某大學(xué)網(wǎng)絡(luò)安全提升建設(shè)需求1.項目概述隨著信息技術(shù)在某大學(xué)的廣泛應(yīng)用和深度融合，在教育系統(tǒng)、教育設(shè)備、教育環(huán)境等紛紛融入信息化元素的同時，加大了攻擊者對于相關(guān)教育數(shù)據(jù)的關(guān)注程度和攻擊面，使某大學(xué)在網(wǎng)絡(luò)安全面臨的威脅持續(xù)加大；本項目通過采購一些新的安全設(shè)備來替換部分舊的安全設(shè)備和補充一些安全設(shè)備來達到如下目標(biāo)；1、需增加一臺防火墻設(shè)備；2、對于運維人員或者開發(fā)人員操作數(shù)據(jù)庫，目前我們主要通過運維安全管理系統(tǒng)來監(jiān)控和審計，但是這種審計方式主要是事后監(jiān)督，還是無法避免一些高危數(shù)據(jù)庫操作和造成信息泄露；為了更好滿足《數(shù)據(jù)安全法》和《個人信息保護法》的要求，更好控制和更細粒度審計運維人員或者開發(fā)人員操作數(shù)據(jù)庫的行為，防止出現(xiàn)一些高危數(shù)據(jù)庫操作減少數(shù)據(jù)泄露，急需增加一臺數(shù)據(jù)庫運維管控系統(tǒng)設(shè)備；3、現(xiàn)有云平臺上承載校內(nèi)各業(yè)務(wù)系統(tǒng)，隨著業(yè)務(wù)不斷增加，現(xiàn)有硬件資源已無法承載日益增長業(yè)務(wù)需求，現(xiàn)需對某大學(xué)云平臺進行升級服務(wù)，提升平臺底層資源承載性能，擴充存儲空間；另外，平臺上現(xiàn)有節(jié)點的SSD緩存盤已達到最大使用年限，故障率較高，需替換升級為更穩(wěn)定的固態(tài)硬盤，增強存儲性能，保障業(yè)務(wù)的穩(wěn)定運行；2.需求內(nèi)容本項目包括以下內(nèi)容：本項目采購內(nèi)容包括數(shù)據(jù)中心防火墻、數(shù)據(jù)庫運維管控系統(tǒng)、云平臺存儲性能優(yōu)化服務(wù)；序號分項數(shù)量／單位說明1數(shù)據(jù)中心防火墻一臺1、【軟硬一體】2、【性能說明】：防火墻吞吐量≥40Gbps，IPSec吞吐量≥28Gbps，防病毒吞吐量≥29Gbps，IPS吞吐量≥35Gbps，最大并發(fā)連接數(shù)≥1800萬，每秒新建連接數(shù)（HTTP）≥70萬，提供IPSecVPN隧道數(shù)≥20000條，SSLVPN并發(fā)用戶數(shù)最大支持≥10000個；3、【硬件規(guī)格】：標(biāo)準(zhǔn)2U機架式設(shè)備，千兆電口≥8個，萬兆光口≥16個，40G光口≥2個，萬兆多模bypass接口≥2對，硬盤≥2TB，冗余交流電源；4、主要功能包括：具備靜態(tài)和動態(tài)路由功能、源/目的IP地址轉(zhuǎn)換和鏈路聚合等網(wǎng)絡(luò)功能；具備防火墻基本功能，包括會話限制、DDoS攻擊防護、安全訪問控制、IPSecVPN、用戶認(rèn)證、文件過濾、雙機等安全功能；具備網(wǎng)絡(luò)流量應(yīng)用類型識別和流量和會話監(jiān)控等功能；提供三年應(yīng)用識別庫、入侵防御特征庫、AV病毒過濾特征庫、QoS流量管理功能授權(quán)升級和維護服務(wù)；5、提供相當(dāng)于或優(yōu)于原廠三年維保服務(wù)；2數(shù)據(jù)庫運維管控系統(tǒng)一臺1、【軟硬一體】2、【性能說明】：不限數(shù)據(jù)庫（IP+Port）授權(quán)；純數(shù)據(jù)庫流量≥550M，SQL峰值吞吐≥55000條/秒，在線會話≥6000；3、【硬件規(guī)格】：2U機架式（服務(wù)器平臺），冗余交流電源，千兆管理口≥2，千兆電口≥4，萬兆光口≥4，內(nèi)存≥64GB，硬盤(RAID1)≥2×8TB；4、主要功能包括：運維申請審批、運維流程審計、防護規(guī)則管理、防護、動態(tài)數(shù)據(jù)脫敏（高仿真脫敏）功能模塊；5、提供相當(dāng)于或優(yōu)于原廠三年維保服務(wù)；3云平臺存儲性能優(yōu)化服務(wù)一套通過增加存儲節(jié)點擴展硬盤以及替換緩存盤等方式提升云平臺整體存儲性能；增加3個或以上硬盤容量≥360T的存儲節(jié)點，使總硬盤擴展容量≥1000T；替換升級≥68個960G2.5寸SSD緩存盤；包含原廠或優(yōu)于原廠實施服務(wù)；提供相當(dāng)于或優(yōu)于原廠三年維保服務(wù)；2.1數(shù)據(jù)中心防火墻校園網(wǎng)的數(shù)據(jù)中心是知識、研究和教學(xué)活動的核心支撐；它存儲著大量的敏感信息，包括學(xué)生記錄、研究成果、財務(wù)數(shù)據(jù)等；隨著網(wǎng)絡(luò)環(huán)境的開放性和復(fù)雜性日益增加，高校數(shù)據(