1系统建设背景

1、1系统建设背景经过多年的信息化建设工作，我校各类业务系统繁多，储存了大量用户及业 务系统数据，所面临的数据安全态势日益严峻，一旦出现敏感数据大规模泄露， 后果将不堪设想。因此如何保护好这些无形资产是我校当前信息化发展中迫切需 要开展的工作。另一方面，面对一卡通门禁、消费、教室考勤以及宿舍上网等这 些海量的、异构的、充满价值的大数据，如何将其进行有效利用，辅助学校日常 教学任务的开展、支撑学校的综合改革和创新发展也是一项极具价值的工作。2建设目标为应对上述数据安全风险，拟采用先进的理念和技术，符合业界标准的模式， 建设西安交通大学PaaS平台用户信息安全统一管理系统，保障业务系统、数据 的安全，

2、实现“关键设备及系统访问日志获取与存储”、“海量数据的实时处理”、 “关键系统数据泄露预警”、“用户敏感数据非法访问预警”等功能。同时，通 过调用消息协作平台，将以上预警信息及时推送给相关人员，做到风险的及时发 现与及时处理。3建设原则为方便系统后期的维护，在方案设计中，尽可能采用成熟、实用的软件和技 术，并遵循以下原则：（1）安全优先必须将其安全性放在首位。当其它需求与安全需求冲突时，优先考虑安全。 同时，系统中的所有设备、配件及其应用软件，在保证其安全、可靠运行的同时， 要符合国家和国际的有关安全标准和规范的要求，在非理想环境下也能有效地工 作。此外，信息在存储、传输及使用过程中，不能被截

3、获和窃取。（2）适度前瞻系统总体架构定位要高起点、开放式、模块化，建设一个可扩展平台，保护 前期工程与后续技术的衔接。同时，因为信息技术发展很快，要具有适度的前瞻 性，为业务不断应用信息技术创造条件，增强信息化发展活力。（3）实用性系统设计应以实用为第一原则。在符合当前实际需要的前提下，合理平衡系 统的经济性和先进性，避免片面追求先进性而脱离实际或片面追求经济性而损害 现代化网络智能化设计的初衷。（4）实时性系统实时性要求较高。系统必须保持7*24小时连续工作，子系统故障不能 影响其它子系统正常运行，也不能影响其它子系统正常运行。关键的系统部件特 别是网络和管理软件应考虑容错和备份。（5）可移

4、植性系统设计中应考虑可移植性，使开发的应用系统独立于特定的硬件平台和操 作系统，能够方便地在各类Linux系统之间移植，能支持常用的数据库管理系统。（6）灵活性本系统能够灵活对接新增安全设备，并对外提供接口，满足其他业务系统的数据需求。（7）完整性本系统接入的安全监控设备不局限于学校现有资源，投标方需提供合理的整 体解决方案，说明技术实现原理及第三方合作机制，或其他可操作解决方案。4用户主要需求4.1技术框架需求系统的整体技术架构需综合考虑数据获取、数据融合存储、数据处理平台、 上层应用等多个方面。具体描述如下：（1）数据获取数据采集通过数据交换方式将数据从数据中心或业务系统抽取到本系统的 基

5、础库中。这些数据分为结构化数据、半结构化数据及实时数据三种，其中结构 化数据主要包括业务系统数据；半结构化数据包括：系统访问日志、数据库访问 日志、安全设备审计日志等；以上的数据在本质上都可以作为实时数据看待，但 考虑到实时数据处理对系统性能的较高要求，因此，只选择其中最为关键的某些 数据作为实时数据来源。在获取这些数据的时候需要首先建立统一的数据规律与 表达规则保证数据的质量与可用性。（2）数据融合在获取到以上数据之后，需要对其进行高效的存储，由于这些数据体量庞大， 并且结构特各异，因此本系统需要并对数据进行清洗、转换、重构，进而构建数 据仓库对其中的结构化数据进行存储，采用分布式文件存储的

6、方式对其中的半结 构化数据进行存储，对其中的实时数据采用基于内存计算的方式进行处理，以保 证上层算法能够快速的检索与提取相关数据。（3）大数据处理平台建立数据访问安全、敏感数据风险评估、用户行为等模型，为上层应用提供 模型基础。建立大数据并行计算、数据转化与修复、大数据可视化等算法，为上 层模型提供算法基础。建立数据安全特征库、用户行为特征库等，为上层的算法 提供规则支撑。（4）大数据安全应用在海量数据挖掘分析的基础上实现关键系统、数据库安全预警，个人敏感数 据安全预警。4.2数据来源需求清单4.2.1分析数据来源本系统需要分析的数据资源包括但不限于：数据库操作日志、安全设备日志 及分析结果、

