安全感知管理平台技术参数及功能要求
一、安全感知管理平台
功能项 | 功能要求说明 |
性能指标 | 性能参数:在带宽性能1Gbps时存储时长≥1500天/1Gbps。 硬件参数:规格≥2U,CPU≥2颗hygon 5380处理器,主频不低于 2.5GHz,核数≥16C,内存≥4*32GB DDR4 2933,系统盘≥2*240GB SATA,数据盘≥10*4T,标配盘位数≥12,电源:白金,冗余电源,接口:支持不低于4千兆电口+2万兆光口。 |
配置要求 | ★要求设备相关配置为中国信息安全测评中心发布安全可靠测评目录内,提供相关证明材料。 |
大屏可视 | 支持安全态势的可视化呈现,以大屏的方式从全网安全态势感知大屏、分支安全态势、安全事件态势、全网攻击、资产态势、网络安全指挥调度安全态势、设备运行态势、外联风险态势大屏等提供不少于16块大屏展示界面。 |
支持大屏轮播及自定义大屏顺序设置和大屏名称。自定义统计周期资产组划分、选择播放大屏及轮播时间间隔。(需提供产品功能截图证明,并提供第三方权威机构关于“大屏轮播”功能项的产品检测报告) | |
资产发现 | 支持通过主动发送微量包的扫描方式探测潜在的服务器(影子资产)以及学习服务器的基础信息,资产指纹信息包括资产类型、端口、操作系统、MAC地址、主机名等。 |
支持资产属性重新识别,当发现资产数据不准确时,可清空该资产属性,如主机名、备注、操作系统、标签、地理位置、硬件信息、应用软件信息、账号信息、责任人信息、端口信息等,重新发起识别后,平台会自动补齐资产属性,可批量操作。 | |
支持安全基线配置监测,可监测到开放了禁用端口、协议、属性变更等,已IP地址、MAC地址、所属租户和检测到时间来判断是否处置。 支持按照重要性级别识别Web明文传输监测、配置风险(风险端口、配置不当)监测列表,如资产组、发现时间、处理状态等 | |
资产全生命周期 管理 | 支持自定义资产多级分支管理,最多可至15级分支。 支持资产全生命周期自动管理,包括资产自动发现、多级资产、资产入库审核、资产离线风险识别、资产退库、资产数据更新,责任人管理机制等。 |
联动行为管理 | 支持联动原有行为管理设备,支持上网行为管理做资产用户名对接,精准识别终端资产责任人。(需提供截图打印加盖原厂公章证明) |
★支持联动原有行为管理设备,支持与行为管理设备的联动,包含上网提醒、冻结账号等(需提供截图打印加盖原厂公章证明) | |
DNS日志 接入 | 支持DNS服务器日志导入,可以接入DNS服务器的日志,安全分析引擎将结合DNS服务器的日志,定位出DNS服务器代理风险外连场景下真实源IP,从而有效地进行风险处置闭环。 |
脆弱性 管理 | 支持整体展示服务器脆弱性风险、热点漏洞情况、脆弱性风险详情(漏洞风险、配置风险、弱密码、web明文传输、可用性风险),支持第三方漏扫报告导入和解析,可按资产组分类上传。支持云镜对接,配置映射域名和IP,监控资产为域名资产信息。 |
弱口令 检测 | ★密码检测技术基于UEBA学习技术(无监督自我学习)提取登录成功的特征,通过UEBA技术对响应体内容和登录跳转路径进行持续学习训练登录成功特征,包括响应体内容Json、响应体关键字Keyword、响应体MD5值、响应体长度Length、登录跳转路径Location,可实时自动生成学习到的登录成功规则。 |
弱密码检测规则支持高度自定义,包括规则名称、生效域名、长度规则、字符规则、字典序、web空密码、账号白名单、密码白名单、txt文件格式导入。 | |
弱口令 识别 | 弱密码识别支持主动扫描,支持加密协议的弱口令登录检测,支持SMB、MySQL、Oracle、RDP、SSH、Redis、MongoDB、ElasticSearch、MSSQL等协议。 |
配置 不当 | 支持基于流量检测业务服务器的配置不当情况,检测列表包含服务器、所属业务、所属分支、配置不当类型、风险等级、发现时间等,支持配置不当类型下钻,展示配置不当详情,提供解决方案和数据包举证,并支持导出配置不当报告 |
漏洞 分析 | ★支持流量实时识别漏洞分析,漏洞分析类型包含配置错误漏洞、OpenSSH漏洞、OpenLDAP等操作系统、数据库、Web等,页面上支持展示业务脆弱性风险分布、漏洞类型分析、漏洞态势与危害和处置建议,并支持导出脆弱性感知报告。(所投产品必须提供第三方权威机构关于“漏洞风险识别”功能项的产品检测报告) |
安全日志检测 | 支持安全检测日志、审计日志、第三方日志存储,日志类型包括漏洞利用攻击、网站攻击、僵尸网络、业务弱点、邮件安全、文件安全、网络流量、DNS、HTTP、SSL协议识别、数据库、文件审计、POP3、SMTP、IMAP、LDAP、FTP、Telnet等。 |
Webshell | 具备webshell通信流量检测,可检出加密(如冰蝎)的通信流量,具备650+webshell规则检测,且覆盖webshell整个攻击阶段检测,包括webshell上传点探测、webshell上传下载、webshell通信。 |
挖矿专项检测 | 支持挖矿专项检测页面,具备挖矿攻击事前、事中和事后全链路的检测分析能力,综合运用威胁情报、IPS特征规则和行为关联分析技术,如检测发现文件传输(上传下载)阶段的异常,对挖矿早期的准备动作即告警。 |