jù)中心面臨著前所未有的安全挑戰(zhàn)；黑客攻擊、數(shù)據(jù)泄露、內(nèi)部威脅等安全風(fēng)險，不僅威脅到個人隱私，還可能損害學(xué)校的聲譽和學(xué)術(shù)誠信；數(shù)據(jù)中心防火墻的建設(shè)不僅是技術(shù)層面的需求，更是維護教育環(huán)境安全、保障學(xué)術(shù)自由和促進知識創(chuàng)新的必要措施；一個強大的數(shù)據(jù)中心防火墻能夠為高校提供一個安全、可靠的信息環(huán)境，確保數(shù)據(jù)的安全性、可用性和完整性，從而支持高校的長遠發(fā)展和教育質(zhì)量的提升；需增加一臺防火墻設(shè)備；該設(shè)備參數(shù)要求如下；1、【軟硬一體】2、【性能說明】：防火墻吞吐量≥40Gbps，IPSec吞吐量≥28Gbps，防病毒吞吐量≥29Gbps，IPS吞吐量≥35Gbps，最大并發(fā)連接數(shù)≥1800萬，每秒新建連接數(shù)（HTTP）≥70萬，提供IPSecVPN隧道數(shù)≥20000條，SSLVPN并發(fā)用戶數(shù)最大支持≥10000個；3、【硬件規(guī)格】：標(biāo)準(zhǔn)2U機架式設(shè)備，千兆電口≥8個，萬兆光口≥16個，40G光口≥2個，萬兆多模bypass接口≥2對，硬盤≥2TB，冗余交流電源；4、主要功能包括：具備靜態(tài)和動態(tài)路由功能、源/目的IP地址轉(zhuǎn)換和鏈路聚合等網(wǎng)絡(luò)功能；具備防火墻基本功能，包括會話限制、DDoS攻擊防護、安全訪問控制、IPSecVPN、用戶認(rèn)證、文件過濾、雙機等安全功能；具備網(wǎng)絡(luò)流量應(yīng)用類型識別和流量和會話監(jiān)控等功能；提供三年應(yīng)用識別庫、入侵防御特征庫、AV病毒過濾特征庫、QoS流量管理功能授權(quán)升級和維護服務(wù)；5、提供相當(dāng)于或優(yōu)于原廠三年維保服務(wù)；技術(shù)指標(biāo)參數(shù)見表：序號指標(biāo)項技術(shù)參數(shù)要求硬件和性能要求★1、硬件參數(shù):標(biāo)準(zhǔn)2U機架式設(shè)備，前后通風(fēng)，千兆電口≥8個，萬兆光口≥16個，40G光口≥2個，萬兆多模bypass接口≥2對;硬盤≥2TB;標(biāo)配冗余電源；防火墻吞吐量≥40Gbps，IPSec吞吐量≥28Gbps，防病毒吞吐量≥29Gbps，IPS吞吐量≥35Gbps，最大并發(fā)連接數(shù)≥1800萬，每秒新建連接數(shù)(HTTP)≥70萬，提供IPSecVPN隧道數(shù)≥20000條，SSLVPN并發(fā)用戶數(shù)最大支持≥10000個；提供三年應(yīng)用識別庫、入侵防御特征庫、AV病毒過濾特征庫、QoS流量管理功能授權(quán)升級和維護服務(wù)；配置≥5個虛擬防火墻授權(quán)；接入模式必須支持透明、路由、混合、旁路四種工作模式；必須支持主備、主主模式部署；支持透明、路由、混合工作模式下實現(xiàn)HA的主備或主主模式部署；支持兩組主備防火墻配置信息同步、會話同步，實現(xiàn)異地高可用；路由協(xié)議支持IPv4和IPv6的靜態(tài)路由；支持虛擬路由功能，每個虛擬路由中擁有獨立的路由表；支持OSPF、IS-IS、BGP和RIPv1/v2（動態(tài)路由協(xié)議非透傳）支持策略路由、支持ISP路由并內(nèi)置多運營商路由表；訪問控制支持一條策略實現(xiàn)基于源目安全域、源目IP地址、國家地區(qū)（可支持到市級）、用戶/用戶組/角色、應(yīng)用、域名、VLANID、時間表、源目MAC地址、安全防護（入侵防護、病毒過濾、僵尸網(wǎng)絡(luò)防御、URL過濾、沙箱防護等）、數(shù)據(jù)安全（文件過濾、文件內(nèi)容過濾、網(wǎng)頁關(guān)鍵字、Web外發(fā)信息、郵件過濾、應(yīng)用行為控制等）等組合方式，對進出防火墻流量進行訪問控制；支持安全策略重復(fù)與冗余規(guī)則檢測，支持檢測冗余及沖突的安全策略，類型包括完全冗余、部分冗余、完全沖突以及部分沖突；支持策略自學(xué)習(xí)功能；策略助手能夠提取命中指定策略ID的流量作為流量數(shù)據(jù)分析源，生成服務(wù)并且根據(jù)管理員設(shè)置的替換規(guī)則、聚合規(guī)則優(yōu)化流量數(shù)據(jù)，最后自動生成符合管理員期望的安全策略規(guī)則；NAT支持一對一SNAT、多對一SNAT、一對一DNAT、雙向NAT、NoNAT等多種轉(zhuǎn)換方式；支持StickyNAT開關(guān)，使每一個源IP產(chǎn)生的所有會話將被映射到同一個固定的IP地址；支持基于時間段的SNAT、DNAT規(guī)則；具備SNAT、DNAT規(guī)則冗余檢測功能；冗余檢測能