《药品安全智慧监管“黑匣子”(二期)项目采购需求.docx》由会员分享,可在线阅读,更多相关《药品安全智慧监管“黑匣子”(二期)项目采购需求.docx(38页珍藏版)》请在课桌文档上搜索。
1、药品安全智慧监管“黑匣子”(二期)项目采购需求一、项目背景按照XX省药品监督管理局建设“数字药监”,实现智慧监管,推进药品安全治理现代化,根据全省全面推进数字化改革大会精神及XX省“数字药监”建设方案省药监局党政机关整体智治系统建设实施方案等整体战略部署,XX省药品监督管理局以列入国家药监局药品智慧监管一体化平台试点为契机,实施重点药品安全智慧监管“黑匣子”应用,不断提升企业信息化管理水平,提高日常监管效率,进一步强化药品风险管控,保证药品质量安全。按照“一年出成果、两年大变样、五年新飞跃”的要求,聚焦“应用成果+理论成果+制度成果”,全面推进核心业务数字化,实现年度重大任务流程再造、协同高效
2、,在一期药品生产企业监管功能基础上增加优化风险分析、预警模型等功能。此外还把药品流通企业、化妆品生产企业及医疗器械生产企业的生产、流通环节等纳入“黑匣子”监管体系。以药品安全智慧监管为核心,通过对原有项目的升级和新建项目开发,集成整合并重构智慧监管体系,加快实现省域药品安全治理现代化。二、建设目标及内容(一)建设目标项目将充分应用区块链、人工智能、边缘计算等技术融合,汇集源头数据,进行Al智能化模型算法校验,让周期性抽检和现场纸质性人工检查转变为线上自动化的智能监管,达到对药品生产质量的风险预警及智能管控的目标。(二)建设清单序建设内容详细信息数量号1专属云服务专属云服务1年区块链技术服务1年
3、边界安全服务1年计算环境安全服务1年安全运营管理服务1年集成建设服务1年2安全设备核心交换机1台楼层交换机7台APT设备1台数据库审计1台3数据记录仪药品生产关键数据记录仪70台()技术参数要求本项目需要对“两品一械”生产流通企业的关键参数采集及存储,涉及企业核心机密数据,比如:工艺数据、供应商数据等,数据安全意义重大,为加强数据安全防护,打消企业数据安全顾虑,需加强药监行业监管专属云安全防护能力,因此此次规划采购为期一年的专属云服务并新增网络安全设备,如核心交换机、楼层交换机、APT设备、数据库审计以及配套的安全组件、安全服务,确保能够满足药监数据安全防护需求。相关系统严格按照中华人民共和国
4、网络安全法中华人民共和国数据安全法贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见网络安全等级保护基本要求等进行设计与开发,确保建设过程符合网络安全等级保护及测评要求。1.专属云服务序号分项专属云服务混合云弹性云服务器-通用计算增强型,混合存储等。提供硬件资源、网络资源、存储资源等基础设施服务,确保云服务的稳定运行。DaaS平台:提供丰富的大数据存储、计算框架,业界领先的计算存储分离;面向应用场景的数据传输、数据整合和数据治理能力。IaaS平台:虚拟化技术采用KVM虚拟化技术,IaaS云平台采用基于OPenStaCk架构的云平台技术,整合计算、存储、网络能力,采用成熟的KV
5、M和OPenStaCk商用产品。区块链服务区块链服务平台,涉及企业核心机密数据,比如:工艺数据、供应商数据等,进行上链存储,确保数据不可篡改,保证数据安全性。区块链服务平台是一站式区块链PaaS服务平台。平台资质齐全,提供丰富的行业应用支撑能力,降低用户上链门槛。边界安全服务提供药监局“黑匣子”工程核心集群算力服务平台的边界安全服务能力,包含抗拒绝服务、边界安全策略与防护、抗入侵、WEB防篡改等。1、边界DDOS防护在网络出口部署抗拒绝服务系统,针对目前流行的DDoS攻击以及未知的攻击形式,通过ADS及时发现背景流量中的攻击行为,迅速对攻击流量进行过滤,确保正常业务的可用性。通过流量清洗系统的
