2.1安全感知平台

技术指标

性能参数

尺寸：1U，单电源，6个千兆电口；

CPU 4核，标配内存32G、标配盘位数4，系统盘128G SSD，数据盘：4*4T SATA 盘位全部占用，共16T；

资产识别与管理

支持自动识别网络内部主机网段和外网网段；

支持通过流量中的应用内容自动区分网络内部网段IP是属于PC还是服务器；

支持自动识别资产，在不影响内部网络的前提下，通过主动发送微量包的扫描方式探测潜在的服务器以及学习服务器的基础信息，如：操作系统、开放的端口号等；

支持自动识别已知服务器，通过被动检测机制，对经过探针的流量进行分析，识别已知服务器对外提供的所有服务、已开放端口及端口传输的协议/应用等；

设备运行监控

▲支持通过SNMP协议，获取待监测设备机器名、CPU负载、内存使用和流量情况，同时也支持OID定制

脆弱性感知

▲支持通过镜像流量检测web流量中是否存在可截获的口令信息，分析web业务系统是否存在明文传输情况，避免因明文传输导致信息泄露的风险。（需提供截图证明）；

支持流量分析实时发现操作系统、应用、web存在的漏洞风险，看清网络脆弱性，并支持生成漏洞检测报告。

▲支持通过镜像流量检测数据包中存在的用户名和密码信息,通过分析密码的强度检测网络中存在的弱密码风险（需提供截图证明）

访问关系审计

支持记录用户网络当中南北向和东西向的访问信息，包括时间、五元组、具体应用、归属地、归属的探针设备、访问次数等各类实时信息；

支持识别应用类型超过1100种，应用识别规则总数超过3000条；

支持自动识别所有访问关系，并能够将访问请求进行归类：正常访问、风险访问、违规访问等；

威胁分析与检测

支持对服务器、客户端的各种应用发起的漏洞攻击进行检测，包括20种攻击类型共9000+以上规则；

支持对常见应用服务（HTTP、FTP、SSH、SMTP、IMAP等）和数据库软件（MySQL、Oracle、MSSQL等）的口令暴力破解检测功能。

要求具备独立的Web应用检测规则库，Web应用检测规则总数在3000条以上；

具备僵尸网络识别能力，行为规则达35万条以上，并能够与CNCERT、VIRUSTOTAL等国内外权威机构共享威胁情报

支持通过云端沙盒对全球威胁情报源进行验证，提取有效信息形成规则定期更新到僵尸网络识别库，增量提升检测能力；

支持检测业务的异常行为，从而识别业务是否已失陷被控制，并设立失陷等级和威胁等级展示当前业务的状态和产生的威胁程度；

▲支持SMTPFlow分析引擎，利用机器学习技术技术,发现主机发送可疑附件的邮件行为、伪造发件人发送邮件、发送钓鱼网站邮件和垃圾邮件等行为（需提供截图证明）

威胁感知与监测

支持对风险业务、风险用户进行详细举证，详细举证为什么评判该主机为失陷级，并针对每个举证的安全事件进行详细的描述，如具体事件、该事件带来的危害、如何进行处置；

支持基于威胁活动链的形式展现主机的安全状况，能够直观地展示主机正处于被黑客入侵的哪个阶段，是否已经被利用、以及威胁的程度；

支持基于内部资产之间的横向访问进行实时监测，从攻击、违规访问、可疑行为、风险访问的多个维度对所有数据包进行检测和分析；

支持基于可视化的形式展示威胁的影响面，通过大数据分析和关联检索技术，能够直观的看到失陷主机攻击了谁，被谁攻击了，帮助管理人员及时了解威胁的影响，并制定有效的处置动作；

支持以图形化大屏的方式展示资产/业务被外网攻击的实时动态地图，包括但不限于风险应用排行、外联业务风险TOP10、外联态势、最新事件等，支持国际、国内地图自主切换；

支持以图形化大屏实时展示全网安全事件与网络攻击态势，包括但不限于攻击事件、攻击源、危害级别等进行统计与展示；

▲支持基于用户/业务维度的访问关系梳理，可呈现该用户/业务已经通过哪些应用、协议和端口访问了哪些业务，这些访问是否是攻击、违规、远程登陆等行为，IT人员可清晰的看出已对哪些业务存在影响，也能推导当前用户是否已失陷（或可疑）。（需提供截图证明）

报表与日志管理

支持提供Word格式报表形式的综合风险报告，包含安全风险概况、业务与终端安全详情分析、安全规划建议等，综合分析业务系统和终端的安全风险详情；

支持接入自有防火墙、上网行为管理、终端EDR、虚拟安全系统和潜伏威胁探针,并在页面中显示安全组件接入的数量和状态；

▲支持与自有防火墙、上网行为管理设备进行联动响应，支持平台下发安全策略到防火墙上，阻断攻击IP；支持同步上网行为管理设备认证用户与mac地址，并实现与安全事件关联；（需提供截图证明）

