等保三級(jí)方案

等級(jí)化保護(hù)三級(jí)方案目 錄1.需求分析 12.設(shè)計(jì)原則 13.參考標(biāo)準(zhǔn)與規(guī)范 24.方案詳細(xì)設(shè)計(jì) 34.1.功能要求設(shè)計(jì) 34.1.1.防火墻 34.1.2.入侵檢測系統(tǒng) 54.1.3.入侵防御系統(tǒng) 74.1.4.網(wǎng)閘 84.1.5.防病毒網(wǎng)關(guān) 104.1.6.數(shù)據(jù)庫審計(jì) 104.1.7.網(wǎng)絡(luò)審計(jì) 144.1.8.安全管理平臺(tái) 174.1.9.堡壘機(jī) 224.1.10.終端安全管理系統(tǒng) 264.2.性能設(shè)計(jì)要求 544.2.1.防火墻 544.2.2.入侵檢測系統(tǒng) 544.2.3.入侵防御系統(tǒng) 544.2.4.網(wǎng)閘 544.2.5.防病毒網(wǎng)關(guān) 554.2.6.數(shù)據(jù)庫審計(jì) 554.2.7.網(wǎng)絡(luò)審計(jì) 554.2.8.安全管理平臺(tái) 564.2.9.堡壘機(jī) 564.2.10.終端安全管理系統(tǒng) 564.3.部署方案設(shè)計(jì) 564.3.1.防火墻 564.3.2.入侵檢測系統(tǒng) 574.3.3.入侵防御系統(tǒng) 574.3.4.網(wǎng)閘 584.3.5.防病毒網(wǎng)關(guān) 584.3.6.數(shù)據(jù)庫審計(jì) 584.3.7.網(wǎng)絡(luò)審計(jì) 594.3.8.安全管理平臺(tái) 594.3.9.堡壘機(jī) 604.3.10.終端安全管理系統(tǒng) 605.整體部署示意圖 611.需求分析(1)建立完善的訪問控制體系，制定完善的訪問控制策略，細(xì)粒度為端口級(jí)、單個(gè)用戶。(2)建立完善的審計(jì)、監(jiān)控體系。(3)建立完善的邊界防御體系。(4)建立完善的計(jì)算機(jī)病毒、惡意代碼防護(hù)體系。(5)建立完善的運(yùn)維管理體系。2.設(shè)計(jì)原則嚴(yán)格管理的原則進(jìn)行安全體系的整體設(shè)計(jì)和實(shí)施，并充分考慮到先進(jìn)性、現(xiàn)實(shí)性、持續(xù)性和可擴(kuò)展性。具體體現(xiàn)為：(1)等級(jí)標(biāo)準(zhǔn)性原則本方案從設(shè)計(jì)到產(chǎn)品選型都遵循信息系統(tǒng)安全等級(jí)保護(hù)——第三級(jí)要求。(2)需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則對(duì)任一網(wǎng)絡(luò)，絕對(duì)安全難以達(dá)到，也不一定是必要的。應(yīng)對(duì)一個(gè)網(wǎng)絡(luò)進(jìn)行實(shí)際分析(包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可用性、可維護(hù)性等)，并對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定安全策略。(3)綜合性、整體性原則安全模塊和設(shè)備的引入應(yīng)該體現(xiàn)系統(tǒng)運(yùn)行和管理的統(tǒng)一性。一個(gè)完整的系統(tǒng)的整體安全性取決于其中安全防范最薄弱的一個(gè)環(huán)節(jié)，必須提高整個(gè)系統(tǒng)的安全性以及系統(tǒng)中各個(gè)部分之間的嚴(yán)密的安全邏輯關(guān)聯(lián)的強(qiáng)度，以保證組成系統(tǒng)的各個(gè)部分協(xié)調(diào)一致地運(yùn)行。(4)易操作性原則安全措施需要人為去完成，如果措施過于復(fù)雜，對(duì)人的要求過高，本身就降低了安全性。(5)設(shè)備的先進(jìn)性與成熟性安全設(shè)備的選擇，既要考慮其先進(jìn)性，還要考慮其成熟性。先進(jìn)意味著技北京啟明星辰信息安全技術(shù)有限公司 第1頁術(shù)、性能方面的優(yōu)越，而成熟性表示可靠與可用。(6)無縫接入安全設(shè)備的安裝、運(yùn)行，應(yīng)不改變網(wǎng)絡(luò)原有的拓?fù)浣Y(jié)構(gòu)，對(duì)網(wǎng)絡(luò)內(nèi)的用戶應(yīng)是透明的，不可見的。同時(shí)，安全設(shè)備的運(yùn)行應(yīng)該不會(huì)對(duì)網(wǎng)絡(luò)傳輸造成通信“瓶頸”。(7)可管理性與擴(kuò)展性安全設(shè)備應(yīng)易于管理，而且支持通過現(xiàn)有網(wǎng)絡(luò)對(duì)網(wǎng)上的安全設(shè)備進(jìn)行安全的統(tǒng)一管理、控制，能夠在網(wǎng)上監(jiān)控設(shè)備的運(yùn)行狀況，進(jìn)行實(shí)時(shí)的安全審計(jì)。(8)保護(hù)原有投資的原則在進(jìn)行信息安全體系建設(shè)時(shí)，應(yīng)充分考慮原有投資，要充分利用已有的建設(shè)基礎(chǔ)，規(guī)劃整體安全體系。3.參考標(biāo)準(zhǔn)與規(guī)范(1)中共中央辦公廳、國務(wù)院辦公廳 [2002]17號(hào)文《國家信息化領(lǐng)導(dǎo)小關(guān)于我國電子政務(wù)建設(shè)指導(dǎo)意見》(2)ISO17799/BS7799：《信息安全管理慣例》(3)1999GB17859-1999 （中華人民共和國國家標(biāo)準(zhǔn)）全保護(hù)等級(jí)劃分準(zhǔn)則(4)公安部《信息安全等級(jí)保護(hù)管理辦法》(5)公安部《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》(6)公安部《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》(7)公安部《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(8)公安部《信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)準(zhǔn)則》(9)ISO/IECTR13335系列標(biāo)準(zhǔn)(10)信息系統(tǒng)安全保障理論模型和技術(shù)框架IATF理論模型及方法論(11)……4.方案詳細(xì)設(shè)計(jì)4.1.功能要求設(shè)計(jì)4.1.1.防火墻(1)基于狀態(tài)檢測技術(shù)；支持路由、透明及混合模式部署。北京啟明星辰信息安全技術(shù)有限公司 第2頁(2)可針對(duì)源接口、目的接口、安全域、協(xié)議類型、源地址、目的地址和報(bào)文通訊時(shí)間等條件設(shè)定安全策略。(3)支持靜態(tài)路由和策略路由，可通過源接口、目標(biāo)接口、源IP、目標(biāo)IP、協(xié)議類型、時(shí)間等條件設(shè)定策略路由；支持RIP、OSPF、BGP動(dòng)ISPISP由效率，內(nèi)置電信和聯(lián)通地址庫，同時(shí)用戶可定義新的地址庫。(4)支持虛擬防火墻功能，可以將接口劃分給不同的虛擬防火墻，每個(gè)虛擬防火墻具有獨(dú)立的管理員、安全域、資源對(duì)象、安全策略、NAT規(guī)則、靜態(tài)路由等配置。(5)支持802.1QVLAN。(6)支持鏈路聚合（Link-Aggregation）功能以增加鏈路帶寬并起到負(fù)載均衡和鏈路備份的作用，支持通過手動(dòng)方式、IEEE802.3ad LACP方式創(chuàng)建聚合鏈路。(7)能夠檢測并阻斷DDoS攻擊和協(xié)議掃描，如Jolt2、Land-Base、Smurf、Ping of death、winnuke 、teardrop、Syn flag、Flood、ARP攻擊等攻擊行為，以及TCP、UDP、PING掃描等掃描行為，可以設(shè)定掃描識(shí)別閾值，并對(duì)檢測到的掃描主機(jī)進(jìn)行屏蔽。(8)QoS和帶寬控制，能夠基于策略針對(duì)特定對(duì)象進(jìn)行控制，比如可IPIP等條件來進(jìn)行帶寬控制；支持策略帶寬保證。(9)具備完善的設(shè)備狀態(tài)監(jiān)控和會(huì)話管理功能：可通過圖形的方式動(dòng)態(tài)顯示設(shè)備的轉(zhuǎn)發(fā)流量、系統(tǒng)連接數(shù)，以及根據(jù)不同的協(xié)議（如Web、Email、FTP、UDP）區(qū)分的流量信息；可根據(jù)源地址、目的地址、端口號(hào)或協(xié)議類型等分類來查看目前設(shè)備的當(dāng)前會(huì)話狀態(tài)。(10)支持免客戶端的用戶本地認(rèn)證功能，用戶必須在經(jīng)過設(shè)備認(rèn)證后才能訪問特定網(wǎng)絡(luò)。(11)IPv6IPv6、IPv4ipv6隧道、6to4ISATAP隧道。(12)支持主動(dòng)掃描IP-MAC對(duì)應(yīng)關(guān)系，支持IP-MAC一鍵綁定功能。北京啟明星辰信息安全技術(shù)有限公司 第3頁(13)支持STP生成樹協(xié)議。(14)支持二三層鏈路狀態(tài)聯(lián)動(dòng)。(15)支持IGMPSnooping，能夠優(yōu)化防火墻工作在透明模式下時(shí)，對(duì)二層組播報(bào)文的轉(zhuǎn)發(fā)控制。(16)支持與IDS的聯(lián)動(dòng)功能。(17)路由、透明、混合接入模式下均支持完整的NAT功能：1) NAT（NAT）2) NAT（NAT）3) 目的端口轉(zhuǎn)換4) DDNSNAT和目的地址/NAT5) NAT（NAT）6) NAT（NAT）7) 服務(wù)器負(fù)載分擔(dān)（NAT）(18)支持雙機(jī)熱備功能，包括主備模式(A/S)和主主模式(A/A)。(19)支持連接狀態(tài)自動(dòng)同步。(20)支持VRRP協(xié)議，包括VRRPV2和V3版本。(21)支持三層鏈路監(jiān)測。(22)支持搶占優(yōu)先級(jí)設(shè)置。(23)支持配置自動(dòng)同步。(24)提供多種方式的管理界面，包括HTTPS、CONSOLE、SSH、TELNET等。(25)支持中英文管理界面。(26)支持集中管理功能，可同時(shí)監(jiān)控所有防火墻的運(yùn)行狀態(tài)，并支持對(duì)所有設(shè)備進(jìn)行統(tǒng)一安全策略配置及進(jìn)行版本升級(jí)。(27)設(shè)備具有液晶顯示屏，可在不登錄設(shè)備的情況下實(shí)時(shí)顯示設(shè)備運(yùn)行狀態(tài)、系統(tǒng)流量、管理地址等信息。(28)支持管理員權(quán)限分級(jí)，支持用戶自定義管理員權(quán)限表。(29)支持本地日志、SYSLOG日志及NetFlow日志功能，支持在外接移動(dòng)存儲(chǔ)設(shè)備上存放本地日志；支持郵件報(bào)警功能，所發(fā)送郵件支持以加密北京啟明星辰信息安全技術(shù)有限公司 第4頁方式傳送。(30)支持集中日志存儲(chǔ)、管理及分析功能，并配置相關(guān)軟件；支持日志合并處理；支持日志壓縮存儲(chǔ)和傳輸。