内网桌面安全招标指标.doc

内网安全管理系统技术要求指标项规格要求*资质要求1. 投标产品必须同时具备公安部销售许可证、中国信息安全产品测评中心认证及国家保密局涉密信息系统检测证书；原厂家具有国家信息安全测评信息安全服务资质证书（一级）。2. 投标产品应具有cmmi ml3以上认证；3. 投标厂商应是投标产品原生产厂商，并应提供投标产品的著作权证书；4. 投标产品必须具备至少2个国家级三级（或以上）级联网络中相关安全项目实施的案例，并提供书面证明；5. 投标产品原厂商必须具有对国家级大型网络的安全保障经验和实际案例，并能提供相关证明，可以提供用户现场供参观；6. 投标产品必须具备大型单网络50万点以上的成功案例，并提供书面证明；7. 投标产品原厂商注册资金在5000万元以上；8. 投标产品原厂商应具备iso9001：2000质量管理体系证书。系统功能1. *支持策略级联管理功能，上级管理服务器可强制定制策略并下发给下级管理服务器；下级管理服务器的报警和统计信息级联上报，同时支持上级直接登录下级管理服务器，以进行详细数据查询；2. 独立系统的管理网络终端管理能力要求达到支持5000台以上计算机，并提供相关证明；3. 策略管理：系统支持根据用户划分区域、ip地址、操作系统、自定义检索等多种方式进行策略分发。终端安全程序可自动侦测网络连接情况，根据在内网/不在内网可执行不同的安全策略，满足网络中计算机接入带出的安全管理要求。策略可指定生效时间段；4. *具备对管理员分权限管理，达到管理员、审计员权限分立，互不交叉。提供系统运行审计和操作审计机制，保证系统的稳定运行，系统管理员登录支持ip地址访问限定，只有获得授权的计算机才能进入系统控制台。5. 支持分权限管理功能，级单独一套系统下可根据下属区域、策略等划分出多种管理和事件查看角色，进行管理。6. 支持对数据的整理，支持对包括长期不开机以及ip重复、不在管理范围内的机器进行整理。7. 客户端功能在安全模式下仍生效。8. 系统必须具备良好的系统安全性，终端具有自我防护机制，防止用户使用网上常见的卸载等工具（包括icesword、360安全卫士等）随意停止、卸载。9. 系统兼容windows vista, windows 7等新版本windows系统；10. *系统兼容64位系统；接入管理1. 能够自动发现网络中存在的网络设备，要求可以识别设备ip、设备mac、设备名称并且能够自动区分已经注册设备、网络设备、为注册设备，并能够自动生成注册率2. 能够正确识别接入设备身份并自动隔离不合规计算机接入网络3. 准入控制要求支持802.1x标准协议网络和非802.1x协议网络。4. *对不支持802.1x协议网络要求不依赖任何网络环境，且不需要添加硬件设备实现准入控制，且不受本地防火墙影响。vifr（虚拟强制隔离技术），不依赖于硬件环境，不增添硬件设备，不改变原有的网络结构，vifr只需要计算机在同一网段或虚拟局域网内，通过已注册客户端对未注册终端进行身份认证与接入管理。利用dhcp/dns/http对未注册计算机重定向。北信源专有技术，获得国家科技技术进步二等奖。5. *非法接入终端要求实现url重定向，方便终端注册授权。6. 支持对特殊设备可以设定保护，不受准入控制影响。且保护可设定永久保护和保护失效时间。7. *支持对合法用户做安全检查，对未安装杀毒软件的终端强制隔离，并报警，且自动推送杀毒软件安装程序；未修复重要漏洞的终端强制隔离，并报警，且自动推送修复漏洞的url。8. 支持终端离开内网后，不影响使用其他网络。注册管理1. 合法用户要求支持实名制注册管理，可预先编辑单位名称、部门名称、房间号供仅选择，支持由管理员设定注册填写信息开启项和必填项。2. 系统安装部署要求支持网页自动注册，在注册web主页上设置探测代码，未注册客户端访问web页面时能够自动弹出注册提示窗口。3. 支持注册管理设定密码。4. *终端注册后要求可以识别计算机名称、计算机描述、当前登录用户。5. *支持设定临时用户，并指定自动卸载时间。违规联网管理1. 支持监控网络中客户端的非法外联行为，实时检测内部物理隔离网络用户通过调制解调器、adsl、双网卡等设备非法外联互联网行为，并立即阻断和告警；2. 内网级联报警功能，违规联网的设备连接内网后内网可接收到报警信息。3. 具备多种处理方式，可以对客户端进行信息警告、上网锁定（内网管理员可远程解锁）、自动关机等处理；4. 可通过驱动禁用调制解调器、禁用冗余网卡防止内网机器通过手机、无线上网卡等访问互联网。5. 