一體化安全運(yùn)營(yíng)服務(wù)方案

一體化安全運(yùn)營(yíng)服務(wù)方案（一）、服務(wù)清單序號(hào)服務(wù)名稱(chēng)服務(wù)項(xiàng)服務(wù)時(shí)間1業(yè)務(wù)網(wǎng)（云）安全分析年服務(wù)1、安全大腦服務(wù)12個(gè)月2專(zhuān)業(yè)技術(shù)年服務(wù)2、終端安全平臺(tái)及5000個(gè)終端年服務(wù)12個(gè)月3、代碼審計(jì)年服務(wù)12個(gè)月3安全運(yùn)維團(tuán)隊(duì)專(zhuān)家服務(wù)4、安全基線防護(hù)和滲透測(cè)試服務(wù)12個(gè)月5、安全負(fù)責(zé)人服務(wù)12個(gè)月6、本地運(yùn)維團(tuán)隊(duì)專(zhuān)家年服務(wù)12個(gè)月7、攻防演練服務(wù)12個(gè)月（二）、服務(wù)內(nèi)容1.安全大腦服務(wù)電子業(yè)務(wù)網(wǎng)絡(luò)中包含有大量的網(wǎng)絡(luò)設(shè)備、服務(wù)器、業(yè)務(wù)系統(tǒng)等，同時(shí)隨著安全體系的逐步完善，還會(huì)增加大量的安全設(shè)備。這些數(shù)量龐大的網(wǎng)絡(luò)設(shè)備、安全設(shè)備在日常運(yùn)行中會(huì)產(chǎn)生大量的安全信息、告警信息，同時(shí)又彼此獨(dú)立，成為一個(gè)個(gè)的安全孤島，傳統(tǒng)分散的管理方式效率低下而且無(wú)法抓取重點(diǎn)信息為實(shí)現(xiàn)對(duì)現(xiàn)有網(wǎng)絡(luò)安全資源的統(tǒng)一管理，提高安全事故發(fā)現(xiàn)的時(shí)效性和處理的效率，需提供安全大腦管理平臺(tái)服務(wù)，對(duì)區(qū)域內(nèi)業(yè)務(wù)網(wǎng)絡(luò)資產(chǎn)情況風(fēng)險(xiǎn)情況、事件情況、告警情況進(jìn)行整體態(tài)勢(shì)分析，并依賴(lài)其開(kāi)展通報(bào)預(yù)警、應(yīng)急處置等相關(guān)技術(shù)支撐和運(yùn)營(yíng)工作，平臺(tái)服務(wù)期12個(gè)月。安全大腦管理平臺(tái)服務(wù)具體功能需求如下：技術(shù)指標(biāo)具體要求數(shù)據(jù)采集種類(lèi)支持內(nèi)置180余種的數(shù)據(jù)源類(lèi)型開(kāi)箱即用，默認(rèn)可接入各類(lèi)硬件設(shè)備和應(yīng)用系統(tǒng)，包含但不限于主機(jī)、防火墻、IPS/IDS、WAF、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)、中間件、存儲(chǔ)；設(shè)備、虛擬化設(shè)備、機(jī)房設(shè)備等多種設(shè)備和系統(tǒng)的日志接入方式；云平臺(tái)支持AWS數(shù)據(jù)通過(guò)S3直接采集。數(shù)據(jù)采集方式支持業(yè)內(nèi)通用標(biāo)準(zhǔn)數(shù)據(jù)獲取方式，獲取方式不少于15種，包括Syslog、SFTP、文件、Kafka、HDFS、主機(jī)終端(win/linux)Agent、DB2、Mysql、Oracle、Sqlserver、Postgrel、SNMP、Netflow、WMI、ES、AWS等。數(shù)據(jù)解析系統(tǒng)需要預(yù)置1000條以上范式化解析規(guī)則，支持解析規(guī)則的導(dǎo)入導(dǎo)出。所有解析操作支持可視化的配置界面；數(shù)據(jù)解析規(guī)則支持規(guī)則嵌套和邏輯組合方式，能夠?qū)σ唤M事件進(jìn)行多層規(guī)則解析處理，添加、刪除、重命名、合并、拆分與裁剪現(xiàn)有字段，對(duì)范式化后字段再解析處理。支持多種數(shù)據(jù)解析，包含精準(zhǔn)匹配、包含再解析、正則匹配后從數(shù)據(jù)頭、尾進(jìn)行二次解析等處理。數(shù)據(jù)豐富化通過(guò)圖形化操作對(duì)解析標(biāo)準(zhǔn)化后的數(shù)據(jù)進(jìn)行信息的豐富化，提供更為全面的安全日志，補(bǔ)齊的信息包括：二元組、五元組、資產(chǎn)信息、地理位置信息等。關(guān)聯(lián)場(chǎng)景和方式支持不少于700條規(guī)則的安全檢測(cè)分析場(chǎng)景的開(kāi)箱即用，場(chǎng)景包括：掃描探測(cè)類(lèi)、主機(jī)異常類(lèi)、異常通信類(lèi)、運(yùn)維監(jiān)控告警類(lèi)、中間人攻擊類(lèi)、Web攻擊類(lèi)、賬號(hào)異常類(lèi)、拒絕服務(wù)類(lèi)、郵件攻擊類(lèi)等。關(guān)聯(lián)分析規(guī)則支持時(shí)序關(guān)聯(lián)、非時(shí)序關(guān)聯(lián)、互斥關(guān)聯(lián)、反向關(guān)聯(lián)等關(guān)聯(lián)分析算法，其中時(shí)序關(guān)聯(lián)支持分析支持至少M(fèi)次A事件之后發(fā)生了B事件且事件B的發(fā)生是因?yàn)槭录嗀導(dǎo)致（事件A不限數(shù)量）場(chǎng)景；非時(shí)序關(guān)聯(lián)支持分析A事件和B事件均發(fā)生但無(wú)時(shí)間先后、多件事（事件數(shù)量大于等于2）同時(shí)發(fā)生（無(wú)前后順序）等場(chǎng)景；互斥關(guān)聯(lián)支持分析A事件之后一定不發(fā)生B事件、B事件發(fā)生之前一定沒(méi)發(fā)生A事件等場(chǎng)景；反向關(guān)聯(lián)支持分析指定時(shí)限內(nèi)特定事件未發(fā)生場(chǎng)景。