数据安全综合治理管控提升项目需求.docx

《数据安全综合治理管控提升项目需求.docx》由会员分享，可在线阅读，更多相关《数据安全综合治理管控提升项目需求.docx（11页珍藏版）》请在第一文库网上搜索。

1、数据安全综合治理管控提升项目需求一、项目内容序号模块/服务内容服务内容描述服务内容明细数量1数据安全综合治理管控提升隐私/关键数据监控及泄露防护服务网络数据泄露防护服务12终端数据泄露防护服务13API应用网关管控服务应用(API)数据安全服务14云安全加固服务(WEB防护服务、数据库审计服务、终端防护服务)WEB应用防护服务15数据库审计服务16主机安全防护服务1二、隐私/关键数据监控及泄露防护服务功能要求(-)网络数据泄露防护功能性要求1 .识别能力(1)能够准确识别出身份证号、银行卡号、磁道信息、军官证等有明确标准 定义的数据，并能够对这些数据进行宽泛或精确的校验，支持自定义校验内容,

2、而非通过正则表达式进行简单的判断识别；同时能够对识别出的数据进行统计和 去重处理；系统内置不少于700种以上的数据识别模型，并且能够快速进行数据 识别模型更新；(2)对于word ppt等嵌套文件和zip、rar等常见压缩文件能够判断文件嵌 套或压缩的深度，深度至少识别出100层；同时，也可以将每个被嵌套的文件进 行单独的内容识别，判断要识别的内容是否都在一个被嵌套文件中，还是分散在 多个嵌套文件中；能够根据被识别文档中包含的敏感数据数量自动标定被识别文 档的严重等级。2 .防护能力(1)系统能够对网络中的 HTTP、HTTPS SMTP、SMTPS POP3、PoP3S、 IMAP、IMAP

3、S、FTP、FTPS、NFS、Samba等协议进行监控，并能够完整地进 行恢复流量中传输的内容；(2)系统能够对上传到Web系统的文件,和从Web系统下载的文件进行加密， 加密解密过程用户和Web系统无感知;系统能够对BBS论坛、网盘、文库、Webmai1、 云笔记、SNS社交等各种web应用进行监控，能够对上传的超大文件进行完整 地恢复和扫描，并对包含敏感数据的传输行为进行防护。3 .部署能力(1)业务端支持旁路镜像、正向代理、反向代理、网络串联、策略路由等方 式进行部署；在旁路进行模式下，通过流量镜像方式实现流量监控，能够同时对 多网口的流量进行监控；(2)系统内置多种识别规则，支持自定义

4、防护策略，并对每个策略指定优先 级、有效期，对策略产生的泄漏事件定义保留期限，一条策略可以同时应用到终 端防泄漏、网络防泄漏、邮件防泄漏产品，并可以对不同产品定义不同的防护措 施；(3)对于在线训练的识别模型，在使用过程中能够收集产生误报的文件，并 将误报文件自动加入到训练模型的反向样本中进行再次训练，以提升模型的识别 准确度。(二)终端数据泄露防护功能性要求1 .识别能力(1)能够准确识别出身份证号、银行卡号、磁道信息、军官证等有明确标准 定义的数据，并能够对这些数据进行宽泛或精确的校验，支持自定义校验内容， 而非通过正则表达式进行简单的判断识别；同时能够对识别出的数据进行统计和 去重处理；

5、系统内置不少于700种以上的数据识别模型，并且能够快速进行数据 识别模型更新；(2)对于word、ppt等嵌套文件和zip rar等常见压缩文件能够判断文件嵌 套或压缩的深度，深度至少识别出100层；同时，也可以将每个被嵌套的文件进 行单独的内容识别，判断要识别的内容是否都在一个被嵌套文件中，还是分散在 多个嵌套文件中；能够根据被识别文档中包含的敏感数据数量自动标定被识别文 档的严重等级。2 .防护能力(1)系统能够自动采集并监控终端新增的应用信息；并对各种应用配置运行 和访问权限，禁止运行高危应用、外置应用程序给系统带来风险，对存在泄漏风 险和未知应用的访问敏感文件行为进行审计、阻断、审批、

