| 技术参数及配置要求 | ★本次服务▲项为核心项,需上传功能界面截图,实际工具页面备查。如中标后无法提供界面截图或提供的截图与实际情况不符的,招标人有权废标。 ★为保障服务质量,本次所采用的服务工具均需为自主研发,为非OEM产品,提供原厂服务承诺函,原件备查。 一、数据资产梳理服务 服务内容需至少包含梳理数据库资产和API资产信息,识别接口、表格的类型、数据的语义内容和数据格式,实现全域数据资产口径统一、数据认知的一致性,并将数据类型和安全级别标记到数据环境中,与数据安全功能组件联合防御。交付物包含《数据资产清单》。 二、月度运营服务 内容需至少包含定期回访和安全运行情况分析,提升服务价值。服务工作内容包含增量资产梳理、系统安全配置检查、访问控制与权限管理、日志监控与研判、风险分析与处置、应急处置预案。 三、数据库运维加固服务 1.服务内容应至少提供安全提供资产防护能力,包括敏感数据发现管理、运维操作数据即时动态脱敏、防范敏感数据危险操作、限制特权账户随意访问敏感数据、利用身份管理、授权等内容,协助学校完成对于数据内控安全。 2.资产发现服务:提供敏感数据发现服务,协助学校发现SCHEMA、表中的敏感资产,同时对数据按照发现模版进行数据盘点。 3.运维脱敏服务:提供运维脱敏服务,运维人员通过运维工具进行数据访问时,部分字段可返回脱敏后的结果;应当支持对敏感类型进行自定义分段处理;脱敏算法至少支持空值、随机映射、遮盖、加密等。 4.SQL管理服务:支持通过标准SQL、SQL模版、模糊SQL等方式自定义敏感SQL,用以精细化控制针对指定对象的包括但不限于ALTER、DROP、CREATE 、TRUNCATE等高危操作行为;支持将访问日志中的原始SQL进行标准化,形成标准SQL,方便运维人员从访问日志中直接拷贝标准SQL用以自定义敏感SQL。 四、数据库运维加固服务工具要求 1.本次服务涉及的安全服务工具需支持微服务架构,支持高并发、高可用、可扩展,可随业务随时平滑扩展。采用B/S架构,支持主流浏览器,支持https/SSL等加密传输协议。 2.平台具有安全审计员、安全保密员、系统管理员三种角色,实现三权分立。 3.提供安全授权认证机制,提供基于安全授权码的二次实时验证能力,包括生物特征-指纹、软硬证书、OTP码等。 4.▲支持识别真实应用及SQL管理工具的MD5值,防止假冒应用及假冒SQL管理工具违规访问数据库, 信任验证机制通过三种及以上方式对应用进行保护。 5.具备免密登录功能,通过安装安全客户端,将数据库账号与运维终端的数字证书进行绑定,实现在运维终端无需输入数据库用户名密码就可登录数据库,减少因数据库帐密公开造成的泄露问题;免密登录至少支持Toad、PL/SQL DEV两种运维工具。 6.▲支持对通过SQL窗口导出查询结果集的行为进行管控,并支持通过工单申请数据导出权限;结果集导出格式至少包含XLSX、CSV、TXT、SQL等。 7.▲支持无需进行SQL语句自定义,即可在系统页面直接设置针对数据库用户代码的操作管控授权,包括存储过程、函数、包、触发器、视图、索引等代码进行创建、删除、修改。 8.▲至少支持oracle、SQL server、mysql、DB2数据库的误删除恢复,当使用DROP命令误删除敏感数据时,系统应及时记录操作的时间、数据库名称、操作类型、操作的对象类型、SCHEMA名称、对象名称、当前状态、使用的SQL语句等信息,并提供一键恢复的功能,辅助完成数据的快速恢复,以支持系统恢复正常。 五、API安全检测服务及工具要求 1.本次拟采购的API检测服务需精准解析我校API流量,通过精细化日志审计、异常行为检测和合规性分析,全面掌握API安全态势。 2.API文件传输检测服务:针对通过 API 接口传输的类型文件进行识别,文件类型包含但不仅限于 doc、docx、xls、xlsx、ppt、pptx、pdf、zip、rar、jpeg、png等; 3.API接口的溯源服务:在我校需要进行API溯源时,需对溯源文件中json报文进行上传,或已落数据库的行列数据导出进行上传。 4.API资产盘点与过滤:梳理和盘点我校API资产信息,对有效应用资产进行过滤,支持多种方式复合方式如通过正则、状态码、后缀三种方式。 5.API访问审计服务:需对经过API访问的内容进行记录,对于包括但不限于GET、POST、PUT、HEAD、DELECT、TRACE、OPTIONS、CONNECT等请求方式的API接口访问进行审计,审计内容能够完整记录主体、客体、行为; 6.