序号

产品名称

功能及技术参数

单位

数量

免费质保期

1

数据库运维脱敏软件

详见技术及功能要求

套

1

三年

2

数据库加密软件

详见技术及功能要求

套

1

三年

3

数据安全管理平台软件

详见技术及功能要求

套

1

三年

4

配套安全服务器

详见技术及功能要求

台

2

三年

5

安全集成服务

详见技术及功能要求

套

1

三年

产品名称

指标项

详细功能要求

单位

数量

性能指标

★1.默认数据库实例:不得少于 16个

数据库支持

▲支持ORACLE、SQL SERVER、DB2、MySQL、PostgreSQL、ODPS、informix、达梦、impala、mongdb、oceanbase等主流数据库、国产化数据库、大数据平台、云数据库。

支持国密算法加密的qianbase数据库管控

部署模式

支持反向代理、透明代理、透明代理NAT、路由网关部署。

支持HA双机主备自动切换，支持策略同步、会话同步机制，保障主备间的一致性。

身份准入

支持身份的多因素认证，至少应支持应用程序名、IP地址、主机名、操作系统账户、数据库用户、数字证书、身份敏感标签、日期、时间、时间域、身份类别、有效时间、应用用户名、终端IP等因素的任意组合，系统根据多维身份管理策略，自动判别登录主体的合法性，如不符合设定的身份管理策略，登录失败。

支持识别真实应用及SQL管理工具的MD5值，防止假冒应用及假冒SQL管理工具违规访问数据库。

支持为敏感数据管理人员身份分发唯一的数字证书，每张数字证书只能载入一个唯一的U盾，以实现在数据库用户密码被泄露的情形下，仍能阻止非法用户登陆目标数据库，解决仅依靠密码认证带来的安全不足问题。

支持通过不删除账户的方式，在系统中回收资产授权权限。

直连数据库

在反向代理模式下，通过在数据库服务器上安装安全代理插件，实现对于通过SQL管理工具或本地等直连数据库的违规连接行为进行准入控制，防止非法人员绕过安全系统，违规对数据库进行访问。支持通过应用（包括业务应用，数据库运维工具等）的指纹信息识别是否为真实应用，针对假冒应用访问数据库，进行拦截阻断或告警。

安全登陆

▲支持数据库运维工具免密登陆功能，当数据库管理人员通过Toad或SQL DEVELOPER等工具登陆运维数据库时，通过数据库账号与数字证书的绑定，数据库管理员在运维PC工具中无需输入数据库用户名密码即可登陆已授权访问的数据库，避免运维数据库用户和密码泄漏，保障账号安全。支持产品OTP登录二次身份认证

访问控制

针对敏感数据集合的访问，任何账户（包括DBA\SYSDBA\Schema User\any权限等用户）都需要通过授权才可以访问，对不具备访问权限的操作，明确阻断拒绝，并提示“安全权限不足错误”， 实现用户权限分离管理。

▲支持拦截指定对象的ALTER TABLE、ALTER TABLESPACE、DROP DATABASE、DROP TABLE、CREATE TABLE、DROP TABLESPACE、DROP USER、ｔｒｕｎｃａｔｅ等高危操作行为（可自定义），支持数据库权限变更行为管控。支持oracle同义词表访问管控

支持数据库授权管理控制，包括数据库角色权限管理、数据库对象权限管控、数据库系统权限管理，主要如下：

1）支持针对数据库账号的角色权限进行控制，包括数据库系统管控授权（ｇｒａｎｔ SYSDBA）、数据库管理员授权（ｇｒａｎｔ DBA）、导入数据库授权（ｇｒａｎｔ IMP_FULL_DATABASE）、导出数据库授权（ｇｒａｎｔ EXP_FULL_DATABASE）等；

2）支持针对数据库账号的数据库对象权限进行控制，包括访问敏感对象授权（ｇｒａｎｔ SENSITIVE OBJECT）、访问业务用户对象授权（ｇｒａｎｔ SCHEMA OBJECT）、访问系统对象授权（ｇｒａｎｔ SYS OBJECT）等；

