XX系统大数据安全管理中心项目采购需求.docx

《XX系统大数据安全管理中心项目采购需求.docx》由会员分享，可在线阅读，更多相关《XX系统大数据安全管理中心项目采购需求.docx（34页珍藏版）》请在第一文库网上搜索。

1、XX系统-大数据安全管理中心项目采购需求一、建设目标与内容以省厅新一代XX信息网建设为基础，根据XX部XX大数据安全体系系列标准规范要求，结合XX省、市大数据智能化建设现状，建设大数据安全管理中心和安全审计中心两大系统，实现对XX省XX厅大数据的安全管理和审计，提升内外部风险感知能力、协同安全防护能力、攻击检测分析能力、违规行为发现能力、应急事件响应能力和态势感知预警能力。（一）建设大数据安全管理中心。搭建安全大数据、资产管理、态势感知、策略控制和基线配置五大模块，实现“统一安全资产管控、统一安全策略管控以及统一安全能力管控”，提升科学实用的体系化安全防护能力，规范化安全管理能力，综合化安全运

2、维能力，实现全网安全态势敏锐感知，安全威胁快速检测与处置，确保大数据全程可知可控，可管可查，变静态为动态，变被动为主动，为新一代XX信息网建设智能化、立体化纵深防御体系，形成严密安全保障。（二）建设大数据安全审计中心。积极贯彻落实中华人民共和国数据安全法、个人信息保护法等法律法规，及省厅数字证书常态严管的制度要求，聚焦内部人员数据安全风险监管，加强全网应用日志大数据的采集、汇聚、治理和分析应用等，建设新一代XX信息网安全审计中心，形成科学实用的“规范化记录能力、精细化审计分析能力、体系化追溯能力、动态化威慑能力”，做到用户安全态势快速感知，异常行为准确检测，确保数据应用的全程可知可查，有效打击

3、和威摄数据泄露、违规使用、越权使用等违法违规行为，夯实对XX大数据智能化应用的安全审计和监管。二、项目建设内容项目序号名称数量单位硬件设备1网络流量探针设备（核心产品）22安全日志采集探针设备1台3大数据安全管理中心设备10A4应用日志采集探针设备2台5安全审计中心设备4台6冗余备用硬件节点2定制化软件1安全管理中心定制化开发35人月2安全审计中心定制化开发80人月系统集成配套服务1软硬件设备集成费用1批2系统集成部署运维服务（1人3年驻场）3年3安全审计中心原厂驻场服务（1人3年驻场）3年定制开发工作详细清单如下:产品名称定制开发功能项大数据安全管理中心安全基线下发对接安全策略下发对接安全审

4、批管理安监大数据平台定制功能迁移用户统一认证对接警员信息库、组织机构对接一机两用适配定制开发安全审计中心日志采集对接模型分析功能用户域日志数据对接用户域历史日志数据对接用户域日志数据清洗、存储和展现日志核查申请级联管理功能日志数据交换功能证书使用信息填报功能与大数据安全管理中心对接功能三、详细软硬件采购需要求3.1 软硬一体化设备详细采购需求1、网络流量探针设备（2台）指标项技术指标及参数软硬一体设备配置要求2U设备，1+1冗余电源，内存2128GB,可用硬盘容量24TB,支持RAID1,端口数量不少于10个，其中千兆电口不少于4个，千兆SFP光口不少于4个，万兆光口不少于2个，MTBF于65

5、000小时，吞吐量21OGbps。产品资质要求（提供相关证明材料）1、拥有自主知识产权并获得计算机软件著作权登记证书；2、通过XX部检测并获得计算机信息系统安全专用产品销售许可证（APT安全监测类）；3、通过中国网络安全审查技术与认证中心检测并获得增强级证书；4、通过IPv6Ready1ogo认证并获得证书。威胁检测行为审计与可疑通信检测具备违规操作、违规访问、违规应用、数据外发等300种以上行为审计检测规则，可针对任意单条规则进行启用和禁用。具备隧道通信、可疑内容、恶意IP、恶意域名、恶意证书、远程控制等2000种以上可疑通信检测规则，可针对任意单条规则进行启用和禁用。探测扫描检测具备端口扫

