XX区综合执法管理数据安全智慧应用体系建设方案

2023年8月1日发(作者：)

XX区综合执法管理数据安全智慧应用体系建设方案

一、项目背景

近几年，我国互联网快速融合发展，宽带普及提速工程稳步推进，移动互联网、云计算、视频监控等新技术新业务相互促进、快速发展。在政府相关部门、国企单位、网络安全企业和广大网民的共同努力下，我国政府及相关单位和网民的网络安全防范意识进一步提高，互联网网络安全状况表面上呈现平稳状态。但从各行业深程度看，黑客活动仍然日趋频繁，WEB应用攻击、网站后门、网络钓鱼、移动互联网恶意程序、拒绝服务攻击事件呈大幅增长态势。直接影响政府、企业和网民权益，阻碍行业健康发展；针对特定目标的有组织高级可持续攻击日渐增多。国家、企业的网络信息系统安全面临严峻挑战。

针对目前整体网络安全的严峻现状以及《网络安全法》的出台，国家各单位以及企业高度重视网络安全防护工作，通过对物理、网络、应用、数据等不同层面进行综合规划与设计，同时积极参与信息安全等级保护评测工作，确保整体信息化建设环境的安全性、可靠性。

大数据时代，数据成为推动经济社会创新发展的关键生产要素，在为组织创造价值的同时，也面临着严峻的安全风险,周全的网络保护措施仍然会遭到攻击导致网络瘫痪，进入内网再加上数据的保护措施不完善，则意味着大量核心数据暴露。目前的数据威胁已是内忧外患，数据泄漏只是时间问题。而数据泄漏、丢失，对个人、企业、国家所造成的损失是难以估量的，且无补救措施，不断增加的安全事件已经清晰的反映出数据的重要性和损失的严重性，也更反映了保证数据安全的必要性。数据是企业的核心资产，数据安全是保证企业安全的根本。

XX区智慧城市管理开展信息化建设相对比较早，为实现核心业务数据分等级保护与监管、信息安全事件分等级响应的目的，将信息系统的安全保护落实到点，实现信息系统的完整性、保密性和可用性，使得的信息系统和网络更好的为执法人员以及公众人员提供服务，编制整体网络安全等级保护方案。

1 二、总体现状

XX区综合执法管理安全防护体系以现有智慧城管项目的网络为基础，针对现有网络情况进行综合分析，智慧城市管理信息系统运维服务项目系统部署在XX综合执法局机房，网络拓扑如下：

移动云平台1000M外网183.246.199.56数据库服务器CentOS 7.5

64位 图形化版3000G 1台应用服务器CentOS 7.5 64位

图形化版1000G 2台应用服务器RedHat 7.2 64位

图形化版500G 1台应用服务器Ubuntu 14.04

64位 最小化版500G 2台政务网1000M城管内网视频监控平台违停平台视频分析平台单兵车载平台192.168.1.175192.168.1.251外联接入区平台管理区联通外网政务网10.21.170.193/2639.172.55.79192.168.1.0/24交换机2违停存储监控存储防火墙存储区交换机1大华NVR海康服务器原系统

违停转发服务器数据接入服务器服务器区办公终端区管理终端区红外球机全景违停球前端点位

三、项目要求

1.安全等级防护及绿色数据中心评测服务要求

按照国家、XX省对信息系统安全等级保护的相关建设规范和技术要求，结合受评的信息系统的真实情况和具体需求，设计一套完善、全面、合规的整改方案，保证受评的信息系统在按照整改方案进行合规性整改后，可顺利通过公安网警部门的测评和备案，达到信息系统等级保护的基本要求。

本项目需要完成等保及绿色数据中心评测。

等保评测：经公安部认证的具有资质的测评机构，依据国家信息安全等级保护规范规定，受有关单位委托，按照有关管理规范和技术标准，对信息系统安全等级保护状况进行检测评估的活动，从而保证系统的安全稳定。

绿色数据中心评测：在系统全生命周期内，在确保信息处理及支撑设备安全、稳定、可靠运行条件下，最大限度地节约能源 资源、保护环境、减少污染，提高能源利用效率，为设备和工作人员提供安全、适用和高效的使用空间，并与自

2 然和谐共生的数据中心。

2.物理安全加固防护服务

针对现有业务系统以及未来两年内持续增加的应用进行梳理，目前整体在安全管理过程中，要对网络进行加固防护提升，主要针对结构安全、访问控制、边界完整性检查、入侵防范、恶意代码防范、安全审计、网络设备防护等控制点进行加固防护。

主要内容包含，

（1） 网络安全加固服务：主要从结构安全、访问控制、边界完整性检查、入侵防范进行综合加固。

（2） 日志审计服务：主要包含日志采集服务、安全事件定位服务、合规性报表服务等。

（3） 入侵检测服务：安全策略管理、用户身份识别、应用层安全控制。

（4） 数据库审计服务：覆盖所有数据通道的审计服务、

（5） 防病毒服务：提供防病毒服务，具备设备分组管理、策略制定下发、全网健康状况监测、统一杀毒、统一漏洞修复、网络流量管理、终端软件管理、硬件资产管理以及各种报表和查询等功能。

