《网络安全保障——XX市XX医院态势感知项目采购需求.docx》由会员分享,可在线阅读,更多相关《网络安全保障——XX市XX医院态势感知项目采购需求.docx(7页珍藏版)》请在优知文库上搜索。
1、网络安全保障一一XX市XX医院态势感知项目采购需求一、项目概述为建立一个完整的网络安全保障体系,有效保障医院系统业务的正常开展,保护敏感数据信息的安全,保证整体的网络安全水平,对全网安全威胁及时有效发现,实现防御、检测、响应的一体化安全建设目标。二、建设内容清单序号项目名称名称数量单位1XX市XX医院态势感知态势感知平台1台2采购项目潜伏威胁探针2台三、建设要求(一)态势感知平台招标技术参数指标项技术规格要求性能要求数据存储容量214.4T,支持23G的接入流量检测,IU及以上,内存23*32GBDDR43200,系统盘24OGBSATASSD,数据盘4*4TB,盘位数28,冗余电源,接口24
2、千兆电口+4万兆光口。大屏可视支持安全态势的可视化呈现,以大屏的方式从全网安全态势感知大屏、分支安全态势、安全事件态势、全网攻击、资产态势、网络安全指挥调度安全态势、设备运行态势、外联风险态势大屏等提供不少于15块大屏展示界面。资产识别支持自定义配置资产指纹识别规则,可基于流量行为细化资产类型,支持资产类型识别规则自定义和属性指纹特征自定义,功能通过检测。脆弱性管理支持整体展示服务器脆弱性风险、热点漏洞情况、脆弱性风险详情(漏洞风险、配置风险、弱密码、Web明文传输、可用性风险),支持第三方漏扫报告导入和解析,可按资产组分类上传。支持漏洞扫描系统对接,配置映射域名和IP,监控资产为域名资产信息
3、、。异常流量分析支持按照对外业务流量可视、横向流量可视、外联流量可视等开放的业务流量情况,展示服务器流量排行、最活跃的内网主机或服务器流量情况,支持全球地图展示整体外联流量情况。日志关联具备关联规则,对日志进行关联分析,内容包括:主机异常、登录异常、感染病毒、暴力破解、网站攻击、漏洞利用、服务探测、账号攻击、黑客攻击等。挖矿专项检测支持挖矿专项检测页面,具备挖矿攻击事前、事中和事后全链路的检测分析能力,综合运用威胁情报、IPS特征规则和行为关联分析技术,如检测发现文件传输(上传下载)阶段的异常,对挖矿早期的准备动作即告警。同时平台也支持内置安全知识库供经验沉淀,提供截图并加盖投标人公章。Web
4、shell检测具备WebSheIl通信流量检测,可检出加密(如冰蝎)的通信流量,具备650+webshell规则检测,且覆盖webshell整个攻击阶段检测,包括WebSheIl上传点探测、WebSheIl上传下载、webshell通信a常规协议解析支持Web、MaikFTP、DNS、DHCP,SMB、SNMP、数据库类、IPV6、Redis、ICMP、SSH、RDP、NetBlOS-NBNS、Kerberos、LDAP、Telnet等协议及文件审计、自定义协议解析等数据解析并生成日志记录,提供截图和第三方检测报告并加盖投标人公章。事后异常行为检测具备元数据行为分析引擎:httpflowdns
5、flow、adflowicmpflow、maillflow等,通过异常行为分析,结合各类机器学习算法完成未知威胁检测。包括:内网穿透、代理、远控、隧道、反弹SheIl等事后检测场景。溯源中心支持自动化溯源,可自动化复现受害者从最开始的遭受攻击到权限维持各个阶段的黑客行为,包括攻击入口溯源。支持基于可视化的形式展示威胁的影响面,通过大数据分析和关联检索技术,能够直观的看到失陷主机的威胁影响面,同时基于列表模式展示攻击、违规访问、风险访问、可疑行为、正常访问等详细信息。支持攻击溯源功能,分析出首次失陷、疑似入口点、首次遭受攻击等信息。实时告警分析支持短信/邮件/微信告警推送。告警条件、推送频率、推