3）支持针对数据库账号进行数据库系统权限授权，包括删除任意对象授权（ｇｒａｎｔ DROP ANY）、创建任意对象授权（ｇｒａｎｔ CREATE ANY）、更新任意数据授权（ｇｒａｎｔ UPDATE ANY）、查询任意数据授权（ｇｒａｎｔ SELECT ANY）、插入任意数据授权（ｇｒａｎｔ ｉｎｓｅｒｔ ANY）、删除任意数据授权（ｇｒａｎｔ ｄｅｌｅｔｅ ANY）等。

4）支持针对数据库用户的代码管控进行控制，包括过程、函数、包、触发器、视图等代码进行创建、删除的安全管控。

支持账户访问频次控制，避免一定时间内的高频次访问，避免数据流失。

支持修改、删除等操作的行数控制，避免数据大量泄漏。

支持基于表和schema进行快速授权到某些用户或用户组。

身份控制

▲基于四种身份（人、应用、终端、账户）的安全管控，基于四种身份证里的每个子身份设置种不同身份设置不同的敏感级别、审计等级、不同的访问控制权限。

敏感数据脱敏

支持基于列的业务敏感类型，设置脱敏策略，实现相同的业务敏感类型同时设置脱敏策略。

脱敏算法支持对敏感类型数据进行自定义分段脱敏设置

支持运维侧脱敏，针对不同运维人员返回对应的预授权结果，脱敏规则需要支持以下脱敏算法：

整段

保留前几位

保留后几位

保留前几位，且保留后几位

自定义遮蔽

支持MongoDB三层结构数据返回全解析，全脱敏。

误操作恢复

▲至少支持oracle、SQL server、mysql、DB2数据库的误删除恢复，当使用DROP命令误删除敏感数据时，系统应及时记录操作的时间、数据库名称、操作类型、操作的对象类型、SCHEMA名称、对象名称、当前状态、使用的SQL语句等信息，并提供一键恢复的功能，辅助完成数据的快速恢复，以支持系统恢复正常。

工单管理

▲采用基于WEB界面的工单管理模式，而非授权码方式，通过工作流的方式对敏感表格和敏感SQL访问授权，形成逐级审批机制，只有当访问申请被工作流中的所有审核者审批通过时，才可在合理权限内访问数据库中的敏感资产，无需访问者进行二次输入，避免授权码泄漏带来的非法访问。

支持以图形化形式直观展现工单审批流程。

工单申请支持按不同的库，走不同的审批人方式

审计

支持SQL命令（包括查询、新增、修改、删除等行为）的细粒度审计和分析，并详细记录管理用户的行为信息，包括规则名称、数据库主机、目标数据库名称、数据库实例名、客户端IP/端口、主机名、数据库用户名、物理地址、应用名称、应用用户、企业用户、命令类型、资产名称、执行时间、响应行为、风险级别等。

第三方对接要求

支持对接自有设备和三方设备。设备类型包括：运维/业务权限管控、数据库审计、数据脱敏、数据水印、数据加密、终端防护等。

页面抓包

支持页面抓包功能

日志外发

支持通过kafka和syslog进行日志外发，支持登录事件、访问事件、告警事件、系统操作日志、系统日志等日志外发。

功能验证

中标后，招标人有权要求中标方提供产品进行相关功能验证，如存在虚假应标行为，将废除中标资格，并依法追究相关法律责任。

2.数据库加密

品牌

自主研发的国产化品牌，非OEM，具有软件著作权证书。

套

1

配置

2U机架式设备：双电源、8个电口、2×扩展槽位、≥64G内存，≥128G SSD，≥8T 硬盘，CPU：≥海光 CX86 3250 （8核16线程），国产操作系统

性能指标

★默认数据库实例：不得少于20个；

数据库

▲支持**达梦（包括MPP、单机、主备模式）、**瀚高HighGo DB、ORACLE（单机及RAC）、SQL SERVER、DB2、MySQL 、PostgreSQL、Elasticsearch、神通、teledb、hive、人大金仓、南**用等数据库。