6、异常流量分析功能,实现对流入单位内部网络的流量分析,能够识别其中的各类攻击流量;通过流量清洗系统的攻击防护功能,实现对流量型DDoS攻击(如SYNFlood、UDPFlood、ICMPFlood、ACKFIoOd等)的有效过滤,保护通信链路带宽及内网设备不受攻击影响;通过流量清洗系统的攻击防护功能,实现对应用层的DoS攻击(如HttPGetFIood、连接耗尽、CC等)的有效过滤,保证服务器或主机性能不受攻击影响。2、访问控制互联网出口和区域边界部署防火墙系统实现基于应用/用户识别的访问控制、流量控制、服务器负载均衡、安全威胁阻断等功能,同时防火墙系统具有带宽管理及控制能力、连接完整性检测能力
7、、重要网段保护能力,满足信息安全等级保护技术要求。互联网出口部署上网行为管理对内网员工的网络社区、P2P/1M带宽滥用、网络游戏、炒股、网络多媒体、非法网站访问等行为进行精细化识别和控制,并利用智能流控、智能阻断、智能路由等技术,配合创新的社交网络行为管理功能、清晰易用的管理日志功能等,提供全面、完善的上网行为管控方案。3、入侵防范为了检测、防止或限制从外部和内部发起的网络攻击行为;同时对新型网络攻击行为能够进行检测分析;当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时提供报警的安全需求,设计部署入侵防御,实现对信息网的全面威胁检测和防护。入侵防御系统以全
8、面深入的协议分析为基础,融合权威专家系统、智能协议识别、协议异常检测、流量异常检测、会话关联分析,以及状态防火墙等多种技术,提供从网络层、应用层到内容层的深度安全防护,可以主动防御已知和未知攻击,实时阻断各种黑客攻击,如缓冲区溢出、暴力猜测、扫描探测、非授权访问、蠕虫病毒、僵尸网络等,同时具备全面阻止木马后门、广告软件、间谍软件等恶意程序下载和扩散的功能,在紧急漏洞出现而系统仍不具备有效补丁解决方窠时,提供“虚拟补丁”功能,从而提供实时防御,增强应对突发威胁的能力,保障业务系统的运行连续性和完整性。4、WEB应用安全设计在DMZ区部署WEB应用防护产品,除了基本的访问控制能力外,还可以实时发现
9、和阻断针对数据中心区业务系统的SQL注入、XSS跨站脚本、WEB漏洞利用等攻击;还可有效限制针对WEB应用URL的恶意访问,文件非法下载和上传、盗链、爬虫等进行有效防护。WEB应用防护以资产为视角,直观展示单资产的安全策略、安全告警,实现精准防护,有效防护针对WEB应用的特点的攻击方式,通过部署WEB应用防护产品,保障业务系统免受各种针对系统注入、权限利用、漏洞利用等的攻击,同时内置的防篡改功能可以实时监测业务系统的完整性,防止系统被篡改,带来信誉影响等的重大影响。计算环境安全服务提供药监局“黑匣子”工程核心集群算力服务平台的计算环境安全服务与数据安全能力,包含终端安全管理、数据库管理与备份、
10、数据库安全审计、集中运维管控、全流量数据分析、日志管理审计等1、集中运维管控针对第三方人员、政府内部运维人员的运维行为进行全运维周期的安全管控,设计在安全管理区部署堡垒机产品,通过堡垒机去访问网络目标设备;堡垒机采用“物理旁路,逻辑串联”的部署方式,通过配置路由器或目标设备的访问控制策略,只允许堡垒机的IP访问目标设备的运维、管理服务,建立基于唯一身份标识的实名制管理,统一账号管理策略,通过集中访问控制与授权,实现从登录到退出的全程操作行为审计,满足合规管理和审计要求。通过部署堡垒机建立基于唯一身份标识的实名制管理,统一账号管理策略,实现跨平台管理,消灭管理孤岛。通过集中访问控制与授权,实现单
11、点登录(SSO)和细粒度的命令级访问授权。基于用户的审计,审计到人,实现从登录到退出的全程操作行为审计,满足合规管理和审计要求。2、数据库安全审计针对数据库的安全管理、安全检测、安全审计的需求,设计在数据中心区部署数据库审计产品,旁路连接到数据库服务器前端交换机上,通过交换机配置双方向端口镜像的方式,实时获取网络中的数据库访问数据包,并进行分析。3、集中日志审计针对全网的安全设备、网络设备、主机系统等各类设备产生大量日志数据和安全信息,安全员对分散的日志数据和安全信息无法实现安全分析,发现安全事件时无法第一时间提供对应日志数据进行事件溯源等问题,设计在安全管理区部署日志审计产品,通过对网络设备