夠分析設(shè)備上已存在的SNAT、DNAT規(guī)則的有效性，幫助用戶從中找到并排除由于規(guī)則覆蓋導(dǎo)致的無法被命中的冗余規(guī)則；支持源NAT端口擴展功能；當(dāng)公網(wǎng)IP資源緊缺時，打開SNAT端口擴展功能，端口資源支持≥10倍擴展，允許發(fā)往不同目的地址的流量復(fù)用NAT端口資源，使防火墻支持創(chuàng)建更多的NAT會話；NAT地址池支持動態(tài)探測和可用地址分配功能；SNAT支持動態(tài)探測功能，探測NAT地址池中的可用地址資源；DNAT支持動態(tài)探測功能，探測轉(zhuǎn)換后的真實目的IP是否可達；零信任支持ZTNA功能，實現(xiàn)零信任接入；支持對ZTNA流量做入侵防御、病毒威脅、文件過濾、文件內(nèi)容過濾等應(yīng)用層檢測，提升接入訪問的安全性；支持ZTNA服務(wù)端配置收集終端主機的具體信息，包括：操作系統(tǒng)版本，系統(tǒng)補丁，防病毒軟件、狀態(tài)及病毒庫更新，防火墻，防間諜軟件及狀態(tài)、注冊表信息等；支持顯示ZTNA用戶/終端的狀態(tài)信息，包括登錄時間、用戶名稱、用戶IP、主機名稱、終端IP、區(qū)域終端標(biāo)簽、操作系統(tǒng)類型、允許訪問的資源等；入侵防御入侵防御功能(IPS)預(yù)定義特征庫不少于1.6W個，且CVE編號的簽名條目不少于1.1W個；支持不少于10種HTTP協(xié)議請求方法的檢測，且能針對Web服務(wù)常見的攻擊行為進行防御，如包括可疑UA檢查、高頻訪問管控、SQL注入檢測、XSS注入檢測、外鏈檢查、盜鏈檢查、ifname檢查、訪問路徑控制、CC保護等安全能力；支持基于協(xié)議類型、操作系統(tǒng)、攻擊類型、嚴(yán)重程度、特征ID等方式的查詢；特征庫更新方式需支持在線實時更新，或通過代理服務(wù)器更新，或通過設(shè)備集中管理平臺更新方式；支持逃逸檢測能力，可有效抵御端口重映射，IP分片，TCP分片，URL編碼和Unicode編碼逃逸行為檢測；病毒防護對持對勒索、木馬等病毒文件檢測，支持不少于5種壓縮文件格式的掃描，且支持不少于20層壓縮文件的解壓查殺；病毒特征庫不少于330萬，病毒庫支持網(wǎng)絡(luò)實時更新，或通過代理服務(wù)器更新，或通過設(shè)備集中管理平臺更新方式；支持針對HTTP/SMTP/POP3/IMAP/FTP/SMB協(xié)議傳輸?shù)奈募M行病毒掃描；威脅情報支持威脅情報與防火墻威脅事件、威脅日志檢測結(jié)果加強與取證，用戶可通過手動觸發(fā)與自動觸發(fā)將日志元素上送威脅情報平臺進行上下文查詢；支持熱點情報推送到設(shè)備，并提供配置向?qū)f(xié)助用戶生成安全防護策略；邊界流量過濾IP黑名單手工導(dǎo)入和導(dǎo)出數(shù)據(jù)能力，以及自動更新黑名單數(shù)據(jù)的能力；IP黑名單功能能對用戶主動提供的黑名單數(shù)據(jù)的適配能力，需能支持黑名單文件導(dǎo)入和導(dǎo)出，導(dǎo)入格式應(yīng)支持.txt/.csv,并允許用戶自定義更新服務(wù)器地址和文件，周期性的以全量覆蓋，或增量更新方式自動更新數(shù)據(jù)；支持配置全局IP白名單能力，使其能繞過所有安全功能檢測，以便于故障定位，或業(yè)務(wù)快速開通；SD-WAN智能選路功能在出站方向，系統(tǒng)通過實時監(jiān)控各鏈路的鏈路質(zhì)量(時延、抖動、丟包率和帶寬利用率),實現(xiàn)智能選路、動態(tài)調(diào)整各鏈路的流量負載；用戶可以配置靈活的SLA模板及負載均衡模板，SLA可以通過配置鏈路質(zhì)量閾值的方式，對于關(guān)鍵應(yīng)用的線路保障，并通過配置負載均衡規(guī)則綁定到路由上，以實現(xiàn)對出站鏈路流量的控制及負載均衡，可作用于VPN網(wǎng)絡(luò)；攻擊防護支持多種攻擊防護，包括不限于ICMPFlood、UDPFlood攻擊、ARP欺騙攻擊、SYNFlood攻擊、WinNuke攻擊、IP地址欺騙（IPSpoofing）攻擊、地址掃描與端口掃描攻擊、PingofDeath攻擊、Teardrop攻擊防護、Smurf攻擊、Fraggle攻擊、Land攻擊、IPFragment攻擊、IPOption攻擊、HugeICMP包攻擊、TCPFlag異常攻擊、DNSQueryFlood攻擊、TCPSplitHandshake攻擊等；虛擬化系統(tǒng)支持將一臺邏輯上的設(shè)備虛擬化成多個虛擬防火墻，可查看各虛擬防火墻的CPU和內(nèi)存利用率、新建、并發(fā)和吞吐信息；每個虛擬化系統(tǒng)能獨立管理，支持入侵防御、病毒過濾等安全防護功能；DNS支持DNSsnooping功能，支持記錄域名cname的IP；探測DNS域名支持主動模式：設(shè)備向配置的域名服務(wù)器定期發(fā)送DNS查詢報文，獲取域名