省建设厅数据安全防护及运维体系建设项目采购需求.docx

《省建设厅数据安全防护及运维体系建设项目采购需求.docx》由会员分享，可在线阅读，更多相关《省建设厅数据安全防护及运维体系建设项目采购需求.docx（28页珍藏版）》请在课桌文档上搜索。

1、省建设厅数据安全防护及运维体系建设项目采购需求一、项目概述1.1 建设背景XX省公共数据条例对公共数据安全工作提出了具体的规范和要求，XX省住房和城乡建设厅（以下简称“省建设厅”）认真贯彻落实条例，通过数据安全评估发现，省建设厅在数据隐私保护措施方面还不够完备，存在一定的数据泄露和滥用风险，亟需建立一套数据安全防护及运维体系，拟开展省建设厅数据安全防护及运维体系项目建设，进一步加强个人隐私和政府信息安全管理，防止数据泄露、篡改或损坏，通过制定和实施严格的数据安全管理防护措施，保障数据的保密性、完整性和可用性。1.2 建设目标加强数据安全性保障，通过采用先进的加密技术和访问控制策略来保护数据的机

2、密性和完整性，同时加强对外部攻击和内部泄露的防范能力，提高数据的安全性水平。建立分类防护机制，针对不同类型的数据需要不同的保护措施，同时建立专门的备份机制以保障数据的可用性和完整性，通过制定分类防护标准和规范，针对不同类型的数据分别采取不同的存储、传输、访问等防护措施，确保各类数据的可靠性和安全性。加强数据审计和监控手段，及时发现和应对潜在的安全威胁和异常情况，确保数据仓的稳定可靠运行。1.3 主要建设内容数据安全总体框架围绕省建设厅“数字住建”的住建大脑、数字工程、住房、城建、城管和住建政务等核心业务及数据资产，通过敏感数据资产梳理、数据安全演练、敏感信息泄露排查、巡检监控、应急响应、编制数

3、据安全操作流程制度等工作，构建一个完备的数据安全运营体系。围绕数据全生命周期技术安全防护建设，建立完善分类分级、权限管控、身份认证、高危操作阻断、数据水印溯源等安全技术能力，加强零信任理念、数据不落本地、数据安全智能风险预警等前沿技术能力应用，全面提升数据安全防护能力，筑牢数据安全防线。二、采购内容及要求2.1 数据安全管控中心平台针对XX省建设厅数据安全防护,能够将数据资产分布状况、敏感数据访问行为进行动态展示，并预测数据资产可能面临的泄露风险，展示一个清晰、透明、可控的数据资产分布及访问行为态势。能够将数据资产分布状况、敏感数据访问行为进行动态展示,并预测数据资产可能面临的泄露风险,展示一

4、个清晰、透明、可控的数据资产分布及访问行为态势。并提供通过SQL执行时长分布图、响应行为分布图、SQL类型分布图、数据抽取量分布图、高危操作告警、敏感数据的流向和分布情况等来展现数据安全态势KPI指标。数据安全态势感知是以日志信息、风险操作、告警、数据库运行状态等大数据为基础，从全视角提升对数据安全威胁的发现识别、理解、分析和响应能力的防护方式。具体技术指标如下：序号指标项要求（一）总体要求1系统架构（1）支持前后端分离和微服务体系，使用跨平台的技术，实现应用与硬件平台无关联。（2）采用“云+端”架构，可灵活组合各种安全防护能力。（3）“多端合一”，通过合并不同类型的能力网关，实现一端多用，降

5、低部署成本。（4）支持多租户，支持平滑扩展、租户能力按需分配、数据隔离，满足多云场景。（5）支持高并发、高可用、可扩展，支持集群。可随业务随时平滑扩展。（6）采用B/S架构，支持主流浏览器、国产/非国产芯片及操作系统。2国产环境（1）操作系统：中标麒麟、银河麒麟、统信、龙蜥等操作系统。（2）CPU芯片：海光、鳏鹏、飞腾等。3安全性（1）平台具有安全审计员、安全保密员、系统管理员三种角色，实现三权分立。（2）支持系统用户管理、角色功能管理、用户登录管理（包括U盾证书、AD域、LDAP等）管理联动。（3）用户密码应采用加密算法进行存储和验证，服务报文采用对称加密方式加密，并具有校验机制。（4）支持

