千里马招标网www.qianlima.com 绑定的域名相关信息； 、支持针对样本分析，可以提供样本最早出现时间、静态检测分析信息；样本的网络活动信息等； 、提供基于内置安全模型，可视化分析，自动过滤噪点数据，可一键自动化分析域名、IP、注册信息和样本间的关联信息； 、提供三年威胁情报更新服务； 、提供虚拟化环境下网络的可视化，提供监测审计和安全防护功能。 、提供台虚拟机防病毒、防火墙、入侵防御、防暴力破解、webshell检测、安全基线、虚拟化加固等功能三年使用授权。 、客户端采用轻量级Agent部署，无需依赖虚拟化平台API即可实现安全防护；客户端支持手动从控制中心获取安装，也可通过管理控制中心批量远程安装；客户端对windows类、linux类；物理服务器、虚拟服务器、桌面云具备相同的防护和部署模式； 、支持对已防护的主机统计在线率，对虚拟机是否安装客户端统计整体部署率； ▲、支持VMware 、Ctrix、Microsoft、Huawei、HC、浪潮等国内外主流虚拟化厂商平台，并能够采用一个管理控制中心进行统一管理（提供截图证明)； 、支持一般性病毒木马查杀外，还应支持例如：宏病毒、敲诈勒索软件、注册表病毒、间谍软件、僵尸远程软件等特定恶意文件的查杀；除落地在本地文件系统中的文件外，对网络映射驱动器、移动存储路径、共享目录、局域网路径虚拟资 源安全防护 等扩展路径也能够进行扫描查杀； ▲、产品提供不少于种病毒查杀引擎，可根据不同虚拟化环境和查杀要求灵活开启与关闭；同时产品应支持利用CPU虚拟化技术提升系统的安全防护能力（提供截图证明)； 、内置webshell扫描引擎，针对网站系统恶意webshell、后门等文件进行扫描防护；能够针对webshell文件设定白名单，对文件进行加白处理，避免对核心网站系统文件造成影响； 、支持双向状态防火墙，提供对出入主机流量进行访问控制与隔离；防火墙支持从IP、端口、方向、协议、优先级方面进行策略控制；支持防火墙策略的批量复制、删除、修改、停用等操作； 、支持入侵防御，可对来自网络层的拒绝服务、缓冲区溢出、木马后门、web攻击、恶意网络扫描、恶意入侵提权等各类威胁流量的检测与防护。入侵防御规则应不少于条，并支持按照攻击类型进行分组分类，支持对每一类攻击类型单独开启或关闭防护； 、支持防暴力破解，可对来自网络的暴力破解行为进行拦截，支持配置时间、破解次数等阈值，并提供暴力破解IP或IP段的黑白名单设置； 、针对近期流行的永恒之蓝攻击，能够进行有效防护； 、支持对主机安全缺陷、配置进行扫描评估，通过打分形式展现不合规和风险程度；支持对主机的安全加固，针对利用虚拟化漏洞的恶意软件、程序进行拦截并阻止其在主机上运行，提供软件、程序的黑白名单，以减少对系统程序的误拦截风险； 中国招投标行业门户网站

