名称

单位

数量

备注

惠州市第三人民医院IP-guard终端安全管理软件扩容及维保采购项目

1

项

软件扩容含：350用户，14模块

功能项

功能要求

一体化安装

指本系统及后续扩展时所有相关的软硬件包含：终端安全管理、文件透明加密、准入网关、安全网关、敏感内容识别等等；所有功能的导入只需要在终端上安装一个客户端，即可实现所有的功能，确保终端具有良好的兼容性

统一平台管理

指本系统及后续扩展时所有相关的软硬件包含：终端安全管理、文件透明加密、准入网关、安全网关、敏感内容识别等等；所有功能的管理均通过同一个控制台进行统一管理

数据库支持

本系统的服务器端数据库需搭建在MSsql或者MySQL上，同时要求MSsql和MySQL都支持双机热备功能

操作系统支持

文件透明加密功能、文档操作审计和控制、网络通讯控制、屏幕审计需同时支持以下操作系统

1、支持windows 2000/XP/2003/vista/7/8/10/2008/2012等系列操作系统，包括32/64位系统

2、支持Mac OS X10.8~10.15.3之间的所有版本

3、支持linux操作系统，支持发行版本包括：Redhat、Ubuntu、CentOS、Fedora、Debian

文档透明加密功能、文档操作审计和控制、网络通讯控制、屏幕审计需支持Mac os x10.8 ~ 10.15.1Catalina之间的所有版本络通讯控制、屏幕审计需支持Mac os x10.8 ~ 10.15.1Catalina之间的所有版本

文档透明加密功能、文档操作审计和控制、网络通讯控制、屏幕审计需支持4个linux发行版本：CentOS/RedHat、Ubuntu、Fedora、Debian，要求支持1300个以上linux内核

系统对接

可与采购人现有管理系统软件无缝连接，统一管理平台

应用程序使用、安装和卸载控制

持通过应用程序进程名称、应用程序分类等方式对应用程序的使用权限进行控制，禁止非法应用程序运行，合法的应用程序可以正常使用；

支持对应用程序的安装权限进行控制，支持黑白名单，即可禁止全部软件安装，再允许部分软件安装，也支持禁止指定软件安装，支持安装包规则库，可通过产品名称/主题、文件说明/标题、公司名称、安装包名称、安装包大小等规则来限制软件的安装权限；

支持对应用程序的卸载权限进行控制，支持黑白名单，即可禁止全部软件卸载，再允许部分软件卸载，也支持禁止指定软件卸载；

应用程序水印、运行记录和统计

支持记录各种应用程序的启动、退出操作

支持自动收集终端运行过的应用程序，并可对应用程序进行分类管理

支持软件窗口水印，在打开重要的应用程序或文件时显示水印，操作其他程序或文件不显示水印，不影响用户阅读

可对各应用程序的使用时长及百分比进行统计，应用程序最小化到任务栏或不是当前窗口时不计算使用时长，统计结果支持列表和图表（柱状图、饼状图）两种显示方式

可按时间、计算机范围、应用程序类别、名称、明细、分项等方式对应用程序进行统计，并可自定义TOP显示

制作加密盘

可将移动存储设备格式化成加密盘，只能在内部装有客户端的计算机上使用，在外网无法使用该加密盘

拷贝自动加密

支持文档拷贝到移动存储时自动加密，移动存储文档拷贝到授权客户端计算机上自动解密，移动存储文档拷贝到非授权计算机上不解密

移动存储审计、注册和审批管理

支持自动收集客户端上使用过的移动存储信息（包括UDiskID、卷序列号、设备描述、卷容量、上次操作时间、上次操作计算机等信息），并可以自定义添加备注信息

支持对移动存储设备的插入、拔出进行审计，并支持对移动存储、便携设备的文档操作（创建、复制到、移动到、重命名、恢复、删除、访问、修改、上传、下载、刻录、复制出、移动出）进行日志记录、查询

