千里马招标网www.qianlima.com

展示，轻松掌握外部威胁趋势、威胁的主要分类、主要来源国，内网资产威胁，可以帮助用户快速感知外部威胁的攻击分布和攻击重点。 1.4.2.13. 安全监测中心配套产品要求

安全监测中心模块至少应包括以下产品，并满足相关功能参数要求： 序功能号 模块 二、信息安全系统 (二)安全监测中心配套 、产品为U标准上架设备，*GE流量监听电口，*GE流量监听光口，*GE管理电口，G内存，TB SATA存储硬盘，配置冗余电源。 、 并发连接数≥W，新建连接数≥W；设备吞吐量≥.G；协议解析能力≥G；威胁检测能力≥.G； 、 支持网络层攻击、系统层攻击、应用层攻击、Web Shell等多种威胁的检测，检测告警可以发送给其他分析平台； 、能够通过双向流量检测的方式发现可被利用的SQL注入、跨站、命令执行等web漏洞，并记录已经发生过的攻击事件和相关报文。 、支持通过沙箱技术精确检测多种针对PHP语言环境的WEBSHELL攻击。 、 支持对web漏洞利用检测规则、入侵检测规则等多种规则的配置，选择，可以有针对性的选择部分规则开启。 、能够对网络通信行为进行还原和记录，以供安全人员进行取证分析，还原内容包括：TCP会话记录、Web访问记录、SQL访问记录、DNS解析记录、文流量 采集器 件传输行为、LDAP登录行为。支持对流量中出现文件传输行为进行发现和还原，将文件MD发送至主分析引擎； 、支持流量文件还原，可将HTTP、FTP、SMB、SMTP、POP、WEBMAIL、IMAP、TFTP、QQ等协议文件进行还原，支持的格式包括word、excel、pdf、rtf、ppt、EXE、DLL、OCX、SYS、COM、apk、RAR、ZIP、GZ、Z等； 、 能够支持 个抓包任务同时抓包；每个抓包任务可配置抓包规则，按照IP、端口、协议等信息进行抓包；每抓包任务最大抓包MB；可以将抓取的原始流量包保存于本地以供后续分析和取证使用。 、可以分析统计天或周时间内的各个应用流量的大小和分布情况。 、支持告警内容展示，要包含威胁详情及告警记录的响应头、响应体、请求头、请求体等攻击负载数据，便于安全人员分析回溯； 、可支持分布式部署，可以多台采集器同时部署于客户网络不同位置并将数据传输到同一套主分析引擎； ▲、产品与本次采购的态势感知与安全运营平台主分析引擎同一品牌，可纳入本次采购的主分析引擎统一管理，同时为主分析引擎采集网络流量并统一汇聚和管理； 、提供三年质保及软件升级服务。 中国招投标行业门户网站

