《能源信息监管服务平台建设方案.docx》由会员分享,可在线阅读,更多相关《能源信息监管服务平台建设方案.docx(31页珍藏版)》请在三一办公上搜索。
1、能源信息监管服务平台建设方案能源信息监管服务平台建设是贯彻落实“四个革命、一个合作”能源安全新战略和推进全省能源行业高质量发展的一项重要举措。平台统筹考虑政府监管、企业发展、产业赋能需求,全面梳理整合既有信息平台资源,统筹建设省、市平台,建立标准体系,创新协同机制,形成“统一平台架构、统一数据格式、统一技术标准、统一工作机制”,充分利用现代信息技术,建设全国领先的能源信息监管服务平台。序号类别建设内容规格参数数量单位1安全软件数据安全治理管控平(1)数据安全治理基础服务平台数据安全治理管理平台在整个数据安全治理体系中处于核心的枢纽地位,向上承接各类制度规范的拆分和解读,使之成为具体可落地、可执
2、行的安全策略;向下基于统一的、全局的安全策略,驱动和调度各种能力组件(数据安全产品)执行各种安全策略;数据安全治理管理平台同时需提供对安全运营服务的支撑,使得制度、规范、流程、风险评估、安全能力、安全策略形成闭环,从而为数据安全构建起一套综合的防护体系。以数据为中心,围绕系统实际业务场景以及用户的数据运营流程,在对数据资产自动发现并分级分类的基础上,根据不同场1套景的安全需求和安全风险,统一制定安全策略并调配底层能力组件,实现数据全生命周期管理。包括数据资产安全管理、数据安全策略管理、数据安全风险管理、数据全生命周期管理、数据安全溯源取证、数据水印、数据流转分析、数据安全合规管理、数据安全通报
3、预警管理、数据安全事件流程管理和数据安全态势呈现。以平台为基础需完成以下内容:依据系统数据业务场景构建重要数据和敏感数据的总体保护策略;以平台为基础,对人、技术、制度、流程等环节进行标准化管理,准确掌握需要保护业务的内容,定位系统敏感数据等重要信息,最小化敏感数据的数量和知悉范围,进行针对性防护,以最小的保护成本取得最好的防护效果;以平台为基础,按照决策层、管理层、执行层、供应商/服务商、监督层的组织架构设计数据安全的组织架构设计;以平台为基础,依据数据保护总体策略和体系以及实际业务场景,建立数据保护整体管理规范和执行流程;以平台为基础,针对业务场景中涉及的商业秘密和个人信息数据的保护流程进行
4、设计,满足客户自身利益和合规性的保障;以平台为基础,建立重要数据与敏感数据的监督体系,明确对数据的检查与审计方法和流程;以平台为基础,对重要数据与敏感数据建立应急响应体系,建立数据安全事件的总体应急预案以及专项应急预案;以平台为基础,依据数据安全保护总体策略建立客户自身数据安全与数据治理的体系架构;以平台为基础,结合客户业务特点和场景和管理要求,对各类数据可能存在的泄露风险点进行分析,制定数据安全策略,形成数据泄露防护能力;以平台为基础,结合数据业务要求和业务场景,对各类数据展示环节、共享交换、开发测试场景的重要数据设计数据脱敏策略,保障数据不被越权防护或泄露;以平台为基础,依据数据存储方式和
5、传输方式,设计数据存储加密的最小化场景,做到满足性能要求的平衡前提下,保障数据安全;以平台为基础,结合数据管理体系和数据治理情况,对人员、周期报表、分析评估形成标准化执行,实现客户数据安全运营;对数据采集、传输、存储、处理、交换、销毁各个阶段进行防护设计和保障工作,构建数据全生命周期安全能力;对敏感数据的流转场景如敏感信息未脱敏化、无认证访问行为、参数篡改访问、低权访问高权业务、跨区域非法办理业务以及账号复用、批量且高频的访问敏感信息等场景进行监测和审计,若违反预设监测模型的场景发生异常访问行为则进行告警及通报;基于异常行为规则和敏感信息访问规则并结合数据安全治理平台,实现用户异常行为及敏感信