(31)支持自動(dòng)報(bào)表功能，用戶可自行定義生成報(bào)表的周期、設(shè)備、日志類型、日志等級(jí)等；生成的報(bào)表可自動(dòng)發(fā)送至用戶指定郵箱。(32)支持SNTP協(xié)議，可通過NTP服務(wù)器同步系統(tǒng)時(shí)間。(33)支持雙操作系統(tǒng)；支持多配置文件備份，最多可支持9個(gè)配置文件。(34)支持配置向?qū)?，?duì)于復(fù)雜配置可以通過向?qū)У姆绞胶喕脩襞渲谩?35)支持設(shè)備運(yùn)行狀態(tài)自動(dòng)記錄，利于管理員分析問題。4.1.2.入侵檢測系統(tǒng)(1)攻擊檢測能力1) 事件分析功能要求采用高級(jí)模式匹配及先進(jìn)的協(xié)議分析技術(shù)對(duì)網(wǎng)絡(luò)網(wǎng)絡(luò)蠕蟲、木馬軟件、間諜軟件等各種攻擊行為進(jìn)行檢測2) WebSQL供對(duì)重點(diǎn)服務(wù)器的入侵保護(hù)3) 支持對(duì)國內(nèi)常見木馬/p2p/IM/發(fā)現(xiàn)4) 具備碎片重組、TCP侵檢測系統(tǒng)技術(shù)的通信數(shù)據(jù)的能力；5) 0day協(xié)議自識(shí)別功能6) 供詳細(xì)協(xié)議分析變量(2)響應(yīng)方式1) 應(yīng)提供多種事件合并條件，避免事件風(fēng)暴的產(chǎn)生2) 應(yīng)支持下列實(shí)時(shí)響應(yīng)方式：實(shí)時(shí)告警、屏幕報(bào)警/警、SNMP報(bào)警、自定義程序報(bào)警等(3)日志與報(bào)表北京啟明星辰信息安全技術(shù)有限公司 第5頁1) 專門的數(shù)據(jù)庫維護(hù)功能2) WORD\EXCEL\PDF\HTML等常用公文處理格式(4)策略功能1) 認(rèn)模版不可修改；提供向?qū)Щ牟呗跃幹品绞?) 其響應(yīng)方式(5)管理功能1) 置管理，日志報(bào)表模塊可獨(dú)立部署，適合大規(guī)模部署環(huán)境2) 各組件間（管理平臺(tái)與引擎等）使用加密信道通信3) GUI管理界面，要求能夠?qū)︼@示窗口進(jìn)行自定義4) 的部署拓?fù)?) 8臺(tái)設(shè)置(6)用戶管理1) 力猜解；可以嚴(yán)格按權(quán)限來進(jìn)行管理2) 操作。對(duì)各級(jí)權(quán)限的用戶行為進(jìn)行審計(jì)(7)升級(jí)管理1) 具備獨(dú)立的升級(jí)管理中心，可對(duì)控制中心和設(shè)備進(jìn)行升級(jí)2) 控制中心可以統(tǒng)一對(duì)下級(jí)控制臺(tái)和設(shè)備進(jìn)行升級(jí)3) 可手動(dòng)、自動(dòng)執(zhí)行產(chǎn)品升級(jí)4) 公司網(wǎng)站提供產(chǎn)品離線升級(jí)包下載5) 應(yīng)保證每周一次的規(guī)則庫升級(jí)，重大安全事件隨時(shí)更新北京啟明星辰信息安全技術(shù)有限公司 第6頁(8)產(chǎn)品安全性1) 需保證通信安全2) 需保證設(shè)備自身安全3) 提供支持4.1.3.入侵防御系統(tǒng)(1)入侵防御事件庫事件數(shù)量不少于2000條。(2)支持入侵防御事件庫在線自動(dòng)升級(jí)和手工導(dǎo)入。(3)可基于IP地址、網(wǎng)段、時(shí)間、VLAN、協(xié)議類型、用戶名稱等條件設(shè)定IPS檢測及響應(yīng)方式，實(shí)現(xiàn)虛擬IPS引擎功能。(4)采用先進(jìn)的模式匹配及協(xié)議分析技術(shù)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)報(bào)文的分析。(5)支持碎片重組、TCP流重組及報(bào)文統(tǒng)計(jì)分析能力。(6)抗躲避，可對(duì)采用躲避技術(shù)的攻擊進(jìn)行檢測及防御。(7)具備協(xié)議自動(dòng)識(shí)別功能。(8)支持檢測規(guī)則自定義功能。(9)支持對(duì)網(wǎng)絡(luò)蠕蟲、木馬后門、緩沖區(qū)溢出、間諜軟件等各種攻擊行為進(jìn)行檢測及防御。(10)支持對(duì)國內(nèi)流行木馬的檢測及防御功能。(11)支持通過應(yīng)用層檢測來阻斷或控制P2P下載，如迅雷、BitTorrent、BitComet、eMule等；可單獨(dú)設(shè)定P2P下載占用的帶寬。(12)支持通過應(yīng)用層檢測來阻斷流媒體應(yīng)用，如PP-live、QQ直播等；可單獨(dú)設(shè)定流媒體應(yīng)用占用的帶寬。(13)支持通過應(yīng)用層檢測來阻斷即時(shí)通信軟件登錄，如QQ、MSN等；支持針對(duì)QQ和MSN用戶名稱的黑白名單功能。(14)支持通過應(yīng)用層檢測來阻斷股票軟件、網(wǎng)絡(luò)游戲，如聯(lián)眾、大智慧等。(15)SQL注入攻擊、XSSWeb護(hù)。(16)支持雙機(jī)熱備功能，包括主備模式(A/S)和主主模式(A/A)。北京啟明星辰信息安全技術(shù)有限公司 第7頁(17)支持連接狀態(tài)自動(dòng)同步。(18)支持配置自動(dòng)同步。(19)支持Fullmesh的連接方式?？梢曰诮涌诤玩溌窢顟B(tài)進(jìn)行主備切換。(20)HA切換時(shí)可以根據(jù)手工制定或自動(dòng)計(jì)算的鏈路優(yōu)先級(jí)順序進(jìn)行切換，防止在主備設(shè)備均有故障線路，但還有可達(dá)網(wǎng)絡(luò)鏈路情況下，主備設(shè)備均不工作的問題。(21)支持自動(dòng)故障旁路功能（。(22)提供多種方式的管理界面，包括HTTPS、CONSOLE、SSH、TELNET等。(23)支持集中管理功能，可同時(shí)監(jiān)控所有IPS的運(yùn)行狀態(tài)，并支持對(duì)所有設(shè)備進(jìn)行統(tǒng)一安全策略配置及進(jìn)行版本升級(jí)。(24)支持管理員權(quán)限分級(jí)，支持用戶自定義管理員權(quán)限表。(25)支持本地日志及SYSLOG日志。(26)支持郵件報(bào)警功能，所發(fā)送郵件支持以加密方式傳送。(27)支持集中日志存儲(chǔ)、管理及分析功能。(28)支持自動(dòng)報(bào)表功能，用戶可自行定義生成報(bào)表的周期、設(shè)備、日志類型、日志等級(jí)等；生成的報(bào)表可自動(dòng)發(fā)送至用戶指定郵箱。(29)支持通過快速切換按鈕或系統(tǒng)維護(hù)菜單隨時(shí)進(jìn)行中英文雙語切換。4.1.4.網(wǎng)閘(1)采用“2+1”系統(tǒng)架構(gòu)，即由兩個(gè)主機(jī)系統(tǒng)和一個(gè)隔離交換專用硬件組成。(2)具有病毒檢測、文件交換、數(shù)據(jù)庫同步、數(shù)據(jù)庫訪問、安全瀏覽、FTP訪問、郵件傳輸、定制訪問、二次開發(fā)、流媒體傳輸?shù)然竟δ堋?3)支持病毒檢測功能，支持一源多目的及多源一目的文件交換。(4)傳輸模式支持改名傳輸、增量傳輸、傳輸后刪除等三種方式。(5)支持文件格式特征過濾，并且不依賴于文件擴(kuò)展名；支持重命名策略。(6)oracle、SqlServer、DB2、Sybase等主流數(shù)據(jù)庫間的同種或異種數(shù)據(jù)庫同步，支持單向和雙向同步。北京啟明星辰信息安全技術(shù)有限公司 第8頁(7)支持病毒檢測。(8)支持靈活的數(shù)據(jù)庫沖突處理策略，當(dāng)關(guān)鍵字?jǐn)?shù)據(jù)發(fā)生沖突時(shí)可選擇：覆蓋/丟棄。(9)期（固定格式。(10)支持?jǐn)?shù)據(jù)庫同步客戶端的雙機(jī)熱備技術(shù)（不僅僅是網(wǎng)閘的雙機(jī)熱備為用戶提供更高的冗余技術(shù)支持。(11)支持?jǐn)?shù)據(jù)庫同步數(shù)據(jù)統(tǒng)計(jì)、查詢功能。(12)支持?jǐn)?shù)據(jù)庫同步事件郵件報(bào)警功能。(13)支持病毒檢測功能。(14)支持HTTP五種請(qǐng)求類型（GET/POST/PUT/HEAD/CONNECT）的黑白名單控制。(15)支持文件類型（文件擴(kuò)展名）的黑白名單過濾；支持URL地址黑白單控制。(16)實(shí)現(xiàn)安全的FTP訪問，支持對(duì)訪問用戶、訪問協(xié)議命令、上傳下載文件類型等訪問過濾控制。(17)支持病毒檢測功能。(18)提供專用客戶端與網(wǎng)閘進(jìn)行認(rèn)證，未經(jīng)授權(quán)的用戶無法訪問業(yè)務(wù)系統(tǒng)；支持本地用戶名口令認(rèn)證；提供在線用戶查看、管理界面截圖。(19)具有病毒檢測專用模塊，支持自動(dòng)/手動(dòng)兩種升級(jí)模式。(20)采用自有知識(shí)產(chǎn)權(quán)的病毒防護(hù)引擎，包括病毒檢測引擎和病毒分析引擎。(21)病毒庫不少于30萬種病毒特征，支持根據(jù)用戶需求自定義病毒特征，病毒特征安全可控，具備自主研究分析病毒特征的能力。(22)具有實(shí)時(shí)入侵檢測系統(tǒng)機(jī)制，實(shí)時(shí)阻斷入侵。(23)具有抗DoS、DDoS攻擊功能。(24)B/SWebSSH管理。(25)日志實(shí)現(xiàn)按功能模塊分組管理；日志支持遠(yuǎn)程存儲(chǔ)，能為第三方提供北京啟明星辰信息安全技術(shù)有限公司 第9頁日志格式，實(shí)現(xiàn)日志數(shù)據(jù)分析；支持SysLog標(biāo)準(zhǔn)。(26)2-32臺(tái)設(shè)備雙機(jī)熱備，支持負(fù)載均衡（無需第三方設(shè)備。(27)支持設(shè)備自身物理端口冗余功能。4.1.5.防病毒網(wǎng)關(guān)(1)支持對(duì)HTTP、FTP、SMTP、POP3、IMAP協(xié)議的病毒檢測和過濾功能。(2)支持對(duì)文件感染型病毒、蠕蟲病毒、腳本病毒、宏病毒、木馬、惡意軟件等的過濾，病毒庫數(shù)量不少于60萬。(3)對(duì)于HTTP協(xié)議和郵件協(xié)議，提供信息替換功能，用以通知用戶病毒被阻斷，管理員可以自行設(shè)置替換信息。(4)支持病毒庫自動(dòng)升級(jí)和手工導(dǎo)入。(5)防病毒網(wǎng)關(guān)病毒庫，不同于主機(jī)、終端防病毒軟件病毒庫。4.1.6.數(shù)據(jù)庫審計(jì)(1)采用旁路部署方式對(duì)原有網(wǎng)絡(luò)不造成影響，網(wǎng)絡(luò)審計(jì)產(chǎn)品的故障不影響被審計(jì)系統(tǒng)的正常運(yùn)行。(2)支持透明部署、支持單臂路由、支持路由模式、支持NAT、支持Bypass。(3)采用B/S管理方式。(4)無需在被審計(jì)系統(tǒng)上安裝任何代理。(5)審計(jì)引擎統(tǒng)一管理、至少支持2個(gè)以上的引擎同時(shí)管理，審計(jì)數(shù)據(jù)統(tǒng)一存儲(chǔ)、查詢、分析、統(tǒng)計(jì)。(6)下級(jí)控制臺(tái)（數(shù)據(jù)中心）可以設(shè)置接受上級(jí)管理。(7)上級(jí)控制臺(tái)（數(shù)據(jù)中心）可以查看所有下級(jí)的拓?fù)浜蜖顟B(tài)。(8)上級(jí)控制臺(tái)（數(shù)據(jù)中心）可以為下級(jí)生成報(bào)表。