信息化建設(shè)方案模板

1、工程名稱一、工程概述隨著學(xué)校對信息系統(tǒng)依賴程度的日益增強，信息平安問題受到普遍關(guān)注。由于信息 化建設(shè)、業(yè)務(wù)不斷擴展等因素，在各信息系統(tǒng)中的服務(wù)器及各種網(wǎng)絡(luò)設(shè)備的不斷增 力口，對目標(biāo)主機的管理必須經(jīng)過各種認證和登錄過程。在某個主機及賬戶被多個管 理人員共同使用的情況下，引發(fā)了如帳號管理混亂、授權(quán)關(guān)系不清晰、越權(quán)操作、 數(shù)據(jù)泄漏等各類平安問題，并加大了 IT內(nèi)控審計的難度。二、建設(shè)目標(biāo)在開展信息化的同時，要確保訪問平安、操作平安和信息平安，對平安建設(shè)目標(biāo)體 現(xiàn)在以下方面：.可對操作人員進行身份驗證，實現(xiàn)統(tǒng)一入口，防止身份冒用。.可對服務(wù)器的密碼進行定期自動修改，操作人員無需知道密碼也能登錄服務(wù)器。

2、.可對服務(wù)器進行集中管理，實現(xiàn)單點登錄，解決分散登錄的問題。.可對服務(wù)器及賬號進行集中授權(quán)，實現(xiàn)權(quán)限梳理，防止越權(quán)登錄。.可對高危、敏感、違規(guī)的行為進行事中控制，實現(xiàn)實時告警。.可完整審計到對服務(wù)器的操作過程，確保事故發(fā)生能有據(jù)可查。三、建設(shè)內(nèi)容a）內(nèi)容清單采購內(nèi)容功能描述預(yù)算運維平安審計形態(tài)：軟硬件一體化產(chǎn)品系統(tǒng)規(guī)格：2U磁盤：磁盤空間不少于1T、硬盤須配置RAID1 網(wǎng)口：至少配備6個100/1000M自適應(yīng)電口、 可擴展4個1000M光口、最大端口數(shù)可達10 個電源：1+1冗余電源可管理主機數(shù)：不少于500個并發(fā)能力：圖形并發(fā)不少于10。個、字符并發(fā)不少于500個b）資質(zhì)要求.產(chǎn)品需獲得

3、公安部產(chǎn)品銷售許可證.產(chǎn)品需獲得國家涉密產(chǎn)品資質(zhì)證書.產(chǎn)品需符合國家運維審計產(chǎn)品平安技術(shù)要求測試標(biāo)準(zhǔn)，并獲得中國信息安 全認證中心3C資質(zhì).產(chǎn)品需獲得軍用信息平安產(chǎn)品認證，認證等級在C+及以上.廠家需具備產(chǎn)品自主知識產(chǎn)權(quán)，禁止OEM貼牌投標(biāo).如有本領(lǐng)域技術(shù)創(chuàng)造專利，可提供證明材料.產(chǎn)品供應(yīng)商不少于10個原廠CISP工程師，投標(biāo)時須提供至少5名原廠CISP 工程師的至少3個月社保證明材料。c）功能需求模塊模塊詳細描述支持用戶多角色劃分功能，如系統(tǒng)管理員、配置管理員、普通用戶、審計 管理員、密碼管理員等，對各類角色需要進行細粒度的權(quán)限管理支持用戶的批量導(dǎo)入/導(dǎo)出，按用戶類型等分組方式；支持用戶平安

4、策略 功能，如密碼鎖定次數(shù)、密碼有效期、密碼復(fù)雜度、用戶有效期、用戶登 錄時間限制、用戶登錄IP范圍等支持按部門組織架構(gòu)（至少5個層級的部門）管理用戶數(shù)據(jù)、資產(chǎn)數(shù)據(jù)、 用戶管理授權(quán)數(shù)據(jù)、審計數(shù)據(jù)。（需提供相關(guān)截圖證明并加蓋原廠公章）每個部門可以管理本部門及下級部門的用戶角色：部門管理員、配置管理 員、審計管理員、普通用戶（需提供相關(guān)截圖證明并加蓋原廠公章）每個部門的部門管理員可以管理本部門及下級部門的主機、授權(quán)關(guān)系、 策略（需提供相關(guān)截圖證明并加蓋原廠公章）每個部門的審計管理員可以管理本部門及下級部門的運維會話日志（需 提供相關(guān)截圖證明并加蓋原廠公章）支持與AD、LDAP、RADIUS、短信口