部署方式

支持旁路模式部署，无需更改网络结构

支持HA主备模式，当安全设备因宕机、系统本身主程序不可用、内存持续被占等问题导致不可用时，自动切换到另外一**全设备进行运行。

加密功能

提供数据库初始化加密操作向导，加密任务建成后提供预估的加密时间、监测加密任务执行状态。

▲加密算法至少应支持3DES168、AES128、AES192、AES256等国际密码算法，SM4国密算法。

支持以列、表两种细粒度的加密方式。

支持以下特殊数据类型和索引类型的加密正常读写、等值查询和范围查询：BLOB数据、CLOB数据、IOT表的Mapping表、B*Tree索引、Bitmap索引、全局索引等。

支持对加密资产写入的数据进行加密，实现密文状态存储。

对于增删改查操作、函数、存储过程等均透明；对于主外键、NOTNULL等重要约束透明。

无需修改应用系统代码，业务系统及数据库访问工具如PL/SQL、JDBC、ODBC等访问数据库时不受影响，实现透明加密。

▲支持多种加密模式，支持业务在线加密，不需要业务停机。

▲数据存储完整性：支持SM3国密算法，验证数据存储完整性，发生篡改时进行告警（支持对oracle、mysql数据库的闪电加密和通用加密方式进行完整性验证）

密文存储

加密后的数据文件以密文形式存储。

离线加解密

▲支持离线加解密工具及加密信息记录，记录包括用户名、邮箱、电话、加密内容、加密地址等。对敏感数据文件加密，保障数据交换传递或备份安全，接收方需获取授权并验证信息后才可将密文数据解密使用。

身份管理

使用数字证书绑**全客户端，当用户登录管理平台，系统可自动校验安全客户端的合法性。

支持设置用户、工具、应用程序等各类访问主体的权限，包括可访问目标、敏感标签、访问权限、审计级别等。

执行加密任务前需提供数据库凭证，验证失败无法执行加密任务。

访问管理

对业务无感知，加密对业务访问结果不产生影响。

▲支持基于身份的密文访问控制，身份要素至少包括应用程序名、IP地址、主机名、数据库账户等，根据用户权限进行数据库返回结果控制，只有拥有合法权限的数据库用户才可看到明文，无合法权限的用户返回经过加密的数据或禁止访问。

支持自定义加密访问管理方式，如业务系统提供明文访问模式；其他软件和对象提供明文及密文访问模式配置。

返回密文支持加密（SM4）、空值、遮盖、随机映射等，可配置。

密钥管理

支持使用SM4国密算法对工作密钥进行加密。

支持对加密后的密钥进行备份，防止密钥丢失带来的数据不可恢复问题；支持通过平台下载密钥。

支持对密钥进行更新，使备份下载的旧密钥不可用。

▲支持对接三方密码设备

数据库管理

记录所有加密任务，包括数据库名称、IP地址、端口号、实例名、数据库类型等，以支持资产的集中管理。

▲支持根据数据库查看加密资产的信息，以表加密、列加密两个维度查询当前的加密资产，并记录所有加密的操作类型、操作结果、所用时长、操作账户。从加密平台中删除被加密数据库时，弹出解密引导，强制删除时需通过数据库账号验证。