6、息访问分析、异常访问、操作行为。以平台为基础,为涉及的用户进行全面的员工数据安全意识普及和教育培训,针对的是最一般性的工作所需,目的是提高整个组织普遍的安全意识和人员数据安全防护能力,使组织员工充分了解既定的安全策路。培训中强调分析典型案例、汲取经验教训、培养安全习惯、提升客户整体的安全认知水平;以平台为基础,为达到在业务系统中良好的流程渗透,提出通过统一化的管控手段进行策略的下发,即形成统一的资源池,进行技术集中化管理,极大程度的减少技术落实困难等不可控场景的发生,将安全管理和安全技术真正实现交叉互融,确保安全保障措施的落实;以平台为基础,需提供对主流数据安全产品的配置和维护,熟悉数据风险评
7、估和风险分析技术,保障数据的正常稳定运行;以平台为基础,根据用户的数据使用场景、权限场景以及数据安全管控工具产生的安全事件进行深度挖掘分析,从而设计高符合用户业务的安全事件行为模型;以平台为基础,基于大屏可视化展示界面进行友好设计,达到在大屏展示界面从多维度、多视角进行展示、满足业务分析、处置的基本功能;采集业务系统的涉及主机、数据库、操作系统等基本信息情况;采集当前业务系统数据安全策略和管理制度情况;分析数据业务系统使用场景、功能模块、业务流程场景;分析数据业务系统业务数据的采集、传输、存储、处理、交换、销毁全生命周期情况;对数据业务系统的结构化与非结构化数据的存储规模、存储方式、使用情况、
8、备份策略等情况进行分析;对客户数据根据数据的业务属性、数据类型、使用权限等相关维度进行分析;依据数据对业务系统的影响程度、数据丢失后对客户的影响程度进行数据级别的梳理,为后续不同级别的数据安全策略需提供基础;对客户数据战略的规划、实施、应用过程按照国家标准进行差距性分析;对客户数据治理的组织、管理、沟通过程按照国家标准进行差距性分析;对客户数据架构的模型、分布、集成与共享、元数据管理等过程按照国家标准进行差距性分析;对客户数据应用的数据分析、开放共享、数据服务等过程按照国家标准进行差距性分析;对客户数据采集过程中管理、数据源鉴别、数据质量等内容按照国家标准进行差距性分析;对客户数据传输过程中传
9、输加密、可用性等内容按照国家标准进行差距性分析;对客户数据存储过程中存储媒体安全、逻辑存储安全、备份和恢复等内容按照国家标准进行差距性分析;对客户数据处理过程中数据脱敏、分析安全、正当使用、处理环境安全、导入导出等内容按照国家标准进行差距性分析;对客户数据交换过程中数据共享、发布、数据接口等内容按照国家标准进行差距性分析;对客户数据销毁过程中处置流程、介质销毁等内容按照国家标准进行差距性分析;对评估范围的数据资产进行分类和赋值,资产最终赋值由保密性赋值、可用性赋值、完整性赋值进行计算得出;对客户的数据资的威胁进行定义、分类和赋值,完成数据资产的威胁识别;对客户现有的数据安全措施进行确认,依据数
10、据资产价值、威胁和脆弱性进行风险识别和分析计算、最终得出风险结果;对识别的风险提出有效的风险处置建议,协助用户对风险进行规避和消除。(2)数据资产发现及分类分级能力针对系统全域数据(至少包含业务系统以及数据中台)进行数据资产安全管理,需提供接入资产数量、资产存储数、资产执行敏感发现情况、资产敏感数据占比四个维度呈现资产概览;资产存储数呈现接入平台的资产的存储量,展示存储量最大的TOPlO资产;资产执行敏感发现情况呈现接入平台的资产的扫描情况,展示已完成敏感数据扫描和未进行敏感数据扫描的资产数量;资产敏感数据占比从资产维度呈现不同资产敏感数据数量、非敏感数据数量及占比情况,展示TOPlO资产;应
11、支持的资产类型包括主机、数据库、大数据组件、应用系统;应支持资产名称、资产IP、所属组、资产类型、协议、记录数、敏感数据占比、最近扫描时间等属性管理;应支持敏感数据占比展示,展示该资产上敏感数据百分比,应支持钻取展示该资产上敏感数据的详细信息,包括数据库名、模式名、表名、字段名、数据类型、数据分类、数据分级,并应支持敏感数据查询和导出;应支持最近扫描时间展示该资产最近执行敏感数据扫描的时间;应支持为资产配置所属生命周期阶段属性,便于为相应资产配置管控策略、驱动相应能力组件进行数据安全管控;应支持呈现有敏感数据的数据分类、无敏感数据的数据分类和无识别规则的数据分类的数量;应支持选择不同数据分类,
