XX医院信息安全服务项目需求说明.docx

《XX医院信息安全服务项目需求说明.docx》由会员分享，可在线阅读，更多相关《XX医院信息安全服务项目需求说明.docx（25页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、XX医院信息安全服务项目需求说明一、安全区域边界防护服务服务项服务需求服务工具指 标服务工具需采用多核网络专用架构，使用64位MIPS多核处理器， 非X86多核架构或ASIC架构。标准1U专用千兆硬件平台，内置交流双电源，硬盘2500G。12*GE电口，12*SFP光口；支持千兆接口总数224个。服务工具最大吞吐量28 Gbps, HTTP吞吐量三4.7 Gbps, IPS吞 吐量三 1 Gbps, AV 吞吐量三800 Mbps, IPSec VPN 性能三 1. 2 Gbps, 最大并发连接数2300万，每秒新建连接数210万，IPSec VPN 隧道数1024, SSL VPN接入数21

2、500。支持4G接入，并可实现4G连接与有线链路之间的互为备份。VPN服务支持标准IPsec VPN和快速IPsecVPN,标准IPsecVPN认证方式 包括但不限于国密认证、数字证书和预共享密钥；同品牌设备快 速IPsecVPN对接时加密算法等参数无需配置，自动生成，仅需配 置保护子网、共享密钥、IP地址。控制策略服 务支持基于多元组的访问控制；并提供智能策略分析功能，支持策 略命中分析、隐藏策略分析、冗余策略分析、冲突策略分析、可 合并策略分析、过期策略发现、空策略发现、策略宽松度分析， 并在web页面显示分析结果。入侵防御服 务支持自定义IPS特征，至少支持IP、UDP、TCP、ICMP

3、、HTTP、FTP、 POP3、SMTP等协议自定义入侵攻击特征；可拓展协议字段，设置 数据包中的匹配内容；支持选择包含、等于、不等于、大于、正 则匹配等匹配方式；可选择多种匹配条件，支持设置“与”和“或” 的匹配顺序；支持设置检测方向，包括双向、客户端方向和服务 端方向；支持自定义选择重要等级。非法外联防支持非法外联学习和防护特性，可有效保障服务器安全，可定义支持对安全日志里200个以上字段进行任意形式的逻辑与或非形 式组合建模，字段包括但不限于应用协议、目的IP、目的主机名、 目的端口、目的用户名、数据流方向、情报I0C等，运算方式包 括但不限于等于、不等于、大于、小于、大于等于、小于等于

4、、 属于、不属于、存在、不存在，并能根据组合方式自动生成运算 表达式。支持自定义部署AI机器学习模型，允许用户选用的高级机器学 习算法不少于4种，通过输入任意指标类数据进行模型训练，发 现异常行为并生成安全事件与告警，辅助用户发现潜在的安全风 险。实现实体间网络互访关系的多级钻取，支持通过端口、协议、异 常访问类型、攻击链等过滤关联关系，支持通过一键溯源进行威 胁关系的自动拓展。支持在告警详情中展示数据血缘关系，包括数据来源、原始日志、 规则模型及安全告警，支持下钻至原始日志和规则模型。白名单生效时间设置包括长期生效和定期生效，定期生效时间支 持自定义配置生效时间和失效时间；白名单策略支持对最

5、近7天 历史告警数据生效；可针对任意白名单策略进行启用或禁用；支 持查看白名单本日匹配次数。支持挖矿专项检测页面，具备挖矿攻击事前、事中和事后全链路 的检测分析能力，综合运用威胁情报、ips特征规则和行为关联 分析技术，如检测发现文件传输（上传下载）阶段的异常，对挖 矿早期的准备动作即告警。支持利用EBA技术进行资产的行为分析，对这些对象进行持续的 学习和行为画像构建，以基线画像的形式检测易于基线的异常行 为作为入口点，结合以降维、聚类、决策树为主的计算处理模型 发现异常用户/资产行为。共含有19种异常行为学习模型；并支 持用户对EBA基线进行自定义调整，优化模型。10要求态势感知产品能够显示

6、防火墙、服务器主机安全威胁监测、 探针等设备状态，实现统一管理，包括上线、离线状态和数量。流量采集外网探针：吞吐性能二500Mbps。接口：千兆电口26个。内网探针：吞吐性能NIGbps。接口：千兆电口26个，千兆光口 三2个。支持卫生专网异常流量高级检测功能，支持标准端口运行非标准 协议，非标准端口运行标准协议的异常流量检测，端口类型包括 3389、 53、 80/8080、 21、 69、 443、 25、 110、 143、 22 等。支持DNS审计日志，主要用于平台dns flow分析引擎进行安全分 析；HTTP审计日志，主要用于平台http flow分析引擎进行安全 分析；SMB审计

