并将这些配件加入到网络资产中进行管理,网管员可以根据不同的查询条件查询网络资产信息,对资产信息进行审计;提供官方网站链接及截图说明该功能;支持多种图表展示支持报表管理机制,提供多种报表样式,包括普
25、通的行列报表、主/子报表、图形摘要报表、交叉表、TopN和BottomN报表;支持多种图形展示:包括条形图、饼图、曲线图、甘特图、面积图、圆环图、三维梯形图、三维曲面图、XY散点图、雷达图、气泡图、股票图、漏斗图等;供官方网站链接及报表显示界面截图;周期性报表机制支持天报表、周报表、月报表、季度报表、半年报表、年报表;可以设定周期性报表的开始时间、失效时间;可以将自身的组织名称和1.og。融入到发布的报表中,可以定时生成后Email到指定邮箱;支持管理第三方设备新设备注册,告警注册,新性能指标注册,新Syslog解析注册,Mib编译,第三方设备配置管理-ClJ下发,配置管理-配置备份、软件升级
26、使用TC1./ExpecVPerl模板自定制),第三方设备管理系统集成,保留测试权利;支持虚拟化网络管理支持虚拟网络资源管理、虚拟网络拓扑展示、虚拟网络告警管理、虚拟网络性能监控、虚拟交换机配置管理、虚拟网络配置迁移管理;远程云运维服务配置1年原厂远程云运维服务,为用户提供PC机,IOS系统APP,安卓系统APP,微信小程序等运维工单发起通道,远程运维通道支持sshhttp、telnet、https、Vnc、rs485vrs232隧道创建,支持自定义tcp/ip隧道创建;远程运维通过独立的硬件接入模块(内置4G模块,支持7模全网通;提供RJ45网口,USBRS232,RS485等接口,1个自
27、弹式SlM卡槽)实现隧道加密、网络抓包、设备升级、审计录像等。(要求提供设备正反面照片,包括但不局限于硬件形态、接口等)。配置要求本次配置50个网络设备节点管理授权4.1.13安全态势感知系统服务省水利厅现阶段规划以保障厅本部安全为主,暂无覆盖流域局的安全态势感知系统工作部署计划,本期西江流域管理局计划通过专业安全服务的方式,租用设备和安全分析服务,通过安全态势感知系统服务协助单位进行日常安全运营工作,及时识别、研判、处貉各类安全隐患和安全事件。在重大事件期间,出现安全问题时进行安全分析服务。同时,满足等保2.0对网络攻击检测和分析要求,特别是针对未知的新型网络攻击和APT攻击。本项目需要采购
28、态势感知分析系统18个月租用服务。通过专业安全服务的方式,租用设备和安全分析服务。服务内容包括:安全感知平台、潜伏威胁流量探针、软硬件的维保升级。安全感知平台技术指标指标要求性能指标性能参数:存储容量N14.4T,在带宽性能IGbPS时存储时长之900天/lGbps。硬件参数:内存n2*16GB,系统盘1*128GB,数据盘n4*4TB,标配盘位数:4,电源:单电源,接口6千兆电口。大屏可视综合安全态势大屏支持大屏展示综合安全态势,包括资产态势、脆弱性态势、网络攻击态势、安全事件态势、外连态势、横向威胁态势、设备运行态势;支持页面跳转到对应态势大屏,并具备大屏告警能力。安全事件态势支持大屏展示
29、安全事件态势,包括安全事件、事件等级分布、安全事件态势、安全事件TOP5、威胁面最大的事件TOPI0、事件类型TOP5、风险业务/终端T0P5o大屏轮播支持不同视角展示全网安全态势,包括综合安全态势、分支安全态势、安全事件态势、网络攻击态势、外连风险态势、横向威胁态势、脆弱性态势、资产态势、正常横向访问监控态势、正常外连监控态势、设备运行态势等13个独立的大屏展示功能:支持大屏轮播,可自定义播放顺序(需提供截图证明并加盖原厂商公章)。资产中心总览支持对全网资产总览分析,包括资产概览、服务器运行状态、资产统计,其中资产概览包括7天即将退库资产、全部资产数、核心资产数、资产组数、服务器数、终端数;
