指标项

详细技术要求

功能要求

1. 要求支持集中和分级部署。

2. 采用B/S架构操作方式，无需安装客户端软件。

3. 资产管理：可以添加、修改、删除资产；对资产的基本属性进行维护；资产可以增加自定义属性。

4. 系统支持对IP对象的自动发现功能；对自动发现的设备可以转资产或删除；提供丰富的图元和工具，可以编辑出多种多样的拓扑图；可根据需要在左侧添加文字信息和微件信息；拓扑节点能够查看该节点的告警信息。

5. 支持零管理配置，系统自动发现域名并监控域名的访问及攻击情况；支持网站管理，在传统的访问和攻击监控的基础上，增加网站资产的脆弱性监控，资产负载监控以及Sql执行性能监控；支持网站告警监控，并综合网站的告警，脆弱性综合评估网站风险。

6. 系统满足设备的信息采集要求，主要包括：安全设备：支持山石防火墙、启明WAF防火墙、绿盟IDS、华为防火墙、Juniper防火墙、天融信防火墙等。

7. 操作系统：Linux、Windows、Window server、Uinx等操作系统。

8. 数据库：Oracle、MySQL、SQLServer等。

9. 应用系统：如Apache、Tomcat、IIS、weblogic等。

10. 网络设备：主流的路由器、交换机、负载均衡等网络设备等，如锐捷、中兴、华为、F5、Cisco、juniper等。

11. 系统需支持Syslog、Syslog-ng 、SNMP Trap、文件、WMI、FTP、数据库等方式采集日志。

12. 被采设备无需安装任何代理。

13. 日志采集器可实时或按设定的时间将指定的日志送到审计中心。

14. 日志采集器在将日志送往审计中心的时候，可以制定传送策略，仅传送符合条件的日志。

15. 审计中心可以支持多个日志采集器。

16. 对日志格式进行标准化操作时，将不破坏原始日志内容。

17. 标准化自动识别系统类型至少达到280种。

18. 系统从不同设备或系统中所获得的各类日志、事件中抽取相关片段准确和完整地映射至安全事件的标准字段，日志清洗后的标准化字段粒度至少达到90个字段。

19. 对安全事件重新定级。能根据统一的安全策略，按照安全设备识别名、事件类别、事件级别等所有可能的条件及各种条件的组合对事件严重级别进行重定义。

20. 系统既可以完全收集采集对象上的日志信息，也支持在安全事件收集引擎上设置过滤条件，可过滤出无关安全事件，满足根据实际业务需求减少采集对象发送到核心服务器的安全事件数，从而减少对网络带宽和数据库存储空间地占用。

21. 系统需具有归并技术，安全事件收集代理会在一段时间内比较收到的安全事件，如果安全事件相同，则只需发送一条安全事件，该安全事件应包括安全事件详情及该安全事件发生的次数，这样可以减少安全事件通信量。

22. 支持根据设备类型，按日期展示日志的接入情况，包含不同级别日志数量统计。

23. 支持简单易用的日志查询普通模式，根据系统预置的查询条件，根据用户需求查询对应的日志，并且支持查询条件的保存，供后续快捷使用。

24. 支持更加精确的专家模式查询，根据页面的指导提示，通过组合查询表达式完成精确查询。

25. 支持全球地理位置库。

26. 为了挖掘不同类型、来源于不同设备或系统的日志或安全事件之间可能存在的关联关系，系统提供了GUI方式的关联规则设置功能，关联的类型包括基于规则和基于统计的。

资质要求

1. 所投日志审计系统厂家为中国互联网网络安全威胁治理联盟成员单位。

2. 具有国家认证认可的产品检验报告。

配置要求

网络设备日志审计，满足公安部存储180天要求。

硬件参数：2U机架式一体化设备；配置≥6个千兆电口，≥2个扩展插槽，≥1个RJ45口，≥2个USB口，存储容量2T，内存16G，支持热插拔双冗余电源。

性能参数：日志接收能力≥5000。

其他要求

投标人须提供所涉及产品原厂商针对本项目的三年售后服务承诺函。

系统架构

标准机架式1U/2U硬件服务器，标配≥6个千兆电口，可扩展支持≥4个端口千兆光纤扩展卡或≥2个万兆光口扩展卡，支持≥2TB存储空间，提供≥16G内存，提供断电保护机制，如心跳、Bypass，支持冗余电源。