5、令等認證系統(tǒng)聯(lián)動登錄堡壘機，支、 持自動同步AD/LDAP用戶身分“證 支持手機APP動態(tài)口令認證方式登錄堡壘機，且新用戶首次登錄后需 強制綁定APP動態(tài)口令。（須提供相關(guān)截圖證明并加蓋原廠公章）設(shè)備管理工單流程自動改密運維方式堡壘機須內(nèi)嵌動態(tài)令牌和usbkey認證引擎，提供5個動態(tài)令牌和5個 USBkey,且認證引擎須具備原認證引擎廠家授權(quán)和資質(zhì)（須提供相關(guān)授 權(quán)和資質(zhì)復(fù)印件并加蓋公章）基于不同的用戶設(shè)置不同的雙因子認證模式，如userl用動態(tài)令牌、 user2用USBkey、user3手機APP動態(tài)口令認證；（須提供相關(guān)截圖證明 并加蓋原廠公章）支持域認證與雙因子認證結(jié)合使用，如同時使用A

6、D/LDAP用戶名 +AD/LDAP密碼+手機APP動態(tài)口令登錄堡壘機、同時使用AD/LDAP用 戶名+AD/LDAP密碼+短信口令登錄堡壘機 支持認證方式的全局設(shè)置：可以選擇啟用哪種或者哪幾種認證登錄窗 口。（須提供相關(guān)截圖證明并加蓋原廠公章）支持常用的運維協(xié)議：SSH、TELNET、RDP、VNC、FTP、SFTP、rlogin; 可通過應(yīng)用發(fā)布的方式進行協(xié)議擴展，如數(shù)據(jù)庫Oracle、MSSQL、MySQL、 DB2、VMware vSphere Clients AS400 等客戶端工具 支持oracle、mysql sqlserver數(shù)據(jù)庫協(xié)議代理運維，可直接調(diào)用本地 windows系

7、統(tǒng)的數(shù)據(jù)庫客戶端工具，支持自動登錄、無需應(yīng)用發(fā)布前置機。（須提供相關(guān)截圖證明并加蓋原廠公章）IE代填應(yīng)用發(fā)布：HTTP/HTTPS協(xié)議的web設(shè)備，且可以直接代填賬 號和密碼（需提供國家權(quán)威機構(gòu)證明并加蓋原廠公章）支持對設(shè)備進行按設(shè)備類型分組、按部門分組，支持設(shè)備批量導(dǎo)入/導(dǎo)出 支持設(shè)備帳戶和密碼的自動登錄、手工登錄、半自動登錄模式支持自動收集設(shè)備IP、運維協(xié)議、端口號、賬號、密碼、與用戶的權(quán) 限關(guān)系，甚至可自動完成授權(quán)（需提供國家權(quán)威機構(gòu)證明并加蓋原廠公章） 導(dǎo)出的設(shè)備信息文件加密存儲，解密時須由2個管理員同時解密才能查 看到設(shè)備信息文件內(nèi)容（需提供相關(guān)截圖證明并加蓋原廠公章）運維人員可以向

8、管理員申請需要訪問的設(shè)備，申請時可以選擇：設(shè)備IP、 設(shè)備賬戶、運維有效期、備注事由等，并且運維工單以郵件方式通知管理 員。（需提供相關(guān)截圖證明并加蓋原廠公章）管理員對運維工單進行審核之后以郵件方式通知給運維人員；如果允許， 那么運維人員才可訪問；否那么就無法訪問。（需提供相關(guān)截圖證明并加蓋原 廠公章）支持定期自動修改windows服務(wù)器、網(wǎng)絡(luò)設(shè)備、linux/unix等目標(biāo)設(shè)備密 碼功能。自動修改windows服務(wù)器密碼無需在目標(biāo)服務(wù)器上安裝agents開啟telnet 服務(wù)等支持完善的自動改密策略，包括改密前發(fā)送密碼、發(fā)送失敗不改密、改密 后發(fā)送密碼、密碼文件加密、密碼強度控制、自動密碼恢

