8

网络流量探针

1、2U标准机架设备，2*CPU * 逻辑核，内存 * G， * G SSD硬盘， * T SATA硬盘，千兆电口2个，扩展插槽4个（支持扩展千兆电口、千兆光口、万兆光口），提供2*USB 2.0接口、1*Console接口、1*IPMI接口，冗余交流电源； (略) 理能力≥ * EPS。

2、监测范围包 (略) 络安全设备、网络设备、数据库、中间件、操作系统、应用系统等，数据采集方式包括但不限于SYSLOG、SNMP/SNMP TRAP、FTP/SFTP、HTTP、API接口、WebService、专用Agent等方式。

★3、平台应支持内置 * +设备日志解析规则查看以及筛选，包 (略) 络设备（防火墙、交换机、网关）、安全设备（入侵检测设备、WEB攻击防护设备、APT检测设备、防火墙、网络审计、流量探针等）、终端主机日志、数据库等。

4、平台应支持界面化配置规范化规则采集第 * 方日志实现异构日志格式归 * 化。解析规则支持正则表达式等前置过滤方式及json、kv、csv、正则表达式类型的解析规则，支持界面划取字段配置、多级解析提取嵌套字段、配置规范化规则对解析提 (略) 字段类型、名称、取值规范化。

5、平台应支持对 (略) 判定并提供失陷资产的判定依据，包括但不限于失陷资产概要信息、攻击结果、攻击链分布阶段、失陷资产的攻击过程及过程判定依据如攻击特征、流量上下文、关联的告警日志及流量日志以及pcap包下载，并可快速扩展该失 (略) 攻击事件以及该失陷资产攻击者发起的攻击、该失陷资产的同类型威胁事件。

6、平台应支持专家模式的自定义规则， (略) 为分析、多源关联分析、机器学习等多种分析模式，同时可按需自定义生成的事件模版信息如威胁等级、攻击链阶段、事件类型、攻击意图等。

7、平台应支持资产发现能力，具备主动扫描发现资产的能力，主动扫描支持联动漏扫设备下发资产扫描策略并上报扫描结果；支持资产稽查比对，对于实时发现资产和已有资产库资产比对分析资产新增、变更、减少的情况，并支持对资产 (略) 处理，可选择入库或者丢弃。

8、平台应支持漏洞扫描结果手动和自动验证能力， (略) (略) (略) 验证扫描，支 (略) 置；支持漏洞扫描结果自 (略) 置单的能力， (略) (略) 理， (略) 置单状态包括：新增、待修复、已修复、已验证、单次忽略、永久忽略。

9、支持接入入侵防护日志、应用管理日志、认证日志、防病毒日志、数据防泄漏日志、Web安全日志、运行日志、高级威胁日志、url过滤日志、VPN日志、waf日志、内容审计日志、数据库审计日志等，并可以实现从攻击者视角呈现攻击拓扑及攻击分析结果和从受害者视角呈现被攻击拓扑及攻击分析结果。

* 、平台 (略) 署的web应用防火墙，实现对客户 (略) (略) (略) 扫描， (略) 资产备案情况，及时识别未备案的资产情况。

* 、具备情报预警功能，实现情报和资产的关联分析生成威胁预警、漏洞预警，实现预警发布时的邮件通知/短信通知，支持预警的手工录入，形成有效警示作用。

* 、平台应支持基于全 (略) 流量纬度的可视化统计，包括流量趋势、应用分布、主机流量、端口访问、境外访问、主机外联、域名访问、DNS请求、高频访问页面、低频访问TOP * 。

* 、平台应支持界面查看热点事件情报以及配置热点情报预警预警，支持界面配置关心的情报关键词和预警邮箱，当收到事件情报更新时自动匹配关键词，如果匹配中，触发预警发送邮件。

