架构要求

标准采用B/S架构，便利易操作管理设计；

支持VPN/拨号接入、分支机构联动管理；

★服务器系统采用linux操作系统；

提供断电保护机制，如心跳、Bypass等，确保异常时网络不受影响。

性能要求

客户端插件支持X32\X64平台的 Win2003/XP/Vista/WIN7/WIN8/WIN10操作系统；

★客户端插件支持X32\X64平台的Linux操作系统，包括但不限于Centos、Ubuntu、Fedora、NeoKylin。

★提供不少于400个终端授权

配置要求

(硬件参数)

★提供专用1/2U机型专用硬件服务器；

峰值事务处理能力≥500000事件数/秒；

标准配置至少具备6个千兆RJ45接口；

具有一个网口扩展槽位，支持4个端口千兆光纤扩展或2个万兆光口扩展；

支持冗余电源扩展。

部署要求

支持旁路、网桥、网关3种部署方式；

支持逻辑旁路及串接方式部署；

设备部署过程中不改变原有网络结构及网络、安全等设备的配置且无客户端；

★支持多级级联管理，独立级联数据汇总服务器，统一管理平台；

支持HUB及无线AP环境部署，兼容现有网络设备，支持傻瓜式交换机和路由器；

★支持多网络出口环境，网内可同时部署多台准入服务器，统一平台管理，自定义管辖IP范围；

支持双机热备，主机故障时备机自动切换，确保服务器的高可用性。

平台要求

产品控制平台管理账户支持三权分立，具有系统管理员、系统审计员、系统操作员管理账号；

系统支持能够根据管理需要自定义添加账号；

系统新建账号支持只读设置功能，只读账号仅能查看系统功能，无法更改策略及相关配置；（提供功能截图，加盖投标人公章，不提供做负偏离处理）

针对产品的登录信息可根据用户实际情况自定义修改，如：系统名称、登录图片背景；

支持插件后台自动升级功能；

支持数据库后台每天自动备份功能，可选择每天、每周的固定时间以及备份的时间点设置功能；

系统必须支持外接存储功能，可将系统中所产生的部分数据存储到外部存储区域；

功能列表中的基本功能在一个平台上实现，没有第二平台；

★插件保护功能，终端管理插件所需进程均需隐藏，无法被恶意结束、删除、卸载等行为结束；

支持管理插件卸载的热键呼出及卸载密码设置功能。

准入技术要求

准入技术支持802.1x、PBR、WebPortal、DHCP、SNMP、端口镜像、透明网桥等方式；（提供功能截图，加盖投标人公章，不提供做负偏离处理）

准入技术支持IPV6网络；（提供功能截图，加盖投标人公章，不提供做负偏离处理）

针对复杂的网络接入环境，准入技术支持单独和或组合使用的方式同时使用；（提供功能截图，加盖投标人公章，不提供做负偏离处理）

可对网络划分不同的网络访问范围，至少能够划分合法用户访问范围、安全隔离用户访问范围、来宾用户访问范围，各范围可以根据实际需要进行修改；（提供功能截图，加盖投标人公章，不提供做负偏离处理）

支持拓扑发现及展现功能，并可进行拓扑图的自定义绘制；

★支持重定向引导页面并能够详细描述被准入的原因。

准入实施要求

支持准入范围的自定义设置功能，可以根据需要设置准入生效范围，范围内的用户入网时能够在阻断的同时进行入网流程引导，引导用户主动完成入网操作；

★支持阻断跨NAT路由器下未安装插件的计算机，放行合法的计算机；

能够与终端的安全测评结果联动，根据测评结果进行终端的阻断与放行处理；

支持DHCP服务设置功能，为网内的用户进行IP地址的分配操作；（提供功能截图，加盖投标人公章，不提供做负偏离处理）

支持DHCP与其他准入功能的联动应用，对不同人员分配的不同IP地址进行不同网络权限的划分。

网络拓扑

★支持在拓扑图中对网络设备背板进行管理。（提供功能截图，加盖投标人公章，不提供做无效标处理）

IP地址管理

支持以IP地址池的方式图形化查看网络内的已占用、未占用、长期离线和非法入侵IP，可在地址池中的各地址添加备注，并有报警和图表展示功能。（提供功能截图，加盖投标人公章，不提供做负偏离处理）