支持旁路部署,通过镜像流量及探针引流方式进行分析; 7.支持 http、https 协议解析审计,其中SSL 解密能力,包括 TLS1.1-TLS1.3 协议,无需客户提供证书。 8.支持对API审计进行全局策略配置,至少支持流量解析方向、返回内容保存大小的配置;支持对单个应用进行特例的策略配置。 9.▲支持关联应用和数据库访问链路,形成完整的数据访问拓扑图; 10.支持分布式部署,通过管理中心对分布式部署的各网关节点进行集中配置管理、分析、统计; 11.▲支持API脱敏,支持遮盖、固定/随机值替换、空值等不同的脱敏算法,内置身份证、地址等常见敏感类型的脱敏规则;支持用户对敏感类型进行自定义的脱敏规则设置。 12.▲支持API水印加注,支持根据不同身份及身份因子,对不同API接口范围中进行水印加注,支持通过应用、接口、接口类型等不同维度筛选接口。 13.支持根据不同身份及身份因子,针对API接口访问频次、单日请求次数、单日获取敏感数据次数等维度设置对API接口的访问进行控制。 六、业务脱敏服务 1.本服务需对学校敏感数据面向不同业务场景时,根据应用用户的身份不同,按不同的脱敏规则和脱敏算法,实时进行多维度数据仿真显示。 2.脱敏服务技术要求:能根据我校不同的数据类型如字符串、数值、日期等数据类型设置通用缺省脱敏规则,实现当漏配敏感数据脱敏规则时,依然能够依据通用缺省规则进行自动化脱敏,减少数据泄漏风险。 3.脱敏服务过程中,算法需支持遮盖、随机映射、固定映射、返回空值等常见主流算法,满足我校日常要求。 4.脱敏服务过程中,需能够根据身份、敏感类型、敏感等级、数据脱敏规则等多条件复杂场景; 七、业务脱敏服务工具要求 1.支持旁路部署,通过镜像流量及探针引流方式进行分析,支持分布式部署,通过管理中心对分布式部署的各网关节点进行集中配置管理、分析、统计。支持集群,可随业务随时平滑扩展; 2.支持反向代理、透明代理部署模式,在透明代理下无需更改网络结构; 3.支持对包括但不限于库、Schema、表、字段等不同颗粒度的敏感数据范围进行脱敏; 4.▲为适应多种动态脱敏场景,需支持改写语句、改写结果等数据脱敏技术。 5.▲具备SQL语句检测能力,可通过一键发起检测任务,自动发现访问过程中存在敏感数据类型的SQL语句,并记录执行时间、终端IP、应用账号、原始语句、执行频次、字段、身份、表格名、列名、敏感类型、脱敏规则。 6.▲支持通过在线比对原始语句与脱敏语句的执行结果,校验脱敏语句的合理性;若发现脱敏语句的执行结果不符合预期,支持手动、自动调优脱敏语句 7.支持包括但不限于SQLPLUS、PLSQLDEV等SQL管理工具查询数据时的动态脱敏,对不同用户返回不同的脱敏数据; 8.支持为各敏感类型,自定义设置不同脱敏规则,实现不同敏感类型的差异化脱敏 12. ▲支持通过指定字符数量将数据分隔成多个分段,每个分段可自定义分段名称并设置不同脱敏规则,以实现数据的分段脱敏; 八、数据库审计服务 1.本服务需以数据和事件为中心,精准解析海量数据库流量,实现对各类操作行为的全面监控,以满足事件分析、查询、溯源的合规要求。 2.服务过程中,需包含针对数据库类、表、视 图、索引、触发器、存储过程、 游标、事物等各种类型SQL操作审计,操作覆盖增删改查所有类型,审计内容完善,能够完整记录源、目标、操作。 3.服务要求能够针对包括但不限于Oracle、MySQL等数据库本地审计,以及运维人员客户端SSH隧道代理访问数据库的操作,本地命令行访问数据库的操作等本地审计场景。 4.服务过程中,需对数据库、schema、表单单独配置双向审计,审计内容包含返回内容保存行数及保存长度等关键。 5.要求服务过程中,对于审计结果日志中的相关行为,可进行操作翻译,提高可读性。 九、数据库审计服务工具要求 1.支持旁路部署,通过端口镜像、探针引流进行日志获取;支持分布式部署,通过管理中心对分布式部署的各网关节点进行集中配置管理、分析、统计。 2.支持探针自动推送安装部署、卸载(即删除),包括网络审计和本地审计能力,支持对探针进行重启或删除操作。本地审计与旁路网络审计支持共存。 3.▲支持在应用端进行轻量级插件部署的方式实现基于流量分析的三层关联解析,精确识别来自于B/S架构的浏览器终端信息、应用用户信息。 4.▲支持通过探针对数据库加密流量进行三层关联解析,无需将业务系统的SSL/TLS证书导入审计设备,无需在应用中间件上安装插件,完成B/S架构的终端精确识别审计; 5.