第一章论证邀请.docx

《第一章论证邀请.docx》由会员分享，可在线阅读，更多相关《第一章论证邀请.docx（12页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第一章论证邀请南京市江宁医院信息安全处根据医院信息化资产委员会会议及院长办公会要求，就信息 安全项目进行论证，兹邀请符合资格条件的生产企业、经销企业以及潜在供应商参加。一、项目简要说明：序号名称数量需求部门功能需求1南京市江宁医院信息安全项目（）1套信息安全处信息安全升级改造二、供应商报名资格要求报名单位必须具备中华人民共和国政府采购法第22条所规定的条件外，还须具备如 下条件：1）在国内工商管理部门注册，具有独立的法人资格。2）法定代表人授权委托书（法定代表人签署不需提供此书）；法定代表人及授权代表身 份证正反面复印件；3）社保机构出具授权代表的投标截止日前6个月内授权代表的投标单位社保缴纳

2、证明，任职不足6个月的可提供劳动合同证明文件；4）近三年任意年度单位财务审计报告（原件审查）。5）供应商必须具备ITSS信息技术服务运行维护标准成熟度等级叁级及以上证书。三、报名时间及地点联系方式：1 .报名时间：北京时间2022年2月22日起至2022年2月25日（法定节假日除外）， 每日上午8： 00至11： 30,下午14： 00至17： （）0。2 .报名地点：湖山路169号国际医疗部安全科。3 .联系电话：联系人：王老师。第二章技术参数及要求指标项性能参数和要求漏洞情报展示内容包括漏洞情报更新趋势、漏洞风险系数、漏洞来源比重、漏洞情报趋势 总览、最近10条漏洞、最严重的10条漏洞。厂

3、商资质厂商是中国国家信息安全漏洞库一级支撑单位。产品入围Gartner魔力象限。厂商为国家信息安全测评信息安全服务资质证书（安全工程类三级）厂商具备CMMI 5证书厂商具备通信网络安全服务能力评定证书-网络安全培训（二级），提供证书复印件 厂商是CNVD成员单位，并获得2020年漏洞信息报送贡献单位、漏洞应急工作突出单位以 及漏洞发现突出贡献单位奖项（五）安全服务驻场通过安全服务对设备进行定期巡检，发现安全设备潜在的风险和攻击行为；使用资产发现工具，梳理出资产清单，减少资产暴露面；通过漏洞扫描、渗透测试服务，及时发现系统存在的漏洞；通过基线核查服务，发现策略配置不当的设备，进行策略优化。指标项

4、技术参数要求服务内容1、安全设备巡检安全设备巡检服务依托于态势感知平台，含响应资产（IP）监控数量100个。 针对安全防护体系中的安全产品，定期对设备进行巡检，包含CPU、存储情况、系统 时间、授权、特征库、系统版本、功能模块等巡检，及时升级安全设备的特征库， 保障威胁检测能力；日常巡检发现设备故障后，服务人员协调跟踪产品售后人员对 设备进行故障修复；通过对态势感知设备进行每日巡检，对生成的安全事件进行分 析，及时发现内部、外部发起的网络攻击行为。服务交付：每日对安全产品进行巡检，编制并提交安全产品巡检报告。2、互联网资产发现基于网络扫描、搜索引擎、互联网基础数据引擎以及人工服务主动探测业务应

5、 用系统在互联网上以及内网出口暴露的资产，可以形成明确的资产清单，发现未知 资产。通过大数据挖掘和调研的方式确定资产范围，进行主动精准探测深度发现暴 露在外的IT设备、端口、应用服务等安全相关的安全资产，发现活跃资产及“僵尸” 资产，由安全专家对每个业务梳理分析，结合用户反馈的业务特点，对资产重要程 度、业务安全需求进行归纳，最终形成资产清单。服务交付：每年开展一次资产发现工作，编制并提交资产发现报告。3、漏洞扫描依靠带有安全漏洞知识库的网络安全扫描工具对信息资产进行安全扫描，其特 点是能对被评估目标进行覆盖面广泛的安全漏洞查找，能够真实、全面地反映主机 系统、网络设备、应用系统所存在的网络安