3.数据安全防护服务

（1） 核心数据安全审计服务：核心数据安全管理贯穿事件处理的全生命周期，具备对审计事件的全面分析能力，从安全事件生成到安全事件归档和销毁。

（2） 核心数据安全运维体系服务：支持种类繁多的应用程序的身份识别，实现对应用程序进行敏感标签标记、实现高粒度的应用程序审计。支持身份认证、行为控制、

（3） 备份容灾服务：持续捕捉或跟踪目标数据所发生的任何变化，可以在数据发生任何变化时将数据有效地保护起来，实现持续数据服务，远程容灾、快速恢复

（4） 软件安全应用服务：实现软件应用安全的防护服务。

4.应用安全规划服务

针对目前系统已建设的应用体系，实现应用的安全规划，主要包含系统的应用安全规划、密码安全策略保护、软件应用安全提升。

3 （1） 应用安全规划服务：主要包含身份鉴别、访问控制、通信完整性、软件容错等相关服务。

（2） 密码安全策略保护服务：对于密码的复杂度、长度、有效期，过期策略，密码错误登录锁定策略，多因素登录安全产品进行了系列的密码安全防护

（3） 软件应用安全提升服务：主要包含登录访问优化服务、权限控制优化服务、容错机制优化服务、访问频次控制服务、关联表个数控制服务、敏感SQL管理服务、高危操作临时授权服务。

5.人员安全驻点服务

1人现场驻点服务。

四、项目清单

序号

单备产品名称 数量 服务内容

位 注

一 安全等级防护及绿数据中心评测服务

1

安全等级防护评测服务

绿色数据中心评测服务

1 安全等级防护评测服务； 项

2 1 绿色数据中心评测服务。 项

二 物理安全加固防护服务

网络安全加固需基于专用配套安全加固工具，并实现对网络安全的加固，安全管理及相关要求具体如下：

网络安全加固服务

1. 配套安全加固设备：标准2U机箱，单电1 源，多核AMP+架构，网络处理能力为10G，并发连接≥260万，每秒新建连接18万/秒，标准配置6个10/100/1000M自适应电口，4个SFP插槽，支持两个扩展槽，1个Console口，支持液晶屏；支持液晶显示屏，能够显项 1

4 示并发连接数，CPU占有率等性能指标。

2.支持DNS透明代理，收到客户端DNS请求报文时，防火墙会将请求报文中的DNS地址替换为指定的代理DNS地址，帮助其实现DNS解析。支持IPv6网络，支持部署在IPv6环境，支持IPS，AV防病毒，应用识别等功能。

3.支持病毒防护功能，具备双病毒引擎功能，提供本地病毒引擎与云端第三方病毒引擎功能，支持16类500余万种病毒特征库。

4.应用识别，具备应用识别特征库，提供P2P下载、网络电视、即时通讯、股票软件、流媒体、网络电话、手机应用等多种应用识别类型。

5.要求支持IPSEC VPN、SSL VPN、PPTP功能，设备支持一种利用IPSEC将网络路由扩展到远程网络的方法及装置的技术。

6.支持基于源目的IP地址、源目的安全域、VLAN ID、MAC地址、时间、用户、地理区域、服务协议及应用等多种方式进行访问控制，要求系统具备自主研发的基于用户的安全访问控制技术。

7.支持入侵防御功能，并支持IPS规则库单独升级，特征库支持自动和手动方式更新；系统必须具备一种基于网络的入侵检测方法。

8.支持与云端联动，提供威胁情报，通过各个维度针对用户网络的安全状态做态势感知的展示。产品具有公安部销售许可证。

9.具有高性能IPv6防火墙系统计算机软件著

5 作权登记证书，具有国家信息安全测评信息技术产品安全测评证书（EAL4+级）。

日志审计服务需基于专用配套安全工具，并实现对日志的安全管理，具体要求如下：

1. 配套标准1U机箱，6个千兆电口，2个扩展插槽（可选2万兆光、4千兆电、4千兆光），1个Console接口，单电源，4T硬盘，为保证硬盘可靠性，需具备一种SOC硬盘减震技术。

2.事件处理最高3000EPS。日志审计对系统的各项配置工作，包括日志的备份、恢复。无需借助第三方数据库管理系统。能够对企业和组织的IT资源中构成业务信息系统的各种网络设备、安全设备、安全系统、主机操作日志审计服务

系统、数据库以及各种应用系统的日志、事1 件、告警等安全信息进行全面的审计。

3.日志收集后进行字段和安全等级的归一化处理，系统归一化字段至少应有50个,并至少有5个可自定义字段,收集并归一化后的日志需保留原始日志，方便用户对关键日志快速定位。系统应提供灵活简单的归一化方式,对系统默认不支持的日志只需修改配置文件即可支持,不需修改系统程序。系统具备一种大规模事件处理的规则群组系统及处理方法技术。

4.日志在线挖掘系统具备事件挖掘能力可通过事件调查工具可以对某条感兴趣的日志中的源IP地址、目的IP地址、或者目的端口进行相关性日志检索。产品具有公安部计算项 2

6 机信息系统专用产品销售许可证。

入侵检测服务需配套专用安全工具，并实现对入侵检测的管理，具体要求如下：

1.配套设备要求：1U机箱，1200M吞吐，单电源；6个10/100/1000M自适应电口，一个扩展槽；内置2路电口Bypass。

2.支持路由配置功能，支持静态路由、策略路由、多播路由、OSPF、BGP等路由模式；IPS能发现蠕虫入侵，并能立即丢弃入侵的数据包，让蠕虫无法顺利扩散，能对Zotob worm、