和IP地址映射關(guān)系信息；探測DNS域名支持被動模式：系統(tǒng)監(jiān)測經(jīng)過設(shè)備的DNS響應(yīng)報文，獲取域名和IP地址映射關(guān)系信息；用戶認(rèn)證支持口令認(rèn)證、短信認(rèn)證、口令+短信的Web認(rèn)證方式；支持IPv6web認(rèn)證；web認(rèn)證支持防暴力破解、認(rèn)證頁面定制；支持外部服務(wù)器認(rèn)證，包括但不限于Raidus\ActiveDirectory\LDAP\TACACS+\Oauth2）；支持SSO功能，支持無Agent方式ADSSO；支持radiusSSO；配置轉(zhuǎn)換能對現(xiàn)有防火墻配置進行自動翻譯轉(zhuǎn)換，減少配置翻譯工作量，同時減少業(yè)務(wù)中斷時間；如涉及功能定制開發(fā)，所產(chǎn)生費用由服務(wù)單位承擔(dān)；VPN支持GREVPN、IPSecVPN、SSLVPN、L2TPVPN等VPN協(xié)議；持IPSecVPN智能選路功能，根據(jù)線路質(zhì)量和應(yīng)用實現(xiàn)自動鏈路切換；支持對登錄SSLVPN的用戶端系統(tǒng)進行端點安全檢查，至少包括指定文件、指定進程、系統(tǒng)補丁、瀏覽器版本、殺毒軟件等方面；系統(tǒng)監(jiān)控管理支持U盤加載配置功能，開機自動加載USB中的配置文件，支持增量配置方式，支持在U盤記錄操作日志；管理員支持本地認(rèn)證/服務(wù)器認(rèn)證/雙因子（短信/郵箱）認(rèn)證/證書認(rèn)證；管理員支持Tacacs+認(rèn)證，并且支持命令行審計和日志審計功能；具備AI運維助手功能；支持進行知識問答，幫助用戶理解專業(yè)術(shù)語或者協(xié)助用戶進行防火墻配置；提供預(yù)置問題，用戶可以直接點擊預(yù)置問題發(fā)起提問；支持Docker的創(chuàng)建，支持為創(chuàng)建的Docker分配資源，包括CPU,Memory,接口和端口；支持第三方Docker鏡像版本的導(dǎo)入和更新；支持設(shè)備流量中各個字節(jié)包的占比數(shù)據(jù)統(tǒng)計，包括：64字節(jié)，65-127字節(jié)、128-255字節(jié)、256-511字節(jié)、512-1023字節(jié)、1024-1580字節(jié)的不同包占比統(tǒng)計，并支持通過SNMP采集；丟包統(tǒng)計支持最長記錄180天，支持查看最長180天內(nèi)的任意時間的模塊丟包詳情；支持統(tǒng)計功能模塊的丟包數(shù)量，并以列表、柱狀圖、折線圖的方式展示統(tǒng)計數(shù)據(jù)；具備故障場景排查功能，支持模擬檢測場景、支持在線檢測場景、支持?jǐn)?shù)據(jù)包導(dǎo)入檢測場景，協(xié)助管理員快速定位問題；支持通過SNMP采集應(yīng)用監(jiān)控和用戶監(jiān)控數(shù)據(jù)的流量和并發(fā)連接數(shù)；支持從WebUI頁面支持導(dǎo)出和版本配套的MIB文件；2.2數(shù)據(jù)庫運維管控系統(tǒng)數(shù)據(jù)庫運維管理系統(tǒng)是一款面向數(shù)據(jù)庫運維人員的安全加固與訪問管控產(chǎn)品；將運維人員對數(shù)據(jù)庫的訪問操作等行為進行流程化管理，滿足安全合規(guī)需求，并提供事前審批、事中控制、事后審計、定期報表等功能，將安全策略、審批、控制和追責(zé)有效結(jié)合，避免內(nèi)部運維人員的誤操作和惡意操作行為，針對不同權(quán)限賬戶制定不同的數(shù)據(jù)脫敏規(guī)則，避免敏感數(shù)據(jù)泄露，系統(tǒng)將人員身份鑒別、安全策略，訪問控制、審批流程管理和審計追責(zé)有效結(jié)合，解決運維賬號共享與運維環(huán)境共用帶來的運維身份不清問題，實現(xiàn)分權(quán)管理，企業(yè)身份專屬賬號密碼，最小化權(quán)限管理原則，確保運維行為在受控的范疇內(nèi)安全高效地執(zhí)行；目前我們學(xué)校在數(shù)據(jù)庫運維側(cè)的防護是通過堡壘機對數(shù)據(jù)庫運維人員進行管控，該管控只能進行錄屏審計，無法對SQL操作進行管控，并且只能間接的進行身份識別，因為如果同時有多個人同時使用同一個數(shù)據(jù)庫賬號進行數(shù)據(jù)庫操作，即需要查看錄屏，才可定位操作人員；需要建設(shè)數(shù)據(jù)庫運維側(cè)的數(shù)據(jù)安全防護能力，對運維人員的訪問、操作行為進行管控，并對運維人員查詢數(shù)據(jù)進行按需脫敏，防止運維人員竊取數(shù)據(jù)；因此急需增加一臺數(shù)據(jù)庫運維管控系統(tǒng)設(shè)備，該設(shè)備參數(shù)要求如下；1、【軟硬一體】2、【