校園信息安全系統(tǒng)建設項目需求

校園信息安全系統(tǒng)建設項目需求一、項目概況（一）設備整體說明通過在DMZ區(qū)域、一卡通專網(wǎng)、數(shù)據(jù)中心區(qū)域增加網(wǎng)絡安全設備來保障學校網(wǎng)絡信息安全。（二）設備清單序號品目名稱單位數(shù)量1邊界防火墻臺12數(shù)據(jù)中心防火墻臺23入侵防御系統(tǒng)臺14web應用防護系統(tǒng)臺15web漏洞掃描系統(tǒng)臺16運維安全審計系統(tǒng)臺27數(shù)據(jù)庫審計系統(tǒng)臺18數(shù)據(jù)庫防火墻臺29系統(tǒng)集成項1（三）內(nèi)容與技術要求序號設備名稱數(shù)量規(guī)格要求1邊界防火墻1臺一、基本要求1.系統(tǒng)架構(gòu)：硬件平臺要求采用先進的MIPS多核網(wǎng)絡架構(gòu)，硬件平臺采用多核處理器，使用滿足或優(yōu)于64位MIP多核處理器，多核核數(shù)≥8個；2.性能要求：吞吐量≥16G；最大并發(fā)連接≥540萬；IPS吞吐≥4G；AV吞吐≥2.8G；3.接口要求：萬兆接口≥2個，千兆光口≥4個，千兆電口≥4個；實配≥1個控制臺接口，配置≥1個管理接口、≥1個HA接口；4.SSLVPN：配置不低于500個SSLVPN并發(fā)；5.電源及功耗：需冗余電源配置；6.高度：≤2U。二、安全策略1.要求支持基于接口/安全域、地址、用戶、服務、應用和時間的防火墻訪問控制策略；2.要求支持策略命中分析，可基于命中數(shù)、首次命中時間、最近一次命中時間、最近未命中天數(shù)等維度進行優(yōu)化統(tǒng)計；3.要求支持策略助手功能,策略助手能夠提取命中指定策略ID的流量作為流量數(shù)據(jù)分析源,生成服務并且根據(jù)管理員設置的替換規(guī)則、聚合規(guī)則優(yōu)化流量數(shù)據(jù)，最后自動生成符合管理員期望的安全策略規(guī)則。4.要求支持基于國家地理位置、URL等元素建立安全策略；三、鏈路高可用1.要求支持在出站方向，系統(tǒng)通過實時監(jiān)控各鏈路的時延、抖動、丟包率和帶寬利用率，實現(xiàn)智能選路、動態(tài)調(diào)整各鏈路的流量負載。用戶可以配置靈活的LLB模板，并通過配置LLB規(guī)則將LLB模板綁定到路由上，以實現(xiàn)對出站鏈路流量的控制及負載均衡；2.要求支持標準802.3ad鏈路聚合，多條鏈路帶寬進行捆綁，支持基于源MAC、目的MAC、源IP、目的IP、源端口、目的端口、協(xié)議類型等方式組合進行負載；四、應用控制1.要求具備對應用程序的識別和控制能力，應用程序特征庫不少于4000種，并支持在線/手動更新；2.要求支持基于QQ、微信、微博等應用通過get、post方式進行上網(wǎng)行為審計；五、流量控制1.要求支持多層多級的流量層級，支持基于用戶、應用、URL、ip地址、接口、安全域等對象進行帶寬限制；2.要求支持全局關閉流量管理功能；3.要求支持兩層八級管道嵌套；4.要求支持帶寬限制、帶寬保障和彈性帶寬；六、會話控制1.要求支持基于安全域、源IP地址、目的IP地址、特定協(xié)議類型、應用、角色或用戶等進行會話數(shù)量限制，并且支持建立會話速率限制；七、路由功能1.要求支持ISP路由、OSPF、BGP、RIPv1/v2、路由，并支持圖形化界面配置；2.要求支持A-P模式，A-A模式，解決非對稱路由場景的對等模式；3.要求支持應用在TCP/IP網(wǎng)絡環(huán)境中的IS-IS動態(tài)路由協(xié)議，用戶可以為不同的VRouter分別配置IS-IS動態(tài)路由協(xié)議；八、VPN1.要求支持GRE、GREoverIPSec、IPSECVPN、SSLVPN、L2TP功能；2.要求支持對登錄SSLVPN的用戶端系統(tǒng)進行端點安全檢查，至少包括指定文件、指定進程、系統(tǒng)補丁、瀏覽器版本、殺毒軟件等方面；3.要求支持國密算法SM2/3/4；九、網(wǎng)絡特性1.要求支持透明、路由、混合、旁路等部署模式；2.要求支持通過ICMP、TCP、DNS、ARP和HTTP協(xié)議并且結(jié)合接口、鏈路質(zhì)量等方式實現(xiàn)對鏈路可用性的多重健康檢查；3.要求支持SSL代理功能，能夠解密HTTPS/POP3S/SMTPS/IMAPS流量；十、全局黑名單1.要求支持針對IP地址設置全局阻斷時間；2.要求支持基于源IP、目的IP、目的端口、協(xié)議設置服務阻斷時長；十一、攻擊防護1.要求支持多種攻擊防護，包括不限于ICMPFlood、UDPFlood攻擊、ARP欺騙攻擊、SYNFlood攻擊、WinNuke攻擊、IP地址欺騙（IPSpoofing）攻擊、地址掃描與端口掃描攻擊、PingofDeath攻擊、Teardrop攻擊防護、Smurf攻擊、Fraggle攻擊、Land攻擊、IPFragment攻擊、IPOption攻擊、HugeICMP包攻擊、TCPFlag異常攻擊、DNSQueryFlood攻擊、TCPSplitHandshake攻擊等；2.要求支持設置攻擊防護白名單；十二、入侵防御1.要求支持針對HTTP、SMTP、IMAP、POP3、VOIP、NETBIOS等20余種協(xié)議和應用的攻擊檢測和防御；2.要求支持攻擊檢測和防御的特征庫不少于8000種，特征庫支持網(wǎng)絡實時更新；3.要求支持WebServer防護功能，含CC攻擊防護和外鏈防護等；十三、系統(tǒng)高可用性1.所投防火墻應支持勒索軟件通信防護；2.所投防火墻應支持孿生模式，異地兩對主備的防火墻支持配置同步、會話同步。提供更優(yōu)化的流量數(shù)據(jù)轉(zhuǎn)發(fā)功能，解決非對稱流量問題，保障雙活數(shù)據(jù)中心的業(yè)務持續(xù)性、高效性；3.要求支持基于心跳信號丟失、鏈路斷開等多種方式的HA切換條件及邏輯；4.要求支持基于接口、HTTP、PING、ARP、DNS、TCP等監(jiān)測對象實現(xiàn)HA切換；十四、系統(tǒng)管理1.要求支持基于WEB和命令行的設備管理模式，WEB界面和命令行模式下均可實現(xiàn)對設備所有功能的管理配置；2.要求支持2個系統(tǒng)軟件并存，并支持系統(tǒng)軟件回滾，防止配置不當或系統(tǒng)故障造成的網(wǎng)絡中斷，充分保證了系統(tǒng)的穩(wěn)定性；3.要求支持和第三方認證系統(tǒng)聯(lián)動（包括如深瀾、城市熱點等認證系統(tǒng)），提供第三方認證系統(tǒng)公司出具的證明材料掃描件；4.要求支持擴展IoT監(jiān)控功能，通過分析流經(jīng)設備的流量，識別視頻監(jiān)控專網(wǎng)中的IPC(網(wǎng)絡攝像機)和NVR(網(wǎng)絡硬盤錄像機)等網(wǎng)絡視頻監(jiān)控設備，并對識別出的設備進行實時監(jiān)控，根據(jù)自定義配置對出現(xiàn)非法行為的網(wǎng)絡視頻監(jiān)控設備進行阻斷等操作；5.要求支持RESTAPI以實現(xiàn)防火墻功能靈活調(diào)用編排；6.為保證所投防火墻產(chǎn)品的多元化擴展能力，所投防火墻應支持容器化服務能力，應支持第三方Docker鏡像版本的導入和更新，應支持第三方Docker運行信息查看，應支持第三方Docker的停止、重啟操作能力；7.要求支持連接云平臺功能，實現(xiàn)云平臺對設備的遠程監(jiān)控，云平臺應支持將設備信息、流量數(shù)據(jù)、威脅事件、系統(tǒng)日志等在云端提供可視化的展示。