1、XXX网络安全管理平台建设项目采购需求一、建设背景为实现XXXXX全台网络安全态势的感知,XXXXX开展安全管理平台的规划建设,实现态势感知、威胁情报、安全分析、安全模型、通报预警、任务编排、工单管理、重大保障、资产管理等功能,并进行统一分析展示、安全指挥调度。本期拟搭建一套小规模的态势感知与安全运营、可扩展性的试点平台。二、建设目标鉴于单位现状,需在XXXXX建设网络安全管理平台,在XX部、XX部建设安全管理平台子平台,通过安全管理平台,提供各层视角的安全管理与运维工作,辅助安全决策。支持多样化的数据来源,具备根据业务需求扩展能力。形成统一的威胁分析和预警响应机制,利用大数据存储、分析技术,
2、对各类安全数据进行关联分析和深入挖掘,及时发现各类网络攻击行为、系统脆弱性事件,提升事件处置的效率。满足网络安全法、数据安全法、个人信息保护法等法律法规要求,符合网络安全建设发展趋势。三、技术规范和参考标准系统的各项软、硬件技术必须遵循现有的(或通用的)中国标准,若无相应的中国标准,则必须遵循国内外有关技术标准。信息技术软件质量标准a.计算机软件开发规范GB8566-88b.计算机软件产品开发文件编制指南GB8567-88c.计算机软件需求说明编制指南GB9385-88d.计算机软件测试文件编制规范e.f.计算机软件单元测试g.软件维护指南h.计算机软件需求说明编制指南i.计算机软件测试文件标
3、志指南J.计算机软件质量保证计划规范k.计算机软件可靠性和可维护性管理1.信息系统安全等级保护标准m.n.O.P.q.其,D准;2)GB9386-88GB/T15532-95GB/T14079-93GB/T9385-88GB/T9386-88GB/T12504-90GB/T14394-93GB/T16260-96信息处理-程序构造及其表示法的约定GB/T13502-92软件产品评价质量特性及其使用指南信息安全等级保护管理办法(公通字200743号)广播电视相关信息系统安全等级保护基本要求(GD/J038-2011)信息安全技术信息系统安全等级保护基本要求(GB/T22239-2008)信息安全
4、技术信息安全风险评估规范(GB/T20984-2007)信息安全技术信息系统安全等级保护测评要求(国标报批稿)工标准其他中华人民共和国国家广播电影电视总局关于省级电视台建设的标其他中华人民共和国关于电器设备使用的有关电气标准;3)符合其他中华人民共和国相关标准。四、技术要求(一)基本要求1)供应商提供的设备要求技术成熟,功能完善,配置齐全,稳定可靠,应用广泛,在国内有应用实例,维修、维护方便。2)所有设备必须是未经使用过的全新产品,并在出厂前经过严格检验和整机包装。3)设备应充分考虑将来的升级和扩展需求。4)所有模块化设备必须支持热插拔。5)所有双电源设备可在两路外电不同电压、相位和频率的情况
5、下正常工作。在设备外面板上提供独立的两路外电状态指示。6)系统中配套的操作系统、应用软件等所有相关软件须具有自主版权或合法版权。因供应商提供软件而引起的任何版权纠纷和法律责任,由供应商承担。7)供应商根据采购人需求完成系统设计、设备安装调试和售后服务等工作。8)供应商提供的产品必须具有高安全性,实现部件冗余设计与配置,具备相应安全保护机制,能确保数据存储和传输的安全。存储设备还要具有断电保护能力,确保断电后的数据一致性。9)供应商必须提供同类设备中具有高可用性的、经相同级别用户使用验证的,环保性能、抗电磁干扰性能良好的高标准、高质量、高稳定性产品,可保证系统长期、安全、稳定运行。10)供应商提
6、供的产品必须相互兼容,必须具备开放的体系结构,可以兼容不同厂家的产品和设备,可以集成到采购人现有系统中。在数据存储和交换上,采用标准开放的协议,以利于系统存储容量的扩展和存储内容的交换。11)供应商提供的产品在系统设计中考虑提供有效的系统监控手段和软硬件工具,能实时发现并处理系统故障和隐患。设备主要部件必须能支持热插拔,方便部件的维修更换。12)供应商提供的设备必须根据采购人要求进行软硬件现场安装、调试、测试(含功能、性能、安全性等),能无缝集成到现有技术管理网络中,满足采购人对网络、安全、存储设备的安全性、稳定性要求。13)供应商产品均须支持基于IPV6进行组网,支持实现以IPV6地址对外提
