岱山县财政局网络设备采购补充公告 |
点击:67次 日期:2016-07-15 12:41:19.0 |
指标项 |
技术要求 |
基本要求 |
|
▲系统要求 |
具有独立自主知识产权,须为标准机架式硬件产品,除自身硬件设备外,产品功能的实现无需额外增加服务器等设备。 |
▲性能要求 |
1U机架结构;单电源;配置不少于6个1000MBASE-T接口;每秒事务数(TPS):≥800(次/秒),最大吞吐量:≥300Mbps,最大并发连接数:500(条);支持200个用户认证客户端。 |
高可用性 |
准入设备必须具备HA模式,HA须支持主备机心跳IP检测及虚地址管理模式。 提供第三方监控平台,在出现重大异常情况时能及时通知网络设备放开网络。 |
▲终端部署 |
? 准入设备应至少提供安全客户端(Agent)、安全控件、无客户端等多种可供自定义部署、管理模式。 ? 安全客户端模式部署时,客户端程序应支持功能定制,以降低系统资源耗用,提升客户端兼容性。 |
准入架构 |
|
终端发现 |
? 能够实时监测并发现接入内网的PC、平板电脑、智能手机、IP设备等终端,能够在第一时间隔离阻断并通知管理员。 ? 对自动发现的终端能够按照类别自动归类,以方便网络终端的统计管理。 |
准入技术 |
? 准入设备须原生支持802.1x标准协议,无需第三方RADIUS服务器支持。 ? ▲准入设备支持基于多厂商Virtual Gateway的VLAN隔离技术,实现无客户端环境下端口级准入控制。(功能截图) ? ▲准入设备支持基于策略路由技术的准入控制模式,入网设备在访问网内关键资源时,将被强制隔离、引导至认证管理页面,同时支持交换机接口动态VLAN下发、端口隔离模式的网络边界管理。(功能截图) ? 单台准入设备可支持至少2个核心交换机进行策略路由准入控制。 ? 准入设备可支持端口镜像准入技术,通过对交换机镜像数据的实时分析,能够及时发现并阻断非授权终端的接入。 |
定向引导 |
? 支持终端入网IE重定向引导,当用户访问网页时能够自动转向到指定的页面或地址,并支持http代理及多重重定向引导。 ? 可根据用户的实际环境自定义非80端口的Web服务端口号及用户重定向引导。 ? 能通过浏览器完成身份认证、控件安装、设备注册、安全检查、检查结果展现等全流程引导管理。 ? 具有Mac OS、Linux、iOS、Android等系统专属客户端,支持认证引导和准入管理。 |
违规外联 |
|
违规外联 |
? 能够针对3G拨号、双网卡、随身WIFI、代理等多种违规联网行为做实时检测,不接受间歇性ping外网地址的探测方式。 ? 能够针对违规外联终端进行即时断网,断网方式应支持断开链接、关闭连接进程、断网后重启恢复、重启计算机等多级模式,并能够实时通知管理员。 准入设备能够支持按照用户角色定义、限制员工的内网访问范围,防止其越权访问操作。 |
边界管理 |
|
IP/MAC绑定 |
具有入网设备自动学习功能,支持IP/MAC/端口三者强制绑定,以及违规终端VLAN隔离机制,防止终端仿冒IP接入网络或移动设备位置。 |
主机防火墙 |
? 终端在准入通过后访问域严格受管理员策略控制。 ? 同网段终端无法互相访问,做到精确到端口的高安全性控制。 |
设备私接管理 |
|
▲NAT设备 |
? 具有NAT识别和检测机制能够及时发现网内私接的小路由器、无线AP、随身WIFI等NAT设备,帮助清查通过网中网隐藏的真实网络终端。(功能截图) ? 对通过NAT入网的计算机可以实现准入控制、安全评估和修复等流程化管理 |
▲Hub管理 |
? 能够发现内网私接的Hub、傻瓜交换机等非网管设备,当多台计算机通过Hub接入网络时,能够及时产生告警通知管理员。 ? 准入设备能够采用VLAN隔离、逻辑关闭端口等方式禁止Hub下联计算机接入网络。(功能截图) ? 支持Hub下多个终端需分别认证才能入网和只需一台认证即可全部入网两种认证机制。 |
