一、内容：一、项目基本情况1.原公告的采购项目编号：HNZBN********.原公告的采购项目名称：黄淮学院下一代数据中心与安全****网络安全运营中心建设3.首次公告日期：209月24.原投标截止(投标文件递交截止)：2010月19时00分（北京）二、更正信息1、更正事项：☑采购文件 2、原文件获取： 209月38时00分 - 2010月18时00分（北京）文件获取截止变更为：不变3、原开标：2010月19时00分（北京）开标变更为：2010月29时00分（北京）4、原采购信息内容********原谈判文件第三章采购需求“一、技术参数”中序号名称技术参数要求****网络安全运营中心一、安全运营服务1、提供不低于1名驻场安全工程师，驻场服务期限不低于；驻场人员需按国家法定工作日和学校作息在学校安全运营中心工作，节假日根据学校实际工作安排，持续现场保障；重大活动期间，提供7x24小时现场保障；驻场服务期间，按照学校要求提供工作日志和每日运营报告；驻场期间学校对驻场人员考核不达标或驻场人员能力无法担任安全运营工作的，学校有权要求供应商更换驻场人员，供应商应即时响应。2、提供不低于350个数据中心资产（IP）7x24小时安全托管服务。3、提供中国信息安全测评中心-cisp或教育部教育管理信息中心-ECSP认证证书培训，提供不少于3人次的培训服务，保证参加培训老师获得认证证书。4****网络安全周宣传所需展板、展架及其他所需材料，根据学校实际需求，按需提供，所产生的费用由中标人承担。5、提供不低于5****网络安全****网络安全专家以实名方式在运营支撑系统内完成各项服务动作，服务过程与成果记录****网络安全专家。6、系统内配置服务质量管理的各项质量指标要求，指标项应不少于 60 项，以指标项对项****网络安全专家进行评价，并在系统中提供专用的运营质量可视化管理功能。基于现场部署的安全运营支撑系统、流量安全监测引擎，以用户数据不离场的方式开展不低于3年期的持续性威胁检测和响应服务。7、****网络安全运营部分顺利交付及运****网络安全专家必须为厂商技术专家，提供****网络安全专家在安全领域资格认定证书辅证并加盖投标人公章。8、运营团队应分级、分角色且线上化、工作量化管理，角色包括：一线分析师、二线分析师、三线分析师、交付经理等，工作量化包括：提报事件数量、测试成果数量、处置告警数量、待确认告警、待处理事件任务、待确认资产、待认领任务等。1）资产管理服务1、提供资产梳理服务。分析师通过用户自主上报、原有台账核对、安全工具扫描等方****网资产进行全面探测、识别和梳理，协助用户建立资产管理台账，并将资产信息录入部署在用户现场的安全运营支撑系统，作为后续安全运营工作开展的基础。2、业务系统对象的梳理应至少包含资产对象类型、资产对象名称、资产组、更新、等保级别、责任主体、责任人、****网IP与服务端口****局****网IP与服务端口对应关系、关联基础资源对象等内容。3、基础资源对象的梳理应至少包含资产对象类型、资产对象名称、资产组、主机名称、更新、等保级别、责任主体****局****网IP与端口服务组对应关系、基础资源软件、关联业务系统对象等内容。4、具备资产、事件、漏洞的关联检索能力，可将资产的未整改漏洞、安全事件及各类扫描引擎结果进行关联，精细化管理资产对象的安全属性及相关安全状态。5、提供整合校内安全组件的能力，不限于WAF、IDS/IPS、日志审计等，实时监测CPU性能、内存性能、存储资源用量，可视化展示本周事件提报数、事件完成审核数、事件待审核数量、本周发出复测安排数量、本周完成复测数量、待执行复测数量。