· Web view采购人需求....
Transcript of · Web view采购人需求....
采购人需求
★本次采购产品为非进口产品(进口产品指通过中国海关报关验放进入中国境内且产自关境外的产品)。
★凡属于政府强制采购节能产品,请中标人在交货时提供《节能产品政府采购清单》中的产品。(注:《节能产品政府采购清单》投标人可查询中国政府采购网。)
★凡属于《中华人民共和国实施强制性产品认证的产品目录》的产品,交货时不能提供超出此目录范畴外的替代品,产品还须同时具备国家认证认可监督管理委员会颁布《中国强制认证》(CCC认证)。
★在中标公告发布之日起三个工作日内,采购人有权要求中标人提供中标的主要设备(互联网出口防火墙、综合日志审计系统、堡垒机、数据中心边界防火墙、态势感知平台、探针1、探针2、深度威胁安全网关1、深度威胁阿全网关2)产品送国家认可第三方实验室按照投标文件的性能参数进行测试,测试费用由中标人支付。不能提供样品或不能通过技术测试或测试结果与投标文件不符的视为虚假承诺,并报同级政府采购监督管理部门进行处理,导致整批货物被拒收和索赔,由此引发的所有损失由中标人负责。
★投标人必须承诺在中标后签订合同前提供主要产品(包括互联网出口防火墙、综合日志审计系统、堡垒机、数据中心边界防火墙、态势感知平台、探针1、探针2、深度威胁安全网关1、深度威胁阿全网关2)的针对本项目的原厂授权原件、售后服务承诺函原件、原厂出具的供货确认函原件并加盖厂家公章,如不能提供上述原件,则被视为非正常途径获取货品,采购人有权不接受设备。
★项目工期:合同签订之日起2个月内完成项目验收。
项目概况项目简介
广州市花都区人民医院创建于1950年,2005年12月被评定为南方医科大学附属花都医院;2010年被指定为广州亚运会定点医院;2012年2月被评为三级乙等医院。花都区内唯一一家综合性三级医院。
为促进信息化建设、应用、管理和服务水平的持续提高,以及参照《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》等标准开展信息系统安全差距评估、整改,并通过等级保护的测评工作。
建设目标
本项目的总体设计目标是:设计先进的、功能完备的、安全、可靠、可实施的广州市花都区人民医院信息化安全支撑平台,对广州市花都区人民医院的数字医院建设提供有力支撑,满足未来5-10年的发展需求;同时全面提升广州市花都区人民医院信息系统的安全保护水平,并顺利的通过等级保护测评。
建设规模
信息安全等级保护方案设计:包括广州市花都区人民医院HIS系统、LIS系统、PACS系统、OA系统和财务信息系统的安全等级保护建设。
建设周期
项目建设周期预计为2个月,2个月后完成项目验收。
项目技术需求建设原则
· 全方位提升网络和信息系统实体的安全性、抗攻击性
安全性设计从全方位、多层次加以考虑,即通过物理层、链路层、网络层、系统层、应用层等的安全技术措施以及安全管理来确实保证系统的整体安全。保证各种相关的网络和系统具有相当的抗攻击性,能够检测并及时对各种攻击行为做出响应。
· 信息系统的可用可靠性、安全性和保密性
首先关注系统的可用性和可靠性,在可用可靠性基础上,进一步强调安全性和保密性问题,即信息在存储或传输过程中保持不被修改、不被破坏和不丢失。对信息的使用进行相关的授权。信息的传输和传播的过程进行相关的控制、监视和跟踪。
· 强调系统运行状态的可控性
强调对全网上各种资源的度量和监管,对整个网络和系统的相关状况进行实时监控,对应用服务、数据和资源的使用进行监控。对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制。
· 安全系统的可管理性
采用“技术+管理”并重的模式,强调系统的可管理性,通过管理措施、机制和技术相结合,做到事先防范,事后补救;从人的角度考虑,通过安全教育与培训,提高工作人员安全方面的意识和技术素质;通过建立各种安全管理制度,提高员工的安全意识,规范员工的行为,主动自觉地利用各种工具去加强安全性;通过各种技术手段,建立所有相关安全产品的管理体系。
· 需求、风险、代价平衡的原则
对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
· 先进性原则
医院的安全有一个先进水平的安全。具体的技术和技术方案应保证整个系统在当前具有的技术先进性。
· 可扩展性原则
医院的信息化安全建设方案设计是针对其自身设计的安全方案,适应整个医院网络系统的现状以及需求,所采取的措施随着网络性能及安全需求的变化而变化,容易升级,具有良好的扩展性。
· 多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
· 标准性原则
设计医院的信息化安全,要根据国家相关的法律法规、技术规范和标准,同时也符合国家卫生厅相关信息化建设标准。
· 易操作性原则
大部分的安全措施需要人为去完成,如果措施过于复杂,对人员的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。
现状问题描述
· 网络设备自身存在的安全弱点
广州市花都区人民医院网络中部署的网络设备,如路由器、交换机等,存在固有的或配置、使用上的安全弱点,一旦被暴露,可能导致网络设备自身的不安全。例如对网络设备登录用户的身份鉴别机制过于简单,对用户的登录和访问行为缺少控制和审计,对特权用户没有进行权限分离等。
· 安全设备自身存在的安全弱点
广州市花都区人民医院网络中部署的安全设备,如防火墙等,存在固有的或配置、使用上的安全弱点,一旦被暴露,可能导致安全设备自身及整个网络系统的不安全。例如对安全设备登录用户的身份鉴别机制过于简单,对用户的登录和访问行为缺少控制和审计,对特权用户没有进行权限分离等。另外,采用国外安全设备,在安全设备国产化趋势下,国外设备容易存在安全后门,对信息系统是一个致命的风险点。
· 主机系统自身存在的安全弱点
目前的操作系统或应用平台系统无论是Windows、UNIX、类UNIX操作系统以,都不可能是百分之百的无缺陷和无漏洞的。一旦系统中存在的漏洞和缺陷被暴露,就给入侵者进行非法操作提供了便利。另外,从实际应用上,系统的安全程度跟对其进行安全配置及系统的应用方式也有很大关系,系统如果没有采用相应的访问控制和授权机制,那么掌握一般攻击技术的人都可能入侵得手。
· 应用系统自身存在的安全弱点
各种通用的应用平台程序,如数据库管理系统、Web Server程序,FTP服务程序,E-mail服务程序,浏览器,MS Office办公软件等,以及为业务系统专门开发的应用程序,其自身的安全漏洞和由于配置不当造成的安全漏洞会导致整个网络的安全性下降。常见的应用系统安全弱点包括:
源程序中存在的BUG,被利用发起攻击,造成业务应用被中断;
源程序中出于程序调试的方便,人为设置许多“后门”,一旦被黑客利用后,将直接通过“后门”控制系统;
应用系统自身很弱的身份认证,使得黑客获得访问应用系统的权限,从而访问到业务系统的敏感信息,造成信息外泄;
应用系统的用户名和口令以明文方式被传递,容易被截获,从而发起对系统的非授权访问;
各种可执行文件成为病毒的直接攻击对象。
应用系统是动态的、不断变化的,应用的安全性也动态的,这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。
· 工作人员自身存在的安全弱点
如何安全的设备和系统离不开人的管理,再好的安全策略最终要靠人来实现,因此IT运维和管理人员是整个信息系统安全中极为重要的一环。IT管理人员的安全意识薄弱或安全操作水平不足将给信息系统造成极大的安全隐患。
需求分析国家信息安全等级保护合规性需求分析
根据《信息安全等级保护管理办法》的规定,信息系统按照重要性和被破坏后对国家安全、社会秩序、公共利益的危害性分为五个安全保护等级。不同安全保护等级的信息系统有着不同的安全需求,为此,针对不同等级的信息系统提出了相应的基本安全保护要求,各个级别信息系统的安全保护要求构成了GB/T22239-2008《信息系统安全等级保护基本要求》(以下简称《基本要求》)。
《基本要求》分为基本技术要求和基本管理要求两大类,其中技术要求又分为物理安全、网络安全、主机安全、应用安全、数据安全及其备份恢复五个方面,管理要求又分为安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运行维护管理五个方面。
技术要求主要包括身份鉴别、自主访问控制、强制访问控制、安全审计、完整性和保密性保护、边界防护、恶意代码防范、密码技术应用等,以及物理环境和设施安全保护要求。技术类安全要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确配置其安全功能来实现。根据保护侧重点的不同,技术类安全要求进一步细分为信息安全类要求(简记为S)、服务保证类要求(简记为A)和通用安全保护类要求(简记为G)。信息安全类要求是指保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改;服务保证类要求是指保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用。技术要求整体框架如下图所示:
管理要求主要包括确定安全策略,落实信息安全责任制,建立安全组织机构,加强人员管理、系统建设和运行维护的安全管理。管理类安全要求与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。在管理要求中提出了机房安全管理、网络安全管理、系统运行维护管理、系统安全风险管理、资产和设备管理、数据及信息安全管理、用户管理、安全监测、备份与恢复管理、应急处置管理、密码管理、安全审计管理等基本安全管理制度要求,提出了建立岗位和人员管理制度、安全教育培训制度、安全建设整改的监理制度、自行检查制度等要求。管理要求整体框架如下图所示:
由于信息系统分为五个安全保护等级,其安全保护能力逐级增高,相应的安全保护要求和措施逐级增强,体现在两个方面:一是随着信息系统安全级别提高,安全要求的项数增加;二是随着信息系统安全级别的提高,同一项安全要求的强度有所增加。例如,三级信息系统基本要求是在二级基本要求的基础上,在技术方面增加了网络恶意代码防范、剩余信息保护、抗抵赖等三项要求。同时,对身份鉴别、访问控制、安全审计、数据完整性及保密性方面的要求在强度上有所增加;在管理方面增加了监控管理和安全管理中心等两项要求,同时对安全管理制度评审、人员安全和系统建设过程管理提出了进一步要求。
计算环境需求分析
根据前期差距分析结果,找出了需要测评的信息系统存在不同的问题,该信息系统如果想达到等级保护三级关于安全计算环境的要求,还需要满足以下需求:
运维堡垒机:该信息系统无法实现管理员对网络设备和服务器进行管理时的双因素认证,需要部署堡垒机来实现。
主机审计(服务器增强系统或者服务器加固):该信息系统中的主机自身安全策略配置不能符合要求,需要进行服务器加固。
资源监控:该信息系统无法实现对整个计算环境的资源监控,建议部署应用性能管理系统进行资源监控。
区域边界需求分析
根据前期差距分析结果,该信息系统如果想达到等级保护三级关于安全区域边界的要求,还需要满足以下需求:
边界访问控制:该信息系统无法实现对边界的访问控制,需要部署下一代署防火墙等安全设备来实现。
边界入侵防范:该信息系统需求进行入侵防范,需要部署具备入侵防范的等安全设备来实现。
边界恶意代码过滤:该信息系统边界需要部署网关杀毒设备,进行边界恶意代码过滤,需要部署防病毒网关或者具备防病毒功能的安全设备来实现。
防web攻击:服务器防护的攻击威胁比较大,对于应用层的防护需要进行加固,需要部署应用层防护设备或者下一代署防火墙等安全设备来实现。
互联网出口安全审计:目前已经部署一套深信服网络安全审计管理设备,出口核心设备应双机冗余部署,需要加点网络安全审计等安全设备来实现。
安全管理中心需求分析
根据前期差距分析结果,该信息系统如果想达到等级保护三级关于安全管理中心的要求。
采购清单
序号
产品
参数
单位
数量
备注
1
互联网出口防火墙
8个千兆电口并发连接≥ 100万吞吐量≥8Gbps;
台
1
互联网接入区
2
综合日志审计系统
事件采集可达到10000EPS,事件关联分析可达到3000EPS,事件入库性能可达5000EPS,内置1TB磁盘存储空间。包括了150个日志审计节点许可
台
1
内网安全管理区
3
堡垒机
授权管理节点达200个;支持集中管理;资源授权管理;集中账号管理、集中身份认证、集中访问授权、集中审计。
台
1
内网安全管理区
4
数据中心边界防火墙
6个千兆电口,4个千兆光口,4个万兆光口并发连接≥ 220万;吞吐量≥16Gbps;
台
2
数据中心区
5
态势感知平台
资产和业务访问关系可视、分支安全可视、业务外联可视、失陷用户检测、风险业务发现、 风险用户发现、支持报表导出、事件告警
台
1
内网安全管理区
6
探针1
4个千兆电口;2个千兆光口;并发连接≥ 150万;吞吐量≥6Gbps
台
1
内网核心交换区
7
探针2
6个千兆电口;4个千兆光口;并发连接≥ 200万;吞吐量≥16Gbps
台
1
数据中心区
8
深度威胁安全网关1
吞吐6G,最大会话320万,每秒新建9万
台
1
互联网接入区
9
深度威胁安全网关2
吞吐3G,最大会话160万,每秒新建5万
台
1
专网接入区
10
安全加固
针对本次测评的5个系统根据系统安全巡检评估结果,提供整改方案,指导用户对存在安全威胁的服务器、网络设备、数据库、Web应用等进行安全加固,包括系统漏洞、配置、木马等威胁加固。服务期为1年
年
1
11
漏洞扫描
每季度对全网进行一次漏洞扫描检查,提供扫描报告和分析。服务期为1年
年
1
主要设备技术参数要求互联网出口防火墙
技术指标
指标要求
★硬件规格性能
标准1U的规格,内存≥4G,硬盘SSD ≥128G,单电源,≥8电网口;
性能参数:三层吞吐量≥8G,应用层吞吐量≥1.5G,并发连结数≥200W,新建连接数(CPS)≥80000个,SSL VPN接入数(最大)≥1000个,SSL最大加密流量≥250M ,IPSec VPN隧道数(最大)≥1000个,IPSec VPN加密速度≥200M;
部署方式
支持路由,网桥,单臂,旁路,虚拟网线以及混合部署方式;
路由支持
支持多链路出站负载,支持基于源/目的IP、源/目的端口、协议、应用类型以及国家地域来进行选路的策略路由选路功能;
基本级功能
访问控制规则支持数据模拟匹配,输入源目的IP、端口、协议五元组信息,模拟策略匹配方式,给出最可能的匹配结果,方便排查故障,或环境部署前的调试;
支持根据国家/地区来进行地域访问控制;
能够识别管控的应用类型超过1200种,应用识别规则总数超过3000条;
数据内容安全
支持针对SMTP、POP3、IMAP邮件协议的内容检测,如邮件附件病毒检测、邮件内容恶意链接检测,邮件账号撞库攻击检测等,支持根据邮件附件类型进行文件过滤;(投标时提供相关功能截图证明)
入侵防御
设备具备独立的入侵防护漏洞规则特征库,特征总数在7100条以上;(投标时提供相关功能截图证明)
支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP、POP3、 RDP、Rlogin、SMB、Telne、Weblogic、VNC)和数据库软件(MySQL、Oracle、MSSQL)的口令暴力破解防护功能;
具备防护常见网络协议(SSH、FTP、RDP、VNC、Netbios)和数据库(MySQL、Oracle、MSSQL)的弱密码扫描功能;
威胁情报预警检测处理
可提供最新的威胁情报信息,能够对新爆发的流行高危漏洞进行预警和自动检测,发现问题后支持一键生成防护规则;
Web应用安全
设备具备独立的WEB应用防护识别库,特征总数在3400条以上;(需提供相关功能截图证明)
支持服务器资产自动识别;
支持对网站的扫描防护和防止恶意爬虫攻击;支持其他类型的Web攻击,如文件包含,目录遍历,信息泄露攻击等;
支持针对网站的漏洞扫描进行防护,能够拦截漏洞扫描设备或软件对网站漏洞的扫描探测;
▲支持Web漏洞扫描功能,可扫描检测网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞;(投标时提供相关功能截图证明)
支持Windows和Linux系统下网页防篡改功能;
黑链检测功能
▲支持对网站黑链进行检测,能够展示黑链类型、分布,并能发现黑链主机给出解决办法;(投标时提供相关功能截图证明)
防护增强级功能
为保障安全防御效果,要求所投设备具备基础防火墙功能、ACL、NAT、入侵行为防御功能、WEB应用防护、僵尸网络识别、网页篡改、风险分析、WEB扫描、实时漏洞分析、威胁情报预警与处置等功能
僵尸主机检测
设备具备独立的僵尸网络识别库,特征总数在40万条以上;(需提供相关功能截图证明)
支持对终端已被种植了远控木马或者病毒等恶意软件进行检测,并且能够对检测到的恶意软件行为进行深入的分析,展示和外部命令控制服务器的交互行为和其他可疑行为;(需提供相关功能截图证明)
对于未知威胁具备同云端安全分析引擎进行联动的能力,上报可疑行为并在云端进行沙盒检测,并下发威胁行为分析报告;
支持通过云端的大数据分析平台,发现和展示整个僵尸网络的构成和分布,定位僵尸网络控制服务器的地址;
安全可视化
支持资产的自动发现以及资产脆弱性和服务器开放端口的自动识别; 支持对检测到的攻击行为按照IP地址的地理位置信息进行威胁信息动态展示,实时监测和展示最新的攻击威胁信息; 支持自动生成安全风险报表,报表内容体现被保护对象的整体安全等级,发现漏洞情况以及遭受到攻击的漏洞统计,具备有效攻击行为次数统计和攻击举证;
支持受保护业务和用户的关联安全事件展示;
支持以攻击链方式来匹配和展示资产遭受到的攻击行为;
策略调优
▲支持对防火墙设备策略在线调优,策略优化使设备处于最佳状态;支持线上巡检,自动化巡检简化运维,包括设备硬件状态、设备软件状态、版本信息、策略信息、网络基础状态。支持对安全事件的告警,包括黑链检测 Webshell检测高级黑客攻击、密集型攻击、持续型攻击、僵尸网络、外发DOS攻击等。并支持微信端告警。(投标时提供微信端事件通知证截图明和云端值守页面截图证明)
