內網桌面安全招標指標

1、內網安全管理系統(tǒng)技術要求指標項規(guī)格要求*資質要求1.2.3. 待添加的隱藏文字內容2投標產品必須同時具備公安部銷售許可證、中國信息安全產品測評中心認證及國家保密局涉密信息系統(tǒng)檢測證書；原廠家具有國家信息安全測評信息安全服務資質證書（一級）。4. 投標產品應具有cmmi ml3以上認證；5. 投標廠商應是投標產品原生產廠商，并應提供投標產品的著作權證書；6. 投標產品必須具備至少2個國家級三級（或以上）級聯(lián)網絡中相關安全項目實施的案例，并提供書面證明；7. 投標產品原廠商必須具有對國家級大型網絡的安全保障經驗和實際案例，并能提供相關證明，可以提供用戶現(xiàn)場供參觀；8. 投標產品必須具備大型單網絡5

2、0萬點以上的成功案例，并提供書面證明；9. 投標產品原廠商注冊資金在5000萬元以上；10. 投標產品原廠商應具備iso9001：2000質量管理體系證書。系統(tǒng)功能1. *支持策略級聯(lián)管理功能，上級管理服務器可強制定制策略并下發(fā)給下級管理服務器；下級管理服務器的報警和統(tǒng)計信息級聯(lián)上報，同時支持上級直接登錄下級管理服務器，以進行詳細數(shù)據(jù)查詢；2. 獨立系統(tǒng)的管理網絡終端管理能力要求達到支持5000臺以上計算機，并提供相關證明；3. 策略管理：系統(tǒng)支持根據(jù)用戶劃分區(qū)域、ip地址、操作系統(tǒng)、自定義檢索等多種方式進行策略分發(fā)。終端安全程序可自動偵測網絡連接情況，根據(jù)在內網/不在內網可執(zhí)行不同的安全策略

3、，滿足網絡中計算機接入帶出的安全管理要求。策略可指定生效時間段；4. *具備對管理員分權限管理，達到管理員、審計員權限分立，互不交叉。提供系統(tǒng)運行審計和操作審計機制，保證系統(tǒng)的穩(wěn)定運行，系統(tǒng)管理員登錄支持ip地址訪問限定，只有獲得授權的計算機才能進入系統(tǒng)控制臺。5. 支持分權限管理功能，級單獨一套系統(tǒng)下可根據(jù)下屬區(qū)域、策略等劃分出多種管理和事件查看角色，進行管理。6. 支持對數(shù)據(jù)的整理，支持對包括長期不開機以及ip重復、不在管理范圍內的機器進行整理。7. 客戶端功能在安全模式下仍生效。8. 系統(tǒng)必須具備良好的系統(tǒng)安全性，終端具有自我防護機制，防止用戶使用網上常見的卸載等工具（包括iceswor

4、d、360安全衛(wèi)士等）隨意停止、卸載。9. 系統(tǒng)兼容windows vista, windows 7等新版本windows系統(tǒng)；10. *系統(tǒng)兼容64位系統(tǒng)；接入管理1. 能夠自動發(fā)現(xiàn)網絡中存在的網絡設備，要求可以識別設備ip、設備mac、設備名稱并且能夠自動區(qū)分已經注冊設備、網絡設備、為注冊設備，并能夠自動生成注冊率2. 能夠正確識別接入設備身份并自動隔離不合規(guī)計算機接入網絡3. 準入控制要求支持802.1x標準協(xié)議網絡和非802.1x協(xié)議網絡。4. *對不支持802.1x協(xié)議網絡要求不依賴任何網絡環(huán)境，且不需要添加硬件設備實現(xiàn)準入控制，且不受本地防火墻影響。vifr（虛擬強制隔離技術），不

5、依賴于硬件環(huán)境，不增添硬件設備，不改變原有的網絡結構，vifr只需要計算機在同一網段或虛擬局域網內，通過已注冊客戶端對未注冊終端進行身份認證與接入管理。利用dhcp/dns/http對未注冊計算機重定向。北信源專有技術，獲得國家科技技術進步二等獎。5. *非法接入終端要求實現(xiàn)url重定向，方便終端注冊授權。6. 支持對特殊設備可以設定保護，不受準入控制影響。且保護可設定永久保護和保護失效時間。7. *支持對合法用戶做安全檢查，對未安裝殺毒軟件的終端強制隔離，并報警，且自動推送殺毒軟件安裝程序；未修復重要漏洞的終端強制隔離，并報警，且自動推送修復漏洞的url。8. 支持終端離開內網后，不影響使用

