【文章內(nèi)容簡(jiǎn)介】 攻擊時(shí)支持JS Cookie、重定向、訪問確認(rèn)、驗(yàn)證碼四種認(rèn)證方法。支持外鏈檢查防護(hù)，支持自定義外鏈特性，類型支持HTTP、HTTPS、FTP。能夠?qū)彌_區(qū)溢出、網(wǎng)絡(luò)蠕蟲、網(wǎng)絡(luò)數(shù)據(jù)庫攻擊、木馬軟件、間諜軟件等各種攻擊行為進(jìn)行檢測(cè)/防御。支持屏蔽攻擊者，至少支持阻斷攻擊者IP或服務(wù)兩種模式。系統(tǒng)支持從威脅發(fā)現(xiàn)到威脅展示、威脅說明、分析幫助、處理過程幫助、處理過程記錄、后繼續(xù)自動(dòng)處理的威脅全過程處理流程，幫助用戶發(fā)現(xiàn)威脅、分析威脅、處理威脅，完成威脅管理工作的全流程閉環(huán)。系統(tǒng)提供自定義弱口令規(guī)則的能力，使用戶可以靈活定義網(wǎng)絡(luò)內(nèi)的弱口令條件，支持防火墻聯(lián)動(dòng)，檢測(cè)到的威脅通過防火墻攔截。攻擊檢測(cè)基礎(chǔ)能力，系統(tǒng)應(yīng)支持IP碎片重組、TCP流重組、TCP流狀態(tài)跟蹤、2至7層的協(xié)議分析、超7層應(yīng)用協(xié)議（如：HTTP Tunnel）識(shí)別與分析，系統(tǒng)應(yīng)支持工作在非默認(rèn)端口下的周知服務(wù)（如運(yùn)行在8000端口下的Web Server）的協(xié)議識(shí)別與協(xié)議分析能力；內(nèi)置知識(shí)庫，詳細(xì)描述攻擊特征及解決方案。實(shí)現(xiàn)IPv6網(wǎng)絡(luò)環(huán)境下使用。數(shù)據(jù)庫審計(jì)系統(tǒng)：審計(jì)產(chǎn)品采用專用工控機(jī)硬件架構(gòu)，非普通PC服務(wù)器，MTBF(平均故障間隔時(shí)間)≥65000小時(shí)；系統(tǒng)啟動(dòng)采用CF卡加硬盤方式，保證穩(wěn)定可靠不可篡改?！锾幚砥鳎篒ntel E3或E3以上CPU，至少4核4線程，內(nèi)存：≥8GB塊；具備冗余雙電源；硬盤容量：≥2TB，支持RAID0、RAID1,支持最大擴(kuò)展到4T*2硬盤。實(shí)配≥6個(gè)千兆電口，≥4個(gè)千兆光口（含原廠光模塊可接尾纖用）?！鴮徲?jì)性能：能夠穩(wěn)定、流暢地同時(shí)支持≥8個(gè)數(shù)據(jù)庫數(shù)審計(jì)能力，不會(huì)產(chǎn)生漏審；旁路部署模式下無須在被審計(jì)數(shù)據(jù)庫系統(tǒng)上安裝任何代理即可實(shí)現(xiàn)審計(jì)，支持在目標(biāo)數(shù)據(jù)庫安裝agent解決云環(huán)境、虛擬化環(huán)境內(nèi)部流量無法鏡像場(chǎng)景下數(shù)據(jù)庫的審計(jì)，支持分布式部署，管理中心可實(shí)現(xiàn)統(tǒng)一配置、統(tǒng)一報(bào)表生成、統(tǒng)一查詢；管理中心和探測(cè)器直接的數(shù)據(jù)傳輸速率、時(shí)間、端口都可自定義?！幚砟芰Γ和掏履芰Α?000M，日處理業(yè)務(wù)操作數(shù)≥2億條。峰值處理能力≥2萬條/秒，審計(jì)日志檢索能力≥1500萬條/秒；支持Oracle、SQLServer、DBInformix、Sybase、MySQL等六種主流數(shù)據(jù)庫審計(jì)；支持對(duì)SQLserver 2005以上版本加密用戶名的審計(jì)。