参数要求 计量数单位 量 台 千里马招标网www.qianlima.com 、产品为U标准上架设备，*GE电口，G内存，TB SATA存储硬盘，配置冗余电源；事件采集能力≥万条/秒； 、支持分布式部署，满足多采集探针使用场景需求； 、支持创建扫描任务,通过SNMP发现等方式发现并采集资产信息,可自动根据扫描结果创建网络拓扑图； 、日志采集支持通过Syslog、WMI、JDBC、Log File、WebService等方式实现数据采集功能； 、事件解析直接支持主流主机设备、网络设备、安全设备、应用系统。具体包括：交换机、路由器、防火墙、Windows服务器、AIX服务器、Linux服务器、HP-UX服务器、Solaris服务器、SQL Server、Oracle、DB、Sybase、MySQL数据库系统、webshpere/ weblogic中间件、Mail/Web/FTP/DNS/DHCP/WINS日志 采集器 和LDAP服务等，对于新设备类型不需编码，只需编写相应的解析文件并加载即可实现支持； 、支持NetFlow、sFlow、NetStream等Flow数据的采集； 、可以按照IP对采集到的日志进行筛选过滤，有针对性的选择日志进行归一化并进行存储； 、支持对接收到的日志或Flow数据进行归一化处理，转换为标准格式，以便进行后续的分析； 、支持同时保存事件原始消息和归一化后的事件数据； 、支持将标准日志“实时”转发至关联分析引擎进行分析处理； 、系统内置解析文件大于条，要求可展示解析文件主要内容； ▲、产品与本次采购的态势感知与安全运营平台主分析引擎同一品牌，可纳入本次采购的主分析引擎统一管理，同时为主分析引擎采集日志并统一汇聚和管理； 、提供三年质保及软件升级服务。 、产品为U标准上架设备，*GE电口，G内存，TB SATA存储硬盘，配置冗余电源；实时关联分析性能≥万条/秒； 、可使用日志关联分析技术对采集到的各种日志进行关联分析，在一定时间窗口内可对日志进行统计、序列关系、逻辑关系等分析，实时的给出相关告警； 、可对来自流量传感器中的各种深度解析后的流量日志进行关联分析，可针关联 分析对HTTP头部、DNS解析行为、邮件相关行为、文件传输行为进行关联分析，以发现潜藏在流量中的内外部威胁； 索式关联分析，相关分析结果经过确认后可生成告警； 、在关联规则中可对各种资源池进行引用，包括但不限于IP地址资源池、端口资源池、时间资源池、字符串资源池； 、可提供预定义关联规则，给出包括网络异常、暴力破解、账号异常等多种场景的推荐规则，方便客户使用。同时可以提供预定义规则的手动更新能力，至少要支持种以上的预定义关联规则（提供产品界面截图）； 中国招投标行业门户网站

台 台 引擎 、可配置历史关联任务，使用关联分析引擎对选定时间段的历史日志进行探千里马招标网www.qianlima.com 、关联规则配置支持细化为配置威胁二级分类，规则支持多条规则树、过滤器和对象资源，最多支持配置个规则树，过滤器及对象资源无数量限制。 、支持关联规则、过滤器和对象资源支持界面的批量导入导出；支持删除关联规则同时删除该规则产生的告警； 、支持配置关联告警的归并时间窗口，过滤关联规则告警； 、支持调查分析功能，用户可根据告警、日志、事件等信息创建调查任务，在调查任务中能够将多种告警、日志、孤立的线下事件等信息以时间维度穿联成完整事件。 ▲、产品与本次采购的态势感知与安全运营平台主分析引擎同一品牌，可纳入主分析引擎统一管理，负责对日志采集器的大量日志信息进行实时流解析分析，并将结果汇聚至主分析引擎； 、提供三年质保及软件升级服务。 、产品为U标准上架设备，*GE管理电口，*USB.接口，*DB Console接口，冗余电源，G内存，G SSD + *TB SATA 存储硬盘。 、事件入库性能 万条/秒；实时关联分析性能 万条/秒； 、事件查询性能对TB级日志数据搜索时间小于s； 、支持集群部署，可水平扩展至多台设备集群，以满足冗余以及大量数据情况，可支持PB级数据检索；本次提供设备须支持通过统一管理界面进行统一配置管理； 、能够接收云端提供的威胁情报，对网络中的威胁事件进行发现和告警，支持APT事件、远控木马、僵尸网络等威胁的发现。 、支持配置自定义威胁情报进行告警匹配，并支持stix、openioc、json和态势感知与安 全运营平台主分析xml格式情报的批量导入，IOC类型包括：地址、域名、MD、域名：端口：URI、域名：端口、地址：端口 共种类型； 、在告警中通过威胁情报可以指出攻击者攻击的C&C域名解析、C&C链接会话记录、与C&C的文件传输、投递的恶意样本、在主机运行的恶意样本等黑客的攻击链，以方便直观查看到攻击已进行的阶段； ▲、支持对办公用主机单独管理，并能够从市公安局现有终端病毒防护软件内自动获得主机资产信息（提供产品界面截图）； 型、危害等级、置信度、匹配次序、责任人、联动设备及通知方式设定告警动作，并支持调整告警动作的匹配顺序； 、支持对资产自定义各种维度的可视化统计分析，这些维度包括资产IP地址、资产组、责任人、责任部门、网关标识、操作系统类型、权重、厂家等，可以进行两个维度的对比使用，统计出各种维度的资产数量或待处置漏洞。可以生成各种所需维度的视图并进行展示，展示方式包括统计视图，视图种类包括柱状图、折线图、条形图、面积图、饼图、词云图、玫瑰图、表格等。同时可视化的资产视图可以被报表系统调用； 、支持告警加白功能，对于用户不关注的告警，可通过制定加白策略进行过滤，即阻止用户认为不必要的告警生成。告警加白策略可组合告警属性条件中国招投标行业门户网站

