指标项

指标要求

系统环境支持情况

★需支持常见的Windows、linux操作系统，国产操作系统等包括：UOS；NeoKylin：；YHKylin；Debian；RHEL；SUSE；Anolis OS等；具备后期可通过证书扩展支持Unix操作系统能力，如AIX ；Solaris等。（需提供相关产品功能截图并加盖厂家公章）。

★支持信创操作系统（arm架构）:AlmaLinux 8、9； Anolis OS： 7、8； EulerOS： 2；Redflag Asianux：7；RockyLinux：8、9；iSoft：5；UOS 20（通信UOS）；NeoKylin：7（中标麒麟）；YHKylin4、10（银河麒麟）；Debian：10；RHEL：7；SUSE：15。（需提供相关产品功能截图并加盖厂家公章）。

主机资产

清点

支持自动化统计主机基本资产信息，至少包括：主机上线时间、状态，操作系统版本信息，CPU、内存、硬盘、分区、主机IP地址、MAC地址、DNS、默认网关、主机系统负载等。

资产清点需要能够做到针对系统证书、软件应用、计划任务、环境变量、内核模块、账号、进程端口、注册表等进行细颗粒度的清点能力。

★针对环境变量资产需按照环境变量类型分为系统变量与用户变量，并可按主机IP、用户、环境变量名、环境变量值、环境变量类型进行展示。（需提供相关产品功能截图并加盖厂家公章）。

★针对软件应用，需支持自动清点RPM、DPKG等常见系统安装程序，还可通过自定义应用指纹，识别自研应用或默认未支持应用。（需提供相关产品功能截图并加盖厂家公章）。

★需支持清点Windows系统中包含的根证书颁发机构，受信任证书信息，当无法确定一个程序是否合法，可查询此处信息辅助参考，至少应包括，签名信息，颁发者，指纹，证书路径，有效期。（需提供相关产品功能截图并加盖厂家公章）。

★需支持自动清点系统中Crontab计划任务，At计划任务，Batch计划任务，并按主机IP、启用状态、执行周期、执行命令或脚本、执行用户、配置文件路径对计划任务进行展示。（需提供相关产品功能截图并加盖厂家公章）。

★支持自动清点服务器存在的数据库信息，至少包括：主机IP、数据库版本、监听端口、运行用户、配置文件路径、日志文件路径、插件路径、绑定IP地址、启动参数；支持数据库类别应至少支持：MySQL、Redis、MongoDB、Oracle、PostgreSQL、Hbase、SQLServer，还需支持国产化数据库清点，至少包括达梦数据库、人大金仓数据库、神舟通用数据库等。（需提供相关产品功能截图并加盖厂家公章）。

★支持查询账号公钥KEY的使用情况统计，一旦公钥泄露，可以定位受影响的主机。（需提供相关产品功能截图并加盖厂家公章）。

★支持清点系统的容易被黑客篡改的注册表位置，例如，修改AppInit_DLLs实现持久化、修改Authentication Packages实现登录劫持、修改Security Packages实现登录劫持、修改Notification Packages实现登录劫持等。（需提供相关产品功能截图并加盖厂家公章）。

★资产需支持按照全局，单个资产，单个主机的单个资产等任意粒度的资产详细报表导出，对所有导出结果提供文件中心，导出结果可保留7天，支持多次下载的能力。（需提供相关产品功能截图并加盖厂家公章）。

风险发现

能力

主机风险发现能力需要按照风险视角和主机视角对补丁、漏洞、弱密码、应用风险、系统风险以及账号风险进行统计并展示，支持展示整个扫描过程，扫描完成后应展示当前结果的更新时间。

★支持提供补丁的详细信息，包括补丁的修复建议、修复命令、修复影响，补丁当前版本和修复后版本，并提供各维度的补丁风险特征：内核风险、存在exp、远程利用、本地提权，以及相关的CVE编号，并支持分析补丁修复对服务器进程的影响。（需提供相关产品功能截图并加盖厂家公章）。

★支持服务器进行系统及软件漏洞检查，至少包括：漏洞名称、风险描述、影响范围、验证信息、修复建议、是否存在EXP或远程利用；支持对检查结果进行多维度的筛选。支持自定义作业，进行漏洞作业的新建、编辑、删除和执行。（需提供相关产品功能截图并加盖厂家公章）。