2）漏洞管理服务1、业务系统漏洞监测与测试成果可进行全生命周期管理，可结构化管理的漏洞数据信息包含但不限于漏洞名称、类型、相关单位、漏洞地址、复现步骤、提报人、业务系统名称、加固建议，发现等，分析师利用以上数据提供对漏洞闭环处置工作全流程、全阶段的支撑服务。2、基础资源漏洞扫描成果可进行全生命周期管理，可结构化管理的漏洞数据信息包含但不限于漏洞名称、漏洞级别、漏洞详细描述、修复建议、CVE编号、CNCVE编号、CNNVD编号、扫描、受影响资产系统名称、IP、处置状态等，分析师利用以上数据提供对漏洞闭环处置工作全流程、全阶段的支撑服务。3、提供每年不低于12次****网主机漏洞扫描服务，安全分析师基于漏洞扫描引擎，对用****网主机开展漏洞扫描和弱口令验证，发现可利用的安全漏洞。4、提供每年不低于12次针对校内业务系统的专项安全测试服务，安全分析师基于测试矩阵，对应用系统开展周期性专项安全测试，专项安全测试内容包括主流热点漏洞（如：SQL注入、弱口令、XSS等）和框架类漏洞（如：spring漏洞、struts2漏洞、ThinkPHP漏洞、java反序列化漏洞等）。5、专属的有效性验证团队在有效性验证矩阵指导下，通过在不同区域发起针对验证标靶的各类攻击****网络安全防御体系是否完整、检验运营规则的有效性以及安全设备检测能力的有效性。有效性验证成果报告通过邮件、短信、微信服务号及电话方式与管理员进行沟通处置，并支撑复验过程；在安全数据不离场的情况下，有效性验证的服务成果数据在安全服务设备中流转。6、提供热点漏洞持续监测服务，一旦发现最新披露的热点漏洞，分析师将立即开展热点漏洞测试，并将最新披露的热点漏洞纳入到周期性专项安全测试范围。3）安全事件管理服务1、分析过程记录。系统的记录字段应包含但不限于事件标题、事件级别、事件描述、标签、部门、推断发生、受影响资产、相关漏洞、可疑对象等，系统应可将威胁事件从检测、分析至处置的全过程保存为卷宗模式存储，确保安全动作可基于记录复盘。2、运营服务团队应通过聚合、清洗多源情报，提供可直接使用的有效情报进行威胁分析。应能****网络安全运营支撑平台对事件进行情报碰撞，提高事件检出率，并通过运营脚本驱动在事件分析过程中进行校验。3、运营服务团队应能够基于运营支撑系统构建运营脚本驱动安全运营人员依照分析流程开展安全运营工作，并具备对每个流程环节进行质量监控的能力。运营脚本要求能够根据不同的威胁事件类型进行针对性设计，细化威胁事件检测的确认过程及分析要点，将检测确认步骤拆分成固定任务，使安全运营人员能够依照运营脚本定义的威胁事件检测任务有序、有效完成威胁事件的检测及确认工作。4、在运营支撑系统内所维护的运营脚本中，具备对各种类型事件进行调查分析的标准化操作要求，并驱动分析师对每个调查环节进行质量监控。运营服务团队应具备使用 ATT&CK 方法编制安全运营脚本的能力，系统默认内置运营脚本不得少于100个，每个事件脚本中必须包含事件确诊、升级分析、危害扩线与溯源分析、闭环处置等各个阶段的运营动作规范。5、运营脚本应包括紧急、高、中、低等级别分类，支持根据业务场景创建、导入、导出、初始化脚本，创建脚本时提供脚本模板并可关联上下级模板。（提供产品功能界面截图证明，并加盖供应商公章****网暴露面管理服务1、使用分布式的资产监测引擎****网出口进行7×24小时监测，****网侧暴露的资产进行持续探****网资产发生变化时（如：IP新增、端口开放或关闭、指纹信息变更、服务协议变化等），运营支撑系统会对变化内容进行变更标记，调度客户现场分析师对该资产进行分析，确认资产变化为高危端口/服务后实时进行预警通告，同时调度支撑系统与分析师依据标准测试矩阵对变更资产实时进行专项安全测试，监测结果通过服务接口推送至综合安全运营项目现场部署的运营支撑系统服务工具****网络资产信息共同****网络安全资产台账，测试成果纳入漏洞全生命周期台账统一管理，依据相应的运营脚本驱动风险处置****网暴露面管理还应包括对敏感信息泄露的管理，如监测任务名称、监测关键词数量、关键词****网盘敏感信息数量、GitHub敏感信息****网暴露邮箱数量等。