2024年2月5日发(作者:)
虚拟化杀毒及未知危险感知系统需求说明
(一)设备清单
序号
1
2
3
4
5
6
7
分析平台
流量探针
虚拟化安全
服务器虚杀毒扩容
交换机(镜像)
项目系统集成技术服务
项目技术维护服务
设备名称 单位
台
台
套
套
台
次
年
数量
1
1
1
1
1
1
1
(二)技术指标及其他要求
1、分析平台
指标类别 技术指标要求
机架式,≥4*GE管理电口,≥960G SSD + 8*4TB SATA 存储硬盘,CPU硬件规格
≥24核,内存≥128G,3年威胁情报库升级服务。
支持网络攻击态势地图;并以地图的形式展示风险指数并呈现告警TOP5(列表),以及失陷资产TOP10,并须把资产态势以地图的形式的呈现。
态势大屏 支持以图形化大屏实时展示全网安全事件与网络攻击态势,包括但不限于攻击事件、攻击源、危害级别等进行统计与展示。
支持大屏展示资产包括外部访问、横向访问、内网外联态势。
支持告警的深度行为分析,单条告警详情中可展示至少包含该事件相关威胁感知 的网络行为内容:DNS解析行为、TCP/UDP交互行为、WEB访问行为、传输文件行为。
支持基于可视化的形式展示威胁的影响面,通过大数据分析和关联检索技术,能够直观的看到失陷主机攻击了谁,被谁攻击了,帮助管理人员及时了解威胁的影响,并制定有效的处置动作。
支持与云端威胁情报中心联动,可在系统上对告警相关的攻击IP、C&C域名和恶意样本MD5进行点击链接至云端威胁情报中心,查看情报基本信息、相关样本、关联URL、可视化分析、域名解析、注册信息、关联域名、数字证书等。
支持对所有告警进行结果标识,直观展示告警行为对应的攻击结果,攻击结果分为攻击成功、失陷、企图、失败。
支持检测WEB攻击、异常访问、恶意文件攻击、C&C IP/URL、WEB后门访问、发件人欺骗、邮件头欺骗、邮件钓鱼欺骗、邮件恶意链接、DGA行为分析
域名请求、SMB远程溢出攻击、WEB行为分析等风险。
可自动对内网主机进行威胁指数分析,详细展示具体的威胁指数、威胁活动、历史威胁指数、遭受的攻击类型、攻击次数、攻击状态等。
支持工作流程自定义编排。
支持联动服务管理,支持python语言与javascript语言在web页面编通报预警 辑联动服务。
支持策略定义,可根据工作流进行处置动作定义,且能根据告警类型、攻击结果、威胁类别进行联动策略定义。
数据接入层面支持日志类型包括但不限于SNMP TRAP日志、文本格式日威胁溯源 志、数据库日志、WMI日志、Syslog日志等,并支持对采集器的管理;数据处理层面支持流程管理和部署管理;数据存储层面支持数据结构管
理、字段管理、值映射表管理、KAFKA管理及数据清除管理。
支持自动从流量中识别资产信息包含:IP、端口、服务、操作系统、MAC。
资产管理
支持展示资产配置核查信息,配置类型包括:敏感端口暴露、明文密码泄露、弱口令。
支持分析平台横向扩展至多台设备集群。
支持声音提示、弹窗提示等提示方式及提示功能的开启/关闭,消息内容包括告警日志、系统状态消息、进程消息、任务 提示消息等内容,系统管理
并支持对各种消息进行发送内容的自定义功能。
支持AES256、SM4数据传输加密,确保数据传输的安全性。
支持自定义WEB访问端口。
开通与客户原有360天擎 1000个点联动许可授权,实现PC端跟网络端联动
的安全联动。
提供三年原厂保修服务,三年威胁情报升级服务,签订合同时须提供相服务
应的售后服务承诺函和授权书。
2、流量探针
指标类别
硬件规格
≥1TB SATA存储硬盘。
支持常见协议识别并还原网络流量,用于取证分析、威胁发现,支持http、dns、smtp、pop3、imap、webmail、DB2、Oracle、MySQL、sql server、流量采集
Sybase、SMB、FTP、SNMP、telnet、nfs等。
支持对流量中出现文件传输行为进行发现和还原,并记录文件MD5发送技术指标要求
机架式,≥4*GE流量监听电口,吞吐量≥1Gbps,CPU≥4核,内存≥32G,
至分析设备,如可执行文件(EXE、DLL、OCX、SYS、COM、apk等)、压缩格式文件(RAR、ZIP、GZ、7Z等)、文档类型文件(word、excel、pdf、rtf、ppt等)。
支持常见数据库协议的识别或还原:DB2、Oracle、SQL Server、MySQL、PostgreSQL等协议。
支持TCP/UDP会话记录、异常流量会话记录、web访问记录、域名解析、SQL访问记录、邮件行为、登录情况、文件传输、FTP控制通道、SSL加密协商、telnet行为、IM通信等行为描述。
