包号

设备（项目）名称

单位

数量

采购预算价（万元）

采购方式

A包

空调

套

1

11

竞争性谈判

B包

堡垒机

台

1

8

竞争性谈判

C包

数据备份一体机

台

1

20

竞争性谈判

D包

杀毒软件终端安全管理系统

套

1

22

竞争性谈判

E包

网络终端准入系统

套

1

25

竞争性谈判

F包

空调

台

10

2.03

询价

一、空调风管机冷量配置技术要求

房间功能

面积

空调冷负荷

空调机额定容量负荷

实际单位

㎡

单位负荷

总负荷

室内机名称

数量

额定冷量

总冷量

冷负荷

W/㎡

W

台

KW

KW

W/㎡

临检室

48

250

12000

四面出风嵌入式

1

12.5

12.5

260

体液室

55

200

11000

四面出风嵌入式

1

12.5

12.5

227

生化大厅

280

200

56000

四面出风嵌入式

5

12.5

62.5

223

383

7

87.5

指标

规格要求

硬件要求

标准配置6个10/100/1000M接口和1个扩展槽；可支持扩展4口的千兆光或者电模块，整机最大可以支持10个1000M接口，2个USB口，1个COM口，1T企业级硬盘；内置APPBOX系统；

性能要求

最大支持150个并发会话。支持外接NAS，支持Telnet、FTP、SSH、SFTP、RDP、VNC协议，支持双机热备，含200个license(管理资源数)，可扩展至300授权；

资源管理

1. 通过堡垒机web页面内嵌运维工具访问目标资源。Web页面内嵌RDP协议管理工具及SecureCRT、FTP/SFTP、VNC/X11管理工具，支持剪切板、本地磁盘映射、自定义窗口分辨率、全屏自适应。

2. 不改变用户使用习惯，无需登录Web页面，可联动本地CLI客户端实现透明的单点登录。

★ 可生成SecureCRT登陆会话文件并能够导出至本地使用。（提供截图证明材料并加盖原厂公章）

★ 支持自由切换被授权的多个系统账号（代替su命令），自动完成授权检测及密码代填。（提供截图证明材料并加盖原厂公章）

★ 可生成远程桌面RDP登陆会话文件，并能够导出至本地快捷登陆。（提供截图证明材料并加盖原厂公章）

安全

性要求

3. 4A管理平台做主帐号的认证，并通过认证接口控制堡垒主机主帐号的资源访问行为，堡垒主机根据4A管理平台的访问控制要求提供资源访问。

运维管理

4. 支持主机管理，包括主机IP、名称、类型、访问协议、端口、帐号及密码等信息；资产信息字段可自定义扩展。

5. ★支持设备帐号口令修改计划，支持对网络设备、安全设备、Windows系统、Unix/linux系统及数据库从账号密码自动修改功能。（提供截图证明材料并加盖原厂公章）

授权管理

6. 可以将资源和资源的从帐号授权给主帐号（提供截图证明材料并加盖原厂公章）。授权给主帐号的资源可以新增和删除。授权时可以按照树形组显示资源，方便资源的选择。

7. 可以通过制定访问规则对（自然人）主账号和（被管资源）从账号进行关系匹配。同时在规则内可以定义授权协议、关联安全策略等。

8. 主帐号登录后，对本主帐号授权的资源只能在即符合主帐号的访问时间策略、访问地址策略，也符合资源从帐号的主机命令策略、访问时间策略、访问地址策略时访问到资源。

9. 授权分为堡垒主机管理功能授权和资源访问授权。内部管理功能授权可以限制到某个树形节点的范围内。

工单流程

10. ★支持对未授权指令（被拦截的指令）的临时申请，领导审批后可继续执行被拦截的指令。（提供截图证明材料并加盖原厂公章）

11. ★支持对未授权资源的临时申请，临时申请需选择目标资源、访问协议、登陆账号、使用时间及申请原因。（提供截图证明材料并加盖原厂公章）

12. 支持对重要服务器的二次审批：即对重要服务器执行单点登录时，需通过领导二次审批方可操作。

高可靠性

部署

13. 支持自适应HA双机热备，旁路部署。

主帐号管理

14. 堡垒机身份认证方式：本地认证、RADIUS认证、LDAP认证、AD域认证。

15. 支持三权分立，内置管理员角色，支持自定义角色权限。

16. ★支持联动手机Google身份验证动态码及USB Key认证方式（提供截图证明材料并加盖原厂公章）可直接联动广东CA、北京CA、国泰新点、格尔网关、坚石诚信等证书。

