指标项
|
配置和技术规格要求
|
★硬件指标
|
审计产品采用专用工控机硬件架构,非普通低端PC服务器
系统启动采用CF卡加硬盘方式,保证稳定可靠不可篡改。
|
电源模块:单电源;
|
硬盘容量:≥1TB,支持RAID0、RAID1,支持最大扩展到4T硬盘。
|
网络端口:配备至少2个千兆电口管理口;
支持千兆网络环境下的监听能力,配备4个以上千兆业务电口。
|
★部署方式
|
旁路部署模式下无须在被审计数据库系统上安装任何代理即可实现数据库审计;
|
支持agent方式部署解决云环境、虚拟化环境流量无法镜像的部署。提供国家权威检测机构(公安部三所或国家保密科技测评中心)检测报告
|
支持旁路部署方式,不影响数据库性能和网络架构,无需安装任何agent
|
支持分布式部署,管理中心可实现统一配置、统一报表生成、统一查询;
|
管理中心和探测器都可存储审计数据,实现大数据环境下磁盘空间的有效利用和扩展;
|
管理中心和探测器直接的数据传输速率、时间、端口都可自定义;(提供功能截图证明并盖原厂公章);
|
★处理能力
|
吞吐能力:≥200M;
|
峰值处理能力:≥2000条/秒
|
日处理业务操作数:≥1亿条;
|
审计日志检索能力:≥1000万条/秒;
|
协议支持
|
支持Oracle、SQL-Server、DB2、Informix、Sybase、MySQL等六种主流数据库审计;
|
支持对SQLserver 2005以上版本加密用户名的审计(提供功能截图证明并盖原厂公章);
|
支持PostgreSQL、Teradata、Cache、人大金仓、达梦、南大通用等数据库审计;
|
支持主流业务协议 HTTP、Telnet、FTP、SMTP、POP3、DCOM;
|
支持对各种协议自动识别编码及在web界面手工配置特定编码 (提供功能截图证明并盖原厂公章)
|
审计功能
|
支持数据库操作类、表、视图、索引、存储过程等各种对象的所有SQL操作审计;
|
支持对操作时间、SQL语句、执行结果、返回结果集、影响行数、执行时长、数据库用户名、实例名、源/目的IP、源/目的端口、源/目的MAC、客户端主机名、客户端程序名称、客户端操作系统用户名、业务主机群、SQL模板、会话ID、事件唯一ID等至少21个条件进行审计;
|
支持HTTP请求审计,提取URL、POST/GET值、cookie、操作系统类型、浏览器类型、原始客户端IP、MAC地址、提交参数等,支持对返回页面数据进行审计,支持最大64K返回结果集。
|
支持数据库响应信息的双向审计,特别是返回字段和结果、执行状态、返回行数、执行时长等内容;
|
支持返回结果集审计,支持通过返回行数和内容大小进行控制 (提供功能截图证明并盖原厂公章);
|
支持跨语句、跨多包的绑定变量名及绑定变量值的审计
|
支持对超长SQL操作语句审计,可以正常记录单条长度<=64K个字节的SQL语句内容;
|
支持在IPV6环境中部署,且支持所有数据库IPV6协议的审计(提供功能截图并盖原厂公章)
|
支持数据库防火墙功能,支持对根据IP、账号、客户端工具名、时间等定制规则进行阻断
|
智能发现
|
自动识别流量中存在的数据库,也可通过扫描发现网络中的数据库(提供功能截图证明并盖原厂公章);
|
支持定期自动扫描数据库漏洞和不安全配置,提供漏洞扫描报告(提供功能截图证明并盖原厂公章);
|
应用关联 (三层关联)
|
支持应用三层关联,支持C/S、B/S三层架构下的真实用户名、IP追踪;
|
支持通过部署agent实现java web环境100%准确关联(提供功能截图并盖原厂公章)
|
支持旁路自动学习建立web访问和SQL访问之间的对应关系,生成访问行为模型库(提供功能截图证明并盖原厂公章);
|
运维审计
|
支持telnet、ftp、SSH协议及其他私有协议的旁路会话审计;会话审计日志应含源IP、目的IP、会话起始时间、会话结束时间、连接时长、会话总流量等维度(提供功能截图并盖原厂公章)
