医院信息安全项目需求

一、需求清单序号设备名称数量单位总体要求1内网堡垒机（核心产品）2台2外网堡垒机1台3数据库审计1台4日志审计1台5零信任设备1套6物联网安全监测与审计平台1套7杀毒软件1套8主机加固1套9桌面管理软件扩容1套10运维监控平台1套二、技术要求2.1内网堡垒机指标指标项技术参数要求性能硬件性能要求授权资产≥500个；硬件性能：并发字符连接≥500个，并发图形连接≥100个。硬件要求机箱高度：2U；标配网口：≥2千兆电口管理口，千兆业务电口≥4，千兆业务光口≥4（含2个千兆SFP多模光模块）；硬盘容量：≥4T*2，RAID1内存：≥8G；USB口：USB2.0口*2；串口：RJ45口*1；电源：1+1热插拔冗余电源。用户管理要求用户角色支持用户多角色划分功能，如系统管理员、部门管理员、运维员、审计管理员、密码管理员等，对各类角色需要进行细粒度的权限管理；支持自定义用户权限。部门层级管理支持按部门组织架构（至少5个层级的部门）管理用户数据、资产数据、授权数据、审计数据，且数据相互隔离；可按部门层级分别设定各部门不同权限的管理员，如部门内的运维管理员、审计管理员、系统管理员等。单点登录认证支持标准化对接CAS、JWT单点登录认证，且支持配置是否自动创建堡垒机中不存在用户。短信口令认证对接支持与Get、Post、Soap发送方式的HTTP短信网关平台进行联动，实现短信动态口令双因素认证机制，如与阿里云短信服务、SendCloud联动。双因子认证堡垒机须内嵌动态令牌和USBkey认证引擎，可使用动态令牌或USBkey进行双因子认证。密码存储支持采用国密加密算法进行核心敏感数据加密存储，且支持使用软件/硬件方式加密。认证窗口全局设置支持认证窗口的全局设置：可以选择启用哪种或者哪几种认证登录窗口。设备管理要求支持的协议和应用支持常用的运维协议：SSH、TELNET、RDP、VNC、FTP、SFTP、rlogin、X11；可通过应用发布的方式进行协议扩展，如数据库Oracle、MSSQL、MySQL、VMwarevSphereClient、浏览器等客户端工具。兼容客户端类型单点登录支持调用多种本地客户端工具：字符：xshell、secureCRT、putty，图形：mstsc、realvnc，文件传输：secureEX、flashFXP、filezilla、winscp，数据库：ssms、sqlwb、mysqlworkbench、mysql、dbvisualizer、plsql、sqlplus、toad、db2cmd、questcentral、navicat，无需应用发布服务器。URL访问管控支持对HTTP/HTTPS类资产进行URL黑白名单限制，禁止在未授权情况下，通过手动输入URL跳转至其它web网站。数据库管理数据库兼容性标准支持DB2、oracle、mysql、sqlserver、PG、达梦数据库的协议运维代理，可实现自动登录，自动登录可直接调用本地windows系统的数据库客户端工具（包括ssms、sqlwb、workbench、mysql、DbVisualizer、plsql、sqlplus、toad、dbcmd、QuestCentral、pgadmin3、psql、ksql、Isql、DIsql、DMmanger、navicat等），无需应用发布前置机。MAC兼容性支持在Mac操作系统下调用navicat工具运维mysql、oracle等数据库资产。数据库命令管控数据库支持命令阻断功能，精确到数据库，表、字段级别。数据库双重审计支持同时对数据库会话记录图形审计及命令提取；支持对数据库运维会话的上行和下行命令进行审计。运维方式要求运维管理支持B/S架构进行堡垒机运维管理，至少支持使用IE、谷歌、火狐、MicrosoftEdge等浏览器打开堡垒机的Web页面直接调用mstsc、VNC、Xshell、SecureCRT、Putty、winscp、flashFXP、FileZilla、SecureFX等本地运维客户端工具。专用客户端运维支持Windows/macOS操作系统下C/S架构的堡垒机专用客户端，可通过此专用客户端登录堡垒机，对堡垒机进行简单的管理及运维资产操作。SSH网关代理直连支持使用本地的SecurCRT/Xshell/OpenSSH工具通过SSH网关代理方式直接登录字符设备。SSH-agent-forwarding可以使用SSH-agent-forwarding登录到SSH服务器，用于登录堡垒机和登录SSH主机使用相同私钥的场景。禁审功能支持提供禁止审计功能，可对部分设定策略的会话不审计录像，防止机密信息二次泄漏。运维会话自审支持运维用户查询用户本人的运维审计会话，减轻审计管理员的负担，并且帮助运维用户提高运维效率。文件传输要求实时监控支持对文件传输会话的实时监控。文件传输管控支持对SFTP、FTP、ZMODEM进行文件传输控制，支持禁止文件上传、下载、删除、重命名，支持禁止对目录的创建与删除；支持对RDP会话的剪贴板、磁盘映射的文件传输控制。安全策略要求运维规则策略支持通过基于时间、IP/IP段、用户/用户组、主机组、主机账号、命令控制策略等组合访问控制策略，授权用户可访问的目标设备。命令审批支持对重要命令进行审核：运维人员执行命令后，需等到管理员审批通过后才可执行成功。可选择性设置自定义时间内未审批，对命令自动放行。执行命令的运维人员在运维待审批命令时，可选择终止此命令。国密TLS单向通信支持国密TLS单向认证通信，使用国密算法保证HTTPS协议层面的数据机密性和完整性；开启后需使用支持国密算法的浏览器才能访问堡垒机。系统管理要求配置备份系统配置文件支持自动备份到FTP/SFTP服务器上，支持配置备份周期。存储管理支持NAS/CIFS存储。API接口需提供用户、资产、授权的增删改查等API接口，允许第三方平台调用堡垒机的API接口，实现用户、资产、权限自动同步到堡垒机，简化堡垒机配置工作量。跨地域部署支持多台堡垒机异地备份部署，每台设备都能提供运维和审计服务，配置数据自动同步。国密改造要求身份鉴别支持使用基于国密算法的动态令牌、国密USBkey对堡垒机的登录实行双因素认证。