便攜式安全運維裝置
認證管理
支持采用靜態(tài)口令、生物特征信息方式實(shí)現人員認證,并支持兩種因子組合認證方式;支持采用USB Key(安全專(zhuān)用密盾內置數字證書(shū))方式,利用數字證書(shū)實(shí)現運維終端與便攜式運維網(wǎng)關(guān)之間的認證;。
權限管理
支持三權分立的角色管理方式,根據不同權限可分為管理員、工作負責人和審計員
1)系統管理員權限
a.系統管理員具備賬號配置權限,包含配置工作負責人、審計管理員賬號;
b.系統管理員具備高風(fēng)險指令配置、高危端口黑名單配置權限
c.系統管理員具備軟件升級、惡意代碼庫升級等權限。
d. d.支持對二次授權默認超時(shí)時(shí)間、網(wǎng)關(guān)設備名稱(chēng)等基礎設備參數配置權限。
2)工作負責人權限
a.工作負責人具備啟動(dòng)、結束運維任務(wù)等權限;
b.工作負責人具備對現場(chǎng)運維工作二次授權的權限。
3)審計管理員權限
a.審計管理員具備查看運維工作記錄、設備運行日志等權限;
b.審計管理員具備運維工作記錄導出權限;
c.審計管理員具備基于工單的審計信息管理能力。
USB Key
USB Key應內置數字證書(shū)及Agent軟件安裝程序;Agent軟件支持違規外聯(lián)檢測、屏幕錄制等功能;Agent軟件支持與移動(dòng)運維安全裝置的心跳檢測,心跳間隔1秒,心跳檢測失敗時(shí)支持斷開(kāi)運維通信;USB Key及Agent軟件支持常用Windows、Linux系統。
支持通過(guò)便攜式運維網(wǎng)關(guān)對Usb Key進(jìn)行綁定管理;
支持Usb Key在便攜式運維網(wǎng)關(guān)上綁定及解綁。
USB Key中Agent軟件應支持對被運維對象的連通性測試功能。
網(wǎng)絡(luò )接口運維模式
便攜式運維網(wǎng)關(guān)支持運維時(shí)所用協(xié)議的通信轉發(fā),支持Telnet、FTP協(xié)議進(jìn)行實(shí)時(shí)解析;支持透明代理方式識別操作指令和傳輸文件;支持對IEC104、IEC61850通訊規約、Modbus協(xié)議通信進(jìn)行實(shí)時(shí)解析,對控制類(lèi)信令進(jìn)行識別;
支持基于被運維對象授權運維終端的訪(fǎng)問(wèn)規則,包括IP、端口號和傳輸協(xié)議;
便攜式運維網(wǎng)關(guān)不需要配置IP,
支持多網(wǎng)段,跨網(wǎng)段訪(fǎng)問(wèn)被運維對象。
運維界面
支持4種運維模式可視化展示及圖形化參數配置。
支持運維終端、運維網(wǎng)關(guān)與被運維對象之間通信連接狀態(tài)實(shí)時(shí)監測并顯示。
支持對運維網(wǎng)關(guān)顯示字體大小、亮度、音量、屏幕反轉等調節。
支持長(cháng)時(shí)間無(wú)操作時(shí)運維網(wǎng)關(guān)自動(dòng)息屏鎖定。
支持被運維對象清單的圖形化管理,并支持導入導出功能;
工單管理
支持快速運維與正常運維兩種模式;
支持工單的編輯;
支持基于任務(wù)的授權管理和審計管理;
支持導出、導入工單模板;
支持工單開(kāi)始/結束時(shí)間的管控、工單結束時(shí)間到期提醒及延期授權。
串行接口運維模式
支持通過(guò)RS232串行接口方式串接在運維終端與被運維對象之間,對通信進(jìn)行實(shí)時(shí)解析,并識別操作指令;
支持串口運維模式下運維協(xié)議的自動(dòng)識別;
USB接口運維模式
支持USB映射功能,便攜式運維網(wǎng)關(guān)通過(guò)USB連線(xiàn)串接在外部移動(dòng)存儲介質(zhì)與被運維對象之間,實(shí)現被運維對象對外部移動(dòng)存儲介質(zhì)的讀寫(xiě)操作;
KVM運維模式
支持通過(guò)HDMI線(xiàn)連接被運維對象,獲取并顯示屏幕操作信息;支持通過(guò)視頻連線(xiàn)串接在屏幕與被運維對象之間,獲取屏幕操作信息;支持通過(guò)USB連線(xiàn)串接在鼠標、鍵盤(pán)與被運維對象之間,獲取鍵盤(pán)、鼠標操作信息,通過(guò)觸摸屏或鍵鼠實(shí)現簡(jiǎn)單運維操作;
違規外聯(lián)控制
支持運維終端違規外聯(lián)檢測,包括WiFi、藍牙、雙網(wǎng)卡等方式;支持運維終端違規外聯(lián)處置,包括實(shí)時(shí)阻斷和告警;
高風(fēng)險指令阻斷
支持SSH、Telnet協(xié)議和RS232串行接口通信高風(fēng)險指令的阻斷和告警;支持IEC104、IEC61850通訊規約、Modbus協(xié)議通信中控制類(lèi)指令的阻斷和告警;支持高風(fēng)險指令的增刪改查,支持按照正則表達式配置指令;支持對高風(fēng)險指令進(jìn)行分級設置和執行策略設置,包括:敏感指令、高危指令,其中敏感指令默認直接放過(guò)執行并產(chǎn)生告警,高危指令需申請確認,指令申請超時(shí)未確認時(shí)當按照默認禁止策略執行。
