安全感知管理平台技术参数及功能要求.docx

《安全感知管理平台技术参数及功能要求.docx》由会员分享，可在线阅读，更多相关《安全感知管理平台技术参数及功能要求.docx（12页珍藏版）》请在优知文库上搜索。

1、安全感知管理平台技术参数及功能要求一、安全感知管理平台功能项功能要求说明性能指标性能参数：在带宽性能IGbPS时存储时长Z1500天/1GbPs，硬件参数：规格22U,CPU22颗hygon5380处理器，主频不低于2.5GHz,核数才163内存4*32GBDDRI2933.系统盘22*24OGBSATA,数据盘210*4T,标配盘位数212,电源：白金,冗余电源，接口：支持不低于4千兆电口+2万兆光口。配置要求要求设备相关配置为中国信息安全测评中心发布安全可靠测评H录内，提供相关证明材料。大屏可视支持安全态势的可视化呈现，以大屏的方式从全网安全态势感知大屏、分支安全态势、安全事件态势、全网攻

2、击、资产态势、网络安全指挥调度安全态势、设备运行态势、外联风降态势大屏等提供不少于16块大屏展示界面。支持大屏轮播及自定义大屏瞰序设置和大解名称.自定义统计周期资产组划分、选择播放大屏及轮播时间间隔。（需提供产品功能截图证明,并提供第三方权威机构关于“大屏轮播功能项的产品检测报告）资产发现支持通过主动发送微量包的扫描方式探测潜在的服务器（影了资产）以及学习服务器的基础信息，资产指纹信息包括资产类型、端口、操作系统、MAC地址、主机名等。支持资产属性玳新识别，当发现资产数据不准确时，可清空该资产属性，如主机名、备注、操作系统、标签、地理位置、硬件信息、应用软件信息、账号信息、页任人信息、端口信息

3、等，重新发起识别后，平台会自动补齐资产属性，可批量操作。支持安全基线配置监测，可监测到开放了禁用端口、协议、屈性变更等，已IP地址、MAC地址、所属租户和检测到时间来判断是否处置。支持按照重要性级别识别Heb明文传输监测、配置风险（风险端口、配置不当）监测列表，如资产组、发现时间、处理状态等资产全生命周期管理支持自定义资产多级分支管理，最多可至15级分支。支持资产全生命周期自动管理，包括资产自动发现、多级资产、资产入库审核、资产离线风险识别、资产退库、资产数据更新，责任人管理机制等。联动行为管理支持联动原有行为管理设备，支持上网行为管理做资产用户名对接，精准识别终端资产责任人。（需提供截图打印

4、加盖原厂公章证明）支持联动原有行为管理设备，支持与行为管理设备的联动，包含上网提醒、冻结账号等（需提供截图打印加盖原厂公章证明）DNS日志接入支持DNS服务器日志导入,可以接入DNS服务器的日志，安全分析引擎将结合DNS服务器的日志，定位出DNS服务器代理风险外连场景下真实源IP,从而有效地进行风险处置闭环。脆弱性管理支持整体展示服务器脆弱性风险、热点漏洞情况、脆弱性风险详情（漏洞风险、配置风险、弱密码、WCb明文传输、可用性风险），支持第三方漏打报告导入和解析，可按资产组分类上传。支持云镜对接，配置映射域名和IP，监控资产为域名资产信息。弱口令检测密码检测技术基于UEBA学习技术（无监督自我

5、学习）提取登录成功的特征，通过IEBA技术对响应体内容和登录跳转路径进行持续学习训练登录成功特征，包括响应体内容JSOn、响应体关键字Keywonk响应体MD5值、响应体长度1.ength、登录跳转路径1.OCation,可实时自动生成学习到的登录成功规则。弱密码检测规则支持高度自定义，包括规则名称,生效域名、长度规则、字符规则、字典序、Web空空码、账号白名单、密码白名单、Ixi文件格式导入。弱口令识别弱密码识别支持主动扫描，支持加密协议的弱口令登录检测，支持SMB,MySQ1.、Orac1.e、RDP、SSFkRediMongoDBE1.asticSearchMSSQ1.等协议。配置支持基

