指标项

指标要求

整体概述

系统要求

系统应采用B/S架构，使用浏览器即可登录系统管理界面，无需安装客户端软件。包括日志收集、存储、查询和统计分析等功能，含永久使用USB Key。本次配置≥200个日志源；可无限制扩展存储空间。

硬件规格

标准1U机架设备，标配单电源；支持接口至少2个10/100/1000Base-T接口；内存8GB硬盘，2*2TB SATA（默认RAID1，可定制扩展），单电源。（可采用第三方硬件平台）性能：日志采集处理均值20000EPS，峰值35000EPS。

安全性要求

系统应支持https访问管理界面，支持设置非法用户访问控制策略。

部署方式

支持集群部署，弹性扩展；支持单级部署和级联部署；支持虚拟化部署；支持代理分布式部署采集日志。

数据采集

采集范围

1.能对网络设备、安全设备、主机操作系统、数据库以及各种应用系统的日志、事件、告警等安全信息进行全面的采集和存储

采集对象

系统满足设备的信息采集要求，主要包括：

1. 安全设备：启明WAF防火墙、绿盟IDS、华为防火墙、天融信防火墙、深信服防火墙、山石网科防火墙等；

2. 操作系统：Linux、Windows、Window server、Unix等操作系统

3. 数据库：Oracle、MySQL、SQLServer等；

4. 应用系统：如Apache、Tomcat、IIS、weblogic等。

5. 网络设备：主流的路由器、交换机、负载均衡等网络设备等，如Cisco、华为、锐捷、H3C等

采集方式

系统支持通过SNMP Trap、Syslog、(S)FTP、NetBIOS、ODBC\JDBC、文件\文件夹、AGENT代理等方式。

事件采集器

1.日志管理中心可监控各采集器的cpu利用率、内存利用率等性能；

2.日志管理中心可对各采集器下发采集任务。

数据处理

过滤

1支持对每个日志源设置过滤条件规则，自动过滤无用日志，可过滤出无关安全事件；

2.过滤策略支持引用过滤器。

范式化

1.系统支持范式化功能，实现对异构日志格式的统一化描述；

2.范式化字段至少应包括事件接收时间、事件产生时间、事件持续时间、用户名称、源地址、源MAC地址、源端口、操作、目的地址、目的MAC地址、目的端口、事件名称、事件摘要、等级、原始等级、原始类型、网络协议、网络应用协议、设备地址、设备名称、设备类型等；