★支持选择漏洞检测的方式，采用系统影响较小的版本比对方式、条件检测或是采用poc检测方式。（需提供相关产品功能截图并加盖厂家公章）。

★支持对多种系统及应用进行弱密码检测，至少包括：oracle、Weblogic、Jenkins、Tomcat、OpenLDAP、InfluxDB、ProFTPD、SVN、MySQL、PPTP、VNC、SSH、OpenVPN、rsync、Redis、vsftpd。支持自定义简单密码字典，允许定义的弱密码字典数量应不少于3000个，且支持读取TXT文件中的弱密码进行批量导入，支持用户自定义字典，支持自定义组合密码，允许按照前缀，中缀，后缀模式分别定义字典，支持查看明文或密文密码值，包括弱密码的发现时间、修复时间、修复耗时等。（需提供相关产品功能截图并加盖厂家公章）。

★支持查看弱密码修复详情，至少包括弱密码的发现时间、修复时间、修复耗时等；支持弱密码断点续扫，并显示每次弱密码扫描的进度和结果（需提供相关产品功能截图并加盖厂家公章）。

支持检查系统中由于系统不安全配置产生的风险，包括路由转发功能是否开启、检测umask值异常、检测grub密码设置、无密码可sudo的账号、/etc/shadow权限检查、系统中不必要的系统账号等。并可按照系统风险名关键字、风险危害程度、风险修复的应用加入白名单。

入侵检测

能力

主机入侵检测可以实时的针对入侵动作及时告警，支持检测暴力破解、异常登录、反弹shell、本地提权、后门检测、web后门、可疑操作和web命令执行等。

★所有操作应支持自动处理策略，无需人员干预紧急处理；自动处理策略可灵活配置，支持配置策略的适用主机范围，适用时段。（需提供相关产品功能截图并加盖厂家公章）。

实时监控系统登录情况，支持根据自定义规则发现异常登录行为并产生告警，规则至少支持：登录IP地址、登录时间、登录地点、登录账号，实时监控检测SSH、RDP、WINRM暴力破解行为，具有针对暴力破解的源地址进行自动封停能力。支持控制是否监控内、外网的登录行为，实时监控检测SMB暴力破解行为。

实时检测Linux和Windows下的反弹shell行为并产生告警，告警信息至少包括：发现时间、目标IP地址、目标端口、连接进程、进程路径、父进程、进程树。可单独设置是否上报内网反弹行为。

★实时检测服务器的提权行为并产生告警，告警信息至少包括：被提权主机IP地址、发现时间、提权进程、提权用户、父进程、父进程所属用户、处理状态、操作，可对提权进程手动进行阻断，阻断操作必须进行二次确认。（需提供相关产品功能截图并加盖厂家公章）。

实时检测服务器存在的系统及应用后门并产生告警，告警信息至少包括：被感染主机IP地址、检测说明、检测结果、修复建议，可对后门进行隔离和删除操作，并可按发现时间和检测结果进行筛选。

★可自定义后门检测规则，自定义内容至少包含恶意域名、恶意IP与端口、恶意进程名、恶意脚本内容、恶意文件特性、恶意系统配置等（需提供相关产品功能截图并加盖厂家公章）。

★支持实时检测Web后门并告警，并将Webshell中有问题的函数和代码段高亮显示，便于查看。支持检测当文件A和文件B都都不属于病毒文件，但是当文件A include B 后组成了一个病毒文件。（需提供相关产品功能截图并加盖厂家公章）。

★支持将Webshell中有问题的函数和代码段高亮显示，便于查看；NFS挂载的网站目录识别，且支持按照单台主机开启/关闭，防止引发性能问题（需提供相关产品功能截图并加盖厂家公章）。

★支持对监控主机的管理能力，可选择开启/禁用主机上的异常告警；提供对监控规则的管理能力，支持用户自定义检测规则和开启/禁用系统内置规则（需提供相关产品功能截图并加盖厂家公章）。

★支持通过bash插件对操作命令审计出来的可疑操作内容进行审核，还需实时监控进程的异常命令执行行为，对于符合WebRCE特征的行为进行实时告警，并提供进程执行的详细进程树信息。所有进程均提供如下信息，进程名，所属用户，文件路径，文件执行权限，进程命令行。（需提供相关产品功能截图并加盖厂家公章）。

合规基线

能力

★主机的合规需要做到基于CIS的1级和2级以及等保2.0的二级和三级的合规要求，并且还需要具备应用基线合规的能力。（需提供相关产品功能截图并加盖厂家公章）。

★系统安全基线应至少覆盖Ubuntu、Debian、CentOS、Oracle Linux、Red Hat Enterprise Linux、Suse Linux、中标麒麟、Windows2008/2012/2016/2019。应用安全基线应至少覆盖Apache/MySQL/MongoDB/Nginx/Tomcat/Weblogic。（需提供相关产品功能截图并加盖厂家公章）。