▲内置不少于2600个数据库漏洞风险检测规则,页面标注漏洞的CVE标识、CNNVD编码、策略类型、风险等级、cvss漏洞危害评分、危害性、影响范围等信息;支持检测规则的一键下发。 6.支持全量审计和部分审计两种审计模式;在全量审计模式下配置过滤策略,在部分审计模式下配置审计策略,策略内容包括数据库用户、客户端IP、对象类型及名称、终端IP、应用工具、操作类型、SQL语句;部分审计对象粒度精确到表级别。 7.支持面向已分类分级资产配置审计策略、风险规则,支持在审计结果、安全事件中展示资产分类分级相关信息。 8.▲支持通过基于表结构关联、基于SQL语句关联两种用户字段关联方式,实现从sql语句中对应用账号的提取实现三层关联解析,在审计结果里展示终端用户的应用账号,完成c/s架构的终端用户应用账号的识别。 十、数据安全集中管理服务 1.本次采购的数据安全集中服务内容应包括但不限于大数据分析、机器学习、数据行为分析、风险管理及评估、态势感知预测等,通过实时掌握全网数据安全风险状态,洞悉数据库运维加固工具、业务脱敏工具、数据库审计工具、API安全检测工具的运行状态和集中分析,感知数据安全未来风险趋势,及时发现各类数据层面的攻击威胁及异常,从而支撑有效的安全决策和响应能力。 2.服务过程中,需针对分析结果产生身份画像。能够实时计算身份对应的安全评分和风险等级;统计分析、展示来访者的访问习惯和潜在的风险,包括常访问的时间、常使用的终端、常使用的工具、涉及的操作的风险类型、高频操作类型、操作轨迹、影响的资产范围等信息,为安全策略的制定和优化提供数据支持;针对风险身份,提供针对性防护建议。 3.服务结果的展示上,需至少包含“人、应用、终端、账号”四个维度的身份定义,在联动安全工具后可进行全局进行身份治理和展示。 4.服务集中平台作为核心平台,需能够汇集本次采购服务项目的所有服务工具日志,并从中进行提炼分析,最终展示效果包括但不限于安全态势大屏、资产分布大屏、服务工具的运行大屏。 十一、数据安全集中管理服务工具要求 1.支持安全能力SaaS化,内置天然租户,支持平滑扩展、租户能力按需分配、数据隔离,满足后期可能的学院租户分配管理。 2.支持围绕资产、身份、操作行为、执行结果、特定账号等访问全链路,自定义风险规则列表和信任规则列表;可在特定时间点根据信任规则列表或风险规则列表,自动过滤第三方数据安全设备的日志,当访问事件与信任规则匹配时,不再进行风险检测、告警、以及风险拦截,实现海量风险事件的过滤、降噪;当访问事件与风险规则匹配时,及时进行风险检测、告警。 3.▲内置资产画像模块,通过梳理资产标签、访问关系等内容,实时计算资产的安全评分和风险等级;统计分析、展示资产被访问的情况,包括常访问的数据库账号、客户端IP、操作类型等,供资产的安全运营提供参考数据。 4.▲提供安全态势大屏,直观展现出用户整体系统的风险情况与安全总体态势,主要展示资产概览、敏感资产访问热度、资产访问热度、活跃身份、访问时间热度、资产脆弱性分析、风险资产Top5、风险身份TOP5、风险类型Top5、安全防护效果、告警趋势、实时高危事件等模块,呈现整体系统的安全总体态势。 5.▲提供资产分布大屏,直观展现出用户整体系统的风险情况,支持个性化换肤。主要展示数据库量、敏感表数量、敏感列数量、数据访问趋势、数据库类型占比、SQL执行时长分布、数据敏感列分布、敏感表数据分布、数据库登录情况TOP10等内容。 6.▲提供安全工具运行大屏,直观展现出安全设计整体运行情况。主要展示运行天数、安全设备数、事件总数、告警总数、设备运行情况、日志采集趋势等模块。 十二、资质证明文件要求 1.为保障后服务效果,要求服务厂商具备信息安全服务资质认证-信息安全应急处理服务(二级)(提供有效证明文件); 2.为保障后续实施和应急效果,要求所投服务厂商至少具有信息安全服务资质认证-信息系统安全运维服务(二级)与信息安全服务资质认证-信息系统安全集成服务(二级)(提供有效证明文件); 3.为提高厂商响应能力要求所投服务厂商具备ISO9001质量管理体系认证证书、ISO27001信息安全管理体系认证证书、ISO20000信息技术服务管理体系认证证书(提供有效证书); 4.为提高所投服务厂商的交付能力,要求其具备软件能力成熟度CMMI3及以上(提供有效证明材料); 5.为保障使用效果要求所投服务厂商具备CRCC信息安全服务资质认证-风险评估服务资质二级或以上(提供有效证明文件)。 十三、本项目服务期限为:2025年7月-2026年8月。 |
福建福州
全部类型
2025年07月05日
招标信息推荐
当前位置:
