终端安全准入系统功能要求

指标类型

指标要求

配置要求

根据项目实际情况及服务器 (略) 选型

架构要求

建议标准采用B/S架构，便利易操作管理设计；

支持VPN/拨号接入、分支机构联动管理；

基于Linux开发的专用操作系统，具有自主知识产权；

支持HA模式，HA支持主备机心跳IP检测及虚地址管理模式；

支持负载均 (略) 署；

提供断电保护机制， (略) 络不受影响。

性能要求

客户端插件支持X * \X * 平台的XP/WIN7/WIN8/WIN * 操作系统；

部署要求

支持旁路、 (略) 署方式；

支持逻辑旁路 (略) 署； (略) 署过程中 (略) 络结构；

支持多级级联管理；

支持HUB及无线AP环境， (略) 络设备；

★ (略) 署多台准入服务器，统 * 平台管理，可自定义管辖IP范围；

安全要求

平台与客户端之间通讯、策略下发、文件分发等交互全程采用https加密协议和定制端口（非 * ）、敏感端口；

平台要求

产品控制平台管理账户支持 * 权分立，具有系统管理员、系统审计员、系统操作员管理账号；

系统支持能够根据管理需要自定义添加账号；

★系统新建账号支持只读设置功能，只读账号仅能查看系统功能，无法更改策略及相关配置；（提供功能截图，加盖公章）

针对产品的登录信息可根据用户实际情况自定义修改，如：系统名称、登录图片背景；

支持插件后台自动升级功能；

支持数据库后台每天自动备份功能，可选择每天、每周的固定时间以及备份的时间点设置功能；

系统必须支持外接存储功能， (略) (略) 分数 (略) 存储区域；

★功能列表中的基本功能在 * 个平台上实现，没有第 * 平台；

插件保护功能，终 (略) 需进程均需隐藏，无法被恶意结束、删除、 (略) 为结束；

支持管理插件卸载的热键呼出及卸载密码设置功能；

支持设置登录平台保护功能， (略) 段、密码尝试次数、非法锁定时间、超时自动退出时间；

支持Syslog日志服务器对接设置，可传输系统登录、系统操作、终端用户登 * 、终端用户修复、移动用户登 * 、移动用户修复、高级用户登录、 (略) 用户登录等日志信息。

准入技术要求

★支持策略路由、镜像、 (略) 桥等多种准入技术；（提供功能截图，加盖公章）

★准入技术支 (略) 络；（提供功能截图，加盖公章）

★ (略) 络接入环境，准入技术支持单独或组合使用的方式同时使用；（提供功能截图，加盖公章）

(略) 络 (略) 络访问区域，至少能够划分安全用户访问区域、 (略) 用户访问区域、隔离用户访问区域，各访问区域可以根据 (略) 修改；（提供功能截图，加盖公章）