安全运营中心
支持能够动态展示安全问题,包括风险评估、动态保护、检测与分析、待办事项等,及时发现网络中的安全问题。
云安全服务
▲可以支持叠加云端安全服务实现对设备的托管,由云端安全专家对设备进行日志分析和策略配置调整,并按月输出运营月报,提供界面配置接口,后续开通在线安全服务后即可实现数据分析。(投标时提供设备配置界面截图)
安全集中管理
支持接入统一的安全监测平台,通过安全监测平台可以实时看到每台安全设备的详细安全状态信息,包括安全评分级别、最近有效事件、有效事件趋势、用户安全统计、服务器安全统计和攻击来源统计;
安全监控平台可以查看到每台安全设备最近的有效安全事件及安全有效事件趋势图,支持根据每台安全设备的最近的安全趋势进行安全状况分级;
安全规则库要求
▲要求设备具备独立的IPS漏洞特征识别库、WEB应用防护识别库、实时漏洞分析识别库、数据泄露防护识别库、僵尸网络识别库、云防护规则库、应用识别库、IP地址库、自定义规则库等;(投标时提供规则库截图证明)
系统配置管理
支持安全策略一体化配置,通过一条策略既可实现不同安全功能的配置;
支持场景化的配置向导功能,可以选择不同的部署方式以及使用场景实现产品的快速实施;
产品成熟度要求
▲为保障安全应急服务能力,要求设备生产单位为网络安全应急服务支撑单位证书(国家级)(投标时提供相关证明文件)
厂商具备CMMI L5认证证书,提供证书复印件并加盖厂家公章
厂商为中国网络安全领导者,有不少于五个网络产品入围全球权威的IT研究与顾问咨询公司GARTNER的魔力象限(提供所有入围Gartner魔力象限产品的报告,以报告数量为准)
要求所投防火墙产品符合公安部第二代防火墙标准(GA/T 1177-2014)的要求,并提供公安部颁发的第二代防火墙销售许可证;
综合日志审计系统
技术指标
指标要求
★基础性能
★专用硬件平台和安全操作系统,事件采集可达到10000EPS,事件关联分析可达到3000EPS,事件入库性能可达5000EPS,内置1TB磁盘存储空间。外观:标准1U机架式。6个10/100/1000M Base-T电口(RJ45),另外可扩展千兆以太网络模块2光\4光\8光\4电\8电。1个Console口,支持Console口管理。冗余电源。包括了150个日志审计节点许可
部署模式
支持单一部署,也支持级联部署
管理中心内嵌数据库,用户无需另外安装数据库管理系统
使用模式
界面100%都是B/S模式,无需安装客户端,使用IE浏览器访问管理中心,浏览器端无需安装Java运行环境。
管理范围
能够对企业和组织的IT资源中构成业务信息系统的各种网络设备、安全设备、安全系统、主机操作系统、数据库、中间件以及各种应用系统的日志、事件、告警等安全信息进行全面的审计。
审计对象
支持审计各种网络设备(路由器、交换机、等)配置日志、运行日志、告警日志等;
支持审计各种安全设备(防火墙、IDS、IPS、VPN、防病毒网关,网闸,防DDOS攻击,Web应用防火墙、等)配置日志、运行日志、告警日志等;
支持审计各种主机操作系统(包括Windows,Solaris, Linux, AIX, HP-UX,UNIX,AS400)配置日志、运行日志、告警日志等;
支持审计各种数据库(Oracle、Sqlserver、Mysql、DB2、Sybase、Informix)配置日志、运行日志、告警日志等;
支持审计各种中间价(tomcat、apache、webshpere、 weblogic等)配置日志、运行日志、告警日志等;
支持各种应用各种应用系统(邮件,Web,FTP,Telnet、等)配置日志、运行日志、告警日志等;
以及用户自己的业务系统的日志、事件、告警等安全信息进行全面的审计。
采集方式
支持通过syslog、snmp trap、netflow、jdbc、odbc、agent代理、wmi等多种方式完成各种日志的收集功能;
对windows服务器(系统、应用和安全)日志和文件类型日志,可免日志代理或插件,支持用户环境中EVT格式的业务系统日志采集。
资产管理
按照设备资产重要程度和管理域的方式组织设备资产,提供便捷的添加、修改、删除、查询与统计功能;
支持资产信息的批量导入和导出,便于安全管理和系统管理人员能方便地查找所需设备资产的信息,并对资产进行关键度赋值;
支持自定义资产属性;
▲支持对资产日志进行过滤,设置允许接收和拒绝接收日志,并可以对资产设置一定时间范围内未收到事件后进行主动告警。(投标时提供相关功能截图证明)
日志归一化
支持采集一化后的日志和保留原始日志,方便用户对关键日志快速定位,和事后取证;
▲日志收集后进行字段和安全等级的归一化处理,系统归一化字段不少于50个字段,并至少有8个可自定义字段(投标时提供相关功能截图证明)
▲系统提供灵活简单的归一化方式,对系统新增的日志类型只需修改配置文件即可支持,不需修改系统程序(投标时提供相关功能截图证明)
日志归并
支持对事件名称、源地址、源端口、目的地址、目的端口相同的进行归并,条件可以多种组合;支持对指定设备类型或者符合指定条件的日志进行归并,其他设备发送的将不进行归并;支持对事件个数深度和事件时间深度进行归并。
日志查询
所有日志采用统一的日志查询界面,支持自定义查询场景,并以树形结构组织保存;
支持原始消息中的关键字查询,可进行全文检索;
查询显示查询记录总数,当前查询耗时,可对查询结果跳转到指定页数;
查询结果可支持导出、支持对查询结果任意字段进行排序;
支持设备地址、源地址、目的地址等IP地址条件按照IP段和网段进行查询。
实时监视
支持实时的日志滚动显示,可通过雷达图等直观显示目前日志量和日志详细信息。
支持对实时展示的字段进行选择,调整字段顺序,修改显示字段别名。
双击单条日志显示详细信息,支持左右布局和上下布局。
支持自定义实时监视场景,提供可视化规则编辑视图,对关注的事件进行实时展示。(投标时提供相关功能截图证明)
支持鼠标放在日志对应字段上界面可悬浮提示资产信息和常用端口信息(投标时提供相关功能截图证明)
实时分析
可对收集的日志进行分类实时分析和统计,从而快速识别安全事故;
分析统计结果支持柱图、饼图、曲线图等形式并自动实时刷新,图表数据支持数据下钻;
支持统计分析的时长设定,分析结果支持导出报表PDF,HTML,RTF,XLS,PNG,DOCX,XLSX;
▲支持自定义实时分析场景,提供可视化规则编辑视图,根据实际业务编写分析规则;(投标时提供相关功能截图证明)
用户在实时监视的过程中如果发现某条事件的相关属性需要持续予以关注,可以将该事件分配到黑白名单中;
▲支持对于关联事件进行追溯,查看导致该关联事件的所有原始事件。(投标时提供相关功能截图证明)
可视化展现
▲能够在世界地图上实时定位事件源/目的IP地址的地理位置(包括二维及三维显示方式);(投标时提供相关功能截图证明)
系统能够将数千条事件记录及其这些事件之间的关联关系变成一幅事件图,形象地展现出一段时间内的用户访问行为。
关联分析
系统支持异常行为分析,维护一个与用户信息系统相关的合法账号的正常行为集合,以此区分入侵者的行为和合法用户的异常行为;
系统提供可视化规则编辑器,对告警规则进行增删改查。
系统内置针对服务器和其他安全设备的访问ip地址、访问账户和访问时间的访问控制规则;
告警规则可按照树型结构组织,并可在该树型结构上直接查看该规则的告警信息,对告警日志可按各告警字段进行分组排序。
▲可对不同类型设备的日志之间进行关联分析,支持递归关联,统计关联,时序关联,这几种关联方式能同时应用于一个关联分析规则;(投标时提供相关功能截图证明)
告警管理
通过关联分析,对于发现的严重事件可以进行自动告警,告警内容支持用户自定义字段;告警方式包括邮件、短信、SNMP Trap、Syslog、MSN、飞鸽传书、设备联动等;
响应方式包括:自动执行预定义脚本,自动将事件属性作为参数传递给特定命令行程序。
报表管理
提供丰富的报表管理功能,预定义了针对各类服务器、网络设备、防火墙、入侵检测系统、防病毒系统、终端安全管理系统、数据库、策略变更、流量,设备事件趋势以及总体报表,满足等保等其他合规性要求;根据时间、数据类型等生成报表,提供打印、导出以及邮件送达等服务;直观地为管理员提供决策和分析的数据基础,帮助管理员掌握网络及业务系统的状况。报表可以保存为html,excel,文本,pdf等多种格式。
提供自定义报表,用户可根据自身需要进行定制。报表可根据设置自动运行,调度生成日报、周报和月报。(投标时提供相关功能截图证明)
备份归档
支持使用在线和离线方式存储数据,支持数据备份到远程服务器;
支持按周期的方式选择备份,支持原始日志与分析后日志分离,支持历史日志恢复导入;
支持各种配置项的备份和导入。支持各种配置项的一键备份和恢复;
当磁盘空间日志存储量达到一定百分比时可设定为删除磁盘中的历史日志或接收的日志不再入库,并进行告警;手动备份和恢复时,可以显示恢复和备份的进度。
监控主页
▲系统应提供从总体上把握日志告警和日志统计分析的实时综合性监控界面。界面由多个监控组件组成,用户可以自定义监控主页。(投标时提供相关功能截图证明)
系统管理
