XX市XX区一体化智能化公共数据平台数据安全服务需求说明
一、分类分级服务
指标项 | 指标要求 |
数据资产梳理与风险评估 | 应支持数据源管理功能,支持数据源类型包括但不限于MySQL、Oracle、PostgreSQL、MSSQL、Hive、SQLServer、MongoDB、MariaDB、ElasticSearch、ClickHouse、Greenplum、Hive、Hbase、Teradata、DB2、MAXCompute(ODPS)、GaussDB、DRDS、RDS、ADS、POLARDB、GBASE8A、KINGBASE8、FTP/SFTP/LOCAL文件协议等,可对数据源手动指定业务系统、部门、责任人,支持数据源导入,支持根据表命名来进行数据过滤。 |
应支持数据源列表展示功能,包括但不限于数据源名称、数据源类型、主机及端口、创建用户、创建时间、同步状态、操作等信息。 | |
应支持数据源同步功能,获取数据源的数据库、表、列及账号信息,同步之后在数据资产目录内新增该数据源,并同步得到数据源结构,且在数据库账号模块,会同步得到相关数据库账号。 | |
应支持扫描发现数据源任务的新增、编辑、删除功能,实现对扫描任务的管理。 | |
应支持扫描任务列表的展示功能,包括但不限于任务名称、主机、数据源名称、发现结果、状态、次数、周期、创建时间、最新发现时间、操作等信息,同时支持扫描任务结果的导出。 | |
应支持以数据源视角下的数据详情展示功能,包括数据源区域、数据源概览、数据源查询、数据源信息列表,支持查看有多少数据库、数据表、列、行,其中敏感数据库、敏感数据表、敏感列、有多少,可以增量发现 一定周期的敏感数据变化情况。 | |
应支持以安全分类、业务分类的视角查看资产分布情况,支持查看不同分类的数据的分布情况,有多少库、表、列、行等其中敏感数据库、敏感数据表、敏感列、有多少,可以增量发现 一定周期的敏感数据变化情况。 | |
应支持以敏感项为视角查看敏感项分布情况,支持查看不同敏感项的数据的分布情况,有多少库、表、列、行等其中敏感数据库、敏感数据表、敏感列、有多少,可以增量发现 一定周期的敏感数据变化情况。 | |
需提供脆弱性检查功能,能够发现数据库的相关漏洞、基线和弱口令等信息,并提供风险评分功能。 | |
应支持风险检测任务的列表展示功能,包括但不限于任务名称、数据源名称、数据源主机、风险评分、风险数、状态、更新时间、操作等信息,并提供图表分析功能,展示漏洞、基线、弱密码三种风险及其数据源的排名情况,同时支持任务的查询、编辑、删除。 | |
应支持提供数据库漏洞检查、配置基线检查、弱口令检查等手段数据资产安全评估,通过安全现状评估能有效发现当前数据库系统的安全问题,对数据库的安全状况进行持续化监控。 | |
应支持账号权限梳理功能,包括但不限于数据库账号、数据源名称、拥有权限、禁止权限、状态和密码有效期等信息,同时支持监控账号权限变更,新增/删除账号信息。 | |
支持审计管理功能,支持对系统用户的审计日志的查看。 | |
数据分级分类 | 应支持自动数据分类分级功能,同时可识别发现敏感项,包括敏感表和敏感列以及敏感项的动态变化。 |
内置不少于70种常见敏感字段识别规则,开箱即用50+内置算法,具备结合算法识别能力以保障敏感数据识别精准度。 | |
应支持查看和配置分级分类配置,可新增内容识别规则,包括正则和字典;同时支持启用或关闭业务属性识别功能,可针对字段名称和字段注释进行模糊匹配。 | |
应支持通过策略自动调整的功能,支持表维度的分级。 | |
需提供表分类分级策略配置功能,表分级策略应支持就高原则和加权平均,表分类策略应支持分类合集和就多原则。 | |
