招标信息

深航终端检测与响应系统建设项目建设方案征集招标公告

2025-03-03
一、项目名称

深航终端检测与响应系统建设项目

二、项目概述

1、项目背景

随着公司数字化转型的不断推进,各类业务信息系统日益复杂,网络攻击手段也随之不断升级和多样化。传统的安全防护措施,如防火墙和防病毒软件,已难以有效应对高级持续性威胁(APT)、勒索软件等新型攻击。终端检测与响应(Endpoint Detection and Response,下文简称:EDR)技术通过实时监控、检测和响应终端系统中的安全事件,能够迅速识别并应对这些高级威胁,保障企业的信息资产安全。

EDR技术代表了安全防护理念的重要转变:从“预防”到“检测”与“响应”。该技术能够及时发现异常并采取相应措施,将损害限制在可控范围内。因此,深航建设EDR系统,能够对各终端事件进行关联分析,还原整个攻击流程,并主动开展处置响应,从而减少终端安全风险,避免恶性终端安全事件的发生。

2、项目建设目标

深航计划于2025年启动终端EDR项目建设,旨在终端安全管控的基础上,进一步增强安全事件的检测、威胁遏制、事件调查及修复指导等能力,完善终端安全体系,构建纵深防御体系。项目将覆盖不少于1500个终端的EDR部署、安装及授权工作,全面提升终端安全防护水平,确保在风险发生时能够实现第一时间的识别和有效处置,达到防控目标。

三、项目业务需求

系统功能需求

EDR策略

基于性能和业务需求,可配置探针记录内容(文件、进程、网络、注册表、系统、脚本、UMH、WMI事件)的详细程度和规则检测范围。

支持细粒度的事件类型记录设置(包括文件、进程、网络、注册表、系统、脚本、UMH、WMI事件)与事件记录子类型(包括文件创建、文件打开、文件写入、文件更名、文件删除、进程伪装、动态链接库注入、PE文件注入、脚本注入、线程劫持等)。

  

支持细粒度的设置不需要的指定网络IP、网络协议、进程、文件、API调用进程等触发的事件。

  

EDR告警及调查溯源

支持IOC事件,指定时间,终端进行历史记录回溯扫描,帮助管理员溯源分析。

支持暴力破解、Shell反弹、WebShell、PowerShell、本地提权、文档漏洞利用等事件的专项统计。

  

支持勒索事件和挖矿事件的专项统计。

  

支持IOA告警的进程事件树自动绘制,并提供攻击上下文信息。

  

EDR威胁情报

具备IOC检测能力,支持的威胁类型包括但不限于:远控、钓鱼、僵尸网络、矿池地址、挖矿木马、勒索软件、窃密木马、远控木马、网络蠕虫、黑客工具、APT攻击事件、流氓推广及其他恶意软件。

IOC检测类型支持域名、URL、IP等威胁情报检测。

  

具备与威胁情报云端联动的机制。

  

EDR响应处置

支持网络封停自动化响应动作:支持配置自动响应的时间段,即生效周期和生效时间,支持设置封停时长。自动封停后的IP记录在封停列表,封停时长过后自动解封。

支持文件隔离自动化响应动作:支持配置自动响应的时间段,即生效周期和生效时间。自动隔离的文件记录在文件隔离列表,可解除隔离。

  

支持进程阻断自动化响应动作:针对自定义进程规则,支持配置进程阻断的自动化响应动作。

  

提供远程遏制终端给管理员,仅保留终端与服务器的连接。并支持配置遏制白名单,遏制白名单支持按IP、域名、进程名/进程全路径进行添加白名单。

  

EDR自定义规则

支持自定义合法登录规则:合法登录规则可以设置合法登录条件、应用主机范围。登录条件包含:登录IP范围、登录用户、登录时间范围、登录区域。

支持自定义可疑操作检测规则,支持配置shell命令内容匹配,支持正则表达式,并支持配置规则、应用范围。

  

支持自定义IOA进程检测规则:可创建自定义场景检测规则,规则包含:规则名称、风险等级、规则内容、规则描述、应用范围。

  

支持管理员自定义入侵检测白名单,可指定文件、IP、Domain、URL,并支持应用白名单至指定客户端范围。

  

支持管理员自定义失陷检测规则,可指定IP,SHA1,Domain,URL,当检测触发自定义失陷检测规则条件时,系统将自动触发失陷告警。

  

