深航终端检测与响应系统建设项目建设方案征集
******有限责任公司终端检测与响应系统建设项目,现由深航向社会公开征集项目建设方案。有意参与项目建设方案征集的供应商,请按照项目建设方案公开征集流程和项目建设目标完成项目建设方案的编写,并通过深航集中采购管理部公共邮箱向深航反馈项目建设方案。
一、项目名称
深航终端检测与响应系统建设项目
二、项目概述
1、项目背景
随着公司数字化转型的不断推进,各类业务信息系统日益复杂,网络攻击手段也随之不断升级和多样化。传统的安全防护措施,如防火墙和防病毒软件,已难以有效应对高级持续性威胁(APT)、勒索软件等新型攻击。终端检测与响应(Endpoint Detection and Response,下文简称:EDR)技术通过实时监控、检测和响应终端系统中的安全事件,能够迅速识别并应对这些高级威胁,保障企业的信息资产安全。
EDR技术代表了安全防护理念的重要转变:从“预防”到“检测”与“响应”。该技术能够及时发现异常并采取相应措施,将损害限制在可控范围内。因此,深航建设EDR系统,能够对各终端事件进行关联分析,还原整个攻击流程,并主动开展处置响应,从而减少终端安全风险,避免恶性终端安全事件的发生。
2、项目建设目标
深航计划于2025年启动终端EDR项目建设,旨在终端安全管控的基础上,进一步增强安全事件的检测、威胁遏制、事件调查及修复指导等能力,完善终端安全体系,构建纵深防御体系。项目将覆盖不少于1500个终端的EDR部署、安装及授权工作,全面提升终端安全防护水平,确保在风险发生时能够实现第一时间的识别和有效处置,达到防控目标。
三、项目业务需求
系统功能需求
|
EDR策略
|
基于性能和业务需求,可配置探针记录内容(文件、进程、网络、注册表、系统、脚本、UMH、WMI事件)的详细程度和规则检测范围。
|
|
支持细粒度的事件类型记录设置(包括文件、进程、网络、注册表、系统、脚本、UMH、WMI事件)与事件记录子类型(包括文件创建、文件打开、文件写入、文件更名、文件删除、进程伪装、动态链接库注入、PE文件注入、脚本注入、线程劫持等)。
|
|
支持细粒度的设置不需要的指定网络IP、网络协议、进程、文件、API调用进程等触发的事件。
|
|
EDR告警及调查溯源
|
支持IOC事件,指定时间,终端进行历史记录回溯扫描,帮助管理员溯源分析。
|
|
支持暴力破解、Shell反弹、WebShell、PowerShell、本地提权、文档漏洞利用等事件的专项统计。
|
|
支持勒索事件和挖矿事件的专项统计。
|
|
支持IOA告警的进程事件树自动绘制,并提供攻击上下文信息。
|
|
EDR威胁情报
|
具备IOC检测能力,支持的威胁类型包括但不限于:远控、钓鱼、僵尸网络、矿池地址、挖矿木马、勒索软件、窃密木马、远控木马、网络蠕虫、黑客工具、APT攻击事件、流氓推广及其他恶意软件。
|
|
IOC检测类型支持域名、URL、IP等威胁情报检测。
|
|
具备与威胁情报云端联动的机制。
|
|
EDR响应处置
|
支持网络封停自动化响应动作:支持配置自动响应的时间段,即生效周期和生效时间,支持设置封停时长。自动封停后的IP记录在封停列表,封停时长过后自动解封。
|
|
支持文件隔离自动化响应动作:支持配置自动响应的时间段,即生效周期和生效时间。自动隔离的文件记录在文件隔离列表,可解除隔离。
|
|
支持进程阻断自动化响应动作:针对自定义进程规则,支持配置进程阻断的自动化响应动作。
|
|
提供远程遏制终端给管理员,仅保留终端与服务器的连接。并支持配置遏制白名单,遏制白名单支持按IP、域名、进程名/进程全路径进行添加白名单。
|
|
EDR自定义规则
|
支持自定义合法登录规则:合法登录规则可以设置合法登录条件、应用主机范围。登录条件包含:登录IP范围、登录用户、登录时间范围、登录区域。
|
|
支持自定义可疑操作检测规则,支持配置shell命令内容匹配,支持正则表达式,并支持配置规则、应用范围。
|
|
支持自定义IOA进程检测规则:可创建自定义场景检测规则,规则包含:规则名称、风险等级、规则内容、规则描述、应用范围。
|
|
支持管理员自定义入侵检测白名单,可指定文件、IP、Domain、URL,并支持应用白名单至指定客户端范围。
|
|
支持管理员自定义失陷检测规则,可指定IP,SHA1,Domain,URL,当检测触发自定义失陷检测规则条件时,系统将自动触发失陷告警。
|
|
终端适配需求
|
客户端适配主流操作系统:
- :11、10、8、7
- V10、V10 SP1)
- (版本1020-1040)
|
|
报表管理
|
支持预定义报表及自定义报表,便于统计分析终端安全趋势与风险;支持自定义时间报表导出,导出方式至少支持Excel和PDF。
|
|
系统权限管理
|
系统具有为用户提供角色分配等管理权限功能,为不同角色设计对应的操作权限。
|
|
日志管理
|
日志需满足保留半年以上的要求,提供用户操作日志与系统运行日志,确保系统运行状况。