7、供访问。(二)方案要求要求提供企业级解决方案,整合现有系统的新旧设备,搭建态势感知与安全运营、可扩展性的试点平台,为台开展安全管理平台的规划建设,实现态势感知、威胁情报、安全分析、安全模型、通报预警、任务编排、工单管理、重大保障、资产管理等功能,并进行统一分析展示、安全指挥调度打下基础。要求如下:1)供应商提供的解决方案需要包括:现网计算资源、存储资源、网络资源和安全设备等部分的安全管理,提供安全管理方案,实现新旧设备安全防护等内容,完成数据存储的备份工作。2)网络拓扑结构需明确表达出网络设备的互连关系,基于已有的网络环境,实现安全管理平台的建设及对各区域的安全访问。3)要求解决方案实现本次新
8、购态势感知平台可与现有播出部态势感知平台统一运营管理和整合使用。4)为满足系统现有设备整体业务系统建设需要,提高资源的利用率,本项目需将兼容现有播出系统中的软、硬件资源与新购的软、硬件资源互联互通、资源整合,以满足整体业务系统需要,需适配兼容现有软、硬件资源。本次购买的的网络安全管理平台需实现对于利旧安全管理平台、流量传感器联动对接,将流量日志、告警日志、风险事件、资产信息等信息上传到本项目建设的网络安全管理平台统一分析和告警事件管理;利旧资源清单如下表所示:业务系统类别设备数量备注播出系统安全防护安全管理平台1(套)(奇安信)型号NGSoC-LV,确保顺利完成设备顺利搬迁、上电工作;播出系统
9、安全防护流量传感器1(套)(奇安信)型号NGSOC-NDS9000,确保顺利完成设备顺利搬迁、上电工作;五、采购项目需求一览表序号设备名称数量单位备注1网络安全管理平台1套核心产品2流量传感器11台3流量传感器21台4区域隔离防火墙2台5数据备份存储1台6交换机2台7系统集成及安全运营服务1项六、详细设计及设备参数要求(一)网络安全管理平台(1套)类别设备技术参数及性能(配置)要求规格要求兼容国产硬件平台;不少于3台标准机架式设备,每台配置要求:2颗12核主频2.2GHZ的CPU,N256G内存,三2块960GSSD固态硬盘,三12块4TB企业级SATA3.5寸硬;三4个电口,2个万兆光口(含
10、两个多模光模块);冗余双电源;提供不少于3个网络安全管理平台节点授权,提供不少于300个数据源采集授权,提供不少于3年威胁情报订阅服务及软硬件维保服务;功能要求需实现与播出部原有的安全分析与管理系统联动对接,将流量日志、告警日志、风险事件、资产信息等信息上传到本项目建设的网络安全管理平台统一分析和告警事件管理。支持新增日志类型功能,可新增字段信息,支持数据存储类型的配置,包括:ES、Kingbasemysql,并支持存储信息的配置:包括数据库名、存储时间(最小保留天数、最大保留天数)、分区方式、重要度、刷新时间间隔等属性信息,达到分类存储日志的目的。支持日志采集器、流量采集器和第三方采集器,可
11、采集SySlog日志、SNMPTrap日志、文本日志、数据库日志、WMI日志、Netflow日志、HTTP日志、Script日志,对采集的日志可进行压缩、完整性校验和加密。支持对资产风险值的自定义计算,计算范围包括威胁告警及脆弱性的危害等级、时间范围、处置状态等纬度。支持对风险计算周期进行配置;支持联动资产探查设备进行资产发现,联动扫描器进行漏洞扫描;支持从资产分组、组织架构、业务分组、地理位置及网段视角展示主机资产详情信息;支持资产服务信息管理,支持对资产IP、端口、服务名、服务版本、协议、Banner等服务属性进行管理;支持DHCP场景下的资产管理,支持对DHCP范围、DHCP租期、资产唯
12、一标识等属性进行配置。支持查看DHCP场景下资产IP的变更记录。支持业务资产外连态势展示功能,能够展示“资产外连总览”、“资产外连次数TOP5”、“资产外连趋势”、“被连国家/地区TOP5”、“被连IPTOP5”、“资产外连实时监测”信息,具备内网威胁态势展示功能,能够展示“内网威胁概况”、“内网威胁等级”、“威胁类型TOP5”、“3D球形图”、“内网威胁趋势图”、“攻击者网段分布”、“跨网段攻击T0P5”、“攻击者T0P5”信息。支持本地威胁情报的检索,检索类型支持域名、URL、IP地址;威胁情报内容支持I0C、攻击链阶段、ID、置信度、类型描述、定向攻击、风险等级、恶意家族、发布时间、攻击
