1

安全态势感知系统平台

1、一体化部署。存储容量≥14T，在带宽性能1Gbps时存储时长≥900天/1Gbps。硬件参数：内存≥4*16GB，系统盘≥1*128GB，数据盘≥4*4TB，标配盘位数≥8，接口≥4千兆电口。

★2、能够协助学校针对内部资产进行主动识别，支持通过主动发送流量包的扫描方式探测潜在的服务器（影子资产）以及学习服务器的基础信息，资产指纹信息包括资产类型、端口、操作系统、mac地址、主机名等，能够帮助学校输出资产台账。

3、支持不同安全视角展示多个独立的大屏展示功能，包括全网安全态势感知大屏、安全事件态势、通报预警态势、资产态势大屏等。

★4、支持对安全事件、外部攻击者等维度进行自定义设置实现实时告警展示，支持大屏轮播，可在一个屏幕上自动切换轮播不同的大屏，所有大屏可自定义播放顺序。

5、针对校内异常流量能够进行深度识别，具备先进流量分析技术，可检出加密（如冰蝎）的通信流量。具备webshell规则检测，且覆盖webshell整个攻击阶段检测，包括webshell上传点探测、webshell上传下载、webshell通信。

6、需要支持在内网穿透、代理、远控、隧道、反弹shell等场景下具备元数据行为分析：包括常见的httpflow、dnsflow、adflow、icmpflow、maillflow等, 通过异常行为分析，结合各类机器学习算法完成未知威胁检测。

7、支持流量实时识别漏洞分析，漏洞分析类型包含配置错误漏洞、OpenSSH漏洞、OpenLDAP等操作系统、数据库、Web应用等，页面上支持展示业务脆弱性风险分布、漏洞类型分析、漏洞态势与危害和处置建议，并支持导出脆弱性感知报告。

8、要求平台能够支持对接多种设备日志，包括安全检测日志、审计日志、第三方日志存储；日志类型包括漏洞利用攻击、网站攻击、僵尸网络、业务弱点、DOS攻击、邮件安全、文件安全、网络流量、DNS、HTTP、用户、数据库、文件审计、POP3、SMTP、IMAP、LDAP、FTP、Telnet等。

9、针对网络邮件，系统需要支持对smtp、imap、pop3、webmail等邮件协议审计，提取邮件正文和附件中的流量，并对邮件附件、正文链接、邮件行为、发件人等多维度进行规则和机器学习检测，从而识别出钓鱼邮件、病毒邮件、垃圾邮件、鱼叉式钓鱼等恶意邮件。

10、为结合学校汇报流程机制，要求平台可快速生成月度、季度、年度PPT报表，包含网络安全整体解读、网络安全风险详情、告警及事件响应盘点等，帮助各级管理员高效汇报，体现安全工作价值。

11、依照学校通报预警机制，需要平台能够集合告警方式支持邮件告警、短信、微信告警方式，为学校第一时间得到相关安全事件通知，并形成工单。

★12、支持资产属性重新识别，当发现资产数据不准确时，可清空该资产属性，如主机名、备注、操作系统、标签、地理位置、硬件信息、应用软件信息、账号信息、责任人信息、端口信息等，重新发起识别后，平台会自动补齐资产属性，可批量操作。

★13、支持弱密码检测技术基于UEBA学习技术（无监督自我学习）提取登陆成功的特征，通过UEBA技术对响应体内容和登录跳转路径进行持续学习训练登录成功特征，包括响应体内容Json、响应体关键字Keyword、响应体MD5值、响应体长度Length、登录跳转路径Location，可实时自动生成学习到的登陆成功规则。

14、支持基于可视化的形式展示威胁的影响面，让工作人员能够通过大数据分析和关联检索技术，能够直观的看到失陷主机的威胁影响面，同时基于列表模式展示攻击、违规访问、风险访问、可疑行为、正常访问等详细信息。

15、平台内置挖矿安全知识库，对常见的挖矿如：Bluehero挖矿蠕虫变种、虚拟货币挖矿、EnMiner挖矿病毒、PowerGhost挖矿病毒、DDG挖矿病毒、Docker挖矿、DDG挖矿变种、GroksterMiner挖矿病毒、Linux 挖矿木马、ZombieBoy挖矿木马等提供详细的背景介绍、感染现象、详细分析、相关IOC（MD5、C2、URL）、解决方案。

16、支持横向威胁分析，包括横向威胁总览、横向攻击、违规访问、可疑行为、风险；其中横向风险总览包括发起横向威胁主机TOP5、遭受横向威胁TOP5、横向威胁类型分布、横向威胁趋势。

17、支持不同场景下数据库异常模型的算法编辑，可选择稀有值检测算法、ZScore异常检测算法、箱线图异常检测算法，可将不同类型的算法应用到不同的资产。

18、支持230+情报源，DNS信誉库总量超过2000万，其中黑名单100万，URL信誉库总量超过1亿，其中URL分类库3000万，文件样本库总量超过10亿，每日新增200万。拥有国内领先的企业级域名信誉库，拥有国内最全最准确的URL分类库。支持威胁情报关联分析，内置威胁情报数量不少于170W。

