教育教学数据安全体系建设需求

教育教学数据安全体系建设需求一、货物需求明细序号货物名称数量单位备注1数据安全API安全检测系统1套2数据安全API安全分析与管理系统1套3数据安全运营管理平台1套4数据分类分级保护服务1套5出口入侵防御系统设备1台6数据中心入侵防御系统设备1台7web应用防火墙系统设备1台8数据库网关系统1套9数据库审计系统1套10软件正版授权许可服务1项二、技术要求序号货物名称技术要求1数据安全API安全检测系统1.1.支持http、http2协议解析；支持VXLAN、GRE的流量接入与解析，日志中可提现响应标识信息；支持根据X-Forwarded-For、X-Real-IP、X-Remote-Addr、X-remote-IP解析真实源IP地址。1.2.支持根据流量特征自动识别API类型，不得低于8种协议类型，包括但不限于REST、graphQL、websocket、MQTT、gRPC、JSON-RPC、XML-RPC、SOAP等；支持公共组件的API识别能力，包括但不限于ClickHouse、Hadoop、Jenkins、Elasticsearch、KAFKA、InfluxDB、Docker等；支持根据字符串、正则匹配HTTP协议中目的端口、目的ip、请求头、请求体、请求query、请求path、请求host、响应头、响应体设置等自定义API识别规则。1.3.支持手动增加标签类型和标签名称，如应用标签、API用途标签、公共组件标签等；支持API自动聚合，包括但不限于按参数、ip、ip:port、uuid、sha3、md5、数字、时间等自动聚合方式。1.4.支持配置自定义识别规则，自定义维度包括应用名称、应用登录URL、账号提取位置（如url参数、json体、请求体参数），账号识别参数，以及可设定登录成功的判断条件。1.5.支持对通过API接口传输的非结构化数据进行识别与检测，类型包括但不限于图片类（如webp、bmp、jpeg、png、等）、压缩文件类（RAR、ZIP、7Z、BZ2、TAR等）、文档类（如doc、docx、ppt、pptx、xlsx、rtf、wps、et、dps、odt、odp、等）。1.6.支持API请求和响应数据中敏感信息的识别，支持生成API接口与敏感数据映射，显示敏感数据通过API接口被访问的情况。1.7.支持根据文本、正则、预定义标签实现自定义敏感数据检测，同时可自定义识别敏感数据的位置，如请求头、请求体、响应头、响应体等；应支持识别出的API安全风险进行分类和威胁等级标注。1.8.应支持API攻击检测，攻击检测能力可覆盖攻击检测（如代码执行、SQL注入、命令注入、文件上传等的漏洞利用攻击）；应具有攻击结果研判能力，支持针对发现的攻击事件进行研判，研判结果包括企图、成功、失败等。1.9.应支持对API安全监测生成对应的日志类型方便分析溯源。如业务访问日志，威胁告警日志，文件传输日志，业务登录日志，涉敏访问日志类日志。1.10.应支持快速日志检索模式，通过点击具体日志字段可自动带上搜索条件进行快速查询，如点击多个字段，可自动生成与关系的查询条件，通过简单修改条件就可快速查询原始日志。1.11.含5年特征库和系统更新升级服务。2数据安全API安全分析与管理系统2.1.部署方式：支持软硬一体、物理集群、虚拟化集群部署，同时可通过集群的横向扩展，增加平台流量处理能力和日志存储。2.2.支持通过API发现功能，自动将API按照域名进行分组管理。支持人工登记和批量导入API安全资产，导入方式包括但不限于excel、swagger等，支持以业务应用视角和资产标签视角查看API资产的情况。2.3.支持忽略和删除API资产信息，同时可以查看忽略历史记录；支持以列表形式查看API资产，包括但不限于HOST、PATH、所属业务应用、功能标签、状态、首次发现时间和最近活跃时间，支持查看API的状态变更记录，如失活转复活、活跃转失活等。2.4.支持根据API活跃度进行监测及统计，统计维度包括但不限于活跃API总数、未激活API总数、失活API总数、复活API总数、僵尸API总数、已下线API总数；支持根据应用/HOST、活跃状态、功能标签等维度查看API资产运营趋势，一览资源运营增长概况。支持自定义API活跃度判断的阈值，包括活跃API、失活API和僵尸API等。