146下像.1從《系我矢安》下拉架?選界登錄到營理系統(tǒng)讀#r認證管理系筑.2.從《認/美型〉卜拉臬單選擇青受員認*方式,〈僧態(tài)密碼"《認證金牌".(RADIUS).3.■人用戶Nadmin.venusca?4輸入*注碼.5點山【登術】按初迸入數(shù)據(jù)中心的管理主頁.此時用戶可以根據(jù)不火迸行其他配置.6.3基本配?在內(nèi)大班網(wǎng)搞安全卓計系統(tǒng)通行配置前.用戶百先W復明■系統(tǒng)的功費及分送的部*斤K.然后根捉設善所姓的位RL網(wǎng)絡管理的育求及網(wǎng)絡安全怪總計要求進行合理的拓撲設計.正?的系統(tǒng)配置?些A配置可能設計以F方囪��,?配置管異口滬地址.?配置系統(tǒng)路由.?配置數(shù)據(jù)中心地址??初始化匕薪中心..初始化引掌.有關天網(wǎng)網(wǎng)絡安全審計系統(tǒng)使用的坤韁介的.清參見《天訓網(wǎng)絡安全審計系統(tǒng)用戶f冊).
1475軟件維護大陰間絡安全審計系統(tǒng)的胃及義件主要有域三類���,版本軟件包.冷斯侑g.?Brlft.料件施護也是ft對這三類文件,包拈般木軟件包的升級��、㈢題反慎.注撕I:具更新?S工版本軟件開皴大訓同俗安全審計系統(tǒng)的數(shù)據(jù)中心和川季均具普系統(tǒng)開繚功能.Hf?廠家的貨供的開級包(升微包后綴片一般為bin)?4ilwebT?.可以進行系統(tǒng)升級.進人系統(tǒng)?理>累?險護》升AKilffi.M圖生1所小.B1-7-升?(■升CR包選杼需要的升標包.如果要外線數(shù)據(jù)中心?則選抒升級包府.直接點曲【升堀】就可以開9?如果■開袋男拿.購先選界開接包.然后點擊【提交到故樹中心】.及后在引擎列去中點擊具體引擎后面的【開級】命令,進行開鍛?開修歷史:可以小有之前的開級信息和升級時間.?14ff
1481.如嚶要升爆整體系統(tǒng).畸先升級引攀.再開韁數(shù)劇中心.提示.‘����、?2升線數(shù)提中心余小政之前配置的筮略.規(guī)則集、設財��、服務丟失,請升級時先梅這些項導出.開G皓束后再更新配置.£2問鹿反饋天陰網(wǎng)絡安全審計系情提供完善的侑后?務���,幅助用戶*決系統(tǒng)問題,關注用戶反情信息.用戶可以通過問也反德模境將遇到的嘉皎問履.公見及建以發(fā)送給折定的收件人.為f方便廠求援取更詳細的淮斷信息.可以更新自項工具.進入H統(tǒng)管理,泰統(tǒng)?護?日?反俄頁面?填0反0信息.如圖爭2所小.BK同■收件人:收件人如相地址.多個地址之閭要用過號分開.抄送:?件眇送地址.多個地址之間要用俎號分開.標■:?件M4B.暢明天要的說明產(chǎn)曲WR號、幡東等信息.初■■述本次反情的何趨描述.描述信息要“敢伴加明編?方便何題的分析?15fl
149解決.或4人用戶聯(lián)系人姓名.聯(lián)泰胞址用戶我系人地址.聯(lián)系電話用戶聯(lián)系人電話?用件:附加設得配置���。運行信息.勾通后系統(tǒng)可以H動將運行信息附加到?件中.^幫助用戶和廠友更為迅速的分析鮮次H忌.打擊【提文].發(fā)送何H反情■件.如果系統(tǒng)小健是接到?件*務立進打*件發(fā)送.也可以點擊【分出】將問題反健侑息導出或文件.然后手動國件發(fā)送.5.3更新診斷工具進入H統(tǒng)管?>事統(tǒng)險護>且?反饋頁面.然后打擊<更新修修工具》?如圖冬3所示.■?第澤斷工具幼掘中心工中8|1懶…II.fi?A引掌工具乜*次.?二],3??中G型攀IPtflitt版本1#行_1281192.168.11.128V6.0R..fifi開門12����。192SB11129eV6.0R...a1<?HMTA工具包選抨需要替換的工具包-如梁要更與i!UK中心的修女1:R,Milffr具包后.直接點擊【S入】就可以史新?如果要史新引學的診■工具.則先送理r具包.健后點擊【慌交到敬榭中心*般行在引整列表中點擊具體引霍日面的K升級】命令.MtrC*.
1506常見問題處理6.1口令襄失情況下的處理如果管理員不慎將n�����。丟失,可以先再系統(tǒng)的配置”出缶份�,選喬<恢且出廠配置(保留歷史故需P>,將用戶名為admc的密碼初始為venusca?儂復出廠設置扃丙格配置康新號入即可恢復正禽?62電源系統(tǒng)故障電源系統(tǒng)正常運行時.電費指示燈應該保掙綠色啟亮,電源指示燈不亮或閃亮時,請進打如卜檢?設備電柬開關是否打開??設備供電電源開關是否打開.?設魯電源線是否連接正磷.?設谷供電電海勺所要求的電源是否匹出?63配■系按故防大明網(wǎng)絡安全審計系統(tǒng)上電后.如果系統(tǒng)運打正常,將在配置拄編呈示后動信£:如架配置系統(tǒng)出現(xiàn)故修�����,配置終端可能無呈小或者9小亂碼.<11聚配置終螭無顯示侑息時.請做ki下修杳��,?電源系統(tǒng)是否正常.?配置串門(CONSOLE)電更是否正確旌接.?終前配置號故是杳正■?加果配置終41顯示亂碼信息時.請?認終?的參數(shù)配置:波特室為9600.數(shù)據(jù)位為也奇偶校驗為無.停止位為1,流量控制為無?愀果與故設置與上不符.?17X
151請殖新配置.典型部署為「適應不同英平的用戶的網(wǎng)絡環(huán)境.大朗系統(tǒng)部若分為兩靜類M:散燃中心,再掌宜接連接�����、數(shù)鬣中心與用學通過網(wǎng)絡煌按.如火號4觸3U331圖7?1?圖7?2分別髭許打引擎的角特掰絡部署的小意圖�����,O1B1U國7?1”中?和/拿U
152圖7?2敷II中心和引拿通過網(wǎng)絡建接圖7-3是串行引擎的網(wǎng)絡部署的示意圖:第19頁
153圖77?■中心■?行則拿宣較逢抵不同的瓢胃方式接線方法有所不同?宣建方式梅則拿的營理11直接連接數(shù)賽中心的日���,門.出”取也皿加U皿必ILL口的用擎的青耳口聞i.二者同?一個,內(nèi)即可.然后配曾依據(jù)中心我再口的肥皿&由.web功制通過管理門來實現(xiàn).此時需要帶管理門旌接到通信網(wǎng)絡.網(wǎng)絡電I方式將散燃中心的口志口以及引簟的音異口連接到網(wǎng)絡.通過超然終端為芮個場信11配置IP和路由.使一片能通信敢勸即可.S20貝1.3硬件參數(shù)指標滿足情況的詳細說明序設備名稱技術參數(shù)滿足情況
154號1安全網(wǎng)關★(2U上架設備�,1個10/100Base-Tx帶外管理口�,12個千兆Combo接口(每個Combo口為一對互斥的千兆口一即1個千兆電口和1個千兆SFP插槽(不含SFP模塊)),內(nèi)嵌VPN硬件加速�����,雙電源����,含嵌入式軟件)一臺,千兆檢測引擎軟件一套����,管理與數(shù)據(jù)分析中心軟件一套�。滿足2堡壘機★1U機架式軟硬一體設備��,專用硬件平臺和安全操作系統(tǒng)��,6個千兆電口���,1個console管理口,硬盤容量1TB,單電源��。實現(xiàn)對運維操作(telnet/ssh/ftp/sftp/RDP/VNC/X11)的集中管理�����、訪問控制�、單點登錄以及操作審計等功能。支持300路字符會話或100路圖形會話并發(fā)�。滿足3入侵檢測系統(tǒng)★(1U上架設備,1個RJ-45Console口��,1個10/100Base-Tx帶外管理口��,5110/100/1000Base-T接口���,2個SFP接口(不含SFP光模塊)���,2個USB口�����,冗余電源����,含嵌入式軟件)一臺���,控制中心軟件一套�����,含1個監(jiān)聽口授權(quán)�����,含第一年的特征庫升級授權(quán)��。滿足4業(yè)務網(wǎng)審計引擎旁路部署���,(千兆引擎、1U上架專用設備���、2千兆電口監(jiān)聽���、4個SFP千兆插槽���、1個千兆管理口、雙電源���,含嵌入式軟件)一臺����,最大支持4個監(jiān)聽口�����、需配置相應授權(quán)及SFP模塊支持電口或光口�����;千兆審計引擎軟件一套;支持Oracle���、SQLServer、網(wǎng)絡鄰居��、Telnet,FTP、HTTP等協(xié)議的在線審計�。需搭配審計數(shù)據(jù)中心使用�����,質(zhì)保期內(nèi)(自硬件產(chǎn)品發(fā)貨之日起�����,為期15個月)免費維修。(千百兆引擎的審計數(shù)據(jù)中心����、2U上架專用設備�����、支持4個審計引擎�����、1個1000M電口管理口、1個1000M電口數(shù)據(jù)口���、數(shù)據(jù)存儲量2T���、支持RAID5、雙電源�、含嵌入式軟件)一臺���。審計數(shù)據(jù)中心軟件一套����,含20個被審計DB服務數(shù)���。滿足1.3軟件功能滿足情況的詳細說明序號設備名稱技術參數(shù)滿足情況1終端安全管理終端管理,內(nèi)網(wǎng)安全風險管理與審計系統(tǒng)增強身份認證高級版滿足2等保測評第一年二級等保測評服務滿足
1552廠商售后服務保障和執(zhí)行能力2.1服務組織架構(gòu)2.1.1組織架構(gòu)XX公司通過多年的項目經(jīng)驗����,積累了一套完整的服務組織結(jié)構(gòu),詳細的服務流程框架��,全面的服務項目,深厚的服務經(jīng)驗和一個優(yōu)秀的售后服務團隊�,這些都是為改造集成項目提供優(yōu)質(zhì)服務的有力保障。XX公司總部位于北京����,在上海設有子公司,在深圳���、重慶�����、沈陽�����、武漢�����、成都��、西安設有分公司�����,在廣州��、南京�、杭州、濟南�����、鄭州�、長沙、福州����、昆明、南寧����、長春和哈爾濱等地設有辦事處和技術支持中心。2.1.2服務響應時限(1)我公司將提供7*24小時的及時響應技術支持與售后服務���,30分鐘內(nèi)做出響應����;(2)2個小時內(nèi)(二級單位24小時內(nèi))到達故障現(xiàn)場�,確定維修方案;(3)如果無法修復設備故障��,我公司將提供和原機/件相同或經(jīng)采購人認可的相近檔次備機/件���,確保系統(tǒng)正常運�。2.1.3服務團隊建設項目實施及后期的維護過程將非常復雜����,技術協(xié)調(diào)、協(xié)作面廣�����,項目集成難度較大�����,對專業(yè)知識要求很高�����。為了充分保障項目的順利實施及后期持續(xù)正常運轉(zhuǎn)�����,我公司充分與各主要設備廠商協(xié)商,將xx在長沙全國的公司/分公司/辦事處/總代理公司等共同納入到本次項目的技術支持及售后服務團隊��。
1562.1服務原則XX售后技術支持與服務將堅決遵循以下原則:2.1.1以處理故障�����,保障系統(tǒng)暢通為第一原則本著“用戶至上,用心服務”的一貫宗旨,我公司將盡最大努力在最短時間內(nèi)解決故障���。2.1.2快速響應原則XX的技術支持服務將以本地化的��、快速的現(xiàn)場響應為原則�����,當出現(xiàn)故障時���,用戶可以直接撥打XX免費客戶服務熱線進行故障申告,XX用戶故障申告立即作出響應�,啟動售后服務程序,并遠程或現(xiàn)場處理故障。如設備系統(tǒng)不能恢復����,XX將及時提供備品備件替換設備�,保證恢復系統(tǒng)正常使用���。2.1.3備件先行原則XX建有設備備件庫����,根據(jù)此次項目��,按照設備的數(shù)量�����,提前儲備一定量的設備備品備件����,為客戶提供備件服務。當設備出現(xiàn)故障時��,XX將提供快速的備件更換服務���,保障在最短時間內(nèi)恢復正常工作���;同時充分調(diào)動并協(xié)調(diào)廠商的備件資源����,為客戶提供快速的備件更換服務��。2.1.4一站式支持服務原則XX提供一站式受理服務���,為客戶提供服務熱線����,并提供7X24技術支持服務����。2.1.5“用戶至上、用心服務”原則xx將遵循〃用戶至上�、用心服務”的原則,時刻把客戶滿意放在首位��。在做好本職支持工作的同時��,服從客戶的統(tǒng)一安排和調(diào)度,協(xié)助客戶做好其他方面
157XX力所能及的工作���。2.1.1中心調(diào)度�����、個點隨動的維護XX擁有本地化的技術支持隊伍,擁有覆蓋全省的本地化服務組織機構(gòu)��,能提供迅速快捷的維護支持服務�����,隨時能夠進行技術支持�。實現(xiàn)中心集中協(xié)調(diào)指揮,各地服務機構(gòu)隨時提供維護支持的快速聯(lián)動服務工作。2.2服務流程售后服務流程圖如下所示:
158設備/系統(tǒng)出現(xiàn)故障用戶通過免費服務熱線969966��、本地技術支持服務熱線�、EMAIL支持進行故障申告。立即響應客戶報障�����;啟動故障處理程序�����,記錄故障現(xiàn)象、制定初步解決方案(遠程或現(xiàn)場)���。軟件故障VA硬件故障創(chuàng)立公司相應支持工程師自身或在廠商TAC的指導下獲得省級軟件或修改軟件配置���。(遠程或現(xiàn)場)從公司或原廠商取得備品備件后,按規(guī)定時間送到現(xiàn)場���,提交解決方案并按方案進行更換處理��。協(xié)同客戶工程師在規(guī)定的時間內(nèi)排除故障��。工程師填寫《故障處理報告》���,客戶進行確認并給出服務評價。每月將維護情況統(tǒng)計上報公司維護部經(jīng)理和客戶主管每季度出具書面《季度報告》每年度出具書面《年度總結(jié)報告》注:電話支持或遠程支持需要進行相應的記錄�,記錄包括故障情況、處理過程����、處理結(jié)果等內(nèi)容。2.1服務內(nèi)容在本項目中����,當進入售后服務階段時��,XX所提供的技術支持與售后服務內(nèi)容包括以下幾個方面:2.1.1安裝服務
159XX將免費提供軟硬件的安裝�、配置���。包括下列安裝調(diào)試內(nèi)容:?軟硬件的安裝?系統(tǒng)初始化配置?系統(tǒng)的單元測試?整體系統(tǒng)的集成測試?系統(tǒng)性能評估��、優(yōu)化?系統(tǒng)設備個性化的調(diào)整?硬件設備的安裝及使用的現(xiàn)場指導?系統(tǒng)軟件的安裝及使用的現(xiàn)場指導?系統(tǒng)故障排除?故障設備的更換?技術咨詢?技術資料?設備技術說明書?維護說明書?我公司技術支持服務完成后����,將為用戶提供兩套完整的技術資料及文檔,一套紙介質(zhì)技術文件�,一套電子介質(zhì)技術文件����。?等….2.1.1故障修復服務XX將提供質(zhì)保期內(nèi)免費軟硬件的調(diào)試。在系統(tǒng)維護質(zhì)保期內(nèi)�,若設備或系統(tǒng)出現(xiàn)問題、故障��,XX免費通過電話遠程或現(xiàn)場維修服務等方式進行故障修復�����、更換軟硬件。保證在承諾的時間內(nèi)���,按約定的服務等級及時限進行相應的故障處理��。2.1.2軟件升級服務系統(tǒng)設備使用期間��,XX將采取預防式補丁和響應式補丁服務相結(jié)合的方式��。2.1.2.1預防式補丁服務XX在已知系統(tǒng)設備可能導致潛在問題的情況下����,通過配置管理或巡檢等方
