指标项

技术要求

基本要求

▲系统要求

具有独立自主知识产权，须为标准机架式硬件产品，除自身硬件设备外，产品功能的实现无需额外增加服务器等设备。

▲性能要求

1U机架结构；单电源；配置不少于6个1000MBASE-T接口；每秒事务数（TPS)：≥800（次/秒），最大吞吐量：≥300Mbps，最大并发连接数：500（条）；支持200个用户认证客户端。

高可用性

准入设备必须具备HA模式，HA须支持主备机心跳IP检测及虚地址管理模式。

提供第三方监控平台，在出现重大异常情况时 (略) (略) 络。

▲ (略) 署

？ 准入设备应至少提供安全客户端（Agent）、安全控件、无客户端等多种 (略) 署、管理模式。

？ 安全 (略) 署时，客户端程序应支持功能定制，以降低系统资源耗用，提升客户端兼容性。

准入架构

终端发现

？ 能够实时监测并 (略) 的PC、平板电脑、智能手机、IP设备等终端，能够在第一时间隔离阻断并通知管理员。

？ 对自动发现的终端能够按照类别自动归类， (略) 络终端的统计管理。

准入技术

？ 准入设备须原生支持802.1x标准协议，无需第三方RADIUS服务器支持。

？ ▲准入设备 (略) 商Virtual Gateway的VLAN隔离技术，实现无客户端环境下端口级准入控制。（功能截图）

？ ▲准入设备支持基于策略路由技术的准入控制模式，入网 (略) 内关键资源时，将被强制隔离、引导至认证管理页面，同时支持交换机接口动态VLAN下发、端口 (略) 络边界管理。（功能截图）