* 、平台可联动本次采购的入侵检测系统，支持可视化展示运维事件详情，包括但不限于：事件关键属性如攻击结果、响应码、 (略) 置建议、攻击类型、原目的IP端口等，攻击长镜头、攻击时序过程及攻击载荷、流量上下文、告警日志、关联的会话日志流量日志、情报命中信息以及可快捷扩展调查同类型或者同IP或同资产的相关运维事件，攻击者使用的ATT&CK中定义的战术及技术， (略) 置建议等，支持攻击证据如攻击载荷、流量取证PCAP包导出，并支持运维事件详情报告的导出下载。

* 、平台应支持针对IP、域名、 (略) 封堵，支持主机隔离、流量牵引等方式 (略) 封堵，设备类型包括但不限于防火墙、抗拒绝服务系统、WEB应用防火墙、网络流量探针等；支持封堵状态获取及查看，支持判断封堵成功、封堵失败、解封成功、解封失败等状态；

* 、平台支持安全治理能力，能够结合环境数据自动化评估安全治理等级和评分，安全治理等级应包括优、良、待改进 * 级，总评分应充分结合建设情况指标、运行能力指标、安全态势指标、合规指标等加权计算得到。

9

网络态势感知设备

1、硬件要求：标准机架尺寸，含交流电源，1个RJ * 串口，1个RJ * 带外管理口，2个USB接口，4个GE电口（内置电口Bypass）,1个额外接口扩展插槽，1T硬盘；

2、产品性能：网络层吞吐不低于3Gbps，应用层吞吐量不低于 * M，最大并发不少于 * 万，每秒新建不少于3万。

3、系统应提供覆盖广泛的攻击特征库， (略) 络病毒、蠕虫、间谍软件、木马后门、 扫描探测、暴力破解等 (略) 检测和阻断，攻击特征库数量至少为 * 种以上，应能够有效抵御SQL注入等多种常见的应用层安全威胁。

4、入侵检测：系统应支持多种抗逃避检测技术，系统 (略) 为特征的自定义接口，可根据用户需求定制相应的检测和阻断规则，系统应能够有效抵御SQL注入等多种常见的应用层安全威胁，系统应提供DoS/DDoS攻击检测能力，支持TCP/UDP/ICMP/ACK Flooding，以及UDP/ICMP Smurfing等常见的DoS/DDoS的攻击。

5、高级威胁检测：系统应提供服务器异常告警功能，可以自学习服务 (略) 为，并以此 (略) 服务 (略) 为，系统应提供敏感数据外发的检测功能，能够识别通过自身的敏感数据信息（身份证号、银行卡、手机号等）。

6、系统应提供关键文件外发检测功能，能够识别通过自身的关键文件，以防 (略) 为。能识别的关键文件类型应包含至少以下几类：文档类如Excel、PDF、PowerPoint、Word等，压缩文件类如CAB、GZIP、RAR、ZIP、JAR等，图像类如BMP、GIF、JPEG等，音频视频类如MP3、AVI、MKV、MP4、MPEG、WMV等，脚本类如BAT、CMD、WSF等，程序类如APK、DLL、EXE、JAVA_CLASS等。

7、系统应提供基于 (略) 络检测能力，具备可以持续升级的信誉库，IDS通过信誉 (略) 站IP、C&C服务器地址 (略) 相应的检测动作。

8、系统应提供Web信誉机制，在用户访问被植入木马的页面时，给予及时检测，协助管理员有效识别Web安全威胁。

9、系统支持URL分类库， (略) 页过滤数据库，实现高风险、 (略) 过滤。

* 、为方便运维管理员 (略) 机器， (略) 风险有效管理和屏蔽，要求入侵检测系统可识 (略) 主机的接入数量和资产属性， (略) 主机的操作系统、应用类型、浏览器等信息。

* 、系统应提供丰富的报表功能，支持TopN事件、TopN源地址、TopN目的地址、TopN服务、事件类型分布与趋势、危险程度分类统计与趋势、风险级别统计与趋势以及交叉报表等多种报表模板；为便于分析，还应支持用户自定义报表模版，能够按照用户需求生成各种风格的统计报表。

