《XX系统-大数据安全管理中心项目采购需求.docx》由会员分享,可在线阅读,更多相关《XX系统-大数据安全管理中心项目采购需求.docx(36页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、XX系统一大数据安全管理中心项目采购需求一、建设目标与内容以省厅新一代XX信息网建设为基础,根据XX部XX大数据安全体系系列标 准规范要求,结合xx省、市大数据智能化建设现状,建设大数据安全管理中心 和安全审计中心两大系统,实现对XX省XX厅大数据的安全管理和审计,提升内 外部风险感知能力、协同安全防护能力、攻击检测分析能力、违规行为发现能力、 应急事件响应能力和态势感知预警能力。(一)建设大数据安全管理中心。搭建安全大数据、资产管理、态势感知、 策略控制和基线配置五大模块,实现“统一安全资产管控、统一安全策略管控以 及统一安全能力管控”,提升科学实用的体系化安全防护能力,规范化安全管理 能力
2、,综合化安全运维能力,实现全网安全态势敏锐感知,安全威胁快速检测与 处置,确保大数据全程可知可控,可管可查,变静态为动态,变被动为主动,为 新一代XX信息网建设智能化、立体化纵深防御体系,形成严密安全保障。(二)建设大数据安全审计中心。积极贯彻落实中华人民共和国数据安全 法、个人信息保护法等法律法规,及省厅数字证书常态严管的制度要求,聚 焦内部人员数据安全风险监管,加强全网应用日志大数据的采集、汇聚、治理和 分析应用等,建设新一代XX信息网安全审计中心,形成科学实用的“规范化记 录能力、精细化审计分析能力、体系化追溯能力、动态化威慑能力”,做到用户 安全态势快速感知,异常行为准确检测,确保数据
3、应用的全程可知可查,有效打 击和威慑数据泄露、违规使用、越权使用等违法违规行为,夯实对XX大数据智 能化应用的安全审计和监管。二、项目建设内容项目序号名称数量单位硬件设备1网络流量探针设备 (核心产品)2台储等能力。使用专用的操作系统及数据存储软件,与安全管理中心 一体化部署,支持动态扩展。配置要求含10台2U标准上架设备,含滑轨,CPU224核,内存256GB, 配置企业级存储磁盘总容量248TB (或磁盘可用容量240TB);接 口要求:千兆电口*4 (可选万兆双口以45、千兆四口以45、万兆 双口光纤等多种网络接口)。软件要求1、要求部署centos操作系统,安装部署商品化ES/hado
4、op/spark 等软件,实现集群,支持动态扩展。2、针对结构化数据及非结构化数据集中存储、管理与维护,支持 数据缓存、数据存储、数据索引、数据分析等。3、对多源数据通过提取、清洗、关联、比对、标识等数据管理控 制技术手段,使采集的数据入库后的数据格式统一、分类分级 明确、标识清晰,以进一步圈定和获得XX重点关注的安全数据, 使数据质量满足深度价值挖掘的需要,建立数据之间的深层关 联。而且可按人员、资产、应用等XX关注的维度建立逻辑数据 模型,便于部、省、市三级平台打通后,按多维度提供不同格 式的数据类型,在安全数据共享使用方面发挥安全管理中心的 最大价值。4、数据存储是大数据平台的核心,针对
5、结构化数据及非结构化数 据实现数据集中存储、管理与维护,能够支持数据缓存、数据 存储、数据索引、数据分析等。售后服务5年原厂商免费软硬件质保服务和软件升级服务,硬盘故障不返还 服务。安全 大数 据安全数 据源在安全访问与数据通道、安全防护体系、零信任体系等实体的关键 部位采集相关数据。1、支持通过多种类型的安全、泛安全类数据接入采集,应包括但 不限于设备日志数据、流量数据、弱点漏洞数据、系统性能数 据、威胁情报数据、资产人员数据;2、支持通过流量采集设备采集接入全流量数据,包含流量中的请求包和返回包等信息,并可在数据检索中体现包信息;3、支持接入文本格式、CVS等格式的文件数据,可通过模板文件
