招标
中国地震台网中心国家地震烈度速报与预警工程网络安全设备第二批采购(安全管理平台)更正公告
金额
-
项目地址
北京市
发布时间
2021/09/30
公告摘要
项目编号0686-2141b4761326z
预算金额-
招标公司中国地震台网中心
招标联系人刘连国
招标代理机构北京国际贸易有限公司
代理联系人黄正010-65004038
标书截止时间-
投标截止时间2021/10/09
公告正文
一、项目基本情况
原公告的采购项目编号:0686-2141B4761326Z
原公告的采购项目名称:中国地震台网中心国家地震烈度速报与预警工程网络安全设备第二批采购(安全管理平台)公开招标公告
首次公告日期:2021年09月16日
二、更正信息
更正事项:采购文件
更正内容:
1、第一章 招标公告
采购需求:本项目为交钥匙工程,投标人为33个建设单位各交付一套实现本招标文件中所有功能的安全管理平台,国家/省级安全管理平台内容包括但不限于平台软件、承载软件所需的计算存储环境、用于流量采集的流量探针及实现平台功能所需的所有配件,构建国、省两级安全管理平台。各建设单位不再有任何额外的经费或软硬件用于支持安全管理平台建设。
更正为:本项目为交钥匙工程,投标人为33个建设单位各交付一套实现本招标文件中所有功能和性能的安全管理平台,国家/省级安全管理平台内容包括但不限于平台软件及为本项目开发定制的用于实现平台功能所需的数据流量采集探针,构建国、省两级安全管理平台。投标人为各建设单位安全管理平台提供运行所需的计算和存储资源环境及相关软件,达到本招标文件规定的功能和性能要求,部署在各建设单位机房内,使用期至质保期结束,质保期结束后提供系统迁移服务,相关安装、集成、调试、计算和存储资源的使用费用及质保期后的系统迁移费用均包含在本项目中。各建设单位不再有任何额外的经费用于支持本次安全管理平台建设。
2、第五章 采购需求
项目总体需求:本项目为交钥匙工程,投标人为33个建设单位各交付一套实现本招标文件中所有功能的安全管理平台,国家/省级安全管理平台内容包括但不限于平台软件、承载软件所需的计算存储环境、用于流量采集的流量探针及实现平台功能所需的所有配件,构建国、省两级安全管理平台。投标人须明确所提供的承载安全管理平台的计算存储环境、流量探针及实现平台功能所需的所有软件开发、硬件购置、配件, 各建设单位不再有任何额外的经费或软硬件用于支持安全管理平台建设。
更正为:本项目为交钥匙工程,投标人为33个建设单位各交付一套实现本招标文件中所有功能和性能的安全管理平台,国家/省级安全管理平台内容包括但不限于平台软件及为本项目开发定制的用于实现平台功能所需的数据流量采集探针,构建国、省两级安全管理平台。投标人为各建设单位安全管理平台提供运行所需的计算和存储资源及相关软件,达到本招标文件规定的功能和性能要求,部署在各建设单位机房内,使用期至质保期结束,质保期结束后提供系统迁移服务,相关安装、集成、调试、计算和存储资源的使用费用及质保期后的系统迁移费用均包含在本项目中。各建设单位不再有任何额外的经费用于支持本次安全管理平台建设。
3、第五章 采购需求
二、技术指标要求
1. 国家级安全管理平台技术指标要求
删除(十五)计算存储环境
4、第五章 采购需求
技术指标要求
2.省级安全管理平台技术指标要求
删除(十四)计算存储环境
5、第五章 采购需求
二、技术指标要求中删除关于提供证明材料形式的要求。修改为要求提供证明材料。具体更正内容见下:
国家级安全管理平台技术指标要求 数据采集系统
威胁情报系统
资产管理系统
数据中台系统
数据分析系统
日志检索系统
应急指挥系统
工单管理系统
联动处置系统
通报预警系统
安全态势系统
报表管理系统
信息共享交换系统
数据对接系统
省级安全管理平台技术指标要求 数据采集系统
威胁情报系统
资产管理系统
数据中台系统
数据分析系统
日志检索系统
工单管理系统
联动处置系统
通报预警系统
安全态势系统
报表管理系统
信息共享交换系统
数据对接系统
6、 第五章 采购需求
三.项目实施要求
7. 项目集成要求
1) 负责完成各建设单位安全管理平台的建设;
2) 负责主动协调各建设单位在其他网络安全采购项目中的集成商和设备生产厂商,负责主动对接各品牌的网络安全设备数据,负责建立各建设单位网络安全防护体系。
更正为:
1) 负责完成各建设单位安全管理平台的建设;
2) 负责主动协调各建设单位在其他网络安全采购项目中的集成商和设备生产厂商,负责主动对接各品牌的网络安全设备数据,负责建立各建设单位网络安全防护体系。
*3) 本项目为交钥匙工程,投标人为33个建设单位各交付一套实现本招标文件中所有功能和性能的安全管理平台,国家/省级安全管理平台内容包括但不限于平台软件及为本项目开发定制的用于实现平台功能所需的数据流量采集探针,构建国、省两级安全管理平台。投标人为各建设单位安全管理平台提供运行所需的计算和存储资源环境及相关软件,达到本招标文件规定的功能和性能要求,部署在各建设单位机房内,使用期至质保期结束,质保期结束后提供系统迁移服务,相关安装、集成、调试、计算和存储资源的使用费用及质保期后的系统迁移费用均包含在本项目中。各建设单位不再有任何额外的经费用于支持本次安全管理平台建设。
7、第七章 评标方法和标准
三、综合评分表
更正为:
8、提交投标文件截止时间、开标时间和地点
1.投标文件递交时间:2021年10月9日9时00分至2021年10月9日9时30分(北京时间)
2.投标截止时间:2021年10月9日9时30分(北京时间),逾期送达或者不符合规定的投标文件恕不接受。
3.投标文件递交地点:北京市朝阳区静安东里12号院4号楼国门大厦D座二层第二会议室
4.开标时间:2021年10月9日9时30分(北京时间)
5.开标地点: 北京市朝阳区静安东里12号院4号楼国门大厦D座二层第二会议室
更正为:
1.投标文件递交时间:2021年10月20日9时00分至2021年10月20日9时30分(北京时间)
2.投标截止时间:2021年10月20日9时30分(北京时间),逾期送达或者不符合规定的投标文件恕不接受。
3.投标文件递交地点:北京市朝阳区静安东里北1门红旗展厅二层会议室
4.开标时间:2021年10月20日9时30分(北京时间)
5.开标地点:北京市朝阳区静安东里北1门红旗展厅二层会议室
更正日期:2021年09月30日
三、其他补充事宜
四、凡对本次公告内容提出询问,请按以下方式联系。
1.采购人信息
名 称:中国地震台网中心
地址:北京西城区三里河南横街5号
联系方式:刘连国,010-59959279
2.采购代理机构信息
名 称:北京国际贸易有限公司
地 址:北京市朝阳区静安东里北1门人保白楼二层
联系方式:黄正、李姝、韩越,010-65004038
3.项目联系方式
项目联系人:黄正、李姝、韩越
电 话: 010-65004038
原公告的采购项目编号:0686-2141B4761326Z
原公告的采购项目名称:中国地震台网中心国家地震烈度速报与预警工程网络安全设备第二批采购(安全管理平台)公开招标公告
首次公告日期:2021年09月16日
二、更正信息
更正事项:采购文件
更正内容:
1、第一章 招标公告
采购需求:本项目为交钥匙工程,投标人为33个建设单位各交付一套实现本招标文件中所有功能的安全管理平台,国家/省级安全管理平台内容包括但不限于平台软件、承载软件所需的计算存储环境、用于流量采集的流量探针及实现平台功能所需的所有配件,构建国、省两级安全管理平台。各建设单位不再有任何额外的经费或软硬件用于支持安全管理平台建设。
更正为:本项目为交钥匙工程,投标人为33个建设单位各交付一套实现本招标文件中所有功能和性能的安全管理平台,国家/省级安全管理平台内容包括但不限于平台软件及为本项目开发定制的用于实现平台功能所需的数据流量采集探针,构建国、省两级安全管理平台。投标人为各建设单位安全管理平台提供运行所需的计算和存储资源环境及相关软件,达到本招标文件规定的功能和性能要求,部署在各建设单位机房内,使用期至质保期结束,质保期结束后提供系统迁移服务,相关安装、集成、调试、计算和存储资源的使用费用及质保期后的系统迁移费用均包含在本项目中。各建设单位不再有任何额外的经费用于支持本次安全管理平台建设。
2、第五章 采购需求
项目总体需求:本项目为交钥匙工程,投标人为33个建设单位各交付一套实现本招标文件中所有功能的安全管理平台,国家/省级安全管理平台内容包括但不限于平台软件、承载软件所需的计算存储环境、用于流量采集的流量探针及实现平台功能所需的所有配件,构建国、省两级安全管理平台。投标人须明确所提供的承载安全管理平台的计算存储环境、流量探针及实现平台功能所需的所有软件开发、硬件购置、配件, 各建设单位不再有任何额外的经费或软硬件用于支持安全管理平台建设。
更正为:本项目为交钥匙工程,投标人为33个建设单位各交付一套实现本招标文件中所有功能和性能的安全管理平台,国家/省级安全管理平台内容包括但不限于平台软件及为本项目开发定制的用于实现平台功能所需的数据流量采集探针,构建国、省两级安全管理平台。投标人为各建设单位安全管理平台提供运行所需的计算和存储资源及相关软件,达到本招标文件规定的功能和性能要求,部署在各建设单位机房内,使用期至质保期结束,质保期结束后提供系统迁移服务,相关安装、集成、调试、计算和存储资源的使用费用及质保期后的系统迁移费用均包含在本项目中。各建设单位不再有任何额外的经费用于支持本次安全管理平台建设。
3、第五章 采购需求
二、技术指标要求
1. 国家级安全管理平台技术指标要求
删除(十五)计算存储环境
| 指标能力 | 指标项目 | 重要性 | 指标要求 | 是否提供证明材料 |
|---|---|---|---|---|
| 计算存储环境 | 详细指标 | * | 国家中心平台提供不少于6个定制化的计算存储服务节点,作为安全管理平台基础运行环境,总共提供不少于2.4GHZ /核*12核*60线程的计算服务能力,提供不少于1536GB DDR4的内存服务能力,提供不少于288T存储服务能力。 投标人须明确所提供的承载安全管理平台的计算存储环境 | 否 |
4、第五章 采购需求
技术指标要求
2.省级安全管理平台技术指标要求
删除(十四)计算存储环境
| 指标能力 | 指标项目 | 重要性 | 指标要求 | 是否提供证明材料 |
