类别

详细参数

性能及部署

要求

1. 产品为软硬件一体机，软硬件均为同一厂商，标准机架式设备，千兆管理口≥1个，千兆扩展口≥1个，USB接口≥2个，RS232串口（RJ-45）≥1个，千兆业务接口≥4 个，console 接口≥1 个；

2. 采用旁路部署模式，不改变现有网络拓扑，以镜像模式获得主干链路流量、具备全网扫描权限和交换机SNMP读权限。支持独立双机热备心跳接口。

3. 支持多种准入功能的扩展，至少支持旁路干扰、策略路由、透明网桥等多种准入控制模式。

4. 支持集群式部署，可通过管理平台统一管理多台准入网关，对其统一下发策略、统一信息收集。

5. 流量吞吐最大支持2.8Gbps,并发连接数200万，单台至少支持4路业务控制，终端在线设备数≥5000。

6. ★实配液晶屏，支持显示的信息包括但不限于设备 IP 地址、系统时间、CPU使用率、内存使用率。

资产发现管理

1. 支持自动发现和识别联网设备，类型要求包括计算机终端、哑终端、服务器终端、网络设备终端、专用设备终端等，并且能够自动识别联网设备的IP地址、主机名、MAC厂商、设备类型、系统类型、设备指纹等。

2. ★内置终端智能识别库支持≥30种设备类型。包括个人电脑、瘦客户端、虚拟机、移动终端、传真机、扫描仪、考勤机、门禁、UPS主机、一体化视频会议终端、网络打印机、IP电话、网络摄像头、POS终端、交换机、路由器、无线路由器、网络设备、无线AP、VMware虚拟化平台、MCU服务器、视频会议录播服务器、视频监督平台、NAS系统、云终端、电能表计量周转柜系统、数字硬盘录像机、考勤系统、CAC在线监测装置系统、LDAP服务器、串口服务器、网络硬盘录像机、视频存储服务器、Linux服务器、Windows服务器和AD域服务器等。

3. 对于未识别成功的终端，支持通过自动扫描辅助人工录入的方式生成设备指纹。

4. 支持视频终端注册，视频终端注册入网支持管理员手动审核和系统自动审核。

5. 支持摄像头、打印机、IP电话等哑终端的页面引导注册，如：摄像头WEB注册重定向引导，可通过身份认证成功的PC访问摄像头自动重定向到摄像头注册页面，填写注册信息进行注册（需提供产品功能截图并加盖厂商公章）

准入控制管理

1. ★支持基于终端心跳包认证，判断入网终端访问合规性。同时要求与一机两用客户端进行绑定使用，注册一机两用客户端后，自动完成终端的认证。

2. 支持本地用户认证，支持自定义本地用户和密码

3. 支持认证超时机制，超时帐户强制自动登出，要求超时时间可以自行配置。

4. 支持尝试登录次数可进行配置，尝试登录失败可锁定帐户，锁定时间可按需配置。

5. 要求支持Portal认证、Ukey认证、IP-MAC认证

6. 要求支持安全域控制功能，可根据角色属性定制不同的安全域，用户认证成功后，安全域角色控制功能自动生效，相关角色帐户只能访问指定的安全控制域。

7. 支持未认证通过用户入网时进行阻断，能够提供Web重定向提醒，并说明入网阻断原因。

8. 支持计算机设备接入网时，自动判断计算机是否符合入网要求，符合入网要求则允许通过认证，不符合要求的直接通过重定向页面跳转方式进行阻断和提示，禁止其访问内部资源。

9. 支持准入策略制定功能,可根据访问IP源、目的域以及准入流程进行策略制定，目的域需是IP、端口以及目录的组合，支持根据部门设置策略。

10. 支持安检规范定义配置功能，可根据用户属性定制不同的安检规范，安检规范应至少包含杀毒软件检查、共享资源检查、系统漏洞检查、软件安装检查、IE主页检查、Guest用户检查、远程桌面检查、系统启动项检查、密码强度检查、系统服务检查、系统进程检查、IE代理检查、一机两用客户端版本检查、一机两用客户端策略检查、端口检查、硬件安装检查、系统弱口令检查、流量检查、注册表检查、系统防火墙检查、IP获取方式检查等，检查类型≥30类；