檢索分析支持聚合分析算子，選擇分鐘、小時(shí)、天為單位的時(shí)間窗口的歷史數(shù)據(jù)（>30天）并通過(guò)濾條件從中篩選目標(biāo)數(shù)據(jù)和指定目標(biāo)字段，支持選擇數(shù)量、去重統(tǒng)計(jì)、求和、平均值、最大/最小值的聚合計(jì)算，來(lái)完成對(duì)歷史數(shù)據(jù)的分析。動(dòng)態(tài)安全信息動(dòng)態(tài)信息組的管理，支持包括新建、刪除、編輯、導(dǎo)入、導(dǎo)出動(dòng)態(tài)信息，數(shù)據(jù)類(lèi)型包含IP、數(shù)字、字符串，支持將命中規(guī)則事件的中任意字段自動(dòng)添加、刪除到動(dòng)態(tài)信息組。動(dòng)態(tài)信息組支持定義數(shù)據(jù)過(guò)期時(shí)間，包含不過(guò)期、根據(jù)數(shù)據(jù)創(chuàng)建時(shí)間計(jì)算和根據(jù)數(shù)據(jù)更新時(shí)間計(jì)算，指定數(shù)據(jù)保留所需的秒、分鐘、小時(shí)、天和周等時(shí)間段。威脅情報(bào)關(guān)聯(lián)支持Domain、IP、URL等類(lèi)型的威脅情報(bào)IOC關(guān)聯(lián)檢測(cè)；可根據(jù)情報(bào)IOC屬性（威脅分值、可信度等）生成相關(guān)不同等級(jí)的告警。攻擊聚合支持自動(dòng)化威脅獵捕模型，可在線編寫(xiě)腳本語(yǔ)言算法模型模擬分析人員溯源取證的過(guò)程，基于告警事件為入口觸發(fā)條件的威脅場(chǎng)景自動(dòng)溯源分析，向前、向后自動(dòng)抽取若干分鐘、小時(shí)和天為單位的數(shù)據(jù)，結(jié)合時(shí)間、過(guò)濾條件關(guān)聯(lián)，多層邏輯嵌套、自動(dòng)聚合分析包括日志、流量、告警等內(nèi)容，聚合跨階段展示整個(gè)威脅事件。聚合檢測(cè)庫(kù)內(nèi)置不低于15種聚合事件威脅場(chǎng)景，如Tomcat遭受暴力破解攻擊后被上傳webshell，并發(fā)起了445端口掃描、FTP賬號(hào)被暴力破解成功后數(shù)據(jù)遭到竊取、內(nèi)網(wǎng)主機(jī)遭受遠(yuǎn)程漏洞攻擊后連接礦池、UAC提權(quán)并駐留并發(fā)現(xiàn)Powershell系列攻擊等。系統(tǒng)模塊內(nèi)置信息統(tǒng)計(jì)聚合模型，通過(guò)聚合主機(jī)訪問(wèn)行為、命令執(zhí)行安全告警、服務(wù)器短時(shí)間內(nèi)頻繁執(zhí)行信息收集命令告警、運(yùn)行代理工具告警等多源數(shù)據(jù)進(jìn)行自動(dòng)化提取和校驗(yàn)，檢測(cè)出主機(jī)遭受ssh暴力破解后主機(jī)層面出現(xiàn)異常命令操作行為，爆破成功并駐留。APT檢測(cè)APT專(zhuān)項(xiàng)行為檢測(cè)(AAD)，針對(duì)流行APT攻擊總結(jié)行為或環(huán)境特征規(guī)則，分析實(shí)時(shí)數(shù)據(jù)流，檢測(cè)相關(guān)APT攻擊；APT專(zhuān)項(xiàng)病毒檢測(cè)(NEXTAV)

，基于長(zhǎng)期的歷史研究積累，針對(duì)APT使用的病毒、惡意樣本進(jìn)行專(zhuān)門(mén)查殺，能有效檢出已知類(lèi)型的APT惡意樣本。APT惡意樣本回掃，支持對(duì)歷史樣本特征和樣本進(jìn)行APT檢測(cè)回掃，發(fā)現(xiàn)潛伏APT蹤跡。安全事件監(jiān)測(cè)和分析支持把安全事件相關(guān)的網(wǎng)絡(luò)攻擊關(guān)系和終端進(jìn)程演變過(guò)程融合為一張攻擊鏈路圖，通過(guò)靜態(tài)觀察和動(dòng)態(tài)回放來(lái)分析網(wǎng)絡(luò)行為、終端行為的攻擊過(guò)程，為失陷過(guò)程分析提供形象化分析手段。根據(jù)不同對(duì)象（如資產(chǎn)、IP、域名）進(jìn)行圖中元素區(qū)分，同時(shí)支持點(diǎn)擊后關(guān)聯(lián)展示對(duì)應(yīng)上下文。支持安全事件將所有相關(guān)告警的處置建議進(jìn)行統(tǒng)一匯總和展示，對(duì)每個(gè)告警有對(duì)應(yīng)的分析內(nèi)容和處置建議，提供兼容ATT&CK并且新增擴(kuò)展的緩解建議和檢測(cè)建議。技戰(zhàn)術(shù)分析支持知識(shí)圖譜技戰(zhàn)術(shù)熱力圖，支持通過(guò)顏色深淺來(lái)代表該技術(shù)的攻擊強(qiáng)度；支持點(diǎn)擊攻擊技術(shù)，查看詳情，包括不限于子技術(shù)、技術(shù)描述，相關(guān)安全事件等；支持MitreATT&CK之外擴(kuò)展出具備中國(guó)特有的技戰(zhàn)術(shù)總結(jié)。