终端准入系统偏离表.docx

1、终端准入系统偏离表终端准入系统偏离表序号招标要求投标参数偏离 备注1资质具有以下资质无偏离计算机软件著作权登记证书计算机软件著作权登记证书公安部计算机信息系统安全专用产品公安部计算机信息系统安全专用产品销售许可销售许可证及检测报告证及检测报告国家保密局涉密信息系统产品检测证国家保密局涉密信息系统产品检测证书及检测书及检测报告报告国家信息安全测评信息技术产品安全国家信息安全测评信息技术产品安全测评证书测评证书投标厂商具备 ISO9001 质量管理体系认证证书投标厂商具备 ISO9001 质量管理体系投标厂商具备 IS027001 信息安全管理体系认认证证书证证书投标厂商具备 IS027001 信

2、息安全管理体系认证证书2 1、标准采用 B/S 架构，便利易操作管理设计；2、支持 VPN/ 拨号接入、分支机构联动管理。3、服务端采用嵌入式 Linux 系统设计；（现场登录服务器后台验证）1 、标准采用 B/S 架构，便利易操作管理设计；2 、支持 VPN/ 拨号接入、分支机构联动管理。3 、服务端采用嵌入式 Linux 系统设计；（可以现场登录服务器后台验证）4 、提供断电保护机制，如心跳、 Bypass 等；5 、客户端支持 X32X64 平台的无偏离4、提供断电保护机制， 如心跳、 Bypass等；5、客户端支持 X32X64 平台的Win2003/XP/Vista/WIN7/WIN

3、8/WIN10 操作系统；6、终端与服务器、控制平台之间策略更新时间小于 4 秒钟；Win2003/XP/Vista/WIN7/WIN8/WIN10 操作系统；6 、终端与服务器、 控制平台之间策略更新时间小于 4 秒钟；3 1、提供专用 1U 机型硬件服务器； 并发会话数： 1200000 ；2、标配 6 个千兆电口，具有一个扩展槽位，支持 4 个端口千兆光纤扩展卡或2 个万兆光口扩展卡；3、支持旁路、网桥、网关 3 种部署方式,必须支持逻辑旁路及串接方式部署； 4、设备部署过程中不能改变原有网络 结构及网络、安全等设备的配置且无客 户端；5、支持多级级联管理，独立级联数据汇总服务器，统一管

4、理平台6、支持 HUB 及无线 AP 环境部署条件 ,兼容所有网络设备 ,支持傻瓜式交换机和路由器；1 、提供专用 1U 机型硬件服务器； 并发会话数： 1200000 ；2 、标配 6 个千兆电口，具有一个扩展槽位，支持 4 个端口千兆光纤扩展卡或 2 个万兆光口扩展卡；3 、支持旁路、网桥、网关 3 种部署方式 ,必须支持逻辑旁路及串接方式部署；4 、设备部署过程中不能改变原有网络结构及网络、安全等设备的配置且无客户端；5 、支持多级级联管理， 独立级联数据汇总服务器， 统一管理平台6 、支持 HUB 及无线 AP 环境部署条件 ,兼容所有网络设备 ,支持傻瓜式交换机和路由器；7 、支持负

5、载均衡， 同一网段内部署多台准入服务器，统一平台管理，自定义管辖 IP 范围无偏离7、支持负载均衡，同一网段内部署多 8 、支持双机热备； 台准入服务器，统一平台管理，自定义管辖 IP 范围8、支持双机热备；4 1、产品控制平台管理账户支持三权分立，最小授权管理原则。2、针对产品的登陆信息可根据用户实际情况自定义修改，如：标题内容、登陆图片、启动封面、欢迎页面。3、支持插件后台自动升级功能4、支持数据库后台每天自动备份功能， 轮询周期为一周5、系统必须支持外挂外部存储功能， 可将系统中所产生的部分数据存储到外部存储区域。6、与终端管理系统同一品牌，可实现统一平台管控。7、要求功能列表中的基本功

6、能在一个平台上实现，没有第二平台。1 、产品控制平台管理账户支持三权分立， 具有系统管理员、系统审计员、系统操作员管理帐号；2 、系统支持能够根据管理需要自定义添加帐号。3 、系统新建帐号支持只读设置功能， 只读帐号仅 能查看系统功能， 无法更改策略及相关配置； 4、针对产品的登陆信息可根据用户实际情况自定义修改，如：系统名称、登陆图片背景。5 、支持插件后台自动升级功能；6 、支持数据库后台每天自动备份功能， 可选择每天、每周的固定时间以及备份的时间点设置功能； 7 、系统必须支持外挂外部存储功能， 可将系统中所产生的部分数据存储到外部存储区域；8 、功能列表中的基本功能在一个平台上实现，