160式對用戶系統(tǒng)設備進行增補軟件分析并提出版本升級建議�����。由用戶進行相關業(yè)務���、客戶影響分析后確認進行��。2.1.1.1響應式補丁服務當設備出現(xiàn)故障后�����,XX及用戶工程師共同對故障進行分析����,若確認是軟件缺陷所導致的故障,XX將提供針對該軟件缺陷的軟件補丁程序���。2.1.1.2軟件補丁服務及管理系統(tǒng)設備運行過程中��,如發(fā)生軟件或設備升級����、擴展等情況��,我們將為本項目提供質(zhì)保期內(nèi)的軟件升級與維護服務����。升級前�,我公司將向用戶提供詳細的說明文檔及源代碼,實現(xiàn)用戶的實際需求���。配置專職的維護人員����,及時向用戶通報系統(tǒng)軟件升級情況���,提供升級版本和相應的支持服務��。系統(tǒng)軟件升級過程中將遵循以下原則:1)XX技術支持工程師在設備維護及設備巡檢過程中發(fā)現(xiàn)軟件存在故障隱患時����,經(jīng)用戶同意,我公司將提供軟件補丁程序����。2)xx保證提供的升級版本和軟件補丁的合法性。3)xx現(xiàn)場進行版本升級和補丁輸入的技術支持工程師均持有相關的資格證書��。4)xx輸入補丁將嚴格按照用戶的工程割接流程和規(guī)范進行��。5)在輸入補丁過程前�,xx將協(xié)助用戶制定應急方案,盡量減少設備中斷時間��,確保系統(tǒng)的安全性�。6)在輸入補丁過程后,xx工程師將協(xié)助用戶對設備和系統(tǒng)進行嚴格測試���,測試通過后�,xx技術支持工程師經(jīng)用戶認可后方離開現(xiàn)場��。2.4.4系統(tǒng)巡檢服務XX在系統(tǒng)設備質(zhì)保期內(nèi),為用戶提供定期的現(xiàn)場巡檢服務�,以及時排查設備運行中出現(xiàn)的隱患,減少設備發(fā)生故障的概率�����,保證設備高效���、持續(xù)��、穩(wěn)定運行�����。設備巡檢采取季檢的方式��。XX將對所提供的中心設備及外場設備進行每季度不低于一次的全面檢查��。
1612.4.4重要事件保障服務系統(tǒng)設備質(zhì)保期內(nèi),XX將為用戶制定重大事件保障服務方案���,在重要事件(如汛期�����、重大節(jié)假日���、國家軍事��、政治活動期間)發(fā)生時���,將應用戶的需要,委派專人提供現(xiàn)場技術支持服務��。2.4.5應急恢復方案設計與預演服務為保障系統(tǒng)設備運行期間突發(fā)故障或意外災難能短時間內(nèi)快速恢復���,降低損失���,XX將為用戶制定應急恢復預案。同時在每季度巡檢時做針對性的預防演練服務����。2.4.6輔助故障定位當故障涉及關聯(lián)多方設備,用戶無法做出準備判斷的情況下�����,XX的技術人員將提供7X24小時技術支持���,輔助用戶進行故障定位�����。2.4.75培訓計劃2.5.1概述xx憑借在安全行業(yè)積累的多年經(jīng)驗����,培養(yǎng)了一批具有網(wǎng)絡安全知識和經(jīng)驗的資深人員,組成了責任心強的培訓隊伍�。通過對湖南廣播電視臺全媒體融合平臺的培訓I,使湖南廣播電視臺全媒體融合平臺技術人員的安全意識��、安全管理能力��、安全基礎知識得到提高���,使湖南廣播電視臺全媒體融合平臺技術人員對本次項目的系統(tǒng)和設備從原理�、配置���、操作使用與維護等方面有一個透徹地了解�,以便更好地進行湖南廣播電視臺全媒體融合平臺安全項目的工程實施���、系統(tǒng)運行和維護����,從而更好地做好湖南廣播電視臺全媒體融合平臺的安全保密工作����。2.5.1.1培訓目標?提高湖南廣播電視臺全媒體融合平臺的所有參加培訓的人員安全意識和安全管理能力;
162?使湖南廣播電視臺全媒體融合平臺參加培訓的技術人員了解目前的安全面臨的威脅和常見的攻擊手段�;?使得參加培訓的技術人員掌握安全網(wǎng)關技術、入侵檢測技術���、網(wǎng)絡安全審計技術�����、運維管理技術�、終端安全管理等相關技術����;?使參加培訓的技術人員了解安全網(wǎng)關系統(tǒng)、入侵檢測系統(tǒng)���、網(wǎng)絡安全審計系統(tǒng)���、運維管理系統(tǒng)��、終端安全管理系統(tǒng)等產(chǎn)品的日常使用管理維護����、故障排除����、產(chǎn)品升級。2.5.1.1培訓分類XX為湖南廣播電視臺全媒體融合平臺提供的培訓是涵蓋在整個改造集成項目過程中的�����,包括施工現(xiàn)場培訓和集中課程培訓����。施工現(xiàn)場培訓是在項目施工過程中進行的培訓,目的是給湖南廣播電視臺全媒體融合平臺網(wǎng)絡技術人員培訓產(chǎn)品的原理�����、功能��、性能���,通過培訓讓有關技術人員了解相關產(chǎn)品知識�,更好地與施工工程師共同制定合理的安全策略���。集中課程培訓通過對不同角色的定制培訓���,讓系統(tǒng)、網(wǎng)絡�、安全管理人員集中掌握相關安全知識和產(chǎn)品的詳細功能,讓普通員工了解自己的安全職責����,熟悉相關的安全管理制度和安全操作規(guī)程。2.5.2現(xiàn)場培訓工程實施培訓由XX公司的工程實施工程師承擔���,對參與項目的湖南廣播電視臺全媒體融合平臺相關工程師進行相應產(chǎn)品的培訓I,并解答參與工程師的所提問題���。2.5.2.1培訓人員實施現(xiàn)場培訓主要針對參加施工的技術人員,目的是增加技術人員對即將部署的產(chǎn)品的了解����,讓這些技術人員知曉他們在準備、安裝和配置這些設備的過程中應該注意的事項����。2.5.2.2培訓人數(shù)培訓人數(shù):雙方協(xié)商�����。2.5.2.3培訓時間
163培訓時間為施工前的準備期和施工過程中���。2.5.1.1培訓地點培訓地點為施工現(xiàn)場。2.5.1.2培訓教師培訓的講師是來自設備原廠商公司的項目實施工程師�。2.5.1.3培訓方式由XX公司的工程實施工程師,對湖南廣播電視臺全媒體融合平臺項目的相關參與工程師進行相應產(chǎn)品的簡單培訓����,并解答參與工程師的所提問題。2.5.1.4培訓內(nèi)容培訓內(nèi)容包括即將部署的安全網(wǎng)關系統(tǒng)�、入侵檢測系統(tǒng)、網(wǎng)絡安全審計系統(tǒng)�����、運維管理系統(tǒng)���、終端安全管理系統(tǒng)等以下方面:產(chǎn)品部署�、基本原理��、注意事項、功能演示���、測試��、調(diào)試���、故障排除����。2.5.2集中培訓2.5.2.1培訓目的普及安全技術,提高安全意識����;理解和掌握安全網(wǎng)關技術、入侵檢測技術��、網(wǎng)絡安全審計技術�����、運維管理技術��、終端安全管理技術等相關技術及使用技巧��。2.5.2.2培訓人員中級培訓主要針對湖南廣播電視臺全媒體融合平臺的技術人員,目的是增加技術人員對安
164全網(wǎng)關技術��、入侵檢測技術�、網(wǎng)絡安全審計技術、運維管理技術�����、終端安全管理技術的了解�,使他們熟悉和了解產(chǎn)品的功能、性能�、日常的維護和管理等。2.5.1.1培訓人數(shù)培訓人數(shù):雙方協(xié)商�����。2.5.1.2培訓時間培訓時間項目實施后��,根據(jù)湖南廣播電視臺全媒體融合平臺信通處協(xié)商時間安排確定��。2.5.1.3培訓地點培訓地點需雙方協(xié)商確認��。2.5.1.4培訓教師培訓的講師是來自XX公司的培訓講師以及XX的培訓講師����。2.5.1.5培訓方式由XX公司的培訓講師和設備廠商的培訓講師���,對湖南廣播電視臺全媒體融合平臺項目的相關參與技術人員進行相應安全網(wǎng)關技術、入侵檢測技術�、網(wǎng)絡安全審計技術、運維管理技術���、終端安全管理技術的講解�����,并結(jié)合此次項目采購的產(chǎn)品進行產(chǎn)品功能的介紹或者演示。2.5.1.6培訓內(nèi)容(地點由省公安廳指定或雙方協(xié)商)培訓課程內(nèi)容人數(shù)天數(shù)培訓方式
165安全網(wǎng)關安全網(wǎng)關技術原理安全網(wǎng)關系統(tǒng)結(jié)構(gòu)安全網(wǎng)關功能和特性安全網(wǎng)關部署案例安全網(wǎng)關系統(tǒng)安裝配置安全網(wǎng)關系統(tǒng)日常維護安全網(wǎng)關系統(tǒng)常見問題處理待定1入侵檢測入侵檢測的基本概念與分類入侵檢測技術原理入侵檢測系統(tǒng)結(jié)構(gòu)入侵檢測系統(tǒng)功能和特性入侵檢測部署案例入侵檢測系統(tǒng)安裝配置入侵檢測系統(tǒng)日常維護入侵檢測系統(tǒng)常見問題處理入侵檢測升級方式待定1課堂講授終端安全管理終端安全管理技術介紹終端安全管理原理終端安全管理安裝配置終端安全管理日志管理與日常維護終端安全管理應急處理方案待定1課堂講授網(wǎng)絡安全審計網(wǎng)絡安全審計技術原理網(wǎng)絡安全審計系統(tǒng)結(jié)構(gòu)網(wǎng)絡安全審計功能和特性網(wǎng)絡安全審計部署案例待定1課堂講授
166網(wǎng)絡安全審計系統(tǒng)安裝配置網(wǎng)絡安全審計系統(tǒng)日常維護網(wǎng)絡安全審計系統(tǒng)常見問題處理運維管理系統(tǒng)運維管理系統(tǒng)技術原理運維管理系統(tǒng)結(jié)構(gòu)運維管理系統(tǒng)功能運維管理系統(tǒng)部署運維管理系統(tǒng)安裝配置運維管理系統(tǒng)日常維護待定1課堂講授考試待定2合計待定72.5.1培訓反饋表每天培訓前����,參加培訓人員應提前到培訓地點,并簽到����,簽到表將成為學員的考勤記錄。每次培訓完成后����,參加培訓人員應按附件一格式認真填寫培訓反饋表。培訓部會將簽到表����、培訓反饋表��、學員考試成績匯總�����,提交給湖南廣播電視臺全媒體融合平臺����,作為培訓的驗收依據(jù)�����。培訓課程設置是否合理��?“很合理0還可以*一般*不合理如不合理�����,建議:講解方式是否得當�?"艮好"還可以"一般"很不得當如不得當,建議:對輔導是否滿意�?“很滿意/還可以“一般“不滿意其它建議:對上機的環(huán)境是否滿意?“很滿意△還可以&一般“不滿意如不滿意,希望:是否有其它建議��?如每期的人數(shù),培訓的學時����,培訓的新的教學方式等等⑹
167考試“很滿意口還可以“一般*不滿意對考試環(huán)境是否滿意?如不滿意�,建議:“很簡單△還可以吁般*很難試題難易程度建議難度加深或降低:對本次培訓的組織“很滿意“還可以“一般&不滿意對本次培訓的組織方式如不滿意,建議:“很滿意���。還可以吁般“不滿意對日常服務是否滿意如不滿意����,建議:總體評價建議和希望2.6質(zhì)保期2.6.1設備質(zhì)保年限本協(xié)議采購的設備(限于下表所列)質(zhì)保期如下��,自承包方設備到貨驗收完成之日起算��;質(zhì)保內(nèi)容按相關廠商的標準條款執(zhí)行���。承包方對質(zhì)保期內(nèi)的產(chǎn)品提供售后服務。設備名稱設備型號質(zhì)保年限安全網(wǎng)關USG-FW-3600D-M2年7*24小時服務堡壘機OSM-33002年7*24小時服務入侵檢測NT3000-LT-BRP2年7*24小時服務業(yè)務網(wǎng)審計引擎弓1擎:CA2000ER-M數(shù)據(jù)中心:CA2000SR-M2年7*24小時服務
1681.6.2軟件技術服務本協(xié)議涉及的軟件技術產(chǎn)品(限于下表所列)技術服務期如下�����;技術服務內(nèi)容按相關廠商的標準條款執(zhí)行����。軟件產(chǎn)品名稱說明技術服務年限終端安全管理80點2年7*24小時服務1.6.3保修期外的服務在產(chǎn)品質(zhì)保期內(nèi)��,XX公司免費提供上述各項服務內(nèi)容�。質(zhì)保期滿后���,XX公司同樣提供上述各項服務內(nèi)容�����,我公司承諾:只收取維修所必須的軟硬件成本費用�����,對設備維護費按設備目錄價的2機2.7備品備件在本項目中�,涉及的設備種類和數(shù)量較多�,我們?yōu)楹蠌V播電視臺設計了切實可行的備品備件方案。XXXXXXX有限公司與設備生產(chǎn)廠商將共同保證系統(tǒng)所用設備在維修期間有充足的替換設備�。2.1.1備品備件配置本項目中主要設備的生產(chǎn)廠商xx在國內(nèi)各主要城市均設有備品備件庫,能夠為湖南廣播電視臺提供充足�����、方便、快捷的備品備件供應�,無需客戶單位再單獨購買備品備件。針對湖南廣播電視臺全媒體融合生產(chǎn)平臺二期安全設備項目�,XX在長沙備件中心常備設備總量5%的常用備件,保障第一時間處理系統(tǒng)故障���,保證系統(tǒng)的正常運行�����。XX公司為湖南廣播電視臺提供的全部備品備件均可方便的安裝和搬運�����,無需客戶單位購買或準備特殊的安裝和搬運工具����。
1692.1.1備品備件供應流程在出現(xiàn)設備故障時���,客戶服務中心技術人員會首先查詢公司庫存?zhèn)浼绻麄浼烊鄙俦九浼?�,將與設備廠商聯(lián)系取得備件����,并派出技術人員到達客戶單位故障現(xiàn)場進行更換�����。3二級等保測評方案3.1需求分析(1)建立完善的訪問控制體系�����,制定完善的訪問控制策略�,細粒度為端口級��、單個用戶�。⑵建立完善的審計、監(jiān)控體系����。(3)建立完善的邊界防御體系。(4)建立完善的計算機病毒�、惡意代碼防護體系。⑸建立完善的運維管理體系��。3.2設計原則本方案將主要遵循統(tǒng)一規(guī)劃���、分步實施�����、立足現(xiàn)狀����、節(jié)省投資�、科學規(guī)范、嚴格管理的原則進行安全體系的整體設計和實施,并充分考慮到先進性���、現(xiàn)實性���、持續(xù)性和可擴展性。具體體現(xiàn)為:(1)等級標準性原則本方案從設計到產(chǎn)品選型都遵循信息系統(tǒng)安全等級保護——第二級要求��。⑵需求����、風險、代價平衡的原則對任一網(wǎng)絡��,絕對安全難以達到���,也不一定是必要的����。應對一個網(wǎng)絡進行實際分析(包括任務���、性能��、結(jié)構(gòu)����、可靠性��、可用性�����、可維護性等)���,并對網(wǎng)絡面臨的威脅及可能承擔的風險進行定性與定量相結(jié)合的分析����,然后制定規(guī)范和措施,確定安全策略���。(3)綜合性�、整體性原則安全模塊和設備的引入應該體現(xiàn)系統(tǒng)運行和管理的統(tǒng)一性����。一個完整的系統(tǒng)的整體安全性取決于其中安全防范最薄弱的一個環(huán)節(jié),必須提高整個系統(tǒng)的安全性以及系統(tǒng)中各個部分之間的嚴密的安全邏輯關聯(lián)的強度�����,以保證組成系統(tǒng)的各個部分協(xié)調(diào)一致地運行���。(4)易操作性原則安全措施需要人為去完成���,如果措施過于復雜,對人的要求過高����,本身就降低了安全性。⑸設備的先進性與成熟性
170安全設備的選擇�����,既要考慮其先進性,還要考慮其成熟性�。先進意味著技術�、性能方面的優(yōu)越,而成熟性表示可靠與可用���。(6)無縫接入安全設備的安裝�、運行�,應不改變網(wǎng)絡原有的拓撲結(jié)構(gòu),對網(wǎng)絡內(nèi)的用戶應是透明的�����,不可見的���。同時�����,安全設備的運行應該不會對網(wǎng)絡傳輸造成通信“瓶頸”����。⑺可管理性與擴展性安全設備應易于管理,而且支持通過現(xiàn)有網(wǎng)絡對網(wǎng)上的安全設備進行安全的統(tǒng)一管理����、控制,能夠在網(wǎng)上監(jiān)控設備的運行狀況����,進行實時的安全審計。(8)保護原有投資的原則在進行信息安全體系建設時��,應充分考慮原有投資��,要充分利用已有的建設基礎�,規(guī)劃整體安全體系。3.3參考標準與規(guī)范3.3.1國家標準:序號標準號標準名稱1GB/T7400.111999數(shù)字電視術語2GB/T1795320004:2:2數(shù)字分量圖像信號的接口3GB/T184722001數(shù)字編碼彩色電視用測試信號4GB/T50311-2000建筑與建筑群綜合布線系統(tǒng)工程設計規(guī)范5GB/T50312—2000建筑與建筑群綜合布線系統(tǒng)工程施工與驗收規(guī)范6GB/T179001999網(wǎng)絡代理服務器的安全技術要求7GB/T180181999路由器安全技術要求8GB/T180191999信息技術包過濾防火墻安全技術要求9GB/T180201999信息技術應用級防火墻安全技術要求
1713.3.2行業(yè)標準:序號標準號標準名稱1GY/T1341998數(shù)字電視圖像質(zhì)量主觀評價方法2GY/T1552000高清晰度電視節(jié)目制作及交換用視頻參數(shù)值3GY/T1562000演播室數(shù)字音頻參數(shù)4GY/T1572000演播室高清晰度電視數(shù)字視頻信號接口5GY/T1582000演播室數(shù)字音頻信號接口6GY/T15920004:4:4數(shù)字分量視頻信號接口7GY/T1602000數(shù)字分量演播室接口中的附屬數(shù)據(jù)信號格式8GY/T1622000高清晰度電視串行接口中作為附屬數(shù)據(jù)信號的24比特數(shù)字音頻格式9GY/T1632000數(shù)字電視附屬數(shù)據(jù)空間內(nèi)時間碼和控制碼的傳輸格式10GY/T1672000數(shù)字分量演播室的同步基準信號11GY/T1872002多通路音頻數(shù)字串行接口12GY/T1922003數(shù)字音頻設備的滿度電平13GY/T1932003數(shù)字音頻系統(tǒng)同步14GY/Z1992004廣播電視節(jié)目資料分類法15GY/T202.12004廣播電視音像資料編目規(guī)范第1部分:電視資料16GY/T202.22007廣播電視音像資料編目規(guī)范第2部分:廣播資料17GY/T2122005標準清晰度數(shù)字電視編碼器�、解碼器技術要求和測量方法18GY/T2192006廣播報時信號嵌入時間碼規(guī)范19GY/T2242007數(shù)字視頻、數(shù)字音頻電纜技術要求和測量方法3.3.3等級保護標準:序號標準號標準名稱11999GB17859-1999計算機信息系統(tǒng)安全保護等級劃分準則2GB/T22240-2008信息系統(tǒng)安全保護等級定級指南3信安字[2007]10信息系統(tǒng)安全等級保護實施指南
1724GB/T22239-2008信息系統(tǒng)安全等級保護基本要求5GB/T20271-2006)信息系統(tǒng)通用安全技術要求6GB/T24856-2009)信息系統(tǒng)等級保護安全設計技術要求7GB/T20269-2006)信息系統(tǒng)安全管理要求8GB/T20282-2006)信息系統(tǒng)安全工程管理要求9GB/T21052-2007信息系統(tǒng)物理安全技術要求10GB/T20270-2006網(wǎng)絡基礎安全技術要求11GA/T708-2007信息系統(tǒng)安全等級保護體系框架12GA/T709-2007信息系統(tǒng)安全等級保護基本模型13GA/T710-2007信息系統(tǒng)安全等級保護基本配置14GA/T713-2007信息系統(tǒng)安全管理測評3.3.2其他相關國際標準:序號標準號標準名稱1BS743接地規(guī)范2ISO/IEC11801:2002Ed2.0建筑及建筑群結(jié)構(gòu)化綜合布線系統(tǒng)國際標準3EN50173關于ClassE六類布線的最新要求4CCITT有關標準5ISO/IEC17799信息安全管理操作規(guī)則(1)中共中央辦公廳���、國務院辦公廳[2002]17號文《國家信息化領導小組關于我國電子政務建設指導意見》(2)ISO17799/BS7799:《信息安全管理慣例》(3)1999GB17859-1999(中華人民共和國國家標準)計算機信息系統(tǒng)安全保護等級劃分準則(4)公安部《信息安全等級保護管理辦法》⑸公安部《信息系統(tǒng)安全等級保護實施指南》(6)公安部《信息系統(tǒng)安全等級保護定級指南》(7)公安部《信息系統(tǒng)安全等級保護基本要求》
173(8)公安部《信息系統(tǒng)安全等級保護測評準則》(9)ISO/IECTR13335系列標準(10)信息系統(tǒng)安全保障理論模型和技術框架IATF理論模型及方法論(11)……3.4方案詳細設計3.4.1.1.1設計3.4.1.1安全一體化網(wǎng)關3.4.1.1.2防火墻功能要求(1)基于狀態(tài)檢測技術�;支持路由�����、透明及混合模式部署。(2)可針對源接口����、目的接口、安全域����、協(xié)議類型、源地址�����、目的地址和報文通訊時間等條件設定安全策略����。(3)支持靜態(tài)路由和策略路由��,可通過源接口���、目標接口�����、源IP�����、目標IP�、協(xié)議類型、時間等條件設定策略路由�����;支持RIP���、OSPF��、BGP動態(tài)路由協(xié)議��;支持ISP路由����,能夠提升用戶對不同ISP網(wǎng)絡訪問時的路由效率�,內(nèi)置電信和聯(lián)通地址庫,同時用戶可定義新的地址庫�����。(4)支持虛擬防火墻功能�����,可以將接口劃分給不同的虛擬防火墻,每個虛擬防火墻具有獨立的管理員�、安全域、資源對象���、安全策略��、NAT規(guī)則���、靜態(tài)路由等配置。⑸支持802.IQVLAN�。(6)支持鏈路聚合(Link-Aggregation)功能以增加鏈路帶寬并起到負載均衡和鏈路備份的作用���,支持通過手動方式����、IEEE802.3adLACP方式來創(chuàng)建聚合鏈路���。(7)能夠檢測并阻斷DDoS攻擊和協(xié)議掃描�,如Jolt2���、Land-Base,Smurf�、Pingofdeath,winnuke、teardrop,Synflag,TCPFlood,ARP攻擊等攻擊行為����,以及TCP、UDP,PING掃描等掃描行為����,可以設定掃描識別閾值,并對檢測到的掃描主機進行屏蔽���。(8)支持QoS和帶寬控制�����,能夠基于策略針對特定對象進行控制�,比如可以根據(jù)單個主機IP或子網(wǎng)段��,目標IP和子網(wǎng)段�,服務類型、時間分配等條件來進行帶寬控制�;支持策略帶寬
174保證。(9)具備完善的設備狀態(tài)監(jiān)控和會話管理功能:可通過圖形的方式動態(tài)顯示設備的轉(zhuǎn)發(fā)流量����、系統(tǒng)連接數(shù)����,以及根據(jù)不同的協(xié)議(如Web��、Email����、FTP,UDP)區(qū)分的流量信息;可根據(jù)源地址��、目的地址��、端口號或協(xié)議類型等分類來查看目前設備的當前會話狀態(tài)�����。(10)支持免客戶端的用戶本地認證功能,用戶必須在經(jīng)過設備認證后才能訪問特定網(wǎng)絡�。(11)支持IPv6協(xié)議:支持IPv6�����、IPv4雙棧運行���、支持ipv6路由����、支持手工隧道、6to4隧道和ISATAP隧道�����。(12)支持主動掃描IP-MAC對應關系�,支持IP-MAC一鍵綁定功能。(13)支持STP生成樹協(xié)議�����。(14)支持二三層鏈路狀態(tài)聯(lián)動�。(15)支持IGMPSnooping,能夠優(yōu)化防火墻工作在透明模式下時,對二層組播報文的轉(zhuǎn)發(fā)控制��。(16)支持與IDS的聯(lián)動功能�。(17)路由、透明����、混合接入模式下均支持完整的NAT功能:1)源地址NAT(多對一NAT)2)目的地址NAT(多對一NAT)3)目的端口轉(zhuǎn)換4)在DDNS應用模式下支持源地址NAT和目的地址/端口NAT5)靜態(tài)NAT(一對一NAT)6)地址池NAT(多對多NAT)7)服務器負載分擔(一對多NAT)(18)支持雙機熱備功能,包括主備模式(A/S)和主主模式(A/A)�����。(19)支持連接狀態(tài)自動同步。(20)支持VRRP協(xié)議��,包括VRRPV2和V3版本���。(21)支持三層鏈路監(jiān)測��。(22)支持搶占優(yōu)先級設置���。(23)支持配置自動同步。(24)提供多種方式的管理界面�,包括HTTPS、CONSOLE,SSH�、TELNET等。(25)支持中英文管理界面�。(26)支持集中管理功能,可同時監(jiān)控所有防火墻的運行狀態(tài)����,并支持對所有設備進行統(tǒng)
175一安全策略配置及進行版本升級�����。(27)設備具有液晶顯示屏,可在不登錄設備的情況下實時顯示設備運行狀態(tài)����、系統(tǒng)流量、管理地址等信息�����。(28)支持管理員權(quán)限分級����,支持用戶自定義管理員權(quán)限表。(29)支持本地日志��、SYSLOG日志及NetFlow日志功能���,支持在外接移動存儲設備上存放本地日志���;支持郵件報警功能,所發(fā)送郵件支持以加密方式傳送����。(30)支持集中日志存儲、管理及分析功能��,并配置相關軟件;支持日志合并處理��;支持日志壓縮存儲和傳輸����。(31)支持自動報表功能,用戶可自行定義生成報表的周期��、設備��、日志類型�、日志等級等:生成的報表可自動發(fā)送至用戶指定郵箱。(32)支持SNTP協(xié)議�����,可通過NTP服務器同步系統(tǒng)時間��。(33)支持雙操作系統(tǒng);支持多配置文件備份����,最多可支持9個配置文件�����。(34)支持配置向?qū)?,對于復雜配置可以通過向?qū)У姆绞胶喕脩襞渲谩?35)支持設備運行狀態(tài)自動記錄�����,利于管理員分析問題�����。3.4.1.1.1防病毒功能要求(1)支持對HTTP��、FTP�、SMTP,POP3、IMAP協(xié)議的病毒檢測和過濾功能��。(2)支持對文件感染型病毒��、蠕蟲病毒��、腳本病毒、宏病毒�����、木馬、惡意軟件等的過濾�����,病毒庫數(shù)量不少于60萬����。(3)對于HTTP協(xié)議和郵件協(xié)議���,提供信息替換功能,用以通知用戶病毒被阻斷���,管理員可以自行設置替換信息���。⑷支持病毒庫自動升級和手工導入���。(5)防病毒網(wǎng)關病毒庫,不同于主機�、終端防病毒軟件病毒庫。3.4.1.1.2入侵檢測系統(tǒng)(1)攻擊檢測能力1)事件分析功能要求采用高級模式匹配及先進的協(xié)議分析技術對網(wǎng)絡數(shù)據(jù)包進行分析�����。協(xié)議覆蓋面廣�����,事件庫完備,能夠?qū)彌_區(qū)溢出��、網(wǎng)絡蠕蟲�����、木馬軟
176件��、間諜軟件等各種攻擊行為進行檢測2)具備基于原理的Web漏洞檢測能力�,精確識別SQL注入攻擊,提供對重點服務器的入侵保護3)支持對國內(nèi)常見木馬/p2p/IM/網(wǎng)絡游戲以及其他違規(guī)行為的檢測和發(fā)現(xiàn)4)具備碎片重組�、TCP流重組、統(tǒng)計分析能力��;具備分析采用躲避入侵檢測系統(tǒng)技術的通信數(shù)據(jù)的能力;5)采用基于行為分析的檢測技術�,對Oday攻擊能夠很好防范��。具備協(xié)議自識別功能6)具備規(guī)則用戶自定義功能���,可以對應用協(xié)議進行用戶自定義���,并提供詳細協(xié)議分析變量(2)響應方式1)應提供多種事件合并條件�,避免事件風暴的產(chǎn)生2)應支持下列實時響應方式:實時告警、屏幕報警/聲音報警、郵件報警�����、SNMP報警、自定義程序報警等(3)日志與報表1)應支持多種數(shù)據(jù)庫類型�����,支持獨立的日志報表模塊部署。同時提供專門的數(shù)據(jù)庫維護功能2)具備自定義報表功能�,支持交叉統(tǒng)計和多元組合查詢詳細事件�����,支持導出為WORD\EXCEL\PDF\HTML等常用公文處理格式⑷策略功能1)應提供按照檢測對象��、攻擊類型等分類的默認內(nèi)置檢測模版�,且默認模版不可修改�����;提供向?qū)Щ牟呗跃幹品绞?)提供動態(tài)策略調(diào)整功能�����,對一些頻繁出現(xiàn)的低風險事件,自動調(diào)整其響應方式(5)管理功能1)應具備集中管理功能,可實現(xiàn)分布部署�����、集中式安全監(jiān)控管理和配置管理�,日志報表模塊可獨立部署��,適合大規(guī)模部署環(huán)境2)各組件間(管理平臺與引擎等)使用加密信道通信3)簡便易用的GUI管理界面�����,要求能夠?qū)︼@示窗口進行自定義4)具有設備的拓撲顯示功能,可以在界面上以圖形化的方式顯示當前的部署拓撲5)同時支持多個用戶監(jiān)測臺的設置,支持至少8個以上的多用戶監(jiān)測臺設置(6)用戶管理
1771)對授權(quán)用戶根據(jù)角色進行授權(quán)管理����,提供用戶登錄身份鑒別和防暴力猜解;可以嚴格按權(quán)限來進行管理2)要求對用戶分級,并能夠調(diào)整對不同用戶的具體權(quán)限�����,提供不同的操作。對各級權(quán)限的用戶行為進行審計(7)升級管理1)具備獨立的升級管理中心���,可對控制中心和設備進行升級2)控制中心可以統(tǒng)一對下級控制臺和設備進行升級3)可手動����、自動執(zhí)行產(chǎn)品升級4)公司網(wǎng)站提供產(chǎn)品離線升級包下載5)應保證每周一次的規(guī)則庫升級�,重大安全事件隨時更新(8)產(chǎn)品安全性1)需保證通信安全2)需保證設備自身安全3)應提供可擴展的用戶身份鑒別方式接口����,為增加用戶身份鑒別強度提供支持3.4.1.3終端管理系統(tǒng)(1)服務器級聯(lián)管理:1)支持服務器級聯(lián)管理,可以支持無限級的中心服務器進行級聯(lián)。當然���,單級服務器仍然支持一個中心服務器和多個本地服務器��,結(jié)合無限級的服務器級聯(lián),對終端的管理規(guī)模可以無限擴展。2)靈活方便的服務器級聯(lián)管理關系管理,服務器安裝的時候無需指定上下級關系,安裝后可以直接通過Web控制臺由級聯(lián)關系管理員指定�。級聯(lián)管理員也有權(quán)限根據(jù)級聯(lián)管理的要求隨時更改服務器上下級級聯(lián)關系�����,以適應網(wǎng)絡環(huán)境和級聯(lián)管理變化要求�����。3)級聯(lián)管理員除了可以對本機服務器進行管理之外,還可以查看和巡視到所有下級服務器信息和運行狀態(tài)��。4)服務器級聯(lián)后,下級服務器將自動匯總要求生成統(tǒng)計報表,并定時上報的上級服務器,上級級聯(lián)管理員隨時可以了解到下級服務器所管理的終端運行情況和合規(guī)管理狀態(tài)。
