服务名称

技术参数要求

漏洞扫描

对信息系统内的网络设备、操作系统、应用软件、中间件和服务等进行安全漏洞识别，并拥有规避漏洞扫描风险的有效措施；

漏洞扫描目的：

用扫描工具对网络进行扫描，扫描包括对各种操作系统（windows,linux,unix,AIX,freebsd,solaris等），应用软件（office，adodb等），网络设备系统等多类进行安全检测，检测将发现当前系统及软件中存在的漏洞信息，扫描完毕后将生成扫描检测报告，使用户能对自己的网络安全状况有真实的了解，从而制定出科学合理的系统加固及风险规避计划。

漏洞扫描内容：

1) 主机系统漏洞及病毒扫描

包括：操作系统猜测、端口服务扫描、系统漏洞扫描、弱口令破解、用户权限认证、磁盘共享、木马病毒的扫描和清除等。

2) 应用系统（WEB系统、数据库）漏洞扫描

包括：SQL注入、脚本跨站攻击、路径泄漏、后台验证漏洞、文件上传漏洞、远程文件包含漏洞、已知WEB应用程序公开漏洞、弱口令猜解、补丁、账号管理、口令强度和有效期检查、远程登陆和远程服务等。

3）网络设备漏洞扫描

包括：弱口令猜解、补丁、账号管理、口令强度和有效期检查、IOS信息、端口服务等。

4）木马病毒扫描及清除工作

包括：病毒软件的版本更新及病毒库升级，网页木马的扫描及清除，程序级病毒的扫描及清除，程序级后门查杀等。

用漏扫工具进行臆弱性评估，获得漏洞对应及分布情况，并提供可操作的安全建议或临时解决办法，以《漏洞评估报告含安全加固建议》报告作为交付物，服务期1年，每年2次及以上的漏扫服务。

服务名称

技术参数要求

渗透测试

模拟外部黑客，对于指定的业务系统或APP进行渗透测试，深度挖掘存在的通用漏洞及业务逻辑漏洞，能够充分暴露其安全风险；

渗透测试内容

根据渗透目标分类：

主机操作系统渗透：

对主机操作系统的渗透主要基于系统漏洞和开放端口尝试提取服务器控制权限。

数据库系统渗透：

对数据库应用系统进行渗透测试。

WEB应用系统渗透：

对WEB系统进行渗透测试，旨在发现网站中存在的安全漏洞（隐患），并尝试通过个别高危漏洞获取服务器权限。

网络设备渗透：

对各种防火墙、入侵检测系统、网络设备进行渗透测试。

测试目标不同，涉及需要采用的技术也会有一定差异，因此下面简单说明在不同位置可能采用的技术。

内网测试：

内网测试指的是测试人员从内部网络发起测试，这类测试能够模拟内部违规操作者的行为。最主要的“优势”是绕过了防火墙的保护。内部主要可能采用的渗透方式：远程缓冲区溢出，口令猜测，以及B/S或C/S应用程序测试（如果涉及C/S程序测试，需要提前准备相关客户端软件供测试使用）。

外网测试：

外网测试指的是测试人员完全处于外部网络（例如拨号、ADSL或外部光纤），模拟对内部状态一无所知的外部攻击者的行为。包括对网络设备的远程攻击，口令管理安全性测试，防火墙规则试探、规避，Web及其它开放应用服务的安全性测试。

渗透测试流程

用户签订并确定委托书是一种测试授权。测试授权是进行渗透测试的必要条件。黑客入侵和渗透测试本质区别仅仅在于是否取得过来自客户的正式委托授权。客户应对渗透测试所有细节和风险的知晓，则是合法的渗透测试，否则就是非法的入侵攻击。

