【文章內(nèi)容簡介】 力，以便進一步精簡報警，系統(tǒng)需要提供不少于5種在顯示端進行事件二次合并的模板，并且支持在實時事件顯示界面中對每條上報事件選擇各自的二次合并方式，需提供界面截圖；系統(tǒng)需具備入侵定位能力，需提供界面截圖；系統(tǒng)首頁需提供如下關(guān)鍵報警及匯總數(shù)據(jù)：重點威脅的今日發(fā)生情況、歷史日均發(fā)生情況、今日發(fā)生事件的Top5事件、今日流量曲線、流行情況發(fā)生情況、流行次數(shù)；系統(tǒng)需提供設(shè)置用戶關(guān)注事件的能力，通過設(shè)置，可以明確地將事件設(shè)置為需要關(guān)注或不需要關(guān)注，用戶的設(shè)置結(jié)果將取代用戶自動分析的結(jié)果，即：用戶設(shè)置為需要關(guān)注的報警事件，直接在告警界面進行顯示，用戶設(shè)置為不需要關(guān)注的報警事件，不再在用戶的事件報警展示界面進行展示；系統(tǒng)需提供對歷史事件進行查詢的能力，通過歷史事件查詢功能，用戶可以通過制定查詢條件對歷史告警事件進行查詢，同時需提供至少3種默認的查詢條件模板；定制事件顯示條件模板，通過事件所屬的協(xié)議類型、事件所屬的安全類型、事件的流行程度、事件的嚴重級別、事件的影響設(shè)備、事件影響的系統(tǒng)等條件定義事件過濾模板；操作系統(tǒng)資產(chǎn)配置與報警自動關(guān)聯(lián)，根據(jù)配置的目的地址、影響系統(tǒng)與影響設(shè)備進行上報事件的過濾；針對達到識別策略的事件進行優(yōu)化處理，包括對日志的處理和策略的處理；針對閾值的設(shè)定，判定是否是新增事件；多級分布和全局預(yù)警系統(tǒng)支持多級部署，集中管理能力，可以添加組件（包括子控、引擎）提供各個組件（子控、引擎）的拓撲圖，并在圖中動態(tài)顯示組件之間的實時連接狀態(tài)；至少支持五級以上部署環(huán)境，每單級節(jié)點至少支持五十臺以上設(shè)備的同時管理；系統(tǒng)首頁呈現(xiàn)本級控制中心與各引擎的拓撲圖，并且可設(shè)定顯示或隱藏，需提供界面截圖；系統(tǒng)需支持采用可拖拽的拓撲圖展示全網(wǎng)的設(shè)備及管理節(jié)點，同時該圖還應(yīng)該對設(shè)備與管理節(jié)點、管理節(jié)點與管理節(jié)點之間的連接狀態(tài)進行實時顯示；系統(tǒng)多級分布的流量統(tǒng)計，控制中心下直接管理的所有引擎的總流量速率與分類流量速率，需提供界面截圖；上級節(jié)點可以跨級為下級節(jié)點發(fā)送策略、支持對引擎批量下發(fā)策略；下級節(jié)點可以將報警日志逐級上報，同時，下級節(jié)點也可以設(shè)置向上級管理節(jié)點上報事件所必須滿足的條件；級聯(lián)環(huán)境中，上級針對下發(fā)策略的鎖定，鎖定子控的一些策略，鎖定的事件是不允許進行配置、編輯、刪除等操作的；上級管理節(jié)點可以向下級管理節(jié)點自動下發(fā)升級包，包括引擎升級包、控制臺升級包、事件庫升級包，需提供界面截圖；系統(tǒng)需提供全局預(yù)警的能力，即：在多級部署環(huán)境中，其中一個控制中心監(jiān)測到某一個攻擊之后，可以通過全局預(yù)警功能將此攻擊事件通告給其它的控制中心；為了提高全局預(yù)警的預(yù)警級別，提高用戶對全局預(yù)警事件的關(guān)注度，并能用高亮或報警燈等方式進行提醒；全局預(yù)警需提供手工編輯預(yù)警內(nèi)容的能力；報警事件在顯示時將標注源ip地址、目的ip地址是屬于內(nèi)網(wǎng)地址或外網(wǎng)地址；系統(tǒng)需提供常用的內(nèi)置策略模板，并可以將策略導入、導出、合并，同時支持用戶自定義策略，自定義策略的時候，可以根據(jù)事件名稱、協(xié)議類型、安全類型等維度進行事件的快速查詢；系統(tǒng)支持從威脅發(fā)現(xiàn)到威脅展示、威脅說明、分析幫助、處理過程幫助、處理過程記錄、后繼續(xù)自動處理的威脅全過程處理流程，幫助用戶發(fā)現(xiàn)威脅、分析威脅、處理威脅，完成威脅管理工作的全流程閉環(huán)，需提供step