中国医学科学院医学实验动物研究所日志分析平台项目比价采购公告

中国医学科学院医学实验动物研究所日志分析平台采购项目进行比价采购，诚邀具备相应资质的供应商前来参加。

项目名称：中国医学科学院医学实验动物研究所日志分析平台采购项目

预算金额：25万元

采购内容：日志分析平台

一、采购品目：设备

二、采购需求概括：

需求参数

（一）供货范围

包括但不限于日志分析系统的供货、安装、调试、上线试运行，以及相关的服务支持（维护）、技术指导、培训及一年售后服务，并提供相应技术资料。

（二）交货时间与地点

合同生效后30个工作日内，在甲方指定地点完成软件供货、安装调试与实施工作。

（三）详细功能需求

1.日志分析系统需求

1）用户管理能力。

（1）能够对用户分组的权限角色设置，统一提供日志来源、告警、已存搜索、仪表盘、趋势图、自定义字典、字段提取规则、报表、定时任务等各种资源的权限控制功能；

（2）能够通过URL控制每个用户角色访问具体功能页面地址的权限；

（3）启用搜索时脱敏后，对没有敏感数据查看权限的查询结果自动进行脱敏处理。

2）日志采集能力。

（1）能够满足Windows、Linux操作系统性能（CPU、内存、磁盘容量、磁盘IO参数）的接入，系统日志的采集，网络设备支持Syslog日志采集，能够传输加密，能够代理转发；

（2）能够自动识别多行规则，能够自动识别字符编码，能够自动识别及自定义时间戳解析规则。

3）日志解析。

能够实现正则表达式，KV/XML/JSON自动解析，数值转化，URL解码，User Agent解析，时间戳识别，字段分拆，Syslog PRI解析，geo地理位置信息解析，固定电话归属地解析，手机号归属地解析，hex转换，字段脱敏配置，内容替换，新增扩展字段，自定义字典，结构体解析，重定向，scipt脚本解析，dissect解析，extract正则解析，base64解码，时间生成，事件统计，流式统计。

4）可视化展示。

（1）能够自定义图形能够以饼图、条带图、折线图、区域图、柱状图、散点图、单值图、区线图、和弦图、迷你图、桑基图、玫瑰图、力引导图、和弦图、循序图、旭日图、雷达图、漏斗图、矩阵热力图、调用链表格等任意形态进行数据可视化；

（2）仪表盘能够趋势图下钻配置，包括跳转到原始日志，跳转到本仪表盘趋势图，跳转到其他仪表盘趋势图；提供多维度、多专题，数据实时动态的可视化展示。

4）日志告警。

（1）能够实现事件数告警、字段统计告警、连续统计告警、基线对比告警、统计告警；

（2）能够实现对告警事件支持归并，把若干描述同一故障的报警合并在一起，实现告警降噪处理；

（3）支持微信、邮件告警，可选择将日志告警通过微信或邮件的方式进行发送

5）报表功能。

（1）能够实现复选PDF、HTML、DOCX、XLSX等邮件格式发送报表；

（2）能够实现选择多种内置的报表布局方式，能够实现移动报表元素排序，改变其在布局中的位置。

6）Agent管理。

（1）具备界面化Agent管理，包括启动，停止，升级，Agent分组等；

（2）能够实现界面配置Agent发送速率限制和数据压缩功能；

（3）具备某个数据采集源采集的启动和停止，具备界面指定清空Agent上单个采集配置缓存或整体缓存，能够实现下发特定的单一数据源配置信息至指定Agent列表。

7）日志存储。

具备热数据与温冷数据转化，数据存储引擎能够实现自动根据SSD，SATA，NAS等存储资源的性能特性，完成热，温，冷索引迁移和控制。

8）数据备份归档。

具备日志生命周期管理功能，能够对索引数据每天进行备份、历史数据永久归档、数据恢复功能，且完全通过WEB界面配置操作完成。

2.定制化日志分析服务需求

1）防火墙、IPS、IDS攻击日志分析

（1）采集防火墙日志，如防Flood、防DoS攻击等日志,将多个源IP对单个目标IP进行攻击的日志进行统计，在可视化图表中展示多对一的关系，使用桑基图进行展示。

（2）采集IPS日志，对攻击趋势分析：通过统计每天、每星期或者每月的攻击事件数量变化的趋势分析安全态势的变化和威胁级别。可使用曲线图展示。

（3）采集IPS、IDS日志，对攻击来源分析，统计攻击源IP地址，确定来源最多的IP地址或者固定倾向于发起攻击的IP地址，结合地理位置信息分布，通过地图进行展示。

