序号

系统名称

数量

单位

1

私有云存储系统

1

套

2

桌面云平台系统

1

套

3

安全感知平台系统

1

套

4

提供10G互联网出口线路

1

条

序号

产品名称

产品说明

单位

数量

备注

私有云存储系统

1

NAS网络伺服器

详见“设备技术参数1.1”

台

2

2

NAS专用企业盘

16TB 7200转 SATA 硬盘

颗

28

3

NAS专用企业盘

英特尔数据中心系列 960G

根

4

4

NAS专用磁盘柜

12盘位专用磁盘柜

台

2

5

NAS专用网卡

双光口 万兆网卡

块

2

桌面云平台系统

序号

产品名称

产品说明

单位

数量

备注　

1

云服务器

若本次配置的胖终端一体机兼容一期两台服务器则可不做配置；

详见“设备技术参数1.2”

台

2

利旧或提供

2

云桌面软件

云办公云盘软件，全新架构设计，具有个人云空间，共享云资源等功能，内含云桌面客户端授权，每台云主机需配置一套。

详见“设备技术参数1.3”

套

2

利旧或提供

3

IDV一体机

详见“设备技术参数1.4”

台

2300

4

瘦终端一体机

详见“设备技术参数1.5”

台

3

5

万兆光模块

万兆LC接口模块（62.5/125μm：33米；50/125μm：66米；模态带宽为2000MHz•km时传输300米），适用于SFP+接口

块

12

安全感知平台系统

序号

产品名称

产品说明

单位

数量

备注　

1

安全感知系统

详见“设备技术参数1.6”

台

1

2

感知服务器

CPU 2*Intel E5 2640 v4(10C/2.4GHz)

内存 256GB

磁盘 2*600GB SSD(系统盘)12*4TB 7200转 SATA（数据盘）

网卡4*千兆网口

台

1

3

感知系统服务

详见“设备技术参数1.7”

套

1

4

潜伏威胁探针

详见“设备技术参数1.8”

台

1

指标项

参数要求

硬件配置

CPU 英特尔 至强 处理器 十二核心2.1 GHz及以上；

内存 64 GB DDR4 ECC UDIMM；

▲硬盘 14 x 16 TB SATA3 6Gb/s 256M企业级硬盘；支持SHR的模式,英特尔数据中心 960G SSDx2块；

最大内部储存容量 256 TB (16 TB HDD x 16) (容量仅随 RAID 种类不同而异)；

内部硬盘数 3.5" or 2.5" SATA X 16 ，HDD、SSD；

最大外部扩展：支持外接≥15台12硬盘位扩展柜，本次配置1台12盘位扩展柜；

▲搭配扩充装置之最大净总储存容量 320 TB (容量仅随 RAID 种类不同而异)；

支持扩展1张双口万兆网卡；

账号数 最大使用者账号数：16000；

并发数 2048；

ISCSI最大iSCSI Target数：128 最大iSCSI LUN数：512；

▲ AC输入电压 100V ~ 240V AC，双电源控制器；

硬盘热拔插 支持硬盘热拔插；

设备接口 具备万兆电口 X 2，千兆电口 X 4，USB 3.0 端口 X 2, 扩充端口 X 1；

尺寸 标准3U机架式；

网络唤醒 Wake on LAN/WAN；

电源唤醒 电源自动回复；

PCIe x8 网络卡插槽 2 个；

开关机 定时及自动开关机；

工作状态灯 网卡、电源、状态、硬盘；

检查系统状态 显示硬盘、CPU、内存、带宽流量、存储及各账号使用，按日、周、月报表分析；

▲双机热备 支持双机热备、自动切换，提供原厂证明资料加盖公章；

不断电系统 支持UPS, USB/SNMP 独立模式；

负载均衡/链路切换 Link Aggregation、实现对主机的多通道路径访问以及对应用透明的自动故障通道切换及负载均衡；

认证 FCC Class B, CE Class B, BSMI Class B；

语言 支持17种语言管理界面，支持17种语言文件应用；

文件共享 UPnP 探索服务

WebDAV 共享文件夹内直接编辑存取档案，建立私有云存储；

支持 FTPS (FTP over SSL/TLS)；

可以启用回收站，避免误删文件，并可设备自动定时清除；

支持 SMB/CIFS、AFP 及 NFS 传输协议；

电脑终端操作系统支持 MAC 、WINDOWS、LINUX；

移动终端手机、平板 ,Android 、 IOS；

通过网页就可访问、上传、下载文件；

ISO镜像文件存储及分享；

文件夹同步；

256位文件夹加密。

ISCSI及虚拟化

获得VMware® Ready™ 、Citrix® Ready™ 认证支持，并兼容于Microsoft® Hyper-V™；

支持 ISCSI 和Target；

支持 LUN 快照技术，提升存储空间的使用效率，并且提供多一层的保护；

LUN 备份服务，可直接在存储设备上进行 LUN 备份；

支持 Link Aggregation、负载均衡及故障移转；

具备 VMware VAAI 支持认证。

文件备份

▲原厂自带备份套件，支持去重，集中保护 PC、物理服务器或虚拟机，甚至是云端中的数据，快速恢复文件、系统、业务数据，用户无需额外购买许可证，提供原厂证明资料加盖公章；

文件备份 备份终端支持 Windows、Mac、Ubuntu、Fedora；

支持 Apple Time Machine；

支持第三方备份软件；

支持做为虚拟化备份服务器；

支持RTRR 或rsync实时远程备份；

备份至外接设备；

备份至远程 RTRR 服务器或rsync服务器；

备份至云端存储；

备份方式：排程备份、增量备份、自动备份，并可设备份数量；

系统备份，还原系统设置并灵活可选相应的设置。

数据存储

支持完整的 RAID 组态设定；

全局热备设定；

弹性 RAID 组态迁移；

扩充期间无需暂停系统；

在线 RAID 容量扩充；

弹性的存储空间扩充；

加强的只读模式数据保护，保护重要数据；

RAID 恢复功能,避免误拔插硬盘；

▲支持旧机到新机系统迁移，系统迁移过程，数据保持完好。

系统管理

图形式的操作界面；

网络浏览器管理；

电子邮件及手机短信实时警示通知；

自动侦测固件更新；

系统资源监控；

支持TFTP服务器；

系统日志：（实用的系统事件纪录及联机纪录, 在线用户清单帮助访问权限设定）；

支持 SSH 及 Telnet；

流量控管；

利用 SNMP 协助 IT 管理；

支持硬盘 S.M.A.R.T. 检查、硬盘坏轨扫描。

▲应用服务器 网站服务器

支持 MySQL 数据库服务器；

打印服务器；

Directory 服务器；

DHCP 服务器；

VPN 服务器；

Syslog 日志服务器；

苹果 iTunes 服务器；

媒体服务器；

邮件服务器；

RADIUS 服务器；

DNS 服务器；

支持SSO单点登录；

运行DSM操作系统；

提供原厂证明资料加盖公章。

协同套件

支持内部聊天，在线多人同时编辑表格、文档，行程安排。

快照功能

采用先进的资料快照技术，可以回复任一时间点的档案，并使用比传统备份更少的储存空间。使用内部档案管理工具或 Windows 档案总管，自行快速地还原档案与文件夹。

对于采取分布式网络管理的企业而言，在不同地方保留多个副本可确保发生灾难时的数据可用性。除了本地数据复制，还能为实施灾难恢复计划提供更多的可能性。要获得更高保护，可将保存在总部服务器等主站点的数据复制到一个分支服务器，然后再从这个分支服务器将数据复制到另一个分支服务器。

