第一章采购需求备注流量分析与回溯设备参数.docx

《第一章采购需求备注流量分析与回溯设备参数.docx》由会员分享，可在线阅读，更多相关《第一章采购需求备注流量分析与回溯设备参数.docx（18页珍藏版）》请在第一文库网上搜索。

1、第一章采购需求序号类别设备名称数量单位备注1公安网安全加固体系流量分析与回溯设备5台公安网安全加固体系高级威胁监测设备2台日志审计设备1台2互联网及互联网接入区运维研发安全监控管理体系运维安全管理设备11台3视频专网安全监控管理体系应用服务区防火墙2台纵向接入防火墙1台终端接入防火墙1台4公安网对外数据服务监控管理体系网络安全审计设备1台5公安网运维研发安全监控管理体系管理网络防火墙1台汇聚交换机2台运维安全管理设备23台公安网运维研发安全监控管理体系主机监控与审计设备1一、流量分析与回溯设备参数依据：按照公安部相关系列标准规范要求，购置网络流量分析与回溯设备，实现对网络和应用的流量状态、质量

2、状况和趋势监测、分析研判，不断提升网络流量精准分析水平。功能：具备多维数据分析及深度挖掘能力，对特种攻击、渗透、窃密等行为能够进行精确定位；能够还原网络安全事件发生时的全部网络通讯内容，实现数据包级数据分析和取证。位置：部署在公安网中的一级网、二级网、厅机关局域网等关键的网络节点。1、设备具备国内自主知识产权，CPU及操作系统应采用国产化CPU及操作系统，系统应支持采集设备独立部署独立工作，应具备图形化的数据分析界面，能够通过控制台界面对设备采集的数据进行精细化分析。系统基于C/S架构，提供专用客户端软件。2、可支持HnP日志、DNS日志、POP3日志、1MP4日志、SMTP日志、FTP日志、

3、Mysq1日志、ICMP日志、SSH日志、Te1net日志等10类以上元数据日志提取，元数据字段个数不少于150种。3、应支持通过tcp、UdP会话元数据，对各种网络异常行为进行描述，建立异常行为模型感知网络会话异常行为。4、应支持通过内置情报特征库、自定义特征库及行为模型，对木马心跳通讯、可疑文件传输、主动外联、境外通讯、异常DNS、高危特种木马以及僵尸网络检测分析。5、应支持多维数据分析和提取，可获取信息包含但不限于物理地址、网段统计、协议、网络应用、服务端口、国家或地区、所有IP、内网IP、外网IP、非大陆IP、重活跃资产、IP会话、外联IP会话、非大陆IP会话、TCP会话、TCP外联会

4、话表、UDP会话等17个维度的数据统计，流量统计指标不低于50个。（提供截图证明并加盖厂商公章）6、系统应支持在无需安装任何第三方数据包解码软件的情况下对原始流量的可视化分析,通过调取自带专家分析解码。（提供截图证明并加盖厂商公章）7、应支持数据分析的时间精度为纳秒级，且支持分钟、小时、天等多种时间窗口对流量数据进行检索、挖掘、提取。8、应支持客户端软件进行多层次数据钻取，不少于5个层次的数据钻取分析。10、应支持按物理地址维度对流量数据进行统计。11、应支持不同网络协议的流量数据统计。12、应支持在管理界面上以Xy轴的方式图形化展现网络会话数曲线图和TCP会话数据包数量。13、应支持IP会话

5、、外联IP会话、境外IP会话、TCP会话、TCP外联会话统计。14、应支持数据流还原传输文件的内容，至少还原图片、证书、docIxt、Pdf、jpeg、rar.zip、gif等常见的文件格式。（提供截图证明并加盖厂商公章）15、应支持通过原始数据包对任意时间（包括已发生和正在发生的网络安全事件）进行完整回溯（非截断时间段分析），定位安全事件时间、源IP、目的IP、事件起因、事件经过以及事件造成的影响：支持对第三方安全设备告警日志安全事件回溯，通过IP等信息检索方式提取安全事件所涉及的流量数据包。16、应支持在历史数据的精细查询时，支持各种查询结果的统计数据导出；支持对协议、IP地址、国家、会话

