序号

原技术参数

更正后技术参数

运维审计系统

1、要求设备机架式结构，设备具有≥1个console口，1个USB口；

★2、要求设备具有 ≥2个 * / 点击查看>> BASE-TX管理口，4个 * / 点击查看>> BASE自适应电口；

★3、要求设备具有≥4个SFP插槽，2个可扩展插槽，双电源，≥ 2T存储空间 ；

★4、要求设备性能≥ * 个主机/设备许可，用户数不限制，要求提供 * 年软件升级许可；

5、工作模式要求物 (略) 署， (略) 关方式工作；

6、要求设备 (略) 络结构，不改变运维人员的运维习惯；

7、组织结构支持分组，不 (略) 分层分级分类管理；

8、AD域同步支持从AD域抽取OU，方便快速建立组织结构；

9、要求支持完整的用户账号生命周期管理，实现账号的创建、维护、修改、删除的集中管理；

* 、自定义用户类型，基于针对 (略) 用户地址策略；

* 、用户、资源分组管理：分组可以树形方式展现，不限制分组层级数量；

* 、用户策略支持通过配置口令策略，达到指定密码有效期和限制主账号密码强度的目的；

* 、资源管理，支持资源统计，支持柱形图方式查看系统 (略) 占比例；

* 、资源类型，支持unix资源、网络资源、windows资源、数据库资源、C/S资源、B/S资源；

* 、资源协议支持SSH、TELNET、FTP、SFTP、VNC、XWINDOW、WINDOWS文件共享等协议；

* 、其中SSH协议代理，支持SecureCRT软件的Session Clone及Send To All等复杂的功能；

* 、支持资源从账号的管理，系统具有各种资源类型；

* 、自动改密，支持对unix资源、网络资源、windows资源、数据库资源、中 (略) 密码变更；

* 、密码变更可以根据密码策 (略) 变更，变更的密码符合密码策略中关于密码强度的要求；

* 、密码拨测计划，支持定期检查平台存储的设备账号密码与设备实际密码是否匹配；

* 、账号导出，支持从账号按时间计划导出账号口令，支持手动下载或指定FTP服务器；

* 、支持导出的账号口令需要解密器解密后查看；

* 、访问端口变更，提高设备的安全性，不采用标准的协议端口；

* 、平台支持FTP、telnet、ssh、远程桌面等协议服务端口变更；

* 、授权管理，支持角色管理，支持自定义角色；

* 、角色可按 (略) 定义，从而实现分层分级管理模式，角色权限细粒度高，可自由组合；

* 、收藏夹功能，运维人员可将经常访问的资源添加到收藏夹；

* 、身份切换代填， (略) 络设备enable和unix主机su等身份切换的单点登录功能；

* 、Zmodem协议访问， (略) rz，sz等命令，从而可以非常便 (略) 两个系统的文件交换；

* 、自动代填账号和密码，访问授权资源时不必再输入从账号和密码；

* 、在网络设备的认证协议上不仅支持RADIUS和TACACS+协议，而且产品系统自身可以作为Radius和TACACS服务器；

* 、RDP策 (略) 剪切板控制、共享磁盘控制、控制台登录控制；

* 、支持命令操作的黑白名单设置，命令权限控制规则应支持正则表达式；

* 、支持FTP常用命令列表，方便用户指定FTP命令策略；

* 、审计策略：根据不同设备审计安全需求，客户自定义审计范围；

★ * 、VPN功能，内置VPN功能，无需专用VPN硬件支持，即可方便安全地通过远程接入此设备；

★ * 、第 * 条需提供证明文件，不限于第 * 方检测报告或产品彩页、官网截图等；

★ * 、文件传输，产品自带病毒检测功能，在 (略) 文件传输时，自动对传 (略) 防病毒检测；

* 、图形审计，支持图形资源访问时，支持键盘、剪切板、文件传输记录；

* 、对图形资源的审计回放时，可以从某个键盘、剪切板、文件传输记录的指定位置开始回放；

* 、字符审计，对字符命令方式的访问 (略) 有交互内容；

* 、可以还原操作过程的命令输入和结果输出，并且可以展现 (略) 时 (略) 情况；

* 、实时监控：支持实时审计和阻断；

* 、操作人员对于资源的访问，审计员可以实施查看，发现高危操作时，支持实时切断当前会话；

* 、管理审计支持 (略) 操作审计；

* 、审计包括管理员和运维用户的登录、登出、对系统的配置操作、账号属性修改等系统管理操作；

★ * 、流程管理支持设定主副岗账号和双人共管账号，并提供相应授权流程；

★ * 、第 * 条需提供证明文件，不限于第 * 方检测报告或产品彩页、官网截图等；

* 、支持流程申请人、审批人、执行人的委派；

* 、授权需要申请人定义申请单，发起事件申请；