9、復(fù)等。發(fā)送方式 包括郵件、FTP、SFTP等（需提供相關(guān)截圖證明并加蓋原廠公章）Web訪問方式：至少支持使用 正、谷歌、火狐三種瀏覽器翻開堡壘機的Web 頁面直接調(diào)用 mstsc VNC Xshell SecureCRT Putty winscp flashFXP、FileZilla SecureFX 等運維客戶端工具支持通過堡壘機頁面直接調(diào)用本地Windows系統(tǒng)里的plsql、sqlplus、 toad sqlwb ssms mysql.exe等數(shù)據(jù)庫客戶端工具?？蛻舳嗽L問方式：支持使用本地的mstsc/Xshell/SecureCRT/Putty等客戶端 工具登錄堡壘機訪問圖形或字符設(shè)備

10、，視圖界面一致性、搜索能力支持使用本地的winscp/flashFXP/SecureFX等客戶端工具登錄堡壘機訪 問SFTP/FTP設(shè)備支持使用本地的SecurCRT/Xshell/OpenSSH工具通過SSH網(wǎng)關(guān)代理方 式直接登錄字符設(shè)備支持批量登錄字符設(shè)備功能：能自動生成SecurCRT/Xshell工具的批量 登錄文件，實現(xiàn)在工具中批量自動登錄多臺設(shè)備。（需提供配置界面截圖 證明并加蓋原廠公章）AD/LDAP環(huán)境，支持直接使用登錄堡壘機的AD/LDAP用戶及密碼可 以直接自動登錄到服務(wù)器里。（需提供配置界面截圖證明并加蓋原廠公章） 支持對運維操作會話的在線監(jiān)控、實時阻斷、日志回放、起止時

11、間、來源 用戶、來源IP、目標(biāo)設(shè)備、協(xié)議/應(yīng)用類型、命令記錄、操作內(nèi)容（如對 文件的上傳、下載、刪除、修改等操作等）的詳細行為日志。 支持保存SSH的sz/rz命令（zmodem）傳輸?shù)脑嘉募?，并提供?三方權(quán)威機構(gòu)檢測報告證明及功能截圖支持保存SFTP/FTP傳輸?shù)脑嘉募?，并提供第三方?quán)威機構(gòu)檢測報告 證明及功能截圖支持保存RDP粘貼板（桌面之間復(fù)制-粘貼）傳輸?shù)脑嘉募?，并提?第三方權(quán)威機構(gòu)檢測報告證明及功能截圖審計日志 支持保存RDP磁盤映射傳輸?shù)脑嘉募?，并提供第三方?quán)威機構(gòu)檢 測報告證明及功能截圖支持對RDP屏幕文字內(nèi)容、標(biāo)題窗口、鍵盤輸入的記錄和搜索定位 支持審計主流數(shù)據(jù)庫（

12、如oracle、mysql sql server）運維中的SQL語句， 可進行關(guān)鍵信息定位查詢支持全局搜索審計日志，無需區(qū)分圖形/字符/文件/應(yīng)用類型，只需通過 關(guān)鍵信息直接搜索定位（需提供功能截圖證明并加蓋原廠公章）審計數(shù)據(jù)支持通過SFTP/FTP方式自動歸檔，并在頁面中可以查詢哪些數(shù) 據(jù)是否歸檔，可以設(shè)置歸檔成功之后自動刪除數(shù)據(jù)，歸檔后的數(shù)據(jù)可以用 專用播放器離線查看支持通過基于時間、IP/IP段、用戶/用戶組、設(shè)備/設(shè)備組、設(shè)備賬號、命 令關(guān)鍵字、命令關(guān)鍵字正那么表達式、危險級別、黑白名單等組合訪問控制 平安策略策略，授權(quán)用戶可訪問的目標(biāo)設(shè)備。對重要設(shè)備啟用登錄審核功能，運維人員須向管理