项 千里马招标网www.qianlima.com 、支持手动、自动升级系统文件、引擎版本、特征库信息，能够基于分组、时间设定灰度升级策略； 、产品控制中心一次授权永久有效，当虚拟化平台扩容或新增虚拟化平台时，无需额外购买控制中心扩展升级授权； 、提供≥台服务器安全加固授权，实现对现有的各种针对操作系统的攻击行为的防护； ▲、支持“操作系统加固”功能，基于操作系统内核加固技术，可针对操作系统核心资源，如注册表、网络连接、系统文件、进程等资源进行有效防护；能够禁止在系统目录下对可执行类型文件进行写操作、禁止修改host文件、禁止添加启动项、禁止磁盘低级操作、禁止加载没有数字签名的驱动（提供界面截图）； 、支持Windows、Linux、红旗、中标麒麟等全系列操作系统，通用WEB容器支持，支持IIS、nginx、Apache、Tomcat、Weblogic、WebSphere、东方通、jboss全部版本插件防护； 、支持“登录防护”功能，可针对Windows及Linux操作系统的远程登录进行服务器 安全加固 限制及防护，用户可对“用户名”、“IP地址范围”、“时间范围”进行具体设置，并通过选择“允许登录”、“禁止登录”等相应的处理方式进行防护； 、支持防暴力破解功能，能有效防御针对RDP、SSH、FTP服务的暴力破解； 、支持“安全巡检”功能，可针对服务器和网站的目录及文件进行全面巡检扫描，对服务器和网站存在的安全隐患进行检查并修复； 、可针对计划任务、账户（登录账户、克隆账户、隐藏账户）及政府网站综合防护系统各功能开启状态进行检查和修复； 、具备系统自身的保护功能，可保护系统自身进程不被异常终止、伪造、信息注入； 、支持防护日志功能，提供对防护过程中所产生的各类日志的查询，包括：网站防护日志、系统防护日志、登录防护日志及巡检日志，日志中包含具体时间、日志类别及描述等信息，用户可将日志导出，以便保存、查阅； 、支持智能化监控及预警，解决高级持续性安全威胁问题，实现服务器统一安全运维管控，降低业务安全风险面，提升操作系统安全性； 、支持微隔离功能，能控制每台主机与外部及业务内部网络间的网络通信，可以跨物理网络自定义虚拟安全边界以及自定义基于角色的访问控制策略，防止攻击者入侵内部业务网络后的东西向移动； 、支持威胁感知，可有效检测各种加密变形的Webshell，检测出未知威胁以及系统中存在的异常行为，并在综合判定后产生告警； 1.4.2. 安全监测中心

安全监测中心主要通过态势感知与安全运营平台系统进行组建，安全运营平台基于第三方威胁情报和本地大数据技术的对公安信息网本地的安全数据进行快速、自动化的关联分析，及时发现本地的威胁和异常，同时通过图形化、可视化的技术将这些威胁和异常的总体安全态势展现。安全运营平台一方面可基于多维度海量安全数据，进行情报挖掘与云端关联分析，提前洞悉各种安全威胁，并将威胁情报以可机读格

中国招投标行业门户网站

项 千里马招标网www.qianlima.com

式推送到本地系统，供本地威胁检测和分析时使用，另一方面，安全运营平台可对本地全量数据进行采集和存储，利用大数据技术在本地进行安全数据分析和威胁溯源。整个设计将遵循发现、阻断、取证、溯源、研判、拓展的安全业务闭环设计，最终能通过产品各个功能模块完成威胁处置的全过程。

部署流量采集硬件，负责流量采集，对原始流量行为的还原与采集，对流量中的会话行为、事务、应用动作进行还原并形成相关日志进入存储和分析，提交给态势感知与安全运营系统的主分析引擎节点硬件。

部署日志采集器，对各种安全设备、网络设备的syslog和flow日志进行采集，并提供适配linux与windows双平台的专业Agent针对数据库、系统日志、中间件日志、其他文本日志提供全方位的采集，提交给态势感知与安全运营系统的主分析引擎节点硬件。采集包括现有市局部署的终端安全管理系统的安全数据，包括终端进程流量行为、终端文件行为、U盘文件传输、邮件文件传输、IM文件传输等行为日志，由于终端日志比网络日志更加具体、可以帮助分析人员发现启动恶意进程的相关文件，在整个威胁的发现、回溯过程中也会体现重大价值。

部署关联分析系统硬件，通过回溯任务的方式对流量中的历史行为进行规则化分析，精准发现公安信息网内深层次安全威胁。

部署态势感知与安全运营系统主分析引擎，通过多种威胁检测手段对威胁进行发现，集中呈现柳州公安信息网全网的各种威胁情况，并结合需要对威胁进行筛选、标记、处置。系统同时需具备以下特性：

