2024年3月11日发(作者:)
堡垒机技术指标
技术指标 指标要求
★硬件规格 软硬一体化设备;B/S架构,采用HTTPS方式远程安全管理,无需安装客户端。
网络接口≥4*100/1000M自适应以太网口;系统自带内部存储,存储空间不
低于2T;可管理不少于500个设备数,授权管理设备总数不少于100台,双
电源。
网口支持多端口聚合,硬盘支持RAID方式。
★产品资质产品需获得公安部计算机信息系统安全产品销售许可证;提供公安部信息安
全产品检测中心出具的产品检验报告;
要求
产品需获得国家涉密产品资质证书;
产品需通过国家《运维审计产品安全技术要求》标准测试,并获得中国信息
安全认证中心3C资质;
厂家需具备具备产品自主知识产权,禁止OEM贴牌投标;
部署模式 ★支持旁路部署、公网映射部署、HA主备模式部署;
支持HA,配置需实时同步,整个配置需在web界面完成,支持VIP访问,无
法通过备机更改系统配置
系统功能要支持SSH、SFTP、FTP、Telnet、RDP、VNC、X11等协议,
支持对KVM、Vmware、数据库、http/https、SAP等运维工具进行操作审计;
求
对于SSH和TELNET都可以使用putty、secureCRT、Xshell等工具运维, 通过双
击、clone session、duplicate等方式复制会话都可以实现审计;
telnet还可以用windows 自带命令行telnet工具;
★支持ssh秘钥登陆目标设备,且支持私钥保存在客户端,无需保存在堡垒
机上(提供产品功能截图,并加盖原厂公章)
支持ssh协议环境变量传递,传递真实运维用户名、源IP信息(提供产品功
能截图,并加盖原厂公章)
★在C/S方式运维下支持用户使用私钥登陆堡垒机设备(提供产品功能截图,
并加盖原厂公章)
对于FTPSFTP都可以使用secureFX、filezilla、winSCP、flashFXP等工具运维;
支持使用MSTSC(远程桌面)管理windows服务器,可手动调节分辨率或全
屏,可通过全局策略和局部主机策略控制是否要开启磁盘打印机映射、剪贴
板等功能;针对rdp登陆目标主机应该有超时提示。
★支持快速登陆,只需运维人员输入IP、账号、主机名部分信息,即可搜索
出相关设备,回车后可以实现快速登陆;(提供产品功能截图,并加盖原厂公
章)
登陆SSH、telnet、rdp必须工具上要显示真实设备IP;
针对ssh、telnet协议应支持调整客户端工具的编码、字体、大小、颜色等配
置,且针对主机调整之后下次无需调整。
支持B/S、C/S方式的运维
★FTP协议审计需支持文件sha签名及文件内容审计,且支持根据文件大小、
上传、下载控制要审计的文件内容,并且支持单个会话审计文件总大小超过
一定数量停止记录文件内容。(提供产品功能截图,并加盖原厂公章)
★支持B/S及C/S运维方式的会话,针对单个主机可配置(提供产品功能截
图,并加盖原厂公章)
★支持针对设备的部分审计,只记录访问基础信息记录,不记录具体审计内
容,支持针对单个主机配置(提供产品功能截图,并加盖原厂公章)
支持运维用户监控审计:包括访问起始和终止时间、用户名、用户IP地址、
目标设备IP、设备名称、应用类型、事件等级、操作内容等;并记录完整的
从登录到退出的整个过程。
支持审计记录的真实回放,操作回放需在WEB管理界面独立完成;
支持rdp协议的键盘记录、OCR文字识别、及回放显示
回放日志支持倍速播放、快照、随意拖动、编码调整等功能。
对于正在进行的运维操作会话,支持实时监控,支持手工切断实时会话;
可以从目标设备范围、IP地址范围等条件对审计员可以访问的的审计会话进
行权限控制,防止审计数据泄露;
★支持全局搜索模式,管理员输入关键字即可查询出所有匹配该内容的会话
记录;(提供产品功能截图,并加盖原厂公章)
堡垒机可以按时间、统计单位、服务类型、用户(用户组)、设备(设备组)
及各类子报表类型定制报表,报表支持PDF、doc、html格式导出;
内置根据运维人员和组生成各种类型的分析报表,类型包含总为运维次数、
时长、活动时长、会话起止时间、会话大小、命令数、上传下载文件数,分
别从全局及平均值、最大值、最小值、单次运维、单个会话等角度提供非常
有价值有意义的报表。
能提供综合分析报表,而无需客户一个一个报表导出,综合分析报表可以符
合等级保护、SOX法案的要求;(提供产品功能截图,并加盖原厂公章)
★需支持windows系统、网络设备、linux/unix系统自动改密,windows系统
应该支持rpc和telnet方式两种改密,无需在系统上面安装任何软件,也无需
在每个windows服务上打开telnet服务;
改密前、改密后均需要支持邮件、FTP、SFTP方式外送密码,外送文件可设置
