项目说明和采购需求

一、商务部分

☑采购标的交付（实施）的时间（期限）：20个日历日内。

☑采购标的交付地点（范围）：宁夏职业技术学院。

☑付款条件（进度和方式）：终验通过后一次性付清。

☑售后服务：基于IPV6的扩展检测与响应平台（大于等于1年）、托管监测与相应服务（大于等于1年）、基于IPV6的虚拟化安全感知管理平台（大于等于3年）、基于IPV6的潜伏威胁探针（大于等于3年）；乙方有完善的服务体系，有能力提供持续的、本地化售后服务；服务范围是指招标文件所涉及到的所有服务。

☑安装调试：所有设备和平台需在现有网络环境中安装调试完成，并保障正常运行。

☑交付标准和方法（验收标准）：乙方竣工自验后提交验收申请，甲方收到验收申请后5个工作日内组织有经验的专家组建验收小组，参照招投标参数，对施工项目涉及到的软硬件及服务进行验收，最终符合招标文件、投标文件、各项承诺、合同要件、技术方案、配置型号等要求，达到合格要求。

☑培训：乙方负责系统安装和调试以及操作人员培训，并制定详细的培训计划，使操作人员能独立进行管理、操作、维护和故障处理等工作，做好相关记录及技术文档收集整理，待验收后移交。

二、技术部分

1、标的清单

序号	标的名称	服务内容	服务期限
备注
1	安全集成实施服务	详见标的详细参数	20个日历
日内	/

2、标的详细参数：

一、建设内容

本项目的建设目标是结合我校网络的安全现状，确定我校业务系统安全建设需求，并且解决“监测预警缺失”、“挖矿处置难”、“常态化攻防演练值守困难”等网络安全问题，优化IPv6环境下的网络安全管理，建立并完善相关管理制度和技术规范，推进基于IPv6流量的安全监测工作，探索真实源地址验证技术的应用，提高网络安全态势感知能力。适配IPv6环境下的安全防护要求，提高IPv6环境下安全保障能力。通过建设基于IPv4/IPv6的态势感知建设、终端安全建设、托管式安全运营服务等方式打造闭环安全运营体系。全面提升我校的网络安全管理和网络安全防护能力。

（一）网络现状介绍

目前宁夏职业技术学院网络现状描述如下：

互联网接入区：宁夏职业技术学院网络出口网关为迪普的负载均衡；负载均衡下联山石防火墙，防火墙下联天融信入侵防御系统、WAF，主要作用分别是：出口访问控制、IPS漏洞攻击防护、出口病毒防护、出口流量控制等。

核心交换区：核心交换区有两台华为核心交换机，连接新老校区的终端接入区、运维管理区及业务应用平台。

终端有线、无线接入区：整个区域内包含老校区、教学办公、中心楼、宿舍楼、食堂、体育馆、实训大楼、教学机房所有终端及校园无线网的接入访问。

业务应用区：部署有VMware虚拟化集群，分别用于承载一卡通、网管、数字图书馆、教务系统等相关业务。

运维管理区：部署天融信运维管理系统、日志收集分析系统、数据库审计系统、脆弱性扫描与管理系统，满足等保2.0的审计合规要求。以上设备经前期调研摸排，均支持IPv4/IPv6。

（二）问题分析

1、安全体系不够完善

网络的攻击、入侵、病毒、木马等各种类型的安全威胁日益增大，我校最初建设的安全防御体系偏向于等保合规，在应对现有新型挑战、未知变种病毒攻击时缺乏深度检测，联动防御、全局可视等能力。目前安全设备各自为战，发生安全事件后要分别登陆防火墙、WAF、IPS等设备查看安全日志，定位问题时无法发现事件攻击链，也就难以进行威胁溯源和有效封堵；对全网行为缺乏监测能力，无法感知当前学院的资产、威胁、漏洞情况。

2、边界防护缺失

根据等保2.0要求的“分区分域，安全隔离”的相关要求，为避免各区域之间东西向的攻击，需要在边界部署边界防护设备，目前宁夏职业技术学院仅在校园网出口部署防火墙，老校区接入、终端接入区、业务应用区均无边界防护设备。

3、数据中心防护缺失

学院数据中心部署学院核心业务，但未部署边界防护设备进行数据中心的防护，仅仅通过将web访问流量引流至出口的WAF设备进行应用层防护，但针对普通的四层攻击行为，来自学院终端接入区和老校区的横向攻击流量，防护效果薄弱，不满足数据中心的防护要求，很容易成为学院安全建设的薄弱点，攻防演练中只要进入校园网就能进行攻击。

