1

浙江產(chǎn)權(quán)交易所有限公司網(wǎng)絡(luò)安全態(tài)勢(shì)感知設(shè)備采購項(xiàng)目

1項(xiàng)

40

詳見附件

商務(wù)

資信分

（10分）

4

投標(biāo)人具有2020年1月1日以來的類似項(xiàng)目業(yè)績(jī)，每提供一個(gè)得1分，最多得4分，

6

1、CCRC信息安全服務(wù)資質(zhì)認(rèn)證證書（安全集成），得1分；

2、CCRC信息安全服務(wù)資質(zhì)認(rèn)證證書（安全運(yùn)維）得1分；

3、具有ITSS信息技術(shù)服務(wù)證書，得1分；

4、ISO9001質(zhì)量管理體系認(rèn)證證書，得1分

5、具有ISO20000服務(wù)管理體系認(rèn)證證書，得1分

6、信息安全管理體系ISO27001認(rèn)證證書，得1分

（須提供相關(guān)有效期內(nèi)的證書復(fù)印件否則不得分）。

技術(shù)分

（60分）

8

投標(biāo)人對(duì)本項(xiàng)目的理解、項(xiàng)目實(shí)施方案（含實(shí)施進(jìn)度安排、風(fēng)險(xiǎn)控制手段、質(zhì)量保障方案等）編制情況：

內(nèi)容完整性、合理性、可行性等（0—8分）

30

投標(biāo)方案對(duì)于需求所要求的參數(shù)及功能的響應(yīng)情況，全部響應(yīng)的得30分，其中，標(biāo)注“★”為重要技術(shù)指標(biāo)項(xiàng)，需提供截圖證明，對(duì)重要技術(shù)指標(biāo)項(xiàng)負(fù)偏離或不滿足的，每項(xiàng)扣4分，其他有一項(xiàng)不滿足或負(fù)偏離的扣1分，扣完為止。（參照《浙江產(chǎn)權(quán)交易所態(tài)勢(shì)感知設(shè)備技術(shù)要求》）

2

項(xiàng)目經(jīng)理要求：

項(xiàng)目經(jīng)理需具備CISP證書及PMP或信息系統(tǒng)項(xiàng)目管理師證書（PMP/信息系統(tǒng)項(xiàng)目管理師證書兩者有其一即可）

根據(jù)上述要求的相關(guān)證書的復(fù)印件和對(duì)應(yīng)人員的社保繳納證明（須提供近6個(gè)月社保繳納證明）打分，每滿足1個(gè)得1分，最高得2分。

4

擬投入本項(xiàng)目的項(xiàng)目團(tuán)隊(duì)（除項(xiàng)目經(jīng)理）要求：

團(tuán)隊(duì)成員需至少具備2名信息安全保障人員（CISAW）證書認(rèn)證及2名注冊(cè)信息安全專業(yè)人員—大數(shù)據(jù)安全分析師（CISP-BDSA）認(rèn)證，滿足要求得4分，資質(zhì)不全或不能提供不得分。

注：項(xiàng)目成員需提供不少于6個(gè)月的項(xiàng)目所在地的社保繳納證明，否則本項(xiàng)不得分

5

所投產(chǎn)品具有市場(chǎng)領(lǐng)先的技術(shù)先進(jìn)性，能夠提升本項(xiàng)目建設(shè)效果，具有包括惡意軟件識(shí)別、沙箱檢測(cè)、惡意文件分類、APT監(jiān)測(cè)、終端特征提取、應(yīng)用安全風(fēng)險(xiǎn)檢測(cè)等相關(guān)技術(shù)在內(nèi)的發(fā)明專利，提供證明文件加蓋設(shè)備廠商公章，每提供一個(gè)得1分，最多得5分。