支持通过syslog等接收、存储第三方设备的日志，并提供详细的字段搜索能力；

支持管控接入探针的统一升级，可展示当前所有接入探针的规则库日期、是否过期等，并支持禁用指定探针的升级；

其他

中标后三个工作日内，提供样机进行上述功能要求的逐一测试验证，全部通过后才能执行合同流程，测试中发现虚假应标的行为将予以废标处理并保留对该厂商追究相关责任的权利。

2.2潜伏威胁探针平台

技术指标

性能参数

性能：应用层吞吐1G，最大并发连接数：180W，新建连接数：6W；

1U设备，单电源，配有千兆电口4个、千兆光口2个；

部署模式

旁路部署，支持探针同时接入多个镜像口，每个口相互独立不影响

品牌要求

▲与安全态势感知系统为同一品牌；

基础检测功能

具备报文检测引擎,可实现IP碎片重组、TCP流重组、应用层协议识别与解析等；


具备多种的入侵攻击模式或恶意URL监测模式,可完成模式匹配并生成事件,可提取URL记录和域名记录,在特征事件触发时可以基于五元组和二元组(IP对)进行原始报文的录制；

监测识别规则库

能够识别应用类型超过1100种，应用识别规则总数超过3000条，具备亿万级别URL识别能力。漏洞利用规则特征库数量在4000条以上，漏洞利用特征具备中文相关介绍，包括但不限于漏洞描述，漏洞名称，危险等级，影响系统，对应CVE编号，参考信息和建议的解决方案；

异常会话检测

可实现对外联行为分析、间歇会话连接分析、加密通道分析、异常域名分析、上下行流量分析等在内的多场景网络异常通信行为分析能力；

深度监测能力

可提供网络流量的会话级视图,根据网络流量的正常行为轮廓特征建立正常流量模型, 判别流量是否出现异常,对原始流记录进行异常检测,可发现网络蠕虫、网络水平扫描、网络垂直扫描、IP地址扫描，端口扫描，ARP欺骗，IP协议异常报文检测和TCP协议异常报文等常见网络异常流量事件类型；

支持对节点检测节点内部主机外发的异常流量进行检测
支持对信任区域主机外发的异常流量进行检测，如ICMP，UPD，SYN，DNS Flood等DDoS攻击行为；

支持对常见应用服务（HTTP、FTP、SSH、SMTP、IMAP）和数据库软件（MySQL、Oracle、MSSQL）的口令暴力破解检测功能；

可提供最新的威胁情报信息，能够对新爆发的流行高危漏洞进行预警和自动检测；

高级检测

▲支持同步DNS审计日志，主要用于平台dns flow分析引擎进行安全分析；同步HTTP审计日志，主要用于平台http flow分析引擎进行安全分析；同步SMB审计日志，主要用于平台SMB flow分析引擎进行安全分析；同步SMTP审计日志主要用于平台smtp flow分析引擎进行安全分析

Web应用安全检测能力

支持HTTP 1.0/1.1，HTTPS协议的安全威胁检测；

▲支持针对B/S架构应用抵御SQL注入、XSS、系统命令等注入型攻击；支持跨站请求伪造CSRF攻击检测；支持对ASP,PHP,JSP等主流脚本语言编写的webshell后门脚本上传的检测；支持其他类型的Web攻击，如文件包含，目录遍历，信息泄露攻击等的检测；（提供相应的证明材料，包括但不限于界面截图、彩页、官网链接等）

产品应具备独立的Web应用检测规则库，Web应用检测规则总数在3000条以上；

支持敏感数据泄密功能检测能力，支持敏感信息自定义，支持根据文件类型和敏感关键字进行信息过滤；

支持对被Web网站是否被挂黑链进行检测；

僵尸主机检测

具备独立的僵尸主机识别特征库，恶意软件识别特征总数在50万条以上；

▲对于未知威胁具备同云端安全分析引擎进行联动的能力，上报可疑行为并在云端进行沙盒检测，并下发威胁行为分析报告；

违规访问检测

能够针对IP，IP组，服务，端口，访问时间等策略，主动建立针对性的业务和应用访问逻辑规则，包括白名单（哪些访问逻辑是正常的）和黑名单（哪些访问逻辑肯定是异常的）两种方式，并对检测到的违规访问进行实时告警；

流量记录

能够对网络通信行为进行还原和记录，以供安全人员进行取证分析，还原内容包括：TCP会话记录、Web访问记录、SQL访问记录、DNS解析记录、文件传输行为、LDAP登录行为；

管理功能

能够支持时间同步；

能够提供网络管理功能，可进行静态路由配置；

多次登录失败将锁定账号5分钟内不得登录；

可支持在线升级和离线升级，并依托安全感知平台进行统一管控；

可支持用户初次登陆强制修改密码功能；

可实时监控设备的CPU、内存、存储空间使用情况；

能够监控监听接口的实时流量情况；

集中管控

▲支持安全感知平台对接入探针的统一升级，可展示当前所有接入探针的规则库日期、是否过期等，并支持禁用指定探针的升级；（提供相应的证明材料，包括但不限于界面截图、彩页、官网链接等）

部署

支持旁路部署，对镜像流量进行监听；

可以多台采集器同时部署于客户网络不同位置并将数据传输到同一套分析平台；

售后服务要求

必须在深圳本地有厂家直属的服务办事机构，提供7*24小时快速上门服务和2小时内快速响应服务；

厂商资质

网络安全应急服务支撑单位证书（国家级）；