网络安全四期建设项目方案.docx

网络安全四期建设项目方案一、项目背景：近年来，习近平总书记和党中央高度重视网络安全工作，把网络安全提升到了国家战略的高度，明确指出“没有网络安全就没有国家安全”，强调“网络安全和信息化是一体之两翼、驱动之双轮”。中华人民共和国网络安全法从法律上定义了网络安全建设、运营、维护、使用以及监督管理等角色，并明确了国家实行网络安全等级保护制度，同时新型设备不断被购入（如超融合服务器），新的安全技术（如态势感知）不断被应用，在经历了大数据中心成规模的信息安全建设阶段之后，如何在运维阶段让我校已有的安全防护体系发挥其应有的作用、应对实时变化的网络安全风险，成为我校当前网络安全工作的重点。二、建设目标：本次网络安全四期建设采购项目，旨在满足学校日常应用与管理的同时，基于这类海量数据进行分析，有效识别并及时处理各种风险漏洞，起到全局安全预警、加强服务器病毒防护的作用，全面提升我校信息安全工作水平，有效保障学校网络安全及各个业务系统正常运行。根据中华人民共和国网络安全法、江苏省教育2.0行动计划、江苏高校智慧校园建设指导意见（试行）等文件精神，结合本校实际工作情况，本次网络安全四期建设项目实现海量的流量和日志中有效信息的挖掘、现有安全设备的协同联动、虚拟机交换机间病毒传播的有效防护等目标，进一步提高我校网络安全防护水平，加强网络安全事件的分析和处置能力，完善网络安全技术防范体系与管理运维体系，保障我校信息化工作顺利开展。网络安全四期建设项目清单一、态势感知平台（1套）【推荐品牌：奇安信、深信服、绿盟】序号备称设名功能要求技术参数1态势感知硬件架构与性能2U服务器，CPU：不低于2颗8核，内存：256G；硬盘1：2块960GSSD固态硬盘；硬盘2：12*4TBSATA硬盘，总容量48T；电源：冗余双电源；网口：4*GE管理电"*SFP+插槽（含两个光模块）态势及安全运营实现安全态势的全局多维度呈现，包括网络威胁、资产安全、用户行为等多方面。实现对安全威胁及事故进行调查取证，并提供处置建议。实现热点事件的预警与防护、高危访问源的监测与辅助封杀处置、可疑安全事件的发现与确认。实现集中管理学校已有的安全类设备，如：日志审计、数据库审计、防火墙等提供安全托管服务，通过远程收集安全设备的日志和流量数据，利用大数据存储、分析等技术对各类安全数据进行关联分析和挖掘，提供资产、威胁、脆弱性等方面的综合分析服务，并对确认事件及时通知、主动进行响应，完成威胁事件的处置闭环工作。数据采集实现IPV4/IPV6、多种协议的数据接入，包括但不限于Syslog.FTP、SFTP.UDP、TCP、Netflow,本地文件系统、JDBC/0DBC实现自定义过滤规则功能，通过配置AND、OR等嵌套关联逻辑、条件及丰富的操作符来实现复杂的日志过滤需求。适配学校现有安全产品（山石网科、网御等）进行安全日志收集，支持对学校现有虚拟化平台（深信服、H3C、Vmvare等）的业务进行日志采集功能，将日志进行集中分析，根据日志进行关联性分析。实现界面化配置规范化规则，采集第三方日志实现异构日志格式一致。态势实现以地图、指数、雷达图、柱状图等平台呈现多形式展示监测网络安全的实时警告、热点事件、网络威胁、系统安全、用户行为等重要内容的大屏投放。实现对网络内外部威胁态势感知与可视化呈现，包括但不限于外部攻击与外部攻击类型TOP、内部攻击类型TOP以及多源分析的威胁感知事件的详细分布等。实现统计资产发现来源（资产探查、数据同步、脆弱性发现、流量解析、人工方式）的分布情况；实现按照资产发现来源（资产探查、数据同步、脆弱性发现、流量解析、人工方式）统计最近30天资产发现的趋势。威胁检测与分析实现多源异构安全设备、网络设备、终端设备等数据接入与威胁分析，输出可疑威胁事件。实现对失陷资产进行判定并提供失陷资产的判定依据，可实现根据该失陷资产快速扩展全部攻击事件及该失陷资产攻击者发起的全部攻击、同类型威胁事件等。对规则有效性进行验证，支持删除无效规则产生的结果。实现对失陷情报分析、热点恶意软件分析、账号安全分析、邮件安全分析等场景；（账号安全分析应包含：异地账号登录、暴力破解、弱口令检测、明文密码泄露等）实现自定义规则模式，可实现行为分析、多源关联分析等多种分析模式。