医院桌面终端及服务器端安全防护采购和无线局域网更换采购项目采购需求书

医院桌面终端及服务器端安全防护采购和无线局域网更换采购项目采购需求书序号项目功能项具体参数1环境要求规格要求★产品应包含五年终端病毒防护与升级服务（其中昌安院区六年服务）服务期间提供病毒防护系统PC端最大授权5100个，服务器端最大授权600个，容器安全最大授权150个管理中心要求★单一管理控制中心可统一管理分别部署在Windows PC、Windows服务器、Linux服务器以及国产化服务器的客户端软件升级管理支持客户端的错峰升级，可根据实际情况控制客户端同时升级的最大数量，避免大量终端程序同时更新造成网络拥堵或I/O风暴，同时客户端升级更新不影响业务运行2威胁展示本地威胁展示1、支持全网风险展示，包括但不限于未处理的勒索病毒数量、高级威胁、暴力破解、僵尸网络、WebShell后门、高危漏洞及其各自影响的终端数量2、鉴于勒索病毒的恶劣影响，服务端需提供勒索病毒整体防护体系的入口，直观展示最近七天勒索病毒防护效果，包括已处置的勒索病毒数量、已阻止的勒索病毒行为次数、已阻止的未知进程操作次数、已阻止的暴力破解攻击次数3、提供上述第2点功能点产品截图证明并加盖原厂公章云端威胁分析 支持跳转链接至云端威胁情报中心，针对已发生的威胁提供详细的分析结果，包含威胁分析、网络行为、静态分析、分析环境和影响分析。

提供产品截图证明）3资产管理LDAP/AD域同步支持基于微软活动目录，通过LDAP协议将用户组织架构和用户信息同步到管理平台并进行自动分组影子终端发现支持按照扫描网段、扫描方式、扫描协议、扫描端口对终端进行扫描，及时发现尚未纳入管控的终端客户端管理支持终端客户端软件的启用禁用，统一重启和卸载客户端软件资产清点1. 支持全网视角的终端资产统一清点，便于帮助用户快速发现风险面清点信息包括操作系统、应用软件、监听端口和终端账户2. 支持全网视角的主机资产统一清点，客户端可采集主机基本信息，包括但不仅限于：操作系统、数据库、应用软件、监听端口、web站点、web应用、web框架和服务、系统账号、python包，支持以关键词搜索相关信息3. 支持资产登记功能，支持录入本终端所属责任人、责任人联系方式、邮箱、资产编号、资产位置信息，并可设置哪些为必填项，以便于进行终端资产管理4. 支持收集并展示单个终端的基本信息，包括：主机名、/离线状态、IPv4地址、MAC地址、操作系统、终端agent版本、病毒库版本、最近登录时间、最近登录的用户名；终端信息变更能自动更新5. 支持对系统账号信息进行梳理，了解账号权限分布概况以及风险账号分布情况，可按照隐藏账号、弱密码账号、可疑root权限账号、长期未使用账号、夜间登录、多IP登录进行账号分类查看，支持统计最近一年未修改密码的账户。

提供产品截图证明并加盖原厂公章）4风险评估漏洞检测1． 支持对服务器操作系统、linux web应用、中间件进行漏洞检测，并可在检测结果中进行多维度的筛选，筛选条件包括但不仅限于：漏洞名称、风险描述、影响范围等支持的web应用（linux）包括但不仅限于：ActiveMQ、Bash、Bind、cacti、Confluence、dedecms、django、Docker、ElasticSearch、FastJSON、Git、Glassfish、glibc、Hadoop、ImageMagick、Jackson、Jboss、Jenkins、Jetty、Jira、kernel、log4j、Memcached、MongoDB、mariadb、Mssql、MySQL、nodejs、OpenSSH、OpenSSL、PHP、phpMyAdmin、RabbitMQ、Redis、Samba、Shiro、Solr、Spark、Spring、Spring Security OAuth2、ssh（指sshd）、Struts、Sudo、supervisor、ThinkPHP、Tomcat、WebLogic、Webmin、WebSphere、Wget、Wildfly、wordpress、Zabbix、ZooKeeper。