攻擊行為阻斷
支持高危端口、DoS等攻擊的阻斷和告警;
支持IP地址、ARP、通信端口掃描等行為的阻斷和告警。
支持ARP攻擊以及SYN Flood、UDP Flood等DoS攻擊的阻斷和告警
惡意代碼查殺
支持FTP、SFTP、SCP、外部移動(dòng)存儲介質(zhì)等文件傳輸過(guò)程中的惡意代碼查殺;支持疑似惡意代碼文件進(jìn)行自動(dòng)隔離、告警;支持通過(guò)在線(xiàn)、離線(xiàn)方式對惡意代碼特征庫進(jìn)行升級更新;支持在不創(chuàng )建工單的條件下對外部存儲介質(zhì)進(jìn)行惡意代碼查殺。
語(yǔ)音提醒
支持中文語(yǔ)音方式對違規外聯(lián)、高風(fēng)險指令、攻擊行為、惡意代碼等安全風(fēng)險進(jìn)行提醒;
二次授權
支持普通運維模式下,對告警列表所有待授權告警信息做批量授權。
支持二次授權時(shí),除通過(guò)外,拒絕或超時(shí)無(wú)需認證。
支持使用與工單綁定的臨時(shí)密碼進(jìn)行二次授權操作。
運維審計記錄
支持運維工單結束后自動(dòng)生成并彈出工單簡(jiǎn)報;
支持按照工單、站點(diǎn)等多種索引拓撲結構展示運維審計記錄;
權限認證記錄
支持記錄人員認證登錄信息;支持記錄運維終端USB Key認證信息;支持記錄賬號增、刪、改信息;
文件傳輸記錄
支持記錄傳輸文件的操作人員、時(shí)間、文件名稱(chēng)、類(lèi)型、路徑、大小等摘要信息;
支持備份小于100MB的文件;
視頻圖片記錄
支持對運維終端上運維操作全過(guò)程進(jìn)行屏幕錄像;支持KVM模式下保留完整屏幕錄像;支持將屏幕錄像保存成MP4等通用視頻文件格式,并實(shí)時(shí)存放在便攜式運維網(wǎng)關(guān)中;支持屏幕錄像與告警記錄關(guān)聯(lián),快速查看。支持留存不少于300小時(shí)屏幕錄像,存儲空間剩余不足10%時(shí)應能對視頻文件滾動(dòng)覆蓋;支持拍照記錄紙質(zhì)工作票及工作班成員信息;
通信報文記錄
支持記錄運維過(guò)程中的完整通信報文;支持以pcap格式保存網(wǎng)絡(luò )通信報文;支持以文本格式保存串口通信報文;支持記錄SSH、Telnet、RS232字符指令;支持留存不少于100GB通信報文數據包,存儲空間剩余不足10%時(shí)應能對報文文件滾動(dòng)覆蓋;
風(fēng)險管控記錄
持記錄違規外聯(lián)事件告警及阻斷信息;支持記錄高風(fēng)險指令告警及阻斷信息;支持記錄攻擊行為告警及阻斷信息;支持記錄惡意代碼查殺信息;支持記錄二次授權行為信息;
接口使用記錄
支持對網(wǎng)口、USB、視頻等接口線(xiàn)纜接入、拔出等操作記錄;KVM模式下支持對鼠標、鍵盤(pán)的操作記錄;
運維工作記錄上傳
支持運維工作記錄上傳至第三方審計日志管理平臺;
告警信息上傳
支持將運維過(guò)程中產(chǎn)生的違規外聯(lián)、高風(fēng)險指令、攻擊行為、惡意代碼等告警信息通過(guò)被運維對象Agent或
網(wǎng)絡(luò )安全監測裝置上傳至調度主站網(wǎng)絡(luò )安全管理平臺。
硬件安全
采用非x86硬件架構設計;禁止配備WiFi、藍牙等無(wú)線(xiàn)通信硬件模塊;具備開(kāi)機硬件檢測功能,在發(fā)現硬件被非法更換后禁止系統啟動(dòng);
操作系統
操作系統應不內置后門(mén),不存在緩沖區溢出等安全漏洞;操作系統應關(guān)閉默認共享、高危端口等通用服務(wù)及不必要的系統服務(wù)。
應用軟件安全
數據安全
具備檢測并抵御常見(jiàn)網(wǎng)絡(luò )攻擊及滲透攻擊的能力;具備進(jìn)程守護機制,保證程序本身的安全可靠運行。支持采用國密算法保證鑒別信息和重要業(yè)務(wù)數據等敏感信息存儲的保密性;支持采用硬件加密的方式實(shí)現數據加密存儲。
賬號安全
不應存在空口令、默認口令,首次登錄應支持強制修改口令;
口令長(cháng)度不得小于8位,且為字母、數字或特殊字符的混合組合,用戶(hù)名和口令不得相同;
口令應支持過(guò)期提醒,更換周期應小于90天;具備連續登錄失敗賬號鎖定策略;
惡意代碼庫
支持國網(wǎng)電力監控系統惡意代碼監測系統入圍廠(chǎng)家引擎適配及惡意代碼庫升級;
處理器
采用非x86硬件架構設計,國產(chǎn)芯片
內存
≥6GB DDR4
硬盤(pán)
≥1TB SSD
網(wǎng)卡
≥2個(gè)千兆以太網(wǎng)電口
電源
a.交流電源電壓:100-240V,應允許偏差——20%——+15%;
b.交流電源頻率:50/60Hz,應允許偏差±5%。
接口
a.≥2個(gè)HDMI口;
b.≥2個(gè)DB9 RS232串行接口;
c.≥5個(gè)USB接口;