數(shù)據(jù)安全管控平臺(tái)建設(shè)方案

數(shù)據(jù)安全管控平臺(tái)建設(shè)方案21/21數(shù)據(jù)安全管控平臺(tái)建設(shè)方案

目錄TOC\o"1-4"\u一、建設(shè)背景 3二、建設(shè)目標(biāo) 3三、建設(shè)內(nèi)容 4四、設(shè)計(jì)原則 6五、建設(shè)需求 75.1.數(shù)據(jù)安全管控平臺(tái) 75.2.日志采集探針 105.3.數(shù)據(jù)庫(kù)采集探針 135.4.流量采集探針 155.5.運(yùn)維審計(jì)系統(tǒng) 175.6.云資源需求 195.7.數(shù)字中樞建設(shè)需求 20

建設(shè)背景伴隨著技術(shù)的進(jìn)步和時(shí)代的變遷，數(shù)據(jù)的產(chǎn)生速度更快、維度更多、來(lái)源更廣、關(guān)聯(lián)更強(qiáng)，體量和價(jià)值已不可同日而語(yǔ)。近年來(lái)，迎著大數(shù)據(jù)的風(fēng)口，各地深入學(xué)習(xí)貫徹習(xí)近平總書(shū)記提出的以信息化推進(jìn)國(guó)家治理體系和治理能力現(xiàn)代化，統(tǒng)籌發(fā)展電子政務(wù)，構(gòu)建一體化在線服務(wù)平臺(tái)，分級(jí)分類(lèi)推進(jìn)新型智慧城市建設(shè)的精神，將龐大的數(shù)據(jù)資源轉(zhuǎn)化為生產(chǎn)力，開(kāi)展政府?dāng)?shù)字化和城市數(shù)字化工作，發(fā)揮數(shù)據(jù)價(jià)值，做強(qiáng)數(shù)字經(jīng)濟(jì)，構(gòu)建數(shù)字引領(lǐng)、數(shù)據(jù)支撐的城市治理現(xiàn)代化體系。數(shù)字政府有力撬動(dòng)數(shù)字經(jīng)濟(jì)、數(shù)字社會(huì)發(fā)展，其過(guò)程離不開(kāi)數(shù)據(jù)資源的歸集共享和大數(shù)據(jù)技術(shù)的開(kāi)發(fā)利用，而數(shù)據(jù)安全是保障數(shù)據(jù)共享、開(kāi)放和使用的關(guān)鍵。隨著智慧電子政務(wù)、政府?dāng)?shù)字化轉(zhuǎn)型和城市大數(shù)據(jù)平臺(tái)建設(shè)的深入開(kāi)展，數(shù)據(jù)流通和共享將成為剛性業(yè)務(wù)需求，因此亟需建立以數(shù)據(jù)為核心的安全管控體系，確保數(shù)據(jù)流通共享的安全。建設(shè)目標(biāo)本項(xiàng)目主要采用預(yù)防性建設(shè)為主、檢測(cè)響應(yīng)為輔的思路，以數(shù)據(jù)為中心，設(shè)計(jì)并構(gòu)建覆蓋數(shù)據(jù)采集安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)交換與傳輸安全、訪問(wèn)控制安全、數(shù)據(jù)加密安全、數(shù)據(jù)備份與恢復(fù)、數(shù)據(jù)使用申請(qǐng)與管理以及數(shù)據(jù)回收與銷(xiāo)毀等生命周期的數(shù)據(jù)安全治理體系。明確各類(lèi)業(yè)務(wù)數(shù)據(jù)在數(shù)據(jù)全生命周期各個(gè)業(yè)務(wù)場(chǎng)景下保障要素，以合規(guī)為基線，以業(yè)務(wù)流程為導(dǎo)向，結(jié)合制度規(guī)范，建立完善的數(shù)據(jù)生命周期的安全保障和監(jiān)管措施。同時(shí)建立數(shù)據(jù)安全監(jiān)控預(yù)警、信息通報(bào)和應(yīng)急處置機(jī)制，逐步實(shí)現(xiàn)從“基于威脅的被動(dòng)保護(hù)”向“基于風(fēng)險(xiǎn)的主動(dòng)防控”轉(zhuǎn)變，提升數(shù)據(jù)安全能力，形成數(shù)據(jù)安全保障閉環(huán)，有效防止數(shù)據(jù)泄露、數(shù)據(jù)篡改等事件發(fā)生，實(shí)現(xiàn)數(shù)據(jù)的安全可控。安全服務(wù)人員利用數(shù)據(jù)安全管控平臺(tái)采集、匯聚、融合計(jì)算安全大數(shù)據(jù)，實(shí)現(xiàn)全方位全天候監(jiān)控預(yù)警全區(qū)政務(wù)系統(tǒng)和數(shù)據(jù)資源的安全威脅、風(fēng)險(xiǎn)、隱患態(tài)勢(shì)和網(wǎng)絡(luò)攻擊情況，有效加強(qiáng)對(duì)惠山區(qū)各類(lèi)數(shù)據(jù)的識(shí)別和防護(hù)。為數(shù)據(jù)及應(yīng)用提供一體化的安全保障能力，形成“多維聯(lián)動(dòng)、立體防護(hù)”的數(shù)據(jù)安全管控體系，統(tǒng)籌對(duì)數(shù)據(jù)安全管控對(duì)象的資產(chǎn)識(shí)別、安全防護(hù)、監(jiān)管監(jiān)測(cè)、預(yù)警通報(bào)、應(yīng)急處置，逐步形成基于平臺(tái)、數(shù)據(jù)、系統(tǒng)、管理的四層立體安全防護(hù)體系。并結(jié)合數(shù)據(jù)安全風(fēng)險(xiǎn)感知、異常流量監(jiān)控等安全保障技術(shù)，加強(qiáng)數(shù)據(jù)利用的安全監(jiān)控，同時(shí)建立覆蓋數(shù)據(jù)基于業(yè)務(wù)流轉(zhuǎn)的安全管控措施，確保每一條數(shù)據(jù)來(lái)源清晰、流向合規(guī)、使用正當(dāng)。