等級(jí)化保護(hù)三級(jí)方案

目錄

1.需求分析...........................................................1

2.設(shè)計(jì)原則...........................................................1

3.參考標(biāo)準(zhǔn)與規(guī)范....................................................2

4.方案詳細(xì)設(shè)計(jì)......................................................2

4.1.功能要求設(shè)計(jì)..................................................2

4.1.1.防火墻..................................................2

4.1.2.入侵檢測(cè)系統(tǒng)............................................5

4.1.3.入侵防御系統(tǒng)............................................7

4.1.4.網(wǎng)閘....................................................8

4.1.5.防病毒網(wǎng)關(guān).............................................10

4.1.6.數(shù)據(jù)庫審計(jì).............................................10

4.1.7.網(wǎng)絡(luò)審計(jì)...............................................13

4.1.8.安全管理平臺(tái)...........................................17

4.1.9.堡壘機(jī).................................................22

4.1.10.終端安全管理系統(tǒng)......................................25

4.2.性能設(shè)計(jì)要求.................................................53

4.2.1.防火墻.................................................53

4.2.2.入侵檢測(cè)系統(tǒng)...........................................54

4.2.3.入侵防御系統(tǒng)...........................................54

4.2.4.網(wǎng)閘...................................................54

4.2.5.防病毒網(wǎng)關(guān).............................................54

4.2.6.數(shù)據(jù)庫審計(jì).............................................55

4.2.7.網(wǎng)絡(luò)審計(jì)...............................................55

4.2.8.安全管理平臺(tái)...........................................55

4.2.9.堡壘機(jī).................................................56

4.2.10.終端安全管理系統(tǒng)......................................56

4.3.部署方案設(shè)計(jì)................................................56

4.3.1.防火墻.................................................56

4.3.2.入侵檢測(cè)系統(tǒng)...........................................56

4.3.3.入侵防御系統(tǒng)...........................................57

4.3.4.網(wǎng)閘...................................................57

4.3.5.防病毒網(wǎng)關(guān).............................................58

4.3.6.數(shù)據(jù)庫審計(jì).............................................58

4.3.7,網(wǎng)絡(luò)審計(jì).............................................58

4.3.8.安全管理平臺(tái)...........................................59

4.3.9.堡壘機(jī).................................................59

4.3.10.終端安全管理系統(tǒng)......................................59

5.整體部署示意圖....................................................60

1.需求分析

(1)建立完善的訪問控制體系，制定完善的訪問控制策略，細(xì)粒度為端口級(jí)、

單個(gè)用戶。

(2)建立完善的審計(jì)、監(jiān)控體系。

(3)建立完善的邊界防御體系。

(4)建立完善的計(jì)算機(jī)病毒、惡意代碼防護(hù)體系。

(5)建立完善的運(yùn)維管理體系。

2.設(shè)計(jì)原則

本方案將主要遵循統(tǒng)一規(guī)劃、分步實(shí)施、立足現(xiàn)狀、節(jié)省投資、科學(xué)規(guī)范、

嚴(yán)格管理的原則進(jìn)行安全體系的整體設(shè)計(jì)和實(shí)施，并充分考慮到先進(jìn)性、現(xiàn)實(shí)性、

持續(xù)性和可擴(kuò)展性。具體體現(xiàn)為：

(1)等級(jí)標(biāo)準(zhǔn)性原則

本方案從設(shè)計(jì)到產(chǎn)品選型都遵循信息系統(tǒng)安全等級(jí)保護(hù)一一第三級(jí)要求。

(2)需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則

對(duì)任一網(wǎng)絡(luò)，絕對(duì)安全難以達(dá)到，也不一定是必要的。應(yīng)對(duì)一個(gè)網(wǎng)絡(luò)進(jìn)行實(shí)

際分析(包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可用性、可維護(hù)性等)，并對(duì)網(wǎng)絡(luò)面臨

的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施,

確定安全策略。

(3)綜合性、整體性原則

安全模塊和設(shè)備的引入應(yīng)該體現(xiàn)系統(tǒng)運(yùn)行和管理的統(tǒng)一性。一個(gè)完整的系統(tǒng)

的整體安全性取決于其中安全防范最薄弱的一個(gè)環(huán)節(jié)，必須提高整個(gè)系統(tǒng)的安全

性以及系統(tǒng)中各個(gè)部分之間的嚴(yán)密的安全邏輯關(guān)聯(lián)的強(qiáng)度，以保證組成系統(tǒng)的各

個(gè)部分協(xié)調(diào)一致地運(yùn)行。

(4)易操作性原則

安全措施需要人為去完成，如果措施過于復(fù)雜，對(duì)人的要求過高，本身就降

低了安全性。

(5)設(shè)備的先進(jìn)性與成熟性

安全設(shè)備的選擇，既要考慮其先進(jìn)性，還要考慮其成熟性。先進(jìn)意味著技術(shù)、

性能方面的優(yōu)越，而成熟性表示可靠與可用。

第1頁

文通訊時(shí)間等條件設(shè)定安全策略。

(3)支持靜態(tài)路由和策略路由，可通過源接口、目標(biāo)接口、源IP、目標(biāo)IP、

協(xié)議類型、時(shí)間等條件設(shè)定策略路由；支持RIP、OSPF、BGP動(dòng)態(tài)珞由

協(xié)議；支持ISP路由，能夠提升用戶對(duì)不同ISP網(wǎng)絡(luò)訪問時(shí)的路由效率，

內(nèi)置電信和聯(lián)通地址庫，同時(shí)用戶可定義新的地址庫。

(4)支持虛擬防火墻功能，可以將接口劃分給不同的虛擬防火墻，每個(gè)虛擬

防火墻具有獨(dú)立的管理員、安全域、資源對(duì)象、安全策略、NAT規(guī)則、

靜態(tài)路由等配置。

(5)支持802.1QVLAN。

(6)支持鏈路聚合(Link-Aggregation)功能以增加鏈路帶寬并起到負(fù)載均衡

和鏈路備份的作用，支持通過手動(dòng)方式、IEEE802.3adLACP方式來創(chuàng)建

聚合鏈路.

⑺能夠檢測(cè)并阻斷DDoS攻擊和協(xié)議掃描,如Jo】t2、Land-Base>Smurf、

Pingofdeathswinnuke、teardrop、Synflag、TCPFlood、ARP攻擊等攻

擊行為，以及TCP、UDP、PING掃描等掃描行為，可以設(shè)定掃描識(shí)別

閾值，并對(duì)檢測(cè)到的掃描主機(jī)進(jìn)行屏蔽。

(8)支持QoS和帶寬控制，能夠基于策略針對(duì)特定對(duì)象進(jìn)行控制，比如可以

根據(jù)單個(gè)主機(jī)IP或子網(wǎng)段，目標(biāo)IP和子網(wǎng)段，服務(wù)類型、時(shí)間分配等

條件來進(jìn)行帶寬控制；支持策略帶寬保證。

(9)具備完善的設(shè)備狀態(tài)監(jiān)控和會(huì)話管理功能：可通過圖形的方式動(dòng)態(tài)顯示

設(shè)備的轉(zhuǎn)發(fā)流量、系統(tǒng)連接數(shù)，以及根據(jù)不同的協(xié)議(如Web、Email.

FTP、UDP)區(qū)分的流量信息；可根據(jù)源地址、目的地址、端口號(hào)或協(xié)

議類型等分類來查看目前設(shè)備的當(dāng)前會(huì)話狀態(tài)。

(1())支持免客戶端的用戶本地認(rèn)證功能，用戶必須在經(jīng)過設(shè)備認(rèn)證后才能訪

問特定網(wǎng)絡(luò)。

(II)支持IPv6協(xié)議：支持IPv6、IPv4雙棧運(yùn)行、支持ipv6路由、支持手工

隧道、6to4隧道和ISATAP隧道。

(12)支持主動(dòng)掃描IP-MAC對(duì)應(yīng)關(guān)系，支持IP-MAC一鍵綁定功能。

(13)支持STP生成樹協(xié)議。

第3頁

(14)支持二三層鏈路狀態(tài)聯(lián)動(dòng)。

(15)支持IGMPSnooping,能夠優(yōu)化防火墻工作在透明模式下時(shí)，對(duì)二層組

播報(bào)文的轉(zhuǎn)發(fā)控制。

(16)支持與IDS的軼動(dòng)功能。

(17)路由、透明、混合接入模式下均支持完整的NAT功能：

1)源地址NAT(多對(duì)一NAT)

2)目的地址NAT(多對(duì)一NAT)

3)目的端口轉(zhuǎn)換

4)在DDNS應(yīng)用模式下支持源地址NAT和目的地址/端口NAT

5)靜態(tài)NAT(一對(duì)一NAT)

6)地址池NAT(多對(duì)多NAT)

7)服務(wù)器負(fù)載分擔(dān)(一對(duì)多NAT)

