虛擬化殺毒及未知危險感知系統(tǒng)需求說明

虛擬化殺毒及未知危險感知系統(tǒng)需求說明（一）設(shè)備清單序號設(shè)備名稱單位數(shù)量1分析平臺臺12流量探針臺13虛擬化安全套14服務(wù)器虛殺毒擴容套15交換機（鏡像）臺16項目系統(tǒng)集成技術(shù)服務(wù)次17項目技術(shù)維護(hù)服務(wù)年1（二）技術(shù)指標(biāo)及其他要求1、分析平臺指標(biāo)類別技術(shù)指標(biāo)要求硬件規(guī)格機架式,≥4*GE管理電口，≥960GSSD+8*4TBSATA存儲硬盤，CPU≥24核,內(nèi)存≥128G，3年威脅情報庫升級服務(wù)。態(tài)勢大屏支持網(wǎng)絡(luò)攻擊態(tài)勢地圖；并以地圖的形式展示風(fēng)險指數(shù)并呈現(xiàn)告警TOP5（列表），以及失陷資產(chǎn)TOP10，并須把資產(chǎn)態(tài)勢以地圖的形式的呈現(xiàn)。支持以圖形化大屏實時展示全網(wǎng)安全事件與網(wǎng)絡(luò)攻擊態(tài)勢，包括但不限于攻擊事件、攻擊源、危害級別等進(jìn)行統(tǒng)計與展示。支持大屏展示資產(chǎn)包括外部訪問、橫向訪問、內(nèi)網(wǎng)外聯(lián)態(tài)勢。威脅感知支持告警的深度行為分析，單條告警詳情中可展示至少包含該事件相關(guān)的網(wǎng)絡(luò)行為內(nèi)容：DNS解析行為、TCP/UDP交互行為、WEB訪問行為、傳輸文件行為。支持基于可視化的形式展示威脅的影響面，通過大數(shù)據(jù)分析和關(guān)聯(lián)檢索技術(shù)，能夠直觀的看到失陷主機攻擊了誰，被誰攻擊了，幫助管理人員及時了解威脅的影響，并制定有效的處置動作。支持與云端威脅情報中心聯(lián)動，可在系統(tǒng)上對告警相關(guān)的攻擊IP、C&C域名和惡意樣本MD5進(jìn)行點擊鏈接至云端威脅情報中心，查看情報基本信息、相關(guān)樣本、關(guān)聯(lián)URL、可視化分析、域名解析、注冊信息、關(guān)聯(lián)域名、數(shù)字證書等。支持對所有告警進(jìn)行結(jié)果標(biāo)識，直觀展示告警行為對應(yīng)的攻擊結(jié)果，攻擊結(jié)果分為攻擊成功、失陷、企圖、失敗。行為分析支持檢測WEB攻擊、異常訪問、惡意文件攻擊、C&CIP/URL、WEB后門訪問、發(fā)件人欺騙、郵件頭欺騙、郵件釣魚欺騙、郵件惡意鏈接、DGA域名請求、SMB遠(yuǎn)程溢出攻擊、WEB行為分析等風(fēng)險?？勺詣訉?nèi)網(wǎng)主機進(jìn)行威脅指數(shù)分析，詳細(xì)展示具體的威脅指數(shù)、威脅活動、歷史威脅指數(shù)、遭受的攻擊類型、攻擊次數(shù)、攻擊狀態(tài)等。通報預(yù)警支持工作流程自定義編排。支持聯(lián)動服務(wù)管理，支持python語言與javascript語言在web頁面編輯聯(lián)動服務(wù)。支持策略定義，可根據(jù)工作流進(jìn)行處置動作定義，且能根據(jù)告警類型、攻擊結(jié)果、威脅類別進(jìn)行聯(lián)動策略定義。威脅溯源數(shù)據(jù)接入層面支持日志類型包括但不限于SNMPTRAP日志、文本格式日志、數(shù)據(jù)庫日志、WMI日志、Syslog日志等，并支持對采集器的管理；數(shù)據(jù)處理層面支持流程管理和部署管理；數(shù)據(jù)存儲層面支持?jǐn)?shù)據(jù)結(jié)構(gòu)管理、字段管理、值映射表管理、KAFKA管理及數(shù)據(jù)清除管理。