6、其他網絡。注冊管理1. 合法用戶要求支持實名制注冊管理，可預先編輯單位名稱、部門名稱、房間號供僅選擇，支持由管理員設定注冊填寫信息開啟項和必填項。2. 系統(tǒng)安裝部署要求支持網頁自動注冊，在注冊web主頁上設置探測代碼，未注冊客戶端訪問web頁面時能夠自動彈出注冊提示窗口。3. 支持注冊管理設定密碼。4. *終端注冊后要求可以識別計算機名稱、計算機描述、當前登錄用戶。5. *支持設定臨時用戶，并指定自動卸載時間。違規(guī)聯(lián)網管理1. 支持監(jiān)控網絡中客戶端的非法外聯(lián)行為，實時檢測內部物理隔離網絡用戶通過調制解調器、adsl、雙網卡等設備非法外聯(lián)互聯(lián)網行為，并立即阻斷和告警；2. 內網級聯(lián)報警功能，違規(guī)

7、聯(lián)網的設備連接內網后內網可接收到報警信息。3. 具備多種處理方式，可以對客戶端進行信息警告、上網鎖定（內網管理員可遠程解鎖）、自動關機等處理；4. 可通過驅動禁用調制解調器、禁用冗余網卡防止內網機器通過手機、無線上網卡等訪問互聯(lián)網。5. 違規(guī)聯(lián)網取證功能，支持對違規(guī)連接互聯(lián)網設備的取證功能，取證信息包括連接互聯(lián)網時的數(shù)據(jù)包頭、路由信息等，并詳細記錄非法上網計算機的名稱、單位、上網地址等，以便查詢。內網安全管理資產管理功能1. 資產管理：系統(tǒng)要求支持管理網絡終端軟硬件資產，包括硬件設備信息（諸如硬盤、cpu、內存等）、位置信息（設備名稱、使用人、聯(lián)系電話、所屬部門等）、網絡信息（mac地址、ip

8、地址、主機名、網關地址）、軟件安裝信息（操作系統(tǒng)、防病毒軟件等）等；2. 硬件變化管理：系統(tǒng)要求支持設備硬件變化行為（如設備硬件變化、網絡地址更改等）報警；支持對未注冊設備、注冊程序卸載行為的報警；3. 對于無法采集信息的硬件（如ip電話等），支持手動修改和添加硬件信息。硬件外設管理1. 可控制硬件外設的使用，啟用或禁用光驅、軟驅、usb移動存儲、usb全部接口、 打印機并行口、調制解調器、串行口、并行口、1394控制器、紅外設備、藍牙設備、pcmcia卡、無線網卡等軟件及進程管理1. 支持自動采集軟件信息，并支持設定軟件黑白名單；2. *支持對禁止安裝的軟件報警并自動卸載管理；3. 支持點對

9、點軟件審核和卸載管理（支持軟件單點卸載和批量卸載）4. 支持進程自動采集管理；5. 支持設定進程黑白名單設定；6. *支持對（指定公司名、源文件名）的進程進行黑白名單的控制，黑名單內的進程自動被禁止，指定執(zhí)行目錄下的白名單內進程自動啟動；7. 支持點對點軟件審核和停止管理。安全管理1. *支持網管統(tǒng)一管理的主機防火墻功能，具備對客戶端進行端口訪問控制、ip地址訪問控制等功能，策略由管理員制訂統(tǒng)一策略在客戶端執(zhí)行；2. *能夠識別具有公安部頒發(fā)銷售許可證的全部殺毒軟件，并監(jiān)控這些防病毒軟件在客戶端的安裝情況、實時運行情況，對未運行殺毒軟件的計算機進行如告警、斷網處理；3. *支持終端流量監(jiān)控，對

10、網絡客戶端流量達到策略設定閾值時報警或斷網，對可疑發(fā)包（疑似蠕蟲病毒發(fā)包）行為、并發(fā)連接數(shù)過多進行提示或斷網；4. 用戶權限變化審計功能：持對本地用戶、用戶組的增加、減少及權限變化進行審計，并可進行客戶端提示；5. 密碼管理支持檢測系統(tǒng)密碼弱口令檢測功能，并可強制用戶設定系統(tǒng)（屏保）密碼，密碼的設定強度和更換頻率可由管理員控制；6. 支持管理員進行客戶端ie統(tǒng)一配置的功能；7. 支持禁用ie代理上網功能；8. 系統(tǒng)必須具備對服務器等重要主機的ip保護功能，當非法機器企圖占用重要主機ip時，非法機器無法上網但重要主機正常使用；9. *能夠對終端的arp攻擊、tcp攻擊、洪水攻擊等網絡攻擊行為發(fā)現(xiàn)