(9)上級(jí)控制臺(tái)（數(shù)據(jù)中心）可以為下級(jí)下發(fā)審計(jì)對(duì)象。(10)Oracle數(shù)據(jù)庫審計(jì)。(11)SQL-Server數(shù)據(jù)庫審計(jì)。(12)DB2數(shù)據(jù)庫審計(jì)。(13)Informix數(shù)據(jù)庫審計(jì)。北京啟明星辰信息安全技術(shù)有限公司 第10頁(14)Sybase數(shù)據(jù)庫審計(jì)。(15)MySQL數(shù)據(jù)庫審計(jì)。(16)PostgreSQL數(shù)據(jù)庫審計(jì)。(17)Teradata數(shù)據(jù)庫審計(jì)。(18)Cache數(shù)據(jù)庫所審計(jì)。(19)人大金倉數(shù)據(jù)庫的審計(jì)。(20)達(dá)夢數(shù)據(jù)庫的審計(jì)。(21)南大通用數(shù)據(jù)庫的審計(jì)。(22)網(wǎng)絡(luò)鄰居審計(jì)。(23)NFS協(xié)議審計(jì)。(24)Telnet協(xié)議審計(jì)。(25)FTP協(xié)議審計(jì)。(26)Rlogin協(xié)議審計(jì)。(27)Radius協(xié)議審計(jì)。(28)RDP協(xié)議審計(jì)。(29)SSH協(xié)議審計(jì)。(30)SCP協(xié)議審計(jì)。(31)SFTP協(xié)議審計(jì)。(32)webSQL為模型庫。(33)對(duì)于模型庫以外的未知HTTP操作、未知SQL操作可進(jìn)行標(biāo)注審計(jì)。(34)支持中間件環(huán)境下的SQL語句關(guān)聯(lián)到HTTP操作，HTTP操作關(guān)聯(lián)到HTTP-ID，實(shí)現(xiàn)中間件環(huán)境下的審計(jì)追溯。(35)支持事后關(guān)聯(lián)和實(shí)時(shí)關(guān)聯(lián)兩種方式。(36)支持對(duì)針對(duì)數(shù)據(jù)庫的XSS攻擊行為進(jìn)行審計(jì)。(37)支持對(duì)針對(duì)數(shù)據(jù)庫的SQL注入攻擊行為進(jìn)行審計(jì)。(38)提供對(duì)數(shù)據(jù)庫返回碼的知識(shí)庫和實(shí)時(shí)說明，幫助管理員快速對(duì)返回碼進(jìn)行識(shí)別。(39)支持?jǐn)?shù)據(jù)庫并發(fā)會(huì)話數(shù)、并發(fā)進(jìn)程數(shù)、并發(fā)用戶數(shù)、并發(fā)游標(biāo)數(shù)、并北京啟明星辰信息安全技術(shù)有限公司 第11頁發(fā)事務(wù)數(shù)、數(shù)據(jù)庫鎖等超過限制的審計(jì)。(40)支持?jǐn)?shù)據(jù)庫賬號(hào)登陸成功、失敗的審計(jì)。(41)系統(tǒng)應(yīng)自帶審計(jì)規(guī)則庫，用戶可自定義審計(jì)策略。(42)IPIP為響應(yīng)條件。(43)庫字段名、數(shù)據(jù)庫返回碼作為響應(yīng)條件（非正則表達(dá)式方式。(44)審計(jì)策略支持字段值作為分項(xiàng)響應(yīng)條件（非正則表達(dá)式方式。(45)支持?jǐn)?shù)據(jù)庫綁定變量審計(jì)。(46)支持訪問數(shù)據(jù)庫的源主機(jī)名、源主機(jī)用戶的審計(jì)。(47)支持SQL操作響應(yīng)時(shí)間的審計(jì)。(48)支持Select操作返回行數(shù)的審計(jì)。(49)支持?jǐn)?shù)據(jù)庫操作成功、失敗的審計(jì)。(50)支持?jǐn)?shù)據(jù)庫操作類、表、視圖、索引、觸發(fā)器、存儲(chǔ)過程、域、Schema、游標(biāo)、事物等各種對(duì)象的SQL操作審計(jì)。(51)支持Telnet協(xié)議的審計(jì)，能夠?qū)徲?jì)用戶名、操作命令、命令響應(yīng)時(shí)間、返回碼等。(52)支持對(duì)FTP協(xié)議的審計(jì)，能夠?qū)徲?jì)用戶名、命令、文件、命令響應(yīng)時(shí)間、返回碼等。(53)支持審計(jì)網(wǎng)絡(luò)鄰居的用戶名、讀寫操作、文件名等。(54)支持審計(jì)NFS協(xié)議的用戶名、文件名等。(55)支持審計(jì)Radius協(xié)議的認(rèn)證用戶MAC、認(rèn)證用戶名、認(rèn)證IP、NAS服務(wù)器IP。(56)支持IP-MAC綁定變化情況的審計(jì)。(57)記錄審計(jì)事件。(58)記錄會(huì)話數(shù)據(jù)。(59)支持實(shí)時(shí)阻斷、界面告警、Syslog告警、SNMPtrap告警、郵件告警。(60)實(shí)時(shí)監(jiān)控對(duì)實(shí)時(shí)告警信息，當(dāng)前會(huì)話進(jìn)行詳細(xì)察看；有助于管理員及時(shí)處置。北京啟明星辰信息安全技術(shù)有限公司 第12頁(61)支持按時(shí)間、級(jí)別、源\IP、源\MAC、協(xié)議名、源\為條件進(jìn)行查詢。(62)支持按數(shù)據(jù)庫名、數(shù)據(jù)庫表名、字段值、數(shù)據(jù)庫登陸賬號(hào)、數(shù)據(jù)庫操作命令、數(shù)據(jù)庫返回碼、SQL響應(yīng)時(shí)間、數(shù)據(jù)庫返回行數(shù)作為查詢和統(tǒng)計(jì)條件。(63)支持按自定義關(guān)鍵字作為查詢和統(tǒng)計(jì)條件。(64)支持條件之間的與、或、非邏輯組合。(65)系統(tǒng)提供報(bào)表模板庫。(66)系統(tǒng)支持根據(jù)自定義關(guān)鍵字自動(dòng)生成報(bào)表。(67)支持按每天、每周、每月、時(shí)刻生成報(bào)表。(68)支持生成CSV、Word、PDF、xls、HTML格式的報(bào)表導(dǎo)出。(69)支持郵件方式自動(dòng)發(fā)送報(bào)表。(70)提供管理員權(quán)限設(shè)置和分權(quán)管理，提供三權(quán)分立功能，系統(tǒng)可以對(duì)使用人員的操作進(jìn)行審計(jì)記錄，可以由審計(jì)員進(jìn)行查詢，具有自身安全審計(jì)功能。(71)管理員登陸支持靜態(tài)口令認(rèn)證，支持密碼的復(fù)雜性管理，比如大小寫、數(shù)字、特殊字符、長度等。(72)能夠?qū)δ軌驅(qū)B續(xù)失敗登陸進(jìn)行自動(dòng)鎖定，鎖定時(shí)間可設(shè)置。(73)審計(jì)系統(tǒng)上存在大量敏感信息，必須對(duì)審計(jì)管理員進(jìn)行強(qiáng)度更高的認(rèn)證，管理員登陸支持硬件令牌認(rèn)證。(74)提供審計(jì)數(shù)據(jù)管理功能，能夠?qū)崿F(xiàn)對(duì)審計(jì)數(shù)據(jù)的自動(dòng)備份、刪除。(75)提供審計(jì)報(bào)表自動(dòng)備份功能。(76)提供系統(tǒng)升級(jí)功能，能夠通過升級(jí)包的方式實(shí)現(xiàn)升級(jí)。(77)提供磁盤存儲(chǔ)容量不足、磁盤Raid故障等自動(dòng)郵件報(bào)警。(78)提供CPU、內(nèi)存、磁盤、網(wǎng)口、運(yùn)行時(shí)間、運(yùn)行狀態(tài)等信息的監(jiān)視功能。(79)提供審計(jì)策略和配置的導(dǎo)入導(dǎo)出。(80)支持SNMP方式，提供系統(tǒng)運(yùn)行狀態(tài)給第三方網(wǎng)管系統(tǒng)。(81)支持Syslog方式向外發(fā)送審計(jì)日志。北京啟明星辰信息安全技術(shù)有限公司 第13頁(82)支持SNMPTrap方式向外發(fā)送審計(jì)日志。(83)支持NTP時(shí)間同步。4.1.7.網(wǎng)絡(luò)審計(jì)(1)網(wǎng)頁過濾(2)網(wǎng)絡(luò)應(yīng)用控制1) 標(biāo)準(zhǔn)應(yīng)用協(xié)議：HTTP(S)，SMTP，POP3，IMAP4，F(xiàn)TP，TELNET，SSH等2) IM：QQ，MSN，飛信，YahooMessenger，Skype等3) P2P：BT，eMule/eDonkey，迅雷，Gnutella，PP點(diǎn)點(diǎn)通，百度下吧，Winny等4) 游戲，征途，游戲茶苑等5) Sopcast，TVKoo，MOP，搜TV，UUSee，土豆，優(yōu)酷等6) 券，國泰君安等7) 流媒體：RealMedia，WinMedia等8) 隱患服務(wù)：WindowsRPC協(xié)議的若干服務(wù)，VNC，MSSQL等(3)內(nèi)容審計(jì)和過濾1) 箱地址、收發(fā)類型、郵件主題、郵件正文、郵件附件名稱及內(nèi)容2) 過濾條件：發(fā)信人地址、 收信人地址、郵件主題關(guān)鍵字、郵件文關(guān)鍵字、郵件附件名稱、大小、類型及正文關(guān)鍵字3) WEB-MAIL163、網(wǎng)易126、Msn Hotmail、Tom郵箱、新浪郵箱、G-Mail、QQ-Mail、Excite、Goo、Infoseek、Livedoor、21CN、139郵箱等(4)IM審計(jì)和過濾1) MSN審計(jì)和過濾：審計(jì)收發(fā)動(dòng)作、發(fā)送賬號(hào)、接收賬號(hào)、聊天內(nèi)北京啟明星辰信息安全技術(shù)有限公司 第14頁MSNshell加密聊天內(nèi)容審計(jì)；MSN賬號(hào)、文件名稱、文件傳輸方向、文件類型、和文件大小MSN外發(fā)信息的關(guān)鍵字進(jìn)行匹配并報(bào)警；能夠?qū)徲?jì)信息按照一次完整的對(duì)話進(jìn)行還原，提高內(nèi)容的可讀性2) Yahoo!Messenger審計(jì)：審計(jì)收發(fā)動(dòng)作、發(fā)送賬號(hào)、接收賬號(hào)、聊天內(nèi)容3) QQ審計(jì)：審計(jì)收發(fā)動(dòng)作、發(fā)送賬號(hào)（昵稱、接收賬號(hào)（昵稱聊天內(nèi)容、語音聊天行為、群組聊天內(nèi)容4)飛信審計(jì)：審計(jì)收發(fā)動(dòng)作、發(fā)送賬號(hào)、接收賬號(hào)、聊天內(nèi)容、音視頻行為、文件傳輸行為；基于賬號(hào)和聊天內(nèi)容關(guān)鍵字、文件名稱、文件類型過濾聊天行為和文件傳輸行為；對(duì)違反預(yù)定義規(guī)范的飛信聊天行為進(jìn)行報(bào)警5)Skype審計(jì)：審計(jì)收發(fā)動(dòng)作、發(fā)送賬號(hào)、接收賬號(hào)、聊天內(nèi)容、文件傳輸名稱、語音聊天行為6) BBS論壇、新聞評(píng)論、搜索警；對(duì)于發(fā)帖日志，還可以通過時(shí)間、用戶、關(guān)鍵字進(jìn)行全面查詢，準(zhǔn)確定位發(fā)帖行為與內(nèi)容7)搜索引擎關(guān)鍵字審計(jì)和過濾：以記錄用戶通過搜索引擎站點(diǎn)、門戶網(wǎng)站、論壇貼吧、購物網(wǎng)站、視頻網(wǎng)站等搜索的關(guān)鍵字內(nèi)容，并可以基于搜索類別、關(guān)鍵字內(nèi)容過濾用戶的非法搜索行為8)HTTP文件傳輸審計(jì)和過濾：可以基于文件名稱、類型和大小審計(jì)HTTP文件上傳下載內(nèi)容，并可阻塞包含指定特征的文件傳輸行為9)HTTPS加密網(wǎng)頁的審計(jì)和過濾：可審計(jì)HTTPS加密網(wǎng)頁的訪問情況，并可基于網(wǎng)站分類、證書合法性阻塞存在安全隱患HTTPS加密網(wǎng)頁的訪問，有效屏蔽用戶對(duì)釣魚網(wǎng)站的訪問，保障企業(yè)網(wǎng)絡(luò)安全和用戶信息安全北京啟明星辰信息安全技術(shù)有限公司 