编号: ITPOC202108005
为服务我行2021年度网络安全重大保障项目, 计划采购互联网区网络安全流量分析设备,对业务、办公、开发测试等互联网区、外联区以及张江核心交换区实施网络安全流量捕获、存储,并提供回溯能力,实现对关键区域安全流量溯源的纵深防御能力。现向社会公开招聘系统建设供应商,欢迎具备下列要求的供应商前来我行报名。
一、产品要求
技术参数 | 技术指标 |
基本功能 | 支持以旁路部署的模式,部署在各监控的网络节点,不会对现有网络环境造成影响 |
支持IPv4和IPv6双栈环境部署,支持同时分析和处理IPv4和IPv6流量的同等处理分析能力 | |
支持异地分布式部署,分布式节点具有完整的流量采集、流量实时分析告警功能。具有集中控制节点,控制节点可收取分布式节点分析结果并进行二次分析,产生精确告警;当在超大规模环境部署时,系统具备多级中心部署能力,能够通过统一中心对全局分中心、一级分布式分析节点进行全局管理和监控。 | |
支持单节点独立使用 | |
支持通过流量镜像、分路器等方式,实时采集网络中未经加工的双向原始流量,采集网络中全部原始数据包 | |
支持实时存储全部原始数据包(全部原始数据包,非截断包)、统计数据、元数据、会话数据、安全检测和分析日志,支持对各种数据的存储空间自定义 | |
支持数据过滤,采集数据时用户能够自定义过滤条件,包括但不限于地址、端口、协议、应用条件组合对流量采集进行过滤 | |
支持自定义策略,例如,协议名称、端口号、参数、Http方法、Http头、主机名、Referer、Cookie名、关键字字典、User-Agent、源地址、会话、用户、违规类型、响应页面大小、响应时间、响应代码、频度等等 所有条件均可以进行逻辑与、或、非的组合。 支持正则表达式 场景1:能够对访问某IP的指定端口,连续的RDP请求(同一个IP、用户或者会话)进行一段时间的检测和告警 场景2:能够对高频度连续访问特定IP(例如,有SSH爆破、RDP登录、SMB登录、*.jsp上传)的行为进行监控,同时要对特定的IP地址段进行例外(例如,搜索引擎) | |
支持对X-FORWORD-FOR参数的处理,识别真实攻击者IP | |
系统提供的告警信息应该可以包括分析攻击事件的所有相关信息,并提供足够的相关知识参考和快速策略编辑的便利性。 | |
设备应支持分级分权管理 | |
支持本地用户验证、RADIUS等验证方式 | |
可审计所有的管理员操作 | |
支持报告定制功能,可自定义输出字段和排序 | |
系统能够对各种威胁事件(异常流量、威胁情报、恶意特征、异常行为)等进行实时预警。 | |
配置要求 | 单台设备应提供不少于4个10Gbps SFP+ 采集接口,并支持扩展接口(1Gbps接口和10Gbps接口) |
单台设备能够提供实时捕获、分析、存储不低于15Gbps的数据流量,不丢包。 | |
| 单台设备内置存储空间不低于196TB,并支持弹性扩展存储如外置存储扩展。 | |
协议识别和解码 | 支持系统内置RFC文档规定以及常用私有网络通讯协议(非网络应用)350种以上常见协议识别,包括丹不限于tcp,udp,icmp,dce-rpc,dhcp,dnp3,dns,ftp,http,imap,irc,krb,modbus,mysql,ntlm,pop3,radius,rdp,rfb,sip,smb,smtp,snmp,socks,ssh,ssl,syslog等,需提供识别具体类型清单。 |
支持HTTP日志、DNS日志、POP3日志、IMAP4日志、SMTP日志、FTP日志、Mysql日志、ICMP日志、SSH日志、Telnet日志、证书日志、文件日志、邮件附件日志等元数据日志提取。 | |
系统支持基于TCP/UDP端口、IP、IP范围、IP网段的访问关系自定义应用;系统支持基于TCP/UDP的数据流特征自定义应用,特征支持ASCII或HEX方式 | |