12、应支持联动展示数据分类名称、数据分类关联的数据类型和对应的敏感数据量;应支持从数据分级、数据分类维度呈现敏感数据和非敏感数据;应支持不同数据分类、数据分级都可以体现数据资产的总量;应支持修改数据类型、分类、分级,应支持对数据资产进行状态确认;应支持样本数据呈现,样本数据呈现考虑脱敏处理;应支持从数据分类、数据分级维度对敏感数据进行批量标注,通过标注把数据资产筛选为重要数据;应支持呈现有敏感数据的数据分类、无敏感数据的数据分类和无识别规则的数据分类的数量;应支持选择不同数据分类,应支持联动展示数据分类名称、数据分类关联的数据类型和对应的敏感数据量;应支持从分级、分类维度呈现敏感数据和非敏感数据,
13、一个文件应支持关联多个类型、一个分类和一个分级,分级取最高级别的分级;不同数据分类、数据分级都可以体现数据资产的总量;应支持修改数据类型、分类、分级,应支持对数据资产进行状态确认;应支持修改数据类型、分类、分级,应支持对数据资产进行状态确认;应支持扫描字段数量、空字段数量、敏感数据量、非敏感数据量统计;应支持从数据分级、数据分类和资产维度呈现敏感数据分布;数据分级呈现不同级别的敏感数据数量和占比,并应支持钻取到指定分级数据分布在哪些资产上、指定资产上有哪些数据类型和不同数据类型的数量;应支持扫描字段数量、空字段数量、敏感数据量、非敏感数据量统计;应支持从数据分级、数据分类和资产维度呈现敏感数据
14、分布;应支持数据分级呈现不同级别的敏感数据数量和占比,并应支持钻取到指定分级数据分布在哪些资产上、指定资产上有哪些数据类型和不同数据类型的数量;应支持数据分类呈现不同数据分类的敏感数据数量和占比,并应支持联动展示下级分类的数量;应支持资产维度呈现不同资产上不同数据分级的敏感数据数量和占比,并应支持钻取到指定资产的分级下有哪些数据类型和不同数据类型的数量;资产维度呈现不同资产上不同数据分级的敏感数据数量和占比,并应支持钻取到指定资产的分级下有哪些数据类型和不同数据类型的数量;应支持以任务为单位展示发现结果,应支持任务名称、扫描资产数量、扫描表数量、扫描耗时、扫描字段总量、空字段数量、敏感数据数量
15、、非敏感数据数量、数据分级、数据分类和资产维度的数据分布情况和详情;敏感数据分布应支持可视化呈现;应支持扫描文件数量、敏感数据数量、非敏感数据数量统计;应支持从数据分级、数据分类和资产维度呈现敏感数据分布;数据分级呈现不同级别的敏感数据数量和占比,并应支持钻取到指定分级数据分布在哪些资产上、指定资产上有哪些数据类型和不同数据类型的数量;敏感发现任务应支持任务名称、扫描对象、扫描数据类型、状态属性管理;敏感发现策略引用定义的策略内容,策略修改情况下下个任务周期使用修改后的策略内容;应支持以任务为单位展示发现结果,应支持任务名称、扫描资产数量、扫描表数量、扫描耗时、扫描字段总量、空字段数量、敏感数
16、据数量、非敏感数据数量、数据分级、数据分类和资产维度的数据分布情况和详情。(3)数据安全统一策略管理能力策略管理能力:支持统一制定数据安全策略,对各类数据安全能力组件进行策略编排、调度。支持安全策略可视化,呈现各类数据安全策略,以及策略与各个安全能力组件的应用关系,便于安全策略的集中制定。包括:数据分类策略、数据分级策略、敏感数据发现策略、敏感数据管控策略、敏感数据监控策略等;应支持的数据类型策略包括:内置默认数据类型模板,可对当前的类型模板进行编辑,应支持数据类型的扩充;可对数据类型策略做新增、删除、编辑、查询操作;数据类型策略应支持识别方式和识别规则配置,识别方式应支持正则表达式、关键字、
