巨野县人民医院网络安全态势感知协同服务平台对接项目招标公告

序号

采购内容

数量

1

全流量威胁检测探针

1台

2

漏洞扫描系统

1台

3

安全运营及威胁分析服务

1宗

4

威胁情报共享服务

1宗

序号

设备

参数要求

1

全流量威胁检测探针

1、1U机架式设备，单电源，内存≥16G，硬盘≥2T，千兆电口≥4个，1个专用管理口，1个Consle口，接口扩展槽≥1个，网络吞吐率≥1Gbps。

2、支持解析HTTP、FTP、SMTP、POP3、SMB、IMAP、DNS、HTTPS、SMTPS、POP3S、IMAPS、RADIUS、KRB5、SNMP、NETFLOW、TFTP、HTTP2、NNTP等协议报文（HTTPS、SMTPS、POP3S、IMAPS加密协议解析需要导入服务器私钥证书），并提供审计协议类型的端口号配置，可根据需要变更端口号。

3、支持COAP、MQTT等物联网协议解析和审计（提供产品功能截图并加盖厂商公章）。

4、支持GTP、PFCP、NAS-EPS、NAS-5GS等5G协议解析和审计（提供产品功能截图并加盖厂商公章）。

5、支持基于HTTP/HTTPS协议进行规则分析检测、基于特征规则匹配的方式识别应用，可对VPN、社交、网盘云服务、视频等近30类应用进行识别，并且支持视频流量过滤，提高产品性能（提供产品功能截图并加盖厂商公章）。

6、基于IDS规则检测基础上通过加载600余条深度检测特定规则插件、深度检测通用规则等进行二次深度检测，可支持Primeton插件、蚁剑插件、哥斯拉插件、冰蝎3.0、冰蝎4.0等检测能力（提供产品功能截图并加盖厂商公章）。

7、支持对mysql动态密码加密的弱口令进行检测并产生告警（提供产品功能截图并加盖厂商公章）。

8、支持自定义WEB登录的用户名获取来源，包括但不限于请求头、URL、Cookie、POST-body；支持自定义配置状态码、返回内容与登录成功/失败状态的绑定关系；（提供产品功能截图并加盖厂商公章）。

9、支持社工类攻击检测，检测内容包括：邮件头欺骗、发件人欺骗、邮件钓鱼欺骗、邮件恶意链接（提供产品功能截图并加盖厂商公章）。

10、支持攻击链路可视化，一键溯源查看攻击全貌，将攻击者在网络中的活动路径、攻击过程以图形化方式完整地展示出来，支持多条攻击链路高亮显示，帮助用户更好理解攻击者行为（提供产品功能截图并加盖厂商公章）。

11、支持告警抑制功能，在重复攻击手段下能够减少相同告警数量，提高用户分析效率，告警上限配置处可自行设置规则类型、告警抑制周期、告警上限、抑制阈值、持续时间，并支持基于规则ID、目的IP+规则ID、源IP+规则ID、源IP+目的IP+规则ID等多维度抑制等（提供产品功能截图并加盖厂商公章）。

12、支持流量监控，当实际流量超过设备承载上限时报警（提供产品功能截图并加盖厂商公章）。

13、支持自定义配置旁路阻断规则，可自定义策略名称、阻断类型、防护IP范围、规则ID等信息，可一键开启/关闭旁路阻断功能（提供产品功能截图并加盖厂商公章）。

14、支持自定义KAFKA外送字段名称和启用状态，可灵活对接各类第三方平台，且支持自定义外送字段名称和值；（提供产品功能截图并加盖厂商公章）。

15、产品具备ISCCC增强级认证，提供证书复印件加盖厂商公章。

2

漏洞扫描系统

1、标准1U机架式设备，单电源，内存≥16G，硬盘≥2TB，管理口≥1个RJ45串口，千兆电口≥6个，扩展槽≥1个，USB接口≥2个，任务并发数≥10，并发IP数≥60个，授权IP数≥256个。支持系统和软件漏洞扫描模块、弱口令扫描模块，可选配WEB应用扫描模块、数据库扫描模块、安全配置检查模块。

2、支持用户自定义系统名称、版权信息和系统的Logo信息，而无需进行定制化。

3、漏洞知识库支持自定义编辑，可编辑漏洞描述、修复建议、漏洞等级等内容，在扫描结果和导出报告中应展示编辑后的内容。

4、支持VPN代理扫描，可在产品界面添加代理网络配置，实现公有云、隔离网等特殊网络环境下的漏洞扫描。

5、漏洞特征库大于250000条；提供详细的漏洞描述和对应的解决方案描述；漏洞知识库与CVE、CNNVD、Bugtraq、CNCVE、CNVD等国际、国内漏洞库标准兼容。

6、支持对各种网络主机、操作系统、网络设备（如交换机、路由器、防火墙等）、常用软件以及应用系统的识别和漏洞扫描。

7、支持扫描云平台的漏洞，覆盖OpenStack、KVM、VMware、Xen等主流的云计算平台。

8、支持弱口令扫描功能，支持协议数量≥22种，包括FTP、SMB、RDP、SSH、TELNET、SMTP、IMAP、POP3、Oracle、MySQL、MSSQL、DB2、REDIS、MongoDB、Sybase、Rlogin、RTSP、SIP、Onvif、Weblogic、Tomcat、SNMP等，允许用户自定义用户、密码字典。

9、同IP不同端口同漏洞的结果应明确给予端口标识。

3

安全运营及威胁分析服务

1、****设备厂家提供远程安全运营服务，本次服务期90天，从双方约定交付期开始计算；

2、7x12小时安全运营服务，云端安全运营专家团队基于威胁感知平台，在海量安全告警中对各类疑似安全事件的告警进行分析研判，进一步发现真实的安全事件，再通过具备多年丰富经验的运营专家团队对安全事件进行深度分析、溯源，为用户判断整体威胁趋势，提供解决方案并协助用户及时进行处置。交付物：《每日安全通告》、《安全运营服务月/季度/年报》。

4

威胁情报共享服务

1、重**装目前内网APT设备至DMZ区，重新配置IP、管理网段、重点服务器信息，重新配置规则；

2、实现统一监控：在一个平台查看此次新购APT和目前APT的告警、流量、结果;

3、威胁联动：两台APT设备共享攻击链、处置规则；

4、数据互通：通过网闸安全同步日志与情报；

5、漏洞协同：此次采购漏洞扫描结果与APT检测联动，定位高风险资产，洞扫描结果可导入APT，与APT威胁做资产-漏洞-攻击关系；

6、网闸适配：网闸开放UDP 或TCP ，做单向/双向日志转发；

7、单向日志上报（DMZ→内网 或 内网→DMZ，按安全域定），日志脱敏/过滤，只同步告警、流量元数据；

8、时间同步，两台APT与网闸、管理平台使用同一NTP服务器，确保日志时间一致，便于攻击链分析；

9、情报互通，定期（如每小时）通过网闸同步IOC（IP/域名/Hash）、攻击特征，可采用文件摆渡（网闸文件通道）同步情报库，避免直接API穿透；

10、漏洞数据导入，漏洞扫描结果（资产、漏洞等级、CVE）通过API/CSV导入APT平台；

11、威胁-漏洞关联， APT检测到的攻击IP/行为，自动匹配对应资产的高危漏洞，定位攻击入口；

12、闭环处置：“修复漏洞+阻断攻击源+隔离失陷主机”，实现检测-响应-修复闭环。