招标要求:堡垒机
序号 | 重要性 | 指标项 | 指标要求 |
硬件要求 | |||
1. | 硬件架构 | 采用1U专用的硬件架构,交流冗余电源,硬件架构采用模块化设计,便于进行接口扩展和硬件升级; 支持扩展大容量存储介质用于日志存储,存储空间不小于1TB; | |
2. | 系统要求 | 采用专用安全操作系统; | |
3. | ★ | 接口要求 | 不少于2个USB口,不少于1个管理口,不少于6个千兆电口;不少于1个扩展槽位:可以扩展1个4端口SFP模块扩展卡 |
性能要求 | |||
4. | ★ | 图形会话并发 | 不小于300 |
5. | ★ | 字符会话并发 | 不小于700 |
功能要求 | |||
6. | ★ | 资源许可 | 授权500个被管理资源,不限制管理员数量 |
7. | # | 账号管理 | 组织架构:支持用户多级别分层管理,支持以管控方式满足大型、多级应用需求。 批量导入:支持账号的批量导入、导出和批量的修改维护操作,方便快速部署。 账号加密:投标产品能够对主、从账号的存储、传输过程进行加密; 口令管理功能:系统支持被管理设备的账户口令托管,可以对被管理设备定期自动修改账户口令,并支持修改口令的密函打印,邮件发送,可以实现设备账户口令只托不管,和用户授权绑定. 自动改密:投标产品支持以计划的形式对Windows AD、linux、unix、网络设备(cisco、H3C、华为等)类资源的账号收集以及口令变更(要求提供界面截图证明) 账号密码芯片级加密:设备能够把自动更改后的密码下载到专用芯片级硬件加密设备,可通过指纹和管理权限对相应的服务器托管密码进行查看和打印等(要求提供界面截图证明). |
8. | # | 认证管理 | 认证协议:投标产品支持静态口令、动态口令、AD域、LDAP、Radius、数字证书、USBKey、MAC地址绑定等多种认证方式(要求提供界面截图证明) 内置OTP服务器:设备自身集成一次性口令认证服务器模块,不需要再单独购买一次性口令认证服务器(要求提供界面截图证明) 集成动态令牌认证服务器,不需要额外认证服务器(要求提供界面截图证明) 认证加密:支持用户认证Portal页面通过SSL协议加密 |
9. | # | 授权管理 | 单点登录:支持单点登录,用户通过主账号登录后,不需要再次输入身份认证信息即可直接访问其有权访问的后台资源。 系统授权功能:可细粒度授权,可根据协议实现对用户和组的交叉授权。 系统提供授权功能,并支持对系统的用户登录进行可配置的策略设置,包括限制登录IP、登录时间段等,以确保可信用户访问其拥有权限的后台资源. #分级授权:主机管理功能授权和资源访问授权。内部管理功能授权可以限制到某个树形节点的范围内; 可细粒度授权,可根据协议实现对用户和组的交叉授权(要求提供界面截图证明) #身份切换代填:支持网络设备enable和unix主机su等身份切换的单点登录功能(要求提供界面截图证明) 系统授权功能:系统提供授权功能,并支持对系统的用户登录进行可配置的策略设置,包括限制登录IP、登录时间段(可循环,如每周五8:00-18:00时)等,以确保可信用户访问其拥有权限的后台资源. 命令控制:支持命令操作的黑白名单设置,命令权限控制规则应支持正则表达式,并可以对命令的参数进行限制并记录日志 双人复合操作:支持双人复合功能,运维操作时,需要通过管理员符合后方可操作。 |
10. | # | 审计管理 | 免客户端:投标产品支持统一审计功能,不需要在后台资源上安装任何审计引擎或代理程序; 离线回放:可以对已经备份并在堡垒机上删除的日志进行回放审计。华为linux系统下载 审计结果展示:审计结果能够以录像重放方式展现,并支持根据时间、运维命令、进度条等方式进行定位回放; 审计协议:支持Telnet、SSH、FTP、SFTP字符终端操作协议; 支持RDP、VNC、Xwindow、Windows文件共享等图形终端操作协议; SSH协议代理支持SecureCRT软件的Session Clone及Send To All等复杂的功能; 能够审计全部操作行为,包括vi和用户shell菜单(如AIX上smit); 支持AS400设备审计; 扩展协议(应用发布系统):支持通过应用发布系统进行审计,例如PcAnywhere、Xmanager、数据库管理客户端、各种BS应用系统及中间件等,并且能够对使用的工具访问进行管理与控制,需详细描述管理与控制力度。 #数据库协议内容审计:通过应用发布服务器审计数据库时,不仅进行屏幕录像, 还可以审计数据库语句及返回值,形成文本型日志(要求提供界面截图证明) Imperva 产品联动:与Imperva数据库审计产品整合后,该 产品记录下的数据库输入命令都会被堡垒机所接收,并能够与堡垒机记录下的视频文件相关联,实现视频会话与命令行操作的会话关联。 RDP图形文字识别:RDP图形文字识别并查看、检索、定位回放,独创关键技术。通过对RDP帧进行光学字符识别,进行运维内容审计(要求提供界面截图证明) KVM运维审计:支持KVM等带外产品的运维审计。 密码免审计:在对从账号进行输入时,自动模糊化处理密码信息。 内部审计:对自身全部操作进行详细的审计,并可按关键字查询和生成报表。审计结果具备较强的可读性。 日志备份:会话日志手工和定期备份、删除离线日志可审计 外接存储:支持无内置硬盘的ISCSI外接存储。 管理员角划分:对自身管理有角划分,至少有系统管理员、配置管理员、审计管理员、普通用户等多种角。各角功能定位明晰,不可越权,支持按模块进行权限配置 实时监控阻断:系统支持事中告警功能。通过配置设置敏感操作策略,当运维用户操作这类命令,系统提供告警或者阻断,以便审计员能重点关注,告警规则支持多条命令,告警规则正则表达式 远程桌面的单向粘贴板控制 审计结果查询:提供查询界面,供用户查询某一命令或某命令的输出。可组合时间、IP、用户名、受管设备、运维协议等条件进行查询 关键字检索:对图形会话操作中的键盘输入或界面文字进行基于关键字的查询检索 报表功能:提供多角度、可定制的报表机制,可按时间、用户名、受管设备等条件组合生成报表,报表可包含运维次数、时间、大小等 报表格式:报表可导出为PDF、EXCEL、Word |
部署模式 | |||
11. | # | 工作模式 | 物理旁路单臂部署,以逻辑网关方式工作;不改变现有网络结构,不改变运维人员的运维习惯;同时支持串联接入,防止绕行(要求提供界面截图证明) |
12. | # | HA | 支持以Active-Standby方式部署(要求提供界面截图证明) |
13. | # | 总控平台 | 总控系统可对所有的堡垒机设备进行集中管理,总控系统可以实时监控各堡垒机设备的运行状态,总控系统可对堡垒机上发生的管理事件、会话事件、告警事件进行实时或事后审计(要求提供界面截图证明) |
14. | # | 配置同步 | 使用一台堡垒机集中管理配置,该配置自动同步到其他堡垒机,便于大规模快速部署(要求提供界面截图证明) |
15. | 集模式 | 支持集(多A)部署,支持负载均衡,具有很强的可扩展性,方便后期扩容。 | |
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论