《XX市公共数据平台安全防护系统项目采购需求.docx》由会员分享,可在线阅读,更多相关《XX市公共数据平台安全防护系统项目采购需求.docx(12页珍藏版)》请在三一办公上搜索。
1、XX市公共数据平台安全防护系统项目采购需求一、采购清单序号设备名称技术要求数重1API安全访问管理详见技术参数要求12数据加固详见技术参数要求13数据水印溯源详见技术参数要求14数据库权限管控详见技术参数要求15等保二级测评服务详见技术参数要求1二、技术参数要求2.1 API安全访问管理类别指标项详细功能要求PI资产治理接口发现及管理支持通过镜像流量或探针代理自动识别请求和返回中的AP1.资产及应用资产,包括但不限于AP1.的接口信息、参数信息、请求方法等:支持通过AP1.资产的发现时间、活跃时间、访问次数、请求方法进行关联分析,识别已知API、未知API。敏感标签系统内践敏感标签,包括个人敏
2、感信息、组织敏感信息和基础信息,同时提供敏感标准自定义功能,可通过正则表达式、关键字等方式自定义。资产画像通过IP、端口、AP1.接口统计、AP1.流量统计等维度构建资产画像,画像展示包括访问此次、请求方法、状态、发现时间、活跃时间、近期访问曲线等。身份身份发现r未知身份信息,系统会主动记录相关信息,包括治理应用信息、主机设法信息,登录时间及操作行为等信息,基于以上信息可构建身份特征。身份画像通过梳理身份标卷、访问关系拓扑、上下文访问链路等建立身份画像,通过身份基线比对,实现风险身份的自动化智能监测.风险监测高须访问监测针对AP1.接口访问频次、单日请求次数、单日获取敏感数据次数等维度设巴对A
3、PI接口的访问监测:异常行为监测支持自动识别流量中SQ1.注入、XSS跨站攻击、命令注入等异常行为;支持对API流量中的敏感数据进行识别,包括但不限于身份证号、手机号、银行卡号等;支持对雎1P、堆UR1.单位时间内的高频访问敏感数据进行检测,识别调用API接口的异常行为:风险分析提供数据接口访问情况统计,展示数据访问量、业务流转、应用访问热度、AP1.分账、应用涉敏接口、流动防护等:安全管控访问控制支持AP1.访问策略关联设置到具体的八P1.接口资产;支持通过预设敏感词类型、敏感词以及自定义敏感词,根据配置对报文进行检测,对检测到配置中的敏感词执行脱敏处理动作。访问策略关联支持将不同的接口访问
4、控制策略关联设坦到具体的API接口资产上,对AP1.接口进行个性化访问管控。告警管理支持对告警信息进行详细的设置,包括告警接受对象、接受方式、接受内容、接受时间等信息。通报预警告警方式多样,支持以工作潦与WEB界面的弹窗、声音进行提醒,支持通过短信、邮件、企业微信、钉钉等方式发送提醒.事件审计事件溯源支持将采集的安全事件信息进行展示,提供事后安全审计追溯能力。并对安全事件进行合并去亚、富化。智能检索支持以安全事件发生时间、关键字等要素对安全事件进行快速检索,系统管理平台安全平台具有安全审计员、安全保密员、系统管理员三种角色,实现三权分立。支持对平台用户的密码史杂度(数据、大小写字母、特殊字符、
5、密码长度等)、有效期、夏杂度、密码错误锁定策略等进行限制,有效期过后提供登录全置密码或禁止登陆需联系管理员处理2种处理方式,以确保平台自身账户的安全。日志管理支持对所有操作日志进行展示与详情查看,能以日志时间、用户名、操作类型、操作模块等要素进行精确搜索。其他运行环境支持国产化软硬件环境部署和运行。性能指标可管理的AP1.大T500个。服务要求提供3年质保服务,签订合同时提供原厂商质保承诺函.2.2 数据加固类别指标项详细功能要求数据库加密数据加密提供数据库初始化加密操作向导,加密任务建成后提供预估的加密时间、监测加密任务执行状态。支持以列、表两种细粒度的加密方式。支持对加密资产月入的数据进行
