《XX区政务数据安全运营服务项目采购需求.docx》由会员分享,可在线阅读,更多相关《XX区政务数据安全运营服务项目采购需求.docx(20页珍藏版)》请在三一办公上搜索。
1、XX区政务数据安全运营服务项目采购需求一、项目概况本项目主要以保障XX区的数据安全为核心要务,依据国家法律法规和省市考核的要求,完善数据安全基础能力的建设,守护好数据安全底线。通过数据安全态势感知平台的建设,构建XX区的数据分类分级、数据静态脱敏、数据动态脱敏、数据访问控制等关键能力的统一管理,将各方能力单元日志进行关联分析,形成多维度的态势感知信息。同时,为了达到省市数据安全检查项要求,通过驻场运营服务实现XX区一体化公共数据的数据安全运行管理能力,提升数据安全主动防御能力、监控预警能力、应急处置能力、协同治理能力,实现构建覆盖物理设施、网络、平台、应用、数据的全方位全天候安全技术防护体系。
2、二、项目须执行的标准、规范1 .中华人民共和国数据安全法2 .中华人民共和国个人信息保护法3 .中华人民共和国网络安全法4 .数字化改革-公共数据分类分级指南5 .公共数据安全体系评估规范6 .XX省公共数据安全脱敏技术规范(试行)7 .XX省公共数据安全管理总则8 .XX省公共数据条例9 .公共数据安全体系建设指南三、建设原则本项目参照省、市、区一体化数据平台数据安全的法律制度规范文件等要求,应遵循以下建设原则:统筹规划原则。按照XX区数据安全建设总体规划要求,坚持系统和整体的原则,以大数据安全建设为核心,整体数据安全为底线,有计划有步骤的开展数据全生命周期安全保隙工作。管理与技术并重原则。
3、做好数据安全工作,不仅仅是技术上的问题,也要做好数据安全的管理工作,持续做好安全管理意识的提高以及管理模式更新,建立健全安全审查审批和权限管理机制。预防与处置并重原则。在做好数据安全技术建设的基础上,重点开展监测预警、风险评估和安全审计等工作,完善事件响应预案和处置机制。防护与应用并重原则。在做好数据安全防护工作的同时,积极推进数据合法合规的应用、开放与共享,加速释放数据资源的商用、民用、政用价值。四、采购内容序号名称数量所属行业备注1XX区政务数据安全运营服务1软件和信息技术服务业/五、项目主要服务内容本项目涉及到两项服务内容,如下所示:序号服务项目数量单位备注1数据安全防护工具租用服务1项
4、2数据安全运行管理服务1项(一)数据安全防护工具租用服务,包含数据资产梳理及数据分类分级、数据静态脱敏、数据库动态脱敏、数据加密、APl接口审计、数据库防火墙、静态水印溯源、动态水印溯源、数据态势感知等工具的租用服务。(二)数据安全运行管理服务,包含数据安全日常运营服务、数据安全应急响应服务、数据安全风险发现与处置、数据安全攻防演练、数据安全监督检查、数据安全重要时期值守服务。六、服务要求(一)数据安全防护工具租用服务(I)数据资产梳理及分类分级工具服务数据资产梳理及分类分级工具应满足如下要求:指标项详细功能要求数据库源支持多种数据源的资产梳理及分类分级,包括:MySQL、SQLServer、
5、Oracle人大金仓、达梦等数据库。数据资产管理支持自动发现网内数据库资产,支持IP段和端口范围进行发现;自动发现数据库信息包括:数据库类型、版本、IP、端口号等;经确认后纳入数据库资产管理。支持数据库资产信息展示,包括:数据库资产名称、所属组织、表总数、字段总数、数据库容量统计、敏感表比例、分类分级信息等。支持数据库资产元数据发现与展示,包括:库、表、歹人函数、存储过程、视图等。支持对数据库的账号、系统权限梳理,并展示各账户所对应的数据库系统权限。支持通过手动、定期、周期性等扫描任务发现新增数据库资产执行扫描任务;支持批量导入、导出数据库资产。支持按组织机构、业务系统、业务物理区域进行拓扑展
