招标信息

序号

产品名称

规格参数/主要技术参数

数量

单位

1

态势感知主机

1、含三年平台软件升级授权和威胁情报升级授权;
2、流量处理能力≥5G；
3、CPU：≥20核；
4、支持从用户威胁、外部威胁、内部威胁、外连威胁、对外威胁等维度进行安全态势的分析及呈现，同时支持综合威胁态势、资产威胁态势、脆弱性威胁态势和文件威胁态势、分支机构威胁态势等维度来进行安全态势呈现及大屏展示；
5、支持展示安全风险评级、安全风险攻击事件类型TOP5、攻击事件级别分布、外部攻击者国家TOP5、外部攻击类型TOP5、外部攻击者TOP5等信息；
6、支持时间轴溯源分析，以时间轴的形式展示攻击者在入侵全过程中各个入侵时间节点中的攻击目标、攻击次数、攻击手段以及入侵阶段，同时提供各攻击手段安全处置建议；
7、业务接口：千兆电口≥2个，万兆光口≥2个（满配万兆多模光模块），扩展槽≥2个，USB口≥4个，内存≥256G，硬盘≥SATA 6T×6 、SSD≥480G ，冗余电源。
详见技术规范书

1

台

2

态势感知探针

1、含三年安全威胁检测探针检测规则升级授权；
2、流量处理能力≥3G；
3、CPU：≥16核；
4、支持多种Web渗透攻击检测，至少包括：SQL注入、跨站脚本工具、代码注入、文件上传漏洞攻击、Webshell注入、Activex漏洞攻击、Web应用漏洞攻击、目录遍历攻击、文件包含漏洞攻击、服务器配置信息泄露、扫描探测、信息泄露探测等；
5、支持多种恶意文件传播检测，至少包括：木马通信、后门通信、勒索病毒通信回传、间谍软件通信等。；
6、可自定义弱口令规则，低、中、高三种密码规则，结合预定义弱口令字典，对弱口令威胁的检测更准确;
7、支持全流量报文的存储，以及远程调取、查看和下载功能；
8、业务接口：千兆电口≥2个，万兆光口≥2个（满配万兆多模光模块），扩展槽≥4个，USB口≥4个，内存≥64G，硬盘≥SATA 4T，冗余电源。
详见技术规范书

1

台

3

主机安全

1、软件形态产品，所需空间与对应性能参考规格表。
2、统一管控、高效运维：采用B/S架构的管理控制中心，具备终端安全可视、终端统一管理、统一威胁处置、统一漏洞修复、统一桌面管控、统一信息采集等功能。
3、对终端的防护能力的统一管理，包括多引擎杀毒能力、主动防御能力、勒毒病毒诱捕、挖矿木马防御、内存防御能力等。
4、对终端进行统一桌面管控、统一信息采集：包括终端运维能力、终端持续检测能力、终端异常监控能力、终端环境评分能力、终端入侵防御能力等。
5、集中统一管理能力：支持对Windows、Linux、国产操作系统、国产CPU等异构客户端的集中统一管理。
6、包含1800个主机终端安全防护授权。

1

套

序号

技术指标

具体要求

1

硬件参数

▲高度≦2U；CPU（10核心20线程）≥2，内存≥256G，SATA≥36T、SSD≥480G，支持raid5部署，接口类型：千兆电口≥2个，万兆光口≥2个，USB接口≥4个；剩余接口扩展槽≥2个；双电源，提供3年软件升级授权和3年威胁情报中心授权；（提供承诺函，格式自拟，并加盖供应商公章）

2

性能指标

▲流量处理能力≥5G；（提供承诺函，格式自拟，并加盖供应商公章）

3

安全态势监控

支持多个维度的动态实时展示大屏，至少应包括安全综合态势大屏、威胁态势大屏、漏洞态势大屏、资产态势大屏、文件威胁大屏等，对大屏中展示的数据支持下钻查询；

4

支持从用户威胁、外部威胁、内部威胁、外连威胁、对外威胁等维度进行安全态势的分析及呈现，同时支持综合威胁态势、资产态势、漏洞态势、文件态势和机构威胁态势等维度来进行安全态势呈现及大屏展示；

