《XX省XX政务外网网络和数据安全提升采购需求.docx》由会员分享,可在线阅读,更多相关《XX省XX政务外网网络和数据安全提升采购需求.docx(34页珍藏版)》请在三一办公上搜索。
1、XX省XX厅政务外网网络和数据安全提升采购需求一、项目背景根据监管部门的安全考核要求,在现有政务云平台底层防护能力之上,按照我厅20XX年度数据上云迁移工作计划,完善20XX年上云数据安全体系,强化XX政务外网接入区的安全保障能力,提升安全风险的识别和处置能力。二、标准及原则(一)标准要求项目建设应符合如下标准或规范:1. XX网络安全态势感知体系技术方案(XX网信函2022ll号)2. XX省公共数据安全日志审计规范(20229号)3. XX省大数据发展管理局关于印发XX省电子政务外网安全评估指标(试行)的通知(X数局发函2O223号)4. GB/T22239-2019信息安全技术网络安全等
2、级保护基本要求5. GB25070-2019信息安全技术网络安全等级保护安全设计技术要求(二)建设原则项目建设应满足以下原则:1 .保密原则:对建设过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,否则采购人有权追究响应方的责任。2 .标准性原则:设计与实施应依据国家、XX部、XX省和XX厅相关标准要求进行。3 .规范性原则:项目建设过程及产出的文档,应当具有规范性。4 .可控性原则:项目建设要做到质量、进展和实施效果的可控。三、项目建设内容建设云上数据库权限管控、防护以及审计系统,提升20XX年度上云数据库的安全防护需求,并根据XX部关于网络安全态势感知系统的建设要求和省网络安全
3、监管部门的监测要求,进一步加强态势感知、流量审计、日志分析和政务外网终端安全防护能力。项目采购清单如下:序号采购内容计量单位数量1数据库权限管控套12数据库防护套13数据库审计项14态势感知协同处置套15云上安全事件主动监测套16日志分析套17终端安全防护套18违规外联监测台19涉密信息违规存储监测套110准入控制Za111网络流量审计Za2具体指标要求如下:(一)数据库权限管控系统指标项详细要求规格至少支持20个数据库实例数据库支持支持ORACLESQLSERVER.DB2、MySQL、达梦、南大通用、人大金仓、oceanbase等主流数据库等主流数据库部署模式软件化部署,支持在政务云环境安
4、装部署。数据智能发现支持按单个IP或IP段发现数据源具备敏感数据探测能力,自动发现SCHEMA(包括未知SCHEMA)表、列中的敏感资产,系统内置的敏感数据类型至少包含以下内容:个人敏感信息:包括中文姓名、身份证、银行卡、护照、军官证、中国护照、港澳通行证、永久居住证、大陆居民往来台湾通行证、韩文姓名、英文姓名、姓名拼音等个人信息;机构敏感信息:组织机构代码、组织机构名称、营业执照、社会统一信用代码、税务登记证、开户许可证、证券名称、证券代码、基金名称、基金代码、英文公司名等与企业机构相关的信息;其它基础信息:电话、电子邮箱、地址、邮政编码、IP地址、日期、货币金额、json串、车牌号码等。身
5、份准入支持身份的多因素认证,至少应支持应用程序名、IP地址、主机名、操作系统账户、数据库用户、数字证书、身份敏感标签、日期、时间、身份类别、有效时间、应用用户名、终端IP等因素的任意组合,系统根据多维身份管理策略,自动判别登录主体的合法性,如不符合设定的身份管理策略,登录失败。支持识别真实应用及SQL管理工具的MD5值,防止假冒应用及假冒SQL管理工具违规访问数据库。支持为敏感数据管理人员身份分发唯一的数字证书,每张数字证书只能载入一个唯一的U盾,以实现在数据库用户密码被泄露的情形下,仍能阻止非法用户登陆目标数据库,解决仅依靠密码认证带来的安全不足问题。支持通过不删除账户的方式,在系统中回收资
