网络安全项目-数据库防火墙招标技术参数

网络安全项目-数据库防火墙招标技术参数

1．▲硬件和性能要求：

(1) 专用 2U 硬件设备，双电源； (2) 标配内存≥G；

(3) 硬盘不低于 2T，可支持 RAID1 存储； (4) 不少于 1 个 100/1000 Base-Tx 管理口； (5) 不少于 2 组 bypass 接口；

(6) 板载不少于 4 个 100/1000M 电口； (7) 可支持网卡扩展；

(8) ≥50000 条 SQL/秒级吞吐量； (9) ≥15000 条并发连接； (10) ≥30 个数据库实例数。2．▲支持的数据库类型： (1) 支持国际主流数据库：

(2) Oracle （ 含 Oracle 8/9/10/11 等） 、SQL Server （ 含 SQL Server 2000/2005/2008/2012/2016 等）；

(3) MySQL、DB2、sybase 等。3．控制模式：

(1) 网络防火墙，支持对访问数据库的来源 IP 及端口的访问进行控制，支持IP 或端口白名单策略；

(2) 准入防火墙，通过白名单自学习进行访问准入规则的固化（自动学习到数据库访问行为的五元素，通过管理者人为固化安全规则），未被固化的数据库接入行为都会进行实时的告警或阻断（如：访问源地址异常、访问源主机名称异常、访问源实例名称异常、访问工具名称异常、登录帐号名称异常）。

1. ▲加密账号规则：

可以识别 SQL server 2005 以上（含）版本数据库访问来源客户端、数据库账号等信息，可对非法访问进行快速有效识别，根据策略可对所有访问来源进行实时的告警或阻断。

2. 防护规则元素：

客户端 IP 地址、数据库登录用户名、数据库实例名、客户端主机名、客户端应用名、SQL 操作语句（DDL、DML、DCL）、数据库表组（表、条件）等告警或阻断匹配条件。

3. 策略管理：

(1) 支持全局策略设置； (2) 支持超长 SQL 语句策略； (3) 支持 SQL 注入策略；

(4) 支持虚拟补丁：对数据库的漏洞提供虚拟补丁防护。7．审计内容：

(1) 支持数据库实时监控功能； (2) 支持对所有数据库进行实时监控； (3) 支持对单一数据库类型进行实时监控； (4) 支持对单一数据库组进行实时监控； (5) 支持对单一数据库进行实时监控；

(6) 审计内容包含但不限定于网络流量、数据包、突发连接数、并发连接数、SQL 语句，操作类型（DDL、DML、DCL 等），并以动态图表实时展示（需提供截图证明并加盖原厂商公章）。

8．会话分析：

(1) 支持会话级检索和详情展现；包括在线的并发会话、活跃会话、失败登录会话等提供专项的分析界面；访问源分析：可展现不同数据库节点的访问源统计、分析状态。

9．告警策略设置：

(1) 支持高、中、低风险告警；

(2) 支持风险登陆、风险操作、SQL 注入、漏洞攻击检测、口令攻击、频次攻击等中风险告警；

(3) 支持系统资源监控与告警。

10. 告警方式：支持邮件告警、SYSLOG 告警等告警方式。

11. 角色管理：支持建立系统账户角色，并根据角色分配产品功能使用权限。 12. 自身安全：根据三权分立的原则，提供系统管理员、安全管理员和审计

管理员（称呼可以不同，但是必须满足三权分立账户设置）不同的用户身份验证。可以添加数据库审计服务器、审计策略制定、审计记录查看等。审计管理员可以查看和审计数据库会话详细信息、统计分析报表、安全操作日志、维护日志。

13. 管理界面要求：支持中文界面，B/S 架构。

14. 学习建模：可自动学习数据库操作来源的客户端主机名称、数据库实例

名、数据库账号、客户端应用程序等，并在页面中进行展示（需提供截图证明并加盖原厂商公章）。

15. 网桥模式：支持串联透明部署模式，在网络上物理串联接入数据库防火

墙设备，所有用户访问的网络流量都串联流经设备，通过透明网桥技术，客户端看到的数据库地址不变。

16. 代理模式：可支持主备模式部署；可支持反向代理部署。

17. HA 主备模式：支持 HA 双机主备自动切换，支持策略同步、会话同步机

制，保障多设备间的一致性。

18. 支持 bypass 容灾：

(1) 支持产品断电 bypass 和在线 bypass 容灾功能，可自动启动和关闭网口间 bypass 导通，保障系统异常环境下的网络畅通；

(2) 支持手动 bypass 功能，在应急情况下，可手动导通网络避免异常阻断。19．▲支持 CIS 数据库基线安全模板，至少包含 150 个规则模板（需提供截 图证明并加盖原厂商公章）。

20．资质要求：

★非 OEM 产品(需提供投标人盖章的非 OEM 产品承诺函)； 提供国家版权局颁发的软件著作权(需厂商盖章)。