支持PostgreSQL、Teradata、Cache、人大金倉、達(dá)夢(mèng)、南大通用等數(shù)據(jù)庫審計(jì)；支持MongoDB數(shù)據(jù)庫的審計(jì)。支持主流業(yè)務(wù)協(xié)議 HTTP、Telnet、FTP、SMTP、POPDCOM；支持對(duì)各種協(xié)議自動(dòng)識(shí)別編碼及在web界面手工配置特定編碼。支持?jǐn)?shù)據(jù)庫操作類、表、視圖、索引、存儲(chǔ)過程等各種對(duì)象的所有SQL操作審計(jì)；支持對(duì)操作時(shí)間、SQL語句、執(zhí)行結(jié)果、返回結(jié)果集、影響行數(shù)、執(zhí)行時(shí)長(zhǎng)、數(shù)據(jù)庫用戶名、實(shí)例名、源/目的IP、源/目的端口、源/目的MAC、客戶端主機(jī)名、客戶端程序名稱、客戶端操作系統(tǒng)用戶名、業(yè)務(wù)主機(jī)群、SQL模板、會(huì)話ID、事件唯一ID等條件進(jìn)行審計(jì)。支持?jǐn)?shù)據(jù)庫請(qǐng)求和返回的雙向?qū)徲?jì)，特別是返回字段和結(jié)果集、執(zhí)行狀態(tài)、返回行數(shù)、執(zhí)行時(shí)長(zhǎng)等內(nèi)容，支持通過返回行數(shù)和內(nèi)容大小控制返回結(jié)果集大小。支持跨語句、跨多包的綁定變量名及綁定變量值的審計(jì)。支持對(duì)超長(zhǎng)SQL操作語句審計(jì)，可以正常記錄單條長(zhǎng)度≤64K個(gè)字節(jié)的SQL語句內(nèi)容；支持在IPV6環(huán)境中部署，且支持所有數(shù)據(jù)庫IPV6協(xié)議的審計(jì)。自動(dòng)識(shí)別流量中存在的數(shù)據(jù)庫，也可通過掃描發(fā)現(xiàn)網(wǎng)絡(luò)中的數(shù)據(jù)庫。支持B/S業(yè)務(wù)系統(tǒng)三層關(guān)聯(lián)審計(jì)；支持C/S、B/S三層架構(gòu)下的真實(shí)用戶名關(guān)聯(lián)配置。支持通過部署agent實(shí)現(xiàn)java web環(huán)境100%準(zhǔn)確關(guān)聯(lián)。支持旁路自動(dòng)學(xué)習(xí)三層審計(jì)關(guān)聯(lián)功能。支持網(wǎng)絡(luò)TCP會(huì)話審計(jì)；支持?jǐn)?shù)據(jù)庫協(xié)議解析成會(huì)話形式，并支持一鍵關(guān)聯(lián)到具體的SQL操作會(huì)話。支持IPMAC綁定變化情況的審計(jì)；支持?jǐn)?shù)據(jù)庫存儲(chǔ)過程自動(dòng)獲取及內(nèi)容審計(jì)?？勺远x審計(jì)策略。審計(jì)策略至少支持18個(gè)條件； 規(guī)則各條件之間支持與或非邏輯關(guān)系。告警數(shù)量需支持最大告警數(shù)量限制，超過告警閾值之后便不告警，告警分析應(yīng)支持根據(jù)SQL模板排行分析，便于告警處理。告警查詢應(yīng)支持根據(jù)登陸用戶、客戶端工具名、客戶端IP、規(guī)則進(jìn)行歸并分析，能詳細(xì)展示每類告警占總告警數(shù)量百分比，便于告警分析處理持按照風(fēng)險(xiǎn)級(jí)別進(jìn)行告警，告警方式支持界面告警、Syslog告警、SNMP trap告警、短信告警、郵件告警?？苫谫~號(hào)、IP地址、訪問權(quán)限、客戶端工具等維度對(duì)行為模型做鉆取分析、變更分析，對(duì)學(xué)習(xí)的安全基線以外的行為自動(dòng)智能的進(jìn)行告警?？