招标文件
招 标 需 求
前附表
|
序号 |
子项 |
招标需求 |
|
一 |
采购标的需实现的功能或者目标 |
详见第二章 招标需求第一条。 |
|
为落实政府采购政策需满足的要求 |
详见第一章 公开招标采购公告。 |
|
|
二 |
采购标的需执行的国家相关标准、行业标准、地方标准或者其他标准规范 |
由采购人认可的有关国家标准、行业标准、地方标准或者其他标准规范。 |
|
三 |
采购标的需满足的质量、安全、技术规格、物理特性等要求 |
详见第二章 招标需求第二条。 |
|
四 |
采购标的的数量、采购项目交付或者实施的时间和地点 |
采购标的的数量、交付的时间:详见第一章 公开招标采购公告。 实施的地点:采购人指定地点。 |
|
五 |
采购标的需满足的服务标准、期限、效率等要求 |
详见第二章 招标需求第二条。 |
|
六 |
采购标的的验收标准 |
按照中标人提供的投标文件、中标人和采购人签订的政府采购合同为标准进行验收,详见第二章 招标需求第三条。 |
|
七 |
采购标的的其他技术、服务等要求 |
详见第二章 招标需求第三条。 |
|
八 |
核心产品 |
/ |
|
九 |
现场踏勘 |
/ |
一、 采购标的需实现的功能或者目标
1、 项目背景
随着我国学校信息化建设的逐步深入,学校教务工作、招生工作、学籍管理工作、科研管理工作、学生校内的学习和生活等对信息系统以来的程度越来越高;教育信息化建设中大量的信息资源,成为学校成熟的业务展示和应用平台,在未来的教育信息化规划中占有非常重要的地位。从安全性上分析,学校业务应用和网络系统日益复杂,外部攻击、内部资源滥用、木马和病毒等不安全因素越来越显著,信息化安全是业务应用发展需要关注的核心和重点。为贯彻落实国家信息安全等级保护制度和《网络安全法》,规范和知道全国教育信息化建设工作,国家发布了一系列关于教育行业信息化工作的通知,并且随着我国网络安全法的正式实行,保障信息系统安全已经成为学校应承担的法律义务。
为贯彻国家、教育部信息安全工作部署,落实《教育行业网络安全综合治理行动方案》,建设教育网络威胁感知系统,通过安全服务项目,实时掌握宁波市教育系统的网络安全态势,通过终端、流量、日志等方式及时了宁波市教育局及区县教育局等安全威胁、风险和隐患,监测其安全漏洞、僵木蠕毒传播和网络攻击情况;形成网络安全监测预警处置工作机制。逐步实现从“基于威胁的被动保护”向“基于风险的主动防控”转变,为数字化转型保驾护航。
二、 采购标的需满足的质量、安全、技术规格、物理特性等要求及采购标的需满足的服务标准、期限、效率等要求及采购标的的其他技术、服务等要求
(一) 安全服务项目采购内容:
1、 网络安全服务包含:网站监测、漏洞扫描、应急响应、渗透测试、基线检查、安全加固、重保支持、安全培训、态势感知平台运维、终端安全运维。
2、 态势感知平台服务包含:态势感知平台、探针部署、服务器集群、联动的防火墙,联动的漏扫设备。
3、 终端安全服务包含:终端安全管理平台、客户端软件授权、合规检查联动设备(可与态势感知联动设备并用)。
(二) 服务需求:
1、 网络安全服务
(1) 服务目录
|
序号 |
名称 |
服务描述 |
服务范围 |
服务频率 |
投标响应 |
|
1 |
网站7×24监测服务 |
使用专业网站云监测平台,为宁波市教育局直属机构及学校200个网站开展7×24小时互联网网站安全监测业务,每月提供网站漏洞监测服务,并提供报告及加固建议。 |
区县(市)教育局、市教育局直属学校(单位)、在甬高校网站 |
1年内7×24小时服务;200个网站。 |
|
|
2 |
网站安全扫描服务 |
使用专业WEB应用弱点扫描平台,服务期内每月为宁波市教育局直属机构及学校网站开展互联网业务每月提供WEB应用漏洞扫描服务,并提供报告及加固建议。 |
