数据安全管控平台建设方案

数据安全管控平台建设方案21/21数据安全管控平台建设方案

目录TOC\o"1-4"\u一、建设背景 3二、建设目标 3三、建设内容 4四、设计原则 6五、建设需求 75.1.数据安全管控平台 75.2.日志采集探针 105.3.数据库采集探针 135.4.流量采集探针 155.5.运维审计系统 175.6.云资源需求 195.7.数字中枢建设需求 20

建设背景伴随着技术的进步和时代的变迁，数据的产生速度更快、维度更多、来源更广、关联更强，体量和价值已不可同日而语。近年来，迎着大数据的风口，各地深入学习贯彻习近平总书记提出的以信息化推进国家治理体系和治理能力现代化，统筹发展电子政务，构建一体化在线服务平台，分级分类推进新型智慧城市建设的精神，将庞大的数据资源转化为生产力，开展政府数字化和城市数字化工作，发挥数据价值，做强数字经济，构建数字引领、数据支撑的城市治理现代化体系。数字政府有力撬动数字经济、数字社会发展，其过程离不开数据资源的归集共享和大数据技术的开发利用，而数据安全是保障数据共享、开放和使用的关键。随着智慧电子政务、政府数字化转型和城市大数据平台建设的深入开展，数据流通和共享将成为刚性业务需求，因此亟需建立以数据为核心的安全管控体系，确保数据流通共享的安全。建设目标本项目主要采用预防性建设为主、检测响应为辅的思路，以数据为中心，设计并构建覆盖数据采集安全、数据存储安全、数据交换与传输安全、访问控制安全、数据加密安全、数据备份与恢复、数据使用申请与管理以及数据回收与销毁等生命周期的数据安全治理体系。明确各类业务数据在数据全生命周期各个业务场景下保障要素，以合规为基线，以业务流程为导向，结合制度规范，建立完善的数据生命周期的安全保障和监管措施。同时建立数据安全监控预警、信息通报和应急处置机制，逐步实现从“基于威胁的被动保护”向“基于风险的主动防控”转变，提升数据安全能力，形成数据安全保障闭环，有效防止数据泄露、数据篡改等事件发生，实现数据的安全可控。安全服务人员利用数据安全管控平台采集、汇聚、融合计算安全大数据，实现全方位全天候监控预警全区政务系统和数据资源的安全威胁、风险、隐患态势和网络攻击情况，有效加强对惠山区各类数据的识别和防护。为数据及应用提供一体化的安全保障能力，形成“多维联动、立体防护”的数据安全管控体系，统筹对数据安全管控对象的资产识别、安全防护、监管监测、预警通报、应急处置，逐步形成基于平台、数据、系统、管理的四层立体安全防护体系。并结合数据安全风险感知、异常流量监控等安全保障技术，加强数据利用的安全监控，同时建立覆盖数据基于业务流转的安全管控措施，确保每一条数据来源清晰、流向合规、使用正当。建设内容本项目建设内容主要包括以下部分：数字中枢，实现通过平台中枢协议，支撑各系统之间的连接，将惠山各级各部门分散的、独立的信息系统整合集成为互联互通、业务协同、信息共享的平台，支持惠山区各级业务系统对接。提供应用管理、网关管理、集成中心、服务中心、数据交换中心、监控中心、开放平台、数据安全管控等功能。实现跨协议、跨应用、跨云、跨部门、跨领域的融合集成。数据安全管控平台建设数据安全管控平台包含基础设施层、数据资源层、应用支撑层和数据应用层，并配套相应的数据安全服务体系，各层之间采用集中数据总线进行数据传输和交换，以此降低各类数据应用对底层数据存储之间的强依赖性，各层之间独立工作，保障各层之间稳定运行；本次项目建设主要包含态势感知模块、资产管理模块、安全监管模块以及安全运营模块。数据采集探针建设数据采集探针主要为数据安全管控平台提供各类维度数据，采集范围覆盖各类安全数据，具体采集内容包括安全设备日志、数据库审计日志、数据流动环境的流量等，建立安全数据仓库，为上层应用支撑层提供原始数据支撑。采集工具包括日志采集工具、流量采集工具、数据库审计工具和主动探测工具，并支持多种采集协议，以实现对各类数据的采集，包括不限于安全对象属性、运行状态、安全事件、评估与检测等数据。