加密密码;
自动改密后支持手工密码验证、密码自动恢复、手工改密及密码下载等功能;
★支持密码信封保存密码(提供产品功能截图,并加盖原厂公章)
可以生成动态三维报表,报表统计数据可以钻取,直接查看详细情况;(提供
产品功能截图,并加盖原厂公章)
应支持HTTPS方式管理,浏览器必须至少支持IE10/IE9/IE8/IE7 /
Firefox/Chrome;
具有用户多角色划分功能,如堡垒机管理员、设备管理员、普通用户、审计
管理员等,对各类角色需要进行细粒度的权限管理。
★可在web界面监控磁盘状态、RAID状态,并可以在web界面做磁盘监测、
磁盘同步、cpu、内存、网络流量;(提供产品功能截图,并加盖原厂公章)
支持SNMP,支持邮件、syslog告警模式,并可自定义调整系统内置的各种告
警日志级别;根据告警等级设置是否发送告警;
支持静态路由配置,在逻辑隔离网络里支持部署
支持系统配置备份与还原,NTP时间同步
支持调用第三方webservice短信网关,可用于告警和认证;
应单独提供系统管理报表,包括系统状态等信息
支持常见工具(离线播放器、浏览器、运维工具等)的下载。
★支持主机健康自动检查,并在运维资产列表里标识主机的健康状态
自带ping、tcp端口探测、路由追踪、抓包等排错工具;(提供产品功能截图,
并加盖原厂公章)
系统应具有系统诊断功能,系统诊断功能能系统调试日志、输出综合信息、
系统负载、内核信息、内存信息、网卡信息、硬盘各分区信息、硬盘RAID信
息、硬盘使用信息以及路由信息(提供产品功能截图,并加盖原厂公章)
★支持本地口令认证、LDAP认证、AD认证、短信认证、Radius、usbkey、动
态口令认证,短信认证需要支持短信猫和短信网关(get、post、soap方式),
产品需提供至少一个动态令牌和一个USBKEY
系统设备管
理要求
★支持从TXT、XLS、XLSX、CVS等文件批量导入、导出运维用户、设备、设
备密码等,导入信息可以在线选择哪些需要导入,可以选择覆盖和忽略已有
信息且提供导入模板在线下载;
支持从AD、LDAP同步用户,无需手工添加;
支持批量更改属性,包括用户组、用户、资产、主机标签、增删用户等
添加设备账号时支持对账号和密码手工进行验证;
支持一对一、一对多、多对多授权,如将单个设备授权多个用户,一个用户
授予多个设备,用户组向账户组,用户组向设备组;
支持快速授权,直接导入用户、密码、用户组、用户姓名、设备IP、账号、
主机标签、主机部门、账户名称、密码、协议等对应的授权关系
支持自定义标签对设备、用户、账号进行分类,可以根据组快速授权;
可实现对单个应用软件授权,在运维时能够提供像打开本地应用软件一样的
体验;
对于防火墙等HTTP/HTTPS方式管理的资产,也可以基于资产IP进行控制和
授权,无法越权访问其他资产;
自动授权支持关闭与开启,策略要比较灵活
支持自动学习模式,可自动学习设备、账户密码、用户权限;
对学习到的设备可以自动添加到设备列表中,并列出每个用户的权限范围,
方便管理人员快速审核和授权;
安全管理要对于重要的设备可要求支持双人复核,登录时必须经过更高级权限人员授权
后才能登录,且其执行的部分(根据策略定制)或者全部命令都需要经过更
求
高级权限人员授权才可执行;
应支持基于IP/IP段、用户/用户组、设备/设备组、协议、危险级别等组合策
略进行访问控制,对于不合法的行为予以阻断;
支持基于单条操作命令或命令组设置行为规则,当运维人员输入违规命令时
自动进行告警或阻断;通过table键、上下键、复制等方式执行违规命令也能
进行阻断;
系统需内置至少500种常见命令及至少20个常用命令组分类;支持自定义命
令;
备份与维护 支持手动和自动备份日志,自动备份可按照协议和IP地址等生产不同周期性
任务,通过FTP/SFTP备份;
备份出来的文件都可以通过厂家专用播放器查看,而无需导入到设备中进行
查看。(提供产品功能截图,并加盖原厂公章)
支持手工备份系统日志、策略日志、会话日志,备份格式为xlsx格式。
可设置日志保留天数,空间满时自动覆盖最早日志;
自身安全 ★应采取自主研发的安全操作系统,操作系统需安装在专用CF卡中,防止操
作系统故障导致审计数据的丢失;CF卡、硬盘、操作系统损坏
可以通过快速更换相关介质进行恢复;
支持普通密码、强密码、验证码模式,账户有效期、IP范围、时间范围、会
话登陆超时等可配置;
支持http、https、数据库工具、vmware、vcenter、SAP等的自动登陆,且针
对web业务系统支持密码代填向导,方便普通用户配置(提供产品功能截图,
并加盖原厂公章)
支持其他一些客户自定义工具的运维登陆,如果有命令自动登陆命令参数接
口可实现任意程序的自动登陆;
自动登录
发布评论