數(shù)據(jù)安全設(shè)備及服務(wù)需求

數(shù)據(jù)安全設(shè)備及服務(wù)需求序號(hào)名稱數(shù)量單位（功能或者目標(biāo)）、質(zhì)量、安全、技術(shù)規(guī)格、物理特性等要求1數(shù)據(jù)安全系統(tǒng)1套一、數(shù)據(jù)庫(kù)審計(jì)一體機(jī)設(shè)備：1.性能要求：支持的數(shù)據(jù)庫(kù)實(shí)例個(gè)數(shù)≥50，峰值SQL處理能力≥40000條/秒，硬件吞吐量≥3Gbps，雙向?qū)徲?jì)數(shù)據(jù)庫(kù)流量≥270Mbps，標(biāo)配日志存儲(chǔ)數(shù)≥20億條，審計(jì)日志檢索能力≥1500萬條/秒。2.硬件要求：2U機(jī)架式，內(nèi)置交流雙電源，內(nèi)存≥16*2GB，硬盤≥16TB（4T*4），支持RAID1，支持RAID5，配備至少2個(gè)千兆電口管理口（admin口1個(gè)、HA口1個(gè)），配至少4個(gè)千兆電口和4個(gè)千兆光口。3.部署方式：3.1旁路部署模式下無須在被審計(jì)數(shù)據(jù)庫(kù)系統(tǒng)上安裝任何代理，通過鏡像流量即可實(shí)現(xiàn)審計(jì)；3.2在目標(biāo)數(shù)據(jù)庫(kù)安裝Agent解決云環(huán)境、虛擬化環(huán)境內(nèi)部流量無法鏡像場(chǎng)景下數(shù)據(jù)庫(kù)的審計(jì)；3.3支持分布式部署，管理中心可實(shí)現(xiàn)統(tǒng)一配置、一鍵批量升級(jí)所有節(jié)點(diǎn)、統(tǒng)一查詢；3.4支持通過API方式與騰訊云數(shù)據(jù)庫(kù)審計(jì)日志直接對(duì)接，無需安裝任何Agent即可審計(jì)；3.5支持IPv4/IPv6雙棧審計(jì)；3.6支持在阿里云RDS數(shù)據(jù)庫(kù)中采集日志，無需在應(yīng)用側(cè)安裝agent即可實(shí)現(xiàn)審計(jì)：支持通過SLS日志服務(wù)拉取原始日志。4.協(xié)議支持：4.1支持Oracle（包括21C及其他版本）、Clickhouse、MySQL、SQLServer、SybaseASE、DB2、Informix、Cache（包括2021及其他版本）、PostgreSQL（14及其他版本）、Vastbase、Teradata、MariaDB、Hana、LibrA、SybaseIQ、TiDB、Vertica、PolarDB、PolarDB-X、Percona-MySQL、Percona-MongoDB等主流數(shù)據(jù)庫(kù)的審計(jì)；4.2支持達(dá)夢(mèng)（DM8及其他版本）、南大通用(GBase）、高斯（GaussDB）、人大金倉(cāng)（KingbaseV8、V7及其他版本）、K-DB、神舟通用（Oscar）、OceanBase、瀚高（HighGoDB)、天翼云數(shù)據(jù)庫(kù)Teledb-MySQL、天翼云數(shù)據(jù)庫(kù)Teledb-PostgreSQL、優(yōu)炫（UXDB）等國(guó)產(chǎn)數(shù)據(jù)庫(kù)的審計(jì)；4.3支持Graphbase、ArangoDB、Neo4j、OrientDB等數(shù)據(jù)庫(kù)的審計(jì)；TBase、TDSQL-C（MySQL版及PostgreSQL版）、MAXCOMPUTE等協(xié)議的審計(jì)。5.審計(jì)功能：5.1支持?jǐn)?shù)據(jù)庫(kù)操作表、視圖、索引、存儲(chǔ)過程等各種對(duì)象的所有SQL操作審計(jì)；5.2支持?jǐn)?shù)據(jù)庫(kù)請(qǐng)求和返回的雙向?qū)徲?jì)，特別是返回結(jié)果集和返回字段、執(zhí)行狀態(tài)、影響行數(shù)、執(zhí)行時(shí)長(zhǎng)、客戶端工具、主機(jī)名等內(nèi)容，支持通過設(shè)置保存行數(shù)、最大保存長(zhǎng)度來控制返回結(jié)果集的大?。?.3支持在雙向?qū)徲?jì)場(chǎng)景下根據(jù)以往審計(jì)命中情況設(shè)置結(jié)果集存儲(chǔ)策略，支持設(shè)置保存行數(shù)與最大保存長(zhǎng)度；5.4支持超長(zhǎng)SQL語(yǔ)句（最長(zhǎng)4M）審計(jì)。6.