資產(chǎn)管理支持自動從流量中識別資產(chǎn)信息包含：IP、端口、服務(wù)、操作系統(tǒng)、MAC。支持展示資產(chǎn)配置核查信息，配置類型包括：敏感端口暴露、明文密碼泄露、弱口令。系統(tǒng)管理支持分析平臺橫向擴展至多臺設(shè)備集群。支持聲音提示、彈窗提示等提示方式及提示功能的開啟/關(guān)閉，消息內(nèi)容包括告警日志、系統(tǒng)狀態(tài)消息、進(jìn)程消息、任務(wù)提示消息等內(nèi)容，并支持對各種消息進(jìn)行發(fā)送內(nèi)容的自定義功能。支持AES256、SM4數(shù)據(jù)傳輸加密，確保數(shù)據(jù)傳輸?shù)陌踩?。支持自定義WEB訪問端口。聯(lián)動開通與客戶原有360天擎1000個點聯(lián)動許可授權(quán)，實現(xiàn)PC端跟網(wǎng)絡(luò)端的安全聯(lián)動。服務(wù)提供三年原廠保修服務(wù)，三年威脅情報升級服務(wù)，簽訂合同時須提供相應(yīng)的售后服務(wù)承諾函和授權(quán)書。2、流量探針指標(biāo)類別技術(shù)指標(biāo)要求硬件規(guī)格機架式,≥4*GE流量監(jiān)聽電口，吞吐量≥1Gbps，CPU≥4核,內(nèi)存≥32G，≥1TBSATA存儲硬盤。流量采集支持常見協(xié)議識別并還原網(wǎng)絡(luò)流量，用于取證分析、威脅發(fā)現(xiàn)，支持http、dns、smtp、pop3、imap、webmail、DB2、Oracle、MySQL、sqlserver、Sybase、SMB、FTP、SNMP、telnet、nfs等。支持對流量中出現(xiàn)文件傳輸行為進(jìn)行發(fā)現(xiàn)和還原，并記錄文件MD5發(fā)送至分析設(shè)備，如可執(zhí)行文件（EXE、DLL、OCX、SYS、COM、apk等）、壓縮格式文件（RAR、ZIP、GZ、7Z等）、文檔類型文件（word、excel、pdf、rtf、ppt等）。支持常見數(shù)據(jù)庫協(xié)議的識別或還原：DB2、Oracle、SQLServer、MySQL、PostgreSQL等協(xié)議。支持TCP/UDP會話記錄、異常流量會話記錄、web訪問記錄、域名解析、SQL訪問記錄、郵件行為、登錄情況、文件傳輸、FTP控制通道、SSL加密協(xié)商、telnet行為、IM通信等行為描述。支持自定義協(xié)議和端口，滿足特殊場景下的流量抓取。威脅檢測支持基于流量實時IOC匹配功能，設(shè)備具備主流的IOC，針對APT勒索挖礦僵木蠕毒檢測的本地失陷情報庫總量≥40萬條。支持檢測針對WEB應(yīng)用的攻擊，如SQL注入、XSS、系統(tǒng)配置等注入型攻擊。支持跨站請求偽造CSRF攻擊檢測。支持其他類型的WEB攻擊，如目錄遍歷、弱口令、權(quán)限繞過、信息泄露、文件包含、文件寫入攻擊等檢測。支持基于工具特征的WEBSHELL檢測，能通過系統(tǒng)調(diào)用、系統(tǒng)配置、文件的操作來及時發(fā)現(xiàn)威脅；如：冰蝎、中國菜刀、小馬上傳工具、小馬生成器等。支持基于webshell函數(shù)的攻擊檢測，如文件包含漏洞、任意文件寫入、任意目錄讀取、任意文件包含、preg_replace代碼執(zhí)行等。支持基于代理程序的攻擊檢測，如TCP代理程序、HTTP代理程序等。