13、事件/团伙、影响平台、情报当前状态、威胁描述等;支持自定义威胁情报,支持类型包含IP地址、域名、MD5、域名:URI、IP地址:URI、域名:端口、IP地址:端口、域名:端口:URI、IP地址:端口:URL支持自定义IPv6的威胁情报;需支持智能分诊功能,智能分诊模型支持分诊规则、加白分诊规则两种规则,分诊规则支持配置过滤条件或配置过滤条件组,过滤内容包括:告警名称、首次告警时间、源IP、目的IP、源端口、目的端口、通信方向、攻击者等字段,智能分诊支持配置生效时间(包括永久生效和自定义时间);加白分诊规则支持对源IP、目的IP、数据源IP、攻击者(IP)、受害者(IP)、域名、文件哈希、URI
14、资源等类型进行全局加白,并支持配置生效时间;(包括永久生效和自定义时间);需支持对告警进行智能化的归类,以可视化的方式呈现归类后告警:包括重点关注告警、低关注告警、不关注告警、未分诊告警,同时支持展示智能分诊率;支持预置10余种常见场景的告警快速筛选器,包括今日新增威胁告警、已先陷告警、首次出现告警、H)C告警、外部攻击告警、横向移动告警、资产外连告警、恶意文件告警、Web攻击告警、WindOWS告警、LinUX告警、自身安全性告警;具备独立的告警分析管理模块,支持基于多视角进行聚合分析,分析视角至少包含告警名称分析、攻击者分析(含外部攻击者、内部攻击者)、失陷情报分析、挖矿木马分析、勒索软件
15、分析、ATT&CK分析。支持安全运营态势展示功能,能够展示“资产管理情况”、“安全设备部署情况”、“威胁监控”、“安全人员”信息,具备全网漏洞态势展示功能,能够展示“漏洞信息”、“漏洞类型TOPI0”、“影响资产ToP5”、“安全域”、“漏洞处置分布”、“漏洞平均修复时间”信息。支持对重大网络安全事件(如log4.j漏洞)进行威胁预警,通过厂商对重大网络安全事件的追踪生成预警包,通过预警包导入以及自动升级的方式完成网络安全事件的影响面评估,支持统计潜在风险资产数、受攻击资产数、失陷资产数,支持影响面趋势视图统计分析,支持根据风险资产数量统计自定义关键点节点条件。支持事态扩散过程发展趋势图的展示
16、及详细告警列表及告警信息展示;支持调查事件,编辑事件基础信息,包括事件名称、事件类型、事件优先级、事件描述等;其中事件-证据库中支持移除添加的告警,支持移除资产关联的脆弱性数据,支持添加证据截图及描述信息;支持编辑事件处置建议。支持保存、确认、终止事件调查;支持自定义威胁情报,支持类型包含IP地址、域名、MD5、域名:URI、IP地址:URI、域名:端口、IP地址:端口、域名:端口URIIP地址:端口URI;支持自定义IPv6的威胁情报;支持以IP地址作为实体的多数据快速关联及分析展示能力,支持集中展示IP地址相关的威胁趋势、攻击阶段、威胁分类、威胁关联情况等信息。支持集中展示IP地址相关的威
17、胁信息、脆弱性信息、暴露面、登录分析、访问分析数据等。支持以域名作为实体的多数据快速关联及分析展示能力。支持集中展示域名相关的鉴定结果:包括威胁情报信息、访问源统计、解析结果、访问趋势等;支持事件调查管理,支持查看事件详情信息及事件调查处置的时间轴信息;事件详情包括事件概览、受影响资产,ATT&CK战术,攻击技术及攻击者信息,关键攻击痕迹,证据库(包含:告警、资产、其他上证据传证据图片及研判依据描述信息等)、处置建议。支持漏洞管理功能,能够对漏洞进行查看、过滤、搜索、导出、变更状态等操作,具备漏洞报告导入功能,能够导入扫描器的Xml格式漏洞报告,能够导入人工制作的XISX格式漏洞报告,具备扫描
18、任务管理功能,能够使用联动的扫描器进行漏洞扫描。支持SQL注入、文件上传、目录遍历、文件包含、勒索软件、远控木马、僵尸网络、网络蠕虫、重要资产非法外连行为、非办公时间访问核心资产、未注册IP访问核心资产、信息泄露、信息收集、端口扫描、漏洞扫描、APT等攻击行为的检测能力。支持业务资产主动外连、HTTP代理发现、DNSTunnel发现、reGeorgTunnel发现、SOCKS代理发现、DGA域名发现、异地账号登录、暴力破解、明文密码泄露、弱口令检测、VPN登录地域分布统计、VPN账号登录行为统计、敏感关键词邮件列表、敏感后缀邮件列表等特定场景的安全分析功能。支持提供态势感知大屏统一入口,态势首
