招标文件
采购需求
国内以比特币为代表的虚拟货币不具备法偿性和强制性等货币属性,不具有与货币等同的法律地位,不能且不应作为货币在市场上流通使用。因此,此类虚拟货币的发行、炒作、交易和“挖矿”行为将扰乱国家金融秩序并导致算力资源和电力资源的巨大浪费。面向工业互联网场景,通过搭建虚拟货币挖矿检测系统,建立综合治理技术能力,解决虚拟货币“挖矿”活动发现难、核验难、溯源难等问题,系统上线主要实现以下目标:
1、利用虚拟货币“挖矿”技术原理、运作模式、互联网通信方式等特征,从域名解析的维度发现虚拟货币“挖矿”行为,提升对虚拟货币“挖矿”行为的监测及治理水平,输出针对工业企业的虚拟货币“挖矿”行为事件报表。
2、具备对网络设备的全方位监控和数据采集分析的能力,通过对工业网络中的挖矿流量进行智能分析,基于流量模式分析识别可能的攻击行为。并对网络流量进行安全性评估,实现恶意流量、异常端口等的检测。
3、针对工业企业的虚拟货币挖矿信息进行核查,提高工业互联网网络安全防护水平。
本次采购面向工业互联网的虚拟货币检测系统主要包括3个子系统:
|
编号 |
货物名称 |
单位 |
数量 |
|
1 |
域名解析数据分析系统 |
套 |
1 |
|
2 |
智能流量分析系统 |
套 |
1 |
|
3 |
信息核查系统 |
套 |
1 |
项目属性:货物类项目
o 建设总体要求
采用组件化设计;支持本地化部署,客户端通过浏览器即可方便使用,尽可能降低系统的维护和使用成本,便于系统今后的扩展和维护。具体要求包括:
1) 标准化原则:在系统平台、技术等选型时符合国际标准、工业标准、行业标准。
2) 易用性原则:用户操作界面应尽可能的直观简洁。采用B/S结构使用浏览器即可运行操作,浏览器需支持主流品牌(火狐、谷歌、360等)。
3) 可维护性原则:系统应支持灵活易用的图形化操作、表单设计,提供齐全的网络及设备管理能力。
4) 系统环境采用主流Linux系统版本,CentOS 7.9、Ubuntu 16.04、龙蜥开源Anolis OS7.9等。
5) 数据库须为主流的数据库,包括MySQL、Oracle、SQLite等,正常支持至少千万级的数据总量。
6) 与各类网络及网络设备的交互应采用主流的接口协议。
o 功能需求
§ 子系统:域名解析数据分析系统
· ▲域名解析流量采集
支持各个网络节点部署域名流量采集模块,采用规范化、标准化的采集技术,实现域名流量数据的抓取、过滤、分向、对准、解析、统计以及最后的日志压缩输出能力。
1)支持提供采集策略的可视化配置采集配置包含不限于:采集网卡配置,日志文件格式配置、ftp、sftp、启停配置等策略配置数据。
2)提供每台采集设备运行的实时状态情况,包括不限于:CPU、内存、存储空间等硬件设备情况,同时应包含:采集进程、采集性能大小、采集运行时长等业务情况。
3)提供DNS采集方案说明,日志格式要求如下:用户IP|请求域名|解析时间|A记录解析地址|解析结果代码|请求DNS记录类型|CNAME|AAAA记录解析地址|业务IP|解析时延。字段说明:
|
序号 |
字段 |
含义 |
|
|
用户IP地址 |
要求支持IPv4和IPv6用户地址 |
|
|
请求域名 |
|
|
|
解析时间 |
采用北京时间,时间格式为yyyyMMddhhmmss |
|
|
A记录解析地址 |
A记录解析结果,如解析失败,该字段可以为空,如果有多个IP地址,各IP地址间用英文的“;”分隔 |
|
|
解析结果代码 |
0为成功; 1为格式错误,域名服务器无法解析该请求; 2为服务器错误,域名服务器由于自身错误而不能处理该请求; 3为域名未找到,只有授权服务器返回的该信息才有意义,表示请求中的域名不存在; 4为未实现,表示域名服务器不支持请求的类型; 5为拒绝,表示域名服务器因为某种策略而拒绝应答 6~15保留 |
|
|
请求DNS记录类型 |
用户请求类型,如A、AAAA、、 CNAME,用十进制数标识,其中1-A,28-AAAA,5-CNAME |
|
|
CNAME域名 |
用户请求域名的所有CNAME域名,按照顺序存放,以英文“;”分割 |
