威胁溯源系统技术需求和评标标准

威胁溯源系统技术需求和评标标准第一章技术需求

一、项目总体情况按照我国《网络安全法》中提出对于能源、金融等重要行业和领域在等保的基础上进行重点保护，构建监测分析平台，加强对威胁的监测能力；《“十三五”国家信息规划》中提出建设网络安全威胁监测处置平台，加强网络安全信息共享；等保

2.0规范明确提出测评需应用“威胁情报检测系统”，二级、三级、四级要求企业或单位需部署“威胁情报检测系统”，三级、四级要求引入威胁情报库，并需要升级到最新版本在网络安全建设中，威胁情报赋能的威胁溯源系统已经成为网络安全建设的不可或缺的重要部分根据国家网络安全法以及网络安全等级保护条例的相关要求，结合当前网络安全形势分析，传统安全解决方案不断受到挑战传统边界防护设备在防御常见威胁上起到了一定作用，但不能对攻击行为进行全面分析及定位溯源，因此如何实现快速的针对攻击进行检测和响应已经成为我局网络安全的主要建设方向需要建立在新的网络威胁形势下的平台来监测和发现网络中的威胁攻击行为并定位基于精准攻击威胁情报，实时监测溯源针对我局各种网络攻击行为，降低边界攻击强度，节省分析研判成本，提升安全防护工作效率通过威胁情报系统进行威胁溯源，构建我局网络安全事件威胁溯源能力，加强我局网络安全建设

二、采购内容威胁溯源软硬件平台1个，包含三年威胁感知模块订阅服务，三年免费升级及原厂质保，三年重要时期保障服务，三年每季度巡检服务

三、设备技术指标项目实施要求

（一）项目实施流程

1.项目实施时间合同签订后，按照采购人提出的实施要求在规定时间内完成项目系统集成和实施税务信息化供应链安全管理承诺书国家税务总局江苏省税务局为确保国家税务总局江苏省税务局税务信息化供应链安全，我单位郑重承诺

1.配合开展背景审查工作遵守国家网络安全政策法规和税务机关各项网络安全规章制度，与局方签订保密协议，提交单位网络安全承诺书，项目实施人员及驻场人员提交个人网络安全承诺书及包括无犯罪记录证明在内的背景审查材料定期对聘用离职税务人员情况进行排查，建立相关资料档案，确保人员安全可信

2.设置网络安全负责人建立网络安全负责人制度，为本项目配备一名具备独立决策能力并保持相对稳定的负责人，在项目实施的全过程负责网络安全工作，组织落实各项网络安全要求

3.加强安全意识和技能考核项目实施前，确保对参与人员开展了网络和数据安全法律法规、税务系统网络和数据安全相关规定要求、安全技能、保密常识等方面的教育培训并考核合格；项目开展期间，配合局方检查我单位对项目参与人员开展相关安全培训、考核及警示教育情况，确保通过教育培训不断提高我单位项目参与人员的网络和数据安全意识及保密意识

4.及时报告重大事项及时向局方报告我单位发生的可能影响网络安全的重大事项，包括负责人及重要工作人员变更、业务转型、合并重组、投资并购等

5.建立应急响应机制项目开发建设前，我单位将编制并提交基于项目场景的供应链安全事件应急响应预案，明确相关职责和应急处置流程；根据应急响应预案定期进行应急演练；配合局方定期检查我单位开展应急演练的记录等情况，确保快速有效处置供应链安全事件

6.开发场所安全管理配合局方核查我单位的软件研发工作场所及开发测试环境，保证搭建专用的开发测试环境，配置安全可信的开发管理工具，设置可靠的权限管理策略，确保项目研发安全可控、开发场所安全可控可信

7.局方开发环境安全管理在局方开展软件开发测试工作的现场工作人员，将严格遵守局方供应链厂商管理规范，未经批准不使用自带电脑和移动存储介质，不变更办公场所和办公设备，不安装非必要的应用程序和组件，不擅自复制、使用和修改文档、数据以及其他开发测试资料