6、、端口、数据包特征值等条件进行“与”，“或”任意组合对原始数据包进行精准条件定义与查询，能够快速、准确查询每个检索条件匹配到的网络通讯行为或原始数据包，可进行深入的回溯、下载数据包等操作。17、应支持使用SYS1OG、kafka等模式，将警报日志、行为日志、元数据日志、会话日志等日志数据推送给第三方展示平台，支持用户通过AP1接口获取原始通讯数据流。（提供截图证明并加盖厂商公章）18、应支持标准ReStfUIAPI查询IP地址、IP会话、国家、协议、应用表等各类统计或日志数据，并提供标准的接口说明文档。19、产品须具备公安部监制的计算机信息系统安全专用产品销售许可证和检验报告。20、所投产品制

7、造商应具备网络分析相关软件著作权证书。21、所投产品制造商应具备网络分析相关技术专利。22、满足公安一级网出口、二级网核心汇聚、厅机关局域网数据流量监测要求（出具承诺，并加盖原厂公章）。23、提供原厂服务承诺并加盖原厂公章，承诺内容包括：提供原厂技术实施服务：提供三年原厂售后服务；提供三年原厂网络分析服务。二、高级威胁监测设备参数依据：按照公安部相关系列标准规范要求，购置高级威胁监测设备，实现对网络和应用的威胁监测、分析研判。功能：对一级网和厅局域网流量进行安全分析，具备识别五元组之外的应用技术，识别应用属性、风险级别、类型、子类、协议、匹配内容，能够实时展示攻击态势，对安全事件日志进行留存为

8、证据。位置：部署在公安网中的一级网、厅机关局域网等关键的网络节点。1、硬件规格：国产化设备，2U机架式设备，CPU主频不低于2.3Ghz,核心数不少于8核，内存不低于32G,网络接口不少于1个管理口，1个HA口,不少于8个千兆电口、4个千兆光口、2个万兆光口。2、性能要求：满检速率不小于19000Mbps,TCP并发连接数不小于900万3、部署模式：提供多种部署模式，支持路由、透明接入、虚拟网线等部署方案的工作模式4、应用识别：具备应用识别特征库，提供P2P下载、网络电视、即时通讯、股票软件、流媒体、网络电话、手机应用等多种应用识别类型，特征库数量不少于3000；（提供截图证明并加盖厂商公章）

9、5、产品具备自定义应用协议，提供除五元组之外的应用技术、应用属性、风险级别、类型、子类、协议、匹配内容、应用层长度等多项设置（提供截图证明并加盖厂商公章）6、访问控制：具备自定义访问控制功能，针对源及目的MAC、报文头部信息（SYN标志、分片标志、TT1、DSCPPrecedenceTOS内网域地址、外网域地址、长连接超时时间等细粒度的访问控制功能；（提供截图证明并加盖厂商公章）7、产品具备配置向导功能，通过引导用户配置，包括拓扑图、桥接口配置、地址区域流、IPS、可视、概览等多项元素实现快速配置上线（提供截图证明并加盖厂商公章）产品具备黑白名单功能，可基于攻击源、攻击目的黑白名单设置8、安全

10、策略：具备一体化安全策略模板功能，通过单条策略既可完成多项策略设置，可以配置源目的地址、国家地区、源目的域、源目的MAC、时间对象、用户、虚拟身份、服务对象、UR1分类等对象。9、入侵防护：提供入侵防御特征库，特征数超过IOOoo条；并提供基于正则表达式匹配方式的自定义特征策略功能；（提供截图证明并加盖厂商公章）10、具备检测防逃逸技术，提供缓冲区溢出、SQ1注入、扫描刺探、间谍软件、拒绝服务、病毒、木马后门、漏洞攻击、潜在风险的入侵防御特征库：SMTP/IMAP/POP夕TE1NETFTPR1OGINNNTP/TDS-MS-SQ1等协议类型的频率检测机制产品具备弱口令检测功能，提供基于POP