需内置不少于15种行业法规标准,包括但不限于网络安全法、金融、证券、电信、GDPR、CCPA、等保、电信-专项、网约车、工业互联网、公安、通用、疫情、数据安全法和个人信息安全规范等,同时应支持支持对内置模板进行下载或克隆;支持自定义行业模板的导入。 | |
应具备自动推荐引擎功能,当同一列中识别出多种字段信息时,需提供该列数据的规则命中列表,包括规则名称、匹配度和已关联敏感项信息,便于用户根据各数据项占比进行手工修改确认梳理,提高数据分级分类效率。 | |
应具备列表形式展示分级分类任务的各种状态及信息,包括但不限于任务名称、数据源名称、主机、发现结果、状态、次数、周期、创建时间、最新发现时间、操作等信息,同时支持对分类分级任务的查询、手动终止。 | |
支持分类分级结果的批量及部分导出,导出项包含并不限于任务名称、数据源名称、主机、数据库名、Schema、表名、列名、样例、字段注释、是否新增、规则名称、是否梳理、识别字段、实际分类、实际分级。 | |
数据安全态势大屏 | 需提供数据目录,可以查看数据的分布情况,包含表级别分布和列级别分布;同时提供包括数据库梳理、敏感表数量、识别字段数、敏感列数和已经梳理占比情况等信息。 |
授权合规 | 需提供数据安全分类分级监管可视化大屏,包含数据源数、表数、列数、已梳理列数、列梳理率、数据源风险评分TOP、数据源弱密码风险数TOP、数据源基线风险数TOP、数据分级分布、数据源敏感列数TOP和数据分类分布情况等信息。 |
安全基线服务 | 支持对不同数据库的漏洞风险进行评估,并给出修复意见,对数据库的安全状况进行持续化监控。 |
支持对数据库中账号的弱密码情况进行评估,提供基于字典库,基于规则,基于穷举等多种模式下的弱口令检测。 | |
支持对数据库的基线配置进行评估,识别配置风险并给出修复意见,提供定期扫描,周期性监控数据库配置偏差,反映当前安全状况相对于基线的变化。 | |
二、身份鉴别与权限管控服务
指标项 | 指标要求 |
支持数据库 | 支持多Orcal、MySQL、Mariadb、PostgreSQL等数据库支持。 |
总览展示与告警 | 可以体现各个资产的访问控制情况、攻击防护情况、数据脱敏情况、设备运行情况。 |
服务包含风险告警查询,且查询条件支持常见的账号、数据库名、客户端工具、操作系统用户名、客户端IP、操作类型、SQL关键字、执行结果、影响行数、执行时长等字段。 | |
审计功能 | 服务工具需支持数据库操作类、表、视图、索引、存储过程等各种对象的所有SQL操作审计。 |
访问控制 | 服务工具需支持多种数据来源筛选管控,包括IP、MAC、客户端主机名、操作系统用户名、客户端工具名、数据库账号。 |
服务工具需支持与数据分级分类系统结合,实现基于身份认证和数据分级分类细粒度访问控制。 | |
服务工具需支持对于越权的动作选择:阻断、脱敏、仅告警。 | |
服务工具需支持分组管理进行分组管控。 | |
实现资产和访问控制、身份认证直接的对应。 | |
运维审批 | 服务工具支持申请运维任务通过邮件发送且通过邮件正文的链接审批。 服务工具需支持运维申请手动配置运维对象或者选择对象组。 服务工具需支持手动添加运维SQL和导入SQL文件。 运维任务支持运维资产、运维对象、运维人员和运维时间等维度 支持运维任务的两级审批。 |
操作日志 | 支持多操作日志记录(例如:攻击日志、访问控制日志、脱敏日志、告警日志)、日志查询。 |
支持记录审计系统所有人员对设备的访问行为。 | |
自审计日志包含时间、用户、来源IP、操作名称、操作内容、操作结果等内容。 | |
三、动态脱敏服务
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论