软件系统准入报告-网络准入系统客户端

一、网络准入系统（硬件）参数准入型号：ASM4000-S网络准入管理系统指标项功?能?描?述基本要求系统结构★产品必须具有独立知识产权，系统只包含硬件设备+IE浏览器控件2个组成部分，补丁服务器集成在硬件设备中，完全不需要用户再安装除2个基本组件外的任何形式的客户端或软件。安全控件必须采用数字签名，防止被其他软件仿冒。性能要求★6个千兆电口，一个管理口，支持ByPass，平均无故障时间（MTBF）：≥50000小时, ；每秒事务数目（TPS）：≥1000(次/秒)；最大吞吐量：≥400Mbps；最大并发连接数：1000(条)，包括身份认证模块、访问控制模块、安全检查及智能修复模块、补丁库及规范则更新模块、审计模块。高可用性★准入硬件设备须支持HA模式，管理页面可直接针对HA进行参数调整和配置，HA须支持主备机心跳IP检测及虚地址管理模式。准入架构技术架构?★1. 802.1x协议支持：准入设备后台必须支持802.1x协议的配置，网内无需另购或配置radius服务器，准入设备本身能够独立提供radius服务并可与用户已有802.1x体系及第三方客户端联动实现802.1x准入控制管理。2. CISCO EoU协议支持：准入设备后台必须支持CISCO EoU协议的配置，在CISCO 3560交换机等环境中能够搭建出整个CISCO EoU协议的准入环境。

?3. H3C Portal协议支持：准入设备后台必须支持H3C Portal协议的配置，在H3C 5500EI交换机或H3C MSR路由器等环境中能够搭建出整个Portal协议的准入环境。4. 支持DHCP、CISCO L2 OOB Virtual Gateway、Bridge等多种网络准入模式。5. 准入设备后台能够进行分级级联管理配置，可实现分级部署、统一管理的管理目标。?接入边界管理1. 在不需要配置802.1x环境的情况下，新终端入网时，准入设备能够自动对接入层可网管（支持snmp或CLI）交换机上相应的端口执行动态VLAN切换，将新终端划入隔离VLAN区，只有合法并合规的用户才能返回到正常VLAN。2. 在接入终端产生跨网关访问时，能够自动引导其进行准入管理，同时支持动态VLAN下发、端口隔离模式的接入边界管理。IP/MAC绑定能够支持IP、MAC地址认证，支持本地用户名密码认证，提供入网设备自动学习功能，支持自动生成免认证设备白名单列表，支持mac地址与端口进行安全绑定。入网引导★1. 准入环境搭建完成后，在设备入网进行IE访问时能够自动转向到指定的页面或地址。2. 在IE访问的url中包含非80端口时，也能够自动转向到指定的页面或地址。

3. 在打开QQ程序时，能够弹出阻断页面，并在页面中包含指定的页面或地址链接。4. 在利用Outlook等邮件客户端收取邮件时，能够自动阻断，并收取到包含指定的页面或地址链接的邮件。移动终端管理终端识别1. 支持当前主流智能终端设备的安全准入控制，能够自动识别主流手机、平板等移动终端，并自动进行分类。2. 提供独立的智能终端入网引导界面的自主定制功能，至少包括界面标题、界面LOGO、界面说明文字等。移动终端认证管理★1. 可提供手机或智能终端PPTP VPN接入认证模式。2. 至少支持Android系统独立的客户端应用，并支持人性化入网引导管理。3. Android客户端应用提供安全管家、金山手机卫士、NQ Mobile Security、瑞星手机安全软件等安全检查功能。认证管理基本认证方式1． 支持准入设备本地用户名密码认证。2． 支持LDAP服务器认证。3． 支持AD域服务器认证。4． 支持邮件服务器认证。5． 支持第三方radius服务器认证。U-key认证★1. 在终端上插入U-Key，能够实现身份认证并入网。2. 拔除U-Key后，终端能够在30秒内自动断网。短信认证能够搭建出短信认证体系，用户在登记入网手机号码后，能够在手机上接收到入网的短信验证码，并在IE页面上利用短信验证码实现身份认证入网。