6、备注等管控措施；(2)系统能够监控到用户的打印或虚拟打印行为，能够根据不同用户设置不 同的打印权限，能够对打印的敏感文件进行审计、拦截、提供流程申请、要求说 明原因、添加水印等保护，水印内容、样式、字体、颜色可以自定义，支持文字、 图片、二维码、溯源水印；(3)系统能够对终端接入的网络进行监控，对接入非预定义的合法网络时， 系统会产生审计记录、或阻止通过该网络发送任何流量；终端在接入合法的网络 后，能够对指定应用的外发流量进行监控或例外，被监控的流量中如果包含敏感 内容时能够进行审计、告警、阻断；同时支持按IP地址进行例外；(4)系统提供离线文档保护功能，对需要外发的文件进行加密，并设置读写

7、权限、编辑权限、打印权限和有限期等，外部人员在访问该文档时会自动添加窗 口水印；(5)系统可以自定义审批流程，并对不同的审批流程增加说明，用户可以根 据所在部门、业务要求选择不同的流程进行审批操作；审批流程可以自定义多种 审批模式，支持指定审批人员、部门审批、逐级审批、是否会签；(6)系统内置多种识别规则，支持自定义防护策略，并对每个策略指定优先 级、有效期，对策略产生的泄漏事件定义保留期限，一条策略可以同时应用到终 端防泄漏、网络防泄漏、邮件防泄漏产品，并可以对不同产品定义不同的防护措 施；(7)对于在线训练的识别模型，在使用过程中能够收集产生误报的文件，并 将误报文件自动加入到训练模型的反

8、向样本中进行再次训练，以提升模型的识别 准确度；(8)能够统一管理网络DLP、终端DLP等设备，并对事件进行统一的管理和 分析；(9)能够为至少50台机器提供终端防泄漏功能。三、APl应用网关管控服务功能要求(-)资产管理(1)接口资产自动提取和账号资产的自动发现，支持通过手动方式进行应用 资产、接口资产和账号资产的添加，支持内置接口提取规则和自定义接口提取方 式；(2)支持以卡片和列表形式展示应用资产列表，展示包括资产名称、资产域 名等基本信息；展示接口数、敏感接口数、账号数和客户端IP数以及流量和访 问量等统计信息和排序；展示资产的敏感数据识别信息。支持基于应用资产的投 权和敏感情况分布的

9、统计及资产的环比变化支持通过资产名称、IP、授权状态、 敏感属性等进行应用资产的筛选，和应用资产列表导出；(3)支持以列表形式展示接口资产列表，展示接口所属应用、接口名称、接 口类型、接口组及接口敏感属性等信息;展示接口流量和访问量统计信息和排序、 支持接口参数设置和接口全文记录启停、支持通过接口名称、接口类型、启用状 态、敏感属性等进行接口筛选和接口资产列表导出；(4)支持以列表形式展示账号名称、所属应用、登录方式、常用IP等基本信 息；展示账号流量、访问量、登录次数等统计信息和排序；展示账号最近一次登 录的时间、IP和状态等信息。支持通过账号、登录方式、常用IP和敏感属性进 行账号筛选和账

10、号资产列表导出；(5)支持从应用、接口、账号维度建立资产访问分析画像，包含资产基本信 息、统计数据和周期时间内的访问分析和敏感数据访问分析等。支持从应用、接 口、账号维度进行关联风险分析，包含周期时间的风险等级、风险类型、风险 趋势、风险分布和风险策略分布等统计分析；(6)支持以列表的形式展示敏感数据资产，包括敏感数据类型、样例、敏感 等级、接口路径等。(-)安全日志(1)支持审计记录完整的语句详情信息。包括：客户端IP、应用账号、应用 名称、服务端IP、接口、域名、匹配规则、风险等级、风险类型、敏感数据标 签、会话ID、请求时间、请求状态、响应体大小、响应时长、状态码、消息头 和响应等至少1