13、員申請登錄，管理員允 許之后才可登錄；否那么無法登錄支持對重要命令進行 運維人員執(zhí)行命令后，須等到管理員審批通 過后才可執(zhí)行成功（需提供國家權(quán)威機構(gòu)證明并加蓋原廠公章）支持自動推送命令任務(wù)，如可自動備份交換機/路由器的配置信息、可自 動執(zhí)行周期任務(wù)；并將結(jié)果以郵件/FTP/SFTP的方式發(fā)送給相關(guān)管理員（需提供功能截圖證明并加蓋原廠公章）支持運維空閑會話時間限制功能（需提供功能截圖證明并加蓋原廠公 章）內(nèi)置豐富的報表統(tǒng)計模板，可點擊柱狀圖、餅狀圖或曲線圖進行數(shù)據(jù)鉆取 分析，且支持PDF、doc、html格式導(dǎo)出（需提供效果截圖證明并加蓋原 廠公章）內(nèi)置根據(jù)運維人員和組生成各種維度的分析報表，維

14、度包含總為運維次 報表統(tǒng)計 數(shù)、時長、活動時長、會話起止時間、會話大小、命令數(shù)、上傳下載文件 數(shù)，分別從全局及平均值、最大值、最小值、單次運維、單個會話等角度 提供非常有價值有意義的報表（需提供效果截圖證明并加蓋原廠公章） 支持運維報表自動定期發(fā)送，提供一鍵導(dǎo)出符合等級保護、sox法案 要求的綜合分析報告（需提供報表樣本并加蓋原廠公章）支持自身審計，包括但不限于：系統(tǒng)狀態(tài)檢測、登錄日志、用戶配置日志、 設(shè)備配置日志、授權(quán)配置日志、策略配置日志、運維訪問日志、系統(tǒng)配置 日志等支持系統(tǒng)日志報表統(tǒng)計功能，包括但不限于登錄日志統(tǒng)計、配置日志統(tǒng)計、 運維訪問日志統(tǒng)計等，可以導(dǎo)出報表（需提供功能截圖證明并

15、加蓋原廠公 章）支持郵件/syslog方式輸出告警日志系統(tǒng)管理支持SNMP方式輸出系統(tǒng)信息提供排錯工具：ping、TCP端口檢測、UDP端口檢測、路由跟蹤等 需提供用戶、資產(chǎn)、授權(quán)的增刪改查等API接口，允許第三方平臺調(diào) 用堡壘機的API接口，實現(xiàn)用戶、資產(chǎn)、權(quán)限自動同步到堡壘機，簡化堡 壘機配置工作量（需提供功能截圖證明并加蓋原廠公章）支持和同品牌數(shù)據(jù)庫審計系統(tǒng)進行聯(lián)動，將通過SSH/RDP等加密方式操 作數(shù)據(jù)庫的行為整合到數(shù)據(jù)庫審計中，實現(xiàn)數(shù)據(jù)庫行為的統(tǒng)一集中查詢、 展示、審計分析等（需提供功能截圖證明并加蓋原廠公章）設(shè)備采用旁路部署，不得影響業(yè)務(wù)環(huán)境；支持HA主備模式，管理口和心跳口須支持多鏈路端口綁定功能，防止單 設(shè)備部署 網(wǎng)卡或單線故障。（須提供功能截圖并加蓋原廠公章）支持多臺堡壘機異地備份部署，每臺設(shè)備都能提供運維和審計服務(wù)，配置 數(shù)據(jù)自動同步d）集成要求.工程實施過程中不得影響現(xiàn)有的業(yè)務(wù)系統(tǒng)。.設(shè)備部署之后，應(yīng)盡快讓運維人員使用運維審計系統(tǒng)。.工程實施完成之后，應(yīng)該安排相關(guān)的系統(tǒng)使用培訓(xùn)。.乙方應(yīng)當(dāng)協(xié)助甲方配置好相關(guān)系統(tǒng)平安策略。.乙方應(yīng)當(dāng)為甲方提供必要的使用手冊。四、