【文章內(nèi)容簡介】 日志代理，實(shí)現(xiàn)對全網(wǎng)分散資源的統(tǒng)一管理綜合展示1） 用戶登錄即可進(jìn)入綜合展示界面。通過該界面，能夠快速的導(dǎo)航到各個(gè)功能2） ▲在綜合展示界面中能夠顯示系統(tǒng)的基本管理信息，包括最近分鐘告警狀態(tài)雷達(dá)圖、最近小時(shí)事件趨勢圖、最近小時(shí)的條告警列表，能夠顯示最新小時(shí)內(nèi)的事件總數(shù)、各等級事件數(shù)量，以及事件量曲線【必須提供截圖】；功能要求資產(chǎn)管理 1） 系統(tǒng)具有資產(chǎn)管理的功能，能夠?qū)⒈还芾碣Y產(chǎn)進(jìn)行分組、分域的統(tǒng)一維護(hù)。15 / 832） 系統(tǒng)支持以資產(chǎn)樹的形式顯示不同資產(chǎn)區(qū)域之間的關(guān)系；3） 系統(tǒng)支持以列表的形式顯示某個(gè)管理區(qū)域中的所有資產(chǎn)清單；4） 用戶可以隨意在資產(chǎn)的拓?fù)湟晥D和列表視圖之間進(jìn)行切換；5） 在資產(chǎn)拓?fù)渖线x擇每個(gè)資產(chǎn)節(jié)點(diǎn)，可查看每個(gè)資產(chǎn)的事件信息、告警信息、漏洞信息、風(fēng)險(xiǎn)信息，并且支持向下鉆取，直接進(jìn)入事件列表、關(guān)聯(lián)告警列表；6） 能夠根據(jù)收到的事件的設(shè)備地址自動識別新的資產(chǎn)，并支持自動添加到資產(chǎn)清單中去；7） 用戶可以對資產(chǎn)定義標(biāo)簽，實(shí)現(xiàn)對資產(chǎn)屬性的動態(tài)擴(kuò)展。日志采集1） 無需另外安裝軟件組件，管理中心即可通過 、\、文件\文件夾、、等多種方式完成日志收集功能；2） 可靈活定制不支持的數(shù)據(jù)源采集，而無須改動代碼。日志范式化1） 系統(tǒng)必須具備日志范式化功能，實(shí)現(xiàn)對異構(gòu)日志格式的統(tǒng)一化；2） 范式化字段至少應(yīng)包括事件接收時(shí)間 、事件產(chǎn)生時(shí)間、事件持續(xù)時(shí)間、用戶名稱、源地址、源地址、源端口、操作、目的地址 、目的地址、目的端口、事件名稱、事件摘要 、等級、原始等級、原始類型、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)應(yīng)用協(xié)議、設(shè)備地址、設(shè)備名稱、設(shè)備類型等；日志合并）要支持對無用信息的自動合并，減少垃圾數(shù)據(jù)數(shù)量；）▲可以建立日志合并條件，設(shè)定合并的時(shí)間范圍【必須提供截圖】。安全事件實(shí)時(shí)監(jiān)視1） 系統(tǒng)允許管理員實(shí)時(shí)的，以實(shí)時(shí)監(jiān)視策略的形式同各個(gè)維度查看安全事件；2） ▲用戶可自定義監(jiān)視策略，并以樹形結(jié)構(gòu)進(jìn)行組織，形成一個(gè)監(jiān)視樹【必須提供截圖】；3） 實(shí)時(shí)顯示事件內(nèi)容包括：接收時(shí)間、事件類型、事件名稱、報(bào)警級別、來源、目的、設(shè)備類型、設(shè)備來源等。