2023年8月1日发(作者:)
XX市XX区一体化智能化公共数据平台数据安全服务需求说明
一、分类分级服务
指标项 指标要求
应支持数据源管理功能,支持数据源类型包括但不限于MySQL、Oracle、PostgreSQL、MSSQL、Hive、SQLServer、MongoDB、MariaDB、ElasticSearch、ClickHouse、Greenplum、Hive、Hbase、Teradata、DB2、MAXCompute(ODPS)、GaussDB、DRDS、RDS、ADS、POLARDB、GBASE8A、KINGBASE8、FTP/SFTP/LOCAL文件协议等,可对数据源手动指定业务系统、部门、责任人,支持数据源导入,支持根据表命名来进行数据过滤。
应支持数据源列表展示功能,包括但不限于数据源名称、数据源类型、主机及端口、创建用户、创建时间、同步状态、操作等信息。
应支持数据源同步功能,获取数据源的数据库、表、列及账号信数据资产梳理息,同步之后在数据资产目录内新增该数据源,并同步得到数据与风险评估
源结构,且在数据库账号模块,会同步得到相关数据库账号。
应支持扫描发现数据源任务的新增、编辑、删除功能,实现对扫描任务的管理。
应支持扫描任务列表的展示功能,包括但不限于任务名称、主机、数据源名称、发现结果、状态、次数、周期、创建时间、最新发现时间、操作等信息,同时支持扫描任务结果的导出。
应支持以数据源视角下的数据详情展示功能,包括数据源区域、数据源概览、数据源查询、数据源信息列表,支持查看有多少数据库、数据表、列、行,其中敏感数据库、敏感数据表、敏感列、有多少,可以增量发现 一定周期的敏感数据变化情况。
应支持以安全分类、业务分类的视角查看资产分布情况,支持查看不同分类的数据的分布情况,有多少库、表、列、行等其中敏
1 感数据库、敏感数据表、敏感列、有多少,可以增量发现 一定周期的敏感数据变化情况。
应支持以敏感项为视角查看敏感项分布情况,支持查看不同敏感项的数据的分布情况,有多少库、表、列、行等其中敏感数据库、敏感数据表、敏感列、有多少,可以增量发现 一定周期的敏感数据变化情况。
需提供脆弱性检查功能,能够发现数据库的相关漏洞、基线和弱口令等信息,并提供风险评分功能。
应支持风险检测任务的列表展示功能,包括但不限于任务名称、数据源名称、数据源主机、风险评分、风险数、状态、更新时间、操作等信息,并提供图表分析功能,展示漏洞、基线、弱密码三种风险及其数据源的排名情况,同时支持任务的查询、编辑、删除。
应支持提供数据库漏洞检查、配置基线检查、弱口令检查等手段数据资产安全评估,通过安全现状评估能有效发现当前数据库系统的安全问题,对数据库的安全状况进行持续化监控。
应支持账号权限梳理功能,包括但不限于数据库账号、数据源名称、拥有权限、禁止权限、状态和密码有效期等信息,同时支持监控账号权限变更,新增/删除账号信息。
支持审计管理功能,支持对系统用户的审计日志的查看。
应支持自动数据分类分级功能,同时可识别发现敏感项,包括敏感表和敏感列以及敏感项的动态变化。
内置不少于70种常见敏感字段识别规则,开箱即用50+内置算法,具备结合算法识别能力以保障敏感数据识别精准度。
数据分级分类
应支持查看和配置分级分类配置,可新增内容识别规则,包括正则和字典;同时支持启用或关闭业务属性识别功能,可针对字段名称和字段注释进行模糊匹配。
应支持通过策略自动调整的功能,支持表维度的分级。
2 需提供表分类分级策略配置功能,表分级策略应支持就高原则和加权平均,表分类策略应支持分类合集和就多原则。
需内置不少于15种行业法规标准,包括但不限于网络安全法、金融、证券、电信、GDPR、CCPA、等保、电信-专项、网约车、工业互联网、公安、通用、疫情、数据安全法和个人信息安全规范等,同时应支持支持对内置模板进行下载或克隆;支持自定义行业模板的导入。
应具备自动推荐引擎功能,当同一列中识别出多种字段信息时,需提供该列数据的规则命中列表,包括规则名称、匹配度和已关联敏感项信息,便于用户根据各数据项占比进行手工修改确认梳理,提高数据分级分类效率。
应具备列表形式展示分级分类任务的各种状态及信息,包括但不限于任务名称、数据源名称、主机、发现结果、状态、次数、周期、创建时间、最新发现时间、操作等信息,同时支持对分类分级任务的查询、手动终止。
支持分类分级结果的批量及部分导出,导出项包含并不限于任务名称、数据源名称、主机、数据库名、Schema、表名、列名、样例、字段注释、是否新增、规则名称、是否梳理、识别字段、实际分类、实际分级。
数据安全态势大屏
需提供数据目录,可以查看数据的分布情况,包含表级别分布和列级别分布;同时提供包括数据库梳理、敏感表数量、识别字段数、敏感列数和已经梳理占比情况等信息。
需提供数据安全分类分级监管可视化大屏,包含数据源数、表数、授权合规
列数、已梳理列数、列梳理率、数据源风险评分TOP、数据源弱密码风险数TOP、数据源基线风险数TOP、数据分级分布、数据源敏感列数TOP和数据分类分布情况等信息。
支持对不同数据库的漏洞风险进行评估,并给出修复意见,对数安全基线服务
据库的安全状况进行持续化监控。
支持对数据库中账号的弱密码情况进行评估,提供基于字典库,
3 基于规则,基于穷举等多种模式下的弱口令检测。
支持对数据库的基线配置进行评估,识别配置风险并给出修复意见,提供定期扫描,周期性监控数据库配置偏差,反映当前安全状况相对于基线的变化。
二、身份鉴别与权限管控服务
指标项 指标要求
支持数据库 支持多Orcal、MySQL、Mariadb、PostgreSQL等数据库支持。
可以体现各个资产的访问控制情况、攻击防护情况、数据脱敏情况、设备运行情况。
总览展示与告警
服务包含风险告警查询,且查询条件支持常见的账号、数据库名、客户端工具、操作系统用户名、客户端IP、操作类型、SQL关键字、执行结果、影响行数、执行时长等字段。
审计功能
服务工具需支持数据库操作类、表、视图、索引、存储过程等各种对象的所有SQL操作审计。
服务工具需支持多种数据来源筛选管控,包括IP、MAC、客户端主机名、操作系统用户名、客户端工具名、数据库账号。
服务工具需支持与数据分级分类系统结合,实现基于身份认证和访问控制
数据分级分类细粒度访问控制。
服务工具需支持对于越权的动作选择:阻断、脱敏、仅告警。
服务工具需支持分组管理进行分组管控。
实现资产和访问控制、身份认证直接的对应。
服务工具支持申请运维任务通过邮件发送且通过邮件正文的链接审批。
运维审批
服务工具需支持运维申请手动配置运维对象或者选择对象组。