区县(市)教育局、市教育局直属学校(单位)、在甬高校网站 |
每月1次;200个网站 |
|
|
3 |
应急响应服务 |
协助宁波市教育服务与电化教育中心、区县(市)教育局、市教育局直属学校(单位)计算机或网络设备系统的硬件、软件、数据因非法攻击或病毒入侵等安全原因而遭到破坏、更改、泄漏,造成系统不能正常运行时;已经发现的有可能造成上述现象的安全隐患,如非授权访问、信息泄密、系统性能严重下降、蠕虫或大面积爆发病毒等,当出现以上安全事件时,必须及时进行响应。 |
宁波市教育服务与电化教育中心、区县(市)教育局、市教育局直属学校(单位) |
4 次/年 |
|
|
4 |
安全检查服务 |
配合宁波市教育局针对区县(市)教育局、市教育局直属学校(单位)、在甬高校每年开展安全检查工作,针对每家单位开展等级保护合规性检查,并结合漏洞扫描,渗透测试等服务手段,输出安全检查报告。 |
区县(市)教育局、市教育局直属学校(单位)、在甬高校 |
1次/年 |
|
|
5 |
主机漏洞扫描 |
采用具有公安部颁布的《计算机信息系统专用产品销售许可证》的扫描工具,通过定制的扫描规则,形成安全扫描策略文档,对宁波市教育服务与电化教育中心指定主机进行每季度1次全面的自动化安全扫描,人工验证扫描结果,并输出安全扫描报告及修复建议。 |
宁波市教育服务与电化教育中心信息资产(包括服务器、网络设备、安全设备等) |
每季度1次/年 |
|
|
6 |
渗透测试服务 |
通过真实模拟黑客使用的工具、分析方法来对信息系统进行模拟攻击,并结合智能工具扫描结果,由与网络安全相关专业的高级工程师进行深入的手工测试和分析,识别工具弱点扫描无法发现的问题。主要分析内容包括逻辑缺陷、上传绕过、输入输出校验绕过、数据篡改、功能绕过、异常错误等以及其他专项内容测试与分析,重点发现信息系统应用层业务流程和逻辑上的安全漏洞和敏感信息泄露的风险,输出渗透测试报告。 |
宁波市教育服务与电化教育中心指定业务系统。 |
1年内10个信息系统 |
|
|
7 |
基线检查服务 |
根据既定的检查规范及方法,采用人工检查用表(checklist)、脚本程序或基线扫描工具对教育服务与电化教育中心评估目标范围内的主机系统安全、数据库安全、中间件安全等进行系统的策略配置、服务配置、保护措施以及系统和软件升级、更新情况,是否存在后门等内容进行检查。 |
宁波市教育服务与电化教育中心信息资产(包括服务器、网络设备、安全设备等) |
每季度1次/年 |
|
|
8 |
安全加固服务 |
针对存在的风险提供安全加固建议,针对渗透测试和漏洞扫描中发现的安全漏洞提供加固方案,协助对安全设备自身的安全配置进行加固,对安全设备的安全策略进行梳理、验证和优化等工作。指导业务系统的漏洞修复,并协助市教育服务与电化教育中心完成服务器、网络设备、安全设备等的安全加固,通过安装补丁、修改安全配置、增加安全机制等方式,增强重要信息系统抵抗风险的能力,以提高整个系统安全性。 |
宁波市教育服务与电化教育中心应用系统及资产 |
2次/年 |
|
|
9 |
安全培训 |
协助采购人面向员工或系统管理员开展信息安全培训服务,包括信息安全形势、意识、技术或管理培训、CTF培训。 |
宁波市教育服务与电化教育中心 |
1次/年 |
|
|
10 |
现场安全保障分析溯源服务 |
重保期间为宁波市教育服务与电化教育中心现场提供1台网络攻击流量监测设备,用于监控互联网、内网等各安全域网络攻击流量信息并配合现场调试部署。提供1套蜜罐主动诱捕系统,并配合现场调试部署,用于重保期间捕获攻击者攻击行为,攻击信息及身份追溯。 |
重大活动保障期间按需提供 |
2次/年 |
|
|
11 |
态势感知平台运维 |
