医院信息安全服务项目需求说明

XX医院信息安全服务项目需求说明

一、安全区域边界防护服务

服务项服务需求

服务工具需采用多核网络专用架构，使用64位MIPS多核处里器，

非X86多核架构或ASIC架构。

标准1U专用千兆硬件平台，内置交流双电源，硬盘2500G。

12*GE电口，12*SFP光口；支持千兆接口总数224个。

服务工具指

服务工具最大吞吐量28Gbps,HTTP吞吐量24.7Gbps,IPS吞

标

吐量21Gbps,AV吞吐量2800Mbps,IPS“VPN性能21.2Gbps,

最大并发连接数力300万，每秒新建连接数N10万，IPSecVPN

隧道数21024,SSLVPN接入数21500。

支持4G接入，并可实现4G连接与有线链路之间的互为备份。

支持标准IPsecVPN和快速IPsecVPN,标准IPsecVPN认证方式

包括但不限于国密认证、数字证书和预共享密钥；同品牌设备快

VPN服务

速IPsecVPN对接时加密算法等参数无需配置，自动生成，仅需配

置保护子网、共享密钥、IP地址。

支持基于多元组的访问控制；并提供智能策略分析功能，支持策

控制策略服略命中分析、隐藏策略分析、冗余策略分析、冲突策略分析、可

务合并策略分析、过期策略发现、空策略发现、策略宽松度分析，

并在web页面显示分析结果。

支持自定义IPS特征，至少支持IP、UDP、TCP、ICMP、HTTP、FTP、

POP3、SMTP等协议自定义入侵攻击特征；可拓展协议字段，设置

入侵防御服数据包中的匹配内容；支持选择包含、等于、不等于、大于、正

务则匹配等匹配方式；可选择多种匹配条件，支持设置“与”和“或”