12、、安全设备、主机和应用系统日志进行全面的标准化处理,及时发现各种安全威胁、异常行为事件,为管理人员提供全局的视角,确保业务的不间断运行安全。通过部署日志审计产品,协助政府解决日志分散存储、数据量大、格式不统一带来的日志分析困难的问题,协助政府提升日常运维效率,变被动审计为主动告警,为事后取证提供依据,同时满足安全合规的要求。4、终端安全针对内网安全建设薄弱,终端无法管控等问题,设计在内网部署终端安全管理系统,通过软件形式部署,终端安全管理系统分为Agent软件客户端和Center管理服务器端,Agent以软件的形式部署在办公网的内网主机上,检测黑客对内网的渗透攻击行为。Center管理服务器端
13、以软件形式部署在内网服务器上,进行Agent行为日志的统一收集和分析。Centerg管理平台可对内网中所安装的agent进行注册,控制,卸载等。在管理平台中,包含众多能力组件,以提供安全运维支撑与安全响应。其中包含资产指纹管理,威胁情报管理,自动持续化组件,资产脆弱性与漏洞库等。客户端Agent肩负着多项终端任务,包括主机入侵检测数据收集的任务,主机防护响应任务调度,及主机环境陷阱设置等。安全技术的应用与插件化的结构,让Agent更适应于更多的攻防场景。主机入侵检测的集成,不仅实时监控并收集可用数据,使Agent加大行为监控并大量收集可疑性数据,提供溯源依据,检测入侵威胁。诱饵技术应用包括服务
14、蜜罐及诱饵,服务蜜罐本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。5、数据库管理与备份应采用数据备份和恢复产品,保障数据的可用性和完整性,一旦发生数据丢失或破坏,可以利用备份数据恢复数据。产品的选用应支持一下功能:(1)应支持重要数据的本地备份与恢复。(2)应支持定时数据保护:使用备份软件定时对数据进行备份保护。通过完全备份、增量备份、差异备份,永久增量备份
15、等手段,定时将数据中心的数据备份到外置介质进行存储,在必要时刻可以将指定时间点数据恢复到生产中心。(3)宜支持持续数据保护:持续数据保护(ContinuousDataProtection,CDP)是一套方法,它可以捕获或跟踪数据的变化,并将其在生产数据之外独立存放,以确保数据可以恢复到过去的任意时间点。持续数据保护系统可以基于块、文件或应用实现,可以为恢复对象提供足够细的恢复粒度,实现几乎无限多的恢复时间点。(4)宜支持副本数据管理:副本数据管理(Copydatamanagement,CDM)从生产环境通过快照技术获取有应用一致性保证的数据,在非生产存储上生成“黄金副本”,这个“黄金副本”数据
16、格式是原始的磁盘格式,可再虚拟化成多个副本直接挂载给服务器,分别用于备份恢复、容灾或者开发测试等。安全运营管理服务在本次药监局“黑匣子”工程建设中,除了建设核心算力、存储、区块链平台外,还有大量外部单位的安全接入,为保证外部接入单位的安全可管、可控、可运维,并实时反映安全风险与威胁、对安全事件进行实时处置,需要引入安全运营平台,对各下级接入单位进行统一纳管。面向药监局“黑匣子”工程核心集群算力服务平台与药企安全接入环境的全场景智能安全运营服务,包含异常行为分析管理、全流量威胁管理等功能,实现安全闭环管理。集成建设服务ECSO(三)合营云+区块链技术服务调试测试,安全产品配套部署调试服务,确保云
17、服务的稳定运行,满足业务软件的计算及存储需求。2 .网络安全设备名称功能或配置核心交换机交换容量交换容量:76.8336Tbps包转发率包转发率:864057600Mpps业务槽位主控引擎22;整机业务板槽位数26,配置48千兆电+24万兆光+24千兆光+2*4口万兆堆叠板卡+4*SFPT0G-CU3M+配置IPv6授权机柜要求适用600mm深度机柜可控优先国产化IPV6支持IPv6过渡技术,IPv4IPv6双栈、6over4隧道、4over6隧道支持IPv6DHCPSERVER,IPv6DHCPRelay,DHCPSnooping,支持IPv6SouceGuard端口整机万兆端口密度2288
