XX大学20XX年网络安全保障服务项目采购需求.docx

XX大学20XX年网络安全保障服务项目采购需求一、项目概况（一）项目背景随着信息技术在XX大学的广泛应用和深度融合，在教育系统、教育设备、教育环境等纷纷融入信息化元素的同时，加大了攻击者对于相关教育数据的关注程度和攻击面，使XX大学在网络安全面临的威胁持续加大。目前XX大学已在互联网边界部署了防火墙、IPS、WAF,数据库审计等安全设备，建立了较为完善的网络安全防范体系。随着校园网络规模不断扩大，数字化校园业务系统的复杂度不断提高，网络安全攻防对抗日趋激烈，校园网内外部新的安全问题开始显现。通过购买更多的安全设备已经不能使安全能力有质的提升，需要进一步提升安全运营能力，同时积极开展主动防御能力的建设，因此需要采购适度的网络安全保障服务，整体提高XX大学基础信息网络和重要信息系统的安全保护能力、水平及全生命周期的安全处置能力。（二）项目目标通过本项目的实施可以建立网络安全监测平台，能够及时发现和处置各种网络攻击和风险威胁，整体提升校园网络安全防护水平，确保校园网络满足各项网络安全监管要求。二、采购内容本项目采购的服务内容是：主机安全防护服务、全流量分析服务、渗透测试服务、网络安全驻场服务、防火墙软件平台及特征库升级服务。清单如下：服务分项数量/单位说明主机安全防护服务提供800台主机安全防护服务主机安全防护软件提供完整的系统加固和防护能力，包括资产梳理、风险发现、病毒扫描、安全基线、入侵检测、系统加固、应用防护、EDR,溯源分析等安全能力。全流量威胁监测分析服务提供1年持续性数据中心的流量可分析服务提供态势感知监测平台以及流量探针，通过对全流量的多维向量提取、快速检测和比对，以及异常流量和异常访问检测算法的快速分析可定位流量中存在的异常和未知攻击行为。渗透测试服务提供7个系统渗透测试服务交付物：渗透测试报告在采购人的授权和监督下，针对核心业务系统开展非破坏性的模拟黑客攻击测试，发现漏洞不进行破坏，并协助采购人进行修复，修复后进行复测，以确认漏洞是否被完全修复。安全驻场服务提供1人1年驻场，交付物：项目周报、设备巡检记录表、安全事件响应台账表、网络安全事件处理情况反馈表、应急响应报告、漏洞扫描报告、网站漏洞统计表、安全漏洞处置反馈表、挖矿和病毒木马清单、弱口令清单、重保值守日报安全策略优化、安全产品运维服务、信息安全事件应急响应、安全漏洞扫描及渗透测试、重大活动保障、安全培训及协助落实等保等。提供1人1年驻场，日常是5X8小时驻场服务，重大活动的安全保障期提供7X24小时安全驻场监测服务和应急响应工作。防火墙软件平台及特征库升1台设备维保，1年软硬件平台和特征库升级；另外2台设备维3台山石X7180防火墙软件平台和特征库升级。级保，1年软件平台和特征库升级。（一）主机安全防护服务主机安全防护服务通过主机安全防护软件针对服务器提供完整的系统加固和防护能力，包括资产梳理、风险发现、病毒扫描、安全基线、入侵检测、系统加固、应用防护、EDR,溯源分析等安全能力。供应商提供的本项目主机安全防护服务方案包括但不限于产品简介、产品架构、产品实施内容。技术指标参数要求如下表:序号指标项指标要求1规格参数包含800个授权，支持WindowsPC>IinuxPC防护及主流国产化PC。