2． 支持对全部主机，全部漏洞进行全局检测并可自定义漏洞扫描策略，进行漏洞作业的新建、编辑、删除和执行3． 支持对linux、windows系统的暴露面检出，并支持关联展示高暴露主机的漏洞、弱口令信息，快速梳理、定位高危脆弱性风险，辅助高危风险点聚焦支持对资产暴露面事件内容支持详情导出提供产品截图证明并加盖原厂公章）弱密码检测1． 支持对linux多种系统及应用进行弱密码检测，包括的类型有：rsync、sshd、subversion、redis、tomcat、mysqld mongodb、sftp、vsftpd支持对windows多种系统及应用进行弱密码检测，包括的类型有：rdp、tomcat、mysql、redis、rsync支持定时扫描并导出扫描结果2． 支持自定义配置弱密码字典、组合弱密码字典3． 支持非暴力破解登录的方式检测弱密码，弱密码检测过程中不会产生大量登录系统事件，对业务无影响基线检测1． 支持对指定主机、指定系统、指定应用进行基线检测，并导出基线检查结果支持的操作系统但不限于有：Ubuntu、Debian、CentOS、Red Hat Enterprise Linux、Windows2008/2012/2016/。

应用安全基线检查支持但不限于：Apache/MySQL/Nginx/Tomcat/IIS/Sqlserver2． 支持基于等保二级、三级标准做基线检测，并可基于等保标准自定义检测模板，包括自定义检测项、检测时间、需要检测的主机等支持设置定时执行周期3． 支持导出基线检测结果，报表中包含检查结果的所有数据，包括检查项信息，主机信息，检查结果，以及修复建议等热点漏洞支持根据当前时间线最火热、最新的漏洞情况，推送热点漏洞预警，实现一键风险自查，帮助掌握当前时间线最需要关注的漏洞情况支持展示漏洞介绍、影响版本、解决方案、本地影响主机范围，在外部紧急漏洞广泛爆发时辅助快速定位涉事资产提供产品截图证明并加盖原厂公章）5威胁检测及防御终端自保护1． 支持agent安装目录的文件保护，可以保护agent目录和文件实时监控驱动文件，可以保护agent的服务/进程/文件不被恶意删除，以免影响正常功能，导致用户的终端受到病毒入侵2． 支持禁止黑客工具启动，包含：冰刃、xuetr、ProcessHacker、PCHunter、火绒剑、Mimikatz的自启动，可以防止黑客攻击3． 支持客户端防卸载，客户端卸载需要输入密码才能卸载，避免非管理员卸载终端，造成终端安全真空。

勒索病毒专防1． 支持监控诱饵文件，诱饵文件可被实时监控，当勒索病毒对该文件进行修改或加密操作时进行拦截2． 支持用户直接对勒索病毒的家族名、病毒名、加密文件后缀名执行链接查询，可通过直接上传加密文件的方式确定勒索病毒类型，如果能解密可以提供必要的解密工具提供产品截图证明）3． 支持对勒索入侵的主流方式RDP暴破做全方位保护，包括RDP登录校验、RDP文件加白二次校验等功能提供产品截图证明）暴力破解检测统计单个攻击源及分布式攻击源的暴力破解检测，支持按照RDP、SMB和SSH类型进行封堵并自定义爆破阈值，可对封停时间进行自设置Windows智御1． 支持对Windows停更的系统提供专项防护，包括0day漏洞防护、文件防护、暴破入侵防护、系统脆弱点识别和风险端口封堵等多项核心功能提供产品截图证明）2． 支持基于应用、端口和账号的清点，可辅助客户进行已停更Windows系统的风险识别专杀通道具备强力专杀云端下发通道，支持在管理端批量下发强力专杀工具到内网各终端快速响应终端威胁提供产品截图证明）漏洞防护1． 支持主机侧入侵检测防护机制进行漏洞攻击防御2． 支持流行Windows高危漏洞的轻补丁内存级免疫防御，支持Windows补丁批量一键修复，无需重启主机或服务即可生效。