16 / 83事件實(shí)時(shí)統(tǒng)計(jì)分析1） 系統(tǒng)允許管理員以實(shí)時(shí)統(tǒng)計(jì)策略的形式從各個(gè)維度進(jìn)行安全事件進(jìn)行實(shí)時(shí)統(tǒng)計(jì)分析；2） ▲用戶可自定義統(tǒng)計(jì)策略，并以樹形結(jié)構(gòu)進(jìn)行組織，形成一個(gè)統(tǒng)計(jì)策略樹【必須提供截圖】；3） 統(tǒng)計(jì)策略的條件和時(shí)間間隔可自由設(shè)定；4） 支持柱狀圖、餅圖等形式的統(tǒng)計(jì)信息可視化展示；基于規(guī)則的事件關(guān)聯(lián)分析1） 系統(tǒng)具有基于規(guī)則的安全事件關(guān)聯(lián)分析的能力，能夠?qū)Σ煌氖录M(jìn)行相關(guān)性分析，發(fā)掘潛在的信息；2） ▲系統(tǒng)提供基于圖形化方式的關(guān)聯(lián)規(guī)則編輯器【必須提供截圖】；3） 所有事件字段都可參與關(guān)聯(lián)；4） 可實(shí)現(xiàn)邏輯關(guān)聯(lián)，以及嵌套邏輯關(guān)聯(lián)；安全事件可視化系統(tǒng)具備豐富的事件可視化展示能力，具備多種展現(xiàn)手段，至少包括事件拓?fù)鋱D、全球定位圖、動態(tài)事件移動圖、事件多維分析圖、資產(chǎn)拓?fù)鋱D，等等安全事件存儲管理）▲系統(tǒng)應(yīng)提供事件維護(hù)功能，動定時(shí)備份采集上來的安全事件，也支持手動備份與恢復(fù)【必須提供截圖】；）管理員可設(shè)置事件存儲容量告警閾值。權(quán)限管理1） 實(shí)現(xiàn)基于角色的權(quán)限管理，所有的用戶的權(quán)限都通過角色來賦予；2） 要求系統(tǒng)管理員、用戶權(quán)限管理員和審計(jì)管理員三權(quán)分立；系統(tǒng)內(nèi)置上述三類管理員。（）內(nèi)網(wǎng)安全管理系統(tǒng) 指標(biāo)項(xiàng) 指標(biāo)要求支持基于協(xié)議的網(wǎng)絡(luò)準(zhǔn)入控制。基于網(wǎng)絡(luò)準(zhǔn)入控制需要同時(shí)支持有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)接入。支持交換機(jī)端口綁定，支持指定交換機(jī)端口只允許接入指定的終端，或者指定的用戶通過指定的交換機(jī)端口接入網(wǎng)絡(luò)。內(nèi)網(wǎng)終端接入管理內(nèi)網(wǎng)接入層終端準(zhǔn)入支持、等系統(tǒng)平臺自帶的客戶端在系統(tǒng)中進(jìn)行認(rèn)證。支持的目錄服務(wù)包括本地目錄服務(wù)和域等第三方目錄服務(wù)。17 / 83支持基于協(xié)議的網(wǎng)絡(luò)準(zhǔn)入認(rèn)證和控制。內(nèi)網(wǎng)匯聚層終端準(zhǔn)入如果計(jì)算機(jī)終端未安裝客戶端程序，則會被重新定向到指定的網(wǎng)頁下載客戶端并進(jìn)行安裝，在此基礎(chǔ)上修復(fù)安全漏洞。要求提供界面截圖能夠?qū)L試訪問、和應(yīng)用系統(tǒng)終端執(zhí)行應(yīng)用準(zhǔn)入控制，對終端進(jìn)行身份認(rèn)證和安全狀態(tài)檢查。指定關(guān)鍵業(yè)務(wù)系統(tǒng)和服務(wù)器終端準(zhǔn)入▲應(yīng)用準(zhǔn)入應(yīng)具備智能機(jī)制，在出現(xiàn)意外時(shí)，自動放行客戶端訪問，保證業(yè)務(wù)不間斷運(yùn)行。