从帐号管理

17. 能够对资源上的帐号进行管理，可以添加、修改、删除资源上的从帐号。

18. 对从帐号的新建和修改，支持通过配置访问地址策略、锁定策略及密码策略达到限制主帐号对资源的访问。

安全策略

19. 支持时间集管理及IP集管理，可按时间集及IP集配置访问控制策略。

20. 支持对违规或高危指令进行拦截处理，可以设置指令黑白名单。

21. 可以制定细粒度策略；支持高危指令对象、访问时间对象、源IP地址对象、访问目标设备对象根据“最小授权原则”进行策略合成。

22. 支持以邮件、SYSLOG、Snmp Trap、短信方式实时发送告警信。

审计及报表

23. 支持对字符协议、图形协议、数据库操作进行操作审计。

24. 支持sftp/ftp文件传输协议审计、支持记录WEB资源完整访问URL地址。

25. ★支持以word、excel、html、csv和pdf方式生成并导出报表、支持根据用户实际要求，定制报表内容及格式。（提供截图证明材料并加盖原厂公章）

26. 支持对会话进行实时监控、回放和阻断操作，支持以WEB在线视频回放方式重现运维人员对设备的所有操作过程，无须另装播放软件。

单点登陆

27. 支持“自动”“半自动”“手动”登录方式。

28. 支持对重要服务器的二次审批：即对重要服务器执行单点登录时，需通过领导二次审批方可操作。

对外接口

29. 支持审计信息（包括系统审计及运维审计）对外转发，转发方式包括syslog、snmp trap。

售后服务

30. 所投产品含原厂三年硬件质保及软件升级服务

厂商及产品资质

所投产品厂商具有国家信息安全服务工程类二级或以上认证资质

所投产品具有计算机信息系统安全专用产品销售许可证

所投产品具有国家保密局涉密信息系统产品检测证书

所投产品具有计算机软件著作权登记证书

指标项

参数要求

1、资质

产品具有公安部计算机信息系统安全销售许可证。

2、设备基础要求

★标准机架式设计，磁盘槽位≥16盘位；

★配置1颗64位6核心处理器、缓存≥64GB；

★配置企业级SATA硬盘，裸存储空间≥16TB；

★持续数据保护授权容量≥16TB ，或不限制持续数据保护客户端；

★配置1块双端口万兆光口卡，支持FC、iSCSI以及万兆网络接口；

★配置多路冗余供电功能。

★设备系统采用64位UNIX或Linux备份存储专用系统，存储系统及软件预装在独立的存储介质中，不占用RAID硬盘组的存储空间,支持http方式登录，确保登录安全。(提供管理界面截图并加盖厂商公章)

★统一存储架构（支持FC SAN、IPSAN、 NAS的融合组网），不接受网关模式；可通过统一管理平台进行集中化管理

★可选择提供数据备份、持续数据保护、虚拟磁带库、FC SAN和iSCSI磁盘阵列、NAS、内置虚拟机等功能。

支持存储系统盘快速重建功能，实现因升级或损坏系统盘的情况下系统能快速读回原有的配置内容。

★支持RAID 0、RAID 1、RAID 10、RAID 5、RAID6、RAID 50、RAID 60、RAIDTP等(提供管理界面截图并加盖厂商公章)

配置备份的DRAM写缓存掉电保护功能，设备异常断电后缓存数据永久保持不丢失。且无需使用电池或者电容，不受温度等环境因素影响。

配置优化RAID重建技术。

支持IEEE 802.3ad标准的链路聚合（LACP），以及IP多路径（IPMP）功能。

★配置重删（即：重复数据删除）功能；配置数据压缩功能。

设备支持SSD读缓存和写缓存，以提高存储性能。支持添加SSD加速重复数据删除元数据的访问速度，能够提高备份性能。

3、★持续数据

保护要求

具备持续数据保护功能，产品采用旁路接入架构设计，在原有服务器到存储的数据路径中不需要加入设备 ，彻底避免设备本身故障造成生产存储访问中断的风险可能性。

可对业务系统的每个写I/O操作进行记录 ，同时产生连续的数量恢复点（不限时间，仅受限于设备存储空间），当系统出现故障后可恢复至任意选定时间点。(提供管理界面截图并加盖厂商公章)

被保护主机和数据持续保护设备之间支持FC和iSCSI连接方式，支持Windows、Linux和Unix环境下的持续数据保护。(提供管理界面截图并加盖厂商公章)

支持将任意持续数据保护存储的历史I/O记录点挂载。在Unix和Linux系统下可实现主存储故障时的本机零中断无缝接管（RPO=0，RTO≈0）；手动接管情况下业务恢复时间可达分钟级。支持挂载到本机或者另外的物理/虚拟服务器用于存储接管。(提供管理界面截图并加盖厂商公章)

配置远程数据复制功能。

支持在不停保护的情况下，将对应持续数据保护磁盘组的多个历史数据状态的“副本”挂载到不同主机或者虚拟机，无需回滚瞬间挂载，可读可写，能够在不影响业务数据运行的情况下，用于灾备演练、数据分析和测试等用途。

必须同时具备FC-SAN盘阵、IP-SAN盘阵、NAS等功能。(提供管理界面截图并加盖厂商公章)

