智能安全运营平台、综合威胁探针技术参数

（国产一套，信息中心）

一、智能安全运营平台

★1产品形态

1.1产品部署模式及功能要求：支持集约化部署，平台具备软件化部署能力，软件形态支持部署在物理机/虚拟机/云环境/XC环境。提供一个中心，多种安全管理和防护能力，覆盖安全态势感知、安全风险管理与安全运营管理。融合安全运营服务，帮助医院完善威胁预警机制、梳理IT资产安全生命周期、拉通运维响应规划，快速发现、分析和解决安全问题，建立适合医院自身的安全运营模式、安全保障机制、提高安全能力、完善安全经验知识库。

1.2服务器配置要求：2U 机架式，CPU：2×6132 14核，2.6GHz，内存：≥256G，系统盘：≥2×600G，硬盘：12×4T，SAS阵列卡≥12G，≥2个扩展槽，≥1个管理口，≥四口千兆电口，电源：≥800W。

2数据接入

2.1流量数据：支持ipv4ipv6、多种协议的数据接入，包括但不限于FTP、SFTP、UDP、TCP、Netflow、本地文件系统、KAFKA、JDBC/ODBC。

2.2采集日志：支持内置600+设备日志解析规则查看以及筛选，包括但不限于网络设备（防火墙、交换机、网关）、安全设备（入侵检测设备、WEB攻击防护设备、APT检测设备、防火墙、网络审计、流量探针等）、终端主机日志、数据库等。

3数据外发：支持webservice北向接口能力，基于HTTPS的API接口向其他经过token验证的平台发送数据。

4安全态势可视化

★4.1总体趋势汇总展示：支持以地图、指数、雷达图、柱状图、趋势图等形式展示监测网络安全的整体安全态势，可投放大屏并兼容分辨率要求、易于操作，可动态提醒当前网络最新的安全威胁态势。态势呈现包括但不限于综合态势、威胁态势、脆弱性态势、环境感知态势、运维响应态势、日志审计态势。

★4.2综合态势汇总展示：综合态势支持从网络风险状况及健康状态纬度对网络的综合风险态势进行量化评估感知及可视化呈现，包括但不限于网络风险综合评分及评分指数、网络健康状态评分以及日志、漏洞、IT资产、设备接入数，攻击链威胁分布、威胁场景分类统计、IT资产脆弱性统计和影响资产漏洞TOP、最近重点事件等。支持手动配置威胁指数、脆弱性指数、网络健康评分。

4.3标准化处理与存储：支持界面化配置规范化规则采集第三方日志实现异构日志格式归一化。支持数据库备份功能，支持周期性对主控节点管理数据库进行备份。

5日志威胁分析：支持不少于500种内置威胁分析规则及界面化的内置规则的定期升级，覆盖扫描、暴力破解、sql注入、xss、木马、蠕虫、僵尸网络、漏洞利用、目录遍历攻击、拒绝服务攻击、勒索软件、弱口令等攻击。

▲6系统监控：智能安全运营平台支持运维人员通过web方式登录平台进行运维管理，可界面监控系统整体运行状态，包含但不限于系统运行状态、各大数据设施运行状态、集群整体CPU使用、集群整体内存使用、集群整体磁盘使用、集群整体磁盘IO、集群整体网络IO、集群整体负载指标对应趋势图等。

7高危风险行为分析：支持主机、应用等弱口令访问行为的检测，弱密码应加密展示且需要管理员的二次独立认证授权后方可查阅明文弱口令。同时支持批量导出弱口令帐号能力以便于弱口令帐号的分发整改。

8威胁分析：智能安全运营平台支持专家模式的自定义规则，可支持行为分析、多源关联分析、机器学习等多种分析模式，同时可按需自定义生成的事件模版信息如威胁等级、攻击链阶段、事件类型、攻击意图等。

9发现网络安全事件线索：支持基于IP、URL、文件的可视化交互威胁狩猎能力，辅助安全运营人员发现未知威胁线索。包括攻击命中信息、攻击目标模型、攻击类型模型、攻击路径模型、流量命中信息，流量趋势模型、会话协议模型、端口模型、 IT资产信息，IT资产开放端口、服务以及资产外联、IT资产被攻击事件、命中情报信息，情报命中信息及情报历史信息、同网段攻击者IP TOP推荐、IP命中的告警日志详情、恶意文件名称、恶意文件检测报告、恶意文件情报命中信息等。

▲10 全流量威胁：支持基于规则、关联分析、行为分析、AI智能检测、全流量回溯检测、资产指纹资产漏洞关联分析等各种检测模型。

11 脆弱性管理：脆弱性态势支持对网络内IT资产脆弱性的态势感知与可视化呈现，包括但不限于IT资产脆弱性TOP、漏洞脆弱性TOP、漏洞情报TOP、服务系统威胁分布、风险等级及漏洞分布趋势和脆弱性趋势、WASC漏洞分布、OWASP-2013漏洞分布等。

