项目

功能与技术说明

产品规格

标准机架式设备，双冗余电源，千兆电口≥2个，万兆电口≥2个，吞吐量≥5Gbps，,最大并发连接数≥500万，TCP每秒新建连接数≥58万，HTTP每秒新建连接数≥45万，通用扩展槽≥2个，内存≥16G，硬盘HDD≥1T

病毒防御

超过100种协议支持,如:

HTTP/SMTP/POP3/FTP/SMB/TFTP/TCP/UDP/NFS/SNMP/ICMP/RTMP/DNS/IRC等

具备与第三方产品对接接口，可接收第三方运维平台发送的IOC信息，并自动对IOC中的恶意URL、恶意哈希值文件进行拦截。

支持对压缩文件类型的病毒检测，支持RAR、ZIP、GZIP、BZIP2、TAR等压缩文件类型；支持对多重压缩文件的病毒检测，且不小于5层压缩。

可提交可疑文件、URL、IP及域对象至APT威胁分析系统做联动分析，并根据分析结果做进一步处理

支持双防病毒引擎，或自身病毒引擎特征库可接入第三方病毒特征库

防病毒文件扫描可自定义大小，最大可支持1G

扩展支持基于数据流的病毒过滤；支持压缩病毒文件的扫描；支持病毒特征库的实时网络更新；

本次提供三年软硬件服务以及特征库升级

入侵检测及虚拟补丁

具备服务器虚拟补丁和主动式主机入侵防御系统，可在漏洞攻击主机之前予以侦测和拦截

VPN检测

支持对VPN传输的内容进行防病毒扫描

系统管理

支持双因素认证，保证用户安全性

支持多种登录方式，包括HTTPS、SSH、Console等

支持Radius、Local、AD、LDAP、TACACS+等方式进行管理员身份认证；

支持多级管理权限设置功能，预定义系统管理员、操作员、审计员等管理角色；

支持多台设备配置统一下发，IOC共享、威胁统一处置能力

支持多台设备统一更新、状态状态统一查询

提供中文管理界面、中文化报表及管理接口；

日志及报告

提供基于策略（源和用户/目标/通讯类型/时段）的流量日志记录/查询/打印/导出

可按照时间，协议，威胁类型等查询条件查询日志

支持Syslog协议，可以实时传输日志到Syslog服务器

提供恶意软件/入侵防御/Web信誉服务违例事件安全报告，前N个用户违例报告，以及按应用程序/URL类别/带宽使用等前N个通信报告

报告包含全部安全事件，可供定制

预定义多种报表类型，支持PDF、word等多种报表格式，一键生成报表，支持自定义报表；

安全性和可靠性

支持最新版本检测和提示功能，提升设备的可维护性

提供内置USB接口，可用于灵活扩展设备存储空间并保证数据安全

支持接口硬件Bypass；支持断电Bypass功能；支持H-A部署；支持双机热备，在单台设备故障时，已建立的会话连接可以自动切换到HA的另一台设备上，不会引起连接中断；

项目

功能与技术说明

威胁展示能力

支持在一个页面上从威胁的生命周期（至少包含侦测、分析、响应）角度进行监控

支持外网威胁、内网威胁的攻击地图

扫描对象

1. 可扫描网络第2层至第7层数据流量
2. 可选择特定协议或IP地址自定义检测
3. 支持自定义IP地址、URL、域名与文件的访问监控

支持协议

支持主流网络协议，如 HTTP, FTP, TFTP,SMTP, POP3, IMAP, SNMP, IRC, DNS, DHCP, P2P, SMB, RDP, VNC, TELNET, TCP, UDP等协议

恶意行为分析侦测

威胁流量与协议异常检测 ，如零日攻击、网络蠕虫、木马、后门、僵尸、间谍软件、网络漏洞、网页威胁（网页漏洞、跨网站攻击）、钓鱼邮件、暴力攻击、数据库注入攻击等

未知威胁侦测

1. 单台侦测设备具有虚拟化沙盒系统
2. 能够对样本进行过滤去重减少分析数量
3. 具有安全风险评估技术分析：包含针对注册表、内存、程序、网络活动、文件系统等操作系统环境的变化进行记录与分析
5. 支持未知威胁事件证据留存
6. 广泛的文档分析支持：Acrobat Reader 7, 8, 9, X, 微软Office常用版本（Word, Excel, Powerpoint）、Flash常用版本、LNK、执行文件，微软HTML Application（HTA）, JS,JSE, VBS, VBE, Java, Java Applet，PowerShell Script 等。
7. 提供分析结果的自动入库：侦测设备自我学习功能。