* 、事件可以多人审批，审批人收到申请后可以同意或拒绝申请；

* 、系统配置支持数据备份、还原应用备份、管理数据备份、审计数据备份、配置文件备份；

* 、外接存储：支持日志数据的外置存储备份；

* 、支持NFS和windows文件共享协议，远程审计存储和本地存储对审计员透明；

* 、 (略) 卡冗余（双网卡虚拟单Ip）；

* 、支持应用发布服 (略) 署，可以设定自动选择应用发布服务器，或者由用户手动指定；

* 、 (略) 署， (略) (略) 之间，组织机构分散而需要统 * 集中管理的问题；

★ * 、要求该设备 (略) 售后服务，其中包括 * 年免费保修， * 年7* * 小时不间断售后服务；

★ * 、投标商需提供合法来源渠道证明文件；

1、厂家需具备产品自主知识产权，禁止OEM贴牌投标；

★2、本次设备为软硬件 * 体化产品≥2U，磁盘≥2T*2、内存≥ * G、硬盘须配置RAID1、至少配备6个 点击查看>> M自适应电口和4个 * M光口（并配≥2个SFP多模模块）、并支持至少2个端口扩展槽，最大端口数≥ * 个，配置1+1冗余电源；USBkey：配置≥5个；动态口令卡：配置≥5个；

★3、本次配置授权数量：可管理设备数量≥ * 个，设备最大可扩展的运维用户无限制；单台堡垒机字符类并发会话≥ * 个、图形类并发会话≥ * 个；

4、设 (略) 署，对业务环境无影响；须支持HA主备模式，管理口与心跳口均须支持多链路端口绑定的功能， (略) 卡或单线故障；

5、支持多台堡垒 (略) 署，每台设备都能提供运维和审计服务，配置数据自动同步；

6、为了满足本单位未来业务的增长，要求设备 (略) 署模式，中心采用HA模式，节点可以横向扩展模式，实现统 * 登录入口和配置同步，以满足业务增长需求；

7、设 (略) 门组织架构管理用户数据、资产数据、授权数据、审计数据（至少 (略) 门）；

8、 (略) 门 (略) (略) 门的用户角色：部门管理员、运维管理员、审计管理员、运维员；

9、 (略) 门管理员 (略) (略) 门的主机、授权关系、策略；

* 、 (略) 门的审计管理员 (略) (略) 门的运维会话日志；

* 、支持与AD、LDAP、RADIUS、吉大正元、 (略) CA认证系统联动登录堡垒机，支持自动同步AD/LDAP用户；

* 、支持与get、post、soap发送方式的h (略) (略) 联动，实现短信动态口令双因素认证机制，如与阿里云短信服务、SendCloud联动

★ * 、基于不同的用户设置不同的双因子认证模式，如user1用动态令牌、user2用USBkey、user3手机APP动态口令认证；（ (略) 家确认的、相应的功能证明材料，包括但不限于测试报告、官网和功能截图等）；

* 、要求支持手机APP动态口令认证方式登录堡垒机，且新用户首次登录后需强制绑定APP动态口令；

* 、堡垒机要求内嵌动态令牌和usbkey认证引擎，可同时使用动态令牌和USBkey，且认证引擎须具备 (略) 家授权和资质；

* 、支持认 (略) 设置：可以选择启用哪种或者哪几种认证登录窗口；（ (略) 家确认的、相应的功能证明材料，包括但不限于测试报告、官网和功能截图等）；

* 、为了使用运维简单高效，要求可基于不同的用户设置不同的双因子认证模式，如user1 用USBkey、user2用手机APP动态口令认证、user3动态令牌；

* 、方便用户运维登录使用，要求支持认 (略) 设置：可以选择启用哪种或者哪几种认证登录窗口；

* 、支持常用的运维协议：SSH、TELNET、RDP、VNC、FTP、SFTP、rlogin；可通过应用发 (略) 协议扩展，如数据库Oracle、MSSQL、MySQL、VMware vSphere Client等客户端工具；

* 、支持DB2、oracle、mysql、sqlserver主流数据库协议代理运维，可直接调用本地windows系统的数据库客户端工具，支持自动登录、无需应用发布前置机；

* 、扫描对象支持Oracle、MS SQLserver、Mysql、Infomix、DB2、Sybase、达梦、人大金仓；

* 、支持域认证与双因子认证结合使用，如同时使用AD/LDAP用户名+AD/LDAP密码+手机APP动态口令登录堡垒机、同时使用AD/LDAP用户名+AD/LDAP密码+短信口令登录堡垒机；

* 、IE代填应用发布：HTTP/HTTPS协议的web设备，且可以直接代填账号和密码；

★ * 、要求设备能够自动收集设备IP、端口号、账号、密码、运维协议、与用户的权限关系，甚至可自动完成授权；（ (略) 家确认的、相应的功能证明材料，包括但不限于测试报告、官网和功能截图等）