18、个硬件要求为保证设备散热效果和可靠性,要求设备支持模主控、电源、监控板、风扇框(前后及左后风道)等关键器件冗余设计支持颗粒化电源,整机电源槽位数2配置堆叠相关组件VXLAN支持VxLAN功能,支持VxLAN二层网关、三层网关,支持BGPEVPN,支持分布式Anycast网关支持VxLANFabric的自动化部署MAC支持整机MAC地址2128K;ARP支持整机ARP表项H16K;VLAN支持4KVLAN;支持1:1,N:1VLANmapping支持端口VLAN,协议VLAN,IP子网VLAN;支持SuperVLAN;支持VoiceVLAN;二层功能支持IEEE802.Id(STP)、802.w
19、(RSTP)802.Is(MSTP)支持VLAN内端口隔离;支持1:1,N:1端口镜像;支持流镜像;支持远程端口镜像(RSPAN);支持ERSPAN,通过GRE隧道实现跨域远程镜像;支持DHCPClient,DHCPServer,DHCPRelay;支持ERSPAN,通过GRE隧道实现跨域远程镜像;IP路由支持IPv4路由转发FIB表项2128K支持静态路由、RIP、RIPng、OSPF.OSPFV3、BGPBGP4+、ISIS、ISISv6;支持路由协议多实例;组播协议支持IGMPSnOoPingVl,V2,V3;支持PIM-SM/DM/SSM;支持MLDVl,V2;MPLS支持MPLSL3
20、VPN、MPLSL2VPN(VPLS,VLL)、MPLS-TE、MPLSQoS访问控制支持基于第二层、第三层和第四层的ACL支持双向ACL;支持VLANACL和IPv6ACL;支持IP/Port/MAC的绑定功能QoS支持PQ、WRR、DRR、PQ+WRR调度方式;支持GE/IOGE端口20OmS大缓存管理运维支持SNMPV1V2V3TelnetRMoN、SSHV2支持通过命令行、中文图形化配置软件等方式进行配置和管理支持Telemetry技术,实时采集设备数据并上送至网络分析组件平台,通过智能故障识别算法对网络数据进行分析,精准展现网络实时状态,及时定界故障以及故障发生原因,精准保障用户体验
21、大数据安全协防交换机支持通过Netstream采集网络数据,上报给网络安全智能系统,进行网络的安全威胁事件信息检测和全网的安全态势感知,同时网络安全智能系统和SDN控制器联动,以实现全网安全协防。支持能效以太网功能,IEEE802.3az楼层交换机交换容量交换容量:144/166MPPS包转发率包转发率432Gbps4.32Tbps端口类型固定端口:48个千兆电口,4个万兆SFP+IPv6配置IPv6授权,支持IPv6dhcp冗余设计主控、电源、监控板、风扇框(前后及左后风道)可控优先国产化二层功能支持MAC地址216K支持ARP表项24K支持4K个VLAN,支持VoiCeVLAN,基于端口的
22、VLAN,基于MAC的VLAN,基于协议的VLAN支持Smartlink支持1:1和N:1VLANMapping功能三层功能支持RIP、RIPng、OSPF.0SPFv3路由协议支持IPv4FIB表项24K堆叠配置堆叠相关组件,支持智能iStack堆叠,将多台支持堆叠特性的交换机组合在一起,从逻辑上虚拟为一台交换机组播支持IGMPvlv2v3Snooping支持VLAN内组播转发和组播多VLAN复制支持捆绑端口的组播负载分担支持可控组播基于端口的组播流量统计安全支持防止DOS、ARP攻击功能、ICMP防攻击支持端口隔离、端口安全、StickyMAC支持IP、MAC、端口、VLAN的组合绑定支持
23、DHCPv6Snooping,DAI,SAVI等安全特性MTBFMTBF(平均无故障时间)超过50年可用度可用度满足99.999%的电信级可靠性要求可靠性支持以太网环网保护协议ERPS,故障倒换时间小于50ms,虚拟化支持纵向虚拟化,作为纵向子节点零配置即插即用QOS支持对端口接收报文速率和发送报文速率进行限制支持SP、WRR、SP+WRR等队列调度算法支持报文的802.Ip和DSCP优先级重新标记管理维护支持SNMPvlv2v3TelnetRMON支持通过命令行、Web中文图形化配置软件等方式进行配置和管理支持Telemetry技术,配合网络分析组件通过智能故障识别算法对网络数据进行分析,精