|
支持数据库协议解析成会话形式,并支持一键关联到具体的SQL操作会话。
|
支持根据目的IP、目的端口、源IP及时间范围对会话进行检索。
|
安全审计
|
支持审计记录中敏感数据的模糊化处理,防止信息泄露(提供功能截图并盖原厂公章)
|
内置常见敏感数据掩码规则,且支持自定义创建敏感数据模糊化处理规则。
|
内置安全规则库,对数据库安全进行检查,如SQL注入,缓冲区溢出,数据库漏洞,口令猜测以及最高权限滥用、误操作、恶意操作等违规行为实时监测、预警;
内置的特征库不少于300条(提供截图证明并盖原厂公章)
|
审计策略
|
自带包含多种审计策略的规则库,内置审计规则库不少于200条。支持事件类型和策略分组,同时支持黑白名单方式策略
|
可自定义审计策略。支持对数据库用户名、源/目的IP、客户端主机名、客户端程序名称、客户端操作系统用户名、mac、对象组、操作类型、执行时长、影响行数、报文关键字、关联表数、SQL执行结果、白名单、时间、规则等级、告警数量限制、业务主机群等至少18个条件进行审计;(提供截图证明并盖原厂公章);
|
规则各条件之间支持与或非逻辑关系,对象组支持与和或的逻辑关系;数据库账号、来源IP、客户端工具、操作系统用户、主机名、来源MAC地址等支持等于和不等于的处理逻辑; 报文关键字支持正则表达式和非正则表达式方式; (提供截图证明并盖原厂公章);
|
告警类型支持高、中、低、关注、不审计等五种级别
|
告警数量需支持最大告警数量限制,超过告警阈值之后便不告警。
|
告警分析应支持根据SQL模板排行分析,便于告警处理。
|
告警查询应支持根据登陆用户、客户端工具名、客户端IP、规则进行归并分析,能详细展示每类告警占总告警数量百分比,便于告警分析处理(提供截图证明并盖原厂公章);
|
审计查询
|
具有高效的查询性能,具备大数据量的快速检索能力,后台支持SPHINX全文检索引擎检索,每秒查询检索速度最高可达1000万条/秒。(提供产品功能截图,加盖原厂公章);
|
查询条件易于使用,具备丰富、友好,能够通过多条件组合查询精确定位目标,审计查询条件均为非正则表达式形式进行,检索条件不小于11个,直接输入检索条件就可以检索,无需设定正则表达式(提供功能截图证明并盖原厂公章);
|
系统web管理端支持模糊查询,模糊查询应支持影响行数(大于、等于、小于)、客户端IP段(支持等于和不等于某一个IP地址段)、参数(支持等于不等于)、客户端工具、mac地址(支持范围匹配)、关键字(支持部分匹配)等的检索。
|
支持基于数据库访问日期、时间、源/目的IP、来源、数据库名、数据库表名、字段值、数据库登陆账号、SQL关键词、数据库返回码、SQL响应时间、数据库操作类型、影响行数等条件的审计查询;
|
查询返回结果必须包括以下内容: 1.事件开始时间; 2.源IP地址; 3.源主机名;4、源主机系统用户名5.目的IP地址; 6.数据库用户名; 7.源客户端程序名;8.数据库用户名;9.源端口;10.目的端口;11.源MAC 12.目的MAC 13.协议名称; 14.S数据库执行返回码;15、select返回数据结果集16.事件响应时间(ms);
|
统计报表
|
系统提供内置多种报表模板库,内置的报表不少于35种不同维度, (提供功能截图并盖原厂公章)
|
可以根据单个库、数据库组生成报表
|
报表支持严格按照塞班斯(SOX)法案、等级保护标准要求生成多维度综合报告;
|
支持按照源IP地址、客户端工具、帐号、告警数等源信息生成报表;
|
支持按照数据库访问行为生成报表,智能识别帐号的增删、权限变更、密码修改、特权操作等行为;
|
支持按照时间曲线统计流量、在线用户数、并发会话、DDL操作数、DML操作数、执行量最多的SQL语句等报表;(提供功能截图并盖原厂公章)
|
