醫(yī)院APT預(yù)警平臺(tái)需求方案序號(hào)指標(biāo)項(xiàng)參數(shù)和功能要求一、硬件規(guī)格1硬件外形軟硬一體化2U標(biāo)準(zhǔn)機(jī)架式設(shè)備；綜合分析平臺(tái)、沙箱引擎和流量探測(cè)等三個(gè)功能必須在一臺(tái)設(shè)備中實(shí)現(xiàn)，不允許將三個(gè)功能拆分，分別部署設(shè)備。旁路部署2電源1+1冗余電源；3硬盤(pán)容量可用磁盤(pán)空間不小于2T，帶RAID1；4接口數(shù)量標(biāo)配千兆管理口*2千兆業(yè)務(wù)口RJ45網(wǎng)口*4，千兆業(yè)務(wù)SFP光口*4,本次招標(biāo)含萬(wàn)兆SFP光口*25接口擴(kuò)展千兆R(shí)J45網(wǎng)口*4或千兆SFP光口*4或萬(wàn)兆SFP光口*26部署方式旁路鏡像模式部署，不影響服務(wù)器處理性能和網(wǎng)絡(luò)架構(gòu)；7分布式部署支持旁路部署和分布式部署，對(duì)探測(cè)器可以添加、刪除，顯示探測(cè)器版本、狀態(tài)和IP，管理中心可實(shí)現(xiàn)告警統(tǒng)一管理；可自定義管理中心和探測(cè)器之間的數(shù)據(jù)傳輸速率、時(shí)間、發(fā)送目錄等參數(shù)；8吞吐率網(wǎng)絡(luò)層：2Gbps應(yīng)用層：1Gbps9WEB檢測(cè)HTTP最大并發(fā)數(shù)：7萬(wàn)/秒10郵件檢測(cè)郵件處理數(shù)：150萬(wàn)封/24小時(shí)11文件檢測(cè)5萬(wàn)個(gè)/24小時(shí)12綜合管理分析支持管理節(jié)點(diǎn)10個(gè)13能夠在報(bào)告中體現(xiàn)惡意程序的行為，應(yīng)具備行為描述、文件地址和文件創(chuàng)建時(shí)間等詳細(xì)信息，14單臺(tái)設(shè)備具備文件還原、文件靜態(tài)檢測(cè)、文件動(dòng)態(tài)沙箱檢測(cè)、web攻擊檢測(cè)、流量檢測(cè)、數(shù)據(jù)分析與風(fēng)險(xiǎn)預(yù)警等功能。15提供龐大的黑白名單特征庫(kù)，黑名單數(shù)量大于1.8億，白名單數(shù)量大于1.1億。16能夠在報(bào)告中體現(xiàn)惡意程序的行為，應(yīng)具備行為描述、文件地址和文件創(chuàng)建時(shí)間等詳細(xì)信息，能夠?qū)阂獬绦蜻M(jìn)行至少四級(jí)的危險(xiǎn)等級(jí)鑒定。攻擊檢測(cè)審計(jì)協(xié)議支持解析HTTP、FTP、SMTP、POP3、SMB、IMAP、DNS、Mysql、MSSQL、DB2、Oracle等協(xié)議報(bào)文，并提供審計(jì)協(xié)議類(lèi)型的端口號(hào)配置，可根據(jù)需要變更端口號(hào)，并支持LDAP登錄行為識(shí)別、VXLAN鏡像流量解析檢測(cè)及HTTPS流量解析能力檢測(cè)風(fēng)險(xiǎn)類(lèi)別支持檢測(cè)WEB攻擊、異常訪問(wèn)、惡意文件攻擊、C&CIP/URL、WEB后門(mén)訪問(wèn)、發(fā)件人欺騙、郵件頭欺騙、郵件釣魚(yú)欺騙、郵件惡意鏈接、DGA域名請(qǐng)求、SMB遠(yuǎn)程溢出攻擊、WEB行為分析等風(fēng)險(xiǎn)告警黑白名單過(guò)濾支持對(duì)文件白名單、發(fā)件人郵箱白名單、發(fā)件人域名白名單、黑域名白名單、黑IP白名單、域名白名單、客戶(hù)端IP白名單、服務(wù)端IP白名單、WEB風(fēng)險(xiǎn)特征白名單進(jìn)行設(shè)置私網(wǎng)IP地理位置定義支持對(duì)私網(wǎng)地址IP地理位置信息添加，在產(chǎn)生告警時(shí)，定義IP可正常顯示所屬地理位置信息弱口令風(fēng)險(xiǎn)檢測(cè)支持對(duì)Telnet、FTP、POP3、SMTP、IMAP等協(xié)議進(jìn)行弱口令檢測(cè)告警詳細(xì)展現(xiàn)可支持詳細(xì)展現(xiàn)告警級(jí)別、時(shí)間、威脅名稱(chēng)、狀態(tài)、客戶(hù)端IP、客戶(hù)端IP所在地理位置、服務(wù)端IP、服務(wù)端IP所在地理位置、報(bào)文、操作等信息，包含請(qǐng)求URL、請(qǐng)求類(lèi)型、請(qǐng)求內(nèi)容、請(qǐng)求頭、Host、User-Agent、Accept、Accept-Language、Accept-Encoding、Accept-Charset、Keep-Alive、Connection、Cookie、請(qǐng)求參數(shù)、響應(yīng)碼、返回長(zhǎng)度等信息主機(jī)威脅分析可自動(dòng)對(duì)內(nèi)網(wǎng)主機(jī)進(jìn)行威脅指數(shù)分析，詳細(xì)展示具體的威脅指數(shù)、威脅活動(dòng)、歷史威脅指數(shù)、遭受的攻擊類(lèi)型、攻擊次數(shù)、攻擊狀態(tài)等可根據(jù)不同威脅指數(shù)的主機(jī)實(shí)現(xiàn)攻擊溯源和攻擊過(guò)程的可視化分析可通過(guò)攻擊源、攻擊目的對(duì)攻擊路線進(jìn)行統(tǒng)計(jì)，包括攻擊的行為、告警，并以直觀的圖形化形式展示木馬回連分析可自動(dòng)學(xué)習(xí)網(wǎng)絡(luò)流量中包含的各種可疑C&CIP/URL，包含各種可能對(duì)內(nèi)網(wǎng)存在影響的IP和域名快速識(shí)別網(wǎng)絡(luò)中存在的惡意回連行為，包含回連主機(jī)IP、服務(wù)器IP、時(shí)間、行為等對(duì)基于木馬回連的非法數(shù)據(jù)傳輸?shù)刃袨檫M(jìn)行取證分析，包括回連主機(jī)IP、服務(wù)器IP、傳輸數(shù)據(jù)大小、協(xié)議類(lèi)型等攻擊地圖展示可通過(guò)攻擊源和目的的地理位置信息，以世界地圖和中國(guó)地圖的形式展示，并實(shí)現(xiàn)世界地圖和中國(guó)地圖自動(dòng)切換直觀展示攻擊路徑WEB攻擊檢測(cè)HTTP解析支持HTTP協(xié)議解析，檢測(cè)WEB攻擊雙向?qū)徲?jì)支持雙向?qū)徲?jì)，對(duì)請(qǐng)求和響應(yīng)都進(jìn)行審計(jì)攻擊檢測(cè)支持SQL注入、命令注入、跨站腳本、代碼注入、協(xié)議錯(cuò)誤攻擊檢測(cè)WEBSHELL檢測(cè)支持WEBSHELL檢測(cè)，可檢測(cè)訪問(wèn)webshell的行為，包含具體對(duì)應(yīng)的URL、返回碼、返回?cái)?shù)據(jù)包內(nèi)容等。自定義WEB審計(jì)規(guī)則支持根據(jù)來(lái)源IP、MAC、HTTP請(qǐng)求方法、URL、請(qǐng)求頭、請(qǐng)求參數(shù)、響應(yīng)碼等內(nèi)容設(shè)置審計(jì)規(guī)則高、中、低等風(fēng)險(xiǎn)等級(jí)。動(dòng)態(tài)分析自動(dòng)關(guān)聯(lián)行為分析的詳細(xì)展現(xiàn)，包含SQL注入取數(shù)據(jù)、表單破解、XSS測(cè)試、目錄穿越讀取文件、多人訪問(wèn)Webshell、APT攻擊等。場(chǎng)景化分析支持場(chǎng)景化的分析能力，對(duì)發(fā)現(xiàn)的告警進(jìn)行二次關(guān)聯(lián)，支持對(duì)勒索病毒、網(wǎng)站后門(mén)、郵件APT攻擊等事件進(jìn)行預(yù)警。DNS協(xié)議分析具備DNS協(xié)議分析能力，發(fā)現(xiàn)受感染主機(jī)、危害程度、被感染病毒類(lèi)型、回連C&C域名、DNS返回詳情、惡意主機(jī)明細(xì)等行為。