IPS技术需求说明书-中国农业银行.doc

IPS、APT、外联监测系统项目 技术需求说明书 第一章 防APT及流量回溯系统 技术及服务需求书 除有特别说明外，本求书内容为本次对的具体要求，为关键性条款，即“*”条款，完全满足如不满足“*”号条款的规定，。*”条款，报价人须承诺在项目实施前完全满足。 采购标的概述 资源序号 采购项 用途 类别 备注 Y01 防APT及流量回溯系统高端型号 网络攻击防护 硬件 报价含常规服务；含产品实施和三年维保服务 Y02 防APT及流量回溯系统低端型号 网络攻击防护 硬件 报价含常规服务；含产品实施和三年维保服务 以上软硬件资源的使用范围为中国农业银行全行。 技术和配置要求 2.1功能技术要求 指标 主要技术参数及功能要求 基本要求 使用专门的硬件和基于嵌入式操作系统，无需额外存储设备即可运行，采用加密通信方式，用户可以通过浏览器远程对产品进行管理； 产品要求界面友好，并有详尽的技术文档，所有的图形界面与文档资料要求均为中文； 产品支持旁路部署模式，在不影响网络业务流量情况下发现各种新型威胁； 文件检测要求 支持从网络流量、邮件中还原提取文件进行静态和动态检测； 产品提供基于虚拟执行的动态检测技术； 产品提供多种辅助的检测技术，包括传统AV检测、已知漏洞攻击检测及shellcode检测等； 支持多种文件类型的检测，具体的文件类型须支持但不限于：WPS文件、MS Office文件类型、pdf文件类型、Flash/SWF文件、jpg/png等图片文件、js脚本、以及可执行文件类型等，并可选择不同的软件运行版本； 产品支持对常见压缩格式内文件的检测，支持但不限于zip、rar、gzip、gz、tar、7z、bz2； 动态检测（虚拟执行）须同时支持但不限于：Win10、Win7、WinXP系列的典型配置环境，且软件可定制； 支持反沙箱逃逸等对抗恶意文件对虚拟环境检测的技术； 能够储存威胁文件，并能够单个和批量导出威胁文件； 能够对主流WebMail邮件还原，包括但不限于：sina、sohu、163、263、126、QQ邮箱； 能够在不影响部署方式的前提下实现对远程手动上传文件的检测，且可优先处理； （非*）采用基于硬件模拟的虚拟检测分析技术； 流量检测要求 支持从时间、会话、IP地址、协议、事件等不同维度进行网络流量追踪分析，可根据发现的异常事件进行深度追踪、溯源，并提取异常事件的原始数据包，快速确定潜在的威胁，全面评估事件的危害； 产品支持对HTTP、HTTPS、POP3、SMTP、ICMP、DNS、FTP、SSH、Telnet等常用协议的识别和检测能力，并可以按协议提取原始流量和统计信息； 支持对异常网络流量的检测和告警，并可根据数据包大小、数量、发包频率、流量、协议字段等自定义设置检测规则； 支持设置规则对网络流量内容、特征进行检测和告警，具备实时分析和数据回查能力，可使用IP、域名、特征等多种信息匹配原始流量； 支持异常DNS解析检测，并可关联到后续通讯会话和原始数据流； 支持灵活选择时间段进行流量检测，并按时间提取原始流量进行分析和另行存储； 支持对双向会话流量关联能力，并可以通过正则表达式或字段逻辑组合等方式自定义设置规则进行特征检测和告警； 支持主动外联行为发现； 支持根据告警信息直接关联到原始数据流量； 支持对告警级别的高、中、低定义； （非*）支持加密传输通讯分析，支持常见的加密应用（https\vpn加密等）识别和流量统计分析； 关联检测要求 支持流量和文件关联检测能力，可从文件关联到流量，并可从流量中关联到文件； 支持配置地址转换映射，实现地址转换前后的流量关联； 日志报表 事件报警中，可以针对漏洞利用、软件下载、回连命令控制服务器外传数据等恶意软件各阶段的活动行为，输出详细的行为报告； 能够导出完整的分析报告，包括恶意文件来源相关信息、受感染主机相关信息、文件分析及进程操作、文件操作、注册表操作等文件行为分析； 提供日志的查询、导出、删除功能； 提供基于威胁来源主机、用户、文件类型等多种统计报表； 提供实时统计监控，支持多维度的安全综合分析； 能够按照日期选择时间段输出报表； 报表内容可根需求自定义模板； 支持但不限于pdf、doc、xls格式输出； 支持导出报表、批量导出报表； 管理功能 使用加密协议进行设备登陆管理，设备与管理中心平台之间使用加密通信传递样本和安全事件； 支持系统管理员、系统分角色权限管理； 支持同时登录用户数不低于8个； 支持设备登录超时退出，且可设定超时时间； 支持设备登录、配置等日志审计功能； 支持设备3A登陆认证功能； 支持N