一体化安全协同监测督导服务

一体化安全协同监测督导服务解决方案TOC\o"1-4"\h\z\u（一）项目概况 3（二）项目总体要求 3（三）服务模式要求 3（四）服务对象 3（五）日常安全监测督导服务要求 31、日常安全监测督导服务一览表 32、驻场人工服务 53、安全能力服务 21（六）专项安全监测督导服务要求 491、专项安全服务一览表 492、专项安全服务内容 50（七）其他要求 601、国产化适配要求 602、数据接口安全要求 603、安全能力服务扩容要求 614、安全能力服务实施深化要求 615、服务安全要求 616、进度控制要求 617、质量控制要求 628、保密要求 639、沟通要求 63（一）项目概况本项目是落实《网络安全法》《数据安全法》《个人信息保护法》《国务院关于加强数字政府建设的指导意见》（国发﹝2022﹞14号）《互联网政务应用安全管理规定》等法律法规、政策文件要求，开展一体化安全协同监测督导工作。（二）项目总体要求建立一体化安全协同监测督导服务体系，完善网络和数据安全监测督导体系和工作机制。（三）服务模式要求应根据行业内技术发展情况，提供先进的网络与数据安全的安全分析、安全运营、威胁情报等技术，并提供符合本服务规范及政策要求的服务。因技术、需求变化等需增减、优化、调整的，由提供费用明细表，报经采购人同意后方能实施。（四）服务对象本项目安全监测督导服务对象主要是围绕数字XX“1361”整体架构，以一体化数字资源系统、城市感知系统、公共数据资源管理系统、能力组件管理系统、渝快政、渝快办、三级数字化城市运行和治理中心、乡镇（街道）一体化治理智治平台为核心，覆盖数字XX“1361”的应用系统、云网进行统一的安全监测督导运营工作。（五）日常安全监测督导服务要求本项目坚持以网络安全与数据安全并重，以一体化安全协同监测督导为总体目标，采购驻场人工服务与安全能力服务2个一级服务体系。驻场人工服务包括8个二级网络安全监测督导服务和7个二级数据安全监测督导服务；安全能力服务包含安全数据接入、安全数据管理、网络安全分析、数据安全分析、监测督导运营、基于政务云网环境的服务供应能力等6项内容；详细内容见本节日常安全监测督导服务一览表。1、日常安全监测督导服务一览表服务大类服务分类服务名称驻场人工服务网络安全日常监测督导服务资产发现与归集服务态势分析与展示服务漏洞发现与跟踪服务告警优化与管理服务威胁监测与预警服务网络安全事件分析溯源服务网络安全事件应急支撑服务网络安全合规检查服务数据安全日常监测督导服务数据资产发现与归集服务场景梳理与风险分析服务数据安全风险监测预警服务数据安全告警策略优化服务数据安全事件分析溯源服务数据安全事件应急支撑服务数据安全监督检查服务安全能力服务安全数据接入能力安全日志接入出口流量接入API接口信息敏感数据信息数据资产信息安全数据管理能力数据采集数据治理数据管理数据存储网络安全分析能力资产匹配与规则配置脆弱性分类验证威胁情报感知风险跟踪分析告警归并与风险动态关联网络攻击场景分类拆解评估指标分析量化安全态势量化数据安全分析能力数据资产归集与统计安全模型深度分析分析引擎告警聚合与上报安全评估统计分析重点场景监测安全指标统计分析AI安全智能体分析能力告警研判智能体敏感信息识别智能体事件调查智能体监测督导运营能力资产管理定级备案态势感知漏洞管理告警管理合规检查应急监管安全评估重点保障通报处置服务报告消息通知基于政务云网环境的服务供应能力计算存储网络资源机柜资源系统资源2、驻场人工服务2.1网络安全2.1.1资产发现与归集服务（1）服务要求资产发现与管理服务拟针对安全监测督导对象提供信息资产的安全监测督导。安全服务人员须对安全监测督导对象的相关业务系统进行调研和梳理，明确信息资产的核心要素（核心要素包括但不限于：资产所属业务系统、资产类型、名称、重要性程度、IP地址、MAC地址，运行状态等信息）；采用技术手段，对安全监测督导对象的信息资产进行统一登记和梳理；建立信息资产安全台账，对已上报或已发现的信息资产进行信息登记、更新与核查，确保资产与台账的一致性；建立信息资产的安全监测督导工作标准流程，针对未及时进行信息资产报备或登记的安全监测督导对象进行信息资产通报管理，督促相关问题及时整改并定期跟踪整改实施情况。（2）服务内容1）采用手动录入、日志分析等多种方式来开展资产收集发现，并对收集到的信息进行整理，整理资产的相关信息，包括但不限于IP地址、MAC地址、开放端口、资产类型、运行状态、配置信息、所属业务部门、资产责任人等；2）明确收集的资产类别，包括硬件设备（服务器、网络设备、终端设备等）、软件资源（应用系统、数据库等）、虚拟化资源（云主机、容器等）、数据资产（数据库表等）以及其他无形资产（如IP地址、域名等）；3）对收集到的资产进行合理分类，对来自不同业务系统的资产分配合理的标签，便于资产的合规性管理；4）依照资产管理机制并对资产的变更及时上报更新，同时通过资产发现等技术手段，集合日常安全检查对资产变更情况进行监测及验证，及时掌握资产变更情况；5）对资产的分类情况，新增情况、分布情况等进行统计，记录资产变化过程；设计并执行资产增加、变更、报废等全生命周期的管理流程，确保任何资产变动都能及时反映在资产信息库中，充分利用技术手段进行定期资产发现测试，及时发现未知资产或未知资产变更，及时更新资产台账；6）逐项核查资产信息，包括资产的名称、型号、数量、配置、状态等。验证资产信息的准确性和完整性，与业务系统和数据库中的数据进行比对和确认；7）对于服务过程中发现的问题和错误，进行记录和分类，制定相应的处理措施和计划。及时与相关部门和人员进行沟通和协调，确保问题得到及时解决和纠正，对差异性进行记录；8）根据资产核查的结果和反馈，不断完善资产信息归集和管理的流程和制度。定期对资产信息进行复查和更新，确保资产信息的准确性和时效性。定期对资产信息归集工作的效果进行评估和审计，根据实际情况调整改进策略，确保资产信息的准确性和完整性；9）资产在废弃不用时，及时跟进资产废止流程更新资产信息，同时关注资产相关的数据资产情况，避免废止后数据资产泄露。（3）服务交付物1）《信息资产安全台账》2）《信息资产安全归集报告》（4）交付标准1）资产发现与资产运营服务过程需满足本服务内容表述的相关要求；2）《信息资产安全台账》信息需保持即时动态更新，能够即时的反映运营服务期内最新的资产情况，同时需保证台账的真实性、准确性和完整性，禁止出现因资产台账缺失或错误导致防护缺失或不足，进而被第三方途径通报、利用，甚至出现相关安全问题的情况；3）《信息资产安全归集台账》《信息资产安全归集报告》能够按照采购人要求即时进行导出，即时输出以支撑相关检查或备案；4）所有交付物需保持每月至少1次的报告输出和备案。2.1.2态势分析与展示服务（1）服务要求态势分析与展示服务通过安全服务人员对安全监测督导对象的相关业务系统进行调研和梳理，建立适宜目前网络安全整体形势的成熟的网络安全态势指标体系，通过对安全监测督导对象的相关流量和安全日志等数据进行实时的研判和分析，并基于成熟的安全分析模型和适宜的安全态势指标体系得到态势分析结果和指标趋势，提前预警可能存在的安全风险，实现安全监测督导对象整体安全态势的提前感知、预测和威胁防范，为安全团队提供及时的决策依据，并优化安全防护和响应措施；安全服务人员须依照目前的安全态势指标体系构建安全态势关键指标的可视化展示页面，将安全态势的关键指标分析结果采用图表、图例等方式，借助态势大屏等方式直观地展示出来，便于管理者和安全团队对整体的安全态势情况迅速地了解和判断；安全服务人员须结合当前网络的整体安全环境，定期评估安全态势指标体系的适用性和准确性，优化指标的计算分析方式和安全阈值等，形成态势指标评估与优化报告，确保安全指标能够有效地反映真实的安全态势情况。（2）服务内容1）指标体系建立与优化：建立并定期审查适宜当前安全形势的网络安全态势指标体系，评估体系中安全指标的相关性和有效性。