网络管理 |
|
设备识别 |
? 支持自动识别网络设备类型,包括:交换机、路由器、防火墙等。 ? 支持设备管理模板的定义功能,能够通过SNMP、SSH、TELNET等方式自动、批量添加网络设备。 |
终端网络拓扑 |
? 准入设备支持交换机到终端计算机的网络拓扑管理功能,能够自动绘制出网络拓扑图。(功能截图) ? 能够在拓扑图上选取设备查看其基本状态信息、设备型号、所处位置、子节点、路由表、ARP表等信息。(功能截图) ? 支持在界面上提供对该网络设备进行TELNET、SSH等管理。(功能截图) |
交换机状态展现 |
? 支持可网管型交换机面板图形化展现各接口状态(up、down、trunk等),以及各接口下联的终端详细信息(IP、地址、MAC地址等)。 ? 能够支持自上而下逐级查找终端的具体位置、安全状态、认证用户、上下线时间等信息。 |
AP联动管理 |
能够与主流的AP设备深度联动,支持AP控制器面板的图形展现,包括AP连接状态、下联终端信息(IP地址、MAC地址等)等。 |
DHCP中继 |
? 能提供稳定的DHCP服务,并可以通过DHCP二次地址分配机制实现安全准入管理,支持交换机中继认证方式。 ? 能够根据用户、IP/MAC绑定信息等条件,为指定终端设备分配特定的IP地址。 ? 支持DHCP服务器筛选,防止非法DHCP服务器分发错误地址 |
移动终端入网管理 |
|
终端识别 |
支持当前主流智能终端设备的安全准入控制,能够自动识别主流手机、智能终端等设备。 |
移动终端入网 |
? 提供独立的智能终端入网引导界面的自主定制功能,至少包括界面标题、界面LOGO、界面说明文字等。 ? 能够提供移动终端入网的设备注册功能 |
认证检查 |
? 苹果应用商店提供支持iOS的安全准入app下载安装;支持Android客户端自动生成,以及自动签名等功能。 ? 可提供手机或智能终端强制VPN拨号认证管理。 ? 支持基于Android系统对安全管家、金山手机卫士、NQ Mobile Security、瑞星手机安全软件等安全应用程序的状态安全检查。(功能截图) ? 支持进行基于Android的安装软件、运行进程等的安全检查。(功能截图) |
用户认证管理 |
|
联动认证 |
能够全面结合用户已有的认证或业务系统,可以与RADIUS、LDAP、STMP/POP等采用标准协议的系统做深度联动认证。 |
AD域单点登录 |
? 能够与用户现有的AD域相结合,当用户登录到AD域后,无需二次认证即可入网,避免多次认证的繁琐流程。 ? 当用户未登录到AD域时,该终端将一直被隔离,该状态下只有通过IE页面进行认证才能够入网。 |
短信认证 |
支持短信认证模式,用户在登记入网手机号码后,能够在手机上接收到入网的短信验证码,并在IE页面上利用短信验证码认证入网。 |
来宾管理 |
能够提供来宾角色选择,能够设定来宾设备的访问权限和入网时长,提供临时入网码,支持来宾设备与受访人员进行一对一绑定功能,并可以生成对应的审计报表。 |
接入审核 |
能够针对不同的角色或设备类别有选择的开启入网审核功能,待审核的用户或设备必须经过管理员审批才能入网。 |
终端安全检查 |
|
安全检查库 |
准入设备须提供系统安全配置、用户行为规范等类别检查项,至少提供25种以上安全检查项。 |
系统补丁 |
? 准入设备具有完整的补丁管理子系统,无需第三方补丁服务器支持,自身即可以提供完整的流程化补丁管理,包括同步更新、补丁分类、补丁分发、补丁报表等功能。 ? 能够在IE页面进行入网终端的补丁检查,补丁均划分为严重、重要、中等的类别,能够在IE页面显示出检查结果。 |
防病毒软件 |
支持基于IE页面的杀毒软件状态检查,支持杀毒软件版本、病毒库和运行情况的检查,支持20种以上主流杀毒软件检查,。 |
