医院信息安全第一期建设需求

医院信息安全第一期建设需求一、货物需求明细序号货物名称数量单位1态势感知系统1套2流量探针（内网）2台3流量探针（外网）1台4SOAR自动化编排系统1台5漏洞管理平台1套6漏洞扫描系统1套7web应用防火墙2台8网页防篡改30套9蜜罐1台10网络数据防泄漏2台11日志审计系统1台12互联网边界防火墙2台13数据中心防火墙2台14零信任1套15API审计1台16数据库运维堡垒机1台17数据安全网关2台18应用动态安全防御2台19服务器主机安全管理1套20高级威胁APT系统（沙箱）1台21数据脱敏系统1台22服务器防护软件1套二、技术要求序号货物名称技术要求1态势感知系统性能要求数据采集和处理性能≥15000EPS，每条数据大小>1KB；10亿数据关键字查询结果响应时间<2秒。硬件要求CPU≥24核，内存≥256GB，配置企业级存储磁盘总容量≥64TB；网口要求：千兆电口≥4，万兆光口≥4（配置光模块）。工作台工作台首页支持自定义个性化配置，支持以拖拽方式进行画布页面设置，页面可选组件包括原始告警、资产管理、组件管理、风险资产、安全事件、安全日志、平台概览、快速搜索、安全设备、SOAR、系统消息、通报预警、工单、告警监控等，可选组件不少于36个，每个组件均支持点击“收藏”按钮进行自定义收藏。安全态势可视化支持立体、平面、球面等多种维度的网络实体关系透视，点击每个实体可展示资产名称、风险评级、告警TOP3、最近异常发生时间等，点击实体间的访问连线可展示实体间访问方向、访问类型、累计流量、最近访问时间等。攻击者可视化溯源分析大屏，为安全运维人员提供包括攻击者基本信息、攻击取证信息、攻击趋势、访问趋势等信息；以攻击IP为中心，对该IP产生的告警类型、所攻击的受害主机IP，以及使用攻击手段类似相似IP等信息进行展示。监测中心支持告警数据自动化归并，并通过告警列表条目颜色区分“已读告警”和“未读告警”；支持查看归并告警基本信息、规则详情、原始告警列表、全部字段、PCAP包详细信息，并支持下载PCAP包；支持在归并告警页面进行告警快速处置，包括忽略告警、误报处置、联动处置、人工处置等。安全模型应内置包括规则模型、关联模型、统计模型、情报模型、AI模型等不少于5类安全分析模型，数据配置可选择不同作用域，如全局通用、单选机构，单选机构可选择单独的组织架构。安全分析模型支持自定义创建，可通过字段映射、静态值、模板、表达式等多种方式自由定义分析模型的告警名称、威胁等级、告警类型、攻击链、可选字段、告警描述、处置建议等内容。模型可对所有安全模型进行管理，具体可进行新增、删除、启用、告警等具体操作，创建定义模型，包含规则模型、统计模型、情报模型、AI模型、关联模型。数据字典统一管理平台上的字段信息包括：数据来源、数据的标准化字段格式说明、目标存储平台等基础信息以及攻击链、告警字典等数据。通过数据字典可以查询接入的数据对应的字段信息，包含表名，表字段信息。支持数据字典中数据信息的维护，包括数据信息的录入、修改、删除。响应中心支持将联动设备能力封装到APP，通过导入APP的方式实现和不同产品的联动，支持设置3层递进阻断策略（如第一次阻断10分钟，第二次阻断30分钟，第三次永久阻断），支持选择多台联动设备下发阻断策略；支持查看封禁设备数、封禁IP数、自动封禁IP数、本日解禁IP数、封禁订阅规则数、封禁SOAR剧本数，支持查看最近7天封禁IP趋势及防护设备封禁IP分布；支持封禁策略批量删除、解禁、导出。支持联动APP导入、更新、卸载，对每类APP联动资产数进行管理统计，联动APP信息包括厂商、APP版本号、开发语言、支持设备型号、开发者、更新时间、描述信息等；支持根据APP名称、设备名称、设备标签、动作名称、动作URI、APP类型、APP状态等进行APP检索。运营中心平台具有统一的安全运营门户，作为重点关注功能的统一入口，如集成态势感知、Sherlock网络星空、通报预警、联动策略、运行监测等多个功能模块，实现平台功能的快速跳转；支持用户配置个人专属的统一门户，可配置项包括门户名称、菜单名称、应用图标等，且菜单内容支持自定义编辑，可链接平台以外的域名地址。支持对接威胁情报中心，支持情报离线更新及在线更新，支持查看情报源中有效情报数、最近更新条数、最近更新时间、今日更新情报数、昨日命中情报数等；支持对接第三方威胁情报平台，支持配置外部情报碰撞接口及查询接口，可对接口请求进行限制。资产中心支持人工录入、流量自动发现、主动扫描、web自动发现、资产同步等不少于5种的资产数据接入方式；流量自动发现方式能自动识别资产类型，如Web服务器、DNS服务器、邮件服务器、FTP文件服务器等多种类型资产，支持web业务系统自动发现；支持批量确认流量发现的资产。运维管理大数据平台支持一键巡检功能，检查项包含但不限于数据健康、探针健康检查、大数据集群健康、实时流计算引擎健康、管理服务健康、服务器节点健康等多种维度检查，提供巡检处置建议，并能将巡检结果导出PDF格式分析。支持自定义消息订阅，订阅方式包括机器人、短信、邮件、钉钉方式，消息类型包括告警通知、数据接入异常、系统资源使用超限、系统组件状态异常、探针状态消息、联动设备状态异常、系统配置异常、系统更新、日常运维等类型。平台管理支持常用配置参数的前端可视化修改，如系统通用配置、开放端口配置、沙箱文件检测规则、网络配置、产品Logo等配置，通过选择或创建新的配置参数开启新的前端功能配置页面。支持定制开发、实施、支持产品支持原厂的定制开发、实施及其他本地化个性化功能支持，项目所有的开发、实施、支持人员都需要由原厂人员来参与。产品测试投标方中标后，招标方仍具有对所投标产品进行产品功能、性能及配置检测的权利，检查中需要中标方提供详细的产品功能截图以证明，若检测发现投标方提供的产品的功能、性能及配置与投标书中所承诺的不符，招标方有权利上报主管部门申请中止投标方的中标资格，废止双方签订的商务合同，并且保留对投标方索取经济赔偿的权力。安全等保测评满足国家安全三级等保测评要求，包括传输加密、身份双因素认证、审计记录保存180天以上或支持异地备份等功能。售后维保服务提供五年原厂软硬件保修和规则库及功能授权服务。2流量探针（内网）性能要求MTBF大于65000小时。网络层吞吐率≥10Gbps，应用层吞吐率≥4Gbps。HTTP最大并发数20万/秒。邮件处理数≥300万封/24小时。文件检测数≥10万个/24小时。硬件要求硬件外形：软硬一体化2U标准机架式设备，具备1+1冗余电源。内存≥128G。硬盘容量≥2T*2（带RAID1）。接口标配千兆管理口≥2，千兆业务口RJ45网口≥4，千兆业务SFP光口≥4（配置光模块），万兆SFP光口≥2（配置光模块）。综合能力支持解析HTTP、FTP、SMTP、POP3、SMB、IMAP、DNS、HTTPS、SMTPS、POP3S、IMAPS、RADIUS、KRB5、SNMP、NETFLOWV9、TFTP等协议报文。支持COAP、MQTT等物联网协议解析和审计。支持GTP、PFCP、NGAP等5G协议解析和审计。支持识别QQ、WEB、LDAP、FTP、TELNET、邮件、SMB、RADMIN、ORACLE、MSSQL、SYBASE、MYSQL、DB2、PostgreSQL、REDIS、MQTT等登录行为。支持多层VLAN、VXLAN、MPLS、GRE、VN-Tag、Capwap等网络流量的解析检测。支持文件白名单、发件人邮箱白名单、发件人域名白名单、域名白名单、情报白名单、IP白名单、WEB特征白名单、IDS规则白名单的配置；支持灵活添加组合白名单，细化白名单影响面，包括IP和检测引擎大类、检测引擎大类子类、规则ID等颗粒度的组合白名单，支持至少8种白名单类型。支持识别流量中的个人敏感信息，包括身份证、银行卡、手机号、港澳通行证等，并展示传输信息的协议、网站域名、URL、客户端IP、服务端IP，便于用户发现敏感信息的传输安全隐患和处置。