支持对便携设备的文档操作（创建、复制到、移动到、重命名、恢复、删除、访问、修改、上传、下载、刻录、复制出、移动出）进行日志记录、查询

支持对移动存储设备进行自定义分类管理

可对移动存储、便携设备进行注册管理，注册信息包括有效期、设备名称、设备编号、所属部门、设备使用人、职位信息、联系方式、备注信息等，支持远程注册

支持多种注册状态，包括正常（注册）、注销、过期、挂失和未注册

可根据UDiskid、卷序列号，描述、卷容量、最后使用时间、注册有效期、注册状态等信息查询对应移动存储和便携设备信息

可对移动存储设备和便携设备的读、写权限进行控制，并可对移动存储设备的使用区域进行限制

当客户端有移动存储如u盘被禁止读、写时，客户端可以通过提交申请，请求在一定时间内可读或可读写

支持建立审批流程，按流程进行审批；支持多级审批，如可制定审批流程，各申请需多个审批员全部审批通过方可，或只需其中某几个审批员审批通过即可

支持审批权限委托，可将审批权限委托给代理管理员，并可设定委托有效时间，支持委托人在线时自动取消委托设定

支持移动存储设备使用申请审批和自我备案，管理员可以查看员工的申请审批和自我备案的申请信息

控制非法外设接入

支持禁用光驱、磁带驱动器、记忆棒、智能卡、MO、Zip、非系统驱动器、USB控制器和连接器、SCSI接口、直接电缆连线、拨号连接、声音设备、虚拟光驱、无线网络连接等外接设备

