一、项目概述
随着我行业务不断发展,区域逐步增加,为确保流量威胁感知系统可以全面覆盖我行各区域,提高各区域安全性,拟启动流量威胁感知系统扩容采购项目,扩容设备用于开发测试区。
前期我行已采购了7台奇安信流量威胁感知系统-流量采集探针,部署在行内各生产区域。本次采购的探针所监控的流量要求与行内现有的奇安信威胁运营平台进行对接,可通过奇安信威胁运营平台对流量威胁感知系统-流量采集探针进行版本及规则库升级。
1.功能需求:
(1)采购需求:
本次需采购3台流量威胁感知系统-流量采集探针,1台威胁感知系统-分析平台,免费质保5年。
(2)技术指标:
a.硬件指标
名称 | 性能参数 |
流量威胁感知系统-流量采集探针 | CPU:12核 |
威胁感知系统-分析平台 | CPU:2*12核(2颗物理CPU) |
b.功能指标
(a)流量采集功能要求:
功能类别 | 相关要求 | |
流量采集 | 自定义协议 | 支持自定义协议和端口,满足特殊场景下的流量抓取 |
威胁检测 | 威胁情报 | 支持基于流量实时IOC匹配功能,设备具备主流的IOC,情报总量50+万条 |
Webshell攻击检测 | 支持基于工具特征的WEBSHELL检测,能通过系统调用、系统配置、文件的操作来及时发现威胁;如:中国菜刀、小马上传工具、小马生成器等 | |
支持基于webshell函数的攻击检测,如文件包含漏洞、任意文件写入、任意目录读取、任意文件包含、preg_replace代码执行等 | ||
支持基于代理程序的攻击检测,如TCP代理程序、HTTP代理程序等 | ||
策略配置 | 语义分析 | 支持基于网络请求的语义分析检测,能够将网络请求拆分后从请求头、响应头、请求体、响应体四方面详细展示请求内容,并能提升对未知威胁检测能力 |
旁路阻断 | 支持基于IP地址的旁路阻断,能够在实时镜像的流量中发现恶意IP并实现实时阻断 | |
支持基于URL的旁路阻断,并能将URL请求进行重定向 | ||
自定义弱口令 | 支持自定义弱口令字典,支持HTTP、HTTPS、Telnet、FTP、POP、SMTP、IMAP等协议的自定义弱口令检测。 | |
HTTPS威胁检测 | 支持旁路HTTPS解密、威胁检测。 | |
管理功能 | 系统配置 | 支持AES256、SM4数据传输加密,确保数据传输的安全性 |
(b)威胁感知功能要求:
功能类别 | 相关要求 | |
威胁感知 | 告警分析 | 支持告警的深度行为分析,行为包括DNS解析行为、TCP/UDP交互行为、WEB访问行为、传输文件行为 |
受害资产分析 | 支持以受害资产维度进行分析,分析内容包括失陷状态、受到的攻击类型、威胁级别、处于的攻击阶段、所属的资产分组 | |
攻击者分析 | 以攻击者的维度进行分析,对攻击者进行画像,画像内容包括地理位置信息、国家信息、所属组织、使用的攻击手段、攻击的所有资产 | |
威胁分析 | 支持从威胁情报、应用安全、系统安全和设备安全的业务场景维度对告警进行二次分析。 | |
威胁情报维度分析包括:情报详情、影响资产列表、资产的行为(行为包含:DNS解析、TCP流量、UDP流量、WEB访问、文件传输) | ||
应用安全的细分维度包括:WEB安全、数据库安全、邮件安全、中间件安全 | ||
系统安全的细分维度包括:主机爆破、弱口令、未授权行为、挖矿行为 | ||
白名单 | 支持对告警进行加白,加白参数包括受害IP、攻击IP、威胁情报、规则、XFF、URL、威胁名称 | |
调查取证 | 调查分析 | 支持对威胁告警事件进行调查分析,结合大数据分析技术以攻击链视角进行呈现 |
场景分析 | DGA域名发现 | 通过机器学习技术发现动态恶意域名,检测准确率≥99% |
HTTP代理发现 | 支持HTTP代理行为发现,检测内容包含:代理IP、代理端口、代理次数 | |
