准入控制系统需求说明.docx
《准入控制系统需求说明.docx》由会员分享,可在线阅读,更多相关《准入控制系统需求说明.docx(16页珍藏版)》请在冰豆网上搜索。
准入控制系统需求说明
附件:
准入控制系统需求说明
招标项名称
招标项分类
参数要求
1.商务要求
商务要求
产品同时具备《计算机信息系统安全专用产品销售许可证》和《计算机软件著作权登记证》。
产品原厂商应具备至少三个国家级三级(或以上)级联网络中相关安全项目实施的案例,且每案例管理计算机终端数量不少于1000台,并提供书面证明。
产品原厂商应具有对国家级大型网络的安全保障经验和实际案例,并提供相关证明。
产品原厂商应具有ISO9001质量管理体系证书、信息安全服务资质(安全工程类、安全开发类)一级、CMMI3及以上证书、软件企业认定证书和高新技术企业证书。
产品原厂商具备商用密码产品生产定点单位证书和商用密码产品销售许可证。
产品原厂商同时具备(2013—2014年度)国家规划布局内重点软件企业证书。
产品原厂商具备信息安全等级保护安全建设服务机构能力评估合格证书。
投标产品具有湖北省信息安全等级保护协调小组办公室《计算机信息系统安全专用产品备案证明》。
产品提供第三方的市场占有率证书,并提供相关权威证明。
产品原厂商在武汉有办事处以上办事机构。
2.管理要求
管理要求
具备策略级联管理功能,上级管理服务器可强制定制策略并下发给下级管理服务器;下级管理服务器的各类报警和统计信息级联上报,同时支持上级直接登录下级管理服务器,以进行详细数据查询,应支持三级以上级联。
具备服务器自我保护功能,可以防止IP占用、DDos攻击。
单独管理服务器要求达到支持1000台以上计算机终端的能力。
3.桌面管理模块
资产管理
具备硬件资产管理功能,能够自动获取硬件资产信息,并对资产变更信息进行报警。
具备软件资产管理功能,能够获得计算机软件安装信息,并支持对软件的远程卸载。
能够识别并控制经公安部许可的主流防病毒系统安装情况,并监控其运行。
桌面安全
具备桌面防火墙功能,实现协议、端口、IP访问控制功能。
具备终端非法外联行为监控功能,实时检测内部物理隔离网络用户通过调制解调器、ADSL、双网卡等设备非法外联互联网行为,并立即阻断和告警;
具备用户口令监控功能,检测口令长度、复杂度、存留期、弱口令、Guest账号等。
具备用户权限监控功能,检测用户/用户组权限的增加、减少、改变等,并可以提示上报。
具备IP/MAC绑定功能,禁止终端用户修改IP地址、网关等网络通讯关键参数的功能,如用户修改这些参数可自动由系统的客户端软件将这些参数恢复等操作。
具备禁止修改网关、禁用冗余网卡管理功能。
具备注册表项的键名与键值的监控与保护功能,防止恶意代码的侵入、具备注册表强制修改功能。
终端运维
具备硬件接口控制功能,控制外设接口的使用,管理员启用或禁用软驱、光驱、U盘、USB接口、打印机、Model、串口、并口、1394接口、红外接口等硬件设备。
具备远程对终端的网络数据包协议分析。
具备远程管理功能,可获取终端进程、服务及所开放的端口等,并进行控制。
具备终端流量管理功能,对网络异常流量终端和异常连接数进行监控和控制,对可疑发包(蠕虫病毒等)行为、多并发连接提供检测、报警、断网功能。
具备终端流量统计和流量排名功能。
具备终端文件备份功能,终端可以将指定目录下的指定文件或文件夹备份到其他终端。
具备管理员呼叫帮助平台,终端用户可以主动请求管理员提供远程帮助。
具备进程管理功能:
支持对(指定公司名称、源文件名、产品名称、MD5探测)进程进行黑白名单的控制,黑名单内的进程自动被禁止,指定执行目录下的白名单内进程自动启动,主要支持除白名单中进程与系统进程外,不允许其他进程执行。
4、补丁分发模块
补丁与文件分发管理
具备补丁自动分发安装,同时支持补丁分发策略制订,支持用户自定义补丁策略并自主配置分发,系统可基于客户端网络IP范围、操作系统种类、补丁类别等多种方式制订策略,策略发送至客户端后统一按策略执行应用,系统可在指定时间、指定网络范围内分发补丁。