的匹配顺序；支持设置检测方向，包括双向、客户端方向和服务

端方向；支持自定义选择重要等级。

非法外联防支持非法外联学习和防护特性，可有效保障服务器安全，可定义

护服务外联白名单地址和端口；支持通过流量自学习获得服务器合法的

外联行为，检测流量中的异常访问流量，实现自动拦截；学习时

长可选择1小时、12小时、一天、一周等。

拥有自有威胁情报数据来源，每日可获得不低于6亿次的互联网

访问样本。并提供在设备端上的全网威胁情报的搜索查询；提供

威胁情报服

最新的热点威胁事件并提供配置向导协助管理员生成防护规则：

务

支持对内网进行威胁情报安全分析，并支持跳转到威胁情报云平

台查看详细的威胁情报内容。支持配置2个威胁情报云平台。

支持勒索病毒检测与防御功能，为保障勒索病毒的防御效果，所

投产品必须提供具备CMA（中国国家认证认可监督管理委员会）、

CNAS（中国合格评定国家认可委员会）认证的第三方权威机构关

于“勒索软件通信防护”功能项的产品检测报告；或提供现场演

示环境以证明此项功能满足业务需求。

支持主动诱捕功能，通过伪装业务诱捕内外网的攻击行为，并联

合云蜜罐获取黑客指纹信息，并自动封锁高危IP。（提供功能截

图证明并加盖厂商公章，并提供公安部计算机信息系统安全产品

质量监督检验中心、中国信息安全测评中心、中华人民共和国国

家版权局、公安部信息安全产品检测中心之中任意一家检测机构

出具关于“云蜜罐”的证书或检测报告）。

具备基于国家/地区的流量管理功能，提供具备CNAS（中国合格

评定国家认可委员会）资质的第三方权威机构关于“国家/地区的

流量管理”产品功能检测报告。

支持通过微信方式，实现周期性发送安全报告，包括日报、周报、

安全监测月报，报告包含但不限于业务态势得分，脆弱性概况、攻击防御、

主机风险等。

支持Web认证、Portal认证、短信认证、免认证、微信认证、混

身份认证服

合认证、AD域单点登录、访客二维码认证、APP认证和钉钉认证

务

等。

产品服务资具备中国信息安全认证中心颁发的《中国国家信息安全产品认证

2

质证书（增强级）》。

具备中国国家版权局颁布的《计算机软件著作权证书》。

具备全球IPv6测试中颁布的《IPv6ReadyPhase2证书》。

二、网站监测服务

服务项服务需求

要求监测、防御平台为一体化平台，应同时具备监测列表与配置、

服务平台要

漏洞、弱口令、安全事件、内容监测查询等，在重保期间可将重点

求

业务系统接入云防护系统进行应急防护。

系统基于云架构，无需本地部署任何软设备，通过云端可以直接进

服务方式

行监控、管理。

监测服务首页包含威胁总数、WEB漏洞、主机漏洞、安全事件、弱

口令等维度，并可独立展示安全趋势和WEB漏洞类型分布。

首页统计支持展示安全问题站点T0P10,包含问题总数、漏洞数（紧急、高

危、中危、低危）、安全事件数（暗链、敏感信息、挂马、其他）

等。

安全事件监测；支持黑链、黑页、wcbshcll,网页挂马、JS挖矿

脚本、图片篡改等安全事件的监测和查询，并进行专家审核；支持

对黑链、webshell等保留取证截图，方面用户确认及处置。

可用性监测：监测网站服务是否中断或报错、是否存在线路异常；

支持IPv6站点。

网站内容监测：支持网站内容监测，支持对政治、反动、不文明用

监测服务

语、暴恐类、低质灌水等敏感内容进行检测，支持敏感内容自定义；

支持错别字监测，支持错别字自定义设置。支持深度页面监测，检

测层数至少20层。

漏洞检测维度：漏洞检测查询包含检测站点、URL、漏洞、漏洞等

级、专家审核时间、最新更新时间、P0C、修复状态、操作等详细

信息C

3

的补充功能，更精准地挖掘出网站存在的问题与风险。

提供访问日志记录与查询功能，可根据域名、URL、客户端IP、返

安全审计服

回码、访问区域、访问时间段进行查询，查询后的日志数据可导出

务

Excel文件。

支持单个网站生成报表，也支持网站群生成一个汇总报表，支持日

报表要求

报、月报，并支持hlml、word格式导出。

移动端便捷通过微信公众号查看网站整体防护态势，包含受攻击域名排行、攻

管理服务击类型排行、攻击IP排行、攻击区域分布等状态信息。

服务能力证具有G20峰会、世界互联网大会、上合组织峰会、一带一路等国际

明峰会官网云防护安保案例，提供官方感谢信或证明文件。

获得中国软件行业协会颁发的“2017创新云服务平台”资质。

获得公安部计算机信息系统安全专用产品网站云安全防御产品销

服务资质

售许可证。

获得计算机软件著作权登记证书。

四、服务器安全加固服务

服务项服务需求

服务能力350台服务器主机安全加固服务。

支持当前待处理高危风险展示，包括弱口令、待处理病毒、待处

全网风险可理漏洞数据，并支持一键跳转到对应处理页面；

视支持查看当前top5风险资产、top5威胁ip、top5威胁区

域。

系统性能监支持对CPU、内存、磁盘读写、网络上卜行流量达到配置阈值时