服务工具需支持手动添加运维SQL和导入SQL文件。
运维任务支持运维资产、运维对象、运维人员和运维时间等维度
支持运维任务的两级审批。
4 支持多操作日志记录(例如:攻击日志、访问控制日志、脱敏日志、告警日志)、日志查询。
操作日志 支持记录审计系统所有人员对设备的访问行为。
自审计日志包含时间、用户、来源IP、操作名称、操作内容、操作结果等内容。
三、动态脱敏服务
指标项 指标要求
自定义敏感数据规则,敏感信息发现结果的在线新增、修改和删除。
多种脱敏算法,且脱敏后的数据需语义保持、唯一性保持、关系一致性保持。
动态脱敏
支持自定义策略脱敏,关键字、正则表达式、字符长度等。
对于越权的数据访问进行动态脱敏,防止数据泄露。
对源数据库的操作影响在毫秒级以内。
内置的特征策略包含缓冲区溢出、SQL注入、提权、数据库内核入侵探测等常见攻击特征,内置多种数据库安全规则。
自定义规则支持根据账号、数据库名、客户端工具、操作系统用户名、客户端IP、操作类型、SQL关键字等制定防护策略。
自定义规则支持根据执行结果、影响行数、执行时长等设置防护安全防护能力
策略。
自定义规则支持针对不同的数据库类型进行独立的策略动作设置。
规则动作支持允许访问、命令阻断、会话阻断和动态脱敏。
支持数据库防护虚拟补丁技术,防护未升级数据库,并可以更新维护。
5 支持规则白名单。
内置替换、截断、取整、掩码等常见的脱敏规则算法,实现敏感数据的模糊化。
支持规则升级。
支持IP组、MAC组、操作系统用户名组、客户端主机名组、客户端工具名组、数据库账号组、应用用户名组、时间组和对象组的分组管理。
支持IP组、数据库账号组、应用用户名组和时间组的导入和导出。
支持SNMP V1、V2、V3网络监控管理协议。
支持数据自动清理功能,支持根据保留天数和占用百分比自动清管理能力
理最早的数据。
服务工具支持系统安全配置如会话锁定、超时退出、IP访问控制、密码复杂性管理等安全措施。
支持多操作日志记录(例如:攻击日志、访问控制日志、脱敏日志、告警日志)、日志查询,可以对接日志审计平台。
操作日志 支持记录审计系统所有人员对设备的访问行为。
自审计日志包含时间、用户、来源IP、操作名称、操作内容、操作结果等内容。
四、静态脱敏服务
指标项 指标要求
支持数据源管理功能,主流数据源类型包括但不限于MySQL、Oracle、Db2、MSSQL、MariaDB、PostgreSQL、Greenplum、Impala、Sybase、Informix、Hive、ODPS。
敏感数据发现
支持数据源发现功能,可以针对指定IP段进行扫描,从而发现数据库资产。
应支持自动数据识别发现敏感项,包括敏感表和敏感列以及
6 敏感项的动态变化。
需提供数据目录,可以查看数据的分布情况,包含表级别分布和列级别分布;同时提供包括数据库梳理、敏感表数量、识别字段数、敏感列数和已经梳理占比情况等信息。
应支持不同视角的数据详情展示功能,提供数据源视角、行业、敏感项的数据详情展示功能,支持查看不同分类的数据的分布情况。
支持数据分级分类任务任务的管理功能,包括但不限于务名称、数据源名称、主机、发现结果、状态、次数、周期、创建时间、最新发现时间、操作。提供查看任务详情,可以查看以图表形式展示当前数据源分类分级的概况。
支持主流字符集如gbk、gb2312、gb18030、utf8、utf8mb4等。
支持自定义脱敏算法模板库,用户可将若干脱算法略组合成为适用于该场景的脱敏算法模板库,脱敏模板库定后,可被重复利用。
应支持脱敏任务的配置功能,提供数据库到数据库、数据库到文件、文件到数据库、文件到文件流程的脱敏任务新增功能,支持数据处理配置和脱敏算法的配置。
敏感数据脱敏
应支持脱敏任务的展示功能,包括但不限于任务名称、脱敏流程、任务状态、执行次数、执行周期、新增时间、最近执行时间、执行耗时和操作等信息,同时支持任务的编辑、查询功能。
开启脱敏任务审批后,用户提交脱敏任务审批后,权限管理员可以进入该界面进行脱敏任务的审批,审批通过后方可执行脱敏任务。
应支持水印配置功能,水印配置界面可直观展现水印的使用状态,支持添加10000个水印,提供方便便于维护管理水印。
用户可制定要脱敏的表,自由选择全量或增量抽取数据,可
7 基于字段自由配置增量条件。
通过添加水印的数据,可得回溯是打了哪个水印标记,进而数据溯源
可追溯出哪些脱敏任务调用了该水印标记。
可通过数据上传和数据输入两种方式溯源,定位水印处理后数据的单位信息(即对应的水印名称)。
可视化大屏
脱敏算法
分级分类大屏:用于展示分级分类的数据信息;敏感数据大屏:用于展示敏感统计数据。
脱敏工具支持不低于20类,240种及以上的脱敏算法。
根据指定的直方图的数量对原数据分布进行估计和采样重分布重建 建。本算法可以使得脱敏后的数据保留原数据的高阶统计特征,适用于对数据质量有较高要求的分析场景。
(支持至多5列)在乱序前后保留对应。乱序关联保留算法
指定的2个或多个列关系。
五、API接口安全服务
指标项 规格要求
支持为API服务提供统一代理访问,提供对服务名称、服务代理域名、服务真实域名、API路径、API方法等资源的统一管理。
支持对API访问路径、请求方法等进行统一配置管理,支持与市基本功能
统一认证中心联动同步服务资源及API配置。
支持API匿名发布,并定义默认访问策略。
支持对API调用启用超时熔断机制,防止TCP链接长时间挂载;支持对API调用开启流量控制策略,支持基于请求内容大小、请求速度、请求连接数等参数进行流量控制。
支持TLS加密,为后端API服务强制加载HTTPS,向后端转发流量是实现SSL卸载。
API管理
支持为每条API访问请求启用基于安全令牌的身份验证及鉴权机制,支持与市统一认证中心联动完成令牌、身份、权限的互信。
8 支持身份验证结果、鉴权结果的缓存,提高API转发效率及单机性能。
支持API数据字段动态脱敏,支持遮盖、假名等脱敏策略,支持与市统一认证中心联动,根据用户安全等级、字段安全等级的不同实施不同脱敏策略。
支持API出入参加解密功能,实现数据安全出入库。
支持API认证代理功能,为已有basic认证的API接口提供认证代理,原有认证方式对应用系统隐藏,实现业务系统无需多次登录。
联动管理
支持与市统一认证中心联动,实时撤销用户、应用系统对API接口的访问权限。
支持记录API访问日志、API访问控制策略执行日志,日志内容包括用户名、用户唯一ID、应用ID、服务ID、接口路径、时间、系统管理
入参、出参、流量等信息,并进行日志上报,便于实现对API访问进行审计及安全风险分析。
