运维安全网关系统(堡垒机)采购要求

1、个人资料整理，仅供个人学习使用运维安全网关系统（堡垒机）采购要求:功能功能要求基本要 求硬件、性 能 1u机架式软硬一体设备， 至少支持6个千兆电口，具有一个扩展插 槽，可扩展8个千兆光口、8个千兆电口、或2个万兆光口，字符协议 不彳氐于800个，图形协议不低于 300个，物理存储1tb,50个管理设备授 权系统架 构堡垒主 机产品 架构专用安全操作系统，软硬件一体化部署方 式物理旁路，逻辑串联模式，不影响现有网络结构单机部署、双机热备部署分布.式部署（需提供截图）：支持添加一台或多台协议代理服务器，分担堡垒机主服务器性能压力，便于提高整体性能；并支持限定不同的协议代埋服务器节点访问不同的资源

2、；多协议代理服务器节点可访问相同资源时实现自动负载均衡；堡垒机主服务器集中管理配置和收集展现日志信息支持nat地址映射部署，通过映射后的ip地址访问堡垒机进行管理和 运维操作，支持从多个映射地址访问，适用于内外网隔离的复杂网络 环境数据存 储系统自带内部存储管理功 能管理分 权系统级账号三权分立，系统级账号包括：系统账号管理员，系统审计 员，系统管理员业务管理组：分属不同业务管理组的业务管理员只能管理所在业务管理组内的用户、资源、策略和审计管理，适用于不问的管理部门有独立的管理员，运维人员，资源和审计管理要求的场景 （需提供截图）用户和资源管理范围：可设置业务管理员可管理的用户组和资源组的 范

3、围，适用于部门内管理员管理用户和资源权限的进一步划分用户管 理用户账号命名字母区分大小写、账号支持中文，账号长度最大支持 256位字节（需提供截图）支持用户和用户组的管理，包括添加、修改、删除、启用、停用、移 动和移除组成员功能支持用户组无限级分级管理支持用户账号的批量导入导出功能支持从ad域抽取组织机构和用户账号，方便快速建立组织机构和 用户账号（需提供截图）支持批量修改用户账号属性支持设置用户属性为：不能修改密码、密码永不过期、下次登录必须 更改密码用户密码策略包括：最小密码长度、密码复杂度、密码周期、历史比 对和登录锁定支持用户账号有效期配置支持用户客户端ip和mac限制，非法地址无法登

4、录（需提供截图）资源管理支持不同的资源使用相同的 ip或域名，便于同一资源按照不同的服务 类型进行分类管理（需提供截图）支持资源和资源组管理功能，包括添加、修改、删除、启用、停用、 移动和移除组成功功能支持资源（包括服务和资源账号）批量导入导出功能支持资源分类和资源系统类型管理：内置常见资源分类和资源系统类 型，可自定义添加资源分类、资源系统类型和资源服务类型资源密 码管理支持设定周期性改密计划，批量修改资源密码支持手动改密，修改指定资源的账号密码支持改号的资源包括： linux、unix、windows （米用 rpc方式）、aix 以及数据库 oracle、sqlserver、postgr

5、esql mysql、db2、informix、 sybase（需提供截图）自动改密密码策略支持随机生产/、同密码、随机生成相同密码 、手工指定相同密码，随机密码支持自定义密码强度支持改密结果自动发送到制定改密计划的管理员邮箱；密码文件加密 保存，需要专用查看工具查看，以保证安全性系统管理支持通过 web升级系统版本、重启系统、关机支持ntp时间同步功能支持自定义系统10go图片，无需定制开发（需提供截图）审计功能数据库w实现数据库命令级审计，支持的数据库类型包括：oracle （支持oracleraq、sql server ibm db2、sybase ibm informix dynami

