XX医院安全集成实施服务采购需求.docx

《XX医院安全集成实施服务采购需求.docx》由会员分享，可在线阅读，更多相关《XX医院安全集成实施服务采购需求.docx（59页珍藏版）》请在课桌文档上搜索。

1、XX医院安全集成实施服务采购需求一、采购一览表名称设备参数单位数量态势感知与安全运营平台（含2个探针）1、硬件服务器一台，用于安装系统软件基础包。2、2U标准上架设备，含滑轨。3、CPU:2颗（三16核心三32线程，主频三2.4GHZ）；4、内存：256G（总容量）DDR4；5、硬盘1：2块三960GSSD固态硬盘组成Raid1；6、硬盘2：N12*4TB企业级SATA3.5寸硬盘，总容量三48T；7、电源：冗余双电源；8、网口：三4个千兆电口、三2个万兆光口（含两个SFP+多模光模块）；9、其他接口：2*USB接口，1*D-COM接口，1*1PMl接口，1*VGA接口。台11、态势感知平台，

2、提供系统软件基础功能，包含威胁检测、分析中心、响应中心、资产中心、统计报表、仪表板、系统管理、态势感知等功能。2、默认提供1台态势感知系统节点安装授权。3、默认授权50个日志数据源的采集能力，超出日志数据源限制的情况下，需要追加数据源数量授权。套1态势感知外网探针，多核AMP+架构同时开启网络流量采集、威胁数据采集和日志上报功能情况下混合流（模拟企业级网络真实场景流量）吞吐量N3Gbps;HTTP并发连接数三400万；HTTP新建连接速率N15万/秒；2U机箱；单台1电源；10/100/1000M自适应千兆电口三6个；Console口21个;态势感知内网探针，多核AMP+架构同时开启网络流量采

3、集、威胁数据采集和日志上报功能情况下混合流（模拟企业级网络真实场景流量）吞吐量N7Gbps;HTTP并发连接数三700万；HTTP新建连接速率25万/秒；3U机箱；冗余电源；10/100/100OM专用管理接口NI个；Console1个；接口扩展板卡插槽三8个台1APT攻击分析系统APT攻击分析系统引擎（2U标准上架设备，含滑轨）一台。4*GE管理电口；960GSSD+8*4TBSATA存储硬盘；冗余电源。含系统软件一套。万兆光接口扩展网卡，含三2个万兆光接口（不含光模块）；套1APT攻击分析系统主机一台，2U,三6千兆网口，NlT企业级硬盘，单电源。包含基础系统软件一套，包括网页漏洞利用检测

4、、webshell上传检测、网络攻击检测、威胁情报检测功能，提供离线PCaP包导入检测、基础旁路阻断和基础SSL解密功能。吞吐NlGbPS台1流量编排1、标准2U机箱，6个10/100/1000M自适应电口，三2个万兆光口，1个COnSoIe口，2个USB,三2个扩展板卡插槽，支持液晶屏，冗余电源。解密吞吐量三L5Gbps,解密每秒新建连接速率三3000；系统网络层吞吐量三50Gbps,最大并发连接数三2000万，每秒新建数三25万/秒。2、SSL编排器系统软件，含网络安全域隔离、精细化访问控制、高性能的流量解密、灵活的设备编排、高效的威胁防护、高级威胁检测、编排组件弹性按需扩展等功能。3、三

5、2口万兆光口板卡（选配）：三2个SFP+插槽套1外网服务器安全防护提供服务器安全监测、防护和加固能力，包括资产管理、防病毒、微隔离、账号风险检测、安全基线、漏洞防护、入侵监测、webshell防护、系统防护、应用防护、网络防套1系统护等功能模块。服务器安全管理系统管理控制中心软件，可实现对客户端的统一运维管理、安全策略维护及全网安全日志分析、消息中心、手机令牌、安全大屏、报表中心功能等，控制中心生产部署最低配置需求：32核CPU,64GB内存，NlTB磁盘。套1上网行为审计系统网络层吞吐率：8Gbps;最大并发连接数：2300万；每秒最大新建HTTP链接数：NIO万，于APP的应用行为控制和应

6、用审计，以及基于关键字，文件类型等相关应用控制，同时内置千万级的URL库，可以有效针对不同分类的网站完成访问控制。包含应应用特征库和URL库的升级服务台1文件沙箱系统处理能力：N15000文件/天；沙箱个数：三15个通过内置沙箱对未知威胁进行分析，分析维度包含注册表、内存、程序、网络活动、文件系统等套1内网终端防病毒系统（包含防病毒模块）1、内网终端安全防护，含三1200个授权。2、基于新一代终端防病毒技术，利用机器学习、行为监控、爆发阻止、云查杀和传统特征库结合的方式，有效防范恶意威胁软件、勒索病毒、挖矿软件等已知和未知威胁。通过行为监控、同时以插件化的方式构建终端安全平台，全面覆盖威胁防御