第15頁10)FTP文件傳輸審計(jì)和過濾：可以審計(jì)任意端口的FTP文件傳輸行為；可基于所傳輸文件在FTP服務(wù)器中的路徑、文件名稱阻塞文件傳輸行為；并可還原指定名稱、大小或類型的文件內(nèi)容11)TELNET內(nèi)容審計(jì)：可審計(jì)內(nèi)網(wǎng)用戶的TELENT行為，記錄TELNET目標(biāo)設(shè)備的IP、端口信息；記錄執(zhí)行的指令內(nèi)容和結(jié)果(5)實(shí)時(shí)監(jiān)控1) 豐富全面的監(jiān)控信息:CPU、內(nèi)存、硬盤等24小時(shí)網(wǎng)絡(luò)流量變化情況；本日應(yīng)用使用情況2) 一個(gè)、多個(gè)應(yīng)用實(shí)時(shí)監(jiān)控；監(jiān)控特定端口的網(wǎng)絡(luò)流量(6)查詢統(tǒng)計(jì)與報(bào)表分析1) 完整的查詢內(nèi)容：基于用戶的綜合上網(wǎng)行為查詢；網(wǎng)絡(luò)流量查詢，數(shù)據(jù)粒度可選，如：按匯總數(shù)據(jù)，小時(shí)流量，細(xì)節(jié)流量；Web訪問如允許、阻塞；應(yīng)用行為阻塞日志信息查詢，便于對(duì)違規(guī)互聯(lián)網(wǎng)行為進(jìn)行取證；應(yīng)用連接明細(xì)查詢，便于追蹤定位網(wǎng)絡(luò)安全事件故障源；用戶上網(wǎng)時(shí)長查詢，可基于時(shí)間段、用戶、應(yīng)用協(xié)議等多種條件進(jìn)行查詢分析；電子郵件收發(fā)記錄查詢，可查看完整的郵件正文與附件內(nèi)容；IMMSNYahoo!Messenger的IM用戶之間所有聊天過程信息；論壇發(fā)帖內(nèi)容查詢，可查看完整的發(fā)帖正文與上傳文件；P2P、網(wǎng)游、炒股、視頻等網(wǎng)絡(luò)應(yīng)用行為查詢；查詢用戶或用戶組當(dāng)前所適用的策略，便于排除或定位網(wǎng)絡(luò)故障源；用戶認(rèn)證上線歷史查詢，建立時(shí)間、用戶、IP間的對(duì)應(yīng)關(guān)系2) 北京啟明星辰信息安全技術(shù)有限公司 第16頁URL關(guān)鍵字、標(biāo)題關(guān)鍵字、網(wǎng)頁內(nèi)容關(guān)鍵字、預(yù)設(shè)的過濾策略查詢Web訪問記錄；根據(jù)發(fā)件人、收件人、主題、附件名、郵件大小、email類型、郵件主題及內(nèi)容的關(guān)鍵字查詢發(fā)送與接收郵件；根據(jù)發(fā)送帳號(hào)、接收帳號(hào)、IM類型、聊天內(nèi)容關(guān)鍵字查詢?cè)诰€聊天記錄；設(shè)置URL關(guān)鍵字與正文關(guān)鍵字查詢論壇發(fā)帖記錄3) Excel表格，方便二次處理4.1.8.安全管理平臺(tái)(1)事件管理1)要支持路由器、交換機(jī)、防火墻等主流設(shè)備，采集方式至少要支持sylog、snmp、VIP、XML、ODBC、netflow等通用協(xié)議進(jìn)行信息采集2)具備很強(qiáng)的擴(kuò)展性，能夠方便的支持現(xiàn)有及未來的各類設(shè)備；對(duì)新設(shè)備的定制支持時(shí)間小于5個(gè)工作日3)事件顯示內(nèi)容包括：事件類型、事件名稱、報(bào)警級(jí)別、來源IP、目的IP、設(shè)備類型、設(shè)備來源IP、接收時(shí)間等4) IDIPMACIP地址、目的端口、目的MAC地址等5) IDIPMACIP地址、目的端口、目的MAC地址等6)IP生時(shí)間”等7)庫進(jìn)行關(guān)聯(lián)8)安全事件提供基于資產(chǎn)的關(guān)聯(lián)，可以將當(dāng)前發(fā)生的信息安全事件與預(yù)先定義的信息安全資產(chǎn)進(jìn)行相關(guān)，從而不僅可以有效判斷事件的優(yōu)先級(jí)，還能夠協(xié)助評(píng)估當(dāng)前資產(chǎn)遭到威脅的狀況9)能夠?qū)崟r(shí)給出高危害安全事件的列表北京啟明星辰信息安全技術(shù)有限公司 第17頁10)事件按照威脅程度劃分報(bào)警級(jí)別，報(bào)警級(jí)別按照5級(jí)劃分(2)域與資產(chǎn)管理1) 能夠支持多級(jí)樹型的安全域（10級(jí)組織架構(gòu)和網(wǎng)絡(luò)架構(gòu)2) 支持多種資產(chǎn)屬性的定義，至少包含：資產(chǎn)名稱、資產(chǎn)類型、IP址信息、物理位置、CIA等3) 復(fù)制、粘貼、刪除、導(dǎo)入、導(dǎo)出、查詢等4) 可以根據(jù)資產(chǎn)編號(hào)、ip等屬性對(duì)資產(chǎn)進(jìn)行查詢5) 可以查看資產(chǎn)的端口、漏洞信息6) 支持自動(dòng)發(fā)現(xiàn)資產(chǎn)功能7) 理位置(3)風(fēng)險(xiǎn)管理1) BS7799/ISO17799重要資產(chǎn)和安全域（業(yè)務(wù)單元）5級(jí)進(jìn)行劃分2) 能夠關(guān)聯(lián)出安全事件所影響到的信息資產(chǎn)3)根據(jù)資產(chǎn)的安全需求、資產(chǎn)面臨的威脅進(jìn)行綜合評(píng)估，給出當(dāng)前資產(chǎn)的風(fēng)險(xiǎn)狀況，并且能夠從保密性、可用性、完整性三個(gè)方面進(jìn)行詳細(xì)的風(fēng)險(xiǎn)展示4)能夠根據(jù)資產(chǎn)風(fēng)險(xiǎn)的狀況對(duì)資產(chǎn)進(jìn)行評(píng)級(jí)、能夠根據(jù)安全域風(fēng)險(xiǎn)的狀況對(duì)安全域進(jìn)行評(píng)級(jí)5)能夠根據(jù)資產(chǎn)的風(fēng)險(xiǎn)狀況進(jìn)行排序，給出高風(fēng)險(xiǎn)資產(chǎn)清單6)能夠根據(jù)安全域的風(fēng)險(xiǎn)狀況進(jìn)行排序，給出高風(fēng)險(xiǎn)安全域清單7) 可以提供風(fēng)險(xiǎn)查詢手段8) 風(fēng)險(xiǎn)的來源，并進(jìn)行正確的處理9) 用戶可以從安全域風(fēng)險(xiǎn)追蹤到子域風(fēng)險(xiǎn)和子域所屬資產(chǎn)風(fēng)險(xiǎn)，從而北京啟明星辰信息安全技術(shù)有限公司 第18頁的處理(4)脆弱性管理1) 能夠?qū)⒙┒磼呙柢浖膾呙杞Y(jié)果導(dǎo)入系統(tǒng)2) 2集格式接口3) 能夠進(jìn)行多次結(jié)果之間的對(duì)比分析4) 戶確認(rèn)5) 支持資產(chǎn)的脆弱性管理，允許查看資產(chǎn)和安全域的脆弱性指標(biāo)6) 漏洞支持多種狀態(tài)（誤報(bào)、確認(rèn)、已防范等狀態(tài)，進(jìn)行漏洞跟蹤(5)響應(yīng)管理1) 可以提供多種響應(yīng)方式，至少包括郵件、聲音、工單、設(shè)備控制等2) 的地址、目的端口、事件類型等3) 對(duì)于常見安全事件，可以提供應(yīng)急響應(yīng)預(yù)案和解決方案(6)預(yù)警管理1) 提供圖形化安全預(yù)警功能2) 安全預(yù)警形成統(tǒng)一的風(fēng)險(xiǎn)級(jí)別，為安全管理人員進(jìn)行安全預(yù)警3) 對(duì)于新漏洞、蠕蟲，能夠進(jìn)行自動(dòng)化處理4) 3級(jí)別(7)宏觀趨勢分析1) 能夠提供地址熵、三元組、熱點(diǎn)事件傳播三種宏觀分析模型2) 和展示形式，建立從整體上反應(yīng)網(wǎng)絡(luò)安全運(yùn)行狀態(tài)的指標(biāo)變量3) 已知和未知蠕蟲事件的爆發(fā)過程能夠進(jìn)行準(zhǔn)確描述；北京啟明星辰信息安全技術(shù)有限公司 第19頁4) 當(dāng)前流行的網(wǎng)絡(luò)攻擊態(tài)勢5) 發(fā)展成為大規(guī)模網(wǎng)絡(luò)安全事件，從而采取相應(yīng)的防范措施(8)流量管理1) netflownetflow采集流量信息2) 出當(dāng)前流量是否異常3) 協(xié)議流量分析：對(duì)被監(jiān)控網(wǎng)絡(luò)內(nèi)協(xié)議流量（TCP，UDP，ICMP他協(xié)議）進(jìn)行實(shí)時(shí)計(jì)算分析，分析出當(dāng)前各種協(xié)議流量是否異常4) 出當(dāng)前各種端口流量是否異常5) 出當(dāng)前各種應(yīng)用流量是否異常(9)基線管理1)系統(tǒng)提供各種分析模型的動(dòng)態(tài)基線。系統(tǒng)會(huì)通過自學(xué)習(xí)的過程為每個(gè)模型動(dòng)態(tài)的建立起相應(yīng)的基線，為每個(gè)模型分析安全態(tài)勢提供了理論依據(jù)?；€的學(xué)習(xí)周期用戶可以根據(jù)自己的需要來配置。(10)關(guān)聯(lián)分析1) 能夠提供規(guī)則關(guān)聯(lián)分析方法2) 能夠提供漏洞關(guān)聯(lián)分析方法3) 能夠提供統(tǒng)計(jì)關(guān)聯(lián)分析方法4) 20條的關(guān)聯(lián)分析規(guī)則庫5) 可以自定義關(guān)聯(lián)分析后事件名稱、級(jí)別、ip地址等6) 關(guān)聯(lián)結(jié)果可以通過函數(shù)表達(dá)式自動(dòng)生成7)可以按照源地址、源端口、目的地址、目的端口、事件類型、事件級(jí)別等條件設(shè)置關(guān)聯(lián)條件(11)知識(shí)管理1) SOC事件庫、原始設(shè)備事件庫、案例庫、安全策略管理、北京啟明星辰信息安全技術(shù)有限公司 第20頁安全公告、處置預(yù)案庫、漏洞庫、安全鏈接等知識(shí)庫功能2)能夠提供設(shè)備原始事件庫、安全策略文檔庫、安全公告庫、處置預(yù)案庫、報(bào)表模板庫、預(yù)警信息庫、TSOC漏洞庫、工作流程庫、設(shè)備控制功能及腳本庫、關(guān)聯(lián)分析規(guī)則庫等知識(shí)庫的定期更新3)SOC9大類、95包含病毒木馬、掃描探測、應(yīng)用漏洞等4)支持安全策略文檔的上傳、下載、發(fā)布等管理操作5)同一個(gè)安全策略文檔可以以多種格式進(jìn)行上傳和發(fā)布6)提供基于關(guān)鍵字的安全策略的搜索和關(guān)聯(lián)(12)工作流管理1) 支持用戶自定義工作流，提供圖形化的工作流定制界面2) 可以支持流程的屬性擴(kuò)展3) 能夠提供接口與響應(yīng)模塊連接4) 支持工作流的導(dǎo)入導(dǎo)出(13)設(shè)備管理1) telnetssh方式對(duì)設(shè)備進(jìn)行控制2) 內(nèi)置了對(duì)防火墻、路由器、交換機(jī)、Linux操作系統(tǒng)、Windows操作系統(tǒng)等設(shè)備的支持，并可以根據(jù)用戶實(shí)際需要進(jìn)行擴(kuò)展3) 