云监测及内网安全防护平台软件采购采购需求.docVIP

项目需求 一、项目背景 网格管理信息系统逐步迁移超融合平台，新的架构需要配置新的安全架构，根据业务需求，配置安全平台。 二、货物清单 序号 设备名称 数量 备注 1 虚拟化安全组件—EDR终端安全检测和响应平台 80套 2 内网潜伏威胁探针 2台 3 安全感知平台 1台 技术指标 指标要求 部署方式 1）轻代理软件客户端部署； 2）支持windows2003/windows2008/windows2012的系统； 3）支持CentOS5,6,7/Ubuntu10.04-14.4/Debian6,7/RHEL5,6,7的系统 数量要求 ≥80套 资源占用 1）支持对所示Agent系统的实时CPU、内存占有率分布监控。 2）支持实时监控每台主机Agent的单CPU峰值、均值的状态，内存峰值、均值的状态 虚拟主机业务微隔离 1）支持将服务器虚拟机划分业务组，并且配置业务的应用角色 2）支持基于业务域的应用角色访问控制的配置 3）支持基于业务域的应用角色访问策略的显示。 4）支持根据IP和端口访问控制的配置 WEBSHELL检测和响应 1）支持PHP、JSP、ASP、ASPX的WebShell脚本检测 2）支持显示WebShell检测出来的事件日志，例如恶意文件名称、文件名称、操作动作、发现时间等 3）支持显示WebShell检测过程的详情内容，例如文件路径、文件大小、文件创建时间。 4）支持对WebShell文件的隔离、删除、恢复的动作。 暴力破解检测和响应 1）支持SSH、RDP服务的暴力破解检测。 2）支持显示攻击日志，例如攻击源、服务器名、攻击类型等。 3）支持显示暴力破解事件的详情，例如攻击方法、内容、历史情况等。 4）支持将暴力破解攻击源加入IP黑名单，以及支持从黑名单列表中删除IP地址。 僵尸网络检测和响应 1）支持显示僵尸网络文件检测出来的事件日志，例如恶意文件名称、文件名称、操2）作动作、发现时间等 3）支持显示僵尸网络文件检测过程的详情内容，例如文件路径、文件大小、文件创建时间、进程ID、父进程、进程模块、网络行为。 4）支持对僵尸网络文件的隔离、删除、恢复的动作。 策略配置 1）支持自定义暴力破解自动封停的时间 2）支持自定义WebShell检测扫描周期时间 3）支持文件自动隔离的防御配置 安全管理 1）支持采集主机安全威胁日志，上报到安全感知平台进行统一分析；2）支持自定义上传可疑文件到安全云 3）支持与安全感知平台联动，发生安全威胁时，感知平台自动下发安全策略至响应程序完成闭环处理。 ? 2、内网潜伏威胁探针（2台） 技术指标 指标要求 设备形态 标准机架式结构 吞吐性能 应用层吞吐≥2G 基础检测功能 具备报文检测引擎,可实现IP碎片重组、TCP流重组、应用层协议识别与解析等, ？具备多种的入侵攻击模式或恶意URL监测模式,可完成模式匹配并生成事件,可提取URL记录和 域名记录,在特征事件触发时可以基于五元组和二元组(IP对)进行原始报文的录制。 监测识别规则库 能够识别应用类型超过1100种，应用识别规则总数超过3000条，具备亿万级别URL识别能力。漏洞利用规则特征库数量在4000条以上，漏洞利用特征具备中文相关介绍，包括但不限于漏洞描述，漏洞名称，危险等级，影响系统，对应CVE编号，参考信息和建议的解决方案 异常会话检测 可实现对外联行为分析、间歇会话连接分析、加密通道分析、异常域名分析、上下行流量分析等在内 的多场景网络异常通信行为分析能力。 深度监测能力 可提供网络流量的会话级视图,根据网络流量的正常行为轮廓特征建立正常流量模型,判别流量是否出现异常,对原始流记录进行异常检测,可发现网络蠕虫、网络水平扫描、网络垂直扫描、IP地址扫描，端口扫描，ARP欺骗，IP协议异常报文检测和TCP协议异常报文等常见网络异常流量事件类型; 支持对节点检测节点内部主机外发的异常流量进行检测？支持对信任区域主机外发的异常流量进行检测，如ICMP，UPD，SYN，DNS Flood等DDoS攻击行为； 支持对常见应用服务（HTTP、FTP、SSH、SMTP、IMAP）和数据库软件（MySQL、Oracle、MSSQL）的口令暴力破解检测功能； 可提供最新的威胁情报信息，能够对新爆发的流行高危漏洞进行预警和自动检测 Web应用安全检测能力 支持HTTP 1.0/1.1，HTTPS协议的安全威胁检测； 支持针对B/S架构应用抵御SQL注入、XSS、系统命令等注入型攻击；支持跨站请求伪造CSRF攻击检测；支持对ASP,PHP,JSP等主流脚本语言编写的webshell后门脚本上传的检测；支持其他类型的Web攻击，如文件包含，目录遍历，信息泄露攻击等的检测；（要求对以上列出的攻