支持拓扑发现及展现功能， (略) 拓扑图的自定义绘制；

支持重定向引导页面并能够详细描述被准入的原因；

每种准入技术支持正常模式、紧急模式、仅阻断Web模式；

可根据用户的实际环境自定义非 * 端口的Web服务端口号及用户重定向引导；

支 (略) 景提供不同重定向页面，至少提供自定义重定向页面、使用代理终端的重定向页面等。

准入实施要求

支持准入范围的自定义设置功能，可以根据需要设置准入生效范围，范围 (略) 时能够在阻 (略) 入网流程引导，引导用户 (略) 操作；

支持阻断跨NAT路由器下未安装插件的计算机；

能够与终端的安全测评结果联动，根据 (略) 终端 (略) 处理；

支持DHCP服务设置功能，为网 (略) IP地址的分配操作；（提供功能截图，加盖公章）

支持DHCP与其他准入功能的联动应用，对不同人员分配的不同 (略) (略) 络权限的划分；

支持扩展原widnows系统账号+口令的登录方式，扩展后须支持Ukey、智能卡、LADP、AD域、系统自建账号、动态验证码等多种方式登录系统。

网络拓扑

支持对交换机 (略) (略) 自动发现及展现， (略) 内拓扑情况。违规接入的终端可在拓扑图中通过上 (略) 颜色报警或提示；（提供功能截图，加盖公章）

支持在 (略) 络 (略) 管理。（提供功能截图，加盖公章）

IP地址管理

支持通过矩 (略) 网络IP地址展示，可直观的展示IP地址状态，包括未分配、开机、关机等；（提供功能截图，加盖公章）

支持查看IP使用历史记录，包括但不限于设备名称、设备IP、上线时间、离线时间、运行时长等。

设备信息

★支持自 (略) (略) 有网络设备及终端设备。（提供功能截图，加盖公章）

例外设置

★支持针对特殊终端 (略) 处理，无须安装插件 (略) ；放行依据包括IP地址、MAC地址、IP地址段；

支持无客户端下NAT识别和检测机制，能 (略) 内私接的小路由器、无线AP、随身WiFi等设备，能 (略) 中网接入的终端设备；

(略) 私接的hub、傻瓜 (略) 管设备，当多台终端通过h (略) 时，能及时发现并告警；

支持针对特殊终端的 (略) 理，不 (略) 络；

能够实现特定服务 (略) 功能，访问此服务器时不 (略) 理；

★支持端口过滤功能，能够自定义 (略) (略) 的端口，支持端口段设置。（提供功能截图，加盖公章）

违规外联管理

事前预防管理（提供功能截图，加盖公章）★

禁 (略) 卡；

(略) 卡；

禁止 (略) ；

禁止使用无线热点；

禁 (略) 卡；（ (略) 卡的单独设置）

IP/MAC绑定，可设置允许修改DNS；

禁止使用调制解调器。

事 (略) 理（提供功能截图，加盖公章）

能够及时发现终端发生违规外联或具备外联的能力；

(略) (略) (略) 报警和阻断；

触发报警后，支 (略) 放置隔离区、锁定屏幕、关闭计 (略) 理措施；

触发报警后，支持向管理员发送报警短信、报警邮件功能；

触发报警关闭计算机时， (略) 关机前的缓冲时间设置；

(略) 段自定义功能，可 (略) IP范围。

支持检测通过代理等方式 (略) (略) 报警阻断， (略) (略) 的情况下同样能够检测 (略) (略) (略) 为上报或者阻断；

支持限制终端 (略) (略) ，支持以策略方式按照区域、部门、组、IP段或单台设备设定访问范围；

(略) 设备带出 (略) (略) (略) 为上报。

事后报表统计管理

支持 (略) 为的事后数 (略) 为，汇总分析结果支持通过趋势 (略) 展示；

支持对报警信息的导出、打印功能。

身份鉴别技术

支持口令鉴别方式，包括：准入口令鉴别、AD域身份鉴别、LDAP身份鉴别、EMAIL身份鉴别；

支持硬件鉴别方式，包括：Ukey身份鉴别、CA证书鉴别；

支持动态短信鉴别方式；

★认证方式支持单 * 或组合的身份认证方式；（提供功能截图，加盖公章）

支持为新上线的计算机自动生成终端用户， (略) 门代码自动生成用户；

★支持登录时自动绑定计算机，支持未绑定用户的设备采用设备策略，用户注销自动切换为设备策略。

客户端管控

支持未插入合法UKey后的屏幕锁定管理；

支持客户端首次登录修改密码，可设定最小长度，数字、大小写组合以及非法登录尝试次数和锁定时间；

支持设定普通、高级、 (略) 、移动用户超时下线时间；

支持设定终端长期离线时间；

安全测评

能够以弹窗方 (略) (略) 安全项目检查，不符合安全规范的终端 (略) 络，检查项目包括：网络监听端口、IP/MAC绑定、ARP欺骗、恶意代码防范、操作系统补 * 、 (略) 账户、口令安全、黑名单口令、Windows防火墙、超时锁屏登录、系统服务、远程桌面、系统时间、AD域环境、共享资源、telnet、红名单程序、黑名单程序、磁盘使用情况、正版化软件检 (略) 安全检测项；

支持安全测评项目的在线 * 键检 (略) 修复功能；（提供功能截图，加盖公章）

支持设置检测项目的关键项设置，关键项目必须检查通过的 (略) 络；

支持自动检测、循环评测及后台自动修复功能。（提供功能截图，加盖公章）

报警项目

支持硬件变化报警、违规外联报警、未安装恶意代码防范程序报警、存在操作系统漏洞报警、ARP攻击报警、终端流量超出阈值 (略) 为报警。

报警策略

能够对 (略) 报警提示操作，支持自定义终端报警内容；

★触发报警后，支 (略) 放置隔离区、锁定屏幕、关闭计 (略) 理措施，以上措施可以单独或同时使用；（提供功能截图，加盖公章）

触发报警后，支持向管理员发送报警短信、报警邮件功能；

触发报警关闭计算机时， (略) 关机前的缓冲时间设置。

离线通信策略

支持离线超时策略，客户端非正常情况退出和离线时，能够设置离线保存时间，在时间内不被准入；

★支持离线策略设置，支持设置离线后不允 (略) 络功能；（提供功能截图，加盖公章）

(略) 络访问权限不再限制功能。

在线通信策略

支持禁止合法用户与非法终端通信功能；

支持设置是否允许终端与 (略) 用户通信功能；

支持设置合法 (略) 门的 (略) 用户通信功能；

支持设置合法用户与隔离计算机是否能够通信的功能；

支持设置仅 (略) 门终端通信的功能；

★支持自定义通信过滤规则功能，能够设置与指定IP或IP段允许或禁止通信的功能。（提供功能截图，加盖公章）

USB禁止使用

支持对存储类U (略) 禁用，不影响非存储类USB外设使用；

支持对USB (略) 只读或读写权限设置，禁止通过USB接口向外、向内拷贝数据；

支持禁止访问USB移动存储设 (略) 文件；

支持禁用终端设备的USB接口、光驱、软驱、打印机、调制解调器、串并口、 * 、 红外、蓝牙及PCMCIA卡、手机等外设接口；

能够单独禁用USB移动存储设备而不影响其他USB设备；

支持禁止未注册移动存储介质随意接入；

支持禁止指定移动存 (略) 无法使用；

USB使用申请

★终端使用USB时可以主动发起申请操作，申请通过前不允许使用USB存储介质；（提供功能截图，加盖公章）

★管理员可以对USB (略) 批准或拒绝操作。（提供功能截图，加盖公章）

支持移动存储介质用户在线申请、注册，管理员在线审批；

能够对指定的USB移动 (略) 注册， (略) 属部门和使用人， (略) 加密、只读和可写的控制；

能够针对区域、部门、组、IP段或单台设备控制指定USB移动存储设备的读写权限，能够对终端和USB移动 (略) * 对 * 绑定。

USB使用认证

支持对特定USB (略) (略) 理，其他USB存储依然禁用；

支持对只读USB设置 (略) ，放 (略) USB读写操作；

支持对USB (略) (略) 理，加密 (略) 使用；

支持对USB存储介质设置内外加密分区功能，内 (略) 使用，外 (略) 使用。

支持对手机的管控；通过外设使用控制策略，可以保证手机插入电脑后，不能把文件拷贝到手机；

支持对移动存储设备中指定名 (略) 允许或禁止访问的控制；

支持移动存储 (略) 。

USB使用审计

支持对USB移动存储介质的 (略) (略) 审计；

支持对USB存储介质内 (略) (略) 详细记录；

支持指定审计的设备范围，能够指定审计的USB设备，能够指定审计的文件名称和操作类型，能够对通过U (略) 的文件拷入、 (略) 审计，支持按照使用设备、文件路径、操作名称、 (略) 报表的查询。

终端安全规范

支 (略) 有USB存储设备、蓝牙设备、打印机、便携式设备、光驱介质使用；

支 (略) (略) 卡、 (略) 卡、 (略) 、无线热点、调制解调器、 (略) 卡（ (略) 卡，除与服务器 (略) 卡）外联设备；

支持IP/MAC绑定（可设定允许修改DNS）；

支持设置终端用户的程序黑白名单、网站黑白名单以及SSID黑白名单；

禁止进入windows系统的安全模式、、注册表设置；

★支持禁用组策略、共享、控制面板等安全功能；（提供功能截图，加盖公章）

支持定时关机功能、超时锁屏

支持指定版本和授权码的正版化软件检测；

支持禁止桌面弹窗；

★支持垃圾清理， (略) 、缩略图缓存、临时文件、最近打开文件、系统日志、缺失的共享dll、chrome浏览器缓存、ie浏览器缓存、firefox浏览器缓存、Microsoftedge浏览器缓存、无效的快捷方式；

