项目技术规范和要求

序号

名称

描述

单位

数量

1

48口汇聚交换机

“详见技术要求”

1

台

2

▲平台专用服务器

“详见技术要求”

6

台

3

MSTP专线

“详见技术要求”

2

条

4

关键信息基础设施单位流量数据采集专用设备

“详见技术要求”

2

台

能力指标

具体技术要求

硬件要求

不少于2个万兆光口，48个千兆电口

包转发率≥240Mpps

交换机容量≥480Gbps

支持LACP，支持端口镜像

2个万兆多模光模块。

能力指标

具体技术要求

硬件要求

机箱高度：2U

标配网口：千兆电口×4

硬盘容量：6T SATA×8

内存：256G

电源：1+1热插拔冗余电源

12×3.5英寸硬盘EXP机箱，2×Kunpeng 920，32 Core@2.6GHz）×1

PAC900S12-BE交流电源×2

DDR4 RDIMM内存-32GB-2933MT/s-2Rank（2G×4bit）-1.2V-ECC×8

通用硬盘-6000GB-SATA 6Gb/s-7.2K rpm-128MB或以上-3.5英寸（3.5英寸托架）×8

3×16X SLOT（PCIE X8）RISER1&2模组×1

SR450C-M 2G（Avago3508）SAS/SATA RAID卡-RAID0，1，5，6，10，50，60-12Gb/s-2GB Cache×1

3508/3516 RAID卡超级电容×1

4×GE接口卡×1

2U静态滑轨套件×1

扩展槽×3

●环境要求

鲲鹏+中标麒麟、鲲鹏+UOS环境

能力指标

具体技术要求

要求

用于互联网区数据支撑平台到网信办专网区数据支撑平台数据同步

用于金华风暴中心到互联网区数据支撑平台网站监测数据同步

带宽：20M

能力指标

具体技术要求

硬件要求

软硬一体化2U标准机架式设备；双电源；CPU：4核8线程*1；硬盘2T*2，带RAID1，可用磁盘空间不小于2T；32G内存。

接口数量：

1）管理口：Consle*1,USB*2,千兆RJ45网口*2

2）业务口：千兆RJ45网口*4、千兆业务SFP光口*4（标配千兆多模光模块*2）

接口扩展：（千兆RJ45网口*4 + 千兆SFP光口*4）或 万兆SFP光口*2 或 万兆SFP光口*4

扩展槽个数：3个

MTBF：大于65000小时

部署方式

支持旁路部署和分布式部署，对探测器可以添加、删除，显示探测器版本、状态和IP，管理中心可实现告警统一管理；可自定义管理中心和探测器之间的数据传输速率、时间、发送目录等参数

管理中心支持自动同步软件版本、策略升级包到探测器设备

支持自定义管理中心下放给探测器设备的操作权限，包括检测规则、白名单、时钟服务器、版本升级等设置的操作权限

性能要求

吞吐率：网络层吞吐率2Gbps，应用层吞吐率1Gbps

文件检测：5万个/24小时

综合管理分析：支持管理节点10个

IPv4、IPv6网络

支持IPv4和IPv6网络环境下的部署，可同时对IPv4和IPv6网络流量分析检测

审计协议

支持解析HTTP、FTP、SMTP、POP3、SMB、IMAP、DNS、HTTPS、SMTPS、POP3S、IMAPS、RADIUS、KRB5、SNMP、NETFLOW V9、TFTP等协议报文（HTTPS、SMTPS、POP3S、IMAPS加密协议解析需要导入服务器私钥证书），并提供审计协议类型的端口号配置，可根据需要变更端口号；

支持COAP、MQTT等物联网协议解析和审计

支持GOOSE、MODBUS等工控协议解析和审计

支持GTP、PFCP、NGAP等5G协议解析和审计

支持识别QQ、WEB、LDAP、FTP、TELNET、邮件、SMB、RADMIN、ORACLE、MSSQL、SYBASE、MYSQL、DB2、PostgreSQL、REDIS、MQTT等登录行为；