（提供产品功能界面截图证明，并加盖供应商公章）5）运营质量指标1、提供3年期威胁监测、事件分析处置服务，7*24小时安全监控服务。安全分析师实时处理告警信息，确诊安全事件，理清事件影响范围，所有分析出的安全事件在安全运营支撑系统中建立完整分析档案进行管理。2、运营质量指标至少包括服务项目事件平均定性时长(MTTA)、服务项目事件平均检出时长(MTTD)、任务执行及时率、告警判断的准确率、事件提报准确率、事件处置率等指标，所有指标必须在运营感知平台中以可视化形态进行展示。（提供产品功能界面截图证明，并加盖供应商公章）6）运营有效性验证通过在不同区域发起针对验证标靶的各类攻击****网络安全防御体系是否完整、检验运营规则的有效性以及安全设备检测能力的有效性。有效性验证成果报告通过邮件、短信、微信服务号及电话方式与管理员进行沟通处置，并支撑复验过程；在安全数据不离场的情况下，有效性验证的服务成果数据在服务设备中流转。7）服务交付标准《标准化安全运营运营实施方案与计划书》《标准化安全运营资产梳理矩阵》《标准化安全运营攻击事件告警》《标准化安全运营安全预警》《标准化安全运营验证记录》《标准化安全运营周报》《标准化安全运营月报》《标准化安全运营季报》《标准化安全运营年报》《标准化安全运营总结报告》二、安全运营管理平台支持软硬一体化形态和纯软件形态部署模式，支持集群部署，可扩展到多台设备集群。1、数据采集与存储        支持接入并管理日志采集器、流量采集器；支持Syslog、SNMP Trap、Netflow、JDBC、WMI、FTP、SFTP、agent****网络设备、安全设备、服务器等日志，并进行解析、范式化、预处理。提供智能分诊能力，达到告警的降噪目的。智能分诊模型支持分诊规则、加白分诊规则两种规则的创建，分诊规则支持配置过滤条件和配置过滤条件组，过滤内容包括：告警名称、首次告警、源IP、目的IP、源端口、目的端口、通信方向、攻击者等信息 ；智能分诊支持生效配置，包括：永久生效和自定义。（提供产品功能界面截图证明，并加盖供应商公章）2、威胁情报支持本地威胁情报的检索，检索类型支持域名、IP地址、文件MD5值；威胁情报内容支持IOC、攻击链阶段、置信度、类型描述、威胁家族、攻击事件/团伙、影响平台、情报状态、威胁描述等。支持云端威胁情报查询，查询包含：IP主机信息、IP位置、域名流行度、情报IOC、相关样本、可视化分析、域名解析记录、域名注册信息、关联域名、数字证书等信息。为提高学校APT攻击发现能力，需要产品制造商提供至少10份以上公开发布的APT报告作为证明。3、资产管理        支持管理****网站资产，主机资产包括不限于****网络设备、安全设备、应用系统等类型****网站资产。支持DHCP场景下的资产管理，支持****网段范围、DHCP租期、资产唯一标识等属性进行配置。支持查看DHCP场景下资产IP的变更记录（提供产品功能界面截图证明，并加盖供应商公章）4、威胁预警        ****网络安全事件（如******** 漏洞）进行威胁预警****网络安全事件生成威胁预警包，通过系统自动升级的方式分发给平台用户。也支持通过导入威胁预警包并启动威胁预警****网络安全事件的影响面评估和分析。（提供产品功能界面截图证明，并加盖供应商公章）支持根据风险资产数量统计自定义关键点节点条件，比如大面积爆发、有效控制、威胁缓解等。支持事态扩散过程发展趋势图的展示及详细告警列表及告警信息展示。