《运维安全审计堡垒机招标技术要求》由会员分享,可在线阅读,更多相关《运维安全审计堡垒机招标技术要求(5页珍藏版)》请在金锄头文库上搜索。
1、运维平安审计(堡垒机)招标技术要求运维平安审计(堡垒机): 天融信TopSAG TSAG-71214指标项规格要求接口配置默认包含4个10/100/1000BASE-TX电口和1个扩展槽,最大可扩展到12个千兆电口。存储空间1T,内置硬盘存储日志;授权100个设备授权。工作模式物理旁路单臂部署,以逻辑网关方式工作;不变更现有网络结构,不变更运维人员的运维习惯。分组不限级数的进行分层分级分类管理。(供应截图证明)AD域同步支持从AD域抽取OU,便利快速建立组织结构。(供应截图证明)组定义类型支持组定义类型(用户、资源、综合)便于管理和快速查找。用户管理完整的用户帐号生命周期管理,实现帐号的创建、
2、维护、修改、删除的集中管理;自定义用户类型,基于针对用户类型进行用户地址策略。AD域同步主帐号支持从AD域内抽取,便利快速建立主账号。(供应截图证明)用户导入导出支持以组节点进行批量导入导出。用户分组管理分组可以树形方式呈现,不限制分组层级数量。用户策略通过配置口令策略,达到指定密码有效期和限制主帐号密码强度的目的。配置访问锁定策略,达到限制主帐号密码输入错误次数和锁定时间。配置访问地址策略,达到限制主帐号访问时所在工作站的IP地址池。配置访问时间策略达到限制主帐号只能在规定的时间段内进行资源访问。资源统计支持柱形图方式查看系统中不同资源所占比例。资源分组管理分组可以树形方式呈现,不限制分组层
3、级数量。资源类型unix资源、网络资源、windows资源、数据库资源、C/S资源、B/S资源、中间件资源、大型机资源。资源协议支持SSH、TELNET、FTP、SFTP、VNC、XWINDOW、WINDOWS文件共享等协议。账号管理支持资源从账号的管理,系统具有各种资源类型驱动器能够将资源上的账号进行自动抽取、推送及属性的变更等。(供应截图证明)自动改密支持对unix资源、网络资源、windows资源、数据库资源、中间件资源进行密码变更;密码变更可以依据密码策略的要求进行变更,变更的密码符合密码策略中关于密码强度的要求。密码拨测支配定期检查平台存储的设备账号密码与设备实际密码是否匹配,以便进
4、校验密码一样性,提高设备的平安性避开密码混乱无法登陆现象发生。(供应截图证明)账号导出从账号按时间支配导出账号口令,支持手动下载或指定FTP服务器;导出的账号口令须要输入密码解密查看。访问端口变更提高设备的平安性,不采纳标准的协议端口,平台支持FTP、telnet、ssh、远程桌面等协议服务端口变更。(供应截图证明)角色管理支持自定义角色。角色可依据组节点进行定义,从而实现分层分级管理模式。角色权限细粒度高,可自由组合。(供应截图证明)岗位授权资源授权模式基于岗位授权,岗位上绑定资源账号,这样授权可迁移、授权粒度更细;并可针对岗位设置相关平安策略。(供应截图证明)保藏夹功能运维人员可将常常访问
5、的资源添加到保藏夹。(供应截图证明)批量单点登录支持批量单点登录资源,简化工作量。(供应截图证明)身份切换代填支持网络设备enable和unix主机su等身份切换的单点登录功能。Zmodem协议访问运行rz,sz等吩咐,从而可以特别便捷快速的进行两个系统的文件交换。自动代填访问授权资源时不必再输入从帐号和密码身份认证自身供应证书认证服务,也可与第三方CA、动态令牌、生物识别、短信认证等方式进行结合。支持组合认证,提高访问的平安性。(供应截图证明)RADIUS和TACACS+平台在网络设备的认证协议上不仅支持RADIUS和TACACS+协议,而且产品系统自身可以作为Radius和TACACS服务