违规联网取证功能，支持对违规连接互联网设备的取证功能，取证信息包括连接互联网时的数据包头、路由信息等，并详细记录非法上网计算机的名称、单位、上网地址等，以便查询。内网安全管理资产管理功能1. 资产管理：系统要求支持管理网络终端软硬件资产，包括硬件设备信息（诸如硬盘、cpu、内存等）、位置信息（设备名称、使用人、联系电话、所属部门等）、网络信息（mac地址、ip地址、主机名、网关地址）、软件安装信息（操作系统、防病毒软件等）等；2. 硬件变化管理：系统要求支持设备硬件变化行为（如设备硬件变化、网络地址更改等）报警；支持对未注册设备、注册程序卸载行为的报警；3. 对于无法采集信息的硬件（如ip电话等），支持手动修改和添加硬件信息。硬件外设管理1. 可控制硬件外设的使用，启用或禁用光驱、软驱、usb移动存储、usb全部接口、 打印机并行口、调制解调器、串行口、并行口、1394控制器、红外设备、蓝牙设备、pcmcia卡、无线网卡等软件及进程管理1. 支持自动采集软件信息，并支持设定软件黑白名单；2. *支持对禁止安装的软件报警并自动卸载管理；3. 支持点对点软件审核和卸载管理（支持软件单点卸载和批量卸载）4. 支持进程自动采集管理；5. 支持设定进程黑白名单设定；6. *支持对（指定公司名、源文件名）的进程进行黑白名单的控制，黑名单内的进程自动被禁止，指定执行目录下的白名单内进程自动启动；7. 支持点对点软件审核和停止管理。安全管理1. *支持网管统一管理的主机防火墙功能，具备对客户端进行端口访问控制、ip地址访问控制等功能，策略由管理员制订统一策略在客户端执行；2. *能够识别具有公安部颁发销售许可证的全部杀毒软件，并监控这些防病毒软件在客户端的安装情况、实时运行情况，对未运行杀毒软件的计算机进行如告警、断网处理；3. *支持终端流量监控，对网络客户端流量达到策略设定阈值时报警或断网，对可疑发包（疑似蠕虫病毒发包）行为、并发连接数过多进行提示或断网；4. 用户权限变化审计功能：持对本地用户、用户组的增加、减少及权限变化进行审计，并可进行客户端提示；5. 密码管理支持检测系统密码弱口令检测功能，并可强制用户设定系统（屏保）密码，密码的设定强度和更换频率可由管理员控制；6. 支持管理员进行客户端ie统一配置的功能；7. 支持禁用ie代理上网功能；8. 系统必须具备对服务器等重要主机的ip保护功能，当非法机器企图占用重要主机ip时，非法机器无法上网但重要主机正常使用；9. *能够对终端的arp攻击、tcp攻击、洪水攻击等网络攻击行为发现并阻止和报警。10. 支持ip与mac绑定，禁止终端用户修改ip地址、网关等网络通讯关键参数的功能，并提供自动恢复、断网和提示等处理。补丁管理1. 支持客户端补丁的自动下载及安装补丁，支持用户自定义补丁策略，系统可基于终端网络ip范围、操作系统种类、补丁类别等多种方式制订策略，可在指定时间、指定网络范围内分发补丁。2. *系统使用独立的补丁分发平台，不依赖与wsus联动；3. *具备终端代理转发技术功能（即补丁可由终端转发补丁给其它终端），控制补丁分发流量；4. *具备终端补丁自检测，终端用户可以通过内网http方式访问查找自身漏打补丁的详细信息，并可方便的进行补丁下载安装；管理员也可远程检测终端补丁安装状况；5. 支持软件的分发，工具、文档、软件等。6. *具备补丁内网自动测试功能，即首先分发部分补丁至部分设备，如无问题反馈，待达到设定时间后自动分发至全部设备；移动存储介质管理1. *用户移动存储介质注册功能：由用户自己对普通移动存储介质（如u盘，移动硬盘等）进行注册，注册后生成移动介质唯一标识，同时进行数据加密，由用户进行密码设置，需要输入密码才可访问移动介质内的信息；2. 只有带有注册并且符合移动存储介质管理策略的存储介质才可以接入内网计算机使用，未注册的移动存储介质无法在内网使用（或根据策略在指定设备受限使用）；3. 支持注册后的移动存储介质依据授权信息数据交换控制功能，并支持移动存储设备（分区域、网段等）接入管理，对指定区域内支持禁用、只读、读写等访问控制形式；4. 移动存储介质数据交换行为审计管理，审计可针对文件后缀名等条件进行，并提供详细的文件操作详细审计记录：包括文件的创建、复制、删除、修改和重命名等操作，（包括文件名、审计描述、时间、用户名、计算机ip地址和其他必要的信息）；同时提供详细的移动存储设备的插入和拔出动作的详细记录；5. *支持网管移动存储介质密码找回功能； 6. 支持已丢失移动存储介质接入告警功能。7. *支持u盘拷贝文件备份。