设备信息

支持通过全局设备感知技术自动发现网络中的PC、移动终端、智能设备和哑终端，可详细展示设备的IP、MAC、主机名、操作系统、设备更新时间、在线状态和信任状态；并可对设备进行信任、隔离、永久信任、解除信任等操作，支持批量操作。（提供功能截图，加盖投标人公章，不提供做负偏离处理）

例外设置

支持针对特殊终端的白名单放行处理，无须安装插件测评即可入网；放行依据包括IP地址、MAC地址、IP地址段；

★支持针对特殊终端的黑名单阻断处理，不允许其接入网络；

能够实现特定服务器地址的放行功能，访问此服务器时不做准入阻断处理；

支持端口防火墙功能，能够自定义设置自动放行和拒绝放行的端口，支持端口段设置。（提供功能截图，加盖投标人公章，不提供做负偏离处理）

事前预防管理（提供功能截图，加盖投标人公章，不提供做负偏离处理）

禁止使用无线网卡；

禁用3G无线上网卡；

禁止手机代理上网；

禁止使用无线热点；

禁止使用其它网卡；（支持对虚拟网卡的单独设置）

IP/MAC绑定，可设置允许修改DNS；

禁止使用调制解调器。

事中阻断报警处（提供功能截图，加盖投标人公章，不提供做负偏离处理）

能够及时发现终端发生违规外联或具备外联的能力；

违规外联后能够对违规终端进行报警提示操作，支持自定义终端报警内容；

触发报警后，支持对终端进行放置隔离区、锁定屏幕、关闭计算机等应急处理措施；

触发报警后，支持向管理员发送报警短信、报警邮件以及控制台弹窗报警功能；

触发报警关闭计算机时，支持进行关机前的缓冲时间设置；

支持内网网段自定义功能，可自由调整内网IP范围。

事后报表统计管理

支持对违规外联行为的事后数据统计汇总行为，汇总分析结果支持通过饼图、趋势图的形式进行展示；

支持对报警信息的导出、打印功能。

身份鉴别技术

支持口令鉴别方式，包括：准入口令鉴别、AD域身份鉴别、LDAP身份鉴别、EMAIL身份鉴别；

支持硬件鉴别方式，包括：Ukey身份鉴别、CA证书鉴别；

支持动态短信鉴别方式；

认证方式支持单一或组合的身份认证方式。（提供功能截图，加盖投标人公章，不提供做负偏离处理）

强制身份鉴别

支持未插入合法UKey后的屏幕锁定管理。

安全测评

能够自动对入网终端进行安全项目检查，不符合安全规范的终端不允许接入网络，检查项目包括：网络监听端口、IP/MAC 绑定、ARP欺骗、恶意代码防范、操作系统补丁、来宾账户、口令安全、黑名单口令、Windows防火墙、超时锁屏登录、系统服务、远程桌面、系统时间、AD域环境、共享资源、telnet、红名单程序、黑名单程序等终端入网安全检测项；