6、加密,实现密文状态存储。支持业务在线加密,不需要业务停机。加密算法加密算法至少应支持AES1.28、AESI92、AES256等国际密码算法,SM4国密算法。离线加解密支持离线加解密工具及加密信息记录,记录包括用户名、邮箱、电话、加密内容、加密地址等。对敏感数据文件加密,保障数据交换传递或备份安全,接收方需获取投权并验证信息后才可将密文数据解密使用。密文存储加密后的数据文件以密文形式存储“数据访问透明加密索弓I支持以下索引类型的加密正常读写、等值杳询和范围查询:B1.OB数据、C1.0B数据、IoT表的VaPPing表、B*Tree索引、BitmaP索引、全局索引等.SQ1.语句透明对于增税改
7、查操作、函数、存储过程等均透明:对于主外键、NOTNU1.1.等全要约束透明。无需修改应用系统代码,业务系统及数据库访问工具如P1./SQ1.、JDBC.ODBC等访问数据库时不受影响,实现透明加密。密钥管理密钥管理支持使用SM1.国密算法对工作密钥进行加密。支持对密钥进行更新,使备份卜载的旧密钥不可用。密钥备份支持对加密后的密钥进行备份,防止密钥丢失带来的数据不可恢曳问题:支持通过平台下载密钥.斤心管理数据库管理支持资产的集中管理,包括数据库名称、IP地址、端口号、实例名、数据库类型等。加密资产管理支持根据数据库查看加密资产的信息,以表加密、列加密两个维度查询当前的加密资产。访问控制身份管理
8、使用数字证书绑定安全客户端,当用户登录管理平台,系统可自动校验安全客户端的合法性。支持设置用户、工具、应用程序等各类访问主体的权限。执行加密任务前需提供数据库凭证,5佥证失败无法执行加密任务。对业务无感知,加密对业务访问结果不产生影响。访问管M.对业务无感知,加密对业务访问结果不产生影响。支持基丁身份的密文访问控制,根据用户权限进行数据库返回结果控制,只有拥有合法权限的数据库用户才可看到明文,无合法权限的用户返回经过加密的数据或禁止访问。支持自定义加密访问管理方式,如业务系统提供明文访问模式:其他软件和对象提供明文及密文访问模式配置。返回密文支持加密、空值、遮盖、随机映射等,可配置。系统管理日
9、志审计支持对数据库的登录行为进行审计,包括登录时间、规则名称、数据库用户、客户IP、应用名、数据库IP、响应行为等;支持对数据库的访问行为进行审计,包括访问时间、规则名称、客户端1P、数据库账户、数据库IP、SQ1.语句、响应行为等:日志外发支持以kafka、Sys1.og等方式外发登录审计、访问审计、告警日志等。告警信息支持对告警信息进行详细的订阅设置,包括订阅告警接受的对象、接受方式、接受内容、接受时间等信息.告警方式多样,支持通过短信、邮件、专有钉钉、钉钉等方式发送提醒。系统监控可实时监控平台的CPU使用率、内存使用量、磁盘情况,并通过图表形式直观展示,快速定位整体性能指标及系统运行情况
10、。用户角色产品应支持用户角色权限管理等,可配置支持三权分立,提供系统管理员、安全管理员、审计管理员角色。数据库兼容性支持支持GreenP1.Un1、PostgreSqRMySq1.等主流数据库和通用国产数据库。运行环境支持国产化软硬件环境部署和运行。服务要求提供3年质保服务,签订合同时提供原厂商须保承诺函2.3 数据水印溯源指标项指标要求功能要求支持图形化操作创建、修改、删除水印任务和水印策略,同时支持自定义水印任务和水印策略的创建.支持嵌入伪列、伪行、不可见字符、数字等水印信息。支持数据源中数据存储格式为UTF-8、GBK.Unicode.GB2312、ZHS16GBK等字符编码数据格式注入
