XX省XXXX一体化安全监测平台项目建设要求.docx

《XX省XXXX一体化安全监测平台项目建设要求.docx》由会员分享，可在线阅读，更多相关《XX省XXXX一体化安全监测平台项目建设要求.docx（24页珍藏版）》请在课桌文档上搜索。

1、XX省XXXX一体化安全监测平台项目建设要求一、建设目标为落实“安全保发展、安全促发展”的理念。在信息安全相关技术规范要求下，依托顶层设计思路，按照“统一规划、统一标准”的原则，立足当下、兼顾长远对现有信息安全架构，通过本次XX省XXXX一体化安全监测平台项目，通过建设一体化安全监测大数据分析技术实现基于大数据的安全分析能力，提升安全风险识别、安全风险分析效率。通过安全运营服务，构建从安全风险识别、安全分析、安全响应处置的闭环，进一步完善XX省XX委的安全运营水平，为保障XX省XX委业务安全稳定运行奠定坚实基础。本期项目的建设周期为合同签订后6个月，试运行期不少于12个月。序号项目建设内容数量

2、单位1一体化安全监测平台一安全DNS威胁分析子模块建设安全DNS威胁分析系统，同时结合域名威胁情报，快速识别并阻断恶意域名请求行为，构建安全的网络办公环境，提升内部失陷主机识别能力。1项2一体化安全监测平台一互联网暴露面安全监测子模块基于XX省XX委暴露在互联网上的资产底数，开展安全监测及时识别并预警存在的安全风险，建立基于互联网侧的资产识别、风险监测、风险预警能力，对网站的漏洞威胁、网页黑链、网页篡改、网站可用性等进行实时监测。1项3一体化安全监测平台一应用安全监测子模块以应用层资产测绘能力为基础，结合软件成分安全分析技术和智能动态污点分析与防护技术，实现应用安全检测分析和防御能力。1项4一

3、体化安全监测平台一聚合分析研判子模块聚合分析研判子模块用于支撑对多源异构安全数据的采集、治理、存储及融合分析等数据进行分析研判，支撑安全人员更加高效地开展安全运营工作，进行专项防护、安全分析、资漏管理、处置协同、防御效能评估于一体的能力子模块。1项5一体化安全监测平台一可视化驾驶舱安全驾驶舱可以提供统一的功能入口视角，直观展示一体化安全监测平台的整体能力，提供多种可视化技术实现安全监测可视化管理，主要包含态势感知大屏、智能仪表盘、周期性报表等相关可视化驾驶舱能力。1项6安全设备数据对接采集基于已部署的网络安全设备和本期项目新增部署的流量采集插件服务，通过省级XX业务网、电子政务外网等基础网络，

4、一体化安全监测平台汇聚省本级节点和下属的分支节点流量探针监测数据，以及委本级DNS威胁分析数据、互联网暴露面威胁信息、应用安全信息等，与省XXXX网络安全协调指挥平台进行对接，对威胁信息实现预警通报和闭环处置。1项二、总体要求本次项目建设覆盖省XX委省本级XX业务网及电子政务外网本地网络交换机房、互联网暴露面业务资产、省级医疗XX单位和X个地市XX业务网骨干节点流量探针监测数据安全风险监测及应用安全监测。本项目将建设一体化安全监测平台（包含安全DNS威胁分析子模块、应用安全监测子模块、互联网暴露面安全监测子模块、聚合分析研判子模块、可视化驾驶舱）、安全设备数据对接采集。2.1. 建设内容要求网

5、络安全作为数字化改革重要保障基础，结合省XX委现状，汇聚已有的防火墙、日志审计、堡垒机、入侵检测等安全设备数据，建设一体化安全监测平台，主要包括：安全DNS威胁分析模块、互联网暴露面安全监测模块、应用安全检测模块及安全威胁信息聚合分析等模块功能，实现日常网络安全运营管理集中化、规范化、可视化，提升省XX委网络安全能力水平。具体内容如下：1、建设汇聚安全设备数据能力基于已部署的网络安全设备和本期项目新增部署的流量采集插件服务，通过省级XX业务网、电子政务外网等基础网络，一体化安全监测平台汇聚省本级节点和下属的分支节点流量探针监测数据，以及委本级DNS威胁分析数据、互联网暴露面威胁信息、应用安全信

