一體化安全協(xié)同監(jiān)測督導服務

一體化安全協(xié)同監(jiān)測督導服務解決方案TOC\o"1-4"\h\z\u（一）項目概況 3（二）項目總體要求 3（三）服務模式要求 3（四）服務對象 3（五）日常安全監(jiān)測督導服務要求 31、日常安全監(jiān)測督導服務一覽表 32、駐場人工服務 53、安全能力服務 21（六）專項安全監(jiān)測督導服務要求 491、專項安全服務一覽表 492、專項安全服務內容 50（七）其他要求 601、國產化適配要求 602、數(shù)據(jù)接口安全要求 603、安全能力服務擴容要求 614、安全能力服務實施深化要求 615、服務安全要求 616、進度控制要求 617、質量控制要求 628、保密要求 639、溝通要求 63（一）項目概況本項目是落實《網絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》《國務院關于加強數(shù)字政府建設的指導意見》（國發(fā)﹝2022﹞14號）《互聯(lián)網政務應用安全管理規(guī)定》等法律法規(guī)、政策文件要求，開展一體化安全協(xié)同監(jiān)測督導工作。（二）項目總體要求建立一體化安全協(xié)同監(jiān)測督導服務體系，完善網絡和數(shù)據(jù)安全監(jiān)測督導體系和工作機制。（三）服務模式要求應根據(jù)行業(yè)內技術發(fā)展情況，提供先進的網絡與數(shù)據(jù)安全的安全分析、安全運營、威脅情報等技術，并提供符合本服務規(guī)范及政策要求的服務。因技術、需求變化等需增減、優(yōu)化、調整的，由提供費用明細表，報經采購人同意后方能實施。（四）服務對象本項目安全監(jiān)測督導服務對象主要是圍繞數(shù)字XX“1361”整體架構，以一體化數(shù)字資源系統(tǒng)、城市感知系統(tǒng)、公共數(shù)據(jù)資源管理系統(tǒng)、能力組件管理系統(tǒng)、渝快政、渝快辦、三級數(shù)字化城市運行和治理中心、鄉(xiāng)鎮(zhèn)（街道）一體化治理智治平臺為核心，覆蓋數(shù)字XX“1361”的應用系統(tǒng)、云網進行統(tǒng)一的安全監(jiān)測督導運營工作。（五）日常安全監(jiān)測督導服務要求本項目堅持以網絡安全與數(shù)據(jù)安全并重，以一體化安全協(xié)同監(jiān)測督導為總體目標，采購駐場人工服務與安全能力服務2個一級服務體系。駐場人工服務包括8個二級網絡安全監(jiān)測督導服務和7個二級數(shù)據(jù)安全監(jiān)測督導服務；安全能力服務包含安全數(shù)據(jù)接入、安全數(shù)據(jù)管理、網絡安全分析、數(shù)據(jù)安全分析、監(jiān)測督導運營、基于政務云網環(huán)境的服務供應能力等6項內容；詳細內容見本節(jié)日常安全監(jiān)測督導服務一覽表。1、日常安全監(jiān)測督導服務一覽表服務大類服務分類服務名稱駐場人工服務網絡安全日常監(jiān)測督導服務資產發(fā)現(xiàn)與歸集服務態(tài)勢分析與展示服務漏洞發(fā)現(xiàn)與跟蹤服務告警優(yōu)化與管理服務威脅監(jiān)測與預警服務網絡安全事件分析溯源服務網絡安全事件應急支撐服務網絡安全合規(guī)檢查服務數(shù)據(jù)安全日常監(jiān)測督導服務數(shù)據(jù)資產發(fā)現(xiàn)與歸集服務場景梳理與風險分析服務數(shù)據(jù)安全風險監(jiān)測預警服務數(shù)據(jù)安全告警策略優(yōu)化服務數(shù)據(jù)安全事件分析溯源服務數(shù)據(jù)安全事件應急支撐服務數(shù)據(jù)安全監(jiān)督檢查服務安全能力服務安全數(shù)據(jù)接入能力安全日志接入出口流量接入API接口信息敏感數(shù)據(jù)信息數(shù)據(jù)資產信息安全數(shù)據(jù)管理能力數(shù)據(jù)采集數(shù)據(jù)治理數(shù)據(jù)管理數(shù)據(jù)存儲網絡安全分析能力資產匹配與規(guī)則配置脆弱性分類驗證威脅情報感知風險跟蹤分析告警歸并與風險動態(tài)關聯(lián)網絡攻擊場景分類拆解評估指標分析量化安全態(tài)勢量化數(shù)據(jù)安全分析能力數(shù)據(jù)資產歸集與統(tǒng)計安全模型深度分析分析引擎告警聚合與上報安全評估統(tǒng)計分析重點場景監(jiān)測安全指標統(tǒng)計分析AI安全智能體分析能力告警研判智能體敏感信息識別智能體事件調查智能體監(jiān)測督導運營能力資產管理定級備案態(tài)勢感知漏洞管理告警管理合規(guī)檢查應急監(jiān)管安全評估重點保障通報處置服務報告消息通知基于政務云網環(huán)境的服務供應能力計算存儲網絡資源機柜資源系統(tǒng)資源2、駐場人工服務2.1網絡安全2.1.1資產發(fā)現(xiàn)與歸集服務（1）服務要求資產發(fā)現(xiàn)與管理服務擬針對安全監(jiān)測督導對象提供信息資產的安全監(jiān)測督導。安全服務人員須對安全監(jiān)測督導對象的相關業(yè)務系統(tǒng)進行調研和梳理，明確信息資產的核心要素（核心要素包括但不限于：資產所屬業(yè)務系統(tǒng)、資產類型、名稱、重要性程度、IP地址、MAC地址，運行狀態(tài)等信息）；采用技術手段，對安全監(jiān)測督導對象的信息資產進行統(tǒng)一登記和梳理；建立信息資產安全臺賬，對已上報或已發(fā)現(xiàn)的信息資產進行信息登記、更新與核查，確保資產與臺賬的一致性；建立信息資產的安全監(jiān)測督導工作標準流程，針對未及時進行信息資產報備或登記的安全監(jiān)測督導對象進行信息資產通報管理，督促相關問題及時整改并定期跟蹤整改實施情況。（2）服務內容1）采用手動錄入、日志分析等多種方式來開展資產收集發(fā)現(xiàn)，并對收集到的信息進行整理，整理資產的相關信息，包括但不限于IP地址、MAC地址、開放端口、資產類型、運行狀態(tài)、配置信息、所屬業(yè)務部門、資產責任人等；2）明確收集的資產類別，包括硬件設備（服務器、網絡設備、終端設備等）、軟件資源（應用系統(tǒng)、數(shù)據(jù)庫等）、虛擬化資源（云主機、容器等）、數(shù)據(jù)資產（數(shù)據(jù)庫表等）以及其他無形資產（如IP地址、域名等）；3）對收集到的資產進行合理分類，對來自不同業(yè)務系統(tǒng)的資產分配合理的標簽，便于資產的合規(guī)性管理；4）依照資產管理機制并對資產的變更及時上報更新，同時通過資產發(fā)現(xiàn)等技術手段，集合日常安全檢查對資產變更情況進行監(jiān)測及驗證，及時掌握資產變更情況；5）對資產的分類情況，新增情況、分布情況等進行統(tǒng)計，記錄資產變化過程；設計并執(zhí)行資產增加、變更、報廢等全生命周期的管理流程，確保任何資產變動都能及時反映在資產信息庫中，充分利用技術手段進行定期資產發(fā)現(xiàn)測試，及時發(fā)現(xiàn)未知資產或未知資產變更，及時更新資產臺賬；6）逐項核查資產信息，包括資產的名稱、型號、數(shù)量、配置、狀態(tài)等。驗證資產信息的準確性和完整性，與業(yè)務系統(tǒng)和數(shù)據(jù)庫中的數(shù)據(jù)進行比對和確認；7）對于服務過程中發(fā)現(xiàn)的問題和錯誤，進行記錄和分類，制定相應的處理措施和計劃。及時與相關部門和人員進行溝通和協(xié)調，確保問題得到及時解決和糾正，對差異性進行記錄；8）根據(jù)資產核查的結果和反饋，不斷完善資產信息歸集和管理的流程和制度。定期對資產信息進行復查和更新，確保資產信息的準確性和時效性。定期對資產信息歸集工作的效果進行評估和審計，根據(jù)實際情況調整改進策略，確保資產信息的準確性和完整性；9）資產在廢棄不用時，及時跟進資產廢止流程更新資產信息，同時關注資產相關的數(shù)據(jù)資產情況，避免廢止后數(shù)據(jù)資產泄露。（3）服務交付物1）《信息資產安全臺賬》2）《信息資產安全歸集報告》（4）交付標準1）資產發(fā)現(xiàn)與資產運營服務過程需滿足本服務內容表述的相關要求；2）《信息資產安全臺賬》信息需保持即時動態(tài)更新，能夠即時的反映運營服務期內最新的資產情況，同時需保證臺賬的真實性、準確性和完整性，禁止出現(xiàn)因資產臺賬缺失或錯誤導致防護缺失或不足，進而被第三方途徑通報、利用，甚至出現(xiàn)相關安全問題的情況；3）《信息資產安全歸集臺賬》《信息資產安全歸集報告》能夠按照采購人要求即時進行導出，即時輸出以支撐相關檢查或備案；4）所有交付物需保持每月至少1次的報告輸出和備案。2.1.2態(tài)勢分析與展示服務（1）服務要求態(tài)勢分析與展示服務通過安全服務人員對安全監(jiān)測督導對象的相關業(yè)務系統(tǒng)進行調研和梳理，建立適宜目前網絡安全整體形勢的成熟的網絡安全態(tài)勢指標體系，通過對安全監(jiān)測督導對象的相關流量和安全日志等數(shù)據(jù)進行實時的研判和分析，并基于成熟的安全分析模型和適宜的安全態(tài)勢指標體系得到態(tài)勢分析結果和指標趨勢，提前預警可能存在的安全風險，實現(xiàn)安全監(jiān)測督導對象整體安全態(tài)勢的提前感知、預測和威脅防范，為安全團隊提供及時的決策依據(jù)，并優(yōu)化安全防護和響應措施；安全服務人員須依照目前的安全態(tài)勢指標體系構建安全態(tài)勢關鍵指標的可視化展示頁面，將安全態(tài)勢的關鍵指標分析結果采用圖表、圖例等方式，借助態(tài)勢大屏等方式直觀地展示出來，便于管理者和安全團隊對整體的安全態(tài)勢情況迅速地了解和判斷；安全服務人員須結合當前網絡的整體安全環(huán)境，定期評估安全態(tài)勢指標體系的適用性和準確性，優(yōu)化指標的計算分析方式和安全閾值等，形成態(tài)勢指標評估與優(yōu)化報告，確保安全指標能夠有效地反映真實的安全態(tài)勢情況。（2）服務內容1）指標體系建立與優(yōu)化：建立并定期審查適宜當前安全形勢的網絡安全態(tài)勢指標體系，評估體系中安全指標的相關性和有效性。