支持禁用移动智能终端的多种接入方式（便携设备方式访问、U盘存储方式访问、手机助手访问）

可通过设置SSID、BSSID信息对客户端连接指定的无线网络进行控制

当客户端有设备被禁止时，客户端可以通过提交申请，请求在一定时间内，放开对某设备的控制

支持审批权限委托，可将审批权限委托给代理管理员，并可设定委托有效时间，支持委托人在线时自动取消委托设定

文档操作审计和控制

可对各类存储设备（硬盘、便携设备、软盘、光盘、可移动盘、网络盘等）的文档操作权限（读取、修改、删除）进行控制

支持对敏感文档在复制/移动、修改或删除前进行备份，防止敏感文档破坏并保留证据，并可对备份文件大小进行设置

支持对各存储设备（硬盘、软盘、光盘、可移动盘、网络盘等）的文档全生命周期操作（创建、复制、移动、重命名、恢复、访问、修改、删除、上传、下载、刻录等）进行审计

支持其他计算机对本地客户端的共享文档的操作（创建、重命名、修改、删除等）进行审计

手机以便携设备接入时，对文档拷贝的操作进行记录

支持审计刻录日志，支持备份刻录文件，支持对刻录机进行可读不可写的控制

文档操作的审计需要与屏幕审计相关联，支持调阅文档操作时的屏幕画面

支持复制文件到网络盘和移动盘的申请审批和自我备案，管理员可以查看员工的申请审批和自我备案的申请信息

支持刻录光盘使用申请审批和自我备案，管理员可以查看员工的申请审批和自我备案的申请信息

打印水印及审批

可自定义打印浮水印功能，支持文字、图片、二维码和点阵水印

可对水印内容（文字内容、字体、大小、颜色、图片内容等）、参数（透明度、倾斜方向、位置、布局、数量、水印边距等）、页面边距等进行自定义设置

支持在浮水印中显示计算机名称、IP地址、用户名称、打印时间及自定义内容

支持在页眉、页脚、左侧、右侧及页面中间显示水印内容

支持对各类打印机（包括本地打印、网络打印、共享打印、虚拟打印）进行水印控制

当打印操作被禁止时，客户端可以通过提交申请，请求在特定打印条件、特定时间允许打印

当控制台设置了水印策略时，客户端可以通过提交申请，请求在特定打印条件、特定时间打印不加水印

支持建立审批流程，按流程进行审批；支持多级审批，如可制定审批流程，各申请需多个审批员全部审批通过方可，或只需其中某几个审批员审批通过即可

支持审批权限委托，可将审批权限委托给代理管理员，并可设定委托有效时间，支持委托人在线时自动取消委托设定

文档打印时需要与屏幕审计相关联，支持调阅文档打印时的屏幕画面

支持打印申请审批和自我备案，管理员可以查看员工的申请审批和自我备案的申请信息

网页审计及上传控制

可记录终端计算机浏览网页的信息（包括访问时间、计算机/组、用户/组、网址、标题、浏览器等）

可对通过http、FTP上传的文档进行备份

可对用户访问各网站的时长及百分比进行统计，统计结果支持列表和图表（柱状图、饼状图）两种显示方式

可按时间、计算机范围、网址类别、明细、分项等方式对网页浏览进行统计，并可自定义TOP显示

支持自定义网址形成分类库，支持分类库的导入、导出，网址支持通配符

通过制定网页访问黑白名单，可对指定计算机（或分组、全局网络等）的网页访问权限进行控制

支持对http、FTP、https协议的上传行为进行控制

支持网页上传文件申请审批和自我备案，管理员可以查看员工的申请审批和自我备案的申请信息

网络通讯控制

可通过应用程序、端口、网络地址、域名、通讯方向等参数限制计算机的网络访问权限，可限制单向或双向的通讯方向

可自定义网络地址和网络端口类别，方便归类管理

可检测内部网络是否有外来计算机非法接入并提供实时报警

可与安全检测功能相结合，阻断不合规客户端访问网络，直到终端符合安全检测的要求，才允许访问网络

可按“时间”、“到期时间”、“仅离线生效”灵活设置策略

当终端的通讯行为触发策略时，支持记录下当时的屏幕画面或锁定计算机

流量统计与控制

可按时间、计算机范围、网络地址（明细、类别）、端口（明细、类别）、流量方向（发送、接收、合计）等方式对网络流量进行统计，并可自定义TOP显示

统计结果至少支持列表和图表（柱状图、饼状图）两种显示方式

可根据网络地址、端口、流量方向等参数限制计算机的网络流量，达到合理分配带宽的目的

可自定义网络地址类别和网络端口类别，方便归类管理

可按“时间”、“到期时间”、“仅离线生效”灵活设置策略

当终端的流量超过指定的阈值时，可记录下当时的屏幕画面或锁定计算机

即时通讯审计和控制

系统需支持丰富的聊天软件，可对如下聊天工具的聊天内容进行审计：QQ、TIM、企业微信、钉钉、MSN、SKYPE、YAHOO、TM、Fetion、UC、ICQ、RTX、LSC、ALI、Google Talk、百度Hi、飞秋、263EM、msn Lite、营销QQ、企业QQ、连我LINE、LYNC、KK、imo班聊等

支持对通过以上聊天工具发送的任何格式的图片、文档进行备份

可对使用聊天工具进行文件发送/上传的权限进行控制，并可按文件名、文件大小进行限制

可对QQ、TM的登录账号、登录个数进行限制

支持IM传送文件的申请审批和自我备案，管理员可以查看员工的申请审批和自我备案的申请信息

资产统计、补丁管理、漏洞扫描，软件管理

可对计算机硬件、软件资产信息进行检测、统计、查询

可对计算机硬件、软件资产变更进行检测，并产生告警

支持自定义添加其他类别资产信息，并支持自定义查询

可对正版软件采购信息进行录入、统计，并可对计算机安装的软件信息进行统计、查询

可检测计算机补丁安装情况，并可集中下载最新补丁进行统一安装，支持“计算机模式”和“补丁模式”

可对微软操作系统漏洞进行检测，并提供解决漏洞问题的建议，支持“计算机模式”和“补丁模式”

可制作软件安装包或脚本分发至各计算机进行集中安装，安装模式支持安装软件、执行程序（运行一次）和派发文件，支持将普通用户权限提升到管理员权限进行软件安装

支持“计算机模式”和“软件模式”对软件进行强制、批量卸载，卸载任务模式支持“只执行一次”和“持续进行”，并且可对任务执行时间段进行设置

远程运维

支持远程查看客户端计算机当前运行的应用程序、进程、性能、设备管理、系统服务、磁盘管理、共享文件夹、计划任务、用户和组、启动项等，并可对应用程序、进程、系统服务、共享文件夹等进行操作，如可关闭当前运行的应用程序、进程等

支持远程卸载客户端计算机安装的软件，并支持对安装项信息进行自定义卸载

可点对多远程连接到远端计算机的桌面，直接对计算机进行操作，并支持对远端计算机的键盘、鼠标进行控制

支持必须经过客户端允许、密码设定和强制认证远程等方式的远程控制功能

支持远程文档传输，提供管理控制台与客户端相互传送文件的功能

支持对客户端下达任务，将客户端全盘文件目录列表或U盘文件列表上传到服务器，支持把客户端某个指定的文件上传到服务器

实时录屏及回溯

可实时查看单台计算机的当前屏幕快照

可对计算机的屏幕画面进行实时监视，并支持多屏监视，最大支持同时对16台计算机进行屏幕监视支持以播放器的方式播放屏幕历史，并可将屏幕历史转换成视频格式文件，支持播放键拖拽功能