告警信息

支持以图形、列表等方式查看告警信息，告警信息应当包含告警时间、告警内容、用户IP、数据库代理IP、事件等。

支持将已有登录、访问控制等规则添加至告警规则列表。

告警方式至少包括：站内、邮件、短信。

探针安装

支持在管理端推送安装探针，支持对已安装的探针进行监控，至少应包含IP地址、当前状态、已安装的应用、操作系统、运行时长、CPU占用情况等。

自动推送安装探针时，实时监控探针安装状态、探针安装的时间，如探针安装失败，需在页面以中文形式说明失败原因，便于快速进行错误排查。

系统监控

可实时监控平台的CPU使用率、内存使用量、磁盘I/O情况、网络情况，并通过图表形式直观展示，快速定位整体性能指标及系统运行情况。

日志外发

支持以Syslog等方式外发登录审计、访问审计、告警日志等。

管理端安全

支持SSL的WEB界面。

支持将LICENSE过期、BYPASS、HA切换等重要信息通过邮件、短信等方式告知平台用户。

平台具有安全审计员、安全保密员、系统管理员三种角色，实现三权分立。

支持对平台用户的密码复杂度、有效期、密码错误锁定策略等进行限制。

功能验证

中标后，招标人有权要求中标方提供产品进行相关功能验证，如存在虚假应标行为，将废除中标资格，并依法追究相关法律责任。

3.数据安全管理平台

资产管理

★支持按应用、数据库、数据库账号、数据资产、SQL语句等类型区分管理资产，至少支持500个例资产授权；

套

1

至少包含三种数据库自动发现能力，包括：根据特定数据库类型和IP段扫描发现数据库；根据云服务商提供的API账号和密码、发现特定区域内所存在的数据库；根据特定时间范围内的流量发现数据库；支持将发现的数据库自动添加到数据库列表；

支持MySQL、Oracle、PostgreSQL、SQL Server、DB2、Informix、MariaDB、Sybase、Greenplum、QianBase、Elasticsearch、MongoDB、Hive、ODPS、HBase、Redis、Impala、RDS_Mysql、RDS_Postgresql、RDS_ SQLServer、**达梦、南**用、人大金仓、神舟通用、瀚高等类型的数据源进行统一管理；实时展示数据库运行指标，至少包括实时请求数、实时会话数、访问量、流入量、流出量；支持根据组织架构或权限组，进行数据库分组；

支持为同一数据库配置多IP地址，可通过多个隔离网络访问此数据库，满足云上网络架构部署需求；

支持通过手工自定义SQL语句和SQL敏感等级，形成可统一管理的敏感SQL列表；提供从原始审计日志中一键提取敏感SQL的功能；一条敏感SQL语句可关联同个类型下的多个数据源；支持一键启动、停用敏感SQL语句防护；

身份管理

▲支持以“人、终端、应用、账号”四个维度精确定义唯一的资产访问身份；支持通过终端设备IP、MAC地址、应用名称、动态指纹、数字证书、数据库账号、业务账号名称等因素的组合，构建多维的身份鉴别策略；支持从LDAP AD、企业微信、钉钉、专有钉钉、飞书、堡垒机等三方用户认证平台同步账户信息，实现已有账户与身份的绑定；提供安全授权认证机制，提供基于短信验证、OTP验证、指纹验证、证书验证等方式的二次身份验证能力；

支持身份的分组管理；支持设置身份的审计级别、有效时间、信任度、关联可访问的敏感数据等级；支持身份的黑名单管理；

支持基于数据库协议，自动检测应用连接数据库的SQL语句上下文，形成应用动态指纹；支持通过应用的名称、HASH值、动态指纹，为身份绑定唯一的、可信的应用，防止应用被仿冒；

法规解读

支持上传doc、docx、pdf等格式的法规政策文件进行统一管理，并支持一键下载至本地；

▲支持不少于50份数据安全法律法规的条文解读，至少包括《数据安全法》、《个人信息保护法》、《数据出境安全评估办法》等；总结、展示合规文件中所有的数据安全核查项，并提供简单易读的安全指导标签，辅助快速理解落地；

数据库风险评估

▲支持数据库漏洞扫描和弱口令猜解，扫描发现数据库中存在的弱口令等，并实时展示漏洞扫描进度、扫描运行状态和用时；通过记录数据库资产每一次的漏洞发现和发现时间、发现次数，构建数据库漏洞生命周期，以便快速进行风险处置；

▲支持对数据库一键发起评估任务，生成风险评估报告；风险评估报告中应包含敏感数据、漏洞详情、防护数据、改进建议等信息；

支持对数据库漏洞、弱口令、高危端口等脆弱性风险进行处置跟踪；支持通过工单流程将脆弱性风险分配至责任部门/责任人员进行处置，当处置完毕后，通过短信或钉钉进行告警；可实时观测处置状态。

风险策略

内置不少于800个SQL注入风险检测规则，支持对SQL注入风险进行分级管理；支持关联数据库资产；支持SQL注入风险检测规则的一键下发；支持通过系统一键批量启用、禁用SQL风险检测策略；