以满足对登录的用户进行身份标识和鉴别，实现身份鉴别信息的防截获、防假冒和防重用，保证应用系统用户身份的真实性。3.2外网堡垒机指标指标项技术参数要求基本要求产品规格2U，≥32G内存，≥8T机械硬盘，≥6个千兆电口，≥4个SFP插槽，冗余电源，≥2个扩展槽位，≥500个主机/设备许可，最大可扩容到2000，用户数不限制，图形并发≥250，字符并发≥500。产品设计信息安全设备、系统软件的开发、生产符合TL9000-HSV标准。个性化快捷菜单支持快捷菜单，用户可自行设置快捷菜单项，快速定位至此功能，方便用户查找经常使用的功能。系统语言支持中文简体、英文。用户管理证书管理支持第三方证书用户自行上传用作校验的CA证书和CRL列表；本地CA支持根证书的重新生成及替换；支持根据根证书签发出客户端证书；支持发布生成吊销列表。消息管理（公告）支持管理员通过发布公告的形式，发送通知给所有指定用户；支持公告有效期设置，支持定期（固定时间）和周期两种（每日/每周/每月）方式；公告级别分为：一般、重要和紧急。资产管理资产管理支持资产网域化管理，按照不同局域网进行资产配置和管理。支持混合云资源的管理，即公有云及局域网资源，支持主机、服务器、网络设备、安全设备、数据库等的资产管理；满足公有云、数据中心多种运维场景。支持首页动态展现资源总量、活动用户、实时会话、待审批工单、当日运维记录、资产运行状态、今日运维总数、今日运维时长TOP10、今日告警总数、今日运维指令TOP10等信息，方便管理员实时查看系统运行情况掌握资产会话连接情况。云同步公有云设备支持一键同步功能；支持华为云、阿里云、腾讯云主机同步功能。账号管理等价账号可配置为等价账号的账号为同一资产不同协议的同名账号。等价账号主要用于账号改密，通过将同名账号配置为等价账号，可实现改密任务改密等价账号密码时，会将等价账号中所有不同协议同名账号的密码一并修改。账号改密支持改密结果可通过邮箱、FTP方式外发；密码采用密码信封加密保存，以保证安全性；支持密钥加密和明文分段发送。应用应用编排支持各种自定义客户端工具，支持通过动作流配置提供广泛的应用接入支持，在不作二次开发的情况下，可灵活扩展且实现帐号口令的代填。运维授权授权图谱提供授权关系查看功能，图形化直观展示用户、用户组、资产、资产组、协议、账号的授权关系。资产访问Session导出支持Xshell、Xftp、SecureCRT客户端的session文件导出。会话分享支持会话请求远程协助，且协同会话保持实时同步。批量运维批量运维批量运维视图配置，支持标签/九宫格展示方式，便于用户查看运维资产信息。审计管理全文检索支持全文审计检索；可以对操作行为中的用户信息、资产信息、用户信息、管理地址信息、管理方式信息、操作命令信息、操作结果信息进行全文检索、过滤，极大提高查询效率，更方便的进行用户关联追溯。水印支持操作记录视频回放时水印显示运维用户。运维追溯支持图形化查看用户的运维记录，查询结果以鱼骨图按照时间倒序自上而下而下展示，每个时间点详细记录运维资产、运维用户、账号、协议、会话时长等详细信息；支持每个运维节点可以定位至该条会话记录。改密追溯支持图形化查看账号改密历史记录，查询结果以鱼骨图按照时间倒序自上而下展示，每个节点详细记录改密信息及结果；支持每个改密节点可以定位、查看和下载密码信封。自动化自动化任务支持手动或自动执行运维脚本。系统管理虚拟化支持对堡垒机虚拟为多台逻辑堡垒机，虚拟堡垒机之间实现独立配置、独立数据。实现IT资源的动态分配、灵活调度、跨域共享，提高IT资源利用率。安全管理支持管理口与业务口分离。3.3数据库审计指标指标项技术参数要求性能性能指标支持的数据库实例个数≥25；审计性能：峰值SQL处理能力≥40000条/秒；硬件最大吞吐量4000Mbps；双向审计数据库流量400Mbps；标配日志存储数20亿条；审计日志检索能力≥1500万条/秒。2U机架式；内置交流双电源；产品采用专用工控机硬件架构，非普通PC服务器，MTBF(平均故障间隔时间)≥65000小时；处理器采用Intel高性能CPU，内存≥4*8GB，硬盘≥8TB（4T*2），支持RAID1，最大支持扩展到4T*4硬盘；网络端口：支持监听接口扩展；配备至少2个千兆电口管理口（admin口1个、HA口1个）；支持千兆网络环境下的监听能力；配置至少4个千兆电口、4个千兆光口和2个万兆光口；支持最大扩展至8电8光或16电或16光共16个千兆以太网口。功能部署方式支持分布式部署，管理中心可实现统一配置、一键批量升级所有节点、统一报表生成、统一查询。协议支持支持Oracle（包括21C及其他版本）、MySQL、SQLServer、SybaseASE、DB2、Informix、Cache、PostgreSQL（14及其他版本）、Teradata、MariaDB、Hana、LibrA、SybaseIQ、TiDB、Vertica、PolarDB、PolarDB-X等主流数据库的审计。支持达梦（DM8及其他版本）、南大通用(GBase）、高斯（GaussDB）、人大金仓（KingbaseV8、V7及其他版本）、K-DB、神舟通用（Oscar）、OceanBase等国产数据库的审计。支持MongoDB、HBase、Hive、Redis、Elasticsearch、Cassandra、HDFS、Impala、Graphbase、Greenplum、SparkSQL、SSDB、ArangoDB、Neo4j、OrientDB等数据库的审计。支持主流业务协议HTTP、Telnet、FTP的审计。可以通过导入证书的方式实现SQLServer2005及其他版本采用了加密协议通讯的审计。可以通过导入证书的方式实现MySQL5.7及其他版本采用了加密协议通讯的审计。支持对各种协议自动识别编码及在web界面手工配置特定编码如GB13000、UTF-8、UTF-16等。审计功能支持数据库操作表、视图、索引、存储过程等各种对象的所有SQL操作审计。审计信息能够记录执行时长、影响行数、执行结果描述、返回结果集。支持数据库请求和返回的双向审计，特别是返回结果集和返回字段、执行状态、影响行数、执行时长、客户端工具、主机名等内容，支持通过设置保存行数、最大保存长度来控制返回结果集的大小。