19、页集中展示至少10块态势大屏;支持大屏配置、轮播投放,内置大屏介绍文档,可供用户线上查看和下载;支持通过工单对安全事件进行跟踪处理,工单类型包括:通用、弱口令、告警、配置核查、漏洞。工单通知支持个人和群,通知个人方式包括邮件、短信、企业微信、消息中心、钉钉,通知群方式包括钉钉群、企业微信群。工单流转中支持添加附件,支持zip、rar.pdf、doc、docxxlsxlsxpptpptxtxt、pngjpegjpg格式。工单状态包含待下发、待处置、处置中、已处置、已完成、已撤销;支持将告警、漏洞通过工单下发给责任人处理,能够查看、结束工单,具备联动功能,能够设置基于内网IP、外网IP、域名、UR
20、L的联动处置;支持在告警详情页面下发安全编排任务,已下发的编排任务相关信息会记录到处置记录中,在处置记录中点击剧本实例编号,可以查看编排剧本实例运行进度详情。支持自定义报表模板:支持自定义模板可加入多种统计分析视图(含自定义)和智能备注信息(可根据数据不同展示不同的备注说明);支持灵活编辑和布局调整以形成整体报表;可添加不限于告警统计、工单统计、异常行为统计、弱口令统计、攻击者统计、日志统计、系统维护、脆弱性统计、调查统计、资产统计、风险统计等;支持统计视图,包括不限于:列表、指标卡,折线图、面积图、堆积面积图、柱状图、堆积柱状图、条形图、堆积条形图、饼图、玫瑰图、散点图、词玄图、双轴图等视图
21、展75;提供独立的安全内容包升级,安全内容部包含关联规则、行为基线模型、分诊规则、日志检索语句、告警筛选器、视图、仪表板、ATT&CK知识库、报表模板。支持对威胁告警产生的消息通知进行配置模板,模板支持邮件、短信、IM消息。通知模板支持引用变量作为通知内容,变量包括告警名称、危害等级、威胁类型、关注内容、告警摘要、研判处置、运营建议等;支持对终端安全管理系统下发联动处置命令,命令包含:全网终端隔离特定文件,特定终端隔离特定文件、终端隔离(被隔离终端只能访问控制中心)、全盘查杀指定终端。支持自定义知识库,支持对自定义知识库字段的管理和配置,字段包含文本框、富文本、数值、密码、附件等表现形式,支持
22、自定义知识库的增删改查等基础配置;支持自定义仪表板功能,能够在仪表板内加入多种统计分析视图(含自定义),支持在引用视图时查看视图内容,还支持跳转到视图模块新增视图便于仪表板快速引用。支持选择、拖拽、边框调整等操作,形成账户独有的仪表板展示页面;(二)流量传感器1(1台)类别设备技术参数及性能(配置)要求规格要求兼容国产化硬件平台;配置不少于1台标准机架式设备,吞吐量N5Gbps,2个10/100/1000M自适应千兆电口,三4个万兆光口,硬盘容量三4T,冗余电源;特征库要需提供不少于3年全功能特征库升级服务,不少于3年威胁情报支持IPv4和IPv6网络环境下的部署,接口支持IPV4、IPv6配
23、置,支持对IPv4路由监控和对IPv6路由监控,可同时对IPv4和IPv6网络流量分析检测;网络流量传感器作为安全管理平台的流量采集组件,其产生的流量日志可被安全管理平台采集和解析。支持手动批量导入PCAP包对离线流量采集,单次总大小支持1个G;支持通过配置FTP方式批量导入PCAP包对离线流量采集;记录PCAP包导入记录及检测状态;支持流量过滤策略,通过ip、ip段、端口、协议等进行流量过滤,过滤语法支持and、or、not等多条件过滤语句。支持通过配置BPF语法条件进行流量过滤。支持基于源地址/地区、目的地址/地区、服务、空载荷过滤、流功能要求量采样比、时间的数据采集策略,可采集流量日志、
24、LDAP行为、邮件行为、Telnet行为、DHCP解析、Kerberos认证、Radius认证、Web访问、域名解析、FTP控制通道、文件传输、SSL加密协商、ICMP、登录动作、数据库操作相关信息,可进行威胁情报检测、漏洞检测、间谍软件检测、恶意文件检测。支持基于源地址、目的地址、源端口、目的端口对SMTPS、P0P3S、!MAPS.HTTPS等SSL加密流量进行解密,并可将解密后的明文流量镜像;支持常见数据库协议的识别还原,数据库行为的解析,生成流量日志:DB2OracleSQLServerMySQLMSSQL、PostgreSQLMongoDB等协议;支持LDAP、RadiusKerbe
