1. 智源平台 技术指标 技术参数 基本要求 标准2U机架式设备，单电源，内存≥128GB,具备独立的系统盘和数据盘，系统盘要求为固态硬盘，容量≥240GB，数据盘容量≥12TB(支持RAID1)，≥4个千兆电口，≥4个千兆光口，≥2个万兆光口；事件处理性能≥5000EPS，可处理探针流量≥3Gbps。 数据采集 支持syslog、sysmon、netflow、meta data和linux格式的数据。 态势监控 支持至少7块大屏，包括综合安全态势监控、外部攻击态势监控、服务器态势监控、终端态势监控、威胁事件态势监控、弱点态势监控、区域态势监控。支持大屏轮播及手动切换，大屏数据支持下钻。 支持场景专项治理，包括重保工作台、挖矿专项治理、勒索专项治理、弱密码专项治理和等保专项管理。 威胁分析 支持威胁事件聚合分析，提供事件调查、攻击调查和受害调查三个视角的聚合分析能力。 威胁事件详情以弹窗形式呈现，详细展现威胁事件源/目IP、区域、端口、协议等信息，提供基于MITRE ATT&CK矩阵的攻击技术点详情，提供PCAP包证据信息下载，关联相关威胁进程信息，展示原始告警列表。 支持对威胁事件在事件页面上直接进行处置，除了正常的配置策略外可以下发主机安全策略，包括IP阻断、访问控制、结束进程、隔离文件、重启终端、USB管控等。事件响应 剧本管理内置预定义挖矿类、勒索类、暴力破解类、弱密码类剧本，同时支持用户自定义编排剧本；支持设置剧本和下发策略生效时间；支持自动化和人工二次确认剧本。 在剧本执行到需要人工确认的下发任务时，会记录在待响应任务列表中，并且支持批量执行下发/取消下发的操作，此操作支持二次确认，避免误触。 资产管理 支持资产精细化分类，包括终端、服务器、网络设备、安全设备、Iot设备、其它设备等共6大类40+种小类的资产分类标签。 支持配置IPv6类型的服务器资产、终端资产，以及支持通过Netflow信息识别出IPv6类型资产。 引擎规则 支持高级关联分析引擎，包括单数据源关联分析、多数据源关联分析和多事件关联分析，系统内置至少12条高级关联分析规则，至少包括对永恒之蓝利用、蚁剑--哥斯拉通信等关联分析规则。（报表报告 集中展示所有已生成报表，支持报表内容在线查看，或以PDF格式导出查看。 情报中心 支持接收最新的威胁情报推送，可从威胁级别和时间范围维度根据IP/文件/域名/URL/名称/CVEID/CNNVD/威胁标签进行情报查询。 2. 探针 技术指标 技术参数 基本要求 标准1U设备，≥16千兆电口，≥8千兆光口，≥2个万兆光口，≥1T SSD硬盘，≥1个扩展槽，支持扩展万兆接口。应用层处理性能≥2Gbps，双电源。 为便于统一管理和安全联动，要求威胁探针与安全运营平台为同一品牌，相互兼容，威胁探针可以上送安全威胁分析数据，供安全运营平台进行全网威胁分析。 威胁可视化 支持服务器风险监控、终端风险监控、威胁事件监控和外部攻击地理分布概览的可视化呈现，并支持投屏展示 通过内网威胁透视镜呈现由服务器发起或指向服务器的网络威胁，通过不同的颜色标识服务器的风险程度，支持多维度的条件过滤。 入侵检测 提供35000多种特征的攻击检测，特征库支持网络实时更新 弱密码检测 弱密码检测支持协议：POP3、IMAP、SMTP、FTP、Telnet、HTTP 病毒检测 基于流的病毒检测，支持压缩病毒文件的扫描，超过1500万的病毒特征库，病毒库支持网络实时更新 高级威胁检测 支持2000多种高级恶意软件家族的检测，包含Virus、Worm、Trojan、Over ow等类型； 支持主流的恶意勒索软件和挖矿软件检测 WEB 攻击检测 支持HTTP协议异常、DDoS攻击、注入攻击、跨站攻击、信息泄露、探测访问、特殊漏洞、恶意软件、资源非法访问 异常行为分析 支持手动设置异常行为检测中部分检测规则的检测阈值，适应真实环境 威胁追踪溯源 支持根据终端事件分析检测威胁事件（ 远程桌面暴力暴力、恶意PowerShell进程、可疑文件创建、绕过用户权限控制访问文件或应用程序） 威胁诱捕检测 支持本地设置蜜罐陷阱，诱捕网络威胁攻击，确认威胁来源、威胁类型及影响范围 支持至少FTP、HTTP、MYSQL、SSH、TELNET五种网络协议的行为欺骗检测

