序号

产品名称

技术要求

数量

备注

1

网络安全管理中心

详见下表

1套

一级需求项

二级需求项

三级需求项

具体描述

需求等级

证明材料

大数据平台

数据采集

采集方式

a)支持Syslog、SNMPTrap等被动方式接收数据源发送的数据。
b)支持SFTP、SNMP、Kafka、代理、数据库连接等主动方式获取数据，并支持对数据采集频率进行设置。

必选

提供产品功能截图

支持手动导入数据。

必选

提供产品功能截图

支持对采集代理的数据采集情况进行监控，并能对采集任务进行开启和关停。

必选

提供产品功能截图

数据来源

支持配置采集策略从服务器、数据库、中间件、业务系统、容器等数据源采集数据。

必选

提供产品功能满足书面承诺，并加盖产品原厂商公章

性能要求

满足5TB/天或7万EPS（EPS为每秒日志处理条数）的数据采集处理能力需求。

必选

提供产品功能满足书面承诺，并加盖产品原厂商公章

采集监控

支持监控数据源的采集情况，针对异常情况实时告警，异常告警内容包括不限于解析失败、日志采集异常等。

必选

提供产品功能截图

自定义解析规则

a)支持在web界面上进行自定义数据解析规则配置，包括正则表达式解析、KeyValue解析、XML解析、JSON解析等。
b)支持输入日志样例，在线预览解析结果内容。

必选

提供产品功能截图

数据转换

a)支持将同一类型、不同格式的原始数据转换为统一的数据格式，如格式。
b)支持对解析后的数据进行内容替换，如字段的裁剪、合并、重命名等。
c)支持在页面中对base64、16进制、URL编码的字段进行解码。

必选

提供产品功能截图

敏感字段脱敏

a)支持敏感字段识别，可配置规则对身份证、手机号码、密码、银行卡号等敏感字段进行脱敏处理。
b)对高权限账号或进行二次身份验证后方可在前端页面查看敏感字段明文。

必选

提供产品功能截图

数据补全

支持基于资产信息库（需对接厦航主数据系统或资产信息管理系统）、地理信息库等对采集的原始数据进行补全，补全的内容可包括资产属性、地理位置、ip地址归属地等。

必选可定制

提供产品定制开发书面承诺，并加盖产品原厂商公章

数据存储

数据量级

支持2 PB以上的数据存储。

必选

提供产品功能满足书面承诺，并加盖产品原厂商公章

数据检索

组合检索

对原始日志和解析日志支持多种语法查询，语法包括但不限于与、或、非、等于、不等于、属于、不属于、包含、不包含，且可任意组合检索条件和检索字段。

必选

提供产品功能截图

可视化呈现

支持检索结果可视化视图展示，展示类型包括不限于柱形图、热力图、折线图、饼状图、玫瑰图、条形图、表格等。

必选

提供产品功能截图

结果导出

支持导出数据检索结果。

必选

提供产品功能截图

异常行为分析

a)通过历史数据自学习能自动生成服务器行为基线，再对比行为基线识别异常行为，包括但不限于源IP与目的IP的异常访问关系、源IP与目的端口的异常访问关系、源IP与目的IP的异常访问次数等。
b)通过历史数据自学习能自动生成用户行为基线，再对比行为基线识别异常行为，包括但不限于用户登录异常、用户操作次数异常、用户操作异常等。

必选

针对a)需提供识别源IP与目的IP的异常访问关系、源IP与目的端口的异常访问关系、源IP与目的IP的异常访问次数的产品功能截图；
针对b)需提供识别用户登录异常、用户操作次数异常、用户操作异常的产品功能截图。

安全事件分析

a)支持从被攻击对象或攻击方视角对网络攻击行为进行分析，可查看各节点之间的互访关系，追溯威胁源头，还原攻击路径，支持以拓线图谱的方式展示节点与其他内外网节点之间的关联互访关系，标记出各节点的概要信息并可跳转下钻至详情页进行查看。
b)支持按照攻击轴和杀伤链模型展示相关告警日志，还原一个事件的完整攻击链阶段。

必选

提供产品功能截图

自定义数据分析规则

a)支持自定义数据分析规则，包括配置聚合规则（如统计某个事件发生多少次、统计某个源IP访问了哪些不同目的IP）和时序规则（即A事件发生后，发生了B事件）等。
b)支持可视化界面和类SQL数据分析语言共两种数据分析规则配置方式。

