一體化安全運營服務(wù)方案

一體化安全運營服務(wù)方案（一）、服務(wù)清單序號服務(wù)名稱服務(wù)項服務(wù)時間1業(yè)務(wù)網(wǎng)（云）安全分析年服務(wù)1、安全大腦服務(wù)12個月2專業(yè)技術(shù)年服務(wù)2、終端安全平臺及5000個終端年服務(wù)12個月3、代碼審計年服務(wù)12個月3安全運維團(tuán)隊專家服務(wù)4、安全基線防護(hù)和滲透測試服務(wù)12個月5、安全負(fù)責(zé)人服務(wù)12個月6、本地運維團(tuán)隊專家年服務(wù)12個月7、攻防演練服務(wù)12個月（二）、服務(wù)內(nèi)容1.安全大腦服務(wù)電子業(yè)務(wù)網(wǎng)絡(luò)中包含有大量的網(wǎng)絡(luò)設(shè)備、服務(wù)器、業(yè)務(wù)系統(tǒng)等，同時隨著安全體系的逐步完善，還會增加大量的安全設(shè)備。這些數(shù)量龐大的網(wǎng)絡(luò)設(shè)備、安全設(shè)備在日常運行中會產(chǎn)生大量的安全信息、告警信息，同時又彼此獨立，成為一個個的安全孤島，傳統(tǒng)分散的管理方式效率低下而且無法抓取重點信息為實現(xiàn)對現(xiàn)有網(wǎng)絡(luò)安全資源的統(tǒng)一管理，提高安全事故發(fā)現(xiàn)的時效性和處理的效率，需提供安全大腦管理平臺服務(wù)，對區(qū)域內(nèi)業(yè)務(wù)網(wǎng)絡(luò)資產(chǎn)情況風(fēng)險情況、事件情況、告警情況進(jìn)行整體態(tài)勢分析，并依賴其開展通報預(yù)警、應(yīng)急處置等相關(guān)技術(shù)支撐和運營工作，平臺服務(wù)期12個月。安全大腦管理平臺服務(wù)具體功能需求如下：技術(shù)指標(biāo)具體要求數(shù)據(jù)采集種類支持內(nèi)置180余種的數(shù)據(jù)源類型開箱即用，默認(rèn)可接入各類硬件設(shè)備和應(yīng)用系統(tǒng)，包含但不限于主機(jī)、防火墻、IPS/IDS、WAF、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫、應(yīng)用系統(tǒng)、中間件、存儲；設(shè)備、虛擬化設(shè)備、機(jī)房設(shè)備等多種設(shè)備和系統(tǒng)的日志接入方式；云平臺支持AWS數(shù)據(jù)通過S3直接采集。數(shù)據(jù)采集方式支持業(yè)內(nèi)通用標(biāo)準(zhǔn)數(shù)據(jù)獲取方式，獲取方式不少于15種，包括Syslog、SFTP、文件、Kafka、HDFS、主機(jī)終端(win/linux)Agent、DB2、Mysql、Oracle、Sqlserver、Postgrel、SNMP、Netflow、WMI、ES、AWS等。數(shù)據(jù)解析系統(tǒng)需要預(yù)置1000條以上范式化解析規(guī)則，支持解析規(guī)則的導(dǎo)入導(dǎo)出。所有解析操作支持可視化的配置界面；數(shù)據(jù)解析規(guī)則支持規(guī)則嵌套和邏輯組合方式，能夠?qū)σ唤M事件進(jìn)行多層規(guī)則解析處理，添加、刪除、重命名、合并、拆分與裁剪現(xiàn)有字段，對范式化后字段再解析處理。支持多種數(shù)據(jù)解析，包含精準(zhǔn)匹配、包含再解析、正則匹配后從數(shù)據(jù)頭、尾進(jìn)行二次解析等處理。數(shù)據(jù)豐富化通過圖形化操作對解析標(biāo)準(zhǔn)化后的數(shù)據(jù)進(jìn)行信息的豐富化，提供更為全面的安全日志，補(bǔ)齊的信息包括：二元組、五元組、資產(chǎn)信息、地理位置信息等。關(guān)聯(lián)場景和方式支持不少于700條規(guī)則的安全檢測分析場景的開箱即用，場景包括：掃描探測類、主機(jī)異常類、異常通信類、運維監(jiān)控告警類、中間人攻擊類、Web攻擊類、賬號異常類、拒絕服務(wù)類、郵件攻擊類等。