根據(jù)需求和目標，篩選出關鍵和有意義的指標；2）收集數(shù)據(jù)源：確定需要收集的數(shù)據(jù)源，包括安全設備、系統(tǒng)日志、攻擊檢測系統(tǒng)等。確保數(shù)據(jù)源的完整性和準確性，并建立數(shù)據(jù)采集機制；3）設定閾值和警報機制：根據(jù)指標的評估結果和實際情況，設定合適的閾值和警報機制。當指標超過預設的閾值時，能夠及時觸發(fā)相應的警報和響應措施。4）數(shù)據(jù)分析和可視化：通過對收集的數(shù)據(jù)進行分析和處理，生成可視化的安全態(tài)勢指標界面。采用態(tài)勢大屏等方式，直觀地展示當前的安全狀況和趨勢，便于管理者和安全團隊迅速了解和判斷；5）持續(xù)監(jiān)測和更新：持續(xù)監(jiān)測各項指標，并及時更新指標數(shù)據(jù)。隨著安全威脅的變化，適時調整和改進安全態(tài)勢指標體系；6）風險評估和預警：基于分析結果和指標趨勢，進行風險評估，并提前預警可能存在的安全風險。為安全團隊提供及時的決策依據(jù)，以優(yōu)化安全防護和響應措施。（3）服務交付物1）《網絡安全態(tài)勢指標體系》2）《態(tài)勢指標評估與優(yōu)化報告》（4）交付標準1）態(tài)勢指標評估與優(yōu)化服務過程需滿足本服務內容表述的相關要求；2）《網絡安全態(tài)勢指標體系》《態(tài)勢指標評估與優(yōu)化報告》能夠按照采購人要求進行提供；3）《網絡安全態(tài)勢指標體系》《態(tài)勢指標評估與優(yōu)化報告》需保持每季度至少1次的報告輸出和備案。2.1.3漏洞發(fā)現(xiàn)與跟蹤服務（1）服務要求漏洞發(fā)現(xiàn)與處置督導服務通過安全服務人員對安全監(jiān)測督導對象的相關業(yè)務系統(tǒng)進行調研和梳理，制定合適的漏洞掃描工作方案，通過在電子政務外網或互聯(lián)網上，定期對暴露在外網上的資產進行漏洞掃描，對漏洞的掃描結果進行分析和評估，確定漏洞的風險程度和優(yōu)先級，結合實際情況給出漏洞處置建議，形成漏洞掃描整改處置清單；安全服務人員向安全監(jiān)測督導對象相關責任單位發(fā)送漏洞掃描整改處置清單，提醒并督促處理漏洞、修補漏洞、反饋處置整改結果并對漏洞進行處置驗證；安全服務人員依據(jù)外網掃描結果建立漏洞信息臺賬，記錄和維護已發(fā)現(xiàn)的漏洞詳細信息，包括漏洞描述、漏洞等級、影響分析、處置措施建議等；安全服務人員依據(jù)階段性的漏洞發(fā)現(xiàn)與處置結果，定期輸出漏洞發(fā)現(xiàn)與處置報告，并驗證修復結果。（2）服務內容1）制定漏洞掃描工作計劃，通過定期漏洞掃描、安全評估等手段，檢測各業(yè)務系統(tǒng)和應用程序中的潛在漏洞；2）建立漏洞管理臺賬，通過管理和技術手段，對安全漏洞和問題進行閉環(huán)跟蹤維護，確保所有風險可知、可控；3）建立漏洞管理流程，以確保所發(fā)現(xiàn)的漏洞都能夠得到有效的處理，從而提高整體網絡安全水平；4）根據(jù)漏洞的危害程度和影響范圍，對漏洞進行人工審核并做分級，如高、中、低級別；5）建立漏洞信息庫，記錄和維護已發(fā)現(xiàn)的漏洞詳細信息，包括漏洞描述、修復建議等；4）向各業(yè)務系統(tǒng)相關責任人發(fā)送漏洞掃描報告，提醒并督促處理漏洞、修補漏洞；6）定期向管理小組和相關部門通報漏洞情況，提供決策支持和風險評估，審核各監(jiān)測督導服務對象制定的漏洞掃描計劃，確保計劃符合安全策略和標準。確定掃描的頻率、范圍、目標以及使用的掃描工具和技術；7）督促各監(jiān)測督導服務對象按時開展漏洞掃描工作，確保計劃的執(zhí)行不延誤。監(jiān)控掃描過程，確保掃描的全面性和準確性。監(jiān)控漏洞修復工作的進展，確保漏洞得到及時修復。跟蹤修復后的系統(tǒng)狀態(tài)，驗證修復效果，確保漏洞的修復；8）根據(jù)掃描結果和修復經驗，給出安全加固措施建議。提供針對性的安全培訓和技術支持，幫助業(yè)務系統(tǒng)提升安全防護能力。（3）服務交付物1）《漏洞信息臺賬》2）《漏洞發(fā)現(xiàn)與跟蹤處置報告》（4）交付標準1）漏洞發(fā)現(xiàn)與處置服務過程需滿足本服務內容表述的相關要求；2）《漏洞信息臺賬》需保持即時動態(tài)更新，能夠即時的反映運營服務周期內最新的漏洞發(fā)現(xiàn)和處置情況；3）《漏洞信息臺賬》需具備真實性、準確性和完整性，需具備真實性、準確性和完整性，禁止出現(xiàn)因漏洞臺賬缺失或錯誤導致防護缺失或不足，進而被第三方途徑通報、利用，甚至出現(xiàn)相關安全問題的情況；4）《漏洞信息臺賬》能夠按照市采購人要求即時進行導出，即時輸出以支撐相關檢查或備案，《漏洞發(fā)現(xiàn)與跟蹤處置報告》按照采購人要求進行提供；5）《漏洞信息臺賬》需保持每月至少1次的報告輸出和備案，《漏洞發(fā)現(xiàn)與跟蹤處置報告》需保持每周至少1次的報告輸出和備案。2.1.4告警優(yōu)化與管理服務（1）服務要求告警策略優(yōu)化與管理服務通過安全服務人員對安全監(jiān)測督導對象的相關業(yè)務系統(tǒng)進行調研和梳理，結合系統(tǒng)實際情況建立安全監(jiān)測督導對象的告警處置驗證機制，優(yōu)化告警策略，提高對安全事件的感知和處置能力，及時防范和應對潛在的網絡安全風險；安全服務人員通過集中收集各種安全事件的告警信息，對告警信息進行及時分析和研判，識別真實威脅和誤報；安全服務人員須建立適宜的標準告警響應流程，對高優(yōu)先級告警進行快速響應和處理，記錄和跟蹤告警事件的處理過程和結果；安全服務人員須定期檢查和優(yōu)化告警規(guī)則，確保其及時性和有效性；安全服務人員須對告警處置結果進行復核驗證；安全服務人員須依據(jù)階段性的告警分析、優(yōu)化和處置結果，定期輸出告警優(yōu)化與處置報告。（2）服務內容1）對集中收集到的安全事件告警信息采取人工分析的方式進行分析和分類，判斷告警信息是否為真實威脅，如果告警信息為誤報，則針對相應的誤報告警規(guī)則進行優(yōu)化；2）根據(jù)真實情況，建立應急響應流程，確保對于高優(yōu)先級的告警進行快速響應和處理；3）對告警事件的處理過程和處理結果進行詳細的記錄，確保文檔的準確性和可追溯性，以便后續(xù)查閱和審計；4）定期對告警規(guī)則進行檢查分析，對誤報的告警信息優(yōu)化，確保告警規(guī)則的有效性和及時性；5）與業(yè)務部門和服務提供商進行溝通協(xié)作，共同制定改進告警優(yōu)化措施，提高威脅的處置能力；6）對告警處置結果進行復核驗證，并督促服務供應商完善整改措施，持續(xù)優(yōu)化告警處置流程和規(guī)則。（3）服務交付物1）《告警規(guī)則及說明》2）《告警規(guī)則優(yōu)化報告》（4）交付標準1）告警優(yōu)化與管理服務過程需滿足本服務內容表述的相關要求；2）告警處置驗證機制需保證告警發(fā)現(xiàn)和處置的即時性，禁止出現(xiàn)有關安全事件無告警的情況或告警處置響應時間不足導致安全事件發(fā)生的情況；3）《告警規(guī)則及說明》《告警規(guī)則優(yōu)化報告》能夠按照采購人要求進行提供；4）《告警規(guī)則及說明》《告警規(guī)則優(yōu)化報告》需保持每月至少1次的報告輸出和備案。2.1.5威脅監(jiān)測與預警服務（1）服務要求威脅監(jiān)測與預警服務通過安全服務人員利用威脅情報刺探、網絡威脅情報分析模塊、暗網資源探知等技術手段，實時監(jiān)測國內外網絡上的安全威脅，持續(xù)跟蹤并及時獲取突發(fā)高危漏洞信息或其他重大安全風險信息，評估其潛在的影響，及時提出應對策略方案并通知各安全監(jiān)測督導對象業(yè)務系統(tǒng)采取相應的防護措施，確保系統(tǒng)的整體安全；安全服務人員須依據(jù)整體安全態(tài)勢建立可集中管理、存儲和更新威脅情報數(shù)據(jù)的數(shù)據(jù)庫，持續(xù)跟蹤相關情報內容發(fā)展并對威脅情報數(shù)據(jù)庫進行優(yōu)化和完善，包括常見威脅類型、攻擊方式等信息；安全服務人員須整理、分類和歸檔各類可信賴的威脅資源，包括惡意軟件樣本、攻擊工具等信息，在發(fā)現(xiàn)相關威脅時，利用資源庫進行威脅分析和預警，追蹤威脅的潛在來源和路徑，并及時采取相應措施進行風險規(guī)避；安全服務人員須依據(jù)階段性的威脅監(jiān)測結果，定期輸出威脅監(jiān)測與處置報告。（2）服務內容1）對收集到的威脅情報進行分類和分級，根據(jù)威脅的嚴重性和優(yōu)先級對其進行排序；2）建立一個集中管理、存儲和更新威脅情報庫，通過自動化和人工的方式進行收集，對收集到的情報進行人工分析，確保信息的準確性和完整性；3）根據(jù)威脅類型、攻擊方式等對情報進行分類，并添加相應的標簽，便于后續(xù)查詢。根據(jù)新的威脅動態(tài)和情報源的變化，定期更新情報庫；4）整理、分類和歸檔各類可信賴的威脅資源，包括惡意軟件樣本、攻擊工具等信息，以便進行威脅分析和溯源；5）通過使用威脅情報工具、網絡威脅情報分析模塊等技術手段，實時監(jiān)測網絡上的安全威脅，及時發(fā)現(xiàn)并通知各業(yè)務系統(tǒng)采取相應的防護措施；6）通過分析現(xiàn)有威脅趨勢和漏洞情況，結合外部情報和業(yè)內信息，預測未來可能出現(xiàn)的安全威脅，并制定相應的應對策略。（3）服務交付物《威脅監(jiān)測與預警報告》（4）交付標準1）威脅監(jiān)測與預警服務過程需滿足本服務內容表述的相關要求；2）保持威脅情報數(shù)據(jù)庫的完整性和即時性，確保能夠提前感知到相關安全威脅，禁止出現(xiàn)攻擊發(fā)生卻沒有相關情報或者發(fā)現(xiàn)相關威脅卻沒有足夠的反應時間的情況；3）《威脅監(jiān)測與預警報告》能夠按照采購人要求進行提供；4）《威脅監(jiān)測與預警報告》需保持每周至少1次的報告輸出和備案。