數(shù)據(jù)庫安全加固項目需求1.數(shù)據(jù)庫內(nèi)控管理系統(tǒng)（1臺）指標(biāo)項詳細(xì)功能要求配置支持2個數(shù)據(jù)庫實例。數(shù)據(jù)庫支持ORACLE、MYSQL、SQLSERVER、DB2、GBASE8.3S、HIVE、達(dá)夢、PG、優(yōu)炫、mongodb、SYBASE等主流數(shù)據(jù)庫、國產(chǎn)數(shù)據(jù)庫、大數(shù)據(jù)平臺。準(zhǔn)入控制支持多維身份管理，至少支持應(yīng)用程序名、IP地址、主機(jī)名、操作系統(tǒng)賬戶、數(shù)據(jù)庫賬戶、數(shù)據(jù)庫實例名、時間、U盾等因素進(jìn)行任意組合，形成新的登陸認(rèn)證規(guī)則。支持對SQLPLUS、PLSQLDEV等SQL管理工具或客戶端應(yīng)用程序進(jìn)行簽名登陸驗證，防止惡意和仿冒的工具或程序登陸數(shù)據(jù)庫。支持為敏感數(shù)據(jù)管理人員身份分為唯一的數(shù)字證書，每張數(shù)字證書只能載入一個唯一的U盾。識別真實應(yīng)用特征，防止假冒應(yīng)用訪問數(shù)據(jù)庫。支持檢測和審計密碼猜測行為，通過設(shè)置密碼猜測次數(shù)限制進(jìn)行防護(hù)。達(dá)到密碼猜測限制，鎖定猜測終端，支持自動解鎖和手工解鎖。通過安全客戶端實現(xiàn)數(shù)據(jù)庫免密登錄，避免密碼泄露。訪問控制支持禁止特權(quán)用戶（DBA\SYSDBA\SchemaUser\any權(quán)限等用戶）訪問和操作敏感數(shù)據(jù)集合，實現(xiàn)特權(quán)用戶權(quán)限分離管理。支持限制DBA賬戶權(quán)限，訪問敏感數(shù)據(jù)集合需要經(jīng)過授權(quán)審批。針對敏感數(shù)據(jù)集合的訪問，需要通過授權(quán)才可以訪問，不具備訪問權(quán)限的操作，明確阻斷拒絕，并提示“安全權(quán)限不足錯誤”。敏感數(shù)據(jù)集合支持設(shè)置訪問規(guī)則，訪問規(guī)則中可設(shè)定精細(xì)化的訪問因子（如應(yīng)用程序名、IP地址、主機(jī)名、操作系統(tǒng)賬戶、數(shù)據(jù)庫賬戶、數(shù)據(jù)庫實例名、時間、U盾等條件），滿足規(guī)則條件方可訪問敏感數(shù)據(jù)集合。身份管理可設(shè)置敏感標(biāo)簽身份，自動具備合法訪問敏感數(shù)據(jù)的權(quán)限。未明確注冊的身份，默認(rèn)表示為不合法身份，不能訪問敏感表格。支持查詢、修改、刪除等操作的行數(shù)控制，避免數(shù)據(jù)大量泄漏。支持訪問頻次控制，避免一定時間內(nèi)的高頻次訪問，避免數(shù)據(jù)流失。賬戶管理操作（Createuser、Alteruser、Dropuser等），授權(quán)管理操作(Grant)，業(yè)務(wù)對象操作（Truncattable，Droptable）以及業(yè)務(wù)代碼操作（修改Package，修改view）只有具備操作權(quán)限的安全管理員和授權(quán)人員才可以進(jìn)行操作。分級分類歸類的敏感數(shù)據(jù)集合支持敏感標(biāo)簽級別定義，支持分配具有多維身份標(biāo)簽的管理者，同時支持設(shè)置行為操作屬性（如查詢、更新、插入及刪除）。支持自定義敏感數(shù)據(jù)范圍，可在表級和列級兩個粒度進(jìn)行配置，多個數(shù)據(jù)表格歸類成為敏感數(shù)據(jù)集合，進(jìn)行獨立安全管理。預(yù)定義特權(quán)命令分類，支持對各類高危命令進(jìn)行授權(quán)，只允許被授權(quán)的身份訪問。敏感數(shù)據(jù)發(fā)現(xiàn)內(nèi)置針對符合特征的敏感數(shù)據(jù)發(fā)現(xiàn)規(guī)則，規(guī)則包括：身份證、通用證件號、銀行卡號、電話號碼（手機(jī)、座機(jī)）、中文姓名、中文地址、企業(yè)名稱、日期、稅號、email地址、統(tǒng)一社會信用代碼、證券號、海關(guān)編號等。通過快速的敏感發(fā)現(xiàn)功能，一鍵式對數(shù)據(jù)庫內(nèi)的敏感信息進(jìn)行掃描發(fā)現(xiàn)，對發(fā)現(xiàn)的敏感資產(chǎn)進(jìn)行快速的分級分類，達(dá)到保護(hù)資產(chǎn)的快速梳理，減少認(rèn)為配置工作。發(fā)現(xiàn)結(jié)果確認(rèn)，對敏感信息進(jìn)行分級分類，快速配置關(guān)鍵保護(hù)資產(chǎn)。動態(tài)脫敏支持SQLPLUS、PLSQLDEV等SQL管理工具查詢數(shù)據(jù)時的動態(tài)脫敏，根據(jù)用戶的身份與訪問的數(shù)據(jù)庫對象以及對應(yīng)的脫敏規(guī)則，對不同授權(quán)的用戶可返回真實數(shù)據(jù)、部分遮蓋、全部遮蓋以及其他脫敏算法得到的結(jié)果。

