三門峽市中心醫(yī)院大數(shù)據(jù)安全分析平臺系統(tǒng)授權項目單一來源 采購公告

流量

采集

支持常見協(xié)議識別并還原網(wǎng)絡流量，用于取證分析、威脅發(fā)現(xiàn)，支持：http、dns、smtp、pop3、imap、webmail、DB2、Oracle、MySQL、sql server、Sybase、SMB、FTP、SNMP、telnet、nfs等

支持對流量中出現(xiàn)文件傳輸行為進行發(fā)現(xiàn)和還原，并記錄文件MD5發(fā)送至分析設備，如可執(zhí)行文件（EXE、DLL、OCX、SYS、COM、apk等）、壓縮格式文件（RAR、ZIP、GZ、7Z等）、文檔類型文件（word、excel、pdf、rtf、ppt等）

支持常見數(shù)據(jù)庫協(xié)議的識別或還原：DB2、Oracle、SQL Server、Sybase、MySQL、MongoDB、PostgreSQL等協(xié)議;

支持TCP/UDP會話記錄、異常流量會話記錄、web訪問記錄、域名解析、SQL訪問記錄、郵件行為、登錄情況、文件傳輸、FTP控制通道、SSL加密協(xié)商、telnet行為、IM通信等行為描述

威脅

檢測

支持基于流量實時IOC匹配功能，設備具備主流的IOC，情報總量30+萬條

支持檢測針對WEB應用的攻擊，如SQL注入、XSS、系統(tǒng)配置等注入型攻擊；

支持跨站請求偽造CSRF攻擊檢測；

支持其他類型的WEB攻擊，如目錄遍歷、弱口令、權限繞過、信息泄露、文件包含、文件寫入攻擊等檢測

支持基于工具特征的WEBSHELL檢測，能通過系統(tǒng)調(diào)用、系統(tǒng)配置、文件的操作來及時發(fā)現(xiàn)威脅；如：中國菜刀、小馬上傳工具、小馬生成器等

支持基于webshell函數(shù)的攻擊檢測，如文件包含漏洞、任意文件寫入、任意目錄讀取、任意文件包含、preg_replace代碼執(zhí)行等

支持基于代理程序的攻擊檢測，如TCP代理程序、HTTP代理程序等

策略

配置

支持基于網(wǎng)絡請求的語義分析檢測，能夠?qū)⒕W(wǎng)絡請求拆分后從請求頭、響應頭、請求體、響應體四方面詳細展示請求內(nèi)容，并能提升對未知威脅檢測能力

支持基于IP地址的旁路阻斷，能夠在實時鏡像的流量中發(fā)現(xiàn)惡意IP并實現(xiàn)實時阻斷

支持基于域名URL的旁路阻斷，并能將URL請求進行重定向

威脅

分析

支持從威脅情報、應用安全、系統(tǒng)安全和設備安全的業(yè)務場景維度對告警進行二次分析。

威脅情報維度分析包括：情報詳情、影響資產(chǎn)列表、資產(chǎn)的行為（行為包含：DNS解析、TCP流量、UDP流量、WEB訪問、文件傳輸）

應用安全的細分維度包括：WEB安全、數(shù)據(jù)庫安全、郵件安全、中間件安全

系統(tǒng)安全的細分維度包括：主機爆破、弱口令、未授權行為、挖礦行為。

支持與云端威脅情報中心聯(lián)動，可對攻擊IP、C&C域名和惡意樣本MD5進行一鍵搜索，查看基本信息、相關樣本、關聯(lián)URL、可視化分析、域名解析、注冊信息、關聯(lián)域名、數(shù)字證書等。

支持基于威脅情報的威脅檢測，檢測類型包含APT事件、僵尸網(wǎng)絡、勒索軟件、流氓推廣、竊密木馬、網(wǎng)絡蠕蟲、遠控木馬、黑市工具、其他惡意軟件，并可自定義威脅情報