AD域单点登录1. 用户已建立了AD域的情况下，在终端登录到AD域后，不需要再进行认证就可以自动直接入网，避免多次认证的繁琐流程。2. 同样的环境下，没有登录到AD域的终端必须在IE页面进行认证才能够入网。来宾管理提供来宾角色选择，能够设定来宾设备的访问权限和入网时长，提供来宾上网码，能够设定来宾设备与受访人员进行一对一绑定并提供绑定报表。接入审核入网设备自动产生告警，支持以短信及邮件等多种方式提醒管理员；必须经过管理员审核后才能进入网络。漫游认证支持统一平台认证模式，同一账号能够在内部各区域准入设备间实现漫游认证，内部员工在区域调动时不需要另行建立本地认证账号。终端安全管理安全检查库提供25个以上安全检查项，并支持检查引擎的升级更新。基本安全检查1. 能够在IE页面检查出终端的杀毒软件情况，支持主流的13种以上的杀毒软件检查，包括微软MSE、可牛、Avast等，支持杀毒软件版本、病毒库和运行情况的检查，能够在IE页面显示出检查结果。2. 在网络中不需要另外提供补丁服务器的情况下，能够在IE页面进行入网终端的补丁检查，补丁均划分为严重、重要、中等的类别，能够在IE页面显示出检查结果。

3. 能够在IE页面检查出主流的桌面管理系统（包括Landesk、北信源、威盾、盈高、圣博润等）客户端是否安装并正常运行，能够在IE页面显示出检查结果。4. 支持拨号、双网卡、代理等外联行为的安检检查，发现违规外联后即时断开用户网络，并产生告警通知管理人员。终端安全加固1. 能够对没有安装杀毒软件的终端通过IE页面自动安装相应的杀毒软件。2. 在不需要网络中另外提供补丁服务器的情况下，能够对检查到未安装补丁的终端通过IE页面自动更新补丁。3. 能够对检查到未安装桌面管理客户端的终端通过IE页面自动安装相应的桌面管理客户端。网络设备管理Hub管理1. hub发现：在多台计算机通过hub接入网络时，准入设备后台能够产生hub接入的报警记录。2. hub禁止：准入设备能够采用切换vlan，逻辑关闭端口等方式禁止hub接入，hub下的所有计算机均不能访问网络。交换机列表准入设备后台能够添加及配置网络中可网管（支持snmp或CLI）的交换机，并生成交换机列表，点击列表中的条目能够进入交换机面板视图。交换机查看准入设备后台能够展示网络中可网管交换机的模拟面板，面板中能显示出交换机的各接口状态（up、down、trunk等），以及各接口下联的终端信息（IP地址、mac地址等）。

设备自身管理自维护功能★1. 准入设备后台能够查看到设备当前使用的准入技术、网络接口状态、设备CPU使用曲线图、磁盘和内存使用等状况。2. 提供终端故障分析、终端准入事件分析等功能，实现问题的自我诊断、维护。管理审计准入设备需支持https安全管理方式，并支持syslog日志定向输出。系统分权管理1. 准入设备后台至少提供系统管理员、角色管理员、系统审计员3种管理角色，防止单个角色管理者的权限滥用。2. 准入设备后台配置的安全策略能够设定私有或共享属性,私有策略或规范只能被创建者修改，其他操作员只能查看，防止误操作的发生。网络诊断工具★支持通过WEB管理界面提供ping、抓包等功能，并可以设置命令参数进行相关调试。第三方接口准入设备后台提供第三方访问接口，第三方系统能够通过准入设备获取到网络中的终端列表、IP信息及违规走势数据等信息。资源管理IP地址管理★1. 提供IP地址分配表，能够通过图示直观的查看各网段中未分配、开机、关机的数量和分布情况。2. 能够直接、快捷的查看全网终端历史上线、下线、在线时长等详细的IP使用情况。能耗管理提供未关机终端自动统计功能，并能够按照部门、时间段等条件生成统计报表。

软件资产管理能够对全网计算机上安装的软件进行统计，可以按照部门、名称提供精确查询以及软件资产报表的导出。报表管理管理报表1. 准入设备后台能够按周、月、年统计安全状况走势图。2. 准入设备后台提供每日入网报告、每周入网报告、每月入网报告。告警提醒准入设备能够以邮件、手机短信、页面消息等多种报警方式提醒管理员各种安全异常状态。产品授权及服务★提供原厂商针对本项目的授权函及至少三年的售后服务承诺函。案例要求★提供1000点以上大规模成功部署案例合同及验收证明2个及以上。资质要求★1. 公安部《信息安全产品检测报告（访问控制类）》2. 公安部《计算机信息系统安全专用产品销售许可证》3. 国家保密局《涉密信息系统产品检测证书（网络安全访问控制产品）》4. 解放军信息安全测评中心《军用信息安全产品认证证书》5. 国家版权局《计算机软件著作权登记证书》6. 国家知识产权局产品专利2项及以上7. 原厂商2位及以上ISO27001主任审核员证书00点 技术参数模块功?能?项功?能?价?值DSM非法外联监控终端违规外联检测通过策略检查、控制内网用户违规外网连接行为，包括终端违规连接互联网、终端同时连接了内网和互联网等方式终端违规行为检测通过安全策略实时检测、发现内网中以拨号、双网卡、无线、代理等方式企图连接外部网络的行为，并及时通知管理员。