6、于流量检测业务服务器的配巴不当情况，检测列表包含,服务不当器、所属业务、所属分支、配置不当类型、风险等级、发现时间等，支持配巴不当类型下钻，展示配置不当详情，提供解决方案和数据包举证，并支持导出配置不当报告漏洞分析支持流星实时识别漏洞分析,漏洞分析类型包含配置错误漏洞、OPenSSH漏涧、OPenU）AP等操作系统、数据库、WCb等，页面上支持展示业务脆弱性风险分布、漏洞类型分析、漏洞态势与危害和处置建议,并支持导出脆弱性感知报告。（所投产品必须提供第三方权威机构关于“漏洞风险识别”功能项的产品检测报告）安全日志检测支持安全检测日志、审计日志、第一:方日志存储，日志类型包括漏涧利用攻击、网站攻

7、击、僵尸网络、业务弱点、邮件安全、文件安全、网络流量、DNS、HTTP、SS1.协议识别、数据库、文件审计,PoP3、SMTP、IMAPs1.DAP,FTP、T等.Webshe1.1.具备WQbShe1.1.通信流址检测，可检出加密（如冰蝎）的通信流量，具备65（HWebSheI1.规则检测，目覆盖WebSheII整个攻击阶段检测，包括WebSheI1.上传点探测、WebSheI1.上传下载、WebShen通信.挖矿专项检测支持花审专项检测页面，具备挖矿攻击事前、事中和事后全链路的检测分析能力，综合运用威胁情报JPS特征规则和行为关联分析技术.如检测发现文件传输（上传卜载）阶段的异常,对挖矿早

8、期的准备动作即告警。平台内置挖矿安全知识库，对常见的挖矿如：B1.uehcro挖矿蠕虫变种、虚拟货币影矿、EnMiner挖矿病毒、PO1.rerGhoSt挖矿病毒、DDG挖矿病毒、DoCker挖矿、DDG挖矿变种、GrOkSterMiner挖矿病毒、1.inux挖矿木马、ZOn1.bieBOy挖矿木马等提供详细的背野介绍、感染现象、详细分析、相关IOC（MD5、C2、UR1.）,解决方案。文件威胁分析文件威胁分析支持平台内置的静态文件检测引擎、AI智能引擎，利用1,AutoEncoder,1.ogicRcgression,SVM1随机森林，XGBoost等多种机器学习算法组合进行综合研判。支持

9、采用AI技术针对无文件落地的罚急脚本进行检测。联动终端支持与同厂商的安全态势感知平台进行安全联动，支持管理员在安全检测响应感知管理平台管理界面下发快速查杀任务，并查看任务状态、结果并进行处置支持管理员在同厂商的安全态势感知平台管理界面下发一键隔离指令,对终端所有连接进行阻断，防止病毒进一步扩散支持将终端安全软件客户端检测出来的恶意文件事件、暴力破解事件的日志上报到同厂商安全态势感知平台，安全态势感知平台进行分析和展示邮件威胁分析支持对smip、imap、PoP3、WebmaiI等邮件协议审计，提取邮件正文和附件中的流量，并对邮件附件、正文链接、邮件行为、发件人等多维度进行规则和机器学习检测，从

10、而识别出钓鱼邮件、比特币欺诈、垃圾邮件等恶意邮件。服务能力证明所投产品的生产厂商应是国家互联网应急响应中心网络安全应急服务支撑单位（甲级），提供有效证书的复印件。所投产品厂商需是国家信息安全漏洞共享平台CNVD用户组成员，提供CV由官网截图证明：异常潦量分析支持按照对外业务流量:可视、横向流星可视、外联流量可视等开放的业务流量情况，展示服务器流量排行、最活跃源主机的内网服务器的流量情况，支持全球地图展示整体外联流量情况。日志关联分析结果可视化支持对700+网络安全设备规则，包括网络设备、安全设各、中间件、操作系统等:接入方式。支持文件、数据库、API、SySIog、FTP、Snmptrap%K

