1

浙江产权交易所有限公司网络安全态势感知设备采购项目

1项

40

详见附件

商务

资信分

（10分）

4

投标人具有2020年1月1日以来的类似项目业绩，每提供一个得1分，最多得4分，

6

1、CCRC信息安全服务资质认证证书（安全集成），得1分；

2、CCRC信息安全服务资质认证证书（安全运维）得1分；

3、具有ITSS信息技术服务证书，得1分；

4、ISO9001质量管理体系认证证书，得1分

5、具有ISO20000服务管理体系认证证书，得1分

6、信息安全管理体系ISO27001认证证书，得1分

（须提供相关有效期内的证书复印件否则不得分）。

技术分

（60分）

8

投标人对本项目的理解、项目实施方案（含实施进度安排、风险控制手段、质量保障方案等）编制情况：

内容完整性、合理性、可行性等（0—8分）

30

投标方案对于需求所要求的参数及功能的响应情况，全部响应的得30分，其中，标注“★”为重要技术指标项，需提供截图证明，对重要技术指标项负偏离或不满足的，每项扣4分，其他有一项不满足或负偏离的扣1分，扣完为止。（参照《浙江产权交易所态势感知设备技术要求》）

2

项目经理要求：

项目经理需具备CISP证书及PMP或信息系统项目管理师证书（PMP/信息系统项目管理师证书两者有其一即可）

根据上述要求的相关证书的复印件和对应人员的社保缴纳证明（须提供近6个月社保缴纳证明）打分，每满足1个得1分，最高得2分。

4

拟投入本项目的项目团队（除项目经理）要求：

团队成员需至少具备2名信息安全保障人员（CISAW）证书认证及2名注册信息安全专业人员—大数据安全分析师（CISP-BDSA）认证，满足要求得4分，资质不全或不能提供不得分。

注：项目成员需提供不少于6个月的项目所在地的社保缴纳证明，否则本项不得分

5

所投产品具有市场领先的技术先进性，能够提升本项目建设效果，具有包括恶意软件识别、沙箱检测、恶意文件分类、APT监测、终端特征提取、应用安全风险检测等相关技术在内的发明专利，提供证明文件加盖设备厂商公章，每提供一个得1分，最多得5分。

1

本项目建设效果需符合网络安全法及等级保护的相关要求，并能够保障平台自身安全，所投产品原厂商具有《中华人民共和国网络安全法》、等级保护制度的深刻理解及实践能力。得1分。

2

是否设立本地化服务机构及其技术能力情况，非杭州本地公司在杭州需有分公司或子公司（须提供工商部门的证明材料），确保项目的正常进行和售后服务。提供证明材料得2分。

3

售后服务方案及承诺的可行性、合理性、完整性情况。

2

应急保障服务方案情况。

2

培训方案的本地化能力、可行性、合理性、完整性情况。

1

根据投标文件编制是否完整有序、内容详实，内容无前后矛盾，符合招标文件要求等评分。

价格分

（30 分）

1

价格分采用低价优先法计算，即满足招标文件要求且投标价格最低的投标报价为评标基准价，其价格分为满分。其他投标人的价格分按照下列公式计算：

价格分=（评标基准价/投标报价）×30%×100

注：本项目投标报价低于最高限价的50%时，投标人需要在报价中提供详细的报价组成及合理性的说明。

性能规格

1、规格：标准机架设备

2、CPU >=24核

3、内存>=256GB

4、硬盘>=24TB

5、2GB RAID卡

6、冗余1+1电源模块

7、1G RJ45*4

8、支持>=200个日志源资产

9、10亿数据关键字查询结果响应时间<2秒

数据采集和处理性能≥15000EPS，每条数据大小>1KB

设备管理

1、工作台首页支持自定义个性化配置，支持以拖拽方式进行画布页面设置，页面可选组件包括原始告警、资产管理、组件管理、风险资产、安全事件、安全日志、平台概览、快速搜索、安全设备、SOAR、系统消息、通报预警、工单、告警监控等，可选组件不少于36个，每个组件均支持点击“收藏”按钮进行自定义收藏

