XX区政府政务数据防泄漏系统建设项目需求

XX区政府政务数据防泄漏系统建设项目需求.项目概述项目的总体目标是采用国家密码管理局规定的算法，结合内容识别，通过灵活的策略配置管理，实现基于自动识别的智能数据防泄漏系统。本系统支持终端安全准入、数据资产内容自动识别、自动分类、根据组织架构或AD域分配数据资产的阅读和使用权限、业务数据在传输和存储过程中的数据保护，实现数据资产在云、管、端的安全，并且能够支持智能移动终端对数据的安全访问和使用安全。通过该系统的建设，能够满足对敏感信息或重要数据资产的防泄漏保护，进而保护重要的数据资产不会被泄漏，既落实了国家的信息安全政策，也保护了重要文档数据的安全使用。.建设内容1.新增终端数据防泄漏系统根据《XX市政务数据安全管理办法》第二十六条要求，各单位应当制定终端计算机管理制度，严格终端计算机的安全管理，采取集中管控、用户识别、访问控制、安全审计等技术防护措施。为此，针对政务信息化数据或文件，终端防泄露系统可以提供内容/类型进等行精准识别，并在源端进行相应的阻断或审计处理，从终端边界和网络边界对敏感信息进行泄露防控和审计追溯，实现智能化安全管控。本项目配置400节点，部署于重要终端上，提升业务终端安全防护能力。2.新增网络数据防泄漏系统根据《XX市政务数据安全管理办法》第二十九条及第三十五条要求，各单位应当严格工作信息和业务数据的安全管理，不得在非涉密计算机及相关设备上处理、传递、转发涉密或敏感信息。各单位应当制定公民、企业信息保护制度,10理被打上标签的敏感文档可通过右键点击属性查看标签信息。终端数据发现支持依据设定的策略对本地终端进行全量/增量扫描，对文档进行分类分级（标密）管理，支持按时长、周期、自定义扫描文件类型、文件大小、过滤最后修改时间等进行扫描，支持手动扫描和压缩包穿透。剪切板监控用户通过复制或剪切敏感信息粘贴至应用程序，支持审计或阻断。网络共享监控监控从本地移动、复制、拖拽到网络路径的敏感文件。敏感取证支持上传、保存敏感文件。弹框告警支持对违反策略的行为进行弹框提醒、提醒内容可自定义。应用分组管理按组制定不同的黑白名单、审计名单和阻断名单。离线监控支持离线状态下工作且保存事件，重新连接后事件上传到管理平台。识别超时放行支持自定义识别时间长短，超出时间放行，放行文件可审计。超出文件大小放行支持自定义被识别文件大小，超出大小放行，放行文件可审计。敏感文件外发审批支持自定义外发审批模板，支持敏感文件审批后外发，可限定审批人，敏感文件外发的次数，上传敏感文件大小过滤，会签/非会签，可设定审批流程提前结束。OCR识另支持图片文字识别。URL白名单管理支持设定URL白名单列表，可向在白名单内的网址任意发送文件，非白名单网址根据内容识别判断是否敏感并按照预先定义的响应方式进行管控。源数据管理数据字典支持自定义添加数据字典，支持按权重设定。数据标识符支持自定义导入数据标识符。数据指纹提供IDM、EDM指纹制作工具。语义模型提供语义模型制作工具，可对文档进行分类分级文件类型支持自定义添加文件类型（支持类型防伪装），支持导入/导出文件类型。安全策略设定内置策略内置社会信用代码、车辆识别码、国际移动设备识别码、近700种各种银行卡号及IPv4地址识别算法。内置常用违反国家法律法规和政治敏感数据字典。策略定义支持策略自定义，每一个数据分类可根据不同的业务要求进行安全策略配置。支持策略自定义文件类型、文件大小、名称等。支持自定义文档类型，支持类型防伪装。支持关键字、关键字对识别技术，包括大小写区分，识别位置包括信封、主题、正文、消息、文件。支持正则表达技术，识别位置包括信封、主题、正文、消息、文件。支持数据库指纹(EDM)技术，可自定义选择需识别列，识别位置包括正文、消息、文件。支持文档指纹(IDM)技术，可设定相似度阈值，支持识别文件。支持数据字典识别技术，可设定匹配项权重阈值，识别位置包括正文、消息、文件。