6、示数据库资产信息。数据分类分级管理支持分类分级扫描任务设置,可选择一个或多个资产、不同分类分级标准、样本数、匹配率、全量或增量扫描、任务执行方式(手动、定时或周期),生成分类分级结果清单。支持按不同分类分级标准展示分类分级任务扫描结果,包括:数据库资产信息、表类别、表级别、字段类别、字段级别、敏感类型、确认状态等。支持按不同分类分级标准统计数据资产。配置管理支持内置行业分类分级标准,包括政务数据分类分级标准;支持自定义分类分级标准;支持对标准进行复制、导入、导出操作。支持常用的敏感数据类型的配置与管理,默认支持内置敏感类型:手机号、座机号、公积金、道路运输经营许可证号、军密认证号、车牌号、医师
7、执业证书编号、医师资格证书编号、营业执照、银行卡号、开户许可证号、税务登记证号、组织机构名称、组织机构代码、地址、姓名、邮政编码、身份证号、日期、字符串、中国护照、社会信用代码、军官证号、永久居住证号、台湾同胞大陆通行证号、港澳通行证号、电子邮箱、IP地址等。支持常用的敏感数据字典,并支持数据字典的自定义维护。支持资产拓扑配置:业务系统配置、物理逻辑区域配置、组织机构配置等。第三方接口对接数据资产梳理及分类分级工具生成的结果清单,支持通过API接口自动同步给第三方工具,如数据静态脱敏工具、数据安全态势感知工具等。(2)数据静态脱敏工具服务数据静态脱敏工具应满足如下要求:指标项详细功能要求数据源
8、支持OraCle、MySQL、SQLSerVer等关系型数据库;支持达梦、人大金仓等信创数据库;支持阿里云下的RDS、ODPS等数据库;系统支持Kafka消息队列脱敏。支持XLS、CSV、TXTXML、JS0NHTML等文件脱敏。支持本地、FTP、SFTP、NAS等多种方式的文件读取和写入。敏感数据管理内置30种以上的敏感数据类型用于敏感数据的发现,包括但不限于:姓名、地址、邮政编码、身份证号、日期、手机号、座机号、货币金额、驾驶证档案编号、车辆识别代号、公积金、道路运输经营许可证号、军密认证号、车牌号、医师执业证书编号、医师资格证书编号、营业执照、银行卡号、开户许可证号、税务登记证号、组织机
9、构名称、组织机构代码、字符串、中国护照、社会信用代码、军官证号、永久居住证号、台湾同胞大陆通行证号、港澳通行证号、电子邮箱、IP地址等。支持通过前台界面配置自定义敏感数据类型,敏感数据识别支持自定义函数。支持手动、定时、周期自动执行敏感数据扫描任务,定时任务可准确到“日期+时+分”,周期任务可按天、周、月配置,且精确到分钟;定时、周期任务支持自动对表结构进行更新。支持在一个字段或一列数据中自动发现并识别所有敏感数据所属的敏感数据类型。脱敏算法工具内置多种脱敏算法,常用:覆盖、随机、替换、分区遮盖、映射、可逆、可逆还原等;HASH脱敏算法:SHA256、HASH+盐等;国密:SM3、SM4等;满
10、足用户对数据的加密、还原、数据关联等多种数据脱敏的应用场景。支持用户自定义脱敏算法,并提供清单化配置管理界面。脱敏规则工具内置常用敏感数据类型的脱敏规则,并支持用户通过前台页面对敏感数据自定义脱敏算法配置,形成自定义脱敏规则;支持将不同敏感类型的脱敏规则配置为脱敏规则组;脱敏规则组不与脱敏任务进行绑定。支持保持表字段之间的数据关联性,关联关系支持通过函数配置、支持自定义配置、也可导入JAR包提供关联算法。支持库到库、库到文件、文件到库、文件到文件等多种脱敏场景,库到库支持同构、异构数据库脱敏,文件脱敏支持本地与远程间异构脱敏。支持创建增量脱敏任务,仅对数据源中的增量数据进行脱敏,增量脱敏可不依
11、赖主键。支持对脱敏数据量按敏感类型、表、字段、数量、WherC条件进行过滤。支持通过API接口对接数据资产梳理及分类分级工具,自动同步数据分类分级结果,依据结果智能生成数据脱敏规则,进行相应的数据脱敏。系统支持任务创建过程中支持脱敏效果预览,方便用户即时查看脱敏效果,调整脱敏规则。第三方对接应用系统通过API接口调用数据静态脱敏工具,将需脱敏的数据通过API接口传给数据静态脱敏工具,数据静态脱敏工具对接收到的数据实时脱敏处理,再通过APl接口返回给应用系统。(3)数据库动态脱敏工具服务数据库动态脱敏工具应满足如下要求:指标项详细功能要求数据源支持多种数据源,包括:OracleSQLServer