6、c server、 mysql、postgresql teradata,不需米用数据镜像方式实现，以免增 加部署的复杂性和网络负担（需提供截图）支持 oracle、postgresql、sybase mysql、sql server数据库卜行返回行数记录支持oracle数据库变量绑定解析，便于审计员深度分析用户的操作行 为支持通过应用发布实现数据库操作的命令级审计和图形审计的双重审 计效果，命令级审计便于重现真实的完整操作命令，图形审计便于直 观的查看到真实的操作行为，并支持通过搜索操作语句关键字定位审 计回放字符文 件传输 协议审 计支持ssh协议服务端启用强加密算法hmac-sha2-25

7、6,hmac-sha2-512 ,提升ssh协议安全性支持字符协议 sshvl sshv2 telnet rlogin和文件传输协议 ftrsftp的协议审计，审计详细的操作语句和操作语句的执行结果支持通过应用发布实现字符协议和文件传输协议的命令级审计和图形 审计的双重审计效果，命令级审计便于重现真实的完整操作命令，图 形审计便于直观的查看到真实的操作行为，并支持通过搜索操作语句 或执行结果中关键字定位审计回放图形协议审计支持rdp、vnc图形操作行为的审计，图形回放形式还原真实操作过 程支持rdr vnc图形操作过程中键盘输入操作记录和鼠标点击行为 记录，并支持开启或关闭键盘输入审计功能（需

8、提供截图）支持rdp囱口标题审计，并支持通过囱口标题内谷检索7e位回放（需 提供截图）支持对剪贴板拷贝文件行为和文本信息内容的记录，并支持通过搜 索文本内容关键字定位审计回放（需提供截图） rdp协议支持windows服务端开启安全层 ssl加密，加密级别符合fip刖准，允许运行使用网络级别身份验证的远程桌面的计算机连接， 以满足运维过程安全性的更高要求（需提供截图）协议扩 展支持通过应用发布进行协议扩展，支持http/https协议、x11协议、vmware vsphere client、radmin等第一方客户端工具，并支持账号号 码代填登录；应用发布调用只能推送应用工具窗口，不得推送wi

9、ndows桌面，以提升用户体验应用发布防跳转：通过应用发布只能访问已授权资源，无法通过应用工具新建未授权资源进行跳转连接支持web页面防跳转功能，进行 http/https访问过程中，运维人员仅 允许访问授权地址（需提供截图）实时监控实时监控当前连接发生的所有会话信息，发现高危操作可实时切断会 话会话回 放web在线视频回放方式重现维护人员对服务器的所有操作过程离线回放重现维护人员对服务器的所有操作过程（回放文件下载到本 地播放）倍速/低速播放、拖动、暂停、停止、重新播放等播放控制操作支持通过搜索操作关键字定位回放会话协议回放空闲时间过滤，应用发布图像操作回放支持操作空闲过滤（可设置无操作多长

10、时间开始过滤）（需提供截图）审计查 询和报 表自定义审计查询条件，包括：时间范围、用户、资源、资源账号、ip、关键字等条件审计查询关键字和结果显示支持多种编码(utf-8,big5,euc-jpeuc-kr,gb2312,gb18030,iso-8859-2,koi8-r,ks_c_501_1987,shift_jis,window-874),由用户自主选择(需提供截图)系统内置多种报表模板，支持管理员自定义报表类型支持按日、周、月为周期自动生成周期性报表报表格式支持csw html权限控 制身份认证基本认证：本地账号+密码认证支持usb-keyu证支持内置动态口令认证，无须额外增加认证服务器

11、短信认证（支持短信中间表和短信网关标准：中国移动cmpp2o中国联通sgip1.2标准和中国电信 smgp3.0）数子证书认证：古人正兀证书认证，北星数子证书认证；格尔证书认证其它外部认证：支持 windows ad、radius ldap;双因素认证：支持对不同用户设置不同认证方式组合的双因素认证（需提供截图）支持用户属性中手机号码和邮箱地址作为主账号身份登录（需提供截 图）运维用户多次登录失败自动锁定登录账号或登录ip,到期自动解锁限制用户同一时间只能从一个ip登录密码找回：支持用户忘记登录密码时，可通过邮件或短信方式获取验 证码，验证通过后重置登录密码（需提供截图）访问控制从账号密码代填

