网络安全态势感知及运营平台

网络安全态势感知及运营平台(技术及服务部分)一.采购需求1.1项目概述在信息化时代，网络已经深刻地融入了经济社会生活的各个方面，网络安全威胁也随之向经济社会的各个层面渗透，网络安全的重要性随之不断提高。党的十八大以来，以习近平同志为核心的党中央从总体国家安全观出发对加强国家网络安全工作做出了重要的部署，对加强网络安全及网络安全法制建设提出了明确的要求。党的十八大以来，国家制定和出台了一系列政策及法律法规，《网络安全法》也于2017年6月正式实施，这些法律法规对各行业信息安全工作提出了具体要求。经过多年的信息化建设，江苏师范大学信息化应用水平正不断提高，信息化建设成效显著。但是，作为信息化发展的重要组成部分，网络安全的状态直接制约着信息化发展的程度。根据网络安全法的详细内容规定，校园的网络安全建设目前还存在缺少最新的安全技术防御措施，缺少有效的安全管理规程，缺少基于大数据的智能运维管理平台，缺少安全管理体系、安全评估手段和应急措施等问题。为促进江苏师范大学的网络安全发展，全面贯彻国家网络安全及信息化工作相关要求，落实《网络安全法》等法律法规，江苏师范大学计划开展网络安全态势感知及运营系统建设，通过增补安全设备与安全态势感知平台，落实安全服务，开展等级保护等相关工作，建立体系化的网络安全感知及运营系统，切实提高学校的网络安全防护水平，推动学校信息化进一步发展。1.2项目采购说明本次项目所采购设备主要包括：网络安全态势感知及运营平台、下一代防火墙、入侵防护系统、WEB应用防护系统、漏洞扫描系统、网络安全审计系统、数据库审计系统、Bypass交换机、以及专业的安全服务等。投标公司需提供满足项目要求的软、硬件产品以及安全服务。投标单位中标后，招标人保留按照招标文件技术参数功能要求逐条验证的权利，如有任何功能项不满足则视为虚假应标，中标人须赔偿招标人因此造成的损失，并承担相关法律责任。1.3产品技术要求所投产品提供三年硬件质保服务和软件升级服务。供应商所投所有安全产品必须同时适用于IPv4和IPv6环境。1.3.1网络安全态势感知及运营平台(含日志审计模块)(1套)分类具体要求★产品架构及性能基于大数据平台构架。具备海量数据收集与快速检索能力。日志平均处理能力（每秒日志解析能力EPS）：40000EPS，峰值处理能力（每秒日志解析能力EPS）：50000EPS；具备功能模块：日志审计、入侵态势感知、闭环脆弱性管理、威胁情报以及攻击链分析等；三年软件升级（包含软件更新服务、远程支持服务）。数据采集引擎具备数据压缩能力。基于B/S架构，采用最新的HTML5标准，通过web方式对本系统实现管理。支持BYOD设备远程管理。平台自身具备可扩展性、开放性，能够平滑扩展平台功能；支持平台系统集群部署，能够平滑扩展平台处理能力。监测范围监测范围包括但不限于网络安全设备、网络设备、数据库、中间件、操作系统、应用系统等。数据采集支持的数据采集方式包括但不限于：SYSLOG、SNMP/SNMPTRAP、FTP/SFTP、HTTP、API接口、WebService、专用Agent等方式，采集日志等。日志管理能够采集、保存原始日志数据，保存时间至少半年。能够实现海量日志数据快速查询。根据日志量增长情况，能够灵活扩展日志处理能力。系统必须具备日志范式化功能，实现对异构日志格式的统一化。内置管理设备授权许可≥500工作台和仪表盘支持定义小场景入口的快捷菜单项、面对当前用户的风险、流程、告警、资产、待办、预警、安全通告等的数据呈现。支持工单和风险预警提示。通过可视化图形展示当前网内安全概况，提供基于风险、脆弱性、威胁、资产、工单、情报预警、运维监控等仪表盘展示。★资产管理支持多维度资产管理，支持多维度资产分析视图，系统至少内置三种视图：地理视图、业务视图、组织架构视图（提供功能截图并加盖原厂公章）。支持资产发现，结合同品牌漏洞扫描设备进行新资产发现。支持多维度资产视图，安全组织，地域，安全域随意切换。