三门峡市中心医院大数据安全分析平台系统授权项目单一来源 采购公告

流量

采集

支持常见协议识别并还原网络流量，用于取证分析、威胁发现，支持：****、***、****、****、****、*******、***、******、*****、*** ******、******、***、***、****、******、***等

支持对流量中出现文件传输行为进行发现和还原，并记录文件***发送至分析设备，如可执行文件（***、***、***、***、***、***等）、压缩格式文件（***、***、**、**等）、文档类型文件（****、*****、***、***、***等）

支持常见数据库协议的识别或还原：***、******、*** ******、******、*****、*******、**********等协议;

支持***/***会话记录、异常流量会话记录、***访问记录、域名解析、***访问记录、邮件行为、登录情况、文件传输、***控制通道、***加密协商、******行为、**通信等行为描述

威胁

检测

支持基于流量实时***匹配功能，设备具备主流的***，情报总量**+万条

支持检测针对***应用的攻击，如***注入、***、系统配置等注入型攻击；

支持跨站请求伪造****攻击检测；

支持其他类型的***攻击，如目录遍历、弱口令、权限绕过、信息泄露、文件包含、文件写入攻击等检测

支持基于工具特征的********检测，能通过系统调用、系统配置、文件的操作来及时发现威胁；如：中国菜刀、小马上传工具、小马生成器等

支持基于********函数的攻击检测，如文件包含漏洞、任意文件写入、任意目录读取、任意文件包含、************代码执行等

支持基于代理程序的攻击检测，如***代理程序、****代理程序等

策略

配置

支持基于网络请求的语义分析检测，能够将网络请求拆分后从请求头、响应头、请求体、响应体四方面详细展示请求内容，并能提升对未知威胁检测能力

支持基于**地址的旁路阻断，能够在实时镜像的流量中发现恶意**并实现实时阻断

支持基于域名***的旁路阻断，并能将***请求进行重定向

威胁

分析

支持从威胁情报、应用安全、系统安全和设备安全的业务场景维度对告警进行二次分析。

威胁情报维度分析包括：情报详情、影响资产列表、资产的行为（行为包含：***解析、***流量、***流量、***访问、文件传输）

应用安全的细分维度包括：***安全、数据库安全、邮件安全、中间件安全

系统安全的细分维度包括：主机爆破、弱口令、未授权行为、挖矿行为。

支持与云端威胁情报中心联动，可对攻击**、*****;*域名和恶意样本***进行一键搜索，查看基本信息、相关样本、关联***、可视化分析、域名解析、注册信息、关联域名、数字证书等。

支持基于威胁情报的威胁检测，检测类型包含***事件、僵尸网络、勒索软件、流氓推广、窃密木马、网络蠕虫、远控木马、黑市工具、其他恶意软件，并可自定义威胁情报

支持对告警进行加白，加白参数包括受害**、攻击**、威胁情报、规则、***、***、威胁名称。

支持对威胁告警事件进行调查分析，结合大数据分析技术以攻击链视角进行呈现。

可统计并展示任意时间段的流量日志总数、生效威胁情报数、威胁告警等相关信息。

场景化分析

支持对业务资产主动外连行为检测，包含：外连**、外连**归属、服务商、外连流量大小。

***域名发现，通过结合机器学习技术发现动态恶意域名，检测行为特征包含包含请求域名以及检测的准确率。

****代理发现，检测行为特征包含：代理**、代理端口、代理次数。

*****代理发现，检测行为特征包含：代理**、代理端口、代理次数。

******* ******发现，检测行为特征包含：******地址、关联图、操作命令、目标**。

异地账号登录，检测行为特征包含：登录**归属、账号、登录资产**、使用协议、登录次数、登录成功率。

暴力破解，检测行为特征包含：登录**归属、使用协议、爆破次数、爆破成功与否。

明文密码泄露，检测行为特征包含：登录账号**、账号、密码、使用协议。

弱口令监测，检测行为特征包含：弱口令、弱口令对应账号。

支持自定义关键词发现恶意邮件还支持邮件白名单，检测内容包含：发件人、收件人、关键词、邮件主题、抄送、附件文件名、邮件正文。

调查

分析

威胁事件的追踪溯源分析能力，可基于事件告警进行调查分析，对攻击过程进行可视化展现，可展示命中威胁情报的内部主机之间的连接行为，能输出完整的基于时间序列和攻击链的事件报告，事件报告支持****格式导出。

日志

检索

可对**级日志做到快速搜索，搜索时间小于***

可将日志区分为普通流量日志、告警日志、终端日志，并可按照不同的日志类型就行日志筛选。

授权

服务

需提供**个月产品授权服务，包括：产品功能升级、产品规则库升级、技术咨询、产品威胁情报更新服务、故障判断、故障报修服务。

在授权服务有效期内，需提供***技术支持服务，远程技术支持内容包括针对产品的部署问题、配置问题、产品功能问题、产品授权问题、产品升级问题、产品安全性问题、易用性问题、兼容性问题等的远程回复。

在授权服务有效期内，需提供接收到为更新和增加产品功能，修复产品缺陷而提供的产品功能更新。产品更新支持在线更新或离线更新两种方式进行。

在授权服务有效期内，需提供服务器入侵检测、网站漏洞利用检测和********上传检测模块的规则库升级服务。

在授权服务有效期内，需提供产品威胁情报更新功能，本地设备可及时获取云端威胁情报库。

提供的产品授权服务需和现有设备兼容，不存在兼容性问题。

在授权服务有效期内，需提供在发现有异常问题时对问题设备进行故障判断的服务，确认问题后进行故障登记和报修，供应商跟进故障修复进展直至解决问题。

其他

需提供制造厂商对本项目的售后服务承诺函。

安全分析平台授权许可

***************软件更新服务

*

****************************威胁情报更新服务

*

***************************规则库更新服务

*

**************************硬件维保服务

*

***************软件更新服务

*

****************************威胁情报更新服务

*

***************************规则库更新服务

*

**************************硬件维保服务

*