专家通过云端7×24小时地实时监测和每月上门服务的方式,综合运用丰富的技术经验及威胁情报知识库,借助态势感知平台的强大安全检测能力,对用户安全流量日志进行分析研判,包括对外部威胁的识别、对内部脆弱性问题的深挖、对内网安全事件的判断,以及对安全有效性的分析等内容;最后通过面对面汇报与解读,使用户尽早发现关键风险问题,并通过提供可落地修复处置建议和指导,推动用户闭环。 |
宁波市教育服务与电化教育中心 |
1年内工作日 |
|
|
12 |
终端安全运维 |
具备对终端安全事件分析和研判能力,根据不同终端安全事件给采购人提供主动响应服务,协助用户做好终端的安全运维,保障终端可靠、高效、持续及安全地运行,及时发现并处理网络安全事件,提高网络的整体安全防护能力。 |
宁波市教育服务与电化教育中心 |
远程每周一次/年 |
|
(2) 服务内容
1) 网站7×24监测服务
使用专业网站云监测平台,为用户指定的网站开展7×24小时互联网网站安全监测业务,每月提供网站漏洞监测服务,并提供报告及加固建议。
平台要求:
1.1 要求监测、防护平台为一体化平台,应同时具备网站漏洞监测、安全事件监测、可用性监测、web应用防护、网站攻击防御态势展现、访问及防护报表等功能。
1.2 支持安全监测日报、周报、月报、年报等多种周期报告可选。
1.3 可根据用户需求,将多个网站监测情况生成一份报告,也可以针对每一个站点生成一份报告。
2) 网站安全扫描服务
使用专业WEB应用弱点扫描平台,服务期内每月为用户指定的网站开展互联网业务每月提供WEB应用漏洞扫描服务,并提供报告及加固建议。
3) 应急响应服务
协助区县(市)教育局、市教育局直属学校(单位)计算机或网络设备系统的硬件、软件、数据因非法攻击或病毒入侵等安全原因而遭到破坏、更改、泄漏,造成系统不能正常运行时;已经发现的有可能造成上述现象的安全隐患,如非授权访问、信息泄密、系统性能严重下降、蠕虫或大面积爆发病毒等,当出现以上安全事件时,必须及时进行响应。
4) 安全检查服务
配合用户针对区县(市)教育局、市教育局直属学校(单位)、在甬高校每年开展安全检查工作,针对每家单位开展等级保护合规性检查,并结合漏洞扫描,渗透测试等服务手段,输出安全检查报告。
5) 主机漏洞扫描
投标人须采用业界认可的、专业的扫描工具,通过定制的扫描规则,形成安全扫描策略文档,对用户指定主机、服务器进行一次全面的自动化安全扫描,人工验证扫描结果,并输出安全扫描报告及修复建议。
6) 渗透测试
投标人须通过真实模拟黑客使用的工具、分析方法来对宁波市教育服务与电化教育中心信息系统进行模拟攻击,并结合智能工具扫描结果,由高级工程师进行深入的手工测试和分析,识别工具弱点扫描无法发现的问题。主要分析内容包括逻辑缺陷、上传绕过、输入输出校验绕过、数据篡改、功能绕过、异常错误等以及其他专项内容测试与分析,重点发现信息系统应用层业务流程和逻辑上的安全漏洞和敏感信息泄露的风险,输出渗透测试报告。
7) 基线检查
投标人须根据既定的检查规范及方法,采用人工检查用表(checklist)、脚本程序或基线扫描工具对用户评估目标范围内的主机系统安全、数据库安全、中间件安全等进行系统的策略配置、服务配置、保护措施以及系统和软件升级、更新情况,是否存在后门等内容进行检查。
8) 协助安全加固
投标人须针对存在的风险提供安全加固建议,针对宁波市教育服务与电化教育中心在渗透测试和漏洞扫描中发现的安全漏洞提供加固方案,协助对安全设备自身的安全配置进行加固,对安全设备的安全策略进行梳理、验证和优化等工作。指导业务系统的漏洞修复,并协助用户完成服务器、网络设备、安全设备等的安全加固,通过安装补丁、修改安全配置、增加安全机制等方式,增强重要信息系统抵抗风险的能力,以提高整个系统安全性。
9) 安全培训服务
投标人须每年一次提供信息安全培训,面向普通员工、信息技术管理人员开展信息安全培训,从意识、技术、管理等多个维度来设计培训课程,从而使采购人最终达到强化安全意识、提升安全管理的目的。