與WAF聯(lián)動(dòng)支持將分析到的WEBSHELL攻擊、木馬回連和惡意攻擊行為同步到WAF，實(shí)現(xiàn)APT深度威脅分析與WAF聯(lián)動(dòng)阻斷Mail攻擊檢測(cè)解析協(xié)議支持解析webmail、SMTP、POP3類(lèi)型報(bào)文Webmail攻擊檢測(cè)支持基于webmail攻擊類(lèi)型檢測(cè)，包括sql注入、跨站、命令注入等攻擊檢測(cè)社工類(lèi)攻擊檢測(cè)對(duì)社工類(lèi)攻擊進(jìn)行檢測(cè)，檢測(cè)內(nèi)容包括：郵件頭欺騙、郵件發(fā)件人欺騙、郵件釣魚(yú)欺騙、郵件惡意鏈接惡意附件檢測(cè)支持郵件惡意附件行為檢測(cè)文件攻擊檢測(cè)解析協(xié)議支持HTTP、FTP、SMB、SMTP、POP3等協(xié)議傳輸文件檢測(cè)文件類(lèi)型支持doc,xls,ppt,swf,pdf,java,rar,zip,rar,exe,vbs,scr,html，js等多種文件解析自定義文件類(lèi)型可添加或刪除指定審計(jì)文件類(lèi)型特征檢測(cè)對(duì)文件進(jìn)行特征匹配，利用已知的特征庫(kù)發(fā)現(xiàn)惡意可以執(zhí)行代碼對(duì)文件進(jìn)行特征匹配，利用已知的特征庫(kù)發(fā)現(xiàn)惡意的非可執(zhí)行文件Shellcode檢測(cè)通過(guò)分析文件中的二進(jìn)制代碼，找到文件溢出攻擊的代碼，并能找到APT攻擊中的0day攻擊動(dòng)態(tài)沙箱檢測(cè)對(duì)存在問(wèn)題的文件輸出完整的二進(jìn)制動(dòng)態(tài)分析報(bào)告動(dòng)態(tài)執(zhí)行可疑文件，分析代碼的注冊(cè)表、進(jìn)程、網(wǎng)絡(luò)、文件等行為，分析其安全風(fēng)險(xiǎn)對(duì)文件關(guān)鍵行為進(jìn)行截圖可展示文件中版本信息、段信息、資源信息、導(dǎo)入表、字符串信息、刪除文件信息等內(nèi)容可展示ROP行為檢測(cè)可展示具體文件的行為，包括所有的注冊(cè)表行為、進(jìn)程行為、互斥量、進(jìn)程運(yùn)行的函數(shù)、返回結(jié)果、返回值等信息子文件掃描對(duì)文件內(nèi)部嵌入的子文件可進(jìn)行二次掃描，分析安全性攻擊樣本提取可以提取出攻擊的完整樣本文件，并提供對(duì)該文件下載的能力文件威脅指數(shù)可展示威脅程度最高的文件樣本MD5、威脅指數(shù)、傳播次數(shù)，病毒檢測(cè)、靜態(tài)檢測(cè)和動(dòng)態(tài)檢測(cè)結(jié)果等內(nèi)容根據(jù)文件傳播情況分析受感染主機(jī)、接受云端威脅情報(bào)、關(guān)鍵威脅行為可視化、回連主機(jī)host和完整沙箱分析報(bào)告根據(jù)云端威脅情報(bào)展示云端是否確認(rèn)、傳播協(xié)議類(lèi)型、傳播次數(shù)、云端確認(rèn)結(jié)果等抓包檢測(cè)功能抓包任務(wù)同時(shí)支持至少16個(gè)抓包任務(wù)抓包，每個(gè)抓包任務(wù)可配置抓包規(guī)則，按照IP、端口、協(xié)議等信息進(jìn)行抓包，將抓取的原始流量包保存于本地以供后續(xù)分析和取證使用，每抓包任務(wù)最大抓包20MB管理功能三權(quán)分立用戶(hù)管理提供三權(quán)分立的用戶(hù)管理能力：配置員、用戶(hù)管理員、審計(jì)員相互獨(dú)立，支持自定義管理用戶(hù)權(quán)限和角色風(fēng)險(xiǎn)處理支持根據(jù)需要對(duì)風(fēng)險(xiǎn)狀態(tài)進(jìn)行選擇處理中、處理完成、延遲處理、拒絕處理等一鍵登錄排錯(cuò)支持一鍵登錄排錯(cuò)平臺(tái)，對(duì)系統(tǒng)進(jìn)行深度配置和排錯(cuò)，支持一鍵檢測(cè)故障、配置核對(duì)、表分區(qū)檢查、表檢測(cè)、同步驗(yàn)證、信息收集等功能設(shè)備狀態(tài)監(jiān)控支持對(duì)設(shè)備的CPU、內(nèi)存等狀態(tài)進(jìn)行監(jiān)控，并在設(shè)備界面中進(jìn)行展示知識(shí)庫(kù)根據(jù)不同的風(fēng)險(xiǎn)信息，提供風(fēng)險(xiǎn)分析和處置建議知識(shí)庫(kù)日志報(bào)表告警與報(bào)表告警可詳細(xì)展示風(fēng)險(xiǎn)級(jí)別、發(fā)生時(shí)間、告警名稱(chēng)、客戶(hù)端IP、服務(wù)器IP、報(bào)文內(nèi)容（URL、請(qǐng)求頭、請(qǐng)求參數(shù)、請(qǐng)求內(nèi)容）可根據(jù)需要針對(duì)單個(gè)告警添加白名單支持k