网络安全设备及配件 |
网络威胁检测 |
亚信安全 |
TDA 3300 EE |
台 |
1 |
中国 |
否 |
是 |
"1、中标供应商要提供产品生产厂家出具的二年的软硬件质量服务承诺书 2、含两年产品升级服务 3、为便于统一管理,Linux服务器安全防护、网络威胁检测、统一管理应为同一厂家产品 4、分析侦测能力 (1)可扫描网络第2层至第7层数据流量 (2)可选择特定协议或IP地址自定义检测 (3)支持自定义IP地址、URL、域名与文件的访问监控 (4)支持超过 100 种以上的网络协议支持,如 HTTP, FTP, TFTP, SMTP, POP3, IMAP, SNMP, IRC, DNS, DHCP, P2P, SMB, RDP, VNC, TELNET, TCP, UDP和数据库协议(MSSQL, MySQL, Oracle)等。 (5)能够侦测各种文件型病毒,如木马、僵尸、后门等 (6)可侦测识别iOS、赛班、安卓、微软等移动设备 (7)可与移动应用信誉系统(MRS)联动,侦测安卓系统的恶意应用App (8)威胁流量与协议异常检测 ,如零日攻击、网络蠕虫、木马、后门、僵尸、间谍软件、网络漏洞、网页威胁(网页漏洞、跨网站攻击)、钓鱼邮件、暴力攻击、数据库注入攻击等 (9)未知威胁侦测: 单台侦测设备具有虚拟化沙盒系统,能够对样本进行过滤去重减少分析数量 具有安全风险评估技术分析:包含针对注册表、内存、程序、网络活动、文件系统等操作系统环境的变化进行记录与分析,支持未知威胁事件证据留存 具有高度定制化,可以支持使用客户环境特性的Windows操作系统平台与应用,其中服务器级:Windows 2003/2008/2012,用户端级:Windows XP/7/8/10 广泛的文档分析支持:Acrobat Reader 7, 8, 9, X, 微软Office常用版本(Word, Excel, Powerpoint)、Flash常用版本、LNK、执行文件,微软 HTML Application(HTA), JS, JSE, VBS, VBE, Java, Java Applet,PowerShell Script 等。 提供分析结果的自动入库:侦测设备自我学习功能,报表事件 (10)应用程序侦测: P2P流量:Ares、Bittorent、Blubster、eDonkey、Kazaa、Gnutella、Winny、Foxy 实时通讯软件:AIM、Goggle Talk、MSN、Skype、Yahoo Messenger 流媒体:RTMP、RTSP、SHOUTCast、WMSP (11)信誉分析:中国区域恶意网页评估系统、恶意网站与域名分析、僵尸网站与控制服务器分析、移动应用分析 (12)能够自动关联不同协议、不同会话的威胁日志,筛选出严重事件,节省事件处理的人力成本 (13)终端识别 支持在动态IP环境辨认真实终端MAC地址 支持XFF,在web代理环境中辨认真实终端 识别终端操作系统,包含Windows、iOS、安卓等。 (14)可将企业长期累积的黑白名单(如IP/URL/Domain/File SHA1) 汇入,实行侦测或是排除。 (15)常见漏洞检测:Tomcat写文件漏洞,ImageMagick命令执行漏洞,ElasticSearch 命令执行漏洞,Samba 远程命令执行漏洞, ThinkPHP Builder.php SQL injection, Adobe ColdFusion 文件上传导致任意代码执行漏洞, GhostScript 沙箱绕过漏洞, Spring Data REST PATCH请求代码执行漏洞, Weblogic wls9_async_response 反序列化远程命令执行漏洞, Jenkins RCE, Spring Data Commons组件远程代码执行漏洞,spring-messaging Remote Code Execution, Fastjson反序列化漏洞等 (16)支持如下Webshell检测:ghost webshell,PHP webshell2,ASP webshell1,PHP webshell3,PHP Webshell4,ASP webshell_2 (17)支持如下黑客工具攻击检测:Cknife,SQLmap,havij,awvs,Nmap,pangolin,EarthWorm,sql综合利用工具,dirbuster,w3af,OWASP ZAP 2.6.0,Bbscan,OpenVAS,Golismero security scanner, IIS_shortname_Scanner, HeartbleedScanner, Heartbleed-msf 5、病毒爆发遏制服务 支持多种高危病毒的侦测: WORM_DOWNAD.E/ WORM_RONTKBR/ WORM_SILLYIM/ WORM_WALEDAC/ TROJ_ILOMO/ TROJ_FAKEAV/ PE_VIRUX 实时邮件通知,同时内容包含攻击源与感染源等讯息,实时阻断高危病毒流量,自动更新高危病毒列表。 