關(guān)聯(lián)分析規(guī)則支持時序關(guān)聯(lián)、非時序關(guān)聯(lián)、互斥關(guān)聯(lián)、反向關(guān)聯(lián)等關(guān)聯(lián)分析算法，其中時序關(guān)聯(lián)支持分析支持至少M次A事件之后發(fā)生了B事件且事件B的發(fā)生是因為事件A導(dǎo)致（事件A不限數(shù)量）場景；非時序關(guān)聯(lián)支持分析A事件和B事件均發(fā)生但無時間先后、多件事（事件數(shù)量大于等于2）同時發(fā)生（無前后順序）等場景；互斥關(guān)聯(lián)支持分析A事件之后一定不發(fā)生B事件、B事件發(fā)生之前一定沒發(fā)生A事件等場景；反向關(guān)聯(lián)支持分析指定時限內(nèi)特定事件未發(fā)生場景。檢索分析支持聚合分析算子，選擇分鐘、小時、天為單位的時間窗口的歷史數(shù)據(jù)（>30天）并通過濾條件從中篩選目標(biāo)數(shù)據(jù)和指定目標(biāo)字段，支持選擇數(shù)量、去重統(tǒng)計、求和、平均值、最大/最小值的聚合計算，來完成對歷史數(shù)據(jù)的分析。動態(tài)安全信息動態(tài)信息組的管理，支持包括新建、刪除、編輯、導(dǎo)入、導(dǎo)出動態(tài)信息，數(shù)據(jù)類型包含IP、數(shù)字、字符串，支持將命中規(guī)則事件的中任意字段自動添加、刪除到動態(tài)信息組。動態(tài)信息組支持定義數(shù)據(jù)過期時間，包含不過期、根據(jù)數(shù)據(jù)創(chuàng)建時間計算和根據(jù)數(shù)據(jù)更新時間計算，指定數(shù)據(jù)保留所需的秒、分鐘、小時、天和周等時間段。威脅情報關(guān)聯(lián)支持Domain、IP、URL等類型的威脅情報IOC關(guān)聯(lián)檢測；可根據(jù)情報IOC屬性（威脅分值、可信度等）生成相關(guān)不同等級的告警。攻擊聚合支持自動化威脅獵捕模型，可在線編寫腳本語言算法模型模擬分析人員溯源取證的過程，基于告警事件為入口觸發(fā)條件的威脅場景自動溯源分析，向前、向后自動抽取若干分鐘、小時和天為單位的數(shù)據(jù)，結(jié)合時間、過濾條件關(guān)聯(lián)，多層邏輯嵌套、自動聚合分析包括日志、流量、告警等內(nèi)容，聚合跨階段展示整個威脅事件。聚合檢測庫內(nèi)置不低于15種聚合事件威脅場景，如Tomcat遭受暴力破解攻擊后被上傳webshell，并發(fā)起了445端口掃描、FTP賬號被暴力破解成功后數(shù)據(jù)遭到竊取、內(nèi)網(wǎng)主機(jī)遭受遠(yuǎn)程漏洞攻擊后連接礦池、UAC提權(quán)并駐留并發(fā)現(xiàn)Powershell系列攻擊等。系統(tǒng)模塊內(nèi)置信息統(tǒng)計聚合模型，通過聚合主機(jī)訪問行為、命令執(zhí)行安全告警、服務(wù)器短時間內(nèi)頻繁執(zhí)行信息收集命令告警、運行代理工具告警等多源數(shù)據(jù)進(jìn)行自動化提取和校驗，檢測出主機(jī)遭受ssh暴力破解后主機(jī)層面出現(xiàn)異常命令操作行為，爆破成功并駐留。APT檢測APT專項行為檢測(AAD)，針對流行APT攻擊總結(jié)行為或環(huán)境特征規(guī)則，分析實時數(shù)據(jù)流，檢測相關(guān)APT攻擊；APT專項病毒檢測(NEXTAV)

，基于長期的歷史研究積累，針對APT使用的病毒、惡意樣本進(jìn)行專門查殺，能有效檢出已知類型的APT惡意樣本。APT惡意樣本回掃，支持對歷史樣本特征和樣本進(jìn)行APT檢測回掃，發(fā)現(xiàn)潛伏APT蹤跡。安全事件監(jiān)測和分析支持把安全事件相關(guān)的網(wǎng)絡(luò)攻擊關(guān)系和終端進(jìn)程演變過程融合為一張攻擊鏈路圖，通過靜態(tài)觀察和動態(tài)回放來分析網(wǎng)絡(luò)行為、終端行為的攻擊過程，為失陷過程分析提供形象化分析手段。根據(jù)不同對象（如資產(chǎn)、IP、域名）進(jìn)行圖中元素區(qū)分，同時支持點擊后關(guān)聯(lián)展示對應(yīng)上下文。支持安全事件將所有相關(guān)告警的處置建議進(jìn)行統(tǒng)一匯總和展示，對每個告警有對應(yīng)的分析內(nèi)容和處置建議，提供兼容ATT&CK并且新增擴(kuò)展的緩解建議和檢測建議。