17、字段名;敏感数据发现策略:可对策略做新增、编辑、删除、禁用、启用、查询操作;策略执行模式、扫描数据类型以及扫描方式可配,策略模式应支持立即执行、周期执行、定时执行;扫描类型应支持所有数据类型;扫描方式应支持增量和全量;敏感数据管控策略:文件管控策略管理,可对策略做新增、编辑、删除、禁用、启用、查询操作;应支持文件下载、终端下载、文件离线、个人文件分发的管控;应支持文件水印、水印内容的可配;可以根据数据分类分级结果,进行脱敏策略管理,可对策略做新增、编辑、删除、禁用、启用、查询操作;应支持动态和静态脱敏;动态和静态脱敏应支持策略、敏感级别配置等功能。可以根据数据分类分级结果,进行加密策略管理,可
18、对策略做新增、编辑、删除、禁用、启用、查询操作;应支持数据加密、终端文件加密、存储文件加密策略;几种加密策略支都应支持策略、敏感级和加密算法的可配。水印策略管理,可对策略做新增、编辑、删除、禁用、启用、查询操作;应支持数据水印和屏幕水印;数据水印应支持策略状态、算法类型、水印类型、水印内容、自定义的配置;屏幕水印应支持策略状态、水印类型、水印内容、自定义内容的配置。可以根据数据分类分级结果,进行访问控制策略管理,可对数据库访问策略做新增、编辑、删除、禁用、启用、查询操作;应支持策略状态、敏感级配置等功能;敏感数据监控策略:可以根据数据分类分级结果,进行数据库监控策略,可对策略做新增、编辑、删除
19、、禁用、启用、查询操作;应支持策略状态、敏感级配置等功能。(4)数据安全风险管理能力基于人(帐号)的敏感数据行为画像,按照不同的群组,生成群组画像并作为群组成员的基线。通过将个人数据操作和群组画像进行比对,生成画像偏离事件;图形化展现场景事件的统计,包括高频访问、越权访问、高风险指令、敏感数据外发、异常访问、暴力破解,列表方式展示事件日志信息;各类事件的配置。配置内容为检测时间间隔、上限数、黑白名单等。包括:高频访问场景配置,越权访问场景配置,高风险指令场景配置,敏感数据外发场景配置,异常访问场景配置,暴力破解场景配置;对应场景配置产生的事件,将事件详细信息通过列表方式进行展现,并应支持搜索;
20、通过列表方式展现各个能力组件的审计日志,组件能力包括但不限于数据脱敏、数据水印、数据流动安全监测、运维审计、数据防泄漏等。(5)数据全生命周期管理能力安全能力管理功能:平台可对接各类数据安全能力组件,包括但不限于:数据库静态脱敏系统、数据流动监测系统、数据防泄漏系统、数据库加密系统、数据智能管控系统和APl接口监测系统等;可实现对系统数据全生命周期(数据采集、传输、存储、使用、交换、销毁)的统一管理,具备统计图表和概览。数据采集包括系统接口、人工录入、数据库采集、文件采集;数据生命周期可视化功能:全生命周期视图,主要包含数据采集、数据传输、数据存储、数据共享、数据使用、数据销毁六个数据生命周期
21、的综合展示。支持从生命周期六阶段呈现各个阶段涉及到的能力和管控的效果;具备统计图表、概览和日志详情。数据传输包括文件共享传输、物理接口传输、第三方工具传输、应用系统挂载传输、应用系统接口传输;具备统计图表、敏感数据类别和存储日志详情。数据存储包括DB存储、终端存储、服务器存储;具备统计图表、概览和日志详情。数据共享包含文件共享、应用系统共享、数据库共享;具备统计图表和日志详情。数据共享包含运维场景、业务访问场景、开发测试场景;具备统计图表、概览和日志详情。数据销毁包含数据库销毁、服务器文件销毁、终端文件销毁、个人文件销毁。(6)数据安全态势呈现能力至少应具备以下几个方面的数据安全态势呈现视图:
22、数据资产梳理视图,主要包含敏感数据总量、资源数量、数据库数量、服务器数量、大数据组件数量、资产扫描百分比、敏感数据资产发现情况等展示;策略中心管理视图,主要包含策略总条数、数据分类策略数、数据分级策略数、数据类型策略数、敏感数据发现策略数、敏感数据管控策略数、敏感数据监控策略数、策略详情、策略下发情况等展示;能力中心组件视图,主要包含能力组件总数、已建设能力组件数、待建设能力组件数、异常能力组件数、正常能力组件数、能力组件状态、能力清单等展示;风险中心监测视图,主要包含风险等级、风险事件总量、已处理事件数、未处理事件数、事件详情等展示;全生命周期视图,主要包含数据采集、数据传输、数据存储、数据