支持Windows、Linux系统从容灾设备历史点数据启动，支持光纤、iSCSI方式。

4、★备份功能要求

对被保护系统（Windows、Linux平台）的接入端数量无限制要求。

支持Windows、Linux及Unix操作系统下的文件或数据库在线备份。

支持不同平台下Oracle、OracleRAC、Sybase ASE、Sybase IQ、SQL Server、DB2、Exchange、Lotus、MySQL等国外数据库备份及恢复。

具备远程备份功能；

支持断点续传、脱机备份、双向缓冲、流量控制等有效的广域网数据备份技术；

并可实现一对一、一对多、多对一、多对多的备份方式；

支持SAN网中异构平台下的多台服务器LAN-Free备份功能。

支持备份介质为磁盘或者虚拟磁带库（VTL），同时支持IP-SAN或FC-SAN网络结构。(提供管理界面截图并加盖厂商公章)

支持灵活定制备份策略，具有定时备份功能，能够自主地设定数据库、文件备份的策略，具有完全备份、增量备份、差分备份功能；(提供管理界面截图并加盖厂商公章)

5、★管理功能

图形化管理能力，提供中文管理界面；

允许用户可自行规划、划分、分配磁盘LUN组及修改配置。(提供管理界面截图并加盖厂商公章)

提供设备监控和主动告警。

6、★部署

环境支持

要求支持主流的Windows、Linux、Unix系统；

支持FC SAN、IP SAN、DAS、系统磁盘等环境的数据保护；

指标项

技术规格要求

软件要求

控制中心：采用B/S架构管理端，具备设备分组管理、策略制定下发、全网健康状况监测、统一杀毒、统一漏洞修复、网络流量管理、终端软件管理、硬件资产管理以及各种报表和查询等功能。

客户端：与安全控制中心通信，提供控制中心管理所需的相关数据信息；执行最终的木马病毒查杀、漏洞修复等安全操作。

★授权要求

本次授权1000个客户端（防病毒功能+补丁+运维管控+移动存储+XP盾甲功能），含三年升级服务。

系统管理

产品支持终端保护密码，设置密码后，终端退出或卸载杀毒、或安装控制中心，都需要输入正确的密码方可执行。

支持网页访问部署、离线安装包部署、域推送等部署方式，可自定义部署通知邮件及部署通知公告

支持自定义默认分组的终端默认功能模块,包括产品功能模块及实用工具等

资产管理和日志报表

按终端维度展示终端的硬件、软件、操作系统、网络、进程等信息；可监控CPU温度、硬盘温度和主板温度

支持统计指定分组或全网的终端扫描数、终端管理软件安装数、未安装终端数及安装率。

支持自动发现设备的IP-MAC地址的绑定

支持插件清理，按插件显示展示全网存在的插件和涉及的终端，可清理指定或全部插件、加入信任；按终端显示展示全网每个终端存在的插件，可清理插件

支持正版软件的正版序列号的读取功能，确保软件正版化。（提供功能截图）

展示指定时间段内指定终端修复漏洞，病毒查杀，木马查杀的情况

要求支持邮件报警，可以设定多种触发条件，满足条件后自动发送邮件到相关人。邮件触发条件至少包括：一定时间内的病毒数量阈值、一定时间内的未知文件数量阈值、重点关注的终端发现病毒、病毒库超期等

