內(nèi)網(wǎng)桌面安全招標指標

1、內(nèi)網(wǎng)安全管理系統(tǒng)技術(shù)要求指標項規(guī)格要求*資質(zhì)要求1.2.3. 待添加的隱藏文字內(nèi)容2投標產(chǎn)品必須同時具備公安部銷售許可證、中國信息安全產(chǎn)品測評中心認證及國家保密局涉密信息系統(tǒng)檢測證書；原廠家具有國家信息安全測評信息安全服務(wù)資質(zhì)證書（一級）。4. 投標產(chǎn)品應(yīng)具有cmmi ml3以上認證；5. 投標廠商應(yīng)是投標產(chǎn)品原生產(chǎn)廠商，并應(yīng)提供投標產(chǎn)品的著作權(quán)證書；6. 投標產(chǎn)品必須具備至少2個國家級三級（或以上）級聯(lián)網(wǎng)絡(luò)中相關(guān)安全項目實施的案例，并提供書面證明；7. 投標產(chǎn)品原廠商必須具有對國家級大型網(wǎng)絡(luò)的安全保障經(jīng)驗和實際案例，并能提供相關(guān)證明，可以提供用戶現(xiàn)場供參觀；8. 投標產(chǎn)品必須具備大型單網(wǎng)絡(luò)5

2、0萬點以上的成功案例，并提供書面證明；9. 投標產(chǎn)品原廠商注冊資金在5000萬元以上；10. 投標產(chǎn)品原廠商應(yīng)具備iso9001：2000質(zhì)量管理體系證書。系統(tǒng)功能1. *支持策略級聯(lián)管理功能，上級管理服務(wù)器可強制定制策略并下發(fā)給下級管理服務(wù)器；下級管理服務(wù)器的報警和統(tǒng)計信息級聯(lián)上報，同時支持上級直接登錄下級管理服務(wù)器，以進行詳細數(shù)據(jù)查詢；2. 獨立系統(tǒng)的管理網(wǎng)絡(luò)終端管理能力要求達到支持5000臺以上計算機，并提供相關(guān)證明；3. 策略管理：系統(tǒng)支持根據(jù)用戶劃分區(qū)域、ip地址、操作系統(tǒng)、自定義檢索等多種方式進行策略分發(fā)。終端安全程序可自動偵測網(wǎng)絡(luò)連接情況，根據(jù)在內(nèi)網(wǎng)/不在內(nèi)網(wǎng)可執(zhí)行不同的安全策略

3、，滿足網(wǎng)絡(luò)中計算機接入帶出的安全管理要求。策略可指定生效時間段；4. *具備對管理員分權(quán)限管理，達到管理員、審計員權(quán)限分立，互不交叉。提供系統(tǒng)運行審計和操作審計機制，保證系統(tǒng)的穩(wěn)定運行，系統(tǒng)管理員登錄支持ip地址訪問限定，只有獲得授權(quán)的計算機才能進入系統(tǒng)控制臺。5. 支持分權(quán)限管理功能，級單獨一套系統(tǒng)下可根據(jù)下屬區(qū)域、策略等劃分出多種管理和事件查看角色，進行管理。6. 支持對數(shù)據(jù)的整理，支持對包括長期不開機以及ip重復(fù)、不在管理范圍內(nèi)的機器進行整理。7. 客戶端功能在安全模式下仍生效。8. 系統(tǒng)必須具備良好的系統(tǒng)安全性，終端具有自我防護機制，防止用戶使用網(wǎng)上常見的卸載等工具（包括iceswor

4、d、360安全衛(wèi)士等）隨意停止、卸載。9. 系統(tǒng)兼容windows vista, windows 7等新版本windows系統(tǒng)；10. *系統(tǒng)兼容64位系統(tǒng)；接入管理1. 能夠自動發(fā)現(xiàn)網(wǎng)絡(luò)中存在的網(wǎng)絡(luò)設(shè)備，要求可以識別設(shè)備ip、設(shè)備mac、設(shè)備名稱并且能夠自動區(qū)分已經(jīng)注冊設(shè)備、網(wǎng)絡(luò)設(shè)備、為注冊設(shè)備，并能夠自動生成注冊率2. 能夠正確識別接入設(shè)備身份并自動隔離不合規(guī)計算機接入網(wǎng)絡(luò)3. 準入控制要求支持802.1x標準協(xié)議網(wǎng)絡(luò)和非802.1x協(xié)議網(wǎng)絡(luò)。4. *對不支持802.1x協(xié)議網(wǎng)絡(luò)要求不依賴任何網(wǎng)絡(luò)環(huán)境，且不需要添加硬件設(shè)備實現(xiàn)準入控制，且不受本地防火墻影響。vifr（虛擬強制隔離技術(shù)），不

