2024年10月28日发(作者:东方英媛)
网御星云防火墙系统power v6000-f5320
注:其中打“
★
”部分为必须满足项。
技术指标
硬件架构
接 口
性 能
指标要求
硬件要求采用专用架构平台,采用专用的处理芯片,厂商要求自主设计硬件架构的能力
标准2U机箱,标配4个10/100/1000BASE-T端口,3个前扩展插槽,最大可扩展28个网
络接口;并含2个高速USB2.0接口,可接移动存储进行日志存储,要求现场可验证,标
配冗余电源
要求吞吐量>12Gbps,最大并发连接数>320万,每秒新建>6万/秒,VPN隧道数>6000条
要求具备自主研发的安全操作系统,并提供该安全操作系统的软件著作权,无通用操作系
统漏洞。
系统要求
★要求支持双系统引导,并可WEB界面上配置启动顺序,要求除恢复系统之外,还可支持
系统一键式切换及完整备份(要求多个系统界面截图)
要求支持虚拟系统技术,每个虚拟系统vFW具备独立的管理权限、安全策略、等功能,互
不干扰
(要求界面截图)
基于状态检测的动态包过滤
支持基于用户、用户组的访问控制,用户认证要求支持Radius、LDAP、Windows AD域等
方式,并内置动态令牌认证服务器,支持基于动态令牌的双因子认证(要求WEB界面截图)
支持同一主机源会话、目的会话的分别管理和限制,支持设定网段内共享的或者任一地址
的并发连接限制(要求界面截图)
支持应用层访问控制,包括P2P软件、IM软件、炒股软件、网游软件等
支持透明、路由、混合三种工作模式
支持静态路由,动态路由(OSPF、RIP等),VLAN间路由,单臂路由,组播路由等
网络适应
性
★内置ISP地址列表,可轻松完成基于ISP的策略路由(要求截图)
服务器负载均衡支持轮询、加权值、最小连接、源/目的地址Hash等至少7种算法(要求
截图)
3G安全接
入
WiFi接入
★支持3G(CDMA2000)协议,支持用户通过3G提供上行网络接入,要求截图证明
★支持802.11B,802.11G协议,支持设备作为WiFi热点(即AP),为客户机提供无线安
全接入服务
支持IPv6地址、地址组配置,要求截图证明;
支持持IPv6安全控制策略设置,能针对IPV6的目的/源地址、目的/源服务端口、服务、
扩展头属性等条件进行安全访问规则的设置,要求截图证明。
支持IPv6静态路由,要求截图证明
支持IPv6/IPv4翻译策略技术,包括支持静态NAT-PT、动态NAT-PT、NAPT-PT技术,要求
截图证明
访问控制
IPv6/IPv4
双协议栈
支持双栈、6to4隧道实现IPv6网络与IPv4网络访问,要求截图证明
支持标准IPSec、GRE、PPTP、L2TP协议,
IPSec VPN要求支持隧道热备份技术
支持多种认证方式如:预共享密钥、数字证书,基于动态令牌(Token)的双因子认证
VPN功能
支持可视化VPN配置,支持VPN状态监控,包括资源状态、在线用户等(截图证明)
★IPSec VPN客户端支持Microsoft Windows 2000/XP、Vista、Win7等操作系统(提供
Win7要求截图)
至少有50种分类库,1000万级网址特征库
(要求分类库及数目截图)
WEB网站过
滤
★支持WEB 2.0应用识别和过滤,至少支持20万种WEB应用管控(要求界面截图)
★支持挂马网站过滤,通过对访问目标URL过滤的方式,阻止对含木马/病毒网站、钓鱼
网站、僵尸网络的访问(要求界面截图)
抗攻击能
力
可识别和防御syn flood、Ping flood、udp flood、teardrop、sweep、land-base、ping
of death、smurf、winnuke、圣诞树、碎片等多种攻击
★ 支持防护ARP攻击,通过发送频率有效定位ARP攻击源,支持防护CC各种攻击方式
(要求界面截图)
★能主动屏蔽恶意地址,以用于提前免疫包括病毒网站或者攻击源地址的攻击
主动防御
要求支持主动防御功能,对服务器、主机进行后门、服务探测、文件共享、系统补丁、IE
漏洞等主动式扫描(要求界面截图)
支持友好WEBUI/SSH/Telnet管理,支持数字证书和电子钥匙方式,支持SNMP管理,与当
前通用的网络管理平台兼容
管理配置
可提供专用的软件实现对防火墙接入用户认证的集中管理,至少可同时管理1000台防火
墙(要求界面截图)
★支持日志中文化,可显示配置命令日志的操作人(要求界面截图)
★支持用户可配置的WEBUI接口,提供多套皮肤设置(要求界面截图)
支持链路备份、链路聚合功能,可以在用户的多条网络出口之间进行自动的切换;
高可用性
既支持基于VRRP技术的热备和负载均衡,也支持私有的双机热备协议,在NAT、路由、透
明模式下支持A-A,A-S模式,且切换时间小于1秒
具备公安部颁发的《计算机信息系统安全专用产品销售许可证》千兆(三级)
产品资质
具备中国信息安全产品认证中心颁发的《中国信息安全产品认证证书》千兆简称3C(三级)
证书
具备国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》千
兆
网御星云入侵防御系统 IPS POWER V6000-P8320
技术指标
产品
架构
指标要求
产品为机架式独立IPS硬件设备,系统硬件为全内置封闭式结构,主机不带有硬盘,
以减少设备的故障几率。
5个10/100/1000M电口+4个千兆SFP插槽; 3个扩展槽,最多可扩展至25个千兆接口,
最多可扩展至10个万兆接口
IPS吞吐量不小于12Gbps,最大并发不小于3200,000,延时不高于200US
支持透明、路由、NAT、交换、混合部署,适应各种网络环境需求。
部署
功能
★支持基于物理接口的物理虚拟引擎和基于地址的逻辑虚拟引擎,每个虚拟引擎能够
单独配置策略。(提供界面截图)
★支持虚拟网关功能,网络接口等资源可以独享或共享方式分配给不同的系统管理员,
每个管理员就像拥有一台独立的IPS设备。(提供界面截图)
★产品应采用业界领先的入侵检测技术,并已取得网络入侵检测系统相关专利,支持
IP碎片重组、TCP流重组、会话状态跟踪、应用层协议解码等数据流处理方式;支持
模式匹配、异常检测,统计分析,以及抗IDS/IPS逃逸等多种检测技术。(请提供专
利证明材料)
★要求产品提供具有专利技术的恶意、非法网站过滤功能,支持恶意站点防护功能,
具有挂马站点URL和挂马源站点URL列表恶意站点库,能够在终端用户访问恶意URL
时主动切断连接。恶意站点库包含不少于400万条恶意URL,并实时动态更新。(提供
界面截图,请提供专利证明材料)
★支持漏洞扫描功能,主动扫描被保护服务器,并根据扫描结果自动调整IPS策略,
为被保护服务器提供动态虚拟补丁。(提供界面截图)
入侵
防御
★要求产品支持具有云计算相关专利技术的主动云防御功能,实现全网计算资源、特
征资源的共享。(提供专利证明材料)
支持持对HTTP、SMTP、POP3、FTP、Telnet、VLAN、MPLS、ARP、TCP、UDP、RPC、GRE
等多种协议进行分析。
攻击特征库数量不少于3000条,并支持自定义特征。
★要求产品应提供具有专利技术的垃圾邮件过滤功能,能够通过黑白名单、关键字过
滤、敏感参数限制等方式保护邮件服务器的稳定运行。(提供专利证明材料)
支持对蠕虫、木马、缓冲区溢出、可疑代码、扫描、非法连接、DoS/DDoS、ARP攻击、
CC攻击、SQL注入、XSS跨站脚本等多种攻击进行防护。
★支持基于IPV6网络的攻击检测功能,包括:支持IPv4/v6 双协议栈网络地址解析;
支持针对 IPv6 网络中的数据包解析、支持IPv6 碎片重组等。(提供界面截图)
支持入侵场景保留,可记录入侵行为相关的网络数据报文。
支持路由、透明、混合等各种工作模式下的网络病毒检测,支持无IP地址的透明桥下
的网络病毒检测模式。(提供界面截图)
★支持多接口可旁路的病毒文件传输监听检测方式,可并行监听并检测多个网段内的
病毒传输行为,用于高可靠性要求的旁路应用环境,截图证明
操作系统
★采用自研操作系统,并提供著作权证书
接口
性能
防病毒
★支持病毒感染主机分析与隔离,防止病毒进一步扩散,提高网络整体安全性(提供
截图证明)
★病毒库不少于30万种病毒特征,支持根据用户需求自定义病毒特征,病毒特征安全
可控,要求具备自主研究分析病毒特征的能力(提供相关证明或采用国内知名病毒厂
商特征库(提供合作证明)
★支持IPv4和IPv6双栈协议下的上网行为管理,截图证明
★支持WEB 2.0应用识别和过滤,至少支持20万种WEB应用管控,截图证明。
★支持URL分类过滤管理功能,支持的URL分类库种类不少于50个。(提供界面截图)
上网行为
管理
能够识别MSN、QQ、Yahoo Messenger、Google Talk等IM软件。
能够识别QQ游戏、联众世界、浩方对战平台、魔兽世界、泡泡堂、梦幻西游、劲舞团、
新浪游戏、搜狐游戏等流行的在线游戏。
能够识别Thunder、eMule、eDonkey、BitTorrent等常用P2P软件。
能够识别qqlive、pplive、ppstream、uusee、沸点等不少于30种常见流媒体软件。
能够识别大智慧、钱龙、同花顺、指南针等股票分析软件。
具备基于IP地址、时间、服务资源管理的功能,并支持分组管理。
支持丢弃封包、切断会话、限制带宽、实时报警、记录日志、邮件报警、声音报警等
多种响应方式。
策略
管理
★支持基于源地址,目的地址、服务、接口的带宽管理;支持最小保证带宽,最大限
制带宽,可以支持带宽优先级的设定,并支持平均主机带宽管理功能。请提供界面截
图
★支持与IDS、内网安全管理系统进行协同防护,实现策略联动,共同保护内网安全。
请提供界面截图
支持黑名单和白名单功能。
支持支持IPS策略的导入导出功能,导出策略为加密格式。
支持双机热备功能,增强网络可靠性。
★支持双系统引导功能,当其中一个系统出现故障后,可用另一套系统启动,保障系
统的可靠性。(提供界面截图)
★要求产品提供具有专利技术的实现网络安全设备高可用性集群部署功能,支持标准
VRRP协议,实现多台设备实施相同的整体安全策略,提高网络的可用性。(提供专利
证明材料)
支持二层回退、掉电保护功能,以避免因系统无法正常工作而造成网络中断。
支持透明、路由、NAT、IP地址映射、端口映射等多种网络功能,满足多组网模式的要
求。
支持IPSec VPN、SSL VPN安全接入功能,
网络
功能
管理员可以设定安全规则仅对认证用户有效,有效控制网络资源的使用。
★支持服务器负载均衡功能,最多支持服务器的数量不少于253台,保证在负载很重
的情况下服务器集群也能做出快速响。
★支持802.11B,802.11G协议,支持设备作为WiFi热点(即AP),为客户机提供无线
安全接入服务,截图证明
系统
管理
支持B/S、C/S双管理架构,支持全局拓扑生成;支持串口、远程SSH、SNMP(v1/v2)
管理
高可
靠性
支持多种管理员权限,系统管理员可分为:用户管理员、配置管理员、策略管理员、
日志审计员、部署管理员相互独立;支持动态口令双因子认证,增强系统安全性。
支持图形化监控和报警功能,能够图形化显示攻击事件安全等级、安全事件趋势分析
曲线图、显示协议流量的曲线图、实时事件列表等多种实时状态显示,方便分析网络
的现状和趋势。
支持升级功能,包括在线升级和离线升级两种方式,能够对特征库、软件、设备操作
系统进行升级。
支持丰富的报表模版,支持查询报表、统计报表、并支持自动生成报表。
支持日志查询、备份、删除等功能。
支持NTP时间同步功能,IPS设备可以通过NTP时间服务器或其他主机进行时间同步。
支持远程维护功能,提供网络维护工具,协助分析网络问题。
管理主机与引擎之间必须采用加密通讯,可以限制管理主机的来源。
支持配置导入、导出功能,且导出数据以加密方式保存。
公安部公共信息网络安全监察局颁发的《计算机信息系统安全专用产品销售许可证》
国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》
中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》(军B
级)
国家版权局颁发的《计算机软件著作权登记证书》
产品
资质
★要求所投产品提供IPv6 Ready第二阶段核心金牌认证证书
★中国信息安全认证中心频发的《IT产品信息安全认证证书》
★国际权威机构颁发的CVE兼容性认证的最高级别证书CVE Compatible(提供CVE兼
容性证书复印件)。
★具有国家知识产权局颁发的网关防病毒技术(包括病毒防范的方法和装置)专利证
书
★具有工信部频发的《电信设备进网许可证》
★信息产业部颁发的《计算机信息系统集成资质证书》(壹级)
★中国信息安全产品测评认证中心颁发的《国家信息安全认证信息安全服务资质证书》
(安全工程类二级)
★国家保密局颁发的《涉及国家秘密的计算机信息系统集成资质证书》(甲级)
★中国信息安全认证中心颁发的《网络与信息安全应急处理服务资质》(一级)
投标人必须具有原厂商对该项目的支持授权
厂商应加入云安全联盟CSA(Cloud Security Alliance), 作为该联盟成员,可及时
获得病毒、木马、钓鱼网站、僵尸网络等样本信息,为用户提供更及时的安全防护。
厂商
服务
能力
厂商应具备主动发现主流操作系统或应用系统新漏洞的能力,并提供两个以上2010年
以后发现的新漏洞及国内外相关权威机构(如:国家漏洞库和CVE)的证明。
厂商应加入微软安全响应中心(Microsoft Security Response Center)发起的MAPP
(Microsoft Active Protection Program)计划,作为该计划成员,可在微软发布每
月安全公告之前获得微软产品的详细漏洞信息,为用户提供更及时的安全防护。
厂商
资质
网御星云SSL VPN网关 SAG2100
说明:其中“★”部分为必须满足项。
技术
指标
指标要求
协议要求:采用标准SSL协议提供加密服务。
处理要求:采用应用层数据处理和加密封装,支持基于高安全的SSL协议
基本
建立网关对网关的访问隧道。对于C/S应用在终端访问主机无需安装虚拟
要求
网卡驱动,以此证明真正的SSL VPN。
网络接口:≥6个10/100/1000M自适应电口,≥4个SFP接口,≥2个串
硬件
口,≥2个USB接口。
要求
机箱:标准2U,可上机架,双电源冗余。
并发用户:≥2000
性能
系统吞吐:≥400Mbps
要求
每秒新建用户:≥300/秒
SSLVPN产品同时支持IPSec VPN;IPSEC VPN必须符合国家IPSEC VPN标
IPSEC准;能与国际国内知名厂商进行隧道链接;用户可以自行选择采用IPSec
功能 或SSL方式移动接入。
B/S应用访问:访问Web应用时,免客户端、免控件,实现100%零客户
端。只要web浏览器支持HTTPS协议就可访问,对终端的主机操作系统和
硬件没有要求。
应用
支持
智能选路:在多ISP入口的情况下,可识别接入IP所属ISP运营商(联
通、电信、移动、教育网等),智能选择最佳路径,提高访问效率。
★要求SSLVPN支持基于谷歌的Android系统;支持及基于微软公司的
windows phone系统,windows mobile 5.0以上系统;
支持口令认证、手机短信认证、KEY认证,动态令牌认证,指纹认证,CA
证书认证等认证方式、支持本地Radius认证,支持radius用户基于用户
名的权限分配。支持共享帐号功能,支持定义帐号优先级。
★C/S应用访问:支持各种静态和动态协议应用。全面支持Windows各版
本操作系统的PC机,特别要求必须支持64位的Win7操作系统。
请注明是否采用
C/S结构访问且无
需安装虚拟网卡驱
动
请注明接口数量和
类型以及机箱结构
请注明具体设备极
限值
请注明设备是否支
持sslvp和
ipsecvpn两种VPN
功能
请注明是否100%免
客户端和插件。
请注明是否支持64
位win7操作系统并
提供依据
投标方应答
提供手机客户端在
各系统上安装后使
用截图。
请注明是否支持共
享账号和定义账
号,
第三方认证方式:支持与微软的AD域认证系统、第三方PKI认证系统、请注明都支持哪些
认证
RADIUS、TACACS+、LDAP等认证系统整合,并支持主从RADIUS服务器冗余,第三方认证
支持
支持缓存第三方认证服务器帐号功能。当某种认证服务器失效时,可自动
切换至其它认证方式
多因素认证:支持口令、证书、短信、附加码等多因素的复合认证,可同
时启用两种或更多种认证方式。
访问可根据用户、角色、时间、网络位置、认证方式、终端状况等因素,选择
控制 赋予用户权限,并予以严格执行。
请注明都支持哪些
因素认证
请注明支持哪种因
素管理,并截图证
明
智能选路:在多ISP入口的情况下,可识别接入IP所属ISP运营商(联
通、电信、移动、教育网等),智能选择最佳路径,提高访问效率。
用户终端绑定:可将用户账号或证书与固定IP地址进行绑定,支持对主
机的硬件特征进行绑定,包括MAC地址、CPU ID、硬盘ID、操作系统ID
等。并支持绑定信息的自动探测,不用手工输入。
VIP帐号:在并发用户达到许可上限时,VIP帐号可继续登录,保证重要
用户随时接入SSL VPN网关。
终端安全:支持用户终端安全检查,及基于检测结果的访问控制。支持用
户账号与终端特征绑定。支持用户访问退出后,清除SSLVPN的所有访问
痕迹。
请注明都能绑定哪
些因素,并提供截
图证明
请注明技术实现方
式并请截图证明
请注明实现方式并
截图证明
隧道隔离:支持用户登录SSL VPN后,断开与外联网络的其他访问连接,请注明实现方式并
确保隧道数据安全,防止跳板攻击。 截图证明
支持客户端主机硬件特征码认证,通过自动或手动输入HASH值获得客户
端的硬件特征码,实现硬件特征码和用户账户的绑定,支持硬件特征码与
身份的多对多关系,即一个用户可拥有多个硬件特征码,同时一个硬件特
征码也可以归属多个用户(提供界面证明)
★Web防火墙:可防SQL注入、防跨站脚本、过滤ActiveX控件、过滤Java
小程序、禁止非法URL请求等。可抵抗DDoS攻击。支持针对IP和用户的
并发连接数量限制。支持管理员设定IP黑名单。
URL访问控制:支持URL访问控制,隐藏服务链接、名称或定义别名。可
为Web应用配置子链接快捷访问。
★同时支持客户端到网关隧道模式和网关到网关隧道模式,且两种隧道模
式均采用SSL VPN实现。
离线监测:支持CA电子钥匙状态实时监测,电子钥匙拔出后可以自动断
开安全隧道。
日志
审计
报表生成:支持html、pdf格式的报表浏览和下载。支持top排名、支持
行为分析.