建設(shè)內(nèi)容本項(xiàng)目建設(shè)內(nèi)容主要包括以下部分：數(shù)字中樞，實(shí)現(xiàn)通過(guò)平臺(tái)中樞協(xié)議，支撐各系統(tǒng)之間的連接，將惠山各級(jí)各部門(mén)分散的、獨(dú)立的信息系統(tǒng)整合集成為互聯(lián)互通、業(yè)務(wù)協(xié)同、信息共享的平臺(tái)，支持惠山區(qū)各級(jí)業(yè)務(wù)系統(tǒng)對(duì)接。提供應(yīng)用管理、網(wǎng)關(guān)管理、集成中心、服務(wù)中心、數(shù)據(jù)交換中心、監(jiān)控中心、開(kāi)放平臺(tái)、數(shù)據(jù)安全管控等功能。實(shí)現(xiàn)跨協(xié)議、跨應(yīng)用、跨云、跨部門(mén)、跨領(lǐng)域的融合集成。數(shù)據(jù)安全管控平臺(tái)建設(shè)數(shù)據(jù)安全管控平臺(tái)包含基礎(chǔ)設(shè)施層、數(shù)據(jù)資源層、應(yīng)用支撐層和數(shù)據(jù)應(yīng)用層，并配套相應(yīng)的數(shù)據(jù)安全服務(wù)體系，各層之間采用集中數(shù)據(jù)總線進(jìn)行數(shù)據(jù)傳輸和交換，以此降低各類(lèi)數(shù)據(jù)應(yīng)用對(duì)底層數(shù)據(jù)存儲(chǔ)之間的強(qiáng)依賴(lài)性，各層之間獨(dú)立工作，保障各層之間穩(wěn)定運(yùn)行；本次項(xiàng)目建設(shè)主要包含態(tài)勢(shì)感知模塊、資產(chǎn)管理模塊、安全監(jiān)管模塊以及安全運(yùn)營(yíng)模塊。數(shù)據(jù)采集探針建設(shè)數(shù)據(jù)采集探針主要為數(shù)據(jù)安全管控平臺(tái)提供各類(lèi)維度數(shù)據(jù)，采集范圍覆蓋各類(lèi)安全數(shù)據(jù)，具體采集內(nèi)容包括安全設(shè)備日志、數(shù)據(jù)庫(kù)審計(jì)日志、數(shù)據(jù)流動(dòng)環(huán)境的流量等，建立安全數(shù)據(jù)倉(cāng)庫(kù)，為上層應(yīng)用支撐層提供原始數(shù)據(jù)支撐。采集工具包括日志采集工具、流量采集工具、數(shù)據(jù)庫(kù)審計(jì)工具和主動(dòng)探測(cè)工具，并支持多種采集協(xié)議，以實(shí)現(xiàn)對(duì)各類(lèi)數(shù)據(jù)的采集，包括不限于安全對(duì)象屬性、運(yùn)行狀態(tài)、安全事件、評(píng)估與檢測(cè)等數(shù)據(jù)。運(yùn)維審計(jì)系統(tǒng)建設(shè)隨著政府部門(mén)對(duì)信息系統(tǒng)依賴(lài)程度的日益增強(qiáng)，信息安全問(wèn)題受到普遍關(guān)注。由于信息化建設(shè)、業(yè)務(wù)不斷擴(kuò)展等因素，在各信息系統(tǒng)中的服務(wù)器及各種網(wǎng)絡(luò)設(shè)備的不斷增加，對(duì)目標(biāo)主機(jī)的管理必須經(jīng)過(guò)各種認(rèn)證和登錄過(guò)程。本項(xiàng)目將采用運(yùn)維審計(jì)系統(tǒng)保障惠山區(qū)運(yùn)維安全。駐場(chǎng)安全運(yùn)營(yíng)服務(wù)數(shù)據(jù)安全服務(wù)體系提供各類(lèi)優(yōu)質(zhì)的數(shù)據(jù)安全支撐服務(wù)，讓安全服務(wù)滲透到數(shù)據(jù)安全管理、數(shù)據(jù)共享利用、通報(bào)預(yù)警、應(yīng)急響應(yīng)、運(yùn)行維護(hù)等每一個(gè)環(huán)節(jié)，對(duì)數(shù)據(jù)安全安全運(yùn)營(yíng)所需的服務(wù)進(jìn)行規(guī)劃設(shè)計(jì)，將單點(diǎn)的安全服務(wù)整合成一個(gè)有機(jī)的運(yùn)營(yíng)整體，持續(xù)優(yōu)化從而達(dá)到動(dòng)態(tài)運(yùn)營(yíng)的效果，保障數(shù)據(jù)安全管控平臺(tái)及業(yè)務(wù)的安全高效運(yùn)行。包括不局限于加強(qiáng)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估與加固、策略動(dòng)態(tài)優(yōu)化，完善安全防護(hù)措施，組織數(shù)據(jù)安全檢查、應(yīng)急預(yù)案演練和人員安全培訓(xùn)，提升數(shù)據(jù)安全風(fēng)險(xiǎn)意識(shí)和應(yīng)急處置能力，建立健全相關(guān)安全標(biāo)準(zhǔn)及管理制度，切實(shí)提升數(shù)據(jù)安全防護(hù)及監(jiān)管能力。設(shè)計(jì)原則項(xiàng)目建設(shè)，以適度風(fēng)險(xiǎn)為核心，以重點(diǎn)保護(hù)為原則，在方案設(shè)計(jì)中當(dāng)遵循以下的原則：（1）厲行節(jié)約原則：盡量利用現(xiàn)有的信息系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、安全監(jiān)控?cái)?shù)據(jù)等，綜合考慮對(duì)已有資源的共享和利用，避免重復(fù)建設(shè)和浪費(fèi)。