柳州市工人医院数据库防水坝技术参数一、项目背景数据库防水坝是对医院运维人员、开发人员、业务操作人员的管理,包括身份正确识别,避免非授权运维人员利用运维工具访问;同时对敏感数据进行定义与分级分类,对数据库特权账户进行统一管理,防止敏感数据被越权访问;并且为避免数据库运维过程中的误操作行为,建立危险操作访问控制与数据恢复机制。二、项目建设内容及要求项号1.双电源,电口34,10G万兆光口N2个(带bypass功能,含光模块),2X扩展槽位。内存N16G,GSSD3128G,存储空间N2T,在线SQL存储>40亿条。2.日志保存》180天。3.支持市场主流操作系统(AIX\HPUX\Linux\Windows等),支持云环境。支持12个数据库实例。原厂质保服务三年4.多因素身份管理:支持多维身份管理,至少支持应用程序名,ip地址,主机名,操作系统账户,数据库账户,时间等要素;各个身份要素之间可以进行任意组合,并形成新的高级身份标签。(提供功能截图)数据库防水坝系统货物名称数量技术参数、功能配置及有关要求11套5.支持自然人的精细化管理,针对每个内部员工可以分配一张唯一的数字证书,每个数字证书可以载入一个唯一的U盾,自然人能通过唯一的U盾或数字证书才能登陆数据库。6.数据库登录身份验证:支持多因素的数据库登录身份验证,可以依据IP,应用程序等因素对于数据库登录进行身份验证和限制,提供U盾多因素数据库登录身份验证,存在U盾信息的时候,审计信息包含U盾信息。(提供功能截图)7.密码猜测检测、防撞库攻击防御:支持主动检测和审计密码猜测行为,可以设置密码猜测次数限制;达到密码猜测限制,锁定猜测终端,支持自动解锁和手工解锁;达到密码猜测限制,即使正确的账户密码也限制登录数据库。(提供功能截图)8.实现交互式工具应用的登陆控制:针对SQLPLUS,SQLPLUS,PLSQLDEV等交互式通用工具,提供灵活的安全配置规则,包含IP地址,用户名,操作时间,应用程序等多个要素,实现其是否允许登陆。(提供功能截图)9.敏感数据分级分类功能:可以自定义敏感数据范围,可在表级和列级两个粒度进行配置,多个数据表格归类成为敏感数据集合,进行独立安全管理。敏感数据集合具有敏感标签定义,并且给敏感数据集合分配一个具有多维身份标签的管理者。(提供功能截图)10.分权管理和特权用户分离:可以实现特权用户分离,DBA\SYSDBA\SchemaUser\any权限等用户,必须禁止访问业务敏感数据集合。可以限制DBA账户的权限,只有授权过的U盾才可以访问敏感数据。11.基于标签的敏感数据强制访问控制:任何针对敏感数据集合数据的访问,只有通过授权才可以进行访问。对于不具备访问权限的操作,将进行明确的阻断拒绝,并报告提示“权限不足”。12.敏感数据集合可以设置行为属性,属性中可以设置禁止或者允许select、update、delete、insert等SQL操作。(提供功能截图)13.可以限制特定的JOB作业访问敏感数据集合或者设置特定的JOB作业才可以访问敏感数据集合。14.危险操作访问控制功能:可以实现以下危险操作的控制:账户管理操作(Createuser、Alteruser>dropuser等);授权管理操作(Grant),;业务对象操作(Truncattable,droptable);业务代码操作(修改Package,修改view)o15.无法被旁路:要求无法被旁路,可以保护来自于各条链路的连接认证。至少应该包括以下部分:通过Listener进行连接,通过IPC直接连接,通过db-link进行连接等各种登陆方式。(提供功能截图)16.基于Web的管理方式,B/S架构模式。17.事件查询和搜索:以搜索引擎条的方式进行搜索,提供类似于百度、谷歌的搜索方式以方便使用;提供高级搜索,进行精确匹配搜索;提供搜索注册功能,方便下次使用。18.订阅和告警功能:安全告警支持基于订阅的模式,每个人可以订阅自己的安全告警事件,安全告警事件发送支持短信、邮件以及页面。页面的安全告警事件可区分开当前30分钟的安全告警事件和过去的安全事件以方便运维监控。支持任意组合的规则订阅,实现人员的个性化订阅管理。19.SQL语句翻译功能:SQL语句提供直译和意译的不同翻译引擎,从英文翻译成中文,增加阅读性直观性。(提供功能截图)20.本系统需与现有核心业务系统(如HI...