(18)支持雙機(jī)熱備功能，包括主備模式(A/S)和主主模式(A/A)。

(19)支持連接狀態(tài)自動(dòng)同步。

(20)支持VRRP協(xié)議，包括VRRPV2和V3版本。

(21)支持三層鏈路監(jiān)測(cè)。

(22)支持搶占優(yōu)先級(jí)設(shè)置。

(23)支持配置自動(dòng)同步。

(24)提供多種方式的管理界面，包括HTTPS、CONSOLE.SSH、TELNET

等。

(25)支持中英文管理界面。

(26)支持集中管理功能，可同時(shí)監(jiān)控所有防火墻的運(yùn)行狀態(tài)，并支持對(duì)所有

設(shè)備進(jìn)行統(tǒng)一安全策略配置及進(jìn)行版本升級(jí)。

(27)設(shè)備具有液晶顯示屏，可在不登錄設(shè)備的情況下實(shí)時(shí)顯示設(shè)備運(yùn)行狀態(tài)、

系統(tǒng)流量、管理地址等信息。

(28)支持管理員權(quán)限分級(jí)，支持用戶自定義管理員權(quán)限表。

(29)支持本地日志、SYSLOG日志及NetFlow日志功能，支持在外接移動(dòng)存

儲(chǔ)設(shè)備上存放本地日志；支持郵件報(bào)警功能，所發(fā)送郵件支持以加密方

式傳送。

第4頁

(30)支持集中日志存儲(chǔ)、管理及分析功能，并配置相關(guān)軟件；支持日志合并

處理；支持日志壓縮存儲(chǔ)和傳輸。

(31)支持自動(dòng)報(bào)表功能，用戶可自行定義生成報(bào)表的周期、設(shè)備、日志類型、

日志等級(jí)等；生成的報(bào)表可自動(dòng)發(fā)送至用戶指定郵箱。

(32)支持SNTP協(xié)議，可通過NTP服務(wù)器同步系統(tǒng)時(shí)間。

(33)支持雙操作系統(tǒng)；支持多配置文件備份，最多可支持9個(gè)配置文件。

(34)支持配置向?qū)В瑢?duì)于復(fù)雜配置可以通過向?qū)У姆绞胶?jiǎn)化用戶配置。

(35)支持設(shè)備運(yùn)行狀態(tài)自動(dòng)記錄，利于管理員分析問題。

4.1.2.入侵檢測(cè)系統(tǒng)

(1)攻擊檢測(cè)能力

1)事件分析功能要求采用高級(jí)模式匹配及先進(jìn)的協(xié)議分析技術(shù)對(duì)網(wǎng)絡(luò)

數(shù)據(jù)包進(jìn)行分析。辦議覆蓋面廣，事件庫完備，能夠?qū)彌_區(qū)溢出、

網(wǎng)絡(luò)蠕蟲、木馬軟件、間諜軟件等各種攻擊行為進(jìn)行檢測(cè)

2)具備基于原理的Web漏洞檢測(cè)能力，精確識(shí)別SQL注入攻擊，提供

對(duì)重點(diǎn)服務(wù)器的入侵保護(hù)

3)支持對(duì)國內(nèi)常見木馬/p2p/IM/網(wǎng)絡(luò)游戲以及其他違規(guī)行為的檢測(cè)和

發(fā)現(xiàn)

4)具備碎片重組、TCP流重組、統(tǒng)計(jì)分析能力；具備分析采用躲避入

侵檢測(cè)系統(tǒng)技術(shù)的通信數(shù)據(jù)的能力；

5)采用基于行為分析的檢測(cè)技術(shù)，對(duì)Oday攻擊能夠很好防范。具備協(xié)

議自識(shí)別功能

6)具備規(guī)則用戶自定義功能，可以對(duì)應(yīng)用協(xié)議進(jìn)行用戶自定義，并提

供詳細(xì)協(xié)議分析變量

(2)響應(yīng)方式

1)應(yīng)提供多種事件合并條件，避免事件風(fēng)暴的產(chǎn)生

2)應(yīng)支持下列實(shí)時(shí)響應(yīng)方式：實(shí)時(shí)告警、屏幕報(bào)警/聲音報(bào)警、郵件報(bào)

警、SNMP報(bào)警、自定義程序報(bào)警等

(3)日志與報(bào)表

1)應(yīng)支持多種數(shù)據(jù)庫類型，支持獨(dú)立的日志報(bào)表模塊部署。同時(shí)提供

第5頁

專門的數(shù)據(jù)庫維護(hù)功能

2）具備自定義報(bào)表功能，支持交叉統(tǒng)計(jì)和多元組合查詢?cè)敿?xì)事件，支

持導(dǎo)出為WORD\EXCEL\PDF\HTML等常用公文處理格式

（4）策略功能

1）應(yīng)提供按照檢測(cè)對(duì)象、攻擊類型等分類的默認(rèn)內(nèi)置檢測(cè)模版，且默

認(rèn)模版不可修改；提供向?qū)Щ牟呗跃幹品绞?/p>

2）提供動(dòng)態(tài)策略調(diào)整功能，對(duì)一些頻繁出現(xiàn)的低風(fēng)險(xiǎn)事件，自動(dòng)調(diào)整

其響應(yīng)方式

（5）管理功能

I）應(yīng)具備集中管理功能，可實(shí)現(xiàn)分布部署、集中式安全監(jiān)控管理和配

置管理，日志報(bào)表模塊可獨(dú)立部署，適合大規(guī)模部署環(huán)境

2）各組件間（管理平臺(tái)與引擎等）使用加密信道通信

3）簡(jiǎn)便易用的GUI管理界面，要求能夠?qū)︼@示窗口進(jìn)行自定義

4）具有設(shè)備的拓?fù)滹@示功能，可以在界面上以圖形化的方式顯示當(dāng)前

的部署拓?fù)?/p>

5）同時(shí)支持多個(gè)用戶監(jiān)測(cè)臺(tái)的設(shè)置，支持至少8個(gè)以上的多用戶監(jiān)測(cè)

臺(tái)設(shè)置

（6）用戶管理

1）對(duì)授權(quán)用戶根據(jù)角色進(jìn)行授權(quán)管理，提供用戶登錄身份鑒別和防暴

力猜解；可以嚴(yán)格按權(quán)限來進(jìn)行管理

2）要求對(duì)用戶分級(jí)，并能夠調(diào)整對(duì)不同用戶的具體權(quán)限，提供不司的

操作。對(duì)各級(jí)權(quán)限的用戶行為進(jìn)行審計(jì)

（7）升級(jí)管理

1）具備獨(dú)立的升級(jí)管理中心，可對(duì)控制中心和設(shè)備進(jìn)行升級(jí)

2）控制中心可以統(tǒng)一對(duì)下級(jí)控制臺(tái)和設(shè)備進(jìn)行升級(jí)

3）可手動(dòng)、自動(dòng)執(zhí)行產(chǎn)品升級(jí)

4）公司網(wǎng)站提供產(chǎn)品離線升級(jí)包下載

5）應(yīng)保證每周一次的規(guī)則庫升級(jí)，重大安全事件隨時(shí)更新

（8）產(chǎn)品安全性

第6頁

1)需保證通信安全

2)需保證設(shè)各自身安全

3)應(yīng)提供可擴(kuò)展的用戶身份鑒別方式接口，為增加用戶身份鑒別強(qiáng)度

提供支持

4.1.3.入侵防御系統(tǒng)

(1)入侵防御事件庫事件數(shù)量不少于2000條。

(2)支持入侵防御事件庫在線自動(dòng)升級(jí)和手工導(dǎo)入。

(3)可基于1P地址、網(wǎng)段、時(shí)間、VLAN、協(xié)議類型、用戶名稱等條件設(shè)定

IPS檢測(cè)及響應(yīng)方式，實(shí)現(xiàn)虛擬IPS引擎功能。

(4)采用先進(jìn)的模式匹配及協(xié)議分析技術(shù)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)報(bào)文的分析。

(5)支持碎片重組、TCP流重組及報(bào)文統(tǒng)計(jì)分析能力。

(6)抗躲避，可對(duì)采用躲避技術(shù)的攻擊進(jìn)行檢測(cè)及防御。

(7)具備協(xié)議自動(dòng)識(shí)別功能。

(8)支持檢測(cè)規(guī)則自定義功能。

(9)支持對(duì)網(wǎng)絡(luò)蠕蟲、木馬后門、緩沖區(qū)溢出、間諜軟件等各種攻擊行為進(jìn)

行檢測(cè)及防御。

(10)支持對(duì)國內(nèi)流行木馬的檢測(cè)及防御功能。

(11)支持通過應(yīng)用層檢測(cè)米阻斷或控制P2P卜載，如迅雷、BitTorrent.