24、准展现网络实时状态,并能及时有效地定界故障以及定位故障发生原因,发现影响用户体验的网络问题,精准保障用户体验云管理支持本地管理和云盒两种方式,可以通过云管理平台对交换机进行云端配置、监控、巡检等,减少部署和运维的投入,降低网络的OPEX业务防雷业务防雷可达IOKV长期工作温度使用非工业级光模块情况下的长期工作环境温度范围:5“5(C长期工作长期工作环境相对湿度为5%95%,非凝露湿度数据库审计硬件要求支持的数据库实例个数:12;审计性能:峰值SQL处理能力220000条/秒;总网络吞吐量2000Mbps;双向审计数据库流量200Mbps;标配日志存储数20亿条;审计日志检索能力21500万条/
25、秒。2U机架式;内置交流双电源;产品采用专用工控机硬件架构,非普通PC服务器,MTBF(平均故障间隔时间)65000小时;处理器采用InteI高性能4核CPU,内存22*8GB,硬盘24TB(2T*2),支持RAn)L最大支持扩展到4T*4硬盘;网络端口:支持监听接口扩展;配备至少2个千兆电口管理口(admin口1个、HA口1个);支持千兆网络环境下的监听能力;标配至少4个千兆电口和4个千兆光口;(多模,标配2个SFP模块、3米LOLC跳线2根)空余拓展板卡位:2个,支持最大扩展至8电8光或16电或16光共16个千兆以太网口部署方式旁路部署模式下无须在被审计数据库系统上安装任何代理,仅通过镜像
26、流量即可实现审计;可在云环境操作系统中安装软件代理,要求提供国家权威检测机构(公安部安全与警用电子产品质量检测中心)的检测报告;在目标数据库安装Agent解决云环境、虚拟化环境内部流量无法镜像场景下数据库的审计;支持分布式部署,管理中心可实现统一配置、一键批量升级所有节点、统一报表生成、统一查询;在分布式部署模式下,管理节点和探测器节点都可存储审计数据,实现大数据环境下磁盘空间的有效利用和扩展;支持IPv4IPv6双栈审计;支持和ES平台对接,将审计日志和告警日志存储在ES系统中,并支持通过页面查询日志;协议支持支持OraCIe(包括21C及其他版本)、MySQL、SQLServerSybas
27、eASEDB2、Informix、CachePostgreSQL(14及其他版本)、TeradataMariaDBHanaLibrASybaseIQ、TiDBVerticaPolarDBPoIarDB-X等主流数据库的审计;支持MongoDB、HBaseHive、Redis、ElaStiCSearch、Cassandra、HDFS、ImpalaGraphbasesGreenplumSparkSQL、SSDBArangoDBNeo4j、OrientDB等数据库的审计;支持主流业务协议HTTP、Telnet、FTP的审计;可以通过导入证书的方式实现SQLServer2005及其他版本采用了加密协议
28、通讯的审计;可以通过导入证书的方式实现MySQL5.7及其他版本采用了加密协议通讯的审计;支持对各种协议自动识别编码及在web界面手工配置特定编码如GBl3000、UTF-8、UTFT6等;审计功能支持数据库操作表、视图、索引、存储过程等各种对象的所有SQL操作审计;审计信息能够记录执行时长、影响行数、执行结果描述、返回结果集,提供功能截图,提供功能截图,并提供国家权威检测机构(公安部安全与警用电子产品质量检测中心)的检测报告;支持数据库请求和返回的双向审计,特别是返回结果集和返回字段、执行状态、影响行数、执行时长、客户端工具、主机名等内容,支持通过设置保存行数、最大保存长度来控制返回结果集的
29、大小;支持在双向审计场景下根据以往审计命中情况设置结果集存储策略,支持设置保存行数与最大保存长度;支持跨语句、跨多包的绑定变量名及绑定变量值审计;支持本地直连数据库场景下的审计,通过本地Agent捕获本地数据库客户端程序中实际响应的SQL指令,实现对本地运维人员的数据库操作行为的审计,支持主流数据库如Oracle、PostgreSQLMySQLSQLSCrVCr等;支持HDFS、HIVE、PostgreSQLSParkSQL(Thrift)等场景下的kerberos认证加密流量的解析与审计;支持超长SQL语句(最长4M)审计;智能发现支持自动发现、自动添加流量中的数据库信息,并支持自定义自动发