6、对访问身份进行强验证，包括生物特征-指纹、软硬证书、OTP码等。（5）支持对平台用户的密码复杂度（数据、大小写字母、特殊字符、密码长度等）、有效期、复杂度、密码错误锁定策略等进行限制，有效期过后提供登录重置密码或禁止登陆需联系管理员处理2种处理方式，以确保平台自身账户的安全。（6）通道/传输/存储加密：支持不同组件、前后端之间的通讯加密、对敏感数据进行脱敏显示。（7）提供安全授权认证机制，提供基于安全授权码的二次实时验证能力。（二）平台功能1资产管理（1）支持的资产类型包括：数据库、敏感SQL、数据库账号等。2支持数据库类型(1)数据库类型支持MysqL0raclePostgresqkDB2、

7、Informix、MariadbSQLserveSybaseGreenplumQianbaSe等关系型数据库。(2)支持ElasticsearchMongodbHive、OdPs、HbaseRedislmpalaRDS_MysqlRDS_PostgresqlRDS_SQLserve等大数据平台和云数据库。(3)支持武汉达梦、南大通用、人大金仓、神舟通用、瀚高等国产数据库。3敏感资（1）至少包含百种业务类型，可根据不同业务类型对数据进行自动产梳理分类，业务类型包括个人信息、地理信息、组织机构信息、企业信息、行业相关信息、基础信息、商品物资信息、设备信息、通用类型等。4资产画像(1)Al赋能安全，

8、通过梳理资产标签、访问关系拓扑、上下文等建立资产画像，通过资产基线比对，实现事前、事中的风险智能监测，减少误报率。(2)通过基础认证分、历史行为可信分等多个维度计算资产风险分，再结合实时行为分析，可实现动态授权。其中资产基础认证分包括资产的敏感等级、审计级别、是否脱敏、加密以及资产脆弱性等多纬度综合考量。通过风险评分的变化趋势，可分析资产的安全态势。5资产风险评估(1)应具备资产风险评估能力，根据漏扫和敏感资产治理结果进行数据源资产风险评估，并结合已有防护策略，给出综合性安全建设意见。6身份治理(2)以“人、应用、终端、账号”四个维度进行身份定义，支持未知身份发现、已知身份和黑名单身份管理，同

9、时可联动安全组件全局进行身份治理。7身份画像(1)Al赋能安全，通过梳理身份标签、访问关系拓扑、上下文访问链路等建立身份画像，通过身份基线比对，实现风险身份的自动化智能监测。(2)通过基础认证分、身份和资产的属性分、历史行为可信分等多个维度计算身份风险分，再结合实时行为分析，可实现动态授权。同时可通过对风险评分的变化趋势，分析身份的安全态势。8风险监测(1)支持利用多种分析检测引擎、内置风险规则和数据模型，建立身份行为与资产访问基线，监测风险行为、异常行为和异常身份。(2)支持将子设备收集的风险事件在平台集中展现，并能以时间、风险类型、风险等级、设备类型、审阅状态、客户端与资产端IP等要素进行

10、精确搜索。9策略管理(1)系统内置超过350多种SQL注入风险策略，可以向子设备进行策略下发，支持自定义SQL注入风险策略。(2)系统内置超过600多种漏洞特征库风险策略，可以向子设备进行策略下发，支持自定义漏洞特征库风险策略。(3)内置10多条风险监测策略，平台自身具备风险识别能力与风险矫正能力。(4)支持针对不同场景设置安全策略并下发给子设备执行。如测试三方对接场景，对目标库进行脱敏和水印、针对运维场景，设置身份的数据库准入和敏感数据访问控制策略等。10审计与溯源(1)支持将子设备收集的所有审计日志在平台集中展现，提供事后安全审计追溯能力。并对审计日志进行合并去重、富化。(2)支持以审计日

11、志发生时间、访问主体、操作类型、设备类型、关键字等要素对审计日志进行快速检索。11日志存储(1)支持对接收上来的审计日志根据存储策略进行存储。支持对平台操作日志进行存储。(2)支持通过配置文件连接FTP服务器，可对海量历史数据进行备份。并可对备份文件进行恢复、删除等操作。12告警合并(1)支持对风险监测出来的告警日志按照同一天、同一访问对象、同一访问客体、同风险类型进行日志合并，大大降低告警量。13告鳖管理(1)支持对告警信息进行详细的订阅设置，包括订阅告警接受的对象、接受方式、接受内容、接受时间等信息。(2)告警方式多样，支持以工作流与WEB界面的弹窗、声音进行提醒，支持通过短信、邮件、专有