10) 现场安全保障分析溯源服务
投标人须在各类单位开展的攻防演练及其他可能涉及宁波市教育服务与电化教育中心需要提供网络安全保障的重大活动期间,派遣安全服务工程师进驻现场进行值守保障,通过实施监测、分析研判、攻击处置、追踪溯源、情报共享等保障宁波市教育服务与电化教育中心信息系统安全运行,须提供每日安全值守报告、整体总结报告,并提供部署1台网络攻击流量检测设备、1套蜜罐主动诱捕系统。
工具要求:
10.1 投标人须提供一台网络攻击流量检测设备满足重大活动期间保障支撑。
1 支持解析HTTP、FTP、SMTP、POP3、SMB、IMAP、DNS、Mysql、MSSQL、Oracle、HTTPS、SMTPS、POP3S、IMAPS等协议报文(HTTPS、SMTPS、POP3S、IMAPS加密协议解析需要导入服务器私钥证书),并提供审计协议类型的端口号配置,可根据需要变更端口号(须提供此功能截图证明);
2 支持沙箱逃逸检测,当恶意文件进行逃逸尝试,在沙箱报告中进行体现(须提供此功能截图证明);
3 可展示具体文件的行为,包括所有的注册表行为、进程行为、互斥量、返回结果、返回值等信息(须提供此功能截图证明)。
10.2 投标人须提供一套蜜罐主动诱捕系统。
1 支持自定义构建包含不同复杂业务环境和业务系统的沉浸式诱捕蜜罐网络,支持将多种不同类型,不同数量的蜜罐组合成蜜网场景模板;
2 支持部署蜜罐节点时使用IP池自动配置蜜罐IP,提升部署效率。
11) 态势感知平台运维
专家通过云端7×24小时地实时监测和每月上门服务的方式,综合运用丰富的技术经验及威胁情报知识库,借助态势感知平台的强大安全检测能力,对用户安全流量日志进行分析研判,包括对外部威胁的识别、对内部脆弱性问题的深挖、对内网安全事件的判断,以及对安全有效性的分析等内容;发现攻击实时通知,通知方式不限于短信、邮件、电话、微信群等多种沟通方式;根据紧急威胁事件的影响范围,提供威胁事件的影响范围、防护及加固建议等,提供该威胁事件的攻击检测及分析,并出具对应报告;并及时优化优化分析平台及探针规则。每月通过面对面汇报与解读,使用户尽早发现关键风险问题,并通过提供可落地修复处置建议和指导,推动用户闭环。
12) 终端安全运维
具备对终端安全事件分析和研判能力,根据不同终端安全事件给采购人提供主动响应服务,协助用户做好终端的安全运维,保障终端可靠、高效、持续及安全地运行,及时发现并处理网络安全事件,提高网络的整体安全防护能力。
(3) 服务要求
服务人员需要严格按照采购人要求的相关安全服务规范开展工作,包括制定服务计划、编写方案、执行安全评估并提交相关报告、协助安全加固等,具体要求如下:
1) 要求提供详细的安全服务技术方案,项目实施方案中要体现各项服务内容实施方法、服务工具及人员配置、风险控制方案、项目进度安排、服务成果输出等。
2) 要求规范提供检测报告、事件报告及其他相关服务报告,方案中须明确各阶段交付的报告清单、报告模板。
3) 针对应急响应服务,要求提供详细的应急响应服务机制,包括事件定级、应急流程、事件升级和扩大应急流程等
4) 本项目至少提供1名的驻场人员,办公场地由采购人指定,工作时间国家法定工作日,且需通过采购人考核确认。驻场人员一经确认,不得随意更换。如有特殊情况确需更换的,须经采购人同意确认后方可更换,且更换人员仍需具有本招标文件要求资历。驻场人员服务范围:除了网络安全服务内容外,应包括上门对有安全隐患的学校(单位)排查安全风险,协助单位整改,且人员上门维护产生的交通费由中标人承担。