30、现截止时间;女全审计支持审计记录中敏感数据的脱敏处理,内置常见敏感数据脱敏规则,并支持脱敏规则自定义;产品具有内置规则,规则类型有SQL注入、账号安全、数据泄露和违规操作等,并可依据规则进行邮件告警,要求提供产品功能截图,并提供国家权威检测机构(公安部安全与警用电子产品质量检测中心)的检测报告;内置安全规则不少于900条,如SQL注入、缓冲区溢出等;可自定义审计规则,审计规则至少支持18个条件;支持旁路阻断;规则各条件之间支持与或非逻辑关系;支持安全规则遍历匹配,针对某个操作,将全部安全规则进行匹配,并返回所有匹配的告警结果;支持安全规则优先级设置,在匹配规则时支持按照优先级顺序进行匹配并返回
31、唯一匹配结果;支持内置安全规则通过规则包进行单独升级,需提供产品功能截图,并提供国家权威检测机构(公安部安全与警用电子产品质量检测中心)的检测报告;支持信任规则,信任规则至少支持27个匹配条件;查询分析为保障高效的查询性能,要求产品后台采用全文检索引擎检索,具体体现为:可通过检索报文进行审计记录的查询;查询条件易于使用,审计查询条件均为非正则表达式形式进行;支持基于日期、时间、报文、审计ID、会话ID、SQL模板ID、资产、数据库账号、客户端IP、服务端IP、客户端端口、服务端端口、客户端MAC、服务端MAC、数据库名/实例名、数据库对象(库、表、字段等)、客户端工具、主机名、操作系统用户名、
32、影响行数、执行时长、执行结果描述、返回结果集、关联IP、关联账号、操作类型、数据库类型、执行状态等条件的审计查询;支持在审计日志中一键添加过滤规则,支持在告警规则中一键添加信任规则或规则白名单;设置日志检索条件时,检索条件可根据历史信息自动弹出,即输入检索条件时支持智能联想;支持告警分析功能,告警分析支持按照“客户端IP+数据库账号”的组合对SQL模板维度进行排行,支持在页面一键添加到白名单、一键添加到信任规则支持日志查询时分析筛选能力,根据查询条件自动分析出存在的数据库账号、客户端IP、客户端工具、操作系统用户名、服务端IP、操作类型、数据库名/实例名、表名、主机名、执行状态、执行时长、影响
33、行数等,并支持在以上各个维度中灵活筛选分析;(提供产品功能截图)历史会话中的审计记录支持直接导出,支持通过“查询分析”按钮跳转至审计日志页面进行进一步的分析筛选;统计报表系统内置多种报表模板库,报表不少于23种;报表支持严格按照塞班斯(SoX)法案、等级保护标准要求生成多维度综合报告;支持按照时间曲线统计SQL语句执行情况分析(包括SQL语句总量、DDL操作数量、DML操作数量、执行失败数量)、会话连接分析(包括新增会话、最大并发会话、失败会话)、风险事件分析(包括告警总数、高风险、中风险、低风险)、SQL性能分析(包括平均执行时长、1秒以上语句数量)等支持性能分析,统计性能变化趋势,并且准确
34、提炼出SQL语句中耗时最久、性能最差和执行量最多的SQL模板;支持基于表维度的报表分析,表分析报表支持通过桑基图展示各表的访问关系图;(提供产品功能截图)支持HTML、PDF、PNG、WoRD、EXCEL.CSV等格式的报表导出(提供产品功能截图)支持报表页面信息钻取;支持自定义报表,自定义报表支持告警名称、告警等级、操作类型、操作系统用户名、数据库名/实例名、主机名、数据库账号、客户端IP、客户端工具、数据库类型、客户端端口11种统计维度,支持来自审计日志、告警日志、会话日志的29种统计指标,根据以上条件进行灵活选择后生成报表;(提供产品功能截图)模型分析可依据客户端工具名、数据库用户名、客
35、户端IP、操作系统用户名、客户端主机名、数据库名、操作类型、服务器IP等配置行为模型,并可查看相应告警日志,提供产品功能截图,并提供国家权威检测机构(公安部安全与警用电子产品质量检测中心)的检测报告;可通过桑基图展示访问数据库的路径,路径包括数据库IP端口、数据库账号、操作类型、数据库/SID、表名等;数据管理支持根据在线日志留存天数、在线数据最大占用空间百分比、备份数据最大占用空间百分比自动清理早期数据;支持对在线数据的备份,支持调整备份压缩等级,支持展示数据备份进度;支持将审计日志通过FTP/SFTP的方式外送,支持自定义在线数据备份时间周期,支持恢复数据并展示恢复进度;提供系统配置信息的