病毒、恶意代码、木马防护

要求能够自定义时间、自定义扫描频率，自定义扫描类型，对终端进行定时查毒，并且可以自定义查杀病毒后的处理方式自定义；

支持文件与目录自定义黑白名单的方式来管理全网终端的文件；文件被加入白名单，客户端不再查杀，加入黑名单，客户端不可执行此文件；

要求支持对网内未知文件云查询的控制，可以选择直接连接互联网云查询中心查询，也可以选择采用私有云查杀引擎完成未知文件查询；

要求能够支持漏洞利用防御，尤其对通过文件漏洞（尤其是0day漏洞）的攻击行为进行有效检测与防御；

要求支持文件解压缩病毒查杀，支持对zip、rar、7z等多种格式的压缩文件查杀能力；

有针对宏病毒的专杀模块，可以提供针对宏病毒的专属解决方案；

对敲诈者病毒提供防护机制，同时提供解密工具，解密工具应为自主研发；

要求产品具备本地多引擎查杀能力，且引擎可配置；

支持linux、国产操作系统杀毒（提供至少4个厂商认证证书）

要求产品具备公有云检测能力，并且公有云特征储备超过145亿；（提供相关证明）

支持私有云查杀，预置至少8亿黑名单及2亿白名单，终端威胁统一到控制中心查询黑白并进行查杀。（提供相关证明）

要求支持客户端升级时对网络带宽的保护，可以设定服务器端最大升级带宽。

补丁分发与漏洞修复

要求产品具有定时修复漏洞功能，同时可以设置筛选高危漏洞、软件更新、功能性补丁等修复类型；

终端支持智能屏蔽过期补丁、与操作系统不兼容的补丁，可以查看或搜索系统已安装的全部补丁

产品具备漏洞集中修复，强制修复，自动修复；具备蓝屏修复功能（要求提供截图）

产品具备漏洞集中修复过程中的流量控制和保证带宽,补丁分发支持服务端带宽限流与客户端P2P补丁分发加速，有效节省外网带宽资源

运维管控

可统计指定终端网络、应用程序的上传，下载速度与流量；

支持冗余有线网卡、无线网卡、3G网卡、MODEM、ADSL、ISDN等设备的外联控制；违规外联发生时可针对内外网连接状态分别设置违规处理措施

支持终端进程红名单、黑名单、白名单功能，可设置核心进程必须运行，也可保护核心进程不被结束。

支持网址白名单，通过信任网址白名单可以管理企业网络内信任的网址，加入信任后终端不再将此网址视为威胁

支持网址黑名单，可设置终端不能访问的网址URL，终端访问这些URL时会被拦截，并展示拦截记录

支持对终端各种外设（USB存储、硬盘、存储卡、光驱、打印机、扫描仪、摄像头、手机、平板等）、接口（USB口、串口、并口、1394、PCMIA）设置使用权限

支持对终端桌面系统的账号密码、本地安全策略、控制面板、屏保与壁纸、浏览器安全、杀毒软件检查

移动存储介质管理

支持管理员对入网的移动存储介质进行注册，可以对已注册的移动介质进行管理，包括学习注册、授权、启用、停用、删除、取消注册、导出注册列表等

支持移动存储介质读写权限划分设置，有效控制不明来历的移动存储可能带来的病毒传播等隐患

支持移动存储介质外出管理，并可以设置外出使用权限以及外出使用次数与有效时间；

可提供硬件安全U盘与终端安全管理系统联动。

硬件安全U盘在身份认证之前不能访问数据区密文。在身份认证过程中，存在口令尝试次数限制，可有效防止暴力破解。口令认证过程受安全芯片保护。

安全U盘日志记录文件的操作时间，登录账号，操作记录，使用U盘的计算机名，源文件路径，目标文件等信息日志存储受安全芯片保护，防止篡改。

硬件安全U盘的日志记录不受网络限制，脱离内网仍可进行操作审计

XP防护

支持针对WindowsXP系统可带来安全隐患的设计机制进行加固性修复，至少支持10以上防护机制；（提供功能截图）

支持安全沙箱技术，可对word、excel、ppt等程序进行沙箱隔离运行；

支持系统IE降权，防止黑客利用IE浏览器提权渗透；

终端审计

支持移动存储设备、网络共享服务器、本地硬盘特定扩展名或特定目录下的文件访问、修改、删除、移动等行为的审计

支持网络打印操作、本地打印操作、虚拟打印操作审计，记录包含终端ＩＰ，文件名称与类型，打印机名称，纸张类型等信息；支持自定义文档类型的打印审计；

支持邮件发送审计，通过设置例外,忽略已知类型的可信邮箱,如本企业的内网或外网邮箱等,重点记录未知收件人的邮件日志；

支持终端访问的互联网全日志的审计，支持自定义浏览器进程与主机地址的筛选；

支持对应用程序的启动和停止进行记录,统计软件运行的活动状态

支持USB、蓝牙或红外等终端外设接口接入外设的使用情况审计

支持终端的启动、关闭、待机、休眠、等状态的记录与统计

支持本机账户或域账户登录日志统计

综合评估

支持根据检查项通过率的百分比评定终端配置的脆弱程度，定性的标准可由管理员自定义；

支持自定义登录失败限制、本地身份防盗用、密码维护要求等方面的检查项配置，有效避免攻击者通过暴力破解，字典尝试，hash碰撞,或使用破解工具破解口令等方式，使用户的计算机面临风险；

支持自定义账户管理审核、登录注销审核、其他补充审核等方面的检查项配置，可有效反应终端所处环境的安全状态，有助于管理员了解终端用户业务系统运行的动态情况；

支持自定义网络安全访问控制、数据泄漏控制、账户访问控制、账户权限控制等方面的检查项配置，可有效预防未加固系统容易被攻击者在未授权的情况下访问或破坏系统的情况；

支持对文档内数据内容进行检查，管理员可以自定义检查规则和检查内容，文档内包含任意一条规则中的全部数据内容，则为价值文档，支持规则内“逻辑与”，规则间“逻辑或”的关系评定，终端价值定性的标准可由管理员自定义；

支持忽略路径的配置，忽略路径中的文件不会检查，节省终端资源的占用；

支持压缩文件检查，检查压缩文件中文档的敏感信息，支持压缩文件大小限制；

支持自定义账户登录记录、U盘使用记录、IE浏览记录、最近打开文档、搜索历史记录、共享目录等检查项配置，来评估终端是否被渗透；

评估方法支持任务式下发，具有检查前后截止日期的状态对比，支持任务上下级、优先级的设置；支持不同分组运行不同检查任务；支持任务模板设置

产品资质

具备公安部颁发的《计算机信息系统安全专用产品销售许可证》内网主机监测（一级）；提供相关证明

具备全球IPv6Ready测试中心出具的认证证书，提供相关证明

厂商资质

厂商需在信息安全领域有丰富的经验与先进的技术，须有对系统漏洞进行发现、验证、以及提供应急服务的技术能力。具备国家信息安全漏洞库CNNVD颁发的连续2年年度最佳支撑单位证书，提供相关证明