6、息，与省XXXX网络安全协调指挥平台进行对接，对威胁信息实现预警通报和闭环处置。2、建设一体化安全监测能力构建省XX委一体化安全监测平台，通过建设安全分析规则模型、大数据分析模型、智能分析引擎等,实现省XX委内网IT资产管理、网络攻击与威胁监测，提升省XX委网络分析与预警能力。横向连接省XXXX网络安全协调指挥平台，对威胁信息实现预警通报和闭环处置。（1）建设安全DNS威胁分析子模块建设安全DNS威胁分析系统，同时结合域名威胁情报，快速识别并阻断恶意域名请求行为，构建安全的网络办公环境，提升内部失陷主机识别能力。（2）建设互联网暴露面安全监测子模块基于XX省XX委暴露在互联网上的资产底数，开展

7、安全监测及时识别并预警存在的安全风险，建立基于互联网侧的资产识别、风险监测、风险预警能力，对网站的漏洞威胁、网页黑链、网页篡改、网站可用性等进行实时监测。（3）建设应用安全监测子模块以应用层资产测绘能力为基础，结合软件成分安全分析技术和智能动态污点分析与防护技术，实现应用安全检测分析和防御能力。（4）建设聚合分析研判子模块聚合分析研判子模块用于支撑对多源异构安全数据的采集、治理、存储及融合分析等数据进行分析研判，支撑安全人员更加高效地开展安全运营工作，进行专项防护、安全分析、资漏管理、处置协同、防御效能评估于一体的能力子模块。（5）建设可视化驾驶舱安全驾驶舱可以提供统一的功能入口视角，直观展示

8、一体化安全监测平台的整体能力，提供多种可视化技术实现安全监测可视化管理，主要包含态势感知大屏、智能仪表盘、周期性报表等相关可视化驾驶舱能力。2.2. 标准规范要求基于国家、省电子政务相关标准规范、行业相关标准规范，遵循省经济社会发展标准体系，结合建设要求，设计项目相应的标准规范。1、组织人员对建设中所涉及的国家标准、行业标准及地方标准现状进行调研和梳理，为本项目标准规范建设提供理论和技术基础。2、在现有国家电子政务标准规范体系基础上，进行优化、完善，形成适合的标准规范体系框架。3、从建设需求出发，按照急用先行的原则，制定关键标准规范，为互联互通、信息共享、业务协同、信息安全打好基础。4、建立标

9、准规范贯彻实施机制，为标准的落地实施提供服务。参考依据： 中华人民共和国网络安全法 中华人民共和国密码法 中华人民共和国数据安全法 中华人民共和国个人信息保护法 关键信息基础设施安全保护条例 GB17859-1999计算机信息系统安全保护等级划分准则 GB/T25058-2010信息安全技术信息系统安全等级保护实施指南 GBT22240-2020信息安全技术网络安全等级保护定级指南 GBT22239-2019信息安全技术网络安全等级保护基本要求 GBT25070-2019信息安全技术网络安全等级保护安全设计技术要求 GB/T20270-2006信息安全技术网络基础安全技术要求 GB/T2027

10、1-2006信息安全技术信息系统通用安全技术要求 GB/T20272-2006信息安全技术操作系统安全技术要求 GB/T20273-2006信息安全技术数据库管理系统通用安全技术要求 GB/T42453-2023信息安全技术网络安全态势感知通用技术要求 “十四五”全民健康信息化规划（国卫规划发2022）30号） 医疗XX机构网络安全管理办法（国卫规划发2022）29号） XX省2023年数据安全和个人信息保护专项行动方案 2024年“数安之江”XX省重要行业网络数据安全专项行动方案2.3. 信息安全要求本次建设的一体化安全监测平台信息系统在新建时同步考虑信息安全设施的规划、建设及使用，确保构建

11、一套安全的网络环境保障支持业务稳定、持续运行性能的同时，保证安全技术措施同步规划、同步建设、同步使用，以保障信息安全与信息化建设相适应。1、服务保密要求服务商须在签订合同后与采购人签订保密协议。2、安全性、功能性能测试要求系统须避免各种信息安全漏洞，加强安全性防护，有完善的安全解决方案。采购人可委托第三方进行安全和性能测试，如果测试中发现存在问题，服务商需尽快解决。测试及漏洞修复所产生的费用由服务商承担。3、系统等保要求在项目建成后，系统需按照等级保护要求开展等级保护测评，系统必须整改等保过程中发现的软件问题。在运维期内，每年至少进行一次等级问题整改。4、密评要求制订商用密码应用方案，运用国产

12、密码技术保障信息系统网络和数据安全，按照要求开展商用密码安全性评估，必须整改密评中发现的安全问题。5、代码安全要求需遵循代码安全开发规范和实施代码安全检测，检测发现的问题整改完成后,提供安全检测资质机构出具的软件代码安全检测报告。6、软件应急方案服务商必须提供系统应急方案，并得到采购人的批准，此为验收通过的必备条件之一。应急方案需考虑各种故障类型，分别给出解决方案。7、信息安全承诺保障服务商承诺严格把控项目实施人员安全风险及系统安全风险，提供核心实施人员背景审查材料，每月对系统进行安全监测和巡检。及时修复系统存在的各类安全漏洞。在政府重要活动、会议召开期间对系统进行7*24小时严密监控，一旦发