7、日志，主要用于平台SMB flow分析引擎进行安全 分析;同步SMTP、POP3、IMAP审计日志，主要用于平台Mail flow 分析引擎进行安全分析，同步AD域协议审计日志，主要用于平台 AD域分析引擎进行安全分析。支持针对B/S架构应用抵御SQL注入、XSS、系统命令等注入型攻 击；支持跨站请求伪造CSRF攻击检测；支持对ASP, PHP, JSP等主 流脚本语言编写的webshell后门脚本上传的检测；支持其他类型 的Web攻击，如文件包含，目录遍历，信息泄露攻击等的检测。支持敏感数据泄密功能检测能力，支持敏感信息自定义，支持根 据文件类型和敏感关键字进行信息过滤。要求与安全运营平台为

8、同一品牌，支持安全运营平台对接入探针 的统一升级，可展示当前所有接入探针的规则库日期、是否过期 等，并支持禁用指定探针的升级。处置响应服 务支持前端拖拽式交互设计安全风险分析研判策略和联动响应剧 本，支持多种策略编排动作，包括但不限于数据源、分析组件、11处置响应等，可自动判断策略编排是否合理并弹窗提示。可视化安全分析服务安全应用和运营服务服务工具支持与不同品牌的网关类安全产品进行联动防护，防护 策略支持设置每次阻断不同时长生效时间，时间设置包括10分 钟，30分钟,6小时,24小时，72小时,7天,15天,30天,3 个月，永久阻断，支持将安全策略同步下发至多台联动设备；支 持查看封禁设备数

9、、封禁IP数、自动封禁IP数、本日解禁IP 数、封禁订阅规则数、封禁SOAR剧本数，支持查看最近7天封 禁IP趋势及防护设备封禁IP分布；支持封禁策略批量删除、解 禁、导出。支持立体、平面、球面等多种维度的网络实体关系透视，可在大 屏上展示不同实体的标签属性，包括但不限于DNS服务器、监管 单位、邮件服务器、黑客组织、WEB服务器等。支持大屏轮播，支持不同视角展示全网安全态势，包括综合安全 态势、分支安全态势、安全事件态势、网络攻击态势、外连风险 态势、横向威胁态势、脆弱性态势、资产态势等态势。支持每个用户配置个人专属的统一门户，可配置项包括门户名 称、应用名称、应用图标等。支持通过流量无侵入

10、式自动发现资产，支持发现终端、Web服务 器、DNS服务器、邮件服务器、FTP文件服务器等类型与5种，其 中web服务器支持自动识别服务域名和服务站点名称。支持工单举证信息一键溯源，工单处置人员可以直接定位到工单 关联的原始信息进行查看。安全运营服务包含但不限于资产识别与梳理、安全现状评估、漏 洞管理、威胁管理、事件管理、应急响应等服务。要求投标方所 投服务供应商所提供的安全运营平台的平台能力和远程专家人 员服务能力需要符合Q/KXY CS009-2019面向云计算的安全运营 中心能力要求标准，获得云计算开源产业联盟和中国信息通信12研究院的认证。为保障XX医院内外网核心业务安全，要求投标方所

11、投服务供应商 为国家信息安全漏洞共享平台(CNVD)用户组成员，能够提供客观 的漏洞修复优先级指导，不能以漏洞危害等级作为唯一的修复优 先级排序依据。排序依据包含但不限于资产重要性、漏洞等级以 及威胁情报(漏洞被利用的可能性)三个维度。能对XX医院内外网进行安全威胁管理，实时监测网络安全状态， 对攻击事件自动化生成工单，及时进行分析与预警。攻击事件包 含境外黑客攻击事件、暴力破解攻击事件、持续攻击事件。安全 运营专家根据安全事件分析的结果以及处置方式，根据用户授权 情况按需对安全组件上的安全策略进行调整工作。本次安全运营服务能够熟练使用本次项目的安全运营平台，通过 防火墙、内部威胁管理系统、服

12、务器端威胁与检测系统、物联网 安全网关实现安全事件等快速处置闭环。一站式运维 服务服务工具支持一键巡检，一键检查项包含但不限于数据健康、探 针健康检查、大数据集群健康、Elasticsearch健康、实时流计 算引擎健康、管理服务健康、服务器节点健康等多种维度检查， 并能提供处置建议，一键导出各类服务的故障日志，包括但不限 于Elasticsearch、Logstash、Kafka实时计算引擎、操作系统 等。支持自定义消息订阅，订阅方式包括机器人、短信、邮件、钉钉 等方式，消息类型包括告警通知、数据接入异常、系统资源使用 超限、系统组件状态异常、探针状态消息、联动设备状态异常、 系统配置异常、