文档加密1. 对电子文档的全生命周期（文档创建、使用、流转、归档、销毁）进行加密保护，无法强制破解；2. 电子文档密级可以划分，完全符合国家等级保护等相关规定；3. 实现应用程序数据透明加解密，不会影响办公软件的正常使用，不会改变用户正常使用软件行为方式，文档加密后仅能在授权环境中正常访问；4. 支持客户端离线授权策略，可以授权离线时间，文档处于安全状态；5. 支持文档内部授权，用户可对所有文档进行只读，可编辑、打印、访问次数，口令验证，授权对象的控制，并可以限制授权文档只能在指定的计算机上使用；6. *支持加密文档外发，并可设定读写权限、打印权限、编辑权限、浏览次数、文档有效时间等操作行为限制，甚至可以限制可以访问的外部终端，其中外发文件在外部计算机终端上访问，不需要外部终端另外安装访问程序；7. *支持用户权限审批控制，对用户的文档授权、文档外发，文档解密、修改密码、离线使用等权限，均可设定为需经过审批；8. 支持对文档授权、文档授权访问、文档操作、打印操作、用户管理、用户权限申请等审计；涉密检查管理1. 支持对客户端上网行为痕迹检查，检查内容包括：ie缓存、ie历史记录、cookie信息、收藏夹、拨号连接记录。2. 支持对指定的文件夹的文件进行检查，doc/txt/xls/rtf.也可以只检查文件名。3. 文件内容检查条件支持or和and ，支持灵活的处理方式，只提示、不处理、断网、关机。4. 支持文件外发涉密检查，以及文件打印检查，如有涉及敏感字眼的文档禁止外发或者打印。行为管理及审计1. *文件操作权限管理，要求支持设定对管理员定义目录下的文件的访问、修改、删除权限。2. *要求支持记录文件操作，包括的记录文件操作类型：创建、打印、访问、复制、改名、恢复、删除、移动等。3. 支持上网访问行为控制，以黑白名单的方式对用户的网页访问行为进行控制。支持上网访问行为进行审计和记录。4. *系统支持打印监控，支持设定仅允许打印的文件类型或仅禁止打印的文件类型，支持打印审计并记录，支持打印文件备份。支持设定敏感字符串检查，对含有敏感字符串的文件可设定为询问、拒绝、审计5. 系统支持邮件监控，支持控制邮件行为，可设定仅允许使用的邮件服务器。审计邮件行为并记录6. 系统支持网络文件输出监控，控制或审计主机通过共享文件的方式进行文件输出。支持设定敏感字符串检查，对含有敏感字符串的文件可设定为询问、拒绝、审计。7. *支持qq、man聊天内容审计。8. 支持审计ie访问记录，检查客户端访问某一特定地址的历史信息，如访问后的ie缓存、cookie信息、收藏夹等。9. *支持基于文件名和文件内容检查，可设定信息检查条件，设定指定目录下的指定类型文件进行内容检查，检查其是否包含涉密内容。系统支持进行“或”、“与”等多种逻辑的组合检测和模糊检测。终端运维1. 支持提供远程呼叫平台，支持终端用户对已设定网管员远程呼叫，经网管员确定后，可建立远程桌面连接，支持网管员自定义空闲与繁忙。2. 支持对重要主机进行运维监控，支持对客户端硬盘、cpu 、内存等系统资源应用状况的监控，在超过管理员设定阈值时自动报警；3. 支持管理员主动向终端远程支持，连接方式支持自动连接、密码连接、询问连接；支持只读连接和读写连接；4. 支持对客户端的垃圾文件自动清理。5. 支持系统重要进程、服务器、软件等的运行监控，对关键进程、关键服务进行保护，并在其发生死锁时自动恢复；6. 支持对客户端的注册表项进行检查，支持对不符合要求的键值自动修改或删除。7. *支持对终端提供点对点的管理，包括设备和软件信息查询，客户端进程、服务和端口的管理，修改客户端用户网络配置，以及断开/恢复网络连接，不依赖于远程桌面。8. *支持群发客户端消息，且终端收到消息后，系统可自动回馈管理员，供管理员查询9. 支持客户端提供点对点的即时通讯功能。远程时支持文件交互。10. 支持设定客户端的自动关机倒计时提醒，设定条件包含：设定的时间内无键鼠操作、指定关机时间（如下班时间）。11. *支持客户端时间管理，使客户端和服务器的时间一致，防止客户端篡改时间。12. 支持对网管交换机snmp扫描，能够发现交换机端口状态，并自动生成交换机背板图。13. *系统支持远程文件备份机制，要求把指定的文件在规定时间间隔内备份到指定服务器。数据查询1. 支持本地注册情况统计，并且excel输出.2. 支持设备资源、系统内存、cpu主频、硬盘存储量统计，并以饼图形式显示，还支持设备类型统计。3. 支持设备信息查询，包括设备信息、注册资产信息、安装软件查询、共享目录查询、设备ip占用