6、描、服务扫描、Web扫描、扫描器指纹检测等300种以上的探测扫描检测规则，可针对任意单条规则进行启用和禁用。漏洞利用检测具备SMB漏洞、RDP漏洞、软件漏洞、设备漏洞、系统漏洞、拒绝服务漏洞、SheIIeOde等6000种以上漏洞利用检测规则,可针对任意单条规则进行启用和禁用。恶意程序检测具备挖矿活动、流氓软件、可疑文件、勒索软件、僵木蠕、Webshe1K恶意邮件等18000种以上恶意程序检测规则，可针对任意单条规则进行启用和禁用。配置风险检测具备弱口令风险、明文传输风险、HTTP配置风险、中间件配置风向、数据库配置风险、服务配置风险等300种以上配置风险检测规则。主机和账号异常检测支持端口异

7、常、主机对外扫描、主机对外攻击等主机异常检测，对任意单条检测规则支持启用和禁用。支持登录异常、暴力破解、行为异常等账号异常检测，对任意单条检测规则支持启用和禁用。Web攻击检测支持WebSheI1请求、XSS攻击、SQ1注入、远程代码执行、命令注入、远程文件包含、本地文件包含、文件上传、路径遍历、信息泄露、越权访问、XXE注入、网页篡改、SSRF攻击等14类WCb攻击检测，具备8000种以上Web攻击检测规则，对任意单条检测规则支持启用和禁用。支持基于语义分析的SQ1注入精准检测。威胁情报支持对接威胁情报中心，支持离线和在线两种情报更新方式，支持威胁情报碰撞检测，提供前一日威胁情报命中告警数量

8、。抓包分析支持流量抓包分析，可定义接口、协议、抓包时长、文件大小、IP、端口、过滤条件等。检测规则自定义支持自定义检测规则，可手动添加或从模板导入规则，可定义规则名称、规则等级、威胁类型、规则内容、协议、IP、端口、会话方向、攻击方向、参考信息、威胁描述、处置建议等。检测模式自定义支持精准模式、默认模式、增强模式、自定义模式等4种检测模式。告警分析告警研判支持从请求头、请求体、响应头、响应体四个方面展示告警详情，并对攻击报文进行高亮显示；支持对威胁告警进行调查分析，针对威胁告警支持原始数据包取证分析，告警详情支持查看、下载PCAP包，在告警页面支持一键添加白名单；支持展示高度聚合告警列表，对告

9、警进行自动归并；告警刷新检索支持威胁告警自动刷新，刷新间隔包括15秒、30秒、1分钟、5分钟、10分钟、15分钟。支持多维度告警查询，支持威胁告警快速过滤，包括筛选、排除操作。策略管理流量采集策略支持自定义流量采集策略，包括过滤策略和采集策略，支持根据IP和协议进行过滤，包括DNS、FTPHTTP、HTTPS、IMAP、KRB5、1DAP、POP3、RDP、SMB、SMTP、SSH、TE1NET、T1S等。弱口令检测页面支持多种类型弱口令策略可选，支持自定义弱口令字典，可选不同格式弱口令，支持导入自定义弱口令列表，支持Base64编码弱口令和md5散列弱口令检测。暴力破解支持HTTP、FTP、

10、Te1net、SMB、邮件（SMTP、POP3、IMAP）、RDPMySQ1、Orac1eSQ1Server、PoStgreSQ1等暴力破解检测，支持暴力破解检测策略自定义，支持添加暴力破解管理员账号检测，支持添加暴力破解白名单功能。文件还原支持文件还原，用户可新增指定后缀文件进行文件还原，具体协议包括HTTP、SMTP、POP3、IMAP、FTP、SMB、NFS等，还原文件支持推送沙箱进行安全检测。地理映射支持IP与地理信息映射，用户可新增指定IP或IP段的地理信息，支持IP或IP段地理信息导入导出，确保输出数据地理信息准确白名单支持根据告警字段添加细粒度白名单策略，匹配语法包括等于、不等于