支持邮件/FTP服务器访问控制，可根据域名、IP、 (略) 管控配置；

(略) 关、关键服务器等IP、MAC的静态绑定，从而免受ARP的欺骗攻击。能够实时检测ARP欺骗的病毒源，能够对有ARP攻击的 (略) 隔离；

支持提供基于协议、IP和端口、ping * 种拦截方式；

支持设定允许或禁止主机访问的IP段、端口和协议；

支持设定允许或禁止某个IP段访问本机的端口和协议；

能够基于URL关键字设定允许或禁止终端 (略) 站，能够对违规 (略) 报警或阻断

支持与用户已有认证系统（Ukey、LDAP等）相结合实现Windows系统安全登录与身份认证（替代Windows本地用户/密码认证模式）；

支持杀毒软件检查，系统内置 * 种以上杀毒软件，包括但不限于卡巴斯基、火绒、瑞星等，并支持病毒库、版本检查，提供自动下载 (略) 址引导修复；

支 (略) 安全状态检查，支持对帐户密码安全性、屏保设置、共享安全、系统服务、进程及服 (略) 检查、评定，对存在安全风险的终端支持实时自动修复；

支持终端安全状态图形化展示，能够显示每台终端的详细风险信息并提供评估得分的统计报表；

(略) (略) 有进程，支持设置黑白名单指定禁止或允许的进程，支持进程MD5值识别方式，防止更改或伪造进程；

能够对指 (略) (略) 跟踪并以图表方式展现分析结果；

支持对 (略) (略) 保护，防止进程被非法结束；

支持设置策略禁止终端设备代理；

支持为被管控终端在管理系统后台设置指定代理、端口号，终端用户无感知；

(略) 络协 (略) (略) 为， (略) 卡数据包的代理数据阻断功能，并支持报警、断网、锁屏等强制控制措施；

支持检测Windows的代理配置选项，检测不符合要求的代理配置情况，并支持自动清除、报警、断网、锁屏等强制控制措施；

支持设置代理地址白名单；

可对上传、下载流量、总流量、发包频率、TCP连接数、UDP监 (略) 控制；

支 (略) 应用控制，支持建立软件黑、白名单，支持设置管理策略，强制终端是否 (略) 应用。

支持规范桌面壁纸、屏幕保护程序、电源管理（关闭显示器及进入休眠模式的时间设置）。

(略) 为审计

支持 (略) 为安全审计功能， (略) 为、 (略) 为、 (略) 为，具体包 (略) 站审计、终端应用程序审计、终端文件操作审计、终端USB插拔审计、终端USB文件操作审计功能；

支持审计数据的汇总分析功能，并支持通过图 (略) 分析展现及导出、打印功能。（提供功能截图，加盖公章）；

支持记录终端用户日常的 (略) 为，可以详细审计用户新建、拷贝、修改、移动、 (略) 为；

支持软件过滤，只审计常用软件产生 (略) 为；

支持对用户日常邮件的收发做有效审计，审计内容包括邮件地址、邮件标题、邮件内容以及附件等；

支持 (略) (略) 审计；

管理员 (略) 有窗口、审计指定窗口、例外窗口；

策略支持灵活应用，包括但不限于基于用户（全部或指定）、分组、部门、终端（指定/全体） 、IP段；

实时记录终端计算机 (略) 站，并以柱状图、表单等图表方式形象的展现统计结果、 (略) ；

支持浏览器过滤，只审计常用浏览器产生的审计记录；

支持通过黑白 (略) 审计或不审计指定光盘刻录机，同时可以对指定审计某种文 (略) 在路径的文件。

支持以截图的形式录制计算机的操作录像；

支持以视频的形式播放，支持快进、快退、暂停、播放速度调节；

支持自定义选择录制的帧率、图像质量；

支持录像记录文件的定期自动清理功能；

支持基于桌面程序窗口的筛选录制，可实现只录制指定窗口的屏幕记录。

补 * 管理

支持对终端的补 * 漏洞自动检测功能，能够汇 (略) 终端的补 * 漏洞信息；

支 (略) 自动安装设置，当检测到终端有未安装补 (略) 分发下载及静默安装；

支持补 * 下载时的P2P分发功能；

支持展示客户端已安装、未安装补 * 的详情；

能 (略) 程序、MSI安装包或者文档数据文件自动下发与安装；

能够支持指定组范围、 (略) 安装并提供程序打包工具；

能够自动统计分发成功率及软件安装成功率，支持进程、注册表、安装路径等多种参数判断方式。

资产维护

支持对终端软 (略) 全面的管理，包括信息收集、硬件变化报警、报表汇总展现功能；

报表汇总展现功能包括对资产分布的报表展现；

★可 (略) 终端的硬件资产 (略) 分析，包括硬盘大小、内存大小、CPU类型等信息的分析功能， (略) 门分别统计以上终端的分析内容；（提供功能截图，加盖公章）

