国土局不动产登记安全系统和网络升级及窗口布线需求Word文件下载.docx
《国土局不动产登记安全系统和网络升级及窗口布线需求Word文件下载.docx》由会员分享,可在线阅读,更多相关《国土局不动产登记安全系统和网络升级及窗口布线需求Word文件下载.docx(29页珍藏版)》请在冰豆网上搜索。
(二)网络升级及窗口布线
接入交换机1
接入交换机2
汇聚交换机
8口千兆交换机
3台
光纤收发器
4个
6
堆叠电缆
2个
7
光模块1
1个
8
光模块2
11个
9
网线1
150根
10
网线2
50根
11
网络机柜
12
光纤布线
1项
二、招标产品技术要求
指标项
招标要求
招标产品
统一管理控制中心1套,产品形态:
软件,品牌:
北信源
总体要求
支持2000点以上终端接入和下级设备的数字级联、双机冗余切换、控制网关、移动化管理系统的统一管理员操作平台,客户端软件的管理服务器,管理信息上报、策略下发等控制中心统一管控。
接入控制认证网关2台,品牌型号:
北信源VRV-BMG-2000
资质要求
产品要求具备软件著作权证书、公安部销售许可证,保密局证书、涉密信息系统产品证书,厂商具备信息安全服务资质证书(安全工程类一级),提供复印件
性能及部署要求
投标产品应与网络非法外联安全管理系统、移动化管理系统同一品牌,客户端均使用一个代理程序即可完成所有功能,防止出现客户端的二次部署,以方便客户的维护及管理
2U机架式,6个1000BASE-T电口,4个千兆光口,1个1000BASE-T管理口,1个1000BASE-T扩展口,2个USB接口,一个RS232串口(RJ-45)最大新建连接数16000个/S,单台网关最大可支持2000点的终端准入最大支持3Gbps的数据吞吐率,单台支持4路业务控制
注册管理
要求支持注册审核管理功能,已注册终端必须通过管理员手动审核通过之后才可以接入网络。
(提供截图证明)
支持同步桌管平台组织架构,可根据部门、区域下发入网策略
要求支持实名审核功能,根据导入实名信息达到自动验证的目的,并支持自定义审核字段(提供截图证明)
资产管理
要求支持终端硬件资产统计和查询,统计内容应至少包含CPU、内存、硬盘等基本硬件设备信息以及光驱、显卡、鼠标、网卡、键盘等相关外设信息
要求支持设备资产信息变化报警,报警未注册设备、注册程序卸载行为,实时检测硬件设备变化情况(如设备硬件变化、网络地址更改、USB设备接入等)
身份认证
要求支持与CA认证系统联动实现身份认证,必须支持当前主流CA厂家的认证配套流程
要求支持帐户角色绑定功能,不同用户帐户继承所属角色的访问权限以及安检要求。
要求支持安检规范定义配置功能,可根据角色属性定制不同的安检规范,安检规范应至少包含杀毒软件安装情况检查、补丁漏洞检查、系统共享资源检查、IE主页修改项检查、guest来宾帐户启用情况检查、远程桌面启用情况检查、系统启动项检查、系统进程检查、违规外联、操作系统、软件安装(提供截图证明)
支持动态安检功能,即用户安检通过入网后,如果存在违规操作,将对其隔离,直至修复
要求支持安全域控制功能,可根据角色属性定制不同的安全域,用户认证成功后,安全域角色控制功能自动生效,相关角色帐户只能访问指定的安全控制域。
准入控制
支持国产操作系统准入,拥有独立研发的国产客户端,支持与windows服务器联动
支持移动客户端准入,拥有独立研发的安卓客户端、IOS客户端。
(中标后需提供测试证明)
支持设备识别功能,可以自动识别PC与移动设备,根据设备类型执行不同的入网策略
要求必须支持支持串接和旁路部署模式,支持策略路由、旁路干扰、透明串接、虚拟网关等多种准入控制模式。
要求支持基于终端心跳和终端水印认证双重准入判断,自动发现采用NAT模式入网的终端并强制认证。