11、8个审计信息；(2)支持根据会话中的请求顺序进行会话回放。支持审计日志导出，并可定 制导出日志包含的内容，审计日志支持通过SYSLOG、KAFKA方式外发。(三)告警(1)支持根据安全管控规则进行告警。告警内容包括：客户端IP、应用账号、 应用名称、服务端IP、接口、域名、匹配规则、风险等级、风险类型、敏感数 据标签、会话ID、请求时间、请求状态、响应体大小、响应时长、状态码、消 息头和响应、审阅状态和审阅审阅意见；(2)支持告警信息通过邮件、SYSLOG SNMP和FTP等方式进行外发。(四)敏感数据识别(1)支持敏感数据标签库功能，支持自定义敏感数据标签；(2)支持对审计日志进行敏感数据打

12、标，并提供敏感数据样本值、样本样例、 数据个数等信息。支持对应用、接口资产进行敏感数据打标。(五)安全策略支持黑白名单策略，匹配条件至少包括客户端IP、应用账号。白名单命中 后识别为信任行为，黑名单命中后可识别为非法行为。支持自定义审计策略，可 设置应用、客户端1P、应用账号、接口、风险等级、风险类型、数据标签、敏 感等级、时间、请求方法、请求状态、请求关键字、请求URL等条件。(六)数据脱敏支持对Web应用、APl服务调用数据的行为进行解析和监控，并自动分析其 中包含的敏感数据，依据用户、数据控制权限，自动对其中的敏感数据进行数据 脱敏；内置行业模板，快速创建脱敏规则。(七)数字水印预设网页

13、水印设置模板，可对水印显示的内容、大小、位置、字体、颜色进 行设置，支持网页水印的在线预览；支持数据水印，可实现敏感数据内容插入不 可见字符，或生成伪列的方式生成数据水印做到数据水印准确溯源。(A)访问控制支持定义条件包含用户、应用资产、接口等，对用户访问进行安全管控，对 于非法访问情况将直接进行阻断，将不返回相关页面。(九)水印溯源(1)支持根据带水印的数据内容或文件进行数据溯源，可通过应用名称、接 口、账号和客户端IP等条件进行溯源结果的筛选；(2)支持溯源结果分析,包括溯源内容对应的敏感数据类型，命中的记录数。四、云安全加固服务功能要求(-)WEB应用防护服务功能性要求1.保护对象(1)

14、支持多条链路数据的防护，防护网段数量不限；(2)支持通过设置数据缓存、页面压缩进行Web加速；(3)可以设置后端TCP连接模式，可根据业务特点设置长连接和短连接，并 且可以通过设置连接复用，减轻后端服务器压力。2 . HTTPS 防护(1)支持HTTPS协议的选择可以选择SSLTLS协议版本，可选SSLV3、 TLS1.0 TLS1.1 TLS 1.2；(2)支持HTTPS站点SSL算法自动探测功能。探测时可以指定站点及端口， 可以显示探测结果。3 .客户端安全防护支持客户端安全防护，插入特殊的HTTP报头以保护客户端免受某些攻击包 括但不限于增加以下安全报头。4 .智能学习(1)支持智能学习

15、安全功能,可以对用户Web业务系统建立安全的访问模型， 学习的内容包括URL地址、URL请求参数等信息；(2)支持设定学习的周期，域名信息，可信任的客户端IP,不可信的客户端 IP以及不学习的URL信息；(3)模型数据可以显示学习中的URL数量，学习完成的URL数量、检测中 URL数量、学习失败的URL数量，同时可以显示各个阶段的占比情况，数据模 型可实现在线更新。5 .智能攻击者锁定支持智能识别攻击者，对网站连接发起攻击的IP地址进行自动锁定禁止访 问被攻击的网站,可配置攻击者锁定时间,可配置将攻击者直接加入网络黑名单。6 . CC防护功能支持根据细粒度条件对CC攻击进行检测和防护；匹配条件由URL参数、 请求头部字段、目的IP、请求方法、地理位置组成；测量指标由请求速率、请 求集中度、请求离散度组成；客户端检测对象由IP、IP+URL、IP+UsejAgent 等参数组成；支持从请求头字段获取真实源IP地址。7 .日志报表管理(1)根据产生的安全日志进行智能分析，提高人工分析效率，减小规则误判 概率；(2)能够统计分析出用户所访问URL/IPTOPIO数据；(3)支持根据PCI DSS标准对网站进行扫描评估并导出PCI DSS合规报表。(二)数据库审计服务功能性要求1 .协议支持支持 MOngODB、Hb