采用基于角色的权限管理机制,通过角色定义支持多用户访问;
支持禁止与允许用户访问日志审计系统的IP地址限制;
支持三权分立;
系统自身的健康状况监控,包括CPU、内存、磁盘的利用率;
系统口令错误次数可设置,超过错误次数锁定,锁定时间可设置。
级联管理
支持上下数据级级联转发;
系统认证
产品内部的各个组件之间通信都支持加密传输,浏览器访问管理中心支持HTTPS;
浏览器支持session过期保护,支持超时退出机制;
支持用户名密码认证方式,认证时需要提供验证码,用户身份鉴别失败的次数达到设定阈值时,产生系统告警消息,通知授权管理员;支持动态口令认证。
IPv6支持
系统支持IPv6网络环境。
产品资质
公安部《计算机信息系统专用产品销售许可证》,(行标-三级)
国家保密局《涉密信息系统产品检测证书》
中国信息安全认证中心《中国国家安全产品认证证书》(3C),增强级
《计算机软件著作权登记证书》
专用SecOS操作系统,具有《计算机软件著作权登记证书》 硬件
堡垒机
技术指标
指标要求
★基础性能
1U标准服务器架构,可管理对象数量≥200个,硬盘容量≥2*1T SATA硬盘,支持raid1,内存≥4G,网口2个千兆网口,图形操作并发数≥100个,字符操作并发数≥500个
支持协议类型
支持Telnet、SSH、RDP、VNC、XWIN、SCP、FTP、SFTP协议;
可通过应用发布实现对IE、pcomm、plsql、Vcenter等应用程序/客户端的扩展支持;
支持操作终端类型
支持windows、linux、MAC OS等类型、各版本的操作终端;
支持IE、chrome、firefox、MyIE等类型、各版本的浏览器;
电子工单
产品内置电子工单,运维人员可以在产品的web界面,手动填写电子工单,填写的内容至少应包括:用户账号、设备资源、系统账号、协议类型、要执行的命令、时间窗口、审批人;工单经审批通过后,运维人员可立即取得相应访问权限;(投标时提供相关功能截图证明);
堡垒机用户帐号管理
▲内置TOTP方式的动态双因素认证,用户不需要额外部署认证服务器;(投标时提供相关功能截图证明)
支持自定义MIX组合认证功能,即两类认证方式组合为一种新的认证,以加强安全认证强度;
支持与第三方认证,如AD域、LDAP、radius、ISO8583认证整合;
目标设备管理
设备自动发现
支持针对某些地址、地址段内的目标设备自动发现和批量导入功能;
rdp连接视图
针对windows server登录,用户通过堡垒机登录时,鼠标放到rdp协议图标上时,可以自动列出该windows设备当前远程连接数量;(投标时提供相关功能截图证明)
应用发布
支持remoteAPP方式的应用发布,确保通过堡垒机打开应用程序后,无任何多余页面背景,如同在本地打开一样;
支持同时通过堡垒机打开多个应用程序,并能通过ALT+TAB键进行程序切换;
▲支持堡垒机与应用发布服务器之间的用户账号自动同步;(投标时提供相关功能截图证明)
权限控制
访问权限控制
支持同时以用户(用户组)、目标设备(设备组)、系统帐号、协议类型、所在部门、时间段、来源IP为核心要素,来设置多对多的访问控制策略;
▲支持访问控制策略一键克隆;(投标时提供相关功能截图证明);
针对高敏设备,支持用户登录时候的二次授权;授权码可采用“专用授权PIN码+内置的动态双因素认证码”, 避免授权密码外泄带来的安全风险;
命令权限控制
可跟据用户(用户组)、目标设备(设备组)、系统帐号、命令集和生效时间来设置详细的命令权限控制策略,支持命令黑白名单和命令正则表达式;
对于高危指令,支持用户执行时候的二次复核,只有被管理员复核通过,才可被执行;
URL白名单控制
▲支持通过堡垒机,打开浏览器访问目标设备(如防火墙)后的URL输入白名单控制,即用户只可以登录被许可范围内的URL;(投标时提供相关功能截图证明)
数据库连接限制
支持通过堡垒机,打开oracle客户端访问目标数据库时候的数据库连接限制,限制内容包含:OCI_HOST、Service_Name和OCI_PORT;
会话共管
▲对于图形操作会话支持多人会话共管,即当前运维人员可以邀请其他的堡垒机用户参与当前操作会话中,同时也可以将被邀请人权限;(投标时提供相关功能截图证明)
自动运维
自动脚本任务
管理员可以根据设备/设备组、系统账号、时间、脚本内容(自定义),创建自动脚本任务;该任务到期自动执行,执行的结果自动发送给相关管理员;
网络设备配置自动备份
支持定期自动备份指定的网络设备上的配置信息,备份结果可以自动加密发送给相关管理员或特定文件服务器,加密方式支持GPG和ZIP两种;
并发限制
▲支持自动脚本任务和自动网络设备配置备份执行时的并发数量限制,并发数量可在web界面调整;(投标时提供相关功能截图证明)
自动改密
改密计划
可以根据设备(设备组)、系统帐号、时间、频率、改密方式生成详细的改密计划,到期自动执行;改密方式至少可以支持随机生成不同密码、自动设置相同密码、手动指定密码、随机定制密码;改密结果自动加密发送给密码保管员;
改密容错
支持预改密功能:在密码修改前由堡垒机自动发送预改密邮件/文件出去,以能否成功发送作为是否执行改密计划的前提;
支持密码校验机制:堡垒机保存新、旧两份密码,在设备改密出现异常时,可以通过校验登录,确认目标设备的正确密码;
具备密码拨测功能,即在系统完成密码修改之后,自动进行新密码登录测试,以便进一步校验密码修改结果;
操作审计
命令操作审计
▲拥有专利技术,实现对各种非常规指令操作的100%识别;(投标时提供相关功能截图证明)
支持从任一条命令点开始回放用户的操作过程;回放过程支持暂停和整行快放操作;
▲支持对用户命令操作的输入输出,在同一界面展示,并能自动以不同颜色标记出被系统拒绝、切断的操作;(投标时提供相关功能截图证明)
图形操作审计
具备OCR图形识别技术,可以对图形操作过程中的键盘鼠标操作、剪贴板操作、标题栏操作、图形界面文字模糊识别四大类信息,进行文本审计;
可根据文本审计的内容为关键字进行图形搜索,搜索出来的结果可以直接定位到相关图形画面进行回放;
▲支持以2M会话流量或者15分钟操作时长为标准的会话缩略图切片展示功能;(投标时提供相关功能截图证明)
实时监控
支持对任意类型的活动会话进行无延时的实时监控和实时切断;
统计报表
TOP N报表
支持报表热点功能,即只根据特定类型的TOP N数据来生成报表;
自动报表
管理员可以手动定制报表模版,并支持根据不同模版自动生成日报、周报、月报,报表内容自动发送给相关管理员;
数据中心边界防火墙
技术指标
指标要求
★硬件及性能要求
标准2U规格;存储SATA ≥1T;配置冗余双电源;标配≥6个千兆电口,≥4个千兆光口,≥4个万兆光口,1个串口(RJ45),2个USB 2.0;
三层吞吐量≥16Gbps,应用层吞吐量≥8Gbps;并发连接数≥250W,新建连接数≥25W;SSL VPN最大并发接入数≥1000,SSL最大加密流量≥400Mbps;IPSec VPN推荐接入隧道数≥1000,IPSec VPN加密速度≥600Mbps;
部署方式
支持路由,网桥,单臂,旁路,虚拟网线以及混合部署方式;
路由支持
支持多链路出站负载,支持基于源/目的IP、源/目的端口、协议、应用类型以及国家地域来进行选路的策略路由选路功能;
基本级功能
访问控制规则支持数据模拟匹配,输入源目的IP、端口、协议五元组信息,模拟策略匹配方式,给出最可能的匹配结果,方便排查故障,或环境部署前的调试;
支持根据国家/地区来进行地域访问控制;
能够识别管控的应用类型超过1200种,应用识别规则总数超过3000条;
数据内容安全
支持针对SMTP、POP3、IMAP邮件协议的内容检测,如邮件附件病毒检测、邮件内容恶意链接检测,邮件账号撞库攻击检测等,支持根据邮件附件类型进行文件过滤;(投标时提供相关功能截图证明)
入侵防御
设备具备独立的入侵防护漏洞规则特征库,特征总数在7100条以上;(投标时提供相关功能截图证明)
支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP、POP3、 RDP、Rlogin、SMB、Telne、Weblogic、VNC)和数据库软件(MySQL、Oracle、MSSQL)的口令暴力破解防护功能;
具备防护常见网络协议(SSH、FTP、RDP、VNC、Netbios)和数据库(MySQL、Oracle、MSSQL)的弱密码扫描功能;
威胁情报预警检测处理
可提供最新的威胁情报信息,能够对新爆发的流行高危漏洞进行预警和自动检测,发现问题后支持一键生成防护规则;
Web应用安全
设备具备独立的WEB应用防护识别库,特征总数在3400条以上;(需提供相关功能截图证明)
支持服务器资产自动识别;
支持对网站的扫描防护和防止恶意爬虫攻击;支持其他类型的Web攻击,如文件包含,目录遍历,信息泄露攻击等;
支持针对网站的漏洞扫描进行防护,能够拦截漏洞扫描设备或软件对网站漏洞的扫描探测;
▲支持Web漏洞扫描功能,可扫描检测网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞;(投标时提供相关功能截图证明)