13、系统更新、日常运维等类型。日志解析服 务日志采集方式应支持但不仅限于Syslog、kafka、ftp、部署代理 等4种方式。三维关联分析；支持通过资产、安全知识库、弱点库三个维度分13析事件是否存在威胁，并形成关联事件。通过在目标主机上安装Agent程序，支持监测目标主机的CPU利 用率、内存使用率、磁盘使用率、磁盘使用情况、流量等信息（提 供公安部计算机系统安全产品质量监督检验中心检测报告）。资产拓扑支持按照实际的用户环境进行编辑发布并可以和资产 进行绑定，拓扑可以显示资产采集的事件数量被采集资产的状态 等信息。（提供公安部计算机系统安全产品质量监督检验中心检 测报告）服务厂商资服务原厂商具

14、备中国信息安全测评中心颁发的“国家信息安全测质评信息安全服务资质证书，风险评估二级及以上。七、网络安全制度体系建设根据采购人网络安全管理的现状，按照最新等级保护标准要求以及采购人安 全管理需求进行差距分析，制定网络安全管理体系框架，明确管理方针、策略, 以及相应的规定、操作规程、业务流程和记录表单，从贴合实际业务流程的原则 出发，协助采购人编写管理制度文件，如：运维管理规范、网络安全管理制 度、外来人员管理制度、信息化资产管理制度、数据备份安全手册、应 急响应预案等，并针对已有的相关制度进行沟通和修订，确保所制定的文件的 适用性，满足网络安全管理需求以及各系统相应保护等级的安全管理要求。八、物

15、联网安全服务服务项服务需求14硬件参数：应用层吞吐量26. 5Gb；准入用户数：2500,最大并发 连接数2500000；每秒新建连接数：12000,接口：千兆电口 26 个；万兆光口 22个；可识别IT和IoT混合资产，获取IP、MAC、操作系统、类型、厂商 等信息，终端类型包括但不限于：（1） PC、瘦客户机、手机、平 板、交换机、路由器、防火墙、无线控制器、服务器等IT资产（2） 摄像头、门禁、打印机、投影仪、VOIP设备、条形码扫描仪、医 学图像打印机、呼吸机、心电图仪、监护仪、放射系统等IoT资产。支持资产列表，可查看终端指纹信息和状态，如IP、MAC、类型、 系统、厂商、终端名称、

16、网卡厂商、在线状态、合规状态等，可 修改资产的类型、厂商、绑定信息。系统要求支持对IoT终端的安全漏洞、弱口令等安全脆弱性问题进行扫描， 提供立即扫描和定时扫描两种方式。脆弱性扫描应详细展示漏洞信息，包括漏洞名称、风险等级、漏 洞描述、影响范围、漏洞ID、漏洞类型、解决方案、端口号、URL 链接、举证信息等。支持对IT和IoT混合终端进行基于网络探测的违规外联检测，支持 立即扫描和定时扫描两种模式，主动对终端发起连接，通过终端 的回包判断是否有违规外联行为。支持对PC进行违规外联检查，包括连接外网检查、拨号行为检查、 双网卡行为检查、无线网卡检查、非法WiFi检查、4G网卡检查、 非法网关检查

17、、自定义检查等。支持非法WiFi检查，检查终端是否连接非法WIFI （可设置合法WIFI 白名单），对不满足检查要求的终端强制断网，支持向管理员告 警，并弹窗提示用户。15支持与本项目的安全运营平台对接，实现全网资产统一管理、统 一展示和安全联动。网关可将终端信息统一上报至平台，由平台 进行全网资产的统一展示，对全网资产进行统一审批、管理。接 入安全网关可自动接收平台的安全指令，对平台研判分析出的异 常终端进行网络封锁，阻断其网络接入。支持对终端进行安全基线检查，包括但不限于杀毒软件检查、登 录域检查、操作系统检查、进程检查、文件检查、注册表检查、 补丁检查、管理员账号检查、自定义检查等。支持

18、802. lx准入，可联动交换机实现用户认证前无法横向访问内 网，支持本地组/AD域作为认证用户源，提供专用的802. lx认证 客户端（非系统自带），客户端支持用户自注册。防护能力支持杀毒软件检查、登录域检查、操作系统检查、进程检查、文 件检查、注册表检查、补丁检查、管理员账号等终端安全基线检 测功能。支持僵尸网络检测，网关杀毒、IPS入侵防御、ACL访问控制、泛 洪类攻击进行检测、恶意链接检测等基本物联网安全防护能力。九、资产探测服务以专业安全服务工具以及人工现场调研比对的方式，对采购人系统信息化资 产进行全面探测梳理，掌握信息化资产现状，更方便有效的进行管理，减少网络 安全风险。并且针对