1785)支持策略的級聯(lián)下發(fā)��,上級管理員可以將重要的安全策略��,通過級聯(lián)下發(fā)到下級單位�����。6)支持級聯(lián)授權(quán)拆分管理����,即可以根據(jù)需要每級獨立使用自有的客戶端授權(quán),也支持授權(quán)逐級分發(fā)�����,根據(jù)每級實際的終端數(shù)量分配客戶端授權(quán)數(shù)量�。7)并可以實時級聯(lián)各級單位授權(quán)使用情況�����,例如總授權(quán)數(shù)�、已分配授權(quán)數(shù)����、可分配授權(quán)等�、本機注冊終端數(shù)����、下級已經(jīng)注冊終端數(shù)。8)支持授權(quán)回收���,能夠回收下級單位富余的授權(quán)數(shù)量�,并重新對回收的授權(quán)數(shù)量進行重新分配�。(2)管理員分級管理1)支持管理員分級管理�����,不同的管理員可以授權(quán)不同的區(qū)域���,上級管理員可為下級區(qū)域設定全局規(guī)則,并可查看下級區(qū)域的各種規(guī)則和報表�����。2)支持只讀管理員權(quán)限、資產(chǎn)管理員權(quán)限、按需支援管理員權(quán)限等多種細分權(quán)限劃分����,權(quán)限劃分最細支持到單一功能菜單。3)支持獨立的管理員操作審計����,審計管理員進行的策略配置操作行為。4)支持管理員通過Https方式訪問Web控制臺���。5)支持“三權(quán)分立”與“Windows集成認證”兩種認證模式。(3)細粒度管理1)既能將連續(xù)的IP地址網(wǎng)段作為管理對象���,也可將離散的IP地址組成IP組作為管理對象�����,最小的管理單位為一個IP地址。2)準入控制的最小實施單位為單個IP或單個用戶��,能針對VIP用戶啟用例外策略�����。3)安全策略既可以對IP生效�,也可以對用戶生效,可以單獨生效����,也可以同時生效����。用戶策略優(yōu)先級高于IP策略�。4)支持離線策略�����,當檢查到終端處于離線狀態(tài)時�,客戶端將自動切換到離線模式(Offline),并啟用離線策略��,確保終端在離線時也受到正確的控制和保護;當檢查到終端處于在線狀態(tài)時(包括通過VPN連接)���,客戶端將自動切換到在線模式(Office)?5)支持基于IP地址獲取安全防護規(guī)則。6)支持基于登錄用戶名獲取安全防護規(guī)則。7)支持本地安全防護規(guī)則����,管理員可授權(quán)終端用戶從彈出窗口自定義網(wǎng)絡訪問規(guī)則以及從編輯界面自行添加��、或修改基于進程或端口的連入或連出的自定義網(wǎng)絡訪問規(guī)則���。但管理員定義的全局規(guī)則優(yōu)先級高于本地安全防護規(guī)則����。
1798)不同類型的安全防護規(guī)則具有不同的優(yōu)先級。⑷用戶認證管理1)支持AD�����、OpenLDAP、iP山net等LDAP類型的身份認證方式�����。支持轉(zhuǎn)發(fā)認證,無需導入用戶數(shù)據(jù)�。2)支持使用系統(tǒng)自帶的本地用戶進行用戶賬號集中管理,支持用戶的創(chuàng)建��、修改����、刪除和用戶集中認證管理,也可以批量導入和導出用戶�,并提供用戶導入模塊,為用戶提供更多、更靈活的用戶管理和認證的選擇��。3)既可以將用戶組作為管理對象,也可以將單個用戶作為管理對象�����,支持0U組織結(jié)構(gòu)的同步�����。4)支持可信MAC地址認證管理,在網(wǎng)絡準入控制中如果啟用擴展可信MAC認證�,那么只有可信的MAC地址才能通過認證���;在其他準入控制中如果啟用擴展可信MAC認證�,只有可信的MAC地址才符合安全狀態(tài)要求。5)支持基于用戶的認證組合管理���,能對User-IP-MAC�、User-IP,User-MAC,User等多種組合進行認證,在認證的同時還能驗證有效期�、執(zhí)行動態(tài)VLAN(支持動態(tài)VLAN的802.lx交換機)、下發(fā)動態(tài)ACL(支持EoU的交換機或路由器)�����。6)支持基于MAC的認證組合管理���,能對MAC-IP組合進行認證�,在認證的同時還能驗證有效期、執(zhí)行動態(tài)VLAN(支持動態(tài)VLAN的802.1X交換機)���、下發(fā)動態(tài)ACL(支持EoU的交換機或路由器)���。7)種類齊全的認證組合����,即可作為準入控制的認證條件�,又可作為安全狀態(tài)策略���。8)MAC-IP和User-IP組合認證,如果終端在認證時的IP地址與設定的組合不匹配���,系統(tǒng)可自動把客戶端的IP地址改正為設定值���。9)基于802.1X網(wǎng)絡準入控制中支持終端設備可信GUID認證管理����,GUID具有唯一和防篡改特性����,通過可信GUID認證���,確保合法的終端才能才能通過網(wǎng)絡準入認證接入內(nèi)網(wǎng)�。⑸數(shù)字證書認證管理1)支持文件數(shù)字證書的身份認證方式�。支持轉(zhuǎn)發(fā)數(shù)字證書轉(zhuǎn)發(fā)認證�����,無需導入用戶證書。2)支持U-Key數(shù)字證書的身份認證方式。支持轉(zhuǎn)發(fā)數(shù)字證書轉(zhuǎn)發(fā)認證�,無需導入用戶證書��。3)支持數(shù)字證書與系統(tǒng)自帶本地用戶進行無縫集成�����。4)可以同時支持多種認證方式����,可以只允許使用數(shù)字證書進行登錄認證�,也可以由終端用戶自己選擇使用用戶名/密碼認證���,或者任一合法的證書進行認證����,
180靈活適應終端用戶不同的使用習慣和身份認證管理要求�。5)支持對數(shù)字證書狀態(tài)進行在線驗證�,沒有CA服務器或CA服務器不可用時使用吊銷證書列表進行驗證��。6)數(shù)字證書認證�,即可作為準入控制的身份認證條件��,又可作為安全狀態(tài)策略����,如果數(shù)字證書認證失敗���,系統(tǒng)將可以拒絕終端接入內(nèi)網(wǎng)和訪問內(nèi)部服務器資源��。(6)單點登錄1)支持終端單點登錄�,在終端使用用戶名/密碼或者使用USBkye登錄域的同時����,自動完成用戶認證和準入控制認證���。2)單點登錄支持主流的操作系統(tǒng):WindowsXP、Windows2003,Windows7,Vista和Window2008o(7)客戶端注冊1)支持客戶端安裝注冊機制����,客戶端安裝時�����,可以由管理員自定義設置需要終端用戶選擇和填寫客戶端注冊信息項目內(nèi)容�����、注冊項排列順序和是否為必填項����,信息注冊并提交后,系統(tǒng)后臺自動將終端與該信息綁定保存���。2)注冊信息項除了系統(tǒng)預置的部門����、設備使用人��、聯(lián)系電話����、地址、Email地址等信息項類型之外����,還可以根據(jù)客戶端注冊的個性化要求�,新增個性化客戶端注冊信息項類型�。管理員還可以對新增的自定義客戶端注冊信息進行修改�、刪除和調(diào)整順序,并可以選擇該項是否為必填項和是否作為查詢條件進行查詢���。3)支持通過管理控制臺,靈活選擇是否啟用客戶端注冊�,如果選擇啟用客戶端注冊,則新安裝和已經(jīng)安裝的客戶端在獲取策略后����,客戶端將動態(tài)生成并彈出客戶端注冊提示框�����,提示用戶填寫和確認客戶端注冊信息����,完成客戶端注冊�。4)支持客戶端重新注冊�����,可以設置對指定日期之前注冊的客戶端��,要求重新注冊的策略�,實現(xiàn)所有客戶端重新進行注冊�。5)可以設置客戶端注冊重復提示周期,定期提示未及時注冊的終端用戶及時完成客戶端注冊����,提示周期可以精確到分鐘����。6)對于已經(jīng)提交的客戶端注冊信息�,管理員可以在管理控制臺集中進行核對和對指定客戶端注冊信息進行修改��,并在控制臺對指定注冊信息終端進行查詢�����。7)對于未提交注冊信息的客戶端,管理員可以在管理控制臺集中進行手工注冊�。能夠從客戶端報表及文件導入進行注冊�����,并可以進行批量注冊��。(8)部門管理
1811)支持基于部門的管理,可以根據(jù)用戶實際的組織架構(gòu),在系統(tǒng)中配置相應的部門信息����。支持的部門層級最多可以達到S級����。部門組織可以按照樹形結(jié)構(gòu)展開,并可以支持在樹形結(jié)構(gòu)基礎上��,對同級部門順序進行調(diào)整��。2)終端用戶在進行客戶端注冊時��,可以自己選擇所在部門的部分進行注冊�����,也可以由管理員在管理控制臺進行終端手工注冊,對未注冊終端進行手工注冊��,或者對已注冊的終端進行修改����,修改終端對應的部門信息和其他終端注冊信息。3)支持針對部門的系統(tǒng)管理員關聯(lián)和授權(quán)�����,指定管理員有權(quán)管理的部門列表。4)所有客戶端上報信息都支持基于部門的分類��、查詢和統(tǒng)計���。(9)時間策略1)支持時間策略,可以設置工作日及時間�����、加班日期及時間和休假日期及時間�。如果啟用時間策略���,非工作時間(包括休假時間),無論客戶端是否離線,客戶端啟用并執(zhí)行離線策略�;在工作時間(包括加班時間)��,終端如果在線,則客戶端執(zhí)行在線策略����,如果終端離線,客戶端則執(zhí)行離線策略�����。2)如果出現(xiàn)時間疊加���,則時間策略的優(yōu)先級順序為:加班時間(工作時間)->休假時間(非工作時間)->正常工作時間(工作時間)����。3)可以針對不同的終端分組設置不同的工作時間�����,其中工作日范圍包括周一到周五��,工作時間范圍包括0:00-23:59:加班日期及時間和休假日期及時間支持絕對時間����。4)支持客戶端與服務器之間進行時鐘同步,時鐘源既可以是中心策略服務器����,也可以使指定地址的NTP服務器。5)可以全局啟用或禁用時間策略����,并可以通過策略����,禁止終端用戶修改Windows時間�����。(10)客戶端部署�、升級和維護1)客戶端部署簡單方便��,可通過多種準入控制方式提示用戶安裝客戶端����,由用戶自助完成客戶端安裝���,而不需通過發(fā)郵件或現(xiàn)場安裝的方式安裝客戶端�����。2)客戶端支持Windows2000/XP/2003/Vista/Windows7/2008的32位操作系統(tǒng)��。3)客戶端支持WindowsXP/200364位操作系統(tǒng)和Windows7/2008的64位操作系統(tǒng)����。4)客戶端和服務器之間通過SSL加密通道獲取策略規(guī)則���。5)支持管理員遠程卸載客戶端����。6)系統(tǒng)既能在NAT的環(huán)境下正常工作,也能在NAT及非NAT的混合環(huán)境下工作��。7)支持客戶端版本自動在線升級����,支持智能升級框架��,無需借助單獨的升級程序�,即可以實現(xiàn)新版本的整體升級�����,也可以實現(xiàn)同一版本的個別模塊單獨升級�,使
182軟件升級更容易。8)支持多個服務器版本和多個客戶端版本共存�,在大型用戶環(huán)境下,方便分網(wǎng)段分階段逐步部署和升級�。9)安全策略的分發(fā)可通過推和拉的方式進行,快速分發(fā)新制定策略��。10)支持客戶端軟件注冊表保護����,防止惡意刪除,提供卸載�、停止客戶端服務的密碼保護。(11)服務端部署�����、升級和維護1)服務器部署簡單方便�����,可以自動檢測服務器安裝時需要的系統(tǒng)環(huán)境組件��,并可以通過快速安裝方式��,一鍵安裝所需要的所有系統(tǒng)服務器組件和數(shù)據(jù)庫�����,并自動生成客戶端安裝包���?��;蛘哌x擇自定義安裝,單獨安裝所需要的服務器組件�。2)服務器支持在Windows2003/200832位及64位平臺上安裝,支持的數(shù)據(jù)庫為SQLServer2000/2005/2005Express/2008/2008Expresso3)服務器支持自動升級�����,支持部分和全部版本的升級��。4)支持系統(tǒng)策略進行導入和導出。(12)系統(tǒng)服務組件運行狀態(tài)實時監(jiān)控1)能夠?qū)ο到y(tǒng)自身所有系統(tǒng)服務組件及數(shù)據(jù)庫運行狀態(tài)進行遠程實時監(jiān)控�����,并在管理控制臺提供圖形化運行狀態(tài)顯示����,并對存在異常的服務組件或者數(shù)據(jù)庫可用空間少于設定大小時,進行告警���。2)可以對安裝系統(tǒng)的服務器性能狀況進行實時監(jiān)控����,可以監(jiān)控和顯示服務器的CPU使用率�����、內(nèi)存使用率�����、系統(tǒng)所在硬盤分區(qū)使用率和數(shù)據(jù)庫可用磁盤空間的狀況�����。并可以對數(shù)據(jù)庫所在硬盤空間低于設定的數(shù)據(jù)庫所在硬盤最小剩余空間時,提供告警�。3)可以通過管理控制臺,對系統(tǒng)服務組件進行遠程服務維護�����,可以通過管理控制臺可以實現(xiàn)啟動���、停止和重啟服務組件服務。(13)系統(tǒng)冗余與備份1)支持分布式多服務器架構(gòu)����,服務器之間可能進行負載均衡和冗余,任何一個服務器宕機都不影響其管理范圍內(nèi)的終端正常下載安全策略���。2)支持備份和恢復策略�,并可備份成完整的不同歷史時期的規(guī)則版本����。3)能自動備份或刪除過期的審計信息,以節(jié)省存儲空間�。4)管理服務器之間的安全策略同步簡單快速,不需進行繁瑣的數(shù)據(jù)庫操作���。(14)終端信息查詢與統(tǒng)計