5

支持检测资产安全，支持通过5G流量自动提取和分析出资产手机号码信息，并关联资产呈现，点击资产详情可以查看事件详细信息、访问关系；

6

支持攻击关系分析，以攻击者视角展示针对每个攻击目标所采用的攻击手段的攻击关系视图，同时展示攻击事件的攻击手段TOP统计，以及每种攻击手段的描述说明，并支持下钻；

7

重保监测

支持在护网/重保期间，通过设置关注业务系统IP进行实时监控，可设置项包含但不限于最近一小时、最近2小时、最近12小时、最近24小时、最近一周，威胁类型排行包含但不限于黑客攻击、SQL注入、缓冲区溢出、命令执行、敏感访问、DOS攻击、信息泄露、目录遍历、跨站脚本、文件上传、木马病毒，可针对性地选择对应的威胁类型，界面呈现仅重点关注的事项；

8

分析模型

支持自定义攻击事件分析模型，至少包括：事件规则匹配模型、事件统计分析模型、事件关联分析模型；内置38种及以上安全事件分析模型，如冰蝎webshell通信、利用Sqlmap上传webshell、Acunetix安全工具扫描、APPSCAN工具扫描等；

9

支持自定义配置的分析条件，配置维度包括：URL、HTTP方法、HTTP域名、HTTP状态码、DNS解析域名、TLS指纹、TLS版本、SSH服务端协议版本、SSH客户端协议版本、文件类型、文件哈希值、恶意文件家族、SMTP发件人等；

10

AI能力

AI恶意流量的智能识别：支持基于机器学习的加密流量下的恶意软件通信识别，至少包括Generic Botnet僵尸网络活动检测；支持基于机器学习的提取攻击者真实访问的URL，全面掌握攻击者的攻击意图和访问记录，包括：攻击者IP、攻击者URL、访问行为的原始报文等；

11

支持AI判真功能，存在多个攻击手段的攻击事件显示为AI判真事件，AI判真事件在设备界面将存在存在AI判真标识；

12

支持AI自动处置功能，当处置列表有昨天的处置信息，今天没有处置信息时，攻击事件支持自动按照昨天的处置历史信息进行处置，攻击事件被盖上相应的处置标签，历史处置记录按时间轴形式显示处置时间、设备信息或备注信息，处置列表新增一条处置信息，显示处置目标、所属机构、数据来源、威胁等级、威胁资产数量、事件类型、处置来源、处置手段、处置时间、生效日期和备注信息；

13

5G威胁

支持查看5G威胁的日志统计数据，包括攻击级别分布，攻击名称Top5和手机号Top5统计图以及5G威胁事件的列表；支持查看5G威胁日志的攻击列表展示，包括攻击者、受害者、所属机构、攻击类型、攻击名称、关键字、发现时间；

14

5G威胁单条威胁日志展示的主机信息包括源IP、源端口、目的IP、目的端口、协议、资产的机构分组或非资产的国家名，检测信息包括发现时间、检测引擎、攻击名称、攻击级别、攻击类型、数据来源、特征ID、解释说明和解决方案；

15

威胁分析功能

支持以饼状图、柱状图、折线图等形式展示整网攻击次数总览、攻击类型Top、攻击者Top、受害者Top、不同维度的攻击趋势以及攻击级别数量分布等；

16

支持不少于5个维度的威胁分析，包含但不限于外部威胁、外连威胁、对外威胁、内部威胁、用户威胁、5G威胁等6个方向展开分析；

17

支持从攻击者和受害者视角分别展示用户威胁列表，至少包括：用户名称、攻击类型、攻击名称、发起或遭受攻击次数等，并支持下钻展示单个用户发起或遭受攻击的列表及详情；

18

支持从用户维度统计威胁信息，至少包括：攻击级别分布、发起攻击用户TOP、遭受攻击用户TOP、攻击类型TOP、攻击名称TOP和攻击趋势等；

19

支持时间轴溯源分析，以时间轴的形式展示攻击者在入侵全过程中各个入侵时间节点中的攻击目标、攻击次数、攻击手段以及攻击阶段，同时提供各攻击手段安全处置建议；展示该攻击事件历史的处置记录；

