毕节市中医医院态势感知平台及探针项目市场询价公告
2022-10-21 15:12:59信息科
各(潜在)供应商:
为提高毕节市中医医院网络安全性能,我院将采购态势感知平台及探针,现针对该项目进行市场询价。
相关要求如下:
一、资格条件
1、必须是来自中华人民共和国境内注册、法律上有独立承担民事责任能力法人或其他组织,并具有本项目经营、供货或服务能力。
2、必须具备本项目经营许可证或相应的许可资格,并在有效期内。
3、本项目不接受联合体报名。
二、需提交的材料
1、供应商的《企业营业执照》副本复印件(营业范围要求具备符合计算机类相关经营范围)。
2、企业法定代表人证明书及法定代表人身份证复印件或授权的委托证明书及被授权人身份证复印件。
3、根据设备清单提供建设方案、产品报价单及联系方式。
4、其他与本项目有关的资料。
上述材料加盖公章,扫描为PDF格式,发至指定邮箱。
三、调研需求
1、项目内容:态势感知平台及探针。
序号 | 产品名称 | 功能项 | 描述 |
1 | 态势感知 | 硬件配置 | 1、2U,2*CPU(10核),128G内存,256G SSD系统盘,4*8TB SATA硬盘,2个千兆电口,4个千兆光,3个接口扩展槽位,含交流冗余电源模块 |
2 | 设备性能 | 平均处理能力(每秒日志解析能力EPS)不小于1000EPS | |
3 | 数据采集 | 1、 内置600+设备日志解析规则查看以及筛选,包括但不限于网络设备(防火墙、交换机、网关)、安全设备(入侵检测设备、WEB攻击防护设备、APT检测设备、防火墙、网络审计、流量探针等)、终端主机日志、数据库等 | |
2、支持界面化配置规范化规则采集第三方日志实现异构日志格式归一化。解析规则支持正则表达式等前置过滤方式及json、kv、csv、正则表达式类型的解析规则,支持界面划取字段配置、多级解析提取嵌套字段、配置规范化规则对解析提取的字段进行字段类型、名称、取值规范化 | |||
3、 支持外部备份机制,支持超长日志存储,支持通过NFS自动备份日志到外部服务器上,支持备份日志自动加密存储,支持内外部存储统一展示,支持外部备份文件可恢复可搜索 | |||
4 | 态势呈现 | 1、支持所监测网络安全情况的态势呈现能力,态势呈现包括但不限于综合安全态势、外部威胁态势、内部威胁态势、外连威胁态势、脆弱性态势、资产态势、运维响应态势 | |
2、支持对综合安全态势的可视化呈现,包括但不限于网络安全风险等级评分、风险资产Top5、风险资产组Top5、风险资产等级分布、外部攻击源地区Top5、外部威胁类型Top5、内部威胁攻击者Top5、内部威胁类型Top5、发起外连资产Top5、外连威胁类型Top5、风险资产状态分布、主机漏洞Top5、主机脆弱性资产Top5、网站漏洞Top5、网站脆弱性资产Top5、安全事件列表等,支持在世界和中国地图上实时动态展示攻击炮,点击可下钻,支持大屏在十四个备选模块中灵活组合、切换展示。 | |||
3、支持纵深防御体系可视化,边界防御、内网防御、安管中心动态展示安全建设运营效果,运营效率数字量化,响应手段可视化,包括但不限于处置效率统计、风险资产、安全事件、安全漏洞、设备联动的处置状态分布、处理历史列表展示等,支持大屏下钻 | |||
5 | 威胁检测与分析 | 1、支持规则分析能力,应支持不少于300种内置分析识别规则并支持内置规则的升级,支持用户自定义规则,用户自定义规则可以支持导入导出 | |
2、支持对失陷资产进行判定并提供失陷资产的判定依据,包括但不限于失陷资产概要信息、攻击结果、攻击链分布阶段、失陷资产的攻击过程及过程判定依据如攻击特征、流量上下文、关联的告警日志及流量日志以及pcap包下载,并可快速扩展该失陷资产的全部攻击事件以及该失陷资产攻击者发起的攻击、该失陷资产的同类型威胁事件 | |||