6、 的填写导入实现资产数据的导入和管理;安全数 据接入1、内置解析规则支持厂商200家,支持解析日志设备型号2000 种,无需配置解析规则与设备日志对应关系,自动完成解析;2、可对日志进行细粒度解析,解析后的日志根据具体日志包含但 不限于:日期、发生时间、接收时间、设备类型、日志类型、 日志来源、源地址、目的地址、事件类型、时间范围、操作主 体、操作对象、行为方式、技术动作、技术效果、攻击类型、 特征类型、协议、地理信息,230个字段3、具备同时保存事件原始日志数据和标准化后日志数据的能力;4、支持对数据源进行统一管理,包括数据源新增、数据源修改、 数据源删除、数据探查、连通性测试等操作,至少支
7、持kafka、 es mysql API Server 等数据源类型。安全数据组织1、安全数据组织是安全数据存储的形态,安全数据存储可根据安 全大数据的业务需求建立相应的存储库,包括原始库、资源库、 主题库、业务库、知识库、业务要素索引库等;2、原始库至少包括日志原始库、文件报告原始库、警告原始库, 资源库至少包括人员信息库、组织机构信息库、资产信息库、 业务系统信息库、告警信息库,主题库至少包括人员主题库、 资产主题库、安全事件主题库、漏洞主题库、配置基线主题库, 业务库至少包括预警库、响应处置库、预案管理库,知识库至 少包括威胁情报库、漏洞知识库、IP地理信息库。安全数 据治理1、支持数据
8、字典管理,包括新增、修改、删除等操作,数据字典 包括内置字典和业务场景字典,其中业务场景字典支持对历史 版本进行查看;2、支持数据字段管理,包括字段新增、修改、删除等操作,新增 字段可配置包括字段ID、字段名、字段类型、字典类型、是否 常用、是否支持查询、是否支持聚合等,字段类型至少包括boolean、 double、 enum float、 int ip、 long、 string、 timestamp array 等;3、支持对资源目录进行管理,包括新增、修改、删除等操作,支 持按天、月进行分割存储,并可自定义自动删除机制。4、支持数据质量监控,监控数据接入趋势、数据来源分布等。安全数据服
9、务5、支持对数据操作进行审计,并保留审计记录,支持通过操作用 户令牌、操作者讦、资源库、服务类型等查询审计记录。6、提供数据查询及删除服务,支持通过服务令牌控制查询及删除 操作,服务令牌对可访问资源库、可用服务类型、使用时间进 行约束;安全数据分析1、安全数据分析根据安全业务需求,利用安全分析技术,对数据 进行统计、分析、规律性探索及预测等,支撑安全应用业务场 景复杂、多变的需求。包括阈值分析、序列分析、碰撞分析、 关联组合分析、机器学习等分析方法,以及用户及实体行为分 析、恶意代码行为分析、网络流量分析、数据越权访问分析、 数据越权访问分析和边界入侵风险分析等分析技术;2、支持对安全日志里2
10、00个以上字段进行任意形式的逻辑与或非 形式组合建模,字段包括但不限于应用协议、目的IP、目的主 机名、目的端口、目的用户名、数据流方向、情报I0C等,运 算方式包括但不限于等于、不等于、大于、小于、大于等于、 小于等于、属于、不属于、存在、不存在,并能根据组合方式 自动生成运算表达式;3、支持在安全模型列表一键查看模型产生的异常记录或安全告 警。4、平台内置不少于4种机器学习分析场景模型,可检测发现勒索 挖矿告警数异常、安全设备日志数异常、网络会话数异常、域 名请求数异常等特定场景条件下的安全态势异常;5、支持UEBA、Bayes、随机森林等长周期高级机器学习算法;6、支持管理系统中原始日志
11、、异常记录、安全告警的所有字段和取值,每个字段均有清晰的说明;7、支持数据标准管理,用户可以根据实际需求,对字典进行编辑, 支持手动修改、增加或删除相应的字段;8、数据字典支持管理系统中原始日志和告警数据中所有字段的类 型、取值范围、字段说明,支持数值、字符串、枚举、ip等2 9种字段类型。资产 管理知识管 理1、支持通过离线导入或手动编辑添加的方式,形成本地威胁情报, 允许用户自建行业情报库,并实现情报库的增删改查、导入、 导出功能,情报记录包含运营商、IOC类型、标签、置信度等, 并支特统计情报源命中情报数量,针对单条无效情报可实现删 除。2、支持对接威胁情报中心,支持情报离线更新,支持查