2、★设备状态监控：支持SNMP协议对网络设备、安全设备的运行状态进行监控，包括设备机器名、CPU负载、内存和流量等。

3、★联动管理：支持与浙交所现有在用终端防护系统（EDR）、防火墙、WAF等系统集成联动，发现威胁事件后支持与控制中心进行指令下发执行终端隔离和扫描操作

4、安全性管理：支持多次登录失败锁定账号和超时登陆配置，支持国密等数据传输加密算法，确保数据传输的安全性

5、权限管理：提供三权分立的用户管理能力：配置员、用户管理员、审计员相互独立，支持根据对象属性自定义划分系统管理角色和一般用户角色，按照数据和功能分级灵活设置用户权限

6、告警管理：具备短信和邮件告警功能，定时向指定短信和邮箱发送APT事件、攻击利用、恶意软件、拒绝服务等类型的告警信息

7、支持IPv6平台管理，审计日志支持IPv6。

功能要求

威胁感知

1、★告警：对威胁行为告警，行为包括DNS解析行为、TCP/UDP交互行为、WEB访问行为、传输文件行为等

2、支持告警数据自动化归并，并通过告警列表条目颜色区分“已读告警”和“未读告警”；支持查看归并告警基本信息、规则详情、原始告警列表、全部字段、PCAP包详细信息，并支持下载PCAP包；支持在归并告警页面进行告警快速处置，包括忽略告警、误报处置、联动处置、人工处置等。

3、支持告警展示偏好设置，可配置登录默认筛选告警条件，配置包括攻击结果、告警类型、威胁等级、攻击阶段、攻击方向、处置状态、时间范围等信息；支持告警自动刷新

4、★基于威胁情报、应用安全、系统安全和设备安全的业务场景维度进行威胁感知。1威胁情报包括：APT事件、僵尸网络、勒索软件、流氓推广、窃密木马、网络蠕虫、远控木马、黑市工具、其他恶意软件等，并可自定义威胁情报；2应用安全包括：WEB安全、数据库安全、中间件等；3系统安全和设备安全威胁行为包括：暴力破解、弱口令、未授权访问、挖矿行为等

分析中心

★应内置包括规则模型、关联模型、统计模型、情报模型、AI模型等不少于5类安全分析模型，数据配置可选择不同作用域，如全局通用、单选机构，单选机构可选择单独的组织架构

★安全分析模型支持自定义创建，可通过字段映射、静态值、模板、表达式等多种方式自由定义分析模型的告警名称、威胁等级、告警类型、攻击链、可选字段、告警描述、处置建议等内容。

★支持对系统出厂内置规则进行优化及调整，提升告警准确率，支持灵活自定义告警级别，满足实际业务需求。

支持检索条件可自定义分组保存，一个分组可包含多个搜索条件，需求的时候直接打开，方便运维

实现实体间网络互访关系的多级钻取，支持通过端口、协议、异常访问类型、攻击链等过滤关联关系，支持实体间网络互访关系的多级钻取，通过“一键溯源”按钮进行威胁关系的自动拓展

行为分析

1、★威胁分析：①外部威胁分析，包括高危攻击、残余攻击、暴力破解、成功的事中攻击、邮件威胁、文件威胁、外部风险访问。②横向威胁分析，包括横向威胁总览、横向攻击、违规访问、可疑行为、风险；其中横向风险总览包括发起横向威胁主机、遭受横向威胁、横向威胁类型分布、横向威胁趋势等。③外连威胁分析，包括对外威胁总览、对外攻击、APTC&C通信、可疑行为、隐蔽通信、违规访问、服务器风险访问；其中外连威胁总览包括外连威胁主机类型分布、存在外连威胁IP   、外连目标地区（国外）、外连威胁类型分布、非正常时间段外连主机、外连威胁趋势。