25、rOS等认证协议的解析,支持WebMai1、SMTP、POP3、IMAP邮件行为解析,生成流量日志;支持识别FTP、SMBOracleMySQLMSSQL、PostgreSQLSSH、求更新授权,不少于3年硬件维保服务;POP3、IMAPSMTP、redis、CouchDBMembaseMongoDB等登录行为;支持VLAN、VXLAN的网络流量的解析检测。云场景下,支持GENEVE协议双层隧道封装流量的解析检测;支持TCP/UDP会话记录、异常流量会话记录、SSL加密协商、登录行为、域名解析、文件传输、FTP控制通道、LDAP行为、Web访问、邮件行为、数据库操作、telnet命令、旁路阻断
26、MQ流量、Radius行为、KerberoS行为、ICMP流量、Syn流量等行为描述。支持配置网络日志外发的标准模式、精简模式、自定义模式,支持自定义配置网络日志的外发字段;支持自定义协议和端口,满足特殊场景下的流量抓取。支持非标端口下的常规协议自动识别、解析和威胁检测功能;支持对HTTP、FTP_DATASMB、SMTP、PoP3、WEBMAILIMAPTFTP、QQNFS等类型协议的流量进行文件还原。支持基于威胁情报的威胁检测,检测类型包含APT事件、僵尸网络、勒索软件、黑市工具、远控木马、窃密木马、网络蠕虫、流氓推广、恶意下载、感染型病毒、挖矿病毒、其他恶意软件;支持检测模式的标准模式
27、精简模式、自定义模式的切换,支持自定义检测深度,支持DNS隧道检测、CS流量检测、MSF检测、暗网流量检测等十几种机器学习模型的自定义配置;支持检测针对WEB应用的攻击,如SQL注入、XSS,代码执行、系统配置等注入型攻击。支持跨站请求伪造CSRF攻击检测;支持其他类型的WEB攻击,如目录遍历、弱口令、权限绕过、命令执行、文件读写、信息泄漏、文件包含、文件写入攻击、挖矿等检测;支持基于webshell函数的攻击检测,如任意文件上传、任意函数执行后门、任意文件写入、任意文件包含、任意目录读取、命令执行后门、PregjePIaCe代码执行等;支持基于代理程序的攻击检测,如TCP代理程序、HTTP
28、代理程序等。支持多种攻击检测,能更全面的从流量中发现威胁,如:SQL注入、XSS,信息泄露、间谍软件、协议异常、网络欺骗、黑市工具、代码执行、挖矿等;支持非TCP完整流、畸形包检测、数据包完整性检测、IP碎片攻击检测、编码绕过检测、高级逃逸AET检测等防逃逸检测能力;支持根据威胁情报、检测规则、用户配置数据,来检测失陷主机通信活动行为;支持DNS隧道、HTTP隧道、ICMP隧道等常见隐蔽信道通信的检测;支持用于恶意软件检测的SSL/TLS客户端指纹识别。支持自定义弱口令字典,支持HTTP、HTTPSSMBTelnet、FTP、SMTP、IMAP等协议的自定义弱口令检测;支持自定义弱口令规则,支
29、持正则表达式方式自定义弱口令强度、复杂度规则。支持配置多条弱口令检测的正则表达式;支持HTTP、SMBFTP、IMAPPOP3、SMTP、MSSqhMysqKOracleSip、Redis、Ldap、Nntp、SSH、TelnetSybase、VNC、RADMINRDP等协议暴力破解检测,能识别出尝试登录次数、账户信息、爆破成功与否的攻击状弱口令识别态;支持ACKFlood、SYNFlood、UDPF100d和PingFlood;支持应用层FlOod攻击检测,包括DNSF100d和HTTPFlood;支持与云端威胁情报中心联动,可对受害IP、攻击IP、IOC/规则ID、文件MD5进行一键搜索,
30、查看基本信息、开源情报、相关样本、可视化分析、域名解析、注册信息、关联域名、数字证书等;支持基于网络请求的语义分析检测,能够将网络请求拆分后从请求头、响应头、请求体、响应体四方面详细展示请求内容,并能提升对未知威胁检测能力;支持攻击特征高亮展示,方便分析人员事件分析;支持威胁告警的相关PCaP数据留存,支持本地下载及外发;支持根据攻击载荷自定义漏洞检测规则,可自定义载荷检测位置、检测字段、匹配方式(文本匹配/正则匹配)、匹配载荷内容,并且单条规则可指定多个检查项,同时可定义漏洞威胁级别、威胁分类、攻击结果、CVE编号、CNNVD编号、漏洞描述、漏洞危害、解决方案;支持自定义威胁情报,支持根据威