版本控制

可以对每个主文件夹设定还原点，一个档案保留最多 32 个历史版本，可将档案回复到过去的特定时间点。智能版本保留算法则能保留最重要的版本，让用户在降低其共享文件夹保留版本的同时，有效地找到所需数据。

▲文档传输加速

通过高速 WAN 快速安全地传输大量数字内容，还能很好地利用现有带宽，提高文件传输性能，克服长途文件传输期间发生的高延迟和不稳定问题，通过 WAN 传输大量文件时使用更理想，通过自带桌面客户端、Windows 资源管理器或 Mac Finder 之间拖放文件。上下文菜单中提供本地热键组合，可复制、粘贴、重命名和删除文件，提供原厂证明资料加盖公章。

权限管理 网页式用户界面

与Windows AD环境结合；

整合LDAP 目录功能；

支持 Windows AD 环境；

提供个人资料夹给每位网域用户 ( 主目录 )。

权限管理

网络环境 可设定专属于用户的个人资料夹；

支持大量用户及群组账号管理；

支持 window acl；

支持并可结合 RADIUS 服务，集中化管理及符合802.1x 安全机制；

共享文件夹访问控制，只读、写、禁止访问，进阶文件权限设置；

可以限制用户容量上限；

提供 DDNS 服务；

支持建立多组无线网络联机设定；

可同时在IPv4 与IPv6 的双协议网络环境中运行；

支持 PPTP 及OpenVPN；

多网络端口，Port-trunking，负载平衡，网络容错。

网络环境安全性

支持PPOE 拔号；

SSL, HTTPS 提供安全性的档案存取与传输、连机管理；

SMB 3 加密；

整合防毒软件；

整合防火墙，并可条件式设定自动封锁 IP；

将系统服务指定到一个或多个有线或无线网络接口。

安全性移动设备

文件夹加密；

支持 PPTP 及OpenVPN；

存取文档；

上传档案或照片；

可以移动、复制、重新命名或删除 NAS 里的档案；

可通过NAS 上下载到移动设备中离线阅读；

分享的档案建立下载链接，通过电子邮件或是手机短信传送给他人；也可以直接利用电子邮件夹带档案来分享出去。

移动设备安全监控

支持iOS®系列: iPhone, iPod；

支持Android™ 系列: Android OS 2.3.4+；

多种远程监控模式；

单一屏幕可监看最多 4 台摄像机画面；

支持摄像机巡逻；

智能型 PTZ（上下／左右／远近）摄像机操控；

网页式管理界面。

安全监控

支持H.264、MPEG-4、M-JPEG 及MxPEG格式高画质录像；

手动录像；

排程录像；

支持电子地图；

多种回放影像搜寻模式。

指标项

参数要求

★硬件要求

若本次配置的胖终端一体机兼容一期两台RG-RCD6000-Main服务器则可不做配置；

软硬件一体化设备，CPU配置不低于2颗Intel Xeon E5-2678 V3，单CPU物理核心数不少于12个，主频不低于2.5GHz；

配置不少于160GB DDR4内存（速率不低于2133MHz），并在满足160G配置的情况下预留不少于6个内存扩展槽位；

提供不少于2块960GB容量的SSD固态硬盘，以及10块4TB容量的SATA3.0接口的机械硬盘；

具备2个万兆网口和2个千兆网口，万兆网卡用做存储网络使用；

提供双电源模块，防止因单电源故障产生的服务器宕机现象发生。

产品资质

投标所选云服务器需提供3C认证证书；

云服务器内置虚拟化软件。

指标项

参数要求

功能要求

▲软件平台可管理VDI架构的瘦终端和IDV架构的胖终端两种类型，同时提供两种终端的统一管理。要求在带有品牌LOGO的管理界面提供管理功能截图并加盖厂商公章；

▲本次配置的单台云服务器安装云桌面软件后可以同时支持不少于50个VDI架构的瘦终端和3800个IDV架构的胖终端；

在同一管理页面中，可以看到VDI和IDV两种终端的在线状态；

★为满足教育资产设备利旧和统一管理，配置300用户VDI云桌面软件授权以及300套软客户端，配置3800个IDV架构的胖终端管理授权；

▲提供体检工具软件可一键式对整体云桌面环境进行软硬件检查、修复部分常见问题，并能生成相应的云办公体检报告，支持软件安装向导功能，可通过向导，引导使用者顺利完成在云桌面系统中为所有用户安装软件的安装操作，支持故障排查功能，提供常见问题及解决方法的资源汇总。提供国家级权威测试机构出具的证书复印件并加盖厂商公章；

提供B/S架构的云主机统一管理界面，可实时显示在线终端列表和云主机的负载情况，支持分别对VDI虚拟桌面及IDV终端实现一键关机功能；

提供操作系统镜像管理和制作功能，并根据VDI和IDV两种架构将镜像分为两类保存。IDV镜像可以设置为组间镜像为IDV云终端提供组内镜像模板。也可将镜像绑定给特定用户或者用户组，实现为IDV特定终端用户/用户组定制操作系统的功能；

提供用户管理功能，支持自由创建用户或者用户组功能，并可为用户或用户组设置虚拟机镜像，从而实现办公环境多样化的系统环境；

IDV模式下智能云终端具备低带宽环境部署能力，且即使网络中断，用户的当前办公操作也不会受到任何影响（操作系统不会终端或重连）；

IDV模式下，智能终端具有本地显卡，可以支持如CAD、3DMAX、MAYA等3D程序的基础操作。同时终端具有本地虚拟化层执行终端本地运算，不消耗服务器资源；

提供终端USB外设管理功能，可基于用户或用户组，允许或禁止使用某一类型的USB外设。预设外设类型包含输入设备、存储设备、UKEY、办公设备、读卡器、手机等；

终端管理中，IDV终端并能够显示终端模式、绑定用户、当前镜像、终端IP、磁盘容量、在线状态等信息。并支持管理选择任意终端关机或重启，从而大幅提升远程运维效率，降低需要到现场解决问题的几率；

VDI和IDV终端均支持访客模式，即云终端无账号登陆模式，该模式下即使没有账号的临时用户也可以使用云终端登陆临时系统办公，适合在公共场合部署；

用户认证可支持与AD域账号对接，终端的虚拟机系统支持自动加域；

▲局域网环境下，当终端处于非NAT网络环境时，管理界面提供VDI和IDV终端远程协助功能，即管理员征得终端用户同意，可远程协助操作终端虚拟机，无需到现场解决问题。要求提供操作界面截图，需加盖厂商印章；

▲管理界面提供消息发送功能，用户不需任何操作即可在虚拟机桌面收到消息弹窗，通知消息有效到达用户桌面，管理员可在管理界面可查看以及删除历史消息。要求提供操作界面截图，需加盖厂商印章；