支持集中网管:设备支持SNMP协议,可远程监控设备的运行状态;通过
SNMP管理软件可统一进行日志收集和审计。
请注明实现方式并
截图证明
安全
性 请截图证明,正偏
离提供CVE漏洞
请截图证明
请注明实现方式并
截图证明
请注明支持哪种格
式报表并截图证明
★单点登录SSO:支持多Web应用的单点登录功能,可支持NTLM、FORM、请截图证明支持
BASIC等多种口令提交方式。支持CS服务的单点登录。支持一对多点的主NTLM、FORM、BASIC
从帐号对应。服务应用账号信息存储于网关,而非客户端中。 等多种口令提交方
式,
易用
性
个性化登录界面:用户可自由定制登录首页和登录后Portal页面的Logo、请截图证明自定义
按钮图片,可在登录页面自定义跳转链接和下载链接,无需额外架设服务功能
器。
★虚拟DNS:SSL VPN网关可作为DNS服务使用,用户可以通过管理员自
定义的域名访问内网服务器。
客户端程序关联:支持用户认证成功后自动运行用户指定客户端软件。
动态分配虚拟IP:支持虚拟IP与口令用户或证书用户进行绑定。
可靠双机热备:支持不同型号设备间双机热备。
请截图证明
请说明实现原理
快速配置:提供快速配置配置向导功能,可在短时间内完成简单环境配置。
性 ★设备线性扩展:采用自有线性集群专利技术,不同型号网关设备间可负
载均衡,实现处理性能线性扩展。(提供专利证明)
*具有国密办商用密码产品生产定点单位证书
*具有国密办商用密码产品型号证书
*具有国密办商用密码产品销售许可证
请提供专利证明
请提供相关证书复
印件,如有造假将
追究其法律责任
具有《公安部VPN安全网关三级销售许可证》。
产品
★要求产品具备节能技术,入选工信部《电子信息节能技术开发与应用方
资质
案推荐目录》。
★要求SSLVPN产品必须是自主创新产品,拥有《自主创新产品证书》。
★要求产品具备电信级高可靠性,具有《电信设备进网试用批文》。
★具有《军用信息安全产品认证证书》,要求“军B”级(含)以上。
★公司具有计算机信息系统集成一级资质。
★公司具有涉密计算机系统集成甲级资质。
★公司具有国家信息安全测评信息安全服务二级资质
★公司具有人防信息系统建设保密设计甲级资质
★公司具有ISO9000质量管理体系认证证书
★公司具有ISO14000环境管理体系认证证书
厂商
资质
★处于对整个网络安全性和漏洞的考虑,要求厂商具备《一级风险评估服
务资质》 。
★处于对整个网络重要性和应急处理的考虑,要求厂家具有《国家级网络
安全应急服务支撑单位证书》
为了选择更优秀的产品,符合国家规定,厂商必须参与过国家《SSL VPN
技术规范》制定工作,拥有顶级专业域名。
投标人必须具有原厂商对该项目的支持授权。
要求加入微软安全响应中心(Microsoft Security Response Center)发
起的MAPP(Microsoft Active Protection Program)计划,作为该计划
成员,可在微软发布每月安全公告之前获得微软产品的详细漏洞信息,为
用户提供更及时的安全防护。
加分项,优先考虑
采用,提供资质证
书
提供资质证书
★处于对出现问题可以应急响应的考虑,要求厂商具备《一级应急处理服
务资质》
提供资质证书
请注明各自企业是
否具备,如实回答。
要求加入云安全联盟CSA(Cloud Security Alliance), 作为该联盟成员,
其它
可及时获得病毒、木马、钓鱼网站、僵尸网络等样本信息,为用户提供更
及时的安全防护。
设备制造厂商应具备自己发现主流操作系统或应用系统新漏洞的能力,并
提供两个以上2010年以后发现的新漏洞及国内外相关权威机构(如:国家
漏洞库和CVE)的证明。
网御星云入侵检测系统 IDS
TD3000-GS3500
注:“★”部分为必须满足项TD3000-GS3500的接口形式为:1个10/100M管理口+5个
10/100/1000M电口监听口+1个前插式的接口扩展槽(可扩展的接口模块包括:8*GE模块、
4*SFP模块、8*SFP模块、4*GE 4*SFP模块);
技术指标 指标要求
★产品由控制台软件和探测器两部分组成,探测器使用专用的一体化硬件平台
★探测器引擎的操作系统为VSP通用安全平台,具备高效、智能、安全、健壮、易扩
产品架构
展等特点(提供相关证明材料)
★探测器引擎采用高性能的USE统一安全引擎
★系统主机为2U独立式硬件架构平台,冗余电源
★产品应至少支持1个通讯接口,不少于5个10/100/1000M电口监听口,至少支持一
个前插式接口扩展槽,可扩展至数十个监听接口,支持千兆电口、千兆光口的扩展
★最大检测能力:不小于2Gbps
★最大并发TCP会话数:不小于150万
综合运用会话状态检测、应用层协议完全解析、误用检测、异常检测等多种检测技术,
并支持自定义协议和检测事件
★产品应具有对网络病毒、蠕虫、间谍软件、木马后门、刺探扫描、暴力破解、拒绝
服务、缓冲区溢出、欺骗劫持、僵尸网络、SQL注入、XSS、Xpath、网页木马、钓鱼网
站、Webshell、数据库攻击、网络设备攻击、0day攻击、可疑行为等常见攻击具有高
精度的检测能力。(提供界面截图)
支持IP碎片重组、TCP流重组、引擎级的事件归并、报警缩略再分析、规则阈值修改、
多网段定义检测等功能
★超过2800条的检测规则,全面兼容CVE、BugTraq等国际标准漏洞库(提供界面截
图)
★产品应具有专业的病毒检测引擎,病毒库数量不少于百万级(提供界面戴图)
★产品应具有专业的Web攻击检测引擎,可对SQL注入、XSS及其各种语法变形、语义
变形、编码等环境进行精确检测(提供界面截图)
可按源地址、目的地址、协议、事件类型、风险级别、时间范围、地址范围等条件灵
活定义安全策略,实现安全策略的动态调整
探测器提供本地日志缓存,避免因为控制台与探测器断开引擎的报警日志丢失
★一台探测器实体可基于监听网口虚拟成多个独立的虚拟探测引擎(提供界面截图)
★每个虚拟探测引擎可应用不同的检测和响应策略(提供界面截图)
★产品应支持对网络攻击事件进行回归检测的能力,即对已生成的事件进行再次分析
与统计,可根据统计结果进行报警,同时,系统应支持自定义统计阈值的图形化配置
接口(提供界面截图)
产品支持基于RFC协议规范的协议判断与解析,避免基于端口号判断协议引起的误报,
可支持的常见协议包括:ETHER、ARP、RARP、IP、ICMP、IGMP、PPPoE、Vlan Tag、MPLS、
TCP、UDP、NetBIOS、CIFS、SMB、FTP、TELNET、POP3、SMTP、IMAP、SNMP、MSRPC、
基本配置
攻击检测
SUNRPC、TNS、TDS、HTTP、QQ、MSN、BT、Thunder、CHARGEN、ECHO、AUTH、DNS、FINGER、
IRC、MSPROXY、NFS、NNTP、NTALK、PCT、WHOIS等
产品支持基于IP-MAC地址绑定的ARP攻击检测功能
可对包括HTTP、SMTP、POP3、TELNET、FTP等多种应用协议进行报文事后回放,实现
对访问行为或网络使用情况的事后分析或取证
★产品可提供威胁事件的实时展示功能,可以将引擎检测到的威胁事件在控制台界面
进行实时显示,内容包括:威胁事件名称、威胁事件的状态、威胁事件等级、威胁的
流行程度、源ip、目标ip、时间段等信息(提供界面截图)
★产品可提供对威胁事件的自动分析功能,通过系统的自动分析,过滤掉不重要的、
对用户价值不高的告警事件,仅显示对用户价值高、具有分析与关注价值的报警事件,
以此减少低效告警事件对用户安全运维的干扰(提供界面截图)
智能威胁★产品可提供对威胁事件的全局预警功能,即:在多级部署环境中,其中一个控制中
事件管理 心监测到某一个攻击之后,可以通过全局预警功能将此攻击事件通告给其它的控制中
心(提供界面戴图)
产品可提供对威胁事件的实时响应功能,在监测到攻击之后,系统需提供如下几种响
应方式:SNMP、SYSLOG、写入日志、发送邮件、实时报警、TCP Killer阻断连接、防
火墙联动、捕获原始报文等
★产品可支持对威胁事件的闭环管理功能,帮助用户发现威胁、分析威胁、处理威胁,
完成威胁管理工作的闭环(提供界面截图)
★支持对引擎存活状态、CPU和内存使用率、磁盘使用率进行实时监控
可实时对网络中的流量进行统计,实时数字、图形化显示网络当前状态下的流量
★产品可提供基本报表的查询功能,可以将事件发生的详细信息生成报表,有超过50
种报表模板,并可自定义报表
★产品可提供基于“组织化”的部署配置功能,“组织结构”可以基于IP、IP段、引
擎(加网口)等形式进行定义,同时支持基于“组织结构”进行策略下发及事件查看
(提供界面截图)
★产品可提供对历史日志进行对比分析的能力,并可基于分析结果自动生成报表,历
史事件的周期可以手工设定,该报表用于辅助用户分析一段时间内的威胁(提供界面
系统管理
截图)
报表支持HTML、Word、EXCEL、PDF等多种导出格式,并支持能过邮件方式发送报表
★产品可支持在线、离线、代理的升级方式; (提供界面截图)
支持分布式部署。一个控制台可以同时管理多个探测器;支持多级管理,报警事件可
以多级上报,检测策略可多级下发
★探测器支持被Leadsec安全管理系统统一管理
控制台和探测器之间通过SSL加密传输;探测器支持访问控制列表;探测器开放的服
务端口可修改;管理员权限分级
★产品可提供如下几种响应方式:SNMP、SYSLOG、写入日志、发送邮件、实时报警、
TCP Killer阻断连接、防火墙联动、捕获原始报文等
响应方式
★产品应具有防火墙联动的功能,支持的防火墙至少需要包括:Netscreen、TopSec、
天清FW、KingGuard、PowerV等国内主流的防火墙系统(提供界面戴图)
支持SNMP Trap协议,报警信息可被Leadsec、Topsec等多种安全管理系统接收和处
理
★具有备公安部公共信息网络安全监察局颁发的《计算机信息系统安全专用产品销售
许可证》
★具有中国信息安全产品认证中心颁发的《中国国家信息安全产品认证证书》(ISCCC
认证)
★具有国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证
产品资质
书》
★具有中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》,
要求“军B”级(含)以上
具有国家版权局颁发的《计算机软件著作权登记证书》
具有国际CVE兼容证书
★具有计算机信息系统集成一级资质
★具有涉及国家秘密的计算机系统集成甲级资质
厂商资质
★具有国家信息安全应急处理服务一级资质
★具有国家信息安全认证服务二级资质
投标人必须具有原厂商对该项目的支持授权
★设备制造厂商应是微软MAPP(Microsoft Active Protection Program)计划战略合
作伙伴
厂商服务 ★设备制造厂商应是云安全联盟(CSA--- Cloud Security Alliance)的合作伙伴
能力
★要求设备制造厂商应具备自己发现主流操作系统或应用系统新漏洞的能力,并提供
2012年以后至少14个以上厂商发现的新漏洞及国内外相关权威机构(如:国家漏洞库
和CVE等)的证明
网御星云数据库审计系统
网御网络审计系统(数据库审计型)
产品标底
适用产品型号:
LA-DT-1000B/LA-DT-1500BR
标注说明:
特色功能(★★):相对于竞争产品有明显优势的功能,可以屏蔽大多数竞争产品
有竞争优势的功能(★):能屏蔽部分竞争产品,根据具体竞争对手情况选择使用
基本功能:大多数竞争产品都具备的功能,满足竞争的基本需要
技术指标 指标要求
系统采用专用硬件架构与专用安全操作系统;专用的安
全操作系统具有自主知识产权;
★标注:绝大多数竞争对手采用的工控机进行审计
审计数据的存储空间不得少于2T
硬件规格
支持千兆网络环境监听,提供4个电口4个光口
审计数据的存储空间不得少于2T,双冗余电源,支持千
兆网络环境监听,提供6个电口4个光口
监听流量支持千兆环境
千兆审计系统审计事件每秒入库速度至少在4000条/秒
性能要求
以上
千兆审计系统审计事件每秒入库速度至少在6000条/秒
以上
日处理审计事件数至少500万条
采用旁路部署方式对原有网络不造成影响,网络审计产
品的故障不影响被审计系统的正常运行
部署管理 采用B/S管理方式
无需在被审计系统上安装任何代理
Oracle数据库审计
数据库审计
支持
SQL-Server数据库审计
DB2数据库审计
Informix数据库审计
LA-DT-1000B 500万条;
采用B/S结构便于管理和集成,是业界趋势
引入代理程序会对服务器的稳定性和可靠性造成影
响,不能为了审计而影响业务
★★标注:数据库协议是目前支持最多的系统,其
中Teradata是专用大型数据库,Cache是医疗行业
HIS系统专用数据库,三大国产数据库的支持,可根
据实际情况进行裁剪
LA-DT-1500BR 6000条/秒
LA-DT-1000B4000条/秒
数据存储,由于硬件上的限制,其一般采用单硬盘,
存储空间有限。LA-DT-500B/ LA-DT-1000B存储空间
1T。
★标注:LA-DT-1000B最大2监听端口,光电可任意
组合;LA-DT-1000B有4电口4SFP插槽
使用说明
Sybase数据库审计
MySQL数据库审计
PostgreSQL数据库审计
Teradata数据库审计
Cache数据库所审计
人大金仓数据库的审计
达梦数据库的审计
南大通用数据库的审计
网络邻居审计
NFS协议审计
Telnet协议审计
运维审计支
持
FTP协议审计
FTP文件审计
Rlogin协议审计
Radius协议审计
支持对针对数据库的XSS攻击行为进行审计
支持对针对数据库的SQL注入攻击行为进行审计
数据库安全
审计
提供对数据库返回码的知识库和实时说明,帮助管理员
快速对返回码进行识别
支持数据库并发会话数、并发进程数、并发用户数、并
发游标数、并发事务数、数据库锁等超过限制的审计
支持数据库账号登陆成功、失败的审计
系统应自带审计规则库,用户可自定义审计策略
审计策略支持时间、源IP、目的IP、协议、端口、登陆
账号、命令作为响应条件
★标注:登陆失败是需要审计的关键事件
★★
★★标注:用户网络中常常采用共享方式来实现文
件共享,多数厂商审计系统都未支持。
★★标注:某些用户环境存在Radius方式进行身份
认证,此时为了关联IP与账号,需要审计Radius
审计策略支
持
审计策略支持数据库客户端软件名称、数据库名、数据
库表名、数据库字段名、数据库返回码作为响应条件(非
正则表达式方式)
★标注:采用正则表达式方式设定策略非常繁琐,
效率低,对用户技术能力要求高。而且条件与条件
之间很难形成组合条件,而采用分项条件,易上手,
易组合。
审计策略支持字段值作为分项响应条件(非正则表达式
方式)
★★
★★标注:在数据库环境中常采用绑定变量方式来
进行数据的传输,此时参数和参数值是分别传输,
支持数据库绑定变量审计
审计能力
支持访问数据库的源主机名、源主机用户的审计
支持SQL操作响应时间的审计
若无法将参数与值相对应,数据库审计的效果将会
大打折扣,从而影响对重要数据库表的关键字段的
精细化审计效果。
★标注:该指标可以有利于追踪溯源
★★标注:该指标可以判断出SQL语句提交后,数
据库返回结果之间的时间,便于用户对耗时超长的
SQL语句进行分析。
支持Select操作返回行数的审计
支持数据库操作成功、失败的审计
支持数据库操作类、表、视图、索引、触发器、存储过
程、域、Schema、游标、事物等各种对象的SQL操作审
计。
支持Telnet协议的审计,能够审计用户名、操作命令、
命令响应时间、返回码等;
支持对FTP协议的审计,能够审计用户名、命令、文件、
命令响应时间、返回码等
支持审计网络邻居的用户名、读写操作、文件名等
支持审计NFS协议的用户名、文件名等
支持审计Radius协议的认证用户MAC、认证用户名、认
证IP、NAS服务器IP
支持IP-MAC绑定变化情况的审计
记录审计事件
记录会话数据
忽略
响应方式 界面告警
Syslog告警
SNMP trap告警
邮件告警
实时监视
实时监控对实时告警信息,当前会话进行详细察看;有
助于管理员及时处置
支持按时间、级别、源目的IP、源目的MAC、协议名、
源目的端口为条件进行查询
支持按数据库名、数据库表名、字段值、数据库登陆账
号、数据库操作命令、数据库返回码、SQL响应时间、
数据库返回行数作为查询和统计条件
事件查询统
计
支持按自定义关键字作为查询和统计条件
支持条件之间的与、或、非逻辑组合
系统提供报表模板库
系统支持根据自定义关键字自动生成报表
支持按每天、每周、每月、时刻生成报表
★
★★标注:对关键表大量数据的查询是一种需要重
点审计的行为。
★
★★
★★
★
★标注:灵活的审计条件和组合有助日常的分析和
追溯工作
支持生成CSV、Word、PDF、xls、HTML格式的报表导出
支持邮件方式自动发送报表
提供管理员权限设置和分权管理,提供三权分立功能,
系统可以对使用人员的操作进行审计记录,可以由审计
系统管理
员进行查询,具有自身安全审计功能
管理员登陆支持静态口令认证,支持密码的复杂性管理,
★标注:分保、等保要求
比如大小写、数字、特殊字符、长度等
能够对能够对连续失败登陆进行自动锁定,锁定时间可★标注:分保、等保要求
设置
提供审计数据管理功能,能够实现对审计数据的自动备
份、删除
提供审计报表自动备份功能
提供系统升级功能,能够通过升级包的方式实现升级
提供磁盘存储容量不足、磁盘Raid故障等自动邮件报警
提供CPU、内存、磁盘、网口、运行时间、运行状态等
信息的监视功能
提供审计策略和配置的导入导出
支持SNMP方式,提供系统运行状态给第三方网管系统
支持Syslog方式向外发送审计日志
第三方接口
支持SNMP Trap方式向外发送审计日志
★标注:审计数据用于事后查证,时间是其关键要
支持NTP时间同步 素,时间不同步会导致审计事件无法正常检索,降
低审计系统的可用性
产品要求 国产产品,全中文界面
*产品具有中华人民共和国公安
部颁发的《计算机信息系统安全
销售许可证
专用产品销售许可证(增强级)》;
需同时提供公安部检测报告,产
品类型/级别为:综合型安全审计
(国标增强级)
产品具有中国人民解放军信息安
资质要求
军用认证证书 全测评认证中心颁发的《军用信
标注:以上可根据竞争对手的情况进行证书的灵活
调整,对于国外的产品“国产产品,全中文界面”
是必须的,至少要求是“全中文界面”;对于国内的
厂商,特别是针对小厂商,应将计算机信息系统安
中国国家信息安全
产品认证证书(3C
强制认证)
息安全产品认证证书(军B级)》
全专用产品销售许可证, 并提供证书复印件,涉密
*产品具有中国信息安全认证中
信息系统产品检测证书, 并提供证书复印件作为必
心颁发的《中国国家信息安全产
品认证证书》(3C认证)
*产品具有中国国家保密局测评
须条件,或者分数较高的评分标准。
保密局检测证书 中心颁发的《涉密信息系统产品
检测证书》
版权证书
*产品具有国家版权局颁发的《计
算机软件著作权登记证书》
网御星云漏洞扫描系统
功能项
规格
硬件架构
描述
产品规格
功能参数
★产品为2U标准可上架设备,标配6个电口、4个SFP插槽、2个USB接口、500G以上SATA硬盘、冗余交流电源;
★具备无限
IP
扫描授权,单任务可并发扫描
100IP
。含一年漏洞库升级授权。
★采取安全的HTTPS方式登录产品界面;
支持对登录用户进行登录IP地址的控制;
支持设定连续密码输入错误的次数,以及超出后的处理方式设定,包括不处理、XX时间内暂不响应、锁定帐户等;
支持设置缺省用户的登录ip白名单;
★支持在未更改缺省用户的原始密码的情况下禁止通过其他网段进行登录;
★用户多次登录失败时,系统自动锁定登录IP。
安全登录
用户
管理
用户角色
用户扫描范围
多用户登录
用户日志审计
用户
审计内容显示
审计
日志管理
支持三员分立原则,支持的管理用户类别分别为“用户管理员”、“审计员”、“配置管理员”
★支持针对不同用户定义不同的扫描范围
支持多用户登录产品进行操作;
多用户的分权控制:配置管理员可以对所有用户的任务进行操作;其他用户只能对自己的任务进行操作。
★能够对登录日志、操作日志进行记录和查询
可以对审计内容项做分类(登录、业务和异常)统计显示
支持针对全部、某用户、某时间段的日志的备份
/
删除;
支持设置日志记录量的阈值及报警机制。
支持任务名称定义
支持扫描范围自定义(要在授权范围内定义)、扫描范围从资产导入、扫描范围从文件导入、扫描范围导出
★支持扫描对象为域名;
★支持同一个任务中
IP
与域名混合输入。
支持任务模式定义:立即执行任务或计划任务,计划任务中可以选择一次性任务、每天任务、每周任务、每月任务(计划任务均可设定
具体执行时间);支持设定计划任务的起止时间。
系统
任务管理
扫描
功能项 功能参数
★支持任务优先级定义,包含五种:低、较低、中、高、较高
★支持并发扫描主机数设置,最大支持
100
台并发;
★每台主机最大并发线程数设置,最大支持
100
个线程。
支持扫描间隔时间设置,范围在
0-10000
毫秒
★支持扫描方式选择,包括域扫描、按操作系统扫描,可以多选
★支持通知被扫描主机设置,在扫描主机的时候会向被扫描主机发送
message
消息来通知主机,消息内容可以在界面直接设置
扫描参数设定:支持扫描端口范围的设置;支持选择是否启用弱口令扫描;支持预设帐号密码的授权扫描;支持数据库扫描参数的修改。