支持在双向审计场景下根据以往审计命中情况设置结果集存储策略，支持设置保存行数与最大保存长度。支持跨语句、跨多包的绑定变量名及绑定变量值审计。支持本地直连数据库场景下的审计，通过本地Agent捕获本地数据库客户端程序中实际响应的SQL指令，实现对本地运维人员的数据库操作行为的审计，支持主流数据库如Oracle、PostgreSQL、MySQL、SQLServer等。支持HDFS、HIVE、PostgreSQL等场景下的kerberos认证加密流量的解析与审计。智能发现支持自动发现、自动添加流量中的数据库信息，并支持自定义自动发现截止时间。安全审计支持审计记录中敏感数据的脱敏处理，内置常见敏感数据脱敏规则，并支持脱敏规则自定义。产品具有内置规则，规则类型有SQL注入、账号安全、数据泄露和违规操作等，并可依据规则进行邮件告警。内置安全规则不少于900条，如SQL注入、缓冲区溢出等。可自定义审计规则，审计规则至少支持18个条件。规则各条件之间支持与或非逻辑关系。支持安全规则遍历匹配，针对某个操作，将全部安全规则进行匹配，并返回所有匹配的告警结果。支持安全规则优先级设置，在匹配规则时支持按照优先级顺序进行匹配并返回唯一匹配结果。支持内置安全规则通过规则包进行单独升级。支持信任规则，信任规则至少支持27个匹配条件。查询分析为保障高效的查询性能，要求产品后台采用全文检索引擎检索，具体体现为：可通过检索报文进行审计记录的查询。支持告警分析功能，告警分析支持按照“客户端IP+数据库账号”的组合对SQL模板维度进行排行，支持在页面一键添加到白名单、一键添加到信任规则。历史会话中的审计记录支持直接导出，支持通过“查询分析”按钮跳转至审计日志页面进行进一步的分析筛选。模型分析可依据客户端工具名、数据库用户名、客户端IP、操作系统用户名、客户端主机名、数据库名、操作类型、服务器IP等配置行为模型，并可查看相应告警日志。可通过桑基图展示访问数据库的路径，路径包括数据库IP端口、数据库账号、操作类型、数据库/SID、表名等。系统管理支持在界面查看告警日志，同时支持邮件、短信、企业微信、钉钉、SNMP、SYSLOG等方式告警。Agent管理支持在页面批量安装、配置、删除、挂起、唤醒、启动、停止、升级、回退所有的Agent。支持在审计页面直接升级或回退已安装在数据库服务器上的Agent，显示相应的升级/回退进度和结果，且升级或回退不需要输入数据库服务器的账号、密码。三层关联可提供客户端访问Web服务器的URL和应用服务器访问数据库的SQL语句关联功能。易用性支持对SQL语句进行业务化翻译，为用户提供SQL语句概述，便于用户理解。支持在日志页面一键取证。可维护性内置一键检测功能，可检测设备状态，包括流量、服务状态、设备状态、配置、许可和日志等。内置运维终端，可实现日志查看与下载、监控日志、设备状态检测、查看系统资源使用、查看共享内存使用、查看Kafka消费情况、执行SQL语句、执行常用命令、特权运维等。租户化管理支持租户化管理，针对某几个用户可授权查看指定的几个数据库产生的审计日志和告警信息等。防统方防统方相关功能产品需要有医疗防统方专版，且支持与通用版本的切换；内置的HIS系统厂商信息包括方正国际、天津天健、东联、联众、创业、军卫、联想、金仕达卫宁、东软、东华等；支持通过IP地址关联人员的工号、姓名、手机、科室、房间、主机名、Mac地址等信息；首页支持通过曲线图方式直观展示每小时统方告警数量，支持首页显示统方告警名称的TOP5和BOTTOM5。3.4日志审计指标指标项技术参数要求基本要求接口配置2U，≥7个千兆电口（2管理口+4数据口+1BMC口），≥4个千兆光口，冗余电源，≥32G内存，≥240GSSD系统盘，数据盘≥4T*3，Raid5，≥4个USB（2.0）接口，日志采集处理速度≥15000EPS，至少包含200个日志源授权。系统性能数据存储能力：压缩加密存储，压缩比不低10：1；日志存储不低于10000条/M；支持百亿级数据交互式多条件查询，百亿级数据查询响应时间小于10s。系统要求产品标准信息安全设备、系统软件的开发、生产符合TL9000-HSV标准。功能要求数据采集支持安全设备、网络设备、中间件、服务器、数据库、操作系统、业务系统等不少于26类300种日志对象的日志数据采集。支持Syslog、SNMPTrap、Netflow、JDBC、WMI、FTP、SFTP、SCP、文件等方式进行数据采集；支持通过Agent采集日志数据；系统内置已支持设备种类清单，提供设备日志外发配置建议指导。支持日志归一化处理，将不同设备所产生的不同格式的难以理解的日志数据进行统一格式化处理，提炼出有用信息清晰、明确的展示给管理者。支持实时自动刷新每个日志源的实时日志列表，支持在实时日志界面通过选择过滤器来监视所关注的特定类型的日志。支持首页展示日志采集总量统计，可按不同日志源种类分类显示日志总量及大小，并支持导出。对于尚未支持的设备类型日志进行新增采集支持，在页面上传升级文件或增加配置文件即可；支持主动、被动相结合的数据采集方式。支持独立展示每个被采集源最近24小时的日志数量趋势，便于掌握设备的安全事件情况，支持独立展示每个设备日志的最新采集时间，便于了解设备日志的采集状态。支持对日志流量非常大但是日志重要程度低的syslog类型日志源进行限制接收速率，降低对系统资源的占用，保障重要日志的收集。支持对每个日志源设置过滤条件规则，自动过滤无用日志。支持日志转发给第三方系统平台，支持设置多个日志转发IP地址，支持转发格式化日志或仅转发原始日志。支持IPv6/IPv4双栈环境部署，对IPv6/IPv4日志源的日志进行高速采集。数据存储支持对所管理设备的日志原始数据完整存储，支持数据本地集中存储、网络存储。支持根据设备重要程度设置独立设置每个被采集源的日志、报表数据存储时间为1个月、3个月、6个月和永久保存等参数。支持自定义存储位置，支持多盘并行存储，当磁盘满后自动切换存储位置，支持磁盘阵列、SAN、DAS等外部高性能存储。支持存储空间图像化、动态监控，超过阀值进行告警；支持从存储空间、存储时间多维度进行动态监控。支持日志备份功能，支持本地备份和FTP备份方式，支持自动备份和手动备份。