支持数据标识符识别技术，识别位置包括正文、消息、文件。支持语义模型识别技术，可设定相似度阈值，识别位置包括正文、消息、文件。支持压缩包穿透识别，可自定义压缩包穿透层数。支持匹配项计数，支持自定义设定检测匹配项数量阈值。支持例外规则设定。响应动作定义可定义自动响应策略，可以根据策略和模块，制定不同的响应动作；响应动作中支持条件判断，只有满足条件后才会执行响应动作。同一策略中，可针对事件严重等级、终端位置、终端监控目标、策略命中匹配数等响应条件制定不同响应动作。响应动作支持阻止、分类分级、发送电子邮件通知、上传敏感11文件（监控的应用程序访问敏感文件都默认审计）。策略分组管控下发可针对不同的部门、团队、用户等制定/下发不同的安全策略。支持策略快速匹配和完全匹配。终端策略服务器端配置的安全策略（包括规则、指纹库等）下发至各终端，由各终端保存并做策略解析和处理。终端在接入内网后应自动对本地的安全策略进行更新。在离线情况下，客户端根据本地策略正常工作；支持指纹及语义模型本地计算。客户端定时与服务器通信并更新本地策略，也可手动刷新。分类管理终端应用程序。在离线情况下，客户端可根据本地策略正常工作。服务要求提供3年（含）7*24小时的售后技术服务及质保服务。4.3.对接XX区公共数据安全管控平台技术指标技术规格要求产品形态SDK接口。对接XX区公共数据安全管控平台（软件开发服务）通过系统接口，实现泄露事件统一审计、处理。打通公共数据安全平台，实现统一管理与事件处理。服务要求提供3年（含）7*24小时的售后技术服务及质保服务。12对在提供服务过程中收集、使用的公民、企业信息，应当采取相应措施严格保护，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。针对政府各单位各部门通过网络外发的各类政务数据，网络数据防泄漏系统可提供外发敏感数据内容的行为实时监控及审计，拟采用旁路方式部署3台网络数据监控一体机在政务数据网络出口，对外发数据实时智能分析和预警，确保重要数据、敏感数据的安全合规。3.对接XX区公共数据安全管控平台根据《XX省公共数据安全总则》以及《XX省公共数据开放与安全管理暂行办法》要求，XX区公共数据安全管控平台对一体化公共数据平台中存储、处理、共享交换的大量数据进行风险监测和安全监管，对辖区结构化数据的敏感分布,数据流转风险，运维操作风险统一收集、分析和呈现。本项目建设的终端防泄漏和网络防泄漏系统可与XX区公共数据安全管控平台对接，将本系统发现的各类数据泄露事件上报平台告警，由平台对于泄漏事件进行工单派发和处理，完成数据泄漏事件的整体风险监测和协同处理。3.项目采购清单1.软件部分序号采购内容数量单位具体参数要求1网络数据防泄漏系统3套软件部分。2终端数据防泄漏系统1套软件（400个终端授权）。3对接XX区公共数据安全管控平台（软件开发服务）1套开发按平台的数据业务调用接口和联调。2.硬件部分序号采购内容数量单位具体参数要求1网络数据防泄漏硬件设备3台高效C621芯片组；支持2颗Purley系列处理器；支持(8-DIMM)2TB内存；支持4个3573个25SATA等硬盘；含导轨。*1x4110(2.1G/11M/8C/16T)*4xl6GDDR4RECC内存*lx4TSATA企业级3.5”硬盘(7.2k-rpm)。*6x千兆电口(板2口+独4口)+1个远程管理口*lx550W(1+1)高效节能服务器专用电源。*提供三年免费质保服务。4.采购内容及详细招标参数要求1.网络数据防泄漏系统3技术指标技术规格要求网络协议支持支持主流网络协议敏感数据监控审计。网络应用支持支持对关键字进行中文分词。支持数据字典算法，可按关键字个数或权重进行识别，权重设置支持负数。支持根据自然语言特征进行语义匹配，替换或删除文件数据内关键字的情况下仍可识别该文件内容并匹配分类。支持文档自动分类分级和自动聚类。