三门峡市中心医院大数据安全分析平台系统授权项目单一来源采购公告

指标项

技术参数要求

流量

采集

支持常见协议识别并还原网络流量，用于取证分析、威胁发现，支持：http、dns、smtp、pop3、imap、webmail、DB2、Oracle、MySQL、sql server、Sybase、SMB、FTP、SNMP、telnet、nfs等

支持对流量中出现文件传输行为进行发现和还原，并记录文件MD5发送至分析设备，如可执行文件（EXE、DLL、OCX、SYS、COM、apk等）、压缩格式文件（RAR、ZIP、GZ、7Z等）、文档类型文件（word、excel、pdf、rtf、ppt等）

支持常见数据库协议的识别或还原：DB2、Oracle、SQL Server、Sybase、MySQL、MongoDB、PostgreSQL等协议;

支持TCP/UDP会话记录、异常流量会话记录、web访问记录、域名解析、SQL访问记录、邮件行为、登录情况、文件传输、FTP控制通道、SSL加密协商、telnet行为、IM通信等行为描述

威胁

检测

支持基于流量实时IOC匹配功能，设备具备主流的IOC，情报总量30+万条

支持检测针对WEB应用的攻击，如SQL注入、XSS、系统配置等注入型攻击；

支持跨站请求伪造CSRF攻击检测；

支持其他类型的WEB攻击，如目录遍历、弱口令、权限绕过、信息泄露、文件包含、文件写入攻击等检测

支持基于工具特征的WEBSHELL检测，能通过系统调用、系统配置、文件的操作来及时发现威胁；如：中国菜刀、小马上传工具、小马生成器等

支持基于webshell函数的攻击检测，如文件包含漏洞、任意文件写入、任意目录读取、任意文件包含、preg_replace代码执行等

支持基于代理程序的攻击检测，如TCP代理程序、HTTP代理程序等

策略

配置

支持基于网络请求的语义分析检测，能够将网络请求拆分后从请求头、响应头、请求体、响应体四方面详细展示请求内容，并能提升对未知威胁检测能力

支持基于IP地址的旁路阻断，能够在实时镜像的流量中发现恶意IP并实现实时阻断

支持基于域名URL的旁路阻断，并能将URL请求进行重定向

威胁

分析

支持从威胁情报、应用安全、系统安全和设备安全的业务场景维度对告警进行二次分析。

威胁情报维度分析包括：情报详情、影响资产列表、资产的行为（行为包含：DNS解析、TCP流量、UDP流量、WEB访问、文件传输）

应用安全的细分维度包括：WEB安全、数据库安全、邮件安全、中间件安全

系统安全的细分维度包括：主机爆破、弱口令、未授权行为、挖矿行为。

支****中心联动，可对攻击IP、C C域名和恶意样本MD5进行一键搜索，查看基本信息、相关样本、关联URL、可视化分析、域名解析、注册信息、关联域名、数字证书等。

支持基于威胁情报的威胁检测，检测类型包含APT事件、僵尸网络、勒索软件、流氓推广、窃密木马、网络蠕虫、远控木马、黑市工具、其他恶意软件，并可自定义威胁情报

支持对告警进行加白，加白参数包括受害IP、攻击IP、威胁情报、规则、XFF、URL、威胁名称。

支持对威胁告警事件进行调查分析，结合大数据分析技术以攻击链视角进行呈现。

可统计并展示任意时间段的流量日志总数、生效威胁情报数、威胁告警等相关信息。

场景化分析

支持对业务资产主动外连行为检测，包含：外连IP、外连IP归属、服务商、外连流量大小。

DGA域名发现，通过结合机器学习技术发现动态恶意域名，检测行为特征包含包含请求域名以及检测的准确率。

HTTP代理发现，检测行为特征包含：代理IP、代理端口、代理次数。

SOCKS代理发现，检测行为特征包含：代理IP、代理端口、代理次数。

reGeorg Tunnel发现，检测行为特征包含：tunnel地址、关联图、操作命令、目标IP。

异地账号登录，检测行为特征包含：登录IP归属、账号、登录资产IP、使用协议、登录次数、登录成功率。

暴力破解，检测行为特征包含：登录IP归属、使用协议、爆破次数、爆破成功与否。

明文密码泄露，检测行为特征包含：登录账号IP、账号、密码、使用协议。

弱口令监测，检测行为特征包含：弱口令、弱口令对应账号。

支持自定义关键词发现恶意邮件还支持邮件白名单，检测内容包含：发件人、收件人、关键词、邮件主题、抄送、附件文件名、邮件正文。

调查

分析

威胁事件的追踪溯源分析能力，可基于事件告警进行调查分析，对攻击过程进行可视化展现，可展示命中威胁情报的内部主机之间的连接行为，能输出完整的基于时间序列和攻击链的事件报告，事件报告支持word格式导出。

日志

检索

可对TB级日志做到快速搜索，搜索时间小于30s

可将日志区分为普通流量日志、告警日志、终端日志，并可按照不同的日志类型就行日志筛选。

授权

服务

需提供12个月产品授权服务，包括：产品功能升级、产品规则库升级、技术咨询、产品威胁情报更新服务、故障判断、故障报修服务。

在授权服务有效期内，需提供400技术支持服务，远程技术支持内容包括针对产品的部署问题、配置问题、产品功能问题、产品授权问题、产品升级问题、产品安全性问题、易用性问题、兼容性问题等的远程回复。

在授权服务有效期内，需提供接收到为更**增加产品功能，修复产品缺陷而提供的产品功能更新。产品更新支持在线更新或离线更新两种方式进行。

在授权服务有效期内，需提供服务器入侵检测、网站漏洞利用检测和webshell上传检测模块的规则库升级服务。

在授权服务有效期内，需提供产品威胁情报更新功能，本地设备可及时获取云端威胁情报库。

提供的产品授权服务需和现有设备兼容，不存在兼容性问题。

在授权服务有效期内，需提供在发现有异常问题时对问题设备进行故障判断的服务，确认问题后进行故障登记和报修，供应商跟进故障修复进展直至解决问题。

其他

****制造厂商对本项目的售后服务承诺函。

名称

分项模块

数量（年）

安全分析平台授权许可

TY-TSS10000-A58软件更新服务

1

TY-TSS10000-A58-ASD-UDL-WXQB威胁情报更新服务

1

TY-TSS10000-A58-ASD-UDL-GZK规则库更新服务

1

TY-TSS10000-A58-QPS-PWS-12硬件维保服务

1

TY-TSS10000-S56软件更新服务

1

TY-TSS10000-S56-ASD-UDL-WXQB威胁情报更新服务

1

TY-TSS10000-S56-ASD-UDL-GZK规则库更新服务

1

TY-TSS10000-S56-QPS-PWS-12硬件维保服务

1