数据安全设备及服务需求

数据安全设备及服务需求序号名称数量单位（功能或者目标）、质量、安全、技术规格、物理特性等要求1数据安全系统1套一、数据库审计一体机设备：1.性能要求：支持的数据库实例个数≥50，峰值SQL处理能力≥40000条/秒，硬件吞吐量≥3Gbps，双向审计数据库流量≥270Mbps，标配日志存储数≥20亿条，审计日志检索能力≥1500万条/秒。2.硬件要求：2U机架式，内置交流双电源，内存≥16*2GB，硬盘≥16TB（4T*4），支持RAID1，支持RAID5，配备至少2个千兆电口管理口（admin口1个、HA口1个），配至少4个千兆电口和4个千兆光口。3.部署方式：3.1旁路部署模式下无须在被审计数据库系统上安装任何代理，通过镜像流量即可实现审计；3.2在目标数据库安装Agent解决云环境、虚拟化环境内部流量无法镜像场景下数据库的审计；3.3支持分布式部署，管理中心可实现统一配置、一键批量升级所有节点、统一查询；3.4支持通过API方式与腾讯云数据库审计日志直接对接，无需安装任何Agent即可审计；3.5支持IPv4/IPv6双栈审计；3.6支持在阿里云RDS数据库中采集日志，无需在应用侧安装agent即可实现审计：支持通过SLS日志服务拉取原始日志。4.协议支持：4.1支持Oracle（包括21C及其他版本）、Clickhouse、MySQL、SQLServer、SybaseASE、DB2、Informix、Cache（包括2021及其他版本）、PostgreSQL（14及其他版本）、Vastbase、Teradata、MariaDB、Hana、LibrA、SybaseIQ、TiDB、Vertica、PolarDB、PolarDB-X、Percona-MySQL、Percona-MongoDB等主流数据库的审计；4.2支持达梦（DM8及其他版本）、南大通用(GBase）、高斯（GaussDB）、人大金仓（KingbaseV8、V7及其他版本）、K-DB、神舟通用（Oscar）、OceanBase、瀚高（HighGoDB)、天翼云数据库Teledb-MySQL、天翼云数据库Teledb-PostgreSQL、优炫（UXDB）等国产数据库的审计；4.3支持Graphbase、ArangoDB、Neo4j、OrientDB等数据库的审计；TBase、TDSQL-C（MySQL版及PostgreSQL版）、MAXCOMPUTE等协议的审计。5.审计功能：5.1支持数据库操作表、视图、索引、存储过程等各种对象的所有SQL操作审计；5.2支持数据库请求和返回的双向审计，特别是返回结果集和返回字段、执行状态、影响行数、执行时长、客户端工具、主机名等内容，支持通过设置保存行数、最大保存长度来控制返回结果集的大小；5.3支持在双向审计场景下根据以往审计命中情况设置结果集存储策略，支持设置保存行数与最大保存长度；5.4支持超长SQL语句（最长4M）审计。6.安全审计：6.1支持安全规则遍历匹配，针对某个操作，将全部安全规则进行匹配，并返回所有匹配的告警结果；6.2产品具有内置规则，规则类型有SQL注入、账号安全、数据泄露和违规操作等，并可依据规则进行邮件告警；6.3内置安全规则不少于900条，如SQL注入、缓冲区溢出等。7.查询分析：7.1支持在审计日志中一键添加过滤规则，支持在告警规则中一键添加信任规则或规则白名单；7.2设置日志检索条件时，检索条件可根据历史信息自动弹出，即输入检索条件时支持智能联想；7.3支持告警分析功能，告警分析支持按照“客户端IP+数据库账号”的组合对SQL模板维度进行排行，支持在页面一键添加到白名单、一键添加到信任规则；7.4支持日志查询时分析筛选能力，根据查询条件自动分析出存在的数据库账号、客户端IP、客户端工具、操作系统用户名、服务端IP、操作类型、数据库名/实例名、表名、主机名、执行状态、执行时长、影响行数等，并支持在以上各个维度中灵活筛选分析。8.管理运维：8.1支持在日志页面一键取证；8.2支持区分历史会话和在线会话；8.3可监控Agent的转发速率，以及Agent所在数据库服务器的CPU、内存利用率，并可设置CPU、内存利用率的上限阈值，超阈值时Agent将自动停止转发数据。二、数据安全配套服务：（一）数据安全风险评估服务：1.期限及频率：1次，至少1人驻场实施。2.服务范围：7个关键业务系统（科研系统、人事系统、教务系统、研究生管理系统、OA系统、财务系统、人脸库系统）。3.服务内容：面向7个关键业务系统（科研系统、人事系统、教务系统、研究生管理系统、OA系统、财务系统、人脸库系统）中的“数据”为对象，协助学校对这些业务系统中的数据自身、数据处理活动、数据承载环境等进行风险识别、风险分析和风险评价的整个过程。