8

网络流量探针

1、**标准机架设备，2**** **逻辑核，内存 ****， **** ***硬盘， *** ****硬盘，*兆电口 2个，扩展插槽 4个（支持扩展*兆电口、*兆光口、*兆光口），提供2**** 2.0接口、1********接口、1*****接口，冗余交流电源；平均处理能力≥*******。

2、监测范围包括但不限于网络安全设备、网络设备、数据库、中间件、操作系统、应用系统等，数据采集方式包括但不限于******、****/**** ****、***/****、****、***接口、**********、专用*****等方式。

★3、平台应支持内置***+设备日志解析规则查看以及筛选，包括但不限于网络设备（防火墙、交换机、网关）、安全设备（入侵检测设备、***攻击防护设备、***检测设备、防火墙、网络审计、流量探针等）、终端主机日志、数据库等。

4、平台应支持界面化配置规范化规则采集第*方日志实现异构日志格式归*化。解析规则支持正则表达式等前置过滤方式及****、**、***、正则表达式类型的解析规则，支持界面划取字段配置、多级解析提取嵌套字段、配置规范化规则对解析提取的字段进行字段类型、名称、取值规范化。

5、平台应支持对失陷资产进行判定并提供失陷资产的判定依据，包括但不限于失陷资产概要信息、攻击结果、攻击链分布阶段、失陷资产的攻击过程及过程判定依据如攻击特征、流量上下文、关联的告警日志及流量日志以及****包下载，并可快速扩展该失陷资产的全部攻击事件以及该失陷资产攻击者发起的攻击、该失陷资产的同类型威胁事件。

6、平台应支持专家模式的自定义规则，可支持行为分析、多源关联分析、机器学习等多种分析模式，同时可按需自定义生成的事件模版信息如威胁等级、攻击链阶段、事件类型、攻击意图等。

7、平台应支持资产发现能力，具备主动扫描发现资产的能力，主动扫描支持联动漏扫设备下发资产扫描策略并上报扫描结果；支持资产稽查比对，对于实时发现资产和已有资产库资产比对分析资产新增、变更、减少的情况，并支持对资产发现结果进行处理，可选择入库或者丢弃。

8、平台应支持漏洞扫描结果手动和自动验证能力，可手动选择部分漏洞处置单进行验证扫描，支持漏洞批量处置；支持漏洞扫描结果自动生成漏洞处置单的能力，支持对漏洞处置单闭环处理，可设置漏洞处置单状态包括：新增、待修复、已修复、已验证、单次忽略、永久忽略。

9、支持接入入侵防护日志、应用管理日志、认证日志、防病毒日志、数据防泄漏日志、***安全日志、运行日志、高级威胁日志、***过滤日志、***日志、***日志、内容审计日志、数据库审计日志等，并可以实现从攻击者视角呈现攻击拓扑及攻击分析结果和从受害者视角呈现被攻击拓扑及攻击分析结果。

**、平台可联动在线部署的***应用防火墙，实现对客户给定的互联网**段或网站域名进行扫描，比对已知网站资产备案情况，及时识别未备案的资产情况。

**、具备情报预警功能，实现情报和资产的关联分析生成威胁预警、漏洞预警，实现预警发布时的邮件通知/短信通知，支持预警的手工录入，形成有效警示作用。

**、平台应支持基于全流量数据进行流量纬度的可视化统计，包括流量趋势、应用分布、主机流量、端口访问、境外访问、主机外联、域名访问、***请求、高频访问页面、低频访问*** **。

**、平台应支持界面查看热点事件情报以及配置热点情报预警预警，支持界面配置关心的情报关键词和预警邮箱，当收到事件情报更新时自动匹配关键词，如果匹配中，触发预警发送邮件。

**、平台可联动本次采购的入侵检测系统，支持可视化展示运维事件详情，包括但不限于：事件关键属性如攻击结果、响应码、事件描述处置建议、攻击类型、原目的**端口等，攻击长镜头、攻击时序过程及攻击载荷、流量上下文、告警日志、关联的会话日志流量日志、情报命中信息以及可快捷扩展调查同类型或者同**或同资产的相关运维事件，攻击者使用的***&***;**中定义的战术及技术，处置历史及处置建议等，支持攻击证据如攻击载荷、流量取证****包导出，并支持运维事件详情报告的导出下载。

**、平台应支持针对**、域名、会话进行封堵，支持主机隔离、流量牵引等方式联动设备进行封堵，设备类型包括但不限于防火墙、抗拒绝服务系统、***应用防火墙、网络流量探针等；支持封堵状态获取及查看，支持判断封堵成功、封堵失败、解封成功、解封失败等状态；

**、平台支持安全治理能力，能够结合环境数据自动化评估安全治理等级和评分，安全治理等级应包括优、良、待改进*级，总评分应充分结合建设情况指标、运行能力指标、安全态势指标、合规指标等加权计算得到。

9

网络态势感知设备

1、硬件要求：标准机架尺寸，含交流电源，1个****串口，1个****带外管理口，2个***接口，4个**电口（内置电口******）,1个额外接口扩展插槽，**硬盘；

