序号

项目

服务内容

次数

1

重大活动安全保障

1. 在活动召开期间，投标人需派出至少1名安全攻防经验丰富的安全专家，进驻用户现场，协助用户对目标业务系统进行现场安全值守，对业务系统的安全状况进行实时监控和日志分析。通过系统自带的Ping工具或第三方监控工具，对目标业务系统的连通性进行实时监控，一旦业务系统的连通性出现异常，将第一时间得知，从而对其进行快速处理；

2. 通过流量分析系统之类的工具，对目标业务系统的出入流量进行实时监测，分析网络的流量、并发、会话、全链接、半链接等关键数据，并同时对网站、数据库、中间件的日志进行分析并形成日志审计记录，从而有效评估业务系统的运行状态是否正常，确保业务系统的正常运行；

3.通过防火墙、WAF、网站防篡改、IDS、DDOS流量清洗等设备，对目标业务系统的安全状态进行实时监控，实时了解业务系统的安全状况。

4.要求重点保障期间投标人提供使用应急处置系统及流量与态势感知平台等工具共同入场为客户提供现场安全保障服务；

5.▲为保障现场服务质量，现场服务的过程中所使用的服务工具，支持对病毒的网络层传播行为进行溯源及阻断，防止内网病毒扩散（需提供CNAS或CMA认可的第三方检测机构出具产品检测报告复印件证明）；

6.▲支持防IP扫描、防UDP端口扫描、防TCP端口扫描等异常行为（需提供CNAS或CMA认可的第三方检测机构出具产品检测报告复印件证明）；

7.▲支持“肉鸡”源主机的溯源及阻断（需提供CNAS或CMA认可的第三方检测机构出具产品检测报告复印件证明）；

8.▲支持IP仿冒、MAC仿冒溯源与阻断（需提供CNAS或CMA认可的第三方检测机构出具产品检测报告复印件证明）；

9.▲支持识别IPC等哑终端设备类型，并支持开启终端安全功能，只允许特定类型的设备接入网络（需提供CNAS或CMA认可的第三方检测机构出具产品检测报告复印件证明）。

1次

2

安全风险评估

1. 对网络拓扑进行分析、对网络设备、主机、应用系统进行、基线配置核查、安全日志分析、完成后给出全网的脆弱性安全评估报告，提出系统加固建议以及相关应急措施。

2. ▲为保障服务质量，安全风险评估服务过程中所使用的服务工具，支持基于ATT&CK框架的攻击链分析，内置入侵阶段的攻击链知识库，入侵阶段包括但不限于：扫描探测、投放利用、代码执行、持续突防、权限提升、防御绕过、账户破解、环境洞察、横向扩散、数据采集、命令控制、数据窃取、深度影响（须提供CMA或CNAS认可的第三方检测机构出具的检测报告复印件证明）；

3. ▲支持AI判真功能，存在多个攻击手段的攻击事件显示为AI判真事件，AI判真事件存在AI判真标识（须提供CMA或CNAS认可的第三方检测机构出具的检测报告复印件证明）。

1次

3

安全漏洞扫描

1.周期性对目标进行安全漏洞扫描，完成后提供全面的漏洞扫描报告，给出存在的安全漏洞及潜在的安全风险，并给出对应的整改建议，确保网络安全运行；

2.▲为保障服务质量，安全漏洞扫描服务过程中所使用的服务工具，可基于A 段、B 段创建并下发资产盘点任务，检测任务可发现目标范围内在线的资产，可检测到在线资产的 IP 地址、 MAC 地址、操作系统、资产类型、设备厂商、设备型号、软件版本，并在报告中展示设备开放的高危端口（须提供CMA或CNAS认可的第三方检测机构出具的检测报告复印件证明）；

3.▲为保障服务质量，安全漏洞扫描服务过程中所使用的服务工具，具备对高危漏洞的自动化验证功能，自动对漏洞进行验证、判断，并可在安全检测报表中体现（须提供CMA或CNAS认可的第三方检测机构出具的检测报告复印件证明）。

1次

4

安全基线检查

通过专业的配置核查工具结合人工分析的方式，根据安全规范要求，对服务器、数据库、中间件、网络设备、安全设备进行安全配置核查，及时发现不合规配置，提出修改方案或建议。