技戰(zhàn)術(shù)分析支持知識圖譜技戰(zhàn)術(shù)熱力圖，支持通過顏色深淺來代表該技術(shù)的攻擊強(qiáng)度；支持點擊攻擊技術(shù)，查看詳情，包括不限于子技術(shù)、技術(shù)描述，相關(guān)安全事件等；支持MitreATT&CK之外擴(kuò)展出具備中國特有的技戰(zhàn)術(shù)總結(jié)。儀表盤支持自定義儀表盤配置，根據(jù)需要添加不同的監(jiān)控組件，自定義選擇過濾條件和過濾條件組的監(jiān)控組件添加、修改和刪除。支持同時組合多種展示圖形，包含柱狀圖、餅圖、面積圖、趨勢圖、表格、統(tǒng)計、同比、環(huán)比、百分比、復(fù)合計算統(tǒng)計、上傳圖片、外部圖片、外部網(wǎng)頁等，可配置排序方法、TOP數(shù)量、數(shù)據(jù)時間跨度。儀表盤的圖形位置和大小支持自由拖拽，所見即所得。支持從儀表盤下鉆至具體事件、告警、資產(chǎn)等并且可直接配置下鉆選項，支持跳轉(zhuǎn)到自定義的其它儀表盤，實現(xiàn)儀表的嵌套來滿足分析需要。支持儀表直接調(diào)用SOAR預(yù)案來快速處置，支持儀表的內(nèi)容通過點擊快速變?yōu)檫^濾條件。大屏自定義態(tài)勢感知大屏元素支持自定義，選擇經(jīng)過儀表盤定義的圖例替換原有大屏元素。大屏輪播支持大屏輪播，支持自定義參與輪播的大屏，輪播間隔時間、輪播大屏順序。威脅攻擊態(tài)勢通過該態(tài)勢掌握當(dāng)前攻擊的整體階段和狀態(tài)，宏觀審視全貌；將具體的安全事件以3D到2D的形式展示出攻擊源和攻擊目標(biāo)，通過地理位置直觀掌握宏觀攻擊概況。通過攻擊源國家的排名了解攻擊者，對攻擊致命、嚴(yán)重、警告和提醒事件一周的變化趨勢掌握全局危險數(shù)量，通過受害IP、攻擊階段和最近24小時攻擊趨勢了解攻擊的嚴(yán)重程度和攻擊面，最嚴(yán)重事件的排名指引關(guān)注危害最高的威脅。資產(chǎn)安全態(tài)勢從資產(chǎn)和脆弱性的視角了解暴露面，量化評估系統(tǒng)、區(qū)域和資產(chǎn)的風(fēng)險系數(shù)；資產(chǎn)風(fēng)險態(tài)勢包含資產(chǎn)風(fēng)險評分、危險等級和環(huán)比變化率，網(wǎng)元數(shù)量（包含主機(jī)、域名、應(yīng)用、網(wǎng)站和服務(wù)）、不同類型的威脅走勢，如漏洞利用、惡意程序、掃描探測等類型；以不同等級與資產(chǎn)相關(guān)待處理安全事件分布和安全事件列表；根據(jù)低、中、高和嚴(yán)重不同等級的一周漏洞變化趨勢和脆弱性嚴(yán)重程度分布；基于實際網(wǎng)絡(luò)拓?fù)鋱D分布進(jìn)行告警和漏掃結(jié)果的態(tài)勢進(jìn)行展示，下鉆后可展示網(wǎng)絡(luò)拓?fù)渲胁煌恢脤?yīng)資產(chǎn)評分、事件數(shù)量和未處理漏洞數(shù)量，并可根據(jù)客戶真實環(huán)境對網(wǎng)絡(luò)拓?fù)鋱D提供定制。安全事件態(tài)勢通過該態(tài)勢掌握各類安全事件的檢測和產(chǎn)生分類，直觀了解事件產(chǎn)生、響應(yīng)到處置的過程；安全事件態(tài)勢根據(jù)提醒、告警、嚴(yán)重、致命等4個等級各級事件總量、攻擊成功和未成功的數(shù)量，展示待處置事件的總數(shù)、比例和環(huán)比變化，同時對高危待處置事件TOP進(jìn)行排名，展示事件名稱、等級、事件和責(zé)任人信息；對安全事件運營過程進(jìn)行管理，展示一周事件變化趨勢以及根據(jù)不同分類（如探測掃描、主機(jī)異常、異常通信等）統(tǒng)計新增、在處理和完結(jié)的事件數(shù)量，用來快速審視運營情況；對攻擊源和攻擊次數(shù)進(jìn)行展示，通過最新攻擊時間及時了解最新情況。安全成果態(tài)勢通過該態(tài)勢掌握各類安全事件的檢測和產(chǎn)生分類，直觀了解威脅情況。包含從原始日志到安全告警、安全事件多個層級描述安全建設(shè)實現(xiàn)的效果，體現(xiàn)整體安全事件的收斂和運營工作量；以階梯遞進(jìn)的圖形化方式展現(xiàn)日志數(shù)量、告警數(shù)量到安全事件數(shù)量一步步減少的聚合演變，了解通過運營達(dá)到的效果。安全事件級包含總體事件條數(shù)和高危事件數(shù)量，并根據(jù)不同事件類型（如Web攻擊、主機(jī)異常、惡意程序）通過條形比例的方式進(jìn)行展示，同時列出高危安全事件的TOP10排名及其處置狀態(tài)，便于直觀監(jiān)測。