2、★挖矿专项检测分析，查看挖矿各个攻击阶段，包括感染挖矿病毒、与控制端建立通信、获取挖矿任务、尝试挖矿、挖矿成功等；支持挖矿币种分布、挖矿风险态势、受影响主机等维度分析统计。

3、★数据库行为分析：mysql、mssql、oracle、sybase等常见数据库高危操作行为分析

4、★文件威胁分析：展示文件分析过程、文件检测趋势、恶意文件TOP5；支持恶意文件的详情分析，包括支持记录恶意文件感染的主机、所属分支、文件名、病毒名称、传输协议等；支持导出文件威胁分析结果。

5、★DNS行为分析：可疑DNS解析、疑似DNS服务器发现、链路劫持分析、DNS重绑定分析等

6、常规访问行为分析：①外部访问分析，展示源ip、资产ip、端口、协议、时间等详细信息，自定义源ip白名单；②资产横向访问分析，展示源资产ip、目的资产ip、端口、协议、banner、时间等详细信息，自定义源ip白名单；③内部资产主机外联分析，展示资产ip、外联ip、外联地域、端口、协议、时间等详细信息，自定义源ip白名单；4风险端口访问分析，能自定义风险端口，自定义白名单

7、非常规访问行为分析：支持可疑代理分析、远程访问工具分析、反弹shell分析等

8、★登录行为分析：暴力破解行为检测、异常登录行为检测、ssh、telnet、ftp、smb等常见协议特权账号登录行为分析、http、pop3、smtp、Telnet、ftp、imap等协议弱口令分析、明文密码泄露行为检测

9、★WEB服务器行为分析：非常用请求方法分析、可疑爬虫或扫描分析、后门上传利用分析

10、邮件行为分析：支持邮件敏感词与敏感后缀发现，自定义敏感词与敏感后缀，并能进行邮箱白名单配置

响应处置

1、★自动化响应策略编排：支持资产类型、事件类型、风险等级自动化编排响应策略，可联动组件包括防火墙FW、web防火墙WAF、终端检测响应EDR；其中资产类型可选择终端、服务器或指定范围的IP资产；风险等级选择可选择已失陷、高可疑、低可疑；事件类型包括有害程序、网络攻击、信息破坏等，事件类型数量不少于20种。

2、★支持前端拖拽式交互设计安全风险分析研判策略和联动响应剧本，支持多种策略编排动作，包括但不限于数据源、分析组件、处置响应等，可自动判断策略编排是否合理并弹窗提示。

3、处置记录：编排处置日志记录，记录处置时间、受害ip、攻击ip、告警类型、威胁名称、域名、处置策略、告警来源等信息。

威胁溯源

★支持网络日志、告警日志、终端日志等信息源深度检索能力，定位高风险威胁源头，以攻击者视角整合多源数据，对攻击者的攻击过程、攻击手段、攻击工具、攻击趋势等信息进行展示，以及以时间轴的方式展示攻击者的所有入侵/访问历史痕迹等。

可视化展示

支持安全态势的可视化呈现，以大屏的方式从攻击事件、资产安全、追踪溯源、运行监测、重保方案等多个维度进行可视化展示，提供不少于10块大屏展示界面，并可根据“组织架构”筛选大屏展示数据范围，支持自定义大屏轮播时间和大屏轮播顺序。

资产管理

1、支持私网IP、公网IP、MAC地址、域名、主机名多种类型资产识别方式，IP类资产支持IPv4和IPv6，并支持资产组织架构、责任人、重要程度、资产类型、地理位置属性的批量修改；支持资产信息的增量导入和替换导入。

2、支持通过流量发现、是否接入日志、PING方式检测资产是否在线。

3、支持人工录入、流量自动发现、主动扫描、web自动发现、资产同步等不少于5种的资产数据接入方式；流量自动发现方式能自动识别资产类型，如Web服务器、DNS服务器、邮件服务器、FTP文件服务器等多种类型资产，支持web业务系统自动发现；支持批量确认流量发现的资产。