* 、 (略) 恶意代码检查工具：具有快速扫描功能：支持根据文件类型自动选择内置 (略) 扫描， (略) 扫描index.ASP文件时程序会自动选择ASP对 (略) 扫描而忽略其他的扫描策略；支持各类WEB编程语言的 (略) 页后门漏洞扫描；

* 、为了保证运维文件的私密性，要求导出的设备信息文件必须加密存储，解密时须由两个管理员同时解密才能查看到设备信息文件内容；

* 、运维人员可以向管理员申请需要访问的设备，申请时可以选择：设备IP、设备账户、运维有效期、备注事由等，并且运维工单以邮件方式通知管理员；

* 、自动修改windows服务器密码无需在目标服务器上安装agent、开启telnet服务等；

* 、为了简化运维人员工作量，提升系统安全性以及密码时效性要求设备提供完善的自动改密策略，包括改密前发送密码、发送失败不改密、改密后发送密码、密码文件加密、密码强度控制、自动密码恢复等；发送方式包括邮件、FTP、SFTP等；

* 、需要支持H5运维方式：支持ssh、telnet、rlogin、rdp、vnc协议的H5运维，无需本地运维客户端工具；

* 、支持通过堡垒机页面直接调用本地Windows系统里的plsql、sqlplus、toad、sqlwb、ssms、my 点击查看>> 等数据库客户端工具；

* 、支持使用本地的winscp/flashFXP/SecureFX等客户端工具登录堡垒机访问SFTP/FTP设备；

* 、支持使用本地的SecurCRT/Xshell/OpenSSH工具 (略) 关代理方式直接登录字符设备；

* 、支持批量登录字符设备功能：能自动生成SecurCRT/Xshell工具的批量登录文件，实现在工具中批量自动登录多台设备；

* 、AD/LDAP环境，支持直接使用登录堡垒机的AD/LDAP用户及密码可以直接自动登录到服务器里；

* 、支持对运维操作会话的在线监控、实时阻断、日志回放、起止时间、来源用户、来源IP、目标设备、协议/应用类型、命令记录、操作内容（如对文件的上传、下载、删除、修改等操作等） (略) 为日志；

* 、传输原始文件的要求：支持保存SSH的sz/rz命令（zmodem）传输的原始文件；支持保存SFTP/FTP传输的原始文件；支持保存RDP粘贴板（桌面之间复制-粘贴）传输的原始文件；支持保存RDP磁盘映射传输的原始文件）；

* 、支持对RDP屏幕文字内容、标题窗口、键盘输入的记录和搜索定位；

* 、支持审计主流数据库（如DB2、oracle、mysql、sql server）运维中的SQL语句， (略) 关键信息定位查询；

* 、 (略) 搜索审计日志，无需区分图形/字符/文件/应用类型，只需通过关键信息直接搜索定位；

* 、审计数据支持通过SFTP/FTP方式自动归档，并在页面中可以查询哪些数据是否归档，可以设置归档成功之后自动删除数据，归档后的数据可以用专用播放器离线查看；

* 、支持通过基于时间、IP/IP段、用户/用户组、设备/设备组、设备账号、命令关键字、命令关键字正则表达式、危险级别、黑白名单等组合访问控制策略，授权用户可访问的目标设备；

* 、为了高效的管理第 * 方运维人员并保证我方的重点设备安全性，对重要设备启用登录审核功能，运维人员须向管理员申请登录，管理员允许之后才可登录；否则无法登录；

* 、支持对 (略) 审核： (略) 命令后，须等到管理员审批通 (略) 成功；

* 、支持自动推送命令任务，如可自动备份交换机/路由器的配置信息、 (略) 周期任务；并将结果以邮件/FTP/SFTP的方式发送给相关管理员；

* 、支持运维空闲 (略) 设置限制功能；

* 、支持审查主机系统配置信息，内容包括不限于：计算机名、用户名、操作系统、内存大小、磁盘大小、系统路径、共享目录；

* 、支持审查主机硬件信息，内容包括不限于：CPU信息、主板信息、内存信息、显卡信息、硬盘信息、网卡信息；

* 、要求定期运维人员输出统计报表，包括并不限于以下内容：内置丰富的报表统计模板，可点击柱状图、饼状图 (略) 数据钻取分析，且支持PDF、doc、html格式导出；

* 、内置根据运维人员和组生成各种维度的分析报表，维度包含总为运维次数、时长、活动时长、会话起止时间、会话大小、命令数、上传下载文件数， (略) 及平均值、最大值、最小值、单次运维、单个会话等角度提供非常有价值有意义的报表；