支持WindOWSserver2003、Windowsserver2008>Windowsserver2012、Windowsserver2016、Centos5.0+、Redhat5.0+>Susell+、Ubuntu14+等操作系统；支持主流的国产化版本：兆芯+中标麒麟V7.0、V10/统信U0SV20龙芯+中标麒麟V7.0、V10/统信U0SV20鲸鹏+中标麒麟V7.0、V10/统信UOSV20飞腾+银河麒麟V4.0V10o2全网风险可视支持终端可视化大屏展示，包括终端安全管控大屏和安全概况大屏，安全概况展示内容包括风险总数、今日新增、防护概况、检测概况、入侵检测概况、防护风险趋势、安全动态等信息；终端管控包括终端状态、分组统计、版本状态、安装量、标签统计、防护率、在线率等。3支持查看当前安全防护信息数据，包括渗透追踪防护、勒索防护数据、病毒防护数据、系统登录防护数据、Web请求防护数据。4系统性能监控支持对CPU、内存、磁盘读写、网络上下行流量达到配置阈值时告警。支持对CPU、内存达到一定阈值时客户端进行熔断。5资产指纹支持自动收集终端资产：监听端口、运行程序、账号、软件、启动项等信息，并支持从资产的维度和信息的维度去查看数据，支持数据的导出。6资产登记支持自定义登记信息内容及格式，包括输出框格式、下拉框格式、是否必填项等。7系统审计支持主机在线时长监控查询，显示终端在线累积时长、离线累积时长、最近下线时间、总时长等信息。8监控系统开机、登录、关机事件，可以设置监控非工作时段的开机事件，形成审计日志。9入侵检测内嵌2000+检测模型，覆盖ATT&CK矩阵的12种攻击战术及131种攻击技术，在多维分析模型的能力下，实现对海量终端安全事件的分析，针对入侵行为进行秒级告警。10终端体检支持针对病毒程序文件风险、系统恶意代码感染风险进行感知，并支持设置风险分数权重。11高级威胁防护模块支持对本机的扩展行为（信息收集、权限提升）进行监测，防止提权行为和信息泄露。12识别渗透过程中的隧道代理（端口映射、端口转发、内网代理），可阻断隧道代理搭建行为。13系统安全性模块支持网络分域访问，在服务端设置不同网络访问域，资产在同一时间只能访问任意一个网络域，支持资产自主切换不同网络访问域。14支持登录防护，包括以系统账号为粒度的异常登录防护、支持4个任意维度（任意IP,任意域名，任意计算机名，任意时间）的系统登录访问策略设置。15威胁情报支持对文件HASH、IP、域名、邮箱等IOC指标进行动静态鉴定，通过和云端威胁情报进行碰撞，实时返回威胁结果。16联动威胁情报，支持对APT、木马、病毒、蠕虫、后门、勒索、挖矿、僵尸网络、漏洞利用等10余种不同类型的威胁进行离线鉴定。17防病毒模支持多引擎设置，包括默认引擎、深度扫描引擎。18块针对WindoWS系统，提供内核级的数据防护能力，保护文件不被恶意修改、加密等，可自定义配置保护的文件及目录，支持设置例外进程。19勒索防护模块提供内核级的数据防护能力，保护文件不被勒索软件或其他病毒程序恶意修改、加密等，可自定义配置保护的文件及目录，支持设置例外进程。20提供专门的针对未知勒索病毒的行为检测防御引擎，基于文件读写、进程、命令、网络、注册表修改等行为对于未知勒索病毒进行发现和阻断。21文件推送支持下发文件、安装应用程序、远程执行命令。22无文件检测针对流行的无文件病毒进行实时监测，支持对PowershelKrundll32>CIIId、register等类型进行参数分析检查。23微隔离支持基于主机维度和业务维度的网络五元组策略下发、并支持混合模式、黑名单、白名单3种模式切换。24支持可视化展示业务与业务、主机和主机之间的访问关系和访问详情，包括业务、主机、时间、协议、端口等。25升级系统支持病毒库、WindoWS补丁库的离线升级及在线升级；支持管理平台、终端软件安装包、终端软件更新包、系统漏洞库、弱口令库的离线升级。26客户端程序支持在线热升级，升级之后旧版本驱动等程序无残留。