30、服务器运行包括服务器离线TOP5、服务器开放端口ToPl0、服务器应用TOP5;资产统计包括资产组ToP5、资产来源ToP5、设备类型TOP5、操作系统分布、7天内即将退库资产;脆弱性感知脆弱性总览支持业务脆弱性风险分布展示,包括不同严重级别业务分布,漏洞类型分布,漏洞整体态势等。弱密码支持检测20类以上常见协议的弱密码,包括FTP、1.DAP、VMWARE、0RAC1.EREDlS、Elasticsearch等协议,检测信息包含账号、密码、服务器、所属分支和业务、类型、最近发现时间等;支持筛选管理员账号与是否登录成功,并支持导出弱密码报告(需提供截图证明并加盖原厂商公章)。Web明文传输支持
31、检测WCb流量中是否存在可截获的口令信息,检测信息包括对应域名/UR1.、服务器IP,所属分支等,避免因明文传输导致信息泄露的风险风险安全域视角支持安全域维度展示安全风险,包括安全域列表、安全域评分、事件类型T0P5、IP地址、IP类型、风险等级、关键风险分析中心威胁分析支持外部威胁分析,包括高危攻击、残余攻击、暴力破解、成功的事中攻击、邮件威胁、文件威胁、外部风险访问。挖矿专项检测支持挖矿专项检测,可实时查看挖矿各个攻击阶段,包括感染挖矿病毒、与控制端建立通信、获取挖矿任务、尝试挖矿、挖矿成功等;支持挖矿币种分布、挖矿风险态势、受影响主机等维度分析统计UEBA异常行为分析支持服务器行为分析建
32、模,具备独立页面展示行为引擎学习的天数、异常行为与异常服务器数量,并对异常行为进行举证描述;支持对业务服务器内网横向被访问、横向主动访问、外连等建立行为基线,包括访问流量趋势、访问次数趋势、自定义非正常时间段、常见访问源网段、访问源主机、应用ToP5、目的端口T0P5等,提前发现未知异常行为支持不同场景下数据库异常模型的算法编辑,可选择稀有值检测算法、ZScore异常检测算法、箱线图异常检测算法;可将不同类型的算法应用到不同的资产(需提供截图证明并加盖原厂商公章)。支持对访问服务器的地址、端口、时间段、地点的异常监控,判断是否存在访问异常、非常用地址和非常用时间通过高风险协议如ssh.rclp
33、等协议访问业务服务器等异常行为。横向访问分析支持横向访问服务器流量分析,包括TOP5应用流量趋势、T0P5协议趋势:支持服务器视角和来访分支视角,其中服务器视角可展示服务器IP、总流量、源IP数量、应用T0P10、协议端口T0P10连接失败数、最大并发,并支持以表格形式导出数据支持横向访问最活跃的源主机分析,可按访问TP次数排序和按访问次数排序,支持展示源IP地址、目标IP数、首次请求时间、最近请求时间、日志数等,并支持以表格形式导出数据外连分析支持对服务器外连流量分析,包括T0P5应用流量趋势、T0P5协议趋势:支持地域视角和服务器视角,其中地域视角可展示国家地区、源IP数、总流量、上下行流
34、量与占比、应用TOPI0、协议端口TOPI0、最近活跃时间,并支持以表格形式导出数据。支持展示对外连接总览,以全国地图形式展示当前服务器与终端的外连国家信息,包括外连国家TOP5、外连服务器TOP5、外连趋势等;支持对外连的详情展示,包括访问源、访问源属性、访问目标、应用类型TOP3、服务、流量大小和访问次数等并支持以表格形式导出数据SIEM支持SlEM分析的总览展示,包括数据分布、安全事件状态分布、安全事件趋势图、安全事件top5、关联规则告警趋势、关联规则告警TOP5、日志传输趋势等。支持网站攻击、漏洞利用、C&C通信、暴力破解、拒绝服务、主机脆弱性、主机异常、恶意软件、账号异常、权限异常