* 、支持运维报表自动定期发送，提供 * 键导出符合等级保护、SOX法案要求的综合分析报告；

* 、支持自身审计，包括但不限于：系统状态检测、登录日志、用户配置日志、设备配置日志、授权配置日志、策略配置日志、运维访问日志、系统配置日志等；

* 、支持系统日志报表统计功能，包括但不限于登录日志统计、配置日志统计、运维访问日志统计等，可以导出报表；

* 、为了提高运维效率，要求能够对数据库内核的篡改监测；并提供功能截图或证明材料；

* 、为了提高运维效率要求提供敏感数据探测工具；

* 、提供排错工具：ping、TCP端口检测、UDP端口检测、路由跟踪等；

★ * 、支持和原有数据库 (略) 联动，将通过SSH/RDP等加密方式操 (略) 为整合到数据库审计中， (略) 为的统 * 集中查询、展示、审计分析等； (略) 商针 (略) * 次开发；（ (略) 家确认的、相应的功能证明材料，包括但不限于测试报告、官网和功能截图等）；

★ * 、按照 * 方需求提供两次定制 * 次开发；需提供用户、资产、授权的增删改查等API接口，允许第 * 方平台调用堡垒机的API接口，实现用户、资产、权限自动同步到堡垒机，简化堡垒机配置工作量（ (略) 家确认的、相应的功能证明材料，包括但不限于测试报告、官网和功能截图等）；

★ * 、本项目质保期内需额外提供堡垒机备用机 * 台，功能参数与本项目相同，为保证备机更换方便， (略) 机房内；

* 、本次堡垒机产品需要配置计算终端审查工具 * 套、网站恶意代码检查工具 * 套，供 * 方人员以及运维人员使用（详见参数）

* 、计算终端审查工具支持USB使用记录：USB使用记录显示主机USB使用情况

* 、计算终端审查工具支 (略) 记录，支持IE内核浏览器、谷歌浏览器、火狐 (略) 记录及Cookie记录；

* 、计算终端审查工具支持审查主机系统配置信息，内容包括不限于：计算机名、用户名、操作系统、内存大小、磁盘大小、系统路径、共享目录；

* 、计算终端审查工具支持审查主机硬件信息，内容包括不限于：CPU信息、主板信息、内存信息、显卡信息、硬盘信息、网卡信息；

* 、计算终端审查工具支 (略) 有开机自启动项程序；

* 、计算终端审查工具支持审查主机异常服务，即主机上已经启动的可能有风险的服务程序，包括不限于：TermService、RemoteRegistry、TlntSvr、IISADMIN、W3SVC；

* 、计算终端审查工具支持审查主机密码安全策略配置，包含口令最长使用期限，长度最小值，锁定阀值等；

* 、计算终端审查工具支 (略) 有系统账号，包含隐藏（影子）账户及活动状态；

* 、计算终端审查工具支持审查主机审计策略；

* 、计算终端审查工具支持审查主机系统安全补 * ，内容包括不限于：补 * 名称，补 * 发布日期，补 * 描述；

* 、计算终端审查工具支持审查系统安装软件，显示已安装的软件，软件总数并对软件分类；

* 、计算终端审查工具支持审查系统活跃的进程，内容包含不限于进程名、PID；

* 、计算终端审查工具支持审查系统的活动端口，内容包含不限于当前开放的TCP/UDP端口、连接状态、进程相对路径；

* 、计算终端审查工具支持审查系统的用户权限，显示用户、访问权限与操作系统安全相关的状态；

* 、计算终端审查工具支持审查系统的安全选项，显示与操作系统安全相关的安全策略的状态；

* 、计算终端审查工具支持审查系统的组策略，显示为管理员设置各种软件、计算机系统设置相关的策略；

* 、计算终端审查工具支持 (略) 保护，显示系统当前防护措施；

* 、计算终端审查工具支持xml，html等格式的输出报表；

* 、网站恶意代码检查工具参数要求支持实时结果的展现；支持生成统计报表；

* 、网站恶意代码检查工具支持各类WEB编程语言的 (略) 页后门漏洞扫描；

* 、网站恶意代码检查工具扫描对象：支持IIS、Websphere、Weblogic、Ap (略) 有的应用服务器；支持Asp、Jsp、.Net、J2EE、Php、 (略) 有的WEB应用编程语言；

* 、网站恶意代码检查工具扫描功能：具有快速扫描功能：支持根据文件类型自动选择内置 (略) 扫描， (略) 扫描index.ASP文件时程序会自动选择ASP对 (略) 扫描而忽略其他的扫描策略；具有全盘扫描功能， (略) 有内置的策略以及用户自定义策略；具有自定义扫描功能，支持文件类型、优先级、扫描策略等用户自定义；

* 、网站恶意代码检查工具报告输出：支持提供详细的检测报告，报告内容包括不限于扫描的URL信息、漏洞类型等， (略) 有弱点的相关背景提供详细描述、引用；支持html、xml等多种格式的报表输出；

