安全体系升级优化项目招标项目的潜在供应商应在线上获取招标文件,并于****年**月**日 **时**分(北京时间)前递交投标文件。
****年以来,按照市委、市政府部署,通过开展云上大整合、网络大统一和数据大汇聚三大攻坚行动,大力破除“信息孤岛”“数据烟囱”,初步构建了数字一体化服务体系,建设了覆盖政务服务、协同办公、数据共享开放等各领域的应用服务系统,有力推进了政府数字化转型。
沈北数据平台为提升我市政务服务、行业监管、辅助决策能力,推进保障流程再造、优化营商环境工作深入开展,提供稳定、可靠、安全、高效的数据支撑,集中实现了大数据计算、存储、服务支撑等基础设施资源的集约共享。
以实现数据资产的全面安全管理和安全事件的运营处置为主要方向,通过对数据资产的梳理、使用监测和安全防护,针对数据使用不规范、敏感数据泄露、数据违规操作、数据违规共享分发、数据异常流转等数据安全问题,建设数据安全运营平台。实时监测数据安全风险态势,实现数据安全层面的“外防内控”,防范来自于外部威胁和发生自内部的风险。并对风险源头主体岗位或角色进行自动追踪溯源,对数据的使用进行管控和脱敏,实现数据资产的有效分级分类管理。对资源的传输、治理、存储、计算、服务全生命周期进行管理,以数据安全基础防护能力为技术支撑,建立起安全集中管控、事件集中处理、风险集中处置的数据安全闭环管理。通过安全集中运营,实时掌握风险态势、安全措施落实情况,确保数据安全持续化、流程化、规范化。
一、服务需求
*、数据安全治理服务
*.*数据安全治理服务由一整套数据安全运营平台和数据安全探针节点软件组成,平台整合探针流量和管理,实现对数据生命周期过程安全治理。
*.*提供对节点所在网络环境的逻辑管理功能,逻辑探针节点可以自由扩容,并把新的节点增加至平台中,实现运营平台灵活自由扩张能力。
*.*具有资产周期统计对比功能,系统将数据资产梳理按日、周、月三个周期统计,该周期梳理统计的结果可以导出报告,支持将任意两个周期资产梳理结果对比分析,通过对比分析发现资产发现差异性;
▲*.*能对基于数据库漏洞进行攻击行为监测告警及防护,需支持***个以上的数据库漏洞攻击规则库;(提供功能截图)
*.*支持数据库漏洞扫描、数据库配置缺陷扫描、数据库弱口令扫描等数据库风险检测,检测范围包括缺省口令、弱口令、低安全配置、DBMS脆弱点、补丁漏洞、程序后门、易受攻击代码等类别;
*.*可基于数据分类分级配置,实现对分类分级特定数据进行监测、防护阻断、以及特定级别数据进行脱敏,无需手动依次重复配置多表多字段策略,自动化匹配数据等级规则触发;
*.*支持代理类业务防护一键导通功能,出现策略安全事件,可开启系统的数据库转发,对全部数据库的通讯直接转发;(提供功能截图)
*.*支持敏感数据发现功能,不限于自身敏感规则库、数据字典,敏感发现结果数据可更改增加或删除特定表和字段
*.*支持静态和、动态脱敏功能,支持将原数据中部分或全部内容,用“*”或“#”等字符进行替换,遮盖部分或全部原文,支持仿真、替换、置乱等算法,支持添加数据字段。
*.**支持运维人员提交运维申请并获取审批后,系统会发送给运维人员一个随机生成的审批码,运维人员必须凭借审批码登录,方可执行运维动作。
*.** API接口自动分类:对识别出来的API接口进行自动分类,接口类型包含敏感接口、普通接口、登录接口、越权接口、伪脱敏接口等,工具界面中应有应用接口分类后的列表;
▲*.**系统原厂商具备数据库漏洞挖掘能力,提供已挖掘且得到CVE和CNNVD、CNVD确认的数据库危险漏洞编号(提供CVE和CNNVD、CNVD漏洞证明,需各提供不少于**个,内容不限于漏洞编号、漏洞涉及数据库类型、威胁程度高低等)。
*、网络安全态势感知平台服务