★支持扫描延迟设置,可以设置发送、接收、链接延迟时间,范围在
0-50
秒,用于减少扫描数据对用户网络流量的影响
★支持在任务执行结束后,直接邮件发送报告给指定邮箱;
扫描报告接收邮件地址会自动填充为上次的邮件地址,记录了用户的缺省收件人的操作,方便用户使用。
★支持针对已经新建的任务做任务复制,快速生成一个相同任务,支持对复制出来的任务进行再编辑,包括:基本信息、策略、目标范
围、调度、扫描参数
★支持对扫描的任务报告进行合并,合并数量不限,合并过的报告还可以再次进行合并操作
支持创建专门的弱口令扫描任务;支持设置针对同一对象口令猜测的次数。
★支持一个任务总体扫描进度的显示;
支持一个任务中每个存活主机扫描进度的显示;
★支持显示扫描剩余时间。
支持多种扫描策略,包括常规完全扫描、高强度完全扫描、高强度扫描、中强度扫描、低强度扫描、
Web
服务扫描、
SQL Server
数据库
扫描、
Oracle
数据库扫描、
IBM DB2
数据库扫描、
Sybase
数据库扫描、
MySQL
数据库扫描、
Windows
主机扫描、类
Unix
主机扫描、攻击
扫描、网络设备扫描、虚拟化扫描等,方便用户快速选择,至少支持
17
种扫描策略模板;
策略管理
支持对已有策略进行修改、另存为、删除等操作
支持自定义策略
支持对任何一个扫描策略进行扫描参数设定,包括:
WEB
和
CGI
类通用扫描参数设置、后门类通用扫描参数设置、
Windows
口令猜测字
典文件参数设置、强力攻击字典文件参数设置、
MS-SQL Server
通用扫描参数设置、
Oracle
通用扫描参数设置、
SNMP
通用扫描参数设置、
功能项 功能参数
DB2
通用参数设置、
Sybase
通用参数设置、
MySQL
通用参数设置、系统存活探测参数设置、端口服务参数设置、漏洞列表参数设置
★支持将多个已有策略合并成一个新策略
★支持按
CVE
编号、
CNNVD
编号、
CNCVE
编号、
Bugtraq
编号、漏洞编号、漏洞名称、影响平台、简短描述、详细描述、修补建议等信
息进行模糊检索,方便用户检索扫描策略
支持各扫描策略按照多种模式显示,包括:标准模式、危险级别模式、操作系统模式、
CVE
模式
支持口令字典自定义;支持精简版与完整版口令字典切换。
支持对特殊端口进行自定义服务名称等属性值
扫描对象应支持服务器、客户机、网络打印机等;
操作系统应支持
Microsoft Windows 9X/NT/2000/XP/2003/Vista/2008/7
、
Sun Solaris
、
HP Unix
、
IBM AIX
、
IRIX
、
Linux
、
BSD
等;
网络设备应支持
Cisco
、
3Com
、
Checkpoint
、华为、
Alcatel
等主流厂商网络设备;
应用系统应支持数据库(
SQL Server
、
Oracle
、
Sybase
、
DB2
、
MySQL
)、
Web
、
FTP
、电子邮件等;
支持扫描常见的应用软件漏洞,包括
IE
浏览器、
MSN
、
Mozilla Firefox
、
Yahoo Messenger
、
MS Office
、多媒体播放器(如
Media Player
)、
VMware
虚拟机和
P2P
客户端软件(如
BitTorrent
客户端等)的安全漏洞;
支持针对意外中断(机器重启、意外断电等)的扫描任务进行断点续扫
支持针对某任务进行修复验证扫描,自动发送对比报告至指定邮箱
扫描功能
至少支持两种主机存活扫描方式:常规扫描、增强扫描
★支持针对
windows
域环境的漏洞扫描
支持
5700
种以上扫描方法,其中数据库扫描方法为
660
种以上
支持多种协议口令猜测,包括
Telnet
、
Pop3
、
SSH
、
Ftp
、
SQL Server
、
DB2
、
MySQL
、
Oracle
等;允许外挂用户提供的字典档。
★支持在
IPv6
环境中部署和执行扫描任务;支持扫描
IPv6
环境中的设备、系统。
支持对虚拟化平台的扫描
支持智能推荐扫描参数,根据宿主机的实时性能动态提供线程数和并发
IP
数等参数设置建议。
支持多网卡并行扫描,每个网卡可以在互不相通的网段中进行独立的扫描操作,用户下发任务后程序根据对象
IP
地址自动寻找相应的网
卡执行任务。
★自带漏洞的自动验证功能,无需功能扩展,提供漏洞验证、取证的系统工具,漏洞验证数量不应少于
80
种。
功能项 功能参数
支持自定义资产类型、资产价值、保护等级、资产编号、所属部门、负责人,以及备注等信息;支持自定义资产属性;支持以域名做为
资产名称。
★支持资产自动发现功能,支持利用历史扫描过程中所发现的在线主机信息,来添加部门的资产
支持自动从扫描结果中导入资产;支持以
txt
、
csv
、
dat
等格式进行资产列表的导入。
资产管理
★支持对资产的基本属性(
IP
,名称、编号以及分类等)、资产价值以及保护等级的属性的修改
支持对已有资产进行删除操作
★支持对已有资产的直接扫描
支持部门的添加、删除和修改,为资产划分责任部门或者所在的安全域
★支持显示资产的历史扫描结果,支持显示资产的风险评估值;支持直接查看资产的漏洞扫描情况。
支持在扫描过程中,扫描结果的实时显示和查看
支持过程信息实时导出,可以将主界面上实时显示的扫描结果数据右键另存成
excel
格式文档
报表快速查看
支持对扫描结果基于
IP
地址、操作系统、主机名称、
NetBios
名称、用户名、端口、服务类型、服务名称、漏洞名称、漏洞危险级别、
漏洞
ID
的排序查看
支持快速查看报表,可以从漏洞、主机、操作系统、服务等不同维度查看
支持将通过扫描方法发现的端口回写至发现端口列表
提供了每个主机的操作系统、端口服务、可用帐户,以及每个主机上发现的所有漏洞的详细描述与修补建议
统计总体漏洞数量、统计不同操作系统类型的主机数量、统计了所有开发端口、可用帐户、列出每一个漏洞所存在的主机、详细描述与
修补建议。漏洞详细描述包括:漏洞名称、详述、修补方案、
CVE/Bugtraq/CNCVE/CNNVD
编号、
CVSS
评分等
报表管理
相当于“漏洞扫描报告”+“主机扫描报告”。其中针对每一个漏洞给出详细描述与修补建议,不包括每个主机上所有漏洞的详细描述与
修补建议。
★支持对比两个任务的扫描结果,包括:新增加的在线主机、减少的在线主机、同一主机新增加的漏洞
/
减少的漏洞
/
保持不变的漏洞、
同一主机新发现的端口
/
减少端口
/
保持不变的端口等
支持对指定
IP
生成对比分析报告
支持计划任务的趋势分析报告。可以设定生成最近多少次扫描结果的趋势分析。
功能项
支持对指定
IP
生成趋势分析报告
功能参数
支持查看到指定部门内所有主机最后一次被扫描获得的结果。针对指定部门内所有
IP
,汇集了每个
IP
最后一次的扫描结果(即便部门内
所有
IP
分在多个扫描任务中被扫描)来提供部门内所有
IP
的最新安全状态信息。
支持针对指定部门的某次扫描生成扫描报告。报告中提供了部门内每个在线主机的操作系统、开放端口、可用帐户,以及每个主机上发
现的所有漏洞的详细描述与修补建议
支持对同一部门前后不同的扫描结果进行对比分析,以获得同一个部门的安全管理状况;也可以对不同部门的扫描结果进行对比分析,
以获得不同部门安全状态的差异
支持对同一部门的最后若干次扫描结果进行趋势分析;也可以对同一部门的指定多次扫描结果进行趋势分析。分析信息主要包括:各种
级别漏洞数量的变化趋势、在线主机数量的变化趋势、不同安全状态级别的主机数量变化趋势
支持独立的操作系统情况的报表统计
支持对任何系统报表模板进行定制
支持漏洞扫描结果的修正功能,允许用户将修正结果体现在新生成的报表中
支持导出
XML
、
html
、
word
、
Excel
、
等多种常见格式
支持报告自动发送功能,可以设置自动发送报告的邮箱地址,可以是一个邮箱,也支持一组邮箱
离线报表支持封面和目录章节;
HTML
离线报表能够通过点击主机
ip
链接,自动跳转至该主机的详细报告。
支持给每个任务报表添加自定义安全结论;
支持在设定任务时选择是否要把与上一次扫描结果的对比报告自动通过邮箱发送给管理员。该功能可以及时让管理员了解到新增的威胁。
报告导出
数据维护
支持历史数据的导入、导出、合并、删除功能
支持对历史任务的查询功能
产品支持自动升级、手动升级、定时升级功能
升级功能支持将多个升级包压缩成
.ZIP
文件进行统一上传升级功能;
支持升级日志的查看
支持恢复出厂状态的设置
升级功能
其他功能
功能项 功能参数
支持数据备份和恢复功能
★支持和微软
WSUS
补丁系统的联动,能够在发给主机管理员的邮件中附带自动配置
WSUS
的注册表文件,方便进行自动化的补丁修补。
支持
syslog
日志外发功能
★系统提供消息中心,支持实时提醒当前的系统消息,包括报表下载消息、升级内容消息、日志下载消息等
支持
ARP
主机检测、对网络监听设备的检测、
Sasserex
蠕虫检测、
snmp
服务检测、
MSSQL
服务检测。
提供二次开发接口,支持
XML
格式文件下载,方便第三方系统利用开发接口进行集成;
支持
HTTP 1.0
和
1.1
标准的
Web
应用系统;
支持基于
HTTPS
的应用系统;
支持
WAP
类及
WMLScript
脚本类应用系统;
支持
Web2.0
技术,支持
JS
脚本和
Flash
脚本解析;
支持所有类型的动态页面;
支持识别网站自定义
404
页面及错误页面;
检测对象
WEB
应用
扫描
功能
web应用扫描
检测能力
能够及时了解网站是否被挂马,挂在哪个文件,以及具体挂马链接。
根据网页返回的不同状态准确判定
SQL
注入,支持
SQL
错误信息及
SQL
盲注等多种检测方式。
XSS
漏洞检测
支持关键词检测功能,用户可以自定义关键字;
能够检测网站备案情况。
能够检测网站
IP
地址、邮箱等信息的泄露。
能够扫描网站默认配置等引起的
CGI
漏洞,包含网站入口点、后台管理地址等的检测。
支持检测:
Web
开发框架的调试信息,如
Django
等框架;
.NET
调试信息;
Java
调试信息;
PHP
调试信息等。
支持检测:数据库出错信息;
Web
容器错误信息;常见
Web
开发框架出错信息;常见服务端语言出错信息。
支持
IIS
、
Apache
、
Tomcat
、
Jboss
等
Web
容器的目录浏览识别。
支持检测备份文件、数据库文件、服务器探针、
Webshell
、
svn
等版本控制器的隐藏文件、
vim
等编辑器留下的中间临时交换文件。
支持对
PHP
、
.NET
、
ASP
、
JSP
等服务端语言的源码泄露识别。
功能项
支持识别
PHP
的环境探针文件。
flash
参数配置风险检测
支持识别网页中隐藏的表单项。
SQL注入漏洞
验证
支持
SQL
注入漏洞验证。
功能参数
支持任务添加、暂停、恢复、批量恢复、停止、删除、批量删除、重新检测等。
支持高级选项设置,包括设置检测深度、最大页数、最大相似页面数、并发线程、
http
请求间隔时间、子域名、风险规避等;
支持同时添加多个
URL
。
支持任务队列,支持任务自动调度。
支持任务并发执行。
任务管理
支持代理。
支持预登录,支持设置
http
认证用户名和密码;
支持预设
Cookie
;
支持设置预先访问登录
URL
及
POST
认证参数。
支持所有历史任务统计信息详细展示。
支持对历史任务进行多条件查询显示。
关键词管理
支持提供默认关键词。
支持自定义关键词,支持手工单个输入和从文本文件中批量导入两种方式。
支持设定关键词类别及重要程度。
支持在线报表查看,支持对同一站点的任务进行不同维度的统计分析。
报表
支持对同一站点的风险趋势分析。
支持导出
html
格式和
word2007
格式的任务检测报表。
支持导出
CSV
格式的趋势分析报表。
其他工具
编码
/
解码
功能项
http
请求编辑
支持在线升级与离线升级。
升级
系统维护
功能参数
支持至少每周一次特征库升级,如遇重大问题,支持即时提供升级包;
支持至少每半年一次软件升级。
支持
Log
文件记录异常信息。
支持展示系统状态,包含运行时间、版本、
CPU
、内存、磁盘等信息
支持展示所有已发现节点的分布雷达图,包括
SSID
和
MAC
信息
支持展示
AP
和客户端按信道的分布情况
支持实时显示事件统计数量
支持实时显示
top5
无线风险
支持按照网络名称统计图表显示
支持按照加密类型统计图表显示
WLA
N无
线安
全检
测功
能
系统监控
支持按照风险级别统计图表显示
支持按照种类统计图表显示
支持按照信道统计图表显示
支持实时显示无线扫描器发现的无线设备拓扑
支持显示引擎实时发现的无线设备列表;
支持显示设备安全状态;
支持设备列表和状态的导出。
支持风险实时显示;
支持显示刷新时间和行数调整
/
显示级别过滤。
支持按时间
/
名称查询风险,支持分页显示
支持支持网卡选择;
支持单个频段
/
多个频段和全部频段的选择。
系统配置
功能项
配置引擎的
AP
对象,支持导入、导出功能
配置引擎的客户端对象,支持导入、导出功能
配置引擎的无线网络对象,支持导入、导出功能
配置引擎的有线子网对象,支持导入、导出功能
支持无线安全风险总体趋势统计
支持无线网络架构脆弱性统计
支持无线网络攻击风险统计
支持无线设备审计统计(
2.4G
及
5.8G
)
系统报表
支持
FISMA
报告
支持
BASEL II
报告
支持萨班斯报告
支持
HIPAA
报告
支持
PCIDSS
报告
支持添加多个引擎,进行统一管理
支持添加多个管理中心,进行统一管理
分布
式多
级管
理功
能
设备管理
支持添加设备组,对下级设备分组管理
支持查看连接状态、拓扑结构、下级引擎状态
支持用户自定义关键词。
功能参数
精确管理
任务管理
报表管理
支持双击拓扑结构中的下级设备,进行下级设备的预授权访问
支持对下级扫描引擎扫描范围精确管理,不在下级设备扫描范围的
ip
不允许扫描
支持统一制定任务,下发至多个引擎
支持实时查看下级引擎任务的扫描进度,对下级引擎的任务进行暂停、停止等操作
支持对下级引擎的任务进行汇总分析
支持对跨级引擎的任务进行汇总分析
功能项
策略管理
升级管理
授权管理
其他功能
产品资质
支持对策略进行自定义,并下发给下级设备
支持对口令字典进行自定义,并下发给下级设备
支持对端口服务进行自定义,并下发给下级设备
支持对下级设备进行升级包下发并升级
功能参数
支持对下级设备进行授权文件下发、配置、更新
支持数据库备份和数据恢复功能
★支持和微软
WSUS
补丁系统的联动,能够在发给主机管理员的邮件中附带自动配置
WSUS
的注册表文件,方便进行自动化的补丁修补。
产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》
产品具有国家保密科技测评中心颁发的《涉密信息系统产品检测证书》
★要求设备制造商具备工业和信息化部颁发的《计算机信息系统集成资质证书》(壹级)
★要求设备制造商具备中国信息安全产品测评认证中心颁发的《国家信息安全认证信息安全服务资质证书》(安全工程类二级)
★具备国家保密局颁发的《涉及国家秘密的计算机信息系统集成资质证书》(甲级)
资质
证书
要求
公司要求
★对出现问题可以应急响应的考虑,要求厂商具备《一级应急处理服务资质》
★对整个网络安全性和漏洞的考虑,要求厂商具备《一级风险评估服务资质》
★要求加入云安全联盟
CSA
(
Cloud Security Alliance
)
,
作为该联盟成员,可及时获得病毒、木马、钓鱼网站、僵尸网络等样本信息,为
用户提供更及时的安全防护。
★要求加入微软安全响应中心(
Microsoft Security Response Center
)发起的
MAPP
(
Microsoft Active Protection Program
)计划,作为该计
划成员,可在微软发布每月安全公告之前获得微软产品的详细漏洞信息,为用户提供更及时的安全防护。
★设备制造厂商应具备自己发现主流操作系统或应用系统新漏洞的能力,并提供两个以上
2010
年以后发现的新漏洞及国内外相关权威机
构
(
如:国家漏洞库和
CVE)
的证明。
网御星云安全管理系统 soc管理平台
红色标记的是特色指标
黄色着色的是可选模块,如果不买此可选模块,千万不要写到标底中去!
序号
产品指标项
运行环境
产品性能参数和要求
系统必须采用B/S架构,管理员只需浏览器即可连接到系统进行各种操作。
○用户的浏览器客户端无需安装JRE或者JAVA Web Start即可访问管理中
心;
产品要求集成数据库,无须再独立安装数据库系统,亦无须对数据库进行专
门的维护。
产品要求至少能够部署在Windows和Linux操作系统上,支持64位操作系
统。
◎系统必须采用基于浏览器的用户界面,至少支持IE与Firefox。为了适
应不同用途,用户可以对界面颜色进行选择调整。
涵盖网络设备、安全设备、主机、数据库、中间件以及各种应用系统
◎管理中心的事件处理性能可以达到平均每秒15000条事件。
◎并发监控任务个数可扩充达到1000个以上
使用界面
管理范围
事件处理性能要
求
监控性能要求
【必须购买基础
监控模块】
部署 部署方式
支持简单部署、级联部署和分布式部署。
◎简单部署:无需安装任何其他软件和组件,用户只需要安装管理中心即可
实现对全网资源的安全管理;
级联部署:两个管理中心之间可以进行级联,形成大规模统一管理;
分布式部署:一个管理中心可以连接多个分布式采集器或者日志代理,实现
对全网分散IT资源的统一管理
1) 用户登录即可进入综合展示界面。通过该界面,能够快速的导航到各个
功能;
2) ◎用户可以自定义一级功能菜单,可以根据自身需要调整一级功能菜单
的顺序;
3) ◎在综合展示界面中能够显示系统的基本管理信息,包括当前告警状
态、最近告警信息、资产告警排行、事件趋势、监控对象概要信息等;
4) ◎在综合展示界面中可以实时显示系统当前的每秒处理事件数,并绘制
出事件数变化曲线;能够显示一段时间内各等级事件的数量和事件总
数。
1) 工作台为用户提供了一个从用户自身业务需要出发使用本系统的快速
入口。用户可以在工作台中自定义仪表板,按需设计仪表板显示的内容
和布局,可以为不同角色的用户建立不同维度的仪表板;
2) 仪表板中的每个显示区域都能够放大、缩小、拖动;
3) 系统必须内置基本的仪表板;
1) 系统具有资产管理的功能,能够将被管理IT资产进行分组、分域的统
一维护。
功能要
求
综合展示
工作台
【必须购买工作
台管理模块】
资产管理
序号 产品指标项 产品性能参数和要求
2) 系统支持以资产树的形式显示不同资产区域之间的关系;
3) 系统支持以列表的形式显示某个管理区域中的所有资产清单;
4) ◎系统提供基于资产的拓扑视图,可以显示资产之间的逻辑连接关系。
用户可以手工编辑资产拓扑,包括添加节点,添加/编辑连线,任意拖动
节点,可以对拓扑图进行缩放,可以更换拓扑图背景;
5) ◎用户在拓扑图上添加的资产节点等同于在资产列表中添加资产节点;
6) ◎用户可以随意在资产的拓扑视图和列表视图之间进行切换;
7) ◎在资产拓扑上选择每个资产节点,可查看每个资产的事件信息、告警
信息、漏洞信息、风险信息,并且支持向下钻取,直接进入事件列表、
关联告警列表;
8) ◎能够根据收到的事件的设备地址自动识别新的资产,并支持自动添加
到资产清单中去;
9) 用户可以对资产定义标签,实现对资产属性的动态扩展。
资产建模
【必须购买资产
建模模块】
1) ◎用户可以自定义资产类型,并且可以针对每个资产类型自定义资产扩
展属性;
2) ◎自定义的资产扩展属性至少应包括属性名称和数据类型,数据类型应
至少可以指定为字符串、数字、枚举、时间、BLOB;
3) ◎用户在录入资产的时候,一旦指定该资产为某种资产类型,则会自动
显示该资产的扩展属性,供用户录入和维护。
1) ◎拓扑管理功能能够运行在Linux和Windows环境下,无需安装JRE
或者使用Java Web Start即可展示网络拓扑;
2) 系统能够描绘出网络拓扑图,展示IT资产之间的逻辑拓扑连接关系,
并能够自动进行多种拓扑布局;
3) ◎用户可以手工编辑资产拓扑,包括添加节点,添加/编辑连线,任意拖
动节点,可以对拓扑图进行缩放,可以更换拓扑图背景;
4) ◎网络拓扑图具备实时设备和链路运行监控功能,如果设备或者链路发
生故障,能够自动的进行标记;
5) ◎用户可以随意在网络拓扑图和网络设备列表之间进行切换;
6) 系统能够以机架视图的形式可视化地显示设备在机架/机柜摆放位置。用
户可以自定义机架视图
7) 机架视图能够实时展示设备的运行状态,如果设备发生告警,会自动加
以标识;
1) 系统能够自动进行网络拓扑发现,自动描绘网络中资产节点之间网络连
接关系;
2) 拓扑发现支持ICMP,SNMP,STP等协议方式。
1) 无需另外安装软件组件,管理中心即可通过 SNMP Trap、Syslog、
ODBCJDBC、文件文件夹、WMI、FTP、NetBIOS、OPSEC等多种方式完成
日志收集功能;
2) 可灵活定制不支持的数据源采集,而无须改动代码。
1) 系统必须具备日志范式化功能,实现对异构日志格式的统一化;
2) 范式化字段至少应包括事件接收时间 、事件产生时间、事件持续时间、
用户名称、源地址、源MAC地址、源端口、操作、目的地址 、目的
拓扑管理
【必须购买基础
监控模块】
自动拓扑发现
【必须购买自动
拓扑发现模块】
日志采集
日志范式化
序号 产品指标项 产品性能参数和要求
MAC地址、目的端口、事件名称、事件摘要 、等级、原始等级、原