2.5.支持API异常行为发现能力，包括但不限于账号登录异常、异常时段的接口调用、敏感数据批量爬取、接口参数遍历等。支持以业务应用、访问者IP、异常类型等不同维度进行查看API异常行为情况。2.6.支持对API接口的访问行为建立业务访问基线包括业务请求大小、响应大小、响应时延、请求速率、出错率、吞吐量等不同维度，支持查看基线学习状态，基线学习内容、调整基线学习策略和结果。2.7.应支持自动生成API威胁事件，可根据时间跨度（天，周，月，自定义）自动关联聚合生成攻击事件，包含攻击事件名称、攻击者、攻击过程、事件等级、事件描述、攻击结果、处置建议等信息。2.8.风险API列表包括但不限于HOST、PATH、业务应用、用途标签、数据标签、风险类型、风险等级、处置状态、告警数、访问次数、责任人、责任人电话、责任人邮件等，支持导出等操作。2.9.支持查看API的风险详情，详情内容包含风险接口敏感数据传输的统计，统计维度包括但不限于敏感标签、传输数据的条目、传输敏感数据的大小等。2.10.支持与本项目中的数据安全运营管理平台对接，支持数据外发能力。2.11.含5年特征库和系统更新升级服务。3数据安全运营管理平台3.1.支持数据日志以Syslog、SNMPTrap、文本格式、数据库、WMI、HTTP等格式导入第三方日志，灵活满足日志格式兼容需求；对于存储中的静态数据与使用的流动数据，可识别具体的数据内容，并进行一定的敏感数据打标，并针对静态数据和流动数据以全局视图进行展示。3.2.支持从接入日志中，动态发现应用资产及API资产；支持查看应用资产列表，并可查看每条应用资产的业务应用、Host、API数、账号数、应用标签、最近活跃时间、数据标签、敏感数据访问量、去重访问量、告警数、风险数；支持查看API资产列表，并可查看每条API资产的业务应用、Host、API、最近调用时间、数据标签、敏感数据访问量、去重访问量、告警数、风险数。3.3.支持查看账号资产列表，并可查看每条账号资产的账号名称、类型（应用或数据库）、业务应用/存储资产名称、应用Host/存储资产地址、发现时间、涉及数据标签、敏感数据访问量、去重访问量、告警数；支持自定义数据标签，应用关键字、正则表达式、数据标识符等方式新增数据分类的识别特征。支持多维度的数据资产分类识别，识别纬度包括：列备注、列名称、列内容等。3.4.支持数据资产安全分类分级概览，对历次发布的版本进行快照保存；支持查看每个版本的分类分级资产总量，包括数据总量及数据源数量情况。3.5.支持可视化展示数据出境态势。支持图形化展示敏感数据流转，还原数据流动路径。支持大屏可视化展示敏感数据流动态势，包括敏感数据类别分布、热点敏感数据类别、应用敏感数据访问TOP5、业务人员敏感数据访问TOP5和接口敏感数据访问TOP5等。3.6.对于存储中的静态数据与使用的流动数据，可识别具体的数据内容，并进行一定的敏感数据打标，并针对静态数据和流动数据以全局视图进行展示。提供细粒度到敏感数据内容的全局视图，可直接展示具体的敏感数据内容，并进行全局搜索相关行为日志。3.7.数据流动监测可从运营人员最关注的信息开始，逐步增加筛选条件，缩小范围，查看数据流动日志。以数据视角为例，选择关注的数据标签，或具体敏感数据内容，系统筛选出该存在该数据流动的数据资产（应用、数据库），进一步筛选数据资产信息，系统筛选出相关联的用户信息。最后，筛选出与该数据、数据资产、用户所关联的数据访问日志。3.8.支持基于监测分析规则进行威胁告警，支持用户自定义告警列表的展示字段，包括名称、类型、基本信息等，支持告警信息字段灵活扩充。3.9.支持数据安全告警的统一、集中展示，实时获取、展示数据安全告警总体情况。3.10.具有《计算机软件著作权登记证书》、《国家信息安全漏洞库（CNNVD）兼容性资质证书》。3.11.含5年特征库和系统更新升级服务。3.12.服务器内存扩容：提供64条16GBDDR4RDIMM2400MHz用于DellPowerEdgeR930服务器，提供32条32GBDDR4RDIMM3200MHz用于DellPowerEdgeR940XA服务器，提供32条32GBDDR4RDIMM2666MHz用于DellPowerEdgeR940服务器。以上内存需与原有服务器相兼容；需为全新未使用过的产品。