实现资产外联风险行为的检测，可检测存在外联行为的风险资产，可查看风险资产的IP、访问次数以及外联地域端口等行为。实现对重点时间的标记监控以及对重点事件的攻击结果进行判定，判断攻击成功/失败/未确定。胁警威预实现对重大网络安全事件进行威胁预警，并持续跟进事态的发展，快速完成重大网络安全事件的预警及处置。实现受害者IP、资产名称、攻击者IP、失陷状态、告警数量等维度的受攻击资产列表查看。实现扩展通报预警功能，根据平台产生的告警数据，可向不同部门下发统一模板的通报文件，通报文件来源可添加相关证明，证明内容包括但不限于：主机漏洞、弱口令、僵尸网络等，并可以规定其整改期限。资产管理实现多维度资产管理，进行多维度资产视图分析。实现资产分类的自定义扩展，实现对发现资产的方式进行优先级配置等。实现资产发现能力，至少具备主动扫描发现资产能力，实现联动漏扫设备下发资产扫描策略并上报扫描结果。事件运维与监控实现对各类事件进行运维处置提供统一入口，包括但不限于提交研判人员进行分析、忽略、误报、处置、加入白名单、生成处置报告等。实现根据IP从攻击者或受害者资产两种维度进行跟踪监控，监控该目标近期的攻击行为。处置响应实现一键封堵，具备多种针对系统、数据库、应用漏洞、防挖矿的入侵防御规则。能接与学校现有认证计费设备（锐捷SAM+）进行对接，建立IP与用户上网账号的关联；与出口防火墙、数据中心防火墙对接，实现问题主机联动封堵，便于学校网络安全管理人员快速有效定位人员。功能要求技术参数硬件架构性能及部署方式性能指标：电源：冗余电源，CPU：不低于2颗8核，主频不低于2.OGhZ,内存：256G,不低于8TB存储空间，不低于4个万兆光口（提供光纤模块），8个10/100/10OoM自适应电口，4个千兆光口，吞吐量6Gbps;部署方式：旁路部署，支持通过流量镜像的方式旁路部署在虚拟化网络中，实现网络流量数据采集、威胁检测和日志外发。量集流采采集过滤条件支持但不限于源地址、目的地址、服务、流量采样比、时间等。实现多种内置设备日志解析规则查看以2流量分析探针及筛选，包括但不限于网络设备、安全设备、终端主机等。实现离线采集，可通过FTP等协议批量上传等方式对离线流量进行采集。文件还原实现对流量中出现的文件进行发现和还原，支持还原的协议包括但不限于：HnP、SMTP、PoP3、FTP、WEBMAIL、等。威胁检测覆盖多种攻击特征，可针对网络病毒、蠕虫、间谍软件、木马后门、扫描探测、暴力破解、僵尸网络等恶意流量进行检测。具备全面的漏洞检测能力，可检测常见的溢出攻击、跨站脚本、拒绝服务、WEBSHELL上传等。设备提供的攻击特征库应不少于9000种最新攻击规则，特征库需支持自动或手动更新。需具备攻击检测能力的扩展功能，支持自定义恶意文件、自定义漏洞、自定义威胁情报等。需具备恶意文件检测引擎，支持对可执行文件、文档、压缩包和网页脚本等进行恶意代码检测和告警，告警信息至少包含恶意文件类型、恶意文件家族信息等。实现与威胁情报联动，可进行实时流量匹配检测和告警，支持对恶意IP、恶意域名、恶意URL和恶意文件进行检测。WEB应用检测实现针对主流Web服务器及插件的已知漏洞攻击检测；Web类警告详情包含请求和响应信息，在请求和响应信息中能标记规则匹配中的字段信息，便于运维人员快速进行攻击事件确认；实现对Web类的攻击结果进行判定；实现对敏感信息进行检测。回溯分析具备元数据提取、存储和检索能力，实现元数据存储和展示，元数据类型至少包括TCP&UDP日志、HnP日志、EMALL日志等。一键封堵实现对入侵检测告警、WEB应用告警、威胁情报告警和恶意文件告警中的攻击IP和受害IP发送阻断报文，进行旁路阻断（此功能也可由态势感知平台实现）。资产具有资产识别能力，能够实现从流量中识别识别资产信息和展示，识别的信息至少包括资产IP、资产MAC、服务端口号、服务协议、设备类型、资产关联账号等。实现资产识别范围配置、资产识别展示及导出。系统监控具备系统运行状态监控功能，能够实时查看CPU使用率、内存使用率、磁盘剩余空间、流量等信息。