12、自动登录，使用人员不必知道服务器帐号及密码从账号密码半自动、手动登录，使用人员也可以选择自行输入服务器 账号密码登录，也可选择保存账号密码，下次不再输入账号密码支持telnet ssh协议资源使用普通用户登录自动切换到root账号访问策略基于用户、用户组、资源、资源组、系统帐号、协议类型、 生效时间范围、ip地址限制等进行设置支持基于用户组、资源组的授权模式下，此用户组和资源组内新增成 员自动继承授权关系命令策略对telnet ssh ftp、sft可口数据库的违规或高危操作的指 令（黑白名单）进行日志提醒、忽略命令、阻断会话或二次审批支持访问策略或工单策略时间限制到期后断开已连接会话命令策略

13、中对违规或高危指令支持正则表达式设置匹配规则（需提供 截图）支持基于时间集合、ip集合、命令集合设置访问策略或命令策略资源访 问支持ie （ 8-11版本）、谷歌浏览器、firefox浏览器支持运维客户端功能，运维操作过程不需要安装 java或其它任何控件 （需提供截图）支持通过堡垒机 web贝囿内嵌ssh ftr telnet运维工具访问目标 资源支持通过堡垒机 web页面调用本地工具访问目标资源支持客户端菜单模式访问：用户直接使用客户端工具访问堡垒机通过 菜单方式选择目标服务器并进行访问，支持的协议包括字符协议（telnet,ssh 或图形协议（rdpvnc）ssh协议支持私钥代填登录，最

14、大程度保障运维安全rdp支持剪切板和磁盘映射功能，可选择分辨率或自适应分辨率支持telnet ssh协议使用securecrt工具批量登录目标资源，并支持对多台主机批量执行操作指令（需提供截图）支持以普通管理模式登录网络设备或主机并自动切换到特权模式系统工具支持：securecrt winscp、ffftp filezilla、sqlplus plsqldev toad for oracle、db2cmd ( db2)、teradata sql assistant sqldbx personal、 sqldbx professional、tightvnc、pgadmin3、sqladvanta

15、ge、sqleditor、 mysql、questcentral、ssms xshell、dbvis、navicat、ssh secure shel client 等工单管 理支持管理员下发工单，授权运维人员有权限在指定时间内访问指定的 资源支持运维用户主动申请访问权限的工单，管理员审批通过后即可登录运维安全性操作系 统与数 据分离 存储操作系统安装在专用 cf卡，审计数据存储在磁盘， 防止操作系统故障 导致数据丢失通讯安 全性管理模式 b/s,米用hiips方式远程安全管理系统自身https证书签名支才等高强度 sha256算法支持修改系统自身对外提供服务的默认端口，以满足不同环境的部署 要

16、求（需提供截图）支持网口聚合功能（需提供截图）： 网口聚合主备模式，防止链路单点故障 网口聚合负载均衡模式，提高链路带宽数据管 理实时监控审计系统 cpu内存、磁盘的使用情况支持磁盘健康状况诊断空间自管理功能，存储空间不足时能够自动清理历史数据，并支持设 置触发清理的存储空间阀值（需提供截图）支持配置和数据自动备份到外边ftp服务器存储支持定时自动备份配置和数据，保证数据安全性支持配置信息导入和导出功能接口功 能对外告警支持以邮件、syslog snmp trap、实时发送命令策略触发的审计信息支持以邮件、syslog snmp trap实时发送设备自身 cpuk内存达到 使用上限的告警信息；snmp 功能支持snmp agent方式对外提供设备基础信息（支持snmp v2c和v3）日志夕卜 发支持以syslog对外发送登录日志、业务管理日志和运维审计日志（需