★ * 、本次项目提供不少于 (略) 商质保服务；提供不少 (略) 商7* * (略) 服务支持； (略) 产品培训1天；

序号

原技术参数

更正后技术参数

运维审计系统

1、要求设备机架式结构，设备具有≥1个console口，1个USB口；

★2、要求设备具有 ≥2个 * / 点击查看>> BASE-TX管理口，4个 * / 点击查看>> BASE自适应电口；

★3、要求设备具有≥4个SFP插槽，2个可扩展插槽，双电源，≥ 2T存储空间 ；

★4、要求设备性能≥ * 个主机/设备许可，用户数不限制，要求提供 * 年软件升级许可；

5、工作模式要求物 (略) 署， (略) 关方式工作；

6、要求设备 (略) 络结构，不改变运维人员的运维习惯；

7、组织结构支持分组，不 (略) 分层分级分类管理；

8、AD域同步支持从AD域抽取OU，方便快速建立组织结构；

9、要求支持完整的用户账号生命周期管理，实现账号的创建、维护、修改、删除的集中管理；

* 、自定义用户类型，基于针对 (略) 用户地址策略；

* 、用户、资源分组管理：分组可以树形方式展现，不限制分组层级数量；

* 、用户策略支持通过配置口令策略，达到指定密码有效期和限制主账号密码强度的目的；

* 、资源管理，支持资源统计，支持柱形图方式查看系统 (略) 占比例；

* 、资源类型，支持unix资源、网络资源、windows资源、数据库资源、C/S资源、B/S资源；

* 、资源协议支持SSH、TELNET、FTP、SFTP、VNC、XWINDOW、WINDOWS文件共享等协议；

* 、其中SSH协议代理，支持SecureCRT软件的Session Clone及Send To All等复杂的功能；

* 、支持资源从账号的管理，系统具有各种资源类型；

* 、自动改密，支持对unix资源、网络资源、windows资源、数据库资源、中 (略) 密码变更；

* 、密码变更可以根据密码策 (略) 变更，变更的密码符合密码策略中关于密码强度的要求；

* 、密码拨测计划，支持定期检查平台存储的设备账号密码与设备实际密码是否匹配；

* 、账号导出，支持从账号按时间计划导出账号口令，支持手动下载或指定FTP服务器；

* 、支持导出的账号口令需要解密器解密后查看；

* 、访问端口变更，提高设备的安全性，不采用标准的协议端口；

* 、平台支持FTP、telnet、ssh、远程桌面等协议服务端口变更；

* 、授权管理，支持角色管理，支持自定义角色；

* 、角色可按 (略) 定义，从而实现分层分级管理模式，角色权限细粒度高，可自由组合；

* 、收藏夹功能，运维人员可将经常访问的资源添加到收藏夹；

* 、身份切换代填， (略) 络设备enable和unix主机su等身份切换的单点登录功能；

* 、Zmodem协议访问， (略) rz，sz等命令，从而可以非常便 (略) 两个系统的文件交换；

* 、自动代填账号和密码，访问授权资源时不必再输入从账号和密码；

* 、在网络设备的认证协议上不仅支持RADIUS和TACACS+协议，而且产品系统自身可以作为Radius和TACACS服务器；

* 、RDP策 (略) 剪切板控制、共享磁盘控制、控制台登录控制；

* 、支持命令操作的黑白名单设置，命令权限控制规则应支持正则表达式；

* 、支持FTP常用命令列表，方便用户指定FTP命令策略；

* 、审计策略：根据不同设备审计安全需求，客户自定义审计范围；

★ * 、VPN功能，内置VPN功能，无需专用VPN硬件支持，即可方便安全地通过远程接入此设备；

★ * 、第 * 条需提供证明文件，不限于第 * 方检测报告或产品彩页、官网截图等；

★ * 、文件传输，产品自带病毒检测功能，在 (略) 文件传输时，自动对传 (略) 防病毒检测；

* 、图形审计，支持图形资源访问时，支持键盘、剪切板、文件传输记录；

* 、对图形资源的审计回放时，可以从某个键盘、剪切板、文件传输记录的指定位置开始回放；

* 、字符审计，对字符命令方式的访问 (略) 有交互内容；

* 、可以还原操作过程的命令输入和结果输出，并且可以展现 (略) 时 (略) 情况；

* 、实时监控：支持实时审计和阻断；

* 、操作人员对于资源的访问，审计员可以实施查看，发现高危操作时，支持实时切断当前会话；

* 、管理审计支持 (略) 操作审计；

* 、审计包括管理员和运维用户的登录、登出、对系统的配置操作、账号属性修改等系统管理操作；

★ * 、流程管理支持设定主副岗账号和双人共管账号，并提供相应授权流程；

★ * 、第 * 条需提供证明文件，不限于第 * 方检测报告或产品彩页、官网截图等；

* 、支持流程申请人、审批人、执行人的委派；