11、并阻止和報警。10. 支持ip與mac綁定，禁止終端用戶修改ip地址、網關等網絡通訊關鍵參數(shù)的功能，并提供自動恢復、斷網和提示等處理。補丁管理1. 支持客戶端補丁的自動下載及安裝補丁，支持用戶自定義補丁策略，系統(tǒng)可基于終端網絡ip范圍、操作系統(tǒng)種類、補丁類別等多種方式制訂策略，可在指定時間、指定網絡范圍內分發(fā)補丁。2. *系統(tǒng)使用獨立的補丁分發(fā)平臺，不依賴與wsus聯(lián)動；3. *具備終端代理轉發(fā)技術功能（即補丁可由終端轉發(fā)補丁給其它終端），控制補丁分發(fā)流量；4. *具備終端補丁自檢測，終端用戶可以通過內網http方式訪問查找自身漏打補丁的詳細信息，并可方便的進行補丁下載安裝；管理員也可遠程檢測

12、終端補丁安裝狀況；5. 支持軟件的分發(fā)，工具、文檔、軟件等。6. *具備補丁內網自動測試功能，即首先分發(fā)部分補丁至部分設備，如無問題反饋，待達到設定時間后自動分發(fā)至全部設備；移動存儲介質管理1. *用戶移動存儲介質注冊功能：由用戶自己對普通移動存儲介質（如u盤，移動硬盤等）進行注冊，注冊后生成移動介質唯一標識，同時進行數(shù)據(jù)加密，由用戶進行密碼設置，需要輸入密碼才可訪問移動介質內的信息；2. 只有帶有注冊并且符合移動存儲介質管理策略的存儲介質才可以接入內網計算機使用，未注冊的移動存儲介質無法在內網使用（或根據(jù)策略在指定設備受限使用）；3. 支持注冊后的移動存儲介質依據(jù)授權信息數(shù)據(jù)交換控制功能，并

13、支持移動存儲設備（分區(qū)域、網段等）接入管理，對指定區(qū)域內支持禁用、只讀、讀寫等訪問控制形式；4. 移動存儲介質數(shù)據(jù)交換行為審計管理，審計可針對文件后綴名等條件進行，并提供詳細的文件操作詳細審計記錄：包括文件的創(chuàng)建、復制、刪除、修改和重命名等操作，（包括文件名、審計描述、時間、用戶名、計算機ip地址和其他必要的信息）；同時提供詳細的移動存儲設備的插入和拔出動作的詳細記錄；5. *支持網管移動存儲介質密碼找回功能； 6. 支持已丟失移動存儲介質接入告警功能。7. *支持u盤拷貝文件備份。文檔加密1. 對電子文檔的全生命周期（文檔創(chuàng)建、使用、流轉、歸檔、銷毀）進行加密保護，無法強制破解；2. 電子文

14、檔密級可以劃分，完全符合國家等級保護等相關規(guī)定；3. 實現(xiàn)應用程序數(shù)據(jù)透明加解密，不會影響辦公軟件的正常使用，不會改變用戶正常使用軟件行為方式，文檔加密后僅能在授權環(huán)境中正常訪問；4. 支持客戶端離線授權策略，可以授權離線時間，文檔處于安全狀態(tài)；5. 支持文檔內部授權，用戶可對所有文檔進行只讀，可編輯、打印、訪問次數(shù)，口令驗證，授權對象的控制，并可以限制授權文檔只能在指定的計算機上使用；6. *支持加密文檔外發(fā)，并可設定讀寫權限、打印權限、編輯權限、瀏覽次數(shù)、文檔有效時間等操作行為限制，甚至可以限制可以訪問的外部終端，其中外發(fā)文件在外部計算機終端上訪問，不需要外部終端另外安裝訪問程序；7. *