6、产授权权限。直连数据库在反向代理模式下,通过在数据库服务器上安装安全代理插件,实现对于通过SQL管理工具或本地等直连数据库的违规连接行为进行准入控制,防止非法人员绕过安全系统,违规对数据库进行访问。支持通过应用指纹信息识别应用的是否为真实应用,进行应用防假冒,识别假冒应用访问数据库,进行拦截阻断。安全登陆支持数据库运维工具免密登陆功能,当数据库管理人员通过等工具登陆运维数据库时,通过数据库账号与数字证书的绑定,数据库管理员在运维PC工具中无需输入数据库用户名密码即可登陆已授权访问的数据库,避免运维数据库用户和密码泄漏,保障账号安全。支持产品OTP登录二次身份认证通过账号托管功能,运维人员使用分
7、配运维账号,运维用户与数据库用户及密码进行映射绑定,运维人员在不知道数据库真实密码的情况下,即可完成对数据库的运维和管理,全面保障数据库安全。支持安全客户端的短信二次认证功能,当登录安全客户端时,发送短信验证码,验证成功才能正常登陆访问控制针对敏感数据集合的访问,任何账户都需要通过授权才可以访问,对不具备访问权限的操作,明确阻断拒绝,并提示“安全权限不足错误”,实现用户权限分离管理。支持针对数据库用户的代码管控进行控制,包括过程、函数、包、触发器、视图等代码进行创建、删除的安全管控。支持账户访问频次控制,避免一定时间内的高频次访问,避免数据流失。支持修改、删除等操作的行数控制,避免数据大量泄漏
8、。支持基于表和SChenla进行快速授权到某些用户或用户组安全防御支持僵尸账号检测,对僵尸账号进行锁定,防止僵尸账号造成数据泄露。支持数据库口令暴力破解防御,对口令攻击行为进行防御,防御数据库爆破行为。敏感数据脱敏支持基于列的业务类型,设置脱敏策略,实现相同的业务类型同时设置脱敏策略脱敏算法支持对敏感类型数据进行自定义分段脱敏设置支持运维侧脱敏,针对不同运维人员返回对应的预授权结果,脱敏规则需要支持自定义遮蔽脱敏算法:工单管理采用基于WEB界面的工单管理模式,而非授权码方式,通过工作流的方式对敏感表格和敏感SQL访问授权,形成逐级审批机制,只有当访问申请被工作流中的所有审核者审批通过时,才可在
9、合理权限内访问数据库中的敏感资产,无需访问者进行二次输入,避免授权码泄漏带来的非法访问。支持以图形化形式直观展现工单审批流程。工单申请支持按不同的库,走不同的审批人方式审计支持SQL命令(包括查询、新增、修改、删除等行为)的细粒度审计和分析,并详细记录管理用户的行为信息,包括规则名称、数据库主机、目标数据库名称、数据库实例名、客户端IP/端口、主机名、数据库用户名、物理地址、应用名称、应用用户、企业用户、命令类型、资产名称、执行时间、响应行为、风险级别等。数据库监控支持统计数据库请求数、会话数、流量信息报表管理支持日报、月报、周报等生成,导出格式支持PDF/word。平台安全平台具有安全审计员
10、、安全保密员、系统管理员三种角色,实现三权分立。支持对平台用户的密码复杂度(数据、大小写字母、特殊字符、密码长度等)、有效期、复杂度、密码错误锁定策略等进行限制,有效期过后提供登录重置密码或禁止登陆需联系管理员处理2种处理方式,以确保平台自身账户的安全。配置备份支持策略中心全部策略、系统配置、资产配置(资产列表信息、数据源部署模式、数据源分组信息、敏感资产信息等)等进行备份与恢复:支持本地备份及下载备份文件到本地,支持上传备份文件至FTP服务器,支持配置恢复功能页面抓包支持页面抓包功能日志外发支持通过kafka和SySIog的方式进行日志外发,支持审计、告警等日志外发。告警支持以图形、列表等方
11、式查看告警信息,以列表形式展现的告警信息应当包含告警时间、告警内容、告警等级、用户IP、数据库代理IP、事件等。告警方式至少包括:邮件、页面、短信。安全告警支持基于任意组合订阅的模式,实现个性化告警订阅管理。(二)数据库防火墙指标项详细要求规格至少支持20个数据库实例数据库支持支持ORACLE、SQLSERVER、DB2、MySQL达梦、南大通用、人大金仓、oceanbase等主流数据库等主流数据库部署模式软件化部署,支持在政务云环境安装部署。数据源发现支持按单个IP或IP段发现数据源运行模式支持学习、模拟、运行三种运行模式:学习模式支持SQL的自学习,识别安全SQL;模拟模式可以模拟真实操作
