中航技国际经贸发展有限公司受宁夏回族自治区图书馆的委托,对宁夏公共电子阅览室管理信息系统建设项目进行招标采购。根据文化部全国公共文化发展中心下发的文全公培发[2014] 72号文件明确指出,公共电子阅览室信息网络安全建设是根据国家关于加强信息网络安全建设的要求,重点完善具备统一管理机制的公共电子阅览室终端信息网络安全服务体系。公共电子阅览室管理信息系统数据对接工作主要完成各级公共电子阅览室管理信息系统的系统对接和数据汇总,建立健全维护保障机制,确保服务和管理数据的一致性,以及与此项工作相关的系统安装、部署、技术支持等工作,实现全面、准确地采集各级公共电子阅览室服务信息的任务。因此,该项目具有唯一性的特点。如采用公开招标无法满足实际需求,现拟采用单一来源方式进行采购,并将有关事项公示如下:
一、项目名称:宁夏公共电子阅览室管理信息系统建设项目
二、招标编号:0730-1561GDXB1201/01
三、项目内容和要求:
一、 总体要求要求阅览室管理系统采用云架构模式进行部署,租用云服务器作为全省阅览室服务的支撑,省中心、地市中心、区县中心以及阅览室不需要设置服务器,统一由云管理端提供服务,业务上系统要支持分级管理包括省中心管理平台、地市管理平台、阅览室管理平台。系统要支持无盘工作站、虚拟桌面、虚拟云终端的部署。安全防护系统管理服务要求可以在省中心部署,管理系统要与安全系统对接,可以在省中心管理平台显示安全防护系统的主要信息。
二、公共电子阅览室云服务平台--分支中心管理(包括省级、地市级)2.1认证管理要求通过在省中心设立的认证系统,对所有加入系统内的阅览室以及分支中心节点进行认证,只有合法身份的节点服务器才能加入。
2.2 基本信息管理1. 节点综合信息省中心综合信息需包括:省中心编码、地址、行政区域、邮政编码、联系人及方式、站点数量、总建筑面积、在线数量、电脑数量、上机人次统计和上机时长统计等,以图表形式显示统计信息,并支持在线打印、导出图表等功能。
2. 阅览室基本管理阅览室基本信息:可显示、编辑省内所有阅览室信息,对阅览室注册执行审核、监控停用操作,可查看该阅览室中的会员信息及设备信息。
3. 用户信息允许查询该省内所有用户信息,不可编辑及删除。
4. 设备信息允许查询该省内所有设备信息,不可编辑及删除。
2.3 基本服务管理1. 服务状态监控选择按地区(省、市、区县)查看公共电子阅览室管理端及终端的在线数量,并展示所选电子阅览室在线终端。
2. 日志数据查询支持上机日志查询、上网日志查询,会员注册情况、系统开关机情况等内容的查询。
3. 统计分析可以对阅览室数据:会员上下机数据、开关机记录、会员上网日志、上网报警日志等执行市范围的统计和分析。
4. 阅览室命令下发可以对阅览室下发命令,包括开机、截屏、关机、下线。
5. 健康情况监测监测部署节点的组件运行情况,正常情况下用绿色表示,出现问题用红色表示,当系统出现故障时候,可以发送邮件给管理员,及时维护
2.4 管理配置功能1. 系统参数配置可以为全省业务策略执行配置参数:包括网址黑白名单控制方式(阻断报警、阻断不报警、白名单),应用程序黑白名单控制(启用黑名单或者白名单),会员上机时长设置、上传数据设置,主要包括:上网记录、上下机记录、开关记录等。
2. 黑白名单下发可以接收国家中心的黑白名单,并且可以管理本省的黑白名单,并将两者下发到阅览室。
3. 系统字典维护管理全省统的数据字典,各阅览室注册时候自动获取数据字典并按照字典标准提交数据
4. 授权账号管理可以为地市中心节点授权账号,节点管理员通过相应的账号登陆,可以管理本地市所属阅览室,包括用户管理、角色管理、权限分配等功能。
三、 公共电子阅览室云服务平台---电子阅览室管理3.1 注册管理要求阅览室上线之前需要向认证中心提交阅览室基本信息,审核通过后,才能正常使用和管理。
