XX区政府政务数据防泄漏系统建设项目需求.docx

《XX区政府政务数据防泄漏系统建设项目需求.docx》由会员分享，可在线阅读，更多相关《XX区政府政务数据防泄漏系统建设项目需求.docx（12页珍藏版）》请在第一文库网上搜索。

1、XX区政府政务数据防泄漏系统建设项目需求1 .项目概述项目的总体目标是采用国家密码管理局规定的算法，结合内容识别，通过灵 活的策略配置管理，实现基于自动识别的智能数据防泄漏系统。本系统支持终端 安全准入、数据资产内容自动识别、自动分类、根据组织架构或AD域分配数据 资产的阅读和使用权限、业务数据在传输和存储过程中的数据保护，实现数据资 产在云、管、端的安全，并且能够支持智能移动终端对数据的安全访问和使用安 全。通过该系统的建设，能够满足对敏感信息或重要数据资产的防泄漏保护，进 而保护重要的数据资产不会被泄漏，既落实了国家的信息安全政策，也保护了重 要文档数据的安全使用。2 .建设内容2.1.

2、新增终端数据防泄漏系统根据XX市政务数据安全管理办法第二十六条要求，各单位应当制定终 端计算机管理制度，严格终端计算机的安全管理，采取集中管控、用户识别、访 问控制、安全审计等技术防护措施。为此，针对政务信息化数据或文件，终端防 泄露系统可以提供内容/类型进等行精准识别，并在源端进行相应的阻断或审计 处理，从终端边界和网络边界对敏感信息进行泄露防控和审计追溯，实现智能化 安全管控。本项目配置400节点，部署于重要终端上，提升业务终端安全防护能 力。2. 2.新增网络数据防泄漏系统根据XX市政务数据安全管理办法第二十九条及第三十五条要求，各单 位应当严格工作信息和业务数据的安全管理，不得在非涉密

3、计算机及相关设备上 处理、传递、转发涉密或敏感信息。各单位应当制定公民、企业信息保护制度， 对在提供服务过程中收集、使用的公民、企业信息,应当采取相应措施严格保护， 不得泄露、篡改或者毁损，不得出售或者非法向他人提供。针对政府各单位各部 门通过网络外发的各类政务数据，网络数据防泄漏系统可提供外发敏感数据内容 的行为实时监控及审计，拟采用旁路方式部署3台网络数据监控一体机在政务数 据网络出口，对外发数据实时智能分析和预警，确保重要数据、敏感数据的安全 合规。2 . 3.对接XX区公共数据安全管控平台根据XX省公共数据安全总则以及XX省公共数据开放与安全管理暂行 办法要求，XX区公共数据安全管控平

4、台对一体化公共数据平台中存储、处理、 共享交换的大量数据进行风险监测和安全监管，对辖区结构化数据的敏感分布， 数据流转风险，运维操作风险统一收集、分析和呈现。本项目建设的终端防泄漏 和网络防泄漏系统可与XX区公共数据安全管控平台对接，将本系统发现的各类 数据泄露事件上报平台告警，由平台对于泄漏事件进行工单派发和处理，完成数 据泄漏事件的整体风险监测和协同处理。3 .项目采购清单3. 1.软件部分序号采购内容数量单位具体参数要求1网络数据防泄漏系统3套软件部分。2终端数据防泄漏系统1套软件（400个终端授权3对接XX区公共数据安全管控平 台（软件开发服务）1套开发按平台的数据业务调用接口 和联调

5、。3. 2.硬件部分序号采购内容数量单位具体参数要求1网络数据防泄漏硬件设备3台高效C621芯片组；支持2颗 Purley系列处理器；支持 (8-DIMM)2TB内存；支持4个 3.573个2.5SATA等硬盘；含导 轨。*1x4110 ( 2.1G/11M/8C/16T )*4xl6GDDR4RECC 内 存*lx4TSATA企业级3.5”硬盘 (7.2k-rpm)*6x千兆电口(板2口+独4口)+1个远程管理口 *lx550W (1 + 1)高效节能服务器专用电源。*提供三年免费质保服务。4.采购内容及详细招标参数要求4. 1.网络数据防泄漏系统技术指标技术规格要求网络协议支持支持主流网络