管理员可使用在线客服支持功能，获取实时技术支持服务；

提供镜像编辑快照及回滚功能，每次启动镜像编辑之后，都会自动保存一份快照，管理员可将快照回滚至快照点；

▲提供打印机管理功能，能够将打印机配置上传至云端，使得还原桌面无需重复配置打印机。要求提供操作界面截图，需加盖厂商印章。

指标项

参数要求

★硬件要求

与云桌面软件同一品牌；

软硬件一体化设备，内置虚拟化系统和软件；

配置≥Intel第八代双核四线程处理器（处理器主频≥3.7GHz）；内存≥4GB，显卡≥Intel UHD 610；本地存储≥256 GB SSD；内置802.11ac无线网卡；

配置≥21.5寸显示器，分辨率≥1920×1080；

USB接口≥6个（包含≥2个USB 3.0接口），≥1个千兆网口，≥1个HDMI接口，≥1对音频输入输出接口；

内含有线键盘、鼠标各一个，一个鼠标垫；

配置≥1个内存扩展槽，≥1个硬盘扩展槽；

终端支持在第八代CPU下运行XP及win7等老系统；

为用户提供更优质的屏幕使用体验，提供三面无边框屏幕，屏占比≥90%。

产品资质

为保障所投设备质量优异，可靠性高，要求所投设备平均故障间隔时间（MTBF）不低于120000小时，提供第三方测试报告复印件并加盖厂商公章；

投标所选终端需提供3C证书。提供证书复印件。

功能要求

具备关屏功能键，一键可实现关闭屏幕显示，再次按下屏幕显示打开；

使用者经常会插拔U盘或耳机等外界设备，为了使插拔方便，屏幕右侧提供U口与耳机接口，使用者插拔U盘时无需起身即可完成；

为了适用不同的业务应用场景，终端支持多种模式切换，包含但不限于个人桌面使用的个性化模式、公共桌面使用的还原模式、公共查询端使用的无账号公用模式；

保障业务连续性，在网络中断的情况下，依然支持离线使用虚拟云桌面；

终端支持U盘传输镜像，并可将终端转化为镜像分发服务端，对外快速分发镜像；

具备屏幕亮度调节功能键。可实现屏幕亮度增加、减弱功能；

支持双屏扩展显示，双屏异显（扩展屏）、双屏同显（复制屏）。

指标项

参数要求

★硬件规格

软硬件显示器一体化设备，内置嵌入式操作系统和软件；

为保证办公软件运行的兼容稳定，需采用ARM架构的云终端；

处理器性能不低于Cortex A9四核，主频不低于1.6GHz；要求配置内存容量≥1GB，集成显示器≥19.5英寸；

内置存储空间≥8GB；配置USB 2.0口≥4个，1个百兆网口，1对音频输入输出口；

内含有线键盘、鼠标各一个，一个鼠标垫；

具备防盗设计的显示器背挂架。

产品功能

支持主流办公软件，如Office,flash等，保障办公业务平稳开展；

▲支持POE+方式通过网线供电和传输数据，无需接入强电；

支持锁屏功能，用户可以通过锁屏键从虚拟桌面退回到登陆界面，防止用户离开座位时系统被他人误操作；

支持桌面抢占功能，用户在A处登陆虚拟桌面后，若在B处再登陆同一账户，则可以登陆成功并且A处会自动退出；

▲支持离线模式。客户可以在网络中断时选择进入系统离线模式，并可以插入U盘直接打开office类型文件以及视频文件继续上课，不会产生重大办公灾难。提供实际操作截图证明与第三方权威机构测试报告；

▲为保障所投设备质量优异，可靠性高，要求所投设备平均故障间隔时间（MTBF）不低于120000小时，并提供第三方测试报告复印件并加盖厂商公章。

产品资质

投标所选瘦终端一体机需提供3C认证证书。

指标项

参数要求

基础大数据平台

（1）平台应基于大数据基础构架，具备海量数据接入、存储、访问、计算能力；

▲（2）平台应支持分布式部署方式，支持首次部署结束后根据负载要求灵活扩展，提高存储、计算能力，且不影响业务运行，部署模式支持集群部署且集群规模不低于100台；

（3）数据存储应支持Redis内存缓存、Kafka分布式消息系统、关系型数据库、Elasticsearch搜索引擎，支持Hadoop生态存储系统（HDFS分布式文件系统、HBase分布式键值存储、Hive数据仓库），支持不低于百TB级别数据存储与访问；

▲（4）数据计算应支持YARN集群资源调度，Spark批处理、SparkStreaming流处理、SparkSQL查询引擎，Flink流式计算，支持分布式CEP复杂事件处理，实时处理能力单机至少支持1万EPS可以横向扩展，离线处理能力支持百TB级别数据分布式计算；

（5）平台应具备可扩展性、开放性，提供API支持以组件形式二次开发扩展平台功能；

（6）平台部署应支持高可用，支持数据冗余存储、故障备份恢复，当存在集群节点失效时应保证平台功能继续正常运行。

数据采集

（1）平台应支持多种协议的数据接入，包括但不限于FTP、SFTP、UDP、TCP、Netflow、本地文件系统；

（2）平台应支持单向光闸场景数据接入，支持利用转发模块完成不同网络间的数据摆渡；

（3）平台应支持对接入数据直接以文件形式进行存储或者解析规范化后存储至数据仓库或者搜索引擎中，数据保存时间应提供配置项且满足合规要求；

▲（4）平台应支持配置灵活的解析规范化规则采集第三方安全设备日志，并实现异构日志格式归一化。平台应支持代码插件式解析、界面配置规则式解析。其中界面配置规则支持解析json、kv、csv、正则表达式类型，不同类型支持配置相关解析参数，正则表达式类型解析支持界面划取字段配置，支持配置多级解析提取嵌套字段，支持配置规范化规则对解析提取的字段进行字段类型、名称、取值规范化。支持解析规则配置与解析插件在界面进行导入导出（提供功能截图并加盖原厂公章）；

▲（5）平台应默认内置至少300种各厂商设备日志类型的解析规范化规则（提供功能截图并加盖原厂公章）；

（6）平台应支持灵活的配置选取接入协议、解析规范化规则完成数据接入，支持对数据接收、数据解析、数据存储速率进行监控并界面展示，支持配置允许接入日志的ip地址白名单，支持查看最近解析失败的原始日志；

（7）数据采集应支持水平扩展，通过增加节点数量提高接入性能，单机日志接入性能不低于1万EPS；

（8）平台应支持对归一化处理后的日志进行安全分析，通过规则引擎识别日志关键字段，在不影响原有日志的前提下，生成全新的安全事件信息；

（9）平台应支持通过ipv4\ipv6地址接入数据，支持通过ipv4\ipv6地址提供外部访问。

资产管理

（1）平台应支持多维度资产管理，进行多维度资产视图分析，系统至少内置五种视图：资产组视图、业务系统视图、组织结构视图、地理位置视图、行业视图；

（2）平台应支持对至少10000个网络资产进行发现探测，对暴露在互联网上的网络资产设施进行检查，包括但不限于资产核查、脆弱性检测、完整性检测、可用性检测和认证检测；

▲（3）平台应支持按照不同视图对资产信息进行统计包括各视图下节点数、各节点下资产数、各类型资产数等统计（提供功能截图并加盖原厂公章）；

（4）平台支持ipv6形式资产管理，包括ipv6单地址、ipv6形式网站资产管理；

（5）平台应支持至少1000000个资产的信息录入及管理；

（6）平台应支持资产标签功能，且至少40种标签以上，根据标签可快速查询资产用户，可自义资产属性字段；

（7）平台应支持手工注册资产，支持对重要资产进行修改/删除、批量导入/导出/添加/修改/删除等多种方式的管理；

（8）平台应支持自定义资产属性，包括文本属性和树属性，支持自定义视图属性，可选择为特定类型资产指定增加自定义属性；

（9）平台应支持灵活的资产导入策略，从文件导入资产时支持新增、合并、覆盖等导入策略选择；

（10）平台应支持对客户给定的互联网IP段或网站域名进行扫描，比对已知网站资产备案情况，及时识别未备案的资产情况；

（11）平台应支持资产发现能力，至少具备主动扫描发现资产能力，主动扫描支持联动漏扫设备下发资产扫描策略并上报扫描结果；

（12）平台应支持资产稽查比对，对于实时发现资产和已有资产库资产比对分析资产新增、变更、减少的情况，变更分析需要细致到资产属性粒度，即可查看具体端口、服务的变化情况；并支持对资产发现结果进行处理，可选择入库或者丢弃；

（10）平台应支持资产的导入/导出、全量备份及恢复能力；

（11）平台应支持“IP+探针ID”的资产识别方式，支持对不同单位监测到的相同内网IP资产进行区分和处理；

（12）平台应支持围绕客户的资产树展开风险分析。通过基于资产树的方式对资产进行脆弱性呈现，通过资产数能够快速了解出现高危脆弱性的资产所处位置、所属单位（部门）、负责人等，从而快速定位、快速解决；

（13）平台应支持对失陷资产进行判定，并提供失陷资产的统计和展示。

漏洞监测分析

（1）平台应支持对重点单位或重点网站的漏洞扫描能力，支持向安全采集探针下发系统漏洞扫描任务、网站安全漏洞扫描任务、口令猜测扫描任务，通过平台进行统一扫描任务监控、管理，对扫描结果可以进行可视化呈现；

（2）平台应支持离线漏洞结果数据导入平台进行进一步分析的能力，至少支持绿盟RSAS的离线导入；

▲（3）平台应支持在线下发漏洞扫描任务的能力，应支持灵活的任务策略配置，包括但不限于：调度策略（立即、定时、周期）、扫描设备选择（支持自动/手动指定扫描设备进行漏洞扫描）、漏洞模板策略、登录扫描参数、扫描引擎参数等（提供功能截图并加盖原厂公章）；

（4）平台应支持对扫描任务进行灵活多样管理的能力，支持扫描任务过程中的进度及状态查看，支持对任务的删除，重扫、查询等操作

（5）平台应支持对于漏洞扫描任务进行结果展示的能力，包括但不限于：发现的资产列表、漏洞列表、漏洞统计、漏洞分布、脆弱性评分等数据展示；

（6）平台应支持漏洞库管理能力，漏洞数应不少于5w，支持添加自定义漏洞模板分组、自定义漏洞模板不少于500个，支持扫描任务策略自定义模板的选择；

（7）平台应支持漏洞扫描结果手动和自动验证能力，可手动选择部分漏洞处置单进行验证扫描；

（8）平台应支持漏洞扫描结果自动生成漏洞处置单的能力，支持对漏洞处置单闭环处理，可设置漏洞处置单状态包括：新增、待修复、已修复、已验证、单次忽略、永久忽略；

（9）平台支持对漏洞处置单进行批量处理的能力，可批量设置状态，批量设置责任人，批量添加备注；

（10）平台应支持对漏洞处置单中的每个漏洞情况展示详情的能力，包括扫描验证信息，漏洞描述、漏洞修复建议，漏洞处置耗时信息等，漏洞处置时支持用户添加自定义解决方案，支持添加备注信息

（11）平台应支持对漏洞处置单的处置过程进行记录的能力，记录应包括：时间、账号、具体操作、备注等信息。

（12）平台应支持对漏洞处置单进行多维度统计，包括资产维度，状态维度，优先级维度统计；

（13）平台应支持对漏洞处置单中的内容进行灵活搜索，支持按照漏洞名称，漏洞等级，漏洞分类，来源，资产名称，资产IP、URL，资产组等维度进行查询；

（14）平台应支持漏洞分析能力，支持通过资产视角浏览不同资产上的漏洞分布情况，描述资产风险并统计不同资产上发生不同危险等级的漏洞数量，也支持通过漏洞视角浏览漏洞在不同资产上的分布情况，监测该漏洞发生的次数和出现在资产上的情况等；

（15）平台应支持漏洞闭环分析可视化展示，包括脆弱性值、脆弱性等级分布、漏洞数趋势、脆弱性值趋势、漏洞类型分布、漏洞TOP、资产脆弱性TOP等；

（16）平台应支持漏洞报表功能，可选择生成扫描任务报表、资产脆弱性报表，为客户撰写安全分析报告提供支撑。

日志威胁监测分析

（1）平台应支持多源异构安全设备告警日志数据的接入并分析能力，并根据日志分析出可疑的威胁事件，支持统计过滤、时序关联、机器学习等分析模型；

（2）平台应支持规则分析能力，应支持不少于200种内置分析识别规则并支持内置规则的升级，支持用户自定义规则，用户自定义规则可以支持导入导出；

▲（3）平台应支持复杂模型的分析能力，应支持DGA、决策树机器学习算法，提供僵尸网络场景、隐蔽信道场景、WebShell场景的检测，并输出相关的可疑事件（提供功能截图并加盖原厂公章）；

▲（4）平台应支持一定时间窗口内多种规则组合的分析场景，并输出相关的可疑事件（提供功能截图并加盖原厂公章）；

（5）平台应支持可疑安全事件的自动化生成能力，为方便后续研判，安全事件属性应至少包括：事件名称、事件类型、事件开始时间、事件结束时间、威胁等级、置信度、攻击结果、攻击链阶段、攻击者、受害者、来源设备、处置建议等；

（6）平台应支持原始日志的查询分析能力，支持提供快捷的全文检索条件，也支持通过时间范围、IP地址、日志类型、来源设备等条件进行查询，并对查询结果提供按时间分段的统计图，查询结果支持列表形式进行展示，支持自定义列表中展示的列，查询结果支持导出为Excel文件；

（7）平台应支持安全事件的查询分析能力，支持提供快捷的全文检索条件，也支持通过时间范围、IP地址、事件类型、来源设备、威胁等级等条件进行查询， 并对查询结果提供按时间分段的统计图，查询结果以列表形式进行展示，支持自定义列表中展示的列，查询结果支持导出为Excel文件。支持在页面内展示事件详细信息，事件详情包括但不限于：事件摘要、事件关键属性，攻击过程，涉及的攻击者、受害者详情，还包括关联的日志信息、情报信息，并展示攻击者使用的ATT&CK中定义的战术及技术；

（8）平台应支持按业务系统、网站、终端三种视角的威胁分析能力，支持根据受到的攻击和外发攻击两种维度展示资产相关的事件，并将事件以攻击链阶段统计和展示；

全流量威胁分析

（1）平台应支持接入并分析流量数据，接入的数据类型包括但不限于会话日志、http日志、dns日志、文件还原日志、FTP日志、邮件日志、Telnet日志、认证记录日志、数据库操作日志、登录日志、SSL/TLS日志、社会账号日志、ICMP日志、接口流量日志、Flow日志等；