必选

针对a)需提供聚合规则和时序规则配置的产品功能截图；
针对b)需提供可视化界面和类SQL数据分析语言共两种数据分析规则配置方式的产品功能截图。

监测告警

监测告警

告警描述

告警描述内容可自定义设置变量，变量包括告警类型、告警级别、影响资产等。

必选

提供产品功能截图

告警加白

支持对误报的告警进行统一加白处理，告警过滤维度包含源IP、目的IP、URL、域名、样本MD5等。

必选

提供产品功能截图

告警方式

支持通过厦航IM、厦航邮件系统、企业微信、syslog等多种告警方式。

必选可定制

提供产品定制开发书面承诺，并加盖产品原厂商公章

应急处置

SOAR（安全编排、自动化与响应）

插件化

支持自动化分析和响应处置的剧本编排，内置剧本编排所需的Python脚本执行组件、定时任务组件、人工审核组件、威胁情报组件、威胁告警组件、各类安全设备/网络设备（如防火墙/WAF/流量探针/防病毒系统/EDR/桌管/蜜罐/VPN/漏洞扫描器等，需根据厦航实际情况定制）组件。

必选可定制

提供产品定制开发书面承诺，并加盖产品原厂商公章

可拖拽

支持通过拖拽对各类组件进行可视化剧本编排。

必选

提供产品功能截图

剧本执行

支持自动执行、手动执行、定时执行等方式执行剧本任务，可查看剧本任务每个步骤的执行结果。

必选

提供产品功能截图

快速处置

支持在威胁告警界面直接调用SOAR剧本快速处置告警信息。

必选

提供产品功能截图

态势展示

大屏展示

插件化

支持大屏界面视图插件化，可自定义拖拽布局，位置可自由调整，所见即所得。

必选

提供产品功能截图

展示方式

界面视图支持柱形图、热力图、折线图、饼状图、玫瑰图、条形图、表格等展示方式。

必选

提供产品功能截图

自定义数据源

支持在web页面对大屏中的每个视图自定义配置数据源，并可对排序方法、TOP数量、跨度等属性进行配置。

必选

提供产品功能截图

下钻分析

支持从视图下钻查看具体事件、告警、资产等的详细信息。

必选

提供产品功能截图

态势报告

统计分析报告

支持自定义统计和分析报告模板，能在模板中嵌入统计视图和分析视图等，并能自动生成报表。

必选

提供产品功能截图

基础管理

资产管理

资产数据同步

支持对接厦航的主数据系统或资产信息管理系统获取资产信息。

必选可定制

提供产品定制开发书面承诺，并加盖产品原厂商公章

资产数据管理

支持资产属性字段自定义扩展以及资产信息的人工添加、编辑、删除、检索、导入导出等功能。

必选

提供产品功能截图

情报管理

威胁情报管理

a)支持建立威胁情报库，提供威胁信息管理的功能,包括威胁信息的添加、删除、编辑等。
b)威胁信息支持通过文件方式批量导入。

必选

提供产品功能截图

事件管理

事件管理

提供事件管理功能，对接厦航内部系统实现事件闭环跟踪流程管理。

必选可定制

提供产品定制开发书面承诺，并加盖产品原厂商公章

系统管理

系统部署

横向扩展

支持按需对不同组件或节点进行集群弹性扩展，在满足5TB/天或7万EPS（EPS为每秒日志处理条数）的数据采集处理能力情况下，可以进行不受许可限制的软硬件扩容。

必选

提供产品功能满足承诺函并加盖产品原厂商公章

集团化部署

支持集团化部署，建立总部到各分子公司的级联平台，实现上下级协同和联防联控。

必选

提供产品功能满足承诺函并加盖产品原厂商公章

自主可控

具有满足国家、民航业关于自主可控要求的软件系统版本，产品能够运行在以下环境中：
a) 服务器:使用鲲鹏芯片的服务器。
b) 操作系统:支持在麒麟操作系统上运行。
c) 数据库:支持在国产或开源数据库上运行。

必选

针对a)和b)需提供相关适配证书复印件并加盖产品原厂商公章；
针对c)项需提供系统架构图，在图中标识出使用到的数据库类型和版本，并加盖产品原厂商公章。

身份认证

身份认证

支持对接厦航单点登录系统。

必选可定制

提供产品定制开发书面承诺，并加盖产品原厂商公章

权限管理

组织架构导入

支持导入厦航的组织机构。

必选可定制

提供产品定制开发书面承诺，并加盖产品原厂商公章

功能权限

支持基于角色或用户分组（或组合方式实现）的权限设置，对功能页面进行访问权限控制。

必选

提供产品功能截图

数据权限

支持基于角色或用户分组（或组合方式实现）的权限设置，对日志数据进行权限管理，包括数据资源的查询和编辑等。

必选

提供产品功能截图

运维监控

系统监控

具备监测各节点和组件的健康运行状态的功能，支持点击下钻查看详情包括CPU、内存、磁盘的使用情况以及业务组件的关键运行指标。

必选

提供产品功能截图

异常告警

支持配置系统监控告警项，支持厦航IM、厦航邮件系统、企业微信等多种告警方式。

必选可定制

提供产品定制开发书面承诺，并加盖产品原厂商公章

备注：需求等级为“必选”的需求项须已在所投产品中实现，不接受定制；需求等级为“必选可定制”的需求项须在合同签订后4个月内完成相应功能的定制开发和部署。

本项目不接受联合体参与谈判。