應支持通過Web方式或者手機APP方式進行遠程監(jiān)控設備狀態(tài)信息、獲取報表、威脅分析等；2數(shù)據(jù)中心防火墻2臺一、基本要求1.系統(tǒng)架構(gòu)：硬件平臺要求采用先進的MIPS多核網(wǎng)絡架構(gòu)，硬件平臺采用多核處理器，使用滿足或優(yōu)于64位MIP多核處理器，多核核數(shù)≥8個；2.性能要求：吞吐量≥20G；最大并發(fā)連接≥900萬；IPS吞吐≥6G；AV吞吐≥4G；3.接口要求：萬兆接口≥2個，千兆光口≥4個，千兆電口≥4個；實配≥1個控制臺接口，配置≥1個管理接口、≥1個HA接口；4.電源及功耗：需冗余電源配置；5.高度：≤2U；二、安全策略1.要求支持基于接口/安全域、地址、用戶、服務、應用和時間的防火墻訪問控制策略；2.要求支持策略命中分析，可基于命中數(shù)、首次命中時間、最近一次命中時間、最近未命中天數(shù)等維度進行優(yōu)化統(tǒng)計；3.要求支持策略助手功能,策略助手能夠提取命中指定策略ID的流量作為流量數(shù)據(jù)分析源,生成服務并且根據(jù)管理員設置的替換規(guī)則、聚合規(guī)則優(yōu)化流量數(shù)據(jù)，最后自動生成符合管理員期望的安全策略規(guī)則；4.要求支持基于國家地理位置、URL等元素建立安全策略；三、鏈路高可用1.要求支持在出站方向，系統(tǒng)通過實時監(jiān)控各鏈路的時延、抖動、丟包率和帶寬利用率，實現(xiàn)智能選路、動態(tài)調(diào)整各鏈路的流量負載。用戶可以配置靈活的LLB模板，并通過配置LLB規(guī)則將LLB模板綁定到路由上，以實現(xiàn)對出站鏈路流量的控制及負載均衡；2.要求支持標準802.3ad鏈路聚合，多條鏈路帶寬進行捆綁，支持基于源MAC、目的MAC、源IP、目的IP、源端口、目的端口、協(xié)議類型等方式組合進行負載；四、應用控制1.要求具備對應用程序的識別和控制能力，應用程序特征庫不少于4000種，并支持在線/手動更新；2.要求支持基于QQ、微信、微博等應用通過get、post方式進行上網(wǎng)行為審計；五、流量控制1.要求支持多層多級的流量層級，支持基于用戶、應用、URL、ip地址、接口、安全域等對象進行帶寬限制；2.要求支持全局關閉流量管理功能；3.要求支持兩層八級管道嵌套；4.要求支持帶寬限制、帶寬保障和彈性帶寬；六、會話控制1.要求支持基于安全域、源IP地址、目的IP地址、特定協(xié)議類型、應用、角色或用戶等進行會話數(shù)量限制，并且支持建立會話速率限制；七、路由功能1.要求支持ISP路由、OSPF、BGP、RIPv1/v2、路由，并支持圖形化界面配置；2.要求支持應用在TCP/IP網(wǎng)絡環(huán)境中的IS-IS動態(tài)路由協(xié)議，用戶可以為不同的VRouter分別配置IS-IS動態(tài)路由協(xié)議；八、VPN1.要求支持GRE、GREoverIPSec、IPSECVPN、SSLVPN、L2TP功能；2.要求支持對登錄SSLVPN的用戶端系統(tǒng)進行端點安全檢查，至少包括指定文件、指定進程、系統(tǒng)補丁、瀏覽器版本、殺毒軟件等方面；3.要求支持國密算法SM2/3/4；九、網(wǎng)絡特性1.要求支持透明、路由、混合、旁路等部署模式；2.要求支持通過ICMP、TCP、DNS、ARP和HTTP協(xié)議并且結(jié)合接口、鏈路質(zhì)量等方式實現(xiàn)對鏈路可用性的多重健康檢查；3.要求支持SSL代理功能，能夠解密HTTPS/POP3S/SMTPS/IMAPS流量；4.要求支持通過ping、tcp、dns等方式進行鏈路有效性探測，可根據(jù)探測結(jié)果使相應接口關閉和路由信息失效；十、全局黑名單1.要求支持針對IP地址設置全局阻斷時間；2.要求支持基于源IP、目的IP、目的端口、協(xié)議設置服務阻斷時長；十一、攻擊防護1.要求支持多種攻擊防護，包括不限于ICMPFlood、UDPFlood攻擊、ARP欺騙攻擊、SYNFlood攻擊、WinNuke攻擊、IP地址欺騙（IPSpoofing）攻擊、地址掃描與端口掃描攻擊、PingofDeath攻擊、Teardrop攻擊防護、Smurf攻擊、Fraggle攻擊、Land攻擊、IPFragment攻擊、IPOption攻擊、HugeICMP包攻擊、TCPFlag異常攻擊、DNSQueryFlood攻擊、TCPSplitHandshake攻擊等；2.要求支持設置攻擊防護白名單；十二、入侵防御1.要求支持針對HTTP、SMTP、IMAP、POP3、VOIP、NETBIOS等20余種協(xié)議和應用的攻擊檢測和防御；2.要求支持攻擊檢測和防御的特征庫不少于8000種，特征庫支持網(wǎng)絡實時更新；3.要求支持WebServer防護功能，含CC攻擊防護和外鏈防護等；十三、系統(tǒng)高可用性1.所投防火墻應支持勒索軟件通信防護；2.所投防火墻應支持孿生模式，異地兩對主備的防火墻支持配置同步、會話同步。提供更優(yōu)化的流量數(shù)據(jù)轉(zhuǎn)發(fā)功能，解決非對稱流量問題，保障雙活數(shù)據(jù)中心的業(yè)務持續(xù)性、高效性；3.要求支持基于心跳信號丟失、鏈路斷開等多種方式的HA切換條件及邏輯；4.要求支持基于接口、HTTP、PING、ARP、DNS、TCP等監(jiān)測對象實現(xiàn)HA切換；十四、系統(tǒng)管理1.要求支持基于WEB和命令行的設備管理模式，WEB界面和命令行模式下均可實現(xiàn)對設備所有功能的管理配置；2.要求支持2個系統(tǒng)軟件并存，并支持系統(tǒng)軟件回滾，防止配置不當或系統(tǒng)故障造成的網(wǎng)絡中斷，充分保證了系統(tǒng)的穩(wěn)定性；3.要求支持和第三方認證系統(tǒng)聯(lián)動（包括如深瀾、城市熱點等認證系統(tǒng)），投標文件中提供第三方認證系統(tǒng)公司出具的證明材料掃描件；4.要求支持擴展IoT監(jiān)控功能，通過分析流經(jīng)設備的流量，識別視頻監(jiān)控專網(wǎng)中的IPC(網(wǎng)絡攝像機)和NVR(網(wǎng)絡硬盤錄像機)等網(wǎng)絡視頻監(jiān)控設備，并對識別出的設備進行實時監(jiān)控，根據(jù)自定義配置對出現(xiàn)非法行為的網(wǎng)絡視頻監(jiān)控設備進行阻斷等操作；5.要求支持RESTAPI以實現(xiàn)防火墻功能靈活調(diào)用編排；6.為保證所投防火墻產(chǎn)品的多元化擴展能力，所投防火墻應支持容器化服務能力，應支持第三方Docker鏡像版本的導入和更新，應支持第三方Docker運行信息查看，應支持第三方Docker的停止、重啟操作能力；7.要求支持連接云平臺功能，實現(xiàn)云平臺對設備的遠程監(jiān)控，云平臺應支持將設備信息、流量數(shù)據(jù)、威脅事件、系統(tǒng)日志等在云端提供可視化的展示。應支持通過Web方式或者手機APP方式進行遠程監(jiān)控設備狀態(tài)信息、獲取報表、威脅分析等。3入侵防御系統(tǒng)1臺一、硬件要求1.系統(tǒng)應為機架式獨立IPS硬件設備，全內(nèi)置封閉式結(jié)構(gòu)，要求具有完全自主知識產(chǎn)權的專用安全操作系統(tǒng)，穩(wěn)定可靠；2.≤2U硬件設備，含交流冗余電源模塊；3.