（2）平台应支持流量数据的查询分析能力，提供会话日志和相关协议日志的关联分析；

▲（3）平台应支持接入还原的流量包数据，并在关联的流量日志查询页面提供下载（提供功能截图并加盖原厂公章）；

（4）平台应支持对流量日志进行分析，发现其中的可疑行为，可疑分析场景包括但不限于：风险账号、内部访问异常、数据泄露等）；

（5）平台支持可疑行为查询分析能力，可以对不同场景下的可疑行为进行预览和详细信息查看操作；

（6）平台应支持不少于25种内置可疑行为分析场景，内置场景支持升级；支持用户自定义的场景，且用户自定义的场景支持导入导出。分析场景支持在线和离线分析，离线分析支持定时和周期执行；

（7）平台应支持流量数据统计能力，统计内容包括但不限于：网络流量、应用占比、会话数量、开发端口分布、最大流量主机、DNS请求、DNS请求最多域名、被访问最多URL、被访问最少URL、境外访问数最多国家、外联数量最多国家等；平台支持展示以上所有统计结果。

情报分析

（1）平台应支持接入威胁情报，支持在线自动接入和离线手动导入；

（2）平台应支持多种类型的情报接入，至少包含：ip、url、域名、样本、漏洞、热点事件情报；

（3）平台应支持接入ip情报，ip情报至少包含：ip地址、地理位置信息、信誉等级、攻击类型、脆弱性指数、威胁指数、反向域名、提供商、操作系统及版本、运行的服务及版本、ip历史恶意行为、情报更新时间、关联的其他情报信息；

（4）平台应支持接入域名情报，域名情报至少包含：域名、whois信息、子域名、绑定ip列表、ICP备案、业务类型运行的服务及版本、域名威胁类型、域名威胁等级、脆弱性指数、威胁指数、标签信息（行业分类）、情报更新时间、关联其他情报信息；

（5）平台应支持接入url情报，url情报至少包含：url地址、真实url地址、页面标题、威胁等级、威胁类型、标签信息（内容分类）、Banner、内容类型所在域名情报、情报更新时间、关联其他情报信息；

（6）平台应支持接入样本情报，样本情报至少包含：样本md5值、样本sha256值、样本sha1值、威胁类型、威胁等级、是否为恶意样本家族、恶意样本家族名称、情报更新时间、关联的其他情报信息；

（7）平台应支持接入漏洞情报，漏洞情报至少包含：漏洞收录时间、漏洞情报更新时间、CVE ID、其他漏洞编号、风险等级、热度、CVSS评分、来源、影响的产品和版本、漏洞描述、外部链接、解决方案、处置类型、关联的其他情报信息；

（8）平台应支持接入热点事件情报，热点事件情报至少包含：事件名称、事件描述、首次发现时间、最近更新时间、关联的ip列表、关联的url列表、关联的域名列表、关联的样本列表、关联的漏洞列表、其他关联情报信息；

（9）平台应支持接入情报的本地化存储，并记录情报更新历史，情报存储支持千万级情报条目存储能力，界面可以查看本地各类型情报数量以及存储空间占用和更新历史；

（10）平台应提供情报信息的界面查询能力，展示情报的详情信息；

（11）平台应支持自动对安全事件、资产进行情报匹配，支持展示不同类型情报匹配中事件的历史趋势、各类型情报命中事件top条目、攻击链各阶段命中情报事件数目、命中情报事件攻击类型分布、命中情报事件威胁级别分布、高中低各级别漏洞情报匹配资产数目、关联资产数目漏洞情报top条目，对于匹配中情报的事件、资产，能够在相应列表或详情界面下钻到匹配中的情报详情；

（12）平台应支持界面查看最新漏洞情报列表以及配置漏洞情报预警，根据漏洞情报信息与平台管理资产进行匹配，匹配中后进行预警，通过邮件等方式发送预警信息。预警信息应包含漏洞情报详情以及影响的资产。漏洞情报预警支持在漏洞情报更新时自动触发，也可手动触发执行；

（13）平台应支持界面查看热点事件情报以及配置热点情报预警预警，支持界面配置关心的情报关键词和预警邮箱，当收到事件情报更新时自动匹配关键词，如果匹配中，触发预警发送邮件；

（14）平台应支持界面查看漏洞情报预警列表以及详情，支持对界面对预警情报设置处置标记，并统计展示已处置、未处置预警数量；

（15）平台应支持界面查看漏洞情报、热点事件情报预警趋势图。

态势呈现

（1）平台应支持以地图形式展示各个单位安全状况信息。支持大屏投放要求及分辨率兼容要求，且易于操作，展现形式多样，画面丰富，并且能够以地图、趋势图、饼状图等多种图形化方式展现网络安全态势情况，动态提醒当前网络最新的安全威胁；

（2）平台应支持所监测网络安全情况的态势呈现能力，态势呈现包括但不限于综合态势、威胁态势、脆弱性态势、环境感知态势、运维响应态势；

（3）平台应支持提供所监测网络安全情况的量化评估结果呈现，支持内置安全指标体系的风险评估模型和健康状态评估模型，计算整体环境的风险评分和健康状态评分；

（4）平台应支持对所有事件、日志、设备、资产、情报、失陷资产的数据进行监控，并对统计数据进行呈现；

（5）平台应支持对安全事件进行监控，支持通过攻击链等方式，准确标识处于攻击过程中不同阶段的安全事件情况，平台支持按照威胁类型进行统计分析；

（6）平台应支持对重点事件进行监控，通过列表方式滚动展示最近的威胁事件；

（7）平台应支持展示资产脆弱性等级分布情况，并以列表形式展示对资产影响最多的漏洞信息；

（8）平台应支持对导致资产失陷的攻击意图、资产数量、以及已处置的数量进行统计，并以列表的形式进行展示；

（9）平台应支持按外部威胁和内部威胁两种维度展示威胁类型的统计情况，并记录攻击源的总数；

（10）平台应支持按攻击识别分析手段统计展示规则总数，攻击识别手段包括机器学习、关联分析、行为基线分析；

（11）平台应支持按网络入侵态势、网站安全态势、僵木蠕态势、异常流量态势等不同分类类型展示当前受到的威胁统计情况，以饼图、趋势图等方式展示包括事件总数和子类统计情况；

（12）平台应支持展示APT威胁态势，并记录APT组织的名称和攻击次数；

（13）平台应支持按趋势图的方式展示最近7天的状态指数，以了解最近一段时间内网络整体健康情况；

（14）平台应支持提供运营状态统计数据，包括事件、失陷资产和工单的处置情况，以柱状图方式展示不同处置状态的统计数值；

（15）平台应支持提供封堵任务统计数据的展示；

（16）平台应支持提供攻击防护情况的统计，记录共攻击数量和总阻断数量；

（17）平台应支持提供漏洞运维状态统计，按总体漏洞和高危漏洞两个维度，展示漏洞总数以及漏洞关联的资产总数，并以柱状图的形式展示不同状态的漏洞处置单的统计情况；

（18）平台应支持展示资产情况的统计，包括资产、网站资产、未识别的资产、失陷资产、新增资产统计总数。同时支持资产拓扑图的展示，并提供拓扑图的配置功能。

安全治理

▲（1）平台应支持安全治理能力，能够结合环境数据自动化评估安全治理等级和评分，安全治理等级应包括优、良、待改进三级，总评分应充分结合建设情况指标、运行能力指标、安全态势指标、合规指标等加权计算得到（提供功能截图并加盖原厂公章）；