MS SQL Slammer Worm等蠕虫进行检测和控制。

3

入侵检测服务

1

3.内置3000种以上的签名特征, 其中内置僵尸网络(Botnet)特征规则数不少于250条。

4.具备检测防逃逸技术，提供缓冲区溢出、SQL注入、扫描刺探、间谍软件、拒绝服务、病毒、木马后门、漏洞攻击、潜在风险的入侵防御特征库。

5.支持一种大规模事件处理的规则群组系统和处理方法。具备DDoS洪水防御功能。

6.支持数据过滤，包括URL过滤，文件过滤，网络过滤等功能，IPS能发现蠕虫入侵，并能立即丢弃入侵的数据包，让蠕虫无法顺利扩散，能对Zotob worm、 MS SQL Slammer Worm等蠕虫进行检测和控制。

数据库审计配套专用安全工具，并实现对数4

数据库审计服务

1

据库进行安全审计，具体要求如下：

1.配套专用硬件平台和安全操作系统，事件处理12000条/秒，内置4TB磁盘存储空间。项

项

7 标准1U机箱，单电源；标配6个千兆自适应电口，1个Console口，支持两个扩展槽位，支持液晶屏。内置4TB硬盘，采用一种SOC产品硬盘减震技术，加强硬盘运行稳定性。

2.支持的数据库：Oracle、SQL-Server、DB2、Informix、Sybase、MySQL、PostgreSQL、达梦、人大金仓、南大通用Gbase、Caché、REDIS。

3.对审计记录返回内容中的敏感数据能进行隐秘处理，防止二次泄露。

4.提供用户界面告警、Syslog告警、SNMP告警、邮件告警、短信系统、短信猫告警等六种方式，具有独立审计用户，支持标准Syslog日志审计方式，支持Syslog端口自定义（支持内外端机主机名更改，强化日志审计及集中管理功能，能够对功能访问模块拒绝访问进行日志记录，支持对日志的高性能处理和存储，提供高性能Syslog日志处理和存储证书。

5.支持数据库嵌套、函数、脚本访问以及返回内容等审计；绑定变量：可审计通过隐藏用户名的绑定变量，动静态变量方式访问数据库，如：Varchar、Nvar char、int、short int、tinyint、bigint、float、guid、datetime、datetime2、image、Nvar char等。

防病毒服务配套专用安全工具，具体要求如5 防病毒服务 1

下：

1.采用B/S架构管理端，具备设备分组管理、策略制定下发、全网健康状况监测、统一杀项

8 毒、统一漏洞修复、网络流量管理、终端软件管理、硬件资产管理以及各种报表和查询等功能。

2.支持与国产化操作系统对接，包含中标麒麟/银河麒麟/普华/红旗桌面操作系统等。对敲诈者病毒提供防护机制，同时可提供相关解密工具，解密工具为自主研发。支持私有云查杀，预置至少2亿黑名单及2000万全面的白名单，终端威胁统一到控制中心查询黑白并进行查杀。

3. 服务能力：具有计算机软件著作权证书、安全工具厂家为国家信息安全漏洞共享平台技术组成员、安全工具厂家为中国国家信息安全漏洞库支撑单位，提供证明文件；安全工具厂家获得信息通信行业企业信用等级AAA评价--运维服务领域，提供证明文件。

三 数据安全防护服务

1.支持网络的数据库安全访问事件审计、数据库主机以及其他信任主机的安全访问事件审计、数据库内部的安全访问事件审计、数据库之间的安全访问事件审计。

2.支持种类繁多的应用程序的身份识别，实1

核心数据安全审计服务

1

现对应用程序进行敏感标签标记、实现高粒度的应用程序审计。支持Ukey安全客户端同时支持多种SQL工具访问控制（NAVICAT、TOAD、SQLPLUS、PLSQLDEV）和其他应用程序访问控制。

3.支持探针自动推送安装部署、卸载，探针区分网络探针和本地探针，支持对网络探针项

9 和本地探针进行重启或删除操作。本地探针支持与旁路模式共同使用。

4.支持探针性能保护设置，设置数据库系统的CPU占有率超出阈值时探针自动挂起、低于设定的占比时，自动恢复运行状态，探针异常告警支持邮件、短信通知。

5. 至少支持Oracle、SQL Server、MySQL、DB2、达梦、Hive、Informix、Sybase、PostgreSQL、MariaDB、KingBase、GBase、Hbase、优炫（UXDB）、SAP_HANA、Cache、神通、greenplum、GaussDB（高斯）、Tibero、MongoDB、OceanBase、Oscar等数据库类型；

6.支持cache数据库M语言协议的解析和M语言双向审计。

7. 支持自动探测网段范围内的数据库、从网络流量中自动发现数据库等两种数据库发现模式，记录数据库的IP地址、端口号、数据库类型等信息，可自由选择将发现的数据库添加至保护对象或集群，进行数据库审计。

8.支持自定义SQL注入特征库和漏洞特征库，提供新增、删除、修改、启用、停用单个特征策略的入口，从适用的数据库类型（可选择具体数据库类别、通用类型）、风险等级、启用状态、payload类型、payload内容等维度通过“与或非”逻辑确定特征策略；系统可从自定义规则、系统规则两个维度区分规则来源。

9.支持对Oralce、MySQL等数据库本地审计，包括客户端SSH隧道代理访问数据库的操作,

10 本地命令行访问数据库的操作等本地审计场景。

10.为适应业务系统不同架构下的三层关联审计，系统需具备多种三层架构精准关联的审计功能，包括如下：支持在应用端进行轻量级插件部署的方式实现基于流量分析的三层关联解析，支持中间件包括tomcat、jboss 、weblogic、webshere等，精确识别来自于B/S架构的浏览器终端信息、应用用户信息。