12、的管控情况。支持在学习一定周期后,系统自动转激活运行,减少人工操作。防护策略内置数据库漏洞虚拟补丁不少于1600个,可阻止黑客通过这些漏洞进行攻击支持正常SQL特征及SQL注入特征双重防护,防止SQL注入攻击。自动学习业务SQL,捕获SQL语法,生成SQL白名单,通过SQL白名单进行访问控制。支持透明代理模式下的可信IP,将加入到可信IP列表中的可信的终端设备IP地址,终端设备与数据库通信的流量将会进行bypass处理,极大减少了经过数据库防火墙的流量,降低了数据库防火墙压力,保证设备稳定运行,提供更稳定的防护能力支持风险响应策略,针对不同信任度的身份和风险等级设置不同的响应行为(通过、告警、
13、阻断行为、阻断连接)支持设置敏感标签身份,使之具备合法访问指定敏感数据的权限。未明确注册的身份,默认表示为不合法身份,不能访问任何敏感表格。支持对请求频次访问进行控制,超过频次访问的行为进行阻断或拦截,避免数据大量泄漏。支持多维身份管理,至少支持应用程序名、IP地址、MAC地址、主机名、操作系统账户、数据库账户、数字证书、时间等因素的任意组合,形成新的登陆认证规则。支持检测和审计密码猜测行为,通过设置密码猜测次数限制进行防护,当达到密码猜测限制时,锁定猜测终端,支持自动解锁和手工解锁。支持数据库防漏扫,当特定的漏洞扫描器对数据库进行扫描时,实现防御拦截。告警管理安全告警支持基于任意组合订阅的模
14、式,实现个性化告警订阅管理。支持多种安全响应措施,包括页面、邮件、短信方式进行告警。系统管理为增加系统管理的安全性、适应性、可维护性,产品需要具备以下的功能:支持双因子认证,支持短信认证、证书认证支持系统安全配置如会话锁定、超时退出、密码复杂性管理等安全措施支持策略中心全部策略、系统配置、资产配置(资产列表信息、数据源部署模式、数据源分组信息、敏感资产信息等)等进行备份与恢复:支持本地备份及下载备份文件到本地,支持上传备份文件至FTP服务器,支持配置恢复功能支持页面抓包功能安全、一足宫支持通过kafka和syslog的方式进行日志外发,支持审计、告警等日志外发。支持以图形、列表等方式查看告警信
15、息,以列表形式展现的告警信息应当包含告警时间、告警内容、告警等级、用户IP、数据库代理IP、事件等。告警方式至少包括:邮件、页面、短信。安全告警支持基于任意组合订阅的模式,实现个性化告警订阅管理。报表管理支持登录事件、访问事件、风险事件、告警事件等报表的生成。支持按日、周、月等时间周期生成综合报表。报表支持以Wrod、PDF等格式保存到本地。支持报表调度,保障报表数据快速展示。风险24小时监控主流SQL注入攻击、数据库漏洞攻击、敏感访问、系统运行、监测流量等信息。(三)数据库审计指标项详细要求规格软件化部署,支持在政务云环境安装部署,不少于20个数据库实例授权;设备能力支持ORACLE、SQL
16、SERVERDB2、MySQL、达梦、南大通用、人大金仓、oceanbase等主流数据库等主流数据库支持在IPV4、IPV6环境中部署,支持所有数据库IPV4IPV6协议的审计,且支持IPV4、IPV6混合流量审计;支持数据资产的风险评估,包括漏洞扫描、配置检查等、自定义数据资产扫描任务;支持数据资产的自动发现,并支持对数据资产进行梳理;支持数据自动分类分级、对不同级别的数据设置对应的保护措施;支持SQL注入检测,内置SQL注入特征库,可根据审计要求自定义SQL注入规则;支持SQL注入规则指定支持高度自定义,包含且不限于SQL操作定义、SQL命令特征定义、风险函数定义以及自定义正则表达式;支持
17、审计查询条件自定义,至少包含:时间、数据库名称、数据库用户、主机名称、客户端IP、工具或应用、客户端IP名称、影响对象、执行结果、数据库IP、数据库端口、实例名、操作系统用户、会话标识、语句标识、响应时间、风险级别、错误码等查询条件;支持高级查询,需包括:SQL关键字、结果集关键字查询,提供:与、或、非三种查询依赖条件;支持对http协议的双向审计,对http协议的URL、getPOSt内容进行完整记录;支持系统支持热补丁方式修复软件问题,支持补丁回退;支持版本回退,升级失败后能回退到升级前的版本,恢复业务;支持对多套数据库审计系统进行统一管控及展示支持一键自检系统健康状态,检查版本、资源利用