要求提供界面截圖能夠識別和控制終端各種外設(shè)進(jìn)行控制,能夠單獨(dú)禁用指定的外部設(shè)備，也可以禁用所有外部設(shè)備，然后只選擇啟用某些指定的外部設(shè)備。外設(shè)使用控制支持對未知設(shè)備通過設(shè)備在線采樣，精確對其控制。要求提供界面截圖▲能夠有效控制網(wǎng)絡(luò)非法外聯(lián)行為，阻斷終端通過多網(wǎng)卡、網(wǎng)卡、手機(jī)等多種方式網(wǎng)絡(luò)非法外聯(lián)訪問，杜絕網(wǎng)絡(luò)非法外聯(lián)行為發(fā)生。要求提供界面截圖能夠禁用可能被用于連接網(wǎng)絡(luò)非法外聯(lián)設(shè)備的外設(shè)接口，至少能夠禁用、紅外、無線網(wǎng)卡、藍(lán)牙和接口。網(wǎng)絡(luò)非法外聯(lián)控制支持多種方式對非法外聯(lián)行為進(jìn)行審計(jì)和告警，告警方式包括：手機(jī)短信、電子郵件和聲音告警?！軌?qū)K端網(wǎng)絡(luò)流量進(jìn)行監(jiān)控和管理，可以根據(jù)終端應(yīng)用系統(tǒng)終端帶寬閥值，保證關(guān)鍵應(yīng)用系統(tǒng)帶寬資源，阻斷終端異常流量對內(nèi)網(wǎng)的阻塞。將蠕蟲病毒或非業(yè)務(wù)流量對網(wǎng)絡(luò)的影響減到最小。終端流量管理支持針對不同的進(jìn)程自定義設(shè)置不同的流量使用策略，并能夠并實(shí)時(shí)監(jiān)控終端每個(gè)進(jìn)程的流量，實(shí)時(shí)自動抑制異常流量，自動限制超過閾值的流量。非法外聯(lián)控制異常網(wǎng)絡(luò)行為控制能夠?qū)K端網(wǎng)絡(luò)行為異常進(jìn)行監(jiān)測和控制，網(wǎng)絡(luò)行為異常包括但不限于異常的網(wǎng)絡(luò)連接、異常發(fā)包行為、異常的終端流量等，避免因?yàn)榻K端的網(wǎng)絡(luò)異常導(dǎo)致整個(gè)企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)阻塞18 / 83或者癱瘓?！С謱K端接入的移動存儲設(shè)備提供認(rèn)證、授權(quán)和審計(jì)，確保終端使用認(rèn)證通過的移動儲存設(shè)備，對數(shù)據(jù)進(jìn)行授權(quán)共享，徹底杜絕通過移動存儲設(shè)備的數(shù)據(jù)非法外泄。要求提供界面截圖移動存儲設(shè)備認(rèn)證和授權(quán) 對移動存儲認(rèn)證模式至少要支持專用目錄加密、全盤加密和分區(qū)表加擾三種認(rèn)證模式，以適應(yīng)不同使用需求的用戶和部門。移動存儲管理移動存儲認(rèn)證例外能夠?qū)χ付ńK端進(jìn)行移動存儲設(shè)備管理例外排除。打印審計(jì)能夠?qū)K端的打印行為進(jìn)行審計(jì)和控制，禁止指定終端的打印行為。終端審計(jì)光盤刻錄行為審計(jì)支持對終端光盤刻錄行為進(jìn)行審計(jì)，生成的刻錄行為審計(jì)信息上報(bào)服務(wù)器?？啼泴徲?jì)的內(nèi)容包括：刻錄時(shí)間、刻錄的文件名、刻錄軟件進(jìn)程名和發(fā)生刻錄行為的終端相關(guān)信息。