渗透测试过程中，禁止间接或直接使用任何社会工程攻击的手段，对于发现的漏洞，服务提供方必须现场重演并详细说明其利用方法。

漏洞需提供详细漏洞过程及合理化修复建议，并进行相关现场讲解及培训支持；

以《渗透测试报告》为交付物，服务期1次/年

服务名称

技术参数要求

主网站群重点服务保障

主网站安全漏洞通报应急响应，包括：漏洞验证，修复复测

提供安全事件通报应急响应，如：网页篡改，webshell后面，信息泄露等

提供安全事件确认处置，安全日志分析，攻击行为追溯及安全风险加固处置

提供安全攻击事件应急响应，如：DDoS攻击，钓鱼攻击、漏洞利用（sql注入、Struts2）等，提供安全事件分析，安全策略优化，安全漏洞修复加固等

提供主网站群重点服务保障7*24*4保障响应；

以《重保总结报告》为交付物，服务期1年

服务名称

技术参数要求

安全加固

提供windows操作系统安全加固服务，包括：账户口令基线、访问控制基线、安全补丁、日志审计；

提供Linux操作系统安全加固服务，包括：账户口令基线、访问控制基线、安全补丁、日志审计；

提供安全设备策略加固优化服务，包括：账户口令、访问控制、策略调优、补丁升级等。

提供应用系统通用策略加固服务，包括：数据库、中间件等组件的日志审计、账户口令基线及安全补丁；

以定期提供《安全加固报告》、《安全策略优化报告》为交付物，服务期1年，每月2次及以上现场服务

服务名称

技术参数要求

安全应急响应

提供安全漏洞通报应急响应服务，包括：漏洞验证，修复复测；

提供安全事件通报应急响应服务，如：网页篡改，webshell后面，信息泄露等。

提供安全攻击事件应急响应服务，如：DDoS攻击，钓鱼攻击、漏洞利用（sql注入、Struts2）等

提供安全事件分析服务，安全策略优化，安全漏洞修复加固等

提供信息安全事件应急处置服务，基于当前的安全设备日志、操作系统日志等进行入侵排查、事件追溯、提供安全加固建议；

提供重大项目现场保障，7*24小时安全应急响应

以《应急响应报告》为交付物，服务1年

服务名称

技术参数要求

安全云端监测

提供主网站域名数量3个，页面数量不限制的在线云安全监测服务

提供7*24小时持续评估服务：如资产暴露面、资产异动变化、漏洞脆弱性、紧急0Day漏洞等脆弱性问题监测

提供7*24小时实时监测：页面篡改（监测到一级和二级页面）、黑链、业务可用性、DNS劫持、网页挂马等安全事件

提供7*24小时篡改处置服务：支持快速阻断篡改页面的传播。

提供7*24小时值守服务，确保产品和服务第一时间响应各类紧急漏洞，快速具备检测、监控能力，并在发现紧急漏洞第一时间微信告警

以《安全云端监测报告》为交付物，服务1年

技术指标项

指标要求

平台环境要求

产品形态

软件形式交付，包含管提控制中心、客户端软件。本项目配置1套防病毒系统管理中心授权，40个Linux服务器系统客户端与60个windows服务器系统客户端授权，1年升级服务；

控制中心要求

控制中心支持级联方式和单一部署两种方式，控制中心根据客户端点数的增加支持横向扩展，操作系统支持Windows Server 2008 R2/2012/2012 R2/2016的64位版本（简体中文版）；
支持CentOS 7、Redhat 7等Linux系统；

控制中心支持安装在虚拟机上；

客户端要求

操作系统：Windows XP_SP3及以上/Windows Vista/Windows 7/Windows 8/Windows 10；Windows Server 2008/Windows Server 2012/Windows Server2016/Windows Server 2019
操作系统：SUSE Linux/Red Hat Linux/CentOS/Ubuntu

基础功能

终端许可管理

支持按照终端类型/分组统计及分配管理每个功能的终端授权使用数量。

语言要求

产品全功能支持简体中文/繁体中体/英语自由切换。

控制中心管理

支持控制中心迁移、数据备份、数据恢复；支持多升级服务器；

支持根据分组、计算机名称、IP地址、操作系统、在线状态等条件的组合筛选出符合条件的终端进行管理；

支持与NTP时间服务器同步，可设置同步时间间隔，使终端时间保持和时间服务器相同。

支持单个页面展示终端部署统计、终端安全趋势、终端状态（文件防护开启率、未安装补丁终端率、终端病毒更新率和终端版本更新率）、终端程序版本、终端在线统计、病毒库版本分布、安全更新和重要补丁安全趋势等信息，均可通过图形化展示。

支持定时公告功能，可配置开机显示、周期显示和立即推送。

支持对单个客户端进行维护，终端视角查看终端基本信息，包括计算机名、型号、IP、MAC地址、工作组、域信息、本次开机时间、上次关机时间、应用功能、在线状态；
所功能应用策略情况；
硬件信息展示，包括CPU、主板、内存、磁盘存储、显卡、显示器、声卡、网卡等信息；
实时进程信息展示，包括进程名称、PID、进程用户名、命令行、占用内存、CPU占用、MD5等信息；
网络信息展示，包括。

支持通过高级筛选方式对终端概况进行筛选查看指定范围终端实时统计数据，支持“与或”组合筛选。

支持自动分组，按IP地址、CPU数量、MEM容量、主机名、计算机工作组等参数进行自动动态调整分组。

管理控制中心当登录账号输入密码错误次数超过锁定阈值后账号将被锁定，且可设置锁定时间，该时间内账号登录请求不被接受。同时应支持双因子认证登录方式，提高安全性。

客户端主程序、病毒库版本支持按分组和多批次进行灰度更新，保持在低风险中完成终端能力更新。支持设置不同终端类型设置和每批次观察时长。当检测到新版本将从第一批次重新观察。