6、全问题和面临的网络安全威胁，及时地 消除安全漏洞可能带来的安全风险。服务交付：每月开展一次漏洞扫描，编制并提交漏洞扫描报告，描述发现 的问题，给出修复建议，协助运维人员进行修复，并需进行复测。4、基线核查评估通过“自动化工具配合人工检查”方式参考安全配置基线进行检查，主要包括 网络设备、安全设备、操作系统、数据库、中间件等安全配置基线，其中重点对网 内业务服务器进行安全基线检查。采用主流的安全配置核查系统或检查脚本工具，以远程登录或检查脚本工具的方式，完成检查。依据标准安全技术规范对网络设备、 安全设备、操作系统、数据库以及中间件的安全配置基线要求，并结合安全评估结 果，按照安全整改建议，由安

7、全服务人员协助客户运维人员实施安全加固。最终符 合安全规范保障安全运行。收集策略信息后，结合实际业务安全需求，对现有安全策略进行差距分析，发 现策略缺失、策略冗余、策略未废止等问题，并制定相应工作方案开展策略优化工 作，内容包括：访问控制策略优化、安全防护策略优化、行为审计策略优化等，通 过安全策略优化完善策略可用性，提升防护能力。服务交付：服务期内每月进行基线评估及策略优化服务，输出每月的安全基 线检查报告，描述发现的问题，给出修复建议，协助运维人员进行修复。5、渗透测试重点对网内业务系统开展渗透测试，主要的测试方法包括：信息收集、端口扫 描、远程溢出、口令猜测、本地溢出、客户端攻击、中间人

8、攻击、web脚本渗透、 B/S或C/S应用程序测试、社会工程等。服务交付：服务期内每年进行一次渗透测试服务，编制并提交渗透测试报告， 描述发现的问题，给出修复建议，协助运维人员进行修复并进行复测。质保授权提供安全驻场服务一年售后服务要求提供两名工程师驻场服务，同医院作息时间相同。四、服务要求：提供完善的售后服务和技术支持方案，包括但不限于以下内容：1 .投标人应当具有良好的服务理念和完善的售后服务体系，能够按照投标技术方案提供系统 集成技术支持服务；.须提供实施项目组人员名单，项目负责人须具有三年以上工作经验，三甲医院项目实施经 验，以及良好的沟通协调能力；2 .投标时提供原厂质保函。产品包含

9、三年硬件质保，三年的软件特征库升级授权。质保期内 应用软件和硬件的升级、维护均免费。说明质保期后的售后服务内容和收费标准；3 .在系统建设、使川、运维等过程中遇到问题时，都能够得到投标人相应的技术支持与帮助:4 .提供7x24小时热线电话、远程网络、现场等技术支持服务，服务响应时间不超过2小时。 对于系统故障，要求提供快速响应机制，满足医院业务连续性要求；5 .根据医院的业务特点和用户认知程度不同，提出系统而有效的培训方案。一、项目背景:网络安全威胁和风险日益突出，重大网络安全事件时有发生，具有很大的破坏性和杀伤 力。目前国内网络安全保障体系还不完善，网络安全防护基础还很薄弱，不断加剧的网络安

10、 全风险和防护能力不足的矛盾日益凸显。我院开展信息安全等级保护测评工作，发现信息系统中存在的安全除患，信息安全措施 相对不足，医院安全稳定运营缺乏重要保障，一旦遭受安全攻击，现有设备环境无法挽救、 防护、追溯等相关安全事件的攻击，将会给医疗带来严重损失。我院新老院区合并以后，参照上级主管部门的建议和我院业务发展的需求，我院将两院 区信息系统进行整合，建立统一的数据中心。遵循单位网络建设和网络安全”同步规划、同 步建设、同步运行”的原则，我院需对网络安全进行整体的升级改造，以达到有效降低我院 信息系统的安全风险，满足等级保护2.0的要求，进而满足三级甲等医院评审要求。二、采购需求:序号项 目单位