支持自定义协议和端口,满足特殊场景下的流量抓取。
支持基于流量实时IOC匹配功能,设备具备主流的IOC,针对APT勒索挖矿僵木蠕毒检测的本地失陷情报库总量≥40万条。
支持检测针对WEB应用的攻击,如SQL注入、XSS、系统配置等注入型攻击。
支持跨站请求伪造CSRF攻击检测。
支持其他类型的WEB攻击,如目录遍历、弱口令、权限绕过、信息泄露、威胁检测 文件包含、文件写入攻击等检测。
支持基于工具特征的WEBSHELL检测,能通过系统调用、系统配置、文件的操作来及时发现威胁;如:冰蝎、中国菜刀、小马上传工具、小马生成器等。
支持基于webshell函数的攻击检测,如文件包含漏洞、任意文件写入、任意目录读取、任意文件包含、preg_replace代码执行等。
支持基于代理程序的攻击检测,如TCP代理程序、HTTP代理程序等。
支持多种攻击检测,能更全面的从流量中发现协议异常、网络欺骗、黑市攻击、代码执行等威胁。
支持对HTTP、FTP_DATA、SMB、SMTP、POP3、WEBMAIL、IMAP、TFTP、QQ、NFS等类型协议的流量进行文件还原。
支持设备对流量进行抓包分析,可定义抓包流量双向或单向、数量、IP地址、端口或协议类型。
支持基于网络请求的语义分析检测,能够将网络请求拆分后从请求头、响应头、请求体、响应体四方面详细展示请求内容,并能提升对未知威胁检测能力。
支持基于IP地址的旁路阻断,能够在实时镜像的流量中发现恶意IP并策略配置
实现实时阻断。
支持基于URL的旁路阻断,并能将URL请求进行重定向。
支持基于DNS重定向的旁路阻断,并能将DNS域名解析请求重定向至指定IP。
支持自定义弱口令字典,支持HTTP、HTTPS、Telnet、FTP、POP、SMTP、IMAP等协议的自定义弱口令检测。
支持旁路HTTPS解密、威胁检测。
web端提供针对恶意扫描、Flood攻击、IP碎片攻击、ARPSpoof、PingSweep检测策略配置功能。
支持旁路部署,可同时接入多个镜像口,每个镜像口相互独立不影响
管理功能
支持AES256、SM4数据传输加密,确保数据传输的安全性。
支持威胁告警信息发送给syslog服务器,支持将威胁告警、威胁等级、网络日志、攻击结果、威胁类型等日志传输给KAFKA、威胁分析平台。
支持与集中管理平台进行联动,统一进行情报、规则的升级。
提供三年原厂保修服务,三年威胁情报升级服务,签订合同时须提供相服务要求
应的售后服务承诺函和授权书。
3、虚拟化安全
指标类别
管理架构要库即可实现日志存储和分析展示,无需额外安装或对接升级服务器即可实求
现文件、特征库的升级和分发。
采用轻量级Agent部署,无需依赖虚拟化平台API即可实现安全防护;客户端支持手动从控制中心获取安装,也可通过管理控制中心批量远程安装;客户端对windows类、linux类;物理服务器、虚拟服务器、桌面云客户端要求
具备相同的防护和部署模式。
支持对已防护的主机统计在线率,对虚拟机是否安装客户端统计整体部署率。
虚拟化平台支持VMware 、Ctrix、Microsoft、Huawei、H3C、浪潮等国内外主流虚支持
操作系统支Server2003/2008/2012/2016等虚拟化环境常见基于Windows NT的服务持
器操作系统;支持SuSE、Red Hat、Ubuntu、Debian、CentOS、Asianux、拟化厂商平台,并能够采用一个管理控制中心进行统一管理。
支持Windows 7/8/10等云桌面常见操作系统类型,Windows
技术指标要求
采用B/S架构设计,管理控制中心高度集成化,无需额外安装或外接数据
NeoKylinLinux等虚拟化环境常见基于Linux内核的操作系统。
提供不少于3种病毒查杀引擎,可根据不同虚拟化环境和查杀要求灵活开启与关闭;同时产品应支持利用CPU虚拟化技术提升系统的安全防护能文件防护要力。
求
内置webshell扫描引擎,针对网站系统恶意webshell、后门等文件进行扫描防护;能够针对webshell文件设定白名单,对文件进行加白处理,避免对核心网站系统文件造成影响。
配置入侵防御功能,可对来自网络层的拒绝服务、缓冲区溢出、木马后门、web攻击、恶意网络扫描、恶意入侵提权等各类威胁流量的检测与防护。
入侵防御规则不少于11000条,并支持按照攻击类型进行分组分类,支持网络隔离和防护要求
对每一类攻击类型单独开启或关闭防护,产品应支持防暴力破解,可对来自网络的暴力破解行为进行拦截,支持配置时间、破解次数等阈值,并提供暴力破解IP或IP段的黑白名单设置。
