?深圳市人民医院态势感知项目需求书

序号

设备名称

数量

1

态势感知平台

1

2

流量分析系统

2

基本要求

产品形态

1.为灵活适应现场环境，必须满足软硬一体化形态和纯软件形态部署模式，软件形态支持部署在物理机/虚拟机/云环境；支持横向平滑扩展，可以通过增加硬件服务器数量的方式增加平台集群的计算处理性能。

配置

1.CPU ≥24核 ，内存≥256GB，配置企业级存储磁盘总容量≥48TB（或磁盘可用容量≥40TB）；接口要求：业务千兆电口*4，管理千兆电口*2、管理万兆光*2（可选万兆双口RJ45、千兆四口RJ45、万兆双口光纤等多种网络接口）。

性能规格

1.数据采集和处理性能≥10000EPS，每条数据大小>1KB；10亿数据关键字查询结果响应时间<2秒。

数据接入

1.支持通过多种类型的安全、泛安全类数据接入采集，应包括但不限于设备日志数据、流量数据、弱点漏洞数据、系统性能数据、威胁情报数据、资产人员数据；

2.支持通过流量采集设备采集接入全流量数据，包含流量中的请求包和返回包等信息，并可在数据检索中体现包信息；

3.支持接入文本格式、CVS等格式的文件数据，可通过模板文件的填写导入实现资产数据的导入和管理；

4.支持通过云端对接、本地导入或手动编辑的方式，接入威胁情报数据。

数据共享

1.大数据平台中的安全数据，包括告警数据、资产数据、工单等至少20种可共享给第三方系统，实现数据共享和交换；

2.同时支持原始日志、标准化数据、告警数据≥3种数据的共享和交换。

安全分析能力

安全分析模型

1. 平台应内置包括规则模型、关联模型、统计模型、情报模型、离线模型等在内的≥5大类安全分析模型；

2. ▲安全分析模型支持自定义创建，可通过字段映射、静态值、模板、表达式等多种方式自由定义分析模型的告警名称、威胁等级、告警类型、攻击链、可选字段、告警描述、处置建议等内容；（要求提供截图并加盖厂商公章）

3.支持对安全日志里200个以上字段，包括但不限于应用协议、目的IP、目的主机名、目的端口、目的用户名、数据流方向、情报IOC等进行任意形式的逻辑与或非形式组合建模，运算方式包括但不限于AND、OR、等于、不等于、大于、小于、属于、不属于、存在、不存在等，并能根据组合方式自动生成运算表达式

自动化响应编排

1. ▲支持前端拖拽式交互设计安全风险分析研判策略和联动响应剧本，支持多种策略编排动作，包括但不限于数据源、分析组件、处置响应等，可自动判断策略编排是否合理并弹窗提示（要求提供截图并加盖厂商公章）

2. 支持通过任务看板查看自动响应任务的数量、状态、运行趋势；可查询并追踪每条自动化响应任务的运行阶段查看详细信息，任务执行过程中可加入安管人员控制环节，通过邮件、短信方式将告警和分析报告推送到对应用户。

3. 支持与不同品牌的网关类安全产品进行联动防护，防护策略支持设置每次阻断不同时长生效时间，时间设置包括10分钟，30分钟，6小时，24小时，72小时，永久阻断；

4.支持与EDR集成联动，一键查杀木马病毒；

AI高级分析

1. 平台内置不少于8种机器学习分析场景模型，可检测发现勒索挖矿告警数异常、安全设备日志数异常、网络会话数异常、域名请求数异常等特定场景条件下的安全态势异常；

2.支持自定义部署AI机器学习模型，允许用户选用的高级机器学习算法不少于4种，通过输入任意指标类数据进行模型训练，发现异常行为并生成安全事件与告警，辅助用户发现潜在的安全风险。

网络实体分析画像

1. ▲支持资产实体网络互访关系的多级钻取，对访问关系支持“一键溯源”发现资产间的互访关系，资产连线可查看资产间的访问方向、访问类型、正常访问、和异常访问次数、异常访问类型TOP等信息（要求提供截图并加盖厂商公章）

2.支持与终端检测类产品对接，查看主机进程、软件版本、漏洞病毒情况。

调查取证

场景化分析

1. 支持暴力破解、Web攻击、恶意程序、端口扫描等内置安全分析场景，基于场景特性进行默认条件的数据聚合分析，支持至少3个任意字段的快速聚合分析，聚合后的所有数据均支持快速统计分析，展示统计排序信息，支持分析结果导出。