始类型、网络协议、网络应用协议、设备地址、设备名称、设备类型等;
3) 针对不支持的事件类型做范式化不需改动编码,通过修改配置文件即可
完成;
4) 支持长安全事件格式;
5) 对日志设备类型、日志类型、日志级别等可进行重定义。
6) ◎在范式化的时候能够对日志进行分类,分类需按照安全事件的类型,
而不是日志的设备类型,并提供日志分类的类型清单。
日志传输和存储
转发
1) ◎日志可加密压缩传输,保证数据的完整性和机密性;
2) ◎日志可加密存储。支持大数据量存储;
3) ◎可根据转发条件,将采集范式化后的数据转发到其他的目标地址;
4) ◎支持加密压缩方式转发,定时转发。
1)◎要支持对无用日志的自动过滤,减少垃圾数据数量;
2)◎可以建立日志过滤条件;
3)◎过滤条件可以按照所有范式化后的字段属性来定义。
1)◎要支持对无用信息的自动合并,减少垃圾数据数量;
2)◎可以建立日志合并条件,设定合并的时间范围。
1) ◎系统同时提供独立的日志采集器用于日志的采集,日志采集器可分布
式部署;
2) ◎日志采集器采用B/S架构设计,有独立的管理界面,通过浏览器可以
登录到日志采集器上进行查看和配置;
3) ◎审计中心可以集中对日志采集器进行统一管理,包括泛化策略的下
发;
4) 日志采集器可以运行在Linux和Windows环境下;
5) 日志采集器支持以SNMP Trap、Syslog、ODBCJDBC、文件文件夹、WMI、
FTP、NetBIOS、OPSEC等多种方式完成日志收集;
6) 日志采集器在接收到日志后可以进行日志过滤,对日志信息进行筛选;
7) ◎日志采集器可实时或按设定的时间将指定的日志送到管理中心;
8) ◎日志采集器在将日志送往管理中心的时候,可以制定传送策略,仅传
送符合条件的日志;
9) ◎日志采集器在向管理中心发送日志的时候支持传输加密与数据压缩;
10) 日志采集器提供缓存功能,可存储因网络故障而无法发送的数据;
11) 可灵活定制不支持的数据源采集,无须改动代码。
1) ◎系统采用基于策略的事件分析模式,使用户从传统的“条件编辑”式
的分析体验转变为“策略选取” 式的分析体验,大大提升分析效率;
2) ◎系统内置超过3000条分析策略,包括各种实时分析策略、历史分析
策略、告警统计策略、工作台仪表板视图。
1) 系统允许管理员实时的,以实时监视策略的形式同各个维度查看安全事
件;
2) 用户可自定义监视策略,并以树形结构进行组织;
3) 实时显示事件内容包括:接收时间、事件类型、事件名称、报警级别、
来源IP、目的IP、设备类型、设备来源IP等。
4) 可查看事件详细信息和原始信息。
日志过滤
日志合并
日志采集器
【必须购买分布
式事件采集器模
块】
事件分析模式
安全事件实时监
视
序号 产品指标项 产品性能参数和要求
5) 可查看日志的参考说明;
6) ◎可以显示一段时间的动态事件移动图,能够在图上显示每个时间切片
的事件数量、等级,并能够在图上显示总的事件数和每秒事件数。用户
点击每个时间切片,可以查看该切片内的事件;
7) ◎可以对事件依据其源目的IP和端口信息进行深入的事件追踪调查,支
持无限次数的追踪调查;
8) ◎对于关联事件,可以钻取出导致该关联事件的原始事件;
9) ◎可以手工对日志进行告警;
10) ◎可以对选中的事件源/目的IP地址进行全球地图定位,包括在线
定位和离线定位;
11) ◎可以对选中的事件进行事件拓扑分析,并可视化的展示一幅描述
事件之间相互关系的行为图;
12) ◎可以以图形化的方式展示日志属性之间的聚合关系。
事件实时统计分
析
1) 系统允许管理员以实时统计策略的形式从各个维度进行安全事件进行
实时统计分析;
2) 用户可自定义统计策略,并以树形结构进行组织;
3) 统计策略的条件和时间间隔可自由设定;
4) 支持柱状图、饼图等形式的统计信息可视化展示;
5) ◎实时统计图会随时间推移动态更新,反映最新的统计结果;
6) 根据统计结果可直接钻取符合条件的事件;
7) ◎统计结果可以导出。
1) 系统允许管理员以历史统计策略的形式从各个维度进行安全事件进行
历史统计分析;
2) 用户可自定义统计策略,并以树形结构进行组织;
3) 统计策略的条件和时间段可自由设定;
4) 支持柱状图、饼图、曲线图等形式的统计信息可视化展示;
5) 根据统计结果可直接钻取符合条件的历史事件;
6) ◎统计结果可以导出。
1) 系统允许管理员以查询策略的形式查看安全事件;
2) 用户可自定义查询策略,并以树形结构进行组织;
3) 可对安全事件进行模糊搜索查询;
4) ◎能够基于事件类型进行事件查询;
5) 可以发起即席查询;
6) ◎采用分段式查询、渐进式加载模式,提升用户查询体验;
7) ◎采用任务的方式响应用户查询请求,用户不必在线等待查询结果。
1) 系统具有基于规则的安全事件关联分析的能力,能够对不同的事件进行
相关性分析,发掘潜在的信息;
2) 系统提供基于图形化方式的关联规则编辑器;
3) 所用事件字段都可参与关联;
4) 可实现逻辑关联,以及嵌套逻辑关联;
5) 可实现统计计数关联;
6) 关联分析规则可导入导出;
7) 关联规则与日志源设备厂家无关,更换设备无需修改规则;
事件历史统计分
析
事件查询
基于规则的事件
关联分析
序号 产品指标项 产品性能参数和要求
8) 关联规则可实时启用和停用。
9) 支持多事件关联,对不同来源的安全事件进行复杂的相关性分析【必须
购买增强关联分析模块】
基于情境的事件
关联分析
1) 系统能够将安全事件与当前网络和业务的实际运行环境进行关联,透过
更广泛的信息相关性分析,识别安全威胁;
2) 系统应至少支持基于弱点的情境关联、基于资产的情境关联、基于网络
告警的情境关联;
1) 系统具备基于异常行为的事件关联分析功能,具备细粒度的动态周期性
行为建模能力和基于多次指数平滑的行为预测能力;
2) 系统能对指定IP的事件行为特征进行周期性建模,然后将实测值与建
模值进行比较,判定异常 ;
3) 系统能根据指定IP的事件行为特征的历史值通过预测算法预测出未来
时间的取值区间,然后将实测值与预测值进行比较,判定异常;
4) 系统采用了基于场景的分析方式;
5) 系统内置14种行为分析场景的模板,用户可以根据自身需求对模板进
行实例化,建立任意数量的分析场景实例;
6) 对于每种分析场景,都能显示行为分析主体的事件分布情况、分析指标
变化趋势,以及相关告警列表;
7) 行为分析概览能够展示系统总体事件的IP云图、事件类型云图、TopN
事件量网段、总体事件趋势、总体告警趋势、个类型事件的数量变化趋
势。
系统具备丰富的事件可视化展示能力,具备多种展现手段,至少包括事件拓
扑图、IP全球定位图、动态事件移动图、事件多维分析图、资产拓扑图,等
等
1)系统应提供事件维护功能,能够自动定时备份安全事件;
2)提供自动、手动的事件维护手段;
3)管理员可设置事件存储空间告警阈值。
系统能够对各种不同厂商的安全设备、网络设备、主机的性能与可用性进行
集中化实时监控
行为分析◎
【必须购买行为
分析模块】
安全事件可视化
安全事件存储管
理
集中设备运行监
控
【必须购买基础
监控模块】
集中应用运行监
控
【必须购买增强
监控模块】
性能信息采集
【必须购买基础
监控模块】
性能采集器◎
【必须购买分布
式性能采集器模
块】
系统能够对各种主流厂商数据库、中间件、网络服务、以及各种应用系统的
性能与可用性进行集中化实时监控
1) 系统支持通过SNMP、TELNET、SSH、SSH2、ODBC、JMX、协议仿
真等方式对IT资产进行性能与可用性信息的周期性采集;
2) 采集时无需在被管理节点上安装代理;
1) 系统提供可另外部署的性能信息采集器,每个采集器都能对所辖片区资
产的性能信息进行采集,并统一上报管理中心,实现集中化的性能与可
用性监控;
2) 性能采集器采用B/S架构设计,有独立的管理界面,通过浏览器可以登
序号 产品指标项 产品性能参数和要求
录到性能采集器上进行查看和配置,可以查看采集器上每个监控器的监
控快照和性能指标数值;
3) 性能采集器可以运行在Linux和Windows环境下;
4) 性能采集器支持通过SNMP、TELNET、SSH、SSH2、ODBC、JMX、
协议仿真等方式对IT资产进行性能与可用性信息的周期性采集;
5) 管理中心具备对多个性能信息采集器的集中管理功能;
性能与可用性监
控分析
【必须购买基础
监控模块】
1) 系统对于各种监控对象都能进行全方位细粒度的监控,具有丰富的监控
指标;
2) 管理员可以通过丰富的可视化图表查看监控指标信息;可以对监控指标
设置告警阀值;可以将监控指标的数据保存起来,并进行历史分析;
3) ◎可以将监控指标的数据保存起来,进行历史分析;可以进行基于指标
的横向对比分析和基于时间的纵向对比分析。
网络设备监控
【必须购买基础
监控模块】
安全设备监控
【必须购买基础
监控模块】
主机监控
【必须购买基础
监控模块】
1) 支持所有支持SNMP协议的主流网络设备;
2) 能够监控网络设备基本属性,以及性能与可用性指标,包括:设备名称、
IP信息、描述、节点状态、运行时间、接口信息、路由信息、网络状态
信息、网络性能信息
1) 支持所有支持SNMP协议的主流安全设备;
2) 能够监控安全设备基本属性,以及性能与可用性指标,包括:设备名称、
IP信息、描述、节点状态、运行时间、接口信息、网络状态信息、网络
性能信息
1) 支持主流版本的Windows、Linux、AIX、Solaris、HP-UX等主机和服务
器;
2) 能够监控主机基本属性,以及性能与可用性指标,包括:名称、IP、描
述、节点状态、运行时间、网络接口信息、CPU利用率、内存利用率、
磁盘利用率、磁盘IO、文件系统、安装软件、安装服务、运行进程、 网
络连接;
3) ◎支持用户自定义监控指标,例如可以对任意进程进行监控;
数据库监控
【必须购买增强
监控模块】
1) 支持主流版本的MS SQL Server、Oracle、DB2、Informix、Sybase、MySQL
等数据库;
2) 能够监控数据库的基本属性,以及性能与可用性指标,包括:名称、版
本、端口、主机名、内存信息、运行状态(例如命中率状况,数据库等
待事件,Lock和latch争用情况,Shared pool的使用情况,排序使用的
情况,Redo log使用情况,登录用户情况等)、事务信息、缓存信息、
连接信息、锁信息、SQL统计、命中率信息、表空间信息、访问方法明
细、数据库明细等
1) 支持主流版本的Weblogic、WebShpere等中间件;
2) 能够监控中间件的基本属性,以及性能与可用性指标,包括:名称、版
本、端口、连通性、运行状态、CPU、内存、事务、JVM Runtime、队
列、Servlet会话、线程池、EJB、JDBC连接等;
1) 支持各种网络服务的监控,包括并不限于:SMTP、POP3、HTTP、FTP、
TELNET、SSH、SSH2、DNS、DHCP、WINS、LDAP;
中间件监控
【必须购买增强
监控模块】
应用监控
【必须购买增强
序号 产品指标项
监控模块】
产品性能参数和要求
2) 能够对Apache TOMCAT和IIS进行监控;
3) ◎能够对IBM Lotus Domino进行监控,包括连通性、命令缓存、NSF、
请求、会话、邮件收发性能;
4) 能够监控邮件服务(SMTP/POP3)的连通性、响应延迟;
5) 能够监控WEB服务器(IIS和TOMCAT)的连通性、传输速率、用户
访问数、会话数等;
6) 能够对URL的连通性和响应延迟进行监控;
7) ◎能够对指定网页进行监控,基于正则表达式进行网页内容检测;
8) 能够监控通用服务(TCP、DNS、DHCP)协议的连通性、响应时间
虚拟化监控
【必须购买虚拟
化监控模块】
1) 能够对Vmware的ESX进行监控,包括ESX自身的监控以及运行在ESX
上的虚拟OS的监控;
2) 能监控ESX的名称、IP、描述、节点状态、运行时间、CPU利用率、
内存利用率、网络状况、数据存储、磁盘IO、虚拟机列表
3) 能监控每个VM的名称、IP、描述、节点状态、运行时间、CPU利用率、
内存利用率、网络状况、数据存储、磁盘IO
网络故障诊断分
析◎
【必须购买故障
诊断模块】
1) 系统具备基于故障树的网络故障诊断功能,能够根据网络故障沿网络拓
扑水平传播的特性,通过对大量网络告警事件在拓扑空间中的分布,以
及传播时间上的顺序,自动判别故障源;
2) 系统能够可视化地展现一幅故障树,并标记出故障节点;
3) 系统能够显示故障告警趋势图、故障告警等级分布图;
业务管理◎
【必须购买业务
管理模块】
1) 系统提供基于业务的安全管理功能;
2) 系统内置业务建模工具,用户可以构建业务拓扑;
3) 业务可以嵌套子业务;
4) 提供基于安全指标体系的业务健康指数模型,从业务的性能与可用性、
业务的脆弱性和业务的威胁三个维度计算业务的健康度;
5) 系统的业务健康指数模型是一个动态模型,用户可以根据所关注的业务
实际情况自定义关键性能指标,可以自定义关键威胁指标,可以自定义
指标权重;
6) 系统必须提供内置的关键威胁指标,并且指标维度不少于6个;
7) 用户可以对业务进行可用性分析,查看业务安全事件和业务告警;
8) 用户可以对业务拓扑进行钻取,分析构成业务的每个资产的运行详情;
9) 用户可以基于业务拓扑进行业务故障定位。
脆弱性管理 1) 系统具有脆弱性管理功能,能够导入资产的弱点信息,并计算资产/安全
域/业务系统的脆弱性值。
2) 至少支持导入启明星辰、绿盟、榕基的漏扫结果;
3) 系统能够通过多种方式展示资产/安全域/业务系统的弱点信息,可以查
看单个资产的弱点,可以查看某个安全域的弱点值最高的10个资产;
4) 系统具备漏洞库,所有导入的漏洞信息都可以检索,用户可以编辑漏洞
信息。
天镜漏洞扫描引1) 系统可以对天镜漏扫引擎进行集中管理,并对天镜漏扫引擎下发扫描任
序号 产品指标项
擎集成与调度
【需要购买漏扫
调度管理模块】
配置安全核查◎
【必须购买配置
安全核查模块】
产品性能参数和要求
务,收集扫描结果,统一进行漏洞脆弱性分析;
2) 漏扫结果可以自动参与到弱点管理模块中,并参与脆弱性计算。
1) 系统具有主动的配置安全核查功能,能够对核查对象的配置进行细粒度
的安全符合性检查,并出具核查报告;
2) 系统支持多种核查调度策略,包括即时核查、定时核查、周期性核查和
离线核查四种核查方式;
3) 用户可以自定义核查作业、配置核查模板,还可以自定义检查脚本和配
置采集脚本。
配置信息采集◎
【必须购买配置
安全核查模块】
配置核查采集器
◎
【必须购买分布
式配置核查采集
器】
配置核查项内容
◎
【至少必须购买
配置安全核查模
块】
系统支持通过SMB、SSH/SSH2、TELNET、JDBC、配置核查代理等协议进行
配置信息采集
1) 配置核查采集器可以安装并独立运行在一台服务器上,实现对分散的管
理对象的配置信息采集与核查。
2) 配置核查采集器的结果可以转发给管理中心。管理中心可以对网络中分
散的配置核查采集器进行集中管理,下发核查任务和策略。
3) 借助配置核查采集器可以实现离线配置核查。
1) 提供Windows系列(Win2003、win2008、winXP、win7)安全配置核查
项。【必须购买配置安全核查模块】
2) 能提供针对主流Cisco防火墙的安全配置核查和分析。【必须购买思科安
全设备安全配置核查模块】
3) 提供针对主流Juniper防火墙的安全配置核查和分析。【必须购买瞻博安
全设备安全配置核查模块】
4) 提供针对主流Huawei防火墙的安全配置核查和分析。【必须购买华为安
全设备安全配置核查模块】
5) 提供针对主流Cisco网络设备的安全配置核查和分析。【必须购买思科网
络设备安全配置核查模块】
6) 提供针对主流Juniper网络设备的安全配置核查和分析。【必须购买瞻博
网络设备安全配置核查模块】
7) 提供针对主流Huawei网络设备的安全配置核查和分析。【必须购买华为
网络设备安全配置核查模块】
8) 提供针对Red Hat Linux Enterprise 5以上版本、CentOS5以上版本、SUSE
Linux Enterprise 9 以上的Linux操作系统的安全配置核查和分析。【必
须购买主机Linux安全配置核查模块】
9) 提供针对Solaris7以上系列操作系统的安全配置核查和分析。【必须购买
主机Solaris安全配置核查模块】
10) 提供针对HP-Unix11i以上版本的安全配置核查和分析。【必须购买
主机HPUnix安全配置核查模块】
11) 提供针对AIX5L系列操作系统的安全配置核查和分析。【必须购买
主机AIX安全配置核查模块】
12) 提供针对9i以上版本Oracle数据库安全配置核查和分析。【必须购
序号 产品指标项 产品性能参数和要求
买数据库Oracle安全配置核查模块】
13) 提供针对MySQL5以上版本MySQL数据库安全配置核查和分析。
【必须购买数据库MySQL安全配置核查模块】
14) 提供针对SQL Server2000以上版本SQL Server数据库的安全配置
核查和分析。【必须购买数据库SQLServer安全配置核查模块】
15) 提供针对Sybase15.x以上版本数据库的安全配置核查和分析。【必
须购买数据库Sybase安全配置核查模块】
16) 提供针对DB2 9.x以上版本数据库的安全配置核查和分析。【必须
购买数据库DB2安全配置核查模块】
17) 提供针对Apache2.x以上中间件的安全配置核查和分析。【必须购
买中间件Apache安全配置核查模块】
18)
19)
提供针对Tomcat5.x以上中间件的安全配置核查和
分析。【必须购买中间件Tomcat安全配置核查模块】
20) 提供针对Bind 9.x以上中间件的安全配置核查和分析。【必须购买
中间件Bind安全配置核查模块】
21) 提供针对WebLogic 10.x以上中间件的安全配置核查和分析。【必
须购买中间件WebLogic安全配置核查模块】
22) 提供针对WebSphere 7.x以上中间件的安全配置核查和分析。【必须
购买支持中间件WebSphere安全配置核查模块】
23) 提供针对Domino 8.x以上中间件的安全配置核查和分析。【必须购
买支持中间件Domino安全配置核查模块】
24) 提供针对IIS6中间件的安全配置核查和分析。【必须购买中间件IIS
安全配置核查模块】
风险评估◎ 1) 系统通过内置的风险计算模型,综合考虑资产的价值、脆弱性和威胁,
计算风险的可能性和风险的影响性;
2) 能够定期自动地计算出资产、安全域和业务系统的风险值,并刻画出资
产、安全域和业务系统随时间变化的风险变化曲线,支持风险钻取与分
析;
3) 系统能够形象地展示出安全域的风险矩阵,从可能性和影响性两个角度
标注安全域中资产风险的分布情况,通过风险矩阵法,指导管理员进行
风险分析,采取相应的风险处置对策;
4) 能够显示任意安全域的威胁Top10资产,风险Top10资产;
宏观监测◎
【必须购买宏观
监测分析模块】
1) 系统通过对收集到的一段时间内的海量安全事件的报送IP地址进行熵
值计算,得到这些安全事件报送IP聚合度的变化幅度,以此来刻画这
段时间内这些安全事件所属网络的安全状态,并预测下一步的整体安全
走势
2) 系统能够持续地描绘地址熵态势曲线,并可以显示每个时段的地址态势
成因图。通过对三种典型态势成因图的模式分析,可以识别两种典型的
态势异常;
3) 支持对异常态势信息的逐层下钻,直至定位到导致态势异常的关键安全
事件;
威胁态势分析◎ 1) 系统通过建立并针对一组关键指标体系(KPI)计算得到一个威胁指数,
序号 产品指标项
【必须购买威胁
KPI模块】
产品性能参数和要求
以此来表征一段时间内、某个网络区域的网络安全威胁状态及其发展趋
势;
2) 系统能够计算全网或者一级安全域的威胁态势指数,并自动描绘出态势
指数曲线;
3) 系统能够描绘出态势成因雷达图和帕累托图,展示出每种态势成因在态
势指数中所占的比重;
4) 系统能够分析并展示当前态势指数与上个周期的态势指数的环比变化
情况;
5) 管理员可以对态势指数进行层层下钻,直到钻取出导致该态势成因的具
体安全事件;
6) 管理员可以对态势指数设定预警阀值,在超过阀值后系统自动发出威胁
态势警告信息。
热点分析◎
【必须购买热点
分析模块】
1) 系统采用聚类算法持续地从事件的源IP、目的IP、资产类型、事件等级、
事件数目5个维度(向量)朝终端、网络和应用三个群组进行聚类运算,
找到当前一段时间的事件热点;
2) 系统支持对热点事件进行钻取分析;
3) 系统支持热点的历史回放。
1) 通过发布内部及外部的早期预警信息,分析可能受影响的资产,提前了
解业务系统可能遭受的攻击和潜在的安全隐患。
2) 系统的预警分为内部预警和外部预警;
3) 内部预警支持规则自动产生,外部预警支持手工录入;
4) 在录入预警信息的时候,可以关联到受影响的资产;
5) 预警类型包括安全通告、攻击预警、漏洞预警和病毒预警;
6) 系统具有预警的生命周期管理,预警信息的状态至少包括预备预警、正
式预警和归档预警三种。
1) 告警动作支持告警重定义、弹出提示框、播放警示音、发送邮件、发送
SNMP Trap、发送短信、执行命令脚本、设备联动、发送飞鸽传书、发
送Syslog等方式;
2) 支持以派发工单的形式进行告警响应;【必须购买工单管理模块】
3) 告警内容可以自定义,可以根据日志的实际情况将参数传递给命令行脚
本;
4) 用户可以对告警进行即席查询,导出查询结果;