7、和终端安全管理。提供虚拟补丁功能，通过漏洞防护规则，可在机器不重启，没有补丁更新的情况下帮助企业抵御漏洞攻击。套1内网服务器安全防护系统内网服务器安全防护，含桌面服务器授权三150个解决用户对云主机安全防护上的安全需求，如病毒防护、访问控制、入侵检测、入侵防护、虚拟补丁等，同时也满足用户对云主机运维上的需求，如针对云主机的完整性监控、日志审计、资产管理、漏洞风险管理、检测与响应、基线检查、主机资源监控等。实现了虚拟主机和虚拟系统的全面套1防护，帮助医院检查信息系统等保合规性的审计要求，构建虚拟化平台基础架构的多层次防护。外网终端防病毒系统（包含防病毒模块）1、外网终端安全防护，含三300个授权

8、2、基于新一代终端防病毒技术，利用机器学习、行为监控、爆发阻止、云查杀和传统特征库结合的方式，有效防范恶意威胁软件、勒索病毒、挖矿软件等已知和未知威胁。通过行为监控、同时以插件化的方式构建终端安全平台，全面覆盖威胁防御和终端安全管理。提供虚拟补丁功能，通过漏洞防护规则，可在机器不重启，没有补丁更新的情况下帮助企业抵御漏洞攻击。套1零信任访问控制系统外网边界,身份认证：用户管理、机构管理、用户组管理、认证策略、认证方式（短信、邮箱、动态令牌）、密码策略；访问控制：服务器资源、资源组；终端检测：防泄露水印；应用访问：应用水印，隧道应用（TCPUDPHTTPHTTPS）7Web应用,ACL过滤；审计

9、功能：地址溯源、登录日志、用户操作、系统管理日志；系统管理功能：服务监控、分级分类管理员、网络配置、存储管理、log。设置、日志外发、系统配置备份；系统监控、故障诊断；套1安全运维管理系统1、授权资产数三200个2、通过逻辑上将用户与目标设备分离，建立“用户一访问控制策略一目标设备”的管理模式，通过基于唯一身份标识的用户账户管理与访问控制策略，精细化的角色权限控制，与各服务器、网络设备、安全设备、数据库、应用系统等无缝连接，实现集中精细化的运维操作管理与审计。套1网络安全应急响应服务1、在用户发生确切的安全事件时，应急响应实施人员及时采取行动限制事件扩散和影响的范围，限制潜在的损失与破坏服务基

10、础上，实施人员协助客户检查所有受影响的系统，在准确判断安全事件原因的基础上，提出基于安全事件整体安全解决方案，排除系统安全风险并协助追查事件年3来源、提出解决方案、协助后续处置；2、应急响应的安全事件范围：钓鱼邮件、黑客入侵、APT攻击、漏洞利用、网络攻击、数据外泄、事件通报、攻击溯源、网络异常、网站被黑、非法访问、网站挂马、网站暗链、网站篡改等；不包括IT软硬件故障。如出现重大安全事件，公司帮忙协助处理负面报告。3、交付物：应急响应报告。驻点服务提供1名计算机技术与软件专业中级以上职称驻场工程师，负责设备运行安全监测、安全事件告警监控、安全策略优化、安全加固、单位安全制度的完善等年3二、主要

11、货物技术参数要求序号名称技术参数一、态势感知分析平台1、数据采集：（1）支持对日志采集器进行采集配置并下发；提供SySIog、SNMP态势Trap、文本格式日志、数据库、WM1、NetflowHTTP、SCriPt等感知采集方式；并支持数据源信息导入、导出、数据源迁移操作。与安（2）支持解析规则不少于1700条；支持通过界面操作方式构建1全运数据源解析规则，支持在平台内通过可视化方式进行样本提取操营平作、前置过滤操作、提取字段、验证字段操作。台（含（3）支持富化规则不少于190条；支持通过界面配置操作，实2个探现富化规则构建，包括不限于源字段、表达式、目标字段、参数针）设置；2、数据存储：支持