性能說明】：不限數(shù)據(jù)庫（IP+Port）授權(quán)；純數(shù)據(jù)庫流量≥550M，SQL峰值吞吐≥55000條/秒，在線會話≥6000；3、【硬件規(guī)格】：2U機架式（服務(wù)器平臺），冗余交流電源，千兆管理口≥2，千兆電口≥4，萬兆光口≥4，內(nèi)存≥64GB，硬盤(RAID1)≥2×8TB；4、主要功能包括：運維申請審批、運維流程審計、防護規(guī)則管理、防護、動態(tài)數(shù)據(jù)脫敏（高仿真脫敏）功能模塊；5、提供相當(dāng)于或優(yōu)于原廠三年維保服務(wù)；技術(shù)指標(biāo)參數(shù)見表：序號指標(biāo)項技術(shù)參數(shù)要求產(chǎn)品規(guī)格★產(chǎn)品規(guī)格：2U機架式（服務(wù)器平臺），冗余交流電源，千兆管理口≥2，千兆電口≥4，萬兆光口≥4，內(nèi)存≥64GB，硬盤(RAID1)≥2×8TB；不限數(shù)據(jù)庫（IP+Port）授權(quán)；純數(shù)據(jù)庫流量≥550M，SQL峰值吞吐≥55000條/秒，在線會話≥6000；部署方式支持網(wǎng)橋模式、代理模式部署；高可用機制支持HA雙機主備自動切換，支持策略同步、會話同步機制，保障主備間的一致性；支持產(chǎn)品斷電Bypass和在線Bypass容災(zāi)功能，可啟動/關(guān)閉Bypass能力，保障系統(tǒng)異常環(huán)境下的網(wǎng)絡(luò)暢通；網(wǎng)橋模式下，HA支持bypass；支持一鍵導(dǎo)通功能，進一步保障業(yè)務(wù)連續(xù)性；協(xié)議支持支持國際數(shù)據(jù)庫類型：包括但不限于Oracle、SQLServer、MySQL、Db2、PostgreSQL、Informix、SAPHANA、InterSystemsCache；支持國產(chǎn)數(shù)據(jù)庫：包括但不限于DM、CirroData、TeleDB、TelePG；支持大數(shù)據(jù)：包括但不限于Hive、Impala；運維身份認(rèn)證支持WEB認(rèn)證、UKEY、證書認(rèn)證、密碼代填四種身份認(rèn)證方式；身份認(rèn)證后，通過與運維管理系統(tǒng)設(shè)置的防護規(guī)則聯(lián)動，實現(xiàn)數(shù)據(jù)庫準(zhǔn)入和數(shù)據(jù)庫操作行為防控；密碼代填基于系統(tǒng)內(nèi)運維自然人身份關(guān)聯(lián)數(shù)據(jù)庫賬號，使每一個運維人員都具有專屬的運維賬號密碼，實現(xiàn)數(shù)據(jù)庫賬號及密碼對運維人員保密的前提下開展數(shù)據(jù)庫運維和管理工作；且不需要進行軟件安裝部署；支持批量錄入數(shù)據(jù)庫賬號；支持批量創(chuàng)建數(shù)據(jù)庫賬號與運維人員對應(yīng)關(guān)系；企業(yè)身份管理支持運維人員按照所在企業(yè)組織架構(gòu)管理，對其進行用戶權(quán)限設(shè)置及運維身份加強認(rèn)證配置等；支持LDAP/AD域?qū)?，將AD域用戶與運維系統(tǒng)用戶關(guān)聯(lián)，可通過域賬戶統(tǒng)一登錄運維系統(tǒng)；支持抽取企業(yè)身份進行安全策略配置，包括：管控策略、脫敏策略、信任策略等；智能訪問建模支持對被保護數(shù)據(jù)庫的訪問路徑進行訪問模型建模，可對訪問來源追溯分析與信任標(biāo)記；支持建模期結(jié)束后自動進入保護狀態(tài)，可感知異常訪問風(fēng)險，為規(guī)則配置提供參考數(shù)據(jù)；“訪問建?！毙畔?數(shù)據(jù)庫名稱、數(shù)據(jù)庫IP、數(shù)據(jù)庫賬號、客戶端工具、客戶端IP；支持根據(jù)實際需要進行建模周期調(diào)整；運維申請審批系統(tǒng)內(nèi)可設(shè)置普通用戶（運維人員）、一級審批人、二級審批人、操作管理員角色，并對其設(shè)置不同數(shù)據(jù)庫管理權(quán)限；支持運維人員提交運維申請，選擇對應(yīng)審批人，并根據(jù)操作時間指定執(zhí)行時間段；支持運維人員按實際操作的語句行為提交運維申請，包括訪問來源（IP、數(shù)據(jù)庫用戶、客戶端工具），可對全部對象或指定對象進行SQL操作行為申請；支持運維人員以完整SQL語句形式提交運維操作申請；在提交語句申請時，可選擇一次申請單條或多條語句；支持運維人員上傳腳本文件至系統(tǒng)中提交運維申請，一次可最多可支持10個腳本文件上傳；支持復(fù)制已有申請，并可對未通過的申請執(zhí)行撤回或加急通知審批人審核操作；支持多級審批賬戶對提交的運維申請動作進行審批；