7、没有第二平台。9 、插件保护功能， 终端管理插件无法被恶意结束、删除、卸载等行为结束；10 、支持管理插件卸载的热键呼出及卸载密码设置功能无偏离11 、与终端管理系统同一品牌，可实现统一平台管控。5 1、采用 NACP 准入技术，能够通过引导方式提示用户入网必须经过的流程（提供功能截图，加盖公章） ；2、支持 802.1x 、策略路由、 WebPortal 、NACP 、桥接等准入技术（提供功能截图，加盖公章） ；3、准入技术支持单独和或组合使用的方式同时使用（提供功能截图，加盖公章）；4、能够支持分权限的访问区域划分， 确保入网终端具备合适的权限，例如： 安全区域、隔离区域、来宾区域； （提

8、供功能截图，加盖公章）5、支持阻断跨 NAT 路由器下未安装插件的计算机，放行合法的计算机； （须提供现场功能演示）6、针对终端安全性进行测评，符合管理员制定的各项测评要求才能接入网 络，支持引导页面，详细描述终端用户被准入的原因1 、采用 NACP 准入技术，能够通过引导方式提示用户入网必须经过的流程2 、支持 802.1x 、策略路由、 WebPortal 、NACP 、桥接等准入技术（提供功能截图，加盖公章） ； 3 、准入技术支持单独和或组合使用的方式同时使用；4 、能够支持分权限的访问区域划分， 确保入网终端具备合适的权限， 例如： 安全区域、 隔离区域、来宾区域；5、支持阻断跨 N

9、AT 路由器下未安装插件的计算机，放行合法的计算机；6 、针对终端安全性进行测评， 符合管理员制定的各项测评要求才能接入网络，支持引导页面，详细描述终端用户被准入的原因无偏离6 1、端口防火墙：支持自定义设置自动放行和拒绝放行的端口，支持端口段设置；（提供功能截图，加盖公章）2、IP 过滤规则：支持自定义设置自动放行和拒绝放行的 IP 地址，支持 IP 段设置；3、URL 地址过滤：支持全局自定义设置自动放行和拒绝放行的 URL 地址， 支持通配符。（提供功能截图，加盖公 章）1 、端口防火墙： 支持自定义设置自动放行和拒绝放行的端口，支持端口段设置；2、IP 过滤规则：支持自定义设置自动放行

10、和拒绝放行的 IP 地址，支持 IP 段设置；3 、URL 地址过滤：支持全局自定义设置自动放行和拒绝放行的 URL 地址，支持通配符。无偏离7 1、支持组合身份鉴别方式，可根据用户、密码进行身份鉴别，支持 LDAP 、AD 域联动身份鉴别、 Email 账号密码身份鉴别、 USB Key 身份鉴别、 短信验证码身份鉴别等技术进行单一和组合方式对入网用户进行鉴别控制。2、任意身份鉴别方式：设置终端用户 可以通过提定的多个身份鉴别方式中， 采用任意一种身份鉴别方式登陆系统。 3、多重组合身份鉴别方式：设置终端 用户必须同时采用两种或两种以上的 身份鉴别方式登陆系统。 （提供功能截支持组合身份鉴别

11、方式，可根据用户、密码进行 身份鉴别，支持 LDAP 、AD 域联动身份鉴别、Email 账号密码身份鉴别、 USB Key 身份鉴别、短信验证码身份鉴别等技术进行单一和组合方式对入网用户进行鉴别控制。2 、任意身份鉴别方式： 设置终端用户可以通过提定的多个身份鉴别方式中，采用任意一种身份鉴 别方式登陆系统。3 、多重组合身份鉴别方式： 设置终端用户必须同时采用两种或两种以上的身份鉴别方式登陆系统。（提供功能截图，加盖公章）4 、未插入合法 USB key 锁定系统屏幕。无偏离图，加盖公章）4、未插入合法 USB key 锁定系统屏幕。8 1、支持对移动存储介质、光驱介质、 3G 上网卡、硬盘