支持Windows和Linux系统下网页防篡改功能;
黑链检测功能
▲支持对网站黑链进行检测,能够展示黑链类型、分布,并能发现黑链主机给出解决办法;(投标时提供相关功能截图证明)
防护增强级功能
为保障安全防御效果,要求所投设备具备基础防火墙功能、ACL、NAT、入侵行为防御功能、WEB应用防护、僵尸网络识别、网页篡改、风险分析、WEB扫描、实时漏洞分析、威胁情报预警与处置等功能
僵尸主机检测
设备具备独立的僵尸网络识别库,特征总数在40万条以上;(需提供相关功能截图证明)
支持对终端已被种植了远控木马或者病毒等恶意软件进行检测,并且能够对检测到的恶意软件行为进行深入的分析,展示和外部命令控制服务器的交互行为和其他可疑行为;(需提供相关功能截图证明)
对于未知威胁具备同云端安全分析引擎进行联动的能力,上报可疑行为并在云端进行沙盒检测,并下发威胁行为分析报告;
支持通过云端的大数据分析平台,发现和展示整个僵尸网络的构成和分布,定位僵尸网络控制服务器的地址;
安全可视化
支持资产的自动发现以及资产脆弱性和服务器开放端口的自动识别; 支持对检测到的攻击行为按照IP地址的地理位置信息进行威胁信息动态展示,实时监测和展示最新的攻击威胁信息; 支持自动生成安全风险报表,报表内容体现被保护对象的整体安全等级,发现漏洞情况以及遭受到攻击的漏洞统计,具备有效攻击行为次数统计和攻击举证;
支持受保护业务和用户的关联安全事件展示;
支持以攻击链方式来匹配和展示资产遭受到的攻击行为;
策略调优
▲支持对防火墙设备策略在线调优,策略优化使设备处于最佳状态;支持线上巡检,自动化巡检简化运维,包括设备硬件状态、设备软件状态、版本信息、策略信息、网络基础状态。支持对安全事件的告警,包括黑链检测 Webshell检测高级黑客攻击、密集型攻击、持续型攻击、僵尸网络、外发DOS攻击等。并支持微信端告警。(投标时提供微信端事件通知证截图明和云端值守页面截图证明)
安全运营中心
支持能够动态展示安全问题,包括风险评估、动态保护、检测与分析、待办事项等,及时发现网络中的安全问题。
云安全服务
▲可以支持叠加云端安全服务实现对设备的托管,由云端安全专家对设备进行日志分析和策略配置调整,并按月输出运营月报,提供界面配置接口,后续开通在线安全服务后即可实现数据分析。(投标时提供设备配置界面截图)
安全集中管理
支持接入统一的安全监测平台,通过安全监测平台可以实时看到每台安全设备的详细安全状态信息,包括安全评分级别、最近有效事件、有效事件趋势、用户安全统计、服务器安全统计和攻击来源统计;
安全监控平台可以查看到每台安全设备最近的有效安全事件及安全有效事件趋势图,支持根据每台安全设备的最近的安全趋势进行安全状况分级;
安全规则库要求
▲要求设备具备独立的IPS漏洞特征识别库、WEB应用防护识别库、实时漏洞分析识别库、数据泄露防护识别库、僵尸网络识别库、云防护规则库、应用识别库、IP地址库、自定义规则库等;(投标时提供规则库截图证明)
系统配置管理
支持安全策略一体化配置,通过一条策略既可实现不同安全功能的配置;
支持场景化的配置向导功能,可以选择不同的部署方式以及使用场景实现产品的快速实施;
产品成熟度要求
▲为保障安全应急服务能力,要求设备生产单位为网络安全应急服务支撑单位证书(国家级)(投标时提供相关证明文件)
厂商具备CMMI L5认证证书,提供证书复印件并加盖厂家公章
厂商为中国网络安全领导者,有不少于五个网络产品入围全球权威的IT研究与顾问咨询公司GARTNER的魔力象限(提供所有入围Gartner魔力象限产品的报告,以报告数量为准)
要求所投防火墙产品符合公安部第二代防火墙标准(GA/T 1177-2014)的要求,并提供公安部颁发的第二代防火墙销售许可证;
态势感知平台
技术指标
指标要求
★硬件要求
标准1U规格,内存≥32G,系统盘SSD ≥128G、硬盘容量为SATA ≥16T、单电源,标配≥6千兆电口
资产自动识别
支持自动识别网络内部主机网段和外网网段;
支持通过流量中的应用内容自动区分网络内部网段IP是属于PC还是服务器;
自动识别服务器信息
▲支持自动识别资产,在不影响内部网络的前提下,通过主动发送微量包的扫描方式探测潜在的服务器以及学习服务器的基础信息,如:操作系统、开放的端口号等;(投标时提供相关功能截图证明);
支持自动识别已知服务器,通过被动检测机制,对经过探针的流量进行分析,识别已知服务器对外提供的所有服务、已开放端口及端口传输的协议/应用等;
弱密码扫描
▲支持通过镜像流量检测数据包中存在的用户名和密码信息,通过分析密码的强度检测网络中存在的弱密码风险(投标时提供相关功能截图证明);
Web明文检测
▲支持通过镜像流量检测web流量中是否存在可截获的口令信息,分析web业务系统是否存在明文传输情况,避免因明文传输导致信息泄露的风险。(投标时提供相关功能截图证明);
漏洞报告
支持流量分析实时发现操作系统、数据库、web应用等存在的漏洞风险,看清网络脆弱性,并支持生成漏洞检测报告。
僵尸网络检测
具备僵尸网络识别能力,行为规则近40万条,并能够与CNCERT、VIRUSTOTAL等国内外权威机构共享威胁情报(需提供截图证明);
支持通过云端沙盒对全球威胁情报源进行验证,提取有效信息形成规则定期更新到僵尸网络识别库,增量提升检测能力;
恶意DNS协议检测
支持DNSFlow分析引擎,利用机器学习算法结合威胁情报,能够从大量的样本中进行学习,总结其伪装的规律,从而发现伪装的恶意DNS协议;
SMB检测
▲支持SMBFlow分析引擎,利用机器学习技术,发现主机传输可疑文件、恶意软件行为、文件或关键目录的可疑操作行为以及SMB暴力破解等(投标时提供相关功能截图证明)
邮件检测
▲支持SMTPFlow分析引擎,利用机器学习技术技术,发现主机发送可疑附件的邮件行为、伪造发件人发送邮件、发送钓鱼网站邮件和垃圾邮件等行为(投标时提供相关功能截图证明)
Webshell攻击检测
支持HttpFlow分析引擎,利用机器学习技术,发现绕过防御的webshell攻击,并能够大幅度降低传统检测技术带来的误判;
失陷业务检测
支持检测业务的异常行为,从而识别业务是否已失陷被控制,并设立失陷等级和威胁等级展示当前业务的状态和产生的威胁程度;
风险用户检测
支持检测网络内部用户的异常行为,要求能够基于僵尸网络识别库,检测用户是否存在风险,并通过可视化方式展示:风险用户对业务产生的影响、内部的横向攻击、风险/违规行为等;
异常行为检测
支持NetFlow分析引擎,利用UEBA方式来检测服务器外发异常,包括是否正在进行DoS攻击、网络内部的横向探测:如IP扫描、端口扫描、数据收集(如到其他服务器下载)或数据传输(将数据传给其他服务器或外网)。
APT C&C通信
支持检测主机与C&C服务器通信行为,支持区分国内外区域;
可疑行为
支持检测从未知站点下载可执行文件、访问恶意链接、使用IRC协议进行通信、浏览最近30天注册域名、下载文件格式与实际文件不符、基于行为检测的木马远控、比特币挖矿等可疑访问行为,支持区分国内外区域和显示可疑行为访问趋势;
隐蔽通信
支持检测隧道、Tor暗网通信、端口反弹等对外通信方式,支持区分国内外区域;(需提供相关功能截图证明);
违规访问
支持检测违规访问策略黑名单或违反了白名单,或者违反了下一代防火墙中的应用控制策略的行为
风险访问
支持检测服务器对外发起的远程登录、远程桌面、数据库等风险应用访问
外连攻击
支持检测主机对外发起的攻击行为
数据索引
支持记录用户网络当中南北向和东西向的访问信息,包括时间、五元组、具体应用、归属地、访问次数、流量大小等各类实时信息;
支持识别应用类型超过1100种,应用识别规则总数超过3000条;
支持自动识别所有访问关系,并能够将访问请求进行归类:正常访问、风险访问、违规访问等;
依托于大数据检索能力,提供详细的日志查询功能,便于事后取证;
漏洞利用攻击检测
▲支持对服务器、客户端的各种应用发起的漏洞攻击进行检测,包括20种攻击类型共9000+以上规则(投标时提供相关功能截图证明)
支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP等)和数据库软件(MySQL、Oracle、MSSQL等)的口令暴力破解检测功能。
WEB应用攻击检测
支持检测针对WEB应用的攻击,如SQL注入、XSS、系统命令等注入型攻击;
支持跨站请求伪造CSRF攻击检测;
支持对ASP,PHP,JSP等主流脚本语言编写的webshell后门脚本上传的检测;
支持其他类型的Web攻击,如文件包含,目录遍历,信息泄露攻击等的检测;
要求具备独立的Web应用检测规则库,Web应用检测规则总数在3000条以上;(需提供相关功能截图证明);
宏观监控
支持图形化大屏的横向威胁大屏展示,包括但不限于横向威胁趋势,威胁类型分布、被访问业务TOP5、攻击源TOP5、违规访问源TOP5、可疑访问源TOP5、风险访问源TOP5;
支持以图形化大屏的服务器与漏洞实时态势,包括但不限于漏洞等级分布、TOP5漏洞、服务器操作系统分布、影响服务器的数量、被访问服务器TOP5、实时漏洞发现更新、业务对外开放TOP5端口;