1

本項(xiàng)目建設(shè)效果需符合網(wǎng)絡(luò)安全法及等級(jí)保護(hù)的相關(guān)要求，并能夠保障平臺(tái)自身安全，所投產(chǎn)品原廠商具有《中華人民共和國網(wǎng)絡(luò)安全法》、等級(jí)保護(hù)制度的深刻理解及實(shí)踐能力。得1分。

2

是否設(shè)立本地化服務(wù)機(jī)構(gòu)及其技術(shù)能力情況，非杭州本地公司在杭州需有分公司或子公司（須提供工商部門的證明材料），確保項(xiàng)目的正常進(jìn)行和售后服務(wù)。提供證明材料得2分。

3

售后服務(wù)方案及承諾的可行性、合理性、完整性情況。

2

應(yīng)急保障服務(wù)方案情況。

2

培訓(xùn)方案的本地化能力、可行性、合理性、完整性情況。

1

根據(jù)投標(biāo)文件編制是否完整有序、內(nèi)容詳實(shí)，內(nèi)容無前后矛盾，符合招標(biāo)文件要求等評(píng)分。

價(jià)格分

（30 分）

1

價(jià)格分采用低價(jià)優(yōu)先法計(jì)算，即滿足招標(biāo)文件要求且投標(biāo)價(jià)格最低的投標(biāo)報(bào)價(jià)為評(píng)標(biāo)基準(zhǔn)價(jià)，其價(jià)格分為滿分。其他投標(biāo)人的價(jià)格分按照下列公式計(jì)算：

價(jià)格分=（評(píng)標(biāo)基準(zhǔn)價(jià)/投標(biāo)報(bào)價(jià)）×30%×100

注：本項(xiàng)目投標(biāo)報(bào)價(jià)低于最高限價(jià)的50%時(shí)，投標(biāo)人需要在報(bào)價(jià)中提供詳細(xì)的報(bào)價(jià)組成及合理性的說明。

性能規(guī)格

1、規(guī)格：標(biāo)準(zhǔn)機(jī)架設(shè)備

2、CPU >=24核

3、內(nèi)存>=256GB

4、硬盤>=24TB

5、2GB RAID卡

6、冗余1+1電源模塊

7、1G RJ45*4

8、支持>=200個(gè)日志源資產(chǎn)

9、10億數(shù)據(jù)關(guān)鍵字查詢結(jié)果響應(yīng)時(shí)間<2秒

數(shù)據(jù)采集和處理性能≥15000EPS，每條數(shù)據(jù)大小>1KB

設(shè)備管理

1、工作臺(tái)首頁支持自定義個(gè)性化配置，支持以拖拽方式進(jìn)行畫布頁面設(shè)置，頁面可選組件包括原始告警、資產(chǎn)管理、組件管理、風(fēng)險(xiǎn)資產(chǎn)、安全事件、安全日志、平臺(tái)概覽、快速搜索、安全設(shè)備、SOAR、系統(tǒng)消息、通報(bào)預(yù)警、工單、告警監(jiān)控等，可選組件不少于36個(gè)，每個(gè)組件均支持點(diǎn)擊“收藏”按鈕進(jìn)行自定義收藏

2、★設(shè)備狀態(tài)監(jiān)控：支持SNMP協(xié)議對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備的運(yùn)行狀態(tài)進(jìn)行監(jiān)控，包括設(shè)備機(jī)器名、CPU負(fù)載、內(nèi)存和流量等。

3、★聯(lián)動(dòng)管理：支持與浙交所現(xiàn)有在用終端防護(hù)系統(tǒng)（EDR）、防火墻、WAF等系統(tǒng)集成聯(lián)動(dòng)，發(fā)現(xiàn)威脅事件后支持與控制中心進(jìn)行指令下發(fā)執(zhí)行終端隔離和掃描操作

4、安全性管理：支持多次登錄失敗鎖定賬號(hào)和超時(shí)登陸配置，支持國密等數(shù)據(jù)傳輸加密算法，確保數(shù)據(jù)傳輸?shù)陌踩?/span>