12、看情报源 中有效情报数、最近更新条数、最近更新时间、今日更新情报 数、昨日命中情报数等;支持对接第三方威胁情报平台,支持 配置情报碰撞接口及查询接口,支持查看请求接口数、今日情 报请次数、昨日命中情报数,支持设置接口请求频率阈值,进 行接口请求限制;3、支持自定义本地情报库,支持离线导入情报或手动添加情报, 支持情报导出;4、支持接收内外部安全知识,通过聚合分析提升安全知识的质量;5、支持在平台中在线查询情报(如IP/域名/哈希),查询结果包 括:威胁类型、情报来源、WHOIS,开放端口、关联情报、SSL 证书、样本分析等多个维度的溯源结果;6、提供安全知识分发、订阅能力,支持向安全识别、安全
13、防护、 安全检测、安全响应等服务分发安全知识;漏洞管 理1、支持接收内部、外部提交的漏洞,形成漏洞信息库,可供安全 业务调用;2、支持漏洞分类管理,支持对内外部提交的疑似漏洞进行审核, 判定是否属于安全漏洞;3、支持结合资产信息和知识数据,对发现的漏洞进行分析、判断 并提出修复建议,支持根据修复建议,通报相关方修复漏洞, 修复手段包括补丁加固、配置修改、策略变更等;4、支持漏洞工单的自动复扫以及自动复扫的规则自定义;可配置 漏洞复扫验证规则,规则要求灵活可配;5、支持漏洞工单自动下发的规则自定义,在漏洞下发时,提供自 动化匹配规则功能,漏洞匹配规则动态可配,以便应对漏洞整 改业务的动态变化,同
14、时规则配置需支持将主机的业务、系统 分离派单,以满足动态的漏洞修复工作变动;6、支持漏洞下发时,遵循最小工作量原则,漏洞自动去重下发;7、支持向安全识别服务下达漏洞复验策略;8、支持漏洞修复复验,验证漏洞修复结果,形成漏洞管理的闭环;基线 配置基线概 述1、支持对基线/策略数量进行统计,对基线/任务下发数据进行统 计,对通报数量、工单数量进行统计;2、对告警数量、告警类型、告警趋势进行统计,通过页面可以进 行下钻;安全基线管理1、支持建立安全基线,包括但不限于网络设备配置基线、安全设 备配置基线、操作系统配置基线、数据库系统配置基线、中间 件配置基线、云平台配置基线;2、支持根据XX大数据的安
15、全策略要求,向安全识别服务和安全防 护服务进行基线策略下发,支持通过安全识别服务向安全基线 扫描设备下发基线核查任务;3、支持接收安全识别服务上报的安全基线核查结果,分析和优化 安全基线;4、支持向安全防护服务下发基线配置整改策略;5、支持向安全识别服务下发基线复查策略,验证基线整改结果, 形成基线配置管理的闭环。安全策略管理1、支持对被保护对象、安全服务能力进行分组定义,并建立相关 的安全策略;2、支持对接安全识别服务、安全防护服务、安全检测服务和安全 响应服务的安全策略,并进行统一的全生命周期管理;3、支持基于安全事件、安全态势、安全大数据,在日常安全运维 过程中,针对不同的场景,分析安全
16、策略,评估安全策略实施 效果;4、支持根据安全策略实施效果,提出安全策略优化建议;5、支持将安全策略下发到安全识别服务、安全防护服务、安全检 测服务和安全响应服务并生效。安全运 行管理1、支持根据安全运行管理要求建立响应预案,包括响应组织、处 置流程,处置要求等;2、支持响应预案的全生命周期管理。包括建立、变更、下发和废 止;3、支持资产脆弱性监测,通过安全识别服务获取全网漏洞信息及 时发现资产存在的安全隐患;4、支持资产防护状态监测,通过安全防护监测全网资产的安全防 护状态;5、支持安全告警监测,通过安全识别服务、安全检测服务、安全 防护服务、安全响应服务和安全审计服务的告警信息,发现安 全
17、事件;6、支持重大活动保障任务前期、中期、后期分阶段的任务管理, 保障预案管理,支持任意保障区域和系统,支持设置保障监控 拓扑,支持重大保障态势大屏实时监测,保障监测视角覆盖云 管端、边界、应用、安全设备等监测维度26种;7、支持需封禁的外部攻击者、外部攻击者成功入侵、CVE漏洞被 利用成功的系统、感染勒索病毒的主机、正在挖矿的主机、威 胁情报、存在Webshell后门的系统、收到钓鱼邮件的邮箱、正 在暴力破解的攻击者、存在弱口令的系统等10种以上的内置安 全分析场景,基于场景特性进行默认条件的数据聚合分析,支 持至少3个任意字段的快速聚合分析,聚合后的所有数据均支持快速统计分析,展示统计排序