注:驻场人员配置要求:驻场人员为投标人所投的态势感知品牌厂商的现有正式在职员工,须具有中国信息安全测评中心颁发的注册信息安全专业人员认证证书(CISP)或中国网络安全审查技术与认证中心颁发的信息安全保障人员认证证书(CISAW)或工信部教育与考试中心颁发的全国计算机技术与软件专业技术资格证书(信息安全工程师)或工信部教育与考试中心颁发的全国计算机技术与软件专业技术资格证书(网络工程师)或公安部信息安全等级保护评估中心颁发的国家重要信息系统保护人员证书(CIIP)中的其中任意两项证书,投标文件中提供项目负责人开标前近三个月的投标人为其所缴纳社保证明(由社保部门出具并盖章的社保证明为准)、资格证书复印件,以上内容均加盖公章。
2、 态势感知平台
(1) 万兆探针12台(区县(市)教科网10台+市教科网2台)
|
技术指标 |
指标要求 |
投标 响应 |
|
品牌 |
★与态势感知同品牌。 |
|
|
性能指标 |
★吞吐性能满足当地教育局互联网出口流量正常采集需要,单台探针单向流量不小于5G或不大于10G采集性能。 |
|
|
部署模式 |
旁路部署,支持探针接入多个镜像口,每个接口相互独立且不影响。 |
|
|
流量采集 |
支持对DNS、HTTP、FTP、SMTP、POP3、IMAP、SMB、Telnet、LDAP、MYSQL、ORACLE、MSSQL、PG、SSL、TLS、QQ、TCP、UDP、ICMP、SMB、WEBMail等常见协议的深度解析和还原。 |
|
|
支持流量灰名单,关注重点资产流量,对命中灰名单的流量进行流量还原和威胁检测。灰名单类型包括IP、端口、IP+端口。 |
|
|
|
资产发现 |
支持从流量中自动识别资产信息和归类,识别的信息至少包括资产IP、资产MAC、服务端口号、服务协议、设备类型、地理位置、操作系统、资产状态、资产描述、资产关联账号。支持人工录入资产维护整体资产库,并支持增删改查。 |
|
|
资产风险评估 |
▲支持对资产进行风险评估,结合威胁事件对资产判定为是否失陷。需提供功能界面截图。 |
|
|
敏感信息检测 |
▲支持敏感数据泄密功能检测能力,可自定义敏感信息,支持根据文件类型和敏感关键字进行信息过滤(需提供截图证明并加盖投标人公章)。 |
|
|
漏洞利用攻击检测 |
▲支持Database漏洞攻击、DNS漏洞攻击、FTP漏洞攻击、Mail漏洞攻击、Network Device、Scan漏洞攻击、System漏洞攻击、Telnet漏洞攻击、Tftp漏洞攻击、Web漏洞攻击等服务漏洞攻击检测(需提供截图证明)。 |
|
|
支持Application漏洞攻击、File漏洞攻击、Scan漏洞攻击、Shellcode漏洞攻击、System漏洞利用攻击、Web Activex等客户端漏洞攻击检测。 |
|
|
|
支持FTP、IMAP、MS Sql、Mysql、Oracle、POP3、RDP、SMTP、SSH、Telnet、等协议暴力破解检测。 |
|
|
|
异常流量检测 |
▲支持标准端口运行非标准协议,非标准端口运行标准协议的异常流量检测,端口类型包括3389、53、80/8080、21、69、443、25、110、143、22等(需提供截图证明)。 |
|
|
支持ICMP、UDP、SYN、DNS等协议外发异常流量检测,支持自定义阀值。 |
|
|
|
WEB应用检测 |
支持针对主流Web服务器及插件的已知漏洞攻击检测。Web服务器应覆盖主流服务器:apache、tomcat、lightpd、NGINX、IIS等;插件应覆盖:dedecms、phpmuadmin、PHPWind、shopex、discuz、echsop、vbulletin、wordpress等。 |
|
|
支持爬虫检测,具备对100种以上的爬虫特征进行识别和检测的能力,检测特征至少包括 :WebInspect、穿山甲扫描、appscan、 burpsuite扫描 、长亭xray社区版扫描、Acunetix Web Vulnerability Scanner、netsparker。 |
|
|
|