27告警功能告警类型包括：护网高级威胁、系统防护、网络防护、Web应用防护。28告警内容至少包括资产名称、IP地址、日志类型、风险概况、风险评级、事件发生时间等详细内容。29集中管控支持多级中心部署，查看所有下级控制中心的资产部署情况以及风险数据。30管理平台支持一键设置客户端卸载密码、一键卸载监控端、一键解除绑定、一键停止/恢复所有防护、一键关闭/重启主机、一键重启客户端、一键迁移资产、一键获取端上日O31日志报表支持按日、周、月的维度订阅报表，并自定义报表发送时间。32报表包括全网终端总览、威胁事件分析、高危风险说明等模块，内容包括资产状态、安全事件分布、安全事件趋势、各类安全风险T0P5等。33用户管理支持多级用户管理：租户管理员、租户。34支持自定义创建用户角色以及权限。35支持超时重新认证机制，并能够定义用户认证尝试的最大允许失败次数。36平台数据备份恢复支持对平台的配置数据、日志数据进行自动备份及恢复。（二）全流量威胁检测分析服务全流量威胁检测分析服务主要是构建安全数据中台，对流量数据、资产数据、IP网段数据进行采集、处理、治理、分析等，形成安全数据服务目录，形成安全数据服务总线，持续利用安全数据资源，赋能上层业务应用；建立安全应用中心，形成资产管理、分析处置、态势感知、运营管理四大应用中心。供应商提供的本项目全流量威胁检测分析服务方案包括但不限于产品简介、产品架构、产品实施内容。全流量威胁检测分析服务要求检测内容至少包括:检查内容简介流量采集服务对网络流量数据进行采集，并将捕获的通信数据转换为数据分组报文格式递交给上层组件，作为上层特征检测引擎分析处理的原始数据。通过双向流量检测对网络流量行为进行判定（例如数据报文恶意特征匹配、资源使用情况、使用者的访问行为等），识别病毒、木马、敏感信息等异常行为。分析建模服务基于规则进行安全威胁检测，通过设置触发规则从日志数据中筛选异常记录。数据源可选择原始日志或异常记录，规则表达式支持多级嵌套，保证严格限定触发条件。规则分析应输出安全告警名称、威胁等级、告警类型、攻击链阶段等信息。分析处置服务基于丰富的特征库、全面的检测策略、智能的机器学习、高效的沙箱动态分析，匹配云端的威胁情报，发现用户网络中发生的各种已知威胁和未知威胁，特别是利用Oday漏洞的未知威胁。检测能力完整覆盖整个APT攻击链，能有效发现APT攻击及各种常见攻击。态势感知中心服务通过发现攻陷事件、WEB攻击事件、内部异常等信息后，全流量威胁检测分析服务工程师利用网络渗透经验，并结合云端威胁情况，可以对事件性质是否是真的恶意攻击行为做出判断。并且协助客户事件的产生原因，以及如何进行防范和处置。并对一些恶意事件进行追踪溯源。安全态势感知提供网络安全威胁可视化的入口，通过历史安全数据的归纳总结、实时安全威胁分析以及对态势发展情况的预测评估，来全面描述全网的安全情况、影响评估和态势演化。全流量威胁检测分析服务需在XX大学部署全流量威胁感知数据采集工具。全流量威胁检测分析服务指标参数表序号指标项指标要求37性能参数支持N30G流量采集与分析能力38安全态势可视化支持安全态势的可视化呈现，以大屏的方式从攻击事件、资产安全、追踪溯源、运行监测、重保方案等多个维度进行可视化展示，支持不少于10块大屏展示界面，并可根据“组织架构”筛选大屏展示数据范围，支持自定义大屏轮播时间和大屏轮播顺序。39支持立体、平面、球面等多种维度的网络实体关系透视，点击每个实体可展示资产名称、风险评级、告警ToP3、最近异常发生时间等，点击实体间的访问连线可展示实体间访问方向、访问类型、累计流量、最近访问时间等。40监测中心支持用户自定义配置归并场景，支持场景名称、归并条件、归并字段、