支持以上数据按照分布图和详细信息的展示方式，并支持导出、打印等功能。

固定资产管理

★ (略) 门录入和展示固定资产信息（含非IT资产）的统计、出入库、维修记录；

资产信 (略) 门、资产类型、资产编码、资产名称、序列号、资产品牌、负责人、所属仓库、采购来源、采购渠道、供应商、采购金额、维保开始和结束时间、资产报废时间；

支持自动发现终端资产信息，包括但不限于IP地址、计算机名、MAC地址、网卡型号、 (略) 商、 (略) 在域、操作系统、硬件信息、软件信息等；

支持对 (略) 记录并导出，支持对硬件信息变动告警，支持查询变动历史；

支持对 (略) 实时统计并导出，支持对软件信息变动告警，支持查询变动历史。

(略) 资产出入库管理。

支持添加资产维修记录。

支持资产相关文档的上传、下载、查 (略) 属资产操作。

(略) 门和按资产类型展示固定资产报表。

文件分发

实现从服务器端向客户端分发文件功能，分发的文件类型应包含文件夹、压缩包、 (略) 程序、多媒体文件等，支持单点、多点、分组、全终端推送；

实现软件包下发后，支持通过分发参数的设置实现 (略) 、静默安装；

实现查看分发状态以及 (略) 筛选再次发送。

关键字扫描

★支持对终端电脑的 (略) 扫描，可 (略) 是否包含关键字、关键自然语义；

★支持开机扫描、定式扫描和触发式扫描，可设定开机扫描时间，定时扫描时间；

★支持仅扫描本地硬盘、扫描U盘等配置，，可支持插入U盘触发式扫描；

★关键自然语义包含邮箱、手机、固话、身份证，可按照包含、以此开头、以此结尾、扩 (略) 组合配置；

水印信息

支持屏幕水印防护，内容包含用户名、 (略) 门、用户真实姓名、IP地址、MAC地址、计算机名称、终端时间等，同时支持自定义水印内容；

支持水印自定义展示样式，可设置平铺、左上角、右上角、左下角、右下角和居中展示，支持设定颜色、透明度、方向和字体；

可以自定义配置水印类型、水印信息内容、大小、位置及应用范围等；可提供的水印类型包括提供屏幕水印、打印水印、桌面水印；

水印内容支持标签管理，可以自定义IP、MAC、计算机账户、时间等内容，不同的用户终端可以看到不同的水印信息；

支持明文水印技术，可自定义水印内容，文字大小、显示位置、排版效果等， (略) 水印效果预览；

支持图片水印技术，可以将图标、Logo等图片信息设置为水印；

支持矢量水印技术，可以将水印信息编码为矢量点阵水印，在减小用户阅读影响的同时，进行有效管理；

支持 * 维码水印，可以将水印信息编写为 * 维码；

支持配置指定进程触发时可自动加载水印。

远程协助

集成多种桌面支持工具，包括：远程对话、远程文件传输、 (略) 、远程重启、远程截屏等功能；

★远程控制不依赖于用户是否登录，也可以通过 (略) 用户的注销和切换。管理端在控制用户端时，可以远程关闭用户端键鼠，实现完全控制，远程桌面管理发起时，应保证画面的实时性，实现操作和响应画面传输在1秒之内完成， (略) (略) 的应用；（提供功能截图，加盖公章）

支持远程协助功能，管理端和被管理端端口采用专用T (略) 连接；

支持双向穿透NAT或VPN的远程屏幕控制（提供功能截图）；

支持根据 (略) 络状况，选择、配置合适管理员窗口分辨率、显示比例、色彩、鼠标按键、光标等；

权限管理员支持限制操作管理员远程控制权限，是否允许强制查看、控制和文件传输，允许指定必须申请管理的终端列表；

支持服务端直接对 (略) 进程管理、服务管理、共享服务管理、端口连接管理、网卡管理、系统用户管理、启动项管理、终端状态(CPU利用率、磁盘、网卡)图形化管理等（无需远程登录，服务端即可直接管理）；

支持直接发送管理命令至终端，包括但不限于关机/重启、断网/恢复、锁屏/解锁、发送消息、修改计算机名、运行指定程序、评估快照；

支持远程开启计算机，支持定时、批量开启计算机；

支持 * 台计算机接受多台计算机同时维护管理；

支持 * 台计算机同时管理控制多台计算机；

远程会话功能支持文字交互，支持强制与请求交互两种远程控制方式；

报表分析

在线状态报表：通过在线状态分析功能， (略) 终端的 (略) 分析，包括在线终端、离线终端、长期离线终端的按日期分析功能， (略) 门分别统计以上终端的分析内容，同时，支持以上数据按照汇总数据与详情数据的分别展示，支持对以上数据的高级查询、导出、打印等操作；

违规报警：通过违规事件分析功能，可以 (略) 终端的 (略) 分析，包括硬件变化、非法外联、系统漏洞、ARP攻击、恶意代码防范等内容， (略) 门分别统计以上终端的分析内容，支持以上数据按照汇总数据与详情数据的分别展示，支持对以上数据的高级查询、导出、打印等操作；

入网状态： (略) 分析功能，可以 (略) (略) (略) (略) 综合分析，分析内容 (略) 、 (略) 的终端情况，支持以上数据按照汇总数据与详情数据的分别展示，支持对以上数据的高级查询、导出、打印等操作；

测评状态：通过测评状态分析功能，可以按日期结合终端在线率对未测评、合格 (略) (略) 综合分析，并将分析结果按照汇总数据与详情数据分别展示，支持对以上数据的高级查询、导出、打印等操作；

资产统计： (略) 终端的软硬件 (略) 分析，包括硬盘大小、内存大小、CPU类型、操作系统、应用类型等信息的分析功能， (略) 门分别统计以上终端的分析内容，支持对以上数据的高级查询、导出、打印等操作；

行为审计：实现 (略) 行为、文件操作、USB插拔、USB文件操作、应用使用等 (略) 详细的记录，支持对以上数据的高级查询、导出、打印等操作。

敏感信息检查

支持对word、ppt、excel、wps、html、pdf、wps等文本文件中的敏 (略) 识别；

支持对jpg、png、bmp等图片文件中的敏 (略) 识别；

支持对psd、raw等源图片格式中的敏 (略) 识别；

支持对rar、zip等压缩包中文件的敏 (略) 识别；

支持对CAD文件格式dwg中的敏 (略) 识别；

支持敏感信息自检功能，用户可以对电脑上敏感文件实现自检自查。

实时安全台式评估

提供实时安全台式评估图，管理员可自定义基于组织架构、时间展示；

管理员可自定义评估图中安全 (略) 占权重（0- * ），包括但不限于违规外联、流量控制检查、 (略) 检查、PC资源使用异常、重要进程异常检查、 (略) 为检测、进程检查、违规修改系统时间、敏感信息终端自检、敏感信息检查等。

支持安全台式趋势评估展示、违规趋势统计、违规对比统计、违规类型统计等。

★厂商资质

(略) 颁发的《计算机信息系统安全专用产品销售许可证》（ * 级品）证书

具有《计算机软件著作权登记证书》资质证书

注：带★项为必须满足项，不满足或未提供有效证明材料，为无效投标。

评分内容

评分标准

分值范围

优惠承诺函

承 (略) 免费提供至少 * 个无线查房推 (略) 络管控功能的，得 * 分；承 (略) 免费提供至少 * 个无线查房推 (略) 络管控的，得 * 分；承诺承 (略) 免费提供至少 * 个无线查房推 (略) 络管控的，得 * 分。最高得 * 分。

