河南移动IP网带外网管产品技术规范书

/粘贴缓冲。

每个端口的并发用户数：每个端口可多达4个用户同时访问，即支持4位或4位以上的用户通过本系统同时登陆一台网络设备并进行同时操作；（本条需要在应答书中结合和4A系统联动方案进行详细说明）

协作控制和诊断：支持“加密的即时消息”功能：用户可在设备管理、故障诊断和故障排除活动中安全地进行协作。

用户权限：限定用户、限定设备和限定时间的访问控制；

3.4 安全功能需求：

支持外部认证／授权：支持RADIUS，LDAP，TACACS+,Kerberos V.5及Active Directory?;并支持主备验证服务器。

加密安全： SSL 、RC4、AES加密。

用户认证安全：本地数据库，远程认证，支持用户定义的和可安装的安全证书。

3.5 监控告警功能需求：

端口链路状态检测和告警：支持图形化的端口状态告警显示。

端口监控触发告警：每个端口可定义14个关键字，最多40个字节支持，支持E-mail告警。

用户操作记录：支持用户操作时的端口输入输出信息和键盘输入信息的加密记录功能。

其他：支持SNMP，SYSLOG，NTP，ACL。

3.6 安全管理需求：

IP带外管理系统自身必须有完善的系统安全管理能力，能有效的对用户帐号权限进行控制，同时具备详细的日志记录，以备查询。 1）用户帐号管理：

a) 用户验证管理方面，应参照塞班斯法案为依据，使用户帐号规范、严谨、

- 7-

可靠、安全。

b) 支持业内通用成熟的验证服务器：RADIUS,LDAP/AD, TACACS+。。。 c) 支持RSA的双因素认证； 2）帐号级别和权限：

应用软件系统系统账号基于角色授权模式进行设置并区分权限级别，各级别账号的权限可进行细化，并能够进行配置（增加、删除），角色种类再满足管理模式的前提下，尽可能减少数量，实现更有效的管理。

应用软件系统系统应该至少能够设置以下级别账号： ? 系统管理级

该级别账号默认权限为：可对系统配置、账号等系统最核心信息进行更改，对口令信息可进行重置 ? 维护级

该级别账号默认权限为：可对网络信息进行浏览，并可进行有限的配置修改以完成日常故障处理和维护操作等，但不能修改一些敏感的配置信息，如其他帐号和口令信息等 ? 普通浏览级

该级别账号默认权限为：可对网络信息进行浏览，或进行报表获取制作等，不能进行配置修改,一般用于日常监控 ? 第三方级

该级别账号由系统临时生成，有效期较短，供第三方厂家人员临时登陆时使用，使用完毕后作废。该级别账号默认权限为普通浏览级，有必要提升权限时可由系统管理级账号进行权限修改。 3）帐号配置：

各级别账号均能按照个人设置用户帐号，每个账号应至少包括以下属性：所属级别、账号有效期、权限类型（如以角色代码表示）、口令复杂度和账号描述。

系统管理员应能新增、删除或编辑账号，可对账号具体属性进行设置。其中新增账号默认权限由该账号所属角色设定。不同账号级别属性由系统管理员进行配置。 4）用户安全管理：

- 8-

a) 可定义单个帐号登录规则 b) 支持单个帐号单人登录 c) 支持单个帐号多人登录 d) 可定义帐号尝试登陆失败次数

e) 可定义登陆失败帐号锁死策略（具有锁死告警窗口弹出功能） f) 支持基于时间的锁死帐号解锁，可灵活定义解锁时间 g) 支持管理员手动解锁，管理员可收到帐号锁死邮件通知 5）用户密码管理：

新增账号的默认口令由系统随机生成。

口令长度至少6位，至少包含数字、字母大小写和特殊符号四种类型。系统具备密码强制检查功能，能自动拒绝创建不符合口令规则的口令。用户第一次登录时，需要修改账号的默认口令。

口令到期（至少每90天）后，系统能够强制用户进行修改，并与最近5次内的口令（或者它们的密文）进行比较，确保更新后的口令不和最近5次内使用口令相同。

3.7 操作日志记录和审计：

带外管理系统自身必须能提供完整日志、报告记录，同时设备必须支持标准的SYSLOG协议。

1. 带外管理系统能提供的日志报告记录内容应不少于以下方面：

a) 活动报告；活动的用户、活动的端口、访问的设备。 b) 配置报告：用户/用户组报告、软件版本报告、资产管理报告 c) 管理维护报告：审记报告、错误日志、端口状态报告.

2. 要求所有报告都可以直接打印输出或者另存到指定本地电脑（CSV格式） 3. 带外网管设备都支持业界标准的SYSLOG协议，可将所有系统日志上传到日志

服务器，实现对日志的整合管理 4. 要求支持对用户操作的行为审计：

a) 串口信息的输入记录（用户操作的键盘记录）

- 9-

b) 串口信息的输出记录

3.8 系统平台和结构技术要求

1）通用平台支持：

带外管理系统支持在主流通用平台的使用如Windows,Linux等等 2）用户界面功能要求：

中文操作界面：多语言结构，方便用户在不同的语言界面中灵活切换；界面友好：具备安装配置向导，在线帮助提示功能；

可定制界面：用户可自定义登陆界面的企业徽标；可自定义登陆之前的安全提示服务协议；可在登陆后的操作界面上定义和发布当日通知信息。

3） BS/CS结构支持：

系统的管理工作站支持无须安装客户端的WEB方式和安装客户端软件的非WEB方式，为管理者的使用提供便利，支持多平台的管理工作(基于跨平台JAVA的软件)，支持Linux, Macintosh, Sun Solaris和 Windows平台的浏览器，支持Firefox, Mozilla, Netscape, Safari, IE众多浏览器。

对于专职维护人员可以安装客户端软件，方便操作，同时对于管理员的临时紧急访问，如在异地，又可以通过浏览器的方式方便快捷。

3.9 系统可管理性要求

1）设备监控网管功能：

系统设备要支持通用的监控网络接口,以便管理者能够对系统整个的运行状况进行时实的监控,本项目要求采用SNMP协议来传输网管信息；

系统应当提供带外网管系统自身的管理平台，以实现告警、管理、监控等网管功能； 2）告警功能：

系统支持全面完善的告警功能，以保证对系统安全有效的管理、维护和使用 1．支持的告警形式：

a) 对串口控制和电源控制的E-mail和短信告警（须有短信网关支持）

- 10-

河南移动IP网带外网管产品技术规范书

下载：河南移动IP网带外网管产品技术规范书.doc

最近浏览

最新搜索

站内搜索