13、现问题，要求在第一时间内关停或恢复正常服务，并尽可能的消除影响。服务商承担因系统本身漏洞所引发的信息安全事件而带来的相关法律责任。合同约定的服务期内如发生重大信息安全事件，被上级单位或公安机关通报一次，罚款5000元。如发生被悬挂反动标语、赌博色情、数据泄漏等安全事件，视情节严重程度罚款1-5万元。因运维人员管理疏忽导致的上述信息安全事件，采购人保留追诉服务商连带法律责任的权力。2.4. 详细技术要求2.4. L安全DNS威胁分析子模块功能描述参数要求功能要求服务商应为采购人定制开发安全DNS威胁分析子模块，提供包括DNS递归解析、恶意域名识别与告警、DoH加密、策略设置、APl接口等功能。D

14、NS递归解析智能解析：支持基于运营商、所属地理区域等提供智能递归解析能力，支持联通/电信/移动/教育/BGP多线路接入；恶意域名识别与告威胁情报：威胁情报数量不少于1500万条，APT情报不少于4万条；情报包含丰富的上下文，至少包括：威胁家族、威胁类型、感染平台、攻击特点、处置建议、公开分析等。威胁检测，支持识别的攻击类型应至少包含：后门、远控木马、DDOS挖矿、银行木马、APT、DGA,黑客工具、勒索软件、数据窃取、蠕虫、钓鱼网站、黄赌毒等威胁；告警合并：支持根据1。&攻击家族等对告警进行合并，避免相同攻击重复告警。DOH加密传输加密：DNS请求支持DOH加密方式进行传输，满足本地和云端Do

15、H、DOT加密域名解析能力，对解析流量加密处理。系统设置策略设置：支持自定义阻断策略，可自定义策略生效范围（基于资产）、威胁类型、自定义黑名单域名等。APl接口，可提供APl接口，将威胁告警、DNS解析数据、拦截日志同步至本地或第三方平台。24.2.互联网暴露面安全监测子模块功能描述参数要求互联网暴露面资产梳理能力集成：具备集成及时沟通、安全态势、人员管理、事件处置、服务介绍及应用访问集成。平台兼容：平台具备运营人员可访问安全运营平台的windows和mac端客户端，且客户端需集成及时沟通、报告月度和安全运营能力。基于XX省XX委的互联网出口IP、主域名等基础信息，提供IP+端口、域名解析、微

16、信公众号、小程序等的暴露面识别与梳理，形成XX省XX委互联网IT资产暴露面清单。基于XX省XX委提供的相关关键字，面向百度、阿里、新浪、腾讯、天翼云网盘等主流网盘，面向百度文库、新浪爱问、豆丁网等46种文库上与XXXX委相关的数据资产进行识别监测，最终形成XX省委XX委的互联网数据暴露面清单。互联网业务安全风险检测平台能力：具备集成及时沟通、安全态势、人员管理、事件处置、服务介绍及应用访问集成。平台具备运营人员可访问安全运营平台的WindoWS和mac端客户端，且客户端需集成及时沟通、报告月度和安全运营能力。互联网业务安全风险检测：对省XX委不少于5个二级子域名的网站开展漏洞威胁、网页黑链、网

17、页篡改、网站可用性等进行实时监测，并将生成安全事件报告通知安全管理人员，以便及时消除风险和阻断威胁。提供7*24小时的安全风险分析确认验证服务。2.4.3.应用安全监测子模块功能描述参数要求应用资产测绘-API发现支持检测出系统全部APl情况，兼容SPringCloUd、dubboSofa等分布式框架，展示APl信息，包括请求方式、检测时间等，并根据应用的检测流量覆盖情况计算API的覆盖率，对于检测出的API支持根据方法签名汇聚以提升测试覆盖率应用资产测绘-API管理支持根APl据覆盖情况、是否存在漏洞、接口请求方法等内容进行组合查询，查询结果支持导出；支持根据URL进行搜索，结果支持导出软件

18、成分安全分析-开源软件安全分析利用在线agent对被检测应用自动化进行全量组件收集分析，提供基于运行时开源软件供应链/开源组件的漏洞检测与许可分析软件成分安全分析-组件修复支持组件在线修复功能：支持对XStream、shirospringsecurity、inlong-pojoCoreNlpfastjsonlog4jspringcloudgateway等组件的已知高危漏洞通过防护插件的方式进行在线修复或防护。API安全一体化检提供APl接口全量分析检测功能，并形成全量的APl接口数据进行统一归档，对所有APl接口进行一体化展示测与分析API安全一体化检测与分析提供APl接口暴露面攻击功能，对A