5、權(quán)限管理：提供三權(quán)分立的用戶管理能力：配置員、用戶管理員、審計(jì)員相互獨(dú)立，支持根據(jù)對(duì)象屬性自定義劃分系統(tǒng)管理角色和一般用戶角色，按照數(shù)據(jù)和功能分級(jí)靈活設(shè)置用戶權(quán)限

6、告警管理：具備短信和郵件告警功能，定時(shí)向指定短信和郵箱發(fā)送APT事件、攻擊利用、惡意軟件、拒絕服務(wù)等類型的告警信息

7、支持IPv6平臺(tái)管理，審計(jì)日志支持IPv6。

功能要求

威脅感知

1、★告警：對(duì)威脅行為告警，行為包括DNS解析行為、TCP/UDP交互行為、WEB訪問行為、傳輸文件行為等

2、支持告警數(shù)據(jù)自動(dòng)化歸并，并通過告警列表?xiàng)l目顏色區(qū)分“已讀告警”和“未讀告警”；支持查看歸并告警基本信息、規(guī)則詳情、原始告警列表、全部字段、PCAP包詳細(xì)信息，并支持下載PCAP包；支持在歸并告警頁面進(jìn)行告警快速處置，包括忽略告警、誤報(bào)處置、聯(lián)動(dòng)處置、人工處置等。

3、支持告警展示偏好設(shè)置，可配置登錄默認(rèn)篩選告警條件，配置包括攻擊結(jié)果、告警類型、威脅等級(jí)、攻擊階段、攻擊方向、處置狀態(tài)、時(shí)間范圍等信息；支持告警自動(dòng)刷新

4、★基于威脅情報(bào)、應(yīng)用安全、系統(tǒng)安全和設(shè)備安全的業(yè)務(wù)場(chǎng)景維度進(jìn)行威脅感知。1威脅情報(bào)包括：APT事件、僵尸網(wǎng)絡(luò)、勒索軟件、流氓推廣、竊密木馬、網(wǎng)絡(luò)蠕蟲、遠(yuǎn)控木馬、黑市工具、其他惡意軟件等，并可自定義威脅情報(bào)；2應(yīng)用安全包括：WEB安全、數(shù)據(jù)庫安全、中間件等；3系統(tǒng)安全和設(shè)備安全威脅行為包括：暴力破解、弱口令、未授權(quán)訪問、挖礦行為等

分析中心

★應(yīng)內(nèi)置包括規(guī)則模型、關(guān)聯(lián)模型、統(tǒng)計(jì)模型、情報(bào)模型、AI模型等不少于5類安全分析模型，數(shù)據(jù)配置可選擇不同作用域，如全局通用、單選機(jī)構(gòu)，單選機(jī)構(gòu)可選擇單獨(dú)的組織架構(gòu)

★安全分析模型支持自定義創(chuàng)建，可通過字段映射、靜態(tài)值、模板、表達(dá)式等多種方式自由定義分析模型的告警名稱、威脅等級(jí)、告警類型、攻擊鏈、可選字段、告警描述、處置建議等內(nèi)容。

★支持對(duì)系統(tǒng)出廠內(nèi)置規(guī)則進(jìn)行優(yōu)化及調(diào)整，提升告警準(zhǔn)確率，支持靈活自定義告警級(jí)別，滿足實(shí)際業(yè)務(wù)需求。

支持檢索條件可自定義分組保存，一個(gè)分組可包含多個(gè)搜索條件，需求的時(shí)候直接打開，方便運(yùn)維

實(shí)現(xiàn)實(shí)體間網(wǎng)絡(luò)互訪關(guān)系的多級(jí)鉆取，支持通過端口、協(xié)議、異常訪問類型、攻擊鏈等過濾關(guān)聯(lián)關(guān)系，支持實(shí)體間網(wǎng)絡(luò)互訪關(guān)系的多級(jí)鉆取，通過“一鍵溯源”按鈕進(jìn)行威脅關(guān)系的自動(dòng)拓展

