準(zhǔn)入控制系統(tǒng)需求說(shuō)明

1、附件：招標(biāo)項(xiàng)名稱招標(biāo)項(xiàng)分類1. 商務(wù)要求商務(wù)要求2. 管理要求管理要求資產(chǎn)管理3. 桌面管理模塊桌面安全準(zhǔn)入控制系統(tǒng)需求說(shuō)明參數(shù)要求產(chǎn)品同時(shí)具備計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證和計(jì)算機(jī)軟件著作權(quán)登記證。產(chǎn)品原廠商應(yīng)具備至少三個(gè)國(guó)家級(jí)三級(jí)（或以上） 級(jí)聯(lián)網(wǎng)絡(luò)中相關(guān)安全項(xiàng)目實(shí)施的案例，且每案例管理計(jì)算機(jī)終端數(shù)量不少于1000 臺(tái)，并提供書(shū)面證明。產(chǎn)品原廠商應(yīng)具有對(duì)國(guó)家級(jí)大型網(wǎng)絡(luò)的安全保障經(jīng)驗(yàn)和實(shí)際案例，并提供相關(guān)證明。產(chǎn)品原廠商應(yīng)具有 ISO9001 質(zhì)量管理體系證書(shū)、信息安全服務(wù)資質(zhì)（安全工程類、安全開(kāi)發(fā)類）一級(jí)、CMMI 3 及以上證書(shū)、軟件企業(yè)認(rèn)定證書(shū)和高新技術(shù)企業(yè)證書(shū)。產(chǎn)品原廠商具備商

2、用密碼產(chǎn)品生產(chǎn)定點(diǎn)單位證書(shū)和商用密碼產(chǎn)品銷售許可證。產(chǎn)品原廠商同時(shí)具備（2013 2014 年度）國(guó)家規(guī)劃布局內(nèi)重點(diǎn)軟件企業(yè)證書(shū)。產(chǎn)品原廠商具備信息安全等級(jí)保護(hù)安全建設(shè)服務(wù)機(jī)構(gòu)能力評(píng)估合格證書(shū)。投標(biāo)產(chǎn)品具有湖北省信息安全等級(jí)保護(hù)協(xié)調(diào)小組辦公室計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品備案證明。產(chǎn)品提供第三方的市場(chǎng)占有率證書(shū)，并提供相關(guān)權(quán)威證明。產(chǎn)品原廠商在武漢有辦事處以上辦事機(jī)構(gòu)。具備策略級(jí)聯(lián)管理功能，上級(jí)管理服務(wù)器可強(qiáng)制定制策略并下發(fā)給下級(jí)管理服務(wù)器； 下級(jí)管理服務(wù)器的各類報(bào)警和統(tǒng)計(jì)信息級(jí)聯(lián)上報(bào)，同時(shí)支持上級(jí)直接登錄下級(jí)管理服務(wù)器，以進(jìn)行詳細(xì)數(shù)據(jù)查詢，應(yīng)支持三級(jí)以上級(jí)聯(lián)。具備服務(wù)器自我保護(hù)功能，可以防止IP

3、 占用、 DDos攻擊。單獨(dú)管理服務(wù)器要求達(dá)到支持1000 臺(tái)以上計(jì)算機(jī)終端的能力。具備硬件資產(chǎn)管理功能，能夠自動(dòng)獲取硬件資產(chǎn)信息，并對(duì)資產(chǎn)變更信息進(jìn)行報(bào)警。具備軟件資產(chǎn)管理功能，能夠獲得計(jì)算機(jī)軟件安裝信息，并支持對(duì)軟件的遠(yuǎn)程卸載。能夠識(shí)別并控制經(jīng)公安部許可的主流防病毒系統(tǒng)安裝情況， 并監(jiān)控其運(yùn)行。具備桌面防火墻功能，實(shí)現(xiàn)協(xié)議、端口、IP 訪問(wèn)控制功能。具備終端非法外聯(lián)行為監(jiān)控功能，實(shí)時(shí)檢測(cè)內(nèi)部物理隔離網(wǎng)絡(luò)用戶通1終端運(yùn)維4、補(bǔ)丁分發(fā)補(bǔ)丁與文件分發(fā)管模塊理過(guò)調(diào)制解調(diào)器、 ADSL、雙網(wǎng)卡等設(shè)備非法外聯(lián)互聯(lián)網(wǎng)行為，并立即阻斷和告警；具備用戶口令監(jiān)控功能，檢測(cè)口令長(zhǎng)度、復(fù)雜度、存留期、弱口令、 G