12、系统分区、网络监听端口、 IP/MAC 绑定、 ARP 欺骗、恶意代码防范、操作系统补丁、来宾账户、口令安全、 黑名单口令、 Windows 防火墙、超时重新登录、计算机名称、系统 服务、远程桌面、系统时间、 AD 域环境、共享资源、 telnet 、剩余信息保护、非法进程、合法进程、安装程序、禁止 安装程序等终端入网安全检测项；2、支持自动检测、循环评测、一键修复及后台自动修复； （提供功能截图， 加盖公章）1 、支持对移动存储介质、 光驱介质、 3G 上网卡、硬盘系统分区、网络监听端口、 IP/MAC 绑定、ARP 欺骗、恶意代码防范、操作系统补丁、来宾账户、口令安全、 黑名单口令、 Wi

13、ndows 防火墙、超时重新登录、计算机名称、系统服务、远程桌面、系统时间、 AD 域环境、共享资源、 telnet 、剩余信息保护、 非法进程、 合法进程、 安装程序、禁止安装程序等终端入网安全检测项；2 、支持自动检测、 循环评测、 一键修复及后台自动修复；（提供功能截图，加盖公章）无偏离9 产品升级具备扩展性功能需要与现有的产品在同一平台实现且与现有系统实现无缝结合，1、支持双桌面管理功能，可在同一终端中实现办公桌面和原始桌面，并且可不同桌面间需要实现数据无缝切换。 2、可在办公桌面和原始桌面分别实现产品具有扩展功能可以根据用户需求扩展一下功能并与原系统无缝结合无需二次开发1 、支持双桌

14、面管理功能， 可在同一终端中实现办公桌面和原始桌面，并且可不同桌面间需要实现 数据无缝切换。2 、可在办公桌面和原始桌面分别实现 USB 管理、USB 操作审计、文件操作审计、网络访问审计、正偏离USB 管理、 USB 操作审计、文件操作审计、网络访问审计、屏幕录像审计， 支持提交至现有系统的独立审计服务 器中。办公桌面需要支持终端离线登录认证。管理员可限制不同桌面中使用的应用程序，支持用户自定添加办公桌面中的应用，同时办公桌面文件未经审批禁止导出。可限制不同桌面下的网络访问权限等。3、在同一平台扩展性功能支持网络运维管理，对主机、虚拟化设备、硬件、网络设备、视讯设备、无线设备、安全设备、存储

15、设备等多种类别设备的监控管理。4、可扩展支持 SSH ，TELNET ， SNMPv1 ，SNMPv2c ，SNMPv3 ，Agent ， WMI 等资源的多种发现方式， 生成拓扑展示界面，并且支持显示二层网络拓扑和三层网络拓扑，能够准确定位网络问题，并支持创建自定义拓扑，可对拓扑进行导出、复制、重命名等操作。而且支持首页可自定义显示全网系统包括屏幕录像审计，支持提交至现有系统的独立审计 服务器中。办公桌面需要支持终端离线登录认证。管理员可限制不同桌面中使用的应用程序，支持 用户自定添加办公桌面中的应用，同时办公桌面 文件未经审批禁止导出。可限制不同桌面下的网 络访问权限等。3 、在同一平台扩

16、展性功能支持网络运维管理， 对主机、 虚拟化设备、硬件、 网络设备、 视讯设备、无线设备、安全设备、存储设备等多种类别设备的监控管理。4 、可扩展支持 SSH ， TELNET ， SNMPv1 ， SNMPv2c ，SNMPv3 ，Agent ，WMI 等资源的多种发现方式，生成拓扑展示界面，并且支持显示二层网络拓扑和三层网络拓扑，能够准确定位网络问题，并支持创建自定义拓扑，可对拓扑进行导出、复制、重命名等操作。而且支持首页可自定义显示全网系统包括网络、主机、硬件、虚拟化、无线设备、安全设备、存储设备运行总览；5 、可扩展支持对 Oracle 、Oracle RAC 、MySQL 、SQL

17、Server 、MongoDB 、PostgreSQL 等数据库的监控；支持通过 SMI-S 或 snmp 协议实现对HP 、Hitachi 、 IBM 、SUN 、EMC 、DDN 、昆腾网络、 主机、 硬件、 虚拟化、 无线设备、安全设备、存储设备运行总览；5、可扩展支持对 Oracle 、 Oracle RAC 、MySQL 、SQL Server 、MongoDB 、PostgreSQL 等数据库的监控；支持通过 SMI-S 或 snmp 协议实现对 HP 、Hitachi 、IBM 、SUN 、EMC 、DDN 、昆腾等厂商主流型号存储设备的监控，监 控的内容包括风扇、电源、磁盘、控