儀表盤(pán)支持自定義儀表盤(pán)配置，根據(jù)需要添加不同的監(jiān)控組件，自定義選擇過(guò)濾條件和過(guò)濾條件組的監(jiān)控組件添加、修改和刪除。支持同時(shí)組合多種展示圖形，包含柱狀圖、餅圖、面積圖、趨勢(shì)圖、表格、統(tǒng)計(jì)、同比、環(huán)比、百分比、復(fù)合計(jì)算統(tǒng)計(jì)、上傳圖片、外部圖片、外部網(wǎng)頁(yè)等，可配置排序方法、TOP數(shù)量、數(shù)據(jù)時(shí)間跨度。儀表盤(pán)的圖形位置和大小支持自由拖拽，所見(jiàn)即所得。支持從儀表盤(pán)下鉆至具體事件、告警、資產(chǎn)等并且可直接配置下鉆選項(xiàng)，支持跳轉(zhuǎn)到自定義的其它儀表盤(pán)，實(shí)現(xiàn)儀表的嵌套來(lái)滿(mǎn)足分析需要。支持儀表直接調(diào)用SOAR預(yù)案來(lái)快速處置，支持儀表的內(nèi)容通過(guò)點(diǎn)擊快速變?yōu)檫^(guò)濾條件。大屏自定義態(tài)勢(shì)感知大屏元素支持自定義，選擇經(jīng)過(guò)儀表盤(pán)定義的圖例替換原有大屏元素。大屏輪播支持大屏輪播，支持自定義參與輪播的大屏，輪播間隔時(shí)間、輪播大屏順序。威脅攻擊態(tài)勢(shì)通過(guò)該態(tài)勢(shì)掌握當(dāng)前攻擊的整體階段和狀態(tài)，宏觀審視全貌；將具體的安全事件以3D到2D的形式展示出攻擊源和攻擊目標(biāo)，通過(guò)地理位置直觀掌握宏觀攻擊概況。通過(guò)攻擊源國(guó)家的排名了解攻擊者，對(duì)攻擊致命、嚴(yán)重、警告和提醒事件一周的變化趨勢(shì)掌握全局危險(xiǎn)數(shù)量，通過(guò)受害IP、攻擊階段和最近24小時(shí)攻擊趨勢(shì)了解攻擊的嚴(yán)重程度和攻擊面，最嚴(yán)重事件的排名指引關(guān)注危害最高的威脅。資產(chǎn)安全態(tài)勢(shì)從資產(chǎn)和脆弱性的視角了解暴露面，量化評(píng)估系統(tǒng)、區(qū)域和資產(chǎn)的風(fēng)險(xiǎn)系數(shù)；資產(chǎn)風(fēng)險(xiǎn)態(tài)勢(shì)包含資產(chǎn)風(fēng)險(xiǎn)評(píng)分、危險(xiǎn)等級(jí)和環(huán)比變化率，網(wǎng)元數(shù)量（包含主機(jī)、域名、應(yīng)用、網(wǎng)站和服務(wù)）、不同類(lèi)型的威脅走勢(shì)，如漏洞利用、惡意程序、掃描探測(cè)等類(lèi)型；以不同等級(jí)與資產(chǎn)相關(guān)待處理安全事件分布和安全事件列表；根據(jù)低、中、高和嚴(yán)重不同等級(jí)的一周漏洞變化趨勢(shì)和脆弱性嚴(yán)重程度分布；基于實(shí)際網(wǎng)絡(luò)拓?fù)鋱D分布進(jìn)行告警和漏掃結(jié)果的態(tài)勢(shì)進(jìn)行展示，下鉆后可展示網(wǎng)絡(luò)拓?fù)渲胁煌恢脤?duì)應(yīng)資產(chǎn)評(píng)分、事件數(shù)量和未處理漏洞數(shù)量，并可根據(jù)客戶(hù)真實(shí)環(huán)境對(duì)網(wǎng)絡(luò)拓?fù)鋱D提供定制。安全事件態(tài)勢(shì)通過(guò)該態(tài)勢(shì)掌握各類(lèi)安全事件的檢測(cè)和產(chǎn)生分類(lèi)，直觀了解事件產(chǎn)生、響應(yīng)到處置的過(guò)程；安全事件態(tài)勢(shì)根據(jù)提醒、告警、嚴(yán)重、致命等4個(gè)等級(jí)各級(jí)事件總量、攻擊成功和未成功的數(shù)量，展示待處置事件的總數(shù)、比例和環(huán)比變化，同時(shí)對(duì)高危待處置事件TOP進(jìn)行排名，展示事件名稱(chēng)、等級(jí)、事件和責(zé)任人信息；對(duì)安全事件運(yùn)營(yíng)過(guò)程進(jìn)行管理，展示一周事件變化趨勢(shì)以及根據(jù)不同分類(lèi)（如探測(cè)掃描、主機(jī)異常、異常通信等）統(tǒng)計(jì)新增、在處理和完結(jié)的事件數(shù)量，用來(lái)快速審視運(yùn)營(yíng)情況；對(duì)攻擊源和攻擊次數(shù)進(jìn)行展示，通過(guò)最新攻擊時(shí)間及時(shí)了解最新情況。安全成果態(tài)勢(shì)通過(guò)該態(tài)勢(shì)掌握各類(lèi)安全事件的檢測(cè)和產(chǎn)生分類(lèi)，直觀了解威脅情況。包含從原始日志到安全告警、安全事件多個(gè)層級(jí)描述安全建設(shè)實(shí)現(xiàn)的效果，體現(xiàn)整體安全事件的收斂和運(yùn)營(yíng)工作量；以階梯遞進(jìn)的圖形化方式展現(xiàn)日志數(shù)量、告警數(shù)量到安全事件數(shù)量一步步減少的聚合演變，了解通過(guò)運(yùn)營(yíng)達(dá)到的效果。安全事件級(jí)包含總體事件條數(shù)和高危事件數(shù)量，并根據(jù)不同事件類(lèi)型（如Web攻擊、主機(jī)異常、惡意程序）通過(guò)條形比例的方式進(jìn)行展示，同時(shí)列出高危安全事件的TOP10排名及其處置狀態(tài)，便于直觀監(jiān)測(cè)。