根据需求和目标，筛选出关键和有意义的指标；2）收集数据源：确定需要收集的数据源，包括安全设备、系统日志、攻击检测系统等。确保数据源的完整性和准确性，并建立数据采集机制；3）设定阈值和警报机制：根据指标的评估结果和实际情况，设定合适的阈值和警报机制。当指标超过预设的阈值时，能够及时触发相应的警报和响应措施。4）数据分析和可视化：通过对收集的数据进行分析和处理，生成可视化的安全态势指标界面。采用态势大屏等方式，直观地展示当前的安全状况和趋势，便于管理者和安全团队迅速了解和判断；5）持续监测和更新：持续监测各项指标，并及时更新指标数据。随着安全威胁的变化，适时调整和改进安全态势指标体系；6）风险评估和预警：基于分析结果和指标趋势，进行风险评估，并提前预警可能存在的安全风险。为安全团队提供及时的决策依据，以优化安全防护和响应措施。（3）服务交付物1）《网络安全态势指标体系》2）《态势指标评估与优化报告》（4）交付标准1）态势指标评估与优化服务过程需满足本服务内容表述的相关要求；2）《网络安全态势指标体系》《态势指标评估与优化报告》能够按照采购人要求进行提供；3）《网络安全态势指标体系》《态势指标评估与优化报告》需保持每季度至少1次的报告输出和备案。2.1.3漏洞发现与跟踪服务（1）服务要求漏洞发现与处置督导服务通过安全服务人员对安全监测督导对象的相关业务系统进行调研和梳理，制定合适的漏洞扫描工作方案，通过在电子政务外网或互联网上，定期对暴露在外网上的资产进行漏洞扫描，对漏洞的扫描结果进行分析和评估，确定漏洞的风险程度和优先级，结合实际情况给出漏洞处置建议，形成漏洞扫描整改处置清单；安全服务人员向安全监测督导对象相关责任单位发送漏洞扫描整改处置清单，提醒并督促处理漏洞、修补漏洞、反馈处置整改结果并对漏洞进行处置验证；安全服务人员依据外网扫描结果建立漏洞信息台账，记录和维护已发现的漏洞详细信息，包括漏洞描述、漏洞等级、影响分析、处置措施建议等；安全服务人员依据阶段性的漏洞发现与处置结果，定期输出漏洞发现与处置报告，并验证修复结果。（2）服务内容1）制定漏洞扫描工作计划，通过定期漏洞扫描、安全评估等手段，检测各业务系统和应用程序中的潜在漏洞；2）建立漏洞管理台账，通过管理和技术手段，对安全漏洞和问题进行闭环跟踪维护，确保所有风险可知、可控；3）建立漏洞管理流程，以确保所发现的漏洞都能够得到有效的处理，从而提高整体网络安全水平；4）根据漏洞的危害程度和影响范围，对漏洞进行人工审核并做分级，如高、中、低级别；5）建立漏洞信息库，记录和维护已发现的漏洞详细信息，包括漏洞描述、修复建议等；4）向各业务系统相关责任人发送漏洞扫描报告，提醒并督促处理漏洞、修补漏洞；6）定期向管理小组和相关部门通报漏洞情况，提供决策支持和风险评估，审核各监测督导服务对象制定的漏洞扫描计划，确保计划符合安全策略和标准。确定扫描的频率、范围、目标以及使用的扫描工具和技术；7）督促各监测督导服务对象按时开展漏洞扫描工作，确保计划的执行不延误。监控扫描过程，确保扫描的全面性和准确性。监控漏洞修复工作的进展，确保漏洞得到及时修复。跟踪修复后的系统状态，验证修复效果，确保漏洞的修复；8）根据扫描结果和修复经验，给出安全加固措施建议。提供针对性的安全培训和技术支持，帮助业务系统提升安全防护能力。（3）服务交付物1）《漏洞信息台账》2）《漏洞发现与跟踪处置报告》（4）交付标准1）漏洞发现与处置服务过程需满足本服务内容表述的相关要求；2）《漏洞信息台账》需保持即时动态更新，能够即时的反映运营服务周期内最新的漏洞发现和处置情况；3）《漏洞信息台账》需具备真实性、准确性和完整性，需具备真实性、准确性和完整性，禁止出现因漏洞台账缺失或错误导致防护缺失或不足，进而被第三方途径通报、利用，甚至出现相关安全问题的情况；4）《漏洞信息台账》能够按照市采购人要求即时进行导出，即时输出以支撑相关检查或备案，《漏洞发现与跟踪处置报告》按照采购人要求进行提供；5）《漏洞信息台账》需保持每月至少1次的报告输出和备案，《漏洞发现与跟踪处置报告》需保持每周至少1次的报告输出和备案。2.1.4告警优化与管理服务（1）服务要求告警策略优化与管理服务通过安全服务人员对安全监测督导对象的相关业务系统进行调研和梳理，结合系统实际情况建立安全监测督导对象的告警处置验证机制，优化告警策略，提高对安全事件的感知和处置能力，及时防范和应对潜在的网络安全风险；安全服务人员通过集中收集各种安全事件的告警信息，对告警信息进行及时分析和研判，识别真实威胁和误报；安全服务人员须建立适宜的标准告警响应流程，对高优先级告警进行快速响应和处理，记录和跟踪告警事件的处理过程和结果；安全服务人员须定期检查和优化告警规则，确保其及时性和有效性；安全服务人员须对告警处置结果进行复核验证；安全服务人员须依据阶段性的告警分析、优化和处置结果，定期输出告警优化与处置报告。（2）服务内容1）对集中收集到的安全事件告警信息采取人工分析的方式进行分析和分类，判断告警信息是否为真实威胁，如果告警信息为误报，则针对相应的误报告警规则进行优化；2）根据真实情况，建立应急响应流程，确保对于高优先级的告警进行快速响应和处理；3）对告警事件的处理过程和处理结果进行详细的记录，确保文档的准确性和可追溯性，以便后续查阅和审计；4）定期对告警规则进行检查分析，对误报的告警信息优化，确保告警规则的有效性和及时性；5）与业务部门和服务提供商进行沟通协作，共同制定改进告警优化措施，提高威胁的处置能力；6）对告警处置结果进行复核验证，并督促服务供应商完善整改措施，持续优化告警处置流程和规则。（3）服务交付物1）《告警规则及说明》2）《告警规则优化报告》（4）交付标准1）告警优化与管理服务过程需满足本服务内容表述的相关要求；2）告警处置验证机制需保证告警发现和处置的即时性，禁止出现有关安全事件无告警的情况或告警处置响应时间不足导致安全事件发生的情况；3）《告警规则及说明》《告警规则优化报告》能够按照采购人要求进行提供；4）《告警规则及说明》《告警规则优化报告》需保持每月至少1次的报告输出和备案。2.1.5威胁监测与预警服务（1）服务要求威胁监测与预警服务通过安全服务人员利用威胁情报刺探、网络威胁情报分析模块、暗网资源探知等技术手段，实时监测国内外网络上的安全威胁，持续跟踪并及时获取突发高危漏洞信息或其他重大安全风险信息，评估其潜在的影响，及时提出应对策略方案并通知各安全监测督导对象业务系统采取相应的防护措施，确保系统的整体安全；安全服务人员须依据整体安全态势建立可集中管理、存储和更新威胁情报数据的数据库，持续跟踪相关情报内容发展并对威胁情报数据库进行优化和完善，包括常见威胁类型、攻击方式等信息；安全服务人员须整理、分类和归档各类可信赖的威胁资源，包括恶意软件样本、攻击工具等信息，在发现相关威胁时，利用资源库进行威胁分析和预警，追踪威胁的潜在来源和路径，并及时采取相应措施进行风险规避；安全服务人员须依据阶段性的威胁监测结果，定期输出威胁监测与处置报告。（2）服务内容1）对收集到的威胁情报进行分类和分级，根据威胁的严重性和优先级对其进行排序；2）建立一个集中管理、存储和更新威胁情报库，通过自动化和人工的方式进行收集，对收集到的情报进行人工分析，确保信息的准确性和完整性；3）根据威胁类型、攻击方式等对情报进行分类，并添加相应的标签，便于后续查询。根据新的威胁动态和情报源的变化，定期更新情报库；4）整理、分类和归档各类可信赖的威胁资源，包括恶意软件样本、攻击工具等信息，以便进行威胁分析和溯源；5）通过使用威胁情报工具、网络威胁情报分析模块等技术手段，实时监测网络上的安全威胁，及时发现并通知各业务系统采取相应的防护措施；6）通过分析现有威胁趋势和漏洞情况，结合外部情报和业内信息，预测未来可能出现的安全威胁，并制定相应的应对策略。