梢宰詣?dòng)對(duì)比不同時(shí)期的行為模型，以區(qū)分其審計(jì)日志數(shù)趨勢(shì)、用戶、IP地址、工具、訪問權(quán)限的差異情況； 支持對(duì)數(shù)據(jù)庫的流量監(jiān)控和訪問量監(jiān)控；可提供被審計(jì)數(shù)據(jù)庫操作的變化趨勢(shì)圖，同一數(shù)據(jù)庫的不同周期事件量和流量縱向?qū)Ρ葓D等。實(shí)現(xiàn)IPv6網(wǎng)絡(luò)環(huán)境下使用。全網(wǎng)態(tài)勢(shì)感知★分析中心服務(wù)器，內(nèi)存：≥256G；電源：≥550W(AC 220V)，冗余電源；存儲(chǔ)：≥124TB；接口：1GE電口≥4個(gè)、1GE光口≥2個(gè)（含原廠光模塊可接尾纖用）、10GE光口≥2個(gè)（含原廠光模塊可接尾纖用）；事件入庫性能：≥2萬條/秒；事件查詢性能：≥90萬條/分鐘?！锪髁總鞲衅鳎ㄌ结樂?wù)器），至少雙冗余電源，內(nèi)存≥32G；電源：≥550W；存儲(chǔ)≥1TB；接口：≥21GE管理電口，≥21GE監(jiān)聽電口，≥21GE監(jiān)聽光口（含原廠光模塊可接尾纖用）；并發(fā)會(huì)話≥300W 會(huì)話；新建會(huì)話≥2W connections/s；流采集引擎實(shí)際性能≥2Gbps。支持常見協(xié)議識(shí)別并還原網(wǎng)絡(luò)流量，用于取證分析、威脅發(fā)現(xiàn)，例如：、dns、smtp、popimap、webmail、DBOracle、MySQL、sql server、Sybase、SMB、FTP、SNMP等?？芍С諭Pv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)兩種部署場(chǎng)景，可對(duì)兩種網(wǎng)絡(luò)流量均進(jìn)行分析還原。支持自定義協(xié)議，可自定義私有協(xié)議。支持流量過濾即流量黑、白名單，過濾掉不關(guān)注流量或僅接收關(guān)注流量。支持常見數(shù)據(jù)庫協(xié)議的識(shí)別或還原：DBOracle、SQL Server、Sybase、MySQL、MongoDB、PostgreSQL、SIP等協(xié)議。支持文件傳輸協(xié)議進(jìn)行還原和分析，可分析的協(xié)議至少包含如下：郵件（SMTP、POPIMAP、webmail）、Web（HTTP）、FTP、SMB、。支持對(duì)常見可執(zhí)行文件的還原：EXE、DLL、OCX、SYS、COM、apk等。支持對(duì)常見壓縮格式的還原：RAR、ZIP、GZ、7Z等。支持常見的文檔類型的還原：word、excel、pdf、rtf、ppt等?！K端采集的數(shù)據(jù)至少要包括進(jìn)程socket事件、進(jìn)程DNS事件、帶附件郵件發(fā)送接收事件。支持重大安全事件應(yīng)急響應(yīng)，提供規(guī)則庫下發(fā)，更新級(jí)別為小時(shí)級(jí)。支持語義分析檢測(cè)，提升未知威脅檢測(cè)能力。采用自主研發(fā)的機(jī)器學(xué)習(xí)引擎，智能發(fā)現(xiàn)常見web漏洞。能夠存儲(chǔ)所有采集還原后的關(guān)鍵流量數(shù)據(jù)，最高可擴(kuò)展至PB級(jí)別。能結(jié)合威脅情報(bào)和本地大量數(shù)據(jù)發(fā)現(xiàn)APT并產(chǎn)生告警，告警包含具體的發(fā)生時(shí)間和受害主機(jī)IP地址、主機(jī)名等信息?！