支持對告警進行加白，加白參數(shù)包括受害IP、攻擊IP、威脅情報、規(guī)則、XFF、URL、威脅名稱。

支持對威脅告警事件進行調(diào)查分析，結(jié)合大數(shù)據(jù)分析技術以攻擊鏈視角進行呈現(xiàn)。

可統(tǒng)計并展示任意時間段的流量日志總數(shù)、生效威脅情報數(shù)、威脅告警等相關信息。

場景化分析

支持對業(yè)務資產(chǎn)主動外連行為檢測，包含：外連IP、外連IP歸屬、服務商、外連流量大小。

DGA域名發(fā)現(xiàn)，通過結(jié)合機器學習技術發(fā)現(xiàn)動態(tài)惡意域名，檢測行為特征包含包含請求域名以及檢測的準確率。

HTTP代理發(fā)現(xiàn)，檢測行為特征包含：代理IP、代理端口、代理次數(shù)。

SOCKS代理發(fā)現(xiàn)，檢測行為特征包含：代理IP、代理端口、代理次數(shù)。

reGeorg Tunnel發(fā)現(xiàn)，檢測行為特征包含：tunnel地址、關聯(lián)圖、操作命令、目標IP。

異地賬號登錄，檢測行為特征包含：登錄IP歸屬、賬號、登錄資產(chǎn)IP、使用協(xié)議、登錄次數(shù)、登錄成功率。

暴力破解，檢測行為特征包含：登錄IP歸屬、使用協(xié)議、爆破次數(shù)、爆破成功與否。

明文密碼泄露，檢測行為特征包含：登錄賬號IP、賬號、密碼、使用協(xié)議。

弱口令監(jiān)測，檢測行為特征包含：弱口令、弱口令對應賬號。

支持自定義關鍵詞發(fā)現(xiàn)惡意郵件還支持郵件白名單，檢測內(nèi)容包含：發(fā)件人、收件人、關鍵詞、郵件主題、抄送、附件文件名、郵件正文。

調(diào)查

分析

威脅事件的追蹤溯源分析能力，可基于事件告警進行調(diào)查分析，對攻擊過程進行可視化展現(xiàn)，可展示命中威脅情報的內(nèi)部主機之間的連接行為，能輸出完整的基于時間序列和攻擊鏈的事件報告，事件報告支持word格式導出。

日志

檢索

可對TB級日志做到快速搜索，搜索時間小于30s

可將日志區(qū)分為普通流量日志、告警日志、終端日志，并可按照不同的日志類型就行日志篩選。

授權

服務

需提供12個月產(chǎn)品授權服務，包括：產(chǎn)品功能升級、產(chǎn)品規(guī)則庫升級、技術咨詢、產(chǎn)品威脅情報更新服務、故障判斷、故障報修服務。

在授權服務有效期內(nèi)，需提供400技術支持服務，遠程技術支持內(nèi)容包括針對產(chǎn)品的部署問題、配置問題、產(chǎn)品功能問題、產(chǎn)品授權問題、產(chǎn)品升級問題、產(chǎn)品安全性問題、易用性問題、兼容性問題等的遠程回復。

在授權服務有效期內(nèi)，需提供接收到為更新和增加產(chǎn)品功能，修復產(chǎn)品缺陷而提供的產(chǎn)品功能更新。產(chǎn)品更新支持在線更新或離線更新兩種方式進行。

在授權服務有效期內(nèi)，需提供服務器入侵檢測、網(wǎng)站漏洞利用檢測和webshell上傳檢測模塊的規(guī)則庫升級服務。

在授權服務有效期內(nèi)，需提供產(chǎn)品威脅情報更新功能，本地設備可及時獲取云端威脅情報庫。

提供的產(chǎn)品授權服務需和現(xiàn)有設備兼容，不存在兼容性問題。

在授權服務有效期內(nèi)，需提供在發(fā)現(xiàn)有異常問題時對問題設備進行故障判斷的服務，確認問題后進行故障登記和報修，供應商跟進故障修復進展直至解決問題。

其他

需提供制造廠商對本項目的售后服務承諾函。

安全分析平臺授權許可

TY-TSS10000-A58軟件更新服務

1

TY-TSS10000-A58-ASD-UDL-WXQB威脅情報更新服務

1

TY-TSS10000-A58-ASD-UDL-GZK規(guī)則庫更新服務

1

TY-TSS10000-A58-QPS-PWS-12硬件維保服務

1

TY-TSS10000-S56軟件更新服務

1

TY-TSS10000-S56-ASD-UDL-WXQB威脅情報更新服務

1

TY-TSS10000-S56-ASD-UDL-GZK規(guī)則庫更新服務

1

TY-TSS10000-S56-QPS-PWS-12硬件維保服務

1