？ 单台准入设备可支持至少2个核 (略) 策略路由准入控制。

？ 准入设备可支持端口镜像准入技术，通过对交换机镜像数据的实时分析，能够及时发现并阻断非授权终端的接入。

定向引导

？  (略) IE重定向引导， (略) 页时能够自动转向到指定的页面或地址，并支持http代理及多重重定向引导。

？ 可根据用户的实际环境自定义非80端口的Web服务端口号及用户重定向引导。

？ 能通过浏览器完成身份认证、控件安装、设备注册、安全检查、检查结果展现等全流程引导管理。

？ 具有Mac OS、Linux、iOS、Android等系统专属客户端，支持认证引导和准入管理。

违规外联

违规外联

？ 能够针对3G拨号、双网卡、随身WIFI、代理等 (略) 行为做实时检测，不接受间歇性 (略) 地址的探测方式。

？ 能够针对违规 (略) (略) ，断网方式应支持断开链接、关闭连接进程、断网后重启恢复、重启计算机等多级模式，并能够实时通知管理员。

准入设备能够支持按照用户角色定义、限 (略) 访问范围，防止其越权访问操作。

边界管理

IP/MAC绑定

(略) 设备自动学习功能，支持IP/MAC/端口三者强制绑定，以及违规终端VLAN隔离机制，防止终端仿 (略) 络或移动设备位置。

主机防火墙

？ 终端在准入通过后访问域严格受管理员策略控制。

？ 同网段终端无法互相访问，做到精确到端口的 (略) 全性控制。

设备私接管理

▲NAT设备

？ 具有NAT识别和检测机制能 (略) 内私接的小路由器、无线AP、随身WIFI等NAT设备，帮 (略) 中网 (略) 络终端。（功能截图）

？ 对通 (略) 的计算机可以实现准入控制、安全评估和修复等流程化管理

▲Hub管理

？  (略) 私接的Hub、傻瓜 (略) 管设备，当多台计算机通过 (略) 络时，能够及时产生告警通知管理员。

？ 准入设备能够采用VLAN隔离、逻辑关闭端口等方式禁止Hub下联 (略) 络。（功能截图）

？ 支持Hub下多个终端需分别 (略) 和只需一台 (略) 入网两种认证机制。

网络管理

设备识别

？ 支 (略) 络设备类型，包括：交换机、路由器、防火墙等。

？ 支持设备管理模板的定义功能，能够通过SNMP、SSH、TELNET等方式自动、 (略) 络设备。

(略) 络拓扑

？ 准入设备支持交换机到终 (略) 络拓扑管理功能，能够 (略) 络拓扑图。（功能截图）

？ 能够在拓扑图上选取设备查看其基本状态信息、设备型号、所处位置、子节点、路由表、ARP表等信息。（功能截图）

？ 支持在界面 (略) (略) TELNET、SSH等管理。（功能截图）

交换机状态展现

？  (略) 管型交换机面板图形化展现各接口状态（up、down、trunk等），以及各接口下联的终端详细信息（IP、地址、MAC地址等）。

？ 能够支持自上而下逐级查找终端的具体位置、安全状态、认证用户、上下线时间等信息。

AP联动管理

能够与主流的AP设备深度联动，支持AP控制器面板的图形展现，包括AP连接状态、下联终端信息（IP地址、MAC地址等）等。

DHCP中继

？ 能提供稳定的DHCP服务，并可以通过DHCP二次地址分配机制实现安全准入管理，支持交换机中继认证方式。

？ 能够根据用户、IP/MAC绑定信息等条件，为指定终端设备分配特定的IP地址。

？ 支持DHCP服务器筛选，防止非法DHCP服务器分发错误地址

(略) 管理

终端识别

支持当前主流智能终端设备的安全准入控制，能够自动识别主流手机、智能终端等设备。

(略)

？ 提供独立的 (略) 引导界面的自主定制功能，至少包括界面标题、界面LOGO、界面说明文字等。

？ 能够提供 (略) 的设备注册功能

认证检查

？  (略) 提供支持iOS的安全准入app下载安装；支持Android客户端自动生成，以及自动签名等功能。

？ 可提供手机或智能终端强制VPN拨号认证管理。

？ 支持基于Android系统对安全管家、 (略) 手机卫士、NQ Mobile Security、瑞星手机安全软件等安全应用程序的状态安全检查。（功能截图）

？  (略) 基于Android的安装软件、运行进程等的安全检查。（功能截图）

用户认证管理

联动认证

能够全面结合用户已有的认证或业务系统，可以与RADIUS、LDAP、STMP/POP等采用标准协议的系统做深度联动认证。

AD域单点登录

？ 能够与用户现有的AD域相结合，当用户登录到AD域后，无需二次 (略) ，避免多次认证的繁琐流程。

？ 当用户未登录到AD域时，该终端将一直被隔离，该状态下只有通过 (略) 认 (略) 。

短信认证

支持短信认证模式，用 (略) 手机号码后，能够在手机 (略) 的短信验证码，并在IE页面上利用短信验 (略) 。

(略) 管理

能够提供 (略) 角色选择，能够设定 (略) 设备的访 (略) 时长， (略) 码，支持 (略) 设备与 (略) 一对一绑定功能，并可以生成对应的审计报表。

接入审核

能够针对不同的角色或设备类别有选 (略) 审核功能，待审核的用户或设备必须经过管理员 (略) 。

终端安全检查

安全检查库

准入设备须提供系统安全配置、 (略) 为规范等类别检查项，至少提供25种以上安全检查项。

系统补丁

？ 准入设备具有完整的补丁管理子系统，无需第三方补丁服务器支持，自身即可以提供完整的流程化补丁管理，包括同步更新、补丁分类、补丁分发、补丁报表等功能。

？ 能够在 (略) 入网终端的补丁检查，补丁均划分为严重、重要、中等的类别，能够在IE页面显示出检查结果。

防病毒软件

支持基于IE页面的杀毒软件状态检查，支持杀毒软件版本、 (略) 情况的检查，支持20种以上主流杀毒软件检查，。

安全配置检查

支持windows密码策略、屏保、共享目录、弱口令、防火墙、网卡 (略) 检查和修复。

健康性检查

能够对终端的磁盘使用率、垃圾文件、IE主页、网络监听端口等安 (略) 检查和修复。

客户端检查

能够检查主流桌面管理系统（包括Landesk、北信源、威盾、盈高、圣博润等）客户端是否安 (略) ，支持客户端强制安装。

自定义安全检查

？ 能够对终端文件的路径、版本、大小、MD5、进程、注册表项、服务等项自定义组合检查。

？ 能够通 (略) 、 (略) 点、开关服务、关闭进程、执行文件、删除文件、修改注册 (略) 安全修复。（功能截图）

终端安全加固

能够通过傻瓜式的漏洞修复模式为用户提供简单、形象的漏洞自我修复功能，完全不需要管理员的介入即可完成终端安全风险项修补。

资源管理

软件检查

？ 通过安全检查检测终端软件安装、使用状态

？ 自动强制为终端安装软件

？ 软件产品授权， (略) windows、office、WPS的产品 (略) 检查（功能截图）

IP地址管理

？ 提供IP地址分配表，能够通过图示直 (略) 段中未分配、开机、关机的数量和分布情况。

？ 能够直接、快 (略) 终端历史上线、下线、在线时长等详细的IP使用情况。

能耗管理

提供未关机终端自动统计功能， (略) 门、时间段等条件生成统计报表。

运维管理

移动端设备管理

移动端管理平台可实现设备快速定位、设备审核、实时报警监控、小助手确认码生成、准入控制器管理、平台基本信息、关机与重启.