控服务告警。支持对CPU、内存达到一定阈值时客户端进行熔断。

支持自动收集终端资产：监听端口、运行程序、账号、软件、启

资产指纹服

动项等信息，并支持从资产的维度和信息的维度去查看数据，支

务

持数据的导出。

高级威胁防支持对本机的扩展行为（信息收集、权限提升）进行监测，防止

5

护服务提权行为和信息泄露。

识别渗透过程中的隧道代理（端口映射、端口转发、内网代理），

可阻断隧道代理搭建行为。

对失陷后主机远控持久化行为进行检测（反弹Shel1、远程控制），

可阻断远控。

对内网为恶意攻击行为进行识别〔漏洞利用、横向移动），可阻

断恶意探测行为。

可对渗透的收尾阶段的数据清除行为进行识别和阻断。

支持防喘口扫描，锁定恶意的端口扫描，并记录告警。

违规外我支持黑、白名单双模式，白名单模式可配置是否允许访

问特定的网站和地址；黑名单模式可自定义恶意IP,支持黑名单

系统安全性

告警和阻断。

服务

支持登录防护，包括以系统账号为粒度的异常登录防护、支持五

个任意维度（任意IP,任意域名，任意计算机名，任意时间）的

系统登录访问策略设置。

支持多引擎设置.，包括默认引擎、深度扫描引擎。

针对晅ndows系统，提供内核级的数据防护能力，保护文件不被

恶意修改、加密等，可自定义配置保护的文件及目录，支持设置

例外进程。

提供专门的针对已知勒索病毒的防御引擎，并提供功能开关项。

对于已知勒索病毒确保进程无法启动。

防病毒服务

提供专门的针对未知勒索病毒的防御引擎，并提供功能开关项。

对于未知勒索病毒确保无法加密。同时支持白名单设置。

支持病毒立即处理，对于无法普通隔离的病毒文件进行处理并加

入隔离区，或动态移动到信任区。

支持部分病毒感染文件的修复功能，对于二进制文件可剥离感染

部分，保证应用正常使用。

文件推送支持下发文件、安装应用程序、远程执行命令。

屏幕水印功支持对屏幕拍照泄密数据的行为进行溯源。

6

能

能够通过统一的管理中心对多个服务器或主机进行监控。

支持通过web页面进行客户端推广部署，推广页面支持自定义。

支持对接本项目的下一代防火墙、内部威胁管理系统、安全运营

平台进行联动处理。管理员在现有的安全运营平台管理界面下发

集中管控服

一键隔离指令，对终端所有连接进行阻断，防止病毒进一步扩散，

务

并对对僵尸网络进行举证、溯源和联动查杀。

支持跳转链接至云端安全威胁响应系统，针对已发生的病毒为基

本信息，影响分析（客户情况、影响行业、区域分布）、威协分

析和处理建议等。

用户管理服支持自定义创建用户角色以及权限。至少支持以下帐号管理功

务能：帐号创建、帐号授权、帐号属性修改和帐号删除。

通过公安部检测获得网络版防病毒产品（一级品）销售许可证书。

具有IPv6论坛IPv6ReadyLogo委员会认证证书。

服务资质具有公安部信息安全产品检测中心检测销售许可证书。

服务产拈取得针对未知勒索病毒的精准识别与全网联动防护方

法和系统的专利，提供专利证明材料

五、APT攻击预警服务

服务项服务需求

软硬一体化2U标准机架式设备；电源：1+1冗余电源；CPU：4

核8线程*1；内存：32G；硬盘容量：2T*2,带RAID1,可用磁

服务工具要盘空间不小于2T；接口数量：标配10个；接口类型：千兆RJ45

求网口*2（管理口*2）、千兆RJ45网口*4、千兆业务SFP光口*4（标

配千兆多模光模块*2）；接口扩展：（千兆RJ45网口*4+千兆

SFP光口*4）或万兆SFP光口*2或万兆SFP光口*4。

全流量检测支持全流量检测，可根据需求打开或关闭全流量检测功能。

7

服务

支持风险数据包保存功能，以帮助用户还原攻击过程，进行取证

和关联分析；并支持系统内置wireshark组件预览风险数据包。

支持解析HTTP、FTP、SMTP、POP3、SMB、IMAP、DNS、HTTPS、SMTPS、

P0P3S、IMAPS>RADIUS>KRB5等协议报文（HTTPS、SMTPS、P0P3S、

[MAPS加密协议解析需要导入服务器私钥证书），并提供审计协

议类型的端口号配置，可根据需要变更端口号。

支持检测WEB攻击、恶意文件攻击、远程控制、WEB后门访问、

行为分圻、非法数据、DGA域名请求、SMB远程溢出攻击、弱口令、

拒绝服务攻击、隧道通信、暴力破解、挖矿、恶意工具利用、扫

描行为、漏洞利用、邮件社工攻击、ARP欺骗、密码明文形式传

输等U

攻击检测服支持文件白名单、发件人邮箱白名单、发件人域名白名单、黑域

务名白名单、黑IP白名单、域名白名单、客户端IP白名单、服务

端IP白名单、WEB特征风险白名曲、IDS规则白名单的配置。

支持对HTTP、IMAP、SMTP、POP3、Telnet、FTP等协议的弱口令

检测。

支持自定义启用/禁用暴力破解模型；并支持自定义配置模型统计

周期、登录次数、聚合维度等参数。

支持自定义启用/禁用拒绝服务攻击模型；并支持自定义配置模型