支持资产标签，且至少6种标签以上，根据标签可快速查询资产。支持平台支持手工注册资产，支持对资产进行修改/删除、批量导入/导出/添加/修改/删除等多种方式的管理。支持多维度资产分析，支持资产攻击链分析包括七级攻击链步骤图。安全事件管理支持针对日志或事件类型生产新的事件关联规则配置，规则包括对日志或事件的统计，属性值比较的配置，支持配置时间窗口。支持面向日志类型的规则配置，支持通过插件方式实现日志类型的扩展。支持日志包括：入侵防护日志、应用管理日志、认证日志、防病毒日志、数据防泄漏日志、Web安全日志、运行日志、高级威胁日志、url过滤日志、VPN日志、waf日志、内容审计日志、数据库审计日志、无线热点发现日志等。支持日志下钻，通过可视化界面展示原始日志。★安全态势展现支持大屏投放要求及分辨率兼容要求，且易于操作，展现形式多样，画面丰富，并且能够以地图、柱状图、饼状图等多种图形化方式展现网络安全态势情况，动态提醒当前网络最新的安全威胁。支持系统漏洞管理，结合漏扫设备，进行漏洞大数据分析整合，对网内资产漏洞提供闭环漏洞管理，无缝连接，且通讯加密。支持扩展至少5种安全维度的态势感知，入侵态势，异常流量态势，僵木蠕态势，系统漏洞态势，网站安全态势（提供功能截图并加盖原厂公章）。支持单一资产及根据地域划分的资产组合安全态势的监控、查询和展示，提供对资产的风险评分、脆弱性评分、威胁评分、关联漏洞信息、事件信息等。直观地展示攻击的情况。可以对地图进行下钻，查看对应地域的攻击和被攻击top5ip的情况，支持地图动态联动。脆弱性管理支持脆弱性闭环管理，遵循扫描、评估、处置等管理维度。支持资产、漏洞、任务策略维度的数据源筛选，对脆弱性、漏洞、网站安全事件、资产等数据进行统计分析汇总，以各类统计图表方式，围绕资产，呈现风险、漏洞及网站安全事件数量及变化趋势等。支持漏洞状态信息列表呈现，并基于漏洞分值、漏洞热度、防护措施、资产重要性、忽略比等的优先级排序。★情报及预警管理厂商具备情报收集能力，拥有自研威胁情报中心（提供功能截图并加盖原厂公章）。支持用户通过平台接口针对URL、IP、未知文件信息进行云端情报查询，获取URL、IP、可疑文件的威胁情报，帮助用户判断威胁程度；支持定时从云端获取情报和手工获取的方式。支持情报等级划分；支持人工发布漏洞情报和威胁情报；支持通过情报预警及情报的归档。支持漏洞情报从情报名称、漏洞类型、漏洞ID、漏洞热度（漏洞被引用次数）展示；支持漏洞情报和资产的关联分析，展示情报受影响的TOPN资产信息和漏洞详情。情报能够与平台本地事件进行关联管理，并进行特殊警示，突出告警。平台内置信誉库、地理信息库、漏洞库，并可持续更新。支持通过情报进行预警和触发工单，形成有效警示作用。支持预警的手工录入；支持情报和资产的关联分析生成威胁预警、漏洞预警；支持预警发布时的邮件通知/短信通知；支持通过工单进行预警响应处理。支持通过手工方式输入安全通告实现安全信息的上传下达。支持安全通告发布时的邮件通知/短信通知。★攻击链条分析支持收集同品牌入侵防护系统的日志分析为攻击的7个阶段;展示七级攻击链模型及每级事件关联的目标ＩＰ数;攻击链事件的时间范围随地图的时间控件变化。（提供功能截图并加盖原厂公章）运维响应采用模块化管理，具备告警管理平台、工单管理平台、报表管理平台，设备管理平台。系统自身安全性管理支持系统自身日志记录并可查询；支持实时监控平台自身的CPU、内存和磁盘使用率，并以图形化方式动态显示。支持实时监控所有数据采集引擎和中心平台的工作状态，一旦发现故障，及时告警；支持实时统计平台数据处理能力，系统基本参数管理、基本配置管理。服务器配置要求CPU:2*E5-2630V2（6核心12线程、2.6GHz）；内存：128GBDDR31333MHz；硬盘：8*1TB（ext4文件系统格式、7200转），Raid5；Raid卡：带缓存raid卡；内置光驱；电源：热插拔冗余电源（1+1）1100瓦。