厂商具备ISCCC信息安全服务资质-安全运维服务资质，提供相关证明

厂商具备ISCCC信息安全服务资质-安全工程类（三级）服务资质，提供相关证明

序号

设备名称

单位

数量

备注

1

网络准入控制与终端安全管理系统

套

2000点

资质要求（厂商具备）

资质

1. 计算机软件著作权登记证书★

2. 公安部计算机信息系统安全专用产品销售许可证及检测报告★

3. 国家保密局涉密信息系统产品检测证书及检测报告★

4. 投标厂商具备ISO9001质量管理体系认证证书★

5. 投标厂商具备IS027001信息安全管理体系认证证书★

总体要求

系统架构

1. 标准采用B/S架构，便利易操作管理设计；

2. 支持VPN/拨号接入、分支机构联动管理；

3. 服务器系统采用linux操作系统（现场登录服务器后台验证）★

4. 提供断电保护机制，如心跳、Bypass等，确保异常时网络不受影响；

系统性能

1. 客户端插件支持X32\X64平台的 Win2003/XP/Vista/WIN7/WIN8/WIN10操作系统；

2. 客户端插件支持X32\X64平台的Linux操作系统，包括但不限于Centos、Ubuntu、Fedora、NeoKylin；★

配置要求

1. 提供专用2U机型专用硬件服务器；（提供设备外观照片加盖公章）★

2. 峰值事务处理能力≥160000事件数/秒；

3. 标准配置至少具备6个千兆RJ45接口；

4. 具有一个网口扩展槽位，支持4个端口千兆光纤扩展或2个万兆光口扩展

5. 支持冗余电源扩展；

部署要求

1. 支持旁路、网桥、网关3种部署方式；

2. 支持逻辑旁路及串接方式部署；

3. 设备部署过程中不改变原有网络结构及网络、安全等设备的配置且无客户端；

4. 支持多级级联管理，独立级联数据汇总服务器，统一管理平台；★

5. 支持HUB及无线AP环境部署条件，兼容现有网络设备，支持傻瓜式交换机和路由器；

6. 支持多网络出口环境，网内可同时部署多台准入服务器，统一平台管理，自定义管辖IP范围；（提供功能截图，加盖公章）★

7. 支持双机热备，主机故障时备机自动切换，确保服务器的高可用性★。

平台要求

1. 产品控制平台管理账户支持三权分立，具有系统管理员、系统审计员、系统操作员管理帐号；

2. 系统支持能够根据管理需要自定义添加帐号。

3. 系统新建帐号支持只读设置功能，只读帐号仅能查看系统功能，无法更改策略及相关配置；（提供功能截图，加盖公章）★

4. 针对产品的登陆信息可根据用户实际情况自定义修改，如：系统名称、登陆图片背景。

5. 支持插件后台自动升级功能；

6. 支持数据库后台每天自动备份功能，可选择每天、每周的固定时间以及备份的时间点设置功能；（提供功能截图，加盖公章）★

7. 系统必须支持外挂外部存储功能，可将系统中所产生的部分数据存储到外部存储区域；

8. 功能列表中的基本功能在一个平台上实现，没有第二平台。★

9. 插件保护功能，终端管理插件无法被恶意结束、删除、卸载等行为结束；

10. 支持管理插件卸载的热键呼出及卸载密码设置功能。

准入要求

准入技术

1. 准入技术支持802.1x、PBR、WebPortal、DHCP、SNMP、端口镜像、透明网桥等方式（提供功能截图，加盖公章）；★

2. 准入技术支持IPV6网络；（提供功能截图，加盖公章）★

3. 针对复杂的网络接入环境，准入技术支持单独和或组合使用的方式同时使用（提供功能截图，加盖公章）★

4. 可对网络划分不同的网络访问范围，至少能够划分合法用户访问范围、安全隔离用户访问范围、来宾用户访问范围，各范围可以根据实际需要进行删减就修改（提供功能截图，加盖公章）★

