子项目名称

项目需求

全流量威胁分析平台

功能要求：

1）采集目标区域的网络流量进行深度分析，运用威胁情报、规则引擎、机器学习等技术，精准发现网络中针对终端与服务器的已知高级网络攻击和未知新型网络攻击

2）支持从威胁情报、应用安全、系统安全的业务场景维度对告警进行攻击带外分析

3）支持邮件行为分析：支持邮件敏感词与敏感后缀发现，自定义敏感词与敏感后缀，并能进行邮箱白名单配置

4）支持登录行为分析：支持ssh、telnet、ftp、smb等常见协议特权账号登录行为分析，且能自定义特权账号,支持对http、pop3、smtp、Telnet、ftp、imap等协议弱口令分析，且能够自定义弱口令字典

5）支持告警全包分析：可基于告警数据进行全包数据取证分析并兼容wireshark过滤语法对全包数据进行查询

6）支持威胁狩猎分析：支持对任意线索的自定义拓线及溯源取证分析，支持对于给定线索的溯源结果展示，包括但不限于攻击溯源、失陷主机分析、暴力破解分析、弱口令分析等

7）支持与我司SOC系统对接，可通过API接口提供流量分析相关数据

资产测绘安全管理平台

功能需求：

1）管理范围

针对大地保险的互联网暴露面IT资产、数字资产（公众号/小程序）进行持续探测和风险扫描，以及风险验证和预警响应，对互联网上涉及大地保险的敏感信息泄露事件监控，覆盖开源社区、网盘、暗网、互联网文库，及时发现及时预警并协助处置。

2）数据采集

针对大地保险内外网主要区域的IT资产进行资产探测，资产数据采集，支持主动扫描、被动流量分析、第三方系统数据采集。采集对象包括但不局限于：服务器设备、网络交换设备、网络安全产品等。支持采集的资产数据包括不限于：IP地址、端口服务、主机名、MAC地址、Web指纹、框架和组件信息、Web入口、证书信息、漏洞风险、高危端口，以及业务属性和管理属性等。

3）数据识别

? 支持对有形和无形资产的识别。 

? 支持协议识别：支持TCP/IP、UDP协议、工业控制协议的识别等。

? 支持私有协议、非默认端口、自开发软硬件的识别能力，协议识别能力不少于1000种，默认端口识别能力不少于800种，软硬件识别能力不少于32万种。

4）关联分析

? 支持资产画像。

? 支持内外网资产关系的映射，支持将互联网暴露面资产和风险数据同步到内网平台，方便统一视角和统一管理。

? 支持与第三方数据的聚合、关联分析。

5）风险分析

? 支持基于POC的风险自动化验证能力，POC数量不少于4000个。

? 具备对己验证漏洞进行模拟利用的能力。

? 支持应急响应能力，包括两种场景：第一类是只有漏洞信息无漏洞验证脚本，第二类是有漏洞验证脚本。

6）动态监测

? 支持资产的动态监控，可标识资产及其风险的变更情况，包括增加、减少、变更等状态。

? 支持合规性监测：支持自定义资产状态监控策略，包括但不局限于重要IP资产被占用、重要IP资产离线、禁用端口/服务/软件/硬件、服务开放情况等；支持未修复违规和已修复违规展示。

7）管理功能

? 资产地图：支持按照常规的组织架构进行信息资产分类，例如各部门、各分公司资产统计展现；支持根据安全运营管理方式的需求，灵活定义资产的归属分类，例如互联网发布资产、DMZ 区资产、生产网络资产等；支持个性化需求下的资产管理分类，例如在网络安全攻防演习中区分标靶系统、集权类系统等类别资产，进行重点安全防御和监测。

? 资产属性：支持丰富的资产属性自定义、标签化管理，包括资产 IP、资产类型、实例名、组织归属、物理位置、设备明细、设备状态、责任人等。

? 自持处置：支持资产白名单功能，将虚拟 IP 等非实际信息资产进行屏蔽；支持资产认领工单流程，针对定期的资产扫描排查结果，可使用资产认领功能发起“无主资产”公示和认领，及时发现僵尸资产进行清理。

? 支持资产数据的多维度查询，支持报告报表方式导出。

? 支持多账号多权限，可以为不同角色赋予不同系统功能模块及数据权限。

? IP展示，支持自动化网络拓扑展示；支持IP资产占用情况矩阵化展示。

? 高级检索：支持基于关键字组合条件查询banner、header、title、body内容，并进行展示。

8）其他功能

? 支持与SOC系统对接，可通过API接口提供资产相关数据

? 支持基于大地保险场景需求的定制开发，如智慧运维平台等。

? 支持系统事件进行通知告警

? 系统具有开放性，支持指纹插件、漏洞POC插件、弱口令字典库的自定义。

? 支持第三方威胁情报信息同步，实现资产风险漏洞管理，支持漏洞POC验证。

其他要求：

需纳管私有云环境防火墙，能够对防火墙设备集中管理和策略优化，完成自动描绘网络拓扑及业务访问路径可视化，并能够对策略进行自动化生成和下发。