一、产品通用技术要求
(一)系统架构要求
1、 堡垒主机的管理方式为WEB方式。管理员和用户均通过WEB方式访问堡垒主机。
2、 运维工作站对堡垒主机的访问采用安全的访问方式,如https。
3、 支持分(多)级部署,分区域、分权限管理。
4、 提供认证服务器组件,所有对资源的访问采用由认证服务器转发机制,非临时会话号机制,避免由于临时会话号被截获带来的安全隐患,提高资源访问的安全性。
5、 系统运行在安全系统平台,运行过程中自身开放端口数目不超过3个,不允许开放常规运维协议端口,例如SSH的22端口,RDP的3389端口等;
6、 4A管理平台做主帐号的认证,并通过认证接口控制堡垒主机主帐号的资源访问行为,堡垒主机根据4A管理平台的访问控制要求提供资源访问。
7、 可以依托堡垒主机提供4A的整体解决方案,将用户的所有IT系统做统一的帐号、认证、授权、审计管理。有大型4A项目实施案例。
8、 具备智能负载均衡功能,支持对当前的运维管理所需的网络资源占用进行智能化分配调度。
(二)基础功能
9、 提供堡垒主机自身状态的监控功能,包括:cpu工作情况,内存使用情况,磁盘使用情况,网卡使用情况,堡垒主机自身数据库工作情况,堡垒主机自身WEB服务工作情况,堡垒主机自身其他关键组件工作情况等。
10、 可以使用WEB方式对堡垒主机进行重启和关机。
11、 可以对堡垒主机的时间进行设置。
12、 支持堡垒主机自身程序通过WEB方式升级。
13、 支持日志的备份、导出和恢复。
14、 支持双机热备。
二、产品功能技术要求
(一)主帐号管理
15、 支持对自然人(主账号)的分组管理,分组可以树形方式展现,不限制分组层级数量。
16、 主帐号的整个生命周期管理,对主帐号进行增加、修改、删除及锁定、解锁等操作。支持对主账号进行批量操作。
17、 可以设置主账号的有效期,
18、 主帐号的新建和修改时,支持通过配置访问时间策略达到限制主帐号只能在规定的时间段内进行资源访问。
19、 主帐号的新建和修改时,支持通过配置访问地址策略达到限制主帐号只能在规定的地址段内进行资源访问。
20、 主帐号的新建和修改时,支持通过配置访问锁定策略,达到限制主帐号密码输入错误次数和锁定时间。
21、 主帐号的新建和修改时,支持通过配置密码策略,达到指定密码有效期和限制主帐号密码强度的目的。
22、 主帐号登录堡垒主机后,可以自助方式修改自身帐号信息,包括密码、手机、邮件等基础信息。
23、 支持自然人(主帐号)入职、置位变更、离职的流程管理,支持流程申请人、审批人、执行人的委派。入职、变更、离职需要申请人定义申请单,发起事件申请;事件可以多人审批,审批人收到申请后可以同意或拒绝申请,同意时可以指定执行人进行实际的管理动作的执行。
24、 支持集中认证管理,提供统一的认证接口,便于对用户认证的管理,而且能够采用更加安全的认证模式,提高认证的安全性和可靠性。通过认证接口控制主帐号的资源访问行为,认证通过后,系统根据访问控制要求提供资源访问。主账号认证方式支持静态口令、指纹、智能卡、动态令牌、AD域等。也可以多种认证方式结合,做组合认证,提高访问的安全性。
(二)资源管理
25、 能够添加、修改、删除被管资源。
26、 支持资源的分组管理,分组可以树形方式展现,不限制分组层级数量。
27、 资源类型支持Windows主机、域控主机、域控内主机、Unix主机、各种网络设备、安全设备、网元、数据库等。
28、 支持资源接入的流程管理,支持流程申请人、审批人、执行人的委派。资源的接入需要申请人定义申请单,发起事件申请;事件可以多人审批,审批人收到申请后可以同意或拒绝申请,同意时可以指定执行人进行实际的管理动作的执行。
29、 产品自带SSO单点登录控件,运维工作站不需要安装部署SecureCRT、SSHClient等终端仿真程序,即可通过SSH、TELNET、FTP、VNC、XWINDOW等网管协议对资源进行运维操作。
30、 对于数据库、web、专用C/S客户端程序支持以应用发布的方式进行授权和审计。可通过应用发布服务器提供统一登录门户,支持单点登录,无需二次认证,并可对其运维过程进行监控,审计;对非法运维操作可进行实时阻断。
31、 支持应用发布服务器的自身授权管理,支持业务系统间授权
