一、安全操作管控系统的技术参数要求

一、安全操作管控系统的技术参数要求安全操作管控系统主要部署于湖北银监局内网、城市金融网、外网三个区域，由于安全操作管控系统针对这三套网络的设备管理及服务器区的远程维护，故本次只考虑配置一套安全操作管控系统，至少考虑保存管控日志信息7*24小时的数据。本期建设的安全操作管控系统需要实现以下三方面的内容：1、实现对现有业务系统相关的应用服务器、IDS、隔离设备、加密装置、防火墙、核心网络设备等设备的操作配置管理。2、要求与现有数字证书系统等系统进行无缝整合，实现身份验证与管理；3、安全操作管控系统的底层系统建议采用国产安全linux操作系统；各功能模块具体需求如下：•资源台帐管理提供湖北银监局所有信息化设备的相关资产查询；对被管设备资产信息可以按照设备IP地址、设备所属业务、设备类型等条件进行单独或组合查询。支持在现有业务系统相关的应用服务器、IDS、隔离设备、加密装置、防火墙、核心网络设备等系统设备；•操作管控提供流程化管理功能。针对三个区域的各种资源维护工作提供流程化的操作管理。安全操作管控中的流程化管理与现有流程管理系统之间无缝对接，并自动完成相关基于运维人员、资源、时限、权限的授权工作，最终形成安全管理闭环。通过与现有系统的整合,实现主动式的操作运维管控，竞价人需要在产品说明中提供详细的技术实现方案。•身份认证管理要求针对运维管理人员系统提供完善的身份管理和认证，确保可信用户才能进行操作。提供多重方式组合的身份认证，包括密码、动态口令牌结合；提供密码强度、密码有效期、口令尝试死锁、用户激活等安全管理功能；提供用户分组管理；提供用户信息导入导出，方便批量处理。•帐号统一管理提供针对湖北银监局应用系统相关的应用服务器、IDS横向隔离设备、纵向加密装置、防火墙、核心网络设备等相关资源分别实现统一的账号管理。*实现相关资源口令有后台保管，提供设备口令定期修改提示功能；支持Telnet、FTP、SSH、VNC协议帐号管理；支持IDS、隔离设备、加密装置协议帐号管理；支持UNIX/LINUX/WINDOWS服务器以及各种网络、安全设备；•授权管理管理员能够针对网络及应用系统维护人员的不同安全级别，基于用户、服务（协议）、目标主机、运维时间、会话时间、客户端IP地址等组合访问控制策略，对运维人员进行授权管理；针对内部维护人员操作提供授权：要求明确维护人员身份；提供灵活的访问控制策略管理功能，支持基于用户、服务（协议、目标主机、时段、权限等组合访问控制；要求临时运维人员无法获得相关网络、服务器的系统帐号；•针对外来维护人员操作提供临时授权要求明确维护人员身份、单位；提供灵活的访问控制策略管理功能，支持基于用户、服务（协议）、目标主机、时段、权限等组合访问控制；要求临时维护人员使用授权码进行相关维护，所使用授权码由管理员授权时获得，仅通过授权码获得对应的相关资源操作权限，授权码仅当次有效；支持授权码打印；要求临时运维人员无法获得相关网络、服务器的系统帐号；要求临时运维人员不能直接操作相关网络、服务器，必须在指定设备上采用运程方式进行操作；•强制访问控制针对现有应用系统相关资源的不同安全等级管理要求采用强制访问控制；要求先对访问主体和受控对象的安全级别，控制访问主体能否访问该受控对象。•远程访问操作在内网、外网及城市网这三个区域，维护人员不再采用传统的直接上机操作的方式，维护人员只能通过安全操作管控系统提供的统一入口远程访问系统资源；提供网内使用Telnet、FTP、SSH、VNC协议等网络会话的支持；支持IDS、隔离设备、加密装置操作；支持UNIX/LINUX/WINDOWS服务器以及各种网络、安全设备操作；能够强制中断协议会话。•在线监控能过提供运维操作的实时监控功能。针对运维人员及第三方维修人员对内网、外网及城市网这三个区域，维护人员不再采用传统的直接上机操作的方式，维护人员的设备操作行为（包括命令交互性和图像方式操作），实时监控正在进行的各种操作；其监控信息与操作用户端所见完全同步，延时不超过5秒。提供对运维人员及第三方维修人员正在进行的操作会话进行强制中断的功能。•操作审计采用高速压缩存储技术，通过数据接收、缓冲、预处理，高速压缩、存储的技术优势，具有很高的数据压缩比和性能；要求保存7X24小时的操作记录；支持滚动式存储方式，当审计存储空间不足时能够覆盖前期内容；支持存储空间扩展；•操作日志审计结合流程管理工具，提供操作日志的审计功能；•操作内容审计提供历史操作记录的检索功能，能够支持运维用户、运维地址、后台资源地址、资源名、协议、起始时间、终止时间的审计查询功能；提供网内使用Telnet、FTP、SSH、VNC协议等操作的内容审计。•报表服务提供通用、灵活、开放的报表数据处理平台。通用报表处理功能可制作各种统计报表，实现对报表的调度、打印和管理。主要功能要求如下：提供全汉化、全图形界面的报表生成工具。用户可通过报表系统对来自数据库中的数据进行计算，计算结果可作为报表数据源。报表种类包括周报、旬报、月报、季报及年报等。报表的生成时间、内容、格式和打印时间可以灵活定义。二、采购设备的技术性能整体要求序号设备名称技术性能要求数量1管控机1U机架式/4个千兆以太网口，支持1组Bypass功能/国产Linux安全操作系统/并发处理能力图形会话300个，字符会话1000个/日志及操作记录数据保留7X24小时/支持单臂部署/支持冗余电源。12定制开发结合现有业务系统、数字证书管理系统、内网网管等系统，通过定制开发完成无缝集成，形成主动式安全运行管理闭环。（开发周期限定不超过3个月）13等保测评按照中国银监会的测评范围及要求，