* 、系统应提供服务器异常告警功能，可以自学习服务 (略) 为，并以此 (略) 服务 (略) 为。

8

网络态势感知设备

1、2U标准机架设备，2*CPU * 逻辑核，内存 * G， * G SSD硬盘， * T SATA硬盘，千兆电口2个，扩展插槽4个（支持扩展千兆电口、千兆光口、万兆光口），提供2*USB 2.0接口、1*Console接口、1*IPMI接口，冗余交流电源； (略) 理能力≥ * EPS。

2、监测范围包 (略) 络安全设备、网络设备、数据库、中间件、操作系统、应用系统等，数据采集方式包括但不限于SYSLOG、SNMP/SNMP TRAP、FTP/SFTP、HTTP、API接口、WebService、专用Agent等方式。

★3、平台应支持内置 * +设备日志解析规则查看以及筛选，包 (略) 络设备（防火墙、交换机、网关）、安全设备（入侵检测设备、WEB攻击防护设备、APT检测设备、防火墙、网络审计、流量探针等）、终端主机日志、数据库等。

4、平台应支持界面化配置规范化规则采集第 * 方日志实现异构日志格式归 * 化。解析规则支持正则表达式等前置过滤方式及json、kv、csv、正则表达式类型的解析规则，支持界面划取字段配置、多级解析提取嵌套字段、配置规范化规则对解析提 (略) 字段类型、名称、取值规范化。

5、平台应支持对 (略) 判定并提供失陷资产的判定依据，包括但不限于失陷资产概要信息、攻击结果、攻击链分布阶段、失陷资产的攻击过程及过程判定依据如攻击特征、流量上下文、关联的告警日志及流量日志以及pcap包下载，并可快速扩展该失 (略) 攻击事件以及该失陷资产攻击者发起的攻击、该失陷资产的同类型威胁事件。

6、平台应支持专家模式的自定义规则， (略) 为分析、多源关联分析、机器学习等多种分析模式，同时可按需自定义生成的事件模版信息如威胁等级、攻击链阶段、事件类型、攻击意图等。

7、平台应支持资产发现能力，具备主动扫描发现资产的能力，主动扫描支持联动漏扫设备下发资产扫描策略并上报扫描结果；支持资产稽查比对，对于实时发现资产和已有资产库资产比对分析资产新增、变更、减少的情况，并支持对资产 (略) 处理，可选择入库或者丢弃。

8、平台应支持漏洞扫描结果手动和自动验证能力， (略) (略) (略) 验证扫描，支 (略) 置；支持漏洞扫描结果自 (略) 置单的能力， (略) (略) 理， (略) 置单状态包括：新增、待修复、已修复、已验证、单次忽略、永久忽略。

9、支持接入入侵防护日志、应用管理日志、认证日志、防病毒日志、数据防泄漏日志、Web安全日志、运行日志、高级威胁日志、url过滤日志、VPN日志、waf日志、内容审计日志、数据库审计日志等，并可以实现从攻击者视角呈现攻击拓扑及攻击分析结果和从受害者视角呈现被攻击拓扑及攻击分析结果。

* 、平台 (略) 署的web应用防火墙，实现对客户 (略) (略) (略) 扫描， (略) 资产备案情况，及时识别未备案的资产情况。

* 、具备情报预警功能，实现情报和资产的关联分析生成威胁预警、漏洞预警，实现预警发布时的邮件通知/短信通知，支持预警的手工录入，形成有效警示作用。

* 、平台应支持基于全 (略) 流量纬度的可视化统计，包括流量趋势、应用分布、主机流量、端口访问、境外访问、主机外联、域名访问、DNS请求、高频访问页面、低频访问TOP * 。

* 、平台应支持界面查看热点事件情报以及配置热点情报预警预警，支持界面配置关心的情报关键词和预警邮箱，当收到事件情报更新时自动匹配关键词，如果匹配中，触发预警发送邮件。