支持IPv6日志的全量存储。数据查询支持首页以全国地图、全球地图展示最近24小时日志访问源和访问目的的分布，能根据颜色区分访问来源和访问目的数据量大小，能够通过首页地图快速下钻查询指定区域的日志详细信息。支持实时日志查询，支持历史备份文件导入查询；支持等于、不等于、大于、小于、正则表达式等查询条件；支持多条件组合查询。支持为不同类型日志设置不同的查询条件和显示条件。支持原始日志全文检索。支持在查询结果页面上直接下钻二次查询，快速定位关键日志，还可以返回上次查询条件；查询结果可将归一化日志和原始日志同屏对比显示。支持展示日志查询情况，包括查询条件命中数、日志总量、查询耗时等信息。查询结果支持分页显示；支持查询结果格式化日志、原始日志导出。支持在日志查询结果上针对源IP、目的IP、操作、源端口、目的端口等字段一键快速统计，以饼图方式展示，对于源IP和目的IP（公网地址）还支持以国内地图、世界地图方式展示，在统计图上能够进行点击下钻查询对应条件的日志结果。支持查询结果快速统计，可自定义统计主题规则，支持将多个主题添加为一个统计任务，以分、时、周、月、年定时执行自动统计，将统计结果报表发送到指定邮箱。支持基于时间轴展示日志数据分布，能够通过时间轴进行查询分析。支持IPv6日志的多条件高速查询检索及统计分析。告警管理支持首页展示当日告警情况统计；支持展示当日最新告警TOP10、TOP30和TOP50。内置系统运行相关告警规则，包括检测到新日志源、节点掉线、主动日志源长期不外发日志、存储上限告警、主机认证失败等，可启用/禁用规则。支持安全告警概况、安全告警趋势的统一展示，实时告警可根据级别、规则类型等进行分类。支持实时告警展示，可根据告警规则、告警级别两个维度进行实时告警监视，并可对刷新事件间隔进行设定。支持根据告警级别、告警规则类型、规则名称、时间范围、事件名称、设备IP、源IP、目的IP等方式快速检索安全事件告警，检索结果支持Excel等格式导出。支持基于时间轴展示告警数据分布，能够通过时间轴进行查询分析。支持在告警事件查询界面直接显示触发告警的关联日志，也支持点击跳转到日志查询界面。支持告警抑制规则设定，防止告警信息短时间内大量发送。告警响应方式支持邮件、SnmpTrap、声音、声光、短信、一信通响应、数据库响应等多种告警方式，支持告警内容引用字段变量参数。统计报表管理系统内置上百种报表模版，支持自动实现智能报表创建，每添加一个日志源，系统自动分析日志源类型进行相应报表创建，无需人工干预，报表和资产一一对应。报表支持基于全国地图、全球地图进行访问源、访问目的追踪。支持自定义统计日志数据形成报表，支持统计分析报表以PDF、word、execl、html等方式导出；支持实时报表、计划报表。系统管理支持用户按角色管理，支持三权分立。支持将日志源管理权限分配给不同的操作管理员，不同用户管理不同日志源的日志，互不干扰。支持设置非法用户访问控制策略。系统具有防恶意暴力破解账号与口令功能，口令错误次数可设置，超过错误次数锁定，锁定时间可设置。3.5零信任设备（1）零信任控制中心指标指标项技术参数要求控制中心要求规格要求纯软件部署，接入授权≥300套，沙箱授权≥200套。兼容性要求兼容性为降低零信任系统部署实施复杂度，避免因部署迁移而产生大量重复性策略配置工作，本次所投产品应支持导入原有VPN系统的配置信息，支持导入的配置信息至少应包含角色、用户、用户组、资源、资源组等，以实现平滑切换，快速无误部署落地，提供原VPN系统对接配置文档。资源发布隧道资源隧道资源支持TCP、UDP、ICMP等协议，可通过IP、IP范围、IP段、域名和通配符域名进行资源发布，同一资源可发布多个服务器地址，TCP协议支持长连接。Web资源产品基于身份化实现先认证、在连接，保护业务系统的安全。所有业务访问，需先经过零信任控制中心认证后，才能建立连接。为有效抵御恶意软件和有针对性地攻击，WEB资源发布时应具有到URL路径级别，且具有配置URL路径规则。黑名单模式下，用户只能访问不在黑名单内的路径；白名单模式下，用户只能访问白名单内的路径。且为了简化管理员配置，URL黑白名单还应具有“*”“?”等通配符配置。对于一些主要在主站点中点击使用的子站点WEB业务系统，且子站点跟主站点业务系统权限一致的场景，为简化管理员配置，零信任系统应具有开启依赖站点功能。为方便业务快速上线，还应具有自动采集站点功能对依赖站点进行梳理。终端接入浏览器兼容性支持以下浏览器的主流版本访问WEB资源：IE、Chrome、Edge、Firefox、Opera、Safari等；支持微信内置浏览器、钉钉内置浏览器访问WEB资源；支持Android、iOS等手机厂商的自带浏览器访问WEB资源；支持国产操作系统浏览器接入并访问WEB资源。终端兼容性（国产化）支持主流国产硬件CPU和国产操作系统，包括但不限于麒麟V10×龙芯、麒麟V10×龙芯LoongArch、麒麟V10×飞腾、麒麟V10×鲲鹏、麒麟V10×兆芯、麒麟V10×海光、麒麟V10×海思麒麟；统信V20×龙芯（3A3000、3A4000）、统信V20×龙芯（3A5000）、统信V20×飞腾、统信V20×鲲鹏、统信V20×海光、统信V20×兆芯等。终端管理具有不同平台的终端同时在线，管理员可分别设置可同时在线的PC或移动终端个数，配置范围不小于0-1000，当超过终端个数时，可以注销最早登录的终端，且被注销的终端有对应的注销提醒；管理员可设置允许终端在线数为0，以禁止用户通过此类终端接入访问。为了保障医院老师认证安全与便捷性的平衡，需具有设置授信终端绑定，具有配置绑定授信终端的可信网络区域、增强认证条件；并可限定用户可绑定的授信终端数量：具有用户满足单一条件或多个条件后自助绑定，可配置条件包括但不限于网络区域、终端资产标签、终端标签类型等，最多可配置条件数不得少于3条。身份认证认证方式为满足医院后续多样化安全便捷认证需求，具有以下认证方式：本地账号密码认证、LDAP/AD认证、OAuth2.0标准协议的票据认证、CAS标准协议的票据认证、Radius账号认证、HTTPS帐号认证、证书主认证、证书辅认证、短信主认证、短信辅认证、标准Radius令牌认证、第三方令牌认证、TOTP动态令牌认证等认证方式，并可与企业微信、阿里钉钉、飞书结合实现扫码认证，具有飞书用户或个人微信企业号通过H5接入。