支持用戶定制設(shè)備控制命令4) 提供腳本的管理和搜索功能5) 能與響應(yīng)模塊相連接，實(shí)現(xiàn)自動(dòng)控制設(shè)備(14)用戶管理1) 支持用戶與用戶組管理，一個(gè)用戶可以屬于多個(gè)用戶組2) 應(yīng)具備針對(duì)多用戶、多資產(chǎn)對(duì)象、多域?qū)ο蟮撵`活的權(quán)限設(shè)置3) 應(yīng)支持集中的用戶認(rèn)證4) 系統(tǒng)管理員、審計(jì)管理員(15)報(bào)表管理1) 可以提供風(fēng)險(xiǎn)報(bào)表、事件報(bào)表、資產(chǎn)報(bào)表、脆弱性報(bào)表、管理設(shè)備北京啟明星辰信息安全技術(shù)有限公司 第21頁報(bào)表、用戶報(bào)表、工單報(bào)表、定制報(bào)表2) 應(yīng)支持具備交互操作的動(dòng)態(tài)報(bào)表3) 能夠定期從報(bào)表系統(tǒng)生成信息安全報(bào)告4) 報(bào)表系統(tǒng)支持用戶自定義，即允許用戶根據(jù)自己的需求定制化報(bào)表(16)系統(tǒng)管理1) 能夠監(jiān)控系統(tǒng)自身組件的健康狀況2) 能夠監(jiān)控?cái)?shù)據(jù)庫健康狀況3) 能夠制定自動(dòng)、手動(dòng)等多種方式的日志維護(hù)任務(wù)4) 能夠提供系統(tǒng)軟件的自動(dòng)、手動(dòng)升級(jí)功能5) 析等(17)綜合顯示1) 全面直觀地了解各類安全信息和系統(tǒng)信息2) 可以按域查看事件的實(shí)時(shí)收集情況及資產(chǎn)風(fēng)險(xiǎn)值TOP10 和資產(chǎn)弱性TOP10的圖表3) IP風(fēng)險(xiǎn)狀況、安全事件等信息4.1.9.堡壘機(jī)(1)三權(quán)分立1)用戶多角色劃分：系統(tǒng)需提供用戶管理員、配置管理員、審計(jì)管理員、普通用戶等多種角色；(2)分布式管理1)支持分布式部署，可以通過統(tǒng)一的數(shù)據(jù)中心采集各個(gè)獨(dú)立引擎的日志?？偛靠偪刂婆_(tái)能夠適時(shí)監(jiān)控分布式部署引擎的系統(tǒng)狀態(tài)以及賬號(hào)信息、策略、報(bào)表和審計(jì)事件。2)審計(jì)引擎統(tǒng)一管理、至少支持2個(gè)以上的引擎同時(shí)管理，審計(jì)數(shù)據(jù)統(tǒng)一存儲(chǔ)、查詢、分析、統(tǒng)計(jì)(3)多級(jí)管理北京啟明星辰信息安全技術(shù)有限公司 第22頁1) 下級(jí)控制臺(tái)可以設(shè)置接受上級(jí)管理2) 上級(jí)控制臺(tái)可以查看所有下級(jí)的拓?fù)浜蜖顟B(tài)3) 上級(jí)控制臺(tái)可以為下級(jí)生成報(bào)表4) 上級(jí)控制臺(tái)可以為下級(jí)下發(fā)審計(jì)對(duì)象(4)日志維護(hù)1) 可對(duì)審計(jì)日志按照時(shí)間段進(jìn)行備份2) 可對(duì)審計(jì)日志進(jìn)行自動(dòng)和手工備份(5)系統(tǒng)升級(jí)1) 支持堡壘機(jī)系統(tǒng)的升級(jí)管理(6)用戶帳號(hào)實(shí)名制1) 人員身份的唯一性管理(7)用戶狀態(tài)1) 輸錯(cuò)密碼時(shí)，可以自動(dòng)禁用該用戶帳號(hào)(8)用戶身份認(rèn)證1) 支持靜態(tài)密碼認(rèn)證方式2) 支持雙因素認(rèn)證方式(9)帳號(hào)有效期控制1) 使用(10)密碼托管1) 通過對(duì)目標(biāo)設(shè)備密碼的托管，實(shí)現(xiàn)對(duì)后臺(tái)設(shè)備的自動(dòng)登錄(11)密碼維護(hù)1) 等2) 靈活可配置的密碼修改策略；(12)權(quán)限管理1) 支持黑名單（不可以執(zhí)行）和白名單（只允許執(zhí)行）北京啟明星辰信息安全技術(shù)有限公司 第23頁2) 對(duì)于用戶權(quán)限定義精確到命令級(jí)3) Telnet集4) 可以對(duì)用戶訪問權(quán)限進(jìn)行查看、變更、刪除等操作(13)訪問策略定義1) IP具體操作、時(shí)間設(shè)定比較詳細(xì)的訪問策略2) 不符合訪問策略的操作可以被阻斷3) 每個(gè)訪問策略可以支持多個(gè)訪問規(guī)則(14)操作規(guī)則定義1)對(duì)于文件操作，能夠定義文件目錄名、操作類型、命令響應(yīng)時(shí)間、返回碼等（非正則表達(dá)式模式）2)對(duì)于命令行操作：能夠定義用戶名、操作命令、命令響應(yīng)時(shí)間、返回碼等（非正則表達(dá)式模式）3)對(duì)于圖形操作：能夠定義用戶名、訪問源主機(jī)等（非正則表達(dá)式模式）4)對(duì)于數(shù)據(jù)庫操作：能夠定義數(shù)據(jù)庫操作類、表、視圖、索引、觸發(fā)器、存儲(chǔ)過程、域、Schema、游標(biāo)、事物、響應(yīng)時(shí)間、返回行數(shù)、操作成功失敗等各種對(duì)象（非正則表達(dá)式模式）(15)實(shí)時(shí)監(jiān)控1) RDP、VNC、Telnet、SSH等協(xié)議進(jìn)行實(shí)時(shí)監(jiān)控2) 對(duì)于實(shí)時(shí)監(jiān)控的會(huì)話，可以手動(dòng)進(jìn)行阻斷(16)系統(tǒng)對(duì)操作響應(yīng)1) 記錄審計(jì)事件2) 記錄會(huì)話數(shù)據(jù)3) 忽略4) 實(shí)時(shí)阻斷5) 界面告警6) Syslog告警北京啟明星辰信息安全技術(shù)有限公司 第24頁7) SNMPtrap告警8) 郵件告警(17)查詢條件1) 所有操作均支持按時(shí)間、級(jí)別、源\IP、源\MAC源\目的端口為條件進(jìn)行審計(jì)日志查詢(18)命令操作搜索1) 搜索關(guān)鍵詞支持正則表達(dá)式；(19)圖形操作搜索1) 可以以鍵盤輸入的內(nèi)容為關(guān)鍵字進(jìn)行搜索；(20)數(shù)據(jù)庫操作搜索1)支持按數(shù)據(jù)庫名、數(shù)據(jù)庫表名、字段值、數(shù)據(jù)庫登陸賬號(hào)、數(shù)據(jù)庫操作命令、數(shù)據(jù)庫返回碼、SQL響應(yīng)時(shí)間、數(shù)據(jù)庫返回行數(shù)作為查詢和統(tǒng)計(jì)條件(21)操作和會(huì)話關(guān)聯(lián)1) 搜索結(jié)果與操作會(huì)話關(guān)聯(lián)，實(shí)現(xiàn)快速定位(22)命令操作1) 支持命令操作會(huì)話的完整回放(23)圖形操作1) 支持圖形操作的回放2) 支持倍速回放3) 支持回放全屏顯示4) 回放時(shí)可顯示鍵盤和鼠標(biāo)操作內(nèi)容(24)審計(jì)報(bào)表1) PDF、Word、Excel、HTML等格式2) 系統(tǒng)自帶多種報(bào)表模板3) 系統(tǒng)支持自定義報(bào)表4)支持報(bào)表按日、周、月自動(dòng)生成，并且可自動(dòng)郵件發(fā)送給相關(guān)管理人員北京啟明星辰信息安全技術(shù)有限公司 第25頁4.1.10.終端安全管理系統(tǒng)(1)服務(wù)器級(jí)聯(lián)管理：1)支持服務(wù)器級(jí)聯(lián)管理，可以支持無限級(jí)的中心服務(wù)器進(jìn)行級(jí)聯(lián)。當(dāng)然，單級(jí)服務(wù)器仍然支持一個(gè)中心服務(wù)器和多個(gè)本地服務(wù)器，結(jié)合無限級(jí)的服務(wù)器級(jí)聯(lián)，對(duì)終端的管理規(guī)?？梢詿o限擴(kuò)展。2) Web控制臺(tái)由級(jí)聯(lián)關(guān)系管理員下級(jí)級(jí)聯(lián)關(guān)系，以適應(yīng)網(wǎng)絡(luò)環(huán)境和級(jí)聯(lián)管理變化要求。3) 視到所有下級(jí)服務(wù)器信息和運(yùn)行狀態(tài)。4)管理的終端運(yùn)行情況和合規(guī)管理狀態(tài)。5)支持策略的級(jí)聯(lián)下發(fā)，上級(jí)管理員可以將重要的安全策略，通過級(jí)聯(lián)下發(fā)到下級(jí)單位。6)支持級(jí)聯(lián)授權(quán)拆分管理，即可以根據(jù)需要每級(jí)獨(dú)立使用自有的客戶端授權(quán)，也支持授權(quán)逐級(jí)分發(fā)，根據(jù)每級(jí)實(shí)際的終端數(shù)量分配客戶端授權(quán)數(shù)量。7)并可以實(shí)時(shí)級(jí)聯(lián)各級(jí)單位授權(quán)使用情況，例如總授權(quán)數(shù)、已分配授權(quán)數(shù)、可分配授權(quán)等、本機(jī)注冊(cè)終端數(shù)、下級(jí)已經(jīng)注冊(cè)終端數(shù)。8)支持授權(quán)回收，能夠回收下級(jí)單位富余的授權(quán)數(shù)量，并重新對(duì)回收的授權(quán)數(shù)量進(jìn)行重新分配。(2)管理員分級(jí)管理1)支持管理員分級(jí)管理，不同的管理員可以授權(quán)不同的區(qū)域，上級(jí)管理員可為下級(jí)區(qū)域設(shè)定全局規(guī)則，并可查看下級(jí)區(qū)域的各種規(guī)則和報(bào)表。2)支持只讀管理員權(quán)限、資產(chǎn)管理員權(quán)限、按需支援管理員權(quán)限等多種細(xì)分權(quán)限劃分，權(quán)限劃分最細(xì)支持到單一功能菜單。北京啟明星辰信息安全技術(shù)有限公司 第26頁3) 支持獨(dú)立的管理員操作審計(jì)，審計(jì)管理員進(jìn)行的策略配置操作行為。4) HttpsWeb控制臺(tái)。5) 支持“三權(quán)分立”與“Windows集成認(rèn)證”兩種認(rèn)證模式。(3)細(xì)粒度管理1) IPIPIPIP地址。2) IPVIP啟用例外策略。3) IPIP策略。4) 到離線模式（，并啟用離線策略，確保終端在離線時(shí)也受到正確的控制和保護(hù)；當(dāng)檢查到終端處于在線狀態(tài)時(shí)（包括通過N連接，客戶端將自動(dòng)切換到在線模式（e。5) IP地址獲取安全防護(hù)規(guī)則。6)支持基于登錄用戶名獲取安全防護(hù)規(guī)則。7)支持本地安全防護(hù)規(guī)則，管理員可授權(quán)終端用戶從彈出窗口自定義網(wǎng)絡(luò)訪問規(guī)則以及從編輯界面自行添加、或修改基于進(jìn)程或端口的連入或連出的自定義網(wǎng)絡(luò)訪問規(guī)則。但管理員定義的全局規(guī)則優(yōu)先級(jí)高于本地安全防護(hù)規(guī)則。8)不同類型的安全防護(hù)規(guī)則具有不同的優(yōu)先級(jí)。(4)用戶認(rèn)證管理1)AD、OpenLDAP、iPlanetLDAP類型的身份認(rèn)證方式。支持轉(zhuǎn)發(fā)認(rèn)證，無需導(dǎo)入用戶數(shù)據(jù)。