2. 支持自定义场景安全分析，可对安全告警的任意字段进行聚合分析，支持的聚合的字段不少于300个，支持分析结果导出

3.支持智能检索语句分析，支持检索语句的中英文、拼音智能联想，支持逻辑运算符与字段值的自动提示补全；检索语句支持快速保存，历史检索语句快速导入；检索语句可直接发布成实时分析模型，对实时数据进行分析与告警

取证分析

1. ▲支持调查场景的四维自定义攻击流向图取证，攻击趋势取证、攻击链分布取证、和实体信息取证，展示攻击者和受害者的威胁情报与资产信息，可联动会话详情，点击查看不同溯源维度的会话详情，通过请求头，payload等详情字段定位攻击（要求提供截图并加盖厂商公章）

历史数据分析

1. 支持对原始日志的数据挖掘分析，可选择柱状图、折线图、面积图、表格、数值图、饼状图等多种报表样式自由对历史数据的任意字段进行可视化统计分析，辅助研判安全事件风险

可视化安全分析

安全态势可视化

1. 支持安全态势的可视化呈现，以大屏的方式从攻击事件、资产安全、追踪溯源、运行监测、重保方案等多个维度进行可视化展示，提供不少于10块大屏展示界面

2.支持立体、平面、球面等多种维度的网络实体关系透视，大屏上可展示资产的标签属性，如DNS服务器、监管单位、邮件服务器、黑客组织、WEB服务器等。

仪表盘

1. 支持可视化图表类型≥15种，包括但不限于时序图、饼图、柱状图等；

2. 统计类图表支持展示升序或降序的TOP5到TOP100，可针对数据中任意字段的计数、平均值、求和、最大值、最小值、唯一值等≥5种算子的统计结果配置可视化图表。

3.可视化图表可通过拖拽配置组装成仪表盘，仪表盘不少于7种布局类型，仪表盘展示时支持时间范围自定义选择。

安全应用和运营

安全运营门户

1. 平台应具有统一的安全运营门户，作为多个安全态势分析与感知功能的统一入口，集成态势感知、威胁狩猎、通报预警、异常监测、运行监测等多个功能模块，实现平台内部业务、数据、服务、资源的无缝整合与集成；

2.支持每个用户配置个人专属的统一门户，可配置项包括门户名称、应用名称、应用图标等。

智能检索

1.支持对原始日志数据、安全告警数据进行分类检索，从检索结果可关联威胁情报和资产信息并一键跳转；

2.支持不少于10000条检索结果导出，导出内容字段可自定义选择，支持excel或CSV格式。

数据字典管理

1.支持管理系统中原始日志、异常记录、安全告警的所有字段和取值，每个字段均有清晰的说明；

2.支持数据标准管理，用户可以根据实际需求，对字典进行编辑，支持手动修改、增加或删除相应的字段；

3.数据字典支持管理系统中原始日志和告警数据中所有字段的类型、取值范围、字段说明，支持数值、字符串、枚举、ip等≥9种字段类型。

威胁情报

1.支持通过离线导入或手动编辑添加的方式，形成本地威胁情报，允许用户自建行业情报库，并实现情报库的增删改查、导入、导出功能；

2情报记录包含情报置信度、标签、组织名称、地理位置、运营商等信息；

3.支持查看情报源中有效情报数量、最近更新时间、今日更新情报数量；

4.情报查询支持通过IOC同时跨越多个情报源查询，结果汇总展示；

5.碰撞情报IOC支持通过情报源、IOC类型、标签、置信度等多维度进行碰撞分析，内置威胁情报条数不少于400万条

资产管理

1.支持通过流量无侵入式自动发现资产，支持发现终端、Web服务器、DNS服务器、邮件服务器、FTP文件服务器等类型≥5种，其中web服务器支持自动识别服务域名和服务站点名称；

