功能模块 | 详细技术参数 |
| 10/100/1000M自适应电口*6,存储容量1TB HDD,CPU:Intel G1820,内存8G,单电源220-240V、50-60Hz |
1、系统架构 | 1.1管理、审计用户权限分开,相应权限的用户只能查看、管理相应的系统功能。 |
1.2具备多种部署方式(串接/并接),可以阻止客户端进行疑似的统方行为。 |
1.3系统支持采用旁路部署方式,不需要更改现有网络结构、服务器相关配置,系统运行不得影响现有网络和业务的正常运行。系统应能独立完成审计数据采集,不依赖于数据库自身审计日志系统,不得在现有服务器上安装可能带来风险的程序。 |
1.4系统应支持双密码用户。 |
1.5所有系统数据均支持加密传输,防止信息外泄。 |
1.6支持加密方式的数据库连接信息分析(如MS SQL SERVER2005及更高版本等)(提供产品截图)。 |
1.7支持对Oracle、MS-SQL 、DB2、MYSQL、CACHE DB、POSTGRESQL和Sybase 等数据库提供自动化评估、审计和保护功能,可审计的数据库或集群数量不少于6个,并且支持单家医疗机构多种类型数据库并存的信息系统。 |
1.8系统从业务流程角度入手,结合核心数据特征,提供了高度集成的“事前+事中+事后”数据防护手段。 |
1.9针对敏感数据集合的访问,需要通过授权才可以访问,不具备访问权限的操作,明确阻断拒绝 |
2、系统界面 | 2.1系统界面分为两部分,菜单功能选择模块和详细的操作显示模块。显示模块包括月度统方数量统计表、告警提醒、镜像流量监控。登陆成功后,如果系统有告警信息,右边将第一时间显示告警信息。 |
2.2月度统方数量统计
月度统方数量统计的行为针对危险和高风险两种,以条形柱状图的形式来显示月度统方危险、高风险语句的数量,可直观的了解统方数量。 |
2.3镜像流量监控
支持实时流量展现,以方便使用部门判断设备监控状态。 |
3、数据查询 | 3.1查询
可根据客户端IP、客户端端口、句型编号、开始时间、结束时间、时间倒序/顺序、操作类型、服务器IP地址、关键表、数据库账号、程序名称、客户端MAC作为筛选条件进行查询。 |
3.2导出
可根据客户端IP、客户端端口、句型编号、开始时间、结束时间、时间倒序/顺序、操作类型、服务器IP地址、关键表、数据库账号、程序名称、客户端MAC、记录数值查询条件,对结果进行导出。 |
3.3客户端实时信息查询
根据服务器IP地址、客户端IP,支持网段限制条件来实时刷新目前正在使用的客户端信息。 |
3.4FTP日志
记录客户端IP、服务器IP地址、FTP关键字、开始时间、结束时间等。 |
3.5TELNET日志
记录客户端IP、服务器IP地址、TELNET关键字、开始时间、结束时间、类型等。 |
3.6SSH日志
记录客户端IP、服务器IP地址、SSH关键字、开始时间、结束时间等。 |
3.7存储过程日志
记录存储过程的使用IP、服务器IP、单日最高出现次数、单日出现IP数目、参数等。 |
4、防统方监控配置 | 4.1统方参数配置
系统默认自带常见统方因素字段,并可自定义新增同类型字段,如:医生名称、医生工号、药品名称、药品编号、药品数量、药品金额、日期等。 |
4.2操作翻译
可导入或自动获取医院的药品编号对应中文名表、医生工号对应姓名表、客户端IP地址对应使用者表,对统方操作语句进行主动翻译,以便纪委监察部门查看。 |
4.3服务器监听
添加需要监听的服务器IP、数据库类型和版本、使用端口,以及操作详细信息(包括查询语句关键词、非查询语句关键词、表名字段名描述等)。
添加需要监听的操作类型,如增、删、改、查等。 |
4.4规则导出导入
支持已配置规则的导出与导入。 |
5、防统方报表分析 | 5.1能够出具针对纪委、监察室相关人员使用的防统方审计报告,支持每天或多天生成统方审计报告,报告需简单明了,且具有主动将所有的计算机语言翻译成通俗易懂的自然语言的系统机制,支持将整条SQL语句翻译成中文,帮助医院建立基于内部网络的党风廉政、廉洁警示、院内敏感职权使用的防控专网,支持对接廉政风险防控系统。具有廉政风险防控系统的《软件著作权登记证书》,提供产品截图并厂家盖章。 |
5.2系统内置防统方知识库,且具有自我学习功能。 |
5.3应用云计算功能提供数据分析平台,对用户提交的数据进行自主分析,并生成报告和相关建议规则反馈给用户。 |
5.4根据客户端应用程序名单,实时阻止非法客户端程序或伪装正常客户端程序对关键服务器的访问。 |
5.5可疑对象定位功能,可以精确定位可疑对象的物理位置。 |
5.6可以对某统方行为的所有操作以及操作结果关联起来,以报表的形式呈现给使用部门,便于使用部门分析和追溯统方事件。 |
5.7统方白名单权限的设置,可对授权统方行为的操作人员工号、操作类型、IP地址、客户端工具、操作系统用户名、主机名、MAC地址、SQL语句和操作的时间范围等条件进行设置,只有通过了授权和验证才可以获得统方权限。 |
6、数据库审计 | 6.1主动/被动方式监控关键服务器的开放端口,提供扫描现有应用系统的漏洞。 |
