2024年4月12日发(作者:)
【最新整理,下载后即可编辑】
运维安全审计(堡垒机)招标技术要求
运维安全审计(堡垒机): 天融信TopSAG TSAG-71214
指标项
接口配置
存储空间
授权
工作模式
分组
AD域同步
规格要求
★默认包含4个10/100/1000BASE-TX电口和1个扩展
槽,最大可扩展到12个千兆电口。
★1T,内置硬盘存储日志;
★100个设备授权。
物理旁路单臂部署,以逻辑网关方式工作;不改变现有
网络结构,不改变运维人员的运维习惯。
★不限级数的进行分层分级分类管理。(提供截图证明)
★支持从AD域抽取OU,方便快速建立组织结构。(提
供截图证明)
组定义类支持组定义类型(用户、资源、综合)便于管理和快速
型 查找。
完整的用户帐号生命周期管理,实现帐号的创建、维护、
用户管理 修改、删除的集中管理;自定义用户类型,基于针对用
户类型进行用户地址策略。
AD域同步
★主帐号支持从AD域内抽取,方便快速建立主账号。
(提供截图证明)
【最新整理,下载后即可编辑】
用户导入支持以组节点进行批量导入导出。
导出
用户分组分组可以树形方式展现,不限制分组层级数量。
管理
通过配置口令策略,达到指定密码有效期和限制主帐号
密码强度的目的。
配置访问锁定策略,达到限制主帐号密码输入错误次数
用户策略
和锁定时间。
配置访问地址策略,达到限制主帐号访问时所在工作站
的IP地址池。
配置访问时间策略达到限制主帐号只能在规定的时间段
内进行资源访问。
支持柱形图方式查看系统中不同资源所占比例。 资源统计
资源分组分组可以树形方式展现,不限制分组层级数量。
管理
资源类型
unix资源、网络资源、windows资源、数据库资源、C/S
资源、B/S资源、中间件资源、大型机资源。
支持SSH、TELNET、FTP、SFTP、VNC、XWINDOW、
WINDOWS文件共享等协议。
★支持资源从账号的管理,系统具有各种资源类型驱动
器能够将资源上的账号进行自动抽取、推送及属性的变
资源协议
账号管理
【最新整理,下载后即可编辑】
更等。(提供截图证明)
支持对unix资源、网络资源、windows资源、数据库资
自动改密
源、中间件资源进行密码变更;密码变更可以根据密码
策略的要求进行变更,变更的密码符合密码策略中关于
密码强度的要求。
密码拨测
计划
★定期检查平台存储的设备账号密码与设备实际密码是
否匹配,以便进校验密码一致性,提高设备的安全性避
免密码混乱无法登陆现象发生。(提供截图证明)
从账号按时间计划导出账号口令,支持手动下载或指定
FTP服务器;导出的账号口令需要输入密码解密查看。
★提高设备的安全性,不采用标准的协议端口,平台支
持FTP、telnet、ssh、远程桌面等协议服务端口变更。(提
供截图证明)
★支持自定义角色。角色可按照组节点进行定义,从而
角色管理 实现分层分级管理模式。角色权限细粒度高,可自由组
合。(提供截图证明)
★资源授权模式基于岗位授权,岗位上绑定资源账号,
岗位授权 这样授权可迁移、授权粒度更细;并可针对岗位设置相
关安全策略。(提供截图证明)
收藏夹功★运维人员可将经常访问的资源添加到收藏夹。(提供
能 截图证明)
账号导出
访问端口
变更
【最新整理,下载后即可编辑】
批量单点★支持批量单点登录资源,简化工作量。(提供截图证
登录 明)
身份切换支持网络设备enable和unix主机su等身份切换的单点
代填 登录功能。
Zmodem协运行rz,sz等命令,从而可以非常便捷快速的进行两个
议访问
自动代填
系统的文件交换。
访问授权资源时不必再输入从帐号和密码
★自身提供证书认证服务,也可与第三方CA、动态令
身份认证 牌、生物识别、短信认证等方式进行结合。支持组合认
证,提高访问的安全性。(提供截图证明)
RADIUS和
TACACS+
★平台在网络设备的认证协议上不仅支持RADIUS和
TACACS+协议,而且产品系统自身可以作为Radius和
