招标技术指标

《招标技术指标》由会员分享，可在线阅读，更多相关《招标技术指标（11页珍藏版）》请在金锄头文库上搜索。

1、内网安全管理产品招标要求技术要求（一）分级部署和多级集中管理1、 管理构架上支持采用分级部署、分级管理和集中管理相结合的方式，管理模式为“下管一级”。2、 级联网络，要提供上级直接查询下级数据的功能。3、 支持中央汇总、区域本地分布式报警方式相结合的管理机制，不同级系统逐级汇总网络设备变化、违规行为、系统运行状况异常信息，方便网管人员进行查询。4、 支持扩展建立信息安全管理通告模块（量身定制），提供统一的内部网络安全信息公告平台。（二）终端设备接入管理5、 能自动发现整个网络中的终端系统的IP地址、机器名和MAC地址，允许管理者对终端系统按部门进行登记管理，形成网络基本情况数据库，生成网络拓扑

2、图，并且要求跨Vlan、跨路由。6、 对新接入网络的设备，不论是否安装个人防火墙要求系统能在15秒内发现并识别。7、 对网络中的终端的进行注册管理，根据设定的安全策略允许/禁止终端接入网络，采集硬件设备信息、位置信息。8、 要求支持网络终端IP分组功能，按照不同的区域、部门进行划分管理组。自动检测网络中IP资源使用情况，列表注册客户端、未注册客户端及机器在线情况，以取代原始的数据资料记载的手段，增强设备管理信息的实时性、准确性。9、 支持识别可管理型交换机（可网管），在交换机端口针对终端的具体连接端口进行关闭和启动，达到控制终端入网通讯的目的（可选），并可根据网管型交换机生成简单网络拓扑图。1

3、0、 要求支持对客户端MAC和IP地址的绑定管理，IP和主机名绑定，任意其中一个发生改变，系统将自动报警，报警后自动恢复原有IP配置。11、 要求支持对合法计算机IP地址使用的保护机制，对新接入设备占用他人IP地址的行为进行自动断网，不影响合法计算机在网络中的正常使用。12、 要求支持内网完整性管理，对网络中计算机的接入、带出行为进行报警，并能够自动阻断违规行为。13、 要求支持对未授权的终端设备接入具有阻断能力（不依赖交换机、路由器），同时提供安全源事件远程阻断，系统在管辖范围内，能够跨越网段并可以跨VLAN对违规联网的计算机设备进行自动阻断。（三）终端IT资产管理14、 系统要求支持管理网

4、络终端软硬件资产：采集客户端的硬件设备信息（诸如硬盘、CPU、内存等）、位置信息（设备名称、使用人、联系电话、房间号等），注册后存储到数据库中;可自动发现客户端安装的软件，将所有相关数据入库管理；支持在管理中心对注册客户端进行联机卸载。15、 系统要求支持设备资产信息变化报警，报警未注册设备、注册程序卸载行为，实时检测硬件设备变化情况（如设备硬件变化、网络地址更改、USB设备接入等）。16、 必须支持对终端计算机软件安装信息的收集，包括当前软件安装信息和历史安装信息。（四）移动存储管理17、 支持对移动存储设备接入管理控制，定义USB标识，根据策略禁止非法USB存储，支持通过移动存储设备认证方

5、式控制本单位与外来移动存储设备的接入。18、 支持对移动存储数据的读写控制，审计数据的写入与读出，并可以根据策略定制进行限制。（五）统一安全策略19、 系统要求提供安全策略制定功能，根据终端安全防护需要提供安全策略（全局策略、本地策略、备份策略）。20、 策略制订后，能够自动分发至网络中所有注册终端，根据策略类型决定如何执行。21、 策略需支持上级锁定并强制下级执行，下级无法修改。22、 可以定义策略执行的网络环境，如在特定网络中策略有效或无效。（六）网络主机运维管理23、 要求支持对网络中客户端流量进行监控报警：对客户端设备流量进行采样并实时排序，监视网络的异常流量和异常连接，客户端输入或输