1次/年

5

安全应急服务

提供安全事件应急响应远程服务（服务方式不限于：微信、QQ、电话、邮件等形式），并提供安全事件应急报告。

按需提供

6

网络应急服务

提供网络运维故障应急响应服务（服务方式不限于：微信、QQ、电话、邮件等形式），并提供网络故障事件应急报告。

按需提供

序号

名称

功能参数

数量

1

态势感知平台

1.支持查看5G威胁的日志统计数据，包括攻击级别分布，攻击名称Top5和手机号Top5统计图以及5G威胁事件的列表；支持查看5G威胁日志的攻击列表展示，包括攻击者、受害者、所属机构、攻击类型、攻击名称、关键字、发现时间（须提供产品功能界面截图证明和第三方权威机构检测报告，并加盖投标人公章）；

2.5G威胁单条威胁日志展示的主机信息包括源IP、源端口、目的IP、目的端口、协议、资产的机构分组或非资产的国家名，检测信息包括发现时间、检测引擎、攻击名称、攻击级别、攻击类型、数据来源、特征ID、解释说明和解决方案（须提供产品功能界面截图证明和第三方权威机构检测报告，并加盖投标人公章）；

3.支持从攻击者和受害者视角分别展示用户威胁列表，至少包括：用户名称、攻击类型、攻击名称、发起或遭受攻击次数等，并支持下钻展示单个用户发起或遭受攻击的列表及详情（须提供产品功能界面截图证明，并加盖投标人公章）；

4.支持自定义攻击事件分析模型，至少包括：事件规则匹配模型、事件统计分析模型、事件关联分析模型；内置38种及以上安全事件分析模型，如冰蝎webshell通信、利用Sqlmap上传webshell、Acunetix安全工具扫描、APPSCAN工具扫描等（须提供产品功能界面截图证明和第三方权威机构检测报告，并加盖投标人公章）；

5.支持攻击事件时间溯源轴展示匹配上的威胁建模模型信息,攻击手段显示模型名称，事件类型显示威胁建模设置的事件标签，覆盖的攻击阶段显示威胁建模设置的攻击链，安全处置建议显示威胁建模设置的处置建议（须提供产品功能界面截图证明和第三方权威机构检测报告，并加盖投标人公章）；

6.支持时间轴溯源分析，以时间轴的形式展示攻击者在入侵全过程中各个入侵时间节点中的攻击目标、攻击次数、攻击手段以及攻击阶段，同时提供各攻击手段安全处置建议；展示该攻击事件历史的处置记录（须提供产品功能界面截图，并加盖投标人公章）；

7.★支持基于ATT&CK框架的攻击链分析，内置13个入侵阶段的攻击链知识库，入侵阶段包括但不限于：扫描探测、投放利用、代码执行、持续突防、权限提升、防御绕过、账户破解、环境洞察、横向扩散、数据采集、命令控制、数据窃取、深度影响（须提供产品功能界面截图和第三方权威机构检测报告，并加盖投标人公章）；

8.★支持多层溯源功能，开启多层溯源后，默认展示两层溯源信息，攻击手段在展示图中消失(改为显示受害者ip），右侧展示攻击手段TOP6及描述信息；支持选择1-10层进行溯源，溯源层数不足时默认展示可溯源的最高层数，不同层源使用不同颜色区别展示，并可点击攻击者跳转查看攻击事件详情（须提供产品功能界面截图和第三方权威机构检测报告，并加盖投标人公章）；

9.★支持攻击关系分析，以攻击者视角展示针对每个攻击目标所采用的攻击手段的攻击关系视图，同时展示攻击事件的攻击手段TOP统计，以及每种攻击手段的描述说明，并支持下钻（须提供产品功能界面截图证明，并加盖投标人公章）；

10.支持攻击关系分析，以攻击者视角展示针对每个攻击目标所采用的攻击手段的攻击关系视图，同时展示攻击事件的攻击手段TOP统计，以及每种攻击手段的描述说明，并支持下钻（须提供产品功能界面截图证明，并加盖投标人公章）；

11.支持攻击详情分析，基于受害者、目的端口、时间段、攻击手段、攻击类型、攻击级别、攻击名称等七个维度进行网络攻击日志检索，可查看本次攻击事件涉及的网络攻击的详细情况，以及下载原始攻击数据包（须提供产品功能界面截图证明，并加盖投标人公章）；

