XX市数据资源中心数据安全治理服务需求说明.docx

《XX市数据资源中心数据安全治理服务需求说明.docx》由会员分享，可在线阅读，更多相关《XX市数据资源中心数据安全治理服务需求说明.docx（12页珍藏版）》请在优知文库上搜索。

1、XX市数据资源中心数据安全治理服务需求说明一、服务工具要求为本项目提供的服务工具需要能在国产化设备上使用运行。二、服务人员要求成交供应商需共7名具备数据安全服务工作经验的人员进行驻场（含项目经理）。提供驻场的人员要求：（1）项目经理：需具备至少10年信息化项目工作经验且具备至少3年从事数据安全服务工作经验（提供工作经验承诺函。承诺函模版自拟且加盖供应商公章）：（2）其余6名驻场技术人员：需具备至少3年信息化项目工作经验I1.具备至少1年从事数据安全服务工作经验（提供工作经验承诺函.承诺函模版自拟且加盖供应商公章）。（3）服务期内，常备来购人单位提供现场服芬，并承诺所提供的现场服芬人员必须在供应

2、商单位购买社保，提供承诺函（承诺函模版自拟并加蛊供应商公）o三、数据安全运维服务（一）数据脱敏服务（1）服务内容通过数据脱敏服务，将客户的相关业务系统中的敏感数据进行脱敏处理，防止在系统开发、系统测试、培训等各种使用场景下将造成真实数据泄露，提高数据安全性，提升政府部门数据安全管理的能力。当需要将牛产数据发布至测凌环境时，可通过数据脱敏服务与工具形成脱敏数据发布通道，防止生产数据在非生产环境中使用时敬感信息的泄漏，保障数据安全，规避数据风险。通过数据脱枝服务对政务系统中敏感信息的梳理，可为政府部门进一步明确敏感信息范围，统一屏蔽处理规范，实现敏感信息的统一管理，通过数据脱敏服务满足数据安全合规

3、要求，同时实现数据抽取、脱敏和装载的一体化和使用的便利。（2）服芬工具服务工具由成交供应商提供.动态脱敏服务工具性能要求：最大数据库并发连接数与30000个、最大SQ1.解析速率230000个。服务工具需具备以下功能：数据源的兼容性支持的数据库类型超过20种，包括SQ1.Server.MySQI八达梦、人大金仓、GaussDB等数据库脱敏：支持常用的文本文件包括doc、docx、csv、x1.s、x1.sx以及OraC1.e数据泵DMP文件等文件脱敬.敏感数据自动发现对主流的业务系统提供预配置的脱敏算法以确保数据私密性。能够针对所有的数据库提供脱敏数据发现功能，能够杳询数据库并推荐除哪些数据需

4、要进行脱敏。支持通过JaVa类/正则表达式等方式自定义发现敏感数据发现算法。内置敏感数据特征库，能对姓名、地址、电话、身份证号、银行卡号、社会保障卡编号、驾驶证编号、学历、学位、个人职业、职位、车牌号、证券号、海关编号、军官证号、港澳通行证、回乡证、统社会信用代码、组织机构代码、工商注册号、纳税人识别号等超过40种敏感信息自动识别.支持数据字典管理，把数据库种非常用的敏感字段通过数据字典导入脱敏系统，通过自定义规则统调用数据字典进行敏感数据的自动发现，并支持敏感数据字典的导入、导出等管理功能。敏感数据梳理数据库加密工具采用透明加密方式,对上层应用及部署无影晌即可加密数据库敏感数据，通过把数据库

5、的表存储文件路径配置在加解密系统中，可实现数据库表文件的自动加解密。对数据库而言，存:储加密数据文件的加解密系统与普通存储设备没有区别。功能上加解密操作对数据库层无影响，保持数据库本身的功能特性。密钥管理数据库加密工具需具符独立于数据库系统的密翎管理体系，采用密钥和加密数据分离存储的理念，保证密钥不出设备，确保即使被拖库，数据依然安全0密钥管理提供密钥全生命周期管理，豳保密钥以安全的方式完成该系列操作,防止密钥被泄露。密钥管理采用了三级密钥保护机制，即密钥加密密钥KEK、主密钥AMK和数据加密密钥DEK,另外，可以查看保存密钥的加密卡当前的信息及状态，还可以设置加密卡的状态。细粒度访问控制提供