其中短信认证具有配置HTTPS短信网关、腾讯云短信网关、阿里云短信网关及Socket短信网关等网关类型。免辅助认证支持免辅助认证。用户勾选信任浏览器后，在该浏览器下有效期内不需要进行辅助认证。有效期时长可设置1-90天。自适应认证支持在满足以下条件时，可自动拉起客户端并自动登录，可配置的条件包括但不限于：授信终端、Windows域环境、自定义网络环境等。支持在满足以下条件时，免除二次认证，可配置的条件包括但不限于：授信终端、Windows域环境、自定义网络环境等。支持在发现异常环境时，自动进行增强认证，可配置的异常环境包括但不限于：帐号首次登录、帐号在该终端首次登录、闲置帐号登录、弱密码登录、异常时间登录、非常用地点登录等。单点登录支持与企业微信、钉钉等主流超级APP对接，实现与在企业微信或钉钉工作台上发布的H5微应用单点登录。用户管理外部用户管理支持与第三方用户管理服务器对接，包括但不限于LDAP用户目录、AD域用户目录、企业微信用户目录、钉钉用户目录等，可配置的属性包括但不限于：用户过滤、用户名、外部ID、组织架构、所属角色、帐号状态、有效期、手机号码、电子邮箱等。批量导入/导出支持按表格模板批量导入/导出本地用户和组织架构，支持通过手动/自动方式批量同步外部用户，可设置自动同步的时间间隔。访问安全动态访问控制支持动态访问控制策略，可根据用户、应用配置规则使用范围，可基于Windows、macOS、Linux、iOS、Android、麒麟、统信等操作系统单独配置策略。产品支持基于身份化实现动态访问控制，不仅在登陆时进行评估，而且在业务访问期间，持续、自适应地动态评估安全，实时地调整访问控制权限。处置动作包括阻止访问、注销登录、锁定账号等，可基于处置动作自定义提示语，支持短信增强认证、告警灰度处置方式，可配置处置有效时长。动态上线准入支持动态上线准入策略，可指定适用用户范围和排除用户，可基于Windows、macOS、Linux、iOS、Android、麒麟、统信等操作系统单独配置策略。支持“与”、“或”条件嵌套，可通过单一条件或条件组的进行策略配置，条件变量包括但不限于：终端名称、MAC地址、终端本地IP列表、操作系统版本、终端资产类型、终端标签类型、存在指定文件、操作系统安装的补丁、运行进程、运行指定杀毒软件、运行任一杀毒软件、零信任客户端版本、安装指定软件、开启系统防火墙、用户接入城市、用户登录国家、用户登录时间、弱密码、授信终端、授信域环境、闲置帐号、帐号首次登录、帐号在该终端首次登录、异常时间登录、非常用地点登录等。处置动作包括注销登录，可基于处置动作自定义提示语，支持短信增强认证、告警灰度处置方式，可配置处置有效时长。安全特性服务隐身为了最大程度缩小网络、业务暴露面，零信任平台需提供单包授权能力（SPA），具有UDP+TCP组合的单包授权技术，未授权用户无法连接零信任设备，无法扫描到服务端口，不会出现敲门放大漏洞。虚拟专线针对Windows系统用户，具有配置虚拟专线功能，当用户登录零信任客户端之后，自动断开互联网连接，避免互联网威胁影响内网业务系统；具有通过桌面悬浮球的方式，用户可一键切换内网或互联网。虚拟IP支持虚拟IP，可以通过虚拟IP访问后端业务系统，虚拟IP支持共享模式和独享模式，以配合其他对IP有要求的安全设备工作，以及便于流量分析类设备进行流量分析。审计能力具有全面的日志记录具有用户安全日志提取，审计中心应将具有异常登录行为的用户日志自动打标签为用户安全日志，以便于管理员快速审计定位。用户安全日志包括但不限于：帐号安全（应包含帐号首次登录、异常时间登录、非常用地点登录、弱密码登录、爆破登录、闲置帐号登录、帐号在新终端登录等）、中间人攻击、SPA安全（应包含SPA端口扫描、SPA爆破攻击、SPA敲门伪造、SPA重放攻击、SPA安全码泄漏等）、cookie劫持等。设备安全防爆破具有配置同名用户连续登录错误超过上限时锁定账号，并于指定时长后自动恢复，具有配置同IP用户连续登录错误超过上限时锁定IP，并于指定时长后自动恢复。防机器人防机器人输入，提供强安全性的点击图像校验码机制，图形校验码具有中文和英文。终端安全终端安全一体化为保证最大化安全效果，支持与医院现网中的上网行为管理设备进行协同联动，实现终端安全一体化。支持一次操作完成现网中准入系统和零信任客户端的组件安装，并只显示一个托盘图标，对用户安装部署、运维提供便捷性；远程办公时，可联动医院现网的终端安全系统在登录前进行检测，未检测通过无法登录；不符合的检测项可以一键修改和查看修复指引。支持端控安全环境检测、免端流量环境监测，对医院现网的终端安全系统安装情况进行检查、对未装端的用户进行隔离及修复处置。运维管理终端诊断提供终端诊断工具，支持对终端的基本环境进行扫描和一键修复，诊断内容应包括但不限于：WindowsTemp目录可写状态、DNS驱动状态、零信任服务运行状态、零信任http服务检测状态、关键控件完整性检测、可疑病毒驱动检测、是否启动IE代理、是否启动IE自动代理脚本、虚拟网卡状态、虚拟网卡注册表、Hiworld病毒检测、IE的TLS1.01.11.2协议启用状态、客户端系统兼容性、零信任客户端系统依赖库返回情况、零信任核心文件返回情况、系统防火墙规则、本地DNS列表、终端系统本地时间等。终端日志收集支持用户在客户端自助进行日志收集，管理员可远程获取在线终端的日志。（2）零信任安全代理网关指标指标项技术参数要求代理网关要求硬件规格要求规格：2U，内存大小≥16G，硬盘容量≥240GSSD，电源：冗余电源，接口≥6千兆电口+4千兆光口SFP+2万兆光口SFP+。性能要求加密流量≥750Mbps，并发用户数≥7500个，https并发连接数≥120000个，https新建连接数≥730个/秒。设备部署网络部署为了满足灵活部署的要求，代理网关应支持IPV4/IPV6双栈网络IP配置，可自主选择配置LAN口或WAN口。为了保护设备的安全，可支持默认限制所有IP通过WAN口访问系统，支持通过配置IP白名单的方式来放通WAN口接入的特殊需求。