* 、平台可联动本次采购的入侵检测系统，支持可视化展示运维事件详情，包括但不限于：事件关键属性如攻击结果、响应码、 (略) 置建议、攻击类型、原目的IP端口等，攻击长镜头、攻击时序过程及攻击载荷、流量上下文、告警日志、关联的会话日志流量日志、情报命中信息以及可快捷扩展调查同类型或者同IP或同资产的相关运维事件，攻击者使用的ATT&CK中定义的战术及技术， (略) 置建议等，支持攻击证据如攻击载荷、流量取证PCAP包导出，并支持运维事件详情报告的导出下载。

* 、平台应支持针对IP、域名、 (略) 封堵，支持主机隔离、流量牵引等方式 (略) 封堵，设备类型包括但不限于防火墙、抗拒绝服务系统、WEB应用防火墙、网络流量探针等；支持封堵状态获取及查看，支持判断封堵成功、封堵失败、解封成功、解封失败等状态；

* 、平台支持安全治理能力，能够结合环境数据自动化评估安全治理等级和评分，安全治理等级应包括优、良、待改进 * 级，总评分应充分结合建设情况指标、运行能力指标、安全态势指标、合规指标等加权计算得到。

9

网络流量探针

1、硬件要求：标准机架尺寸，含交流电源，1个RJ * 串口，1个RJ * 带外管理口，2个USB接口，4个GE电口（内置电口Bypass）,1个额外接口扩展插槽，1T硬盘；

2、产品性能：网络层吞吐不低于3Gbps，应用层吞吐量不低于 * M，最大并发不少于 * 万，每秒新建不少于3万。

3、系统应提供覆盖广泛的攻击特征库， (略) 络病毒、蠕虫、间谍软件、木马后门、 扫描探测、暴力破解等 (略) 检测和阻断，攻击特征库数量至少为 * 种以上，应能够有效抵御SQL注入等多种常见的应用层安全威胁。

4、入侵检测：系统应支持多种抗逃避检测技术，系统 (略) 为特征的自定义接口，可根据用户需求定制相应的检测和阻断规则，系统应能够有效抵御SQL注入等多种常见的应用层安全威胁，系统应提供DoS/DDoS攻击检测能力，支持TCP/UDP/ICMP/ACK Flooding，以及UDP/ICMP Smurfing等常见的DoS/DDoS的攻击。

5、高级威胁检测：系统应提供服务器异常告警功能，可以自学习服务 (略) 为，并以此 (略) 服务 (略) 为，系统应提供敏感数据外发的检测功能，能够识别通过自身的敏感数据信息（身份证号、银行卡、手机号等）。

6、系统应提供关键文件外发检测功能，能够识别通过自身的关键文件，以防 (略) 为。能识别的关键文件类型应包含至少以下几类：文档类如Excel、PDF、PowerPoint、Word等，压缩文件类如CAB、GZIP、RAR、ZIP、JAR等，图像类如BMP、GIF、JPEG等，音频视频类如MP3、AVI、MKV、MP4、MPEG、WMV等，脚本类如BAT、CMD、WSF等，程序类如APK、DLL、EXE、JAVA_CLASS等。

7、系统应提供基于 (略) 络检测能力，具备可以持续升级的信誉库，IDS通过信誉 (略) 站IP、C&C服务器地址 (略) 相应的检测动作。

8、系统应提供Web信誉机制，在用户访问被植入木马的页面时，给予及时检测，协助管理员有效识别Web安全威胁。

9、系统支持URL分类库， (略) 页过滤数据库，实现高风险、 (略) 过滤。

* 、为方便运维管理员 (略) 机器， (略) 风险有效管理和屏蔽，要求入侵检测系统可识 (略) 主机的接入数量和资产属性， (略) 主机的操作系统、应用类型、浏览器等信息。

* 、系统应提供丰富的报表功能，支持TopN事件、TopN源地址、TopN目的地址、TopN服务、事件类型分布与趋势、危险程度分类统计与趋势、风险级别统计与趋势以及交叉报表等多种报表模板；为便于分析，还应支持用户自定义报表模版，能够按照用户需求生成各种风格的统计报表。