5. 支持准入阻断页面并能够在页面中详细描述被准入的原因。

准入实施要求

1. 支持准入范围的自定义设置功能，可以根据需要设置准入生效范围，范围内的用户入网时能够在阻断的同时进行入网流程引导，引导用户主动完成入网操作；

2. 支持阻断跨NAT路由器下未安装插件的计算机，放行合法的计算机；（须提供现场功能演示或功能截图）

3. 能够与终端的安全测评结果联动，根据测评结果进行终端的阻断与放行处理；

4. 能够自定义终端的网络访问范围，可支持对特殊单个或多个服务器进行允许或拒绝访问的单独设置；

5. 支持DHCP服务设置功能，为网内的用户进行IP地址的分配操作；（提供功能截图，加盖公章）★

6. 支持DHCP与其他准入功能的联动应用，对不同人员分配的不同IP地址进行不同网络权限的划分。

例外设置

1. 支持针对特殊终端的白名单放行处理，无须安装插件测评即可入网；放行依据包括IP地址、MAC地址、IP地址段；★

2. 支持针对特殊终端的黑名单阻断处理，不允许其接入网络；

3. 能够实现特定服务器地址的放行功能，访问此服务器时不做准入阻断处理；

4. 支持端口防火墙功能，能够自定义设置自动放行和拒绝放行的端口，支持端口段设置；（提供功能截图，加盖公章）★

违规外联管理

事前预防管理（提供功能截图，加盖公章）★

1. 禁止使用无线网卡；

2. 3G无线上网卡使用管理，支持3G上网卡接入报警、禁用3G上网卡的管理功能；

3. 禁止手机代理上网；

4. 禁止使用无线热点；

5. 禁止使用其它网卡（支持对虚拟网卡的单独设置）；

6. 禁止修改IP地址；

7. IP/MAC绑定，可设置允许修改DNS；

8. 禁止使用调制解调器；

事中阻断报警处理（提供功能截图，加盖公章）★

1. 能够及时发现终端发生违规外联或具备外联的能力；

2. 违规外联后能够对违规终端进行报警提示操作，支持自定义终端报警内容；

3. 触发报警后，支持对终端进行放置隔离区、锁定屏幕、关闭计算机等应急处理措施；

4. 触发报警后，支持向管理员发送报警短信、报警邮件以及控制台弹窗报警功能。

5. 触发报警关闭计算机时，支持进行关机前的缓冲时间设置。

6. 支持内网网段自定义功能，可自由调整内网IP范围；

事后报表统计管理

1. 支持对违规外联行为的事后数据统计汇总行为，汇总分析结果支持通过饼图、趋势图的形式进行展示；

2. 支持对报警信息的导出、打印功能。

身份鉴别

鉴别技术

1. 支持口令鉴别方式，包括：准入口令鉴别、AD域身份鉴别、LDAP身份鉴别、EMAIL身份鉴别；

2. 支持硬件鉴别方式，包括：Ukey身份鉴别、CA证书鉴别；

3. 支持动态短信鉴别方式；

4. 认证方式支持单一或组合的身份认证方式。（提供功能截图，加盖公章）★

强制鉴别

1. 支持未插入合法USBKey后的屏幕锁定管理；

安全测评

安全测评

1. 能够自动对入网终端进行安全项目检查，不符合安全规范的终端不允许接入网络，检查项目包括：移动存储介质、光驱介质、3G上网卡、硬盘系统分区、网络监听端口、IP/MAC 绑定、ARP欺骗、恶意代码防范、操作系统补丁、来宾账户、口令安全、黑名单口令、Windows防火墙、超时锁屏登录、计算机名称、系统服务、远程桌面、系统时间、AD域环境、共享资源、telnet、剩余信息保护、非法进程、合法进程、安装程序、禁止安装程序等终端入网安全检测项；

2. 支持安全测评项目的在线一键检测及一键全部修复功能；（提供功能截图，加盖公章）★

3. 支持设置检测项目的关键项设置，关键项目必须检查通过的才能够接入网络；

4. 支持自动检测、循环评测、一键修复及后台自动修复功能。（提供功能截图，加盖公章）★

报警管理

报警项目

1. 支持硬件变化报警、接入移动存储介质报警、插入光盘报警、接入3G无线上网卡报警、违规外联报警、未安装恶意代码防范程序报警、存在操作系统漏洞报警、终端通信异常报警、ARP攻击报警等违规行为报警；