支持对sql注入、XSS、SSI指令、Webshell、目录遍历、远程文件包含等网络攻击检测。 |
|
|
|
内置WEB应用机器学习检测模型,支持对sqli,xss,exec,phprce,ptravel和jeli攻击类型进行分类检测和告警。 |
|
|
|
WEB类告警详情中包含请求和响应信息,在请求和响应信息中能标记规则匹配中的字段信息,便于运维人员快速进行确认攻击事件。 |
|
|
|
僵尸网络行为检测 |
支持HTTP未知站点下载可执行文件、浏览最近30天注册域名、浏览恶意动态域名、访问随机算法生成域名、暴力破解攻击、反弹连接、IRC通信等僵尸网络行为检测。 |
|
|
高级检测 |
支持传输安全检测日志,包括网络攻击检测日志、漏洞利用攻击检测日志、僵尸网络检测日志、业务弱点发现日志。 |
|
|
支持传输访问检测日志,包括正常访问、风险访问、违规访问。 |
|
|
|
▲支持传输协议审计日志,包括https协议日志、http协议审计日志、DNS协议审计日志、邮件协议审计日志、SMB协议审计日志、AD域协议审计日志、WEB登录审计日志、FTP协议审计日志、Telnet协议审计日志、ICMP协议审计日志、LLMNR协议审计日志(需提供截图证明并加盖投标人公章)。 |
|
|
|
违规访问检测 |
▲支持IP,IP组,服务,端口,访问时间等定义访问策略,主动建立针对性的业务和应用访问逻辑规则,包括白名单和黑名单方式(需提供截图证明并加盖投标人公章)。 |
|
|
特征库 |
内置URL库、IPS漏洞特征识别库、应用识别库、WEB应用防护识别库、僵尸网络识别库、实时漏洞分析识别库、恶意链接库、白名单库。 |
|
|
抓包分析 |
▲支持流量抓包分析,可定义抓包数量、接口、IP地址、端口或自定义过滤表达式(需提供截图证明并加盖投标人公章)。 |
|
|
沙箱联动 |
支持与沙箱进行联动,将未检测出病毒的文件通过接口传给沙箱进行进一步动态行为分析,沙箱分析完成后将结果返回进行统一展示。 |
|
|
威胁情报检测 |
支持与威胁情报联动,可进行实时流量匹配检测和告警,支持对恶意IP、恶意域名、恶意URL和恶意文件进行检测。 |
|
|
管理功能 |
支持设备内置简单命令行管理窗口,便于基础运维调试; 可实时监控设备的CPU、内存、存储空间使用情况; 能够监控监听接口的实时流量情况。 |
|
|
部署 |
支持多台采集器同时部署于采购人网络不同位置并将数据传输到同一套分析平台。 |
|
|
产品要求 |
要求具有公安部颁布的《计算机信息系统专用产品销售许可证》。 |
|
|
投标人产品的厂商资质 |
厂商具备软件开发成熟度CMMI 5级认证; 国家信息安全测评信息安全服务-安全开发类二级及以上资质证书; 国家信息安全漏洞共享平台CNVD用户组成员; 具备CCRC信息安全服务资质-信息系统安全运维类一级; |
|
|
其他 |
中标后七个工作日内,提供样机进行上述功能要求的逐一测试验证,全部通过后才能执行合同流程,测试中发现虚假应标的行为将予以废标处理并保留对该厂商追究相关责任的权利。 |
|
(2) 安全感知系统平台(包含态势感知平台软件+底层平台服务器)
|
功能类别 |
功能要求说明 |
投标 响应 |
|
|
性能配置 |
★需要满足区县(市)教科网和市教科网共12台探针的统一接入和承载分析能力的服务器1+N台。 |
|
|
|
基于大数据基础构架,具备海量数据接入、存储、访问、计算能力。支持分布式部署方式,支持根据负载要求灵活扩展,提高存储、计算能力,且不影响业务运行,集群规模不低于10台。 |
|
||
|
场景展示 |
支持网络安全、数据安全、业务安全、终端安全等常见威胁分类场景。 |
|
|
|
资产管理 |
分支权限管理 |
支持总部管理员查看全局的安全信息,支持页面跳转各个分支的独立管理页面。 |
