租赁设备名称

技术指标要求

漏洞扫描工具箱

1.多核CPU，内存≥16GB，存储≥1T，千兆电口≥8。支持无限制资产检测扫描授权；

2.具备高危事件预警能力，能够对最**全事件、高危漏洞及时更新推送平台，同时资产异常情况进行实时预警通知。

3.支持对资产风险实时发现，并依据大数据模型进行实时分析、展示，具备安全可视化监测大屏，7×24h监控资产状态及安全风险态势。可展示当前安全评分，前端监控、主机设备、网络安全设备、打印设备统计情况，最**全风险包括：时间、资产、风险以及风险级别。

★4.具备边界完整性检测能力，包括非法外联检测、违规内联检测。

5.为减轻运维工作量，设备可基于A 段、B 段创建下发资产盘点任务，检测任务可发现目标范围内在线的资产，可检测到在线资产的 IP 地址、 MAC 地址、操作系统、设备类型、设备厂商、设备型号、软件版本，并在报告中展示设备开放的高危端口 。

6.针对单一资产，支持从该资产的健康状况、事件关联、攻击详情、漏洞详情、访问关系等五个维度进行分析。

7.设备具备高危漏洞的专项检测、分析能力，适用于服务器、业务系统等设备极多的网络环境下快速安全检测。

8.设备对高危漏洞提供自动化验证功能。自动化验证不需要任何人进行参与，平台自动对漏洞进行验证、判断，并可在安全检测报表中体现。

Web应用防火墙

1.吞吐量≥5Gbps；最大并发连接数≥400万；每秒**连接数≥10万；配置千兆电口≥8个，千兆光口≥2个；

2.支持对Web流量的镜像检测及镜像阻断功能；

3.支持基于阈值统计、动作持续时间及指纹识别技术进行Web扫描防护；支持Web层面的漏洞检测及攻击防护，防护类型至少包含SQL、XSS、命令注入、目录遍历、CSRF等；支持例外页面、例外参数配置，且支持与黑名单联动，可设置联动阈值、联动周期及禁封时间；

★4.支持手机一键下线功能，客户可以使用手机对设备进行远程实时监控，同时在紧急安全事件发生时，可以在手机端将网站关停，防止网站进一步被攻击，待漏洞排查修复完成后可以在手机上对网站恢复上线，运维便捷，提升了应急响应能力。

5.Webshell防护：支持Webshell非法上传防护，同时支持基于Webshell上报危险系数防护；

★6.支持基于全球地理位置的访问控制功能，可设置限制访问的国家及区域，国内可以省划分，国外以国家划分，并配置相应的告警或阻断动作；同时设备界面支持以“中国地图”及“世界地图”可视化展示Web攻击事件，便于攻击的取证及溯源；

7.信息泄露防护：支持服务器信息隐藏，隐藏信息至少包括Server头域信息、5xx信息、4xx信息、网站目录信息、关键文件信息、数据库信息、源码信息、账号信息（如：银行卡号、身份证号）；

8.支持敏感字过滤功能，支持自定义敏感关键字，模糊匹配，并可以自定义模糊匹配字符，可配置用于防敏感词绕过的干扰字符串；

9.支持网络爬虫防护，支持配置预定义爬虫类型，自定义爬虫类型，爬虫白名单；

10.支持网络盗链防护，支持基于referer、Cookie方式的网络盗链防护，可配置保护**类型、例外网站、可信域等；

11.支持暴力破解防护，支持配置登陆校验地址、告警及阻断阈值等参数，支持弱口令防护，支持配置用户组（IPv4/IPv6），开启/关闭预定义弱口令；

12.网页篡改防护：支持配置服务器、防护IP、防护域名、防护URL、网页预取状态、基于域名/URL查询记录；支持开启/关闭强制防护，支持批量开启/关闭；支持配置网页防篡改例外界面，自动刷新缓存时间；

网络安全威胁感知大数据分析平台

1. CPU≥16核，内存≥64G，千兆电口≥2，万兆光口≥2，冗余电源；

★2.网络安全威胁感知大数据分析平台要求必须与全流量检测探针为同一品牌，须与网络安全威胁感知大数据分析平台实现数据对接；
3.具备高容错、高吞吐量的数据处理能力，采用Kafka、Storm、Spark、ElasticSearch等不少于15种大数据功能组件，并可监控各组件运行状况；
4.支持安全事件的统计分析，可查看静态安全事件列表，也可通过选择时间范围动态查看，支持基于时间轴对安全事件进行溯源，并智能生**全事件处置建议；

5.恶意文件检测：支持显示探针接口状态、设备状态、流量趋势，支持参数配置，包括设置采集接口的服务配置、恶意文件检测配置，配置恶意文件类型包括但不限于：恶意脚本文件、Office文件、可执行文件、文本文件、压缩文件、Java文件、PDF文件、图片文件、音频和视频文件；
6.集成第三方防病毒厂商专业病毒库，具备反病毒引擎；
7.入侵检测能力：具备多种入侵类型的检测能力，包括但不限于：目录遍历漏洞检测, 跨站脚本攻击漏洞检测, 文件上传漏洞检测, 远程文件引用漏洞检测, 其他漏洞检测, 命令注入漏洞检测, SQL注入漏洞检测；