12、新增日志类型功能，可在线新增字段信息，支持数据存储类型的配置，包括：ES、Kingbasemysql,支持存储基础信息的配置：包括数据库名、存储时间、分区方式等基础属性信息，从而达到分类存储日志的目的。3、资产管理：（1）支持从资产分组、组织架构、业务分组、地理位置及网段视角展示主机资产详情信息。（2）支持资产服务信息管理，支持对服务的IP地址、端口号、服务名、服务版本、协议、Banner等服务属性进行管理。（3）支持网站资产详情信息的展示，展示内容包括资产名称、URL、责任人、责任部门、网站标题、资产状态、资产分组、技术框架及版本、关联主机等。（4）支持DHCP场景下的资产管理，支持对DHC

13、P网段范围、DHCP租期、资产唯一标识等属性进行配置。支持查看DHCP场景下资产IP的变更记录。4、脆弱性数据采集：支持通过网络数据传感器同步资产信息，通过平台的威胁告警模块同步漏洞，弱口令、网站漏洞信息到资产中心模块。5、威胁建模：支持自定义关联规则，支持类VISIO的图形化连线拖拽的交互配置方式而非编辑逻辑语法树配置方式；提供IIo0+条预置规则；支持日志关联规则建模，在指定的时间范围内，能够对来自不同数据源的日志进行关联分析，以发现可信度更高的威胁告警；日志关联方式包括不限于：A事件等于/不等于B事件、A事件包含B事件、A事件大于/小于B事件、A事件开始于/结束于B事件等；6、日志检索：

14、支持高级模式、LuceneQAL三种模式进行搜索。7、报表管理：自定义报表模板：支持自定义模板可加入多种统计分析视图（含自定义）和智能备注信息（可根据数据不同展示不同的备注说明）；支持灵活编辑和布局调整以形成整体报表；可添加不限于告警统计、工单统计、异常行为统计、弱口令统计、攻击者统计、日志统计、系统维护、脆弱性统计、调查统计、资产统计、风险统计等；报表模板可被快速报表和周期报表任务引用。8、系统配置：支持系统账户的安全性验证，包含双因子认证、账户登录设置、可信主机等设置，支持对登录异常账户锁定、密码长度、密码强度、登录会话并发数等进行设置；支持配置可信主机；开启双因子认证，认证方式支持短信、

15、邮件、企业微信、企业钉钉、蓝信。9、预警配置：支持对重大网络安全事件（如Log4j漏洞）进行威胁预警功能。厂商针对重大网络安全事件生成威胁预警包，通过系统自动升级的方式分发给平台用户。也支持通过导入威胁预警包并启动威胁预警任务，完成网络安全事件的影响面评估和分析。10、预警展示：（1）支持预警事件关键里程碑节点展示，支持关键节点配置，预置大面积爆发、有效控制、威胁缓解等节点，支持自定义节点。（2）针对重大安全事件，支持统计风险资产数、受攻击资产数、失陷资产数以及资产的日同比及周同比对比情况；（3）支持基于网段的影响面分布，展示不同网段的风险资产数、受攻击资产数、失陷资产数；（4）支持受攻击资产

16、列表，支持展示受害者IP、所属网段、资产名、攻击者IP、失陷状态、告警次数等信息；二、内外网探针1、流量采集：支持离线采集，可通过手动PCaP导入或FTP等协议批量上传导入等方式对离线流量进行采集2、流量识别与解析：（1）支持精准识别通讯类、语音类、视频类、更新类、下载类、邮件类、金融类、理财类等多类别的应用识别，应用识别库3000+o（2）支持VXLAN、GRE、VLAN、MPLS的流量接入与解析，日志中可提现响应标识信息。(3)支持OraCIe、MySQL、MSSQL、PostgreSQLMongoDBDB2等数据库行为的解析；(4)支持WebMai1、SMTP、POP3、IMAP邮件行为

17、解析;3、文件还原：(1)支持还原多种文件传输协议，包括：邮件(SMTP、POP3、IMAP、webmail)、Web(HTTP)、FTP、SMB、TFTPQQ(2)支持多种文件类型的筛选，可执行文件还原格式包含：bin、exebat、dll、syscom、ax、acmdrv等;压缩文件还原格式包含：rar、zip、gz、7z、tar等；文档类型的还原格式包含：doc、docx、xlstxt、pptx、pdf、rtf、PPt等。4、威胁检测：(1)支持恶意文件例外，对指定特征的恶意文件及文件类型不进行查杀(2)系统需具备攻击检测能力的扩展功能，支持自定义恶意文件、自定义漏洞、自定义间谍软件、自