安全服务 一．安全脆弱性检查与漏洞扫描服务 1.服务内容：要求使用专业安全漏洞扫描工具对评估目标范围内对象进行漏洞扫描，对信息系统的薄弱点进行识别与评价，提交脆弱性分析报告。脆弱性检测范围包括发现对象存在的web应用漏洞、主机操作系统漏洞、数据库漏洞、逻辑缺陷、弱口令、信息泄露等脆弱性问题。通过实施漏洞扫描和手工检查，发现在网络（包括网络设备自身或传输线路）、系统（包括操作系统、数据库系统、通用应用平台系统）、应用（包括服务范围内业务的专有应用系统、系统与系统间交互）等层面存在的安全漏洞和风险。 2.服务要求：制定人工核查单，并依据执行漏洞扫描服务系统数量、漏洞扫描难度等参数，由安全服务工程师结合客户漏扫需求调研、远程安全评估系统综合评估所得，对出具的漏洞扫描结果的高危项，开展人工漏洞验证服务（服务涵盖Web漏洞、主机、操作系统等高危漏洞。通过人工核查二次验证，最大限度去除漏洞误报情况。人工核查单应具备为不同的操作系统、应用系统、数据库、中间件独立编制检查单，内容包括但不限于补丁检查、虚拟补丁检查、账户和口令检查、端口服务检查、文件系统检查、虚拟化云环境检查、安全日志检查、后门与日志检查、暗链检查、杀伤链检查等内容； 3.服务交付物：《安全脆弱性检查与漏洞扫描报告》 4.服务频率：40个对象总共四次。 二．渗透测试（安全威胁性检测）服务 1.服务内容：服务要求依据渗透对象，提供应用渗透测试、系统渗透测试两项服务。针对业务系统自身安全脆弱性、测试目的，由专业安全工程师以攻击者视角研判，技术维度分为白盒测试、黑盒测试。基于测试目的，可分为外围测试及内部测试。通过攻击者视角渗透测试，可有效识别业务系统内部风险脆弱性（最大限度挖掘业务系统自身内部漏洞）以及通过外围测试最大限度发现业务系统对外暴露的风险（针对外围可利用互联网出口、互联网跳板、安全设备弱口令凭证等，基于渗透测试流程进行。），进而实现针对WEB服务器、网络安全设备、应用系统、操作系统、中间件等）采用渗透测试的方式，从攻击者的角度对目标系统的应用层、操作系统层的安全性作深入的非破坏性的渗透测试工作，发现系统最脆弱环节； 应用渗透测试：通过真实模拟黑客使用的工具、分析方法来对应用进行模拟攻击，由高级工程师进行深入的手工测试和分析，识别工具弱点扫描无法发现的问题。主要分析内容包括逻辑缺陷、上传绕过、输入输出校验绕过、数据篡改、功能绕过、异常错误等以及其他专项内容测试与分析，渗透结束后生成相关报告并提供加固建议。 系统渗透测试：利用各种主流的攻击技术和漏洞发现技术对服务器、网络设备、安全设备等各类IT系统设备的操作系统进行人工渗透，渗透结束后生成相关报告并提供加固建议。主要分析内容包括逻辑缺陷、设备漏洞、异常错误等以及其他专项内容测试与分析，渗透结束后生成相关报告并提供加固建议。 2.服务要求：服务团队需通过远程和现场两种方式，面向业务开展渗透测试和分析工作。渗透测试工作内容至少包括：信息收集类，配置管理类（HTTP 方法测试、应用管理界面测试、信息泄露等），认证类（用户枚举、密码猜解、密码重置测试等），会话类（cookie 测试、会话固定测试等），授权类（URL 越权、路径遍历、业务逻辑、文件下载测试、数据验证类（SQL 注入、跨站脚本、代码注入、URL 跳转、文件上传测试等）、系统应用漏洞（溢出、0day 漏洞等）。 3.服务交付物：《渗透测试报告》 4.服务频率：1个系统总共2次。 三．安全应急演练服务 1.服务内容：要求依据客户需求，提供安全应急预案、安全应急演练设计、安全应急演练实施全流程化应急演练服务，提供包括但不限于拒绝服务攻击DDOS、网页篡改、病毒事件、木马事件、勒索病毒等事件演练场景，由有经验的高级安全工程师配合客户进行现场应急预案的操作演练，目的在于检查应急预案的可行性，同时提升客户安全工作人员的事件应急处理能力。 2.服务交付物：《安全应急演练方案》、《安全应急演练报告》。 3.服务频率：提供1次安全应急演练服务。 网络安全产品运维服务 1.运维时间4年。 2.现有网络安全软硬件产品技术运维服务（不包含损坏的软硬件换新）。每年提供4-6次设备巡检，如发现问题，将及时通知学校整改并协助制定整改方案。