| 计算存储环境 | 详细指标 | * | 每个省级安全管理平台提供不少于1个定制化的计算存储服务节点,作为安全管理平台基础运行环境。每个省级安全管理平台提供不少于2.2GHz*2核*10线程的计算服务能力, 提供不少于96GB DDR4的内存服务能力,提供不少于32T存储服务能力。 投标人须明确所提供的承载安全管理平台的计算存储环境 | 否 |
5、第五章 采购需求
二、技术指标要求中删除关于提供证明材料形式的要求。修改为要求提供证明材料。具体更正内容见下:
国家级安全管理平台技术指标要求 数据采集系统
| 指标能力 | 指标项目 | 重要性 | 指标要求 | 是否提供证明材料 |
|---|---|---|---|---|
| 数据采集 | 数据接入 | * | 实现接入并管理流量采集器、日志采集器,可实现建设单位指定的第三方采集器接入,包括但不限于不同品牌和型号的防火墙、入侵检测、入侵防御、网络安全审计、数据库审计、漏洞扫描系统、堡垒机、抗DDOS、WAF、防病毒系统、主机终端防护系统等设备。 | 否 |
| # | 通过多种方式实现对多种数据源的采集,包括但不限于通过Syslog、SNMP Trap、 Netflow 、JDBC 、WMI、 FTP、 SFTP、 agent、kafka 等采集方式对流量数据、安全设备告警数据、终端系统日志、应用日志、漏扫数据等多种数据源进行采集。 | 是 | ||
| | 实现新增kafka消息队列功能,自动标记kafka版本,自定义项目描述信息,提供连通性测试。实现新增创建kafka主题topic名称、分区和副本数,灵活定义工作流,数据存储分析更方便。 | 否 | ||
| 全流量采集 | * | 实现网络流量采集,国家级平台流量采集系统采集能力不低于2Gbps。流量探针需要接入的流量区域有:6个对外网络边界区、2个DMZ区和6个核心业务区。单台探针吞吐量不小于 1G ,具备并行接入8条镜像流量的能力。 | 否 | |
| # | 能够识别常见协议并还原网络流量,用于取证分析、威胁发现。实现识别包括但不限于http、dns、smtp、pop3、imap、webmail、DB2、Oracle、SQL Server、MySQL、PostgreSQL、Sybase、SMB、FTP、SNMP、telnet、nfs等协议,实现对VNC、SSH、RDP等协议的漏洞利用攻击检测。实现解析IPv6 地址、转换数据格式、解压缩。 | 是 | ||
| | 1.实现自定义协议和端口,满足在特殊场景下的流量抓取需要。实现流量的DFI和 DPI分析,实现对2-7 层协议的解析,基于流量行为的应用识别技术,实现对接入的网络流进行数据深度分析。 2.实现实时记录并保存完整的数据包,并对数据包全部内容信息可进行字段查询,实现自动识别并提取IP、TCP、 UDP等会话流及会话状态、时间等重要信息,并可对其还原。 具备https数据包解码功能,数据包时间戳最小单位精确到微秒。 3.实现网络中异常流量的监控和报警。包括但不限于异常的 HTTP 会话,异常的SMTP会话等,并可以对异常流量进行报警并分析。实现对网络中重点的应用流量进行监测和报警,包括但不限于SMTP,POP3,HTTP,FTP,DNS等应用进行检测和报警,实现通过发现可疑的行为进行深入到数据包级的分析。 | 否 | ||
| # | 实现识别流量中的文件传输行为和还原文件,并记录文件MD5发送至分析设备,实现还原包括但不限于HTTP、FTP_DATA、SMB、SMTP、POP3、WEBMAIL、IMAP、TFTP、QQ、NFS等主流协议中的文件。对还原的文件实现安全存储及管理,非授权帐号不能查看。 | 是 | ||
| | 需具备常见主流的会话流量监控记录功能,包括但不限于TCP/UDP会话记录、异常流量会话记录、web访问记录、域名解析、SQL访问记录、邮件行为、登录情况、文件传输、FTP控制通道、SSL加密协商、telnet行为、IM通信等行为描述。实现定义抓包流量的方向(双向或单向)、数量、IP 地址、端口或协议类型。实现对每个旁路镜像口(或更细颗粒度)的流量采集制定策略及策略组合。 | 否 |
威胁情报系统
| 指标能力 | 指标项目 | 重要性 | 指标要求 | 是否提供证明材料 |
|---|---|---|---|---|
| 威胁情报 | 威胁情报采集管理要求 | | 1.威胁情报数据查询性能不低于50000QPS。 2.实现根据威胁情报匹配逻辑,为数据添加威胁情报标签。对威胁情报进行增删改查、以及情报的本地导入等页面操作配制。实现威胁情报的数据更新,对未命中数据进行更新查询。 | 否 |
| 关联分析 | # | 威胁情报分析模型包括但不限于IP、域名、URL、文件Md5类型情报分析。实现实时匹配网络流量、系统日志、应用日志、以及主机日志,检测已知威胁和流行威胁,包含但不限于恶意链接、C&C、僵尸网络、挖矿软肋、勒索病毒、后门、木马等。 | 是 | |
| 情报源对接 | # | 实现与第三方威胁情报进行集成对接,并运用在数据分析、资产管理、通报预警等模块,增强安全威胁识别能力。 | 是 | |
| 行业威胁情报生成 | * | 实现将各类威胁情报和资产漏洞、网站可用性、网站篡改等数据采集内容进行相互关联,通过对接威胁情报、关键业务的各类告警数据,及时发现关键威胁,针对恶意链接、僵尸网络、勒索病毒、后门软件、蠕虫木马等安全风险,构建地震系统的专属情报,为地震系统安全运营提供情报支撑。 | 否 |
资产管理系统
| 指标能力 | 指标项目 | 重要性 | 指标要求 | 是否提供证明材料 |
|---|---|---|---|---|
| 资产发现 | 资产探测方式 | # | 实现主动探测识别资产信息。对路由可达的资产进行主动扫描,通过主动扫描的方式识别端口、服务、操作系统、数据库、中间件、设备类型及应用指纹(web开发语言、web前端框架)等。 实现通过流量被动检测资产信息。通过被动流量识别还没有被发现的资产,包括但不限于IP、URL等。 实现导入第三方资产信息数据。通过已有的第三方资产信息进行数据导入,实现资产信息全面捕获。 | 是 |
| | 实现互联网暴露探测。通过云端资产识别引擎对暴漏在公网的所有IP(外网发现的暴露IP/域名以及内网网络安全设备的公网IP)进行资产识别,包括但不限于域名(一级域名/二级域名/三级域名等)、端口/服务、操作系统等。 实现内网资产服务开放识别。 | 否 | ||
| 资产管理 | 资产总览 | | 实现对全网资产总览分析,包括资产概览、服务器运行状态、资产统计,其中 “资产概览”包括但不限于即将退库资产、全部资产数、核心资产数、资产组数、服务器数、终端数等; “服务器运行状态”包括但不限于服务器离线列表、服务器开放端口列表、服务器应用列表; “资产统计”包括但不限于资产组列表、资产来源列表、设备类型列表、操作系统分布、即将退库资产。 | 否 |
| # | 实现以业务系统视角归类展示资产基本信息、运行情况及安全风险,根据页面风险信息下钻到具体的资产脆弱性、威胁、告警和事件详情。 | 是 | ||
| 主机资产管理 | # | 实现通过资产探测发现主机资产,识别操作系统、开放的服务与端口、在线离线状态、资产类型。实现对业务/服务器资产分类,实现定义IP地址、所属资产组、主机名、责任人、责任人邮箱、所属业务、MAC、地理位置、操作系统、服务与端口、最近上线等信息。 | 是 | |
| 资产风险信息 | | 实现对资产、漏洞、弱口令、配置风险、安全事件等数据进行关联,直观展示资产的风险情况;通过资产信息逐级进行下钻直接查看资产存在的漏洞、弱口令、配置风险、安全事件等信息。实现资产入库的识别、入库审核、正常运转、退库等全流程的管理跟踪。 | 否 | |
| 第三方资产数据源接入 | # | 实现与主流第三方资产数据源对接,包括但不限于市场中主流的画方、白帽汇、哨兵云等第三方数据源系统,同时可手工导出/导入资产 实现多源资产数据的接入、治理和融合,包括但不限于漏扫、准入、桌管、CMDB、资产测绘、EDR、CWPP,通过资产的去重、字段融合,最终形成全面准确的资产台账。 | 是 | |
| 资产定义 | # | 实现对资产数据源做置信度的定义,对资产数据源的具体字段做置信度的定义。 系统提供多源资产信息的收集和归并,实现针对同一资产的多源信息的比对、去重和合并。 | 是 | |
| 威胁管理 | # | 实现将威胁的名称、等级、类型、源IP、目的IP、事件标签和状态、URL、责任人、主机IP等进行记录,对威胁进行误报研判,对威胁处置状态、等级分布、类型分布进行可视化报表统计,实现威胁黑白名单管理,通过资产类型、事件状态、等级、类型、名称、处理人、IP、时间以及关联分析等过滤和筛选安全威胁,进行批量封锁。实现根据时间不少于15s、30s、1min、3min,5min、10min等6个等级的时间刷新安全威胁,每个等级刷新时间不高于上述各等级时间 | 是 | |
| 脆弱性系统对接与管理 | | 实现对接漏扫等脆弱性发现设备及系统,对脆弱性信息的管理。包括但不限于针对IP、风险等级、资产类型、待处理/漏洞数,待处理/弱密码数,待处理/配置风险数据等进行记录,实现包括但不限于基于资产类型、处置状态、风险等级、风险类型、评估时间等进行检索,实现包括但不限于基于数据统计、资产处置状态分布、资产风险等级分布、资产风险类型分布等进行可视化统计展示。实现包括但不限于基于风险资产列出资产漏洞、弱密码、配置风险、漏洞信息类型等相关信息,列出处置状态如待审核、待处理、已修复、已防护等,以及扫描原理,发现时间,CVE-ID等信息。 | 否 | |