支持多種攻擊檢測，能更全面的從流量中發(fā)現(xiàn)協(xié)議異常、網(wǎng)絡(luò)欺騙、黑市攻擊、代碼執(zhí)行等威脅。策略配置支持對HTTP、FTP_DATA、SMB、SMTP、POP3、WEBMAIL、IMAP、TFTP、QQ、NFS等類型協(xié)議的流量進(jìn)行文件還原。支持設(shè)備對流量進(jìn)行抓包分析，可定義抓包流量雙向或單向、數(shù)量、IP地址、端口或協(xié)議類型。支持基于網(wǎng)絡(luò)請求的語義分析檢測，能夠?qū)⒕W(wǎng)絡(luò)請求拆分后從請求頭、響應(yīng)頭、請求體、響應(yīng)體四方面詳細(xì)展示請求內(nèi)容，并能提升對未知威脅檢測能力。支持基于IP地址的旁路阻斷，能夠在實時鏡像的流量中發(fā)現(xiàn)惡意IP并實現(xiàn)實時阻斷。支持基于URL的旁路阻斷，并能將URL請求進(jìn)行重定向。支持基于DNS重定向的旁路阻斷，并能將DNS域名解析請求重定向至指定IP。支持自定義弱口令字典，支持HTTP、HTTPS、Telnet、FTP、POP、SMTP、IMAP等協(xié)議的自定義弱口令檢測。支持旁路HTTPS解密、威脅檢測。web端提供針對惡意掃描、Flood攻擊、IP碎片攻擊、ARPSpoof、PingSweep檢測策略配置功能。管理功能支持旁路部署，可同時接入多個鏡像口，每個鏡像口相互獨立不影響支持AES256、SM4數(shù)據(jù)傳輸加密，確保數(shù)據(jù)傳輸?shù)陌踩?。支持威脅告警信息發(fā)送給syslog服務(wù)器，支持將威脅告警、威脅等級、網(wǎng)絡(luò)日志、攻擊結(jié)果、威脅類型等日志傳輸給KAFKA、威脅分析平臺。支持與集中管理平臺進(jìn)行聯(lián)動，統(tǒng)一進(jìn)行情報、規(guī)則的升級。服務(wù)要求提供三年原廠保修服務(wù),三年威脅情報升級服務(wù)，簽訂合同時須提供相應(yīng)的售后服務(wù)承諾函和授權(quán)書。3、虛擬化安全指標(biāo)類別技術(shù)指標(biāo)要求管理架構(gòu)要求采用B/S架構(gòu)設(shè)計，管理控制中心高度集成化，無需額外安裝或外接數(shù)據(jù)庫即可實現(xiàn)日志存儲和分析展示，無需額外安裝或?qū)由壏?wù)器即可實現(xiàn)文件、特征庫的升級和分發(fā)。客戶端要求采用輕量級Agent部署，無需依賴虛擬化平臺API即可實現(xiàn)安全防護(hù)；客戶端支持手動從控制中心獲取安裝，也可通過管理控制中心批量遠(yuǎn)程安裝；客戶端對windows類、linux類；物理服務(wù)器、虛擬服務(wù)器、桌面云具備相同的防護(hù)和部署模式。支持對已防護(hù)的主機統(tǒng)計在線率，對虛擬機是否安裝客戶端統(tǒng)計整體部署率。虛擬化平臺支持支持VMware、Ctrix、Microsoft、Huawei、H3C、浪潮等國內(nèi)外主流虛擬化廠商平臺，并能夠采用一個管理控制中心進(jìn)行統(tǒng)一管理。操作系統(tǒng)支持支持Windows7/8/10等云桌面常見操作系統(tǒng)類型，WindowsServer2003/2008/2012/2016等虛擬化環(huán)境常見基于WindowsNT的服務(wù)器操作系統(tǒng)；支持SuSE、RedHat、Ubuntu、Debian、CentOS、Asianux、NeoKylinLinux等虛擬化環(huán)境常見基于Linux內(nèi)核的操作系統(tǒng)。