*.*在沈北新区现有网络安全态势感知平台上进行功能扩展,不需要重复建设。
▲*.*、能通过对IP网段和端口段对沈北新区政务网内网进行资产扫描,能够识别操作系统、开放的端口、开放的服务、MAC地址、资产名称,所得的资产数据可以自动或者人工确认装载到资产数据库进行统一管理,支持记录资产变更记录(提供功能截图)
*.*根据沈北新区政务网现网情况,以不同的维度管理不同类型的资产,例如硬件资产、软件资产和部门资产等,支持资产导入/导出和更新。
*.*根据沈北新区政务网的安全域网段,能自动生成网络拓扑,将各类资产及资产间的互访关联关系,以逻辑拓扑的方式进行展现,支持手动修改拓扑图摆放位置,支持在拓扑图上展示资产的详细信息,提高运维效率。
*.*为满足沈北新区政务网应急处置要求,工单管理功能支持从安全告警、安全事件发起工单,并选择流程节点处置人。
*.*支持机器人登录检测、基于基线的网络异常流量检测、恶意URL检测、DGA域名检测、DNS隐蔽通道检测、WebShell攻击检测、账号短时异地登录检测、Web踩点行为检测、资产可疑IP访问行为、数据库拖库威胁检测等高级威胁场景,同时支持展示建模过程的数据流向,确保模型的准确性
▲*.*、具备进行有监督学习与无监督机器学习模型的训练与预测的能力,可根据需要运用机器学习模型(提供网络安全态势感知平台功能截图)
*.*联动能力要求,能与沈北新区政务网已部署的云主机安全防护系统、终端防病毒、终端检测响应等安全产品联动,实现IP/URL/域名封堵、病毒查杀、主机隔离、虚拟补丁、挖矿防护等能力。
*.*根据沈北新区政务网现网情况的提供*个定制化剧本,支持剧本任务执行,提供一键封禁、一键查杀、补丁联动、挖矿防护等剧本。
*、流量探针服务
*.* 提供流量探针服务,需配备流量探针工具设备一台
流量探针数据能对接现有的网络安全态势感知平台,无需二次开发,并满足网络流量检测性能要求。
*.* 能够侦测各种文件型病毒,如勒索病毒、木马、僵尸、后门等,并支持多种高危病毒的侦测:Ransomware/ WORM_DOWNAD.E/ WORM_RONTKBR/ WORM_SILLYIM/ WORM_WALEDAC/ TROJ_ILOMO/ TROJ_FAKEAV/ PE_VIRUX。
*.* 具有专项挖矿告警页面,独立于其它告警,方便运维人员监测挖矿攻击。
▲*.*具备多样性的挖矿检测手段,能够检测挖矿木马投递、挖矿木马横向移动行为、挖矿软件、矿池域名解析、矿池连接、矿池协议等,矿池协议告警须提供虚拟币种类别(提供功能截图)
*.* 内置沙箱具有安全风险评估技术分析:包含针对注册表、内存、程序、网络活动、文件系统等操作系统环境的变化进行记录与分析。
*.* 具备常见漏洞检测能力,主流Webshell工具检测能力,黑客工具检测能力。
*.* 能够按照网络攻击、挖矿、扫描、暴力破解、恶意文件、威胁情报等告警进行分类,提高运维效率。
▲*.* 具有失陷主机的智能研判功能,能够追踪到失陷主机IP号,攻击阶段数,命中规则数,攻击次数,是否外联,风险值等能力。(提供功能截图)
*.*支持网络威胁自定义与威胁情报自定义,网络威胁能自主添加规则名称,规则等级与规则类型,语法兼容业界最常用的snort规则的写法。威胁情报自定义的规则可以支持多个同类对象的集合,比如对多个IP同时进行监控
*.**可显示受感染主机的APT攻击阶段,帮助管理者制定响应策略。
*.**具有自动发现存在弱密码账号的资产,展示相关资产信息、以及存在弱密码的账号、密码、协议和登录端口,能够对密码进行脱敏存储和展示。
*.**具备恶意文件流转溯源能力,能够以文件为中心,溯源整个文件的流转记录,并以图形化方式展示出来
*.**文件分析引擎的灵活配置,支持双引擎,可自由切换,文件最大支持*G,层数最多支持**。