23、共享、数据使用、数据销毁六个数据生命周期的综合展示。(7)数据安全通报预警能力需提供数据安全通报预警能力,包含数据安全运营中的数据资产、业务系统、风险账号、风险事件等进行监控告警展示;需提供对数据安全分析结果异常行为事件进行相关预警能力,包括如下方面内容:异常访问、暴力破解、越权访问、高风险指令、高频访问、敏感数据外发。(8)数据安全事件流程管理能力可结合系统的实际使用场景,需提供符合用户使用习惯的数据安全事件流程管理能力,实现数据安全事件处置的流程管理,如流程发起、处理、审批和策略下发等功能。(9)数据安全模型设计能力根据用户的数据使用场景、权限场景以及数据安全管控工具产生的安全事件进行深度
24、挖掘分析,从而设计高符合用户业务的安全事件行为模型。用户的业务场景不同,其隐形需求也是各有差别,会针对不同客户的需求进行综合收集与分析,制定符合用户业务场景需求的服务。(10)数据安全合规能力通过本项目对数据安全管理体系、技术体系以及运营访问体系的建设完善,使得系统能够具备数据安全能力成熟度DSMM3级能力。2数据库静态脱敏系统(1)与平台联动管理能力接收平台根据分级下发的静态脱敏策略,按照分级字段配置脱敏规则,实现数据库到数据库的静态脱敏。(2)敏感识别能力脱敏系统内置大量敏感字段识别规则,可以自动发现以下敏感字段:中文姓名、中文地址、身份证、组织机构名称、电子邮件、IPV4地址、IPV6地
25、址、URL地址、电话号码、手机号码、银行卡号、工商注册号、组织机构代码、税务登记号、统一信用代码、军官证号码、车牌号、中国护照、港澳居民来往内地通行证、外国人永久居住证、邮政编码、证件号码混合、姓名和组织机构名称混合;可对识别出的敏感字段做梳理,梳理后的敏感字段应支持表格模板导出与导入;3套应支持自定义敏感信息发现规则,发现规则应支持基于正则表达式、关键字匹配和字段名匹配三种方式;应支持自定义混合敏感数据发现规则;应支持按照系统需求自定义其他敏感数据类型,并且可以通过正则表达式对该数据进行自动识别,包含基于系统数据类型实际设置不同发现策略;应支持白名单功能,对于符合条件的数据不识别为敏感数据。
26、(3)脱敏规则能力脱敏系统内置中文姓名脱敏规则、中文地址脱敏规则、身份证脱敏规则、组织机构名称脱敏规则、电子邮件脱敏规则、IPV4地址脱敏规则、IPV6地址脱敏规则、URL地址脱敏规则、电话号码脱敏规则、手机号码脱敏规则、银行卡号脱敏规则、工商注册号脱敏规则、组织机构代码脱敏规则、税务登记号脱敏规则、统一信用代码脱敏规则、军官证号码脱敏规则、车牌号脱敏规则、中国护照脱敏规则、港澳居民来往内地通行证脱敏规则、外国人永久居住证脱敏规则、邮政编码脱敏规则、随机替换规则、置空规则、日期随机脱敏规则、数值随机脱敏规则;应支持自定义脱敏规则,包含基于系统实际需求自定义,可以基于长度、分隔符进行拆分成任意数
27、量的数据分段,每个数据分段均可以自由配置脱敏算法,由各分段的不同算法,组合成脱敏规则。(4)脱敏策略优化服务对现有业务/开发/测试进行静态脱敏需求调研与分析,梳理静态脱敏的安全策略。3数据流动监测系统(1)部署方式分布式部署,数据综合分析中心平台根据系统实际需求配置虚拟导流器。(2)风险分析能力应支持总体监测状态展示,包括应用系统事件、流量统计趋势、各类告警统计、异常告警统计;应支持数据流转分析的监测展示,可以展示API传输数据、文件传输数据、数据库采集数据的总体态势信息,从数据流转角色、数据流转方式、异常采集行为、涉敏感数据的采集行为等角度进行分析展示,应支持下钻定位原始流转日志;包括系统告