* 、系统应提供服务器异常告警功能，可以自学习服务 (略) 为，并以此 (略) 服务 (略) 为。

8

网络流量探针

1、2U标准机架设备，2*CPU * 逻辑核，内存 * G， * G SSD硬盘， * T SATA硬盘，千兆电口2个，扩展插槽4个（支持扩展千兆电口、千兆光口、万兆光口），提供2*USB 2.0接口、1*Console接口、1*IPMI接口，冗余交流电源； (略) 理能力≥ * EPS。

2、监测范围包 (略) 络安全设备、网络设备、数据库、中间件、操作系统、应用系统等，数据采集方式包括但不限于SYSLOG、SNMP/SNMP TRAP、FTP/SFTP、HTTP、API接口、WebService、专用Agent等方式。

★3、平台应支持内置 * +设备日志解析规则查看以及筛选，包 (略) 络设备（防火墙、交换机、网关）、安全设备（入侵检测设备、WEB攻击防护设备、APT检测设备、防火墙、网络审计、流量探针等）、终端主机日志、数据库等。

4、平台应支持界面化配置规范化规则采集第 * 方日志实现异构日志格式归 * 化。解析规则支持正则表达式等前置过滤方式及json、kv、csv、正则表达式类型的解析规则，支持界面划取字段配置、多级解析提取嵌套字段、配置规范化规则对解析提 (略) 字段类型、名称、取值规范化。

5、平台应支持对 (略) 判定并提供失陷资产的判定依据，包括但不限于失陷资产概要信息、攻击结果、攻击链分布阶段、失陷资产的攻击过程及过程判定依据如攻击特征、流量上下文、关联的告警日志及流量日志以及pcap包下载，并可快速扩展该失 (略) 攻击事件以及该失陷资产攻击者发起的攻击、该失陷资产的同类型威胁事件。

6、平台应支持专家模式的自定义规则， (略) 为分析、多源关联分析、机器学习等多种分析模式，同时可按需自定义生成的事件模版信息如威胁等级、攻击链阶段、事件类型、攻击意图等。

7、平台应支持资产发现能力，具备主动扫描发现资产的能力，主动扫描支持联动漏扫设备下发资产扫描策略并上报扫描结果；支持资产稽查比对，对于实时发现资产和已有资产库资产比对分析资产新增、变更、减少的情况，并支持对资产 (略) 处理，可选择入库或者丢弃。

8、平台应支持漏洞扫描结果手动和自动验证能力， (略) (略) (略) 验证扫描，支 (略) 置；支持漏洞扫描结果自 (略) 置单的能力， (略) (略) 理， (略) 置单状态包括：新增、待修复、已修复、已验证、单次忽略、永久忽略。

9、支持接入入侵防护日志、应用管理日志、认证日志、防病毒日志、数据防泄漏日志、Web安全日志、运行日志、高级威胁日志、url过滤日志、VPN日志、waf日志、内容审计日志、数据库审计日志等，并可以实现从攻击者视角呈现攻击拓扑及攻击分析结果和从受害者视角呈现被攻击拓扑及攻击分析结果。

* 、平台 (略) 署的web应用防火墙，实现对客户 (略) (略) (略) 扫描， (略) 资产备案情况，及时识别未备案的资产情况。

* 、具备情报预警功能，实现情报和资产的关联分析生成威胁预警、漏洞预警，实现预警发布时的邮件通知/短信通知，支持预警的手工录入，形成有效警示作用。

* 、平台应支持基于全 (略) 流量纬度的可视化统计，包括流量趋势、应用分布、主机流量、端口访问、境外访问、主机外联、域名访问、DNS请求、高频访问页面、低频访问TOP * 。

* 、平台应支持界面查看热点事件情报以及配置热点情报预警预警，支持界面配置关心的情报关键词和预警邮箱，当收到事件情报更新时自动匹配关键词，如果匹配中，触发预警发送邮件。