（2）標(biāo)準(zhǔn)規(guī)劃原則：在方案設(shè)計(jì)方面遵循國(guó)家以及行業(yè)內(nèi)的相關(guān)標(biāo)準(zhǔn)，嚴(yán)格按照有關(guān)程序組織項(xiàng)目建設(shè)，做到有規(guī)可循。（3）重點(diǎn)保護(hù)原則：根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)，實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)，集中資源優(yōu)先保護(hù)重要數(shù)據(jù)資源。（4）技術(shù)先進(jìn)原則：平臺(tái)設(shè)計(jì)立足先進(jìn)技術(shù)，采用先進(jìn)的系統(tǒng)結(jié)構(gòu)、開(kāi)放的體系架構(gòu)，使系統(tǒng)在可進(jìn)行迭代升級(jí)，保持技術(shù)領(lǐng)先水平，具備長(zhǎng)足的發(fā)展能力，以適應(yīng)未來(lái)網(wǎng)絡(luò)技術(shù)和安全技術(shù)的發(fā)展和系統(tǒng)使用的科學(xué)性。（5）風(fēng)險(xiǎn)管理原則：進(jìn)行安全風(fēng)險(xiǎn)管理，確認(rèn)可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)，正確的識(shí)別風(fēng)險(xiǎn)、合理的管理風(fēng)險(xiǎn)，并讓信息系統(tǒng)的安全風(fēng)險(xiǎn)降低到可以接受的水平以?xún)?nèi)。建設(shè)需求數(shù)據(jù)安全管控平臺(tái)功能指標(biāo)招標(biāo)要求部署要求ECS部署平臺(tái)，資源要求：8核CPU、32G內(nèi)存、2T硬盤(pán)。數(shù)據(jù)接入支持通過(guò)多種類(lèi)型的安全、泛安全類(lèi)數(shù)據(jù)接入采集，應(yīng)包括但不限于日志數(shù)據(jù)、流量數(shù)據(jù)、弱點(diǎn)漏洞數(shù)據(jù)、資產(chǎn)人員數(shù)據(jù)等；支持通過(guò)流量采集設(shè)備采集接入全流量數(shù)據(jù)，包含流量中的請(qǐng)求包和返回包等信息，并可在數(shù)據(jù)檢索中體現(xiàn)包信息。資產(chǎn)梳理支持梳理的資產(chǎn)類(lèi)型包括網(wǎng)絡(luò)資產(chǎn)、數(shù)據(jù)資源、應(yīng)用接口、應(yīng)用服務(wù)、賬號(hào)權(quán)限等；支持EXCEL等格式的文件數(shù)據(jù)，可通過(guò)模板文件的填寫(xiě)導(dǎo)入實(shí)現(xiàn)資產(chǎn)數(shù)據(jù)的導(dǎo)入和管理；支持流量中分析和自動(dòng)發(fā)現(xiàn)資產(chǎn)，至少包括網(wǎng)絡(luò)資產(chǎn)、應(yīng)用服務(wù)和應(yīng)用接口等。業(yè)務(wù)建模圍繞業(yè)務(wù)場(chǎng)景開(kāi)展的數(shù)據(jù)流動(dòng)安全監(jiān)管，將業(yè)務(wù)場(chǎng)景分解到數(shù)據(jù)流和數(shù)據(jù)節(jié)點(diǎn)進(jìn)行細(xì)粒度的監(jiān)控，實(shí)現(xiàn)基于業(yè)務(wù)規(guī)則的數(shù)據(jù)流動(dòng)安全監(jiān)管：基于業(yè)務(wù)的數(shù)據(jù)建模：支持通過(guò)簡(jiǎn)單的元件拖拽、連線的操作方式對(duì)其數(shù)據(jù)流轉(zhuǎn)進(jìn)行可視化的拓?fù)浣?，組建包含應(yīng)用服務(wù)、數(shù)據(jù)服務(wù)、賬號(hào)、接口、表等；基于拓?fù)浣；A(chǔ)，生成業(yè)務(wù)大屏，對(duì)業(yè)務(wù)相關(guān)風(fēng)險(xiǎn)進(jìn)行可視化展現(xiàn)，包括SQL注入、漏洞攻擊、賬號(hào)安全、數(shù)據(jù)泄露、違規(guī)操作、可疑通信等。安全監(jiān)管數(shù)據(jù)全流程安全監(jiān)控：數(shù)據(jù)從歸集、治理、共享、交換全流程的數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警，包括敏感數(shù)據(jù)訪問(wèn)監(jiān)控預(yù)警、數(shù)據(jù)流轉(zhuǎn)監(jiān)控預(yù)警、基于業(yè)務(wù)場(chǎng)景數(shù)據(jù)安全監(jiān)控預(yù)警等；數(shù)據(jù)接口安全監(jiān)控：數(shù)據(jù)共享接口的健康狀況進(jìn)行實(shí)時(shí)監(jiān)控，對(duì)接口訪問(wèn)進(jìn)行統(tǒng)計(jì)，包括高密訪問(wèn)、越權(quán)訪問(wèn)、訪問(wèn)高延時(shí)、返回報(bào)錯(cuò)、404異常訪問(wèn)實(shí)現(xiàn)對(duì)異常或高風(fēng)險(xiǎn)操作的識(shí)別和預(yù)警；特權(quán)人員安全監(jiān)控：對(duì)第三方運(yùn)維服務(wù)人員的數(shù)據(jù)訪問(wèn)操作行為進(jìn)行監(jiān)督審核，包括特權(quán)賬號(hào)的越權(quán)行為及高危操作等。