产品资质必须具备安全管理平台类《计算机信息系统安全专用产品销售许可证》，需提供证书复印件。《计算机软件著作权登记证书》，需提供证书复印件。必须具备IT产品信息安全认证证书，需提供证书复印件。厂商资质获得国家信息安全测评中心颁发的信息安全服务资质证书，包括：（1）安全工程类二级（2）安全开发类一级；须提供以上两个证书的复印件。获得中国信息安全认证中心颁发的ISCCC信息安全服务资质认证证书，包括：（1）应急处理一级服务资质（2）信息系统安全集成一级服务资质（3）风险评估一级服务资质；须提供以上三个证书的复印件。国家计算机网络应急技术处理协调中心CNCERT颁发的网络安全应急服务支撑单位证书（国家级），提供复印件1.3.2下一代防火墙（1台）分类具体要求配置要求标准2U机型，含交流冗余电源模块，2*USB接口，1*RJ45串口，2*RJ45管理口，≥8个SFP口，≥4个万兆SFP+口，2个接口扩展槽位（可扩展≥16个SFP口或者≥8个万兆SFP+口）；开通功能：流量管理、应用管理、IPSecVPN、资产识别功能、防病毒模块；三年质保和软件升级（包含软件更新服务、产品保修服务、远程支持服务）。网络层吞吐量≥40G；应用吞吐量≥20G；最大并发会话量不少于800W。联动能力考虑项目整体联动效果，需要和网络安全态势感知及运营平台统一品牌。防火墙功能支持虚拟线、二层透明、三层、混合、旁路监听接入方式，适应各种网络环境需求。支持策略路由，策略路由可基于应用进行流量控制。支持源IP联动封锁。在入侵防御事件中发现源IP存在攻击行为时，可以一键封禁该IP，并设置封禁的时间。★资产风险识别支持资产风险识别。可根据用户指定的网络范围，通过自动、手动识别等多种方式，识别资产类型，如PC、移动设备、服务器等等资源类型。支持对易受攻击的系统及应用软件进行打分告警、报表分析，如操作系统版本漏洞威胁度、上网浏览器客户端漏洞威胁度等，让用户实时了解当前网络资产资源中的脆弱度。支持安全加固指导及实施。针对识别出的资产风险，为用户提供一键安全策略生成的功能，并可实时告警和记录入侵安全事件，形成安全事件报表和趋势图，指导用户及时做出加固防护，提供截图厂商盖章证明。漏洞发现支持联动外部扫描器，外部扫描器定期将漏洞推送至防火墙，通过防火墙可查看扫描器上报的内部资产漏洞的拦截情况。信誉防护支持信誉、僵尸网络防护。云端定期下发Web信誉、僵尸网络服务器、恶意站点信息到防火墙上，由防火墙对匹配相关特征的恶意攻击进行拦截。★移动端安全运维可通过移动端实现设备安全运维监控，APP支持安全设备运行状态监控，监控指标包括CPU使用率、内存使用率、设备IP地址，设备状态，查看安全告警等功能，提供APP下载网页和相关链接以及包括APP相关功能界面的厂商盖章截图证明。产品资质获得公安部颁发的《计算机信息系统安全专用产品销售许可证》,产品类型须为第二代防火墙产品(增强级-支持IPV6)，提供复印件。提供由中国信息安全测评中心颁发的《自主原创产品测评证书》，提供复印件。获得国家信息安全测评信息技术产品安全测评证书（EAL3+以上等级），提供复印件。厂商资质获得中国信息安全认证中心颁发的ISCCC信息安全服务资质认证证书，包括：（1）应急处理一级服务资质（2）信息系统安全集成一级服务资质（3）风险评估一级服务资质；须提供以上三个证书的复印件。获得国家信息安全测评中心颁发的信息安全服务资质证书，包括：（1）安全工程类二级（2）安全开发类一级；须提供以上两个证书的复印件。国家计算机网络应急技术处理协调中心CNCERT颁发的网络安全应急服务支撑单位证书（国家级），提供复印件。1.3.3入侵防护系统（2台）类别参数具体要求设备要求联动要求考虑项目整体联动效果，需要和网络安全态势感知及运营平台统一品牌。配置要求2U机型，含交流冗余电源模块，2*USB接口，1*RJ45串口，2*GE管理口，≥8个SFP口，≥4个万兆SFP+口，2个接口扩展槽位（可扩展为≥16个SFP口或者≥8