19、应用服务端口进行扫描探测，采用非标准端口识别技术以及 丰富的协议指纹库，快速识别非标准端口上的应用服务类型以及不必要开启的高 风险端口，服务完成后出具资产清单、资产探测报告，并针对高危风险项 进行整改加固工作。16十、安全检测服务（一）渗透测试通过真实模拟黑客使用的工具、分析方法对采购人系统开展全方位安全渗透 测试，并结合智能工具扫描结果，由高级工程师进行深入的手工测试和分析，识 别工具弱点扫描无法发现的问题。主要分析内容包括SQL注入、失效的身份认 证和会话管理、跨站脚本攻击XSS、直接引用不安全的对象、安全配置错误、缺 少功能级的访问控制、跨站请求伪造CSRF、使用含有已知漏洞的组件、逻辑

20、缺 陷、上传绕过、输入输出校验绕过、数据篡改、功能绕过、异常错误等以及其他 专项内容测试与分析，重点发现应用层业务流程和逻辑上的安全漏洞和敏感信息 泄露的风险，测试完成后出具渗透测试报告，报告需包含测试安全漏洞情况 及整改加固建议，根据报告进行网络安全漏洞整改加固工作，并待加固完成后进 行复测，检查安全漏洞整改落实情况，出具渗透测试复测报告。（二）漏洞扫描通过专业的漏洞扫描工具发现采购人设备和系统中存在的严重漏洞，帮助采 购人掌握技术措施是否有效执行，并通过人工审核确认以及及时修补完善，避免 对信息系统造成严重影响，输出漏洞扫描报告。（三）Webshell 查杀利用专业Webshell恶意后门

21、扫描器，针对采购人重点信息系统文件进行安 全扫描，发现可能存在的WebshelK网页后门等恶意文件,支持Asp、Jsp、. Net、 J2EE、Php、Perl等所有的WEB应用编程语言，并支持扫描所有内置的策略以及 中心自定义策略，检查完成后人工验证出具webshell查杀报告。（四）基线检查通过人工现场设备检查的方式对采购人系统和设备等进行全面的安全配置17核查和分析，发现配置的不合规项，并结合行业实际需求提出系统整改建议，输 出基线检查报告。（五）安全风险评估系统要求服务项服务需求系统漏扫授权IP数：100, WEB漏扫授权URL数：20；性能指标：主 机漏扫最大并发IP数：750硬件参

22、数：硬盘容量：128GB SSD+ 1TB SATA,接口：千兆电口 16,千兆光口 22。支持全局风险统计功能，通过扇形图、条状图、标签、表格等形式 直观展示资产风险分布、漏洞风险等级分布、紧急漏洞、风险资产 清单等信息，并可查看详情。支持快速扫描、资产发现、系统漏洞扫描、弱口令扫描、WEB漏洞 扫描、基线配置核查六种任务类型，其中快速扫描支持系统漏洞扫 描、WEB漏洞扫描、弱口令扫描同时执行。系统要求资产发现支持存活探测、服务和端口探测、操作系统识别、数据库 识别、中间件识别等功能，其中服务和端口探测支持常用端口、全 局端口和自定义端口三种探测方式。内置不同的系统漏洞模板，包括高可利用系统

23、漏洞、原理检测系统 漏洞、中间件漏洞、数据库漏洞等类型，支持报表形式展示漏洞模 板风险等级分布概览，支持报表形式展示漏洞模板详情，包括漏洞 总数、漏洞名称、漏洞类型、风险等级等信息。支持对多种服务协议的弱口令猜解，包括FTP、IMAP、Microsoft SQL、 MySQL PcAnywhere、 POP3、 SMB、 Telnet. VNC、 SSH、 RDP、 ORACLE Rsync、 SMTP、 VMware等。18提供检测结果综述分析，按照等保2.0的检测项要求，统计客户业 务系统存在的不符合、部分符合、符合、待确认、不适用检测项， 直观了解自身业务系统合规情况。按“一个中心、三重

24、防护”的架构展示检测结果，每个检测结果呈 现具体问题及整改建议，系统支持手动核查确认、整改后重新检测、 以及手动导入全局分析和人工核查报告来对测评报告中的结果进 行核查确认，其中手动核查确认支持单项核查确认和批量核查确 认。产品支持对系统漏洞、WEB漏洞、基线配置、弱口令进行扫描和分 析，可同时输出包含系统漏洞扫描、WEB漏洞扫描、基线配置核查、 弱口令扫描结果的报表。服务资质产品应具有中国网络安全审查技术与认证中心颁发的网络关键设 备和网络安全专用产品安全认证证书。十一、勒索病毒专项防护与响应服务提供勒索病毒专项防护与响应服务，定期开展勒索病毒风险排查和勒索隐患 专项加固指导，帮助用户快速识