8.设备具备丰富资产指纹库及自主研发的识别引擎，对目标资产进行多维度信息探测，支持场景下全资产盘点包括：操作系统识别、中间件识别、数据库识别、开启端口与服务识别、网络设备识别、安全设备识别；
9.支持高危攻击事件分析：至少应包含攻击源Top5、攻击目的Top5、事件类型Top5及详细攻击列表，并支持通过在同一页面点击对攻击进行处置，支持点击进行攻击溯源，可查看并下载原始攻击数据包，支持在攻击详情页面查看主机信息、威胁名称、威胁类型、威胁描述及解决方案。
10.支持恶意文件分析：分析恶意文件类型分布、时间和数量维度的恶意文件发现趋势及恶意文件列表展示，并支持在同一页面点击对恶意文件威胁进行处置；恶意文件列表统计维度包括但不限于：攻击源及目的、传输协议、恶意文件名称、文件家族及检测来源等，并支持查看恶意文件哈希值。
11.支持C C攻击事件分析：分析统计C C攻击事件的攻击源TOP、攻击目的TOP、攻击次数及时间维度的受害资产分布，并支持在同一页面点击对C C攻击威胁进行处置，可基于威胁情报查看C C攻击的信誉值、信誉类别及评定时间等。
12.支持通过用大数据技术聚合攻击日志，可将每一起安全事件发生的始末完整呈现出来，支持包括Web渗透攻击、主机渗透攻击、数据库攻击、挖矿、恶意文件传播、远程控制等高危事件的攻击轨迹溯源，支持从时间轴、攻击方式矩阵、攻击详情（过程）、攻击类型分布、攻击工具等多个维度对安全事件进行分析及过程展示。
★13.基于ATT CK框架的攻击矩阵分析：内置攻击矩阵知识库，支持将安全事件划分至13个入侵阶段，入侵阶段包括但不限于：扫描探测、投放利用、代码执行、持续突防、权限提升、防御绕过、账户破解、环境洞察、横向扩散、数据采集、命令控制、数据窃取、造成影响；对单次安全事件中涉及的入侵阶段以及使用的攻击技术有明显标注，支持针对使用的每个攻击技术进行具体分析展示。

14.威胁建模：支持系统内置威胁模板及自定义威胁模板，自定义威胁模板应包含但不限于配置规则属性、计算单元及相应方式。
15.支持独立的威胁情报关联功能，集成威胁情报信息，支持威胁情报的查询、关键字检索，威胁情报详情包括但不限于：某IP作为攻击源的攻击目的TOP、攻击类型TOP、攻击趋势，作为攻击目的的攻击源TOP、攻击协议TOP、攻击趋势，攻击关联日志，作为访问源的访问目的TOP、访问协议TOP、访问趋势，作为访问目的的访问源TOP、访问协议TOP、访问趋势，会话关联日志，威胁情报日志。
16.****中心：包含已处置及未处置威胁，并可通过点击忽略未处置威胁。，处置详情应包含处置目标、威胁等级、威胁资产数量、威胁类型等，支持新增联动设备，并可查询联动设备信息及联动历史信息等。

全流量检测探针

1. 多核CPU，内存≥64G ，千兆电口≥2，万兆光口≥2，冗余电源；

★2.全流量检测探针要求必须与网络安全威胁感知大数据分析平台为同一品牌，须与网络安全威胁感知大数据分析平台实现数据对接；

3.恶意文件检测：支持显示探针接口状态、设备状态、流量趋势，支持参数配置，包括设置采集接口的服务配置、恶意文件检测配置，配置恶意文件类型包括但不限于：恶意脚本文件、Office文件、可执行文件、文本文件、压缩文件、Java文件、PDF文件、图片文件、音频和视频文件；
4.集成第三方防病毒厂商专业病毒库，具备反病毒引擎；
5.入侵检测能力：具备多种入侵类型的检测能力，包括但不限于：目录遍历漏洞检测, 跨站脚本攻击漏洞检测, 文件上传漏洞检测, 远程文件引用漏洞检测, 其他漏洞检测, 命令注入漏洞检测, SQL注入漏洞检测；
★6.网络通信行为检测：具备全流量检测引擎,可实现IP碎片重组、TCP流重组、应用层协议识别与解析，能够对网络通信行为进行识别，包括但不限于：FTP行为、SMTP行为、DHCP行为、HTTP行为、DNS行为、SSL通信、SMB协议、Traceroute跟踪、Mysql数据局等；
7.Web安全检测：支持针对B/S架构应用抵御SQL注入、XSS、系统命令等注入型攻击，支持对webshell后门脚本上传的检测，支持其他类型的Web攻击，如文件包含，目录遍历，信息泄露攻击等的检测；
8.僵木蠕检测：支持对终端种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到的恶意软件行为进行深入分析；