對(duì)于網(wǎng)絡(luò)整體的告警量、日志量通過(guò)環(huán)形圖的方式展示不同數(shù)據(jù)源的比例，以及排名前五的數(shù)據(jù)源，從宏觀上了解網(wǎng)絡(luò)內(nèi)安全設(shè)備的貢獻(xiàn)率。威脅情報(bào)態(tài)勢(shì)支持展現(xiàn)威脅情報(bào)總量、更新情況，當(dāng)前系統(tǒng)中威脅情報(bào)的分類(lèi)、數(shù)量。以及當(dāng)前系統(tǒng)威脅情報(bào)告警情況，高頻命中的情報(bào)IOC、攻擊團(tuán)伙\家族等運(yùn)行監(jiān)控態(tài)勢(shì)支持監(jiān)控系統(tǒng)全集群的運(yùn)行狀況包括不限于CPU使用率、內(nèi)存使用率、磁盤(pán)使用率，支持運(yùn)行狀態(tài)異常的節(jié)點(diǎn)給出告警提示；支持監(jiān)控接入各數(shù)據(jù)源的數(shù)據(jù)上報(bào)情況，支持實(shí)時(shí)展示整體日志采集速率、告警生成速率，以及整體安全信息的入庫(kù)速率。合并告警詳情支持查看合并告警詳情：包括不限于合并告警基礎(chǔ)信息、攻擊者詳情、受害者詳情、原始告警；支持查看未處置的同類(lèi)告警，便于批量處置；支持查看已處置的同類(lèi)告警歷史經(jīng)驗(yàn)，可以參考或者進(jìn)行重新研判，支持展示歷史處置記錄，已提供分析、處置參考。攻擊者分析支持從所有產(chǎn)生的告警中，提煉出外網(wǎng)攻擊者的IP列表和Domain列表，從而方便快速針對(duì)具體攻擊者做分析研判；支持通過(guò)攻擊者IP\域名、受害主機(jī)IP、告警處置狀態(tài)、對(duì)攻擊者進(jìn)行檢索；支持查看高頻攻擊者top5、告警事件趨勢(shì)等統(tǒng)計(jì)信息；支持通過(guò)威脅等級(jí)、最近攻擊事件進(jìn)行攻擊者排序。風(fēng)險(xiǎn)資產(chǎn)分析所有產(chǎn)生的告警中，提煉出遭受到攻擊的內(nèi)網(wǎng)資產(chǎn)信息，從而方便快速排查具體內(nèi)網(wǎng)資產(chǎn)的風(fēng)險(xiǎn)情況；支持通過(guò)資產(chǎn)名稱(chēng)、資產(chǎn)IP、資產(chǎn)標(biāo)簽、是否存在漏洞、是否失陷等條件對(duì)風(fēng)險(xiǎn)資產(chǎn)進(jìn)行檢索；支持通過(guò)失陷狀態(tài)、風(fēng)險(xiǎn)等級(jí)、最近受攻擊事件等維度進(jìn)行風(fēng)險(xiǎn)資產(chǎn)排序。多維場(chǎng)景分析針對(duì)高危、高頻出現(xiàn)的攻擊場(chǎng)景，支持針對(duì)性的場(chǎng)景化分析、展示；支持根據(jù)不同安全場(chǎng)景，預(yù)制不同的檢索字段，統(tǒng)計(jì)字段，列表字段；支持不同場(chǎng)景下的不同的合并告警二次聚合，以提高分析處置效率；支持在場(chǎng)景化分析界面調(diào)用處置預(yù)案進(jìn)行快速處置；支持安全場(chǎng)景包括不限于：Webshell、通用web攻擊、漏洞利用、弱口令、爆破攻擊、郵件威脅、隱蔽隧道、威脅情報(bào)、勒索病毒、挖礦木馬。數(shù)據(jù)備份支持對(duì)配置信息根據(jù)內(nèi)容選擇后進(jìn)行導(dǎo)出、導(dǎo)入，對(duì)于在線更新的模型可以選擇保留用戶(hù)修改的數(shù)據(jù)，同時(shí)對(duì)于更新后不滿(mǎn)意可選擇過(guò)往的版本進(jìn)行一鍵倒回，方便運(yùn)維管理。全局?jǐn)?shù)據(jù)檢索支持跨節(jié)點(diǎn)和全局檢索，上級(jí)節(jié)點(diǎn)可以查詢(xún)所有節(jié)點(diǎn)數(shù)據(jù)，根據(jù)選擇全部、1個(gè)或多個(gè)節(jié)點(diǎn)的事件、日志、告警、脆弱性、資產(chǎn)等信息進(jìn)行審計(jì)溯源分析；下級(jí)節(jié)點(diǎn)只能查詢(xún)本級(jí)自有數(shù)據(jù)。支持全局字段檢索和可視化BI分析。用戶(hù)管理支持用戶(hù)管理功能，包括用戶(hù)（組）管理和角色管理，可對(duì)用戶(hù)（組）進(jìn)行新增、修改、刪除等操作；支持用戶(hù)功能分權(quán)和數(shù)據(jù)分權(quán)管理，功能分權(quán)可以將平臺(tái)的每個(gè)功能進(jìn)行獨(dú)立指定不可見(jiàn)、只讀和讀寫(xiě)權(quán)限；數(shù)據(jù)分權(quán)能與組織機(jī)構(gòu)進(jìn)行映射，通過(guò)類(lèi)SQL結(jié)構(gòu)化檢索語(yǔ)言定義日志、告警的字段、字段組合進(jìn)行數(shù)據(jù)分權(quán)范圍。威脅情報(bào)支持針對(duì)域名、IP（加端口）、URL的查詢(xún)判定惡意類(lèi)型包括APT攻擊、勒索軟件、挖礦軟件、網(wǎng)銀木馬、竊密木馬、黑客工具、后門(mén)軟件、僵尸網(wǎng)絡(luò)、常規(guī)木馬、礦池?cái)?shù)據(jù)、其它遠(yuǎn)控。同時(shí)還包括混合功能遠(yuǎn)控，命令控制通道，數(shù)據(jù)泄露，下載惡意軟件等遠(yuǎn)控類(lèi)型。