XX省XX中心外网终端安全管理系统需求说明.docx

XX省XX中心外网终端安全管理系统需求说明一、概况1 .项目名称：外网终端安全管理系统项目。2 .安装地点：XX省XX中心。二、项目背景和必要性为加强监督检查、落实安全责任，确保重要网络、应用和数据安全，推动统一网络平台、统一安全体系、统一运维管理的一体化建设和业务应用协调发展的指导意见，积极响应非涉密类应用应部署于政务外网的国家政务网络顶层设计要求，建立健省级部门终端网络安全保障体系，提高终端网络安全防护能力，拟采购外网终端安全管理系统项目。三、项目建设内容序号采购内容单位数量备注1外网终端安全管理系统项目项12信创终端安全管理软件改造服务项1提供采购人不少于500点的外网终端安全管理系统3外网终端安全管理系统服务项14安全准入系统项1四、服务要求1、供应商应承诺成立支持维护小组由一名有相关资质的工程师作为项目经理，负责组织和协调采购人的系统维护工作。项目经理需拥有5年以上信息安全工作经验、全日制本科毕业、CISAW、CISP,信息安全等级高级测评师等证书。项目组人员至少3人具备网络安全相关资质证书,证书包括但不限于CISP、CISAW等证书。以上人员须提供相关资格或资质证书复印件及本单位出具的连续近3个月的社会保险证明并加盖投标人公章。2、项目需求分析供应商应充分了解本次采购任务的需求，提供相应的采购需求分析。3、项目实施方案提供具体的项目实施方案和操作规范，包括软件开发、试运行、测试、调优等内容以及组织机构、实施场所、工作程序和步骤、管理和协调方法、关键步骤的思路和要点等，要求按照方案和操作规范实施服务。4、项目对接方案供应商需提供对接方案实现与现有终端安全防护系统无缝对接。5、需求清单5.1终端安全管理系统（客户端及控制中心）技术功能参数技术指标指标要求信创终端安全管理软件改造服务对采购人所属的信创终端安全管理系统做本地化管理中心改造，部署完后要求支持本地化管理以及和省本级管理中心级联。外网终端安全管理系统服务提供采购人不少于500点的外网终端安全管理系统，包含但不限于防病毒、补丁管理、终端管控、终端准入等功能，授权时间三年。安全准入系统提供一套安全准入系统，支持从终端发现、用户注册、认证授权、安全检查、隔离修复、访问控制、入网追溯等“一站式”的入网控制管理流程，并支持多种认证技术及方式，含三年授权。系统管理控制中心：采用B/S架构管理端，具备设备分组管理、策略制定下发、全网健康状况监测、统一杀毒、统一漏洞修复、统一管控、统一终端准入合规、终端软件管理、硬件资产管理以及各种报表和查询等功能。客户端提供控制中心管理所需的相关数据信息，通讯可选择非明文方式；客户端执行最终的木马病毒查杀、漏洞修复等安全操作。产品支持终端保护密码，设置密码后，终端退出或卸载杀毒、或安装控制中心，都需要输入正确的密码方可执行；要求客户端程序具备自保功能，避免被恶意篡改。支持网页访问部署、离线安装包部署、域推送等部署方式，可自定义部署通知邮件及部署通知公告。支持自定义默认分组的终端默认功能模块,包括产品功能模块及实用工具等。支持控制中心防暴力破解，采用手机APP动态令牌方式进行二次认证，针对控制中心高危操作支持动态口令验证，要求令牌APP自主研发（提供产品界面和手机动态令牌APP截图并加盖厂商公章）。支持加密的控制中心远程访问，支持管理账户并发、密码有效期、鉴别失败锁定等设置。支持设置日志上报的带宽限制。支持根据分组、计算机名称、IP地址、操作系统、在线状态等条件的组合筛选出符合条件的终端进行管理。支持控制中心迁移、数据备份、数据恢复；支持多升级服务器。资产管理按终端维度展示终端的硬件、软件、操作系统、网络、进程等信息。支持硬盘序列号收集、支持SN号收集。支持温度检测以折线图形式实时展示CPU、主板、显卡、硬盘的温度变化（提供产品界面截图）。支持统计指定分组或全网的终端扫描数、终端管理软件安装数、未安装终端数及安装率。