支持高可用集群,通过HA等方式,确保服务的持续可用可扩展。
六、数据库透明加密服务
指标项 指标要求
加密工具支持国密标准的加密算法,需具备《商用密码产品认资质要求 证证书》,符合等级保护2.0要求以及《信息系统密码应用基本要求》。
加密算法
加密工具支持国产SM2、SM3、SM4标准加密算法,具备相关的《商用密码产品认证证书》。
支持国产SM2、SM3、SM4数字签名算法。
基本要求
数字签名算法
功能要求
提供硬件密钥管理设备,基于物理噪声源生成真随机数;部署在用户本地,密钥由用户自主掌控。
9
密文密钥分离机制,如果“黑客”获取数据库密文,密钥也无法解密查看明文数据,确保数据库数据的安全性。
支持密钥根据周期自动更新,密钥管理模块后台保留密钥更新记录功能,确保密钥使用安全。
加密工具需支持应急告警机制,提供报警邮箱设置功能,实现系统故障时可向指定内部人员邮箱发送告警邮件。
支持SQL、PL/SQL、JDBC、ODBC的透明性,不需要改造;支持现有Oracle维护工具的透明性,数据库管理员依然可以使用RMAN等现有工具实现备份恢复和数据库维护;硬件密钥管理设备可独立部署。
提供安全访问控制功能,除数据库原有权限控制外,可限制访问数据库的具体进程等。基于进程与数据库用户绑定进行访问控制增强,同一用户只能通过指定的进程访问密文,而无法使用命令行等其他方式访问密文数据,可有效防止合法用户违规操作引发的数据安全隐患。
支持系统管理员、安全管理员和审计管理员三权分立。其中安全管理员完成日常的加密数据配置、数据库用户的密文权限控制等安全维护和管理操作;审计管理员进行审计开关的控制,技术要求
检索、分析密文访问操作的审计信息工作;系统管理员则负责进行系统配置,如IP,端口等的配置。
数据加密后,对于数据库的IO性能损耗可控制在10%~15%。
以表为单位进行数据加密,加密表的数据以密文形态存储在磁盘中。
支持对数据库系统加密后,可进行密文数据索引。
支持随机加密策略,防止相同的数据的加密结果一致而导致的数据泄密。
加密工具需支持多种数据库类型,覆盖用户单位所使用的数据兼容性 库类型,包括MySQL、Oracle、SQL Server等;支持主流的Linux、Windows等类型操作系统。
10 七、日志审计服务
指标项 指标要求
支持Syslog、SNMP Trap、HTTP、ODBC/JDBC、WMI、FTP、SFTP协议日志收集;支持阿里云SLS日志的采集。
可通过接收协议限制日志接收速率,包括Http接收、syslog接收、SNMPtrap接收、TCP接收、WMI接收、aliyun接收。
支持使用代理(Agent)方式提取日志并收集,安装包支持界面下载,且安装支持可视化向导。
日志收集
支持对Agent进行统一管控,包括卸载、升级、启动及停止操作,支持将日志收集策略统一分发。
支持目前主流的网络安全设备、交换设备、路由设备、操作系统、应用系统等。
支持常见的虚拟机环境日志收集,包括Xen、VMWare、Hyper-V等。
支持对收集到的重复日志进行自动聚合归并,减少日志量;
支持可由用户定义和修改的日志聚合归并逻辑规则;
支持将收集到的日志转发,当原始日志设备无法设置多个日志服务器时,可以通过本系统的日志转发功能将日志转发到其他日志存储设备。
日志分析
日志支持文本方式输出给第三方平台,进行数据共享。
内置5000+解析规则,支持对收集的5000+设备类型日志进行解析(标准化、归一化),解析维度多达200+,解析规则可以根据客户要求定制扩展。
支持美观易用的思维导图模式的解析规则界面自定义。
支持解析规则性能以界面列表形式显示,可了解解析耗时、解析成功或失败次数等信息。
11 可对日志进行细粒度解析,解析后的日志根据具体日志包含但不限于:日期、发生时间、接收时间、设备类型、日志类型、日志来源、威胁值、源地址、目的地址、事件类型、时间范围、操作主体、操作对象、行为方式、技术动作、技术效果、攻击类型、特征类型、协议、地理信息(公网情况)。
支持基于,跨设备的多事件关联分析。
具备安全评估模型,评估模型基于设备故障、认证登录、攻击威胁、可用性、系统脆弱性等纬度加权平均计算总体安全指数。安全评估模型可以显示总体评分、历史评分趋势。安全评估模型各项指标可钻取具体的评分扣分事件。
内置设备异常、漏洞利用、横向渗透、权限提升、命令执行、可疑行为6大类50+子类的安全分析场景。
进行关联分析的规则可定制。
三维关联分析;支持通过资产、安全知识库、弱点库三个维度分析事件是否存在威胁,并形成关联事件(提供服务工具第三方检测报告)。
支持日志本地备份及恢复。
日志备份
支持日志备份自动传送到远程服务器;支持从远程仓库恢复数据;支持FTP、SAMBA、NFS和FILE,4种方式的远程服务器。
支持B/S模式管理,支持SSL加密模式访问。
日志查询
支持亿级的日志里根据做任意的关键字及其它的检索条件,在秒级里返回查询结果。
应用性能监控(APM)
支持监控设备自身CPU、内存、磁盘等工作运行状况。
通过在目标主机上安装Agent程序,支持监测目标主机的CPU利用率、内存使用率、磁盘使用率、磁盘使用情况、流
12 量等信息(提供服务工具第三方检测报告)。
支持应用性能历史详情回溯查看。
可预设置安全告警策略。
支持磁盘空间阈值告警,当磁盘使用率达到设定的阈值时可产生并外发告警;资产性能监控异常告警,对于监控的告警能力
资产系统资源进行监测当指定指标使用率达到设定的阈值时可产生并外发告警;资产状态监控,当资产处于不活跃状态时可产生并外发告警;远程仓库状态监测可告警,当远程仓库可用性检测失败或备份包自动上传失败时可产生并外发告警。
内置合规性报表1000+种。
综合查询及报表管理
内置SOX、ISO27001、WEB安全等解决方案包内置完;善的等级保护合规报表。
根据三权分立的原则和要求进行职、权分离,对系统本身进行分角色定义,如管理员只负责完成设备的初始配置,规则配置员只负责审计规则的建立,审计员只负责查看相关的审计结果及告警内容;日志员只负责完成对系统本身用户管理
的用户操作日志管理。
用户支持双因子认证登录,双因子认证令牌支持绑定至具体用户。
提供一键式故障排除功能。
注册用户资产时,提供自动发现识别能力。
资产管理
资产拓扑支持按照实际的用户环境进行编辑发布并可以和资产进行绑定,扑可以显示资产采集的事件数量被采集资产的状态等信息(提供服务工具第三方检测报告)。
服务工具资质要求
具备公安部计算机信息系统安全产品销售许可证。
具备中国网络安全审查技术与认证中心颁发的《中国国家
13 信息安全产品认证证书》(增强级)。