脫敏規(guī)則需要支持以下脫敏算法：

1、放行：對于已授權(quán)用戶，返回真實數(shù)據(jù)；

2、返回空：對含有敏感表格或敏感列的數(shù)據(jù)結(jié)果返回為空值；

3、遮蓋：全遮蓋：默認(rèn)以遮蓋符‘*’替換敏感列的值；

4、部分遮蓋：對敏感列的值進(jìn)行分段，替換其中的一段或數(shù)段值；

5、隨機(jī)映射：對數(shù)值、字符或字符串進(jìn)行隨機(jī)映射處理。審計支持SQL命令的細(xì)粒度審計和分析，并詳細(xì)記錄管理用戶的行為信息，包括該語句執(zhí)行的時間、機(jī)器名、用戶名、IP地址、MAC地址、客戶端程序名以及SQL語句等信息，對數(shù)據(jù)庫操作進(jìn)行審計，可對查詢，新增，修改，刪除等行為進(jìn)行監(jiān)控；支持以搜索引擎條的方式進(jìn)行搜索，提供類似于百度，谷歌的搜索方式；提供高級搜索，進(jìn)行精確匹配搜索；提供一致性回溯分析、相同事件查看分析；并提供依賴于審計信息的即時報表分析；告警安全告警支持基于任意組合訂閱的模式，實現(xiàn)個性化告警訂閱管理。