端口聚合为充分利用设备的网络性能，代理网关部署时具有配置聚合网口，并具有将聚合网口作为代理网关的网络部署IP。聚合网口具有通过哈希或802.3ad等标准对闲置网口进行网口绑定，具有通过ARP探测机制对聚合网口进行健康检查。本地集群部署为了提高系统可靠性，保障单台设备故障时系统仍可正常运行，控制中心应支持本地集群部署，且最少2台设备即可组建集群，单集群的最大节点数量不得少于4台；本地集群组建时，集群中的节点可承载工作负载功能，不需要依赖其它外置设备。设备安全防爆破支持配置同IP用户连续登录错误超过上限时锁定IP，并于指定时长后自动恢复。防机器人防机器人输入，提供强安全性的点击图像校验码机制。设备健康检查设备巡检报告为方便管理员统筹查看管理代理网关的整体运行状态，支持对设备自身的安全状态和策略配置进行巡检，对设备的整体状态进行打分，统计所有检查的正常项、异常项和告警项，并输出巡检报告；支持在设备上查看及下载巡检报告；报告应至少包含检测项、检查状态、存在的问题描述、建议改进措施等。设备稳定性检查为保证设备稳定性，支持设备进行健康检查，包括但不限于：应支持系统黑匣子及核心进程的状态检测；应支持CPU负载、内存负载、磁盘空间、网卡健康、硬盘健康、网卡日志、BIOS固件等硬件相关状态的检测；应支持软件版本及补丁修复状态等检测。API防护检查包括但不限于：支持API接口爆破检查；支持API接口越权调用；支持API接口扫描；支持APIWebShell攻击。安全保护支持VPN安全功能自身安全保护，包括：安全运行、失败保护、输出VPN安全功能数据的可用性、保密性和完整性，VPN安全功能数据传输、物理安全保护、可信恢复等机制。资质要求产品资质为证明所投产品的自身安全性，应具备国家安全众测无漏洞证明文件3.6物联网安全监测与审计平台指标指标项技术参数要求基本要求接口配置2U，≥6个10/100/1000自适应电口，≥4个10/100/1000自适应光口，冗余电源，≥2个扩展槽位，IoT终端接入数：≥3000个；IoT虚拟应用数：≥4个；IPC摄像头接入数（4M码流）：≥700路；整机吞吐量：≥20Gbps；加解密吞吐量：≥3Gbps。系统要求提供针对物联网资产/IT资产的精准识别、安全准入、非法外联、行为分析、链路加密、访问控制、漏洞扫描等功能。产品设计信息安全设备、系统软件的开发、生产符合TL9000-HSV标准。功能要求安全通道支持设备间数据通道加密，支持网关、总部之间的全加密互联，点到点，点到多点的安全VPN隧道连接。国密支持支持国密SM1、2、3、4算法。节点识别基于终端节点业务数据特征或用户自定义规则进行节点识别，能识别大量物联网通用协议。支持终端指纹学习，行为学习，生成终端设备指纹。支持识别物联网设备类型、厂商、操作系统、开放服务等。识别技术：支持识别设备特征，支持自动学习、发现新添加设备。资产识别支持对物联网终端的探测识别，标注资产地址，指纹信息等其它关联信息，指纹信息包括物联网终端的数据流量、流向、协议、IP、MAC、业务类型等信息。终端探测支持主动探测物联网终端并对其进行流量分析，主动探测可设定目标IP、扫描级别以及扫描周期。自动上线网关上线无需额外现场操作，上电后自动注册到云平台获得对应的网络安全配置策略。业务识别基于业务数据流的物联网业务识别。访问控制基于五元组和物联网业务特征的数据访问控制。入侵检测支持入侵检测引擎，入侵检测类别应包含拒绝服务类、溢出攻击类、网络扫描类、HTTP攻击类、WEBCGI攻击类、系统漏洞类、木马类等，且各类别支持分别支持启停设置。基线功能支持行为基线功能，对接入设备特征进行建模。支持对终端传输数据进行分析、记录、统计，对异常告警，包含通讯端口、协议、通讯包结构、服务名称、应用软件、版本号等具体信息。支持仿冒检测，根据设备指纹基线下发白名单安全策略。支持非法外联检测功能。终端准入支持物联网终端的可信准入，管理员可配置准入规则，满足条件的设备才能自动接入网络，可对终端配置做出基于IP，MAC地址等认证策略。设备策略支持全局策略、策略组以及私有设备策略。智能选路支持网关间隧道的智能选路，根据用户需要，选择最小跳数、最优时延等方式进行传输路径规划，保证在网络状况发生变化时仍能获得最优的传输效果。风险检测产品支持对物联网终端的安全漏洞进行安全扫描，支持拒绝服务漏洞、缓冲区溢出漏洞、权限绕过漏洞等类型的终端漏洞检测。支持风险端口发现功能。支持威胁情报。支持弱口令发现功能，弱口令扫描协议至少包含ssh、telnet、http、ftp、mysql、oracle、redis、svn方式。支持漏洞库、弱口令库、入侵防御库、威胁情报库的离线升级。入网审批支持物联网新设备接入告警，当新入网终端接入网络时，管理员可根据物联网资产审批列表进行审核，审核通过后才能接入网络。远程更新支持通过安全管理平台，自定义物联网终端的指纹特征，支持物联网终端指纹库的动态更新。物联网协议解析支持各类物联网协议，例如：MQTT、COAP、ModbusTPC等，并能够在平台侧根据网关状态逐台显示对应物联网流量分类信息。日志上传支持日志上传，可将日志上传日志信息至安全管理平台，并生成可视化综合物联网态势管理平台信息。3.7杀毒软件指标指标项技术参数要求平台环境要求控制中心要求控制中心支持级联方式和单一部署两种方式，控制中心根据客户端点数的增加支持横向扩展，操作系统支持WindowsServer2008R2/2012/2012R2/2016的64位版本（简体中文版）；支持CentOS7、Redhat7等Linux系统；控制中心支持安装在虚拟机上。客户端要求操作系统：WindowsXP_SP3及以上/WindowsVista/Windows7/Windows8/Windows10；WindowsServer2008/WindowsServer2012/WindowsServer2016/WindowsServer2019。基础功能终端许可管理配置2500个PC终端授权管理，配置病毒防护、补丁管理、主机防火墙、终端管控功能模块；配置400个服务器终端授权管理，配置病毒防护、补丁管理、主机防火墙功能模块。语言要求产品全功能支持简体中文/繁体中体/英语自由切换。