網(wǎng)絡接口及性能：系統(tǒng)需提供≥1個RJ45串口，≥2個千兆管理口，≥8個千兆光口，應用層防護吞吐量≥4Gbps，TCP最大會話數(shù)：≥400萬，每秒新增會話：≥15萬，時延小于40us；二、攻擊特征庫1.系統(tǒng)應提供覆蓋廣泛的攻擊特征庫，能夠針對9000以上的攻擊行為、異常事件，以及網(wǎng)絡資源濫用流量，進行檢測和防御。系統(tǒng)攜帶的攻擊特征庫須獲得CVE-Compatible兼容性認證,投標文件中提供入侵規(guī)則數(shù)量和CVE認證證明掃描件；2.支持完善的漏洞攻擊防御庫，應支持定期漏洞收集和挖掘升級能力支持獲得漏洞情報的一線咨訊1.系統(tǒng)須提供對網(wǎng)絡病毒、蠕蟲、間諜軟件、木馬后門、刺探掃描、暴力破解等惡意流量的檢測和阻斷；2.要求支持基于SCADA等工控協(xié)議的相關漏洞攻擊檢測；3.要求支持針對隔離列表進行解除隔離操作；支持對單條或多條被隔離IP執(zhí)行解除隔離操作；支持隔離列表展示功能；能夠展示所有被隔離的IP，和開始隔離時間、結(jié)束隔離時間；四、攻擊識別1.要求支持在傳輸層對攻擊進行識別檢測，對接收的到的數(shù)據(jù)進行解碼和過濾，得到第二層數(shù)據(jù)；在應用層對第二數(shù)據(jù)進行解碼，得到第三數(shù)據(jù)；在應用層對所述第三數(shù)據(jù)進行會話流重組，得到第四數(shù)據(jù)；在應用層對所述第四數(shù)據(jù)進行檢測。設備包括：傳輸層處理模塊，應用層解碼模塊，會話重組模塊和檢測模塊。通過在傳輸層對數(shù)據(jù)包進行解碼和過濾，在應用層對數(shù)據(jù)包進行會話流重組，減少額處理的數(shù)據(jù)量，從而提高了入侵檢測的有效性和準確性。五、高級威脅防御1.系統(tǒng)應提供服務器異常告警功能，可以自學習服務器正常工作行為，并以此為基線檢測處服務器非法外聯(lián)行為；2.系統(tǒng)應提供敏感數(shù)據(jù)外發(fā)的防護功能，能夠識別通過自身的敏感數(shù)據(jù)信息（身份證號、銀行卡、手機號等）；3.系統(tǒng)應提供關鍵文件外發(fā)防護功能，能夠識別通過自身的關鍵文件，以防止非法外傳行為。能識別的關鍵文件類型應包含至少以下幾類：文檔類如Excel、PDF、PowerPoint、Word等，壓縮文件類如CAB、GZIP、RAR、ZIP、JAR等，圖像類如BMP、GIF、JPEG等，音頻視頻類如MP3、AVI、MKV、MP4、MPEG、WMV等，腳本類如BAT、CMD、WSF等，程序類如APK、DLL、EXE、JAVA_CLASS等；4.系統(tǒng)應提供URL分類庫，提供中英文網(wǎng)頁過濾數(shù)據(jù)庫，實現(xiàn)高風險、不良網(wǎng)站過濾；5.要求支持聯(lián)動云端威脅情報中心，在日志界面點擊威脅IP后，可以直接跳轉(zhuǎn)至云端查看IP的詳細信息；6.系統(tǒng)要求支持實時獲取安全事件攻擊源的詳細信息，包括host、地理位置、端口開放、歷史攻擊情況等；7.要求支持僵尸網(wǎng)絡防護、惡意URL訪問防護及文件信譽防護，支持配置文件信譽檢測白名單；六、自身安全性1.要求支持提供惡意軟件分析服務；2.支持聯(lián)動本地沙箱和云端沙箱，對未知可疑文件文件進行分析，并對高危的文件進行攔截，將分析的結(jié)果進行統(tǒng)計展示；七、設備管理1.要求支持識別某IP上登錄的用戶并將用戶名關聯(lián)在該IP觸發(fā)的安全事件上；用戶信息來源包括：郵件用戶、文件傳輸、即時通信用戶、遠程登錄用戶、網(wǎng)站登錄用戶、數(shù)據(jù)庫用戶等；2.系統(tǒng)應提供多種升級方式，至少提供自動在線升級、離線升級兩種方式；3.設備應定期升級攻擊特征庫，遇到重大安全事件，提供即時升級。如國家信息安全漏洞共享平臺編號CNVD-2020-12879/CVE-2020-2551，CNVD漏洞報送日期2020年01月15日，所投產(chǎn)品漏洞規(guī)則庫更新時間不晚于2020年01月16日，投標文件中提供所投產(chǎn)品官方網(wǎng)站漏洞規(guī)則庫離線規(guī)則下載鏈接以及漏洞更新時間不超過24小時的證明掃描件；4.系統(tǒng)要求支持版本恢復功能，可恢復到出廠時自帶的軟件版本；5.系統(tǒng)應能識別主流的應用程序，識別種類不少于2500種；6.系統(tǒng)應提供基于資產(chǎn)的保護，具備資產(chǎn)識別功能，包括操作系統(tǒng)、瀏覽器、應用類型等客戶資產(chǎn)相關信息的識別能力；7.系統(tǒng)應支持“一鍵巡檢”功能，可根據(jù)設備運行過程中反饋的數(shù)據(jù)進行全面分析，并生成圖表相結(jié)合的安全報告；定時進行巡檢可發(fā)現(xiàn)異常漏洞與受攻擊情況；8.要求支持對用戶所認為的誤報事件進行一鍵關聯(lián)反饋，由所投產(chǎn)品的運營中心確認分析；4web應用防護系統(tǒng)1臺一、硬件要求1.硬件性能接口要求：高度≤2U，含交流雙電源，≥2*USB接口，≥1*RJ45串口，≥2*GE管理口，網(wǎng)絡層吞吐≥4000Mbps，應用層吞吐≥1Gbps，至少具備6個GE業(yè)務電口帶BYPASS，和≥4個千兆光口，并且所有業(yè)務接口均無需授權全部可用，需要自帶硬盤進行日志存儲，硬盤空間不小于1T；二、部署能力1.要求支持在線部署、旁路部署、VRRP協(xié)議、反向代理部署；2.旁路部署支持流量牽引、二層回注、跨接回注及PBR回注方式；3.要求支持A/S部署模式（鏈路切換、配置同步）；支持VRRP協(xié)議；支持非對稱路由下的部署；4.要求支持緊急模式，當并發(fā)連接數(shù)超過閥值時，WAF自動進入緊急模式，已經(jīng)代理的連接正常代理，對新增的請求不進行代理，直接轉(zhuǎn)發(fā)，防止WAF成為訪問瓶頸。當連接數(shù)恢復正常時，自動退出緊急模式；5.要求支持對安全策略的一鍵式例外配置；三、安全防護1.要求支持對HTTP協(xié)議合法性進行驗證，提供HTTP協(xié)議防護功能；2.系統(tǒng)要求提供可配置的內(nèi)置規(guī)則；且支持自定義規(guī)則，規(guī)則屬性要求支持“檢測方向（請求或響應）”、“檢測對象（URI/URI-path/Host/參數(shù)名/參數(shù)/Header-name/Header/Cookie名/Version/請求方法/Request-Body）”、匹配操作、特征簽名等豐富要素；3.要求支持對SSL（HTTPS）加密會話進行分析；4.要求支持防護：蠕蟲、緩沖區(qū)溢出、CGI信息掃描、目錄遍歷等攻擊；5.要求支持SQL注入、XSS防護，支持使HTTP頭域中的Cookie、Referer、User-Agent，Except字段過防護策略；6.設備的漏洞防護庫應有專業(yè)漏洞挖掘團隊維護，漏洞挖掘團隊須有對系統(tǒng)漏洞進行發(fā)現(xiàn)、驗證、以及提供應急服務的技術能力；7.要求支持CSRF（跨站請求偽造）防護；8.要求支持掃描防護，可對請求量進行統(tǒng)計分析，判斷依據(jù)包含：在一定樣本數(shù)前提下，通過請求離散率判別；在一定樣本數(shù)前提下，WEB服務器成功應答比例及失敗應答比例；在一定樣本數(shù)前提下，觸發(fā)告警數(shù)上限；9.要求支持識別判定自動掃描行為，在設定周期內(nèi)采集發(fā)送端向網(wǎng)站服務器發(fā)送的訪問請求消息和網(wǎng)站服務器向發(fā)送端返回的響應消息，將設定周期等分為至少兩個子周期，依次統(tǒng)計每個子周期內(nèi)訪問請求消息個數(shù)，確定發(fā)送端請求可信度，判定發(fā)送端是否發(fā)生了自動掃描的行為；10.