河南移动IP网带外网管产品技术规范书

/粘贴缓冲。

每个端口的并发用户数:每个端口可多达4个用户同时访问,即支持4位或4位以上的用户通过本系统同时登陆一台网络设备并进行同时操作;(本条需要在应答书中结合和4A系统联动方案进行详细说明)

协作控制和诊断:支持“加密的即时消息”功能:用户可在设备管理、故障诊断和故障排除活动中安全地进行协作。

用户权限:限定用户、限定设备和限定时间的访问控制;

3.4 安全功能需求:

支持外部认证/授权: 支持RADIUS,LDAP,TACACS+,Kerberos V.5及Active Directory?;并支持主备验证服务器。

加密安全: SSL 、RC4、AES加密。

用户认证安全:本地数据库,远程认证,支持用户定义的和可安装的安全证书。

3.5 监控告警功能需求:

端口链路状态检测和告警:支持图形化的端口状态告警显示。

端口监控触发告警:每个端口可定义14个关键字,最多40个字节支持,支持E-mail告警。

用户操作记录:支持用户操作时的端口输入输出信息和键盘输入信息的加密记录功能。

其他:支持SNMP,SYSLOG,NTP,ACL。

3.6 安全管理需求:

IP带外管理系统自身必须有完善的系统安全管理能力,能有效的对用户帐号权限进行控制,同时具备详细的日志记录,以备查询。 1)用户帐号管理:

a) 用户验证管理方面,应参照塞班斯法案为依据,使用户帐号规范、严谨、

- 7-

可靠、安全。

b) 支持业内通用成熟的验证服务器:RADIUS,LDAP/AD, TACACS+。。。 c) 支持RSA的双因素认证; 2)帐号级别和权限:

应用软件系统系统账号基于角色授权模式进行设置并区分权限级别,各级别账号的权限可进行细化,并能够进行配置(增加、删除),角色种类再满足管理模式的前提下,尽可能减少数量,实现更有效的管理。

应用软件系统系统应该至少能够设置以下级别账号: ? 系统管理级

该级别账号默认权限为:可对系统配置、账号等系统最核心信息进行更改,对口令信息可进行重置 ? 维护级

该级别账号默认权限为:可对网络信息进行浏览,并可进行有限的配置修改以完成日常故障处理和维护操作等,但不能修改一些敏感的配置信息,如其他帐号和口令信息等 ? 普通浏览级

该级别账号默认权限为:可对网络信息进行浏览,或进行报表获取制作等,不能进行配置修改,一般用于日常监控 ? 第三方级

该级别账号由系统临时生成,有效期较短,供第三方厂家人员临时登陆时使用,使用完毕后作废。该级别账号默认权限为普通浏览级,有必要提升权限时可由系统管理级账号进行权限修改。 3)帐号配置:

各级别账号均能按照个人设置用户帐号,每个账号应至少包括以下属性:所属级别、账号有效期、权限类型(如以角色代码表示)、口令复杂度和账号描述。

系统管理员应能新增、删除或编辑账号,可对账号具体属性进行设置。其中新增账号默认权限由该账号所属角色设定。 不同账号级别属性由系统管理员进行配置。 4)用户安全管理:

- 8-

a) 可定义单个帐号登录规则 b) 支持单个帐号单人登录 c) 支持单个帐号多人登录 d) 可定义帐号尝试登陆失败次数

e) 可定义登陆失败帐号锁死策略(具有锁死告警窗口弹出功能) f) 支持基于时间的锁死帐号解锁,可灵活定义解锁时间 g) 支持管理员手动解锁,管理员可收到帐号锁死邮件通知 5)用户密码管理:

新增账号的默认口令由系统随机生成。

口令长度至少6位,至少包含数字、字母大小写和特殊符号四种类型。 系统具备密码强制检查功能,能自动拒绝创建不符合口令规则的口令。 用户第一次登录时,需要修改账号的默认口令。

口令到期(至少每90天)后,系统能够强制用户进行修改,并与最近5次内的口令(或者它们的密文)

>>展开全文<<
12@gma联系客服:779662525#qq.com(#替换为@) 苏ICP备20003344号-4