18、信息,支持分析结果导出;8、支持智能检索语句分析,支持检索语句的中英文、拼音智能联 想,支持逻辑运算符与字段值的自动提示补全;检索语句支持 快速保存,历史检索语句快速导入;检索语句可直接发布成实 时分析模型,对实时数据进行分析与告警;9、支持偏好设置,并与账号绑定,支持配置登录默认筛选告警条 件,配置包括攻击结果、告警类型、威胁等级、攻击阶段、攻 击方向、处置状态、时间范围等信息;支持告警自动刷新;10、 支持在告警详情中展示数据血缘关系,包括数据来源、原始日志、规则模型及安全告警,支持下钻至原始日志和规则模 型;11、 支持在告警举证信息中展示沙箱报告,包括基本信息、静态分析、软件环境、动态
19、行为、可疑行为、进程行为、文件行 为、注册表行为、截屏信息等详细信息;支持沙箱报告下载, 支持在平台上传本地文件进行分析,支持木马病毒扫描、静态 分析、动态模拟分析。安全审 批管理1、支持对安全类任务进行审批,包括但不限于信息资产管理、安 全策略管理、基线管理、漏洞管理、事件管理、通报管理、安 全审计;2、审批任务至少包含提请审批人员ID、任务名、任务类型、申请 人单位、审批内容信息;3、支持对审批任务的管理,包括对任务的增删改、撤销等;4、支持向安全防护策略控制模块同步审批结果。服务配置管理支持安全防护体系管理与服务功能的服务配置,包括但不限于对安 全防护体系的安全识别、安全防护、安全检测、
20、安全响应等服务的 各种配置的统一管理。策略 控制策略总览1、支持对数据数量、分析模型数量、风险数据源梳理统计,支持 对日志趋势、任务概览、任务状态占比、任务状态趋势统计;2、支持快速查看剧本任务执行情况,支持取消、删除剧本任务;安全防 护策略 控制(编 排作战 室)1、支持基于决策结果进行服务的编排和调度,支持前端拖拽式交 互设计安全风险分析研判策略和联动响应剧本,支持多种策略 编排动作,包括但不限于数据源、分析组件、处置响应等,可 自动判断策略编排是否合理并弹窗提示;支持预置或自定义自 动化脚本进行闭环处置。2、支持多种策略编排动作,包括但不限于联动、阻断、隔离、取 证、封堵,同时支持编排动
21、作的灵活扩展机制,支持与不同品 牌的网关类安全产品进行联动防护,防护策略支持设置每次阻 断不同时长生效时间,时间设置包括10分钟,30分钟,6小时, 24小时,72小时,永久阻断。态势 感知安全态 势1、资产态势具体要求如下:支持基于资产信息,按照区域、类型、重要程度等,结合安全事件、 漏洞信息进行多维度分析;支持形成资产类型分布、资产弱点、资 产健康度、资产风险分布等分析数据,进行态势展示。2、数据安全态势(对接安全审计中心告警日志)具体要求如下:支持对数据分布、访问行为、数据流动等信息进行多维度分析;支 持形成包括数据泄露风险、异常访问行为、异常流量等分析数据, 进行态势展示。3、脆弱性态
22、势具体要求如下:支持基于漏洞和基线核查信息,结合应用系统,区域资产等基础数 据,进行多维度分析;支持形成在不同区域、系统和资产上的脆弱 性分布以及排名等分析数据,进行态势展示。4、安全事件态势具体要求如下:支持按照安全事件时间段,对事件攻击链分布、事件级别、事件类 型、区域分布等对XX信息网中发生的安全事件进行多维度分析; 支持形成安全事件的不同区域事件分布对比、安全事件发展趋势等 分析数据,进行态势展示。5、违规态势(对接安全审计中心告警日志)具体要求如下:支持基于XX信息网中的违规流量信息、违规访问行为、违规事件 分布信息等进行多维度分析;支持形成违规主体、违规事件类型、 违规行为对象、处
23、置状态等分析数据,进行态势展示。6、安全防护态势具体要求如下:支持基于安全防护的告警、策略、状态、日志、对象、安全事件处 置情况等数据进行多维度分析;支持形成安全防护分布、状态、趋 势、预警等分析数据,进行态势展示。安全审 计支持对云平台、数据、应用、网络、边界、终端等的日志信息进行 记录和安全审计,支持对安全审计模型、算法、规则等进行分析, 发现攻击行为、违规异常等并告警;安全风 险评估1、支持对信息资产进行安全风险评估,基于信息资产,以资产的 脆弱性包括漏洞、弱配置等进行安全风险评估,支持在安全管 理中心下发漏洞扫描、配置核查扫描任务;2、支持分析安全风险发生的几率和影响范围,并提出风险缓