6、威胁流量存储能力 支持基于IP地址段、检测规则条件的威胁流量存储设置(可提供功能截图)。支持威胁流量的自动存储,及威胁流量PCAP文件格式下载(可提供功能截图) 7、威胁检验能力 (1)支持对网络Http攻击流量的应答码及攻击状态展示(可提供功能截图) (2)支持与主机威胁回溯调查的自动验伤功能,支持威胁类型包括如下:(可提供功能截图)--勒索病毒(Ransomwares)、木马病毒(Trojan)、恶意代码(Malware)、僵尸网络(Botnet)、钓鱼网站(Phishing)、渗透工具、挖矿网址、挖矿病毒、带毒邮件攻击(Mail attack) (3)支持主机威胁联动验伤报告的自动生成 (可提供功能截图) (4)主机威胁联动验伤报告支持客户自定义徽标功能 (可提供功能截图) (5)主机威胁联动验伤报告支持客户自定义水印功能 (可提供功能截图) 8、日志管理 (1)可显示受感染主机的APT攻击阶段,帮助管理者制定响应策略 (2)提供智能日志搜寻以及可定制化过滤条件,定制化过滤条件并可支持存储以及汇出汇入 (3)内建常用过滤条件,可快速过滤出常见攻击类别(如勒索软件,横向扩散攻击等) (4)支持Syslog协议,可以实时传输日志到syslog服务器,选择传输的内容类型 (5)自动检查日志数据库健康与修复数据库 (6)可以依据时间,协议,威胁类型,IP网段,监控群组等查询条件查询日志 9、报表功能 (1)自动提供经过分析后的图形化日/周/月报表 (2)自动寄送报表与处理建议功能 (3)提供多协议关连分析引擎,自动分析日志,降低人为分析成本 (4)可集成企业统一威胁预警地图显示,结合地理位置直观标示威胁位置,在地图中实时风险事件定位与威胁流量监控,同时可以区域与威胁事件关连,结合威胁仪表板,深入了解区域威胁情况 (5)具有客户威胁仪表板接口(User Portal),提供公司整体安全等级料,同时以威胁/群组/客户端三个面向设定查询时间进行数据分析 (6)支持多种报表模板 10、日志、报表、事件展示 (1)模块化插件设计:可以客制弹性配置监控仪表板 (2)仪表板地图式展示:展示攻击来自哪些区域,客户计算器连接到哪些区域 (3)监视列表:可将重要资产如服务器或是终端用户等加入仪表板中的监视列表中随时查看, 可对企业重要资产安全等级状态 一目了然。 (4)提供可选排名5/10/20事件以表格,饼图,柱状图展示 (5)沙盒分析状态:分析统计信息,排名靠前的主机,排名靠前的可疑文档等 (6)威胁流量的比例分布 (7)硬件系统使用状态(CPU,内存,硬盘) (8)实时性 11、可提供快速响应与专杀工具 12、部署方式:支持旁路安装模式,支持TAP分流安装模式,支持非对称路由,支持思科与华为的远程端口镜像协议 13、设备管理方式 (1)基于B/S的管理架构,Web界面支持 MS IE、Netscape、Firefox、Opera、Chrome 五大浏览器,提供命令列(CLI)配置模式,提供SSH远程调试模式,支持SNMP (2)可利用中央管理系统对多台设备统一进行管理 14、升级方式 (1)支持实时在线升级、自动在线升级、手工升级多种升级方式 (2)每周两次升级频率以上 (3)沙盒系统分析结果自动回馈到云端大数据平台,更新的pattern可以下发到更多的侦测设备 (4)全球升级架构以及本地升级源的设计降低升级带宽使用 15、设备安全性:设备失效侦测,通过强加密的SSL安全通道进行通讯,数据库自动修复 16、联动性 (1)能够与威胁阻断系统联动,根据监控结果自动阻止不安全计算机的网络通讯,或是阻断恶意通讯连接 (2)支持中央管理系统,多台设备可统一管理 (3)支持中央报表生成系统,多台设备可集中生成报表 (4)能够集成外接沙盒分析系统,提高未知威胁分析处理能力 (5)Syslog日志为CEF或LEEF格式,可集成第三方SIEM/SOC系统 (6)提供 Web API 以利第三方集成使用本地威胁情报 (7)支持态势感知平台、支持调查取证平台 " |