序号

原技术参数

更正后技术参数

运维审计系统

1、要求设备机架式结构，设备具有≥1个console口，1个USB口；

★2、要求设备具有 ≥2个(略)/(略)/(略)BASE-TX管理口，4个(略)/(略)/(略)BASE自适应电口；

★3、要求设备具有≥4个SFP插槽，2个可扩展插槽，双电源，≥ 2T存储空间 ；

★4、要求设备性能≥(略)个主机/设备许可，用户数不限制，要求提供三年软件升级许可；

5、工作模式要求物理旁路单臂部署，以逻辑网关方式工作；

6、要求设备不改变现有网络结构，不改变运维人员的运维习惯；

7、组织结构支持分组，不限级数的进行分层分级分类管理；

8、AD域同步支持从AD域抽取OU，方便快速建立组织结构；

9、要求支持完整的用户账号生命周期管理，实现账号的创建、维护、修改、删除的集中管理；

(略)、自定义用户类型，基于针对用户类型进行用户地址策略；

(略)、用户、资源分组管理：(略)

(略)、用户策略支持通过配置口令策略，达到指定密码有效期和限制主账号密码强度的目的；

(略)、资源管理，支持资源统计，支持柱形图方式查看系统中不同资源所占比例；

(略)、资源类型，支持unix资源、网络资源、windows资源、数据库资源、C/S资源、B/S资源；

(略)、资源协议支持SSH、TELNET、FTP、SFTP、VNC、XWINDOW、WINDOWS文件共享等协议；

(略)、其中SSH协议代理，支持SecureCRT软件的Session Clone及Send To All等复杂的功能；

(略)、支持资源从账号的管理，系统具有各种资源类型；

(略)、自动改密，支持对unix资源、网络资源、windows资源、数据库资源、中间件资源进行密码变更；

(略)、密码变更可以根据密码策略的要求进行变更，变更的密码符合密码策略中关于密码强度的要求；

(略)、密码拨测计划，支持定期检查平台存储的设备账号密码与设备实际密码是否匹配；

(略)、账号导出，支持从账号按时间计划导出账号口令，支持手动下载或指定FTP服务器；

(略)、支持导出的账号口令需要解密器解密后查看；

(略)、访问端口变更，提高设备的安全性，不采用标准的协议端口；

(略)、平台支持FTP、telnet、ssh、远程桌面等协议服务端口变更；

(略)、授权管理，支持角色管理，支持自定义角色；

(略)、角色可按照组节点进行定义，从而实现分层分级管理模式，角色权限细粒度高，可自由组合；

(略)、收藏夹功能，运维人员可将经常访问的资源添加到收藏夹；

(略)、身份切换代填，支持网络设备enable和unix主机su等身份切换的单点登录功能；

(略)、Zmodem协议访问，支持运行rz，sz等命令，从而可以非常便捷快速的进行两个系统的文件交换；

(略)、自动代填账号和密码，访问授权资源时不必再输入从账号和密码；

(略)、在网络设备的认证协议上不仅支持RADIUS和TACACS+协议，而且产品系统自身可以作为Radius和TACACS服务器；

(略)、RDP策略支持上下行剪切板控制、共享磁盘控制、控制台登录控制；

(略)、支持命令操作的黑白名单设置，命令权限控制规则应支持正则表达式；

(略)、支持FTP常用命令列表，方便用户指定FTP命令策略；

(略)、审计策略：(略)

★(略)、VPN功能，内置VPN功能，无需专用VPN硬件支持，即可方便安全地通过远程接入此设备；

★(略)、第(略)条需提供证明文件，不限于第三方检测报告或产品彩页、官网截图等；

★(略)、文件传输，产品自带病毒检测功能，在通过平台进行文件传输时，自动对传输的文件进行防病毒检测；

(略)、图形审计，支持图形资源访问时，支持键盘、剪切板、文件传输记录；

(略)、对图形资源的审计回放时，可以从某个键盘、剪切板、文件传输记录的指定位置开始回放；

(略)、字符审计，对字符命令方式的访问可以审计到所有交互内容；

(略)、可以还原操作过程的命令输入和结果输出，并且可以展现各命令的执行时间和允许执行情况；

(略)、实时监控：(略)