終端授權(quán) ▲個(gè)終端授權(quán)安全管理 ▲為實(shí)現(xiàn)統(tǒng)一安全管理和安全聯(lián)動，要求與防火墻同一品牌（）應(yīng)用防護(hù)系統(tǒng)指標(biāo)項(xiàng) 指標(biāo)要求硬件規(guī)格標(biāo)準(zhǔn)機(jī)架式硬件設(shè)備，產(chǎn)品必須為專業(yè)性應(yīng)用防火墻設(shè)備，而非、設(shè)備性能要求 網(wǎng)絡(luò)層吞吐率，吞吐量，并發(fā)連接數(shù)萬，每秒新建連接萬。硬件接口標(biāo)準(zhǔn)獨(dú)立式硬件架構(gòu)平臺，冗余電源，配置個(gè) 接口，個(gè)插槽，個(gè)網(wǎng)絡(luò)接口板擴(kuò)展槽位（支持萬兆接口擴(kuò)展）。支持應(yīng)用協(xié)議解密及針對應(yīng)用的攻擊防護(hù)支持算法的注入攻擊防御支持算法的攻擊防御攻擊防御▲具備協(xié)議詳細(xì)字段分析能力同時(shí)支持自學(xué)習(xí)功能(要求提供界19 / 83面截圖)內(nèi)置主流庫，針對惡意上傳進(jìn)行攔截▲具備檢測與防御能力(要求提供界面截圖)攻擊防護(hù)▲具備攻擊檢測與防御能力，支持自學(xué)習(xí)功能(要求提供界面截圖)▲具備 檢測與防御能力(要求提供界面截圖) 防護(hù) 能夠針對請求中的數(shù)據(jù)流進(jìn)行合規(guī)檢查，防止非法用戶通過構(gòu)造異常的文檔對服務(wù)器進(jìn)行攻擊網(wǎng)頁防篡改產(chǎn)品針對重點(diǎn)，可定時(shí)備份正常頁面，一旦檢測出被保護(hù)頁面有被篡改，會將事先備份的正常頁面返回給訪問用戶。服務(wù)器無安裝要求?！捎孟冗M(jìn)的協(xié)議分析技術(shù)對入侵特征進(jìn)行分析，要求提供技術(shù)專利證明材料▲可有效防范請求報(bào)文洪泛濫攻擊，要求提供技術(shù)專利證明材料識別與分析能力▲可有效對系統(tǒng)進(jìn)行安全性識別，要求提供技術(shù)專利證明材料支持獲取安全事件的原始攻擊信息實(shí)時(shí)監(jiān)控支持針對應(yīng)用連接狀況和流量信息的實(shí)時(shí)監(jiān)控支持銀行卡信息返回保護(hù)(要求提供界面截圖)支持身份證信息返回保護(hù)(要求提供界面截圖)支持基于的流量控制功能應(yīng)用合規(guī)支持表單關(guān)鍵字過濾功能品牌要求 ▲實(shí)現(xiàn)統(tǒng)一安全管理，基于兼容考慮本項(xiàng)目中的防火墻要求使用同一品牌（）攻擊檢測系統(tǒng)指標(biāo)項(xiàng) 指標(biāo)要求硬件引擎為標(biāo)準(zhǔn)機(jī)架式硬件設(shè)備，冗余電源配置個(gè) 口，個(gè) 網(wǎng)絡(luò)接口，容量硬盤，個(gè)接口擴(kuò)展槽位（支持萬兆接口擴(kuò)展）硬件指標(biāo)設(shè)備最大數(shù)據(jù)處理能力≥ 20 / 83分析樣本數(shù)不低于個(gè)天為驗(yàn)證檢測效率，需要提供惡意樣本數(shù)不少于個(gè)攻擊檢測基礎(chǔ)能力，系統(tǒng)應(yīng)支持碎片重組、流重組、流狀態(tài)跟蹤、至層的協(xié)議分析、超層應(yīng)用協(xié)議（如： ）識別與分析，系統(tǒng)應(yīng)支持工作在非默認(rèn)端口下的周知服務(wù)（如運(yùn)行在端口下的 ）的協(xié)議識別與協(xié)議分析能力系統(tǒng)需要支持如下常見協(xié)議的解析：、、 