行為分析

1、★威脅分析：①外部威脅分析，包括高危攻擊、殘余攻擊、暴力破解、成功的事中攻擊、郵件威脅、文件威脅、外部風(fēng)險(xiǎn)訪問。②橫向威脅分析，包括橫向威脅總覽、橫向攻擊、違規(guī)訪問、可疑行為、風(fēng)險(xiǎn)；其中橫向風(fēng)險(xiǎn)總覽包括發(fā)起橫向威脅主機(jī)、遭受橫向威脅、橫向威脅類型分布、橫向威脅趨勢(shì)等。③外連威脅分析，包括對(duì)外威脅總覽、對(duì)外攻擊、APTC&C通信、可疑行為、隱蔽通信、違規(guī)訪問、服務(wù)器風(fēng)險(xiǎn)訪問；其中外連威脅總覽包括外連威脅主機(jī)類型分布、存在外連威脅IP   、外連目標(biāo)地區(qū)（國外）、外連威脅類型分布、非正常時(shí)間段外連主機(jī)、外連威脅趨勢(shì)。

2、★挖礦專項(xiàng)檢測(cè)分析，查看挖礦各個(gè)攻擊階段，包括感染挖礦病毒、與控制端建立通信、獲取挖礦任務(wù)、嘗試挖礦、挖礦成功等；支持挖礦幣種分布、挖礦風(fēng)險(xiǎn)態(tài)勢(shì)、受影響主機(jī)等維度分析統(tǒng)計(jì)。

3、★數(shù)據(jù)庫行為分析：mysql、mssql、oracle、sybase等常見數(shù)據(jù)庫高危操作行為分析

4、★文件威脅分析：展示文件分析過程、文件檢測(cè)趨勢(shì)、惡意文件TOP5；支持惡意文件的詳情分析，包括支持記錄惡意文件感染的主機(jī)、所屬分支、文件名、病毒名稱、傳輸協(xié)議等；支持導(dǎo)出文件威脅分析結(jié)果。

5、★DNS行為分析：可疑DNS解析、疑似DNS服務(wù)器發(fā)現(xiàn)、鏈路劫持分析、DNS重綁定分析等

6、常規(guī)訪問行為分析：①外部訪問分析，展示源ip、資產(chǎn)ip、端口、協(xié)議、時(shí)間等詳細(xì)信息，自定義源ip白名單；②資產(chǎn)橫向訪問分析，展示源資產(chǎn)ip、目的資產(chǎn)ip、端口、協(xié)議、banner、時(shí)間等詳細(xì)信息，自定義源ip白名單；③內(nèi)部資產(chǎn)主機(jī)外聯(lián)分析，展示資產(chǎn)ip、外聯(lián)ip、外聯(lián)地域、端口、協(xié)議、時(shí)間等詳細(xì)信息，自定義源ip白名單；4風(fēng)險(xiǎn)端口訪問分析，能自定義風(fēng)險(xiǎn)端口，自定義白名單

7、非常規(guī)訪問行為分析：支持可疑代理分析、遠(yuǎn)程訪問工具分析、反彈shell分析等

8、★登錄行為分析：暴力破解行為檢測(cè)、異常登錄行為檢測(cè)、ssh、telnet、ftp、smb等常見協(xié)議特權(quán)賬號(hào)登錄行為分析、http、pop3、smtp、Telnet、ftp、imap等協(xié)議弱口令分析、明文密碼泄露行為檢測(cè)

