FFSN动态恶意域名检测系统日志关联分析服务.docVIP

FFSN动态恶意域名检测系统日志关联分析服务 技术需求： 科技部目前已经部署了业务网FFSN动态恶意域名检测系统，使用该系统可以了解内部终端计算机对动态恶意域名的访问情况并对发现的恶意域名访问连接进行阻断。目前该系统已在科技部稳定运行3年左右的时间，为科技部业务网的安全稳定运行提供了有效的技术支撑，目前科技部对该系统报警数据的处理工作已经流程化，成为了日常工作的一个组成部分。 为了进一步提高科技部信息安全保障水平，提高FFSN动态恶意域名检测系统的使用效果。科技部信息中心提出了以下服务需求： 全面收集现有FFSN动态恶意域名检测系统安全事件和安全日志以及其他安全设备的安全日志，包括：17台防火墙的安全事件（包括允许与拒绝请求）、IPS安全事件、安全DNS系统日志、网络设备日志。保存期限为一年。 在收集上述日志的基础上，提供以下安全服务内容： 防火墙事件统计服务。提供多维度的分析统计服务，包括：IP维度、设备维度、时间维度、防火墙响应维度等多维度的统计，并以日、周、月为时间单位的统计报告。 IPS与FFSN动态恶意域名安全事件分析服务。以IPS报警事件中攻击源IP字段、FFSN动态恶意域名检测系统中恶意域名对应IP字段为线索，在全部防火墙日志中比对是否存在与该攻击源IP访问的其它内网IP。并形成事件警示报告，递交用户。 服务器主动访问情况分析。按照安全策略，多台服务器不允许主动发起访问，当在防火墙、安全DNS日志中发现服务器主动访问请求，则需立即形成警示报告并递交用户。 事件综合分析服务。当发生安全事件时，为用户提供全面、灵活的综合分析服务，以所收集日志中任意字段组合为线索，快速查找用户所需要的日志信息。 商务要求：所有服务内容要求由FFSN动态恶意域名检测系统原厂人员提供。报价中要求提供原厂服务承诺函。 服务期为2013年8月1日至2014年7月31日。 服务方式： 服务方式为5×8小时现场值守服务，并且所有服务工作均要求在用户现场完成，不携带任何数据离场。 技术要求： 值守服务。通过工具与人工服务结合的方式，实时捕获各安全设备日志，并根据用户指定的分析方式，对日志内容进行快速查询、组合、分析，并按工作日形成日报，周报、月报。服务方式为5×8小时现场值守服务。 事件分析服务，针对用户方发现的事件，由我方通过工具与人工服务结合的方式对相关日志信息进行多维度分析，并形成分析报告。服务方式为5×8小时现场值守服务。 海量日志存储与分析工具，提供能够满足用户需求的服务工具，作为本服务项目的技术支撑。 部署一套能够支持单日数据采集、索引量为8000万条的日志分析系统，全面收集用户所需日志。 在日志分析系统基础上，提供以搜索引擎技术为基础的人机交互界面。快速查询、组合、分析用户所关心的安全事件。 该系统具有良好的可用性和健壮性，能够长期稳定运行，为用户提供良好的人机交互界面。 服务交付物： 1、在对日志内容进行统计、分析的基础上，提交每个工作日的日报、每周周报以及每月月报。 2、针对用户方事件进行分析后，提交分析报告。 2