平台内置挖矿安全知识库,对常见的挖矿如:Bluehero挖矿蠕虫变种、虚拟货币挖矿、EnMiner挖矿病毒、PowerGhost挖矿病毒、DDG挖矿病毒、Docker挖矿、DDG挖矿变种、GroksterMiner挖矿病毒、Linux 挖矿木马、ZombieBoy挖矿木马等提供详细的背景介绍、感染现象、详细分析、相关IOC(MD5、C2、URL)、解决方案。 | |
文件威胁分析 | 文件威胁分析支持平台内置的静态文件检测引擎、AI智能引擎,利用LSA, AutoEncoder, LogicRegression, SVM, 随机森林,XGBoost等多种机器学习算法组合进行综合研判。支持采用AI技术针对无文件落地的恶意脚本进行检测。 |
正则匹配等级域名网址联动终端检测响应 | 支持与同厂商的安全态势感知平台进行安全联动,支持管理员在安全感知管理平台管理界面下发快速查杀任务,并查看任务状态、结果并进行处置 |
支持管理员在同厂商的安全态势感知平台管理界面下发一键隔离指令,对终端所有连接进行阻断,防止病毒进一步扩散 | |
★支持将终端安全软件客户端检测出来的恶意文件事件、暴力破解事件的日志上报到同厂商安全态势感知平台,安全态势感知平台进行分析和展示 | |
邮件威胁分析 | 支持对smtp、imap、pop3、webmail等邮件协议审计,提取邮件正文和附件中的流量,并对邮件附件、正文链接、邮件行为、发件人等多维度进行规则和机器学习检测,从而识别出钓鱼邮件、比特币欺诈、垃圾邮件等恶意邮件。 |
服务能力证明 | 所投产品的生产厂商应是国家互联网应急响应中心网络安全应急服务支撑单位(甲级),提供有效证书的复印件。 |
所投产品厂商需是国家信息安全漏洞共享平台CNVD用户组成员,提供CNVD截图证明; | |
异常流量分析 | 支持按照对外业务流量可视、横向流量可视、外联流量可视等开放的业务流量情况,展示服务器流量排行、最活跃源主机的内网服务器的流量情况,支持全球地图展示整体外联流量情况。 |
日志关联分析结果可视化 | 支持对700+网络安全设备规则,包括网络设备、安全设备、中间件、操作系统等;接入方式。支持文件、数据库、API、Syslog、FTP、Snmp trap、Kafka、wmi、webservice、winlogbeat等方式进行日志行接入,并支持用户对日志进行自定义解析规则,支持接入设备自动发现功能。 |
主机行为EBA分析 | ★支持利用EBA技术进行资产的行为分析,对这些对象进行持续的学习和行为画像构建,以基线画像的形式检测异于基线的异常行为作为入口点,结合以降维、聚类、决策树为主的计算处理模型发现异常用户/资产行为。并支持用户对EBA基线进行自定义调整,优化模型。(需提供产品功能截图证明,并要求提供“UEBA用户行为分析”第三方检测报告说明) |
事后异常行为检测 | 具备元数据行为分析引擎:httpflow、dnsflow、adflow、icmpflow、maillflow等, 通过异常行为分析,结合各类机器学习算法完成未知威胁检测。包括:、代理、远控、隧道、反弹shell等事后检测场景。 |
先进性 证明 | 为保障安全服务效果,满足数据和网络安全要求,所投态势感知平台产品厂商需通过可信云评估,提供相应的可信云认证报告 |
★要求所投产品的生产厂商具备中国网络安全审查技术与认证中心的信息安全软件开发服务一级(一级>二级>三级)资质,提供有效证书复印件。 | |
威胁视角 | 支持展示处置状态、资产类型、威胁等级、攻击阶段(脆弱性风险-侦察-入侵-命令控制-横向扩展-目的达成)、威胁类型等安全事件的视角,展示内网发生的所有安全事件。 |
告警视角的攻击者和受害者的关系,支持展示:威胁描述、攻击方向、风险资产数、威胁等级、攻击阶段、威胁类型、检测引擎、最近发生时间、处置状态、操作等。可针对重点关注的资产、重点关注的威胁类型及显示业务不规范等告警筛选。 | |
策略 模板 | ★处置中心和重保中心的多个模块的安全事件内置多个处置策略模板,不仅支持与同品牌防火墙、终端安全响应系统、超融合、负载均衡联动封锁、访问控制,支持与终端安全响应系统联动一键查杀、进程取证,支持关闭超融合上的中毒虚拟主机,支持对超融合上中毒的虚拟主机进行快照。(需提供产品功能截图证明,并提供公安部计算机信息系统安全产品质量监督检验中心、中国信息安全测评中心、中华人民共和国国家版权局、公安部信息安全产品检测中心之中任意一家检测机构出具的证书或检测报告证明功能有效性) |
售后服务能力 | 厂商应是国家互联网应急响应中心网络安全应急服务国家级支撑单位,提供有效证明材料 |
为确保服务质量响应效果,要求提供服务厂商在温州本地有办事处原厂人员,及时上门支撑相关问题。 | |
为确保应急问题处置及时性,要求投标供应商,出现安全问题后,工作时间1小时内上门处置,非工作时间2小时内上门处置,降低安全事件影响面。 | |
提供三年原厂质保及原厂免费现场服务,产品的安装、培训由原厂工程师完成实施。 | |
二、威胁检测探针
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论