支持对流量大小进行监控，接入流量超过物理网络带宽上限时告警；支持对流量中的数据包、会话连接、重传包、网络报文等状态进行检测，可对业务网络流量传输异常告警；支持统计流量中的各类数据包进行统计，并通过图表形式展示，便于用户分析网络流量健康状态，支持的数据包类型不少于5种。Web攻击检测支持SQL注入、命令注入、跨站脚本、代码注入、WEB扫描或爬虫、网页篡改、服务错误攻击检测；支持通过智能语义分析引擎，对XSS跨站脚本、SQL注入攻击和OGNL注入攻击进行检测；支持通过智能语义分析引擎，检测JSP脚本文件上传和PHP脚本文件上传；支持30个以上的深度检测模块，对流量进行二次分析，提高攻击检测的准确性。支持WEBSHELL检测，可检测访问webshell的行为，包含具体对应的URL、返回码、返回数据包内容等，可显示一句话类webshell后门是否植入成功。mail攻击检测对社工类攻击进行检测，检测内容包括：邮件头欺骗、邮件发件人欺骗、邮件钓鱼欺骗、邮件恶意链接；支持解析webmail、SMTP、POP3、IMAP、SMTPS、POP3S、IMAPS（加密协议需要导入服务器私钥证书）类型报文。文件攻击检测支持对存在恶意行为的文件输出完整的二进制动态分析报告；动态执行可疑文件，分析代码的注册表、进程、网络、文件等行为，分析其安全风险；对文件关键行为进行截图；可展示文件中版本信息、段信息、资源信息、导入表、字符串信息、删除文件信息等内容；可展示ROP行为检测；可展示具体文件的行为，包括所有的注册表行为、进程行为、互斥量、返回结果、返回值等信息；可显示文件运行过程中企图访问的IP、域名，以及域名及对应的IP；支持沙箱逃逸检测，当恶意文件进行逃逸尝试，在沙箱报告中进行体现；采用多并发沙箱检测技术，集成主流的操作系统winXP、win7、win10、linux等多种检测环境。结合平台内置反病毒引擎和静态分析技术对恶意特征文件、文件漏洞、未知威胁等深度关联分析。具备动态沙箱分析能力，包括进程操作行为、文件操作行为、系统配置操作行为、网络通信行为。失陷主机检测具备DNS协议分析能力，发现受感染主机、危害程度、被感染病毒类型、回连C&C域名、DNS返回详情、恶意主机明细等行为；具备DNS重绑定攻击检测能力，分析域名与IP地址间的获取关系，并记录DNS解析返回的多个IP与时间。威胁情报与APT云端设备集成离线的高可用威胁情报库，支持离线环境下，根据威胁情报进行检测，增量威胁情报随策略升级包升级；支持在告警详情页面直接查询与告警IP、域名相关的威胁情报，获取样本通信记录、情报画像等信息。抓包检测功能支持对流量中的IP地址、端口等进行统计，快速识别未登记资产。可基于特定应用或服务对内部资产进行梳理（系统类型、IP、域名、端口等），查看资产端口暴露情况，特别是以非标端口提供的服务情况；可深入识别运行在资产上的设备类型、应用、服务信息详细情况（类型、版本、服务名称等）；支持对资产活跃程度分类，便于梳理资产变更。管理功能支持排错功能，APT一键登录排错平台，对系统进行深度配置和排错，支持一键检测故障、配置核对、表分区检查、表检测、信息收集等功能；支持在页面实时查看物理内存、共享内存、硬盘分区、硬盘I/O、监听端口、内存占用TOP10进程、CPU占用TOP10进程，无需登录后台，提高设备安全性；支持自定义时间查询和导出设备内存、CPU、磁盘空间的使用状态日志。具备风险数据外送至第三方平台的能力，支持以KAFKA、FTP、SFTP、SYSLOG数据接口输出风险信息；具备元数据外送至第三方平台的能力，支持以KAFKA、FTP、SFTP、SYSLOG数据接口输出审计信息、会话应用识别信息、会话应用流量统计信息、传输层流量统计、应用层统计信息、登录行为统计信息和文件检测信息；支持元数据按照服务器配置、发送配置、发送情况进行设置。KAFKA发送配置可以按照发送状态、主题、服务器列表、服务器响应、服务器版本、加密认证方式、是否需要压缩。支持字段名称禁用和启用进行配置；支持分离流量中的原始文件并通过KAFKA方式发送原始文件和文件审计数据；支持根据流量方向选择发送的元数据，包括外网到外网、外网到内网，内网到外网、内网到内网流量；支持根据流量属性选择发送的元数据，包括是否发送白名单IP流量数据、非告警流量数据等。导航：支持大屏展示网络攻击态势，包括攻击地图、紧急事件数/总数、恶意文件数/扫描总数、风险趋势（高、中、低风险）、流量分析（吞吐量、HTTP流量、DNS流量）、高危风险类别排名、攻击源区域排名、紧急事件/高危事件，并支持全球地图、国内地图切换展示；失陷主机：支持大屏展示失陷主机风险态势，包括失陷主机视角/横向攻击视角、失陷主机/黑客组织TOP5、风险类别排名、回连区域排名、失陷主机事件统计柱状图、最新事件、失陷主机数，支持实时数据自动刷新；攻击溯源：支持大屏展示风险较为严重的事件，并进行攻击溯源，包括攻击主机个数最多的情报事件TOP10、威胁情报告警类型分布、3D攻击关系图、威胁活动（弱点探测、渗透入侵、获取权限、命令与控制、数据盗取）；支持按IP搜索关联的攻击事件，包括攻击拓扑图、攻击者基本信息、被攻击者信息、攻击过程（攻击过程列表内容包括时间、攻击者、被攻击者、攻击链阶段、风险标签、攻击次数）。日志报表支持kafka、短信、邮件、syslog、ftp、sftp、钉钉等数据外送方式；syslog、kafka、sftp和ftp外送方式支持配置多个服务器，分别发送不同业务数据；支持对kafka、syslog发送的风险信息进行AES、SM4加密传输；KAFKA服务器配置支持SASL认证和Kerberos认证；KAFKA数据传输支持明文或SSL加密。支持在线预览报表，以及WORD、PDF、HTML等格式导出设备内置多种维度的报表模版，可从外部攻击、内部主机、样本投递等维度生成报表，并支持自定义选择报表生成的时间范围、报表类型、报表格式；支持批量导出报表及报表订阅功能，可自定义单位名称和Logo，报表订阅的时间纬度包括日报、周报、月报。售后维保服务提供五年软硬件保修和规则库及功能授权服务。3流量探针（外网）性能要求MTBF大于65000小时。吞吐率：网络层5Gbps。WEB检测：HTTP最大并发数10万/秒。邮件检测：邮件处理数:200万封/24小时。文件检测：10万个/24小时。硬件要求硬件外形：软硬一体化2U标准机架式设备，具备1+1冗余电源；内存≥64G；硬盘容量≥2T*2（带RAID1）；接口：千兆RJ45网口≥2(管理口*2)、千兆RJ45网口≥4、千兆业务SFP光口≥4（标配千兆多模光模块*2）。综合能力支持解析HTTP、FTP、SMTP、POP3、SMB、IMAP、DNS、HTTPS、SMTPS、POP3S、IMAPS、RADIUS、KRB5、SNMP、NETFLOWV9、TFTP等协议报文；支持COAP、MQTT等物联网协议解析和审计；支持GTP、PFCP、NGAP等5G协议解析和审计；支持识别QQ、WEB、LDAP、FTP、TELNET、邮件、SMB、RADMIN、ORACLE、MSSQL、SYBASE、MYSQL、DB2、PostgreSQL、REDIS、MQTT等登录行为；支持多层VLAN、VXLAN、MPLS、GRE、VN-Tag、Capwap等网络流量的解析检测。支持文件白名单、发件人邮箱白名单、发件人域名白名单、域名白名单、情报白名单、IP白名单、WEB特征白名单、IDS规则白名单的配置；支持灵活添加组合白名单，细化白名单影响面，包括IP和检测引擎大类、检测引擎大类子类、规则ID等颗粒度的组合白名单，支持至少8种白名单类型。支持识别流量中的个人敏感信息，包括身份证、银行卡、手机号、港澳通行证等，并展示传输信息的协议、网站域名、URL、客户端IP、服务端IP，便于用户发现敏感信息的传输安全隐患和处置。