数据安全综合治理管控提升项目需求.docx

上传人:lao****ou 文档编号:288980 上传时间:2023-07-21 格式:DOCX 页数:11 大小:17.16KB
下载 相关 举报
数据安全综合治理管控提升项目需求.docx_第1页
第1页 / 共11页
数据安全综合治理管控提升项目需求.docx_第2页
第2页 / 共11页
数据安全综合治理管控提升项目需求.docx_第3页
第3页 / 共11页
数据安全综合治理管控提升项目需求.docx_第4页
第4页 / 共11页
数据安全综合治理管控提升项目需求.docx_第5页
第5页 / 共11页
亲,该文档总共11页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《数据安全综合治理管控提升项目需求.docx》由会员分享,可在线阅读,更多相关《数据安全综合治理管控提升项目需求.docx(11页珍藏版)》请在第一文库网上搜索。

1、数据安全综合治理管控提升项目需求一、项目内容序号模块/服务内容服务内容描述服务内容明细数量1数据安全综合治理管控提升隐私/关键数据监控及泄露防护服务网络数据泄露防护服务12终端数据泄露防护服务13API应用网关管控服务应用(API)数据安全服务14云安全加固服务(WEB防护服务、数据库审计服务、终端防护服务)WEB应用防护服务15数据库审计服务16主机安全防护服务1二、隐私/关键数据监控及泄露防护服务功能要求(-)网络数据泄露防护功能性要求1 .识别能力(1)能够准确识别出身份证号、银行卡号、磁道信息、军官证等有明确标准 定义的数据,并能够对这些数据进行宽泛或精确的校验,支持自定义校验内容,

2、而非通过正则表达式进行简单的判断识别;同时能够对识别出的数据进行统计和 去重处理;系统内置不少于700种以上的数据识别模型,并且能够快速进行数据 识别模型更新;(2)对于word ppt等嵌套文件和zip、rar等常见压缩文件能够判断文件嵌 套或压缩的深度,深度至少识别出100层;同时,也可以将每个被嵌套的文件进 行单独的内容识别,判断要识别的内容是否都在一个被嵌套文件中,还是分散在 多个嵌套文件中;能够根据被识别文档中包含的敏感数据数量自动标定被识别文 档的严重等级。2 .防护能力(1)系统能够对网络中的 HTTP、HTTPS SMTP、SMTPS POP3、PoP3S、 IMAP、IMAP

3、S、FTP、FTPS、NFS、Samba等协议进行监控,并能够完整地进 行恢复流量中传输的内容;(2)系统能够对上传到Web系统的文件,和从Web系统下载的文件进行加密, 加密解密过程用户和Web系统无感知;系统能够对BBS论坛、网盘、文库、Webmai1、 云笔记、SNS社交等各种web应用进行监控,能够对上传的超大文件进行完整 地恢复和扫描,并对包含敏感数据的传输行为进行防护。3 .部署能力(1)业务端支持旁路镜像、正向代理、反向代理、网络串联、策略路由等方 式进行部署;在旁路进行模式下,通过流量镜像方式实现流量监控,能够同时对 多网口的流量进行监控;(2)系统内置多种识别规则,支持自定义

4、防护策略,并对每个策略指定优先 级、有效期,对策略产生的泄漏事件定义保留期限,一条策略可以同时应用到终 端防泄漏、网络防泄漏、邮件防泄漏产品,并可以对不同产品定义不同的防护措 施;(3)对于在线训练的识别模型,在使用过程中能够收集产生误报的文件,并 将误报文件自动加入到训练模型的反向样本中进行再次训练,以提升模型的识别 准确度。(二)终端数据泄露防护功能性要求1 .识别能力(1)能够准确识别出身份证号、银行卡号、磁道信息、军官证等有明确标准 定义的数据,并能够对这些数据进行宽泛或精确的校验,支持自定义校验内容, 而非通过正则表达式进行简单的判断识别;同时能够对识别出的数据进行统计和 去重处理;

5、系统内置不少于700种以上的数据识别模型,并且能够快速进行数据 识别模型更新;(2)对于word、ppt等嵌套文件和zip rar等常见压缩文件能够判断文件嵌 套或压缩的深度,深度至少识别出100层;同时,也可以将每个被嵌套的文件进 行单独的内容识别,判断要识别的内容是否都在一个被嵌套文件中,还是分散在 多个嵌套文件中;能够根据被识别文档中包含的敏感数据数量自动标定被识别文 档的严重等级。2 .防护能力(1)系统能够自动采集并监控终端新增的应用信息;并对各种应用配置运行 和访问权限,禁止运行高危应用、外置应用程序给系统带来风险,对存在泄漏风 险和未知应用的访问敏感文件行为进行审计、阻断、审批、