6、器。(供应截图证明)访问时间策略可以配置成可访问时间段方式,也可以配置成不行访问时间段方式。配置时间段时可以配置日期和小时。地址策略支持配置成可访问IP段方式,也支持配置成不行访问IP段方式。IP段由IP和掩码构成。RDP策略上下行剪切板限制、共享磁盘限制、限制台登录限制。(供应截图证明)字符吩咐支持吩咐操作的黑白名单设置,吩咐权限限制规则应支持正则表达式,并可以对吩咐的参数进行限制并记录日志FTP支持常用吩咐列表,便利用户指定FTP吩咐策略。口令策略可以配置口令长度,是否包含字母及字母的长度,是否包含数字及数字的长度,是否包含符号及符号的长度,口令时效性。口令策略还可以配置禁止包含的关键字。
7、锁定策略可以配置访问失败几次锁定,也可以配置锁定后多长时间解锁。审计策略依据不同设备审计平安需求,客户自定义审计范围,字符(吩咐、内容、录像)、图形(录像、键盘、上下行剪切板、上下行文件传输)、FTP(吩咐、保留上传文件、保留下载文件)。VPN功能内置VPN功能,无需专用VPN硬件支持,即可保证远程接入堡垒机的链路平安。(供应截图证明)图形审计图形资源访问时,支持键盘、剪切板、文件传输记录,并且对图形资源的审计回放时,可以从某个键盘、剪切板、文件传输记录的指定位置起先回放。字符审计对字符吩咐方式的访问可以审计到全部交互内容,可以还原操作过程的吩咐输入和结果输出,并且可以呈现各吩咐的执行时间和允
8、许执行状况。实时监控支持实时审计和阻断。操作人员对于资源的访问,审计员可以实施查看。发觉高危操作时,支持实时切断当前会话。管理审计支持供应系统内部操作审计,包括管理员和运维用户的登录、登出、对系统的配置操作、账号属性修改等系统管理操作。审计报表系统预设常用统计报表模板,分为基础业务报表、行为审计报表、信息管理报表三大类。报表供应Word、Excel、PDF类型下载。流程管理支持设定主副岗账号和双人共管账号,并供应相应授权流程;支持流程申请人、审批人、执行人的委派。授权须要申请人定义申请单,发起事务申请;事务可以多人审批,审批人收到申请后可以同意或拒绝申请,同意时可以指定执行人进行实际的管理动作
9、的执行;数据备份、还原应用备份、管理数据备份、审计数据备份、配置文件备份系统状态包括:cpu工作状况,内存运用状况,磁盘运用状况,网卡运用状况,系统数据库工作状况, WEB服务工作状况,其他关键组件工作状况等。时间同步同步NTP服务器系统维护对系统服务配置清除、审计日志清理、还原出厂设置;关机重启等功能外接存储支持日志数据的外置存储备份,支持NFS和windows文件共享协议,远程审计存储和本地存储对审计员透亮。HA支持以Active-Standby方式部署;支持服务及应用层面的检测;支持双网卡冗余(双网卡虚拟单Ip)。集群部署支持堡垒机集群模式部署;支持应用发布服务器的集群部署,可以设定自动选择应用发布服务器,或者由用户手动指定;支持集群设备多节点数据实时同步;分布式部署实现公司总部与各分公司之间,组织机构分散而须要统一集中管理的问题。产品资质计算机信息系统平安专用产品销售许可证;涉密信息系统产品检测证书;IT产品信息平安认证证书;设备原厂资质厂商具有TL9000认证;厂商具有国家信息平安认证中心颁发的信息平安风险评估服务一级资质认证;具有国家信息平安认证中心颁发的信息平安应急处理服务一级资质认证;厂商需具有5名及以上CISP认证人员,供应工程师在江苏省内本年度社保证明记录并须要支配原厂工程师上门安装测试.具备涉密信息系统集成资质证书甲级资质;