2.1.6網絡安全事件分析溯源服務（1）服務要求網絡安全事件分析溯源服務通過安全服務人員基于最新的安全事件分析模型和安全算法，針對安全監(jiān)測督導對象各業(yè)務系統(tǒng)已發(fā)生或正在發(fā)生的網絡安全事件進行即時分析，明確安全事件的核心要素，包括事件的攻擊來源、攻擊目標、攻擊手段等；安全服務人員須根據(jù)事件分析結果，給出相應安全加固措施的指導建議，包括阻斷攻擊途徑、修復漏洞、優(yōu)化安全防護策略等；安全服務人員須評估安全事件對安全監(jiān)測督導對象各業(yè)務系統(tǒng)的影響，研判其威脅程度和潛在損害，包括系統(tǒng)影響、數(shù)據(jù)影響、業(yè)務影響等；安全服務人員須跟蹤事件的處置過程，協(xié)調各部門配合展開調查，確定事件范圍和影響程度，加快恢復安全監(jiān)測督導對象業(yè)務的正常運行；安全服務人員須依據(jù)安全事件分析與溯源結果，輸出網絡安全事件分析與溯源報告；安全服務人員須整理各業(yè)務系統(tǒng)網絡安全事件突出類型，通報各相關責任單位，改進防護措施。（2）服務內容1）對收集到的安全事件和威脅情報進行深入分析，了解攻擊者的行為模式和手段，推斷可能的目標和動機，提供決策支持和防護建議；2）結合威脅情報和惡意行為分析結果，準確識別出針對組織的威脅和攻擊。評估威脅的嚴重性、影響范圍、潛在風險等信息，為制定處置策略提供依據(jù)；3）在發(fā)生安全事件時，利用資源庫進行溯源調查，追蹤攻擊者的身份和行動路徑；4）持續(xù)跟蹤并及時獲取突發(fā)高危漏洞信息或其他重大安全風險信息，并評估影響，及時提出應對方案并通知各業(yè)務系統(tǒng)采取響應的防護措施，防止安全事件的發(fā)生；（3）服務交付物1）《網絡安全事件分析溯源報告》2）《網絡安全事件類型梳理及防護建議》（4）交付標準1）網絡安全事件分析溯源服務過程需滿足本服務內容表述的相關要求；2）網絡安全事件分析溯源服務需保證服務周期內每個自然年總體上具有95%以上的分析溯源成功率；3）服務交付物能夠按照采購人要求進行提供；4）服務交付物需保持每月至少1次的報告輸出和備案。2.1.7網絡安全事件應急支撐服務（1）服務要求網絡安全事件應急支撐服務的主要內容為以督導方的視角，針對已經發(fā)生或可能發(fā)生的安全事件對安全監(jiān)測督導對象實時情況進行安全監(jiān)控、分析、協(xié)調和處理等。安全服務人員須制定標準的網絡安全應急支撐的工作流程，在發(fā)生重大網絡安全事件時，須協(xié)同各安全監(jiān)測督導對象，提供應急響應過程中的技術支撐、流程支撐以及資源協(xié)調支撐，以達到保護資產安全的同時實現(xiàn)對整個過程在合規(guī)性、規(guī)范化的監(jiān)督管控的目的。網絡安全應急支撐服務主要是為了讓安全監(jiān)測督導對象在遇到突發(fā)網絡安全事件時做到有序應對、妥善處理，實現(xiàn)督導方與安全監(jiān)測督導對象雙邊的協(xié)同協(xié)作，全面提高安全監(jiān)測督導對象的應急響應能力和水平，落實督導方對應急響應過程的支撐義務。（2）服務內容1）定期對應急響應計劃進行演練和更新，確保計劃的時效性和可操作性；2）通過安全監(jiān)控系統(tǒng)、日志分析等手段，持續(xù)監(jiān)測和檢測網絡和系統(tǒng)中的異常活動和潛在風險。及時發(fā)現(xiàn)安全事件和威脅，確保安全事件的快速響應；3）對發(fā)生的安全事件進行快速響應和詳細分析。確認事件的性質和嚴重程度，采取相應措施進行應急處理，減少損失；4）在應急響應過程中，及時收集相關證據(jù)和取證信息，確保證據(jù)的完整性和可靠性，為后續(xù)溯源和法律追溯提供支持；5）針對發(fā)現(xiàn)的安全威脅，采取恰當措施進行威脅消除和系統(tǒng)修復。包括隔離受感染設備、修復漏洞和弱點、清除惡意代碼等；6）在應急響應過程中，與相關部門、合作伙伴和當?shù)毓芾頇C構保持及時溝通和協(xié)調。共同應對和解決安全事件，確保信息的及時傳遞和共享；7）對應急響應過程進行總結和評估，發(fā)現(xiàn)問題和不足。制定改進措施，優(yōu)化應急響應計劃和流程，提高應對能力和效率；8）定期對安全應急演練工作進行監(jiān)督和評估，確保其符合組織的安全策略和法規(guī)要求。根據(jù)監(jiān)督和評估結果，及時調整和優(yōu)化應急演練工作方案，提高整體應急響應能力和安全事件處置效率。（3）服務交付物《網絡安全事件應急支撐報告》（4）交付標準1）網絡安全事件應急支撐服務過程需滿足本服務內容表述的相關要求；2）《網絡安全事件應急支撐報告》能夠按照采購人要求進行提供；3）《網絡安全事件應急支撐報告》需保持每月至少1次的報告輸出和備案。2.1.8網絡安全合規(guī)檢查服務（1）服務要求網絡安全合規(guī)檢查服務通過安全服務人員依照安全監(jiān)測督導對象的實際情況，制定網絡安全合規(guī)檢查方案，審核安全監(jiān)測督導對象各業(yè)務系統(tǒng)制定的漏洞掃描、基線核查、設備巡檢、風險評估、應急演練、供應鏈安全管控等內容的工作任務和計劃，督促安全監(jiān)測督導對象各業(yè)務系統(tǒng)按時開展漏洞掃描、基線核查、設備巡檢、風險評估、應急演練、供應鏈安全管控等安全工作，及時發(fā)現(xiàn)并整改安全工作中發(fā)現(xiàn)的問題，及時反饋相關工作的總結或報告等文檔；安全服務人員須制定網絡安全合規(guī)檢查檢查方案，方案須明確網絡安全合規(guī)檢查的范圍和內容，依據(jù)系統(tǒng)的重要程度和安全需求，設立對應的網絡安全合規(guī)檢查周期，例如每季度進行抽查；安全服務人員須依據(jù)網絡安全檢查結果，通知安全監(jiān)測督導對象責任單位及時處理系統(tǒng)存在的不合規(guī)的安全問題，制定問題修復計劃，跟蹤問題處理進展，確保相關問題及時得到解決和修復；安全服務人員須根據(jù)網絡安全合規(guī)檢查結果，編制網絡安全合規(guī)檢查報告，報告中須包括網絡安全合規(guī)檢查情況總體概述、發(fā)現(xiàn)的問題、處理情況、改進建議等內容。（2）服務內容1）制定對各業(yè)務系統(tǒng)安全檢查計劃和內容的審核計劃，督促各業(yè)務定期開展安全檢查工作；并及時反饋安全檢查工作相關的總結、報告、問題整改結果文檔；2）審核各業(yè)務系統(tǒng)對操作系統(tǒng)、數(shù)據(jù)庫、中間件、網絡設備、虛擬化設備等開展基線核查工作情況。檢測內容主要有賬戶口令、認證授權、日志審計、遠程管理、系統(tǒng)服務、協(xié)議安全和其它安全等，可以通過工具和人工結合的方式開展；3）審核各業(yè)務系統(tǒng)制定的漏洞掃描計劃，確保計劃符合安全策略和標準。確定掃描的頻率、范圍、目標以及使用的掃描工具和技術；4）審核各業(yè)務系統(tǒng)對操作系統(tǒng)、數(shù)據(jù)庫、中間件、網絡設備、虛擬化設備等開展基線核查工作情況。檢測內容主要有賬戶口令、認證授權、日志審計、遠程管理、系統(tǒng)服務、協(xié)議安全和其它安全等，可以通過工具和人工結合的方式開展；5）依據(jù)檢查標準，對檢查對象進行綜合性的安全風險與防護措施分析，包括不限于網絡安全域劃分與防護措施合理性、網絡行為安全分析、失陷檢測等方面，并根據(jù)檢查結果給出安全建議。（3）服務交付物1）《網絡安全合規(guī)檢查方案》2）《網絡安全合規(guī)檢查報告》（4）交付標準1）網絡安全監(jiān)測督導檢查服務過程需滿足本服務內容表述的相關要求；2）《網絡安全合規(guī)檢查方案》和《網絡安全合規(guī)檢查報告》能夠按照采購人要求進行提供；3）《網絡安全合規(guī)檢查方案》和《網絡安全合規(guī)檢查報告》需保持每季度至少1次的報告輸出和備案。2.2數(shù)據(jù)安全2.2.1數(shù)據(jù)資產發(fā)現(xiàn)與歸集服務（1）服務要求由日常服務團隊借助數(shù)據(jù)資產測繪工具、API風險監(jiān)測設備的自動化掃描探測能力，并將掃描結果與單位主動上報清單進行比對，實現(xiàn)對安全監(jiān)測督導對象各個系統(tǒng)的數(shù)據(jù)資產發(fā)現(xiàn)與動態(tài)安全監(jiān)測督導，同時利用數(shù)據(jù)資產管理中心，以數(shù)字化的方式幫助監(jiān)測督導方全面掌握各個系統(tǒng)數(shù)據(jù)資產信息，為數(shù)據(jù)安全監(jiān)測督導、運營提供有效數(shù)據(jù)支撐。（2）服務內容1）數(shù)據(jù)資產發(fā)現(xiàn)：根據(jù)安全監(jiān)測督導對象所填報收集的數(shù)據(jù)庫、敏感數(shù)據(jù)資產等必要信息，整理生成數(shù)據(jù)資產原始目錄清單和敏感數(shù)據(jù)原始目錄清單；并利用技術工具，通過主動掃描、網絡嗅探等方式，形成數(shù)據(jù)資產掃描目錄清單和敏感數(shù)據(jù)掃描目錄清單，與原始清單進行對比，派發(fā)給監(jiān)測督導對象進行確認；通過周期性、持續(xù)性的掃描、比對與確認的方式，動態(tài)更新資產安全臺賬和敏感數(shù)據(jù)安全臺賬；API資產發(fā)現(xiàn)：根據(jù)安全檢測督導對象上報的API資產信息，整理生成數(shù)API資產原始目錄清單；通過技術手段發(fā)現(xiàn)并識別安全監(jiān)測督導對象相關API資產，梳理敏感API接口資產，形成API資產目錄清單、敏感API資產安全臺賬；并與原始清單進行比對，派發(fā)給監(jiān)測督導對象進行API資產確認，并持續(xù)修正和更新API資產安全臺賬；API活躍度分析：針對API接口調用、訪問的頻次進行周期性的統(tǒng)計和分析，動態(tài)監(jiān)測各個API資產的活動度，并輸出API接口活躍度報告，保障能及時掌握API接口的使用與訪問情況。