必须有原厂专属客户经理或技术经理上门安装。并负责售后问题跟进处理。服务：内存的保修期由原厂商保修3月或随原厂商服务器主机保修。收货时，货物不得开封，所有出厂配件可通过原厂查询。4数据分类分级保护服务4.1.从系统建设情况及业务定位出发，坚持以促进数据合理开发利用与保障数据安全并重，加强数据安全分级防护建设，促进数据价值挖掘，保障数据有序自由流动作为数据分类分级的目标开展学校数据分类分级工作。4.2.开展业务系统数据资产进行摸底与分类分级，识别学校数据类型全景与数据安全级别，构建数据分类分级方法与流程。4.3.对目标明确的业务系统数据开展数据分类分级实施工作。4.4.本次进行数据分类分级保护服务的目标系统数量不少于3个。4.5.根据数据分类分级的结果输出包括但不限于：《数据资产调研表》、《数据安全现状调研报告》、《数据分类分级清单》。5出口入侵防御系统设备5.1.系统应至少提供1个RJ45串口，1个1000M独立管理口和1个HA口，2个USB接口，工作接口应至少3个具备bypass功能的千兆电口，至少3个千兆光口，支持2个扩展插槽；配置冗余电源。5.2.在入侵防御功能开启下，最大吞吐量不低于15G；新建HTTP连接数不小于3万，并发HTTP会话数不小于500万。5.3.系统入侵防御事件库事件数量不少于6000条，应支持根据协议类型、系统、安全类型、来源、事件级别来进行分类。5.4.系统应提供口令保护功能，能够探测和阻止恶意暴力口令猜测行为，要求支持至少20种应用特征的口令穷举猜测。5.5.系统应内置AI检测模型，对SQL注入报文进行建模和分析，检测和识别SQL注入行为。5.6.针对SQL注入和XSS攻击，设备应支持在线事件分析功能。SQL注入至少提供攻击位置、攻击方法、解码后数据、攻击域、影响的数据库等，XSS攻击至少提供协议字段、攻击数据、解码后数据、攻击域、编码方式等。5.7.系统应支持检测敏感信息的外泄行为并阻止传输行为，有效保护用户的知识资产，支持检测和防范的对象包括但不限于：信息和文件中的关键字，身份证、手机和固定电话号码、银行卡、IP地址等信息监控，重要数据文件保护等。并可以设置白名单。除关键字外，还需要支持文件指纹识别能力。需通过产品界面截图证明正则表达式（身份证、手机和固定电话号码、银行卡、IP地址和文件指纹）功能。5.8.系统应支持双机热备和双机主备功能，并且主备热备时可支持状态同步和配置同步。5.9.系统应支持高负载下的bypass功能，使得系统在CPU和内存较高情况下启动bypass功能，避免网络出现延迟和丢包等情况，提高网络可用性。并可配置启用Bypass的CPU和内存阈值，及选择取值的计算方式（最高值/平均值、时间区间等），防止设备出现Bypass状态震荡。并支持二层回退。5.10.系统应提供WEB登录图像验证码功能，防止暴力破解。5.11.系统应提供系统监控和趋势曲线图展示，至少支持内存占用率、CPU占用率、总流量、每秒新建连接数、并发会话数的趋势图，可按照1小时、6小时、12小时、1-7天和自定义时间段展示趋势曲线。5.13.具有多核并行操作系统的《计算机软件著作权登记证书》，提供扫描件。6.14含5年特征库和系统更新升级服务。6数据中心入侵防御系统设备6.1.系统应至少提供1个RJ45串口，1个1000M独立管理口和1个HA口，2个USB接口，工作接口应至少6个具备bypass功能的千兆电口，至少6个千兆光口，至少3个具备Bypass功能的万兆SFP+多模接口（含SFP+多模光口模块），至少2个QSFP+40GB接口（含SFP+多模光口模块），至少预留3个扩展插槽。配置冗余电源；不低于2T硬盘；提供8个18T企业级硬盘（7200转、512M缓存、3.5寸、SATA接口）用于日志备份。6.2.在入侵防御功能开启下，最大吞吐量不低于80G；新建HTTP连接数不小于2000万，并发HTTP会话数不小于75万。6.3.系统入侵防御事件库事件数量不少于6000条，应支持根据协议类型、系统、安全类型、来源、事件级别来进行分类。6.4.系统应提供口令保护功能，能够探测和阻止恶意暴力口令猜测行为，要求支持至少20种应用特征的口令穷举猜测。6.5.系统应内置AI检测模型，对SQL注入报文进行建模和分析，检测和识别SQL注入行为。6.6.针对SQL注入和XSS攻击，设备应支持在线事件分析功能。