18、率、进程状态、接口、账号有效期等,生成报告,下载保存;(四)态势感知协同处置态势感知协同处置平台指标项详细要求重保任务支持对重保任务的增删改操作,任务分战前、战中、战后三个阶段,支持对任务记录的导出查看及多个任务并行等功能系统运行监控支持以平台为中心,可视化呈现设备的部署情况、运行情况、数据情况、联动情况监测工作台支持根据用户业务需要进行个性化监测工作台自定义,支持重点监测内容集中添加或单个页面随意添加,个人监测工作台模板导入导出等功能;告警列表支持对全部数据来源的分享展示与汇总展示,支持告警页面自动刷新时间自定义配置;支持自定义告警高级检索场景;告警列表可以进行包括基本信息、规则信息、原始告
19、警、攻击行为、资产详情、取证分析、ATT&CK分析、攻击带外分析等内容的详情查看,以及基于告警列表可以对告警进行联动处置和添加白名单操作;告警分析支持告警的深度行为分析,行为包括DNS解析行为、TCP/UDP交互行为、WEB访问行为、传输文件行为受害资产分析支持以受害资产维度进行分析,分析内容包括失陷状态、受到的攻击类型、威胁级别、处于的攻击阶段、所属的资产分组攻击者分析以攻击者的维度进行分析,对攻击者进行画像,画像内容包括地理位置信息、国家信息、所属组织、使用的攻击手段、攻击的所有资产威胁分析支持从威胁情报、应用安全、系统安全和设备安全的业务场景维度对告警进行攻击带外分析。支持挖矿行为的分析
20、,分析内容包括挖矿阶段、币种分布、挖矿告警趋势以及挖矿告警信息威胁情报维度分析包括:情报详情、影响资产列表、资产的行为(行为包含:DNS解析、TCP流量、UDP流量、WEB访问、文件传输)应用安全的细分维度包括:WEB安全、数据库安全、中间件安全、邮件安全系统安全的细分维度包括:暴力破解、弱口令、未授权访问、挖矿行为威胁情报支持基于威胁情报的威胁检测,检测类型包含APT事件、僵尸网络、勒索软件、流氓推广、窃密木马、网络蠕虫、远控木马、黑市工具、其他恶意软件,并可自定义威胁情报白名单支持对告警进行加白,加白参数包括:受害IP(IP段)、攻击IP(IP段)、威胁情报IOC/规则ID、威胁名称、XF
21、F代理、URL、域名、目的端口、源IP(IP段)、目的IP(IP段)、payloadreferero威胁狩猎分析支持对任意线索的自定义拓线及溯源取证分析,支持以可视化分析画布形式展示拓线过程并支持结果快照导出;支持对于给定线索的溯源结果展示,包括但不限于攻击溯源、失陷主机分析、暴力破解分析、弱口令分析等外部威胁态势支持大屏展示网络攻击态势,包括整体网络风险指数、告警总数、攻击次数、攻击IP数、攻击源国家/地区TOP5、攻击态势,并支持自动翻转的攻击全景地图展示威胁事件态势支持大屏展示整体威胁事件态势,包括威胁类型分布、威胁事件K)P5、威胁事件趋势、最新告警事件、威胁星云图、威胁IP网资产风险
22、态势支持大屏展示整体资产风险态势,包含资产矩形树结构、资产分类、资产概况、开放服务统计、资产风险状态自动发现支持自动从流量中识别资产信息包含:IP、端口、服务、操作系统、MAC资产分组支持对资产进行分组管理及对应内网网段的录入,系统自动根据用户录入的网段发现资产信息,同时支持根据分组过滤资产列表配置核查支持展示资产配置核查信息,配置类型包括:敏感端口暴露、明文密码泄露、弱口令集群支持分析平台横向扩展至多台设备集群部署客户化管理支持自定义产品名称、产品log。运营管理提供告警展示场景,支持展示场景的切换。每个告警展示场景中支持自定义页面数据展示的范围,方便管理人员的日常运维工作联动管理支持系统日
23、志、告警日志、原始告警、行为分析信息发送给syslog服务器,支持系统日志、告警日志、行为分析信息发送给邮件服务器态势感知协同处置传感器网络协议支持常见协议识别并还原网络流量,用于取证分析、威胁发现,支持:http,dns、SIntp、POP3、imap、webmailsDB2、Oracle、MySQL、sqlserver、Sybase、SMB、FTP、SNMP、telnet,nfs、ICMP、SSL、SSH等文件协议支持对流量中出现文件传输行为进行发现和还原,并记录文件MD5发送至分析设备,如可执行文件(EXE、DLL、OCX、SYS、COM、apk、bin等)、压缩格式文件(RAR、ZIP
