XX省XX政务外网网络和数据安全提升采购需求.docx

《XX省XX政务外网网络和数据安全提升采购需求.docx》由会员分享，可在线阅读，更多相关《XX省XX政务外网网络和数据安全提升采购需求.docx（34页珍藏版）》请在第一文库网上搜索。

1、XX省XX厅政务外网网络和数据安全提升采购需求一、项目背景根据监管部门的安全考核要求，在现有政务云平台底层防护能力之上，按照我厅20XX年度数据上云迁移工作计划，完善20XX年上云数据安全体系，强化XX政务外网接入区的安全保障能力，提升安全风险的识别和处置能力。二、标准及原则（-）标准要求项目建设应符合如下标准或规范：1. XX网络安全态势感知体系技术方案（XX网信函202311号）2. XX省公共数据安全日志审计规范（20239号）3. XX省大数据发展管理局关于印发XX省电子政务外网安全评估指标（试行）的通知（X数局发函2O223号）4. GB/T22239-2019信息安全技术网络安全等

2、级保护基本要求5. GB25070-2019信息安全技术网络安全等级保护安全设计技术要求（二）建设原则项目建设应满足以下原则：1 .保密原则：对建设过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，否则采购人有权追究响应方的责任。2 .标准性原则：设计与实施应依据国家、XX部、XX省和XX厅相关标准要求进行。3 .规范性原则：项目建设过程及产出的文档，应当具有规范性。4 .可控性原则：项目建设要做到质量、进展和实施效果的可控。三、项目建设内容建设云上数据库权限管控、防护以及审计系统，提升20XX年度上云数据库的安全防护需求，并根据XX部关于网络安全态势感知系统的建设要求和省网络安全

3、监管部门的监测要求，进一步加强态势感知、流量审计、日志分析和政务外网终端安全防护能力。项目采购清单如下:序号采购内容计量单位数量1数据库权限管控套12数据库防护套13数据库审计项14态势感知协同处置套15云上安全事件主动监测套16日志分析套17终端安全防护套18违规外联监测台19涉密信息违规存储监测套110准入控制Za111网络流量审计Za2具体指标要求如下:（-）数据库权限管控系统指标项详细要求规格至少支持20个数据库实例数据库支持支持ORAC1ESQ1SERVER.DB2、MySQ1、达梦、南大通用、人大金仓、oceanbase等主流数据库等主流数据库部署模式软件化部署，支持在政务云环境安

4、装部署。数据智能发现支持按单个IP或IP段发现数据源具备敏感数据探测能力，自动发现SCHEMA（包括未知SCHEMA）表、列中的敏感资产，系统内置的敏感数据类型至少包含以下内容：个人敏感信息：包括中文姓名、身份证、银行卡、护照、军官证、中国护照、港澳通行证、永久居住证、大陆居民往来台湾通行证、韩文姓名、英文姓名、姓名拼音等个人信息；机构敏感信息：组织机构代码、组织机构名称、营业执照、社会统一信用代码、税务登记证、开户许可证、证券名称、证券代码、基金名称、基金代码、英文公司名等与企业机构相关的信息；其它基础信息：电话、电子邮箱、地址、邮政编码、IP地址、日期、货币金额、json串、车牌号码等。身

5、份准入支持身份的多因素认证，至少应支持应用程序名、IP地址、主机名、操作系统账户、数据库用户、数字证书、身份敏感标签、日期、时间、身份类别、有效时间、应用用户名、终端IP等因素的任意组合，系统根据多维身份管理策略，自动判别登录主体的合法性，如不符合设定的身份管理策略，登录失败。支持识别真实应用及SQ1管理工具的MD5值，防止假冒应用及假冒SQ1管理工具违规访问数据库。支持为敏感数据管理人员身份分发唯一的数字证书，每张数字证书只能载入一个唯一的U盾，以实现在数据库用户密码被泄露的情形下，仍能阻止非法用户登陆目标数据库，解决仅依靠密码认证带来的安全不足问题。支持通过不删除账户的方式，在系统中回收资