3.2 基本信息管理1. 阅览室基本信息可对阅览室基本信息进行修改,基本信息要求包括:阅览室级别、阅览室类型、阅览室名称、阅览室面积、客户端数量、阅览室描述、上下班时间、管理员姓名、管理员联系方式等信息。
2. 设备信息当客户端安装软件后系统可自动获取设备信息,并对设备信息以列表形式显示,管理员可对设备进行分区和设定设备状态:可用、维修等,系统自动获得的设备信息管理员无法编辑,基本信息包括:设备名称、设备编码、MAC地址、IP地址、CPU、操作系统等信息。
3. 用户基本信息系统可通过打卡器自动读取用户信息,也可以通过管理员手动输入信息以添加新用户,并且可以编辑用户基本信息和设定用户账号状态是否可用,基本信息要求有:姓名、性别、年龄、民族、证件类型、证件号码、出生日期、发证机关、证件有效期限、籍贯、住址、监护人(针对青少年)、监护人电话、紧急联系人(针对中老年)、紧急联系人电话等信息。
3.3 基本服务管理1. 客户端参数设置1) 用户上机时长控制,可以满足分段上机的要求,用可以自定义上机次数和上机时长,并且可以设置两次上机的时间间隔
2) 可以配置客户端设定时间内,如果没有任何操作,客户端自动关机
3) 可以配置用户下机后客户端的退出方式,重启或关机
4) 可以设定客户端超级管理员,用于管理计算机。
5) 可以设置用户上机后能看到欢迎提示语。
6) 可以进行安全管理配置,包括应用程序黑名单和网址黑名单,网址黑名单可以执行几种选择包括阻断并报警、阻断不报警、白名单、不启用设置。
4. 用户种类管理 系统可以定义用户的种类,譬如未成年、成年、老年,可以设置其年龄段,并且可以规定不同种类用户的上机行为,包括是否允许上机,上机时长限制的参数。
2. 用户上机实名制管理用户可凭借二代身份证或读者证在公共电子阅览室进行上机。软件应能识别身份证的信息,包括姓名、性别、出生日期、身份证号等信息。
3. 用户上机模式管理公共电子阅览室用户上机大体分为三种模式,管理员可对上机模式进行设定。
①模式一:(刷卡->分配机位->上机确认)
用户上机前须刷身份证或者读者证,刷卡成功后,系统自动为其分配机位,当用户采用模式一时,当机器都占用时,管理员可选择启用排队模式,更方便管理用户上机。
②模式二:(刷卡->直接找空席位->上机确认)
用户刷卡成功后,自主找空席位上机,无需系统分配。
③模式三:(直接找空席位->直接登录)
用户无需刷卡,自主找空席位输入账号密码登录上机。
4. 客户端服务监控管理在管理端上可以实时监控所有客户端用户状态,包括未登录、已经登陆、锁屏、下线、异常等状态,可对上机用户发送消息、锁屏、迫使下线、查询用户信息、上机记录,可查看客户机屏幕、进程、上机记录、远程重启等操作,对用户屏幕进行监控和截屏并且发布系统公告。
5. 综合查询服务电子阅览室服务系统可以对用户上机、用户上网、客户端开关机、网址报警进行跟踪和记录,将其以列表的形式显示出来,以便管理员综合查询和管理。
①用户上机记录
显示用户上机信息,包括:用户账号、用户姓名、客户端名称、客户端IP、客户端MAC、上机时间、下机时间、上机时长,管理员可根据这些参数对用户上机行为进行监督和筛查。
②用户上网记录
显示用户上网息:包括:用户账号、用户姓名、客户端IP、客户端MAC、网址、时间,管理员可根据这些参数对用户上网行为进行监督和筛查。
③开关机记录
显示机器设备开机和关机时间等信息,包括:客户端IP、客户端MAC、开机时间、关机时间和开机时长(分钟),管理员可根据这些参数对设备进行监控和筛查。
6. 统计报表服务①日报
对每日的阅览室上机人次、上机时长、用户明细、设备明细、网站明细等汇总统计明细表,并可导出表格。
②月报