BilComel、eMule等；可單獨(dú)設(shè)定P2P下載占用的帶寬。

(12)支持通過應(yīng)用層檢測(cè)來阻斷流媒體應(yīng)用，如PP-live、QQ直播等；可單

獨(dú)設(shè)定流媒體應(yīng)用占用的帶寬。

(13)支持通過應(yīng)用層檢測(cè)來阻斷即時(shí)通信軟件登錄，如QQ、MSN等；支持

針對(duì)QQ和MSN用戶名稱的黑白名單功能。

(14)支持通過應(yīng)用層檢測(cè)來阻斷股票軟件、網(wǎng)絡(luò)游戲，如聯(lián)眾、大智慧等。

(15)提供SQL注入攻擊、XSS攻擊的檢測(cè)和防御，對(duì)Web服務(wù)系統(tǒng)提供保

護(hù)。

(16)支持雙機(jī)熱備功能，包括主備模式(A/S)和主主模式(A/A)。

(17)支持連接狀態(tài)自動(dòng)同步。

(18)支持配置自動(dòng)同步。

第7頁

(19)支持Fullmesh的連接方式。可以基于接口和鏈路狀態(tài)進(jìn)行主備切換。

(20)HA切換時(shí)可以根據(jù)手工制定或自動(dòng)計(jì)算的鏈路優(yōu)先級(jí)順序進(jìn)行切換，

防止在主備設(shè)備均有故障線路，但還有可達(dá)網(wǎng)絡(luò)鏈路情況下，主備設(shè)備

均不工作的問題。

(21)支持自動(dòng)故障旁路功能(BYPASS)。

(22)提供多種方式的管理界面，包括HTTPS、CONSOLE.SSH、TELNET

等。

(23)支持集中管理功能，可同時(shí)監(jiān)控所有IPS的運(yùn)行狀態(tài)，并支持對(duì)所有設(shè)

備進(jìn)行統(tǒng)一安全策略配置及進(jìn)行版本升級(jí)。

(24)支持管理員權(quán)限分級(jí)，支持用戶自定義管理員權(quán)限表。

(25)支持本地日志及SYSLOG日志。

(26)支持郵件報(bào)警功能，所發(fā)送郵件支持以加密方式傳送-

(27)支持集中日志存儲(chǔ)、管理及分析功能。

(28)支持自動(dòng)報(bào)表功能，用戶可自行定義生成報(bào)表的周期、設(shè)備、日志類型、

日志等級(jí)等；生成的報(bào)表可自動(dòng)發(fā)送至月戶指定郵箱。

(29)支持通過快速切換按鈕或系統(tǒng)維護(hù)菜單隨時(shí)進(jìn)行中英文雙語切換。

4.1.4.網(wǎng)閘

(1)采用“2+1”系統(tǒng)架構(gòu)，即由兩個(gè)主機(jī)系統(tǒng)和一個(gè)隔離交換專用硬件組

成。

(2)具有病毒檢測(cè)、文件交換、數(shù)據(jù)庫同步、數(shù)據(jù)庫訪問、安全瀏覽、FTP

訪問、郵件傳輸、定制訪問、二次開發(fā)、流媒體傳輸?shù)然竟δ堋?/p>

(3)支持病毒檢測(cè)功能，支持一源多目的及多源一目的文件交換。

(4)傳輸模式支持改名傳輸、增量傳輸、傳輸后刪除等三種方式。

(5)支持文件格式特征過濾，并且不依賴于文件擴(kuò)展名；支持重命名策略。

(6)支持支持oracle、SqlServer>DB2>Sybase等主流數(shù)據(jù)庫間的同種或異

種數(shù)據(jù)庫同步，支持單向和雙向同步。

(7)支持病毒檢測(cè)。

(8)支持靈活的數(shù)據(jù)庫沖突處理策略，當(dāng)關(guān)鍵字?jǐn)?shù)據(jù)發(fā)生沖突時(shí)可選擇：覆

蓋/丟棄。

第8頁

(9)支持字段值按條件進(jìn)行數(shù)據(jù)同步，支持字段類型是：數(shù)值、字符、日期

(固定格式)。

(10)支持?jǐn)?shù)據(jù)庫同步客戶端的雙機(jī)熱備技術(shù)(不僅僅是網(wǎng)閘的雙機(jī)熱備)，

為用戶提供更高的冗余技術(shù)支持。

(11)支持?jǐn)?shù)據(jù)庫同步數(shù)據(jù)統(tǒng)計(jì)、查詢功能。

(12)支持?jǐn)?shù)據(jù)庫同步事件郵件報(bào)警功能。

(13)支持病毒檢測(cè)功能。

(14)支持HTTP五種請(qǐng)求類型(GET/POST/PUT/HEAD/CONNECT)的黑白

名單控制。

(15)支持文件類型(文件擴(kuò)展名)的黑白名單過濾；支持URL地址黑白單

控制。

(16)實(shí)現(xiàn)安全的FTP訪問，支持對(duì)訪問用戶、訪問協(xié)議命令、上傳下載文件

類型等訪問過濾控制。

(17)支持病毒檢測(cè)功能。

(18)提供專用客戶端與網(wǎng)閘進(jìn)行認(rèn)證，未經(jīng)授權(quán)的用戶無法訪問業(yè)務(wù)系統(tǒng)；

支持本地用戶名口令認(rèn)證；提供在線用戶查看、管理界面截圖。

(19)具有病毒檢測(cè)專用模塊，支持自動(dòng)/手動(dòng)兩種升級(jí)模式。

(2())采用自有知識(shí)產(chǎn)權(quán)的病毒防護(hù)引擎，包括病毒檢測(cè)引擎和病毒分析引擎。

(21)病毒庫不少于30萬種病毒特征，支持根據(jù)用戶需求自定義病毒特征，

病毒特征安全可控，具備自主研究分析病毒特征的能力。

(22)具有實(shí)時(shí)入侵檢測(cè)系統(tǒng)機(jī)制，實(shí)時(shí)阻斷入侵。

(23)具有抗DoS、DDoS攻擊功能。

(24)管理方式采用B/S架構(gòu)的Web方式管理，基于數(shù)字證書管理；支持命令

行方式管理，支持遠(yuǎn)程SSH管理。

(25)口志實(shí)現(xiàn)按功能模塊分組管理；口志支持遠(yuǎn)程存儲(chǔ)，能為第三方提供口

志格式，實(shí)現(xiàn)日志數(shù)據(jù)分析；支持SysLog標(biāo)準(zhǔn)。

(26)支持2?32臺(tái)設(shè)備雙機(jī)熱備，支持負(fù)載均衡(無需第三方設(shè)備)。

(27)支持設(shè)備自身物理端口冗余功能。

第9頁

4.1.5.防病毒網(wǎng)關(guān)

(1)支持對(duì)HTTP、FTP、SMTP、POP3、IMAP協(xié)議的病毒檢測(cè)和過濾功能。

(2)支持對(duì)文件感染型病毒、蠕蟲病毒、腳本病毒、宏病毒、木馬、惡意軟

件等的過源，病毒庫數(shù)量不少于60萬。

(3)對(duì)于HTTP協(xié)議和郵件協(xié)議，提供信息替換功能，用以通知用戶病毒被

阻斷，管理員可以自行設(shè)置替換信息。

(4)支持病毒庫自動(dòng)升級(jí)和手工導(dǎo)入。

(5)防病毒網(wǎng)關(guān)病毒庫，不同于主機(jī)、終端防病毒軟件病毒庫。

4.1.6.數(shù)據(jù)庫審計(jì)