要求支持Cookie安全機制，包括加密和簽名的防護方法，支持Cookie自學習；11.要求支持盜鏈防護，可采用Referer和Cookie算法；12.要求支持對服務器狀態(tài)碼進行過濾和偽裝的安全策略；13.產(chǎn)品要求提供URL訪問控制功能，能夠基于多種HTTP方法執(zhí)行訪問控制，包括：GET、POST、UNKNOWN、HEAD、PUT、DELETE、MKCOL、COPY、MOVE、OPTIONS、PROPFIND、PROPPATCH、LOCK、UNLOCKTRACE、SEARCH、CONNECT；14.要求支持暴力破解防護，支持基于GET或POST分別設置觸發(fā)閾值。能夠識別Form、Ajax、Jsonp等多種登錄驗證方式；15.要求支持會話追蹤能力，能夠關聯(lián)用戶的web請求及所有操作，達到攻擊鏈還原，用戶行為研究及攻擊動機挖掘的目的；16.要求能夠?qū)挼念悇e進行有效識別，支持的會話類別應至少包括：ASP-DOT-NET-session、ASPSESSIONID-session、ColdFusion-session、J2EE-JSESSIONID-Cookie-session、J2EE-JSESSIONID-URL-session、J2EE-session、JWS-ID-session、PHP-BB-MYSQL-session、PHPSESSID-session、PHPSESSIONID-session、SAP-session等；17.要求對流出數(shù)據(jù)內(nèi)容進行安全審查，對敏感關鍵字實施過濾，防止身份證等隱私信息非法泄露；18.要求支持XML基礎校驗，包括最大樹深度、元素名長度、元素個數(shù)、子節(jié)點個數(shù)等參數(shù)配置；19.要求支持基于五元組（源IP地址、目的IP地址、源端口、目的源口、協(xié)議類型）及接口的網(wǎng)絡層訪問控制功能；20.要求支持通過syslog和snmp兩種方式將日志發(fā)送到第三方日志平臺進行分析，Syslog方式支持通過Base64編碼進行發(fā)送，包含服務器漏洞、爬蟲防護、防篡改、智能補丁、防盜鏈、Cookie安全、IP信譽控制、Web訪問日志、會話追蹤、慢速攻擊、XML攻擊等類型日志，應支持按類別設置是否發(fā)送（能夠篩選只發(fā)送部分的日志）。因Web訪問日志量較大，應支持設置Web訪問日志量只發(fā)送到第三方日志平臺，不保存在設備本地存儲；21.為防止web攻擊手段采用base64編碼混淆真實攻擊意圖，WAF應支持Base64編碼攻擊防護；22.要求支持HTTPS國密算法；23.要求支持鏡像監(jiān)聽模式下HTTPS流量的解析；24.HTTPS要求支持配置HSTS功能；25.要求支持gzip網(wǎng)頁壓縮；26.要求支持國內(nèi)廣泛使用的本土化自產(chǎn)web框架及組件，如：織夢dedecms、ECShop等系統(tǒng)及其衍生模版的漏洞，應具備防護規(guī)則庫；27.可根據(jù)已知自身業(yè)務地理分布的客戶，對特定區(qū)域訪問進行控制，有效攔截地域性的攻擊；四、系統(tǒng)管理1.要求支持誤報分析功能，可通過自動、手動方式對周期內(nèi)的日志進行分析，并且根據(jù)分析結(jié)果進行自動策略調(diào)整，提升檢測精度，減少告警噪音；2.系統(tǒng)應提供多種升級方式，至少提供自動在線升級、離線升級兩種方式；3.利用威脅情報建立IP風險畫像，提供6類信譽數(shù)據(jù)DDos攻擊、安全漏洞、垃圾郵件、Web攻擊、掃描源、Botnet客戶端；4.要求可以與同品牌SaaS掃描服務或者Web漏洞掃描器聯(lián)動，在WAF上定期自動獲取專家級、個性化的《WEB漏洞掃描報告》，并轉(zhuǎn)化為WAF可執(zhí)行的、有針對性的WEB安全防護策略；5.要求提供本地清洗服務，能夠?qū)τ脩魝?cè)流量型及精細型DDOS攻擊進行防護；6.要求支持TCPFlood防護；7.要求支持HTTPFlood防護，檢測算法支持不低于4種，包括：httpcookies、urlcookies、ascii-image、bmp-image；8.要求支持與抗拒絕服務系統(tǒng)聯(lián)動，對流量進行按需清洗，為保證安全性。5web漏洞掃描系統(tǒng)1臺一、硬件規(guī)格1.≤1U機架式設備，要求配置雙電源；2.千兆電口≥6，USB接口≥2，RJ45串口≥1，GE管理口≥2，網(wǎng)卡接口擴展槽位≥1，配置SATA≥2T，支持拓展至4T，內(nèi)存≥16G，CPU≥4核；3.掃描IP地址和掃描Web域名數(shù)量無限制，掃描任務并發(fā)數(shù)至少支持10個；二、知識庫1.要求支持CVE、CNNVD、CNVD等類型的漏洞庫數(shù)量24萬及以上；2.要求支持自研POC漏洞1500及以上；3.要求支持按需自定義漏洞POC檢測插件，包括漏洞名稱、漏洞類型、漏洞危害、CVSS信息、檢測腳本等，用于日常突發(fā)漏洞應急；4.要求支持自定義資產(chǎn)指紋的檢測規(guī)則，包括指紋名稱、產(chǎn)品名稱、檢測腳本等；三、漏洞檢查1.要求支持互聯(lián)網(wǎng)突發(fā)漏洞檢機制，針對0day漏洞，可通過poc快速生成漏洞掃描策略，對制定的客戶資產(chǎn)進行漏洞風險檢測；四、Web掃描1.要求支持Http基礎認證登錄、自動識別URL認證登錄、Https證書登錄、Cookie認證登錄；2.要求支持基于系統(tǒng)掃描的結(jié)果，下發(fā)Web深度掃描任務，能夠針對Web和系統(tǒng)掃描的結(jié)果深入的進行風險綜合分析；3.要求支持JS渲染的Web2.0應用，包括JQuery、Ajax、Flash、Applet等Web2.0應用和Vue、React等單頁應用；4.要求支持Web漏洞檢查能力，包括但不限于Sql注入、XSS、CSRF、反序列化、LDAP注入、XPath注入、文件上傳、水平權限繞過、信息泄露等；5.要求支持登錄錄制認證方式，通過對網(wǎng)站登錄操作行為錄制，保證錄制文件持續(xù)登錄的有效性；6.Web掃描需覆蓋OWASP重點漏洞和主流開發(fā)語言；7.要求支持針對最大并發(fā)連接數(shù)、響應超時時間、頁面大小限制等Web掃描的參數(shù)設置；8.要求支持模擬真實瀏覽器渲染頁面的方式進行爬蟲爬取，支持設置頁面爬取深度、爬取路徑；9.要求對DVWA靶站掃描結(jié)果應覆蓋TOP10漏洞，DVWA靶場low級別下漏洞檢測誤報率低于1%；掃描器支持采集交換機端口上的鏡像HTTP流量進行漏洞掃描，可自定義收集流量的IP、端口范圍；10.要求支持全局白名單和任務白名單配置，Web掃描可對url進行白名單配置，支持正則格式；11.要求支持通過nginx、apache等日志解析規(guī)則，實現(xiàn)全面資產(chǎn)發(fā)現(xiàn)和漏洞檢測；12.掃描器要求具備Web應用被動掃描能力，通過代理監(jiān)聽Web應用運行狀態(tài)，自動識別和發(fā)現(xiàn)漏洞；五、漏洞管理1.要求支持通過圖標的方式展示不同單位的資產(chǎn)漏洞風險情況；包括且不限于漏洞總數(shù)、修復漏洞數(shù)、新增漏洞數(shù)、漏洞變化趨勢、漏洞修復狀態(tài)統(tǒng)計、修復漏洞耗費時間分布、漏洞類型統(tǒng)計、弱口令統(tǒng)計等；2.