注：提供承诺函加盖单位公章，格式自拟。

* 分

终端安全准入系统功能要求

指标类型

指标要求

配置要求

根据项目实际情况及服务器 (略) 选型

架构要求

建议标准采用B/S架构，便利易操作管理设计；

支持VPN/拨号接入、分支机构联动管理；

基于Linux开发的专用操作系统，具有自主知识产权；

支持HA模式，HA支持主备机心跳IP检测及虚地址管理模式；

支持负载均 (略) 署；

提供断电保护机制， (略) 络不受影响。

性能要求

客户端插件支持X * \X * 平台的XP/WIN7/WIN8/WIN * 操作系统；

部署要求

支持旁路、 (略) 署方式；

支持逻辑旁路 (略) 署； (略) 署过程中 (略) 络结构；

支持多级级联管理；

支持HUB及无线AP环境， (略) 络设备；

★ (略) 署多台准入服务器，统 * 平台管理，可自定义管辖IP范围；

安全要求

平台与客户端之间通讯、策略下发、文件分发等交互全程采用https加密协议和定制端口（非 * ）、敏感端口；

平台要求

产品控制平台管理账户支持 * 权分立，具有系统管理员、系统审计员、系统操作员管理账号；

系统支持能够根据管理需要自定义添加账号；

★系统新建账号支持只读设置功能，只读账号仅能查看系统功能，无法更改策略及相关配置；（提供功能截图，加盖公章）

针对产品的登录信息可根据用户实际情况自定义修改，如：系统名称、登录图片背景；

支持插件后台自动升级功能；

支持数据库后台每天自动备份功能，可选择每天、每周的固定时间以及备份的时间点设置功能；

系统必须支持外接存储功能， (略) (略) 分数 (略) 存储区域；

★功能列表中的基本功能在 * 个平台上实现，没有第 * 平台；

插件保护功能，终 (略) 需进程均需隐藏，无法被恶意结束、删除、 (略) 为结束；

支持管理插件卸载的热键呼出及卸载密码设置功能；

支持设置登录平台保护功能， (略) 段、密码尝试次数、非法锁定时间、超时自动退出时间；

支持Syslog日志服务器对接设置，可传输系统登录、系统操作、终端用户登 * 、终端用户修复、移动用户登 * 、移动用户修复、高级用户登录、 (略) 用户登录等日志信息。

准入技术要求

★支持策略路由、镜像、 (略) 桥等多种准入技术；（提供功能截图，加盖公章）

★准入技术支 (略) 络；（提供功能截图，加盖公章）

★ (略) 络接入环境，准入技术支持单独或组合使用的方式同时使用；（提供功能截图，加盖公章）

(略) 络 (略) 络访问区域，至少能够划分安全用户访问区域、 (略) 用户访问区域、隔离用户访问区域，各访问区域可以根据 (略) 修改；（提供功能截图，加盖公章）

支持拓扑发现及展现功能， (略) 拓扑图的自定义绘制；

支持重定向引导页面并能够详细描述被准入的原因；

每种准入技术支持正常模式、紧急模式、仅阻断Web模式；

可根据用户的实际环境自定义非 * 端口的Web服务端口号及用户重定向引导；

支 (略) 景提供不同重定向页面，至少提供自定义重定向页面、使用代理终端的重定向页面等。

准入实施要求

支持准入范围的自定义设置功能，可以根据需要设置准入生效范围，范围 (略) 时能够在阻 (略) 入网流程引导，引导用户 (略) 操作；

支持阻断跨NAT路由器下未安装插件的计算机；

能够与终端的安全测评结果联动，根据 (略) 终端 (略) 处理；

支持DHCP服务设置功能，为网 (略) IP地址的分配操作；（提供功能截图，加盖公章）

支持DHCP与其他准入功能的联动应用，对不同人员分配的不同 (略) (略) 络权限的划分；

支持扩展原widnows系统账号+口令的登录方式，扩展后须支持Ukey、智能卡、LADP、AD域、系统自建账号、动态验证码等多种方式登录系统。

网络拓扑

支持对交换机 (略) (略) 自动发现及展现， (略) 内拓扑情况。违规接入的终端可在拓扑图中通过上 (略) 颜色报警或提示；（提供功能截图，加盖公章）

支持在 (略) 络 (略) 管理。（提供功能截图，加盖公章）

IP地址管理

支持通过矩 (略) 网络IP地址展示，可直观的展示IP地址状态，包括未分配、开机、关机等；（提供功能截图，加盖公章）

支持查看IP使用历史记录，包括但不限于设备名称、设备IP、上线时间、离线时间、运行时长等。

设备信息

★支持自 (略) (略) 有网络设备及终端设备。（提供功能截图，加盖公章）

例外设置

★支持针对特殊终端 (略) 处理，无须安装插件 (略) ；放行依据包括IP地址、MAC地址、IP地址段；

支持无客户端下NAT识别和检测机制，能 (略) 内私接的小路由器、无线AP、随身WiFi等设备，能 (略) 中网接入的终端设备；

(略) 私接的hub、傻瓜 (略) 管设备，当多台终端通过h (略) 时，能及时发现并告警；

支持针对特殊终端的 (略) 理，不 (略) 络；

能够实现特定服务 (略) 功能，访问此服务器时不 (略) 理；

★支持端口过滤功能，能够自定义 (略) (略) 的端口，支持端口段设置。（提供功能截图，加盖公章）

违规外联管理

事前预防管理（提供功能截图，加盖公章）★

禁 (略) 卡；

(略) 卡；

禁止 (略) ；

禁止使用无线热点；

禁 (略) 卡；（ (略) 卡的单独设置）

IP/MAC绑定，可设置允许修改DNS；

禁止使用调制解调器。

事 (略) 理（提供功能截图，加盖公章）

能够及时发现终端发生违规外联或具备外联的能力；

(略) (略) (略) 报警和阻断；

触发报警后，支 (略) 放置隔离区、锁定屏幕、关闭计 (略) 理措施；

触发报警后，支持向管理员发送报警短信、报警邮件功能；

触发报警关闭计算机时， (略) 关机前的缓冲时间设置；

(略) 段自定义功能，可 (略) IP范围。

支持检测通过代理等方式 (略) (略) 报警阻断， (略) (略) 的情况下同样能够检测 (略) (略) (略) 为上报或者阻断；

支持限制终端 (略) (略) ，支持以策略方式按照区域、部门、组、IP段或单台设备设定访问范围；

(略) 设备带出 (略) (略) (略) 为上报。

事后报表统计管理

支持 (略) 为的事后数 (略) 为，汇总分析结果支持通过趋势 (略) 展示；

支持对报警信息的导出、打印功能。

身份鉴别技术

支持口令鉴别方式，包括：准入口令鉴别、AD域身份鉴别、LDAP身份鉴别、EMAIL身份鉴别；

支持硬件鉴别方式，包括：Ukey身份鉴别、CA证书鉴别；

支持动态短信鉴别方式；

★认证方式支持单 * 或组合的身份认证方式；（提供功能截图，加盖公章）

支持为新上线的计算机自动生成终端用户， (略) 门代码自动生成用户；

★支持登录时自动绑定计算机，支持未绑定用户的设备采用设备策略，用户注销自动切换为设备策略。

客户端管控

支持未插入合法UKey后的屏幕锁定管理；

支持客户端首次登录修改密码，可设定最小长度，数字、大小写组合以及非法登录尝试次数和锁定时间；

支持设定普通、高级、 (略) 、移动用户超时下线时间；

支持设定终端长期离线时间；

安全测评

能够以弹窗方 (略) (略) 安全项目检查，不符合安全规范的终端 (略) 络，检查项目包括：网络监听端口、IP/MAC绑定、ARP欺骗、恶意代码防范、操作系统补 * 、 (略) 账户、口令安全、黑名单口令、Windows防火墙、超时锁屏登录、系统服务、远程桌面、系统时间、AD域环境、共享资源、telnet、红名单程序、黑名单程序、磁盘使用情况、正版化软件检 (略) 安全检测项；

支持安全测评项目的在线 * 键检 (略) 修复功能；（提供功能截图，加盖公章）

支持设置检测项目的关键项设置，关键项目必须检查通过的 (略) 络；

支持自动检测、循环评测及后台自动修复功能。（提供功能截图，加盖公章）

报警项目

支持硬件变化报警、违规外联报警、未安装恶意代码防范程序报警、存在操作系统漏洞报警、ARP攻击报警、终端流量超出阈值 (略) 为报警。

报警策略

能够对 (略) 报警提示操作，支持自定义终端报警内容；

★触发报警后，支 (略) 放置隔离区、锁定屏幕、关闭计 (略) 理措施，以上措施可以单独或同时使用；（提供功能截图，加盖公章）

触发报警后，支持向管理员发送报警短信、报警邮件功能；

触发报警关闭计算机时， (略) 关机前的缓冲时间设置。

离线通信策略

支持离线超时策略，客户端非正常情况退出和离线时，能够设置离线保存时间，在时间内不被准入；

★支持离线策略设置，支持设置离线后不允 (略) 络功能；（提供功能截图，加盖公章）

(略) 络访问权限不再限制功能。

在线通信策略

支持禁止合法用户与非法终端通信功能；

支持设置是否允许终端与 (略) 用户通信功能；

支持设置合法 (略) 门的 (略) 用户通信功能；

支持设置合法用户与隔离计算机是否能够通信的功能；

支持设置仅 (略) 门终端通信的功能；

★支持自定义通信过滤规则功能，能够设置与指定IP或IP段允许或禁止通信的功能。（提供功能截图，加盖公章）

USB禁止使用

支持对存储类U (略) 禁用，不影响非存储类USB外设使用；

支持对USB (略) 只读或读写权限设置，禁止通过USB接口向外、向内拷贝数据；

支持禁止访问USB移动存储设 (略) 文件；

支持禁用终端设备的USB接口、光驱、软驱、打印机、调制解调器、串并口、 * 、 红外、蓝牙及PCMCIA卡、手机等外设接口；

能够单独禁用USB移动存储设备而不影响其他USB设备；

支持禁止未注册移动存储介质随意接入；

支持禁止指定移动存 (略) 无法使用；

USB使用申请

★终端使用USB时可以主动发起申请操作，申请通过前不允许使用USB存储介质；（提供功能截图，加盖公章）

★管理员可以对USB (略) 批准或拒绝操作。（提供功能截图，加盖公章）

支持移动存储介质用户在线申请、注册，管理员在线审批；

能够对指定的USB移动 (略) 注册， (略) 属部门和使用人， (略) 加密、只读和可写的控制；

能够针对区域、部门、组、IP段或单台设备控制指定USB移动存储设备的读写权限，能够对终端和USB移动 (略) * 对 * 绑定。

USB使用认证

支持对特定USB (略) (略) 理，其他USB存储依然禁用；

支持对只读USB设置 (略) ，放 (略) USB读写操作；

支持对USB (略) (略) 理，加密 (略) 使用；

支持对USB存储介质设置内外加密分区功能，内 (略) 使用，外 (略) 使用。

支持对手机的管控；通过外设使用控制策略，可以保证手机插入电脑后，不能把文件拷贝到手机；

支持对移动存储设备中指定名 (略) 允许或禁止访问的控制；

支持移动存储 (略) 。

USB使用审计

支持对USB移动存储介质的 (略) (略) 审计；

支持对USB存储介质内 (略) (略) 详细记录；

支持指定审计的设备范围，能够指定审计的USB设备，能够指定审计的文件名称和操作类型，能够对通过U (略) 的文件拷入、 (略) 审计，支持按照使用设备、文件路径、操作名称、 (略) 报表的查询。

终端安全规范

支 (略) 有USB存储设备、蓝牙设备、打印机、便携式设备、光驱介质使用；

支 (略) (略) 卡、 (略) 卡、 (略) 、无线热点、调制解调器、 (略) 卡（ (略) 卡，除与服务器 (略) 卡）外联设备；

支持IP/MAC绑定（可设定允许修改DNS）；

支持设置终端用户的程序黑白名单、网站黑白名单以及SSID黑白名单；

禁止进入windows系统的安全模式、、注册表设置；

★支持禁用组策略、共享、控制面板等安全功能；（提供功能截图，加盖公章）

支持定时关机功能、超时锁屏

支持指定版本和授权码的正版化软件检测；

支持禁止桌面弹窗；

★支持垃圾清理， (略) 、缩略图缓存、临时文件、最近打开文件、系统日志、缺失的共享dll、chrome浏览器缓存、ie浏览器缓存、firefox浏览器缓存、Microsoftedge浏览器缓存、无效的快捷方式；