(略)、操作人员对于资源的访问，审计员可以实施查看，发现高危操作时，支持实时切断当前会话；

(略)、管理审计支持提供系统内部操作审计；

(略)、审计包括管理员和运维用户的登录、登出、对系统的配置操作、账号属性修改等系统管理操作；

★(略)、流程管理支持设定主副岗账号和双人共管账号，并提供相应授权流程；

★(略)、第(略)条需提供证明文件，不限于第三方检测报告或产品彩页、官网截图等；

(略)、支持流程申请人、审批人、执行人的委派；

(略)、授权需要申请人定义申请单，发起事件申请；

(略)、事件可以多人审批，审批人收到申请后可以同意或拒绝申请；

(略)、系统配置支持数据备份、还原应用备份、管理数据备份、审计数据备份、配置文件备份；

(略)、外接存储：(略)

(略)、支持NFS和windows文件共享协议，远程审计存储和本地存储对审计员透明；

(略)、支持双网卡冗余（双网卡虚拟单Ip）；

(略)、支持应用发布服务器的集群部署，可以设定自动选择应用发布服务器，或者由用户手动指定；

(略)、分布式部署，支持实现公司总部与各分公司之间，组织机构分散而需要统一集中管理的问题；

★(略)、要求该设备提供三年原厂售后服务，其中包括三年免费保修，三年7*(略)小时不间断售后服务；

★(略)、投标商需提供合法来源渠道证明文件；

1、厂家需具备产品自主知识产权，禁止OEM贴牌投标；

★2、本次设备为软硬件一体化产品≥2U，磁盘≥2T*2、内存≥(略)G、硬盘须配置RAID1、至少配备6个(略)/(略)M自适应电口和4个(略)M光口（并配≥2个SFP多模模块）、并支持至少2个端口扩展槽，最大端口数≥(略)个，配置1+1冗余电源；USBkey：(略)

★3、本次配置授权数量：(略)

4、设备采用旁路部署，对业务环境无影响；须支持HA主备模式，管理口与心跳口均须支持多链路端口绑定的功能，防止单网卡或单线故障；

5、支持多台堡垒机异地备份部署，每台设备都能提供运维和审计服务，配置数据自动同步；

6、为了满足本单位未来业务的增长，要求设备可采用集群部署模式，中心采用HA模式，节点可以横向扩展模式，实现统一登录入口和配置同步，以满足业务增长需求；

7、设备需支持按部门组织架构管理用户数据、资产数据、授权数据、审计数据（至少5个层级的部门）；

8、每个部门可以管理本部门及下级部门的用户角色：(略)

9、每个部门的部门管理员可以管理本部门及下级部门的主机、授权关系、策略；

(略)、每个部门的审计管理员可以管理本部门及下级部门的运维会话日志；

(略)、支持与AD、LDAP、RADIUS、吉大正元、北京CA认证系统联动登录堡垒机，支持自动同步AD/LDAP用户；

(略)、支持与get、post、soap发送方式的http短信网关平台进行联动，实现短信动态口令双因素认证机制，如与阿里云短信服务、SendCloud联动

★(略)、基于不同的用户设置不同的双因子认证模式，如user1用动态令牌、user2用USBkey、user3手机APP动态口令认证；（提供生产厂家确认的、相应的功能证明材料，包括但不限于测试报告、官网和功能截图等）；

(略)、要求支持手机APP动态口令认证方式登录堡垒机，且新用户首次登录后需强制绑定APP动态口令；

(略)、堡垒机要求内嵌动态令牌和usbkey认证引擎，可同时使用动态令牌和USBkey，且认证引擎须具备原认证引擎厂家授权和资质；

(略)、支持认证方式的全局设置：(略)

(略)、为了使用运维简单高效，要求可基于不同的用户设置不同的双因子认证模式，如user1 用USBkey、user2用手机APP动态口令认证、user3动态令牌；

(略)、方便用户运维登录使用，要求支持认证方式的全局设置：(略)

(略)、支持常用的运维协议：(略)