11、、正则匹配、正则不匹配、包含、不包含等。管理功能运行监控可监控系统CPU、内存、磁盘、TOPCPU进程、TOP内存进程使用情况、网口状态、网口流量、网口丢包情况及数据外送量大小情况，界面可支持CPU、内存信息钻取，实时查看各进程CPU和内存使用情况。数据同步支持通过Kafka接口向态势感知平台报送流量审计数据与风险告警信息，Kafka推送支持传输加密，支持SS1加密。自定义配置：可在前端页面自定义配置与态势感知平台之间的数据传输类型、各类型数据均支持任意字段的发送配置。运维管支持前端可视化配置管理接口、监听接口，包括修改IP地址、启用理禁用监听接口等。支持前端可视化进行设备运维操作，包括重启设

12、备、关机重启服务、开关SSH服务等，可一键下载探针运行日志，方便运维人员日常运维工作。安全管理提供三权分立的用户管理能力：系统管理员、用户管理员、操作审计员相互独立。支持系统内用户的业务操作和运维操作。支持审计操作账号、客户端IP、操作时间、操作模块、操作结果，支持审计登录登出、规则运行状态调整、时间同步等10多种操作类型。支持屏幕水印，支持登录失败锁定用户、设置登录密码复杂度、密码过期、用户登录IP绑定等安全策略。2、安全日志采集探针设备（1台）指标项技术指标及参数产品资质要求（提供相关证明材料）1、拥有自主知识产权并获得计算机软件著作权登记证书；2、通过XX部检测并获得计算机信息系统安全专

13、用产品销售许可证；3、通过中国网络安全审查技术与认证中心检测并获得证书；4、通过IPv6Ready1Ogo认证并获得证书；工作模式独立完成审计日志采集，不依赖于设备或系统自身的日志系统；审计工作不影响被审计对象的性能、稳定性或日常管理流程；审计结果存储于独立存储空间；自身用户管理与设备或主机的管理、使用、权限无关联；提供全中文WEB管理界面，无需安装任意客户端软件或插件。虚拟化部署配置要求内存：128GB,磁盘：4T*10;处理性能支持审计IOOO个日志源；平均处理能力（每秒日志解析能力EPS）：20000EPS；峰值处理能力（每秒日志解析能力EPS）：30000EPSo功能扩展1、采用解决方

14、案包上传对产品进行功能扩展，无需要代码开发；2、支持kafka日志接收转发、大数据安全域同步、APT沙箱报告转发等大数据联调功能，Kafka收发支持SS1加密；3、支持手动或按周期自动备份系统配置，可随时对系统资产等配置进行还原操作，且自动备份周期与备份包个数可配；支持系统配置备份自动备份至远程服务器。4、支持通过界面自定义字段方式实现与第三方平台的数据共享，快速满足第三方平台个性化分析和对接需求。日志收集1、支持SySIOg、SNMPTrapHTTP、ODBC/JDBCWMI、FTP、SFTP协议日志收集，支持阿里云S1S日志的采集。2、可通过接收协议限制日志接收速率，包括Http接收、sy

15、s1og接收、SNMPtraP接收、TCP接收、WM1接收、a1iyun接收。3、支持在目标主机上安装Agent程序，支持监测目标主机的CPU利用率、内存使用率、磁盘使用率、磁盘使用情况、流量等信息；4、支持目前主流的网络安全设备、交换设备、路由设备、操作系统、应用系统等；设备厂家包括但不限于：联想网御/网御神州、F5、华为、H3C、微软、绿盟、天融信、启明星辰、天网、趋势、东软、HiI1StOne（山石）、安恒信息、珠海伟思、BEA、中国电信、安氏、帕拉迪、APC、rborC1am、戴尔（De11）、DigiUm、东方电子、EMC、中国电力科学研究院、Eudora冠群金辰、1inkSys、McAFeeNetapp永达、Sonicwa1KVigor天存、西岭、Symantec（赛门铁克）、Hardened-PHPFOUnderteCh（方正）、