（3）服务交付物《威胁监测与预警报告》（4）交付标准1）威胁监测与预警服务过程需满足本服务内容表述的相关要求；2）保持威胁情报数据库的完整性和即时性，确保能够提前感知到相关安全威胁，禁止出现攻击发生却没有相关情报或者发现相关威胁却没有足够的反应时间的情况；3）《威胁监测与预警报告》能够按照采购人要求进行提供；4）《威胁监测与预警报告》需保持每周至少1次的报告输出和备案。2.1.6网络安全事件分析溯源服务（1）服务要求网络安全事件分析溯源服务通过安全服务人员基于最新的安全事件分析模型和安全算法，针对安全监测督导对象各业务系统已发生或正在发生的网络安全事件进行即时分析，明确安全事件的核心要素，包括事件的攻击来源、攻击目标、攻击手段等；安全服务人员须根据事件分析结果，给出相应安全加固措施的指导建议，包括阻断攻击途径、修复漏洞、优化安全防护策略等；安全服务人员须评估安全事件对安全监测督导对象各业务系统的影响，研判其威胁程度和潜在损害，包括系统影响、数据影响、业务影响等；安全服务人员须跟踪事件的处置过程，协调各部门配合展开调查，确定事件范围和影响程度，加快恢复安全监测督导对象业务的正常运行；安全服务人员须依据安全事件分析与溯源结果，输出网络安全事件分析与溯源报告；安全服务人员须整理各业务系统网络安全事件突出类型，通报各相关责任单位，改进防护措施。（2）服务内容1）对收集到的安全事件和威胁情报进行深入分析，了解攻击者的行为模式和手段，推断可能的目标和动机，提供决策支持和防护建议；2）结合威胁情报和恶意行为分析结果，准确识别出针对组织的威胁和攻击。评估威胁的严重性、影响范围、潜在风险等信息，为制定处置策略提供依据；3）在发生安全事件时，利用资源库进行溯源调查，追踪攻击者的身份和行动路径；4）持续跟踪并及时获取突发高危漏洞信息或其他重大安全风险信息，并评估影响，及时提出应对方案并通知各业务系统采取响应的防护措施，防止安全事件的发生；（3）服务交付物1）《网络安全事件分析溯源报告》2）《网络安全事件类型梳理及防护建议》（4）交付标准1）网络安全事件分析溯源服务过程需满足本服务内容表述的相关要求；2）网络安全事件分析溯源服务需保证服务周期内每个自然年总体上具有95%以上的分析溯源成功率；3）服务交付物能够按照采购人要求进行提供；4）服务交付物需保持每月至少1次的报告输出和备案。2.1.7网络安全事件应急支撑服务（1）服务要求网络安全事件应急支撑服务的主要内容为以督导方的视角，针对已经发生或可能发生的安全事件对安全监测督导对象实时情况进行安全监控、分析、协调和处理等。安全服务人员须制定标准的网络安全应急支撑的工作流程，在发生重大网络安全事件时，须协同各安全监测督导对象，提供应急响应过程中的技术支撑、流程支撑以及资源协调支撑，以达到保护资产安全的同时实现对整个过程在合规性、规范化的监督管控的目的。网络安全应急支撑服务主要是为了让安全监测督导对象在遇到突发网络安全事件时做到有序应对、妥善处理，实现督导方与安全监测督导对象双边的协同协作，全面提高安全监测督导对象的应急响应能力和水平，落实督导方对应急响应过程的支撑义务。（2）服务内容1）定期对应急响应计划进行演练和更新，确保计划的时效性和可操作性；2）通过安全监控系统、日志分析等手段，持续监测和检测网络和系统中的异常活动和潜在风险。及时发现安全事件和威胁，确保安全事件的快速响应；3）对发生的安全事件进行快速响应和详细分析。确认事件的性质和严重程度，采取相应措施进行应急处理，减少损失；4）在应急响应过程中，及时收集相关证据和取证信息，确保证据的完整性和可靠性，为后续溯源和法律追溯提供支持；5）针对发现的安全威胁，采取恰当措施进行威胁消除和系统修复。包括隔离受感染设备、修复漏洞和弱点、清除恶意代码等；6）在应急响应过程中，与相关部门、合作伙伴和当地管理机构保持及时沟通和协调。共同应对和解决安全事件，确保信息的及时传递和共享；7）对应急响应过程进行总结和评估，发现问题和不足。制定改进措施，优化应急响应计划和流程，提高应对能力和效率；8）定期对安全应急演练工作进行监督和评估，确保其符合组织的安全策略和法规要求。根据监督和评估结果，及时调整和优化应急演练工作方案，提高整体应急响应能力和安全事件处置效率。（3）服务交付物《网络安全事件应急支撑报告》（4）交付标准1）网络安全事件应急支撑服务过程需满足本服务内容表述的相关要求；2）《网络安全事件应急支撑报告》能够按照采购人要求进行提供；3）《网络安全事件应急支撑报告》需保持每月至少1次的报告输出和备案。2.1.8网络安全合规检查服务（1）服务要求网络安全合规检查服务通过安全服务人员依照安全监测督导对象的实际情况，制定网络安全合规检查方案，审核安全监测督导对象各业务系统制定的漏洞扫描、基线核查、设备巡检、风险评估、应急演练、供应链安全管控等内容的工作任务和计划，督促安全监测督导对象各业务系统按时开展漏洞扫描、基线核查、设备巡检、风险评估、应急演练、供应链安全管控等安全工作，及时发现并整改安全工作中发现的问题，及时反馈相关工作的总结或报告等文档；安全服务人员须制定网络安全合规检查检查方案，方案须明确网络安全合规检查的范围和内容，依据系统的重要程度和安全需求，设立对应的网络安全合规检查周期，例如每季度进行抽查；安全服务人员须依据网络安全检查结果，通知安全监测督导对象责任单位及时处理系统存在的不合规的安全问题，制定问题修复计划，跟踪问题处理进展，确保相关问题及时得到解决和修复；安全服务人员须根据网络安全合规检查结果，编制网络安全合规检查报告，报告中须包括网络安全合规检查情况总体概述、发现的问题、处理情况、改进建议等内容。（2）服务内容1）制定对各业务系统安全检查计划和内容的审核计划，督促各业务定期开展安全检查工作；并及时反馈安全检查工作相关的总结、报告、问题整改结果文档；2）审核各业务系统对操作系统、数据库、中间件、网络设备、虚拟化设备等开展基线核查工作情况。检测内容主要有账户口令、认证授权、日志审计、远程管理、系统服务、协议安全和其它安全等，可以通过工具和人工结合的方式开展；3）审核各业务系统制定的漏洞扫描计划，确保计划符合安全策略和标准。确定扫描的频率、范围、目标以及使用的扫描工具和技术；4）审核各业务系统对操作系统、数据库、中间件、网络设备、虚拟化设备等开展基线核查工作情况。检测内容主要有账户口令、认证授权、日志审计、远程管理、系统服务、协议安全和其它安全等，可以通过工具和人工结合的方式开展；5）依据检查标准，对检查对象进行综合性的安全风险与防护措施分析，包括不限于网络安全域划分与防护措施合理性、网络行为安全分析、失陷检测等方面，并根据检查结果给出安全建议。（3）服务交付物1）《网络安全合规检查方案》2）《网络安全合规检查报告》（4）交付标准1）网络安全监测督导检查服务过程需满足本服务内容表述的相关要求；2）《网络安全合规检查方案》和《网络安全合规检查报告》能够按照采购人要求进行提供；3）《网络安全合规检查方案》和《网络安全合规检查报告》需保持每季度至少1次的报告输出和备案。2.2数据安全2.2.1数据资产发现与归集服务（1）服务要求由日常服务团队借助数据资产测绘工具、API风险监测设备的自动化扫描探测能力，并将扫描结果与单位主动上报清单进行比对，实现对安全监测督导对象各个系统的数据资产发现与动态安全监测督导，同时利用数据资产管理中心，以数字化的方式帮助监测督导方全面掌握各个系统数据资产信息，为数据安全监测督导、运营提供有效数据支撑。（2）服务内容1）数据资产发现：根据安全监测督导对象所填报收集的数据库、敏感数据资产等必要信息，整理生成数据资产原始目录清单和敏感数据原始目录清单；并利用技术工具，通过主动扫描、网络嗅探等方式，形成数据资产扫描目录清单和敏感数据扫描目录清单，与原始清单进行对比，派发给监测督导对象进行确认；通过周期性、持续性的扫描、比对与确认的方式，动态更新资产安全台账和敏感数据安全台账；API资产发现：根据安全检测督导对象上报的API资产信息，整理生成数API资产原始目录清单；通过技术手段发现并识别安全监测督导对象相关API资产，梳理敏感API接口资产，形成API资产目录清单、敏感API资产安全台账；并与原始清单进行比对，派发给监测督导对象进行API资产确认，并持续修正和更新API资产安全台账；API活跃度分析：针对API接口调用、访问的频次进行周期性的统计和分析，动态监测各个API资产的活动度，并输出API接口活跃度报告，保障能及时掌握API接口的使用与访问情况。