支持以图形化大屏的方式展示业务外连的实时动态地图,包括但不限于外连业务风险TOP10、外连态势、外连地址TOP10、最新事件等,支持国际、国内地图自主切换;(需提供相关功能截图证明);
支持以图形化大屏实时展示全网安全事件与网络攻击态势,包括但不限于攻击事件、攻击源、危害级别等进行统计与展示。
微观监控
支持展示外网对网络内部尝试(或已成功)进行的远程登陆、数据库访问等行为,可查看明细列表,内容包括但不限于外网IP、受影响网络内部主机IP、外部风险访问者数等;
支持对业务的外连行为进行监测,以可视化的方式展示业务外连的地域分布、是否存在风险、外连趋势等,并提供详细的外连日志查询;
支持基于可视化的形式展示威胁的影响面,通过大数据分析和关联检索技术,能够直观的看到失陷主机攻击了谁,被谁攻击了,帮助管理人员及时了解威胁的影响,并制定有效的处置动作;
支持对风险业务、风险用户进行详细举证,详细举证为什么评判该主机为失陷级,并针对每个举证的安全事件进行详细的描述,如具体事件、该事件带来的危害、如何进行处置;
支持基于威胁活动链的形式展现主机的安全状况,能够直观地展示主机正处于被黑客入侵的哪个阶段,是否已经被利用、以及威胁的程度;
▲支持基于用户/业务维度的访问关系梳理,可呈现该用户/业务已经通过哪些应用、协议和端口访问了哪些业务,这些访问是否是攻击、违规、远程登陆等行为,IT人员可清晰的看出已对哪些业务存在影响,也能推导当前用户是否已失陷(或可疑)。(投标时提供相关功能截图证明)
综合安全风险报告
支持提供Word格式报表形式的综合风险报告,包含安全风险概况、业务与终端安全详情分析、安全规划建议等,综合分析业务系统和终端的安全风险详情;
探针接入
▲支持接入自有防火墙、上网行为管理、终端EDR、虚拟安全系统和潜伏威胁探针,并在页面中显示安全组件接入的数量和状态(投标时提供相关功能截图证明)
摘要报告
支持提供PDF格式报表形式的摘要报告,包含总体摘要、安全感知详情、UEBA行为画像、安全规划建设建议等,从整体展示安全状况,快速了解业务和网络的安全风险
联动响应
▲支持与自有防火墙、上网行为管理设备进行联动响应,支持平台下发安全策略到防火墙上,阻断攻击IP;支持同步上网行为管理设备认证用户与mac地址,并实现与安全事件关联;(投标时提供相关功能截图证明)
安全日志检索
支持 TB级数据秒级查询;
支持检索接入设备传输过来的所有安全日志,可基于时间、攻击类型、严重等级等选择项进行组合查询,可基于具体设备、来源/目的所属、IP地址、特征ID、URL进行具体条件搜索;
支持通过syslog等接收、存储第三方设备的日志,并提供详细的字段搜索能力;
访问日志检索
支持检索接入设备传输过来的所有访问关系日志,可基于时间、访问类型、应用类型等选择项进行组合查询,可基于具体设备、来源/目的所属)、IP地址、端口进行具体条件搜索;
安全告警
支持以邮件的形式及时将发现的失陷业务、失陷用户、攻击成功事件等安全事件进行告警,支持根据安全事件类型配置发送间隔和触发条件;
接入设备管理
支持管控接入探针的统一升级,可展示当前所有接入探针的规则库日期、是否过期等,并支持禁用指定探针的升级;(需提供相关功能截图证明)
对接入的非探针设备,具备监控能力,包括展示是否在线、日志传输模式、今日传输日志量、当前传输总量等;
资质要求
要求具备公安颁发的安全管理平台销售许可证
要求具备国家版权局颁发的软件著作权登记证书
厂商软件研发实力需通过CMMI L5认证
▲为保障安全应急服务能力,厂商应是国家互联网应急响应中心网络安全应急服务国家级支撑单位;
厂商需是中国反网络病毒联盟ANVA成员单位;
厂商需是CSA云安全联盟会员单位;
探针1
技术指标
指标要求
★硬件要求
标准1U规格,≥4个千兆电口;≥2个千兆光口;并发连接≥ 150万;吞吐量≥6Gbps
品牌要求
★与安全态势感知系统为同一品牌
基础检测功能
具备报文检测引擎,可实现IP碎片重组、TCP流重组、应用层协议识别与解析等, 具备多种的入侵攻击模式或恶意URL监测模式,可完成模式匹配并生成事件,可提取URL记录和 域名记录,在特征事件触发时可以基于五元组和二元组(IP对)进行原始报文的录制。
监测识别规则库
能够识别应用类型超过1100种,应用识别规则总数超过3000条,具备亿万级别URL识别能力。漏洞利用规则特征库数量在4000条以上,漏洞利用特征具备中文相关介绍,包括但不限于漏洞描述,漏洞名称,危险等级,影响系统,对应CVE编号,参考信息和建议的解决方案
异常会话检测
可实现对外联行为分析、间歇会话连接分析、加密通道分析、异常域名分析、上下行流量分析等在内 的多场景网络异常通信行为分析能力。
深度监测能力
可提供网络流量的会话级视图,根据网络流量的正常行为轮廓特征建立正常流量模型,判别流量是否出现异常,对原始流记录进行异常检测,可发现网络蠕虫、网络水平扫描、网络垂直扫描、IP地址扫描,端口扫描,ARP欺骗,IP协议异常报文检测和TCP协议异常报文等常见网络异常流量事件类型;
支持对节点检测节点内部主机外发的异常流量进行检测 支持对信任区域主机外发的异常流量进行检测,如ICMP,UPD,SYN,DNS Flood等DDoS攻击行为;
支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP)和数据库软件(MySQL、Oracle、MSSQL)的口令暴力破解检测功能;
可提供最新的威胁情报信息,能够对新爆发的流行高危漏洞进行预警和自动检测
高级检测
▲支持同步DNS审计日志,主要用于平台dns flow分析引擎进行安全分析;同步HTTP审计日志,主要用于平台http flow分析引擎进行安全分析;同步SMB审计日志,主要用于平台smb flow分析引擎进行安全分析;同步SMTP审计日志主要用于平台smtp flow分析引擎进行安全分析(投标时提供相关功能截图证明)
Web应用安全检测能力
支持HTTP 1.0/1.1,HTTPS协议的安全威胁检测;
▲支持针对B/S架构应用抵御SQL注入、XSS、系统命令等注入型攻击;支持跨站请求伪造CSRF攻击检测;支持对ASP,PHP,JSP等主流脚本语言编写的webshell后门脚本上传的检测;支持其他类型的Web攻击,如文件包含,目录遍历,信息泄露攻击等的检测;(投标时对以上列出的攻击类型进行逐条响应并提供相应的功能界面截图)
产品应具备独立的Web应用检测规则库,Web应用检测规则总数在3000条以上;
支持敏感数据泄密功能检测能力,支持敏感信息自定义,支持根据文件类型和敏感关键字进行信息过滤;(需提供相关功能截图证明)
支持对被Web网站是否被挂黑链进行检测
僵尸主机检测
▲支持对终端种植了远控木马或者病毒等恶意软件进行检测,并且能够对检测到的恶意软件行为进行深入的分析,展示和外部命令控制服务器的交互行为和其他可疑行为;(投标时提供相关功能截图证明)
具备独立的僵尸主机识别特征库,恶意软件识别特征总数在40万条以上;
对于未知威胁具备同云端安全分析引擎进行联动的能力,上报可疑行为并在云端进行沙盒检测,并下发威胁行为分析报告;
违规访问检测
▲能够针对IP,IP组,服务,端口,访问时间等策略,主动建立针对性的业务和应用访问逻辑规则,包括白名单(哪些访问逻辑是正常的)和黑名单(哪些访问逻辑肯定是异常的)两种方式,并对检测到的违规访问进行实时告警(投标时提供相关功能截图证明)
流量记录
能够对网络通信行为进行还原和记录,以供安全人员进行取证分析,还原内容包括:TCP会话记录、Web访问记录、SQL访问记录、DNS解析记录、文件传输行为、LDAP登录行为。
管理功能
能够支持时间同步
能够提供网络管理功能,可进行静态路由配置
多次登录失败将锁定账号5分钟内不得登录
可支持在线升级和离线升级,并依托安全感知平台进行统一管控
可支持用户初次登陆强制修改密码功能。
可实时监控设备的CPU、内存、存储空间使用情况。
能够监控监听接口的实时流量情况
集中管控
▲支持安全感知平台对接入探针的统一升级,可展示当前所有接入探针的规则库日期、是否过期等,并支持禁用指定探针的升级;(投标时提供相关功能截图证明)
部署
支持旁路部署,对镜像流量进行监听
可以多台采集器同时部署于客户网络不同位置并将数据传输到同一套分析平台
资质要求
厂商软件研发实力需通过CMMI L5认证
▲为保障安全应急服务能力,厂商应是国家互联网应急响应中心网络安全应急服务国家级支撑单位;
厂商需是中国反网络病毒联盟ANVA成员单位;
厂商需是CSA云安全联盟会员单位;
厂商售后服务体系通过ISO9001认证
厂商为中国网络安全领导者,有不少于五个网络产品入围全球权威的IT研究与顾问咨询公司GARTNER的魔力象限(提供所有入围Gartner魔力象限产品的报告,以报告数量为准)
探针2
技术指标
指标要求
★硬件要求
标准2U规格,≥6个千兆电口;≥4个千兆光口;并发连接≥ 200万;吞吐量≥16Gbps
品牌要求
★与安全态势感知系统为同一品牌
基础检测功能
具备报文检测引擎,可实现IP碎片重组、TCP流重组、应用层协议识别与解析等, 具备多种的入侵攻击模式或恶意URL监测模式,可完成模式匹配并生成事件,可提取URL记录和 域名记录,在特征事件触发时可以基于五元组和二元组(IP对)进行原始报文的录制。
