网络安全项目.docxVIP

网络安全项目-数据库防火墙招标技术参数

A硬件和性能要求：

1)专用2U硬件设备，双电源；

0标配内存N64G；

。硬盘不低于2T,可支持RAID1存储；

4不少于1个100/1000Base-Tx管理口；

5)不少于2组bypass接口；

板载不少于4个100/1000M电口；

可支持网卡扩展；

N50000条SQL/秒级吞吐量；

N15000条并发连接；

N30个数据库实例数。

A支持的数据库类型：

支持国际主流数据库：

Oracle(含Oracle8/9/10/11等)、SQLServer(含SQLServer2000/2005/2008/2012/2016等)；

MySQL、DB2、sybase等。

控制模式：

1)网络防火墙，支持对访问数据库的来源P及端口的访问进行控制，支持IP或端口白名单策略；

0准入防火墙，通过白名单自学习进行访问准入规则的固化(自动学习到数据库访问行为的五元素，通过管理者人为固化安全规则)，未被固化的数据库接入行为都会进行实时的告警或阻断(如：访问源地址异常、访问源主机名称异常、访问源实例名称异常、访问工具名称异常、登录帐号名称异常)。

▲加密账号规则：

可以识别SQLserver2005以上(含)版本数据库访问来源客户端、数据库账号等信息，可对非法访问进行快速有效识别，根据策略可对所有访问来源进行实时的告警或阻断。

防护规则元素：

客户端IP地址、数据库登录用户名、数据库实例名、客户端主机名、客户端应用名、SQL操作语句(DDL、DML、DCL)、数据库表组(表、条件)等告警或阻断匹配条件。

策略管理：

支持全局策略设置；

支持超长SQL语句策略；

支持SQL注入策略；

支持虚拟补丁：对数据库的漏洞提供虚拟补丁防护。

审计内容：

支持数据库实时监控功能；

支持对所有数据库进行实时监控；

支持对单一数据库类型进行实时监控；

支持对单一数据库组进行实时监控；

支持对单一数据库进行实时监控；

审计内容包含但不限定于网络流量、数据包、突发连接数、并发连接数、SQL语句，操作类型(DDL、DML、DCL等)，并以动态图表实时展示(需提供截图证明并加盖原厂商公章)。

会话分析：

支持会话级检索和详情展现；包括在线的并发会话、活跃会话、失败登录会话等提供专项的分析界面；访问源分析：可展现不同数据库节点的访问源统计、分析状态。

告警策略设置：

支持高、中、低风险告警；

支持风险登陆、风险操作、SQL注入、漏洞攻击检测、口令攻击、频次攻击等中风险告警；

支持系统资源监控与告警。

告警方式：支持邮件告警、SYSLOG告警等告警方式。

角色管理：支持建立系统账户角色，并根据角色分配产品功能使用权限。

自身安全：根据三权分立的原则，提供系统管理员、安全管理员和审计管理员（称呼可以不同，但是必须满足三权分立账户设置不同的用户身份验证。可以添加数据库审计服务器、审计策略制定、审计记录查看等。审计管理员可以查看和审计数据库会话详细信息、统计分析报表、安全操作日志、维护日志。

管理界面要求：支持中文界面，B/S架构。

学习建模：可自动学习数据库操作来源的客户端主机名称、数据库实例名、数据库账号、客户端应用程序等，并在独立页面中进行展示（需提供截图证明并加盖原厂商公章）。

网桥模式：支持串联透明部署模式，在网络上物理串联接入数据库防火墙设备，所有用户访问的网络流量都串联流经设备，通过透明网桥技术，客户端看到的数据库地址不变。

代理模式：可支持主备模式部署；可支持反向代理部署。

HA主备模式：支持HA双机主备自动切换，支持策略同步、会话同步机制，保障多设备间的一致性。

支持bypass容灾：

1） 支持产品断电bypass和在线bypass容灾功能，可自动启动和关闭网口间bypass导通，保障系统异常环境下的网络畅通；

2） 支持手动bypass功能，在应急情况下，可手动导通网络避免异常阻断。

A支持CIS数据库基线安全模板，至少包含150个规则模板（需提供截

图证明并加盖原厂商公章）。

资质要求：

*非OEM产品（需提供投标人盖章的非OEM产品承诺的；

■i提供国家版权局颁发的软件著作权（需厂商盖章）。