支持设置检测项目的关键项设置，关键项目必须检查通过的才能够接入网络；

支持自动检测、循环评测、一键修复及后台自动修复功能。（提供功能截图，加盖投标人公章，不提供做负偏离处理）

报警项目

支持硬件变化报警、违规外联报警、未安装恶意代码防范程序报警、存在操作系统漏洞报警、ARP攻击报警、终端流量超出阈值报警等违规行为报警。

报警策略

能够对违规终端进行报警提示操作，支持自定义终端报警内容；

★触发报警后，支持对终端进行放置隔离区、锁定屏幕、关闭计算机等应急处理措施，以上措施可以单独或同时使用；（提供功能截图，加盖投标人公章，不提供做无效标处理）

触发报警后，支持向管理员发送报警短信、报警邮件以及控制台弹窗报警功能；

触发报警关闭计算机时，支持进行关机前的缓冲时间设置。

离线通信策略

支持用户在线与离线不同的管理策略；（提供功能截图，加盖投标人公章，不提供做负偏离处理）

支持离线策略设置，支持设置离线后不允许访问任何网络功能；（提供功能截图，加盖投标人公章，不提供做负偏离处理）

支持离线后网络访问权限不再限制功能。

在线通信策略

支持禁止合法用户与非法终端通信功能；

支持设置是否允许终端与来宾用户通信功能；

支持设置合法用户与指定部门的来宾用户通信功能；

支持设置合法用户与隔离计算机是否能够通信的功能；

支持设置仅允许与指定部门终端通信的功能；

支持自定义通信过滤规则功能，能够设置与指定IP或IP段允许或禁止通信的功能。（提供功能截图，加盖投标人公章，不提供做负偏离处理）

USB禁止使用

支持对存储类USB设备进行禁用，不影响非存储类USB外设使用；

支持对USB接口使用进行只读或读写权限设置，禁止通过USB接口向外拷贝数据。

USB 使用申请

终端使用USB时可以主动发起申请操作，申请通过前不允许使用USB存储介质；（提供功能截图，加盖投标人公章，不提供做负偏离处理）

管理员可以对USB使用申请进行批准或拒绝操作。（提供功能截图，加盖投标人公章，不提供做负偏离处理）

USB使用认证

支持对特定USB存储介质进行白名单放行处理，其他USB存储依然禁用；

支持对只读USB设置例外设备放行，放行后可以进行USB 读写操作；

支持对USB存储介质进行全盘加密处理，加密后仅能在内网使用；

支持对USB存储介质设置内外加密分区功能，内区仅能在内网使用，外网可以在外网使用。

USB使用审计

支持对USB存储介质的插拔行为进行记录；

支持对USB存储介质内的文件操作行为进行详细记录。

终端安全规范

支持禁用终端所有USB存储设备、便携式设备、光驱介质、无线网卡、3G无线上网卡、手机代理上网、调制解调器、蓝牙设备、其它网卡（除与服务器连接应用的网卡）、打印机等外接设备；

支持IP/MAC绑定；

支持设置终端用户的程序黑白名单、网站黑白名单以及SSID黑白名单；禁止进入windows系统的安全模式、定时关机功能、超时锁屏、注册表设置、控制面板等安全功能；（提供功能截图，加盖投标人公章，不提供做负偏离处理）

支持规范桌面壁纸、屏幕保护程序、电源管理（关闭显示器及进入休眠模式的时间设置）。

终端行为审计

支持针对终端的行为安全审计功能，包括上网行为、用户行为、文件操作等行为，具体包括终端浏览网站审计、终端应用程序审计、终端文件操作审计、终端USB插拔审计、终端USB文件操作审计功能。

支持审计数据的汇总分析功能，并支持通过图表的形式进行分析展现及导出、打印功能。（提供功能截图，加盖投标人公章，不提供做负偏离处理）

补丁管理

支持对终端的补丁漏洞自动检测功能，能够汇总单独或全网终端的补丁漏洞信息；

支持对补丁进行自动安装设置，当检测到终端有未安装补丁时自动进行分发下载及静默安装；

支持补丁下载时的P2P分发功能；

支持对补丁未安装的报警功能。

资产维护

支持对终端软硬件资产进行全面的管理，包括信息收集、硬件变化报警、报表汇总展现功能；

报表汇总展现功能包括对资产分布的报表展现；

可以实现对入网终端的硬件资产分布情况进行分析，包括硬盘大小、内存大小、CPU大小等信息的按日期分析功能，并支持按部门分别统计以上终端的分析内容；（提供功能截图，加盖投标人公章，不提供做负偏离处理）

