运维审计系统需求说明

附件：运维审计系统需求说明 指标名称 指标项 指标描述 系统架构 产品形态 专用安全操作系统，软硬件一体化，采用标准机架式硬件（1U/2U） 部署方式 旁路部署 支持HA双机热备、AA双机模式 支持多机部署智能负载均衡（对当前资源占用情况进行智能化分配调度） 产品性能 并发会话数 字符协议不低于700个 ,图形协议不低于200个可管理设备数 不少于300个点的管理量 硬盘容量 物理硬盘不低于500G，可扩充至6个硬盘及以上，并支持RAID 磁盘阵列 内存容量 物理内存不低于4G，可扩展至32G 及以上网络接口 不少于4个千兆电口，并可扩展光口 支持协议 字符协议 支持SSH、TELNE、RLOAIN、TN5250 图形协议 支持RDP、VNC、X11 文件传输协议 支持FTP、SFTP 数据库 支持ORACLE、MSSQL、Sybase、Mysql、DB2、Informix等数据库远程访问协议 其他 支持通过内置应用发布进行协议扩展，支持定制开发其他访问协议及第三方客户端工具,支持内置应用发布remoteApp功能 ；至少支持PL/SQL、TOAD、SQL *PULS、SQL Server Management Studio、Totolcmd账号密码代填。支持主机 设备类型 支持Windows 类主机、域控主机、域控内主机、Unix 类主机、Linux 类主机、各种网络设备、安全设备、网元、数据库、Web应用等 。产品功能 目标资源访问方式 Web页面方式： 支持IE（6-11）、Firefox、Chrome、Safari等多种浏览器 ；支持通过堡垒机web页面内嵌运维工具访问目标资源 ；Web页面内嵌RDP协议管理工具，支持剪切板、本地磁盘映射、自定义窗口分辨率、全屏自适应 ；Web页面内嵌SecureCRT、FTP/SFTP、VNC/X11管理工具 ；支持运维工具选择，支持SecureCrt与Xshell ；针对字符型协议，支持一键单点登录页面中所有资源 ；支持web资源，有验证码的情况，实现用户名和密码的代填 。CLI菜单选择方式： 使用 SSH 安全字符管理页面访问堡垒机系统即可显示用户当前具有访问权的资源列表，通过字符菜单选择方式直接访问目标资源 。CLI客户端直连方式： 不改变用户使用习惯，无需登录Web页面，可联动本地CLI客户端实现透明的单点登录；可生成SecureCRT登陆会话文件并能够导出至本地使用；离线session文件支持分组导出，离线session文件支持加密导出；支持自由切换被授权的多个系统账号（代替su命令），自动完成授权检测及密码代填；支持SSH协议rz/sz文件传输命令； 支持SFTP协议图形化上传下载； 支持网络设备的特权模式跳转 。数字证书登陆方式： 支持Linux服务器通过数字证书免密码登陆 。RDP快捷登陆方式： 不需要登录堡垒机IE页面，支持直接通过本地mstsc访问资源 。支持ftp离线登录： 不需要登录web页面即可单点登录FTP资源，进行上传下载文件 。半自动/手动登录方式： 支持“半自动”登录方式，即首次登录目标设备时堡垒机将自动代填已授权账号，对应密码需手动输入，后续登录时无需再次输入；支持“手动”登录方式：每次登陆目标设备均需输入密码信息。二次审批登陆方式：支持对重要服务器的二次审批，即对重要服务器执行单点登录时，需通过二次审批方可操作。 身份认证及管理 堡垒机身份认证方式：支持本地认证、RADIUS认证、LDAP认证、AD域认证等。支持USB Key认证方式；支持动态令牌认证方式；支持SSL认证，堡垒主机用户提供数字证书认证，防止恶意入侵、网络钓鱼等行为 ；支持联动手机Google身份验证动态码；支持联动短信网关动态验证码； 支持第三方智能卡、人体特征（指纹、视网膜等）、动态令牌等认证方式 。支持三权分立，内置管理员角色，支持自定义角色权限 支持创建临时用户 支持访问限制，即同一时间只接受一个IP访问 支持用户自动/手动锁定、激活 访问控制与告警 支持按用户（用户组）、目标设备（设备组）、设备帐号、协议类型、生效时间范围、IP 地址等配置访问控制策略 支持时间集管理，支持按时间集配置访问控制策略 支持IP集管理，支持按IP集配置访问控制策略 支持对违规或高危指令进行拦截处理，支持指令黑白名单设置 支持制定细粒度策略；支持高危指令对象、访问时间对象、源 IP 地址对象、访问目标设备对象根据“最小授权原则”进行策略合成 。