统计周期、单包长度阈值、统计周期内包数量阈值等参数。

支持WEB特征攻击风险白名单配置，白名单颗粒度可达到WEB特

征类别、WEB特征规则和HTTP方法。

支持沙箱逃逸检测，当恶意文件进行逃逸尝试，在沙箱报告中进

行体现。

支持对流量中的1P地址、端口等进行统计，快速识别未登记资产。

资产识别和可基于特定应用或服务对内部资产进行梳理（系统类型、IP、域

管理服务名、端口等），查看资产端口暴露情况，特别是以非标端口提供

的服务情况；可深入识别运行在资产上的中间件、应用、技术架

8

构的详细情况（类型、版本、服务名称等）。

敏感信息管支持自定义弱密码、暴力破解和密码明文形式传输等告警的密码

理服务查看权限。

支持大屏展示风险较为严重的事件，并进行攻击溯源，包括攻击

主机个数最多的情报事件T0P10、威胁情报告警类型分布、3D攻

击关系图、威胁活动（弱点探测、渗透入侵、获取权限、命令与

攻击溯源展

控制、数据盗取）：支持按IP搜索关联的攻击事件，包括攻击拓

示服务

扑图、攻击者基本信息、被攻击者信息、攻击过程（攻击过程列

表内容包括时间、攻击者、被攻击者、攻击链阶段、风险标签、

攻击次数）。

软件著作权证书。

服务产品资销售许可证（必须是APT安全监测类）o

质具备1SCCC增强级认证，提供证明材料。

具有IPv6ReadyLogo认证。

六、大数据安全运营服务

服务项服务需求

采用软硬件一体的形态。

CPU224核，内存2256GB,配置企业级存储磁盘总容量248TB

服务工具要（或磁盘可用容量240TB）；接口要求：千兆电口*4（可选万兆

求双口RJ45、千兆四口RJ45、万兆双口光纤等多种网络接口）。

处理性能：数据采集和处理性能210000EPS,每条数据大小＞1KB；

10亿数据关键字查询结果响应时间＜2秒。

应内置包括规则模型、关联模型、统计模型、情报模型、AI模型

等不少于5类安全分析模型；

安全分析服

安全分析模型支持自定义创建，可通过字段映射、静态值、模板、

务

表达式等多种方式自由定义分析模型的告警名称、威胁等级、告

警类型、攻击链、可选字段、告警描述、处置建议等内容；

9

支持对安全日志里200个以上字段进行任意形式的逻辑与或非形

式组合建模，字段包括但不限于应用协议、目的IP、目的主机名、

目的端口、目的用户名、数据流方向、情报T0C等，运算方式包

括但不限于等于、不等于、大于、小于、大于等于、小于等于、

属于、不属于、存在、不存在，并能根据组合方式自动生成运算

表达式,

支持自定义部署AI机器学习模型，允许用户选用的高级机冷学

习算法不少于4种，通过输入任意指标类数据进行模型训练，发

现异常行为并生成安全事件与告警，辅助用户发现潜在的安全风

险。

实现实体间网络互访关系的多级钻取，支持通过端口、协议、异

常访问类型，攻击链等过滤关联关系，支持通过一键溯源进行威

胁关系的自动拓展。

支持在告警详情中展示数据血缘关系，包括数据来源、原始日志、

规则模型及安全告警，支持下钻至原始日志和规则模型。

白名单生效时间设置包括长期生效和定期生效，定期生效时间支

持自定义配置生效时间和失效时间；白名单策略支持对最近7天

历史告警数据生效；可针对任意白名单策略进行启用或禁用；支

持查看白名单本日匹配次数。

支持挖矿专项检测页面，具备挖矿攻击事前、事中和事后全琏路

的检测分析能力，综合运用威胁情报、IPS特征规则和行为关联

分析技术，如检测发现文件传输［上传下载）阶段的异常，对挖

矿早期的准备动作即告警。

支持利用EBA技术进行资产的行为分析，对这些对象进行持续的

学习和行为画像构建，以基线画像的形式检测易于基线的异常行

为作为入口点，结合以降维、聚类、决策树为主的计算处理模型

发现异常用户/资产行为。共含有19种异常行为学习模型；并支

持用户对EBA基线进行自定义调整，优化模型。

10

要求态势感知产品能够显示防火墙、服务器主机安全威胁监测、

探针等设备状态，实现统一管理，包括上线、离线状态和数量。

外网探针：吞吐性能2500Mbps。接口：千兆电口26个。

内网探针：吞吐性能21Gbps。接口：千兆电口26个，千兆光口

>2个。

支持卫生专网异常流量高级检测功能，支持标准端口运行非标准

协议，非标准端口运行标准协议的异常流量检测，端口类型包括

3389、53、80/8080>21、69、443、25、110、143、22等。

支持DNS审计日志，主要用于平台dnsflow分析引擎进行安全分

析；HTTP审计日志，主要用于平台httpflow分析引擎进行安全

分析；SMB审计日志，主要用于平台SMBflow分析引擎进行安全

分析；同步SMTP、POP3、IMAP审计日志,主要用于平台Mailflow

流量采集分析引擎进行安全分析，同步AD域协议审计日志，主要用于平台

AD域分析引擎进行安全分析。

支持针对B/S架构应用抵御SQL注入、XSS、系统命令等注入型攻

击；支持跨站请求伪造CSRF攻击检测；支持对ASP,PHP,JSP等主