|
|
支持自定义分支管理权限,分支管理员具备独立的管理页面,只能管理和查看所属分支的业务和终端资产的安全信息且具备完整的功能展示。 |
|
||
|
资产发现 |
支持通过主动发送微量包的扫描方式探测潜在的服务器(影子资产)以及学习服务器的基础信息,资产指纹信息包括资产类型、端口、操作系统、mac地址、主机名等。 |
|
|
|
平台应支持围绕采购人的资产树展开风险分析。通过基于资产树的方式对资产进行脆弱性呈现,通过资产数能够快速了解出现高危脆弱性的资产所处位置、所属单位(部门)、负责人等,从而快速定位、快速解决。 |
|
||
|
平台应支持“IP+探针ID”的资产识别方式,支持对不同单位监测到的相同内网IP资产进行区分和处理。 |
|
||
|
脆弱性管理 |
弱密码检测 |
弱密码检测技术基于机器学习(无监督自我学习)提取登录成功的特征,支持自定义WEB登录规则,可设置判定成功规则、判定失败规则。 |
|
|
▲弱密码识别支持被动发现,支持ftp、imap、ldap、pop3、smtp、telnet、web等62种常见协议的识别,并采用了规则匹配和UEBA学习技术进行检测。弱密码识别支持主动扫描,支持加密协议的弱口令登录,支持SMB、MySQL、Oracle、RDP、SSH、Redis、MongoDB、ElasticSearch、MSSQL等协议(需提供截图证明并加盖投标人公章)。 |
|
||
|
漏洞分析 |
支持流量实时识别漏洞分析,漏洞分析类型包含配置错误漏洞、OpenSSH漏洞、OpenLDAP等操作系统、数据库、Web应用等,页面上支持展示业务脆弱性风险分布、漏洞类型分析、漏洞态势与危害和处置建议。 |
|
|
|
漏洞扫描 |
▲平台应支持对资产的漏洞扫描能力,支持向漏洞扫描设备下发各种扫描任务,通过平台进行统一扫描任务管理,对扫描结果可以进行可视化呈现(提供功能截图并加盖原厂公章)。 |
|
|
|
|
管理能力 |
平台应支持漏洞库管理能力,漏洞数应不少于18w,支持添加自定义漏洞模板分组、自定义漏洞模板不少于500个,支持扫描任务策略自定义模板的选择。 |
|
|
|
验证能力 |
平台应支持漏洞扫描结果手动和自动验证能力,可手动选择部分漏洞处置单进行验证扫描。 |
|
|
威胁检测 |
Webshell检测 |
具备基于AI的webshell通信流量检测,可检出加密(如冰蝎)的通信流量。具备650+webshell规则检测,且覆盖webshell整个攻击阶段检测,包括webshell上传点探测、webshell上传下载、webshell通信。 |
|
|
威胁情报关联分析 |
▲支持威胁情报关联分析(需提供截图证明并加盖投标人公章)。 |
|
|
|
文件威胁分析 |
文件威胁分析支持平台内置的静态文件检测引擎、AI智能引擎、SAVE查杀引擎、webshellkiller引擎,利用LSA, AutoEncoder, LogicRegression,SVM,随机森林,XGBoost等多种机器学习算法组合进行综合研判。 |
|
|
|
邮件威胁分析 |
支持针对政企邮件混淆宏病毒威胁检测,可通过不断下钻的特征向量提取和聚类算法有效检出邮件威胁。 |
|
|
|
日志检索 |
支持安全检测日志、审计日志、第三方日志存储;日志类型包括漏洞利用攻击、网站攻击、僵尸网络、业务弱点、DOS攻击、邮件安全、文件安全、网络流量、DNS、HTTP、用户、数据库、文件审计、POP3、SMTP、IMAP、LDAP、FTP、Telnet等。 |
|
|
|
主机行为EBA分析 |
支持利用EBA技术进行资产的行为分析,对这些对象进行持续的学习和行为画像构建,以基线画像的形式检测易于基线的异常行为作为入口点,结合以降维、聚类、决策树为主的计算处理模型发现异常用户/资产行为。 |