台 引擎 、支持根据设定的动作进行自动化通知下发告警，可根据告警来源、告警类千里马招标网www.qianlima.com 以及源目IP灵活定义； 、支持工单功能，工单创建人可以指定工单的类型、优先级、描述信息等信息，工单中要包含详细的告警内容信息，可以通过邮件、短信、消息的方式将工单转发给指定责任人处理； 、支持调查分析功能，用户可根据告警、日志、事件等信息创建调查任务，在调查任务中能够将多种告警、日志、孤立的线下事件等信息以时间维度串联成完整事件，以便于分析； 、支持引入自定义视图管理，支持自定义视图的增、删、改、查，方便对自定义视图进行统一管理； ▲、支持引入日志检索专家模式，通过学习成本较低的类SQL数据分析语言，实现数据累加求和、排序、筛选、剔除重复数据、计算差值、替换空值、格式化、提取正则表达式、比较差异、计算相关性等统计计算功能，并支持查询结果的可视化展现，提供柱状图、折线图、面积图、饼图、词云图、气泡图、散点图、玫瑰图、地图饼图等常见图表的配置展现。可下载或另存为视图供仪表板引用呈现； ▲、威胁情报分析得到的告警支持通过内置的告警模块向市局公安信息网出口防火墙及终端病毒防护软件进行推送并做出响应（提供产品界面截图）； 1.4.3. 安全防御中心 1.4.3.1. 边界防护

安全防御中心主要解决边界的安全防护问题，通过利旧市局公安信息网出口部署的集成防病毒、入侵防御等为一体的防火墙设备，并新购一批防火墙部署于个区县局公安信息网络边界处，对于边界处的安全防护可以起到重要的防护作用。主要实现如下功能：

1) 防火墙通过与已有终端管理与病毒防护系统联动收集终端应用程序特征，发送给防火墙实现木马

专项查杀，拦截木马程序。

2) 通过接收外部威胁情报中心对未知威胁行为特征的定位，通过流量检测对比异常行为，将判定为

有威胁的异常行为推送至防火墙，并由防火墙进行阻断。

3) 在防火墙生成威胁活动地图，同时通过处置模块一键处置威胁行为，提高防火墙应对未知威胁的

能力并节省出防火墙更多资源用于承载其他应用级综合安全功能。

4) 具备网络地址转换、网络攻击防护、病毒防护、漏洞利用防护、间谍软件防护等功能。 1.4.3.2. 集中管控

另外在柳州市局安全管理区部署防火墙安全策略管理分析审计系统，集中管控市局及个区县局防火墙的状态信息。主要实现如下功能：

1) 市局及个区县局防火墙CPU使用率、内存使用率、CPU温度和系统盘使用率等在指定时间内的趋势

变化。

2) 从不同级别的资产维度进行安全分析。直观查阅各级别资产中的失陷主机、受攻击次数最多的主

机、主动外连次数最多的资产情况。

3) 创建策略集和全局对象进行统一配置，统一配置可集中下发给市局及个区县局多台防火墙，统一

下发安全策略、SSL解密策略、地址黑名单和会话限制等策略。

中国招投标行业门户网站