支持身份证、银行卡号等数据标识符匹配，支持700种银行卡号的数据标识符识别算法。支持自定义脚本匹配。支持正则表达式检测内容，正则表达式包括银行卡号、VIN码等。支持设置最少正则命中次数或词数。支持文件指纹检测内容，可设置指纹相似度；可用于检测被保护文档派生文档，可对数据库文件中的表导出文件做指纹检测；支持图片指纹匹配，可自定义设置图片匹配阈值。支持文件属性检查与图像识别，支持针对传输文件进行属性匹配检测，支持图片文字内容识别，可识别图片格式的文字内容。支持对图片、文档中的图章进行识别。支持任意组合方式检测。支持对邮件正文、附件、主题、信封分别进行识别。支持对复合文件、压缩文件作为整体识别，或对其中子文件进行单独识别。对于excel,支持对每个sheet页单独识别，也支持对整个excel进行汇总识别。可以根据接收IP鉴别是否是中国国内IP或境外IP,能精确到具体国家。支持对文档类型进行标签化管理。监控报文离线播放支持监控和识别离线报文流量的播放。mac地址获取支持从DHCP报文流量获取泄密机器MAC地址，用于后续事件通过MAC关联人员。敏感数据处理方式支持仅审计、发送电子邮件通知、证据留存。证据留存支持上传敏感文件，可自动上传保存附件便于取证，可选择丢失不敏感附件。支持事件处理时效的检查，通过设定事件处理时长阈值，衡量事件的处理效率，通知管理员及时处理超时未处理的泄露事件。支持事件的模糊查询，通过事件中命中的特有信息如姓名等，查询某些具体敏感信息的泄露情况，快速定位泄露事件的源头。45管理员对事件拥有的权限由所属角色中策略组配置的权限决定的，策略组只配置查看权限，那么由此策略组中的策略产生的事件只有查看权限；策略组配置编辑权限，则能查看和编辑相应的事件(设置状态、属性、严重性、数据所有者，添加注释，删除事件等)；策略组不配置权限，则无法查看到相应事件。电子邮件通知支持向发件人、特定人员、组负责人发送敏感事件通知。监控地址设置支持只监控特定IP地址或IP地址段。对指定IP地址或IP地址段进行过滤，不进行监控。代理服务器设置对代理服务器地址进行解析，识别真实外发的源ip地址。全流量抓取支持支持全流量抓取，单千兆监控网口支持800Mbps以上流量实时内容识别。支持同时监控多个镜像网卡、支持负载汇集负载均衡流量，并识别外传数据。支持万兆网卡、可实时处理2Gbps以上流量下的内容识别。段1口」用部署支持主备模式进行部署。支持操作系统windows(win7>winl0>xp)、主流国产终端操作系统。外设管控支持多种外接设备管理，支持禁止用户使用U盘、移动硬盘、红外设备、CD/DVD光驱、IC卡读卡器等。移动介质管控支持禁止保存文件至移动介质。支持对拷贝/拖拽敏感文件到移动介质的审计或阻断。支持禁止运行移动介质上的应用程序。打印管控支持禁止使用打印机，支持打印敏感内容监控，可自定义添加打印水印信息，例如计算机名、IP名、时间等，支持自定义水印颜色、大小、位置等。应用程序管理支持对应用程序访问敏感文件审计或阻止，例如使用邮件发送敏感文件等。支持应用黑白名单，白名单内的应用程序访问敏感文件不做处理，黑名单内应用程序被禁止使用；川阻止通过修改进程名绕过黑白名单。支持IM对话框敏感信息审计或阻止。支持添加审计应用程序列表和阻断应用程序列表，审计列表中的应用程序访问敏感文件默认审计，可由响应动作控制响应；阻止列表中的应用程序访问敏感文件直接阻止。分类分级管理支持自定义添加/删除分类分级标签信息。被打上标签的敏感文档可通过右键点击属性查看标签信息。终端数据发现支持依据设定的策略对本地终端进行全量/增量扫描，对文档进行分类分级（标密）管理，支持按时长、周期、自定义扫描文件类型、文件大小、过滤最后修改时间等进行扫描，支持手动扫描和压缩包穿透。剪切板监控用户通过复制或剪切敏感信息粘贴至应用程序，支持审计或阻断。网络共享监控监控从本地移动、复制、拖拽到网络路径的敏感文件。