軌蚪Y(jié)合威脅情報(bào)和本地?cái)?shù)據(jù)發(fā)現(xiàn)竊密木馬、遠(yuǎn)控木馬、僵尸網(wǎng)絡(luò)、勒索軟件、黑市工具和網(wǎng)絡(luò)蠕蟲等高級(jí)威脅并產(chǎn)生告警。告警包含具體的發(fā)生時(shí)間和受害主機(jī)信息。能夠?qū)Ω婢M(jìn)行深層次分析，分析內(nèi)容包含：基本信息、主機(jī)詳情、威脅情報(bào)詳情、投遞的惡意樣本、在主機(jī)上運(yùn)行的惡意樣本、外聯(lián)Camp。C服務(wù)器域名、Camp。C服務(wù)器會(huì)話記錄、Camp。C服務(wù)器傳送文件、受到的攻擊等。能夠?qū)Ω婢M(jìn)行處置，可設(shè)置不同狀態(tài)對(duì)告警進(jìn)行跟蹤。支持從多維度分析和展示告警，維度包含威脅事件、受害主機(jī)、受害服務(wù)器、受害用戶和威脅類型。可對(duì)TB級(jí)日志做到快速搜索，搜索時(shí)間小于30s?？蓪⑷罩緟^(qū)分為普通流量日志、告警日志、終端日志，并可按照不同的日志類型就行日志篩選。流量日志記錄至少包含以下字段：時(shí)間、IP、IP地理位置、端口、域名、HTTP頭信息、SQL語句、郵件收件人和發(fā)件人、文件名、文件MD應(yīng)用層payload前100字節(jié)。可對(duì)日志的關(guān)鍵字段進(jìn)行追加搜索，從上一次的搜索結(jié)果中重新按照新的規(guī)則搜索日志。可以搜索文件訪問行為，并展示還原流量中文件的MD5和文件名?？梢院徒K端安全管理系統(tǒng)聯(lián)動(dòng)，實(shí)現(xiàn)惡意文件的查殺、被感染主機(jī)的網(wǎng)絡(luò)隔離（如可以對(duì)單個(gè)告警記錄中的源IP進(jìn)行網(wǎng)絡(luò)隔離操作，對(duì)被告警的郵件附件進(jìn)行查殺）。流量日志、告警日志支持傳送設(shè)置，支持自定義日志發(fā)送。數(shù)據(jù)存儲(chǔ)平臺(tái)可支持集群部署，可水平擴(kuò)展至多臺(tái)設(shè)備集群，以應(yīng)對(duì)大量數(shù)據(jù)情況，可支持PB級(jí)數(shù)據(jù)檢索?？芍С址植际讲渴穑梢远嗯_(tái)采集設(shè)備同時(shí)部署于客戶網(wǎng)絡(luò)不同位置并將數(shù)據(jù)傳輸?shù)酵惶追治鲱愒O(shè)備。實(shí)現(xiàn)IPv6網(wǎng)絡(luò)環(huán)境下使用。網(wǎng)頁防篡改IOS類型、版本：支持Windows Server2000/2003/2008/Unix/Linux/Solaris等。WEB發(fā)布類型：IIS、Apache、Weblogic、Tomcat、WebSphere等所有主流的Web服務(wù)器?！锸跈?quán)網(wǎng)站防護(hù)數(shù)：30個(gè)網(wǎng)站域名。管理模式：C/S架構(gòu)，可以支持多個(gè)客戶端管理。核心技術(shù)：采用基于文件過濾驅(qū)動(dòng)保護(hù)技術(shù)、事件觸發(fā)機(jī)制相結(jié)合方式。對(duì)文件的保護(hù)能力:支持各類網(wǎng)頁文件的保護(hù)，包括靜態(tài)和動(dòng)態(tài)網(wǎng)頁以及各類文件信息。支持對(duì)指定文件夾以及子文件夾的保護(hù)，避免上傳非法文件及木馬等惡意文件或插入惡意代碼。