名称

主要功能

核心功能

安全管理中心

(1)事件管理

(2)风险管理

(3)资源监控

详见表2

安全计算环境-主机安全部分

(1)主机资产收集

(2)主机补丁管理

(3)主机安全监控

(4)主机病毒防护

(5)高危操作审计

(6)可同安全管理中心进行集成联动

详见表3

序号

功能分类

需求分类

描述

1

事件管理

安全事件采集

（1）支持安全事检测采集功能，可及时发现和采集安全事件：

（2）能够对安全事件进行归一化处理，将不同来源、不同内容组成的原始事件转换为标准的事件格式

（3）安全事件的内容应包括日期、时间、主体标识、客体标识、类型、结果、IP地址、端口信息；

（4）安全事件采集的范围应涵盖主机设备、网络设备、数据库、安全设备、各类中间件等；

（5）能够对采集的安全事件原始数据进行集中存储

2

安全事件告警

（1）具备告警功能，在发现异常时可根据预先设定的阔值和规则产生告警；

（2）在产生告警时，应能够触发预先设定的事件分析规则，执行预定义的告警响应动作，如：控制台对话框告警、控制台告警音、电子邮件告警、手机短信告警、创建工单、通过Syslog或SNMP Trap发布告警事件等

（3）具有对高频度发生的相同安全事件进行合并告警，避免出现告警风暴的能力

3

安全事件响应

（1）能够提供工单管理的功能，支持基于告警响应动作创建工单的流转流程，或可与我司现有工单系统进行整合；

（2）能够提供安全通告功能，可以创建或导入安全风险通告．通告中应包括通告内容、描述信息、CVE编号、影响的对象等；

（3）能够根据通告提示的安全风险影响的操作系统，提供受影响的被保护资产列表

4

事件关联分析

（1）支持将来自不同事件源的事件在一个分析规则中进行分析，从而能从海量事件中过滤出有逻辑关系的事件序列，据此给出相应的告警

（2）针对常见的攻击行为和违规访问提供相应的关联分析规则，如针对主机扫描、端口扫描、DDoS攻击、蠕虫、口令猜测、跳板攻击等的关联分析规则

5

统计分析报表

（1）能够按照时间、事件类型等条件对安全事件进行查询；

（2）能够提供统计分析和报表生成功能。

6

风险管理

资产管理

（1）实现对被管理对象资产的管理，提供资产的添加、修改、删除、查询与统计功能；

（2）资产管理信息应包含资产名称、资产IP地址、资产类型 、资产责任人 、资产业务价值以及资产 的机密性 、完整性、可用性赋值等资产属性；

（3）支持资产属性的自定义；

（4）支持手工录入资产记录或基于指定模板的批量资产导入，并支持资产的自动发现和识别。

7

资产业务价值评估

资产业务价值评估应支持自定义资产业务价值评估模型，能够依据资产类型、资产重要性、损坏后造成的影响、涉及的范围等参数形成资产业务价值等级 。

8

威胁管理

（1）具备预定义的安全威胁分类；

（2）支待自定义安全威胁分类，如将已发生的安全事件对应的威胁设置为资产面临的威胁

9

脆弱性管理

脆弱性管理应允许创建并维护资产脆弱性列表，支持脆弱性列表的合并及更新

10

风险分析

（1）能够根据资产的业务价值、资产当前的脆弱性及资产面临的安全威胁，计算目标资产的安全风险；

（2）安全风险的计算周期和计算公式能够根据部署环境的实际需要通过修改配置的方式进行相应调整；

（3）安全管理系统能够以图形化的方式展现当前资产的风险级别、当前风险的排名统计等。

11

资源监控

网络拓扑监测

（1）在运行出现异常时，能够展现并产生告警；

（2）能够发现非授权设备的外联及接入。

序号

功能分类

描述

1

资产收集

（1）都支持Windows Server操作系统、CentOs操作系统和RedHat操作系统，能识别操作系统的类型和版本信息。
（2）能识别和管理操作系统上安装的数据库类型及版本信息
（3）都能识别和管理操作系统上安装的JBoss中间件、Nginx中间件、Redis中间件、Memcached中间件、Apache中间件、IIS中间件、Kafka中间件、Zookeeper中间件、Tomcat中间件、Websphere中间件等
（4）能识别和管理操作系统上Web应用使用的包括Struts2、Spring、Hibernate、MyBatis在内的Web应用框架信息，
（5）能识别和管理操作系统上安装的其他软件信息，
（6）能识别和管理容器环境
（7）能识别和管理操作系统的进程及开放端口信息
（8）能识别和管理操作系统的账号基本情况和权限信息
（9）能针对预定义的规则对系统软件进行告警，包括但不限于黑白名单、红名单机制
（10）能生成可视化的资产管理报表,可导出
（11）提供简便快捷的服务安装方法
（12）能提供详细的资产属性（基本信息、硬件配置、网卡配置、磁盘信息、资产等级、责任人等），支持自定义
（13）能实时体现资产变更记录。（增、删、离线资产）

2

补丁管理

（1）能识别和管理包括SQLServer、MySQL和Oracle等数据库的补丁。
（2）能识别和管理包括JBoss中间件、Nginx中间件、Redis中间件、Memcached中间件、apache中间件、IIS中间件、Kafka中间件、Zookeeper中间件、Tomcat中间件、Websphere中间件等的补丁。
（3）能识别和管理包括Windows Server、CentOs、RedHat等操作系统及其组件的补丁
（4）提供补丁的修复建议

3

安全监控

（1）能实时检测发现系统口令爆破行为，告警并进行阻止
（2）能实时检测发现注册表更改，记录并进行分析告警
（3）能实时检测发现异常进程启动，记录并进行分析告警
（4）能实时检测发现异常外传流量
（5）能实时监测发现各类Webshell和反弹Shell；
（6）能实时检测发现针对windows/linux服务器的端口扫描行为
（7）能自定义规则发现弱口令
（8）能实时监控资产安全情况
（9）实时监测发现针对服务器的暴力破解攻击，并告警通知；
（10）实时监测可能存在的系统后门程序，并告警通知；
（11）实时监测账户的登录行为，针对异常的登录进行告警；
（12）能够检测恶意代码（包括但不限于病毒、漏洞等）感染windows、linux服务器及在虚拟机间蔓延的情况，主动提出告警并防护。
（13）能实时检测发现针对服务器的端口扫描行为；

4

病毒防护

（1）具备多样化的病毒监测和深度的清除能力；
（2）自动隔离已感染但无法修复的文件；
（3）实时监测挖矿木马、蠕虫病毒、勒索病毒及？客？具等恶意性程序；
（4）支持自动配置定制化的主机防御策略；
（5）具备缓冲区溢出漏洞保护模块；
（6）具有病毒爆发锁定的功能。
（7）能够实时检测恶意病毒感染情况和蔓延情况，主动提出告警及提供处理措施，并实时更新最新病毒特征库

5

要求和扩展性

（1）以上功能必须要支持windows和linux操作系统
（2）能实现与态势感知平台的集成工作

6

部署模式

（1）支持agent模式；
（2）具备自动重启机制；
（5）负载过高时确保核心业务优先运行。