* 、平台可联动本次采购的入侵检测系统，支持可视化展示运维事件详情，包括但不限于：事件关键属性如攻击结果、响应码、 (略) 置建议、攻击类型、原目的IP端口等，攻击长镜头、攻击时序过程及攻击载荷、流量上下文、告警日志、关联的会话日志流量日志、情报命中信息以及可快捷扩展调查同类型或者同IP或同资产的相关运维事件，攻击者使用的ATT&CK中定义的战术及技术， (略) 置建议等，支持攻击证据如攻击载荷、流量取证PCAP包导出，并支持运维事件详情报告的导出下载。

* 、平台应支持针对IP、域名、 (略) 封堵，支持主机隔离、流量牵引等方式 (略) 封堵，设备类型包括但不限于防火墙、抗拒绝服务系统、WEB应用防火墙、网络流量探针等；支持封堵状态获取及查看，支持判断封堵成功、封堵失败、解封成功、解封失败等状态；

* 、平台支持安全治理能力，能够结合环境数据自动化评估安全治理等级和评分，安全治理等级应包括优、良、待改进 * 级，总评分应充分结合建设情况指标、运行能力指标、安全态势指标、合规指标等加权计算得到。

9

网络态势感知设备

1、硬件要求：标准机架尺寸，含交流电源，1个RJ * 串口，1个RJ * 带外管理口，2个USB接口，4个GE电口（内置电口Bypass）,1个额外接口扩展插槽，1T硬盘；

2、产品性能：网络层吞吐不低于3Gbps，应用层吞吐量不低于 * M，最大并发不少于 * 万，每秒新建不少于3万。

3、系统应提供覆盖广泛的攻击特征库， (略) 络病毒、蠕虫、间谍软件、木马后门、 扫描探测、暴力破解等 (略) 检测和阻断，攻击特征库数量至少为 * 种以上，应能够有效抵御SQL注入等多种常见的应用层安全威胁。

4、入侵检测：系统应支持多种抗逃避检测技术，系统 (略) 为特征的自定义接口，可根据用户需求定制相应的检测和阻断规则，系统应能够有效抵御SQL注入等多种常见的应用层安全威胁，系统应提供DoS/DDoS攻击检测能力，支持TCP/UDP/ICMP/ACK Flooding，以及UDP/ICMP Smurfing等常见的DoS/DDoS的攻击。

5、高级威胁检测：系统应提供服务器异常告警功能，可以自学习服务 (略) 为，并以此 (略) 服务 (略) 为，系统应提供敏感数据外发的检测功能，能够识别通过自身的敏感数据信息（身份证号、银行卡、手机号等）。

6、系统应提供关键文件外发检测功能，能够识别通过自身的关键文件，以防 (略) 为。能识别的关键文件类型应包含至少以下几类：文档类如Excel、PDF、PowerPoint、Word等，压缩文件类如CAB、GZIP、RAR、ZIP、JAR等，图像类如BMP、GIF、JPEG等，音频视频类如MP3、AVI、MKV、MP4、MPEG、WMV等，脚本类如BAT、CMD、WSF等，程序类如APK、DLL、EXE、JAVA_CLASS等。

7、系统应提供基于 (略) 络检测能力，具备可以持续升级的信誉库，IDS通过信誉 (略) 站IP、C&C服务器地址 (略) 相应的检测动作。

8、系统应提供Web信誉机制，在用户访问被植入木马的页面时，给予及时检测，协助管理员有效识别Web安全威胁。

9、系统支持URL分类库， (略) 页过滤数据库，实现高风险、 (略) 过滤。

* 、为方便运维管理员 (略) 机器， (略) 风险有效管理和屏蔽，要求入侵检测系统可识 (略) 主机的接入数量和资产属性， (略) 主机的操作系统、应用类型、浏览器等信息。

* 、系统应提供丰富的报表功能，支持TopN事件、TopN源地址、TopN目的地址、TopN服务、事件类型分布与趋势、危险程度分类统计与趋势、风险级别统计与趋势以及交叉报表等多种报表模板；为便于分析，还应支持用户自定义报表模版，能够按照用户需求生成各种风格的统计报表。

