安恒堡垒机参数.doc

_堡垒机技术指标技术指标指标要求硬件规格软硬一体化设备；B/S架构，采用HTTPS方式远程安全管理，无需安装客户端。网络接口4*100/1000M自适应以太网口；系统自带内部存储，存储空间不低于2T；可管理不少于500个设备数，授权管理设备总数不少于100台，双电源。网口支持多端口聚合，硬盘支持RAID方式不支持。产品资质要求产品需获得公安部计算机信息系统安全产品销售许可证；提供公安部信息安全产品检测中心出具的产品检验报告；产品需获得国家涉密产品资质证书；产品需通过国家运维审计产品安全技术要求标准测试，并获得中国信息安全认证中心3C资质；厂家需具备具备产品自主知识产权，禁止OEM贴牌投标；部署模式支持旁路部署、公网映射部署、HA主备模式部署；支持HA，配置需实时同步，整个配置需在web界面不支持，但web界面有配，但是不生效，得在后台配置完成，支持VIP访问，无法通过备机更改系统配置不支持系统功能要求支持SSH、SFTP、FTP、Telnet、RDP、VNC、X11等协议,支持对KVM、Vmware、数据库、http/https、SAP等运维工具进行操作审计； 对于SSH和TELNET都可以使用putty老版本不支持，新版本可以，新版本预计在Q3发布、secureCRT、Xshell等工具运维, 通过双击、clone session、duplicate等方式复制会话都可以实现审计；不支持telnet还可以用windows 自带命令行telnet工具不支持；支持ssh秘钥登陆目标设备，且支持私钥保存在客户端，无需保存在堡垒机上（提供产品功能截图，并加盖原厂公章）不支持支持ssh协议环境变量传递，传递真实运维用户名、源IP信息（提供产品功能截图，并加盖原厂公章）在C/S方式运维下支持用户使用私钥登陆堡垒机设备（提供产品功能截图，并加盖原厂公章）不支持对于FTPSFTP都可以使用secureFX、filezilla、winSCP、flashFXP不支持，有自带的工具等工具运维；支持使用MSTSC（远程桌面）管理windows服务器，可手动调节分辨率或全屏，可通过全局策略和局部主机策略控制是否要开启磁盘打印机映射、剪贴板等功能；针对rdp登陆目标主机应该有超时提示不支持。支持快速登陆，只需运维人员输入IP、账号、主机名部分信息，即可搜索出相关设备，回车后可以实现快速登陆；（提供产品功能截图，并加盖原厂公章）老版本不支持，新版本可以，新版本预计在Q3发布登陆SSH、telnet、rdp必须工具上要显示真实设备IP不支持；针对ssh、telnet协议应支持调整客户端工具的编码、字体、大小、颜色等配置，且针对主机调整之后下次无需调整。支持B/S、C/S方式的运维FTP协议审计需支持文件sha签名及文件内容审计，且支持根据文件大小、上传、下载控制要审计的文件内容，并且支持单个会话审计文件总大小超过一定数量停止记录文件内容。（提供产品功能截图，并加盖原厂公章）不支持支持B/S及C/S运维方式的会话，针对单个主机可配置（提供产品功能截图，并加盖原厂公章）不支持支持针对设备的部分审计，只记录访问基础信息记录，不记录具体审计内容，支持针对单个主机配置（提供产品功能截图，并加盖原厂公章）老版本不支持，新版本可以，新版本预计在Q3发布支持运维用户监控审计：包括访问起始和终止时间、用户名、用户IP地址、目标设备IP、设备名称、应用类型、事件等级、操作内容等；并记录完整的从登录到退出的整个过程。支持审计记录的真实回放，操作回放需在WEB管理界面独立完成；支持rdp协议的键盘记录、OCR文字识别、及回放显示不支持回放日志支持倍速播放、快照、随意拖动、编码调整等功能。对于正在进行的运维操作会话，支持实时监控，支持手工切断实时会话；可以从目标设备范围、IP地址范围等条件对审计员可以访问的的审计会话进行权限控制，防止审计数据泄露； 支持全局搜索模式，管理员输入关键字即可查询出所有匹配该内容的会话记录；（提供产品功能截图，并加盖原厂公章）堡垒机可以按时间、统计单位、服务类型、用户（用户组）、设备（设备组）及各类子报表类型定制报表，报表支持PDF、doc、html格式导出； 内置根据运维人员和组生成各种类型的分析报表，类型包含总为运维次数、时长、活动时长、会话起止时间、会话大小、命令数、上传下载文件数，分别从全局及平均值、最大值、最小值、单次运维、单个会话等角度提供非常有价值有意义的报表。