包号

服务名称

数量

建设内容及要求

预算金额（万元）

1

信息安全软件

1批

详见附件

7.4

内网安全管理防护参数

部署要求★

1、服务端采用嵌入式Linux系统设计；（现场登录服务器后台验证）★

2、准入功能支持B/S结构部署★

3、终端安全管理支持标准B/S与C/S插件结构；★

4、插件支持环境：支持X32\X64平台

（Windows2000/2003/XP/Vista/Windows7/Windows8.1/windows10）操作系统；

5、支持VPN/拨号接入、支持多级级联管理，独立级联数据汇总服务器，统一管理平台；支持负载均衡，同一网段内部署多台准入服务器，支持双机热备

6、支持HUB及无线AP环境部署条件,兼容所有网络设备,支持傻瓜式交换机和路由器；

7、支持旁路、网桥、网关3种部署方式,必须支持逻辑旁路及串接方式部署；设备部署过程中不能改变原有网络结构及网络、安全等设备的配置且无客户端；

8、支持多级级联管理，独立级联数据汇总服务器，统一管理平台；

9、支持HUB及无线AP环境部署条件,兼容所有网络设备,支持傻瓜式交换机和路由器；

10、支持负载均衡，同一网段内部署多台准入服务器，统一平台管理，自定义管辖IP范围

支持双机热备；

平台要求★

1、产品控制平台管理账户支持三权分立，最小授权管理原则。/

2、针对产品的登陆信息可根据用户实际情况自定义修改，如：标题内容、登陆图片、启动封面、欢迎页面。★

3、支持插件后台自动升级功能

4、支持数据库后台每天自动备份功能，轮询周期为一周

5、系统必须支持外挂外部存储功能，可将系统中所产生的部分数据存储到外部存储区域。

要求功能列表中的基本功能在一个平台上实现，没有第二平台。★

系统功能列表

准入功能★

准入平台

1、采用NACP准入技术，能够通过引导方式提示用户入网必须经过的流程；★

2、支持802.1x、策略路由、WebPortal、NACP、桥接等准入技术；★

3、准入技术支持单独和或组合使用的方式同时使用★；

4、能够支持分权限的访问区域划分，确保入网终端具备合适的权限，例如：安全区域、隔离区域、来宾区域；★

5、支持阻断跨NAT路由器下未安装插件的计算机，放行合法的计算机；★

6、针对终端安全性进行测评，符合管理员制定的各项测评要求才能接入网络

支持引导页面，详细描述终端用户被准入的原因；

终端网络通信域

1、端口防火墙：支持自定义设置自动放行和拒绝放行的端口，支持端口段设置；★

2、IP过滤规则：支持自定义设置自动放行和拒绝放行的IP地址，支持IP段设置；

3、URL地址过滤：支持全局自定义设置自动放行和拒绝放行的URL地址，支持通配符。★

身份鉴别

1、设置合法终端和非法终端之间的通信规则。

2、设置终端用户和来宾用户之间的通信规则。

3、设置部门之间的通信规则。

4、设置自定义IP地址过滤规则。★

安全评测

1、支持组合身份鉴别方式，可根据用户、密码进行身份鉴别，支持LDAP、AD域联动身份鉴别、Email账号密码身份鉴别、USB Key身份鉴别、短信验证码身份鉴别等技术进行单一和组合方式对入网用户进行鉴别控制。

2、任意身份鉴别方式：设置终端用户可以通过提定的多个身份鉴别方式中，采用任意一种身份鉴别方式登陆系统。

3、多重组合身份鉴别方式：设置终端用户必须同时采用两种或两种以上的身份鉴别方式登陆系统。★

4、未插入合法USB key锁定系统屏幕。

等级保护

策略库

1、支持对移动存储介质、光驱介质、3G上网卡、硬盘系统分区、网络监听端口、IP/MAC 绑定、ARP欺骗、恶意代码防范、操作系统补丁、来宾账户、口令安全、黑名单口令、Windows防火墙、超时重新登录、计算机名称、系统服务、远程桌面、系统时间、AD域环境、共享资源、telnet、剩余信息保护、非法进程、合法进程、安装程序、禁止安装程序等终端入网安全检测项；