20

攻击溯源

支持基于ATT&CK框架的攻击链分析，内置不少于14个入侵阶段的攻击链知识库，入侵阶段包括但不限于：侦察目标、资源开发、初始访问、命令执行、持续控制、权限提升、防御规避、凭据访问、环境观察、横向移动、收集信息、命令控制、窃取数据、侵害破坏；

21

支持攻击事件时间溯源轴展示匹配上的威胁建模模型信息，攻击手段显示模型名称，事件类型显示威胁建模设置的事件标签，覆盖的攻击阶段显示威胁建模设置的攻击链，安全处置建议显示威胁建模设置的处置建议；

22

支持时间轴溯源分析，以时间轴的形式展示攻击者在入侵全过程中各个入侵时间节点中的攻击目标、攻击次数、攻击手段以及攻击阶段，同时提供各攻击手段安全处置建议；展示该攻击事件历史的处置记录；

23

支持多层溯源功能，开启多层溯源后，默认展示两层溯源信息，攻击手段在展示图中消失(改为显示受害者ip），右侧展示攻击手段TOP6及描述信息；支持选择1-10层进行溯源，溯源层数不足时默认展示可溯源的最高层数，不同层源使用不同颜色区别展示，并可点击攻击者跳转查看攻击事件详情；

24

资产画像

支持资产画像功能，可显示资产的外部访问的流量统计信息、访问的源IP、目的IP、访问方式和流量趋势；内部访问的流量统计信息、访问的源IP、目的IP、访问方式和流量趋势；外连访问的流量统计信息、访问的源IP、目的IP、访问方式和流量趋势；

25

安全处置

支持对于已检测出的网络攻击，联动现网安全防护设备下发处置任务，联动处置的设备类型至少包括：应急处置系统、WAF、IPS、FW等，支持通过平台查看、导出和搜索处置列表，可针对正在生效的处置记录进行失效处理；

26

支持SOAR自动编排功能，攻击事件匹配上剧本设定的攻击条件、机构分组、IP等信息后，攻击事件按照剧本设置的处置策略如封禁、白名单、判认、忽略、邮件、通报等处置手段进行处置，攻击事件被盖上相应的处置标签，处置列表显示处置目标、数据来源、联动设备、处置状态、处置信息、所属机构、处置来源、处置手段、操作用户、处置事件、备注信息；

27

威胁情报检索

支持独立的威胁情报检索模块，可根据IP、域名、文件哈希等进行威胁情报检索功能；支持对检索到的威胁情报进行展示，展示内容包括：级别、类型、时间、评分、关联情报，以及影响的资产范围；

28

系统管理

支持自定义弱密码字典的增删改查，可用于检测自定义的弱密码，弱密码字典支持对事件和密码进行筛选和检索；

29

支持信任列表的增删改查，可用于过滤无需流量采集设备进行检测的具体IP或攻击，信任列表支持源IP、目的IP、攻击类型、攻击名称等的组合配置和下发；

31

支持对流量采集设备进行本地安全策略配置，并下发到对应探针，策略至少包括：采集接口配置、日志服务器地址和流量分析策略（标准模式、增强模式、深度模式和专家模式），其中分析策略中专家模式支持自定义攻击策略（包含信息探测、访问风险、流量攻击、恶意软件、WEB安全事件、远控代理、密码攻击、漏洞攻击、高敏库、行业属性）、采样等级、高级设置（至少包含：访问日志策略、端口扫描阀值、IP扫描阀值、XFF头部、5G引擎、自定义弱口令规则、攻击上下文存储和AI检测引擎等的配置）；

32

大数据安全模块

具备高容错、高吞吐量的数据处理能力，其中组件至少包括但不限于ClickHouse、Hadoop、Kafka、Redis、Logstash、DataService、ZooKeeper、GreenPlum、Elasticsearch、UI等10种大数据组件，并可监控各组件运行状况；