36、单独备份和上传恢复功能,并支持自定义备份周期和备份文件上限;系统管理支持在界面查看告警日志,同时支持邮件、短信、企业微信、钉钉、SNMP、SYSLOG等方式告警;采用B/S架构管理;支持用户安全配置,包括登录超时、用户锁定(密码尝试次数、锁定时长,以及自定义设置登录尝试密码失败之后,将登录尝试失败计数器重置为0次所需要的时间)、密码策略(密码强度、密码使用期限)等;支持将同步设备时间与浏览器时间进行同步,支持页面修改时间同步配置例如同步服务器、是否自动同步等;支持对CPU、内存、硬盘的告警阈值进行设置,支持分布式部署时在各个探测器节点分别设置不同的阈值;支持系统资源使用率超阈值(CPU、内存、
37、磁盘)、流量代理异常时触发系统告警,告警支持通过页面展示,支持通过邮件、短信、企业微信、钉钉、SyslogASnmP等方式外送Agent管理支持在页面批量安装、配置、删除、挂起、唤醒、启动、停止、升级、回退所有的Agent;支持在审计页面直接升级或回退已安装在数据库服务器上的Agent,显示相应的升级/回退进度和结果,且升级或回退不需要输入数据库服务器的账号、密码;Agent支持设置CPU亲和性、最大资源使用率限制(CPiJ、内存);可监控Agent的转发速率,以及Agent所在数据库服务器的CPU、内存利用率,并可设置CPU、内存利用率的上限阈值,超阈值时Agent将自动停止转发数据,需提供
38、功能截图并盖原厂公章,提供国家权威检测机构(公安部安全与警用电子产品质量检测中心)的检测报告;Agent支持设置抓包网口和抓包过滤串,且支持按照客户端工具、数据库账号过滤;Agent支持配置回环网口、回环抓包过滤串、回环网口替换IP,支持远程登录审计(远程登录审计开启后,本地流量中的IP端口会被远程连接的IP端口替换);支持Agent和审计服务端数据传输加密;API化功能全面APl化,支持第三方调用;分布式支持在管理节点上管理数据库资产、规则配置(包括安全规则、信任规则、过滤规则、规则维护和关联数据等)、报表订阅、告警通知等;在分布式部署模式下,支持在管理中心(管理节点)查询所有审计节点的日志
39、信息,支持自由选择是否统一查询,在各个探测器节点仅能查询自身节点产生的审计日志;支持在管理节点上监控所有探测器节点的状态信息,包括CPU使用、内存使用、数据库流量、数据分区、审计总数、在线数据、告警总数和会话总数等信息,并支持自定义信息刷新频率;支持管理中心和审计节点手工同步配置信息;支持在管理中心直接升级探测器节点,支持批量选择和单独选择需要升级的探测器节点;在分布式部署模式下,管理中心和探测器节点统一IiCenSe,在管理中心的许可处进行统一显示,各个探测器节点不再显示license具体数量;三层关联可提供客户端访问Web服务器的URL和应用服务器访问数据库的SQL语句关联功能,需提供功能
40、截图并盖原厂公章,提供国家权威检测机构(公安部安全与警用电子产品质量检测中心)的检测报告;支持通过部署Agent实现javaweb环境100%准确关联;易用性支持对SQL语句进行业务化翻译,为用户提供SQL语句概述,便于用户理解;支持资产组管理;对于与产品相关的关联数据,支持分组管理,分组管理包含IP组、数据库账号组、应用用户组、时间组、对象组;支持在日志页面一键取证;支持区分历史会话和在线会话;支持LADP认证配置;支持配置过滤规则,过滤规则包含IP过滤、SQL模板过滤和按规则过滤,其中按规则过滤的自定义过滤条件不少于26个;在页面支持ping、nctraceroute命令进行连通性测试;支
41、持中英文界面;可维护性内置一键检测功能,可检测设备状态,包括流量、服务状态、设备状态、配置、许可和日志等;内置运维终端,可实现日志查看与下载、监控日志、设备状态检测、查看系统资源使用、查看共享内存使用、查看Kafka消费情况、执行SQL语句、执行常用命令、特权运维等;支持系统引擎管理,支持查看引擎运行状态,并支持调整引擎运行参数;租户化管理支持租户化管理,针对某几个用户可授权查看指定的几个数据库产生的审计日志和告警信息等。防统方功能具备产品需要有医疗防统方专版,且支持与通用版本的切换;内置HlS系统内置的HIS系统厂商信息包括方正国际、天津天健、东联、联众、创业、军卫、联想、金仕达卫宁、东软、