1.满足数据库安全运维管理需求，具备数据库准入、敏感数据分级分类、应用访问控制、数据库脱敏、误操作恢复、运维审计功能。

2.支持种类繁多的应用程序的身份识别，实现对应用程序进行敏感标签标记、实现高粒度的应用程序审计。支持Ukey安全客户端同时支持多种SQL工具访问控制（NAVICAT、TOAD、SQLPLUS、PLSQLDEV）和其他应用程序数据安全运维体系服务

访问控制。

1 3.支持终端设备敏感访问控制，符合不同场景的数据库运维审计需求，数据库服务器终端、应用服务器设备、IT管理终端设备、VPN接入终端设备等，进行身份认证和访问敏感度审计。

4.支持对数据库账户的身份管理，数据库系统管理员账户权限限制访问，最高权限账户权限、敏感数据账户、个人账户等进行严格的区分管理。

5.支持识别真实应用及SQL管理工具的MD5

11

2 项 值，防止假冒应用及假冒SQL管理工具违规访问数据库。

6.支持为敏感数据管理人员身份分发唯一的数字证书，每张数字证书只能载入一个唯一的U盾，以实现在数据库用户密码被泄露的情形下，仍能阻止非法用户登录目标数据库，解决仅依靠密码认证带来的安全不足问题。

7. 在反向代理模式下，通过在数据库服务器上安装安全代理插件，实现对于通过SQL管理工具或本地等直连数据库的违规连接行为进行准入控制，防止非法人员绕过安全系统，违规对数据库进行访问。

8.通过账号托管功能，运维人员使用分配运维账号，运维用户与数据库用户及密码进行映射绑定，运维人员在不知道数据库真实密码的情况下，即可完成对数据库的运维和管理，全面保障数据库安全。9. 至少支持oracle、SQL server、mysql数据库的误删除恢复，当使用DROP和truncate两种命令误删除敏感数据时，系统应及时记录操作的时间、数据库名称、操作类型、操作的对象类型、SCHEMA名称、对象名称、当前状态、使用的SQL语句等信息，并提供一键恢复的功能，辅助完成数据的快速恢复，以支持系统恢复正常。

12 1.当敏感数据被内部运维及技术人员使用时，采用不同的脱敏规则和脱敏算法，进行敏感数据脱敏。包括了身份管理、算法管理、实时脱敏、登录管控、操作审计等功能。

2.以表格为基础的敏感数据分类数据安全和运维安全真正需要关心在于1%~10%左右的敏感数据，必须把敏感数据从普通业务数据中脱离出来进行独立管理，敏感数据分类是数据和运维安全的基础性工作。本方案从敏感数据分类出发，选择敏感表格组成敏感数据集合，在保障安全的基础之上实现方便管理。

级别的敏感数据分类：支持Schema级别所有表格形成敏感数据集合，自动管理核心数据动态脱敏服务

敏感数据表格的生成，变更和消亡，简化敏1 感数据管理。

4.以业务为单元的敏感数据分类：敏感数据集合作为一个独立于数据库之外的访问控制单元，按照应用程序进行归类，应用程序可以自动访问敏感数据而无需管理。

5. 支持多维身份管理，支持应用程序名、IP地址、主机名、操作系统账户、数据库账户、企业账户、数字证书、时间、应用用户名、终端IP等因素进行任意组合，形成自定义的登录认证规则。

6.支持对归类的敏感数据集合进行敏感标签级别定义，可分为低、中、高三级，实现同一敏感级别的数据统一管理，同时支持设置行为操作属性（如查询、更新、插入及删除）。

7. 支持自定义敏感数据类型发现，至少拥有项 3

13 正则发现和字典发现两种规则，并能提供在线校验功能，能对字符串进行分段设置。

8. 支持SQL命令的细粒度审计和分析，并详细记录管理用户的行为信息，包括该语句执行的时间、机器名、用户名、IP地址、MAC地址、客户端程序名以及SQL语句等信息，对数据库操作进行审计，可对查询，新增，修改，删除等行为进行监控。

9.支持对于首次进入、长时间未进入等身份访问时进行告警，实现智能化主动防御。

10.支持IPV4、IPV6以及IPV4和IPV6的混合模式。

1.实现各种操作系统上的文件备份、操作系统备份和数据库备份，支持Windows、Linux、Unix等市场主流操作系统，可以实现本地化备份和远程备份。支持持续数据保护功能模块，实现X86服务器上的一致性备份、快照等功能。

2. 存储备份系统的专用嵌入式操作系统维备份容灾服务

护后台采用动态口令机制，动态口令由设备1 管理员和原厂口令组成，原厂口令随着设备管理员的改密码操作而变化，确保灾备系统后台不被非法登入。

3. 支持直接对RDS数据库和基于NFS、CIFS协议的网络存储进行数据备份保护，无需任何中转设备或系统。

4.支持对X86架构下的物理机、虚拟机、超融合、私有云和公有云提供统一的将主机的操作系统、应用系统、数据库和数据作为一项 4

14 个整体的、基于磁盘数据块复制技术的一致性灾备保护。

5.支持对VMware ESXi虚拟化平台的无代理备份保护，直接连接虚拟化管理平台，无需安装任何客户端。

6.内置各类硬件和虚拟化设备的驱动数据库，驱动数量不低于2000个，支持驱动在线升级。

5

软件安全应用服务

1 软件安全应用服务。 项

四 应用安全规划服务

1

应用安全提升服务

1 应用安全提升服务。 台

五 人员驻点服务

1

人员安全驻点服务

1 1年人员安全驻点服务。

人/年

15

2023年8月1日发(作者：)