（3）服務交付物1）《數(shù)據(jù)資產安全臺賬》2）《數(shù)據(jù)資產狀態(tài)及保護能力報告》3）《敏感數(shù)據(jù)安全臺賬》4）《API資產安全臺賬》5）《敏感API資產安全臺賬》6）《API活躍度報告》7）《數(shù)據(jù)分級分類政策包》（4）交付標準1）數(shù)據(jù)資產發(fā)現(xiàn)與監(jiān)測督導服務過程需滿足本服務內容表述的相關要求；2）《數(shù)據(jù)資產安全臺賬》《敏感數(shù)據(jù)安全臺賬》《API資產安全臺賬》《敏感API資產安全臺賬》需保持即時動態(tài)更新，能夠即時的反映當前最新的數(shù)據(jù)資源情況；3）《數(shù)據(jù)資產安全臺賬》《敏感數(shù)據(jù)安全臺賬》需具備完整性和可靠性，禁止出現(xiàn)因數(shù)據(jù)資產監(jiān)測督導臺賬缺失或錯誤導致防護缺失或不足，進而被第三方途徑通報、利用，甚至出現(xiàn)相關安全問題的情況；4）《API資產安全臺賬》《敏感API資產安全臺賬》需具備完整性和可靠性，禁止出現(xiàn)因臺賬信息缺失或錯誤導致防護缺失或不足，進而被第三方途徑通報、利用，甚至出現(xiàn)相關安全問題的情況；5）所有服務交付物能夠按照采購人要求進行導出或提供，以支撐相關檢查或備案；7）《數(shù)據(jù)資產安全臺賬》《數(shù)據(jù)資產狀態(tài)及保護能力報告》《敏感數(shù)據(jù)安全臺賬》《敏感API資產安全臺賬》《API資產安全臺賬》《API活躍度報告》需保持每月至少1次的報告輸出和備案，《數(shù)據(jù)分級分類政策包》需保持每半年至少1次的報告輸出和備案。2.2.2場景梳理與風險分析服務（1）服務要求數(shù)據(jù)流場景梳理與風險分析服務主要是對安全監(jiān)管對象的數(shù)據(jù)流及重要場景進行全面梳理，并根據(jù)梳理的結果對各個場景下的風險點位進行分析，通過對安全監(jiān)測督導對象各個系統(tǒng)進行數(shù)據(jù)流轉、重點風險場景的梳理，幫助采購人明確重點監(jiān)測督導方向，為后續(xù)數(shù)據(jù)安全風險的發(fā)現(xiàn)預警與閉環(huán)處置打下基礎。根據(jù)本服務對重點監(jiān)測督導場景的梳理結果，服務團隊將及時調整數(shù)據(jù)安全監(jiān)測預警、重點場景監(jiān)測督導等的安全策略配置，優(yōu)化數(shù)據(jù)安全規(guī)則模型配置中心的規(guī)則模型，進一步提升數(shù)據(jù)安全監(jiān)測督導水平。（2）服務內容1）數(shù)據(jù)流場景梳理與風險分析，對業(yè)務場景下的數(shù)據(jù)流過程、數(shù)據(jù)流轉區(qū)域進行詳細分析，數(shù)據(jù)流轉過程的梳理包括數(shù)據(jù)展現(xiàn)層、數(shù)據(jù)傳輸層、數(shù)據(jù)存儲層、數(shù)據(jù)使用和共享層；數(shù)據(jù)流轉區(qū)域包括數(shù)據(jù)的可控區(qū)域以及非可控區(qū)域；并對數(shù)據(jù)流轉鏈路進行清晰刻畫，分析數(shù)據(jù)流轉過程中可能存在的風險點，提出數(shù)據(jù)安全防護建議；同時，針對數(shù)據(jù)共享交換等重要環(huán)節(jié)，通過深度解析數(shù)據(jù)庫協(xié)議、接口調用行為，對安全監(jiān)測督導對象進行風險監(jiān)測；2）運維場景梳理與風險分析，對各安全監(jiān)測督導對象的運維場景進行詳細調研，根據(jù)調研的結果進行統(tǒng)一整理和分析，用圖表的形式，詳細的表述系統(tǒng)的運維場景，并全面的分析可能存在的風險威脅，并形成輸出運維人員風險控制場景梳理清單，利用數(shù)據(jù)安全分析能力，對運維場景下的風險行為和威脅進行分析和驗證，及時發(fā)現(xiàn)異?，F(xiàn)象，防止不合規(guī)的操作發(fā)生；3）敏感數(shù)據(jù)分布梳理與風險分析，對各安全監(jiān)測督導對象進行敏感數(shù)據(jù)信息的調研和收集，包括敏感數(shù)據(jù)存儲、加工、共享交換各個節(jié)點的實際情況，并對調研收集的信息進行統(tǒng)一的整理分析，形成系統(tǒng)敏感數(shù)據(jù)分布的清單，進一步分析敏感數(shù)據(jù)可能存在的風險點，并提出有效的解決方案，同時及時發(fā)現(xiàn)并分析可能存在的敏感數(shù)據(jù)風險威脅，記錄和分析敏感數(shù)據(jù)的訪問情況和操作記錄，分析敏感數(shù)據(jù)的使用情況，提高敏感數(shù)據(jù)的安全保障能力。（3）服務交付物1）《數(shù)據(jù)流場景梳理與風險分析清單》2）《運維場景梳理與風險分析清單》3）《敏感數(shù)據(jù)風險點及處理建議》（4）交付標準1）所有服務過程需滿足本服務內容表述的相關要求；2）所有交付物信息需保持即時動態(tài)更新，能夠即時的反映當前最新的各場景監(jiān)測情況；3）《數(shù)據(jù)流場景梳理與風險分析清單》需具備完整性和可靠性，禁止出現(xiàn)因數(shù)據(jù)流場景梳理缺失或錯誤導致防護缺失或不足，進而被第三方途徑通報、利用，甚至出現(xiàn)相關安全問題的情況；4）《運維場景梳理與風險分析清單》需具備完整性和可靠性，禁止出現(xiàn)因特權賬號信息缺失或錯誤導致防護缺失或不足，進而被第三方途徑通報、利用，甚至出現(xiàn)相關安全問題的情況；5）所有服務交付物能夠按照采購人要求進行提供，以支撐相關檢查或備案；6）所有交付物需保持每季度至少1次的報告輸出和備案。2.2.3數(shù)據(jù)安全風險監(jiān)測與預警服務（1）服務要求安全服務人員利用數(shù)據(jù)安全各類支撐工作，通過主動掃描、檢測分析等各種技術手段所產生的數(shù)據(jù)安全風險告警，準確識別安全監(jiān)測督導對象的數(shù)據(jù)資產以及在開展數(shù)據(jù)活動的過程中存在的風險威脅，及時發(fā)現(xiàn)可能存在的異常行為，對所發(fā)現(xiàn)的風險進行人工驗證和分析研判，結合所涉及的數(shù)據(jù)敏感度和重要性，進一步分析風險的潛在的影響范圍和危害程度，對風險威脅進行級別的判定，將相關風險威脅及時通知給安全監(jiān)測督導對象相關責任單位，并提出有針對性的解決方案及建議，提醒并督促安全監(jiān)管對象及時進行問題處置與整改，并對處置過程、處置結果進行審查與驗證，實現(xiàn)安全風險的閉環(huán)處置。（2）服務內容1）數(shù)據(jù)庫泄漏風險監(jiān)測：通過安全技術能力發(fā)現(xiàn)安全監(jiān)測督導對象應用服務和數(shù)據(jù)服務存在的數(shù)據(jù)泄漏風險，并綜合判斷評估數(shù)據(jù)庫泄露風險的危害程度，及時發(fā)現(xiàn)數(shù)據(jù)庫泄露風險；2）數(shù)據(jù)庫漏洞風險監(jiān)測：通過安全技術能力發(fā)現(xiàn)數(shù)據(jù)庫存在的弱點或缺陷漏洞，評估漏洞被利用而訪問和破壞數(shù)據(jù)的可能性；3）賬號安全風險監(jiān)測：通過數(shù)據(jù)安全建模分析引擎以及駐場安全服務人員監(jiān)測分析發(fā)現(xiàn)賬號偏離日?；€的非常規(guī)操作行為，發(fā)現(xiàn)賬號中可能存在的風險威脅；4）API數(shù)據(jù)泄漏風險監(jiān)測：安全服務人員通過數(shù)據(jù)采集以及數(shù)據(jù)安全建模分析引擎進行風險分析，對風險進行分析研判，確定風險真實性，發(fā)現(xiàn)通過接口的方式造成的數(shù)據(jù)安全風險威脅。安全服務人員須及時將API數(shù)據(jù)泄漏風險及時推送并通過分析研判模型進行分類，及時通報預警；5）SQL數(shù)據(jù)泄漏風險監(jiān)測：支持發(fā)現(xiàn)攻擊者利用應用程序或系統(tǒng)漏洞，從數(shù)據(jù)庫內獲取敏感信息的數(shù)據(jù)安全事件。通過數(shù)據(jù)安全建模分析引擎以及安全服務人員進行風險分析研判，確定風險真實性，及時發(fā)現(xiàn)通過SQL語句執(zhí)行過程中發(fā)生的敏感數(shù)據(jù)的泄漏的風險；6）暗網數(shù)據(jù)泄露監(jiān)測，通過全球部署在暗網雷達所挖掘的信息，轉化為暗網數(shù)據(jù)安全情報；安全服務人員實時對暗網中數(shù)據(jù)交易信息進行搜集分析,全面搜集及監(jiān)控暗網中出現(xiàn)的新增泄露數(shù)據(jù)；以情報驅動安全事件窗口前移，建設暗網數(shù)據(jù)泄露風險感知能力，可第一時間發(fā)現(xiàn)暗網數(shù)據(jù)泄露及黑灰產交易，推動及時處置，避免造成嚴重影響；7）數(shù)據(jù)出域風險監(jiān)測，重點針對安全監(jiān)測督導對象可能存在的數(shù)據(jù)跨境傳輸風險進行監(jiān)測，包括對個人信息、敏感數(shù)據(jù)出境等行為進行監(jiān)測，對數(shù)據(jù)跨境爬取、數(shù)據(jù)違規(guī)跨境傳輸?shù)蕊L險進行監(jiān)測告警，及時發(fā)現(xiàn)并支撐處置相關風險行為；8）監(jiān)測預警報告輸出：通過常態(tài)化數(shù)據(jù)安全風險監(jiān)測與預警服務，定期提供風險監(jiān)測與預警報告，報告內容包括但不限于數(shù)據(jù)安全風險類型、風險等級、風險描述、告警情況等。（3）服務交付物1）《數(shù)據(jù)安全風險監(jiān)測預警報告》（4）交付標準1）數(shù)據(jù)安全風險監(jiān)測與預警服務過程需滿足本服務內容表述的相關要求；2）數(shù)據(jù)安全風險監(jiān)測與預警機制需保證風險發(fā)現(xiàn)和預警的即時性，禁止出現(xiàn)有關安全事件未出現(xiàn)預警或預警處置響應時間不足導致安全事件發(fā)生的情況；3）《數(shù)據(jù)安全風險監(jiān)測預警報告》能夠按照采購人要求進行提供；4）所有交付物需保持每周至少1次的報告輸出和備案。2.2.4數(shù)據(jù)安全告警策略優(yōu)化服務（1）服務要求數(shù)據(jù)安全告警策略優(yōu)化服務是對數(shù)據(jù)安全監(jiān)控中產生的大量告警信息進行精細化管理和優(yōu)化的一項重要服務。它旨在解決傳統(tǒng)數(shù)據(jù)安全監(jiān)控中普遍存在的告警泛濫、誤報率高、關鍵告警被忽視等問題，通過規(guī)則調優(yōu)、建模分析等，優(yōu)化告警規(guī)則，自動篩選出真正需要監(jiān)管關注的高風險告警，減少無效告警干擾，提高告警的準確性和時效性。