运维安全审计（堡垒机）招标技术要求.DOCVIP

运维安全审计(堡垒机)招标技术要求 运维安全审计(堡垒机): 天融信TopSAG TSAG-71214 指标项 规格要求 接口配置 ★默认包含10/100/1000BASE-TX电口和1个扩展槽，最大可扩展到12个千兆电口。 存储空间 ★1T， 授权 ★100个设备授权。 工作模式 物理旁路单臂部署，以逻辑网关方式工作；不改变现有网络结构，不改变运维人员的运维习惯。 分组 ★不限级数的进行分层分级分类管理。（提供截图证明） AD域同步 ★支持从AD域抽取OU，方便快速建立组织结构。（提供截图证明） 组定义类型 支持组定义类型（用户、资源、综合）便于管理和快速查找。 用户管理 完整的用户帐号生命周期管理，实现帐号的创建、维护、修改、删除的集中管理；自定义用户类型，基于针对用户类型进行用户地址策略。 AD域同步 ★主帐号支持从AD域内抽取，方便快速建立主账号。（提供截图证明） 用户导入导出 支持以组节点进行批量导入导出。 用户分组管理 分组可以树形方式展现，不限制分组层级数量。 用户策略 通过配置口令策略，达到指定密码有效期和限制主帐号密码强度的目的。 配置访问锁定策略，达到限制主帐号密码输入错误次数和锁定时间。 配置访问地址策略，达到限制主帐号访问时所在工作站的池 配置访问时间策略达到限制主帐号只能在规定的时间段内进行资源访问。 资源统计 支持柱形图方式查看系统中不同资源所占比例。 资源分组管理 分组可以树形方式展现，不限制分组层级数量。 资源类型 unix资源、网络资源、windows资源、数据库资源、C/S资源、B/S资源、中间件资源、大型机资源。 资源协议 支持SSH、TELNET、FTP、SFTP、VNC、XWINDOW、WINDOWS文件共享等协议。 账号管理 ★支持资源从账号的管理，系统具有各种资源类型驱动器能够将资源上的账号进行自动抽取、推送及属性的变更等。（提供截图证明） 自动改密 支持对unix资源、网络资源、windows资源、数据库资源、中间件资源进行密码变更；密码变更可以根据密码策略的要求进行变更，变更的密码符合密码策略中关于密码强度的要求。 密码拨测计划 ★定期检查平台存储的设备账号密码与设备实际密码是否匹配，以便进校验密码一致性，提高设备的安全性避免密码混乱无法登陆现象发生。（提供截图证明） 账号导出 从账号按时间计划导出账号口令，支持手动下载或指定FTP服务器；导出的账号口令需要输入密码解密 访问端口变更 ★提高设备的安全性，不采用标准的协议端口，平台支持FTP、telnet、ssh、远程桌面等协议服务端口变更。（提供截图证明） 角色管理 ★支持自定义角色。角色可按照组节点进行定义，从而实现分层分级管理模式。角色权限细粒度高，可自由组合。（提供截图证明） 岗位授权 ★资源授权模式基于岗位授权，岗位上绑定资源账号，这样授权可迁移、授权粒度更细；并可针对岗位设置相关安全策略。（提供截图证明） 收藏夹功能 ★运维人员可将经常访问的资源添加到收藏夹。（提供截图证明） 批量单点登录 ★支持批量单点登录资源，简化工作量。（提供截图证明） 身份切换代填 支持网络设备enable和unix主机su等身份切换的单点登录功能。 Zmodem协议访问 运行rz，sz等命令，从而可以非常便捷快速的进行两个系统的文件交换。 自动代填 访问授权资源时不必再输入从帐号和密码 身份认证 ★自身提供证书认证服务，也可与第三方CA、动态令牌、生物识别、短信认证等方式进行结合。支持组合认证，提高访问的安全性。（提供截图证明） RADIUS和TACACS+ ★平台在网络设备的认证协议上不仅支持RADIUS和TACACS+协议，而且产品系统自身可以作为Radius和TACACS服务器。（提供截图证明） 访问时间策略 可以配置成可访问时间段方式，也可以配置成不可访问时间段方式。配置时间段时可以配置日期和小时。 地址策略 支持配置成可访问IP段方式，也支持配置成不可访问IP段方式。IP段由IP和掩码构成。 RDP策略 ★上下行剪切板控制、共享磁盘控制、控制台登录控制。（提供截图证明） 字符命令 支持命令操作的黑白名单设置，命令权限控制规则应支持正则表达式，并可以对命令的参数进行限制并记录日志 FTP 支持常用命令列表，方便用户指定FTP命令策略。 口令策略 可以配置口令长度，是否包含字母及字母的长度，是否包含数字及数字的长度，是否包含符号及符号的长度，口令时效性。口令策略还可以配置禁止包含的关键字。 锁定策略 可以配置访问失败几次锁定，也可以配置锁定后多长时间解锁。 审计策略 根据不同设备审计安全需求，客户自定义审计范围，字符（命令、内容、录像）、图形（录像