服务器采用Linux操作系统，支持B/S，C/S双重管理架构，便于操作管理设计，管控≥1000终端数。

系统部署

支持旁路部署方式，产品兼容多网段、有线\无线AP、跨NAT等复杂网络环境，设备部署过程中不改变原有网络结构。

支持独立部署准入控制服务器，单独管理特定网段。

支持终端和准入管理同平台管控。

准入技术

支持802.1X、端口流镜像准入、SNMP、VALN和portal认证等多种常用准入控制技术，同时提供VARP端口级准入控制技术。

支持对合法入网设备建立授信画像，同时可以针对特殊设备和服务器设置白名单放行，白名单设备访问特定服务器地址不进行网络阻断处理。

支持无客户端模式下终端注册，通过web页面引导填写注册信息，支持管理员审批/自动审批入网。

系统支持客户端和无客户端双部署模式，支持独立或并行使用多种准入方式，搭建网络边界级、端口级、应用级网络阻断控制功能。

资产识别

支持主动扫描和被动网络数据协议分析双技术并行资产发现、识别，支持无客户端部署模式下精确识别管控网络内的计算机、移动终端、IPC摄像机、NVR录像机、网络打印机、网络电视、交换机、路由器、服务器、智能设备和哑终端等联网设备，采集联网设备的操作系统、主机名、IP地址、MAC地址、开放端口、接入交换机、交换机端口和VLAN等信息。

支持常见网络服务识别≥50种。

设备防伪冒

支持阻断非法设备伪冒成合法设备的IP和MAC地址接入网络。

网络拓扑图

支持自动绘制全网网络拓扑图，同时支持手动添加、编辑网络拓扑图。

IT资源库

支持图形化展现交换机信息，交换机面板显示各交换机端口详细信息，包含交换机品牌、型号、端口信息、VLAN信息、IP地址表、转发表、路由表和ARP表等细粒度管理。

图形化管理全网IP地址资源，支持在线、离线、未使用、安全风险、安全阻断分类化显示，支持IP地址增加备注信息。

支持大屏展示全网资产设备实时状态，包含资产数据分析、资产分类、安全趋势、24小时态势、关键设备态势及报警信息。

关键设备管理

支持实时监控关键设备资产连网状态，异常下线报警功能。

提供关键设备资产风险态势实时监测，非法设备攻击关键设备资产拦截、报警及溯源分析功能。

安全风险分析

系统提供杀软、漏洞、服务、端口、进程、程序、账户和防火墙等计算机安全技术检测及自动修复。

系统支持陌生设备入侵风险、冒用设备入侵风险、基础关键设备异常下线风险、违规外联风险、端口异常、接入位置异常、异常IP地址、异地登陆、尝试登陆、数据库存储等数十种网络安全风险检测、分析。

移动存储管理

支持禁用U盘、移动硬盘、智能手机、所有USB存储设备和使用所有USB外接设备功能，同时支持指定部门\用户可以使用特定设备。

USB移动存储管理支持禁用、只读、只写和加密四种管控模式，只写模式下禁止终端计算机读取U盘内的所有内容，预防U盘病毒侵害终端计算机。加密U盘支持内部使用和外部授权使用两种管理模式，外部使用时输入管理员设定的授权码即可访问加密u盘。

包含USB设备插入日志、USB设备使用申请审批日志和USB设备文档操作日志。

文档防勒索

支持终端文档防勒索功能，创建安全程序特征指纹库，精确鉴别应用程序身份信息，阻断一切非法程序对文档的访问。

设备管理

支持对光驱设备、刻录设备、蓝牙设备、红外设备、串口设备、并口设备、1394设备、PCMCIA设备、无线网卡、随身WIFI和便携式设备的开启\禁止使用。

支持本地打印机和虚拟打印机使用权限管控，支持打印水印设置。同时支持设置打印机只能打印特定的纸张类型。

资产管理

支持自动收集终端计算机支持硬件型号、性能、品牌、出厂时间等信息，采集采集CPU内核、线程、名称、封装、工艺、规格、系列、扩展系列、型号、扩展型号、步进、修订号、指令、虚拟化、超线程、风扇速度、总线速度等信息。

采集内存类型、大小、通道数、CAS#延迟、RAS#到CAS#延迟（tRCD）、RAS#预充电（tRP）、周期（tRAS）、指令速率、虚拟内存总数、SPD模块数目等信息。

采集主板制造商、型号、版本、主板芯片组厂商、主板芯片组型号、主板芯片组修订号、南桥芯片厂商、南桥芯片型号、南桥芯片修订号、BIOS品牌、BIOS版本、BIOS日期、PCI数据等信息。

采集硬盘大小、制造商、分区属性、S.M.A.R.T属性、驱动信息、磁头、磁柱、轨道、区域、SATA类型、设备类型、ATA标准、序列号、固件版本号、LBA大小、开机次数、开机时间、速度、特性、最大转换模式、使用的转换模式、接口、电容量、真实大小、RAID类型等信息；采集光驱、显卡、网卡、声频及各类辅助设备的详细信息。