5、依賴于硬件環(huán)境，不增添硬件設(shè)備，不改變原有的網(wǎng)絡(luò)結(jié)構(gòu)，vifr只需要計算機在同一網(wǎng)段或虛擬局域網(wǎng)內(nèi)，通過已注冊客戶端對未注冊終端進行身份認證與接入管理。利用dhcp/dns/http對未注冊計算機重定向。北信源專有技術(shù)，獲得國家科技技術(shù)進步二等獎。5. *非法接入終端要求實現(xiàn)url重定向，方便終端注冊授權(quán)。6. 支持對特殊設(shè)備可以設(shè)定保護，不受準入控制影響。且保護可設(shè)定永久保護和保護失效時間。7. *支持對合法用戶做安全檢查，對未安裝殺毒軟件的終端強制隔離，并報警，且自動推送殺毒軟件安裝程序；未修復(fù)重要漏洞的終端強制隔離，并報警，且自動推送修復(fù)漏洞的url。8. 支持終端離開內(nèi)網(wǎng)后，不影響使用

6、其他網(wǎng)絡(luò)。注冊管理1. 合法用戶要求支持實名制注冊管理，可預(yù)先編輯單位名稱、部門名稱、房間號供僅選擇，支持由管理員設(shè)定注冊填寫信息開啟項和必填項。2. 系統(tǒng)安裝部署要求支持網(wǎng)頁自動注冊，在注冊web主頁上設(shè)置探測代碼，未注冊客戶端訪問web頁面時能夠自動彈出注冊提示窗口。3. 支持注冊管理設(shè)定密碼。4. *終端注冊后要求可以識別計算機名稱、計算機描述、當前登錄用戶。5. *支持設(shè)定臨時用戶，并指定自動卸載時間。違規(guī)聯(lián)網(wǎng)管理1. 支持監(jiān)控網(wǎng)絡(luò)中客戶端的非法外聯(lián)行為，實時檢測內(nèi)部物理隔離網(wǎng)絡(luò)用戶通過調(diào)制解調(diào)器、adsl、雙網(wǎng)卡等設(shè)備非法外聯(lián)互聯(lián)網(wǎng)行為，并立即阻斷和告警；2. 內(nèi)網(wǎng)級聯(lián)報警功能，違規(guī)

7、聯(lián)網(wǎng)的設(shè)備連接內(nèi)網(wǎng)后內(nèi)網(wǎng)可接收到報警信息。3. 具備多種處理方式，可以對客戶端進行信息警告、上網(wǎng)鎖定（內(nèi)網(wǎng)管理員可遠程解鎖）、自動關(guān)機等處理；4. 可通過驅(qū)動禁用調(diào)制解調(diào)器、禁用冗余網(wǎng)卡防止內(nèi)網(wǎng)機器通過手機、無線上網(wǎng)卡等訪問互聯(lián)網(wǎng)。5. 違規(guī)聯(lián)網(wǎng)取證功能，支持對違規(guī)連接互聯(lián)網(wǎng)設(shè)備的取證功能，取證信息包括連接互聯(lián)網(wǎng)時的數(shù)據(jù)包頭、路由信息等，并詳細記錄非法上網(wǎng)計算機的名稱、單位、上網(wǎng)地址等，以便查詢。內(nèi)網(wǎng)安全管理資產(chǎn)管理功能1. 資產(chǎn)管理：系統(tǒng)要求支持管理網(wǎng)絡(luò)終端軟硬件資產(chǎn)，包括硬件設(shè)備信息（諸如硬盤、cpu、內(nèi)存等）、位置信息（設(shè)備名稱、使用人、聯(lián)系電話、所屬部門等）、網(wǎng)絡(luò)信息（mac地址、ip