| 等保管理 | 等级保护管理 | # | 1.实现导入内部法律、内部制度、外部法律、外部制度等文档知识。 2.实现按照《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)中第二、三级网络安全等级保护的要求对信息系统按照安全通信网络、安全区域边界、安全计算环安全管理中心四个层面进行快速地合规性检查、分析、整改,并生成检测报告。 3.实现用户能新建检测任务,可以通过添加业务系统和被检测设备对目标信息系统进行合规检测。 4.实现对业务系统信息管理,能对业务系统信息进行新增、删除、以及检索。实现新建业务系统信息,添加业务系统名称、系统保护等级以及对应资产等信息,并实现信息编辑、修改、删除以及资产登记。 5.实现等保资产信息管理,能以业务系统的维度批量导入、导出用户资产信息。具备域管理和白名单管理能力,能实现以域和白名单的方式对资产信息进行管理。并为资产调研表模板以及设备信息模板,且能够下载,实现以统一格式收集登记资产信息并批量导入。实现信息按照业务系统和所在域的维度进行检索。 6.实现等保资产信息登记,能新建资产信息,记录设备名称、IP地址、设备所在域、所属业务系统、操作系统及版本、数据库管理系统及版本、中间件及版本、资产数量、重要程度等信息。并实现信息批量编辑、删除以及检索。 7.实现基于检查和分析结果在线查看或者导出报告,包括合规自检报告、配置优化指引报告、全局分析指引报告、人工核查指引报告,报告内容包括符合状态、主要问题、整改建议和指引等 8.实现多个系统合规自检结果的统一管理,通过集中管理页面呈现适用系统、保护等级、检测设备、不合规检测项、高风险项、待处理事项等 9.实现对系统合规自检结果的统一管理,用户能通过集中管理页面对核查结果进行管理,可选择符合状态以及添加符合说明 10.实现对系统自检出的不符合项提供整改建议,用户可在集中管理页面查看并依照整改建议进行信息系统的安全整改,提升信息系统安全性。 11、实现与资产数据的信息同步,结合资产、脆弱性进行等保信息的关联管控,实现特定资产的信息查询、研判。 | 是 |
数据中台系统
| 指标能力 | 指标项目 | 重要性 | 指标要求 | 是否提供证明材料 |
|---|---|---|---|---|
| 数据计算存储 | 处理能力 | * | 实现实时数据流汇聚与缓存,实现分区、多副本的分布式消息系统。 提供实时搜索和分析能力,实现通过横向扩展存储PB级数据,实时更新索引数据及快速检索,实时聚合与排序分析以及多数据类型与非结构化的全文检索。 | 否 |
| # | 实现存储资源管理包含kafka管理,持久化存储管理,数据库资源管理。管理kafka 配置信息,提供新增、编辑、删除kafka链接信息的功能。持久化存储(Elasticsearch)链接信息,以及MongoDB和Redis数据库的链接,新建、编辑和测试。 | 是 | ||
| 数据分析 | # | 实现实时流式数据分析、统计、处理,可实现通过横向扩展节点增加计算能力,实现实时性、高并发、高容错。 | 是 | |
| 离线分析引擎 | | 实现数据存储的分布式扩展及计算任务的分布式运行,通过横向增加计算节点扩容计算能力。 实现自动将待处理的数据划分为多个数据块,每个数据块由一个计算任务进行计算,并自动调度计算节点来处理相应的数据块。能够检测并隔离出错节点,并调度分配新的节点接管出错节点的计算任务。实现多备份冗余存储机制提高数据存储的可靠性,并及时检测和恢复出错的数据。实现通过Hadoop在可用的计算机集簇间分配数据并完成计算任务,方便地扩展节点。通过Hadoop架构在节点之间动态地移动数据,并保证各个节点的动态平衡。 | 否 | |
| 分布式搜索引擎 | | 提供Restful Api 接口、Java Api 接口和查询语法,实现用户以近实时的方式快速存储搜索和分析大量数据。实现多样化的数据存储,包括结构化文本、非结构化文本、数字数据或地理空间数据,同时实现以快速搜索的方式有效地对数据进行索引。 | 否 | |
| # | 通过分布式存储的部署方式保证数据可靠性,同时随着数据和查询量的增长,实现通过横向扩展节点方式适配业务的增长需求。 | 是 | ||
| 分布式消息队列 | # | 通过分布式消息队列实现消息接口、消息存储、集群管理、消息一致性功能。实现一次写入多次读出,避免多个系统共享数据时进行全连接式的低效推送。 | 是 | |
| 流式计算引擎 | | 提供实时流式数据分析、统计、处理能力,实现通过横向扩展节点增加计算能力,实现实时性、高并发、高容错,实现自定义窗口触发机制。 | 否 | |
| 元数据管理 | | 实现标准字段管理,字段映射值设置,实现将解析后的具体数据与预先定义好的目标字段进行映射,完成数据泛化的过程,字段对应表包含字段名,更新时间,字典管理和编辑、删除等操作。 | 否 | |
| 日志检索 | # | 实现通过类SQL的搜索处理语句对数据进行复杂全文检索,实现多个条件之间串联,提供便捷易用的全文检索能力。实现对于各类日志字段及安全事件类型的检索查询,协助事件下钻溯源。搜索处理语句文法实现包括但不限于字段过滤、聚合、高亮等不同功能,通过对上述功能的组合,实现对数据进行深入查询分析,基于=、!=、like、EXIST新增查询条件。 | 是 | |
| 数据治理 | 数据治理方式 | # | 实现通过可视化配置的方式对采集到的多种来源的数据进行数据治理,包括但不限于数据过滤、数据解析、数据标准化、富化、添加标签等。 | 是 |
| 数据预处理 | | 提供信息预处理功能,通过简捷配置相关解析规则、过滤规则、富化规则、日志类型,来达到归一化、过滤、丰富、分类日志信息的目的。 | 否 | |
| 解析规则与模型 | # | 日志接入实现图形化界面配置日志解析条件,利用正则表达式、分隔符、Key-Value、JSON等方法定义解析规则。 实现新增和导入实时数据解析模型分组,可创建工作流,写入数据源消息队列,并实现工作流批量发布,实现自定义解析模型。 | 是 | |
| 数据分析 | # | 实现kafka算子画布拖拽,定义算子参数。通过定义解析规则用于对数据的预处理,将外部数据源解析为平台统一的标准数据格式并可实现对字段进行增加或修改。实现配置解析规则,解析分为CSV,KV,JSON,grok正则,正则等五种形式,且实现多层嵌套解析,如json中含csv解析。 | 是 | |
| 数据ETL解析与过滤 | | 1.实现获取用户配置好的数据格式,包括但不限于CSV、KV、JSON、grok、正则、xml或嵌套格式,按照格式进行多层解析,获取数据中每一个字段。 2.数据过滤实现多字段、多条件进行组合,形成复杂的过滤条件,满足分析场景中灵活的需求;标签算子,可结合地理位置、资产信息、黑白名单和威胁情报等信息,为不同应用场景提供不同的选择。通过过滤算子操作符,将过滤的条件信息与字段信息传给计算引擎,生成特定得到执行表达式。 | 否 | |
| 数据资产标签 | | 通过画布中的标签算子,使用拖动等简单动作,进行简单配置即可完整打内外网标签功能,且内置异常策略满足不同用户在打标签出现的异常场景。 | 否 | |
| 自定义数据处理算子 | # | 实现用户自定义FlinkSQL算子、UDF算子,并且通过规范化处理,能够无差别的在画布中使用。 | 是 |
数据分析系统
| 指标 能力 | 指标项目 | 重要性 | 指标要求 | 是否提供证明材料 |
|---|---|---|---|---|
| 威胁 检测 | 威胁分析 | # | 1.实现基于AI的webshell通信流量检测,实现检出加密(如冰蝎)的通信流量。需具备650+webshell规则检测,且覆盖webshell整个攻击阶段检测,包括webshell上传点探测、webshell上传下载、webshell通信。 2.实现元数据行为分析引擎:httpflow、dnsflow、adflow、icmpflow、maillflow等, 通过异常行为分析,结合各类机器学习算法完成未知威胁检测。包括但不限于内网穿透、代理、远控、隧道、反弹shell等事后检测场景。 3.挖矿专项检测页面具备挖矿攻击事前、事中和事后全链路的检测分析能力,综合运用威胁情报、IPS特征规则和行为关联分析技术,如检测发现文件传输(上传下载)阶段的异常,对挖矿早期的准备动作即告警。 4.实现不少于230个情报源,DNS信誉库总量不少于2000万,其中黑名单不少于100万,URL信誉库总量不少于1亿,其中URL分类库不少于3000万,文件样本库总量不少于10亿,每日新增不少于200万。支持威胁情报关联分析,内置威胁情报数量不少于160W。 5.实现具备静态文件检测引擎、AI智能引擎、查杀引擎、webshellkiller引擎,利用LSA, AutoEncoder, LogicRegression, SVM, 随机森林,XGBoost等多种机器学习算法组合进行综合研判。实现采用AI技术针对无文件落地的恶意脚本进行检测。 6.实现通过不断下钻的特征向量提取和聚类算法有效检出邮件威胁。实现对smtp、imap、pop3、webmail等邮件协议审计,提取邮件正文和附件中的流量,并对邮件附件、正文链接、邮件行为、发件人等多维度进行规则和机器学习检测,从而识别出钓鱼邮件、病毒邮件、垃圾邮件、鱼叉式钓鱼等恶意邮件。 | 是 |
| 数据分析 | 批流画布工具 | # | 1.实现通过类似Visio的拖拽方式自定义威胁检测模型,实现无代码的建模。 2.实现通过导入自定义javaUDF的方式检测算子的定制个性化需求。 3.对模型进行在线调试功能,能够在页面测试规则的运行结果。 | 是 |
| 威胁检测算法 | # | 实现通过对多源数据(网络流量、系统日志、应用日志等)进行特征匹配、关联分析、聚合统计、威胁情报分析、机器学习、和深度学习建模广泛覆盖现网威胁。包括但不限于账号安全检测、邮件安全检测、web攻击检测、漏洞攻击检测、C&C检测、文件检测、和违规检测等。 | 是 | |
| 异常检测算法 | | 实现通过机器学习、深度学习对主机数据、用户行为数据、和网络流量数据进行建模,建立正常行为基线,发现内部违规和高级别攻击。异常检测模块包括但不限于主机异常检测、用户行为异常检测、和网络流量异常检测。 | 否 | |
| 威胁定性算法 | # | 1.实现上下文、资产和脆弱性数据、威胁情报等数据的大数据关联分析,对安全设备上报的海量告警数据的威胁定性并确定威胁等级和主机失陷等级。 2.挖掘攻击成功事件,包括暴力破解成功识别、Web攻击成功识别、漏洞攻击成功识别等。识别持续性攻击,包括但不限于过去一段时间内,持续对进行攻击威胁的攻击源,其攻击技术、手法、攻击频率,及可能带来的危害。 | 是 | |
| 告警优化算法 | * | 实现将建设单位指定的各个不同品牌和型号的安全设备、安全产品、安全系统、各厂商的安全算法模型上报的海量安全告警通过大数据关联分析将聚合、归并、关联、统一,并进行归并去重优化、白名单优化、攻击场景优化。 | 否 | |
| | 实现通过可视化配置的方式,配置告警优化规则,包括白名单规则。 | 否 | ||