|
|
系统终端安全
|
具有双因子认证的能力、防暴力破解功能,以保证其登录身份合法有效,密码复杂程度校验。Web管理平台支持HTTPS身份认证通信加密方法。
|
|
平台保留扩展能力
|
可基于数据和日志接口,可根据需求开放能力接口与第三方平台系统联动对接,如终端软件安装资产数据信息的对接,安全日志、告警信息的对接。支持配置服务端总下载带宽,避免大量客户端同一时间从服务端更新,造成带宽拥堵。服务端支持IPv4+IPv6双栈协议部署。
|
四、项目非业务功能性需求
1、技术可控性要求
平台应具备自主知识产权,并且为国内品牌,采用行业内成熟、可靠且实用的技术方案。
2、易用性要求
(1)维护界面应简洁易用,能够在业务流程发生变化时,最大程度减少后台程序的开发工作,仅需通过前台配置即可完成相关调整。
(2)支持的语言版本:中文。
3、扩展性要求
(1)支持多种平台部署方式。
(2)平台应支持集群化部署,确保当性能或容量达到瓶颈时,在不改变平台整体架构的基础上,能够快速进行扩容。
(4)性能要求
EDR软件消耗终端系统内存不超过100MB。
五、技术支持和售后服务
1、系统技术服务标准要求,应根据故障级别采取差异化的故障修复策略。免费维护期自通过整体验收起算,软件、硬件为期三年。
|
等级
|
说明(根据具体项目定义)
|
响应时限
|
|
一级事件
|
如:整个系统处于瘫痪状态,完全无法运行,或者某个功能模块完全无法运行, 对业务连续性产生严重影响,同时无替代方案可选。
|
10分钟响应,30分钟评估问题解决时间,60分钟内恢复生产。
|
|
二级事件
|
如:系统核心功能不可用,或者性能出现严重问题,对业务连续性产生严重影响。
|
10分钟响应,60分钟评估问题解决时间,120分钟内恢复生产。
|
|
三级事件
|
如:系统非核心功能不可用,或者性能下降,对业务连续性影响较小,并有其他方案替代。
|
30分钟响应,120分钟评估问题解决时间,240分钟内恢复生产。
|
在系统上线后,要求供应商承担系统上线后的所有运维工作,主要包括检查系统上线运行情况,解答用户问题,建立问题跟踪记录,系统持续优化调整等。如需驻场服务,请说明服务内容和要求。
六、投资说明
1、开发团队要求:
- 项目经验要求:需要提供团队人员简历,说明团队人员项目经验。如,参与过的项目,就项目管理、需求、开发、测试、运维等相关能力进行说明。
- 团队成员:至少包括项目经理、技术负责人、实施工程师、安全服务工程师等。
- 结合项目建设方案,供应商需要说明基于方案的项目投资规模,具体如下:
- 如用到第三方软件或服务,包含第三方软件费用、服务等报价。
- 针对项目各项需求功能逐个按工作量和人员单价方式报价。
- 综合全部项目需求,汇总给出项目整体报价和建设团队人员规模(包括人员结构、单价、人数)。
- 报价模板详见附件《项目建设方案报价表.xlsx》。
3、项目周期:
项目合同签订日期起一年周期。
4、系统维保:
- 系统建设所涉及到的软件及硬件维保售后服务标准,硬件维保费为项目建设标的的8%,软件维保费为项目建设标的的10%。
- 系统所涉及到的软硬件维保期标准:软件、硬件维保为项目终验后三年免费。
七、供应商资质要求
最终的入围条件需要以招标公告中的招标文件为准
******有限责任公司供应商黑名单之列。
******集团禁止交易名单之列。
3、不在深航禁止交易企业名单之列。
4、具有独立签订合同的权利和承担民事责任的能力,近三年无违法和重大违规执业行为,无处罚记录。
5、具有良好的财务状况,能够开具增值税专用发票。
6、供应商具有ISO27001 或ISO9001或ISO20000认证。
7、报名供应商如为集成商,集成商须提供EDR厂商授权书。
8、报名供应商须针对在广东深圳具备安全管理、开发、实施和维护服务能力提供证明材料,包括但不限于承诺函或其他证明材料。
9、报名供应商须提供自2022年2月1日起至今,至少有1个EDR安全项目的实施案例,金额不低于50万,以合同关键页(合同首页、合同金额页、合同清单和签字盖章页)复印件为准。
八、方案提交要求
请供应商在2025年3月12日前向项目建设方案征集邮箱提供项目建设方案(含投资说明)。供应商提供的项目建设方案是深航对供应商能力考查的参考依据,请各位供应商认真地阅读理解征集方案相关要求,认真编制和审核项目建设方案及投资规模。建设方案中必须包括如下内容:
1、供应商资质;
2、公司规模(注册资金、人员规模等);
3、技术方案:含产品功能、系统架构、部署方式等;
4、测试方案:POC测试方案拟部署30个EDR,测试地点位于深圳总部基地数据中心;
5、部署周期:POC测试;
6、投资规模。
九、地址及联系方式
******有限责任公司。
2、电子邮件地址: ******,******
******有限责任公司信息管理部负责解释
特此公告。
附件:项目建设方案报价表
******有限责任公司
2025年3月3日