8、地址、主機名、網(wǎng)關(guān)地址）、軟件安裝信息（操作系統(tǒng)、防病毒軟件等）等；2. 硬件變化管理：系統(tǒng)要求支持設(shè)備硬件變化行為（如設(shè)備硬件變化、網(wǎng)絡(luò)地址更改等）報警；支持對未注冊設(shè)備、注冊程序卸載行為的報警；3. 對于無法采集信息的硬件（如ip電話等），支持手動修改和添加硬件信息。硬件外設(shè)管理1. 可控制硬件外設(shè)的使用，啟用或禁用光驅(qū)、軟驅(qū)、usb移動存儲、usb全部接口、 打印機并行口、調(diào)制解調(diào)器、串行口、并行口、1394控制器、紅外設(shè)備、藍牙設(shè)備、pcmcia卡、無線網(wǎng)卡等軟件及進程管理1. 支持自動采集軟件信息，并支持設(shè)定軟件黑白名單；2. *支持對禁止安裝的軟件報警并自動卸載管理；3. 支持點對

9、點軟件審核和卸載管理（支持軟件單點卸載和批量卸載）4. 支持進程自動采集管理；5. 支持設(shè)定進程黑白名單設(shè)定；6. *支持對（指定公司名、源文件名）的進程進行黑白名單的控制，黑名單內(nèi)的進程自動被禁止，指定執(zhí)行目錄下的白名單內(nèi)進程自動啟動；7. 支持點對點軟件審核和停止管理。安全管理1. *支持網(wǎng)管統(tǒng)一管理的主機防火墻功能，具備對客戶端進行端口訪問控制、ip地址訪問控制等功能，策略由管理員制訂統(tǒng)一策略在客戶端執(zhí)行；2. *能夠識別具有公安部頒發(fā)銷售許可證的全部殺毒軟件，并監(jiān)控這些防病毒軟件在客戶端的安裝情況、實時運行情況，對未運行殺毒軟件的計算機進行如告警、斷網(wǎng)處理；3. *支持終端流量監(jiān)控，對

10、網(wǎng)絡(luò)客戶端流量達到策略設(shè)定閾值時報警或斷網(wǎng)，對可疑發(fā)包（疑似蠕蟲病毒發(fā)包）行為、并發(fā)連接數(shù)過多進行提示或斷網(wǎng)；4. 用戶權(quán)限變化審計功能：持對本地用戶、用戶組的增加、減少及權(quán)限變化進行審計，并可進行客戶端提示；5. 密碼管理支持檢測系統(tǒng)密碼弱口令檢測功能，并可強制用戶設(shè)定系統(tǒng)（屏保）密碼，密碼的設(shè)定強度和更換頻率可由管理員控制；6. 支持管理員進行客戶端ie統(tǒng)一配置的功能；7. 支持禁用ie代理上網(wǎng)功能；8. 系統(tǒng)必須具備對服務(wù)器等重要主機的ip保護功能，當非法機器企圖占用重要主機ip時，非法機器無法上網(wǎng)但重要主機正常使用；9. *能夠?qū)K端的arp攻擊、tcp攻擊、洪水攻擊等網(wǎng)絡(luò)攻擊行為發(fā)現(xiàn)

11、并阻止和報警。10. 支持ip與mac綁定，禁止終端用戶修改ip地址、網(wǎng)關(guān)等網(wǎng)絡(luò)通訊關(guān)鍵參數(shù)的功能，并提供自動恢復(fù)、斷網(wǎng)和提示等處理。補丁管理1. 支持客戶端補丁的自動下載及安裝補丁，支持用戶自定義補丁策略，系統(tǒng)可基于終端網(wǎng)絡(luò)ip范圍、操作系統(tǒng)種類、補丁類別等多種方式制訂策略，可在指定時間、指定網(wǎng)絡(luò)范圍內(nèi)分發(fā)補丁。2. *系統(tǒng)使用獨立的補丁分發(fā)平臺，不依賴與wsus聯(lián)動；3. *具備終端代理轉(zhuǎn)發(fā)技術(shù)功能（即補丁可由終端轉(zhuǎn)發(fā)補丁給其它終端），控制補丁分發(fā)流量；4. *具備終端補丁自檢測，終端用戶可以通過內(nèi)網(wǎng)http方式訪問查找自身漏打補丁的詳細信息，并可方便的進行補丁下載安裝；管理員也可遠程檢測