监测识别规则库
能够识别应用类型超过1100种,应用识别规则总数超过3000条,具备亿万级别URL识别能力。漏洞利用规则特征库数量在4000条以上,漏洞利用特征具备中文相关介绍,包括但不限于漏洞描述,漏洞名称,危险等级,影响系统,对应CVE编号,参考信息和建议的解决方案
异常会话检测
可实现对外联行为分析、间歇会话连接分析、加密通道分析、异常域名分析、上下行流量分析等在内 的多场景网络异常通信行为分析能力。
深度监测能力
可提供网络流量的会话级视图,根据网络流量的正常行为轮廓特征建立正常流量模型,判别流量是否出现异常,对原始流记录进行异常检测,可发现网络蠕虫、网络水平扫描、网络垂直扫描、IP地址扫描,端口扫描,ARP欺骗,IP协议异常报文检测和TCP协议异常报文等常见网络异常流量事件类型;
支持对节点检测节点内部主机外发的异常流量进行检测 支持对信任区域主机外发的异常流量进行检测,如ICMP,UPD,SYN,DNS Flood等DDoS攻击行为;
支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP)和数据库软件(MySQL、Oracle、MSSQL)的口令暴力破解检测功能;
可提供最新的威胁情报信息,能够对新爆发的流行高危漏洞进行预警和自动检测
高级检测
▲支持同步DNS审计日志,主要用于平台dns flow分析引擎进行安全分析;同步HTTP审计日志,主要用于平台http flow分析引擎进行安全分析;同步SMB审计日志,主要用于平台smb flow分析引擎进行安全分析;同步SMTP审计日志主要用于平台smtp flow分析引擎进行安全分析(投标时提供相关功能截图证明)
Web应用安全检测能力
支持HTTP 1.0/1.1,HTTPS协议的安全威胁检测;
▲支持针对B/S架构应用抵御SQL注入、XSS、系统命令等注入型攻击;支持跨站请求伪造CSRF攻击检测;支持对ASP,PHP,JSP等主流脚本语言编写的webshell后门脚本上传的检测;支持其他类型的Web攻击,如文件包含,目录遍历,信息泄露攻击等的检测;(投标时对以上列出的攻击类型进行逐条响应并提供相应的功能界面截图)
产品应具备独立的Web应用检测规则库,Web应用检测规则总数在3000条以上;
支持敏感数据泄密功能检测能力,支持敏感信息自定义,支持根据文件类型和敏感关键字进行信息过滤;(需提供相关功能截图证明)
支持对被Web网站是否被挂黑链进行检测
僵尸主机检测
▲支持对终端种植了远控木马或者病毒等恶意软件进行检测,并且能够对检测到的恶意软件行为进行深入的分析,展示和外部命令控制服务器的交互行为和其他可疑行为;(投标时提供相关功能截图证明)
具备独立的僵尸主机识别特征库,恶意软件识别特征总数在40万条以上;
对于未知威胁具备同云端安全分析引擎进行联动的能力,上报可疑行为并在云端进行沙盒检测,并下发威胁行为分析报告;
违规访问检测
▲能够针对IP,IP组,服务,端口,访问时间等策略,主动建立针对性的业务和应用访问逻辑规则,包括白名单(哪些访问逻辑是正常的)和黑名单(哪些访问逻辑肯定是异常的)两种方式,并对检测到的违规访问进行实时告警(投标时提供相关功能截图证明)
流量记录
能够对网络通信行为进行还原和记录,以供安全人员进行取证分析,还原内容包括:TCP会话记录、Web访问记录、SQL访问记录、DNS解析记录、文件传输行为、LDAP登录行为。
管理功能
能够支持时间同步
能够提供网络管理功能,可进行静态路由配置
多次登录失败将锁定账号5分钟内不得登录
可支持在线升级和离线升级,并依托安全感知平台进行统一管控
可支持用户初次登陆强制修改密码功能。
可实时监控设备的CPU、内存、存储空间使用情况。
能够监控监听接口的实时流量情况
集中管控
▲支持安全感知平台对接入探针的统一升级,可展示当前所有接入探针的规则库日期、是否过期等,并支持禁用指定探针的升级;(投标时提供相关功能截图证明)
部署
支持旁路部署,对镜像流量进行监听
可以多台采集器同时部署于客户网络不同位置并将数据传输到同一套分析平台
资质要求
厂商软件研发实力需通过CMMI L5认证
▲为保障安全应急服务能力,厂商应是国家互联网应急响应中心网络安全应急服务国家级支撑单位;
厂商需是中国反网络病毒联盟ANVA成员单位;
厂商需是CSA云安全联盟会员单位;
厂商售后服务体系通过ISO9001认证
厂商为中国网络安全领导者,有不少于五个网络产品入围全球权威的IT研究与顾问咨询公司GARTNER的魔力象限(提供所有入围Gartner魔力象限产品的报告,以报告数量为准)
深度威胁安全网关1
技术指标
指标要求
架构
标准X86硬件架构
性能
★防火墙吞吐量≥16 Gbps;防病毒功能开启时吞吐量≥7 Gbps;最大并发会话数≥320万;每秒新建会话数≥9万;
高可用性
设备故障检测,链接失败检测,故障直通,硬件状态检测。
端口数量
≥6个10/100/1000 Mbps自适应网口,其中故障直通链路≥2条;
APT防护
C&C违规外联及僵尸网络检测及拦截
▲沙箱分析结果的阻挡集成(投标时提供相关功能截图证明)
威胁扫描
侦测各种文件类型病毒包括木马,间谍软件,灰色软件,Rootkits等
支持专用的网络钓鱼检测、僵尸与木马病毒外联侦测
支持URL分类过滤,对URL信誉评估 (恶意网站主动实时防御)
VPN
▲支持Site-to-site VPN、PPTP VPN、SSL VPN,无终端用户数限制((投标时提供相关功能截图证明)
病毒码
≥3,000,000种病毒识别码,每年新增≥750,000识别码
部署
支持桥接模式、路由模式、监控模式 (旁路模式)、混杂模式(桥接+路由)、多路ISP&WAN模式
管理
Web中文管理界面支持,提供命令行(CLI)配置模式
提供SLL加密远程管理
报告/日志
日志管理
提供安全日志/流量日志/VPN日志/系统事件日志/审计日志的查询/打印/导出
提供基于策略(源和用户/目标/通讯类型/时段)的流量日志记录/查询/打印/导出
支持Syslog协议,可以实时传输日志到Syslog 服务器
报告系统
提供日/周/月图形化报表,以及实时图形化报表
提供前N个用户违例报告,以及按应用程序/URL类别/带宽使用等前N个通信报告
技术自主可控
▲产品中所用的防病毒引擎,病毒代码,防病毒扫描原理,APT侦测,入侵检测,虚拟补丁,Web信誉,防垃圾邮件等都必需为厂商自有技术,非OEM或引入其他厂商技术,以保证服务支持的连续性,和技术维护的一贯性。(投标时提供相关功能截图证明)
▲产品具备公安部“防毒墙”销售许可证。(投标时提供相关证明文件)
深度威胁安全网关2
技术指标
指标要求
架构
▲采用可升级硬件架构,可支持两颗Intel E5系列CPU,用户在3年内可购置升级包升级至更高端型号(投标时提供相关证明文件)
性能
★防火墙吞吐量≥8 Gbps;防病毒功能开启时吞吐量≥4 Gbps;最大并发会话数≥160万;每秒新建会话数≥5万;
高可用性
设备故障检测,链接失败检测,故障直通,硬件状态检测。
端口数量
≥6个10/100/1000 Mbps自适应网口,其中故障直通链路≥2条;
APT防护
C&C违规外联及僵尸网络检测及拦截
▲沙箱分析结果的阻挡集成(投标时提供相关功能截图证明)
威胁扫描
侦测各种文件类型病毒包括木马,间谍软件,灰色软件,Rootkits等
支持专用的网络钓鱼检测、僵尸与木马病毒外联侦测
支持URL分类过滤,对URL信誉评估 (恶意网站主动实时防御)
VPN
▲支持Site-to-site VPN、PPTP VPN、SSL VPN,无终端用户数限制(投标时提供相关功能截图证明)
病毒码
≥3,000,000种病毒识别码,每年新增≥750,000识别码
部署
支持桥接模式、路由模式、监控模式 (旁路模式)、混杂模式(桥接+路由)、多路ISP&WAN模式
管理
Web中文管理界面支持,提供命令行(CLI)配置模式
提供SLL加密远程管理
报告/日志
日志管理
提供安全日志/流量日志/VPN日志/系统事件日志/审计日志的查询/打印/导出
提供基于策略(源和用户/目标/通讯类型/时段)的流量日志记录/查询/打印/导出
支持Syslog协议,可以实时传输日志到Syslog 服务器
报告系统
提供日/周/月图形化报表,以及实时图形化报表
提供前N个用户违例报告,以及按应用程序/URL类别/带宽使用等前N个通信报告
技术自主可控
▲产品中所用的防病毒引擎,病毒代码,防病毒扫描原理,APT侦测,入侵检测,虚拟补丁,Web信誉,防垃圾邮件等都必需为厂商自有技术,非OEM或引入其他厂商技术,以保证服务支持的连续性,和技术维护的一贯性。(投标时提供相关证明文件)
▲产品具备公安部“防毒墙”销售许可证。(投标时提供相关证明文件)
安全服务要求安全加固服务要求
服务频次:每年一次
服务内容:针对重要业务应用的软硬件技术架构、系统运行状态和最新的安全威胁等因素提高系统安全防护能力,该服务包括但不限于底层操作系统安全、通信安全、系统开发平台、系统日志、系统漏洞补丁和最新安全风险防护等加固工作
漏洞扫描服务要求