八、数据安全运营服务
指标项 指标要求
1.支持通过多种类型的安全、泛安全类数据接入采集,应包括但不限于日志数据、流量数据、资产人员数据接入
数据等。
2.支持通过流量采集设备采集接入全流量数据,包含流量中的请求包和返回包等信息,并可在数据检索中体现包信息。
1.支持梳理的资产类型包括网络资产、数据资源、应用接口、应用服务、账号权限等。
资产梳理
2.支持EXCEL等格式的文件数据,可通过模板文件的填写导入实现资产数据的导入和管理。
3.支持流量中分析和自动发现资产,至少包括网络资产、应用服务和应用接口等。
围绕业务场景开展的数据流动安全监管,将业务场景分解到数据流和数据节点进行细粒度的监控,实现基业务建模
于业务规则的数据流动安全监管。
基于业务的数据建模:支持通过简单的元件拖拽、连线的操作方式对其数据流转进行可视化的拓扑建模,组建包含应用服务、数据服务、账号、接口、表。等;
1.数据全流程安全监控:数据从归集、治理、共享、交换全流程的数据安全风险监测预警,包括敏感数据安全监管
访问监控预警、数据流转监控预警、基于业务场景数据安全监控预警等。
2.数据接口安全监控:数据共享接口的健康状况进行实时监控,对接口访问进行统计,包括高密访问、越
14 权访问、访问高延时、返回报错、404异常访问实现对异常或高风险操作的识别和预警。
3.特权人员安全监控:对第三方运维服务人员的数据访问操作行为进行监督审核,包括特权账号的越权行为及高危操作等。
1.支持对数据库、应用服务告警进行统一的跟踪管理。
安全告警
2.支持安全事件场景研判,展示攻击者和受害者的资产信息,可联动会话详情,点击查看不同溯源维度的会话详情,通过请求头,payload等详情字段定位攻击。
1.支持对安全告警数据进行分类检索,从检索结果可关联资产信息并一键跳转。
2.支持不少于1000条检索结果导出,导出内容字段可智能检索
自定义选择,支持CSV格式。
3.支持智能检索语句分析,支持检索语句的中英文、拼音智能联想,支持逻辑运算符与字段值的自动提示补全;检索语句支持快速保存,历史检索语句快速导入。
支持建立安全知识库,管理维护安全相关的标准、指导性文件等,支持上传、下载和在线阅读。
安全合规
服务工具内置安全合规检查模板,支持自定义检查模板及快速下发,被检查单位按要求将检查项的证据材料上传,实现一站式的快速检查。
为了实现市、县数据安全监管一体化,要求能够实现市、县数据安全监管系统无缝联动,要求县级数据安兼容性要求 全运营服务能够在收到市级的工单预警数据进行处置,如需要涉及服务工具开发接口,接口费用由中标厂商承担。
15 支持基于用户角色的数据权限控制,不同的角色只能数据权限 查询与用户角色相关联的安全告警信息和工单信息等。
1.支持管理系统中异常记录、安全告警的所有字段和安全管理
数字字典
取值,每个字段均有清晰的说明。
2.支持数据标准管理,用户可以根据实际需求,对字典进行编辑,支持手动修改、增加或删除相应的字段;
3.数据字典支持管理系统中原始日志和告警数据中所有字段的类型、取值范围、字段说明,支持数值、字符串、枚举、ip等≥9种字段类型。
1.日志采集方式应支持但不仅限于Syslog、kafka、ftp、部署代理等4种方式。
2.支持采集异构设备的日志数据,实现包括但不限于安全类、网络类、应用服务器类、操作系统类等至少4大类、50种设备的日志接入采集。
3、应用性能监控:通过在目标主机上安装Agent程序,支持监测目标主机的CPU利用率、内存使用率、磁盘使用率、磁盘使用情况、流量等信息。
4.无需配置解析规则与设备日志对应关系,自动完成采集模块 日志采集服务 解析。
5.可对日志进行细粒度解析,解析后的日志根据具体日志包含但不限于:日期、发生时间、接收时间、设备类型、日志类型、日志来源、源地址、目的地址、事件类型、时间范围、操作主体、操作对象、行为方式、技术动作、技术效果、攻击类型、特征类型、协议、地理信息,≥30个字段。
6、三维关联分析:支持通过资产、安全知识库、弱点库三个维度分析事件是否存在威胁,并形成关联事件。
16 1.行为审计与可疑通信检测:支持违规操作、违规访问、违规应用、违规外发等300种以上行为审计检测规则,支持隧道通信、可疑内容、恶意IP、恶意域名、恶意证书、远程控制等3000种以上可疑通信检测规则,可针对任意单条规则进行启用和禁用。
2.漏洞利用检测:支持SMB漏洞、RDP漏洞、软件漏洞、设备漏洞、系统漏洞、拒绝服务漏洞、shellcode等7000种以上漏洞利用检测规则,可针对任意单条规则进行启用和禁用。
3.恶意文件检测:支持挖矿活动、流氓软件、可疑文流量采集服务 件、勒索软件、僵木蠕、Webshell等25000种以上恶意程序检测规则,可针对任意单条规则进行启用和禁用。
4.配置风险检测:支持弱口令风险、明文传输风险、HTTP配置风险、中间件配置风向、数据库配置风险、服务配置风险等100种以上配置风险检测规则。
攻击检测:支持Webshell请求、XSS攻击、SQL注入、远程代码执行、命令注入、远程文件包含、本地文件包含、文件上传、路径遍历、信息泄露、越权访问、XXE注入、网页篡改等13类、6000种以上web攻击检测规则,对任意单条检测规则支持启用和禁用。
1.旁路部署模式下无须在被审计数据库系统上安装任何代理即可实现审计。
2.支持Oracle、SQL Server、DB2、Informix、Sybase、数据采集服务
MySQL、MariaDB、PostgreSQL、GuassDB、HANA、greenplum、librA、graphbase、Teradata、人大金仓(Kingbase)、达梦(DM)、南大通用数据库(Gbase)、Oscar、Redis等数据库审计。
3.支持数据库操作表、视图、索引、存储过程等各种
17 对象的所有SQL操作审计。
4、审计信息能够记录执行时长,影响行数、执行结果描述与返回结果集。
5、可依据探针客户端工具名、数据库用户名、客户端IP、操作系统用户名、客户端主机名、数据库名、操作类型、服务器IP等配置行为模型,并可查看相应告警日志。
6、采集探针可监控Agent的转发速率,以及Agent所在数据库服务器的CPU、内存利用率,并可设置CPU、内存利用率的上线阈值,超阈值时Agent将自动停止转发数据。
九、安全制度建设服务
指标项 指标要求
通过安全专家团队协助建立数据安全标准规范,指导各级政务部门落实数据安全保障工作,提升安全管理水安全制度建设服务 平。制定安全规范要求以规范化的流程指导网络安全管理工作的具体落实,避免管理规程中“无规可依”的情况。
18