12、終端補丁安裝狀況；5. 支持軟件的分發(fā)，工具、文檔、軟件等。6. *具備補丁內(nèi)網(wǎng)自動測試功能，即首先分發(fā)部分補丁至部分設(shè)備，如無問題反饋，待達到設(shè)定時間后自動分發(fā)至全部設(shè)備；移動存儲介質(zhì)管理1. *用戶移動存儲介質(zhì)注冊功能：由用戶自己對普通移動存儲介質(zhì)（如u盤，移動硬盤等）進行注冊，注冊后生成移動介質(zhì)唯一標識，同時進行數(shù)據(jù)加密，由用戶進行密碼設(shè)置，需要輸入密碼才可訪問移動介質(zhì)內(nèi)的信息；2. 只有帶有注冊并且符合移動存儲介質(zhì)管理策略的存儲介質(zhì)才可以接入內(nèi)網(wǎng)計算機使用，未注冊的移動存儲介質(zhì)無法在內(nèi)網(wǎng)使用（或根據(jù)策略在指定設(shè)備受限使用）；3. 支持注冊后的移動存儲介質(zhì)依據(jù)授權(quán)信息數(shù)據(jù)交換控制功能，并

13、支持移動存儲設(shè)備（分區(qū)域、網(wǎng)段等）接入管理，對指定區(qū)域內(nèi)支持禁用、只讀、讀寫等訪問控制形式；4. 移動存儲介質(zhì)數(shù)據(jù)交換行為審計管理，審計可針對文件后綴名等條件進行，并提供詳細的文件操作詳細審計記錄：包括文件的創(chuàng)建、復(fù)制、刪除、修改和重命名等操作，（包括文件名、審計描述、時間、用戶名、計算機ip地址和其他必要的信息）；同時提供詳細的移動存儲設(shè)備的插入和拔出動作的詳細記錄；5. *支持網(wǎng)管移動存儲介質(zhì)密碼找回功能； 6. 支持已丟失移動存儲介質(zhì)接入告警功能。7. *支持u盤拷貝文件備份。文檔加密1. 對電子文檔的全生命周期（文檔創(chuàng)建、使用、流轉(zhuǎn)、歸檔、銷毀）進行加密保護，無法強制破解；2. 電子文

14、檔密級可以劃分，完全符合國家等級保護等相關(guān)規(guī)定；3. 實現(xiàn)應(yīng)用程序數(shù)據(jù)透明加解密，不會影響辦公軟件的正常使用，不會改變用戶正常使用軟件行為方式，文檔加密后僅能在授權(quán)環(huán)境中正常訪問；4. 支持客戶端離線授權(quán)策略，可以授權(quán)離線時間，文檔處于安全狀態(tài)；5. 支持文檔內(nèi)部授權(quán)，用戶可對所有文檔進行只讀，可編輯、打印、訪問次數(shù)，口令驗證，授權(quán)對象的控制，并可以限制授權(quán)文檔只能在指定的計算機上使用；6. *支持加密文檔外發(fā)，并可設(shè)定讀寫權(quán)限、打印權(quán)限、編輯權(quán)限、瀏覽次數(shù)、文檔有效時間等操作行為限制，甚至可以限制可以訪問的外部終端，其中外發(fā)文件在外部計算機終端上訪問，不需要外部終端另外安裝訪問程序；7. *

15、支持用戶權(quán)限審批控制，對用戶的文檔授權(quán)、文檔外發(fā)，文檔解密、修改密碼、離線使用等權(quán)限，均可設(shè)定為需經(jīng)過審批；8. 支持對文檔授權(quán)、文檔授權(quán)訪問、文檔操作、打印操作、用戶管理、用戶權(quán)限申請等審計；涉密檢查管理1. 支持對客戶端上網(wǎng)行為痕跡檢查，檢查內(nèi)容包括：ie緩存、ie歷史記錄、cookie信息、收藏夾、撥號連接記錄。2. 支持對指定的文件夾的文件進行檢查，doc/txt/xls/rtf.也可以只檢查文件名。3. 文件內(nèi)容檢查條件支持or和and ，支持靈活的處理方式，只提示、不處理、斷網(wǎng)、關(guān)機。4. 支持文件外發(fā)涉密檢查，以及文件打印檢查，如有涉及敏感字眼的文檔禁止外發(fā)或者打印。行為管理及審