要求支持按照漏洞和資產(chǎn)維度進行漏洞信息篩選，包括但不限于漏洞名稱、漏洞風險等級、資產(chǎn)風險等級、資產(chǎn)存活性、漏洞位置、相關資產(chǎn)、發(fā)現(xiàn)次數(shù)等快速定位風險資產(chǎn)；3.要求支持針對漏洞權重和漏洞建議處理優(yōu)先級的方式進行排序；4.要求支持漏洞生命周期追蹤，包括待分配、待驗證、待修復、待復核、歸檔、誤報、忽略7種狀態(tài)，并支持漏洞狀態(tài)的批量編輯更改；5.要求支持漏洞復測情況管理，可展示最近的漏洞復測信息，并可通過系統(tǒng)手動暫定正在復測的漏洞掃描任務；6.要求支持對漏洞進行單個或批量復測，且支持查看復測結(jié)果；六、掃描策略配置1.要求支持在系統(tǒng)內(nèi)置的掃描策略基礎上自定義掃描策略模板，支持自定義模板增加、刪除、編輯、查詢功能；支持批量刪除自定義掃描策略模板；2.要求支持自定義選擇系統(tǒng)內(nèi)置的分布式掃描引擎節(jié)點，按需啟動的引擎節(jié)點；3.要求支持對指定的IP、IP段、B/C整段、CIDR等形式的掃描任務實現(xiàn)立即執(zhí)行，定時執(zhí)行，每天、每周、每月的周期執(zhí)行掃描任務，支持自定義可掃描和禁止掃描的時段，可分鐘級設置允許掃描或禁止掃描的時間，靈活的設置可連續(xù)掃描的時間；4.要求支持針對通用的CVE、CNNVD和CNVD漏洞庫通過一鍵插件選擇的方式下發(fā)掃描任務；5.要求支持通過漏洞等級、漏洞編號、漏洞類型、漏洞標簽等方式下發(fā)掃描任務；6.要求支持通過嚴重、高危、中危、低危的維度創(chuàng)建掃描任務；7.要求支持通過漏洞編號下發(fā)掃描任務；8.要求支持通過SQL注入、XSS、后門、未授權訪問、弱口令等維度下發(fā)掃描任務；9.要求支持針對業(yè)務信息的消息策略配置，包含且不限于危險漏洞提醒、復現(xiàn)漏洞提醒、多次暴露漏洞提醒、高權重資產(chǎn)出現(xiàn)漏洞、敏感端口開放等；10.要求支持盲打平臺反連配置，fastjson、SSRF、log4j、代理未授權等需要反向連接確定的漏洞；七、報告與分析1.要求支持郵件、釘釘、飛書等消息通知模式；2.要求支持掃描任務結(jié)束自動提醒，通過郵件的方式將掃描報告發(fā)送給管理員；3.要求支持全局視角分析漏洞狀態(tài)，包括漏洞的新增分析、漏洞修復分析、資產(chǎn)運行狀況分析、資產(chǎn)數(shù)據(jù)統(tǒng)計分析、資產(chǎn)風險等級分析、風險組織單位分析、業(yè)務系統(tǒng)漏洞排名分析、漏洞等級、弱口令漏洞排名分析；4.要求支持針對掃描結(jié)果進行對比分析，包括新增資產(chǎn)產(chǎn)、減少資產(chǎn)、相同資產(chǎn)情況，以及針對資產(chǎn)的漏洞數(shù)量等；5.要求支持針對任務的情況進行分析，包括且不限于針對不同掃描策略下發(fā)掃描任務的數(shù)量分布、最大并發(fā)任務數(shù)統(tǒng)計、新發(fā)現(xiàn)的漏洞數(shù)量趨勢分析、存在漏洞的任務；6.要求支持將掃描的任務結(jié)果，通過掃描時間、創(chuàng)建用戶、掃描任務、組織單位等多維度進行重新聚合分析；7.要求內(nèi)置掃描任務報表、基線檢查報表、資產(chǎn)報表、漏洞報表、對比報表和自定義報表模板；自定義的維度包括且不限于資產(chǎn)（主機存活性、主機指紋、端口、web指紋等）、漏洞（修復方案、CVSS評分、漏洞細節(jié)、漏洞描述、漏洞危害、影響范圍等）進行篩選；8.要求支持html、Word、excel、pdf等多種格式報表導出；要求支持報表在線查看，類型包括任務報表、任務對比報表、資產(chǎn)報表、漏洞報表、基線檢測報表。6運維安全審計系統(tǒng)2臺一、硬件要求1.設備配置：≤2U高度、≥16G內(nèi)存，≥4T硬盤（可用空間2T，軟raid），≥2千兆電口，冗余雙電源，License≥500個，至少可管理500個目標資產(chǎn)對象；二、用戶管理1.系統(tǒng)要求內(nèi)置超級管理員、配置管理員、審計管理員和操作員四種角色，并可根據(jù)模塊化功能來自定義用戶角色；2.要求支持雙因素組合認證，可以將兩種認證組合為全新的認證方式；3.要求支持AD賬號的定期自動化同步，當AD域中的新增或刪除賬號時，會自動同步至運維審計系統(tǒng)中；4.要求具備賬號密碼的防暴力破解功能，可在用戶持續(xù)輸錯若干次密碼后，自動鎖定賬號或者客戶端，鎖定時常能夠自定義；三、資產(chǎn)管理1.要求支持資產(chǎn)動態(tài)視圖管理，管理員在設置好資產(chǎn)的層級關系后，系統(tǒng)可自動生成動態(tài)全景樹狀視圖；2.要求支持資產(chǎn)連通性測試，包括端口測試、密碼校驗及PING檢測；3.要求支持應用發(fā)布功能，可集中管控各類B/S、C/S應用；4.要求支持等價資產(chǎn)管理和等價賬號管理，當?shù)葍r關系設定后，其中一臺資產(chǎn)內(nèi)的賬號密碼發(fā)生變更，等價的資產(chǎn)、賬號密碼隨之自動變更；四、權限管控1.要求具備獨立的權限管理頁面，支持基于ABAC模式的動態(tài)權限管控，管理員可基于用戶屬性、資產(chǎn)屬性、系統(tǒng)賬號屬性來創(chuàng)建彈性動態(tài)權限規(guī)則，只要滿足相關屬性的用戶、資產(chǎn)、賬號即會被自動賦予對應訪問權限；2.要求支持對通過rdp協(xié)議登錄到目標資產(chǎn)后的剪貼板控制，可限制剪貼板的文件上行、字符上行、文件下行、字符下行操作；3.要求支持變更單管理功能，管理員可以基于使用人、資產(chǎn)、系統(tǒng)賬號、到期時間，來上傳、創(chuàng)建值班表模式的權限變更單，變更單無需審批，但可以自動生成時效性的訪問權限；4.要求支持按用戶/用戶組/資產(chǎn)/資產(chǎn)組查看訪問權限，權限內(nèi)容含資產(chǎn)、賬號、規(guī)則模板及對應的權限策略名稱，并可通過EXCEL導出相應權限關系；5.要求支持基于A/B角管理模式的雙人復核，當用戶登錄到目標資產(chǎn)時，必須經(jīng)過復核人的復核確認后才能正常操作；當會話復核人發(fā)現(xiàn)操作存在風險，可實時暫停；6.針對高敏設備，要求支持用戶登錄時候的二次授權；授權碼可采用“專用授權PIN碼+內(nèi)置的動態(tài)雙因素認證碼”，避免授權密碼外泄帶來的安全風險；7.要求支持高危命令權限控制，當用戶試圖去執(zhí)行高危命令時，會被系統(tǒng)自動給予告警、放行、拒絕、切斷會話、轉(zhuǎn)發(fā)給管理員復核；高危命令權限控制支持命令黑白名單和命令正則表達式；五、電子工單1.要求內(nèi)置資產(chǎn)訪問工單：用戶填寫包含工單標題、工單描述、需要訪問的資產(chǎn)、需要使用的系統(tǒng)賬號、需要訪問的時間段的電子工單，經(jīng)審批通過后可自動生成時效性的訪問權限；2.要求支持工單撤銷功能，針對已審批通過的工單，管理員可以一鍵撤銷；3.要求內(nèi)置密碼獲取工單：申請人可根據(jù)需要填寫包含目標資產(chǎn)名稱、系統(tǒng)賬號名稱、使用時間段的密碼工單；管理員對密碼工單審批通過后，系統(tǒng)自動將密碼獲取鏈接發(fā)送給申請人；申請人打開鏈接后，可憑借登錄密碼+解密密碼，獲取對應的賬號密碼；工單過期后，系統(tǒng)自動對該賬號進行改密操作；六、資產(chǎn)訪問1.