北信源参数

1、内网安全管理及补丁分发系统（数量1套） 参考型号：北信源

指标项 1. 规格要求 投标产品必须同时具备销售许可证、中国信息安全产品测评中心认证及国家保密局涉密信息系统检测证书；原厂家具有国家信息安全测评信息安全服务资质证书（一级）。 投标产品应具有CMMI ML3以上认证； 投标厂商应是投标产品原生产厂商并，应提供投标产品的著作权证书； 投标产品必须具备至少2个国家级三级（或以上）级联网络中相关安全项目实施的案例，并提供书面证明； 投标产品原厂商必须具有对国家级大型网络的安全保障经验和实际案例，并能提供相关证明，可以提供用户现场供参观； 投标产品必须具备大型单网络50万点以上的成功案例，并提供书面证明； 投标产品原厂商注册资金在5000万元以上； 投标产品原厂商应具备ISO9001：2000质量管理体系证书。 *支持策略级联管理功能，上级管理服务器可强制定制策略并下发给下级管理服务器；下级管理服务器的报警和统计信息级联上报，同时支持上级直接登录下级管理服务器，以进行详细数据查询； 系统的管理网络终端管理能力要求达到支持5000台以上计算机，并提供相关证明； 2. 3. ★资质要求 4. 5. 6. 7. 8. 1. 2. 3. 策略管理：系统支持根据用户划分区域、IP地址、操作系统、自定义检索等多种方式进行策略分发。终端安全程序可自动侦测网络连接情况，根据在内网/不在内网可执行不同的安全策略，满足网络中计算机接入带出的安全管理要求。策略可指定生效时间段； 系统功能 4. *具备对管理员分权限管理，达到管理员、审计员权限分立，互不交叉。提供系统运行审计和操作审计机制，保证系统的稳定运行，系统管理员登录要求支持IP地址访问限定，只有获得授权的计算机才能进入系统控制台。 5. *策略漫游功能：当计算机从当前管理器服务器管理区域变换至其它管理器的管理区域后，直接接受该区域管理服务器的接管，并自动获得和执行新管理服务器理的管理策略。 6. 要求支持分权限管理功能，级单独一套系统下可根据下属区域、策略等划分出多种管理和事件查看角色，进行管理。 7. 要求支持对数据的整理，支持对包括长期不开机以及IP重复、不在管理范围内的机器进行整理。 8. 客户端功能在安全模式下仍生效。 9. 系统必须具备良好的系统安全性，终端具有自我防护机制，防止用户使用网上常见的卸载等工具（包括Icesword、360安全卫士等）随意停止、卸载。 10. 系统兼容Windows vista, Windows 7等新版本Windows系统； 11. *系统兼容位系统； 1. 能够自动发现网络中存在的网络设备，要求可以识别设备IP、设备MAC、设备名称。 2. 能够正确识别接入设备是否为合法身份的计算机终端，并拒绝接入网络。 3. 准入控制要求支持802.1X标准协议网络和非802.1X协议网络。 4. *对不支持802.1X协议网络要求不依赖任何网络环境，且不需要添加硬件设备实现准入控制，且不受本地防火墙影响。 网络身份认证 5. 非法接入终端要求实现URL重定向，方便终端注册授权。 6. 要求支持对特殊设备可以设定保护，不受准入控制影响。 7. 要求终端离开内网后，不影响使用其他网络。 8. *要求对合法用户做安全检查，对未安装杀毒软件的终端强制隔离，并报警，且自动推送杀毒软件安装程序；未修复重要漏洞的终端强制隔离，并报警，且自动推送修复漏洞的URL。 1. 合法用户要求支持实名制注册管理，可预先编辑单位名称、部门名称、房间号供仅选择，支持由管理员设定注册填写信息开启项和必填项。 2. 支持注册管理设定密码。 3. *终端注册后要求可以识别计算机名称、计算机描述、当前登录用户。 4. *支持设定临时用户，并指定自动卸载时间。 1. 