控制中心管理支持自动分组，按IP地址、CPU数量、MEM容量、主机名、计算机工作组等参数进行自动动态调整分组。支持终端用户和管理员是一套账号管理系统，简化账号管理复杂度，一个账号解决所有身份认证，既可以用于终端登录，也可以用于管理管理中心。客户端主程序、病毒库版本支持按分组和多批次进行灰度更新，保持在低风险中完成终端能力更新。支持设置不同终端类型设置和每批次观察时长。当检测到新版本将从第一批次重新观察。防病毒防护黑白名单支持通过文件数字签名添加黑白名单管理。病毒扫描支持对终端当扫描到感染型病毒、顽固木马时，自动进入深度查模式，可设置禁止终端用户管理路径或文件白名单、禁止终端用户管理扩展名白名单、扫描时不允许终端用户暂停或停止扫描任务。支持对压缩包内的病毒扫描，支持多层压缩包的扫描，可自定义配置压缩包的扫描层数，至少大约10层模式下的扫描。主动防御支持对进程防护、注册表防护、驱动防护、U盘安全防护、邮件防护、下载防护、IM防护、局域网文件防护、网页安全防护、勒索软件防护。网络防护支持自动阻止远程登录行为，防护黑客远程爆破和拦截恶意的远程登录。支持防护对流出本机的网络包数据和行为进行检测，根据策略在网络层拦截后门攻击、C2连接等威胁。杀毒引擎支持不少于三个杀毒引擎混合使用，提高病毒检出率。系统防护XP防护支持针对WindowsXP系统可带来安全隐患的设计机制进行加固性修复，支持远程漏洞攻击防护、本地钓鱼攻击防护和浏览器漏洞攻击防护。WIN7防护支持针对Windows7系统可带来安全隐患的设计机制进行加固性修复，支持远程漏洞攻击防护、本地钓鱼攻击防护和浏览器漏洞攻击防护。补丁管理补丁类型支持对Windows操作系统、IE、.NETFramework、Office、AdobeFlashPlayer、AdobeAcrobat和AdobeAcrobatReaderDC、硬件驱动更新等软件进行补丁修复。补丁语言补丁语言种类需支持中文，繁体中文，英文。灰度发布支持管理员预先设置好灰度发布批次和漏洞修复策略（分时间段、按级别、排除有兼容性问题的补丁等），每当控制台更新补丁库，自动化编排完成漏洞修复——将全网终端划分为由小到大的多个批次，根据企业环境，自动先推送给第一个小批次分组，如无问题自动推送给下一个批次，直到推送给全网。如有问题，只需将有问题的补丁添加到排除列表和卸载已安装的终端即可。整个推送安装过程自动化编排，无需管理员过多参与，只需在有问题时添加排除列表和下发卸载补丁任务。漏洞修复设置支持开启自动修复漏洞，包括开机时修复，并支持随机延迟执行、间隔修复和按时间段修复，可设置延迟时间、间隔修复时间和修复时间段。补丁日志支持按照补丁的维度统计补丁安装情况，包括补丁号、系统类型、补丁类型、补丁级别、补丁名称、补丁描述、发布日期、漏洞CVE编号、漏洞CNNVD编号、未安装、已安装、已安装未生效、已排除、未更新补丁库。并支持导出统计报表。防火墙主机防火墙支持主机防火墙功能，通过添加IP、域名规则、支持允许/拒绝规则、支持任意流向拦截和允许，支持TCP、UDP、TCP+UDP、ICMP、多播和组播，支持自定义端口范围，支持自定义目标IP，支持输入IP范围。支持根据需要来设置是否接管系统防火墙，支持根据规则的重要程度设置规则的优先级。支持展示防火墙上报日志，展示终端基础信息、拦截规则名称、拦截时间、操作、协议、源地址，目的IP/域名、源端口、目的端口。为了避免规则过大，导致日志上报造成网络堵塞或撑满服务器，支持设置日志上报频率。终端管控外设管理支持对终端各种外设（USB存储、硬盘、存储卡、光驱、打印机、扫描仪、摄像头、手机、平板等）、接口（USB口、串口、并口、1394、PCMIA）设置使用权限，并支持生效时间设置。支持对外设进行多维度的放行，包括设备名称、PID/VID、实例路径，通过添加实现例外或加黑。知识库支持统计终端的出口地址列表，搜集终端连接的无线信号信息统一展示，标识出ssid可连通互联网，可连通服务器的情况，汇总展示内网终端上报的进程信息，支持设置进程匹配规则，其它业务可直接调用创建好的进程规则或者进程分组。违规外联支持对互联网出口地址探测，支持对违规的互联网出口进行发现、断开网络、终端锁屏、断网+锁屏处理。支持例外白名单添加。能耗管理支持对终端节能管理，支持对长时间运行、定时关机、空闲节能、工作时间外开机等节能类型设定策略，支持仅提示、关机、注销、锁定、关闭显示器、锁定+关闭显示器、休眠和睡眠处理；支持提示倒计时弹窗，可设置在终端取消后下一次提醒时间。网络防护支持对网卡进行防护，支持阻止终端修改IP地址、使用动态IP地址、热点创建和IPV6地址使用等，可自定义提示内容和生效时间。其他测试验证中标后三个工作日内提供三年原厂商质保服务承诺函。中标后将对上述功能要求进行逐一测试验证，测试中发现虚假应标的行为的，采购人保留追究相关法律责任的权利。3.8主机加固指标指标项技术参数要求操作系统兼容性客户端X86、X64WindowsServer2003sp2/R2x86/x64；WindowsServer2008sp1及以上/R2x86/x64；WindowsServer2012~2019sp1及以上/R2x86/x64；CentOs5.0及以上x86/x64；RHEL5.5及以上x86/x64；Ubuntu14.04及以上x86/x64；SUSE11及以上版本x86/x64。ARMKylinLinux4.18.0-147；Deepin-4.19.0-arm64-server_1707/1813。配置配置要求配置40个服务器端授权，三年软件更新服务安全产品安全机制支持自我防护技术，即使客户端被意外关闭，防护依然有效；管理控制中心登录除支持账号密码认证之外，应默认使用验证码混合校验登录，同时提供可选OTP令牌认证增强登录安全性。资产管理主机资产信息全局展示与搜索支持全量资产的关键字及语法搜索，支持检索的语法包括但不限于：服务器资产类、进程资产类、账号资产类、软件应用类、web资产类、web服务类、web框架、数据库类、端口资产类、网络连接类、启动服务类、安装包类、计划任务类、环境变量类、内核类、类库资产类、注册表类、证书资产类进行检索；支持统一入口查看Windows/Linux系统资产，不应将Windows、Linux系统资产分菜单展示。