文件防護(hù)要求提供不少于3種病毒查殺引擎，可根據(jù)不同虛擬化環(huán)境和查殺要求靈活開啟與關(guān)閉；同時產(chǎn)品應(yīng)支持利用CPU虛擬化技術(shù)提升系統(tǒng)的安全防護(hù)能力。內(nèi)置webshell掃描引擎，針對網(wǎng)站系統(tǒng)惡意webshell、后門等文件進(jìn)行掃描防護(hù)；能夠針對webshell文件設(shè)定白名單，對文件進(jìn)行加白處理，避免對核心網(wǎng)站系統(tǒng)文件造成影響。網(wǎng)絡(luò)隔離和防護(hù)要求配置入侵防御功能，可對來自網(wǎng)絡(luò)層的拒絕服務(wù)、緩沖區(qū)溢出、木馬后門、web攻擊、惡意網(wǎng)絡(luò)掃描、惡意入侵提權(quán)等各類威脅流量的檢測與防護(hù)。入侵防御規(guī)則不少于11000條，并支持按照攻擊類型進(jìn)行分組分類，支持對每一類攻擊類型單獨開啟或關(guān)閉防護(hù)，產(chǎn)品應(yīng)支持防暴力破解，可對來自網(wǎng)絡(luò)的暴力破解行為進(jìn)行攔截，支持配置時間、破解次數(shù)等閾值，并提供暴力破解IP或IP段的黑白名單設(shè)置。提供主動防御保護(hù)，智能監(jiān)控系統(tǒng)文件操作行為，利用文件審計關(guān)聯(lián)技術(shù)，實時對病毒木馬及惡意相關(guān)文件進(jìn)行攔截和防護(hù)，針對近期爆發(fā)流行的永恒之藍(lán)攻擊，能夠進(jìn)行有效防護(hù)。系統(tǒng)加固要求可擴展產(chǎn)品支持對主機安全缺陷、配置進(jìn)行掃描評估，通過打分形式展現(xiàn)不合規(guī)和風(fēng)險程度；能夠?qū)indow操作系統(tǒng)上的策略、服務(wù)、組件等進(jìn)行掃描憑，對linux操作系統(tǒng)上的賬號、服務(wù)、安全參數(shù)、進(jìn)程、配置等進(jìn)行掃描評估，并給出修復(fù)建議，修復(fù)建議包括自動修復(fù)和手動提示修復(fù)產(chǎn)品應(yīng)支持對主機的安全加固，針對利用虛擬化漏洞的惡意軟件、程序進(jìn)行攔截并阻止其在主機上運行，提供軟件、程序的黑白名單，以減少對系統(tǒng)程序的誤攔截風(fēng)險。自動化運維支持自定義安全策略的定時、指定范圍執(zhí)行；支持對策略、主機組織結(jié)構(gòu)、日志的手動或自動備份；支持手動或自定同步虛擬化平臺組織結(jié)構(gòu)；支持基于時間動態(tài)進(jìn)行調(diào)整帶寬和網(wǎng)絡(luò)并發(fā)連接，減少控制中心升級對業(yè)務(wù)網(wǎng)絡(luò)產(chǎn)生的影響。支持手動、自動升級系統(tǒng)文件、引擎版本、特征庫信息，能夠基于分組、時間設(shè)定灰度升級策略。Syslog支持支持syslog協(xié)議，將安全日志發(fā)送到第三方syslog服務(wù)器。離線升級提供在線或者離線升級方式，隔離網(wǎng)情況下能夠采用離線工具進(jìn)行更新。LDAP支持支持LDAP，將LDAP組織結(jié)構(gòu)導(dǎo)入到本地用于本地系統(tǒng)管理。展示與告警支持動態(tài)展示安全事件并能夠進(jìn)行郵件告警。多賬號支持不同賬號設(shè)定不同的組織結(jié)構(gòu)權(quán)限和策略使用權(quán)限。報表訂閱支持報表訂閱，能夠?qū)蟊頃r間、內(nèi)容定制、訂閱信息等進(jìn)行自定義。