對于網(wǎng)絡(luò)整體的告警量、日志量通過環(huán)形圖的方式展示不同數(shù)據(jù)源的比例，以及排名前五的數(shù)據(jù)源，從宏觀上了解網(wǎng)絡(luò)內(nèi)安全設(shè)備的貢獻(xiàn)率。威脅情報態(tài)勢支持展現(xiàn)威脅情報總量、更新情況，當(dāng)前系統(tǒng)中威脅情報的分類、數(shù)量。以及當(dāng)前系統(tǒng)威脅情報告警情況，高頻命中的情報IOC、攻擊團(tuán)伙\家族等運行監(jiān)控態(tài)勢支持監(jiān)控系統(tǒng)全集群的運行狀況包括不限于CPU使用率、內(nèi)存使用率、磁盤使用率，支持運行狀態(tài)異常的節(jié)點給出告警提示；支持監(jiān)控接入各數(shù)據(jù)源的數(shù)據(jù)上報情況，支持實時展示整體日志采集速率、告警生成速率，以及整體安全信息的入庫速率。合并告警詳情支持查看合并告警詳情：包括不限于合并告警基礎(chǔ)信息、攻擊者詳情、受害者詳情、原始告警；支持查看未處置的同類告警，便于批量處置；支持查看已處置的同類告警歷史經(jīng)驗，可以參考或者進(jìn)行重新研判，支持展示歷史處置記錄，已提供分析、處置參考。攻擊者分析支持從所有產(chǎn)生的告警中，提煉出外網(wǎng)攻擊者的IP列表和Domain列表，從而方便快速針對具體攻擊者做分析研判；支持通過攻擊者IP\域名、受害主機(jī)IP、告警處置狀態(tài)、對攻擊者進(jìn)行檢索；支持查看高頻攻擊者top5、告警事件趨勢等統(tǒng)計信息；支持通過威脅等級、最近攻擊事件進(jìn)行攻擊者排序。風(fēng)險資產(chǎn)分析所有產(chǎn)生的告警中，提煉出遭受到攻擊的內(nèi)網(wǎng)資產(chǎn)信息，從而方便快速排查具體內(nèi)網(wǎng)資產(chǎn)的風(fēng)險情況；支持通過資產(chǎn)名稱、資產(chǎn)IP、資產(chǎn)標(biāo)簽、是否存在漏洞、是否失陷等條件對風(fēng)險資產(chǎn)進(jìn)行檢索；支持通過失陷狀態(tài)、風(fēng)險等級、最近受攻擊事件等維度進(jìn)行風(fēng)險資產(chǎn)排序。多維場景分析針對高危、高頻出現(xiàn)的攻擊場景，支持針對性的場景化分析、展示；支持根據(jù)不同安全場景，預(yù)制不同的檢索字段，統(tǒng)計字段，列表字段；支持不同場景下的不同的合并告警二次聚合，以提高分析處置效率；支持在場景化分析界面調(diào)用處置預(yù)案進(jìn)行快速處置；支持安全場景包括不限于：Webshell、通用web攻擊、漏洞利用、弱口令、爆破攻擊、郵件威脅、隱蔽隧道、威脅情報、勒索病毒、挖礦木馬。數(shù)據(jù)備份支持對配置信息根據(jù)內(nèi)容選擇后進(jìn)行導(dǎo)出、導(dǎo)入，對于在線更新的模型可以選擇保留用戶修改的數(shù)據(jù)，同時對于更新后不滿意可選擇過往的版本進(jìn)行一鍵倒回，方便運維管理。全局?jǐn)?shù)據(jù)檢索支持跨節(jié)點和全局檢索，上級節(jié)點可以查詢所有節(jié)點數(shù)據(jù)，根據(jù)選擇全部、1個或多個節(jié)點的事件、日志、告警、脆弱性、資產(chǎn)等信息進(jìn)行審計溯源分析；下級節(jié)點只能查詢本級自有數(shù)據(jù)。支持全局字段檢索和可視化BI分析。用戶管理支持用戶管理功能，包括用戶（組）管理和角色管理，可對用戶（組）進(jìn)行新增、修改、刪除等操作；支持用戶功能分權(quán)和數(shù)據(jù)分權(quán)管理，功能分權(quán)可以將平臺的每個功能進(jìn)行獨立指定不可見、只讀和讀寫權(quán)限；數(shù)據(jù)分權(quán)能與組織機(jī)構(gòu)進(jìn)行映射，通過類SQL結(jié)構(gòu)化檢索語言定義日志、告警的字段、字段組合進(jìn)行數(shù)據(jù)分權(quán)范圍。威脅情報支持針對域名、IP（加端口）、URL的查詢判定惡意類型包括APT攻擊、勒索軟件、挖礦軟件、網(wǎng)銀木馬、竊密木馬、黑客工具、后門軟件、僵尸網(wǎng)絡(luò)、常規(guī)木馬、礦池數(shù)據(jù)、其它遠(yuǎn)控。同時還包括混合功能遠(yuǎn)控，命令控制通道，數(shù)據(jù)泄露，下載惡意軟件等遠(yuǎn)控類型。