（提供产品功能界面截图证明，并加盖投标人公章）支持与学校现有****网资产监测系统进行无缝对接，实时同****网资产测绘情况及相关威胁情报预警，由此产生的费用由供应商承担。（提供对接承诺函并加盖供应商公章）5、脆弱性管理支持导入第三方漏洞扫描报告，至少支持绿盟、启明、奇安信、天融信、Tenable等漏扫报告的解析识别和导入管理。（提供产品功能界面截图证明，并加盖供应商公章）支持与学校现有WEB智能监控系统进行无缝对接，实时同步学校Web应用的漏洞监测情况，及时全面发现学校Web应用风险，及时进行整改加固。由此产生的费用由供应商承担。（提供对接承诺函并加盖供应商公章）6、威胁检测        预置关联规则覆盖第三方日志源，包括但不限于防火墙、防毒墙、IPS（IDS）、WAF、服务器、VPN等；支持自定义关联规则，支持类VISIO的图形化连线拖拽的交互配置方式而非编辑逻辑语法树配置方式；提供1100+条预置规则；支持日志关联规则建模，在指定的范围内，能够对来自不同数据源的日志进行关联分析，以发现可信度更高的威胁告警；（提供产品功能界面截图证明，并加盖供应商公章）预置的关联规则分析场景，包括但不限于：攻击利用、恶意软件、拒绝服务、异常事件、内容安全、信息收集、威胁活动、情报命中等场景的分析；预置关联规则支持展示覆盖ATT&CK矩阵情况，支持通过告警关联到ATT&CK知识库7、告警分析        支持场景化分析能力，专题展示不同场景下的安全风险。支持异地账号登录、暴力破解、明文密码泄露、弱口令、VPN登录地域分布、VPN账号登录行为、邮件威胁分析、邮件敏感关键词、邮件敏感后缀等专题场景化分析及信息展示。8、事件调查        支持事件调查管理，支持查看事件详情信息及事件调查处置的轴信息；事件详情包括事件概览、受影响资产，ATT&CK战术，攻击技术及攻击者信息列表，关键攻击痕迹，证据库（包含：告警、资产及脆弱性、添加的证据截图及描述信息等）、处置建议。支持在证据库-告警列表页面进行告警搜索过滤，支持在证据库-资产列表页面进行资产搜索过滤。（提供产品功能界面截图证明，并加盖供应商公章）9、工单响应        支持通过工单形式通知告警、漏洞、弱口令及配置核查，通知方式包括邮件、短信、企业微信、专用通讯工具；工单状态包含待下发、待处置、处置中、已处置、已完成、已撤销，支持对工单状态的跟踪；工单支持SLA（服务等级协议），支持对工单SLA要求进行设置，SLA超期支持通知提醒。（提供产品功能界面截图证明，并加盖供应商公章）提供工单专用及时通讯工具平台（非微信、钉钉、QQ****网应用）免费使用，方便及时沟通威胁告警信息，避免学校敏感信息泄露，要求平台能支持信息加密。10、联动处置支持与学校****网行为管理等设备进行协同对接及联动处置，可直接在本平台下发封堵的处置策略，由此产生的费用由供应商提供。11、态势大屏展示支持态势大屏，包括资产风****网脆弱性态势、外部威****网威胁态势、安全运营态势、威胁预警态势等可视化大屏。支持与学校现有使用的校内舆情监测系统对接，为学校提供智慧校园整体安全态势展示，由此产生的费用由供应商承担。（提供对接承诺函并加盖供应商公章）12、系统管理支持双因子认证方式登录系统，认证方式支持短信和邮箱，支持对登录的并发会话数的设置，限制同时登陆系统的用户数量。支持对接威胁情报平台，实现对可疑IP、域名、URL的情报鉴定。（提供产品功能界面截图证明，并加盖供应商公章）

本招标项目仅供正式会员查阅，您的权限不能浏览详细信息,请点击注册/登录，联系工作人员办理入网升级。
联系人：刘欣
电话：010-68809590
手机：13522553206（欢迎拨打手机/微信同号）
邮箱：kefu@bidnews.cn