运维审计系统建设随着政府部门对信息系统依赖程度的日益增强，信息安全问题受到普遍关注。由于信息化建设、业务不断扩展等因素，在各信息系统中的服务器及各种网络设备的不断增加，对目标主机的管理必须经过各种认证和登录过程。本项目将采用运维审计系统保障惠山区运维安全。驻场安全运营服务数据安全服务体系提供各类优质的数据安全支撑服务，让安全服务渗透到数据安全管理、数据共享利用、通报预警、应急响应、运行维护等每一个环节，对数据安全安全运营所需的服务进行规划设计，将单点的安全服务整合成一个有机的运营整体，持续优化从而达到动态运营的效果，保障数据安全管控平台及业务的安全高效运行。包括不局限于加强数据安全风险评估与加固、策略动态优化，完善安全防护措施，组织数据安全检查、应急预案演练和人员安全培训，提升数据安全风险意识和应急处置能力，建立健全相关安全标准及管理制度，切实提升数据安全防护及监管能力。设计原则项目建设，以适度风险为核心，以重点保护为原则，在方案设计中当遵循以下的原则：（1）厉行节约原则：尽量利用现有的信息系统、网络基础设施、安全监控数据等，综合考虑对已有资源的共享和利用，避免重复建设和浪费。（2）标准规划原则：在方案设计方面遵循国家以及行业内的相关标准，严格按照有关程序组织项目建设，做到有规可循。（3）重点保护原则：根据信息系统的重要程度、业务特点，实现不同强度的安全保护，集中资源优先保护重要数据资源。（4）技术先进原则：平台设计立足先进技术，采用先进的系统结构、开放的体系架构，使系统在可进行迭代升级，保持技术领先水平，具备长足的发展能力，以适应未来网络技术和安全技术的发展和系统使用的科学性。（5）风险管理原则：进行安全风险管理，确认可能影响信息系统的安全风险，正确的识别风险、合理的管理风险，并让信息系统的安全风险降低到可以接受的水平以内。建设需求数据安全管控平台功能指标招标要求部署要求ECS部署平台，资源要求：8核CPU、32G内存、2T硬盘。数据接入支持通过多种类型的安全、泛安全类数据接入采集，应包括但不限于日志数据、流量数据、弱点漏洞数据、资产人员数据等；支持通过流量采集设备采集接入全流量数据，包含流量中的请求包和返回包等信息，并可在数据检索中体现包信息。资产梳理支持梳理的资产类型包括网络资产、数据资源、应用接口、应用服务、账号权限等；支持EXCEL等格式的文件数据，可通过模板文件的填写导入实现资产数据的导入和管理；支持流量中分析和自动发现资产，至少包括网络资产、应用服务和应用接口等。业务建模围绕业务场景开展的数据流动安全监管，将业务场景分解到数据流和数据节点进行细粒度的监控，实现基于业务规则的数据流动安全监管：基于业务的数据建模：支持通过简单的元件拖拽、连线的操作方式对其数据流转进行可视化的拓扑建模，组建包含应用服务、数据服务、账号、接口、表等；基于拓扑建模基础，生成业务大屏，对业务相关风险进行可视化展现，包括SQL注入、漏洞攻击、账号安全、数据泄露、违规操作、可疑通信等。安全监管数据全流程安全监控：数据从归集、治理、共享、交换全流程的数据安全风险监测预警，包括敏感数据访问监控预警、数据流转监控预警、基于业务场景数据安全监控预警等；数据接口安全监控：数据共享接口的健康状况进行实时监控，对接口访问进行统计，包括高密访问、越权访问、访问高延时、返回报错、404异常访问实现对异常或高风险操作的识别和预警；特权人员安全监控：对第三方运维服务人员的数据访问操作行为进行监督审核，包括特权账号的越权行为及高危操作等。安全告警支持对数据库、应用服务告警进行统一的跟踪管理；支持安全事件场景研判，展示攻击者和受害者的资产信息，可联动会话详情，点击查看不同溯源维度的会话详情，通过请求头，payload等详情字段定位攻击。