6、出流量超越管理员设定阈值时报警，对可疑发包、可疑并发连接进行阻断，防止非法入侵、滥用网络资源。24、 要求支持对重要主机进行运维监控，支持对客户端硬盘、CPU 、内存等系统资源应用状况的监控，在超过管理员设定阈值时自动报警。25、 要求支持系统重要进程、服务器、软件等的运行监控，对关键进程、关键服务进行保护，并在其发生死锁时自动恢复。26、 要求支持对重要服务器、路由器、交换机等网络设备的保护，有效保障网络的稳定运行。27、 系统必须支持远程文件备份机制，要求把指定的文件在规定时间间隔内备份到指定服务器。28、 要求系统支持管理员多路呼叫帮助平台，每个管理员可同时对多个用户提供远程帮助。（七）

7、非法外联监控29、 要求支持监控网络中客户端的非法外联行为，实时检测内部网络（包括物理隔离和逻辑隔离网络）用户通过调制解调器、ADSL、双网卡等设备非法外联互联网行为，并远程告警或断网。30、 支持监控已注册的设备网络连接行为，如改变网络地址接入其它网络，根据接入网络环境因素判定其是否非法接入其它网络。31、 客户端非法外联支持详细记录非法上网计算机的名称、单位、上网方式,可以在报警平台和报警查询中获知信息，并且可以对客户端进行提示信息，自动关机，断网等处理。32、 必须支持是否允许使用代理服务器上网的控制。（八）终端桌面安全管理及审计33、 要求支持硬件接口控制，控制外设接口的使用，管理员启

8、用或禁用软驱、光驱、U盘、USB接口、打印机、Model、串口、并口、1394接口、红外接口等。34、 要求支持桌面流量管理，对网络客户端流量进行监控报警，客户端输入或输出流量超过设定阈值时报警，对可疑发包（蠕虫病毒等）行为、多并发连接进行检测、断网，防止非法入侵、滥用网络资源、感染病毒后影响网络正常工作。35、 支持对全网联网计算机的流量统计和流量排名，标示是否发包可疑和当前并发连接数。36、 要求支持进行软件黑白名单审计管理，网管制订各种黑白名单策略后，报警处置客户端中安装运行的非法软件。37、 要求支持进程执行黑白名单审计管理，对及时结束非法进程，如QQ、MSN、炒股等，搜索病毒、木马等

9、可疑程序。38、 针对绿色免安装软件，要求能够识别软件的产品名称和源文件名，即使进程名称发生改变也能进行管理和控制。39、 必须具备禁止、允许指定软件在注册表启动项、注册表服务项、（开始）程序菜单中添加相关值和快捷方式。40、 要求支持进行客户端防病毒软件审计，能够识别市场多种常见杀毒软件，监控防病毒软件在客户端的安装情况、实时运行情况，对没有安装、实时运行杀毒软件的计算机进行处理，如告警、断网，并以图表的形式直观显示，报警未安装、未运行杀毒软件客户端。41、 支持记录文件操作，包括的记录文件操作类型：创建、打印、访问、复制、改名、恢复、删除、移动等；对文件拷入、拷出行为进行监控，能够基于文件

10、名、文件内容等安全性关键字规则对网络客户端进行搜索。42、 要求支持审计IE访问记录，检查客户端访问某一特定地址的历史信息，如访问后的IE缓存、Cookie信息、收藏夹等。43、 要求支持给终端计算机指定允许访问的URL或禁止访问的URL。44、 要求支持客户端防火墙功能，对客户端进行端口访问控制、ICMP控制、IP地址访问控制，由管理员制订统一策略在客户端执行。45、 要求支持对客户端进行系统安全性审计，包括注册表审计：审计注册表键或者键值是否符合某一条件，对不符合审计要求的键值进行添加或删除；用户密码审计：审计系统用户、网络共享、屏幕保护等密码是否符合规范；用户权限审计：监控系统用户及用户

11、组增加、减少的变化。46、 要求支持系统日志审计，管理员对客户端计算机的日志（系统日志、应用日志、安全日志等）进行远程读取查看。47、 要求支持监控计算机终端向软驱、光驱、USB存储设备等写入文件的操作；可配置计算机终端可使用的打印机并审计其打印信息；支持输入输出设备的行为审计，并可审计网络共享传输、审计邮件传输，必要时能够禁止网络共享、文件打印、邮件发送（邮件客户端和WebMail）。48、 要求支持脚本分发控制客户端操作，向客户端分发用户脚本，控制客户端的程序运行，以及软件的下载、安装等；向客户端分发注册表脚本，对客户端的注册表进行新建、修改、删除操作。49、 要求支持桌面消息通知并回馈，