24、解措 施或建议;3、支持形成安全风险评估报告;4、支持用户自定义编辑报告模板,根据实际的业务需求自定义统 计分析的指标对象,生成有针对性的分析报告,安全分析中的 所有字段内容,都可以作为报告的统计对象,并自定义时间范 围实现报告导出;5、内置深度威胁分析、攻击者取证等2个以上报告模板,报告订 阅支持通过邮件方式在设定时间点发送日报、周报、月报到不 同邮箱,可配置订阅规则数量210条。运维 管理一站式 运维1、支持大数据平台本身的计算、存储资源利用率监控;2、支持数据集与数据索引健康度监控;3、支持对平台各组件运行健康状态的集中监控4、支持平台运行状态告警,运行监测引擎可独立于安全分析引擎工作,
25、展示运维告警趋势、分布等;5、支持大数据平台一键巡检,一键检查项包含但不限于数据健康、 探针健康检查、大数据集群健康、Elasticsearch健康、实时 流计算引擎健康、管理服务健康、服务器节点健康等多种维度 检查,并能提供处置建议,一键导出各类服务的故障日志,包 括但不限于Elasticsearch、Logstash、Kafka实时计算引擎、 操作系统等。安管协作组件管理1、具有基于IP地址段为系统内资产划分安全域,可对每个安全域 内的告警数和资产数进行实时统计,并支持安全域之间的横向 互访关系在大屏中进行展示的功能。2、支持多级管理员间资产风险信息的隔离和共享,总部用户管理 员可以分配下
26、属组织架构的功能权限,支持按月和按周考核各 组织架构的安管工作成果。3、分部安全管理员只可以使用所属组织架构具备的功能,只能管 理与分析所属组织架构的资产和数据,分部具备单独的态势感 知大屏。1、支持对接入探针进行统一管理,支持平台统一升级和配置探针;2、支持对接入探针进行运行监控,包括探针注册时间、设备IP、 版本信息、许可证信息、本日数据上送条数、CPU利用率、内 存使用率、磁盘使用率、网络流量大小、数据上送条数等;支 持导入许可及导出许可申请文件。支持自定义消息订阅,订阅方式包括机器人、短信、邮件、钉钉等方式,消息类型包括告警通知、数据接入异常、系统资源使用超限、 系统消系统组件状态异常
27、、探针状态消息、联动设备状态异常、系统配置 息、 异常、系统更新、日常运维等类型;支持系统消息声音播报,机器人弹窗提醒,支持按时间顺序及消息类型查看系统消息。2安全日志采集探针设备1台3大数据安全管理中心设备10台4应用日志采集探针设备2台5安全审计中心设备4台6冗余备用硬件节点2台定制化软件1安全管理中心定制化开发35人月2安全审计中心定制化开发80人月系统集成配套 服务1软硬件设备集成费用1批2系统集成部署运维服务(1人3 年驻场)3年3安全审计中心原厂驻场服务(1 人3年驻场)3年定制开发工作详细清单如下:产品名称定制开发功能项大数据安全管理 中心安全基线下发对接安全策略下发对接安全审批
28、管理安监大数据平台定制功能迁移用户统一认证对接警员信息库、组织机构对接一机两用适配定制开发安全审计中心日志采集对接模型分析功能用户域日志数据对接用户域历史日志数据对接用户域日志数据清洗、存储和展现日志核查申请级联管理功能4、应用日志采集探针设备(2台)指标项技术指标及参数软硬一体设备配置要求标准机架式设备;内存N128GB,可用硬盘容量23TB;配置N2个 千兆口; 22个万兆光口;满配万兆单模光模块;镜像流量处理速 率58000Mbps;流量格式化数据入库性能2000条/秒(150Byte每 条)。应用日志网 络流量分析 模块1、旁路部署,提供镜像流量采集、重组、解析、转换处理功能;2、具备
29、 DFI 和 DPI 能力,支持 NETFLOW、TCP、UDP、GB/T2818K GA/T1400、HTTP、RTSP、SNMP、Syslog. POP3、IMAP、SMTP 协议解 析;3、支持从网络流量中获取HTML数据,并保存为HTML快照和创建索 引。支持使用HTML快照中出现的身份证号、车牌号、手机号等标识 作为查询条件,反向追溯审计出访问过该信息的IP、用户;4、支持流量数据本地保存和为第三方系统输出,支持设置存储/转 发周期、支持过期数据删除;5、统计报表,支持按IP、端口、时间、特定网络通信事件数、协 议流量、应用流量等维度进行统计,支持HTML、Excel、word报表