18、定义威胁情报；(3)系统本地需具备攻击告警的过滤能力，能够针对IP地址或端口对攻击告警进行过滤，支持攻击特征高亮展示，方便分析人员事件分析。5、数据外发(1)通信模式支持但不限于KAFKA、ZMQ、SYSLOG等协议，需支持多路外发，并支持外发多地址的负载均衡处理。(2)传输模式支持加密、压缩、以及认证，认证包括但不限于kerberos认证、LDAP认证。(3)外发类别支持但不限于流量日志、威胁日志、资产日志、样本文件、威胁相关PCaP等。6、二次开发接口：系统提供二次开发接口，接口形式为ReStfUlAPI,提供功能配置、统计等接口；7、旁路阻断：支持旁路IPv4和IPv6的IP阻断、URL

19、重定向、DNS重定向。8、流量及样本取证：（1）支持威胁告警的相关pcap数据留存，支持本地下载及外发，外发通信协议包括但不限于KAFKA、FTP、SFTP等；支持威胁告警的相关文件留存，支持本地下载及外发，外发通信协议包括但不限于FTP、SFTP等。（2）支持可疑流量的留存，留存条件支持但不限于数据方向、地址、端口、应用、URL、时间等；抓取的流量支持本地留存、定时或实时上传。9、安全管理：（1）支持用户名/口令认证，HTTPS方式支持证书认证，WEB方式支持动态验证码认证，防止管理账号被暴力破解。（2）支持用户自定义系统管理的安全级别，包括登录超时时间、密码有效期、密码长度、密码复杂度、登

20、录安全策略、登录失败次数锁定、登录失败间隔、账号锁定时间，锁定方式等。2APT攻击分析系统一、分析平台1、消息管理：支持声音提示、弹窗提示等提示方式及提示功能的开启/关闭，支持自定义告警声音及不同类型告警设置不同声音，消息内容包括告警日志、系统状态消息、进程消息、任务提示消息等内容，并支持对各种消息进行发送内容的自定义功能；2、系统运行监控：支持以分析平台为中心，可视化呈现天眼安全设备的部署情况、运行情况、数据情况、联动情况3、攻击者分析：支持以攻击者的维度进行分析，对攻击者进行画像，画像内容包括地理位置信息、国家信息、所属组织、使用的攻击手段、攻击的所有资产。4、威胁分析：（1）支持从威胁情

21、报、应用安全、系统安全和设备安全的业务场景维度对告警进行攻击带外分析。（2）威胁情报维度分析包括：情报详情、影响资产列表、资产的行为（行为包含：DNS解析、TCP流量、UDP流量、WEB访问、文件传输）。（3）支持根据不同类型设备进行筛选告警信息，并对筛选以图形与列表相结合的形式进行综合展示。5、威胁情报：支持基于威胁情报的威胁检测，检测类型包括：APT事件、僵尸网络、勒索软件、黑市工具、远控木马、窃密木马、网络蠕虫、流氓推广、恶意下载、感染型病毒、挖矿病毒等。6、白名单：支持对告警进行加白，加白参数包括受害IP、攻击IP、威胁情报、规则、XFF、URL、威胁名称。7、WEB服务器行为分析：（

22、1）支持可疑爬虫或扫描分析，能自定义Web访问频率，且能设置源IP白名单。（2）支持后门上传利用分析，能展示受害ip、攻击ip、上传页面、后门链接、利用次数、最近发生时间等详细信息。8、访问行为分析：支持内部资产主机外联分析，能展示资产ip、外联ip、外联地域、端口、协议、时间等详细信息，且能自定义源ip白名单。9、黑IP行为分析：支持通过云端威胁情报获取黑IP列表，与告警和日志进行匹配并生成告警，支持黑IP规则导入。10、处置编排：支持工作流程自定义编排。IK邮件告警：支持邮件告警功能，可以定时向指定邮箱发送APT事件、攻击利用、恶意软件、拒绝服务等类型的告警信息12、日志备份：支持对日志进

23、行导出备份以及导入恢复二、流量探针1IPV4/IPV6双协议栈：支持IPv4和IPv6网络环境下的部署,接口支持IPV4、IPv6配置，支持对IPv4路由监控和对IPv6路由监控，可同时对IPv4和IPv6网络流量分析检测。2、流量负载记录：支持配置外发tcp、UdP流量日志中上下行负载的长度，最大支持IoK。3、隧道封装识别：支持VLAN、VXLAN的网络流量的解析检测。云场景下，支持GENEVE协议双层隧道封装流量的解析检测。4、网络日志外发配置：支持配置网络日志外发的标准模式、精简模式、自定义模式，支持自定义配置19种网络日志的外发字段。5、威胁情报检测：支持基于威胁情报的威胁检测，检测