|
|
AAAA记录解析地址 |
AAAA记录解析结果,如解析失败,该字段可以为空,如果有多个IPv6地址,各IPv6地址间用英文的“;”分隔 |
|
|
业务IP |
提供服务的DNS服务器IP地址 |
|
|
解析时延 |
缓存服务器响应用户请求的时间 |
· ▲域名解析监控
域名解析监控是指对网络中发生的域名解析请求和响应进行实时监测和记录的过程。域名解析数据分析系统能够快速捕获多种不同工业企业网络中发生的域名解析请求和响应,为工业互联网提供域名活动状态追踪的能力。
1) 支持解析请求次数、时间段解析活动统计,能够追踪并统计每个域名的解析请求次数,并对每个域名在不同时间段内的解析活动进行统计,发现工作时间外的异常活动。
2) 支持解析成功率监测,能够监测每个域名解析的成功率,及时发现解析失败或异常情况,提高系统可靠性。
3) 支持黑名单域名标识,能够对已知黑名单域名进行标识,支持恶意域名的快速检测。
· 异常域名检测
异常域名检测是指对工业互联网域名解析中出现的异常或不正常情况进行识别和监测的过程。域名解析数据分析系统能够通过及时识别和处理异常域名,提高网络的整体安全性。防范恶意域名的访问有助于减少潜在的攻击和数据泄漏风险,保护工业互联网系统的正常运行。
1) 支持黑名单匹配,系统支持维护恶意域名的黑名单,并对解析请求的域名进行匹配,以确定是否为黑名单中的异常域名。
2) 支持域名格式异常检查、频繁解析检测,支持检查域名是否符合正常的域名格式,排除因拼写错误或伪装而导致的异常域名,并且能够监测同一域名的解析请求频率,识别频繁解析的域名,可能是恶意活动的标志。
3) 支持异常域名警报通知,系统支持在检测到异常域名时,及时发送警报通知给系统管理员,以便能够迅速采取措施。
· ▲IP地址分析
IP地址分析指对域名解析过程中获得的IP地址进行深入研究和评估的过程。通过分析解析得到的IP地址识别与虚拟货币挖矿等恶意活动相关的IP地址,例如已知的挖矿池、恶意软件服务器等,为工业企业提供了识别潜在威胁和有效响应安全事件的关键信息。
1) 支持IP地址反查,能够反查解析得到的IP地址,获取与之相关的域名信息,以了解该IP地址是否与虚拟货币挖矿等恶意活动相关。
2) 支持IP地址归属地分析,提供IP地址的归属地信息,帮助系统识别异常的地理位置关联,从而提供定位潜在攻击来源的线索。
3) 支持黑名单IP匹配,系统支持维护黑名单IP地址列表,以便快速匹配解析得到的IP地址,识别已知的与恶意活动相关的IP地址。
· 安全事件警报
安全事件警报是指在监测系统中检测到可能的安全威胁或异常行为时,系统生成并发送通知给相关的管理员或安全团队的过程,有助于保护工业企业系统免受各种网络安全风险。
1) 支持异常域名警报,检测到异常的域名解析活动时支持生成警报通知,以及时通知管理员。
2) 支持多形式告警通知,允许管理员根据需要确定告警方式,如电子邮件、短信或集成到安全信息与事件管理系统(SIEM)中。
3) 支持对不同类型的安全事件进行级别划分,以便管理员可以更好地优先处理不同严重程度的威胁。
· ▲域名流量统计
域名流量统计功能是指对工业互联网系统中域名解析活动的流量进行收集、分析和汇总的能力。系统能够更全面地监测和管理工业互联网中的域名解析流量,提高对虚拟货币挖矿等恶意活动的检测和防范能力。
第2章 支持源IP地址流量统计,统计每个域名解析请求的来源IP地址,帮助分析解析活动的来源分布情况。
第3章 支持基本历史记录查询,方便查找特定时间范围内的域名解析活动。
§ 子系统:智能流量分析系统
· 网元管理
网元管理能够为工业企业提供工业网络中网络设备的集中管理功能,工业网络智能流量分析系统通过控制和管理网元设备来进行流量的转发和调度。
第4章 支持对网元设备信息的新增、修改及删除操作。
第5章 支持网元的批量导入操作。
第6章 支持对网元标识、状态、角色、ip、设备型号等信息进行查看展示,支持对网元标识、ip及设备型号进行搜索查询操作。
· 端口管理
端口管理负责为工业网络中的网元设备提供对应的端口信息管理工作,系统需要根据网元设备的端口来进行流量的收集和链路构建。