支持对安全告警数据进行分类检索，从检索结果可关联资产信息并一键跳转；支持不少于1000条检索结果导出，导出字段可自定义选择，支持CSV格式；支持智能检索语句分析，支持检索语句的中英文、拼音智能联想，支持逻辑运算符与字段值的自动提示补全；检索语句支持快速保存，历史检索语句快速导入；安全合规中心支持建立安全知识库，管理维护安全相关的标准、指导性文件等，支持上传、下载和在线阅读。平台内置安全合规检查模板，支持自定义检查模板及快速下发，被检查单位按要求将检查项的证据材料上传，实现一站式的快速检查。安全运营安全驾驶舱支持对资产、安全隐患、攻击、异常行为等多维度的安全数据统计，进行整体的数据安全态势分析及可视化大屏展现。通报预警支持将各单位需要注意的风险快速下发到具体的单位，各单位可通过该模块，快速查看本单位存在的风险。工单处理支持将高安全风险、预警项快速的分配给具体的人员进行跟踪处理，实现责任到人，形成风险闭环。安全报告按周期性自动生成由各维度分析报告组成的综合报表，如日报、周报、月报、年报，且支持自动投递邮箱功能。排名考核对各部门进行统计排名，统计待办工单、滞留工单、高危告警等部门排名情况。系统管理用户管理提供三权分立的用户管理能力：配置员、用户管理员、审计员相互独立，支持根据对象属性自定义划分系统管理角色和一般用户角色，按照数据和功能分级灵活设置用户权限。数据权限支持基于用户角色的数据权限控制，不同的角色只能查询与用户角色相关联的安全告警信息和工单信息等。数字字典支持管理系统中异常记录、安全告警的所有字段和取值，每个字段均有清晰的说明；支持数据标准管理，用户可以根据实际需求，对字典进行编辑，支持手动修改、增加或删除相应的字段；数据字典支持管理系统中原始日志和告警数据中所有字段的类型、取值范围、字段说明，支持数值、字符串、枚举、IP等≥9种字段类型。日志采集探针功能指标指标要求性能规格标准1U硬件，1个console口，≥6个千兆电口，≥2T硬盘；日志处理能力≥2000EPS；≥55个日志源许可。功能扩展采用解决方案包上传对产品进行功能扩展，无需要代码开发。工作模式独立完成审计日志采集，不依赖于设备或系统自身的日志系统；审计工作不影响被审计对象的性能、稳定性或日常管理流程；审计结果存储于独立存储空间；日志收集支持Syslog、SNMPTrap、OPSec、FTP协议日志收集支持使用代理(Agent)方式提取日志并收集；支持目前主流的网络安全设备、交换设备、路由设备、操作系统、应用系统等；支持常见的虚拟机环境日志收集，包括Xen、VMWare、Hyper-V等日志分析可以以日志等级进行过滤；支持对收集到的重复的日志进行自动的聚合归并，减少日志量；支持可由用户定义和修改的日志的聚合归并逻辑规则;支持将收集到的日志转发，当原始日志设备无法设置多个日志服务器时，可以通过本系统的日志转发功能将日志转发到其他日志存储设备；支持对收集到的日志进行解析（标准化、归一化），解析规则可以根据客户要求定制扩展。支持基于内存的实时关联分析，跨设备的多事件关联分析；支持自定义条件都事件进行聚合；进行关联分析的规则可定制；支持根据资产价值、资产漏洞、针对漏洞的威胁事件三者进行威胁的自动关联分析（三维关联），所有的三维关联算法和准则以CVE、Bugtraq、OWASP公开协议和标准为基础。具备安全评估模型，评估模型基于设备故障、认证登录、攻击威胁、可用性、系统脆弱性等纬度加权平均计算总体安全指数。安全评估模型可以显示总体评分、历史评分趋势。安全评估模型各项指标可钻取具体的评分扣分事件日志查询支持B/S模式管理，支持SSL加密模式访问；支持按日期、时间、设备类型、日志类型、日志来源、威胁值、源地址、目的地址、事件类型、时间范围、操作对象、技术方式、技术动作、技术效果、攻击类型、地理城市等参数进行过滤查询；支持用任意关键字对所有事件进行高性能全文检索支持可指定多个查询条件进行组合查询支持将查询的条件存储为查询模版，方便再次使用支持极高的日志高查询性能，支持亿级的日志里根据做任意的关键字及其它的检索条件，在秒级里返回查询结果。