16、計1. *文件操作權(quán)限管理，要求支持設(shè)定對管理員定義目錄下的文件的訪問、修改、刪除權(quán)限。2. *要求支持記錄文件操作，包括的記錄文件操作類型：創(chuàng)建、打印、訪問、復(fù)制、改名、恢復(fù)、刪除、移動等。3. 支持上網(wǎng)訪問行為控制，以黑白名單的方式對用戶的網(wǎng)頁訪問行為進行控制。支持上網(wǎng)訪問行為進行審計和記錄。4. *系統(tǒng)支持打印監(jiān)控，支持設(shè)定僅允許打印的文件類型或僅禁止打印的文件類型，支持打印審計并記錄，支持打印文件備份。支持設(shè)定敏感字符串檢查，對含有敏感字符串的文件可設(shè)定為詢問、拒絕、審計5. 系統(tǒng)支持郵件監(jiān)控，支持控制郵件行為，可設(shè)定僅允許使用的郵件服務(wù)器。審計郵件行為并記錄6. 系統(tǒng)支持網(wǎng)絡(luò)文件輸出

17、監(jiān)控，控制或?qū)徲嬛鳈C通過共享文件的方式進行文件輸出。支持設(shè)定敏感字符串檢查，對含有敏感字符串的文件可設(shè)定為詢問、拒絕、審計。7. *支持qq、man聊天內(nèi)容審計。8. 支持審計ie訪問記錄，檢查客戶端訪問某一特定地址的歷史信息，如訪問后的ie緩存、cookie信息、收藏夾等。9. *支持基于文件名和文件內(nèi)容檢查，可設(shè)定信息檢查條件，設(shè)定指定目錄下的指定類型文件進行內(nèi)容檢查，檢查其是否包含涉密內(nèi)容。系統(tǒng)支持進行“或”、“與”等多種邏輯的組合檢測和模糊檢測。終端運維1. 支持提供遠程呼叫平臺，支持終端用戶對已設(shè)定網(wǎng)管員遠程呼叫，經(jīng)網(wǎng)管員確定后，可建立遠程桌面連接，支持網(wǎng)管員自定義空閑與繁忙。2.

18、支持對重要主機進行運維監(jiān)控，支持對客戶端硬盤、cpu 、內(nèi)存等系統(tǒng)資源應(yīng)用狀況的監(jiān)控，在超過管理員設(shè)定閾值時自動報警；3. 支持管理員主動向終端遠程支持，連接方式支持自動連接、密碼連接、詢問連接；支持只讀連接和讀寫連接；4. 支持對客戶端的垃圾文件自動清理。5. 支持系統(tǒng)重要進程、服務(wù)器、軟件等的運行監(jiān)控，對關(guān)鍵進程、關(guān)鍵服務(wù)進行保護，并在其發(fā)生死鎖時自動恢復(fù)；6. 支持對客戶端的注冊表項進行檢查，支持對不符合要求的鍵值自動修改或刪除。7. *支持對終端提供點對點的管理，包括設(shè)備和軟件信息查詢，客戶端進程、服務(wù)和端口的管理，修改客戶端用戶網(wǎng)絡(luò)配置，以及斷開/恢復(fù)網(wǎng)絡(luò)連接，不依賴于遠程桌面。8.

19、 *支持群發(fā)客戶端消息，且終端收到消息后，系統(tǒng)可自動回饋管理員，供管理員查詢9. 支持客戶端提供點對點的即時通訊功能。遠程時支持文件交互。10. 支持設(shè)定客戶端的自動關(guān)機倒計時提醒，設(shè)定條件包含：設(shè)定的時間內(nèi)無鍵鼠操作、指定關(guān)機時間（如下班時間）。11. *支持客戶端時間管理，使客戶端和服務(wù)器的時間一致，防止客戶端篡改時間。12. 支持對網(wǎng)管交換機snmp掃描，能夠發(fā)現(xiàn)交換機端口狀態(tài)，并自動生成交換機背板圖。13. *系統(tǒng)支持遠程文件備份機制，要求把指定的文件在規(guī)定時間間隔內(nèi)備份到指定服務(wù)器。數(shù)據(jù)查詢1. 支持本地注冊情況統(tǒng)計，并且excel輸出.2. 支持設(shè)備資源、系統(tǒng)內(nèi)存、cpu主頻、硬盤存儲量統(tǒng)計，并以餅圖形式顯示，還支持設(shè)備類型統(tǒng)計。3. 支持設(shè)備信息查詢，包括設(shè)備信息、注冊資產(chǎn)信息、安裝軟件查詢、共享目錄查詢、設(shè)備ip