* 、授权需要申请人定义申请单，发起事件申请；

* 、事件可以多人审批，审批人收到申请后可以同意或拒绝申请；

* 、系统配置支持数据备份、还原应用备份、管理数据备份、审计数据备份、配置文件备份；

* 、外接存储：支持日志数据的外置存储备份；

* 、支持NFS和windows文件共享协议，远程审计存储和本地存储对审计员透明；

* 、 (略) 卡冗余（双网卡虚拟单Ip）；

* 、支持应用发布服 (略) 署，可以设定自动选择应用发布服务器，或者由用户手动指定；

* 、 (略) 署， (略) (略) 之间，组织机构分散而需要统 * 集中管理的问题；

★ * 、要求该设备 (略) 售后服务，其中包括 * 年免费保修， * 年7* * 小时不间断售后服务；

★ * 、投标商需提供合法来源渠道证明文件；

1、厂家需具备产品自主知识产权，禁止OEM贴牌投标；

★2、本次设备为软硬件 * 体化产品≥2U，磁盘≥2T*2、内存≥ * G、硬盘须配置RAID1、至少配备6个 点击查看>> M自适应电口和4个 * M光口（并配≥2个SFP多模模块）、并支持至少2个端口扩展槽，最大端口数≥ * 个，配置1+1冗余电源；USBkey：配置≥5个；动态口令卡：配置≥5个；

★3、本次配置授权数量：可管理设备数量≥ * 个，设备最大可扩展的运维用户无限制；单台堡垒机字符类并发会话≥ * 个、图形类并发会话≥ * 个；

4、设 (略) 署，对业务环境无影响；须支持HA主备模式，管理口与心跳口均须支持多链路端口绑定的功能， (略) 卡或单线故障；

5、支持多台堡垒 (略) 署，每台设备都能提供运维和审计服务，配置数据自动同步；

6、为了满足本单位未来业务的增长，要求设备 (略) 署模式，中心采用HA模式，节点可以横向扩展模式，实现统 * 登录入口和配置同步，以满足业务增长需求；

7、设 (略) 门组织架构管理用户数据、资产数据、授权数据、审计数据（至少 (略) 门）；

8、 (略) 门 (略) (略) 门的用户角色：部门管理员、运维管理员、审计管理员、运维员；

9、 (略) 门管理员 (略) (略) 门的主机、授权关系、策略；

* 、 (略) 门的审计管理员 (略) (略) 门的运维会话日志；

* 、支持与AD、LDAP、RADIUS、吉大正元、 (略) CA认证系统联动登录堡垒机，支持自动同步AD/LDAP用户；

* 、支持与get、post、soap发送方式的h (略) (略) 联动，实现短信动态口令双因素认证机制，如与阿里云短信服务、SendCloud联动

★ * 、基于不同的用户设置不同的双因子认证模式，如user1用动态令牌、user2用USBkey、user3手机APP动态口令认证；（ (略) 家确认的、相应的功能证明材料，包括但不限于测试报告、官网和功能截图等）；

* 、要求支持手机APP动态口令认证方式登录堡垒机，且新用户首次登录后需强制绑定APP动态口令；

* 、堡垒机要求内嵌动态令牌和usbkey认证引擎，可同时使用动态令牌和USBkey，且认证引擎须具备 (略) 家授权和资质；

* 、支持认 (略) 设置：可以选择启用哪种或者哪几种认证登录窗口；（ (略) 家确认的、相应的功能证明材料，包括但不限于测试报告、官网和功能截图等）；

* 、为了使用运维简单高效，要求可基于不同的用户设置不同的双因子认证模式，如user1 用USBkey、user2用手机APP动态口令认证、user3动态令牌；

* 、方便用户运维登录使用，要求支持认 (略) 设置：可以选择启用哪种或者哪几种认证登录窗口；

* 、支持常用的运维协议：SSH、TELNET、RDP、VNC、FTP、SFTP、rlogin；可通过应用发 (略) 协议扩展，如数据库Oracle、MSSQL、MySQL、VMware vSphere Client等客户端工具；

* 、支持DB2、oracle、mysql、sqlserver主流数据库协议代理运维，可直接调用本地windows系统的数据库客户端工具，支持自动登录、无需应用发布前置机；

* 、扫描对象支持Oracle、MS SQLserver、Mysql、Infomix、DB2、Sybase、达梦、人大金仓；

* 、支持域认证与双因子认证结合使用，如同时使用AD/LDAP用户名+AD/LDAP密码+手机APP动态口令登录堡垒机、同时使用AD/LDAP用户名+AD/LDAP密码+短信口令登录堡垒机；

* 、IE代填应用发布：HTTP/HTTPS协议的web设备，且可以直接代填账号和密码；

★ * 、要求设备能够自动收集设备IP、端口号、账号、密码、运维协议、与用户的权限关系，甚至可自动完成授权；（ (略) 家确认的、相应的功能证明材料，包括但不限于测试报告、官网和功能截图等）