12、钉钉、钉钉等方式发送提醒。14风险处置(1)支持对漏扫扫描出来的漏洞和弱口令、高危端口进行处置跟踪：通过工单对其进行处置并跟踪处置状态，也支持人工识别转化为误报等。(2)支持对合并后的安全事件进行处置，包括批量处置、通过工单流程进行处置等。支持处置状态跟踪，也支持人工识别转化为误报等。(3)发起工单的风险处置，支持添加多个附件，包括Word、excel、csv、pdf、jpg、png、jpeg、txt、doc0同时支持通过短信或专有钉钉、钉钉进行处置任务的通知15知识库(1)管理风险处置的预案，指导安全运营人员进行风险处置。16态势感知 （1）提供安全态势展示，直观展现出用户整体系统的风险情况

13、与安全总体态势，主要展示资产概览、敏感资产访问热度、资产访问热度、活跃身份、访问时间热度、资产脆弱性分析、风险资产ToP5、风险身份TOP5、风险类型ToP5、安全防护效果、告警趋势、实时高危事件等模块，呈现整体系统的安全总体态势。 （2）提供资产发布态势展示，直观展现出用户整体系统的风险情况，支持个性化换肤。主要展示数据库量、敏感表数量、敏感列数量、数据访问趋势、数据库类型占比、SQL执行时长分布、数据敏感列分布、敏感表数据分布、数据库登录情况TOPIO等内容。 （3）提供安全设备运行展示，直观展现出安全设计整体运行情况。主要展示运行天数、安全设备数、事件总数、告警总数、设备运行情况、日志采

14、集趋势等模块。17安全报表（1）支持将收集到数据进行统计分析，并通过工作报表的形式汇报相关数据。用户可自定义在线调整统计的资产范围和时间范围，内置的报表格式包括：萨班斯合规报表等。18订阅管理（1）支持以邮件方式，以PDF、Word、Html等多种形式来订阅报表。可自定义报表统计的资产范围和时间范围、周期以及报表的发送时间。19设备管理（1）支持采集子设备数据，包括审计数据、运行数据、告警数据等。（2）支持对接自有设备和三方设备。设备类型包括：运维/业务权限管控、数据库审计、数据脱敏、数据水印、数据加密、终端防护等。（3）支持提供API接口与第三方设备联动，包括分类分级工具、漏扫、三方可视化平

15、台等。（4）支持对所连接的子设备运行状态进行监控和预警阈值设置，能直观呈现子设备的CPU、内存、磁盘使用率、网络接发情况及其趋势，支持对阈值告警进行订阅。20任务调度（1）支持对静态脱敏的任务进行调度，统一下发资产，管理脱敏的作业，跟进作业状态。（2）支持对水印的任务进行调度，统一下发资产，管理水印的作业，跟进作业状；同时支持水印文件的溯源功能，满足溯源取证的需求。（三）产品规格与授权1产品形态纯软件交付。2授权数量支持接入4个子设备。3产品维保提供原厂1年技术支持和版本升级服务。2.2 第三方人员运维开发安全平台目前各业务建设承建方、业务厂商、第三方运维、各部门业务运维开发人员及其电脑均可访

16、问业务应用甚至底层数据库相关资源，存在角色众多、账号变动频繁、权限不一、接入终端环境安全无法保障、数据违规下载、泄露等风险，同时曾发生业务厂商在未经建设单位同意的情况下，将建设单位采集的敏感业务数据下载泄露。因此需要针对第三方人员运维开发的安全进行防范。以数据不落地为核心，以零信任为设计理念，构建“身份、设备、应用、数据”四维度的纵深防御体系。本次项目桌面云系统包含2台桌面云一体机和30台桌面云瘦终端。1.1 2.1身份/账号安全：安全接入管控可与X政钉、终端数据管控系统打通,形成统一的身份账号体系，只需维护一套账号体系即可，避免出现僵尸账号等情况。同时安全接入管控系统可基于对用户当前状态、访

17、问的环境属性进行处理和综合分析的结果，综合评估得出用户目前的风险级别，从而动态调整用户需要的身份认证组合和强度，实现安全与体验的平衡。1.2 .2设备安全：用户身份认证通过之后，持续性对用户终端环境合规性进行检查，如是否安装杀毒软件、是否安装指定补丁等，不合规终端不允许接入。同时安全接入管控系统提供终端多网隔离机制，确保终端同一时刻只能访问一张网络，避免违规外联或钓鱼跳板机事件发生。1.3 .3应用安全：安全接入管控系统会持续评估接入环境安全，一旦检测到接入环境存在风险，则联动终端安全管控系统进行应用访问权限管控，实现动态业务访问权限控制，避免权限固化，确保入网后仍能保持监控。1.4 .4数据