11、歹FTP/TE1NET协议的口令长度及口令复杂度等元素的检测12、威胁感知：支持告警的深度行为分析，行为包括DNS解析行为、TCP/UDP交互行为、WEB访问行为、传输文件行为13、支持以受害资产维度进行分析，分析内容包括失陷状态、受到的攻击类型、威胁级别、处于的攻击阶段、所属的资产分组14、以攻击者的维度进行分析，对攻击者进行画像，画像内容包括地理位置信息、国家信息、所属组织、使用的攻击手段、攻击的所有资产（提供截图证明并加盖厂商公章）15、威胁情报维度分析包括：情报详情、影响资产列表、资产的行为（行为包含：DNS解析、TCP流量、UDP流量、WEB访问、文件传输）（提供截图证明并加盖厂商公

12、章） 16、支持对任意线索的自定义拓线及溯源取证分析，支持以可视化分析画布形式展示拓线过程并支持结果快照导出：支持对于给定线索的溯源结果展示，包括但不限于攻击溯源、失陷主机分析、暴力破解分析、弱口令分析等（提供截图证明并加盖厂商公章） 17、事件取证：具备事件取证分析功能，通过获取接口的报文文件保存在设备中留存为证据，取证文件支持导出功能；（提供截图证明并加盖厂商公章） 18、系统管理：产品具备安全态势大屏实时展示，可通过产品自带的实时态势监测模块进行攻击态势地图展示，包含对威胁趋势图、风险主机Tc）PI0、威胁等级、最新入侵事件、设备运行状态、资源监控、告警总数等信息统计展示（提供截图证明并

13、加盖厂商公章）19、产品具备账号安全管理功能，具备密码强度、登录处理、解决时间等强制性账号安全策略功能20、产品具备配置文件功能，提供配置文件的导入、导出功能，并可以指定下次启动的配置文件 21、满足公安一级网出口、二级网核心汇聚、厅机关局域网数据流量监测要求（出具承诺,并加盖原厂公章）22、产品资质：产品入围安可替代工程适配产品清单-网络安全产品；产品提供计算机信息系统安全专用产品销售许可证；产品提供信息技术产品安全测评证书（EA13+）；产品提供国家信息安全漏洞库兼容性资质证书； 23、提供原厂服务承诺并加盖原厂公章，承诺内容包括：提供原厂技术实施服务；提供三年原厂售后服务；提供三年原厂网

14、络威胁监测服务。三、日志审计设备参数依据：按照公安部相关系列标准规范要求，购置日志审计设备，实现对一级网、二级网的网络设备和安全设备运行日志的记录审计。功能：能够采集一级网、二级网的网络设备、安全设备、安全系统等系统的日志、事件、告警等安全信息进行全面的审计；对日志关联规则进行监控，实时对日志和事件信息进行关联分析和行为分析。位置：部署在公安网1、硬件规格：国产化设备，2U机架式设备，CPU主频不低于2.6Ghz,核心数不少于4核，内存不低于16G,存储空间不少4TB,网络接口不少于4个千兆电口、4个千兆光口。2、性能要求：综合处理性能不低于2000条每秒，事件查询性能：10亿条日志量查询平均

15、响应时间不超过10秒3、审计对象：支持审计各种网络设备(路由器、交换机等)配置H志、运行日志、告警日志等；4、支持审计各种主机操作系统(包括WindOWSSo1aris1inuxA1XHP-UXUNIXAS400)配置日志、运行日志、告警日志等；5、支持审计各种数据库(0rac1eSqISerVer、MySq1、DB2、SybaseInformix)配置日志、运行日志、告警日志等；6、支持审计各种安全设备(防火墙、IDS、IPS、VPN、防病毒网关，网闸，防DDOS攻击，Web应用防火墙、等)配置日志、运行日志、告警日志等；7、日志采集与转发：支持通过SySIog、SNMPTrap、Netf1oWV5、JDBC、Agent代理(WindOWS/1inux)、WMK(S)FTP、文件共享(SMB、NetBIOS)、文件文件夹读取、Kafka(提供截图证明并加盖厂商公章)等多种方式完成各种日志的收集功能，支持多行日志采集合并为一行。8、支持按照SyS1OgTG标准及自有格式进行转发，转发时包含原始日志源IP地址，可与NGSOC.态势感知等产品进行数据对接。9、资产管理：能够将资产按照多种维度进