XX区综合执法管理数据安全智慧应用体系建设方案

一、项目背景

近几年，我国互联网快速融合发展，宽带普及提速工程稳步推进，移动互联网、云计算、视频监控等新技术新业务相互促进、快速发展。在政府相关部门、国企单位、网络安全企业和广大网民的共同努力下，我国政府及相关单位和网民的网络安全防范意识进一步提高，互联网网络安全状况表面上呈现平稳状态。但从各行业深程度看，黑客活动仍然日趋频繁，WEB应用攻击、网站后门、网络钓鱼、移动互联网恶意程序、拒绝服务攻击事件呈大幅增长态势。直接影响政府、企业和网民权益，阻碍行业健康发展；针对特定目标的有组织高级可持续攻击日渐增多。国家、企业的网络信息系统安全面临严峻挑战。

针对目前整体网络安全的严峻现状以及《网络安全法》的出台，国家各单位以及企业高度重视网络安全防护工作，通过对物理、网络、应用、数据等不同层面进行综合规划与设计，同时积极参与信息安全等级保护评测工作，确保整体信息化建设环境的安全性、可靠性。

大数据时代，数据成为推动经济社会创新发展的关键生产要素，在为组织创造价值的同时，也面临着严峻的安全风险,周全的网络保护措施仍然会遭到攻击导致网络瘫痪，进入内网再加上数据的保护措施不完善，则意味着大量核心数据暴露。目前的数据威胁已是内忧外患，数据泄漏只是时间问题。而数据泄漏、丢失，对个人、企业、国家所造成的损失是难以估量的，且无补救措施，不断增加的安全事件已经清晰的反映出数据的重要性和损失的严重性，也更反映了保证数据安全的必要性。数据是企业的核心资产，数据安全是保证企业安全的根本。

XX区智慧城市管理开展信息化建设相对比较早，为实现核心业务数据分等级保护与监管、信息安全事件分等级响应的目的，将信息系统的安全保护落实到点，实现信息系统的完整性、保密性和可用性，使得的信息系统和网络更好的为执法人员以及公众人员提供服务，编制整体网络安全等级保护方案。

1 二、总体现状

XX区综合执法管理安全防护体系以现有智慧城管项目的网络为基础，针对现有网络情况进行综合分析，智慧城市管理信息系统运维服务项目系统部署在XX综合执法局机房，网络拓扑如下：

移动云平台1000M外网183.246.199.56数据库服务器CentOS 7.5

64位 图形化版3000G 1台应用服务器CentOS 7.5 64位

图形化版1000G 2台应用服务器RedHat 7.2 64位

图形化版500G 1台应用服务器Ubuntu 14.04

64位 最小化版500G 2台政务网1000M城管内网视频监控平台违停平台视频分析平台单兵车载平台192.168.1.175192.168.1.251外联接入区平台管理区联通外网政务网10.21.170.193/2639.172.55.79192.168.1.0/24交换机2违停存储监控存储防火墙存储区交换机1大华NVR海康服务器原系统

违停转发服务器数据接入服务器服务器区办公终端区管理终端区红外球机全景违停球前端点位

三、项目要求

1.安全等级防护及绿色数据中心评测服务要求

按照国家、XX省对信息系统安全等级保护的相关建设规范和技术要求，结合受评的信息系统的真实情况和具体需求，设计一套完善、全面、合规的整改方案，保证受评的信息系统在按照整改方案进行合规性整改后，可顺利通过公安网警部门的测评和备案，达到信息系统等级保护的基本要求。

本项目需要完成等保及绿色数据中心评测。

等保评测：经公安部认证的具有资质的测评机构，依据国家信息安全等级保护规范规定，受有关单位委托，按照有关管理规范和技术标准，对信息系统安全等级保护状况进行检测评估的活动，从而保证系统的安全稳定。

绿色数据中心评测：在系统全生命周期内，在确保信息处理及支撑设备安全、稳定、可靠运行条件下，最大限度地节约能源 资源、保护环境、减少污染，提高能源利用效率，为设备和工作人员提供安全、适用和高效的使用空间，并与自

2 然和谐共生的数据中心。

2.物理安全加固防护服务

针对现有业务系统以及未来两年内持续增加的应用进行梳理，目前整体在安全管理过程中，要对网络进行加固防护提升，主要针对结构安全、访问控制、边界完整性检查、入侵防范、恶意代码防范、安全审计、网络设备防护等控制点进行加固防护。

主要内容包含，

（1） 网络安全加固服务：主要从结构安全、访问控制、边界完整性检查、入侵防范进行综合加固。

（2） 日志审计服务：主要包含日志采集服务、安全事件定位服务、合规性报表服务等。

（3） 入侵检测服务：安全策略管理、用户身份识别、应用层安全控制。

（4） 数据库审计服务：覆盖所有数据通道的审计服务、

（5） 防病毒服务：提供防病毒服务，具备设备分组管理、策略制定下发、全网健康状况监测、统一杀毒、统一漏洞修复、网络流量管理、终端软件管理、硬件资产管理以及各种报表和查询等功能。