11、数量1防毒墙台12威胁感知台13入侵防御台14态势感知台15安全服务驻场年1三、技术参数: （一）防毒墙部署在湖山路院区外联卫生网及各分院网各边界处，拦截网络数据包中存在的恶意代码 程序等病毒，增加外联业务安全防护。指标项性能参数和要求产品性能产品出厂自带2X 1000Mbps网络接口，2个Pclc可扩展插槽；并发会话数21, 200, 000； 每秒新建会话数280, 000；全功能开启状态支持流量不低于2. 5Gbps；设备内存不低于 16G；设备硬盘不小于IT, 350W双电源；产品高级应用防火墙吞吐量28Gbps；产品开启高级应用防火墙和防病毒吞吐量N3Gbps；产品开启高级应用防火墙

12、和IPS吞吐量24Gbps：侦测能力超过100种协议支持，如：HTTPFTP/SMB/TFTP/TCP/UDP/NFS/SNMP/ICMP/RTMP/DNS/IRC 等;支持win7 winlO的SMB协议；防己知恶意软件（病毒、木马、蠕虫、后门、加密勒索软件、间谍软件、灰色软件、Rootkits 等）；可与APT增强侦测模块联动，获取APT增强侦测模块侦测到的C&C黑名单，并阻止C&C违规外联;可提交可疑文件、URL、IP及域对象至APT增强定制化沙箱模块做联动分析，并根据分析 结果做进一步处理；供应商具备整体联动能力（整理联动的组件包括：网关、沙盒和终端防病毒软件），从终 端到网络实现已知

13、、未知威胁全方位发现、拦截的功能。（需要提供测试方案或进行实际 测试）；可升级服务器及终端虚拟补丁和主动式主机入侵防御系统，可在漏洞攻击主机之前予以 侦测和拦截；防止漏洞利用和SQL注入，命令注入，Webshell攻击，XSS攻击，CSRF攻击：6, 000+条虚拟补丁及入侵检测特征库；病毒侦测能力获得2015、2016年AV Test、AV Comparative测评排名前三（提供证明 材料）；ANSS Labs 2014和2015年入侵外泄侦测系统评测最高安全“推荐”评价（提供证明材 料）；部署与管 理桥接模式路由模式监控模式（旁路模式）多路ISP & WAN模式支持多种登录方式，包括We

14、b、SSH、CLI等SNMP管理支持具备iDRAC远程访问管理能力（提供产品外观截图）支持中文管理界面升级更新支持自动/手动在线升级，可配置自动升级周期；日志及报 告提供基于策略（源和用户/目标/通讯类型/时段）的流量日志记录/查询/打印/导出；可按照时间，协议，威胁类型等查询条件查询日志；支持Syslog协议，可以实时传输日志到Sys log服务器；提供恶意软件/垃圾邮件/入侵防御/Web信誉服务违例事件安全报告，前N个用户违例报 告，以及按应用程序/LRL类别/带宽使用等前N个通信报告；安全性和 可靠性通过加密的SSL访问管理控制台；提供硬件和软件BYPASS功能在停电与系统出现问题时自动

15、实现直通功能；支持最新版本检测和提示功能，提升设备的可维护性：提供内置.USB接U,可用于灵活扩展设备存储空间并保证数据安全（提供设备硬件照片 并原厂盖章）;资质与认 证产品必须具备网关防病毒产品的销售许可证（提供加盖公章的证明文件）；产品获得国家强制性产品CCC认证证书（提供加盖公章的证明文件）；厂商可根据用户需求提供高级别的服务承诺，如大客户专署服务、主动式服务、快速响应 服务（SLO/SLA）、在线技术支持服务等，可提供5X8乃至7X24小时的专业防毒服务；设备生产厂商通过CMMI5认证测评（提供加盖公章的证明文件）；设备生产厂商须为全国信息安全标准化委员会发布的信息安全技术防病毒网关安

16、全 技术要求和测试评价方法起草单位之一。（二）威胁感知部署在内网安全管理中心，对网络安全事件做实时审计、分析、记录和告警，协助管理 员及时应对、处理已知和未知风险。指标项性能参数和要求产品成熟 度产品制造厂商应保证其产品经过7年以上的持续研发和市场验证，产品成熟、稳定。请提 供软件著作权予以证明。产品具有至少10项相关发明专利证明。（要求提供专利证明）硬件指标产品应使用高性能硬件架构，集流量采集、沙箱检测、大数据分析、展示于一体。设备为标准2U服务器式机架，必须配置冗余电源，支持热插拔。设备具备RAID能力（即必须集成RAID控制器），具备高可靠性与高效磁盘结构，必须使 用 RaidlOo设备