2023年8月1日发(作者:)
XX市XX区一体化智能化公共数据平台数据安全服务需求说明
一、分类分级服务
指标项 指标要求
应支持数据源管理功能,支持数据源类型包括但不限于MySQL、Oracle、PostgreSQL、MSSQL、Hive、SQLServer、MongoDB、MariaDB、ElasticSearch、ClickHouse、Greenplum、Hive、Hbase、Teradata、DB2、MAXCompute(ODPS)、GaussDB、DRDS、RDS、ADS、POLARDB、GBASE8A、KINGBASE8、FTP/SFTP/LOCAL文件协议等,可对数据源手动指定业务系统、部门、责任人,支持数据源导入,支持根据表命名来进行数据过滤。
应支持数据源列表展示功能,包括但不限于数据源名称、数据源类型、主机及端口、创建用户、创建时间、同步状态、操作等信息。
应支持数据源同步功能,获取数据源的数据库、表、列及账号信数据资产梳理息,同步之后在数据资产目录内新增该数据源,并同步得到数据与风险评估
源结构,且在数据库账号模块,会同步得到相关数据库账号。
应支持扫描发现数据源任务的新增、编辑、删除功能,实现对扫描任务的管理。
应支持扫描任务列表的展示功能,包括但不限于任务名称、主机、数据源名称、发现结果、状态、次数、周期、创建时间、最新发现时间、操作等信息,同时支持扫描任务结果的导出。
应支持以数据源视角下的数据详情展示功能,包括数据源区域、数据源概览、数据源查询、数据源信息列表,支持查看有多少数据库、数据表、列、行,其中敏感数据库、敏感数据表、敏感列、有多少,可以增量发现 一定周期的敏感数据变化情况。
应支持以安全分类、业务分类的视角查看资产分布情况,支持查看不同分类的数据的分布情况,有多少库、表、列、行等其中敏
1 感数据库、敏感数据表、敏感列、有多少,可以增量发现 一定周期的敏感数据变化情况。
应支持以敏感项为视角查看敏感项分布情况,支持查看不同敏感项的数据的分布情况,有多少库、表、列、行等其中敏感数据库、敏感数据表、敏感列、有多少,可以增量发现 一定周期的敏感数据变化情况。
需提供脆弱性检查功能,能够发现数据库的相关漏洞、基线和弱口令等信息,并提供风险评分功能。
应支持风险检测任务的列表展示功能,包括但不限于任务名称、数据源名称、数据源主机、风险评分、风险数、状态、更新时间、操作等信息,并提供图表分析功能,展示漏洞、基线、弱密码三种风险及其数据源的排名情况,同时支持任务的查询、编辑、删除。
应支持提供数据库漏洞检查、配置基线检查、弱口令检查等手段数据资产安全评估,通过安全现状评估能有效发现当前数据库系统的安全问题,对数据库的安全状况进行持续化监控。
应支持账号权限梳理功能,包括但不限于数据库账号、数据源名称、拥有权限、禁止权限、状态和密码有效期等信息,同时支持监控账号权限变更,新增/删除账号信息。
支持审计管理功能,支持对系统用户的审计日志的查看。
应支持自动数据分类分级功能,同时可识别发现敏感项,包括敏感表和敏感列以及敏感项的动态变化。
内置不少于70种常见敏感字段识别规则,开箱即用50+内置算法,具备结合算法识别能力以保障敏感数据识别精准度。
数据分级分类
应支持查看和配置分级分类配置,可新增内容识别规则,包括正则和字典;同时支持启用或关闭业务属性识别功能,可针对字段名称和字段注释进行模糊匹配。
应支持通过策略自动调整的功能,支持表维度的分级。
2 需提供表分类分级策略配置功能,表分级策略应支持就高原则和加权平均,表分类策略应支持分类合集和就多原则。
需内置不少于15种行业法规标准,包括但不限于网络安全法、金融、证券、电信、GDPR、CCPA、等保、电信-专项、网约车、工业互联网、公安、通用、疫情、数据安全法和个人信息安全规范等,同时应支持支持对内置模板进行下载或克隆;支持自定义行业模板的导入。
应具备自动推荐引擎功能,当同一列中识别出多种字段信息时,需提供该列数据的规则命中列表,包括规则名称、匹配度和已关联敏感项信息,便于用户根据各数据项占比进行手工修改确认梳理,提高数据分级分类效率。
应具备列表形式展示分级分类任务的各种状态及信息,包括但不限于任务名称、数据源名称、主机、发现结果、状态、次数、周期、创建时间、最新发现时间、操作等信息,同时支持对分类分级任务的查询、手动终止。
支持分类分级结果的批量及部分导出,导出项包含并不限于任务名称、数据源名称、主机、数据库名、Schema、表名、列名、样例、字段注释、是否新增、规则名称、是否梳理、识别字段、实际分类、实际分级。
数据安全态势大屏
需提供数据目录,可以查看数据的分布情况,包含表级别分布和列级别分布;同时提供包括数据库梳理、敏感表数量、识别字段数、敏感列数和已经梳理占比情况等信息。
需提供数据安全分类分级监管可视化大屏,包含数据源数、表数、授权合规
列数、已梳理列数、列梳理率、数据源风险评分TOP、数据源弱密码风险数TOP、数据源基线风险数TOP、数据分级分布、数据源敏感列数TOP和数据分类分布情况等信息。
支持对不同数据库的漏洞风险进行评估,并给出修复意见,对数安全基线服务
据库的安全状况进行持续化监控。
支持对数据库中账号的弱密码情况进行评估,提供基于字典库,
3 基于规则,基于穷举等多种模式下的弱口令检测。
支持对数据库的基线配置进行评估,识别配置风险并给出修复意见,提供定期扫描,周期性监控数据库配置偏差,反映当前安全状况相对于基线的变化。
二、身份鉴别与权限管控服务
指标项 指标要求
支持数据库 支持多Orcal、MySQL、Mariadb、PostgreSQL等数据库支持。
可以体现各个资产的访问控制情况、攻击防护情况、数据脱敏情况、设备运行情况。
总览展示与告警
服务包含风险告警查询,且查询条件支持常见的账号、数据库名、客户端工具、操作系统用户名、客户端IP、操作类型、SQL关键字、执行结果、影响行数、执行时长等字段。
审计功能
服务工具需支持数据库操作类、表、视图、索引、存储过程等各种对象的所有SQL操作审计。
服务工具需支持多种数据来源筛选管控,包括IP、MAC、客户端主机名、操作系统用户名、客户端工具名、数据库账号。
服务工具需支持与数据分级分类系统结合,实现基于身份认证和访问控制
数据分级分类细粒度访问控制。
服务工具需支持对于越权的动作选择:阻断、脱敏、仅告警。
服务工具需支持分组管理进行分组管控。
实现资产和访问控制、身份认证直接的对应。
服务工具支持申请运维任务通过邮件发送且通过邮件正文的链接审批。
运维审批
服务工具需支持运维申请手动配置运维对象或者选择对象组。