支持对流量大小进行监控，接入流量超过物理网络带宽上限时告警；支持对流量中的数据包、会话连接、重传包、网络报文等状态进行检测，可对业务网络流量传输异常告警；支持统计流量中的各类数据包进行统计，并通过图表形式展示，便于用户分析网络流量健康状态，支持的数据包类型不少于5种。Web攻击检测支持SQL注入、命令注入、跨站脚本、代码注入、WEB扫描或爬虫、网页篡改、服务错误攻击检测；支持通过智能语义分析引擎，对XSS跨站脚本、SQL注入攻击和OGNL注入攻击进行检测；支持通过智能语义分析引擎，检测JSP脚本文件上传和PHP脚本文件上传；支持30个以上的深度检测模块，对流量进行二次分析，提高攻击检测的准确性。支持WEBSHELL检测，可检测访问webshell的行为，包含具体对应的URL、返回码、返回数据包内容等，可显示一句话类webshell后门是否植入成功。mail攻击检测对社工类攻击进行检测，检测内容包括：邮件头欺骗、邮件发件人欺骗、邮件钓鱼欺骗、邮件恶意链接。支持解析webmail、SMTP、POP3、IMAP、SMTPS、POP3S、IMAPS（加密协议需要导入服务器私钥证书）类型报文。文件攻击检测支持对存在恶意行为的文件输出完整的二进制动态分析报告；动态执行可疑文件，分析代码的注册表、进程、网络、文件等行为，分析其安全风险；对文件关键行为进行截图；可展示文件中版本信息、段信息、资源信息、导入表、字符串信息、删除文件信息等内容；可展示ROP行为检测；可展示具体文件的行为，包括所有的注册表行为、进程行为、互斥量、返回结果、返回值等信息；可显示文件运行过程中企图访问的IP、域名，以及域名及对应的IP；支持沙箱逃逸检测，当恶意文件进行逃逸尝试，在沙箱报告中进行体现；采用多并发沙箱检测技术，集成主流的操作系统winXP、win7、win10、linux等多种检测环境。结合平台内置反病毒引擎和静态分析技术对恶意特征文件、文件漏洞、未知威胁等深度关联分析。具备动态沙箱分析能力，包括进程操作行为、文件操作行为、系统配置操作行为、网络通信行为。失陷主机检测具备DNS协议分析能力，发现受感染主机、危害程度、被感染病毒类型、回连C&C域名、DNS返回详情、恶意主机明细等行为。具备DNS重绑定攻击检测能力，分析域名与IP地址间的获取关系，并记录DNS解析返回的多个IP与时间。威胁情报与APT云端设备集成离线的高可用威胁情报库，支持离线环境下，根据威胁情报进行检测，增量威胁情报随策略升级包升级；支持在告警详情页面直接查询与告警IP、域名相关的威胁情报，获取样本通信记录、情报画像等信息。抓包检测功能支持对流量中的IP地址、端口等进行统计，快速识别未登记资产。可基于特定应用或服务对内部资产进行梳理（系统类型、IP、域名、端口等），查看资产端口暴露情况，特别是以非标端口提供的服务情况；可深入识别运行在资产上的设备类型、应用、服务信息详细情况（类型、版本、服务名称等）；支持对资产活跃程度分类，便于梳理资产变更。管理功能支持排错功能，APT一键登录排错平台，对系统进行深度配置和排错，支持一键检测故障、配置核对、表分区检查、表检测、信息收集等功能；支持在页面实时查看物理内存、共享内存、硬盘分区、硬盘I/O、监听端口、内存占用TOP10进程、CPU占用TOP10进程，无需登录后台，提高设备安全性；支持自定义时间查询和导出设备内存、CPU、磁盘空间的使用状态日志。具备风险数据外送至第三方平台的能力，支持以KAFKA、FTP、SFTP、SYSLOG数据接口输出风险信息；具备元数据外送至第三方平台的能力，支持以KAFKA、FTP、SFTP、SYSLOG数据接口输出审计信息、会话应用识别信息、会话应用流量统计信息、传输层流量统计、应用层统计信息、登录行为统计信息和文件检测信息；支持元数据按照服务器配置、发送配置、发送情况进行设置。KAFKA发送配置可以按照发送状态、主题、服务器列表、服务器响应、服务器版本、加密认证方式、是否需要压缩。支持字段名称禁用和启用进行配置；支持分离流量中的原始文件并通过KAFKA方式发送原始文件和文件审计数；支持根据流量方向选择发送的元数据，包括外网到外网、外网到内网，内网到外网、内网到内网流量；支持根据流量属性选择发送的元数据，包括是否发送白名单IP流量数据、非告警流量数据等。导航：支持大屏展示网络攻击态势，包括攻击地图、紧急事件数/总数、恶意文件数/扫描总数、风险趋势（高、中、低风险）、流量分析（吞吐量、HTTP流量、DNS流量）、高危风险类别排名、攻击源区域排名、紧急事件/高危事件，并支持全球地图、国内地图切换展示；失陷主机：支持大屏展示失陷主机风险态势，包括失陷主机视角/横向攻击视角、失陷主机/黑客组织TOP5、风险类别排名、回连区域排名、失陷主机事件统计柱状图、最新事件、失陷主机数，支持实时数据自动刷新；攻击溯源：支持大屏展示风险较为严重的事件，并进行攻击溯源，包括攻击主机个数最多的情报事件TOP10、威胁情报告警类型分布、3D攻击关系图、威胁活动（弱点探测、渗透入侵、获取权限、命令与控制、数据盗取）；支持按IP搜索关联的攻击事件，包括攻击拓扑图、攻击者基本信息、被攻击者信息、攻击过程（攻击过程列表内容包括时间、攻击者、被攻击者、攻击链阶段、风险标签、攻击次数）。日志报表支持kafka、短信、邮件、syslog、ftp、sftp、钉钉等数据外送方式；syslog、kafka、sftp和ftp外送方式支持配置多个服务器，分别发送不同业务数据；支持对kafka、syslog发送的风险信息进行AES、SM4加密传输；KAFKA服务器配置支持SASL认证和Kerberos认证；KAFKA数据传输支持明文或SSL加密。支持在线预览报表，以及WORD、PDF、HTML等格式导出设备内置多种维度的报表模版，可从外部攻击、内部主机、样本投递等维度生成报表，并支持自定义选择报表生成的时间范围、报表类型、报表格式；支持批量导出报表及报表订阅功能，可自定义单位名称和Logo，报表订阅的时间纬度包括日报、周报、月报。售后维保服务提供五年软硬件保修和规则库及功能授权升级服务。4SOAR自动化编排系统硬件要求2U标准式机架设备，CPU≥10核20线程*2，内存≥128G内存。硬盘≥8TB，接口≥4个千兆电+4千兆光+2万兆光口。性能要求工作流处理性能≥650个/min。工作台支持选择呈现本日、本周、本月、本年、最近7天、最近30天、最近1小时、最近8小时、最近24小时、或自定义时间区间的工作台数据；支持手动刷新或自动刷新数据，自动刷新间隔包括1分钟、5分钟、10分钟、60分钟。内置5种工作台模版：包括平台概况、我的安全事件、我的待办事项、剧本组件、联动设备监控。支持自定义个性化工作台，支持以拖拽方式进行画布页面设置，页面可选图表包括事件管理、待办事项、剧本组件、资产监控、平台概况等，可选图表不少于85个，每个图表均支持点击“收藏”按钮进行自定义收藏；个性化工作台支持公开发布、取消发布，发布后的工作台可被全平台用户使用。运营态势提供安全运营态势大屏，包括运营成果、事件概况、事件趋势分析、人工待办、动作执行TOP10、执行成果等展示维度。安全事件管理支持根据不同过滤条件查询案件，支持普通搜索和表达式搜索两种方式。普通搜索支持条件：包括事件名称、事件ID、事件级别、事件类型、事件状态、负责人、执行剧本、重点关注、事件标签、所属任务。表达式搜索支持搜索字段包括安全事件、告警相关字段。支持安全事件存档，可查看事件详情，包括事件基本信息、原始告警、剧本执行情况（剧本的详细运行路径和节点执行情况）等。事件作战室支持多人协同作战，不同角色用户可在同一作战室内查看本作战室历史信息、在线交流、协同事件处置、剧本下发、剧本动作等操作。安全事件支持服务质量计时，支持计时结果在安全事件列表中展示。支持安全事件服务质量评估结果的甘特图展示。支持服务质量字段管理。支持在工作台查看服务质量统计结果。支持事件绑定负责人、参与角色、参与用户；支持事件作战室相关人员管理。