(略)、支持DB2、oracle、mysql、sqlserver主流数据库协议代理运维，可直接调用本地windows系统的数据库客户端工具，支持自动登录、无需应用发布前置机；

(略)、扫描对象支持Oracle、MS SQLserver、Mysql、Infomix、DB2、Sybase、达梦、人大金仓；

(略)、支持域认证与双因子认证结合使用，如同时使用AD/LDAP用户名+AD/LDAP密码+手机APP动态口令登录堡垒机、同时使用AD/LDAP用户名+AD/LDAP密码+短信口令登录堡垒机；

(略)、IE代填应用发布：(略)

★(略)、要求设备能够自动收集设备IP、端口号、账号、密码、运维协议、与用户的权限关系，甚至可自动完成授权；（提供生产厂家确认的、相应的功能证明材料，包括但不限于测试报告、官网和功能截图等）

(略)、提供网站恶意代码检查工具：(略)

(略)、为了保证运维文件的私密性，要求导出的设备信息文件必须加密存储，解密时须由两个管理员同时解密才能查看到设备信息文件内容；

(略)、运维人员可以向管理员申请需要访问的设备，申请时可以选择：(略)

(略)、自动修改windows服务器密码无需在目标服务器上安装agent、开启telnet服务等；

(略)、为了简化运维人员工作量，提升系统安全性以及密码时效性要求设备提供完善的自动改密策略，包括改密前发送密码、发送失败不改密、改密后发送密码、密码文件加密、密码强度控制、自动密码恢复等；发送方式包括邮件、FTP、SFTP等；

(略)、需要支持H5运维方式：(略)

(略)、支持通过堡垒机页面直接调用本地Windows系统里的plsql、sqlplus、toad、sqlwb、ssms、mysql.exe等数据库客户端工具；

(略)、支持使用本地的winscp/flashFXP/SecureFX等客户端工具登录堡垒机访问SFTP/FTP设备；

(略)、支持使用本地的SecurCRT/Xshell/OpenSSH工具通过SSH网关代理方式直接登录字符设备；

(略)、支持批量登录字符设备功能：(略)

(略)、AD/LDAP环境，支持直接使用登录堡垒机的AD/LDAP用户及密码可以直接自动登录到服务器里；

(略)、支持对运维操作会话的在线监控、实时阻断、日志回放、起止时间、来源用户、来源IP、目标设备、协议/应用类型、命令记录、操作内容（如对文件的上传、下载、删除、修改等操作等）的详细行为日志；

(略)、传输原始文件的要求：(略)

(略)、支持对RDP屏幕文字内容、标题窗口、键盘输入的记录和搜索定位；

(略)、支持审计主流数据库（如DB2、oracle、mysql、sql server）运维中的SQL语句，可进行关键信息定位查询；

(略)、支持全局搜索审计日志，无需区分图形/字符/文件/应用类型，只需通过关键信息直接搜索定位；

(略)、审计数据支持通过SFTP/FTP方式自动归档，并在页面中可以查询哪些数据是否归档，可以设置归档成功之后自动删除数据，归档后的数据可以用专用播放器离线查看；

(略)、支持通过基于时间、IP/IP段、用户/用户组、设备/设备组、设备账号、命令关键字、命令关键字正则表达式、危险级别、黑白名单等组合访问控制策略，授权用户可访问的目标设备；

(略)、为了高效的管理第三方运维人员并保证我方的重点设备安全性，对重要设备启用登录审核功能，运维人员须向管理员申请登录，管理员允许之后才可登录；否则无法登录；

(略)、支持对重要命令进行审核：(略)

(略)、支持自动推送命令任务，如可自动备份交换机/路由器的配置信息、可自动执行周期任务；并将结果以邮件/FTP/SFTP的方式发送给相关管理员；

(略)、支持运维空闲会话时间全局设置限制功能；

(略)、支持审查主机系统配置信息，内容包括不限于：(略)

(略)、支持审查主机硬件信息，内容包括不限于：(略)

(略)、要求定期运维人员输出统计报表，包括并不限于以下内容：(略)

(略)、内置根据运维人员和组生成各种维度的分析报表，维度包含总为运维次数、时长、活动时长、会话起止时间、会话大小、命令数、上传下载文件数，分别从全局及平均值、最大值、最小值、单次运维、单个会话等角度提供非常有价值有意义的报表；

