数据安全综合治理管控提升项目需求
一、项目内容
序号 | 模块/服务内容 | 服务内容描述 | 服务内容明细 | 数量 |
1 | 数据安全综合治理管控提升 | 隐私/关键数据监控及泄露防护服务 | 网络数据泄露防护服务 | 1 |
2 | 终端数据泄露防护服务 | 1 | ||
3 | API应用网关管控服务 | 应用(API)数据安全服务 | 1 | |
4 | 云安全加固服务(WEB防护服务、数据库审计服务、终端防护服务) | WEB应用防护服务 | 1 | |
5 | 数据库审计服务 | 1 | ||
6 | 主机安全防护服务 | 1 | ||
| hbase官方文档 |
二、隐私/关键数据监控及泄露防护服务功能要求
(一)网络数据泄露防护功能性要求
1.识别能力
(1)能够准确识别出身份证号、银行卡号、、军官证等有明确标准定义的数据,并能够对这些数据进行宽泛或精确的校验,支持自定义校验内容,而非通过正则表达式进行简单的判断识别;同时能够对识别出的数据进行统计和去重处理;系统内置不少于700种以上的数据识别模型,并且能够快速进行数据识别模型更新;
(2)对于word、ppt等嵌套文件和zip、rar等常见压缩文件能够判断文件嵌套或压缩的深度,深度至少识别出100层;同时,也可以将每个被嵌套的文件进行单独的内容识别,判断要识别的内容是否都在一个被嵌套文件中,还是分散在多个嵌套文件中;能够根据被识别文档中包含的敏感数据数量自动标定被识别文档的严重等级。
2.防护能力
(1)系统能够对网络中的HTTP、HTTPS、SMTP、SMTPS、POP3、POP3S、IMAP、IMAPS、FTP、FTPS、NFS、Samba等协议进行监控,并能够完整地进行恢复流量中传输的内容;
(2)系统能够对上传到web系统的文件,和从web系统下载的文件进行加密,加密解密过程用
户和web系统无感知;系统能够对BBS论坛、网盘、文库、webmail、云笔记、SNS社交等各种web应用进行监控,能够对上传的超大文件进行完整地恢复和扫描,并对包含敏感数据的传输行为进行防护。
3.部署能力
(1)业务端支持旁路镜像、正向代理、反向代理、网络串联、策略路由等方式进行部署;在旁路进行模式下,通过流量镜像方式实现流量监控,能够同时对多网口的流量进行监控;
(2)系统内置多种识别规则,支持自定义防护策略,并对每个策略指定优先级、有效期,对策略产生的泄漏事件定义保留期限,一条策略可以同时应用到终端防泄漏、网络防泄漏、邮件防泄漏产品,并可以对不同产品定义不同的防护措施;
(3)对于在线训练的识别模型,在使用过程中能够收集产生误报的文件,并将误报文件自动加入到训练模型的反向样本中进行再次训练,以提升模型的识别准确度。
(二)终端数据泄露防护功能性要求
1.识别能力
(1)能够准确识别出身份证号、银行卡号、、军官证等有明确标准定义的数据,并能够对这些数据进行宽泛或精确的校验,支持自定义校验内容,而非通过正则表达式进行简单的判断识别;同时能够对识别出的数据进行统计和去重处理;系统内置不少于700种以上的数据识别模型,并且能够快速进行数据识别模型更新;
(2)对于word、ppt等嵌套文件和zip、rar等常见压缩文件能够判断文件嵌套或压缩的深度,深度至少识别出100层;同时,也可以将每个被嵌套的文件进行单独的内容识别,判断要识别的内容是否都在一个被嵌套文件中,还是分散在多个嵌套文件中;能够根据被识别文档中包含的敏感数据数量自动标定被识别文档的严重等级。
2.防护能力
(1)系统能够自动采集并监控终端新增的应用信息;并对各种应用配置运行和访问权限,禁止运行高危应用、外置应用程序给系统带来风险,对存在泄漏风险和未知应用的访问敏感文件行为进行审计、阻断、审批、备注等管控措施;
(2)系统能够监控到用户的打印或虚拟打印行为,能够根据不同用户设置不同的打印权限,能
够对打印的敏感文件进行审计、拦截、提供流程申请、要求说明原因、添加水印等保护,水印内容、样式、字体、颜可以自定义,支持文字、图片、二维码、溯源水印;
(3)系统能够对终端接入的网络进行监控,对接入非预定义的合法网络时,系统会产生审计记录、或阻止通过该网络发送任何流量;终端在接入合法的网络后,能够对指定应用的外发流量进行监控或例外,被监控的流量中如果包含敏感内容时能够进行审计、告警、阻断;同时支持按IP地址进行例外;
(4)系统提供离线文档保护功能,对需要外发的文件进行加密,并设置读写权限、编辑权限、打印权限和有限期等,外部人员在访问该文档时会自动添加窗口水印;
(5)系统可以自定义审批流程,并对不同的审批流程增加说明,用户可以根据所在部门、业务要求选择不同的流程进行审批操作;审批流程可以自定义多种审批模式,支持指定审批人员、部门审批、逐级审批、是否会签;
(6)系统内置多种识别规则,支持自定义防护策略,并对每个策略指定优先级、有效期,对策略产生的泄漏事件定义保留期限,一条策略可以同时应用到终端防泄漏、网络防泄漏、邮件防泄漏产品,并可以对不同产品定义不同的防护措施;
(7)对于在线训练的识别模型,在使用过程中能够收集产生误报的文件,并将误报文件自动加入到训练模型的反向样本中进行再次训练,以提升模型的识别准确度;
(8)能够统一管理网络DLP、终端DLP等设备,并对事件进行统一的管理和分析;
(9)能够为至少50台机器提供终端防泄漏功能。
三、API应用网关管控服务功能要求
(一)资产管理
(1)接口资产自动提取和账号资产的自动发现,支持通过手动方式进行应用资产、接口资产和账号资产的添加,支持内置接口提取规则和自定义接口提取方式;
(2)支持以卡片和列表形式展示应用资产列表,展示包括资产名称、资产域名等基本信息;展示接口数、敏感接口数、账号数和客户端IP数以及流量和访问量等统计信息和排序;展示资产的敏感数据识别信息。支持基于应用资产的授权和敏感情况分布的统计及资产的环比变化支持通过资产名称、IP、授权状态、敏感属性等进行应用资产的筛选,和应用资产列表导出;
(3)支持以列表形式展示接口资产列表,展示接口所属应用、接口名称、接口类型、接口组及接口敏感属性等信息;展示接口流量和访问量统计信息和排序、支持接口参数设置和接口全文记录启停、支持通过接口名称、接口类型、启用状态、敏感属性等进行接口筛选和接口资产列表导出;
(4)支持以列表形式展示账号名称、所属应用、登录方式、常用IP等基本信息;展示账号流量、访问量、登录次数等统计信息和排序;展示账号最近一次登录的时间、IP和状态等信息。支持通过账号、登录方式、常用IP和敏感属性进行账号筛选和账号资产列表导出;
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论