4、支持风险资产历史状况对比，建立资产历史风险档案，监控资产风向变化趋势，支持对历史风险资产回溯及取证。

报表管理

1、主机安全风险报告：支持导出主机安全风险报告，报告内容包括业务与终端风险摘要、业务风险与终端详情分析，提供危害解释和参考解决方案；适用于日常处理安全问题的运维人员。

2、支持用户自定义编辑报告模板，选择的相应统计报表组成要展示的报告内容

3、综合风险报告：支持导出完整综合风险报告，报告内容包括平台说明、安全风险概括、业务与终端安全详情分析、安全规划建设建议等。

性能规格

（1）吞吐率≥2Gbps

（2）电源：1+1冗余

（3）内存：≥32GB

（4）硬盘：容量>= 2T*2，带RAID1，可用磁盘空间不小于2T；

（5）MTBF：大于65000小时

（6）标准接口：

1接口数量>=10

2管理口：Consle×1，USB×2,千兆RJ45网口×2

3业务口：千兆RJ45网口×4、千兆SFP光口×4（标配千兆多模光模块×2）、万兆SFP光口×2（标配万兆多模光模块×2）

威胁监测

行为审计与可疑通信检测

1、具备违规操作、违规访问、违规应用、数据外发等370种以上行为审计检测规则，可针对任意单条规则进行启用和禁用；（投标文件中提供相关的截图证明）

2、具备隧道通信、可疑内容、恶意IP、恶意域名、恶意证书、远程控制等1800种以上可疑通信检测规则，可针对任意单条规则进行启用和禁用；

探测扫描检测

3、具备端口扫描、主机存活扫描、服务扫描、Web扫描、扫描器指纹检测等600种以上的探测扫描检测规则，可针对任意单条规则进行启用和禁用；

漏洞利用检测

4、具备SMB漏洞、RDP漏洞、软件漏洞、设备漏洞、系统漏洞、拒绝服务漏洞、Shellcode等6700种以上漏洞利用检测规则，可针对任意单条规则进行启用和禁用；

恶意程序检测

5、具备挖矿活动、流氓软件、可疑文件、勒索软件、僵木蠕、Webshell、恶意邮件等17000种以上恶意程序检测规则，可针对任意单条规则进行启用和禁用；

配置风险检测

6、具备弱口令风险、明文传输风险、HTTP配置风险、中间件配置风向、数据库配置风险、服务配置风险等300种以上配置风险检测规则；

主机和账号异常检测

7、支持端口异常、主机对外扫描、主机对外攻击等主机异常检测，对任意单条检测规则支持启用和禁用；

8、支持登录异常、暴力破解、行为异常等账号异常检测，对任意单条检测规则支持启用和禁用；

威胁规则总数

9、威胁检测支持的规则总数37000种以上，且不断优化更新；

web攻击检测

10、★支持Webshell请求、XSS攻击、SQL注入、远程代码执行、命令注入、远程文件包含、本地文件包含、文件上传、路径遍历、信息泄露、越权访问、XXE注入、网页篡改、SSRF攻击等16类Web攻击检测，具备9000种以上Web攻击检测规则，对任意单条检测规则支持启用和禁用；支持基于语义分析的SQL注入精准检测；

威胁情报

11、★支持对接威胁情报中心，支持离线和在线两种情报更新方式，支持威胁情报碰撞检测，提供前一日威胁情报命中告警数量；

抓包分析

12、★支持流量抓包分析，可定义接口、协议、抓包时长、文件大小、IP、端口、过滤条件等；

检测规则自定义

13、支持自定义检测规则，可手动添加或从模板导入规则，可定义规则名称、规则等级、威胁类型、规则内容、协议、IP、端口、会话方向、攻击方向、参考信息、威胁描述、处置建议等；