6、独立于数据库管理系统自身的权限控制体系，所有账户（包括数据阵管理系统特权账户）访问密文数据前均应通过数据库加密产品管理员的授权，防止数据库用户的权限提升引起的数据泄密。提供了数据库访问控制功能，在数据库原有的权限控制基础上，可通过自定义规则限制针对密文数据的访问查询结果。可基于数据字段级粒度，实现数据库账号、来源IP、时间等多条件组合方式的授权访问控制。（3）服务范围服务系统数不少于15个，具体以采购人实际确认为准。（4）服务成果数据透明加需管理报告每月1份，共12份数据库字段级加密管理报告B每月1份，共12份（=）数据梳理及分类分级服务CD服务内容数据梳理及分类分级服务收集中位数据样本，调研

7、政务数据的数据结构、数据类型、数据传输方式、分布情况等，更新整理出数据识别具体方案，通过政务服务单位对敏感数据理解以及参照相关敏感数据识别规则，定位政务服务数据的识别对象0通过对识别对象进行逐项分析，归纳识别对象的字段规则，制定出数据标识和判断规则，实现敏感政务数据识别。能够统计数据、分类分级结果，能够通过数据资产清单，按照库、表、字段等多层级结构梳理资产明细。通过技术手段，在数据库、表、视图授权的基础上，协助数据资源中心梳理数据资产，形成数据资产清单，并在数据库、表、数据等发生.变化时，可实现增量资产发现，生成更新后的数据资产消堆。提供资产编目梳理，根据数据资源中心业务属性构建数据目录，能够

8、将资产分门别类，例如按业务部门、极感程度、数据类型等分类。聘业务数据按照多层级关系分配元数据表，使得数据资源中心数据安全治理人员按照对应数据范围分类分级，提离数据梳理效率.参考信息安全技术网络数据分类分级要求和政府数据数据分类分级指南(DB5211232016)等法规要求和国标GBrr43697-2024数据安全技术数据分类分级规则3要求，及时更新政务数据分类分级模板.(2)服务工具服务工具由成交供应商提供。服务工具性能要求：可管理数据安全设备250个、可管理数据库实例2300个。采用数据梳理及分类分级工具，要求工具支持多种数据源接入，主要包括关系型数据库、消息总线、文件：大类型。系统支持接入

9、关系型数据库数据源，包含但不限于：南大通用、达梦、金仓、TDSQ1.等数据库。支持接入消息总线数据源，包括但不限于KAFKA、RocketMQ.DataHub.ACIiVeMQ、RabbitMQo系统支持接入文件类型数据源，包括但不限FTP、SFTP,CIFSZSamba.NFS、本地文件。支持添加资产扫描任务，并在扫描任务管理页跟踪任务扫描进度，可自定义扫描周期和扫描范围。(3)服务范围服务系统数不少于15个，具体以采购人实际确认为准。(4)服务成果本次数据梳理及分类分级服务实施完成后，主要成果文档如卜.：E数据资产清单B每月1份，共12份6“一网共享”平台数据接口清单每月I份，共12份数据

10、分类分级管理制度B服务期内1份数据分类分级清单半年1份，共2份数据分类分级报告半年I份，共2份按系统输出&系统数据分类分级清单不少于25份（四）数据安全抽查服务（1）服芬内容针对采购人对全市信息系统敏感数据流转情况监测,抽取对不少丁15个系统等开展数据安全检杳工作，根据相关标准的要求，对组织、人员、工具平台等开展数据安全的检查工作，发现数据安全能力短板，了解其整体的数据安全风险，明确自身的数据安全水平，制定有针对性的数据安全改进方案及整体提升计划，指导组织后期数据安全建设的方向。数据安全检查工作以敏感数据不出域为基础,在数据使用上做到更高流通性和更低开销，在数据安全上要保持更高机密性和更少扩散