(1)采用旁路部署方式對(duì)原有網(wǎng)絡(luò)不造成影響，網(wǎng)絡(luò)審計(jì)產(chǎn)品的故障不影響

被審計(jì)系統(tǒng)的正常運(yùn)行。

⑵支持透明部署、支持單臂路由、支持路由模式、支持NAT、支持Bypasso

(3)采用B/S管理方式。

(4)無需在被審計(jì)系統(tǒng)上安裝任何代理。

(5)審計(jì)引擎統(tǒng)一管理、至少支持2個(gè)以上的引擎同時(shí)管理，審計(jì)數(shù)據(jù)統(tǒng)一

存儲(chǔ)、查詢、分析、統(tǒng)計(jì)。

(6)下級(jí)控制臺(tái)(數(shù)據(jù)中心)可以設(shè)置接受上級(jí)管理。

⑺上級(jí)控制臺(tái)(數(shù)據(jù)中心)可以查看所有下級(jí)的拓?fù)浜蜖顟B(tài)。

(8)上級(jí)控制臺(tái)(數(shù)據(jù)中心)可以為下級(jí)生成報(bào)表。

(9)上級(jí)控制臺(tái)(數(shù)據(jù)中心)可以為下級(jí)下發(fā)審計(jì)對(duì)象。

(10)Oracle數(shù)據(jù)庫審計(jì)。

(ll)SQL-Server數(shù)據(jù)庫審計(jì)。

(12)DB2數(shù)據(jù)庫審計(jì)。

(13)Informix數(shù)據(jù)庫審計(jì)。

(14)Sybase數(shù)據(jù)庫審計(jì)。

(15)MySQL數(shù)據(jù)庫審計(jì)。

(16)PostgreSQL數(shù)據(jù)庫審計(jì)。

(17)Teradata數(shù)據(jù)庫審計(jì)。

(18)Cache數(shù)據(jù)庫所審計(jì)。

第10頁

(19)人大金倉數(shù)據(jù)庫的審計(jì)。

(20)達(dá)夢(mèng)數(shù)據(jù)庫的審計(jì)。

(21)南大通用數(shù)據(jù)庫的審計(jì)。

(22)網(wǎng)絡(luò)鄰居審計(jì)。

(23)NFS協(xié)議審計(jì)。

(24)Telnet協(xié)議審計(jì)。

(25)FTP協(xié)議審計(jì)。

(26)Rlogin協(xié)議審計(jì)。

(27)Radius協(xié)議審計(jì)。

(28)RDP協(xié)議審計(jì)。

(29)SSH協(xié)議審計(jì)。

(30)SCP協(xié)議審計(jì)汽

(31)SFTP協(xié)議審計(jì)。

(32)支持自動(dòng)方式建立web訪問和SQL訪問之間的對(duì)應(yīng)關(guān)系，生成訪問行

為模型庫。

(33)對(duì)于模型庫以外的未知HTTP操作、未知SQL操作可進(jìn)行標(biāo)注審

(34)支持中間件環(huán)境下的SQL語句關(guān)聯(lián)到HTTP操作，HTTP操作關(guān)聯(lián)到

HTTPID,實(shí)現(xiàn)中間件環(huán)境下的審計(jì)追溯。

(35)支持事后關(guān)聯(lián)和實(shí)時(shí)關(guān)聯(lián)兩種方式。

(36)支持對(duì)針對(duì)數(shù)據(jù)庫的XSS攻擊行為進(jìn)行審計(jì)。

(37)支持對(duì)針對(duì)數(shù)據(jù)庫的SQL注入攻擊行為進(jìn)行審計(jì)。

(38)提供對(duì)數(shù)據(jù)庫返回碼的知識(shí)庫和實(shí)時(shí)說明，幫助管理員快速對(duì)返回碼進(jìn)

行識(shí)別。

(39)支持?jǐn)?shù)據(jù)庫并發(fā)會(huì)話數(shù)、并發(fā)進(jìn)程數(shù)、并發(fā)用戶數(shù)、并發(fā)游標(biāo)數(shù)、并發(fā)

事務(wù)數(shù)、數(shù)據(jù)庫鎖等超過限制的審計(jì)。

(40)支持?jǐn)?shù)據(jù)庫賬號(hào)登陸成功、失敗的審計(jì)。

(41)系統(tǒng)應(yīng)自帶審計(jì)規(guī)則庫，用戶可自定義審計(jì)策略。

(42)審計(jì)策略支持時(shí)間、源IP、目的IP、協(xié)議、端口、登陸賬號(hào)、命令作為

響應(yīng)條件。

第11頁

(43)審計(jì)策略支持?jǐn)?shù)據(jù)庫客戶端軟件名稱、數(shù)據(jù)庫名、數(shù)據(jù)庫表名、數(shù)據(jù)庫

字段名、數(shù)據(jù)庫返回碼作為響應(yīng)條件(非正則表達(dá)式方式)。

(44)審計(jì)策略支持字段值作為分項(xiàng)響應(yīng)條件(非正則表達(dá)式方式)。

(45)支持?jǐn)?shù)據(jù)庫綁定變量審計(jì)。

(46)支持訪問數(shù)據(jù)庫的源主機(jī)名、源主機(jī)用戶的審計(jì)。

(47)支持SQL操作響應(yīng)時(shí)間的審計(jì)。

(48)支持Select操作返回行數(shù)的審計(jì)。

(49)支持?jǐn)?shù)據(jù)庫操作成功、失敗的審計(jì)。

(50)支持?jǐn)?shù)據(jù)庫操作類、表、視圖、索引、觸發(fā)器、存儲(chǔ)過程、域、Schema

游標(biāo)、事物等各種對(duì)象的SQL操作審計(jì)。

(51)支持Telnet協(xié)議的審計(jì)，能夠?qū)徲?jì)用戶名、操作命令、命令響應(yīng)時(shí)間、

返問碼等C

(52)支持對(duì)FTP協(xié)議的審計(jì)，能夠?qū)徲?jì)用戶名、命令、文件、命令響應(yīng)時(shí)間、

返回碼等。

(53)支持審計(jì)網(wǎng)絡(luò)鄰居的用戶名、讀寫操作、文件名等。

(54)支持審計(jì)NFS協(xié)議的用戶名、文件名等，

(55)支持審計(jì)Radius協(xié)議的認(rèn)證用戶MAC、認(rèn)證用戶名、認(rèn)證IP、NAS服

務(wù)器IPo

(56)支持IP-MAC綁定變化情況的審計(jì)。

(57)記錄審計(jì)事件。

(58)記錄會(huì)話數(shù)據(jù)。

(59)支持實(shí)時(shí)阻斷、界面告警、Syslog告警、SNMPtr叩告警、郵件告警。

(60)實(shí)時(shí)監(jiān)控對(duì)實(shí)時(shí)告警信息，當(dāng)前會(huì)話進(jìn)行詳細(xì)察看；有助于管理員及時(shí)

處置。

(61)支持按時(shí)間、級(jí)別、源'目的IP、源'目的MAC、協(xié)議名、源、目的端口

為條件進(jìn)行查詢。

(62)支持按數(shù)據(jù)庫名、數(shù)據(jù)庫表名、字段值、數(shù)據(jù)庫登陸賬號(hào)、數(shù)據(jù)庫操作

命令、數(shù)據(jù)庫返回碼、SQL響應(yīng)時(shí)間、數(shù)據(jù)庫返回行數(shù)作為查詢和統(tǒng)計(jì)

條件。

第12頁

(63)支持按自定義關(guān)鍵字作為查詢和統(tǒng)計(jì)條件。

(64)支持條件之間的與、或、非邏輯組合。

(65)系統(tǒng)提供報(bào)表模板庫。

(66)系統(tǒng)支持根據(jù)自定義關(guān)鍵字自動(dòng)生成報(bào)表。

(67)支持按每天、每周、每月、時(shí)刻生成報(bào)表。

(68)支持生成CSV、Word、PDF、xls>HTML格式的報(bào)表導(dǎo)出。

(69)支持郵件方式自動(dòng)發(fā)送報(bào)表。

(70)提供管理員權(quán)限設(shè)置和分權(quán)管理，提供三權(quán)分立功能，系統(tǒng)可以對(duì)使用

人員的操作進(jìn)行審計(jì)記錄，可以由審計(jì)員進(jìn)行查詢，具有自身安全審計(jì)

功能。

(71)管理員登陸支持靜態(tài)口令認(rèn)證，支持密碼的復(fù)雜性管理，比如大小寫、

數(shù)字、特殊字符、長度等.

(72)能夠?qū)δ軌驅(qū)B續(xù)失敗登陸進(jìn)行自動(dòng)鎖定，鎖定時(shí)間可設(shè)置。

(73)審計(jì)系統(tǒng)上存在大量敏感信息，必須對(duì)審計(jì)管理員進(jìn)行強(qiáng)度更高的認(rèn)證,

管理員登陸支持硬件令牌認(rèn)證。

(74)提供審計(jì)數(shù)據(jù)管理功能，能夠?qū)崿F(xiàn)對(duì)審計(jì)數(shù)據(jù)的自動(dòng)備份、刪除。

(75)提供審計(jì)報(bào)表自動(dòng)備份功能。

(76)提供系統(tǒng)升級(jí)功能，能夠通過升級(jí)包的方式實(shí)現(xiàn)升級(jí)。

(77)提供磁盤存儲(chǔ)容量不足、磁盤Raid故障等自動(dòng)郵件報(bào)警。

(78)提供CPU、內(nèi)存、磁盤、網(wǎng)口、運(yùn)行時(shí)間、運(yùn)行狀態(tài)等信息的監(jiān)視功能。

(79)提供審計(jì)策略和配置的導(dǎo)入導(dǎo)出。

(80)支持SNMP方式，提供系統(tǒng)運(yùn)行狀態(tài)給第三方網(wǎng)管系統(tǒng)。

(81)支持Syslog方式向外發(fā)送審計(jì)日志。

(82)支持SNMPTrap方式向外發(fā)送審計(jì)口志。

(83)支持NTP時(shí)間同步。

4.1.7.網(wǎng)絡(luò)審計(jì)