12、MySQL、达梦、阿里云下RDS等。脱敏数据信息自动发现内置30种以上的敏感数据类型用于敏感数据的发现,包括但不限于:姓名、地址、邮政编码、身份证号、日期、手机号、座机号、货币金额、驾驶证档案编号、车辆识别代号、公积金、道路运输经营许可证号、军密认证号、车牌号、医师执业证书编号、医师资格证书编号、营业执照、银行卡号、开户许可证号、税务登记证号、组织机构名称、组织机构代码、字符串、中国护照、社会信用代码、军官证号、永久居住证号、台湾同胞大陆通行证号、港澳通行证号、电子邮箱、IP地址等。支持在一个字段或一列数据中自动发现并识别出所有敏感数据所属的敏感数据类型,方便用户在进行数据脱敏操作时对敏感数据
13、进行归类整理。工具内置海量数据字典,并支持导入数据字典信息,便于敏感数据类型更好的实现自定义管理,脱敏规则的建立。支持灵活的敏感数据规则组自定义管理,规则组不与脱敏任务绑定;对脱敏方案进行调整、修改时不会影响与之相关的脱敏任务,不需要删除与脱敏方案相关的字段发现以及脱敏任务。脱敏算法工具内置10种以上脱敏算法,至少包括:映射、随机、替换、仿真、可逆、可逆还原、SHA256、HASH+盐、SM3国密等。满足用户对数据的加密、还原、数据关联等多种数据脱敏的应用场景。脱敏策略支持黑白名单过滤功能,其中黑名单过滤做到敏感列中的数据不展示;白名单过滤做到敏感列中的数据不经过脱敏处理,直接展示。支持脱敏后
14、脱敏数据、混合类型数据保持原有数据特征。脱敏任务管理支持多任务并发,充分利用系统资源,提高脱敏效率。支持设置代理连接数,可控制代理数据库连接。支持对应用用户身份识别,脱敏规则控制细化到应用用户级别,可以根据不同的应用用户身份,不同业务模块对于敏感数据可见度与仿真度的不同需求,进行脱敏规则配置,以适应复杂环境下的敏感数据使用需求。(4)数据加密工具服务数据加密工具应满足如下要求:指标项详细功能要求数据源支持多种数据源,包括:ORACLE、MySQL、SQLServer等传统的关系型数据库。支持达梦、人大金仓等信创数据库。加密能力支持字段、表、库级别的加解密。支持对数据字段int、RAW、CHAR
15、,VARCHAR,VARCHAR2,LOB,NUMBER,DATE等常用类型进行加密。支持多级密钥技术,双重加密方式。支持DES、3DESAESl28AES192AES256等标准加密算法,以及国密SM3、SM4算法。密钥管理支持本地加密管理,支持备份存储管理。加密策略支持用户自定义加密策略。支持基于IP、工具、用户名、敏感表、字段设置访问权限。支持通过前台界面根据数据类型设置多个加密规则组的模板化配置,所有针对数据类型的加密规则均可使用已经配置好的规则方案模板。支持对“字段”、“表”、“库”加解密策略进行创建、修改、删除自定义配置。系统管理工具提供包括用户信息、加解密执行过程等审计报告。接口
16、开放工具提供开放APl接口,可供其他平台调用。(5)APl接口审计工具服务API接口审计工具应满足如下要求:指标项详细功能要求接口管理支持通过自动发现和自定义添加的方式进行添加应用资产和API资产,并自动将APl资产聚合归类,支持资产的导入导出。支持接口合并推荐,通过智能分析将多个可合并的接口推荐给用户进行合并操作;支持接口手动合并,可选择需要合并的接口进行合并操作。支持以列表形式展示应用资产列表,展示包括应用名称、应用地址等基本信息;展示API总数、涉敏APl数、风险APl数、总访问量、风险访问量、涉敏访问量、风险等级、敏感标签、监控时长等统计信息和排序。支持以列表形式展示接口资产列表,展示