19、Pl接口暴露面情况从攻击风险面、攻击难度、危害程度等维度进行自动化风险安全检测，同时，针对所检测出应用漏洞可同时关联至相应APl接口API安全支持Agent批量部署及管理：针对APl安全检测功能所使用在线检测一体化检Agent,支持批量部署及管理客户端，客户端独立于被检测应用运行，测与分析实现对主机上的应用批量热注入检测Agento应用自适通过许可升级即可支持在单一管理控制台以及在同一Agent上支持在线应免疫防运行时IAST以及RASP攻击检测及防护能力，能够通过插桩的Agent对御外部攻击进行实时防护应用自适应免疫防御支持风险感知大屏功能，能够以地图定位的方式实时进行攻击告警，并且展示攻击

20、来源及攻击IP等内容244.聚合分析研判子模块一体化安全运营能力功能描述参数要求功能要求服务商应为采购人定制开发聚合分析研判子模块，提供包括数据采集、采集监控、内置解析规则、数据解析、数据丰富化、自定义数据标准、自定义存储策略、数据分权、运维监控、数据流转监测、内网资产管理、关联分析及威胁感知、安全事件管理、威胁情报、重点场景分析、流量采集分析等功能。数据采集支持业内通用标准数据获取方式，获取方式不少于15种，包括TCPUDP-SyslogSFTP文件、Kafka、HDFS主机终端(Winlinux)Agent、DB2MySq1、OracleSqlserverPostgrelSNMP、Netf

21、lowWMIES、AWS等。可接入各类设备和应用系统，包含但不限于主机、服务器、防火墙、IPS/IDS、WAF,其他网络设备、其他安全设备、数据库、应用系统、中间件、存储设备、虚拟化设备、机房设备。采集监控支持监控数据源的采集情况，监控维度包括不限于解析链耗时、解析失败趋势、采集数据量监控、日志发生时间和接收时间异常监控、解析链核心字段解析情况。并支持对数据源的采集异常告警异常告警维度包括不限于解析链耗时、解析失败趋势、采集数据量监控、日志发生时间和接收时间异常监控。内置解析规则系统应预置2000条以上范式化解析规则，支持解析规则的导入导出。所有解析操作支持可视化的配置界面。数据解析支持字段解

22、析的自动化智能推荐,根据该日志数据的特点自动推荐匹配优先的对象类型，同时在字段映射时自动推荐靠前的字段类型。系统用不同的颜色提示推荐字段的匹配程度，减少人为选择的错误并提高效率。数据丰富化支持针对日志中的源地址、目的地址、主机IP、日志来源地址这四个字段，匹配系统中存储的资产信息、地理信息、网段信息，补全资产、网段数据至日志、告警中；支持配置自定义丰富化策略，指定日志中的任意字段，上传映射表，富化需要的字段。自定义数据标准应支持对象配置，支持属性、对象、事件I设备3层结构进行数据标准化。属性为最底层字段标准；一组拥有相关性的属性构成对象；一组相关性的对象构成事件和设备。属性、对象、事件I设备均

23、支持客户自定义配置。自定义存储策略支持定义日志数据存储策略，针对采集所得不同日志，可按照源目地址、名称、级别等字段进行筛选进行保存或直接丢弃。对留存的日志支持定义其留存策略，包括期望保存时间、最少保存时间、ES分片数、日志索引名称、是否开启副本等策略。数据分权数据分权:每个新的组织机构建立以后,系统自动为该组织机构分配日志、告警、安全事件、资产脆弱性的默认权限，在此基础上用户可以根据实际业务需求进行字段级别的权限细化调整。运维监控监控指标包含“引擎监控”、“组件监控”、“集群监控”、“日志采集监控”等，覆盖节点部署模块情况运行情况，支持点击下钻查看详情包括CPU、内存、网络、磁盘使用情况；支持

24、检测各业务模块运营状态，包括所属节点，运行状态，并支持根据业务组件展示核心业务指标，支持点击下钻查看详情，包括更详细的业务指标、节点运行指标。数据流转监测APl数据流转：支持APl视角的数据流转监测，通过自由缩放的画布，以流向图的方式聚合呈现APl的数据流转记录。所检测API流转过程节点包括APl根节点、APl资产节点、APl服务节点、客户端节点。数据库流转：支持以桑吉图聚合视角进行数据库流转监测，监测内容包括数据库账号、客户端IP、数据库IP、数据库名称、操作、数据表之间的关系。支持从桑吉图视角切换为数据库流向分析的详情列表,支持通过数据库用户名、客户端IP、风险等级、数据库名称、确权状态进

