数据安全运维服务项目需求

数据安全运维服务项目需求一、项目背景数据安全防护工作不是一蹴而就的,而是一个长期持续化的过程，为进一步加强的数据安全监管处置能力，深度复用数据安全一体化支撑系统的能力，在已有的数据安全防护服务基础上，继续统筹推进数据安全治理，完善数据安全治理制度，持续推进数字经济健康安全发展。本次数据安全服务针对数据加密能力不足，数据库数据水印溯源、权限管控、数据脱敏接入授权数不够等问题，通过采购数据加密接入服务，新增数据库的水印溯源、权限管控、数据脱敏license接入等方式，进一步完善公共数据安全防护。二、服务内容及目标以不发生重大公共数据安全事件为总体目标，以“进不来、拿不走、看不懂、改不了、赖不掉”为防护要求，持续迭代完善制度规范、技术防护、运行管理“三大体系”，全面提升公共数据平台数据安全防护、监测、预警、处置全流程闭环管理水平。依据《网络安全法》、《数据安全法》、《关键信息基础设施安全保护条例》、《网络安全等级保护基本要求》、《互联网信息服务管理办法》、《个人信息保护法》、《公共数据条例》等文件要求，依托市数据安全一体化平台，结合专业数据安全运维人员，制定数据安全制度体系，为提供数据安全运维服务，全面覆盖一体化智能化公共数据平台数据仓生命周期的各个环节，提供数据安全资源运行、数据安全策略运行、数据安全风险运行，数据安全态势感知四大综合能力，实现数据安全管理、技术防护和安全运行的有效协同服务，提升数据安全防护能力。三、服务技术需求序号服务内容名称服务细项清单数量单位1数据安全授权服务数据水印溯源、权限管控、数据脱敏接入license(永久授权)2个数据加密接入license（永久授权）1个2数据安全防护服务数据分级分类服务1项数据接口管控服务1项数据态势感知服务1项数据水印溯源服务1项数据权限管控服务1项数据脱敏服务1项数据加密服务1项3数据安全保障服务数据安全一体化管理运维服务1项安全培训服务1项数据安全应急演练服务1项1.数据安全授权服务依托数据安全一体化支撑系统，在原有已接入2个数据库的基础上新增2个数据库的数据水印溯源、权限管控、数据脱敏接入license(永久授权)，通过水印溯源、权限管控、数据脱敏等能力对大数据发展中心数据库进行安全防护。为满足大数据发展中心对数据加密服务的需求，提供1个数据库的数据实时加解密接入服务，支持字段加密要求，并满足上级监管单位针对数据存储加密要求。2.数据安全防护服务2.1分类分级服务根据数据安全一本账数据安全分级防护要求，提供基于数据安全一体化支撑系统分类分级能力的数据评级服务，并根据上级分类分级要求对重点表进行分类分级技术调整，根据上级分类分级规范要求技术调整分类分级流程。根据省大数据管理机构发布的数据分级要求，结合公共数据资源管理系统情况，提供与公共数据资源管理系统实现用户体系对接服务，实现提供数据分类分级在公共数据资源管理系统的入口；提供分类分级结果在目录系统的统一展示服务。依据敏感数据识别结果，对存量数据目录、增量数据目录、需变更数据级别的数据目录提供评估模型和评估流程等基础服务、敏感度评估服务、数据定级服务、人工修正服务、确认服务、复核服务以及可追溯服务。分类分级知识库接入回流字段分类分级情况；提供分类分级智能化基础字段匹配能力；提供敏感等级知识库，存储各个变更版本的分级情况；提供接口定级服务；提供利用自然语言处理模型进行分级功能优化。提供开发接口定级，按照出参以及调用量进行接口ABC等级分级。序号服务内容服务要求服务成果1分类分级完成新增数据目录100%分类分级工作《数据安全分类分级清单（月报）》2.2接口管控服务提供基于数据安全一体化支撑系统数据接口管控能力，对API接口输出数据进行检测审计，以确保数据的安全性和合规性，对接公共数据平台的数据共享平台，获取接口清单，对所有的接口进行统一规范要求，进行安全性验证，如接口名、接口描述、输入参数、输出参数等信息，并针对每个接口配置相应的检测算法，一个接口对应多个检测算法。并针对上级监管要求提供审计模型开发服务，并在出现风险预警时提供过程异常操作审计服务，从操作时间、来源、目标、频率等维度上对API调用操作进行分析，并提供全流程API调用日志数据溯源服务。提供适配态势感知服务：具备高危操作上报态势感知的能力，上报涉及的内容包括180天账号未登录告警、30天未登录僵尸账号告警、高危sql语句告警、接口调用频率过高告警等。