3.系统支持可视化的日志范式化编辑功能，可在系统界面中自定义添加；

4.系统支持二级范式化，可对已范化的内容进行详细范化，最终的泛化结果为一级二级范化后合并的结果；

5.范式化策略支持优先级调整。

日志源管理

1.支持以列表的方式展示日志源信息，包括：设备地址、设备类型、事件量、编码、接入时间、最后活跃时间等；

2. 支持设置告警时间，未收到该设备日志多长时间则告警；

3. 支持按设备设置编码格式，包括：UTF-8、UTF-16、GBK、GB2312、GB18030、Unicode、ASCII、ISO-8859-1；

4.日志源列表支持搜索查询。

5.支持手动添加日志源，管理员可以对日志源进行查看、添加、编辑、删除以及启\禁用的操作；

6.支持为日志源指定类型、名称、IP地址、收集节点、收集方式、以及日志源启停状态等属性信息；

7.支持日志源在线状态监测告警，实时监测日志源的可用性，可显示每个日志源采集日志的最近时间，实时展示每个日志源最近一天日志趋势变化；

8.支持以业务角度将日志源进行分组，支持在日志查询时以业务组进行查询，支持在首页拓扑展示时以业务组进行展示。

9.支持基于拓扑图的日志源相关数据信息快速查看。

存储

1.支持对所管理设备的日志原始数据完整存储，支持数据本地集中存储、网络存储；

2.支持根据设备重要程度设置独立设置每个被采集源的数据存储存储时间为1个月、3个月、6个月和永久保存等参数； （提供截图证明）

3.支持自定义存储位置，支持多盘并行存储，当磁盘满后自动切换存储位置，支持磁盘阵列、SAN、NAS等外部高性能存储；

数据分析

日志交互式分析

1. 提供日志的多种属性进行深入的追踪调查，支持多次追踪调查和迭代嵌套查询和回退；

2. 支持对日志以字段的方式进行即席统计。

3.支持百亿级数据交互式多条件查询，百亿级数据查询响应时间小于10s。

日志关联分析

1.为挖掘不同类型、来源于不同设备或系统的日志或安全事件之间可能存在的关联关系，系统支持关联分析功能；

2.系统支持基于图形化方式的规则编辑器，所有事件字段都可参与关联，规则可实时启用和停用；

3.支持关联事件重定义和告警重定义，可引用事件属性；

4.关联规则支持计数条件，可设置在指定时间范围发生次数达到设定值时触发规则，在指定的时间范围内不重复触发规则。

日志统计分析

1.可自定义统计场景，统计的字段条件和时间段可自由设定；

2.支持对数值字段进行计数、求和、求平均值、最大值、最小值等；

3.支持柱状图、饼图、折线图、面积图、堆积图、环状图、数值图等形式的统计信息可视化展示。

4.支持将统计结果保存为仪表板、报表和策略；

日志实时监控

1.系统支持实时显示日志内容，包括：接收时间、事件类型、事件名称、报警级别、来源IP、目的IP、设备类型、设备来源IP等。用户可查看日志详细信息和原始信息；

2.支持显示一段时间的日志动态移动图，能够在图上显示每个时间切片的日志数量、等级，并能够在图上显示总的事件数和每秒事件数；

3.支持通过每个时间切片，查看时间切片内的日志。

查询检索

原始消息查询

1.系统支持按照时间范围查询原始日志信息；

2.系统支持多个关键字查询原始信息。

全字段查询

系统支持按照每个字段进行日志查询，自定义字段也可做为查询条件。

查询条件

1.系统内置多种查询条件，可快速查询符合要求的日志；

2.支持自定义查询条件，查询条件可保存。

3.支持为不同类型日志设置不同的查询条件和显示条件；

4.支持在一个日志源查询结果列表中以IP为条件直接跳转到其他日志源类型中进行查询；

5.支持在查询结果页面上直接下钻二次查询，快速定位关键日志，还可以返回上次查询条件。

资产管理

资产列表

1.支持按照多种维度进行分组、分域管理，如地理位置、组织结构、业务系统等；

2.资产列表中的资产可移动，支持资产导入导出。

3.系统支持智能报表创建，每添加一个日志源，系统自动分析日志源类型进行相应报表创建，无需人工干预，报表和资产一一对应。(提供截图证明）

资产标签

1.支持给同一个资产添加一个或多个标签，同一个资产可以有多个标签，不同的资产可以有相同的标签。

资产检索

1.支持通过关键字、资产类型、资产组、资产标签、资产等级、是否有告警、漏洞、配置等等多种条件组合进行检索资产。

资产发现

1.支持通过日志信息发现资产。

告警管理

告警处理

1. ★告警详情支持引用事件属性，例如：可疑链接访问事件，详情可展示访问的源地址、源端口、目的地址、目标端口（截图证明）；

2.告警信息可更改显示状态；

3.告警规则可以自定义，告警可查询，导入导出。

告警统计

告警规则可以自定义，告警可查询，导入导出；支持自定义统计报表报告，支持PDF、Word、Execl、Html等方式导出报表，支持实时报表、计划报表。

报表管理

报表

1. 支持按照天、月度、季度、年度等时间周期生成报表；

2.支持在报表中以柱状图、曲线图、饼状图方式统计安全报警情况；

3.支持导出

PDF/HTML/PNG/DOCX/RTF/XLSX/XLS等格式；

4.支持定时将报表按照用户自定义的时间范围和文件格式生成报表，并可以下载生成的报表或者发送到用户邮箱。

报告

智能报告支持导出为PDF/HTML/DOCX格式；智能报告支持自定义添加和导入、导出。

知识库管理

知识库

1.系统内置事件库、案例库、应急预案库等；

2.支持自定义添加知识库内容。

综合展示

概览

1.概览界面支持单页展示所有组件信息，可大屏投放；

2.组件支持自定义文本、图片、页面、日历、事件统计、事件列表等。

仪表板

1.内置仪表板至少包括日志源仪表板，Windows表板，主机综合仪表板，防火墙仪表板，WEB仪表板，WAF仪表板，路由仪表板等，交换机仪表板，IDS仪表板，IPS仪表板等；

2.仪表板支持自定义添加、修改、删除等；

3. ★仪表版支持组件位置摆放，组件大小拖拽调整等（截图证明）。

系统管理

用户管理

1.支持根据三权分立的原则和要求进行职、权分离，三权账号为系统管理员、安全管理员和安全审计员。

性能监控

支持对系统采集的日志源进行监控；支持存储空间图像化、动态监控，超过阀值进行告警。

时间设置

支持自动同步时钟服务器；支持手动改写时间。

配置管理

1.设备配置支持备份还原系统常用配置，过滤器，规则，映射表，资源，范化配置等；

2.支持日志备份功能，支持本地备份和FTP备份方式，支持自动备份和手动备份

资质要求

资质证书

1、★投标产品具备公安部颁发的《计算机信息系统安全专用产品销售许可证》、国家版权局颁发的《计算机软件著作权登记证书》；

2、投标产品制造商应具备中国信息安全测评中心颁发的《国家信息安全漏洞库（CNNVD）技术支撑单位等级证书》（二级及以上）。

其他

中标后三天内采购人有权要求中标单位提供所投产品，按照招标文件设备技术参数要求进行功能性能测试，全部测试通过后方能签订采购合同，如不符合招标文件设备技术参数要求的虚假应标，中标单位将被取消中标资格。