18、制器等硬件资源工作状态和阵列 IO 性能。支持服务器硬件监控：支持各品牌小型机、刀片服务器、 X86 服务器电源、硬盘、风扇、主板、 CPU 、内存等硬件运行状态的监控。等厂商主流型号存储设备的监控，监控的内容包括风扇、电源、磁盘、控制器等硬件资源工作状态和阵列 IO 性能。支持服务器硬件监控： 支持各品牌小型机、刀片服务器、 X86 服务器电源、硬盘、风扇、主板、 CPU 、内存等硬件运行状态的监控。10 1、支持硬件变化报警、接入移动存储介质报警、插入光盘报警、接入 3G 无线上网卡报警、 IP&MAC 地址变化报 警、违规外联报警、未安装恶意代码防 范程序报警、存在操作系统漏洞报警、 终

19、端通信异常报警等违规报警；2、报警措施支持阻断断所有网络连接、 关闭计算机、 放置隔离区、 发通知信息、1 、支持硬件变化报警、接入移动存储介质报警、插入光盘报警、接入 3G 无线上网卡报警、IP&MAC 地址变化报警、违规外联报警、未安装 恶意代码防范程序报警、 存在操作系统漏洞报警、终端通信异常报警等违规报警；2 、报警措施支持阻断断所有网络连接、 关闭计算机、放置隔离区、发通知信息、邮件或短信方式通知管理员等操作。无偏离邮件或短信方式通知管理员等操作。11 1、设置合法终端和非法终端之间的通信规则。2、设置终端用户和来宾用户之间的通信规则。3、设置部门之间的通信规则。4、设置自定义 IP

20、 地址过滤规则。 （提供功能截图，加盖公章）5、设置终端用户离线时的通信规则。1 、设置合法终端和非法终端之间的通信规则。2 、设置终端用户和来宾用户之间的通信规则。3 、设置部门之间的通信规则。4 、设置自定义 IP 地址过滤规则。（ 提供功能截图， 加盖公章）5 、设置终端用户离线时的通信规则。无偏离12 1、在线状态分析：通过在线状态分析功能，可以对入网终端的在线情况进行分析，包括在线终端、离线终端、长期离线终端的按日期分析功能，并支持按部门分别统计以上终端的分析内容，同时，支持以上数据按照分布图、 趋势图、详细信息的展示方式。2、测评状态分析：通过测评状态分析功能，可以按日期结合终端在

21、线率对全网合格与不合格入网终端进行综合分析，并将分析结果通过分布图、 趋势图、详细信息的形式进行展示。 （提供功能 截图，加盖公章）系统提供以下分析报表11 、在线状态分析：通过在线状态分析功能，可以对入网终端的在线情况进行分析，包括在线终 端、离线终端、 长期离线终端的按日期分析功能， 并支持按部门分别统计以上终端的分析内容，同 时，支持以上数据按照分布图、趋势图、详细信 息的展示方式。2 、测评状态分析： 通过测评状态分析功能， 可以按日期结合终端在线率对全网合格与不合格入网终端进行综合分析，并将分析结果通过分布图、趋势图、 详细信息的形式进行展示。 （提供功能截图，加盖公章）3 、入网风

22、险分析： 通过入网分析功能， 可以按日无偏离3、入网风险分析：通过入网分析功能， 可以按日期对全网终端分部门的入网 状况进行综合分析，分析内容包括直接批准、通讯隔离的终端情况，通过对这些数据的综合分析，将分析结果通过分布图、趋势图、详细信息的方式进行展示。4、全网安全趋势：通过全网安全趋势功能，可以按日期对网内具有安全隐患的用户进行趋势分析，隐患项目包括违规用户、测评未通过用户、非法接入用户信息，通过对这些数据的综合分析， 将分析结果通过折线图的形式展示在 首页中，便于管理员及时掌握网内安全趋势。（提供功能截图，加盖公章）期对全网终端分部门的入网状况进行综合分析， 分析内容包括直接批准、通讯隔离的终端情况， 通过对这些数据的综合分析，将分析结果通过分布图、趋势图、详细信息的方式进行展示。4 、全网安全趋势： 通过全网安全趋势功能， 可以按日期对网内具有安全隐患的用户进行趋势分析，隐患项目包括违规用户、测评未通过用户、 非法接入用户信息， 通过对这些数据的综合分析， 将分析结果通过折线图的形式展示在首页中，便 于管理员及时掌握网内安全趋势。