9、★WEB服務(wù)器行為分析：非常用請(qǐng)求方法分析、可疑爬蟲或掃描分析、后門上傳利用分析

10、郵件行為分析：支持郵件敏感詞與敏感后綴發(fā)現(xiàn)，自定義敏感詞與敏感后綴，并能進(jìn)行郵箱白名單配置

響應(yīng)處置

1、★自動(dòng)化響應(yīng)策略編排：支持資產(chǎn)類型、事件類型、風(fēng)險(xiǎn)等級(jí)自動(dòng)化編排響應(yīng)策略，可聯(lián)動(dòng)組件包括防火墻FW、web防火墻WAF、終端檢測(cè)響應(yīng)EDR；其中資產(chǎn)類型可選擇終端、服務(wù)器或指定范圍的IP資產(chǎn)；風(fēng)險(xiǎn)等級(jí)選擇可選擇已失陷、高可疑、低可疑；事件類型包括有害程序、網(wǎng)絡(luò)攻擊、信息破壞等，事件類型數(shù)量不少于20種。

2、★支持前端拖拽式交互設(shè)計(jì)安全風(fēng)險(xiǎn)分析研判策略和聯(lián)動(dòng)響應(yīng)劇本，支持多種策略編排動(dòng)作，包括但不限于數(shù)據(jù)源、分析組件、處置響應(yīng)等，可自動(dòng)判斷策略編排是否合理并彈窗提示。

3、處置記錄：編排處置日志記錄，記錄處置時(shí)間、受害ip、攻擊ip、告警類型、威脅名稱、域名、處置策略、告警來源等信息。

威脅溯源

★支持網(wǎng)絡(luò)日志、告警日志、終端日志等信息源深度檢索能力，定位高風(fēng)險(xiǎn)威脅源頭，以攻擊者視角整合多源數(shù)據(jù)，對(duì)攻擊者的攻擊過程、攻擊手段、攻擊工具、攻擊趨勢(shì)等信息進(jìn)行展示，以及以時(shí)間軸的方式展示攻擊者的所有入侵/訪問歷史痕跡等。

可視化展示

支持安全態(tài)勢(shì)的可視化呈現(xiàn)，以大屏的方式從攻擊事件、資產(chǎn)安全、追蹤溯源、運(yùn)行監(jiān)測(cè)、重保方案等多個(gè)維度進(jìn)行可視化展示，提供不少于10塊大屏展示界面，并可根據(jù)“組織架構(gòu)”篩選大屏展示數(shù)據(jù)范圍，支持自定義大屏輪播時(shí)間和大屏輪播順序。

資產(chǎn)管理

1、支持私網(wǎng)IP、公網(wǎng)IP、MAC地址、域名、主機(jī)名多種類型資產(chǎn)識(shí)別方式，IP類資產(chǎn)支持IPv4和IPv6，并支持資產(chǎn)組織架構(gòu)、責(zé)任人、重要程度、資產(chǎn)類型、地理位置屬性的批量修改；支持資產(chǎn)信息的增量導(dǎo)入和替換導(dǎo)入。

2、支持通過流量發(fā)現(xiàn)、是否接入日志、PING方式檢測(cè)資產(chǎn)是否在線。

3、支持人工錄入、流量自動(dòng)發(fā)現(xiàn)、主動(dòng)掃描、web自動(dòng)發(fā)現(xiàn)、資產(chǎn)同步等不少于5種的資產(chǎn)數(shù)據(jù)接入方式；流量自動(dòng)發(fā)現(xiàn)方式能自動(dòng)識(shí)別資產(chǎn)類型，如Web服務(wù)器、DNS服務(wù)器、郵件服務(wù)器、FTP文件服務(wù)器等多種類型資產(chǎn)，支持web業(yè)務(wù)系統(tǒng)自動(dòng)發(fā)現(xiàn)；支持批量確認(rèn)流量發(fā)現(xiàn)的資產(chǎn)。

4、支持風(fēng)險(xiǎn)資產(chǎn)歷史狀況對(duì)比，建立資產(chǎn)歷史風(fēng)險(xiǎn)檔案，監(jiān)控資產(chǎn)風(fēng)向變化趨勢(shì)，支持對(duì)歷史風(fēng)險(xiǎn)資產(chǎn)回溯及取證。

