产品资质 |
1.产品的《计算机软件著作权登记证书》; |
2.国家公安部计算机信息系统安全专用产品销售许可证; |
3.国家涉密信息系统产品检测证书; |
4.产品需符合国家《运维审计产品安全技术要求》测试标准,并获得中国网络安全审查技术与认证中心颁发的IT产品信息安全认证证书; |
5.提供安全维护操作系统著作权登记证书 |
系统架构及性能要求 |
软硬件一体化产品,采用标准机架式专用定制硬件平台,前面板印有生产商LOGO(提供实物图证明),至少提供2个100/1000M RJ45自适应以太网口;B/S架构管理,采用HTTPS方式远程安全管理,无需安装管理客户端; |
提供50主机授权许可,运维用户数无限制,并发会话数>=500个; |
支持旁路模式,不影响正常业务流; |
设备内置存储系统,存储空间>=1TB,采用RAID磁盘阵列; |
要求堡垒机对外开放不超过4个固定端口(需要说明具体端口号),不允许开放其他端口。全封闭系统,设备不允许有多套硬件(诸如双主板)存在。 |
管理资产对象要求 |
支持对windows2003/2008/2012/2016/2019等服务器主机管理审计; |
支持对Linux/unix等服务器主机管理审计; |
支持对路由器/交换机/防火墙/WAF/IPS/IDS/防病毒网关/负载均衡/虚拟化平台等网络设备及安全设备管理审计; |
支持ORACLE、MSSQL、Sybase、Mysql、DB2等主流的数据库远程访问协议审计; |
支持通过应用前置机进行协议扩展,支持Radmin、Pcanywhere、 VMware 、 HTTP/HTTPS,可定制开发其它访问协议及客户端支持; |
支持协议端口自定义;(提供相关产品截图证明,加盖原厂公章) |
为了操作行为的深度解析审计,请提供以下技术先进性证明: |
提供安全终端仿真协议监控时实现会话复制和跟踪的方法的技术先进性证明; |
提供FTP二次登录系统及实现文件传输和过程监控方法的技术先进性证明; |
提供实现远程虚拟桌面访问统一管理和监控的系统及方法的技术先进性证明; |
提供在远程桌面传输协议监控时实现操作识别的系统及方法的技术先进性证明; |
用户管理功能要求 |
支持角色按功能模块灵活组合;支持角色模块的管理/访问限制;(提供相关Web页面截图证明,加盖原厂公章) |
用户新增冷处理功能,超过指定天数未登录则自动停用(提供相关Web页面截图证明,加盖原厂公章) |
支持手工添加、删除、修改以及启用、停用用户;支持用户账号批量导入导出功能;支持用户账号头像配置;支持用户账号认证方式指定支持用户组管理,可配置多级组,支持树状无限级分组管理; |
支持运维账号使用有效期管理;支持用户账号同一时间只能在一个IP登录;支持用户账号绑定第三方认证账号;用户账号支持管理员与运维用户双重身份配置; |
支持用户的移交功能,可以将用户的群组属性和权限交接给其它用户(提供相关Web页面截图证明) |
用户账号支持直接继承其他账号权限及配置;(提供相关Web页面截图证明,加盖原厂公章) |
支持用户/用户组的多级架构管理,可以复制、剪切、粘贴、移除用户/用户组,实现用户/用户组架构的灵活调整;(提供相关Web页面截图证明,加盖原厂公章) |
支持用户密码强度管理,用户多次登录失败自动锁定账号功能和解锁机制设定及登陆验证码功能;(提供相关Web页面截图证明,加盖原厂公章) |
设备资产管理功能要求 |
支持添加、删除、修改主机内容;支持主机组管理功能,可方便添加、删除、修改组信息及组成员; |
支持主机/主机组的多级架构管理,可以复制、剪切、粘贴、移除主机/主机组,实现主机/主机组架构的灵活调整;(提供相关Web页面截图证明,加盖原厂公章) |
支持在线ping主机功能,即时获取该主机存活信息;(提供相关Web页面截图证明,加盖原厂公章) |
支持主机账号及协议通道验证功能,即时获知该账号及访问通道是否有效;(提供相关Web页面截图证明,加盖原厂公章) |
支持主机登录限制,同一台服务器可以只允许一个用户登录,防止已登录用户被登出; |
支持主机自动发现添加功能;提供相关产品截图证明,加盖原厂公章) |
支持主机组管理,可配置多级组,支持树状无限级分组管理; 支持SSH密钥管理;设备类型支持隐藏功能; |
身份认证及访问授权要求 |
支持系统自带的Usbkey和Token令牌强身份认证模块; |
支持多种认证方式:本地密码认证、Token令牌认证、Google验证器认证、UsbKey认证、第三方CA证书认证、指纹认证、AD域认证、Ldap认证、RSA认证、Radus认证及短信认证; |