报警策略

1. 能够对违规终端进行报警提示操作，支持自定义终端报警内容；

2. 触发报警后，支持对终端进行放置隔离区、锁定屏幕、关闭计算机等应急处理措施，以上措施可以单独或同时使用；（提供功能截图，加盖公章）★

3. 触发报警后，支持向管理员发送报警短信、报警邮件以及控制台弹窗报警功能；

4. 触发报警关闭计算机时，支持进行关机前的缓冲时间设置。

网络通信权限管理

离线通信策略

1. 支持用户在线与离线不同的管理策略（须提供产品功能截图）★

2. 支持离线策略设置，支持设置离线后不允许访问任何网络功能；（须提供产品功能截图）★

3. 支持离线后网络访问权限不再限制功能；

在线通信策略

1. 支持禁止合法用户与非法终端通信功能；

2. 支持设置是否允许终端与来宾用户通信功能；

3. 支持设置合法用户与指定部门的来宾用户通信功能；

4. 支持设置合法用户与隔离计算机是否能够通信的功能；

5. 支持设置仅允许与指定部门终端通信的功能；

6. 支持自定义通信过滤规则功能，能够设置与指定IP或IP段允许或禁止通信的功能；（提供功能截图，加盖公章）★

内外网管理

1. 支持设置仅允许访问内网与仅允许访问外网功能设置（提供功能截图，加盖公章）★；

2. 支持设置是否允许用户手动切换内外网功能；

3. 支持自定义设置终端用户可访问外网的时间段配置功能；

4. 支持对外网访问的流量自定义限速功能；

USB管理

USB使用报警

1. 支持对USB存储介质进行使用报警功能，当终端使用USB 存储介质时触发报警操作；（提供功能截图，加盖公章）★

2. 报警后可对终端进行断网、锁屏、关机等处理措施；

3. 触发报警后可向终端用户自定义弹窗报警，可向管理员发送报警消息、报警短信、报警邮件进行提醒；

USB禁止使用

1. 支持对存储类USB设备进行禁用，不影响非存储类USB外设使用；

2. 支持对USB接口使用进行只读权限设置，禁止通过USB接口向外拷贝数据；

USB 使用申请

1. 终端使用USB时可以主动发起申请操作，申请通过前不允许使用USB存储介质；（提供功能截图，加盖公章）★

2. 管理员可以对USB使用申请进行批准或拒绝操作；（提供功能截图，加盖公章）★

USB使用认证

1. 支持对特定USB存储介质进行白名单放行处理，其他USB存储依然禁用；

2. 支持对只读USB设置例外设备放行，放行后可以进行USB 读写操作；

3. 支持对USB存储介质进行加密处理，加密后仅能在内网使用；

4. 支持对USB存储介质设置内外加密分区功能，内区仅能在内网使用，外网可以在外网使用；

USB使用审计

1. 支持对USB存储介质的插拔行为进行记录；

2. 支持对USB存储介质内的文件操作行为进行详细记录；

3. 支持对USB存储介质审计日志的报表分析功能，包括分布图、趋势图等分析结果展现形式；

终端安全规范

终端安全规范

1. 支持禁用终端所有USB存储设备、便携式设备、光驱介质、无线网卡、3G无线上网卡、手机代理上网、调制解调器、蓝牙设备、其它网卡（除与服务器连接应用的网卡）、打印机等外接设备；

2. 支持IP/MAC绑定以及禁止用户修改IP地址等；

3. 支持设置终端用户的程序黑白名单、禁止进入windows系统的安全模式、定时关机功能、规范计算机名、超时锁屏、注册表设置、浏览器代理、控制面板等安全功能；（提供功能截图，加盖公章）★

4. 支持文件操作、浏览网站、应用程序和网络连接等审计日志功能；

行为审计

1. 支持针对终端的行为安全审计功能，包括上网行为、用户行为、文件操作等行为，具体包括终端浏览网站审计、终端邮件操作审计、即时通讯审计、终端应用程序审计、终端屏幕录像审计、终端计算机5分钟无操作时停止录像、终端流量审计、终端共享访问审计、终端文件操作审计、终端文件打印审计、终端USB文件操作审计、终端刻录审计功能。

2. 支持审计数据的汇总分析功能，并支持通过分布图、趋势图等形式进行分析展现及导出打印功能；（提供功能截图，加盖公章）★

补丁管理

补丁管理

1. 支持对终端的补丁漏洞自动检测功能，能够汇单独或全网终端的补丁漏洞信息；

2. 支持对补丁进行自动安装设置，当检测到终端有未安装补丁时自动进行分发下载及静默安装；

3. 支持补丁下载时的P2P分发功能；

4. 支持对补丁未安装的报警功能；

网管维护

资产维护

1. 支持对终端软硬件资产进行全面的管理，包括软硬件资产信息收集、变化报警、报表汇总展现功能

2. 报表汇总展现功能包括对资产分布、变化趋势的报表展现；

3. 可以实现对入网终端的硬件资产分布情况进行分析，包括硬盘大小、型号，内存大小、型号，CPU大小、型号等信息的按日期分析功能，并支持按部门分别统计以上终端的分析内容；（提供功能截图，加盖公章）★

4. 支持以上数据按照分布图、趋势图、详细信息的展示方式，并支持导出、打印等功能。

文件分发

1. 实现从服务器端向客户端分发文件功能，分发的文件类型应包含文件夹，压缩包，可执行程序，办公软件，多媒体文件等，支持单点、多点、分组、全终端推送；

2. 实现软件包下发后，支持通过分发参数的设置实现后台静默安装。

远程桌面管理

1. 集成多种桌面支持工具，包括：远程对话、远程文件传输、远程执行、远程重启、远程截屏等功能。

2. 远程控制不依赖于用户是否登陆，也可以通过远程控制进行用户的注销和切换。管理端在控制用户端时，可以远程关闭用户端键鼠，实现完全控制，远程桌面管理发起时，应保证画面的实时性，实现操作和响应画面传输在1秒之内完成，支持全局热键远程执行的应用。（提供功能截图，加盖公章）★