检测模式自定义

14、支持精准模式、平衡模式、增强模式和自定义规则；

告警分析

告警研判

1、支持从请求头、请求体、响应头、响应体四个方面展示告警详情，并对攻击报文进行高亮显示；

2、对攻击结果的判定，支持识别成功、尝试和失败行为；

3、支持对威胁告警进行调查分析，针对威胁告警支持原始数据包取证分析，告警详情支持查看、下载PCAP包，在告警页面支持一键添加白名单；

告警归并

4、支持展示高度聚合告警列表，对告警进行自动归并；支持多维度告警查询，支持威胁告警快速过滤，包括筛选、排除操作；

告警刷新检索

5、支持威胁告警自动刷新，刷新间隔可选择；

资产管理

资产发现

支持根据探针的内部IP配置或从态势感知平台同步的内部IP配置从流量中进行资产信息的识别，资产信息包括IP、MAC地址、首次发现时间、最近活跃时间、资产类型、发现来源、服务与端口、标签；

策略管理

流量采集

1、支持自定义流量采集策略，包括过滤策略和采集策略，支持根据IP和协议进行过滤，包括DNS、FTP、HTTP、HTTPS、IMAP、KRB5、LDAP、POP3、RDP、SMB、SMTP、SSH、TELNET、TLS等；

弱口令检测

2、页面支持多种类型弱口令策略可选，支持的口令字典库50000种以上；

3、支持自定义弱口令字典，可选不同格式弱口令，支持导入自定义弱口令列表；

4、WEB登录参数灵活可配，支持字符串和正则表达式配置；

5、支持Base64编码弱口令和md5散列弱口令检测；

暴力破解

6、支持HTTP、FTP、Telnet、SMB、邮件（SMTP、POP3、IMAP）、RDP、MySQL、Oracle、SQL Server、PostgreSQL、Redis、Mongodb、SSH等暴力破解检测，SSH暴力破解支持爆破登录结果判定；

7、支持暴力破解检测策略自定义，支持添加暴力破解管理员账号检测，支持添加暴力破解白名单功能；

扫描策略

8、支持端口扫描、主机IP扫描、Ping扫射，支持自定义告警阈值；

SSL流量检测

9、支持导入服务器私钥，对SSL加密流量进行解析。

只支持解析以RSA加密方式加密的流量；

阻断封禁

10、★支持添加阻断策略，匹配条件包括威胁类型、规则ID、威胁等级，并可自定义阻断策略的生效时间；

11、支持添加访问封禁策略，用户可配置单IP、指定源目的IP、多个端口进行封禁，并可自定义访问封禁策略的生效时长；

管理功能

运行监控

1、★支持SNMP协议并可本地对网络设备、安全设备的运行状态进行监控，可监控系统CPU、内存、磁盘、TOP CPU进程、TOP内存进程使用情况、总流量、网口状态、网口流量、网口丢包情况及数据外送量大小情况，界面可支持 CPU、内存信息钻取，实时查看各进程CPU和内存使用情况；

数据同步

2、支持通过Kafka、syslog接口向大数据安全分析平台报送流量审计数据与风险告警信息，Kafka推送支持传输加密，支持SSL、SASL认证+SSL、Kerberos认证+SSL加密；

3、自定义配置：可在前端页面自定义配置与大数据安全分析平台之间的数据传输类型、各类型数据均支持任意字段的发送配置；

运维管理

4、支持前端可视化进行设备运维操作，包括重启设备、关机重启服务、开关SSH服务等，可一键下载探针运行日志，方便运维人员日常运维工作；

5、支持查看设备自身的系统告警日志信息，日志信息包括故障发生时间、故障等级、故障类别、故障详情和处置建议，还支持通过故障等级、故障类别和故障发生时间对日志信息进行查询；

安全管理

6、支持屏幕水印，支持登录失败锁定用户、设置登录密码复杂度、密码过期、用户登录IP绑定等安全策略。

兼容性

统一品牌

★要求流量分析探针和大数据安全分析平台为同一品牌