6、备注等管控措施;(2)系统能够监控到用户的打印或虚拟打印行为,能够根据不同用户设置不 同的打印权限,能够对打印的敏感文件进行审计、拦截、提供流程申请、要求说 明原因、添加水印等保护,水印内容、样式、字体、颜色可以自定义,支持文字、 图片、二维码、溯源水印;(3)系统能够对终端接入的网络进行监控,对接入非预定义的合法网络时, 系统会产生审计记录、或阻止通过该网络发送任何流量;终端在接入合法的网络 后,能够对指定应用的外发流量进行监控或例外,被监控的流量中如果包含敏感 内容时能够进行审计、告警、阻断;同时支持按IP地址进行例外;(4)系统提供离线文档保护功能,对需要外发的文件进行加密,并设置读写

7、权限、编辑权限、打印权限和有限期等,外部人员在访问该文档时会自动添加窗 口水印;(5)系统可以自定义审批流程,并对不同的审批流程增加说明,用户可以根 据所在部门、业务要求选择不同的流程进行审批操作;审批流程可以自定义多种 审批模式,支持指定审批人员、部门审批、逐级审批、是否会签;(6)系统内置多种识别规则,支持自定义防护策略,并对每个策略指定优先 级、有效期,对策略产生的泄漏事件定义保留期限,一条策略可以同时应用到终 端防泄漏、网络防泄漏、邮件防泄漏产品,并可以对不同产品定义不同的防护措 施;(7)对于在线训练的识别模型,在使用过程中能够收集产生误报的文件,并 将误报文件自动加入到训练模型的反

8、向样本中进行再次训练,以提升模型的识别 准确度;(8)能够统一管理网络DLP、终端DLP等设备,并对事件进行统一的管理和 分析;(9)能够为至少50台机器提供终端防泄漏功能。三、APl应用网关管控服务功能要求(-)资产管理(1)接口资产自动提取和账号资产的自动发现,支持通过手动方式进行应用 资产、接口资产和账号资产的添加,支持内置接口提取规则和自定义接口提取方 式;(2)支持以卡片和列表形式展示应用资产列表,展示包括资产名称、资产域 名等基本信息;展示接口数、敏感接口数、账号数和客户端IP数以及流量和访 问量等统计信息和排序;展示资产的敏感数据识别信息。支持基于应用资产的投 权和敏感情况分布的

9、统计及资产的环比变化支持通过资产名称、IP、授权状态、 敏感属性等进行应用资产的筛选,和应用资产列表导出;(3)支持以列表形式展示接口资产列表,展示接口所属应用、接口名称、接 口类型、接口组及接口敏感属性等信息;展示接口流量和访问量统计信息和排序、 支持接口参数设置和接口全文记录启停、支持通过接口名称、接口类型、启用状 态、敏感属性等进行接口筛选和接口资产列表导出;(4)支持以列表形式展示账号名称、所属应用、登录方式、常用IP等基本信 息;展示账号流量、访问量、登录次数等统计信息和排序;展示账号最近一次登 录的时间、IP和状态等信息。支持通过账号、登录方式、常用IP和敏感属性进 行账号筛选和账

10、号资产列表导出;(5)支持从应用、接口、账号维度建立资产访问分析画像,包含资产基本信 息、统计数据和周期时间内的访问分析和敏感数据访问分析等。支持从应用、接 口、账号维度进行关联风险分析,包含周期时间的风险等级、风险类型、风险 趋势、风险分布和风险策略分布等统计分析;(6)支持以列表的形式展示敏感数据资产,包括敏感数据类型、样例、敏感 等级、接口路径等。(-)安全日志(1)支持审计记录完整的语句详情信息。包括:客户端IP、应用账号、应用 名称、服务端IP、接口、域名、匹配规则、风险等级、风险类型、敏感数据标 签、会话ID、请求时间、请求状态、响应体大小、响应时长、状态码、消息头 和响应等至少1