1) 联动现有终端安全管理系统，进行威胁情报告警的通报以推动相关处置模块的进行处置。 2) 根据设定的动作进行自动化通知下发告警，提升日常运营工作的效率。

3) 开发场景化分析功能，根据丰富的安全场景，以数据分析的方法，可视化呈现场景细节，分析特

定场景的安全问题，无需复杂规则配置，图表直观呈现内网安全、VPN安全、账号安全及邮件安全等关注的场景。

4) 开发拓扑管理与资产风险态势展现功能，自动发现网络拓扑并自动创建网络拓扑图。通过可视化

展现方式，从资产和拓扑的角度为安全管理人员提供资产风险的实时监控信息，展现众多资产的安全状态和历史趋势。

5) 开发漏洞管理功能，导入漏洞扫描结果，并通过IP地址关联到资产，呈现资产视角或漏洞视角的

资产漏洞情况；对指定品牌的漏洞扫描器进行漏扫任务调度。

6) 提供云端威胁情报服务，接收云端最新的APT及高级威胁事件分析、黑产事件分析、影响范围较广

的关键漏洞分析等威胁情报信息，提升对高级威胁的发现及防护能力。 安全监测中心具体要求如下： 1.4.2.1. 威胁管理

提供面向威胁全生命周期的管理功能，可以通过多种威胁检测手段对威胁进行发现，并集中呈现全网的各种威胁情况，可结合各自需要对威胁进行筛选、标记、处置。 1.4.2.2. 资产管理

提供对网内资产的扫描发现、手工管理、资产变更比对、资产信息整合展示等基本功能。 1.4.2.3. 拓扑管理

提供对企业网络拓扑进行扫描和发现，可以将管理好的资产直接添加到任何一个自定义网络拓扑中，并对拓扑进行相关编辑，生成的拓扑图在态势感知模块中将作为重要展示元素结合风险值进行展示，以从宏观层面体现企业内网的安全情况。

中国招投标行业门户网站

千里马招标网www.qianlima.com

1.4.2.4. 漏洞管理

实现直接调度指定厂家的漏洞扫描器及人工漏扫报告，实现扫描任务的创建和下发，同时可以导入多种厂家的漏洞报告，并且支持灵活自定义的漏洞报告解析规则，可以轻松适配不同客户的漏洞管理需求。 1.4.2.5. 日志搜索

提供三种针对事件/流量日志/终端日志的查询、检索模式，分别为快捷模式、高级模式及专家模式。快捷模式实现日志中的各种字段进行查询；高级模式中实现与或非等逻辑语法，精确匹配、模糊匹配、通配符查询多种匹配方式，同时支持时间段、地址区间、数值范围等一系列区间查询，提供多样化的查询条件。专家模式搜索，实现数据累加求和、排序、筛选、剔除重复数据、计算差值、替换空值、格式化、提取正则表达式、比较差异、计算相关性等统计计算功能，并支持查询结果的可视化展现。 1.4.2.6. 场景化分析

场景化分析提供用户相关的视角来查看相关数据，为其发现、判断网络安全问题提供帮助。解决规则判定时，无法确定具体阈值的问题，可根据自己网络特点和经验进行判断。 1.4.2.7. 工单

提供流程化的工单管理功能，能够派发或接收针对威胁告警和漏洞的处置工单，并对与责任人相关的工单流转状态及处置进展进行跟踪。 1.4.2.8. 调查分析

针对任何需要调查的安全问题创建实例（case），将所有与要调查的问题相关的告警、日志、甚至其他文本、图片信息都录入case中，然后通过时间趋势展示、标注等功能回溯并记录问题的发展过程和相关影响，再通过搜索等功能不断的扩展其他的日志线索，丰富该问题的相关证据。最后在有支撑的情况下形成调查结论。 1.4.2.9. 知识库

预置漏洞知识库，可根据漏洞名称、漏洞类型、CVE编号、CNNVD编号进行快速查询搜索，同时支持对漏洞扫描报告结果详情进行关联查询，也允许用户在系统使用过程中不断丰富和完善知识库。 1.4.2.10. 报表管理

提供灵活的报表管理功能，支持快速报表，实时的输出期望的报表内容，也可按照指定的周期自动生成报表以帮助用户周期回顾安全情况。 1.4.2.11. 仪表展示

提供人性化的首页仪表板展示，可根据个人需要创建自己的仪表板，通过拖拽、拉伸等交互调整仪表板上每一个展示内容的布局和大小，以形成用户化的仪表板展示。 1.4.2.12. 态势感知

提供资产风险态势感知、外部威胁态势感知模块。

资产风险态势感知：按照不同的资产分组展示资产风险以及对应在逻辑拓扑上的安全问题分布、威胁变化趋势，帮助用户快速掌握风险的分布以及变化，有针对性的进行处置动作。

外部威胁态势感知：可以展示所有来自于外部安全威胁的攻击来源地分布，支持D地球和D地图切换

中国招投标行业门户网站