支持多种认证方式灵活组合;支持多种认证方式下认证的优先级配置;支持多种认证方式下配置全部认证或任一认证;支持多种认证方式指定密码分割及密码长度; |
支持SSO功能,运维人员不必输入服务器帐号及密码,无需进行二次登录认证; |
支持基于用户(用户组)、目标设备(设备组)、系统帐号、协议类型、生效时间范围、源IP地址等条件组合设置访问控制策略; |
支持策略配置模板保存;支持访问授权批量导入;支持策略优先级配置;提供相关产品截图证明,加盖原厂公章) |
支持运维访问工单审批与工单下发方式;支持运维访问登录告警;支持空闲操作会话过长自动断开;支持RDP剪贴板、RDP磁盘映射及键盘记录控制;RDP剪贴板支持单向传输控制;支持FTP/SFTP传输控制,支持上传下载控制; |
支持审批模式:运维用户访问特定的服务器设备必须经过管理员的临时审批授权才能进行,否则无法进行任何操作;支持多人审批;支持消息系统、邮件、短信审批;(提供相关Web页面截图证明,加盖原厂公章) |
支持备注模式:运维用户访问服务器前必须先填写该次访问的维护目的等内容,否则不能进行访问操作;(提供相关Web页面截图证明,加盖原厂公章) |
支持工单授权功能:通过运维人员申请或管理员下发工单的方式来赋予运维人员访问目标服务器的权限,且有工单生效时间限制;(提供相关Web页面截图证明,加盖原厂公章) |
支持登录预处理命令设置;(提供相关Web页面截图证明,加盖原厂公章) |
支持设定会话连接单位时间内空闲无操作,连接自动断开;(提供相关Web页面截图证明,加盖原厂公章) |
支持权限拓扑功能,可根据用户名或主机查看对应权限及相关用户或主机;(提供相关Web页面截图证明,加盖原厂公章) |
支持双人被动协同操作功能和双人强制协同操作功能;(提供相关Web页面截图证明,加盖原厂公章) |
支持访问拓扑功能,可以查看下级管理员针对运维帐号或主机添加对应访问权限;(提供相关Web页面截图证明,加盖原厂公章) |
支持自定义登录审批过期时间,自定义指令审批过期时间,自定义批处理审批过期时间及自定义工单审批过期时间配置。 |
危险操作访问控制及异常告警要求 |
支持按用户(用户组)、目标设备(设备组)、系统帐号、命令集和生效时间等内容或按访问授权策略设定安全事件规则; |
支持对违规操作的指令(黑名单)进行告警、忽略处理、自动阻断或指令审批;(提供相关产品截图证明,加盖原厂公章) |
支持以屏幕、邮件、SYSLOG、Snmp Trap、短信方式实时发送告警信息; |
设备资产运维访问方式要求 |
支持IE、Edge、Firefox、Chrome、Safari等浏览器类型;无须调用Java, 支持HTML5调用; |
Web访问方式:通过系统的Web页面控件直接访问服务器或通过WEB页面调用本地工具(含数据库官方客户端)直接访问服务器;(提供相关Web页面截图证明,加盖原厂公章) |
本地客户端支持:Putty、SecureCRT、XShell、Netterm、SqlAdvantage、isqlw、PLSql、PowerBuilder、SqlPlus、SqlPlusW、Toad、Sqlldr、MySql、FlashfXP、LeapFtp、WinSCP、Filezilla、DB2Cmd等; |
支持应用发布连接方式,应用发布支持WEB控件访问和本地客户端调用; |
应用发布客户端支持:Mstsc、Mysql、VNC、Sqlplusw、MSSQL、Radmin、Scjview、Db2cmd、PCanywhere、Plsqldev、Sqlplus、TOAD、IE、Chrome、VShpere等; |
客户端访问方式:支持通过常用的客户端(如SecureCRT、PUTTY、Mstsc等)直接连接堡垒机再访问到服务器; |
登录资源菜单访问:客户端访问审计系统即可显示用户能访问的主机资源菜单,用户通过字符菜单或图形菜单选择列表方式直接访问服务器; |
web访问方式支持历史访问配置参数自动记忆功能; |
web访问方式支持直接输入目标IP快速连接功能;(提供相关Web页面截图证明,加盖原厂公章) |
支持SSH密钥登录;支持enable、root账号自动跳转登录;支持服务器自动跳转; |
支持主机自定义分组;支持最近访问服务器展示;支持服务器别名访问;(提供相关产品截图证明,加盖原厂公章) |
支持Windows、Linux、Oracle、Mysql脚本周期性自动执行;(提供相关产品截图证明,加盖原厂公章) |
支持会话批量连接登录功能;(提供相关产品截图证明,加盖原厂公章) |