第7章 支持对设备端口信息的新增、修改及删除操作。
第8章 支持端口的批量导入操作。
第9章 支持对设备名称、端口标识、名称、ip、带宽等信息进行查看展示,支持对端口标识、ip及所属设备进行搜索查询操作。
· 链路管理
通过网元设备以及网元端口的相关信息,链路管理可以为智能流量分析系统提供工业网络网元设备之间的链路管理功能。
第10章 支持对链路信息的新增、修改及删除操作。
第11章 支持链路的批量导入操作。
第12章 支持对链路名、状态、本端设备、本端端口、远端设备、远端端口、链路带宽等信息进行查看展示。
第13章 支持对链路名称、设备名称、设备型号进行搜索查询操作。
· 恶意流量检测
恶意流量检测是指对网络通信中的数据流进行深度分析,以识别和阻止与虚拟货币挖矿等恶意活动相关的异常或恶意网络流量,旨在提高工业系统的安全性和防御能力。
第14章 支持识别正常流量模式,并检测出与虚拟货币挖矿等恶意活动不符的异常流量模式。
第15章 支持对网络流量进行协议分析,识别可能包含挖矿行为的非标准或异常协议使用。
第16章 支持深入检查网络数据包内容,识别携带有恶意挖矿代码或命令的数据包。
· ▲异常流量行为分析
异常流量行为分析是指对网络流量中不符合正常行为模式的数据进行深入研究,以便识别潜在的虚拟货币挖矿等恶意活动,从而提高系统的安全防御能力。
第17章 支持建立正常流量行为的基线模型,以便识别与基线不符的异常流量。
第18章 支持检测大规模的数据传输行为,识别可能涉及到虚拟货币挖矿等异常活动的流量。
第19章 支持监测并识别频繁建立连接的行为,可能提示恶意行为的存在,如扫描或攻击。
· ▲挖矿流量特征提取
挖矿流量特征提取是指从网络通信中提取与虚拟货币挖矿行为相关的特定模式、协议、数据包大小等标志性特征,以帮助系统识别和分析潜在的挖矿活动,从而提高恶意挖矿行为的检测精度。
第20章 支持对网络流量中挖矿协议的识别和解析,以提取协议级别的挖矿特征。
第21章 支持数据包大小特征提取,系统能够提取与挖矿活动相关的数据包大小模式,包括典型挖矿通信的数据包大小范围。
第22章 支持提取流量中涉及的挖矿算法的特征,以识别不同挖矿行为所使用的特定算法。
· ▲异常端口和协议检测
异常端口和协议检测是指对工业互联网系统中网络通信中使用的非常规端口和协议进行监测和识别,以便及时发现潜在的虚拟货币挖矿等恶意活动,提高系统的安全性和防御能力。
第23章 支持常见端口白名单,维护一个常见端口白名单,用于排除正常通信中使用的端口,减少误报。
第24章 支持非常规端口监测,系统能够监测网络通信中使用的非常规端口,识别可能涉及到虚拟货币挖矿等异常活动的端口使用。
· FLOW流量采集与记录
流量日志记录是指对工业互联网系统中的网络通信流量进行详细记录,以提供对流量行为的审计、调查和分析,从而增强对潜在恶意活动的监测和安全防御能力。
第25章 支持详细流量记录,能够对网络通信流量的详细记录,包括源IP地址、目标IP地址、端口号、协议类型、数据包大小等关键信息。
第26章 支持用户标识记录,能提供对流量关联用户的标识,有助于分析工业互联网系统中用户的网络活动。
第27章 支持日志字段的选择,允许管理员根据实际需求选择采集的流量字段,以适应不同的监测和审计要求。
· 系统配置
系统配置为智能流量分析系统提供包括外接控制系统、设备类型、特定客户信息以及定时任务等相关的统一配置管理功能。
第28章 支持对外接控制系统的新增、编辑、删除操作。
第29章 支持对设备类型信息包括型号、类别、厂家、管理系统及描述的展示、修改及删除操作。
第30章 支持对特定的地址网段信息进行新增、修改、删除操作。
第31章 支持对定时循环任务进行新增、修改、删除操作,支持对定时任务名称、定时任务周期、任务状态进行展示。
§ 子系统:信息核查系统
· ▲挖矿信息来源分析
挖矿信息来源分析是指对工业互联网系统中可能涉及虚拟货币挖矿的各类数据源进行深入分析,包括网络流量、系统日志、外部数据源等,以全面了解挖矿活动的数据背景,为准确识别和响应挖矿威胁提供基础信息。