| 资产和脆弱性数据优化算法 | | 1.实现各数据来源收集到的资产数据、资产脆弱性数据进行归并、去重、去错等处理,形成规范的的资产库和资产脆弱性库。资产和脆弱性数据优化算法模型同其他安全算法模型一样,通过提交作业的方式运行在大数据平台上。 2.通过威胁情报(如IP、域名、URL、文件Md5等)关联匹配流量日志、应用日志以及主机日志,检测已知威胁和流行威胁。包括但不限于恶意链接、C&C、僵尸网络、挖矿软肋、勒索病毒、后门、木马等。 | 否 | |
| 算法模型配置与管理 | # | 实现基于可视化的方式进行安全算法建模,并把将完成的算法模型转换为作业,通过大数据平台的API,提交作业,运行在大数据平台上。提供算法模块管理页面,用于管理各算法模型,监控算法模型的运行状态,算法模型的启停,提供算法模型导入,并展示算法模型的运行结果。 | 是 | |
| 威胁/事件分级 | # | 实现将综合事件、威胁的安全风险等级以及资产重要程度进行排序,让运营人员优先处置高优先级事件、威胁。 | 是 | |
| 脆弱性风险分级 | | 实现对主动扫描和主机agent检测到的已存在漏洞进行优先级排序。通过资产重要程度、漏洞影响的资产范围、漏洞风险等级以及威胁情报对漏洞进行优先级排序。 | 否 | |
| 事件升级和流转 | | 实现威胁向告警,告警向事件的升级处理流程,提升告警的等级和处置效率,将告警/事件/脆弱性标记为待流转,通过安全运营模块的流程工单,流转执行事件的分析处置过程。 | 否 | |
| 上下文补全 | # | 实现针对某一告警事件的上下文信息补全功能,所涉及的信息事件包括事件的公共信息,比如资产信息,也包括特殊事件事件所涉及到的指定信息,如漏洞信息,威胁情报等信息,相关信息提供给运营人员确认该安全事件是否为有效事件;实现添加其他用户协同分析,通过短信、邮件等方式通知被邀请用户,用户登录安全运营模块后可看到协助的事件并进行处理。 | 是 | |
| 上下文信息举证编排 | | 实现将常见的安全事件举证信息关联的自定义编排,包括但不限于资产信息、漏洞信息、历史访问、攻击IP信息、攻击溯源、原始流量日志、攻击载荷、算法模型溯源、相关网络 安全设备日志等。 | 否 | |
| 告警展示 | # | 1.实现通过告警归并、白名单、攻击链还原等方式进行安全告警降噪,消除无效告警,提升安全运营效率。 2.实现在事件初判阶段的深入分析,帮助安全运营人员对事件进行事件初判以及溯源分析,所展示的信息不全时,实现提供兜底的数据搜索框,通过数据搜索框,使用搜索处理语句进行溯源数据的搜索,同时可以设定搜索出来的数据的展示方式,展示方式包括列表,柱状图,饼状图等。 3.实现展示算法模型分析后的结果。针对威胁事件提供多维度信息展示,如事件上下文、事件关联信息、文件信息、资产信息等,提供处置过程管理和处置状态变更等功能,以方便事件的分析、溯源与处置。 | 是 |
日志检索系统
| 指标类型 | 指标项目 | 重要性 | 指标要求 | 是否提供证明材料 |
|---|---|---|---|---|
查询 检索 | 技术指标 | | 充分考虑大数据量存储、系统高可用、检索和分析效率等要求,系统达到50000EPS的系统处理能力,实现PB级数据秒级查询。 | 否 |
全文检索 | # | 实现提供对日志、威胁、告警的全文检索功能,可以基于任意关键字进行查询,包括源地址、目的地址、源端口、目的端口、协议、URL、事件名称等字段为条件的日志检索,检索的结果以列表的形式展示。 | 是 | |
检索方式 | | 1.通过数值字段,包括但不限于大于,小于,大于等于,小于等于,区间(大于,小于,大于等于,小于等于组合)等范围过滤。 2. 实现基于时间段的查询,提供常用时间段、相对时间间隔、绝对时间间隔的查询方式,以不同的时间维度来对日志进行过滤查询。 3.实现按照某个字段值的过滤。实现在web页面上直接将字段值添加进搜索条件,以及从搜索条件中排除等。 4.过滤条件实现自定义增加和减少,提供点击某IP地址、事件名称等各类字段数据的过滤条件增加功能,方便对日志进行进一步的提取,以展开更深入的安全分析。 | 否 | |
查询结果自定义 | # | 实现日志查询结果列表中字段的自定义功能,字段可自定义,包括但不限于告警名称、告警级别、事件类型、源地址、目的地址、源端口、目的端口等。 | 是 | |
搜索处理语句 | # | 通过搜索处理语句实现: (1)对日志搜索或日志统计的结果按照某个字段或某几个字段进行升序/降序排列,默认升序。 (2)对搜索结果进行截断。 (3)选取部分结果。 | 是 | |
| 分析展示 | # | 实现日志的统计图分析,查询结果会以基于时间轴的柱状图显示。实现日志检索结果的字段排名显示,可显示基于某字段的日志数量排名,并提供进一步的检索钻取。 | 是 |
应急指挥系统
指标能力 | 指标项目 | 重要性 | 指标要求 | 是否提供证明材料 |
|---|---|---|---|---|
| 应急指挥 | 指挥大屏 | # | 实现以可视化的方式展示应急指挥过程中事件涉及资产情况,失陷情况,风险IP; | 是 |
| | 1.实现查看全局事件流转动态,并标注个阶段执行情况; 2.实现查看涉及风险资产状态,处置进度,对应执行人; 3.实现查看当前对应的值班人员情况,对应组织与联系方式; 4.实现查看针对事件类型分布的统计数据; | 否 | ||
| # | 实现滚动展示流转过程中个环节对应事件的最新执行情况; | 是 | ||
| 对抗防守分析 | | 实现将多条日志以同源IP、同目的IP、同攻击手法的形式归并展示,避免安全告警被海量数据掩盖,可以对关注的告警进行及时监控。 | 否 | |
| 协同指挥 | | 实现上下级单位的数据上报和数据下发,分发调度执行任务,辅助应急指挥人员了解突发事件发生、发展状况,通盘掌握应急处置情况。 | 否 | |
| 应急预案管理 | | 1.实现基于实际情况修改应急预案流程,实现应急预案电子化。 2.实现对应急预案流程的灵活编排与演练观摩,包括但不限于启用应急演练、事件定级与预警、响应进展监测、处置、评估总结等。 | 否 | |
| 操作管理 | | 1.实现对项目任务进行管理(增删改查); 2.可定义基于项目维度及管理、监测、研判、处置等不同角色建立对应账号。 3.实现平台级联管理,上级节点可以收集展示下级告警信息,支持3级平台级联;支持级联状态的监控. | 否 | |
| 管理视角 | | 1.实现基于监测角色所负责事件的上报录入工作。 2.实现基于研判视角所负责的事件认领与研判信息登记录入工作。 3.实现基于处置视角所负责的研判事件认领与处置动作登记录入工作 4.实现针对事件流转过程与流转结束后事件在各流转环节的信息审查; | 否 |
工单管理系统
指标能力 | 指标项目 | 重要性 | 指标要求 | 是否提供证明材料 |
|---|---|---|---|---|
| | 流程处置剧本 | # | 实现新建剧本并关联事件,提供手动执行和自动执行触发剧本执行,具备动作、过滤、决策、文本、人工介入审批等,通过图形拖拽连线形成完整事件处置流程剧本。支持and、or、not、==、!=、in、not in、>、>=、<、<=、else if、纯文本、富文本等方式添加过滤规则。 | 是 |
安全运营流程自定义 | # | 1.通过安全运营工具,创建安全运营流程用以辅助日常安全运营工作,包括但不限于资源申请、公文下发等。 2.实现对新增或已有的安全运营流程各个节点进行新增、删减、顺序调整等操作,匹配安全运营流程节点中各个组织、责任人的加签、处置、跳转等场景。 | 是 | |
公共字段自定义 | # | 实现对各安全运营流程节点的公共字段(内容)进行调整,如:名称、内容、通知放、抄送方、附件添加、建议、评价等,满足各流程节点的推动所需的相关信息。 | 是 | |
工单任务下发 | # | 实现将监测的网络威胁、风险及事件向下级单位通报反馈情况、整改情况及处罚情况,工单下发方式包括但不限于短信、邮件等。 | 是 | |
| * | 负责实现与现有的第三方工单系统集成对接,将监测的网络威胁、风险及事件、已下发通报反馈情况形成工单任务,实现工单流转。实现国家中心向省级中心下发工单并实时跟踪进展情况。 | 否 |
联动处置系统
| 指标 类型 | 指标 项目 | 重要性 | 指标要求 | 是否提供证明材料 |
|---|---|---|---|---|
| 联动 处置 | 多源对接兼容 | * | 实现对建设单位指定的包括但不限于不同品牌和型号的防火墙、入侵检测、入侵防御、网络安全审计、数据库审计、漏洞扫描系统、堡垒机、抗DDOS、WAF、防病毒系统、主机安全防护系统等设备的兼容适配。 | 否 |
| 应急处置 | | 发生网络安全事件时,系统通过与安全设备联动,通过自动或手动方式下发阻断策略,实现对网络安全事件的抑制效果。 系统具备多种模式的处置策略,以满足不同情况的处置灵活性。主要包括如下处置模式: 1)全局阻断模式:针对造成严重的攻击行为或暴露出非常严重的漏洞,继续开放网络服务会造成更严重的局面,针对这种情况采取全局的阻断,对业务服务或网络访问进行阻断,停止对外提供服务。 2)局部阻断模式:针对威胁IP攻击的范围、对象特征进行局部的阻断,例如针对特定信息系统WEB服务器的攻击,只局部阻断特定IP地址对WEB服务器的访问,减少业务中断范围,保障业务的连续性。 | 否 | |
| 处置能力剧本化 | | 针对不同的安全事件,系统提供不同的场景化阻断策略(剧本)进行处置,至少提供6类剧本。 | 否 | |
| | 网络扫描攻击处置剧本:发生网站目录扫描、主机探测、端口扫描等网络扫描事件时,能够联动出口防火墙或其他出口安全设备实现对恶意IP地址进行封堵,阻断网络扫描。 | 否 | ||
| | 暴力破解攻击处置剧本:遭受暴力破解攻击时,确认攻击源IP以及攻击目标系统后,系统能够联动出口防火墙设备或其他安全设备,对恶意IP地址进行封堵,阻断网络暴力破解,确保网络信息安全。 | 否 | ||
| | 网页篡改攻击处置剧本:发生网页被篡改时,能够联动防火墙、负载均衡或其他安全设备进行处置,实现以下效果: 1、在出口防火墙对目的IP地址、目的端口和传输层协议进行策略控制,执行精细化的防御阻断,阻止对被篡改的网站的访问传播,及时减少损失和影响。 2、将攻击者IP地址加入出口防火墙黑名单,防止其进一步攻击或横向攻击,影响其他业务系统。 3、对接出口防火墙或负载均衡设备,通过对NAT功能进行操作,将被篡改网站的公网地址映射到维护页面服务器的IP地址,实现被篡改网站重定向到维护页面。 | 否 | ||
