网络准入控制管理系统

1、网络准入控制管理系统网络准入控制管理系统序号指标功能参数要求拥有自主知识产权，硬件设备无需配置服务器或第三方系统软件。服务器最大可支持的节点终端/ /许可点300/300300/300。许可点可扩展：今后超过 300300个许可点后，每增加1 1许可点（服务 器最大可支持的节点终端/ /许可点）报价w 5050元/ /个。硬件支持至少1U1U机架结构，千兆电口2 2个。并发认证性能不低于 1000010000次/ /分钟。准入设备应至少提供安全客户端（AgeAge ntnt ）、安全控件、无客户端等多种可供自定义的部署、管理模式。1 1硬件要求安全客户端模式部署时， 客户端程序应支持功能自选功

2、能，以优化客户端兼容性和系统资源耗用。能够自动识别主要网络设备的类型，包括：交换机、路由器、服务 器、PCPC移动终端、网络打印机、取号机、监控设备等。能够自动将识别到的设备进行分类，并支持手动分类。支持交换机TRUNKTRUNK中继端口，同时管理多个虚拟网络（VLANVLAN。可根据用户的实际环境自定义配置非8080端口的 WebWeb服务端口及重定向用户引导。能通过浏览器完成身份认证、安装控件、设备注册、安全检查、检查 结果展现等全流程引导管理。准入设备具有独立的补丁管理模块，无需第三方补丁服务器支持，自身即可以提供完整的流程化补丁管理，包括同步更新、补丁分类、补 丁分发、补丁报表等功能。

3、2 2网络准入支持无客户端、无插件的网络准入，支持各种新旧交换机、HUBHUB无线APAP设备。3 3网络管理设备接入后可实时的对网络中现有的所有接入点进行扫描，及时显示，能够清楚的了解网络中接入的设备内容，了解网络中需要控制的边界范围。支持在界面上提供对该网络设备进行TELNETTELNET SSHSSH等管理。按照用户/ /用户组/ /角色动态分配IPIP地址，可根据用户名、用户组 或角色与IPIP进行绑疋，认证后获得该绑疋的 IPIP，每次分配时并有相 应的IPIP分配记录。能够全面结合用户已有的认证或业务系统，可以与RADIUSRADIUS服务器、LDAPLDAP服务器、U-KeyU-

4、Key、0A0A系统、邮件系统等采用标准协议的系统做深 度联动认证。能够与用户现有的 ADAD域相结合，当用户登录到ADAD域后，无需二次认 证即可入网，避免多次认证的繁琐流程。当用户未登录到 ADAD域时，该终端将一直被隔离，该状态下只有通过IEIE页面进行认证才能够入网。支持短信认证模式，用户在登记入网手机号码后，能够在手机上接收到入网的短信验证码，并在IEIE页面上利用短信验证码实现身份认证入网。能够提供来宾角色选择，能够设定来宾设备的访问权限和入网时长，提供临时入网码，支持来宾设备与受访人员进行一对一绑定功能，并可以生成对应的审计报表。4 4认证管理能够针对不冋的角色或设备类别有选择的

5、开启入网审核功能,待审核的用户或设备必须经过管理员审批才能入网。要求设备提供内置旁路模块，在设备发生异常的情况下，能够有效 地保证网络链路的畅通。可自定义软件检查条目，设置黑白名单，入网前和入网后的检查。可自定义检查防病毒软件的安装运行情况。检查计算机CPUCPU硬盘信息，防止硬件变更。检查计算机是否使用了代理服务。建立内网的安全域，针对单个设备或多个设备进行安全域的划分。5 5安全管理可通过系统进行权限的统一管理，可针对用户、用户组、用户角色进行权限的划分，实现内网资源的访问控制管理，针对相应的策略控制限制用户允许访问哪些区域。产品米用自主研发的专业实时操作系统，系统内核应该专为准入控制功能

6、设计，便于减小系统开销，提供优异的准入控制性能，不基于任 何现有公用操作系统平台（例如：windiowswindiows、linuxlinux、unixunix ）。检查计算机 ARPARP路由表项的设置。检查本地操作系统防火墙的开启、账号及密码策略的规范要求。应能提供管理交换机的模拟视图，根据交换机的端口数量自动生成交换机的模拟视图，并能通过交换机模拟视图确定端口的物理开启/ /关闭情况。6 6交换机管理应能提供交换机端口的统计列表，统计内容包含交换机端口名、初始VLANVLAN当前VLANVLAN以及端口的开启/ /关闭情况。要求支持对系统本身业务接口的连接状态以及接口速率进行监控，支持对

7、系统本身的 CPUCPU以及内存使用率提供仪表盘式图形化实时监控 数据，支持数据自动刷新。支持根据时间段对终端在线情况提供趋势图表，可以根据终端注册状态进行区分显示，支持最近一小时，最近一天，最近一周，最近一月 的统计区间。支持对终端的安检状态进行逐项统计，能够统计每条安检项的通过 / / 不通过次数，支持通过深度钻取记录每条安检项的终端通过 / /不通过 日志。要求支持对在线终端状态提供图形化实时分析报表，分析内容至少包含接入设备、待审核设备、注册设备。要求支持对在线终端识别出认证设备、访客设备、入网设备、白名单 设备、隔离设备、离线设备等不少于6 6种状态。要求支持分析结果深度钻取功能，对

8、不冋状态的终端分析结果进行深 度钻取获取终端的IPIP列表。7 7系统监控要求支持终端重新注册、重新认证、重新安检或者 键隔离，并可在终端分析结果中进行设置。能够对全网计算机上安装的软件进行统计，可以按照部门、名称提供精确查询以及软件资产报表的导出。能够对终端硬件初始记录、最新记录和变动记录形成报表，支持对硬件变动进行报警，并且能够查询变动的历史。准入设备能够针对软硬件资产变动、资产异常情况提供了丰富多样的报警方式，便于管理员及时迅速了解资产信息。提供IPIP地址分配表，能够通过图示直观的查看各网段中未分配、开机、关机的数量和分布情况。能够直接、快捷的查看全网终端历史上线、下线、在线时长等详细

9、的IPIP使用情况。8 8资源管理提供未关机终端自动统计功能，并能够按照部门、 时间段等条件生成统计报表。管理员可以通过对存储介质统一注册、授权的方式来加强管理存储介质的使用范围和权限，并支持存储介质分区加密，未经标识的存储介 质将不能在企业内正常使用。针对不同注册状态的存储介质制定不同的控制策略，能够对存储介质进行只读、禁用、放行、脱机生效以及时间范围等做精细控制。支持查询存储介质的类型、设备名称、设备插入时间、设备拔出时间、设备使用IPIP地址、类型代码、设备容量、厂家名称、产品名称、该存储介质使用人、操作系统用户名、备注信息。9 9移动存储设备管理支持使用存储介质的终端信息显示，包括：设备名称、IPIP地址信息、所在部门、所在位置、联系人、联系电话、E-MailE-Mail地址、设备状态（开机、关机）、最后在线时间等。投标产品必须具有公安部颁发的计算机信息系统安全专用产品销售许可证。（提供资质证明）1010资质要求产品厂家必须具备该产品的 计算机软件著作权登记证书。（提供资 质证明）1111案例要求提供10001000点以上大规模部署案例的验收