2.支持资产信息的全量导入导出；

3.支持一键访问安全设备的管理界面、监控大屏、设备日志、处置联动记录；

4.支持以单个IP地址、IP区间、子网掩码等3种模式录入安全域信息

业务拓扑监控

1.支持拓扑图的增加、修改、删除、导入、导出，支持创建>50个业务或网络拓扑，支持建立平面拓扑和3D拓扑；

2.支持监控安全域、Web业务系统、服务器、终端、安全设备等至少5种网络实体类型；

3.支持在拓扑图上一键点击跳转查询相应网络实体的安全日志。

告警及消息订阅

1.▲支持攻击告警列表的聚合展示，聚合维度不限于源IP、目标IP、告警名称、攻击结果等，并支持告警列表的自动刷新，新增告警高亮提示，能区分告警列表在刷新新增或变更的条目；支持告警基本信息、规则详情、原始告警列表及全部字段的详细展示和告警PCAP取证分析在线打开查看等功能。（提供截图并加盖公章）

2.支持系统消息订阅功能，订阅内容不限于“告警通知”、“数据接入异常”、“系统资源使用超限”、“系统组件状态异常”、“探针状态消息”、“联动设备状态异常”等，订阅内容支持机器人消息、短信、邮件、钉钉等多种方式发送；

安全运营

1.支持统一的安全运营工作台，在工作台可以集中查看当前用户的待办工单、最新通报预警状态

2.工单详情与备注支持多种内容格式，包括但不限于文字、图片、超链接、表格、代码片段、附件等类型；

3.支持工单举证信息一键溯源，工单处置人员可以直接定位到工单关联的原始信息进行查看；

4.支持通过安全告警自动派发工单到对应的安全管理员，支持自定义编辑预警信息内容；

5.支持将预警信息直接转为内部通报，支持将通报内容作为工单定向指派。

安管协作

1.组织架构中各级单位支持设定独立的安全管理员、业务系统、安全域；

2.支持多级管理员间资产风险信息的隔离和共享，总部用户管理员可以分配下属组织架构的功能权限，支持按月和按周考核各组织架构的安管工作成果。分部安全管理员只可以使用所属组织架构具备的功能，只能管理与分析所属组织架构的资产和数据，分部具备单独的态势感知大屏；

分析报告

1.支持用户自定义编辑报告模板，根据实际的业务需求自定义统计分析的指标对象，生成有针对性的分析报告，安全分析中的所有字段内容，都可以作为报告的统计对象，并自定义时间范围实现报告导出；

内置深度威胁分析、攻击者取证等2个以上报告模板，报告订阅支持通过邮件方式在设定时间点发送日报、周报、月报到不同邮箱，可配置订阅规则数量≥10条。

重大活动保障

1.支持重大活动保障任务前期、中期、后期分阶段的任务管理，保障预案管理；

2.支持任意保障区域和系统，支持设置保障监控拓扑，支持重大保障态势大屏实时监测；

3.保障监测视角覆盖云管端、边界、应用、安全设备等监测维度≥6种。

黑白名单

1.支持通过黑白名单功能对分析对象进行过滤筛选；

2.支持通过任意字段进行组合，配置筛选条件并生成黑白名单过滤规则。

系统管理

一站式运维

1.支持大数据平台本身的计算、存储资源利用率监控；

2.支持数据集与数据索引健康度监控；

3.支持对平台各组件运行健康状态的集中监控

4.支持平台运行状态告警，运行监测引擎可独立于安全分析引擎工作，展示运维告警趋势、分布等。

5.平台支持“一键巡检”功能，一键检查项包含但不限于数据健康、探针健康检查、大数据集群健康、Elasticsearch健康、实时流计算引擎健康、管理服务健康、服务器节点健康等多种维度检查，并能提供处置建议，一键导出各类服务的故障日志，包括但不限于Elasticsearch、Logstash、Kafka、实时计算引擎、操作系统等

用户管理

1.提供三权分立的用户管理能力：配置员、用户管理员、审计员相互独立，支持根据对象属性自定义划分系统管理角色和一般用户角色，按照数据和功能分级灵活设置用户权限。

个性化配置管理

1.支持常用配置参数的前端可视化修改，如信任IP、页面嵌套开关、首页缓存开关、告警推送主题、测试告警推送内容、ES集群IP、告警聚合条数上限配置、字体、主题皮肤颜色、产品名称LOGO等的前端可视化配置，满足用户的个性化配置需求。

其他要求

服务要求

1.原厂商应具有专业的大数据安全分析团队，每季度进行一次数据分析，并输出分析报告，分析团队至少有3人具备中国信息安全测评中心认证的CISP-BDSA（大数据安全分析师）资质证书（提供扫描件并加盖厂商公章）；