24、、GZ、7Z、tar等)、文档类型文件(word,excel.pdfrtf、pptstxt等)、多媒体文件(flash、jpg、jpeg、png、flv、SWf等)、脚本文件(htmKhtmjava、mhtml、mht等)等类型。威胁情报支持基于流量实时IOC匹配功能,设备具备主流的IOC,情报总量370+万条Web攻击检测支持检测针对WEB应用的攻击,如SQL注入、XSS系统配置等注入型攻击;支持跨站请求伪造CSRF攻击检测;支持其他类型的WEB攻击,如弱口令、权限绕过、信息泄露、文件包含、文件写入攻击、挖矿等检测Webshell攻击检测支持基于工具特征的WEBSHELL检测,能通过系统调用
25、、系统配置、文件的操作来及时发现威胁支持基于WebSheH函数的攻击检测,如文件包含漏洞、任意文件写入、任意目录读取、任意文件包含、PregiePIaCe代码执行等支持基于代理程序的攻击检测,如TCP代理程序、HTTP代理程序等网络攻击检测支持多种攻击检测,能更全面的从流量中发现威胁,如:SQL注入、XSS、信息泄露、间谍软件、协议异常、网络欺骗、黑市工具、代码执行、挖矿等情报查询支持与云端威胁情报中心联动,可对受害IP、攻击IP、IOC/规则ID、文件MD5进行一键搜索,查看基本信息、开源情报、相关样本、可视化分析、域名解析、注册信息、关联域名、数字证书等。威胁情报检测支持基于威胁情报的威胁
26、检测,检测类型包含APT事件、僵尸网络、勒索软件、流氓推广、窃密木马、网络蠕虫、远控木马、黑市工具、其他恶意软件行为分析支持告警的深度行为分析,行为包括DNS解析行为、TCP/UDP交互行为、WEB访问行为、传输文件行为语义分析支持基于网络请求的语义分析检测,能够将网络请求拆分后从请求头、响应头、请求体、响应体四方面详细展示请求内容,并能提升对未知威胁检测能力。支持攻击特征高亮展示,方便分析人员事件分析文件还原支持对HTTP、FTP_DATAsSMB、SMTP、POP3、WEBMAIL、IMAP、TFTPsQQ、NFS等类型协议的流量进行文件还原自定义分离文件类型根据自定义文件还原协议类型、文
27、件MlME类型、文件大小还原文件。抓包分析支持通过设备对流量进行抓包分析,可定义抓包流量双向或单向、数量、IP地址、端口或协议类型旁路阻断支持基于IP地址的旁路阻断,能够在实时镜像的流量中发现恶意IP并实现实时阻断。支持基于URL的旁路阻断,并能将URL请求进行重定向系统配置支持AES256、SM4数据传输加密,确保数据传输的安全性支持双协议栈,接口支持IPV4、IPv6配置,支持IPV4、IPv6流量接入,支持对IPv4路由监控和对IPv6路由监控。支持3A认证登录。支持访问白名单功能,仅可信地址可访问设备。数据传输支持将威胁告警、网络日志等日志传输给分析平台、KAFKA,支持将样本文件外发
28、文件威胁鉴定器,支持将威胁告警信息发送给syslog服务器、攻击诱捕系统。支持将威胁告警外发集中管理平台,支持与集中管理平台进行联动,统一进行系统、情报、规则的升级。高级威胁旁路阻断基于专用的阻断规则实现攻击行为事中实时阻断支持基于威胁检测规则,仅对真实攻击行为进行阻断,适用规则不少于2000条支持基于威胁情报的会话阻断,不少于300万条支持观察模式,仅记录行为,不进行阻断,同时提供阻断行为分析,协助判断旁阻上线后的效果及对业务可持续性的影响支持基于威胁告警的封禁策略自定义配置,完成从告警到阻断策略的定制化,自动化支持网络4层、7层封禁,可针对源目的IP(含XFF)、源目的端口的四层流量和基于
29、HTTP报文协议字段的七层业务流量进行大批量旁路阻断指令下发(五)云上安全事件主动监测指标项详细要求高可靠性所投产品支持路由模式、透明模式的HA高可靠性部署,可工作于主备、主主模式,会话、用户、配置可实时同步;HA高可靠性部署支持接口联动,某个端口失效(DOWN),属于同一接口组中其他端口都会进入失效状态(DOWN);HA高可靠性部署支持配置接口权重;支持链路探测网元管理所投产品支持将其他硬件安全设备(包括但不限于防火墙、IPS、IDS、WAF、行为管理、流量探针等)加入网元组,并接受流量编排;支持将同类型安全设备划归同一网元组,组成硬件安全资源池(如WAF安全资源池),并将流量通过负载均衡(
30、“源地址哈希”、“源目的地址哈希”,“加权源地址哈希”、“加权源目的地址哈希”、“加权地址端口哈希”、“轮询”和“权重轮询”)的方法编排给组内所有网元。所投产品支持对网元进行健康检查,及故障bypass能力,健康检查至少包括链路探测、回环探测、接口探测能力服务链管理所投产品支持灵活的服务链编排功能,支持串接链和旁路链,支持网元组的方向和位置设置。所投产品支持添加、编辑、删除串接链,旁路链。引流策略所投产品支持引流策略的添加、删除、调序、清除命中数、刷新功能;支持引流策略的启用和禁用功能。所投产品支持灵活的细粒度引流策略,可基于源安全域、目的安全域、源用户、源地址、目的地址、服务、VLAN、服务
31、链、流量方向(内网到外网/外网到内网)的引流策略,并详细记录日志。编排流量监控所投产品支持对编排的流量进行监控,至少能从网元组、引流策略两个维度对编排流量监控统计网络攻击防护所投产品支持基于不同安全区域防御SYNFloodsUDPFloodICMPFlood、IPFloodsDNSFlood、HTTPFIood、NTPQueryFlood、NTPReplyFlood和SlPFlood攻击,并支持警告、丢弃、普通防护(首包丢弃)、增强防护(TC反弹技术)、授权服务器防护(NS重定向)、普通防护(自动重定向)、增强防护(手工确认)等多种防护措施所投产品支持可配置阈值的基于安全域或基于二层接口局域网
32、广播防护,防止局域网内广播和多播数据包泛滥所投产品支持DHCP协议防护;支持手动定义可信DHCP服务器IPv4和基于阈值限制DHCP请求传输速率所投产品支持基于安全区域的异常包攻击防御,异常包攻击类型至少包括PingofDeathTeardropIP选项、TCP异常、Smurf、Fragglc、LandWinnukeDNS异常、IP分片等;并可在设备页面显示每种攻击类型的丢包统计结果所投产品支持防御基于安全域的IP地址欺骗攻击,指定IP或网段必须从特定安全域流入病毒所投产品能够对HTTPFTPP0P3SMTP/IMAP/SMB六种协议进行病毒查杀;防护本地病毒库规模大于3000万所投产品支持对
33、最多6级的压缩文件进行解压查杀所投产品支持基于MD5的自定义病毒签名;支持设置例外特征,对特定的病毒特征不进行查杀SSL解密所投产品支持IPv4和IPv6流量的HTTPS、P0P3S、SMTPSIMAPS协议进行解密,支持配置基于源安全域、目的安全域、源地址、目的地址、SSL协议服务的解密策略,动作可以设置解密或不解密,并可基于安全域、IPv4和IPv6地址进行例外设置,同时支持将解密后流量镜像到其他设备进行分析统计;且支持设置是否记录日志蜜罐策略所投产品支持IPv4和IPv6流量的蜜罐引流策略,支持配置基于源安全域、目的安全域、源地址、目的地址、服务、VLAN的引流策略,并支持强制导流,能够
34、通过设置服务器和端口进行引流所投产品支持威胁,引流功能,威胁引流可以通过开关设置是否开启,通过添加蜜罐地址实现引流,同时支持添加例外域名,做到精细化引流管控安全事件分析所投设备提供关联分析面板,可将Top应用、Top威胁、TopURL分类、ToP源地址、Top目的地址等信息关联,并支持以任意元素于为过滤条件且不少于35个维度进行数据钻取,所投设备必须支持基于网络活动,威胁活动、阻止活动等多维关联统计及分析,发现异常行为所投设备提供关联的威胁事件日志,系统可自动将产生威胁事件的连接经过防病毒、防漏洞、防间谍软件、URL过滤、文件过滤等安全模块检查的日志集中显示所投设备支持自定义一个或多个过滤条件
35、,防火墙上的全部日志进行模糊检索或指定条件的精确检索,快速定位特定目标当前行为是否存在异常,网络中是否存在异常等问题,并可记录一个或者多个自定义过滤条件历史。云琳j协同支持与云端联动,至少实现病毒云查杀、URL云识别、应用云识别、云沙箱、威胁情报云检测等功能支持本项目中配置的态势感知系统联动,上报网络活动产生的数据至网络态势感知系威胁感知系统;并支持接收来自网络威胁感知系统推送的处置策略,及时统联动拦截绕过防御措施产生的高级威胁,。(六)日志分析指标项详细要求日志采集能力支持多类数据源采集,包含并不限于文件监听、数据库、SYSLOG.命令输出、WEB上传等。代理程序支持占用资源限制、压缩传输等