流量多维度统计与分析 | 支持多维数据分析和提取,可获取信息包含但不限于物理地址、网段统计、协议、网络应用、服务端口、国家或地区、所有IP、内网IP、外网IP、非大陆IP、重活跃资产、IP会话、外联IP会话、非大陆IP会话、TCP会话、TCP外联会话表、UDP会话等数据统计。 系统能根据TCP/IP协议栈提供物理端点、IP端点、IP网段、国家或地区、IP会话、服务端口、应用协议、TCP会话、UDP会话视图,每个视图之间支持Dill-Down下钻分析。 提供针对IP端点的入出流量,bps、pps、总流量、总数据包数分析。 提供针对IP端点的IP会话数量、TCP连接数量的统计分析,并可以按大小顺序进行排序。 提供针对IP端点的tcp同步包发送/接收数量、同步确认包发送/接收数量、TCP重置包发送/接收数量的统计,并可以按大小顺序进行排序。 提供针对IP端点的数据包发送/接收比的统计分析,提供针对IP端点的字节数发送/接收比的统计分析。 提供自动的IP端点分组功能,能将不同网段的IP端点按网段自动分组,同时能按Internet IP的地域归属进行自动分组,如美国、日本中国、非中国、上海、非上海等。 提供针对TCP/UDP会话的流重组功能,将会话中的数据流重组显示,支持数据流解压显示。 能够对TCP会话中的详细应用数据传输过程进行深入分析,能够区分每一个TCP和请求和响应, 提供针对TCP会话的时序图分析功能,能够图形化的显示TCP会话中的数据交互传输过程,能够图形化显示数据传输中的时间间隔。 |
攻击检测能力 | 支持通过异常流量、可疑IP、可疑域名、数据流特征、邮件敏感字等内置规则检测告警,告警支持按照时间周期触发。 支持对常见的异常流量事件进行检测,如流量突发、DDOS攻击、网络扫描等。 支持对常见WEB攻击行为进行检测,如XSS、SQL注入、目录遍历、WEBShell利用等。 支持对常见的漏洞攻击进行检测,如常见的CVE漏洞(包括但不限于Weblogic、Tomcat、Websphere、Ngnix、Struts2、SMB、反序列化、Shiro漏洞利用、Fastjasion漏洞利用等) 支持对任意威胁事件进行按通讯源端口、源IP、目标端口、目标IP、IP会话等维度进行快速流量回溯分析,能够展示出该威胁事件一段时间内(不低于7天)的原始通讯流量趋势图; 能够对通讯内容进行原始数据包级别的取证分析,显示威胁上下文内容。 支持对任意威胁告警的源IP或目标IP进行标记,标记后的内容能够实时显示在分析界面。 |
支持主流远控工具、隧道后门通讯检测(如菜刀、Teamviewer、冰蝎、Cobalt Strike等) | |
支持基于威胁情报和异常特征检测挖矿木马通信、外联恶意服务器等网络行为; | |
支持对任意威胁事件进行按通讯源端口、源IP、目标端口、目标IP、IP会话等维度进行快速流量回溯分析,能够展示出该威胁事件一段时间内的原始通讯流量趋势图; 能够对通讯内容进行原始数据包级别的取证分析,显示威胁上下文内容。 | |
支持SQL注入攻击检测、XSS、目录遍历、Bash漏洞攻击检测、心脏出血漏洞攻击检测、协议动态识别、无效SSL证书检测、网络应用攻击检测、Shellcode检测、钓鱼网站检测、C&C通讯检测、网络木马检测等。 | |
具备对重点资产服务器的异常通讯行为检测能力,支持对重点资产服务器的非授权访问行为和主动外联行为进行检测和原始通讯流量取证分析 | |
支持规则自定义能力,支持用户根据实际情况对系统所有类型规则进行自定义;厂商应在产品维保期内需提供特定事件、协议的分析规则,并不断优化设备中的分析规则,并提供分析规则编写培训 | |
支持对总流量、进网流量、出网流量、数据包大小分布、TCP SYN数据包、TCP ACK数据包等不同维度的流量数据进行,建立历史数据基线,采用无监督算法,通过实时数据与历史数据比对,实现自动化的网络流量异常发现。 | |
支持海量流量历史数据检索侦查能力;支持以IP、DNS、流量统计表、特征值以及行为模型等维度的检索条件对网络历史数据进行检索回查;支持对回查结果既要能进行数据包级的取证、分析又能做历史流量趋势分析方便发现历史异常流量。 | |