12.支持访问记录分析，可展示本次攻击事件的访问关系，至少包括：被访问者、源端口、目的端口、日志类型、访问信息和发现时间等，并可查看单次访问的详细情况（须提供产品功能界面截图证明，并加盖投标人公章）；

13.支持AI判真功能，存在多个攻击手段的攻击事件显示为AI判真事件，AI判真事件存在AI判真标识（须提供产品功能界面截图和第三方权威机构检测报告，并加盖投标人公章）；

14.支持资产画像功能，可显示资产的外部访问的流量统计信息、访问的源IP、目的IP、访问方式和流量趋势；内部访问的流量统计信息、访问的源IP、目的IP、访问方式和流量趋势；外连访问的流量统计信息、访问的源IP、目的IP、访问方式和流量趋势（须提供产品功能界面截图和第三方权威机构检测报告，并加盖投标人公章）；

15.支持独立的威胁情报检索模块，可根据IP、域名、文件哈希等进行威胁情报检索功能；支持对检索到的威胁情报进行展示，展示内容包括：级别、类型、时间、评分、关联情报，以及影响的资产范围（须提供产品功能界面截图证明，并加盖投标人公章）；

16.支持对于已检测出的网络攻击，联动现网安全防护设备下发处置任务，联动处置的设备类型至少包括：应急处置系统、WAF、IPS、FW等，支持通过平台查看、导出和搜索处置列表，可针对正在生效的处置记录进行失效处理（须提供产品功能界面截图证明，并加盖投标人公章）；

17.支持SOAR自动编排功能，攻击事件匹配上剧本设定的攻击条件、机构分组、IP等信息后，攻击事件按照剧本设置的处置策略如封禁、白名单、判认、忽略、邮件、通报等处置手段进行处置，攻击事件被盖上相应的处置标签，处置列表显示处置目标、数据来源、联动设备、处置状态、处置信息、所属机构、处置来源、处置手段、操作用户、处置事件、备注信息（须提供产品功能界面截图和第三方权威机构检测报告，并加盖投标人公章）；

18.支持AI自动处置功能，当处置列表有昨天的处置信息，今天没有处置信息时，攻击事件支持自动按照昨天的处置历史信息进行处置，攻击事件被盖上相应的处置标签，历史处置记录按时间轴形式显示处置时间、设备信息或备注信息，处置列表新增一条处置信息，显示处置目标、所属机构、数据来源、威胁等级、威胁资产数量、事件类型、处置来源、处置手段、处置时间、生效日期和备注信息（须提供第三方权威机构检测报告，并加盖投标人公章）；

19.支持从用户威胁、外部威胁、内部威胁、外连威胁、对外威胁等维度进行安全态势的分析及呈现，同时支持综合威胁态势、资产态势、漏洞态势、文件态势和机构威胁态势等维度来进行安全态势呈现及大屏展示（须提供产品功能界面截图证明，并加盖投标人公章）；

20.支持展示安全风险评级、攻击事件类型TOP5、攻击事件级别分布、外部攻击类型TOP5、外部攻击者TOP5等信息，支持在全球地图上展示攻击者到受害者的攻击视图，展示主要攻击类型，展示资产受害者TOP5，支持展示攻击者数量、受害者数量、攻击总数、已沦陷资产数量和活跃攻击源TOP5等信息，同时支持实时滚动攻击日志，每条攻击至少包括攻击者、受害者、攻击类型、攻击等级、攻击名称和时间（须提供产品功能界面截图证明，并加盖投标人公章）；

21.支持展示整个网络的脆弱性评分、漏洞事件级别分布、漏洞事件类型TOP5、模拟人工渗透事件列表等信息。（须提供产品功能界面截图证明，并加盖投标人公章）

22.支持资产态势展示，展示资产状态分布、资产价值分布、最新资产动态等。（须提供产品功能界面截图证明，并加盖投标人公章）

23.支持对流量采集设备进行策略配置和下发，策略至少包括：采集接口配置、日志服务器地址和流量分析策略（标准模式、增强模式、深度模式和专家模式），其中分析策略中专家模式支持自定义攻击策略（至少包含：WEB渗透攻击、暴力破解、数据库攻击、挖矿、恶意文件传播、远程控制和主机渗透攻击）、审计策略（至少包含：常见流量行为、文件还原、深度流量行为、网络管理、远程登录等）、采样等级和高级设置（至少包含：访问日志策略、端口扫描阈值、IP扫描阈值、XFF头部、5G引擎、自定义弱口令规则和全包存储规则等的配置）（须提供产品功能界面截图证明，并加盖投标人公章）；