17、具有2颗英特尔不低于至强Silver系列CPUo设备硬盘容量必须大于等于8TB容量，内存必须大于等于96GB。标准21机架式安全设备，配置冗余电源，标配1个10/100M/1000M管理接口、1个 10/100/1000M 私有云口，1 个 10/100/1000M 数据采集口，1 个 10/100/1000M 业务口，额 外配置7个接口扩展槽位。扩展接口理论满配支持14个万兆光口或28个千兆电口（或光 口）O性能指标设备网络层吞吐率不少于5G,设备应用层吞吐率不少于2G,最大HTTP并发连接数不小于 300万,每秒新建HTTP连接数不少于1万。动态沙箱处理文件性能不低于10000个/天。（实

18、验室环境）部署模式支持旁路部署、集群部署应支持流量镜像接入，应支持syslog日志接入未知威胁 检测产品具备100种以上格式的文件检测能力,涵盖Windows、Linux、Android等多种操作系 统产品需具备不少于3种检测机制（静态检测、漏洞检测、行为检测），每种检测机制检测 流程可自定义配置。产品支持不少于8种样本检测工作流配置，每种工作流可自定义选取相应的样本格式。产品具备邮件检测、HTTP检测、FTP检测，支持可疑样本手动上传检测。产品具备“高速”“最优” “全面”“高级”的检测流程配置模板。产品具备四十种以上虚拟沙箱检测环境的能力。产品具备恶意样本库、隐蔽信道库、URL信誉库的能力

19、。产品必须具备与防火墙、终端防病毒、网闸、网络审计、入侵检测、入侵防御、入侵分 析中心等7种以上专业安全设备协同联动，需提供对方设备的联动界面截图证明。产品可对协同联动设备提交的可疑样本文件展示其检测结果、检测时间、来源、类型、状 态等信息。产品可提供恶意文件MD5,并展示相同MD5值对应的文件匹配次数。已知威 胁检测产品具备事件特征库不少于5000条以上，并且可以按照协议类型、攻击类型、安全类型、 流行程度、事件级别等分类编排事件特征。需提供截图证明。产品系统策略集至少包括失陷主机、行为分析、攻击路径策略集。需提供截图证明。产品支持下载匹配上特征检测策略的原始报文信息，需提供截图证明。产品支

20、持手动导入pcap包检测，检测内容必须包括特征检测与样本检测,需提供截图证 明。产品具备35种以上协议分析能力、拒绝服务扫描类事件。需提供截图证明。产品具备弱口令检测，口令配置项不少于7种。需提供截图证明。产品具备事件合并能力，并且可根据“周期”“次数”自定义配置。需提供截图证明。威胁感 知应提供不少于7种的专业模型视角：攻击者视角、被攻击者视角、事件视角、样本视角、 隐蔽信道视角、恶意URL视角、威胁情报视角等多维度的专业视角，并可进行线索分析钻 取能力。（要求提供界面截图）样本视角应可对样本文件的未知威胁检测告警日志，包含样本报告的查看能力。（要求提 供界面截图）可对重点关注的事件进行点选

21、加入线索池，触发匹配本地或云端情报库，反馈研判结果信 息。应提供不少于6种行为分析能力，包含资产行为画像、用户行为画像、web应用分析、DNS 行为分析、异常登录分析、邮件分析等多种分析能力，并提供事件链分布展示能力。能够通过资产行为分析，发现针对资产的攻击历史日志及威胁态势。能够通过用户行为分析，关联用户所拥有资产的攻击历史日志及威胁态势。能够通过配置的资产信息，分类资产内与资产外的失陷主机状态。能够通过失陷主机分析，提供威胁性、确定性指数，从而突出重要线索分析。威胁狩猎能够提供事件数量、攻击者数、事件级别、匹配度的力度面积图。提供威胁情报碰撞功能，可对历史数据进行情报匹配并提供钻分析。可自