24、类型包含APT事件、僵尸网络、勒索软件、黑市工具、远控木马、窃密木马、网络蠕虫、流氓推广、恶意下载、感染型病毒、挖矿病毒、其他恶意软件。6、检测模式：支持检测模式的标准模式、精简模式、自定义模式的切换，支持自定义检测深度，支持DNS隧道检测、CS流量检测、MSF检测、暗网流量检测等十几种机器学习模型的自定义配置。7、Web攻击检测：支持其他类型的WEB攻击，如目录遍历、弱口令、权限绕过、命令执行、文件读写、信息泄漏、文件包含、文件写入攻击、挖矿等检测。8、情报查询：支持与云端威胁情报中心联动，可对受害IP、攻击IP、IOC/规则ID、文件MD5进行一键搜索，查看基本信息、开源情报、相关样本、可

25、视化分析、域名解析、注册信息、关联域名、数字证书等。9、白名单：支持对告警进行加白，加白参数包括受害IP、攻击IP、告警类型、威胁情报/规则ID、威胁名称、XFF代理、域名、URI、Referer协议、Payload、有效时间范围等。10、管理口bond：支持将2个或2个以上的管理口配置聚合链路接口。11、数据传输（1）支持将威胁告警外发集中管理平台，支持与集中管理平台进行联动，统一进行系统、情报、规则的升级。（2）支持将威胁告警、网络日志等日志传输给分析平台，支持将样本文件外发文件威胁鉴定器，支持将威胁告警信息发送给攻击诱捕系统。（3）支持与第三方平台对接，支持通过KAFKA、SySlOg将

26、威胁告警、网络日志、系统日志等日志外送至第三方平台。12、一键诊断：支持一键对系统进行深度配置和排错，支持一键检测故障、资源占用、进程检测、设备连接状态、设备信息收集等功能。13、样本留存：支持威胁告警的相关pcap数据留存，支持本地下载及外发。14、检测能力扩展：支持自定义威胁情报，支持根据威肋类型、威胁名称、威胁级别、置信度、情报类型、域名等自定义添加威胁情报,支持STlX、0PENI0CJSoN、XLSX格式的批量导入。15、高级参数：支持通过Web页配置恶意扫描、FlOOd攻击、IP碎片攻击、ARPSpoofPingSweep暴力猜解等检测策略。16、系统配置：支持访问白名单功能，仅可

27、信地址可访问设备。17、威胁情报：支持基于流量实时IoC匹配功能，设备具备主流的IOC,情报总量700万条。3流量编排1、部署模式：产品支持路由、旁路、交换以及混合模式接入，满足复杂应用环境的接入需求。2、高可靠性：所投产品必须支持路由模式、透明模式的HA高可靠性部署，可工作于主备、主主模式，会话、用户、配置可实时同步；HA高可靠性部署支持接口联动，某个端口失效（DOWN）,属于同一接口组中其他端口都会进入失效状态（DOWN）；HA高可靠性部署支持配置接口权重；支持链路探测。3、网元管理：（1）所投产品支持将其他硬件安全设备（包括但不限于防火墙、IPS、IDS、WAF、行为管理、流量探针等）加

28、入网元组，并接受流量编排；支持将同类型安全设备划归同一网元组，组成硬件安全资源池（如WAF安全资源池），并将流量通过负载均衡的方法编排给组内所有网元（2）所投产品支持对网元进行健康检查，及故障bypass能力，健康检查至少包括链路探测、回环探测、接口探测能力4、服务链管理：（1）所投产品支持灵活的服务链编排功能，支持串接链和旁路链，支持网元组的方向和位置设置。（2）所投产品支持添加、编辑、删除串接链，旁路链。5、引流策略：（1）所投产品支持引流策略的添加、删除、调序、清除命中数、刷新功能；支持引流策略的启用和禁用功能。（2）所投产品支持灵活的细粒度引流策略，可基于源安全域、目的安全域、源用户、

29、源地址、目的地址、服务、VLAN、服务链、流量方向（内网到外网/外网到内网）的引流策略，并支持TCP选项，可针对时间戳、窗口大小、选择确认设置操作，包括保留、删除、默认。6、编排流量监控：所投产品支持对编排的流量进行监控，从引流策略维度对编排流量监控统计，可选择每秒传输单位bps或pps,并可以直接设置当前引流策略是否bypass。7、SSl解密：（1）所投产品必须支持IPv4和IPv6流量的HTTPS、P0P3S、SMTPS、IMAPS协议进行解密，支持配置基于源安全域、目的安全域、源地址、目的地址、SNI对象、服务、日志记录和证书自学习的解密策略，动作可以设置处理或放行，类型可选择SSL代