11. ★支持基于目的IP/MAC地址设置准入控制白名单，对白名单范围内的目的IP/MAC不进行准入控制，支持与一机两用系统中保护和信任设备进行联动，自动同步到系统白名单。

终端加固管理

1. 系统支持对外设设备进行管控，受控外设包括：软驱、光驱、USB移动存储、USB非移动存储、鼠标/键盘、本地打印机、网络打印机、Model、串口、并口、1394接口、红外、蓝牙、PCMCIA、冗余硬盘、无线网卡、普通网卡、磁带机、图像设备、读卡器、未知设备等；

2. 支持外设设备的使用审计，管理员可根据设备类型选择相关日志查询，如光驱、USB移动存储设备、红外设备、蓝牙设备、无线网卡等设备的使用情况；

3. 支持自动识别终端存在的多网卡设备，自动判断与内网服务器通信的网卡，其它冗余网卡识别后可自动禁用；

4. 支持禁用PPPOE协议，能够对拨号类型设备进行阻断控制；

5. 支持禁用IE代理功能，能够对非法的IE代理服务器进行控制；

6. 支持对有线网卡、无线网卡属性自动获取IP地址和静态配置IP地址的按钮进行控制，控制计算机IP地址修改界面的“确认”按钮显示为灰色，无法点击。

7. ★支持对IP地址修改范围进行安全控制，只允许在指定的IP地址范围内修改，超出指定的IP地址范围后，修改界面的“确认”按钮显示为灰色；

8. 支持自动禁用计算机的DHCP服务，支持对DHCP服务的启动进行控制，保证服务无法被启用；

9. 支持禁用无线网卡WIFI热点的扫描功能，禁止无线网卡WIFI热点的连接，禁用计算机无线网卡或Mini WIFI设备创建WIFI热点和连接WIFI功能；

10. 支持禁止计算机连接手机移动网络上网模式进行连接外网；

11. 支持对注册表的修改和监督功能，可对需要的注册表项和键值进行添加、修改、删掉等动作；

12. ★支持对公安网设备进行离网监督控制，当计算机断开公安网后，可根据管理人员的需要设置离开公安网的时间，对超过离网时间的计算机进行锁屏、锁屏并断开网络两种方式进行处理，可设置接入公安网自动解锁，或者通过管理员提供解锁码进行解锁。（需提供产品功能截图并加盖厂商公章）

系统要求

1. 系统必须使用专用服务器和操作系统，操作系统不能基于任何发行版的Windows/Linux等，必须提供后台登陆方式进行验证；

2. 要求系统支持基于https的B/S架构管理、系统支持基于SSH的命令行操作管理界面、系统支持基于serial串口的设备后台管理模式；

3. ★为了系统扩展的易用性和稳定性，准入扩展功能需支持与“一机两用”监控系统客户端接口集成联动，需提供公安网“一机两用”数据对接证明文件，并加盖“一机两用”系统原厂家公章；

4. 为了系统扩展安全性，准入扩展功能的客户端通信支持不采用“永恒之蓝”病毒已封禁的445、135、136、137、138等端口；

5. 系统管理需支持管理员、安全员和审计员三权分立方式。用户使用过程中会自动产生日志记录，审计员账户可以对产生的操作日志进行查看查询；

6. 支持对系统本身业务接口的连接状态以及接口速率进行监督，支持对系统本身的CPU以及内存使用率提供仪表盘式图形化实时监督数据，支持数据自动刷新。

7. 系统支持系统配置备份、导入和导出，一键初始化系统配置；