DSM终端安全检查及加固桌面安全性评估MSEP通过检查终端系统用户密码安全性、用户是否开启了非法共享、用户是否有运行高风险的服务等等，以帮助用户评估当前系统配置的整体安全性。防病毒软件管理MSEP通过检测判断终端计算机上是否安装有防病毒软件及其病毒库日期、病毒日志报表等信息，以限定终端计算机访问权限，从而确保整个内网的安全。终端用户变换审计实时监控终端计算机上系统用户的变化（如添加/删除用户），对未授权的用户操作行为进行及时的告警。软件和启动项管理MSEP实时监控终端上已安装软件列表、自启动程序列表，对未经授权的非法操作以提示用户、向管理员告警、禁止安装/删除等方式全面管理。系统注册表管理为防止员工通过修改注册表键值来更改网络或计算机的属性，MSEP提供对注册表锁定，以禁绝员工随意修改网络或计算机的属性，造成不可预测的信息安全事故。网络端口通信审计有效的防止外来计算机非法侵入公司内部网络，MSEP可根据需要灵活的设置策略，限定外来计算机跟网内计算机的通讯方向。网络共享管理员工往往因为工作需要设置共享文件夹，然而，共享文件很容易被别有用心的员工或外来计算机窃取，避免网络共享泄密和网络病毒传播。

临时文件清理通过对终端临时文件进行清理，包括最近访问的文档、上网历史记录、用户临时文件夹、回收站、office临时文件等，以优化终端系统性能，提高员工的工作效率。DSM用户行为管理文档操作管理详细记录每个员工在本机上操作过的文件，防止非法从电脑硬盘等其它存储设备中新建、修改、拷贝、移动、删除等操作，可以有效的管理企业内部机密文档。邮件收发管理实现邮件收发的有效审计和管理，防止公司关键信息以邮件的方式非法泄密，提供事后追根溯源。上网行为统计管理实时记录终端计算机访问过那些网站，并以饼状、表单等图表方式形象的展现统计结果、访问量排行。DSM网络安全管理网络流量管理针对不同用户或一个组内的用户，实现不同网段、不同端口的流量分配控制，以有效的管理内网带宽、优化网络及业务系统高效运作。网络异常检测通过对全网ARP包、网络流量、TCP连接数的检测来判断内部网络是否出现异常,以便判定是否有未知病毒存在。反ARP欺骗帮助管理员发现并定位进行ARP欺骗的病毒源，并对有ARP攻击的终端设备进行断网隔离。桌面防火墙MSEP提供简洁、实用的桌面防火墙功能，以方便管理员对终端的全面有效管理，防止黑客、木马病毒对内网的渗透、破坏。

网站黑白名单管理提供以黑白名单模式对违规的网络行为在事前做到有效控制，方便管理者对员工上网行为进行监控和管理。I P与MAC地址绑定防止员工随意更改IP地址，造成内网经常性IP冲突，减轻管理员在IP资源管理方面的工作压力。DSM终端运维管理系统设置管理帮助管理人员防止用户自行修改网络属性、IE属性等设置，杜绝由于用户的更改操作对计算机安全造成影响或引入安全风险。远程维护管理管理员可以通过控制台来维护员工的电脑,包括软件的安装、修改、进程的管理等，提高工作效率、节省管理成本。终端漏洞自动分析系统可以自动对终端计算机上存在的安全漏洞进行检测，并将检测结果上报到服务器，以帮助用户评估内网安全威胁。远程控制、协助方便管理员对网内计算机进行远程维护，同时支持异地远程维护，实现了跨区域分支机构的集中管理和控制。终端用户屏幕查看远程查看当前用户终端屏幕，方便管理员对用户行为的远程巡视，并在发现违规行为时能够及时纠正。终端性能检测MSEP通过对终端进程CPU使用率、内存、I/O读写字节数、建立TCP连接个数等进行实时监测分析，判断系统资源当前使用状况，能够及时发现、终止可疑进程，守护关键应用进程。DSM补丁与应用管理补丁扫描及补丁库管理采用高效的补丁扫描技术，总扫描不超过10秒，扫描过程不会影响终端性能。