| | DDoS攻击攻击处置剧本:遭受DDOS攻击时,系统能够通过对出口防火墙、抗DDoS设备、或其他安全设备下发策略,对发起UDP Flood、SYN Flood、DNS Flood、HTTP Flood、DNS amplificatio、NTP amplification等攻击的IP进行封堵;若遭受的是“肉鸡攻击”,系统能够通知值守人员以便联系运营商进行流量清洗。 | 否 | ||
| | 病毒攻击处置剧本:遭受病毒攻击时,系统能够联动杀毒软件,对相关主机进行杀毒,并通过“微隔离”技术做到网络隔离,阻断其与外部互联,防止感染设备与网内其他设备通信,降低横向扩散感染的风险。 | 否 | ||
| | 自定义阻断:提供自定义应急处置手段,根据工作需要可通过输入源IP地址、源端口、目的IP地址、目的端口、协议等,灵活的对相关的设备或业务进行阻断。 | 否 | ||
| 处置记录 | # | 应急处置能力在执行过程中,详细记录执行信息,包括:应急处置执行人、处置命令、执行设备信息、执行时间、执行结果等信息,将应急处置记录实时展示,为处置调度人员及时掌握应急处理进度、处置内容,全局掌控指挥调度,并为后续对故障告警或安全事件应急处置过程进行复盘分析提供帮助。 | 否 | |
| 联动响应 | * | 实现与建设单位指定的不同品牌和型号的安全设备对接,实现通过RESTFUL API的方式对接第三方设备进行响应闭环,包括但不限于建设单位指定的不同品牌和型号的防火墙、入侵检测、入侵防御、网络安全审计、数据库审计、漏洞扫描系统、堡垒机、抗DDOS、WAF、防病毒系统、主机安全防护系统等设备。联动响应动作包括但不限于防火墙的指定IP封锁、URL封锁等,主机安全防护系统的病毒扫描查杀、访问控制、网页重定向等。 | 否 | |
| 自动编排响应 | # | 1.实现自动化风险处置编排流程,不同类型安全事件的分析处置响应流程,平台管理员可自定义安全编排剧本。 2.自动化编排剧本可实现动作节点、过滤节点、决策节点、文本化节点、人工审批节点、人工录入节点、阶段节点等类型,动作节点支持调用情报类、终端类、管控类、通讯类设备/系统,实现策略管控和下发。节点之间的参数传递支持基于事件上下文的信息传递,如url、域名、源目的地址、文件名称、发件人、文件大小、事件等级、事件类型、事件首次发生时间、事件最后一次发生时间、事件名称、事件来源等。 3.实现通过SOAR编排实现同网络安全设备的联动,实现对威胁的快速响应与处置。 | 是 |
通报预警系统
| 指标能力 | 指标项目 | 重要性 | 指标要求 | 是否提供证明材料 |
|---|---|---|---|---|
| 级联管理 | 上下级联 | * | 支持国家中心-省级中心-中心站三级以上的级联管理架构,实现告警数据、通报数据在三级平台间的互联互通。 | 否 |
| 通报预警 | 事件通报 | | 1.实现通报事件统计,包括待通报数量、待认领数量处理中数量、已超时数量、已归档数量;支持通报分支统计,包括通报分支次数TOP5、分支处理时长TOP5、通报事件危害影响面,通报分支趋势等。 2.实现待通报工单事件展示,包括事件描述、事件危害、所属单位、事件等级、发现时间等信息,支持批量事件通报功能,待通报事件详情查看,自定义添加举证信息;支持单位视角、安全事件、漏洞风险、攻击威胁、威胁等级等维度检索与展示。 3.实现通报中工单事件展示,包括事件描述、事件危害、所属单位、事件等级、处理时间、通报时间、事件ID、通报状态等信息;支持单位视角、安全事件、漏洞风险、攻击威胁、威胁等级等维度检索与展示;支持自定义处置时间,超时提醒。 4.实现通报事件归档,包括事件描述、事件危害、所属单位、威胁等级、处理时间、归档事件等;支持事件处置效率统计和绩效评价。 | 否 |
| 情报管理 | | 1.实现威胁情报预警功能包含事件的详细描述,并针对事件提供解决方案;支持自定义情报功能,包括标题、情报类型、摘要和附件。 2.实现情报预警归档,包括情报名称、情报类型、推送时间、发布时间等;支持情报类型、时间、名称等维度检索与展示。 | 否 | |
| 自动研判 | | 实现安全事件、漏洞隐患、攻击威胁自动研判,可基于安全等级,如已失陷、高可疑、低可疑、高危、中危、低危等条件;实现自定义工单邮件通报预警模板,可定义主题、附件、正文等内容。 | 否 | |
| 分级权限管理 | | 实现自定义分级通报预警管理权限,分支管理员具备独立的通报预警页面,分支管理员只能管理和查看所分支所属的业务和终端的工单信息。 | 否 |
安全态势系统
| 指标能力 | 指标项目 | 重要性 | 指标要求 | 是否提供证明材料 |
|---|---|---|---|---|
| 安全态势 | 大屏展示 | # | 1.实现大屏展示综合安全态势,包括资产态势、脆弱性态势、网络攻击态势、安全事件态势、外连态势、横向威胁态势、设备运行态势;实现页面跳转到对应态势大屏,并具备大屏告警能力。 2.实现大屏展示资产态势,包括服务器操作系统分布、服务器开放服务TOP5、最新资产动态、最近变动资产。 3.实现大屏展示安全事件态势,包括安全事件、事件等级分布、安全事件态势、安全事件TOP5、威胁面最大的事件TOP10、事件类型TOP5、风险业务/终端TOP5。 4.实现3D地球大屏展示网络攻击态势,包括攻击次数、遭受攻击资产组、攻击源地址、攻击源IP、攻击手段排行、遭受攻击服务器排行;可实现境外、境内切换。 | 是 |
| 大屏展示 | # | 1.实现大屏展示安全事件处置流程、应急响应流程状态。 展示全国地震烈度速报预警系统的网络安全动态,并实现统计数据的反查、钻取、对比及预警等。 2.实现对接入大数据平台的数据源的类型和数据量进行统计、模型的数量和运行状态进行监控、平台的资源消耗进行监控 3.实现以业务视角进行资产的可视化大屏展示,包括核心业务安全状态、业务资产脆弱性态势、被攻击态势等。实现根据页面风险信息下钻到具体的资产脆弱性、威胁、告警和事件详情中,实现对业务资产的全生命周期管理。 4. 实现以业务系统视角展示遭受攻击状况的可视化呈现,同时根据攻击信息下钻到具体的资产脆弱性、威胁、告警和事件详情中。 5、各省级安全管理平台按照数据标准规范要求,将授权确认后的安全事件数据上报至国家中心安全管理平台,平台以丰富的图形表格结合的方式多维度的统计、展示国家地震烈度速报与预警系统的网络安全动态,并实现统计数据的反查、钻取、对比及预警等。 | 否 | |
| 自定义BI | | 实现以拖拽式自定义BI方式进行大屏布局设计,支持饼图、柱状图、折线图、堆叠图等多种图表类型,提供大屏设计模板 | 否 |
报表管理系统
| 指标 能力 | 指标 项目 | 重要性 | 指标要求 | 是否提供证明材料 |
|---|---|---|---|---|
报表管理 | 全网安全态势报告 | # | 实现根据建设单位具体需求,定制化开发相应报表。快速生成月度、季度、年度报表,包含网络安全整体解读、网络安全风险详情、重保活动情况、告警及事件响应盘点等,帮助用户高效汇报,体现安全工作价值。 | 是 |
| 报表要求 | | 1.实现查看系统中报告列表,包括名称、大小和时间。可通过报告名称、报告类型对报告进行搜索查询。实现对pdf、html等格式的报表下载。 2.实现新增创建调度任务,包括任务名称、模板、周期、开始结束时间。周期支持日报、周报、月报、季报、年报。 3.实现报告列表的搜索、下载、查看和删除功能。实现报告批量删除功能。 4.能够对模板进行自定义编辑。 | 否 |
信息共享交换系统
| 指标类型 | 指标项目 | 重要性 | 指标要求 | 是否提供证明材料 |
| 信息共享 | 行业内信息交换 | | 通过信息共享交换模块,实现地震行业内部安全事件、情报信息等安全信息的共享交换。 | 否 |
| 外部信息交换 | | 通过API数据交换接口,负责实现与网信办、公安、应急管理部等监管单位的数据共享交换。 | 否 |
数据对接系统
| 指标类型 | 指标项目 | 重要性 | 指标要求 | 是否提供证明材料 |
| 数据对接 | API接口 | | 实现通过Restful API对接第三方接口,实现内容包括但不限于受监控IP模块数据、已配置服务器相关信息数据、资产信息-终端数据、风险业务及风险终端数据等的定时获取、解析和富化,对安全事件数据、脆弱性-弱密码数据、脆弱性-漏洞信息数据、脆弱性-明文传输数据等的实时获取、解析和富化。 | 否 |
省级安全管理平台技术指标要求 数据采集系统
| 指标 能力 | 指标 项目 | 重要性 | 指标要求 | 是否提供证明材料 |
|---|---|---|---|---|
| 数据 采集 | 数据 接入 | | 1.实现接入并管理流量采集器、日志采集器,可实现建设单位指定的接入包括但不限于不同品牌和型号的防火墙、入侵检测、入侵防御、网络安全审计、数据库审计、漏洞扫描系统、堡垒机、抗DDOS、WAF、防病毒系统、主机终端防护系统等设备。 2.通过多种方式实现对多种数据源的采集,包括但不限于通过Syslog、SNMP Trap、 Netflow 、JDBC 、WMI、 FTP、 SFTP、 agent、kafka 等采集方式对流量数据、安全设备告警数据、终端系统日志、应用日志、漏扫数据等多种数据源进行采集。 3.实现新增kafka消息队列功能,自动标记kafka版本,自定义项目描述信息,提供连通性测试。支持新增创建kafka主题topic名称、分区和副本数,灵活定义工作流,数据存储分析更方便。 | 否 |
| | * | 实现网络流量采集,每个省级安全管理平台流量采集系统采集能力不低于1Gbps,流量探针需要接入的流量区域有:6个对外网络边界区、2个DMZ区和6个核心业务区,单台探针吞吐量不小于 1G ,具备并行接入8条镜像流量的能力 | 否 | |