(1)網(wǎng)頁過濾

(2)網(wǎng)絡(luò)應(yīng)用控制

1)標(biāo)準(zhǔn)應(yīng)用協(xié)議：HTTP(S),SMTP,POP3,IMAP4,FTP,TELNET,

第13頁

SSH等

2)IM：QQ,MSN,飛信，Yahoo!Messenger,Skype等

3)P2P：BT,eMule/eDonkey,迅雷,Gnutella,PP點(diǎn)點(diǎn)通,百度下吧，

Winny等

4)網(wǎng)絡(luò)游戲：聯(lián)眾世界，魔獸世界，夢(mèng)幻西游，中國游戲中心，新浪

游戲，征途，游戲茶苑等

5)網(wǎng)絡(luò)電視:PPStream,PPLive,費(fèi)點(diǎn)，Sopcast,TVKoo,MOP,搜

狐TV,UUSee,土豆，優(yōu)酷等

6)炒股軟件：大智慧，指南針，同花順，證券之星，通達(dá)信，江海證

券，國泰君安等

7)流媒體：RealMedia,WinMedia等

8)隱患服務(wù)：Windows文件共享，基于RPC協(xié)議的若干服務(wù)，VNC,

MSSQL等

(3)內(nèi)容審計(jì)和過濾

1)郵件審計(jì)內(nèi)容：郵件收發(fā)時(shí)間、用戶名稱、發(fā)送郵箱地址、接收郵

箱地址、收發(fā)類型、郵件主題、郵件正文、郵件附件名稱及內(nèi)容

2)過濾條件：發(fā)信人地址、收信人地址、郵件主題關(guān)鍵字、郵件正文

關(guān)鍵字、郵件附件名稱、大小、類型及正文關(guān)鍵字

3)WEB-MAIL站點(diǎn)：雅虎郵箱、搜狐郵箱、網(wǎng)易163、網(wǎng)易126、Msn

HotmaiKTom郵箱、新浪郵箱、G-MaikQQ-MaiKExcite>Goo、

Infoseek>Livedoorx21CN、139郵箱等

(4)IM審計(jì)和過濾

1)MSN審計(jì)和過濾：審計(jì)收發(fā)動(dòng)作、發(fā)送賬號(hào)、接收賬號(hào)、聊天內(nèi)容、

視頻行為、文件傳輸內(nèi)容；支持MSNshell加密聊天內(nèi)容審計(jì)；基于

MSN賬號(hào)、文件名稱、文件傳輸方向、文件類型、和文件大小阻塞

聊天行為和文件傳輸行為；基于MSN外發(fā)信息的關(guān)鍵字進(jìn)行匹配并

報(bào)警；能夠?qū)徲?jì)信息按照一次完整的對(duì)話進(jìn)行還原，提高內(nèi)容的

可讀性

2)Yahoo!Messenger審計(jì)：審計(jì)收發(fā)動(dòng)作、發(fā)送賬號(hào)、接收賬號(hào)、聊天

第14頁

內(nèi)容

3)QQ審計(jì)：審計(jì)收發(fā)動(dòng)作、發(fā)送賬號(hào)(昵稱)、接收賬號(hào)(昵稱)、聊

天內(nèi)容、語音聊天行為、群組聊天內(nèi)容

4)飛信審計(jì)：審計(jì)收發(fā)動(dòng)作、發(fā)送賬號(hào)、接收賬號(hào)、聊天內(nèi)容、音視

頻行為、文件傳輸行為；基于賬號(hào)和聊天內(nèi)容關(guān)鍵字、文件名稱、

文件類型過濾聊天行為和文件傳輸行為；對(duì)違反預(yù)定義規(guī)范的飛信

聊天行為進(jìn)行報(bào)警

5)Skype審計(jì)：審計(jì)收發(fā)動(dòng)作、發(fā)送賬號(hào)、接收賬號(hào)、聊天內(nèi)容、文件

傳輸名稱、語音聊天行為

6)論壇發(fā)帖審計(jì)和過濾：能夠針對(duì)各類BBS論壇、新聞評(píng)論、搜索引

擎貼吧、博客、微博的發(fā)帖內(nèi)容進(jìn)行監(jiān)控審計(jì)，包括發(fā)帖賬號(hào)、標(biāo)

題、正文、附件，對(duì)于違背預(yù)設(shè)關(guān)鍵字的發(fā)帖進(jìn)行實(shí)時(shí)阻斷并報(bào)警：

對(duì)于發(fā)帖日志，還可以通過時(shí)間、用戶、關(guān)鍵字進(jìn)行全面查詢，準(zhǔn)

確定位發(fā)帖行為與內(nèi)容

7)搜索引擎關(guān)鍵字審計(jì)和過濾：以記錄用戶通過搜索引擎站點(diǎn)、門戶

網(wǎng)站、論壇貼吧、購物網(wǎng)站、視頻網(wǎng)站等搜索的關(guān)鍵字內(nèi)容，并可

以基于搜索類別、關(guān)鍵字內(nèi)容過濾用戶的非法搜索行為

8)HTTP文件傳輸審計(jì)和過濾：可以基于文件名稱、類型和大小市計(jì)

HTTP文件上傳下載內(nèi)容，并可阻塞包含指定特征的文件傳輸行為

9)HTTPS加密網(wǎng)頁的審計(jì)和過渡:可審計(jì)HTTPS加密網(wǎng)頁的訪問情況,

并可基于網(wǎng)站分類、證書合法性阻塞存在安全隱患HTTPS加密網(wǎng)頁

的訪問，有效屏蔽用戶對(duì)釣魚網(wǎng)站的訪問，保障企業(yè)網(wǎng)絡(luò)安全和用

戶信息安全

10)FTP文件傳輸審計(jì)和過濾:可以審計(jì)任意端口的FTP文件傳輸行為；

可基于所傳輸文件在FTP服務(wù)器中的路徑、文件名稱阻塞文件傳輸

行為；并可還原指定名稱、大小或類型的文件內(nèi)容

11)TELNET內(nèi)容審計(jì):可審計(jì)內(nèi)網(wǎng)用戶的TELENT行為，記錄TELNET

目標(biāo)設(shè)備的IP、端口信息；記錄執(zhí)行的指令內(nèi)容和結(jié)果

(5)實(shí)時(shí)監(jiān)控

第15頁

1）豐富全面的監(jiān)控信息:系統(tǒng)資源健康狀況，如CPU、內(nèi)存、硬盤等使

用信息；當(dāng)前在線用戶列表，包括全部合法用戶以及活躍用戶；當(dāng)

前網(wǎng)絡(luò)實(shí)時(shí)流量以及最近24小時(shí)網(wǎng)絡(luò)流量變化情況；本日應(yīng)用流量

排名、用戶流量排名、網(wǎng)站點(diǎn)擊量排名；預(yù)定義帶寬通道資源使用

情況

2）靈活的監(jiān)控設(shè)置：選擇一個(gè)、多個(gè)用戶或者用戶組實(shí)時(shí)監(jiān)控；選擇

一個(gè)、多個(gè)應(yīng)用實(shí)時(shí)監(jiān)控；監(jiān)控特定端口的網(wǎng)絡(luò)流量

（6）查詢統(tǒng)計(jì)與報(bào)表分析

1）完整的查詢內(nèi)容：基于用戶的綜合上網(wǎng)行為查詢；網(wǎng)絡(luò)流量查詢，

數(shù)據(jù)粒度可選，如：按匯總數(shù)據(jù)，小時(shí)流量，細(xì)節(jié)流量；Web訪問

記錄查詢，數(shù)據(jù)粒度可選，如：全鏈接，僅主鏈接；控制粒度可選，

如允許、阻塞：應(yīng)用行為阻塞n志信息查詢，便于對(duì)違規(guī)互聯(lián)網(wǎng)行

為進(jìn)行取證；應(yīng)用連接明細(xì)查詢，便于追蹤定位網(wǎng)絡(luò)安全事件故障

源；用戶二網(wǎng)時(shí)長查詢，可基于時(shí)間段、用戶、應(yīng)用協(xié)議等多種條

件進(jìn)行查詢分析；電子郵件收發(fā)記錄查詢，可查看完整的郵件正文

與附件內(nèi)容；IM聊天內(nèi)容查詢，查看MSN與Yahoo!Messenger

完整聊天記錄，同時(shí)，可方便追蹤某兩個(gè)IM用戶之間所有聊天過程

信息；論壇發(fā)帖內(nèi)容查詢，可杳看完整的發(fā)帖正文與上傳文件；P2P、

網(wǎng)游、炒股、視頻等網(wǎng)絡(luò)應(yīng)用行為查詢；查詢用戶或用戶組當(dāng)前所

適用的策略，便于排除或定位網(wǎng)絡(luò)故障源；用戶認(rèn)證上線歷史查詢，

建立時(shí)間、用戶、IP間的對(duì)應(yīng)關(guān)系

2）靈活的查詢條件設(shè)置：根據(jù)日期范圍，以及每天的特定時(shí)間段查詢；

根據(jù)用戶或者用戶組查詢；根據(jù)網(wǎng)絡(luò)應(yīng)用查詢流量；根據(jù)網(wǎng)站類別、

URL關(guān)鍵字、標(biāo)題關(guān)鍵字、網(wǎng)頁內(nèi)容關(guān)鍵字、預(yù)設(shè)的過濾策略查詢

Web訪問記錄；根據(jù)發(fā)件人、收件人、主題、附件名、郵件大小、

email類型、郵件主題及內(nèi)容的關(guān)鍵字查詢發(fā)送與接收郵件；根據(jù)發(fā)