28、警,整体事件告警,异常行为告警等具体告警监控事件的实时展示;通过详细的参数,对各类数据流转事件日志进行查询,包含文件审计日志、数据库审计日志、会话日志等具体日志的查询;1套通过对行为模型的定义,对特定应用系统的特定用户操作轨迹图展示,轨迹图维度可根据资源账号、源ip、客户端程序名、命令、表名、错误码等按需定义,可根据昨天、最近七天、最近30天以及自定义时间进行轨迹显示,可显示下一节点数量,可在某一维度中进行筛选,应支持钻取功能。(3)策略配置能力结合系统对数据流转监控的实际需求进行策略配置。可根据要监控的数据对象进行细粒度的策略配置,包括访问源、时间规则、审计规则及响应方式,同时应支持配置监控
29、策略及会话策略;针对系统数据流转监控过程中的安全异常场景进行配置,包括疑似暴力破解、撞库、同账号上下班操作、异常账号访问、弱口令等;策略对象功能主要审计策略涉及的对象,如应用系统的审计规则对象、IP地址、时间、证书等,供审计分析策略引用;基线功能主要用于对异常行为进行分析告警。通过系统自学习识别了基线访问模型之后,即可以针对基线进行异常访问行为告警;对系统数据监测过程中涉及到的敏感数据进行保护配置,方式敏感数据通过系统泄露。(4)数据资产能力针对系统全域数据(至少包含业务系统以及数据中台)各类数据的承载对象的自动发现,发现数据库、文件或者APl接口服务器、发现数据库、表等;基于系统内容的敏感或
30、者重要数据发现配置,通过内置的数据内容识别引擎,发现特定的敏感数据,并将其使用到数据流转监测上;定义用户角色、数据库、响应内容参数字典,使监测日志具备可读性。(5)统计报表能力需提供内置的统计报表模板,可以根据不同角度的统计模板生成统计报表,如基于业务性能分析的、基于应用系统访问的、基于异常访问分析的统计报表;自动、手动生成的报表展示及下载;使用系统默认或者手动定义报表模板。(6)系统管理能力系统状态监控模块,显示CPU、内存、硬盘、连接等状态信息;包含管理中心及引擎的网络参数配置,第三方服务器配置、SNMP配置、插件管理配置等;包含系统的健康管理、数据备份恢复、系统运行信息诊断以及系统升级相
31、关操作功能;系统授权管理模块,包括各种功能授权的状态显示,授权导入、更新等。4数据防泄漏系统(1)系统管理能力用户登录采用加密认证,管理界面加密传输,应支持管理员通过Https方式访问Web控制台;应支持三员分立管理方式;需提供大量内置模板与规则,如财务数据、机密文档、技术方案、简历、电话号码、身份证号、银行卡号、各类源代码检测标识等,为系统安全建设需提供参考;应支持策略中包含不同算法、算法的组合逻辑,如与、或关系;应支持对策略定级不同危险等级;应支持系统策略、志数据库等信息的备份与恢复功能,应支持策略的导入与导出、数据库定期清除;可通过标准日志协议将事件信息及系统日志推送至第三方管理平台,并
32、应支持事件类型定义及定义口志级别;3套应支持对系统健康状态进行查看,包含:系统运行状态、CPU使用率、内存使用率、硬盘使用率等。(2)扫描发现能力管理控制台直接配置和下发策略,不需要安装代理,也不需要配置其他软件,即可主动扫描目标文件服务器中敏感文件信息;可设置扫描周期和时间的任务。应支持增量扫描和全量扫描;应支持开启SSH服务的各类服务器系统;应支持各类数据库扫描;应支持各类大数据平台;扫描的事件上报至管理平台,由管理平台上展现相关的扫描数据;应支持通过图形化报表与数据报表相结合,对数据驻留情况与变化进行分析;采用自有文档解析的技术,识别不需要安装第三方文档解析组件。(3)内容识别能力采用自
33、有文档解析的技术,识别不需要安装任何文档组件或第三方文档解析组件;能够识别常见的文档类型;能够识别常见的压缩文件;能够识别常见的加密的文档;对于不带扩展名或修改扩展名的文件,能根据其文件特征识别其文件类型;正确识别各种位置的关键字:应支持文档页眉、页脚、批注信息识别;应支持各格式文档之间相互嵌套的检测;能够对文件大小进行识别;能够指定文件类型进行识别。(4)检测算法能力能够自定义,应支持关键字、正则表达式、文件MD5、文件指纹等;应支持关键字,多个关键字应支持“或”和“与”的组合;应支持正则表达式,应支持预置常用检测数据如:包括电话号码、银行卡号、身份证号、IP地址等;正则表达式应支持有效性较
