服务器安全防护系统

项目名称:服务器安全防护系统

一、项目概况（采购标的）本项目为福建中医药大学附属第二人民医院针对院内的业务服器提供全防护的购项目

二、技术和服务要求

1.通过服务器客户端agent安全加固操作系统和应用，有效防御服务器端的黑客入侵，支持包括微隔离、病毒查杀、虚拟补丁、系统加固、攻击溯源等一体化服务器安全防护功能包括自动学习并梳理出对互联网暴露的服务器端口信息和内网端口访问情况，并提供端口处置；支持从服务器、进程维度监控分析进程外连情况，外连IP地址及域名，并提供告警；支持系统内核加固技术，对非法创建文件、非法更改系统设置、非法创建可执行文件、非法提权等恶意行为进行监控和防护；支持windows、linux、centos ubuntususe等主流操作系统，IIS、apache nginxkangle Weblogic等应用以及Vmware、Xen Hyper-V KVM虚拟化环境，本次要求提供不少于100个虚拟服务器客户端相关功能授权

2.要求产品具备良好的安全机制，具有自身安全保护措施，防止被非授权用户强行卸载、删除或修改；支持各功能组件间通过网络传输的数据进行保护，防止被非授权获取；支持自我防护技术，即使客户端被意外关闭，防护依然有效；产品管理控制中心登录除支持账号密码认证之外，应默认使用验证码混合校验登录,同时提供可选OTP令牌认证增强登录安全性；支持防端口扫描功能，且可设置单个IP请求时间范围、最大扫描端口数量、IP锁定事件等信息；所投产品需支持微蜜罐功能，且可设置返回文本信息以及监听端口；提供能够体现上述功能及配置选项的截图；

3.支持安全大屏功能，支持自定义图表、支持自定义标题进行灵活显示；管理控制中心无需Windows、Linux操作系统分开菜单展示，应统一汇总呈现全网所有主机的资产、风险、安全事件等信息；应能支持一次性完成任务下发、策略配置、日志分析等管理运维动作，不用分操作系统两次执行，减轻运维工作量；提供能够体现上述功能及配置选项的截图；

4.支持网内服务器主机发现功能，包括支持通过自动、手动的任务设置，对局域网内服务器的服务器进行扫描（支持ARP、Ping、Nmap扫描方式，并支持离线分析），并自动获取服务器相关信息，包括MAC地址、设备类型、未知主机IP、操作系统、发现方式、首次发现时间等信息；

5.支持主机资产信息全局展示与搜索，支持全量资产的关键字及语法搜索，支持检索的语法包括但不限于服务器资产类、进程资产类、账号资产类、软件应用类、web资产类、web服务类、web框架、数据库类、端口资产类、网络连接类、启动服务类、安装包类、计划任务类、环境变量类、内核类、类库资产类、注册表类、证书资产类进行检索；提供能够体现上述功能及配置选项的截图；

6.需支持关键字语法搜索支持至少5个搜索历史的保存，并支持将检索条件保存为快捷搜索项（至少保存20个以上）；支持对Windows、Linux主机资产进行界面统一汇总展示，应能够跨多种资产快速进行资产一键检索，支持跨多种资产快速进行服务器名称、服务器IP、操作系统、资产类型进行资产数量统计和筛选；应能对Windows Linux主机统一下发资产收集任务，支持手动收集和按照天、周、月进行定期自动收集，支持选择服务器、选择资产类型进行梳理；提供能够体现上述功能及配置选项的截图；

7.支持以列表的形式，统一列出Windows/Linux服务器基础信息，并在列表中对服务器的关键软硬件进行统计，包括但不限于CPU数、CPU核数、分区数、账户数、软件应用数、web站点数、web服务数、web框架数、数据库数、端口数、网络连接数、启动服务数、安装包数、计划任务数、环境变量数、内核模块数、证书数、注册表数、类库数等；

8.支持微隔离功能，包括支持五元组的主机防火墙，支持以IP/端口/协议/方向/域名/进程服务等条件实现对服务器的经典访问控制；支持设置端口的暴露控制规则，包括但不限于禁止/允许外网暴露、禁止/允许内网暴露等策略，并支持例外端口的添加；支持对服务器的进程外连控制进行规则设置，包括但不限于:禁止/允许进程外连外网、禁止/允许进程外连内网，并支持进程白名单和例外进程的设置；支持对主机进行一键隔离、一键禁止暴露外网、一键禁止暴露内网等快速应急操作；支持对服务器进程、端口的网络连接情况进行学习，通过学习生成白名单实现对非白名单内的IP流量进行监控阻断；提供能够体现上述功能及配置选项的截图；