6、送时间等可自定义;短信邮件告警支持策略编辑,可将不同告警内容发送至不同的责任人;脆弱性可支持风险类型、严重等级、数据来源和推送频率自定义。白名单配置支持配置审计白名单,可配置源IP、源端口、目的IP、目的端口及所有审计类型(DNS、SMB、HTTP、邮件、AD域、FTP、Telnet、数据库、ICMP、RDP);针对新增的白名单能够设置生效的对应设备和生效时间,确保针对白名单可以进行精细化管理。接入设备管理支持对多种网络安全设备规则,包括网络设备、安全设备、中间件、操作系统等,内置规则数量不低于600安接入方式支持文件、数据库、API、Syslog,FTP、Snmptrap,Kafka,wmi
7、,webservice,winlogbeat等方式进日志行接入,并支持用户对日志进行自定义解析规则,支持接入设备自动发现功能。实战攻防实时检测到关注告警类型的威胁可以发出声音告警提醒用户。支持受害者IP/攻击者IP/代理服务器IP表头筛选支持复制IP,攻击者和受害者IP展示带上资产名片或区域信息包括重点关注资产、威胁类型排行统计展示,复制告警支持自定义模板。日志关联分析支持SIEM日志关联分析结果的可视化展示。包括数据分布、安全事件趋势图、关联规则告警趋势图、接入设备概况等,可提供每一台设备专项分析的页面。如防火墙外部攻击场景分析、VPN账号异常场景分析、WindOWS服务器主机异常场景分析等
8、,通过设备专项页面对每一台设备安全情况深度专业化分析。安全专项设备提供文件、邮件、勒索相关安全事件专项页面展示,且所有告警联动处置专项告警支持直接进行联动处置,联动处置支持自动调用内置处置策略模板,也支持自动化编排的自定义处置流程策略,提供截图和第三方检测报告并加盖投标人公章。联动处置内置多个处置策略模板,支持与医院现有的防火墙联动封锁、访问控制,提供上述要求截图和第三方权威机构关于联动处置的产品检测报告证明。需实现与医院SSLVPN设备进行对接,同步用户信息,包括用户登录、登出、分配IP、访问资源记录的日志数据,实现远程接入用户与安全事件关联分析,分析出异常用户,以VPN用户为可视化视角,呈
9、现风险问题、风险程度、内网资源访问情况等;提供VPN设备厂家同意接口对接开发的证明文件。支持同步管理员操作日志,满足审计要求。用户中心设备内置用户中心,内含新旧用户手册和安全知识库,让用户部署、配置、产品使用更简单方便。报告中心支持综合安全风险、主机安全风险、脆弱性感知、处置报告多种方式呈现,可快速生成月度、季度、年度PPT报表,摘要报告支持PPT格式导出;包含网络安全整体解读、网络安全风险详情、告警及事件响应盘点。(二)潜伏威胁探针招标技术参数功能项指标要求性能要求网络层吞吐量22Gbp,应用层吞吐量2650MbPS,2U及以上,内存28G,硬盘24T,冗余电源,接口26千兆电口+2万兆光口
10、。资产发现具备主动发送少量探测报文,发现潜在的服务器(影子资产)以及学习服务器的基础信息、,如:操作系统、开放的端口号等。基础检测功能具备报文检测引擎,可实现IP碎片重组、TCP流重组、应用层协议识别与解析等;具备多种的入侵攻击模式或恶意UR监测模式,可完成模式匹配并生成事件,可提取URL记录和域名记录。网站攻击检支持SQL注入、XSS攻击、网页木马、网站扫描、WEBSHELL跨测站请求伪造、系统命令注入、文件包含攻击、目录遍历攻击、信息泄露攻击、Web整站系统漏洞、自定义WAF规则、WAF云防护等网站攻击检测。漏洞利用攻击检测支持DatabaSe漏洞攻击、DNS漏洞攻击、FTP漏洞攻击、Ma
