设备名称

产品说明

数量

潜伏威胁探针(STA)

性能参数：网络层吞吐量≥1Gbps；

硬件参数：规格：1U，内存大小≥8G，硬盘容量≥64G minisata SSD，接口：千兆电口≥6，千兆光口SFP≥2。

产品服务含：

3年安全感知系统探针特征库升级服务

3年产品质保

3年软件升级

1套

安全感知管理平台(SIP）

性能参数要求：存储容量≥14.4T，在带宽性能1Gbps时存储时长≥900天/1Gbps。

硬件参数要求：规格：2U，内存≥96GB DDR4 2933，系统盘≥240GB SATA SSD，数据盘≥32TB，电源：白金，冗余电源，接口：千兆电口≥4。

产品服务包含：

3年安全感知系统平台特征库升级服务；

3年产品质保;

3年软件升级;

第三方接入授权软件(含第三方设备及系统各10个接入授权)

1台

硬件要求

★规格：1U，内存大小≥8G，硬盘容量≥64G minisata SSD，接口：千兆电口≥6，千兆光口SFP≥2。

偏离情况

性能指标

★吞吐性能≥1Gbps

配置要求

★为提升威胁探针接入性能及稳定性，本项目要求配备威胁探针系统和安全态势感知平台同一品牌

部署模式

旁路部署，支持探针接入多个镜像口，每个接口相互独立且不影响

网站攻击检测

支持SQL注入、XSS攻击、网页木马、网站扫描、WEBSHELL、跨站请求伪造、系统命令注入、文件包含攻击、目录遍历攻击、信息泄露攻击、Web整站系统漏洞等网站攻击检测

敏感信息检测

▲支持敏感数据泄密功能检测能力，可自定义敏感信息，支持根据文件类型和敏感关键字进行信息过滤（需提供截图证明并加盖原厂商公章）。

异常流量检测

▲支持标准端口运行非标准协议，非标准端口运行标准协议的异常流量检测，端口类型包括3389、53、80/8080、21、69、443、25、110、143、22等（需提供截图证明并加盖原厂商公章）。

支持ICMP、UDP、SYN、DNS等协议外发异常流量检测，支持自定义阀值。

高级检测

▲支持5种类型日志传输模式,包含标准模式、精简模式、高级模式、局域网模式、自定义模式，适应不同应用场景需求（需提供截图证明并加盖原厂商公章）。

支持传输安全检测日志，包括网络攻击检测日志、漏洞利用攻击检测日志、僵尸网络检测日志、业务弱点发现日志（需提供截图证明并加盖原厂商公章）。

支持传输访问检测日志，包括正常访问、风险访问、违规访问（需提供截图证明并加盖原厂商公章）。

▲支持传输协议审计日志，包括https协议日志、http协议审计日志、DNS协议审计日志、邮件协议审计日志、SMB协议审计日志、AD域协议审计日志、WEB登录审计日志、FTP协议审计日志、Telnet协议审计日志、ICMP协议审计日志、LLMNR协议审计日志（需提供截图证明并加盖原厂商公章）。

特征库

内置URL库、IPS漏洞特征识别库、应用识别库、WEB应用防护识别库、僵尸网络识别库、实时漏洞分析识别库、恶意链接库、白名单库

产品资质

▲要求具备公安颁发的网络入侵检测系统销售许可证

服务

★提供产品三年产品质保及软件免费升级、3年特征库升级；

功能类别

功能要求说明

偏离情况

配置要求

性能要求

★存储容量≥14.4T，在带宽性能1Gbps时存储时长≥900天/1Gbps，

硬件要求

★规格：2U，内存≥96GB DDR4 2933，系统盘≥240GB SATA SSD，数据盘≥32TB，电源：白金，冗余电源，接口：千兆电口≥4。；

全网安全态势大屏可视

全局安全可视大屏

▲支持基于不同安全视角下的可视化大屏，支持可视大屏，大屏至少包含横向威胁监控、访问关系梳理大屏、网络攻击态势、资产态势、外连风险监控、脆弱性态势、安全事件态势、综合安全态势大屏同时能满足多种场景的监控，比如日常运维、护网场景；