（3）服务交付物1）《数据资产安全台账》2）《数据资产状态及保护能力报告》3）《敏感数据安全台账》4）《API资产安全台账》5）《敏感API资产安全台账》6）《API活跃度报告》7）《数据分级分类政策包》（4）交付标准1）数据资产发现与监测督导服务过程需满足本服务内容表述的相关要求；2）《数据资产安全台账》《敏感数据安全台账》《API资产安全台账》《敏感API资产安全台账》需保持即时动态更新，能够即时的反映当前最新的数据资源情况；3）《数据资产安全台账》《敏感数据安全台账》需具备完整性和可靠性，禁止出现因数据资产监测督导台账缺失或错误导致防护缺失或不足，进而被第三方途径通报、利用，甚至出现相关安全问题的情况；4）《API资产安全台账》《敏感API资产安全台账》需具备完整性和可靠性，禁止出现因台账信息缺失或错误导致防护缺失或不足，进而被第三方途径通报、利用，甚至出现相关安全问题的情况；5）所有服务交付物能够按照采购人要求进行导出或提供，以支撑相关检查或备案；7）《数据资产安全台账》《数据资产状态及保护能力报告》《敏感数据安全台账》《敏感API资产安全台账》《API资产安全台账》《API活跃度报告》需保持每月至少1次的报告输出和备案，《数据分级分类政策包》需保持每半年至少1次的报告输出和备案。2.2.2场景梳理与风险分析服务（1）服务要求数据流场景梳理与风险分析服务主要是对安全监管对象的数据流及重要场景进行全面梳理，并根据梳理的结果对各个场景下的风险点位进行分析，通过对安全监测督导对象各个系统进行数据流转、重点风险场景的梳理，帮助采购人明确重点监测督导方向，为后续数据安全风险的发现预警与闭环处置打下基础。根据本服务对重点监测督导场景的梳理结果，服务团队将及时调整数据安全监测预警、重点场景监测督导等的安全策略配置，优化数据安全规则模型配置中心的规则模型，进一步提升数据安全监测督导水平。（2）服务内容1）数据流场景梳理与风险分析，对业务场景下的数据流过程、数据流转区域进行详细分析，数据流转过程的梳理包括数据展现层、数据传输层、数据存储层、数据使用和共享层；数据流转区域包括数据的可控区域以及非可控区域；并对数据流转链路进行清晰刻画，分析数据流转过程中可能存在的风险点，提出数据安全防护建议；同时，针对数据共享交换等重要环节，通过深度解析数据库协议、接口调用行为，对安全监测督导对象进行风险监测；2）运维场景梳理与风险分析，对各安全监测督导对象的运维场景进行详细调研，根据调研的结果进行统一整理和分析，用图表的形式，详细的表述系统的运维场景，并全面的分析可能存在的风险威胁，并形成输出运维人员风险控制场景梳理清单，利用数据安全分析能力，对运维场景下的风险行为和威胁进行分析和验证，及时发现异常现象，防止不合规的操作发生；3）敏感数据分布梳理与风险分析，对各安全监测督导对象进行敏感数据信息的调研和收集，包括敏感数据存储、加工、共享交换各个节点的实际情况，并对调研收集的信息进行统一的整理分析，形成系统敏感数据分布的清单，进一步分析敏感数据可能存在的风险点，并提出有效的解决方案，同时及时发现并分析可能存在的敏感数据风险威胁，记录和分析敏感数据的访问情况和操作记录，分析敏感数据的使用情况，提高敏感数据的安全保障能力。（3）服务交付物1）《数据流场景梳理与风险分析清单》2）《运维场景梳理与风险分析清单》3）《敏感数据风险点及处理建议》（4）交付标准1）所有服务过程需满足本服务内容表述的相关要求；2）所有交付物信息需保持即时动态更新，能够即时的反映当前最新的各场景监测情况；3）《数据流场景梳理与风险分析清单》需具备完整性和可靠性，禁止出现因数据流场景梳理缺失或错误导致防护缺失或不足，进而被第三方途径通报、利用，甚至出现相关安全问题的情况；4）《运维场景梳理与风险分析清单》需具备完整性和可靠性，禁止出现因特权账号信息缺失或错误导致防护缺失或不足，进而被第三方途径通报、利用，甚至出现相关安全问题的情况；5）所有服务交付物能够按照采购人要求进行提供，以支撑相关检查或备案；6）所有交付物需保持每季度至少1次的报告输出和备案。2.2.3数据安全风险监测与预警服务（1）服务要求安全服务人员利用数据安全各类支撑工作，通过主动扫描、检测分析等各种技术手段所产生的数据安全风险告警，准确识别安全监测督导对象的数据资产以及在开展数据活动的过程中存在的风险威胁，及时发现可能存在的异常行为，对所发现的风险进行人工验证和分析研判，结合所涉及的数据敏感度和重要性，进一步分析风险的潜在的影响范围和危害程度，对风险威胁进行级别的判定，将相关风险威胁及时通知给安全监测督导对象相关责任单位，并提出有针对性的解决方案及建议，提醒并督促安全监管对象及时进行问题处置与整改，并对处置过程、处置结果进行审查与验证，实现安全风险的闭环处置。（2）服务内容1）数据库泄漏风险监测：通过安全技术能力发现安全监测督导对象应用服务和数据服务存在的数据泄漏风险，并综合判断评估数据库泄露风险的危害程度，及时发现数据库泄露风险；2）数据库漏洞风险监测：通过安全技术能力发现数据库存在的弱点或缺陷漏洞，评估漏洞被利用而访问和破坏数据的可能性；3）账号安全风险监测：通过数据安全建模分析引擎以及驻场安全服务人员监测分析发现账号偏离日常基线的非常规操作行为，发现账号中可能存在的风险威胁；4）API数据泄漏风险监测：安全服务人员通过数据采集以及数据安全建模分析引擎进行风险分析，对风险进行分析研判，确定风险真实性，发现通过接口的方式造成的数据安全风险威胁。安全服务人员须及时将API数据泄漏风险及时推送并通过分析研判模型进行分类，及时通报预警；5）SQL数据泄漏风险监测：支持发现攻击者利用应用程序或系统漏洞，从数据库内获取敏感信息的数据安全事件。通过数据安全建模分析引擎以及安全服务人员进行风险分析研判，确定风险真实性，及时发现通过SQL语句执行过程中发生的敏感数据的泄漏的风险；6）暗网数据泄露监测，通过全球部署在暗网雷达所挖掘的信息，转化为暗网数据安全情报；安全服务人员实时对暗网中数据交易信息进行搜集分析,全面搜集及监控暗网中出现的新增泄露数据；以情报驱动安全事件窗口前移，建设暗网数据泄露风险感知能力，可第一时间发现暗网数据泄露及黑灰产交易，推动及时处置，避免造成严重影响；7）数据出域风险监测，重点针对安全监测督导对象可能存在的数据跨境传输风险进行监测，包括对个人信息、敏感数据出境等行为进行监测，对数据跨境爬取、数据违规跨境传输等风险进行监测告警，及时发现并支撑处置相关风险行为；8）监测预警报告输出：通过常态化数据安全风险监测与预警服务，定期提供风险监测与预警报告，报告内容包括但不限于数据安全风险类型、风险等级、风险描述、告警情况等。（3）服务交付物1）《数据安全风险监测预警报告》（4）交付标准1）数据安全风险监测与预警服务过程需满足本服务内容表述的相关要求；2）数据安全风险监测与预警机制需保证风险发现和预警的即时性，禁止出现有关安全事件未出现预警或预警处置响应时间不足导致安全事件发生的情况；3）《数据安全风险监测预警报告》能够按照采购人要求进行提供；4）所有交付物需保持每周至少1次的报告输出和备案。2.2.4数据安全告警策略优化服务（1）服务要求数据安全告警策略优化服务是对数据安全监控中产生的大量告警信息进行精细化管理和优化的一项重要服务。它旨在解决传统数据安全监控中普遍存在的告警泛滥、误报率高、关键告警被忽视等问题，通过规则调优、建模分析等，优化告警规则，自动筛选出真正需要监管关注的高风险告警，减少无效告警干扰，提高告警的准确性和时效性。通过持续优化告警机制维护数据安全环境的健康稳定。