XX市公共数据平台安全防护系统项目采购需求.docx

XX市公共数据平台安全防护系统项目采购需求一、采购清单序号设备名称技术要求数重1API安全访问管理详见技术参数要求12数据加固详见技术参数要求13数据水印溯源详见技术参数要求14数据库权限管控详见技术参数要求15等保二级测评服务详见技术参数要求1二、技术参数要求2.1 API安全访问管理类别指标项详细功能要求PI资产治理接口发现及管理支持通过镜像流量或探针代理自动识别请求和返回中的AP1.资产及应用资产，包括但不限于AP1.的接口信息、参数信息、请求方法等：支持通过AP1.资产的发现时间、活跃时间、访问次数、请求方法进行关联分析,识别已知API、未知API。敏感标签系统内践敏感标签，包括个人敏感信息、组织敏感信息和基础信息，同时提供敏感标准自定义功能，可通过正则表达式、关键字等方式自定义。资产画像通过IP、端口、AP1.接口统计、AP1.流量统计等维度构建资产画像，画像展示包括访问此次、请求方法、状态、发现时间、活跃时间、近期访问曲线等。身份身份发现r未知身份信息，系统会主动记录相关信息，包括治理应用信息、主机设法信息,登录时间及操作行为等信息，基于以上信息可构建身份特征。身份画像通过梳理身份标卷、访问关系拓扑、上下文访问链路等建立身份画像，通过身份基线比对，实现风险身份的自动化智能监测.风险监测高须访问监测针对AP1.接口访问频次、单日请求次数、单日获取敏感数据次数等维度设巴对API接口的访问监测：异常行为监测支持自动识别流量中SQ1.注入、XSS跨站攻击、命令注入等异常行为；支持对API流量中的敏感数据进行识别，包括但不限于身份证号、手机号、银行卡号等；支持对雎1P、堆UR1.单位时间内的高频访问敏感数据进行检测,识别调用API接口的异常行为：风险分析提供数据接口访问情况统计，展示数据访问量、业务流转、应用访问热度、AP1.分账、应用涉敏接口、流动防护等：安全管控访问控制支持AP1.访问策略关联设置到具体的八P1.接口资产；支持通过预设敏感词类型、敏感词以及自定义敏感词，根据配置对报文进行检测，对检测到配置中的敏感词执行脱敏处理动作。访问策略关联支持将不同的接口访问控制策略关联设坦到具体的API接口资产上，对AP1.接口进行个性化访问管控。告警管理支持对告警信息进行详细的设置，包括告警接受对象、接受方式、接受内容、接受时间等信息。通报预警告警方式多样，支持以工作潦与WEB界面的弹窗、声音进行提醒,支持通过短信、邮件、企业微信、钉钉等方式发送提醒.事件审计事件溯源支持将采集的安全事件信息进行展示，提供事后安全审计追溯能力。并对安全事件进行合并去亚、富化。智能检索支持以安全事件发生时间、关键字等要素对安全事件进行快速检索，系统管理平台安全平台具有安全审计员、安全保密员、系统管理员三种角色，实现三权分立。支持对平台用户的密码史杂度（数据、大小写字母、特殊字符、密码长度等）、有效期、夏杂度、密码错误锁定策略等进行限制，有效期过后提供登录全置密码或禁止登陆需联系管理员处理2种处理方式，以确保平台自身账户的安全。日志管理支持对所有操作日志进行展示与详情查看，能以日志时间、用户名、操作类型、操作模块等要素进行精确搜索。其他运行环境支持国产化软硬件环境部署和运行。性能指标可管理的AP1.大T500个。服务要求提供3年质保服务,签订合同时提供原厂商质保承诺函.2.2 数据加固类别指标项详细功能要求数据库加密数据加密提供数据库初始化加密操作向导，加密任务建成后提供预估的加密时间、监测加密任务执行状态。支持以列、表两种细粒度的加密方式。支持对加密资产月入的数据进行加密，实现密文状态存储。支持业务在线加密，不需要业务停机。加密算法加密算法至少应支持AES1.28、AESI92、AES256等国际密码算法，SM4国密算法。离线加解密支持离线加解密工具及加密信息记录，记录包括用户名、邮箱、电话、加密内容、加密地址等。对敏感数据文件加密，保障数据交换传递或备份安全，接收方需获取投权并验证信息后才可将密文数据解密使用。密文存储加密后的数据文件以密文形式存储“数据访问透明加密索弓I支持以下索引类型的加密正常读写、等值杳询和范围查询:B1.OB数据、C1.0B数据、IoT表的VaPPing表、B*Tree索引、BitmaP索引、全局索引等.SQ1.语句透明对于增税改查操作、函数、存储过程等均透明：对于主外键、NOTNU1.1.等全要约束透明。无需修改应用系统代码，业务系统及数据库访问工具如P1./SQ1.、JDBC.ODBC等访问数据库时不受影响,实现透明加密。密钥管理密钥管理支持使用SM1.国密算法对工作密钥进行加密。支持对密钥进行更新，使备份卜载的旧密钥不可用。密钥备份支持对加密后的密钥进行备份，防止密钥丢失带来的数据不可恢曳问题：支持通过平台下载密钥.斤心管理数据库管理支持资产的集中管理，包括数据库名称、IP地址、端口号、实例名、数据库类型等。加密资产管理支持根据数据库查看加密资产的信息，以表加密、列加密两个维度查询当前的加密资产。访问控制身份管理使用数字证书绑定安全客户端，当用户登录管理平台，系统可自动校验安全客户端的合法性。支持设置用户、工具、应用程序等各类访问主体的权限。执行加密任务前需提供数据库凭证，5佥证失败无法执行加密任务。对业务无感知，加密对业务访问结果不产生影响。访问管M'.