18、安全：采用云桌面技术，云桌面将本地电脑的桌面操作系统集中于后端服务平台上运行，用户可以使用PC、智能终端、手机等设备在任何时间、任意地点访问专属桌面，用户看到的都是图像，而不是真实的应用和数据，真实应用和数据不会存在本地电脑中，实现数据不落地。同时利用云桌面技术提供全面的数据管控能力，包括数据存储备份、屏幕水印、USB管控、文件导出审计与告警、剪切板拷贝管控、防截屏等。1.5 .5外设管控：可控制U盘的只读和读写权限，可控制本地桌面和应用虚拟化服务平台之间使用剪切板的双向拷贝、单向拷贝。屏幕水印:支持屏幕水印，屏幕水印可自定义。文件导出内容审计：开启文件安全导出后，虚拟机通过剪切板、PC设备和

19、USB设备外发文件的操作将被禁止，用户可以使用虚拟机内部的文件导出工具实现文件外发，所有外发的文件内容都可以加密备份到数据中心,以备后续审计使用，可疑的导出行为会产生告警。2.2 .6针对第三方人员的开发、运维、访问做好数据安全管理，实现应用数据安全访问、核心数据隔离访问，实现数据“拿不走、赖不掉”的防护效果。具体参数如下：序号指标项要求1产品能力(1)建设“第三方人员运维开发安全平台”，通过零信任理念与虚拟桌面云的紧密耦合，构建省建设厅安全接入运维管理平台，保障运维集约化管理和运维过程的安全可靠性。为保障整体使用体验及运维管理效果，本次要求提供的零信任接入平台与桌面云产品需保持同品牌。2零信

20、任接入平台(2)性能参数：最大加密流量(MbPS)300Mbps,最大并发用户数三600,内存大小三16G,硬盘容量三128GSSD,接口三6千兆电口+4千兆光口SFP,底层需采用国产操作系统。本次要求配备30个接入授权。(3)产品需支持国家密码管理局颁布的SM1、SM2、SM3、SM4密码算法及其协议，符合国家商用密码标准。要求提供由国家密码管理局颁布商用密码产品认证证书。3桌面云(1)2台桌面云一体机：单台设备规格：2U设备，CPU：2颗2.4GHz(16C),内存，256GB,系统盘，240GBSATASSD,缓存盘N2*960GB,数据盘N4*6TB,标配盘位数三12,冗余电源，接口三

21、4千兆电口+2万兆光口。本次要求提供30个接入授权，同时配套提供不低于1台管理业务交换机。(2)接入瘦终端：硬盘容量N4GB,接口三1*百兆电口，接口类型：1*VGA,USB6*USBo本次要求提供30个瘦终端。4零信任能力要求(1)零信任客户端应兼容主流国产硬件CPU的国产操作系统终端，需提供国产操作系统与零信任厂商的兼容性证明，包括但不限于麒麟VIOX龙芯、麒麟VlOX龙芯LOOngArch、麒麟VIOX飞腾、麒麟VIOX鳏鹏、麒麟VlOX兆芯、麒麟VIOX海光、麒麟VlOX海思麒麟；统信V203A4000)统信V20X龙芯(3A5000)统信V20X飞腾、统信V20X鳏鹏、统信V20X海

22、光、统信V20X兆芯等O(2)支持以下认证方式:本地账号密码认证、LDAP/AD认证、OAUth2.0标准协议的票据认证、CAS标准协议的票据认证、RadiUS账号认证、HTTPS帐号认证、证书主认证、证书辅认证、短信主认证、短信辅认证、标准Radius令牌认证、第三方令牌认证、TOTP动态令牌认证等认证方式，并可与企业微信、阿里钉钉、飞书结合实现扫码认证，支持飞书用户或个人微信企业号通过H5接入。其中短信认证支持配置HTTPS短信网关、腾讯云短信网关、阿里云短信网关及SoCket短信网关等网关类型。(3)支持在满足条件的情况下为用户配置免除二次认证，可配置的条件包括但不限于：授信终端环境、W

23、indows域环境、自定义网络环境等。(4)支持在触发异常环境的条件时，用户需完成增强认证才可登录。可配置的异常环境包括但不限于：帐号首次登录、帐号在该终端首次登录、闲置帐号登录、弱密码登录、异常时间登录、非常用地点登录等。（5）支持配置动态访问规则，可配置化的ACL规则引擎，可以灵活地将终端环境、用户身份、处置动作等进行配置，为单位不同业务不同部门提供灵活丰富的访问控制策略。（6）零信任平台需提供单包授权能力（SPA）,支持UDP+TCP组合的单包授权技术，未授权用户无法连接零信任设备，无法扫描到服务端口，不会出现敲门放大漏洞。（7）支持用户安全日志提取，审计中心应将具有异常登录行为的用户日