篡改恢復(fù)功能:支持篡改后的自動(dòng)恢復(fù)功能，恢復(fù)不依賴訪問事件，直接由篡改動(dòng)作觸發(fā)恢復(fù)機(jī)制進(jìn)行恢復(fù)。第三方支持:系統(tǒng)能夠與所有第三方發(fā)布系統(tǒng)無縫結(jié)合，做到全自動(dòng)發(fā)布。支持?jǐn)嗑€檢測(cè):系統(tǒng)配置完成后，系統(tǒng)后臺(tái)運(yùn)行，支持?jǐn)嗑€檢測(cè)。支持?jǐn)嗑€監(jiān)控保護(hù):系統(tǒng)支持在斷線情況下對(duì)網(wǎng)頁文件目錄的防護(hù)功能。支持進(jìn)程管理:系統(tǒng)支持黑白名單設(shè)置功能，提供進(jìn)程黑白名單設(shè)置。支持服務(wù)監(jiān)控:系統(tǒng)支持對(duì)服務(wù)進(jìn)行監(jiān)控功能。支持對(duì)網(wǎng)站服務(wù)器的CPU、內(nèi)存、收包量、發(fā)包量等信息進(jìn)行實(shí)施監(jiān)控。網(wǎng)頁文件自動(dòng)同步功能:支持對(duì)網(wǎng)頁防篡改客戶端和的自動(dòng)探測(cè)功能，系統(tǒng)可以從本地或異地備份文件夾自動(dòng)同步到監(jiān)測(cè)目錄內(nèi)。支持文件多線程同步，并可以設(shè)置文件同步時(shí)間周期、發(fā)布時(shí)間周期等時(shí)間設(shè)置；支持對(duì)網(wǎng)頁篡改、添加、刪除進(jìn)行日志記錄，并針對(duì)文件、進(jìn)程、攻擊類型進(jìn)行詳細(xì)記錄。網(wǎng)頁防篡改系統(tǒng)綜合支持Windows、linux、AIX系統(tǒng)網(wǎng)站防篡改。支持手工文件同步:系統(tǒng)支持手工文件同步功能。支持手工文件備份:系統(tǒng)支持手工指定文件或文件夾從監(jiān)測(cè)目錄到指定目錄的備份,支持增量備份:系統(tǒng)支持增量備份功能。支持管理端上傳下載功能:系統(tǒng)支持通過管理端受限用戶進(jìn)行文件上傳下載功能。支持多虛擬主機(jī) /目錄的并發(fā)同步:系統(tǒng)支持多虛擬主機(jī)/目錄的并發(fā)同步功能。支持跨平臺(tái)自動(dòng)同步:系統(tǒng)支持跨操作系統(tǒng)平臺(tái)的同步。支持一對(duì)多的自動(dòng)同步方式:系統(tǒng)支持文件變化自動(dòng)同步到多個(gè)Web服務(wù)器。支持對(duì)各類網(wǎng)頁文件分類。實(shí)時(shí)規(guī)則生效:策略下發(fā)后，無需重啟服務(wù)器，實(shí)時(shí)生效。一對(duì)多管理:系統(tǒng)支持高效的一對(duì)多集中管理模式。通信保護(hù):指系統(tǒng)各個(gè)模塊之間、進(jìn)程之間的通訊、交互和自身配置均采用加密傳輸和保護(hù)。卸載密碼保護(hù):卸載時(shí)需要提供管理員口令才可執(zhí)行。文件保護(hù):支持對(duì)系統(tǒng)關(guān)鍵配置信息進(jìn)行加密保護(hù)。備份目錄保護(hù):支持對(duì)備份目錄文件的保護(hù)。支持對(duì)web服務(wù)器的遠(yuǎn)程維護(hù)管理功能，如遠(yuǎn)程接管、遠(yuǎn)程喚醒、遠(yuǎn)程關(guān)機(jī)、遠(yuǎn)程用戶注銷等。保護(hù)動(dòng)態(tài)頁面模塊:能夠有效防止SQL注入攻擊、跨站攻擊、溢出代碼攻擊、對(duì)危險(xiǎn)文件類型的訪問、對(duì)危險(xiǎn)系統(tǒng)路徑的訪問、特殊字符構(gòu)成的URL利用、防止構(gòu)造危險(xiǎn)的Cookie等。