提供超過(guò)2000個(gè)惡意家族的詳細(xì)上下文，內(nèi)容包括別名，攻擊影響，傳播方式，特點(diǎn)描述，威脅類(lèi)型，影響平臺(tái)，參考鏈接與家族描述提供超過(guò)200個(gè)攻擊團(tuán)伙的詳細(xì)上下文，內(nèi)容包括別名，攻擊動(dòng)機(jī)，影響區(qū)域，影響行業(yè)，背景國(guó)家，活躍時(shí)間，參考鏈接和團(tuán)伙描述在連接情報(bào)云情況下，情報(bào)數(shù)據(jù)可實(shí)現(xiàn)每小時(shí)更新。對(duì)于隔離網(wǎng)環(huán)境，支持離線導(dǎo)入情報(bào)數(shù)據(jù)升級(jí)包方式進(jìn)行更新。性能要求日志處理能力不低于10萬(wàn)EPS2.終端安全平臺(tái)及5000個(gè)終端年服務(wù)完善業(yè)務(wù)外網(wǎng)內(nèi)冬單位的終端安全防護(hù)機(jī)制，在縣區(qū)網(wǎng)絡(luò)邊界進(jìn)行相應(yīng)安全防護(hù)，配置訪問(wèn)控制策略，抵御網(wǎng)絡(luò)內(nèi)部攻擊，終端授權(quán)管控不低于5000個(gè)授權(quán)。可進(jìn)行主機(jī)入侵防御、安全事件溯源、主機(jī)微隔離、安全態(tài)勢(shì)分析、安全基線檢查、資產(chǎn)管理等終端安全管理與防護(hù)。為滿(mǎn)足5000個(gè)終端安全管理服務(wù)需求，需提供1個(gè)終端安全管理平臺(tái)及5000個(gè)終端安全管理授權(quán)，授權(quán)期限12個(gè)月，終端安全管理平臺(tái)和終端安全管理軟件功能需求如下：技術(shù)項(xiàng)技術(shù)指標(biāo)要求終端資源占用要求對(duì)終端系統(tǒng)CPU占用低于2%，內(nèi)存占用低于200M，終端軟件不大于1M終端支持的操作系統(tǒng)要求支持多種操作系統(tǒng)，包括但不限于RHEL/CentOS632/64位、RHEL/CentOS732/64位、Ubuntu、Debian、Suse、SunOS5.10、Windows7及以上、WindowsServer2003及以上、中標(biāo)麒麟、銀河麒麟、KaliGNU/Linux2020.1x64server、MacOS、UOS等操作系統(tǒng)。系統(tǒng)信息采集要求支持采集系統(tǒng)基本信息采集，以及硬件信息、操作系統(tǒng)信息、補(bǔ)丁信息系統(tǒng)日志監(jiān)控要求支持系統(tǒng)日志類(lèi)信息的采集、進(jìn)程創(chuàng)建事件監(jiān)控、目錄、文件審核監(jiān)控、注冊(cè)項(xiàng)表讀寫(xiě)、U盤(pán)插拔讀寫(xiě)監(jiān)控終端漏洞發(fā)現(xiàn)具備漏洞發(fā)現(xiàn)引擎，無(wú)需要遠(yuǎn)程掃描，即可發(fā)現(xiàn)終端資產(chǎn)存在漏洞；支持展示漏洞TOP與漏洞分布情況，進(jìn)行漏洞評(píng)估，展示漏洞情況和列表，并能以漏洞視角查詢(xún)命中的終端漏洞庫(kù)數(shù)量漏洞庫(kù)兼容CVE、CNVD、CNNVD，漏洞數(shù)量大于22萬(wàn)（提供功能截圖證明）終端管理支持按終端接入情況入庫(kù)資產(chǎn)并展示終端系統(tǒng)基本信息，包含內(nèi)核版本，CPU，類(lèi)型，內(nèi)存，廠商，系統(tǒng)版本，網(wǎng)卡等支持呈現(xiàn)終端的當(dāng)前CPU情況，磁盤(pán)占用，內(nèi)存占用情況，網(wǎng)絡(luò)訪問(wèn)IO支持按安全事件，合規(guī)情況、響應(yīng)處置等安全特性項(xiàng)進(jìn)行統(tǒng)計(jì)展示支持查看當(dāng)前應(yīng)用軟件安裝情況，網(wǎng)絡(luò)訪問(wèn)，系統(tǒng)服務(wù)，進(jìn)程，合規(guī)檢查及應(yīng)用策略事件識(shí)別分析集中統(tǒng)計(jì)分析和展示識(shí)別到的攻擊事件；支持安全事件的查詢(xún)分析能力，支持提供快捷的全文檢索條件，也支持通過(guò)時(shí)間范圍、IP地址、事件類(lèi)型、來(lái)源設(shè)備、威脅等級(jí)等條件進(jìn)行查詢(xún)，并對(duì)查詢(xún)結(jié)果提供按時(shí)間分段的統(tǒng)計(jì)圖，查詢(xún)結(jié)果以列表形式進(jìn)行展示；支持在頁(yè)面內(nèi)展示事件詳細(xì)信息，事件詳情包括但不限于：事件摘要、事件關(guān)鍵屬性，攻擊過(guò)程，涉及的攻擊者、受害者詳情，還包括關(guān)聯(lián)的日志信息、情報(bào)信息，并展示攻擊者使用的ATT&CK中定義的戰(zhàn)術(shù)及技術(shù)，以及基于攻擊流程展示各項(xiàng)攻擊技術(shù)之間的關(guān)聯(lián)路徑取證分析能力支持提供取證分析能力，支持取證日志快速檢索分析能力；用戶(hù)可查看終端所采集的所有原始日志、指紋信息等，可按日志類(lèi)型、IP等過(guò)濾條件進(jìn)行篩選合規(guī)結(jié)果查詢(xún)要求提供終端用戶(hù)側(cè)的自檢方式以及合規(guī)結(jié)果查詢(xún)分析規(guī)則自定義能力用戶(hù)可自定按日志內(nèi)容進(jìn)行配置攻擊識(shí)別檢測(cè)規(guī)則隔離處置全面封鎖隔離能力，包括主機(jī)隔離、網(wǎng)絡(luò)鏈路封禁、文件隔離、進(jìn)程查殺等提供統(tǒng)一的訪問(wèn)控制策略設(shè)置，可配置訪問(wèn)控制，實(shí)現(xiàn)主機(jī)側(cè)南北向、東西向細(xì)粒度的按需訪問(wèn)控制支持對(duì)網(wǎng)絡(luò)訪問(wèn)的入出站配置，控制訪問(wèn)，可按五元組進(jìn)行配置支持對(duì)主機(jī)進(jìn)行隔離，僅保留與服務(wù)端的通信，便于解除隔離一鍵響應(yīng)提供一鍵響應(yīng)操作，支持對(duì)終端風(fēng)險(xiǎn)的快速隔離，和訪問(wèn)的阻斷控制環(huán)境持續(xù)監(jiān)控持續(xù)監(jiān)控環(huán)境變化，動(dòng)態(tài)評(píng)估終端環(huán)境可信，及時(shí)阻斷超過(guò)風(fēng)險(xiǎn)閾值終端的訪問(wèn)快速任務(wù)支持通過(guò)自定義檢測(cè)模板對(duì)主機(jī)進(jìn)行一鍵任務(wù)下發(fā)，應(yīng)對(duì)0day漏洞等快速應(yīng)急響應(yīng)場(chǎng)景；提供多種內(nèi)置用例包括但不限于指定文件查詢(xún)、遠(yuǎn)程代碼漏洞檢測(cè)、webshell惡意掃描樣本工具等終端資產(chǎn)支持終端資產(chǎn)列表管理，支持資產(chǎn)基本信息、狀態(tài)、資源監(jiān)控、資產(chǎn)應(yīng)用軟件、服務(wù)、網(wǎng)絡(luò)訪問(wèn)、進(jìn)程快照信息展示及管理安全態(tài)勢(shì)和可視化支持整體終端安全態(tài)勢(shì)分析及可視化展示，包括攻擊鏈統(tǒng)計(jì)、網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì)、威脅事件類(lèi)型統(tǒng)計(jì)、攻擊誘捕統(tǒng)計(jì)、弱點(diǎn)統(tǒng)計(jì)、事件列表、事件趨勢(shì)統(tǒng)計(jì)等，支持系統(tǒng)整體評(píng)分，接入容量占比和月事件總數(shù)等日志管理符合國(guó)家要求，能夠收集、存儲(chǔ)，并保留至少6個(gè)月的終端日志，包括系統(tǒng)、服務(wù)、應(yīng)用、用戶(hù)訪問(wèn)等內(nèi)容。終端集中管理集中查看終端主機(jī)地址、名稱(chēng)、責(zé)任人、系統(tǒng)類(lèi)型、版本、系統(tǒng)資源、網(wǎng)絡(luò)使用，能夠集中管理主機(jī)上終端軟件啟用、更新、卸載，能夠手工鎖定、隔離遠(yuǎn)程主機(jī)。更新終端軟件集中升級(jí)終端軟件，一鍵更新，終端主機(jī)無(wú)感知powershell檢測(cè)支持通過(guò)自定義檢測(cè)模板對(duì)主機(jī)進(jìn)行一鍵任務(wù)下發(fā)，應(yīng)對(duì)0day漏洞等快速應(yīng)急響應(yīng)場(chǎng)景；提供多種內(nèi)置用例包括但不限于指定文件查詢(xún)、遠(yuǎn)程代碼漏洞檢測(cè)、webshell惡意掃描樣本工具等數(shù)據(jù)外發(fā)支持通過(guò)syslog北向接口向其他平臺(tái)提供數(shù)據(jù)外發(fā)和查詢(xún)能力，發(fā)送通道包括UDP、FTP/SFTP、KAFKA等，支持對(duì)外發(fā)數(shù)據(jù)進(jìn)行格式化轉(zhuǎn)換（統(tǒng)一編碼、映射轉(zhuǎn)換等）以及數(shù)據(jù)組裝方式設(shè)置（包括但不限于json、自定義模版、syslog等），并支持按需限制外發(fā)速率合規(guī)基線支持檢查是否存在違規(guī)端口使用情況，并能呈現(xiàn)全網(wǎng)終端統(tǒng)計(jì)情況支持檢查是否存在賬戶(hù)弱口令，并能呈現(xiàn)全網(wǎng)終端統(tǒng)計(jì)情況支持檢查是否存在違規(guī)網(wǎng)絡(luò)連接情況，并能呈現(xiàn)全網(wǎng)終端統(tǒng)計(jì)情況支持檢查是否存在有配置的違規(guī)軟件，支持可配置違規(guī)軟件，并能呈現(xiàn)全網(wǎng)終端統(tǒng)計(jì)情況支持檢查是否安裝有主機(jī)防病毒軟件，并能呈現(xiàn)全網(wǎng)終端統(tǒng)計(jì)情況支持檢查重要的安全補(bǔ)丁開(kāi)啟更新及更新情況，并能呈現(xiàn)全網(wǎng)終端統(tǒng)計(jì)情況系統(tǒng)管理為保證不同角色人員對(duì)平臺(tái)的友好使用，平臺(tái)應(yīng)支持通過(guò)角色分離實(shí)現(xiàn)三權(quán)分立，且至少應(yīng)包含三類(lèi)內(nèi)置角色：系統(tǒng)管理員：負(fù)責(zé)除日志審計(jì)管理外的所有功能；用戶(hù)：由系統(tǒng)管理員生成，管理其相應(yīng)業(yè)務(wù)；審計(jì)管理員：負(fù)責(zé)審計(jì)系統(tǒng)管理員和用戶(hù)的工作支持用戶(hù)管理能力，支持系統(tǒng)管理員在界面查看已創(chuàng)建用戶(hù)，除頂級(jí)域系統(tǒng)管理員，只能查看當(dāng)前所在域用戶(hù)賬戶(hù)，可對(duì)用戶(hù)賬戶(hù)進(jìn)行啟停、編輯操作，可創(chuàng)建新用戶(hù)賬戶(hù)。