若出现误报、多报情况，则将情况一同反馈，作为规则策略优化依据，安全服务人员根据反馈结果持续优化策略以完善告警的有效性。（2）服务内容1）统计与分析：收集整理存在的误报、漏报、重复告警，并进一步分析产生的原因，并以针对性的制定告警测绘优化方案；2）告警规则优化：包括但不限于针对数据安全分析能力的规则模型参数进行调优，安全告警策略进行调整，安全设备规则调整；3）高细粒度白名单：因应用开发或参数不规范所引起的告警误报，确认误报行为，制定高细粒度白名单避免重复误报告警；4）告警聚合：针对重复多报等告警行为，制定告警聚合策略，调整相应参数，实现重复告警的聚合，避免海量重复告警产生告警噪声；5）规则验证：对所优化调整的模型规则进行验证，确保调整后的模型规则仍具备相同的检测与分析能力；6）报告输出：针对告警优化工作进行优化过程的详细记录，包括优化内容、优化结果，并编制输出优化报告。（3）服务交付物《数据安全告警策略优化报告》（4）交付标准1）数据安全告警优化与监测督导服务过程需满足本服务内容表述的相关要求；2）《数据安全告警策略优化报告》能够按照采购人要求进行提供；3）《数据安全告警策略优化报告》需保持每月至少1次的报告输出和备案。2.2.5数据安全事件分析溯源服务（1）服务要求安全服务人员综合运用告警数据分析、行为分析和日志记录分析等技术手段，对疑似或已确认的数据安全事件进行全面审查，包括但不限于入侵路径、攻击手法、受影响范围、数据泄露程度等关键细节，对数据安全事件进行深入分析，以确定事件的性质、影响范围和潜在原因，快速识别和追踪数据泄露或网络攻击的源头，评估事件对安全监测督导对象的影响，制定有效的应对措施，并采取行动以防止类似事件再次发生，针对数据安全事件的攻击方式，利用手段，造成的数据安全风险威胁等多维度，对整个数据安全事件类型进行判定和梳理，并提出完善且可落地的整改建议，并将上述内容编制并输出成文档。（2）服务内容1）数据安全事件分析：针对重大数据安全事件，利用数据安全分析能力单元等工具进行进一步的分析，明确安全事件的性质、影响范围和潜在原因，评估事件的危害程度和范围；2）数据安全事件调查溯源：将数据安全事件进行相关风险的串并，形成安全事件线索，明确数据攻击的源头，攻击路径，受害资产等，支撑数据安全事件的处置与修复；3）处置建议与方案：提供有针对性的解决方案和处置建议，协助并督促相关安全监测督导对象进行处置与整改；4）报告输出：针对数据安全事件的详细情况，以及解决方案等内容进行汇总分析，并编制出详细的分析溯源报告，并对文档进行归档，支撑后续类似事件的处置和响应。（3）服务交付物1）《数据安全事件分析溯源报告》2）《数据安全事件类型梳理及整改建议》（4）交付标准1）数据安全事件分析与溯源服务过程需满足本服务内容表述的相关要求；2）数据安全事件分析与溯源服务需保证服务周期内每个自然年总体上具有95%以上的分析溯源成功率；3）所有交付物能够按照采购人要求进行提供；4）所有交付物需保持每月至少1次的报告输出和备案。2.2.6数据安全事件应急支撑服务（1）服务要求数据安全事件应急支撑服务通过安全服务人员制定数据安全应急支撑预案，根据预案制定数据安全应急支撑的工作流程；在发生重大数据安全事件时，安全服务人员协同安全监测督导对象，为其提供应急响应过程中的技术支撑、流程支撑以及资源协调支撑，实现安全服务人员与安全监测督导对象双边的协同协作，全面提高安全监测督导对象的应急响应能力和水平，同时也落实了安全服务人员对应急响应过程的支撑义务，实现对整个过程在合规性、规范化的监督管控。（2）服务内容1）应急支撑预案编制：根据安全监测督导的范围、安全监测督导对象，制定应急支撑的具体流程，明确应急支撑的角色与分工，并编制输出数据安全事件应急支撑预案；2）初期应急支撑：安全监测督导对象若发生重大安全事件，应对安全监测督导对象所上报的应急支撑请求进行响应，根据应急支撑流程和制度，组织数据安全专家，对事件进行评级和初步分析，指导后续应急支撑工作开展；3）中期应急支撑：根据数据安全事件的情况和等级，向数据安全监测督导对象组织指派数据安全专家，协助进行数据安全事件的分析研判，及时遏制和消减避免继续产生危害与影响。该数据安全专家对整个数据安全应急响应的工作进行指导，提供专家级的解决方案建议，并对整个应急响应的流程和工作开展全过程进行监督和指导，及时指出该过程中可能存在的不合规、不规范的行为；4）后期应急支撑：事件处理结束后，服务人员整理事件分析、事件处理的过程记录和相关资料，撰写应急响应服务记录报告，并指派的数据安全专家进行审核，并提出报告修改的建议。安全专家全程参与应急响应的总结复盘会议，对后续的处置方案进行评估，并提出建议。（3）服务交付物1）《数据安全事件应急支撑预案》2）《数据安全事件应急支撑报告》（4）交付标准1）数据安全事件应急支撑服务过程需满足本服务内容表述的相关要求；2）《数据安全事件应急支撑预案》和《数据安全事件应急支撑报告》能够按照采购人要求进行提供；3）《数据安全事件应急支撑预案》需保持每半年至少1次的报告输出和备案；4）《数据安全事件应急支撑报告》需保持每月至少1次的报告输出和备案。2.2.7数据安全监督检查服务（1）服务要求通过定期或者不定期的方式，对安全监测督导对象在数据安全方面的管理机制、技术措施等多个维度进行安全监督检查，及时发现安全监测督导对象潜在的数据安全差距和风险问题，并提出整改建议，督促其整改。安全服务人员须对数据安全管理及技术检查需求进行梳理，明确安全检查的目的和需求，有针对性的制定详细的数据安全监督检查方案，检查内容和检查项；安全服务人员须将通过现场或远程的方式，按照安全检查方案开展检查工作，详细记录检查过程和结果；安全服务人员须对安全检查的结果进行整理、汇总和分析，分别对各个安全监测督导对象提出整改建议，并将问题和建议下发给各个安全监测督导对象，督促其整改；安全服务人员须对整个安全检查活动进行总结，编制数据安全监督检查报告并进行总结汇报。（2）服务内容1）数据安全监督检查服务需求梳理，以国家、行业数据安全规范要求为基础，结合数字XX建设相关要求，进行数据安全管理检查需求梳理，应从数据安全管理体系为视角，从组织架构、流程机制、职能职责等多维度进行需求梳理；应根据数据安全治理框架，从数据全生命周期各个阶段，以及各个阶段应该具备的关键技术能力进行需求梳理；2）数据安全监督检查方案编制，根据数据安全服务需求梳理的结果为依据，以及每次数据安全监督检查任务的目的和重点，进行方案的编制，方案应包含人员组织与安排，安全检查对象与范围，检查方式，检查项及内容，安全检查的流程等内容，并制定科学有序的数据安全监督检查计划；3）制定数据安全监督检查内容：进行数据安全监督检查内容和细则的制定，数据安全管理监督检查包括但不限于：组织建设、工作机制、管理制度、应急响应、安全培训等内容；数据安全技术监督检查包括但不限于：系统安全情况，分类分级、加密、脱敏、防泄漏、数据溯源等防护能力的应用及落实情况；4）开展服务支撑：服务人员定期对安全监测督导对象开展数据安全监督检查活动，服务人员可利用工具，通过现场及远程的方式开展检查工作，并对检查的内容和结果进行整理分析，向监测督导方进行汇报，对所存在的风险问题提供解决方案及整改建议，督促安全监测督导对象进行整改。（3）服务交付物1）《数据安全监督检查方案》2）《数据安全监督检查报告》（4）交付标准1）数据安全监督检查服务过程需满足本服务内容表述的相关要求；2）所有交付物能够按照采购人要求进行提供；3）所有交付物需保持每季度至少1次的报告输出和备案。3、安全能力服务3.1安全数据接入能力围绕数字XX建设“1361”整体架构提供安全数据接入能力，须完成至少包括云网、渝快办、渝快政、三级数字化城市运行和治理中心、公共数据资源管理系统、一体化数字资源系统、城市感知系统、能力组件管理系统、乡镇（街道）一体化治理智治平台部署的安全组件的安全告警日志、系统日志、审计日志等的采集和汇聚，并完成安全数据的接入；同时，完成针对以上应用系统所在政务云出口的全流量数据的安全接入。