24、志自动打标签为用户安全日志，以便于管理员快速审计定位。用户安全日志包括但不限于：帐号安全（应包含帐号首次登录、异常时间登录、非常用地点登录、弱密码登录、爆破登录、闲置帐号登录、帐号在新终端登录等）、中间人攻击、SPA安全（应包含SPA端口扫描、SPA爆破攻击、SPA敲门伪造、SPA重放攻击、SPA安全码泄漏等）、Cookie劫持等。（8）支持以虚拟IP方式，访问真实的业务系统，包含共享虚拟IP池模式和独享虚拟IP模式，当虚拟IP池分配超过一定比例时，零信任系统可向管理员发送邮件告警，此比例可由管理员自主配置。5云桌面能力要求（1）需支持模板链接克隆及完整复制虚拟机。链接克隆可以提高上线维护效率

25、，完整复制虚拟机可以让虚拟机保持独立，不受模版单点故障影响。克隆时可指定虚拟机数量、运行位置、存储位置、网口信息、磁盘大小，并需支持链接克隆虚拟机转为完整复制虚拟机。（2）应支持PC本地硬盘可直接映射到虚拟桌面上使用，应支持可根据策略进行文件读写权限设置和文件导出审计，并可配置不允许拷贝数据到本地桌面，以降低外泄风险。（3）所投产品需支持配置压缩质量、帧率等网络优化技术，以达到优质稳定的连接。（4）支持自助快照恢复，当用户自己误操作导致云桌面卡慢、蓝屏、死机及者中病毒的时候，用户通过导航条按钮，可以自助进行系统盘快照还原操作，支持安卓瘦终端、PC客户端。（5）支持空闲虚拟机识别，通过算法分析识

26、别一段时间内的空闲和僵尸虚拟机，并能导出统计报告，用于管理员做统计报表和分析，避免不必要的开销，实现智能运维。(6)支持虚拟机扩容和减配识别，为了更好地平衡体验和资源利用效率，监控平台需要能够智能识别虚拟机是否需要扩容以满足用户体验，还需要识别哪些虚拟机性能过剩，建议管理员做智能降配，以达到主机资源最大利用率。(7)发布的虚拟机操作系统类型应支持主流国产化操作系统，如麒麟VI0、统信UOSV20系统。(8)支持用户可自助申请虚拟机配置变更，由管理员审核，管理员可以选择审批通过、修改申请配置后申请通过、驳回操作，审核通过资源自动加到用户虚拟机上。并且用户申请虚拟机配置变更可以直接指定给部门资产管

27、理员审批，既符合规定又提高效率。(9)针对主机集群内的可新增虚拟机数量做出趋势判断，平台可根据主机性能趋势、自定义性能阈值和空闲资源情况，判断这个主机还可以承载多少虚拟机，无需管理员手动计算和主观判断。6安全联动(1)支持将零信任与桌面云进行单点登录设置，可在零信任资源页面统一展示用户的资源，同时支持点击对应资源图标可直接单点登录，不需要用户在零信任认证后再手动拉起客户端进行认证登录。(2)云桌面接入可根据终端环境是否满足零信任设定的安全基线要求，来生效不同的桌面管控策略。(3)零信任支持联动桌面云防火墙，及时通过联动桌面云防火墙策略进行网络访问阻断。2.3 数据权限管控部署数据权限管控，用于

28、解决SQL注入、数据库漏洞攻击、拖库、撞库、口令攻击等外部入侵。作为内部数据库运维接口，防止运维人员进行删库等误操作和高危操作，以及批量数据操作，防止敏感数据泄漏。精细化权限管控，提供基于敏感数据字段的细粒度权限管控。数据权限管控需支持15个数据库实例。具体参数如下：序号指标项要求1数据库支持（1）支持ORACLESQLSERVER、DB2、MySQL、PostgreSQLODPS、informix达梦、impalamongdbOCeanbaSe等主流数据库、国产化数据库、大数据平台、云数据库。支持国密算法加密的qianbase数据库管控。2部署模式（1）支持反向代理、透明代理、透明代理NAT

29、、路由网关部署。（2）支持HA双机主备自动切换，支持策略同步、会话同步机制，保障主备间的一致性。3数据智能发现（1）支持按单个IP或IP段发现数据源。（2）支持敏感数据自动发现和分类分级，并依据数据分类分级的结果，针对不同权限的运维人员提供细粒度的安全管控，具有某个权限的用户只能访问特定级别的数据。（3）支持OraCIe同义词自动发现功能。（4）支持数据级容灾，当生产库不可用时，将业务从生产库切换到灾备库、由灾备库接管业务后，仍支持对灾备库进行管控，并且不影响正常业务访问。（5）具备敏感数据探测能力，自动发现SCHEMA（包括未知SCHEMA）,表、列中的敏感资产，系统内置的敏感数据类型至少包