11、水印。支持经过水印处理的数据,不影响数据的使用,不易被察觉,可将数据生成到数据库中或者文件中。支持源降到目标降水印(包含支持同库水印)、支持数据库到文件水印、文件到文件水印。支持自定义嵌入水印方式,用户可选择不同的水印兑法,并根据水印算法进行字段规则的选择,制定水印方案,水印方案制定后,可被重曳利用.支持对疑似泄翻数据文件或数据表,直接上传到数据水印系统,一键溯源,自动化展示出溯源结果,生成溯源报告。支持对水印溯源的匹配率设置,可根据客户设置的溯源匹配率进行水印的检测。支持建立不同周期的水印作业,时间设置完毕,作业会在指定时间自动运行。支持查看启用中的作业,查看每个启用中的水印作业状态,对作业
12、进行实时监控或停止作业操作;支持查看已停止的作业,杳看作业执行结果、历史执行结果,对作业进行重新作业。支持对数据源、水印任务添加、修改审批:未经审批,则数据源及任务无法使用。系统支持短信等多因子登陆认证技术,且多因子认证功能可在操作系统U临时关闭,防止短信等接口出现临时性故障等,影响业务使用。支持通过AP1.接口创建水印任务.性能指标静态水印性能指标:峰值处理能力:250GB/小时;255万单元格/秒。提供不少于20个数据库实例支持。数据库类型支持需支持OraC1.e、InySq1、Grecnp1.um6、PostGrcSQ1.11等多种类型数据库.运行环境支持国产化软硬件环境部署和运行。服务
13、要求提供3年质保服务,签订合同时提供原厂商质保承诺函2.4 数据库权限管控类别指标项详细功能要求核心功能数据智能发现支持按单个IP或IP段发现数据源支持敏感数据自动发现,针对不同权限的运维人员提供细粒度的安全管控,具有某个权限的用户只能访问特定级别的数据。具名敏感数据探测能力,自动发现敏感资产。支持敬感发现结果列表屣示,包括表名、列名、旅感类型、数据抽样示例等,支持对发现结果进行校正。身份准入支持身份的多因素认证,系统根据多维身份管理策略,自动判别登录主体的合法性,如不符合设定的身份管理策略,登录失败。支持识别真实应用及SQ1.管理工具的MD5值,防止假目应用及假冒SQ1.管理工具违规访问数据
14、库。支持通过应用动态指纹精准识别应用身份信息,防止假日应用及假日SQ1.管理工具违规访问数据库。支持为敏感数据管理人员身份分发唯一的数字证书,每张数字证书只能载入一个唯的U盾,以实现在数据库用户密码被泄褥的情形下,仍能阻止非法用户登陆目标数据库,解决仅依养福码认证带来的安全不足问题。支持通过不删除账户的方式,在系统中回收资产授权权限。身份治理对登陆访问事件信息中的主体信息与身份信息进行比对,对未命中的主体身份,快速发现进行治理安全登陆支持运维账号与数据库账号及密码进行映射绑定,运维人员使用分配的运维账号,在不知道数据库其实密码的情况下,完成对数据库的运维和管理。支持通过OTP码实现账号托动态密
15、码校验,避免账号/密码共用。支持安全客户端的短信二次认证功能,当登录安全客户端时,发送短信验证码,验证成功才能正常登陆访问控制针对敏感数据集合的访问,任何账户(包括DBASYSDBSchemaUSerany权限等用户)都需要通过投权才可以访问,对不具备访问权限的操作,明确阻断拒绝,并提示“安全权限不足错误”.实现用户权限分离管理。支持拦截指定对象的A1.TERTAB1.E、A1.TERTAB1.ESPACE、DROPDATABASE,DROPTAB1.E,CREATETAB1.E、DROPTAB1.ESPACExDROPUSER、TRUNCATE等高危操作行为(可自定义),支持数据库权限变更行
