指标项

要求

管理方式

B/S方式，采用HTTPS方式远程安全管理，无需安装管理客户端；

设备部署

支持旁路接入模式，设备部署不影响原有网络结构；

性能参数

1、2U标准机架，内存≥8GB，支持RAID 0+1，可用存储容量：2T，4个10/100/1000M电口，可扩展至8个10/100/1000M电口;

2、吞吐量≥3.5Gbps，峰值审计事件入库速度≥30000条/秒，存储数据为10亿条时查询速度<30秒；日志总存储量≥10亿条；平均无故障时间≥6万小时；

3、支持扩展外部网络存储(IP SAN、NAS、DAS、磁盘阵列等；

审计对象范围

1、全面支持DB2、Oracle、MSSQL，MYSQL、Informix、SyBase数据库各版本的访问行为审计；

审计功能

1、审计系统支持以syslog、snmp trap、opsec lea、WMI等标准协议接口采集各类日志数据；

2、审计系统自动将采集的操作语句解析为查询、增改、删除、过程等类型呈现；

3、审计记录包括行为发生时间、员工工号、操作终端主机名及IP地址、终端工具名称、服务器端主机名及IP地址、数据库名、表名、SQL语句、返回结果等关键信息；

4、提供工号信息接口，将数据库操作语句与操作者工号建立关联，实现操作者实名认证；

※5、系统支持对未经许可的数据库客户端工具直接访问数据库的行为实现阻断功能；（提供产品页面截图证明）

※6、支持配置“统方”操作行为解析模型，灵活区别正常操作和异常操作事件，支持依据语句解析模型，以操作频率为条件实现阻断功能；（提供产品页面截图证明）

※7、支持将可疑的数据库查询语句以在线的方式反显执行，并即时在线查看返回结果；（提供产品页面截图证明）

8、支持将异常操作的完整会话信息进行前后操作语句关联查看分析；

9、支持分中心部署方式，能够配置分支数据集中上传至中心机；

实时分析功能

1、实时窗口以多种图形方式展示流量分析、事件分析、告警分析及综合分析结果；

2、流量分析：以业务系统工号为基线，统计分析当天某段时间（自定义）内的操作流量；

3、事件分析：依据安全策略，以时间为基线，统计异常事件的发生数量和趋势；

4、告警分析：依据安全策略，以时间为基线，统计严重告警事件的发生数量和趋势；

5、综合分析：以数据库操作类型为基线统计各类操作状况，并统计审计系统资源以及系统操作的状况；

6、实时操作数据以不同等级（丢弃、过滤、安全、重要、事件、告警）进行分类显示；

7、实时操作语句直接以查询、增改、删除、过程等操作类型分类显示；

审计分析报告

1、系统默认报告数量不少于百种；

2、以图(柱、曲线、饼等)，统计、明细数据的方式表现；

3、支持动态\静态（日报、周报、月报）两种系统生成方式；

4、支持报告模版创建、修改、删除功能；

5、支持报告的邮件转发、生成提醒功能；支持多人邮件接收；

6、支持自定义审计报告；

7、支持多层嵌套报告；

8、支持报告自定义归类；

9、支持导出html、Excel、PDF；

10、报告名称以树型菜单统一高效管理；

查询检索

1、日志数据全字段检索至少满足500万条<5秒；

2、支持多条件组合查询方式；

3、支持逻辑运算符(或、与、非)；

4、支持正则表达式；

5、支持IP、字符、数字、日期、时间等日志字段；

6、支持查询模版创建、修改、删除功能；

7、支持历史查询任务列表的查看；

8、支持查询结果导出；

9、支持日志字段自定义选择显示；

分析策略

1、全局策略：支持以服务器IP、数据库类型、数据库表、操作类型（查询、增改、删除等）设定策略，采集（过滤）核心关注（无关紧要）的数据，将操作数据进行分类（安全、重要、事件、告警等）入库；

2、模型分析策略：支持以入库的操作语句为原型，根据获取的语句内容片段、数据库表名、条件字段、操作频率以及结果影响行数设定分析策略（黑白名单），区分正常操作和异常告警操作；

3、三层业务策略：支持通过该策略配置，识别数据库三层架构中用户信息；实时规则策略：支持根据日志字段为条件预设置分析策略；

4、系统内置策略模板，可以直接加载生效；

5、支持以告警页面、短信、邮件、SYSLOG、SNMP等各种方式呈现告警信息；

备份归档

1、支持以日志属性、日志类型、存储周期的方式选择备份；

2、支持归档日志恢复导入；

3、支持自动与手动两种归档策略；

4、支持本地、FTP上传等归档方式；

系统管理

1、支持审计系统帐号、组管理（添加、修改、删除）；

2、支持资产管理，即所有采集日志源管理维护；

3、支持页面升级；

4、支持页面重启、关机；

5、支持时间同步设置；

6、支持系统配置导入、导出；

系统自身安全

1、系统内置安全防火墙；支持控制访问审计主机范围；

2、管理接口支持串口或电口的方式管理；

3、管理界面与其他功能模块分离；

日志数据安全

1、审计日志数据以文件方式存储；

2、审计日志加密导出审计系统；

3、支持所有审计管理员操作审计系统的动作进行审计；

4、支持记录审计系统之间的物理、逻辑状态变化；

日志权限

1、审计员只限于操作权限设置范围内的日志数据，无权限日志数据透明；

2、支持日志类型权限设置；

3、支持IP地址权限设置；

4、支持页面功能模块权限设置；

其他要求

※1、系统支持与同品牌的运维审计系统（堡垒机）联动，可实时查看运维操作审计事件，实现信息系统全方位审计；（提供产品页面截图证明）