賬戶(hù)屬性應(yīng)至少包含：用戶(hù)名、密碼、郵箱、電話(huà)、所屬權(quán)限域、角色、所屬用戶(hù)組、登錄ip列表、用戶(hù)首頁(yè)。其中除了用戶(hù)名，其他屬性支持創(chuàng)建后可編輯支持登錄使用驗(yàn)證碼，支持賬號(hào)登錄密碼嘗試次數(shù)過(guò)多時(shí)鎖定賬號(hào)，支持賬號(hào)超時(shí)自動(dòng)登出，支持上述功能界面配置平臺(tái)應(yīng)支持配置密碼安全性策略，包含密碼最小長(zhǎng)度、密碼復(fù)雜度（包含不同字符類(lèi)型數(shù)目）、密碼不與歷密碼重復(fù)、密碼有效期天數(shù)、密碼有效期提醒時(shí)間。支持界面配置弱密碼字典，并開(kāi)啟弱密碼檢測(cè)。支持賬號(hào)操作審計(jì)能力，所有賬號(hào)界面操作記錄審計(jì)日志，審計(jì)員角色賬號(hào)可查看審計(jì)日志，可根據(jù)時(shí)間范圍、登陸ip、登陸用戶(hù)、操作內(nèi)容搜索過(guò)濾審計(jì)日志，支持導(dǎo)出備份審計(jì)日志，審計(jì)日志不可刪除，最長(zhǎng)保留至少一年客戶(hù)端部署支持客戶(hù)端可以靜默安裝，靜默推送方式，推送全網(wǎng)支持客戶(hù)端可自定義或隨機(jī)名方式安裝為服務(wù)，以隱藏自身支持客戶(hù)端自動(dòng)升級(jí)，灰度發(fā)布式升級(jí)方式，可配置灰度發(fā)布地址，3.代碼審計(jì)服務(wù)代碼審計(jì)平臺(tái)服務(wù)為滿(mǎn)足在各應(yīng)用系統(tǒng)上云前進(jìn)行安全檢測(cè)要求，須部署代碼審計(jì)平臺(tái)服務(wù)，同時(shí)提供技術(shù)指導(dǎo)安全運(yùn)營(yíng)中心人員對(duì)應(yīng)用系統(tǒng)源代碼進(jìn)行審計(jì)服務(wù)，服務(wù)期限12個(gè)月。代碼審計(jì)外部專(zhuān)家支撐年服務(wù)對(duì)重要的業(yè)務(wù)系統(tǒng)，在本地團(tuán)隊(duì)用本地代碼審計(jì)平臺(tái)做初審前提下，需要第三方專(zhuān)業(yè)技術(shù)人員檢測(cè)和審計(jì)，通過(guò)人工和工具相結(jié)合的方式,對(duì)應(yīng)用系統(tǒng)的源代碼結(jié)果進(jìn)行分析查看,并提供相應(yīng)的修復(fù)建議。平臺(tái)服務(wù)期12個(gè)月，至少提供5個(gè)應(yīng)用系統(tǒng)的服務(wù)。代碼審計(jì)平臺(tái)服務(wù)需求如下：指標(biāo)項(xiàng)具體指標(biāo)要求功能概述采購(gòu)源代碼缺陷分析與代碼保障系統(tǒng)，支持企業(yè)級(jí)源代碼缺陷分析、源代碼缺陷審計(jì)、源代碼缺陷修復(fù)跟蹤功能。在不改變企業(yè)現(xiàn)有開(kāi)發(fā)測(cè)試流程的前提下，該系統(tǒng)與軟件版本管理、持續(xù)集成、Bug跟蹤等系統(tǒng)進(jìn)行集成，將源代碼安全檢測(cè)融入企業(yè)開(kāi)發(fā)測(cè)試流程中，實(shí)現(xiàn)軟件源代碼安全目標(biāo)的統(tǒng)一管理、自動(dòng)化檢測(cè)、差距分析、Bug修復(fù)追蹤等功能，幫助企業(yè)以最小代價(jià)建立代碼安全保障體系并落地實(shí)施，構(gòu)筑信息系統(tǒng)的“內(nèi)建安全”。源代碼靜態(tài)安全檢查功能支持C、C++、Java、PHP、Go、Python等主流編程語(yǔ)言開(kāi)發(fā)的軟件源代碼的缺陷檢測(cè)。支持SQL注入、跨站腳本、敏感信息泄露、硬編碼密碼、邏輯表達(dá)式、API誤用、異常處理等常見(jiàn)安全缺陷問(wèn)題的檢測(cè)。支持對(duì)源代碼缺陷分析模板的靈活配置，具體到每一個(gè)缺陷類(lèi)型，內(nèi)置模板不少于18個(gè)。提供功能截圖證明。支持缺陷白名單功能，對(duì)缺陷可以根據(jù)具體規(guī)則和掃描語(yǔ)言，配置白名單。白名單生效范圍可針對(duì)具體項(xiàng)目和所有項(xiàng)目。支持文件白名單功能，可以對(duì)多個(gè)文件或文件夾進(jìn)行過(guò)濾，不統(tǒng)計(jì)該文件和文件夾下檢測(cè)的問(wèn)題結(jié)果，提高系統(tǒng)檢測(cè)精準(zhǔn)性。支持對(duì)檢測(cè)失敗和已有的任務(wù)重新發(fā)起檢測(cè)，無(wú)需重新上傳代碼。源代碼缺陷審計(jì)功能能夠?qū)υ创a安全掃描結(jié)果進(jìn)行匯總，并按照問(wèn)題的嚴(yán)重性和可能性進(jìn)行威脅級(jí)別的劃分，如高、中、低等多個(gè)級(jí)別。能針對(duì)每一個(gè)源代碼檢測(cè)任務(wù)能夠展現(xiàn)相關(guān)信息，如任務(wù)名稱(chēng)、任務(wù)類(lèi)型、代碼總行數(shù)、平均缺陷密度等信息。源代碼軟件組成分析功能可通過(guò)識(shí)別出的開(kāi)源組件與漏洞庫(kù)進(jìn)行匹配，發(fā)現(xiàn)項(xiàng)目中引用的、存在已知漏洞的開(kāi)源組件，并提供漏洞清單。。。關(guān)聯(lián)開(kāi)源組件與項(xiàng)目，可快速搜索引用了某一開(kāi)源組件的項(xiàng)目。