安全審計(jì)：6.1支持安全規(guī)則遍歷匹配，針對(duì)某個(gè)操作，將全部安全規(guī)則進(jìn)行匹配，并返回所有匹配的告警結(jié)果；6.2產(chǎn)品具有內(nèi)置規(guī)則，規(guī)則類型有SQL注入、賬號(hào)安全、數(shù)據(jù)泄露和違規(guī)操作等，并可依據(jù)規(guī)則進(jìn)行郵件告警；6.3內(nèi)置安全規(guī)則不少于900條，如SQL注入、緩沖區(qū)溢出等。7.查詢分析：7.1支持在審計(jì)日志中一鍵添加過濾規(guī)則，支持在告警規(guī)則中一鍵添加信任規(guī)則或規(guī)則白名單；7.2設(shè)置日志檢索條件時(shí)，檢索條件可根據(jù)歷史信息自動(dòng)彈出，即輸入檢索條件時(shí)支持智能聯(lián)想；7.3支持告警分析功能，告警分析支持按照“客戶端IP+數(shù)據(jù)庫(kù)賬號(hào)”的組合對(duì)SQL模板維度進(jìn)行排行，支持在頁(yè)面一鍵添加到白名單、一鍵添加到信任規(guī)則；7.4支持日志查詢時(shí)分析篩選能力，根據(jù)查詢條件自動(dòng)分析出存在的數(shù)據(jù)庫(kù)賬號(hào)、客戶端IP、客戶端工具、操作系統(tǒng)用戶名、服務(wù)端IP、操作類型、數(shù)據(jù)庫(kù)名/實(shí)例名、表名、主機(jī)名、執(zhí)行狀態(tài)、執(zhí)行時(shí)長(zhǎng)、影響行數(shù)等，并支持在以上各個(gè)維度中靈活篩選分析。8.管理運(yùn)維：8.1支持在日志頁(yè)面一鍵取證；8.2支持區(qū)分歷史會(huì)話和在線會(huì)話；8.3可監(jiān)控Agent的轉(zhuǎn)發(fā)速率，以及Agent所在數(shù)據(jù)庫(kù)服務(wù)器的CPU、內(nèi)存利用率，并可設(shè)置CPU、內(nèi)存利用率的上限閾值，超閾值時(shí)Agent將自動(dòng)停止轉(zhuǎn)發(fā)數(shù)據(jù)。二、數(shù)據(jù)安全配套服務(wù)：（一）數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估服務(wù)：1.期限及頻率：1次，至少1人駐場(chǎng)實(shí)施。2.服務(wù)范圍：7個(gè)關(guān)鍵業(yè)務(wù)系統(tǒng)（科研系統(tǒng)、人事系統(tǒng)、教務(wù)系統(tǒng)、研究生管理系統(tǒng)、OA系統(tǒng)、財(cái)務(wù)系統(tǒng)、人臉庫(kù)系統(tǒng)）。3.服務(wù)內(nèi)容：面向7個(gè)關(guān)鍵業(yè)務(wù)系統(tǒng)（科研系統(tǒng)、人事系統(tǒng)、教務(wù)系統(tǒng)、研究生管理系統(tǒng)、OA系統(tǒng)、財(cái)務(wù)系統(tǒng)、人臉庫(kù)系統(tǒng)）中的“數(shù)據(jù)”為對(duì)象，協(xié)助學(xué)校對(duì)這些業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)自身、數(shù)據(jù)處理活動(dòng)、數(shù)據(jù)承載環(huán)境等進(jìn)行風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的整個(gè)過程。通過對(duì)涉及數(shù)據(jù)資產(chǎn)的數(shù)據(jù)庫(kù)、服務(wù)器、文檔等，通過問卷調(diào)研、人員訪談、技術(shù)檢測(cè)、旁站檢查等方式對(duì)相關(guān)信息進(jìn)行調(diào)查分析，識(shí)別數(shù)據(jù)資產(chǎn)、數(shù)據(jù)處理活動(dòng)、數(shù)據(jù)安全技術(shù)措施、數(shù)據(jù)安全管理制度等，通過“定性+定量”分析排查出各類數(shù)據(jù)安全事件發(fā)生的可能性以及其對(duì)國(guó)家安全、公共利益、單位組織、個(gè)人權(quán)益等造成影響的程度、以及現(xiàn)有的數(shù)據(jù)安全控制措施和有效性等，對(duì)業(yè)務(wù)系統(tǒng)數(shù)據(jù)所面臨的風(fēng)險(xiǎn)進(jìn)行綜合評(píng)估，形成數(shù)據(jù)安全風(fēng)險(xiǎn)清單和應(yīng)對(duì)措施，輸出風(fēng)險(xiǎn)評(píng)估報(bào)告，以指導(dǎo)學(xué)校有效地開展數(shù)據(jù)安全規(guī)劃和建設(shè)工作。根據(jù)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估中對(duì)數(shù)據(jù)安全管理制度的差距分析，對(duì)數(shù)據(jù)安全管理制度進(jìn)行優(yōu)化和補(bǔ)充。