性能指標(biāo)：響應(yīng)時(shí)間要求:當(dāng)網(wǎng)站文件遭到篡改恢復(fù)最短時(shí)間小于2ms。最多可保護(hù)對(duì)象:系統(tǒng)能夠保護(hù)站點(diǎn)的最大文件和目錄的數(shù)量不限。最大保護(hù)目錄深度:系統(tǒng)能夠保護(hù)站點(diǎn)的最長(zhǎng)路徑不得小于10級(jí)。資源占用率:系統(tǒng)運(yùn)行過程中，被保護(hù)主機(jī)的CPU資源占用率和內(nèi)存占用率小于2%。實(shí)現(xiàn)IPv6網(wǎng)絡(luò)環(huán)境下使用。漏洞掃描系統(tǒng)★標(biāo)準(zhǔn)機(jī)架式設(shè)備，標(biāo)配≥6個(gè)千兆電口，≥1個(gè)擴(kuò)展槽，支持?jǐn)U展≥8個(gè)千兆電口/8個(gè)千兆光口/4電4光/2萬兆，總體掃描IP地址范圍不受限制，授權(quán)每個(gè)任務(wù)掃描≥300個(gè)IP，≥五年規(guī)則庫升級(jí)服務(wù)及五年硬件維保服務(wù)。漏洞掃描方法應(yīng)不少于40000種。集成系統(tǒng)漏洞掃描、Web應(yīng)用掃描、系統(tǒng)。支持云平臺(tái)掃描，漏洞覆蓋OpenStack 、KVM、Vmware、Xen等主流的云計(jì)算平臺(tái)。支持對(duì)Apple軟件和應(yīng)用進(jìn)行掃描，包括MAC OS，Safari，itunes；網(wǎng)站開源架構(gòu)類掃描：支持phpmyadmin、WordPress 等的掃描；支持python的多個(gè)模塊的漏洞掃描.支持對(duì)主流數(shù)據(jù)庫的識(shí)別與掃描，包括：Oracle、Sybase、SQL Server、DBMySQL等，能夠掃描的數(shù)據(jù)庫漏洞掃描方法不小于1500種.支持檢測(cè)SQL注入漏洞、命令注入漏洞、CRLF注入漏洞、LDAP注入漏洞、XSS跨站腳本漏洞、路徑遍歷漏洞、信息泄漏漏洞、URL跳轉(zhuǎn)漏洞、文件包含漏洞、應(yīng)用程序漏洞、文件上傳漏洞等。支持對(duì)掃描對(duì)象的掛馬和暗鏈進(jìn)行檢測(cè),支持對(duì)掃描對(duì)象的敏感詞進(jìn)行檢測(cè),支持漏洞驗(yàn)證功能，在掃描結(jié)束后，能夠?qū)Y(jié)果中的重要漏洞進(jìn)行現(xiàn)場(chǎng)驗(yàn)證，展示漏洞利用過程和風(fēng)險(xiǎn).支持靈活的掃描任務(wù)制定功能，可設(shè)定檢測(cè)開始時(shí)間、檢測(cè)入口地址、網(wǎng)站COOKIE、檢測(cè)周期、任務(wù)模式、User_Agent設(shè)置、發(fā)包限速設(shè)置、最大檢測(cè)頁面數(shù)、漏洞類型設(shè)置等。支持TELNET、SSH、SMB、RDP、WinRM協(xié)議的安全基線配置檢查方式。支持對(duì)主流網(wǎng)絡(luò)設(shè)備的安全配置核查，包括：cisco交換機(jī)、華為交換機(jī)、H3C交換機(jī)、力騰交換機(jī) 、銳捷交換機(jī)、cisco路由器、華為路由器、H3C路由器、juniper路由器支持對(duì)主流中間件的安全配置核查，包括：Apache、Bind、Domino、IIS、Jboss、Nginx、Resin、Tomcat、TongWeb、Weblogic、Websphere。在建立核查任務(wù)時(shí)支