支持性能分析,准确提炼出SQL语句执行频率和执行时间异常的报表;
|
支持多维度报表内容在同一张报表中展现;
|
支持Word、PDF、ppt等格式的报表导出;
|
支持系统自动以日、周、月为周期定期自动生成审计统计报表;
|
支持报表以电子邮件方式自动进行发送;(提供功能截图并盖原厂公章)
|
支持报表自定义,自定义的条件不少于20个(提供功能截图并盖原厂公章)
|
模型分析
|
可智能学习数据库的访问行为建立模型;(提供功能截图并盖原厂公章)
|
可通过行为轨迹图方式展示数据库访问行为(提供功能截图并盖原厂公章)
|
可基于账号、IP地址、访问权限、客户端工具等维度对行为模型做钻取分析、变更分析,对学习的安全基线以外的行为自动智能的进行告警(提供功能截图并盖原厂公章)
|
可以自动对比不同时期的行为模型,以区分其审计日志数趋势、用户、IP地址、工具、访问权限的差异情况;(提供功能截图并盖原厂公章)
|
数据管理
|
磁盘空间达到一定的阀值,支持自动清理最早的数据,清理策略应至少保留天数和百分比两个控制参数,支持web界面可配置,恢复数据不影响正常的审计功能;(提供功能截图并盖原厂公章)
|
支持审计数据自动备份审计日志,备份完后通过FTP方式外送到外部设备;
|
备份文件需要进行加密,且必须导入设备才能够进行恢复查看;
|
提供审计策略和系统配置信息的单独导入、导出功能;(提供产品功能截图,加盖原厂公章);
|
实时监视
|
提供磁盘存储容量不足、磁盘Raid故障等自动邮件报警;
|
提供用户界面告警、Syslog告警、SNMP告警、邮件告警、短信告警、ftp告警等六种方式;
|
提供CPU、内存、磁盘、网口、运行时间、运行状态等信息的监视功能
|
第三方接口
|
支持NTP协议,与用户环境的NTP服务器进行时间同步;
|
支持SNMP协议,支持v1、v2、v3三个版本
|
可与堡垒主机进行联动实现用户信息的定位(提供产品功能截图,加盖原厂公章);
|
支持导入审计关联的账号信息,支持通过IP和账号关联到具体SQL是哪个自然人操作。
|
系统管理
|
采用B/S架构,提供Web图形界面管理,具有良好的交互性和用户体验。
|
支持对连续失败登陆进行自动锁定,锁定时间可设置,具有用户超时自动退出功能;
|
支持手工锁定当前web会话,避免恶意操作。
|
管理员登陆支持登录IP地址访问访问限制,支持静态口令认证,支持密码的复杂性、验证码登陆管理
|
支持手工升级,补丁包通过界面浏览上传实现后台自动升级,升级数据和配置均需保留
|
支持三权分立,系统默认设定系统管理员、规则配置员、审计查看员、操作日志查看员等角色
|
具有自身安全审计功能,可以对审计系统的所有用户操作进行审计记录
|
支持英文管理界面,支持一键中英文切换
|
故障排错
|
系统内置独立的故障排错系统,可以支持一键排错对服务异常、许可证异常、流量异常等大部分常见故障的检测,并可提供快速的解决办法;(提供截图并盖公章)
|
支持流量分析功能,包括抓包、包内容查看、自动探测sql语句等;(提供截图并盖公章)
|
支持日志分析,可一键加密打包系统调试日志导出;
|
产品资质
|
所有资质必须为数据库审计产品专有的资质,不能是网络审计产品或者综合审计的产品资质。
|
具备公安部颁发的《计算机信息系统安全专用产品销售许可证》,级别增强级以上
|
通过数据库审计国家强制性认证(3C认证),级别增强级以上,提供证书复印件;
|
具有自主知识产权,提供证明文件(软件著作权、软件产品登记);
|
具备国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》
|
具有军用信息安全产品认证证书,至少军B级以上
|
★售后服务
|
提供原厂商3年7X24X4现场技术支持和备件服务。
原厂工程师上门安装部署以及系统调优和培训服务。
提供原厂商质保与售后服务承诺函。
|