屏幕记录

可自定义记录频率，记录计算机的屏幕历史画面，支持一台计算机接多个显示屏的屏幕记录

支持对指定应用程序的运行过程进行屏幕记录

支持与更多的用户行为联动记录屏幕画面，实现触发式的屏幕记录（包括运行应用程序、上网浏览、流量控制、网络控制、邮件控制、IM传送文件、网页上传、打印行为、敏感内容识别外传、敏感内容识别落地）

屏幕历史记录的数据量：在频率为15s时，每台客户端一小时屏幕记录所产生的数据量少于5M

日志统计

基于审计日志，可以对用户的打印、电子邮件、移动存储、文档操作、应用程序、上网浏览、即时通讯、文档加密、文档解密、文档外发、文档权限变更等行为进行报表统计，快速掌握内网运行情况；

通过统计用户打印、电子邮件、移动存储、文档操作、应用程序、上网浏览、即时通讯、文档加密、文档解密、文档外发、文档权限变更行为，可以直观展现某段时间内用户行为的变化趋势，并可为管理者后续完善管控策略提供依据；

针对打印、电子邮件、移动存储、文档操作、应用程序、上网浏览、即时通讯、文档加密、文档解密、文档外发、文档权限变更等行为，管理员可预先设置征兆阈值和报警级别，当用户行为达到设置的阈值时，报表系统会自动产生、统计相应的征兆事件，并启动报警；

可根据企业内部需要，自定义报表统计条件，获取个性化的私人订制报表；

可设定时间周期（年、季度、月、自定义等周期），自动生成报表，并可以通过邮件订阅功能，定时发送给管理员；

终端基本控制、终端安全检测，系统违规报警

可对客户端计算机进行锁定、解锁、关闭、注销、重启及发送通知消息等。

"1. 可对计算机系统相关属性的使用权限进行控制，具体如下：

a) 控制面板、设置屏幕属性、添加打印机、删除打印机、快速切换用户、修改计算机名称；

b) 设备管理器、使用磁盘管理、本地用户和组、系统服务管理；

c) 任务管理器、注册表编辑器、命令提示符、运行注册表中Run下的程序、运行注册表中RunOnce下的程序；

d) 修改网络属性、显示“网络邻居”、修改Internet选项、默认网络共享、使用网络共享、增加网络共享；

e) 修改网络IP/MAC配置；

f) 聊天类ActiveX控件、影音类ActiveX控件、游戏类ActiveX控件、Flash类ActiveX控件；

g) 使用print screen键复制屏幕、系统还原、windows自动更新。

2. 可按“时间”、“到期时间”灵活设置策略，并可设置策略“仅离线生效”。"

支持对计算机进行安全检测，检测内容包括：是否安装/运行杀毒软件，是否安装/运行特定应用程序、是否开启/禁止系统服务、是否安装特定补丁及其他特定文件、注册表项等

可查看计算机安全检测状态，当检测条件不满足时，可对计算机进行告警提示

可对安全检测进行日志记录，并可按时间、范围及检测结果等进行查询

支持对计算机的硬件变化、设备的插入拔出、存储设备变化、通讯设备变化、软件变化、系统服务变化、启动项变化、系统时钟变化、计算机名称变化、网络配置变化、磁盘空间不足等进行报警并形成日志

支持数据看板功能，包括客户端运行情况、策略报警统计、文件上传/发送统计、文档打印统计、移动存储统计、邮件外发统计、文件加密统计、文件解密统计、授权使用信息（注意：需包含对应的功能模块）

网络环境监测

支持检测并记录终端计算机的内外网状态，可显示终端计算机处于内网、外网或VPN网

低能效运行模式

当计算机运行过程中CPU和内存超过指定阈值时，则进入低效能模式，客户端软件将减少或延迟处理相关任务

防止私拆硬盘

当用户私拆硬盘时，能自动发送邮件或弹窗想管理员提醒或报警