通過持續(xù)優(yōu)化告警機制維護數(shù)據(jù)安全環(huán)境的健康穩(wěn)定。若出現(xiàn)誤報、多報情況，則將情況一同反饋，作為規(guī)則策略優(yōu)化依據(jù)，安全服務人員根據(jù)反饋結果持續(xù)優(yōu)化策略以完善告警的有效性。（2）服務內容1）統(tǒng)計與分析：收集整理存在的誤報、漏報、重復告警，并進一步分析產生的原因，并以針對性的制定告警測繪優(yōu)化方案；2）告警規(guī)則優(yōu)化：包括但不限于針對數(shù)據(jù)安全分析能力的規(guī)則模型參數(shù)進行調優(yōu)，安全告警策略進行調整，安全設備規(guī)則調整；3）高細粒度白名單：因應用開發(fā)或參數(shù)不規(guī)范所引起的告警誤報，確認誤報行為，制定高細粒度白名單避免重復誤報告警；4）告警聚合：針對重復多報等告警行為，制定告警聚合策略，調整相應參數(shù)，實現(xiàn)重復告警的聚合，避免海量重復告警產生告警噪聲；5）規(guī)則驗證：對所優(yōu)化調整的模型規(guī)則進行驗證，確保調整后的模型規(guī)則仍具備相同的檢測與分析能力；6）報告輸出：針對告警優(yōu)化工作進行優(yōu)化過程的詳細記錄，包括優(yōu)化內容、優(yōu)化結果，并編制輸出優(yōu)化報告。（3）服務交付物《數(shù)據(jù)安全告警策略優(yōu)化報告》（4）交付標準1）數(shù)據(jù)安全告警優(yōu)化與監(jiān)測督導服務過程需滿足本服務內容表述的相關要求；2）《數(shù)據(jù)安全告警策略優(yōu)化報告》能夠按照采購人要求進行提供；3）《數(shù)據(jù)安全告警策略優(yōu)化報告》需保持每月至少1次的報告輸出和備案。2.2.5數(shù)據(jù)安全事件分析溯源服務（1）服務要求安全服務人員綜合運用告警數(shù)據(jù)分析、行為分析和日志記錄分析等技術手段，對疑似或已確認的數(shù)據(jù)安全事件進行全面審查，包括但不限于入侵路徑、攻擊手法、受影響范圍、數(shù)據(jù)泄露程度等關鍵細節(jié)，對數(shù)據(jù)安全事件進行深入分析，以確定事件的性質、影響范圍和潛在原因，快速識別和追蹤數(shù)據(jù)泄露或網絡攻擊的源頭，評估事件對安全監(jiān)測督導對象的影響，制定有效的應對措施，并采取行動以防止類似事件再次發(fā)生，針對數(shù)據(jù)安全事件的攻擊方式，利用手段，造成的數(shù)據(jù)安全風險威脅等多維度，對整個數(shù)據(jù)安全事件類型進行判定和梳理，并提出完善且可落地的整改建議，并將上述內容編制并輸出成文檔。（2）服務內容1）數(shù)據(jù)安全事件分析：針對重大數(shù)據(jù)安全事件，利用數(shù)據(jù)安全分析能力單元等工具進行進一步的分析，明確安全事件的性質、影響范圍和潛在原因，評估事件的危害程度和范圍；2）數(shù)據(jù)安全事件調查溯源：將數(shù)據(jù)安全事件進行相關風險的串并，形成安全事件線索，明確數(shù)據(jù)攻擊的源頭，攻擊路徑，受害資產等，支撐數(shù)據(jù)安全事件的處置與修復；3）處置建議與方案：提供有針對性的解決方案和處置建議，協(xié)助并督促相關安全監(jiān)測督導對象進行處置與整改；4）報告輸出：針對數(shù)據(jù)安全事件的詳細情況，以及解決方案等內容進行匯總分析，并編制出詳細的分析溯源報告，并對文檔進行歸檔，支撐后續(xù)類似事件的處置和響應。（3）服務交付物1）《數(shù)據(jù)安全事件分析溯源報告》2）《數(shù)據(jù)安全事件類型梳理及整改建議》（4）交付標準1）數(shù)據(jù)安全事件分析與溯源服務過程需滿足本服務內容表述的相關要求；2）數(shù)據(jù)安全事件分析與溯源服務需保證服務周期內每個自然年總體上具有95%以上的分析溯源成功率；3）所有交付物能夠按照采購人要求進行提供；4）所有交付物需保持每月至少1次的報告輸出和備案。2.2.6數(shù)據(jù)安全事件應急支撐服務（1）服務要求數(shù)據(jù)安全事件應急支撐服務通過安全服務人員制定數(shù)據(jù)安全應急支撐預案，根據(jù)預案制定數(shù)據(jù)安全應急支撐的工作流程；在發(fā)生重大數(shù)據(jù)安全事件時，安全服務人員協(xié)同安全監(jiān)測督導對象，為其提供應急響應過程中的技術支撐、流程支撐以及資源協(xié)調支撐，實現(xiàn)安全服務人員與安全監(jiān)測督導對象雙邊的協(xié)同協(xié)作，全面提高安全監(jiān)測督導對象的應急響應能力和水平，同時也落實了安全服務人員對應急響應過程的支撐義務，實現(xiàn)對整個過程在合規(guī)性、規(guī)范化的監(jiān)督管控。（2）服務內容1）應急支撐預案編制：根據(jù)安全監(jiān)測督導的范圍、安全監(jiān)測督導對象，制定應急支撐的具體流程，明確應急支撐的角色與分工，并編制輸出數(shù)據(jù)安全事件應急支撐預案；2）初期應急支撐：安全監(jiān)測督導對象若發(fā)生重大安全事件，應對安全監(jiān)測督導對象所上報的應急支撐請求進行響應，根據(jù)應急支撐流程和制度，組織數(shù)據(jù)安全專家，對事件進行評級和初步分析，指導后續(xù)應急支撐工作開展；3）中期應急支撐：根據(jù)數(shù)據(jù)安全事件的情況和等級，向數(shù)據(jù)安全監(jiān)測督導對象組織指派數(shù)據(jù)安全專家，協(xié)助進行數(shù)據(jù)安全事件的分析研判，及時遏制和消減避免繼續(xù)產生危害與影響。該數(shù)據(jù)安全專家對整個數(shù)據(jù)安全應急響應的工作進行指導，提供專家級的解決方案建議，并對整個應急響應的流程和工作開展全過程進行監(jiān)督和指導，及時指出該過程中可能存在的不合規(guī)、不規(guī)范的行為；4）后期應急支撐：事件處理結束后，服務人員整理事件分析、事件處理的過程記錄和相關資料，撰寫應急響應服務記錄報告，并指派的數(shù)據(jù)安全專家進行審核，并提出報告修改的建議。安全專家全程參與應急響應的總結復盤會議，對后續(xù)的處置方案進行評估，并提出建議。（3）服務交付物1）《數(shù)據(jù)安全事件應急支撐預案》2）《數(shù)據(jù)安全事件應急支撐報告》（4）交付標準1）數(shù)據(jù)安全事件應急支撐服務過程需滿足本服務內容表述的相關要求；2）《數(shù)據(jù)安全事件應急支撐預案》和《數(shù)據(jù)安全事件應急支撐報告》能夠按照采購人要求進行提供；3）《數(shù)據(jù)安全事件應急支撐預案》需保持每半年至少1次的報告輸出和備案；4）《數(shù)據(jù)安全事件應急支撐報告》需保持每月至少1次的報告輸出和備案。2.2.7數(shù)據(jù)安全監(jiān)督檢查服務（1）服務要求通過定期或者不定期的方式，對安全監(jiān)測督導對象在數(shù)據(jù)安全方面的管理機制、技術措施等多個維度進行安全監(jiān)督檢查，及時發(fā)現(xiàn)安全監(jiān)測督導對象潛在的數(shù)據(jù)安全差距和風險問題，并提出整改建議，督促其整改。安全服務人員須對數(shù)據(jù)安全管理及技術檢查需求進行梳理，明確安全檢查的目的和需求，有針對性的制定詳細的數(shù)據(jù)安全監(jiān)督檢查方案，檢查內容和檢查項；安全服務人員須將通過現(xiàn)場或遠程的方式，按照安全檢查方案開展檢查工作，詳細記錄檢查過程和結果；安全服務人員須對安全檢查的結果進行整理、匯總和分析，分別對各個安全監(jiān)測督導對象提出整改建議，并將問題和建議下發(fā)給各個安全監(jiān)測督導對象，督促其整改；安全服務人員須對整個安全檢查活動進行總結，編制數(shù)據(jù)安全監(jiān)督檢查報告并進行總結匯報。（2）服務內容1）數(shù)據(jù)安全監(jiān)督檢查服務需求梳理，以國家、行業(yè)數(shù)據(jù)安全規(guī)范要求為基礎，結合數(shù)字XX建設相關要求，進行數(shù)據(jù)安全管理檢查需求梳理，應從數(shù)據(jù)安全管理體系為視角，從組織架構、流程機制、職能職責等多維度進行需求梳理；應根據(jù)數(shù)據(jù)安全治理框架，從數(shù)據(jù)全生命周期各個階段，以及各個階段應該具備的關鍵技術能力進行需求梳理；2）數(shù)據(jù)安全監(jiān)督檢查方案編制，根據(jù)數(shù)據(jù)安全服務需求梳理的結果為依據(jù)，以及每次數(shù)據(jù)安全監(jiān)督檢查任務的目的和重點，進行方案的編制，方案應包含人員組織與安排，安全檢查對象與范圍，檢查方式，檢查項及內容，安全檢查的流程等內容，并制定科學有序的數(shù)據(jù)安全監(jiān)督檢查計劃；3）制定數(shù)據(jù)安全監(jiān)督檢查內容：進行數(shù)據(jù)安全監(jiān)督檢查內容和細則的制定，數(shù)據(jù)安全管理監(jiān)督檢查包括但不限于：組織建設、工作機制、管理制度、應急響應、安全培訓等內容；數(shù)據(jù)安全技術監(jiān)督檢查包括但不限于：系統(tǒng)安全情況，分類分級、加密、脫敏、防泄漏、數(shù)據(jù)溯源等防護能力的應用及落實情況；4）開展服務支撐：服務人員定期對安全監(jiān)測督導對象開展數(shù)據(jù)安全監(jiān)督檢查活動，服務人員可利用工具，通過現(xiàn)場及遠程的方式開展檢查工作，并對檢查的內容和結果進行整理分析，向監(jiān)測督導方進行匯報，對所存在的風險問題提供解決方案及整改建議，督促安全監(jiān)測督導對象進行整改。（3）服務交付物1）《數(shù)據(jù)安全監(jiān)督檢查方案》2）《數(shù)據(jù)安全監(jiān)督檢查報告》（4）交付標準1）數(shù)據(jù)安全監(jiān)督檢查服務過程需滿足本服務內容表述的相關要求；2）所有交付物能夠按照采購人要求進行提供；3）所有交付物需保持每季度至少1次的報告輸出和備案。