▲内置不少于2600个数据库漏洞风险检测规则，页面标注漏洞的CVE标识、CNNVD编码、策略类型、风险等级、cvss漏洞危害评分、危害性、影响范围等信息；支持检测规则的一键下发；

支持围绕资产、身份、操作行为、执行结果、特定账号等访问全链路，自定义风险规则列表和信任规则列表；可在特定时间点根据信任规则列表或风险规则列表，自动过滤第三方数据安全设备的日志，当访问事件与信任规则匹配时，不再进行风险检测、告警、以及风险拦截，实现海量风险事件的过滤、降噪；当访问事件与风险规则匹配时，及时进行风险检测、告警；

审计日志

所有审计日志统一在平台集中存储、展示、检索；支持展示审计事件包含的相关主体、相关客体、相关行为、相关执行结果、返回结果等信息，至少包含客户端IP、资产IP、原始SQL、执行结果、执行时长、安全响应行为、风险等级等45个以上的审计要素，以便精准审计到人。

支持灵活组合审计日志发生时间、访问主体、操作类型、设备类型、关键字等要素，进行审计日志检索。

支持事件回溯能力，至少支持时间、SQL语句数量等至少两个维度的会话溯源；支持从溯源结果中，一键批量提取SQL语句和执行顺序，组合形成应用访问指纹；

▲支持会话分析能力，对会话过程进行回溯，回溯过程实时关联操作语句，回溯支持倍速播放；

支持根据特定规则进行事件过滤，过滤后的事件日****展示中心呈现，以减少海量日志内容带来的运营压力；过滤后的事件仍可在事件回溯模块中展示，以保证回溯环节中的日志完整性。

审计告警

支持对日志进行聚合分析，当同一主机/同一数据库账号/同一客户端IP/同一设备/陌生业务账号累计触发同一规则达到一定次数时，才会进行告警，以降低告警次数；

支持对告警信息进行详细的订阅设置，包括告警接受的对象、接收方式、资产范围、告警范围、风险类型、告警发送时间、告警频次等信息；支持通过短信、邮件、专有钉、钉钉、企业微信等多种告警方式发送风险提示。

风险处置

支持对数据安全事件进行集中去重展示，并统计展示对应事件的历史告警次数和处置状态；

支持以最近发生的时间、风险策略名、风险等级、资产地址、处置状态等条件进行精确检索，提升风险处置效率；支持设置不同检索条件模版和默认检索条件，可一键调用检索，以提升事件检索效率；

▲支持对特定风险类型自定义危害情况和处置预案，提升运营效率；

支持对合并后的安全事件进行处置，标记事件处置状态，包括但不限于待处置、已完成、误报等状态；支持上word、excel、csv、pdf、jpg、png、jpeg、txt、docx等各类格式的处置说明文件；支持通过工单流程将安全事件分配至责任部门/责任人员进行处置，并通过短信或钉钉进行告警；可实时跟踪、观测处置状态。

▲支持从安全事件中提取关键因子，形成信任规则，当访问事件触发信任规则时，不再列入安全事件列表；

画像分析

▲内置资产画像模块，通过梳理资产标签、访问关系等内容，实时计算资产的安全评分和风险等级；统计分析、展示资产被访问的情况，包括常访问的数据库账号、客户端IP、操作类型等，供资产的安全运营提供参考数据；

对资产的访问身份和访问行为进行聚类分析，直观展示资产和身份的访问关系图谱；在访问关系图谱中，可展示资产所涉及的身份信息、常使用的SQL操作、执行结果成功率、风险等级等信息；

内置身份画像模块，实时计算身份对应的安全评分和风险等级；统计分析、展示来访者的访问习惯和潜在的风险，包括常访问的时间、常使用的终端、常使用的工具、涉及的操作的风险类型、高频操作类型、操作轨迹、影响的资产范围等信息，为安全策略的制定和优化提供数据支持；针对风险身份，提供针对性防护建议；