服务工具需支持手动添加运维SQL和导入SQL文件。
运维任务支持运维资产、运维对象、运维人员和运维时间等维度
支持运维任务的两级审批。
4 支持多操作日志记录(例如:攻击日志、访问控制日志、脱敏日志、告警日志)、日志查询。
操作日志 支持记录审计系统所有人员对设备的访问行为。
自审计日志包含时间、用户、来源IP、操作名称、操作内容、操作结果等内容。
三、动态脱敏服务
指标项 指标要求
自定义敏感数据规则,敏感信息发现结果的在线新增、修改和删除。
多种脱敏算法,且脱敏后的数据需语义保持、唯一性保持、关系一致性保持。
动态脱敏
支持自定义策略脱敏,关键字、正则表达式、字符长度等。
对于越权的数据访问进行动态脱敏,防止数据泄露。
对源数据库的操作影响在毫秒级以内。
内置的特征策略包含缓冲区溢出、SQL注入、提权、数据库内核入侵探测等常见攻击特征,内置多种数据库安全规则。
自定义规则支持根据账号、数据库名、客户端工具、操作系统用户名、客户端IP、操作类型、SQL关键字等制定防护策略。
自定义规则支持根据执行结果、影响行数、执行时长等设置防护安全防护能力
策略。
自定义规则支持针对不同的数据库类型进行独立的策略动作设置。
规则动作支持允许访问、命令阻断、会话阻断和动态脱敏。
支持数据库防护虚拟补丁技术,防护未升级数据库,并可以更新维护。
5 支持规则白名单。
内置替换、截断、取整、掩码等常见的脱敏规则算法,实现敏感数据的模糊化。
支持规则升级。
支持IP组、MAC组、操作系统用户名组、客户端主机名组、客户端工具名组、数据库账号组、应用用户名组、时间组和对象组的分组管理。
支持IP组、数据库账号组、应用用户名组和时间组的导入和导出。
支持SNMP V1、V2、V3网络监控管理协议。
支持数据自动清理功能,支持根据保留天数和占用百分比自动清管理能力
理最早的数据。
服务工具支持系统安全配置如会话锁定、超时退出、IP访问控制、密码复杂性管理等安全措施。
支持多操作日志记录(例如:攻击日志、访问控制日志、脱敏日志、告警日志)、日志查询,可以对接日志审计平台。
操作日志 支持记录审计系统所有人员对设备的访问行为。
自审计日志包含时间、用户、来源IP、操作名称、操作内容、操作结果等内容。
四、静态脱敏服务
指标项 指标要求
支持数据源管理功能,主流数据源类型包括但不限于MySQL、Oracle、Db2、MSSQL、MariaDB、PostgreSQL、Greenplum、Impala、Sybase、Informix、Hive、ODPS。
敏感数据发现
支持数据源发现功能,可以针对指定IP段进行扫描,从而发现数据库资产。
应支持自动数据识别发现敏感项,包括敏感表和敏感列以及
6 敏感项的动态变化。
需提供数据目录,可以查看数据的分布情况,包含表级别分布和列级别分布;同时提供包括数据库梳理、敏感表数量、识别字段数、敏感列数和已经梳理占比情况等信息。
应支持不同视角的数据详情展示功能,提供数据源视角、行业、敏感项的数据详情展示功能,支持查看不同分类的数据的分布情况。
支持数据分级分类任务任务的管理功能,包括但不限于务名称、数据源名称、主机、发现结果、状态、次数、周期、创建时间、最新发现时间、操作。提供查看任务详情,可以查看以图表形式展示当前数据源分类分级的概况。
支持主流字符集如gbk、gb2312、gb18030、utf8、utf8mb4等。
支持自定义脱敏算法模板库,用户可将若干脱算法略组合成为适用于该场景的脱敏算法模板库,脱敏模板库定后,可被重复利用。
应支持脱敏任务的配置功能,提供数据库到数据库、数据库到文件、文件到数据库、文件到文件流程的脱敏任务新增功能,支持数据处理配置和脱敏算法的配置。
敏感数据脱敏
应支持脱敏任务的展示功能,包括但不限于任务名称、脱敏流程、任务状态、执行次数、执行周期、新增时间、最近执行时间、执行耗时和操作等信息,同时支持任务的编辑、查询功能。
开启脱敏任务审批后,用户提交脱敏任务审批后,权限管理员可以进入该界面进行脱敏任务的审批,审批通过后方可执行脱敏任务。
应支持水印配置功能,水印配置界面可直观展现水印的使用状态,支持添加10000个水印,提供方便便于维护管理水印。
用户可制定要脱敏的表,自由选择全量或增量抽取数据,可
7 基于字段自由配置增量条件。
通过添加水印的数据,可得回溯是打了哪个水印标记,进而数据溯源
可追溯出哪些脱敏任务调用了该水印标记。
可通过数据上传和数据输入两种方式溯源,定位水印处理后数据的单位信息(即对应的水印名称)。
可视化大屏
脱敏算法
分级分类大屏:用于展示分级分类的数据信息;敏感数据大屏:用于展示敏感统计数据。
脱敏工具支持不低于20类,240种及以上的脱敏算法。
根据指定的直方图的数量对原数据分布进行估计和采样重分布重建 建。本算法可以使得脱敏后的数据保留原数据的高阶统计特征,适用于对数据质量有较高要求的分析场景。
(支持至多5列)在乱序前后保留对应。乱序关联保留算法
指定的2个或多个列关系。
五、API接口安全服务
指标项 规格要求
支持为API服务提供统一代理访问,提供对服务名称、服务代理域名、服务真实域名、API路径、API方法等资源的统一管理。
支持对API访问路径、请求方法等进行统一配置管理,支持与市基本功能
统一认证中心联动同步服务资源及API配置。
支持API匿名发布,并定义默认访问策略。
支持对API调用启用超时熔断机制,防止TCP链接长时间挂载;支持对API调用开启流量控制策略,支持基于请求内容大小、请求速度、请求连接数等参数进行流量控制。
支持TLS加密,为后端API服务强制加载HTTPS,向后端转发流量是实现SSL卸载。
API管理
支持为每条API访问请求启用基于安全令牌的身份验证及鉴权机制,支持与市统一认证中心联动完成令牌、身份、权限的互信。
8 支持身份验证结果、鉴权结果的缓存,提高API转发效率及单机性能。
支持API数据字段动态脱敏,支持遮盖、假名等脱敏策略,支持与市统一认证中心联动,根据用户安全等级、字段安全等级的不同实施不同脱敏策略。
支持API出入参加解密功能,实现数据安全出入库。
支持API认证代理功能,为已有basic认证的API接口提供认证代理,原有认证方式对应用系统隐藏,实现业务系统无需多次登录。
联动管理
支持与市统一认证中心联动,实时撤销用户、应用系统对API接口的访问权限。
支持记录API访问日志、API访问控制策略执行日志,日志内容包括用户名、用户唯一ID、应用ID、服务ID、接口路径、时间、系统管理
入参、出参、流量等信息,并进行日志上报,便于实现对API访问进行审计及安全风险分析。