* 、 (略) 恶意代码检查工具：具有快速扫描功能：支持根据文件类型自动选择内置 (略) 扫描， (略) 扫描index.ASP文件时程序会自动选择ASP对 (略) 扫描而忽略其他的扫描策略；支持各类WEB编程语言的 (略) 页后门漏洞扫描；

* 、为了保证运维文件的私密性，要求导出的设备信息文件必须加密存储，解密时须由两个管理员同时解密才能查看到设备信息文件内容；

* 、运维人员可以向管理员申请需要访问的设备，申请时可以选择：设备IP、设备账户、运维有效期、备注事由等，并且运维工单以邮件方式通知管理员；

* 、自动修改windows服务器密码无需在目标服务器上安装agent、开启telnet服务等；

* 、为了简化运维人员工作量，提升系统安全性以及密码时效性要求设备提供完善的自动改密策略，包括改密前发送密码、发送失败不改密、改密后发送密码、密码文件加密、密码强度控制、自动密码恢复等；发送方式包括邮件、FTP、SFTP等；

* 、需要支持H5运维方式：支持ssh、telnet、rlogin、rdp、vnc协议的H5运维，无需本地运维客户端工具；

* 、支持通过堡垒机页面直接调用本地Windows系统里的plsql、sqlplus、toad、sqlwb、ssms、my 点击查看>> 等数据库客户端工具；

* 、支持使用本地的winscp/flashFXP/SecureFX等客户端工具登录堡垒机访问SFTP/FTP设备；

* 、支持使用本地的SecurCRT/Xshell/OpenSSH工具 (略) 关代理方式直接登录字符设备；

* 、支持批量登录字符设备功能：能自动生成SecurCRT/Xshell工具的批量登录文件，实现在工具中批量自动登录多台设备；

* 、AD/LDAP环境，支持直接使用登录堡垒机的AD/LDAP用户及密码可以直接自动登录到服务器里；

* 、支持对运维操作会话的在线监控、实时阻断、日志回放、起止时间、来源用户、来源IP、目标设备、协议/应用类型、命令记录、操作内容（如对文件的上传、下载、删除、修改等操作等） (略) 为日志；

* 、传输原始文件的要求：支持保存SSH的sz/rz命令（zmodem）传输的原始文件；支持保存SFTP/FTP传输的原始文件；支持保存RDP粘贴板（桌面之间复制-粘贴）传输的原始文件；支持保存RDP磁盘映射传输的原始文件）；

* 、支持对RDP屏幕文字内容、标题窗口、键盘输入的记录和搜索定位；

* 、支持审计主流数据库（如DB2、oracle、mysql、sql server）运维中的SQL语句， (略) 关键信息定位查询；

* 、 (略) 搜索审计日志，无需区分图形/字符/文件/应用类型，只需通过关键信息直接搜索定位；

* 、审计数据支持通过SFTP/FTP方式自动归档，并在页面中可以查询哪些数据是否归档，可以设置归档成功之后自动删除数据，归档后的数据可以用专用播放器离线查看；

* 、支持通过基于时间、IP/IP段、用户/用户组、设备/设备组、设备账号、命令关键字、命令关键字正则表达式、危险级别、黑白名单等组合访问控制策略，授权用户可访问的目标设备；

* 、为了高效的管理第 * 方运维人员并保证我方的重点设备安全性，对重要设备启用登录审核功能，运维人员须向管理员申请登录，管理员允许之后才可登录；否则无法登录；

* 、支持对 (略) 审核： (略) 命令后，须等到管理员审批通 (略) 成功；

* 、支持自动推送命令任务，如可自动备份交换机/路由器的配置信息、 (略) 周期任务；并将结果以邮件/FTP/SFTP的方式发送给相关管理员；

* 、支持运维空闲 (略) 设置限制功能；

* 、支持审查主机系统配置信息，内容包括不限于：计算机名、用户名、操作系统、内存大小、磁盘大小、系统路径、共享目录；

* 、支持审查主机硬件信息，内容包括不限于：CPU信息、主板信息、内存信息、显卡信息、硬盘信息、网卡信息；

* 、要求定期运维人员输出统计报表，包括并不限于以下内容：内置丰富的报表统计模板，可点击柱状图、饼状图 (略) 数据钻取分析，且支持PDF、doc、html格式导出；

* 、内置根据运维人员和组生成各种维度的分析报表，维度包含总为运维次数、时长、活动时长、会话起止时间、会话大小、命令数、上传下载文件数， (略) 及平均值、最大值、最小值、单次运维、单个会话等角度提供非常有价值有意义的报表；