(三)从帐号管理
32、 能够对各种资源上的帐号进行推、拉、同步。推帐号即从堡垒主机平台向资源上添加帐号;拉帐号即从资源上自动收集所有设备帐号到堡垒主机上;同步帐号完成推拉两个动作,从而保持堡垒主机和资源上从帐号的同步。
33、 资源上的帐号进行管理,可以添加、修改、删除资源上的从帐号。
34、 从帐号的新建和修改时,支持通过配置主机命令策略达到限制使用此从帐号访问资源时,只能使用某些指令或者禁用某些指令。
35、 从帐号的新建和修改时,支持通过配置访问时间策略达到限制使用此从帐号访问资源时只能在规定的时间段内访问。
36、 从帐号的新建和修改时,支持通过配置访问地址策略达到限制使用此从帐号访问资源时只能在规定的地址段内访问。
37、 支持资源从帐号的接管和共管方式,接管方式的从帐号才能修改。支持重置接管从帐号的密码。
38、 支持资源从帐号的双人共管方式和主副岗管理方式,灵活的适应用户的帐号管理场景。
(四)授权管理
39、 可以将资源和资源的从帐号授权给主帐号。授权给主帐号的资源可以新增和删除。授权时可以按照树形组显示资源,方便资源的选择。
40、 可以通过制定访问规则对(自然人)主账号和(被管资源)从账号进行关系匹配。同时在规则内可以定义授权协议、关联安全策略等。
41、 授权分为堡垒主机管理功能授权和资源访问授权。内部管理功能授权可以限制到某个树形节点的范围内。
42、 主帐号登录后,对本主帐号授权的资源只能在即符合主帐号的访问时间策略、访问地址策略,也符合资源从帐号的主机命令策略、访问时间策略、访问地址策略时访问到资源。
43、 支持授权的流程管理。支持流程申请人、审批人、执行人的委派。授权需要申请人定义申请单,发起事件申请;事件可以多人审批,审批人收到申请后可以同意或拒绝申请,同意时可以指定执行人进行实际的管理动作的执行。
44、 堡垒主机内部管理功能权限支持角色定义,角色可以针对目录树的节点定义,从而使角色即可以限制能够使用的功能项,也达到角色权限只在某个树形节点范围内生效。
(五)安全策略
45、 将访问控制配置抽象成四个对象:主机命令对象、访问时间对象、客户端地址对象、访问锁定对象。
46、 可以制定细粒度策略;策略区分密码安全策略、“禁止执行”类和“允许执行”类;安全策略场景对象支持主机命令对象、访问时间对象、客户端地址对象、访问锁定对象。策略根据“最小授权原则”进行策略合成。
47、 可以通过制定访问规则对(自然人)主账号和(被管资源)从账号进行关系匹配。同时在规则内可以定义授权访问协议、关联安全策略等。
48、 主机命令策略可以配置成命令的黑名单,也可以配置成指令的白名单。应用黑名单的从帐号不能使用黑名单中的命令;应用白名单的从帐号只能使用白名单中的命令。
49、 主机命令策略配置FTP的命令时,支持常用命令列表,方便用户指定FTP命令策略。
50、 访问时间策略可以配置成可访问时间段方式,也可以配置成不可访问时间段方式。配置时间段时可以配置日期和小时。
51、 访问时间策略可以应用于主帐号,也可以应用于从帐号。
52、 客户端地址策略可以配置成可访问IP段方式,也可以配置成不可访问IP段方式。IP段由IP和掩码构成。
53、 客户端地址策略可以应用于主帐号,也可以应用于从帐号。
54、 访问锁定策略可以配置访问失败几次锁定,也可以配置锁定后多长时间解锁。
55、 访问锁定策略可以建立多条,每个主帐号可以应用不同的访问锁定策略。
56、 支持通过密码策略,限制主帐号的密码强度,密码有效期。密码策略可以配置密码长度,是否包含字母及字母的长度,是否包含数字及数字的长度,是否包含符号及符号的长度。密码策略还可以配置禁止包含的关键字。
57、 支持运维工作站的安全检查,在运维人员使用单点登录前对运维工作站做安全合规检查,包括防病毒检查、系统补丁检查、系统配置检查等,并提供修复功能。
(六)运维管理
58、 支持对自然人(主账号)的分组管理和资源的分组管理,两种分组独立,均可以树形方式展现,不限制分组层级数量。支持用户分级管理功能,不同级别的管理员管理不同的用户以及权限信息
59、 支持资源帐号同步计划,可以设置执行时间,也可以设置单次执行或周期执行。可以根据目录树选择计划包含的资源。