封禁中心支持对封禁、解封相关指标进行统计，包括当前已封禁对象数、当前已解封对象数、自动封禁率、封禁成功率、本日封禁对象数、本日解封对象数、封禁/解封趋势等。支持查看全平台封禁/解封记录，列表呈现对象相关信息，包括但不限于对象值、对象类型、当前状态、状态更新时间、封禁或解封成功次数、相关安全事件数量等；支持查看单个对象的封禁或解封详情，支持封禁或解封指令日志的查看。支持一键下发封禁、解封命令，支持封禁或解封的对象类型包括IP、域名、网段。支持已封禁的对象到期自动联动对应设备进行解封。支持手动修改对象封禁或解封状态。文件库针对安全事件响应全流程产生的有效文件，可通过文件库进行统一管理，单个事件产生的文件可通过事件文件夹进行单独管理。支持文件共享操作，可选择需要共享的事件。文件上传方式包括直接上传、聊天上传、人工任务附件上传、剧本或安全能力执行结果自动保存为文件等。事项处理支持查看待办任务、审批、申请、记录、工作成果等。支持批量处理待办任务和审批。研判中心支持将事件中的告警分配给安全分析师进行研判，研判支持配置第一分析人、第二分析人，最终根据多个分析师结论给出研判结果。支持对历史分析任务的结果进行机器学习，并对后续的分析任务与样本库进行相似度计算，展示可信度，辅助研判。安全能力归一化支持将异构设备的同类型安全能力归一化处理为同一个安全能力API，如阻断、放行、批量阻断、批量放行、发送消息、发送应用通知等标准能力；支持一条指令下发给不同厂家的不同设备进行动作联动。剧本编排剧本中支持通过添加人工任务，包括决策、表单和文本的形式进行事项信息收集。人工任务说明信息支持富文本编辑、支持插入上下文字段并对字段进行格式自定义。组件管理编写脚本组件时，可调用平台中已经集成的动作组件，使得脚本编写能够实现的场景更加灵活便捷。支持开发环境的构建，通过在线安装/离线导入的方式安装Python库，支持以列表的形式查看已安装的Python包。支持定制开发、实施、支持产品支持原厂的定制开发、实施及其他本地化个性化功能支持，项目所有的开发、实施、支持人员都需要由原厂人员来参与。售后维保服务提供五年软硬件保修和软件授权升级服务。5漏洞管理平台产品形态基础平台软件版，包括扫描器管理、漏洞融合、漏洞评价、漏洞生命周期管理、漏洞情报管理、资产管理等模块，包含5000IT资产管理授权。支持大数据架构；支持百万量级资产数据管理，资产数据量级为平台管理的各类资产总和，包括但不限于IP，网站，主机，应用等资产的总和。部署模式支持分布式集群部署，可横向扩展至多台设备集群。国产化适配支持ARM架构下的鲲鹏CPU的适配。支持银河麒麟的国产化操作系统的适配。态势大屏可视化漏洞态势大屏，针对漏洞全生命周期管理可视化呈现。漏扫设备联动系统支持调度第三方主流系统漏扫设备并进行集中管理，包括扫描任务管理，扫描数据自动回传，扫描策略配置下发管理操作。系统支持在线创建扫描任务、包括删除、停止、启动、编辑等任务操作；支持创建快速扫描任务、定时扫描任务、周期性扫描任务，满足扫描时的各类场景。漏扫管理扫描目标资产时，支持手工输入资产IP或从系统资产库勾选两种方式。发现资产系统支持自动将漏扫发现的未知资产融合到资产库中供用户确认。漏扫报告导入系统支持导入第三方漏洞扫描报告，系统至少要默认支持绿盟、安恒等几款主流扫描器厂家漏扫报告的解析识别和导入管理。系统支持人工漏洞报告导入，用户根据系统自带的漏洞导入模板将渗透测试结果数据批量导入。渗透测试数据接入内置渗透测试报告导入模板，支持在线导入渗透测试报告。弱口令检测支持对资产进行弱口令检测，可以自定义配置弱口令字典：

1）常规的协议，至少包括:FTP、SSH、TELNET等；

2）数据库，至少包括：mysql、oracle、mssql等；

3）常规应用，至少包括：ApacheTomcat、weblogic等；漏洞视角分析以漏洞视角展示时，支持统计最近一段周期内的高危漏洞数量趋势、漏洞所影响的资产类型统计、网站漏洞类型统计信息。创建处置任务系统支持漏洞处置功能，扫描任务、情报评估发现的漏洞通过漏洞处置功能分配、并转派，并持续跟踪漏洞处理过程。系统支持线上创建漏洞处置任务。系统支持勾选漏洞处置任务类型、撰写任务名称、任务描述、任务截止日期。系统支持内置工单，对漏洞处置流程的相关人员进行事项通知。处置任务管理系统可对累计下发任务数、已完成任务数、处置中任务数、待审核漏洞数进行统计分析。系统支持对每个漏洞处置任务当前状态节点、组织部门反馈情况进行查看，支持下钻查看任务详情。资产组支持按照用户真实组织架构关系生成组织架构关系树，并可对节点内容进行检索、编辑。在每个叶节点下，支持填写部门/系统名称，责任人信息，联系方式，系统重要性等信息。支持定制开发、实施、支持产品支持原厂的定制开发、实施及其他本地化个性化功能支持，项目所有的开发、实施、支持人员都需要由原厂人员来参与。售后维保服务提供五年软件保修和软件授权升级服务。6漏洞扫描系统性能要求任务并发数≥10，并发IP数≥100，授权可扫描总数量无限制。硬件要求软件部署。总体要求首页直观展示资产及资产弱点统计信息，包括资产总量分布、弱点总量分布、资产风险分布、风险主机TOP5、风险网站TOP5、主机资产风险/服务分布、弱点发现趋势等模块。支持用户自定义系统名称、版权信息和系统的Logo信息，而无需进行定制化。支持更细粒度扫描任务创建，在一个界面内展示所有任务类型，方便管理员操作。支持主机扫描、网站扫描、数据库扫描、基线配置、事件内容、弱口令扫描、存活主机探测、大数据漏洞扫描、物联网漏洞扫描、信创漏洞扫描十种任务类型。系统漏扫功能要求厂商漏洞特征库大于250000条；提供详细的漏洞描述和对应的解决方案描述；漏洞知识库与CVE、CNNVD、Bugtraq、CNCVE、CNVD等国际、国内漏洞库标准兼容。支持对各种网络主机、操作系统、网络设备（如交换机、路由器、防火墙等）、常用软件以及应用系统的识别和漏洞扫描。具备弱口令扫描功能，支持弱口令扫描协议数量≥22种，包括FTP、SMB、RDP、SSH、TELNET、SMTP、IMAP、POP3、Oracle、MySQL、MSSQL、DB2、REDIS、MongoDB、Sybase、Rlogin、RTSP、SIP、Onvif、Weblogic、Tomcat、SNMP等协议进行弱口令扫描，允许用户自定义用户、密码字典。网站漏扫功能要求产品提供Web应用漏洞扫描功能，支持对Discuz、大汉CMS、PHPCMS、DEDECMS、ECSHOP、WordPress、eWebEditor、FCKeditor、Struts2等国内外常见第三方组件进行扫描。支持常见Web漏洞类型的扫描，包括SQL注入、跨站脚本、命令执行、命令注入、代码注入、弱口令、目录遍历、URL跳转、文件包含、反序列化漏洞、文件上传、CSRF跨站请求伪造、信息泄露等。支持OWASPTOP10等主流安全漏洞。支持对网站事件内容的检测，能以单独任务形式对网站暗链、坏链、网页挂马、挖矿脚本、黑页、webshell、敏感内容、身份证信息泄漏、外链、不良信息等内容进行检测。漏洞特征库大于12000条，漏洞评分支持CVSS3.0标准。支持将漏洞以紧急、高危、中危、低危、信息进行危害程度的分类，并且可根据用户需要自定义漏洞等级。数据库扫描功能要求支持Oracle、MySQL、SQLServer、DB2、Informix、PostgreSQL、Sybase、达梦、人大金仓的授权数据库漏洞扫描。配置授权扫描时能够远程登录目标数据库以验证能否成功登录目标数据库，防止因输错密码或网络限制等未能成功授权扫描。数据库扫描的漏洞库数量大于3000条，提供详细的漏洞描述和对应的解决方案描述；漏洞知识库与CVE、CNNVD等国际、国内漏洞库标准兼容。数据库扫描支持的检测类型大于10种，至少包括弱口令、执行权限过大、访问控制漏洞、提权漏洞、缓冲区溢出漏洞、缺省配置、访问权限绕过、PL-SQL注入、危险程序、安全信息查看等。