35、侦查探测等关联分析规则,规则数量达到200条以上;支持自定义统计与序列关联分析规则重保中心外网暴露面梳理支持内网对外服务器外网暴露面分析,包括内网IP、资产名称、所属资产组、域名/UR1.、外网IP、策略已开放、实际被使用、关联防火墙、关联应用策略、存在风险、处置状态等,并支持导入与导出核心服务器梳理支持核心服务器暴露面分析,包括内网IP、资产名称、所属资产组、策略允许访问、策略已开放、实际访问、实际被使用、关联应用控制策略、存在风险、处置状态等,并支持导入与导出安全分析报告支持生成安全分析报告,包括当天新增失陷资产、攻击目标分析、攻击手段分析、攻击趋势分析等报告中心主机安全风险报告支持导出
36、主机安全风险报告,报告内容包括业务与终端风险摘要、业务风险与终端详情分析,提供危害解释和参考解决方案;适用于日常处理安全问题的运维人员。联动响应安全组件接入展示支持接入终端EDR、潜伏威胁探针等设备;支持在页面中显示安全组件接入的数量和状态(需提供截图证明并加盖原厂商公章)。自动化响应策略编排支持资产类型、事件类型、风险等级自动化编排响应策略,可联动组件包括终端检测响应EDR:其中资产类型可选择终端、服务器或指定范围的IP资产;风险等级选择可选择已失陷、高可疑、低可疑;事件类型包括有害程序、网络攻击、信息破坏等,事件类型数量不少于20种(需提供截图证明并加盖原厂商公章)。处置策略转换支持将自定
37、义的安全事件处置策略转换成自动响应策略,解决同类型事件手动重复配置问题,减轻运维工作量。EDR组件联动支持与终端EDR组件联动,支持平台自动下发策略禁止攻击流量出入站、一键病毒查杀、进程取证;支持反馈查杀的病毒信息和恶意域名通信的进程信息(需提供截图证明并加盖原厂商公章)。DAS设备联动支持与数据库审计设备联动,同步数据库风险日志、管理员操作日志、正常审计日志,便于统一审计。设备管理基础特征库升级具备IPS漏洞特征识别库、WEB应用防护识别库、僵尸网络识别库、实时漏洞分析识别库、UR1.库、应用识别库、恶意链接库、白名单库;支持定期自动升级或离线手动升级。深度检测引擎升级具备安全日志分析引擎、
38、DnSFlOW行为分析引擎、HttPF1.OW分析引擎、NetF1.OW分析引擎、MailF1.OW分析引擎、SmbF1.ow分析引擎、威胁情报分析关联引擎、第三方安全检测引擎、文件威胁检测引擎等;支持定期自动升级或离线手动升级(需提供截图证明并加盖原厂商公章)。运营工具提供页面登录平台的后端命令行控制台,便于日常管理和维护,命令行可支持下载文件、上传文件、清空下载目录文件等各项功能。分支权限管理支持自定义分支管理权限,分支管理员具备独立的管理页面,只能管理和查看所属分支资产的安全信息;具备完整的功能展示,包括监控中心、处置中心、分析中心、资产中心和报告中心;总部管理员支持查看全局的安全信息,
39、支持页面跳转各个分支的独立管理页面。开放共享支持通过RESTfulAPI接口形成对平台数据资源的“开放”与“共享”,第三方平台可获取受监控IP组、资产信息、风险业务与终端、漏洞详情、弱密码和明文传输等信息,实现数据更大价值IPV6管理支持IPV6平台管理,审计日志支持IPv6o产品资质要求具备公安颁发的安全管理平台销售许可证厂商资质厂商具备软件开发成熟度CMMl5级认证,提供证书复印件并加盖厂商公章:厂商应是国家互联网应急响应中心网络安全应急服务国家级支撑单位;厂商具备云安全成熟度成熟度模型CSA-CMMI5认证,提供证书复印件并加盖厂商公章;潜伏威胁流量探针技术指标指标要求品牌要求与安全态势
