安全服务需求

安全服务需求
一、网络安全防护功能
1.端口安全策略：实现对开放65535个端口的安全管理。

2. ★防暴力破解：支持针对网站服务器的远程登录暴力破解、数据库暴力破解实时拦截。

（提供截图证明）
3.ARP防火墙：拦截各种利用ARP进行欺骗、嗅探等恶意行为。

支持Windows操作系统，支持拦截网关欺骗和拦截本机对外ARP攻击。

二、系统安全防护功能
1.病毒查杀：对网页后门(WebShell)、二进制病毒进行查杀。

2.系统账号保护：能够禁止一般的帐号创建，针对帐号提权、帐号克隆等其他形式的新帐号创建操作也能够有效禁止。

支持Windows操作系统。

3. ★远程登录保护：通过阻止未授权用户的远程登录，为服务器提供实时、主动的远程登录保护功能。

（提供截图证明）
4. ★关键位置文件的保护：能够禁止对指定位置文件的操作，包括文件删除、读取等行为。

（提供截图证明）
三、网站安全防护功能
1.支持对网站漏洞（包括SQL注入、XSS漏洞等）、组件漏洞（包括struct2等）、应用漏洞的安全防护。

2.支持对文件上传、下载中的异常行为进行安全防护。

3.支持对WEB容器加载异常组件、调用敏感函数和执行命令行为的安全防护。

4.支持对网站管理后台的访问控制和保护。

5.支持对网站返回内容中的敏感信息（包括错误页面等）的安全保护。

6.支持对网站使用的WEB容器类型、第三方组件信息进行隐藏。

（提供截图证明）
7.提供网站群主机WEB防火墙的分布式安全管理平台，支持防护策略的模板设定、批量下发，支持防护日志的统一查询、展示。

四、安全加固功能
1.系统漏洞修复：Linux漏洞通过检测主机上的软件版本信息，与CVE官方漏洞库进行匹配，检测出存在漏洞软件并推送漏洞信息，提供漏洞补丁下载地址及修复建议；
2.系统账号优化：可发现识别操作系统弱口令、数据库弱口令、应用弱口令；可识别发现可以高权限账号、空密码账号、用户名和密码相同的账号，支持高危账号忽略、禁用、信任；提权帐号的产生，很可能是系统被入侵后黑客或者入侵者对系统帐号进行了修改，及时对提权账号进行检测识别并删除提权账号有利于保障主机安全；
3.应用程序风险配置优化：操作系统、Web容器、数据库、及其他应用的配置缺陷检测检测能力，及时进行缺陷修复加固有助于保障主机安全。

4.注册表优化：通过对系统注册表扫描并给出处理建议，优化注册表项，提高系统运行效率。

支持Windows操作系统。

五、安全基线检查
1.支持windows平台的安全基线检查。

包括账号管理、口令检测、授权、日志配置、IP协议安全配置、关闭远程桌面和共享文件夹的访问权限等。

2.支持Linux平台的安全基线检查。

包括：用户口令设置、限制用户su成root用户、root 用户超时自动注销、认证、bashshell、网络与服务加固和文件系统安全检查等。

3.支持包含中间件（IIS,Tomcat,Weblogic等）的安全基线检查。

六、集中日志收集功能
1.攻击数据：存储一年内所有的攻击日志，如：ARP攻击、文件目录保护、远程桌面保护、病毒防护等。

2.进程数据：存储一年内所有的进程日志，如:进程名称、进程地址、占用资源等。

协助用户发现异常的可疑进程，保护服务器安全。

3.WEB访问数据：存储一定期限内web访问的数据，包括目的地址、源地址、时间、协议、事件等，协助用户发现可以的访问。

4.日志数据：收集传输系统日志，构建行为模型与异常行为进行对比，发现可疑行为。

5.数据缓存：提供日志数据本地缓存功能，可存储因网络故障而无法发送的数据。

七、日志展现和查询
1、客户端界面展现：客户端提供防护日志模块，可在该模块查看日志。

2.web界面展现：客户端通过管理加密传输，将日志同步至管理平台，支持登入管理界面进行日志查看，日志传输速度≥9000条/秒。

3.可对日志进行模糊搜索查询，查询结果应显示符合条件的总的日志数量以及日志详情，日志检索速度≥1500万条/秒；
4.提供对日志数据的过滤存储功能，避免存储垃圾日志数据；支持对无用信息的自动合并，减少垃圾数据数量。