7、流量还原设备日志、关键系统运行日志、统一身份认证系统运行日 志、统一身份认证系统登录日志、一卡通相关数据等。4.2.2支撑数据来源为关联分析及分析结果推送提供支撑的数据来源主要有:教务信息、系统CAS 注册信息等。4.3系统关键日志及数据采集与存储通过本项目建设校级大数据平台，以中央数据库、流量还原设备、安全审计 设备、统一认证系统、一卡通系统等为基础，实现结构化、非结构及实时数据等 数据全量存储及计算，通过访问这些设备与系统的接口，或获取这些设备与系统 的访问日志文件，进行内外数据源采集、数据质量监控、清洗、数据加载入库等 操作，以及对数据的初步处理，为接下来进行的综合分析提供基础。4.4系

8、统及个人数据异常预警通过对采集到的日志进行分析，智能识别其中存在的数据安全隐患，最后通 过消息协作平台向相关人员推送预警信息。具体又包括两方面工作：（1）数据库及主机异常预警分析学校核心数据库的访问日志，检测可疑的数据库操作，包含但不限于： 敏感信息操作、整库拷贝、信息篡改、用户异常登录、违规使用等行为并及时进 行预警。通过安全审计设备的分析结果，获取高风险主机的ip信息，结合统一身份 认证备案系统中的系统管理员信息，及时向被劫持系统或被攻击系统的系统管理 员进行信息推送。从而保证数据中心的整体安全。（2）个人信息异常预警个人敏感信息主要包括：统一身份认证系统账号密码、职工工资信息、学生 成绩

9、信息、一卡通消费、邮箱信息等。根据用户登录IP、登陆次数及频率、操作行为等判断是否存在恶意访问行为， 并及时把结果推送给个人，防止账号信息泄露；通过对邮件发送日志进行分析， 识别被盗邮箱的垃圾邮件发送行为，及时向邮件邮箱所有者及邮件系统管理员推 送预警信息；通过对一卡通消费的时间段、金额等特征进行分析，识别异常消费 数据，及时将一卡通疑似盗刷预警信息推送给一卡通所有人。4.5校园卡综合数据安全管理通过对一卡通消费、教室考勤、宿舍图书馆门禁、上网流量等数据进行初步 处理、综合分析，发现安全隐患，同时为其他系统提供原始数据。4.6统计报表展示通过对系统识别的风险信息、处理结果进行统计，定期形成风险

10、统计评估报 表，以便管理员及学校领导对目前全校信息安全态势进行评估。4.7系统角色需求清单序号参与者Actor描述 Description1超级管理员本系统的系统管理员，可以对系统的规则、权限进行配置；系统为超级管理员提供全集预警信息；超级管理员可以查看、控制分布式节点的运行状态；超级管理员可以查看系统的运行情况，所有的分析结果。2应用系统管理员本系统为应用系统管理员推送其管理系统的预警信息。3个人（学生、教职 工）系统为个人用户推送敏感数据泄露预警信息； 提供日常的数据查询、统计展示界面。4校领导系统为校领导提供数据报表展示界面，主要包括安全态势统计信 息，个人消费、考勤、门禁等统计信息。4

11、.8性能指标投标方需参考以下指标，并明确应标方具体能够达到的指标值及相关性描述：（1）多源、异构的源数据导入的关键技术及效率；（2）数据关联查询关键技术及效率；（3）系统处理结果查询并发能力及响应时间；（4）平台处理速度及预警延时；（6）硬件平台配置，如硬盘容量、CPU配置等;（7）预警结果的误报率及漏报率。5投标要求5.1方案等方面要求1、投标产品要根据我校实际需求订制开发，并同意根据实际情况及时细化 和调整，并保证需求调研、设计与开发等过程的开放接口，标准化与规范化。2、报价包括实现本项目要求功能的所有软件及服务，不需要用户额外购买 其它组件或模块，所涉及的各个组件如产品的提供、集成及费用

12、、二次开发接口 等方面费用由投标人承担；3、各投标人需要提供详细的方案描述，包括并不限制于物理构架、逻辑架 构以及功能实现方式等方面，并附所用到的组件。标书中要标明满足系统运行所 需硬件的建议配置和最低配置，并提出并发人数等相应的性能表现。4、考虑到本次项目对大数据技术依赖性高，投标方需提供与本项目建设内 容和规模类似的大数据项目建设案例。如有与第三方安全产品合作，需要在应标 方案中提供相关产品，相关产品应该由应标方提供，需提供相关案例及合作协 议。能提供以上证明材料者优先考虑。5、本项目要求的施工期是从中标之日起计算，施工期不能超过一年。一年 内不能上线并向校方提交验收申请，按照学校有关规定处理。5.2其他要求1）开放源代码。提供所有设计文档，版权归学校和公司共有，双方享有同 等修改权、著作权、专利等权利和保密、BUG修订等义务，学校优先享 有共同申报奖项、著作权、专利等权利。2）不得以任何形式和理由转包，不得引入任何其他集成商。3）中标方的项目骨干应按照以下表格填写个人