安全告警支持對(duì)數(shù)據(jù)庫(kù)、應(yīng)用服務(wù)告警進(jìn)行統(tǒng)一的跟蹤管理；支持安全事件場(chǎng)景研判，展示攻擊者和受害者的資產(chǎn)信息，可聯(lián)動(dòng)會(huì)話詳情，點(diǎn)擊查看不同溯源維度的會(huì)話詳情，通過(guò)請(qǐng)求頭，payload等詳情字段定位攻擊。支持對(duì)安全告警數(shù)據(jù)進(jìn)行分類(lèi)檢索，從檢索結(jié)果可關(guān)聯(lián)資產(chǎn)信息并一鍵跳轉(zhuǎn)；支持不少于1000條檢索結(jié)果導(dǎo)出，導(dǎo)出字段可自定義選擇，支持CSV格式；支持智能檢索語(yǔ)句分析，支持檢索語(yǔ)句的中英文、拼音智能聯(lián)想，支持邏輯運(yùn)算符與字段值的自動(dòng)提示補(bǔ)全；檢索語(yǔ)句支持快速保存，歷史檢索語(yǔ)句快速導(dǎo)入；安全合規(guī)中心支持建立安全知識(shí)庫(kù)，管理維護(hù)安全相關(guān)的標(biāo)準(zhǔn)、指導(dǎo)性文件等，支持上傳、下載和在線閱讀。平臺(tái)內(nèi)置安全合規(guī)檢查模板，支持自定義檢查模板及快速下發(fā)，被檢查單位按要求將檢查項(xiàng)的證據(jù)材料上傳，實(shí)現(xiàn)一站式的快速檢查。安全運(yùn)營(yíng)安全駕駛艙支持對(duì)資產(chǎn)、安全隱患、攻擊、異常行為等多維度的安全數(shù)據(jù)統(tǒng)計(jì)，進(jìn)行整體的數(shù)據(jù)安全態(tài)勢(shì)分析及可視化大屏展現(xiàn)。通報(bào)預(yù)警支持將各單位需要注意的風(fēng)險(xiǎn)快速下發(fā)到具體的單位，各單位可通過(guò)該模塊，快速查看本單位存在的風(fēng)險(xiǎn)。工單處理支持將高安全風(fēng)險(xiǎn)、預(yù)警項(xiàng)快速的分配給具體的人員進(jìn)行跟蹤處理，實(shí)現(xiàn)責(zé)任到人，形成風(fēng)險(xiǎn)閉環(huán)。安全報(bào)告按周期性自動(dòng)生成由各維度分析報(bào)告組成的綜合報(bào)表，如日?qǐng)?bào)、周報(bào)、月報(bào)、年報(bào)，且支持自動(dòng)投遞郵箱功能。排名考核對(duì)各部門(mén)進(jìn)行統(tǒng)計(jì)排名，統(tǒng)計(jì)待辦工單、滯留工單、高危告警等部門(mén)排名情況。系統(tǒng)管理用戶(hù)管理提供三權(quán)分立的用戶(hù)管理能力：配置員、用戶(hù)管理員、審計(jì)員相互獨(dú)立，支持根據(jù)對(duì)象屬性自定義劃分系統(tǒng)管理角色和一般用戶(hù)角色，按照數(shù)據(jù)和功能分級(jí)靈活設(shè)置用戶(hù)權(quán)限。數(shù)據(jù)權(quán)限支持基于用戶(hù)角色的數(shù)據(jù)權(quán)限控制，不同的角色只能查詢(xún)與用戶(hù)角色相關(guān)聯(lián)的安全告警信息和工單信息等。數(shù)字字典支持管理系統(tǒng)中異常記錄、安全告警的所有字段和取值，每個(gè)字段均有清晰的說(shuō)明；支持?jǐn)?shù)據(jù)標(biāo)準(zhǔn)管理，用戶(hù)可以根據(jù)實(shí)際需求，對(duì)字典進(jìn)行編輯，支持手動(dòng)修改、增加或刪除相應(yīng)的字段；數(shù)據(jù)字典支持管理系統(tǒng)中原始日志和告警數(shù)據(jù)中所有字段的類(lèi)型、取值范圍、字段說(shuō)明，支持?jǐn)?shù)值、字符串、枚舉、IP等≥9種字段類(lèi)型。日志采集探針功能指標(biāo)指標(biāo)要求性能規(guī)格標(biāo)準(zhǔn)1U硬件，1個(gè)console口，≥6個(gè)千兆電口，≥2T硬盤(pán)；日志處理能力≥2000EPS；≥55個(gè)日志源許可。功能擴(kuò)展采用解決方案包上傳對(duì)產(chǎn)品進(jìn)行功能擴(kuò)展，無(wú)需要代碼開(kāi)發(fā)。工作模式獨(dú)立完成審計(jì)日志采集，不依賴(lài)于設(shè)備或系統(tǒng)自身的日志系統(tǒng)；審計(jì)工作不影響被審計(jì)對(duì)象的性能、穩(wěn)定性或日常管理流程；審計(jì)結(jié)果存儲(chǔ)于獨(dú)立存儲(chǔ)空間；日志收集支持Syslog、SNMPTrap、OPSec、FTP協(xié)議日志收集支持使用代理(Agent)方式提取日志并收集；支持目前主流的網(wǎng)絡(luò)安全設(shè)備、交換設(shè)備、路由設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)等；支持常見(jiàn)的虛擬機(jī)環(huán)境日志收集，包括Xen、VMWare、Hyper-V等日志分析可以以日志等級(jí)進(jìn)行過(guò)濾；支持對(duì)收集到的重復(fù)的日志進(jìn)行自動(dòng)的聚合歸并，減少日志量；支持可由用戶(hù)定義和修改的日志的聚合歸并邏輯規(guī)則;支持將收集到的日志轉(zhuǎn)發(fā)，當(dāng)原始日志設(shè)備無(wú)法設(shè)置多個(gè)日志服務(wù)器時(shí)，可以通過(guò)本系統(tǒng)的日志轉(zhuǎn)發(fā)功能將日志轉(zhuǎn)發(fā)到其他日志存儲(chǔ)設(shè)備；支持對(duì)收集到的日志進(jìn)行解析（標(biāo)準(zhǔn)化、歸一化），解析規(guī)則可以根據(jù)客戶(hù)要求定制擴(kuò)展。支持基于內(nèi)存的實(shí)時(shí)關(guān)聯(lián)分析，跨設(shè)備的多事件關(guān)聯(lián)分析；支持自定義條件都事件進(jìn)行聚合；進(jìn)行關(guān)聯(lián)分析的規(guī)則可定制；支持根據(jù)資產(chǎn)價(jià)值、資產(chǎn)漏洞、針對(duì)漏洞的威脅事件三者進(jìn)行威脅的自動(dòng)關(guān)聯(lián)分析（三維關(guān)聯(lián)），所有的三維關(guān)聯(lián)算法和準(zhǔn)則以CVE、Bugtraq、OWASP公開(kāi)協(xié)議和標(biāo)準(zhǔn)為基礎(chǔ)。具備安全評(píng)估模型，評(píng)估模型基于設(shè)備故障、認(rèn)證登錄、攻擊威脅、可用性、系統(tǒng)脆弱性等緯度加權(quán)平均計(jì)算總體安全指數(shù)。安全評(píng)估模型可以顯示總體評(píng)分、歷史評(píng)分趨勢(shì)。安全評(píng)估模型各項(xiàng)指標(biāo)可鉆取具體的評(píng)分扣分事件日志查詢(xún)支持B/S模式管理，支持SSL加密模式訪問(wèn)；支持按日期、時(shí)間、設(shè)備類(lèi)型、日志類(lèi)型、日志來(lái)源、威脅值、源地址、目的地址、事件類(lèi)型、時(shí)間范圍、操作對(duì)象、技術(shù)方式、技術(shù)動(dòng)作、技術(shù)效果、攻擊類(lèi)型、地理城市等參數(shù)進(jìn)行過(guò)濾查詢(xún)；支持用任意關(guān)鍵字對(duì)所有事件進(jìn)行高性能全文檢索支持可指定多個(gè)查詢(xún)條件進(jìn)行組合查詢(xún)支持將查詢(xún)的條件存儲(chǔ)為查詢(xún)模版，方便再次使用支持極高的日志高查詢(xún)性能，支持億級(jí)的日志里根據(jù)做任意的關(guān)鍵字及其它的檢索條件，在秒級(jí)里返回查詢(xún)結(jié)果。應(yīng)用性能監(jiān)控性能監(jiān)控：通過(guò)在目標(biāo)主機(jī)上安裝agent程序，支持監(jiān)控目標(biāo)主機(jī)的CPU利用率、內(nèi)存使用率、磁盤(pán)使用情況、流量等信息，并支持設(shè)置報(bào)警閾值。支持如下應(yīng)用的性能監(jiān)控（Windows、Linux、Aix、FeeBSD、HP-UX/Tru64、MaxOS、SunSolaris）、數(shù)據(jù)庫(kù)（mysql、oracle）、應(yīng)用服務(wù)器（weblogic、tomcat）、web服務(wù)器（apache）；支持應(yīng)用性能歷史詳情回溯查看。資產(chǎn)管理資產(chǎn)拓?fù)渲С职凑諏?shí)際的用戶(hù)環(huán)境進(jìn)行編輯發(fā)布并可以和資產(chǎn)進(jìn)行綁定，拓?fù)淇梢燥@示資產(chǎn)采集的事件數(shù)量被采集資產(chǎn)的狀態(tài)等信息告警功能可預(yù)設(shè)置安全告警策略；支持?jǐn)?shù)據(jù)閥值設(shè)置，超過(guò)閥值將產(chǎn)生告警;可以通過(guò)郵件、短信和屏幕顯示進(jìn)行告警；支持自動(dòng)防止報(bào)警信息在短時(shí)間內(nèi)大量發(fā)送(告警抑制)；具備報(bào)警合并和在一個(gè)時(shí)間段內(nèi)抑制報(bào)警次數(shù)的能力。堡壘機(jī)防繞過(guò)支持對(duì)不通過(guò)堡壘機(jī)直接訪問(wèn)目標(biāo)機(jī)器的行為進(jìn)行檢測(cè)并告警。綜合查詢(xún)及報(bào)表管理內(nèi)置合規(guī)性報(bào)表1000+種；內(nèi)置SOX、ISO27001、WEB安全等解決方案包內(nèi)置完善的等級(jí)保護(hù)合規(guī)報(bào)表內(nèi)置綜合性自動(dòng)化審計(jì)報(bào)告支持用戶(hù)自定義報(bào)表；自定義的報(bào)表支持多個(gè)統(tǒng)計(jì)維度的數(shù)據(jù)集合。數(shù)據(jù)報(bào)表支持?jǐn)?shù)據(jù)趨勢(shì)預(yù)測(cè)功能，根據(jù)歷史規(guī)律數(shù)據(jù)對(duì)未來(lái)數(shù)據(jù)的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)報(bào)表支持詳單數(shù)據(jù)鉆取用戶(hù)管理用戶(hù)支持雙因子認(rèn)證登錄，雙因子認(rèn)證令牌支持綁定至具體用戶(hù)協(xié)同聯(lián)動(dòng)探針需與數(shù)據(jù)安全管控平臺(tái)無(wú)縫對(duì)接，實(shí)現(xiàn)數(shù)據(jù)采集、分析、抽取，及聯(lián)動(dòng)效果數(shù)據(jù)庫(kù)采集探針功能指標(biāo)指標(biāo)要求硬件規(guī)格標(biāo)準(zhǔn)2U硬件，硬盤(pán)冗余容量：≥2TB，≥6個(gè)千兆電口，≥4個(gè)千兆光口，雙電源。處理能力審計(jì)性能：峰值SQL處理能力≥20000條/秒;；最大吞吐量≥2000Mbps，最大純數(shù)據(jù)庫(kù)流量≥200Mbps，標(biāo)配日志存儲(chǔ)數(shù)≥20億條；審計(jì)日志檢索能力≥1500萬(wàn)條/秒；支持的數(shù)據(jù)庫(kù)實(shí)例個(gè)數(shù)：12；部署方式旁路部署模式下無(wú)須在被審計(jì)數(shù)據(jù)庫(kù)系統(tǒng)上安裝任何代理即可實(shí)現(xiàn)審計(jì)；可在云環(huán)境操作系統(tǒng)中安裝軟件代理，提供國(guó)家權(quán)威檢測(cè)機(jī)構(gòu)檢測(cè)報(bào)告；協(xié)議支持支持Oracle、PostgreSQL、SQLServer、DB2、Informix、Sybase、MySQL、MariaDB、SybaseIQ等主流數(shù)據(jù)庫(kù)的審計(jì)；支持GuassDB、Teradata、人大金倉(cāng)（Kingbase）、達(dá)夢(mèng)（DM）、南大通用數(shù)據(jù)庫(kù)（Gbase）、Oscar、K-DB等國(guó)產(chǎn)數(shù)據(jù)庫(kù)的審計(jì)；支持主流業(yè)務(wù)協(xié)議HTTP、HTTPS、Telnet、FTP的審計(jì)；支持MongoDB、Hbase、Hive、impala、ElasticSearch、HDFS、ArangoDB、Neo4j、OrientDB等非關(guān)系型數(shù)據(jù)庫(kù)的審計(jì)；可以通過(guò)導(dǎo)入證書(shū)的方式實(shí)現(xiàn)MySQL5.7、MSSQL2005及以上版本采用了加密協(xié)議通訊的審計(jì)；審計(jì)功能支持?jǐn)?shù)據(jù)庫(kù)操作表、視圖、索引、存儲(chǔ)過(guò)程等HYPERLINK\l"_支持各種對(duì)象的SQL審計(jì)_1"各種對(duì)象的所有SQL操作審計(jì)；支持超長(zhǎng)SQL語(yǔ)句（最長(zhǎng)4M）審計(jì)。審計(jì)信息能夠記錄執(zhí)行時(shí)長(zhǎng)，影響行數(shù)、執(zhí)行結(jié)果描述與返回結(jié)果集；支持?jǐn)?shù)據(jù)庫(kù)請(qǐng)求和返回的雙向?qū)徲?jì)，特別是返回字段和結(jié)果集、執(zhí)行狀態(tài)、返回行數(shù)、執(zhí)行時(shí)長(zhǎng)、客戶(hù)端工具、主機(jī)名等內(nèi)容，支持通過(guò)返回行數(shù)控制返回結(jié)果集大小智能發(fā)現(xiàn)支持自動(dòng)發(fā)現(xiàn)流量中的數(shù)據(jù)庫(kù)信息，簡(jiǎn)化配置。安全審計(jì)支持審計(jì)記錄中敏感數(shù)據(jù)的模糊化處理，內(nèi)置常見(jiàn)敏感數(shù)據(jù)掩碼規(guī)則，支持自定義；內(nèi)置安全特征庫(kù)不少于900條，如SQL注入、緩沖區(qū)溢出等；產(chǎn)品具有內(nèi)置規(guī)則，規(guī)則類(lèi)型有sql注入、賬號(hào)安全、數(shù)據(jù)泄露和違規(guī)操作等，并可依據(jù)規(guī)則進(jìn)行郵件告警；支持內(nèi)置安全規(guī)則單獨(dú)升級(jí)；審計(jì)查詢(xún)支持基于數(shù)據(jù)庫(kù)HYPERLINK\l"_多維度查詢(xún)"訪問(wèn)日期、時(shí)間、源/目的IP、來(lái)源、數(shù)據(jù)庫(kù)名、數(shù)據(jù)庫(kù)表名、字段值、數(shù)據(jù)庫(kù)登錄賬號(hào)、SQL關(guān)鍵詞、數(shù)據(jù)庫(kù)返回碼、SQL響應(yīng)時(shí)間、數(shù)據(jù)庫(kù)操作類(lèi)型、影響行數(shù)等條件的審計(jì)查詢(xún)。統(tǒng)計(jì)報(bào)表系統(tǒng)內(nèi)置HYPERLINK\l"_內(nèi)置多種報(bào)表模板"多種報(bào)表模板庫(kù)，報(bào)表不少于20種；報(bào)表支持嚴(yán)格按照HYPERLINK\l"_SOX、等級(jí)保護(hù)合規(guī)多維度"塞班斯（SOX）法案、等級(jí)保護(hù)標(biāo)準(zhǔn)要求生成多維度綜合報(bào)告；支持基于表維度的報(bào)表分析；支持HYPERLINK\l"_導(dǎo)出格式"HTML、PDF、PNG、Word等格式的報(bào)表導(dǎo)出；模型分析可依據(jù)客戶(hù)端工具名、數(shù)據(jù)庫(kù)用戶(hù)名、客戶(hù)端IP、操作系統(tǒng)用戶(hù)名、客戶(hù)端主機(jī)名、數(shù)據(jù)庫(kù)名、操作類(lèi)型、服務(wù)器IP等配置行為模型，并可查看相應(yīng)告警日志；Agent管理支持在審計(jì)管理端批量安裝、卸載、重新安裝審計(jì)代理；支持在審計(jì)管理端啟動(dòng)、停止、掛起Agent；Agent支持設(shè)置CPU親和性、最大資源使用率限制（CPU、內(nèi)存）可監(jiān)控Agent的轉(zhuǎn)發(fā)速率，以及Agent所在數(shù)據(jù)庫(kù)服務(wù)器的CPU、內(nèi)存利用率，并可設(shè)置CPU、內(nèi)存利用率的上線閾值，超閾值時(shí)Agent將自動(dòng)停止轉(zhuǎn)發(fā)數(shù)據(jù)；Agent支持在RDP或SSH登錄數(shù)據(jù)庫(kù)服務(wù)器運(yùn)維時(shí)，審計(jì)原始登錄人員的IP地址。分布式支持在管理節(jié)點(diǎn)上管理數(shù)據(jù)庫(kù)資產(chǎn)、審計(jì)規(guī)則、報(bào)表訂閱、告警通知等；支持管理中心和審計(jì)節(jié)點(diǎn)手工同步配置信息；三層關(guān)聯(lián)可提供客戶(hù)端訪問(wèn)Web服務(wù)器的URL和應(yīng)用服務(wù)器訪問(wèn)數(shù)據(jù)庫(kù)的SQL語(yǔ)句關(guān)聯(lián)功能；協(xié)同聯(lián)動(dòng)支持租戶(hù)化管理，針對(duì)租戶(hù)的賬戶(hù)只授權(quán)租戶(hù)可查看租戶(hù)內(nèi)的數(shù)據(jù)庫(kù)產(chǎn)生的審計(jì)日志、告警信息。探針需與數(shù)據(jù)安全管控平臺(tái)無(wú)縫對(duì)接，實(shí)現(xiàn)數(shù)據(jù)采集、分析、抽取，及聯(lián)動(dòng)效果流量采集探針功能指標(biāo)指標(biāo)要求硬件規(guī)格標(biāo)準(zhǔn)1U硬件；單電源，硬盤(pán)容量：≥2T，接口數(shù)量：≥6個(gè)千兆電口，MTBF大于65000小時(shí)；性能規(guī)格網(wǎng)絡(luò)層：≥500Mbps，WEB檢測(cè)：HTTP最大并發(fā)數(shù)≥1萬(wàn)/秒；文件檢測(cè)：≥1萬(wàn)個(gè)/24小時(shí)自定義配置管理中心和探測(cè)器之間的數(shù)據(jù)傳輸速率、時(shí)間、發(fā)送目錄都可自定義；審計(jì)協(xié)議支持解析HTTP、FTP、SMTP、POP3、SMB、IMAP、DNS、Mysql、MSSQL、DB2、Oracle、HTTPS、SMTPS、POP3S、IMAPS等協(xié)議報(bào)文，并提供審計(jì)協(xié)議類(lèi)型的端口號(hào)配置，可根據(jù)需要變更端口號(hào)文件威脅指數(shù)可展示威脅程度最高的文件樣本MD5、威脅指數(shù)、傳播次數(shù)，病毒檢測(cè)、靜態(tài)檢測(cè)和動(dòng)態(tài)檢測(cè)結(jié)果等內(nèi)容根據(jù)文件傳播情況分析受感染主機(jī)、接受云端威脅情報(bào)、關(guān)鍵威脅行為可視化、回連主機(jī)host和完整沙箱分析報(bào)告根據(jù)云端威脅情報(bào)展示云端是否確認(rèn)、傳播協(xié)議類(lèi)型、傳播次數(shù)、云端確認(rèn)結(jié)果等檢測(cè)風(fēng)險(xiǎn)類(lèi)別支持檢測(cè)WEB攻擊、惡意文件攻擊、遠(yuǎn)程控制、WEB后門(mén)訪問(wèn)、發(fā)件人欺騙、郵件頭欺騙、郵件釣魚(yú)、郵件惡意鏈接、DGA域名請(qǐng)求、SMB遠(yuǎn)程溢出攻擊、WEB行為分析、非法數(shù)據(jù)傳輸、弱口令、隱蔽信道通信、暴力破解、挖礦、遠(yuǎn)控工具利用、密碼明文形式傳播、掃描行為等風(fēng)險(xiǎn)告警黑白名單過(guò)濾支持文件白名單、發(fā)件人郵箱白名單、發(fā)件人域名白名單、黑域名白名單、黑IP白名單、域名白名單、客戶(hù)端IP白名單、服務(wù)端IP白名單、WEB特征風(fēng)險(xiǎn)白名單、IDS規(guī)則白名單的配置。私網(wǎng)IP地理位置定義支持私網(wǎng)IP地址或網(wǎng)段的地理位置配置，在風(fēng)險(xiǎn)信息中按實(shí)際配置數(shù)據(jù)，展示對(duì)應(yīng)IP地址的地理位置信息弱口令檢測(cè)支持對(duì)HTTP、IMAP、SMTP、POP3、Telnet、FTP等協(xié)議的弱口令檢測(cè)暴力破解檢測(cè)支持SMB、SMTP、IMAP、POP3、FTP、TELNET、RADMIN、SSH、RDP等協(xié)議的暴力破解，能識(shí)別出嘗試登錄次數(shù)、賬戶(hù)信息、爆破成功與否的攻擊狀態(tài)。密碼明文形式傳播支持HTTP協(xié)議的明文密碼泄露行為檢測(cè)，能識(shí)別出登錄頁(yè)面URL、賬戶(hù)和明文密碼端口/IP過(guò)濾支持端口過(guò)濾配置，對(duì)指定端口的網(wǎng)絡(luò)流量不做分析檢測(cè)；支持IP過(guò)濾配置，對(duì)指定IP或IP對(duì)的網(wǎng)絡(luò)流量不做分析檢測(cè)，可通過(guò)批量導(dǎo)入、導(dǎo)出等方式完成IP過(guò)濾的配置攻擊地圖展示可通過(guò)攻擊源和目的的地理位置信息，以世界地圖和中國(guó)地圖的形式展示，并可切換世界地圖和中國(guó)地圖以直觀展示攻擊路徑一鍵登錄排錯(cuò)支持一鍵登錄排錯(cuò)平臺(tái)，對(duì)系統(tǒng)進(jìn)行深度配置和排錯(cuò)，支持一鍵檢測(cè)故障、配置核對(duì)、表分區(qū)檢查、表檢測(cè)、同步驗(yàn)證、信息收集等功能。沙箱檢測(cè)技術(shù)支持對(duì)文件采用沙箱檢測(cè)，對(duì)存在惡意行為的文件輸出完整的二進(jìn)制動(dòng)態(tài)分析報(bào)告。