1831)通過多種方式獲取終端信息��,實時查看客戶端安裝和在線信息����。2)支持終端發(fā)現(xiàn),能發(fā)現(xiàn)安裝或未安裝客戶端的計算機終端��,并探測其安全狀態(tài)是否合格����,無論計算機終端上是否運行主機防火墻都能發(fā)現(xiàn)。3)靈活的報表展現(xiàn)����。4)能夠進行各種終端違規(guī)行為查詢和統(tǒng)計。5)能夠針對終端進行點對點操作��,實時查詢終端的進程��、服務���、網(wǎng)絡連接和補丁安裝情況����,并停止或終止這些進程、服務或連接�����。(15)報告和報表1)系統(tǒng)提供豐富的終端相關信息的圖形化報告和報表,報告和報表覆蓋終端接入信息�����、資產(chǎn)信息��、終端審計信息�����、終端攻擊告警信息����、終端資源使用情況信息等等�,方便用戶及時、全面了解內(nèi)網(wǎng)終端安全和運行狀況�。2)系統(tǒng)已經(jīng)預置超過70種的預定義報告和報表模板,可以方便查看關心的信息和結(jié)果�。用戶也可以根據(jù)管理的需要,自定義報告和報表格式��,并可以將其設置為當前報告和報表首頁,及時為用戶提供最關心的信息和數(shù)據(jù)�����。3)所有報告和報表均支持以Word����、Excel和Html格式導出。4).基于權(quán)限的報告和報表管理�����,管理員只能夠查看和導出自己有權(quán)限的報告和報表���。(16)補丁強制策略1)檢查WindowsServicePack是否已經(jīng)安裝成功���,并能夠強制確保安裝成功。2)檢查關鍵系統(tǒng)安全補丁是否已經(jīng)安裝成功�����,并能夠強制確保安裝成功�����。(17)進程管理策略1)支持進程黑名單,支持黑名單MD5校驗�����,能夠有效禁止運行與工作無關的軟件��。能夠檢查DLL的調(diào)用���,防止修改進程名逃避安全檢查��。對于運行的黑名單進程����,既可以自動結(jié)束進程����,也可以只進行違規(guī)提示�。2)支持進程紅名單,能夠確保必須運行的軟件的處于正常運行狀態(tài)����。能通過MD5碼校驗的方式檢查進程名,防止用戶對程序改名逃避安全檢查��。支持多個進程進行“或”組合。3)支持軟件進程白名單�����,強制用戶只能運行指定的軟件�,對于運行的進程白名單之外的進程,可以自動結(jié)束進程�,也可以只進行違規(guī)提示,還可以選擇僅記錄違規(guī)行為�����,不進行提示��。(18)軟件安裝管理
1841)支持軟件安裝黑名單�����,能夠有效禁止安裝與工作無關的軟件���,并能夠?qū)`規(guī)安裝的黑名單軟件選擇進行提示�����,或僅記錄違規(guī)行為�,或者執(zhí)行攔截和卸載。2)支持軟件安裝紅名單���,能夠確保必須安裝指定的軟件�����。能夠選擇對軟件名進行精確匹配或模糊匹配����,防止修改軟件名稱逃避安全檢查���。支持多個軟件進行“或”組合��。3)支持軟件安裝白名單��,強制用戶只能安裝指定的軟件,并能夠?qū)`規(guī)安裝的白名單之外的軟件選擇進行提示�,或僅記錄違規(guī)行為,或者執(zhí)行攔截和卸載���。19))Windows服務管理1)能夠通過策略��,停止并禁用終端Windows服務管理器中的已啟用的服務��。2)能夠通過策略�����,自動啟用終端windows服務管理器中的已禁用的服務�����。(20)防病毒軟件策略1)能夠檢查防病毒軟件是否運行���,病毒碼版本是否升級���,支持Symantec,TrendMicro,McAfee、瑞星����、CA����、驅(qū)逐艦、微軟等主流防病毒軟件��。2)管理員可指定病毒碼自動更新的期限,或最新的病毒碼版本號�����。3)能夠從互聯(lián)網(wǎng)下載服務器�,自動更新最新的防病毒軟件列表和病毒定義碼版本,無需升級客戶端程序���,即可輕松實現(xiàn)對新的防病毒軟件的支持���。管理員只需簡單選擇適合的防病毒軟件及病毒定義碼即可輕松實現(xiàn)對個多種不同類型的防病毒軟件進行有效管理。(21)終端安全加固策略1)禁止自動運行Autorun,防止移動存儲設備上的病毒程序自動被執(zhí)行�����。2)通過檢測指定文件的存在�、檢測指定程序的存在檢查是否有隱藏的木馬或病毒。3)通過檢測指定注冊表項的存在����,檢測指定注冊表值的存在,檢測指定的注冊表項和值得匹配關系檢查是否有隱藏的木馬或病毒��。4)通過對指定注冊表項的保護來防止木馬或病毒修改關鍵注冊表而控制用戶終麻����。5)能夠檢查用戶終端是否加入或登錄到指定的AD域,能夠?qū)Σ荒芗尤氲紸D域的操作系統(tǒng)進行排除�����。6)能夠檢測Windows當前用戶的屏保設置����,并自動修改到管理員設置的參數(shù)。7)基于Windows本地安全策略的終端安全加固�,如通過阻止匿名網(wǎng)絡訪問、禁用Guest帳號�����、檢測計算機弱密碼等�。8)支持終端Windows賬號密碼強度策略管理,能夠設定Windows賬號密碼長度
185最小值�����、密碼最短和最長使用期限等策略,確保Windows賬號密碼強度符合安全管理要求��。9)能夠通過策略禁用/啟用終端系統(tǒng)內(nèi)置的管理員帳號����,即可以禁用/啟用系統(tǒng)默認的Administrator帳號,也可以禁用/啟用系統(tǒng)所有屬于管理員組的帳號�����。10)能夠禁止修改終端網(wǎng)卡屬性���,避免用戶違規(guī)修改網(wǎng)卡的IP�����、MAC�����、網(wǎng)關地址等屬性�����,可能帶來的網(wǎng)絡沖突或非法外聯(lián)的風險�����。(22)保留IP地址1)通過保留IP地址實現(xiàn)對特殊IP地址的保護��,只有特殊的MAC地址才能使用指定的IP地址�。并可以將此作為安全基線策略���,確保終端不能使用特殊的IP地址�����。(23)屏幕保護策略1)可以通過下發(fā)屏保策略�,啟用或關閉終端屏保功能��?��?梢栽O置屏?�;謴蜁r顯示登陸界面���,可以設置Windows當前登陸密碼不為空,并可以設置啟用屏保的等待時間����。2)可以禁止使用Windows歡迎界面�����,并禁止使用快速切換用戶��。(24)終端共享資源管控1)支持對終端的共享資源進行控制和管理�,支持的共享資源包括目錄目錄�����、打印機共享和IPC共享���。2)可以檢測并上報用戶電腦上存在有哪些共享資源���,并可設定是否允許開啟共享資源。對于不允許開啟共享資源的終端�,可以下發(fā)策略強制取消已經(jīng)設置了的共享資源。(25)安全基線自動檢測和修復1)當以上安全策略不滿足要求時��,能夠通過準入控制或客戶端防火墻限制用戶網(wǎng)絡訪問�����,并給出修復提示。(26)分布式終端帶寬管理1)在客戶端上實時監(jiān)控每個進程的流量�,實時自動抑制異常流量,自動限制超過閾值的流量����,將蠕蟲病毒或非業(yè)務流量對網(wǎng)絡的影響減到最小��。對不同的進程能夠設置不同的流量限制規(guī)則��。2)在客戶端上實時監(jiān)控每個遠端端口�����、本端端口�����、目標地址的流量��,實時自動抑制異常流量�,自動限制超過閾值的流量,將蠕蟲病毒或非業(yè)務流量對網(wǎng)絡的影響減到最小�����。對不同端口和地址能夠設置不同的流量限制規(guī)則。3)能夠設置基于帶寬絕對值的流量控制����,能夠設置基于帶寬相對值的流量控制,能夠設置終端總帶寬���。4)能夠設置某些進程�、端口���、目標地址的流量不計入總帶寬�。
1865)能夠?qū)δ承┻M程���、端口���、目標地址的流量設為不限制流量的類型。6)能夠針對IP地址和用戶下發(fā)流量控制策略�。(27)終端主動防御1)TCP連接監(jiān)控,保證客戶端上每個進程的TCP同時連接數(shù)和單位時間內(nèi)的連接數(shù)不超過指定的值���。如果超過指定的值系統(tǒng)將被告警并禁止新的連接��。2)支持TCP連接白名單�,對客戶端上指定進程的TCP連接行為不予限制。3)監(jiān)控UDP的發(fā)包行為����,保證客戶端上每個進程在單位時間內(nèi)發(fā)包總數(shù)和目標總數(shù)不超過指定的值。如果超過指定的值系統(tǒng)自動攔截該進程的網(wǎng)絡訪問并告警���。4)支持UDP發(fā)包行為白名單����,對客戶端上指定進程的UDP發(fā)包行為不予限制��。5)防止IP仿冒����,使終端不能發(fā)出虛假源IP地址的數(shù)據(jù)包��。6)發(fā)現(xiàn)隱藏進程的網(wǎng)絡訪問�����,攔截并告警�。7)將各種攻擊行為匯總到管理控制臺,管理員能及時把握網(wǎng)絡異常行為����,并通過統(tǒng)計報表了解總體情況和趨勢���。8)基于客戶端進程、IP���、端口��、安全狀態(tài)的訪問控制��,切斷蠕蟲和木馬的傳播路徑����,杜絕非授權(quán)訪問���。(28)ARP欺騙主動防御1)通過分析ARP的請求包和應答包��,識別ARP欺騙包��,使終端既不會成為ARP欺騙者�,也不會成為受騙者��。2)終端發(fā)出ARP請求5秒鐘后如果收不到應答包,則丟棄后面的應答包�,防止可能的欺騙應答。3)自動綁定正確的網(wǎng)關MAC地址�����,防止終端得到錯誤的網(wǎng)關MAC地址���。4)實現(xiàn)ARP欺騙定位��。(29)終端訪問控制1)能夠?qū)K端訪問的目的地址����、服務以及發(fā)起訪問的進程進行管理�����,只有允許的進程才能對指定目的地址和服務進行訪問��。2)能夠?qū)K端接受訪問的源地址�����、接受訪問的服務以及接受訪問的進程進行管理,只有允許的進程才能進行指定的服務�����,接受指定的訪問者����。3)能夠集中對終端PING進行控制,有效保護受控終端被PING,也可以禁止終端對網(wǎng)絡進行PING操作�。4)如果安全狀態(tài)認證不符合要求,能夠禁止終端進程訪問網(wǎng)絡�����,或者接受訪問�����。
187(30)安全域管理1)無須對現(xiàn)有的網(wǎng)絡做任何調(diào)整和改變����,直接對所有管理的客戶端按照不同部門或不同的安全防護等級標準,劃分安全域�����,并針對每個安全域或安全域中的每個用戶設置域內(nèi)和域之間的的訪問控制權(quán)限��,實現(xiàn)最細粒度的安全域管理。(31)非法外聯(lián)控制1)簡明可靠的多網(wǎng)卡非法外聯(lián)管理�,可以設定只有與策略系統(tǒng)通訊的網(wǎng)卡才能發(fā)送和接收數(shù)據(jù),禁止其他任何網(wǎng)卡發(fā)送和接收數(shù)據(jù)�,包括多網(wǎng)卡、撥號連接�����,VPN連接等��。避免通過注冊表設置禁用多網(wǎng)卡�、撥號連接而易被破解。2)能夠自動識別物理網(wǎng)卡和虛擬網(wǎng)卡�,并可由用戶自主選擇通訊需要的網(wǎng)卡。3)能夠檢測到終端撥號行為�,能夠識別撥號類型,電話����、PPoE和WindowsVPN,并可對指定的類型進行控制���,并能夠針對號碼進行識別和控制�����,有效控制通過撥號網(wǎng)絡進行非法外聯(lián)的可能�。(此項功能不支持64位操作系統(tǒng))4)能夠?qū)K端的非法外聯(lián)行為進行監(jiān)控和告警,一旦探測發(fā)現(xiàn)終端發(fā)生非法外聯(lián),即可根據(jù)設定的告警對象和告警方式���,進行告警��,直至非法外聯(lián)行為中止后才會解除���。5)支持多種方式對非法外聯(lián)行為進行審計和告警,告警方式包括:手機短信����、電子郵件和聲音驚醒告警,支持同時對多個用戶發(fā)送告警信息�����。6)能夠?qū)K端異常路由進行審計��,發(fā)現(xiàn)可能的私接專線�。(32)IP管理1)通過保留IP地址實現(xiàn)對特殊IP地址的保護,只有特殊的MAC地址才能使用指定的IP地址�����。2)靈活的MAC-IP綁定、User-IP綁定��,當用戶使用不匹配的IP地址時���,系統(tǒng)將自動修正���。3)User-IP-MAC綁定,確保用戶只能在指定的計算機上登錄�,否則將視為不符合安全狀態(tài),阻斷網(wǎng)絡訪問��。4)能夠?qū)K端DNS進行設置�����,并可以設定始終生效或者在MAC-IP���、User-IP組合認證自動修改IP地址時生效����。(33)IE設置1)能夠自動為終端添加和設置IE代理的例外主機和網(wǎng)段列表���,減輕了管理員的維護管理工作�。2)能夠自動為終端IE瀏覽器設置可信站點列表或者將指定站點從可信站點列表中移除���,減輕管理員管理工作����。
188(34)終端實時操控1)能夠針對終端進行點對點操作��,實時查詢終端的服務運行情況���,并可以通過管理控制臺遠程對服務進行啟動����、停止和重啟���,也可以遠程設置服務的啟動方式,方便管理員對在線終端進行遠程維護����。2)能夠針對終端進行點對點操作�����,實時查詢終端的進程運行運行情況��,并可以通過管理控制臺遠程結(jié)束進程,方便管理員對在線終端進行遠程維護���。3)能夠針對終端進行點對點操作�,實時查詢終端的網(wǎng)絡連接狀態(tài)���,并可以通過管理控制臺斷開進程的網(wǎng)絡連接���,方便管理員對在線終端進行遠程維護。4)能夠針對終端進行點對點操作��,實時查詢終端的補丁安裝情況�����,方便管理員對在線終端進行遠程維護�。5)能夠?qū)崟r對指定終端IE瀏覽器插件進行管理,啟用����、禁用或刪除制定的控件,提高終端網(wǎng)絡訪問的安全性��。6)能夠?qū)崟r對終端進行遠程終端鎖屏和解鎖,也可設置終端本地解鎖密碼���,鎖屏后可以通過輸入解鎖密碼進行屏幕解鎖。7)能夠通過管理控制臺�����,在線卸載客戶端�,或者重啟客戶端,方便管理員對在線終端進行遠程維護�����。8)支持遠程在線重啟或關閉終端計算機���,方便管理員對終端進行遠程維護�。(35)多因素組合認證1)接入認證的內(nèi)容包括用戶名/密碼���、IP地址�、MAC地址���、計算機安全狀態(tài)���、接入有效期等一種或多種條件的組合認證���。2)支持將終端數(shù)字證書(文件證書和U-key)作為準入控制認證條件,能夠?qū)崿F(xiàn)與PKI/CA系統(tǒng)聯(lián)動進行應用準入認證���。3)支持僅驗證客戶端的準入控制���,只要終端上安裝了客戶端,用戶無需輸入用戶名����、密碼即可通過認證并訪問網(wǎng)絡和應用。4)支持對找終端安全狀態(tài)進行認證�����,如果終端安全狀態(tài)不符合安全策略�����,能夠禁止終端訪問受保護的應用���、服務器或網(wǎng)絡資源�,也可以對安全狀態(tài)不符合安全策略的終端只進行提示,但不對網(wǎng)絡訪問進行攔截����。(36)基于Windows平臺1)能夠針對基于Windows操作系統(tǒng)平臺的各類應用系統(tǒng)訪問的終端實施準入控制,確保只有合法和安全的終端才能對應用進行訪問�。