提供超過2000個惡意家族的詳細(xì)上下文，內(nèi)容包括別名，攻擊影響，傳播方式，特點描述，威脅類型，影響平臺，參考鏈接與家族描述提供超過200個攻擊團(tuán)伙的詳細(xì)上下文，內(nèi)容包括別名，攻擊動機(jī)，影響區(qū)域，影響行業(yè)，背景國家，活躍時間，參考鏈接和團(tuán)伙描述在連接情報云情況下，情報數(shù)據(jù)可實現(xiàn)每小時更新。對于隔離網(wǎng)環(huán)境，支持離線導(dǎo)入情報數(shù)據(jù)升級包方式進(jìn)行更新。性能要求日志處理能力不低于10萬EPS2.終端安全平臺及5000個終端年服務(wù)完善業(yè)務(wù)外網(wǎng)內(nèi)冬單位的終端安全防護(hù)機(jī)制，在縣區(qū)網(wǎng)絡(luò)邊界進(jìn)行相應(yīng)安全防護(hù)，配置訪問控制策略，抵御網(wǎng)絡(luò)內(nèi)部攻擊，終端授權(quán)管控不低于5000個授權(quán)?？蛇M(jìn)行主機(jī)入侵防御、安全事件溯源、主機(jī)微隔離、安全態(tài)勢分析、安全基線檢查、資產(chǎn)管理等終端安全管理與防護(hù)。為滿足5000個終端安全管理服務(wù)需求，需提供1個終端安全管理平臺及5000個終端安全管理授權(quán)，授權(quán)期限12個月，終端安全管理平臺和終端安全管理軟件功能需求如下：技術(shù)項技術(shù)指標(biāo)要求終端資源占用要求對終端系統(tǒng)CPU占用低于2%，內(nèi)存占用低于200M，終端軟件不大于1M終端支持的操作系統(tǒng)要求支持多種操作系統(tǒng)，包括但不限于RHEL/CentOS632/64位、RHEL/CentOS732/64位、Ubuntu、Debian、Suse、SunOS5.10、Windows7及以上、WindowsServer2003及以上、中標(biāo)麒麟、銀河麒麟、KaliGNU/Linux2020.1x64server、MacOS、UOS等操作系統(tǒng)。系統(tǒng)信息采集要求支持采集系統(tǒng)基本信息采集，以及硬件信息、操作系統(tǒng)信息、補(bǔ)丁信息系統(tǒng)日志監(jiān)控要求支持系統(tǒng)日志類信息的采集、進(jìn)程創(chuàng)建事件監(jiān)控、目錄、文件審核監(jiān)控、注冊項表讀寫、U盤插拔讀寫監(jiān)控終端漏洞發(fā)現(xiàn)具備漏洞發(fā)現(xiàn)引擎，無需要遠(yuǎn)程掃描，即可發(fā)現(xiàn)終端資產(chǎn)存在漏洞；支持展示漏洞TOP與漏洞分布情況，進(jìn)行漏洞評估，展示漏洞情況和列表，并能以漏洞視角查詢命中的終端漏洞庫數(shù)量漏洞庫兼容CVE、CNVD、CNNVD，漏洞數(shù)量大于22萬（提供功能截圖證明）終端管理支持按終端接入情況入庫資產(chǎn)并展示終端系統(tǒng)基本信息，包含內(nèi)核版本，CPU，類型，內(nèi)存，廠商，系統(tǒng)版本，網(wǎng)卡等支持呈現(xiàn)終端的當(dāng)前CPU情況，磁盤占用，內(nèi)存占用情況，網(wǎng)絡(luò)訪問IO支持按安全事件，合規(guī)情況、響應(yīng)處置等安全特性項進(jìn)行統(tǒng)計展示支持查看當(dāng)前應(yīng)用軟件安裝情況，網(wǎng)絡(luò)訪問，系統(tǒng)服務(wù)，進(jìn)程，合規(guī)檢查及應(yīng)用策略事件識別分析集中統(tǒng)計分析和展示識別到的攻擊事件；支持安全事件的查詢分析能力，支持提供快捷的全文檢索條件，也支持通過時間范圍、IP地址、事件類型、來源設(shè)備、威脅等級等條件進(jìn)行查詢，并對查詢結(jié)果提供按時間分段的統(tǒng)計圖，查詢結(jié)果以列表形式進(jìn)行展示；支持在頁面內(nèi)展示事件詳細(xì)信息，事件詳情包括但不限于：事件摘要、事件關(guān)鍵屬性，攻擊過程，涉及的攻擊者、受害者詳情，還包括關(guān)聯(lián)的日志信息、情報信息，并展示攻擊者使用的ATT&CK中定義的戰(zhàn)術(shù)及技術(shù)，以及基于攻擊流程展示各項攻擊技術(shù)之間的關(guān)聯(lián)路徑取證分析能力支持提供取證分析能力，支持取證日志快速檢索分析能力；用戶可查看終端所采集的所有原始日志、指紋信息等，可按