支持同時審批后方可生效，或任一級審批即可生效；運維人員提交運維申請并審批通過后，系統(tǒng)會發(fā)送給運維人員特定的審批碼，運維人員必須憑借審批碼登錄，方可執(zhí)行運維動作；支持提示通知發(fā)送，當(dāng)運維人員提交申請后，系統(tǒng)會自動發(fā)送通知給審批員，審批員審批某個申請后，系統(tǒng)會自動發(fā)送通知給申請人，通知方式支持郵件、短信平臺；運維流程審計支持對運維人員的申請類型、申請內(nèi)容、申請時間、審批人、審批狀態(tài)進行查看；支持審批人快捷查看所有待審批申請；支持將申請審批信息與執(zhí)行語句進行關(guān)聯(lián)分析；防護能力支持兩種防護模式：

會話阻斷：支持依照策略配置對存在風(fēng)險的會話進行阻斷；

攔截語句：支持依照策略配置對會話中的風(fēng)險語句進行攔截，但不影響會話原有的連接狀態(tài)；支持通過數(shù)據(jù)庫名稱、數(shù)據(jù)庫實例、Schema、表名、字段名、函數(shù)等關(guān)聯(lián)信息解析和設(shè)置防護規(guī)則；內(nèi)置默認(rèn)規(guī)則，支持場景：高危操作、權(quán)限變更、批量數(shù)據(jù)泄露或篡改、撞庫、無where更新或刪除、SQL注入、系統(tǒng)表非法操作、錯誤碼提示等；支持進行敏感訪問操作行為防護：

定義非法訪問：通過客戶端IP、數(shù)據(jù)庫用戶、客戶端工具、客戶端MAC、OS用戶、主機名、時間等；

管控高危操作、權(quán)限變更行為：通過全部對象或指定對象的ALTERTABLE、DROPTABLE、TRUNCATE等高危操作行為攔截；

防止大量數(shù)據(jù)修改、刪除、泄露：通過精細化管控受影響數(shù)據(jù)行數(shù)(閥值)，超出閥值的行為進行阻斷；攔截nowhere引起的整表更新、整表清空的誤操作；

防止敏感信息泄露與敏感對象訪問：支持批量添加敏感對象，與操作行為進行關(guān)聯(lián)；支持?jǐn)?shù)據(jù)庫攻擊行為防護：

支持口令攻擊防護，可基于頻次判斷失敗登錄風(fēng)險；

支持SQL注入、XSS跨站攻擊等外部行為防護；支持?jǐn)?shù)據(jù)庫漏洞攻擊防護：提供針對利用已公開的數(shù)據(jù)庫漏洞攻擊行為進行攔截的虛擬補丁功能；漏洞分類應(yīng)涵蓋：緩沖區(qū)溢出、權(quán)限提升、拒絕服務(wù)攻擊等，至少提供450個以上虛擬補?。宦┒囱a丁規(guī)則管理維度，包括：漏洞名稱、CVE標(biāo)識、CNNVD標(biāo)識、漏洞類型和影響范圍；支持防護白名單，信任特定行為或語句，可以設(shè)置為放行審計，也可以設(shè)置放行不審計；支持針對SQL語句配置防護規(guī)則；支持通過“SQL語句關(guān)鍵字”“SQL語句模板關(guān)鍵字”等條件控制，防止敏感操作執(zhí)行；支持返回錯誤碼、響應(yīng)時間控制；防護規(guī)則管理規(guī)則可關(guān)聯(lián)數(shù)據(jù)庫，也可關(guān)聯(lián)數(shù)據(jù)庫類型；關(guān)聯(lián)數(shù)據(jù)庫類型后，可選擇自動關(guān)聯(lián)后續(xù)添加的數(shù)據(jù)庫；支持?jǐn)?shù)據(jù)庫字段級的“與”、“或”邏輯設(shè)置，可建立敏感數(shù)據(jù)組進行專項安全防護；結(jié)果集審計支持按全局開啟，也可以按照單庫和具體規(guī)則進行開啟；告警數(shù)量支持最大告警數(shù)量限制，超過告警閾值之后便不告警；可以針對每條規(guī)則配置不同告警次數(shù)限制，靈活控制告警頻率；支持IP地址、數(shù)據(jù)庫用戶、時間、對象、應(yīng)用用戶、操作系統(tǒng)用戶、客戶端工具、數(shù)據(jù)庫實例分組，并且分組對象可以直接在規(guī)則中引用；提供默認(rèn)對象組，內(nèi)置主流數(shù)據(jù)庫的系統(tǒng)對象信息，可直接在規(guī)則中引用；敏感數(shù)據(jù)識別內(nèi)置針對符合特征的敏感數(shù)據(jù)發(fā)現(xiàn)規(guī)則，規(guī)則包括：身份證、通用證件號、銀行卡號、電話號碼（手機、座機）、中文姓名、中文地址、企業(yè)名稱、日期、稅號、Email地址、統(tǒng)一社會信用代碼、證券號、海關(guān)編號等；支持發(fā)現(xiàn)任務(wù)的創(chuàng)建，針對指定的數(shù)據(jù)庫進行敏感數(shù)據(jù)的自動發(fā)現(xiàn)，并對任務(wù)進行管理；支持對發(fā)現(xiàn)敏感數(shù)據(jù)的匹配率調(diào)整，在滿足一定比例條件下即可識別為敏感數(shù)據(jù)；支持將資產(chǎn)梳理結(jié)果導(dǎo)入到敏感字段梳理中，實現(xiàn)敏感數(shù)據(jù)聯(lián)動發(fā)現(xiàn)；支持自定義發(fā)現(xiàn)