操作行为记录过程回放要求 |
针对SSH、Telnet、Rlogin、FTP/SFTP、数据库操作进行记录及审计;记录发生时间、发生地址、服务端IP、客户端IP、操作指令、返回信息、操作备注、客户端端口、服务器端口、运维用户帐号、运维用户姓名、审批用户帐号、审批用户姓名、服务器用户名等信息; |
针对RDP、VNC、X11等图形终端操作的连接情况进行记录及审计;记录发生时间、发生地址、服务端IP、客户端IP、操作指令、返回信息、操作备注、客户端端口、服务器端口、运维用户帐号、运维用户姓名、审批用户帐号、审批用户姓名、服务器用户名等信息; |
支持以WEB在线视频回放方式重现维护人员对服务器的所有操作过程,无须在客户端安装播放客户端软件; |
支持日志关联分析,可直接关联到日志同个会话中的所有操作日志; (提供相关Web页面截图证明,加盖原厂公章) |
支持下载回放文件到本地保存,并通过厂家专用播放器查看,防止会话视频记录泄密;(提供相关产品截图证明,加盖原厂公章) |
设备资产自动改密要求 |
支持主机账号密码录入;支持主机账号密码导出支持一次性手动改密和周期性自动改密; |
改密类型支持Windows、Linux、Unix、AIX、Cisco路由交换、HUAWEI路由交换、H3C路由交换等; |
支持按设备(设备组)、系统帐号、计划执行时间、改密周期、密码策略、改密结果发送等生成详细的改密计划,到期自动执行; |
支持随机生成不同密码、随机生成相同密码以及手工指定相同密码的密码策略,并能严格遵守密码强度设置;(提供相关产品截图证明,加盖原厂公章) |
主机类型及账号改密方式支持自定义配置;(提供相关产品截图证明,加盖原厂公章) |
实时监控要求 |
支持实时监控近期发生的所有会话信息,显示会话状态(连接中、退出、阻断); |
支持对会话进行同步监控,执行会话回放、监控和阻断操作; |
支持Vi、Smit、rhel下setup等图形或菜单操作进行全程同步监控; |
历史查询及审计报表要求 |
支持单一条件快速查询、查询结果二次过滤以及多重条件组合高级查询功能;(提供相关产品截图证明,加盖原厂公章) |
支持同一次会话中的指令关联查询,显示会话中所有操作指令;(提供相关产品截图证明,加盖原厂公章) |
支持根据查询结果直接定位视频文件,回放历史会话; |
支持HTML、DOC、PDF、RTF、XLS、ODT格式; |
支持管理员自定义审计报表模板;(提供相关产品截图证明,加盖原厂公章) |
支持以日报、周报、月报的方式自动生成周期性报表,并自动发送至指定邮箱; |
数据安全管理要求 |
为减轻数据存储风险提供自研国有自主知识产权的数据存储系统,并提相关著作权证书; |
为满足审计系统存储快速索的需要,请提供高性能日志及行为审计系统证书; |
支持自动归档和手动备份、支持以FTP/SFTP等方式自动上传归档数据; |
支持oss上传功能,可以将数据归档后上传至对象存储上;(提供相关产品截图证明,加盖原厂公章) |
支持空间自管理功能,存储空间不足时能够自动清理老的数据; |
消息中心功能要求 |
支持工作任务流程及消息中心管理功能:支持用户间互相发送消息,通过消息下发工作任务等功能;(提供相关产品截图证明,加盖原厂公章) |
支持关键事件自动生成消息如:二次审批、备注审批、协同操作邀请; |
系统管理功能要求 |
支持设备CPU、内存、硬盘、网卡状态查看;支持应用发布服务器状态检测; |
支持升级中心功能,提供手动和自动升级,自动升级可以配置升级服务器地址、开始时间、选择补丁升级或版本升级; |
支持将所有运维日志通过SYSLOG外发,支持系统告警日志发送(提供相关Web页面截图证明,加盖原厂公章) |
支持页面配置更换硬盘;(提供相关产品截图证明,加盖原厂公章) |
支持从WEB界面修改网卡IP设置、静态路由 DNS、网口BOND配置; (提供相关产品截图证明,加盖原厂公章) |
支持修改不同访问模式(客户端直连、菜单方式)的默认访问端口(提供相关产品截图证明,加盖原厂公章) |
支持和同品牌日志管理综合审计系统进行联动,将通过SSL加密方式将操作行为日志整合到日志管理综合审计系统中,实现操作行为日志的统一集中查询、展示等(提供相关产品截图证明,加盖原厂公章) |
产品授权及服务要求 |
提供针对本项目的原厂授权函; |
提供原厂三年7*24小时的售后服务承诺; |
提供三年原厂保修及原厂免费现场服务,产品的安装、培训由原厂工程师完成实施;在设备维保期内,厂家提供对系统软件的免费升级服务,保证系统软件为最新版本。 |