流脚本语言编写的wcbshcll后门脚本上传的检测；支持其他类型

的Web攻击，如文件包含，目录遍历，信息泄露攻击等的检测。

支持敏感数据泄密功能检测能力，支持敏感信息自定义，支持根

据文件类型和敏感关键字进行信息过滤。

要求与安全运营平台为同一品牌，支持安全运营平台对接入探针

的统升级，可展示当前所有接入探针的规则库日期、是否过期

等，并支持禁用指定探针的升级。

处置响应服支持前端拖拽式交互设计安全风险分析研判策略和联动响应剧

务本，支持多种策略编排动作，包括但不限于数据源、分析组件、

II

处置响应等，可自动判断策略编排是否合理并弹窗提示。

服务工具支持与不同品牌的网关类安全产品进行联动防护，防护

策略支持设置每次阻断不同时长生效时间，时间设置包括10分

钟，30分钟，6小时，24小时，72小时，7天，15天，30天，3

个月，永久阻断，支持将安全策略同步下发至多台联动设备；支

持查看封禁设备数、封禁IP数、自动封禁IP数、本日解禁IP

数、封禁订阅规则数、封禁SOAR剧本数，支持查看最近7天封

禁IP趋势及防护设备封禁IP分布；支持封禁策略批量删除、解

禁、导出。

支持立体、平面、球面等多种维度的网络实体关系透视，可在大

屏上展示不同实体的标签属性，包括但不限于DNS服务器、监管

单位、邮件服务器，黑客组织、WEB服务器等。

可视化安全

分析服务支持大屏轮播，支持不同视角展示全网安全态势，包括综合安全

态势、分支安全态势、安全事件态势、网络攻击态势、外连风险

态势、横向威胁态势、脆弱性态势、资产态势等态势。

支持每个用户配置个人专属的统一门户，可配置项包括门户名

称、应用名称、应用图标等。

支持通过流量无侵入式自动发现资产，支持发现终端、Web服务

器、DNS服务器、邮件服务器、FTP文件服务器等类型25种，其

中web服务器支持自动识别服务域名和服务站点名称。

支持工单举证信息一键溯源，工单处置人员可以直接定位到工单

安全应用和

关联的原始信息进行查看。

运营服务

安全运营服务包含但不限于资产识别与梳理、安全现状评估、漏

洞管理.、威胁管理、事件管理、应急响应等服务。要求投标方所

投服务供应商所提供的安全运营平台的平台能力和远程专家人

员服务能力需要符合Q/KXYCS009-2019《面向云计算的安全运营

中心能力要求》标准，获得云计算开源产业联盟和中国信息通信

12

研究院的认证。

为保障XX医院内外网核心业务安全，要求投标方所投服务供应商

为国家信息安全漏洞共享平台(CNVD)用户组成员，能够提供客观

的漏洞修复优先级指导，不能以漏洞危害等级作为唯一的修复优

先级排序依据。排序依据包含但不限于资产重要性、漏洞等级以

及威胁情报(漏洞被利用的可能怛)三个维度。

能对XX医院内外网进行安全威胁管理，实时监测网络安全状态，

对攻击事件自动化生成工单，及时进行分析与预警。攻击事件包

含境外黑客攻击事件、暴力破解攻击事件、持续攻击事件。安全

运营专家根据安全事件分析的结果以及处置方式，根据用户授权

情况按需对安全组件上的安全策略进行调整工作。

本次安全运营服务能够熟练使用本次项目的安全运营平台，通过

防火墙、内部威胁管理系统、服务器端威胁与检测系统、物轶网

安全网关实现安全事件等快速处置闭环。

服务工具支持一键巡检，一键检查项包含但不限于数据健康、探

针健康检查、大数据集群健康、Elasticsearch健康、实时流计

算引擎健康、管理服务健康、服务器节点健康等多种维度检查，

并能提供处置建议，一键导出各类服务的故障日志，包括但不限

一站式运维于Elasticsearch、Logstash＞Kafka＞实时计算引擎、操作系统

服务等。

支持自定义消息订阅，订阅方式包括机器人、短信、邮件、钉钉

等方式，消息类型包括告警通知、数据接入异常、系统资源使用

超限、系统组件状态异常、探针状态消息、联动设备状态异常、

系统配置异常、系统更新、日常运维等类型。

日志采集方式应支持但不仅限于Syslog、kafka、ftp＞部署代理

日志解析服

等4种方式。

务

三维关联分析；支持通过资产、安全知识库、弱点库三个维度分

13

析事件是否存在威胁，并形成关联事件。

通过在目标主机上安装Agent程序，支持监测目标主机的CPU利

用率、内存使用率、磁盘使用率、磁盘使用情况、流量等信息（提

供公安部计算机系统安全产品质量监督检验中心检测报告）。

资产拓扑支持按照实际的用户环境进行编辑发布并可以和资产

进行绑定，拓扑可以显示资产采集的事件数量被采集资产的状态

等信息。（提供公安部计算机系统安全产品质量监督检验中心检

测报告）

服务厂商资服务原厂商具备中国信息安全测评中心颁发的“国家信息安全测

质评信息安全服务资质证书，风险评估二级及以上。

七、网络安全制度体系建设

根据采购人网络安全管理的现状，按照最新等级保护标准要求以及采购人安

全管理需求进行差距分析，制定网络安全管理体系框架，明确管理方针、策略,