支持邮件/FTP服务器访问控制，可根据域名、IP、 (略) 管控配置；

(略) 关、关键服务器等IP、MAC的静态绑定，从而免受ARP的欺骗攻击。能够实时检测ARP欺骗的病毒源，能够对有ARP攻击的 (略) 隔离；

支持提供基于协议、IP和端口、ping * 种拦截方式；

支持设定允许或禁止主机访问的IP段、端口和协议；

支持设定允许或禁止某个IP段访问本机的端口和协议；

能够基于URL关键字设定允许或禁止终端 (略) 站，能够对违规 (略) 报警或阻断

支持与用户已有认证系统（Ukey、LDAP等）相结合实现Windows系统安全登录与身份认证（替代Windows本地用户/密码认证模式）；

支持杀毒软件检查，系统内置 * 种以上杀毒软件，包括但不限于卡巴斯基、火绒、瑞星等，并支持病毒库、版本检查，提供自动下载 (略) 址引导修复；

支 (略) 安全状态检查，支持对帐户密码安全性、屏保设置、共享安全、系统服务、进程及服 (略) 检查、评定，对存在安全风险的终端支持实时自动修复；

支持终端安全状态图形化展示，能够显示每台终端的详细风险信息并提供评估得分的统计报表；

(略) (略) 有进程，支持设置黑白名单指定禁止或允许的进程，支持进程MD5值识别方式，防止更改或伪造进程；

能够对指 (略) (略) 跟踪并以图表方式展现分析结果；

支持对 (略) (略) 保护，防止进程被非法结束；

支持设置策略禁止终端设备代理；

支持为被管控终端在管理系统后台设置指定代理、端口号，终端用户无感知；

(略) 络协 (略) (略) 为， (略) 卡数据包的代理数据阻断功能，并支持报警、断网、锁屏等强制控制措施；

支持检测Windows的代理配置选项，检测不符合要求的代理配置情况，并支持自动清除、报警、断网、锁屏等强制控制措施；

支持设置代理地址白名单；

可对上传、下载流量、总流量、发包频率、TCP连接数、UDP监 (略) 控制；

支 (略) 应用控制，支持建立软件黑、白名单，支持设置管理策略，强制终端是否 (略) 应用。

支持规范桌面壁纸、屏幕保护程序、电源管理（关闭显示器及进入休眠模式的时间设置）。

(略) 为审计

支持 (略) 为安全审计功能， (略) 为、 (略) 为、 (略) 为，具体包 (略) 站审计、终端应用程序审计、终端文件操作审计、终端USB插拔审计、终端USB文件操作审计功能；

支持审计数据的汇总分析功能，并支持通过图 (略) 分析展现及导出、打印功能。（提供功能截图，加盖公章）；

支持记录终端用户日常的 (略) 为，可以详细审计用户新建、拷贝、修改、移动、 (略) 为；

支持软件过滤，只审计常用软件产生 (略) 为；

支持对用户日常邮件的收发做有效审计，审计内容包括邮件地址、邮件标题、邮件内容以及附件等；

支持 (略) (略) 审计；

管理员 (略) 有窗口、审计指定窗口、例外窗口；

策略支持灵活应用，包括但不限于基于用户（全部或指定）、分组、部门、终端（指定/全体） 、IP段；

实时记录终端计算机 (略) 站，并以柱状图、表单等图表方式形象的展现统计结果、 (略) ；

支持浏览器过滤，只审计常用浏览器产生的审计记录；

支持通过黑白 (略) 审计或不审计指定光盘刻录机，同时可以对指定审计某种文 (略) 在路径的文件。

支持以截图的形式录制计算机的操作录像；

支持以视频的形式播放，支持快进、快退、暂停、播放速度调节；

支持自定义选择录制的帧率、图像质量；

支持录像记录文件的定期自动清理功能；

支持基于桌面程序窗口的筛选录制，可实现只录制指定窗口的屏幕记录。

补 * 管理

支持对终端的补 * 漏洞自动检测功能，能够汇 (略) 终端的补 * 漏洞信息；

支 (略) 自动安装设置，当检测到终端有未安装补 (略) 分发下载及静默安装；

支持补 * 下载时的P2P分发功能；

支持展示客户端已安装、未安装补 * 的详情；

能 (略) 程序、MSI安装包或者文档数据文件自动下发与安装；

能够支持指定组范围、 (略) 安装并提供程序打包工具；

能够自动统计分发成功率及软件安装成功率，支持进程、注册表、安装路径等多种参数判断方式。

资产维护

支持对终端软 (略) 全面的管理，包括信息收集、硬件变化报警、报表汇总展现功能；

报表汇总展现功能包括对资产分布的报表展现；

★可 (略) 终端的硬件资产 (略) 分析，包括硬盘大小、内存大小、CPU类型等信息的分析功能， (略) 门分别统计以上终端的分析内容；（提供功能截图，加盖公章）