提供产品截图证明）3． 支持应用侧安全防护，支持检测的攻击类型包括但不限于：远程命令执行、反序列化、表达式注入、内存马、SQL注入、文件上传漏洞应包含应用攻击源、目IP，支持展示攻击次数、攻击载荷（攻击者IP、Payload、行为数据、检测点函数、漏洞详情、函数挂载点、堆栈信息等）、攻击请求信息（请求方法、请求参数、请求URL、请求头Header、请求内容等）、攻击请求包（应用路径、端口、类型、所属主机、应用运行命令等）提供产品界面截图）认证增强防护1． ▲支持为关键业务主机提供SSH远程登陆二次认证能力，有效缓解由弱口令脆弱性引发的安全风险，为主机安全加固工作提供响应闭环能力2． 提供上述第1点功能产品截图证明并加盖原厂公章入侵攻击检测及防护1． ▲具备终端侧系统层、应用层行为数据采集能力，数据采集面覆盖ATT&CK技术面超过160项数据覆盖面需提供第三方机构的证明材料）2． 支持采集记录文件操作事件、进程操作事件、网络连接、注册表操作、驱动加载等系统层应用层行为数据，对这类行为持续监测分析，对可疑的攻击行为提前研判3． 支持不同攻击阶段的主要攻击手法检测，对包括但不仅限于以下攻击手法精准检测，执行、持久化、权限提升、防御逃逸、凭证窃取、横向移动等攻击手法检测记录。

显示事件详情，展示攻击手法对应的高危操作和威胁实体提供攻击事件详情展示，包括操作行为、攻击手法、高危操作和威胁实体等）4． ▲支持以可视化形式展现攻击故事，提供可视化的进程树溯源，可直观看出攻击入口、相关操作行为、高危实体文件等信息，协助客户进行事件攻击溯源和研判分析5． 提供上述第4条功能证明材料6． 支持对攻击事件深度分析，展示每步关键进程相关的文件行为、域名访问行为、进程操作行为、命令行参数等攻击相关的关键行为，帮助用户快速了解攻击者操作，洞悉目的和危害面提供展示攻击操作行为的详情图）7． 支持基于终端侧采集记录的行为数据，对文件变更、进程变更、网络连接、DNS查询等多种行为，在全网中搜索命中指定条件的端点和行为，进行高级威胁的狩猎对全网终端发起威胁狩猎，挖掘潜伏攻击提供产品截图证明）8． 支持显示攻击事件命中的ATT&CK相关技术，并对此技术做简要说明便于用户了解攻击者的操作行为和目的，评估整体影响面9． 支持禁止黑客工具启动，包含：冰刃、xuetr、ProcessHacker、PCHunter、火绒剑、Mimikatz的自启动，可以防止黑客攻击（提供产品截图证明）网页防篡改1． 支持对关键目录、关键Web站点目录进行防护，并对异常篡改行为进行告警；2． 能根据不同的业务场景选择不同的防护模式，支持指定类型文件模式(白名单模式)和排除文件类型模式(黑名单模式)。

3． 支持监控模式和防护模式，能实时阻断异常篡改行为；（提供产品截图证明并加盖原厂公章）6可信安全行为偏离预警检测支持审计应用的网络、文件、进程行为，对应用行为进行学习建立行为基线，及时发现及告警偏离行为基线的可疑外联行为提供产品截图证明）事件告警支持可疑外联事件告警，告警信息包含事件详情、进程名、进程所属用户、进程路径、进程ID、进程哈希值、进程命令、进程树详情等7容器安全资产管理支持自动发现宿主机资产，包含主机信息，节点镜像信息，容器内相关进程，开放端口等基本情况；支持对资产进行可视化分类视图管理，自动清点并标识数据库、web业务等重点容器容器异常监控支持检测对容器运行。