30、输出;6、通过自动化规则提取日志中的实体信息,确定日志的操作员证书 名,操作员账号名,操作员姓名等;7、自动发现流量中的应用系统被访问痕迹,并及时上报至安审平台;8、与安审平台要求保持接口一致,能够将采集的日志通过消息总线 接口实时输送给安审平台。应用日志采 集分析模块1、支持API、JDBC、Syslog. FTP采集或接收认证服务、权限管理 服务、业务审批服务、业务安全策略控制服务、环境感知服务、应 用系统、资源服务、数据服务等业务日志;2、支持日志范式化、解析、映射、转换、关联、标记等处理;3、支持日志数据校验、加密存储;4、业务日志数据组织管理,包括日志采集监测、数量统计、质量监测、质
31、量报表、原始库、资源库、主题库建设、日志编目等;5、与警员库,机构库等保持实时联动,丰富化规范化日志中的警员 信息,所属机构信息,被访问信息系统信息等;6、与安审平台要求保持接口一致,能够将采集的日志通过消息总线 接口实时输送给安审平台;7、实时校验所采集日志的质量,出现特殊字符,空字段,字段长度 类型不符,无中文字符等现象自动报警。8、支持在服务期内根据用户需求调整提供迁移服务,支持在国产化 计算资源平台安装部署。5、安全审计中心(4台)功能 模块功能项功能说明产品资质拥有自主知识产权并获得计算机软件著作权登记证书;设备配置整体要 求为安全审计中心系统提供硬件层面系统支撑,提供计算、存储 等
32、能力。使用专用的操作系统及数据存储软件,与安全审计中 心系统一体化部署,支持动态扩展。配置要 求含4台2U标准上架设备,含滑轨,CPU 232核,内存2512GB, 配置企业级存储磁盘总容量N48TB;接口要求:千兆电口*4(可 选万兆双口咫45、千兆四口灯45、万兆双口光纤等多种网络 接口)。软件要 求1、要求部署业务审计的数据抽取、数据处理、数据存储、数 据计算、数据应用等模块。2、部署日志采集模块,具备日志数据采集能力;提供流式算 子,对接入的日志进行校验、提取、比对、标识功能;3、提供数据组织建模服务,包括原始库、资源库、主题库等, 用于支撑应用和提供资源服务;4、部署日志存储和管理模
33、块。根据日志来源、日志时间进行 自定义策略,对冷/热数据自动向选定的节点进行数据转储;5、部署应用审计基础应用模块,提供页面展示、日志搜索、 档案画像、异常行为分析等应用能力;6、部署业务审计定制化软件模块,支持部署零信任对接模块、 用户域安审平台、以及级联管理模块等。业务 日志 采集 模块日志数 据采集 能力1、提供具有自主知识产权的日志采集系统模块,具备镜像流 量型日志采集、数据库类型日志数据采集、文件类型日志 数据采集、消息型日志数据采集和API方式数据接收的综 合性能力;2、支持镜像流量采集功能,支持镜像流量重组、关联、解析 和还原能力,支持HTML文本快照获取,处理后的数据可以 直接
34、写入Kafka。3、支持数据库采集功能,支持全表同步、增量同步功能,具 备断点标记和续传功能;支持主流关系型数据库、NoSQL 数据库、国产数据库、文档数据库,包括但不限于Oracle、 Mysql、 PostgresqK RDS、 ElasticSearch PolarDB 等, 支持异构数据库同步、数据库和Kafka消息异构同步。4、支持文件采集功能,支持FTP方式获取文件数据。5、支持消息拉取功能,支持从Kafka系统中拉取所需日志数 据。日志采集范围1、日志采集范围根据用户实际需要进行调整,包括但不限于 五大类重点信息系统、业务审批系统、认证服务、权限管 理服务、环境感知服务的日志数据
35、。2、日志采集服务数至少满足500个应用系统日志接入。日志预 处理1、提供具有自主知识产权的多通道数据总线。2、提供流式算子,对接入的日志进行校验、提取、比对、标 识功能。采集性 能数据库采集速率(单条10KB内)25000条/秒;消息采集速率 (单条10KB内)25000条/秒;镜像流量处理速率不低于IGbps;部署和 管理1、分别在省厅的用户接入区和数据接入区部署业务日志采集 服务,支持国产化CPU、操作系统适配。2、采用B/S方式进行管理,可在安全审计中心平台应用门户 进行集中登录、监控和管理。业务 日志 数据 资源 组织 管理数据组织处理1、提供数据组织建模服务,包括原始库、资源库、主