25、行数据库流转记录的查询。内网资产管理资产管理：支持资产信息管理，按资产组分视图展示；支持资产数据导入导出；支持资产属性字段自定义扩展；业务系统信息，支持维护的信息包括基础信息、管理信息、等保信息、关联资产等；支持关联的资产类型包括IP资产、端口服务、URL信息、域名信息；支持设置业务系统标签，通过标签进行查询资产。网段管理：支持对客户资产IP网段信息进行统一集中管理，支持网段信息展示、检索、新建、导入导出、详情、编辑、删除等功能；支持以IP值、IP区间、子网掩码、IPv6值、IPv6区间及IPv6前缀等多种模式录入IP信息；支持网段信息关联所属组织机构、安全域信息。资产拓扑管理：支持拓扑定义配

26、置的导入、导出；支持在拓扑上注资产、资产组信息。关联分析及威胁感知关联分析规则：支持内置关联分析规则；告警类型包括：扫描探测、主机异常、异常通信、漏洞攻击、运维监控、Web攻击、账号异常、网络攻击、威胁情报、恶意程序、邮件攻击、多维关联、内容安全。告警调整规则：支持配置告警调整规则，使用资产、漏洞、情报等信息对告警级别进行调整;支持在告警调整规则中配置适用该规则的威胁分析规则，支持通过类sql语法过滤适用该规则的告警；支持设置直接调整，脆弱性匹配调整，条件字段匹配调整三种告警级别调整方式，支持对告警级别上升、下降3级。支持将符合条件的告警直接调整为指定告警级别。安全事件管理安全事件：支持将安全

27、事件中所有涉及到的实体、实体之间的关系进行可视化呈现，支持通过和实体交互执行流量分析、进程树查看，SOAR预案调用等分析、响应动作。支持实体上下文信息自动化补全，上下文信息包括不限于攻击者情报、历史攻击行为，受害者资产信息等，支持直接下钻到威胁图谱和情报详情查阅;支持点击回放,按照时间顺序回放攻击过程。安全事件模型：支持自动化威胁猎捕模型，基于告警为入口触发条件的威胁场景自动溯源分析，向前向后自动抽取若干分钟、小时和天为单位的数据，聚合跨阶段展示整个威胁事件。工单管理：支持在安全事件、安全告警、资产漏洞等功能模块下研判威胁及风险时即时发起工单,并支持富文本在线编辑方式支撑工单发起人在线编辑工单

28、内容。威胁情报本地情报：支持拉取本地情报包，其中IOC情报不低于1400万，情报类型包括常规木马、僵尸网络、勒索软件、APT攻击、挖矿软件、网银木马、后门软件、窃密木马、黑客工具、扫描探测、黑灰产、可疑威胁、蠕虫病毒、隐匿追踪、DGA,其他远控等。支持情报离线更新及在线更新。支持统计情报总数、今日更新条数、IP情报总数、域名情报总数、URL情报总数、命中告警数。支持分类统计威胁情报数量及命中告警数，支持统计展示情报告警摘要、命中情报资产分布情况、命中情报安全事件级别分布、命中情报家族/团伙、情报告警趋势、情报告警信息等。重点场景分析APT防护工作台：支持APT防护专项工作台，提供APT防护专项

29、的威胁预警、环境监控、风险排查和安全事件与重要资产的实时监测。实现对系统APT风险预警、APT防御配置、APT实时监测、APT防御能力评估的一站式专项查看与管理。APT风险排查：工作台提供APT全景地图，图中支持显示包括海莲花、方程式索伦之眼等40+热点APT组织信息，通过点击交互，可弹出APT组织相关信息。流量采集分析服务商应为采购人定制开发流量采集分析分析模块,提供包括加密流量检测，支持对无密钥场景提供加密流量不解密分析能力，对解析流量支持自动提取样本所释放的衍生文件并进行检测；支持恶意代码提取，能将恶意代码反汇编成汇编代码；支持识别基于TLS指纹的加密木马的通信行为、机器算法对恶意样本的

30、分类能力。网络安全运营引擎能力T功能描述参数要求运营态势支持安全运营大屏、威胁态势大屏、资产运营大屏、指挥调度大屏、安全重保大屏、攻防演练大屏进行展示。安全运营大屏：支持总体展示安全运营情况，在安全技术体系构建方面，展示在运营商大网、企业边界、企业内网部署和应用的安全设备情况；在安全运营体系构建方面，展示安全运营团队组建情况，以及六大安全运营服务包括风险评估、威胁监测、事件研判、应急响应、攻防演练及安全重保的详细展示；在安全管理体系构建方面，展示IP资产数量及认领率、应用系统资产数量及认领率、资产风险数量及闭环率、安全培训次数、应急演练次数及安全制度体系等。威胁态势大屏：支持以地图的形式动态展