by step界面截圖；威脅響應(yīng)能力支持如下報警響應(yīng)方式：計入日志、頁面報警、發(fā)送郵件、發(fā)送SNMP Trap信息、發(fā)送SYSLOG信息、發(fā)送RST阻斷報文、防火墻聯(lián)動、全局預(yù)警、提取原始報文；在檢測到攻擊事件之后，系統(tǒng)需提供向多個不同SYSLOG服務(wù)器發(fā)送報警信息的能力；系統(tǒng)需提供防火墻聯(lián)動的能力，支持的防火墻至少需要包括：天清FW系統(tǒng)需支持在檢測到攻擊事件之后捕獲攻擊原始報文的能力，所捕獲的攻擊原始報文需保存成標準的cap格式，可以通過sniffer pro、whirshark、ethereal打開。報表功能系統(tǒng)需提供完善的報表系統(tǒng)所提供的報表模板不應(yīng)少于50個，能輔助用戶分析一段時間內(nèi)的威脅；系統(tǒng)需提供事件名稱+目的地址+源地址；事件名稱+源地址+目的地址的三維交叉報表，能輔助用戶快速定位問題；系統(tǒng)需提供完善的報表系統(tǒng)，支持面向安全結(jié)論的分析報表；報表需支持如下格式：HTML、PDF、EXCEL、WORD，所生成的報表可以自動發(fā)送到多個郵箱，能輔助用戶查閱；報表需支持手動立即執(zhí)行、周期性自動執(zhí)行兩種執(zhí)行方式；配置部署能力系統(tǒng)提供根據(jù)用戶的組織結(jié)構(gòu)定義“組織/部門”的能力，并且“組織/部門”之間可以嵌套，“組織/部門”可以通過：IP、IP段、引擎（加網(wǎng)口）、子控進行定義；可以針對組織來查看歷史事件與生成報表；支持分用戶虛擬管里的能力，系統(tǒng)可以創(chuàng)建多個用戶，每個用戶可以與特定的引擎綁定，當此用戶登錄到系統(tǒng)之后，只能看到該引擎上報的事件，并僅能對該引擎進行配置；系統(tǒng)需支持虛擬引擎的功能，支持按照抓包口、IP地址、IP地址范圍、VLAN、MAC地址配置虛擬引擎，不同的虛擬引擎可以采用不同的事件集，需提供界面截圖；提供系統(tǒng)升級、特征庫升級的能力，支持在線和離線升級功能；支持通過HTTP代理服務(wù)器進行在線升級；. 網(wǎng)絡(luò)審計數(shù)據(jù)庫審計支持Oracle、SQLServer、DBInformix、Sybase、MySQL、PostgreSQL、Teradata、Cache數(shù)據(jù)庫審計支持對Oracle數(shù)據(jù)庫狀態(tài)的自動監(jiān)控，可監(jiān)控會話數(shù)、連接進程、CPU和內(nèi)存占用率等信息。支持國產(chǎn)數(shù)據(jù)庫人大金倉、達夢、南大通用、神通數(shù)據(jù)庫的審計。需提供截圖證明。支持對針對數(shù)據(jù)庫的XSS攻擊、SQL注入攻擊行為進行審計。需提供截圖證明。提供對數(shù)據(jù)庫返回碼的知識庫和實時說明，幫助管理員快速對返回碼進行識別。需提供截圖證明。支持數(shù)據(jù)庫賬號登陸成功、失敗的審計。支持對數(shù)據(jù)庫綁定變量方式訪問的審計支持對超長SQL語句的審計支持Select操作返回行數(shù)和返回內(nèi)容的審計支持訪問數(shù)據(jù)庫的源主機名、源主機用戶、SQL操作響應(yīng)時間、數(shù)據(jù)庫操作成功、失敗的審計；支持數(shù)據(jù)庫操作類、表、視圖、索引、觸發(fā)器、存儲過程、游標、事物等各種對象的SQL操作審計。支持數(shù)據(jù)庫存儲過程自動獲取及內(nèi)容審計。網(wǎng)絡(luò)協(xié)議審計支持Telnet協(xié)議的審計，能夠?qū)徲嬘脩裘?、操作命令、命令響?yīng)時間、返回碼