3.数据安全防护服务

（1） 核心数据安全审计服务：核心数据安全管理贯穿事件处理的全生命周期，具备对审计事件的全面分析能力，从安全事件生成到安全事件归档和销毁。

（2） 核心数据安全运维体系服务：支持种类繁多的应用程序的身份识别，实现对应用程序进行敏感标签标记、实现高粒度的应用程序审计。支持身份认证、行为控制、

（3） 备份容灾服务：持续捕捉或跟踪目标数据所发生的任何变化，可以在数据发生任何变化时将数据有效地保护起来，实现持续数据服务，远程容灾、快速恢复

（4） 软件安全应用服务：实现软件应用安全的防护服务。

4.应用安全规划服务

针对目前系统已建设的应用体系，实现应用的安全规划，主要包含系统的应用安全规划、密码安全策略保护、软件应用安全提升。

3 （1） 应用安全规划服务：主要包含身份鉴别、访问控制、通信完整性、软件容错等相关服务。

（2） 密码安全策略保护服务：对于密码的复杂度、长度、有效期，过期策略，密码错误登录锁定策略，多因素登录安全产品进行了系列的密码安全防护

（3） 软件应用安全提升服务：主要包含登录访问优化服务、权限控制优化服务、容错机制优化服务、访问频次控制服务、关联表个数控制服务、敏感SQL管理服务、高危操作临时授权服务。

5.人员安全驻点服务

1人现场驻点服务。

四、项目清单

序号

单备产品名称 数量 服务内容

位 注

一 安全等级防护及绿数据中心评测服务

1

安全等级防护评测服务

绿色数据中心评测服务

1 安全等级防护评测服务； 项

2 1 绿色数据中心评测服务。 项

二 物理安全加固防护服务

网络安全加固需基于专用配套安全加固工具，并实现对网络安全的加固，安全管理及相关要求具体如下：

网络安全加固服务

1. 配套安全加固设备：标准2U机箱，单电1 源，多核AMP+架构，网络处理能力为10G，并发连接≥260万，每秒新建连接18万/秒，标准配置6个10/100/1000M自适应电口，4个SFP插槽，支持两个扩展槽，1个Console口，支持液晶屏；支持液晶显示屏，能够显项 1

4 示并发连接数，CPU占有率等性能指标。

2.支持DNS透明代理，收到客户端DNS请求报文时，防火墙会将请求报文中的DNS地址替换为指定的代理DNS地址，帮助其实现DNS解析。支持IPv6网络，支持部署在IPv6环境，支持IPS，AV防病毒，应用识别等功能。

3.支持病毒防护功能，具备双病毒引擎功能，提供本地病毒引擎与云端第三方病毒引擎功能，支持16类500余万种病毒特征库。

4.应用识别，具备应用识别特征库，提供P2P下载、网络电视、即时通讯、股票软件、流媒体、网络电话、手机应用等多种应用识别类型。

5.要求支持IPSEC VPN、SSL VPN、PPTP功能，设备支持一种利用IPSEC将网络路由扩展到远程网络的方法及装置的技术。

6.支持基于源目的IP地址、源目的安全域、VLAN ID、MAC地址、时间、用户、地理区域、服务协议及应用等多种方式进行访问控制，要求系统具备自主研发的基于用户的安全访问控制技术。

7.支持入侵防御功能，并支持IPS规则库单独升级，特征库支持自动和手动方式更新；系统必须具备一种基于网络的入侵检测方法。

8.支持与云端联动，提供威胁情报，通过各个维度针对用户网络的安全状态做态势感知的展示。产品具有公安部销售许可证。

9.具有高性能IPv6防火墙系统计算机软件著

5 作权登记证书，具有国家信息安全测评信息技术产品安全测评证书（EAL4+级）。

日志审计服务需基于专用配套安全工具，并实现对日志的安全管理，具体要求如下：

1. 配套标准1U机箱，6个千兆电口，2个扩展插槽（可选2万兆光、4千兆电、4千兆光），1个Console接口，单电源，4T硬盘，为保证硬盘可靠性，需具备一种SOC硬盘减震技术。

2.事件处理最高3000EPS。日志审计对系统的各项配置工作，包括日志的备份、恢复。无需借助第三方数据库管理系统。能够对企业和组织的IT资源中构成业务信息系统的各种网络设备、安全设备、安全系统、主机操作日志审计服务

系统、数据库以及各种应用系统的日志、事1 件、告警等安全信息进行全面的审计。

3.日志收集后进行字段和安全等级的归一化处理，系统归一化字段至少应有50个,并至少有5个可自定义字段,收集并归一化后的日志需保留原始日志，方便用户对关键日志快速定位。系统应提供灵活简单的归一化方式,对系统默认不支持的日志只需修改配置文件即可支持,不需修改系统程序。系统具备一种大规模事件处理的规则群组系统及处理方法技术。

4.日志在线挖掘系统具备事件挖掘能力可通过事件调查工具可以对某条感兴趣的日志中的源IP地址、目的IP地址、或者目的端口进行相关性日志检索。产品具有公安部计算项 2

6 机信息系统专用产品销售许可证。

入侵检测服务需配套专用安全工具，并实现对入侵检测的管理，具体要求如下：

1.配套设备要求：1U机箱，1200M吞吐，单电源；6个10/100/1000M自适应电口，一个扩展槽；内置2路电口Bypass。

2.支持路由配置功能，支持静态路由、策略路由、多播路由、OSPF、BGP等路由模式；IPS能发现蠕虫入侵，并能立即丢弃入侵的数据包，让蠕虫无法顺利扩散，能对Zotob worm、