|
|
|
威胁狩猎 |
▲支持基于IP、URL、文件的可视化交互威胁狩猎能力,辅助安全运营人员发现未知威胁线索。包括攻击命中信息、攻击路径模型、流量命中信息,流量趋势模型、端口模型、资产信息,资产开放端口、服务以及资产外联、资产被攻击事件、命中情报信息,情报命中信息及情报历史信息、恶意文件名称、恶意文件检测报告、恶意文件情报命中信息等(提供功能截图并加盖原厂公章)。 |
|
|
|
高危风险行为分析 |
|
支持网络代理软件、自由门软件、无界软件等代理翻墙风险行为的检测。 |
|
|
▲支持远程控制控制风险行为的检测,如向日葵、TeamViewer、远程连接windows命令行、远程控制工具等(提供功能截图并加盖原厂公章)。 |
|
||
|
|
支持资产外联风险行为的检测,可检测存在外联行为的风险资产,可查看风险资产的IP、访问次数以及外联地域端口等的行为。 |
|
|
|
处置中心 |
告警消减 |
支持多维度模糊聚类算法将大量外部攻击日志聚合成少量攻击事件,聚合维度包括攻击IP、攻击地址、攻击目标和目标手法。 |
|
|
联动处置 |
★安全事件支持与同品牌防火墙联动(需提供截图证明)。 |
|
|
|
▲支持针对IP、域名进行封堵,联动宁波市教育服务与电化教育中心机房已部署的网络与安全设备进行有效封堵(提供功能截图并加盖原厂公章)。 |
|
||
|
攻防中心 |
实战攻防中心 |
具备实战化攻防中心,支持备战阶段的对外服务器外网暴露面分析、内网服务器暴露面梳理暴。实战阶段的实时攻击分析,实时展受害者IP、攻击者IP、XFF、攻击结果、攻击次数、事件类型、威胁等级、联动响应、状态码。实战阶段的全过程可视溯源分析、总结阶段的值守报告等全过程流程。 |
|
|
威胁情报共享 |
支持云端与本地威胁情报共享。 |
|
|
|
溯源中心 |
▲支持自动化溯源,可自动化复现受害者从最开始的遭受攻击到权限维持各个阶段的黑客行为,包括攻击入口溯源。支持基于可视化的形式展示威胁的影响面,通过大数据分析和关联检索技术,能够直观的看到失陷主机的威胁影响面,同时基于列表模式展示攻击、违规访问、风险访问、可疑行为、正常访问等详细信息。支持攻击溯源功能,分析出首次失陷、疑似入口点、首次遭受攻击等信息(需提供截图证明并加盖投标人公章)。 |
|
|
|
报表中心 |
运维报表 |
支持运维报表模板,内容支持整体综述、高风险资产分析、威胁事件分析、高危危险源分析,支持报表时间范围自定义。 |
|
|
漏洞报表 |
支持漏洞报表功能,可选择生成扫描任务报表、资产脆弱性报表,为采购人撰写安全分析报告提供支撑。 |
|
|
|
合规分析 |
合规自检 |
平台应支持配置合规检查结果分析,支持资产视角的配置核查统计,支持按照核查模板,不合规项等级统计整体资产合规率,单模板不合规项数、高中低配置项数;支持单资产配置核查结果详情查看;包括但不限于:核查模板、检查项分组、检查项、检查点、标准值、实际值等。 |
|
|
产品要求 |
要求具备公安颁发的安全管理平台计算机信息系统安全专用产品销售许可证; 要求具备CCRC中国国家信息安全产品认证证书; 要求具备中华人民共和国国家版权局颁发的《计算机软件著作权登记证书》。 注:投标文件中提供上述证书复印件并加盖公章(如有)。 |
|
|
|
投标人产品的厂商资质 |
厂商具备软件开发成熟度CMMI 5级认证; 国家信息安全测评信息安全服务-安全开发类二级及以上资质证书; 国家信息安全漏洞共享平台CNVD用户组成员; 具备CCRC信息安全服务资质-信息系统安全运维类一级; |
|
|
|
其他 |
中标后七个工作日内,提供样机进行上述功能要求的逐一测试验证,全部通过后才能执行合同流程,测试中发现虚假应标的行为将予以废标处理并保留对该厂商追究相关责任的权利。 |
|
|
具体见招标文件
收藏