2)支持使用系統(tǒng)自帶的本地用戶進(jìn)行用戶賬號(hào)集中管理，支持用戶的創(chuàng)建、修改、刪除和用戶集中認(rèn)證管理，也可以批量導(dǎo)入和導(dǎo)出用戶，并提供用戶導(dǎo)入模塊，為用戶提供更多、更靈活的用戶管理和認(rèn)證的選擇。北京啟明星辰信息安全技術(shù)有限公司 第27頁3)既可以將用戶組作為管理對(duì)象，也可以將單個(gè)用戶作為管理對(duì)象，支持OU組織結(jié)構(gòu)的同步。4)MACMACMAC地址才能通過認(rèn)證；在其他MACMAC地址才符合安全狀態(tài)要求。5) User-IP-MAC、User-IP、User-MAC、UserVLAN（VLAN802.1x交換機(jī)、下發(fā)動(dòng)態(tài)ACL（EoU的交換機(jī)或路由器。6) MACMAC-IP組合進(jìn)行認(rèn)證，在VLAN（VLAN802.1x交換機(jī)ACL（EoU的交換機(jī)或路由器。7) 全狀態(tài)策略。8) MAC-IPUser-IPIP地址與設(shè)定IP地址改正為設(shè)定值。9) 802.1xGUID認(rèn)證管理，GUIDGUID終端才能才能通過網(wǎng)絡(luò)準(zhǔn)入認(rèn)證接入內(nèi)網(wǎng)。(5)數(shù)字證書認(rèn)證管理1) 無需導(dǎo)入用戶證書。2) U-Key無需導(dǎo)入用戶證書。3) 支持?jǐn)?shù)字證書與系統(tǒng)自帶本地用戶進(jìn)行無縫集成。4) 可以同時(shí)支持多種認(rèn)證方式，可以只允許使用數(shù)字證書進(jìn)行登錄認(rèn)證，也可以由終端用戶自己選擇使用用戶名/北京啟明星辰信息安全技術(shù)有限公司 第28頁法的證書進(jìn)行認(rèn)證，靈活適應(yīng)終端用戶不同的使用習(xí)慣和身份認(rèn)證管理要求。5)支持對(duì)數(shù)字證書狀態(tài)進(jìn)行在線驗(yàn)證，沒有CA服務(wù)器或CA服務(wù)器不可用時(shí)使用吊銷證書列表進(jìn)行驗(yàn)證。6)數(shù)字證書認(rèn)證，即可作為準(zhǔn)入控制的身份認(rèn)證條件，又可作為安全狀態(tài)策略，如果數(shù)字證書認(rèn)證失敗，系統(tǒng)將可以拒絕終端接入內(nèi)網(wǎng)和訪問內(nèi)部服務(wù)器資源。(6)單點(diǎn)登錄1)支持終端單點(diǎn)登錄，在終端使用用戶名/密碼或者使用USBkye登錄域的同時(shí)，自動(dòng)完成用戶認(rèn)證和準(zhǔn)入控制認(rèn)證。2)單點(diǎn)登錄支持主流的操作系統(tǒng)：WindowsXP、Windows2003、Windows7、Vista和Window2008。(7)客戶端注冊(cè)1)支持客戶端安裝注冊(cè)機(jī)制，客戶端安裝時(shí)，可以由管理員自定義設(shè)置需要終端用戶選擇和填寫客戶端注冊(cè)信息項(xiàng)目內(nèi)容、注冊(cè)項(xiàng)排列順序和是否為必填項(xiàng)，信息注冊(cè)并提交后，系統(tǒng)后臺(tái)自動(dòng)將終端與該信息綁定保存。2) Email地址等信息項(xiàng)類型之外，還可以根據(jù)客戶端注冊(cè)的個(gè)性化要是否為必填項(xiàng)和是否作為查詢條件進(jìn)行查詢。3)支持通過管理控制臺(tái)，靈活選擇是否啟用客戶端注冊(cè)，如果選擇啟用客戶端注冊(cè)，則新安裝和已經(jīng)安裝的客戶端在獲取策略后，客戶端將動(dòng)態(tài)生成并彈出客戶端注冊(cè)提示框，提示用戶填寫和確認(rèn)客戶端注冊(cè)信息，完成客戶端注冊(cè)。4)支持客戶端重新注冊(cè)，可以設(shè)置對(duì)指定日期之前注冊(cè)的客戶端，要求重新注冊(cè)的策略，實(shí)現(xiàn)所有客戶端重新進(jìn)行注冊(cè)。5)可以設(shè)置客戶端注冊(cè)重復(fù)提示周期，定期提示未及時(shí)注冊(cè)的終端用北京啟明星辰信息安全技術(shù)有限公司 第29頁戶及時(shí)完成客戶端注冊(cè)，提示周期可以精確到分鐘。6)對(duì)于已經(jīng)提交的客戶端注冊(cè)信息，管理員可以在管理控制臺(tái)集中進(jìn)行核對(duì)和對(duì)指定客戶端注冊(cè)信息進(jìn)行修改，并在控制臺(tái)對(duì)指定注冊(cè)信息終端進(jìn)行查詢。7)對(duì)于未提交注冊(cè)信息的客戶端，管理員可以在管理控制臺(tái)集中進(jìn)行手工注冊(cè)。能夠從客戶端報(bào)表及文件導(dǎo)入進(jìn)行注冊(cè)，并可以進(jìn)行批量注冊(cè)。(8)部門管理1)5門順序進(jìn)行調(diào)整。2)終端用戶在進(jìn)行客戶端注冊(cè)時(shí)，可以自己選擇所在部門的部分進(jìn)行注冊(cè)，也可以由管理員在管理控制臺(tái)進(jìn)行終端手工注冊(cè)，對(duì)未注冊(cè)終端進(jìn)行手工注冊(cè)，或者對(duì)已注冊(cè)的終端進(jìn)行修改，修改終端對(duì)應(yīng)的部門信息和其他終端注冊(cè)信息。3)支持針對(duì)部門的系統(tǒng)管理員關(guān)聯(lián)和授權(quán)，指定管理員有權(quán)管理的部門列表。4)所有客戶端上報(bào)信息都支持基于部門的分類、查詢和統(tǒng)計(jì)。(9)時(shí)間策略1) 期及時(shí)間。如果啟用時(shí)間策略，非工作時(shí)間（包括休假時(shí)間，無論客戶端是否離線，客戶端啟用并執(zhí)行離線策略；在工作時(shí)間（括加班時(shí)間，終端如果在線，則客戶端執(zhí)行在線策略，如果終端離線，客戶端則執(zhí)行離線策略。2) 如果出現(xiàn)時(shí)間疊加，則時(shí)間策略的優(yōu)先級(jí)順序?yàn)椋杭影鄷r(shí)間（時(shí)間）->休假時(shí)間（非工作時(shí)間）->正常工作時(shí)間（工作時(shí)間。3) 0:00-23:59；加班日期及時(shí)間和北京啟明星辰信息安全技術(shù)有限公司 第30頁休假日期及時(shí)間支持絕對(duì)時(shí)間。4) NTP服務(wù)器。5) Windows時(shí)間。(10)客戶端部署、升級(jí)和維護(hù)1)客戶端部署簡單方便，可通過多種準(zhǔn)入控制方式提示用戶安裝客戶端，由用戶自助完成客戶端安裝，而不需通過發(fā)郵件或現(xiàn)場安裝的方式安裝客戶端。2)Windows2000/XP/2003/Vista/Windows7/200832操作系統(tǒng)。3)客戶端支持WindowsXP/200364位操作系統(tǒng)和Windows7/2008的64位操作系統(tǒng)。4)客戶端和服務(wù)器之間通過SSL加密通道獲取策略規(guī)則。5)支持管理員遠(yuǎn)程卸載客戶端。6)NATNATNAT合環(huán)境下工作。7)支持客戶端版本自動(dòng)在線升級(jí)，支持智能升級(jí)框架，無需借助單獨(dú)的升級(jí)程序，即可以實(shí)現(xiàn)新版本的整體升級(jí)，也可以實(shí)現(xiàn)同一版本的個(gè)別模塊單獨(dú)升級(jí)，使軟件升級(jí)更容易。8)支持多個(gè)服務(wù)器版本和多個(gè)客戶端版本共存，在大型用戶環(huán)境下，方便分網(wǎng)段分階段逐步部署和升級(jí)。9)安全策略的分發(fā)可通過推和拉的方式進(jìn)行，快速分發(fā)新制定策略。10)端服務(wù)的密碼保護(hù)。(11)服務(wù)端部署、升級(jí)和維護(hù)1) 服務(wù)器部署簡單方便，可以自動(dòng)檢測服務(wù)器安裝時(shí)需要的系統(tǒng)環(huán)境組件，并可以通過快速安裝方式，一鍵安裝所需要的所有系統(tǒng)服務(wù)北京啟明星辰信息安全技術(shù)有限公司 第31頁單獨(dú)安裝所需要的服務(wù)器組件。2)Windows2003/20083264SQLServer2000/2005/2005Express/2008/2008Express。3) 服務(wù)器支持自動(dòng)升級(jí)，支持部分和全部版本的升級(jí)。4) 支持系統(tǒng)策略進(jìn)行導(dǎo)入和導(dǎo)出。(12)系統(tǒng)服務(wù)組件運(yùn)行狀態(tài)實(shí)時(shí)監(jiān)控1)能夠?qū)ο到y(tǒng)自身所有系統(tǒng)服務(wù)組件及數(shù)據(jù)庫運(yùn)行狀態(tài)進(jìn)行遠(yuǎn)程實(shí)時(shí)監(jiān)控，并在管理控制臺(tái)提供圖形化運(yùn)行狀態(tài)顯示，并對(duì)存在異常的服務(wù)組件或者數(shù)據(jù)庫可用空間少于設(shè)定大小時(shí)，進(jìn)行告警。2) CPU使用率、內(nèi)存使用率、系統(tǒng)所在硬盤分區(qū)使用率和定的數(shù)據(jù)庫所在硬盤最小剩余空間時(shí)，提供告警。3) 過管理控制臺(tái)可以實(shí)現(xiàn)啟動(dòng)、停止和重啟服務(wù)組件服務(wù)。(13)系統(tǒng)冗余與備份1)支持分布式多服務(wù)器架構(gòu)，服務(wù)器之間可能進(jìn)行負(fù)載均衡和冗余，任何一個(gè)服務(wù)器宕機(jī)都不影響其管理范圍內(nèi)的終端正常下載安全策略。2)支持備份和恢復(fù)策略，并可備份成完整的不同歷史時(shí)期的規(guī)則版本。3) 能自動(dòng)備份或刪除過期的審計(jì)信息，以節(jié)省存儲(chǔ)空間。4) 操作。(14)終端信息查詢與統(tǒng)計(jì)1)通過多種方式獲取終端信息，實(shí)時(shí)查看客戶端安裝和在線信息。2)支持終端發(fā)現(xiàn)，能發(fā)現(xiàn)安裝或未安裝客戶端的計(jì)算機(jī)終端，并探測其安全狀態(tài)是否合格，無論計(jì)算機(jī)終端上是否運(yùn)行主機(jī)防火墻都能發(fā)現(xiàn)。北京啟明星辰信息安全技術(shù)有限公司 第32頁3) 靈活的報(bào)表展現(xiàn)。4) 能夠進(jìn)行各種終端違規(guī)行為查詢和統(tǒng)計(jì)。5) 連接和補(bǔ)丁安裝情況，并停止或終止這些進(jìn)程、服務(wù)或連接。(15)報(bào)告和報(bào)表1)系統(tǒng)提供豐富的終端相關(guān)信息的圖形化報(bào)告和報(bào)表，報(bào)告和報(bào)表覆蓋終端接入信息、資產(chǎn)信息、終端審計(jì)信息、終端攻擊告警信息、終端資源使用情況信息等等，方便用戶及時(shí)、全面了解內(nèi)網(wǎng)終端安全和運(yùn)行狀況。2) 70種的預(yù)定義報(bào)告和報(bào)表模板，可以方便查看最關(guān)心的信息和數(shù)據(jù)。3) Word、ExcelHtml格式導(dǎo)出。4) .的報(bào)告和報(bào)表。(16)補(bǔ)丁強(qiáng)制策略1) 檢查Windows ServicePack是否已經(jīng)安裝成功，并能夠強(qiáng)制確保安裝成功。2) 功。(17)進(jìn)程管理策略1) MD5校驗(yàn)，能夠有效禁止運(yùn)行與工DLL的調(diào)用，防止修改進(jìn)程名逃避安全行違規(guī)提示。