MS SQL Slammer Worm等蠕虫进行检测和控制。

3

入侵检测服务

1

3.内置3000种以上的签名特征, 其中内置僵尸网络(Botnet)特征规则数不少于250条。

4.具备检测防逃逸技术，提供缓冲区溢出、SQL注入、扫描刺探、间谍软件、拒绝服务、病毒、木马后门、漏洞攻击、潜在风险的入侵防御特征库。

5.支持一种大规模事件处理的规则群组系统和处理方法。具备DDoS洪水防御功能。

6.支持数据过滤，包括URL过滤，文件过滤，网络过滤等功能，IPS能发现蠕虫入侵，并能立即丢弃入侵的数据包，让蠕虫无法顺利扩散，能对Zotob worm、 MS SQL Slammer Worm等蠕虫进行检测和控制。

数据库审计配套专用安全工具，并实现对数4

数据库审计服务

1

据库进行安全审计，具体要求如下：

1.配套专用硬件平台和安全操作系统，事件处理12000条/秒，内置4TB磁盘存储空间。项

项

7 标准1U机箱，单电源；标配6个千兆自适应电口，1个Console口，支持两个扩展槽位，支持液晶屏。内置4TB硬盘，采用一种SOC产品硬盘减震技术，加强硬盘运行稳定性。

2.支持的数据库：Oracle、SQL-Server、DB2、Informix、Sybase、MySQL、PostgreSQL、达梦、人大金仓、南大通用Gbase、Caché、REDIS。

3.对审计记录返回内容中的敏感数据能进行隐秘处理，防止二次泄露。

4.提供用户界面告警、Syslog告警、SNMP告警、邮件告警、短信系统、短信猫告警等六种方式，具有独立审计用户，支持标准Syslog日志审计方式，支持Syslog端口自定义（支持内外端机主机名更改，强化日志审计及集中管理功能，能够对功能访问模块拒绝访问进行日志记录，支持对日志的高性能处理和存储，提供高性能Syslog日志处理和存储证书。

5.支持数据库嵌套、函数、脚本访问以及返回内容等审计；绑定变量：可审计通过隐藏用户名的绑定变量，动静态变量方式访问数据库，如：Varchar、Nvar char、int、short int、tinyint、bigint、float、guid、datetime、datetime2、image、Nvar char等。

防病毒服务配套专用安全工具，具体要求如5 防病毒服务 1

下：

1.采用B/S架构管理端，具备设备分组管理、策略制定下发、全网健康状况监测、统一杀项

8 毒、统一漏洞修复、网络流量管理、终端软件管理、硬件资产管理以及各种报表和查询等功能。

2.支持与国产化操作系统对接，包含中标麒麟/银河麒麟/普华/红旗桌面操作系统等。对敲诈者病毒提供防护机制，同时可提供相关解密工具，解密工具为自主研发。支持私有云查杀，预置至少2亿黑名单及2000万全面的白名单，终端威胁统一到控制中心查询黑白并进行查杀。

3. 服务能力：具有计算机软件著作权证书、安全工具厂家为国家信息安全漏洞共享平台技术组成员、安全工具厂家为中国国家信息安全漏洞库支撑单位，提供证明文件；安全工具厂家获得信息通信行业企业信用等级AAA评价--运维服务领域，提供证明文件。

三 数据安全防护服务

1.支持网络的数据库安全访问事件审计、数据库主机以及其他信任主机的安全访问事件审计、数据库内部的安全访问事件审计、数据库之间的安全访问事件审计。

2.支持种类繁多的应用程序的身份识别，实1

核心数据安全审计服务

1

现对应用程序进行敏感标签标记、实现高粒度的应用程序审计。支持Ukey安全客户端同时支持多种SQL工具访问控制（NAVICAT、TOAD、SQLPLUS、PLSQLDEV）和其他应用程序访问控制。

3.支持探针自动推送安装部署、卸载，探针区分网络探针和本地探针，支持对网络探针项

9 和本地探针进行重启或删除操作。本地探针支持与旁路模式共同使用。

4.支持探针性能保护设置，设置数据库系统的CPU占有率超出阈值时探针自动挂起、低于设定的占比时，自动恢复运行状态，探针异常告警支持邮件、短信通知。

5. 至少支持Oracle、SQL Server、MySQL、DB2、达梦、Hive、Informix、Sybase、PostgreSQL、MariaDB、KingBase、GBase、Hbase、优炫（UXDB）、SAP_HANA、Cache、神通、greenplum、GaussDB（高斯）、Tibero、MongoDB、OceanBase、Oscar等数据库类型；

6.支持cache数据库M语言协议的解析和M语言双向审计。

7. 支持自动探测网段范围内的数据库、从网络流量中自动发现数据库等两种数据库发现模式，记录数据库的IP地址、端口号、数据库类型等信息，可自由选择将发现的数据库添加至保护对象或集群，进行数据库审计。

8.支持自定义SQL注入特征库和漏洞特征库，提供新增、删除、修改、启用、停用单个特征策略的入口，从适用的数据库类型（可选择具体数据库类别、通用类型）、风险等级、启用状态、payload类型、payload内容等维度通过“与或非”逻辑确定特征策略；系统可从自定义规则、系统规则两个维度区分规则来源。

9.支持对Oralce、MySQL等数据库本地审计，包括客户端SSH隧道代理访问数据库的操作,

10 本地命令行访问数据库的操作等本地审计场景。

10.为适应业务系统不同架构下的三层关联审计，系统需具备多种三层架构精准关联的审计功能，包括如下：支持在应用端进行轻量级插件部署的方式实现基于流量分析的三层关联解析，支持中间件包括tomcat、jboss 、weblogic、webshere等，精确识别来自于B/S架构的浏览器终端信息、应用用户信息。