3、 支持简易模式和专家模式的两种自定义规则,可支持用户在选择日志类型、设置常见日志类型字段过滤条件之后,即可新建或编辑规则,从而生成事件。支持行为分析、多源关联分析、机器学习等多种分析模式,同时可按需自定义生成的事件模版信息如威胁等级、攻击链阶段、事件类型、攻击意图等 | |||
4、支持主机、应用等弱口令访问行为的检测,弱密码应加密展示且需要管理员的二次独立认证授权后方可查阅明文弱口令。同时支持批量导出弱口令帐号能力以便于弱口令帐号的分发整改 | |||
5、 支持远程控制控制风险行为的检测,如向日葵、TeamViewer、远程连接windows命令行、远程控制工具等 | |||
6、 支持基于资产维度的风险资产视角分析,支持展示失陷主机、高风险主机、低风险主机,支持总数/今日新增数/已处置数,支持风险资产组Top5/Top10展示,支持今天/近7天/近30天的数据展示切换,支持资产列表展示,支持主机IP、主机名等多种条件进行查询,查询结果支持导出为Excel文件,支持自定义列表中展示的列,支持资产列表中跳转到一键响应/加入白名单/变更状态/详情,支持基于资产组/业务视图/组织架构进行风险资产统计分析。支持攻击者视角/被攻击者视角的攻击情况展示,支持资产名称、资产IP、所属资产组、所属业务视图、所属组织机构、攻击链阶段等资产信息展示,支持基于攻击时间轴的溯源,基于关键时点展示安全事件及详细信息,支持该资产相关的安全事件列表,支持攻击关系图,展示遭受外部攻击、遭受内部横向攻击、发起内部横向攻击、发起外连攻击的可视化关系图,支持处置建议和处置历史 | |||
6 | 资产管理 | 1、支持多维度资产管理,进行多维度资产视图分析,系统至少内置五种视图:资产组视图、业务系统视图、组织结构视图、地理位置视图、行业视图 | |
2、支持资产稽查比对,对于实时发现资产和已有资产库资产比对分析资产新增、变更、减少的情况,变更分析需要细致到资产属性粒度,即可查看具体端口、服务的变化情况;并支持对资产发现结果进行处理,可选择入库或者丢弃 | |||
3、支持围绕资产树展开风险分析。通过基于资产树的方式对资产进行脆弱性呈现,通过资产数能够快速了解出现高危脆弱性的资产所处位置、所属单位(部门)、负责人等,从而快速定位、快速解决 | |||
7 | 事件运维与监控 | 1、支持对威胁、失陷主机、漏洞等事件进行统一运维处理,提供统一入口 | |
2、 支持对各类运维事件进行运维处置,包括但不限于提交研判人员进行分析、忽略、误报、处置、优先处理、加入白名单、生成报告、联动封堵设备封堵处置、邮件通报、工单通报等 | |||
3、支持将威胁、漏洞、失陷资产等事件以工单的形式通知用户进行工单处理,支持邮件通知 | |||
4、支持工单数据的权限管理,所有的运维人员都可查看平台所有工单,可通过责任人是自己来查看自己的工单;仅支持对责任人是自己账号的工单进行操作。 | |||
8 | 一键封堵 | 1、 支持针对IP、域名、会话进行封堵,支持主机隔离、流量牵引等方式联动设备进行封堵,设备类型包括但不限于防火墙、抗拒绝服务系统、WEB应用防火墙、网络流量探针等 | |
2、支持封堵状态获取及查看,支持判断封堵成功、封堵失败、解封成功、解封失败等状态 | |||
9 | 报表通知 | 1、支持自动报表,支持日报、周报、月报、季报、半年报、年报,支持按时自动生成报表,支持报表订阅,支持日历模式和列表模式可切换,支持基于报表类型、报表模板、报表名称、生成时间段的查询,查找指定的报表 | |
2、 支持自动通知,支持通知策略新建,支持通知策略查询、编辑、删除、启动、禁用,支持邮件、短信、钉钉、企业微信的通知方式,支持风险资产、安全事件、漏洞、工单、报表的通知内容,可根据需要设置具体内容,支持实时通知和周期通知,周期通知支持设置间隔时间和发送通知时间,支持通知历史可查询 | |||
1 | 全流量探针 | 硬件配置 | 1、标准机架式硬件,1U,交流冗余电源,64G SSD,1T硬盘,6*GE电口+4*GE光口,1*GE管理口,1*RJ45串口,2*USB,1*网络扩展槽。 |