6、协议敏感数据监控审计。网络应用支持支持对关键字进行中文分词。支持数据字典算法，可按关键字个数或权重进行识别，权重设置支持负数。支持根据自然语言特征进行语义匹配，替换或删除文件数据内关键字的情况下仍可识别该文件内容并匹配分类。支持文档自动分类分级和自动聚类。支持身份证、银行卡号等数据标识符匹配，支持700种银行卡号的数据标识符识别算法。支持自定义脚本匹配。支持正则表达式检测内容，正则表达式包括银行卡号、VIN码等。支持设置最少正则命中次数或词数。支持文件指纹检测内容，可设置指纹相似度；可用于检测被保护文档派生 文档，可对数据库文件中的表导出文件做指纹检测；支持图片指纹匹配， 可自定义设置图片匹配

7、阈值。支持文件属性检查与图像识别，支持针对传输文件进行属性匹配检测，支 持图片文字内容识别，可识别图片格式的文字内容。支持对图片、文档中的图章进行识别。支持任意组合方式检测。支持对邮件正文、附件、主题、信封分别进行识别。支持对复合文件、压缩文件作为整体识别，或对其中子文件进行单独识别。对于excel,支持对每个Sheet页单独识别，也支持对整个excel进行汇总识 别。可以根据接收IP鉴别是否是中国国内IP或境外IP，能精确到具体国家。支持对文档类型进行标签化管理。监控报文离线播放支持监控和识别离线报文流量的播放。mac地址获取支持从DHCP报文流量获取泄密机器MAC地址，用于后续事件通过MA

8、C 关联人员。敏感数据处理方式支持仅审计、发送电子邮件通知、证据留存。证据留存支持上传敏感文件，可自动上传保存附件便于取证，可选择丢失不敏感附件。支持事件处理时效的检查，通过设定事件处理时长阈值，衡量事件的处理 效率，通知管理员及时处理超时未处理的泄露事件。支持事件的模糊查询，通过事件中命中的特有信息如姓名等，查询某些具 体敏感信息的泄露情况，快速定位泄露事件的源头。管理员对事件拥有的权限由所属角色中策略组配置的权限决定的，策略组 只配置查看权限，那么由此策略组中的策略产生的事件只有查看权限；策 略组配置编辑权限，则能查看和编辑相应的事件（设置状态、属性、严重 性、数据所有者，添加注释，删除事

9、件等）；策略组不配置权限，则无法查 看到相应事件。电子邮件通知支持向发件人、特定人员、组负责人发送敏感事件通知。监控地址设置支持只监控特定IP地址或IP地址段。对指定IP地址或IP地址段进行过漉，不进行监控。代理服务器设置对代理服务器地址进行解析，识别真实外发的源ip地址。全流量抓取支持支持全流量抓取，单千兆监控网口支持800MbPS以上流量实时内容识别。支持同时监控多个镜像网卡、支持负载汇集负载均衡流量，并识别外传数 据。支持万兆网卡、可实时处理2Gbps以上流量下的内容识别。高可用部署支持主备模式进行部署。支持操作系统windows （Win7、Winl0、xp）、主流国产终端操作系统。外

10、设管控支持多种外接设备管理，支持禁止用户使用U盘、移动硬盘、红外设备、CD/DVD光驱、IC卡读卡器等。移动介质管控支持禁止保存文件至移动介质。支持对拷贝/拖拽敏感文件到移动介质的审计或阻断。支持禁止运行移动介质上的应用程序。打印管控支持禁止使用打印机，支持打印敏感内容监控，可自定义添加打印水印信 息，例如计算机名、IP名、时间等，支持自定义水印颜色、大小、位置等。应用程序管理支持对应用程序访问敏感文件审计或阻止，例如使用邮件发送敏感文件等。支持应用黑白名单，白名单内的应用程序访问敏感文件不做处理，黑名单 内应用程序被禁止使用；可阻止通过修改进程名绕过黑白名单。支持IM对话框敏感信息审计或阻止