3、安全能力服務3.1安全數(shù)據(jù)接入能力圍繞數(shù)字XX建設“1361”整體架構提供安全數(shù)據(jù)接入能力，須完成至少包括云網、渝快辦、渝快政、三級數(shù)字化城市運行和治理中心、公共數(shù)據(jù)資源管理系統(tǒng)、一體化數(shù)字資源系統(tǒng)、城市感知系統(tǒng)、能力組件管理系統(tǒng)、鄉(xiāng)鎮(zhèn)（街道）一體化治理智治平臺部署的安全組件的安全告警日志、系統(tǒng)日志、審計日志等的采集和匯聚，并完成安全數(shù)據(jù)的接入；同時，完成針對以上應用系統(tǒng)所在政務云出口的全流量數(shù)據(jù)的安全接入。3.1.1安全日志接入重點圍繞部署在XX市政務云的數(shù)字XX“1361”整體架構中的渝快政、渝快辦、三級數(shù)字化城市運行和治理中心、公共數(shù)據(jù)資源管理系統(tǒng)、一體化數(shù)字資源系統(tǒng)、城市感知系統(tǒng)、能力組件管理系統(tǒng)、鄉(xiāng)鎮(zhèn)（街道）一體化治理智治平臺、云網等開展網絡安全日志采集接入，采集相關系統(tǒng)的安全日志，完成安全數(shù)據(jù)的收集及同步。采集到相關系統(tǒng)的安全日志數(shù)據(jù)后，須接入網絡安全分析能力與數(shù)據(jù)安全分析能力組件進行統(tǒng)一分析管理。（1）性能要求1）支持syslog和kafka的采集方式，其中單節(jié)點syslog方式支持15000EPS；2）實時計算速度大于1Gb/s；3）數(shù)據(jù)接入速度大于1Gb/s；（2）功能要求1）提供主動、被動采集/收集目標日志，包括SNMPTrap、Syslog、JDBC、文件\文件夾、FTP、SFTP、NetBIOS、OPSEC等多種方式完成日志采集/收集功能，支持agent代理采集，支持對KAFKA數(shù)據(jù)源采集，日志采集過程中需支持根據(jù)最小EPS、最大EPS、限流百分比等維度進行限流；2）提供對無用日志的自動過濾能力，過濾條件可以按照所有范式化后的字段屬性來定義，包括但不限于源IP、目的IP、源端口、目的端口、時間、事件名稱、事件類型等，減少垃圾數(shù)據(jù)數(shù)量；3）提供范式化文件在線編輯功能，通過在線編輯范式化文件能夠快速調試解析文件，方便運維人員調試；4）提供對無用信息的自動合并功能，支持設定合并的時間范圍，合并條件可以按照所有范式化后的字段屬性來定義，包括但不限于源IP、目的IP、源端口、目的端口、時間、事件名稱、事件類型等，減少垃圾數(shù)據(jù)數(shù)量；5）提供以SNMPTrap、Syslog、JDBC、文件\文件夾、FTP、SFTP、NetBIOS、OPSEC等多種方式完成日志收集的能力，支持對KAFKA數(shù)據(jù)源采集；6）提供對日志信息進行分類的能力，分類按照安全事件的類型，而不是日志的設備類型，事件類型不少于10種大類，50種小類；7）提供通過WEB配置的方式選擇特定的數(shù)據(jù)源進行解析的能力，同時支持拖拽式的方式選擇對應的解析動作，解析動作至少支持正則表達式、JSON、CSV、IP透傳等方式；8）提供日志加密壓縮方式轉發(fā)能力，支持分流轉發(fā)，針對轉發(fā)給不同的目標服務器支持配置不同的過濾器；3.1.2出口流量接入為保障數(shù)字XX“1361”各系統(tǒng)網絡安全，重點圍繞渝快政、渝快辦、三級數(shù)字化城市運行和治理中心、公共數(shù)據(jù)資源管理系統(tǒng)、一體化數(shù)字資源系統(tǒng)、城市感知系統(tǒng)、能力組件管理系統(tǒng)、鄉(xiāng)鎮(zhèn)（街道）一體化治理智治平臺等所屬政務云出口，完成出口全流量的數(shù)據(jù)接入和采集，完成檢測數(shù)據(jù)向網絡安全分析能力單元的轉發(fā)。（1）性能要求1）網絡吞吐量≥20Gbps；2）流量數(shù)據(jù)采集支持不少于3000類應用協(xié)議的識別和解析，應用協(xié)議有效識別率不低于95%；（2）功能要求1）提供IPv4地址或IPv6地址配置接口服務能力，提供旁路IPv4和IPv6的IP阻斷、URL重定向、DNS重定向能力；2）實現(xiàn)網絡流量數(shù)據(jù)采集、威脅檢測和日志外發(fā)，具備阻斷TCP威脅會話連接能力，提供通過流量被動識別資產的能力；3）提供解析、生成及外發(fā)TCP/UDP/web訪問/域名解析/LADP行為/登錄動作/郵件行為/數(shù)據(jù)庫操作/SSL加密協(xié)商/異常報文/智能應用/ICMP等日志能力；4）提供基于源地址、目的地址、服務、流量采樣比、時間進行選擇數(shù)據(jù)采集對象的能力，可以針對采集對象進行網絡流量數(shù)據(jù)采集和威脅檢測數(shù)據(jù)采集，網絡流量數(shù)據(jù)采集支持自定義流量載荷的格式和流量上下行載的長度；5）提供惡意文件檢測、漏洞檢測、web威脅檢測、間諜軟件檢查、網絡層攻擊檢測能力；6）提供HTTPS流量解密能力，可添加基于源地址、目的地址的解密策略。7）具備語言環(huán)境關聯(lián)分析技術，精準識別網絡攻擊及威脅應用；3.1.3API接口信息為保障數(shù)字XX“1361”各系統(tǒng)數(shù)據(jù)接口安全，重點圍繞渝快政、渝快辦、三級數(shù)字化城市運行和治理中心、公共數(shù)據(jù)資源管理系統(tǒng)、一體化數(shù)字資源系統(tǒng)、城市感知系統(tǒng)、能力組件管理系統(tǒng)、鄉(xiāng)鎮(zhèn)（街道）一體化治理智治平臺等的數(shù)據(jù)接口，部署接口數(shù)據(jù)信息檢測能力，實現(xiàn)對API接口信息與風險的識別，并將相關信息向數(shù)據(jù)安全分析能力單元進行轉發(fā)。（1）性能要求1）流量處理能力≥10Gbps；2）http事件解析并發(fā)量≥20000QPS；3）支持敏感數(shù)據(jù)標簽數(shù)≥100；4）支持審計API數(shù)≥10W；5）可審計單日志大小≥16MB；6）支持主體行為風險識別類型≥20；7）支持漏洞檢測規(guī)則≥3000；（2）功能要求1）提供通過鏡像流量方式進行流量數(shù)據(jù)采集的能力，提供日志接入能力，實現(xiàn)接口行為審計；2）具備IPv6環(huán)境下監(jiān)測的能力，支持IPv6標準協(xié)議且具有良好的一致性和互通性。3）提供資產發(fā)現(xiàn)與管理能力，支持從網絡流量中還原應用層資產數(shù)據(jù)，包括應用、文件、API、賬號，可對資產進行分類管理和展示；4）提供列表結構呈現(xiàn)應用清單的能力，展示包括應用名稱、應用域名、IP端口、訪問量、訪問域、部署域、生命周期、狀態(tài)、發(fā)現(xiàn)時間、活躍時間等基本信息；展示關聯(lián)資源數(shù)包括：關聯(lián)API數(shù)、關聯(lián)文件數(shù)、關聯(lián)賬號數(shù)等統(tǒng)計信息。展示系統(tǒng)識別的應用傳輸?shù)恼埱髷?shù)據(jù)標簽、返回數(shù)據(jù)標簽；5）提供自定義API打標策略的能力，可細粒度配置到請求方式、請求URL、請求頭、請求體、響應碼、響應頭、響應體、四元組、API

類型等，支持對以上維度進行組合配置，部分指標支持：正則匹配、敏感數(shù)據(jù)種類、敏感數(shù)數(shù)量識別、此項缺失等方式進行配置；6）提供API審計能力，支持API接口數(shù)據(jù)審計，審計內容包括API請求頭/請求體、API響應頭/響應體，可識別敏感數(shù)據(jù)和傳輸文件；7）提供根據(jù)API賬號提取配置自動對日志的操作對象賬號進行賬號提取的能力，具備自動賬號提取配置，或手動對

API

設置賬號提取配置的能力；8）內置40+脆弱性風險策略，至少包括：敏感接口未鑒權、認證令牌有效期過長、水平越權、脫敏策略不一致、任意文件讀取、源代碼泄漏、系統(tǒng)信息泄漏、敏感文件泄露等，內置3000+應用漏洞監(jiān)測規(guī)則，其中包括90+未授權漏洞監(jiān)測規(guī)則，覆蓋Apache

Spark、OpenAPI、Weblogic等常用組件未授權漏洞監(jiān)測、500+敏感文件泄漏監(jiān)測規(guī)則，900

+命令執(zhí)行漏洞監(jiān)測規(guī)則；9）提供數(shù)據(jù)溯源能力，支持對風險事件關聯(lián)的審計日志進行數(shù)據(jù)溯源，包括客戶端、訪問方式、應用、請求與響應、文件等內容的功能;10）提供風險告警能力，系統(tǒng)內置風險策略庫，也可基于關鍵詞、正則、文件類型、IP組、時間、組織架構等檢測因子自定義風險規(guī)則及策略，并產生風險告警日志。3.1.4敏感數(shù)據(jù)信息為保障數(shù)字XX“1361”各系統(tǒng)數(shù)據(jù)安全，重點圍繞渝快政、渝快辦、三級數(shù)字化城市運行和治理中心、公共數(shù)據(jù)資源管理系統(tǒng)、一體化數(shù)字資源系統(tǒng)、城市感知系統(tǒng)、能力組件管理系統(tǒng)、鄉(xiāng)鎮(zhèn)（街道）一體化治理智治平臺等的敏感數(shù)據(jù)安全，部署敏感數(shù)據(jù)監(jiān)測能力，實現(xiàn)網絡層面的敏感數(shù)據(jù)外發(fā)、敏感數(shù)據(jù)泄漏等風險的全面檢測和識別，并將相關信息向數(shù)據(jù)安全分析單元進行轉發(fā)。（1）性能要求1）最大吞吐量≥10Gbps；2）每秒處理HTTPPOST連接數(shù)（POST文件大小為15kBytes）≥200個；3）每秒處理SMTP郵件數(shù)（郵件大小50kBytes）≥160封；4）HTTP協(xié)議吞吐率≥1000Mbps；5）SMTP協(xié)議吞吐率≥200Mbps；（2）功能要求1）提供實時雙向流量的內容審計能力，具備對上傳和下載文件內容進行識別和過濾的能力；2）具備識別常見的文件類型及內容：辦公類：doc、docx、xlsx、xls、xlsm、xltm、ppt、pptx、pps、docm、pdf、wps等；圖片類/OCR識別：jpg、jpeg、png、bmp、gif、tif、tiff等；壓縮類：rar、zip、7z、tar，war等，支持處理壓縮炸彈，壓縮層級支持設置；文本類：txt、rtf；源代碼類：c++、cs、php、py、js、java、class、go、bat、vb、vbs、vbe等；設計圖紙類：dwg、dxf；音視頻類（類型識別）：amr、wmv、mov、wma等；3）提供數(shù)據(jù)標識符識別能力，包括身份證、銀行卡、手機號、車牌號、護照、地址、郵箱、軍官證、MAC地址、金額、臺胞證、港澳通行證、常用姓等；4）提供異常數(shù)據(jù)安全行為識別能力，發(fā)現(xiàn)非工作時間操作、高頻訪問、超量外發(fā)、點滴式泄露等異常行為。