5) 管理员可以根据查询到的告警信息直接派发工单;【必须购买工单管理
模块】
6) 支持告警信息导入;
8) 系统允许管理员以告警统计策略的形式从各个维度进行告警信息进行
统计分析;
9) 用户可自定义告警统计策略,并以树形结构进行组织;
10) 告警统计策略的条件和时间段可自由设定;
11) 告警统计结果支持柱状图、饼图等形式的统计信息可视化展示;
12) 根据告警统计结果可直接钻取符合条件的告警信息;
1) 管理员可以生成周期性任务工单,也能够根据安全事件和告警触发一次
性工单,并派发给指定的处理人。
预警管理◎
【必须购买预警
管理模块】
告警管理◎
工单管理
【必须购买工单
序号 产品指标项
管理模块】◎
产品性能参数和要求
2) 管理员可以指定工单的优先级,可以选择采用短信或者邮件方式通知处
理人;可以指定工单处理的开始时间和结束时间,可以设定工单完成的
时限;
3) 工单处理人在接收到工单后可以记录工单的流转信息和状态信息;
4) 可以按照多种条件查询工单;
5) 管理员可以查看所有的工单及其流转的全过程;
6) 管理员可以自定义工单分类;
7) 能够对工单的数量、状态(处理情况)等进行统计分析,至少展示出工
单按时完成率、工单分配统计、以及工单发布/完成趋势;
1) 系统内置了资产、事件、监控、风险等报表报告;
2) 提供内置报表模板;
3) 支持按照天、月度、季度、年度等时间周期生成报表,,并支持邮件自
动投递;
4) 支持在报表中以柱状图、曲线图、饼状图方式统计安全报警情况;
5) 支持报表报告的导出,导出的格式支持EXCEL、PDF、DOC、XML、
HTML、RTF等,支持Office 2007格式;
6) 系统内置报表编辑器,可以自定义报表。
1) 系统提供开放的知识管理功能,内置了大量的安全知识,同时也允许用
户在系统使用过程中不断丰富和完善。
2) 用户可以对所有的知识点进行基于关键字的全文检索,操作界面类似百
度搜索或者Google搜索。
3) 系统预先建立的知识包括:案例库、漏洞库、事件分类库、字典库等;
4) 系统内置日志字典库,方便用户查询不同原始日志信息的错误ID号和
详细描述信息
1) 系统允许上级管理中心对下级管理中心的节点进行集中管理和展示,上
级管理中心可以访问下级管理中心;
2) 在上级管理中心,可以对下级管理中心的节点进行配置和监控。
1) 可记录系统自身日志,可查询;
2) 可对系统自身的CPU、内存、数据库空间大小等进行监控;
3) 可以对自身运行的CPU、内存和磁盘空间等的使用率设置告警阈值;
4) 支持系统时间同步,确保审计系统与用户网络环境的时间保持同步。
报表管理
知识管理
级联管理
【必须购买标准
多级管理模块】
系统管理
权限管理 1) 实现基于角色的权限管理,所有的用户的权限都通过角色来赋予;
2) 要求系统管理员、权限管理员和用户管理员三权分立;系统内置上述三
类管理员。
2024年10月28日发(作者:东方英媛)
网御星云防火墙系统power v6000-f5320
注:其中打“
★
”部分为必须满足项。
技术指标
硬件架构
接 口
性 能
指标要求
硬件要求采用专用架构平台,采用专用的处理芯片,厂商要求自主设计硬件架构的能力
标准2U机箱,标配4个10/100/1000BASE-T端口,3个前扩展插槽,最大可扩展28个网
络接口;并含2个高速USB2.0接口,可接移动存储进行日志存储,要求现场可验证,标
配冗余电源
要求吞吐量>12Gbps,最大并发连接数>320万,每秒新建>6万/秒,VPN隧道数>6000条
要求具备自主研发的安全操作系统,并提供该安全操作系统的软件著作权,无通用操作系
统漏洞。
系统要求
★要求支持双系统引导,并可WEB界面上配置启动顺序,要求除恢复系统之外,还可支持
系统一键式切换及完整备份(要求多个系统界面截图)
要求支持虚拟系统技术,每个虚拟系统vFW具备独立的管理权限、安全策略、等功能,互
不干扰
(要求界面截图)
基于状态检测的动态包过滤
支持基于用户、用户组的访问控制,用户认证要求支持Radius、LDAP、Windows AD域等
方式,并内置动态令牌认证服务器,支持基于动态令牌的双因子认证(要求WEB界面截图)
支持同一主机源会话、目的会话的分别管理和限制,支持设定网段内共享的或者任一地址
的并发连接限制(要求界面截图)
支持应用层访问控制,包括P2P软件、IM软件、炒股软件、网游软件等
支持透明、路由、混合三种工作模式
支持静态路由,动态路由(OSPF、RIP等),VLAN间路由,单臂路由,组播路由等
网络适应
性
★内置ISP地址列表,可轻松完成基于ISP的策略路由(要求截图)
服务器负载均衡支持轮询、加权值、最小连接、源/目的地址Hash等至少7种算法(要求
截图)
3G安全接
入
WiFi接入
★支持3G(CDMA2000)协议,支持用户通过3G提供上行网络接入,要求截图证明
★支持802.11B,802.11G协议,支持设备作为WiFi热点(即AP),为客户机提供无线安
全接入服务
支持IPv6地址、地址组配置,要求截图证明;
支持持IPv6安全控制策略设置,能针对IPV6的目的/源地址、目的/源服务端口、服务、
扩展头属性等条件进行安全访问规则的设置,要求截图证明。
支持IPv6静态路由,要求截图证明
支持IPv6/IPv4翻译策略技术,包括支持静态NAT-PT、动态NAT-PT、NAPT-PT技术,要求
截图证明
访问控制
IPv6/IPv4
双协议栈
支持双栈、6to4隧道实现IPv6网络与IPv4网络访问,要求截图证明
支持标准IPSec、GRE、PPTP、L2TP协议,
IPSec VPN要求支持隧道热备份技术
支持多种认证方式如:预共享密钥、数字证书,基于动态令牌(Token)的双因子认证
VPN功能
支持可视化VPN配置,支持VPN状态监控,包括资源状态、在线用户等(截图证明)
★IPSec VPN客户端支持Microsoft Windows 2000/XP、Vista、Win7等操作系统(提供
Win7要求截图)
至少有50种分类库,1000万级网址特征库
(要求分类库及数目截图)
WEB网站过
滤
★支持WEB 2.0应用识别和过滤,至少支持20万种WEB应用管控(要求界面截图)
★支持挂马网站过滤,通过对访问目标URL过滤的方式,阻止对含木马/病毒网站、钓鱼
网站、僵尸网络的访问(要求界面截图)
抗攻击能
力
可识别和防御syn flood、Ping flood、udp flood、teardrop、sweep、land-base、ping
of death、smurf、winnuke、圣诞树、碎片等多种攻击
★ 支持防护ARP攻击,通过发送频率有效定位ARP攻击源,支持防护CC各种攻击方式
(要求界面截图)
★能主动屏蔽恶意地址,以用于提前免疫包括病毒网站或者攻击源地址的攻击
主动防御
要求支持主动防御功能,对服务器、主机进行后门、服务探测、文件共享、系统补丁、IE
漏洞等主动式扫描(要求界面截图)
支持友好WEBUI/SSH/Telnet管理,支持数字证书和电子钥匙方式,支持SNMP管理,与当
前通用的网络管理平台兼容
管理配置
可提供专用的软件实现对防火墙接入用户认证的集中管理,至少可同时管理1000台防火
墙(要求界面截图)
★支持日志中文化,可显示配置命令日志的操作人(要求界面截图)
★支持用户可配置的WEBUI接口,提供多套皮肤设置(要求界面截图)
支持链路备份、链路聚合功能,可以在用户的多条网络出口之间进行自动的切换;
高可用性
既支持基于VRRP技术的热备和负载均衡,也支持私有的双机热备协议,在NAT、路由、透
明模式下支持A-A,A-S模式,且切换时间小于1秒
具备公安部颁发的《计算机信息系统安全专用产品销售许可证》千兆(三级)
产品资质
具备中国信息安全产品认证中心颁发的《中国信息安全产品认证证书》千兆简称3C(三级)
证书
具备国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》千
兆
网御星云入侵防御系统 IPS POWER V6000-P8320
技术指标
产品
架构
指标要求
产品为机架式独立IPS硬件设备,系统硬件为全内置封闭式结构,主机不带有硬盘,
以减少设备的故障几率。
5个10/100/1000M电口+4个千兆SFP插槽; 3个扩展槽,最多可扩展至25个千兆接口,
最多可扩展至10个万兆接口
IPS吞吐量不小于12Gbps,最大并发不小于3200,000,延时不高于200US
支持透明、路由、NAT、交换、混合部署,适应各种网络环境需求。
部署
功能
★支持基于物理接口的物理虚拟引擎和基于地址的逻辑虚拟引擎,每个虚拟引擎能够
单独配置策略。(提供界面截图)
★支持虚拟网关功能,网络接口等资源可以独享或共享方式分配给不同的系统管理员,
每个管理员就像拥有一台独立的IPS设备。(提供界面截图)
★产品应采用业界领先的入侵检测技术,并已取得网络入侵检测系统相关专利,支持
IP碎片重组、TCP流重组、会话状态跟踪、应用层协议解码等数据流处理方式;支持
模式匹配、异常检测,统计分析,以及抗IDS/IPS逃逸等多种检测技术。(请提供专
利证明材料)
★要求产品提供具有专利技术的恶意、非法网站过滤功能,支持恶意站点防护功能,
具有挂马站点URL和挂马源站点URL列表恶意站点库,能够在终端用户访问恶意URL
时主动切断连接。恶意站点库包含不少于400万条恶意URL,并实时动态更新。(提供
界面截图,请提供专利证明材料)
★支持漏洞扫描功能,主动扫描被保护服务器,并根据扫描结果自动调整IPS策略,
为被保护服务器提供动态虚拟补丁。(提供界面截图)
入侵
防御
★要求产品支持具有云计算相关专利技术的主动云防御功能,实现全网计算资源、特
征资源的共享。(提供专利证明材料)
支持持对HTTP、SMTP、POP3、FTP、Telnet、VLAN、MPLS、ARP、TCP、UDP、RPC、GRE
等多种协议进行分析。
攻击特征库数量不少于3000条,并支持自定义特征。
★要求产品应提供具有专利技术的垃圾邮件过滤功能,能够通过黑白名单、关键字过
滤、敏感参数限制等方式保护邮件服务器的稳定运行。(提供专利证明材料)
支持对蠕虫、木马、缓冲区溢出、可疑代码、扫描、非法连接、DoS/DDoS、ARP攻击、
CC攻击、SQL注入、XSS跨站脚本等多种攻击进行防护。
★支持基于IPV6网络的攻击检测功能,包括:支持IPv4/v6 双协议栈网络地址解析;
支持针对 IPv6 网络中的数据包解析、支持IPv6 碎片重组等。(提供界面截图)
支持入侵场景保留,可记录入侵行为相关的网络数据报文。
支持路由、透明、混合等各种工作模式下的网络病毒检测,支持无IP地址的透明桥下
的网络病毒检测模式。(提供界面截图)
★支持多接口可旁路的病毒文件传输监听检测方式,可并行监听并检测多个网段内的
病毒传输行为,用于高可靠性要求的旁路应用环境,截图证明
操作系统
★采用自研操作系统,并提供著作权证书
接口
性能
防病毒
★支持病毒感染主机分析与隔离,防止病毒进一步扩散,提高网络整体安全性(提供
截图证明)
★病毒库不少于30万种病毒特征,支持根据用户需求自定义病毒特征,病毒特征安全
可控,要求具备自主研究分析病毒特征的能力(提供相关证明或采用国内知名病毒厂
商特征库(提供合作证明)
★支持IPv4和IPv6双栈协议下的上网行为管理,截图证明
★支持WEB 2.0应用识别和过滤,至少支持20万种WEB应用管控,截图证明。
★支持URL分类过滤管理功能,支持的URL分类库种类不少于50个。(提供界面截图)
上网行为
管理
能够识别MSN、QQ、Yahoo Messenger、Google Talk等IM软件。
能够识别QQ游戏、联众世界、浩方对战平台、魔兽世界、泡泡堂、梦幻西游、劲舞团、
新浪游戏、搜狐游戏等流行的在线游戏。
能够识别Thunder、eMule、eDonkey、BitTorrent等常用P2P软件。
能够识别qqlive、pplive、ppstream、uusee、沸点等不少于30种常见流媒体软件。
能够识别大智慧、钱龙、同花顺、指南针等股票分析软件。
具备基于IP地址、时间、服务资源管理的功能,并支持分组管理。
支持丢弃封包、切断会话、限制带宽、实时报警、记录日志、邮件报警、声音报警等
多种响应方式。
策略
管理
★支持基于源地址,目的地址、服务、接口的带宽管理;支持最小保证带宽,最大限
制带宽,可以支持带宽优先级的设定,并支持平均主机带宽管理功能。请提供界面截
图
★支持与IDS、内网安全管理系统进行协同防护,实现策略联动,共同保护内网安全。
请提供界面截图
支持黑名单和白名单功能。
支持支持IPS策略的导入导出功能,导出策略为加密格式。
支持双机热备功能,增强网络可靠性。
★支持双系统引导功能,当其中一个系统出现故障后,可用另一套系统启动,保障系
统的可靠性。(提供界面截图)
★要求产品提供具有专利技术的实现网络安全设备高可用性集群部署功能,支持标准
VRRP协议,实现多台设备实施相同的整体安全策略,提高网络的可用性。(提供专利
证明材料)
支持二层回退、掉电保护功能,以避免因系统无法正常工作而造成网络中断。
支持透明、路由、NAT、IP地址映射、端口映射等多种网络功能,满足多组网模式的要
求。
支持IPSec VPN、SSL VPN安全接入功能,
网络
功能
管理员可以设定安全规则仅对认证用户有效,有效控制网络资源的使用。
★支持服务器负载均衡功能,最多支持服务器的数量不少于253台,保证在负载很重
的情况下服务器集群也能做出快速响。
★支持802.11B,802.11G协议,支持设备作为WiFi热点(即AP),为客户机提供无线
安全接入服务,截图证明
系统
管理
支持B/S、C/S双管理架构,支持全局拓扑生成;支持串口、远程SSH、SNMP(v1/v2)
管理
高可
靠性
支持多种管理员权限,系统管理员可分为:用户管理员、配置管理员、策略管理员、
日志审计员、部署管理员相互独立;支持动态口令双因子认证,增强系统安全性。
支持图形化监控和报警功能,能够图形化显示攻击事件安全等级、安全事件趋势分析
曲线图、显示协议流量的曲线图、实时事件列表等多种实时状态显示,方便分析网络
的现状和趋势。
支持升级功能,包括在线升级和离线升级两种方式,能够对特征库、软件、设备操作
系统进行升级。
支持丰富的报表模版,支持查询报表、统计报表、并支持自动生成报表。
支持日志查询、备份、删除等功能。
支持NTP时间同步功能,IPS设备可以通过NTP时间服务器或其他主机进行时间同步。
支持远程维护功能,提供网络维护工具,协助分析网络问题。
管理主机与引擎之间必须采用加密通讯,可以限制管理主机的来源。
支持配置导入、导出功能,且导出数据以加密方式保存。
公安部公共信息网络安全监察局颁发的《计算机信息系统安全专用产品销售许可证》
国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》
中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》(军B
级)
国家版权局颁发的《计算机软件著作权登记证书》
产品
资质
★要求所投产品提供IPv6 Ready第二阶段核心金牌认证证书
★中国信息安全认证中心频发的《IT产品信息安全认证证书》
★国际权威机构颁发的CVE兼容性认证的最高级别证书CVE Compatible(提供CVE兼
容性证书复印件)。
★具有国家知识产权局颁发的网关防病毒技术(包括病毒防范的方法和装置)专利证
书
★具有工信部频发的《电信设备进网许可证》
★信息产业部颁发的《计算机信息系统集成资质证书》(壹级)
★中国信息安全产品测评认证中心颁发的《国家信息安全认证信息安全服务资质证书》
(安全工程类二级)
★国家保密局颁发的《涉及国家秘密的计算机信息系统集成资质证书》(甲级)
★中国信息安全认证中心颁发的《网络与信息安全应急处理服务资质》(一级)
投标人必须具有原厂商对该项目的支持授权
厂商应加入云安全联盟CSA(Cloud Security Alliance), 作为该联盟成员,可及时
获得病毒、木马、钓鱼网站、僵尸网络等样本信息,为用户提供更及时的安全防护。
厂商
服务
能力
厂商应具备主动发现主流操作系统或应用系统新漏洞的能力,并提供两个以上2010年
以后发现的新漏洞及国内外相关权威机构(如:国家漏洞库和CVE)的证明。
厂商应加入微软安全响应中心(Microsoft Security Response Center)发起的MAPP
(Microsoft Active Protection Program)计划,作为该计划成员,可在微软发布每
月安全公告之前获得微软产品的详细漏洞信息,为用户提供更及时的安全防护。
厂商
资质
网御星云SSL VPN网关 SAG2100
说明:其中“★”部分为必须满足项。
技术
指标
指标要求
协议要求:采用标准SSL协议提供加密服务。
处理要求:采用应用层数据处理和加密封装,支持基于高安全的SSL协议
基本
建立网关对网关的访问隧道。对于C/S应用在终端访问主机无需安装虚拟
要求
网卡驱动,以此证明真正的SSL VPN。
网络接口:≥6个10/100/1000M自适应电口,≥4个SFP接口,≥2个串
硬件
口,≥2个USB接口。
要求
机箱:标准2U,可上机架,双电源冗余。
并发用户:≥2000
性能
系统吞吐:≥400Mbps
要求
每秒新建用户:≥300/秒
SSLVPN产品同时支持IPSec VPN;IPSEC VPN必须符合国家IPSEC VPN标
IPSEC准;能与国际国内知名厂商进行隧道链接;用户可以自行选择采用IPSec
功能 或SSL方式移动接入。
B/S应用访问:访问Web应用时,免客户端、免控件,实现100%零客户
端。只要web浏览器支持HTTPS协议就可访问,对终端的主机操作系统和
硬件没有要求。
应用
支持
智能选路:在多ISP入口的情况下,可识别接入IP所属ISP运营商(联
通、电信、移动、教育网等),智能选择最佳路径,提高访问效率。
★要求SSLVPN支持基于谷歌的Android系统;支持及基于微软公司的
windows phone系统,windows mobile 5.0以上系统;
支持口令认证、手机短信认证、KEY认证,动态令牌认证,指纹认证,CA
证书认证等认证方式、支持本地Radius认证,支持radius用户基于用户
名的权限分配。支持共享帐号功能,支持定义帐号优先级。
★C/S应用访问:支持各种静态和动态协议应用。全面支持Windows各版
本操作系统的PC机,特别要求必须支持64位的Win7操作系统。
请注明是否采用
C/S结构访问且无
需安装虚拟网卡驱
动
请注明接口数量和
类型以及机箱结构
请注明具体设备极
限值
请注明设备是否支
持sslvp和
ipsecvpn两种VPN
功能
请注明是否100%免
客户端和插件。
请注明是否支持64
位win7操作系统并
提供依据
投标方应答
提供手机客户端在
各系统上安装后使
用截图。
请注明是否支持共
享账号和定义账
号,
第三方认证方式:支持与微软的AD域认证系统、第三方PKI认证系统、请注明都支持哪些
认证
RADIUS、TACACS+、LDAP等认证系统整合,并支持主从RADIUS服务器冗余,第三方认证
支持
支持缓存第三方认证服务器帐号功能。当某种认证服务器失效时,可自动
切换至其它认证方式
多因素认证:支持口令、证书、短信、附加码等多因素的复合认证,可同
时启用两种或更多种认证方式。
访问可根据用户、角色、时间、网络位置、认证方式、终端状况等因素,选择
控制 赋予用户权限,并予以严格执行。
请注明都支持哪些
因素认证
请注明支持哪种因
素管理,并截图证
明
智能选路:在多ISP入口的情况下,可识别接入IP所属ISP运营商(联
通、电信、移动、教育网等),智能选择最佳路径,提高访问效率。
用户终端绑定:可将用户账号或证书与固定IP地址进行绑定,支持对主
机的硬件特征进行绑定,包括MAC地址、CPU ID、硬盘ID、操作系统ID
等。并支持绑定信息的自动探测,不用手工输入。
VIP帐号:在并发用户达到许可上限时,VIP帐号可继续登录,保证重要
用户随时接入SSL VPN网关。
终端安全:支持用户终端安全检查,及基于检测结果的访问控制。支持用
户账号与终端特征绑定。支持用户访问退出后,清除SSLVPN的所有访问
痕迹。
请注明都能绑定哪
些因素,并提供截
图证明
请注明技术实现方
式并请截图证明
请注明实现方式并
截图证明
隧道隔离:支持用户登录SSL VPN后,断开与外联网络的其他访问连接,请注明实现方式并
确保隧道数据安全,防止跳板攻击。 截图证明
支持客户端主机硬件特征码认证,通过自动或手动输入HASH值获得客户
端的硬件特征码,实现硬件特征码和用户账户的绑定,支持硬件特征码与
身份的多对多关系,即一个用户可拥有多个硬件特征码,同时一个硬件特
征码也可以归属多个用户(提供界面证明)
★Web防火墙:可防SQL注入、防跨站脚本、过滤ActiveX控件、过滤Java
小程序、禁止非法URL请求等。可抵抗DDoS攻击。支持针对IP和用户的
并发连接数量限制。支持管理员设定IP黑名单。
URL访问控制:支持URL访问控制,隐藏服务链接、名称或定义别名。可
为Web应用配置子链接快捷访问。
★同时支持客户端到网关隧道模式和网关到网关隧道模式,且两种隧道模
式均采用SSL VPN实现。
离线监测:支持CA电子钥匙状态实时监测,电子钥匙拔出后可以自动断
开安全隧道。
日志
审计
报表生成:支持html、pdf格式的报表浏览和下载。支持top排名、支持
行为分析.