应用性能监控性能监控：通过在目标主机上安装agent程序，支持监控目标主机的CPU利用率、内存使用率、磁盘使用情况、流量等信息，并支持设置报警阈值。支持如下应用的性能监控（Windows、Linux、Aix、FeeBSD、HP-UX/Tru64、MaxOS、SunSolaris）、数据库（mysql、oracle）、应用服务器（weblogic、tomcat）、web服务器（apache）；支持应用性能历史详情回溯查看。资产管理资产拓扑支持按照实际的用户环境进行编辑发布并可以和资产进行绑定，拓扑可以显示资产采集的事件数量被采集资产的状态等信息告警功能可预设置安全告警策略；支持数据阀值设置，超过阀值将产生告警;可以通过邮件、短信和屏幕显示进行告警；支持自动防止报警信息在短时间内大量发送(告警抑制)；具备报警合并和在一个时间段内抑制报警次数的能力。堡垒机防绕过支持对不通过堡垒机直接访问目标机器的行为进行检测并告警。综合查询及报表管理内置合规性报表1000+种；内置SOX、ISO27001、WEB安全等解决方案包内置完善的等级保护合规报表内置综合性自动化审计报告支持用户自定义报表；自定义的报表支持多个统计维度的数据集合。数据报表支持数据趋势预测功能，根据历史规律数据对未来数据的发展趋势进行预测报表支持详单数据钻取用户管理用户支持双因子认证登录，双因子认证令牌支持绑定至具体用户协同联动探针需与数据安全管控平台无缝对接，实现数据采集、分析、抽取，及联动效果数据库采集探针功能指标指标要求硬件规格标准2U硬件，硬盘冗余容量：≥2TB，≥6个千兆电口，≥4个千兆光口，双电源。处理能力审计性能：峰值SQL处理能力≥20000条/秒;；最大吞吐量≥2000Mbps，最大纯数据库流量≥200Mbps，标配日志存储数≥20亿条；审计日志检索能力≥1500万条/秒；支持的数据库实例个数：12；部署方式旁路部署模式下无须在被审计数据库系统上安装任何代理即可实现审计；可在云环境操作系统中安装软件代理，提供国家权威检测机构检测报告；协议支持支持Oracle、PostgreSQL、SQLServer、DB2、Informix、Sybase、MySQL、MariaDB、SybaseIQ等主流数据库的审计；支持GuassDB、Teradata、人大金仓（Kingbase）、达梦（DM）、南大通用数据库（Gbase）、Oscar、K-DB等国产数据库的审计；支持主流业务协议HTTP、HTTPS、Telnet、FTP的审计；支持MongoDB、Hbase、Hive、impala、ElasticSearch、HDFS、ArangoDB、Neo4j、OrientDB等非关系型数据库的审计；可以通过导入证书的方式实现MySQL5.7、MSSQL2005及以上版本采用了加密协议通讯的审计；审计功能支持数据库操作表、视图、索引、存储过程等HYPERLINK\l"_支持各种对象的SQL审计_1"各种对象的所有SQL操作审计；支持超长SQL语句（最长4M）审计。审计信息能够记录执行时长，影响行数、执行结果描述与返回结果集；支持数据库请求和返回的双向审计，特别是返回字段和结果集、执行状态、返回行数、执行时长、客户端工具、主机名等内容，支持通过返回行数控制返回结果集大小智能发现支持自动发现流量中的数据库信息，简化配置。安全审计支持审计记录中敏感数据的模糊化处理，内置常见敏感数据掩码规则，支持自定义；内置安全特征库不少于900条，如SQL注入、缓冲区溢出等；产品具有内置规则，规则类型有sql注入、账号安全、数据泄露和违规操作等，并可依据规则进行邮件告警；支持内置安全规则单独升级；审计查询支持基于数据库HYPERLINK\l"_多维度查询"访问日期、时间、源/目的IP、来源、数据库名、数据库表名、字段值、数据库登录账号、SQL关键词、数据库返回码、SQL响应时间、数据库操作类型、影响行数等条件的审计查询。