1892)可以對使用瀏覽器進行訪問的終端,通過瀏覽器進行友好提示���,引導終端用戶完成客戶端的自助安裝。(37)基于DNS應用1)能夠針對DNS應用執(zhí)行準入控制�,確保只有合法和安全的終端才能夠通過DNS域名解,對網(wǎng)絡進行訪問��。2)可以對使用瀏覽器進行訪問的終端���,通過瀏覽器進行友好提示�����,引導終端用戶完成客戶端的自助安裝���。3)支持Pass-through模式(在線模式)的DNS應用準入,無需增加額外設備�,皆可實現(xiàn)對需要DNS解析后訪問網(wǎng)絡的終端執(zhí)行準入控制。4)支持Pass-by模式(旁路監(jiān)聽模式)的DNS應用準入,不改變網(wǎng)絡拓撲��,沒有DNS網(wǎng)關單點故障�����。(38)Web準入1)直接在Web應用系統(tǒng)中嵌入Web準入�,對來訪的終端執(zhí)行準入控制,確保只有合法的和安全的終端才能對Web應用進行訪問��。2)支持基于任何操作系統(tǒng)和Web平臺構(gòu)建的Web應用系統(tǒng)���。3)可以對使用瀏覽器進行訪問的終端�,通過瀏覽器進行友好提示�,引導終端用戶完成客戶端的自助安裝。(39)基于IIS的Web準入1)能夠?qū)贗IS構(gòu)建的Web應用系統(tǒng)上���,對來訪的終端執(zhí)行準入控制���,確保只有合法和安全的終端才能訪問到Web應用。2)可以對使用瀏覽器進行訪問的終端�����,通過瀏覽器進行友好提示,引導終端用戶完成客戶端的自助安裝��。(40)基于ISA代理1)能夠針對基于ISA應用代理服務器訪問網(wǎng)絡的終端實施準入控制���,確保只有合法和安全的終端才能通過ISA對網(wǎng)絡進行訪問��。2)基于ISA的應用準入可以實現(xiàn)代理服務器用戶多重登錄限制��,同一用戶不允許在不同終端上同時登錄ISA代理服務器��。限制同一臺終端上登錄ISA代理服務器的登錄名與登錄的登錄名必須一致����,否則將被拒絕訪問�。(41)基于Exchange郵件1)能夠針對使用基于Exchange的郵件系統(tǒng)終端實施準入控制�����,確保只有合法和
190安全的終端才能使用Exchange收發(fā)郵件���。2)可以使用Outlook或OutlookExpress客戶端訪問郵件系統(tǒng)的終端�,進行友好提示����,引導終端用戶完成客戶端的自助安裝����。3)可以對使用瀏覽器進行訪問的終端��,通過瀏覽器進行友好提示����,引導終端用戶完成客戶端的自助安裝。(42)ARP準入1)支持ARP準入��,可以通過受控終端使用ARP欺騙的方式����,封鎖非受控終端的網(wǎng)絡通訊。(43)客戶端準入1)受控終端能夠?qū)碓L的終端進行準入控制認證�,保證只有合法的終端才能夠?qū)ΡWo的終端進行訪問,有效保護內(nèi)部終端不會被非法掃描或訪問�����。2)如果受控終端自身安全狀態(tài)不滿足要求�����,也可以禁止其對網(wǎng)絡的訪問,避免因終端存在安全隱患���,可能帶來的安全風險����。(44)選擇性阻斷1)支持客戶端網(wǎng)絡阻斷�,在客戶端安全狀態(tài)不符合要求時,客戶端自身能不依賴任何其他設備和系統(tǒng)獨立執(zhí)行網(wǎng)絡訪問阻斷。2)支持選擇性阻斷,在客戶端安全狀態(tài)不符合要求時��,客戶端能根據(jù)管理員的配置,通過進程�����、端口����、目標地址等選擇性地阻止部分非緊急業(yè)務的網(wǎng)絡訪問����,而允許其他緊急業(yè)務的網(wǎng)絡訪問。3)啟用802.1X時����,選擇性阻斷技術保證客戶端安全狀態(tài)的改變不會導致交換機端口狀態(tài)的頻繁切換或VLAN的頻繁切換而影響交換機和網(wǎng)絡的性能4)啟用EoU時���,選擇性阻斷技術保證客戶端安全狀態(tài)的改變不會導致交換機頻繁下載ACL而影響交換機和網(wǎng)絡的性能。(45)多因素組合認證1)接入認證的內(nèi)容包括用戶名/密碼�����、IP地址�����、MAC地址�、計算機安全狀態(tài)、接入有效期等一種或多種條件的組合認證����。2)支持將終端數(shù)字證書(文件證書和U-key)作為準入控制認證條件,能夠?qū)崿F(xiàn)與PKI/CA系統(tǒng)聯(lián)動進行網(wǎng)絡準入認證���。3)支持僅驗證客戶端的準入控制�,只要終端上安裝了客戶端�,用戶無需輸入用戶名、密碼即可通過接入認證并接入網(wǎng)絡��。4)基于802.1X的網(wǎng)絡準入控制中支持終端可信MAC認證管理。通過可信MAC
191認證�,確保只有合法的MAC的終端通過網(wǎng)絡準入認證接入內(nèi)網(wǎng)。同時�,系統(tǒng)支持管理員在線對申請接入的終端,進行可信MAC實時認證和授權(quán)���,方便對新接入內(nèi)網(wǎng)的終進行精確和靈活的管理��。5)基于802.1X的網(wǎng)絡準入控制中支持終端可信GUID認證管理�����。GUID具有唯一和防篡改特性��,通過可信GUID認證����,確保只有合法的終端才能才能通過網(wǎng)絡準入認證接入內(nèi)網(wǎng)����。同時�����,系統(tǒng)支持管理員在線對申請接入的終端,進行可信GUID實時認證和授權(quán)���,方便對新接入內(nèi)網(wǎng)的終端進行精確和靈活的管理���。6)支持對找終端安全狀態(tài)進行認證,如果終端安全狀態(tài)不符合安全策略����,能夠禁止終端接入內(nèi)網(wǎng),或者自動將終端接入指定的GuestVLAN,也可以對安全狀態(tài)不符合安全策略的終端只進行提示���,但不對網(wǎng)絡訪問進行攔截��。(46)基于802.1X的網(wǎng)絡準入控制1)能夠通過與支持802.1X協(xié)議的接入交換機互動���,實現(xiàn)有線局域網(wǎng)網(wǎng)絡準入,對接入的計算機及接入的用戶進行認證�����。支持華為�����、H3C、3com��、Cisco等主流網(wǎng)絡設備���。2)接入認證的內(nèi)容包括用戶名/密碼�、IP地址���、MAC地址�、計算機安全狀態(tài)�、接入有效期等一種或多種條件的組合認證。3)支持將終端數(shù)字證書(文件證書和U-key)作為準入控制認證條件�����,能夠?qū)崿F(xiàn)與PKI/CA系統(tǒng)聯(lián)動進行網(wǎng)絡準入認證��。4)支持僅驗證客戶端的準入控制�,只要終端上安裝了客戶端,用戶無需輸入用戶名����、密碼即可通過接入認證并接入網(wǎng)絡。5)支持動態(tài)VLAN功能��,基于登錄用戶或者MAC地址劃分交換機端口VLAN�����。6)支持客戶端匿名登錄認證�����,如果終端用戶選擇匿名登錄���,系統(tǒng)將自動為其下發(fā)更加嚴格的訪客策略����,確保匿名用戶在網(wǎng)絡中的行為受控和安全�����。7)執(zhí)行基于可信MAC認證的網(wǎng)絡準入時�,管理員能夠?qū)π陆尤雰?nèi)網(wǎng)終端的陌生MAC地址實時進行認證和授權(quán)接入,通知交換機開通接入端口�����。8)能夠通過GUESTVLAN、動態(tài)VLAN,自動隔離沒有安裝客戶端的計算機或安全狀態(tài)不符合要求的計算機��,并進行安全修復�����。9)支持基于Port-based端口模式和基于MAC-based模式的認證混合使用����,可以實現(xiàn)對交換機下接HUB連接的終端執(zhí)行準入控制可實現(xiàn)準入控制。10)基于802.1X的網(wǎng)絡準入控制中支持終端可信MAC認證管理��。通過可信MAC認證��,確保只有合法的MAC的終端通過網(wǎng)絡準入認證接入內(nèi)網(wǎng)�。同時,系統(tǒng)
192支持管理員在線對申請接入的終端�����,進行可信MAC實時認證和授權(quán)�,方便對新接入內(nèi)網(wǎng)的終進行精確和靈活的管理。11)基于802.1X的網(wǎng)絡準入控制中支持終端可信GUID認證管理����。GUID具有唯一和防篡改特性�����,通過可信GUID認證����,確保只有合法的終端才能才能通過網(wǎng)絡準入認證接入內(nèi)網(wǎng)�����。同時��,系統(tǒng)支持管理員在線對申請接入的終端�,進行可信GUID實時認證和授權(quán)���,方便對新接入內(nèi)網(wǎng)的終端進行精確和靈活的管理�。12)支持對找終端安全狀態(tài)進行認證�,如果終端安全狀態(tài)不符合安全策略,能夠禁止終端接入內(nèi)網(wǎng)��,或者自動將終端接入指定的GuestVLAN,也可以對安全狀態(tài)不符合安全策略的終端只進行提示����,但不對網(wǎng)絡訪問進行攔截�。13)支持策略的交換機端口綁定��。無需修改交換機配置���,即可支持針對終端MAC��、終端GUID�、終端登錄用戶帳號或終端IP任一條件進行綁定�����,可以針對多個條件組合綁定�����,確保指定交換機端口只允許接入指定的終端���,或者保證指定的用戶通過指定的交換機端口接入網(wǎng)絡��。14)支持基于802.1X網(wǎng)絡準入MAC認證例外,能夠只認證接入設備的MAC地址���,如果MAC地址屬于MAC免認證列表中,則允許該設備接入網(wǎng)絡����。網(wǎng)絡準入MAC認證例外����,方便用戶在啟用基于802.1X網(wǎng)絡準入認證后����,能夠?qū)μ厥饨K端或網(wǎng)絡設備�����,例如特定用戶電腦����、網(wǎng)絡打印機、IP電話���、智能手機等設備進行識別和放行���,保證特數(shù)設備正常接入和訪問網(wǎng)絡。(47)基于漫游IP網(wǎng)段的802.1X網(wǎng)絡準入控制1)包含與標準802.1X網(wǎng)絡準入認證完全一樣的功能�。2)除此之外,在標準802.1X認證策略的基礎上����,擴展了基于漫游IP網(wǎng)段準入控制用戶認證功能���,加入客戶端歸屬網(wǎng)段概念?��?蛻舳寺谓尤敕菤w屬網(wǎng)段�����,系統(tǒng)將強制其通過DHCP獲取漫游網(wǎng)段的IP地址����;客戶端處于歸屬網(wǎng)段時�,只能使用指定的IP地址。(48)基于EoU的網(wǎng)絡準入控制1)支持思科NAC規(guī)范的EoU協(xié)議��,根據(jù)用戶終端的安全認證情況自動下發(fā)ACL到交換機中�����,如果用戶終端無客戶端程序則重定向用戶的URL訪問到指定的網(wǎng)頁進行安裝����。2)接入認證的內(nèi)容包括用戶名/密碼���、IP地址、MAC地址��、計算機安全狀態(tài)���、接入有效期等一種或多種條件的組合認證��。3)支持將終端數(shù)字證書(文件證書和U-key)作為準入控制認證條件��,能夠?qū)崿F(xiàn)與PKI/CA系統(tǒng)聯(lián)動進行網(wǎng)絡準入認證�。
1934)基于EOU的網(wǎng)絡準入控制中支持終端可信MAC認證管理�����。通過可信MAC認證����,確保只有合法的MAC的終端通過網(wǎng)絡準入認證接入內(nèi)網(wǎng)�����。同時�,系統(tǒng)支持管理員在線對申請接入的終端�����,進行可信MAC實時認證和授權(quán)��,方便對新接入內(nèi)網(wǎng)的終進行精確和靈活的管理���。5)在EoU協(xié)議標準的安全狀態(tài)認證的基礎上,通過EoU用戶認證技術擴展了的EoU功能��,根據(jù)EoU用戶認證結(jié)果下發(fā)ACL或重定向URL訪問����。6)能根據(jù)計算機MAC地址及登錄用戶下發(fā)動態(tài)ACL,限制其對網(wǎng)絡的訪問權(quán)限。7)能夠?qū)νㄟ^瀏覽器訪問的訪終端進行頁面重定向����,實現(xiàn)友好提示,引導終端用戶完成客戶端的自助安裝���。(49)無線網(wǎng)絡準入控制1)支持無線網(wǎng)絡的網(wǎng)絡準入控制�,能夠接管所有支持WPA企業(yè)版的無線接入設備類型�,對通過無線網(wǎng)絡接入的終端和用戶進行準入控制認證。2)支持對通過無線接入的終端和用戶進行多因素身份認證,認證的身份條件包括:用戶名/密碼、IP地址���、MAC地址�����、接入有效期等多種條件中的一種或多種條件的組合��。3)支持僅驗證客戶端的準入控制���,只要終端上安裝了客戶端,用戶無需輸入用戶名���、密碼即可通過接入認證并接入網(wǎng)絡�。4)支持終端可信MAC認證管理����。通過可信MAC認證��,確保只有合法的MAC的終端通過無線網(wǎng)絡準入認證接入內(nèi)網(wǎng)����。同時,系統(tǒng)支持管理員在線對申請接入的終端,進行可信MAC實時認證和授權(quán)��,方便對新接入內(nèi)網(wǎng)的終進行精確和靈活的管理����。5)支持終端可信GUID認證管理。GUID具有唯一和防篡改特性��,通過可信GUID認證��,確保只有合法的終端才能才能通過無線網(wǎng)絡準入認證接入內(nèi)網(wǎng)����。同時,系統(tǒng)支持管理員在線對申請接入的終端�,進行可信GUID實時認證和授權(quán),方便對新接入內(nèi)網(wǎng)的終端進行精確和靈活的管理�����。(50)資產(chǎn)管理1)能夠準確統(tǒng)計計算機終端數(shù)量�����。2)能夠自動收集計算機終端資產(chǎn)狀況��,包括安裝的硬件和軟件和操作系統(tǒng)的安裝時間等信息。3)能夠通過客戶端注冊自動綁定計算機所屬部門�����、使用人等信息��。實現(xiàn)終端資產(chǎn)與終端用戶實名管理���。4)當計算機終端關鍵硬件發(fā)生變化時�����,能夠自動提供資產(chǎn)變更報警��。
1945)當計算機終端安裝的軟件發(fā)生變化時����,能夠自動提供資產(chǎn)變更報警����。6)能夠自動識別和區(qū)分終端類型是臺式機或筆記本電腦,方便用戶根據(jù)終端類型進行分類管理和查詢與統(tǒng)計�����。7)能夠自動識別和區(qū)分存在多網(wǎng)卡的終端����,方便用戶對非法外聯(lián)行為進行控制。8)能夠識別安裝多操作系統(tǒng)的終端�,方便用戶對終端操作系統(tǒng)安裝情況進行了解和統(tǒng)計。9)能夠提供多種資產(chǎn)報表��,方便資產(chǎn)統(tǒng)計及管理��。并支持基于Word.Excel和Html格式的報表導出��。10)重裝操作系統(tǒng)后能自動找回原來的資產(chǎn)識別號����,以免產(chǎn)生重復信息。11)支持IP���、MAC��、部門�、使用人���、資產(chǎn)號等等多種條件查詢功能���,查詢數(shù)據(jù)支持基于Word,Excel和Html格式的報表導出�。(51)HOD遠程桌面1)當計算機出現(xiàn)故障時�����,計算機用戶可以直接通過系統(tǒng)向維護人員提供遠程幫助請求��。2)管理可以通過系統(tǒng)遠程提供技術支持�����,而無需到用戶現(xiàn)場處理����。3)支持僅由用戶主動發(fā)起的遠程桌面請求,管理員不能主動連接到用戶桌面��,以保護用戶隱私���。4)在遠程幫助全過程中��,計算機用戶都可以看到維護人員操作����,保護用戶隱私。5)支持對終端進行遠程監(jiān)控�,在開啟終端遠程監(jiān)控后�����,管理員可以直接對遠程的終端進行監(jiān)視或監(jiān)控��。6)能夠設置遠程桌面管理員的管理范圍���,不同用戶部門自動請求不同的管理員進行遠程幫助���。7)能夠?qū)h程桌面幫助進行審計,記錄管理員的操作記錄�����。(52)外設管理1)支持對計算機USB��、并口�����、串口��、紅外���、藍牙�、軟驅(qū)����、光驅(qū)、WLAN,1394����、PCMCIA卡、MODEM等外設的啟用及禁用���。2)能夠識別USB移動硬盤�����、業(yè)務卡�����、USB鼠標等USB設備����,并分別設置控制策略。3)能夠單獨禁用未知類型的外部設備�����,也可以禁用所有外部設備��,然后只選擇啟用某些指定的外部設備���。4)能夠根據(jù)用戶部門或用戶進行外設接口的靈活授權(quán)。5)能夠通過對未知設備進行自動檢測和采樣�����,通過設置禁用或啟用設備的列表����,實現(xiàn)對未知和新增設備的有效控制和管理。