对每月的阅览室统计月上机次数、会员数量、上机会员人数、人均上机人次、网址访问量、人均访问量等汇总统计明细表,并可导出表格。
7. 安全管理可以获取省中心发布的网址黑白名单,应用程序黑名单,并应用到阅览室,管理员也可以自行添加,但是不允许修改上层的数据。用户无法访问和打开加入黑名单的网址和程序,被加入白名单的网址,用户只能访问白名单内的网址。
8. 数据备份恢复保证阅览室数据正常安全存放,在出现问题之后可以快速恢复。
2.4 客户端管理1. 登录管理用户开机后首先看到登录界面,登录界面显示用户需要输入账号、密码,只有当正确输入用户账号和密码后才能正常使用,用户在登录界面可以看到客户端和服务端连接状态,可以直接关机和重启机器。
2. 操作系统改造客户端安装后,操作系统的控制面板、任务管理器、防火墙、网络等高级配置可以被屏蔽,只有超级管理员登陆后可以打开这些功能,普通用户无访问权限。
3. 数据抓取自动抓取用户上机、用户上网记录,并上传上级服务节点。
4. 安全控制接收上级服务节点下达的网址黑白名单,程序黑名单,控制用户无法访问黑名单内的网址和程序,只能访问白名单内的网址。
5. 呼叫管理员上机用户如果有系统方面的问题,可以随时呼叫管理员
6. 查看上机信息用户可以随时查看自己登陆时间、已经使用时长、还剩余时长等信息。
7. 快捷操作用户可自行下线、关机、重启,用户有事离开时,可以锁屏,用户若是普通用户,当时间达到上机上限时,客户机自动下线
8. 超级管理账号用户可以通过超管账号登陆客户端机器,超级管理员上机时间不受限,超管可以启用客户机控制面板、任务管理器等高级功能对系统进行维护。
9. 欢迎语用户登陆客户端后,系统自动弹出欢迎界面,提示用户本阅览室的上机规则和本次登陆时间等内容。
四、 公共电子阅览室安全防护系统4.1 安全控制1. 控制中心
采用B/S架构管理端,具备设备分组管理、策略制定下发、全网健康状况监测、统一杀毒、统一漏洞修复、网络流量管理、终端软件管理、硬件资产管理以及各种报表和查询等能力。
2. 客户端
执行最终的木马病毒查杀、漏洞修复等安全操作。并与安全控制中心通信,提供控制中心管理所需的相关数据信息。
3. 支持开机安全配置
按安全配置项显示展示全网存在的安全配置项和涉及的终端,可开启指定或全部安全配置项;按终端显示展示全网每个终端存在的安全配置项,可开启安全配置项
4.2 补丁分发与漏洞修复1. 要求产品本身具备漏洞发现及修复功能。
2. 要求产品生产公司具备微软热补丁修复功能(至少需要10个以上为用户提供Windows漏洞修复的热补丁案例证明文件)
3. 要求产品生产公司具备面向微软官方级别漏洞发现能力(提供2013年至少10个以上微软漏洞发现案例与相关截图,与微软官方确认截图)
4. 产品具备漏洞集中修复,强制修复,定时修复(要求提供截图)
5. 产品具备漏洞集中修复过程中的流量控制和保证带宽 (要求提供截图)
6. 补丁分发支持服务端带宽限流与客户端P2P补丁分发加速(要求提供产品相关截图)
7. 可显示展示全网存在的漏洞和涉及的终端,可一键修复指定或全部漏洞、忽略指定或全部漏洞;按终端显示全网每个终端存在的漏洞,可取消忽略原来忽略过的漏洞,可设置预先忽略补丁,可设置关闭 windows update,提供蓝屏修复功能(要求提供证明产品相关截图)。
4.3 病毒及恶意代码1. 要求产品本身具备病毒检测功能,并且通过AV-C、AV-TEST、VB100、CheckMark、ICSA、OPSWAT等各大国际评测机构联合认证。(要求提供证明文件)
2. 要求产品具备本地引擎查杀能力(提供产品截图)
3. 要求产品具备公有云检测能力,并且公有云特征储备超过60亿。