4、uest 賬號(hào)等。具備用戶權(quán)限監(jiān)控功能 , 檢測(cè)用戶 / 用戶組權(quán)限的增加、 減少、改變等，并可以提示上報(bào)。具備 IP/MAC 綁定功能， 禁止終端用戶修改 IP 地址、 網(wǎng)關(guān)等網(wǎng)絡(luò)通訊關(guān)鍵參數(shù)的功能， 如用戶修改這些參數(shù)可自動(dòng)由系統(tǒng)的客戶端軟件將這些參數(shù)恢復(fù)等操作。具備禁止修改網(wǎng)關(guān)、禁用冗余網(wǎng)卡管理功能。具備注冊(cè)表項(xiàng)的鍵名與鍵值的監(jiān)控與保護(hù)功能，防止惡意代碼的侵入、具備注冊(cè)表強(qiáng)制修改功能。具備硬件接口控制功能， 控制外設(shè)接口的使用， 管理員啟用或禁用軟驅(qū)、光驅(qū)、 U 盤(pán)、 USB接口、打印機(jī)、 Model、串口、并口、 1394 接口、紅外接口等硬件設(shè)備。具備遠(yuǎn)程對(duì)終端的網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析。

5、具備遠(yuǎn)程管理功能，可獲取終端進(jìn)程、服務(wù)及所開(kāi)放的端口等，并進(jìn)行控制。具備終端流量管理功能， 對(duì)網(wǎng)絡(luò)異常流量終端和異常連接數(shù)進(jìn)行監(jiān)控和控制，對(duì)可疑發(fā)包（蠕蟲(chóng)病毒等）行為、多并發(fā)連接提供檢測(cè)、報(bào)警、斷網(wǎng)功能。具備終端流量統(tǒng)計(jì)和流量排名功能。具備終端文件備份功能， 終端可以將指定目錄下的指定文件或文件夾備份到其他終端。具備管理員呼叫幫助平臺(tái)， 終端用戶可以主動(dòng)請(qǐng)求管理員提供遠(yuǎn)程幫助。具備進(jìn)程管理功能：支持對(duì)（指定公司名稱、源文件名、產(chǎn)品名稱、MD5探測(cè)）進(jìn)程進(jìn)行黑白名單的控制，黑名單內(nèi)的進(jìn)程自動(dòng)被禁止，指定執(zhí)行目錄下的白名單內(nèi)進(jìn)程自動(dòng)啟動(dòng)，主要支持除白名單中進(jìn)程與系統(tǒng)進(jìn)程外, 不允許其他進(jìn)程執(zhí)行。具

6、備補(bǔ)丁自動(dòng)分發(fā)安裝，同時(shí)支持補(bǔ)丁分發(fā)策略制訂，支持用戶自定義補(bǔ)丁策略并自主配置分發(fā)，系統(tǒng)可基于客戶端網(wǎng)絡(luò)IP 范圍、操作系統(tǒng)種類、 補(bǔ)丁類別等多種方式制訂策略， 策略發(fā)送至客戶端后統(tǒng)一按策略執(zhí)行應(yīng)用，系統(tǒng)可在指定時(shí)間、指定網(wǎng)絡(luò)范圍內(nèi)分發(fā)補(bǔ)丁。具備終端代理轉(zhuǎn)發(fā)技術(shù)功能 （即補(bǔ)丁可由安裝完補(bǔ)丁的客戶端轉(zhuǎn)發(fā)補(bǔ)丁給其它客戶端），控制補(bǔ)丁分發(fā)流量，以免占用匯聚層太大帶寬，影響網(wǎng)絡(luò)正常工作。具備終端補(bǔ)丁自檢測(cè)，終端用戶可以在內(nèi)網(wǎng)通過(guò)HTTP方式訪問(wèn)查找自身漏打補(bǔ)丁的詳細(xì)信息，并可方便的進(jìn)行補(bǔ)丁下載安裝；管理員也可遠(yuǎn)程檢測(cè)終端補(bǔ)丁安裝狀況。具備補(bǔ)丁的增量更新導(dǎo)入。具備終端補(bǔ)丁最大連接限制和最大流量控制。25

7、移動(dòng)存儲(chǔ)移動(dòng)存儲(chǔ)管理系統(tǒng)管理模塊性能要求6. 準(zhǔn)入控制注冊(cè)管理模塊資產(chǎn)管理具備補(bǔ)丁安裝情況與未打補(bǔ)丁情況匯總統(tǒng)計(jì)。具備補(bǔ)丁內(nèi)網(wǎng)自動(dòng)測(cè)試功能，即用戶可自主選定內(nèi)網(wǎng)部分設(shè)備為補(bǔ)丁安裝測(cè)試設(shè)備，系統(tǒng)將新獲得的補(bǔ)丁自動(dòng)發(fā)送給這些設(shè)備，在測(cè)試設(shè)備安裝指定時(shí)間間隔后再自動(dòng)分發(fā)給其他設(shè)備。具備普通文件分發(fā)功能，且管理員自定義分發(fā)成功的判斷條件，具體包括對(duì)注冊(cè)表是否寫(xiě)入及文件是否更新等條件進(jìn)行判斷。具備認(rèn)證標(biāo)簽和策略相結(jié)合的方式對(duì)移動(dòng)存儲(chǔ)設(shè)備接入進(jìn)行管理，實(shí)時(shí)發(fā)現(xiàn)并管理接入網(wǎng)絡(luò)中的移動(dòng)存儲(chǔ)設(shè)備（如U 盤(pán)、移動(dòng)硬盤(pán)等）。具備移動(dòng)存儲(chǔ)設(shè)備在格式化和重新分區(qū)時(shí)授權(quán)標(biāo)簽不可被擦除。具備標(biāo)簽和策略相結(jié)合的方式， 對(duì)移動(dòng)

8、存儲(chǔ)的使用權(quán)限進(jìn)行控制 （禁止使用、只讀使用、讀寫(xiě)使用）。具備對(duì)移動(dòng)存儲(chǔ)介質(zhì)標(biāo)簽進(jìn)行分部門(mén)管理， 打過(guò)標(biāo)簽的移動(dòng)存儲(chǔ)設(shè)備只能在策略指定的范圍內(nèi)使用。具備將通用移動(dòng)存儲(chǔ)設(shè)備分為交換區(qū)和保密區(qū)， 并可以分別設(shè)置不同的密碼，以提高信息的安全性。離網(wǎng)之后，保密區(qū)不可見(jiàn)，防止保密區(qū)敏感信息泄露。具備移動(dòng)存儲(chǔ)介質(zhì)接入行為審計(jì)，提供詳細(xì)的文件操作審計(jì)記錄（文件的創(chuàng)建、復(fù)制、刪除、修改、和重命名等操作），提供詳細(xì)的移動(dòng)存儲(chǔ)設(shè)備的插入和拔出動(dòng)作的詳細(xì)記錄。單臺(tái)最少支持200 個(gè)用戶數(shù)的并發(fā)。硬件支持至少4 個(gè)千兆電口。支持至少 100 Mbps 的數(shù)據(jù)吞吐率。單臺(tái)至少支持2 路業(yè)務(wù)控制，最多可擴(kuò)充4 路業(yè)務(wù)控制

9、。滿足 7*24 小時(shí)不間斷工作， 設(shè)備無(wú)故障運(yùn)行時(shí)間不低于80000 小時(shí)。支持自定義注冊(cè)信息， 要求可以定義必須填寫(xiě)的注冊(cè)信息項(xiàng)，可根據(jù)需要啟用 / 禁用自定義項(xiàng)。要求可根據(jù)需要自定義客戶端注冊(cè)的服務(wù)端地址，客戶端可自動(dòng)識(shí)別服務(wù)端信息并注冊(cè)。要求支持根據(jù)IP 、使用人、部門(mén)、注冊(cè)情況、開(kāi)關(guān)機(jī)情況等多種組合查詢已注冊(cè)的終端。要求必須支持針對(duì) IE 、 QQ登陸及彈出窗口等web形式的訪問(wèn)提供入網(wǎng)重定向提示，提示進(jìn)行客戶端注冊(cè)。要求支持終端硬件資產(chǎn)統(tǒng)計(jì)和查詢，統(tǒng)計(jì)內(nèi)容應(yīng)至少包含CPU、內(nèi)存、硬盤(pán)等基本硬件設(shè)備信息以及光驅(qū)、顯卡、鼠標(biāo)、網(wǎng)卡、鍵盤(pán)等相關(guān)外設(shè)信息。要求支持終端軟件資產(chǎn)統(tǒng)計(jì)和查詢，統(tǒng)