（4）使用时间轴展示CC回连事件的趋势和变化，根据时间维度显示每小时、每天或每周的回连数量，并对比不同时间段的趋势。

（5）将CC回连事件按照特定维度（如攻击类型、地理位置C进行分类，展示各类别占比情况。

2）流量日志分析

计算防火墙流量日志，统计一天中上行流量，下行流量以及总流量，能够按照应用的流量使用情况进行排名，统计占用流量前10的应用，按照单个或多个应用的使用流量对IP进行排名，并通过柱状图进行展示。

3）VPN日志分析

（1）登录来源统计，统计来自境外地址的登录IP

（2）过去7天按时序展开，登录失败的平均次数和最近1天登录失败的次数进行对比

（3）统计10分钟内登录超过3次失败的登录IP

（4）统计使用1个以上的公网IP登录VPN的IP地址

4.数据防泄系统日志分析

（1）能够计算文件外发阻断的事件数占比，阻断率能够显示百分比进行展示。

（2）能够统计违规文件外发数量排在前10的文件名、用户名、邮件账户，通过柱状图或条形图进行展示。

5.堡垒机日志分析

（1）登录堡垒机按照每1小时进行分统，统计一周的登录趋势，并按照登录成功及登录失败的类型进行分类，形成登录成功和登录失败的趋势的曲线形成对比，并显示登录趋势变化。

（2）统计一定时间内多次登录失败的用户名及IP地址。

（3）统计登录堡垒机都执行了哪些命令，高危命令用户执行，能够对所有执行高危命令的用户、登录地址、执行命令进行列表显示，并且能够通过查询命令定位到操作人员。

6.上网行为管理日志分析

（1）计算各类应用，聊天工具、流媒体等应用的使用时长进行排序，将使用时长按照又大到小排列，通过柱状图进行展示。

（2）将访问最多的与工作无关的应用和账户或IP进行关联，展现对应关系。

（3）访问招聘网站的终端进行统计，统计哪类网站的访问次数的占比。

7.EDR终端防护日志分析

（1）统计病毒查杀率、病毒类型统计、昨日感染病毒与今日感染病毒的趋势对比。

（2）根据不同风险，将风险类型进行统计，根据不同的风险级别将风险主机进行排名。

（3）统计漏洞修复率，展示未修复漏洞的主机 。

（4）基于不同的风险事件如违规外联、USB管控违规等事件的趋势、占比进行统计。

8.性能日志、系统日志分析

（1）采集Windows及Linux操作系统性能日志，展示CPU、内存、磁盘使用率、IO使用率、进程占用CPU及内存等数据。

（2）能够通过对Windows及Linux操作系统的错误日志的数量计算系统的健康度，统计错误主机数量TOP10,并按照主机的数量、IP进行排列。

（3）Window及Linux系统登录暴力破解分析，例如需要统计登录5分钟超过10次的用户账户及登录IP等信息。

（4）Windows及Linux操作系统账户、群组创建、删除、移动群组事件审计。

（5）Linux系统su越权操作事件统计。

（6）Linux系统sudo提权事件统计。

（7）Linux系统操作命令审计。

（8）Linux更改账户、群组、属组、文件权限等审计。

9.设备状态监测

（1）通过日志分析系统，对操作系统、网络设备的通信状态进行检测。

（2）展示通信正常及通信异常的主机数、IP、主机名，并对通信异常主机进行告警。

10.重保期间定制化监控

（1）根据重保期间的攻防演练需求，将与网络安全威胁相关的分析视图、告警进行定制化，单独定制仪表盘及配置重要告警。

（2）确保重保期间能够快速方便检索和分析相关网络攻击行为，对风险事件及时进行告警。

11.其他

维保服务期间，免费提供日志检索、日志场景需求分析的优化和升级。