25、别勒索病毒风险并做好加固工作，确保勒索风险 全面可视，提高勒索病毒免疫力。本次勒索病毒专项防护与响应服务与安全运营服务为同一品牌或原厂认可 的技术团队，以保障服务效果。投标方应面向招标方提供定期的勒索病毒入侵风险专项排查，投标方应按照 勒索预防Checklist开展勒索风险评估，勒索预防Checklist应当包含勒索高危利 用漏洞、端口、安全策略、攻击行为、勒索残留隐患几个纬度。投标方定期按照勒索预防Checklist开展勒索风险评估后应当每季度一次向 招标方提供勒索病毒风险排查报告，包括中应包含全面的勒索风险分析和隐19护服务外联白名单地址和端口 ；支持通过流量自学习获得服务器合法的 外联行

26、为，检测流量中的异常访问流量，实现自动拦截；学习时 长可选择1小时、12小时、一天、一周等。威胁情报服 务拥有自有威胁情报数据来源，每日可获得不低于6亿次的互联网 访问样本。并提供在设备端上的全网威胁情报的搜索查询；提供 最新的热点威胁事件并提供配置向导协助管理员生成防护规则； 支持对内网进行威胁情报安全分析，并支持跳转到威胁情报云平 台查看详细的威胁情报内容。支持配置2个威胁情报云平台。支持勒索病毒检测与防御功能，为保障勒索病毒的防御效果，所 投产品必须提供具备CMA （中国国家认证认可监督管理委员会）、 CNAS （中国合格评定国家认可委贝会）认证的第二方权威机构关 于“勒索软件通信防护”

27、功能项的产品检测报告；或提供现场演 示环境以证明此项功能满足业务需求。支持主动诱捕功能，通过伪装业务诱捕内外网的攻击行为，并联 合玄蜜罐获取黑客指纹信息，并自动封锁高危IP。（提供功能截 图证明并加盖厂商公章，并提供公安部计算机信息系统安全产品 质量监督检验中心、中国信息安全测评中心、中华人民共和国国 家版权局、公安部信息安全产品检测中心之中任意一家检测机构 出具关于“云蜜罐”的证书或检测报告）。具备基于国家/地区的流量管理功能，提供具备CNAS （中国合格 评定国家认可委员会）资质的第三方权威机构关于“国家/地区的 流量管理”产品功能检测报告。安全监测支持通过微信方式，实现周期性发送安全报告

28、，包括日报、周报、 月报，报告包含但不限于业务态势得分，脆弱性概况、攻击防御、 主机风险等。身份认证服 务支持Web认证、Portal认证、短信认证、免认证、微信认证、混 合认证、AD域单点登录、访客二维码认证、APP认证和钉钉认证 等。产品服务资具备中国信息安全认证中心颁发的中国国家信息安全产品认证2患加固处置的情况，并且投标方有义务按招标方要求进行远程或现场的成果汇报。十二、协助安全加固针对渗透测试、漏洞扫描、webshell查杀、基线检查和采购人自身安全检 查中发现的安全漏洞和脆弱项，制定安全加固解决方案，协助进行安全加固及漏 洞处理，包括漏洞补丁更新，安全防护策略优化，指导开发修复漏洞

29、代码等，并 检验漏洞修复完成情况，形成漏洞跟踪管理闭环，输出安全加固报告。十三、网络安全驻场运维服务提供1名驻场工程师每天5*8小时常驻采购人现场进行网络安全驻场运维服 务，采用驻场方式并利用现有安全平台对采购人信息系统安全进行日常运维、安 全监控及安全事件处理工作，包括：组织协调渗透测试服务、网络安全检查、定 期汇报网络安全整体状况、协助安全加固、提供日常安全监测服务工作、安全设 备系统升级、协助安全设备故障处理、安全设备防护告警监测、负责日常网络安 全事件以及协助进行网络安全事故的应急响应工作。并提供7*24小时应急响应 服务，电话即时响应，按需输出驻场运维报告，可包括：驻场运维周报、驻

30、场运维月报、驻场运维年报等。驻场人员资质要求：1、1年以上网络或信息安全行业从业经验；2、具有软考信息系统安全工程师证书、或CISP （注册信息安全专业人员） 证书、或CISSP （注册信息系统安全师）证书；3、熟悉windows、linux等系统，具备良好的网络安全意识。十四、重要时期安全保障服务在重要时期，为确保采购人网络和信息系统的安全性、保密性、服务可用性， 需安排安全技术人员提供现场驻场值守服务。安全技术人员提供5*8小时重要时 段安全保障值守服务，包括信息系统安全监测、应急响应等。对发现的可疑情况20和网络攻击行为及时上报，与采购人中心相关值班人员联系，协助进行事件处理。 并输出保