1956)能夠自動收集終端曾經(jīng)使用過的USB設備的歷史記錄,并上報服務器�,并可以通過信息中心對指定范圍終端的USB設備使用歷史進行查詢。(53)補丁管理1)支持簡體中文�����、繁體中文�����、英文等語言的Windows操作系統(tǒng)IE系統(tǒng)補丁�。2)支持Windows應用程序補丁,支持MSOffice補丁�����,SQLServer補丁���,.netframework組件的補丁�����,并支持第三方Windows應用程序補丁管理��,例如AdobeReader等補丁����。并可以根據(jù)用戶實際的需求,在線擴展Windows應用程序補丁支持��,而無需升級客戶端����。3)提供多種補丁源,包括在線補丁源���、WSUS補丁源�����、手工補丁源等。4)提供多種補丁安裝選項���,可自動下載自動安裝��,自動下載手工安裝����,手工下載手工安裝���,強制安裝等��。5)支持補丁測試�,在正式應用補丁之前,可先對補丁進行小范圍指定終端進行測試��。6)支持離線補丁升級��,對不能連接互聯(lián)網(wǎng)的網(wǎng)絡環(huán)境��,可以使用移動介質(zhì)升級��。7)維護人員及時了解到生產(chǎn)網(wǎng)每臺計算機安裝的補丁情況����,也可以查看每個補丁在網(wǎng)絡中的安裝情況。8)對于關鍵補丁��,系統(tǒng)可以強制進行補丁的安裝����,對于沒有安裝的計算機將不允許其訪問網(wǎng)絡。9)補丁分發(fā)支持流量控制��,支持在空閑時進行補丁分發(fā)����,也支持在指定的時間段內(nèi)進行補丁分發(fā)��,最低限度降低補丁分發(fā)對網(wǎng)絡帶寬的影響����。(54)軟件分發(fā)1)支持的對客戶端軟件安裝包的自動分發(fā)和安裝��,分發(fā)軟件格式支持MSI����、EXE、BAT����、腳本等格式的安裝程序,支持自定義安裝包��。2)支持普通格式的文件自動分發(fā)���,可以將文件自動分發(fā)到指定的終端目錄下;或?qū)⒅付ǖ奈募蛘邞贸绦驈椭频浇K端指定的位置���。3)軟件分發(fā)支持斷點續(xù)傳��。4)軟件分發(fā)支持流量控制�。5)支持指定分組、立即或指定時間進行軟件安裝����。6)支持通過檢查安裝路徑、檢查注冊表確定是否執(zhí)行軟件安裝�。7)支持識別操作系統(tǒng)版本進行定向軟件分發(fā)。8)記錄和統(tǒng)計客戶端的軟件分發(fā)和安裝情況��;可以定義時間段查詢��;導出信息報
196表���,并可自定義報表�。(55)主機名規(guī)范1)支持終端主機名綁定���,如果終端主機名不是綁定的主機名�,系統(tǒng)將對主機名進行自動修改���,保證終端主機名符合主機名規(guī)范�����。2)支持禁止修改主機名�����,防止終端用戶隨意修改終端的主機名��,但仍可以對主機名進行規(guī)范修改�����。(56)短消息1)提供客戶端信息廣播功能��,可以在Web管理控制臺上���,編輯通知消息���,通過自動下發(fā)到指定的終端后,由客戶端提醒終端用戶有短消息�����。2)可以分組指定發(fā)送短消息��,并可以設定短消息有效時間����,保證短消息的時效。3)支持實時對指定終端或終端列表進行消息推送���,及時送達短息通知��。4)提供短消息策略創(chuàng)建人和刪除人����、創(chuàng)建和刪除時間和短消息內(nèi)容的審計�,防止管理員惡意發(fā)布不良言論而無法追查。5)通過客戶端短消息���,可以對終端用戶進行安全教育����。通過系統(tǒng)可以將事先準備好的安全教育內(nèi)容����,定時通過短消息傳送到客戶端,客戶端收到后����,將自動彈出信息提示框�����,并提示終端用戶及時進行閱讀���,待終端用戶全文閱讀完畢并點擊確認,客戶端消息框?qū)⒉辉購棾?����。除此之外����,管理員還可以根據(jù)實際情況,調(diào)整信息提示框彈出的頻率和消息有效期,保證達到理想的安全教育效果�。(57)終端資源監(jiān)控1)能夠?qū)K端計算機的CPU使用率、內(nèi)存使用率�����、硬盤剩余空間和終端網(wǎng)絡流量進行監(jiān)控和告警���,及時了解和掌握終端資源使用情況��。2)能夠設定終端計算機的CPU使用率���、內(nèi)存使用率�、硬盤剩余空間和終端網(wǎng)絡流量的告警閥值��,一旦終端資源占用超過設定閥值��,就會發(fā)送告警到服務器,幫助管理員根據(jù)終端資源使用的異常情況����,發(fā)現(xiàn)3)可以在Web管理控制臺�,查看指定終端的資源使用歷史曲線�����,也可以對資源使用率超出閥值的終端進行查詢和統(tǒng)計����。(58)Windows防火墻例外排除1)支持為指定的應用程序在終端Windows防火墻中設置例外排除�����,確保指定應用程序不會因啟用Windows防火墻被誤攔���。2)添加的應用程序Windows防火墻例外排除�����,自動在所有網(wǎng)絡環(huán)境下生效。
197(59)終端自動關機1)能夠為終端設定的自動關機的條件�,一旦條件符合�����,終端將自動執(zhí)行關機�,方便管理員對無人值守或者長期空閑的機器關機處理�����。2)關機條件支持定時自動關機,也支持終端空閑若干時間后執(zhí)行關機����,方便根據(jù)不同情況進行處理�����。(60)文件遠程刪除1)能夠通過策略��,對終端目標文件進行遠程刪除功能����,幫助管理員對終端可能存在的惡意程序或重要文檔進行遠程刪除���。(61)移動存儲設備認證1)能夠?qū)尤虢K端的移動存儲進行認證�����,對未認證的移動存儲設備�����,能給用戶彈出認證和注冊窗口�,提示用戶對設備進行認證�,確保只有認證過的移動存儲設備才能夠在終端使用�����。提交認證時,除了可以填寫移動設備的使用人相關信息之外���,還可以選擇使用人所在的部門���,方便對以后設備的維護和管理��。2)可以直接授權(quán)認證過的移動存儲設備禁止使用、只讀或可讀寫�����,也可以對認證過的移動存儲設備進行多種模式的安全認證��,保證認證的移動存儲設備保存的數(shù)據(jù)安全保密,移動存儲設備授權(quán)共享����。安全認證模式包括:專用目錄加密認證����、全盤加密認證和分區(qū)表加擾認證。3)當未認證過的新移動存儲設備接入終端時,能自動阻止該移動存儲設備被讀取或?qū)懭霐?shù)據(jù)��。支持對USBkey��、鼠標鍵盤等通用輸入輸出設備進行自動識別,保證其不受啟用移動存儲認證的影響�。4)支持對多個移動存儲設備進行批量授權(quán)�����,并支持對已經(jīng)移動存儲認證信息進行批量導入和導出���,方便對移動存儲設備進行高效管理�。(62)移動存儲設備專用目錄加密1)系統(tǒng)將自動為認證的移動創(chuàng)建專用加密目錄,保存到加密目錄的文件,將自動被加密��,在非管理環(huán)境下����,移動存儲設備仍可以使用�,但無法打開加密目錄中的已經(jīng)加密文件��,確保內(nèi)部資料的安全�。2)能夠?qū)σ苿哟鎯υO備使用進行授權(quán)����,可以指定由分組的終端����、用戶在線和離線時使用權(quán)限,確保認證移動存儲授權(quán)共享���。對于加密目錄����,可以設置讀�、寫�、離線讀���、離線寫等目錄操作權(quán)限,對于非加密目錄讀、寫�����、離線讀�、離線寫等目錄操作權(quán)限。全面適應各種復雜移動存儲設備應用場景�。
198(63)移動存儲設備全盤加密1)系統(tǒng)將自動安全格式化移動存儲設備�����,所有保存到移動存儲設備的文件���,將全部自動被加密�����,在非管理環(huán)境下�����,移動存儲設備完全不能使用���,從而最大限度保證內(nèi)部資料的安全�����。2)能夠?qū)σ苿哟鎯υO備使用進行授權(quán),可以指定由分組的終端、用戶在線和離線時使用權(quán)限��,確保認證移動存儲授權(quán)共享���。3)能夠?qū)σ苿哟鎯υO備只認證���,不做加密處理�����,保證特殊移動存儲設備經(jīng)過認證即可正常使用��。(64)移動存儲設備分區(qū)表加擾1)系統(tǒng)將自動對認證的移動存儲設備進行分區(qū)表加擾�,在非管理環(huán)境下�,移動存儲設備完全不能使用����,從而最大限度保證內(nèi)部資料的安全��。2)能夠?qū)σ苿哟鎯υO備使用進行授權(quán)��,可以指定由分組的終端����、用戶在線和離線時使用權(quán)限�����,確保認證移動存儲授權(quán)共享�����。3)支持分區(qū)加擾,移動盤在非管理環(huán)境完全無法使用���,分區(qū)解擾可快速將加擾盤恢復成普通盤。4)能夠?qū)σ苿哟鎯υO備只認證,不做加擾處理,保證特殊移動存儲設備經(jīng)過認證即可正常使用��。(65)使用未認證設備計算機授權(quán)1)在管理環(huán)境中���,能指定某些特殊終端可以使用未經(jīng)認證的移動存儲設備����,提高移動存儲管理的靈活性。(66)移動存儲管理審計1)提供移動存儲認證、使用和數(shù)據(jù)共享全過程的審計�,方便用戶準確掌握移動存儲使用和共享情況��。(67)文件操作審計與控制1)對指定目錄文件的讀����、寫�����、新建、復制、刪除�����、改名、移動等操作進行審計。2)對指定目錄文件的讀、寫��、新建���、刪除�����、改名����、移動等操作進行阻斷。3)針對指定文件名后綴進行審計或阻斷�。4)終端的共享目錄被訪問時進行審計�。5)對用戶訪問網(wǎng)絡文件進行審計�����。6)支持離線審計策略。
1997)對指定進程操作進行審計和阻斷�����。(68)打印審計與控制1)對終端用戶的打印行為進行審計�,并可禁止終端的打印行為�����。(69)網(wǎng)站訪問審計與控制1)審計終端用戶上網(wǎng)行為����,并能設置上網(wǎng)白名單和黑名單,即只能訪問的網(wǎng)站和禁止訪問的網(wǎng)站����,控制終端通過http代理上網(wǎng)��,規(guī)范上網(wǎng)行為�。(70)文件涉密信息審計1)能夠?qū)K端磁盤上是否存在涉密信息進行審計����。支持用戶自定義涉密信息關鍵字列表�,支持的文檔格式包括:文檔、電子郵件�����、音樂文件�����、照片等����。2)涉密信息審計和查詢�,支持多個關鍵字“或”和“與”的組合審計和查詢,能夠?qū)Π婷苄畔⒌奈臋n進行精確定位��。(71)異常路由審計1)審計終端異常路由��,發(fā)現(xiàn)可能的私接專線����。(72)主機名�、IP��、MAC變更審計1)能夠?qū)K端主機名、IP��、MAC變化時進行審計���,及時發(fā)現(xiàn)違規(guī)修改計算機配置的違規(guī)行為�����。2)終端Windows登錄審計3)能夠?qū)K端用戶登錄Windows情況進行審計,掌握每臺終端用戶活躍情況����。(73)終端開關機審計1)能夠?qū)K端開關機進行審計,記錄終端Windows操作系統(tǒng)啟動、重啟和關機的行為��,并生成審計日志�,上報服務器���,掌握終端系統(tǒng)使用真實情況�����。(74)客戶端運行審計1)全程跟蹤和審計客戶端的運行狀況��,審計的客戶端運行狀況包括:客戶端服務的啟用和停止���,客戶端的卸載行為�,客戶端策略獲取等信息����。(75)光盤刻錄行為審計1)支持對終端光盤刻錄行為進行審計���,生成的刻錄行為審計信息上報服務器??啼泴徲嫷膬?nèi)容包括:刻錄時間����、刻錄的文件名、刻錄軟件進程名和發(fā)生刻錄行為的終端相關信息�。2)能夠控制終端的刻錄行為���,可以通過策略禁止終端進行刻錄,在設置允許刻錄時����,可以選擇是否對刻錄行為進行審計��。
200(76)FTP審計與控制1)能夠?qū)K端FTP傳輸行為進行審計����,審計內(nèi)容包括:FTP的時間���、FTP文件名稱����、文件大小��,以及當時的Windows登錄用戶等信息�。2)能夠?qū)K端FTP傳輸行為進行控制�,可以禁止終端進行FTP傳輸行為���。(77)終端使用USB設備歷史審計1)能夠?qū)K端曾經(jīng)使用過的USB設備進行審計,審計的內(nèi)容包括:USB設備名稱�����、設備實例ID、使用時間等信息����,方便對終端USB設備歷史情況進行了解���。(78)應用程序使用審計1)能夠?qū)K端應用程序的使用情況進行審計��,審計的應用程序使用內(nèi)容包括應用程序的名稱���,應用程序開啟��、關閉和連續(xù)運行時間信息等��,方便對終端程序使用進行維護和管理��。(79)終端用戶權(quán)限變更審計1)能夠?qū)K端Windows操作系統(tǒng)給用戶的權(quán)限變更進行審計,審計的內(nèi)容包括用戶的創(chuàng)建��、刪除和權(quán)限更改�����,方便對終端用戶帳號的權(quán)限變更進行跟蹤和管理��。3.4.1.4堡壘機⑴三權(quán)分立1)用戶多角色劃分:系統(tǒng)需提供用戶管理員、配置管理員�����、審計管理員��、普通用戶等多種角色:(2)分布式管理1)支持分布式部署�,可以通過統(tǒng)一的數(shù)據(jù)中心采集各個獨立引擎的日志��?�?偛靠偪刂婆_能夠適時監(jiān)控分布式部署引擎的系統(tǒng)狀態(tài)以及賬號信息、策略��、報表和審計事件����。2)審計引擎統(tǒng)一管理��、至少支持2個以上的引擎同時管理��,審計數(shù)據(jù)統(tǒng)一存儲����、查詢��、分析、統(tǒng)計(3)多級管理1)下級控制臺可以設置接受上級管理2)上級控制臺可以查看所有下級的拓撲和狀態(tài)3)上級控制臺可以為下級生成報表4)上級控制臺可以為下級下發(fā)審計對象