10、計(jì)內(nèi)容應(yīng)至少包含操作系統(tǒng)版本、操作系統(tǒng)補(bǔ)丁安裝情況、IE 版本、主機(jī)名稱、網(wǎng)卡MAC信息以及設(shè)備內(nèi)安裝的應(yīng)用軟件使用情況。要求支持設(shè)備資產(chǎn)信息變化報(bào)警，報(bào)警未注冊(cè)設(shè)備、 注冊(cè)程序卸載行3身份認(rèn)證準(zhǔn)入控制為，實(shí)時(shí)檢測(cè)硬件設(shè)備變化情況（如設(shè)備硬件變化、網(wǎng)絡(luò)地址更改、USB設(shè)備接入等）。必須支持對(duì)終端計(jì)算機(jī)軟件安裝信息的收集，包括當(dāng)前軟件安裝信息和歷史安裝信息。要求支持本地認(rèn)證系統(tǒng)，支持自定義本地用戶和密碼，支持本地認(rèn)證用戶自行修改密碼。要求支持與Radius 認(rèn)證系統(tǒng)聯(lián)動(dòng)進(jìn)行身份認(rèn)證，必須支持包含PAP、EAP-MD5、 MD5-CHAP等加密認(rèn)證方式。支持與 AD域服務(wù)器、 LDAP服務(wù)器實(shí)現(xiàn)聯(lián)

11、動(dòng)認(rèn)證。要求支持與CA認(rèn)證系統(tǒng)聯(lián)動(dòng)實(shí)現(xiàn)身份認(rèn)證，必須支持當(dāng)前主流CA廠家的認(rèn)證配套流程。要求支持認(rèn)證超時(shí)機(jī)制， 超時(shí)帳戶強(qiáng)制自動(dòng)登出， 要求超時(shí)時(shí)間可以自行配置。 必須支持帳戶超期統(tǒng)一登出機(jī)制， 登出時(shí)間可根據(jù)需要自行設(shè)置。要求支持帳戶嘗試登錄限制， 要求嘗試登錄次數(shù)可進(jìn)行配置， 嘗試登錄失敗可鎖定帳戶，鎖定時(shí)間可按需配置。要求支持帳戶角色綁定功能， 不同用戶帳戶繼承所屬角色的訪問(wèn)權(quán)限以及安檢要求。要求支持安檢規(guī)范定義配置功能， 可根據(jù)角色屬性定制不同的安檢規(guī)范，安檢規(guī)范應(yīng)至少包含殺毒軟件安裝情況檢查、補(bǔ)丁漏洞檢查、系統(tǒng)共享資源檢查、 IE 主頁(yè)修改項(xiàng)檢查、 guest 來(lái)賓帳戶啟用情況檢查、

12、遠(yuǎn)程桌面啟用情況檢查、系統(tǒng)啟動(dòng)項(xiàng)進(jìn)程檢查等。要求支持安全域控制功能， 可根據(jù)角色屬性定制不同的安全域， 用戶認(rèn)證成功后， 安全域角色控制功能自動(dòng)生效， 相關(guān)角色帳戶只能訪問(wèn)指定的安全控制域。要求支持認(rèn)證日志記錄和查詢功能，可根據(jù)認(rèn)證帳戶、 認(rèn)證起止日期、認(rèn)證起止時(shí)間、認(rèn)證動(dòng)作行為以及 IP 地址等組合因素查詢認(rèn)證日志信息。要求支持未認(rèn)證通過(guò)用戶入網(wǎng)時(shí)進(jìn)行阻斷，能夠提供 web 重定向提醒，并說(shuō)明入網(wǎng)阻斷原因。要求支持對(duì)身份認(rèn)證通過(guò)后的用戶終端進(jìn)行安全檢查， 并對(duì)安檢進(jìn)度提供進(jìn)度條提示，未通過(guò)安檢的終端給出未通過(guò)項(xiàng)提示并阻斷入網(wǎng)，同時(shí)給出修復(fù)意見(jiàn)和手段。要求支持基于源 IP 設(shè)置準(zhǔn)入控制白名單，