24.具备国家网络与信息系统安全产品质量监督检验中心颁发的《信息技术产品安全测评证书》；

25.具备中国网络安全审查技术与认证中心颁发的《IT产品信息安全认证》；

26.具备中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》。

1套

2

EDS

1.部署方式：支持透明方式部署，不增加三层网络转发节点；

2.整机最多可支持20个万兆接口；支持万兆硬件bypass接口

3.封禁性能：最高支持1000万条IPv4地址封禁策略，1000万条IPv6地址封禁策略；支持封禁100万英文域名地址；最大安全业务处理能力≥30Gbps；400万条策略的基础上新增策略配置生效时间小于500毫秒；

4.黑白名单：支持基于业务保护的黑白名单机制，黑白名单可通过单个IP，连续IP等多种格式进行配置；为防止双向攻击事件，黑白名单中的IP对于源IP或目的IP均可匹配生效；

5.快速处置：支持地址段导入功能，可一键对地址段中的地址进行封禁或放通；支持基于组的策略配置管理，对组内IP进行一键阻断或放通；支持对地址库总数量的统计功能；支持对地址库中的IP进行精细化检索；

6.封禁查询：可通过设备页面查看当前被封禁IP、域名地址、封禁动作生效时间、封禁总包数等状态信息；支持 IPv4 及 IPv6 地址实时封禁信息展示；支持对统计信息进行刷新清零；

7.封禁时间策略：支持自动生成封禁时间策略；

8.API接口：可提供RESTful接口，对接第三方平台。支持通过API方式与第三方平台联动，实现平台调用封堵能力；

9.导入导出：封禁策略支持导入导出，可灵活地将用户或第三方恶意IP地址库进行导入以实现封堵；

10.高可靠性：支持双机热备双活方式部署，并在因上下游设备导致同一流量出方向与入方向路径不一致的环境中，不影响业务流量正常转发；支持双机配置同步，在任何一台设备上对策略的操作都会自动同步到另外一台设备上；设备支持万兆硬件bypass；

11.设备管理:支持对设备的硬件状态进行监控和告警阈值设定，包括CPU利用率、内存利用率、CPU温度、主板温度、风扇状态，并支持通过syslog和snmp发送相关告警；

12.分级管理：支持用户权限分级管理，支持超级管理员、操作员、审批员、管理员等角色。

13.具备国家网络与信息系统安全产品质量监督检验中心颁发的《信息技术产品安全测试证书》。

14.具备中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》。

1套

3

威胁诱捕系统

"威胁诱捕系统：

基于欺骗防御技术，通过事先设计好的各种虚假的资产目标，吸引攻击者的注意，干扰攻击者的视线，误导攻击者引诱其对这些陷阱进行触碰和进一步交互，从而感知和捕获攻击者的行为，在第一时间感知到威胁事件的发生，掌握安全事件的主动权。

1、伪装欺骗

通过在业务网络中的空闲主机上部署agent程序，用于伪装成真实资产，来干扰攻击者的认知和吸引攻击者的注意。魅影提供广泛的欺骗类型，包括仿真的服务、数据库、应用等。

2、攻击转移

系统支持把攻击者对轻量级的诱捕节点开放端口和服务的访问转向到后端集中部署管理的蜜罐中，形成交互反馈。通过把攻击者对真实网段中诱捕节点的访问重定向到后端蜜罐中，有效地将来自对业务网段主机的攻击转移到了后端蜜罐中，从而形成攻击转移和隔离。

3、蜜罐攻击行为捕获

在蜜罐主机上部署蜜罐交互行为监控模块，支持记录攻击者对蜜罐上的操作行为，包括服务连接行为、服务登录行为、主机登录行为、数据库登录行为、数据库访问行为、web页面访问行为、以及在蜜罐中执行的shell命令等，捕获的内容包括用户名、口令、执行的命令、访问的url等信息

4、威胁展示

系统通过时间轴的方式展示攻击者在蜜罐中详细的交互行为，展现的内容包括连接行为、登录行为、命令执行、数据库访问、web页面访问等。

5、溯源分析

支持web业务蜜罐溯源功能，可获取攻击者信息包含但不限于：IP地址，指纹，显卡，操作系统，真实IP，主流社交账号信息方便溯源。"

1套