支持客户端补丁的自动下载及安装补丁，支持用户自定义补丁策略，系统可基于终端网络IP范围、操作系统种类、补丁类别等多种方式制订策略，可在指定时间、指定网络范围内分发补丁； 2. *具备终端代理转发技术功能（即补丁可由终端转发补丁给其它终端），控制补丁分发流量； 3. 具备终端补丁自检测，终端用户可以通过内网HTTP方式访问查找补丁及文件分自身漏打补丁的详细信息，并可方便的进行补丁下载安装；管理发管理 员也可远程检测终端补丁安装状况； 4. 具备补丁内网自动测试功能，即首先分发部分补丁至部分设备，如无问题反馈，待达到设定时间后自动分发至全部设备； 5. 具备文件分发功能，且管理员自定义分发成功的判断条件，具体包括对注册表项是否写入及文件是否存在或更新等条件进行判断。 注册管理 1. *用户移动存储介质注册功能：由用户自己对普通移动存储介质（如u盘，移动硬盘等）进行注册，注册后生成移动介质唯一标识，同时进行数据加密，由用户进行密码设置，需要输入密码才可访问移动介质内的信息； 2. 只有带有注册并且符合移动存储介质管理策略的存储介质才可以接入内网计算机使用，未注册的移动存储介质无法在内网使用（或根据策略在指定设备受限使用）； 移动存储介质3. 支持注册后的移动存储介质依据授权信息数据交换控制功能，并支持移动存储设备（分区域、网段等）接入管理，对指定区域内管理 支持禁用、只读、读写等访问控制形式； 4. 移动存储介质数据交换行为审计管理，审计可针对文件后缀名等条件进行，并提供详细的文件操作详细审计记录：包括文件的创建、复制、删除、修改和重命名等操作，（包括文件名、审计描述、时间、用户名、计算机IP地址和其他必要的信息）；同时提供详细的移动存储设备的插入和拔出动作的详细记录； 5. 支持网管移动存储介质密码找回功能； 6. *支持已丢失移动存储介质接入告警功能。 1. *支持记录文件操作，包括的记录文件操作类型：创建、打印、访问、复制、改名、恢复、删除、移动等；对文件拷入、拷出行为进行监控，能够基于文件名、文件内容等安全性关键字规则对网络客户端进行搜索。 2. 支持上网访问行为控制，以黑白名单的方式对用户的网页访问行为进行控制。支持上网访问行为进行审计和记录。 3. 支持对文件输出行为进行监控，监控内容包括：打印、邮件、网络共享输出等 4. *系统支持打印监控，支持设定仅允许打印的文件类型或仅禁止打印的文件类型，支持打印审计并记录，支持打印文件备份。支持设定敏感字符串检查，对含有敏感字符串的文件可设定为询问、行为管理及审拒绝、审计 计 5. 系统支持邮件监控，支持控制邮件行为，可设定仅允许使用的邮件服务器。审计邮件行为并记录 6. 系统支持网络文件输出监控，控制或审计主机通过共享文件的方式进行文件输出。支持设定敏感字符串检查，对含有敏感字符串的文件可设定为询问、拒绝、审计。 7. 要求支持审计IE访问记录，检查客户端访问某一特定地址的历史信息，如访问www.sina.com后的IE缓存、Cookie信息、收藏夹等。 8. 支持文件涉密信息检查，可设定涉密信息查询条件，设定指定目录下的指定类型文件进行内容检查，检查其是否包含涉密内容。系统支持进行“或”、“与”等多种逻辑的组合检测和模糊检测。 1. 支持监控网络中客户端的非法外联行为，实时检测内部物理隔离违规联网管理 网络用户通过调制解调器、ADSL、双网卡等设备非法外联互联网行为，并立即阻断和告警； 2. 内网级联报警功能，违规联网的设备连接内网后内网可接收到报警信息。 3. 具备多种处理方式，可以对客户端进行信息警告、上网锁定（内网管理员可远程解锁）、自动关机等处理； 4. 可通过驱动禁用调制解调器、禁用冗余网卡防止内网机器通过手机、无线上网卡等访问互联网。 5. 