2、产品性能：网络层吞吐不低于*****，应用层吞吐量不低于****，最大并发不少于****，每秒新建不少于3*。

3、系统应提供覆盖广泛的攻击特征库，可针对网络病毒、蠕虫、间谍软件、木马后门、 扫描探测、暴力破解等恶意流量进行 检测和阻断，攻击特征库数量至少为****种以上，应能够有效抵御***注入等多种常见的应用层安全威胁。

4、入侵检测：系统应支持多种抗逃避检测技术，系统应提供入侵行为特征的自定义接口，可根据用户需求定制相应的检测和阻断规则，系统应能够有效抵御***注入等多种常见的应用层安全威胁，系统应提供***/****攻击检测能力，支持***/***/****/*** ********，以及***/**** ********等常见的***/****的攻击。

5、高级威胁检测：系统应提供服务器异常告警功能，可以自学习服务器正常工作行为，并以此为基线检测处服务器非法外联行为，系统应提供敏感数据外发的检测功能，能够识别通过自身的敏感数据信息（身份证号、银行卡、手机号等）。

6、系统应提供关键文件外发检测功能，能够识别通过自身的关键文件，以防止非法外传行为。能识别的关键文件类型应包含至少以下几类：文档类如*****、***、**********、****等，压缩文件类如***、****、***、***、***等，图像类如***、***、****等，音频视频类如***、***、***、***、****、***等，脚本类如***、***、***等，程序类如***、***、***、****_*****等。

7、系统应提供基于信誉的僵尸网络检测能力，具备可以持续升级的信誉库，***通过信誉库内的恶意网站**、C&***;C服务器地址的信誉值执行相应的检测动作。

8、系统应提供***信誉机制，在用户访问被植入木马的页面时，给予及时检测，协助管理员有效识别***安全威胁。

9、系统支持***分类库，提供中英文网页过滤数据库，实现高风险、不良网站过滤。

**、为方便运维管理员有效管理内网机器，对内网风险有效管理和屏蔽，要求入侵检测系统可识别并分析内网主机的接入数量和资产属性，可识别内网主机的操作系统、应用类型、浏览器等信息。

**、系统应提供丰富的报表功能，支持****事件、****源地址、****目的地址、****服务、事件类型分布与趋势、危险程度分类统计与趋势、风险级别统计与趋势以及交叉报表等多种报表模板；为便于分析，还应支持用户自定义报表模版，能够按照用户需求生成各种风格的统计报表。

**、系统应提供服务器异常告警功能，可以自学习服务器正常工作行为，并以此为基线检测处服务器非法外联行为。

8

网络态势感知设备

1、**标准机架设备，2**** **逻辑核，内存 ****， **** ***硬盘， *** ****硬盘，*兆电口 2个，扩展插槽 4个（支持扩展*兆电口、*兆光口、*兆光口），提供2**** 2.0接口、1********接口、1*****接口，冗余交流电源；平均处理能力≥*******。

2、监测范围包括但不限于网络安全设备、网络设备、数据库、中间件、操作系统、应用系统等，数据采集方式包括但不限于******、****/**** ****、***/****、****、***接口、**********、专用*****等方式。

★3、平台应支持内置***+设备日志解析规则查看以及筛选，包括但不限于网络设备（防火墙、交换机、网关）、安全设备（入侵检测设备、***攻击防护设备、***检测设备、防火墙、网络审计、流量探针等）、终端主机日志、数据库等。

4、平台应支持界面化配置规范化规则采集第*方日志实现异构日志格式归*化。解析规则支持正则表达式等前置过滤方式及****、**、***、正则表达式类型的解析规则，支持界面划取字段配置、多级解析提取嵌套字段、配置规范化规则对解析提取的字段进行字段类型、名称、取值规范化。

5、平台应支持对失陷资产进行判定并提供失陷资产的判定依据，包括但不限于失陷资产概要信息、攻击结果、攻击链分布阶段、失陷资产的攻击过程及过程判定依据如攻击特征、流量上下文、关联的告警日志及流量日志以及****包下载，并可快速扩展该失陷资产的全部攻击事件以及该失陷资产攻击者发起的攻击、该失陷资产的同类型威胁事件。

6、平台应支持专家模式的自定义规则，可支持行为分析、多源关联分析、机器学习等多种分析模式，同时可按需自定义生成的事件模版信息如威胁等级、攻击链阶段、事件类型、攻击意图等。

7、平台应支持资产发现能力，具备主动扫描发现资产的能力，主动扫描支持联动漏扫设备下发资产扫描策略并上报扫描结果；支持资产稽查比对，对于实时发现资产和已有资产库资产比对分析资产新增、变更、减少的情况，并支持对资产发现结果进行处理，可选择入库或者丢弃。

8、平台应支持漏洞扫描结果手动和自动验证能力，可手动选择部分漏洞处置单进行验证扫描，支持漏洞批量处置；支持漏洞扫描结果自动生成漏洞处置单的能力，支持对漏洞处置单闭环处理，可设置漏洞处置单状态包括：新增、待修复、已修复、已验证、单次忽略、永久忽略。