* 、支持运维报表自动定期发送，提供 * 键导出符合等级保护、SOX法案要求的综合分析报告；

* 、支持自身审计，包括但不限于：系统状态检测、登录日志、用户配置日志、设备配置日志、授权配置日志、策略配置日志、运维访问日志、系统配置日志等；

* 、支持系统日志报表统计功能，包括但不限于登录日志统计、配置日志统计、运维访问日志统计等，可以导出报表；

* 、为了提高运维效率，要求能够对数据库内核的篡改监测；并提供功能截图或证明材料；

* 、为了提高运维效率要求提供敏感数据探测工具；

* 、提供排错工具：ping、TCP端口检测、UDP端口检测、路由跟踪等；

★ * 、支持和原有数据库 (略) 联动，将通过SSH/RDP等加密方式操 (略) 为整合到数据库审计中， (略) 为的统 * 集中查询、展示、审计分析等； (略) 商针 (略) * 次开发；（ (略) 家确认的、相应的功能证明材料，包括但不限于测试报告、官网和功能截图等）；

★ * 、按照 * 方需求提供两次定制 * 次开发；需提供用户、资产、授权的增删改查等API接口，允许第 * 方平台调用堡垒机的API接口，实现用户、资产、权限自动同步到堡垒机，简化堡垒机配置工作量（ (略) 家确认的、相应的功能证明材料，包括但不限于测试报告、官网和功能截图等）；

★ * 、本项目质保期内需额外提供堡垒机备用机 * 台，功能参数与本项目相同，为保证备机更换方便， (略) 机房内；

* 、本次堡垒机产品需要配置计算终端审查工具 * 套、网站恶意代码检查工具 * 套，供 * 方人员以及运维人员使用（详见参数）

* 、计算终端审查工具支持USB使用记录：USB使用记录显示主机USB使用情况

* 、计算终端审查工具支 (略) 记录，支持IE内核浏览器、谷歌浏览器、火狐 (略) 记录及Cookie记录；

* 、计算终端审查工具支持审查主机系统配置信息，内容包括不限于：计算机名、用户名、操作系统、内存大小、磁盘大小、系统路径、共享目录；

* 、计算终端审查工具支持审查主机硬件信息，内容包括不限于：CPU信息、主板信息、内存信息、显卡信息、硬盘信息、网卡信息；

* 、计算终端审查工具支 (略) 有开机自启动项程序；

* 、计算终端审查工具支持审查主机异常服务，即主机上已经启动的可能有风险的服务程序，包括不限于：TermService、RemoteRegistry、TlntSvr、IISADMIN、W3SVC；

* 、计算终端审查工具支持审查主机密码安全策略配置，包含口令最长使用期限，长度最小值，锁定阀值等；

* 、计算终端审查工具支 (略) 有系统账号，包含隐藏（影子）账户及活动状态；

* 、计算终端审查工具支持审查主机审计策略；

* 、计算终端审查工具支持审查主机系统安全补 * ，内容包括不限于：补 * 名称，补 * 发布日期，补 * 描述；

* 、计算终端审查工具支持审查系统安装软件，显示已安装的软件，软件总数并对软件分类；

* 、计算终端审查工具支持审查系统活跃的进程，内容包含不限于进程名、PID；

* 、计算终端审查工具支持审查系统的活动端口，内容包含不限于当前开放的TCP/UDP端口、连接状态、进程相对路径；

* 、计算终端审查工具支持审查系统的用户权限，显示用户、访问权限与操作系统安全相关的状态；

* 、计算终端审查工具支持审查系统的安全选项，显示与操作系统安全相关的安全策略的状态；

* 、计算终端审查工具支持审查系统的组策略，显示为管理员设置各种软件、计算机系统设置相关的策略；

* 、计算终端审查工具支持 (略) 保护，显示系统当前防护措施；

* 、计算终端审查工具支持xml，html等格式的输出报表；

* 、网站恶意代码检查工具参数要求支持实时结果的展现；支持生成统计报表；

* 、网站恶意代码检查工具支持各类WEB编程语言的 (略) 页后门漏洞扫描；

* 、网站恶意代码检查工具扫描对象：支持IIS、Websphere、Weblogic、Ap (略) 有的应用服务器；支持Asp、Jsp、.Net、J2EE、Php、 (略) 有的WEB应用编程语言；

* 、网站恶意代码检查工具扫描功能：具有快速扫描功能：支持根据文件类型自动选择内置 (略) 扫描， (略) 扫描index.ASP文件时程序会自动选择ASP对 (略) 扫描而忽略其他的扫描策略；具有全盘扫描功能， (略) 有内置的策略以及用户自定义策略；具有自定义扫描功能，支持文件类型、优先级、扫描策略等用户自定义；

* 、网站恶意代码检查工具报告输出：支持提供详细的检测报告，报告内容包括不限于扫描的URL信息、漏洞类型等， (略) 有弱点的相关背景提供详细描述、引用；支持html、xml等多种格式的报表输出；

★ * 、本次项目提供不少于 (略) 商质保服务；提供不少 (略) 商7* * (略) 服务支持； (略) 产品培训1天；