1. 支持系统日志解析,解析系统产生的日志文件,包括操作系统、应用程序和安全设备的日志,提取可能与挖矿相关的信息。
2. 支持外部数据源整合,整合外部数据源,如区块链交易数据、威胁情报数据等,以获取与虚拟货币挖矿相关的外部信息。
3. 支持挖矿软件和脚本检测,分析系统中存在的软件和脚本,识别可能用于挖矿的工具,并记录相关信息。
· ▲挖矿关键词检索
挖矿关键词检索是指在工业互联网系统的日志、通信记录等信息中,通过搜索关键词相关于虚拟货币挖矿的术语,以发现并定位可能涉及挖矿活动的记录,提高挖矿威胁的识别准确性。
4. 支持关键词列表定义,允许管理员定义挖矿关键词列表,包括与虚拟货币挖矿活动相关的术语、缩写、常见命令等。
5. 支持多关键词联合检索,实现同时检索多个关键词,以提高检测的综合性和灵活性。
6. 支持通配符和模糊匹配,支持通配符和模糊匹配功能,以应对不同的挖矿关键词表达形式和变体。
· 威胁情报集成
威胁情报集成是指将外部的有关虚拟货币挖矿等安全威胁的信息,如攻击模式、恶意软件特征等整合到工业互联网系统中,以增强系统的实时监测和及时响应能力,提高对潜在威胁的防范水平。
7. 支持外部威胁情报源订阅,允许系统管理员订阅并集成来自外部安全服务提供商、开源情报共享平台等的威胁情报数据。
8. 支持定期更新威胁情报,实现定期自动或手动更新威胁情报数据,以确保系统始终使用最新的安全信息。
9. 支持多源情报整合,整合多个威胁情报源的信息,包括攻击模式、恶意软件特征、IP地址黑名单等,形成综合的威胁情报数据库。
· 历史数据查询与可视化
历史数据查询与可视化是指通过对工业互联网系统中的历史数据进行检索和呈现,以便系统管理员了解过去的安全事件、挖矿活动趋势,并通过可视化展示提供直观的安全态势分析。
10. 支持时间范围选择,允许管理员选择特定时间范围进行历史数据查询,以便查看特定时段的安全事件和挖矿活动
11. 支持多维数据查询,实现多维度的历史数据查询,包括流量、日志、威胁情报等,以满足不同查询需求。
12. 支持关键词查询,提供关键词查询功能,使管理员能够根据特定关键词检索与挖矿活动相关的历史记录。
· 信息核查结果报告生成
信息核查结果报告生成是指根据信息核查系统对虚拟货币挖矿相关信息的分析与核查结果,自动生成详实的报告,提供给管理员,以便全面了解挖矿活动、相关证据及建议的应对措施,从而支持系统安全决策。
13. 支持报告模板定制,允许管理员定制报告模板,以满足不同的信息核查需求和格式要求。
14. 支持关键信息摘要,提供报告中关键信息的摘要,让管理员能够快速了解核查结果的要点。
15. 支持证据展示,在报告中展示挖矿活动相关的证据,包括流量记录、日志截图、域名解析信息等。
· 告警监控
信息核查系统需要能够支持对网络数据异常情况下的告警通知能力,便于运维管理人员第一时间进行处理。
16. 支持通过邮件、短信等方式对系统告警信息进行发送管理。
17. 支持对不同用户进行个性化的告警通知方式设置,支持对告警等级的通知触发阈值设置。
18. 支持对告警配置的查询、新增、编辑、删除等管理操作。
o 非功能需求
§ ▲系统性能要求
19. 具备对接100个节点以上的流量采集、处理与分析的能力。
20. 域名解析流量采集性能要求:单台通用服务器配置(CPU:主频不低于 3.10GHz,80线程;内存:256G;万兆网卡)情况下,须满足DNS采集性能不低于500万QPS。
21. FLOW流量采集性能要求:单台通用服务器配置(CPU:主频不低于 3.10GHz,80线程;内存:256G;万兆网卡)情况下,须满足Flow采集性能不低于1000万/秒的Flow条目数。
§ 知识产权要求
投标人提供的软件如为第三方产品,应提供其来源及授权、详细产品资料(包括软件结构、功能模块等),并明确提出后续服务保证,若发生版权纠纷,由投标人无条件承担全部责任。
§ 安装调试要求
要求项目建设团队在投标文件中提供各子系统具体时间安排进度表并遵照实施。实施方式为驻场实施。
1)安装和调试