支持多层 VLAN、VXLAN、MPLS、GRE、VN-Tag、Capwap等网络流量的解析检测

流量异常监控

支持对流量大小进行监控，接入流量超过物理网络带宽上限时报警

支持对流量中的数据包、会话连接、重传包、网络报文等状态进行检测，可对业务网络流量传输异常告警

●支持统计流量中的各类数据包进行统计，并通过图表形式展示，便于用户分析网络流量健康状态，支持的数据包类型不少于5种（提供佐证材料）

攻击检测

支持SQL注入、命令注入、跨站脚本、代码注入、WEB扫描或爬虫、网页篡改、服务错误攻击检测

支持通过智能语义分析引擎，对XSS跨站脚本、SQL注入攻击和OGNL注入攻击进行检测

支持通过智能语义分析引擎，检测JSP脚本文件上传和PHP脚本文件上

●支持30个以上的深度检测模块，对流量进行二次分析，提高攻击检测的准确性（提供佐证材料）

弱口令风险检测

支持对HTTP、IMAP、SMTP、POP3、Redis、Telnet、FTP、PostgreSQL、MQTT等协议的弱口令检测

支持自定义弱口令规则配置（最短口令长度、最少字符类型数），自定义新增弱密码及其检测类型

支持对HTTP协议请求头中用户认证弱口令、对JSON格式(逗号分割和冒号区分键值)的用户信息提取和弱口令、明文口令和MD5加密口令碰撞的弱口令、BASE64加密口令的弱口令等进行检测

●自定义规则

支持根据规则类型、协议、源IP/端口、目的IP/端口、流量方向、流量状态、风险类别、风险等级、风险阶段、攻击者、攻击状态、阈值、Flowbits、规则内容等自定义审计规则（提供佐证材料）

暴力破解检测

支持HTTP、SMB、SMTP、IMAP、POP3、FTP、TELNET、RADMIN、SSH、RDP、ORACLE、MSSQL、SYBASE、MYSQL、DB2、PostgreSQL、LDAP、MQTT等协议的暴力破解，能识别出登录次数、账户信息、爆破成功与否的攻击状态

支持自定义启用/禁用暴力破解模型；并支持自定义配置模型统计周期、登录次数、聚合维度、检测机制等参数

扫描行为检测

支持IP、端口、SMB、Radmin、ICMP、ARP、传输层协议和漏洞扫描行为检测

自定义分离文件类型

可添加或删除指定分离的文件类型，并可选择适用的协议类型（HTTP可进一步按GET、POST来配置）

告警统计分析

支持从多个维度统计风险告警数量，包括但不限于告警类型、客户端IP、服务端IP、威胁情报、告警规则ID，支持导出excel表格，帮助用户进行告警研判

动态沙箱检测

●支持沙箱逃逸检测，当恶意文件进行逃逸尝试，在沙箱报告中进行体现（提供权威第三方机构证明材料）

采用多并发沙箱检测技术，集成主流的操作系统winXP、win7、win10、linux等多种检测环境，拥有多项自主研发技术和专利。结合平台内置反病毒引擎和静态分析技术对恶意特征文件、文件漏洞、未知威胁等深度关联分析

脆弱性分析

从脆弱性角度，详细展示资产存在的弱口令、密码明文形式传输风险，以及自定义配置的特权账户是否存在弱口令风险；支持导出资产IP、资产标签、被请求域名、首次发生时间、最近一次发生时间等信息，便于威胁分析人员快速统计和上报资产脆弱性风险

敏感信息分析

支持识别流量中的个人敏感信息，包括身份证、银行卡、手机号、港澳通行证等，并展示传输信息的协议、网站域名、URL、客户端IP、服务端IP，便于用户发现敏感信息的传输安全隐患和处置

●与WAF联动

支持将分析到的WEBSHELL攻击、木马回连和恶意攻击行为同步到WAF，实现APT深度威胁分析与WAF联动阻断（提供佐证材料）

●与防火墙联动

支持将分析到的SMB远程溢出攻击、扫描行为、Web后门访问、隧道通信、暴力破解、挖矿、远控工具利用等攻击成功事件同步到防火墙，实现APT深度威胁分析与防火墙联动阻断（提供佐证材料）

支持自定义防火墙阻断的风险告警类型，时长，并展示最新联动状态、状态更新时间（提供佐证材料）

支持查看阻断信息，阻断信息包括阻断IP、阻断开始时间、阻断结束时间、阻断状态等（提供佐证材料）

支持自定义添加防火墙阻断IP白名单（提供佐证材料）

日志数据管理

设备产生的数据重要程度至少分为3级，可自定义配置不同级别数据的清理比重

产品资质

具备ISCCC增强级认证并提供证明材料

销售许可证（须是APT安全监测类）

数据外送

●具备数据报送大数据安全监测预警平台的能力，需与金华大数据发展局风暴中心平台同品牌，不同品牌需在投标文件中注明前期API接口调研情况，且接口开发费用由中标单位承担

●具备数据报送大数据安全监测预警平台的能力，需与金华网信办平台同品牌，不同品牌需在投标文件中注明前期API接口调研情况，且接口开发费用由中标单位承担