SOCKS代理发现 | 支持SOCKS代理行为发现,检测内容包含:代理IP、代理端口、代理次数 | |
异常DNS服务器发现 | 支持异常DNS服务器发现,检测内容包含:异常DNS服务器地址、异常解析地址、上级DNS服务器地址 | |
reGeorg Tunnel发现 | 支持reGeorg Tunnel发现,检测内容包含:tunnel地址、关联图、操作命令、目标IP | |
异地账号登录 | 支持异地账号登录行为检测,检测内容包含:登录IP归属、账号、登录资产IP、使用协议、登录次数、登录成功率 | |
敏感关键词邮件 | 支持自定义关键词发现恶意邮件还支持邮件白名单,检测内容包含:发件人、收件人、关键词、邮件主题、抄送、附件文件名、邮件正文 | |
敏感后缀邮件 | 内置异常邮件的后缀库同时支持邮件白名单,检测内容包含:发件人、收件人、关键词、邮件主题、抄送、附件文件名、邮件正文 | |
威胁溯源 | 网络日志检索 | 支持检索异常报文、域名解析、文件传输、FTP控制通道、LDAP行为、登录动作、邮件行为、MQ流量、网络阻断、数据库操作、SSL加密协商、TCP流量、Telnet行为、UDP流量、WEB访问等网络流量日志,并可基于时间、IP、端口、协议、上下行负载等多重字段组合进行日志检索 |
告警日志检索 | 支持告警日志检索,可基于时间、告警类型、文件MD5、文件名、文件传输方向、攻击方式、攻击结果、来源/目的所属国、IP地址、上下行负载等多字段混合搜索 | |
终端日志检索 | 支持检索终端IM文件传输、邮件附件传输、DNS访问、 进程、U盘文件传输等动作的日志,可以及时发现终端上存在的异常现象,并可结合网络日志及告警日志深挖威胁的攻击全过程 | |
SPL检索 | 支持通过SPL搜索语句进行详细检索并能够采用多字段组合来进行日志检索生成视图 | |
可视化展示 | 外部威胁态势 | 支持大屏展示网络攻击态势,包括整体网络风险指数、告警总数、攻击次数、攻击IP数、攻击源国家/地区TOP5、攻击态势,并支持自动翻转的攻击全景地图展示 |
威胁事件态势 | 支持大屏展示整体威胁事件态势,包括威胁类型分布、威胁类型TOP5、受害主机TOP5、威胁事件趋势、最新告警事件、威胁星云图 | |
资产风险态势 | 支持大屏展示整体资产风险态势,包含资产树结构、资产分类、开放服务统计、网段管理、资产风险趋势、资产风险状态 | |
资产管理 | 资产分组 | 支持对资产进行分组管理,同时支持根据分组过滤资产列表 |
资产标签 | 支持对资产打标签,同时支持根据标签过滤资产列表 | |
资产列表 | 支持展示自动发现、终端管理系统获取和人工录入的资产信息,信息包括:资产IP、资产名称、分类、责任人、责任人部门、资产分组、权重、服务、资产标签、设备型号、操作系统、物理地址、网关标识、厂家 | |
系统管理 | 集群部署 | 支持分析平台横向扩展至多台设备集群 |
终端联动联动 | 支持与终端EDR进行联动,发现威胁事件后支持在终端上进行追踪溯源发现相应的恶意进程并对其进行查杀 | |
防火墙联动 | 支持与防火墙进行联动,发现威胁事件后支持对攻击IP、恶意域名和受害资产的流量进行阻断(将策略下发给防火墙,由防火墙执行阻断) | |
防火墙集中管理系统联动 | 支持与防火墙集中管理系统,发现威胁事件后支持对攻击IP、恶意域名和受害资产的流量进行阻断(将策略下发给防火墙集中管理系统,由防火墙执行阻断) | |
安全性管理 | 支持AES256、SM4数据传输加密,确保数据传输的安全性 | |
级联管理 | 支持二级级联部署,下级分析平台向上级分析平台发送告警和相关信息,在上级分析平台上进行汇总展示 | |
运营管理 | 提供告警展示场景,支持展示场景的切换。每个告警展示场景中支持自定义页面数据展示的范围,方便管理人员的日常运维工作 |
2.服务需求:
本项目需要免费提供5年原厂服务,具体服务内容包括:
(1)设备安装、调试及上线
根据我行的要求,制订详细的设备上线实施方案及计划,进行设备的安装、调试、上线等工作,确保设备顺利投产。
(2)系统变更
制定系统变更实施方案,对于重大系统变更,派工程师到现场进行实施。
(3)故障处理与备件更换
在7×24时间范围内,若发生与设备和软件相关的故障,应我行要求,应派工程师在2小时内赶到现场,协助我行进行故障排查。在7×24时间范围内,若设备发生硬件故障,须在接到申告的4小时内将完好备件运抵现场,并派工程师到现场进行更换。
(4)设备巡检
在5年服务期内,须每季度进行1次巡检,检查设备和软件运行状态。针对设备和软件存在的问题提出解决建议,并按我行要求,对设备和软件存在的问题进行处理。现场巡检后的5个工作日内提交设备和软件巡检报告。
(5)软件升级
在5年服务期内,应及时提供采购设备和软件的升级软件版本或软件补丁,根据我行要求,评估升级软件版本或打补丁的风险,制订实施方案,并进行实施,及时消除软件运行中潜在的隐患。
(6)技术支持及关键时间保障
应我行要求,在关键时间点(如银行年终决算、重要应急演练等),派工程师到现场技术保障。此外,须提供7×24小时技术支持电话,协助我行解决系统日常运行中的问题。
(7)技术交流与培训
在免费服务期内,至少每月安排1次技术交流,对我行上月所发生的故障或问题进行汇总分析,提出改进建议;安排其他技术方面的交流或培训。
(8)其他服务
除正常的技术支持电话以外,须另设立客户投诉渠道,受理我行的投诉。应保证从受理我行投诉到向我行初次回复处理意见的时间不超过2小时。对投诉的处理以投诉问题得到解决和我行满意为结束,时间不得超过半个月。
(9)增值服务
除以上基本服务要求外,还可提供其他增值服务。
(二)服务商准入标准
1.公司为独立法人。
2.服务商近3年(2020年1月至今)具有相同项目案例经验(须提供相关证明材料)。
3.服务商信誉良好,没有负面评价,在经营活动中没有重大违法记录。
4.如代理商参与,需提供原厂商对本项目的授权。
请有意参与我行项目合作且符合准入条件的服务商,从http://www.bjrcb.com/pc/cn/index/xmxxgg/xxkj/20191031/1258548.shtml网址下载并填写《北京农商银行xxx项目服务商自荐表》,同时根据准入标准要求提供相应材料的扫描件,于2023年6月3日下午17点前发送至xinxjsh_shangwu@bjrcb.com邮箱中。
发送报名邮件要求:
1.邮件主题:公告编号+公司名称;邮件主题、正文、附件中不能含敏感字。
2.须以传统方式黏贴附件,不能发云附件;发送的附件(压缩文件、文档等)不得设置密码或编辑权限;单个邮件大小控制在15MB以内(如果超限,可分几个邮件发)。
3.服务商自荐表需提供盖章扫描件及Word可编辑版。
二、其它事项
(一)请在规定时间内参与报名,截至报名日期后我行将不再接受任何形式的申请材料。
(二)请提供服务商的有效联系方式,并保持通讯畅通,我行将电话联系入选的服务商,对于需要产品测评的项目,后续我行会组织服务商商进行测评,测评未通过者将不能作为候选服务商;对未入选的服务商不另行通知。
(三)存在关联的公司在同一项目中只能参选1家公司。
(四)我行尊重参选服务商的隐私权,对服务商的信息严格保密,参选服务商应当对所提交资料的真实性承担责任,我行在参选服务商过程中的任何阶段发现参选服务商提交的材料不实,有权取消其参选资格。
三、联系人及咨询电话
联系人:郭女士
咨询电话:89198820
北京农商银行信息科技部
2023年5月25日
文章推荐:
市域(郊)铁路成都至德阳线工程土建2工区杜家碾站、友谊站临建及措施工程招标公告
江西省机电设备招标有限公司关于江西省地质局地理信息工程大队数据机房设备购置项目(项目编号:jxtc2023070243)电子化公开招标结果公告