统计报表系统内置HYPERLINK\l"_内置多种报表模板"多种报表模板库，报表不少于20种；报表支持严格按照HYPERLINK\l"_SOX、等级保护合规多维度"塞班斯（SOX）法案、等级保护标准要求生成多维度综合报告；支持基于表维度的报表分析；支持HYPERLINK\l"_导出格式"HTML、PDF、PNG、Word等格式的报表导出；模型分析可依据客户端工具名、数据库用户名、客户端IP、操作系统用户名、客户端主机名、数据库名、操作类型、服务器IP等配置行为模型，并可查看相应告警日志；Agent管理支持在审计管理端批量安装、卸载、重新安装审计代理；支持在审计管理端启动、停止、挂起Agent；Agent支持设置CPU亲和性、最大资源使用率限制（CPU、内存）可监控Agent的转发速率，以及Agent所在数据库服务器的CPU、内存利用率，并可设置CPU、内存利用率的上线阈值，超阈值时Agent将自动停止转发数据；Agent支持在RDP或SSH登录数据库服务器运维时，审计原始登录人员的IP地址。分布式支持在管理节点上管理数据库资产、审计规则、报表订阅、告警通知等；支持管理中心和审计节点手工同步配置信息；三层关联可提供客户端访问Web服务器的URL和应用服务器访问数据库的SQL语句关联功能；协同联动支持租户化管理，针对租户的账户只授权租户可查看租户内的数据库产生的审计日志、告警信息。探针需与数据安全管控平台无缝对接，实现数据采集、分析、抽取，及联动效果流量采集探针功能指标指标要求硬件规格标准1U硬件；单电源，硬盘容量：≥2T，接口数量：≥6个千兆电口，MTBF大于65000小时；性能规格网络层：≥500Mbps，WEB检测：HTTP最大并发数≥1万/秒；文件检测：≥1万个/24小时自定义配置管理中心和探测器之间的数据传输速率、时间、发送目录都可自定义；审计协议支持解析HTTP、FTP、SMTP、POP3、SMB、IMAP、DNS、Mysql、MSSQL、DB2、Oracle、HTTPS、SMTPS、POP3S、IMAPS等协议报文，并提供审计协议类型的端口号配置，可根据需要变更端口号文件威胁指数可展示威胁程度最高的文件样本MD5、威胁指数、传播次数，病毒检测、静态检测和动态检测结果等内容根据文件传播情况分析受感染主机、接受云端威胁情报、关键威胁行为可视化、回连主机host和完整沙箱分析报告根据云端威胁情报展示云端是否确认、传播协议类型、传播次数、云端确认结果等检测风险类别支持检测WEB攻击、恶意文件攻击、远程控制、WEB后门访问、发件人欺骗、邮件头欺骗、邮件钓鱼、邮件恶意链接、DGA域名请求、SMB远程溢出攻击、WEB行为分析、非法数据传输、弱口令、隐蔽信道通信、暴力破解、挖矿、远控工具利用、密码明文形式传播、扫描行为等风险告警黑白名单过滤支持文件白名单、发件人邮箱白名单、发件人域名白名单、黑域名白名单、黑IP白名单、域名白名单、客户端IP白名单、服务端IP白名单、WEB特征风险白名单、IDS规则白名单的配置。私网IP地理位置定义支持私网IP地址或网段的地理位置配置，在风险信息中按实际配置数据，展示对应IP地址的地理位置信息弱口令检测支持对HTTP、IMAP、SMTP、POP3、Telnet、FTP等协议的弱口令检测暴力破解检测支持SMB、SMTP、IMAP、POP3、FTP、TELNET、RADMIN、SSH、RDP等协议的暴力破解，能识别出尝试登录次数、账户信息、爆破成功与否的攻击状态。密码明文形式传播支持HTTP协议的明文密码泄露行为检测，能识别出登录页面URL、账户和明文密码端口/IP过滤支持端口过滤配置，对指定端口的网络流量不做分析检测；支持IP过滤配置，对指定IP或IP对的网络流量不做分析检测，可通过批量导入、导出等方式完成IP过滤的配置攻击地图展示可通过攻击源和目的的地理位置信息，以世界地图和中国地图的形式展示，并可切换世界地图和中国地图以直观展示攻击路径一键登录排错支持一键登录排错平台，对系统进行深度配置和排错，支持一键检测故障、配置核对、表分区检查、表检测、同步验证、信息收集等功能。