4. 要求产品具备私有云检测能力,私有云需提供非白即黑策略的文件白名单终端控制能力(提供架设硬件私有云防护案例)
5. 要求产品在断网状态下具备不依赖病毒库特征的情况下对未知病毒查杀的能力(提供国内专利证明与国际PCT专利证明文件)
6. 要求产品具备主动防御RTE技术(提供至少3项以上技术专利)
7. 要求产品具备虚拟沙箱技术(提供产品界面截图)
8. 按病毒显示展示扫描后全网存在的病毒和涉及的终端,可查杀指定或全部病毒、加入信任;可按终端显示展示全网每个终端存在的病毒,可查杀病毒;
9. 对指定分组或全网终端设置定时杀毒策略,满足策略后终端将执行扫描
10. 未安装杀软终端展示全网未安装任何杀毒软件的终端,可提醒指定终端进行安装
4.4木马检测按木马显示展示全网存在的木马和涉及的终端,可查杀指定或全部木马、加入信任;按终端显示展示全网每个终端存在的木马,可查杀木马
4.5基础安全管理1. 支持插件清理,按插件显示展示全网存在的插件和涉及的终端,可清理指定或全部插件、加入信任;按终端显示展示全网每个终端存在的插件,可清理插件(提供产品界面截图)
2. 支持全网终端体检,可在集中管理端主页进行全网体检,安全监控所有终端状态(提供产品界面截图)
3. 支持开机加速(提供产品界面截图)
4.6高级安全管理1. 支持私有云查杀,预置至少7000万全面的白名单,终端威胁统一到控制中心查询黑白并进行查杀
2. 支持轮询监控模式,按终端维度展示在线终端、离线终端、已卸载终端列表,可对终端进行体检、修复漏洞、查杀病毒、查杀木马、清理插件、修复系统危险项、开启安全配置等操作,可删除离线终端,删除已卸载终端记录(提供产品界面截图)
3. 支持自定义安全策略,终端将根据安全策略的定义自动修复各类威胁;支持将自动处理和未处理的记录发送邮件报告给管理员(提供产品界面截图)
4. 支持安全预警,设置报警条件(如1天内病毒数超过5个)和邮箱,如果满足设置的报警条件,系统将自动给管理员发送邮件报警(提供产品界面截图)
5. 可设置指定或全网终端使用U盘的权限,分为可读写、只读和禁用三种权限;可查询指定时间范围内终端使用U盘的情况
6. 支持信任白名单文件,通过信任文件白名单可以管理企业网络内信任的程序或文件,加入信任后终端不再将此文件视为威胁
7. 支持信任白名单网址,通过信任网址白名单可以管理企业网络内信任的网址,加入信任后终端不再将此网址视为威胁
8. 上网行为管理
9. 可让指定或全网终端安装流量管理驱动
10. 可让指定或全网终端开启或关闭流量管理驱动
11. 可设置统计和限速是否过滤局域网流量
12. 可统计全网终端的上传、下载速度及上传,下载量
13. 可限制指定或全网终端的上传及下载速度
14. 支持网址黑名单,可设置终端不能访问的网址URL,终端访问这些URL时会被拦截,并展示拦截记录
4.7 软件管理1. 支持软件监控,按软件显示展示全网安装的软件和涉及的终端;按终端显示展示全网每个终端安装的软件
2. 支持软件分发,向指定或全网终端分发软件,支持终端接收软件后自动运行,支持定义软件运行参数
3. 支持文件黑白名单,管理员自定义文件的黑白属性,黑名单中的文件不能运行,白名单中的文件可以运行
4. 支持文件审计,对全网终端的所有文件保持完整的审计,方便鉴定恶意软件从何而来并立即阻止恶意软件继续运行
5. 支持文件源绿色归一化
4.8 硬件管理1. 支持硬件监测,按终端维度展示终端的硬件,包括电脑型号、CPU、内存、硬盘、设备SN等;可监控CPU温度、硬盘温度和主板温度
2. 支持硬件变更,展示终端硬件变动记录,可确认变更或删除记录
3. 支持基准变更,将指定或全部硬件变更记录加入基准,下次判断硬件是否有变更时根据新的基准来判断
4.9终端管理1. 自定义LOGO等图标