硬件配置

1.软硬一体化2U标准机架式设备，电源：1+1冗余电源                                

CPU：4核8线程*2                                    

内存≥128G，硬盘≥2T*2，带RAID1，可用磁盘空间不小于2T ；

接口≥4个千兆电口+4个千兆光口，≥2个万兆光口

性能要求

1.网络层处理性能≥10Gbps，应用层处理性能≥4Gbps，HTTP最大并发数≥18万/秒

高可用性

1.分布式部署：支持旁路部署和分布式部署，对探测器可以添加、删除，显示探测器版本、状态和IP，管理中心可实现告警统一管理

2.定义配置：可自定义管理中心和探测器之间的数据传输速率、时间、发送目录等参数，并可显示不同探测器的IP、版本、状态和最近24小时的风险信息

审计协议

1.支持对HTTP、FTP、SMTP、POP3、SMB、IMAP、DNS、Mysql、MSSQL、DB2、Oracle、HTTPS、SMTPS、POP3S、IMAPS等协议解析（HTTPS、SMTPS、POP3S、IMAPS加密协议解析需要导入服务器私钥证书），并提供审计协议类型的端口号配置，可根据需要变更端口号；

2.支持对2800多种应用流量数据进行统计，包含但不限于QQ、迅雷、VPN、PPTV等各种应用

协议自动识别

1.支持非标端口下的常规协议自动识别、解析和威胁检测功能，包括HTTP/FTP/IMAP/SMTP/POP3/SSL/SMB/RDP等；可自定义是否启用该功能

检测风险类别

1.支持检测WEB攻击、异常访问、恶意文件攻击、远程控制、WEB后门访问、发件人欺骗、邮件头欺骗、邮件钓鱼、邮件恶意链接、DGA域名请求、SMB远程溢出攻击、WEB行为分析、隐蔽信道通信、暴力破解（包括SSH、TELNET、RDP、FTP暴力破解）、挖矿等风险

告警黑白名单过滤

1.支持对文件白名单、发件人邮箱白名单、发件人域名白名单、黑域名白名单、黑IP白名单、域名白名单、客户端IP白名单、服务端IP白名单、WEB风险特征白名单进行设置

告警详细展现

1.支持详细展现风险等级、时间、威胁名称、攻击状态、攻击方向、客户端IP、客户端IP所在地理位置、服务端IP、服务端IP所在地理位置、报文、操作等信息，包含请求URL、请求类型、请求内容、请求头、Host、User-Agent、Accept、Accept-Language、Accept-Encoding、Accept-Charset、Keep-Alive、Connection、Cookie、请求参数、响应码、返回长度等信息，并提供相应的数据包下载链接

WEB攻击检测

1.▲ 支持根据规则类型、协议、源IP/端口、目的IP/端口、流量方向、流量状态、风险类别、风险等级、风险阶段、攻击者、攻击状态、阈值、Flowbits、规则内容等自定义审计规则（提供截图证明并加盖厂商公章）

2.支持WEB特征攻击风险白名单配置，白名单颗粒度可达到WEB特征类别、WEB特征规则和HTTP方法

Mail攻击检测

1.恶意附件检测：支持邮件恶意附件行为检测

2.社工类攻击检测：对社工类攻击进行检测，检测内容包括：邮件头欺骗、邮件发件人欺骗、邮件钓鱼欺骗、邮件恶意链接

文件攻击检测

1.文件类型：支持doc, xls, ppt, swf, pdf, java, rar, zip, rar, exe, vbs, scr, html，js等50多种文件解析