SQL注入至少提供攻击位置、攻击方法、解码后数据、攻击域、影响的数据库等，XSS攻击至少提供协议字段、攻击数据、解码后数据、攻击域、编码方式等。6.7.系统应支持检测敏感信息的外泄行为并阻止传输行为，有效保护用户的知识资产，支持检测和防范的对象包括但不限于：信息和文件中的关键字，身份证、手机和固定电话号码、银行卡、IP地址等信息监控，重要数据文件保护等。并可以设置白名单。除关键字外，还需要支持文件指纹识别能力。需通过产品界面截图证明正则表达式（身份证、手机和固定电话号码、银行卡、IP地址和文件指纹）功能。6.8.系统应支持双机热备和双机主备功能，并且主备热备时可支持状态同步和配置同步。6.9.系统应支持高负载下的bypass功能，使得系统在CPU和内存较高情况下启动bypass功能，避免网络出现延迟和丢包等情况，提高网络可用性。并可配置启用Bypass的CPU和内存阈值，及选择取值的计算方式（最高值/平均值、时间区间等），防止设备出现Bypass状态震荡。并支持二层回退。6.10.系统应提供WEB登录图像验证码功能，防止暴力破解。6.11.系统应提供系统监控和趋势曲线图展示，至少支持内存占用率、CPU占用率、总流量、每秒新建连接数、并发会话数的趋势图，可按照1小时、6小时、12小时、1-7天和自定义时间段展示趋势曲线。6.13具有多核并行操作系统的《计算机软件著作权登记证书》，提供扫描件。6.14含5年特征库和系统更新升级服务。7WEB应用防火墙系统设备7.1.性能要求：HTTP吞吐量≥8Gbps；HTTPS吞吐量≥2Gbps；HTTP最大并发连接数≥500000；HTTP最大新建连接数≥40000；HTTPS最大并发连接数≥100000；HTTPS最大新建连接数≥8000。7.2.硬件要求：软硬一体化机架式设备；电源：双电源；标配接口≥1*管理口，1*Console口，4个千兆电口（含两对内置BYPASS），4个千兆光口。7.3.支持透明串接、反向代理、旁路镜像等多种部署模式，接口支持链路聚合。7.4.支持多条链路数据的防护，防护网段数量不限；支持ipv4/ipv6双协议栈。7.5.支持设置后端TCP连接模式，可根据业务特点设置长连接和短连接，并且可以通过设置连接复用。7.6.支持HTTPS协议的选择，可以选择SSL/TLS协议版本，可选SSLv3、TLS1.0、TLS1.1、TLS1.2。7.7.支持加密HTTPS站点SSL算法自动探测功能，探测时可以设置站点及端口信息，并显示探测的结果。7.8.支持透明串接和旁路反向代理下的HTTPS业务的安全防护；支持源地址识别，当部署在SSL网关后面时，能够解析到真实的访问者IP，并能对真实的IP进行防护和阻断。7.9.支持对跨站脚本（XSS）和注入式攻击（包括SQL注入、代码注入、命令注入、文件注入、LDAP注入等）的检测防护。7.10.支持客户端安全防护，能够通过WAF向服务器返回信息插入特殊的HTTP报头(包括X-Frame-Options、X-Content-Type-Options、Content-Security-Policy)以保护客户端免受相应攻击。7.11.支持威胁情报库在线同步和离线更新，可主动发现恶意IP发起的访问行为，并进行告警或拦截。7.12.支持机器学习安全引擎，可以对用户web业务系统学习并建立安全的访问模型，学习的内容包括URL地址、URL请求参数等。7.13.支持设定域名信息、学习的周期、可信任的客户端IP、不可信的客户端IP以及不学习的URL信息；模型数据可以显示学习中的URL数量，学习完成的URL数量、学习失败的URL数量、检测中的URL数量，同时可以显示各个阶段的占比情况。7.14.支持根据产生的安全日志进行智能误判分析，提高人工分析效率，以协助管理员进行规则调优。7.15.支持设备自身状态查看，包括系统负载、业务流量、接口状态等信息，并可查看历史数据。7.16.含5年特征库和系统更新升级服务。8数据库网关系统8.1.性能要求：并发数据库连接≥8000个；并发数据库流量≥600Mbps；数据库实例授权≥100个；支持的数据库实例个数可扩展。8.2.硬件要求：软硬一体化机架式设备；电源：双电源；CPU≥6核12线程*2；内存≥128G；硬盘≥2T*2（支持RAID1）；标配接口≥6*千兆电口、4*千兆光口。