★基线应支持定时检查，并可以通过报表的方式进行手动或者定时完成。（需提供相关产品功能截图并加盖厂家公章）。

病毒查杀

★支持至少包含5个以上杀毒引擎，并可以自定义配置每个杀毒引擎的开启和关闭，所有引擎应提供版本号，更新时间。（需提供相关产品功能截图并加盖厂家公章）。

★可以支持对进程实时云端查杀，也可以支持安装agent本地引擎对本地文件进行主动扫描检测。（需提供相关产品功能截图并加盖厂家公章）。

★可选择主机进行本地引擎安装、升级和卸载，用户可设置是否自动安装和自动升级，可查看本地引擎版本支持清单，查看不可用主机列表。（需提供相关产品功能截图并加盖厂家公章）。

★可选择主机进行防病毒功能开启与关闭、自动处置开启与关闭；用户可设置新主机上线是否自动开启防病毒与自动处置。（需提供相关产品功能截图并加盖厂家公章）。

★提供修复历史，记录所有已修复或已进行处理的事件信息，准确记录修复的相关信息，记录信息至少应包括：病毒名称、事件说明、感染主机、发生时间、修复时间、处理人和处理方式。（需提供相关产品功能截图并加盖厂家公章）。

微隔离

★可按主机粒度设置网络连接数据的过滤规则，满足条件的连接数据不采集上报，规则要素至少包括目的IP、来源IP、进程、端口，并且新装主机自动配置这些规则。（需提供相关产品功能截图并加盖厂家公章）。

主机被划分为多个分组，展示所有主机之间、分组之间的网络连接情况。

★在拓扑图中提供基于端口、协议、进程的流量搜索功能。（需提供相关产品功能截图并加盖厂家公章）。

★对于暂不确认是否为正常的访问关系，可直接在列表中将其设置为待定状态。（需提供相关产品功能截图并加盖厂家公章）。

★策略同步后统计同步成功和失败的主机数量，并可查看同步失败的主机和失败原因，根据失败原因修复后，主机可接收到最新策略，并且之前同步失败的提示消失（需提供相关产品功能截图并加盖厂家公章）。

★提供宽松访问控制模式，对配有策略的服务端口，符合策略的访问为正常，其他访问为异常，进行告警或阻断；对无策略端口的访问为未处理状态。（需提供相关产品功能截图并加盖厂家公章）。

★对于开启微隔离功能的主机，自动备份主机防火墙的状态，可通过控制台查看防火墙备份的详情。（需提供相关产品功能截图并加盖厂家公章）。

★在关闭微隔离功能后提供可删除设置的微隔离策略并恢复主机原有防火墙状态选项。（需提供相关产品功能截图并加盖厂家公章）。

★具备便捷的策略配置功能，能够自动指定业务系统的业务流量，按照主机、服务（进程）两种维度自动生成策略，提高配置微隔离策略的效率。（需提供相关产品功能截图并加盖厂家公章）。

★能够直观展示业务组组内主机流量策略覆盖度、服务覆盖度。（需提供相关产品功能截图并加盖厂家公章）。

★能够检测主机环境是否符合微隔离的部署要求，并在开启微隔离功能后持续监控主机情况。（需提供相关产品功能截图并加盖厂家公章）。

★能够记录连接跟踪模块（conntrack内核模块）已建立的连接，并选择是否启用自动调整上限功能，如启用将在计数到达风险阈值后自动调整上限以规避风险。（需提供相关产品功能截图并加盖厂家公章）。

★可对异常访问告警标记为已处理，告警被移除并生成处理记录，以后相同的访问仍会触发告警。（需提供相关产品功能截图并加盖厂家公章）。

★调整主机的分组、标签时，检测是否会导致主机的策略发生变化，并提示主机将新增或删除哪些策略，管理员确认后才真正执行分组、标签的调整。（需提供相关产品功能截图并加盖厂家公章）。

客户端管理

★支持检测Agent离线，Agent卸载，Agent停用，Agent被恶意关闭的行为，并提供告警提示相关行为（需提供相关产品功能截图并加盖厂家公章）。

★所投产品客户端在主机中运行的进程不得超过3个以上，避免影响服务器运行（需提供相关产品功能截图并加盖厂家公章）。

功能扩展

能力

★系统需支持通过导入证书方式进入功能扩展，扩展功能包括但不限于：大屏展示、微蜜罐、内存后门、事件采集、文件完整性等。（需提供相关产品功能截图并加盖厂家公章）。

安全性与稳定性

★客户端不得修改服务器操作系统内核。（需提供相关产品证明文件并加盖厂家公章）。