建设内容

描述

态势感知

标准1U架构设备，设备接口：6个千兆电口，1个串口，6个USB口；

CPU：4核，物理内存≥ * G，系统盘≥ * G SSD盘，

硬盘容量≥ * TB。

支持DNSFlow分析引擎，利用机器学习算法结合威胁情报，能够从大量 (略) 学习，总结其伪装的规律，从而发现伪装的恶意DNS协议

支持SMBFlow分析引擎，利用机器学习技术,发现主机传输可疑文件、 (略) 为、文件或关键目录 (略) 为以及SMB暴力破解等。

支持NetFlow分析引擎，利用UEBA方式来检测服务器外发异常，包括 (略) DoS攻击、 (略) 的横向探测：如IP扫描、端口扫描、数据收集（如到其他服务器下载）或数据传输（将数据传给其他 (略) ）。  

包含3年维保及特征库升级。

探针：产品为标准1U机架式设备，需满足多核X * 架构。标配4个千兆电口，2个千兆光口，并含2个高速USB2.0接口，1个RJ * 串口，硬盘容量≥ * GB SSD

性能配置需满足：带宽性能≥1Gbps

要求项

具体要求参数

基本要求

产品形态

* 体化提供数据 (略) (略) 有硬件设备资源和软件功能模块；

为节省机柜 (略) 署上线，要求硬件设备数量≤2台；

配置与性能

平台硬件服务器配置：   2路E5 * (略) 理器配置 ，内存≥ * GB，配置企业级存储磁盘总容量≥ * TB（或磁盘可用容量≥ * TB）；

支持≥ * 个平台用户并发在线。

数据类型

支持通过多种类型的安全、泛安全类数据接入采集，应包括但不限于设备日志数据、流量数据、弱点漏洞数据、系统性能数据、威胁情报数据、资产人员等数据；

支持通过流量采集设备接入全流量数据，包含流量中的请求包和返回包等信息，并可在数据检索中体现包信息；

支持接入文本格式、CVS等格式的文件数据，可通过模板文件的填写导入实现资产数据的导入和管理；

支持通过云端对接、本地导入或手动编辑的方式，接入威胁情报数据。

日志采集解析

日志采集方式应支持但不限于syslog、kafka、ftp、部署agent代理等4种方式；

要求配置采集异构设备的日志数据功能，实现包括但不限于安全类、网络类、应用服务器类、操作系统类等至少4大类、 * 种设备的日志接入采集；

支持接入应用服务器的性能类数据，包括但不限于CPU、内存和磁盘的使用状态数据；

内置解 (略) 商> * 家，支持解析日志设备型号> * 种；

无需配置解析规则与设备日志对应关系，自动完成解析。

安全检测能力

安全事件检测

基于内置安全模型，实现如下 (略) 景的检测： (略) 为、0 (略) 为、弱口令、暴力破解、 (略) 为、 (略) 为、文件威胁、木马回连、DoS攻击、 (略) 为、 (略) 为、黑产黑链、隐蔽信道通信、 (略) 为、恶意DNS通讯 、设备性能异常等。

全流量审计与潜伏型攻击检测

支持全流量审计， (略) 络第2-7层数据流量；

实现对关键字、数据来源等的自定义，通过内容深度匹配流量中的敏感信息，并对敏感信息快速定位，实现对敏 (略) 为的有效监测；

(略) 络中WEB、QQ、迅雷等各种 (略) 为，提取登录IP、登录账户、 (略) 域名等登录信息。

支持对 (略) (略) ，支持文件上传检测， (略) 络流量中的恶意文件（僵木蠕）、病毒等威胁并生成完整沙箱分析报告；

支持SHELLCODE检测，可通过分析文件中的 * 进制代码，定位到文件溢出攻击的代码，并能定位到APT攻击中的0DAY攻击；

支持从 HTTP、FTP、SMB、SMTP、POP3等协议中还原> * 种文件格式，包括但不限于doc, xls, ppt, swf, pdf, java, rar, zip, rar, exe, vbs, scr, html，js等文件格式。

安全分析能力

分析模型与指标管理

平台应内置包括规则模型、关联模型、统计模型、情报模型、离线模型等在内的≥5大类安全分析模型，各类内置分析模型总条目数应不少于 * 条，情报规则不少于 点击查看>> 条；

模型可通过串并联方式组合编排，前 * 个模型的输出可以作为后 * 个模型的输入，支持分析模型编排层级> * 层。

AI高级分析

平台内置不少于8种机 (略) 景模型，可检测发现勒索挖矿告警数异常、安全设备日志数异常、网络会话数异常、域名请求数 (略) 景条件下的安全态势异常；（要求提供截图）