云端威脅情報(bào)支持自動(dòng)從APT云端獲取最新威脅情報(bào)遠(yuǎn)程控制檢測(cè)支持根據(jù)威脅情報(bào)、DGA域名請(qǐng)求、IDS規(guī)則、用戶(hù)配置數(shù)據(jù)，發(fā)現(xiàn)被遠(yuǎn)程控制的內(nèi)部主機(jī)挖礦行為檢測(cè)可發(fā)現(xiàn)利用失陷主機(jī)挖礦的行為失陷主機(jī)分析支持以失陷主機(jī)維度進(jìn)行分析，分析內(nèi)容包括失陷主機(jī)IP、MAC地址、攻擊類(lèi)型、訪問(wèn)次數(shù)、攻擊開(kāi)始時(shí)間、攻擊結(jié)束時(shí)間協(xié)同聯(lián)動(dòng)探針需實(shí)時(shí)同步數(shù)據(jù)到數(shù)據(jù)安全管控平臺(tái)，實(shí)現(xiàn)數(shù)據(jù)安全分析、監(jiān)管運(yùn)維審計(jì)系統(tǒng)要求項(xiàng)具體要求參數(shù)硬件及性能配置軟硬件一體化1U產(chǎn)品，至少配備6個(gè)千兆自適應(yīng)電口，，磁盤(pán)空間不少于1T；授權(quán)資產(chǎn)≥100個(gè)；軟件功能無(wú)限制；運(yùn)維用戶(hù)無(wú)限制；用戶(hù)管理要求用戶(hù)角色支持用戶(hù)多角色劃分功能，如系統(tǒng)管理員、部門(mén)管理員、運(yùn)維員、審計(jì)管理員、密碼管理員等，對(duì)各類(lèi)角色需要進(jìn)行細(xì)粒度的權(quán)限管理；用戶(hù)管理和用戶(hù)策略支持用戶(hù)的批量導(dǎo)入/導(dǎo)出，按用戶(hù)類(lèi)型等分組方式；支持用戶(hù)安全策略功能，如密碼鎖定次數(shù)、密碼有效期、密碼復(fù)雜度、用戶(hù)有效期、用戶(hù)登錄時(shí)間限制、用戶(hù)登錄IP范圍等；部門(mén)資源管理支持按部門(mén)組織架構(gòu)（至少5個(gè)層級(jí)的部門(mén)）管理用戶(hù)數(shù)據(jù)、資產(chǎn)數(shù)據(jù)、授權(quán)數(shù)據(jù)、審計(jì)數(shù)據(jù)，且數(shù)據(jù)相互隔離；可按部門(mén)層級(jí)分別設(shè)定各部門(mén)不同權(quán)限的管理員；身份認(rèn)證要求多種雙因子同時(shí)使用基于不同的用戶(hù)設(shè)置不同的雙因子認(rèn)證模式，如user1用動(dòng)態(tài)令牌、user2用USBkey、user3手機(jī)APP動(dòng)態(tài)口令認(rèn)證HYPERLINK\l"_按部門(mén)管理用戶(hù)、資產(chǎn)和策略"；設(shè)備管理要求支持的協(xié)議和應(yīng)用支持常用運(yùn)維協(xié)議：SSH、TELNET、RDP、VNC、FTP、SFTP、rlogin；可通過(guò)應(yīng)用發(fā)布方式進(jìn)行協(xié)議擴(kuò)展；密碼存儲(chǔ)支持采用國(guó)密加密算法進(jìn)行核心敏感數(shù)據(jù)加密存儲(chǔ)；主流數(shù)據(jù)庫(kù)運(yùn)維管理支持DB2、oracle、mysql、sqlserver主流協(xié)議代理運(yùn)維，可直接調(diào)用本地windows系統(tǒng)客戶(hù)端工具自動(dòng)登錄、無(wú)需應(yīng)用發(fā)布前置機(jī)；運(yùn)維方式要求多種瀏覽器登錄至少支持使用IE、谷歌、火狐三種瀏覽器打開(kāi)堡壘機(jī)的Web頁(yè)面直接調(diào)用mstsc、VNC、Xshell、SecureCRT、Putty、winscp、flashFXP、FileZilla、SecureFX等運(yùn)維客戶(hù)端工具；H5運(yùn)維方式：支持ssh、telnet、rlogin、rdp、vnc協(xié)議的H5運(yùn)維，無(wú)需本地運(yùn)維客戶(hù)端工具；客戶(hù)端工具訪問(wèn)支持Windows/Mac操作系統(tǒng)下C/S架構(gòu)的堡壘機(jī)專(zhuān)用客戶(hù)端，可通過(guò)此專(zhuān)用客戶(hù)端登錄堡壘機(jī)，對(duì)堡壘機(jī)進(jìn)行簡(jiǎn)單的管理及運(yùn)維資產(chǎn)操作；客戶(hù)端工具登錄客戶(hù)端訪問(wèn)方式：支持使用本地的mstsc/Xshell/SecureCRT/Putty等客戶(hù)端工具登錄堡壘機(jī)訪問(wèn)圖形或字符設(shè)備，視圖界面一致性、搜索能力；審計(jì)要求運(yùn)維審計(jì)支持對(duì)運(yùn)維操作會(huì)話在線監(jiān)控、實(shí)時(shí)阻斷、日志回放、起止時(shí)間、來(lái)源用戶(hù)、來(lái)源IP、目標(biāo)設(shè)備、協(xié)議/應(yīng)用類(lèi)型、命令記錄、操作內(nèi)容的詳細(xì)行為日志；協(xié)同審計(jì)支持和本項(xiàng)目中日志審計(jì)系行聯(lián)動(dòng)，對(duì)繞過(guò)堡壘機(jī)而登錄主機(jī)的行為，進(jìn)行實(shí)時(shí)告警，并且進(jìn)行日志關(guān)聯(lián)性分析；RDP文字記錄支持對(duì)RDP屏幕文字內(nèi)容、標(biāo)題窗口、鍵盤(pán)輸入的記錄和搜索定位；安全策略要求運(yùn)維規(guī)則策略支持通過(guò)基于時(shí)間、IP/IP段、用戶(hù)/用戶(hù)組、設(shè)備/設(shè)備組、設(shè)備賬號(hào)、命令關(guān)鍵字、控制動(dòng)作、黑白名單等組合訪問(wèn)控制策略，授權(quán)用戶(hù)可訪問(wèn)的目標(biāo)設(shè)備；二次審批啟用登錄審核功能，運(yùn)維人員須向管理員申請(qǐng)登錄，允許之后才可登錄；報(bào)表統(tǒng)計(jì)要求運(yùn)維報(bào)表格式內(nèi)置豐富的報(bào)表統(tǒng)計(jì)模板，可點(diǎn)擊柱狀圖、曲線圖進(jìn)行數(shù)據(jù)鉆取分析，且支持PDF、doc、html格式導(dǎo)出；運(yùn)維報(bào)表內(nèi)容內(nèi)置根據(jù)運(yùn)維人員和組生成各種維度的分析報(bào)表，維度包含總為運(yùn)維次數(shù)、時(shí)長(zhǎng)、活