2、支持自动检测、循环评测、一键修复及后台自动修复；★

3、根据安全评测结果分配不低于3种的网络访问权限

4、要求支持对移动设备通讯状态进行在线监测，如果发现与指定服务器通讯存在异常，则安全测评不满足要求。★

5、要求针对不符合安全测评要求的移动终端可禁止其接入网络，并提供可引导式修复界面，可帮助用户进行一键式手动或后台自动修复。★

违规报警

1、支持对按照《信息系统等级保护》不同等级，针对终端用户物理设备、网络安全、系统安全和操作应用安全四大方面下发策略，保证终端符合不同级别的要求，提高终端机器的安全性和可靠性。同时用户还可以根据管理需求进行灵活的自定义设置，量身打造适合自己的安全检查规则库。★

存储介质管理

1、支持硬件变化报警、接入移动存储介质报警、插入光盘报警、接入3G 4G无线上网卡报警、IP&MAC地址变化报警、违规外联报警、未安装恶意代码防范程序报警、存在操作系统漏洞报警、终端通信异常报警等违规报警；★

2、报警措施支持阻断断所有网络连接、关闭计算机、放置隔离区、发通知信息、邮件或短信方式通知管理员等操作。

3、要求提供准入、USB、外设等非法操作报警并记录，向操作本人与管理员提供实时报警，并能够对终端执行包括：锁定、断网、禁用鼠标键盘等操作。

4、按照报警类别、报警级别、具体部门、终端等分类提供各报警类别信息查询功能。

安全管理

1、数据单向导入；存储介质授信使用；并可设置加密U盘★

2、设置终端用户禁止使用USB移动存储介质。

3、设置终端用户仅允许只读访问USB存储介质。★

4、设置终端用户允许读写访问USB存储介质。

5、将USB存储介质划分为内部分区和外部分区，在单位网络内可以同时使用内部和外部分区，在单位网络外只能使用外部分区。★

数据防泄密管理

1、支持禁用终端所有USB存储设备、便携式设备、光驱介质、无线网卡、3G无线上网卡、手机代理上网、调制解调器、蓝牙设备、其它网卡（除与服务器连接应用的网卡）、打印机等外接设备；

2、支持禁止用户修改IP地址及IP/MAC绑定等；

3、支持设置终端用户的程序黑白名单、定时关机功能、规范计算机名及超时锁屏等安全功能；★

4、支持文件操作、浏览网站、应用程序和网络连接等审计日志功能；

报表管理

支持5个user的防泄密通道管理

1、可将终端计算机分离成系统原始桌面和办公桌面，并可对不同桌面下发不同的应用程序限制、外接设备应用权限、网络通信访问限制策略，系统原始桌面无法查看办公桌面内的文件。★

2、支持不同桌面间一键切换，同时仅允许管理员自动创建文件加密密钥。

3、支持对办公桌面内应用程序使用一键导入、手动添加、管理员统一定制等多种模式进行管理。

4、支持终端开启手动、自动、强制进入办公桌面，允许单机模式下使用办公桌面，并支持不同桌面间切换进行密码验证。★

5、允许系统原始桌面和办公桌面下发不同的USB存储限制策略（禁止使用、只读、读写、例外）★

6、允许系统原始桌面和办公桌面下建立邮箱通信列表，仅允许授信邮箱发送明文附件

7、支持终端用户自主制作文件外发包或者管理员审批制作。可限定外发文件的禁止修改、禁止截屏、禁止打印、禁止复制、打开密码、打开次数、有效时间等使用权限。并且可强制外发文件的默认权限，查看外发文件时需要进入独立的桌面中查看。

8、支持对终端用户打印的文件增加水印功能，同时支持配置水印显示方式、字体大小和颜色等。支持分开设置原始桌面和办公桌面下的文件打印水印，水印内容支持自定义。

9、支持对办公桌面配置屏幕水印功能同时支持配置水印显示方式、字体大小。

10、办公桌面上支持禁止用户截屏、禁止复制文件内容至系统原始桌面、禁止访问普通分区盘符，通过控制各类存在外泄风险的通道。

11、办公桌面内文件支持终端自主导出、加密导出和审批导出文件三种模式。支持自定义创建审批环节，满足不同需求的审批要求。支持添加多个审批环节，支持任意一人审批后即可通过和所有人审批的多种审批模

