政务云网络安全预警指挥系统项目采购需求.docx

政务云网络安全预警指挥系统项目采购需求一、项目背景为建立全面立体的政务云平台应急管理信息系统安全监测预警体系，本次项目涵盖省应急管理厅本级及下属单位云上资产，通过采集ECS日志、流量数据及政务云SLS日志，智能分析并实时预警，以触发工单通报处置的工作流程，与X政钉消息系统对接，确保信息畅通，实现统一高效的监管。二、建设目标遵循“全面数据采集、数据定期存储、充分开放利用”的原则，定位网络安全威胁分析与预警能力提升,为应急管理数字化建设提供“优化场景、功能扩充”的全方位安全预警、监测、分析和指挥能力，构建全面立体、高效集成的政务云安全环境监管体系，实现对厅本级及其下属单位共计300多台云资产的全方位监控与管理，提升监管效率，实现跨层级的统一监管与高效协同。（一）安全数据集中管控对复杂多源异构网络安全数据进行治理，建立安全数据中台，打通安全数据孤岛，构建统一数据标准，采集异构安全资产的数据，对各类安全设备、系统数据进行处理、治理、存储、分析等操作。通过纳管全域安全数据资产，使数据充分应用于安全风险决策、安全运营管理，形成数据、业务的价值链闭环。安全数据主要包括内部安全数据、外部安全数据及威胁情报等。其中内部数据包括：资产信息、网络拓扑、安全配置、安全漏洞、系统指纹等；外部数据包括：安全攻击、恶意扫描、拒绝服务、异常流量等；情报要素包括：战略安全情报、战术安全威胁情报、通告和预警等。（二）安全能力统一调度对异构安全能力进行体系化梳理，全面覆盖IPDR（Identity,Protect,Detect,Respond）基础安全能力、安全服务能力、运营剧本能力，建设资产发现、漏洞扫描、访问控制、威胁检测、攻击溯源等安全能力目录，形成标准化安全能力输出，敏捷响应安全能力服务需求。（三）高效研判监测预警高效研判是衡量态势感知平台效能的关键指标之一，告警是否误报、告警是否重复、修复建议是否具备针对性都会影响研判效率。平台的建设需要引进大模型技术，通过精细化特征提取、复杂模式识别以及行为分析，区分正常活动与恶意行为，减少误报与漏报，特别是在面对高级持续性威胁（APT）和零日攻击时，能够提供可靠的预警信息，为安全团队的决策提供依据。同时，大模型需能够在极短的时间内完成对接入数据的分析处理，迅速识别潜在的安全风险，确保平台能够即时发出预警，减少从威胁发现到响应处置之间的时间差，有效控制风险扩散。（四）安全运营闭环管理安全运营强调对用户网络安全进行集中化、全方位的监控、分析和响应，实现体系化的网络安全运维。基于上述四点目标建设，结合安全工单流转，快速形成网络安全闭环。平台分析检索、安全事件等为安全管理人员、服务人员等提供决策支撑，将人添加至安全运营闭环内。为安全运维人员、安全管理人员、安全决策人员提供简单、实用、高效的安全数据平台，内置重点安全分析场景，重点发现高级别安全攻击、持续型攻击、顽固安全问题，采用大数据技术在更大量数据、更全面、更透彻的方式分析安全威胁，综合提升系统应对高级安全威胁、隐蔽安全事件的能力。建设安全态势要素的输出和整体安全态势可视化感知能力，实现预警通知效果，并对其范围、类型、危害以图形化展示，为安全分析人员提供直观、强大、清晰的安全威胁预警能力，以及重大问题、事件的整体性报告，为安全管理人员和决策人员提供可靠的数据支撑。（五）重大活动安全保障针对定期演练活动制定重大活动保障计划，应对红队7*24小时不间断攻击以及变化多样的攻击手段主要梳理以下需求。一是安全态势集中监测。需重点关注外部攻击和Web安全攻击，并可视化重保活动指挥调度信息，聚焦重大活动保障全流程对抗监测，关注攻击特点，及时进行风险预警。二是友好的调查取证交互，帮助分析师快速定位问题，锁定目标。能够从多维度进行事件检索、聚合,并统计威胁变化趋势。