采购需求

第一节、技术要求

 1、项目情况描述

• • 1.1建设背景

     按照国家、省、市关于网络安全和信息化发展的工作要求，结合贵州省大数据发展管理局电子政务外网三期工作安排，为全面提升我市电子政务网络及相关业务应用系统的安全防御能力，构建以遵义市电子政务外网网络安全保障体系为总体目标，根据有关法律法规及政策文件精神，为提升我市电子政务外网网络安全保障体系的服务能力，加强电子政务外网网络安全基础设施及技术手段，增强电子政务外网安全威胁监测能力以及重要业务系统安全风险深度监测预警能力，确保我市电子政务外网安全运行和电子政务业务健康发展，拟开展我市电子政务外网安全态势感知系统项目建设，通过建设此系统以提升我市电子政务外网安全预警、监测能力，提高横向防御能力，及时发现、定位及处置潜伏在我市电子政务外网的安全威胁。

• 1.2建设目标

     根据贵州省电子政务外网三期建设要求，遵义市安全态势感知系统是在遵义市电子政务外网建设基础之上的提升改造工程，是我市大数据以及电子政务发展的核心基础支撑工程，为政务数据资源全面整合和共享交换提供基础支撑，促进市县两级政务数据一体化，从整体上进一步提高政府数据资源的利用水平，提高政府行政效能、决策能力和服务水平，提升我市大数据以及电子政务发展水平。建设完成后的系统具备预警市电子政务外网潜在网络风险、具备监测电子政务外网、云上遵义业务系统之间流量走向、具备监测单位安全情况等安全预警与检测能力，实现市电子政务外网安全信息统一管理。

• 1.3建设需求

    本次建设的系统要能贯穿安全风险监控、分析、响应和预测的全过程，以威胁、风险、资产、业务、用户等为对象，基于安全日志、网络流量、用户行为、终端日志、业务数据、资产状态等多源数据，结合外部情报，对全局状态评价、外部攻击评级，实现“事态可评估”；通过对攻击趋势和资产风险趋势分析，实现“趋势可预测”；结合大数据关联分析和威胁情报对未知威胁进行智能检测识别，实现“风险可感应”；通过对攻击溯源取证、协同联动、工单流程闭环处理， 实现“知行可管控”。

系统建设需要满足以下功能：

（一）态势感知主平台集群化部署，支持全面的数据收集与存储扩展

      主平台需要依照集群化部署原则，实现三台以上服务器的大数据集群化部署，并拥有大数据并发处理机制，保证设备具有并行计算的能力。

      在复杂的网络环境下，管理者很难获得一个全网安全的综合视图，无法掌握整个网络的安全态势。而态势感知的基础是数据，因此，系统应具备各类数据统一采集和标准化的能力。采集的数据类型应涵盖且不限于网络中各类关注对象（网络设备、安全设备、服务器、数据库、中间件、应用系统）等的安全日志、网络中的流量数据、终端主机日志、漏洞、威胁情报等。

      同时，传统的技术架构在大规模网络和海量数据的环境下，性能瓶颈是个难以解决的问题，为解决性能和扩展性问题，系统应采用可灵活水平扩展的分布式架构，数据采集使用分布式采集探针，可根据采集数据量和网络拓扑的需要灵活增加探针的数量，数据存储和分析系统亦可根据需保存的数据量和计算资源需求通过增加节点的方式进行灵活的水平扩展。

（二）攻击态势展示，针对省对我市通报高危 IP 内容实现攻击溯源，攻击取证。

      通过对各种网络设备、安全设备、服务器、主机和业务系统等的日志信息采集分析和流量采集分析，实现对整网安全攻击情况的可视化呈现和趋势预测。除了攻击类型、攻击趋势，攻击源和攻击目的 TOP 分析呈现外，对于二次攻击的模型分析和数据挖掘、攻击路径分析和追踪溯源等方面进行突破，为后续的安全策略生成和联动响应提供必要的技术支撑。能够接收云端提供的威胁情报，对网络中的威胁时间进行发现和告警，支持 APT 事件、远程木马、僵尸网络等威胁发现。

      能够通过具体不同的安全事件联动不同的安全探针，并且针对于重要的安全事件，能够联动安全设备进行主动抓包存储取证。支持对风险资产和风险用户的用户整网安全事件所处的攻击阶段进行还原，包括扫描侦察、入侵、命令控制、横向渗透、网络黑产、数据盗取、系统破坏攻击链等阶段。