不支持能提供综合分析报表，而无需客户一个一个报表导出，综合分析报表可以符合等级保护、SOX法案的要求；（提供产品功能截图，并加盖原厂公章）需支持windows系统、网络设备、linux/unix系统自动改密，windows系统应该支持rpc不支持和telnet方式两种改密，无需在系统上面安装任何软件，也无需在每个windows服务上打开telnet服务不支持；改密前不支持、改密后均需要支持邮件、FTP、SFTP方式外送密码，外送文件可设置加密密码；老版本不支持，新版本可以，新版本预计在Q3发布，老版本可以邮件发送自动改密后支持手工密码验证、密码自动恢复不支持、手工改密及密码下载等功能；支持密码信封保存密码（提供产品功能截图，并加盖原厂公章）可以生成动态三维报表不支持，支持静态报表，报表统计数据可以钻取，直接查看详细情况；（提供产品功能截图，并加盖原厂公章）系统设备管理要求应支持HTTPS方式管理，浏览器必须至少支持IE10/IE9/IE8/IE7 / Firefox/Chrome;具有用户多角色划分功能，如堡垒机管理员、设备管理员、普通用户、审计管理员等，对各类角色需要进行细粒度的权限管理。可在web界面监控磁盘状态、RAID状态不支持raid，并可以在web界面做磁盘监测、磁盘同步不支持、cpu、内存、网络流量不支持；（提供产品功能截图，并加盖原厂公章）支持SNMP，支持邮件、syslog告警模式老版本不支持，新版本可以，新版本预计在Q3发布，并可自定义调整系统内置的各种告警日志级别；根据告警等级设置是否发送告警;不支持支持静态路由配置，在逻辑隔离网络里支持部署支持系统配置备份与还原老版本不支持，新版本可以，新版本预计在Q3发布，NTP时间同步支持调用第三方webservice短信网关,可用于告警和认证老版本不支持，新版本可以，新版本预计在Q3发布，新版本需要开发；应单独提供系统管理报表，包括系统状态等信息支持常见工具（离线播放器、浏览器、运维工具等）的下载。支持主机健康自动检查，并在运维资产列表里标识主机的健康状态自带ping、tcp端口探测、路由追踪、抓包等排错工具不支持；（提供产品功能截图，并加盖原厂公章）系统应具有系统诊断功能，系统诊断功能能系统调试日志、输出综合信息、系统负载、内核信息、内存信息、网卡信息、硬盘各分区信息、硬盘RAID信息、硬盘使用信息以及路由信息（提供产品功能截图，并加盖原厂公章）不支持支持本地口令认证、LDAP认证、AD认证、短信认证老版本不支持，新版本可以预计Q3发布，需要开发、Radius、usbkey、动态口令认证，短信认证需要支持短信猫和短信网关（get、post、soap方式）老版本不支持，新版本可以预计Q3发布，需要开发，产品需提供至少一个动态令牌和一个USBKEY支持从TXT不支持，只支持excel文件、XLS、XLSX、CVS等文件批量导入、导出运维用户、设备、设备密码等，导入信息可以在线选择哪些需要导入，可以选择覆盖和忽略已有信息且提供导入模板在线下载；支持从AD、LDAP同步用户，无需手工添加；支持批量更改属性，包括用户组、用户、资产、主机标签、增删用户等添加设备账号时支持对账号和密码手工进行验证；不支持支持一对一、一对多、多对多授权，如将单个设备授权多个用户，一个用户授予多个设备，用户组向账户组，用户组向设备组；支持快速授权，直接导入用户、密码、用户组、用户姓名、设备IP、账号、主机标签、主机部门、账户名称、密码、协议等对应的授权关系支持自定义标签对设备、用户、账号进行分类，可以根据组快速授权；可实现对单个应用软件授权，在运维时能够提供像打开本地应用软件一样的体验；对于防火墙等HTTP/HTTPS方式管理的资产，也可以基于资产IP进行控制和授权，无法越权访问其他资产；自动授权支持关闭与开启，策略要比较灵活不支持支持自动学习模式，可自动学习设备、账户密码、用户权限；不支持对学习到的设备可以自动添加到设备列表中，并列出每个用户的权限范围，方便管理人员快速审核和授权；不支持安全管理要求对于重要的设备可要求支持双人复核，登录时必须经过更高级权限人员授权后才能登录，且其执行的部分（根据策略定制）或者全部命令都需要经过更高级权限人员授权才可执行；可设置命令黑白名单，不支持命令授权应支持基于IP/IP段、用户/用户组、设备/设备组、协议、危险级别等组合策略进行访问控制，对于不合法的行为予以阻断；支持基于单条操作命令或命令组设置行为规则，当运维人员输入违规命令时自动进行告警不支持或阻断；通过table键、上下键不支持、复制等方式执行违规命令也能进行阻断；系统需内置至少500种常见命令及至少20个常用命令组分类不支持；支持自定义命令； 备份与维护支持手动和自动备份日志老版本不支持，新版本支持，预计在Q3发布，自动备份可按照协议和IP地址等生产不同周期性任务，不支持通过FTP/SFTP备份不支持；备份出来的文件都可以通过厂家专用播放器查看，而无需导入到设备中进行查看。（提供产品功能截图，并加盖原厂公章）支持手工备份系统日志、策略日志、会话日志，备份格式为xlsx格式。老版本不支持，新版本支持，预计在Q3发布可设置日志保留天数，空间满时自动覆盖最早日志；老版本不支持，新版本支持，预计在Q3发布自身安全应采取自主研发的安全操作系统，操作系统需安装在专用CF卡中，防止操作系统故障导致审计数据的丢失；CF卡、硬盘、操作系统损坏不支持可以通过快速更换相关介质进行恢复；支持普通密码、强密码、验证码模式