42、东华等;IP关联支持通过IP地址关联人员的工号、姓名、手机、科室、房间、主机名、MaC地址等信息(需提供产品功能截图证明,并加盖公章)统方告警统计首页支持通过曲线图方式直观展示每小时统方告警数量,支持首页显示统方告警名称的T0P5和B0TT0M5;告警语句SQL模板统计支持首页展示T0P20的统方告警语句的SQL模板APT设备硬件要求MTBF大于65000小时吞吐率:网络层:2Gbps,应用层:IGbps,WEB检测:HnP最大并发数8万/秒邮件检测:邮件处理数:1件万封/24小时文件检测:5万个/24小时支持分布式管理节点10个硬件外形:软硬一体化2U标准机架式设备;电源:1+1冗余电源(额
43、定功率:300W)CPU:4核8线程*1内存:32G硬盘容量:2T*2,带RAIDL可用磁盘空间不小于2T;接口数量:标配10个;接口类型:千兆RJ45网口兆僧理口*2)、千兆RJ45网口兆、千兆业务SFP光口*4(标配千兆多模光模块*2)具备3个扩展槽,可扩展4千兆光、4千兆电4千兆光、2万兆光、4万兆光(扩展光口另配模块)综合能力支持双向流量审计,可对请求和响应内容进行审计支持IPv4和IPv6网络环境下的部署,可同时对IPv4和IPv6网络流量分析检测支持风险数据包保存功能,可存留会话的请求和相应数据包,帮助用户还原攻击过程,进行取证和关联分析;并支持系统内置工具一键在线预览风险数据包支
44、持数据包去重功能,在原始流量存在重复包的情况下能够自动剔除重复的数据包,确保分析结果的准确性,数据包去重功能不影响设备的处理性能支持解析HTTP、FTP、SMTP、POP3、SMB、IMAP、DNSHTTPS、SMTPSP0P3S、IMAPS、RADIUS、KRB5、SNMP、NETFL0WV9TFTPNNTP等协议报文(HTTPS、SMTPS、P0P3S、1MAPS加密协议解析需要导入服务器私钥证书),并提供审计协议类型的端口号配置,可根据需要变更端口号;支持COAP、MQn等物联网协议解析和审计支持GOOSE、MODBUS等工控协议解析和审计支持GTP、PFCPNGAP等5G协议解析和审计
45、支持识别QQaWEBsLDAP.FTP、TELNET、SMTP、POP3、SMB、RDMINORACLE、MSSQLSYBSEMYSQLDB2、PoStgreSQL、REDISMQTT等登录行为;支持多层VLAN、VXLANMPLS、GRE等网络流量的解析检测支持非标端口下的常规协议自动识别、解析和威胁检测功能,包括HTTP/FTP/IMAP/SMTP/P0P3/SSL/SMB/RDP等;支持检测WEB攻击、恶意文件攻击、远程控制、WEB后门访问、WEB行为分析、DGA域名请求、SMB远程溢出攻击、弱口令、拒绝服务攻击、隧道通信、暴力破解、挖矿、扫描行为、漏洞利用、邮件社工攻击、ARP欺骗、密
46、码明文形式传输等行为支持自动对系统告警事件降噪收敛处理,以基于实体的事件分类方式,将T0P30异常客户端IP、安全事件发生次数用不同颜色柱状图排序展示,可一键下钻查看原始告警数量及攻击状态;导出报表支持的枚举信息至少包含客户端IP、服务端IP、成功次数、风险次数、事件次数、事件名称、风险级别、攻击状态、首次发生时间、最近发生时间等支持告警抑制功能,在重复攻击手段下能够减少相同告警数量,提高用户分析效率,可自行设置告警抑制周期、告警上限、抑制阈值、持续时间、启用维度等支持文件白名单、发件人邮箱白名单、发件人域名白名单、域名白名单、情报白名单、IP白名单、WEB特征白名单、IDS规则白名单的配置支持灵活添加组合白名单,细化白名单影响面,包括IP和检测引擎大类、检测引擎大类子类、规则ID等颗粒度的组合白名单,支持至少8种白名单类型支持私网IP地址或网段的地理位置配置,在风险信息中按实际配置数据,展示对应IP地址的地理位置信息支持对HnP、IMAP、SMTP、PoP3、Redis、TeInet、FTP、PoStgreSQL、MQn、DMDBGBASEKlNGBASE等协议的弱口令检测支持自定义