| 全流量 采集 | | 1.能够识别常见协议并还原网络流量,用于取证分析、威胁发现,实现识别包括但不限于http、dns、smtp、pop3、imap、webmail、DB2、Oracle、SQL Server、MySQL、PostgreSQL、Sybase、SMB、FTP、SNMP、telnet、nfs等协议,实现对VNC、SSH、RDP等协议的漏洞利用攻击检测。实现解析IPv6 地址、转换数据格式、解压缩。 2.实现自定义协议和端口,满足在特殊场景下的流量抓取需要。 3.实现流量的DFI和 DPI分析,实现对2-7 层协议的解析,基于流量行为的应用识别技术,实现对接入的网络流进行数据深度分析。 4.实现实时记录并保存完整的数据包,并对数据包全部内容信息可进行字段查询,实现自动识别并提取IP、TCP、 UDP等会话流及会话状态、时间等重要信息,并可对其还原。具备数据包解码功能,数据包时间戳最小单位精确到微秒,支持https数据包解码。实现网络中异常流量的监控和报警。如异常的 HTTP 会话,异常的SMTP会话等,并可以对异常流量进行报警并分析。 5.实现对网络中重点的应用流量进行监测和报警。包括但不限于SMTP,POP3,HTTP,FTP,DNS等应用进行检测和报警,实现通过发现可疑的行为进行深入到数据包级的分析。实现识别流量中的文件传输行为和还原文件,并记录文件MD5发送至分析设备,实现还原包括但不限于HTTP、FTP_DATA、SMB、SMTP、POP3、WEBMAIL、IMAP、TFTP、QQ、NFS等主流协议中的文件。对还原的文件实现安全存储及管理,非授权帐号不能查看。 6.需具备常见主流的会话流量监控记录功能,包括但不限于TCP/UDP会话记录、异常流量会话记录、web访问记录、域名解析、SQL访问记录、邮件行为、登录情况、文件传输、FTP控制通道、SSL加密协商、telnet行为、IM通信等行为描述。实现定义抓包流量的方向(双向或单向)、数量、IP 地址、端口或协议类型。实现对每个旁路镜像口(或更细颗粒度)的流量采集制定策略及策略组合。 | 否 |
威胁情报系统
指标类型 | 指标项目 | 重要性 | 指标要求 | 是否提供证明材料 |
|---|---|---|---|---|
威胁情报采集管理 | 威胁情报管理 | 1.威胁情报数据查询性能不低于50000QPS。 2.实现根据威胁情报匹配逻辑,为数据添加威胁情报标签。 3.实现威胁情报的数据更新,对未命中数据进行更新查询。 4.可以对威胁情报进行增删改查、以及情报的本地导入等页面操作配制。 | 否 | |
关联分析 | 关联分析 | 威胁情报分析模型包括但不限于IP、域名、URL、文件Md5类型情报分析。实现实时匹配网络流量、系统日志、应用日志、以及主机日志,检测已知威胁和流行威胁,包含但不限于恶意链接、C&C、僵尸网络、挖矿软肋、勒索病毒、后门、木马等。 | 否 | |
第三方对接 | 情报源对接 | 1.实现与第三方威胁情报进行集成对接,并运用在数据分析、资产管理、通报预警等模块,增强安全威胁识别能力。 2.实现将各类威胁情报和资产漏洞、网站可用性、网站篡改等数据采集内容进行相互关联,通过对接威胁情报、关键业务的各类告警数据,及时发现关键威胁,针对恶意链接、僵尸网络、勒索病毒、后门软件、蠕虫木马等安全风险,构建地震系统的专属情报,为地震系统安全运营提供情报支撑。 | 否 |
资产管理系统
指标能力 | 指标项目 | 重要性 | 指标要求 | 是否提供证明材料 |
|---|---|---|---|---|
资产发现 | 资产探测方式 | 1.实现主动探测识别资产信息。对路由可达的资产进行主动扫描,通过主动扫描的方式识别端口、服务、操作系统、数据库、中间件、设备类型及应用指纹(web开发语言、web前端框架)等。能够通过流量被动检测资产信息。通过被动流量识别还没有被发现的资产,包括但不限于IP、URL等。 2.实现导入第三方资产信息数据。已有的第三方资产信息进行导入,实现资产信息全面捕获。实现互联网暴露探测。通过云端资产识别引擎对暴漏在公网的所有IP(外网发现的暴露IP/域名以及内网网络安全设备的公网IP)进行资产识别,包括但不限于域名(一级域名/二级域名/三级域名等)、端口/服务、操作系统等。实现内网资产服务开放识别. | 否 | |
资产管理 | 资产运维 | 1.实现对全网资产总览分析,包括资产概览、服务器运行状态、资产统计,其中“资产概览”包括但不限于即将退库资产、全部资产数、核心资产数、资产组数、服务器数、终端数等;“服务器运行状态”包括但不限于服务器离线列表、服务器开放端口列表、服务器应用列表;“资产统计”应包括但不限于资产组列表、资产来源列表、设备类型列表、操作系统分布、即将退库资产。 2.实现以业务系统视角归类展示资产基本信息、运行情况及安全风险,根据页面风险信息下钻到具体的资产脆弱性、威胁、告警和事件详情。 3.实现通过资产探测发现主机资产,识别操作系统、开放的服务与端口、在线离线状态、资产类型。实现对业务/服务器资产进行分类,实现定义IP地址、所属资产组、主机名、责任人、责任人邮箱、所属业务、MAC、地理位置、操作系统、服务与端口、最近上线等信息。 4.实现队资产入库的识别、入库审核、正常运转、退库等全流程的管理跟踪。 5.实现对资产、漏洞、弱口令、配置风险、安全事件等数据进行关联,直观展示资产的风险情况;可直接通过资产信息逐级进行下钻,直接查看资产存在的漏洞、弱口令、配置风险、安全事件等信息。 | 否 | |
第三方资产数据源接入与置信度定义 | 1.实现与主流第三方资产数据源对接,包括但不限于市场主流的画方、白帽汇、哨兵云等第三方资产数据源对接,同时可手工导出/导入资产。实现多源资产数据的接入、治理和融合,包括但不限于漏扫、准入、桌管、CMDB、资产测绘、EDR、CWPP,通过资产的去重、字段融合,最终形成全面准确的资产台账。 2.实现对资产数据源做置信度的定义,对资产数据源的具体字段做置信度的定义。 | 否 | ||
威胁管理 | 实现将威胁的名称、等级、类型、源IP、目的IP、事件标签和状态、URL、责任人、主机IP等进行记录,对威胁进行误报研判,对威胁处置状态、等级分布、类型分布进行可视化报表统计,实现威胁黑白名单管理,通过资产类型、事件状态、等级、类型、名称、处理人、IP、时间以及关联分析等过滤和筛选安全威胁,进行批量封锁。实现根据时间不少于15s、30s、1min、3min,5min、10min等6个等级的时间刷新安全威胁,每个等级刷新时间不高于上述各等级时间。 | 否 | ||
脆弱性系统对接与管理 | 1.实现对接漏扫等脆弱性发现设备及系统,实现对脆弱性信息的管理。实现包括但不限于针对IP、风险等级、资产类型、待处理/漏洞数,待处理/弱密码数,待处理/配置风险数据等进行记录,实现包括但不限于基于资产类型、处置状态、风险等级、风险类型、评估时间等进行检索,包括但不限于基于数据统计、资产处置状态分布、资产风险等级分布、资产风险类型分布等进行可视化统计展示。 2.实现包括但不限于基于风险资产列出资产漏洞、弱密码、配置风险、漏洞信息类型等相关信息,列出处置状态如待审核、待处理、已修复、已防护等,以及扫描原理,发现时间,CVE-ID等信息。 | 否 | ||
等级保护 | 等级保护 | # | 1.实现导入内部法律、内部制度、外部法律、外部制度等文档知识。 2.实现按照《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)中第二、三级网络安全等级保护的要求对信息系统按照安全通信网络、安全区域边界、安全计算环安全管理中心四个层面进行快速地合规性检查、分析、整改,并生成检测报告。 3.实现用户能新建检测任务,可以通过添加业务系统和被检测设备对目标信息系统进行合规检测。 4.实现对业务系统信息管理,能对业务系统信息进行新增、删除、以及检索。支持新建业务系统信息,添加业务系统名称、系统保护等级以及对应资产等信息,并支持信息编辑、修改、删除以及资产登记。 5.实现等保资产信息管理,能以业务系统的维度批量导入、导出用户资产信息。具备域管理和白名单管理能力,能实现以域和白名单的方式对资产信息进行管理。并为资产调研表模板以及设备信息模板,且能够下载,支持以统一格式收集登记资产信息并批量导入。支持信息按照业务系统和所在域的维度进行检索。 6.实现等保资产信息登记,能新建资产信息,记录设备名称、IP地址、设备所在域、所属业务系统、操作系统及版本、数据库管理系统及版本、中间件及版本、资产数量、重要程度等信息。并支持信息批量编辑、删除以及检索。 7.实现基于检查和分析结果在线查看或者导出报告,包括合规自检报告、配置优化指引报告、全局分析指引报告、人工核查指引报告,报告内容包括符合状态、主要问题、整改建议和指引等 8.实现多个系统合规自检结果的统一管理,通过集中管理页面呈现适用系统、保护等级、检测设备、不合规检测项、高风险项、待处理事项等 9.实现对系统合规自检结果的统一管理,用户能通过集中管理页面对核查结果进行管理,可选择符合状态以及添加符合说明 10.实现对系统自检出的不符合项提供整改建议,用户可在集中管理页面查看并依照整改建议进行信息系统的安全整改,提升信息系统安全性。 11、实现与资产数据的信息同步,结合资产、脆弱性进行等保信息的关联管控,实现特定资产的信息查询、研判。 | 是 |
数据中台系统
指标能力 | 指标项目 | 重要性 | 指标要求 | 是否提供证明材料 |
|---|---|---|---|---|
数据计算存储 | 处理能力 | * | 1.提供实时搜索和分析能力,实现通过横向扩展存储PB级数据,实时更新索引数据及快速检索,实时聚合与排序分析以及多数据类型与非结构化的全文检索。 提供实时数据流汇聚与缓存能力,实现分区、多副本的分布式消息系统。 2.实现存储资源管理包含kafka管理,持久化存储管理,数据库资源管理。管理kafka 配置信息,提供新增、编辑、删除kafka链接信息的功能。持久化存储(Elasticsearch)链接信息,以及MongoDB和Redis数据库的链接,新建、编辑和测试。 | 否 |
数据分析 | 1实现实时流式数据分析、统计、处理能力,可实现通过横向扩展节点增加计算能力,可实现实时性、高并发、高容错。 2.实现数据存储的分布式扩展及计算任务的分布式运行,通过横向增加计算节点扩容计算能力。 3.实现检测并隔离出错节点,并调度分配新的节点接管出错节点的计算任务。数据方面,维护数据存储的可靠性,用多备份冗余存储机制提高数据存储的可靠性,并能及时检测和恢复出错的数据。 | 否 | ||
分布式搜索引擎和消息队列 | 提供Restful Api 接口、Java Api 接口和查询语法,实现用户以近实时的方式快速存储搜索和分析大量数据。 实现多样化的数据存储,包括结构化文本、非结构化文本、数字数据或地理空间数据,同时实现以快速搜索的方式有效地对数据进行索引。 够通过分布式存储的部署方式保证数据可靠性,同时随着数据和查询量的增长,实现通过横向扩展节点方式适配业务的增长需求。 通过分布式消息队列实现消息接口、消息存储、集群管理、消息一致性功能。实现一次写入多次读出,避免多个系统共享数据时进行全连接式的低效推送。 | 否 | ||