支持对用户违规登录进行告警 支持以邮件、SYSLOG、Snmp Trap、短信方式实时发送告警信 支持告警邮件分类设置 支持发件人邮件信息填写有效性测试 支持剪切板磁盘映射上行下行访问控制功能 用户及组管理 支持运维用户的全生命周期管理，包括添加、修改、删除、停用/启动、更新时间支持对用户进行分组，分层次管理，分组以树形方式展现 支持用户列表信息按字段自动排序 支持Excel表用户批量导入/导出 支持对用户按科室、部门等进行独立管理、独立授权 支持快速添加用户 支持用户密码期限提示 支持与域服务器同步账号密码 主机及组管理 支持主机管理，包括主机IP、名称、类型、访问协议、端口、帐号及密码等信息 支持对主机设备进行分组，分层次管理，分组以树形方式展现 支持主机列表信息按字段自动排序 支持Excel表主机信息批量导入/导出 支持对主机设备按科室、部门等进行独立管理、独立授权 支持智能运维脚本；支持堡垒机定时自动执行包含运维指令的脚本，支持执行结果输出 。支持自动学习模式，可自动学习资产IP、资源类型、开放服务以及端口 支持试拨功能，通过试拨对资源账号密码的正确性检测 支持SFTP或FTP文件传输的防病毒功能 支持漏洞扫描，对资源进行漏扫扫描并提供扫描报告 支持对资源进行基线检查 工单管理 支持工单管理模块，可设置单个/多个高级用户为用户组领导，组领导拥有工单信息审批权 页面支持工单消息信息通知栏 支持对未授权资源的临时申请，临时申请需选择目标资源、访问协议、登陆账号、使用时间及申请原因 支持对未授权指令（被拦截的指令）的临时申请，领导审批后可继续执行被拦截的指令 支持对重要服务器的二次审批：即对重要服务器执行单点登录时，需通过领导二次审批方可操作。 工单模块支持与邮件服务器结合，发送审批邮件 支持工单快速选择工作内容功能 工单模块支持与短信网关结合，领导可通过回复短信完成审批 密码托管 支持对用户静态口令的密码复杂度进行管理 支持设备帐号口令修改计划，包含网络设备、安全设备、Windows系统、Unix/linux系统及数据库；支持根据目录树选择修改单个设备或多个设备 ；支持数据库账号、本地账号及AD域内账号密码修改 ；支持单次手动执行或周期执行 。支持发送改密通知邮件，邮件内容包括改密前后结果列表 支持历史改密结果查询，可生成设备密码信封文件，支持联动密码打印机打印出银行级信封密件 支持批量生成密码信封压缩包、Excel密码信封及文本信封等格式；信封文件强制要求密码保护 支持以邮件方式外发密码信封 支持系统自动备份密码信封文件 支持计划任务改密结果通过FTP外发 支持计划任务Agent改密 操作审计 支持对字符协议、图形协议、数据库操作进行操作审计 支持记录RDP会话中的键盘输入信息 支持记录RDP会话剪贴板（复制粘贴）内容 支持sftp/ftp文件传输协议审计 支持记录WEB资源完整访问URL地址 支持记录通过客户端直连访问字符协议的操作审计 支持高级检索功能，查询条件可任意组合 支持字符协议的指令检索，支持图形协议的键盘输入检索，并可展现本次会话的所有操作 支持被检索命令的高亮显示 操作回放及监控 支持以WEB在线视频回放方式重现运维人员对设备的所有操作过程，无须另装播放软件 支持倍速/低速播放、拖动、暂停、停止、重新播放等播放控制操作 支持回放界面中显示键盘输入、特殊按键 支持空闲时间过滤 支持查看所有会话信息，显示会话状态（连接中、退出、阻断中） 支持对会话进行实时监控、回放和阻断操作 支持审计日志增量导出功能,可分协议，通过sftp或者ftp导出 支持rdp审计不可回放时输出提示信息 支持行为审计内容查看提示，针对命令，快速选择需要查看的字符的录像阶段 系统监控 支持记录堡垒机系统自身的管理操作 支持堡垒机系统自身状态监控，至少包括CPU、内存、磁盘的运行/使用情况 支持实时监控堡垒机双机热备的两台机器之间的存活状况（包括网络状态、关键服务、同步信息） 操作报表 内置多种报表模板 支持以word、excel、html、csv和pdf方式生成并导出报表 支持以多种图形方式（柱形图、饼图、折线图、雷达图等）展示报表内容； 支持管理员自定义审计报表 支持根据用户实际要求，定制报表内容及格式 数据管理 支持系统配置的备份/恢复 支持堡垒机数据（用户、设备、授权、策略等信息）备份/恢复 支持审计日志自动备份和手动备份，支持以FTP方式自动备份至指定服务器 系统管理 支持NTP系统时间同步 支持审计信息（包括系统审计及运维审计）对外转发，转发方式包括syslog、snmp trap 支持WEB页面实现对堡垒机的关机、重启 支持Web页面手动切换主备机，切换时间不高于5秒 支持WEB页面实现对堡垒机的WEB服务进行重启 堡垒机内置