、、、、、、、、、等▲可對、（）、（）、（）、（）、自定義等常見的格式進(jìn)行動態(tài)沙箱分析，并提供詳細(xì)的漏洞攻擊分析報(bào)告或行為分析報(bào)告，需提供產(chǎn)品界面截圖，報(bào)告證明截圖▲能對、（）、（）、（）、（）做內(nèi)嵌檢測，并且能指出文件偏移，提供報(bào)告證明截圖漏洞攻擊分析報(bào)告應(yīng)能展示攻擊過程中的利用代碼或其他崩潰信息事件分析功能要求采用自適應(yīng)模式匹配及先進(jìn)的協(xié)議分析技術(shù)對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析，并能提供網(wǎng)絡(luò)入侵監(jiān)測的方法和系統(tǒng)和自適應(yīng)多模式匹配方法及系統(tǒng)的證明文件攻擊檢測機(jī)制，基于閾值的檢測、會話內(nèi)事件關(guān)聯(lián)分析設(shè)備具有抗逃避檢測機(jī)制，至少支持中以上逃逸行為的檢測，可以針對分片逃逸攻擊、重疊逃逸攻擊、加入多余或者無用字節(jié)逃逸攻擊進(jìn)行有效防范，并且能具體說明逃逸類型▲設(shè)備具有漏洞攻擊的行為進(jìn)行檢測并生成詳盡的報(bào)告，能提供有效的證明▲設(shè)備具有對文件威脅的行為進(jìn)行檢測并生成詳盡的報(bào)告，能提供有效的證明設(shè)備具有對為入侵檢測設(shè)備的聯(lián)動，并且能提供有效的界面截圖設(shè)備能夠?qū)σ呀?jīng)存在網(wǎng)絡(luò)中的隱秘通道，如已知后門等外聯(lián)行為進(jìn)行檢測攻擊檢測能力▲設(shè)備能夠?qū)ι形垂舫晒Φ碾[秘通道進(jìn)行檢測，包括未知木馬后21 / 83門對外聯(lián)接和控制的通道發(fā)現(xiàn)，僵尸網(wǎng)絡(luò)的回聯(lián)通道發(fā)現(xiàn)，并且能以包方式抓取外聯(lián)特征，同時(shí)能提供專門的隱秘通道的獨(dú)立分析報(bào)告，能提供攻擊防御的包分析報(bào)告（包含各種協(xié)議的可疑的聯(lián)接數(shù)據(jù)）系統(tǒng)需具備獨(dú)立的病毒報(bào)警、統(tǒng)計(jì)界面支持不少于種文件類型的病毒檢測系統(tǒng)具備針對環(huán)境下網(wǎng)絡(luò)數(shù)據(jù)包捕獲、協(xié)議分析、協(xié)議異常狀態(tài)檢測、協(xié)議規(guī)則匹配和響應(yīng)處理能力，需提供界面截圖系統(tǒng)提供威脅的實(shí)時(shí)展示能力，可以將引擎檢測到的威脅在威脅展示界面進(jìn)行實(shí)時(shí)顯示，現(xiàn)實(shí)內(nèi)容需全面豐富，包括：威脅的中文名稱、威脅的處理狀態(tài)、威脅的等級、威脅流行程度、威脅的源、威脅的目標(biāo)、威脅發(fā)生的時(shí)間段（今日該威脅第一條的發(fā)生時(shí)間、今日該威協(xié)最后一條發(fā)生時(shí)間）、該威脅今日發(fā)生次數(shù)、該威協(xié)最近十分鐘的發(fā)生次數(shù)▲系統(tǒng)需提供威在檢測到攻擊的同時(shí)，可以提取出完整的惡意代碼樣本文件，需提供界面截圖系統(tǒng)需具備入侵定位能力系統(tǒng)首頁需提供如下關(guān)鍵報(bào)警及匯總數(shù)據(jù)：重點(diǎn)威脅的今日發(fā)生情況、歷史日均發(fā)生情況、今日發(fā)生事件的事件、今日流量曲線、流行情況發(fā)生情況、流行次數(shù)威脅展示能力全局預(yù)警需提供手工編輯預(yù)警內(nèi)容的能力系