流式计算引擎 | 提供实时流式数据分析、统计、处理能力,实现通过横向扩展节点增加计算能力,实现实时性、高并发、高容错,实现自定义窗口触发机制。 | 否 | ||
日志检索 | 实现标准字段管理,字段映射值设置,实现将解析后的具体数据与预先定义好的目标字段进行映射,完成数据泛化的过程,字段对应表包含字段名,更新时间,字典管理和编辑、删除等操作。实现对与数据的全文检索,多个条件之间支持串联,提供便捷易用的全文检索能力。实现对于各类日志字段及安全事件类型的检索查询,协助事件下钻溯源。 | 否 | ||
数据治理 | 数据治理方式 | 1.实现通过可视化配置的方式对采集到的多种来源的数据进行数据治理,包括但不限于数据过滤、数据解析、数据标准化、富化、添加标签等。 2.提供信息预处理功能,通过简捷配置相关解析规则、过滤规则、富化规则、日志类型,来达到归一化、过滤、丰富、分类日志信息的目的。 3.日志接入实现图形化界面配置日志解析条件,利用正则表达式、分隔符、Key-Value、JSON等方法定义解析规则。 4.实现新增和导入实时数据解析模型分组。 5.简单配置即可完成打内外网标签功能,且内置异常策略满足不同用户在打标签出现的异常场景。 | 否 | |
数据解析 | 1.实现定义解析规则用于对数据的预处理,可将外部数据源解析为平台统一的标准数据格式并可实现对字段进行增加或修改。可实现配置解析规则,解析分为CSV,KV,JSON,grok正则,正则等五种形式,且可实现多层嵌套解析,如json中含csv解析。 2.能够获取用户配置好的数据格式,包括但不限于CSV、KV、JSON、grok、正则、xml或嵌套格式,按照格式进行多层解析,获取数据中每一个字段。 3.数据过滤实现多字段、多条件进行组合,形成复杂的过滤条件,满足分析场景中灵活的需求;标签算子,可结合地理位置、资产信息、黑白名单和威胁情报等信息,为不同应用场景提供不同的选择。 | 否 |
数据分析系统
指标能力 | 指标项目 | 重要性 | 指标要求 | 是否提供证明材料 |
|---|---|---|---|---|
威胁检测 | 威胁分析 | 1.实现基于AI的webshell通信流量检测,实现检出加密(如冰蝎)的通信流量。需具备650+webshell规则检测,且覆盖webshell整个攻击阶段检测,包括webshell上传点探测、webshell上传下载、webshell通信。 2.实现元数据行为分析引擎:httpflow、dnsflow、adflow、icmpflow、maillflow等,可通过异常行为分析,结合各类机器学习算法完成未知威胁检测。包括但不限于内网穿透、代理、远控、隧道、反弹shell等事后检测场景。 3.挖矿专项检测页面需具备挖矿攻击事前、事中和事后全链路的检测分析能力,综合运用威胁情报、IPS特征规则和行为关联分析技术,如检测发现文件传输(上传下载)阶段的异常,对挖矿早期的准备动作即告警。 4.实现不少于230个情报源,DNS信誉库总量不少于2000万,其中黑名单不少于100万,URL信誉库总量不少于1亿,其中URL分类库不少于3000万,文件样本库总量不少于10亿,每日新增不少于200万。支持威胁情报关联分析,内置威胁情报数量不少于160W。 5.实现具备静态文件检测引擎、AI智能引擎、查杀引擎、webshellkiller引擎,利用LSA, AutoEncoder, LogicRegression, SVM, 随机森林,XGBoost等多种机器学习算法组合进行综合研判。实现采用AI技术针对无文件落地的恶意脚本进行检测。 6.实现通过不断下钻的特征向量提取和聚类算法有效检出邮件威胁。实现对smtp、imap、pop3、webmail等邮件协议审计,提取邮件正文和附件中的流量,并对邮件附件、正文链接、邮件行为、发件人等多维度进行规则和机器学习检测,从而识别出钓鱼邮件、病毒邮件、垃圾邮件、鱼叉式钓鱼等恶意邮件。 | 否 | |
数据分析 | 检测算法 | 实现通过对多源数据(网络流量、系统日志、应用日志等)进行特征匹配、关联分析、聚合统计、威胁情报分析、机器学习、和深度学习建模广泛覆盖现网威胁。包括但不限于账号安全检测、邮件安全检测、web攻击检测、漏洞攻击检测、C&C检测、文件检测、和违规检测等。 实现通过机器学习、深度学习对主机数据、用户行为数据、和网络流量数据进行建模,建立正常行为基线,发现内部违规和高级别攻击。异常检测模块包括但不限于主机异常检测、用户行为异常检测、和网络流量异常检测 | 否 | |
威胁等级定性 | 实现上下文、资产和脆弱性数据、威胁情报等数据的大数据关联分析,对安全设备上报的海量告警数据的威胁定性,并确定威胁等级和主机失陷等级。 | 否 | ||
攻击事件识别 | 实现挖掘出攻击成功事件,包括但不限于暴力破解成功识别、Web攻击成功识别、漏洞攻击成功识别等。识别持续性攻击,包括但不限于过去一段时间内,持续对进行攻击威胁的攻击源,其攻击技术、手法、攻击频率,及可能带来的危害。 | 否 | ||
告警优化算法 | 实现将建设单位指定的各个不同品牌和型号的安全设备、安全产品、安全系统、各厂商的安全算法模型上报的海量安全告警通过大数据关联分析将聚合、归并、关联、统一,并进行归并去重优化、白名单优化、攻击场景优化。实现通过可视化配置的方式,配置告警优化规则,包括白名单规则。可通过告警归并、白名单、攻击链还原等方式进行安全告警降噪,消除无效告警,提升安全运营效率。 | 否 | ||
资产和脆弱性数据优化算法 | 1.实现各数据来源收集到的资产数据、资产脆弱性数据进行归并、去重、去错等处理,形成规范的的资产库和资产脆弱性库。资产和脆弱性数据优化算法模型同其他安全算法模型一样,通过提交作业的方式运行在大数据平台上。 2.通过威胁情报(如IP、域名、URL、文件Md5等)关联匹配流量日志、应用日志以及主机日志,检测已知威胁和流行威胁。包括但不限于:恶意链接、C&C、僵尸网络、挖矿软肋、勒索病毒、后门、木马等。 | 否 | ||
算法模型配置与管理 | 实现基于可视化方式的安全算法建模,并把将完成的算法模型转换为作业,通过大数据平台的API,提交作业,运行在大数据平台上。提供算法模块管理页面,用于管理各算法模型,监控算法模型的运行状态,算法模型的启停,提供算法模型导入,并展示算法模型的运行结果。 | 否 | ||
威胁/事件分级 | 实现将综合事件、威胁的安全风险等级以及资产重要程度进行排序,让运营人员优先处置高优先级事件、威胁。实现对主动扫描和主机agent检测到的已存在漏洞进行优先级排序。通过资产重要程度、漏洞影响的资产范围、漏洞风险等级以及威胁情报对漏洞进行优先级排序。 | 否 | ||
事件升级和流转 | 实现威胁向告警,告警向事件的升级处理流程,提升告警的等级和处置效率,将告警/事件/脆弱性标记为待流转,通过安全运营模块的流程工单,流转执行事件的分析处置过程。 | 否 | ||
上下文补全 | 1.实现针对某一告警事件的上下文信息补全功能,所涉及的信息事件包括事件的公共信息,比如资产信息,也包括特殊事件事件所涉及到的指定信息,如漏洞信息,威胁情报等信息,相关信息提供给运营人员确认该安全事件是否为有效事件;实现添加其他用户协同分析,通过短信、邮件等方式通知被邀请用户,用户登录安全运营模块后可看到协助的事件并进行处理。 2.实现将常见的安全事件举证信息关联的自定义编排,包括但不限于资产信息、漏洞信息、历史访问、攻击IP信息、攻击溯源、原始流量日志、攻击载荷、算法模型溯源、相关网络 安全设备日志等。 | 否 | ||
深度溯源分析 | 实现在事件初判阶段的深入分析,帮助安全运营人员对事件进行事件初判以及溯源分析,所展示的信息不全时,实现提供兜底的数据搜索框,通过数据搜索框,使用搜索处理语句进行溯源数据的搜索,同时可以设定搜索出来的数据的展示方式,展示方式包括列表,柱状图,饼状图等。 | 否 | ||
系统展示 | 实现展示算法模型分析后的结果。针对威胁事件提供多维度信息展示,如事件上下文、事件关联信息、文件信息、资产信息等,提供处置过程管理和处置状态变更等功能,以方便事件的分析、溯源与处置。 | 否 |
日志检索系统
指标类型 | 指标项目 | 重要性 | 指标要求 | 是否提供证明材料 |
|---|---|---|---|---|
查询检索 | 技术指标 | | 需充分考虑大数据量存储、系统高可用、检索和分析效率等要求,系统达到50000EPS的系统处理能力,实现PB级数据秒级查询。 | 否 |
检索要求 | | 1.实现对日志、威胁、告警的全文检索功能,可以基于任意关键字进行查询,包括但不限于源地址、目的地址、源端口、目的端口、协议、URL、事件名称等字段为条件的日志检索,检索的结果以列表的形式展示。 2.实现对各类日志库的定向检索。 3. 实现基于时间段的查询,提供常用时间段、相对时间间隔、绝对时间间隔的查询方式,以不同的时间维度来对日志进行过滤查询。 | 否 | |
过滤条件自定义 | | 过滤条件可实现自定义增加和减少,提供点击某IP地址、事件名称等各类字段数据的过滤条件增加功能,方便对日志进行进一步的提取,以展开更深入的安全分析。 | 否 | |
数值检索 | | 1.通过数值字段,包括但不限于大于,小于,大于等于,小于等于,区间(大于,小于,大于等于,小于等于组合)等范围过滤。 2.实现按照某个字段值的过滤。并且可实现在web页面上直接将字段值添加进搜索条件,或从搜索条件中排除等。 | 否 | |
查询结果自定义 | | 实现日志查询结果列表中字段的自定义功能,字段可自定义,包括但不限于告警名称、告警级别、事件类型、源地址、目的地址、源端口、目的端口等。 | 否 | |
分析展示 | | 实现日志的统计图分析,查询结果会以基于时间轴的柱状图显示。 实现日志检索结果的字段排名显示,可显示基于某字段的日志数量排名,并提供进一步的检索钻取。 | 否 |
工单管理系统
指标能力 | 指标项目 | 重要性 | 指标要求 | 是否提供证明材料 |
工单管理 | 自动化风险处置编排 | 实现自动化风险处置编排流程,不同类型安全事件的分析处置响应流程,平台管理员可自定义安全编排剧本。 实现灵活自定义编排威胁的响应处置流程。在部分安全场景下实现自动化或半自动化的威胁处置。 | 否 | |