管理角色控制

准入设备须采用系统管理员、安全管理员、审计员三权分立机制，防止单个角色管理者权限滥用。

网络诊断工具

支持通过Web管理界面提供ping、抓包、traceroute、nslookup等功能，并可以设置 (略) 相关调试。

消息群发

能够支持在指定的一台或者多台终端计算机上产生桌面消息通知，该消息会立即弹出在用户桌面上， (略) 提醒。

软件分发

？ 准入设备应具有 (略) 署功能，管理员可以预定义软件分发的路径、运行参数、 (略) 等任务策略， (略) 署效率。

？ 能够自动判断并统计软件分发、部署的成功率，支持进程、注册表、安装路径等多种参数的组合判断。

报警报表管理

安全管理报表

？ 准入设备后台能够按周、月、年统计安全状况走势图。

？ 准入设备后台 (略) 报告、 (略) 报告、 (略) 报告。

报警信息

？ 可以提供紧急、重要、次要、提示等多个级别自定义报警模式。

？ 支持系统报警、网络报警、终端报警等类别，超过20种以上自定义报警类型。

？ 支持Syslog报警信息的定向输出。

报警提醒

准入设备能够以邮件、手机短信、页面消息等多种报警方式提醒管理员各种安全异常状态。

产品资质及服务

▲产品授权及服务

(略) 商针对本项目的授权函及至少三年的售后服务承诺函。

中标后三个工作日内， (略) 上述功能要求的逐一测试验证，全部通 (略) 合同流程，测试中发现 (略) 为 (略) 理 (略) 商追究相关责任的权利。

第三方产品联动

？ 支 (略) 行为管理系统深度联动， (略) 准入、准出的全面安全管理体系。

？ 能够与主流动态口令认证系统相结合，提供动态密码联动认证机制。

？ 支持与国内外主流U-Key联动认证。

案例要求

提供至少2个500 (略) 署案例的项目证明。

▲资质要求

？  (略) 《计算机信息系统安全专用产品销售许可证》

？  (略) 《涉密信息系统产品检测证书（网络访问控制产品）》

？  (略) 《计算机软件著作权登记证书》

？ 国 (略) 产品专利2项及以上

指标项

技术要求

基本要求

▲系统要求

具有独立自主知识产权，须为标准机架式硬件产品，除自身硬件设备外，产品功能的实现无需额外增加服务器等设备。

▲性能要求

1U机架结构；单电源；配置不少于6个1000MBASE-T接口；每秒事务数（TPS)：≥800（次/秒），最大吞吐量：≥300Mbps，最大并发连接数：500（条）；支持200个用户认证客户端。

高可用性

准入设备必须具备HA模式，HA须支持主备机心跳IP检测及虚地址管理模式。

提供第三方监控平台，在出现重大异常情况时 (略) (略) 络。

▲ (略) 署

？ 准入设备应至少提供安全客户端（Agent）、安全控件、无客户端等多种 (略) 署、管理模式。

？ 安全 (略) 署时，客户端程序应支持功能定制，以降低系统资源耗用，提升客户端兼容性。

准入架构

终端发现

？ 能够实时监测并 (略) 的PC、平板电脑、智能手机、IP设备等终端，能够在第一时间隔离阻断并通知管理员。

？ 对自动发现的终端能够按照类别自动归类， (略) 络终端的统计管理。

准入技术

？ 准入设备须原生支持802.1x标准协议，无需第三方RADIUS服务器支持。

？ ▲准入设备 (略) 商Virtual Gateway的VLAN隔离技术，实现无客户端环境下端口级准入控制。（功能截图）

？ ▲准入设备支持基于策略路由技术的准入控制模式，入网 (略) 内关键资源时，将被强制隔离、引导至认证管理页面，同时支持交换机接口动态VLAN下发、端口 (略) 络边界管理。（功能截图）