3. 远程会话功能支持文字交互，允许管理端向客户端主动发起和客户端向指定管理端发起，不允许客户端之间相互发起。

4. 支持强制与请求交互两种远程控制方式；

5. 远程截屏功能可录制视频和图片形式，视频录制可以设置触发时间和触发程序，录制视频质量可设置。

图表汇总分析

报表分析

1. 在线状态分析：通过在线状态分析功能，可以对入网终端的在线情况进行分析，包括在线终端、离线终端、长期离线终端的按日期分析功能，并支持按部门分别统计以上终端的分析内容，同时，支持以上数据按照分布图、趋势图、详细信息的展示方式。

2. 测评状态分析：通过测评状态分析功能，可以按日期结合终端在线率对全网合格与不合格入网终端进行综合分析，并将分析结果通过分布图、趋势图、详细信息的形式进行展示。（提供功能截图，加盖公章）★

3. 入网风险分析：通过入网分析功能，可以按日期对全网终端分部门的入网状况进行综合分析，分析内容包括直接批准、通讯隔离的终端情况，通过对这些数据的综合分析，将分析结果通过分布图、趋势图、详细信息的方式进行展示。

4. 违规事件分析：通过违规事件分析功能，可以按日期对全网终端的违规事件进行分析，包括硬件变化、存储介质使用、非法外联、系统漏洞、ARP攻击等内容，同时支持按部门分别统计以上终端的分析内容，支持按照分布图、趋势图、详细信息的展示方式。

5. 全网安全趋势：通过全网安全趋势功能，可以按日期对网内具有安全隐患的用户进行趋势分析，隐患项目包括违规用户、测评未通过用户、非法接入用户信息，通过对这些数据的综合分析，将分析结果通过折线图的形式展示在首页中，便于管理员及时掌握网内安全趋势。（提供功能截图，加盖公章）★

6. 上网行为分析：通过上网行为分析功能，可以实现对入网终端的上网行为进行分析，包括办公类、新闻来、视频类、游戏类等网站访问的按日期分析功能，并支持按部门分别统计以上终端的分析内容；同时，支持以上数据按照分布图、趋势图、详细信息的展示方式。

7. 硬件信息分析：通过硬件信息分析功能，可以实现对入网终端的硬件资产分布情况进行分析，包括硬盘大小、型号，内存大小、型号，CPU大小、型号等信息的按日期分析功能，并支持按部门分别统计以上终端的分析内容；同时，支持以上数据按照分布图、趋势图、详细信息的展示方式。

8. 软件信息分析：通过软件信息分析功能，可以实现对入网终端的软件安装分布情况进行分析，包括操作系统、杀毒软件分布等软件资产的按日期分析功能，并支持按部门分别统计以上终端的分析内容；同时，支持以上数据按照分布图、趋势图、详细信息的展示方式。

9. 应用使用分析：通过应用使用分析功能，可以实现对入网终端的软件使用分布情况进行分析，包括办公类、聊天类、游戏类等应用使用的按日期分析功能，并支持按部门分别统计以上终端的分析内容；同时，支持以上数据按照分布图、趋势图、详细信息的展示方式。

10. 行为安全审计：通过行为安全审计功能，可以实现对终端的即时聊天、文件操作、 邮件使用、文件打印、USB插拔、屏幕录像等日志信息进行详细的记录，支持对以上数据的高级查询、导出、打印等操作。

可扩展性功能

扩展功能

1. 支持双桌面管理功能，可在同一终端中实现办公桌面和原始桌面，并且可不同桌面间需要实现数据无缝切换。★

2. 可在办公桌面和原始桌面分别实现USB管理、USB操作审计、文件操作审计、网络访问审计、屏幕录像审计，支持提交至现有系统的独立审计服务器中。办公桌面需要支持终端离线登录认证。管理员可限制不同桌面中使用的应用程序，支持用户自定添加办公桌面中的应用，同时办公桌面文件未经审批禁止导出。可限制不同桌面下的网络访问权限等。

3. 在同一平台扩展性功能支持网络运维管理，对主机、虚拟化设备、硬件、网络设备、视讯设备、无线设备、安全设备、存储设备等多种类别设备的监控管理。★

4. 可扩展支持SSH，TELNET，SNMPv1，SNMPv2c，SNMPv3，Agent，WMI等资源的多种发现方式，生成拓扑展示界面，并且支持显示二层网络拓扑和三层网络拓扑，能够准确定位网络问题，并支持创建自定义拓扑，可对拓扑进行导出、复制、重命名等操作。而且支持首页可自定义显示全网系统包括网络、主机、硬件、虚拟化、无线设备、安全设备、存储设备运行总览；★

5. 支持对Oracle、Oracle RAC、MySQL、SQL Server、MongoDB、PostgreSQL等数据库的监控；支持通过SMI-S或snmp协议实现对HP、Hitachi、IBM、SUN、EMC、DDN、昆腾等厂商主流型号存储设备的监控，监控的内容包括风扇、电源、磁盘、控制器等硬件资源工作状态和阵列IO性能；支持服务器硬件监控：支持各品牌小型机、刀片服务器、X86服务器电源、硬盘、风扇、主板、CPU、内存等硬件运行状态的监控。★