協(xié)助采購人排查內部風險人員（待離職、內鬼、疏忽大意的員工等）；5）提供語義模型、無監(jiān)督學習，生成自動分類模型，通過用戶上傳文件夾，依據(jù)相似度自動對文件進行聚類，并生成文件關鍵詞及其權重。3.1.5數(shù)據(jù)資產信息重點圍繞數(shù)字XX“1361”整體架構中的渝快政、渝快辦、三級數(shù)字化城市運行和治理中心、公共數(shù)據(jù)資源管理系統(tǒng)、一體化數(shù)字資源系統(tǒng)、城市感知系統(tǒng)、能力組件管理系統(tǒng)、鄉(xiāng)鎮(zhèn)（街道）一體化治理智治平臺等的數(shù)據(jù)資產安全，部署數(shù)據(jù)資產測繪能力，對相關系統(tǒng)的數(shù)據(jù)庫的資產進行全面掃描測繪，對相關風險進行識別分析，并將數(shù)據(jù)資產信息回傳至數(shù)據(jù)安全分析能力組件進行分析及管理。（1）性能要求1）支持數(shù)據(jù)庫表量級≥1000萬列；2）支持數(shù)據(jù)源類型≥40；3）數(shù)據(jù)表資產信息展示≥15；4）數(shù)據(jù)字段資產展示信息≥10；5）個人信息相關識別規(guī)則≥200條；（2）功能要求1）提供通過指定IP段、端口方式，定時掃描當前網絡環(huán)境下的數(shù)據(jù)庫資產的能力；2）敏感數(shù)據(jù)信息識別安全能力支持數(shù)據(jù)庫類型包括但不限于MySQL、Oracle、PostgreSQL、UXDB、MSSQL、MariaDB、Informix、Sysbase、DM、DB2、GBase、CacheDB、KingBase、Oscar、Oceanbase、GoldenDB、TiDB、MyCat、DBLE、DRDS、Hive、Inceptor、Impala、MongoDB、Elasticsearch、ClickHouse、GreenPlum、Hbase、ODPS、PolarDB、TeraData、Vertica、Gauss100、Gauss200、HANA等；3）提供對于數(shù)據(jù)源中所包含的數(shù)據(jù)質量進行評估的能力，評估指標包含：字段總數(shù)、字段注釋存在數(shù)、有含義的字段注釋數(shù)、有含義的字段注釋去重數(shù)、表總數(shù)、表注釋存在數(shù)、有含義的表注釋數(shù)、有含義的表注釋去重數(shù)；4）提供有監(jiān)督學習模型的訓練能力，模型算法包括傳統(tǒng)集成學習、快速神經網絡、深度神經網絡等至少3種類型，并可支持配置訓練輪數(shù)、學習率等參數(shù)，以便滿足不同場景的學習訓練要求；5）內置不少于2600種數(shù)據(jù)庫漏洞庫，提供風險檢測的數(shù)據(jù)庫漏洞檢測，至少包括但不限于漏洞名稱、CVE編號、漏洞等級、漏洞描述、解決建議、數(shù)據(jù)庫類型、數(shù)據(jù)庫版本等信息；6）提供精確的敏感數(shù)據(jù)識別能力，通過對接聯(lián)動數(shù)據(jù)安全分析能力服務中的安全智能體，利用安全大模型對所識別的數(shù)據(jù)資產進行類別和級別的判定，進一步支撐敏感數(shù)據(jù)的監(jiān)測督導工作；3.2安全數(shù)據(jù)管理能力3.2.1數(shù)據(jù)采集（1）網絡流量日志采集1）支持對流量采集器進行新增、編輯、刪除、清除未解析日志等操作。支持按照采集器狀態(tài)（全部、在線、離線）對的采集器進行過濾顯示；2）支持查看最新未解析的日志信息，支持根據(jù)下拉選擇編碼方式（包括UTF-8、Unicode、ASCII、GBK、GB2312等）切換未解析日志的編碼；3）支持根據(jù)采集方式過濾顯示未解析日志，支持導出和清除未解析日志；4）支持呈現(xiàn)數(shù)據(jù)源IP、數(shù)據(jù)源名稱、狀態(tài)、端口、收到最近一條日志時間和描述等。（2）流量日志告警采集1）提供網絡攻擊告警采集分析能力，包括DDOS攻擊、后門攻擊、漏洞攻擊、網絡掃描竊聽、干擾事件等；2）提供有害程序告警采集分析能力，包括勒索病毒、蠕蟲、特洛伊木馬、僵尸網絡、混合攻擊程序、網頁內嵌惡意代碼事件等；3）提供主機層安全告警采集分析能力，包括暴力破解、端口掃描、漏掃掃描與利用、Bash主動外聯(lián)、異常主機行為、異常進程，異常賬號行為等；4）提供應用層安全告警采集分析能力，包括WEB漏洞掃描、WEBSHELL行為、網站JAVASCRIPT掛馬、網頁篡改、域名劫持、惡意文件傳播、不良信息傳輸、業(yè)務邏輯漏洞利用等；5）支持查看最新未解析的告警信息，支持根據(jù)下拉選擇編碼方式（包括UTF-8、Unicode、ASCII、GBK、GB2312等）切換未解析日志的編碼；6）支持對于采集器的topic配置、端口設置、日志插件的啟停配置以及kafka集群配置等；7）支持對采集器的數(shù)據(jù)源管理，包括采集器名稱、類型、狀態(tài)、IP地址、未解析日志累計值和描述等。（3）存量安全日志采集1）支持對主流的網絡設備、主機系統(tǒng)等安全日志、網絡流量以及業(yè)務信息等多種數(shù)據(jù)源的采集；2）支持對接入數(shù)據(jù)進行標準化梳理，將數(shù)據(jù)歸一化處理為統(tǒng)一格式的指定類型數(shù)據(jù)；3）內置不少于500種日志類型、覆蓋不少于50類設備的數(shù)據(jù)解析規(guī)則；4）支持Syslog、SNMPTrap、Netflow、JDBC、WMI、FTP、SFTP、agent等采集方式。支持對日志采集器進行采集配置并下發(fā)。（4）日志采集技術標準1）支持目前包括但不限于主流安全設備、網絡設備、主機、數(shù)據(jù)庫、中間件、應用系統(tǒng)和虛擬化系統(tǒng)等；2）支持常見的虛擬機環(huán)境日志收集，至少包括Xen、VMWare、Hyper-V等；3）可以通過自定義配置進行日志過濾；4）支持對收集到的重復的日志進行自動的聚合歸并，減少日志量；5）支持將收集到的日志轉發(fā)，當原始日志設備無法設置多個日志服務器時，可以通過日志轉發(fā)功能將日志轉發(fā)到其他日志存儲設備；6）支持多種采集協(xié)議，以實現(xiàn)對各類數(shù)據(jù)的采集，包括不限于安全對象屬性、運行狀態(tài)、安全事件、評估與檢測等數(shù)據(jù)；7）支持對全流量威脅進行識別，并通過雙向流量檢測對網絡流量行為判定，識別出病毒、木馬、敏感信息等異常行為；8）支持多種網絡協(xié)議的深度解析，包括Netflow，HTTP、DNS、FTP、FTP、TFTP、SMTP、POP3、IMAP、SMB、TELNET、LDAP、KRB5、SSH、TLS、IKEV2等協(xié)議的深度解析和登錄行為審計、文件通信審計、流量會話行為等行為識別，從而發(fā)現(xiàn)隱蔽威脅和潛伏型攻擊；9）支持根據(jù)數(shù)據(jù)包特征和流量行為對流量進行深度解析，包括行為審計、探測掃描、漏洞利用、可疑通信、DDOS、惡意程序、配置風險、賬號異常、主機異常、Web攻擊、惡意文件及病毒攻擊、異常威脅、異常用戶名登錄請求、可疑執(zhí)行代碼等非正常和非RFC遵從的請求行為以風險級別實時呈現(xiàn)，為威脅風險分析和管理提供依據(jù)；10）針對網絡中所有在線設備進行自主網絡掃描和深入識別，獲取資產的網絡地址、系統(tǒng)網絡指紋、系統(tǒng)開放端口和服務指紋，并根據(jù)積累和運營的指紋庫裁定每個資產的類型、操作系統(tǒng)、廠商信息等；11）支持主動的系統(tǒng)、應用層、中間件、數(shù)據(jù)庫漏洞檢測，漏洞庫具備實時更新和自定義功能；可檢測主流windows、Linux、國產操作系統(tǒng)漏洞；內置通用性弱口令字典，并可增加自定義字典。3.2.2數(shù)據(jù)治理（1）數(shù)據(jù)處理流程1）提供自定義數(shù)據(jù)解析規(guī)則的能力。提供自定義解析規(guī)則功能，可根據(jù)應用場景，通過在線簡捷配置，選擇插件、正則表達式、分隔符、Key-Value、JSON等方法定義解析規(guī)則，用于后續(xù)的日志格式范式化；2）提供自定義過濾規(guī)則功能，通過配置AND、OR等嵌套關聯(lián)邏輯、條件及操作符來實現(xiàn)復雜的日志過濾需求，減少無用日志數(shù)量。支持導入導出，格式為xml或壓縮包；3）提供數(shù)據(jù)轉換流程定義的能力，提供信息預處理功能，可以通過簡捷配置相關解析規(guī)則、過濾規(guī)則、富化規(guī)則、日志類型，來達到歸一化、過濾、富化、分類日志信息的目的。支持流程創(chuàng)建，流程導入，流程導出，并對流程進行調試、配置；4）提供數(shù)據(jù)補全能力，根據(jù)數(shù)據(jù)格式的統(tǒng)一要求，以及通過給定的數(shù)據(jù)補全規(guī)則，實現(xiàn)對于數(shù)據(jù)源中缺失的數(shù)據(jù)項的補充；5）提供自定義富化規(guī)則功能，可引用值映射表來實現(xiàn)富化規(guī)則，達到豐富日志信息的目的。支持將各個規(guī)則進行組合，方便數(shù)據(jù)處理配置引用；6）支持將標準化數(shù)據(jù)與基礎數(shù)據(jù)、知識數(shù)據(jù)進行關聯(lián)，完善和補充基礎數(shù)據(jù)、知識數(shù)據(jù)；7）支持對數(shù)據(jù)打上標簽，結合知識圖譜，將數(shù)據(jù)進行有效的標識；8）支持按照數(shù)據(jù)來源、數(shù)據(jù)類型、數(shù)據(jù)屬性等維度對數(shù)據(jù)進行分類。