17、接口所属应用、接口名称、接口地址、总访问量、风险访问量、涉敏访问量、敏感标签、风险级别、请求方式、返回类型、接口状态等信息。系统支持统计接口资产画像,统计接口资产的访问量、风险标签、接口状态、敏感标签、风险访问、敏感访问情况以及访问趋势等信息。支持统计应用资产画像,统计应用资产的访问量、接口数量、风险标签、敏感标签、监控时长、风险访问、敏感访问情况以及访问趋势等信息。审计能力支持主流APl协议解析,包括ReStfU1、JSON-RPCXML-RPCWebServiceDubboMotanGrpco支持对访问时间、接口地址、应用地址、状态码、请求方式、返回结果、应用账号、源/目的端口、客户端MA
18、C、客户端主机名、客户端端口、操作系统用户名、操作系统用户名、风险编号、请求内容、返回内容等16个条件以上进行审计。支持对跨站脚本攻击、攻击溢出等攻击行为的识别与告警。支持设置接口调用的单向审计、双向审计及按规则审计。审计策略支持内置未授权访问、接口参数可遍历、Sql注入、XSS,密码透出、弱密码、数据伪脱敏、明文密码透出和基于用户业务行为的规则等。支持自定义审计策略,自定义审计策略的条件包括不限于请求方式、关键字、客户端IP、客户端MAC、操作系统主机名、操作系统用户名、应用账户名、响应内容、正则表达式、规则生效时间;审计策略条件之间支持等于或不等于、大于等于或小于等逻辑关系。支持黑白名单策
19、略,匹配条件至少包括时间、客户端IP、应用账号、接口、请求URL、请求方法、请求关键字、请求状态、状态码等。白名单命中后识别为信任行为,黑名单命中后可识别为非法行为。支持接口调用操作系列的组合规则,可根据某一客体的操作行为序列,连续操作了设定的语句序列时进行规则审计告警。支持重复操作的统计审计规则,支持在24小时内检测到重复某项操作达到设定的统计次数进行告警。敏感数据稽核工具内置敏感数据类型,可自定义添加敏感类型,可对敏感类型的敏感级别进行修改与定义。支持对非法访问、未授权访问业务系统中的敏感数据进行识别与稽核,加强数据访问行为合规性。报表工具内置敏感稽核报表,支持从应用、接口、源IP、账号、
20、时间、访问趋势、敏感类型、敏感级别等维度生成报表。工具内置分析报表,支持统计系统风险概览、应用风险访问情况、系统风险规则触发情况、风险客户端访问情况、风险客户端访问趋势、非工作时间访问、账号共用访问等报表。支持自定义报表,统计条件包括不限于风险级别、应用系统、客户端IP、应用账号、接口名称、状态码;支持添加统计模板,通过模板生成自定义报表数据。支持按最近一周、按最近一个月、按最近三个月、自定义时间生成报表;支持Word、PDF、excel格式报表导出。审计配置管理翻译功能:工具支持在审计时自动将审计结果翻译成自然语言,支持系统定义和用户自定义翻译,按照业务的行为和分类来进行信息的组织和展现,便
21、于审计人员方便简单的获得并了解审计结果。支持对所有APl接口审计系统管理人员的操作行为进行审计记录,如登审计系统管理人员的登录登出、规则修改、规则启用等,并由审计人员进行查询和审计,具有自身审计功能。支持管理界面告警、SySlOg和SNMPtraP告警、邮件和短信告警。提供审计策略和配置的导入导出,方便运维人员进行APl与应用系统安全审计系统的简单运维。审计数据管理支持审计数据管理功能,能够实现对审计数据的自动备份、手动备份,支持增量、全量备份方式,备份数据可自动存储在指定的FTP、NAS服务器上。支持审计结果隐秘设置,通过*号脱敏技术对审计结果中的重要信息进行隐秘处理,防止二次泄密。第三方接
22、口支持syslog和SNMPTRAP方式向外发送审计日志到第三方日志管理平台统一管理,支持与短信系统对接。(6)数据库防火墙工具服务数据库防火墙工具应满足如下要求:指标项详细功能要求数据源支持SQLSerVer、MySQL、OraCIe等关系型数据库的安全防护。支持达梦、人大金仓等信创数据库的安全防护。控制模式支持会话阻断和操作阻断,会话阻断:对需要阻断的访问,中断数据库连接;操作阻断:对需要阻断的访问,返回防火墙的错误提示信息,当前语句被拦截后,该会话不中断。女全防护能力支持对操作时间、SQL语句、执行结果、返回结果集、影响行数、执行时长、数据库用户名、实例名、源/目的IP、源/目的端口、源
