1

数据防泄漏系统

硬件要求

机架式： IntelE5系列以上双颗CPU，8核16线程以上；内存：≥16GB ；电源模块：要求具备冗余热插拔双电源；
  硬盘可用容量：≥2TB。本次要求配置至少2个万兆接口+8个千兆电口，硬件至少另外支持2个扩展板卡以上.

1套

性能要求

DB最大并发数≥15000；

SQL处理能力≥30000/s；

部署方式

支持旁路部署方式、支持代理式串联部署模式、支持透明网桥串联部署模式

支持云环境部署模式，提供云平台统一管理和资源动态分配扩展接口，能够与VMware、Hyper-V、OpenStack、Cloud Stack、KVM、Fusion等云平台管理系统或第三方的云管理平台进行无缝集成。

数据库兼容性

（1）支持国际主流数据库： Oracle、MySQL、SQLserver、DB2、Sybase、Informix、Teradata、PostgreSQL、Access、cache、highgo、HWMPP

（2）支持国产数据库：达梦、南大通用、人大金仓、神通、浪潮KDB、湖南上容

（3）支持非关系型数据库：Hive、MongoDB等 

ipv6

支持IPv6网络环境下透明串联和代理模式部署。

支持IPv6过渡网络环境如：

a)双协议栈：IPv4/IPv6双栈网络环境，能够在IPv4/IPv6双栈网络环境下正常工作；

b)协议转换：将IPv4和IPv6两种协议相互转换，能够在协议转换网络环境下正常工作；

c)隧道：至少支持以下一种隧道工作模式：

1)6over4网络环境，能够在6over4网络环境下正常工作；

2)6to4网络环境，能够在6to4网络环境下正常工作；

3)ISATAP网络环境，保证在ISATAP网络环境下正常工作。

审计功能

数据库访问记录应至少包括发生时间、业务用户名、操作终端主机名及IP地址、终端工具名称、服务器端主机名及IP地址、数据库名、表名、SQL语句、响应时间、返回结果等关键信息；

支持对SQL语句执行结果（成功/失败）、SQL语句执行时间、SQL语句执行异常等数据库操作响应信息的审计；

支持变量绑定值的记录，能够记录查询中Bind Variable的变量的名字和Bind Variable的数值；能够支持跨语句、跨多包的绑定变量审计，可以实现交叉关联分析。

支持时间、IP地址、用户名、终端名的黑白名单策略，将已知可信用户、可信时间之外的操作识别为高风险操作；

能够自动记录和分析SQL语句并快速制定安全策略，包括：将SQL语句归纳为不同的集群；支持定义所有SQL的相应威胁程度，至少包括高、中、低、提醒等告警级别；

审计规则设置支持以服务器IP、数据库类型、数据库表、操作类型设定的各种组合审计规则，还支持以关键字设定规则；

应用关联审计

采用应用端安装插件部署，以精确方式审计到应用端相关信息；支持应用账号和应用IP的关联解析，并基于应用信息设置防护规则；支持Weblogic、tomcat、Websphere、Jboss等主流的应用服务器。

访问控制功能

介于数据库服务器和应用服务器之间，屏蔽直接访问的通道，防止直接通过数据库通道对数据库的攻击；

对超过指定行数的修改、删除、查询和添加行为进行限制。

提供基于IP地址、时间、用户/用户组、字段名能够对Hive、MongoDB操作指令等自定义组合监测、阻断策略。

能够按照SQL操作类型包括Select、Insert、Update、Delete,对象拥有者，及基于表、视图对象、列进行权限控制；

支持主动监控数据库活动，防止未授权的数据库访问、权限或角色升级，以及对敏感数据的非法访问等；

支持黑白名单的访问控制，能够以IP地址、MAC地址、用户、应用程序、时间段为授权单位，进行访问控制；

具备对某IP过于频繁访问数据库控制的能力，能够对过于频繁访问数据库的IP地址进行访问控制的限定，防止非法访问数据库或口令暴力破解。

支持自学习功能，能够基于自学习机制的风险管控模型，主动监控数据库活动，防止未授权的数据库访问、SQL注入、权限或角色升级，以及对敏感数据的非法访问等；

能够根据不同的用户指定不同的数据访问策略，未授权用户在访问敏感数据时根据设置返回自定义的数据。

被保护字段的权限控制应独立于数据库的权限控制，根据访问策略可限制DBA访问敏感数据，防止数据库用户的权限提升引起的数据泄密，但不影响DBA对数据库系统的正常维护。

服务发现

可以根据常用端口号、自定义端口号发现指定网段范围内存在的数据库服务，并可直接将发现的数据库服务直接加入到防护引擎（提供网上截图）

敏感数据发现

可以对指定的数据库基于名称、基于数据内容进行敏感数据扫描，发现数据库中存在的敏感数据的字段及其在服务器、数据库的分布情况（提供网上截图）

风险扫描

内置授权、系统、认证层面的风险规则，可扫描数据库中存在的安全风险、弱口令等（提供网上截图）

子集抽取

从原始数据库中,抽取部分数据表并支持表中抽取部分数据进行脱敏（提供网上截图）

病毒防护

能够防御病毒、木马、蠕虫、间谍软件等恶意软件，且支持对压缩数据、加壳病毒的检测与处理，要求流行病毒检测率不低于95%，（提供国家专业病毒检测机构的证明）

虚拟补丁

提供对已公开的数据库漏洞攻击行为的拦截；提供各种数据库的虚拟补丁列表。

三层关联

支持应用三层关联，支持C/S、B/S三层架构下的客户端用户名、客户端IP审计

支持通过部署agent实现java web环境100%准确关联

告警

内置自动告警设置，允许用户设定威胁自动告警，告警必须提供级别设定，至少提供致命、高风险、中风险、低风险4种告警级别。

支持SYSOG、SNMP TRAP、邮件、FTP等多种事件告警和提示方式。

审计分析

支持关键字分析与统计分析等分析功能，可以对各种应用的流量、访问行为进行统计，在所有审计日志基础上，全面实现能够基于关键字内容的智能化检索，使审计深入至敏感内容分析层面；支持统计分析、关键字分析等多种分析技术；

支持通过IP地址、用户名、操作类型、关键词、时间等基本条件查询审计事件。

支持通过策略名称、操作来源名称、风险级别、事件类型查询审计事件。

支持SQL关键字翻译功能，支持将审计记录中SQL语句关键字翻译成中文，便于非专业人员阅读

支持将审计日志的敏感字段进行模糊化处理，防止敏感数据泄露。

数据库状态监控

通过监控数据库系统的服务器信息、软件版本、补丁信息、表空间情况、会话信息、回退信息、SGA、权限信息、告警等信息来判断数据库系统运行是否正常，保证数据库系统的可用性和响应能力（提供网上截图）

产品资质

计算机软件著作权登记证书（提供网上截图或复印件）

计算机信息系统安全专用产品销售许可证证书（提供网上截图或复印件）

所投产品持有IPV6 Ready logo 认证证书证书（提供网上截图或复印件）

售后服务

提供原厂商五年7×24保修服务，提供原厂商工程师现场设备安装服务