支持高可用集群,通过HA等方式,确保服务的持续可用可扩展。
六、数据库透明加密服务
指标项 指标要求
加密工具支持国密标准的加密算法,需具备《商用密码产品认资质要求 证证书》,符合等级保护2.0要求以及《信息系统密码应用基本要求》。
加密算法
加密工具支持国产SM2、SM3、SM4标准加密算法,具备相关的《商用密码产品认证证书》。
支持国产SM2、SM3、SM4数字签名算法。
基本要求
数字签名算法
功能要求
提供硬件密钥管理设备,基于物理噪声源生成真随机数;部署在用户本地,密钥由用户自主掌控。
9
密文密钥分离机制,如果“黑客”获取数据库密文,密钥也无法解密查看明文数据,确保数据库数据的安全性。
支持密钥根据周期自动更新,密钥管理模块后台保留密钥更新记录功能,确保密钥使用安全。
加密工具需支持应急告警机制,提供报警邮箱设置功能,实现系统故障时可向指定内部人员邮箱发送告警邮件。
支持SQL、PL/SQL、JDBC、ODBC的透明性,不需要改造;支持现有Oracle维护工具的透明性,数据库管理员依然可以使用RMAN等现有工具实现备份恢复和数据库维护;硬件密钥管理设备可独立部署。
提供安全访问控制功能,除数据库原有权限控制外,可限制访问数据库的具体进程等。基于进程与数据库用户绑定进行访问控制增强,同一用户只能通过指定的进程访问密文,而无法使用命令行等其他方式访问密文数据,可有效防止合法用户违规操作引发的数据安全隐患。
支持系统管理员、安全管理员和审计管理员三权分立。其中安全管理员完成日常的加密数据配置、数据库用户的密文权限控制等安全维护和管理操作;审计管理员进行审计开关的控制,技术要求
检索、分析密文访问操作的审计信息工作;系统管理员则负责进行系统配置,如IP,端口等的配置。
数据加密后,对于数据库的IO性能损耗可控制在10%~15%。
以表为单位进行数据加密,加密表的数据以密文形态存储在磁盘中。
支持对数据库系统加密后,可进行密文数据索引。
支持随机加密策略,防止相同的数据的加密结果一致而导致的数据泄密。
加密工具需支持多种数据库类型,覆盖用户单位所使用的数据兼容性 库类型,包括MySQL、Oracle、SQL Server等;支持主流的Linux、Windows等类型操作系统。
10 七、日志审计服务
指标项 指标要求
支持Syslog、SNMP Trap、HTTP、ODBC/JDBC、WMI、FTP、SFTP协议日志收集;支持阿里云SLS日志的采集。
可通过接收协议限制日志接收速率,包括Http接收、syslog接收、SNMPtrap接收、TCP接收、WMI接收、aliyun接收。
支持使用代理(Agent)方式提取日志并收集,安装包支持界面下载,且安装支持可视化向导。
日志收集
支持对Agent进行统一管控,包括卸载、升级、启动及停止操作,支持将日志收集策略统一分发。
支持目前主流的网络安全设备、交换设备、路由设备、操作系统、应用系统等。
支持常见的虚拟机环境日志收集,包括Xen、VMWare、Hyper-V等。
支持对收集到的重复日志进行自动聚合归并,减少日志量;
支持可由用户定义和修改的日志聚合归并逻辑规则;
支持将收集到的日志转发,当原始日志设备无法设置多个日志服务器时,可以通过本系统的日志转发功能将日志转发到其他日志存储设备。
日志分析
日志支持文本方式输出给第三方平台,进行数据共享。
内置5000+解析规则,支持对收集的5000+设备类型日志进行解析(标准化、归一化),解析维度多达200+,解析规则可以根据客户要求定制扩展。
支持美观易用的思维导图模式的解析规则界面自定义。
支持解析规则性能以界面列表形式显示,可了解解析耗时、解析成功或失败次数等信息。
11 可对日志进行细粒度解析,解析后的日志根据具体日志包含但不限于:日期、发生时间、接收时间、设备类型、日志类型、日志来源、威胁值、源地址、目的地址、事件类型、时间范围、操作主体、操作对象、行为方式、技术动作、技术效果、攻击类型、特征类型、协议、地理信息(公网情况)。
支持基于,跨设备的多事件关联分析。
具备安全评估模型,评估模型基于设备故障、认证登录、攻击威胁、可用性、系统脆弱性等纬度加权平均计算总体安全指数。安全评估模型可以显示总体评分、历史评分趋势。安全评估模型各项指标可钻取具体的评分扣分事件。
内置设备异常、漏洞利用、横向渗透、权限提升、命令执行、可疑行为6大类50+子类的安全分析场景。
进行关联分析的规则可定制。
三维关联分析;支持通过资产、安全知识库、弱点库三个维度分析事件是否存在威胁,并形成关联事件(提供服务工具第三方检测报告)。
支持日志本地备份及恢复。
日志备份
支持日志备份自动传送到远程服务器;支持从远程仓库恢复数据;支持FTP、SAMBA、NFS和FILE,4种方式的远程服务器。
支持B/S模式管理,支持SSL加密模式访问。
日志查询
支持亿级的日志里根据做任意的关键字及其它的检索条件,在秒级里返回查询结果。
应用性能监控(APM)
支持监控设备自身CPU、内存、磁盘等工作运行状况。
通过在目标主机上安装Agent程序,支持监测目标主机的CPU利用率、内存使用率、磁盘使用率、磁盘使用情况、流
12 量等信息(提供服务工具第三方检测报告)。
支持应用性能历史详情回溯查看。
可预设置安全告警策略。
支持磁盘空间阈值告警,当磁盘使用率达到设定的阈值时可产生并外发告警;资产性能监控异常告警,对于监控的告警能力
资产系统资源进行监测当指定指标使用率达到设定的阈值时可产生并外发告警;资产状态监控,当资产处于不活跃状态时可产生并外发告警;远程仓库状态监测可告警,当远程仓库可用性检测失败或备份包自动上传失败时可产生并外发告警。
内置合规性报表1000+种。
综合查询及报表管理
内置SOX、ISO27001、WEB安全等解决方案包内置完;善的等级保护合规报表。
根据三权分立的原则和要求进行职、权分离,对系统本身进行分角色定义,如管理员只负责完成设备的初始配置,规则配置员只负责审计规则的建立,审计员只负责查看相关的审计结果及告警内容;日志员只负责完成对系统本身用户管理
的用户操作日志管理。
用户支持双因子认证登录,双因子认证令牌支持绑定至具体用户。
提供一键式故障排除功能。
注册用户资产时,提供自动发现识别能力。
资产管理
资产拓扑支持按照实际的用户环境进行编辑发布并可以和资产进行绑定,扑可以显示资产采集的事件数量被采集资产的状态等信息(提供服务工具第三方检测报告)。
服务工具资质要求
具备公安部计算机信息系统安全产品销售许可证。
具备中国网络安全审查技术与认证中心颁发的《中国国家
13 信息安全产品认证证书》(增强级)。
八、数据安全运营服务