33

产品资质

▲所投产品具备公安部《计算机信息系统安全专用产品销售许可证》或 网络安全专用产品安全检测证书，提供复印件，并加盖厂商公章。

34

联动要求

▲基于业务及运维安管理要求，态势感知需具备与终端检测与响应系统联动，实现多维度的安全监测及阻断的能力（提供承诺函，格式自拟，并加盖供应商公章）

序号

技术指标

具体要求

1

硬件参数

▲高度≤2U；CPU（8核心8线程）≥2，内存≥64G，硬盘≥4T，剩余硬盘扩展槽≥7，接口类型：千兆电口≥2个，万兆光口≥2个，USB接口≥4个；剩余接口扩展槽≥5个，配置双电源；（提供承诺函，格式自拟，并加盖供应商公章）

2

性能参数

▲流量采集能力≥3G；（提供承诺函，格式自拟，并加盖供应商公章）

3

流量采集功能

网络流量全量采集并解析成待检测数据。包括数据采集、会话还原、协议识别、文件还原模块，主要于底层捕获流量信息，并进行协议识别还原；

4

通过旁路镜像采集网络全部流量，支持在线支持同时接入多个镜像口，每个口相互独立不影响，设备部署不影响原有网络结构；

5

弱口令检测功能

可自定义弱口令规则，低、中、高三种密码规则，结合预定义弱口令字典，对弱口令威胁的检测更准确;界面可展示检测的弱口令威胁日志，有关键字的会展示关键字;单条弱口令的详情展示包括主机信息、检测信息和数据包信息，主机信息包括源IP、源端口、目的IP、目的端口、协议、资产的机构分组或非资产的国家名，检测信息包括发现时间、检测引擎、攻击名称、攻击级别、攻击类型、数据来源、特征ID、用户名、密码、解释说明和解决方案；

6

支持查看、下载原始攻击数据包，打开数据包可查看到报文信息;可展示检测的弱口令访问日志，访问信息包括用户名和密码;单条弱口令的详情展示包括但不限于主机信息、检测信息和数据包信息，主机信息包括源IP、源端口、目的IP、目的端口、协议、资产的机构分组或非资产的国家名，检测信息包括但不限于发现时间、数据引擎、威胁名称、威胁级别、威胁类型、数据来源、解释说明、解决方案、关键字、特征ID、特征描述等信息；

7

漏洞扫描检测功能

支持多种恶意系统漏洞扫描检测，主机渗透攻击检测，至少包括：系统漏洞攻击、命令注入、应用程序漏洞攻击、Shellcode攻击、DNS漏洞攻击、FTP漏洞攻击、邮件漏洞攻击、文件漏洞攻击、网络设备漏洞攻击、浏览器漏洞攻击、Web系统漏洞攻击、多媒体应用漏洞攻击、TELNET漏洞攻击、TFTP漏洞攻击等；

8

隐匿隧道报文解析

支持多种协议的隧道报文解析，至少包括：ICMP、HTTP、DNS等协议的隧道通信；

9

5G威胁检测功能

支持5G威胁检测：支持对5G协议解析和威胁检测，可以通过平台查看5G威胁的日志统计数据，包括攻击级别分布，攻击名称Top5和手机号Top5统计图以及5G威胁事件的列表。支持5G威胁检测，至少包括PFCP关联建立信令风暴、PFCP关联修改信令风暴、PFCP关联删除信令风暴、PFCP会话建立信令风暴、PFCP会话修改信令风暴、PFCP会话删除信令风暴、非法终端等；

10

WEB渗透攻击检测功能

支持多种Web渗透攻击检测，至少包括：SQL注入、跨站脚本、代码注入、文件上传、目录遍历攻击、文件包含、端口扫描、目录扫描、漏洞扫描、NetBIOS扫描、暴露面探测等；支持多种恶意软件检测，至少包括：勒索病毒、挖矿软件、僵尸网络、shellcode、蠕虫病毒等；