11、8个审计信息;(2)支持根据会话中的请求顺序进行会话回放。支持审计日志导出,并可定 制导出日志包含的内容,审计日志支持通过SYSLOG、KAFKA方式外发。(三)告警(1)支持根据安全管控规则进行告警。告警内容包括:客户端IP、应用账号、 应用名称、服务端IP、接口、域名、匹配规则、风险等级、风险类型、敏感数 据标签、会话ID、请求时间、请求状态、响应体大小、响应时长、状态码、消 息头和响应、审阅状态和审阅审阅意见;(2)支持告警信息通过邮件、SYSLOG SNMP和FTP等方式进行外发。(四)敏感数据识别(1)支持敏感数据标签库功能,支持自定义敏感数据标签;(2)支持对审计日志进行敏感数据打

12、标,并提供敏感数据样本值、样本样例、 数据个数等信息。支持对应用、接口资产进行敏感数据打标。(五)安全策略支持黑白名单策略,匹配条件至少包括客户端IP、应用账号。白名单命中 后识别为信任行为,黑名单命中后可识别为非法行为。支持自定义审计策略,可 设置应用、客户端1P、应用账号、接口、风险等级、风险类型、数据标签、敏 感等级、时间、请求方法、请求状态、请求关键字、请求URL等条件。(六)数据脱敏支持对Web应用、APl服务调用数据的行为进行解析和监控,并自动分析其 中包含的敏感数据,依据用户、数据控制权限,自动对其中的敏感数据进行数据 脱敏;内置行业模板,快速创建脱敏规则。(七)数字水印预设网页

13、水印设置模板,可对水印显示的内容、大小、位置、字体、颜色进 行设置,支持网页水印的在线预览;支持数据水印,可实现敏感数据内容插入不 可见字符,或生成伪列的方式生成数据水印做到数据水印准确溯源。(A)访问控制支持定义条件包含用户、应用资产、接口等,对用户访问进行安全管控,对 于非法访问情况将直接进行阻断,将不返回相关页面。(九)水印溯源(1)支持根据带水印的数据内容或文件进行数据溯源,可通过应用名称、接 口、账号和客户端IP等条件进行溯源结果的筛选;(2)支持溯源结果分析,包括溯源内容对应的敏感数据类型,命中的记录数。四、云安全加固服务功能要求(-)WEB应用防护服务功能性要求1.保护对象(1)

14、支持多条链路数据的防护,防护网段数量不限;(2)支持通过设置数据缓存、页面压缩进行Web加速;(3)可以设置后端TCP连接模式,可根据业务特点设置长连接和短连接,并 且可以通过设置连接复用,减轻后端服务器压力。2 . HTTPS 防护(1)支持HTTPS协议的选择可以选择SSLTLS协议版本,可选SSLV3、 TLS1.0 TLS1.1 TLS 1.2;(2)支持HTTPS站点SSL算法自动探测功能。探测时可以指定站点及端口, 可以显示探测结果。3 .客户端安全防护支持客户端安全防护,插入特殊的HTTP报头以保护客户端免受某些攻击包 括但不限于增加以下安全报头。4 .智能学习(1)支持智能学习

15、安全功能,可以对用户Web业务系统建立安全的访问模型, 学习的内容包括URL地址、URL请求参数等信息;(2)支持设定学习的周期,域名信息,可信任的客户端IP,不可信的客户端 IP以及不学习的URL信息;(3)模型数据可以显示学习中的URL数量,学习完成的URL数量、检测中 URL数量、学习失败的URL数量,同时可以显示各个阶段的占比情况,数据模 型可实现在线更新。5 .智能攻击者锁定支持智能识别攻击者,对网站连接发起攻击的IP地址进行自动锁定禁止访 问被攻击的网站,可配置攻击者锁定时间,可配置将攻击者直接加入网络黑名单。6 . CC防护功能支持根据细粒度条件对CC攻击进行检测和防护;匹配条件由URL参数、 请求头部字段、目的IP、请求方法、地理位置组成;测量指标由请求速率、请 求集中度、请求离散度组成;客户端检测对象由IP、IP+URL、IP+UsejAgent 等参数组成;支持从请求头字段获取真实源IP地址。7 .日志报表管理(1)根据产生的安全日志进行智能分析,提高人工分析效率,减小规则误判 概率;(2)能够统计分析出用户所访问URL/IPTOPIO数据;(3)支持根据PCI DSS标准对网站进行扫描评估并导出PCI DSS合规报表。(二)数据库审计服务功能性要求1 .协议支持支持 MOngODB、Hb

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 应用文档 > 汇报材料

copyright@ 2008-2022 001doc.com网站版权所有   

经营许可证编号:宁ICP备2022001085号

本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有,必要时第一文库网拥有上传用户文档的转载和下载权。第一文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知第一文库网,我们立即给予删除!



客服