具备终端代理转发技术功能(即补丁可由安装完补丁的客户端转发补丁给其它客户端),控制补丁分发流量,以免占用汇聚层太大带宽,影响网络正常工作。
具备终端补丁自检测,终端用户可以在内网通过HTTP方式访问查找自身漏打补丁的详细信息,并可方便的进行补丁下载安装;管理员也可远程检测终端补丁安装状况。
具备补丁的增量更新导入。
具备终端补丁最大连接限制和最大流量控制。
具备补丁安装情况与未打补丁情况汇总统计。
具备补丁内网自动测试功能,即用户可自主选定内网部分设备为补丁安装测试设备,系统将新获得的补丁自动发送给这些设备,在测试设备安装指定时间间隔后再自动分发给其他设备。
具备普通文件分发功能,且管理员自定义分发成功的判断条件,具体包括对注册表是否写入及文件是否更新等条件进行判断。
5.移动存储管理模块
移动存储管理系统
具备认证标签和策略相结合的方式对移动存储设备接入进行管理,实时发现并管理接入网络中的移动存储设备(如U盘、移动硬盘等)。
具备移动存储设备在格式化和重新分区时授权标签不可被擦除。
具备标签和策略相结合的方式,对移动存储的使用权限进行控制(禁止使用、只读使用、读写使用)。
具备对移动存储介质标签进行分部门管理,打过标签的移动存储设备只能在策略指定的范围内使用。
具备将通用移动存储设备分为交换区和保密区,并可以分别设置不同的密码,以提高信息的安全性。
离网之后,保密区不可见,防止保密区敏感信息泄露。
具备移动存储介质接入行为审计,提供详细的文件操作审计记录(文件的创建、复制、删除、修改、和重命名等操作),提供详细的移动存储设备的插入和拔出动作的详细记录。
6.准入控制模块
性能要求
单台最少支持200个用户数的并发。
硬件支持至少4个千兆电口。
支持至少100Mbps的数据吞吐率。
单台至少支持2路业务控制,最多可扩充4路业务控制。
满足7*24小时不间断工作,设备无故障运行时间不低于80000小时。
注册管理
支持自定义注册信息,要求可以定义必须填写的注册信息项,可根据需要启用/禁用自定义项。
要求可根据需要自定义客户端注册的服务端地址,客户端可自动识别服务端信息并注册。
要求支持根据IP、使用人、部门、注册情况、开关机情况等多种组合查询已注册的终端。
要求必须支持针对IE、QQ登陆及弹出窗口等web形式的访问提供入网重定向提示,提示进行客户端注册。
资产管理
要求支持终端硬件资产统计和查询,统计内容应至少包含CPU、内存、硬盘等基本硬件设备信息以及光驱、显卡、鼠标、网卡、键盘等相关外设信息。
要求支持终端软件资产统计和查询,统计内容应至少包含操作系统版本、操作系统补丁安装情况、IE版本、主机名称、网卡MAC信息以及设备内安装的应用软件使用情况。
要求支持设备资产信息变化报警,报警未注册设备、注册程序卸载行为,实时检测硬件设备变化情况(如设备硬件变化、网络地址更改、USB设备接入等)。
必须支持对终端计算机软件安装信息的收集,包括当前软件安装信息和历史安装信息。
身份认证
要求支持本地认证系统,支持自定义本地用户和密码,支持本地认证用户自行修改密码。
要求支持与Radius认证系统联动进行身份认证,必须支持包含PAP、EAP-MD5、MD5-CHAP等加密认证方式。
支持与AD域服务器、LDAP服务器实现联动认证。
要求支持与CA认证系统联动实现身份认证,必须支持当前主流CA厂家的认证配套流程。
要求支持认证超时机制,超时帐户强制自动登出,要求超时时间可以自行配置。
必须支持帐户超期统一登出机制,登出时间可根据需要自行设置。
要求支持帐户尝试登录限制,要求尝试登录次数可进行配置,尝试登录失败可锁定帐户,锁定时间可按需配置。
要求支持帐户角色绑定功能,不同用户帐户继承所属角色的访问权限以及安检要求。
要求支持安检规范定义配置功能,可根据角色属性定制不同的安检规范,安检规范应至少包含杀毒软件安装情况检查、补丁漏洞检查、系统共享资源检查、IE主页修改项检查、guest来宾帐户启用情况检查、远程桌面启用情况检查、系统启动项进程检查等。