要求支持同類會話、單一會話的cpu、內(nèi)存負載限制，限定用戶通過運維安全管理系統(tǒng)發(fā)起的圖形、字符、數(shù)據(jù)庫三類操作分別可以占用的最大資源比例，防止因會話負載過高而阻礙運維安全管理系統(tǒng)正常運行；2.要求支持在線會話查詢功能，用戶可自行查詢指定資產(chǎn)當前的會話信息，包括在線用戶、來源IP、在線時長等信息；七、行為審計1.要求具備命令識別方面的先進性技術，可實現(xiàn)對命令行操作行為的100%記錄；2.要求具備數(shù)據(jù)庫審計方面的先進性技術，可實現(xiàn)對oracle、sqlserver、mysql數(shù)據(jù)庫客戶端操作行為的100%的SQL語句還原；3.要求支持從任一條sql語句開始,回放用戶的操作過程；4.要求支持對用戶命令操作的輸入輸出，在同一界面展示，并能自動以不同顏色標記出被系統(tǒng)拒絕、切斷的操作；5.要求支持可疑會話自動識別，可將超過一定時長，或會話文件超過一定大小的在線會話自動標識為可疑會話，并在審計界面進行可視化展示；6.要求支持文件傳輸審計，可完整記錄用戶通過系統(tǒng)進行的SFTP、剪切板、磁盤映射、rz/sz四大類文件傳輸操作，并能對傳輸?shù)奈募畔⑦M行留存（文件留痕的資產(chǎn)范圍可配置），以便于事后審計；7.要求支持資產(chǎn)、用戶、操作、工單四個維度的問題檢索，其中在操作檢索層面，支持多關鍵字，檢索結(jié)果可以直接定位到相關操作片段，并能將多個操作片段進行一鍵合并和基于時間的操作排序重組；八、自動改密1.要求支持針對主機、網(wǎng)絡設備和AD域三類資產(chǎn)的動態(tài)自動改密功能，管理員可基于資產(chǎn)屬性和賬號屬性創(chuàng)建彈性動態(tài)改密規(guī)則，只要滿足相關屬性的資產(chǎn)和賬號即會被自動納入改密計劃；2.要求支持自定義密碼規(guī)則，包括密碼策略、是否分段保管、密碼備份方式等，密碼策略包括隨機生成相同密碼、隨機生成不同密碼、指定密碼、密碼集；密碼備份方式支持分段加密外發(fā)到郵箱或者文件服務器；3.要求支持賬號密碼定期自動備份；九、系統(tǒng)管理1.系統(tǒng)語言支持中英文自由切換；2.要求支持定期自動備份審計數(shù)據(jù)至文件服務器，定期清理過期的審計日志；3.要求支持在Web界面自定義設置字符、圖形、Web等服務的網(wǎng)絡端口；4.要求支持通過一鍵巡檢功能快速獲取系統(tǒng)整體健康狀況和運行狀況；5.要求支持通過syslog方式發(fā)送告警事件，日志來源包括日志告警包括身份驗證、資產(chǎn)訪問、命令防火墻、會話復核、字符審計日志、系統(tǒng)負載告警、配置日志、圖形審計日志、數(shù)據(jù)庫審計日志、文件傳輸日志。7數(shù)據(jù)庫審計系統(tǒng)1臺一、產(chǎn)品規(guī)格和性能1.≤2U硬件，交流冗余電源，不低于2GE板載管理口，≥4×接口板卡插槽；內(nèi)存≥64GB，硬盤≥8TB；數(shù)據(jù)庫(IP+Port)授權≥75；關鍵性能指標：純數(shù)據(jù)庫流量≥200Mbit，QPS≥20000條/秒，在線會話數(shù)≥8000個；網(wǎng)絡流量≥2Gbps；二、設備部署1.鏡像模式：要求旁路部署模式下無須在被審計數(shù)據(jù)庫系統(tǒng)上安裝任何代理即可實現(xiàn)審計（不需要提供DBA和任何數(shù)據(jù)庫用戶，不需要創(chuàng)建任何數(shù)據(jù)庫用戶）；可支持TAP和SPAN模式；2.探針模式：要求支持在目標數(shù)據(jù)庫服務器主機上安裝agent解決云環(huán)境、虛擬化環(huán)境內(nèi)部流量無法鏡像場景下數(shù)據(jù)庫的審計（不需要提供DBA賬號和任何數(shù)據(jù)庫賬戶，不需要創(chuàng)建任何數(shù)據(jù)庫賬戶），在審計平臺可以實時監(jiān)控服務器和agent的資源狀態(tài)；3.要求支持鏡像模式和探針模式混合部署；4.要求支持豐富的探針參數(shù)，包括IP地址過濾、服務器和探針的CPU占用率、內(nèi)存占用率、流量速率閾值、加密、本地緩存大小等靈活配置；5.要求管理平臺對探針的管理能力豐富，支持插件的配置、掛起、喚醒、停止、升級、狀態(tài)監(jiān)控和日志查看；支持遠程安裝、卸載，和下載探針安裝包；6.探針要求支持多種操作系統(tǒng)，包括CentOS、Redhat、Ubuntu、SUSE、Windows等，及國產(chǎn)操作系統(tǒng)：Kylin、Asianus、EulerOS；7.要求支持虛擬化環(huán)境部署；三、協(xié)議支持1.可支持國際數(shù)據(jù)庫需至少包含：Oracle、MySQL、SQLServer、Db2、Informix、PostgreSQL（EDB）、SybaseASE、MariaDB、Percona、Greenplum、Caché、Teradata、SAPHANA、Vertica等；2.可支持國產(chǎn)數(shù)據(jù)庫需至少包含：達夢、南大通用、人大金倉、神通、OceanBase、GaussDBA、GaussDBT、TiDB、TeleDB等；3.要求支持Hive、HBase、Impala、HDFS、SparkSQL，ElasticSearch、MongoDB、Redis、Clickhouse等大數(shù)據(jù)組件和非關系型數(shù)據(jù)庫的審計；4.要求支持審計使用回環(huán)地址連接數(shù)據(jù)庫的本地訪問行為；5.要求支持審計使用IPC直連數(shù)據(jù)庫實例的本地訪問行為；6.要求支持數(shù)據(jù)庫地址配置域名，通過域名對數(shù)據(jù)庫進行審計；7.要求支持OracleCDB/PDB；8.要求支持Oracle、MySQL、Hive加密鏈路；9.要求支持Oracle高級安全加密；10.要求支持數(shù)據(jù)庫使用動態(tài)端口；11.要求支持單向請求包審計；12.要求支持IPv6；四、自動發(fā)現(xiàn)1.要求支持從數(shù)據(jù)庫流量中自動識別數(shù)據(jù)庫，從流量分析結(jié)果中自動判別包含的數(shù)據(jù)庫類型、版本、地址等信息，并且自動添加到審計范圍，無需用戶提供網(wǎng)段、數(shù)據(jù)庫地址等信息；智能模式，根據(jù)系統(tǒng)資源使用率動態(tài)決定是否進行自動發(fā)現(xiàn)，從而不影響正常審計業(yè)務；2.要求支持自動添加自動發(fā)現(xiàn)的數(shù)據(jù)庫；五、審計能力1.要求支持審計會話相關信息，包括：客戶端IP、客戶端端口、客戶端MAC、OS用戶、訪問工具、主機名稱、數(shù)據(jù)庫名稱、數(shù)據(jù)庫用戶、數(shù)據(jù)庫會話標識、數(shù)據(jù)庫IP、端口、MAC、服務（實例）名、會話開始、結(jié)束時間等；2.要求支持審計SQL語句相關信息，包括：SQL標識、操作類型（DDL、DML、DCL等）、影響行數(shù)、響應時間、語句長度、捕獲時間、執(zhí)行結(jié)果（DB應答碼、應答錯誤信息）、受影響對象、SQL語句、SQL語句模板、SQL參數(shù)、結(jié)果集等；3.要求支持跨語句、跨多包的訪問方式及綁定變量值的審計；4.要求支持對超長SQL操作語句審計，對于Oracle可支持8M長的SQL語句；5.要求支持配置返回行數(shù)和內(nèi)容大小控制返回結(jié)果集大小，降低系統(tǒng)開銷；六、審計規(guī)則1.