23、/目的MAC、客户端主机名、客户端程序名称、客户端操作系统用户名、会话ID等15个条件以上进行审计。支持数据库操作类、表、视图、索引、存储过程等各种对象的所有SQL操作审计以及阻断。支持数据库嵌套、函数审计(SUm求和函数等)、返回结果、脚本等审计以及阻断。支持通过部署agent实现WEB环境100Vft确关联,支持B/S业务系统三层关联阻断;支持B/S三层架构下的真实用户名关联配置。支持按返回数据行数阈值进行精细管控,超出阈值的行为进行阻断或拦截,防止大批量数据泄露。支持拦截nowhere引起的整表更新、整表清空的误操作。支持拦截指定数据库对象的DRoPDATABASE、DRoPTABLE、
24、DROPTABLESPACEsDROPUSER、TRUNCATE等高危操作行为,支持数据库权限变更行为管控。支持高危险阻断行为审批放行,审批通过可以执行,审批不通过就不可以执行,可以针对某个数据库设置放行规则,支持操作类型、关键字、访问工具、客户端IP、正则表达式、返回行数阈值等条件设置放行规则,实现灵活管控数据库操作行为,满足特殊运维场景的需要。支持在客户端对已阻断拦截的操作做防护系统拦截友好提示,让用户及时知道自身操作被阻断的原因,支持NaviCat、PLSQL、dbeaver等数据库连接工具。安全防护策略支持陌生人闯入模型和陌生工具模型分析以及详细查看,包括闯入时间、IP/工具以及对应的
25、详细记录。支持自定义安全防护策略,防护策略的条件包括不限于操作类型、关键字、访问工具、客户端IP、客户端MAC、操作系统主机名、操作系统用户名、应用账户名、数据库账号、数据库名、表名、包、存储过程、函数、视图、字段名、索引、语句长度、语句执行回应、语句执行时间、返回行数、返回内容、正则表达式、规则生效时间;审计策略条件之间支持等于或不等于、大于等于或小于等逻辑关系。工具内置安全特征库和审计规则库不少于300条,如SQL注入攻击、跨站脚本攻击、账号提权、导表导库等。支持操作语句系列的组合规则,在规定时间内去触发对应的所有基础规则进行组合规则审计告警。支持重复操作的统计审计规则,可根据在一定的时间
26、内,重复某项操作达到设定的统计次数并进行告警。敏感防护工具内置敏感数据类型,可自动发现业务环境中数据库对象中包含敏感数据类,进行敏感数据级别的定义;支持自定义敏感规则,可根据配置字段包括操作类型、敏感配置(保护对象所属的敏感数据)主体信息(访问工具、访问IP、客户端MAC、操作系统主机名、操作系统用户名)、规则生效时间进行敏感数据的操作行为监控、阻断防护。工具支持根据时间、保护对象、源IP的维度对业务环境中敏感数据进行敏感数据统计、敏感数据访问热度统计及分析、敏感数据访问趋势及分析。监控记录检索与统计支持基于时间、风险级别、保护对象、操作类型、客户端IP、客户端进程、数据库账户、应用账户、规则
27、类型、规则名、规则组名、操作系统主机名、操作系统用户名、客户端MAC地址、客户端端口、服务端IP、服务端口、数据库名、语句长度、语句执行回应、语句执行时间、返回行数、返回结果、会话ID、记录编号、关键字等条件的审计查询;查询条件易于使用,支持等于或不等于、大于等于或小于等逻辑关系。内置分析报表和合规报表,支持源IP、账号、操作类型、客户端进程工具、时间等维度生成报表。支持自定义报表,统计条件包括不限于风险级别、保护对象、客户端IP、访问工具、操作类型、数据库账户、数据库名、表名、字段名;支持添加统计模板,通过模板生成自定义报表数据。告警方式支持短信、SySlOg、snmptrap界面告警。互联