送帳號(hào)、接收帳號(hào)、IM類型、聊天內(nèi)容關(guān)鍵字查詢?cè)诰€聊天記錄;

設(shè)置URL關(guān)鍵字與正文關(guān)鍵字查詢論壇發(fā)帖記錄

3）查詢結(jié)果保存：直接導(dǎo)出為Excel表珞，方便二次處理

第16頁

4.1.8.安全管理平臺(tái)

（1）事件管理

1）要支持路由器、交換機(jī)、防火墻等主流設(shè)備，采集方式至少要支持

sylog>snmp>VIP、XML、ODBC>netflow等通用協(xié)議進(jìn)行信息采

集

2）具備很強(qiáng)的擴(kuò)展性，能夠方便的支持現(xiàn)有及未來的各類設(shè)名；對(duì)新

設(shè)備的定制支持時(shí)間小于5個(gè)工作日

3）事件顯示內(nèi)容包括：事件類型、事件名稱、報(bào)警級(jí)別、來源IP、目

的IP、設(shè)備類型、設(shè)備來源IP、接收時(shí)間等

4）事件過濾條件可以按照以下屬性建立：事件類型、事件原生ID、源

IP地址、源端口、源MAC地址、目的IP地址、目的端口、目的

MAC地址等

5）事件合并條件可以按照以下屬性建立：事件類型、事件原生ID、源

IP地址、源端口、源MAC地址、目的IP地址、目的端口、目的

MAC地址等

6）可以采用多個(gè)查詢條件進(jìn)行查詢，如“設(shè)備IP”、“設(shè)備類型”、“發(fā)

生時(shí)間”等

7）安全事件提供基于知識(shí)庫的關(guān)聯(lián)，能夠?qū)⑿畔踩录c現(xiàn)有知識(shí)

庫進(jìn)行關(guān)聯(lián)

8）安全事件提供基于資產(chǎn)的關(guān)聯(lián)，可以將當(dāng)前發(fā)生的信息安全事件與

預(yù)先定義的信息安全資產(chǎn)進(jìn)行相關(guān)，從而不僅可以有效判斷事件的

優(yōu)先級(jí)，還能夠協(xié)助評(píng)估當(dāng)前資產(chǎn)遭到威脅的狀況

9）能夠?qū)崟r(shí)給出高危害安全事件的列表

10）事件按照威脅程度劃分報(bào)警級(jí)別，報(bào)警級(jí)別按照5級(jí)劃分

（2）域與資產(chǎn)管理

1）能夠支持多級(jí)樹型的安全域（不小于10級(jí)），便于支持用戶復(fù)雜的

組織架構(gòu)和網(wǎng)絡(luò)架構(gòu)

2）支持多種資產(chǎn)屬性的定義，至少包含：資產(chǎn)名稱、資產(chǎn)類型、IP地

址信息、物理位置、CIA等

第17頁

3）支持針對(duì)資產(chǎn)的多種操作方式，至少包含：新增、修改、批量修改、

復(fù)制、粘貼、刪除、導(dǎo)入、導(dǎo)出、查詢等

4）可以根據(jù)資產(chǎn)編號(hào)、ip等屬性對(duì)資產(chǎn)進(jìn)行查詢

5）可以查看資產(chǎn)的端口、漏洞信息

6）支持自動(dòng)發(fā)現(xiàn)資產(chǎn)功能

7）可以配置資產(chǎn)所在地理位置，并且能在資產(chǎn)屬性中配置資產(chǎn)所在地

理位置

（3）風(fēng)險(xiǎn)管理

1）能夠提供符合BS7799/ISO17799標(biāo)準(zhǔn)的風(fēng)險(xiǎn)管理視圖，實(shí)時(shí)分析重

要資產(chǎn)和安全域（業(yè)務(wù)單元）的各類風(fēng)險(xiǎn)，風(fēng)險(xiǎn)級(jí)別按照5級(jí)進(jìn)行

劃分

2）能夠關(guān)聯(lián)出安全事件所影響到的信息資產(chǎn)

3）根據(jù)資產(chǎn)的安全需求、資產(chǎn)面臨的威脅進(jìn)行綜合評(píng)估，給出當(dāng)前資

產(chǎn)的風(fēng)險(xiǎn)狀況，并且能夠從保密性、可用性、完整性三個(gè)方面進(jìn)行

詳細(xì)的風(fēng)險(xiǎn)展示

4）能夠根據(jù)資產(chǎn)風(fēng)險(xiǎn)的狀況對(duì)資產(chǎn)進(jìn)行評(píng)級(jí)、能夠根據(jù)安全域風(fēng)險(xiǎn)的

狀況對(duì)安全域進(jìn)行評(píng)級(jí)

5）能夠根據(jù)資產(chǎn)的風(fēng)險(xiǎn)狀況進(jìn)行排序，給出高風(fēng)險(xiǎn)資產(chǎn)清單

6）能夠根據(jù)安全域的風(fēng)險(xiǎn)狀況進(jìn)行排序，給出高風(fēng)險(xiǎn)安全域清單

7）可以提供風(fēng)險(xiǎn)查詢手段

8）用戶可以從資產(chǎn)風(fēng)險(xiǎn)追蹤到相關(guān)的高風(fēng)險(xiǎn)事件，從而有效判斷資產(chǎn)

風(fēng)險(xiǎn)的來源，并進(jìn)行正確的處理

9）用戶可以從安全域風(fēng)險(xiǎn)追蹤到子域風(fēng)險(xiǎn)和子域所屬資產(chǎn)風(fēng)險(xiǎn)，從而

關(guān)聯(lián)到相關(guān)的高風(fēng)險(xiǎn)事件，從而有效判斷風(fēng)險(xiǎn)的來源，并進(jìn)行正確

的處理

（4）脆弱性管理

1）能夠?qū)⒙┒磼呙柢浖膾呙杞Y(jié)果導(dǎo)入系統(tǒng)

2）內(nèi)置對(duì)2種以上的主流漏洞掃描產(chǎn)品的支持，并提供統(tǒng)一的漏洞采

集格式接口

第18頁

3）能夠進(jìn)行多次結(jié)果之間的對(duì)比分析

4）能夠?qū)呙杞Y(jié)果與資產(chǎn)的原有屬性進(jìn)行比較，并給出沖突項(xiàng)提交用

戶確認(rèn)

5）支持資產(chǎn)的脆弱性管理，允許查看資產(chǎn)和安全域的脆弱性指標(biāo)

6）漏洞支持多種狀態(tài)（誤報(bào)、確認(rèn)、己防范等），能夠人工調(diào)整漏洞狀

態(tài)，進(jìn)行漏洞跟蹤

（5）響應(yīng)管理

1）可以提供多種響應(yīng)方式，至少包括郵件、聲音、工單、設(shè)備控制等

2）可以自定義多種響應(yīng)條件，響應(yīng)條件至少包括源地址、源端口、目

的地址、目的端口、事件類型等

3）對(duì)于常見安全事件，可以提供應(yīng)急響應(yīng)預(yù)案和解決方案

（6）預(yù)警管理

1）提供圖形化安全預(yù)警功能

2）安全預(yù)警形成統(tǒng)一的風(fēng)險(xiǎn)級(jí)別，為安全管理人員進(jìn)行安全預(yù)警

3）對(duì)于新漏洞、蠕蟲，能夠進(jìn)行自動(dòng)化處理

4）能夠宏觀展示出當(dāng)前信息系統(tǒng)的安全狀態(tài)，安全狀態(tài)分為3個(gè)安全

級(jí)別

（7）宏觀趨勢(shì)分析

1）能夠提供地址端、三元組、熱點(diǎn)事件傳播三種宏觀分析模型

2）建立一套可以從宏觀上對(duì)網(wǎng)絡(luò)安全狀態(tài)及發(fā)展趨勢(shì)進(jìn)行描述的方法

和展示形式，建立從整體上反應(yīng)網(wǎng)絡(luò)安全運(yùn)行狀態(tài)的指標(biāo)變量

3）關(guān)注目前最流行的攻擊行為態(tài)勢(shì)，關(guān)注熱點(diǎn)事件的傳播過程，對(duì)于

已知和未知蠕蟲事件的爆發(fā)過程能夠進(jìn)行準(zhǔn)確描述；

4）建立攻擊行為中源地址、目的地址、攻擊類型的三元組模型，反應(yīng)

當(dāng)前流行的網(wǎng)絡(luò)攻擊態(tài)勢(shì)