支持集中网管:设备支持SNMP协议,可远程监控设备的运行状态;通过
SNMP管理软件可统一进行日志收集和审计。
请注明实现方式并
截图证明
安全
性 请截图证明,正偏
离提供CVE漏洞
请截图证明
请注明实现方式并
截图证明
请注明支持哪种格
式报表并截图证明
★单点登录SSO:支持多Web应用的单点登录功能,可支持NTLM、FORM、请截图证明支持
BASIC等多种口令提交方式。支持CS服务的单点登录。支持一对多点的主NTLM、FORM、BASIC
从帐号对应。服务应用账号信息存储于网关,而非客户端中。 等多种口令提交方
式,
易用
性
个性化登录界面:用户可自由定制登录首页和登录后Portal页面的Logo、请截图证明自定义
按钮图片,可在登录页面自定义跳转链接和下载链接,无需额外架设服务功能
器。
★虚拟DNS:SSL VPN网关可作为DNS服务使用,用户可以通过管理员自
定义的域名访问内网服务器。
客户端程序关联:支持用户认证成功后自动运行用户指定客户端软件。
动态分配虚拟IP:支持虚拟IP与口令用户或证书用户进行绑定。
可靠双机热备:支持不同型号设备间双机热备。
请截图证明
请说明实现原理
快速配置:提供快速配置配置向导功能,可在短时间内完成简单环境配置。
性 ★设备线性扩展:采用自有线性集群专利技术,不同型号网关设备间可负
载均衡,实现处理性能线性扩展。(提供专利证明)
*具有国密办商用密码产品生产定点单位证书
*具有国密办商用密码产品型号证书
*具有国密办商用密码产品销售许可证
请提供专利证明
请提供相关证书复
印件,如有造假将
追究其法律责任
具有《公安部VPN安全网关三级销售许可证》。
产品
★要求产品具备节能技术,入选工信部《电子信息节能技术开发与应用方
资质
案推荐目录》。
★要求SSLVPN产品必须是自主创新产品,拥有《自主创新产品证书》。
★要求产品具备电信级高可靠性,具有《电信设备进网试用批文》。
★具有《军用信息安全产品认证证书》,要求“军B”级(含)以上。
★公司具有计算机信息系统集成一级资质。
★公司具有涉密计算机系统集成甲级资质。
★公司具有国家信息安全测评信息安全服务二级资质
★公司具有人防信息系统建设保密设计甲级资质
★公司具有ISO9000质量管理体系认证证书
★公司具有ISO14000环境管理体系认证证书
厂商
资质
★处于对整个网络安全性和漏洞的考虑,要求厂商具备《一级风险评估服
务资质》 。
★处于对整个网络重要性和应急处理的考虑,要求厂家具有《国家级网络
安全应急服务支撑单位证书》
为了选择更优秀的产品,符合国家规定,厂商必须参与过国家《SSL VPN
技术规范》制定工作,拥有顶级专业域名。
投标人必须具有原厂商对该项目的支持授权。
要求加入微软安全响应中心(Microsoft Security Response Center)发
起的MAPP(Microsoft Active Protection Program)计划,作为该计划
成员,可在微软发布每月安全公告之前获得微软产品的详细漏洞信息,为
用户提供更及时的安全防护。
加分项,优先考虑
采用,提供资质证
书
提供资质证书
★处于对出现问题可以应急响应的考虑,要求厂商具备《一级应急处理服
务资质》
提供资质证书
请注明各自企业是
否具备,如实回答。
要求加入云安全联盟CSA(Cloud Security Alliance), 作为该联盟成员,
其它
可及时获得病毒、木马、钓鱼网站、僵尸网络等样本信息,为用户提供更
及时的安全防护。
设备制造厂商应具备自己发现主流操作系统或应用系统新漏洞的能力,并
提供两个以上2010年以后发现的新漏洞及国内外相关权威机构(如:国家
漏洞库和CVE)的证明。
网御星云入侵检测系统 IDS
TD3000-GS3500
注:“★”部分为必须满足项TD3000-GS3500的接口形式为:1个10/100M管理口+5个
10/100/1000M电口监听口+1个前插式的接口扩展槽(可扩展的接口模块包括:8*GE模块、
4*SFP模块、8*SFP模块、4*GE 4*SFP模块);
技术指标 指标要求
★产品由控制台软件和探测器两部分组成,探测器使用专用的一体化硬件平台
★探测器引擎的操作系统为VSP通用安全平台,具备高效、智能、安全、健壮、易扩
产品架构
展等特点(提供相关证明材料)
★探测器引擎采用高性能的USE统一安全引擎
★系统主机为2U独立式硬件架构平台,冗余电源
★产品应至少支持1个通讯接口,不少于5个10/100/1000M电口监听口,至少支持一
个前插式接口扩展槽,可扩展至数十个监听接口,支持千兆电口、千兆光口的扩展
★最大检测能力:不小于2Gbps
★最大并发TCP会话数:不小于150万
综合运用会话状态检测、应用层协议完全解析、误用检测、异常检测等多种检测技术,
并支持自定义协议和检测事件
★产品应具有对网络病毒、蠕虫、间谍软件、木马后门、刺探扫描、暴力破解、拒绝
服务、缓冲区溢出、欺骗劫持、僵尸网络、SQL注入、XSS、Xpath、网页木马、钓鱼网
站、Webshell、数据库攻击、网络设备攻击、0day攻击、可疑行为等常见攻击具有高
精度的检测能力。(提供界面截图)
支持IP碎片重组、TCP流重组、引擎级的事件归并、报警缩略再分析、规则阈值修改、
多网段定义检测等功能
★超过2800条的检测规则,全面兼容CVE、BugTraq等国际标准漏洞库(提供界面截
图)
★产品应具有专业的病毒检测引擎,病毒库数量不少于百万级(提供界面戴图)
★产品应具有专业的Web攻击检测引擎,可对SQL注入、XSS及其各种语法变形、语义
变形、编码等环境进行精确检测(提供界面截图)
可按源地址、目的地址、协议、事件类型、风险级别、时间范围、地址范围等条件灵
活定义安全策略,实现安全策略的动态调整
探测器提供本地日志缓存,避免因为控制台与探测器断开引擎的报警日志丢失
★一台探测器实体可基于监听网口虚拟成多个独立的虚拟探测引擎(提供界面截图)
★每个虚拟探测引擎可应用不同的检测和响应策略(提供界面截图)
★产品应支持对网络攻击事件进行回归检测的能力,即对已生成的事件进行再次分析
与统计,可根据统计结果进行报警,同时,系统应支持自定义统计阈值的图形化配置
接口(提供界面截图)
产品支持基于RFC协议规范的协议判断与解析,避免基于端口号判断协议引起的误报,
可支持的常见协议包括:ETHER、ARP、RARP、IP、ICMP、IGMP、PPPoE、Vlan Tag、MPLS、
TCP、UDP、NetBIOS、CIFS、SMB、FTP、TELNET、POP3、SMTP、IMAP、SNMP、MSRPC、
基本配置
攻击检测
SUNRPC、TNS、TDS、HTTP、QQ、MSN、BT、Thunder、CHARGEN、ECHO、AUTH、DNS、FINGER、
IRC、MSPROXY、NFS、NNTP、NTALK、PCT、WHOIS等
产品支持基于IP-MAC地址绑定的ARP攻击检测功能
可对包括HTTP、SMTP、POP3、TELNET、FTP等多种应用协议进行报文事后回放,实现
对访问行为或网络使用情况的事后分析或取证
★产品可提供威胁事件的实时展示功能,可以将引擎检测到的威胁事件在控制台界面
进行实时显示,内容包括:威胁事件名称、威胁事件的状态、威胁事件等级、威胁的
流行程度、源ip、目标ip、时间段等信息(提供界面截图)
★产品可提供对威胁事件的自动分析功能,通过系统的自动分析,过滤掉不重要的、
对用户价值不高的告警事件,仅显示对用户价值高、具有分析与关注价值的报警事件,
以此减少低效告警事件对用户安全运维的干扰(提供界面截图)
智能威胁★产品可提供对威胁事件的全局预警功能,即:在多级部署环境中,其中一个控制中
事件管理 心监测到某一个攻击之后,可以通过全局预警功能将此攻击事件通告给其它的控制中
心(提供界面戴图)
产品可提供对威胁事件的实时响应功能,在监测到攻击之后,系统需提供如下几种响
应方式:SNMP、SYSLOG、写入日志、发送邮件、实时报警、TCP Killer阻断连接、防
火墙联动、捕获原始报文等
★产品可支持对威胁事件的闭环管理功能,帮助用户发现威胁、分析威胁、处理威胁,
完成威胁管理工作的闭环(提供界面截图)
★支持对引擎存活状态、CPU和内存使用率、磁盘使用率进行实时监控
可实时对网络中的流量进行统计,实时数字、图形化显示网络当前状态下的流量
★产品可提供基本报表的查询功能,可以将事件发生的详细信息生成报表,有超过50
种报表模板,并可自定义报表
★产品可提供基于“组织化”的部署配置功能,“组织结构”可以基于IP、IP段、引
擎(加网口)等形式进行定义,同时支持基于“组织结构”进行策略下发及事件查看
(提供界面截图)
★产品可提供对历史日志进行对比分析的能力,并可基于分析结果自动生成报表,历
史事件的周期可以手工设定,该报表用于辅助用户分析一段时间内的威胁(提供界面
系统管理
截图)
报表支持HTML、Word、EXCEL、PDF等多种导出格式,并支持能过邮件方式发送报表
★产品可支持在线、离线、代理的升级方式; (提供界面截图)
支持分布式部署。一个控制台可以同时管理多个探测器;支持多级管理,报警事件可
以多级上报,检测策略可多级下发
★探测器支持被Leadsec安全管理系统统一管理
控制台和探测器之间通过SSL加密传输;探测器支持访问控制列表;探测器开放的服
务端口可修改;管理员权限分级
★产品可提供如下几种响应方式:SNMP、SYSLOG、写入日志、发送邮件、实时报警、
TCP Killer阻断连接、防火墙联动、捕获原始报文等
响应方式
★产品应具有防火墙联动的功能,支持的防火墙至少需要包括:Netscreen、TopSec、
天清FW、KingGuard、PowerV等国内主流的防火墙系统(提供界面戴图)
支持SNMP Trap协议,报警信息可被Leadsec、Topsec等多种安全管理系统接收和处
理
★具有备公安部公共信息网络安全监察局颁发的《计算机信息系统安全专用产品销售
许可证》
★具有中国信息安全产品认证中心颁发的《中国国家信息安全产品认证证书》(ISCCC
认证)
★具有国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证
产品资质
书》
★具有中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》,
要求“军B”级(含)以上
具有国家版权局颁发的《计算机软件著作权登记证书》
具有国际CVE兼容证书
★具有计算机信息系统集成一级资质
★具有涉及国家秘密的计算机系统集成甲级资质
厂商资质
★具有国家信息安全应急处理服务一级资质
★具有国家信息安全认证服务二级资质
投标人必须具有原厂商对该项目的支持授权
★设备制造厂商应是微软MAPP(Microsoft Active Protection Program)计划战略合
作伙伴
厂商服务 ★设备制造厂商应是云安全联盟(CSA--- Cloud Security Alliance)的合作伙伴
能力
★要求设备制造厂商应具备自己发现主流操作系统或应用系统新漏洞的能力,并提供
2012年以后至少14个以上厂商发现的新漏洞及国内外相关权威机构(如:国家漏洞库
和CVE等)的证明
网御星云数据库审计系统
网御网络审计系统(数据库审计型)
产品标底
适用产品型号:
LA-DT-1000B/LA-DT-1500BR
标注说明:
特色功能(★★):相对于竞争产品有明显优势的功能,可以屏蔽大多数竞争产品
有竞争优势的功能(★):能屏蔽部分竞争产品,根据具体竞争对手情况选择使用
基本功能:大多数竞争产品都具备的功能,满足竞争的基本需要
技术指标 指标要求
系统采用专用硬件架构与专用安全操作系统;专用的安
全操作系统具有自主知识产权;
★标注:绝大多数竞争对手采用的工控机进行审计
审计数据的存储空间不得少于2T
硬件规格
支持千兆网络环境监听,提供4个电口4个光口
审计数据的存储空间不得少于2T,双冗余电源,支持千
兆网络环境监听,提供6个电口4个光口
监听流量支持千兆环境
千兆审计系统审计事件每秒入库速度至少在4000条/秒
性能要求
以上
千兆审计系统审计事件每秒入库速度至少在6000条/秒
以上
日处理审计事件数至少500万条
采用旁路部署方式对原有网络不造成影响,网络审计产
品的故障不影响被审计系统的正常运行
部署管理 采用B/S管理方式
无需在被审计系统上安装任何代理
Oracle数据库审计
数据库审计
支持
SQL-Server数据库审计
DB2数据库审计
Informix数据库审计
LA-DT-1000B 500万条;
采用B/S结构便于管理和集成,是业界趋势
引入代理程序会对服务器的稳定性和可靠性造成影
响,不能为了审计而影响业务
★★标注:数据库协议是目前支持最多的系统,其
中Teradata是专用大型数据库,Cache是医疗行业
HIS系统专用数据库,三大国产数据库的支持,可根
据实际情况进行裁剪
LA-DT-1500BR 6000条/秒
LA-DT-1000B4000条/秒
数据存储,由于硬件上的限制,其一般采用单硬盘,
存储空间有限。LA-DT-500B/ LA-DT-1000B存储空间
1T。
★标注:LA-DT-1000B最大2监听端口,光电可任意
组合;LA-DT-1000B有4电口4SFP插槽
使用说明
Sybase数据库审计
MySQL数据库审计
PostgreSQL数据库审计
Teradata数据库审计
Cache数据库所审计
人大金仓数据库的审计
达梦数据库的审计
南大通用数据库的审计
网络邻居审计
NFS协议审计
Telnet协议审计
运维审计支
持
FTP协议审计
FTP文件审计
Rlogin协议审计
Radius协议审计
支持对针对数据库的XSS攻击行为进行审计
支持对针对数据库的SQL注入攻击行为进行审计
数据库安全
审计
提供对数据库返回码的知识库和实时说明,帮助管理员
快速对返回码进行识别
支持数据库并发会话数、并发进程数、并发用户数、并
发游标数、并发事务数、数据库锁等超过限制的审计
支持数据库账号登陆成功、失败的审计
系统应自带审计规则库,用户可自定义审计策略
审计策略支持时间、源IP、目的IP、协议、端口、登陆
账号、命令作为响应条件
★标注:登陆失败是需要审计的关键事件
★★
★★标注:用户网络中常常采用共享方式来实现文
件共享,多数厂商审计系统都未支持。
★★标注:某些用户环境存在Radius方式进行身份
认证,此时为了关联IP与账号,需要审计Radius
审计策略支
持
审计策略支持数据库客户端软件名称、数据库名、数据
库表名、数据库字段名、数据库返回码作为响应条件(非
正则表达式方式)
★标注:采用正则表达式方式设定策略非常繁琐,
效率低,对用户技术能力要求高。而且条件与条件
之间很难形成组合条件,而采用分项条件,易上手,
易组合。
审计策略支持字段值作为分项响应条件(非正则表达式
方式)
★★
★★标注:在数据库环境中常采用绑定变量方式来
进行数据的传输,此时参数和参数值是分别传输,
支持数据库绑定变量审计
审计能力
支持访问数据库的源主机名、源主机用户的审计
支持SQL操作响应时间的审计
若无法将参数与值相对应,数据库审计的效果将会
大打折扣,从而影响对重要数据库表的关键字段的
精细化审计效果。
★标注:该指标可以有利于追踪溯源
★★标注:该指标可以判断出SQL语句提交后,数
据库返回结果之间的时间,便于用户对耗时超长的
SQL语句进行分析。
支持Select操作返回行数的审计
支持数据库操作成功、失败的审计
支持数据库操作类、表、视图、索引、触发器、存储过
程、域、Schema、游标、事物等各种对象的SQL操作审
计。
支持Telnet协议的审计,能够审计用户名、操作命令、
命令响应时间、返回码等;
支持对FTP协议的审计,能够审计用户名、命令、文件、
命令响应时间、返回码等
支持审计网络邻居的用户名、读写操作、文件名等
支持审计NFS协议的用户名、文件名等
支持审计Radius协议的认证用户MAC、认证用户名、认
证IP、NAS服务器IP
支持IP-MAC绑定变化情况的审计
记录审计事件
记录会话数据
忽略
响应方式 界面告警
Syslog告警
SNMP trap告警
邮件告警
实时监视
实时监控对实时告警信息,当前会话进行详细察看;有
助于管理员及时处置
支持按时间、级别、源目的IP、源目的MAC、协议名、
源目的端口为条件进行查询
支持按数据库名、数据库表名、字段值、数据库登陆账
号、数据库操作命令、数据库返回码、SQL响应时间、
数据库返回行数作为查询和统计条件
事件查询统
计
支持按自定义关键字作为查询和统计条件
支持条件之间的与、或、非逻辑组合
系统提供报表模板库
系统支持根据自定义关键字自动生成报表
支持按每天、每周、每月、时刻生成报表
★
★★标注:对关键表大量数据的查询是一种需要重
点审计的行为。
★
★★
★★
★
★标注:灵活的审计条件和组合有助日常的分析和
追溯工作
支持生成CSV、Word、PDF、xls、HTML格式的报表导出
支持邮件方式自动发送报表
提供管理员权限设置和分权管理,提供三权分立功能,
系统可以对使用人员的操作进行审计记录,可以由审计
系统管理
员进行查询,具有自身安全审计功能
管理员登陆支持静态口令认证,支持密码的复杂性管理,
★标注:分保、等保要求
比如大小写、数字、特殊字符、长度等
能够对能够对连续失败登陆进行自动锁定,锁定时间可★标注:分保、等保要求
设置
提供审计数据管理功能,能够实现对审计数据的自动备
份、删除
提供审计报表自动备份功能
提供系统升级功能,能够通过升级包的方式实现升级
提供磁盘存储容量不足、磁盘Raid故障等自动邮件报警
提供CPU、内存、磁盘、网口、运行时间、运行状态等
信息的监视功能
提供审计策略和配置的导入导出
支持SNMP方式,提供系统运行状态给第三方网管系统
支持Syslog方式向外发送审计日志
第三方接口
支持SNMP Trap方式向外发送审计日志
★标注:审计数据用于事后查证,时间是其关键要
支持NTP时间同步 素,时间不同步会导致审计事件无法正常检索,降
低审计系统的可用性
产品要求 国产产品,全中文界面
*产品具有中华人民共和国公安
部颁发的《计算机信息系统安全
销售许可证
专用产品销售许可证(增强级)》;
需同时提供公安部检测报告,产
品类型/级别为:综合型安全审计
(国标增强级)
产品具有中国人民解放军信息安
资质要求
军用认证证书 全测评认证中心颁发的《军用信
标注:以上可根据竞争对手的情况进行证书的灵活
调整,对于国外的产品“国产产品,全中文界面”
是必须的,至少要求是“全中文界面”;对于国内的
厂商,特别是针对小厂商,应将计算机信息系统安
中国国家信息安全
产品认证证书(3C
强制认证)
息安全产品认证证书(军B级)》
全专用产品销售许可证, 并提供证书复印件,涉密
*产品具有中国信息安全认证中
信息系统产品检测证书, 并提供证书复印件作为必
心颁发的《中国国家信息安全产
品认证证书》(3C认证)
*产品具有中国国家保密局测评
须条件,或者分数较高的评分标准。
保密局检测证书 中心颁发的《涉密信息系统产品
检测证书》
版权证书
*产品具有国家版权局颁发的《计
算机软件著作权登记证书》
网御星云漏洞扫描系统
功能项
规格
硬件架构
描述
产品规格
功能参数
★产品为2U标准可上架设备,标配6个电口、4个SFP插槽、2个USB接口、500G以上SATA硬盘、冗余交流电源;
★具备无限
IP
扫描授权,单任务可并发扫描
100IP
。含一年漏洞库升级授权。
★采取安全的HTTPS方式登录产品界面;
支持对登录用户进行登录IP地址的控制;
支持设定连续密码输入错误的次数,以及超出后的处理方式设定,包括不处理、XX时间内暂不响应、锁定帐户等;
支持设置缺省用户的登录ip白名单;
★支持在未更改缺省用户的原始密码的情况下禁止通过其他网段进行登录;
★用户多次登录失败时,系统自动锁定登录IP。
安全登录
用户
管理
用户角色
用户扫描范围
多用户登录
用户日志审计
用户
审计内容显示
审计
日志管理
支持三员分立原则,支持的管理用户类别分别为“用户管理员”、“审计员”、“配置管理员”
★支持针对不同用户定义不同的扫描范围
支持多用户登录产品进行操作;
多用户的分权控制:配置管理员可以对所有用户的任务进行操作;其他用户只能对自己的任务进行操作。
★能够对登录日志、操作日志进行记录和查询
可以对审计内容项做分类(登录、业务和异常)统计显示
支持针对全部、某用户、某时间段的日志的备份
/
删除;
支持设置日志记录量的阈值及报警机制。
支持任务名称定义
支持扫描范围自定义(要在授权范围内定义)、扫描范围从资产导入、扫描范围从文件导入、扫描范围导出
★支持扫描对象为域名;
★支持同一个任务中
IP
与域名混合输入。
支持任务模式定义:立即执行任务或计划任务,计划任务中可以选择一次性任务、每天任务、每周任务、每月任务(计划任务均可设定
具体执行时间);支持设定计划任务的起止时间。
系统
任务管理
扫描
功能项 功能参数
★支持任务优先级定义,包含五种:低、较低、中、高、较高
★支持并发扫描主机数设置,最大支持
100
台并发;
★每台主机最大并发线程数设置,最大支持
100
个线程。
支持扫描间隔时间设置,范围在
0-10000
毫秒
★支持扫描方式选择,包括域扫描、按操作系统扫描,可以多选
★支持通知被扫描主机设置,在扫描主机的时候会向被扫描主机发送
message
消息来通知主机,消息内容可以在界面直接设置
扫描参数设定:支持扫描端口范围的设置;支持选择是否启用弱口令扫描;支持预设帐号密码的授权扫描;支持数据库扫描参数的修改。
★支持扫描延迟设置,可以设置发送、接收、链接延迟时间,范围在
0-50
秒,用于减少扫描数据对用户网络流量的影响
★支持在任务执行结束后,直接邮件发送报告给指定邮箱;
扫描报告接收邮件地址会自动填充为上次的邮件地址,记录了用户的缺省收件人的操作,方便用户使用。
★支持针对已经新建的任务做任务复制,快速生成一个相同任务,支持对复制出来的任务进行再编辑,包括:基本信息、策略、目标范
围、调度、扫描参数
★支持对扫描的任务报告进行合并,合并数量不限,合并过的报告还可以再次进行合并操作
支持创建专门的弱口令扫描任务;支持设置针对同一对象口令猜测的次数。
★支持一个任务总体扫描进度的显示;
支持一个任务中每个存活主机扫描进度的显示;
★支持显示扫描剩余时间。
支持多种扫描策略,包括常规完全扫描、高强度完全扫描、高强度扫描、中强度扫描、低强度扫描、
Web
服务扫描、
SQL Server
数据库
扫描、
Oracle
数据库扫描、