资产自助登记：新增资产登记类别、设置字段是否必填、设置字段是否显示、设置终端输入类型、可设置设备类型、设备用途、使用人、电话、邮箱等信息要求终端登记。资产自助分组：终端人员自主选择分组，支持终端每隔一个周期重新上报资产信息。支持插件清理，按插件显示展示全网存在的插件和涉及的终端，可清理指定或全部插件、加入信任；按终端显示展示全网每个终端存在的插件，可清理插件（提供产品界面截图）。支持正版软件的正版序列号的读取功能，确保软件正版化（提供产品界面截图）。支持IdaP联动，终端实名认证后自动同步资产信息（提供产品界面截图）。NAC联动：NAC认证成功后，自动填写资产中的使用人信息。日志报表展示全网终端健康状态、报警信息；可方便的查看不健康、亚健康终端列表；展示全网终端病毒库日期比例，可方便的查看全网终端病毒库的情况。展示指定时间段内指定终端修复漏洞，病毒查杀，木马查杀的情况。要求支持邮件报警，可以设定多种触发条件，满足条件后自动发送邮件到相关人。邮件触发条件至少包括：一定时间内的病毒数量阈值、一定时间内的未知文件数量阈值、重点关注的终端发现病毒等。提供系统升级、热备、管理员操作、管理员远程等系统日志。设备联动支持与NGFW、上网行为管理、准入产品联动，达到网关边界联动防御效果（提供产品界面截图）。病毒、恶意代码、木马防护防病毒任务支持病毒木马威胁的快速扫描、全盘扫描、强力扫描、文件专杀、隔离区恢复、系统修复、插件管理。立体防护中心立体防护系统，包含浏览器防护，系统防护，入口防护和隔离防护4大类，其中浏览器防护包含网页防护，看片防护，网购防护，搜索防护，首页锁定，默认浏览器防护，邮件安全防护。系统防护包含摄像头防护，键盘记录防护，文件系统防护，驱动防护，进程防护，注册表防护。入口防护包含下载安全防护，U盘防护，黑客入侵防护，漏洞入侵防护，DNS防护，局域网防护。隔离防护包含可疑程序隔离防护。实时防护文件系统实时防护，支持开机延迟加载，实时监控级别设置高中低三种配置，监控文件类型包含所有文件或者程序及文档。选择级别高监控所有文件对系统有一定影响，需要根据设备配置启用配置。实时防护其他防护能够监控间谍文件，拦截局域网病毒，宏病毒免疫，DLL劫持免疫。自我保护防止程序自身被其他文件破坏或篡改。病毒扫描资源占用比例配置不限制将不限制扫描时CPU资源的占用，程序进行动态自行调整。低资源表明最多占用不超过20%的CPiJ资源。平衡型表明最多占用不超过40%的CPU资源。防感染模式扫描到感染型病毒时，自动进入防感染模式，重新开始全盘扫描并阻止恶意样本反复感染文件。扫描设置项目设置扫描的文件类型，所有文件、仅程序和文档两种模式；发现病毒时处理方式分为程序自动处理、用户选择处理、仅上报不处理三种模式。浏览器防护支持浏览器防护，对篡改浏览器设置的恶意行为进行有效防御，并可以锁定默认浏览器设置（提供产品界面截图）。聊天安全防护检测QQ、MSN、阿里旺旺等常用聊天软件传输文件的安全性，确保传输文件不中毒；检测QQ>YY、飞信等聊天软件中对方发来网址的安全性聊天软件传输某些文件会添加“.重命名”，如果文件安全，将自动去除”.重命名”（提供产品界面截图）。输入法防护要求可以拦截伪装成输入法程序的木马；要求拦截利用输入法启动的木马程序。文件传输防护支持U盘等移动磁盘设备和电脑硬盘间文件传输检测；支持局域网共享文件传输检测。攻击防护能够实时检测和拦截攻击行为，包括改写系统关键文件、修改注册表关键键值、感染移动存储介质、创建系统账号。云修复支持扫描发现文件遭破坏或被感染时触发修复流程，修复通过公有云下载正常文件替换遭破坏的文件（提供产品界面截图）。定时查杀要求能够自定义时间、自定义扫描频率，自定义扫描类型，对终端进行定时查毒，并且可以自定义查杀病毒后的处理方式自定义。黑白名单例外支持文件、目录和数字签名自定义黑白名单的方式来管理全网终端的文件；支持手工导入MD5+SHA1的黑白名单方式，支持txt批量导入方式（提供产品界面截图）；支持下发忽略白名单的病毒扫描；（提供产品界面截图）支持对WindoWS/Linux/国产操作系统终端的文件黑白名单和信任区在服务端统一管理（提供产品界面截图）。