30、理、SSL入站检查、SSL卸载和SSL加密，同时支持将解密后流量镜像到其他设备进行分析统计。（2）所投产品必须支持SSL解密策略，支持IPv4和IPv6流量的HTTPSP0P3SSMTPS、IMAPS协议进行SSL卸载，支持配置基于源安全域、目的安全域、源地址、目的地址、SNI对象、服务、证书自学习，支持配置动作处理或放行，支持类型为SSL代理，并可设置检测解密对象，包括配置选项中针对不可信证书、不支持的版本、不支持的算法、证书有效期检查的允许或阻断，版本信息支持TLS1.0/1.1/1.2/1.3和SSL3.0的设置，支持算法预定义或自定义，支持和客户端或和服务端的会话复用，支持SSL服务器

31、证书设置和证书自动签发；同时支持将解密后流量镜像到其他设备进行分析统计（3）所投产品必须支持SSL解密策略，支持IPv4和IPv6流量的HTTPSP0P3SSMTPS、IMAPS协议进行SSL卸载，支持配置基于源安全域、目的安全域、源地址、目的地址、SNI对象、服务、证书自学习，支持配置动作处理或放行，支持类型为SSL卸载，并支持SSL卸载对象和HTTP改写策略设置；（4）所投产品必须支持SSL解密策略，支持SSL卸载，支持算法类型是国际算法或国密算法，支持导入服务器证书或加密证书和签名证书，支持双向认证；（5）所投产品必须支持SSL解密策略，支持IPv4和IPv6流量的HTTPSPOP3SS

32、MTPS、IMAPS协议进行SSL卸载,支持配置基于源安全域、目的安全域、源地址、目的地址、SNI对象、服务、证书自学习，支持配置动作处理或放行，支持类型为SSL加密，并支持SSL加密和HTTP改写策略设置；（6）所投产品必须支持SSL解密策略，支持SSL加密，支持算法类型是国际算法或国密算法，支持导入RSA证书和EC证书或加密证书和签名证书；（7）所投产品必须支持SSL解密策略，支持IPv4和IPv6流量的HTTPSPOP3SSMTPS、IMAPS协议进行SSL卸载,支持配置基于源安全域、目的安全域、源地址、目的地址、SNl对象、服务、证书自学习，支持配置动作处理或放行，支持类型为SSL入站

33、检查，支持SSL服务器证书设置；同时支持将解密后流量镜像到其他设备进行分析统计。8、运维管理：（1）所投产品必须支持双系统备份，且在系统切换中可实现配置的自动迁移；可记录不同时间点的历史配置文件。（2）所投产品必须支持将告警信息以TraP报警、邮件报警、声音报警、短信报警等形式通知管理员，告警信息的范围至少包括配置变更、异常事件、启动事件、并发数告警、NAT端口池利用率、CPU使用率、内存使用率、硬盘使用率、接口带宽比等；4外网服务器安全防护系统1、功能要求：提供资产梳理、风险发现、病毒扫描、安全基线等基础检测能力，以及系统防护加固、应用防护等高级防护能力。2、账户资产：支持以列表的形式，统一

34、列出Windows/Linux服务器账户资产，并可查看账户的状态、登陆Shel1、home目录、用户组等信息。3、软件应用资产：支持以列表的形式,统一列出WindOWS/Linux服务器软件应用资产，并可查看应用名称、应用版本、安装路径、配置文件路径等信息。4、子账号管理：提供子账号的管理，支持账号名称、账号角色、上级账户关联、归属人、手机号、邮箱、备注设置，并支持服务器的绑定；5、性能监测：显示当前所有服务器的环境现状，包括内存使用率、硬盘空间、操作系统、agent利用率等等信息，并提供报警和导出功能6、主机资产信息全局展示与搜索：支持全量资产的关键字及语法搜索，支持检索的语法包括但不限于：

35、服务器资产类、进程资产类、账号资产类、软件应用类、web资产类、web服务类、Web框架、数据库类、端口资产类、网络连接类、启动服务类、安装包类、计划任务类、环境变量类、内核类、类库资产类、注册表类、证书资产类进行检索；7、Web框架：支持以列表的形式,统一列出WirldoWS/Linux服务器Web框架资产，并可查看开发库名、版本号、应用类型等信息。8、数据库：支持以列表的形式，统一列出Windows/Linux服务器数据库资产，并可查看数据库名、进程PID、进程名、版本号、安装路径等信息。9、网络连接：支持以列表的形式，统一列出Windows/Linux服务器的进程连接资产，并可查看进程名