報(bào)表管理

1、主機(jī)安全風(fēng)險(xiǎn)報(bào)告：支持導(dǎo)出主機(jī)安全風(fēng)險(xiǎn)報(bào)告，報(bào)告內(nèi)容包括業(yè)務(wù)與終端風(fēng)險(xiǎn)摘要、業(yè)務(wù)風(fēng)險(xiǎn)與終端詳情分析，提供危害解釋和參考解決方案；適用于日常處理安全問題的運(yùn)維人員。

2、支持用戶自定義編輯報(bào)告模板，選擇的相應(yīng)統(tǒng)計(jì)報(bào)表組成要展示的報(bào)告內(nèi)容

3、綜合風(fēng)險(xiǎn)報(bào)告：支持導(dǎo)出完整綜合風(fēng)險(xiǎn)報(bào)告，報(bào)告內(nèi)容包括平臺(tái)說明、安全風(fēng)險(xiǎn)概括、業(yè)務(wù)與終端安全詳情分析、安全規(guī)劃建設(shè)建議等。

性能規(guī)格

（1）吞吐率≥2Gbps

（2）電源：1+1冗余

（3）內(nèi)存：≥32GB

（4）硬盤：容量>= 2T*2，帶RAID1，可用磁盤空間不小于2T；

（5）MTBF：大于65000小時(shí)

（6）標(biāo)準(zhǔn)接口：

1接口數(shù)量>=10

2管理口：Consle×1，USB×2,千兆RJ45網(wǎng)口×2

3業(yè)務(wù)口：千兆RJ45網(wǎng)口×4、千兆SFP光口×4（標(biāo)配千兆多模光模塊×2）、萬兆SFP光口×2（標(biāo)配萬兆多模光模塊×2）

威脅監(jiān)測(cè)

行為審計(jì)與可疑通信檢測(cè)

1、具備違規(guī)操作、違規(guī)訪問、違規(guī)應(yīng)用、數(shù)據(jù)外發(fā)等370種以上行為審計(jì)檢測(cè)規(guī)則，可針對(duì)任意單條規(guī)則進(jìn)行啟用和禁用；（投標(biāo)文件中提供相關(guān)的截圖證明）

2、具備隧道通信、可疑內(nèi)容、惡意IP、惡意域名、惡意證書、遠(yuǎn)程控制等1800種以上可疑通信檢測(cè)規(guī)則，可針對(duì)任意單條規(guī)則進(jìn)行啟用和禁用；

探測(cè)掃描檢測(cè)

3、具備端口掃描、主機(jī)存活掃描、服務(wù)掃描、Web掃描、掃描器指紋檢測(cè)等600種以上的探測(cè)掃描檢測(cè)規(guī)則，可針對(duì)任意單條規(guī)則進(jìn)行啟用和禁用；

漏洞利用檢測(cè)

4、具備SMB漏洞、RDP漏洞、軟件漏洞、設(shè)備漏洞、系統(tǒng)漏洞、拒絕服務(wù)漏洞、Shellcode等6700種以上漏洞利用檢測(cè)規(guī)則，可針對(duì)任意單條規(guī)則進(jìn)行啟用和禁用；

惡意程序檢測(cè)

5、具備挖礦活動(dòng)、流氓軟件、可疑文件、勒索軟件、僵木蠕、Webshell、惡意郵件等17000種以上惡意程序檢測(cè)規(guī)則，可針對(duì)任意單條規(guī)則進(jìn)行啟用和禁用；

配置風(fēng)險(xiǎn)檢測(cè)

6、具備弱口令風(fēng)險(xiǎn)、明文傳輸風(fēng)險(xiǎn)、HTTP配置風(fēng)險(xiǎn)、中間件配置風(fēng)向、數(shù)據(jù)庫配置風(fēng)險(xiǎn)、服務(wù)配置風(fēng)險(xiǎn)等300種以上配置風(fēng)險(xiǎn)檢測(cè)規(guī)則；

主機(jī)和賬號(hào)異常檢測(cè)

