网络安全态势感知扩容技术要求.docx

网络安全态势感知扩容技术要求:1 .系统提供可编辑的灵活强大的自定义仪表板；仪表板支持自定义创建框架, 用户根据需要在框架内添加不同的仪表板组件(数值、折线、面积、柱图、 饼图、环状图、地图、组件、URL、文本、图片、列表等)，支持组件位置 自由摆放，组件大小自由拖曳等；需要提供能够体现上述功能及配置选项的 截图；2 .能够对组织的IT资源中构成业务信息系统的各种网络设备、安全设备、安 全系统、主机操作系统、虚拟化、云计算、数据库、中间件以及各种应用系 统的日志、事件、告警等安全信息进行全面的审计；3 . 要求支持按照Syslog-NG标准及自有格式进行转发，转发时包含原始日志 源IP地址，提供产品界面截图证明；并要求可与院内现有的NGSOC系统 进行数据对接，提供可无缝对接承诺函；4 .支持通过 Syslog、SNMP Trap、Netflow V5> ODBC/JDBC、Agent 代理 (Windows/Linux)、WML (S)FTP、文件共享(SMB、NetBIOS)、文件'文件 夹读取、Kafka等多种方式完成各种日志的收集功能，支持多行日志采集合 并为一行；需要提供能够体现上述功能及配置选项的截图；5 .支持对关联规则进行监控，并可查看规则监控的命中历史情况。需要提供能 够体现上述功能及配置选项的截图；6 .支持对资产IP地址(含内网IP)的地理信息进行管理，自定义单IP及IP 段行政区及经纬度，支持地图显示，需要提供能够体现上述功能及配置选项 的截图；7 .支持自定义资产类型及资产属性；支持对资产自定义标签，支持对标签内容 进行查询和管理，需要提供能够体现上述功能及配置选项的截图；8 .日志解析字段内置不少于130个字段，属性字段可扩展，用户可根据审计需 要自行创建字段，字段类型包括IP、字符串、整型等15种，可选择映射函 数等。内置及新增的所有字段均可参与查询、关联分析和报表统计；9 .支持正则表达式、Key-Value> JSON日志解析，支持日志自动化辅助范化； 支持对选中的日志内容自动生成正则表达式来提取日志属性。10 .系统具备全文检索的大数据处理能力，能够对事件进行非格式化的文本式处 理，可将原始信息进行自动索引，快速搜索分析各类安全事件。系统提供即 席查询功能，支持归一化字段及关键字搜索，从海量事件原始信息中获取与 关键字匹配或部分匹配的所有事件。系统支持基于正则表达式的检索功能, 用户可在搜索栏内输入正则表达式，系统可搜索出原始信息中与正则表达式 相匹配的所有事件；11 .支持高性能日志的处理和存储的优化，要求采用高性能的Syslog日志处理 和存储方法，提供第二方机构出具的证明文件；12 .支持以图形化的方式展示日志属性之间的聚合关系，并支持手动选择日志属 性，显示多维事件分析图；属性可增加或减少，且支持图片大小调整，需要 提供能够体现上述功能及配置选项的截图；13 .系统支持提供安全运维报告，帮助运维人员快速生成日常日志分析和运维报 告。需要提供能够体现上述功能及配置选项的截图；14 .支持用户指定事件的任意属性字段为条件，对事件进行统计分析，分析结果 支持正序和倒序排序。需要提供能够体现上述功能及配置选项的截图；15 .本次要求提供不少于250个日志源授权，并提供正规出版社正式发行的本产 品所配套使用的教材；16 .产品支持日志统计分析：支持柱状图、饼图、折线图、面积图、堆积图、环 状图、数值图、地图、3D地球等形式的统计信息可视化展示，并可将统计 结果保存为仪表板和报表等。图表数据支持数据下钻；需要提供能够体现上 述功能及配置选项的截图；17 .为保证系统具有高效的事件处理性能，要求产品支持基于一种大规模事件处 理的规则群组系统及处理方法，该技术需获得省部级政府部门认定。18 .可以显示一段时间的动态事件移动图，能够在图上显示每个时间切片的事件 数量，点击该时间切片，可以查看该切片内的所有事件；动态事件移动图可 设置动态刷新频率，根据刷新时间显示实时事件；19 .为帮助运维人员快速生成日常日志分析和运维报告，要求产品可支持提供安 全运维智能报表，提供截图证明材料；20 .支持单一部署，也支持分布式集群部署，支持级联部署；分布式计算存储节 点支持日志的范化、关联分析、查询和存储；集群模式下，支持分布式部署， 在此部署模式下分布式计算存储节点支持弹性扩容。21 .质保期：自软件交付后质保三年。