支持时间序列、UEBA、Bayes、随机森林等长周期高级机器学习算法；

(略) 署AI机器学习模型，允许用户选用的高级机器学习算法不少于4种，通过输入任意指 (略) 模型训练， (略) 为并生成安全事件与告警，辅助用户发现潜在的安全风险。

网络实体分析画像

(略) 络互访关系的多级钻取，支持> * 跳的流量关联关系分析，支持通过端口、协议、异常访问类型过滤关联关系。

可视化安全分析

安全态势可视化

支持安全态势的可视化呈现，以大屏的方式从攻击事件、资产安全、追踪溯源、运行监测等 (略) 可视化展示，提供不少于 * 块大屏展示界面；

可视化视角覆盖云管端、边界、应用、安全设备等监测维度≥6种；

(略) (略) 攻击、内部跨安全域横向攻击、内部外连攻击3种威胁方向监测

仪表盘

支持可视化图表类型>= * 种，包括但不限于时序图、饼图、柱状图等；

可视化图表可通过拖拽配置组装成仪表盘，仪表盘不 (略) 类型，每张仪表盘可包含>= * 个可视化图表；

可视化图表支持导出WORD、PDF

安全应用和运营

智能检索

支持对原始日志数据、安全 (略) 分类检索，从检索结果可关联威胁情报和资产信息并 * 键跳转；

支持检索结果导出（不少于 * 0条），导出内容字段可自定义选择，支持excel或CSV格式。

数据字典管理

支持管理系统 (略) 始日志、安全事件、 (略) 有字段和取值，每个字段均有清晰的说明；

支持数据标准管理，用户可以根据实际需求， (略) 编辑，支持手动修改、增加或删除相应的字段。

威胁情报

支持通过离线导入或手动编辑添加的方式，形成本地威胁情报，允 (略) 业情报库，并实现情报库的增删改查、导入、导出功能；

支持统计情报源碰撞命中情报数量，针对任意单条无效情报可实现禁用。

资产管理

支持通过流量无侵入式自动发现资产，支持发现终端、Web服务器、DNS服务器、邮件服务器、FTP文件服务器等类型≥5种；

支持资产信息的全量导入导出，支持从资产管理平台同步资产。

业务拓扑监控

支持拓扑图的增加、修改、删除、导入、导出，支持创建>5 (略) 络拓扑，支持建立平面拓扑和3D拓扑；

支持监控安全域、Web业务系统、服务器、终端、安全设备 (略) 络实体类型；

支持通过拓扑中各个节点的安全 (略) 计算， (略) 对应的 (略) 整体健康程度的详细量化评判。

安全运营

支持统 * 的安全运营工作台，在工作台可以集中查看当前用户的待办工单、最新通报预警状态；

工单详情与备注支持多种内容格式，包括但不限于文字、图片、超链接、表格、代码片段、附件等类型；

支持工单举证信息 * 键溯源， (略) 置人员可以直接定位到工单关联的 (略) 查看；

支持通过安全告警自动派发工单到对应的安全管理员，支持自定义编辑预警信息内容；

支持将预警信息 (略) 通报，支持将通报内容作为工单定向指派。

分析报告

支持用户自定义编辑报告模板，根据实际的业务需求自定义统计分析的指标对象，生成有针对性的分析报告，安 (略) 有字段内容，都可以作为报告的统计对象，并自定义时间范围实现报告导出。

(略) 置

支持与 (略) 联动，通过平台直接下发联动策略，进行安全风险的阻断，支持的安全防护设备类型至少应包括waf、防火墙；

支持与不同品牌的安全设备实现联动。

黑白名单

支持通过黑白名单功能对 (略) 过滤筛选；

支持通过 (略) 组合，配置筛选条件并生成黑白名单过滤规则，支持规则数≥ * 条。

系统管理

运维监控

支持大数据平台本身的计算、存储资源利用率监控；

支持数据集与数据索引健康度监控；

支持对平 (略) 健康状态的集中监控。

用户管理

提供 * 权分立的用户管理能力：配置员、用户管理员、审计员相互独立，支持根据对象属性自定义划分系统管理角色和 * 般用户角色，按照数据和功能分级灵活设置用户权限。

