序号

项 目

1

网络安全设备

序号

设备名称

数量

1

安全态势感知与运营管理平台

1

2

入侵检测与APT攻击系统

1

要求

为日志收集统一管理和整体联动防御，设备1和设备2须为同一品牌

类别

功能及技术要求

硬件规格参数

运营平台系统硬件规格：标准机架式设备， SATA存储≥4*4T；≥4个千兆电口，配置3年威胁情报库升级服务授权，150个监控节点授权，最大可采集150台设备日志。

大屏可视

1.支持大屏展示综合态势，从资产、漏洞、攻击、告警等维度呈现整体安全状态，包括安全评级、资产总数、漏洞分布、漏洞top5、高危漏洞、告警总数、已封堵ip、安全事件趋势等信息，需提供截图证明。

2.★支持大屏展示脆弱性态势，包括业务总览、脆弱性业务TOP5、实时脆弱性监测、漏洞风险趋势、漏洞类型、高危漏洞TOP5、需提供截图证明。

3.支持大屏展示攻击态势，包括攻击目标系统排名TOP5、重点系统攻击情况、攻击类型top5，并支持攻击全景地图展示。

日志采集

4.★支持的日志采集方式包括但不限于：Syslog、SNMP Trap、Kafka、Web API接口、FTP、Netflow、agent等方式采集日志，提供日志采集方式界面配置截图；

5.支持采集的设备类型：路由器、交换机、防火墙、IDS/IPS、WAF应用防火墙、APT威胁检测防御设备、数据库审计、网络审计、堡垒机、主机监控系统、安全扫描设备、网页防篡改系统、Windows、Linux、Unix、Apache、IIS、JBoss、Tomcat、Nginx、WebLogic、牙木DNS等

6.支持日志的备份和恢复。支持通过等SSHFS、NFS等协议备份日志数据，提供功能界面截图。

资产管理

7.★资产审核：支持资产的审核管理，与资产自动引擎识别等资产进行审核与信息不全，实现资产自动发现、资产审核以及资产入库管理的资产全生命周期管理；

8.支持对资产执行新增、修改、删除、批量导入等操作；

安全事件管理

9.支持事件的离线统计分析。支持日志量统计、字段统计、连续统计等。

10.支持日志下钻，通过可视化界面展示原始日志。

11.支持事件的分类规则，可分为九大类、百余子类的事件分类，包括：网络安全事件、数据安全事件、业务安全事件、内容安全事件、主机安全事件、可用性安全事件、异常网络访问安全事件、合规性事件、系统运行事件。

12.支持对日志可信度判断和标记。并通过规则进行配置定义。提供界面截图证明。

13.支持对日志的过滤、归并。至少支持日志名称、ip、设备类型、源IP、目的IP、源端口、目的端口等字段进行归并过滤规则的定义。提供界面截图证明。

告警管理

14.提供告警统一展示界面，告警显示内容至少包括：告警类型、告警名称、告警级别、源IP地址、源IP资产名称、目的IP地址等；告警状态、告警内容等；

15.支持告警的归并，可按照告警类型、内容进行归并展示；

脆弱性管理

16.支持弱口令扫描功能，支持镜像流量检测web流量中是否存在可截获的口令信息；

响应管理

17.响应管理：根据资产、响应组以及漏洞和告警的属性进行响应设置，响应方式支持邮件、系统消息等响应方式。

18.工单管理：支持漏洞、告警的派单处理，按照安全运维的设定流程进行工单流转并最终到达该告警的负责人，该负责人进行告警事件的处理，在处理过程中，该工作单的处理过程的各个状态可查看、可追踪。

19.协同联动：支持与防火墙、Web应用防火墙、终端安全系统及准入控制系统进行策略联动（不另外收取联动接口信息费用），实现对攻击源的封堵、攻击目标的断网，攻击会话的拦截。可支持基于告警来源、告警类别、会话五元组、IP归属地的自定义联动策略制定。内置协同联动策略丰富，数量不少于30条。提供功能界面截图。

20.支持响应方式，包括：邮件、微信等方式。支持将周期性日报、周报、月报通过微信推送到手机端。提供微信报告截图。

安全报告

21.提供丰富的报告模板，至少应包括：综合安全风险报告、外部威胁感知报告、脆弱性感知报告、综合处置报告、联动封堵审计报告。提供报告内容截图。

类别

规格要求

硬件规格

1.标准机架式设备，标配6个千兆电口和2个扩展槽；2个USB口，1个COM口，128G SSD固态盘，1T企业级硬盘；秒TCP新建连接数≥10万，最大TCP并发会话数≥140万，整机吞吐率≥6Gbps，IDS吞吐率≥2.5Gbps。

部署方式

2.支持免代理、旁路部署

威胁监测

3.展示选定时间内的攻击趋势、攻击总数、攻击源IP Top10、攻击目的IP Top10、攻击协议统计、攻击严重性统计、攻击类型统计、攻击详情；

4.展示选定时间内的扫描探测趋势、扫描探测总数、扫描探测源IP Top10、扫描探测目的IP Top10、扫描探测详细信息；

5.展示选定时间内的Web攻击趋势、Web攻击总数、Web攻击源IP Top10、Web攻击目的IP Top10、Web攻击URL统计、Web攻击返回码统计、Web攻击类型统计、Web攻击详情（提供产品功能界面截图）。

报表功能

6.系统能自动生成最近一周和最近一月的告警分析报告。

源IP解析功能

7.当服务器前端部署代理设备或CDN时，通过配置源IP解析规则，获取真实的攻击源IP地址，支持配置规则名称、解析方法、解析字段、代理级数、规则状态等信息（提供产品功能界面截图）。

漏洞检测

8.提供漏洞检测功能，能够识别Oracle SQL注入漏洞、MySQL SQL注入漏洞、SQL Server SQL注入漏洞、远程代码执行漏洞、OpenSSL心脏出血漏洞、反序列化漏洞等高危漏洞（提供产品功能界面截图）。

网络入侵检测

9.内置攻击检测引擎和攻击检测规则库，攻击关联分析引擎，可准确网络中的异常行为，并通过攻击行为专家识别系统，将多个攻击告警关联成一个安全事件

10.支持模式特征分析、协议分析、异常检测、事件统计分析等多种检测方式，有效防止各种攻击欺骗；支持各种蠕虫、病毒以及后门事件的检测；

11.内置多个入侵检测策略，支持针对特殊应用或特定服务器群的缺省最优入侵检测防御规则配置；

12.支持自定义网络入侵检测规则，定义规则名称、威胁类别、检测的源IP、源端口、目的IP、目的端口等；

攻击取证

13.内置IP地理信息库，可以查询到攻击事件中公网IP的归属国家地区，并可以定位到局域网内的IP地址归属；

14.支持提取触发网络入侵攻击告警的Pcap元数据（提供Pcap下载界面截图）。

15.支持提取触发病毒检测告警的病毒文件样本

策略中心

16.提供对Web服务、邮件服务、DNS服务、数据库服务的监听配置功能，支持定义监听的服务端口、内网IP和外网IP。

事件响应

17.配置高、中、低三种风险级别对应的响应策略。

18.系统提供Syslog告警、邮件告警、SNMP告警、防火墙联动、Windows告警、态势感知系统联动等事件响应策略（提供界面配置截图）。

阻断管理

19.配置和查询告警阻断的IP地址；

20.配置和查询IP白名单地址；

协同管理

21.为了日志收集统一管理，需与安全态势感知系统与运营管理平台为同一品牌；