以及相应的规定、操作规程、业务流程和记录表单，从贴合实际业务流程的原则

出发，协助采购人编写管理制度文件，如：《运维管理规范》、《网络安全管理制

度》、《外来人员管理制度》、《信息化资产管理制度》、《数据备份安全手册》、《应

急响应预案》等，并针对已有的相关制度进行沟通和修订，确保所制定的文件的

适用性，满足网络安全管理需求以及各系统相应保护等级的安全管理要求。

八、物联网安全服务

服务项服务需求

14

硬件参数：应用层吞吐量N6.5Gb；准入用户数：2500,最大并发

连接数2500000：每秒新建连接数：12000,接口：千兆电口26

个；万兆光口22个；

可识别IT和IoT混合资产,获取IP、MAC、操作系统、类型、厂商

等信息，终端类型包括但不限于：（1）PC、瘦客户机、手机、平

板、交换机、路由器、防火墙、无线控制滞、服务器等1T资产（2）

摄像头、门禁、打印机、投影仪、VOIP设备、条形码扫描仪、医

学图像打印机、呼吸机、心电图仪、监护仪、放射系统等IoT资产。

支持资产列表，可查看终端指纹信息和状态，如IP、MAC、类型、

系统、厂商、终端名称、网卡厂商、在线状态、合规状态等，可

修改资产的类型、厂商、绑定信息。

支持对IoT终端的安全漏洞、弱口令等安全脆弱性问题进行拦描，

提供立即扫描和定时扫描两种方式。

系统要求

脆弱性扫描应详细展示漏洞信息，包括漏洞名称、风险等级、漏

洞描述、影响范围、漏洞ID、漏洞类型、解决方案、端口号、URL

链接、举证信息等。

支持对IT和IoT混合终端进行基于网络探测的违规外联检测，支持

立即扫描和定时扫描两种模式，主动对终端发起连接，通过终端

的回包判断是否有违规外联行为。

支持对PC进行违规外联检查，包括连接外网检查、拨号行为检查、

双网卡行为检查、无线网卡检查、非法WiFi检查、4G网卡检查、

非法网关检查、自定义检查等。

支持非法WiFi检查，检查终端是否连接非法WIFI（可设置合法WIFI

白名单），对不满足检查要求的终端强制断网，支持向管理员告

警，并弹窗提示用户。

15

支持与本项目的安全运营平台对接，实现全网资产统一管理、统

一展示和安全联动。网关可将终端信息统一上报至平台，由平台

进行全网资产的统一展示，对全网资产进行统一审批、管理。接

入安全网关可自动接收平台的安全指令，对平台研判分析出的异

常终端进行网络封锁，阻断其网络接入。

支持对终端进行安全基线检查，包括但不限于杀毒软件检查、登

录域检查、操作系统检查、进程检查、文件检查、注册表检查、

补丁检查、管理员账号检查、自定义检查等。

支持802.lx准入，可联动交换机实现用户认证前无法横向访问内

网，支持本地组/AD域作为认证用户源，提供专用的802.lx认证

客户端（非系统自带），客户端支持用户自注册。

支持杀毒软件检查、登录域检查、操作系统检查、进程检查、文

件检查、注册表检查、补丁检查、管理员账号等终端安全基线检

防护能力测功能。

支持僵尸网络检测，网关杀毒、IPS入侵防御、ACL访问控制、泛

洪类攻击进行检测、恶意链接检测等基本物联网安全防护能力。

九、资产探测服务

以专业安全服务工具以及人工现场调研比对的方式，对采购人系统信息化资

产进行全面探测梳理，掌握信息化资产现状，更方便有效的进行管理，减少网络

安全风险。并且针对应用服务端口进行扫描探测，采用非标准端口识别技术以及

丰富的协议指纹库，快速识别非标准端口上的应用服务类型以及不必要开启的高

风险端口，服务完成后出具《资产清单》、《资产探测报告》，并针对高危风险项

进行整改加固工作。

16

十、安全检测服务

（-）渗透测试

通过真实模拟黑客使用的工具、分析方法对采购人系统开展全方位安全渗透

测试，并结合智能工具扫描结果，由高级工程师进行深入的手工测试和分析，识

别工具弱点扫描无法发现的问题。主要分析内容包括SQL注入、失效的身份认

证和会话管理、跨站脚本攻击XSS、直接引用不安全的对象、安全配置错误、缺

少功能级的访问控制、跨站请求伪造CSRF、使用含有已知漏洞的组件、逻辑缺

陷、上传绕过、输入输出校验绕过、数据篡改、功能绕过、异常错误等以及其他

专项内容测试与分析，重点发现应用层业务流程和逻辑上的安全漏洞和敏感信息

泄露的风险.测试完成后出具《渗透测试报告》,报告需包含测试安全漏洞情况

及整改加固建议，根据报告进行网络安全漏洞整改加固工作，并待加固完成后进

行复测，检查安全漏洞整改落实情况，出具《渗透测试复测报告》。

（-）漏洞扫描

通过专业的漏洞扫描工具发现采购人设备和系统中存在的严重漏洞，帮助采

购人掌握技术措施是否有效执行，并通过人工审核确认以及及时修补完善，避免

对信息系统造成严重影响，输出《漏洞扫描报告》。

（三）Webshell查杀

利用专业呢bshell恶意后门扫描器，针对采购人重点信息系统文件进行安

全扫描，发现可能存在的Websholl、网页后门等恶意文件，支持Asp,Jsp..Net.