日志類型、IP等過濾條件進(jìn)行篩選合規(guī)結(jié)果查詢要求提供終端用戶側(cè)的自檢方式以及合規(guī)結(jié)果查詢分析規(guī)則自定義能力用戶可自定按日志內(nèi)容進(jìn)行配置攻擊識別檢測規(guī)則隔離處置全面封鎖隔離能力，包括主機(jī)隔離、網(wǎng)絡(luò)鏈路封禁、文件隔離、進(jìn)程查殺等提供統(tǒng)一的訪問控制策略設(shè)置，可配置訪問控制，實現(xiàn)主機(jī)側(cè)南北向、東西向細(xì)粒度的按需訪問控制支持對網(wǎng)絡(luò)訪問的入出站配置，控制訪問，可按五元組進(jìn)行配置支持對主機(jī)進(jìn)行隔離，僅保留與服務(wù)端的通信，便于解除隔離一鍵響應(yīng)提供一鍵響應(yīng)操作，支持對終端風(fēng)險的快速隔離，和訪問的阻斷控制環(huán)境持續(xù)監(jiān)控持續(xù)監(jiān)控環(huán)境變化，動態(tài)評估終端環(huán)境可信，及時阻斷超過風(fēng)險閾值終端的訪問快速任務(wù)支持通過自定義檢測模板對主機(jī)進(jìn)行一鍵任務(wù)下發(fā)，應(yīng)對0day漏洞等快速應(yīng)急響應(yīng)場景；提供多種內(nèi)置用例包括但不限于指定文件查詢、遠(yuǎn)程代碼漏洞檢測、webshell惡意掃描樣本工具等終端資產(chǎn)支持終端資產(chǎn)列表管理，支持資產(chǎn)基本信息、狀態(tài)、資源監(jiān)控、資產(chǎn)應(yīng)用軟件、服務(wù)、網(wǎng)絡(luò)訪問、進(jìn)程快照信息展示及管理安全態(tài)勢和可視化支持整體終端安全態(tài)勢分析及可視化展示，包括攻擊鏈統(tǒng)計、網(wǎng)絡(luò)訪問統(tǒng)計、威脅事件類型統(tǒng)計、攻擊誘捕統(tǒng)計、弱點統(tǒng)計、事件列表、事件趨勢統(tǒng)計等，支持系統(tǒng)整體評分，接入容量占比和月事件總數(shù)等日志管理符合國家要求，能夠收集、存儲，并保留至少6個月的終端日志，包括系統(tǒng)、服務(wù)、應(yīng)用、用戶訪問等內(nèi)容。終端集中管理集中查看終端主機(jī)地址、名稱、責(zé)任人、系統(tǒng)類型、版本、系統(tǒng)資源、網(wǎng)絡(luò)使用，能夠集中管理主機(jī)上終端軟件啟用、更新、卸載，能夠手工鎖定、隔離遠(yuǎn)程主機(jī)。更新終端軟件集中升級終端軟件，一鍵更新，終端主機(jī)無感知powershell檢測支持通過自定義檢測模板對主機(jī)進(jìn)行一鍵任務(wù)下發(fā)，應(yīng)對0day漏洞等快速應(yīng)急響應(yīng)場景；提供多種內(nèi)置用例包括但不限于指定文件查詢、遠(yuǎn)程代碼漏洞檢測、webshell惡意掃描樣本工具等數(shù)據(jù)外發(fā)支持通過syslog北向接口向其他平臺提供數(shù)據(jù)外發(fā)和查詢能力，發(fā)送通道包括UDP、FTP/SFTP、KAFKA等，支持對外發(fā)數(shù)據(jù)進(jìn)行格式化轉(zhuǎn)換（統(tǒng)一編碼、映射轉(zhuǎn)換等）以及數(shù)據(jù)組裝方式設(shè)置（包括但不限于json、自定義模版、syslog等），并支持按需限制外發(fā)速率合規(guī)基線支持檢查是否存在違規(guī)端口使用情況，并能呈現(xiàn)全網(wǎng)終端統(tǒng)計情況支持檢查是否存在賬戶弱口令，并能呈現(xiàn)全網(wǎng)終端統(tǒng)計情況支持檢查是否存在違規(guī)網(wǎng)絡(luò)連接情況，并能呈現(xiàn)全網(wǎng)終端統(tǒng)計情況支持檢查是否存在有配置的違規(guī)軟件，支持可配置違規(guī)軟件，并能呈現(xiàn)全網(wǎng)終端統(tǒng)計情況支持檢查是否安裝有主機(jī)防病毒軟件，并能呈現(xiàn)全網(wǎng)終端統(tǒng)計情況支持檢查重要的安全補(bǔ)丁開啟更新及更新情況，并能呈現(xiàn)全網(wǎng)終端統(tǒng)計情況系統(tǒng)管理為保證不同角色人員對平臺的友好使用，平臺應(yīng)支持通過角色分離實現(xiàn)三權(quán)分立，且至少應(yīng)包含三類內(nèi)置角色：系統(tǒng)管理員：負(fù)責(zé)除日志審計管理外的所有功能；用戶：由系統(tǒng)管理員生成，管理其相應(yīng)業(yè)務(wù)；審計管理員：負(fù)責(zé)審計系統(tǒng)管理員和用戶的工作支持用戶管理能力，支持系統(tǒng)管理員在界面查看已創(chuàng)建用戶，除頂級域系統(tǒng)管理員，只能查看當(dāng)前所在域用戶賬戶，可對用戶賬戶進(jìn)行啟停、編輯操作，可創(chuàng)建新用戶賬戶。