指标项 指标要求
1.支持通过多种类型的安全、泛安全类数据接入采集,应包括但不限于日志数据、流量数据、资产人员数据接入
数据等。
2.支持通过流量采集设备采集接入全流量数据,包含流量中的请求包和返回包等信息,并可在数据检索中体现包信息。
1.支持梳理的资产类型包括网络资产、数据资源、应用接口、应用服务、账号权限等。
资产梳理
2.支持EXCEL等格式的文件数据,可通过模板文件的填写导入实现资产数据的导入和管理。
3.支持流量中分析和自动发现资产,至少包括网络资产、应用服务和应用接口等。
围绕业务场景开展的数据流动安全监管,将业务场景分解到数据流和数据节点进行细粒度的监控,实现基业务建模
于业务规则的数据流动安全监管。
基于业务的数据建模:支持通过简单的元件拖拽、连线的操作方式对其数据流转进行可视化的拓扑建模,组建包含应用服务、数据服务、账号、接口、表。等;
1.数据全流程安全监控:数据从归集、治理、共享、交换全流程的数据安全风险监测预警,包括敏感数据安全监管
访问监控预警、数据流转监控预警、基于业务场景数据安全监控预警等。
2.数据接口安全监控:数据共享接口的健康状况进行实时监控,对接口访问进行统计,包括高密访问、越
14 权访问、访问高延时、返回报错、404异常访问实现对异常或高风险操作的识别和预警。
3.特权人员安全监控:对第三方运维服务人员的数据访问操作行为进行监督审核,包括特权账号的越权行为及高危操作等。
1.支持对数据库、应用服务告警进行统一的跟踪管理。
安全告警
2.支持安全事件场景研判,展示攻击者和受害者的资产信息,可联动会话详情,点击查看不同溯源维度的会话详情,通过请求头,payload等详情字段定位攻击。
1.支持对安全告警数据进行分类检索,从检索结果可关联资产信息并一键跳转。
2.支持不少于1000条检索结果导出,导出内容字段可智能检索
自定义选择,支持CSV格式。
3.支持智能检索语句分析,支持检索语句的中英文、拼音智能联想,支持逻辑运算符与字段值的自动提示补全;检索语句支持快速保存,历史检索语句快速导入。
支持建立安全知识库,管理维护安全相关的标准、指导性文件等,支持上传、下载和在线阅读。
安全合规
服务工具内置安全合规检查模板,支持自定义检查模板及快速下发,被检查单位按要求将检查项的证据材料上传,实现一站式的快速检查。
为了实现市、县数据安全监管一体化,要求能够实现市、县数据安全监管系统无缝联动,要求县级数据安兼容性要求 全运营服务能够在收到市级的工单预警数据进行处置,如需要涉及服务工具开发接口,接口费用由中标厂商承担。
15 支持基于用户角色的数据权限控制,不同的角色只能数据权限 查询与用户角色相关联的安全告警信息和工单信息等。
1.支持管理系统中异常记录、安全告警的所有字段和安全管理
数字字典
取值,每个字段均有清晰的说明。
2.支持数据标准管理,用户可以根据实际需求,对字典进行编辑,支持手动修改、增加或删除相应的字段;
3.数据字典支持管理系统中原始日志和告警数据中所有字段的类型、取值范围、字段说明,支持数值、字符串、枚举、ip等≥9种字段类型。
1.日志采集方式应支持但不仅限于Syslog、kafka、ftp、部署代理等4种方式。
2.支持采集异构设备的日志数据,实现包括但不限于安全类、网络类、应用服务器类、操作系统类等至少4大类、50种设备的日志接入采集。
3、应用性能监控:通过在目标主机上安装Agent程序,支持监测目标主机的CPU利用率、内存使用率、磁盘使用率、磁盘使用情况、流量等信息。
4.无需配置解析规则与设备日志对应关系,自动完成采集模块 日志采集服务 解析。
5.可对日志进行细粒度解析,解析后的日志根据具体日志包含但不限于:日期、发生时间、接收时间、设备类型、日志类型、日志来源、源地址、目的地址、事件类型、时间范围、操作主体、操作对象、行为方式、技术动作、技术效果、攻击类型、特征类型、协议、地理信息,≥30个字段。
6、三维关联分析:支持通过资产、安全知识库、弱点库三个维度分析事件是否存在威胁,并形成关联事件。
16 1.行为审计与可疑通信检测:支持违规操作、违规访问、违规应用、违规外发等300种以上行为审计检测规则,支持隧道通信、可疑内容、恶意IP、恶意域名、恶意证书、远程控制等3000种以上可疑通信检测规则,可针对任意单条规则进行启用和禁用。
2.漏洞利用检测:支持SMB漏洞、RDP漏洞、软件漏洞、设备漏洞、系统漏洞、拒绝服务漏洞、shellcode等7000种以上漏洞利用检测规则,可针对任意单条规则进行启用和禁用。
3.恶意文件检测:支持挖矿活动、流氓软件、可疑文流量采集服务 件、勒索软件、僵木蠕、Webshell等25000种以上恶意程序检测规则,可针对任意单条规则进行启用和禁用。
4.配置风险检测:支持弱口令风险、明文传输风险、HTTP配置风险、中间件配置风向、数据库配置风险、服务配置风险等100种以上配置风险检测规则。
攻击检测:支持Webshell请求、XSS攻击、SQL注入、远程代码执行、命令注入、远程文件包含、本地文件包含、文件上传、路径遍历、信息泄露、越权访问、XXE注入、网页篡改等13类、6000种以上web攻击检测规则,对任意单条检测规则支持启用和禁用。
1.旁路部署模式下无须在被审计数据库系统上安装任何代理即可实现审计。
2.支持Oracle、SQL Server、DB2、Informix、Sybase、数据采集服务
MySQL、MariaDB、PostgreSQL、GuassDB、HANA、greenplum、librA、graphbase、Teradata、人大金仓(Kingbase)、达梦(DM)、南大通用数据库(Gbase)、Oscar、Redis等数据库审计。
3.支持数据库操作表、视图、索引、存储过程等各种
17 对象的所有SQL操作审计。
4、审计信息能够记录执行时长,影响行数、执行结果描述与返回结果集。
5、可依据探针客户端工具名、数据库用户名、客户端IP、操作系统用户名、客户端主机名、数据库名、操作类型、服务器IP等配置行为模型,并可查看相应告警日志。
6、采集探针可监控Agent的转发速率,以及Agent所在数据库服务器的CPU、内存利用率,并可设置CPU、内存利用率的上线阈值,超阈值时Agent将自动停止转发数据。
九、安全制度建设服务
指标项 指标要求
通过安全专家团队协助建立数据安全标准规范,指导各级政务部门落实数据安全保障工作,提升安全管理水安全制度建设服务 平。制定安全规范要求以规范化的流程指导网络安全管理工作的具体落实,避免管理规程中“无规可依”的情况。
18
发布评论