11

AI检测能力

支持基于机器学习的加密流量下的恶意报文识别，至少包括Generic Botnet僵尸网络活动检测；支持基于机器学习的提取攻击者真实访问的URL，全面掌握攻击者的攻击意图和访问记录；

12

挖矿检测功能

支持多种类型挖矿病毒检测，至少包括：XMRig挖矿病毒、Wannaminer挖矿木马、LifeCalendarWorm挖矿蠕虫、WorkMiner挖矿木马等；支持多种协议的暴力破解，至少包括：SSH、FTP、POP3、SMB等协议；支持多种数据库的漏洞攻击，至少包括：MYSQL、Oracle、Microsoft SQL Server和MaxDB等数据库；

13

流量存储

全包存储：支持全流量报文的存储，以及远程调取、查看和下载功能；

14

支持全流量存储规则配置，至少包括：会话保存天数和深度、系统预留空间、协议保存优先级，其中能设置优先级的协议有ICMP、ICMP6、TCP、UDP、SSH、SMTP、IMAP、SMB、SNMP、HTTP、TLS等；

15

适配对接

支持与态势感知平台自动化对接。

序号

技术指标

具体要求

1

产品规格

终端安全管理平台和客户端均以软件形态产品，采用集中化在线管理、策略分发、存储和分析；

配置不少于1800个兼容国产、linux、Windows等操作系统主机安全授权许可，并提供不少于三年的客户端全功能特征库升级授权

2

兼容性

客户端支持支持兼容银河麒麟桌面操作系统的飞腾、鲲鹏、龙芯、兆芯、海光、AMD64等的认证。

3

客户端支持兼容高级服务器操作系统的飞腾、鲲鹏、兆芯、海光、AMD64等的认证。

4

病毒扫描

具备病毒传播行为检测技术能力，扫描模式支持全盘扫描、快速扫描、自定义扫描、右键扫描、拖动扫描等多种扫描方式，

5

病毒引擎

具备人工智能引擎，人工智能引擎支持PE/OFFICE/PDF常见文件类型威胁检测。

6

人工智能引擎支持恶意代码检测多分类，能够区分Virus、Trojan、Ransom、Rootkit、Backdoor、Exploit、Worm等类型。

7

信任名单

支持目录白名单、文件哈希白名单、签名证书白名单三种方式。

8

采集监控

支持活动文件、内存中活跃进程和模块、网络访问的进程实时监控。

9

支持邮件监控，支持对接收和发送的邮件进行病毒检测。

10

支持网页监控，确保用户在浏览网页时不被恶意网页病毒干扰和破坏。

11

具有持续采集浏览器HTTP/HTTPS访问记录的机制，支持Chrome、Edge、Maxthon、FireFox、QQ、UC、2345等常见浏览器。

12

漏洞修复

支持内网WSUS和互联网两种工作模式。

13

操作系统、数据库组件、大数据组件、WEB组件等提供虚拟补丁功能，在不修复漏洞的情况下拦截攻击行为。

14

安全防御

勒毒病毒诱捕：支持开启勒索诱捕功能，诱饵文件可被实时监控，当勒索病毒对该文件进行攻击或加密操作时进行拦截；平台上的勒索诱捕的方式包含但不限于强制开启、强制关闭、客户端控制模式。

15

挖矿木马防御。支持检测挖矿木马通信协议和连接矿池地址，实时阻断挖矿木马挖矿行为，并统计攻击的次数

16

终端入侵防御能力:针对操作系统、数据库组件、大数据组件、WEB组件等提供虚拟补丁功能，在不修复漏洞的情况下拦截攻击行为。

17

内存防御。支持Powershell和VBScript脚本防御，支持Office、PDF、浏览器和播放器应用加固，防范无文件攻击和溢出攻击。

18

数据防泄漏

数据防泄密能力。提供对终端外设（USB存储、光驱、USB外置网卡、无线网卡、蓝牙、手机、平板等）、接口（USB接口、串口、并口、1394、PCMIA）控制功能，提供文本、印章、二维码、点阵等多种屏幕明水印、隐水印。