36、,支持文件及内容黑白名单控制,支持多字符集,支持多行合并、时间戳识别等预处理。支持数据脱敏(存储中为源文数据),内容替换(存储中为已替换数据)等处理。日志解析能力支持多种数据格式的解析及转换,包含并不限于正则、JSON、XML日期识别、KEYVALUEUserAgentURLDeCOde、GEO运算、固定格式等,支持通过鼠标划选,自动生成建议性的正则表达式配置。支持数据字典定义、导入,以支持枚举类型的数据结构转换。支持解析过程实时验证解析规则配置的合法性,同时支持日志样例、已存储日志的验证,验证中体现解析的耗时,准确性、解析结果耍素等。日志存储能力支持数据路由的自定义配置,支持根据数据重要性调
37、整数据处理优先级,支持根据冷、热数据路由不同性能的存储介质。支持根据不同的日志设置不同的备份清理策略,支持对于源文件的备份清理,备份支持本地、远端备份。支持索引副本数量、副本删除、冻结入库、下沉配置,提供界面化修改。支持对数据进行事后提取以及收藏字段以保留基本的内置字段达到磁盘最小化占用。日志检索能力支持关键字/关键短语全文检索、字段值查询、逻辑运算符、数值范围、通配符匹配、管道式聚合等检索方式。支持可编程搜索语言,支持的命令包含并不限于分桶、追加、事件拷贝、去重、预测、字段过滤、左右连接、重命名、字典加载、二次正则、排序、TOP、交易合并、行列转换、计算表达式等,并支持语法高亮、语法格式化等
38、。支持日志上下文内容查看,支持搜索结果、搜索时间轴的多级钻取,支持常见搜索、历史搜索的管理,支持历史语句自动提醒。支持宏定义(基于可编程搜索语言),支持日志事件定义等操作,提升搜索以及操作效率。搜索页事件列表支持钉住某条日志,和其他照常滚动的对比查看支持数据搜索时脱敏,对结果数据中的所有内容如原文、提取字段值全部进行一遍脱敏保证返回的最终结果不包含敏感数据。数据输出能力支持文件批量导出,支持标准化数据导出至其它数据源,如关系型数据库OraCIe、MySQL、DB2等,消息中间件KAFKA等,大数据存储Hive、HBase等。支持数据的二次处理,例如数据清洗、字段筛选、字段合并、字段分离、字段重
39、命名、字段计算、类型转换等,支持所有的数据输出过程通过界面化配置完成,并具有完善的监控能力。分析可视化能力支持分析结果能够支持各类常见图例,包含并不限于折线图、柱状图、条形图、饼图、桑基图、热量图、水球图、词云图、雷达图、地图等,并支持相同数据结构不同图例得灵活切换。支持自定义仪表盘场景视图,支持根据各类分析结果图例拖动化进行场景的定制,能够给支持根据不同的业务系统特性、设备特性,定制不同的分析场景以及工具。支持各类图表得灵活钻取能力,包含并不限于搜索钻取、地图钻取、视图场景间切换、外部URL切换等。支持常见应用、硬件设备分析场景、解析规则、告警等相关资源得导入导出能力。把多个SPL命令组织在
40、一起,作为一个单独SPL命令完成一个特定的任务。支持自定义SPL命令来解决用户需要对数据进行一些自定义计算的操作方式使用。自定义命令旨在解决需要用户对数据自定义一些计算时使用,如用户想要将数据做一些复杂的功能时则可以使用该自定义命令来完成,通过编写python脚本作为执行自定义命令的可执行文件,在搜素界面执行对应的封装命令完成操作。告警管理能力支持告警配置能力,支持多种告警模式/策略,支持告警抑制等功能。支持多种通知方式,支持灵活定制通知信息消息模板,消息内容信息中,支持文字信息、图例信息等。针对大量告警事件、减少告警无用信息,对大量告警进行告警降噪,支持事件可以设置不同条件进行聚合,如与、或