要求支持准入策略制定功能,可根据访问IP源、目的域以及准入流程进行策略制定,目的域需是IP、端口以及目录的组合,支持根据组织架构、部门下发策略,支持时间准入,即可设定策略生效时间
要求支持采用丢包、ACL以及TCP连接干扰等方式实现准入控制
访客控制
要求支持访客手机接收及自助查询上网码功能,支持管理员短信审核访客信息(提供截图证明)。
要求支持访客上网码自动分配和手动分配模式,针对手动分配模式,可提供访客申请入网邮件提醒功能
要求支持访客超时帐户处理,对于超时访客帐户,可设定自动清除机制,到期自动删除超时访客帐户
系统监控
要求支持对在线终端状态提供图形化实时分析报表,分析内容至少包含接入设备、待审核设备、注册设备、认证设备、访客设备、入网设备、白名单设备、隔离设备、离线设备等不少于9种状态。
要求支持终端重新注册、重新认证、重新安检或者一键隔离,并可在终端分析结果中进行设置。
系统安全
要求设备提供内置旁路模块,在设备发生异常的情况下能够快速切换到Bypass模式,从而有效地保证网络链路的畅通。
支持集群式部署,可通过管理平台统一管理准入网关,对其统一下发策略
要求系统内置软Bypass功能,当系统进程、服务等出现问题,可有迅速重启进程。
(中标后提供测试证明)
系统管理
要求支持自定义系统管理员,支持管理员角色定义,支持三权分立的管理员角色管理,支持管理员密码复杂度设置,对于密码复杂度不符合要求将强制修改
支持邮件或者短信告警机制,支持与短信网关联动,当出现访客或注册待审核信息、设备违规信息、帐号到期、帐号尝试次数超限锁定等情况,可以以邮件或者短信告警的方式通知管理员
支持OEM自定义功能,提供OEM设置接口,管理员可随意更换页面LOGO以满足自身要求
接入控制认证网关1台,品牌型号:
VRV-BMG-500
产品要求具备软件著作权证书、公安部销售许可证,保密局证书、涉密信息系统产品证书,公司具备信息安全服务资质证书(安全工程类一级),提供复印件
投标产品应与网络非法外联管理系统、移动化管理系统同一品牌,客户端均使用一个代理程序即可完成所有功能,防止出现客户端的二次部署,以方便客户的维护及管理
1U机架式,6个1000BASE-T电口,1个1000BASE-T管理口,1个1000BASE-T扩展口,2个USB接口,一个RS232串口(RJ-45),最大新建连接数8000个/S,单台最少支持100万并发连接数单台网关最大可支持500点的终端准入最大支持1Gbps的数据吞吐率,单台支持2路业务控制
支持同步桌管平台组织架构,可根据部门、区域下发入网策略(提供截图证明)。
要求支持帐户角色绑定功能,不同用户帐户继承所属角色的访问权限以及安检要求
要求支持安检规范定义配置功能,可根据角色属性定制不同的安检规范,安检规范应至少包含杀毒软件安装情况检查、补丁漏洞检查、系统共享资源检查、IE主页修改项检查、guest来宾帐户启用情况检查、远程桌面启用情况检查、系统启动项检查、系统进程检查、违规外联、操作系统、软件安装(提供截图证明)。
要求支持访客手机接收及自助查询上网码功能,支持管理员短信审核访客信息(提供截图证明)
要求支持终端重新注册、重新认证、重新安检或者一键隔离,并可在终端分析结果中进行设置
要求设备提供内置旁路模块,在设备发生异常的情况下能够快速切换到Bypass模式,从而有效地保证网络链路的畅通
要求支持自定义系统管理员,支持管理员角色定义,支持三权分立的管理员角色管理,支持管理员密码复杂度设置,对于密码复杂度不符合要求将强制修改。
四
网络非法外联安全管理系统2套,产品形态:
资质证书
投标产品应具有公安部颁发的销售许可证书,提供复印件
系统部署与管理
投标产品应与移动化管理系统、接入控制为同一品牌,客户端均使用一个代理程序即可完成所有功能,防止出现客户端的二次部署,以方便客户的维护及管理