序号服务内容服务要求服务成果1接口管控完成新增接口100%管控服务《数据安全接口管控审计报告（月报）》2.3态势感知服务提供基于数据安全一体化支撑系统数据日志审计能力，通过数据日志审计服务，实现对具备各类数据库、大数据平台的全量日志采集存储，并对接入主机、安全设备、ODPS、堡垒机、各类RDS日志以及VPN日志数据、结合数据流转业务流程实现日志审计与数据安全感知及预警等功能。数据日志审计服务通过采用消息队列、syslog、文件监控等技术和组件，采集大数据平台、运维、应用相关的日志，并对采集到的日志进行标准化处理，便于建模、关联等进一步分析。同时通过机器学习、数据挖掘等技术手段，自动审计分析采集到的日志，发现并感知服务器主机威胁、账号体系威胁、用户行为威胁、数据库威胁等，提供数据库操作审计服务、数据库威胁审计服务、主机威胁审计服务、账号体系威胁审计服务、用户行为威胁审计服务、操作回放服务、日志采集与基础分析服务，并出具审计报告。针对上级监管要求提供审计模型开发服务，并在出现风险预警时提供基于日志的分析回溯，针对堡垒机、数据库、VPN、数据库防火墙等资产日志从操作时间、来源、目标、频率等维度上综合分析研判断。提供针对“大量查询敏感信息”和“ODPS清表操作”的告警模型；日志审计可按照部门进行区分处理。序号服务内容服务要求服务成果1态势感知完成4个RDS数据态势感知服务《数据安全态势感知审计报告（月报）》2.4数据水印服务提供基于数据安全一体化支撑系统数据水印能力，针对上级监管要求对数据进行动态的加注水印，并能够对加注水印的数据溯源数据的使用方和提供方。提供随机行水印服务：具有模拟表内真实数据，并在该行所有字段上施加不可见字符水印，同时可溯源到数据来源的数据库信息。序号服务内容服务要求服务成果1数据水印新增不少于300个L4字段水印策略《数据安全数据水印报告（月报）》2.5权限管控服务提供基于数据安全一体化支撑系统权限管控能力，可以根据上级监管要求调整角色权限配置内容，并提供访问权限细粒度配置，提供多因子认证保障。提供账号自动下线服务：数据库操作员登录后，长时间未操作自动下线的功能，防止数据露。提供每日返回行数限制服务：账号对指定数据库、表查询数据总量的限制行数，并结合单次访问数据总量，防止敏感表数据高频查询导致泄露。序号服务内容服务要求服务成果1权限管控服务100%完成运维账号的权限管控《数据安全权限管控报告（月报）》2.6数据脱敏服务提供基于数据安全一体化支撑系统数据脱敏能力，解决敏感数据泄露问题，实现运维人员、开发人员等根据其工作所需和安全等级访问敏感数据，并对生产库的敏感数据进行动态脱敏。提供数据流转间的脱敏服务。具备多种敏感类型和脱敏规则，提供动态根据上级脱敏要求进行数据脱敏算法配置能力。序号服务内容服务要求服务成果1数据脱敏新增不少于500个L3/L4字段脱敏策略《数据安全数据脱敏报告（月报）》2.7数据加密服务提供基于数据安全一体化支撑系统数据加密能力，解决数据加密问题。通过把数据库的表字段配置在加解密系统中，实现数据库表字段的自动加解密。对数据库而言，表字段是密文存储的，对存储设备无影响。功能上加解密操作对数据库层无感知。提供独立的密钥账号服务，使密钥账号与数据库连接建立关联关系，密钥账号用于生成密钥、登录、加解密等后续操作。提供SM2、SM3、SM4国家商用密码高强标准加密算法，支持RSA、DESEDE、DES、AES、BLOWFISH、IDEA等国际算法，为数据加密提供高效的密码运算和加解密服务，保证敏感数据的机密性、真实性、完整性。提供数值型字段的同态加密算法及存储，不改变原数据库数值字段类型。提供网关加解密服务。提供用户自主可控的密钥管理系统，产品将密钥和加密数据分离存储。提供字段级别配置加解密服务，对待不同字段使用不同的加密算法，单个字段独立配置。序号服务内容服务要求服务成果1数据加密实现接入数据库并录入血缘关系的敏感表L4字段级别100%加密《数据安全数据加密规范》3.数据安全体系保障服务根据数据安全一本账要求，汇聚本地区一本账情况，实现预警信息通过通知进行消息提醒。