22、定义导入威胁情报，可下载、导入情报库模板。报表管理内置种类丰富报表模板，支持html格式报表。支持设置下发报表任务，根据小时、每天、每月、每年等周期定时生成报表。用户可定义 报表样式。联动响应支持与IPS设备进行联动响应，支持平台下发信息，阻断攻击IP。威胁情报可定期提供恶意样本库，并支持离线导入。可定期提供恶意URL库，并支持离线导入。可定期提供威胁情报库，包含IP、皿5、DNS等关联信息，并支持离线导入。单机内扩展的未知样本检测能力支持callback情报信息的提取并自动应用到已知检测模 块。系统管理支持清除数据、重启、恢复出厂设置系统维护功能。能够提供B/S网络管理功能。可实时监控设备的

23、CPU、内存、存储空间使用情况。可新增并管理用户，可控制用户使用权限。可支持用户初次登陆强制修改密码功能。多次登录失败将锁定账号5分钟内不得登录。自身安全产品核心构件通信采用SSL加密传输、支持访问控制列表、探测器开放的服务端口可修改。原厂能力厂商具备微新物分、CVE等漏洞挖掘能力证明。厂商对外累计公开发表专业黑客组织分析报告，不少于两份。产品资质产品同时具备入侵检测的公安部销售许可证、保密局证书、EAL3证书、军队证书、3c证 书等资质，也具备高级持续性威胁检测与管理的资质，如具备软件著作权登记证明；厂商资质厂商是中国国家信息安全漏洞库一级支撑单位。厂商为国家信息安全测评信息安全服务资质证书

24、（安全工程类三级）厂商具备CMMI 5证书厂商具备通信网络安全服务能力评定证书-网络安全培训（二级），提供证书复印件 厂商是CNVD成员单位，并获得2020年漏洞信息报送贡献单位、漏洞应急工作突出单位以 及漏洞发现突出贡献单位奖项（三）入侵防御部署在湖山路院区外联卫生网及各分院网边界处，用于在内网关键网络节点处检测、防 止或限制从内部、外部发起的网络攻击行为，在发生严重入侵事件时提供报警。指标项指标要求硬件平台产品为具有知识产权的多核硬件平台系统，提供多核并行操作系统证书。品牌实力产品连续五年IDC或CCID市场排名前三产品，提供相关证明。扩展能力支持IT硬盘扩展，用于日志存储和APT防御扩展

25、。接口规格标准 1U机架设备；1 个RJ-45 Console 口，1 个 10/100 Base-Tx带外管理口，5个 10/100/1000 Base-T接口（4个具备bypass功能），4个千兆光口，2个USB 口。性能要求最大IPS吞吐量叁20G,最大并发连接数工400万。入侵防御功 能入侵防御事件库事件数量不少于4000条。支持无线攻击检测和防护功能扩展，可手工或自动识别和区分内部AP和外部AP,也可 以手工或自动识别合法终端，并基于此设定无线准入策略，通过射频信号阻止非法AP、终 端的接入。支持无线扫描、欺骗、DoS、破解等常见无线网络攻击行为的检测、告警、阻 断功能，同时支持多种

26、类型流氓AP的检测与阻断。提供截图证明。内置未知恶意代码检测引擎，能检测流经的hllp、ftp.邮件协议中包含的office文档、 图片文档及压缩文档中的未知恶意文件，报警信息应包括源目的IP、协议类型、文件基本 信息、检测方法、危险等级及文件应用的详细信息（如邮件的发件人、收件人、标题等）， 方便跟踪恶意文件。支持与恶意代码动态检测系统联动。系统将流经的http、ftp、邮件协议中包含的office 文档、图片文档及压缩文档提交给APT检测系统，并可查询APT的检测结果。提供截图证 明。具备终端和服务器环境感知能力，通过主动扫描和扫描结果导入获得终端环境情况。部署方式支持路由模式，至少包括：

27、静态路由、策略路由、ISP和0SPF路由协议。防病毒功能支持双病毒引擎，需提供防病毒引擎厂商合作证明。内容防护支持Web过滤，支持黑白名单、关键字过滤、URL分类、Script、Java Applet等过滤。支持敏感信息防护功能，识别信息和文件中的关键字、身份证、手机号码、固定电话号码、 银行卡、IP地址等敏感信息，并支持文件指纹识别和白名单功能。高可用性支持软件Bypass功能，通过CPU和内存阚值实现软件Bypass的开启。支持重点资产和应用监控，当资产和应用出现异常时，通过syslog和邮件进行告警，并 可以记录日志。管理功能支持WEB登录图像验证码功能，防止暴力破解。支持本地日志及SY