（需提供截图证明并加盖原厂商公章）

▲支持对安全事件、外部攻击者、ATTCK能力图谱等维度进行自定义设置实现实时告警展示，支持大屏轮播，可在一个屏幕上自动切换轮播不同的大屏，所有大屏可自定义播放顺序。（需提供截图证明并加盖原厂商公章）

▲配置智能电视作为显示器，参数要求：85英寸以上、分辨率4K、品牌必须为主流品牌智能新品、支持有线网络接入。

资产管理

资产全生命周期管理

支持资产多级分支管理，最多可至15级分支，支持资产全生命周期自动管理，包括资产自动发现、多级资产、资产入库审核、资产离线风险识别、资产退库、资产数据更新，责任人管理机制等。

资产发现

▲支持通过主动发送微量包的扫描方式探测潜在的服务器（影子资产）以及学习服务器的基础信息，资产指纹信息包括资产类型、端口、操作系统、mac地址、主机名等。（需提供截图证明并加盖原厂商公章）

▲支持跨三层取mac地址，识别资产mac地址，并能够解决不同资产IP冲突问题，以及DHCP场景IP变更的问题。

威胁检测

Webshell检测

具备基于AI的webshell通信流量检测，可检出加密（如冰蝎）的通信流量。，具备650+webshell规则检测，且覆盖webshell整个攻击阶段检测，包括webshell上传点探测、webshell上传下载、webshell通信。

挖矿专项检测

▲支持挖矿专项检测页面，具备挖矿攻击事前、事中和事后全链路的检测分析能力，综合运用威胁情报、IPS特征规则和行为关联分析技术，如检测发现文件传输（上传下载）阶段的异常，对挖矿早期的准备动作即告警。（需提供截图证明并加盖原厂商公章）

文件威胁分析

▲文件威胁分析支持平台内置的静态文件检测引擎、AI智能引擎、SAVE查杀引擎、webshellkiller引擎，利用LSA, AutoEncoder, LogicRegression, SVM, 随机森林，XGBoost等多种机器学习算法组合进行综合研判。支持采用AI技术针对无文件落地的恶意脚本进行检测。（需提供截图证明并加盖原厂商公章）

▲支持联动云沙箱，支持将黑文件手动上传云沙箱进行验证和补充举证，支持展示云沙箱报告列表，可以看到云沙箱的结果，点击查看报告详情，可跳转到云沙箱平台查看详细报告（需提供截图证明并加盖原厂商公章）

邮件威胁分析

▲支持针对政企邮件混淆宏病毒威胁检测，可通过不断下钻的特征向量提取和聚类算法有效检出邮件威胁。支持对smtp、imap、pop3、webmail等邮件协议审计，提取邮件正文和附件中的流量，并对邮件附件、正文链接、邮件行为、发件人等多维度进行规则和机器学习检测，从而识别出钓鱼邮件、病毒邮件、垃圾邮件、鱼叉式钓鱼等恶意邮件。

（需提供截图证明并加盖原厂商公章）

第三方日志关联分析可视

▲支持对700+网络安全设备规则，包括网络设备、安全设备、中间件、操作系统等；接入方式。支持文件、数据库、API、Syslog、FTP、Snmptrap、Kafka、wmi、webservice、winlogbeat等方式进日志行接入，并支持用户对日志进行自定义解析规则，支持接入设备自动发现功能。（需提供截图打印加盖公章证明）

主机行为EBA分析

▲支持利用EBA技术进行资产的行为分析，对这些对象进行持续的学习和行为画像构建，以基线画像的形式检测异于基线的异常行为作为入口点，结合以降维、聚类、决策树为主的计算处理模型发现异常用户/资产行为。共含有19种异常行为学习模型；并支持用户对EBA基线进行自定义调整，优化模型。

（需提供截图证明并加盖原厂商公章）

事后异常行为检测

▲具备元数据行为分析引擎：httpflow、dnsflow、adflow、icmpflow、maillflow等, 通过异常行为分析，结合各类机器学习算法完成未知威胁检测。包括：内网穿透、代理、远控、隧道、反弹shell等事后检测场景。（需提供截图打印加盖公章证明）