2) MD5碼校驗(yàn)的方式檢查進(jìn)程名，防止用戶對(duì)程序改名逃避安全檢查。支持多個(gè)進(jìn)程進(jìn)行“或”組合。北京啟明星辰信息安全技術(shù)有限公司 第33頁3)支持軟件進(jìn)程白名單，強(qiáng)制用戶只能運(yùn)行指定的軟件，對(duì)于運(yùn)行的進(jìn)程白名單之外的進(jìn)程，可以自動(dòng)結(jié)束進(jìn)程，也可以只進(jìn)行違規(guī)提示，還可以選擇僅記錄違規(guī)行為，不進(jìn)行提示。(18)軟件安裝管理1)支持軟件安裝黑名單，能夠有效禁止安裝與工作無關(guān)的軟件，并能夠?qū)`規(guī)安裝的黑名單軟件選擇進(jìn)行提示，或僅記錄違規(guī)行為，或者執(zhí)行攔截和卸載。2) 支持軟件安裝紅名單，能夠確保必須安裝指定的軟件。能夠選擇對(duì)支持多個(gè)軟件進(jìn)行“或”組合。3)支持軟件安裝白名單，強(qiáng)制用戶只能安裝指定的軟件，并能夠?qū)`規(guī)安裝的白名單之外的軟件選擇進(jìn)行提示，或僅記錄違規(guī)行為，或者執(zhí)行攔截和卸載。(19)Windows服務(wù)管理1) Windows服務(wù)。2) windows務(wù)。(20)防病毒軟件策略1) 能夠檢查防病毒軟件是否運(yùn)行，病毒碼版本是否升級(jí)，支持、TrendMicro、McAfee、瑞星、CA、驅(qū)逐艦、微軟等主流防病毒軟件。2) 管理員可指定病毒碼自動(dòng)更新的期限，或最新的病毒碼版本號(hào)。3)能夠從互聯(lián)網(wǎng)下載服務(wù)器，自動(dòng)更新最新的防病毒軟件列表和病毒定義碼版本，無需升級(jí)客戶端程序，即可輕松實(shí)現(xiàn)對(duì)新的防病毒軟件的支持。管理員只需簡單選擇適合的防病毒軟件及病毒定義碼即可輕松實(shí)現(xiàn)對(duì)個(gè)多種不同類型的防病毒軟件進(jìn)行有效管理。(21)終端安全加固策略1) Autorun，防止移動(dòng)存儲(chǔ)設(shè)備上的病毒程序自動(dòng)被執(zhí)北京啟明星辰信息安全技術(shù)有限公司 第34頁行。2) 木馬或病毒。3) 定的注冊(cè)表項(xiàng)和值得匹配關(guān)系檢查是否有隱藏的木馬或病毒。4) 制用戶終端。5) ADAD域的操作系統(tǒng)進(jìn)行排除。6) Windows的參數(shù)。7) WindowsGuest帳號(hào)、檢測計(jì)算機(jī)弱密碼等。8) WindowsWindows賬號(hào)密碼長度最小值、密碼最短和最長使用期限等策略，確保Windows賬號(hào)密碼強(qiáng)度符合安全管理要求。9)能夠通過策略禁用/啟用終端系統(tǒng)內(nèi)置的管理員帳號(hào)，即可以禁用Administrator帳號(hào)，也可以禁用/啟用系統(tǒng)所有屬于管理員組的帳號(hào)。10)能夠禁止修改終端網(wǎng)卡屬性，避免用戶違規(guī)修改網(wǎng)卡的IP、MAC、網(wǎng)關(guān)地址等屬性，可能帶來的網(wǎng)絡(luò)沖突或非法外聯(lián)的風(fēng)險(xiǎn)。(22)保留IP地址IPIPMACIPIP地址。(23)屏幕保護(hù)策略1) 可以通過下發(fā)屏保策略，啟用或關(guān)閉終端屏保功能。可以設(shè)置屏保Windows北京啟明星辰信息安全技術(shù)有限公司 第35頁可以設(shè)置啟用屏保的等待時(shí)間。2)可以禁止使用Windows歡迎界面，并禁止使用快速切換用戶。(24)終端共享資源管控1)支持對(duì)終端的共享資源進(jìn)行控制和管理，支持的共享資源包括目錄目錄、打印機(jī)共享和IPC共享。2)可以檢測并上報(bào)用戶電腦上存在有哪些共享資源，并可設(shè)定是否允許開啟共享資源。對(duì)于不允許開啟共享資源的終端，可以下發(fā)策略強(qiáng)制取消已經(jīng)設(shè)置了的共享資源。(25)安全基線自動(dòng)檢測和修復(fù)1) 限制用戶網(wǎng)絡(luò)訪問，并給出修復(fù)提示。(26)分布式終端帶寬管理1)在客戶端上實(shí)時(shí)監(jiān)控每個(gè)進(jìn)程的流量，實(shí)時(shí)自動(dòng)抑制異常流量，自動(dòng)限制超過閾值的流量，將蠕蟲病毒或非業(yè)務(wù)流量對(duì)網(wǎng)絡(luò)的影響減到最小。對(duì)不同的進(jìn)程能夠設(shè)置不同的流量限制規(guī)則。2)在客戶端上實(shí)時(shí)監(jiān)控每個(gè)遠(yuǎn)端端口、本端端口、目標(biāo)地址的流量，實(shí)時(shí)自動(dòng)抑制異常流量，自動(dòng)限制超過閾值的流量，將蠕蟲病毒或非業(yè)務(wù)流量對(duì)網(wǎng)絡(luò)的影響減到最小。對(duì)不同端口和地址能夠設(shè)置不同的流量限制規(guī)則。3)能夠設(shè)置基于帶寬絕對(duì)值的流量控制，能夠設(shè)置基于帶寬相對(duì)值的流量控制，能夠設(shè)置終端總帶寬。4)能夠設(shè)置某些進(jìn)程、端口、目標(biāo)地址的流量不計(jì)入總帶寬。5) 能夠?qū)δ承┻M(jìn)程、端口、目標(biāo)地址的流量設(shè)為不限制流量的類型。6) IP地址和用戶下發(fā)流量控制策略。(27)終端主動(dòng)防御1) TCPTCP同時(shí)連接數(shù)和單位并禁止新的連接。2) TCPTCP連接行為不予北京啟明星辰信息安全技術(shù)有限公司 第36頁限制。3) UDP的發(fā)包行為，保證客戶端上每個(gè)進(jìn)程在單位時(shí)間內(nèi)發(fā)包該進(jìn)程的網(wǎng)絡(luò)訪問并告警。4) UDPUDP不予限制。5) IPIP地址的數(shù)據(jù)包。6) 發(fā)現(xiàn)隱藏進(jìn)程的網(wǎng)絡(luò)訪問，攔截并告警。7) 為，并通過統(tǒng)計(jì)報(bào)表了解總體情況和趨勢。8) 基于客戶端進(jìn)程、IP馬的傳播路徑，杜絕非授權(quán)訪問。(28)ARP欺騙主動(dòng)防御1) ARPARPARP欺騙者，也不會(huì)成為受騙者。2) ARP5答包，防止可能的欺騙應(yīng)答。3) MACMAC地址。4) ARP欺騙定位。(29)終端訪問控制1)能夠?qū)K端訪問的目的地址、服務(wù)以及發(fā)起訪問的進(jìn)程進(jìn)行管理，只有允許的進(jìn)程才能對(duì)指定目的地址和服務(wù)進(jìn)行訪問。2)能夠?qū)K端接受訪問的源地址、接受訪問的服務(wù)以及接受訪問的進(jìn)程進(jìn)行管理，只有允許的進(jìn)程才能進(jìn)行指定的服務(wù)，接受指定的訪問者。3) PINGPINGPING操作。4) 如果安全狀態(tài)認(rèn)證不符合要求，能夠禁止終端進(jìn)程訪問網(wǎng)絡(luò)，或者北京啟明星辰信息安全技術(shù)有限公司 第37頁接受訪問。(30)安全域管理無須對(duì)現(xiàn)有的網(wǎng)絡(luò)做任何調(diào)整和改變，直接對(duì)所有管理的客戶端按照不同部門或不同的安全防護(hù)等級(jí)標(biāo)準(zhǔn)，劃分安全域，并針對(duì)每個(gè)安全域或安全域中(31)非法外聯(lián)控制1)簡明可靠的多網(wǎng)卡非法外聯(lián)管理，可以設(shè)定只有與策略系統(tǒng)通訊的網(wǎng)卡才能發(fā)送和接收數(shù)據(jù)，禁止其他任何網(wǎng)卡發(fā)送和接收數(shù)據(jù)，包括多網(wǎng)卡、撥號(hào)連接，VPN連接等。避免通過注冊(cè)表設(shè)置禁用多網(wǎng)卡、撥號(hào)連接而易被破解。2)能夠自動(dòng)識(shí)別物理網(wǎng)卡和虛擬網(wǎng)卡，并可由用戶自主選擇通訊需要的網(wǎng)卡。3) 能夠檢測到終端撥號(hào)行為，能夠識(shí)別撥號(hào)類型，電話、PPoE和WindowsVPN（此項(xiàng)64位操作系統(tǒng)）4)能夠?qū)K端的非法外聯(lián)行為進(jìn)行監(jiān)控和告警，一旦探測發(fā)現(xiàn)終端發(fā)生非法外聯(lián)，即可根據(jù)設(shè)定的告警對(duì)象和告警方式，進(jìn)行告警，直至非法外聯(lián)行為中止后才會(huì)解除。5)支持多種方式對(duì)非法外聯(lián)行為進(jìn)行審計(jì)和告警，告警方式包括：手機(jī)短信、電子郵件和聲音驚醒告警，支持同時(shí)對(duì)多個(gè)用戶發(fā)送告警信息。6)能夠?qū)K端異常路由進(jìn)行審計(jì)，發(fā)現(xiàn)可能的私接專線。(32)IP管理1) IPIPMACIP地址。2) MAC-IP綁定、User-IPIP地址時(shí)，系統(tǒng)將自動(dòng)修正。北京啟明星辰信息安全技術(shù)有限公司 第38頁3) User-IP-MAC綁定，確保用戶只能在指定的計(jì)算機(jī)上登錄，否則將視為不符合安全狀態(tài)，阻斷網(wǎng)絡(luò)訪問。4) DNSMAC-IP、User-IP組合認(rèn)證自動(dòng)修改IP地址時(shí)生效。(33)IE設(shè)置1) IE了管理員的維護(hù)管理工作。2) IE信站點(diǎn)列表中移除，減輕管理員管理工作。(34)終端實(shí)時(shí)操控1)能夠針對(duì)終端進(jìn)行點(diǎn)對(duì)點(diǎn)操作，實(shí)時(shí)查詢終端的服務(wù)運(yùn)行情況，并可以通過管理控制臺(tái)遠(yuǎn)程對(duì)服務(wù)進(jìn)行啟動(dòng)、停止和重啟，也可以遠(yuǎn)程設(shè)置服務(wù)的啟動(dòng)方式，方便管理員對(duì)在線終端進(jìn)行遠(yuǎn)程維護(hù)。2) 并可以通過管理控制臺(tái)遠(yuǎn)程結(jié)束進(jìn)程，方便管理員對(duì)在線終端進(jìn)行遠(yuǎn)程維護(hù)。3)能夠針對(duì)終端進(jìn)行點(diǎn)對(duì)點(diǎn)操作，實(shí)時(shí)查詢終端的網(wǎng)絡(luò)連接狀態(tài)，并可以通過管理控制臺(tái)斷開進(jìn)程的網(wǎng)絡(luò)連接，方便管理員對(duì)在線終端進(jìn)行遠(yuǎn)程維護(hù)。4)能夠針對(duì)終端進(jìn)行點(diǎn)對(duì)點(diǎn)操作，實(shí)時(shí)查詢終端的補(bǔ)丁安裝情況，方便管理員對(duì)在線終端進(jìn)行遠(yuǎn)程維護(hù)。5) IE制定的控件，提高終端網(wǎng)絡(luò)訪問的安全性。6) 密碼，鎖屏后可以通過輸入解鎖密碼進(jìn)行屏幕解鎖。7) 理員對(duì)在線終端進(jìn)行遠(yuǎn)程維護(hù)。8) 維護(hù)。北京啟明星辰信息安全技術(shù)有限公司 第39頁(35)多因素組合認(rèn)證1) 接入認(rèn)證的內(nèi)容包括用戶名/密碼、IP地址、MAC全狀態(tài)、接入有效期等一種或多種條件的組合認(rèn)證。2) 支持將終端數(shù)字證書（U-key）PKI/CA系統(tǒng)聯(lián)動(dòng)進(jìn)行應(yīng)用準(zhǔn)入認(rèn)證。3) 需輸入用戶名、密碼即可通過認(rèn)證并訪問網(wǎng)絡(luò)和應(yīng)用。