19

基线核查

支持身份鉴别策略组基线核查，包括密码策略、账户策略等。

20

支持访问控制策略组基线核查，包括账号、共享检查等。

21

支持安全审计组策略基线核查，包括审核策略更改、登录事件、过程跟踪、目录服务访问、特权使用、系统事件等。

22

支持入侵防范策略组基线核查，包括非必须服务、非必须端口、防暴力破解、屏保密码保护、自动播放关闭等。

23

支持恶意代码防范策略基线核查，包括是否安装防病毒软件等。

24

非法外联

提供防止非法外联技术，支持互联网或专网的外联探测功能，发现外联后能够设置告警、断网等违规处理手段。

25

管控策略

具备网络管控能力，支持对终端端口和IP进行进或出单向及任意双向过滤，支持黑白名单机制。

26

终端运维能力：提供终端远程卸载、重启、关机、隔离能力，具备基线核查、安全加固、漏洞修复、远程协助、广告拦截、安全通告、网络管控、进程管控、违规外联、外设管控、文件分发等功能。

27

终端持续检测能力：提供对终端行为的全面监控与数据采集，包括终端进程、驱动、模块、网络连接、DNS访问、浏览器HTTP/HTTPS访问、文件操作、外设操作、打印操作、注册表变更、账户操作、操作系统日志等。

28

能够对违规行为进行溯源追踪和信息取证，能够通过取证信息为安全事件的追踪溯源提供支撑。

29

终端环境评分能力：支持对终端网络环境变化风险、恶意代码风险、漏洞风险、系统安全配置风险、服务合规风险、端口合规风险、进程合规风险、软件合规风险进行安全评分。

30

终端安全

提供自身安全防护能力，防止恶意程序攻击，无法终止进程、修改文件、更改注册表内容。

31

提供资产安全检测，并可详细展示终端的健康状态、基线核查的结果、异常状态等信息。

32

平台管理

管理平台具备整体安全概览展示，包括威胁趋势、安全概况、防护概况、安全合规、高危终端TOP10、高危病毒TOP10、待办事项等。

33

支持病毒、勒索病毒、webshell、可疑账号、可疑文件、异常通信链路、隔离终端、暴力破解的全网数量统计。

34

支持以柱状图的形式统计全网基线核查、终端版本、杀软安装、补丁修复的运维概况。

35

管理平台支持以组织架构的方式管理全网终端，能够显示终端基本信息（包括终端名称、IP、MAC、健康状态等）；终端资产支持显示终端详情包括性能、硬件、软件、进程、网络、漏洞等；包括策略分发、卸载、关机、重启、消息分发、隔离、取消隔离、误杀恢复等。

36

管理平台支持本地安全策略配置，并下发到对应的终端，包括：基本策略、病毒查杀、实时防护、信任名单、信息采集、异常告警、漏洞修复、桌面管控、高级防御安全策略。

37

支持导入多种授权，支持异构产品的集中管理，支持授权的导入、拆分、绑定和排序。

38

管理平台具备开放性接口，支持第三方态势分析平台接口联动。

39

客户端兼容性

Windows桌面支持：Windows XP（32位）、Windows 7、Windows 8/8.1、Windows 10，Windows服务器：Windows Server 2003（32位）/2008/2012/2016/2019。

40

支持Redhat6/7/8/9、CentOS6/7/8、Ubuntu12/14/16/18/19/20、Oralce Linux7/8。

41

杀毒引擎

产品须拥有完全国产自主知识产权杀毒引擎，防止产品后门和用户敏感信息外泄等隐患。

42

统一管理

▲基于统一管理、统一运维的要求，本次建设的政务云主机安全管理平台需支持纳管12345热线上原先已安装的终端主机安全客户端，进而实现整网协同、统一管理的能力。（提供承诺函，格式自拟，并加盖供应商公章）

43

产品资质

▲所投产品具备公安部《计算机信息系统安全专用产品销售许可证》或 网络安全专用产品安全检测证书。