28、SLOG日志发送，支持向至少3个syslog服务器发送日志。支持声音报警，通过设置事件级别、入侵事件级别和病毒事件进行声音报警。产品资质产品具备计算机信息系统安全专用产品销售许可证厂商资质厂商为互联网安全研究中心应用联盟成员厂商是中国国家信息安全漏洞库一级支撑单位。产品入围Gartner魔力象限。厂商为国家信息安全测评信息安全服务资质证书（安全工程类三级）厂商具备CMMI 5证书厂商具备通信网络安全服务能力评定证书网络安全培训（二级），提供证书复印件厂商是CNVD成员单位，并获得2020年漏洞信息报送贡献单位、漏洞应急工作突出单位以 及漏洞发现突出贡献单位奖项中国国家信息安全漏洞库（CNNVD

29、）技术支撑单位一级（四）态势感知部署在内网安全管理中心，对内网海量数据的安全信息的采集和集中存储,并进行综合处理和关联分析及可视化预警监测，实现安全效果可评估、安全态势 可视化。指标项性能参数和要求产品形态产品必须是软件形态，要求部署在Linux操作系统上，必须采用64位操作系统。运行环境系统必须采用B/S架构，管理员只需浏览器即可连接到系统进行各种操作。用户的浏览器客户端无需安装JRE或者JAVA Web Start即可访问管理中心；产品要求集成数据库，无须再独立安装数据库系统，亦无须对数据库进行专门的维护。数 据库应可满足海量安全事件的存储与快速查询与检索，可支持分布式弹性扩展，提供数据

30、冗余存储。使用界面系统必须采用基于浏览器的用户界面，至少支持IE、Chrome与Firefox等。管理范围涵盖网络设备、安全设备、主机、数据库、中间件以及各种应用系统管理节点100个事件处理性能 要求管理中心的事件处理性能最大可达到平均每秒50000条事件 15亿条事件简单搜索完成用时2秒监控性能要求管理中心的并发监控任务个数可以达到1000个部署方式支持单级部署和级联部署，支持分布式部署。单级部署：无需安装任何其他软件和组件，用户只需要安装管理中心即可实现对全网资源 的安全管理；级联部署：两个管理中心之间可以进行级联，形成大规模统一管理：分布式部署：一个管理中心可以连接多个分布式事件及性能采

31、集器或者日志代理，实现对 全网分散IT资源的统管理。个管理中心可以连接多个分布式存储索引节点，实现海量 安全事件的分布式存储与检索。态势总览用户登录即可进入综合展示界面。通过该界面，能够快速的导航到各个功能； 用户可以自定义一级功能菜单，可以根据自身需要调整一级功能菜单的顺序； 在态势总览中能够对全网安全信息进行综合展示，包括对全网的安全、运维概况的量化评 估，对资产、运行、攻击、脆弱性的概况评估，能够显示不同时间段维度的事件告警趋势 曲线，对不同类型告警事件进行周期性预测，对攻击链的各个阶段进行监控，能显示实时 攻击情况、攻击源、受攻击的资产、业务系统情况、包括相关的TOP、各类事件数量和次

32、 数，规则和情报命中情况，及威胁情况的信息，能显示漏洞类型的分布图、高危漏洞的详 情及影响的资产，对告警处理情况跟踪、包括告警的数最、工单及处理率等。支持对需要 进一步追溯的部分进行下钻。资产态势可对资产总体的安全概况进行分级评分、包括不同危险级别的资产数量统计，根据设备 类型对进行分类，包括数量和可用率，分别从业务系统和安全域维度展示资产TOP,呈现 资产的价值分布，网段分布情况，对资产发现情况进行展现，包括资产来源的统计及不同 资产来源的资产类别和数最维度的统计，支持互联网资产的暴露情况，以及操作系统的版 本、端口类型信息呈现。支持对需要进一步追溯的部分进行下钻。需提供截图证明攻击态势综合