201(4)日志維護1)可對審計日志按照時間段進行備份2)可對審計日志進行自動和手工備份⑸系統(tǒng)升級1)支持堡壘機系統(tǒng)的升級管理(6)用戶帳號實名制1)可以根據(jù)具體的維護人員添加唯一與其身份對應的用戶�����,實現(xiàn)維護人員身份的唯一性管理⑺用戶狀態(tài)1)可以設定活動���、禁用兩種用戶帳號狀態(tài)�����,當用戶在一定時間內(nèi)連續(xù)輸錯密碼時,可以自動禁用該用戶帳號(8)用戶身份認證1)支持靜態(tài)密碼認證方式2)支持雙因素認證方式(9)帳號有效期控制1)可以通過配置用戶帳號的密碼有效期�,使用戶帳號在到期之后停止使用(10)密碼托管1)通過對目標設備密碼的托管�����,實現(xiàn)對后臺設備的自動登錄(11)密碼維護1)支持系統(tǒng)管理員和認證用戶的密碼安全性設置�����,包括長度、復雜度等2)靈活可配置的密碼修改策略��;(12)權(quán)限管理1)支持黑名單(不可以執(zhí)行)和白名單(只允許執(zhí)行)2)對于用戶權(quán)限定義精確到命令級3)對于關鍵的Telnet服務器����,可以配置權(quán)限用戶登錄后自動執(zhí)行命令集4)可以對用戶訪問權(quán)限進行查看���、變更、刪除等操作(13)訪問策略定義1)可實現(xiàn)基于訪問IP��、用戶賬號����、目標設備����、目標服務、系統(tǒng)帳號�����、具體操作���、時間設定比較詳細的訪問策略2)不符合訪問策略的操作可以被阻斷
2023)每個訪問策略可以支持多個訪問規(guī)則(14)操作規(guī)則定義1)對于文件操作���,能夠定義文件目錄名、操作類型�����、命令響應時間��、返回碼等(非正則表達式模式)2)對于命令行操作:能夠定義用戶名��、操作命令、命令響應時間�、返回碼等(非正則表達式模式)3)對于圖形操作:能夠定義用戶名、訪問源主機等(非正則表達式模式)4)對于數(shù)據(jù)庫操作:能夠定義數(shù)據(jù)庫操作類�、表��、視圖��、索引�、觸發(fā)器、存儲過程���、域、Schema,游標�、事物��、響應時間����、返回行數(shù)�、操作成功失敗等各種對象(非正則表達式模式)(15)實時監(jiān)控1)可對RDP���、VNC�����、Telnet,SSH等協(xié)議進行實時監(jiān)控2)對于實時監(jiān)控的會話,可以手動進行阻斷(16)系統(tǒng)對操作響應1)記錄審計事件2)記錄會話數(shù)據(jù)3)忽略4)實時阻斷5)界面告警6)Syslog告警7)SNMPtrap告警8)郵件告警(17)查詢條件1)所有操作均支持按時間��、級別����、源'目的IP����、源\目的MAC����、協(xié)議名����、源、目的端口為條件進行審計日志查詢(18)命令操作搜索1)搜索關鍵詞支持正則表達式:(19)圖形操作搜索1)可以以鍵盤輸入的內(nèi)容為關鍵字進行搜索���;(20)數(shù)據(jù)庫操作搜索
2031)支持按數(shù)據(jù)庫名�����、數(shù)據(jù)庫表名、字段值����、數(shù)據(jù)庫登陸賬號����、數(shù)據(jù)庫操作命令��、數(shù)據(jù)庫返回碼�����、SQL響應時間、數(shù)據(jù)庫返回行數(shù)作為查詢和統(tǒng)計條件(21)操作和會話關聯(lián)1)搜索結(jié)果與操作會話關聯(lián)�����,實現(xiàn)快速定位(22)命令操作1)支持命令操作會話的完整回放(23)圖形操作1)支持圖形操作的回放2)支持倍速回放3)支持回放全屏顯示4)回放時可顯示鍵盤和鼠標操作內(nèi)容(24)審計報表1)支持生成各種格式的審計報表���,包括PDF、Word���、Excel,HTML等格式2)系統(tǒng)自帶多種報表模板3)系統(tǒng)支持自定義報表4)支持報表按日、周���、月自動生成,并且可自動郵件發(fā)送給相關管理人員3.4.1.5數(shù)據(jù)庫審計⑴采用旁路部署方式對原有網(wǎng)絡不造成影響�����,網(wǎng)絡審計產(chǎn)品的故障不影響被審計系統(tǒng)的正常運行�。(2)支持透明部署�����、支持單臂路由�����、支持路由模式�����、支持NAT、支持Bypass����。⑶采用B/S管理方式�����。(4)無需在被審計系統(tǒng)上安裝任何代理�。⑸審計引擎統(tǒng)一管理����、至少支持2個以上的引擎同時管理���,審計數(shù)據(jù)統(tǒng)一存儲、查詢����、分析、統(tǒng)計�����。⑹下級控制臺(數(shù)據(jù)中心)可以設置接受上級管理�。(7)上級控制臺(數(shù)據(jù)中心)可以查看所有下級的拓撲和狀態(tài)����。(8)上級控制臺(數(shù)據(jù)中心)可以為下級生成報表�����。(9)上級控制臺(數(shù)據(jù)中心)可以為下級下發(fā)審計對象�����。
204(10)Oracle數(shù)據(jù)庫審計。(11)SQL-Server數(shù)據(jù)庫審計���。(12)DB2數(shù)據(jù)庫審計�。(13)Informix數(shù)據(jù)庫審計��。(14)Sybase數(shù)據(jù)庫審計���。(15)MySQL數(shù)據(jù)庫審計����。(16)PostgreSQL數(shù)據(jù)庫審計�。(17)Teradata數(shù)據(jù)庫審計���。(18)Cache數(shù)據(jù)庫所審計�����。(19)人大金倉數(shù)據(jù)庫的審計���。(20)達夢數(shù)據(jù)庫的審計。(21)南大通用數(shù)據(jù)庫的審計。(22)網(wǎng)絡鄰居審計�����。(23)NFS協(xié)議審計��。(24)Telnet協(xié)議審計。(25)FTP協(xié)議審計�。(26)Rlogin協(xié)議審計�。(27)Radius協(xié)議審計��。(28)RDP協(xié)議審計�。(29)SSH協(xié)議審計��。(30)SCP協(xié)議審計�����。(31)SFTP協(xié)議審計。(32)支持自動方式建立web訪問和SQL訪問之間的對應關系����,生成訪問行為模型庫�����。(33)對于模型庫以外的未知HTTP操作、未知SQL操作可進行標注審計�����。(34)支持中間件環(huán)境下的SQL語句關聯(lián)到HTTP操作�,HTTP操作關聯(lián)到HTTP-ID,實現(xiàn)中間件環(huán)境下的審計追溯����。(35)支持事后關聯(lián)和實時關聯(lián)兩種方式���。(36)支持對針對數(shù)據(jù)庫的XSS攻擊行為進行審計��。(37)支持對針對數(shù)據(jù)庫的SQL注入攻擊行為進行審計。
205(38)提供對數(shù)據(jù)庫返回碼的知識庫和實時說明�,幫助管理員快速對返回碼進行識別�。(39)支持數(shù)據(jù)庫并發(fā)會話數(shù)�����、并發(fā)進程數(shù)�、并發(fā)用戶數(shù)�、并發(fā)游標數(shù)���、并發(fā)事務數(shù)、數(shù)據(jù)庫鎖等超過限制的審計�����。(40)支持數(shù)據(jù)庫賬號登陸成功�����、失敗的審計。(41)系統(tǒng)應自帶審計規(guī)則庫�,用戶可自定義審計策略�����。(42)審計策略支持時間、源IP�����、目的IP�、協(xié)議����、端口��、登陸賬號、命令作為響應條件����。(43)審計策略支持數(shù)據(jù)庫客戶端軟件名稱�����、數(shù)據(jù)庫名��、數(shù)據(jù)庫表名�����、數(shù)據(jù)庫字段名、數(shù)據(jù)庫返回碼作為響應條件(非正則表達式方式)�����。(44)審計策略支持字段值作為分項響應條件(非正則表達式方式)���。(45)支持數(shù)據(jù)庫綁定變量審計。(46)支持訪問數(shù)據(jù)庫的源主機名�、源主機用戶的審計。(47)支持SQL操作響應時間的審計�。(48)支持Select操作返回行數(shù)的審計����。(49)支持數(shù)據(jù)庫操作成功��、失敗的審計���。(50)支持數(shù)據(jù)庫操作類�����、表、視圖���、索引�����、觸發(fā)器、存儲過程���、域、Schema,游標��、事物等各種對象的SQL操作審計�����。(51)支持Telnet協(xié)議的審計��,能夠?qū)徲嬘脩裘?���、操作命令�����、命令響應時間����、返回碼等��。(52)支持對FTP協(xié)議的審計�����,能夠?qū)徲嬘脩裘?���、命令��、文件����、命令響應時間、返回碼等���。(53)支持審計網(wǎng)絡鄰居的用戶名�����、讀寫操作�、文件名等���。(54)支持審計NFS協(xié)議的用戶名�����、文件名等��。(55)支持審計Radius協(xié)議的認證用戶MAC��、認證用戶名����、認證IP、NAS服務器IP��。(56)支持IP-MAC綁定變化情況的審計�。(57)記錄審計事件。(58)記錄會話數(shù)據(jù)����。(59)支持實時阻斷、界面告警��、Syslog告警����、SNMPtrap告警���、郵件告警。(60)實時監(jiān)控對實時告警信息�����,當前會話進行詳細察看���;有助于管理員及時處置。(61)支持按時間����、級別����、源'目的IP、源'目的MAC�、協(xié)議名、源\目的端口為條件進行查詢����。(62)支持按數(shù)據(jù)庫名、數(shù)據(jù)庫表名���、字段值��、數(shù)據(jù)庫登陸賬號���、數(shù)據(jù)庫操作命令、數(shù)據(jù)庫返回碼��、SQL響應時間、數(shù)據(jù)庫返回行數(shù)作為查詢和統(tǒng)計條件��。
206(63)支持按自定義關鍵字作為查詢和統(tǒng)計條件�����。(64)支持條件之間的與�����、或、非邏輯組合��。(65)系統(tǒng)提供報表模板庫。(66)系統(tǒng)支持根據(jù)自定義關鍵字自動生成報表����。(67)支持按每天、每周�����、每月、時刻生成報表����。(68)支持生成CSV、Word,PDF,xls�����、HTML格式的報表導出�����。(69)支持郵件方式自動發(fā)送報表���。(70)提供管理員權(quán)限設置和分權(quán)管理,提供三權(quán)分立功能����,系統(tǒng)可以對使用人員的操作進行審計記錄,可以由審計員進行查詢�����,具有自身安全審計功能����。(71)管理員登陸支持靜態(tài)口令認證,支持密碼的復雜性管理���,比如大小寫、數(shù)字���、特殊字符��、長度等����。(72)能夠?qū)δ軌驅(qū)B續(xù)失敗登陸進行自動鎖定����,鎖定時間可設置。(73)審計系統(tǒng)上存在大量敏感信息"必須對審計管理員進行強度更高的認證,管理員登陸支持硬件令牌認證����。(74)提供審計數(shù)據(jù)管理功能���,能夠?qū)崿F(xiàn)對審計數(shù)據(jù)的自動備份、刪除����。(75)提供審計報表自動備份功能��。(76)提供系統(tǒng)升級功能,能夠通過升級包的方式實現(xiàn)升級��。(77)提供磁盤存儲容量不足���、磁盤Raid故障等自動郵件報警��。(78)提供CPU、內(nèi)存、磁盤���、網(wǎng)口、運行時間��、運行狀態(tài)等信息的監(jiān)視功能���。(79)提供審計策略和配置的導入導出。(80)支持SNMP方式��,提供系統(tǒng)運行狀態(tài)給第三方網(wǎng)管系統(tǒng)���。(81)支持Syslog方式向外發(fā)送審計日志�。(82)支持SNMPTrap方式向外發(fā)送審計日志�。(83)支持NTP時間同步。3.4.2性能設計要求3.4.2.1安全一體化網(wǎng)關(1)硬件架構(gòu):多核����,2U標準機架式結(jié)構(gòu)⑵網(wǎng)絡接口:12個千兆Combo接口(每個Combo口為一對互斥的千兆口���,即1個千兆SFP
207插槽(不含SFP模塊)和1個千兆電口)(3)管理接口:1個10/100Base-Tx帶外管理口(4)最大并發(fā)連接數(shù):80萬⑸每秒新建連接數(shù):2.8萬(6)最大吞吐量(Mbps):6G(7)其他接口:USB接口2個:CF卡接口1個:Console接口1個3.4.2.1入侵檢測系統(tǒng)(1)硬件架構(gòu):2U標準機架式結(jié)構(gòu),單電源(2)網(wǎng)絡接口:1個RJ-45Console口,1個10/100Base-Tx帶外管理口,5個10/100/1000Base-T接口���,2個SFP接口(不含SFP光模塊)��,2個USB口�����,冗余電源�����,含嵌入式軟件(3)控制中心軟件一套,含1個監(jiān)聽口授權(quán)⑷第一年的特征庫升級授權(quán)(5)最大并發(fā)連接數(shù):150萬(6)每秒新建連接數(shù):6萬3.4.2.2終端管理系統(tǒng)1個服務器端����,80個客戶端,支持80個用戶同時在線�。3.4.2.3堡壘機⑴硬件架構(gòu):1U機架式軟硬一體設備,專用硬件平臺和安全操作系統(tǒng),單電源(2)最大吞吐量(Mbps):1000M(3)網(wǎng)口數(shù)量:缺省2個1OOOM電口業(yè)務接口���,可擴展4個1000M電口業(yè)務接口(4)管理接口:1個1000M電口管理口(5)存儲容量:2T3.4.2.4數(shù)據(jù)庫審計
208(1)數(shù)據(jù)中心1)硬件架構(gòu):2U標準機架式結(jié)構(gòu)���,雙電源2)支持4個審計引擎、1個1000M電口管理口���、1個1000M電口數(shù)據(jù)口��、數(shù)據(jù)存儲量2T�����、支持RAID5���、雙電源���、含嵌入式軟件)一臺,審計數(shù)據(jù)中心軟件一套3)20個被審計DB服務數(shù)�。(2)審計引擎1)旁路部署,1U上架專用設備�,雙電源2)2千兆電口監(jiān)聽、4個SFP千兆插槽���、1個千兆管理口、�,含嵌入式軟件,最大支持4個監(jiān)聽口���、需配置相應授權(quán)及SFP模塊支持電口或光口:千兆審計引擎軟件一套:3)支持Oracle����、SQL-Server,網(wǎng)絡鄰居��、Telnet、FTP����、HTTP等協(xié)議的在線審計。4)需搭配審計數(shù)據(jù)中心使用�,質(zhì)保期內(nèi)(自硬件產(chǎn)品發(fā)貨之日起,為期15個月)免費維修�����。3.4.2部署方案設計3.4.2.1安全一體化網(wǎng)關安全一體化網(wǎng)關部署在網(wǎng)絡邊界處�。
209主干網(wǎng)3.4.2.1入侵檢測系統(tǒng)入侵檢測系統(tǒng)旁路部署于核心交換機。
2103.4.2.1終端管理系統(tǒng)終端安全管理系統(tǒng)采用c/s架構(gòu)�����,是一套軟件系統(tǒng)���,在本項目中��,需部署在一臺獨立的服務器上����,agent(客戶端)需要分別安裝在每臺需要進行管控的終端上。3.4.2.2堡壘機堡壘機系統(tǒng)旁路部署于核心交換機�。
211主干網(wǎng)3.4.3.5數(shù)據(jù)庫審計數(shù)據(jù)庫審計系統(tǒng)旁路部署于核心交換機。
2123.5整體部署示意圖安全設備圖例說明UTM安全一體化網(wǎng)關境壘機網(wǎng)絡安全審計系統(tǒng)