2 | 设备性能 | 应用层吞吐量不小于1Gbps | |
3 | 入侵检测 | 1、覆盖多种攻击特征,可针对网络病毒、蠕虫、间谍软件、木马后门、扫描探测、暴力破解等恶意流量进行检测,攻击特征库数量至少为9000种以上 | |
2、支持常见应用服务(HTTP、FTP、SSH、SMTP、IMAP、RDP、VNC、pop3S、Telnet)爆破检测 | |||
3、支持对常规应用暴力破解检测,检测应用包括:splunk、testlink、Django平台、OracleERP平台 | |||
4 | 恶意文件检测 | 1、恶意文件静态检测引擎,支持对可执行文件、文档、压缩包和网页脚本进行恶意代码检测和告警 | |
5 | 流量采集 | 1、支持IPV4/IPV6流量解析 | |
2、支持VXLAN、GRE、VLAN流量解析 | |||
3、 支持对DNS、HTTP、FTP、SMTP、POP3、IMAP、SMB、Telnet、LDAP、MYSQL、ORACLE、MSSQL、PostgreSQL、SSL、TLS、QQ、TCP、UDP、ICMP、SMB、WEBMail、VNC、SOCKS等常见协议的深度解析和还原。 | |||
5、支持VPN协议的识别,识别的VPN类型主要包括:向日葵远控、TeamViewer、PPTP、L2TP、IPSec等等。 | |||
6 | 文件还原 | 1、支持对流量中出现的文件进行发现和还原,支持还原的协议包括:HTTP、FTP、SMTP、POP3、IMAP、SAMBA、WEBMAIL | |
2、支持还原的可执行类型:bat、dll、sys、exe、com、src、pif。 | |||
3、支持还原的文档类型:doc/docx、xls/xlsx、ppt/pptx、pdf、rtf、 wpt、pot、wps、pps、mpp、et、dpt、dps、ett、dot | |||
4、支持还原的压缩包类型:zip、7z、rar、gzip、tar、bz。 | |||
7 | 流量存储 | 1、支持对深度解析的协议进行存储,存储日志类型至少包括:会话日志、HTTP日志、EMAIL日志、TELNET日志、认证日志、数据库日志、登录日志、SSL&TLS日志、FTP日志、DNS日志、ICMP日志、文件还原日志、社会账号日志、5G日志 | |
2、 支持对实时流量采集的pcap包进行全量存储,供追溯分析和取证使用。 | |||
3、支持对威胁相关的数据包进行存储,供关联分析和取证使用 | |||
4、 支持对流量中检测到的恶意文件进行存储,供关联分析和取证使用。须提供功能界面截图。 | |||
8 | 威胁分析 | 1、支持对网络中的流量统计,统计类型包括应用流量的构成和占比、协议的构成和占比和VPN的构成、接口流量统计和接口流量趋势 | |
2、支持对网络中的威胁进行统计,统计类型包括:威胁事件统计和趋势、攻击者统计和趋势、失陷资产统计和趋势、漏洞统计和趋势。 | |||
3、 支持对存储的元数据日志进行快速检索和呈现,检索的日志至少类型包括:TCP&UDP日志、HTTP日志、EMAIL日志、FTP日志、DNS日志、ICMP日志、文件还原日志、5G日志。 | |||
9 | 响应处置 | 1、持对入侵检测告警、WEB应用告警、威胁情报告警和恶意文件告警中的攻击IP和受害IP发送阻断报文,进行旁路阻断 | |
2、支持与态势感知联动:提供API接口,由态势感知平台通过接口下发一键封堵断策略,探针执行封堵动作并将封堵日志信息发送给大数据平台。 |
四、提交材料时间及咨询方式
1、截止时间:2022年10月26日 17:30
2、咨询方式:毕节市中医医院
联系人:段先生
联系电话:13595718989
材料请发送至邮箱:85710163@qq.com。
特别说明:本工作仅为对拟采购项目进行市场询价,我院不对参与报送的产品及其方案作任何承诺。