31、示出攻击路线，支持对网络内外部威胁的可视化展示，包括安全事件严重、高危、中危和低危各等级的数量及占比，攻击类型分布情况，以及受攻击单位排行和受攻击系统排行，统计一周的安全事件数量变化趋势等，也支持安全事件运营情况统计，包括安全事件研判率和处置率统计、安全事件运营过程及数量变化、事件研判结果分析及状态分布等统计。攻防演练大屏：对每次攻防演练任务进行大屏展示，可以根据不同的攻防演练任务生成特定的攻防演练大屏，展示全量包括演练周期、攻击态势、系统受攻击排名等，靶标系统信息，包括系统拓扑图、系统告警及安全事件、关联工单等情况。资产管理支持对未知资产进行闭环管理，包括未知资产的下发、认领、入库等操作。支

32、持资产检索定位功能，可以通过单个或多个IP对资产进行批量定位，包括IP资产、应用资产、办公终端资产。漏洞运营管理漏洞概览：支持展示漏洞运营整体情况，包括漏洞总数及各状态数、漏洞趋势、漏洞等级分布、漏洞闭环单位TOPI0、漏洞扫描统计数、漏洞即时率、热点漏洞展示；热点漏洞：支持定期手工录入及批量导入热点漏洞，支持下发热点漏洞处置工单至具体部门、角色及责任人，完成该漏洞闭环跟踪处置。漏洞运营：支持下发对应工单至对应责任运营人员，完成漏洞研判、验证、修复、复测多个处置环节状态跟踪，测试过程及修复方式详述，联动指挥调度工单系统，完成漏洞工单跟踪闭环。扫描器配置：支持同时对接多家厂商扫描器设备。支持动态

33、更新扫描器对接配置。扫描任务列表：支持手动创建扫描任务。支持定时、周期模式执行扫描，跟踪任务状态。支持对关联的任务工单下的资产自动匹配,完成任务创建。安全事件管理安全事件概览:支持展示安全事件数量趋势图,支持多种维度的数据统计，包括按照研判状态和处置状态的事件分布情况统计，以及支持按照研判人员和组织架构维度的事件统计。安全事件运营：支持对安全事件进行研判处置的闭环运营流程，包括但不限于研判忽略、误报、封禁IP、整改加固、应急处置等，以及一键下发处置工单，跟踪事件处置进展并完成安全事件处置闭环。指挥调度管理指挥调度数据统计可视化展示,包括指令共类别分布、平均响应时长趋势、状态分布情况、组织架构下

34、分布情况等。工单类型：支持工单类型包括但不限于安全服务类、安全事件响应处置、监测通告类、安全咨询类、资产管理类、安全组件类等，且支持两级以上的工单类型配置。网络安全运营引擎能力-2功能描述参数要求资产分析资产展示：支持卡片式展示组织架构下资产详情，包括责任人、联系方式、主机、端口、WEB、漏洞、工单、告警等信息；资产总览提供图表视图，展示主机、端口、域名等统计数据，支持自定义字段资产检索。具备攻击面管理能力，结合资产采集的数据以及企业信息，包括企业定级备案信息、IP段、企业指纹信息等方面，采用主动探测与爬虫对资产进行识别。监测分析平台支持直接接入各类告警源的告警数据并予以展示；平台内置包括规则

35、模型、关联模型、统计模型等安全分析模型，可根据用户的日志数据分析形成告警；告警监控支持查看告警的基本信息、受害者、攻击者、处置响应、举证全文信息；支持攻击链展示，能将攻击者的攻击路径以图形、文字方式进行展示，须包含攻击方式、攻击顺序、攻击时间等信息；支持告警信息联动响应中心工单模块，进行一键派单。支持行为监测能力,对入网用户进行行为监测,监测信息须包括操作时间、操作类型、操作名称、用户姓名、用户账号、资产IP、资产账号、资产名称、业务系统等。支持数据源规则管理能力，能够自定义添加、删除日志源，能够通过kafkaSySIOg等方式接入日志数据。网络安全运营引擎能力-3功能描述参数要求性能指标单节