* 、系统应提供服务器异常告警功能，可以自学习服务 (略) 为，并以此 (略) 服务 (略) 为。

8

网络态势感知设备

1、2U标准机架设备，2*CPU * 逻辑核，内存 * G， * G SSD硬盘， * T SATA硬盘，千兆电口2个，扩展插槽4个（支持扩展千兆电口、千兆光口、万兆光口），提供2*USB 2.0接口、1*Console接口、1*IPMI接口，冗余交流电源； (略) 理能力≥ * EPS。

2、监测范围包 (略) 络安全设备、网络设备、数据库、中间件、操作系统、应用系统等，数据采集方式包括但不限于SYSLOG、SNMP/SNMP TRAP、FTP/SFTP、HTTP、API接口、WebService、专用Agent等方式。

★3、平台应支持内置 * +设备日志解析规则查看以及筛选，包 (略) 络设备（防火墙、交换机、网关）、安全设备（入侵检测设备、WEB攻击防护设备、APT检测设备、防火墙、网络审计、流量探针等）、终端主机日志、数据库等。

4、平台应支持界面化配置规范化规则采集第 * 方日志实现异构日志格式归 * 化。解析规则支持正则表达式等前置过滤方式及json、kv、csv、正则表达式类型的解析规则，支持界面划取字段配置、多级解析提取嵌套字段、配置规范化规则对解析提 (略) 字段类型、名称、取值规范化。

5、平台应支持对 (略) 判定并提供失陷资产的判定依据，包括但不限于失陷资产概要信息、攻击结果、攻击链分布阶段、失陷资产的攻击过程及过程判定依据如攻击特征、流量上下文、关联的告警日志及流量日志以及pcap包下载，并可快速扩展该失 (略) 攻击事件以及该失陷资产攻击者发起的攻击、该失陷资产的同类型威胁事件。

6、平台应支持专家模式的自定义规则， (略) 为分析、多源关联分析、机器学习等多种分析模式，同时可按需自定义生成的事件模版信息如威胁等级、攻击链阶段、事件类型、攻击意图等。

7、平台应支持资产发现能力，具备主动扫描发现资产的能力，主动扫描支持联动漏扫设备下发资产扫描策略并上报扫描结果；支持资产稽查比对，对于实时发现资产和已有资产库资产比对分析资产新增、变更、减少的情况，并支持对资产 (略) 处理，可选择入库或者丢弃。

8、平台应支持漏洞扫描结果手动和自动验证能力， (略) (略) (略) 验证扫描，支 (略) 置；支持漏洞扫描结果自 (略) 置单的能力， (略) (略) 理， (略) 置单状态包括：新增、待修复、已修复、已验证、单次忽略、永久忽略。

9、支持接入入侵防护日志、应用管理日志、认证日志、防病毒日志、数据防泄漏日志、Web安全日志、运行日志、高级威胁日志、url过滤日志、VPN日志、waf日志、内容审计日志、数据库审计日志等，并可以实现从攻击者视角呈现攻击拓扑及攻击分析结果和从受害者视角呈现被攻击拓扑及攻击分析结果。

* 、平台 (略) 署的web应用防火墙，实现对客户 (略) (略) (略) 扫描， (略) 资产备案情况，及时识别未备案的资产情况。

* 、具备情报预警功能，实现情报和资产的关联分析生成威胁预警、漏洞预警，实现预警发布时的邮件通知/短信通知，支持预警的手工录入，形成有效警示作用。

* 、平台应支持基于全 (略) 流量纬度的可视化统计，包括流量趋势、应用分布、主机流量、端口访问、境外访问、主机外联、域名访问、DNS请求、高频访问页面、低频访问TOP * 。

* 、平台应支持界面查看热点事件情报以及配置热点情报预警预警，支持界面配置关心的情报关键词和预警邮箱，当收到事件情报更新时自动匹配关键词，如果匹配中，触发预警发送邮件。