4、联动响应能力弱

学院现有的安全建设偏向于设备自身的安全防护机制，设备彼此之间无联动处置能力，遇到安全问题各自为战，导致溯源安全事件慢，闭环处置能力弱。

5、业务缺乏持续监测能力

我校缺乏对扫描攻击行为的防御能力，如果出现绕开现有安全体系的攻击或着利用新型0day漏洞的扫描暴破行为，无论是在实际攻击还是国家常态化攻防演练中，都将会对我校开展“互联网+教育”工作造成非常严重的影响。

6、网络安全运维力量薄弱

目前学校已经完成了网络安全基础能力建设，关键网络节点均部署有安全防护设备，也初步具备对于APT高级攻击、勒索病毒等常见网络安全风险的监测预警能力，并且未来对于等保合规的集中运维、全网审计、漏洞自查，均会有相关设备。但在实际网络安全工作开展和IPV６部署过程中，依旧存在以下问题：

一是安全问题发现周期长。现在一旦爆发新的漏洞或遭受新型网络攻击，往往都是被监管单位通报了，或者是对业务产生实际影响了才知道有问题，这个时候已经晚了，只能临时救火；

二是发现问题之后，分析调查进展慢。一方面是受限于中心安全人员精力和能力不足，另一方面安全服务商派来协助调查的人员对学院的业务和网络往往不太熟悉，了解环境就耽误了不少时间，加上临时抽调过来的人员能力上也是参差不齐，最终影响调查进展。

三是对事件的闭环处置比较迟缓。缺乏更高水平的专家协助和更高效的处置工具支撑，使得整个安全事件处置过程会拖得比较长。

（三）需求分析

学校经过前期对网络设备的IPV６支持情况摸排发现，网络中已部署了防火墙进行边界防护，针对数据中心业务也有针对web层面的WAF引流防护，但整体网络防护层面仍需要进一步加强，一方面需要完善边界防护设施，满足“分区分域，边界隔离”的防护要求；另一方面，网络侧防护做为整个安全体系中重要的一环，防火墙设备应具备联动云端检测、终端查杀、服务平台的能力。面对新型威胁、高级威胁，仅依靠防火墙进行边界防护是远远不够的，必须打造基于IPV６的闭环联动的安全体系。

（四）总体方案设计思路

本项目的总体目标是对宁夏职业技术学院网络进行升级改造，保障网络及安全设备能够在性能和功能上支持IPv6改造，并在改造的基础上补齐宁夏职业技术学院校园网缺失的网络安全能力，提升我校整体的网络安全水平。

本项目秉承以下一代互联网为核心框架要素，深入挖掘IPv6网络技术在实现教育网架构互连、业务数据互通、职能应用扁平化的重要支撑作用，实现低成本高效率的项目建设。通过当前教育IPV6升级改造、建设支持IPv4/IPv6双栈的学校网络，延伸学校外网现有空间网络边缘，形成向下一代互联网（IPv6）接入融合的学校网络平台。基于云端为网、端、业务交付全生命周期的轻量级安全运营平台，构建威胁统一分析能力、智能协同处置能力、全球情报抵御未知威胁能力和安全设备统一管理能力，为用户提供完整有效的安全保护。

1、设计规划

部署安全感知平台（vSIP），作为软件版安全大脑，聚合学院安全设备的日志，统一分析展示；态势感知是集检测、预警、响应处置为一体的大数据安全分析平台，以全流量分析为核心，结合威胁情报、行为分析建模、UEBA、失陷主机检测、图关联分析、机器学习、大数据关联分析、可视化等技术，对全网流量实现全网业务可视化、威胁可视化、攻击与可疑流量可视化等，在高级威胁入侵之后，损失发生之前及时发现威胁。通过态势感知建设，可将学院现有安全设备的价值发挥到最大，改变原有安全设备各自为战的割裂场景，真正打造一体化的安全运营体系。

流量采集工具STA：用于旁路部署在核心交换机，作为XDR平台的网络侧遥测源，对全流量进行采集和检测，提取有效数据上报给XDR平台。网络侧遥测源应具备IDS检测能力，包含WEB应用攻击检测规则和漏洞利用攻击检测规则，可从流量中检测已知威胁，为平台输送安全日志。同时，内置异常行为检测引擎，实时匹配流量，当发现存在异常行为时会将流量片段在采集的流量数据中进行标记，传给XDR平台，由平台进行深度关联分析，挖掘潜在的威胁。