敏感數(shù)據(jù)規(guī)則，包括正則、字段字典、數(shù)據(jù)字典、復(fù)合匹配等方式；對核實完成的敏感數(shù)據(jù)類型，可一鍵加入到敏感數(shù)據(jù)脫敏規(guī)則中，并根據(jù)敏感數(shù)據(jù)類型自動匹配最優(yōu)的脫敏算法；數(shù)據(jù)脫敏功能支持不同的脫敏方式，包括：隨機替換：使用隨機產(chǎn)生的相同含義的數(shù)據(jù)替換原有的敏感數(shù)據(jù)；數(shù)據(jù)遮蔽：將原數(shù)據(jù)中部分或全部內(nèi)容，用“*”或“#”等字符進行替換，遮蓋部分或全部原文；支持遮蔽算法自定義，包括遮蔽起始位置、遮蔽長度、替換字符可自定義；支持對多個脫敏規(guī)則設(shè)置優(yōu)先級和一鍵置頂，方便快速的應(yīng)用到被保護數(shù)據(jù)庫；支持脫敏規(guī)則復(fù)制功能，根據(jù)原有脫敏規(guī)則微調(diào)快速生成新的脫敏規(guī)則；支持對有特定業(yè)務(wù)需求的敏感數(shù)據(jù)通過自定義脫敏函數(shù)實現(xiàn)脫敏；支持通過申請人申請脫敏例外，審批通過后可看到原數(shù)據(jù)；針對SQL語句中的敏感信息,可自定義規(guī)則進行數(shù)據(jù)掩碼展現(xiàn)，防止數(shù)據(jù)二次泄密；告警與外送支持系統(tǒng)告警；系統(tǒng)告警內(nèi)容支持網(wǎng)卡異常、分區(qū)超限、異常關(guān)機、CPU超限、內(nèi)存超限、會話超限、表數(shù)據(jù)增量異常、證書服務(wù)過期等；支持按照風(fēng)險高、中、低、通知，進行告警通知；可及時發(fā)現(xiàn)系統(tǒng)問題，跟進處理；支持規(guī)則命中后的風(fēng)險告警；風(fēng)險告警內(nèi)容支持觸發(fā)規(guī)則風(fēng)險內(nèi)容，并支持根據(jù)風(fēng)險等級進行告警通知；支持告警與規(guī)則和數(shù)據(jù)庫關(guān)聯(lián)，實現(xiàn)不同規(guī)則、數(shù)據(jù)庫的告警發(fā)送給不同收件人，方便進行風(fēng)險的排查；告警方式包括但不限于：郵件、短信平臺、SYSLOG、SNMP、企業(yè)微信、釘釘群助手、防護系統(tǒng)前臺界面；支持SYSLOG方式進行數(shù)據(jù)外送，可外送審計數(shù)據(jù)、會話信息、新型語句模板、系統(tǒng)審計日志；數(shù)據(jù)管理支持審計日志數(shù)據(jù)的備份，支持自動備份，備份時可以選擇高性能或高壓縮比；

支持將備份的日志上傳到的遠程服務(wù)器，服務(wù)器類型支持FTP、SFTP、NFS方式；支持恢復(fù)已備份的審計日志數(shù)據(jù)，以便查看歷史審計記錄；支持對存儲空間的監(jiān)控，當(dāng)空間不足時可進行告警；

支持對審計數(shù)據(jù)的清理，可按在線條數(shù)、磁盤空間等閾值進行自動清理；2.3云平臺存儲性能優(yōu)化服務(wù)某大學(xué)現(xiàn)有品高云平臺承載著校內(nèi)各業(yè)務(wù)系統(tǒng)，隨著業(yè)務(wù)不斷增加，現(xiàn)有硬件資源已無法承載日益增長業(yè)務(wù)需求；現(xiàn)需對某大學(xué)云平臺進行升級服務(wù)，提升平臺底層資源承載性能，擴充存儲空間；另外，平臺現(xiàn)有節(jié)點的SSD緩存盤已達到最大使用年限，故障率較高，需替換升級為更穩(wěn)定的固態(tài)磁盤，提升緩存性能，保障業(yè)務(wù)的穩(wěn)定運行；存儲容量擴容主要通過增加存儲節(jié)點的方式承載更多新的大容量硬盤；擬增加3個或以上存儲節(jié)點，使總擴展容量≥1000T；針對目前34臺正在使用的品高云融合節(jié)點，擬整體替換新的緩存盤以提升性能及降低緩存損壞概率；每個融合節(jié)點包含2個緩存盤共替換≥68個SSD硬盤；為了不影響擴容性能和容量，融合節(jié)點設(shè)備性能及緩存盤配置應(yīng)高于以下標(biāo)準(zhǔn)，詳細配置如下：序號用途詳細配置數(shù)量單位備注1存儲節(jié)點CPU≥2路16核，內(nèi)存≥256G，系統(tǒng)盤≥2*480GSSD；緩存盤≥3*3.84TBNVmeSSD（順序讀取≥6000MB/s，順序?qū)懭搿?000MB/S）；網(wǎng)卡：1GB≥4；10GB(含光模塊)≥4；含冗余的緩存電源；節(jié)點具備≥36硬盤槽位用于硬盤拓展，同時配置≥18個硬盤，硬盤單個容量應(yīng)≥20T（順序讀取≥200MB/s，順序?qū)懭搿?50MB/S），以達到單個節(jié)點硬盤擴展容量≥360T；3臺2緩存盤960GB2.5寸SSD，DWPD≥3；讀取速度≥500MB/S，接口類型:SATA6.0Gbps68個適配戴爾