网络管理

支持禁止连接非可信网络、禁用本地端口和内部互联区功能，内部互联区支持分组设置，客户端只能访问互联区内的客户端。

支持流量控制功能实时限制计算机的通信流量，支持上传、下载分别控制，支持全局流量控制及应用程序单独控制。进行支持实时流量、网络连接检测和非法外连报警功能。

支持网站黑名单和网站白名单功能，系统内置万条常用网站信息。

终端安全配置

支持禁止关闭系统防火墙、禁止开启来宾账户、禁止使用注册表编辑器、禁止使用控制面板、禁止使用任务管理器、禁止进入安全模式、禁止截取屏幕、禁止使用计算机管理、禁止使用服务管理、禁止使用组策略、禁止修改IP地址和禁止修改计算机名称功能。支持与服务器系统时间同步功能。

支持禁止恶意程序修改敏感注册表项，系统内置关键注册表项，同时支持自定义添加敏感注册表项。

应用程序管控

支持应用程序黑名单、白名单功能和支持禁止新安装软件。应用程序管控支持按进程名称、公司名称和唯一标识三种管控模式，支持自动收集全网所有应用程序及按公司名、安装目录和进程名称自动分组。

桌面管理

支持屏幕水印设置、桌面壁纸设置、屏幕保护程序设置、自动锁屏设置和定时关机重启设置。

补丁管理

提供漏洞检测平台及统一分布式下发管理组件，检测终端计算机操作系统漏洞和自动更新安装操作系统补丁。

支持实时检测Windows XP、WIN7、WIN8和WIN10操作系统漏洞，包含漏洞KBID、漏洞描述、严重等级及微软发布时间。

提供Windows XP、WIN7、WIN8和WIN10操作系统补丁库及补丁库，包含补丁KBID、补丁名称、适用操作系统、严重等级、发布时间、补丁大小及补丁描述信息。

文档安全管理

支持文档备份功能，包含修改文档、删除文档和手动备份三种模式。支持禁止共享文件夹和申请共享文件夹功能。

敏感信息报警功能包含窗口标题、邮件内容、文件名称、打印文档标题、网页标题、网页搜索和聊天内容报警。

支持敏感文件扫描审查，采用多关键字综合打分制，可以创建全网敏感文件审查任务，查看有多少涉敏客户端、多少涉敏及涉敏文件上下文。

网管工具

远程调试客户端功能支持强制远程控制、客户端申请远程协助、问询协助和兼容模式等管控模式。支持多网段、跨NAT及互联网环境，同时提供通过手机App远程操控客户端计算机。

支持内部即时聊天工具功能，终端用户和终端用户之间、管理员与终端用户之间可以相互聊天，同时支持控制终端用户可以与哪些终端用户进行聊天。

支持远程开机功能，支持跨网段、跨VLAN开机。

支持软件分发功能，支持断点续传及下发软件执行参数配置。

支持远程文件管理工具，上传、下载、删除及远程打开执行等功能。支持实时文件传输、快捷键、命令行下达。支持多客户端发送远程消息，支持同时查看多个客户端屏幕，支持远程关闭、重启、卸载客户端计算机。

支持实时进程管理工具、实时服务管理工具、操作系统账户管理工具、磁盘管理工具、共享文件管理工具、开机启动项和系统计划任务等工具。

客户端远程安装工具支持扫描全网计算机是否安装了客户端及远程安装客户端，远程安装客户端需要添写客户端操作系统账户名和密码。

风险报警

支持违规外联报警、违规使用设备报警、终端安全风险报警、硬件变化报警、软件变化报警。

时间画像

时间图形化展示终端用户各时间段使用计算机情况，包含运行程序、操作文档、访问网页的运行时间、持续时长、屏幕截图及各类别当日排行榜。

支持快速查看任一时间段计算机运行情况，精确到秒。支持应用程序、网页标签化管理。

行为审计

支持文档操作审计、文档打印审计、应用操作审计、剪贴板使用审计、光盘刻录审计、邮件发送审计、浏览网站审计、网络搜索审计、即时聊天审计、上传下载审计和屏幕录像。

审批流程

支持客户端根据管理流程自主创建审批流程，可创建多个审批流程，支持设置多个审批环节，单审批环节支持设置多个审批人，支持严格模式和宽松模式审批。管控平台支持统一审批消息提醒及审批页面。

支持向客户端下发多个审批流程，客户端可自主选择审批流程。客户端支持查看详细的审批进度。

系统模板库

支持APP应用库、URL网址库、标签库、时间库、USB移动存储库、审批流程库。

产品资质

提供公安部计算机信息系统安全专用产品销售许可证。

服务承诺

产品厂家提供可支持使用单位个性化需求定制开发功能的承诺书。