（2）平台应支持评估安全目标的达成情况，根据安全治理评分得到结论，区分安全治理成果是否达标；

（3）平台应支持运行能力指标展示，运行能力指标应至少包含安全处置指标、防御能力指标等，支持通过加权计算得到综合指标值（；

（4）平台应支持安全态势指标展示，安全态势指标应至少包含威胁指标、隐患指标、事件指标等，支持通过加权计算得到综合指标值；

（5）平台应支持合规指标展示，支持结合等级保护2.0相关条例对合规情况进行综合评分，以雷达图的方式进行展示。

（6）平台应支持对下级单位的安全治理结果进行统计展示，展示内容应至少包括：下级单位名称、责任人、资产数，安全状态统计（总事件数、总攻击成功事件数），安全目标、运行能力指标各项分值、安全态势指标各项分值、合规指标分值以及安全治理整体指标等级和分值情况。

权限管理

（1）平台应支持权限管理能力，支持对界面菜单功能访问以及平台数据访问进行权限控制；

▲（2）平台权限控制应支持分权分域，通过权限域划分可访问的界面菜单功能和访问资产、设备数据，权限域包含可访问的界面菜单功能列表和有权访问的资产、设备列表，权限域下用户只能对域内包含界面菜单功能进行访问，只能管理对应资产、设备列表相关业务数据。权限域支持组织成树状结构，下级权限域界面菜单功能列表和有权访问的资产、设备列表只能分配为上级权限域子集；

（3）为保证不同角色人员对平台的友好使用，平台应支持通过角色分离实现三权分立，且至少应包含三类内置角色：系统管理员：负责除日志审计管理外的所有功能；用户：由系统管理员生成，管理其相应业务；审计管理员：负责审计系统管理员和用户的工作；

（4）平台应支持用户管理能力，支持系统管理员在界面查看已创建用户，除顶级域系统管理员，只能查看当前所在域用户账户，可对用户账户进行启停、编辑操作，可创建新用户账户。账户属性应至少包含：用户名、密码、邮箱、电话、所属权限域、角色、所属用户组、登录ip列表、用户首页。其中除了用户名，其他属性支持创建后可编辑；

▲（5）平台应支持用户组管理能力，支持界面配置用户组，展示用户组织结构（提供功能截图并加盖原厂公章）；

▲（6）平台应支持权限域管理能力，支持界面查看、创建、编辑权限域，为权限域分配菜单功能权限和资产设备列表，仅允许系统管理员管理所在权限域以及下级子域（提供功能截图并加盖原厂公章）；

（7）平台应支持当前账号管理能力，支持界面查看、编辑当前账号信息，修改密码；

（8）支持登录使用验证码，支持账号登录密码尝试次数过多时锁定账号，支持账号超时自动登出，支持上述功能界面配置；

（9）平台应支持配置密码安全性策略，包含密码最小长度、密码复杂度（包含不同字符类型数目）、密码不与历史密码重复、密码有效期天数、密码有效期提醒时间。支持界面配置弱密码字典，并开启弱密码检测；

（10）平台应支持账号操作审计能力，所有账号界面操作记录审计日志，审计员角色账号可查看审计日志，可根据时间范围、登陆ip、登陆用户、操作内容搜索过滤审计日志，支持导出备份审计日志，审计日志不可删除，最长保留至少一年。

多级部署

（1）平台应支持多级部署，上下级平台支持在界面中通过配置方式进行对接，并查看联通状态，支持配置多个下级平台或上级平台；

（2）多级平台部署时，下级平台应支持上报数据到上级平台，下级平台支持从界面选择外发的数据库表或者索引，通过配置过滤条件执行外发。上级平台应支持从界面选择接收下级平台存储数据的库表、索引，并将接收到的数据根据数据类型自动路由到目的库表、索引；

（3）平台应支持北向接口能力，支持外发数据对接第三方平台，至少支持UDP、FTP、SFTP数据外发，支持界面选择平台存储库表、索引，配置过滤条件提取数据，配置外发数据构造模板格式化数据到字符串，配置外发通道协议参数进行外发；

▲（4）平台应支持对第三方提供服务，支持对外以webservice形式暴露平台、组件对外接口，支持基于token的接口调用认证机制，支持界面配置token授权的调用接口、授权的ip白名单、授权有效期天数（提供功能截图并加盖原厂公章）。

系统运维

（1）平台应支持运维人员通过web方式登录平台进行运维管理；

（2）平台应支持通过操作界面对系统的各项配置进行管理，包含但不限于：用户账号管理、权限管理、组件管理、数据接入配置、级联配置、存储管理、任务管理、集群主机管理、大数据存储计算设施管理、系统升级等；

（3）平台应支持通过操作界面配置平台进行集群部署，支持选择部署节点并检查节点是否满足平台部署要求，支持选择部署的大数据存储计算设施以及设施各角色实例部署节点，支持配置大数据存储计算设施重要部署配置参数。支持自动化集群部署能力，能够自动完成节点、大数据存储计算设施部署并且界面打印部署日志；

（4）对于已完成部署的平台，应支持界面监控平台的整体运行状态，包含但不限于集群节点运行状态、各大数据设施运行状态、集群整体CPU使用、集群整体内存使用、集群整体磁盘使用、集群整体磁盘IO、集群整体网络IO、集群整体负载指标对应趋势图等；

（5）对于已完成部署的平台，应支持监控集群中每个节点的运行状态，包含不限于节点主机名、节点IP、节点联通状态、节点CPU使用、节点内存使用、节点磁盘使用、节点磁盘IO、节点网络IO、节点负载以及上述指标对应趋势图，节点上运行的各大数据设施实例运行状态、CPU使用、内存使用，支持进行节点增删操作或者大数据设施实例启停操作；

▲（6）对于已完成部署的平台，应支持监控集群中各大数据设施运行状态，包含不限于各设施部署节点数、运行状态、是否HA、设施各实例运行信息（所在节点、运行状态、CPU使用、内存使用），可对实例进行启停操作或者在新节点上增加实例部署。支持查看大数据设施自身监控指标，例如：HDFS存储块数、YARN上运行任务数及资源占用、Kafka写入速率、Kafka消息读取速率、Kafka队列写入消费速率，支持修改大数据设施配置参数，例如：CPU内存资源配置等（提供功能截图并加盖原厂公章）；

（7）对于已完成部署的平台，应支持配置CPU、内存、磁盘使用告警阈值，达到阈值产生阈值告警，并支持邮件、syslog告警通知外发能力；

（8）平台应支持高可用性，支持界面上为平台主控节点配置HA节点，支持查看当前主控节点运行状态，包含但不限于：节点IP、节点CPU使用、节点内存使用、节点磁盘使用、节点磁盘IO、节点网络IO、节点负载以及上述指标对应趋势图。支持界面查看备份节点联通状态，添加或者替换当前备份节点；

（9）平台应支持界面修改集群节点IP，并支持批量修改；

（10）平台应支持时钟同步能力，支持界面配置NTP时间同步服务器；

（11）平台应支持应用软件的平滑升级操作，支持界面上传升级包对平台整体统一进行升级，升级过程出现故障应支持升级回滚，保证平台和业务正常运行；

（12）平台应支持功能组件化，便于功能扩展，支持界面操作灵活安装、升级、卸载、启用、停用平台扩展功能组件，自动识别并处理组件间功能依赖、组件与存储计算设施之间依赖，保证组件正常运行。支持查看组件升级历史和组件间依赖关系；