系统恢复

支持安全模型的启用 (略) 设置；

支持通过权限认证实现 (略) 设置。

售后服务

投标时要求 (略) 商 * 年7* * 小时质保 (略) 授权函；

中标后，原厂商在 (略) 省内有常驻机构能为用户提供快 (略) 服务，提供本地应急响应时间<=4小时；

建设内容

描述

态势感知

标准1U架构设备，设备接口：6个千兆电口，1个串口，6个USB口；

CPU：4核，物理内存≥ * G，系统盘≥ * G SSD盘，

硬盘容量≥ * TB。

支持DNSFlow分析引擎，利用机器学习算法结合威胁情报，能够从大量 (略) 学习，总结其伪装的规律，从而发现伪装的恶意DNS协议

支持SMBFlow分析引擎，利用机器学习技术,发现主机传输可疑文件、 (略) 为、文件或关键目录 (略) 为以及SMB暴力破解等。

支持NetFlow分析引擎，利用UEBA方式来检测服务器外发异常，包括 (略) DoS攻击、 (略) 的横向探测：如IP扫描、端口扫描、数据收集（如到其他服务器下载）或数据传输（将数据传给其他 (略) ）。  

包含3年维保及特征库升级。

探针：产品为标准1U机架式设备，需满足多核X * 架构。标配4个千兆电口，2个千兆光口，并含2个高速USB2.0接口，1个RJ * 串口，硬盘容量≥ * GB SSD

性能配置需满足：带宽性能≥1Gbps

要求项

具体要求参数

基本要求

产品形态

* 体化提供数据 (略) (略) 有硬件设备资源和软件功能模块；

为节省机柜 (略) 署上线，要求硬件设备数量≤2台；

配置与性能

平台硬件服务器配置：   2路E5 * (略) 理器配置 ，内存≥ * GB，配置企业级存储磁盘总容量≥ * TB（或磁盘可用容量≥ * TB）；

支持≥ * 个平台用户并发在线。

数据类型

支持通过多种类型的安全、泛安全类数据接入采集，应包括但不限于设备日志数据、流量数据、弱点漏洞数据、系统性能数据、威胁情报数据、资产人员等数据；

支持通过流量采集设备接入全流量数据，包含流量中的请求包和返回包等信息，并可在数据检索中体现包信息；

支持接入文本格式、CVS等格式的文件数据，可通过模板文件的填写导入实现资产数据的导入和管理；

支持通过云端对接、本地导入或手动编辑的方式，接入威胁情报数据。

日志采集解析

日志采集方式应支持但不限于syslog、kafka、ftp、部署agent代理等4种方式；

要求配置采集异构设备的日志数据功能，实现包括但不限于安全类、网络类、应用服务器类、操作系统类等至少4大类、 * 种设备的日志接入采集；

支持接入应用服务器的性能类数据，包括但不限于CPU、内存和磁盘的使用状态数据；

内置解 (略) 商> * 家，支持解析日志设备型号> * 种；

无需配置解析规则与设备日志对应关系，自动完成解析。

安全检测能力

安全事件检测

基于内置安全模型，实现如下 (略) 景的检测： (略) 为、0 (略) 为、弱口令、暴力破解、 (略) 为、 (略) 为、文件威胁、木马回连、DoS攻击、 (略) 为、 (略) 为、黑产黑链、隐蔽信道通信、 (略) 为、恶意DNS通讯 、设备性能异常等。

全流量审计与潜伏型攻击检测

支持全流量审计， (略) 络第2-7层数据流量；

实现对关键字、数据来源等的自定义，通过内容深度匹配流量中的敏感信息，并对敏感信息快速定位，实现对敏 (略) 为的有效监测；

(略) 络中WEB、QQ、迅雷等各种 (略) 为，提取登录IP、登录账户、 (略) 域名等登录信息。

支持对 (略) (略) ，支持文件上传检测， (略) 络流量中的恶意文件（僵木蠕）、病毒等威胁并生成完整沙箱分析报告；

支持SHELLCODE检测，可通过分析文件中的 * 进制代码，定位到文件溢出攻击的代码，并能定位到APT攻击中的0DAY攻击；

支持从 HTTP、FTP、SMB、SMTP、POP3等协议中还原> * 种文件格式，包括但不限于doc, xls, ppt, swf, pdf, java, rar, zip, rar, exe, vbs, scr, html，js等文件格式。

安全分析能力

分析模型与指标管理

平台应内置包括规则模型、关联模型、统计模型、情报模型、离线模型等在内的≥5大类安全分析模型，各类内置分析模型总条目数应不少于 * 条，情报规则不少于 点击查看>> 条；

模型可通过串并联方式组合编排，前 * 个模型的输出可以作为后 * 个模型的输入，支持分析模型编排层级> * 层。

AI高级分析

平台内置不少于8种机 (略) 景模型，可检测发现勒索挖矿告警数异常、安全设备日志数异常、网络会话数异常、域名请求数 (略) 景条件下的安全态势异常；（要求提供截图）