（三）流量态势感知

      流量分析是态势感知的重要内容，围绕用户、业务、关键链路和互联网访问等多个维度的流量分析，一方面可以实现对用户和业务访问的精细化管理，建立网络流量的多种流量基线，从而为后续的链路、带宽、和服务器扩容提供技术支撑。另一方面，通过对多维度实时流量的监控，可以有效发现网络中的异常攻击流量，用户访问异常行为，以及诸如 DDOS 攻击和病毒蠕虫攻击的信息，提升对于流量攻击的风险把控和防御。除基础流量攻击分析外，本次需要监控各个委办局及云上遵义节点的专线通断情况、延迟抖动情况及接入设备的运行情况。

（四）具备强大的威胁检测与数据分析能力

      传统方式中，检测安全威胁主要是利用检测设备的特征库、分析规则等进行模式匹配，这种方式对发现已知威胁较为有效，但对于发现使用 0Day、NDay 漏洞的高级攻击者来说并不有效。为了应对这类高级威胁，系统应具备大数据关联分析能力，对安全日志、网络流量日志、服务器日志、中间件日志，资产，漏洞， 威胁情报等进行关联分析，发现潜在的高级威胁，提前做好攻击防御。系统应同时支持 IPv4 和 IPv6 日志的关联分析。

      在分析时应引入关联性强、体系完整的威胁情报，从而将对威胁的单点性描述，变为从多维度，更加关注威胁目标、手法、关联关系、组织背景、可机读技术指标、决策依据等战术与战略情报。从而通过威胁情报驱动来提升高级威胁的发现率，验证疑似攻击，辅助安全协同，并辅助决策。

     此外，针对对于无法通过关联规则准确判断的网络安全问题，应支持通过一系列图、表等可视化手段，依据攻防等经验构造的数据展示形式，提供用户相关的视角来查看相关数据，解决规则判定时，无法确定具体阈值的问题，用户可根据自己网络特点和经验进行判断，帮助用户更有效地发现、判断网络安全问题。系统应提供丰富的可视化场景化视图。

（五）行为态势感知

      用户行为态势分析，是提升内网安全合规的重要手段，通过分析监控用户终端的进程、终端外部媒介的使用行为、出口用户的流量访问、以及用户主机的各种 Email/FTP/HTTP/IM 等外发行为，结合机器学习和人工智能算法，准确找到用户行为之间的关联，一方面可以为用户进行画像，对其访问轨迹、网络访问的内容和关注重点等进行分析，同时通过数据挖掘找到其行为习惯。通过机器学习等算法找到其不同行为之间的关联，对潜在的用户异常行为进行挖掘和判断，确保安全合规和信息泄露防护的需求。

（六）全方位态势感知，构建安全运营体系

      能将采集到的数据和威胁检测、分析的结果，按照攻击情况、资产风险、漏洞分布等多个维度，并根据不同时期、不同场景下的安全态势展示需求，以不同的视图给不同的安全管理角色展示不同维度的威胁数据，使用户能够实时感知网络安全态势。同时，系统应提供自定义监测视图能力，用户可基于实际业务需求对具体的攻击类型，漏洞，资产风险等具体监控指标进行自定义，进行持续可视化监控。

      为了快速响应和处置态势感知系统检测到的安全威胁，构建有效的安全运营体系，需结合一系列专业的安全运营工具和安全运营服务来实现。系统应提供丰富的安全运营工具，包括但不限于：日志检索、调查分析、工单、联动处置等。保障现网基础网络管理和安全管理的一体化运维，平台要同时满足网络设备的管理和安全事件的管理，形成一个统一的网安融合运营平台。配置专业的安全运营人员，负责态势感知系统的运营工作，对网络安全事件进行实时检测、分析调查、事件处置、取证溯源、应急响应，并对全网资产和漏洞进行管理运营。

（七）前台展示

      建设完成后，能够通过电子政务外网机房监控屏直观展示我市电子政务外网运行情况。互联网和电子政务外网的态势感知数据呈现需要使用唯一的系统界面，不接受任何形式的系统割裂部署。

（八）日志留存

     根据网络安全法的要求，本次新建的态势感知平台应提供本地日志留存功能，留存时间不低于 180 天，本次平台需要提供 90T 安全数据存储及分析能力， 数据采用双副本方式进行备份，裸存储容量大于 180T，并具有良好的扩展性， 应满足平台在现有框架下加入硬盘即可实现 360T 容量的扩展。以满足网络安全事件的日志溯源需求。

（九）对接有关系统

     本次新建态势感知平台需提供对接遵义市公安和省信息中心态势感知平台服务，能够将相关告警数据同步上传到公安态势感知平台，以实现遵义市网络威胁数据共享和协同防御的目的。

（十）其他

      中标集成商在中标后，对本系统实施一人安全驻场服务（7x8 小时现场服务， 其余时间提供电话服务），同时中标设备厂商应对驻场人员进行专业系统培训。安全态势感知平台建设完成后，成交供应商需请第三方进行功能性测试，并提供测试报告。

详见招标文件