基线核查要求产品提供系统安全配置核查功能，能够对主流操作系统、中间件、数据库、网络设备、虚拟化设备的安全配置项目进行检查。支持主流操作系统的基线配置检查，包括但不限于Windows、Linux、Suse、HP-UX、Solaris、AIX、Debian。支持的数据库基线配置检查包括但不限于Informix、DB2、MySQL、SQLServer、Oracle。安全设置支持安全配置，可以根据需要开启或关闭验证码登录功能。售后维保服务提供五年软件保修和软件授权升级服务。7web应用防火墙硬件要求2U机架式设备，网口≥1*管理口+4个千兆电口（含两对内置BYPASS）+4千兆光口，支持三个接口扩展槽，CPU≥6核12线程、内存≥16G、硬盘≥2TB。电源：双电源。性能要求HTTP吞吐量≥8Gbps，HTTPS吞吐量≥2Gbps，HTTP最大并发连接数≥500000，HTTP最大新建连接数≥40000，HTTPS最大并发连接数≥100000，HTTPS最大新建连接数≥8000。部署模式支持透明串接、反向代理、旁路镜像等多种部署模式部署，支持链路聚合。高可用支持主备模式；支持主主模式；支持硬件BYPASS；支持软件BYPASS。SSL加速卡内置SSL硬件加速卡，实现对HTTPS的加解密，提供设备对HTTPS的处理性能。HTTPS防护支持HTTPS协议的选择可以选择SSL/TLS协议版本，可选SSLv3、TLS1.0、TLS1.1、TLS1.2、TLS1.3。支持HTTPS站点SSL算法自动探测功能。探测时可以设置指定站点及端口，可以显示探测结果。支持透明串接和旁路反向代理下的HTTPS业务的安全防护。支持源地址识别，部署在SSL网关后面，能够解析到真实的访问者IP，并能对真实的IP进行防护和阻断。支持证书批量管理，并且支持证书有效性检测。在单个服务器通过相同的IP地址为多个HTTPS域名提供服务时，WAF可以通过启用SNI，准确确定域名与证书的对应关系。攻击检测支持对跨站脚本(XSS)和注入式攻击（包括SQL注入、命令注入、代码注入、文件注入、LDAP注入、SSI注入、目录遍历、盗链行为等）的检测防护。支持对HTTP请求关键字段进行合规性的检测（包括Host字段、User-Agent、Content-type字段等）。支持HTTP请求走私，防止HTTP请求分割攻击,防止Content-Length与Transfer-Encoding分割。CC攻击防护支持对CC攻击进行检测和防护，能够配置URL参数、请求头部字段、目的IP、请求方法、地理位置组成的匹配条件，能够对请求速率、请求集中度、请求离散度进行检测;支持从请求头字段获取真实源IP地址。HTTP协议规范性检查检查HTTP报文合法性。检查HTTP报头是否有缺失或为空。检查允许提交的HTTP方法。检查请求报文是否畸形。通过检查上传和下载的文件类型，防止下载敏感文件和上传Webshell文件。检查HTTP报头长度，防止缓冲区攻击。Webshell检测（语义分析）内置Webshell检测规则，可以对上传的文件内容进行检查，防止恶意Webshell文件上传，对已经上传的Webshell发起请求的行为进行拦截阻断。敏感信息泄露检测内置身份证、银行卡、手机号、社保号等个人敏感信息数据，对服务器返回的敏感个人信息数据通过星号进行隐藏，并支持用户自定义敏感词。能够检测防止服务器导致的信息泄露行为，包括：目录信息泄露、服务器信息泄露、数据库信息泄露、源代码泄露等信息泄露行为。客户端安全防护支持客户端安全防护，插入特殊的HTTP报头以保护客户端免受相应攻击，增加以下安全报头:X-Frame-0ptions、X-Content-Type-Options、Content-Security-Policy。智能攻击者锁定支持智能识别攻击者，对网站连接发起攻击的IP地址进行自动锁定禁止访问被攻击的网站,可配置攻击者锁定时间,可配置将攻击者直接加入网络黑名单。联动处置支持与态势感知平台联动并通过SOAR自动编排系统自动封堵攻击IP。日志管理根据产生的安全日志进行智能分析，提高人工分析效率，减小规则误判概率。支持记录应用防护日志、网络防护日志、CC防护日志、访问审计日志、操作日志、系统日志、升级日志。报表支持攻击事件、告警等级、被攻击服务器IP、攻击者IP、攻击入口等不同报表模板。支持报表导出为Word、pdf、html等多种格式。安全等保测评满足国家安全三级等保测评要求，包括传输加密、身份双因素认证、日志审计记录保存180天以上或支持异地备份等功能。支持定制开发、实施产品支持原厂的定制开发、实施及其他本地化个性化功能支持，项目所有的开发、实施、支持人员都需要由原厂人员来参与。售后维保服务提供五年软硬件保修和软件授权升级服务。8网页防篡改操作系统Windows2000-201664位；Redhat、CentOS、SUSE、Ubuntu64位。Web服务器Apache20-24、IIS6、IIS7、IIS8、IIS10、Java系列(JBoss、Tomcat、Weblogic、Websphere)等。数据库MSSQL、Oracle、Sybase、Informix、DB2、MySQL等关系型数据库；Mongodb、Cassandra等非关系型数据库。管理方式B/S管理方式，Linux平台部署中心。基本功能网站服务器防篡改，网站服务器防攻击、网站备份、网站同步、网站自动恢复。文件保护支持各类网页文件的保护，包括静态和动态网页以及各类文件信息。目录保护支持对指定文件夹以及子文件夹的保护，避免上传非法文件及木马等恶意文件或插入恶意代码。一键启停文件保护一键启停所有对监控端的保护。断线检测和防护在与其它模块网络断开的情况下能防止文件被篡改。篡改规则支持基于目录、进程、IP、用户等进行设置篡改规则。自我保护防篡改程序有自我保护机制。网站漏洞防护实时防护网站常见的SQL注入攻击、XSS跨站攻击、Web容器及应用漏洞攻击。支持文件名解析漏洞防护、禁止浏览畸形文件、敏感信息防泄漏。CC攻击防护智能检测并防御CC攻击，保证网站正常服务能力低中高三级防护：策略验证、Cookie、JS脚本混合验证、抗图片识别工具的干扰色图片验证。网站访问控制通过配置IP或页面路径，对特定的访问者或页面进行放行或拦截。网马查杀具备网马专用引擎，根据特征查杀网站木马，并支持自定义设置扫描所占用的系统资源。站点管理展示Web服务器的系统信息、监听端口、运行进程、账号（包括隐藏账号）、可靠性监测等信息，攻击事件告警，可通过邮箱或短信发送。日志支持日志审计查询、多种日志级别，日志备份导出。系统管理系统管理员、操作员、审计员相互独立，不同账户拥有不同业务功能模块管理权限。密码复杂度设置、密码过期提醒。支持定制开发、实施产品支持原厂的定制开发、实施及其他本地化个性化功能支持，项目所有的开发、实施、支持人员都需要由原厂人员来参与。售后维保服务提供五年软件保修和软件授权升级服务。9蜜罐硬件要求软硬一体化2U标准机架式设备。1+1冗余电源。CPU≥10核20线程*2。内存≥64G。硬盘容量≥6TB。标配网口：2*千兆电口+4*千兆电口+4*千兆光口，扩展槽≥3。性能要求支持部署高交互蜜罐节点最多64个。支持安装管理流量转发Agent节点160个。部署架构设备支持单台、多台、分布式部署模式，由同一个管理平台管理多台设备。支持SDN技术模拟蜜网，可自定义添加交换机、VLAN规划蜜网结构。伪装诱捕支持Windows、Linux类操作系统蜜罐，提供不低于6种蜜罐，包括但不限于：Centos7、Suse12sp2、Suse12sp3、Windows7、Windows10、WindowsServer2008等。支持Web类蜜罐，提供不低于29种蜜罐，包括但不限于Thinkphp6、Jenkins、Zabbix、OA、Nginx、Discuz、DokuWiki、渗透、邮箱、Webmin、Struts2、JumpServer、SugarCRM、Joomla、Web克隆、Web自定义、深信服VPN、Fastjson漏洞、Sonarqube漏洞、Shiro漏洞、Discuz漏洞、Struts2漏洞、Httpd漏洞、Gitlab漏洞、Log4j2漏洞、泛微OA、致远OA、Thinkphp5漏洞、MES生产执行管理系统蜜罐等。