9、支持接入入侵防护日志、应用管理日志、认证日志、防病毒日志、数据防泄漏日志、***安全日志、运行日志、高级威胁日志、***过滤日志、***日志、***日志、内容审计日志、数据库审计日志等，并可以实现从攻击者视角呈现攻击拓扑及攻击分析结果和从受害者视角呈现被攻击拓扑及攻击分析结果。

**、平台可联动在线部署的***应用防火墙，实现对客户给定的互联网**段或网站域名进行扫描，比对已知网站资产备案情况，及时识别未备案的资产情况。

**、具备情报预警功能，实现情报和资产的关联分析生成威胁预警、漏洞预警，实现预警发布时的邮件通知/短信通知，支持预警的手工录入，形成有效警示作用。

**、平台应支持基于全流量数据进行流量纬度的可视化统计，包括流量趋势、应用分布、主机流量、端口访问、境外访问、主机外联、域名访问、***请求、高频访问页面、低频访问*** **。

**、平台应支持界面查看热点事件情报以及配置热点情报预警预警，支持界面配置关心的情报关键词和预警邮箱，当收到事件情报更新时自动匹配关键词，如果匹配中，触发预警发送邮件。

**、平台可联动本次采购的入侵检测系统，支持可视化展示运维事件详情，包括但不限于：事件关键属性如攻击结果、响应码、事件描述处置建议、攻击类型、原目的**端口等，攻击长镜头、攻击时序过程及攻击载荷、流量上下文、告警日志、关联的会话日志流量日志、情报命中信息以及可快捷扩展调查同类型或者同**或同资产的相关运维事件，攻击者使用的***&***;**中定义的战术及技术，处置历史及处置建议等，支持攻击证据如攻击载荷、流量取证****包导出，并支持运维事件详情报告的导出下载。

**、平台应支持针对**、域名、会话进行封堵，支持主机隔离、流量牵引等方式联动设备进行封堵，设备类型包括但不限于防火墙、抗拒绝服务系统、***应用防火墙、网络流量探针等；支持封堵状态获取及查看，支持判断封堵成功、封堵失败、解封成功、解封失败等状态；

**、平台支持安全治理能力，能够结合环境数据自动化评估安全治理等级和评分，安全治理等级应包括优、良、待改进*级，总评分应充分结合建设情况指标、运行能力指标、安全态势指标、合规指标等加权计算得到。

9

网络流量探针

1、硬件要求：标准机架尺寸，含交流电源，1个****串口，1个****带外管理口，2个***接口，4个**电口（内置电口******）,1个额外接口扩展插槽，**硬盘；

2、产品性能：网络层吞吐不低于*****，应用层吞吐量不低于****，最大并发不少于****，每秒新建不少于3*。

3、系统应提供覆盖广泛的攻击特征库，可针对网络病毒、蠕虫、间谍软件、木马后门、 扫描探测、暴力破解等恶意流量进行 检测和阻断，攻击特征库数量至少为****种以上，应能够有效抵御***注入等多种常见的应用层安全威胁。

4、入侵检测：系统应支持多种抗逃避检测技术，系统应提供入侵行为特征的自定义接口，可根据用户需求定制相应的检测和阻断规则，系统应能够有效抵御***注入等多种常见的应用层安全威胁，系统应提供***/****攻击检测能力，支持***/***/****/*** ********，以及***/**** ********等常见的***/****的攻击。

5、高级威胁检测：系统应提供服务器异常告警功能，可以自学习服务器正常工作行为，并以此为基线检测处服务器非法外联行为，系统应提供敏感数据外发的检测功能，能够识别通过自身的敏感数据信息（身份证号、银行卡、手机号等）。

6、系统应提供关键文件外发检测功能，能够识别通过自身的关键文件，以防止非法外传行为。能识别的关键文件类型应包含至少以下几类：文档类如*****、***、**********、****等，压缩文件类如***、****、***、***、***等，图像类如***、***、****等，音频视频类如***、***、***、***、****、***等，脚本类如***、***、***等，程序类如***、***、***、****_*****等。

7、系统应提供基于信誉的僵尸网络检测能力，具备可以持续升级的信誉库，***通过信誉库内的恶意网站**、C&***;C服务器地址的信誉值执行相应的检测动作。

8、系统应提供***信誉机制，在用户访问被植入木马的页面时，给予及时检测，协助管理员有效识别***安全威胁。

9、系统支持***分类库，提供中英文网页过滤数据库，实现高风险、不良网站过滤。

**、为方便运维管理员有效管理内网机器，对内网风险有效管理和屏蔽，要求入侵检测系统可识别并分析内网主机的接入数量和资产属性，可识别内网主机的操作系统、应用类型、浏览器等信息。

**、系统应提供丰富的报表功能，支持****事件、****源地址、****目的地址、****服务、事件类型分布与趋势、危险程度分类统计与趋势、风险级别统计与趋势以及交叉报表等多种报表模板；为便于分析，还应支持用户自定义报表模版，能够按照用户需求生成各种风格的统计报表。

**、系统应提供服务器异常告警功能，可以自学习服务器正常工作行为，并以此为基线检测处服务器非法外联行为。