序号

产品指标项

产品性能参数和要求

1.

★产品规格及模块要求

2U标准机架式设备；采用专用安全操作系统；系统具备4个千兆电口，4个千兆光口，内置12TB硬盘，raid5，可用空间8TB，内存16G。配置100个日志收集节点，具备资产管理、事件审计、告警管理、知识管理、报表管理等功能，三年质保。

2.

★审计范围

涵盖网络设备、安全设备、主机、数据库、中间件以及各种应用系统

3.

资产管理

系统具有资产管理的功能，能够将被管理IT资产进行分组、分域的统一维护。

系统提供基于资产的拓扑视图，可以显示资产之间的逻辑连接关系。系统可以按列表和拓扑两种模式显示资产拓扑节点【必须提供截图】；

在资产拓扑上选择每个资产节点，可查看资产的配置核查结果、性能监测信息、接口信息等【必须购买相应的配置核查、监控等模块】；

4.

日志采集

无需另外安装软件组件，管理中心即可通过 SNMP Trap、Syslog、ODBCJDBC、文件文件夹、WMI、FTP、SFTP、NetBIOS、OPSEC等多种方式完成日志收集功能；

可灵活定制不支持的数据源采集，而无须改动代码。

5.

日志传输和存储转发

支持加密压缩方式转发，定时转发【必须提供截图】。

6.

基于规则的事件关联分析

1） 系统具有基于规则的安全事件关联分析的能力，能够对不同的事件进行相关性分析，发掘潜在的信息；

2） 系统提供基于图形化方式的关联规则编辑器【必须提供截图】；

3） 所有事件字段都可参与关联；

4） 可实现逻辑关联，以及嵌套逻辑关联；

5） 在编辑规则条件的时候，可以针对事件属性引用规则、应用资产属性、引用资源、引用观察列表【必须提供截图】；

6） 可实现统计计数关联，能够设定一段时间内的事件发生次数的阈值，还能指定重复事件的属性特征【必须提供截图】；

7） 关联分析规则可导入导出；

8） 关联规则与日志源设备厂家无关，更换设备无需修改规则；

9） 关联规则可实时启用和停用；

10） 可支持观察列表，将关注的事件或字段保存至列表中供进一步使用规则关联分析，可分析长期事件。

11） 关联分析规则具备测试功能，分析师能够更方便地对新设计的关联规则进行模拟测试，以便调校规则的作用效果【必须提供截图】

12） 具有多级关联的能力，即一次关联后的事件可以跟其他事件再次关联，并不断的延展下去，二次关联，三次关联，四次关联，等等，深度不限

13） 根据需要结合应用场景，系统可重定义关联事件中一个或多个字段的值，比如某些原始事件触发了某一关联规则而产生新的关联事件，原本是一个自动不可干预的过程，关联事件重定义可以凭借安全专家经验，重定义及补全像事件类型、事件名称、摘要描述信息，起到修正、补正信息的作用【必须提供截图】

14） 关联分析规则具备灵活的时间窗口触发功能，不仅采用单位时间内发生多少此便触发的单一方式，还具备触发条件动态定义的功能

7.

网络故障诊断分析模块

系统能够可视化地展现一幅故障树，并标记出故障节点【必须提供截图】；

8.

风险评估

系统能够形象地展示出安全域的风险矩阵【必须提供风险矩阵截图】，从可能性和影响性两个角度标注安全域中资产风险的分布情况，通过风险矩阵法，指导管理员进行风险分析，采取相应的风险处置对策；

9.

告警管理

1） 告警动作支持告警重定义、弹出提示框、播放警示音、发送邮件、发送SNMP Trap、发送短信、执行命令脚本、设备联动、发送飞鸽传书、发送Syslog、设置观察列表等方式；

2） 告警内容可以自定义，可以根据日志的实际情况将参数传递给命令行脚本；

3） 用户可以对告警进行即席查询，导出查询结果；

4） 支持告警信息导入；

1） 系统允许管理员以告警统计策略的形式从各个维度进行告警信息进行统计分析；

2） 用户可自定义告警统计策略，并以树形结构进行组织，形成一棵告警统计策略树【必须提供截图】；

3） 告警统计策略的条件和时间段可自由设定；

4） 告警统计结果支持柱状图、饼图等形式的统计信息可视化展示；

5） 根据告警统计结果可直接钻取符合条件的告警信息；

10.

报表管理

1） 系统内置了资产、事件、监控、风险等报表报告；

2） 提供内置报表模板；

3） 支持按照天、月度、季度、年度等时间周期生成报表，，并支持邮件自动投递；

4） 支持在报表中以柱状图、曲线图、饼状图方式统计安全报警情况；

5） 支持报表报告的导出，导出的格式支持EXCEL、PDF、DOC、XML、HTML、RTF等，支持Office 2007格式；

6） 系统内置报表编辑器，可以自定义报表。

11.

知识管理

1） 系统提供开放的知识管理功能，内置了大量的安全知识，同时也允许用户在系统使用过程中不断丰富和完善。

2） 用户可以对所有的知识点进行基于关键字的全文检索，操作界面类似百度搜索或者Google搜索。

3） 系统预先建立的知识包括：案例库、漏洞库、事件分类库、字典库等；

4） 系统内置日志字典库，方便用户查询不同原始日志信息的错误ID号和详细描述信息

5） 内置Cisco PIX和交换机的事件编码知识库【必须提供截图】；

6） 内置Windows、Linux、Solaris、AIX操作系统的事件ID知识库【必须提供截图】；

7） 内置Oracle、SQL Server、MySQL、Informix、DB2数据库的事件编码知识库【必须提供截图】；

8） 能够查看系统内置的事件库中事件类型名称及其描述信息【必须提供截图】。

12.

预警管理模块

系统的预警分为内部预警和外部预警；系统具有预警的生命周期管理，预警信息的状态至少包括预备预警、正式预警和归档预警三种【必须提供截图证明能够分别查询三种状态的预警信息】。

13.

工单管理模块

管理员可以指定工单的优先级，可以选择采用短信或者邮件方式通知处理人；可以指定工单处理的开始时间和结束时间，可以设定工单完成的时限；