（13）平台应支持对平台运行异常进行监控告警，并在发生告警时进行声光提示。应支持查看历史告警信息，展示告警时间、告警类型、告警内容、告警状态、告警优先级，可根据时间范围、告警优先级、告警状态、告警类型、告警内容搜索过滤告警。支持对告警进行删除和处理操作，支持批量删除和处理；

（14）平台应支持数据库备份功能，支持周期性对主控节点管理数据库进行备份，支持界面配置备份是否开启，备份周期和保留备份数量，支持界面导出备份数据；

（15）平台应支持对存储索引、库表进行统一管理，支持界面查看库表存储空间占用情况，支持配置存储空间配额上限，达到上限触发告警并不允许继续存储，支持配置数据保留时间，自动清理过期老旧数据。支持手动按照时间清理过期数据；

（16）平台应支持对常驻、周期性调度计算任务进行统一托管调度，监控任务运行状态，任务异常时进行恢复。支持界面查看当前已提交的任务，以及任务类型、任务运行情况，支持界面重启任务，修改任务的执行配置参数。支持配置逻辑任务组汇总任务资源，根据任务组分析任务CPU、内存资源使用开销和趋势；

（17）平台应支持集群节点防火墙策略的统一配置管理，支持最小化权限开启服务端口。界面可以配置针对白名单开放调试端口以及开放时间，并在限制打开时间结束后自动关闭；

（18）平台应支持对系统运维数据进行统计分析，并进行展示，包括但不限于：重点事件、失陷资产、日志、攻击源、资产、漏洞、情报、设备、事件、阻断事件的统计数据，支持自定义运维监控页面内可以展示的内容。

运维响应

（1）平台应支持从漏洞管理、威胁管理、流量分析等模块推送需要运维的安全事件进行处置，推送内容包括优先级别、事件ID、事件名称、运维对象、事件类型、分类、事件分级、来源、发生时间、次数、状态、处理建议等相关信息，并且支持自定义添加佐证截图和事件影响描述；

（2）平台应支持对威胁、失陷主机、网站安全事件、脆弱性等事件进行统一运维处理，提供统一入口；

（3）平台应支持威胁事件的预判策略配置，包括事件归并策略、白名单策略、自动处置策略配置；

（4）平台应支持待办事件展示能力，支持对默认待处理事件、全部事件进行列表展示；并支持按照自定义条件过滤后的事件生成新的tab页面，且各账号可保持自己的自定义tab，个数不少于3个；

▲（5）平台应支持对安全运维事件的多维统计分析，支持按照类型、等级、状态、优先级进行统计分析；支持按照时间、等级、优先级对事件进行排序展示；支持按照各条件对事件进行快速查询，包括但不限于时间范围、事件分类、优先级别、事件ID、事件名称、运维对象、事件类型、分类、事件分级、来源、状态、责任人等（提供功能截图并加盖原厂公章）；

（6）平台应支持对安全运维事件进行标记，事件状态包括未处理、研判中、处置中、已处理、忽略、误报等过程实现安全运维事件的处置流程，用户可以任意按照实际情况设置事件状态，可多次修改状态；

（7）平台应支持对安全运维事件的批量处理操作，包括但不限于：批量忽略、误报、确认、提交研判、优先处理；

（8）平台应支持对安全运维事件设置白名单操作，可按照IP、事件名称等进行白名单策略设置；

（9）平台应支持对安全运维事件进行邮件通报，可设置接收通报邮箱，数量不少于8个；

（10）平台支持对安全运维事件选择生成工单，生成工单时支持设置责任人工单名称、备注、等级等信息；支持自动跳转工单管理APP；

（11）平台支持对安全运维事件选择进行一键封堵，可设置封堵类型、封堵对象、封堵设备、封堵原因、封堵时间等信息；

（12）平台应支持对安全运维事件进行管理，支持附件提交、备注、责任人修改、等级修改、状态修改等操作；

（13）平台应支持查看安全运维事件的处理历史记录，记录应至少包括：事件、操作账号、具体操作、附件文件等；支持对附件文件的下载查看；

（14）平台应支持查看安全运维事件的详情信息，详情至少包括事件基本信息、处置信息、证据信息等；关联事件、关联日志查看；

（15）平台应支持为特定运维事件手动添加关联事件及关联日志，手动添加时支持对事件、日志的查询，可基于查询结果选择添加关联；支持添加关联事件不少于30条；

（16）平台应支持对威胁事件的攻击过程、流量取证、攻击图等证据信息展示，支持攻击描述、攻击时序过程等详细信息展示；支持攻击者、被攻击者视角的攻击关系图形化展示；

▲（17）平台应支持对失陷资产事件的失陷举证、流量调查、图谱分析等证据信息展示，失陷举证应至少包括失陷事件列表、资产漏洞列表、攻击时序图、攻击过程、攻击详情等信息展示；流量调查应至少包括：攻击者回连、外联国家、攻击者文件传输、资产外发文件、开放端口、外联端口等TOP分析展示（提供功能截图并加盖原厂公章）；

（18）平台应支持对关注的IP进行跟踪监视，形成跟踪列表，支持将关注的IP作为攻击者或受害者两种维度的跟踪类型进行监控。当关注的IP为资产时还要呈现关联的资产名称、资产组等信息。支持将关注IP相关的攻击事件和日志进行分析，并展示事件类型最多的三种类型、最近攻击时间、最近1小时日志总数。支持对需要跟踪的IP进行增加、编辑和删除。

工单管理

（1）平台应支持将安全事件以工单的形式通知用户进行工单处理，支持邮件通知；

（2）平台应支持手动创建工单，工单属性包括但不限于：工单ID、工单名称、工单类型、工单等级、工单创建时间、工单创建者、工单当前责任人、工单状态、工单通知方式、工单处置天数、工单在当前责任人滞留天数、工单关联的事件、工单处置历史记录等。其中工单类型应至少支持运维事件处置工单、以及其他等；工单状态应至少包括：新建、处置、关闭；

（3）平台应支持工单数据查询，至少提供按工单状态、等级、类型、工单名称、工单ID查询工单；

（4）平台应支持工单数据的权限管理，所有的运维人员都可查看平台所有工单，可通过责任人是自己来查看自己的工单；仅支持对责任人是自己账号的工单进行操作。

一键处置

（1）平台应支持一键封堵的权限管理能力，支持分账号、分权限的封堵策略管理，一键封堵角色需至少区分操作员、审批员、管理员，且支持多角色共存；

（2）平台应支持一键封堵审批流程配置与管理，支持操作员新建封堵输入、申请解封堵、选择封堵设备等操作，支持审批员审批封堵申请、解封堵申请，审批环节支持本地审批与第三方审批插件审批；

（3）平台应支持封堵状态获取及查看，支持判断封堵成功、封堵失败、解封成功、解封失败等状态；

（4）平台应支持对被封堵对象的解封能力，至少支持手动解封及自动解封两种状态；

（5）平台应支持联动封堵设备，可以绿盟ADS、WAF、UTS设备进行针对IP、域名、会话进行封堵，支持黑名单、流量牵引等方式进行封堵；

▲（6）针对不同客户场景，平台应至少支持2类以上旁路部署的封堵设备进行联动封堵，当封堵设备发生故障时，不会影响被监测单位的自身业务（提供功能截图并加盖原厂公章）。