統(tǒng)需提供完善的報(bào)表系統(tǒng)所提供的報(bào)表模板不應(yīng)少于個(gè)，能輔助用戶分析一段時(shí)間內(nèi)的威脅系統(tǒng)需提供事件名稱目的地址源地址；事件名稱源地址目的地址的三維交叉報(bào)表，能輔助用戶快速定位問題報(bào)表功能系統(tǒng)需提供完善的報(bào)表系統(tǒng)，支持面向安全結(jié)論的分析報(bào)表；報(bào)表需支持如下格式：、所生成的報(bào)表可以自動發(fā)送到多個(gè)郵箱，能輔助用戶查閱安全聯(lián)動 ▲支持與國內(nèi)主流品牌防火墻系統(tǒng)的安全聯(lián)動，要求提供入侵檢測系統(tǒng)與防火墻系統(tǒng)聯(lián)動的技術(shù)專利證明材料22 / 83品牌要求 ▲為實(shí)現(xiàn)統(tǒng)一安全管理和安全聯(lián)動、兼容性，要求與防火墻使用同一品牌（）跨網(wǎng)數(shù)據(jù)交換與應(yīng)用訪問集控系統(tǒng)指標(biāo)項(xiàng) 指標(biāo)要求網(wǎng)絡(luò)接口：千兆電口數(shù)據(jù)庫容量：硬件要求支持云端部署、冗余電源、冗余存儲性能要求支持管理設(shè)備數(shù)：日志采集能力≥條日志秒支持對多個(gè)前置系統(tǒng)和安全交換系統(tǒng)的集中管理（需產(chǎn)品界面截圖）支持集中配置數(shù)據(jù)交換和信息共享策略支持集中配置數(shù)據(jù)交換和信息共享安全策略支持配置交換的請求報(bào)文和響應(yīng)報(bào)文格式及響應(yīng)碼，以實(shí)現(xiàn)通過配置即可實(shí)現(xiàn)新格式的報(bào)文交換（需產(chǎn)品界面截圖）支持?jǐn)?shù)據(jù)交換和信息共享應(yīng)用通道配置的導(dǎo)入導(dǎo)出（需產(chǎn)品界面截圖）支持?jǐn)?shù)據(jù)交換和信息共享應(yīng)用通道模板的導(dǎo)入導(dǎo)出（需產(chǎn)品界面截圖）支持應(yīng)用監(jiān)控功能，可以統(tǒng)計(jì)圖表方式監(jiān)控文件交換、服務(wù)文件交換、服務(wù)調(diào)數(shù)據(jù)庫等應(yīng)用情況，當(dāng)啟動文件監(jiān)控功能后可在監(jiān)控頁面實(shí)時(shí)查看到文件交換、服務(wù)文件交換、服務(wù)調(diào)數(shù)據(jù)庫等應(yīng)用的情況（需提供公安部相關(guān)檢測機(jī)構(gòu)檢測證明文件）支持系統(tǒng)監(jiān)控功能，支持對平臺設(shè)備及主機(jī)設(shè)備等設(shè)備的運(yùn)行監(jiān)控（需提供公安部相關(guān)檢測機(jī)構(gòu)檢測證明文件）支持安全告警功能，可根據(jù)安全過濾規(guī)則生成安全告警日志，支持告警查詢。根據(jù)安全警告信息生成告警統(tǒng)計(jì)圖表。支持第三方的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)設(shè)備等設(shè)備的告警記錄查詢（需提供公安部相關(guān)檢測機(jī)構(gòu)檢測證明文件）功能要求支持根據(jù)監(jiān)控信息生成多維度的統(tǒng)計(jì)報(bào)表（需產(chǎn)品界面截圖）23 / 83支持級聯(lián)管理，層級部署，上級集控可收集下級應(yīng)用策略、安全策略進(jìn)行查