60、 支持资源帐号口令修改计划,可以设置执行时间,也可以设置单次执行或周期执行。可以根据目录树选择计划包含的资源。
61、 支持资源帐号导出计划,可以设置执行时间,也可以设置单次执行或周期执行。可以根据目录树选择计划包含的资源。帐号导出为密文,可以用专用解密软件解密。
62、 支持运维脚本管理,IT运维指令可以编写成脚本的形式,提交给管理人员审核后,由堡垒主机定时自动执行。
63、 支持文件共享管理,可以通过堡垒主机向被管资源上传下载文件,并能审计及备份文件。上传下载文件支持断点续传,传输通信加密。
64、 支持运维用户对常用操作制定自定义快捷菜单、标签,可以对最近的相关操作进行查询。
(七)审计及报表
65、 对字符命令方式的访问可以审计到所有交互内容,可以还原操作过程的命令输入和结果输出,并且可以展现各命令的执行时间和允许执行情况。
66、 对图形方式的资源访问,可以以录像形式审计到操作过程。支持操作过程的录像回放。
67、 支持实时审计。操作人员对于资源的访问,审计员可以实施查看。
68、 操作过程的录像回放时,支持暂停,支持设置播放速度,支持进度前后拖拽,方便录像的查看。
69、 审计结果支持按照如下关键字进行查询:主帐号名称、资源名称、资源IP、从帐号名称、起始时间、终止时间、命令关键字。
70、 用命令关键字进行审计结果查询时,可以同时输入多个命令,为多命令查询提供便利。
71、 系统预设常用统计报表模板,可以按照预设统计报表模板,根据时间、主帐号、从帐号、客户端地址、资源IP地址、协议、命令关键字等条件形成统计报表,统计报表支持报表形式展现和打印。
72、 按照预设统计报表模板和命令关键字等条件进行查询统计时,可以同时输入多个命令,为多命令的统计报表提供便利。
73、 系统具备组态报表功能,支持用户自定义报表模板,可以通过制定动态模板、静态模板,可以对各种数据进行组合查询。查询结果可以图形(柱形图、饼图、折线图、雷达图等)展示,查询结果可以导出TXT、HTML、XLS等多种格式报表文件。
(八)单点登陆
74、 支持主帐号的证书认证,可以灵活配置主帐号的认证方式。堡垒主机上定义主帐号时可以为主帐号生成证书,方便证书认证模式的部署和实施。也可以和其他认证方式结合,做组合认证,提高访问的安全性。例如,支持静态口令、证书、智能卡、各种人体特征(指纹、视网膜等)、动态令牌等等。
75、 主帐号登录堡垒主机后,可以展现所有已经授权给自己的资源,包括字符型和图形的授权资源。
76、 主帐号登录堡垒主机后,访问授权资源时不必再输入从帐号和密码。
77、 委托授权功能支持”半自动“(首次登录目标设备时需要输入帐号信息,身份认证管理系统将根据配置自动记忆帐号信息,后续登录时无需再进行手工认证),”手动“(每次登录目标设备时,都需要进行手工认证)等临时授权的登录方式;
78、 用户通过WEB页面选择目标资源及帐号,采用非代填登录方式,避免由于临时会话号泄露造成任意人员都可对被管资源进行访问的风险;每个单点登录会话窗口都可以显示被管资源的真实IP地址和资源名称,而非单一身份认证系统IP。
79、 堡垒主机内含Radius服务器,可以作为网络设备的3A认证服务器,便于网络设备的帐号、认证、授权管理。网络设备使用堡垒主机的Radius作为3A认证服务器,可以设置密码策略来控制设备的密码强度,也可以设置密码变更计划,使网络设备的帐号管理符合SOX法案关于密码定期变更的要求。
80、 支持对共享资源(共享文件、文件夹、共享光驱等)进行sso单点登录,并做资源的访问审计,支持对共享打印机进行单点登录,并做打印审计。
81、 支持对远程主机上的某个软件进行单点登录,从而实现该程序的应用虚拟化
(九)对外接口
82、 可以将审计日志以SYSLOG方式外发,支持SYSLOG发送的目标和端口。
83、 对所有审计日志提供外发接口,可以配置只外发字符审计,也可以配置外发所有审计(将字符和图形录像的审计日志外发其他设备),并且可以配置对端端口。
84、 支持认证接口,可以配置认证服务器地址和端口。
三、系统拓展技术要求
(一)系统扩展
85、 要求支持4A扩展,可以将审计日志输出到4A平台。
86、 要求支持与SOC联动,可以将审计日志输出到SOC平台。
(二)应用软件拓展
87、 支持向第三方安全管理系统提供开发接口。