4.工具要求：為保障數(shù)據(jù)安全檢查服務(wù)質(zhì)量和效率，需提供數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工具，要求如下：4.1支持針對(duì)數(shù)據(jù)庫(kù)每張表每個(gè)字段的內(nèi)容進(jìn)行敏感數(shù)據(jù)探測(cè)；敏感信息可以自定義添加，可以了解數(shù)據(jù)庫(kù)系統(tǒng)有哪些敏感數(shù)據(jù)，存放的具體位置，便于在信息保護(hù)和審計(jì)中重點(diǎn)關(guān)注；4.2數(shù)據(jù)安全檢查須滿足國(guó)家法律法規(guī)要求，服務(wù)過程提供專業(yè)工具箱進(jìn)行云計(jì)算安全、大數(shù)據(jù)安全的合規(guī)性檢查；4.3數(shù)據(jù)安全檢查須滿足國(guó)家法律法規(guī)要求；5.服務(wù)交付：《科研系統(tǒng)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告》、《人事系統(tǒng)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告》、《教務(wù)系統(tǒng)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告》、《研究生管理系統(tǒng)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告》、《OA系統(tǒng)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告》、《財(cái)務(wù)系統(tǒng)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告》、《人臉庫(kù)系統(tǒng)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告》，以及數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估相應(yīng)的管理制度。（二）數(shù)據(jù)安全分類分級(jí)服務(wù)：1.期限及頻率：1次，至少1人駐場(chǎng)實(shí)施。2.服務(wù)范圍：7個(gè)關(guān)鍵業(yè)務(wù)系統(tǒng)共約2萬字段量（科研系統(tǒng)、人事系統(tǒng)、教務(wù)系統(tǒng)、研究生管理系統(tǒng)、OA系統(tǒng)、財(cái)務(wù)系統(tǒng)、人臉庫(kù)系統(tǒng)）。3.服務(wù)內(nèi)容：服務(wù)提供支持接入安全大模型的服務(wù)工具+人工提供分類分級(jí)服務(wù)，參考采購(gòu)人所在行業(yè)分類分級(jí)標(biāo)準(zhǔn)對(duì)服務(wù)范圍內(nèi)核心數(shù)據(jù)庫(kù)的數(shù)據(jù)進(jìn)行分類管理，通過識(shí)別7個(gè)關(guān)鍵業(yè)務(wù)系統(tǒng)（約2萬字段量）（科研系統(tǒng)、人事系統(tǒng)、教務(wù)系統(tǒng)、研究生管理系統(tǒng)、OA系統(tǒng)、財(cái)務(wù)系統(tǒng)、人臉庫(kù)系統(tǒng)）所涉及的數(shù)據(jù)資產(chǎn)情況、數(shù)據(jù)承載環(huán)境、數(shù)據(jù)流轉(zhuǎn)情況、數(shù)據(jù)質(zhì)量情況和數(shù)據(jù)管理情況等，并根據(jù)敏感程度劃分敏感等級(jí)，生成分類分級(jí)目錄清單，幫助用戶全面清晰地厘清數(shù)據(jù)資產(chǎn)、確定數(shù)據(jù)重要性以及敏感程度，對(duì)數(shù)據(jù)資產(chǎn)實(shí)現(xiàn)規(guī)范化管理。4.工具要求：4.1服務(wù)實(shí)施標(biāo)準(zhǔn)：分類分級(jí)服務(wù)過程中，需參考以下標(biāo)準(zhǔn)開展：《GB/T21062-2007政務(wù)信息資源目錄體系》；《TC260-PG-20212A網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—網(wǎng)絡(luò)數(shù)據(jù)分類分級(jí)指引》；《GB/T43697-2024數(shù)據(jù)安全技術(shù)數(shù)據(jù)分類分級(jí)規(guī)則》；以及其他涉及的“數(shù)據(jù)分類分級(jí)”行業(yè)標(biāo)準(zhǔn)。