盐都法院2016政法专款网络设备配置要求.docVIP

盐都法院2016政法专款网络设备配置要求 堡垒机 系统架构 产品架构：软硬件一体化产品；采用标准机架式硬件。部署方式：旁路代理模式，不影响正常业务流量。管理结构：B/S架构，采用HTTPS方式远程安全管理，无需安装客户端。网络接口：6个100/1000M自适应以太网口。数据存储：系统自带内部存储，存储空间≥500GB。（2U设备1T） 支持协议 字符型远程操作协议：SSH、TELNET；图形化远程操作协议：RDP、VNC、X11；文件传输协议：FTP、SFTP；数据库远程操作协议：支持ORACLE、MSSQL、Mysql等数据库远程访问协议审计；支持通过应用发布中心系统扩展支持其他访问协议，如Radmin、HTTP/HTTPS等；允许用户快速自定第三方应用类型，如行业软件等；字符终端支持各种交换机、UNIX、Linux，无需进行二次开发。 自身安全性 产品自身不允许开放高危服务端口，如Telnet(23)；系统自身应不存在中级和高危级别的漏洞；支持采用web数字证书认证方式限制客户端登录,无合法证书的客户端无法访问系统登录界面； 对象管理要求 支持添加、删除、锁定、冻结、废除用户；支持用户分组功能；支持临时账户功能，临时账户有效期过后自动进行锁定；支持添加、删除主机对象；支持对象分组功能；支持目标对象访问协议管理功能，管理员可更改访问协议的默认端口；支持目标对象帐号管理功能，可灵活添加多个访问帐号；认证方式至少支持本地密码认证、RADIUS认证、AD域认证；支持“审计系统帐号”与“服务器帐号”相关联，实现操作者的自然人身份确认；支持对windows、Unix、Linux、Cisco网络设备的系统帐号进行自动改密；管理员可自动以自动改密计划，设定计划名、开始时间、执行周期（多长时间更改一次）；支持对自动改密的密码强度进行设定，包括:长度、字符要求、特定前缀等内容；具备完备的自动改密日志；支持邮件自动发送改密结果；针对用户的不同部门，让每一个部门能够独立管理自身资源，但无法管理其他部门资源。 三权分立式管理 默认管理员、审计员和运维人员权限分离，即除了超级管理员，普通管理员仅能管理资源、修改堡垒机的配置而无法进行审计，也无法对托管资源进行操作；审计人员仅能查看审计记录，包括托管资源的操作记录，修改堡垒机配置的操作记录，但无法修改堡垒机的配置，无法管理托管资源，也无法对托管资源进行操作；运维人员仅能对已经赋权的资源进行操作，但无法实行管理员和审计员的操作 服务器访问操作功能 Web访问方式: 支持web调用本地客户端方式访问远程服务器，并可以定制SecureCRT、PUTTY、WinScp、FlashFXP的程序路径。；WEB方式至少支持RDP、SSH、TELNET、FTP、Oracle、Mysql、MSSQL等访问方式；客户端菜单模式访问：支持通过常用客户端软件，如MSTSC、SecureCRT、PUTTY等，用户可通过字符菜单或图形菜单选择方式选择目标服务器并进行访问；菜单模式下，退出当前维护会话后返回菜单资源选择界面，方便管理员进行下一服务器的选择操作；菜单方式访问至少支持RDP、VNC、X11、SSH、Telnet、FTP等协议；支持不在服务器列表中的RDP快捷登陆。 通过页面上传运维人员事先写好的脚本，一次性完成对远程运维主机进行批量的操作。 访问授权及控制功能要求 支持限制用户的允许登录时间、登录时间有效期；支持限制用户的登录IP，IP限制可添加多个IP或网段；支持按用户限制RDP会话CONSOLE登录；支持按用户开启/关闭RDP会话中的剪贴板功能；支持按用户开启/关闭RDP会话中的磁盘映射功能；支持按用户开启/关闭SSH会话中的SCP功能；支持SSO功能，运维人员无须目标服务器帐号密码即可进行访问；支持按对象主机、主机帐号、运维账号、访问方式等条件进行组合授权；支持设定会话连接单位时间内空闲无操作，连接自动断开；支持运维用户多次登录失败自动锁定账号功能；在运维管理审计系统管理界面中设定某用户仅能管理的某一应用，使用应用托管中心时，仅能看见该应用的窗口，而无法看见其他图标；使用应用托管中心时，需关闭某些应用中的图形界面功能，如对于imysqlfront,禁止保存会话，禁止新开mysql会话等。支持对违规事件进行告警及自动阻断；支持对违规操作的指令进行忽略处理；支持以屏幕、邮件等方式实时发送告警信息。 审计功能 支持对操作过程进行同步监控功能，审计员可通过管理界面实时查看运维人员进行的操作，并可手工中断操作会话；支持Vi、smit、setup、dbacc等图形或菜单操作进行全程同步监控；支持主动监控，每当产生回话时，均能在管理软件上自动弹出监控界面，无需人工干预，且产生危险操作后，能够进行警报。