6.2分析可疑对象的信息,包括IP、端口、MAC、主机名、程序信息、数据库连接信息。 |
6.3系统可以监控、记录并且还原客户端连接到服务器的TELNET/FTP等远程登录操作信息,记录内容包括客户端IP地址,客户端MAC地址,服务器地址以及产生记录的时间,并提供多种查询,支持多种文件格式导出。 |
6.4支持医院各生产系统中财务数据、病人资料、药品信息、医院资产等核心数据的审计监控。 |
6.5用户可以根据需要自定义规则,并能根据设定的条件产生审计报告。能对审计结果进行多条件组合查询,比如按下列条件查询:IP地址、MAC地址、表名、操作方式、计算机名、数据库名、程序名等。并就能支持按关键词进行模糊查询。查询结果应支持多种格式(excel、pdf、txt等)导出。 |
6.6支持指定非关注策略,系统将非关注的内容进行过滤,不进行记录,降低了存储空间和无用信息的堆砌。策略因子包括:数据库操作来源IP地址、数据库登录用户名称、数据库操作源程序名称、数据库操作源终端名称、数据库操作源终端用户名称、SQL操作语句(DDL、DML、DCL)、数据库表组(表、列)等。 |
6.7支持医院信息管理系统多层结构,提供全方位的三层(应用层、中间层、数据库层)的访问审计,三层关联必需支持自动关联,以提升关联准确度和审计人员追踪索源难度,同时需要支持手动关联,可以直接追踪到前端业务的操作人员IP地址、MAC地址和用户。提供产品截图并厂家盖章。 |
6.8提供数据库登录用户名称异常探测、数据库操作源终端异常探测、数据库操作源程序名称异常探测、数据库操作源终端用户名称异常探测,可设定异常黑白名单,对客户端地址、客户端程序、数据库账号、客户端用户名以及执行结果等异常的行为进行异常告警,支持自主学习能力。 |
6.9系统应能支持多个网段客户端对数据库操作行为的会话审计,能够对各种访问数据的途径进行监控和设计,可以跟踪审计某某时间、某某IP、某某计算机名、某某用户对数据库服务器进行了该类操作,具有可疑对象定位功能,可以精确定位可疑对象的物理位置。 |
6.10能够检测网络拷贝等操作,能够检测通过网络KVM发出的指令。 |
6.11产品从审计主体、审计客体、日志格式、规则分析能力、报表、告警、存储等模块完全按照等级保护基本要求和测评要求设计研制。 |
6.12系统应能支持对数据库SQL操作语句的详细审计,可以分析出每条语句的操作方式、表名、存储过程名、详细操作内容,执行时长、操作成功/失败,受影响行数,关联表与关联表数等字段信息,可审计并还原SQL操作语句。 |
6.13可根据SQL执行的时间长短设定规则,如命令执行时长超过30秒进行告警;可根据返回记录数多少设定规则,如SQL操作返回的记录数或受影响的行数大于等于10000行时进行告警。 |
6.14支持超长操作语句审计,针对传统型数据库,支持 3万字节的审计而不截断,针对 Cache数据库,支持60万字节长度不截断. |
6.15支持对双向数据包的解析、识别及还原,不仅对数据库操作请求进行实时监控,而且还可对数据库系统返回结果进行完整的还原,根据统方行为的特征实时告警。 |
7、数据接口 | 7.1支持对指定时间内全院抗菌药物品种、剂型、规格、使用量、使用金额,使用量和使用金额分别排名前N位的抗菌药物品种进行分析,自动生成报表。需提供同一厂家抗菌药物用量管理系统著作权证明证书;提供产品截图并厂家盖章。 |
7.2医德医风功能:提供对接医德医风系统。具有医德医风系统的《软件著作权登记证书》;提供产品截图并厂家盖章。 |
8、设备管理 | 8.1时间同步
可对时间同步参数尽进行编辑、修改、测试,可和关键服务器中的数据库的时间进行同步,确保记录时间的一致性。 |
8.2管理口配置
可对管理口配置参数进行编辑,修改 |
8.3备用口配置
可对备用口配置参数进行编辑,修改 |
8.4采集口管理
可对采集口配置参数进行编辑,修改 |
8.5默认路由设置
可对默认路由设置参数进行编辑,修改 |
8.6网络抓包
可对IP地址、PORT端口、抓包数量、协议类型参数进行设置,对网络进行抓包,也可以下载数据包。 |
8.7设备状态
支持查看设备状态(内存使用率、CPU使用率、硬件使用率) |
8.8服务重启及关闭
支持对设备正在运行服务进行重启及关闭;
支持对设备主机进行重启及关闭。 |
8.9系统升级
支持补丁包上传后自动完成升级。 |
8.10用户管理
支持新增用户、重命名、重置密码。 |
8.11操作日志
系统所有操作均会被记录,并支持发送到第三方日志平台。 |
9、告警模块 | 9.1告警提醒
如果系统有告警信息,将第一时间在首页显示告警信息 |
9.2告警日志
告警日志开始时间、结束时间、客户端IP、服务器IP、告警详细信息、告警类型等。 |
9.3短信邮件告警
可根据开始时间、结束时间、客户端IP、短信状态、邮件状态查询条件,输入需要查询的关键词,点击“查询”按钮,可查看该条件下的短信邮件告警信息列表,列表内容包括告警信息、告警时间、手机号、短信你状态、邮件状态。 |
10、审计数据存储 | 审计数据应能永久保存,本机保存6个月以上,并支持外接存储设备进行备份。数据应进行加密保管,只能通过专门工具进行恢复和查询浏览。 |