6、产授权权限。直连数据库在反向代理模式下，通过在数据库服务器上安装安全代理插件，实现对于通过SQ1管理工具或本地等直连数据库的违规连接行为进行准入控制，防止非法人员绕过安全系统，违规对数据库进行访问。支持通过应用指纹信息识别应用的是否为真实应用，进行应用防假冒，识别假冒应用访问数据库，进行拦截阻断。安全登陆支持数据库运维工具免密登陆功能，当数据库管理人员通过等工具登陆运维数据库时，通过数据库账号与数字证书的绑定，数据库管理员在运维PC工具中无需输入数据库用户名密码即可登陆已授权访问的数据库，避免运维数据库用户和密码泄漏，保障账号安全。支持产品OTP登录二次身份认证通过账号托管功能，运维人员使用分

7、配运维账号，运维用户与数据库用户及密码进行映射绑定，运维人员在不知道数据库真实密码的情况下，即可完成对数据库的运维和管理，全面保障数据库安全。支持安全客户端的短信二次认证功能，当登录安全客户端时，发送短信验证码，验证成功才能正常登陆访问控制针对敏感数据集合的访问，任何账户都需要通过授权才可以访问，对不具备访问权限的操作，明确阻断拒绝，并提示“安全权限不足错误”，实现用户权限分离管理。支持针对数据库用户的代码管控进行控制，包括过程、函数、包、触发器、视图等代码进行创建、删除的安全管控。支持账户访问频次控制，避免一定时间内的高频次访问，避免数据流失。支持修改、删除等操作的行数控制，避免数据大量泄漏

8、。支持基于表和SChen1a进行快速授权到某些用户或用户组安全防御支持僵尸账号检测，对僵尸账号进行锁定，防止僵尸账号造成数据泄露。支持数据库口令暴力破解防御，对口令攻击行为进行防御，防御数据库爆破行为。敏感数据脱敏支持基于列的业务类型，设置脱敏策略，实现相同的业务类型同时设置脱敏策略脱敏算法支持对敏感类型数据进行自定义分段脱敏设置支持运维侧脱敏，针对不同运维人员返回对应的预授权结果，脱敏规则需要支持自定义遮蔽脱敏算法：工单管理采用基于WEB界面的工单管理模式，而非授权码方式，通过工作流的方式对敏感表格和敏感SQ1访问授权，形成逐级审批机制，只有当访问申请被工作流中的所有审核者审批通过时，才可在

9、合理权限内访问数据库中的敏感资产，无需访问者进行二次输入，避免授权码泄漏带来的非法访问。支持以图形化形式直观展现工单审批流程。工单申请支持按不同的库，走不同的审批人方式审计支持SQ1命令（包括查询、新增、修改、删除等行为）的细粒度审计和分析，并详细记录管理用户的行为信息，包括规则名称、数据库主机、目标数据库名称、数据库实例名、客户端IP/端口、主机名、数据库用户名、物理地址、应用名称、应用用户、企业用户、命令类型、资产名称、执行时间、响应行为、风险级别等。数据库监控支持统计数据库请求数、会话数、流量信息报表管理支持日报、月报、周报等生成，导出格式支持PDF/word。平台安全平台具有安全审计员

10、、安全保密员、系统管理员三种角色，实现三权分立。支持对平台用户的密码复杂度（数据、大小写字母、特殊字符、密码长度等）、有效期、复杂度、密码错误锁定策略等进行限制，有效期过后提供登录重置密码或禁止登陆需联系管理员处理2种处理方式，以确保平台自身账户的安全。配置备份支持策略中心全部策略、系统配置、资产配置（资产列表信息、数据源部署模式、数据源分组信息、敏感资产信息等）等进行备份与恢复：支持本地备份及下载备份文件到本地，支持上传备份文件至FTP服务器，支持配置恢复功能页面抓包支持页面抓包功能日志外发支持通过kafka和SySIog的方式进行日志外发，支持审计、告警等日志外发。告警支持以图形、列表等方