(略)、支持运维报表自动定期发送，提供一键导出符合等级保护、SOX法案要求的综合分析报告；

(略)、支持自身审计，包括但不限于：(略)

(略)、支持系统日志报表统计功能，包括但不限于登录日志统计、配置日志统计、运维访问日志统计等，可以导出报表；

(略)、为了提高运维效率，要求能够对数据库内核的篡改监测；并提供功能截图或证明材料；

(略)、为了提高运维效率要求提供敏感数据探测工具；

(略)、提供排错工具：(略)

★(略)、支持和原有数据库审计系统进行联动，将通过SSH/RDP等加密方式操作数据库的行为整合到数据库审计中，实现数据库行为的统一集中查询、展示、审计分析等；允许设备厂商针对此功能进行二次开发；（提供生产厂家确认的、相应的功能证明材料，包括但不限于测试报告、官网和功能截图等）；

★(略)、按照甲方需求提供两次定制二次开发；需提供用户、资产、授权的增删改查等API接口，允许第三方平台调用堡垒机的API接口，实现用户、资产、权限自动同步到堡垒机，简化堡垒机配置工作量（提供生产厂家确认的、相应的功能证明材料，包括但不限于测试报告、官网和功能截图等）；

★(略)、本项目质保期内需额外提供堡垒机备用机一台，功能参数与本项目相同，为保证备机更换方便，备机需放置在学校机房内；

(略)、本次堡垒机产品需要配置计算终端审查工具一套、网站恶意代码检查工具一套，供甲方人员以及运维人员使用（详见参数）

(略)、计算终端审查工具支持USB使用记录：(略)

(略)、计算终端审查工具支持浏览器上网记录，支持IE内核浏览器、谷歌浏览器、火狐浏览器等上网记录及Cookie记录；

(略)、计算终端审查工具支持审查主机系统配置信息，内容包括不限于：(略)

(略)、计算终端审查工具支持审查主机硬件信息，内容包括不限于：(略)

(略)、计算终端审查工具支持审查主机所有开机自启动项程序；

(略)、计算终端审查工具支持审查主机异常服务，即主机上已经启动的可能有风险的服务程序，包括不限于：(略)

(略)、计算终端审查工具支持审查主机密码安全策略配置，包含口令最长使用期限，长度最小值，锁定阀值等；

(略)、计算终端审查工具支持审查主机所有系统账号，包含隐藏（影子）账户及活动状态；

(略)、计算终端审查工具支持审查主机审计策略；

(略)、计算终端审查工具支持审查主机系统安全补丁，内容包括不限于：(略)

(略)、计算终端审查工具支持审查系统安装软件，显示已安装的软件，软件总数并对软件分类；

(略)、计算终端审查工具支持审查系统活跃的进程，内容包含不限于进程名、PID；

(略)、计算终端审查工具支持审查系统的活动端口，内容包含不限于当前开放的TCP/UDP端口、连接状态、进程相对路径；

(略)、计算终端审查工具支持审查系统的用户权限，显示用户、访问权限与操作系统安全相关的状态；

(略)、计算终端审查工具支持审查系统的安全选项，显示与操作系统安全相关的安全策略的状态；

(略)、计算终端审查工具支持审查系统的组策略，显示为管理员设置各种软件、计算机系统设置相关的策略；

(略)、计算终端审查工具支持审查系统运行保护，显示系统当前防护措施；

(略)、计算终端审查工具支持xml，html等格式的输出报表；

(略)、网站恶意代码检查工具参数要求支持实时结果的展现；支持生成统计报表；

(略)、网站恶意代码检查工具支持各类WEB编程语言的应用的深度网页后门漏洞扫描；

(略)、网站恶意代码检查工具扫描对象：(略)

(略)、网站恶意代码检查工具扫描功能：(略)

(略)、网站恶意代码检查工具报告输出：(略)

★(略)、本次项目提供不少于三年产品原厂商质保服务；提供不少于三年的原厂商7*(略)小时上门现场服务支持；提供原厂产品培训1天；