系统支持分级部署、分级管理和集中管理相结合的管理构架
系统支持级联网络,上级能够直接查询下级数据的功能
系统支持中央汇总、区域本地分布式报警方式相结合的管理机制,不同级系统逐级汇总网络设备变化、违规行为、系统运行状况异常信息,方便网管人员进行查询。
系统可支持扩展建立信息安全管理通告模块,提供统一的内部网络安全信息公告平台
系统可扩展支持基于INTELVPRO的主动管理技术
终端接入管理
系统能够自动发现网络中的终端的IP地址、机器名和MAC地址,允许管理者对终端系统按部门进行登记管理,形成网络基本情况数据库,并且要求跨vLan、跨路由
系统支持终端IP分组功能,能够按照不同的区域、部门进行划分管理组。
系统能够自动检测网络中IP资源使用情况,列表注册客户端、未注册客户端及机器在线情况
系统能够识别可管理型交换机,在交换机端口针对终端的具体连接端口进行关闭和启动,达到控制终端入网通讯的目
系统支持对终端IP地址和MAC的绑定管理,对新接入设备占用他人IP地址的行为进行自动断网,不影响合法计算机在网络中的正常使用
系统支持对未授权终端设备接入网络时进行阻断(不依赖交换机、路由器),同时提供安全源事件远程阻断
系统支持实名注册、静默注册、口令注册、推送注册等多种方式进行终端注册。
系统支持客户端的IP与MAC绑定,禁止终端用户随意修改而造成网络冲突;
并能够实现不在IP与MAC绑定列表之内进行阻断或放行
系统支持禁止终端用户修改网关地址,支持禁用冗余网卡
具备策略级联管理功能,上级管理服务器可强制定制策略并下发给下级管理服务器;
下级管理服务器的各类报警和统计信息级联上报,同时支持上级直接登录下级管理服务器,以进行详细数据查询,应支持三级以上级联
具备策略漫游(某个工作地点出差到另一个工作地点)功能,能够实现终端计算机从当前管理区域漫游至其它管理区域后,直接接受该区域管理服务器的接管和管理策略,同时,两个区域的管理者都能够得到该终端的行程。
支持802.1x技术,但必须拥有投标产品原厂商自主产权的radius服务器,同时必须能够限制访客使用非投标产品原厂商提供的802.1x客户端登录用户网络。
在由支持802.1x的交换机、非可网管交换机或hub组成的复杂网络中,系统必须能够提供(不基于802.1x技术的)未注册终端强制隔离功能,使其不能访问已注册客户端及关键网络资源,并能够将未注册终端重定向到注册页面实现强制注册。
具备对已注册终端计算机进行健康性检查,只有符合安全检查策略方可接入网络。
如是否安装运行规定的杀毒软件、病毒库是否最新、是否安装指定的补丁程序和软件程序、是否运行指定的进程或服务等
终端资产管理
系统能够采集客户端的硬件设备信息(如硬盘、CPU、内存等)、位置信息(设备名称、使用人、联系电话、房间号等),注册后存储到数据库中
系统能够采集客户端安装的软件,将所有相关数据入库管理;
支持在管理中心对注册客户端进行联机卸载
系统支持设备资产信息变化报警,报警未注册设备、注册程序卸载行为,实时检测硬件设备变化情况(如设备硬件变化、网络地址更改、USB设备接入等)。
终端运维管理
系统支持对网络中客户端流量进行监控报警:
对客户端设备流量进行采样并实时排序,标示是否发包可疑和当前并发连接数
系统支持对重要主机进行运维监控,支持对客户端硬盘、CPU、内存等系统资源应用状况的监控,在超过管理员设定阈值时自动报警
系统支持系统重要进程、服务器、软件等的运行监控,对关键进程、关键服务进行保护,并在其发生死锁时自动恢复
系统支持对重要服务器、路由器、交换机等网络设备的保护,有效保障网络的稳定运行
系统支持远程文件备份机制,要求把指定的文件在规定时间间隔内备份到指定服务器
系统支持管理员多路呼叫帮助平台,每个管理员可同时对多个用户提供远程帮助
终端桌面管理