要求支持安全域控制功能,可根据角色属性定制不同的安全域,用户认证成功后,安全域角色控制功能自动生效,相关角色帐户只能访问指定的安全控制域。
要求支持认证日志记录和查询功能,可根据认证帐户、认证起止日期、认证起止时间、认证动作行为以及IP地址等组合因素查询认证日志信息。
要求支持未认证通过用户入网时进行阻断,能够提供web重定向提醒,并说明入网阻断原因。
要求支持对身份认证通过后的用户终端进行安全检查,并对安检进度提供进度条提示,未通过安检的终端给出未通过项提示并阻断入网,同时给出修复意见和手段。
准入控制
要求支持基于源IP设置准入控制白名单,并且支持基于源IP设置准入控制流程。
要求支持基于目的IP设置准入控制白名单,对白名单范围内的目的IP不进行准入控制。
要求必须支持支持串接和旁路部署模式,支持策略路由、镜像旁路、透明串接等多种准入控制模式。
要求支持基于IP列表和终端水印认证双重准入判断,发现采用NAT模式入网的终端并强制认证。
要求支持对路由、无线、AP、HUB等环境下的终端实施准入控制,支持对IPHONE、IPAD等非windows操作系统的终端实施准入控制。
要求支持采用丢包、ACL以及TCP连接干扰等方式实现准入控制。
来宾控制
要求支持外来终端或者访客初次入网阻断,并给出入网指导提示。
要求支持外来终端或者访客自助申请上网码,只需要提供管理员要求提供的入网申请资料,便可申请上网码,要求管理员可自定义入网申请内容。
要求支持访客自助查询上网码功能,访客提交入网资料并经管理员审批通过后,可以自助查询上网码。
要求支持访客上网码自动分配和手动分配模式,针对手动分配模式,可提供访客申请入网邮件提醒功能。
要求支持设置访客入网的截止时间,时间截止后自动阻断访客接入网络。
系统监控
要求支持对系统本身业务接口的连接状态以及接口速率进行监控,支持对系统本身的CPU以及内存使用率提供仪表盘式图形化实时监控数据,支持数据自动刷新。
支持根据时间段对终端在线情况提供趋势图表
要求支持对在线终端状态提供图形化实时分析报表,分析内容包含未注册终端数、等待认证的终端数、未通过安检的终端数、等待审核的终端数等。
要求支持分析结果深度钻取功能,对在线终端分析结果进行深度钻取获取终端的IP列表。
要求支持终端重新注册、重新认证或者重新安检策略,并可在终端分析结果中进行设置。
系统安全
产品采用自主研发的专业实时操作系统,系统内核应该专为准入控制功能设计,便于减小系统开销,提供优异的准入控制性能,不基于任何现有公用操作系统平台(例如:
windiows、linux、unix)。
要求设备提供内置旁路模块,在设备发生异常的情况下能够快速切换到Bypass模式,从而有效地保证网络链路的畅通。
要求支持多种逃生模式,至少支持交换机策略路由逃生模式和系统一键软旁路逃生模式。
系统管理
要求支持基于https的B/S架构管理、支持基于SSH的命令行操作管理界面、支持基于serial串口的设备后台管理模式。
要求支持自定义系统管理员,支持管理员角色定义,支持三权分立的管理员角色管理,支持管理员密码复杂度设置,支持管理员帐户登录尝试次数限制和超时限制,其中尝试次数和时间都可以根据需要进行自定义。
要求支持系统配置备份、导入和导出,支持一键初始化系统配置。
要求支持系统信息查询,查询内容应包含硬件处理器、内存、硬盘、当前登录管理员、系统时间以及系统当前已运行时长等相关信息,支持查询系统软件序列号、过期时间以及当前系统的软性能参数信息。
支持系统在线升级,支持系统使用手册在线下载
要求提供人性化的日志接口,支持记录所有的管理员操作日志,包括管理员的登录日志、系统操作日志以及各种类型的策略设置日志等信息,日志信息内容简单易懂,方便分析定位故障。
7.售后服务
原厂五年售后服务,包括安装调试、硬件质保、软件升级、特征库升级等。
升级会员 