信誉分析

1. 中国区域恶意网页评估系统
2. 恶意网站与域名分析
3. 僵尸网站与控制服务器分析

多协议关联分析

能够自动关联不同协议、不同会话的威胁日志，筛选出严重事件，节省事件处理的人力成本

常见漏洞检测

Tomcat写文件漏洞，ImageMagick命令执行漏洞，ElasticSearch命令执行漏洞，Samba 远程命令执行漏洞,ThinkPHP Builder.php SQL injection, Adobe ColdFusion 文件上传导致任意代码执行漏洞,GhostScript 沙箱绕过漏洞, Spring Data REST PATCH请求代码执行漏洞, Weblogic wls9_async_response 反序列化远程命令执行漏洞,Jenkins RCE, Spring Data Commons组件远程代码执行漏洞,spring-messagingRemote Code Execution, Fastjson反序列化漏洞等

WebShell检测

支持如下Webshell检测：ghost webshell，PHP webshell2，ASP webshell1，PHP webshell3，PHP Webshell4，ASP webshell_2

高危病毒侦测实时通知

实时邮件通知，同时内容包含攻击源与感染源等讯息

威胁流量存储

支持基于IP地址段、检测规则条件的威胁流量存储设置

威胁流量数据下载

支持威胁流量的自动存储，及威胁流量PCAP文件格式下载

网络关联分析图

威胁检测设备能够对日志二次分析，必须具备能够展示攻击关系的线性放射图，实现以攻击源头为中心，展示在一定时间范围内的被攻击目标、手段的场景

网络流量威胁展示

支持对网络攻击流量状态展示

主机威胁联动分析

1. 支持与主机威胁回溯调查的自动追溯分析功能，支持威胁类型包括如下：
-勒索病毒(Ransomwares)
-恶意代码(Malware)
-僵尸网络(Botnet)
-钓鱼网站(Phishing)
-渗透工具
-挖矿网址
-挖矿病毒
-带毒邮件攻击(Mail attack)

日志管理

1. 可显示受感染主机的APT攻击阶段，帮助管理者制定响应策略
2. 提供智能日志搜寻以及可定制化过滤条件，定制化过滤条件并可支持存储以及汇出汇入
3. 内建常用过滤条件，可快速过滤出常见攻击类别(如勒索软件，横向扩散攻击等)
4. 支持Syslog协议，可以实时传输日志到syslog服务器，选择传输的内容类型
5. 可以依据时间,协议,威胁类型,IP网段,监控群组等查询条件查询日志

监控仪表板

1. 模块化插件设计：可以客制弹性配置监控仪表板
2. 仪表板地图式展示：展示攻击来自哪些区域
3. 监视列表：可将重要资产如服务器或是终端用户等加入仪表板中的监视列表中随时查看

网络、终端、服务器的全面联动分析及响应

具备与第三方产品对接接口，可接收第三方安全产品发送的威胁信息进行验证，然后向第三方平台返回相应URL、文件等分析结果。

多设备日志统一呈现

1.支持多台设备的告警日志的统一收集和存储

关联分析功能

1.支持多台设备的威胁数据处理，自动生成基于主机的网络攻击脉络图
2.支持产品精密联动日志关联分析报告

检测潜在安全风险通知

自动寄送报表与处理建议功能，提供多协议关连分析引擎,自动分析日志降低人为分析成本

检测已知安全风险通知

检测到已知安全风险时进行通知

联动性

1. 能够集成外接沙盒分析系统，提高未知威胁分析处理能力
2. 支持Syslog日志，可集成第三方SIEM/SOC系统
3. 提供 Web API 以利第三方集成使用本地威胁情报