违规联网取证功能，支持对违规连接互联网设备的取证功能，取证信息包括连接互联网时的数据包头、路由信息等，并详细记录非法上网计算机的名称、单位、上网地址等，以便查询。 1. 资产管理：系统要求支持管理网络终端软硬件资产，包括硬件设备信息（诸如硬盘、CPU、内存等）、位置信息（设备名称、使用人、联系电话、所属部门等）、网络信息（MAC地址、IP地址、主机名、网关地址）、软件安装信息（操作系统、防病毒软件等）等； 资产管理2. 硬件变化管理：系统要求支持设备硬件变化行为（如设备硬件变功能 化、网络地址更改等）报警；支持对未注册设备、注册程序卸载行为的报警； 3. 对于无法采集信息的硬件（如IP电话等），支持手动修改和添加硬件信息。 硬件1. 可控制硬件外设的使用，启用或禁用光驱、软驱、USB移动存储、外设USB全部接口、 打印机并行口、调制解调器、串行口、并行口、管理 1394控制器、红外设备、蓝牙设备、PCMCIA卡、无线网卡等 1. 支持自动采集软件信息，并支持设定软件黑白名单； 2. 支持对禁止安装的软件报警并自动卸载管理； 3. 支持点对点软件审核和卸载管理； 软件4. 支持进程自动采集管理； 内网及进5. 支持设定进程黑白名单设定； 安全程管6. *支持对（指定公司名、源文件名）的进程进行黑白名单的控制，管理 理 黑名单内的进程自动被禁止，指定执行目录下的白名单内进程自动启动； 7. 支持点对点软件审核和停止管理。 1. 要求支持网管统一管理的主机防火墙功能，具备对客户端进行端口访问控制、IP地址访问控制等功能，策略由管理员制订统一策略在客户端执行； 2. *能够识别具有颁发销售许可证的全部杀毒软件，并监控这些防病毒软件在客户端的安装情况、实时运行情况，对未运行杀毒软件的计算机进行如告警、断网处理； 安全3. *要求支持终端流量监控，对网络客户端流量达到策略设定阈值时管理 报警或断网，对可疑发包（疑似蠕虫病毒发包）行为、并发连接数过多进行提示或断网； 4. 用户权限变化审计功能：持对本地用户、用户组的增加、减少及权限变化进行审计，并可进行客户端提示； 5. 密码管理支持检测系统密码弱口令检测功能，并可强制用户设定系统（屏保）密码，密码的设定强度和更换频率可由管理员控制； 6. 支持管理员进行客户端IE统一配置的功能； 7. 支持禁用IE代理上网功能； 8. IE访问审计和IE访问地址的黑白名单管理功能； 9. 系统必须具备对服务器等重要主机的IP保护功能，当非法机器企图占用重要主机IP时，非法机器无法上网但重要主机正常使用； 10. 支持IP与MAC绑定，禁止终端用户修改IP地址、网关等网络通讯关键参数的功能，并提供自动恢复、断网和提示等处理。 1. 支持多路呼叫平台，由终端用户主动向管理员发起远程请求。 2. 支持管理员主动向终端远程支持，连接方式支持自动连接、密码终端连接、询问连接；支持只读连接和读写连接； 维护 3. 支持远程时自动截屏； 4. *支持远程时文件交互。 1. 消息通知功能：消息通知可分区域、时间进行；如需要可强制用户查看，并获取用户是否查看的信息； 2. 支持终端远程点对点管理功能，诸如屏幕查看、运行进程查看、当前开放端口察看、安装软件审核、漏打补丁查看、终端安全审计、客户端网络配置修改等； 3. *支持交换机网管功能，可自动生成交换机背板图，可自动探测端其他口下的终端数量和端口流量，可开启或关闭端口； 功能 4. 支持终端计算机共享文件夹禁用功能，可以禁止使用默认共享和用户自建共享文件夹； 5. 支持终端时间同步功能； 6. 设备统计查询要求支持树行结构、柱状图、饼图等方式，对各种日志的导出查询，支持Excel等多种格式的文件导出； 7. *支持用户自定义的报表，由用户自主定义报表内容以及报项，并生成报表模板，以方便查询和打印输出。 本次配置：1个服务端，10000个客户端