功能项
|
功能要求
|
硬件配置和性能要求
|
1、硬件配置:1台2U设备,配备1颗国产CPU,CPU≥8核心、内存≥32GB、≥2TB硬盘、千兆电口≥6、千兆光口≥4、万兆光口≥2(含万兆光模块)、冗余电源。
2、性能要求:网络吞吐量(双向)≥4Gbps,HTTP并发连接数≥300万、HTTP吞吐量≥3Gbps、HTTP新建连接数≥30000、TPS处理性能≥24000。
|
部署要求
|
支持HA、集群模式部署。
(1)★部署方式:支持透明部署,反向代理部署、镜像部署、路由代理部署、插件部署;
(2)防护模式包括:透传模式、监控模式和拦截模式;
(3)支持ipv4/ipv6双协议栈;
(4)支持HTTP/HTTPS站点防护,在代理模式下支持HTTPS流量解析,支持SSL卸载功能。
|
保护站点数量
|
不限应用站点(非小程序SDK开发包、非APP SDK开发包)保护授权数,小程序SDK开发包50个许可,永久许可,三年维保服务。
|
WAF防护功能
|
支持SQL注入、PHP注入、命令注入、跨站脚本(XSS)、跨站请求伪造(CSRF)、支持Java反序列化攻击等攻击防护。
|
支持远程文件包含、本地文件包含、目录遍历、非法文件上传等攻击的防护。
|
p支持对站点返回的敏感信息进行检测,同时支持对敏感信息进行替换脱敏。(提供相关证明材料并加盖厂商公章)
|
支持网页防篡改功能,可以对指定的敏感页面进行缓存,并定期对网站页面与系统缓存的页面进行相似度比对,相似度高于设定阀值时,更新缓存,当相似度低于阀值时,产生告警,并只展示缓存的页面,即防止网页被篡改,同时减少管理员更新网站带来的误报问题。
|
可阻断中国菜刀、冰蝎等工具后门连接,提供盗链防护。
|
支持WAF误报分析功能,以站点、路径、规则ID为聚合条件,根据命中次数进行排序,帮助管理人员分析和排查WAF误报的情况。
|
提供语义分析引擎进行防护,具备SQL语义分析、XSS语义分析、JAVA OGNL语义分析、命令注入语义分析、WebShell语义分析、本地文件包含语义分析、远程文件包含语义分析七种语义分析技术,语义分析引擎支持威胁评分机制。
|
攻击防护要求
|
攻击入口隐藏:在不依赖传统特征库和规则情况下可以对应用层的攻击入口进行隐藏,使自动化工具无法获得应用系统的目录架构和应用层漏洞情况,并可精准识别并拦截Nuclei、AWVS等扫描工具。
|
p自动化未知(0day)漏洞攻击防护:不需要攻击特征或规则,即可有效封堵自动化未知漏洞攻击(Struts2、Weblogic反序列等一系列)。(提供详细技术实现方式说明,并提供系统拦截攻击行为告警界面截图能够说明拦截依据,同时提供防护前后攻击效果对比截图并加盖厂商公章)
|
p暴力密码猜测、字典攻击或撞库等恶意行为防护:无需设置阈值或频率的情况下可防止攻击者对WEB应用进行暴力密码猜测、字典攻击或撞库等恶意行为。(需提供详细防护方式说明,攻击防护前后效果对比截图并加盖厂商公章)
|
p不通过限制访问速率即可以防止Web CC攻击,应用系统被防护后可以避免单个页面被不停恶意刷新的攻击行为。(需详细描述技术实现方式,提供防护前后攻击效果截图和系统告警截图并加盖厂商公章)
|
p模拟业务操作攻击防护,通过识别WebDriver、Phantom
JS等工具能够实现有效区分正常业务访问及恶意业务访问操作。(提供相关证明材料并加盖厂商公章)
|
针对攻击者使用多源低频的攻击手段进行有效防护,防止攻击者不断更换IP或降低单一IP访问频度来绕过防护策略。
|
网页反调试功能:具备前端页面反调试能力,可以防止攻击者通过浏览器开发者工具等方式对分析网页逻辑或对页面中的JS进行调试,从客户端层面加强安全机制防止对业务发起攻击。
|
支持拦截哥斯拉、冰蝎等加密混淆Payload内容的Webshell连接。(提供相关证明材料并加盖厂商公章)
|
支持为指定URL的页面打上水印,防止数据泄露。(提供相关证明材料并加盖厂商公章)
|
动态防护要求
|
动态验证功能要求:随返回网页动态封装一段JS,该JS完成与动态应用保护系统的通讯及浏览器侧运行环境验证等功能的执行。
|
终端环境验证功能要求:采用动态检查代码检查客户端环境,且每次均随机选取检测项目与数量。对客户端环境的检查范围包括:客户端的IP地址、操作系统、浏览器版本、浏览器指纹、键盘及鼠标行为等。(提供相关证明材料并加盖厂商公章)
|