36、称、协议、IP地址、源端口、目标端口、目标IP、连接状态、同步时间等信息。10、启动服务：支持以列表的形式，统一列出WindoWS/Linux服务器的启动服务或启动项，并可查看服务名/启动项名、启动状态、服务描述、脚本路径、启动类型、文件公司名、文件MD5等信息OIK基线检查：内置等保二级、三级、CIS、系统服务核查、账户安全核查、系统配置安全检查、应用配置安全检项，并以图表的形式展示检查项的合规率、ToP5、风险服务器ToP5,并对检查出的问题给出修改意见。12、计划任务：支持以列表的形式，统一列出WindOWS/Linux服务器的计划任务，并可查看计划任务的名称、任务描述、定时启动时间、执

37、行用户等信息。13、反弹shell：支持反弹shell的威胁发现与检测，可对反弹shell事件进行进程阻断、加白等处置方式；14、本地提权：支持对提权行为的事件进行监控及检测，并对提权事件进行进程阻断、加白等处置方式。15、无文件攻击：支持实时监控服务器上发生的无文件攻击（漏洞型攻击、灰色工具型攻击、潜伏型攻击）事件，并对无文件攻击事件进行加白、标记处置等操作。16、主机发现：可通过自动、手动的任务设置，对局域网内服务器的服务器进行扫描（支持ARP、Ping、Nmap扫描方式，并支持离线分析），并自动获取服务器相关信息，包括MAC地址、设备类型、未知主机IP、操作系统、发现方式、首次发现时间等

38、信息。17、病毒查杀：可对服务器杀毒引擎进行综合的设置，支持本地查杀、控制中心查杀的设置与切换，并可对某台服务器的查杀规则进行详细设置。18、威胁总览：支持以发现时间（时间段、自定义）、威胁等级、处置状态、事件ID、攻击IP、受害IP等全事件字段进行事件检索查询；19、暴力破解：对暴力登录系统的账号和IP进行自动发现并上报暴力破解入侵事件，并可对攻击的IP进行封停、解封、加白等操作。20、后门检测：对操作系统、文件、软件中存在的后门进行检测，包括：发现时间、后门名称、后门类型、风险等级、服务器名称、服务器IP、操作系统等，并可进行隔离、删除、加白、下载等操作，并提供后门的详情信息5文件沙箱系统

39、1、可疑对象分析能力：支持文档、URL、IP、Domain四种可疑威胁对象的分析。2、可疑对象预处理：（1）内建扫毒引擎，支持可疑文件对象预扫毒功能。（2）通过云端URL评估数据库查询，支持可疑URL及IP/Domain对象预过滤功能。3、定制化沙箱分析：（1）集成本地沙箱在设备中。（2）能够对样本进行过滤去重，减少分析数量。（3）沙箱能够对未知漏洞利用代码和恶意程序的以下行为进行动态分析：D进程操作行为；2）文件操作行为；3）系统配置操作行为；4）网络通信行为；5）内存镜像分析；(4)支持WinXP、Win2008&2012serverWin7&Win10等主流Windows平台沙箱镜像。(

40、5)具有高度定制化，可以支持使用客户环境特性的Windows作业平台与应用。(6)支持未知威胁事件证据留存。(7)广泛的文档分析支持：各种WindOWS可执行程序、OFFlCE文档，FDF、Web内容、各类压缩文件。(8)对提交的可疑URL利用沙箱执行页面扫描、动态链接分析、动态脚本及控件分析，并针对URL指向的可疑文件进行沙箱分析。(9)详细的报表事件：通过可视化中心或报表可以查看详细样本活动及C&C外联通讯等全部分析结果。4、沙箱扩展能力：根据实际需要定制沙箱操作系统及增加/减少沙箱数量。支持3种沙箱操作系统种类，包括主流的Windows操作系统。5、生成本地威胁特征：对于确认的威胁，可生

41、成文件SHAl以及C&C本地威胁特征，可提供给其他授权的安全产品使用。6、自定义规则：能通过自定义YARA规则，增强识别恶意软件的能力。7、支持文件检测类型：(1) 压缩文件：gz,rar,cab,7zip,tar,bz2,zip(2) PE：dll,exe,sys(3) Office：doc,docx,pdf,ppt7pptx7rtf,xls7xlsx7XmLwps(4) Web页面:htm,html5)月却本:vbe,vbs,js,jse,psi(6)其它：cell,chm,Ink,mov,swf,jar等8、本地产品集成能力：支持WebAPI：可提供开放的WebAPI接口给授权的第三方产