2. 支持终端密码保护,设置密码后,终端退出、卸载或安装控制中心,都需要输入正确的密码方可执行
3. 统一锁定全网终端的浏览器主页,防止恶意程序篡改
4. 设置终端的升级更新和数据下载的模式。预设三组模式,智能模式:终端可以访问外网时,向外网升级;不可以访问外网时,则通过升级服务器统一升级;统一模式:终端通过升级服务器统一升级;独立模式:终端只能通过外网升级
5. 可以对终端实行准入控制,只允许合法的终端接入控制中心
6. 可以对终端实行准入控制,未安装防病毒客户端或者超过24小时不关机或者不开启木马防火墙的都不能访问内外网;支持对终端加白
4.10日志报表1. 展示全网终端健康状态,可方便的查看不健康、亚健康终端列表;展示全网终端木马库日期比例,可方便的查看全网终端木马库的情况;展示全网终端病毒库日期比例,可方便的查看全网终端病毒库的情况
2. 按终端维度展示在线终端、离线终端、已卸载终端列表,可对终端进行体检、修复漏洞、查杀病毒、查杀木马、清理插件、修复系统危险项、开启安全配置等操作,可删除离线终端,删除已卸载终端记录
3. 按日期展示每日的危险项总数,可以点击查询指定时间段内各分组的危险项情况统计结果,可以查询到具体的统计信息
4. 可按查询条件(平均体检分、漏洞数量、病毒数量等)生成指定时间段内各分组的折现图、柱状图、条形图等,可自定义查询条件和图表类型
5. 可按查询条件(平均体检分、漏洞数量、病毒数量等)生成指定时间段内各分组的TOP5、TOP10的终端图表,可自定义查询条件和图表类型
6. 展示指定时间段内指定终端修复漏洞,病毒查杀,木马查杀的情况
7. 按照管理员设置的模板生成报表并发送到管理员邮箱
4.11 其它功能1. 支持IP-MAC绑定
2. 支持与旁路威胁检测系统设备联动
3. 支持控制中心数据恢复与备份
五、 其他技术要求5.1系统部署1. 部署模式阅览室管理系统采用云模式部署,支持无盘工作站、虚拟桌面、桌面云终端的部署。
2. 授权管理省中心、地市中心管理是通过账号授权方式完成管理。
3. 准入控制阅览室安装先要提交基本信息,中心管理员审核后,才能有权下载客户端安装包。
4. 安装包管理阅览室客户端要求动态生成,根据不同的阅览室注册信息生成不同的客户端安装包。
5. 免配置安装阅览室软件安装要免配置,无需用户输入各种配置信息,傻瓜式安装,可以自动连接到云服务器。
6. 操作系统阅览室客户端软件要支持32位或64位的xp和window7操作系统
7. 安全保障具备系统防杀死功能,以免上机用户不受控制。
8. 安装方式系统可以通过克隆或者网络同传的方式完成客户端的安装。
5.2系统接口1. 与国家中心对接系统部署后要求可以与国家中心平台进行对接,按照国家中心接口规范执行。
2. 与业务系统对接系统具备与图书馆业务系统接口的能力,可以调用业务系统的人员认证接口,执行认证。
3. 与硬件设备接口系统可以与扫描设备、读卡器设备接口以满足身份证和读者证信息自动读取。
4. 与安全系统对接阅览室管理系统具备与360安全防护系统对接接口,为下一步部署安全防护系统提供支撑。
5.3系统升级建立统一升级平台,为同构的电子阅览室提供升级服务
1) 自动对比文件差异
2) 自动进行版本校对
3) 提供管理员管理界面,方便升级文件管理
三、单一来源供应商:青岛中科力天网络技术有限公司
单一来源供应商地址:青岛市延安三路105号石油大厦901
四、论证专家名单:
该项目依据文化部全国公共文化发展中心《关于公共电子阅览室管理信息系统软件下发工作的通知》和《关于下发2014年度公共电子阅览室管理信息系统、社会化合作推广和奖励资金使用说明的通知》,我区属于使用国家中心提供平台的省份,故该项目属“只能从唯一供应商处采购”。故专家组一致同意采购单一来源方式进行采购。