p通信令牌的功能要求:对当前访问的合法请求基于加密技术授予在一定时间内有效的一次性访问令牌。令牌由系统自动生成,不需要管理员单独进行设置,访问请求自动携带令牌,令牌是可以被查看到,且每次请求令牌都会动态变化。(提供相关证明材料并加盖厂商公章)
|
可收集客户端浏览器信息,为每个客户端生成唯一的浏览器指纹标识,在清理浏览器cookie、浏览器本地存储、访问记录、更换IP地址时指纹均不变化。(提供相关证明材料并加盖厂商公章)
|
Web管理页面支持网络抓包功能:可配置抓包条件并且可在管理页面直接下载抓包文件。
|
支持HTTP健康检查自定义功能:支持根据具体业务服务器的需求,定制业务健康检查策略。
|
区分IPv4和IPv6:支持IPv4和IPv6双栈防护,支持在反向代理部署模式下,根据TCP连接的目的地址类型(IPv4/IPv6)分配流量,支持同端口同域名IPv4/ IPv6流量发送给不同服务器。(提供相关证明材料并加盖厂商公章)
|
网页过滤:支持通过对HTTP访问请求以及服务器响应的内容进行规定和检查来判断是否拒绝客户端继续访问。支持过滤HTTP访问方法、HTTP请求协议头长度限制、HTTP响应协议头长度限制、过滤URL、过滤后缀名、服务器响应过滤、服务器响应码过滤。(提供相关证明材料并加盖厂商公章)
|
可编程对抗能力
|
多种拦截策略响应动作:要求系统支持设定多种策略响应动作,如:拦截、重定向、延时等;且可配置上述拦截策略按百分比随机响应,提升攻击者的对抗分析难度。
具体要求如下:
(1)配置防护策略,针对特定的来源ip,对其50%的请求,延时10秒。
(2)通过被限制的IP地址对系统进行多次访问。
(3)系统报表会完整记录的客户端行为信息。
要求详细记录每次访问的响应情况,以及响应方式。
要求当请求匹配防护策略时,响应的方式与配置预期相同。
|
黑名单拦截策略:支持针对单一URL的黑名单功能,且可以结合时间调度计划实现对单一URL的定期精准封堵,封堵动作包括:拦截、请求延时和请求重定向。
|
URL白名单清单:通过梳理URL白名单清单并启用非白名单拦截,实时发现手工渗透行为和嗅探行为,并解决传统基于规则库的防护设备的误报和漏洞等问题,有效控制攻击面。
|
正向隧道主动防御:支持正向隧道主动防御,识别异常高频访问和高危类型文件(如jsp、jspx、php和asp等)高危访问行为,实现全面精准检测Webshell。
|
用户行为拦截策略能力:支持用户行为拦截策略能力,支持基于行为数据进行拦截,至少包括业务类型、键盘按键次数、键盘事件按键计数、鼠标移动事件计数、鼠标点击事件次数等。(提供相关证明材料并加盖厂商公章)
|
客户端环境拦截策略能力:支持客户端环境拦截策略能力,支持基于客户端的运行环境数据进行拦截,至少包括指纹、IP、UA、Cookie ID等。(提供相关证明材料并加盖厂商公章)
|
p自动黑名单:支持基于IP、指纹、账号等维度,对命中对抗规则触发条件的请求自动加入黑名单,在指定封锁时间内,该IP、指纹、账号的请求将会被持续封锁拦截。(提供相关证明材料并加盖厂商公章)
|
p异常行为应对能力:考察异常行为应对能力,至少包括拦截、重定向、返回html页面、插入JS、延时等应对动作,并且最多可支持同时配置多个动作,并随机执行动作。
(提供相关证明材料并加盖厂商公章)
|
要求支持数据蜜罐功能,可通过设置正常业务访问行为不会访问的资源,引诱攻击者访问。
要求按以下功能要求提供相关材料:
1、支持配置数据蜜罐策略,可指定正常业务访问行为不会访问的资源路径,资源路径指定支持采用完全匹配、列表、正则表达式等方式,策略动作支持将请求转发到指定的服务器、拦截、返回指定页面、重定向等。
2、配置一个数据蜜罐策略,指定不存在的业务资源路径如/admin_login.html,策略动作为返回指定页面。
3、通过浏览器访问被保护业务系统的/admin_login.html路径,返回的是指定的页面。
4、通过动态防护报表可统计访问数据蜜罐资源路径的IP情况,统计结果支持直接导出。
(提供相关证明材料并加盖厂商公章)
|
小程序防护要求
|
小程序统一防护功能:支持小程序与Web业务的统一防护,可直接在同一平台进行策略管理。(提供相关证明材料并加盖厂商公章)
|
小程序令牌:支持为小程序合法请求会分配令牌,并且可设置令牌的有效期。(提供相关证明材料并加盖厂商公章)
|