8.产品和服务安全管理我单位提供的产品及服务满足国家认可的网络安全规范和认证要求，我单位负责的定制开发软件将配合局方开展网络安全“三同步”测评，我单位在项目中使用的重要供应链产品将按照局方要求形成供应链产品清单提交局方审核

9.第三方组件安全管理我单位将在局方统一管理下定期对提供的产品进行安全风险评估和漏洞扫描，做好漏洞评估、漏洞修复和版本升级工作，形成第三方组件（含自行开发且多项目共用的基础框架及组件）清单和安全分析报告，及时更新第三方组件相关信息并报送局方我单位将采取有效措施保障第三方组件安全，原则上禁用存在高风险隐患或已停止维护的第三方组件我单位确保产品中使用的开源代码符合开源许可协议要求

10.代码平台安全管理项目开发建设时，如需设立代码管理平台，我单位将配置独立的、不与互联网连接的内部代码管理平台，搭建具备权限管控功能的统一版本控制系统，将全部源代码纳入管理，并制定安全编码规范，严禁开发人员未经授权或越权访问和违规开发我单位将配合局方开展安全审查，严禁将源代码上传第三方平台，严禁使用互联网代码托管平台，防止代码泄露和后门植入

11.源代码安全自查我单位将设置专用代码审计场所，采用工具与人工核查相结合的方式开展工作，形成源代码审计报告提交局方我单位将采取必要的手段确保源代码不外泄，对审计中发现的问题及时解决

12.测试数据安全管控为保障测试数据安全，我单位将明确脱敏字段需求，规范测试数据使用权限，切断数据拷出途径，根据局方规定申请用于测试的税务脱敏数据，并确保测试数据安全

13.安全“三同步”管理应用系统开发上线前，我单位将配合局方安全管理要求，形成供应链产品清单、第三方组件使用清单、源代码审计报告等相关内容，汇总至系统安全“三同步”材料一并提交局方审核

14.权限和数据安全管理我单位工作人员遵从局方最小化授权要求，按照工作所需向局方提前申请各类账户，不试图获取超范围权限，获得批准后使用我单位工作人员遵从局方运维规范，未经同意不擅自访问、修改或删除税费数据，不私自截留涉税相关数据，不变更涉税相关数据用途、用法，不公开、转让或向第三方提供涉税相关数据，配合局方做好税费数据操作全程记录和留痕工作

15.基础设施安全管理我单位工作人员遵从局方日常运维行为安全管理要求，未经局方批准不进入基础设施场地，未经授权不访问、维护、维修基础设施，运维期间不携带个人电脑、U盘、未授权软件安装包等工具，不向第三方提供基础设施场地设计图、设备部署图等有关信息16•风险隐患管理我单位将及时向局方报告发现的网络安全漏洞、缺陷、数据泄露或其他重大网络安全风险，不公开或向第三方提供我单位将定期检查所使用产品及第三方组件，存在高危漏洞的及时通过限制访问、更新补丁、版本升级、设备防护等措施进行加固处置；对于停止维护的产品及第三方组件，评估是否存在高危漏洞，如存在无法修复的高危漏洞，将考虑升级版本或更换产品及第三方组件

17.自查报告要求我单位将配合局方严格落实供应链厂商在风险控制、审计巡查、应急处置等方面的工作要求，根据各项要求的落实情况，撰写年度供应链安全自查报告并提交给局方

18.履约履职要求我单位将严格遵守采购合同、项目采购需求说明书、协议、承诺书等文件中的安全相关条款，若履行网络安全责任不到位、造成安全事件或产生不良影响的行为，依照相应条款处理

19.安全审查要求我单位按照《网络安全审查办法》的要求，承诺不利用提供产品和服务的便利条件非法获取数据、非法控制和操纵设备，无正当理由不中断产品供应或必要的技术支持服务等，否则依照法律规定处理

20.项目验收要求我单位将落实局方供应链安全管理各项规定，按照国家相关法律法规开展安全审查、安全评估、渗透测试等，并将落实情况作为项目验收材料提交局方审核我单位承诺遵守相关法律法规及本承诺书有关规定若违反相关规定，贵单位有权对我单位及工作人员的违规违纪行为按签订合同、协议、承诺书等相关条款进行处理涉嫌违法犯罪的移交有关部门依照相应法律法规处理承诺单位（公章）日期:

2.设备到货与验收在采购人指定的时间及地点提供产品的交货投标人负责在双方确认的到货周期内，将合同所属设备发至合同指定地点设备到货初始验收由投标人和采购人共同完成，采购人和投标人按项目实施计划进行设备到货、点验、开机加电、安装、调试、测试等，运行正常后进行验收按标书要求对设备的型号、规格、数量、外型、包装及资料、文件（如装箱单、保修单、随箱介质等）的验收设备到货初始验收时发现产品损坏、数量不全、型号规格不符等问题，投标人应及时解决

3.实施方案投标人根据本项目建设目标要求，根据具体特点和进度要求制定有针对性的《项目实施方案》，方案涵盖实施流程、工作重难点分析、进度安排、人员配置等，方案应完整、详细、科学、合理、可操作性强，能确保系统安全正常运行，完成各项指标要求根据本项目涉及的硬件设备和采购人环境编制可行的《应急响应方案》，方案应包括重大事件响应机制、节假日保障机制、安全威胁应对机制等，方案应完整、科学可行，能确保应急突发第一时间响应，确保系统安全正常运行，并协助采购人进行应急演练

4.设备上架安装调试设备到货验收完成后，投标人在采购方技术人员的监督指导下，将设备部署到指定机房指定位置，做好设备安装、加固、接地等工作在双方确认详尽的安装项目方案和实施时间后，投标人安排具有丰富经验的项目施工人员按时抵达安装现场，进行设备的安装和调试工作本项目由投标人统一供货并负责系统集成，并提供项目集成所需的所有辅材

5.实施培训在项目实施过程中，通过对采购方指定的技术人员进行现场培训，使采购方技术人员对设备系统和策略配置有详细了解，熟悉设备操作方法，从而能够快捷的维护设备日常运行，解决设备使用中的一般故障，还能根据采购方网络等需求的变化，对产品配置进行一定的调整，从而保证设备长期稳定运行

（二）项目实施原则为保障项目的顺利实施，在项目实施过程应遵循以下原则

1.政策性原则在系统的设计和建设中，投标方应深刻理解和遵从国家和税务部门的相关法规、标准

2.规范性原则投标人应采用项目管理方法，按照采购人的要求在人员、质量和时间进度等方面进行严格管控

3.完整性原则投标人应按照招标方的要求，保证实施内容、实施流程的完整性，保证实施过程科学完整

4.保密性原则在进行集成和实施过程中，投标人及实施工作人员应按照采购人的要求签署相关的保密协议，采取严格的管理措施，确保实施中涉及到的任何信息，不会泄露给第三方单位或个人，或利用这些信息损害采购人利益

5.最小影响原则投标人在实施过程中，应充分考虑项目实施对目标系统的正常运行可能产生的不利影响，并采取必要的措施将风险降到最低

（三）项目管理和人员要求采购人负责监督和管理整个项目的实施投标方安排工程师现场服务，项目经理至少具有3年以上的威胁溯源系统调试和处理相关问题经验，对服务范围内规定的功能和策略配置非常了解，并具有解决一般性问题及突发性事件的能力投标人应充分理解本项目的技术及实施复杂度，组建相应的专职技术及项目团队，参与本项目的各类人员应具备相应的技术及项目管理能力

四、项目验收

（一）总体要求

1、验收工作由采购人组织实施，由采购人、投标人共同完成

2、投标人提供的各类文档应内容完整、描述清晰、版本最新，各类方案要求实现目标明确、工作措施得力、可操作性强、具有前瞻性

3、对验收中发现的问题，投标人应提出有效解决办法和措施，经采购人确

（二）项目最终验收

1、项目最终验收由采购人、投标人共同完成

2、投标人保质保量、按整体解决方案如期完成工作，实现系统的成功上线

3、投标人应按照采购人要求，移交本项目实施过程中的各类文档，包含但不限于下述文档，如设备安装、运行、使用、测试、诊断和维修的技术文件；相关系统配置文档；设备的安装指南；项目实施方案、应急服务方案和项目实施过程中需要归档的其它文档并经过采购人验收签字