支持多種安全響應(yīng)措施，包括頁面、郵件、短信方式進(jìn)行告警。運行模式學(xué)習(xí)模式運行，支持SQL的自學(xué)習(xí)，識別安全SQL；模擬模式運行，可以提升安全策略準(zhǔn)確性，避免對生產(chǎn)庫的影響。在學(xué)習(xí)一定周期后，系統(tǒng)自動轉(zhuǎn)激活運行，避免人工操作。簡單快捷。誤操作恢復(fù)支持支持oracle、SQLserver、mysql、達(dá)夢、Postgresql數(shù)據(jù)庫的誤刪除、恢復(fù)（DROP和truncate）。風(fēng)險感知直觀、可視化監(jiān)控數(shù)據(jù)庫防火墻的整體安全情況，當(dāng)出現(xiàn)風(fēng)險時可快速的定位當(dāng)前被攻擊的數(shù)據(jù)庫及發(fā)起攻擊的客戶端等。注入攻擊監(jiān)控、漏洞攻擊監(jiān)控、敏感訪問監(jiān)控、系統(tǒng)運行監(jiān)控、流量監(jiān)控。日志外發(fā)支持通過SYSLOG的方式進(jìn)行日志外發(fā)，支持審計、告警等日志外發(fā)。2.防勒索軟件（1套）指標(biāo)項詳細(xì)功能要求品牌自主研發(fā)的國產(chǎn)化品牌，非OEM，具有軟件著作權(quán)證書。授權(quán)數(shù)量支持5個服務(wù)器防勒索授權(quán)客戶端終端主機(jī)安裝防勒索系統(tǒng)客戶端代理軟件后，CPU性能平均消耗不超過1%，并提供測試報告?？蛻舳谁h(huán)境支持：主流Windows操作系統(tǒng)，至少包括WindowsXPSP3及以上版本、WindowsServer2003以上版本；主流Linux操作系統(tǒng)?？蛻舳司哂蟹罋C(jī)制，僅能通過預(yù)設(shè)密碼退出，能有效阻止人為或病毒非法結(jié)束保護(hù)進(jìn)程。統(tǒng)一監(jiān)控所有客戶端在線和離線數(shù)量，監(jiān)控全網(wǎng)客戶端受可疑勒索行為攻擊次數(shù)；支持查看所有客戶端的日志信息，包括進(jìn)程名、主機(jī)信息、策略名、攔截結(jié)果、事件產(chǎn)生時間等信息；支持以圖表方式查看近期全網(wǎng)客戶端保護(hù)情況。系統(tǒng)/策略管理部署方式為C/S架構(gòu)，管理方式為B/S架構(gòu)。客戶端與服務(wù)端控制中心通信，執(zhí)行服務(wù)端控制中心下發(fā)的安全策略，并將相關(guān)安全日志上傳到服務(wù)端。服務(wù)管理端支持全局策略制定下發(fā)和回收?？蛻舳丝煽吹椒?wù)端下發(fā)的所有策略，同時可定義本地安全策略。支持策略導(dǎo)入和導(dǎo)出；