病毒查杀统计要求支持通过数字签名或者文件名的方式分别显示文件，方便管理员管理全网终端上报的文件（提供产品界面截图）。支持按病毒、木马、终端等维度统计全网病毒感染状况。要求支持对网内未知文件云查询的控制，可以选择直接连接互联网云查询中心查询，也可以选择采用私有云查杀引擎完成未知文件查询。要求上报文件至少包括:文件名称、发现时间、鉴定结果、文件大小、数字签名和文件所属源计算机等信息。漏洞利用防御要求能够支持XP系统的漏洞利用防御，尤其对通过文件漏洞的攻击行为进行有效检测与防御（提供产品界面截图）。压缩包杀毒要求支持文件解压缩病毒查杀，支持对zip、rar、7z等多种格式的压缩文件查杀能力；设置压缩包的扫描层数，压缩包的格式类型，最大扫描压缩包的大小。备份区隔离区管理可对备份区、隔离区的文件进行有效管理。能够对单个、指定的文件和全部文件，进行文件的删除、恢复等多项管理措施。敲诈者病毒防御对敲诈者病毒提供专有的防护功能（提供产品界面截图）。多杀毒引擎支持云查杀引擎、启发式引擎、脚本查杀引擎、人工智能引擎、BD本地引擎、小红伞本地引擎。云查询配置根据用户部署模式可配置云查询引擎的鉴定模式，共4种，分别为终端直接连接到公有云查询，终端通过控制中心连接到公有云查询，终端连接到鉴定中心查询，终端通过代理服务器连接到公有云端查询。私有云引擎要求产品具备公有云与本地私有云检测能力。支持部署私有云查杀引擎，增强本地隔离网查杀效果。样本库数量要求产品具备公有云检测能力，并且公有云特征储备超过145亿（提供承诺证明，并加盖公司公章）。支持私有云查杀，预置至少8亿黑名单及2亿白名单，终端威胁统一到控制中心查询黑白并进行查杀（提供承诺证明，并加盖公司公章）。病毒库升级管理要求支持服务器端病毒库的定时更新和手动更新两种升级模式。要求支持客户端升级时对网络带宽的保护，可以设定服务器端最大升级带宽（提供产品界面截图）。5.2安全准入系统技术功能参数技术指标指标要求性能参数标准机架设备，1个COnSoIe口，6个千兆电口，2个扩展槽，4TB硬盘，单电源，IU设备。部署管理控制中心采用B/S架构管理，具备分组管理、策略制定下发，系统配置，灵活的管理方式。支持多台准入设备在同一管理平台集中管理，支持设备分组，策略分组下发，分权管理，设备的集中监测等。实现分布式部署，集中管理，满足大型网络环境下的部署要求。设备采用旁路部署方式，避免串行设备部署导致单点故障。不同区域采用不同组合认证技术方式，分支机构独立认证或混合认证管理机制。准入控制支持有线、无线基于应用准入方式，准入配置支持保护服务器区域、例外终端等灵活的配置方式。支持基于应用协议的访问控制，可基于IP、协议端口进行访问流量控制。支持基于受控域的入网流程配置，区分有线和无线网络，能够针对有线和无线网络区域分别采用有客户端和无客户端方式准入。支持以IP地址、IP段形式设置准入例外，在设置范围内的地址，准入设备将对其进行放行处理。支持WebPOrtal认证方式，核心服务器区访问准入，可采用账户口令方式进行认证，认证账号支持有效期设置，支持过期自动删除。支持临时用户的访问申请，可限制临时用户访问时长和过期自动删除，并可限制临时用户入网时间长和过期自动删除。支持通过自动审批和管理员手动审批两种方式进行用户申请审核，审批通过邮件进行通知。支持标准802.Ix准入，支持动态VLAN,支持账号接入有效时间限制，账号在线数量限制。支持基于802.Ix认证的开机自动认证、支持账号和终端绑定认证，账号和接入点绑定认证。支持802.Ix认证技术上基于终端快速认证，与终端管理客户端联动无需输入账号快速入网，避免重复输入账号口令（提供产品界面截图）。支持哑终端MAC例外管理，支持批量例外同类型哑终端设备合规检查支持健康合规检查策略，采用动态检测技术，需支持多种检查机制，至少支持入网检查、定时检查、周期检查机制，针对接入内部网络的计算机终端实行多种安全检查策略，支持分组策略下发控制，拦截不安全终端接入网络（提供产品界面截图）。