沙箱检测技术支持对文件采用沙箱检测，对存在恶意行为的文件输出完整的二进制动态分析报告。云端威胁情报支持自动从APT云端获取最新威胁情报远程控制检测支持根据威胁情报、DGA域名请求、IDS规则、用户配置数据，发现被远程控制的内部主机挖矿行为检测可发现利用失陷主机挖矿的行为失陷主机分析支持以失陷主机维度进行分析，分析内容包括失陷主机IP、MAC地址、攻击类型、访问次数、攻击开始时间、攻击结束时间协同联动探针需实时同步数据到数据安全管控平台，实现数据安全分析、监管运维审计系统要求项具体要求参数硬件及性能配置软硬件一体化1U产品，至少配备6个千兆自适应电口，，磁盘空间不少于1T；授权资产≥100个；软件功能无限制；运维用户无限制；用户管理要求用户角色支持用户多角色划分功能，如系统管理员、部门管理员、运维员、审计管理员、密码管理员等，对各类角色需要进行细粒度的权限管理；用户管理和用户策略支持用户的批量导入/导出，按用户类型等分组方式；支持用户安全策略功能，如密码锁定次数、密码有效期、密码复杂度、用户有效期、用户登录时间限制、用户登录IP范围等；部门资源管理支持按部门组织架构（至少5个层级的部门）管理用户数据、资产数据、授权数据、审计数据，且数据相互隔离；可按部门层级分别设定各部门不同权限的管理员；身份认证要求多种双因子同时使用基于不同的用户设置不同的双因子认证模式，如user1用动态令牌、user2用USBkey、user3手机APP动态口令认证HYPERLINK\l"_按部门管理用户、资产和策略"；设备管理要求支持的协议和应用支持常用运维协议：SSH、TELNET、RDP、VNC、FTP、SFTP、rlogin；可通过应用发布方式进行协议扩展；密码存储支持采用国密加密算法进行核心敏感数据加密存储；主流数据库运维管理支持DB2、oracle、mysql、sqlserver主流协议代理运维，可直接调用本地windows系统客户端工具自动登录、无需应用发布前置机；运维方式要求多种浏览器登录至少支持使用IE、谷歌、火狐三种浏览器打开堡垒机的Web页面直接调用mstsc、VNC、Xshell、SecureCRT、Putty、winscp、flashFXP、FileZilla、SecureFX等运维客户端工具；H5运维方式：支持ssh、telnet、rlogin、rdp、vnc协议的H5运维，无需本地运维客户端工具；客户端工具访问支持Windows/Mac操作系统下C/S架构的堡垒机专用客户端，可通过此专用客户端登录堡垒机，对堡垒机进行简单的管理及运维资产操作；客户端工具登录客户端访问方式：支持使用本地的mstsc/Xshell/SecureCRT/Putty等客户端工具登录堡垒机访问图形或字符设备，视图界面一致性、搜索能力；审计要求运维审计支持对运维操作会话在线监控、实时阻断、日志回放、起止时间、来源用户、来源IP、目标设备、协议/应用类型、命令记录、操作内容的详细行为日志；协同审计支持和本项目中日志审计系行联动，对绕过堡垒机而登录主机的行为，进行实时告警，并且进行日志关联性分析；RDP文字记录支持对RDP屏幕文字内容、标题窗口、键盘输入的记录和搜索定位；安全策略要求运维规则策略支持通过基于时间、IP/IP段、用户/用户组、设备/设备组、设备账号、命令关键字、控制动作、黑白名单等组合访问控制策略，授权用户可访问的目标设备；二次审批启用登录审核功能，运维人员须向管理员申请登录，允许之后才可登录；报表统计要求运维报表格式内置丰富的报表统计模板，可点击柱状图、曲线图进行数据钻取分析，且支持PDF、doc、html格式导出；运维报表内容内置根据运维人员和组生成各种维度的分析报表，维度包含总为运维次数、时长、活