安全配置检查 |
支持windows密码策略、屏保、共享目录、弱口令、防火墙、网卡配置等项进行检查和修复。 |
健康性检查 |
能够对终端的磁盘使用率、垃圾文件、IE主页、网络监听端口等安全性配置进行检查和修复。 |
客户端检查 |
能够检查主流桌面管理系统(包括Landesk、北信源、威盾、盈高、圣博润等)客户端是否安装及正常运行,支持客户端强制安装。 |
自定义安全检查 |
? 能够对终端文件的路径、版本、大小、MD5、进程、注册表项、服务等项自定义组合检查。 ? 能够通过安装包运行、访问站点、开关服务、关闭进程、执行文件、删除文件、修改注册表等方式进行安全修复。(功能截图) |
终端安全加固 |
能够通过傻瓜式的漏洞修复模式为用户提供简单、形象的漏洞自我修复功能,完全不需要管理员的介入即可完成终端安全风险项修补。 |
资源管理 |
|
软件检查 |
? 通过安全检查检测终端软件安装、使用状态 ? 自动强制为终端安装软件 ? 软件产品授权,支持进行windows、office、WPS的产品授权信息进行检查(功能截图) |
IP地址管理 |
? 提供IP地址分配表,能够通过图示直观的查看各网段中未分配、开机、关机的数量和分布情况。 ? 能够直接、快捷的查看全网终端历史上线、下线、在线时长等详细的IP使用情况。 |
能耗管理 |
提供未关机终端自动统计功能,并能够按照部门、时间段等条件生成统计报表。 |
运维管理 |
|
移动端设备管理 |
移动端管理平台可实现设备快速定位、设备审核、实时报警监控、小助手确认码生成、准入控制器管理、平台基本信息、关机与重启. |
管理角色控制 |
准入设备须采用系统管理员、安全管理员、审计员三权分立机制,防止单个角色管理者权限滥用。 |
网络诊断工具 |
支持通过Web管理界面提供ping、抓包、traceroute、nslookup等功能,并可以设置命令参数进行相关调试。 |
消息群发 |
能够支持在指定的一台或者多台终端计算机上产生桌面消息通知,该消息会立即弹出在用户桌面上,对用户进行提醒。 |
软件分发 |
? 准入设备应具有软件分发和部署功能,管理员可以预定义软件分发的路径、运行参数、是否执行等任务策略,以提升软件部署效率。 ? 能够自动判断并统计软件分发、部署的成功率,支持进程、注册表、安装路径等多种参数的组合判断。 |
报警报表管理 |
|
安全管理报表 |
? 准入设备后台能够按周、月、年统计安全状况走势图。 ? 准入设备后台提供每日入网报告、每周入网报告、每月入网报告。 |
报警信息 |
? 可以提供紧急、重要、次要、提示等多个级别自定义报警模式。 ? 支持系统报警、网络报警、终端报警等类别,超过20种以上自定义报警类型。 ? 支持Syslog报警信息的定向输出。 |
报警提醒 |
准入设备能够以邮件、手机短信、页面消息等多种报警方式提醒管理员各种安全异常状态。 |
产品资质及服务 |
|
▲产品授权及服务 |
提供原厂商针对本项目的授权函及至少三年的售后服务承诺函。 |
中标后三个工作日内,提供样机进行上述功能要求的逐一测试验证,全部通过后才能执行合同流程,测试中发现虚假应标的行为将予以废标处理并保留对该厂商追究相关责任的权利。 |
|
第三方产品联动 |
? 支持与主流上网行为管理系统深度联动,构建内网准入、准出的全面安全管理体系。 ? 能够与主流动态口令认证系统相结合,提供动态密码联动认证机制。 ? 支持与国内外主流U-Key联动认证。 |
案例要求 |
提供至少2个500点以上规模部署案例的项目证明。 |
▲资质要求 |
? 公安部《计算机信息系统安全专用产品销售许可证》 ? 国家保密局《涉密信息系统产品检测证书(网络访问控制产品)》 ? 国家版权局《计算机软件著作权登记证书》 ? 国家知识产权局产品专利2项及以上 |