36、点数据采集和处理性能N15000EPS,威胁告警三10G；虚拟机资源2*CPU三24核，内存三256GB,存储容量三48TB；国产化要求本次提供的软件资源能兼容国产化CPU和操作系统工作台工作台支持自定义个性化配置，支持以拖拽组件的方式进行画布页面设置，页面可选组件包括“CVE漏洞利用、SOAR、WEB安全、内网病毒、原始告警、告警监控、安全事件、安全日志、安全设备、工单、平台概览、快速搜索、持续攻击、文件分析、资产管理、风险资产”等，可选组件不少于65个。每个组件均支持点击“收藏组件”按钮进行自定义收藏。平台攻击告警可结合ATT&CK技术栈，可分为告警视角和资产视角两种视角展示，每个技术栈都

37、有清晰的描述，技术栈可切换中/英文，可勾选展示ATT&CK全部技术和子技术，匹配的攻击技术通过蓝色展示并可显示匹配的次数。菜单管理支持功能菜单全局预览，菜单名称支持匹配检索，用户可点击菜单“收藏”按钮自定义收藏菜单和查看最近访问的菜单以便快速访问；支持自定义菜单调整，可新增一级、二级菜单，支持单个菜单的编辑、重置及菜单全局重置，且同级菜单之间可调整位置。监测中心支持用户自定义配置归并场景，支持场景名称、归并条件、归并字段、场景描述的配置,其中可根据字段过滤配置归并条件;支持归并场景的开启、关闭，亦可拖动方式调整归并序列优先级顺序。告警监控功能包括：L查看告警基本信息、受害者、攻击者、处置响应、

38、举证全文。2 .受害者和攻击者信息支持ATT&CK矩阵视图，可切换中英文，布局可选侧面或下拉，可展示全部或子技术。3 .处置响应支持闭环管理，记录处置动作、告警调优、结果及全过程。4 .支持3.0倍速回溯ATT&CK技术。5 .攻击链展示攻击路径，包括方式、顺序、时间。分析中心平台内置包括规则模型、关联模型、统计模型、情报模型、Al模型等安全分析模型，用户根据实际需求对上述模型进行添加、编辑、删除、复制等；平台须具备挖矿木马、漏洞后门等常见安全漏洞的安全模型,并定期更新。安全分析模型支持自定义新增，新添加的模型可选择适用的作用域，如全局通用、单选机构，如选择单选机构即选择应用的组织架构，可通过

39、字段映射、静态值、模板、表达式等多种方式自定义分析模型的告警名称、威胁等级、告警类型、攻击链、可选字段、告警描述、处置建议等内容。满足用户对告警级别的调整,平台通过自定义配置过滤条件对告警级别进行调整，并支持选择适用不同的组织架构；告警级别支持相对级别的升降和绝对级别的高、中、低，规则可选择长期生效或定期生效。支持复杂场景下的安全建模分析的活动列表配置，支持对象列表、元素列表、动态阈值三种列表类型的新增、编辑；支持通过数据来源（手动录入、模型写入、OPENAPI）、有效时间等配置对象列表；支持通过数据来源、元素类型（数值、字符串、IP）、有效时间等配置元素列表；支持通过数据来源、数据类型等配置

40、动态阈值。原始日志和原始告警支持多种语法查询，语法至少包括但不限于AND、OR、NOT、=!=、=existnotexistin、notinStartWith、endwith,语法可任意组合并支持利用中括号和小括号的嵌套查询。支持智能检索语句分析，支持检索语句的中文、英文、拼音智能联想，支持逻辑运算符与字段值的自动提示补全；支持将检索语句一键翻译为中文，提高可读性；保留搜索语句历史记录。支持聚合场景下的四维自定义攻击流向图取证，攻击趋势取证、攻击链分布取证和实体信息取证，展示攻击者和受害者的威胁情报与资产信息，可查看会话详情，会话详情包括检测、响应等基本信息，并支持查看会话关联告警情况，及添加

41、白名单、发布预警、生成工单等操作实现实体间网络互访关系的多级钻取，支持通过端口、协议、异常访问类型、攻击链等过滤关联关系，支持实体间网络互访关系的多级钻取，通过“一键溯源”按钮进行威胁关系的自动拓展响应中心支持通过任务看板查看自动响应任务的数量、任务状态占比、任务趋势；以时间轴方式展示任务进行状态，并可查看每个阶段任务运行的详细信支持将联动设备能力封装到APP,通过导入APP的方式实现和不同产品的联动，支持设置3层递进阻断策略（如第一次阻断10分钟，第二次阻断30分钟，第三次永久阻断），支持选择多台联动设备下发阻断策略；支持查看封禁设备数、封禁IP数、自动封禁IP数、本日解禁IP数、封禁订阅规