13、 并且支持基于源 IP 設(shè)置準(zhǔn)入控制流程。要求支持基于目的 IP 設(shè)置準(zhǔn)入控制白名單，對(duì)白名單范圍內(nèi)的目的 IP 不進(jìn)行準(zhǔn)入控制。要求必須支持支持串接和旁路部署模式，支持策略路由、鏡像旁路、透明串接等多種準(zhǔn)入控制模式。要求支持基于IP 列表和終端水印認(rèn)證雙重準(zhǔn)入判斷，發(fā)現(xiàn)采用NAT模式入網(wǎng)的終端并強(qiáng)制認(rèn)證。要求支持對(duì)路由、無(wú)線、AP、 HUB等環(huán)境下的終端實(shí)施準(zhǔn)入控制，支4來(lái)賓控制系統(tǒng)監(jiān)控系統(tǒng)安全系統(tǒng)管理持對(duì) IPHONE、 IPAD 等非 windows 操作系統(tǒng)的終端實(shí)施準(zhǔn)入控制。要求支持采用丟包、ACL以及 TCP連接干擾等方式實(shí)現(xiàn)準(zhǔn)入控制。要求支持外來(lái)終端或者訪客初次入網(wǎng)阻斷，并給出入

14、網(wǎng)指導(dǎo)提示。要求支持外來(lái)終端或者訪客自助申請(qǐng)上網(wǎng)碼， 只需要提供管理員要求提供的入網(wǎng)申請(qǐng)資料， 便可申請(qǐng)上網(wǎng)碼， 要求管理員可自定義入網(wǎng)申請(qǐng)內(nèi)容。要求支持訪客自助查詢上網(wǎng)碼功能， 訪客提交入網(wǎng)資料并經(jīng)管理員審批通過(guò)后，可以自助查詢上網(wǎng)碼。要求支持訪客上網(wǎng)碼自動(dòng)分配和手動(dòng)分配模式，針對(duì)手動(dòng)分配模式，可提供訪客申請(qǐng)入網(wǎng)郵件提醒功能。要求支持設(shè)置訪客入網(wǎng)的截止時(shí)間， 時(shí)間截止后自動(dòng)阻斷訪客接入網(wǎng)絡(luò)。要求支持對(duì)系統(tǒng)本身業(yè)務(wù)接口的連接狀態(tài)以及接口速率進(jìn)行監(jiān)控， 支持對(duì)系統(tǒng)本身的 CPU以及內(nèi)存使用率提供儀表盤(pán)式圖形化實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)，支持?jǐn)?shù)據(jù)自動(dòng)刷新。支持根據(jù)時(shí)間段對(duì)終端在線情況提供趨勢(shì)圖表要求支持對(duì)在線終

15、端狀態(tài)提供圖形化實(shí)時(shí)分析報(bào)表， 分析內(nèi)容包含未注冊(cè)終端數(shù)、等待認(rèn)證的終端數(shù)、未通過(guò)安檢的終端數(shù)、等待審核的終端數(shù)等。要求支持分析結(jié)果深度鉆取功能， 對(duì)在線終端分析結(jié)果進(jìn)行深度鉆取獲取終端的 IP 列表。要求支持終端重新注冊(cè)、 重新認(rèn)證或者重新安檢策略， 并可在終端分析結(jié)果中進(jìn)行設(shè)置。產(chǎn)品采用自主研發(fā)的專業(yè)實(shí)時(shí)操作系統(tǒng)， 系統(tǒng)內(nèi)核應(yīng)該專為準(zhǔn)入控制功能設(shè)計(jì)，便于減小系統(tǒng)開(kāi)銷，提供優(yōu)異的準(zhǔn)入控制性能，不基于任何現(xiàn)有公用操作系統(tǒng)平臺(tái)（例如： windiows 、 linux 、 unix ）。要求設(shè)備提供內(nèi)置旁路模塊， 在設(shè)備發(fā)生異常的情況下能夠快速切換到 Bypass 模式，從而有效地保證網(wǎng)絡(luò)鏈路的暢通。要求支持多種逃生模式， 至少支持交換機(jī)策略路由逃生模式和系統(tǒng)一鍵軟旁路逃生模式。要求支持基于 https 的 B/S 架構(gòu)管理、 支持基于 SSH的命令行操作管理界面、支持基于 serial 串口的設(shè)備后臺(tái)管理模式。要求支持自定義系統(tǒng)管理員， 支持管理員角色定義， 支持三權(quán)分立的管理員角色管理， 支持管理員密碼復(fù)雜度設(shè)置， 支持管理員帳戶登錄嘗試次數(shù)限制和超時(shí)限制， 其中嘗試次數(shù)和時(shí)間都可以根據(jù)需要進(jìn)行自定義。要求支持系統(tǒng)配置備份、導(dǎo)入和導(dǎo)出，支持一鍵