12、可对办公桌面提供应用程序、网络浏览、文件操作、屏幕录像审计并可提供审计日志。

系统扩展性

1、在线状态分析：通过在线状态分析功能，可以对入网终端的在线情况进行分析，包括在线终端、离线终端、长期离线终端的按日期分析功能，并支持按部门分别统计以上终端的分析内容，同时，支持以上数据按照分布图、趋势图、详细信息的展示方式。

2、测评状态分析：通过测评状态分析功能，可以按日期结合终端在线率对全网合格与不合格入网终端进行综合分析，并将分析结果通过分布图、趋势图、详细信息的形式进行展示。★

3、入网风险分析：通过入网分析功能，可以按日期对全网终端分部门的入网状况进行综合分析，分析内容包括直接批准、通讯隔离的终端情况，通过对这些数据的综合分析，将分析结果通过分布图、趋势图、详细信息的方式进行展示。

4、违规事件分析：通过违规事件分析功能，可以按日期对全网终端的违规事件进行分析，包括硬件变化、存储介质使用、非法外联、系统漏洞、ARP攻击等内容，同时支持按部门分别统计以上终端的分析内容，支持按照分布图、趋势图、详细信息的展示方式。

5、全网安全趋势：通过全网安全趋势功能，可以按日期对网内具有安全隐患的用户进行趋势分析，隐患项目包括违规用户、测评未通过用户、非法接入用户信息，通过对这些数据的综合分析，将分析结果通过折线图的形式展示在首页中，便于管理员及时掌握网内安全趋势。★

6、上网行为分析：通过上网行为分析功能，可以实现对入网终端的上网行为进行分析，包括办公类、新闻来、视频类、游戏类等网站访问的按日期分析功能，并支持按部门分别统计以上终端的分析内容；同时，支持以上数据按照分布图、趋势图、详细信息的展示方式。

7、硬件信息分析：通过硬件信息分析功能，可以实现对入网终端的硬件资产分布情况进行分析，包括硬盘大小、型号，内存大小、型号，CPU大小、型号等信息的按日期分析功能，并支持按部门分别统计以上终端的分析内容；同时，支持以上数据按照分布图、趋势图、详细信息的展示方式。

8、软件信息分析：通过软件信息分析功能，可以实现对入网终端的软件安装分布情况进行分析，包括操作系统、杀毒软件分布等软件资产的按日期分析功能，并支持按部门分别统计以上终端的分析内容；同时，支持以上数据按照分布图、趋势图、详细信息的展示方式。

9、应用使用分析：通过应用使用分析功能，可以实现对入网终端的软件使用分布情况进行分析，包括办公类、聊天类、游戏类等应用使用的按日期分析功能，并支持按部门分别统计以上终端的分析内容；同时，支持以上数据按照分布图、趋势图、详细信息的展示方式。

10.行为安全审计：通过行为安全审计功能，可以实现对终端的即时聊天、文件操作、 邮件使用、文件打印、USB插拔、屏幕录像等日志信息进行详细的记录，支持对以上数据的高级查询、导出、打印等操作。

1、产品扩展性功能支持网络运维管理，对主机、虚拟化设备、硬件、网络设备、视讯设备、无线设备、安全设备、存储设备等多种类别设备的监控管理。★

2、产品升级具备扩展性功能需要与现有的产品在同一平台实现且与现有系统实现无缝结合，可扩展支持针对业务系统SSH，TELNET，SNMPv1，SNMPv2c，SNMPv3，Agent，WMI等资源的多种发现方式，生成拓扑展示界面，并且支持显示二层网络拓扑和三层网络拓扑，能够准确定位网络问题，并支持创建自定义拓扑，可对拓扑进行导出、复制、重命名等操作。而且支持首页可自定义显示全网系统包括网络、主机、硬件、虚拟化、无线设备、安全设备、存储设备运行总览；★

3、可扩展支持对业务系统Oracle、Oracle RAC、MySQL、SQL Server、MongoDB、PostgreSQL等数据库的监控；支持通过SMI-S或snmp协议实现对HP、Hitachi、IBM、SUN、EMC、DDN、昆腾等厂商主流型号存储设备的监控，监控的内容包括风扇、电源、磁盘、控制器等硬件资源工作状态和阵列IO性能。支持服务器硬件监控：支持各品牌小型机、刀片服务器、X86服务器电源、硬盘、风扇、主板、CPU、内存等硬件运行状态的监控。★