支持在无需安装任何第三方数据包解码软件的情况下对原始流量的可视化分析,并提供会话详情视图、数据包解码视图、会话时序图、数据流还原等流量分析视图,提供攻击过程中攻击者和被攻击者的payload信息,包括流量大小,数据载荷大小,通讯时长、通讯端口、通讯协议、会话时序关系等 | |
支持对抓包数据进行分析,且可自动统计数据包中的相关数据进行统计,包括但不仅限于DNS日志、HTTP日志、邮件日志等,可以实现实时分析ARP、DNS、Email、FTP、HTTP、ICMP、SSL等协议,可以实现历史流量包导入并支持文件还原、日志统计分析;文件还原应支持doc、txt、pdf、jpg、rar、zip、gif等常见的文件格式 | |
第三方对接 | 系统能够对各种威胁事件(异常流量、威胁情报、恶意特征、异常行为)等进行实时预警。 系统支持告警实时触发内容推送到第三方平台,推送方式应包括但不限于syslog、kafka、flume等。 系统支持告警触发后通过邮件方式发送到相关收件人。 |
系统支持将TCP或UDP会话元数据实时推送到第三方系统,推送方式应包括但不限于syslog、kafka、flume等 系统支持将解析出的协议元数据(包含但不限于HTTP、DNS、MySQL、SSL、SMTP、POP3)推送到第三方系统,推送方式应包括但不限于syslog、kafka、flume等 | |
系统应提供标准的WEBAPI功能,并提供API开发文档和代码Demo。 系统支持用户通过API接口对任意IP地址、IP会话、协议、TCP会话、UDP会话等传输日志、HTTP、DNS、FTP、ICMP、IMAP4、MySQL、SMTP、Telnet、SSL等协议元数据日志、警报日志、行为日志进行枚举和查询 系统支持用户通过API接口获取原始通讯数据流。 | |
更新能力 | 支持威胁情报库的离线更新能力 |
支持特征库离线更新能力 | |
定制开发 | 维保期内需提供相关定制开发服务,包括但不限于与采购人其他系统进行对接告警、接口开发等服务。 |
1) 中华人民共和国境内合法注册的独立法人,持有工商行政管理部门或市场监督管理部门登记的《营业执照》,且《营业执照》经营(许可)范围与本项目相符;具有良好的商业信誉和健全的财务会计制度,近三年财务状况良好,有依法缴纳税收和社会保障资金的良好记录,经营活动中没有重大违法记录;
2) 近三年内(从2018年1月1日起至今)具有至少2家总资产大于1万亿元人民币的国内商业银行总行级与本项目需求或要求近似的成功案例(须提供中标通知书、合同或客户证明材料等复印文件并加盖公司章);
3) 供应商必须拥有投标产品的全部知识产权;
4) 供应商提供的产品具有公安部颁发的计算机信息系统安全专用产品销售许可证;
5) 供应商具有中国网络安全审查技术与认证中心颁发的信息安全服务资质(三级)及以上和中国网络安全审查技术与认证中心颁发的网络关键设备和网络安全专用产品安全认证;
6) 如投标人为投标方案产品代理商,则
(1)2.3.4.5条要求视为对原厂商的资质要求;
(2)本项目POC和实施由原厂商完成;
(3)报名时代理商须提供原厂商对本项目的唯一授权书。
7) 本项目不接受联合体,不允许转包、分包。
三、报名须知
1) 公司信息及资质证明文件:公司法人营业执照、企业税务登记证、组织机构代码证或“三证合一”营业执照、一般纳税人资格证明;
2) 代表人的身份证明、公司法人委托授权书、公司开户行及账号信息,内容包括但不限于公司授权代表姓名、联系电话和邮箱等;
3) 最近两年经审计的财务报表和财务报表附注;
4) 案例中标通知书、合同或客户证明材料(复印件),并另以清单形式列明案例;
5) 关于公司近三年无重大违法违规行为的书面承诺;
6) 承诺将产品实施、二次开发和后期运维中所产生的源代码、脚本、工具交付给我行;
7) 从报名日期起计算直至项目全程结束,凡报名供应商不得中途退出,否则将视作违约理并扣除缴纳的全额保证金。
四:递交保证金账户信息
五:联系方式
上海农商银行集中采购中心
二〇二一年八月