9.支持统计总风险及各类风险数量，展示影响服务器信息通过各类图表展示风险项等级分布、安全评分趋势、风险项趋势、易受攻击服务器等相关统计信息，便于用户快速了解风险整体情况同时支持查看和配置模式，配置模式下支持图表布局；支持通过安全评分算法对风险分析扫描结果进行计算，获取当前服务器全局安全评分及评级，同时可查看具体的风险项情况及影响服务器数量；支持展示风险发现任务信息、结果概览信息、以及服务器维度、风险项维度的风险结果详情；提供能够体现上述功能及配置选项的截图；

10.支持病毒实时防护功能，提供自主研发的病毒引擎，并支持用户在本地查杀、控制中心查杀、云查杀三种查杀模式灵活切换支持Bitdefender、Clamav等开源杀毒引擎；支持通过连接互联网，利用最新的病毒库进行病毒扫描和查杀；所投产品自研引擎需具有丰富的格式识别和解析能力、支持PE和非PE病毒查杀,可完美修复被感染文件、能检测近十年的高危漏洞；需支持勒索病毒实时防护功能，并支持勒索诱饵防护、禁止删除原点设置、内核免疫设置等功能；支持例外设置功能，包括文件例外设置以及后缀例外设置文件例外需支持文件和目录路径例外设置、后缀例外需支持匹配文件扩展名的设置；

11.产品具备勒索病毒场景化防护能力，可在同一界面进行暴露面收敛、系统风险点排查、勒索加固防护、勒索病毒实时查杀等操作；内置勒索病毒防护策略模版，部署完成后，可通过一键策略下发的方式进行策略配置，降低运维难度；提供能够体现上述功能及配置选项的截图；

12.支持实时监控服务器上发生的无文件攻击（漏洞型攻击、灰色工具型攻击、潜伏型攻击）事件，并对无文件攻击事件进行加白、标记处置等操作；支持实时监控服务器上发生的无文件攻击，并以列表化展示包括发生时间、基本信息（进程路径、告警类型、规则ID、告警描述、规则描述、危险程度、规则描述、危险程度、主机IP、服务器名/别名、AgentID.操作系统）、静态说明（脚本路径、文件类型、文件大小、文件访问权限、文件MD

5、文件所属用户、文件所属用户组、最近访问时间、创建时间、修改时间）、进程信息（进程PID、进程HASH、进程所属用户、命令行参数、父进程名、父进程PID、父进程路径、父进程所属用户、进程树）、动态说明（进程、操作、操作对象）等；支持对无文件攻击事件进行加白、标记处置等操作；

13.支持00B带外攻击检测，并支持黑域名的添加与同步；支持基于行为分析,检测对外服务的远程命令执行漏洞利用行为，实现实时告警和追溯；提供能够体现上述功能及配置选项的截图；

14.支持反弹shell的威胁发现与检测，可对反弹shell事件进行进程阻断、加白等处置方式；支持查看反弹shell的详情，包括基本信息、连接进程信息、命令行信息，并以图形化的形式展示进程树信息，用于反弹shell的详细溯源；支持对提权行为的事件进行监控及检测，并对提权事件进行进程阻断、加白等处置方式；支持查看提权的详情，并以图形化的形式展示提权进程树信息，用于本地提权的溯源；

15.支持软件漏洞检测，支持对服务器的软件漏洞进行综合扫描，并可对扫描方式、扫描周期进行设置，并以报告的形式展示软件漏洞扫描结果，包括问题机器T0P

5、影响最多漏洞T0P5,漏洞发现趋势等；支持检测的漏洞不低于700个，集成虚拟补丁不低于6500个；支持对发现的漏洞进行“虚拟补丁”处置，防止漏洞被利用，“虚拟补丁”支持检测、防护两种模式切换；

16.支持虚拟补丁功能，支持提供在漏洞检测功能基础上，开启虚拟补丁防护功能虚拟补丁需与漏洞CVE编号关联，虚拟补丁防护可支持操作系统、web服务器、中间件、数据库、应用等类型漏洞防护；虚拟补丁功能应支持对Struts2远程命令执行漏洞、Weblogic反序列化漏洞、Log4j2远程代码执行漏洞等提供防护功能；支持一句话木马利用工具防护；支持对致远0A等常见应用的漏洞进行防护；