3.1.1安全日志接入重点围绕部署在XX市政务云的数字XX“1361”整体架构中的渝快政、渝快办、三级数字化城市运行和治理中心、公共数据资源管理系统、一体化数字资源系统、城市感知系统、能力组件管理系统、乡镇（街道）一体化治理智治平台、云网等开展网络安全日志采集接入，采集相关系统的安全日志，完成安全数据的收集及同步。采集到相关系统的安全日志数据后，须接入网络安全分析能力与数据安全分析能力组件进行统一分析管理。（1）性能要求1）支持syslog和kafka的采集方式，其中单节点syslog方式支持15000EPS；2）实时计算速度大于1Gb/s；3）数据接入速度大于1Gb/s；（2）功能要求1）提供主动、被动采集/收集目标日志，包括SNMPTrap、Syslog、JDBC、文件\文件夹、FTP、SFTP、NetBIOS、OPSEC等多种方式完成日志采集/收集功能，支持agent代理采集，支持对KAFKA数据源采集，日志采集过程中需支持根据最小EPS、最大EPS、限流百分比等维度进行限流；2）提供对无用日志的自动过滤能力，过滤条件可以按照所有范式化后的字段属性来定义，包括但不限于源IP、目的IP、源端口、目的端口、时间、事件名称、事件类型等，减少垃圾数据数量；3）提供范式化文件在线编辑功能，通过在线编辑范式化文件能够快速调试解析文件，方便运维人员调试；4）提供对无用信息的自动合并功能，支持设定合并的时间范围，合并条件可以按照所有范式化后的字段属性来定义，包括但不限于源IP、目的IP、源端口、目的端口、时间、事件名称、事件类型等，减少垃圾数据数量；5）提供以SNMPTrap、Syslog、JDBC、文件\文件夹、FTP、SFTP、NetBIOS、OPSEC等多种方式完成日志收集的能力，支持对KAFKA数据源采集；6）提供对日志信息进行分类的能力，分类按照安全事件的类型，而不是日志的设备类型，事件类型不少于10种大类，50种小类；7）提供通过WEB配置的方式选择特定的数据源进行解析的能力，同时支持拖拽式的方式选择对应的解析动作，解析动作至少支持正则表达式、JSON、CSV、IP透传等方式；8）提供日志加密压缩方式转发能力，支持分流转发，针对转发给不同的目标服务器支持配置不同的过滤器；3.1.2出口流量接入为保障数字XX“1361”各系统网络安全，重点围绕渝快政、渝快办、三级数字化城市运行和治理中心、公共数据资源管理系统、一体化数字资源系统、城市感知系统、能力组件管理系统、乡镇（街道）一体化治理智治平台等所属政务云出口，完成出口全流量的数据接入和采集，完成检测数据向网络安全分析能力单元的转发。（1）性能要求1）网络吞吐量≥20Gbps；2）流量数据采集支持不少于3000类应用协议的识别和解析，应用协议有效识别率不低于95%；（2）功能要求1）提供IPv4地址或IPv6地址配置接口服务能力，提供旁路IPv4和IPv6的IP阻断、URL重定向、DNS重定向能力；2）实现网络流量数据采集、威胁检测和日志外发，具备阻断TCP威胁会话连接能力，提供通过流量被动识别资产的能力；3）提供解析、生成及外发TCP/UDP/web访问/域名解析/LADP行为/登录动作/邮件行为/数据库操作/SSL加密协商/异常报文/智能应用/ICMP等日志能力；4）提供基于源地址、目的地址、服务、流量采样比、时间进行选择数据采集对象的能力，可以针对采集对象进行网络流量数据采集和威胁检测数据采集，网络流量数据采集支持自定义流量载荷的格式和流量上下行载的长度；5）提供恶意文件检测、漏洞检测、web威胁检测、间谍软件检查、网络层攻击检测能力；6）提供HTTPS流量解密能力，可添加基于源地址、目的地址的解密策略。7）具备语言环境关联分析技术，精准识别网络攻击及威胁应用；3.1.3API接口信息为保障数字XX“1361”各系统数据接口安全，重点围绕渝快政、渝快办、三级数字化城市运行和治理中心、公共数据资源管理系统、一体化数字资源系统、城市感知系统、能力组件管理系统、乡镇（街道）一体化治理智治平台等的数据接口，部署接口数据信息检测能力，实现对API接口信息与风险的识别，并将相关信息向数据安全分析能力单元进行转发。（1）性能要求1）流量处理能力≥10Gbps；2）http事件解析并发量≥20000QPS；3）支持敏感数据标签数≥100；4）支持审计API数≥10W；5）可审计单日志大小≥16MB；6）支持主体行为风险识别类型≥20；7）支持漏洞检测规则≥3000；（2）功能要求1）提供通过镜像流量方式进行流量数据采集的能力，提供日志接入能力，实现接口行为审计；2）具备IPv6环境下监测的能力，支持IPv6标准协议且具有良好的一致性和互通性。3）提供资产发现与管理能力，支持从网络流量中还原应用层资产数据，包括应用、文件、API、账号，可对资产进行分类管理和展示；4）提供列表结构呈现应用清单的能力，展示包括应用名称、应用域名、IP端口、访问量、访问域、部署域、生命周期、状态、发现时间、活跃时间等基本信息；展示关联资源数包括：关联API数、关联文件数、关联账号数等统计信息。展示系统识别的应用传输的请求数据标签、返回数据标签；5）提供自定义API打标策略的能力，可细粒度配置到请求方式、请求URL、请求头、请求体、响应码、响应头、响应体、四元组、API

类型等，支持对以上维度进行组合配置，部分指标支持：正则匹配、敏感数据种类、敏感数数量识别、此项缺失等方式进行配置；6）提供API审计能力，支持API接口数据审计，审计内容包括API请求头/请求体、API响应头/响应体，可识别敏感数据和传输文件；7）提供根据API账号提取配置自动对日志的操作对象账号进行账号提取的能力，具备自动账号提取配置，或手动对

API

设置账号提取配置的能力；8）内置40+脆弱性风险策略，至少包括：敏感接口未鉴权、认证令牌有效期过长、水平越权、脱敏策略不一致、任意文件读取、源代码泄漏、系统信息泄漏、敏感文件泄露等，内置3000+应用漏洞监测规则，其中包括90+未授权漏洞监测规则，覆盖Apache

Spark、OpenAPI、Weblogic等常用组件未授权漏洞监测、500+敏感文件泄漏监测规则，900

+命令执行漏洞监测规则；9）提供数据溯源能力，支持对风险事件关联的审计日志进行数据溯源，包括客户端、访问方式、应用、请求与响应、文件等内容的功能;10）提供风险告警能力，系统内置风险策略库，也可基于关键词、正则、文件类型、IP组、时间、组织架构等检测因子自定义风险规则及策略，并产生风险告警日志。3.1.4敏感数据信息为保障数字XX“1361”各系统数据安全，重点围绕渝快政、渝快办、三级数字化城市运行和治理中心、公共数据资源管理系统、一体化数字资源系统、城市感知系统、能力组件管理系统、乡镇（街道）一体化治理智治平台等的敏感数据安全，部署敏感数据监测能力，实现网络层面的敏感数据外发、敏感数据泄漏等风险的全面检测和识别，并将相关信息向数据安全分析单元进行转发。（1）性能要求1）最大吞吐量≥10Gbps；2）每秒处理HTTPPOST连接数（POST文件大小为15kBytes）≥200个；3）每秒处理SMTP邮件数（邮件大小50kBytes）≥160封；4）HTTP协议吞吐率≥1000Mbps；5）SMTP协议吞吐率≥200Mbps；（2）功能要求1）提供实时双向流量的内容审计能力，具备对上传和下载文件内容进行识别和过滤的能力；2）具备识别常见的文件类型及内容：办公类：doc、docx、xlsx、xls、xlsm、xltm、ppt、pptx、pps、docm、pdf、wps等；图片类/OCR识别：jpg、jpeg、png、bmp、gif、tif、tiff等；压缩类：rar、zip、7z、tar，war等，支持处理压缩炸弹，压缩层级支持设置；文本类：txt、rtf；源代码类：c++、cs、php、py、js、java、class、go、bat、vb、vbs、vbe等；设计图纸类：dwg、dxf；音视频类（类型识别）：amr、wmv、mov、wma等；3）提供数据标识符识别能力，包括身份证、银行卡、手机号、车牌号、护照、地址、邮箱、军官证、MAC地址、金额、台胞证、港澳通行证、常用姓等；4）提供异常数据安全行为识别能力，发现非工作时间操作、高频访问、超量外发、点滴式泄露等异常行为。