三是便捷的运营处置。对环境中安全资源进行整合，在发生安全风险时能够一键联动处置威胁。实现自动化响应处置，释放安全工作人员海量处置告警压力，轻松应对海量攻击。并对平台运行、任务运行等进行监控，保障平台稳定运行。四是专家分析服务和专项监测分析报告。针对重大活动期间安全保障提供专业级分析服务以及专项监测分析报告，帮助用户快速、全面了解攻防态势。三、建设内容序号内容数量1安全分析与指挥管理平台1套2政务云日志审计系统1套3云主机流量探针1套（一）安全分析与指挥管理平台技术指标技术要求性能要求数据平均处理能力15000EPSX政钉对接与X政钉无缝对接，实现数据集成和使用，实现告警推送。工作台工作台支持自定义个性化配置，支持以拖拽组件的方式进行画布页面设置，页面可选组件包括“CVE漏洞利用、SOAR、WEB安全、内网病毒、原始告警、告警监控、安全事件、安全日志、安全设备、工单、平台概览、快速搜索、持续攻击、文件分析、资产管理、风险资产”等，可选组件不少于65个。每个组件均支持点击“收藏组件”按钮进行自定义收藏。安全态势可视化态势感知模块提供不少于10个全网态势大屏，包括外部攻击态势、数据中心态势、攻击者溯源态势、横向威胁态势、AI异常分析、资产溯源态势、资产失陷态势、Sherlock网络星空、平台运行状态监测、Web业务系统态势、资产态势感知等。监测中心支持用户自定义配置归并场景，支持场景名称、归并条件、归并字段、场景描述的配置，其中可根据字段过滤配置归并条件；支持归并场景的开启、关闭，亦可拖动方式调整归并序列优先级顺序分析中心平台内置包括规则模型、关联模型、统计模型、情报模型、Al模型等安全分析模型，用户根据实际需求对上述模型进行添加、编辑、删除、复制等。指标管理主要是将安全数据以某些条件过滤后进行统计，生成的指标信息可以作为大屏、统计模型及AI模型的模型指标项。可对指标进行新增、查询、删除等操作。安全分析模型支持自定义新增，新添加的模型可选择适用的作用域，如全局通用、单选机构，如选择单选机构即选择应用的组织架构，可通过字段映射、静态值、模板、表达式等多种方式自定义分析模型的告警名称、威胁等级、告警类型、攻击链、可选字段、告警描述、处置建议等内容。支持智能检索语句分析，支持检索语句的中文、英文、拼音智能联想，支持逻辑运算符与字段值的自动提示补全；支持将检索语句一键翻译为中文，提高可读性；保留搜索语句历史记录。实现实体间网络互访关系的多级钻取，支持通过端口、协议、异常访问类型、攻击链等过滤关联关系，支持实体间网络互访关系的多级钻取，通过“一键溯源”按钮进行威胁关系的自动拓展。响应中心支持通过任务看板查看自动响应任务的数量、任务状态占比、任务趋势；以时间轴方式展示任务进行状态，并可查看每个阶段任务运行的详细信息。运营中心平台具有统一的安全运营门户，作为重点关注功能的统一入口，如集成态势感知、SherhCk网络星空、通报预警、联动策略、运行监测等多个功能模块，实现平台功能的快速跳转；支持用户配置个人专属的统一门户，可配置项包括门户名称、菜单名称、应用图标等，且菜单内容支持自定义编辑，可链接平台以外的域名地址。资产中心支持人工录入、流量自动发现、主动扫描发现、EDR同步、WEB自动发现、物联网同步等不少于5种的资产数据接入方式；流量自动发现方式能自动识别资产类型，如Web服务器、DNS服务器、邮件服务器、FTP文件服务器等多种类型资产，支持Web业务系统自动发现；支持批量确认流量发现的资产；支持提供资产同步标准化接口，支持第三方通过自定义设置同步数据源进行资产同步。