对业务无感知，加密对业务访问结果不产生影响。支持基丁身份的密文访问控制，根据用户权限进行数据库返回结果控制，只有拥有合法权限的数据库用户才可看到明文，无合法权限的用户返回经过加密的数据或禁止访问。支持自定义加密访问管理方式，如业务系统提供明文访问模式：其他软件和对象提供明文及密文访问模式配置。返回密文支持加密、空值、遮盖、随机映射等，可配置。系统管理日志审计支持对数据库的登录行为进行审计，包括登录时间、规则名称、数据库用户、客户IP、应用名、数据库IP、响应行为等；支持对数据库的访问行为进行审计，包括访问时间、规则名称、客户端1P、数据库账户、数据库IP、SQ1.语句、响应行为等：日志外发支持以kafka、Sys1.og等方式外发登录审计、访问审计、告警日志等。告警信息支持对告警信息进行详细的订阅设置，包括订阅告警接受的对象、接受方式、接受内容、接受时间等信息.告警方式多样，支持通过短信、邮件、专有钉钉、钉钉等方式发送提醒。系统监控可实时监控平台的CPU使用率、内存使用量、磁盘情况，并通过图表形式直观展示，快速定位整体性能指标及系统运行情况。用户角色产品应支持用户角色权限管理等，可配置支持三权分立，提供系统管理员、安全管理员、审计管理员角色。数据库兼容性支持支持GreenP1.Un1、PostgreSqRMySq1.等主流数据库和通用国产数据库。运行环境支持国产化软硬件环境部署和运行。服务要求提供3年质保服务，签订合同时提供原厂商须保承诺函2.3 数据水印溯源指标项指标要求功能要求支持图形化操作创建、修改、删除水印任务和水印策略，同时支持自定义水印任务和水印策略的创建.支持嵌入伪列、伪行、不可见字符、数字等水印信息。支持数据源中数据存储格式为UTF-8、GBK.Unicode.GB2312、ZHS16GBK等字符编码数据格式注入水印。支持经过水印处理的数据，不影响数据的使用，不易被察觉，可将数据生成到数据库中或者文件中。支持源降到目标降水印（包含支持同库水印）、支持数据库到文件水印、文件到文件水印。支持自定义嵌入水印方式，用户可选择不同的水印兑法，并根据水印算法进行字段规则的选择，制定水印方案，水印方案制定后,可被重曳利用.支持对疑似泄翻数据文件或数据表，直接上传到数据水印系统，一键溯源，自动化展示出溯源结果，生成溯源报告。支持对水印溯源的匹配率设置，可根据客户设置的溯源匹配率进行水印的检测。支持建立不同周期的水印作业，时间设置完毕，作业会在指定时间自动运行。支持查看启用中的作业，查看每个启用中的水印作业状态，对作业进行实时监控或停止作业操作；支持查看已停止的作业，杳看作业执行结果、历史执行结果，对作业进行重新作业。支持对数据源、水印任务添加、修改审批：未经审批，则数据源及任务无法使用。系统支持短信等多因子登陆认证技术，且多因子认证功能可在操作系统U临时关闭,防止短信等接口出现临时性故障等，影响业务使用。支持通过AP1.接口创建水印任务.性能指标静态水印性能指标：峰值处理能力：250GB/小时;255万单元格/秒。提供不少于20个数据库实例支持。数据库类型支持需支持OraC1.e、InySq1、Grecnp1.um6、PostGrcSQ1.11等多种类型数据库.运行环境支持国产化软硬件环境部署和运行。服务要求提供3年质保服务，签订合同时提供原厂商质保承诺函2.4 数据库权限管控类别指标项详细功能要求核心功能数据智能发现支持按单个IP或IP段发现数据源支持敏感数据自动发现，针对不同权限的运维人员提供细粒度的安全管控，具有某个权限的用户只能访问特定级别的数据。具名敏感数据探测能力，自动发现敏感资产。支持敬感发现结果列表屣示，包括表名、列名、旅感类型、数据抽样示例等，支持对发现结果进行校正。身份准入支持身份的多因素认证，系统根据多维身份管理策略，自动判别登录主体的合法性，如不符合设定的身份管理策略，登录失败。支持识别真实应用及SQ1.管理工具的MD5值，防止假目应用及假冒SQ1.管理工具违规访问数据库。支持通过应用动态指纹精准识别应用身份信息，防止假日应用及假日SQ1.管理工具违规访问数据库。支持为敏感数据管理人员身份分发唯一的数字证书，每张数字证书只能载入一个唯的U盾，以实现在数据库用户密码被泄褥的情形下，仍能阻止非法用户登陆目标数据库，解决仅依养福码认证带来的安全不足问题。支持通过不删除账户的方式，在系统中回收资产授权权限。身份治理对登陆访问事件信息中的主体信息与身份信息进行比对，对未命中的主体身份，快速发现进行治理安全登陆支持运维账号与数据库账号及密码进行映射绑定，运维人员使用分配的运维账号，在不知道数据库其实密码的情况下，完成对数据库的运维和管理。支持通过OTP码实现账号托动态密码校验，避免账号/密码共用。支持安全客户端的短信二次认证功能，当登录安全客户端时，发送短信验证码，验证成功才能正常登陆访问控制针对敏感数据集合的访问，任何账户（包括DBASYSDBSchemaUSerany权限等用户）都需要通过投权才可以访问，对不具备访问权限的操作，明确阻断拒绝，并提示“安全权限不足错误”.实现用户权限分离管理。支持拦截指定对象的A1.TERTAB1.E、A1.TERTAB1.ESPACE、DROPDATABASE,DROPTAB1.E,CREATETAB1.E、DROPTAB1.ESPACExDROPUSER、TRUNCATE等高危操作行为（可