12脆弱性和一键封堵管理：平台应支持在线下发漏洞扫描任务的能力，应支持灵活的任务策略配置，包括但不限于：调度策略（立即、定时、周期）、扫描设备选择（支持自动/手动指定扫描设备进行漏洞扫描）、漏洞模板策略、登录扫描参数、扫描引擎参数等。

▲13联动封堵：智能安全运营平台能与院内现有WEB应用防火墙、入侵防御、漏洞扫描等安全设备进行实时联动，并进行一键封堵及漏扫指令下发等安全指示。

▲14资产管理：平台应支持多维度IT资产管理，进行多维度IT资产视图分析，系统至少内置五种视图：资产组视图、业务系统视图、组织结构视图、地理位置视图、行业视图。

▲15高易用性：支持收藏夹的功能，能够把重点关注的菜单收藏起来，提供快速查看入口。

二、综合威胁探针

★1规格性能：2U标准机架式，提供交流双电源，2个GE管理口，1个RJ45串口，≥2个USB接口，≥4个千兆光口，≥2个接口扩展槽，内存≥64G，硬盘≥20T，应用层吞吐量≥5Gbps，最大并发会话数≥1000万，每秒新增会话数≥300000。

2流量采集

▲2.1协议解析：支持网络/传输协议、会话/应用协议的元数据还原功能、支持HTTP、FTP、SMTP、POP3、IMAP、SAMBA、WEBMAIL类型的文件还原功能、同时各类协议还原规则支持开启/关闭。

▲3流量存储：支持流量存储配置功能，提供恶意流量存储与全流量取证的配置，支持应用类型存储包含HTTP、DNS、TELNET、FTP、TLS/SSL、邮件协议、数据库、认证行为、登陆行为、社会账号、SAMBA、SOCKS、工控协议、PFCP、SSH、RDP、VNC、SNMP、NGAP、HTTP2、GTPV2等类型。

★4入侵行为检测：探针应提供对网络流量中的入侵行为进行分析检测的功能，具备多种入侵行为攻击特征检测能力，并对检测后的时间进行展示，支持将相关告警日志上报平台进行集中分析，可实现针对网络病毒、蠕虫、间谍软件、木马后门、扫描探测、暴力破解等入侵行为进行检测，攻击特征库数量至少为9000种以上。

★5 WEB应用检测：探针应支持针对主流Web服务器及插件的已知漏洞攻击检测功能，应覆盖主流服务器：apache、tomcat、lightpd、NGINX、IIS等，支持对sql注入、XSS、SSI指令、Webshell、目录遍历、远程文件包含等WEB应用的攻击行为检测与告警，告警详情中包含请求和响应信息，在请求和响应信息中能标记规则匹配中的字段信息，便于运维人员快速进行确认攻击事件。

★6恶意文件检测：探针应内置恶意文件静态检测引擎，支持对网络流量中的可执行文件、文档、压缩包和网页脚本进行恶意代码检测和告警，并将检测告警日志上报平台进行深度的集中分析，同时支持对流量中检测到的恶意文件进行存储，供关联分析和取证使用。

7异常行为审计：支持自定义TCP/UDP行为检测模型，配置参数至少包括检测阈值、检测周期、IP对象。

8全量存储：统一威胁探针支持对实时流量采集的pcap包进行本地全量存储，供追溯分析和取证使用。

9取证（流量存储）：统一威胁探针提供原始pcap包查询API接口，大数据平台可通过该接口下发查询条件、获取指定pcap包。

▲10资产识别：支持IT资产发现功能，自动识别IT资产信息，识别的信息至少包括IT资产IP、IT资产MAC、地理位置、操作系统名称、操作系统版本、操作系统标识、软件名称、软件标识、软件版本、设备标识、设备版本、端口、服务名称、协议。

▲11支持钓鱼邮件检测功能：实现邮件头、邮件正文、邮件附件文件检测能力，同时可联动情报检测进行多维度分析，支持钓鱼邮件检测级别设置并可自定义敏感词。

▲12支持配置策略的备份：备份数据至少包括全部配置、引擎参数、接口参数和白名单。支持备份策略恢复，恢复的类型包括全部配置、引擎参数配置，接口参数配置和白名单配置。

★三、配置

1智能安全运营平台1套。（2U 机架式，CPU:2×6132 14核，2.6GHz，内存：≥256G，系统盘：≥2×600G，硬盘：12×4T，SAS阵列卡≥12G，≥2个扩展槽，≥1个管理口，≥四口千兆电口，电源：≥800W。）

2综合威胁探针2套。（2U标准机架式，提供交流双电源，≥1个GE管理口，≥1个RJ45串口，≥2个USB接口，≥4个千兆电口，≥4个千兆光口，≥4个接口扩展槽，内存≥64G，硬盘≥20T，应用层吞吐量≥5Gbps，最大并发会话数≥1000万，每秒新增会话数≥300000。）

2.1单套配置：入侵行为检测模块1个、WEB应用检测模块1个、恶意文件检测模块1个。

四、售后服务

★1整机免费质保一年。