* 、平台可联动本次采购的入侵检测系统，支持可视化展示运维事件详情，包括但不限于：事件关键属性如攻击结果、响应码、 (略) 置建议、攻击类型、原目的IP端口等，攻击长镜头、攻击时序过程及攻击载荷、流量上下文、告警日志、关联的会话日志流量日志、情报命中信息以及可快捷扩展调查同类型或者同IP或同资产的相关运维事件，攻击者使用的ATT&CK中定义的战术及技术， (略) 置建议等，支持攻击证据如攻击载荷、流量取证PCAP包导出，并支持运维事件详情报告的导出下载。

* 、平台应支持针对IP、域名、 (略) 封堵，支持主机隔离、流量牵引等方式 (略) 封堵，设备类型包括但不限于防火墙、抗拒绝服务系统、WEB应用防火墙、网络流量探针等；支持封堵状态获取及查看，支持判断封堵成功、封堵失败、解封成功、解封失败等状态；

* 、平台支持安全治理能力，能够结合环境数据自动化评估安全治理等级和评分，安全治理等级应包括优、良、待改进 * 级，总评分应充分结合建设情况指标、运行能力指标、安全态势指标、合规指标等加权计算得到。

9

网络流量探针

1、硬件要求：标准机架尺寸，含交流电源，1个RJ * 串口，1个RJ * 带外管理口，2个USB接口，4个GE电口（内置电口Bypass）,1个额外接口扩展插槽，1T硬盘；

2、产品性能：网络层吞吐不低于3Gbps，应用层吞吐量不低于 * M，最大并发不少于 * 万，每秒新建不少于3万。

3、系统应提供覆盖广泛的攻击特征库， (略) 络病毒、蠕虫、间谍软件、木马后门、 扫描探测、暴力破解等 (略) 检测和阻断，攻击特征库数量至少为 * 种以上，应能够有效抵御SQL注入等多种常见的应用层安全威胁。

4、入侵检测：系统应支持多种抗逃避检测技术，系统 (略) 为特征的自定义接口，可根据用户需求定制相应的检测和阻断规则，系统应能够有效抵御SQL注入等多种常见的应用层安全威胁，系统应提供DoS/DDoS攻击检测能力，支持TCP/UDP/ICMP/ACK Flooding，以及UDP/ICMP Smurfing等常见的DoS/DDoS的攻击。

5、高级威胁检测：系统应提供服务器异常告警功能，可以自学习服务 (略) 为，并以此 (略) 服务 (略) 为，系统应提供敏感数据外发的检测功能，能够识别通过自身的敏感数据信息（身份证号、银行卡、手机号等）。

6、系统应提供关键文件外发检测功能，能够识别通过自身的关键文件，以防 (略) 为。能识别的关键文件类型应包含至少以下几类：文档类如Excel、PDF、PowerPoint、Word等，压缩文件类如CAB、GZIP、RAR、ZIP、JAR等，图像类如BMP、GIF、JPEG等，音频视频类如MP3、AVI、MKV、MP4、MPEG、WMV等，脚本类如BAT、CMD、WSF等，程序类如APK、DLL、EXE、JAVA_CLASS等。

7、系统应提供基于 (略) 络检测能力，具备可以持续升级的信誉库，IDS通过信誉 (略) 站IP、C&C服务器地址 (略) 相应的检测动作。

8、系统应提供Web信誉机制，在用户访问被植入木马的页面时，给予及时检测，协助管理员有效识别Web安全威胁。

9、系统支持URL分类库， (略) 页过滤数据库，实现高风险、 (略) 过滤。

* 、为方便运维管理员 (略) 机器， (略) 风险有效管理和屏蔽，要求入侵检测系统可识 (略) 主机的接入数量和资产属性， (略) 主机的操作系统、应用类型、浏览器等信息。

* 、系统应提供丰富的报表功能，支持TopN事件、TopN源地址、TopN目的地址、TopN服务、事件类型分布与趋势、危险程度分类统计与趋势、风险级别统计与趋势以及交叉报表等多种报表模板；为便于分析，还应支持用户自定义报表模版，能够按照用户需求生成各种风格的统计报表。

* 、系统应提供服务器异常告警功能，可以自学习服务 (略) 为，并以此 (略) 服务 (略) 为。