五、技术支持与售后服务

（一）质保期本次合同签订后质保期限为三年

（二）服务要求

1、本次项目成交投标人中标后需提供产品进行测试，测试通过后方可签订合同，如在测试中发现提供的产品与招标要求及投标方案内容不符的，所有后果由投标人自行承担

2、投标人应承诺系统出现故障后2小时内到场维护解决（需提供满足本项要求的承诺函盖章原件）

3、投标人应承诺中标后提供威胁溯源系统原厂商的授权书

4、投标人应承诺重保期间提供1人的现场监测保障服务

六、付款方式签订合同且乙方提供发票，系统安装部署完成经由甲方验收合格后，乙方向甲方提交申请，支付合同总价的100%乙方需要向甲方提供履约保证金（合同总价的5%）,3年质保服务、3年威胁感知模块订阅服务、3年季度巡检服务和3年重保驻场服务验收合格后退还履约保证金第二章评标标准参数序号参数细类具体参数大类处理能力从镜像端口自动采集流量进行分析和检测，检测功1处理性能能全部开启，处理能力要求28000Mbps,设备告警数据存储周期21年支持常见协议识别并完整还原网络流量支持以下流量采集及协议HTTP、DNS、FTP、SMTP、SMB、TELNET、Redis、MongoDB2分析CouchDB Membase、ORACLEMYSQLMSSQL、DB

