1、运维审计一、项目说明本 项目所采运维审计设备用于我院内网系统。1、为了进一步提高内网数据的安全性、可靠性,保证原有采购项目一致性和服务配套的要求,投标 方需要完成设备供货与调试。2、产品厂商提供设备厂家工程师三年免费上门服务,提供一周七天 24 小时服务,4 小时备件上门服 务。3、中标后签订合同前提供原厂授权和服务质保函。4、工期要求:中标合同签订后 3 个日历日完成全部安装调试工作。序号 指标 指标项 指标要求基本要求用途 运维审计和管控类型 统一身份管控1总体要求兼容性 国内知名品牌,内置专用的多核并行操作系统,提供著作权登记证书。硬件配置硬件结构 2U 机架式软硬一体设备,双电源,物理
2、存储容量 6TB,内置raid5,至少支持 6 个千兆电口,可扩充 4 个口(光口)性能要求 图形并发不少于 800 个;字符并发不少于 3000 个硬盘容量 4TB授权许可证 500 个主机/设备操作监控许可证接口类型 6 个 10/100/1000Base-T 以太网端口和 1 个扩展插槽(支持万兆);2具体配置功能要求: 1. 实现对运维操作(telnet/ssh/ftp/sftp/RDP/VNC/X11)的集中管理、访问控制、单点登录以及操作审计等功能。2. 支持协议审计:字符协议:SSHv1、SSHv2、TELNET、RLOGIN、TN5250(AS400) ;图形协议:RDP、VN
3、C;文件传输协议:FTP、SFTP;3. 数据库协议:支持 Oracle、MS SQL Server、IBM DB2、Sybase、IBM Informix Dynamic Server、MySQL、PostgreSQL、TeraData 等数据库类型;4. 支持主机:Windows 类主机、Unix 类主机、Linux 类主机、网络设备(华三、华为)5. 支持 web 页面防跳转功能,进行 http/https 访问过程中,运维人员仅允许访问授权地址(需提供截图)6. 深度解析:支持Oracle、postgresql、sybase、mysql、sqlserver 数据库下行返回行数和 ora
4、cle 数据库变量绑定(需提供截图)7. 目标资源访问方式:支持通过堡垒机 web 页面内嵌Ssh、Ftp、Telnet、RdpVnc 运维工具访问目标资源;支持通过堡垒机 web 页面调用本地工具访问目标资源;web页面支持 IE(7-11 版本)浏览器;RDP 协议支持windows 服务端开启安全层 SSL 加密,加密级别符合FIPS 标准,允许运行使用网络级别身份验证的远程桌面的计算机连接(需提供截图);支持运维客户端功能,运维操作过程不依赖浏览器和 JAVA 环境(需提供截图)。8. 身份认证及访问授权:基本认证:本地账号+密码认证;内置 USB-KEY 和动态口令卡,无需再单独配置
5、服务器;短信认证(支持短信中间表和短信网关方式:中国移动CMPP2.0 和中国联通 SGIP1.2 标准)吉大正元证书认证;北京数字证书认证;格尔证书认证;其它外部认证支持Windows AD/RADIUS/LDAP;支持多种认证方式组合的双因素认证,可自定义组合,且每个用户可单独设置(需提供截图);系统级账号三权分立,系统级账号包括:系统账号管理员,系统审计员,系统管理员;业务管理员以业务管理权限范围实现不同业务管理员权限的完全隔离,可设置业务管理员可管理的用户组和资源组范围(需提供截图)9. 支持时间集管理,支持按时间集配置访问控制策略;支持 IP 集管理,支持按 IP 集配置访问控制策略
6、(需提供截图);支持用户忘记登录密码时,可通过邮件或短信方式获取验证码,验证通过后重置登录密码(需提供截图)10. 访问控制及异常告警:对违规或高危操作的指令(黑名单)进行日志提醒、忽略命令、阻断会话或二次审批;支持对违规或高危指令的正则表达式设置匹配规则(需提供截图)11. 操作行为记录:针对 SSH、Telnet、Rlogin、FTP/SFTP、数据库操作进行记录及审计;记录会话时间、命令执行时间、会话协议、服务端 IP、服务器端口、客户端 IP、客户端端口、操作命令、返回信息、运维用户帐号、审批用户帐号、资源账号等信息;针对 RDP、VNC 等图形终端操作的连接情况进行记录及审计;RDP
7、 图形操作过程中键盘输入操作记录和鼠标点击行为记录,支持开启或关闭键盘输入审计功能,支持 RDP 窗口标题审计,并支持窗口标题内容检索定位回放(需提供截图)。12. 会话过程回放:以 WEB 在线视频回放方式重现维护人员对服务器的所有操作过程,无须在客户端安装播放客户端软件;倍速/低速播放、拖动、暂停、停止、重新播放等播放控制操作;空闲时间过滤。根据审计日志操作命令和 RDP 键盘输入命令开始回放13. 密码管理:自动改密支持 Linux、Unix、Windows(采用RPC 方式)、AIX 以及Oracle、SqlServer、PostgreSQL、MySql、DB2、Informix 、S
8、YBASE 的内置自身账号密码(需提供截图)。14. 实时监控:审计查询关键字和结果显示支持多种编码(UTF-8、Big5、EUC-JP、EUC-KR、GB2312、GB18030、ISO-8859-2、KOI9-R、KS_C_5601_1987、Shift_JIS、Window-874),由用户自主选择(需提供截图)。15. 数据安全管理:空间自管理功能,存储空间不足时能够自动清理历史数据, 可自定义清理存储空间的阀值(需提供截图)。16. 系统管理功能:页面下载系统相关软件,系统自带环境监测工具,无需手动安装产品证书及控件(需提供截图);支持自定义堡垒机自身默认端口(需提供截图);从WEB
9、 界面修改网卡 IP 设置、静态路由设置等内容,支持IPv6(需提供截图);支持网口聚合功能,防止单网口故障(需提供截图)17. 外部扩展接口:基于 WebService 的外部系统资源同步接口(需提供截图)。18. 分布式部署:支持添加一台或多台协议代理服务器,分担审计中心性能压力;并支持通过不同的协议代理服务器节点访问不同的资源,多协议代理服务器节点可访问相同资源时实现自动负载均衡(需提供截图)19. 必须支持三权分立功能,内置系统管理员、安全保密管理员、安全审计管理员产品资质 计算机信息系统安全专用产品销售许可证(千兆)身份鉴别(网络) 、 涉密信息系统产品检测证书(运维安全网关) 厂家
10、资质 具有电信入网许可证;厂家具备涉密甲级资质和系统集成一级资质;要求加入微软安全响应中心(Microsoft Security Response Center)发起的 MAPP(Microsoft Active Protection Program)计划,作为该计划成员,可在微软发布每月安全公告之前获得微软产品的详细漏洞信息,为用户提供更及时的安全防护。售后服务要求 提供 39 个月原厂现场保修服务,服务级别 7x24,要求出具原厂盖章的服务承诺函(加盖原厂公章证明)3 安装调试服务要求 原厂现场安装4原厂售后技术服务 提供 36 个月原厂现场保修服务,服务级别 7x24,要求出具原厂盖章的服务承诺函(加盖原厂公章证明)