31、障值守报告保障值守总结。十五、应急响应服务针对采购人信息系统因非法攻击或病毒入侵等安全原因而遭到破坏、更改、 泄漏，造成系统不能正常运行以及对于已经发现的有可能造成上述现象的安全隐 患，如非授权访问、信息泄密、系统性能严重下降、蠕虫或大面积爆发病毒等情 况，当出现安全事件时，需通过人工辅以工具的方式及时进行应急响应工作，输 出应急响应报告，具体内容包括：(1)驻场人员及时响应，二线技术支持人员在2小时内到达现场；(2)对入侵事件进行分析，查找原因；(3)抑制入侵事件的进一步发展，将事故的损害降低到最小化；(4)排除安全隐患，消除安全威胁，协助恢复系统正常运作；(5)提交应急响应报告及安全加固建

32、议；(6)提供安全专家团队远程协助进行应急响应处置工作。十六、应急演练服务根据采购人现有应急预案规定的流程或其他应急演练场景需求，需提供技术 人员组织进行相应的模拟演练，一方面使采购人熟悉应急响应流程，提高对安全 事件的响应能力；另一方面验证网络安全工作正确性和适用性，进行总结分析, 根据需要对应急预案进行修订。使得采购人信息系统相关人员了解应急流程和自 己的责任，在安全事件发生时，能够及时开展应急工作，最大程度降低安全事件 带来的负面影响和损失，输出应急演练方案、应急演练报告。通过现场支持的方式采用桌面推演和实操演练相结合的方式展开，演练过程 重点考察的方面主要包括： 信息系统的应急计划是否

33、覆盖了保护对象的全部； 应急计划是否满足信息系统的保密性、可靠性和可用性的要求； 预防策略是否满足当灾难发生后信息系统的恢复响应速度要求和灾难21恢复后数据的完整性要求； 安全事件的响应方案的可操作性； 各类型各级别应急事件的响应操作规程、详细说明、操作步骤或方法等 的指导意义及描述的准确程度； 事件的发现、上报、处理等环节。十七、安全培训服务为提升采购人整体人员的网络安全意识以及相应人员的安全技术水平，需提 供安全培训服务，由资深网络安全培训专家提供现场网络安全培训课程，采购人 可根据自身安全培训需求选择培训主题，如：安全意识培训、安全技术培训、安 全管理培训及安全认证培训，服务结束后输出培

34、训PPT等材料。十八、安全咨询及规划服务安排资深专业的安全专家根据采购人网络安全建设、维护、整改、审查等方 面方案评审、实施落地的需求，采用远程或者现场的方式不定期提供专业、可行、 超前的建设性意见和建议。并充分调研采购人网络安全现状、需求，分析整体网 络安全风险，制定可落地的短期和长期网络安全建设规划方案，将信息系统安全 总体设计规定的内容落实到安全建设项目中。十九、安全通告服务为采购人提供最新病毒、行业资讯情况，并通告及其解决方法信息、最新系 统漏洞信息及其修补方法、最新发生的安全事件等安全通告。主要内容包括：1、系统漏洞信息：将一段时期内，各操作系统、应用系统、网络设备等的 最新安全漏洞

35、进行通告，包括漏洞威胁、影响平台及修补方法等。2、病毒信息：将一段时期内，最具威胁性的病毒信息进行通告，包括病毒 危害、感染原理及防护措施等。3、安全预警：一旦出现将可能造成大规模网络攻击事件的安全漏洞或病毒22木马，进行及时的安全预警，积极进行补丁修复和安全防护。4、信息安全事件：将一段时期内，相关信息安全事件进行通告，避免用户 信息系统遭遇同样安全攻击事件，造成严重损失。5、安全技术研究成果信息：专业信息安全团队对最新安全技术进行深入研 究的相关成果，包括信息系统漏洞挖掘、风险分析以及安全防护技术等。二十、服务工具要求为提高整体安全服务的效率和质量，需提供专业的安全服务工具辅助进行安 全服

36、务工作，要求如下：指标项指标要求WEB应用弱 点扫描工 具1、产品厂家应为公安部信息安全技术Web应用安全扫描产品安 全技术要求标准起草单位，提供相关证明；2、产品应通过国家信息安全测评信息技术产品安全测评证书EAL3+ 级别，提供证书复印件；3、产品通过中国信息安全认证中心获得IT产品信息安全认证证书， 提供证书复印件；4、支持对各种挂马方式的网页木马进行全自动、高性能、智能化 分析，并对网页木马传播的病毒类型做出准确剖析和网页木马宿主 做出精确定位。5、支持常见的WEB应用弱点检测，支持OWASPTOP 10等主流安全 漏洞；支持暴力猜解、Webshell、暗链扫描等；6、支持自动化漏洞验