5）通過觀測(cè)熱點(diǎn)事件的發(fā)展趨勢(shì)，幫助管理員判斷熱點(diǎn)事件是否可能

發(fā)展成為大規(guī)模網(wǎng)絡(luò)安全事件，從而采取相應(yīng)的防范措施

（8）流量管理

I）支持netflow,可以通過netflow采集流量信息

第19頁

2）總流量分析：對(duì)被監(jiān)控網(wǎng)絡(luò)內(nèi)的總體流量進(jìn)行實(shí)時(shí)計(jì)算分析，分析

出當(dāng)前流量是否異常

3）協(xié)議流量分析：對(duì)被監(jiān)控網(wǎng)絡(luò)內(nèi)協(xié)議流量（TCP,UDP,ICMP,其

他協(xié)議）進(jìn)行實(shí)時(shí)計(jì)算分析，分析出當(dāng)前各種協(xié)議流量是否異常

4）端口流量分析：對(duì)被監(jiān)控網(wǎng)絡(luò)內(nèi)端口流量進(jìn)行實(shí)時(shí)計(jì)算分析，分析

出當(dāng)前各種端口流量是否異常

5）應(yīng)用流量分析：對(duì)被監(jiān)控網(wǎng)絡(luò)內(nèi)應(yīng)用流量進(jìn)行實(shí)時(shí)計(jì)算分析，分析

出當(dāng)前各種應(yīng)用流量是否異常

（9）基線管理

I）系統(tǒng)提供各種分析模型的動(dòng)態(tài)基線。系統(tǒng)會(huì)通過自學(xué)習(xí)的過程為每

個(gè)模型動(dòng)態(tài)的建立起相應(yīng)的基線，為每個(gè)模型分析安全態(tài)勢(shì)提供了

理論依據(jù)C基線的學(xué)習(xí)周期用戶可以根據(jù)自己的需要來配置C

（10）關(guān)聯(lián)分析

1）能夠提供規(guī)則關(guān)聯(lián)分析方法

2）能夠提供漏洞關(guān)聯(lián)分析方法

3）能夠提供統(tǒng)計(jì)關(guān)聯(lián)分析方法

4）能夠內(nèi)置不低于2（）條的關(guān)聯(lián)分析規(guī)則庫

5）可以自定義關(guān)聯(lián)分析后事件名稱、級(jí)別、ip地址等

6）關(guān)聯(lián)結(jié)果可以通過函數(shù)表達(dá)式自動(dòng)生成

7）可以按照源地址、源端口、目的地址、目的端口、事件類型、事件

級(jí)別等條件設(shè)置關(guān)聯(lián)條件

（11）知識(shí)管理

1）能夠提供SOC事件庫、原始設(shè)備事件庫、案例庫、安全策略管理、

安全公告、處置預(yù)案庫、漏洞庫、安全鏈接等知識(shí)庫功能

2）能夠提供設(shè)備原始事件庫、安全策略文檔庫、安全公告庫、處置預(yù)

案庫、報(bào)表模板庫、預(yù)警信息庫、TSOC漏洞庫、工作流程庫、設(shè)備

控制功能及腳本庫、關(guān)聯(lián)分析規(guī)則庫等知識(shí)庫的定期更新

3）對(duì)SOC事件能夠分類，要求能夠達(dá)到9大類、95小類，大類至少包

含病毒木馬、掃描探測(cè)、應(yīng)用漏洞等

第20頁

4）支持安全簧略文檔的上傳、下載、發(fā)布等管理操作

5）同一個(gè)安全策略文檔可以以多種格式進(jìn)行上傳和發(fā)布

6）提供基于關(guān)鍵字的安全策略的搜索和關(guān)聯(lián)

（12）工作流管理

1）支持用戶自定義工作流，提供圖形化的工作流定制界面

2）可以支持流程的屬性擴(kuò)展

3）能夠提供接口與響應(yīng)模塊連接

4）支持工作流的導(dǎo)入導(dǎo)出

（13）設(shè)備管理

1）支持telnet和ssh方式對(duì)設(shè)備進(jìn)行控制

2）內(nèi)置了對(duì)防火墻、路由器、交換機(jī)、Linux操作系統(tǒng)、Windows操作

系統(tǒng)等設(shè)各的支持，并可以根據(jù)用戶實(shí)際需要進(jìn)行擴(kuò)展

3）支持用戶定制設(shè)備控制命令

4）提供腳本的管理和搜索功能

5）能與響應(yīng)模塊相連接，實(shí)現(xiàn)自動(dòng)控制設(shè)備

（14）用戶管理

1）支持用戶與用戶組管理，一個(gè)用戶可以屬于多個(gè)用戶組

2）應(yīng)具備針對(duì)多用戶、多資產(chǎn)對(duì)象、多域?qū)ο蟮撵`活的權(quán)限設(shè)置

3）應(yīng)支持集中的用戶認(rèn)證

4）應(yīng)該采用三權(quán)分立的管理體制，要求默認(rèn)設(shè)置用戶管理系統(tǒng)管理員、

系統(tǒng)管理員、審計(jì)管理員

（15）報(bào)表管理

1）可以提供風(fēng)險(xiǎn)報(bào)表、事件報(bào)表、資產(chǎn)報(bào)表、脆弱性報(bào)表、管理設(shè)備

報(bào)表、用戶報(bào)表、工單報(bào)表、定制報(bào)表

2）應(yīng)支持具各交互操作的動(dòng)態(tài)報(bào)表

3）能夠定期從報(bào)表系統(tǒng)生成信息安全報(bào)告

4）報(bào)表系統(tǒng)支持用戶自定義，即允許用戶根據(jù)自己的需求定制化報(bào)表

（16）系統(tǒng)管理

I）能夠監(jiān)控系統(tǒng)自身組件的健康狀況

第21頁

2）能夠監(jiān)控?cái)?shù)據(jù)庫健康狀況

3）能夠制定自動(dòng)、手動(dòng)等多種方式的日志維護(hù)任務(wù)

4）能夠提供系統(tǒng)軟件的自動(dòng)、手動(dòng)升級(jí)功能

5）能夠通過全局策略控制安全事件是否進(jìn)行預(yù)警、風(fēng)險(xiǎn)計(jì)算、關(guān)我分

析等

（17）綜合顯示

1）能夠提供柱狀圖、折線圖、餅狀圖等宏觀展示的儀表盤，幫助用戶

全面直觀地了解各類安全信息和系統(tǒng)信息

2）可以按域查看事件的實(shí)時(shí)收集情況及資產(chǎn)風(fēng)險(xiǎn)值TOP10和資產(chǎn)脆

弱性TOP10的圖表

3）能夠結(jié)合電子地圖進(jìn)行展示，在地圖上顯示IP信息、運(yùn)行狀態(tài)、風(fēng)

險(xiǎn)狀況、安全事件等信息

4.1.9.堡壘機(jī)

（1）三權(quán)分立

1）用戶多角色劃分：系統(tǒng)需提供用戶管理員、配置管理員、審計(jì)管理

員、普通月戶等多種角色；

（2）分布式管理

1）支持分布式部署，E以通過統(tǒng)一的數(shù)據(jù)中心采集各個(gè)獨(dú)立引擎的日

志?？偛靠偪刂婆_(tái)能夠適時(shí)監(jiān)控分布式部署引擎的系統(tǒng)狀態(tài)以及賬

號(hào)信息、黃略、報(bào)表和審計(jì)事件。

2）審計(jì)引擎統(tǒng)一管理、至少支持2個(gè)以上的引擎同時(shí)管理，審計(jì)數(shù)據(jù)

統(tǒng)一存儲(chǔ)、查詢、分析，統(tǒng)計(jì)

（3）多級(jí)管理

1）下級(jí)控制臺(tái)可以設(shè)置接受上級(jí)管理

2）上級(jí)控制臺(tái)可以查看所有下級(jí)的拓?fù)浜蜖顟B(tài)

3）上級(jí)控制臺(tái)可以為下級(jí)生成報(bào)表

4）上級(jí)控制臺(tái)可以為下級(jí)下發(fā)審計(jì)對(duì)象

（4）日志維護(hù)

1）可對(duì)審計(jì)日志按照時(shí)間段進(jìn)行備份

第22頁

2）可對(duì)審計(jì)日志進(jìn)行自動(dòng)和手工備份

（5）系統(tǒng)升級(jí)

1）支持堡壘機(jī)系統(tǒng)的升級(jí)管理

（6）用戶帳號(hào)實(shí)名制

1）可以根據(jù)具體的維護(hù)人員添加唯一與其身份對(duì)應(yīng)的用戶，實(shí)現(xiàn)維護(hù)

人員身份的唯一性管理

（7）用戶狀態(tài)

1）可以設(shè)定活動(dòng)、禁用兩種用戶帳號(hào)狀態(tài)，當(dāng)用戶在一定時(shí)間內(nèi)連續(xù)

輸錯(cuò)密碼時(shí)，可以自動(dòng)禁用該用戶帳號(hào)

（8）用戶身份認(rèn)證

1）支持靜態(tài)密碼認(rèn)證方式

2）支持雙因素認(rèn)證方式

（9）帳號(hào)有效期控制

1）可以通過配置用戶帳號(hào)的密碼有效期，使用戶帳號(hào)在到期之后停止

使用

（10）密碼托管

1）通過對(duì)目標(biāo)設(shè)備密碼的托管，實(shí)現(xiàn)對(duì)后臺(tái)設(shè)備的自動(dòng)登錄

（11）密碼維護(hù)