服务模块

参数要求

信息资产核查服务

服务频率：客户互联网资产核查一年6次，总部内部服务器资产核查一年2次；

服务范围：所有客户；

具体服务内容：

（1）针对面向互联网的网站进行资产核查。

（2）针对宁海县教育局客户，内部主机、数据库、中间件、核心网络设备全量资产进行识别、梳理。

（3）出具资产清单，包括但不限于硬件配置信息、ip、操作系统版本、属主等。

▲（4）使用无需二次定制或开发的专业便携式三合一安全扫描设备（主机扫描、web扫描、基线核查）(设备规则库需与官网公布的规则库保持一致)，提供截图证明并加盖原厂公章。

漏洞扫描及分析服务

服务频率：一年12次。

具体服务内容：

（1）使用专业工具，在通用模板上定制适合宁海县教育局客户的检查模块。对评估范围内目标进行安全扫描；

（2）对主机、数据库、中间件、核心网络设备的漏洞、web服务器漏洞、用户名与口令、安全策略等方面进行检查及评估；

（3）扫描结果，分析结果提供评估报告和可落地的漏洞解决方案；

（4）针对漏洞实例最多的前20种漏洞的原理及修复方式需要进行说明和介绍；

（5）需要对漏洞修复结果进行验证；

（6）需要对漏洞修复与处置情况进行追踪，定期统计分析并反馈漏洞处置情况；

▲（7）使用专业的漏洞扫描系统(系统漏洞库总数不低于120000条，插件总数不低于2100，需提供证明材料)，每季度进行漏洞扫描，提供相应的漏洞扫描报告，并对扫描结果进行分析确认，同时提出整改修补方案，并协助完成安全加固；

▲（8）使用专业的WEB应用安全扫描系统(WEB漏洞库数量不低900条，需提供证明材料)，每季度对WEB应用相关业务系统进行 WEB应用安全扫描分析服务（包含弱口令、 SQL注入、挂马、Oracle、Apache等各组件漏洞和其他涉及互联网应用安全的各种漏洞及攻击），提供相应的安全扫描报告，针对扫描结果进行分析验证，并协助完成安全加固；

（9）漏洞扫描工具需采用国内知名安全厂商自主研发工具，非OEM工具；

（10）漏洞扫描工具需支持智能端口挖掘，可以智能发现非默认端口启动的服务；

（11）漏洞扫描工具支持扫描主流虚拟机管理系统的安全漏洞，如：VMWareESX/ESXi，要求能够扫描大于4000条相关漏洞，并提供支持的漏洞列表。

需要在服务期间内，每月对宁海县教育局客户的生产测试网和办公网的操作系统、数据库中间件进行安全扫描，及时发现目标设备存在的漏洞等安全隐患，提出漏洞修复建议，配合宁海县教育局客户技术人员对所存在的漏洞进行修复确认。发现漏洞后，进行人工的详细分析和手工确认和复核，并依此形成相应的现状报告和修复建议报告；出具相应的漏洞扫描报告以及需要人工验证的出具人工验证报告。

服务成果：

《宁海县教育局客户安全漏洞扫描报告》。

报告中，需要对当次扫描服务范围内的安全状况进行一个整体概述，对主机系统，网络设备，开放服务和漏洞情况进行一个统计。还包括弱口令，每个主机的安全扫描报告。以上内容需要通过表格，饼状图，柱状图等直观地表现漏洞情况和安全情况。

评估人员需要根据漏洞扫描的结果针对每个漏洞进行详细描述，描述内容至少包括了漏洞厂商、威胁目标、危险级别、危害描述、检测依据以及投标厂商提供的详细解决方案等。

除此之外，评估人员还需结合检测目标的具体应用提出深层次的安全建议，为宁海县教育局客户管理人员的后期维护提供参考。

威胁监控与分析服务

服务频率：宁海县教育局客户一月两次，全年24次；

服务范围：宁海县教育局客户。

具体服务内容：

（1）安装部署专业分析工具，配置适用于宁海县教育局客户的威胁监测及分析的模板。

（2）对专业工具、网络设备WAF、IPS等设备的安全告警进行分析。

（3）提供专家服务，对安全威胁及事故进行调查取证，并提供处置建议。实现热点事件的预警与防护、高危访问源的监测与辅助封杀处置、可疑安全事件的发现与确认，每周一次。

（4）根据威胁分析结果对安全设备策略进行优化，每周一次。

（5）针对攻陷类事件进行通告，并对事件的处置情况进行追踪，定期对事件统计分析并反馈事件的处置结果，每周一次。

（6）提供远程7*24小时威胁监控服务。

其中专家服务提供以下内容：

热点事件的预警与防护：

在通告预警阶段，当前出现热点事件时，需通过电话、短信、邮件等方式向宁海县教育局客户发起安全事件的预警，将安全事件相关背景信息、漏洞与攻击相关特征及通用处置建议发送给宁海县教育局客户。在安全防护阶段，安全专家可在宁海县教育局客户授权下，对安全检测和防护类设备的规则库进行升级并配置安全防护策略，通过这种方式预防来自互联网的新型威胁；

高危访问源的监测与封杀：

高危访问源的监测与封杀需要提供在攻击者找到攻陷方法或路径之前，针对访问源进行拦截，针对高危访问源的封杀，使得宁海县教育局客户有效提升攻击者的时间成本、技术成本迫使对方放弃攻击；

可疑安全事件的发现与确认：

服务需提供采用互联网边界访问行为检测与流量深度分析相结合的方式，帮助宁海县教育局客户发现并确认可疑的安全事件。可以通过系统攻击检测、web攻击检测、网站安全监测（或通告）和威胁情报等有效方式发现可疑安全事件；

对可疑事件进行排查和确认，在排查确认后快速向宁海县教育局客户发起安全事件通告，并开始启动应急响应。

应急响应及技术支持服务

服务频率：一年6人天。

服务范围：宁海县教育局客户。

具体服务内容：

（1）对突发的安全事件进行响应，必须在规定的时间内进行做出相应措施来对应。

（2）及时提供最新新增漏洞的检查方式，加固建议等方案。

（3）提供最新的安全资讯，以及新的安全态势报告。

▲（4）投标人在宁波本地的工作人员7*24小时待命，重要业务系统存在漏洞及其他安全问题时遭到攻击或入侵时，全年提供2小时到现场，6小时提供解决方案的网络安全技术应急服务，同时协助完成应用系统的应急演练方案起草和具体实施工作。

（5）完成《宁海县教育局客户应急响应报告》。

厂商资质要求

具备中国信息安全测评中心颁发的一级风险评估类资质，提供中国信息安全测评中心所颁发证书的复印件;

具备强大的应急响应和技术支持能力，属于国家计算机网络应急技术处理协调中心(CNCERT/CC)认可的国家级网络安全应急服务支撑单位，提供相应的证明材料；

具备主动发现主流操作系统或应用系统新漏洞的能力，被CVE收录并公开发布的漏洞数量不少于80个。需提供详细的CVE漏洞列表、安全厂商官网公开链接证明；

具备对主流系统的漏洞挖掘分析能力，曾多次获得微软MAPP项目奖励，提供微软官网网站链接。