？ 单台准入设备可支持至少2个核 (略) 策略路由准入控制。

？ 准入设备可支持端口镜像准入技术，通过对交换机镜像数据的实时分析，能够及时发现并阻断非授权终端的接入。

定向引导

？  (略) IE重定向引导， (略) 页时能够自动转向到指定的页面或地址，并支持http代理及多重重定向引导。

？ 可根据用户的实际环境自定义非80端口的Web服务端口号及用户重定向引导。

？ 能通过浏览器完成身份认证、控件安装、设备注册、安全检查、检查结果展现等全流程引导管理。

？ 具有Mac OS、Linux、iOS、Android等系统专属客户端，支持认证引导和准入管理。

违规外联

违规外联

？ 能够针对3G拨号、双网卡、随身WIFI、代理等 (略) 行为做实时检测，不接受间歇性 (略) 地址的探测方式。

？ 能够针对违规 (略) (略) ，断网方式应支持断开链接、关闭连接进程、断网后重启恢复、重启计算机等多级模式，并能够实时通知管理员。

准入设备能够支持按照用户角色定义、限 (略) 访问范围，防止其越权访问操作。

边界管理

IP/MAC绑定

(略) 设备自动学习功能，支持IP/MAC/端口三者强制绑定，以及违规终端VLAN隔离机制，防止终端仿 (略) 络或移动设备位置。

主机防火墙

？ 终端在准入通过后访问域严格受管理员策略控制。

？ 同网段终端无法互相访问，做到精确到端口的 (略) 全性控制。

设备私接管理

▲NAT设备

？ 具有NAT识别和检测机制能 (略) 内私接的小路由器、无线AP、随身WIFI等NAT设备，帮 (略) 中网 (略) 络终端。（功能截图）

？ 对通 (略) 的计算机可以实现准入控制、安全评估和修复等流程化管理

▲Hub管理

？  (略) 私接的Hub、傻瓜 (略) 管设备，当多台计算机通过 (略) 络时，能够及时产生告警通知管理员。

？ 准入设备能够采用VLAN隔离、逻辑关闭端口等方式禁止Hub下联 (略) 络。（功能截图）

？ 支持Hub下多个终端需分别 (略) 和只需一台 (略) 入网两种认证机制。

网络管理

设备识别

？ 支 (略) 络设备类型，包括：交换机、路由器、防火墙等。

？ 支持设备管理模板的定义功能，能够通过SNMP、SSH、TELNET等方式自动、 (略) 络设备。

(略) 络拓扑

？ 准入设备支持交换机到终 (略) 络拓扑管理功能，能够 (略) 络拓扑图。（功能截图）

？ 能够在拓扑图上选取设备查看其基本状态信息、设备型号、所处位置、子节点、路由表、ARP表等信息。（功能截图）

？ 支持在界面 (略) (略) TELNET、SSH等管理。（功能截图）

交换机状态展现

？  (略) 管型交换机面板图形化展现各接口状态（up、down、trunk等），以及各接口下联的终端详细信息（IP、地址、MAC地址等）。

？ 能够支持自上而下逐级查找终端的具体位置、安全状态、认证用户、上下线时间等信息。

AP联动管理

能够与主流的AP设备深度联动，支持AP控制器面板的图形展现，包括AP连接状态、下联终端信息（IP地址、MAC地址等）等。

DHCP中继

？ 能提供稳定的DHCP服务，并可以通过DHCP二次地址分配机制实现安全准入管理，支持交换机中继认证方式。

？ 能够根据用户、IP/MAC绑定信息等条件，为指定终端设备分配特定的IP地址。

？ 支持DHCP服务器筛选，防止非法DHCP服务器分发错误地址

(略) 管理

终端识别

支持当前主流智能终端设备的安全准入控制，能够自动识别主流手机、智能终端等设备。

(略)