要求內(nèi)置默認規(guī)則，支持場景：高危操作、權限變更、批量數(shù)據(jù)泄露或篡改、撞庫、無where更新或刪除、SQL注入、系統(tǒng)表非法操作等；2.要求可自定義審計規(guī)則；審計規(guī)則至少支持20個條件，規(guī)則各條件之間支持與、或、非邏輯關系；3.要求在規(guī)則中可支持多種條件：訪問來源：源IP、客戶端工具、客戶端MAC、操作系統(tǒng)用戶、主機名、數(shù)據(jù)庫實例、數(shù)據(jù)庫用戶；應用身份：應用客戶端IP、應用用戶名；操作設置：select、update等SQL操作、schema、表、字段；條件控制：where條件、關聯(lián)表個數(shù)、SQL語句關鍵字；執(zhí)行結(jié)果：影響行數(shù)、響應時間、執(zhí)行結(jié)果關鍵字、結(jié)果集敏感行數(shù)、應答錯誤號；SQL命令特征（如SQL注釋、常量表達式等）、SQL函數(shù)、XSS跨站；時間范圍；4.要求支持規(guī)則例外，使得特定行為或語句不命中規(guī)則；規(guī)則例外中可配置：訪問來源：源IP、客戶端工具、客戶端MAC、操作系統(tǒng)用戶、主機名、數(shù)據(jù)庫實例、數(shù)據(jù)庫用戶；應用身份：應用客戶端IP、應用用戶名；操作設置：select、update等SQL操作、schema、表、字段；條件控制：where條件、關聯(lián)表個數(shù)、SQL語句關鍵字；SQL命令特征（如SQL注釋、常量表達式等）、SQL函數(shù)、XSS跨站；時間范圍；5.要求可支持對觸發(fā)器定義、存儲過程調(diào)用、視圖、函數(shù)、包、綁定變量配置規(guī)則條件；6.要求支持審計白名單，以實現(xiàn)信任特定行為或語句，不會觸發(fā)風險；7.要求支持對信任的行為或語句不進行審計；8.要求支持針對SQL語句配置審計規(guī)則；9.要求支持頻次規(guī)則，即在一段時間內(nèi)對某對象的操作頻率；10.規(guī)則可關聯(lián)數(shù)據(jù)庫，也可關聯(lián)數(shù)據(jù)庫類型；關聯(lián)數(shù)據(jù)庫類型后，可選擇自動關聯(lián)后續(xù)添加的數(shù)據(jù)庫；11.支持對工具語句的過濾；12.應具備漏洞攻擊規(guī)則庫，漏洞攻擊規(guī)則應至少包括：漏洞名稱、CVE標識、CNNVD、漏洞類型、影響范圍等內(nèi)容；13.內(nèi)置安全特征庫規(guī)則，如SQL注入、緩沖區(qū)溢出、權限提升、數(shù)據(jù)泄露、拒絕服務、訪問操作系統(tǒng)、改密碼、BypassFGAC、修改FGAC、審計、游標注入、訪問敏感組件、創(chuàng)建外部JOB、惡意代碼、非系統(tǒng)用戶執(zhí)行命令等常規(guī)漏洞；14.要求支持在全局啟用結(jié)果集審計，也支持按照規(guī)則進行結(jié)果集審計，可以針對特定訪問行為，審計結(jié)果集；15.告警數(shù)量支持最大告警數(shù)量限制，超過告警閾值之后便不告警；16.可以針對每條規(guī)則配置不同告警次數(shù)限制，靈活控制告警頻率；17.要求支持IP地址、數(shù)據(jù)庫用戶、時間、對象、應用用戶、操作系統(tǒng)用戶、客戶端工具、數(shù)據(jù)庫實例分組，并且分組對象可以直接在規(guī)則中引用；18.提供默認對象組，內(nèi)置主流數(shù)據(jù)庫的系統(tǒng)對象信息，可直接在規(guī)則中引用；七、查詢能力1.要求支持對審計到的SQL語句、SQL會話、觸發(fā)的風險進行查看和檢索；2.對于SQL語句，支持多種查詢條件：客戶端IP、客戶端MAC、客戶端工具、主機名、操作系統(tǒng)用戶、數(shù)據(jù)庫用戶、被保護數(shù)據(jù)庫、數(shù)據(jù)庫IP、數(shù)據(jù)庫端口、服務（實例）名、對象、影響行數(shù)、響應時間、語句總耗時、執(zhí)行結(jié)果、應用客戶端IP、應用用戶名、SQL操作、風險類型、風險級別、時間等；3.要求支持對結(jié)果集的關鍵字檢索；4.要求支持將常用的查詢條件保存成固定查詢模板，方便后續(xù)快速查詢；5.要求支持對查詢結(jié)果以CSV文件格式導出到本地；6.要求支持導出任務，可后臺執(zhí)行，查詢并導出大量結(jié)果，導出量在百萬量級；7.要求支持對查詢結(jié)果中可能存在的敏感數(shù)據(jù)進行掩碼處理，防止敏感數(shù)據(jù)泄露；8.要求支持客戶端IP進行別名配置，實現(xiàn)針對不同客戶端IP自定義別名展現(xiàn)；9.要求支持自定義業(yè)務化語言，可將SQL語句翻譯為業(yè)務化的語句進行展現(xiàn)；八、統(tǒng)計分析1.要求支持對會話詳情展現(xiàn)，可對會話內(nèi)執(zhí)行的全部SQL進行展示，跟蹤對數(shù)據(jù)庫的訪問行為；2.要求支持對會話進行統(tǒng)計分析，包括：從訪問來源對新建會話、在線會話進行統(tǒng)計；分析失敗登錄的來源和目的、時間和失敗原因等；3.要求支持對SQL語句的統(tǒng)計分析，包括：根據(jù)操作類型、訪問來源對SQL進行統(tǒng)計；根據(jù)語句模板，對SQL的執(zhí)行次數(shù)進行統(tǒng)計、對執(zhí)行歷史進行追蹤；分析失敗語句的來源、錯誤原因等信息；4.要求支持對語句TopSQL的分析，可從語句的耗時和執(zhí)行次數(shù)維度進行統(tǒng)計，評估數(shù)據(jù)庫性能；5.要求支持對訪問源的分析，可展現(xiàn)不同數(shù)據(jù)庫節(jié)點的訪問源統(tǒng)計、分析狀態(tài)；6.支持對風險的統(tǒng)計，包括：從風險等級、規(guī)則等維度進行統(tǒng)計和展現(xiàn)；從語句模板的維度對風險命中情況進行統(tǒng)計；；7.在統(tǒng)計中支持鉆取，可快速定位行為或風險；8.對象統(tǒng)計：以操作類型為維度，統(tǒng)計表級別對象被訪問次數(shù)，可生成行為軌跡圖；并可通過對象的訪問次數(shù)，下鉆追溯到該表對象下所有的訪問語句詳情，以及該表對象訪問來源；；9.統(tǒng)計對比：獲取同一數(shù)據(jù)庫不同時間段及不同數(shù)據(jù)庫同一時間段的SQL語句量和會話量的對比統(tǒng)計數(shù)據(jù)以及變化趨勢；九、報表1.系統(tǒng)提供40+個報表模型，分別基于全庫、數(shù)據(jù)庫組和單庫維度進行展現(xiàn)；2.要求支持合規(guī)性報表，如SOX法案、等保、PCI等專項報表展現(xiàn)；3.要求支持通過專項報表，針對風險、性能、訪問源、數(shù)據(jù)庫用戶等信息做專項報表展現(xiàn)；4.要求支持自定義報表；5.要求支持圖表結(jié)合展現(xiàn)，支持柱形圖、餅狀圖、條形圖，雙軸折線圖等多種統(tǒng)計圖展現(xiàn)形式，基于總體概況、性能、會話、語句、風險多層面展現(xiàn)報表；6.要求支持按日、周、月等時間周期生成報表；7.要求支持報表數(shù)據(jù)后臺定期預生成，保障報表數(shù)據(jù)展現(xiàn)速度；8.要求支持將報表按指定的時間推送至指定管理員的郵箱；9.報表支持以Word、PDF、HTML等格保存到本地；10.要求支持對特殊場景的分析，如運維人員共用數(shù)據(jù)庫賬號場景分析、對象訪問熱度分析等；十、告警與外送1.