通过对涉及数据资产的数据库、服务器、文档等，通过问卷调研、人员访谈、技术检测、旁站检查等方式对相关信息进行调查分析，识别数据资产、数据处理活动、数据安全技术措施、数据安全管理制度等，通过“定性+定量”分析排查出各类数据安全事件发生的可能性以及其对国家安全、公共利益、单位组织、个人权益等造成影响的程度、以及现有的数据安全控制措施和有效性等，对业务系统数据所面临的风险进行综合评估，形成数据安全风险清单和应对措施，输出风险评估报告，以指导学校有效地开展数据安全规划和建设工作。根据数据安全风险评估中对数据安全管理制度的差距分析，对数据安全管理制度进行优化和补充。4.工具要求：为保障数据安全检查服务质量和效率，需提供数据安全风险评估工具，要求如下：4.1支持针对数据库每张表每个字段的内容进行敏感数据探测；敏感信息可以自定义添加，可以了解数据库系统有哪些敏感数据，存放的具体位置，便于在信息保护和审计中重点关注；4.2数据安全检查须满足国家法律法规要求，服务过程提供专业工具箱进行云计算安全、大数据安全的合规性检查；4.3数据安全检查须满足国家法律法规要求；5.服务交付：《科研系统数据安全风险评估报告》、《人事系统数据安全风险评估报告》、《教务系统数据安全风险评估报告》、《研究生管理系统数据安全风险评估报告》、《OA系统数据安全风险评估报告》、《财务系统数据安全风险评估报告》、《人脸库系统数据安全风险评估报告》，以及数据风险评估相应的管理制度。（二）数据安全分类分级服务：1.期限及频率：1次，至少1人驻场实施。2.服务范围：7个关键业务系统共约2万字段量（科研系统、人事系统、教务系统、研究生管理系统、OA系统、财务系统、人脸库系统）。3.服务内容：服务提供支持接入安全大模型的服务工具+人工提供分类分级服务，参考采购人所在行业分类分级标准对服务范围内核心数据库的数据进行分类管理，通过识别7个关键业务系统（约2万字段量）（科研系统、人事系统、教务系统、研究生管理系统、OA系统、财务系统、人脸库系统）所涉及的数据资产情况、数据承载环境、数据流转情况、数据质量情况和数据管理情况等，并根据敏感程度划分敏感等级，生成分类分级目录清单，帮助用户全面清晰地厘清数据资产、确定数据重要性以及敏感程度，对数据资产实现规范化管理。4.工具要求：4.1服务实施标准：分类分级服务过程中，需参考以下标准开展：《GB/T21062-2007政务信息资源目录体系》；《TC260-PG-20212A网络安全标准实践指南—网络数据分类分级指引》；《GB/T43697-2024数据安全技术数据分类分级规则》；以及其他涉及的“数据分类分级”行业标准。4.2技术工具要求：（1）AI分类分级模型推理速度≥30字符/s，支持打字机模式输出，在模拟真实场景的输入和输出情况下，同时处理的请求数≥20，≥5万个字上下文的总结；（2）支持PEFT（Parameter-EfficientFine-Tuning）参数微调，例如LoRa（Low-RankAdaption）等任务训练方式；（3）支持对于缺少字段中文注释和表注释的字段内容，利用大模型的核心推理能力，进行字段内容推测和分类分级打标；（4）支持云端和本地化两种分类分级模式。5.服务人员要求：5.1服务过程中至少具备1名数据安全专家和1名数据安全工程师；5.2数据安全专家需具备3年以上相关工作经验；5.3数据安全工程师需具备1年以上相关工作经验。6.服务质量承诺：6.1供应商实施过程中应严格遵守数据安全法、个人信息保护法等国家或行业法律法规要求开展服务。6.2供应商须对本次分类分级实施过程的数据和结果数据严格保密，未经采购人授权，任何机构和个人不得泄露给其它单位和个人，同时要求供应商在此次项目结束之后将所有和本项目有关的数据和文档移交采购人后全部销毁。7.服务验收要求：服务完成后，输出对应的服务交付物，需经过采购人邀请的外部单位专家进行交付成果评审合格后，方可开展验收工作。8.输出物：《数据安全治理项目实施方案》、《数据安全分类分级指南（含分类分级框架）》、《科研系统数据安全分类分级报告》、《人事系统数据安全分类分级报告》、《教务系统数据安全分类分级报告》、《研究生管理系统数据安全分类分级报告》、《OA系统数据安全分类分级报告》、《财务系统数据安全分类分级报告》、《人脸库系统数据安全分类分级报告》，以及数据分级分类相应的管理制度。（三）数据安全意识培训服务：1.期限及频率：数据安全意识培训分≥4次完成培训服务、数据安全技术培训分≥2次完成/培训≥2天完成培训服务、技能培训服务培训时长≥5天。2.服务范围：师生。3.服务内容：3.1针对数据安全意识培训服务；3.2针对数据安全技术培训服务；3.3针对技能培训服务。4.工具要求：为保障数据安全培训的服务质量和效率，需提供数据安全专业的培训工具，要求如下：4.1靶场支持安全资源按照知识、漏洞、工具、镜像、场景的分类方式进行统一管理，支持自定义创建和上传安全资源；4.2平台需内置不少于3500道网络安全方向题目资源，可针对不同水平及学习方向的学员进行知识技能的考核；4.3平台支持开展培训授课，并实时统计