基于数据安全一体化支撑系统，提供数据资源管理服务，完成数据资源梳理工作；提供组织资源管理服务，完成组织资源梳理工作，梳理所有运维人员的账号信息及负责的相关业务子系统，对业务系统及数据库进行管理；提供数据安全防护策略下发服务，根据现有业务实际情况对敏感或重要数据资产以及对应业务系统进行数据安全防护策略下发，策略下发的类型应包含权限管控，日志审计和接口管控；提供数据安全脱敏水印策略稽核支撑服务，协助建立数据安全策略稽核常态化工作，明确策略实施对象、策略内容、实施周期、实施结果；提供安全管理制度咨询，从标准化、体系化角度，协助招标人设计整体安全建设框架，提供安全体系规划、整体安全策略、安全管理制度等咨询服务，建立健全数据安全管理体系。为落实《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《公共数据开放与安全管理暂行办法》等法律规章规定，加强公共数据安全管理，及时响应并提供数据安全事件现场处置，最大限度地减轻或消除安全事件的危害，提供包括但不限于以下服务：1) 定期收集各数据安全能力取得的安全信息数据进行预分析，针对发现的可疑风险或行为，及时形成报告汇报给采购人；2) 根据各平台获取到的信息（包括但不限于漏洞及安全事件数据信息），向采购人汇报，汇报完成后，根据采购人指示授权开展进一步工作；3) 根据采购人情况，牵头会同后端数据安全团队进行本地数据资源梳理工作，包含数据资源、组织资源等；4) 在采购人要求下，协同后端运营团队，对各平台的安全防护策略进行优化，保证各平台能够在最优的状态下运行；5) 根据分类分级工作进展，协助采购人指导完成分类分级工作；6) 协助采购人进行数据安全管理实施流程落地，包括权限账号申请流程、数据销毁流程等；7) 协助采购人根据省市大数据管理单位要求，进行“数据安全一本账”梳理实施；8）协助采购人提供一本账检查服务和25项能力自查情况检查服务；9）提供数据安全运营周报；10）提供不少于1次数据安全应急演练服务，包含演练方案，演练现场支撑，演练总结报告的输出；11）提供一期不少于1次的全区数据安全现场培训服务；12）提供针对数据安全制度规范体系的协助支撑服务，提供考核材料咨询以及梳理整合服务；13）提供一名数据安全保障服务人员现场协助采购人进行数据安全保障服务，数据安全保障服务人员需具备一年以上数据安全工作经验。14）配合中心完成上级部门开展的数据安全工作和反馈问题的整改。序号服务内容服务频率服务成果1日常工作报告每周《数据安全运营周报》2数据安全现场培训按需《数据安全培训记录》3数据安全应急演练按需《数据安全应急演练报告》4数据安全一本账梳理按需《数据安全一本账清单》5制度规范提升按需《分类分级管理细则》6制度规范提升按需《权限管控细则》7制度规范提升按需《权限管控账号申请规范》8数据资产梳理按需《数据资产清单》四、服务考核要求1.服务绩效合同服务期结束并通过验收后按服务绩效评价章节约定的内容开展绩效评价。2.服务绩效考核办法为保障系统运维服务质量，采购人建立完善的系统运维服务绩效考核监督机制，确保本项目运维服务提供方履约情况，特要求提供详细的考核办法（详见：考核标准）。针对本次项目服务清单内容，考核办法内容具体要求如下：服务质量评价结果采用百分制。分数权重分配：基础指标占40%，服务指标占60%，结果分为优秀、良好、一般、较差四个档次，其中：评价得分90分（含）以上为优秀、80分（含）-90分为良好、60分（含）-80分为一般、60分以下为较差。若服务质量评价结果为优秀，不扣款；绩效考评结果为良好，扣减合同总价款的2%；绩效考评结果为一般，扣减总合同价款的5%；若绩效评价结果为较差，扣减总合同价款的10%。指标类别指标内容分值评价标准基础指标文档质量5提交的各类文档符合规范，因文档质量问题影响工作或考核的，每次扣2分，并要求在3个工作日内完成整改。未按时整改或整改后还不符合质量要求的，该项不得分。运营报告5所提交服务报告有欠缺的，每缺失一份扣1分，扣完为止。现场服务质量5现场工作人员服务过程中，存在推诿、不配合或无故缺席、迟到等情况，每次扣1分，扣完为止。交办服务效率5业主单位交办工作后未在15分钟内无响应的，每次扣1分；未积极配合业主方工作的，每次扣5分。问题处理及时率5为保障系统服务质量问题处理有一定时限要求.经过问题响应分析后，应得出问题处理方案，一般问题应在2小时内解决，重大系统问题应在24小时之内解决。其中网络断网等问题不在问题范围内，但应积极配合解决问题。每发现一次，未按解决方案解决问题的，扣2分，扣完为止。因问题处理不及时造成重大社会影响的，该项不得分。重大安全事件15服务期内，出现1次重大安全事件，该项不得分；出现2次及以上重大安全事件，基础指标不得分。服务指标数据分类分级服务8完成