33、全网攻击信息，利用内置的多维统计分析模型和多样的可视化图表，对整体的攻击 态势进行直观呈现。以动态攻击地图的形式对当前的攻击路径、攻击趋势、攻击热度等状 态进行展示，包括对情报的命中情况展示、对当前遭受攻击的状态、攻击趋势的评估定性。 从多种时间段维度展示不同攻击类型的攻击走势曲线、攻击端口的分布、攻击源TOP排名， 攻击事件详情的分布等，可分别从各业务系统和安全域的视角展示攻击信息，可从各资产 攻击事件的数量、增量、持续时间等维度对攻击事件进行分析呈现。需提供截图证明运行态势通过对在网各类信息资产和业务系统的告警信息、可用性信息、性能信息及异常行为进 行全方位细粒度的监控，对收集到的多维运行

34、信息进行统计分析，行为基线分析，利用丰 富的可视化图表，对当前全网的运行情况进行全方位呈现。能分别从设备类型和应用类型指标项性能参数和要求层面对资产的数量及联通状态进行展示，对资产的CPU、内存、磁盘的波动及负载情况进 行展示，包括相关指标的TOP排名及波动范围及趋势，对性能告警信息和异常操作进行展 示，同时支持网络拓扑图监控，可自定义描绘网络拓扑，直观展示IT资产之间的逻辑连接 关系和故障情况（具体查看网络拓扑模块）。需提供截图证明攻击链利用攻击链分析模型、按事件类型和攻击行为信息将整个攻击过程进行拆分统计，对各阶 段事件的源目地址、类型、数量及分布情况等维度信息进行分析，对全网业务资产被攻

35、击 情况进行全程监控、全景呈现，从不同时间段维度对攻击链个阶段趋势进行分析展示，同 时引入扇子分析模型，可从时间维度对各攻击阶段的事件量进行展示，并可选定任意时间 区间进行自动的重点分析计算，结果呈现。供用户了解攻击者的攻击规律，攻击手法，攻 击意图。为后续的防御、诱捕、反制提供数据支撑。资产管理系统提供基于资产的拓扑视图，可以显示资产之间的逻辑连接关系。系统可以按列表和拓 扑两种模式显示资产拓扑节点。用户可以手工编辑资产拓扑，包括添加节点，添加/编辑连线，任意拖动节点，可以对拓扑 图进行缩放，可以更换拓扑图背景：用户在拓扑图上添加的资产节点等同于在资产列表中添加资产节点；资产建模系统内置常见

36、的设备和系统类型，用户可以自定义资产类型，并且可以针对每个资产类型 自定义资产扩展属性；自定义的资产扩展属性至少应包括属性名称和数据类型，数据类型应至少可以指定为字符 串、数字、枚举、时间、BLOBo拓扑管理拓扑管理功能能够运行在Linux和Windows环境F,无需安装JRE或者使用Java Web Start 即可展示网络拓扑；用户可以手工编辑资产拓扑，包括添加节点，添加/编辑连线，任意拖动节点，可以对拓扑 图进行缩放，可以更换拓扑图背景；网络拓扑图具备实时设备和链路运行监控功能，如果设备或者链路发生故障，能够自动的 进行标记;用户可以随意在网络拓扑图和网络设备列表之间进行切换。日志采集无

37、需另外安装软件组件，管理中心即可通过SNMP Trap. Syslog. ODBCJDBC、文件文件 夹、WMI、FTP、SFTP、NetBIOS. OPSEC等多种方式完成日志收集功能;可灵活定制不支持的数据源采集，而无须改动代码。日志范式化系统必须具备日志范式化功能，实现对异构日志格式的统一化；范式化字段至少应包括事件接收时间、事件产生时间、事件持续时间、用户名称、源地址、 源MAC地址、源端口、操作、目的地址、目的MAC地址、目的端口、事件名称、事件摘要、 等级、原始等级、原始类型、网络协议、网络应用协议、设备地址、设备名称、设备类型 等；针对不支持的事件类型做范式化不需改动编码，通过修