36、题库等, 用于支撑应用和提供资源服务。2、日志数据资源支持使用省厅统一政务网云平台(阿里云提 供的ODPS、RDS、ElasticSearch等容器)进行存储。3、配套提供具有自主知识产权的分布式sql执行引擎模块。4、支持对文本文件、库表数据、消息数据按照GA日志采集规 范完成多源日志的标准化处理,处理算子包括但不限于过 滤、排序、行列转换、拆分字段、去重、值映射、数据合 并、字段名校验、字段类型校验、字段长度校验等,提供 SQL编辑器功能,自主编写SQL进行处理。5、提供具有自主知识产权的分布式数据映射搜索处理引擎。6、支持内置GA行业常用词库,对分布式存储的数据进行索引 创建。存储管理1
37、、支持国产密码算法,支持对库表字段、敏感内容进行加密 存储和摘要存储;2、支持数据冷/热分离存储管理,支持根据日志来源、日志时 间进行自定义策略,对冷/热数据自动向选定的节点进行数 据转储,节省CPU、内存等资源;3、支持任务调度方式对冷节点数据查询;4、支持冗余热灾备,防止数据丢失,当出现故障,应用可自 动切换到备份库进行查询和研判;5、支持自定义策略的数据归档存储功能,可将达到期限的数 据定时归档到离线归档库(ODPS),防止数据丢失。日志管理1、支持日志接入监测功能,可以根据日志来源单位部门、应 用系统进行总量统计、实时入库速率统计、TOP排序、趋势等信息;2、提供日志目录管理功能,支持
38、以树状层级目录展开和折叠, 支持目录导出,支持根据来源单位部门、应用系统名称进 行编目。3、支持日志质量分析功能,可以按来源单位部门、应用系统 进行日志质量分析,展现总量、质量符合率、不符合原因(如缺字段、数据重复、字段值为空等)、不符合数据详 情查看。4、支持对质差超限系统、无日志流量应用、日志量异常应用 进行自动告警,提供页面弹窗、告警列表、短信告警、邮 件告警方式。展示审计平台的整体服务情况、日志和告警的概况、日志和告警的近期趋势变化等,具体如下;1、支持展示大屏的自定义功能,用户可通过模块拖拽的方式进行信息展示/隐藏、布局调整;2、支持业务审计地图展示,可显示全省审计接入情况地图概首页
39、展览,直观展示各地市日志审计接入情况、质量统计情况;示功能3、支持展示业务应用审计平台整体服务概况,如接入业务数、应用和态势日志总量、告警总量、维护机构数、注册用户数、在线用审计感知大户数等信息;基础屏4、支持以图形化方式展示月度活跃用户、活跃机构、活跃应应用用以及活跃IP等情况;模块5、支持以图形化方式展示审计系统整体的告警趋势,以及月度人员、机构、终端等告警量,以及不同告警类型的占比等。1、日志查询:提供日志精确、模糊、数值、范围查询功能,日志搜查询条件包括时间、IP、应用名称、用户名、操作动作等索功能信息。2、全文检索:提供日志记录全文模糊检索的功能;3、反向追溯:支持使用车牌号、手机号
40、、姓名、身份证号、 地址等信息进行检索,以列表显示所有查询浏览过此信息 的用户,并可进行详情查看;4、日志批量导出:对授权用户提供指定日志记录的下载导出 功能;5、批量查询功能:提供查询模板,授权用户填写信息后上传 进行批量查询和下载导出。6、高级过滤:提供对查询结果进行过滤筛选,可按照系统用 户名称、身份证号码、终端IP地址、机构、操作类型、应 用系统进行过滤;1、支持用户画像:针对用户提供画像分析,以可视化页面进 行展现。信息包括用户账号、用户身份属性信息、所属单 位部门、使用终端IP数量、常用终端IP、访问时间分布、 常用应用模块等信息;2、支持终端画像:针对终端提供档案分析,以可视化页
41、面进 行展现。信息包括所属部门、登录过的用户账户、使用时 档案画间分布、常访应用模块、趋势等信息;像功能3、支持应用画像:针对应用提供档案分析,以可视化页面进 行展现。信息包括所属部门、应用名称、访问用户数、访 问用户列表、用户组织机构分布、访问时间分布、TOP功能 模块等信息;4、支持组织机构画像:针对组织机构提供档案分析,以可视 化页面进行展现。信息包括组织机构名称、人员规模、TOP 用户、TOP终端、TOP应用、访问时间分布、趋势等信息、。1、提供具有自主知识产权的用户行为分析模块,基于聚类分类、阈值统计、序列化分析、机器学习等算法,对用户实 异常行体进行行为分析;为分析2、支持操作轨迹