42、品及研究人员自动或手动提交可疑威胁样本。9、样本提交方式：（1）管理端手动提交：支持通过管理平台页面提交分析样本。（2）提交工具：支持通过工具批量提交分析样本，且工具支持Windows和Linux两种平台。（3） WEBAPI：支持通过WebAPl提交分析样本。（4） ICAP客户端提交：支持通过ICAP客户端提交分析样本。10、日志、报表、及监控：（1）日志管理：1）支持SySlog协议，可以实时传输日志到SySlog服务器，选择传输的内容类型。Syslog日志支持CEF,TMEF或LEEF格式。2）可依照档案SHAl或MD5,对可疑文档数据库进行查询。3）可从本系统下载可疑威胁文档样本，并

43、对于所下载的文档提供加密保护。（2）报表系统：D自动提供经过分析后的图形化日/周/月报表。2）自动寄送报表功能。3）支持HTML和PDF报表格式。（3）监控仪表板：1）模块化插件设计：可以定制弹性配置监控仪表板。2）特定服务器监控模块，监控系统资源使用情况和沙盒处理队列等信息。3）实时性。11、部署与管理（1）部署：1）独立运作系统，无需切断网络即可进行部署。2）支持多台设备集群部署，并至少支持“主动-被动-辅助”部署模式，以保证可用性。（2）设备管理：1）基于B/S的管理架构，Web界面支持但不限于Edge、ChromeFirefox等浏览器。2）提供命令列（ClJ）配置模式。3）提供SSH

44、远程调试模式。4）提供网页接口，可让授权用户手动提交可疑威胁对象。5）具备网页接口账号管理机制，并提供个别用户可自行设定操作接口。6）允许多位用户同时登入系统。12、升级：升级方式：（1）支持实时在线升级、自动在线升级、手工升级多种升级方式。（2）每周两次升级频率以上。6上网行为审计系统1、产品规格：（1）IU标准机架式设备，系统硬件为全内置封闭式结构，多核架构设计MIPS架构，功能采用模块化结构设计，加电即可运行，启动过程无须人工干预。（2）具备接口：三12个千兆电口；三12个千兆光口；冗余电源；性能：网络层吞吐率N8Gbps;最大并发连接数三300万；每秒最大新建HTTP链接数NlO万；硬

45、盘容量三2T；（3）最大功率W300W；内置硬件、软件Bypass机制，在设备流量异常、突增、异常断电、重启等情况时，可自动切换到Bypass状态，当设备恢复时，可自动切换回工作状态2、重置硬件：具备外置Reset重置插孔，支持一键恢复出厂设置3、部署模式：支持路由模式、透明（网桥）模式、混合模式、旁路模式；旁路部署支持加入多个物理接口；部署模式切换无需重启设备4、接口:（1）接口实际配置支持SeCondIP地址；每个接口要求支持至少200个SeCOndIP。提供Web配置界面截图（2）内外接口无固化，支持修改接口属性，修改接口IP类型、地址模式无需重启设备5、4G支持:支持4GUSB插卡。支

46、持在4G接口上运行IPSeCVPN。6、DNS-DNAT:支持负载在出接口的DNS请求主动完成DNS服务器替换7、DDNS：支持花生壳DDNS客户端以及域名IP绑定功能8、链路聚合：透明、路由模式下支持将多条链路带宽进行捆绑聚合9、路由支持：支持静态路由、策略路由、RIP、OSPF、ISP路由10、策略路由：支持七元组策略路由，支持基于线路权重进行负载转发11ISP路由：支持基于ISP地址表动态选路，选路算法包括但不限于优先级和权重，支持基于PING、TCP、DNS协议探测连通性，探测目标支持IP和域名，ISP信息支持自定义。12、链路负载均衡：（1）支持7元组的链路负载均衡策略，负载均衡接口

47、支持接口和接口组，支持基于域名进行链路负载，负载算法包括但不少于优先级和权重，负载均衡接口支持pppoedhcptunnel物理接口等三层接口。（2）支持基于接口和目的地址进行健康检查，可自定义检查问隔、重试次数等。（3）支持基于负载链路进行dns-dnat机制，解决用户主机配置DNS解析结果，与实际转发运营商链路解析结果有冲突，从而导致跨运营商访问慢的问题；支持进行DNS探测，针对探测失败情况，支持选择禁用dns-dnat功能或禁用负载链路出接口。（4）支持直连网段和特定网段的负载均衡排除；支持过载保护、会话保持，会话保持可实现用户的访问请求均分配至同一出口。12、服务器负载均衡：（1）支持5元组的负