11、式查看告警信息，以列表形式展现的告警信息应当包含告警时间、告警内容、告警等级、用户IP、数据库代理IP、事件等。告警方式至少包括：邮件、页面、短信。安全告警支持基于任意组合订阅的模式，实现个性化告警订阅管理。（二）数据库防火墙指标项详细要求规格至少支持20个数据库实例数据库支持支持ORAC1E、SQ1SERVER、DB2、MySQ1达梦、南大通用、人大金仓、oceanbase等主流数据库等主流数据库部署模式软件化部署，支持在政务云环境安装部署。数据源发现支持按单个IP或IP段发现数据源运行模式支持学习、模拟、运行三种运行模式：学习模式支持SQ1的自学习，识别安全SQ1；模拟模式可以模拟真实操作

12、的管控情况。支持在学习一定周期后，系统自动转激活运行，减少人工操作。防护策略内置数据库漏洞虚拟补丁不少于1600个，可阻止黑客通过这些漏洞进行攻击支持正常SQ1特征及SQ1注入特征双重防护，防止SQ1注入攻击。自动学习业务SQ1,捕获SQ1语法，生成SQ1白名单，通过SQ1白名单进行访问控制。支持透明代理模式下的可信IP,将加入到可信IP列表中的可信的终端设备IP地址，终端设备与数据库通信的流量将会进行bypass处理，极大减少了经过数据库防火墙的流量，降低了数据库防火墙压力，保证设备稳定运行，提供更稳定的防护能力支持风险响应策略，针对不同信任度的身份和风险等级设置不同的响应行为（通过、告警、

13、阻断行为、阻断连接）支持设置敏感标签身份，使之具备合法访问指定敏感数据的权限。未明确注册的身份，默认表示为不合法身份，不能访问任何敏感表格。支持对请求频次访问进行控制，超过频次访问的行为进行阻断或拦截，避免数据大量泄漏。支持多维身份管理，至少支持应用程序名、IP地址、MAC地址、主机名、操作系统账户、数据库账户、数字证书、时间等因素的任意组合，形成新的登陆认证规则。支持检测和审计密码猜测行为，通过设置密码猜测次数限制进行防护，当达到密码猜测限制时，锁定猜测终端，支持自动解锁和手工解锁。支持数据库防漏扫，当特定的漏洞扫描器对数据库进行扫描时，实现防御拦截。告警管理安全告警支持基于任意组合订阅的模

14、式，实现个性化告警订阅管理。支持多种安全响应措施，包括页面、邮件、短信方式进行告警。系统管理为增加系统管理的安全性、适应性、可维护性，产品需要具备以下的功能：支持双因子认证，支持短信认证、证书认证支持系统安全配置如会话锁定、超时退出、密码复杂性管理等安全措施支持策略中心全部策略、系统配置、资产配置（资产列表信息、数据源部署模式、数据源分组信息、敏感资产信息等）等进行备份与恢复：支持本地备份及下载备份文件到本地，支持上传备份文件至FTP服务器，支持配置恢复功能支持页面抓包功能安全、一足宫支持通过kafka和sys1og的方式进行日志外发，支持审计、告警等日志外发。支持以图形、列表等方式查看告警信

15、息，以列表形式展现的告警信息应当包含告警时间、告警内容、告警等级、用户IP、数据库代理IP、事件等。告警方式至少包括：邮件、页面、短信。安全告警支持基于任意组合订阅的模式，实现个性化告警订阅管理。报表管理支持登录事件、访问事件、风险事件、告警事件等报表的生成。支持按日、周、月等时间周期生成综合报表。报表支持以Wrod、PDF等格式保存到本地。支持报表调度，保障报表数据快速展示。风险24小时监控主流SQ1注入攻击、数据库漏洞攻击、敏感访问、系统运行、监测流量等信息。()数据库审计指标项详细要求规格软件化部署，支持在政务云环境安装部署，不少于20个数据库实例授权；设备能力支持ORAC1E、SQ1SERVERDB2、MySQ1、达梦、南大通用、人大金仓、oceanbase等主流数据库等主流数据库支持在IPV