數(shù)據(jù)來源包括各類安全數(shù)據(jù)、流量數(shù)據(jù)、情報數(shù)據(jù)、資產數(shù)據(jù)等。數(shù)據(jù)類型是從不同的維度區(qū)分，如IP、設備等；9）支持對集群各個節(jié)點的健康狀態(tài)，以及數(shù)據(jù)采集、處理、存儲等全流程的各個日志處理環(huán)節(jié)的性能和運行狀況；（2）流程管理1）支持可視化的流程的創(chuàng)建，能夠將流程的各個節(jié)點插件拖拽進來，使用連線將其連接，編輯節(jié)點屬性實現(xiàn)流程的創(chuàng)建；2）支持基于預置的輸入類、編碼類、富化類、輸出類、控制類和第三方插件等多個插件為接收到的數(shù)據(jù)進行可視化的解析、轉換、富化、存儲等數(shù)據(jù)處理工作；3）支持針對數(shù)據(jù)接入流程的調試功能，包括單步、斷點、執(zhí)行到此、由此執(zhí)行、退出調試等；（3）規(guī)則管理1）支持通過正則表達式、分隔符、KEY-VALUE和JSON等方式對日志進行提取、解析、清洗，并可以定義前置過濾規(guī)則；2）支持AND、NOT和OR三種語義，可以針對解析規(guī)則解析出來的特征字段進一步清洗和轉換，包括過濾規(guī)則名稱、日志類型、是否引用、創(chuàng)建者、修改時間、描述等；3）支持根據(jù)解析規(guī)則解析出來的源字段生成新的字段，從而實現(xiàn)數(shù)據(jù)的關聯(lián)、映射等；（4）插件管理：支持自定義編寫插件應用，以及進行復雜判斷和運算邏輯的運行計算能力，支持對于插件的操作，包括：導入、導出、刪除、查看等；（5）配置管理1）支持對數(shù)據(jù)接入的服務參數(shù)進行配置管理，包括新增配置、配置導入、配置導出、一鍵升級、編輯、刪除和復制；2）支持針對字段富化成新值的映射表管理；3.2.3數(shù)據(jù)管理（1）元數(shù)據(jù)管理1）提供數(shù)據(jù)標準目錄的管理能力，支持基礎標準主題的維護；2）提供數(shù)據(jù)標準信息管理的能力，包括數(shù)據(jù)標準信息項和數(shù)據(jù)標準分類詳情。能夠支持數(shù)據(jù)標準的數(shù)據(jù)項設置，包括但不限于標準編碼、標準中文名稱、標準英文名稱、數(shù)據(jù)長度、數(shù)據(jù)精度、度量單位、樣例數(shù)據(jù)、制定依據(jù)、業(yè)務規(guī)則、內容描述、自動關聯(lián)信息分類編碼標準等；3）提供數(shù)據(jù)業(yè)務類型的管理的能力，支持對數(shù)據(jù)業(yè)務類型的添加、編輯、刪除、復制、批量刪除等操作，能夠管理和設置不同數(shù)據(jù)源的數(shù)據(jù)物理類型與數(shù)據(jù)業(yè)務類型的映射關系，包括：MySQL、Hbase、Hive、HDFS、ElasticSearch、PostgreSQL、clickhouse等；4）內置網絡安全的信息分類編碼標準，包括：公共代碼、業(yè)務系統(tǒng)、告警主題、資產主題、事件主題、漏洞主題等。支持對信息分類編碼的新建、導入、導出、檢索等操作；5）提供數(shù)據(jù)質量的檢測能力，能夠支持檢測規(guī)則的配置，包括數(shù)據(jù)規(guī)范性檢測、數(shù)據(jù)一致性檢測、數(shù)據(jù)唯一性檢測；6）提供實現(xiàn)數(shù)據(jù)質量的評分的參數(shù)權重配置的能力，能夠對于數(shù)據(jù)表質量的有效性、一致性、唯一性、準確性、及時性、數(shù)據(jù)完整性的評分權重進行配置；（2）數(shù)據(jù)倉庫1）提供數(shù)據(jù)庫管理能力，以列表的方式呈現(xiàn)數(shù)據(jù)庫名稱、英文名稱、描述、創(chuàng)建人、元數(shù)據(jù)更新時間、物理數(shù)據(jù)表數(shù)等；2）提供基于數(shù)據(jù)庫存儲趨勢、數(shù)據(jù)生產/消費趨勢、業(yè)務元數(shù)據(jù)分析、質量分析、數(shù)據(jù)庫質量分析等情況進行監(jiān)控和分析的能力。數(shù)據(jù)庫存儲趨勢支持按照6類時間維度進行統(tǒng)計分析：最近一天、最近一周、最近一個月、最近三個月、最近半年、最近一年；（3）數(shù)據(jù)服務：提供API數(shù)據(jù)服務或文件數(shù)據(jù)服務的管理能力，包括服務名稱、服務描述、創(chuàng)建時間、服務類型、服務進度、支持周期、服務狀態(tài)等，支持對于數(shù)據(jù)服務的添加、復制、刪除、批量刪除、批量注銷等功能。3.2.4數(shù)據(jù)存儲（1）數(shù)據(jù)匯聚存儲1）支持主流的數(shù)據(jù)備份技術，支持在線對其字段信息、存儲方式（冷數(shù)據(jù)存儲、熱數(shù)據(jù)存儲）存儲時間、分區(qū)方式等基礎屬性信息進行配置，從而達到分類存儲日志的目的；2）提供在線對日志類型進行增、刪、改、查、導入導出等管理操作的能力，導入導出格式為Excel(xlsx)或壓縮包，Excel(xlsx)單個文件上限2W條；3）提供存儲狀況信息和期望保留天數(shù)、日志重要度、日志類型分組等管理能力；4）提供對于磁盤使用率的實時查看，并且展示磁盤中ES或者HIVE的使用情況。（2）存儲技術標準1）提供多種標準協(xié)議接口，便于應用系統(tǒng)的開發(fā)，便于第三方系統(tǒng)的對接；2）支持通過防火墻策略，對主機和端口進行安全加固保障服務安全；3）支持使用ldap和kerberos進行認證；4）支持通過用戶組、用戶、角色、權限的細粒度管控實現(xiàn)訪問控制安全；6）支持單節(jié)點不低于2萬EPS的寫入；7）支持采用集群化分布式存儲結構，支持通過標準結構的形式對外提供服務。8）提供數(shù)據(jù)提取轉化加載等基本數(shù)據(jù)清洗等能力，支持復雜的數(shù)據(jù)挖掘工作；9）支持拓撲關系的可視化及搜索、具備可視化界面以關聯(lián)圖的方式顯示對象和它們之間的關聯(lián)關系；10）支持對圖片、視頻、流量包、惡意樣本等進行存儲，支持各類小文件KB、大文件GB級統(tǒng)一加載存儲，底層存儲引擎可以靈活配置支持Hbase、Cassandra等，加載接口支持標準的Http/Https協(xié)議上傳、下載。3.3網絡安全分析能力3.3.1資產匹配與規(guī)則配置（1）原始資產匹配1）提供對資產信息快捷檢索的能力,支持按不同檢索條件對所有原始資產信息進行檢索匹配，檢索結果按照不同的資產類型進行分類展示；2）提供快捷模式和高級模式（SQL語句）兩種匹配檢索模式；3）提供組合建設能力，支持根據(jù)資產類型、檢索語句等形式進行組合檢索；（2）置信度規(guī)則配置1）支持根據(jù)不同的數(shù)據(jù)源配置不同的數(shù)據(jù)置信度，自動采納高優(yōu)先級的數(shù)據(jù)來源；2）提供基于規(guī)則條件對置信度規(guī)則配置能力，包括數(shù)據(jù)源廠商、數(shù)據(jù)源名稱、設備IP、部署位置、獲取方式等。（3）資產運營分析1）提供多種內置的歸屬規(guī)則自動進行資產歸屬判定；2）提供運營規(guī)則自動解決資產運營過程中出現(xiàn)的沖突、納管、融合過程場景下的問題；3）提供資產忽略規(guī)則的配置能力，自動忽略重復資產，避免重復資產的發(fā)現(xiàn)。3.3.2脆弱性分類驗證（1）主機漏洞1）支持對主機漏洞數(shù)據(jù)進行分析，包括漏洞類型分布情況，漏洞危害等級分布情況等；2）支持以列表視圖的方式呈現(xiàn)主機漏洞數(shù)據(jù)，從而對漏洞進行查詢并對具體詳情內容和修復的狀態(tài)進行分析；3）支持對主機漏洞的影響面進行分析，包括受影響的資產，首次發(fā)現(xiàn)時間和最近發(fā)現(xiàn)時間等；4）支持對主機漏洞修復情況進行分析，對主機漏洞修復狀態(tài)變更，包括未修復、已修復、誤報和不修復等。（2）WEB漏洞1）支持對WEB漏洞數(shù)據(jù)進行分析，包括漏洞類型分布情況，漏洞危害等級分布情況等；2）支持以列表視圖的方式呈現(xiàn)web漏洞數(shù)據(jù)，從而對漏洞進行查詢并對具體詳情內容和修復的狀態(tài)進行分析；3）支持對web漏洞的影響面進行分析，包括受影響的資產，首次發(fā)現(xiàn)時間和最近發(fā)現(xiàn)時間等；4）支持對WEB漏洞修復情況進行分析，對WEB漏洞修復狀態(tài)變更，包括未修復、已修復、誤報和不修復等。（3）配置核查1）支持對配置核查相關問題數(shù)據(jù)進行分析，包括受影響主機分布情況，漏洞危害等級分布情況等；2）支持以列表視圖的方式呈現(xiàn)配置核查問題數(shù)據(jù)，從而對配置核查問題進行查詢并對具體詳情內容和修復的狀態(tài)進行分析。3）支持對配置核查的影響面進行分析，包括受影響的資產，首次發(fā)現(xiàn)時間和最近發(fā)現(xiàn)時間等；4）支持對配置核查修復情況進行分析，對配置核查修復狀態(tài)變更，包括未修復、已修復、誤報和不修復等。（4）弱口令（1）支持對弱口令相關問題數(shù)據(jù)進行分析，包括受影響主機分布情況，服務名稱和端口分布情況等；（2）支持以列表視圖的方式呈現(xiàn)弱口令數(shù)據(jù)，從而對弱口令問題進行查詢并對具體詳情內容和修復的狀態(tài)進行分析；（3）支持對弱口令的影響面進行分析，包括受影響的資產，首次發(fā)現(xiàn)時間和最近發(fā)現(xiàn)時間等；（4）支持對弱口令修復情況進行分析，對弱口令修復狀態(tài)變更，包括未修復、已修復、誤報和不修復等。（5）漏洞庫管理（1）支持對漏洞分布情況進行統(tǒng)計分析，包括每日漏洞情況，公共漏洞情況及本地自身維護的漏洞情況等；（2）支持對漏洞字段分析包括是否NOX認證、漏洞發(fā)布時間、漏洞名稱、漏洞類型、危害等級、漏洞編號、CVE編號、CNNVD編號、CNVD編號、其他編號、漏洞來源、威脅類型等維度；（3）提供漏洞影響面評估能力，可對