28、接口工具支持通过APl接口、SySIOg、SNMP等协议发送到第三方日志管理平台、态势感知平台统一分析、管理。(7)静态水印溯源工具服务静态水印溯源工具应满足如下要求:指标项详细功能要求基本要求支持Web管理模式,无需安装任何客户端或者代理。功能要求支持丰富的源数据和目标数据源:支持多种类型数据库,如OracleMySQLSQLServer达梦、人大金仓等;支持CSVExcelTXT类型文件格式。支持图形化操作创建、修改、删除水印任务和水印策略,同时支持自定义水印任务和水印策略的创建。支持嵌入伪列、不可见字符、数字等水印信息。支持数据源中数据存储格式为UTF-8、GBKsUnicode.GB2
29、312、ZHSI6GBK、BlG5、Latinl等字符编码数据格式注入水印。支持经过水印处理的数据,不影响数据的使用,不易被察觉,可将数据生成到数据库中或者文件中。支持源库到目标库水印(包含支持同库水印)、支持数据库到文件水印、文件到文件水印。支持不依赖主键嵌入水印和水印溯源。支持自定义嵌入水印方式,用户可选择不同的水印算法,并根据水印算法进行字段规则的选择,制定水印方案,水印方案制定后,可被重复利用。支持嵌入在原始数据中的水印不可见。支持对疑似泄露数据文件或数据表,直接上传到数据水印系统,一键溯源,自动化展示出溯源结果,生成溯源报告。支持对水印溯源的匹配率设置,可根据客户设置的溯源匹配率进行
30、水印的检测。支持建立不同周期的水印作业,时间设置完毕,作业会在指定时间自动运行。支持查看启用中的作业,查看每一个启用中的水印作业状态,对作业进行实时监控或停止作业操作;支持查看已停止的作业,查看作业执行结果、历史执行结果,对作业进行重新作业。支持对数据源、水印任务添加、修改审批;未经审批,则数据源及任务无法使用。系统安全支持针对水印操作人员的操作行为进行审计记录,可以由审计管理员进行查询,具有自身安全审计功能。支持数据不落地原则,打水印过程完全在内存中进行,不在本地磁盘保留任何数据源的数据文件。(8)动态水印溯源工具服务动态水印溯源工具应满足如下要求:指标项详细功能要求功能指标支持对APl接口
31、的返回数据进行水印嵌入;支持水印信息配置。支持对疑似泄露的数据转换成文件,上传到工具进行一键溯源,自动化展示出溯源结果,生成溯源报告。水印支持的能力支持自定义嵌入水印方式,用户可选择不同的水印算法,并根据水印算法进行字段规则的选择,制定水印方案,水印方案制定后,可被重复利用。支持字符类型的水印,采用不可见字符方式添加水印信息。支持无损水印方式,水印信息不会对原始数据造成任何修改(非不可见字符方式)。支持按账号聚合的水印特征溯源。支持对外提供数据接口,以便上传数据进行溯源。支持水印溯源时通过与水印因子比对可以溯源到调用者信息(用户名、数据被调用时间等)。(9)数据态势感知工具服务数据态势感知工具
32、应满足如下要求:指标项详细功能要求资产管理支持通过对IP、端口进行扫描,自动发现并识别数据库资产,一键添加到资产管理列表;支持通过手动的方式添加数据库资产数据;支持对数据资产做管理,包括资产确认、资产变更、资产分类分级。支持通过对数据库资产进行扫描,自动识别敏感数据,并进行可视化展示,包括敏感数据的分类分级清单、敏感数据的分布情况、敏感数据特征分布情况、高敏感资产排名情况。支持数据资产分布视图可视化功能,提供饼图、柱状图、折线图多种展示方式,可以直观地了解数据资产分布情况。能力单元对接支持其他数据安全设备的接入,可选择能力单元上传的数据类型,包括非风险数据、风险数据、数据库资产数据、数据库流量
33、数据、阻断数据、非阻断数据等。支持利用机器学习、安全模型、行为识别、关联分析,分析和挖掘风险。支持采集各能力单元的系统资源数据,包括CPU、内存、磁盘使用率信息。支持能力单元包括数据库漏洞扫描、数据库状态监控、API接口审计、数据静态脱敏、数据库防火墙、数据资产梳理及分类分级、数据库动态脱敏以及数据库加密等工具。支持与第三方网络安全设备的对接,采集相关日志进行综合分析。工具可以对接数据资产梳理及分类分级工具生成结果,综合分析后,展示资产信息、表信息、字段信息、表分级、字段分级、敏感数据异常访问热度、敏感数据异常访问操作类型分布、数据访问风险趋势等内容。安全态视可视化工具支持总体态势、风险态势、