支持在线更新病毒库、补丁库、威胁情报等数据，并且支持“按月、按周、按天、按小时”灵活设置更新时间。支持隔离网环境更新数据。

支持文件下载分级缓存，支持下载文件限速和日志上传限速，可设置带宽最大使量和限速时间，避免过多占用网络带宽，影响业务办公。

支持定义不同权限管理员角色，通过角色能够对有相同权限需求的用户进行授权，达到复用的能力；而对于没有复用的权限，可通过基于规则方式进行授权，支持角色层级管理，可至少达到5级新建角色。简化管理员对角色的管理成本，提高效率。

支持终端用户和管理员是一套账号管理系统，简化账号管理复杂度，一个账号解决所有身份认证，既可以用于终端登录，也可以用于管理管理中心。

支持控制中心迁移、数据备份、数据恢复；支持多升级服务器；

支持自定义告警规则，例如系统一段时间内病毒和未知文件超过一定数量后会通过邮件发送给收件人查阅。支持邮件和阿里云平台的短信告警通知。

客户端管理

支持终端密码保护功能，支持终端“防退出”密码保护、“防卸载”密码保护、防安装密码保护。支持设置自我保护功能，可有效防止客户端进程被恶意终止、注入、提高客户端进程、数据、配置的安全性。

支持自定义定制客户端标题、皮肤、语言、产品LOGO、企业LOGO、认证弹窗LOGO。

防病毒防护

病毒防护概况

病毒防护概况：终端基础信息、病毒库版本、发现病毒数、未处理病毒数、最后查杀时间、文件防护状态、引擎使用状态、扩展病毒库版本

病毒查杀日志

病毒防护日志包含：病毒查杀日志、查杀任务日志、攻击防护日志、系统防护日志、按分组、按终端、按时间。

病毒防护报表

病毒报表支持病毒查杀趋势、扫描触发方式趋势、发现病毒趋势、终端感染趋势、病毒类型统计、病毒处理结果统计、病毒发现触、方式统计、趋势图表、按分组、按终端、按病毒名称。

黑白名单

支持手动导入、导出黑白名单，添加黑白名单。支持通过文件导入添加黑白名单。

支持通过文件数字签名添加黑白名单管理。

病毒扫描

支持信任区设置，病毒扫描或实时防护时不扫描目录或文件。

病毒扫描支持扫描所有文件和仅扫描程序及文档文件设置，支持对压缩包文件设置最大扫描层数和大小，当发现压缩包内存在病毒时，还需继续扫描压缩包内其他文件，设置压缩包的扫描层数，压缩包的格式类型，最大扫描压缩包的大小，要求支持对xar、rar、7z等多种格式的压缩文件查杀能力；

支持对终端当扫描到感染型病毒、顽固木马时，自动进入深度查模式，可设置禁止终端用户管理路径或文件白名单、禁止终端用户管理扩展名白名单、扫描时不允许终端用户暂停或停止扫描任务。

支持扫描资源占用设置，可设置不限制、均衡型、低资源三种模式。

主动防御

支持对进程防护、注册表防护、驱动防护、U盘安全防护、邮件防护、下载防护、IM防护、局域网文件防护、网页安全防护、勒索软件防护。

网络防护

支持自动阻止远程登录行为，防护黑客远程爆破和拦截恶意的远程登录。

支持网络入侵拦截对流入本机的网络包数据和行为进行检测，根据策略在网络层拦截漏洞攻击、黑客入侵等威胁。

支持僵尸网络攻击防护，对流出本机的网络包数据和行为进行检测，根据策略在网络层拦截后门攻击、C2连接等威胁。

支持防护对流出本机的网络包数据和行为进行检测，根据策略在网络层拦截后门攻击、C2连接等威胁。

支持ARP攻击防护根据策略检测和拦截局域网中的ARP欺骗攻击行为。

文件系统实时防护，实时监控级别设置高低两种配置，监控文件类型包含所有文件或者程序及文档。

发现病毒时处理方式分为程序自动处理、仅上报不处理两种模式。

要求能够自定义时间、自定义扫描频率，自定义扫描类型，对终端进行定时查毒，并且可以自定义查杀病毒后的处理方式自定义；

支持对windows/Linux/国产操作系统终端的文件黑白名单和信任区在服务端统一管理

支持文件、目录自定义黑白名单的方式来管理全网终端的文件；

支持手工导入MD5黑白名单方式，支持txt批量导入方式；

支持下发忽略白名单的病毒扫描；

终端病毒处理弹窗

客户端弹窗支持免打扰模式和智能模式，使用免打扰模式可以对不能弹窗的终端设备中避免弹窗。使用智能模式是智能调整弹窗，对已知的病毒自动处理，对未知的病毒提示处理。

杀毒引擎

支持不少于三个杀毒引擎混合使用，包括但不限于云查引擎、人工智能AI引擎、启发式引擎。对恶意代码进行有效检测和识别，对已知、未知病毒、病毒变种提供全面检测、拦截和清除能力。提高病毒检出率。