TACACS服务器。(提供截图证明)
访问时间可以配置成可访问时间段方式,也可以配置成不可访问
策略
地址策略
时间段方式。配置时间段时可以配置日期和小时。
支持配置成可访问IP段方式,也支持配置成不可访问IP
段方式。IP段由IP和掩码构成。
★上下行剪切板控制、共享磁盘控制、控制台登录控制。
(提供截图证明)
支持命令操作的黑白名单设置,命令权限控制规则应支
持正则表达式,并可以对命令的参数进行限制并记录日
RDP策略
字符命令
【最新整理,下载后即可编辑】
志
FTP 支持常用命令列表,方便用户指定FTP命令策略。
可以配置口令长度,是否包含字母及字母的长度,是否
口令策略 包含数字及数字的长度,是否包含符号及符号的长度,
口令时效性。口令策略还可以配置禁止包含的关键字。
锁定策略
可以配置访问失败几次锁定,也可以配置锁定后多长时
间解锁。
根据不同设备审计安全需求,客户自定义审计范围,字
审计策略
符(命令、内容、录像)、图形(录像、键盘、上下行剪
切板、上下行文件传输)、FTP(命令、保留上传文件、
保留下载文件)。
VPN功能
★内置VPN功能,无需专用VPN硬件支持,即可保证
远程接入堡垒机的链路安全。(提供截图证明)
图形资源访问时,支持键盘、剪切板、文件传输记录,
图形审计 并且对图形资源的审计回放时,可以从某个键盘、剪切
板、文件传输记录的指定位置开始回放。
对字符命令方式的访问可以审计到所有交互内容,可以
字符审计 还原操作过程的命令输入和结果输出,并且可以展现各
命令的执行时间和允许执行情况。
实时监控
支持实时审计和阻断。操作人员对于资源的访问,审计
员可以实施查看。发现高危操作时,支持实时切断当前
【最新整理,下载后即可编辑】
会话。
支持提供系统内部操作审计,包括管理员和运维用户的
管理审计 登录、登出、对系统的配置操作、账号属性修改等系统
管理操作。
系统预设常用统计报表模板,分为基础业务报表、行为
审计报表 审计报表、信息管理报表三大类。报表提供Word、Excel、
PDF类型下载。
★支持设定主副岗账号和双人共管账号,并提供相应授
权流程;
流程管理
支持流程申请人、审批人、执行人的委派。授权需要申
请人定义申请单,发起事件申请;事件可以多人审批,
审批人收到申请后可以同意或拒绝申请,同意时可以指
定执行人进行实际的管理动作的执行;
数据备份、应用备份、管理数据备份、审计数据备份、配置文件备
还原 份
包括:cpu工作情况,内存使用情况,磁盘使用情况,
系统状态 网卡使用情况,系统数据库工作情况, WEB服务工作
情况,其他关键组件工作情况等。
时间同步
系统维护
同步NTP服务器
对系统服务配置清除、审计日志清理、还原出厂设置;
关机重启等功能
【最新整理,下载后即可编辑】
外接存储
支持日志数据的外置存储备份,支持NFS和windows文
件共享协议,远程审计存储和本地存储对审计员透明。
支持以Active-Standby方式部署;支持服务及应用层面的
检测;支持双网卡冗余(双网卡虚拟单Ip)。
支持堡垒机集群模式部署;
HA
集群部署
支持应用发布服务器的集群部署,可以设定自动选择应
用发布服务器,或者由用户手动指定;
支持集群设备多节点数据实时同步;
分布式部实现公司总部与各分公司之间,组织机构分散而需要统
署 一集中管理的问题。
★计算机信息系统安全专用产品销售许可证;
产品资质 涉密信息系统产品检测证书;
IT产品信息安全认证证书;
★厂商具有TL9000认证;
★厂商具有国家信息安全认证中心颁发的信息安全风险
评估服务一级资质认证;
设备原厂
资质
★具有国家信息安全认证中心颁发的信息安全应急处理
服务一级资质认证;
★厂商需具有5名及以上CISP认证人员,提供工程师在
江苏省内本年度社保证明记录并需要安排原厂工程师上
门安装测试.
【最新整理,下载后即可编辑】
具备《涉密信息系统集成资质证书》甲级资质;
【最新整理,下载后即可编辑】
发布评论