內(nèi)置策略（知名公司的簽名、office文檔保護(hù)、PDF文檔保護(hù)）；

新建策略：信任應(yīng)用、應(yīng)用保護(hù)、文檔保護(hù)、容器保護(hù)、運行保護(hù)五類；

一個策略中支持保護(hù)多個程序。支持病毒庫數(shù)據(jù)導(dǎo)入，程序啟動時，會與病毒庫中病毒信息匹配，若是病毒會被隔離，若非病毒，會繼續(xù)后續(xù)保護(hù)層級的檢測。保護(hù)機(jī)制要求系統(tǒng)不依賴于特征庫識別方式防御勒索病毒攻擊，具備對未知勒索病毒的防御能力，需詳細(xì)描述防勒索系統(tǒng)對未知病毒防御的實現(xiàn)原理。要求客戶端在斷網(wǎng)狀態(tài)下依然具備防御勒索病毒攻擊的能力。通過放置誘餌文件，發(fā)現(xiàn)勒索病毒并進(jìn)行隔離，記錄受影響的設(shè)備名、IP地址、進(jìn)程名、訪問時間等。服務(wù)端控制中心支持監(jiān)控所有終端（Linux和Windows）的狀態(tài)，至少包括終端設(shè)備名、客戶端版本、設(shè)備類型、操作系統(tǒng)版本、IP地址、最后訪問時間、設(shè)備狀態(tài)（在線和離線）等信息。支持通過目錄保護(hù)的方式實現(xiàn)關(guān)鍵應(yīng)用的運行保護(hù)。支持應(yīng)用白名單信任機(jī)制，信任機(jī)制至少包括識別進(jìn)程名、程序簽名及安全標(biāo)簽（程序哈希值）三種方式。支持引導(dǎo)區(qū)鎖定，使勒索病毒無法修改。內(nèi)置數(shù)據(jù)庫文件保護(hù)引擎，防范RootKit攻擊，使數(shù)據(jù)庫文件免受勒索病毒的加密和刪除，支持主流數(shù)據(jù)庫Oracle、SqlServer、Mysql、DB2、DM、人大金倉、達(dá)夢、優(yōu)炫等。支持自動保護(hù)核心數(shù)據(jù)文檔如WORD、EXCEL、PPT、PDF、設(shè)計圖紙等文件類型，支持根據(jù)獨立文件名、后綴和目錄提供靈活配置。支持對啞終端設(shè)備實現(xiàn)強(qiáng)安全保護(hù)模式，禁止任何新應(yīng)用程序的運行，有效防止包括勒索軟件、已知勒索病毒、未知勒索病毒、挖礦病毒等惡意攻擊，需要密碼才能退出強(qiáng)安全保護(hù)模式。強(qiáng)安全保護(hù)模式下，所有的新軟件啟動時均會被隔離至此，被隔離的程序可以恢復(fù)，只有關(guān)閉強(qiáng)安全保護(hù)模式，該程序才有可能被運行起來。支持在服務(wù)端遠(yuǎn)程控制客戶端的強(qiáng)安全保護(hù)模式、引導(dǎo)區(qū)模式開關(guān)狀態(tài)。根據(jù)用戶需要，配置簡單的規(guī)則，允許特定應(yīng)用運行或禁止特定應(yīng)用運行。3.數(shù)據(jù)庫維保服務(wù)（1項）技術(shù)指標(biāo)技術(shù)規(guī)格要求故障管理和查詢回顧從問題的狀態(tài)，問題描述和解決方法、解決過程等內(nèi)容編制出服務(wù)管理報告。服務(wù)人員以六個月或季度為單位整理服務(wù)管理報告，與招標(biāo)方就一段時間出現(xiàn)的問題進(jìn)行分類總結(jié)，回訪并共同討論，提出建議，更好的保障數(shù)據(jù)庫運行。7*24小時400電話、遠(yuǎn)程不間斷支持對數(shù)據(jù)庫系統(tǒng)故障或與數(shù)據(jù)庫系統(tǒng)相關(guān)聯(lián)的系統(tǒng)故障，投標(biāo)方提供7*24小時不間斷非現(xiàn)場(可以是400電話、e-mail、VPN、QQ等形式)支持服務(wù)，通過以上方式直接聯(lián)絡(luò)服務(wù)商的技術(shù)工程師，尋求問題的解決方案、技術(shù)文檔以及技術(shù)指導(dǎo)，提供故障處理案例。投標(biāo)方在接到招標(biāo)方故障申告后應(yīng)于5分鐘內(nèi)響應(yīng)，如故障未能在15分鐘內(nèi)通過遠(yuǎn)程支持得到解決，投標(biāo)方承諾根據(jù)招標(biāo)方要求派指定服務(wù)工程師在2小時內(nèi)趕到招標(biāo)方現(xiàn)場，提供不間斷故障處理服務(wù)。