支持终端安全检查失败处置措施，可基于协议、特定端口、端口范围、特定地址、IP范围、URL来控制终端访问权限，从而无需操作交换机达到终端网络隔离目的，实现细粒度的访问控制管理（提供产品界面截图）。支持对不合规的终端提供软隔离，不符合安全策略的计算机终端进行友好提示，提供终端修复向导，需支持引导修复和一键修复功能，并支持不同区域终端的修复区域定义（提供产品界面截图）。支持对终端所安装的软件、服务、进程检查，设置黑白名单，管理员可以自己编辑黑白名单。支持检查终端用户是否加入AD域，并能与AD域进行联动认证，便于用户统一管理。支持对文件共享检查，检查终端用户是否存在共享目录。支持对不同类别补丁完整性检查，检查类别：高危漏洞、软件安全更新、可选高危、其他及功能性补丁，并对未安装的PC进行引导安装，支持自定义必须安装和禁止安装补丁。外设使用安全检查，检查是否插入自动运行风险性U盘（提供产品界面截图）。支持对关键位置注册表的检查，关键位置文件检查；检查指定的可疑文件或可疑注册表项。支持用户指定软件的存在性检查，软件黑白名单检查。支持系统GUeSt帐户检查、空口令检查，保证账号安全。支持操作系统OS版本检查。支持非法外联检查，支持多个外联地址检查。支持网络配置获取方式检查。支持防火墙检查。支持远程桌面检查。支持IE代理检查。联动能力支持与终端安全管理系统联动能力，支持大面积自动化部署客户端，保证终端安全管理系统的安装覆盖率，防止卸载，规范终端入网流程，保障终端入网的安全可信。实时监测终端是否安装终端安全管理系统，快速引导安装，安装成功后执行合规检查，保障入网终端始终处于合规、可控范围内，实时上报安全动态及入网数据进行风险分析。可支持与ad、LDAP、EmaiKHttP第三方服务器联动认证，来完成用户鉴别功能，以达到终端用户实名制入网，统一认证管理，支持LDAP用户导入，用户映射关系、组织架构导入（提供产品界面截图）。高可用性设备支持双冗余电源，支持HA双机热备/冷备。支持两种及以上准入技术，每种准入技术均具备完善的逃生机制，防止准入设备本身出现问题后对现有网络业务造成影响（提供产品界面截图）。系统需具备多种逃生机制，需支持双机热备HA、支持认证缓存、一键认证放行、第三方服务器异常自动放行，确保非正常情况下，不影响用户网络使用和业务系统的安全，可靠性高（提供产品界面截图）。客户端具有防破坏和卸载能力，对服务、双进程、文件进行有效自我保护机制（提供产品界面截图）。认证会话支持Web认证的在线用户认证会话，认证有效期。支持802.Ix用户认证、主机认证、MAC认证的在线会话。日志报表支持WebPOrtal认证日志报表，可按照认证时间、用户名、接入计算机IP、浏览器、访问地址、入网方式、认证失败记录等入网日志查看日志详情，提供趋势图、柱状图、TOPlO排名等入网访问报表展示。支持802.Ix认证日志报表，可按照认证时间、用户名、接入计算机名、IP、MAC、组织、接入交换机、端口、认证状态、用户类型、认证失败记录入网日志查看日志详情，提供趋势图、柱状图、TOPlO排名等入网认证报表展示。可按照计算机名、IP、组织、检查时间、模板名称、检查项、违规项、入网隔离、各违规项具体内容等详情查看，提供分组统计、按违规项统计、违规次数统计等视角统计分析。可按照计算机名、IP、组织、检查时间、模板名称、检查项、违规项、入网隔离、各违规项具体内容等详情查看，提供分组统计、按违规项统计、违规次数统计等视角统计分析。6、售后服务远程电话支持：提供7X24不间断的全天候服务电话服务支持，不限次。用户方在系统使用过程中如遇到问题，供应商应承诺及时提供电话支持和帮助。重大变更现场支持服务要求：在维保修服务期内，如遇系统改造升级或于系统相关的其他重大变更。供应商需提供工程师现场支持，以保隙变更过程中的出现故障得到有效及时的解决，保证系统软件平稳运行。