终端适配需求

客户端适配主流操作系统:

1:11、10、8、7

2.V10、V10 SP1)

3.(版本1020-1040)

报表管理

支持预定义报表及自定义报表,便于统计分析终端安全趋势与风险;支持自定义时间报表导出,导出方式至少支持Excel和PDF。

系统权限管理

系统具有为用户提供角色分配等管理权限功能,为不同角色设计对应的操作权限。

日志管理

日志需满足保留半年以上的要求,提供用户操作日志与系统运行日志,确保系统运行状况。

系统终端安全

具有双因子认证的能力、防暴力破解功能,以保证其登录身份合法有效,密码复杂程度校验。Web管理平台支持HTTPS身份认证通信加密方法。

平台保留扩展能力

可基于数据和日志接口,可根据需求开放能力接口与第三方平台系统联动对接,如终端软件安装资产数据信息的对接,安全日志、告警信息的对接。支持配置服务端总下载带宽,避免大量客户端同一时间从服务端更新,造成带宽拥堵。服务端支持IPv4+IPv6双栈协议部署。

四、项目非业务功能性需求

1、技术可控性要求

平台应具备自主知识产权,并且为国内品牌,采用行业内成熟、可靠且实用的技术方案。

2、易用性要求

(1)维护界面应简洁易用,能够在业务流程发生变化时,最大程度减少后台程序的开发工作,仅需通过前台配置即可完成相关调整。

(2)支持的语言版本:中文。

3、扩展性要求

(1)支持多种平台部署方式。

(2)平台应支持集群化部署,确保当性能或容量达到瓶颈时,在不改变平台整体架构的基础上,能够快速进行扩容。

(4)性能要求

EDR软件消耗终端系统内存不超过100MB。

五、技术支持和售后服务

1、系统技术服务标准要求,应根据故障级别采取差异化的故障修复策略。免费维护期自通过整体验收起算,软件、硬件为期三年。

等级

说明(根据具体项目定义)

响应时限

一级事件

如:整个系统处于瘫痪状态,完全无法运行,或者某个功能模块完全无法运行, 对业务连续性产生严重影响,同时无替代方案可选。

10分钟响应,30分钟评估问题解决时间,60分钟内恢复生产。

二级事件

如:系统核心功能不可用,或者性能出现严重问题,对业务连续性产生严重影响。

10分钟响应,60分钟评估问题解决时间,120分钟内恢复生产。

三级事件

如:系统非核心功能不可用,或者性能下降,对业务连续性影响较小,并有其他方案替代。

30分钟响应,120分钟评估问题解决时间,240分钟内恢复生产。

在系统上线后,要求供应商承担系统上线后的所有运维工作,主要包括检查系统上线运行情况,解答用户问题,建立问题跟踪记录,系统持续优化调整等。如需驻场服务,请说明服务内容和要求。

六、投资说明

1、开发团队要求:

项目经验要求:需要提供团队人员简历,说明团队人员项目经验。如,参与过的项目,就项目管理、需求、开发、测试、运维等相关能力进行说明。 团队成员:至少包括项目经理、技术负责人、实施工程师、安全服务工程师等。 结合项目建设方案,供应商需要说明基于方案的项目投资规模,具体如下: 如用到第三方软件或服务,包含第三方软件费用、服务等报价。 针对项目各项需求功能逐个按工作量和人员单价方式报价。 综合全部项目需求,汇总给出项目整体报价和建设团队人员规模(包括人员结构、单价、人数)。 报价模板详见附件《项目建设方案报价表.xlsx》。

3、项目周期:

项目合同签订日期起一年周期。

4、系统维保:

系统建设所涉及到的软件及硬件维保售后服务标准,硬件维保费为项目建设标的的8%,软件维保费为项目建设标的的10%。 系统所涉及到的软硬件维保期标准:软件、硬件维保为项目终验后三年免费。

七、请供应商在2025年3月12日前提供项目建设方案(含投资说明)。

本招标项目仅供正式会员查看,您的权限不能浏览详细信息,请点击注册/登录,联系工作人员办理入网升级。

联系人:陈经理
电话:010-83551561
手机:13717815020 (欢迎拨打手机/微信同号)
邮箱:kefu@gdtzb.com
QQ:1571675411

相关项目