J2EE、Php、Perl等所有的WEB应用编程语言，并支持扫描所有内置的策略以及

中心自定义策略，检查完成后人工验证出具《webshell查杀报告》。

（四）基线检查

通过人工现场设备检查的方式对采购人系统和设备等进行全面的安全配置

17

核查和分析，发现配置的不合规项，并结合行业实际需求提出系统整改建议，输

出《基线检查报告》。

（五）安全风险评估系统要求

服务项服务需求

系统漏臼授权IP数：100,WEB漏扫授权URL数：20；性能指标：主

机漏扫最大并发IP数：75<>

硬件参数：硬盘容量：128GBSSD+1TBSATA,,接口：千兆电口

26,千兆光口兆2。

支持全局风险统计功能，通过扇形图、条状图、标签、表格等形式

直观展示资产风险分布、漏洞风险等级分布、紧急漏洞、风险资产

清单等信息，并可查看详情。

支持快速扫描、资产发现、系统漏洞扫描、弱口令扫描、WEB漏洞

扫描、基线配置核查六种任务类型，其中快速扫描支持系统漏洞扫

描、WEB漏洞扫描、弱口令扫描同时执行。

系统要求

资产发现支持存活探测、服务和端口探测、操作系统识别、数据库

识别、中间件识别等功能，其中服务和端口探测支持常用端口、全

局端口和自定义端口三种探测方式。

内置不同的系统漏洞模板，包括高可利用系统漏洞、原理检测系统

漏洞、中间件漏洞、数据库漏洞等类型，支持报表形式展示漏洞模

板风险等级分布概览，支持报表形式展示漏洞模板详情，包括漏洞

总数、漏洞名称、漏洞类型、风险等级等信息。

支持对多种服务协议的弱口令猜解,包括FTP、IMAP、Microsoft

SQL、MySQL、PcAnywhere>POP3、SMB、Telnet、VNC、SSH、RDP、

ORACLE、Rsync、SMTP、VMware等。

18

提供检测结果综述分析，按照等保2.0的检测项要求，统计客户业

务系统存在的不符合、部分符合、符合、待确认、不适用检测项，

直观了解自身业务系统合规情况。

按“一个中心、三重防护”的架构展示检测结果，每个检测结果呈

现具体问题及整改建议，系统支持手动核查确认、整改后重新检测、

以及手动导入全局分析和人_L核查报告来对测评报告中的结果进

行核查确认，其中手动核查确认支持单项核查确认和批量核查确

认。

产品支持对系统漏洞、WEB漏洞、基线配置、弱口令进行扫描和分

析，可同时输出包含系统漏洞扫描、WEB漏洞扫描、基线配置核查、

弱口令内描结果的报表。

产品应具有中国网络安全审查技术与认证中心颁发的《网络关键设

服务资质

备和网络安全专用产品安全认证证书》。

卜一、勒索病毒专项防护与响应服务

提供勒索病毒专项防护与响应服务，定期开展勒索病毒风险排查和勒索隐患

专项加固指导，帮助用户快速识别勒索病毒风险并做好加固工作，确保勒索风险

全面可视，提高勒索病毒免疫力。

本次勒索病毒专项防护与响应服务与安全运营服务为同一品牌或原厂认可

的技术团队，以保障服务效果。

投标方应面向招标方提供定期的勒索病毒入侵风险专项排查，投标方应按照

勒索预防Checklist开展勒索风险评估，勒索预防Checklist应当包含勒索高危利

用漏洞、端口、安全策略、攻击行为、勒索残留隐患几个纬度。

投标方定期按照勒索预防Checklist开展勒索风险评估后应当每季度一次向

招标方提供《勒索病毒风险排查报告》，包括中应包含全面的勒索风险分析和隐

19

患加固处置的情况，并且投标方有义务按招标方要求进行远程或现场的成果汇报。

十二、协助安全加固

针对渗透测试、漏洞扫描、webshell查杀、基线检查和采购人自身安全检

查中发现的安全漏洞和脆弱项，制定安全加固解决方案，协助进行安全加固及漏

洞处理，包括漏洞补丁更新，安全防护策略优化，指导开发修复漏洞代码等，并

检验漏洞修复完成情况，形成漏洞跟踪管理闭环，输出《安全加固报告》。

十三、网络安全驻场运维服务

提供1名驻场工程师每天5*8小时常驻采购人现场进行网络安全驻场运维服

务，采用驻场方式并利用现有安全平台对采购人信息系统安全进行日常运维、安

全监控及安全事件处理工作，包括：组织协调渗透测试服务、网络安全检查、定

期汇报网络安全整体状况、协助安全加固、提供日常安全监测服务工作、安全设

备系统升级、协助安全设备故障处理、安全设备防护告警监测、负责日常网络安

全事件以及协助进行网络安全事故的应急响应工作。并提供7*24小时应急响应

服务，电话即时响应，按需输出驻场运维报告，可包括：《驻场运维周报》、《驻

场运维月报》、《驻场运维年报》等。

驻场人员资质要求：

1、1年以上网络或信息安全行业从业经验；

2、具有软考信息系统安全工程师证书、或CISP（注册信息安全专业人员）