賬戶屬性應(yīng)至少包含：用戶名、密碼、郵箱、電話、所屬權(quán)限域、角色、所屬用戶組、登錄ip列表、用戶首頁。其中除了用戶名，其他屬性支持創(chuàng)建后可編輯支持登錄使用驗證碼，支持賬號登錄密碼嘗試次數(shù)過多時鎖定賬號，支持賬號超時自動登出，支持上述功能界面配置平臺應(yīng)支持配置密碼安全性策略，包含密碼最小長度、密碼復(fù)雜度（包含不同字符類型數(shù)目）、密碼不與歷密碼重復(fù)、密碼有效期天數(shù)、密碼有效期提醒時間。支持界面配置弱密碼字典，并開啟弱密碼檢測。支持賬號操作審計能力，所有賬號界面操作記錄審計日志，審計員角色賬號可查看審計日志，可根據(jù)時間范圍、登陸ip、登陸用戶、操作內(nèi)容搜索過濾審計日志，支持導(dǎo)出備份審計日志，審計日志不可刪除，最長保留至少一年客戶端部署支持客戶端可以靜默安裝，靜默推送方式，推送全網(wǎng)支持客戶端可自定義或隨機(jī)名方式安裝為服務(wù)，以隱藏自身支持客戶端自動升級，灰度發(fā)布式升級方式，可配置灰度發(fā)布地址，3.代碼審計服務(wù)代碼審計平臺服務(wù)為滿足在各應(yīng)用系統(tǒng)上云前進(jìn)行安全檢測要求，須部署代碼審計平臺服務(wù)，同時提供技術(shù)指導(dǎo)安全運營中心人員對應(yīng)用系統(tǒng)源代碼進(jìn)行審計服務(wù)，服務(wù)期限12個月。代碼審計外部專家支撐年服務(wù)對重要的業(yè)務(wù)系統(tǒng)，在本地團(tuán)隊用本地代碼審計平臺做初審前提下，需要第三方專業(yè)技術(shù)人員檢測和審計，通過人工和工具相結(jié)合的方式,對應(yīng)用系統(tǒng)的源代碼結(jié)果進(jìn)行分析查看,并提供相應(yīng)的修復(fù)建議。平臺服務(wù)期12個月，至少提供5個應(yīng)用系統(tǒng)的服務(wù)。代碼審計平臺服務(wù)需求如下：指標(biāo)項具體指標(biāo)要求功能概述采購源代碼缺陷分析與代碼保障系統(tǒng)，支持企業(yè)級源代碼缺陷分析、源代碼缺陷審計、源代碼缺陷修復(fù)跟蹤功能。在不改變企業(yè)現(xiàn)有開發(fā)測試流程的前提下，該系統(tǒng)與軟件版本管理、持續(xù)集成、Bug跟蹤等系統(tǒng)進(jìn)行集成，將源代碼安全檢測融入企業(yè)開發(fā)測試流程中，實現(xiàn)軟件源代碼安全目標(biāo)的統(tǒng)一管理、自動化檢測、差距分析、Bug修復(fù)追蹤等功能，幫助企業(yè)以最小代價建立代碼安全保障體系并落地實施，構(gòu)筑信息系統(tǒng)的“內(nèi)建安全”。源代碼靜態(tài)安全檢查功能支持C、C++、Java、PHP、Go、Python等主流編程語言開發(fā)的軟件源代碼的缺陷檢測。支持SQL注入、跨站腳本、敏感信息泄露、硬編碼密碼、邏輯表達(dá)式、API誤用、異常處理等常見安全缺陷問題的檢測。支持對源代碼缺陷分析模板的靈活配置，具體到每一個缺陷類型，內(nèi)置模板不少于18個。提供功能截圖證明。支持缺陷白名單功能，對缺陷可以根據(jù)具體規(guī)則和掃描語言，配置白名單。白名單生效范圍可針對具體項目和所有項目。支持文件白名單功能，可以對多個文件或文件夾進(jìn)行過濾，不統(tǒng)計該文件和文件夾下檢測的問題結(jié)果，提高系統(tǒng)檢測精準(zhǔn)性。支持對檢測失敗和已有的任務(wù)重新發(fā)起檢測，無需重新上傳代碼。源代碼缺陷審計功能能夠?qū)υ创a安全掃描結(jié)果進(jìn)行匯總，并按照問題的嚴(yán)重性和可能性進(jìn)行威脅級別的劃分，如高、中、低等多個級別。能針對每一個源代碼檢測任務(wù)能夠展現(xiàn)相關(guān)信息，如任務(wù)名稱、任務(wù)類型、代碼總行數(shù)、平均缺陷密度等信息。源代碼軟件組成分析功能可通過識別出的開源組件與漏洞庫進(jìn)行匹配，發(fā)現(xiàn)項目中引用的、存在已知漏洞的開源組件，并提供漏洞清單。。。