p小程序插件保护:支持下载小程序插件保护SDK,日志报表中有字段可以标记请求来自插件。(提供相关证明材料并加盖厂商公章)
|
小程序环境信息采集:支持采集小程序环境的相关信息,包括设备品牌、设备型号、小程序的版本、小程序版本号、操作系统及版本、设备电量、设备是否正在充电中等字段信息。(提供相关证明材料并加盖厂商公章)
|
p请求内容响应内容动态混淆:支持对小程序客户端请求及服务器响应数据一次性混淆,可防止小程序数据在传输过程中被篡改或者被窃听。(提供相关证明材料并加盖厂商公章)
|
p专利证书
|
Web动态应用保护系统原厂制造商具备相关专利证书,专利具有“防护各类对服务器的自动化攻击”、“服务器为客户端分配标识信息”、“收集客户端所在的设备数据”、“客户端分配令牌”、“获取客户端采集的数据”、“对所述客户端进行身份认证”等相关字眼。(提供相关证明材料并加盖厂商公章)
|
网络安全专用产品安全检测证书
|
原厂制造商具备Web动态应用保护系统的网络安全专用产品安全检测证书,证书的产品名称中包括“动态”,以证明符合本次招标产品类型。(提供相关证明材料并加盖厂商公章)
|
检测报告
|
产品获得国家权威检测机构(如:公安部计算机信息系统安全产品质量监督检验中心或中国人民解放军信息技术安全研究中心)的产品认证,提供认证报告关键页复印件(需体现制造商和产品名称),报告中的检测项目须体现自动化攻击防护,自动化攻击防护包括撞库攻击、恶意爬虫、重放攻击、独立扫描。(提供检测报告)
|
管理接口开放性要求
|
产品提供对外API接口能力,可以接受第三方管理系统通过调用API接口实现产品相关配置和参数的设定,无需登陆产品自身的管理界面,API接口至少包括:保护站点添加、配置站点策略、设置IP黑名单、系统升级和系统状态监控等功能。
1、提供内部API和外部API总体架构说明材料;
2、提供外部API接口架构图及说明材料;
3、提供RESTful API接口用法说明材料及使用规范;
4、可以通过保护系统对外服务API接口方式对防护站点防护进行配置操作:至少包括:查询站点列表、新增保护站点、修改保护站点和删除指定站点等操作;
5、可以通过API接口方式进行IP黑名单配置操作,提供说明材料。
|
系统自身安全性要求
|
1、保护系统自身具有安全防护功能,无法通过漏洞扫描器的方式进行应用架构探测和漏洞扫描。(提供相关证明材料并加盖厂商公章)
2、每次访问保护系统,需要具有访问令牌,要求令牌动态变化,保证系统访问安全性。(提供相关证明材料并加盖厂商公章)
|
p系统分权管理功能
|
要求具备分权管理功能,支持为不同用户分配不同的站点权限。
具体要求如下:
1、新建2个用户,分别为两个用户分配不同的站点。
2、登录用户1账号,只能查看分配给该用户的站点对应的配置及报表数据。
3、登录用户2账号,只能查看分配给该用户的站点对应的配置及报表数据。
(提供相关证明材料并加盖厂商公章)
|
p动态安全技术成熟度证明
|
提供原厂制造商动态安全技术成熟度证明。(提供中华人民共和国国家版权局颁发的计算机软件著作权登记证书,软件名称需包括“动态应用保护”,同时提供中国版权登记查询服务平台(地址:https://register.ccopyright.com.cn/query.html)的著作权证书查询截图,开发周期从证书登记日期开始计算)
|
测试要求
|
要求中标候选人在5个工作日内提供测试设备。通过对招标要求项逐一对比测试,如经设备测试发现与标书要求或投标文件不一致或中标候选人有意拖延测试,将视为虚假应标作为废标处理。
|
p功能可扩展要求
|
投标产品支持通过购买功能授权方式升级API安全模块、APP安全模块,在一个平台上对API、APP进行策略管理。(提供相关证明材料并加盖厂商公章)
其中API安全模块需具备以下功能:
1、API安全模块需具备API参数自学习功能
(1)支持通过流量学习功能自动学习API参数:参数名称,参数位置,参数类型,取值范围,长度范围。(提供相关证明材料并加盖厂商公章)
(2)支持把API参数自动学习的结果,一键应用到API合规参数检测中,对所学习的API参数取值范围和长度范围进行检测,检测内容包括:包括query参数最大个数、body参数最大个数、请求body最大大小、参数名称,参数位置,参数类型,取值范围,长度范围;对于超过阈值范围的请求参数进行告警。(提供相关证明材料并加盖厂商公章)
|
更多
1