11、，促进单位数据安全建设完善，降低数据风险，让数据有序流动，从而释放更高的数据价值，更好、更安全地使用数据。（2）服务工具服务工具由成交供应商提供。检查工具要求支持以下能力：系统风险检查：针对网络环境中的各种主机、交换机路由器、防火墙、中间件等存在的常见漏洞、典里漏洞（如心脏出血）、Oday漏洞等进行扫描和检查。Web风险检查：提供OW,SP定义的ToP1.oWeb威胁如注入（SQ1.注入、Cookic注入、XPath注入、代码注入、框架注入、BaSC64注入、命令注入、操作系统命令注入）、XSS跨站脚本、伪造跨站点请求（CSRF）.网页挂马、暗链、做感信息泄露、安全配置错误等漏洞风险等漏涧扫描

12、服务.通过基丁爬虫的网站漏洞扫描技术，能够有效识别Web2.0以及F1.aSh,保障Wcb风险检查的全面性。数据库风险检查：采用数据库发现技术和实例发现技术，针对如MySQ1.、达梦、人大金仓等进行风险检查，包括对数据库系统的各项设置、数据库系统软件本身已知漏洞、数据库系统完整性进行检杳和对数据库系统的整体安全性做出评估，并给出提高数据库安全性的修爱建议。通过登录扫描可对数据库的系统衣其至字段进行安全检测。安全施线风险检隹：构建针对不同系统的详细检杳项清单和悚作指导，为安全运维人员的安全技术操作提供标准化框架和指导，主要包括新系统的上线安全检查、第三方入网安全检查、安全合规检查、日常安全检查等

13、。弱口令风险检查：对系统存在的弱口令做检测，支持通用的协议、数据库、中间件、HTTP服务、HTTPS服务。1TE1.NETsFTP、SSH、POP3、RDP、SMTP、Orac1.eMySQ1.、PoS1.grCSQ1.、MsSQ1.SybaseInformixHTTP等。（3）服务范围针对采购人对全市信息系统敏感数据流转情况监测，抽取对不少丁15个系统等开展数据安全检杳工作.（4）服务成果本次数据安全检查服务实施完成后，主耍成果文档如下：6数据安全系统风险评估报告每季度I份，共4份女数据安全系统基线核查报告每季度1份，共4份数据安全基线核杳表I份E系统敏域数据泄露监控服务排查报告每季度I份，

14、共4份G数据库风险检查报告每季度1份，共4份（五）数据安全监测运营（1）数据安全标准化建设1.1.服务内容1、健全数据安全工单流程：2、细化管理输出物1.I标。1.2服务成果V数据安全工单流程图等。（2）数据安全风险告警研判2.1 股务内容做好各类数据安全漏洞的预警和登记，指导业务系统运维人员加固修更相关漏洞。针对网络及数据安全风险，突发预警等，组织专项排杳，指导系统运维单位整改加固。将相关月度监测、巡检、预警等情况，汇总数据安全风险趋势整理生成季报.2.2 服务成果数据安全监控报告（每月/1次,共12份）（3）业务数据安全风险监测与审计（AP1.监测服务3.1 服务内容数据通过AP1.方式共

15、享的传输过程中，AP1.服务将明文数据以http协议模式进行共享传输，并未采取任何加密形式，若流量被截取，会出现信息泄僻风险。虽然有通过访问控制进行AP1.的安全访问，但是在系统开发测试过程中，有需要AP1.接口被遗忘，无法明确知晓具有哪些AP1.在使用，哪些AP1.接口是关闭的。同时应用使用人员通过应用系统进行的数据修询、下载、泄露等风险行为进行分析和发现，当发生安全事件时能够有效审计和溯源，为此针对AP1.进行专门的监测和安全治理AP【接口资产台账API资产梳理目的是通过梳理,掌握各业务系统所属的AP1.接口，对接口进行标记管理，便于运营中添加不同监测策略与风险排杳。API梳理过程中通过HoST信息、UR1.信息进行识别，将识别到的AP1.进行详细标注,如：所属应用、接口用途、货任人、联系方式、备注等。API接口风险分析详细记录API的审计日志的同时，不定时对API吞吐的数据进行抽样，供管理协对AP1.进行人工运营，分析是否有新上线API、失活AP1.等情况。针对事件型漏洞：应依据已知的AP1.事件型漏洞的原理和攻击特征检测网络中利用已知API事件型漏洞的攻击行为，进行攻击结果的研判,结果包括失败、尝试、成功和失陷。针对通用型漏洞：应依据典型的漏洞原理及攻击特征检测网络中的漏洞攻击行为，包括但不限于命令执行、S