协助采购人排查内部风险人员（待离职、内鬼、疏忽大意的员工等）；5）提供语义模型、无监督学习，生成自动分类模型，通过用户上传文件夹，依据相似度自动对文件进行聚类，并生成文件关键词及其权重。3.1.5数据资产信息重点围绕数字XX“1361”整体架构中的渝快政、渝快办、三级数字化城市运行和治理中心、公共数据资源管理系统、一体化数字资源系统、城市感知系统、能力组件管理系统、乡镇（街道）一体化治理智治平台等的数据资产安全，部署数据资产测绘能力，对相关系统的数据库的资产进行全面扫描测绘，对相关风险进行识别分析，并将数据资产信息回传至数据安全分析能力组件进行分析及管理。（1）性能要求1）支持数据库表量级≥1000万列；2）支持数据源类型≥40；3）数据表资产信息展示≥15；4）数据字段资产展示信息≥10；5）个人信息相关识别规则≥200条；（2）功能要求1）提供通过指定IP段、端口方式，定时扫描当前网络环境下的数据库资产的能力；2）敏感数据信息识别安全能力支持数据库类型包括但不限于MySQL、Oracle、PostgreSQL、UXDB、MSSQL、MariaDB、Informix、Sysbase、DM、DB2、GBase、CacheDB、KingBase、Oscar、Oceanbase、GoldenDB、TiDB、MyCat、DBLE、DRDS、Hive、Inceptor、Impala、MongoDB、Elasticsearch、ClickHouse、GreenPlum、Hbase、ODPS、PolarDB、TeraData、Vertica、Gauss100、Gauss200、HANA等；3）提供对于数据源中所包含的数据质量进行评估的能力，评估指标包含：字段总数、字段注释存在数、有含义的字段注释数、有含义的字段注释去重数、表总数、表注释存在数、有含义的表注释数、有含义的表注释去重数；4）提供有监督学习模型的训练能力，模型算法包括传统集成学习、快速神经网络、深度神经网络等至少3种类型，并可支持配置训练轮数、学习率等参数，以便满足不同场景的学习训练要求；5）内置不少于2600种数据库漏洞库，提供风险检测的数据库漏洞检测，至少包括但不限于漏洞名称、CVE编号、漏洞等级、漏洞描述、解决建议、数据库类型、数据库版本等信息；6）提供精确的敏感数据识别能力，通过对接联动数据安全分析能力服务中的安全智能体，利用安全大模型对所识别的数据资产进行类别和级别的判定，进一步支撑敏感数据的监测督导工作；3.2安全数据管理能力3.2.1数据采集（1）网络流量日志采集1）支持对流量采集器进行新增、编辑、删除、清除未解析日志等操作。支持按照采集器状态（全部、在线、离线）对的采集器进行过滤显示；2）支持查看最新未解析的日志信息，支持根据下拉选择编码方式（包括UTF-8、Unicode、ASCII、GBK、GB2312等）切换未解析日志的编码；3）支持根据采集方式过滤显示未解析日志，支持导出和清除未解析日志；4）支持呈现数据源IP、数据源名称、状态、端口、收到最近一条日志时间和描述等。（2）流量日志告警采集1）提供网络攻击告警采集分析能力，包括DDOS攻击、后门攻击、漏洞攻击、网络扫描窃听、干扰事件等；2）提供有害程序告警采集分析能力，包括勒索病毒、蠕虫、特洛伊木马、僵尸网络、混合攻击程序、网页内嵌恶意代码事件等；3）提供主机层安全告警采集分析能力，包括暴力破解、端口扫描、漏扫扫描与利用、Bash主动外联、异常主机行为、异常进程，异常账号行为等；4）提供应用层安全告警采集分析能力，包括WEB漏洞扫描、WEBSHELL行为、网站JAVASCRIPT挂马、网页篡改、域名劫持、恶意文件传播、不良信息传输、业务逻辑漏洞利用等；5）支持查看最新未解析的告警信息，支持根据下拉选择编码方式（包括UTF-8、Unicode、ASCII、GBK、GB2312等）切换未解析日志的编码；6）支持对于采集器的topic配置、端口设置、日志插件的启停配置以及kafka集群配置等；7）支持对采集器的数据源管理，包括采集器名称、类型、状态、IP地址、未解析日志累计值和描述等。（3）存量安全日志采集1）支持对主流的网络设备、主机系统等安全日志、网络流量以及业务信息等多种数据源的采集；2）支持对接入数据进行标准化梳理，将数据归一化处理为统一格式的指定类型数据；3）内置不少于500种日志类型、覆盖不少于50类设备的数据解析规则；4）支持Syslog、SNMPTrap、Netflow、JDBC、WMI、FTP、SFTP、agent等采集方式。支持对日志采集器进行采集配置并下发。（4）日志采集技术标准1）支持目前包括但不限于主流安全设备、网络设备、主机、数据库、中间件、应用系统和虚拟化系统等；2）支持常见的虚拟机环境日志收集，至少包括Xen、VMWare、Hyper-V等；3）可以通过自定义配置进行日志过滤；4）支持对收集到的重复的日志进行自动的聚合归并，减少日志量；5）支持将收集到的日志转发，当原始日志设备无法设置多个日志服务器时，可以通过日志转发功能将日志转发到其他日志存储设备；6）支持多种采集协议，以实现对各类数据的采集，包括不限于安全对象属性、运行状态、安全事件、评估与检测等数据；7）支持对全流量威胁进行识别，并通过双向流量检测对网络流量行为判定，识别出病毒、木马、敏感信息等异常行为；8）支持多种网络协议的深度解析，包括Netflow，HTTP、DNS、FTP、FTP、TFTP、SMTP、POP3、IMAP、SMB、TELNET、LDAP、KRB5、SSH、TLS、IKEV2等协议的深度解析和登录行为审计、文件通信审计、流量会话行为等行为识别，从而发现隐蔽威胁和潜伏型攻击；9）支持根据数据包特征和流量行为对流量进行深度解析，包括行为审计、探测扫描、漏洞利用、可疑通信、DDOS、恶意程序、配置风险、账号异常、主机异常、Web攻击、恶意文件及病毒攻击、异常威胁、异常用户名登录请求、可疑执行代码等非正常和非RFC遵从的请求行为以风险级别实时呈现，为威胁风险分析和管理提供依据；10）针对网络中所有在线设备进行自主网络扫描和深入识别，获取资产的网络地址、系统网络指纹、系统开放端口和服务指纹，并根据积累和运营的指纹库裁定每个资产的类型、操作系统、厂商信息等；11）支持主动的系统、应用层、中间件、数据库漏洞检测，漏洞库具备实时更新和自定义功能；可检测主流windows、Linux、国产操作系统漏洞；内置通用性弱口令字典，并可增加自定义字典。3.2.2数据治理（1）数据处理流程1）提供自定义数据解析规则的能力。提供自定义解析规则功能，可根据应用场景，通过在线简捷配置，选择插件、正则表达式、分隔符、Key-Value、JSON等方法定义解析规则，用于后续的日志格式范式化；2）提供自定义过滤规则功能，通过配置AND、OR等嵌套关联逻辑、条件及操作符来实现复杂的日志过滤需求，减少无用日志数量。支持导入导出，格式为xml或压缩包；3）提供数据转换流程定义的能力，提供信息预处理功能，可以通过简捷配置相关解析规则、过滤规则、富化规则、日志类型，来达到归一化、过滤、富化、分类日志信息的目的。支持流程创建，流程导入，流程导出，并对流程进行调试、配置；4）提供数据补全能力，根据数据格式的统一要求，以及通过给定的数据补全规则，实现对于数据源中缺失的数据项的补充；5）提供自定义富化规则功能，可引用值映射表来实现富化规则，达到丰富日志信息的目的。支持将各个规则进行组合，方便数据处理配置引用；6）支持将标准化数据与基础数据、知识数据进行关联，完善和补充基础数据、知识数据；7）支持对数据打上标签，结合知识图谱，将数据进行有效的标识；8）支持按照数据来源、数据类型、数据属性等维度对数据进行分类。