态势大屏

提供安全态势大屏，直观展现数据安全总体态势，包括敏感资产访问热度、活跃身份、访问时间热度、资产脆弱性统计、风险资产Top5、风险身份TOP5、风险类型Top5、安全防护效果、告警趋势、实时高危事件等模块，呈现整体系统的安全总体态势。

▲提供资产分布态势大屏，直观展现用户整体系统的风险情况，包括数据库/敏感表/敏感列的数量统计、数据访问趋势、数据库类型占比、SQL执行时长分布、数据敏感列分布、敏感表数据分布、数据库登录情况TOP10等内容；支持个性化换肤

提供运行监控大屏，直观展现安全设备整体运行情况。主要展示运行天数、安全设备数、事件总数、告警总数、设备运行情况、日志采集趋势等模块。

数据权限

支持数据权限功能，通过设置数据权限组，控制用户可见的资产范围；分配到对应权限组的用户，可进行对应资产的管理，否则此用户无法管理此资产，以实现数据隔离；

产品日志

支持对产品操作日志进行在线备份，并可跟踪备份任务状态；支持通过配置文件连接FTP服务器实现日志备份；支持设置备份日志的保留策略和保留时间；支持备份文件的在线恢复；

安全报表

内置合规报表、专项报表、综合报表、自定义报表四种类型。合规报表：提供萨班斯报表、等保报表、PCI报表模板，帮助用户满足日常合规需求，便于各类监管场景下的合规审查；专项报表：面向巡检等各类业务需要，提供数据安全专项报表；综合报表：面向数据库从敏感资产分布、SQL语句执行、风险事件角度对数据源进行综合分析，综合判断安全；支持按需选择资产范围和时间范围即时生成在线报表；

支持邮件定时订阅PDF、WORD、HTML等多种形式的报表；支持以日报、周报、月报、季度报、年报等时间为周期发送安全报表；

支持自定义统计报表模版，提供资产、身份、风险及处置等多种维度，实现配置模板内容的自定义；

设备管理

▲支持对接第三方安全设备（360数据库防火墙、安恒审计、安华金和审计、齐治堡垒机、深信服堡垒机、思福迪堡垒机、深信服VPN、安恒VPN、安恒堡垒机、安恒堡垒机V2版），实现数据收集、数据外发、任务联动；支持监控数据安全子设备运行状态，可直观呈现子设备的CPU、内存、磁盘使用率、网络接发情况及其趋势。

▲要求数据安全管理平台功能能够与本项中所有数据安全产品对接，支持审计配置策略等功能在数据安全管理平台中直接进行策略配置，共用人、应用、终端、账户等身份信息进行绑定的能力。而非单点登录后平台跳转至相应系统中进行策略配置。

支持自定义目标设备类型和地址，通过syslog、kafka外发日志信息，日志信息至少包括数据库登录日志、数据库访问日志、告警日志、安全事件；支持JSON格式的日志传输；日志接收方、传输内容、传输方式可通过产品界面进行自定义配置；

支持通过API与第三方设备联动，包括分类分级产品、漏扫产品、三方可视化平台；

支持通过OpenAPI将第三方设备梳理的资产同步至平台进行统一管理，其中包括数据库资产、敏感数据资产、应用资产、API接口资产等。

工单管理

支持通过根据实际业务流自定义配置工作流程；支持工单节点处置带外通知，包括短信、邮件。同时支持通过专有钉钉进行审批。

4配套安全服务器

安全服务器

2U机架式设备：双电源、8个电口、2×扩展槽位、≥64G内存，≥128G SSD，≥3T 硬盘，CPU：≥海光 CX86 3250 （8核16线程），国产操作系统

台

1

安全服务器

2U机架式设备：双电源、8个电口、2×扩展槽位、≥32G内存，≥128G SSD，≥3T 硬盘，CPU：≥海光 CX86 3250 （8核16线程），国产操作系统

台

1

5. 安全集成服务

服务和人员要求

1. 要求原厂或者投标人项目组成员不低于3名（项目经理、实施工程师、培训讲师）

2. 至少每年按季度定期巡检维护服务，定期维护服务内容包括：软硬件性能检测、调阅一体化平台运行状况等；

套

1