支持中间件类蜜罐，提供不低于5种蜜罐，包括但不限于Tomcat、Weblogic、JBoss、Weblogic漏洞、Jboss漏洞等。支持数据库类蜜罐，提供不低于9种蜜罐，包括但不限于MySQL、MySQL反制、Oracle、PostgreSQL、MongoDB、Redis、MemCached、Hive、Hbase等。支持综合型服务蜜罐，同一蜜罐中可同时提供不低于4种服务，如：redis、wordpress、mongo、imitator等。通过配置服务及端口，能够捕获到对应服务的所有攻击数据。支持在线生成引诱型蜜饵，提供适配于Win2008、Win7、Win10、centos7、suse12等操作系统的设置主机名、登录提示、SSH连接记录、设置历史命令、谷歌浏览器历史、谷歌浏览器书签、火狐浏览器历史、火狐浏览器书签、RDP、文件、FTP等10余种仿真数据类型。生成指向蜜罐的面包屑，部署于用户主机，诱导攻击者攻击蜜罐。攻击分析支持基于攻击事件聚合攻击行为，捕获某一攻击者对某一蜜罐/蜜饵产生的所有攻击，并按照时间轴形式详细展示攻击过程。支持基于攻击者聚合攻击事件，能够对攻击者打标签，且展示其基础信息、社交账号、硬件指纹、系统指纹、浏览器账号、攻击工具、反制监控、所有攻击事件等信息。支持查看攻击路径、下载爆破字典、下载流量PCAP包、下载攻击样本附件包、攻击视频回放、还原攻击日志、Url地址下载等内容。支持ATT&CK框架，能对捕获到的攻击行为进行映射形成视图，直观展示攻击者意图及相关攻击行为的命中情况，可帮助用户进行安全能力评估。支持内置流量分析引擎，支持检测WEB攻击、恶意文件攻击、远程控制、WEB后门访问、DGA域名请求、SMB远程溢出攻击、拒绝服务攻击、隧道通信、挖矿、恶意工具利用等行为。产品联动持与云端情报中心联动，对域名、IP、文件hash、可疑样本等进行云端情报分析，获得详细的云端威胁情报。支持与本项目中的服务器主机安全管理联动，通过服务器主机安全管理批量下发Agent、感知型蜜饵、引诱型蜜饵至防护主机；提供手动/自动形式，下发阻断策略至服务器主机安全管理进行主机层面的攻击阻断。系统管理支持系统三权分立管理模式：系统管理员、操作员、审计员相互独立，不同账户拥有不同业务功能模块管理权限。支持系统安全设置，包括登录安全设置、访问安全设置、超时设置、密码复杂度设置、密码过期提醒、磁盘存储设置、访问超时设置、多因子认证等。支持实时管理中心、引擎中的资源使用率，以及监看系统CPU、内存、磁盘使用率和宿主机网口连接状态。安全等保测评满足国家安全三级等保测评要求，包括传输加密、身份双因素认证、审计记录保存180天以上或支持异地备份等功能。售后维保服务提供五年软件保修和软件授权升级服务。10网络数据防泄漏硬件要求软硬一体化2U标准机架式设备。电源：1+1冗余电源；CPU≥24核48线程；内存≥128GB；硬盘容量：32T；管理口：千兆RJ45网口*2；业务口：千兆RJ45网口≥2个，万兆SFP+光口≥2个（含2个多模光模块）。性能要求最大吞吐率≥10Gbps；应用层最大吞吐量≥2500Mbps；HTTP最大并发数≥100万/秒。支持协议类型产品支持对HTTP、SMTP、POP3、IMAP、FTP、SMB、NFS等协议解析，对协议所承载的数据内容进行还原。按照协议特征识别，和端口无关。双向流量审计支持实时双向流量的内容审计，支持对上传和下载文件内容进行识别和过滤。流量过滤支持对某类协议流量的检测和放行。

支持对指定的源IP、目标IP所产生的流量进行监控或放行。

支持对指定的URL所产生的流量进行监控或放行。

支持对文件MD5的监控或放行。

支持对指定的请求方法（GET、POST、PUT、DELETE、HEAD、OPTIONS、TRACE、CONNECT）所产生的流量进行监控或放行。常见的办公文件类型识别支持识别常见的办公文件类型，包括office、wps、pdf文档等；

1、Office系列：doc、docx、xlsx、xls、xlsm、xltm、ppt、pptx、pps、docm、wps；2、图片文件：tif、jpg、jpeg、bmp、gif、png；3、压缩文件：rar、zip、7z、tar；4、网页文件：xml、htm、html；

5、版式文件：pdf；

6、文本文件：txt、rtf；7、设计类文件：dwg；8、代码类文件：Java、C、Python；加密文档识别支持识别加密文档类型，不识别内容。包括office加密文档、pdf加密文档、压缩文件加密文档。加密流量识别支持对HTTPS流量进行解析，识别密流量中的敏感数据。后缀缺失更改后缀被更改，后缀缺失，不影响格式识别和内容提取。识别编码格式支持Unicode、ANSI、UTF-8编码方式；支持中文（简体和繁体）、英文。正则表达式识别内置（身份证、银行卡、手机号、车牌号、护照、地址、邮箱、军官证、MAC地址、金额、台胞证、港澳通行证、常用姓等）正则表达式；

管理员可自定义正则表达式来进行内容匹配，可设定命中阈值，页面具有正则表达式验证功能。数据标识符包括身份证、营业执照、组织机构代码、税务登记号、银行卡号、手机号码、邮箱、IP地址、座机电话号码等。红头文件匹配提供图像识别能力，识别目标文件是否为红头文件。可根据用户的实际情况，配置用户要防护的红头文件。图章识别提供图章识别能力，识别目标文件是否包含图章。

可根据用户的实际情况，配置用户要防护的图章策略。指纹识别支持通过本地上传和远程共享的方式，自动生成文件指纹和图片指纹（上传的原始文件可选择是否保存），通过指纹匹配策略，可识别具有该指纹信息的相关文档。语义模型支持无监督学习，生成自动分类模型，通过用户上传文件夹，系统依据相似度自动对文件进行聚类，并生成文件关键词及其权重；支持将文件上传到已构建的自动分类模型中进行文档推理，实现对文件进行自动分类。逻辑组合能力能生成满足实际工作所需要的复杂策略，策略可以包含多个规则，内部规则之间可以通过“AND/OR”,“条件”以及“排除”的逻辑组合在一起。不仅基于内容来制定策略，还能结合文件属性等制定策略。分类分级管理支持对数据进行分类分级管理，系统内置行业分类分级模版和规则，支持分类模版的下载和导入。支持管理员用户自建分类分级，自定义敏感数据；支持依据分类分级结果和自定义的敏感数据自动识别中的敏感信息。稳定性策略开关支持手动启停审计日志、证据文件下载、OCR识别、图章识别、红头文件识别等功能。事件表显示项可配置事件表显示项，展示字段可配置，字段的顺序可配置。事件日志记录内容策略名称、响应动作、发生时间、命中次数、严重性、IP地址、文件名，违规内容摘要，能高亮显示文件或消息中违背策略的相关信息。角色权限系统支持超级管理员、系统管理员、安全管理员、日志管理员、普通用户角色管理；