IBM DB2
数据库扫描、
Sybase
数据库扫描、
MySQL
数据库扫描、
Windows
主机扫描、类
Unix
主机扫描、攻击
扫描、网络设备扫描、虚拟化扫描等,方便用户快速选择,至少支持
17
种扫描策略模板;
策略管理
支持对已有策略进行修改、另存为、删除等操作
支持自定义策略
支持对任何一个扫描策略进行扫描参数设定,包括:
WEB
和
CGI
类通用扫描参数设置、后门类通用扫描参数设置、
Windows
口令猜测字
典文件参数设置、强力攻击字典文件参数设置、
MS-SQL Server
通用扫描参数设置、
Oracle
通用扫描参数设置、
SNMP
通用扫描参数设置、
功能项 功能参数
DB2
通用参数设置、
Sybase
通用参数设置、
MySQL
通用参数设置、系统存活探测参数设置、端口服务参数设置、漏洞列表参数设置
★支持将多个已有策略合并成一个新策略
★支持按
CVE
编号、
CNNVD
编号、
CNCVE
编号、
Bugtraq
编号、漏洞编号、漏洞名称、影响平台、简短描述、详细描述、修补建议等信
息进行模糊检索,方便用户检索扫描策略
支持各扫描策略按照多种模式显示,包括:标准模式、危险级别模式、操作系统模式、
CVE
模式
支持口令字典自定义;支持精简版与完整版口令字典切换。
支持对特殊端口进行自定义服务名称等属性值
扫描对象应支持服务器、客户机、网络打印机等;
操作系统应支持
Microsoft Windows 9X/NT/2000/XP/2003/Vista/2008/7
、
Sun Solaris
、
HP Unix
、
IBM AIX
、
IRIX
、
Linux
、
BSD
等;
网络设备应支持
Cisco
、
3Com
、
Checkpoint
、华为、
Alcatel
等主流厂商网络设备;
应用系统应支持数据库(
SQL Server
、
Oracle
、
Sybase
、
DB2
、
MySQL
)、
Web
、
FTP
、电子邮件等;
支持扫描常见的应用软件漏洞,包括
IE
浏览器、
MSN
、
Mozilla Firefox
、
Yahoo Messenger
、
MS Office
、多媒体播放器(如
Media Player
)、
VMware
虚拟机和
P2P
客户端软件(如
BitTorrent
客户端等)的安全漏洞;
支持针对意外中断(机器重启、意外断电等)的扫描任务进行断点续扫
支持针对某任务进行修复验证扫描,自动发送对比报告至指定邮箱
扫描功能
至少支持两种主机存活扫描方式:常规扫描、增强扫描
★支持针对
windows
域环境的漏洞扫描
支持
5700
种以上扫描方法,其中数据库扫描方法为
660
种以上
支持多种协议口令猜测,包括
Telnet
、
Pop3
、
SSH
、
Ftp
、
SQL Server
、
DB2
、
MySQL
、
Oracle
等;允许外挂用户提供的字典档。
★支持在
IPv6
环境中部署和执行扫描任务;支持扫描
IPv6
环境中的设备、系统。
支持对虚拟化平台的扫描
支持智能推荐扫描参数,根据宿主机的实时性能动态提供线程数和并发
IP
数等参数设置建议。
支持多网卡并行扫描,每个网卡可以在互不相通的网段中进行独立的扫描操作,用户下发任务后程序根据对象
IP
地址自动寻找相应的网
卡执行任务。
★自带漏洞的自动验证功能,无需功能扩展,提供漏洞验证、取证的系统工具,漏洞验证数量不应少于
80
种。
功能项 功能参数
支持自定义资产类型、资产价值、保护等级、资产编号、所属部门、负责人,以及备注等信息;支持自定义资产属性;支持以域名做为
资产名称。
★支持资产自动发现功能,支持利用历史扫描过程中所发现的在线主机信息,来添加部门的资产
支持自动从扫描结果中导入资产;支持以
txt
、
csv
、
dat
等格式进行资产列表的导入。
资产管理
★支持对资产的基本属性(
IP
,名称、编号以及分类等)、资产价值以及保护等级的属性的修改
支持对已有资产进行删除操作
★支持对已有资产的直接扫描
支持部门的添加、删除和修改,为资产划分责任部门或者所在的安全域
★支持显示资产的历史扫描结果,支持显示资产的风险评估值;支持直接查看资产的漏洞扫描情况。
支持在扫描过程中,扫描结果的实时显示和查看
支持过程信息实时导出,可以将主界面上实时显示的扫描结果数据右键另存成
excel
格式文档
报表快速查看
支持对扫描结果基于
IP
地址、操作系统、主机名称、
NetBios
名称、用户名、端口、服务类型、服务名称、漏洞名称、漏洞危险级别、
漏洞
ID
的排序查看
支持快速查看报表,可以从漏洞、主机、操作系统、服务等不同维度查看
支持将通过扫描方法发现的端口回写至发现端口列表
提供了每个主机的操作系统、端口服务、可用帐户,以及每个主机上发现的所有漏洞的详细描述与修补建议
统计总体漏洞数量、统计不同操作系统类型的主机数量、统计了所有开发端口、可用帐户、列出每一个漏洞所存在的主机、详细描述与
修补建议。漏洞详细描述包括:漏洞名称、详述、修补方案、
CVE/Bugtraq/CNCVE/CNNVD
编号、
CVSS
评分等
报表管理
相当于“漏洞扫描报告”+“主机扫描报告”。其中针对每一个漏洞给出详细描述与修补建议,不包括每个主机上所有漏洞的详细描述与
修补建议。
★支持对比两个任务的扫描结果,包括:新增加的在线主机、减少的在线主机、同一主机新增加的漏洞
/
减少的漏洞
/
保持不变的漏洞、
同一主机新发现的端口
/
减少端口
/
保持不变的端口等
支持对指定
IP
生成对比分析报告
支持计划任务的趋势分析报告。可以设定生成最近多少次扫描结果的趋势分析。
功能项
支持对指定
IP
生成趋势分析报告
功能参数
支持查看到指定部门内所有主机最后一次被扫描获得的结果。针对指定部门内所有
IP
,汇集了每个
IP
最后一次的扫描结果(即便部门内
所有
IP
分在多个扫描任务中被扫描)来提供部门内所有
IP
的最新安全状态信息。
支持针对指定部门的某次扫描生成扫描报告。报告中提供了部门内每个在线主机的操作系统、开放端口、可用帐户,以及每个主机上发
现的所有漏洞的详细描述与修补建议
支持对同一部门前后不同的扫描结果进行对比分析,以获得同一个部门的安全管理状况;也可以对不同部门的扫描结果进行对比分析,
以获得不同部门安全状态的差异
支持对同一部门的最后若干次扫描结果进行趋势分析;也可以对同一部门的指定多次扫描结果进行趋势分析。分析信息主要包括:各种
级别漏洞数量的变化趋势、在线主机数量的变化趋势、不同安全状态级别的主机数量变化趋势
支持独立的操作系统情况的报表统计
支持对任何系统报表模板进行定制
支持漏洞扫描结果的修正功能,允许用户将修正结果体现在新生成的报表中
支持导出
XML
、
html
、
word
、
Excel
、
等多种常见格式
支持报告自动发送功能,可以设置自动发送报告的邮箱地址,可以是一个邮箱,也支持一组邮箱
离线报表支持封面和目录章节;
HTML
离线报表能够通过点击主机
ip
链接,自动跳转至该主机的详细报告。
支持给每个任务报表添加自定义安全结论;
支持在设定任务时选择是否要把与上一次扫描结果的对比报告自动通过邮箱发送给管理员。该功能可以及时让管理员了解到新增的威胁。
报告导出
数据维护
支持历史数据的导入、导出、合并、删除功能
支持对历史任务的查询功能
产品支持自动升级、手动升级、定时升级功能
升级功能支持将多个升级包压缩成
.ZIP
文件进行统一上传升级功能;
支持升级日志的查看
支持恢复出厂状态的设置
升级功能
其他功能
功能项 功能参数
支持数据备份和恢复功能
★支持和微软
WSUS
补丁系统的联动,能够在发给主机管理员的邮件中附带自动配置
WSUS
的注册表文件,方便进行自动化的补丁修补。
支持
syslog
日志外发功能
★系统提供消息中心,支持实时提醒当前的系统消息,包括报表下载消息、升级内容消息、日志下载消息等
支持
ARP
主机检测、对网络监听设备的检测、
Sasserex
蠕虫检测、
snmp
服务检测、
MSSQL
服务检测。
提供二次开发接口,支持
XML
格式文件下载,方便第三方系统利用开发接口进行集成;
支持
HTTP 1.0
和
1.1
标准的
Web
应用系统;
支持基于
HTTPS
的应用系统;
支持
WAP
类及
WMLScript
脚本类应用系统;
支持
Web2.0
技术,支持
JS
脚本和
Flash
脚本解析;
支持所有类型的动态页面;
支持识别网站自定义
404
页面及错误页面;
检测对象
WEB
应用
扫描
功能
web应用扫描
检测能力
能够及时了解网站是否被挂马,挂在哪个文件,以及具体挂马链接。
根据网页返回的不同状态准确判定
SQL
注入,支持
SQL
错误信息及
SQL
盲注等多种检测方式。
XSS
漏洞检测
支持关键词检测功能,用户可以自定义关键字;
能够检测网站备案情况。
能够检测网站
IP
地址、邮箱等信息的泄露。
能够扫描网站默认配置等引起的
CGI
漏洞,包含网站入口点、后台管理地址等的检测。
支持检测:
Web
开发框架的调试信息,如
Django
等框架;
.NET
调试信息;
Java
调试信息;
PHP
调试信息等。
支持检测:数据库出错信息;
Web
容器错误信息;常见
Web
开发框架出错信息;常见服务端语言出错信息。
支持
IIS
、
Apache
、
Tomcat
、
Jboss
等
Web
容器的目录浏览识别。
支持检测备份文件、数据库文件、服务器探针、
Webshell
、
svn
等版本控制器的隐藏文件、
vim
等编辑器留下的中间临时交换文件。
支持对
PHP
、
.NET
、
ASP
、
JSP
等服务端语言的源码泄露识别。
功能项
支持识别
PHP
的环境探针文件。
flash
参数配置风险检测
支持识别网页中隐藏的表单项。
SQL注入漏洞
验证
支持
SQL
注入漏洞验证。
功能参数
支持任务添加、暂停、恢复、批量恢复、停止、删除、批量删除、重新检测等。
支持高级选项设置,包括设置检测深度、最大页数、最大相似页面数、并发线程、
http
请求间隔时间、子域名、风险规避等;
支持同时添加多个
URL
。
支持任务队列,支持任务自动调度。
支持任务并发执行。
任务管理
支持代理。
支持预登录,支持设置
http
认证用户名和密码;
支持预设
Cookie
;
支持设置预先访问登录
URL
及
POST
认证参数。
支持所有历史任务统计信息详细展示。
支持对历史任务进行多条件查询显示。
关键词管理
支持提供默认关键词。
支持自定义关键词,支持手工单个输入和从文本文件中批量导入两种方式。
支持设定关键词类别及重要程度。
支持在线报表查看,支持对同一站点的任务进行不同维度的统计分析。
报表
支持对同一站点的风险趋势分析。
支持导出
html
格式和
word2007
格式的任务检测报表。
支持导出
CSV
格式的趋势分析报表。
其他工具
编码
/
解码
功能项
http
请求编辑
支持在线升级与离线升级。
升级
系统维护
功能参数
支持至少每周一次特征库升级,如遇重大问题,支持即时提供升级包;
支持至少每半年一次软件升级。
支持
Log
文件记录异常信息。
支持展示系统状态,包含运行时间、版本、
CPU
、内存、磁盘等信息
支持展示所有已发现节点的分布雷达图,包括
SSID
和
MAC
信息
支持展示
AP
和客户端按信道的分布情况
支持实时显示事件统计数量
支持实时显示
top5
无线风险
支持按照网络名称统计图表显示
支持按照加密类型统计图表显示
WLA
N无
线安
全检
测功
能
系统监控
支持按照风险级别统计图表显示
支持按照种类统计图表显示
支持按照信道统计图表显示
支持实时显示无线扫描器发现的无线设备拓扑
支持显示引擎实时发现的无线设备列表;
支持显示设备安全状态;
支持设备列表和状态的导出。
支持风险实时显示;
支持显示刷新时间和行数调整
/
显示级别过滤。
支持按时间
/
名称查询风险,支持分页显示
支持支持网卡选择;
支持单个频段
/
多个频段和全部频段的选择。
系统配置
功能项
配置引擎的
AP
对象,支持导入、导出功能
配置引擎的客户端对象,支持导入、导出功能
配置引擎的无线网络对象,支持导入、导出功能
配置引擎的有线子网对象,支持导入、导出功能
支持无线安全风险总体趋势统计
支持无线网络架构脆弱性统计
支持无线网络攻击风险统计
支持无线设备审计统计(
2.4G
及
5.8G
)
系统报表
支持
FISMA
报告
支持
BASEL II
报告
支持萨班斯报告
支持
HIPAA
报告
支持
PCIDSS
报告
支持添加多个引擎,进行统一管理
支持添加多个管理中心,进行统一管理
分布
式多
级管
理功
能
设备管理
支持添加设备组,对下级设备分组管理
支持查看连接状态、拓扑结构、下级引擎状态
支持用户自定义关键词。
功能参数
精确管理
任务管理
报表管理
支持双击拓扑结构中的下级设备,进行下级设备的预授权访问
支持对下级扫描引擎扫描范围精确管理,不在下级设备扫描范围的
ip
不允许扫描
支持统一制定任务,下发至多个引擎
支持实时查看下级引擎任务的扫描进度,对下级引擎的任务进行暂停、停止等操作
支持对下级引擎的任务进行汇总分析
支持对跨级引擎的任务进行汇总分析
功能项
策略管理
升级管理
授权管理
其他功能
产品资质
支持对策略进行自定义,并下发给下级设备
支持对口令字典进行自定义,并下发给下级设备
支持对端口服务进行自定义,并下发给下级设备
支持对下级设备进行升级包下发并升级
功能参数
支持对下级设备进行授权文件下发、配置、更新
支持数据库备份和数据恢复功能
★支持和微软
WSUS
补丁系统的联动,能够在发给主机管理员的邮件中附带自动配置
WSUS
的注册表文件,方便进行自动化的补丁修补。
产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》
产品具有国家保密科技测评中心颁发的《涉密信息系统产品检测证书》
★要求设备制造商具备工业和信息化部颁发的《计算机信息系统集成资质证书》(壹级)
★要求设备制造商具备中国信息安全产品测评认证中心颁发的《国家信息安全认证信息安全服务资质证书》(安全工程类二级)
★具备国家保密局颁发的《涉及国家秘密的计算机信息系统集成资质证书》(甲级)
资质
证书
要求
公司要求
★对出现问题可以应急响应的考虑,要求厂商具备《一级应急处理服务资质》
★对整个网络安全性和漏洞的考虑,要求厂商具备《一级风险评估服务资质》
★要求加入云安全联盟
CSA
(
Cloud Security Alliance
)
,
作为该联盟成员,可及时获得病毒、木马、钓鱼网站、僵尸网络等样本信息,为
用户提供更及时的安全防护。
★要求加入微软安全响应中心(
Microsoft Security Response Center
)发起的
MAPP
(
Microsoft Active Protection Program
)计划,作为该计
划成员,可在微软发布每月安全公告之前获得微软产品的详细漏洞信息,为用户提供更及时的安全防护。
★设备制造厂商应具备自己发现主流操作系统或应用系统新漏洞的能力,并提供两个以上
2010
年以后发现的新漏洞及国内外相关权威机
构
(
如:国家漏洞库和
CVE)
的证明。
网御星云安全管理系统 soc管理平台
红色标记的是特色指标
黄色着色的是可选模块,如果不买此可选模块,千万不要写到标底中去!
序号
产品指标项
运行环境
产品性能参数和要求
系统必须采用B/S架构,管理员只需浏览器即可连接到系统进行各种操作。
○用户的浏览器客户端无需安装JRE或者JAVA Web Start即可访问管理中
心;
产品要求集成数据库,无须再独立安装数据库系统,亦无须对数据库进行专
门的维护。
产品要求至少能够部署在Windows和Linux操作系统上,支持64位操作系
统。
◎系统必须采用基于浏览器的用户界面,至少支持IE与Firefox。为了适
应不同用途,用户可以对界面颜色进行选择调整。
涵盖网络设备、安全设备、主机、数据库、中间件以及各种应用系统
◎管理中心的事件处理性能可以达到平均每秒15000条事件。
◎并发监控任务个数可扩充达到1000个以上
使用界面
管理范围
事件处理性能要
求
监控性能要求
【必须购买基础
监控模块】
部署 部署方式
支持简单部署、级联部署和分布式部署。
◎简单部署:无需安装任何其他软件和组件,用户只需要安装管理中心即可
实现对全网资源的安全管理;
级联部署:两个管理中心之间可以进行级联,形成大规模统一管理;
分布式部署:一个管理中心可以连接多个分布式采集器或者日志代理,实现
对全网分散IT资源的统一管理
1) 用户登录即可进入综合展示界面。通过该界面,能够快速的导航到各个
功能;
2) ◎用户可以自定义一级功能菜单,可以根据自身需要调整一级功能菜单
的顺序;
3) ◎在综合展示界面中能够显示系统的基本管理信息,包括当前告警状
态、最近告警信息、资产告警排行、事件趋势、监控对象概要信息等;
4) ◎在综合展示界面中可以实时显示系统当前的每秒处理事件数,并绘制
出事件数变化曲线;能够显示一段时间内各等级事件的数量和事件总
数。
1) 工作台为用户提供了一个从用户自身业务需要出发使用本系统的快速
入口。用户可以在工作台中自定义仪表板,按需设计仪表板显示的内容
和布局,可以为不同角色的用户建立不同维度的仪表板;
2) 仪表板中的每个显示区域都能够放大、缩小、拖动;
3) 系统必须内置基本的仪表板;
1) 系统具有资产管理的功能,能够将被管理IT资产进行分组、分域的统
一维护。
功能要
求
综合展示
工作台
【必须购买工作
台管理模块】
资产管理
序号 产品指标项 产品性能参数和要求
2) 系统支持以资产树的形式显示不同资产区域之间的关系;
3) 系统支持以列表的形式显示某个管理区域中的所有资产清单;
4) ◎系统提供基于资产的拓扑视图,可以显示资产之间的逻辑连接关系。
用户可以手工编辑资产拓扑,包括添加节点,添加/编辑连线,任意拖动
节点,可以对拓扑图进行缩放,可以更换拓扑图背景;
5) ◎用户在拓扑图上添加的资产节点等同于在资产列表中添加资产节点;
6) ◎用户可以随意在资产的拓扑视图和列表视图之间进行切换;
7) ◎在资产拓扑上选择每个资产节点,可查看每个资产的事件信息、告警
信息、漏洞信息、风险信息,并且支持向下钻取,直接进入事件列表、
关联告警列表;
8) ◎能够根据收到的事件的设备地址自动识别新的资产,并支持自动添加
到资产清单中去;
9) 用户可以对资产定义标签,实现对资产属性的动态扩展。
资产建模
【必须购买资产
建模模块】
1) ◎用户可以自定义资产类型,并且可以针对每个资产类型自定义资产扩
展属性;
2) ◎自定义的资产扩展属性至少应包括属性名称和数据类型,数据类型应
至少可以指定为字符串、数字、枚举、时间、BLOB;
3) ◎用户在录入资产的时候,一旦指定该资产为某种资产类型,则会自动
显示该资产的扩展属性,供用户录入和维护。
1) ◎拓扑管理功能能够运行在Linux和Windows环境下,无需安装JRE
或者使用Java Web Start即可展示网络拓扑;
2) 系统能够描绘出网络拓扑图,展示IT资产之间的逻辑拓扑连接关系,
并能够自动进行多种拓扑布局;
3) ◎用户可以手工编辑资产拓扑,包括添加节点,添加/编辑连线,任意拖
动节点,可以对拓扑图进行缩放,可以更换拓扑图背景;
4) ◎网络拓扑图具备实时设备和链路运行监控功能,如果设备或者链路发
生故障,能够自动的进行标记;
5) ◎用户可以随意在网络拓扑图和网络设备列表之间进行切换;
6) 系统能够以机架视图的形式可视化地显示设备在机架/机柜摆放位置。用
户可以自定义机架视图
7) 机架视图能够实时展示设备的运行状态,如果设备发生告警,会自动加
以标识;
1) 系统能够自动进行网络拓扑发现,自动描绘网络中资产节点之间网络连
接关系;
2) 拓扑发现支持ICMP,SNMP,STP等协议方式。
1) 无需另外安装软件组件,管理中心即可通过 SNMP Trap、Syslog、
ODBCJDBC、文件文件夹、WMI、FTP、NetBIOS、OPSEC等多种方式完成
日志收集功能;
2) 可灵活定制不支持的数据源采集,而无须改动代码。
1) 系统必须具备日志范式化功能,实现对异构日志格式的统一化;
2) 范式化字段至少应包括事件接收时间 、事件产生时间、事件持续时间、
用户名称、源地址、源MAC地址、源端口、操作、目的地址 、目的
拓扑管理
【必须购买基础
监控模块】
自动拓扑发现
【必须购买自动
拓扑发现模块】
日志采集
日志范式化
序号 产品指标项 产品性能参数和要求
MAC地址、目的端口、事件名称、事件摘要 、等级、原始等级、原
始类型、网络协议、网络应用协议、设备地址、设备名称、设备类型等;
3) 针对不支持的事件类型做范式化不需改动编码,通过修改配置文件即可
完成;
4) 支持长安全事件格式;
5) 对日志设备类型、日志类型、日志级别等可进行重定义。
6) ◎在范式化的时候能够对日志进行分类,分类需按照安全事件的类型,
而不是日志的设备类型,并提供日志分类的类型清单。
日志传输和存储
转发
1) ◎日志可加密压缩传输,保证数据的完整性和机密性;
2) ◎日志可加密存储。支持大数据量存储;
3) ◎可根据转发条件,将采集范式化后的数据转发到其他的目标地址;
4) ◎支持加密压缩方式转发,定时转发。
1)◎要支持对无用日志的自动过滤,减少垃圾数据数量;
2)◎可以建立日志过滤条件;
3)◎过滤条件可以按照所有范式化后的字段属性来定义。
1)◎要支持对无用信息的自动合并,减少垃圾数据数量;
2)◎可以建立日志合并条件,设定合并的时间范围。
1) ◎系统同时提供独立的日志采集器用于日志的采集,日志采集器可分布
式部署;
2) ◎日志采集器采用B/S架构设计,有独立的管理界面,通过浏览器可以
登录到日志采集器上进行查看和配置;
3) ◎审计中心可以集中对日志采集器进行统一管理,包括泛化策略的下
发;
4) 日志采集器可以运行在Linux和Windows环境下;
5) 日志采集器支持以SNMP Trap、Syslog、ODBCJDBC、文件文件夹、WMI、
FTP、NetBIOS、OPSEC等多种方式完成日志收集;
6) 日志采集器在接收到日志后可以进行日志过滤,对日志信息进行筛选;
7) ◎日志采集器可实时或按设定的时间将指定的日志送到管理中心;
8) ◎日志采集器在将日志送往管理中心的时候,可以制定传送策略,仅传
送符合条件的日志;
9) ◎日志采集器在向管理中心发送日志的时候支持传输加密与数据压缩;
10) 日志采集器提供缓存功能,可存储因网络故障而无法发送的数据;