系统支持硬件接口控制,控制外设接口的使用,管理员启用或禁用软驱、光驱、U盘、USB接口、打印机、Model、串口、并口、1394接口、红外接口等
系统支持桌面流量管理,对网络客户端流量进行监控报警,客户端输入或输出流量超过设定阈值时报警,对可疑发包(蠕虫病毒等)行为、多并发连接进行检测、断网
系统支持进行软件黑白名单审计管理,网管制订各种黑白名单策略后,报警处置客户端中安装运行的违规软件
系统支持进程执行黑白名单审计管理,能够自动结束违规进程或启动必需进程。
对绿色免安装软件,能够识别其产品名称和源文件名,即使进程名称发生改变也能进行管理和控制
系统支持所有在网络中的已经运行过的进程汇总统计
系统支持保护重要进程不被非法终止(如:
Ctrl+Alt+Del强制结束)
系统支持对服务黑白名单审计管理,能够自动结束违规服务或启动必需服务
系统支持桌面消息通知并回馈,向客户端发送请求重新注册、客户端代理程序升级等消息;
能够查询消息回馈情况,了解消息通知接收效果
系统支持远程协助功能,客户端用户在遇到客户端故障时通过呼叫平台联系网管人员,网管人员通过屏幕控制方式对该客户端进行远程协助,为其排除故障
系统支持管理员在Web控制台对客户端用户某一文件夹下或全盘某些后缀的垃圾文件或临时文件进行集中清理
系统支持管理员在Web控制台对客户端用户进行点对点控制,包括设备和软件信息查询,客户端进程、服务和端口的管理,修改客户端用户网络配置,以及断开/恢复网络连接,升级和卸载客户端等
系统支持对客户端关机时间的设定,实现自动关机,并可以在发现计算机空闲时间过长时锁屏或关机
系统支持所有客户端时间的同步,防止擅自修改系统时间
终端安全管理
系统支持对客户端系统密码的安全性检测,包括开机和屏保密码的设置规则,提供弱口令的安全提示,使用户的密码符合安全管理要求
系统支持对客户端进行统一的的防火墙设置,对网络IP及协议访问进行限制,在网络内建立虚拟的终端隔离区,实现计算机间相互访问限制
系统支持在Web控制台对客户端安装杀毒软件的情况进行监控和管理,并能够对客户端杀毒软件实施远程操作(病毒查杀、升级、软件安装等)
系统支持客户端绑定正确的网关地址,防止ARP攻击
系统支持对关键注册表项的监控,并可以手动自定义监控项,当发现终端有程序修改注册表时,主动询问允许或阻止其行为
系统支持对注册表项或键值的保护,并可由管理员修改注册表项或键值
系统支持对IE设置的远程管理。
系统支持对恶意插件的免疫
系统支持客户端自动侦测网络连接情况,根据连线/离线状况调用不同的安全策略,客户端自适应采用离线安全策略或者连线安全策略
系统支持监控网络中客户端的非法外联行为,实时检测内部网络(包括物理隔离和逻辑隔离网络)用户通过调制解调器、ADSL、双网卡等设备非法外联互联网行为,并远程告警或断网。
系统支持监控已注册的设备网络连接行为,如改变网络地址接入其它网络,根据接入网络环境因素判定其是否非法接入其它网络。
系统支持详细记录非法外联计算机的名称、单位、上网方式,可以在报警平台和报警查询中获知信息(提供截图证明),并且可以对客户端进行提示信息,自动关机,断网等处理(提供截图证明)
系统支持对是否允许使用代理服务器上网的控制。
补丁及软件分发管理
具备客户端补丁自动下载及安装(提供截图证明),支持用户自定义补丁策略(提供截图证明),可基于终端IP范围、操作系统种类、补丁类别等多种方式制订策略(提供截图证明),并能够在指定时间、指定网络范围内进行补丁分发(提供截图证明)
具备终端代理转发技术和流量控制功能,可由内网终端转发补丁给其它终端,而不是仅由服务器给分发给终端,实现对补丁分发流量的控制,避免网络拥塞。
具备真实环境下的补丁自动测试功能,首先能够分发补丁至自定义终端测试组进行补丁安全性验证测试,确定终端无黑屏、死机等任何异常后再自动分发至全部终端计算机。
