防统方系统升级需求
号 功 能 模 块 技术参数、建设要求 1 系统架构 系统支持采用旁路部署方式,不需要更改现有网络结构、服务器 相关配置,系统运行不得影响现有网络和业务的正常运行。系统 应能独立完成审计数据采集,不依赖于数据库自身审计日志系统, 不得在现有服务器上安装可能带来风险的程序。 采用B/S架构,提供中文WEB管理界面以便于管理。并应可以根 据不同的安全级别采用不同的实时告警响应方式,包括记录、消 息、鸣音、邮件等,并能支持短信平台, 系统支持双密码用户,安全性更高。 所有系统数据都支持加密传输,防止信息外泄。 针对多套系统可以进行分布式部署集中式管理,定时米集直属医 疗单位防统方审计报告,便于县卫生计生委纪监部门统一监管直 属医疗单位系统使用情况。 系统的时间可以和关键服务器中的数据库的时间进行同步,确保 记录时间的一致性。 2 系统性能 系统支持软硬一体机,支持千兆以上网络环境及大概至少500个 客户端同时并发的监控,应达到每秒50000个以上的事务处理能 力(请注明每秒的事务处理能力)。 审计数据应能永久保存(请注明内接硬盘的容量大小及支持的最 大容量),并支持外接存储设备进行备份。数据应进行加密保管, 只能通过专门工具进行恢复和查询浏览。 支持集群,系统支持冗余备份。 系统配置文件支持导入、导出。 3 数据库支持 支持对 Oracle, MS-SQL、DB2、MYSQL、CACHE DB、POSTGRESQL 和Sybase等主流数据库提供自动化评估、审计和保护功能,可审 计的数据库或集群数量不少于6个,并且支持单家医疗机构多种 类型数据库并存的信息系统。(提供功能截图) 4 用户权限 通过定义用户角色,灵活制定每个用户所拥有的权限,权限颗粒 度能控制到界面视图和按钮操作。 管理、审计用户权限分开,相应权限的用户只能查看、管理相应 的系统功能,责任明确。 5 事件管理 系统从业务流程角度入手,结合核心数据特征,提供了高度集成 的“事前+事中+事后”数据防护手段。 系统确保最小报警监控时间间隔为5秒,保证统方事件的及时告 警。 主动/被动方式监控关键服务器的开放端口,提供扫描现有应用系 统的漏洞。 根据客户端应用程序名单,实时阻断非法客户端程序或伪装正常 客户端程序对关键服务器的访问。 阻断可疑会话功能,甄别数据访问,阻止非正常数据会话。能根 据预定规则阻断SQL语句的“数据库墙”功能,如根据系统设置 的客户端IP/MAC黑名单,以及数据内容中的敏感信息,实时阻断 黑名单中的客户端对关键服务器的访问。 多种部署方式(串接/并接)下都可以阻断客户端进行疑似的统方 行为。 6 预警管理 系统应能对自身的事件(包括登录、系统参数修改、系统异常等) 进行审计并预警。 可根据用户自定义规则实时发出手机短信通知和邮件提醒等多种 方式的告警信息,并支持配备相应的告警信息发送设备。 可针对事件执行指定预警操作,如短信报警,手机APP告警(提 供功能截图); 统方白名单权限的设置,可对授权统方行为的操作人员工号、操 作类型、IP地址、客户端工具、操作系统用户名、主机名、MAC 地址、SQL语句和操作的时间范围等条件进行设置,只有通过了 授权和验证才可以获得统方权限。 可根据SQL执行的时间长短设定规则,如命令执行时长超过30秒 进行告警;可根据返回记录数多少设定规则,如SQL操作返回的 记录数或受影响的行数大于等于10000行时进行告警。 提供数据库登录用户名称异常探测、数据库操作源终端异常探测、 数据库操作源程序名称异常探测、数据库操作源终端用户名称异 常探测,可设定异常黑白名单,对客户端地址、客户端程序、数 据库账号、客户端用户名以及执行结果等异常的行为进行异常告 警,支持自主学习能力。 能够检测网络拷贝等操作,能够检测通过网络KVM发出的指令。 7 审计方式 系统应能支持对数据库SQL操作语句的详细审计,可以分析出每 条语句的操作方式、表名、存储过程名、详细操作内容,执行时 长、操作成功/失败,受影响行数,关联表与关联表数等字段信息, 可审计并还原SQL操作语句。 可以监控和审计用户对数据库中的数据库表、视图、序列、包、 存储过程、函数、库、索引、同义词、快照、触发器等的创建、 修改和删除等,分析的内容可以精确到SQL操作语句一级。 支持对超长SQL语句完整解析 支持对双向数据包的解析、识别及还原,不仅对数据库操作请求 进行实时监控,而且还可对数据库系统返回结果进行完整的还原, 根据统方行为的特征实时告警。(提供功能截图) 支持包括 ASCII、Unicode, UTF-8、UTFT6、GB2312、EBCDIC 等 编码格式,避免因编码格式不同而导致审计报表出现乱码的情况, 保证了审计报表的可读性。 系统应能支持多个网段客户端对数据库操作行为的会话审计,能 够对各种访问数据的途径(如客户端软件、PL/SQL、SQL*Plus、 PB、Toad等各种SQL操作工具)进行监控和设计,可以跟踪审计 某某时间、某某IP、某某计算机名、某某用户对数据库服务器进 行了该类操作,具有可疑对象定位功能,可以精确定位可疑对象 的物理位置。 支持加密方式的数据库连接信息分析(如MS SQL SERVER2005及 更高版本等)。(提供功能截图) 系统可以监控、记录并且还原客户端连接到服务器的TELNET/FTP 等远程登录操作信息,记录内容包括客户端IP地址,客户端MAC 地址,服务器地址以及产生记录的时间,并提供多种查询,支持 多种文件格式导出。 分析可疑对象的信息,包括IP、端口、MAC、主机名、程序信息、 数据库连接信息。 8 非关注内容过滤 支持指定非关注策略,系统将非关注的内容进行过滤,不进行记 录,降低了存储空间和无用信息的堆砌。策略因子包括:数据库 操作来源IP地址、数据库登录用户名称、数据库操作源程序名称、 数据库操作源终端名称、数据库操作源终端用户名称、SQL操作 语句(DDL、DML、DCL)、数据库表组(表、列)等。 9 审计内容 支持医院信息管理系统多层结构,提供全方位的三层(应用层、 中间层、数据库层)的访问审计,三层关联必需支持自动关联, 以提升关联准确度和审计人员追踪索源难度,同时需要支持手动 关联,可以直接追踪到前端业务的操作人员IP地址、MAC地址和 用户.(提供功能截图) 支持对指定时间内全院抗菌药物品种、剂型、规格、使用量、使 用金额,使用量和使用金额分别排名前N位的抗菌药物品种进行 分析,自动生成报表.(提供功能截图) 支持应用层追踪,通过HIS统方的可以追踪到所使用的HIS工号。 支持 Terminal、Studio、Protal、T-SQL> web 等五种 Cache 访问 方式审计;支持Cache运行功能。 系统对于图形会话的操作审计可以完整记录普通用户的图形操 作。 对于审计结果的查看,可以对操作录像拖拉定位回放。 对于支持的图形连接的单点登录功能,无需用户输入用户名密码。 10 系统监控 系统内置防统方知识