37、证和沙盒技术，对目标应用进行深入安全分 析，取得系统安全威胁的直接证据。数据库扫 描工具1、产品厂家应为公安部信息安全技术数据库扫描产品安全技术 要求标准起草单位，需提供相关证明；2、支持针对数据库每张表每个字段的内容进行敏感数据探测；敏 感信息用户可以自定义添加，可以让用户了解自己的数据库系统有 哪些敏感数据，存放的具体位置，便于在信息保护和审计中重点关23注；3、提供自动搜索功能，可以自动搜索出某一网段或指定IP范围内 （端口号可默认或指定范围）的活动数据库，轻松获得数据库的基 本信息（包括IP、数据库类型、服务名、端口号、数据库版本、操 作系统类型、主机名等）；可按时、按日、按周定制扫描

38、计划，到 时间自动进行扫描；4、使用具有DBA权限的数据库用户，执行选定的安全策略实现对 目标数据库的检测；5、用户在没有授权的情况下（即：不需要数据库的用户名和密码）, 依据数据库版本号并根据选定的安全策略对目标数据库进行的检测;6、按漏洞类型分类：（1）缓冲区溢出漏洞（2）访问控制漏洞（3） 提权漏洞（4） PL-SQL注入漏洞（5）执行权限过大漏洞（6）访问 权限绕过漏洞（7）弱口令（8）数据库内核入侵探测（9）安全信 息查看（10）敏感数据探测；按风险级别分为类：（1）紧急（2）高危（3）中危（4）低危（5） 信息；7、扫描对象支持 Oracle、MS SQLserver Mysql、

39、Infomix Sybase 达梦、人大金仓，同时支持win、linux、unix环境下的DB2,同时 还支持IBM大型机z/os环境下的DB2o8、能够对数据库内核的篡改检测。9、支持敏感数据探测。10、提供扫描策略可自定义模式，操作者可以灵活选择默认策略的同时也可以自定义添加策略，11、支持 CVE、CNNVD 标准；12、支持提供直观的风险危害等级图表和风险类型统计图表、漏洞 的描述、漏洞的风险级别、加固建议；13、输出报告格式包括PDF、WORD、XLS等。1、支持以节点树的方式，对关键线索进行管理，并支持关键线索24工具箱所有相关联IP及路径；2、支持从应急处置管理平台下发处置任务，

40、也可以新建应急处置 任务；3、支持多条件对日志进行查询并显示，显示IP、IP地理信息、访 问方法、访问时间、访问报文等，并支持从数据源、时间范围、后 缀、IP等进行设置实现日志过滤；4、支持将漏洞验证工具检测结果与资产进行关联，并在工具箱上 查看相应的扫描结果；5、支持数据库漏洞检测、系统漏洞检测、网站漏洞检测、病毒检 测、木马检测；6、支持一键导入功能，将验证工具集检测结果自动导入到工具箱;7、支持对应急处置进行结果定性；8、支持存在的漏洞、事件发生过程、事件发生的原因、事件处置 及结果的填写；9、支持主动扫描、被动扫描两种模式的深度扫描；支持多域名批 量扫描；10、支持多种网站认证方式：支

41、持包括Basic、Digest. NTLM在内 的认证方式，支持HTTP和SOCKS代理，并支持各种代理的认证方 式；11、服务厂商取得CNCA国家认证监督委员会认可的认证机构颁发 的知识产权管理体系认证证书，提供证书复印件作为证明；12、报告应包含可疑IP及其物理地址；涉及可疑日志量及涉及关 键日志量。25证书（增强级）。具备中国国家版权局颁布的计算机软件著作权证书。具备全球IPv6测试中颁布的IPv6 Ready Phase 2证书。二、网站监测服务服务项服务需求服务平台要 求要求监测、防御平台为一体化平台，应同时具备监测列表与配置、 漏洞、弱口令、安全事件、内容监测查询等，在重保期间可将

42、重点 业务系统接入云防护系统进行应急防护。服务方式系统基于云架构，无需本地部署任何软设备，通过云端可以直接进 行监控、管理。首页统计监测服务首页包含威胁总数、WEB漏洞、主机漏洞、安全事件、弱 口令等维度，并可独立展示安全趋势和WEB漏洞类型分布。支持展示安全问题站点T0P10,包含问题总数、漏洞数（紧急、高 危、中危、低危）、安全事件数（暗链、敏感信息、挂马、其他） 等。监测服务安全事件监测：支持黑链、黑页、webshelK网页挂马、JS挖矿 脚本、图片篡改等安全事件的监测和查询，并进行专家审核；支持 对黑链、webshell等保留取证截图，方面用户确认及处置。可用性监测：监测网站服务是否中