提供主动防御保护,智能监控系统文件操作行为,利用文件审计关联技术,实时对病毒木马及恶意相关文件进行拦截和防护,针对近期爆发流行的永恒之蓝攻击,能够进行有效防护。
可扩展产品支持对主机安全缺陷、配置进行扫描评估,通过打分形式展现不合规和风险程度;能够对window操作系统上的策略、服务、组件等进系统加固要行扫描凭,对linux操作系统上的账号、服务、安全参数、进程、配置等求 进行扫描评估,并给出修复建议,修复建议包括自动修复和手动提示修复
产品应支持对主机的安全加固,针对利用虚拟化漏洞的恶意软件、程序进行拦截并阻止其在主机上运行,提供软件、程序的黑白名单,以减少对系
统程序的误拦截风险。
支持自定义安全策略的定时、指定范围执行;支持对策略、主机组织结构、日志的手动或自动备份;支持手动或自定同步虚拟化平台组织结构;支持基于时间动态进行调整带宽和网络并发连接,减少控制中心升级对业务网自动化运维
络产生的影响。
支持手动、自动升级系统文件、引擎版本、特征库信息,能够基于分组、时间设定灰度升级策略。
Syslog支持 支持syslog协议,将安全日志发送到第三方syslog服务器。
离线升级 提供在线或者离线升级方式,隔离网情况下能够采用离线工具进行更新。
LDAP支持 支持LDAP,将LDAP组织结构导入到本地用于本地系统管理。
展示与告警 支持动态展示安全事件并能够进行邮件告警。
多账号 支持不同账号设定不同的组织结构权限和策略使用权限。
报表订阅 支持报表订阅,能够对报表时间、内容定制、订阅信息等进行自定义。
支持按照物理CPU、虚机数、CPU+虚机数混合计费模式,以满足不同的虚拟化环境。
计量计费
产品控制中心一次授权永久有效,当虚拟化平台扩容或新增虚拟化平台时,无需额外购买控制中心扩展升级授权。
4、服务器杀毒扩容
指标类别 技术指标要求
扩容内容 配置服务器防毒软件 360 天擎 V6.3 15 个 windows 服务器用户授权,配置杀毒模块+补丁管理模块,提供原厂三年病 毒库升级及质保服务,签订合同前提供原厂授权书及售后服务承诺函原件;用户名必须为中医院,为了客户业务的稳定性,本次续保无需重新部署,必须原厂工程师上门安全服务;实施时需提供工程师工作证。
5、交换机(镜像)
指标类别 技术指标要求
配置要求 8个千兆RJ45电口,不允许使用光转电模块,8个千兆SFP光口, 12个万兆SFP+光口,支持双向240Gbps 64字节小包线速转发能力,支持Syslog,snmp, telnet, ssh, web,radius, sflow,支持开放的JSON RPC
API ,N个端口进来的报文转发到M个端口,N>=1, M>=1,N个端口进来的报文转发到一个负载均衡组,选择一个出口出去,支持同源同宿,可以对IPv4和IPv6报文根据2-4层字段进行过滤,有条件的进行转发,3年原厂保修。
6、项目系统集成技术服务
指标类别 技术指标要求
负责完成本项目设备的安装调试,电源、相关缆线(网线、光纤线)必须齐全并满足机房实际布局连接要求;新增设备后涉及到机房布局需要服务内容 进行调整等;按用户要求负责完成对本项目的系统集成部署实施;负责完成服务器杀毒整合实施;负责完成原有网络、安全及服务器虚拟化平台的调整实施;提供无推诿服务,对以上未列明的,本项目实施中涉及
到的系统提供整体实施服务。
7、项目技术维护服务
指标类别 技术指标要求
应用系统上线技术支持:集成商在系统维护期内,当新应用系统上线或已有应用系统需要调整时,集成商工程师将到用户现场提供技术支持。包括:方案规划、系统调整、部署实施等,同时,在业务关键时期,安排工程师常驻用户现场。
持续性服务:集成商对此次项目中所有系统提供3年7×24小时系统维护技术服务。在维护服务期内,集成商提供7×24小时全天候电话技术支持,电话技术支持的内容包括解决各种系统故障、对各种突发事件采取应急措施及其它与系统相关的技术问题等,电话技术支持的服务响应服务内容 时间为30分钟,在此期间,集成商通过电话提供解决方案或利用远程维护方式直至用户申报的系统问题解决。在维护服务期内,若发生用户认为应直接抵达现场处理的严重故障,集成商在接到用户电话通知后8小时内到达用户现场直至问题解决。在维护服务期内,集成商须提供每季度一次的定期系统现场巡检服务,巡检服务的内容包括系统运行状况检查与评估、日常维护与优化、故障预防与解决、可用性切换与测试等。在维护服务期内,与保障用户业务服务质量和业务连续性相关的所有问题,无论是否与集成商有关,在接到用户通知后,集成商应及时响应并根据用户要求提供远程、现场支持或协助。
发布评论