30、括以下信息：A.个人敏感信息：包括中文姓名、身份证、银行卡、医师资格证书、医师执业证书、护照、军官证、中国护照、港澳通行证、永久居住证、大陆居民往来台湾通行证、韩文姓名、英文姓名、姓名拼音等个人信息；B.机构敏感信息：组织机构代码、组织机构名称、医疗机构登记号、营业执照、社会统一信用代码、税务登记证、开户许可证、证券名称、证券代码、基金名称、基金代码、英文公司名等与企业机构相关的信息；C.其它基础信息：电话、电子邮箱、地址、邮政编码、IP地址、日期、货币金额、json串、车牌号码等。(6)支持敏感发现结果列表展示，包括表名、列名、敏感类型、数据抽样示例等，支持对发现结果进行校正。(7)支持从表

31、格、表格列、SCHEMA等维度归类敏感数据资产，形成敏感资产集合进行独立管理。4身份准入(1)支持身份的多因素认证，至少应支持应用程序名、IP地址、主机名、操作系统账户、数据库用户、数字证书、身份敏感标签、日期、时间、时间域、身份类别、有效时间、应用用户名、终端IP等因素的任意组合，系统根据多维身份管理策略，自动判别登录主体的合法性，如不符合设定的身份管理策略，登录失败。(2)支持识别真实应用及SQL管理工具的MD5值，防止假冒应用及假冒SQL管理工具违规访问数据库。(3)支持为敏感数据管理人员身份分发唯一的数字证书，每张数字证书只能载入一个唯一的U盾，以实现在数据库用户密码被泄露的情形下，仍

32、能阻止非法用户登陆目标数据库，解决仅依靠密码认证带来的安全不足问题。(4)支持通过不删除账户的方式，在系统中回收资产授权权限。5身份治理(1)支持对登陆访问事件信息中的主体信息与身份信息进行比对，对未命中的主体身份，快速发现进行治理。6直连数据库 (1)在反向代理模式下，通过在数据库服务器上安装安全代理插件，实现对于通过SQL管理工具或本地等直连数据库的违规连接行为进行准入控制，防止非法人员绕过安全系统，违规对数据库进行访问。 (1)支持通过应用(包括业务应用，数据库运维工具等)的指纹信息识别是否为真实应用，针对假冒应用访问数据库，进行拦截阻断或告警。7安全登陆（1）支持数据库运维工具免密登陆

33、功能，当数据库管理人员通过Toad或SQLDEVELOPER等工具登陆运维数据库时，通过数据库账号与数字证书的绑定，数据库管理员在运维PC工具中无需输入数据库用户名密码即可登陆已授权访问的数据库，避免运维数据库用户和密码泄漏，保障账号安全。（2）支持产品OTP登录二次身份认证。（3）支持账号托管功能，运维人员使用分配运维账号，运维用户与数据库用户及密码进行映射绑定，运维人员在不知道数据库真实密码的情况下，即可完成对数据库的运维和管理，全面保障数据库安全。（4）支持安全客户端的短信二次认证功能，当登录安全客户端时，发送短信验证码，验证成功才能正常登陆。8访问控制（1）针对敏感数据集合的访问，任何

34、账户（包括DBASYSDBASchemaUSerany权限等用户）都需要通过授权才可以访问，对不具备访问权限的操作，明确阻断拒绝，并提示“安全权限不足错误”，实现用户权限分离管理。（2）支持拦截指定对象的ALTERTABLEALTERTABLESPACEDROPDATABASEDROPTABLECREATETABLEDROPTABLESPACEDROPUSER、TRUNCATE等高危操作行为（可自定义），支持数据库权限变更行为管控。（3）支持OraCIe同义词表访问管控。（4）支持DB2数据库联邦表管控。（5）支持数据库授权管理控制，包括数据库角色权限管理、数据库对象权限管控、数据库系统权限管

35、理，主要如下：A.支持针对数据库账号的角色权限进行控制，包括数据库系统管控授权（GRANTSYSDBA）数据库管理员授权（GRANTDBA）导入数据库授权（GRANTIMP_FULL_DATABASE）、导出数据库授权（GRANTEXP_FULL_DATABASE）等；B.支持针对数据库账号的数据库对象权限进行控制，包括访问敏感对象授权(GRANTSENSITIVEOBJECT)访问业务用户对象授权(GRANTSCHEMAOBJECT访问系统对象授权(GRANTSYSOBJECT)等；C.支持针对数据库账号进行数据库系统权限授权，包括删除任意对象授权(GRANTDROPANY)、创建任意对象授