計量計費支持按照物理CPU、虛機數(shù)、CPU+虛機數(shù)混合計費模式，以滿足不同的虛擬化環(huán)境。產(chǎn)品控制中心一次授權(quán)永久有效，當(dāng)虛擬化平臺擴容或新增虛擬化平臺時，無需額外購買控制中心擴展升級授權(quán)。4、服務(wù)器殺毒擴容指標(biāo)類別技術(shù)指標(biāo)要求擴容內(nèi)容配置服務(wù)器防毒軟件360天擎V6.315個windows服務(wù)器用戶授權(quán)，配置殺毒模塊+補丁管理模塊，提供原廠三年病毒庫升級及質(zhì)保服務(wù)，簽訂合同前提供原廠授權(quán)書及售后服務(wù)承諾函原件；用戶名必須為中醫(yī)院，為了客戶業(yè)務(wù)的穩(wěn)定性，本次續(xù)保無需重新部署，必須原廠工程師上門安全服務(wù)；實施時需提供工程師工作證。5、交換機（鏡像）指標(biāo)類別技術(shù)指標(biāo)要求配置要求8個千兆RJ45電口,不允許使用光轉(zhuǎn)電模塊，8個千兆SFP光口，12個萬兆SFP+光口，支持雙向240Gbps64字節(jié)小包線速轉(zhuǎn)發(fā)能力，支持Syslog，snmp,telnet,ssh,web,radius,sflow，支持開放的JSONRPCAPI，N個端口進(jìn)來的報文轉(zhuǎn)發(fā)到M個端口，N>=1,M>=1，N個端口進(jìn)來的報文轉(zhuǎn)發(fā)到一個負(fù)載均衡組，選擇一個出口出去，支持同源同宿，可以對IPv4和IPv6報文根據(jù)2-4層字段進(jìn)行過濾，有條件的進(jìn)行轉(zhuǎn)發(fā)，3年原廠保修。6、項目系統(tǒng)集成技術(shù)服務(wù)指標(biāo)類別技術(shù)指標(biāo)要求服務(wù)內(nèi)容負(fù)責(zé)完成本項目設(shè)備的安裝調(diào)試，電源、相關(guān)纜線（網(wǎng)線、光纖線）必須齊全并滿足機房實際布局連接要求；新增設(shè)備后涉及到機房布局需要進(jìn)行調(diào)整等；按用戶要求負(fù)責(zé)完成對本項目的系統(tǒng)集成部署實施；負(fù)責(zé)完成服務(wù)器殺毒整合實施；負(fù)責(zé)完成原有網(wǎng)絡(luò)、安全及服務(wù)器虛擬化平臺的調(diào)整實施；提供無推諉服務(wù)，對以上未列明的，本項目實施中涉及到的系統(tǒng)提供整體實施服務(wù)。7、項目技術(shù)維護(hù)服務(wù)指標(biāo)類別技術(shù)指標(biāo)要求服務(wù)內(nèi)容應(yīng)用系統(tǒng)上線技術(shù)支持：集成商在系統(tǒng)維護(hù)期內(nèi)，當(dāng)新應(yīng)用系統(tǒng)上線或已有應(yīng)用系統(tǒng)需要調(diào)整時，集成商工程師將到用戶現(xiàn)場提供技術(shù)支持。包括：方案規(guī)劃、系統(tǒng)調(diào)整、部署實施等，同時，在業(yè)務(wù)關(guān)鍵時期，安排工程師常駐用戶現(xiàn)場。持續(xù)性服務(wù)：集成商對此次項目中所有系統(tǒng)提供3年7×24小時系統(tǒng)維護(hù)技術(shù)服務(wù)。在維護(hù)服務(wù)期內(nèi)，集成商提供7×24小時全天候電話技術(shù)支持，電話技術(shù)支持的內(nèi)容包括解決各種系統(tǒng)故障、對各種突發(fā)事件采取應(yīng)急措施及其它與系統(tǒng)相關(guān)的技術(shù)