支持以上数据按照分布图和详细信息的展示方式，并支持导出、打印等功能。

文件分发

实现从服务器端向客户端分发文件功能，分发的文件类型应包含文件夹、压缩包、可执行程序、多媒体文件等，支持单点、多点、分组、全终端推送；

实现软件包下发后，支持通过分发参数的设置实现后台自动运行、静默安装。

远程协助

集成多种桌面支持工具，包括：远程对话、远程文件传输、远程执行、远程重启、远程截屏等功能；

远程控制不依赖于用户是否登录，也可以通过远程控制进行用户的注销和切换。管理端在控制用户端时，可以远程关闭用户端键鼠，实现完全控制，远程桌面管理发起时，应保证画面的实时性，实现操作和响应画面传输在1秒之内完成，支持全局热键远程执行的应用；（提供功能截图，加盖投标人公章，不提供做负偏离处理）远程会话功能支持文字交互，允许管理端向客户端主动发起和客户端向指定管理端发起，不允许客户端之间相互发起；

支持强制与请求交互两种远程控制方式；

报表分析

在线状态报表：通过在线状态分析功能，可以对入网终端的在线情况进行分析，包括在线终端、离线终端、长期离线终端的按日期分析功能，并支持按部门分别统计以上终端的分析内容，同时，支持以上数据按照汇总数据与详情数据的分别展示；

违规报警：通过违规事件分析功能，可以按日期对全网终端的违规事件进行分析，包括硬件变化、终端流量超出阈值、非法外联、系统漏洞、ARP 攻击、恶意代码防范等内容，同时支持按部门分别统计以上终端的分析内容，支持以上数据按照汇总数据与详情数据的分别展示；

入网状态：通过入网分析功能，可以按日期对全网终端分部门的入网状况进行综合分析，分析内容包括直接批准、通讯隔离的终端情况，支持以上数据按照汇总数据与详情数据的分别展示；

测评状态：通过测评状态分析功能，可以按日期结合终端在线率对全网合格与不合格入网终端进行综合分析，并将分析结果按照汇总数据与详情数据分别展示；

资产统计：实现对入网终端的软硬件资产情况进行分析，包括硬盘大小、内存大小、CPU 大小、操作系统、应用程序等信息的分析功能，并支持按部门分别统计以上终端的分析内容；

行为审计：实现对终端的上网行为、文件操作、USB插拔、USB文件操作、应用使用等日志信息进行详细的记录，支持对以上数据的高级查询、导出、打印等操作。

功能扩展

★可在同一平台扩展性功能支持网络运维管理，对主机、虚拟化设备、硬件、网络设备、视讯设备、无线设备、安全设备、存储设备等多种类别设备的监控管理；

★可扩展支持SSH，TELNET，SNMPv1，SNMPv2c，SNMPv3，Agent，WMI等资源的多种发现方式，生成拓扑展示界面，并且支持显示二层网络拓扑和三层网络拓扑，能够准确定位网络问题，并支持创建自定义拓扑，可对拓扑进行导出、复制、重命名等操作。而且支持首页可自定义显示全网系统包括网络、主机、硬件、虚拟化、无线设备、安全设备、存储设备运行总览；

★支持对Oracle、Oracle RAC、MySQL、SQL Server、MongoDB、PostgreSQL等数据库的监控；支持通过SMI-S或snmp协议实现对HP、Hitachi、IBM、SUN、EMC、DDN、昆腾等厂商主流型号存储设备的监控，监控的内容包括风扇、电源、磁盘、控制器等硬件资源工作状态和阵列IO性能；支持服务器硬件监控：支持各品牌小型机、刀片服务器、X86服务器电源、硬盘、风扇、主板、CPU、内存等硬件运行状态的监控。