7、支持端口異常、主機(jī)對(duì)外掃描、主機(jī)對(duì)外攻擊等主機(jī)異常檢測(cè)，對(duì)任意單條檢測(cè)規(guī)則支持啟用和禁用；

8、支持登錄異常、暴力破解、行為異常等賬號(hào)異常檢測(cè)，對(duì)任意單條檢測(cè)規(guī)則支持啟用和禁用；

威脅規(guī)則總數(shù)

9、威脅檢測(cè)支持的規(guī)則總數(shù)37000種以上，且不斷優(yōu)化更新；

web攻擊檢測(cè)

10、★支持Webshell請(qǐng)求、XSS攻擊、SQL注入、遠(yuǎn)程代碼執(zhí)行、命令注入、遠(yuǎn)程文件包含、本地文件包含、文件上傳、路徑遍歷、信息泄露、越權(quán)訪問、XXE注入、網(wǎng)頁篡改、SSRF攻擊等16類Web攻擊檢測(cè)，具備9000種以上Web攻擊檢測(cè)規(guī)則，對(duì)任意單條檢測(cè)規(guī)則支持啟用和禁用；支持基于語義分析的SQL注入精準(zhǔn)檢測(cè)；

威脅情報(bào)

11、★支持對(duì)接威脅情報(bào)中心，支持離線和在線兩種情報(bào)更新方式，支持威脅情報(bào)碰撞檢測(cè)，提供前一日威脅情報(bào)命中告警數(shù)量；

抓包分析

12、★支持流量抓包分析，可定義接口、協(xié)議、抓包時(shí)長(zhǎng)、文件大小、IP、端口、過濾條件等；

檢測(cè)規(guī)則自定義

13、支持自定義檢測(cè)規(guī)則，可手動(dòng)添加或從模板導(dǎo)入規(guī)則，可定義規(guī)則名稱、規(guī)則等級(jí)、威脅類型、規(guī)則內(nèi)容、協(xié)議、IP、端口、會(huì)話方向、攻擊方向、參考信息、威脅描述、處置建議等；

檢測(cè)模式自定義

14、支持精準(zhǔn)模式、平衡模式、增強(qiáng)模式和自定義規(guī)則；

告警分析

告警研判

1、支持從請(qǐng)求頭、請(qǐng)求體、響應(yīng)頭、響應(yīng)體四個(gè)方面展示告警詳情，并對(duì)攻擊報(bào)文進(jìn)行高亮顯示；

2、對(duì)攻擊結(jié)果的判定，支持識(shí)別成功、嘗試和失敗行為；

3、支持對(duì)威脅告警進(jìn)行調(diào)查分析，針對(duì)威脅告警支持原始數(shù)據(jù)包取證分析，告警詳情支持查看、下載PCAP包，在告警頁面支持一鍵添加白名單；

告警歸并

4、支持展示高度聚合告警列表，對(duì)告警進(jìn)行自動(dòng)歸并；支持多維度告警查詢，支持威脅告警快速過濾，包括篩選、排除操作；

告警刷新檢索

5、支持威脅告警自動(dòng)刷新，刷新間隔可選擇；

資產(chǎn)管理

資產(chǎn)發(fā)現(xiàn)

支持根據(jù)探針的內(nèi)部IP配置或從態(tài)勢(shì)感知平臺(tái)同步的內(nèi)部IP配置從流量中進(jìn)行資產(chǎn)信息的識(shí)別，資產(chǎn)信息包括IP、MAC地址、首次發(fā)現(xiàn)時(shí)間、最近活躍時(shí)間、資產(chǎn)類型、發(fā)現(xiàn)來源、服務(wù)與端口、標(biāo)簽；

策略管理

流量采集

1、支持自定義流量采集策略，包括過濾策略和采集策略，支持根據(jù)IP和協(xié)議進(jìn)行過濾，包括DNS、FTP、HTTP、HTTPS、IMAP、KRB5、LDAP、POP3、RDP、SMB、SMTP、SSH、TELNET、TLS等；