敏感取证支持上传、保存敏感文件。弹框告警支持对违反策略的行为进行弹框提醒、提醒内容可自定义。应用分组管理按组制定不同的黑白名单、审计名单和阻断名单。离线监控支持离线状态下工作且保存事件，重新连接后事件上传到管理平台。识别超时放行支持自定义识别时间长短，超出时间放行，放行文件可审计。超出文件大小放行支持自定义被识别文件大小，超出大小放行，放行文件可审计。敏感文件外发审批支持自定义外发审批模板，支持敏感文件审批后外发，可限定审批人，敏感文件外发的次数，上传敏感文件大小过滤，会签/非会签，可设定审批流程提前结束。OCR识别支持图片文字识别。URL白名单管理支持设定URL白名单列表，可向在白名单内的网址任意发送文件，非白名单网址根据内容识别判断是否敏感并按照预先定义的响应方式进行管控。源数据管理数据字典支持自定义添加数据字典，支持按权重设定。数据标识符支持自定义导入数据标识符。数据指纹提供IDM、EDM指纹制作工具。语义模型提供语义模型制作工具，可对文档进行分类分级。67文件类型支持自定义添加文件类型（支持类型防伪装），支持导入/导出文件类型。安全策略设定内置策略内置社会信用代码、车辆识别码、国际移动设备识别码、近70（）种各种银行卡号及IPv4地址识别算法。内置常用违反国家法律法规和政治敏感数据字典。策略定义支持策略自定义，每一个数据分类可根据不同的业务要求进行安全策略配置。支持策略自定义文件类型、文件大小、名称等。支持自定义文档类型，支持类型防伪装。支持关键字、关键字对识别技术，包括大小写区分，识别位置包括信封、主题、正文、消息、文件。支持正则表达技术，识别位置包括信封、主题、正文、消息、文件。支持数据库指纹（EDM）技术，可自定义选择需识别列，识别位置包括正文、消息、文件。支持文档指纹（IDM）技术，可设定相似度阈值，支持识别文件。支持数据字典识别技术，可设定匹配项权重阈值，识别位置包括正文、消息、文件。支持数据标识符识别技术，识别位置包括正文、消息、、文件支持语义模型识别技术，可设定相似度阈值，识别位置包括正文、消息、文件。支持压缩包穿透识别，可自定义压缩包穿透层数。支持匹配项计数，支持自定义设定检测匹配项数量阈值。响应动作支持终端保护（审计、提不告警、阻止、标注分级分类、阻止勒索进程）、网络保护（审计、阻止HTTP/HTTPS/SMTP）、应用保护（审计、阻止HTTP/HTTPS）、邮件保护（审批、转发、抄送、审计、自定义邮件标识）以及通用（发送电子邮件、记录到syslog服务器、添加注释、设置状态、设置属性、限制数据保留、上传文件-、加密、上传事件LOG文件）。同一策略中，可针对不同外泄方式/协议、监控位置定义不同的响应动作。支持例外规则设定。响应动作定义可定义自动响应策略，可以根据策略和模块，制定不同的响应动作；响应动作中支持条件判断，只有满足条件后才会执行响应动作。同一策略中，可针对事件严重等级、终端位置、终端监控目标、策略命中匹配数等响应条件制定不同响应动作。响应动作支持阻止、分类分级、发送电子邮件通知、上传敏感文件（监控的应用程序访问敏感文件都默认审计）。策略分组管控下发配置用户角色时可根据业务需要对策略组设置查看、编辑权限，管理员则只能查看或者编辑（添加、导入、更新、删除等）已授权策略组中的策略；如对策略组不配置权限，管理员则无法查看到该策略组中的策略。支持策略快速匹配和完全匹配。终端策略服务器端配置的安全策略（包括规则、指纹库等）下发至各终端，由各终端保存并做策略解析和处理。终端在接入内网后应自动对本地的安全策略进行更新。在离线情况下，客户端根据本地策略正常工作；支持指纹及语义模型本地计算。客户端定时与服务器通信并更新本地策略，也可手动刷新。分类管理终端应用程序。在离线情况下，客户端可根据本地策略正常工作。支持管理平台的多级部署及管理，上级平台支持下辖平台策略的管理及强制下发、事件查看、平台状态等管