可根据部门、平台节点等方式划分组织架构，组织架构可分为普通节点、机构节点、平台节点等，并支持同级别组织架构拖动调整，普通节点包含了组织名称、单位地址、安全域等基础信息，机构节点可关联管理接入的数据源、并可展示接入的数据源活跃状态，未挂载数据源发送的数据将不做入库、分析、识别、检测工单平台支持工单功能，工单详情与备注支持多种内容格式，包括但不限于文字、图片、超链接、表格、代码片段、附件等类型；支持将预警信息直接转为内部通报，通报可直接派发工单。售后服务提供7*24小时400支持热线；承诺提供不少于3年的使用授权及运维服务，包含但不限于系统升级等服务内容。（二）政务云日志审计系统技术指标技术要求性能要求授权资产数三500个功能扩展采用解决方案包上传对产品进行功能扩展，无需代码开发。日志收集支持SySIog、SNMPTrap、HTTP、ODBC/JDBC>WMKFTP、SFTP协议日志收集；支持阿里云SLS日志的采集。日志分析内置5000+解析规则，支持对收集的5000+设备类型日志进行解析(标准化、归一化)，解析维度多达200+,解析规则可以根据客户要求定制扩展。具备安全评估模型，评估模型基于设备故障、认证登录、攻击威胁、可用性、系统脆弱性等纬度加权平均计算总体安全指数。安全评估模型可以显示总体评分、历史评分趋势。安全评估模型各项指标可钻取具体的评分扣分事件。三维关联分析；支持通过资产、安全知识库、弱点库三个维度分析事件是否存在威胁，并形成关联事件。日志查询支持亿级的日志里根据做任意的关键字及其它的检索条件，在秒级里返回查询结果。应用性能监控(APM)通过在目标主机上安装Agent程序，支持监测目标主机的CPU利用率、内存使用率、硬盘使用率、硬盘使用情况、流量等信息。告警功能支持硬盘空间阈值告警，当硬盘使用率达到设定的阈值时可产生并外发告警；资产性能监控异常告警，对于监控的资产系统资源进行监测当指定指标使用率达到设定的阈值时可产生并外发告警；资产状态监控，当资产处于不活跃状态时可产生并外发告警；远程仓库状态监测可告警，当远程仓库可用性检测失败或备份包自动上传失败时可产生并外发告警。资产管理资产拓扑支持按照实际的用户环境进行编辑发布并可以和资产进行绑定，拓扑可以显示资产采集的事件数量被采集资产的状态等信/息、O售后服务提供7*24小时400支持热线；承诺提供不少于3年的使用授权及运维服务，包含但不限于系统升级等服务内容。(三)云流量探针技术指标技术要求性能要求整机吞吐量叁2Gbps流量采集与检测支持解析HTTP、FTP、SMTP、PoP3、SMB、IMAPDNS、HTTPS>SMTPS、P0P3S>IMAPS>RADIUSKRB5、SNMP、NETFLOWTFTP、HTTP2、NNTP等协议报文（HTTPS、SMTPSP0P3S>IMAPS加密协议解析需要导入服务器私钥证书），并提供审计协议类型的端口号配置，可根据需要变更端口号。检测能力基于IDS规则检测基础上通过加载600余条深度检测特定规则插件、深度检测通用规则等进行二次深度检测，可支持Prinleton插件、蚁剑插件、哥斯拉插件、冰蝎3.0、冰蝎4.0等检测能力。WEBSHELL检测支持WEBSHELL检测，可检测访问webshell的行为，包含具体对应的URL、返回码、返回数据包内容等，可显示一句话类webshell后门是否植入成功。动态沙箱检测支持沙箱逃逸检测，当恶意文件进行逃逸尝试，在沙箱报告中进行体现。加密流量检测支持HTTPS、SMTPSP0P3S、IMAPS协议解析（加密协议需要导入服务器私钥证书）类型报文。邮件攻击对社工类攻击进行检测，检测内容包括：邮件头欺骗、邮件发件人欺骗、邮件钓鱼、邮件恶意链接。文件检测支持动态URL分析功能，能够检测针对浏览器的恶意攻击，以及远程下载恶意文件检测。风险查询支持根据数据类型、风险类别、时间等条件进行风险统计查询。通过图表形式直观展示风险告警趋势、风险类型分布等详细数据，数据聚合便于进一步进行风