数据中心边界对山石防火墙利旧部署，利用L4层能力实现对于数据中心逻辑边界隔离，启用安全防护策略阻断违规访问业务行为，实现基础的数据中心安全防护。

云端部署托管检测与响应服务-安全运营中心，通过更加轻量化的“人机共智”模式来整合技术、专家和流程，真正将学校的安全设备用起来，快速扩展安全能力。托管检测与响应服务，从监测、判断、调查到处置，结合定期威胁狩猎为学校有效闭环安全问题；能够定期进行服务成果汇总和安全趋势分析并进行汇报，呈现安全工作价值；MDR服务7*24小时在线，持续监测网络威胁和事件，服务专家在线实时处置、闭环安全问题，让安全工作省时省力省心。

2、方案预期价值

1）双栈共存，平滑升级

IPv6解决方案同时支持IPv4和IPv6访问，为IPv6系统改造留出充足的时间，使得改造过程平滑过渡，保障升级期间的安全问题，缓解过渡期的责任压力。

2）满足监管，安全合规

IPv6解决方案成功解决了IPv6和IPv4的兼容问题，并实现IPv6网络升级，无需对业务系统进行深度改造即可满足监管要求。

3）可视化集中运维，全网风险感知

集中管控，可视化展示各接设备安全状态。基于业务视角统一管理全网IT资源，综合、直观呈现全网安全状态，实现对全网安全的持续检测、精准定位和联动快速处置。帮助管理者快速排障和定位问题、实现可视化集中运维管理，简化运维工作，降低运维管理压力，提升管理效率和运维质量。

4）web安全防护，保障重要时期重要业务安全

全面防护+实时监控+及时阻断，提供安全防护+SAAS化安全服务+应急手段多重保障机制，可以在用户网站被恶意篡改后第一时间短信通知用户、用户通过手机即马上下发阻断命令，或者自动阻断被攻击web服务器的访问，避免出现问题的服务器还在被客户访问，造成更大的影响和损失。

5）托管式安全运营体系，闭环问题

基于“人机共智”的理念，通过安全设备与第三方专业安全专家的共同运营开展持续化的网络安全保障工作，提供托管式安全运营服务，简化学校信息部门的管理难度。同时基于工单的事件处理模式，从本地T1工程师到T2、T3的云端专家，有效闭环问题。

资产、漏洞、威胁、事件是信息安全风险的核心影响因子，如威胁，威胁是信息安全工作中无法回避的问题，业务系统上线后必定面临各种各样的威胁；如脆弱性，因为业务系统本身必然会存在脆弱性，黑客若利用这些脆弱性开展攻击，一旦攻击成功便形成信息安全事件，直接造成长时间的业务中断、严重的经济损失或社会影响。

因此，通过安全运营服务可帮助用户构建持续（7*24小时）、主动、闭环的安全运营体系。具体效果指标为：

学校的重要资产的漏洞闭环处置率越来越高；

安全威胁的发现时间越来越短，发现速度越来越快；安全威胁的响应时间越来越短，响应速度越来越快；

产生危害的安全事件的数量越来越少，最后在可接受的范围内波动；产生危害的安全事件的处置率越来越高；

这些具体的效果指标意味着组织内部的安全体系正在健康、有效地运转，因漏洞、威胁带来的风险越来越少，安全运营成熟度不断提高。

1基于IPv6的扩展检测与响应平台 数量：1套技术参数：

一、性能参数

平台对接服务器数量≥200个，对接服务器安全防护系统≥200套，平台服务≥1年。

二、功能参数

1、平台以SAAS化形态交付，通过账号密码即可在云端获取服务，支持IPv6、IPv4同时服务的能力。

2、支持首页展示风险总览、包括安全事件总览、资产概览统计、接入设备展示包括不仅限于探针、服务器安全防护系统等。

3、★支持勒索风险管理功能，持续跟踪最新的勒索情报和技战法，实时展示出服务器资产中的入侵风险，包括勒索风险端口、勒索应用弱密码和勒索风险漏洞。

4、支持自定义可视化组件，包括柱形图、水平条形图、趋势图、饼图、表格、指标、Markdown形式等；★平台支持大屏展示功能，能够通过全网安全能力监控大屏展示网端数据源。并支持跳转相关日志检索页面，可直观展示日志到告警，告警到事件的消减程度和比例。