软件调试由投标人负责,并提出软件调试的内容、项目、指标和方法,并提供相应工具,投标人有责任对采购人技术人员提出的问题做出解答。调试应进行详细记录,系统调试结束后,由投标人技术人员签字后交给采购人验收。
2)测试
在部署验证时,投标人应提供测试方案,测试方案中要求可参考招标文件中技术规范且不得低于投标文件中投标人的应答,工程实施后,将据此进行测试。
§ ★验收及文档交付要求
1)试运行:设备安装、调试达到技术规范书规定的指标并可以开通业务时,在买卖双方共同确认并进行相关指标测试后,经采购人同意,设备进入试运行期,在试运行期间投标人有义务协助采购人进行系统稳定性、压力、功能、系统可维护能力等方面的测试。测试期间,如果出现系统瘫痪等重大运行故障,双方须共同分析原因并提出改进措施。
2)验收:试运行一个月稳定后,在安装测试通过后方可进行验收测试。采购人根据合同及技术规范书, 经双方确认后形成验收文件作为验收依据。验收测试合格后, 采购人出具验收合格报告。
3)投标人需要提供的技术文件至少包括:
22. 成品软件程序及源代码
23. 用户使用手册
24. 系统部署手册
25. 验收报告
§ 培训要求
26. 系统实施后,提供《用户使用手册》、《系统部署手册》及相关培训资料(中文)提供给采购人,并免费培训工作人员3-4人,使其能够掌握产品的基本原理和使用方法。
27. 提供系统的功能使用操作及基本维护培训。
28. 请提供详细的培训方案。
29. 相关费用由投标人承担。
§ 售后服务要求
1、 维保
日常管理和运维:投标人需提供系统软件的基本维护,包括安装调试、软件升级等。监督系统运行状态,解答处理采购人在操作过程中遇到的技术问题,对采购人日常反馈的问题进行及时整理汇总,对系统存在bug进行调试。
技术指导和支持:投标人需指导采购人正确使用系统,排查并解决系统运行中的其他问题,为采购人开展技术开发、运维等工作提供技术支持。定期或根据用户要求,投标人需对系统进行检查,数据备份。
投标人经采购人许可后,方可通过网络远程登录用户的系统。对系统进行的任何配置、数据改动及其它可能对系统和业务造成不良影响的操作,必需经采购人确认后方可进行,并提供书面记录。
投标人应根据系统的业务和工作流程变化,更新用户使用手册。
2、 服务方式
投标人承诺中标后在维保期内组建不少于4人专门团队提供南京本地化驻点服务,保证系统出现异常时的响应和解决速度,提供服务承诺函。
维保期内除现场服务外,应同时提供对系统问题的电话解答及电话支持;通过电话进行有关应用系统故障的检查及解决。提供服务的时段为7*24小时,对特殊情况双方另行商定。对采购人电话立即响应,并在半个工作日内给出答复或解决方案;不能在半个工作日内给出答复或解决方案的,应提前向采购人说明情况并约定进一步的处理方式。
维保期内,当系统运行环境出现严重故障,或因更换服务器等原因需要重新搭建系统数据库,投标人应提供部署建议,并通过远程或现场协助采购人完成数据库安装和数据迁移,对系统进行完整性检查并跟踪运行情况。
★3、售后服务时间要求
保修期3年:从验收完成之日起,投标人应为其软件提供3年的保修期,保修期间投标人应为本工程所提供的所有软件提供保修服务。在保修期内,如果系统发生故障,投标人要调查故障原因并修复直至满足最终验收指标和性能的要求,或者更换整个或部分有缺陷的软硬件。以上都应是完全免费的。
§ ★商务要求
30. 保修期:3年,从验收完成之日起
31. 交付期:在合同签订后20天内完成所有软件的部署
32. 付款方式:
(1)合同签订后,乙方开具合同总额30%的收据,同时提交付款申请书后原则上10个工作日内甲方支付30%预付款。
(2)乙方完成所有软件部署、甲方验收合格且对甲方人员进行相关培训(具体培训以投标文件中承诺为准)后,乙方开具合同总额100%的增值税专用发票、同时提交付款申请书后原则上10个工作日内,甲方支付合同总额67%的金额给乙方。
(3)甲方签署验收合格报告之日起所有软件正常运行一年时间经甲方确认后,乙方提交付款申请书后原则上10个工作日内,甲方支付合同总额3%的金额给乙方。
(4)系统维护:自甲方对乙方提供的全部服务验收之日起,3年内免费提供维护服务(系统运行期间的问题改修和版本升级)。
收藏