31、胁类型、威胁名称、威胁级别、置信度、情报类型、IP、域名等自定义添加威胁情报。支持与第三方平台对接,支持通过KAFKA、syslog将威胁告警、网络日志、系统日志等日志外送至第三方平台。支持将威胁告警、网络日志等日志传输给分析平台,支持将样本文件外发文件威胁鉴定器,支持将威胁告警信息发送给攻击诱捕系统。支持将威胁告警外发集中管理平台,支持与集中管理平台进行联动,统一进行系统、情报、规则的升级;(三)流量传感器2(1台)类别设备技术参数及性能(配置)要求规格要求兼容国产硬件平台;配置不少于1台标准机架式设备,吞吐量NIGbPS,配置三6个10/100/100OM自适应千兆电口;三4个千兆光口,硬
32、盘容量N4T,冗余电源;特征库要求需提供不少于3年全功能特征库升级服务,不少于3年威胁情报更新授权,不少于3年硬件维保服务;功能要求支持IPv4和IPv6网络环境下的部署,接口支持IPV4、IPv6配置,支持对IPv4路由监控和对IPv6路由监控,可同时对IPv4和IPv6网络流量分析检测;网络流量传感器作为安全管理平台的流量采集组件,其产生的流量日志可被安全管理平台采集和解析。支持手动批量导入PCAP包对离线流量采集,单次总大小支持1个G;支持通过配置FTP方式批量导入PCAP包对离线流量采集;记录PCAP包导入记录及检测状态;支持流量过滤策略,通过ip、ip段、端口、协议等进行流量过滤,过
33、滤语法支持and、or、not等多条件过滤语句。支持通过配置BPF语法条件进行流量过滤。支持基于源地址/地区、目的地址/地区、服务、空载荷过滤、流量采样比、时间的数据采集策略,可采集流量日志、LDAP行为、邮件行为、Telnet行为、DHCP解析、Kerberos认证、Radius认证、Web访问、域名解析、FTP控制通道、文件传输、SSL加密协商、ICMP、登录动作、数据库操作相关信息,可进行威胁情报检测、漏洞检测、间谍软件检测、恶意文件检测。支持基于源地址、目的地址、源端口、目的端口对SMTPS、P0P3S、!MAPS.HTTPS等SSL加密流量进行解密,并可将解密后的明文流量镜像;支持常
34、见数据库协议的识别还原,数据库行为的解析,生成流量日志:DB2、OracleSQLServerMySQLMSSQL、PostgreSQLMongoDB等协议;支持LDAP、RadiusKerberoS等认证协议的解析,支持WebMai1、SMTP、POP3、IMAP邮件行为解析,生成流量日志;支持识别FTP、SMBOracleMySQLMSSQL、PostgreSQLSSH、POP3、IMAP、SMTPredisCouchDBMembaseMongoDB等登录行为;支持VLAN、VXLAN的网络流量的解析检测。云场景下,支持GENEVE协议双层隧道封装流量的解析检测;支持TCP/UDP会话记录
35、异常流量会话记录、SSL加密协商、登录行为、域名解析、文件传输、FTP控制通道、LDAP行为、Web访问、邮件行为、数据库操作、telnet命令、旁路阻断、MQ流量、Radius行为、KerberOS行为、ICMP流量、Syn流量等行为描述。支持配置网络日志外发的标准模式、精简模式、自定义模式,支持自定义配置网络日志的外发字段;支持自定义协议和端口,满足特殊场景下的流量抓取。支持非标端口下的常规协议自动识别、解析和威胁检测功能;支持对HTTP、FTP_DATASMB、SMTP、POP3、WEBMAILIMAPTFTP、QQNFS等类型协议的流量进行文件还原。支持基于威胁情报的威胁检测,检测类