攻防中心

实战攻防中心

具备实战化攻防中心，支持备战阶段的对外服务器外网暴露面分析、内网服务器暴露面梳理暴。实战阶段的实时攻击分析，实时展受害者IP、攻击者IP、XFF、攻击结果、攻击次数、事件类型、威胁等级、联动响应、状态码、确定性等级等20个以上类型。实战阶段的全过程可视溯源分析、总结阶段的值守报告等全过程流程。

威胁情报共享

▲支持云端与本地威胁情报共享，实时收集同步攻击者IP，并详细展示情报列表，包括IOC、区域、来源、更新时间、剩余封锁时间、状态、操作等，并可对本地威胁情报及云端威胁情报联动同品牌防火墙实现自动封锁。

（需提供截图证明并加盖原厂商公章）

溯源中心

支持自动化溯源，可自动化复现受害者从最开始的遭受攻击到权限维持各个阶段的黑客行为，包括攻击入口溯源。支持基于可视化的形式展示威胁的影响面，通过大数据分析和关联检索技术，能够直观的看到失陷主机的威胁影响面，同时基于列表模式展示攻击、违规访问、风险访问、可疑行为、正常访问等详细信息。支持攻击溯源功能，分析出首次失陷、疑似入口点、首次遭受攻击等信息。

报表中心

全网安全态势报告

▲支持综合安全风险、主机安全风险、脆弱性感知、外部感知、工单、摘要、处置报告多种方式呈现，也支持自定义时间导出PPT报告。

可快速生成月度、季度、年度PPT报表，包含网络安全整体解读、网络安全风险详情、告警及事件响应盘点等，帮助用户高效汇报，体现安全工作价值。

（需提供截图证明并加盖原厂商公章）

告警推送

▲告警方式支持邮件告警、短信、微信告警方式。告警条件、推送频率、推送时间等可自定义；

短信邮件告警支持策略部编辑，可将不同告警内容发送至不同的责任人；

邮件告警支持报表通知事件举证清晰，支持邮件标记已处置，简化处置运维

（需提供截图证明并加盖原厂商公章）

通报预警

预警中心

支持通报预警，支持新增加签功能（短信或邮件通知），可邀请指定管理员研判评论，双方评论回复均可视。

通报中心

▲支持随机生成临时管理员用户名和密码，供外援安全人员进行使用：

（1）随机用户名为临时自动创建管理员，只具备指定资产对应的：处置中心、脆弱性、日志检索的查看和操作权限，具备处置、上传附件等下级管理处置的权限。

（2）密码为随机生成的密码。

（3）工单下发临时账户生成并开始算有效期，有效性上限与处理时间上限一致，有效期到后临时账号自动删除。

（4）重新下发会再次生成一个临时账号和随机密码，并重新更新有效期。

（需提供截图证明并加盖原厂商公章）

下发工单

▲（1）支持下级管理员批量认领上级通报的事件，新增“实际处理时间（天）”，从工单认领开始计时，当处理时间超时，显示：实际处理天数/超时天数，并标红

（2）处理时间：为工单下发开始计时，当处理时间超时，待处置工单显示：处理天数，并标红；鼠标移到叹号，显示超时天数

（3）支持处置评价：分5个评价等级，对下级单位处置进行考评

（需提供截图证明并加盖原厂商公章）

处置中心

安全设备联动响应

▲支持剧本管理、应用管理、动作管理，其中应用聚焦网关类联动应用包括天融信防火墙、华三H3C防火墙、绿盟防火墙、迪普防火墙、PaloAlto防火墙、山石防火墙、比特樊得防火墙、华为防火墙、飞塔防火墙、钉钉消息推送、Macmon网络控制器、企业微信推送、阿里云短信平台通知推送、腾讯云短信平台通知推送20+等（需提供截图证明并加盖原厂商公章）

资质要求

厂商资质

▲所投产品的生产厂商应是国家互联网应急响应中心网络安全应急服务国家级支撑单位；

▲要求所投产品的生产厂商具备中国网络安全审查技术与认证中心的信息安全软件开发服务一级资质，提供有效证书复印件并加盖厂商公章。

产品资质

▲要求所投产品具备国家IT产品信息安全产品认证证书，提供有效证书复印件并加盖厂商公章。

▲要求所投产品通过中国信通院网络安全产品技术能力验证评估测试报告，提供有效证书复印件并加盖厂商公章。

服务

维保服务

★提供三年产品质保；三年软件升级、三年特征库升级；