11、afka、WIni、Webservice、win1.ogbeat等方式进行日志行接入，并支持用户对日志进行自定义解析规则，支持接入设爸自动发现功能.主机行为EBA分析支持利用EBA技术进行资产的行为分析，对这些对象进行持续的学习和行为画像构建，以基线画像的形式检测异于堪线的异常行为作为入口点，结合以降维、聚类、决策树为主的计算处理模型发现异常用户/资产行为.并支持用户对EBA基线进行自定义调整，优化模型“（需提供产品功能截图证明，并要求提供“UEBA用户行为分析”第三方检测报告说明）事后异常行为检测具备元数据行为分析引擎：httpf1.ow、dnsf1.ow,adf1.ow,icmpf1.ow

12、,mtii1.1.fhw等，通过异常行为分析，结合各类机器学习算法完成未知威胁检测.包括：内网穿透、代理、远控、隧道、反弹SheU等事后检测场景.先进性证明为保障安全服务效果，满足数据和网络安全要求，所投态势感知平台产品厂商需通过可信云评估，提供相应的可信云认证报告要求所投产品的生产厂商具备中国网络安全审杳技术与认证中心的信息安全软件开发服务一级（一级二级三级）资质，提供有效证书包印件。威胁视角支持展示处置状态、资产类型、威胁等级、攻击阶段（脆弱性风险-侦察入侵-命令控制横向扩展-目的达成）、威胁类型等安全事件的视角，展示内网发生的所有安全事件。告警视角的攻击者和受苦者的关系，支持展示：喊胁描

13、述、攻击方向、风险资产数、威胁等级,攻击阶段、威胁类型、检测引擎、最近发生时间、处置状态、操作等。可针对重点关注的资产、全点关注的威胁类型及显示业务不规范等告警筛选。策略模板处置中心和重保中心的多个模块的安全事件内置多个处置策略模板，不仅支持与同品牌防火堵、终端安全响应系统、超融合、负数均衡联动封锁、访问控制，支持与终端安全响应系统联动一键食杀、进程取证，支持关闭超融合上的中毒虚拟主机，支持对超融合上中毒的虚拟主机进行快照,（需提供产品功能截图证明，并提供公安部计算机信息系统安全产品质量监督检验中心、中国信息安全测评中心、中华人民共和国国家版权局、公安部信息安全产品检测中心之中任意家检测机构出

14、具的证书或检测报告证明功能有效性）售后服务能力厂商应是国家互联网应急响应中心网络安全应急服务国家级支撵单位，提供有效证明材料为确保服务质量响应效果，要求提供服务厂商在温州本地有办事处原厂人员,及时上门支撑相关问题.为确保应急问题处置及时性，要求投标供应商，出现安全问题后,工作时间1小时内上门处置，非工作时间2小时内上门处置，降低安全事件影响面。提供三年原厂质保及原厂免费现场服务，产品的安装、培训由原厂工程师完成实施，二、威胁检测探针功能项功能要求说明性能规格性能参数：网络层存吐量21Gbps,应用层存吐量-500MbPs。硬件参数：规格21U,内存大小28G,硬盘容量2128GSSD,电源：单

15、电源,接口：支持不低于6千兆电口+4千兆光口SFP.配置要求要求设符相关配置为中国信息安全测评中心发布安全可靠测评目录内，提供相关证明材料。部署模式旁路部署，支持探针接入多个镜像口，每个接口相互独立且不影响系统状态系统使用资源状态、吞吐量、接口状态、安全感知平台整体展示。对象定义1 .支持根据数据包方向、协议、端门、IP地址等信息自定义应用规则来识别应用类型。2 .支持通过规则II）、名称、攻击影响、或胁等级、字符串、正则表达式及匹配方向来自定义Web应用检测规则库、自定义IPS规则库及自定义登录规则库。3 .支持自定义内网服务器Ip组、客户端IP组，用于识别资产信息。定义的时间段内不能访问或能访问某服务器。内网资产具备主动发送少量探测报文，发现潜在的服务器（影子资产）以及学习服务器的基础信息，如：操作系统、开放的端口号等。违规访问1.检测内网主机的访问情况是否符合规定，需要人工事先进行梳理好访问关系再进行配置。策略从上到卜.进行匹配，可以通过右侧置顶功能对策略优先级进行调节。2.支持IP,IP组，服务，端口，访问时间等定义访问策略，主动建立针对性的业务和应用访问逻辑规则,包括白名单和黑名单方式WEB智能检测支持命令注入检测、PHP代码