關(guān)聯(lián)開源組件與項目，可快速搜索引用了某一開源組件的項目。包括已經(jīng)發(fā)布的項目和正在開發(fā)的項目。內(nèi)置常見的CVE漏洞和全部的CNNVD漏洞，CVE漏洞庫和CNNVD漏洞庫支持本地升級。提供組件清單功能，展示組件來源，組件版本、組件生態(tài)，組件許可證，并提供組件對應(yīng)的漏洞分布信息。項目管理功能支持用戶和組的層級管理，可以自由的通過組的創(chuàng)建來組合項目和用戶的權(quán)限。能夠?qū)崿F(xiàn)層次化組織結(jié)構(gòu)的管理。項目支持多任務(wù)化的管理，能夠在同一個項目中創(chuàng)建多個不同類型的檢查任務(wù)，能夠做到不同任務(wù)到同一個項目的歸檔。統(tǒng)計分析功能能夠以任務(wù)或者整體維度來進(jìn)行檢測結(jié)果數(shù)據(jù)的統(tǒng)計，并以餅狀圖或柱狀圖的形式展示，例如：組成分析的組件風(fēng)險基本統(tǒng)計，靜態(tài)代碼審計的缺陷風(fēng)險級別統(tǒng)計等。源代碼缺陷分析報告功能檢測報告應(yīng)能夠包括問題等級及問題類型等基本統(tǒng)計信息，還應(yīng)包括問題分類、問題描述、修復(fù)建議、風(fēng)險點、問題跟蹤信息等詳細(xì)信息。系統(tǒng)管理功能系統(tǒng)為B/S架構(gòu)，支持多招標(biāo)方同時使用瀏覽器訪問、支持1-8個檢測任務(wù)并發(fā)執(zhí)行，支持后臺并發(fā)進(jìn)程的界面配置，支持管理員對并發(fā)進(jìn)行調(diào)整。支持支持管理員、普通用戶、日志審計員等權(quán)限角色劃分。每個角色只能看到自己權(quán)限下的項目，管理員能看到所有項目。能夠?qū)崟r查看系統(tǒng)運行狀態(tài)，包括CPU、內(nèi)存、硬盤等信息。默認(rèn)提供規(guī)則集對代碼進(jìn)行審計，默認(rèn)提供全部、代碼規(guī)范和安全缺陷三個檔位的規(guī)則集，也支持用戶自定義規(guī)則集。提供自定義檢測規(guī)則功能，自主添加檢測規(guī)則用于源代碼缺陷檢測。支持使用ping、telnet、curl工具對其他服務(wù)器發(fā)起探測請求，排查網(wǎng)絡(luò)問題。第三方工具集成能力系統(tǒng)支持本地直接發(fā)起檢測任務(wù)，也可以從SVN、GIT、等代碼倉庫獲取代碼發(fā)起檢測任務(wù)。支持提供對外接口，支持外部系統(tǒng)同步招標(biāo)方、發(fā)起檢測任務(wù)、獲取任務(wù)結(jié)果和缺陷詳情以及離線報告生成、查詢、下載等功能。4.安全基線防護(hù)和滲透測試服務(wù)根據(jù)《業(yè)務(wù)云安全管理規(guī)范》相關(guān)要求，對應(yīng)用系統(tǒng)進(jìn)行安全防護(hù)，對業(yè)務(wù)系統(tǒng)（IRS上業(yè)務(wù)信息系統(tǒng)或企業(yè)）進(jìn)行一次滲透測試，并提供修復(fù)建議和服務(wù)報告。通過真實模擬黑客使用的工具、分析方法來對HYPERLINK\h業(yè)務(wù)系統(tǒng)進(jìn)行模擬攻擊，結(jié)合智能工具掃描結(jié)果HYPERLINK\h和人工確認(rèn)，進(jìn)行深入的手工測試和分析，從而充分識別業(yè)務(wù)系統(tǒng)風(fēng)險并要求進(jìn)行整改。本服務(wù)的服務(wù)期限為12個月。服務(wù)內(nèi)容1、滲透測試服務(wù)對用戶提供的系統(tǒng)，通過白盒、黑盒或灰盒方式進(jìn)行測試，發(fā)現(xiàn)網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)中網(wǎng)絡(luò)和系統(tǒng)存在的安全缺陷，提供滲透測試報告和改進(jìn)建議。2、支撐、保障服務(wù)技術(shù)要求1）.在服務(wù)期依據(jù)安全專家已經(jīng)掌握的安全漏洞信息，模擬黑客的真實攻擊方法對系統(tǒng)和網(wǎng)絡(luò)進(jìn)行非破壞性質(zhì)的攻擊性測試。2）.服務(wù)人員提供的滲透測試報告，必須包含漏洞從發(fā)現(xiàn)到最終利用的整個過程記錄，通過對系統(tǒng)進(jìn)行加固完之后，需要進(jìn)