19、支持自动化溯源，可自动化复现受害者从最开始的遭受攻击到权限维持各个阶段的黑客行为，包括攻击入口溯源。支持基于可视化的形式展示威胁的影响面，通过大数据分析和关联检索技术，能够直观的看到失陷主机的威胁影响面，同时基于列表模式展示攻击、违规访问、风险访问、可疑行为、正常访问等详细信息。

支持攻击溯源功能，分析出首次失陷、疑似入口点、首次遭受攻击等信息。

★20、所投产品的生产厂商的软件研发实力具备CMMI L5认证；国家信息安全漏洞共享平台CNVD用户组成员；

21、安全产品应是微软安全响应中心（Microsoft Security Response Center）发起的MAPP（Microsoft Active Protection Program）计划成员，可在微软发布每月安全公告之前获得微软产品的详细漏洞信息，为用户提供更及时的安全防护；

★22、所投产品的生产厂商应是国家互联网应急响应中心网络安全应急服务国家级支撑单位；

1

（套）

2

潜伏威胁探针感知系统

1、旁路部署，吞吐性能≥1Gbps；规格：1U，内存大小≥8G，硬盘容量≥1T SATA，接口≥6千兆电口+2千兆光口；支持接入多个镜像口，每个接口相互独立且不影响；

★2、支持流量抓包分析，可定义抓包数量、接口、IP地址、端口或自定义过滤表达式；

3、支持敏感数据泄密功能检测能力，可自定义敏感信息，支持根据文件类型和敏感关键字进行信息过滤；

4、具备主动发送少量探测报文，发现潜在的服务器（影子资产）以及学习服务器的基础信息，如：操作系统、开放的端口号等；

★5、具备报文检测引擎,可实现IP碎片重组、TCP流重组、应用层协议识别与解析等；具备多种的入侵攻击模式或恶意UR监测模式，可完成模式匹配并生成事件，可提取URL记录和域名记录。

6、支持SQL注入、XSS攻击、网页木马、网站扫描、WEBSHELL、跨站请求伪造、系统命令注入、文件包含攻击、目录遍历攻击、信息泄露攻击、Web整站系统漏洞等网站攻击检测；

7、支持Database漏洞攻击、DNS漏洞攻击、FTP漏洞攻击、Mail漏洞攻击、Network Device、Scan漏洞攻击、System漏洞攻击、Telnet漏洞攻击、Tftp漏洞攻击、Web漏洞攻击等服务漏洞攻击检测；

8、支持标准端口运行非标准协议，非标准端口运行标准协议的异常流量检测，端口类型包括3389、53、80/8080、21、69、443、25、110、143、22等；

★9、支持HTTP未知站点下载可执行文件、浏览最近30天注册域名、浏览恶意动态域名、访问随机算法生成域名、暴力破解攻击、反弹连接、IRC通信等僵尸网络行为检测。

10、支持设备内置简单命令行管理窗口，便于基础运维调试；

11、内置URL库、IPS漏洞特征识别库、应用识别库、WEB应用防护识别库、僵尸网络识别库、实时漏洞分析识别库、恶意链接库、白名单库；

12、支持IP，IP组，服务，端口，访问时间等定义访问策略，主动建立针对性的业务和应用访问逻辑规则，包括白名单和黑名单方式；

13、支持传输安全检测日志，包括网络攻击检测日志、漏洞利用攻击检测日志、僵尸网络检测日志、业务弱点发现日志；

★14、厂商具备软件开发成熟度CMMI 5级认证；

15、厂商需是中国反网络病毒联盟ANVA成员单位；

1

（台）

3

数据库审计

1、吞吐量≥2Gbps，SQL处理性能：≥10000条SQL/s，日志检索性能：≥20000条/秒，规格: 1U，接口:≥6千兆电口，2万兆光口SFP；

★2、支持多种数据库类型的审计：支持Oracle数据库审计、SQL-Server数据库审计、DB2数据库审计、MySQL数据库审计、Informix数据库审计、达梦数据库审计、人大金仓数据库审计、postgresql数据库审计、sysbase数据库审计；支持同时审计多种数据库及跨多种数据库平台操作。

3、内置大量SQL安全规则包括如下：导出方式窃取、备份方式窃取、导出可执行程序、备份方式写入恶意代码、系统命令执行、读注册表、写注册表、暴露系统信息、高权存储过程、执行本地代码、常见运维工具使用grant、业务系统使用grant、客户端sp_addrolemember提权、web端sp_addrolemember提权、查询内置敏感表、篡改内置敏感表等；

4、要求为一个完整的软硬件一体化产品；无需用户另行提供服务器、操作系统、数据库、防火墙软件、及用户手动升级系统补丁；

5、内置SQL安全规则库可以针对导出方式窃取、备份方式窃取、导出可执行程序、备份方式写入恶意代码、系统命令执行、读注册表、写注册表、暴露系统信息、高权存储过程、执行本地代码、常见运维工具使用grant、业务系统使用grant、客户端sp_addrolemember 提权、web端sp_addrolemember提权、查询内置敏感表、篡改内置敏感表等。