36、型包含APT事件、僵尸网络、勒索软件、黑市工具、远控木马、窃密木马、网络蠕虫、流氓推广、恶意下载、感染型病毒、挖矿病毒、其他恶意软件;支持检测模式的标准模式、精简模式、自定义模式的切换,支持自定义检测深度,支持DNS隧道检测、CS流量检测、MSF检测、暗网流量检测等十几种机器学习模型的自定义配置;支持检测针对WEB应用的攻击,如SQL注入、XSS,代码执行、系统配置等注入型攻击。支持跨站请求伪造CSRF攻击检测;支持其他类型的WEB攻击,如目录遍历、弱口令、权限绕过、命令执行、文件读写、信息泄漏、文件包含、文件写入攻击、挖矿等检测;支持基于webshell函数的攻击检测,如任意文件上传、任意函
37、数执行后门、任意文件写入、任意文件包含、任意目录读取、命令执行后门、PregJePIaCe代码执行等;支持基于代理程序的攻击检测,如TCP代理程序、HTTP代理程序等。支持多种攻击检测,能更全面的从流量中发现威胁,如:SQL注入、XSS,信息泄露、间谍软件、协议异常、网络欺骗、黑市工具、代码执行、挖矿等;支持非TCP完整流、畸形包检测、数据包完整性检测、IP碎片攻击检测、编码绕过检测、高级逃逸AET检测等防逃逸检测能力;支持根据威胁情报、检测规则、用户配置数据,来检测失陷主机通信活动行为;支持DNS隧道、HTTP隧道、ICMP隧道等常见隐蔽信道通信的检测;支持用于恶意软件检测的SSL/TLS客
38、户端指纹识别。支持自定义弱口令字典,支持HTTP、HTTPSSMBTelnet、FTP、SMTP.IMAP等协议的自定义弱口令检测;支持自定义弱口令规则,支持正则表达式方式自定义弱口令强度、复杂度规则。支持配置多条弱口令检测的正则表达式;支持HTTP、SMBFTP、IMAPPoP3、SMTP、MSSqKMysqKOracleSip、Redis、Ldap、Nntp、SSH、TelnetSybase、VNC、RADMINRDP等协议暴力破解检测,能识别出尝试登录次数、账户信息、爆破成功与否的攻击状弱口令识别态;支持ACKFlood、SYNFlood、UDPFlOod和PingFlood;支持应用层
39、F100d攻击检测,包括DNSFlood和HTTPFlood;支持与云端威胁情报中心联动,可对受害IP、攻击IP、IOC/规则ID、文件MD5进行一键搜索,查看基本信息、开源情报、相关样本、可视化分析、域名解析、注册信息、关联域名、数字证书等;支持基于网络请求的语义分析检测,能够将网络请求拆分后从请求头、响应头、请求体、响应体四方面详细展示请求内容,并能提升对未知威胁检测能力;支持攻击特征高亮展示,方便分析人员事件分析;支持威胁告警的相关PCaP数据留存,支持本地下载及外发;支持根据攻击载荷自定义漏洞检测规则,可自定义载荷检测位置、检测字段、匹配方式(文本匹配/正则匹配)、匹配载荷内容,并且单
40、条规则可指定多个检查项,同时可定义漏洞威胁级别、威胁分类、攻击结果、CVE编号、CNNVD编号、漏洞描述、漏洞危害、解决方案;支持自定义威胁情报,支持根据威胁类型、威胁名称、威胁级别、置信度、情报类型、IP、域名等自定义添加威胁情报。支持与第三方平台对接,支持通过KAFKA、syslog将威胁告警、网络日志、系统日志等日志外送至第三方平台。支持将威胁告警、网络日志等日志传输给分析平台,支持将样本文件外发文件威胁鉴定器,支持将威胁告警信息发送给攻击诱捕系统。支持将威胁告警外发集中管理平台,支持与集中管理平台进行联动,统一进行系统、情报、规则的升级;(四)区域隔离防火墙(2台)类别设备技术参数及性
41、能(配置)要求规格要求基于国产化硬件平台;标准机架式设备,网络层吞吐量N3G,并发连接三400万,每秒新建连接数三14万;配置不少于4个10/100/100OM自适应电口;不少于1个MGT管理接口,不少于1个HA接口,不少于1个COnSoIe口,不少于4个SFP插槽,不少于1个接口板卡扩展插槽,USB接口三2个,硬盘NlTB,冗余电源;特征库要求含应用控制、URL过滤、病毒防护、入侵防御、威胁情报检测、IPSecVPN.SSLVPN等功能;提供不少于3年功能特征库升级服务,不少于3年硬件维保服务;功能要求支持路由、透明、交换以及混合模式接入,满足复杂应用环境的接入需求。支持VXLAN功能,支持