要求支持系統(tǒng)告警；系統(tǒng)告警內(nèi)容支持網(wǎng)卡異常、分區(qū)超限、異常關機、CPU超限、內(nèi)存超限、會話超限、包數(shù)超限、SQL數(shù)超限、探針異常、表數(shù)據(jù)增量異常、許可證狀態(tài)異常等；可及時發(fā)現(xiàn)系統(tǒng)問題，跟進處理；2.要求支持規(guī)則命中后的風險告警；風險告警內(nèi)容支持觸發(fā)規(guī)則風險內(nèi)容，并支持根據(jù)風險等級進行告警通知；3.要求支持告警與規(guī)則關聯(lián)，實現(xiàn)不同規(guī)則的告警發(fā)送給不同收件人，方便進行風險的排查；4.告警方式至少包括：郵件、短信、SYSLOG、SNMPTRAP、企業(yè)微信、釘釘、頁面彈窗；5.要求支持SYSLOG方式外送數(shù)據(jù)，可外送審計數(shù)據(jù)、新型語句模板、系統(tǒng)日志；6.要求支持KAFKA方式進行審計數(shù)據(jù)外送，可外送會話信息、語句信息；十一、數(shù)據(jù)管理1.要求支持審計日志數(shù)據(jù)的備份，支持自動備份，備份時可以選擇高性能或高壓縮比；2.要求支持將備份的日志上傳到的遠程服務器，服務器類型支持FTP、SFTP、NFS方式；3.要求支持恢復已備份的審計日志數(shù)據(jù)，以便查看歷史審計記錄；4.要求支持對存儲空間的監(jiān)控，當空間不足時可進行告警；5.要求支持對審計數(shù)據(jù)的清理，可按在線條數(shù)、磁盤空間等閾值進行自動清理；十二、其他1.要求支持行為建模:可基于單個數(shù)據(jù)庫建立學習期，默認學習期內(nèi)行為可信認，學習期結(jié)束后，產(chǎn)生的數(shù)據(jù)標記為新型對象（依賴對象統(tǒng)計能力）、新型語句模板；2.要求支持單庫模式；在單庫模式下，管理員可聚焦單個數(shù)據(jù)庫，對數(shù)據(jù)庫進行全方位的審計行為，包括行為分析、風險監(jiān)控、策略配置、統(tǒng)計報表等；3.要求支持敏感數(shù)據(jù)的發(fā)現(xiàn)；十三、系統(tǒng)管理1.要求支持三權分立，系統(tǒng)默認設定系統(tǒng)管理員、規(guī)則配置員、審計查看員、操作日志查看員等角色；2.需可以新建不同用戶，分配不同數(shù)據(jù)庫權限和不同的菜單管理權限，不同用戶之間數(shù)據(jù)隔離；可創(chuàng)建多層子賬號；3.要求支持密碼策略的配置，可調(diào)整密碼強度、登錄安全相關配置；4.要求支持多語言；5.審計設備WEB界面要求提供自動診斷功能，可以自動收集實例級參數(shù)、策略中心參數(shù)、操作系統(tǒng)參數(shù)、組件參數(shù)，方便了解系統(tǒng)運行狀態(tài)和排查問題；6.要求具有自身安全審計功能，可以對審計系統(tǒng)的所有用戶操作進行審計記錄。8數(shù)據(jù)庫防火墻2臺一、產(chǎn)品規(guī)格和性能1.≤2U硬件平臺，交流冗余電源，GE板載管理口≥2個，接口擴展板卡插槽≥4個；內(nèi)存≥64GB，硬盤≥8TB；數(shù)據(jù)庫(IP+Port)授權≥45個；純數(shù)據(jù)庫流量≥150Mbps、QPS≥15000條/秒、在線會話數(shù)≥5500個；二、部署模式1.要求支持透明網(wǎng)橋模式、代理模式、透明代理模式、旁路模式部署；2.要求安裝部署不需要提供DBA賬號，在數(shù)據(jù)庫上不需要安裝任何軟件；三、高可用機制1.要求支持HA雙機主備自動切換，支持策略同步、會話同步機制，保障主備間的一致性；2.要求支持產(chǎn)品斷電Bypass和在線Bypass容災功能，可啟動/關閉Bypass能力，保障系統(tǒng)異常環(huán)境下的網(wǎng)絡暢通；四、協(xié)議支持1.要求支持國際數(shù)據(jù)庫類型：Oracle、SQLServer、MySQL、Db2、Informix、PostgreSQL、MariaDB、Percona、Greenplum、SybaseASE、InterSystemsCache、Teradata、Vertica、SAPHANA；2.要求支持國產(chǎn)數(shù)據(jù)庫類型：DM、GBase8a、GBase8t、KingbaseES、OSCAR、SG-RDB(MySQL)、SG-RDB(PostgreSQL)、GaussDBA、GaussDBT、OceanBase、TeleDB；3.要求支持大數(shù)據(jù)：MongoDB、SparkSQL、Hive、Redis、Hbase、Impala、Sentry、HDFS、Elasticsearch、Elasticsearch(REST)、ClickHouse；4.加密鏈路防護要求：支持Oracle的高級安全加密;支持Hive的Kerberos加密審計與防護;支持IPv6；五、防護能力1.要求支持兩種防護模式：會話阻斷：支持依照策略配置對存在風險的會話進行阻斷；攔截語句：支持依照策略配置對會話中的風險語句進行攔截，但不影響會話原有的連接狀態(tài)；2.要求針對Oracle數(shù)據(jù)庫可以區(qū)分PDB/CDB實例進行防護；3.要求支持通過數(shù)據(jù)庫名稱、數(shù)據(jù)庫實例、Schema、表名、字段名、函數(shù)等關聯(lián)信息解析和設置防護規(guī)則；4.內(nèi)置默認規(guī)則，要求支持場景：高危操作、權限變更、批量數(shù)據(jù)泄露或篡改、撞庫、無where更新或刪除、SQL注入、系統(tǒng)表非法操作、錯誤碼提示等；5.要求支持進行敏感訪問操作行為防護：定義非法訪問要求：通過客戶端IP、數(shù)據(jù)庫用戶、客戶端工具、客戶端MAC、OS用戶、主機名、時間等；管控高危操作、權限變更行為要求：通過全部對象或指定對象的ALTERTABLE、DROPTABLE、TRUNCATE等高危操作行為攔截；要求防止大量數(shù)據(jù)修改、刪除、泄露：通過精細化管控受影響數(shù)據(jù)行數(shù)(閥值)，超出閥值的行為進行阻斷；攔截nowhere引起的整表更新、整表清空的誤操作；要求防止敏感信息泄露與敏感對象訪問：支持批量添加敏感對象，與操作行為進行關聯(lián)；6.要求支持數(shù)據(jù)庫攻擊行為防護：要求支持口令攻擊防護，可基于頻次判斷失敗登錄風險；要求支持SQL注入、XSS跨站攻擊等外部行為防護；7.要求支持數(shù)據(jù)庫漏洞攻擊防護：要求提供針對利用已公開的數(shù)據(jù)庫漏洞攻擊行為進行攔截的虛擬補丁功能；漏洞分類應涵蓋：緩沖區(qū)溢出、權限提升、拒絕服務攻擊等，至少提供450個以上虛擬補??；漏洞補丁規(guī)則管理維度，要求包括：漏洞名稱、CVE標識、CNNVD標識、漏洞類型和影響范圍；8.要求支持防護白名單，信任特定行為或語句，可以設置為放行審計，也可以設置放行不審計；9.要求支持針對SQL語句配置防護規(guī)則；10.要求支持通過“SQL語句關鍵字”“SQL語句模板關鍵字”等條件控制，防止敏感操作執(zhí)行；11.要求支持返回錯誤碼、響應時間控制；12.要求支持結(jié)果集內(nèi)容作為規(guī)則判定的條件，結(jié)果集包含敏感數(shù)據(jù)，則直接攔截或阻斷；六、防護規(guī)則管理1.要求規(guī)則可關聯(lián)數(shù)據(jù)庫，也可關聯(lián)數(shù)據(jù)庫類型；關聯(lián)數(shù)