42、则数、封禁SOAR剧本数，支持查看最近7天封禁IP趋势及防护设备封禁IP分布；支持封禁策略批量删除、解禁、导出支持联动APP导入、更新、卸载，对每类APP联动资产数进行管理统计，联动APP信息包括厂商、APP版本号、开发语言、支持设备型号、开发者、更新时间、描述信息等；支持根据APP名称、设备名称、设备标签、动作名称、动作URI、APP类型、APP状态等进行APP检索。具备联动防火墙设备的能力，能够直接封堵和解封IP,并留存操作记录。具备添加IP白名单的能力。具备创建并管理工单模板的能力，支持自定义工单模板字段和流程。具备创建工单、接单、流转、处置、结单的能力，工单中须有涉及资产信息、漏洞信息

43、、流转信息、处置信息等，支撑展示工单清单，根据工单信息检索相应工单。运营中心情报源管理：1 .支持对接威胁情报中心，可离线或在线更新情报。2 .可查看情报源的有效情报数、更新条数、时间、今日昨日更新数。3 .支持APP导入第三方情报平台，如奇安信、天翼安全、微步等。4 .支持设置情报接口，包括查询、IP和域名碰撞，以及请求频率限制。为满足个性化展示或统计需求，支持图表管理，包括图表的新增、导出（至少支持YAML、PDF、WORD、CSV等四种格式）、导入、删除、预览、编辑、复制等；支持定义图表的私有或公有权限，支持根据数据类型、图表类型、时间范围、数据配置等进行图表配置，其中数据类型至少支持原

44、始告警、归并告警、活动列表等8种类型，图表类型至少支持列表、柱状图、热图、大字报等10种类型，数据配置支持通过多种语法设置过滤条件、设置统计方法、数据获取顺序等。支持工作台与自定义图表关联，可将自定义图表作为工作台组件使用。支持选择生成报告的时间范围、显示TOP、导出文件类型、报告名称；支持自定义报告统计条件，包括统计业务范围、威胁等级、处置状态、告警结果等；报告统计内容支持自定义选择，包括重点安全风险、专家建议和指导、平台运行优化建议、详细检查结果和修复建议；支持已导出的历史报告WORD和Html支持在线编辑。具备平台知识库，提供平台基础功能的使用说明、标准化使用流程，各类安全事件的应急指南

45、，可上传分享各类经验文档、培训材料。具备重保值班模块，可上传、编辑、查看值班组人员信息；可进行值班管理，自定义添加或通过表格导入排班表；具备值班人员值班提醒功能。资产中心支持人工录入、流量自动发现、主动扫描发现、EDR同步、WEB自动发现、物联网同步等不少于5种的资产数据接入方式;流量自动发现方式能自动识别资产类型，如Web服务器、DNS服务器、邮件服务器、FTP文件服务器等多种类型资产，支持Web业务系统自动发现；支持批量确认流量发现的资产；支持提供资产同步标准化接口，支持第三方通过自定义设置同步数据源进行资产同步。安全设备资产管理支持一键访问设备的管理界面、大屏投屏演示及设备原始日志，支持

46、查看设备在线状态；提供未知安全设备发现功能,可自动识别安全设备的设备地址、设备名称、产品名称、来源方式等,支持对设备归属组织架构及设备类型进行的修改。资产详情可发现终端基础信息、监听端口、软件信息、账号信息、运行进程，其中终端基础信息可进行自定义字段增加，以满足用户对终端多样化属性的要求，新增字段可同步至检索条件用于终端检索。可根据总部、部门、平台节点等方式划分组织架构，组织架构可分为普通节点、机构节点、平台节点等，并支持同级别组织架构拖动调整，普通节点包含了组织名称、单位地址、安全域等基础信息，机构节点可关联管理接入的数据源、并可展示接入的数据源活跃状态，未挂载数据源发送的数据将不做入库、分

47、析、识别、检测。支持任意两天的历史风险资产对比，对比风险资产评级变化、资产评分变化，历史风险资产对比数据，包括：新增、变动、修复、不变、风险上升、风险下降，以及维持不变。级联管理1、多级部署，组织架构为树形结构，支持多级管理NIO级；2、混合部署，相同网络多级组织，支持同一局域网根据IP段划分组织，跨网络多级组织，支持具备相同私网地址存在IP冲突组织管理，支持两者混合组织部署管理；3、支持XX省XX委对下级单位组织架构、资产、告警、内部IP、安全域名等进行独立管理，支持对下级告警数据的搜索查询；4、支持XX省XX委对上级单位的上报数据配置，包括组织架构、资产、告警、内部IP、安全域；支持对下级单位接入状态管理；5、支持XX省XX委对下级下发通报，支持上下级平台工单流；6、支持XX省XX委采集省本级节点和下属32个分支节点的威胁告警信息，采集的数据可上报省级平台，进行一体化分析管理。配合要求服务商需配合采购人完成以上功能实现的硬件环境配置，24.