36、权(GRANTCREATEANY)、更新任意数据授权(GRANTUPDATEANY)、查询任意数据授权(GRANTSELECTANY)、插入任意数据授权(GRANTINSERTANY)、删除任意数据授权(GRANTDELETEANY)等。(6)支持针对数据库用户的代码管控进行控制，包括过程、函数、包、触发器、视图等代码进行创建、删除的安全管控。(7)支持账户访问频次控制，避免一定时间内的高频次访问，避免数据流失。(8)支持修改、删除等操作的行数控制，避免数据大量泄漏。(9)支持基于表和SChema进行快速授权到某些用户或用户组。9安全防御(1)支持僵尸账号检测，对僵尸账号进行锁定，防止僵尸账号

37、造成数据泄露。(2)支持数据库口令暴力破解防御，对口令攻击行为进行防御，防御数据库爆破行为。10敏感数据脱敏(1)支持基于列的业务敏感类型，设置脱敏策略，实现相同的业务敏感类型同时设置脱敏策略。(2)脱敏算法支持对敏感类型数据进行自定义分段脱敏设置。(3)支持运维侧脱敏，针对不同运维人员返回对应的预授权结果，脱敏规则需要支持以下脱敏算法：A.整段；B.保留前几位；C.保留后几位；D.保留前几位，且保留后几位；E.自定义遮蔽；F.支持MongoDB三层结构数据返1全解析，全脱敏。11误操作恢复（1）至少支持OraCle、SQLservermysqlDB2数据库的误删除恢复，当使用DROP命令误删

38、除敏感数据时，系统应及时记录操作的时间、数据库名称、操作类型、操作的对象类型、SCHEMA名称、对象名称、当前状态、使用的SQL语句等信息，并提供一键恢复的功能，辅助完成数据的快速恢复，以支持系统恢复正常。12工单管理（1）采用基于WEB界面的工单管理模式，而非授权码方式，通过工作流的方式对敏感表格和敏感SQL访问授权，形成逐级审批机制，只有当访问申请被工作流中的所有审核者审批通过时，才可在合理权限内访问数据库中的敏感资产，无需访问者进行二次输入，避免授权码泄漏带来的非法访问。（2）支持以图形化形式直观展现工单审批流程。（3）工单申请支持按不同的库，走不同的审批人方式。13审计（1）支持SQL

39、命令（包括查询、新增、修改、删除等行为）的细粒度审计和分析，并详细记录管理用户的行为信息，包括规则名称、数据库主机、目标数据库名称、数据库实例名、客户端IP/端口、主机名、数据库用户名、物理地址、应用名称、应用用户、企业用户、命令类型、资产名称、执行时间、响应行为、风险级别等。14数据库监控（1）支持统计数据库请求数、会话数、流量信息。15报表管理（1）支持日报、月报、周报等生成，导出格式支持PDF/word。16系统登录（1）支持与AD、LDAP系统联动登录系统。17平台安全（1）平台具有安全审计员、安全保密员、系统管理员三种角色，实现三权分立。（2）支持对平台用户的密码复杂度（数据、大小写

40、字母、特殊字符、密码长度等）、有效期、复杂度、密码错误锁定策略等进行限制，有效期过后提供登录重置密码或禁止登陆需联系管理员处理2种处理方式，以确保平台自身账户的安全。18配置备份（1）支持策略中心全部策略、系统配置、资产配置（资产列表信息、数据源部署模式、数据源分组信息、敏感资产信息等）等进行备份与恢复：支持本地备份及下载备份文件到本地，支持上传备份文件至FTP服务器，支持配置恢复功能。19页面抓包（1）支持页面抓包功能。20日志外发（1）支持通过kafka和SySIog进行日志外发，支持登录事件、访问事件、告警事件、系统操作日志、系统日志等日志外发。21告鹫（1）支持以图形、列表等方式查看告

41、警信息，以列表形式展现的告警信息应当包含告警时间、告警内容、告警等级、用户IP、数据库代理IP、事件等。（2）告警方式至少包括：邮件、页面、短信、专有钉、钉钉。（3）安全告警支持基于任意组合订阅的模式，实现个性化告警订阅管理。22兼容认证（1）提供国产化产品兼容互认证证书，证书需包含：DM7、K-DB11g、南大通用GBaSe8s、海光CPU7000/5000/3000、神舟数据库V7.0兆芯（ZX-C+、KH-20000）、中标麒麟系统（兆芯版）V7.0中标麒麟系统（海光版）V7.0等。23授权数量（1）提供不低于16个数据库实例授权。2.4 数据接口审计部署数据接口审计，对APl资产进行梳