34、验,可以准确识别中国身份证号码、信用卡号码、IP地址等信息;关键字,正则表达式应支持匹配次数定义,进行阈值设置;关键字,正则表达式能够定义应支持指定邮件检测位置;应支持文件MD5,可以跟据导入的敏感文件的MD5值来匹配敏感文件;应支持文件属性,能够指定文件类型进行识别,包含指定类型文件识别为敏感信息。(5)防泄漏策略设计服务对重要数据的数据使用场景进行调研分析,制定出适用于客户数据交换场景的数据泄漏防护策略。5数据库加密系统(1)与平台联动管理能力接收平台根据数据分级下发的加密策略,按照数据分级字段进行加密。(2)加解密队列配置管理能力应支持配置用户访问密文表的权限,选定加密算法,加密方式;应
35、支持解密队列配置,对选定的密文表进行解密队列配置。(3)密文表数据列变更能力应支持对密文表进行新增明文列操作。(4)回滚表/列结构能力应支持对已解密的数据表回滚为业务系统原结构;3套应支持对检查需回滚的表结构相关联的队列运行情况;应支持回滚完成后的状态显示。(5)表加密能力对指定数据库下的数据表进行加密;对指定数据库下的明文数据表进行解密;(6)操作审计能力应支持查看所有系统操作行为的日志信息;日志展示形式:包含操作时间、操作用户、操作IP、操作对象、操作内容;应支持根据检索条件检索过滤操作行为日志。(7)加密策略优化服务对重要数据的加密需求进行调研分析,结合业务场景中对性能的要求,制定合适的
36、数据加密策略。数 据 智 能 管(1)与平台联动管理能力能够按照平台对数据全生命周期管理要求,按照平台接口需提供组件状态、运行状态、磁盘情况以及防护效果等信息进行上报。(2)操作管控能力统一登录界面、单点认证、主从账号管理、审计日志管理、系统管理等;实现对运维操作的集中管理、访问控制、单点登录以及操作审计等功能;基于规则实现策略管理功能,可以指定运维命令、访问时间、访问IP和脱敏规则,可根据系统实际需求制定不同规则策略;应支持负载均衡,包括可用检测、会话保持、负载检测、用户流量自动分配功能。(3)工具管控能力应支持各类主机的TeInet、Ftp、SSH等字符协议代理及其审计策略;应支持RDP/
37、VNC协议代理及其审计策略;应支持各类数据审计和访问控制;应支持加密、非加密字符协议的命令授权和复核的主机金库;应支持数据库语句的授权和复核的数据库金库。(4)数据管控能力应支持数据库敏感信息的自动发现和分布展示,可根据系统实际需求展示不同界面;应支持根据用户权限大小,对数据库访问操作过程中的敏感数据进行模糊化处理。(5)智能管控风险分析服务对重要数据在管理场景下的各类违规操作进行分析,判断其中风险,提出整改建议,并形成管控风险分析报告。(1)与平台联动管理能力能够按照平台对数据全生命周期管理要求,需提供组件状态、运行状态、磁盘情况以及防护效果等信息进行上报;A接收平台下发的API接口监控策略
38、,可根据系统实P际需求制定不同接口策略,对高风险数据操作行为进行I监测,相关行为进行审计、告警。接(2)部署方式管理口虚拟化(云)部署:针对流量解析,需虚拟化平台引监流或部署Agent采集HTTP流量。(3)API发现功能能力应支持APl接口发现工作模式配置;模式1:持续发现模式,代表开启APl发现功能后,不间断发现流量中新增的API接口信息,在虚拟化部署方式,仅应支持发现已监控应用的新增接口;模式2:时间段模式,代表启动一段时间范围内的新增的APl接口发现功能。(4)接口敏感监测能力根据时间规则、访问频次规则、关键字库管理匹配、个人敏感数据监测规则对接口交互信息进行合规监测,可根据系统实际需求设计规则。(5)接口监测分析服务对重要数据API接口的安全进行人工分析判断,识别风险,最终形成APl数据接口风险分析报告。