8.3.支持透明串联部署，支持硬件bypass；支持反向代理方式部署，反向代理部署支持IPV6；支持策略路由引流部署。8.4.支持Oracle、MySQL、Mariadb、PostgreSQL、DB2、MSSqlserver、hive、hbase、kingbase、gbase8a、sybase、informix、MongoDB、达梦（DM）、人大金仓（KingBase）、ODPS、vertica、Guassdb100/200、GreenPlum、spark、TiDB、GoldenDB、HANA、Impala、Presto等数据库。8.5.支持风险告警查询，且查询条件支持常见的账号、数据库名、客户端工具、操作系统用户名、客户端IP、操作类型、SQL关键字、执行结果、影响行数、执行时长等字段。8.6.支持扫描发现敏感信息，包括但不限于身份证、银行卡、手机号、座机号、军官证、护照号、车牌号、MAC地址、日期、时间、港澳台通行证、台胞证、邮箱、中文姓名等，同时支持自定义敏感数据扫描规则。8.7.支持用户行为建模，可通过一段时间的学习，智能建立用户行为模型，学习期结束后对业务侧正常SQL语句放行，异常SQL阻断或告警。8.8.支持数据库“隐身”，使黑客无法通过常用手段扫描数据库漏洞，从而达到保护数据库的目的。支持主流漏洞扫描器防护，如：绿盟、安恒等。8.9.支持多种数据来源筛选管控，包括IP、客户端主机名、操作系统用户名、客户端工具名、客户端端口、数据库账号、数据库名、对象组、数据级别、操作类型、SQL关键字、SQL长度、执行时长、影响行数、返回结果集等。8.10支持对接数据安全运营管理平台实现规则下发。同时可在数据安全运营管理平台查看设备运行状态及安全策略总数、告警数量、防护资产数量、在线会话数、虚拟补丁数量、策略执行数量等。8.11.支持数据自动清理功能，支持根据保留天数和占用百分比自动清理最早的数据。8.12.支持基于一定时间范围内基于同一会话、同一ip、同一用户、同一工具等维度对数据库访问频次及返回行数的限制。支持数据库防护虚拟补丁技术，防护未升级数据库，并可以更新维护。8.13.支持自定义敏感数据规则，敏感信息发现结果的在线新增、修改和删除。支持动态脱敏效果预览。8.14.支持复杂SQL脱敏，例如：字符串拼接、截取、正则表达式替换及截取、行列转换、分析函数等。8.15.支持三权分立，除超级管理员外，内置系统管理员、安全管理员、审计员三种默认用户。8.16.含5年特征库和系统更新升级服务。9数据库审计系统9.1.性能要求：硬件最大吞吐量≥4Gbps；双向审计数据库流量≥400Mbps；峰值SQL处理能力≥60000条/秒；支持的数据库实例个数≥100；支持的数据库实例个数可扩展。9.2.硬件要求：软硬一体化机架式设备；电源：双电源；内存≥32GB；硬盘≥2T*2，支持RAID1；标配接口≥6*千兆电口、4*千兆光口。9.3.支持旁路部署模式，无须在被审计数据库系统上安装任何代理，仅通过镜像流量即可实现审计；支持在目标数据库安装Agent解决云环境、虚拟化环境内部流量无法镜像场景下数据库的审计。9.4.支持IPv4/IPv6双栈审计。9.5.支持Oracle（包括21C及其他版本）、Clickhouse、MySQL、SQLServer、SybaseASE、DB2、Informix、Cache（包括2021及其他版本）、PostgreSQL（14及其他版本）、Vastbase、Teradata、MariaDB、Hana、LibrA、SybaseIQ、TiDB、Vertica、PolarDB、PolarDB-X、Percona-MySQL、Percona-MongoDB等主流数据库的审计。9.6.支持达梦（DM8及其他版本）、南大通用(GBase）、高斯（GaussDB）、人大金仓（KingbaseV8、V7及其他版本）、K-DB、神舟通用（Oscar）、OceanBase、瀚高（HighGoDB)、天翼云数据库Teledb-MySQL、天翼云数据库Teledb-PostgreSQL等国产数据库的审计。9.7.具备单独的性能分析页面，展示性能主要指标（包括整体平均耗时、高峰时平均耗时、低谷时平均耗时、最大单次执行时长、慢SQL数量与占比、慢SQL操作类型），