42、理；通过流量解析的方式自动梳理API列表、应用地址、API路径、请求类型、敏感数据类型、发现时间等，支持通过列表模式展示最近7天请求次数、最近7天访问IP数、最近一次访问时间、是否涉敏、接口状态等。支持敏感数据识别；通过对APl接口返回内容为JSON、XML的数据进行敏感内容识别。内置敏感数据数据规则特征，特征包含姓名、手机号、身份证号、邮箱，银行卡号等；支持APl脆弱性分析；通过自动识别接口的脆弱性，包括敏感接口未鉴权、敏感接口参数遍历、明文传输密码、登录弱密码等APl存在的数据安全脆弱性。支持APl风险发现；支持自动识别IP和账号维度的异常行为，例如账号多地访问、账号多IP访问等数据泄密溯

43、源分析；支持对泄密数据样本进行溯源审计，分析可疑用户的泄密可疑度，以及可疑用户举证，举证信息包括数据访问匹配度可视化、可疑用户访问可疑数据的路径行为展示和访问详细日志等。风险报告导出。技术参数如下:序号指标项要求1国产环境（1）适配银河麒麟VIo-鳏鹏920ARM、银河麒麟VIO-飞腾F2500ARM龙蜥V7.9/V8.2/V8.4-鱼昆鹏920ARMo2插件部署（1）支持串联部署，通过串连方式分析流量并进行安全防护。3旁路部署（1）支持旁路部署，通过镜像流量进行分析和安全防护。4加密流量（1）支持TLSL2及TLSL3的加密流量解析，且不需要客户提供证书。5态势感知（1）提供数据流转安全态势

44、展示，统计展示数据访问量、业务流转、应用访问热度、APl台账、应用涉敏接口、流动防护等。6资产识别（1）支持通过镜像流量或探针代理自动识别请求和返回中的API资产及应用资产，包括但不限于APl的接口信息、参数信息、请求方法等。（2）支持通过APl资产的发现时间、活跃时间、访问次数、请求方法进行关联分析，识别已知API、未知API。7资产画像（1）支持通过IP、端口、API接口统计、API流量统计等维度进行应用资产画像。（2）支持树状化展示应用资产中的API个数以及API资产的详细信息，包括但不限于请求方法、状态、访问次数等。3O支持单个APl资产通过访问次数、请求方法、状态、发现时间、活跃时间

45、、近7天访问曲线图展示APl资产画像。8资产管理（1）添加管理业务应用以及APl接口。（2）支持利用文件进行API资产的自定义导入，字段必须包含web主机、请求方法、URLo（3）统计展示APl接口资产信息访问情况信息，如访问数据量、访问次数、敏感次数等。（4）支持对APl资产进行自定义状态标签。9数据标签管理（1）至少包含180+种业务类型，可根据不同业务类型对数据进行自动分类，业务类型包括个人通信信息、个人位置信息、个人身份信息、网络身份标示信息、组织机构信息、企业信息、行业相关信息、基础信息、天气信息、个人设备信息等。10身份治理（1）以“人、应用、终端、账号”四个维度进行身份定义，联动

46、安全设备全局进行身份治理。11身份画像（1）AI赋能安全，通过梳理身份标签、访问关系拓扑、上下文访问链路等建立身份画像，通过身份基线比对，实现风险身份的自动化智能监测。12风险监测（1）支持自动识别流量中SQL注入、XSS跨站攻击、命令注入的异常行为；支持自动识别APl接口中的异常机器行为，包括爬虫、跨域访问等。（2）支持自动识别APl流量中的弱口令，防止暴力破解行为。支持对API流量中的敏感数据进行识别，包括但不限于身份证号、手机号、银行卡号等。（3）支持对单IP、单URL单位时间内的高频访问敏感数据进行检测。（4）支持APl滥用防护，防止刷单、德羊毛、漏洞攻击等APl接口的异常行为。（5）支持针对APl接口的盗用防护，防止接口盗用导致的APl数据泄露。（6）支持APl鉴权防护，通过提取用户鉴权与认证数据，针对鉴权及认证失败信息进行检测分析。（7）支持Al算法检测，通过实时检测进行建模训练，形成风险检测模型，识别异常行为。13访问策略（1）支持根据不同身份及身份因子，针对APl接口访问频次、单日请求次数、单日获取敏感数据次数等维度设置对API接口的访问进行控制。（2）支持APl访问策略关联设置到具体的APl接口资产。（3）支持通过预设敏感词类型、敏感词以及自定义敏感词，根据配置对