弱口令檢測(cè)

2、頁面支持多種類型弱口令策略可選，支持的口令字典庫50000種以上；

3、支持自定義弱口令字典，可選不同格式弱口令，支持導(dǎo)入自定義弱口令列表；

4、WEB登錄參數(shù)靈活可配，支持字符串和正則表達(dá)式配置；

5、支持Base64編碼弱口令和md5散列弱口令檢測(cè)；

暴力破解

6、支持HTTP、FTP、Telnet、SMB、郵件（SMTP、POP3、IMAP）、RDP、MySQL、Oracle、SQL Server、PostgreSQL、Redis、Mongodb、SSH等暴力破解檢測(cè)，SSH暴力破解支持爆破登錄結(jié)果判定；

7、支持暴力破解檢測(cè)策略自定義，支持添加暴力破解管理員賬號(hào)檢測(cè)，支持添加暴力破解白名單功能；

掃描策略

8、支持端口掃描、主機(jī)IP掃描、Ping掃射，支持自定義告警閾值；

SSL流量檢測(cè)

9、支持導(dǎo)入服務(wù)器私鑰，對(duì)SSL加密流量進(jìn)行解析。

只支持解析以RSA加密方式加密的流量；

阻斷封禁

10、★支持添加阻斷策略，匹配條件包括威脅類型、規(guī)則ID、威脅等級(jí)，并可自定義阻斷策略的生效時(shí)間；

11、支持添加訪問封禁策略，用戶可配置單IP、指定源目的IP、多個(gè)端口進(jìn)行封禁，并可自定義訪問封禁策略的生效時(shí)長(zhǎng)；

管理功能

運(yùn)行監(jiān)控

1、★支持SNMP協(xié)議并可本地對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備的運(yùn)行狀態(tài)進(jìn)行監(jiān)控，可監(jiān)控系統(tǒng)CPU、內(nèi)存、磁盤、TOP CPU進(jìn)程、TOP內(nèi)存進(jìn)程使用情況、總流量、網(wǎng)口狀態(tài)、網(wǎng)口流量、網(wǎng)口丟包情況及數(shù)據(jù)外送量大小情況，界面可支持 CPU、內(nèi)存信息鉆取，實(shí)時(shí)查看各進(jìn)程CPU和內(nèi)存使用情況；

數(shù)據(jù)同步

2、支持通過Kafka、syslog接口向大數(shù)據(jù)安全分析平臺(tái)報(bào)送流量審計(jì)數(shù)據(jù)與風(fēng)險(xiǎn)告警信息，Kafka推送支持傳輸加密，支持SSL、SASL認(rèn)證+SSL、Kerberos認(rèn)證+SSL加密；

3、自定義配置：可在前端頁面自定義配置與大數(shù)據(jù)安全分析平臺(tái)之間的數(shù)據(jù)傳輸類型、各類型數(shù)據(jù)均支持任意字段的發(fā)送配置；

運(yùn)維管理

4、支持前端可視化進(jìn)行設(shè)備運(yùn)維操作，包括重啟設(shè)備、關(guān)機(jī)重啟服務(wù)、開關(guān)SSH服務(wù)等，可一鍵下載探針運(yùn)行日志，方便運(yùn)維人員日常運(yùn)維工作；

5、支持查看設(shè)備自身的系統(tǒng)告警日志信息，日志信息包括故障發(fā)生時(shí)間、故障等級(jí)、故障類別、故障詳情和處置建議，還支持通過故障等級(jí)、故障類別和故障發(fā)生時(shí)間對(duì)日志信息進(jìn)行查詢；

安全管理

6、支持屏幕水印，支持登錄失敗鎖定用戶、設(shè)置登錄密碼復(fù)雜度、密碼過期、用戶登錄IP綁定等安全策略。

兼容性

統(tǒng)一品牌

★要求流量分析探針和大數(shù)據(jù)安全分析平臺(tái)為同一品牌