？ 提供独立的 (略) 引导界面的自主定制功能，至少包括界面标题、界面LOGO、界面说明文字等。

？ 能够提供 (略) 的设备注册功能

认证检查

？  (略) 提供支持iOS的安全准入app下载安装；支持Android客户端自动生成，以及自动签名等功能。

？ 可提供手机或智能终端强制VPN拨号认证管理。

？ 支持基于Android系统对安全管家、 (略) 手机卫士、NQ Mobile Security、瑞星手机安全软件等安全应用程序的状态安全检查。（功能截图）

？  (略) 基于Android的安装软件、运行进程等的安全检查。（功能截图）

用户认证管理

联动认证

能够全面结合用户已有的认证或业务系统，可以与RADIUS、LDAP、STMP/POP等采用标准协议的系统做深度联动认证。

AD域单点登录

？ 能够与用户现有的AD域相结合，当用户登录到AD域后，无需二次 (略) ，避免多次认证的繁琐流程。

？ 当用户未登录到AD域时，该终端将一直被隔离，该状态下只有通过 (略) 认 (略) 。

短信认证

支持短信认证模式，用 (略) 手机号码后，能够在手机 (略) 的短信验证码，并在IE页面上利用短信验 (略) 。

(略) 管理

能够提供 (略) 角色选择，能够设定 (略) 设备的访 (略) 时长， (略) 码，支持 (略) 设备与 (略) 一对一绑定功能，并可以生成对应的审计报表。

接入审核

能够针对不同的角色或设备类别有选 (略) 审核功能，待审核的用户或设备必须经过管理员 (略) 。

终端安全检查

安全检查库

准入设备须提供系统安全配置、 (略) 为规范等类别检查项，至少提供25种以上安全检查项。

系统补丁

？ 准入设备具有完整的补丁管理子系统，无需第三方补丁服务器支持，自身即可以提供完整的流程化补丁管理，包括同步更新、补丁分类、补丁分发、补丁报表等功能。

？ 能够在 (略) 入网终端的补丁检查，补丁均划分为严重、重要、中等的类别，能够在IE页面显示出检查结果。

防病毒软件

支持基于IE页面的杀毒软件状态检查，支持杀毒软件版本、 (略) 情况的检查，支持20种以上主流杀毒软件检查，。

安全配置检查

支持windows密码策略、屏保、共享目录、弱口令、防火墙、网卡 (略) 检查和修复。

健康性检查

能够对终端的磁盘使用率、垃圾文件、IE主页、网络监听端口等安 (略) 检查和修复。

客户端检查

能够检查主流桌面管理系统（包括Landesk、北信源、威盾、盈高、圣博润等）客户端是否安 (略) ，支持客户端强制安装。

自定义安全检查

？ 能够对终端文件的路径、版本、大小、MD5、进程、注册表项、服务等项自定义组合检查。

？ 能够通 (略) 、 (略) 点、开关服务、关闭进程、执行文件、删除文件、修改注册 (略) 安全修复。（功能截图）

终端安全加固

能够通过傻瓜式的漏洞修复模式为用户提供简单、形象的漏洞自我修复功能，完全不需要管理员的介入即可完成终端安全风险项修补。

资源管理

软件检查

？ 通过安全检查检测终端软件安装、使用状态

？ 自动强制为终端安装软件

？ 软件产品授权， (略) windows、office、WPS的产品 (略) 检查（功能截图）

IP地址管理

？ 提供IP地址分配表，能够通过图示直 (略) 段中未分配、开机、关机的数量和分布情况。

？ 能够直接、快 (略) 终端历史上线、下线、在线时长等详细的IP使用情况。

能耗管理

提供未关机终端自动统计功能， (略) 门、时间段等条件生成统计报表。

运维管理

移动端设备管理

移动端管理平台可实现设备快速定位、设备审核、实时报警监控、小助手确认码生成、准入控制器管理、平台基本信息、关机与重启.

管理角色控制

准入设备须采用系统管理员、安全管理员、审计员三权分立机制，防止单个角色管理者权限滥用。

网络诊断工具

支持通过Web管理界面提供ping、抓包、traceroute、nslookup等功能，并可以设置 (略) 相关调试。

消息群发

能够支持在指定的一台或者多台终端计算机上产生桌面消息通知，该消息会立即弹出在用户桌面上， (略) 提醒。

软件分发

？ 准入设备应具有 (略) 署功能，管理员可以预定义软件分发的路径、运行参数、 (略) 等任务策略， (略) 署效率。

？ 能够自动判断并统计软件分发、部署的成功率，支持进程、注册表、安装路径等多种参数的组合判断。

报警报表管理

安全管理报表

？ 准入设备后台能够按周、月、年统计安全状况走势图。

？ 准入设备后台 (略) 报告、 (略) 报告、 (略) 报告。

报警信息

？ 可以提供紧急、重要、次要、提示等多个级别自定义报警模式。

？ 支持系统报警、网络报警、终端报警等类别，超过20种以上自定义报警类型。

？ 支持Syslog报警信息的定向输出。

报警提醒

准入设备能够以邮件、手机短信、页面消息等多种报警方式提醒管理员各种安全异常状态。

产品资质及服务

▲产品授权及服务

(略) 商针对本项目的授权函及至少三年的售后服务承诺函。

中标后三个工作日内， (略) 上述功能要求的逐一测试验证，全部通 (略) 合同流程，测试中发现 (略) 为 (略) 理 (略) 商追究相关责任的权利。

第三方产品联动

？ 支 (略) 行为管理系统深度联动， (略) 准入、准出的全面安全管理体系。

？ 能够与主流动态口令认证系统相结合，提供动态密码联动认证机制。

？ 支持与国内外主流U-Key联动认证。

案例要求

提供至少2个500 (略) 署案例的项目证明。

▲资质要求

？  (略) 《计算机信息系统安全专用产品销售许可证》

？  (略) 《涉密信息系统产品检测证书（网络访问控制产品）》

？  (略) 《计算机软件著作权登记证书》

？ 国 (略) 产品专利2项及以上