4)支持對(duì)找終端安全狀態(tài)進(jìn)行認(rèn)證，如果終端安全狀態(tài)不符合安全策略，能夠禁止終端訪問受保護(hù)的應(yīng)用、服務(wù)器或網(wǎng)絡(luò)資源，也可以對(duì)安全狀態(tài)不符合安全策略的終端只進(jìn)行提示，但不對(duì)網(wǎng)絡(luò)訪問進(jìn)行攔截。(36)基于Windows平臺(tái)1)能夠針對(duì)基于Windows操作系統(tǒng)平臺(tái)的各類應(yīng)用系統(tǒng)訪問的終端實(shí)施準(zhǔn)入控制，確保只有合法和安全的終端才能對(duì)應(yīng)用進(jìn)行訪問。2)可以對(duì)使用瀏覽器進(jìn)行訪問的終端，通過瀏覽器進(jìn)行友好提示，引導(dǎo)終端用戶完成客戶端的自助安裝。(37)基于DNS應(yīng)用1) DNSDNS域名解，對(duì)網(wǎng)絡(luò)進(jìn)行訪問。2) 導(dǎo)終端用戶完成客戶端的自助安裝。3) Pass-through模式（在線模式）DNS應(yīng)用準(zhǔn)入，無需增加額DNS解析后訪問網(wǎng)絡(luò)的終端執(zhí)行準(zhǔn)入控制。4) Pass-by模式（旁路監(jiān)聽模式）DNS應(yīng)用準(zhǔn)入，不改變網(wǎng)絡(luò)DNS網(wǎng)關(guān)單點(diǎn)故障。(38)Web準(zhǔn)入1) WebWebWeb應(yīng)用進(jìn)行訪問。北京啟明星辰信息安全技術(shù)有限公司 第40頁2) WebWeb應(yīng)用系統(tǒng)。3)可以對(duì)使用瀏覽器進(jìn)行訪問的終端，通過瀏覽器進(jìn)行友好提示，引導(dǎo)終端用戶完成客戶端的自助安裝。(39)基于IIS的Web準(zhǔn)入1)能夠?qū)贗IS構(gòu)建的Web應(yīng)用系統(tǒng)上，對(duì)來訪的終端執(zhí)行準(zhǔn)入控制，確保只有合法和安全的終端才能訪問到Web應(yīng)用。2)可以對(duì)使用瀏覽器進(jìn)行訪問的終端，通過瀏覽器進(jìn)行友好提示，引導(dǎo)終端用戶完成客戶端的自助安裝。(40)基于ISA代理1)能夠針對(duì)基于ISA應(yīng)用代理服務(wù)器訪問網(wǎng)絡(luò)的終端實(shí)施準(zhǔn)入控制，確保只有合法和安全的終端才能通過ISA對(duì)網(wǎng)絡(luò)進(jìn)行訪問。2)ISAISAISA將被拒絕訪問。(41)Exchange郵件1) ExchangeExchange收發(fā)郵件。2) OutlookOutlookExpress客戶端訪問郵件系統(tǒng)的終端，進(jìn)行友好提示，引導(dǎo)終端用戶完成客戶端的自助安裝。3) 導(dǎo)終端用戶完成客戶端的自助安裝。(42)ARP準(zhǔn)入1) ARPARP受控終端的網(wǎng)絡(luò)通訊。(43)客戶端準(zhǔn)入1)受控終端能夠?qū)碓L的終端進(jìn)行準(zhǔn)入控制認(rèn)證，保證只有合法的終端才能夠?qū)ΡＷo(hù)的終端進(jìn)行訪問，有效保護(hù)內(nèi)部終端不會(huì)被非法掃描或訪問。北京啟明星辰信息安全技術(shù)有限公司 第41頁2) 問，避免因終端存在安全隱患，可能帶來的安全風(fēng)險(xiǎn)。(44)選擇性阻斷1)身能不依賴任何其他設(shè)備和系統(tǒng)獨(dú)立執(zhí)行網(wǎng)絡(luò)訪問阻斷。2)緊急業(yè)務(wù)的網(wǎng)絡(luò)訪問，而允許其他緊急業(yè)務(wù)的網(wǎng)絡(luò)訪問。3) 802.1X時(shí)，選擇性阻斷技術(shù)保證客戶端安全狀態(tài)的改變不會(huì)VLAN和網(wǎng)絡(luò)的性能4) EoUACL而影響交換機(jī)和網(wǎng)絡(luò)的性能。(45)多因素組合認(rèn)證1) 接入認(rèn)證的內(nèi)容包括用戶名/密碼、IP地址、MAC全狀態(tài)、接入有效期等一種或多種條件的組合認(rèn)證。2) 支持將終端數(shù)字證書（U-key）PKI/CA系統(tǒng)聯(lián)動(dòng)進(jìn)行網(wǎng)絡(luò)準(zhǔn)入認(rèn)證。3) 需輸入用戶名、密碼即可通過接入認(rèn)證并接入網(wǎng)絡(luò)。4) 802.1xMACMACMAC的終端通過網(wǎng)絡(luò)準(zhǔn)入認(rèn)證MAC實(shí)時(shí)認(rèn)證和授權(quán)，方便對(duì)新接入內(nèi)網(wǎng)的終進(jìn)行精確和靈活的管理。5) 802.1xGUID認(rèn)證管理。GUIDGUID認(rèn)證，確保只有合GUID北京啟明星辰信息安全技術(shù)有限公司 第42頁便對(duì)新接入內(nèi)網(wǎng)的終端進(jìn)行精確和靈活的管理。6) 支持對(duì)找終端安全狀態(tài)進(jìn)行認(rèn)證，如果終端安全狀態(tài)不符合安全策略，能夠禁止終端接入內(nèi)網(wǎng)，或者自動(dòng)將終端接入指定的GuestVLAN，也可以對(duì)安全狀態(tài)不符合安全策略的終端只進(jìn)行提示，但不對(duì)網(wǎng)絡(luò)訪問進(jìn)行攔截。(46)基于802.1x的網(wǎng)絡(luò)準(zhǔn)入控制1) 802.1x絡(luò)準(zhǔn)入，對(duì)接入的計(jì)算機(jī)及接入的用戶進(jìn)行認(rèn)證。支持華為、H3C、3Com、Cisco等主流網(wǎng)絡(luò)設(shè)備。2) 接入認(rèn)證的內(nèi)容包括用戶名/密碼、IP地址、MAC全狀態(tài)、接入有效期等一種或多種條件的組合認(rèn)證。3) 支持將終端數(shù)字證書（U-key）PKI/CA系統(tǒng)聯(lián)動(dòng)進(jìn)行網(wǎng)絡(luò)準(zhǔn)入認(rèn)證。4) 需輸入用戶名、密碼即可通過接入認(rèn)證并接入網(wǎng)絡(luò)。5) VLANMACVLAN。6)控和安全。7)MACMAC接入端口。8) 能夠通過GUEST VLAN、動(dòng)態(tài)VLAN，自動(dòng)隔離沒有安裝客戶端的計(jì)算機(jī)或安全狀態(tài)不符合要求的計(jì)算機(jī)，并進(jìn)行安全修復(fù)。9) Port-basedMAC-based模式的認(rèn)證混合使HUB連接的終端執(zhí)行準(zhǔn)入控制可實(shí)現(xiàn)準(zhǔn)入控制。10)802.1xMAC認(rèn)證管理。通過北京啟明星辰信息安全技術(shù)有限公司 第43頁可信MAC認(rèn)證，確保只有合法的MAC的終端通過網(wǎng)絡(luò)準(zhǔn)入認(rèn)證接入內(nèi)網(wǎng)。同時(shí)，系統(tǒng)支持管理員在線對(duì)申請(qǐng)接入的終端，進(jìn)行可信MAC實(shí)時(shí)認(rèn)證和授權(quán)，方便對(duì)新接入內(nèi)網(wǎng)的終進(jìn)行精確和靈活的管理。11)802.1xGUID認(rèn)證管理。GUIDGUID認(rèn)證，確保只有合GUID便對(duì)新接入內(nèi)網(wǎng)的終端進(jìn)行精確和靈活的管理。12)支持對(duì)找終端安全狀態(tài)進(jìn)行認(rèn)證，如果終端安全狀態(tài)不符合安全策略，能夠禁止終端接入內(nèi)網(wǎng)，或者自動(dòng)將終端接入指定的GuestVLAN，也可以對(duì)安全狀態(tài)不符合安全策略的終端只進(jìn)行提示，但不對(duì)網(wǎng)絡(luò)訪問進(jìn)行攔截。13)MACGUIDIP任一條件進(jìn)網(wǎng)絡(luò)。14)802.1xMAC認(rèn)證例外，能夠只認(rèn)證接入設(shè)備的MACMACMAC免認(rèn)證列表中，則允許該設(shè)MAC認(rèn)證例外，方便用戶在啟用基于802.1x網(wǎng)絡(luò)準(zhǔn)入認(rèn)證后，能夠?qū)μ厥饨K端或網(wǎng)絡(luò)設(shè)備，例如特定用戶電腦、網(wǎng)絡(luò)打印機(jī)、IP保證特?cái)?shù)設(shè)備正常接入和訪問網(wǎng)絡(luò)。(47)IP802.1x網(wǎng)絡(luò)準(zhǔn)入控制1) 802.1x網(wǎng)絡(luò)準(zhǔn)入認(rèn)證完全一樣的功能。2) 802.1xIPDHCPIP北京啟明星辰信息安全技術(shù)有限公司 第44頁地址；客戶端處于歸屬網(wǎng)段時(shí)，只能使用指定的IP地址。(48)基于EoU的網(wǎng)絡(luò)準(zhǔn)入控制1) NACEoUACL到交換機(jī)中，如果用戶終端無客戶端程序則重定向用URL訪問到指定的網(wǎng)頁進(jìn)行安裝。2) 接入認(rèn)證的內(nèi)容包括用戶名/密碼、IP地址、MAC全狀態(tài)、接入有效期等一種或多種條件的組合認(rèn)證。3) 支持將終端數(shù)字證書（U-key）PKI/CA系統(tǒng)聯(lián)動(dòng)進(jìn)行網(wǎng)絡(luò)準(zhǔn)入認(rèn)證。4) EOUMACMACMAC的終端通過網(wǎng)絡(luò)準(zhǔn)入認(rèn)證接入內(nèi)網(wǎng)。同時(shí)，系統(tǒng)支持管理員在線對(duì)申請(qǐng)接入的終端，進(jìn)行可信MAC實(shí)時(shí)認(rèn)證和授權(quán)，方便對(duì)新接入內(nèi)網(wǎng)的終進(jìn)行精確和靈活的管理。5) EoUEoU用戶認(rèn)證技EoUEoUACLURL訪問。6) MACACL的訪問權(quán)限。7) 引導(dǎo)終端用戶完成客戶端的自助安裝。(49)無線網(wǎng)絡(luò)準(zhǔn)入控制1)支持無線網(wǎng)絡(luò)的網(wǎng)絡(luò)準(zhǔn)入控制，能夠接管所有支持WPA企業(yè)版的無線接入設(shè)備類型，對(duì)通過無線網(wǎng)絡(luò)接入的終端和用戶進(jìn)行準(zhǔn)入控制認(rèn)證。2)支持對(duì)通過無線接入的終端和用戶進(jìn)行多因素身份認(rèn)證，認(rèn)證的身份條件包括：用戶名/密碼、IP地址、MAC地址、接入有效期等多種條件中的一種或多種條件的組合。3)支持僅驗(yàn)證客戶端的準(zhǔn)入控制，只要終端上安裝了客戶端，用戶無北京啟明星辰信息安全技術(shù)有限公司 第45頁需輸入用戶名、密碼即可通過接入認(rèn)證并接入網(wǎng)絡(luò)。4) MACMAC認(rèn)證，確保只有合法MAC的終端通過無線網(wǎng)絡(luò)準(zhǔn)入認(rèn)證接入內(nèi)網(wǎng)。同時(shí)，系統(tǒng)支持管MAC5) GUID認(rèn)證管理。GUIDGUID認(rèn)證，確保只有合法的終端才能才能通過無線網(wǎng)絡(luò)準(zhǔn)入認(rèn)證接入內(nèi)網(wǎng)。同時(shí)，系統(tǒng)支持管理員在線對(duì)申請(qǐng)接入的終端，GUID實(shí)時(shí)認(rèn)證和授權(quán)，方便對(duì)新接入內(nèi)網(wǎng)的終端進(jìn)行精確和靈活的管理。(50)資產(chǎn)管理1) 能