42、分析:提供在指定时间段内用户的操作轨迹分析,以图形化当时展示结果,并可以关联查看日志详情;3、支持异常行为分析,提供包括但不限于以下预警模型:敏 感信息访问行为预警、敏感应用访问行为预警、非属地访 问行为预警、同终端多用户预警、同用户多终端预警、对 特定对象的精确查询预警、对特定对象的模糊查询预警、 查询同事行为预警、查询自己行为预警、同一对象多次查 询预警、登录试错预警、离退账户访问预警、查询红名单 预警、访问量突增预警、非工作时间访问预警等;4、支持对特定用户、特定IP设置对象关注,当发生触网行为 记录,将可提供告警列表方式告警。自主分 析1、提供具有自主知识产权的编排与自动化响应模块,基
43、于web 页面图形化操作,用户可以自主进行模型构建和配置告警 规则;2、支持查询选择数据源、表字段和模型,可通过拖拽、连线 方式进行关联和条件设置,支持对数据进行条件过滤、数 值统计过滤;3、支持多源数据库表和已有模型之间进行差集分析,支持设 置某一数据源为主表,其他数据源与主表做差集计算,支 持对差集关联字段进行设置;4、支持多源数据库表和已有模型之间进行并集分析,显示结 果支持自动去重功能;5、支持多源数据库表和已有模型之间进行交集分析,交集关 联字段的设置条件可以是字段值相等或者字段值比较,支 持对交集的结果显示字段进行设置,用户可以自定义结果 列表的显示字段;6、支持对自定义模型产生的
44、结果进行二次查询;二次查询的 字段可以是显示结果中的任意字段,输入该字段的查询条 件,即可进行结果二次查询。7、支持模型命名、模型保存、定时任务设置,并配置响应告 警规则。敏感日 志应用 管理1、支持敏感日志的应用管理功能,可以针对日志内包含敏感 内容的日志单独进行日志管理;2、支持敏感日志规则维护功能,用户可新增、删除敏感日志 判定规则;3、支持敏感日志的信息概览功能,包括敏感日志总数量、直 接获取敏感日志数量、间接获取敏感日志数量;4、支持机构产生的敏感日志数据量排名、人员获取敏感日志 数据量排名、敏感数据类型占比等概览信息;5、支持按系统统计敏感数据产生量、按地区统计敏感数据产 生量、敏
45、感数据总体趋势图;6、按照敏感数据类型统计每一种敏感数据排名;7、可以按照敏感日志获取方式、日志获取时间段、敏感数据 类型及日志所属机构进行敏感数据的查询;8、可以根据检索条件查询得到敏感数据总量、直接获取的日 志量、间接获取的日志量;9、支持通过条件检索得到敏感日志列表,并能查看敏感日志 详情。审计报 告支持审计报告导出功能,以图表可视化展现。信息包括不限于 应用量、组织机构访问量、用户访问量、访问趋势、时间分布、 统计排序、日志质量、数据接入量、违规异常态势等内容。平台安 全1、登录认证:提供数字证书+口令密码登录认证方式,支持对 接统一认证、XXPKI系统进行数字证书认证;提供账号登录
46、试错锁定功能,可以自定义设置试错次数、锁定时长、告 警方式;2、全B/S架构,使用HTTPS进行访问;3、对用户口令密码等信息采用非明文存储;4、提供基于用户、角色、权限的授权管理功能;5、提供IP绑定认证,管理员只有使用白名单内的终端进行管 理配置;6、支持分级授权访问,地市级、区县级用户可以在通过认证 后访问被授权的应用和数据;7、采用三权分立管理原则,提供系统管理员、安全员和审计 员三类角色和不同权限。针对平台的任何管理操作,均进 行日志记录,提供日志审计功能。运行监 控1、提供平台整体运行监控功能,包括集群节点数量、集群节 点健康状态、告警信息、接口调用信息;2、提供日志计算任务列表,可以查看任务详情,包括任务名 称、任务描述、执行时间周期、数据量、管理者信息;3、提供计算任务监控,监控启动时间、结束时间、执行结果、 成功率等信息。售后服务5年免费软硬件质保服务和软件升级服务,硬盘故障不返还服 务。5、冗余备用硬件节点(2台)功能 模块功能项功能说明设备 配置整体要 求为安全管理中心或安全审计中心系统提供硬件层面系统支撑,提供 计算、存储等能力。使用专用的操作系统及数据存储软件,支持在 集群中动态扩展运行。配置要 求