可自定义角色权限，对网络事件审计权限设置，不同等级的事件审计用户提供不同的权限。安全等保测评满足国家安全三级等保测评要求，包括传输加密、身份双因素认证、审计记录保存180天以上或支持异地备份等功能。售后维保服务提供五年软硬件保修和软件授权升级服务。11日志审计系统硬件要求软硬一体化2U标准机架式设备，CPU≥8核，硬盘≥48T；内存≥128G；网口类别：千兆电口≥4个，万兆光口≥2个；双电源。性能要求支持≥1000个日志源；日志处理能力EPS≥20000/秒，峰值EPS≥30000/秒。工作模式独立完成审计日志采集，不依赖于设备或系统自身的日志系统。日志收集支持Syslog、SNMPTrap、HTTP、ODBC/JDBC、WMI、FTP、SFTP协议日志收集。支持目前主流的网络安全设备、交换设备、路由设备、操作系统、应用系统等。日志分析支持将收集到的日志转发，当原始日志设备无法设置多个日志服务器时，可以通过本系统的日志转发功能将日志转发到其他日志存储设备。可对日志进行细粒度解析，解析后的日志根据具体日志包含但不限于：日期、发生时间、接收时间、设备类型、日志类型、日志来源、威胁值、源地址、目的地址、事件类型、时间范围、操作主体、操作对象、行为方式、技术动作、技术效果、攻击类型、特征类型、协议、地理信息、公网情况。内置5000+解析规则，支持对收集的5000+设备类型日志进行解析（标准化、归一化），解析维度多达200+，解析规则可以根据用户要求定制扩展。对日志样例可进行划词辅助解析，一键生成正则表达式。具备安全评估模型，评估模型基于设备故障、认证登录、攻击威胁、可用性、系统脆弱性等纬度加权平均计算总体安全指数。安全评估模型可以显示总体评分、历史评分趋势。安全评估模型各项指标可钻取具体的评分扣分事件。内置设备异常、漏洞利用、横向渗透、权限提升、命令执行、可疑行为6大类50+子类的安全分析场景。日志查询支持按日期、时间、设备类型、日志类型、日志来源、威胁值、源地址、目的地址、事件类型、时间范围、操作对象、技术方式、技术动作、技术效果、攻击类型、地理城市等参数进行过滤查询。支持亿级的日志里根据做任意的关键字及其它的检索条件，在秒级里返回查询结果。应用性能监控支持以下对象的性能监控：操作系统Windows、Linux、Aix、FeeBSD、HP-UX/Tru64、MaxOS、SunSolaris，数据库MySQL、Oracle，应用服务器Weblogic、Tomcat，Web服务器Apache。脆弱性管理内置73000+条CVE漏洞数据知识库。地理安全系统内置GeoSec地理安全子系统，内置世界以及国内安全GIS地图。告警功能支持磁盘空间阈值告警，当磁盘使用率达到设定的阈值时可产生并外发告警；资产性能监控异常告警，对于监控的资产系统资源进行监测当指定指标使用率达到设定的阈值时可产生并外发告警；资产状态监控，当资产处于不活跃状态时可产生并外发告警；远程仓库状态监测可告警，当远程仓库可用性检测失败或备份包自动上传失败时可产生并外发告警。综合查询及报表管理内置SOX、ISO27001、WEB安全等解决方案包，内置完善的等级保护合规报表。用户管理根据三权分立的原则和要求进行职、权分离，对系统本身进行分角色定义，如管理员只负责完成设备的初始配置，规则配置员只负责审计规则的建立，审计员只负责查看相关的审计结果及告警内容；日志员只负责完成对系统本身的用户操作日志管理。资产管理资产拓扑支持按照实际的用户环境进行编辑发布并可以和资产进行绑定，拓扑可以显示资产采集的事件数量被采集资产的状态等信息。安全等保测评满足国家安全三级等保测评要求，包括传输加密、身份双因素认证、审计记录保存180天以上或支持异地备份等功能。售后维保服务原厂五年硬件保修、原厂五年软件升级、原厂五年规则库升级。12互联网边界防火墙硬件要求标准机架式设备，高度≤2U；冗余电源，千兆电口≥2个，千兆SFP光口≥2个（含千兆多模光纤模块），万兆SFP+光口≥4个（含万兆多模光纤模块）。内存≥24GB，硬盘≥4T。性能要求网络层吞吐量≥40G，IPS吞吐量≥16Gbps，最大并发连接数≥1200万，HTTP新建连接数≥45万。路由与链路检测支持基于IP地址、端口、地域、协议、应用等维度配置策略路由策略，支持多种负载均衡算法，至少包括加权、带宽比例、轮询、线路排序等；支持链路连通性检查功能。协议命令控制支持ftp协议命令控制功能，至少包含delete、rmdir、mkdir、rename、mget、dir、mput、get、put等，保护对外服务不被恶意篡改。DNS代理产品支持DNS透明代理功能，避免单运营商DNS解析出现单一链路流量过载，平衡多条运营商线路的带宽利用率。IPv6功能产品支持IPv4/IPv6双栈工作模式，以适应IPv6发展趋势。安全策略漏洞扫描支持产品内置的默认模板以及自定义模板进行漏洞扫描，可扫描出漏洞名称、漏洞级别、漏洞描述、CVE-ID、CNNVD-ID等信息；支持查看资产关联的漏洞信息，并跳转到详情。流量控制产品支持多维度流量控制功能，支持基于IP地址、用户、应用、时间设置流量控制策略，保证关键业务带宽日常需求。地域访问控制支持与国家位置信息结合设置安全策略，识别流量发起的国家或地区的位置信息，根据流量发起的国家或地区的访问位置信息实现对不同区域访问的差异化控制。联动处置支持与态势感知平台联动并通过SOAR自动编排系统自动封堵攻击IP。安全等保测评满足国家安全三级等保测评要求，包括支持系统三权分立管理模式、传输加密、身份双因素认证、审计记录保存180天以上或支持异地备份等功能。售后维保服务包含IPS、AV防病毒、URL应用识别、威胁情报模块，原厂硬件保修五年，原厂软件升级五年，原厂五年库升级。13数据中心防火墙硬件要求标准机架式设备，高度≤2U；冗余电源，千兆电口≥2个，千兆SFP光口≥2个（含千兆多模光纤模块），万兆SFP+光口≥4个（含万兆多模光纤模块）。内存≥24GB，硬盘≥4T。性能要求网络层吞吐量≥40G，IPS吞吐量≥16Gbps，最大并发连接数≥1200万，HTTP新建连接数≥45万。路由与链路检测支持基于IP地址、端口、地域、协议、应用等维度配置策略路由策略，支持多种负载均衡算法，至少包括加权、带宽比例、轮询、线路排序等；支持链路连通性检查功能。协议命令控制支持ftp协议命令控制功能，至少包含delete、rmdir、mkdir、rename、mget、dir、mput、get、put等，保护对外服务不被恶意篡改。DNS代理产品支持DNS透明代理功能，避免单运营商DNS解析出现单一链路流量过载，平衡多条运营商线路的带宽利用率。IPv6功能产品支持IPv4/IPv6双栈工作模式，以适应IPv6发展趋势。安全策略漏洞扫描支持产品内置的默认模板以及自定义模板进行漏洞扫描，可扫描出漏洞名称、漏洞级别、漏洞描述、CVE-ID、CNNVD-ID等信息；支持查看资产关联的漏洞信息，并跳转到详情。流量控制产品支持多维度流量控制功能，支持基于IP地址、用户、应用、时间设置流量控制策略，保证关键业务带宽日常需求。地域访问控制支持与国家位置信息结合设置安全策略，识别流量发起的国家或地区的位置信息，根据流量发起的国家或地区的访问位置信息实现对不同区域访问的差异化控制。联动处置支持与态势感知平台联动并通过SOAR自动编排系统自动封堵攻击IP。安全等保测评满足国家安全三级等保测评要求，包括支持系统三权分立管理模式、传输加密、身份双因素认证、审计记录保存180天以上或支持异地备份等功能。售后维保服务包含IPS、AV防病毒、URL应用识别、威胁情报模块，原厂硬件保修五年，原厂软件升级五年，原厂五年库升级。14零信任整体要求包含零信任控制中心、零信任代理网关二部分，各1台。要求提供加密传输、接入、认证、日志审计、安全性增强-WEB水印、上线准入策略强化（终端动态环境检测）、第二/三代SPA、应用防护策略、可信应用、分布式集群等功能；配置零信任接入用户授权5000个，用户沙箱授权5000个，统一身份管理，包括支持单点登录、用户访问权限设置、权限规则库、用户与权限的适配等。在终端创建具备安全链路、落地文件加密、右键防下载、应用发布功能、网络隔离、剪切板隔离、进程保护、屏幕水印、应用系统反向代理等数据保护能力。控制中心要求标准机架式设备，高度≤2U；双电源；千兆电口≥4个，万兆光口≥2个（含千兆多模光纤模块与光纤跳线），内存≥16G，硬盘≥480G；最大并发用户数≥5000个，最大加密流量≥480Mbps。代理网关要求标准机架式设备，高度≤2U；双电源；千兆电口≥6个，万兆光口≥2个（含千兆多模光纤模块与光纤跳线），内存≥32G，硬盘≥480G；最大并发用户数≥10000个，最大加密流量≥1Gbps。