八、威胁分析
1. 攻击数据分析：计算识别持续性攻击事件，针对攻击事件类型、攻击IP、被攻击服务器IP和攻击手法提供统计分析和TOP排名，支持按照攻击时间、攻击者IP和服务器IP进行查询和统计分析。

（提供截图证明）
2.定向攻击分析：识别定向WEB扫描、定向渗透攻击和持续暴力破解三大类定向攻击事件，提供定向攻击源统计、最近30天定向攻击事件趋势和事件详情查询功能，并提供联动防御策略。

3.攻击源分析：从多个维度挖掘攻击者IP的地理信息、活跃度、攻击手法特征、攻击次数、攻击服务器范围等并进行画像分析和威胁程度排名，提供攻击IP风险分布图、攻击IP地理分布图、最近30天攻击IP列表和攻击IP电子档案功能。

4. 被入侵主机分析：检测分析出病毒木马、账号提权、敏感行为、异地登录和网页后门等类型的深层次入侵事件，提供当前被入侵主机概览、当前被入侵主机列表和处置历史记录功能，提供入侵详情功能，并可视化绘制服务器被入侵轨迹。

（提供截图证明）
九、安全策略
提供安全策略模板，支持安全策略模板查询、自定义新增和设置安全策略目标适用服务器范围。

十、安全监控
1.登录监控：监控服务器远程登录行为，提供常用登录城市、常用登录IP白名单机制，及时发现异常登录行并预警。

2.资源监控：监控服务器内存、CPU、磁盘、网络、进程对资源的消耗等。

根据用户设定的各指标的阈值，当超过阈值时，会以邮件或短信的方式进行通知。

3.进程监控：监控服务器进程，并基于云端的规则库、病毒特征库、异常行为库等互联网安全威胁情报数据度量执行程序的安全性，对非授权及不符合预期的执行进行预警提示。

4.性能监控：监控Apache、IIS、Ngnix、MySQL和MSSQLServer的并发连接数、吞吐量、响应时间、网络流量等性能指标。

5.可用性监控：支持监控Ping、FTP、HTTP、SMTP、UDP、TCP、DNS服务可用性。

十一、云端管理
1.批量安全配置扫描：对于分完组的服务器设备，可进行批量安全配置扫描。

2. 批量安全规则设置：对于分完组的服务器设备，可进行批量安全规则设置。

3.支持对公有云、私有云和混合云的跨云平台统一实施和管理。

十二、报表及告警功能
1.提供报表模板；支持按照天、月度、季度、年度等时间周期生成报表；支持在报表中以柱状图、曲线图、饼状图方式统计安全报警情况；
2.支持通过发送邮件、短信等方式进行告警；告警内容包含传输中断告警、风险漏洞告警、攻击威胁告警等；告警可以支持按日期、攻击类型、内容、攻击者IP、服务器IP等字段进行组合查询。

十三、7*24小时的托管式安全服务
7*24小时的托管式安全服务包括事前安全检测及加固、事中常态化安全监控、事后应急响应处理，为用户提供7*24小时的服务器和网站安全管理保障。

十四、商务资质
1.产品原厂商应为国家信息安全漏洞共享平台(CNVD)成员单位；提供证明材料
2.产品原厂商应为CNCERT省级网络安全应急服务支撑单位；提供证明材料
3.产品原厂商应具备国家颁发的国家网络与信息安全信息通报机制技术支持单位；提供证明材料；。