11、il漏洞攻击、NetworkDeviceMedia漏洞攻击、SheIlCOde漏洞攻击、Scan漏洞攻击、SyStem漏洞攻击、Telnet漏洞攻击、Tftp漏洞攻击、IPS云防护、Web漏洞攻击等服务漏洞攻击检测。支持APPliCatiOn漏洞攻击、File漏洞攻击、SCan漏洞攻击、Shellcode漏洞攻击、System漏洞利用攻击、WebActivex等客户端漏洞攻击检测。支持FTP、IMAP、MSSq1、MySq1、Oracle.PoP3、RDP、SMTP、SSH、Telnet、等协议暴力破解检测。Web应用安全检测能力支持HTTP1.0/1.1,HTTPS协议的安全威胁检测;支持针
12、对B/S架构应用抵御SQL注入、XSS、系统命令等注入型攻击;支持跨站请求伪造CSRF攻击检测;支持对ASP,PHP,JSP等主流脚本语言编写的webshell后门脚本上传的检测;支持其他类型的Web攻击,如文件包含,目录遍历,信息泄露攻击等的检测;产品应具备独立的Web应用检测规则库,Web应用检测规则总数在3000条以上;支持敏感数据泄密功能检测能力,支持敏感信息自定义,支持根据文件类型和敏感关键字进行信息过滤,提供截图加盖投标人公章。异常流量检测支持非标准端口运行标准协议的异常流量检测,包括3389、53、80/8080,21、69、443、25、110、143、22等黑客常利用端口。支
13、持ICMP、UDP、SYN、DNS等协议外发异常流量检测,支持自定义阀值。僵尸网络行为检测支持HTTP未知站点下载可执行文件、浏览最近30天注册域名、浏览恶意动态域名、访问随机算法生成域名、暴力破解攻击、反弹连接、IRC通信等僵尸网络行为检测。审计白名单审计白名单支持源目IP、源目端口和日志类型、口志来源。高级检测为满足探针在不同场景中的检测需求,探针和平台传输日志时需支持简易、标准、高级、自定义等多种日志传输模式,提供截图加盖投标人公章。支持传输网络攻击检测日志、漏洞利用攻击检测日志、僵尸网络检测日志、业务弱点发现日志等多种安全检测日志。支持传输正常访问、风险访问、违规访问等多种访问检测日志
14、。支持传输协议审计日志,包括https、http、DNS、邮件协议审计日志、SMB、AD域、WEB登录、FTP、Telnet、ICMP,TELNET,ICMP、SNMP、SSL、SIP、ONVIF、mogo、NFS、SOCKS、dhcp、netbios_nbns、全流量元数据审计、数据库审计协议等。违规访问检测支持IP,IP组,服务,端口,访问时间等定义访问策略,主动建立针对性的业务和应用访问逻辑规则,包括白名单和黑名单方式。特征库内置URL库、IPS漏洞特征识别库、应用识别库、WEB应用防护识别库、僵尸网络识别库、实时漏洞分析识别库、恶意链接库、白名单库。抓包分析支持流量抓包分析,可定义抓包
15、数量、接口、IP地址、端口或自定义过滤表达式。管理功能支持设备内置简单命令行管理窗口,便于基础运维调试;可实时监控设备的CPU、内存、存储空间使用情况;能够监控监听接口的实时流量情况。四、其他要求1.本项目设备供货的最终用户必段为XX市XX医院,中标后七个工作日内,采购人可要求中标方提供样机进行上述功能要求的逐一测试验证,测试中如不符招标技术要求,采购人有权退货并且后果一概由中标人承担,投标供应商必须保证所有设备为原装正规渠道行货,所有产品均需原包装到用户,当场开箱验2.为保证设备可靠稳定运行,供应商所投产品如无法实现与采购人现有防火墙、VPN等设备联动和策略下发的,供应商需免费替换原防火墙、VPN等设备,且替换的设备性能、功能、冗余性、可扩展性等均不低于当前设备。本项目涉及用户内外网设备调整,中标单位必须保证原有系统正常运行,安装实施过程中如需增加模块、线材等采购人不再承担任何费用。