43、断或报错、是否存在线路异常； 支持IPv6站点。网站内容监测：支持网站内容监测，支持对政治、反动、不文明用 语、暴恐类、低质灌水等敏感内容进行检测，支持敏感内容自定义； 支持错别字监测，支持错别字自定义设置。支持深度页面监测，检 测层数至少20层。漏洞检测维度：漏洞检测查询包含检测站点、URL、漏洞、漏洞等 级、专家审核时间、最新更新时间、poc、修复状态、操作等详细 信息。3服务能力提供7x24小时的安全专家值守服务，实时发现各类安全威胁，并 对安全问题进行审核、验证和告警，第 时间安全告警通知。Oday漏洞发现能力：具备重要的且广泛使用的开发框架或者中间 件的Oday漏洞发现能力，原厂人员

44、提交过Oday漏洞，包含struts 2、主流php环境、常见CMS等国际广泛使用的开发框架。监测可视化 大屏服务支持整体监测可视化大屏，大屏信息清楚直观，包含已安全告警次 数、已人工核验安全事件、已人工核验漏洞、漏洞类型、断网次数 (IPv4、IPv6)、断网时长、扫描被拦截站点数等。支持以全国地图方式展示各省份访问网站的时延，包含多个时延维 度的展示、无法访问省份、无访问数据的省份，支持站点故障趋势 展示。安全监测微 信公众号服务提供微信公众号，用户可在微信公众号查看网站监测数据概 况、漏洞情况、风险等级等。三、网站防护服务服务项服务需求平台服务要 求无需在网站前端安装任何安全设备、软件，

45、通过DNS别名指向到云 端进行安全防护。全国范围内具备至少50个云防护节点。分权分域，分级管理，能为每个网站用户单独创建用户账号，用于 查看网站和系统的安全状况，监管用户可关注、查看所有下属机构 的网站和系统整体情况。为方便未来产品易管理，平台用户界面具备监测与防护一体化功 能。防护能力支持区域访问控制，限制国外用户或者国内以市为最低行政单位的 区域进行访问控制。具备流量监测的功能，基于用户的访问记录，实时检查被访问页面 的安全状况，能够发现暗链、Webshell等问题，或作为网站防护4的补充功能，更精准地挖掘出网站存在的问题与风险。安全审计服 务提供访问日志记录与查询功能，可根据域名、URL

46、、客户端IP、返 回码、访问区域、访问时间段进行查询，查询后的日志数据可导出 Excel文件。报表要求支持单个网站生成报表，也支持网站群生成一个汇总报表，支持日 报、月报，并支持html、word格式导出。移动端便捷 管理服务通过微信公众号查看网站整体防护态势，包含受攻击域名排行、攻 击类型排行、攻击IP排行、攻击区域分布等状态信息。服务能力证 明具有G20峰会、世界互联网大会、上合组织峰会、一带一路等国际 峰会官网云防护安保案例，提供官方感谢信或证明文件。服务资质获得中国软件行业协会颁发的“2017创新云服务平台”资质。获得公安部计算机信息系统安全专用产品网站玄安全防御产品销 售许可证。获得

47、计算机软件著作权登记证书。四、服务器安全加固服务服务项服务需求服务能力350台服务器主机安全加固服务。全网风险可 视支持当前待处理高危风险展示，包括弱口令、待处理病毒、待处 理漏洞数据，并支持一键跳转到对应处理页面；支持查看当前top 5风险资产、top 5威胁ip、top 5威胁区 域。系统性能监 控服务支持对CPU、内存、磁盘读写、网络上下行流量达到配置阈值时 告警。支持对CPU、内存达到一定阈值时客户端进行熔断。资产指纹服 务支持自动收集终端资产：监听端口、运行程序、账号、软件、启 动项等信息，并支持从资产的维度和信息的维度去查看数据，支 持数据的导出。高级威胁防支持对本机的扩展行为（信息收集、权限提升）进行监测，防止5护服务提权行为和信息泄露。识别渗透过程中的隧道代理（端口映射、端口转发、内网代理）， 可阻断隧道代理搭建行为。对失陷后主机远控持久化行为进行检测（反弹Shell、远程控制）， 可阻断远控。对内网的恶意攻击行为进行识别（漏洞利用、横向移动），可阻 断恶意探测行为。可对渗透的收尾阶段的数据清除行为进行识别和阻断。系统安全性 服务支持防端口扫描，锁定恶