15、支持用戶權限審批控制，對用戶的文檔授權、文檔外發(fā)，文檔解密、修改密碼、離線使用等權限，均可設定為需經過審批；8. 支持對文檔授權、文檔授權訪問、文檔操作、打印操作、用戶管理、用戶權限申請等審計；涉密檢查管理1. 支持對客戶端上網行為痕跡檢查，檢查內容包括：ie緩存、ie歷史記錄、cookie信息、收藏夾、撥號連接記錄。2. 支持對指定的文件夾的文件進行檢查，doc/txt/xls/rtf.也可以只檢查文件名。3. 文件內容檢查條件支持or和and ，支持靈活的處理方式，只提示、不處理、斷網、關機。4. 支持文件外發(fā)涉密檢查，以及文件打印檢查，如有涉及敏感字眼的文檔禁止外發(fā)或者打印。行為管理及審

16、計1. *文件操作權限管理，要求支持設定對管理員定義目錄下的文件的訪問、修改、刪除權限。2. *要求支持記錄文件操作，包括的記錄文件操作類型：創(chuàng)建、打印、訪問、復制、改名、恢復、刪除、移動等。3. 支持上網訪問行為控制，以黑白名單的方式對用戶的網頁訪問行為進行控制。支持上網訪問行為進行審計和記錄。4. *系統(tǒng)支持打印監(jiān)控，支持設定僅允許打印的文件類型或僅禁止打印的文件類型，支持打印審計并記錄，支持打印文件備份。支持設定敏感字符串檢查，對含有敏感字符串的文件可設定為詢問、拒絕、審計5. 系統(tǒng)支持郵件監(jiān)控，支持控制郵件行為，可設定僅允許使用的郵件服務器。審計郵件行為并記錄6. 系統(tǒng)支持網絡文件輸出

17、監(jiān)控，控制或審計主機通過共享文件的方式進行文件輸出。支持設定敏感字符串檢查，對含有敏感字符串的文件可設定為詢問、拒絕、審計。7. *支持qq、man聊天內容審計。8. 支持審計ie訪問記錄，檢查客戶端訪問某一特定地址的歷史信息，如訪問后的ie緩存、cookie信息、收藏夾等。9. *支持基于文件名和文件內容檢查，可設定信息檢查條件，設定指定目錄下的指定類型文件進行內容檢查，檢查其是否包含涉密內容。系統(tǒng)支持進行“或”、“與”等多種邏輯的組合檢測和模糊檢測。終端運維1. 支持提供遠程呼叫平臺，支持終端用戶對已設定網管員遠程呼叫，經網管員確定后，可建立遠程桌面連接，支持網管員自定義空閑與繁忙。2.

18、支持對重要主機進行運維監(jiān)控，支持對客戶端硬盤、cpu 、內存等系統(tǒng)資源應用狀況的監(jiān)控，在超過管理員設定閾值時自動報警；3. 支持管理員主動向終端遠程支持，連接方式支持自動連接、密碼連接、詢問連接；支持只讀連接和讀寫連接；4. 支持對客戶端的垃圾文件自動清理。5. 支持系統(tǒng)重要進程、服務器、軟件等的運行監(jiān)控，對關鍵進程、關鍵服務進行保護，并在其發(fā)生死鎖時自動恢復；6. 支持對客戶端的注冊表項進行檢查，支持對不符合要求的鍵值自動修改或刪除。7. *支持對終端提供點對點的管理，包括設備和軟件信息查詢，客戶端進程、服務和端口的管理，修改客戶端用戶網絡配置，以及斷開/恢復網絡連接，不依賴于遠程桌面。8.

19、 *支持群發(fā)客戶端消息，且終端收到消息后，系統(tǒng)可自動回饋管理員，供管理員查詢9. 支持客戶端提供點對點的即時通訊功能。遠程時支持文件交互。10. 支持設定客戶端的自動關機倒計時提醒，設定條件包含：設定的時間內無鍵鼠操作、指定關機時間（如下班時間）。11. *支持客戶端時間管理，使客戶端和服務器的時間一致，防止客戶端篡改時間。12. 支持對網管交換機snmp掃描，能夠發(fā)現(xiàn)交換機端口狀態(tài)，并自動生成交換機背板圖。13. *系統(tǒng)支持遠程文件備份機制，要求把指定的文件在規(guī)定時間間隔內備份到指定服務器。數(shù)據(jù)查詢1. 支持本地注冊情況統(tǒng)計，并且excel輸出.2. 支持設備資源、系統(tǒng)內存、cpu主頻、硬盤存儲量統(tǒng)計，并以餅圖形式顯示，還支持設備類型統(tǒng)計。3. 支持設備信息查詢，包括設備信息、注冊資產信息、安裝軟件查詢、共享目錄查詢、設備ip