1.满足数据库安全运维管理需求，具备数据库准入、敏感数据分级分类、应用访问控制、数据库脱敏、误操作恢复、运维审计功能。

2.支持种类繁多的应用程序的身份识别，实现对应用程序进行敏感标签标记、实现高粒度的应用程序审计。支持Ukey安全客户端同时支持多种SQL工具访问控制（NAVICAT、TOAD、SQLPLUS、PLSQLDEV）和其他应用程序数据安全运维体系服务

访问控制。

1 3.支持终端设备敏感访问控制，符合不同场景的数据库运维审计需求，数据库服务器终端、应用服务器设备、IT管理终端设备、VPN接入终端设备等，进行身份认证和访问敏感度审计。

4.支持对数据库账户的身份管理，数据库系统管理员账户权限限制访问，最高权限账户权限、敏感数据账户、个人账户等进行严格的区分管理。

5.支持识别真实应用及SQL管理工具的MD5

11

2 项 值，防止假冒应用及假冒SQL管理工具违规访问数据库。

6.支持为敏感数据管理人员身份分发唯一的数字证书，每张数字证书只能载入一个唯一的U盾，以实现在数据库用户密码被泄露的情形下，仍能阻止非法用户登录目标数据库，解决仅依靠密码认证带来的安全不足问题。

7. 在反向代理模式下，通过在数据库服务器上安装安全代理插件，实现对于通过SQL管理工具或本地等直连数据库的违规连接行为进行准入控制，防止非法人员绕过安全系统，违规对数据库进行访问。

8.通过账号托管功能，运维人员使用分配运维账号，运维用户与数据库用户及密码进行映射绑定，运维人员在不知道数据库真实密码的情况下，即可完成对数据库的运维和管理，全面保障数据库安全。9. 至少支持oracle、SQL server、mysql数据库的误删除恢复，当使用DROP和truncate两种命令误删除敏感数据时，系统应及时记录操作的时间、数据库名称、操作类型、操作的对象类型、SCHEMA名称、对象名称、当前状态、使用的SQL语句等信息，并提供一键恢复的功能，辅助完成数据的快速恢复，以支持系统恢复正常。

12 1.当敏感数据被内部运维及技术人员使用时，采用不同的脱敏规则和脱敏算法，进行敏感数据脱敏。包括了身份管理、算法管理、实时脱敏、登录管控、操作审计等功能。

2.以表格为基础的敏感数据分类数据安全和运维安全真正需要关心在于1%~10%左右的敏感数据，必须把敏感数据从普通业务数据中脱离出来进行独立管理，敏感数据分类是数据和运维安全的基础性工作。本方案从敏感数据分类出发，选择敏感表格组成敏感数据集合，在保障安全的基础之上实现方便管理。

级别的敏感数据分类：支持Schema级别所有表格形成敏感数据集合，自动管理核心数据动态脱敏服务

敏感数据表格的生成，变更和消亡，简化敏1 感数据管理。

4.以业务为单元的敏感数据分类：敏感数据集合作为一个独立于数据库之外的访问控制单元，按照应用程序进行归类，应用程序可以自动访问敏感数据而无需管理。

5. 支持多维身份管理，支持应用程序名、IP地址、主机名、操作系统账户、数据库账户、企业账户、数字证书、时间、应用用户名、终端IP等因素进行任意组合，形成自定义的登录认证规则。

6.支持对归类的敏感数据集合进行敏感标签级别定义，可分为低、中、高三级，实现同一敏感级别的数据统一管理，同时支持设置行为操作属性（如查询、更新、插入及删除）。

7. 支持自定义敏感数据类型发现，至少拥有项 3

13 正则发现和字典发现两种规则，并能提供在线校验功能，能对字符串进行分段设置。

8. 支持SQL命令的细粒度审计和分析，并详细记录管理用户的行为信息，包括该语句执行的时间、机器名、用户名、IP地址、MAC地址、客户端程序名以及SQL语句等信息，对数据库操作进行审计，可对查询，新增，修改，删除等行为进行监控。

9.支持对于首次进入、长时间未进入等身份访问时进行告警，实现智能化主动防御。

10.支持IPV4、IPV6以及IPV4和IPV6的混合模式。

1.实现各种操作系统上的文件备份、操作系统备份和数据库备份，支持Windows、Linux、Unix等市场主流操作系统，可以实现本地化备份和远程备份。支持持续数据保护功能模块，实现X86服务器上的一致性备份、快照等功能。

2. 存储备份系统的专用嵌入式操作系统维备份容灾服务

护后台采用动态口令机制，动态口令由设备1 管理员和原厂口令组成，原厂口令随着设备管理员的改密码操作而变化，确保灾备系统后台不被非法登入。

3. 支持直接对RDS数据库和基于NFS、CIFS协议的网络存储进行数据备份保护，无需任何中转设备或系统。

4.支持对X86架构下的物理机、虚拟机、超融合、私有云和公有云提供统一的将主机的操作系统、应用系统、数据库和数据作为一项 4

14 个整体的、基于磁盘数据块复制技术的一致性灾备保护。

5.支持对VMware ESXi虚拟化平台的无代理备份保护，直接连接虚拟化管理平台，无需安装任何客户端。

6.内置各类硬件和虚拟化设备的驱动数据库，驱动数量不低于2000个，支持驱动在线升级。

5

软件安全应用服务

1 软件安全应用服务。 项

四 应用安全规划服务

1

应用安全提升服务

1 应用安全提升服务。 台

五 人员驻点服务

1

人员安全驻点服务

1 1年人员安全驻点服务。

人/年

15