支持时间序列、UEBA、Bayes、随机森林等长周期高级机器学习算法；

(略) 署AI机器学习模型，允许用户选用的高级机器学习算法不少于4种，通过输入任意指 (略) 模型训练， (略) 为并生成安全事件与告警，辅助用户发现潜在的安全风险。

网络实体分析画像

(略) 络互访关系的多级钻取，支持> * 跳的流量关联关系分析，支持通过端口、协议、异常访问类型过滤关联关系。

可视化安全分析

安全态势可视化

支持安全态势的可视化呈现，以大屏的方式从攻击事件、资产安全、追踪溯源、运行监测等 (略) 可视化展示，提供不少于 * 块大屏展示界面；

可视化视角覆盖云管端、边界、应用、安全设备等监测维度≥6种；

(略) (略) 攻击、内部跨安全域横向攻击、内部外连攻击3种威胁方向监测

仪表盘

支持可视化图表类型>= * 种，包括但不限于时序图、饼图、柱状图等；

可视化图表可通过拖拽配置组装成仪表盘，仪表盘不 (略) 类型，每张仪表盘可包含>= * 个可视化图表；

可视化图表支持导出WORD、PDF

安全应用和运营

智能检索

支持对原始日志数据、安全 (略) 分类检索，从检索结果可关联威胁情报和资产信息并 * 键跳转；

支持检索结果导出（不少于 * 0条），导出内容字段可自定义选择，支持excel或CSV格式。

数据字典管理

支持管理系统 (略) 始日志、安全事件、 (略) 有字段和取值，每个字段均有清晰的说明；

支持数据标准管理，用户可以根据实际需求， (略) 编辑，支持手动修改、增加或删除相应的字段。

威胁情报

支持通过离线导入或手动编辑添加的方式，形成本地威胁情报，允 (略) 业情报库，并实现情报库的增删改查、导入、导出功能；

支持统计情报源碰撞命中情报数量，针对任意单条无效情报可实现禁用。

资产管理

支持通过流量无侵入式自动发现资产，支持发现终端、Web服务器、DNS服务器、邮件服务器、FTP文件服务器等类型≥5种；

支持资产信息的全量导入导出，支持从资产管理平台同步资产。

业务拓扑监控

支持拓扑图的增加、修改、删除、导入、导出，支持创建>5 (略) 络拓扑，支持建立平面拓扑和3D拓扑；

支持监控安全域、Web业务系统、服务器、终端、安全设备 (略) 络实体类型；

支持通过拓扑中各个节点的安全 (略) 计算， (略) 对应的 (略) 整体健康程度的详细量化评判。

安全运营

支持统 * 的安全运营工作台，在工作台可以集中查看当前用户的待办工单、最新通报预警状态；

工单详情与备注支持多种内容格式，包括但不限于文字、图片、超链接、表格、代码片段、附件等类型；

支持工单举证信息 * 键溯源， (略) 置人员可以直接定位到工单关联的 (略) 查看；

支持通过安全告警自动派发工单到对应的安全管理员，支持自定义编辑预警信息内容；

支持将预警信息 (略) 通报，支持将通报内容作为工单定向指派。

分析报告

支持用户自定义编辑报告模板，根据实际的业务需求自定义统计分析的指标对象，生成有针对性的分析报告，安 (略) 有字段内容，都可以作为报告的统计对象，并自定义时间范围实现报告导出。

(略) 置

支持与 (略) 联动，通过平台直接下发联动策略，进行安全风险的阻断，支持的安全防护设备类型至少应包括waf、防火墙；

支持与不同品牌的安全设备实现联动。

黑白名单

支持通过黑白名单功能对 (略) 过滤筛选；

支持通过 (略) 组合，配置筛选条件并生成黑白名单过滤规则，支持规则数≥ * 条。

系统管理

运维监控

支持大数据平台本身的计算、存储资源利用率监控；

支持数据集与数据索引健康度监控；

支持对平 (略) 健康状态的集中监控。

用户管理

提供 * 权分立的用户管理能力：配置员、用户管理员、审计员相互独立，支持根据对象属性自定义划分系统管理角色和 * 般用户角色，按照数据和功能分级灵活设置用户权限。

系统恢复

支持安全模型的启用 (略) 设置；

支持通过权限认证实现 (略) 设置。

售后服务

投标时要求 (略) 商 * 年7* * 小时质保 (略) 授权函；

中标后，原厂商在 (略) 省内有常驻机构能为用户提供快 (略) 服务，提供本地应急响应时间<=4小时；