34、健康态势、脆弱性态势、资产态势可视化大屏展示。工具支持智能识别异常访问者态势,展示异常访问最多的用户、IP;支持展示攻击源IP与被攻击IP关系。数据流动态势可视化工具支持展示数据流动态势,以拓扑图的方式展示网络中数据访问、数据流动的总体态势;工具自动根据拓扑图的配置生成数据流动图。态势评估与预测工具支持从威胁性、脆弱性、可用性、可靠性四个方面的系数对数据库资产安全整体状态进行建模,评估当前资产健康情况。工具支持流量预测、访问趋势预测、敏感表访问量预测、总体安全态势的预测。事件检索工具支持自定义时间段对安全模型识别风险情况、安全模型影响情况、资产分布情况、源IP触发安全模型分布情况进行检索;支持
35、统计各安全模型的风险数,以组织、用户、数据库资产、源IP、时间等维度统计风险数情况。工具支持对安全事件进行分类,包括攻击类、数据访问类及运维类,并可根据规则类型、时间范围、关键字等检索安全事件,显示安全事件详情,并能对安全事件进行处理。工具支持检索审计日志及阻断日志,并显示日志详情,包括发生时间、等级、能力单元名、客户端IP、客户端端口、客户端MaC地址、数据库用户名、数据库类型、操作语句、操作语句长度、语句执行时长、返回结果等。安全分析模型工具支持丰富的安全分析模型,内置至少包括用户行为轨迹分析、用户异常行为分析、拖库行为分析、撞库行为分析、陌生人闯入行为分析、SqI注入行为分析、恶意扫描探
36、测行为分析、恶意漏洞扫描、口令猜测、权限配置变更检测、资产端口状态变动检测、密码长期无更换。工具支持通过规则、规则组自定义安全分析模型。风险概览工具支持展示攻击风险,统计攻击次数、拦截攻击数、被攻击资产数、攻击源IP数、使用工具数;并展示风险总体趋势。工具支持统计并展示脆弱性风险,可以以数据库类型进行搜索查看脆弱性报表;图形化统计展示资产漏洞总数、资产弱口令总数、未受保护资产数、资产用户密码长期无更换数等,并根据统计数据展示脆弱性风险趋势及资产开放端口变化趋势。工具支持统计并展示数据访问风险,统计风险资产数、源IP数、账户数、使用工具数等,并根据统计数据展示攻击风险趋势;支持展示敏感数据异常访
37、问热度、敏感数据异常访问操作类型分布、数据访问资产风险排行。配置管理工具支持对资产管理中的数据库资产梳理,配置资产所属的组织架构及责任人等信息。工具支持自定义报表,统计维度包括:数据库类型、能力单元、组织、资产、时间、表数、字段数、敏感表比例、处置风险、弱口令数、漏洞数、开放端口数、源IP数等。系统安全工具支持配置系统安全等级,可配置密码过期时间、连接登陆失败次数、锁定时间、密码复杂度、未操作超时退出时间、系统防火墙开启关闭、访问IP黑白名单等。系统监控工具支持对引擎状态(Al引擎、采集引擎、统计引擎、规则引擎、入库引擎)磁盘空间(磁盘使用率、数据盘/系统盘总量)、CPU/内存、接入网口的流量
38、监控。(二)数据安全运行管理服务(1)数据安全日常运营服务服务指标服务参数服务内容服务内容包括但不限于协助XX区人民政府办公室,包含操作运营数据资产梳理及分类分级、数据库加密、静态水印溯源、动态水印溯源、数据库防火墙、静态脱敏、数据库动态脱敏、APl接口审计、数据态势感知、数据库审计等安全软件,并配合省市下发的数据安全任务完成相关数据安全工作内容。服务要求1 .数据分类分级运营服务针对XX区一体化公共数据平台上所有数据表,提供数据资产管理、数据分类分级规则整理与制定、数据识别与数据分级分类等服务。提供专业人员定期对数据资产按照分级分类标准执行分级分类工作,并根据结果不断优化策略。提供不少于50