40、感知系统为同一品牌硬件性能性能参数:吞吐性能:lGbpsMSSqKMysqlOracIePOP3、RDP、SMTP、SSH、TelnetsVNC等协议暴力破解检测。异常流量检测支持标准端口运行非标准协议,非标准端口运行标准协议的异常流量检测,端口类型包括3389、53、80/8080、21、69、443、25、110、143、22等(需提供截图证明并加盖原厂商公章)。支持ICMP、UDP、SYNDNS等协议外发异常流量检测,支持自定义阀值。僵尸网络行为检测支持HTTP未知站点下载可执行文件、浏览最近30天注册域名、浏览恶意动态域名、访问随机算法生成域名、暴力破解攻击、反弹连接、IRC通信等僵尸
41、网络行为检测。高级检测支持5种类型日志传输模式,包含标准模式、精简模式、高级模式、局域网模式、自定义模式,适应不同应用场景需求(需提供截图证明并加盖原厂商公章)。支持传输安全检测日志,包括网络攻击检测日志、漏洞利用攻击检测日志、僵尸网络检测日志、业务弱点发现口志。支持传输访问检测日志,包括正常访问、风险访问、违规访问。支持传输协议审计日志,包括https协议日志、http协议审计日志、DNS协议审计日志、邮件协议审计日志、SMB协议审计日志、AD域协议审计日志、WEB登录审计日志、FTP协议审计日志、Telnet协议审计日志、IeMP协议审计日志、1.1.MNR协议审计日志(需提供截图证明并加
42、盖原厂商公章)。违规访问检测支持IP,IP组,服务,端口,访问时间等定义访问策略,主动建立针对性的业务和应用访问逻辑规则,包括白名单和黑名单方式(需提供截图证明并加盖原厂商公章)。沙盒对接支持将流量还原的文件发送至沙盒分析;可支持第三方沙盒对接。特征库内置UR1.库、TPS漏洞特征识别库、应用识别库、WEB应用防护识别库、僵尸网络识别库、实时漏洞分析识别库、恶意链接库、白名单库。抓包分析支持流量抓包分析,可定义抓包数量、接口、IP地址、端口或自定义过滤表达式。管理功能支持设备内置简单命令行管理窗口,便于基础运维调试;可实时监控设备的CPU、内存、存储空间使用情况;能够监控监听接口的实时流量情况
43、部署支持多台采集器同时部署于客户网络不同位置并将数据传输到同一套分析平台产品资质要求具备公安颁发的网络入侵检测系统销售许可证厂商资质厂商具备软件开发成熟度CMMl5级认证,提供证书复印件并加盖厂商公章;厂商应是国家互联网应急响应中心网络安全应急服务国家级支撑单位:4.2. 系统业务运营服务4.2.1. 安全风险检查服务基础环境评估是信息安全保障工作的基础和重要环节。通过对面向公众提供服务的信息系统以及内网、专网范围内的业务系统进行基础环境评估能够有效发现业务系统网络方面的结构合理性。对主机方面的访问控制、身份识别,应用方面的逻辑安全、安全功能,数据库方面的数据安全,管理方面的制度和规范等安全漏洞和安全风险进行全面风险评估检查,全面有效落实安全管理工作,加强安全管理,推动各阶层员工做好每项安全工作。本项目需要采购专业安全服务,服务包括:1、利用漏洞扫描器对基础环境进行漏洞扫描,出具漏洞扫描报告及分析。2、采用最佳配貉核查实践对操作系统、数据库、中间件、网络设备、网络安全设备、网络边界进行配辂核查。3、专业安全顾问进行访谈、网络安全现状评估等4、服务周期为18个月。每季度进行2次以上内容,共不少于12次。每次约3人/天工作量,共36人/天。4.2.2. 应急响应服务在发生信息破坏事件(篡改、泄露、窃取、丢失等)、大规模病毒事件、网站漏洞事件等信息安全事件或重保时期,由服务商提供应
免费区 