1）支持系統(tǒng)管理員和認(rèn)證用戶的密碼安全性設(shè)置.，包括長度、復(fù)雜度

等

2）靈活可配置的密碼修改策略；

（⑵權(quán)限管理

1）支持黑名單（不可以執(zhí)行）和白名單（只允許執(zhí)行）

2）對(duì)丁用戶權(quán)限定義精確到命令級(jí)

3）對(duì)于關(guān)鍵的Telnet服務(wù)器，可以配置權(quán)限用戶登錄后自動(dòng)執(zhí)行命令

集

4）可以對(duì)用戶訪問權(quán)限進(jìn)行查看、變更、刪除等操作

（13）訪問策略定義

1）可實(shí)現(xiàn)基于訪問IP、用戶賬號(hào)、目標(biāo)設(shè)備、目標(biāo)服務(wù)、系統(tǒng)帳號(hào)、

第23頁

具體操作、時(shí)間設(shè)定比較詳細(xì)的訪問策略

2）不符合訪問策略的操作可以被阻斷

3）每個(gè)訪問簧略可以支持多個(gè)訪問規(guī)則

（14）操作規(guī)則定義

1）對(duì)于文件操作，能夠定義文件目錄名、操作類型、命令響應(yīng)時(shí)間、

返回碼等（非正則表達(dá)式模式）

2）對(duì)于命令行操作：能夠定義用戶名、操作命令、命令響應(yīng)時(shí)間、返

回碼等（非正則表達(dá)式模式）

3）對(duì)于圖形操作：能夠定義用戶名、訪問源主機(jī)等（非正則表達(dá)式模

式）

4）對(duì)于數(shù)據(jù)庫操作：能夠定義數(shù)據(jù)庫操作類、表、視圖、索引、觸發(fā)

器、存儲(chǔ)過程、域、Schema、游標(biāo)、事物、響應(yīng)時(shí)間、返回行數(shù)、

操作成功失敗等各種對(duì)象（非正則表達(dá)式模式）

（15）實(shí)時(shí)監(jiān)控

1）可對(duì)RDP、VNC、Telnet、SSH等協(xié)議進(jìn)行實(shí)時(shí)監(jiān)控

2）對(duì)于實(shí)時(shí)監(jiān)控的會(huì)話，可以手動(dòng)進(jìn)行阻斷

（16）系統(tǒng)對(duì)操作響應(yīng)

1）記錄審計(jì)事件

2）記錄會(huì)話數(shù)據(jù)

3）忽略

4）實(shí)時(shí)阻斷

5）界面告警

6）Syslog告警

7）SNMPtrap告警

8）郵件告警

（17）查詢條件

1）所有操作均支持按時(shí)間、級(jí)別、源'目的IP、源'目的MAC、協(xié)議名、

源、目的端□為條件進(jìn)行審計(jì)日志查詢

（18）命令操作搜索

第24頁

1）搜索關(guān)鍵詞支持正則表達(dá)式；

（19）圖形操作搜索

1）可以以鍵盤輸入的內(nèi)容為關(guān)鍵字進(jìn)行搜索；

（20）數(shù)據(jù)庫操作搜索

1）支持按數(shù)據(jù)庫名、數(shù)據(jù)庫表名、字段值、數(shù)據(jù)庫登陸賬號(hào)、數(shù)據(jù)庫

操作命令、數(shù)據(jù)庫返回碼、SQL響應(yīng)時(shí)間、數(shù)據(jù)庫返回行數(shù)作為查

詢和統(tǒng)計(jì)條件

（21）操作和會(huì)話關(guān)聯(lián)

1）搜索結(jié)果與操作會(huì)話關(guān)聯(lián)，實(shí)現(xiàn)快速定位

（22）命令操作

I）支持命令操作會(huì)話的完整回放

（23）圖形操作

1）支持圖形操作的回放

2）支持倍速回放

3）支持回放全屏顯示

4）回放時(shí)可顯示鍵盤和鼠標(biāo)操作內(nèi)容

（24）審計(jì)報(bào)表

1）支持生成各種格式的審計(jì)報(bào)表，包括PDF、Word、Excel、HTML等

格式

2）系統(tǒng)自帶多種報(bào)表模板

3）系統(tǒng)支持自定義報(bào)表

4）支持報(bào)表按日、周、月自動(dòng)生成，并且可自動(dòng)郵件發(fā)送給相關(guān)管理

人員

4.1.10.終端安全管理系統(tǒng)

（1）服務(wù)器級(jí)聯(lián)管理：

1）支持服務(wù)器級(jí)聯(lián)管理，可以支持無限級(jí)的中心服務(wù)器進(jìn)行級(jí)聯(lián)，當(dāng)

然，單級(jí)服務(wù)器仍然支持一個(gè)中心服務(wù)器和多個(gè)本地服務(wù)器，結(jié)合

無限級(jí)的服務(wù)器級(jí)聯(lián)，對(duì)終端的管理規(guī)?？梢詿o限擴(kuò)展。

2）靈活方便的服務(wù)器級(jí)聯(lián)管理關(guān)系管理，服務(wù)器安裝的時(shí)候無需指定

第25頁

上下級(jí)關(guān)系，安裝后可以直接通過Web控制臺(tái)由級(jí)聯(lián)關(guān)系管理員指

定。級(jí)聯(lián)管理員也有權(quán)限根據(jù)級(jí)聯(lián)管理的要求隨時(shí)更改服務(wù)器上下

級(jí)級(jí)聯(lián)關(guān)系，以適應(yīng)網(wǎng)絡(luò)環(huán)境和級(jí)聯(lián)管理變化要求。

3）級(jí)聯(lián)管理員除了可以對(duì)本機(jī)服務(wù)器進(jìn)行管理之外，還可以查看和巡

視到所有下級(jí)服務(wù)器信息和運(yùn)行狀態(tài)。

4）服務(wù)器級(jí)聯(lián)后，下級(jí)服務(wù)器將自動(dòng)匯總要求生成統(tǒng)計(jì)報(bào)表，并定時(shí)

上報(bào)的上級(jí)服務(wù)器，上級(jí)級(jí)聯(lián)管理員隨時(shí)可以了解到下級(jí)服務(wù)器所

管理的終端運(yùn)行情況和合規(guī)管理狀態(tài)。

5）支持策略的級(jí)聯(lián)下發(fā)，上級(jí)管理員可以將重要的安全策略，通過級(jí)

聯(lián)下發(fā)到下級(jí)單位。

6）支持級(jí)聯(lián)授權(quán)拆分管理，即可以根捱需要每級(jí)獨(dú)立使用自有的客戶

端授權(quán),也支持授權(quán)逐級(jí)分發(fā)，根據(jù)每級(jí)實(shí)際的終端數(shù)量分配客戶

端授權(quán)數(shù)量。

7）并可以實(shí)時(shí)級(jí)聯(lián)各級(jí)單位授權(quán)使用情況，例如總授權(quán)數(shù)、已分配授

權(quán)數(shù)、可分配授權(quán)等、本機(jī)注冊(cè)終端數(shù)、下級(jí)已經(jīng)注冊(cè)終端數(shù)。

8）支持授權(quán)回收，能夠回收下級(jí)單位富余的授權(quán)數(shù)量，并重新對(duì)回收

的授權(quán)數(shù)量進(jìn)行重新分配。

（2）管理員分級(jí)管理

1）支持管理員分級(jí)管理，不同的管理員可以授權(quán)不同的區(qū)域，上級(jí)管

理員可為下級(jí)區(qū)域設(shè)定全局規(guī)則，并可查看下級(jí)區(qū)域的各種規(guī)則和

報(bào)表。

2）支持只讀管理員權(quán)限、資產(chǎn)管理員權(quán)限、按需支援管理員權(quán)限等多

種細(xì)分權(quán)限劃分，權(quán)限劃分最細(xì)支持到單一功能菜單。

3）支持獨(dú)立的管理員操作審注，審計(jì)管理員進(jìn)行的策略配置操作行為。

4）支持管理員通過Https方式訪問Web控制臺(tái)。

5）支持“三權(quán)分立”與“Windows集成認(rèn)證”兩種認(rèn)證模式。

（3）細(xì)粒度管理

1）既能將連續(xù)的IP地址網(wǎng)段作為管理對(duì)象，也可將離散的IP地址組成

IP組作為管理對(duì)象，最小的管理單位為一個(gè)IP地址。

第26頁

2）準(zhǔn)入控制的最小實(shí)施單位為單個(gè)IP或單個(gè)用戶，能針對(duì)VIP用戶啟

用例外策略。

3）安全策略既可以對(duì)IP生效，也可以對(duì)用戶生效，可以單獨(dú)生效，也

可以同時(shí)生效。用戶策略優(yōu)先級(jí)高于IP策略。

4）支持離線策略，當(dāng)檢查到終端處于離線狀態(tài)時(shí)，客戶端將自動(dòng)切換