服务周期:每季度1次
服务内容:对现有网络进行系统漏洞扫描工作,检测系统管理是否存在弱口令、信息泄露、代码执行、认证绕过等高危安全漏洞。
· 使用应用漏洞扫描工具对应用系统web页面进行安全扫描,能够发现SQL、XSS、第三方插件漏洞、目录遍历、csrf等漏洞,扫描完成后由技术人员对漏洞进行确认测试,最后提出整改建议,协助开发人员整改。
· 使用系统漏洞扫描工具对 数据库、操作系统、中间件等进行漏洞、端口、弱口令扫描,扫描完成后由技术人员对漏洞进行确认测试,最后提出整改建议,协助开发人员整改。
其他服务要求服务内容
包括定期安全检查、APP安全检测、安全风险评估、安全事件紧急响应、信息安全应急演练、安全设备日志分析、安全建设配合响应、安全设备配置适应性调整、系统漏洞修复、安全培训服务、安全制度建设服务等服务。
服务范围
本次运维服务针对医院信息系统整体安全的现状,提供专业化安全管理和运维服务,安全管理和运维服务的范围涉及到以下内容:
医院核心网络,包括医院内网、外网以及设备;
医院现有安全设备,包括边界类设备、摆渡类设备、终端设备、旁路设备等;
机房内物理安全,包括机房监控、机房灾难预防设备、机房管理设备;
医院安全管理制度的建设和运维。
具体要求安全巡检服务
服务频次:每季度一次
服务内容:对医院的现网整体安全提供全面的巡检服务,巡检的内容包括但不限于:
· 安全设备品牌、设备型号、设备放置、设备性能参数、设备内存大小、设备槽位、设备序列号、设备购买年限、设备保修状态、设备备件状况、设备标签完善程度;
· 安全设备软件版本信息、当前IOS版本信息、最新IOS版本信息、设备持续运行时间、设备IOS备份情况、设备CPU利用率、设备内存利用率、设备模块运行状态、设备风扇及电源状况、设备端口数量、设备端口类别、设备端口类型、设备运行机箱温度;
· 安全设备连通性、冗余协议运行状态、VLAN信息、以太通道信息、路由协议、邻居关系、交换协议、生成树STP协议、NAT连接数状态、FLASH信息、设备配置信息分析、多余配置信息分析、配置精简建议、IOS安全建议、防火墙信息、防火墙策略、防火墙DMZ区检查、防火墙Xlate状态、应用业务、IP地址使用状况;
· 对设备性能、告警信息、被攻击和入侵情况(如入侵事件、入侵源、前十位攻击对象等)、安全威胁进行动态评估;
· 对安全系统瓶颈和资源竞争情况进行分析,找出潜在问题。
· 对信息系统进行安全巡检,包括系统日志查看与分析、安全设备防护日志与分析、安全设备防护策略分析。并适时提出安全建议
输出:《广州市花都区人民医院信息系统安全巡检服务评估报告》
安全风险评估
服务频次:每季度一次
服务内容:在现网架构改动、新系统上线、配置变更的时候,对变动带来的风险进行识别和评估,提出风险预防和必要的整改措施。风险评估的对象包括但不限于以下内容:
· 主机房环境,包括其环境、设备和设施等;
· 存储被测系统重要数据的介质的存放环境;
· 整个系统的网络拓扑结构;
· 安全设备,包括防火墙、入侵检测设备、防病毒网关等;
· 边界网络设备,包括路由器、防火墙和认证网关等;
· 对整个信息系统或其局部的安全性起决定作用的网络互联设备,如核心交换机、汇聚层交换机、核心路由器等;
· 承载被测系统核心或重要业务、数据的服务器(包括其操作系统和数据库);
· 能够代表被测系统主要使命的业务应用系统;
· 信息安全主管人员、各方面的负责人员;
· 涉及到信息系统安全的所有管理制度和记录。
风险评估的方式包括人工访谈、工具检测、登录系统检测、文档分析,风险评估会涉及到物理安全、网络安全、主机系统安全、应用安全和数据安全、安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等十个方面。
输出:《广州市花都区人民医院安全评估报告》
《广州市花都区人民医院安全加固建议书》
安全事件紧急响应
服务频次:每季度一次
服务内容:安全事件响应要求维护商在广州有总公司、分公司或办事处常驻有安全工程师(以提供近六个月的社保证明为准),在接到医院的安全事件紧急救援服务请求后,本地安全工程师立即响应,通过预先确认的远程连接方式登录到相应的系统上,对安全事件进行排查;同时马上派遣工程师立即采用最快的交通方式赶赴客户现场,2小时内可达到医院的现场。每逢各大节假日和重要的国家政治事件提供工程师驻场服务。
当医院发生大规模的安全事件后,如信息系统中的计算机或网络设备系统的硬件、软件、数据因非法攻击或病毒入侵等安全原因而遭到破坏、更改,或已经发现的有可能造成上述现象的安全隐患,如非授权访问、信息泄密、系统性能严重下降、黑客攻击、蠕虫或大面积爆发病毒等,维护商常驻广州的安全团队将在2小时之内赶赴现场协助解决问题,必要时应提供入侵调查分析、安全审计预警与黑客追踪服务。
应急响应服务包括远程应急响应服务和本地应急响应服务,其主要内容如下:
· 消除潜在安全隐患: 通过日志信息和其他必要信息,检查后门程序和网络系统漏洞,消除其再次受到攻击的可能性,即消除今后的安全隐患,对系统的安全进行重新评估。
· 检查安全日志: 通过检查系统、防火墙、路由器等系统安全日志,为确认攻击来源和攻击手段以及调查取证提供必要的条件。
· 入侵者追踪: 通过所能得到的信息追踪入侵者,并记录其尽可能多的信息,为调查取证提供条件。
· 主机恢复: 在客户信息系统网络或主机受到攻击并且出现网页遭替换或系统丢失等恶性事件后,确认已经消除安全隐患,在系统网络管理人员的协助下,对应用系统或操作系统进行恢复,保证系统资源在第一时间内的可使用性。
· 网络恢复: 医院信息系统的核心交换机、路由设备等网络设备出现问题,在确定是受到攻击所造成的情况下,确认已消除安全隐患,在经过医院授权后,对网络设备进行恢复,保证医院信息系统网络资源在第一时间内的可使用性。
输出:《广州市花都区人民医院信息系统应急响应报告》
信息安全应急演练
服务频次:一年一次
服务内容:模拟服务器遭黑客攻击、核心交换机系统崩溃和局部网络交换设备故障三种情况的应急处理。全体演练人员按照预先制定的方案及流程,通过模拟日常工作中遇到的病毒攻击、系统崩溃和网络故障等信息系统突发情况进行有针对性的演习。
通过演练,使相关技术人员进一步熟悉了病毒攻击、系统崩溃和网络故障的应急处置流程和方法,有限提升网络和信息系统安全管理水平。
随网络规模的不断扩大、网络承载信息的不断增多,要求网络管理更加规范。在运维工作中,信息中心将完善相关措施,落实责任,并开展有特定目标的网络信息运维安全演练,使网络信息安全运维工作常态化,不断增强网络与信息安全意识和应急处突能力。
输出:《广州市花都区人民医院信息安全应急演练报告》
安全设备日志分析
服务频次:每季度一次
服务内容:
· 日志收集。我们将定期统一收集各个安全设备的日志和报表进行存档以便分析。
· 分析日志。跟据客户设备的具体情况,分析关键服务器、安全设备等设备的日志, 采取人工加工具的审计分析方法对日志信息进行综合分析,找到当前的系统及网络设备中存在的隐患和被攻击痕迹。
· 生成报告。根据以上评估,生成具体的日志分析报告,结合用户网络的构成及业务流程等,为客户量身定制出专业又极具可读性的报告,并会针对报告中的各项问题,为客户提供修补建议,使发现的问题能尽可能早的得到解决,避免引起更大范围的影响和损失。
· 其它支持。客户得到日志审计报告后,可以根据报告的内容对系统进行检查和修补,在此过程中的所有疑问都可以通过客服热线获得在线咨询和指导。
输出:《广州市花都区人民医院安全设备巡检报告》
安全建设配合响应
服务频次:每季度一次
服务内容:在医院相关或上级部门提出安全建设、安全整改、安全加固等任务时,派遣专业安全技术人员指导配合进行安全相关工作,工作内容包括但不限于以下内容:
· 医院网站漏洞排查;
· 公安部门递送的安全检查或安全漏洞通知;
· 上级部门递送的安全检查或安全漏洞通知;
· 国家重大事件的安全保障检查;
· 突发性事件的检查通知或现场检查;
在上述事件发生的时候,医院需要有安全水平高的行业技术人员配合医院开展安全方面相关工作,维护商要根据约定的时间安排专业安全工程师提供远程或上门的安全相关服务,具体服务内容由医院和维护商根据具体要求商议决定。
输出:《广州市花都区人民医院安全加固建议书》
安全设备配置适应性调整
服务频次:每季度一次
服务内容:在安全相关设备配置需要调整时,如:安全策略调整、新链路配置、产品参数调整等;维护公司必须派遣工程师进行配置风险评估、提出调整方案并实施。安全相关设备配置包括但不限于以下情况:
· 网络出口新增加,评估新网络出口的风险和安全防护措施;
· 防火墙、UTM等边界类设备的配置变更,详细记录变更内容,包括IP策略、端口策略、放通/禁止策略等;
· 网闸等隔离类设备的配置变更,详细记录变更内容,包括IP策略、端口策略、应用通道、转发模式等;
· 入侵防御、网络行为分析等旁路安全设备配置变更,包括协议监控、端口监控、联动策略等;
· 杀毒软件、准入控制等终端管理类软件的配置变更,包括扫描策略、准入方式、控制范围等;
维护商在协助医院进行安全设备或软件的配置变更时,要充分考虑到配置变更过程中和变更后带来的安全风险,采取一定的预防措施,将风险降低到最小,最