5、支持云端专家提供轻量安全服务，进行持续的威胁狩猎，发现潜在威胁；在有攻击事件生成后，进行二次确认，通过Threat Hunting标签进行辨别，对热门威胁进行响应；

6、平台支持钓鱼演练功能并提供可视化、免费的钓鱼演练工具。根据钓鱼演练的性质以及组织属性选择合适的钓鱼邮件模版，常见的钓鱼邮件种类可大致分为财务钓鱼、放假通知钓鱼、漏洞自检钓鱼、考勤钓鱼、简历钓鱼、举报材料钓鱼等。

7、支持威胁模拟功能，可通过“威胁模拟”功能生成样例事件或运行测试脚本产生告警、事件，从而体验安全事件的分析、研判功能。

8、支持绑定微信公众号，自定义推送安全事件或热点漏洞事件讯息，安全事件发生后能及时提醒用户，有效延缓威胁扩散。

9、支持展示资产基础信息、关联IP、操作系统、设备信息、地理位置、资产责任人；

10、支持对安全事件推送处置和响应建议，响应建议包括原理介绍、危害影响、处置建议。通过攻击故事线、时间线查看安全事件发生的攻击路径和时间轴。可一键遏制IP、标记状态等。支持在线咨询或离线留言云端安全专家，获取专业技术支持。

11、支持智能调查功能，通过对威胁情报以及威胁实体IP、域名、MD5的检索，自动进行统计分析，提供全局威胁狩猎，进行快速调查溯源。

★平台需与本次采购的基于IPv6的潜伏威胁探针实现数据的无缝对接，支持日志信息同步、联动处置等功能，还支持连通性测试，确保设备状态处于正常水平。

2托管监测与响应服务 数量：1套

技术参数：1、托管业务资产IP数≥58，服务期限≥1年。

2、服务支持IPv6、IPv4同时服务的能力。

3、提供7*24小时威胁分析和鉴定服务，安全告警上传至服务平台依托于平台的大数据分析和威胁检测能力实时监测用户网络安全状态，对平台监测到的安全威胁进行分析鉴定，自动生成服务工单，识别到真正的安全威胁。

4、实时监测网络安全状态，对攻击事件自动化生成工单，及时进行分析与预警。攻击事件包括但不限于：境外黑客攻击事件、暴力破解攻击事件、内网Dos攻击事件等。

5、提供云端专家实时答疑服务，安全专家7*24H在线值守，对学校咨询或上报的安全问题能够及时响应并给出处置建议，响应时间不得超过30分钟。

6、提供7*24小时分析服务，能够对主机发生的安全事件开展调查分析和影响面分析，对安全事件进行人工鉴定和详细的举证分析，输出《事件调查报告》。

7、★所有可导出报告支持按照自定义模块进行导出，可自定义模块必须包括但不限于事件管理、攻击威胁（外部攻击趋势、TOP5攻击IP等）。

8、平台支持对接其他安全服务工具，并且服务工具应当支持将收集的安全日志上传到服务平台上，并支持在该平台上对服务工具进行管理。

9、服务提供业务安全状态监控功能，在首页可直观查看业务和资产安全状态信息，展示纬度至少包括服务资产安全评级、服务运营状态及成果、安全风险概览、最新情报、最新风险工单等。

10、投标方服务平台已支持的安全检测规则应超过1000个，且覆盖内网脆弱性问题，病毒类事件，入侵行为，勒索、挖矿类事件等。

11、★支持将本次采购的基于IPv6的潜伏威胁探针所采集到的流量数据上传至托管监测与响应服务平台实现数据的无缝对接，依托于平台的大数据分析和威胁检测能力实时监测学院的网络安全状态，对平台监测到的安全威胁进行分析鉴定，自动生成服务工单，识别到真正的安全威胁。（须出具承诺函附于投标文件中并加盖投标人电子公章）

3基于IPv6的虚拟化安全感知管理平台 数量：1套技术参数：一、性能参数：

安全管理平台软件授权≥1000个，接入授权≥10个，软件升级≥3年。

二、功能参数：

1、支持安全态势的可视化呈现，以大屏的方式从安全运营中心态势大屏、物联网安全态势、安全事件、工单系统态势、脆弱性态势、资产风险态势、全球攻击态势等提供不少于16块大屏展示界面。

2、支持大屏展示业务脆弱性风险指数，统计展示漏洞、弱密码、明文传输、配置风险的数量，同时可展示服务器总览、脆弱性资产TOP5、实时脆弱性监测、漏洞风险态势、漏洞类型TOP5、高危漏洞TOP5等，可支持设置不同风险等级决定展示内容。