12、向客户端发送请求重新注册、客户端代理程序升级等消息；能够查询消息回馈情况，了解消息通知接收效果。50、 要求支持终端点对点信息远程管理功能，诸如屏幕查看、抓包分析、运行进程查看、当前开放端口察看、安装软件审核、漏打补丁查看、终端安全审计、客户端网络配置修改等信息。（九）补丁检测审计与补丁分发51、 要求支持对互联网补丁进行增量分离下载，经过病毒检测后将补丁导入内网，建立、更新内网补丁库。52、 要求支持按照不同类别对补丁进行归类（系统补丁、IE补丁、应用程序补丁以及网管自定义补丁组等），并详细列表补丁信息。53、 要求支持其他非Windows系统补丁，如各种应用程序更新补丁，用户可以自定义索引

13、文件。54、 要求支持补丁闭环自动测试功能，对新下载的补丁进行真实环境的自动测试（管理员选定测试组计算机），测试完成后确认补丁安全再在指定时间后大面积下发补丁。55、 要求支持客户端补丁自动检测，在内网中建立补丁检测网站，客户端用户访问网站后，Web网页自动检测显示客户端补丁安装信息，用户可进行手动（批量）补丁下载安装；管理员可以在管理平台上点对点远程检测客户端补丁安装状况。56、 要求支持补丁分发策略制定，支持用户自定义补丁策略并自由分发，基于客户端网络IP范围、操作系统种类、补丁类别、风险级别（系统补丁、IE补丁、应用程序补丁以及网管自定义补丁组等）等制定策略，发送至客户端后统一按策略执行

14、应用。57、 要求支持补丁自动分发安装，在指定时间、指定网络范围内以不同方式（如推、拉）分发补丁，或者根据脚本策略统一控制客户端下载补丁。当系统监测到有客户端未打补丁时，可对漏打补丁客户端进行推送补丁。58、 要求支持补丁分发流量和并发连接数控制，支持补丁下载代理转发，以免占用太大带宽，影响网络正常工作。59、 对于长期不打补丁的客户端，要求支持通过补丁管理系统阻止其接入内网的行为；对新接入网络的计算机要求立即安装补丁，否则阻断其入网。60、 要求对网内计算机的补丁安装情况进行整体收集，补丁下发完成后要有信息回馈，便于查询并导出报表。61、 要求支持分发普通文件到客户端计算机，在分发软件包时要

15、求能够定义软件安装成功的标志，以便准确了解软件下发后安装情况，并且可以指定软件安装的系统用户类型。（十）系统安全62、 要求达到投标产品为具有成功实施案例的成熟产品，基于C/S、B/S混合管理模式构架，方便的对网络中Windows系统客户端及本系统进行管理。63、 系统要求产品的组件间通信时，传输数据必须加密，客户端数据上报和服务器端指令、策略下发采用加密算法，防止他人旁路嗅探信息。64、 客户端系统具有自我防护机制，防止用户随意停止、卸载。65、 要求提供系统运行审计和操作审计机制，保证系统的稳定运行，系统管理员登录要求支持IP地址访问限定，只有获得授权的计算机才能进入系统控制台。66、 要

16、求系统管理服务器具有自身安全防护机制，网络中出现恶意修改成与管理服务器相同信息（如相同的IP地址、相同的MAC地址等）的机器时，出现IP地址或MAC地址冲突等现象时，管理服务器将不会被阻断出网（即不会出现地址冲突的现象），只有发起恶意攻击的设备会被自动阻断，不会影响管理服务器的正常管理。67、 要求支持对数据的整理，对长期不开机以及IP重复、不在新管理范围内的机器进行整理。68、 要求支持分权限管理，按照管理区域、安全策略、权限项列表等对不同的管理员账户进行分配，如分为操作、管理和审计等多种角色。69、 多级系统要求上级系统能够实时监控到下级各安全管理系统组件的运行状况信息：系统基本信息、运行状态、管理范围等，一旦下级系统出现异常，立即可以