并可以有选择的下载重要补丁、剔除非必须补丁包，使管理员能更准确、有效的管理维护补丁库。补丁审核及测试出于对新发布补丁稳定性、兼容性的考虑，在大范围部署之前管理员会首先对新补丁进行测试、审核，符合安全规则再进行全面安装。补丁分发与安装通过补丁安装策略，定义补丁检测扫描方式、安装时间和安装方式，根据客户实际的系统环境及网络构架，灵活定义适合用户的部署安装方式。物理隔离网络补丁升级针对内外网隔离环境的补丁部署，MSEP先通过外网中补丁服务器下载补丁，然后使用补丁下载服务器工具将补丁拷贝到内网MSEP服务器补丁相应目录，再进行整个内网的补丁升级。补丁状态报告通过对全网终端补丁状况分析统计，自动生成系详细、直观的补丁安装报告，同时也可以针对某一补丁在全网中的部署情况或某台终端上的补丁情况生成相应的补丁状态报告。补丁监察报警可以通过补丁安全策略针对某些必须安装而没有安装以及禁止安装却安装了的关键补丁做到有效监察和实时报警。软件分发实现补丁程序、应用程序的自动化部署，大大提高程序部署的效率，提升IT部门的工作水平，让管理员不再为大量的机械性、重复性的程序安装工作而浪费精力。应用程序管理能够帮助管理员快速、客观的评估员工使用程序的工作情况和效率，方便进行员工的网络行为管理。

程序黑白名单管理可以按照程序名、时间段等条件对应用程序做全面、严格的黑白名单策略软件系统准入报告，禁止或允许指定程序执行，在事前对用户的违规网络行为做到有效限制。系统管理及功能扩展分级分权限管理支持分区域分部门多级管理模式，不同级别的系统管理人员可以进行精细粒度的权限分配，以确保用户不同的管理范围权限、不同的功能权限。在线/离线策略管理管理员可以分别设置在线和离线两种安全策略对终端PC进行管理。策略缓存功能，终端脱网或网络、服务器出现故障情况下，管理策略仍然生效。资产生命周期管理功能模块功?能?项功?能?价?值ITAM资产生命周期管理资产全周期管理实现资产管理过程中资产领用、资产维修、资产变更、资产报废等各阶段的无缝衔接，有效提高资产维护、报表结算及时性和准确率，保证网络建设和网络维护中资产的高效运行。硬件设备信息统计能对当前网络中所有终端的硬件信息自动统计并生成详细、实用的资产报表，减少了管理员的工作量，提高了工作效率。软件资产统计MSEP可以自动收集分析终端计算机安装的软件信息，并可以通过多种条件进行查询和统计。设备标签管理支持自定义设备标签格式规范，可以分类定义设备定置号并打印标签。硬件、软件配置信息变动报警终端硬件、软件资产变更具有报警，在终端第一次注册时把硬软件信息做登记，以后每次作信息的对照。

并且可以查询变动的历史。资产变更处理终端硬件、软件资产变更具有报警，在终端第一次注册时把硬软件信息做登记，以后每次作资产信息对照软件系统准入报告，并且可以查询变动的历史。资产统计报表资产统计，对网络内终端的基本情况进行统计。资产报表展现，多种报表展现统计结果，变更情况，终端资产等各种信息。支持xls、PDF格式，支持报表预览和打印。终端外设管理MSEP可以针对USB设备、1394接口、蓝牙、红外、PCMCIA 、modem等分别进行控制审计，杜绝可能由此导致的文件外泄、病毒扩散等信息安全事故。资产信息异常告警MSEP管理平台针对软硬件资产变动、资产异常情况提供了丰富多样的报警方式，便于管理员及时迅速了解资产信息。移动存储介质管理功能模块功?能?项功?能?价?值移动存储介质管理存储介质认证管理员可以通过对存储介质统一注册、授权、创建标签的方式来加强管理存储介质的使用范围和权限，未经标识的存储介质将不能在企业内正常使用。介质接入控制通过控制策略限制只有授权的存储介质才能在指定的计算机上正常使用，可有效防止存储介质管理混乱及因非法使用存储介质而造成数据泄密。数据加密保护MSEP采用透明加密技术实现数据拷贝的自动加解密，加密数据只有在装有Agent的终端上使用，在未授权计算机上数据以密文形式存在，用户无法使用。

访问控制功能管理员可以通过策略将存储介质与计算机做一对多或多对一绑定管理，非绑定范围内的计算机将无法使用该存储介质，有效防止了终端用户存储介质的越权使用。文件访问控制可以通过文件名、扩展类型等条件来设定文件访问策略，限制用户对存储介质上非授权文件的查看，做到文件最细粒度的权限控制。存储介质使用审计提供详细的存储介质使用记录，包括注册信息、使用信息和文件操作信息，记录要素包括使用人、使用计算机、使用时间和动作等，并提供丰富的审计报告。招标要求：1、投标人具有所投产品的针对项目的授权书及三年质保书。2、在政法系统有类似准入系统项目的成功案例。项目案列金额要大于本项目报价金额。3、推荐品牌：H3C、盈高、天融信4、投标人提供所投产品满足招标参数参数产品原厂盖章确认。