支持以上数据按照分布图和详细信息的展示方式，并支持导出、打印等功能。

固定资产管理

★ (略) 门录入和展示固定资产信息（含非IT资产）的统计、出入库、维修记录；

资产信 (略) 门、资产类型、资产编码、资产名称、序列号、资产品牌、负责人、所属仓库、采购来源、采购渠道、供应商、采购金额、维保开始和结束时间、资产报废时间；

支持自动发现终端资产信息，包括但不限于IP地址、计算机名、MAC地址、网卡型号、 (略) 商、 (略) 在域、操作系统、硬件信息、软件信息等；

支持对 (略) 记录并导出，支持对硬件信息变动告警，支持查询变动历史；

支持对 (略) 实时统计并导出，支持对软件信息变动告警，支持查询变动历史。

(略) 资产出入库管理。

支持添加资产维修记录。

支持资产相关文档的上传、下载、查 (略) 属资产操作。

(略) 门和按资产类型展示固定资产报表。

文件分发

实现从服务器端向客户端分发文件功能，分发的文件类型应包含文件夹、压缩包、 (略) 程序、多媒体文件等，支持单点、多点、分组、全终端推送；

实现软件包下发后，支持通过分发参数的设置实现 (略) 、静默安装；

实现查看分发状态以及 (略) 筛选再次发送。

关键字扫描

★支持对终端电脑的 (略) 扫描，可 (略) 是否包含关键字、关键自然语义；

★支持开机扫描、定式扫描和触发式扫描，可设定开机扫描时间，定时扫描时间；

★支持仅扫描本地硬盘、扫描U盘等配置，，可支持插入U盘触发式扫描；

★关键自然语义包含邮箱、手机、固话、身份证，可按照包含、以此开头、以此结尾、扩 (略) 组合配置；

水印信息

支持屏幕水印防护，内容包含用户名、 (略) 门、用户真实姓名、IP地址、MAC地址、计算机名称、终端时间等，同时支持自定义水印内容；

支持水印自定义展示样式，可设置平铺、左上角、右上角、左下角、右下角和居中展示，支持设定颜色、透明度、方向和字体；

可以自定义配置水印类型、水印信息内容、大小、位置及应用范围等；可提供的水印类型包括提供屏幕水印、打印水印、桌面水印；

水印内容支持标签管理，可以自定义IP、MAC、计算机账户、时间等内容，不同的用户终端可以看到不同的水印信息；

支持明文水印技术，可自定义水印内容，文字大小、显示位置、排版效果等， (略) 水印效果预览；

支持图片水印技术，可以将图标、Logo等图片信息设置为水印；

支持矢量水印技术，可以将水印信息编码为矢量点阵水印，在减小用户阅读影响的同时，进行有效管理；

支持 * 维码水印，可以将水印信息编写为 * 维码；

支持配置指定进程触发时可自动加载水印。

远程协助

集成多种桌面支持工具，包括：远程对话、远程文件传输、 (略) 、远程重启、远程截屏等功能；

★远程控制不依赖于用户是否登录，也可以通过 (略) 用户的注销和切换。管理端在控制用户端时，可以远程关闭用户端键鼠，实现完全控制，远程桌面管理发起时，应保证画面的实时性，实现操作和响应画面传输在1秒之内完成， (略) (略) 的应用；（提供功能截图，加盖公章）

支持远程协助功能，管理端和被管理端端口采用专用T (略) 连接；

支持双向穿透NAT或VPN的远程屏幕控制（提供功能截图）；

支持根据 (略) 络状况，选择、配置合适管理员窗口分辨率、显示比例、色彩、鼠标按键、光标等；

权限管理员支持限制操作管理员远程控制权限，是否允许强制查看、控制和文件传输，允许指定必须申请管理的终端列表；

支持服务端直接对 (略) 进程管理、服务管理、共享服务管理、端口连接管理、网卡管理、系统用户管理、启动项管理、终端状态(CPU利用率、磁盘、网卡)图形化管理等（无需远程登录，服务端即可直接管理）；

支持直接发送管理命令至终端，包括但不限于关机/重启、断网/恢复、锁屏/解锁、发送消息、修改计算机名、运行指定程序、评估快照；

支持远程开启计算机，支持定时、批量开启计算机；

支持 * 台计算机接受多台计算机同时维护管理；

支持 * 台计算机同时管理控制多台计算机；

远程会话功能支持文字交互，支持强制与请求交互两种远程控制方式；

报表分析

在线状态报表：通过在线状态分析功能， (略) 终端的 (略) 分析，包括在线终端、离线终端、长期离线终端的按日期分析功能， (略) 门分别统计以上终端的分析内容，同时，支持以上数据按照汇总数据与详情数据的分别展示，支持对以上数据的高级查询、导出、打印等操作；

违规报警：通过违规事件分析功能，可以 (略) 终端的 (略) 分析，包括硬件变化、非法外联、系统漏洞、ARP攻击、恶意代码防范等内容， (略) 门分别统计以上终端的分析内容，支持以上数据按照汇总数据与详情数据的分别展示，支持对以上数据的高级查询、导出、打印等操作；

入网状态： (略) 分析功能，可以 (略) (略) (略) (略) 综合分析，分析内容 (略) 、 (略) 的终端情况，支持以上数据按照汇总数据与详情数据的分别展示，支持对以上数据的高级查询、导出、打印等操作；

测评状态：通过测评状态分析功能，可以按日期结合终端在线率对未测评、合格 (略) (略) 综合分析，并将分析结果按照汇总数据与详情数据分别展示，支持对以上数据的高级查询、导出、打印等操作；

资产统计： (略) 终端的软硬件 (略) 分析，包括硬盘大小、内存大小、CPU类型、操作系统、应用类型等信息的分析功能， (略) 门分别统计以上终端的分析内容，支持对以上数据的高级查询、导出、打印等操作；

行为审计：实现 (略) 行为、文件操作、USB插拔、USB文件操作、应用使用等 (略) 详细的记录，支持对以上数据的高级查询、导出、打印等操作。

敏感信息检查

支持对word、ppt、excel、wps、html、pdf、wps等文本文件中的敏 (略) 识别；

支持对jpg、png、bmp等图片文件中的敏 (略) 识别；

支持对psd、raw等源图片格式中的敏 (略) 识别；

支持对rar、zip等压缩包中文件的敏 (略) 识别；

支持对CAD文件格式dwg中的敏 (略) 识别；

支持敏感信息自检功能，用户可以对电脑上敏感文件实现自检自查。

实时安全台式评估

提供实时安全台式评估图，管理员可自定义基于组织架构、时间展示；

管理员可自定义评估图中安全 (略) 占权重（0- * ），包括但不限于违规外联、流量控制检查、 (略) 检查、PC资源使用异常、重要进程异常检查、 (略) 为检测、进程检查、违规修改系统时间、敏感信息终端自检、敏感信息检查等。

支持安全台式趋势评估展示、违规趋势统计、违规对比统计、违规类型统计等。

★厂商资质

(略) 颁发的《计算机信息系统安全专用产品销售许可证》（ * 级品）证书

具有《计算机软件著作权登记证书》资质证书

注：带★项为必须满足项，不满足或未提供有效证明材料，为无效投标。

评分内容

评分标准

分值范围

优惠承诺函

承 (略) 免费提供至少 * 个无线查房推 (略) 络管控功能的，得 * 分；承 (略) 免费提供至少 * 个无线查房推 (略) 络管控的，得 * 分；承诺承 (略) 免费提供至少 * 个无线查房推 (略) 络管控的，得 * 分。最高得 * 分。

注：提供承诺函加盖单位公章，格式自拟。

* 分