2、流量SYBASE、POSTGRESQL、POP

3、IMAP、SNMP、NFS等采集支持开启全流量记录，对流量全部记录和存储，包括源IP、源支持全流量记录端口、目的IP、目的端口、传输内容Data字段支持对全流量进和PCAP包的3行存储，能够至少保存7天的全流量数据飞并能在界面中展示全流存取量的内容支持开启记录pcap功能，能够对所有流量进行pcap记录，pcap记录应包含前后1分钟的数据包上下文，方便追踪和溯源通过客户流量的监听及分析，自动化形成攻击链，并识别攻击自动化判断攻击4阶段并能够从攻击链的侦查、漏洞尝试、控制、内网渗透的等几阶段个阶段识别对应的攻击方式通过情报命中、规则检测、深度学习模型的匹配等，准确发现失陷主机与被控端的连接，精准定位感染僵木蠕，勒索病毒，和遭5失陷主机检测受APT攻击的失陷主机，以及主机对外攻击、挖矿、数据窃取等恶意行为6黑客常用工具的支持检测黑客常用工具包括:IASP、PHP、ASPX、JSP检测等类型的Webshell检测；代理穿透工具，包括http代理、tcp代理、frp nclex、socks reDuhTunnel Tunna等；扫描工具，包括AWS、Nmap、御剑等通过流量分析，能够判断攻击者是否为针对性攻击能够获取7针对性攻击判定攻击者的地理位置，IP等信息，并给出在威胁情报中对应的情报信息威胁感知提供直观的内网渗透攻击图，清晰展示内网主机间攻击方向和攻击手法，便于定位攻击源头和受影响的主机，以利于全面掌握内8内网渗透分析网渗透威胁态势能够从攻击者、受害者和攻击手法进行下钻分析，展示攻击告警列表、攻击详细内容、告警日志JSON原始请求日志（request、response）PCAP等将所有系统检测到的攻击IP,通过威胁情报，历史攻击访问行为，云端共享数据等，综合计算攻击者特征，提供给安全运营团队在日常安全运营和重保防御过程中进行调查，分析指标包括攻击活9攻击者画像分析跃度、攻击水平、针对性分析、掌握资产、攻击/访问占比、攻击特征、基于攻击链的攻击手法分析、攻击者能力雷达模型、User-agent、攻击使用cookie等；同时提供云端共享的攻击者情报，供运营人员了整体攻击者概况，包括攻击同行业事件、关联攻击IP等能够以攻击者视角以时间线的方式对事件进行描述，包含事件中的报警时间、等级、类型、原因、地理位置、报警失败或成功攻击者视角告警包含完成的双向数据包，包含http所有类型请求（GET、POST、10分析HEAD、CONNECT等）和返回内容支持告警的深度行为分析，行为包括DNS解析行为、TCP/UDP交互行为、WEB访问行为、传输文件行为支持检测失陷主支持检测失陷主机是否连通，是否传输数据，并能记录传输数11机连通性据大小及传输内容支持重保攻击的独立监控，对重保攻击IP进行共享，并监控重支持重保防御和12保IP的所有登录、攻击、反连行为，能够对攻击者信息进行自动化自动化溯源搜集，并进行自动化溯源，追踪到关联人员支持对全部流量进行检索，包括异常报文、WEB访问、文件支持网络日志检传输、登录动作、数据库操作、可疑行为等网络流量日志，并可基索和SQL语句13于流量方向、时间、IP、端口、URL、域名、协议、攻击结果、连检索追踪通与否等多重字段组合进行日志检索支持通过SQL搜索语句进行详细检索并能够采用多字段组合来进行日志检索生成视图调查支持告警日志检索，可基于时间、告警类型、流量方向、攻击14告警日志检索方式、攻击结果、来源/目的所属国、IP地址、上下行负载等多字段混合搜索支持对API的流量内容进行解析，识别API接口，对用户API支持API识别和资产进行实时清点全维度记录访问API的访问者信息记录访问者人15敏感信息泄露检数和访问次数记录访问人数及访问特征、频率、次数支持检测风险测记录API接口中包含个人隐私信息数据的传输行为并记录访问人数及访问特征、频率、次数可提供终端上的轻量级代理，用于采集终端数据，如进程、文提供终端代理工件、注册表等行为，自动联动本地检测中心进行终端恶意行为检测16具进行终端行为对网络上的告警，可结合告警机器的代理工具采集的日志信息和文分析件检测信息，定位告警的源头到进程粒度定位支持下发已检出威胁的恶意地址列表，通过Agent快速阻断终处置终端代理工具阻端对恶意域名的连接行为针对大规模流行的威胁，可通过Agent17断专杀能力内置的专杀模块进行一键查杀，支持选择在终端进行操作或通过平台下发查杀指令进行操作将检出的恶意网络资产IP、域名等信息定期同步给边界第三方18支持联动阻断防火墙设备，通过防火墙的API,或外部资源调用的方式，联动防火墙进行阻断支持与23主流品牌防火墙进行对接支持自定义黑白名单，对IP、域名等做过滤处理；可对检测规19黑白名单配置则、威胁情报、模型进行单条或组合的白名单策略产品支持与单位现有网络监测设备级联，进行威胁联动处置，级联支持与现有监测20将产品产生的安全日志等数据级联至现有监测设备，并在设备页面平台级联要求进行统一威胁展示（中标后七日内需进行设备级联对接测试）中标供应商存在以下情形的，视为未实质性响应本项目采购需求，甲方可根据实际情况对供应商予以处罚

1.相关均为实质性要求，不接受负偏离采购方有权要求供应商承诺其真实性，在合同签订前由甲方对技术参数、实际功能进行测试，如未通过实际测试的，将取消其供应商资格，甲方有权拒绝与其签订合同，并由其承担所有责任；

2.投标产品不满足技术参数等项目需求方案的，甲方有权拒绝与其签订合同，取消其供应商资格并由其承担所有责任；

3.由于投标人的原因未在规定的时间内签订合同的，甲方有权拒绝与其签订合同，取消其供应商资格并由其承担所有责任；

4.中标后未能提供原厂授权证明的，甲方有权拒绝与其签订合同，取消其供应商资格并由其承担所有责任；

5.无法按时供货交付的，甲方有权拒绝与其签订合同，取消其供应商资格并由其承担所有责任遵守税务信息化供应链安全管理的要求按照甲方关于加强税务信息化供应链安全管理工作的具体要求，作为信息化资源和服务提供的供应商，有义务保证所提供产品、服务和管理的安全性包括配合开展背景审查、设置网络安全负责人、加强安全意识和技能考核、及时报告重大事项、建立应急响应机制等承诺条款（详见承诺书）以上关于供应链管理的要求，参与投标方必须做出遵守承诺，未签署承诺书的视为无效投标。