包括已經(jīng)發(fā)布的項(xiàng)目和正在開(kāi)發(fā)的項(xiàng)目。內(nèi)置常見(jiàn)的CVE漏洞和全部的CNNVD漏洞，CVE漏洞庫(kù)和CNNVD漏洞庫(kù)支持本地升級(jí)。提供組件清單功能，展示組件來(lái)源，組件版本、組件生態(tài)，組件許可證，并提供組件對(duì)應(yīng)的漏洞分布信息。項(xiàng)目管理功能支持用戶(hù)和組的層級(jí)管理，可以自由的通過(guò)組的創(chuàng)建來(lái)組合項(xiàng)目和用戶(hù)的權(quán)限。能夠?qū)崿F(xiàn)層次化組織結(jié)構(gòu)的管理。項(xiàng)目支持多任務(wù)化的管理，能夠在同一個(gè)項(xiàng)目中創(chuàng)建多個(gè)不同類(lèi)型的檢查任務(wù)，能夠做到不同任務(wù)到同一個(gè)項(xiàng)目的歸檔。統(tǒng)計(jì)分析功能能夠以任務(wù)或者整體維度來(lái)進(jìn)行檢測(cè)結(jié)果數(shù)據(jù)的統(tǒng)計(jì)，并以餅狀圖或柱狀圖的形式展示，例如：組成分析的組件風(fēng)險(xiǎn)基本統(tǒng)計(jì)，靜態(tài)代碼審計(jì)的缺陷風(fēng)險(xiǎn)級(jí)別統(tǒng)計(jì)等。源代碼缺陷分析報(bào)告功能檢測(cè)報(bào)告應(yīng)能夠包括問(wèn)題等級(jí)及問(wèn)題類(lèi)型等基本統(tǒng)計(jì)信息，還應(yīng)包括問(wèn)題分類(lèi)、問(wèn)題描述、修復(fù)建議、風(fēng)險(xiǎn)點(diǎn)、問(wèn)題跟蹤信息等詳細(xì)信息。系統(tǒng)管理功能系統(tǒng)為B/S架構(gòu)，支持多招標(biāo)方同時(shí)使用瀏覽器訪問(wèn)、支持1-8個(gè)檢測(cè)任務(wù)并發(fā)執(zhí)行，支持后臺(tái)并發(fā)進(jìn)程的界面配置，支持管理員對(duì)并發(fā)進(jìn)行調(diào)整。支持支持管理員、普通用戶(hù)、日志審計(jì)員等權(quán)限角色劃分。每個(gè)角色只能看到自己權(quán)限下的項(xiàng)目，管理員能看到所有項(xiàng)目。能夠?qū)崟r(shí)查看系統(tǒng)運(yùn)行狀態(tài)，包括CPU、內(nèi)存、硬盤(pán)等信息。默認(rèn)提供規(guī)則集對(duì)代碼進(jìn)行審計(jì)，默認(rèn)提供全部、代碼規(guī)范和安全缺陷三個(gè)檔位的規(guī)則集，也支持用戶(hù)自定義規(guī)則集。提供自定義檢測(cè)規(guī)則功能，自主添加檢測(cè)規(guī)則用于源代碼缺陷檢測(cè)。支持使用ping、telnet、curl工具對(duì)其他服務(wù)器發(fā)起探測(cè)請(qǐng)求，排查網(wǎng)絡(luò)問(wèn)題。第三方工具集成能力系統(tǒng)支持本地直接發(fā)起檢測(cè)任務(wù)，也可以從SVN、GIT、等代碼倉(cāng)庫(kù)獲取代碼發(fā)起檢測(cè)任務(wù)。支持提供對(duì)外接口，支持外部系統(tǒng)同步招標(biāo)方、發(fā)起檢測(cè)任務(wù)、獲取任務(wù)結(jié)果和缺陷詳情以及離線報(bào)告生成、查詢(xún)、下載等功能。4.安全基線防護(hù)和滲透測(cè)試服務(wù)根據(jù)《業(yè)務(wù)云安全管理規(guī)范》相關(guān)要求，對(duì)應(yīng)用系統(tǒng)進(jìn)行安全防護(hù)，對(duì)業(yè)務(wù)系統(tǒng)（IRS上業(yè)務(wù)信息系統(tǒng)或企業(yè)）進(jìn)行一次滲透測(cè)試，并提供修復(fù)建議和服務(wù)報(bào)告。通過(guò)真實(shí)模擬黑客使用的工具、分析方法來(lái)對(duì)HYPERLINK\h業(yè)務(wù)系統(tǒng)進(jìn)行模擬攻擊，結(jié)合智能工具掃描結(jié)果HYPERLINK\h和人工確認(rèn)，進(jìn)行深入的手工測(cè)試和分析，從而充分識(shí)別業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)并要求進(jìn)行整改。本服務(wù)的服務(wù)期限為12個(gè)月。服務(wù)內(nèi)容1、滲透測(cè)試服務(wù)對(duì)用戶(hù)提供的系統(tǒng)，通過(guò)白盒、黑盒或灰盒方式進(jìn)行測(cè)試，發(fā)現(xiàn)網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)中網(wǎng)絡(luò)和系統(tǒng)存在的安全缺陷，提供滲透測(cè)試報(bào)告和改進(jìn)建議。2、支撐、保障服務(wù)技術(shù)要求1）.在服務(wù)期依據(jù)安全專(zhuān)家已經(jīng)掌握的安全漏洞信息，模擬黑客的真實(shí)攻擊方法對(duì)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行非破壞性質(zhì)的攻擊性測(cè)試。2）.服務(wù)人員提供的滲透測(cè)試報(bào)告，必須包含漏洞從發(fā)現(xiàn)到最終利用的整個(gè)過(guò)程記錄，通過(guò)對(duì)系統(tǒng)進(jìn)行加固完之后，需要進(jìn)