R740服務(wù)器3實施服務(wù)相當(dāng)于或優(yōu)于原廠實施服務(wù)；實施過程中應(yīng)保證云平臺數(shù)據(jù)不丟失；10人天4售后維保3年維保服務(wù)；維保服務(wù)除對存儲節(jié)點、緩存盤正常維保外，還應(yīng)包括可提供咨詢、需求、建議、熱線支持等技術(shù)服務(wù)，可提供本地響應(yīng)服務(wù)時間≦2小時的源代碼級故障分析服務(wù)；3項目總體要求3.1服務(wù)承諾須在中標(biāo)后提供本項目整體三年售后服務(wù)承諾函；3.2價格承諾本項目所需輔材，如招標(biāo)文件無具體數(shù)量的，由服務(wù)單位根據(jù)技術(shù)方案要求和現(xiàn)場情況提供，實際使用數(shù)量與服務(wù)單位的投標(biāo)數(shù)量不符時不對合同總價產(chǎn)生變更；3.3項目實施要求必須配備滿足本項目軟硬件系統(tǒng)正常運轉(zhuǎn)的必要配件、輔助材料等，包括但不限于提供保障設(shè)備網(wǎng)絡(luò)正常運行所需的跳線、光模塊、理線架等；1、總體要求（1）嚴(yán)格按照項目合同的建設(shè)內(nèi)容及工期進行項目實施，保障學(xué)校正當(dāng)權(quán)益；（2）項目實施過程中，若涉及合同內(nèi)容實質(zhì)性變更的(含合同貨物型號、規(guī)格參數(shù)、數(shù)量，工期、合同款支付方式等)，須按變更事項履行審批程序(含用戶部門提出申請、承辦部門審核、律師和審計處審核、校領(lǐng)導(dǎo)審核、簽訂補充合同)2、安裝要求：（1）服務(wù)單位需向采購人提供本項目采購的所有硬件及軟件的安裝和維護服務(wù)的全部內(nèi)容，并在需要的時候配合設(shè)備使用單位完成整個系統(tǒng)的聯(lián)調(diào)工作；若本項目采購的設(shè)備產(chǎn)品等方面的配置或要求中出現(xiàn)不合理或不完整的問題時，服務(wù)單位有責(zé)任和義務(wù)在投標(biāo)文件中提出補充修改方案并征得采購人同意后付諸實施；（2）要求服務(wù)單位需具有良好信譽和相關(guān)實力的技術(shù)隊伍；（3）服務(wù)單位需本著認(rèn)真負責(zé)態(tài)度，組織技術(shù)隊伍，做好投標(biāo)的整體方案，并書面提出長期保修、維護、服務(wù)以及今后技術(shù)支持的措施計劃和承諾；（4）安裝調(diào)試在設(shè)備到貨后3個工作日內(nèi)開始進行；采購人須提供設(shè)備運行所需校園網(wǎng)接入等環(huán)境；（5）所有設(shè)備均需由服務(wù)單位送貨上門并安裝調(diào)試；采購人不再支付任何費用；（6）自系統(tǒng)安裝工作一開始，服務(wù)單位需允許采購單位的工作人員一起參與系統(tǒng)的安裝、測試、診斷及解決遇到的問題等各項工作；3、開箱檢驗（1）所有設(shè)備、器材在開箱時需完好，無破損；配置與裝箱單相符；數(shù)量、質(zhì)量及性能不低于合同要求；（2）拆箱后，服務(wù)單位需對其全部產(chǎn)品、零件、配件、用戶許可證書、資料、介質(zhì)造冊登記，并與裝箱單對比，如有出入需立即書面記錄，由供貨商解決，如影響安裝則按合同有關(guān)條款處理；登記冊作為驗收文檔之一；4、系統(tǒng)測試（1）單項測試：單項產(chǎn)品安裝完成后，由服務(wù)單位進行產(chǎn)品自身性能的測試；設(shè)備通電測試需單臺進行，所有設(shè)備通電自檢正常后，才能相互聯(lián)結(jié)；（2）網(wǎng)絡(luò)聯(lián)機測試：設(shè)備系統(tǒng)安裝完成后，由服務(wù)單位和設(shè)備使用單位對所有采購的產(chǎn)品進行聯(lián)網(wǎng)運行，并進行相應(yīng)的聯(lián)機測試；（3）系統(tǒng)運行正常，均達到標(biāo)書要求的功能、性能和產(chǎn)品技術(shù)規(guī)格中的性能要求，聯(lián)機測試通過；（4）如商檢或系統(tǒng)測試中發(fā)現(xiàn)設(shè)備性能指標(biāo)或功能上不符合標(biāo)書和合同時，將被看作性能不合格，設(shè)備使用單位有權(quán)拒收并要求賠償；（5）服務(wù)單位需負責(zé)在項目驗收時將系統(tǒng)的全部有關(guān)產(chǎn)品說明書、原廠家安裝手冊、技術(shù)文件、資料、及安裝、驗收報告等文檔，軟件系統(tǒng)提供物理介質(zhì)、電子及紙質(zhì)許可證交付設(shè)備使用單位；3.4項目驗收要求1、驗收標(biāo)準(zhǔn)：按照《市政務(wù)信息化項目管理辦法》及其驗收規(guī)范標(biāo)準(zhǔn)等相關(guān)文件要求進行驗收；項目驗收包括項目初步驗收、試運行、驗收測評、安全評估、合同驗收及項目終驗環(huán)節(jié)；2、項