11、。支持添加审计应用程序列表和阻断应用程序列表，审计列表中的应用程序 访问敏感文件默认审计，可由响应动作控制响应；阻止列表中的应用程序访问敏感文件直接阻止。分类分级管理支持自定义添加/删除分类分级标签信息。被打上标签的敏感文档可通过右键点击属性查看标签信息。终端数据发现支持依据设定的策略对本地终端进行全量/增量扫描，对文档进行分类分级（标密）管理，支持按时长、周期、自定义扫描文件类型、文件大小、过 滤最后修改时间等进行扫描，支持手动扫描和压缩包穿透。剪切板监控用户通过复:制或剪切敏感信息粘贴至应用程序，支持审计或阻断。网络共享监控监控从本地移动、复制、拖拽到网络路径的敏感文件。敏感取证支持上传、

12、保存敏感文件。弹框告警支持对违反策略的行为进行弹框提醒、提醒内容可自定义。应用分组管理按组制定不同的黑白名单、审计名单和阻断名单。离线监控支持离线状态下工作且保存事件，重新连接后事件上传到管理平台。识别超时放行支持自定义识别时间长短，超出时间放行，放行文件可审计。超出文件大小放行支持自定义被识别文件大小，超出大小放行，放行文件可审计。敏感文件外发审批支持自定义外发审批模板，支持敏感文件审批后外发，可限定审批人，敏 感文件外发的次数，上传敏感文件大小过滤，会签/非会签，可设定审批流 程提前结束。OCR识别支持图片文字识别。URL白名单管理支持设定URL白名单列表，可向在白名单内的网址任意发送文件

13、，非白名 单网址根据内容识别判断是否敏感并按照预先定义的响应方式进行管控。源数据管理数据字典支持自定义添加数据字典，支持按权重设定。数据标识符支持自定义导入数据标识符。数据指纹提供IDM、EDM指纹制作工具。语义模型提供语义模型制作工具，可对文档进行分类分级。文件类型支持自定义添加文件类型（支持类型防伪装），支持导入/导出 文件类型。安全策略设定内置策略内置社会信用代码、车辆识别码、国际移动设备识别码、近700 种各种银行卡号及IPv4地址识别算法。内置常用违反国家法律法规和政治敏感数据字典。策略定义支持策略自定义，每一个数据分类可根据不同的业务要求进行 安全策略配置。支持策略自定义文件类型、

14、文件大小、名称等。支持自定义文档类型，支持类型防伪装。支持关键字、关键字对识别技术，包括大小写区分，识别位置 包括信封、主题、正文、消息、文件。支持正则表达技术，识别位置包括信封、主题、正文、消息、 文件。支持数据库指纹（EDM）技术，可自定义选择需识别列，识别 位置包括正文、消息、文件。支持文档指纹（IDM）技术，可设定相似度阈值，支持识别文 件。支持数据字典识别技术，可设定匹配项权重阈值，识别位置包 括正文、消息、文件。支持数据标识符识别技术，识别位置包括正文、消息、文件支持语义模型识别技术，可设定相似度阈值，识别位置包括正 文、消息、文件。支持压缩包穿透识别，可自定义压缩包穿透层数。支持

15、匹配项计数，支持自定义设定检测匹配项数量阈值。响应动作支持终端保护（审计、提示告警、阻止、标注分级分 类、阻止勒索进程）、网络保护（审计、阻止 HTTPHTTPSSMTP）、应用保护（审计、阻止 HTTP/HTTPS）、 邮件保护（审批、转发、抄送、审计、自定义邮件标识）以及 通用（发送电子邮件、记录到SySIOg服务器、添加注释、设置状态、设置属性、限制数据保留、上传文件、加密、上传事件LOG文件）。同一策略中，可针对不同外泄方式/协议、监控位置定义不同的 响应动作。支持例外规则设定。响应动作定义可定义自动响应策略，可以根据策略和模块，制定不同的响应 动作；响应动作中支持条件判断，只有满足条件后才会执行响 应动作。同一策略中，可针对事件严重等级、终端位置、终端监控目标、 策略命中匹配数等响应条件制定不同响应动作。响应动作支持