16、为管控。支持数据库授权管理控制,包括数据库角色权限管理、数据库对象权限管控、数据库系统权限管理.支持针对数据库用户的代码管控进行控制,包括过程、函数、包、触发器、视图等代码进行创建、州除的安全管控。支持账户访问频次控制,避免一定时间内的高频次访何,避免数据潦失。支持修改、删除等操作的行数控制,避免数据大员泄漏。支持基于表和SChema进行快速授权到某些用户或用户组。安全防御支持自定义时间周期进行僵尸账号检测,对僵尸账号进行锁定,防止他六账号造成数据泄露.支持自定义时间周期设置,在设定时间内无操作将被登出.支持自定义会试登录以及次数设置进行数据库口令暴力破解防御,对口令攻击行为进行防御,防御数据
17、库爆破行为。敏感数据脱敏支持基于列的业务敏感类型,设置脱敏策略,实现相同的业务敏感类型同时设身脱敏策略。脱敏算法支持对敏感类型数据进行自定义分段脱敏设置支持运维侧脱敏,针对不同运维人员返回对应的预授权结果。工单管理具备工单管理模式,通过工作流的方式对敏感表格和敏感SQ1.访问授权,形成逐级审批机制。支持以图形化形式直观展现工单审批流程。工单申请支持按不同的库,走不同的审批人方式审计支持SQ1.命令(包括查询、新增、修改、删除等行为)的细粒度审计和分析,并详细记录管理用户的行为信息,包括规则名称、数据库主机、目标数据库名称、数据库实例名、客户端IP/端口、主机名、数据库用户名、物理地址、应用名称
18、、应用用户、企业用户、命令类型、资产名称、执行时间、响应行为、风险级别等。数据库监控支持统计数据库请求数、会话数、流量信息报表管理支持日报、月报、周报等生成,导出格式支持PDF/word。系统管理.平台安全平台具有安全审计员、安全保密员、系统管理员三种角色,实现三权分立。支持对平台用户的密码更杂度(数据、大小写字母、特殊字符、密码长度等)、有效期、如杂度、密码错误锁定策略等进行限制,有效期过后提供登录重置密码或禁止笥陆需联系管理员处理2种处理方式,以确保平台自身账户的安全。日志外发支持通过kafka和sys1.og进行日志外发,支持登录事件、访问事件、告警事件、系统悚作日志、系统日志等日志外发
19、。告警支持以图形、列表等方式查看告警信息,以列表形式展现的告警信息应当包含告警时间、告警内容、告警等级、用户1P、数据库代理IP、事件等。告警方式至少包括:邮件、页面、短信、专有钉、钉钉。安全告警支持基于任意组合订阅的模式,实现个性化告警订阅管理。运行环境支持国产化软硬件环境部署和运行。性能指标提供不少于20个数据库实例支持。数据库兼容性支持支持GreenPIUnkPostgreSqRMySq1.等主流数据库和通用国产数据库。服务要求提供3年质保服务,签订合同时提供原厂商质保承诺函.2.5 等保测评费(二级等保)根据国家等级保护(二级等保)相关标准,对信息系统进行等级保护测评工作,出具符合公安
20、部门要求的测评报告,并协助本单位完成相关备案工作。2.6 服务要求1)对本项目安全设备平台定期巡检,检查设备运行情况、告警发现情况、处置情况,通过设备告警和使用情况及时发现安全隘患,及时联动公共数据平台运维团队开展协助处置工作。2)根据E公共数据平台权限管控细则3做好数据阵账号以及账号权限管理”按照规的检查权限管控平台规则配日,平台高危操作工单授权等。3)根据省数据同数据安全检查要求,对重点数据开展自查工作,同时梳理及准备市本级以及区县相关台账等材料,针对现场不合格项进行监督整改,接受省数据局的数据安全检查。4)根据省数据局对重点数据检查要求,对XX市五县两区数据局开展重点数据安全检查和答疑工作,及时发现安全隐患并监督整改。51设备交忖前须对应采购参数要求逐项进行功能和性能测试,如发现无法应答,做无效标处理,并追究相应货任:6)考虑到运维安全因素,所有工作需安排工程师到达指定现场处理:7)合同签订之日起7天内技术服务人抗到位并完成设备安装调试.