2.▲Shellcode检测：通过分析文件中的二进制代码，找到文件溢出攻击的代码，并能找到APT攻击中的0day攻击（提供截图证明并加盖厂商公章）

文件威胁指数分析

1.▲根据文件传播情况分析受感染主机、接受云端威胁情报、关键威胁行为可视化和完整沙箱分析报告（提供截图证明并加盖厂商公章）

失陷主机检测

1.可发现利用失陷主机挖矿的行为

2.支持以失陷主机维度进行分析，分析内容包括失陷主机IP、MAC地址、攻击类型、访问次数、攻击开始时间、攻击结束时间

管理功能

3.支持自定义弱密码、暴力破解和密码明文形式传输等告警的密码查看权限

序号

目录

商务指标需求

（一）免费保修期内售后服务要求

1

▲免费保护期

产品免费维保期 三年，时间自产品验收合格并交付之日起计算。

2

▲维护响应及故障解决时间

在保修期内，提供7*24小时远程服务，解答使用中遇到的问题，对于通过电话、网络、远程手段无法解决的紧急问题，48小时内到达现场解决问题。

3

产权合法性

供应商保证所使用产品的合法性，任何知识产权纠纷与用户无关。

4

相关培训

有专业人员对产品使用人员进行专业的培训，并对维护工程师进行维护培训。

5

▲售后服务团队人员要求

拟安排项目主要人员：

具备HCIE/H3CIE证书不少于3人；

具备中国网络安全审查技术与认证中心颁发得CISAW证书不少于3人；

证明材料：项目团队成员必须为投标人自有员工，提供相关证书扫描件及该员工投标截止前连续三个月的社保缴纳证明，提供扫描件或复印件，原件备查。

6

其他

投标人应按其投标文件中的承诺，进行其他售后服务工作。

（二）免费维护期外售后服务要求

1

维护响应

免费维护期后，如需乙方进行维护，维护费用另行再议

2

产权合法性

供应商保证所使用软件的合法性，任何知识产权纠纷与用户无关。

3

相关培训

免费维保期后，如需乙方专业人员对软件使用人员进行专业的培训，并对维护工程师进行维护培训。培训费用另行再议。

（三）其他商务要求

1

关于交货

1.1签订合同后 30  天（日历日）内。

1.2投标人按要求完成产品安装、调试、上线运行。

2

关于验收

1.1在乙方安装实施完成，正式投入运行一个月后进行项目验收，甲方接到申请验收报告后5个工作日内无正当理由不组织验收，或验收后5个工作日内不予批准且不能提出修改意见，视作验收报告已被批准，即应办理结算手续。

1.2当满足以下条件时，采购人才向中标人签发货物验收报告：

a、中标人已按照合同规定提供了全部产品及完整的技术资料。

b、货物符合招标文件技术规格书的要求，性能满足要求。

3

关于付款

1、付款条件：合同签订并收到全额发票后10天内向中标方预付全款的30%，产品到货签收后支付全款的30%，后产品验收合格后凭验收单支付全款的35%，质保金为全款的5%，一年后退还质保金。

序号

评分项

权重(%)

1

价格

30

2

技术部分

54

序号

评分因素

权重(%)

评分准则

1

技术保障措施

3

评分内容：

考察投标人为本项目安排的项目负责人***

投标人拟安排项目负责人***

1、同时具有硕士研究生或以上学历和学位证书、PMP证书；

2、具有工信部、人力资源和社会保障部联合颁发的信息系统项目管理师证书；

以上要求全部满足得100分，否则不得分。

评分依据：

提供以上技术人员有效证书扫描件及近三个月社保部门出具的盖章社保证明扫描件，不提供不得分（原件备查）。

技术规格偏离情况

48

投标人应如实填写《技术规格偏离表》，评审委员会根据技术需求参数响应情况进行打分。各项技术参数指标及要求全部满足的得100分。

带“▲”为重要技术参数，每负偏离一项扣5分，其他为一般技术参数，每负偏离一项要求扣2分，扣完为止。

3

投标人通过相关认证情况

3

评分内容：

1、具有ISO 22301业务连续性管理体系认证证书；

2、具有ISO 37001反贿赂管理体系认证证书；

3、同时具有中国网络安全审查技术与认证中心颁发的信息安全服务资质证书（认证范围必须包含安全运维、风险评估、安全集成、应急处理等四项）且在有效期内的证书。

以上要求全部满足得100分，否则不得分。

评分依据：

提供相关有效证书扫描件，原件备查。未提供不得分。

3

商务需求

11

序号

评分因素

权重(%)

评分准则

1

免费保修期内售后服务要求

7

投标人应如实填写《免费保修期内售后服务条款偏离表》，评审委员会根据响应情况进行打分，全部满足要求的得100分，每负偏离一项扣50分，扣完为止。

2

其他商务条款偏离情况

4

投标人应如实填写《其他商务条款偏离表》，评审委员会根据响应情况进行打分，全部满足要求的得100分，每负偏离一项扣50分，扣完为止。

4

诚信情况

5

序号

评分因素

权重(%)

评分准则

1

诚信

5

投标人在参与政府采购活动中存在诚信相关问题且在主管部门相关处理措施实施期限内的，本项不得分，否则得满分。投标人无需提供任何证明材料，由工作人员向评审委员会提供相关信息。