3、★支持大屏轮播及自定义大屏顺序设置和大屏名称。自定义统计周期资产组划分、选择播放大屏及轮播时间间隔、实时告警。

4、支持自定义配置资产指纹识别规则，可基于流量行为细化资产类型，支持资产类型识别规则自定义和属性指纹特征自定义。

5、★支持配置分支管理的专有权限，分支管理工作人员有各自的展示工作界面，查看自己权限下分支的信息系统的安全情况，功能展示完整，支持不少于8级的设置。

6、为有效定位问题，溯源风险IP，设备可接入DNS服务器的日志，平台将根据DNS服务器的日志，定位出真实的源IP。

7、★为有效防止弱密码导致的资产脆弱性，弱密码检测的规则应支持自设置，包括规则名称、生效域名、规则配置、字典序、账号白名单、web空密码、密码白名单、长度规则、字符规则、弱密码txt文件格式导入。

8、为更精确定位失陷主机位置，设备支持跨三层识别资产物理MAC地址，解决多个资产分配同一个IP的地址冲突情况和DHCP自动分配IP后变更导致的不准确。

9、支持专项的挖矿检测页面，通过挖矿阶段图能够分析展示挖矿前、中、后全攻击过程，可运用威胁情报、潜伏威胁黄金眼和行为关联分析等技术，对挖矿前期进行告警，并提供可落地的处置建议。

10、支持设置资产识别的策略，可基于流量更准确划分资产类型，支持自定义资产类型识别规则，自定义属性指纹特征。

11、支持与基于IPv6的扩展检测与响应平台实现数据对接，能够将网络侧与终端侧采集的数据进行关联聚合，更精准地定位失陷主机，并以可视化图谱直观清晰地展示完整的攻击链。

12、支持Web、Mail、FTP、DNS、DHCP、SMB、SNMP、数据库类、IPV6、Redis、ICMP、SSH、RDP等协议及文件审计、自定义协议解析等数据解析并生成日志记录。

4基于IPv6的潜伏威胁探针 数量：1台技术参数：一、硬件参数：

标准2U机架式设备，内存大小≥8G，硬盘容量≥480G SSD，电源：冗余电源，接口：千兆电口≥6个，万兆光口SFP+≥2个。

二、性能参数：

吞吐量≥3Gbps；产品质保≥3年，软件升级≥3年。

三、功能参数：

1、支持根据数据包方向、协议、端口、IP地址等信息自定义应用规则来识别应用类型。

2、支持基于IP和域名的旁路阻断，支持自定义ipv4或ipv6的地址设置阻断对象，可选择24小时/7天/30天或者自定义时间在5分钟内阻断威胁。

3、支持IRC、HFS、Socks、HTTP、DNS、ICMP、端口异常、上下行流量、Ngork、FRP、等协议及登录异常流量检测。

4、支持服务漏洞攻击检测功能，漏洞类型包含但不限于：Database漏洞、DNS漏洞、FTP漏洞、Mail漏洞攻击、Network Device、Media漏洞、Shellcode漏洞、Scan漏洞、System漏洞、Telnet漏洞攻击、Tftp漏洞、IPS云防护、Web漏洞等。

5、审计白名单支持源目IP、源目端口和日志类型、日志来源。

6、支持设备内置简单命令行管理窗口，便于基础运维调试。

7、★支持流量抓包分析，基于五元组灵活抓取数据包，可定义配置源IP、源端口、目的IP和目的端口、传输层协议以及标签类型（vlan、vxlan、mpls）选择添加抓包任务，接口额外提供标签选项。

8、支持多种类型弱口令策略可选；支持自定义FTP弱口令检测、口令暴力破解检测不同格式和爆破次数，规则设置如空口令、用户名和密码相同、长度、弱口令列表等。

9、为了满足不同应用场景下的日志传输需求，需支持多种类型的日志传输模式，比如标准模式、高级模式、精简模式、局域网模式、自定义模式等，不同的场景选用不同的模式传输。

10、提供三权分立的用户管理能力：系统管理员、审计管理员、安全管理员、普通管理员四个角色相互独立；具备系统内用户的业务操作和运维操作。

11、★支持与本次采购的基于IPv6的虚拟化安全感知管理平台、基于IPv6的扩展检测与响应平台同时对接，能够将安全检测日志，访问检测日志等数据上报给平台，可供安全管理员、安全运维人员方便快捷地处理数据。