39、张表的数据分类分级服务。2 .数据加密运营服务根据XX区一体化公共数据平台上数据表的分类分级结果,对L4敏感字段进行加密,提供不少于50个字段的数据加密服务。3 .数据静态脱敏以及数据库动态脱敏运营服务根据XX区一体化公共数据平台上数据表的分类分级结果,对运维人员访问L3/L4敏感字段进行脱敏,提供不少于100个字段的数据脱敏服务。4 .静态水印溯源和动态水印溯源运营服务针对一本账检查重点表及副本存放的所有数据库,在水印溯源系统上优先设置不同种类水印策略,对数据表中字段注入数据使用方的水印信息,确保数据泄露有迹可循、有据可依。提供不少于50个数据水印策略的服务。5 .数据库防火墙针对运维开发人
40、员,访问一本账重点表及副本存放的数据库,通过权限管控的方式实现代理访问数据库,防止操作人员直连数据库。6 .APl接口审计针对一本账检查重点表及副本存放的所有数据库,API接口审计系统可以将重点表封装的接口纳入监测,重点表封装的接口可对异常调用情况进行告警,并处置闭环。7 .数据态势感知服务数据态势感知平台接入堡垒机、数据库审计、数据库防火墙等设备,配合XX区人民政府数据安全检查要求项中涉及态势感知规则清单,为XX区数据安全态势感知平台优化规则内容,包括不限于新增要求外的规则、按需调整优化规则触发条件、基于审计日志分析识别风险等。提供不少于20条的态势感知规则服务。服务时间自合同签订之日起按照
41、XX区人民政府办公室的工作时间驻场一年运营数据安全工作。(2)数据安全应急响应服务服务内容:根据错误!未找到引用源。提供数据安全应急响应服务,提供数据安全应急预案,并协助甲方在数据安全事件发生后,快速响应并采取措施,以保护数据的机密性、完整性和可用性,包括但不限于健全XX区政务数据安全事件应急工作机制,落实数据安全应急工作机制,提高应对突发事件的综合水平和应急处置能力等。表1数据安全应急响应服务方式故障级别响应时间故障解决时间I级:属于紧急问题;其具体现象为:系统崩溃导致业务停止、数据丢失。10分钟联系技术工程师并且30分钟内提交故障处理方案2小时以内到达现场并且3小时之内解决技术问题II级:
42、属于严重问题;其具体现象为:出现部分部件失效、系统性能下降但能正常运行,不影响不影响10分钟联系技术工程师并且30分钟内提交故障处理方案2小时以内到达现场并且6小时之内解决好技术问题III级:属于较严重问题;其具体现象为:出现系统报错或警告,但业务系统能继续运行且性能不受影响。10分钟联系技术工程师并且30分钟内提交故障处理方案2小时以内到达现场并且12小时以内现场解决好技术问题IV级:属于普通问题;其具体现象为:系统技术功能、安装或配置咨询,或其他显然不影响业务的预约服务。1小时内响应问题远程协助解决问题(3)数据安全风险发现与处置服务内容:要求提供常态化数据安全风险防范处置服务,若发生数据
43、安全风险事件,须根据事件风险等级,提供相应的数据安全风险报告和相关处置建议。服务输出物:XX数据安全风险报告、XX数据安全处置建议服务频率:按月提供,每月不少于一次。(4)数据安全监督检查服务内容:要求定期提供数据安全监督检查服务,出具数据安全监督检查报告和相关处置建议。服务输出物:XX数据安全监督检查报告服务频率:按需提供,不少于4次。(5)数据安全攻防演练服务内容:通过X政钉、电话、邮件、现场等方式进行模拟攻防演练服务,制定应急预案,根据应急预案进行模拟安全攻防演练。服务输出物:XX数据安全攻防演练方案服务频率:按需提供,不少于4次。(6)数据安全重要时期值守服务服务内容:提供重要时期(如全国两会、省两会等)安全保障值守服务,为确保信息系统数据的安全性、保密性、可用性,安排安全技术人员提供值守服务,并提供安全技术人员7*24小时重要时段安全保障值守服务,包括安全监测、应急响应等,并提供相应的重要时期值班服务报告。服务输出物:XX数据安全重要时期保障值守报告服务频率:按需提供,不少于2次。