国密要求支持国家密码管理局颁布的SM1、SM2、SM3、SM4密码算法及其协议，符合国家商用密码标准。集群部署与授权共享要求支持本地集群与分布式集群部署，且二种集群下各节点的零信任授权数均可共享使用，集群的总接入授权数是各节点授权数的总和；集群节点故障后剩余节点仍能接管所有业务，本地集群及分布式集群均需支持授权漂移机制：集群中的单节点故障后，集群的总授权数跟故障前保持一致。国产化访问支持为了保障用户在国产化终端上的正常业务访问，零信任客户端应兼容主流国产硬件CPU的国产操作系统终端。可信应用支持可信应用设置，可以基于可信应用配置访问控制策略：支持将进程的可信状态作为访问控制评估条件，配置应用访问策略。限制仅可信的进程可访问指定的应用，或不可信的进程阻止访问，以避免后台木马攻击。私有DNS解析支持通过私有域名发布企业资源，在不采购域名服务的情况下即可使用域名访问内网资源，支持管理员自主配置是否允许从具体网络区域（局域网/互联网）接入时使用此私有DNS解析地址。WEB水印支持针对不同的B/S应用开启WEB水印，水印内容包括：用户名+当前日期，有效预防数据泄露。支持定制开发、实施产品支持原厂的定制开发、实施及其他本地化个性化功能支持，项目所有的开发、实施、支持人员都需要由原厂人员来参与。安全等保测评满足国家安全三级等保测评要求，包括支持系统三权分立管理模式、传输加密、身份双因素认证、审计记录保存180天以上或支持异地备份等功能。系统通知支持风险告警通过邮件、短信、钉钉等方式进行通知。售后维保服务原厂硬件保修五年，原厂软件升级五年。15API审计硬件要求CPU≥20核40线程；内存≥64G；硬盘≥16T；接口≥2个管理网口+4千兆电口。性能要求吞吐量≥5Gpbs。流量采集支持支持旁路镜像的方式获取客户端访问应用系统（API接口）的通讯流量，完成应用（API）的监控与审计。流量解析支持通过配置应用证书的方式对TLS1.1、TLS1.2、TLS1.3版本使用RSA套件加密的流量进行自动解析。支持解析Restful、GraphQL、SOAP、JSON-RPC（以HTTP协议为传输载体）、XML-RPC类型API。资产发现支持从网络流量中还原应用层资产数据，包括应用、文件、API、账号，可对资产进行分类管理和展示。接口资产识别支持列表结构呈现接口清单，展示接口所属应用、接口名称、接口URI、接口类型及接口敏感属性等信息。支持自动识划分静态资源页面和数据共享API，支持可视化配置划分规则，配置维度包括：请求头、响应头、响应内容类型等内容。API审计支持API接口数据审计，审计内容包括API请求头请求体、API响应头/响应体，可识别敏感数据和传输文件。识别方式支持丰富的敏感数据识别技术：包括正则表达式、关键字典等先进技术自定义创建识别规则。可识别文件中的敏感数据，可识别文件种类总计1000+类。例如OFFICE办公文档((DOC/DOCX、XLS/XLSX、PPT/PPTX）、WPS、PDF、OFD、纯文本、标记文本、图片内容、设计文档等。资产脆弱性支持通过界面自定义新增脆弱性漏洞，可细粒度配置到请求头字段、API类型、请求方法、响应状态、返回字段等，支持对以上维度正则匹配、敏感数据类型识别或敏感数据量数量识别等方式进行配置。具有丰富的风险详情，包含：风险基本信息、历史记录、API影响面评估、可被利用方式、修复建议等。其中API影响面评估可从去重数据量、API访问量、暴露数据标签、访问域等纬度进行综合分析，与同类风险API进行对比，形成影响面评估结果，区分API治理重点。行为风险支持通过多种指标自定义新增风险策略，例如：访问次数、访问时间、访问敏感数据等、上传下载文件、访问账号等。支持对点滴泄漏行为、慢速爬取行为进行监测，以IP、账号、IP应用、账号应用纬度进行风险监测。支持以数据为维度进行风险监测，以数据为线索关联分析相关API、相关应用、相关主体等内容，可适用于洞察二次封装风险场景。对于数据维度的风险，支持提供丰富的审计详情信息和分析维度，可自动绘制API风险链路关系，结合线索关联排名分析，可推测出可疑的数据泄漏路径。数据溯源支持对风险事件关联的审计日志进行数据溯源，包括客户端、访问方式、应用、请求与响应、文件等内容。日志检索支持审计记录完整的语句详情信息。包括：客户端IP、应用账号、应用名称、服务端IP、接口、域名、请求时间、请求状态、状态码、消息头和响应头等多个审计信息。消息头包含requestURL和requestmethod常规信息，包含host、connection、token、user-agent、accept、cache-control、accept-encoding、cookie等请求头信息和请求参数信息，包含server、date、content-type、content-length、connection等响应头信息。周期报告支持html、pdf、png、word多种格式的报表订阅，可定期通过邮件发送最新的报告。系统通知支持风险告警通过邮件、短信、钉钉等方式进行通知。支持定制开发、实施、支持产品支持原厂的定制开发、实施及其他本地化个性化功能支持，项目所有的开发、实施、支持人员都需要由原厂人员来参与。安全等保测评满足国家安全三级等保测评要求，包括传输加密、身份双因素认证、审计记录保存180天以上或支持异地备份等功能。售后维保服务原厂硬件保修五年，原厂软件升级五年。16数据库运维堡垒机硬件要求2U机架式设备:双电源。CPU≥32核、内存≥64GB，硬盘≥2*8TB(RAID1)。千兆电口≥4个。实例授权80个数据库(IP+Port)授权。部署方式支持透明代理、代理模式部署。高可用机制支持HA双机主备自动切换，支持策略同步、会话同步机制，保障主备间的一致性。协议支持支持国际数据库类型：Oracle、SQLServer、MySQL、Db2、PostgreSQL、Informix、SAPHANA、InterSystemsCache；国产化数据库、大数据平台、云数据库等。数据智能发现支持敏感发现结果列表展示，包括表名、列名、敏感类型、数据抽样示例等，支持对发现结果进行校正。支持从表格、表格列、SCHEMA等维度归类敏感数据资产，形成敏感资产集合进行独立管理。身份准入支持身份的多因素认证，至少应支持应用程序名、IP地址、主机名、操作系统账户、数据库用户、数字证书、身份敏感标签、日期、时间、时间域、身份类别、有效时间、应用用户名、终端IP等因素的任意组合，系统根据多维身份管理策略，自动判别登录主体的合法性，如不符合设定的身份管理策略，登录失败。支持通过不删除账户的方式，在系统中回收资产授权权限。安全防御支持数据库口令暴力破解防御，对口令攻击行为进行防御，防御数据库爆破行为。审计支持SQL命令（包括查询、新增、修改、删除等行为）的细粒度审计和分析，并详细记录管理用户的行为信息，包括规则名称、数据库主机、目标数据库名称、数据库实例名、客户端IP/端口、主机名、数据库用户名、物理地址、应用名称、应用用户、企业用户、命令类型、资产名称、执行时间、响应行为、风险级别等。告警与外送告警方式包括：邮件、短信平台、SYSLOG、SNMP等。支持定制开发、实施、支持产品支持原厂的定制开发、实施及其他本地化个性化功能支持，项目所有的开发、实施、支持人员都需要由原厂人员来参与。安全等保测评满足国家安全三级等保测评要求，包括支持系统三权分立管理模式、传输加密、身份双因素认证、审计记录保存180天以上或支持异地备份等功能。售后维保服务原厂硬件保修五年，原厂软件升级五年。17数据安全网关业务接口提供≥48个1/10GSFPPlus端口,≥2个QSFP端口（每个QSFP端口可拆分为4个万兆端口）,≥4个100GQSFP28端口（可兼容40G）。光纤模块支持GE/10GE光模块，电口RJ45光模块。管理接口2*RJ45管理口，1*RJ45串口，1*USB接口。电源双电源。整机吞吐量交换容量≥4.8Tbps，包转发率≥2000Mpps