威胁情报管理

支持自定义本地威胁情报

支持手动和自动两种方式共享威胁情报

能从风险等级、时间、状态、来源、类型等维度查看威胁情报

能连接云端威胁情报平台，进行威胁查询

项目

功能与技术说明

可疑对象

支持文档、URL、IP、Domain 4种可疑威胁对象的分析

支持可疑对象预处理

1. 内建扫毒引擎，支持可疑文件对象预扫毒功能
2. 通过云端URL评估数据库查询，支持可疑URL及IP/Domain对象预过滤功能

沙箱分析

集成本地沙箱在设备中

能够对样本进行过滤去重减少分析数量

沙箱能够对未知漏洞利用代码和恶意程序的以下行为进行动态分析：
1). 进程操作行为
2). 文件操作行为
3). 系统配置操作行为
4). 网络通信行为
5). 内存镜像分析

支持Win XP、Win 2008 & 2012 server、Win 7& Win 10等主流Windows平台沙箱镜像及多版本Linux平台沙箱镜像，且支持同时运行10个及以上平台沙箱镜像

具有高度定制化，可以支持使用客户环境特性的Windows作业平台与应用

支持未知威胁事件证据留存

广泛的文档分析支持：各种Windows可执行程序，至少包括dll, exe, sys；OFFICE文档，至少包括doc, docx, pdf, ppt, pptx, rtf, xls, xlsx, xml, wps ；Web内容，至少包括htm, html；各类压缩文件，至少包括gz，rar，cab，7zip，tar，bz2，zip；脚本文件，至少包括vbe，vbs，js，jse，ps1；其他类型，至少包括cell, chm，lnk，mov, swf，jar。

详细的报表事件：通过可视化中心或报表可以查看详细样本活动及C&C外联通讯等全部分析结果

生成本地威胁特征

对于确认的威胁，可生成文件本地威胁特征，提供给其他授权的安全产品使用。

自定义规则

能通过自定义规则，增强识别恶意软件的能力

支持Web API

可提供开放的Web API接口给授权的第三方产品及研究人员自动或手动提交可疑威胁样本

管理端手动提交

支持通过管理平台页面提交分析样本

提交工具

支持通过工具批量提交分析样本

日志管理

1.支持Syslog协议，可以实时传输日志到syslog服务器，选择传输的内容类型.Syslog日志支持CEF, TMEF或LEEF格式
2.可依照档案 SHA1 或 MD5，对可疑文档数据库进行查询
3.可从本系统下载可疑威胁文档样本，并对于所下载的文档提供加密保护

监控仪表板

1.模块化插件设计：可以定制弹性配置监控仪表板
2.特定服务器监控模块，监控系统资源使用情况和沙盒处理队列等信息

部署

1.独立运作系统，无需切断网络即可进行部署
2.支持多台设备集群部署

升级方式

1.支持实时在线升级、自动在线升级、手工升级多种升级方式
2.每周两次升级频率以上

项目

功能与技术说明

威胁展示能力

支持在一个页面上展示威胁的侦测、分析、响应等多角度进行威胁展示。

支持单独查看每个接入产品的威胁情况。

支持外网威胁、内网威胁的攻击地图

安全风险展示能力

支持网络安全风险指数的展示

能展示全网已拦截威胁、可疑威胁、以及高级威胁、热门威胁的统计数据，提供截图

能按照安全威胁角度展示全网的安全告警

安全分析能力

能结合专门的主机分析产品，提供主机、范围分析。

支持主机分析历史的查看

支持自定义分析报告的保存日期

能结合专门的网络分析产品，根据时间、IP、端口进行网络分析

威胁情报管理

支持自定义本地威胁情报

支持手动和自动两种方式共享威胁情报

能从风险等级、时间、状态、来源、类型等维度查看威胁情报

能连接云端威胁情报平台，进行威胁查询

多产品报表

支持报表功能，支持单台或集群模式的数据报表生成

威胁生命周期治理报表

支持从威胁治理生命周期角度提供报表，报告要体现威胁的提交、分析、确认、响应等4个维度。

周期性报表

支持日报、周报、月报以及按需设定等多种周期报表

日志收集和存储

支持本次招标防病毒网关、APT威胁发现系统、APT威胁分析系统及公司已有的云主机安全防护系统的产品日志接入和存储。

日志查询和导出

支持接入产品日志的查询和导出

日志聚合

支持病毒威胁发现系统告警日志基于Rule, IP, Port的聚合展示

容量报警

支持自定义容量告警

告警设置

支持邮件告警

提供告警功能，包括字段内容告警、字段聚合告警、消息数量告警和搜索条件数量告警