网络连接支持以列表的形式，统一列出Windows/Linux服务器的进程连接资产，并可查看进程名称、协议、IP地址、源端口、目标端口、目标IP、连接状态、同步时间等信息。启动服务支持以列表的形式，统一列出Windows/Linux服务器的启动服务或启动项，并可查看服务名/启动项名、启动状态、服务描述、脚本路径、启动类型、文件公司名、文件MD5等信息。主机发现可通过自动、手动的任务设置，对局域网内服务器的服务器进行扫描（支持ARP、Ping、Nmap扫描方式，并支持离线分析），并自动获取服务器相关信息，包括MAC地址、设备类型、未知主机IP、操作系统、发现方式、首次发现时间等信息。行为管理服务行为学习每台服务器的网络外连行为、命令执行行为、文件创建行为，并形成图形化的时间轴行为基线，对于偏离行为以外的动作进行告警。应用白名单支持对一台或一组服务器进行白名单学习策略，并可设置学习时长，学习后可形成应用列表及HASH值，对偏离学习列表以外的应用进行告警和拦截。微隔离外连白名单支持对服务器的进程外连控制进行规则设置，包括但不限于：禁止/允许进程外连外网、禁止/允许进程外连内网，并支持进程白名单和例外进程的设置。应急响应支持对主机进行一键隔离、一键禁止暴露外网、一键禁止暴露内网等快速应急操作。进程学习、网络连接学习应支持对服务器进程、端口的网络连接情况进行学习，通过学习生成白名单实现对非白名单内的IP流量进行监控阻断。风险发现风险账户及弱口令检测支持对服务器中的风险账户进行检测，发现可能存在的风险账号，并可对风险账号进行标记修复、加白等操作；对服务器进行弱口令扫描，提供系统级、数据库、中间件等应用级弱口令扫描，并可对扫描的结果进行修复验证操作；支持对服务器中复用的相同密码进行检测，可识别出某个密码被哪些服务器、哪个账户、哪个应用、哪个版本进行了复用。病毒查杀可对服务器杀毒引擎进行综合的设置，支持本地查杀、控制中心查杀的设置与切换，并可对某台服务器的查杀规则进行详细设置；支持病毒实时防护功能，提供自主研发的病毒引擎，产品自研引擎需具有丰富的格式识别和解析能力、支持PE和非PE病毒查杀，可完美修复被感染文件、能检测近十年的高危漏洞。威胁监测威胁总览支持在事件列表的详情中，查看事件的基础信息、检测说明、动态攻击路径信息、资产等信息，并可在详情中以前后翻页的形式连续查看事件；支持以发现时间（时间段、自定义）、威胁等级、处置状态、事件ID、攻击IP、受害IP等全事件字段进行事件检索查询；支持对威胁进行日志调查，包括：攻击者IP、受害者IP、进程主体等，并可自动跳转至日志分析界面进行调查。异常登录支持以违规登录视角对异常登录行为进行监控及告警，并可查看违规登录的账号、来源IP、登录区域、服务器IP、操作系统等信息，并可进行登陆规则策略的设置和告警设置；支持以可疑登录的视角对可疑登录行为进行监控，包括登录IP、发现时间等信息，并可创建可疑登录的监控规则和例外规则。恶意扫描支持以攻击者视角、受害者视角展示恶意扫描的事件；支持告警列表展示，包括：服务器名称、负责人、所属部门、操作地址、最近发生时间、受害IP、攻击IP等信息，并可将事件加入黑名单或白名单；可对受害的IP进行防端口扫描、屏蔽扫描器等设置。webshell支持以多种检测方式（RASP、实时监控、本地扫描、特征规则、沙箱运行、动态脚本沙箱）检测webshell攻击；支持速度优先、性能优先两种模式检测Webshell，可在高速扫描（高性能）/低速扫（低功耗）描之间进行选择，满足多种服务器扫描场景。反弹shell支持查看反弹shell的详情，包括基本信息、连接进程信息、命令行信息，并以图形化的形式展示进程树信息，用于反弹shell的详细溯源。本地提权支持对提权行为的事件进行监控及检测，并对提权事件进行进程阻断、加白等处置方式；支持查看提权的详情，并以图形化的形式展示提权进程树信息，用于本地提权的溯源。无文件攻击支持实时监控服务器上发生的无文件攻击（漏洞型攻击、灰色工具型攻击、潜伏型攻击）事件，并对无文件攻击事件进行加白、标记处置等操作。OOB带外攻击支持OOB带外攻击检测，并支持黑域名的添加与同步。RCE利用基于行为分析，检测对外服务的远程命令执行漏洞利用行为，实现实时告警和追溯。应用运行时防护RASP支持RASP（应用运行时自防护），可通过将脚本解析器语言注入到ASP、PHP、Java语言中，并细粒度的监控应用脚本行为及函数调用上下文信息，对上下文信息进行分析判断，及时发现恶意代码和漏洞利用行为。In-appWAF支持通过插件的方式，工作于IIS、Apache、Nginx等web中间件内部，通过判断流量特征和WAF规则引擎，对访问流量进行监控或防护，阻断SQL注入、XSS、漏洞利用等Web攻击。分析中心日志分析记录当前所有服务器产生的事件日志，并支持全量日志的关键字及语法搜索，支持检索的语法包括但不限于：服务器相关参数、访问主体相关参数、网络相关参数、操作相关参数、客体相关参数、登陆日志相关参数等进行检索，并支持返回上次筛选的关键词（至少可返回不少于5个）；支持以柱状图的形式展示某段时间内的日志数量，并在柱状图下方展示具体的日志事件，并在日志上方以标签形式展示服务器名称、IP地址、日志类型、日志等级、拦截状态等信息；可查看某条日志的具体攻击全路径。安全防护文件监控与防护应提供文件防篡改的能力，支持对指定目录、指定文件的读取、写入、重命名、删除、执行、创建、链接等操作行为进行监控和防护；支持例外进程、例外路径进行防篡改白名单设置。操作系统加固应提供对操作系统加固能力，针对修改系统可执行文件/引导文件/系统服务/注册表、创建autorun.inf/lpk.dll/usp10.dll等高风险文件、添加系统用户/加载非法驱动/劫持系统引导启动/窃取系统内存密码等高危操作进行加固拦截；加固支持对进程、文件加白，支持开监控模式。网络防护防端口扫描支持防端口扫描功能，且可设置单个IP请求时间范围、最大扫描端口数量、IP锁定事件等信息；所投产品需支持微蜜罐功能，且可设置返回文本信息以及监听端口。安全防护AGENT管理支持对Agent进