38、改配置文件即可完成： 对日志设备类型、日志类型、日志级别等可进行重定义。在范式化的时候能够对日志进行分类，分类需按照安全事件的类型，而不是日志的设备类 型，并提供日志分类的类型清单。日志传输和存 储转发日志可加密压缩传输，保证数据的完整性和机密性；日志可加密存储。支持大数据量存储；可根据转发条件，将采集范式化后的数据转发到其他的FI标地址； 支持加密压缩方式转发，定时转发。日志过滤要支持对无用日志的自动过滤，减少垃圾数据数量； 可以建立日志过滤条件；过滤条件可以按照所有范式化后的字段属性来定义。指标项性能参数和要求日志合并要支持对无用信息的自动合并，减少垃圾数据数量； 可以建立日志合并规则，设

39、定合并的时间范围。安全事件分析用户可自定义事件分析条件，并可保存为策略，以树形结构进行组织，形成一个分析策 略树。需提供截图证明可以显示段时间的动态事件移动图，能够在图上显示每个时间切片的事件数量、等级， 并能够在图上显示事件数。需提供截图证明，用户点击每个时间切片，可以查看该切片内 的事件；动态事件移动图可设置动态刷新频率，根据刷新时间显示实时事件。可以多种形式展示动态事件移动图，包括折线图、柱状图、折柱混合图、等级堆积图等，并可进行选择切换。需提供截图证明，支持以鼠标选择时间1乂域，并显示相应事件； 可以对选中的事件源/目的】p地址进行全球地图定位，包括在线定位和离线定位。可以对选中的事件

40、进行事件拓扑分析，并可视化的展示一幅描述事件之间相互关系的事件 拓扑图。可以以图形化的方式展示日志属性之间的聚合关系，显示多维事件分析图。可以对选中日志进行视网膜视图分析，以可视化方式展示日志的源IP与目的IP分布走向。事件全文检索系统提供输入关键字搜索，从海量事件原始信息中获取与关键字匹配或部分匹配的所有事 件。检索完成后系统会在检索结果中，事件原始信息中以高亮方式显示检索的内容。基于观察列表 的长期事件关 联分析系统支持基于观察列表的事件关联分析；可分析长期和短期事件的实时关联分析，可将关注的事件或符合条件的事件保存至观察列 表中供后续规则读取并关联；可将关注的字段保存至观察列表中供规则读

41、取并对事件进行实时关联。基于情境的事 件关联分析系统能够将安全事件与当前网络和业务的实际运行环境进行关联，透过更广泛的信息相关 性分析，识别安全威胁；系统应至少支持基于弱点的情境关联、基于资产的情境关联、基于网络告警的情境关联；安全事件可视 化系统具备丰富的事件可视化展示能力，具备多种展现手段，至少包括事件拓扑图、IP全球 定位图、动态事件移动图、事件多维分析图、资产拓扑图，等等安全事件存储 管理系统应提供事件维护功能，动定时备份采集上来的安全事件，也支持手动备份与恢复。 管理员可设置事件存储容量告警阈值。集中设备运行 监控系统能够对各种不同厂商的安全设备、网络设备、主机的性能与可用性进行集中

42、化实时监 控网络设备监控系统支持通过SNMP、TELNET. SSH、SSH2、ODBC、JMX、协议仿真等方式对IT资产进行性 能与可用性信息的周期性采集；采集时无需在被管理节点上安装代理：性能与可用性 监控分析系统对于各种监控对象都能进行全方位细粒度的监控，具有丰富的监控指标；管理员可以通过丰富的可视化图表查看监控指标信息；可以对监控指标设置告警阈值；可 以将监控指标的数据保存起来，并进行历史分析；可以将监控指标的数据保存起来，进行历史分析；可以进行基于指标的横向对比分析和基 于时间的纵向对比分析；能够显示监控对象的时间轴图。安全设备监控支持所有支持SNMP协议的主流安全设备；能够监控安全设备基本属性，以及性能与可用性指标，包括：设备名称、IP信息、描述、 节点状态、运行时间、接口信息、网络状态信息、网络性能信息。漏洞情报系统提供可更新的漏洞情报，并定期提供更新服务，漏洞情报中包含漏洞的详细信息，包 括受影响的操作系统、内核和组件以及相应的版本信息。