11) 可灵活定制不支持的数据源采集,无须改动代码。
1) ◎系统采用基于策略的事件分析模式,使用户从传统的“条件编辑”式
的分析体验转变为“策略选取” 式的分析体验,大大提升分析效率;
2) ◎系统内置超过3000条分析策略,包括各种实时分析策略、历史分析
策略、告警统计策略、工作台仪表板视图。
1) 系统允许管理员实时的,以实时监视策略的形式同各个维度查看安全事
件;
2) 用户可自定义监视策略,并以树形结构进行组织;
3) 实时显示事件内容包括:接收时间、事件类型、事件名称、报警级别、
来源IP、目的IP、设备类型、设备来源IP等。
4) 可查看事件详细信息和原始信息。
日志过滤
日志合并
日志采集器
【必须购买分布
式事件采集器模
块】
事件分析模式
安全事件实时监
视
序号 产品指标项 产品性能参数和要求
5) 可查看日志的参考说明;
6) ◎可以显示一段时间的动态事件移动图,能够在图上显示每个时间切片
的事件数量、等级,并能够在图上显示总的事件数和每秒事件数。用户
点击每个时间切片,可以查看该切片内的事件;
7) ◎可以对事件依据其源目的IP和端口信息进行深入的事件追踪调查,支
持无限次数的追踪调查;
8) ◎对于关联事件,可以钻取出导致该关联事件的原始事件;
9) ◎可以手工对日志进行告警;
10) ◎可以对选中的事件源/目的IP地址进行全球地图定位,包括在线
定位和离线定位;
11) ◎可以对选中的事件进行事件拓扑分析,并可视化的展示一幅描述
事件之间相互关系的行为图;
12) ◎可以以图形化的方式展示日志属性之间的聚合关系。
事件实时统计分
析
1) 系统允许管理员以实时统计策略的形式从各个维度进行安全事件进行
实时统计分析;
2) 用户可自定义统计策略,并以树形结构进行组织;
3) 统计策略的条件和时间间隔可自由设定;
4) 支持柱状图、饼图等形式的统计信息可视化展示;
5) ◎实时统计图会随时间推移动态更新,反映最新的统计结果;
6) 根据统计结果可直接钻取符合条件的事件;
7) ◎统计结果可以导出。
1) 系统允许管理员以历史统计策略的形式从各个维度进行安全事件进行
历史统计分析;
2) 用户可自定义统计策略,并以树形结构进行组织;
3) 统计策略的条件和时间段可自由设定;
4) 支持柱状图、饼图、曲线图等形式的统计信息可视化展示;
5) 根据统计结果可直接钻取符合条件的历史事件;
6) ◎统计结果可以导出。
1) 系统允许管理员以查询策略的形式查看安全事件;
2) 用户可自定义查询策略,并以树形结构进行组织;
3) 可对安全事件进行模糊搜索查询;
4) ◎能够基于事件类型进行事件查询;
5) 可以发起即席查询;
6) ◎采用分段式查询、渐进式加载模式,提升用户查询体验;
7) ◎采用任务的方式响应用户查询请求,用户不必在线等待查询结果。
1) 系统具有基于规则的安全事件关联分析的能力,能够对不同的事件进行
相关性分析,发掘潜在的信息;
2) 系统提供基于图形化方式的关联规则编辑器;
3) 所用事件字段都可参与关联;
4) 可实现逻辑关联,以及嵌套逻辑关联;
5) 可实现统计计数关联;
6) 关联分析规则可导入导出;
7) 关联规则与日志源设备厂家无关,更换设备无需修改规则;
事件历史统计分
析
事件查询
基于规则的事件
关联分析
序号 产品指标项 产品性能参数和要求
8) 关联规则可实时启用和停用。
9) 支持多事件关联,对不同来源的安全事件进行复杂的相关性分析【必须
购买增强关联分析模块】
基于情境的事件
关联分析
1) 系统能够将安全事件与当前网络和业务的实际运行环境进行关联,透过
更广泛的信息相关性分析,识别安全威胁;
2) 系统应至少支持基于弱点的情境关联、基于资产的情境关联、基于网络
告警的情境关联;
1) 系统具备基于异常行为的事件关联分析功能,具备细粒度的动态周期性
行为建模能力和基于多次指数平滑的行为预测能力;
2) 系统能对指定IP的事件行为特征进行周期性建模,然后将实测值与建
模值进行比较,判定异常 ;
3) 系统能根据指定IP的事件行为特征的历史值通过预测算法预测出未来
时间的取值区间,然后将实测值与预测值进行比较,判定异常;
4) 系统采用了基于场景的分析方式;
5) 系统内置14种行为分析场景的模板,用户可以根据自身需求对模板进
行实例化,建立任意数量的分析场景实例;
6) 对于每种分析场景,都能显示行为分析主体的事件分布情况、分析指标
变化趋势,以及相关告警列表;
7) 行为分析概览能够展示系统总体事件的IP云图、事件类型云图、TopN
事件量网段、总体事件趋势、总体告警趋势、个类型事件的数量变化趋
势。
系统具备丰富的事件可视化展示能力,具备多种展现手段,至少包括事件拓
扑图、IP全球定位图、动态事件移动图、事件多维分析图、资产拓扑图,等
等
1)系统应提供事件维护功能,能够自动定时备份安全事件;
2)提供自动、手动的事件维护手段;
3)管理员可设置事件存储空间告警阈值。
系统能够对各种不同厂商的安全设备、网络设备、主机的性能与可用性进行
集中化实时监控
行为分析◎
【必须购买行为
分析模块】
安全事件可视化
安全事件存储管
理
集中设备运行监
控
【必须购买基础
监控模块】
集中应用运行监
控
【必须购买增强
监控模块】
性能信息采集
【必须购买基础
监控模块】
性能采集器◎
【必须购买分布
式性能采集器模
块】
系统能够对各种主流厂商数据库、中间件、网络服务、以及各种应用系统的
性能与可用性进行集中化实时监控
1) 系统支持通过SNMP、TELNET、SSH、SSH2、ODBC、JMX、协议仿
真等方式对IT资产进行性能与可用性信息的周期性采集;
2) 采集时无需在被管理节点上安装代理;
1) 系统提供可另外部署的性能信息采集器,每个采集器都能对所辖片区资
产的性能信息进行采集,并统一上报管理中心,实现集中化的性能与可
用性监控;
2) 性能采集器采用B/S架构设计,有独立的管理界面,通过浏览器可以登
序号 产品指标项 产品性能参数和要求
录到性能采集器上进行查看和配置,可以查看采集器上每个监控器的监
控快照和性能指标数值;
3) 性能采集器可以运行在Linux和Windows环境下;
4) 性能采集器支持通过SNMP、TELNET、SSH、SSH2、ODBC、JMX、
协议仿真等方式对IT资产进行性能与可用性信息的周期性采集;
5) 管理中心具备对多个性能信息采集器的集中管理功能;
性能与可用性监
控分析
【必须购买基础
监控模块】
1) 系统对于各种监控对象都能进行全方位细粒度的监控,具有丰富的监控
指标;
2) 管理员可以通过丰富的可视化图表查看监控指标信息;可以对监控指标
设置告警阀值;可以将监控指标的数据保存起来,并进行历史分析;
3) ◎可以将监控指标的数据保存起来,进行历史分析;可以进行基于指标
的横向对比分析和基于时间的纵向对比分析。
网络设备监控
【必须购买基础
监控模块】
安全设备监控
【必须购买基础
监控模块】
主机监控
【必须购买基础
监控模块】
1) 支持所有支持SNMP协议的主流网络设备;
2) 能够监控网络设备基本属性,以及性能与可用性指标,包括:设备名称、
IP信息、描述、节点状态、运行时间、接口信息、路由信息、网络状态
信息、网络性能信息
1) 支持所有支持SNMP协议的主流安全设备;
2) 能够监控安全设备基本属性,以及性能与可用性指标,包括:设备名称、
IP信息、描述、节点状态、运行时间、接口信息、网络状态信息、网络
性能信息
1) 支持主流版本的Windows、Linux、AIX、Solaris、HP-UX等主机和服务
器;
2) 能够监控主机基本属性,以及性能与可用性指标,包括:名称、IP、描
述、节点状态、运行时间、网络接口信息、CPU利用率、内存利用率、
磁盘利用率、磁盘IO、文件系统、安装软件、安装服务、运行进程、 网
络连接;
3) ◎支持用户自定义监控指标,例如可以对任意进程进行监控;
数据库监控
【必须购买增强
监控模块】
1) 支持主流版本的MS SQL Server、Oracle、DB2、Informix、Sybase、MySQL
等数据库;
2) 能够监控数据库的基本属性,以及性能与可用性指标,包括:名称、版
本、端口、主机名、内存信息、运行状态(例如命中率状况,数据库等
待事件,Lock和latch争用情况,Shared pool的使用情况,排序使用的
情况,Redo log使用情况,登录用户情况等)、事务信息、缓存信息、
连接信息、锁信息、SQL统计、命中率信息、表空间信息、访问方法明
细、数据库明细等
1) 支持主流版本的Weblogic、WebShpere等中间件;
2) 能够监控中间件的基本属性,以及性能与可用性指标,包括:名称、版
本、端口、连通性、运行状态、CPU、内存、事务、JVM Runtime、队
列、Servlet会话、线程池、EJB、JDBC连接等;
1) 支持各种网络服务的监控,包括并不限于:SMTP、POP3、HTTP、FTP、
TELNET、SSH、SSH2、DNS、DHCP、WINS、LDAP;
中间件监控
【必须购买增强
监控模块】
应用监控
【必须购买增强
序号 产品指标项
监控模块】
产品性能参数和要求
2) 能够对Apache TOMCAT和IIS进行监控;
3) ◎能够对IBM Lotus Domino进行监控,包括连通性、命令缓存、NSF、
请求、会话、邮件收发性能;
4) 能够监控邮件服务(SMTP/POP3)的连通性、响应延迟;
5) 能够监控WEB服务器(IIS和TOMCAT)的连通性、传输速率、用户
访问数、会话数等;
6) 能够对URL的连通性和响应延迟进行监控;
7) ◎能够对指定网页进行监控,基于正则表达式进行网页内容检测;
8) 能够监控通用服务(TCP、DNS、DHCP)协议的连通性、响应时间
虚拟化监控
【必须购买虚拟
化监控模块】
1) 能够对Vmware的ESX进行监控,包括ESX自身的监控以及运行在ESX
上的虚拟OS的监控;
2) 能监控ESX的名称、IP、描述、节点状态、运行时间、CPU利用率、
内存利用率、网络状况、数据存储、磁盘IO、虚拟机列表
3) 能监控每个VM的名称、IP、描述、节点状态、运行时间、CPU利用率、
内存利用率、网络状况、数据存储、磁盘IO
网络故障诊断分
析◎
【必须购买故障
诊断模块】
1) 系统具备基于故障树的网络故障诊断功能,能够根据网络故障沿网络拓
扑水平传播的特性,通过对大量网络告警事件在拓扑空间中的分布,以
及传播时间上的顺序,自动判别故障源;
2) 系统能够可视化地展现一幅故障树,并标记出故障节点;
3) 系统能够显示故障告警趋势图、故障告警等级分布图;
业务管理◎
【必须购买业务
管理模块】
1) 系统提供基于业务的安全管理功能;
2) 系统内置业务建模工具,用户可以构建业务拓扑;
3) 业务可以嵌套子业务;
4) 提供基于安全指标体系的业务健康指数模型,从业务的性能与可用性、
业务的脆弱性和业务的威胁三个维度计算业务的健康度;
5) 系统的业务健康指数模型是一个动态模型,用户可以根据所关注的业务
实际情况自定义关键性能指标,可以自定义关键威胁指标,可以自定义
指标权重;
6) 系统必须提供内置的关键威胁指标,并且指标维度不少于6个;
7) 用户可以对业务进行可用性分析,查看业务安全事件和业务告警;
8) 用户可以对业务拓扑进行钻取,分析构成业务的每个资产的运行详情;
9) 用户可以基于业务拓扑进行业务故障定位。
脆弱性管理 1) 系统具有脆弱性管理功能,能够导入资产的弱点信息,并计算资产/安全
域/业务系统的脆弱性值。
2) 至少支持导入启明星辰、绿盟、榕基的漏扫结果;
3) 系统能够通过多种方式展示资产/安全域/业务系统的弱点信息,可以查
看单个资产的弱点,可以查看某个安全域的弱点值最高的10个资产;
4) 系统具备漏洞库,所有导入的漏洞信息都可以检索,用户可以编辑漏洞
信息。
天镜漏洞扫描引1) 系统可以对天镜漏扫引擎进行集中管理,并对天镜漏扫引擎下发扫描任
序号 产品指标项
擎集成与调度
【需要购买漏扫
调度管理模块】
配置安全核查◎
【必须购买配置
安全核查模块】
产品性能参数和要求
务,收集扫描结果,统一进行漏洞脆弱性分析;
2) 漏扫结果可以自动参与到弱点管理模块中,并参与脆弱性计算。
1) 系统具有主动的配置安全核查功能,能够对核查对象的配置进行细粒度
的安全符合性检查,并出具核查报告;
2) 系统支持多种核查调度策略,包括即时核查、定时核查、周期性核查和
离线核查四种核查方式;
3) 用户可以自定义核查作业、配置核查模板,还可以自定义检查脚本和配
置采集脚本。
配置信息采集◎
【必须购买配置
安全核查模块】
配置核查采集器
◎
【必须购买分布
式配置核查采集
器】
配置核查项内容
◎
【至少必须购买
配置安全核查模
块】
系统支持通过SMB、SSH/SSH2、TELNET、JDBC、配置核查代理等协议进行
配置信息采集
1) 配置核查采集器可以安装并独立运行在一台服务器上,实现对分散的管
理对象的配置信息采集与核查。
2) 配置核查采集器的结果可以转发给管理中心。管理中心可以对网络中分
散的配置核查采集器进行集中管理,下发核查任务和策略。
3) 借助配置核查采集器可以实现离线配置核查。
1) 提供Windows系列(Win2003、win2008、winXP、win7)安全配置核查
项。【必须购买配置安全核查模块】
2) 能提供针对主流Cisco防火墙的安全配置核查和分析。【必须购买思科安
全设备安全配置核查模块】
3) 提供针对主流Juniper防火墙的安全配置核查和分析。【必须购买瞻博安
全设备安全配置核查模块】
4) 提供针对主流Huawei防火墙的安全配置核查和分析。【必须购买华为安
全设备安全配置核查模块】
5) 提供针对主流Cisco网络设备的安全配置核查和分析。【必须购买思科网
络设备安全配置核查模块】
6) 提供针对主流Juniper网络设备的安全配置核查和分析。【必须购买瞻博
网络设备安全配置核查模块】
7) 提供针对主流Huawei网络设备的安全配置核查和分析。【必须购买华为
网络设备安全配置核查模块】
8) 提供针对Red Hat Linux Enterprise 5以上版本、CentOS5以上版本、SUSE
Linux Enterprise 9 以上的Linux操作系统的安全配置核查和分析。【必
须购买主机Linux安全配置核查模块】
9) 提供针对Solaris7以上系列操作系统的安全配置核查和分析。【必须购买
主机Solaris安全配置核查模块】
10) 提供针对HP-Unix11i以上版本的安全配置核查和分析。【必须购买
主机HPUnix安全配置核查模块】
11) 提供针对AIX5L系列操作系统的安全配置核查和分析。【必须购买
主机AIX安全配置核查模块】
12) 提供针对9i以上版本Oracle数据库安全配置核查和分析。【必须购
序号 产品指标项 产品性能参数和要求
买数据库Oracle安全配置核查模块】
13) 提供针对MySQL5以上版本MySQL数据库安全配置核查和分析。
【必须购买数据库MySQL安全配置核查模块】
14) 提供针对SQL Server2000以上版本SQL Server数据库的安全配置
核查和分析。【必须购买数据库SQLServer安全配置核查模块】
15) 提供针对Sybase15.x以上版本数据库的安全配置核查和分析。【必
须购买数据库Sybase安全配置核查模块】
16) 提供针对DB2 9.x以上版本数据库的安全配置核查和分析。【必须
购买数据库DB2安全配置核查模块】
17) 提供针对Apache2.x以上中间件的安全配置核查和分析。【必须购
买中间件Apache安全配置核查模块】
18)
19)
提供针对Tomcat5.x以上中间件的安全配置核查和
分析。【必须购买中间件Tomcat安全配置核查模块】
20) 提供针对Bind 9.x以上中间件的安全配置核查和分析。【必须购买
中间件Bind安全配置核查模块】
21) 提供针对WebLogic 10.x以上中间件的安全配置核查和分析。【必
须购买中间件WebLogic安全配置核查模块】
22) 提供针对WebSphere 7.x以上中间件的安全配置核查和分析。【必须
购买支持中间件WebSphere安全配置核查模块】
23) 提供针对Domino 8.x以上中间件的安全配置核查和分析。【必须购
买支持中间件Domino安全配置核查模块】
24) 提供针对IIS6中间件的安全配置核查和分析。【必须购买中间件IIS
安全配置核查模块】
风险评估◎ 1) 系统通过内置的风险计算模型,综合考虑资产的价值、脆弱性和威胁,
计算风险的可能性和风险的影响性;
2) 能够定期自动地计算出资产、安全域和业务系统的风险值,并刻画出资
产、安全域和业务系统随时间变化的风险变化曲线,支持风险钻取与分
析;
3) 系统能够形象地展示出安全域的风险矩阵,从可能性和影响性两个角度
标注安全域中资产风险的分布情况,通过风险矩阵法,指导管理员进行
风险分析,采取相应的风险处置对策;
4) 能够显示任意安全域的威胁Top10资产,风险Top10资产;
宏观监测◎
【必须购买宏观
监测分析模块】
1) 系统通过对收集到的一段时间内的海量安全事件的报送IP地址进行熵
值计算,得到这些安全事件报送IP聚合度的变化幅度,以此来刻画这
段时间内这些安全事件所属网络的安全状态,并预测下一步的整体安全
走势
2) 系统能够持续地描绘地址熵态势曲线,并可以显示每个时段的地址态势
成因图。通过对三种典型态势成因图的模式分析,可以识别两种典型的
态势异常;
3) 支持对异常态势信息的逐层下钻,直至定位到导致态势异常的关键安全
事件;
威胁态势分析◎ 1) 系统通过建立并针对一组关键指标体系(KPI)计算得到一个威胁指数,
序号 产品指标项
【必须购买威胁
KPI模块】
产品性能参数和要求
以此来表征一段时间内、某个网络区域的网络安全威胁状态及其发展趋
势;
2) 系统能够计算全网或者一级安全域的威胁态势指数,并自动描绘出态势
指数曲线;
3) 系统能够描绘出态势成因雷达图和帕累托图,展示出每种态势成因在态
势指数中所占的比重;
4) 系统能够分析并展示当前态势指数与上个周期的态势指数的环比变化
情况;
5) 管理员可以对态势指数进行层层下钻,直到钻取出导致该态势成因的具
体安全事件;
6) 管理员可以对态势指数设定预警阀值,在超过阀值后系统自动发出威胁
态势警告信息。
热点分析◎
【必须购买热点
分析模块】
1) 系统采用聚类算法持续地从事件的源IP、目的IP、资产类型、事件等级、
事件数目5个维度(向量)朝终端、网络和应用三个群组进行聚类运算,
找到当前一段时间的事件热点;
2) 系统支持对热点事件进行钻取分析;
3) 系统支持热点的历史回放。
1) 通过发布内部及外部的早期预警信息,分析可能受影响的资产,提前了
解业务系统可能遭受的攻击和潜在的安全隐患。
2) 系统的预警分为内部预警和外部预警;
3) 内部预警支持规则自动产生,外部预警支持手工录入;
4) 在录入预警信息的时候,可以关联到受影响的资产;
5) 预警类型包括安全通告、攻击预警、漏洞预警和病毒预警;
6) 系统具有预警的生命周期管理,预警信息的状态至少包括预备预警、正
式预警和归档预警三种。
1) 告警动作支持告警重定义、弹出提示框、播放警示音、发送邮件、发送
SNMP Trap、发送短信、执行命令脚本、设备联动、发送飞鸽传书、发
送Syslog等方式;
2) 支持以派发工单的形式进行告警响应;【必须购买工单管理模块】
3) 告警内容可以自定义,可以根据日志的实际情况将参数传递给命令行脚
本;
4) 用户可以对告警进行即席查询,导出查询结果;
5) 管理员可以根据查询到的告警信息直接派发工单;【必须购买工单管理
模块】
6) 支持告警信息导入;
8) 系统允许管理员以告警统计策略的形式从各个维度进行告警信息进行
统计分析;
9) 用户可自定义告警统计策略,并以树形结构进行组织;
10) 告警统计策略的条件和时间段可自由设定;
11) 告警统计结果支持柱状图、饼图等形式的统计信息可视化展示;
12) 根据告警统计结果可直接钻取符合条件的告警信息;
1) 管理员可以生成周期性任务工单,也能够根据安全事件和告警触发一次
性工单,并派发给指定的处理人。
预警管理◎
【必须购买预警
管理模块】
告警管理◎
工单管理
【必须购买工单
序号 产品指标项
管理模块】◎
产品性能参数和要求
2) 管理员可以指定工单的优先级,可以选择采用短信或者邮件方式通知处
理人;可以指定工单处理的开始时间和结束时间,可以设定工单完成的
时限;
3) 工单处理人在接收到工单后可以记录工单的流转信息和状态信息;
4) 可以按照多种条件查询工单;
5) 管理员可以查看所有的工单及其流转的全过程;
6) 管理员可以自定义工单分类;
7) 能够对工单的数量、状态(处理情况)等进行统计分析,至少展示出工
单按时完成率、工单分配统计、以及工单发布/完成趋势;
1) 系统内置了资产、事件、监控、风险等报表报告;
2) 提供内置报表模板;
3) 支持按照天、月度、季度、年度等时间周期生成报表,,并支持邮件自
动投递;
4) 支持在报表中以柱状图、曲线图、饼状图方式统计安全报警情况;
5) 支持报表报告的导出,导出的格式支持EXCEL、PDF、DOC、XML、
HTML、RTF等,支持Office 2007格式;
6) 系统内置报表编辑器,可以自定义报表。
1) 系统提供开放的知识管理功能,内置了大量的安全知识,同时也允许用
户在系统使用过程中不断丰富和完善。
2) 用户可以对所有的知识点进行基于关键字的全文检索,操作界面类似百
度搜索或者Google搜索。
3) 系统预先建立的知识包括:案例库、漏洞库、事件分类库、字典库等;
4) 系统内置日志字典库,方便用户查询不同原始日志信息的错误ID号和
详细描述信息
1) 系统允许上级管理中心对下级管理中心的节点进行集中管理和展示,上
级管理中心可以访问下级管理中心;
2) 在上级管理中心,可以对下级管理中心的节点进行配置和监控。
1) 可记录系统自身日志,可查询;
2) 可对系统自身的CPU、内存、数据库空间大小等进行监控;
3) 可以对自身运行的CPU、内存和磁盘空间等的使用率设置告警阈值;
4) 支持系统时间同步,确保审计系统与用户网络环境的时间保持同步。
报表管理
知识管理
级联管理
【必须购买标准
多级管理模块】
系统管理
权限管理 1) 实现基于角色的权限管理,所有的用户的权限都通过角色来赋予;
2) 要求系统管理员、权限管理员和用户管理员三权分立;系统内置上述三
类管理员。