41、、包含等关系系统管理能力支持统一的用户以及权限管理,能够给支持功能、日志、相关资源独立设置分组权限,支持用户操作审计,查看用户登录、操作、查看日志、下载日志等。支持统一的代理管理功能,能够对代理批量进行升级、状态控制、探测、分组管理等。用户黑白名单管理,强制用户只能在指定IP地址登录,支持通配符和范围定义日志采集速度单机环境下,以每条日志300字节为例,每秒EPS3000字段抽取速度通过编写正则表达式,对数据进行字段抽取等格式化定义操作,以每条日志300字节为例,每秒EPS30000日志搜索速度在数据总量为5千万条的环境下,通过5个(包含and、ornot数值范围、全文模糊匹配)条件,进行检索
42、。检索完成时间小于10秒。日志统计速,度在数据总量为5千万条的环境下,能够快速的完成即席分级统计(不小于三层)。统计任务延时小于10秒(七)终端安全防护指标项详细要求规格要求能与本项目违规外联监测系统实现资产数据联动。客户端支持与违规外联监测系统、敏感信息违规存储监测系统客户端共用。客户端授权数2700点位支持单级部署和级联部署。客户端安装支持与数字证书捆绑注册,能获取数字证书的信息。支持带界面注册、不带界面注册静默注册、不带界面有进度有提醒注册。支持托盘可见或隐藏。支持X政钉扫码实名注册。客户端升级/卸载支持批量自动升级与自动卸载。支持经管理员授权后终端用户自主卸载。服务端系统自我监测支持自
43、身系统异常检测,包含服务器CPU使用率、服务器内存使用率、系统所在磁盘空间。支持级联区域监测,包含下级区域的WEB及管控中心的服务状态监测。资产发现功能支持通过已注册的客户端发现同网段其他在网设备。支持通过已注册的客户端采集本机的设备IP、MAC、操作系统、CPU、内存、磁盘容量等设备信息。支持入网的硬件资产、终端软件资产、网络服务资产、网站及应用系统的发现。设备台账管理支持设备信息的汇总展示,包括基础信息(如:IP地址、MAC地址、责任人、联系电话、所属部门、设备类型等)、状态信息(如:注册状态、在线状态等)、开放端口情况、在线/离线审计。支持设备的快速查询和高级查询,其中快速查询支持按IP
44、、MAC.责任人、联系电话等条件模糊检索,其中高级查询支持按IP、MAC、责任人、在线状态、注册状态、操作系统、设备类型、发现时间等多条件的组合检索。支持设备信息级联上报、级联查看。支持根据设备查看历史,包括:IP历史和设备历史。支持全网设备信息的管理功能,包括但不仅限于个人计算机、服务器、网络设备、安全设备、办公设备、其他设备,支持的管理操作包括:编辑、删除、导出、设备部门重置、指定天数的未上线设备删除等。支持对己注册且在线的设备实时点对点管理,包含:在线临时解绑、编辑IP、消息推送、屏幕控制、卸载终端、查看软件、查看硬件、查看服务、查看端口、查看进程、查看策略、查看计算机账户、查看服务端防
45、护日志等。IP资源管理支持从C类段的维度查看管控范围内IP使用情况,当前未存在设备的C类段不做展示;支持从组织结构的维度查看某个部门IP范围内IP使用情况,并以C类段分段展示。支持IP申请及审核管理,对管控范围内的IP资源进行合理分配。支持根据授权IP范围统计IP资源使用情况,展示限制和已占用IP地址。支持IP资源管理使用异常告警,包括:对IP未申请但已被使用以及IP已分配但未使用的IP地址进行告警、对IP在台账中的部门与部门配置的IP范围不一致的情况进行告警。终端管理工具终端消息推送:支持批量推送;消息以窗口形式提醒终端用户;支持按所有设备、IP范围、设备自定义组和级联分配任务;推送频率支持
46、:按周期、推送时间,其中周期包含:一次性/每天/每周/每月;消息等级包括:普通/重要/紧急/危急;消息内容可自定义或从消息库中随机获取;记录消息推送日志并支持查询,内容包含设备基本属性信息、接收状态、推送时间、接收时间。文件分发:支持对受控终端分发文件,可自定义分发目录,文件包括普通文件、屏保文件、壁纸等;支持exe和bat文件的自动执行,模式包括默认执行和提示执行;支持对分发事件进行审计,并可根据IP地址、策略名称等进行组合查询。IP冲突提醒:当设备发现存在IP重复时,客户端发出消息提醒,消息提醒样式分为普通、重要、紧急、危急,提醒内容自定义。IP/MAC绑定:支持IP/MAC绑定、DNS绑定,其中IP/MAC绑定分为与当前IP绑定、绑定到指定IP范围,DNS绑定可指定绑定IP范围。实现终端设备使用的IP与网卡MAC地址的绑定,用户随意修改IP后被自动恢复原IPo空闲关机