证书、或CISSP（注册信息系统安全师）证书；

3、熟悉windows、linux等系统，具备良好的网络安全意识。

十四、重要时期安全保障服务

在重要时期，为确,呆采购人网络和信息系统的安全性、保密性、服务可用性，

需安排安全技术人员提供现场驻场值守服务。安全技术人员提供5*8小时重要时

段安全保障值守服务，包括信息系统安全监测、应急响应等。对发现的可疑情况

20

和网络攻击行为及时上报，与采购人中心相关值班人员联系，协助进行事件史理。

并输出《保障值守报告》《保障值守总结》。

十五、应急响应服务

针对采购人信息系统因非法攻击或病毒入侵等安全原因而遭到破坏、更改、

泄漏，造成系统不能正常运行以及对于已经发现的有可能造成上述现象的安全隐

患，如非授权访问、信息泄密、系统性能严重下降、蠕虫或大面积爆发病毒等情

况，当出现安全事件时，需通过人工辅以工具的方式及时进行应急响应工作，输

Hi《应急响应报告》，具体内容包括：

（1）驻场人员及时响应，二线技术支持人员在2小时内到达现场；

（2）对入侵事件进行分析，查找原因；

（3）抑制入侵事件的进一步发展，将事故的损害降低到最小化；

（4）排除安全隐患，消除安全威胁，协助恢复系统正常运作；

（5）提交应急响应报告及安全加固建议；

（6）提供安全专家团队远程协助进行应急响应处置工作。

十六、应急演练服务

根据采购人现有应急预案规定的流程或其他应急演练场景需求，需提供技术

人员组织进行相应的模拟演练，一方面使采购人熟悉应急响应流程，提高对安全

事件的响应能力；另一方面验证网络安全工作正确性和适用性，进行总结分析,

根据需要对应急预案进行修订。使得采购人信息系统相关人员了解应急流程和自

己的责任，在安全事件发生时，能够及时开展应急工作，最大程度降低安全事件

带来的负面影响和损失，输出《应急演练方案》、《应急演练报告》。

通过现场支持的方式采用桌面推演和实操演练相结合的方式展开，演练过程

重点考察的方面主要包括：

■信息系统的应急计划是否覆盖了保护对象的全部；

■应急计划是否满足信息系统的保密性、可靠性和可用性的要求；

■预防策略是否满足当灾难发生后信息系统的恢复响应速度要求和灾难

21

恢复后数据的完整性要求；

■安全事件的响应方案的可操作性;

■各类型各级别应急事件的响应操作规程、详细说明、操作步骤或方法等

的指导意义及描述的准确程度；

■事件的发现、上报、处理等环节。

十七、安全培训服务

为提升采购人整体人员的网络安全意识以及相应人员的安全技术水平，需提

供安全培训服务，由资深网络安全培训专家提供现场网络安全培训课程，采购人

可根据自身安全培训需求选择培训主题，如：安全意识培训、安全技术培训、安

全管理培训及安全认证培训，服务结束后输出《培训PPT》等材料。

十八、安全咨询及规划服务

安排资深专业的安全专家根据采购人网络安全建设、维护、整改、审查等方

面方案评审、实施落地的需求，采用远程或者现场的方式不定期提供专业、可行、

超前的建设性意见和建议。并充分调研采购人网络安全现状、需求，分析整体网

络安全风险，制定可落地的短期和长期网络安全建设规划方案，将信息系统安全

总体设计规定的内容落实到安全建设项目中。

十九、安全通告服务

为采购人提供最新病毒、行业资讯情况，并通告及其解决方法信息、最新系

统漏洞信息及其修补方法、最新发生的安全事件等安全通告。主要内容包括：

1、系统漏洞信息：将一段时期内，各操作系统、应用系统、网络设备等的

最新安全漏洞进行通告，包括漏洞威胁、影响平台及修补方法等。

2、病毒信息：将一段时期内，最具威胁性的病毒信息进行通告，包括病毒

危害、感染原理及防护措施等。

3、安全预警：一旦出现将可能造成大规模网络攻击事件的安全漏洞或病毒

22

木马，进行及时的安全预警，积极进行补丁修复和安全防护。

4、信息安全事件：将一段时期内，相关信息安全事件进行通告，避免用户

信息系统遭遇同样安全攻击事件，造成严重损失。

5、安全技术研究成果信息：专业信息安全团队对最新安全技术进行深入研

究的相关成果，包括信息系统漏洞挖掘、风险分析以及安全防护技术等。

二十、服务工具要求

为提高整体安全服务的效率和质量，需提供专业的安全服务工具辅助进行安

全服务工作，要求如下：

指标项指标要求

1、产品厂家应为公安部《信息安全技术Web应用安全扫描产拈安

全技术要求》标准起草单位，提供相关证明；

2、产品应通过国家信息安全测评信息技术产品安全测评证书EAL3+

级别，提供证书复印件；

3、产品通过中国信息安全认证中心获得IT产品信息安全认证证书，

WEB应用弱提供证书复印件；

点扫