42、双栈V4和V6,VXLAN网络管理、VXLAN动态MAC、VXLAN静态MAC等功能。支持MPLS功能;可在安全策略中配置漏洞防护、反病毒、防间谍软件、内容过滤、URL过滤、联动终端管控等。支持策略路由功能,支持均衡方式有源地址目的地址哈希、源地址哈希、轮询、时延负载、备份、随机、流量均衡、源地址轮询、目的地址哈希、最优链路带宽负载、最优链路带宽备份、跳数负载等。支持链路健康检查功能,可提供的IP类型有IPv4和IPv6,协议包含TCP、HTTP、DNS、ICMP、Radiuso策略路由支持BFD监控。支持流量编排功能,支持将其他设备定义为网元组(包括但不限于防火墙、IPS、IDS、WAF,行
43、为管理、流量探针等),工作模式支持串联或旁路,支持组负载均衡算法。支持漏洞防护功能,包括“永恒之蓝”、“震网三代”、“Struts”、“Struts2、“Xshell后门代码”等常见攻击,漏洞攻击信息需包含名称、CVElD、CNNVDIDCWElD、严重性、漏洞平台、类型名称、描述、解决方案建议等。支持与态势感知平台联动,需使用HTTPS协议进行加密联动,地址类型需包含IPV4或IPV6;支持接收来自态势感知平台推送的处置策略,及时拦截绕过防御措施产生的高级威胁。支持导出最后保存配置、当前配置、历时配置,可将配置文件导出至本地、FTP服务器、TFTP服务器,并可配置密文导出。支持解密后的数据会
44、进入到高级功能中进行扫描,用以实现加密流量的安全防护。(五)数据备份存储(1台)指标项技术参数及性能(配置)要求硬件架构标准机架式设备,不少于12盘位,双控制器架构,支持热插拔冗余控制器、主路径冗余保护、故障热切换;处理器控制器配置国产化64位多核CPU,CPU主频不低于2.3G,CPU不少于8个物理核心;控制器配置存储处理芯片;存储专用架构芯片负责数据1/。处理,该芯片具备RAID运算、SAS协议解析、iSCSI指令解析、TOE卸载等;系统缓存双控N32GB,可扩展至256GB,支持管理缓存和数据缓存分离;硬盘配置不少于8块4T,7200转企业级SAS硬盘;网络接口整机提供三4个IO主机卡槽
45、支持l1040GbpsiSCSK81632GbpsFC主机接口,组网方式灵活;存储方式及协议支持NAS/FCSAN/IPSAN存储,支持统一的块存储和文件存储,支持SAN与NAS的一体化免网关双活;支持FC、iSCSI、NFS、ClFS、FTP、HTTPS存储协议。RAID等级支持RAlD0、1、5、6、10、50、60及线性RAlD的RAlD方式;数据保护数据复制、文件迁移、数据镜像、自动精简、快照、SSD加速、压缩、重删、自动分层、本地逻辑卷镜像。存储QOS配置存储QoS功能,针对前端不同级别的应用提供存储资源的优先分配功能;数据对接支持与平台对接,统一管理存储资源;管理软件支持日志管理
46、能够显示相关日志,并可按照时间顺序进行显示;支持安全账户登录管理功能;支持用户管理功能;支持状态监控,监控信息包括设备基本信息、硬盘运行状态和控制器运行状态。(六)交换机(2台)指标项技术参数及性能(配置)要求交换容量和交换容量三2.56TbPs,包转发率三720Mpps;包转发率端口及模块配置要求配置10GE光接口三24个,40GE光接口三2个,扩展插槽三2个;配置万兆多模光模块三24个,40GE光模块三2个;硬件规格支持冗余双电源,双风扇模块,单个电源模块功率不超过500wo支持前后、后前风道;支持双扩展插槽,可扩展业务线卡和多功能插卡。整机最大路由地址表N64K,整机最大ARP地址表N
47、64K,整机最大MAC地址表N128K;三层功能支持IPv4静态路由、RIP、OSPFISIS、BGP;支持IPv6静态路由、RlPng、OSPFV3、ISISv6BGP4+;防火墙插卡支持防火墙插卡,集成多种安全模块,保障网络信息安全。绿色制造名单入选工信部绿色制造名单。安全启动要求支持安全启动,在系统启动过程中支持安全检测,防止对系统镜像进行修改和伪造数据;ERPS支持ERPS功能,收敛时间小于50ms;VxLAN支持VXLAN二层互通;支持VxLAN集中式网关互通功能;支持EVPN分布式网关二三层互通功能;MPLSMPLSL2、L3VPN功能;可靠性支持BFDFORVRRP功能;支持RRPP(快速环网保护协议),环网故障恢复时间不超过50ms;访问控制策略支持基于第二层、第三层和第四层的ACL;
免费区 