現(xiàn)場應(yīng)急保障服務(wù)當(dāng)遇到復(fù)雜性問題，需要到現(xiàn)場進(jìn)行綜合診斷或者招標(biāo)方要求現(xiàn)場支持服務(wù)的時候，要求投標(biāo)方立即派二線支持團(tuán)隊人員在2小時內(nèi)到達(dá)支持現(xiàn)場，同時要求在路途中不中斷電話支持以求快速解決問題。數(shù)據(jù)庫性能優(yōu)化結(jié)合系統(tǒng)定期巡檢和招標(biāo)方重大事件等實際需要，根據(jù)檢查的內(nèi)容和用戶提出的具體需求，制定數(shù)據(jù)庫性能調(diào)優(yōu)方案。投標(biāo)方在招標(biāo)方的同意下進(jìn)行數(shù)據(jù)庫性能優(yōu)化或SQL優(yōu)化。數(shù)據(jù)庫現(xiàn)場巡檢服務(wù)日常檢查至少包括以下內(nèi)容：檢查相關(guān)軟硬件、數(shù)據(jù)庫配置和SGA、PGA的配置情況；檢查數(shù)據(jù)庫、備份結(jié)果集、各表空間的變化情況等，并對數(shù)據(jù)變化情況作評估；統(tǒng)計當(dāng)前表空間、文件系統(tǒng)和數(shù)據(jù)文件的使用情況；檢查數(shù)據(jù)庫alert.log日志文件和相關(guān)trace文件；檢查操作系統(tǒng)用戶、數(shù)據(jù)庫用戶、系統(tǒng)本身的安全性；收集數(shù)據(jù)庫運行期間的負(fù)載情況和Instance各性能指標(biāo)；檢查數(shù)據(jù)庫備份是否正常；每次巡檢需提供巡檢報告。巡檢報告中需對發(fā)現(xiàn)的問題，提供專業(yè)的有效的處理建議。內(nèi)容至少包括：數(shù)據(jù)庫中TOP10SQL進(jìn)行排序分析、對影響數(shù)據(jù)庫安全性的因素進(jìn)行檢測和記錄；ORACLE數(shù)據(jù)庫AWR報告進(jìn)行解讀，提供中文翻譯和分析報告；異常項進(jìn)行解讀，并給出異常項性能優(yōu)化建議。數(shù)據(jù)庫安裝服務(wù)從實際應(yīng)用角度出發(fā)，根據(jù)招標(biāo)方具體環(huán)境，應(yīng)用類型進(jìn)行分析，結(jié)合當(dāng)前數(shù)據(jù)庫系統(tǒng)的最新情況，為客戶的新系統(tǒng)提供安裝建議，從而提供數(shù)據(jù)庫最安全可靠，適合應(yīng)用的數(shù)據(jù)庫、補(bǔ)丁安裝服務(wù)以及相關(guān)應(yīng)用上線現(xiàn)場支持服務(wù)。數(shù)據(jù)庫升級服務(wù)服務(wù)期內(nèi)，如招標(biāo)方有數(shù)據(jù)庫升級和BUG修復(fù)的需要。投標(biāo)方負(fù)責(zé)提供升級評估規(guī)劃，制定在線升級方案，使數(shù)據(jù)庫升級后運行效率更高，包括：評估數(shù)據(jù)庫升級帶來的優(yōu)點和可能產(chǎn)生的問題；保證產(chǎn)品升級的過程中數(shù)據(jù)的安全性；順利、快速地從一個軟件版本升級到另一個版本，減少業(yè)務(wù)的停機(jī)時間；主動預(yù)防性維護(hù)要求投標(biāo)方對數(shù)據(jù)庫進(jìn)行預(yù)防性維護(hù)，通過預(yù)防性維護(hù)實踐，消滅了大部分日常維護(hù)故障，降低數(shù)據(jù)庫故障業(yè)務(wù)終止時間。通過積極的維護(hù)，在性能惡化之前覺察到性能問題，通過技術(shù)手段處理問題，從而在性能惡化之前消滅它。4.異地容災(zāi)實施服務(wù)（1項）技術(shù)指標(biāo)技術(shù)規(guī)格要求容量空間提供10T及以上數(shù)據(jù)存儲空間服務(wù)用于存放容災(zāi)備份數(shù)據(jù)。異地容災(zāi)實施服務(wù)包含設(shè)備搬遷、異地容災(zāi)線路割接、異地容災(zāi)服務(wù)實施、容災(zāi)測試演練服務(wù)。集成要求提供與本次容災(zāi)實施的整體系統(tǒng)集成工作，負(fù)責(zé)交付設(shè)備