数据来源包括各类安全数据、流量数据、情报数据、资产数据等。数据类型是从不同的维度区分，如IP、设备等；9）支持对集群各个节点的健康状态，以及数据采集、处理、存储等全流程的各个日志处理环节的性能和运行状况；（2）流程管理1）支持可视化的流程的创建，能够将流程的各个节点插件拖拽进来，使用连线将其连接，编辑节点属性实现流程的创建；2）支持基于预置的输入类、编码类、富化类、输出类、控制类和第三方插件等多个插件为接收到的数据进行可视化的解析、转换、富化、存储等数据处理工作；3）支持针对数据接入流程的调试功能，包括单步、断点、执行到此、由此执行、退出调试等；（3）规则管理1）支持通过正则表达式、分隔符、KEY-VALUE和JSON等方式对日志进行提取、解析、清洗，并可以定义前置过滤规则；2）支持AND、NOT和OR三种语义，可以针对解析规则解析出来的特征字段进一步清洗和转换，包括过滤规则名称、日志类型、是否引用、创建者、修改时间、描述等；3）支持根据解析规则解析出来的源字段生成新的字段，从而实现数据的关联、映射等；（4）插件管理：支持自定义编写插件应用，以及进行复杂判断和运算逻辑的运行计算能力，支持对于插件的操作，包括：导入、导出、删除、查看等；（5）配置管理1）支持对数据接入的服务参数进行配置管理，包括新增配置、配置导入、配置导出、一键升级、编辑、删除和复制；2）支持针对字段富化成新值的映射表管理；3.2.3数据管理（1）元数据管理1）提供数据标准目录的管理能力，支持基础标准主题的维护；2）提供数据标准信息管理的能力，包括数据标准信息项和数据标准分类详情。能够支持数据标准的数据项设置，包括但不限于标准编码、标准中文名称、标准英文名称、数据长度、数据精度、度量单位、样例数据、制定依据、业务规则、内容描述、自动关联信息分类编码标准等；3）提供数据业务类型的管理的能力，支持对数据业务类型的添加、编辑、删除、复制、批量删除等操作，能够管理和设置不同数据源的数据物理类型与数据业务类型的映射关系，包括：MySQL、Hbase、Hive、HDFS、ElasticSearch、PostgreSQL、clickhouse等；4）内置网络安全的信息分类编码标准，包括：公共代码、业务系统、告警主题、资产主题、事件主题、漏洞主题等。支持对信息分类编码的新建、导入、导出、检索等操作；5）提供数据质量的检测能力，能够支持检测规则的配置，包括数据规范性检测、数据一致性检测、数据唯一性检测；6）提供实现数据质量的评分的参数权重配置的能力，能够对于数据表质量的有效性、一致性、唯一性、准确性、及时性、数据完整性的评分权重进行配置；（2）数据仓库1）提供数据库管理能力，以列表的方式呈现数据库名称、英文名称、描述、创建人、元数据更新时间、物理数据表数等；2）提供基于数据库存储趋势、数据生产/消费趋势、业务元数据分析、质量分析、数据库质量分析等情况进行监控和分析的能力。数据库存储趋势支持按照6类时间维度进行统计分析：最近一天、最近一周、最近一个月、最近三个月、最近半年、最近一年；（3）数据服务：提供API数据服务或文件数据服务的管理能力，包括服务名称、服务描述、创建时间、服务类型、服务进度、支持周期、服务状态等，支持对于数据服务的添加、复制、删除、批量删除、批量注销等功能。3.2.4数据存储（1）数据汇聚存储1）支持主流的数据备份技术，支持在线对其字段信息、存储方式（冷数据存储、热数据存储）存储时间、分区方式等基础属性信息进行配置，从而达到分类存储日志的目的；2）提供在线对日志类型进行增、删、改、查、导入导出等管理操作的能力，导入导出格式为Excel(xlsx)或压缩包，Excel(xlsx)单个文件上限2W条；3）提供存储状况信息和期望保留天数、日志重要度、日志类型分组等管理能力；4）提供对于磁盘使用率的实时查看，并且展示磁盘中ES或者HIVE的使用情况。（2）存储技术标准1）提供多种标准协议接口，便于应用系统的开发，便于第三方系统的对接；2）支持通过防火墙策略，对主机和端口进行安全加固保障服务安全；3）支持使用ldap和kerberos进行认证；4）支持通过用户组、用户、角色、权限的细粒度管控实现访问控制安全；6）支持单节点不低于2万EPS的写入；7）支持采用集群化分布式存储结构，支持通过标准结构的形式对外提供服务。8）提供数据提取转化加载等基本数据清洗等能力，支持复杂的数据挖掘工作；9）支持拓扑关系的可视化及搜索、具备可视化界面以关联图的方式显示对象和它们之间的关联关系；10）支持对图片、视频、流量包、恶意样本等进行存储，支持各类小文件KB、大文件GB级统一加载存储，底层存储引擎可以灵活配置支持Hbase、Cassandra等，加载接口支持标准的Http/Https协议上传、下载。3.3网络安全分析能力3.3.1资产匹配与规则配置（1）原始资产匹配1）提供对资产信息快捷检索的能力,支持按不同检索条件对所有原始资产信息进行检索匹配，检索结果按照不同的资产类型进行分类展示；2）提供快捷模式和高级模式（SQL语句）两种匹配检索模式；3）提供组合建设能力，支持根据资产类型、检索语句等形式进行组合检索；（2）置信度规则配置1）支持根据不同的数据源配置不同的数据置信度，自动采纳高优先级的数据来源；2）提供基于规则条件对置信度规则配置能力，包括数据源厂商、数据源名称、设备IP、部署位置、获取方式等。（3）资产运营分析1）提供多种内置的归属规则自动进行资产归属判定；2）提供运营规则自动解决资产运营过程中出现的冲突、纳管、融合过程场景下的问题；3）提供资产忽略规则的配置能力，自动忽略重复资产，避免重复资产的发现。3.3.2脆弱性分类验证（1）主机漏洞1）支持对主机漏洞数据进行分析，包括漏洞类型分布情况，漏洞危害等级分布情况等；2）支持以列表视图的方式呈现主机漏洞数据，从而对漏洞进行查询并对具体详情内容和修复的状态进行分析；3）支持对主机漏洞的影响面进行分析，包括受影响的资产，首次发现时间和最近发现时间等；4）支持对主机漏洞修复情况进行分析，对主机漏洞修复状态变更，包括未修复、已修复、误报和不修复等。（2）WEB漏洞1）支持对WEB漏洞数据进行分析，包括漏洞类型分布情况，漏洞危害等级分布情况等；2）支持以列表视图的方式呈现web漏洞数据，从而对漏洞进行查询并对具体详情内容和修复的状态进行分析；3）支持对web漏洞的影响面进行分析，包括受影响的资产，首次发现时间和最近发现时间等；4）支持对WEB漏洞修复情况进行分析，对WEB漏洞修复状态变更，包括未修复、已修复、误报和不修复等。（3）配置核查1）支持对配置核查相关问题数据进行分析，包括受影响主机分布情况，漏洞危害等级分布情况等；2）支持以列表视图的方式呈现配置核查问题数据，从而对配置核查问题进行查询并对具体详情内容和修复的状态进行分析。3）支持对配置核查的影响面进行分析，包括受影响的资产，首次发现时间和最近发现时间等；4）支持对配置核查修复情况进行分析，对配置核查修复状态变更，包括未修复、已修复、误报和不修复等。（4）弱口令（1）支持对弱口令相关问题数据进行分析，包括受影响主机分布情况，服务名称和端口分布情况等；（2）支持以列表视图的方式呈现弱口令数据，从而对弱口令问题进行查询并对具体详情内容和修复的状态进行分析；（3）支持对弱口令的影响面进行分析，包括受影响的资产，首次发现时间和最近发现时间等；（4）支持对弱口令修复情况进行分析，对弱口令修复状态变更，包括未修复、已修复、误报和不修复等。（5）漏洞库管理（1）支持对漏洞分布情况进行统计分析，包括每日漏洞情况，公共漏洞情况及本地自身维护的漏洞情况等；（2）支持对漏洞字段分析包括是否NOX认证、漏洞发布时间、漏洞名称、漏洞类型、危害等级、漏洞编号、CVE编号、CNNVD编号、CNVD编号、其他编号、漏洞来源、威胁类型等维度；（3）提供漏洞影响面评估能力，可对