★6、精细化日志秒级查询，通过SQL串模式抽取保障磁盘IO的读写性能；分离式存储SQL语句保障数据审计速度快；

★7、自定义报表拖拽通过自定义报表拖拽功能可以随意拖拽用户预期的统计报表，帮助用户提升通过高级选项筛选报表的可读性，更方便达到预期效果。

8、支持以时间、源IP、客户端程序、业务系统、数据库用户、数据库名、操作类型、表名、返回行数、影响行数、响应时长、响应码、策略、规则、风险级别、SQL模版为条件的数据库风险查询。

9、可以通过自定义交互分析设置正常访问和异常访问视图、数据库泄密分析、图形化泄密轨迹分析、数据窃取、数据库风险、外发数据人员、受攻击业务系统、风险总次数这几个维度实时监控内网数据威胁态势并且提供交互式分析视图帮助企业快速溯源。

10、支持白名单审计，系统使用审计黑白名单将非关注的内容进行过滤，不进行或只进行对应记录，降低了存储空间和无用信息的堆砌。黑、白名单策略包括： SQL语句内容、数据库、数据库用户、操作类型、操作对象、数据库IP、客户端IP、数据库MAC、客户端MAC、客户端主机名、客户端操作系统用户名、客户端应用程序、客户端端口；

11、深度解码数据库网络传输协议，完整记录用户数据库会话细节，包括数据库引擎、数据库、操作、操作对象、数据库IP、客户端IP、数据库类型、数据库MAC、客户端MAC、客户端端口、捕获时间、执行时长（毫秒）、响应状态、记录方式、风险等级、匹配的策略、SQL内容、SQL结果内容、智能翻译、SQL模式、影响/返回行数、终端IP 等；

12、数据库安全策略支持可信访问策略、风险访问策略、SQL攻击策略、和超级白名单策略等设置，更贴近用户实际使用场景进行策略设置；

13、可以实时监控系统的CPU使用率，内存使用率和磁盘占用率。快速定位系统的负载压力和系统运行状况；

14、支持内置高风险操作特征规则，包含：清表（delete no where 、truncate table）、删表（drop table）、提权（alter、grant）；

★15、所投产品的生产厂商的软件研发实力具备CMMI L5认证；厂商是微软安全响应中心发起的MAPP计划成员、国家信息安全漏洞共享平台CNVD用户组成员；

★16、所投产品的生产厂商应是国家互联网应急响应中心网络安全应急服务国家级支撑单位；

1

（台）

4

等级保护测评（二级）

１、网络安全等级保护测评机构，应具有重庆市公安局认定的信息安全等级保护测评资质，能够出具有效的网络安全等级保护测评报告；含三个业务系统（学校官网网站、教务系统、OA办公系统）的等级保护测评（二级）；

２、测评内容包含：

本项目将按照国家等级保护相关法规和技术标准，对构成上述信息系统不可分割的软件应用系统与应用软件、物理机房、网络环境与设备、主机（服务器）系统、数据与数据库及其相关管理制度和记录进行风险分析，风险识别采用访谈、检查、工具测试等方式进行。

３、技术要求

使用专业的安全分析工具及人工（至少包含专业的主机网络安全分析、应用系统安全析工具）对待测系统进行安全分析。投标方为招标方提供信息安全规划、方针、策略和管理制度体系咨询服务，配合招标方，为被测信息系统安全整改和加固提供咨询和技术服务。

使用漏洞扫描工具等对网络系统中的主机操作系统、数据库系统、主要网络设备进行扫描，检查相应设备存在的系统漏洞、弱口令、数据暴露等安全问题。使用Web漏洞扫描工具对本系统进行全面的Web漏洞检测，并对存在的漏洞进行利用。测评过程中，应针对关键设备、重点网段和高危漏洞进行渗透测试，形成相应的实施和分析报告。

测评中应严格按照GB/T 28449-2018《信息安全技术 网络安全等级保护测评过程指南》标准的要求实施，加强质量监督和复查，保证测评工作质量。

４、工具扫描

使用web安全扫描工具、主机系统漏洞扫描工具对待测系统进行安全检测和分析。

５、技术支持及售后服务

（1）提供信息安全规划、方针、策略和管理制度体系咨询服务，配合招标方，为被测信息系统安全整改和加固提供咨询和技术服务。

（2）测评过程中，应针对关键设备、重点网段和高危漏洞进行渗透测试，形成相应的实施和分析报告。

（3）提供网络安全技术咨询服务。

（4）签署保密协议，对测评工作相关的业务数据、商业信息、客户信息和被测信息系统不可分割的组成部分的相关信息等进行保护。

（5）乙方应将测评工作对被测信息系统及相关业务的影响告知甲方，双方协商确定测评工作时间安排以减小对甲方正常业务和工作的影响。

６、项目成果

项目成果应包含：系统测评记录、技术测评和管理测评的其他文档、系统等级测评报告。

7、整改

按照测评公司测评后的总体意见，提出整改意见、措施，对照目前系统环境，提出下一步完善和升级改进方案，兼容和协同学校多个业务系统通过等级测评，达到系统等级保护规定要求。

1(套)