实现失陷主机、恶意文件检测、漏洞攻击检测的数量统计。备注：1 .态势感知平台和流量分析探针均为一套。2 .产品应具备安全类计算机信息系统安全专用产品销售许可证。3 .提供相关功能截图并加盖厂商公章。4 .提供三年的软硬件原厂标准维护服务及三年硬件质保、应用特征库授权。5 .各厂家投标时须标明质保期后软件升级及硬件维保费用，此项将作为本项目商务评分依据。、虚拟化杀毒（300个节点）【推荐品牌：奇安信、深信服、绿盟】序号功能要求技术参数1操作系统适配支持windows/linux主流服务器操作系统，包括但不限于：1. WindowsServer2008.2012、2016、2019及以上;2. RHEL/CentOS632/64位、RHEL/CentOS732/64位、Ubuntu等3. 信创ARM平台中的中标麒麟、银河麒麟等操作系统2安装部署要求支持B/S架构，实现一套管控中心统一管理，包括物理服务器、虚拟服务器统一管理；WindoWs、LinUX等操作系统统一管理等。实现无代理部署模式及有代理部署模式，以便结合管理需求选择相应部署模式。3资产管理实现从终端和资产两个维度对全网资产进行统一清点及展示，清点资产包括软件应用、WEB服务、WEB站点、数据库等。实现对终端提供分组管理、安全策略配置、安全功能防护、特征库更新、客户端程序更新等功能。4风险行为识别实现内置终端风险行为识别能力，能够识别风险行为，包括但不限于：弱口令、可疑命令/任务/进程/脚本执行、安全补丁、漏洞风险、可疑凭证获取、可疑权限控制、可疑日志清理行为、可疑文件操作行为、系统高危命令、可疑远程操作行为、异常进程创建行为、异常用户操作行为、可疑USB操作行为等，支持安全风险评级，可直观展现评级与分数，支持按风险等级、TOP风险、易受攻击TOP等维度提供可视化呈现。5Webshell检测实现对WebShen文件设定白名单，实现对文件进行下载、隔离、恢复、加白操作，避免对学校网站核心系统文件造成影响。具有WebShen扫描引擎功能,支持PHP、JSP、ASP、ASPX等文件的恶意Webshell检测。6病毒查杀实现采用主动方式进行自动化病毒查杀，支持多引擎联动防护Bitdefender、ClamAV.云查杀等多引擎模式，提供最新的热门和易攻击的病毒特征，可有效监测已知病毒及其变种。实现病毒文件自动隔离、自动删除、修复、监控多种处理方式，病毒查杀的结果生成报告。7入侵防御实现入侵防御功能，可针对出入虚拟机的流量进行检测识别，有效防御网络攻击及入侵行为；产品预置入侵防御规则应不少于8000条次，需覆盖系统、数据库、应用漏洞、防勒索、防挖矿等多种类型防御规则。8防火墙提供防火墙功能，支持虚拟机/终端系统的双向控制。可提供对威胁情报实时分析网络流量功能，检测出失陷主机并提供监控及阻止失陷主机与恶意域名的连接功能。9风险处置提供一键响应操作，实现对终端分析的快速隔离和访问的阻断控制。实现虚拟机/终端系统的双向控制，可提供对威胁情报实时分析并检测出失陷主机。实现SSH、RDP、telnet等服务的暴力破解检测，可对来自网络的暴力破解行为进行拦截。10终端情况分析与呈现实现整体终端安全态势分析及可视化展示，包括攻击链统计、网络访问统计、威胁事件类型统计等。实现按照不同分组、虚拟机/终端、网络协议（组）、分不同威胁类别以柱状图、折线图等形式进行展示，并支持手动或定时生成报表。实现接入多种类型的威胁情报，并展示不同类型情报匹配中事件的趋势、各类型情报命中事件top条目等。实现集中统计分析和展示识别到的攻击事件，实现安全事件的查询与分析能力。11安全运营平台联动实现与态势感知平台进行联动，可上报终端日志或事件，并执行平台下发的一键封堵指令。12产品资质具备安全类计算机信息系统安全专用产品销售许可证。13技术支持售后服务：提供三年的软件原厂标准维护服务及三年版本和病毒库升级；质保期后维保费用不得高于合同价5机备注：1.虚拟化杀毒T2 .提供相关功育3 .各厂家投标B评分依据。F台须与态势感知平台同品牌，以实现产品联动。E截图并加盖厂商公章。j须标明质保期后软件升级维保费用，此项将作为本项目商务