17.支持威胁监测，威胁总览包括支持以图形化的形式统计展示服务器受到的告警信息/可疑威胁、拦截事件，包括可疑威胁事件统计、可疑威胁分布、可疑威胁趋势以及具体的威胁事件列表；支持在事件列表的详情中，查看事件的基础信息、检测说明、动态攻击路径信息、资产等信息，并可在详情中以前后翻页的形式连续查看事件；支持以发现时间（时间段、自定义）、威胁等级、处置状态、事件ID、攻击IP、受害IP等全事件字段进行事件检索查询；支持对威胁进行日志调查，包括攻击者IP、受害者IP、进程主体等，并可自动跳转至日志分析界面进行调查；提供能够体现上述功能及配置选项的截图；

18.支持以攻击者视角、受害者视角展示恶意扫描的事件，包括服务器名称、负责人、所属部门、操作地址、最近发生时间、受害IP、攻击IP等信息，并可将事件加入黑名单或白名单.，还可对受害的IP进行防端口扫描、屏蔽扫描器等设置；支持以违规登录视角对异常登录行为进行监控及告警，并可查看违规登录的账号、来源IP、登录区域、服务器IP、操作系统等信息，并可进行登陆规则策略的设置和告警设置；支持以可疑登录的视角对可疑登录行为进行监控，包括登录IP、发现时间等信息，并可创建可疑登录的监控规则和例外规则；

19.提供文件防篡改的能力，支持对指定目录、指定文件的读取、写入、重命名、删除、执行、创建、链接等操作行为进行监控和防护；支持例外进程、例外路径进行防篡改白名单设置；提供对操作系统加固能力，针对修改系统可执行文件/引导文件/系统服务/注册表、创建〃等高风险文件、添加系统用户/加载非法驱动/劫持系统引导启动/窃取系统内存密码等高危操作进行加固拦截；加固支持对进程、文件加白，支持开监控模式；提供能够体现上述功能及配置选项的截图;

20.支持后续扩容容器镜像安全授权，为简化运维工作，提升运维效率，要求可实现与服务器安全同一控制台管理；包括支持主流的镜像仓库对接，包括但不限于以下主流镜像仓库AlibabaACR AwsECRBaiduyunCCRDockerHubDockerRegistry Harbor、HuaweiSWRJFrogArtifactory Quay和UCloud等；支持自定义敏感信息检测规则，检测内容包括文件名称、文件路径、文件内容、文件后缀正则匹配和精准匹配；需支持容器操作的访问控制，包含对指定目录,指定文件的操作控制；提供能够体现上述功能及配置选项的截图；

21.支持双因子认证功能，可绑定/解绑双因子认证密钥；支持提供站内信或邮件方式接收资产变更、风险发现、威胁监控、任务扫描、授权等消息、，并可对消息类型、接收方式、推送时间段、告警模式、威胁等级、处理状态、接收人等进行设置；支持提供子账号的管理，支持账号名称、账号角色、上级账户关联、归属人、手机号、邮箱、备注设置，并支持服务器的绑定；提供能够体现上述功能及配置选项的截图；

22.支持对Agent进行统一管理，包括Agent降级，Agent暂停，Agent异常重启，Agent安装的版本、可升级的版本占比情况进行统计，并可对Agent版本进行更新和同步，Agent性能保护；

23.支持对暴力登录系统的账号和IP进行自动发现并上报暴力破解入侵事件，并可对攻击的IP进行封停、解封、加白等操作；支持对操作系统、文件、软件中存在的后门进行检测，包括发现口寸间、后门名称、后门类型、风险等级、服务器名称、服务器IP、操作系统等，并可进行隔离、删除、加白、下载等操作，并提供后门的详情信息；提供能够体现上述功能及配置选项的截图；

24.支持各类日志、安全报表、资产报表、事件报表、功能状态报表的综合下载导出，并可根据实际情况对报表内容进行自定义导出；支持创建、生成并下载html或word版安全分析报表支持对报表任务及报表文件进行管理；支持创建周期报表任务，指定邮件接收系统根据设置自动生成日报、周报、月报html或word版安全分析报表支持对报表任务及报表文件进行管理；

25.产品具备“中华人民共和国公安部”颁发的虚拟化安全防护增强级销售许可资质；

26.为保证产品效果，要求产品近3年20192022,,至少有一年市场占有率达到中〜国私有云云工作负载安全市场份额排名前五，提供权威第三方机构的市场排名证明材料；。