具备补丁索引扩展功能,支持终端计算机对应用软件的补丁分发与安装
具备内网终端补丁情况自查询功能,终端用户可以通过Web方式访问查找自身补丁的安装信息,自行实施补丁下载安装
具备文件分发功能,管理员能够判断是否分发成功且可以自定义软件分发成功的判断条件,包括注册表项是否写入、文件是否存在或更新等条件
移动存储介质管理
具备对移动存储介质的授权和管理功能。
能够由管理员统一授权管理所有移动存储介质的使用范围和权限(提供截图证明),或由终端用户自主授权移动存储介质并上报服务器,且以上两种方式可组合使用。
具备移动存储介质的权限控制功能,能够实现对移动存储介质的分区、分权限管理,可自由划分为内网/外网两个区,实现在不同终端之间对两个分区使用权限的单独使用管理。
具备移动存储介质数据交换行为审计管理功能,提供详细的文件操作详细审计记录:
包括文件的创建、复制、删除、修改和重命名等操作,以及移动存储介质的插入和拔出动作的详细记录
具备移动存储介质密码丢失找回功能,能够通过管理员对密码进行重置,且不会破坏原有存储数据
具备已丢失移动存储介质接入告警和禁止使用功能,能够对已经丢失的移动存储介质再次入网实现告警,并禁止使用
主机审计与管理
具备文件网络输出审计功能,即对终端文件的打印输出、网络共享输出、邮件输出等行为操作进行管理控制,并详细记录其行为信息
具备对主机内文件的名称进行关键字过滤检查的功能
具备http上网访问控制和审计功能
具备文件保护及访问审计功能,提供对终端的系统、软件和共享等目录中的文件的保护功能,设定访问、删除、修改权限。
具备对设定目录文件的操作审计
报表管理
系统支持各类统计(资产统计、安全策略、设备状态等)能生成多种分析报表,支持管理员从不同方面进行事件的可视化分析,对于分析结果系统提供表格及图形表现形式
系统支持对各种日志的导出查询,至少支持EXCEL、TXT、HTML格式的文件导出,支持用户用SQL语句表达报表内容
系统扩展
系统遵循TCP协议/IP、SNMP、HTTP、FTP等相关的国际标准或工业标准,支持对设备厂商通用MIB的管理,支持对网络设备厂商管理工具的集成,具有开放的API接口,支持对网管系统的二次开发
系统支持防火墙联动扩展,同防火墙通讯,将本系统报警信息反馈给防火墙,由防火墙采取处置措施,或者做记录
系统性能
要求达到投标产品为具有超大规模成功实施案例的成熟产品,基于C/S、B/S混合管理模式构架,方便的对网络中Windows系统客户端及本系统进行管理
系统支持产品的组件间通信时,传输数据加密,客户端数据上报和服务器端指令、策略下发采用加密算法,防止他人旁路嗅探信息
系统支持对所有管理员进行登录审计和操作审计,保证系统的稳定运行。
支持管理员登录平台时进行IP地址访问限定,只有获得授权的计算机才能进入系统控制台
系统支持服务器自身安全防护,网络中出现恶意修改成与管理服务器相同信息(如相同的IP地址、相同的MAC地址等)的机器时,出现IP地址或MAC地址冲突等现象时,管理服务器将不会被阻断出网(即不会出现地址冲突的现象),只有发起恶意攻击的设备会被自动阻断,不会影响管理服务器的正常管理
系统支持对数据的整理,对长期不开机以及IP重复、不在新管理范围内的机器进行整理
系统支持分权限管理,按照管理区域、安全策略、权限项列表等对不同的管理员账户进行分配,如分为操作、管理和审计等多种角色
系统支持多级级联管理,至少支持三级以上多个管理控制台的数据级联上报和安全策略的下发执行,独立管理网络要求达到支持15000台以上计算机的管理
系统支持上级系统实时监控到下级各安全管理系统组件的运行状况信息:
系统基本信息、运行状态、管理范围等,一旦下级系统出现异常,立即可以在上级控制台报警
系统支持基于条件的数据查询、报警信息查询选择查询,查询速度延迟<
0.5秒/页,信息量大于
升级会员 