4.2技術(shù)工具要求：（1）AI分類分級(jí)模型推理速度≥30字符/s，支持打字機(jī)模式輸出，在模擬真實(shí)場(chǎng)景的輸入和輸出情況下，同時(shí)處理的請(qǐng)求數(shù)≥20，≥5萬個(gè)字上下文的總結(jié)；（2）支持PEFT（Parameter-EfficientFine-Tuning）參數(shù)微調(diào)，例如LoRa（Low-RankAdaption）等任務(wù)訓(xùn)練方式；（3）支持對(duì)于缺少字段中文注釋和表注釋的字段內(nèi)容，利用大模型的核心推理能力，進(jìn)行字段內(nèi)容推測(cè)和分類分級(jí)打標(biāo)；（4）支持云端和本地化兩種分類分級(jí)模式。5.服務(wù)人員要求：5.1服務(wù)過程中至少具備1名數(shù)據(jù)安全專家和1名數(shù)據(jù)安全工程師；5.2數(shù)據(jù)安全專家需具備3年以上相關(guān)工作經(jīng)驗(yàn)；5.3數(shù)據(jù)安全工程師需具備1年以上相關(guān)工作經(jīng)驗(yàn)。6.服務(wù)質(zhì)量承諾：6.1供應(yīng)商實(shí)施過程中應(yīng)嚴(yán)格遵守?cái)?shù)據(jù)安全法、個(gè)人信息保護(hù)法等國(guó)家或行業(yè)法律法規(guī)要求開展服務(wù)。6.2供應(yīng)商須對(duì)本次分類分級(jí)實(shí)施過程的數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴(yán)格保密，未經(jīng)采購(gòu)人授權(quán)，任何機(jī)構(gòu)和個(gè)人不得泄露給其它單位和個(gè)人，同時(shí)要求供應(yīng)商在此次項(xiàng)目結(jié)束之后將所有和本項(xiàng)目有關(guān)的數(shù)據(jù)和文檔移交采購(gòu)人后全部銷毀。7.服務(wù)驗(yàn)收要求：服務(wù)完成后，輸出對(duì)應(yīng)的服務(wù)交付物，需經(jīng)過采購(gòu)人邀請(qǐng)的外部單位專家進(jìn)行交付成果評(píng)審合格后，方可開展驗(yàn)收工作。8.輸出物：《數(shù)據(jù)安全治理項(xiàng)目實(shí)施方案》、《數(shù)據(jù)安全分類分級(jí)指南（含分類分級(jí)框架）》、《科研系統(tǒng)數(shù)據(jù)安全分類分級(jí)報(bào)告》、《人事系統(tǒng)數(shù)據(jù)安全分類分級(jí)報(bào)告》、《教務(wù)系統(tǒng)數(shù)據(jù)安全分類分級(jí)報(bào)告》、《研究生管理系統(tǒng)數(shù)據(jù)安全分類分級(jí)報(bào)告》、《OA系統(tǒng)數(shù)據(jù)安全分類分級(jí)報(bào)告》、《財(cái)務(wù)系統(tǒng)數(shù)據(jù)安全分類分級(jí)報(bào)告》、《人臉庫(kù)系統(tǒng)數(shù)據(jù)安全分類分級(jí)報(bào)告》，以及數(shù)據(jù)分級(jí)分類相應(yīng)的管理制度。（三）數(shù)據(jù)安全意識(shí)培訓(xùn)服務(wù)：1.期限及頻率：數(shù)據(jù)安全意識(shí)培訓(xùn)分≥4次完成培訓(xùn)服務(wù)、數(shù)據(jù)安全技術(shù)培訓(xùn)分≥2次完成/培訓(xùn)≥2天完成培訓(xùn)服務(wù)、技能培訓(xùn)服務(wù)培訓(xùn)時(shí)長(zhǎng)≥5天。2.服務(wù)范圍：師生。3.服務(wù)內(nèi)容：3.1針對(duì)數(shù)據(jù)安全意識(shí)培訓(xùn)服務(wù)；3.2針對(duì)數(shù)據(jù)安全技術(shù)培訓(xùn)服務(wù)；3.3針對(duì)技能培訓(xùn)服務(wù)。4.工具要求：為保障數(shù)據(jù)安全培訓(xùn)的服務(wù)質(zhì)量和效率，需提供數(shù)據(jù)安全專業(yè)的培訓(xùn)工具，要求如下：4.1靶場(chǎng)支持安全資源按照知識(shí)、漏洞、工具、鏡像、場(chǎng)景的分類方式進(jìn)行統(tǒng)一管理，支持自定義創(chuàng)建和上傳安全資源；4.2平臺(tái)需內(nèi)置不少于3500道網(wǎng)絡(luò)安全方向題目資源，可針對(duì)不同水平及學(xué)習(xí)方向的學(xué)員進(jìn)行知識(shí)技能的考核；4.3平臺(tái)支持開展培訓(xùn)授課，并實(shí)時(shí)統(tǒng)計(jì)