工单任务下发 | 1.实现监测的各类网络安全隐患及事件、通报反馈情况、整改情况及处罚情况可以支持短信、邮件等通报通知方式。 2.安全管理平台负责实现与现有的第三方工单系统集成对接,将监测的网络威胁、风险及事件、已下发通报反馈情况形成工单任务,实现工单流转。实现国家中心向省级中心下发工单并实时跟踪进展情况。 | 否 |
联动处置系统
指标 类型 | 指标项目 | 重要性 | 指标要求 | 是否提供证明材料 |
|---|---|---|---|---|
联动 处置 | 多源对接兼容 | 实现对建设单位指定的包括但不限于不同品牌和型号的防火墙、入侵检测、入侵防御、网络安全审计、数据库审计、漏洞扫描系统、堡垒机、抗DDOS、WAF、防病毒系统等设备的兼容适配。 | 否 | |
联动响应 | 实现与建设单位指定的不同品牌和型号的安全设备对接,实现通过RESTFUL API的方式对接第三方设备进行响应闭环,包括但不限于建设单位指定的不同品牌和型号的防火墙、入侵检测、入侵防御、网络安全审计、数据库审计、漏洞扫描系统、堡垒机、抗DDOS、WAF、防病毒系统、主机安全防护系统等设备。联动响应动作包括但不限于防火墙的指定IP封锁、URL封锁等,主机安全防护系统的病毒扫描查杀、访问控制等。 | 否 | ||
自动编排响应 | 实现不同类型安全事件的分析处置响应流程,平台管理员可自定义安全编排剧本。实现通过类似Visio的拖拽方式灵活自定义编排威胁的响应处置流程。实现通过SOAR编排实现同网络安全设备的联动,实现对威胁的快速响应与处置。 | 否 |
通报预警系统
指标能力 | 指标项目 | 重要性 | 指标要求 | 是否提供证明材料 |
|---|---|---|---|---|
通报预警 | 事件通报 | 1.实现通报事件统计,包括待通报数量、待认领数量处理中数量、已超时数量、已归档数量;支持通报分支统计,包括通报分支次数TOP5、分支处理时长TOP5、通报事件危害影响面,通报分支趋势等。 2.实现待通报工单事件展示,包括事件描述、事件危害、所属单位、事件等级、发现时间等信息,支持批量事件通报功能,待通报事件详情查看,自定义添加举证信息;支持单位视角、安全事件、漏洞风险、攻击威胁、威胁等级等维度检索与展示。 3.实现通报中工单事件展示,包括事件描述、事件危害、所属单位、事件等级、处理时间、通报时间、事件ID、通报状态等信息;支持单位视角、安全事件、漏洞风险、攻击威胁、威胁等级等维度检索与展示;支持自定义处置时间,超时提醒。 4.实现通报事件归档,包括事件描述、事件危害、所属单位、威胁等级、处理时间、归档事件等;支持事件处置效率统计和绩效评价。 | 否 | |
情报管理 | 1.实现威胁情报预警功能包含事件的详细描述,并针对事件提供解决方案;支持自定义情报功能,包括标题、情报类型、摘要和附件。 2.实现情报预警归档,包括情报名称、情报类型、推送时间、发布时间等;支持情报类型、时间、名称等维度检索与展示。 | 否 | ||
自动研判 | 实现安全事件、漏洞隐患、攻击威胁自动研判,可基于安全等级,如已失陷、高可疑、低可疑、高危、中危、低危等条件;支持自定义工单邮件通报预警模板,可定义主题、附件、正文等内容。 | 否 | ||
分级权限管理 | 实现自定义分级通报预警管理权限,分支管理员具备独立的通报预警页面,分支管理员只能管理和查看所分支所属的业务和终端的工单信息。 | 否 |
安全态势系统
指标能力 | 指标项目 | 重要性 | 指标要求 | 是否提供证明材料 |
|---|---|---|---|---|
安全 态势 | 大屏展示 | 1.实现大屏展示综合安全态势,包括资产态势、脆弱性态势、网络攻击态势、安全事件态势、外连态势、横向威胁态势、设备运行态势;实现页面跳转到对应态势大屏,并具备大屏告警能力。 2.实现大屏展示资产态势,包括服务器操作系统分布、服务器开放服务TOP5、最新资产动态、最近变动资产。支持以业务视角进行资产的可视化大屏展示,包括核心业务安全状态、业务资产脆弱性态势、被攻击态势等。 3.实现大屏展示安全事件态势,包括安全事件、事件等级分布、安全事件态势、安全事件TOP5、威胁面最大的事件TOP10、事件类型TOP5、风险业务/终端TOP5。 4.实现3D地球大屏展示网络攻击态势,包括攻击次数、遭受攻击资产组、攻击源地址、攻击源IP、攻击手段排行、遭受攻击服务器排行;可实现境外、境内切换。 5.实现大屏展示安全事件处置流程、应急响应流程状态。 6.实现对接入大数据平台的数据源的类型和数据量进行统计、模型的数量和运行状态进行监控、平台的资源消耗进行监控 | 否 |
报表管理系统
指标能力 | 指标项目 | 重要性 | 指标要求 | 是否提供证明材料 |
|---|---|---|---|---|
报表管理 | 全网安全态势报告 | 实现根据建设单位具体需求,定制化开发相应报表,快速生成月度、季度、年度报表,包含网络安全整体解读、网络安全风险详情、重保活动情况、告警及事件响应盘点等,帮助用户高效汇报,体现安全工作价值。 | 否 | |
报告要求 | 1.实现查看系统中报告列表,包括名称、大小和时间。 2.实现报告名称、报告类型对报告进行搜索查询。 3.实现对pdf、html等格式的报表下载。 4.实现新增创建调度任务,包括任务名称、模板、周期、5.开始结束时间。周期支持日报、周报、月报、季报和年报。 6.实现报告列表的搜索、下载、查看和删除功能。 7.实现报告批量删除功能。 8.能够对模板进行自定义编辑。 | 否 |
信息共享交换系统
| 指标类型 | 指标项目 | 重要性 | 指标要求 | 是否提供证明材料 |
| 信息共享 | 信息交换 | | 通过API数据交换接口,负责实现与网信办、公安、应急管理部等监管单位的数据共享交换。 | 否 |
数据对接系统
| 指标类型 | 指标项目 | 重要性 | 指标要求 | 是否提供证明材料 |
| 数据对接 | API接口 | | 实现通过Restful API对接第三方接口,实现内容包括但不限于:受监控IP模块数据、已配置服务器相关信息数据、资产信息-终端数据、风险业务及风险终端数据等的定时获取、解析和富化,对安全事件数据、脆弱性-弱密码数据、脆弱性-漏洞信息数据、脆弱性-明文传输数据等的实时获取、解析和富化。 | 否 |
6、 第五章 采购需求
三.项目实施要求
7. 项目集成要求
1) 负责完成各建设单位安全管理平台的建设;
2) 负责主动协调各建设单位在其他网络安全采购项目中的集成商和设备生产厂商,负责主动对接各品牌的网络安全设备数据,负责建立各建设单位网络安全防护体系。
更正为:
1) 负责完成各建设单位安全管理平台的建设;
2) 负责主动协调各建设单位在其他网络安全采购项目中的集成商和设备生产厂商,负责主动对接各品牌的网络安全设备数据,负责建立各建设单位网络安全防护体系。
*3) 本项目为交钥匙工程,投标人为33个建设单位各交付一套实现本招标文件中所有功能和性能的安全管理平台,国家/省级安全管理平台内容包括但不限于平台软件及为本项目开发定制的用于实现平台功能所需的数据流量采集探针,构建国、省两级安全管理平台。投标人为各建设单位安全管理平台提供运行所需的计算和存储资源环境及相关软件,达到本招标文件规定的功能和性能要求,部署在各建设单位机房内,使用期至质保期结束,质保期结束后提供系统迁移服务,相关安装、集成、调试、计算和存储资源的使用费用及质保期后的系统迁移费用均包含在本项目中。各建设单位不再有任何额外的经费用于支持本次安全管理平台建设。
7、第七章 评标方法和标准
三、综合评分表
| 投标人资质 | 1.投标人同时具备“ISO 20000”信息技术服务管理体系证书和“ISO 27001”信息安全管理体系认证得1分,否则不得分; 2.投标人具备信息安全服务资质证书(灾难恢复类二级及以上)得1分,否则不得分; 3.投标人具备软件能力成熟度模型集成(CMMI)5级证书得2分,4级证书得1分,其他不得分。 4.投标人具有信息安全服务(安全工程类)二级及以上证书得3分,一级证书得1分,其他不得分。 5.投标人具有ITSS信息技术服务运行维护标准符合性证书壹级证书得3分,贰级证书得1分,否则不得分。 (注:需提供有效期内的证书复印件并加盖投标人公章,否则不得分。) | 10 |
更正为:
| 投标人资质 | 1. 投标人须具备“ISO 20000”信息技术服务管理体系证书和“ISO 27001”信息安全管理体系认证,每具有1项得1分,满分为2分。 2.投标人具备软件能力成熟度模型集成(CMMI)5级证书得2分,4级证书得1分,其他不得分。 3.投标人具有信息安全服务(安全工程类)二级及以上证书得3分,一级证书得1分,其他不得分。 4.投标人具有ITSS信息技术服务运行维护标准符合性证书壹级证书得3分,贰级证书得1分,否则不得分。 (注:需提供有效期内的证书复印件并加盖投标人公章,否则不得分。) | 10 |
8、提交投标文件截止时间、开标时间和地点
1.投标文件递交时间:2021年10月9日9时00分至2021年10月9日9时30分(北京时间)
2.投标截止时间:2021年10月9日9时30分(北京时间),逾期送达或者不符合规定的投标文件恕不接受。
3.投标文件递交地点:北京市朝阳区静安东里12号院4号楼国门大厦D座二层第二会议室
4.开标时间:2021年10月9日9时30分(北京时间)
5.开标地点: 北京市朝阳区静安东里12号院4号楼国门大厦D座二层第二会议室
更正为:
1.投标文件递交时间:2021年10月20日9时00分至2021年10月20日9时30分(北京时间)
2.投标截止时间:2021年10月20日9时30分(北京时间),逾期送达或者不符合规定的投标文件恕不接受。
3.投标文件递交地点:北京市朝阳区静安东里北1门红旗展厅二层会议室
4.开标时间:2021年10月20日9时30分(北京时间)
5.开标地点:北京市朝阳区静安东里北1门红旗展厅二层会议室
更正日期:2021年09月30日
三、其他补充事宜
四、凡对本次公告内容提出询问,请按以下方式联系。
1.采购人信息
名 称:中国地震台网中心
地址:北京西城区三里河南横街5号
联系方式:刘连国,010-59959279
2.采购代理机构信息
名 称:北京国际贸易有限公司
地 址:北京市朝阳区静安东里北1门人保白楼二层
联系方式:黄正、李姝、韩越,010-65004038
3.项目联系方式
项目联系人:黄正、李姝、韩越
电 话: 010-65004038
解决方案
联系我们
返回顶部