外網終端安全管理系統項目需求一、項目背景和必要性為加強監督檢查、落實安全責任，確保重要網絡、應用和數據安全，推動統一網絡平臺、統一安全體系、統一運維管理的一體化建設和業務應用協調發展的指導意見，積極響應非涉密類應用應部署于業務外網的國家業務網絡頂層設計要求，建立健省級部門終端網絡安全保障體系，提高終端網絡安全防護能力，擬采購外網終端安全管理系統項目。二、項目建設內容序號采購內容單位數量備注1外網終端安全管理系統項目項12信創終端安全管理軟件改造服務項1提供采購人不少于500點的外網終端安全管理系統3外網終端安全管理系統服務項14安全準入系統項1三、服務要求1、供應商應承諾成立支持維護小組。由一名有相關資質的工程師作為項目經理，負責組織和協調采購人的系統維護工作。項目經理需擁有5年以上信息安全工作經驗、全日制本科畢業、CISAW、CISP、信息安全等級高級測評師等證書。項目組人員至少3人具備網絡安全相關資質證書，證書包括但不限于CISP、CISAW等證書。2、項目需求分析。供應商應充分了解本次采購任務的需求，提供相應的采購需求分析。3、項目實施方案。提供具體的項目實施方案和操作規范，包括軟件開發、試運行、測試、調優等內容以及組織機構、實施場所、工作程序和步驟、管理和協調方法、關鍵步驟的思路和要點等，要求按照方案和操作規范實施服務。4、項目對接方案。供應商需提供對接方案實現與現有終端安全防護系統無縫對接。5、需求清單5.1終端安全管理系統(客戶端及控制中心)技術功能參數：技術指標指標要求信創終端安全管理軟件改造服務對采購人所屬的信創終端安全管理系統做本地化管理中心改造，部署完后要求支持本地化管理以及和省本級管理中心級聯。外網終端安全管理系統服務提供采購人不少于500點的外網終端安全管理系統，包含但不限于防病毒、補丁管理、終端管控、終端準入等功能，授權時間三年。安全準入系統提供一套安全準入系統，支持從終端發現、用戶注冊、認證授權、安全檢查、隔離修復、訪問控制、入網追溯等“一站式”的入網控制管理流程，并支持多種認證技術及方式，含三年授權。系統管理控制中心：采用B/S架構管理端，具備設備分組管理、策略制定下發、全網健康狀況監測、統一殺毒、統一漏洞修復、統一管控、統一終端準入合規、終端軟件管理、硬件資產管理以及各種報表和查詢等功能。客戶端提供控制中心管理所需的相關數據信息，通訊可選擇非明文方式；

客戶端執行最終的木馬病毒查殺、漏洞修復等安全操作。產品支持終端保護密碼，設置密碼后，終端退出或卸載殺毒、或安裝控制中心，都需要輸入正確的密碼方可執行；

要求客戶端程序具備自保功能，避免被惡意篡改。支持網頁訪問部署、離線安裝包部署、域推送等部署方式，可自定義部署通知郵件及部署通知公告。支持自定義默認分組的終端默認功能模塊,包括產品功能模塊及實用工具等。支持控制中心防暴力破解，采用手機APP動態令牌方式進行二次認證，針對控制中心高危操作支持動態口令驗證，要求令牌APP自主研發（提供產品界面和手機動態令牌APP截圖并加蓋廠商公章）。支持加密的控制中心遠程訪問，支持管理賬戶并發、密碼有效期、鑒別失敗鎖定等設置。支持設置日志上報的帶寬限制。支持根據分組、計算機名稱、IP地址、操作系統、在線狀態等條件的組合篩選出符合條件的終端進行管理。支持控制中心遷移、數據備份、數據恢復；支持多升級服務器。資產管理按終端維度展示終端的硬件、軟件、操作系統、網絡、進程等信息。支持硬盤序列號收集、支持SN號收集。支持溫度檢測以折線圖形式實時展示CPU、主板、顯卡、硬盤的溫度變化。支持統計指定分組或全網的終端掃描數、終端管理軟件安裝數、未安裝終端數及安裝率。資產自助登記：新增資產登記類別、設置字段是否必填、設置字段是否顯示、設置終端輸入類型、可設置設備類型、設備用途、使用人、電話、郵箱等信息要求終端登記。資產自助分組：終端人員自主選擇分組，支持終端每隔一個周期重新上報資產信息。支持插件清理，按插件顯示展示全網存在的插件和涉及的終端，可清理指定或全部插件、加入信任；按終端顯示展示全網每個終端存在的插件，可清理插件。支持正版軟件的正版序列號的讀取功能，確保軟件正版化。支持ldap聯動，終端實名認證后自動同步資產信息。NAC聯動：NAC認證成功后，自動填寫資產中的使用人信息。日志報表展示全網終端健康狀態、告警信息；可方便的查看不健康、亞健康終端列表；

展示全網終端病毒庫日期比例，可方便的查看全網終端病毒庫的情況。展示指定時間段內指定終端修復漏洞，病毒查殺，木馬查殺的情況。要求支持郵件告警，可以設定多種觸發條件，滿足條件后自動發送郵件到相關人。郵件觸發條件至少包括：一定時間內的病毒數量閾值、一定時間內的未知文件數量閾值、重點關注的終端發現病毒等。提供系統升級、熱備、管理員操作、管理員遠程等系統日志。設備聯動支持與NGFW、上網行為管理、準入產品聯動，達到網關邊界聯動防御效果。病毒、惡意代碼、木馬防護防病毒任務支持病毒木馬威脅的快速掃描、全盤掃描、強力掃描、文件專殺、隔離區恢復、系統修復、插件管理。立體防護中心立體防護系統，包含瀏覽器防護，系統防護，入口防護和隔離防護4大類，其中瀏覽器防護包含網頁防護，看片防護，網購防護，搜索防護，首頁鎖定，默認瀏覽器防護，郵件安全防護。系統防護包含攝像頭防護，鍵盤記錄防護，文件系統防護，驅動防護，進程防護，注冊表防護。入口防護包含下載安全防護，U盤防護，黑客入侵防護，漏洞入侵防護，DNS防護，局域網防護。隔離防護包含可疑程序隔離防護。實時防護文件系統實時防護，支持開機延遲加載，實時監控級別設置高中低三種配置，監控文件類型包含所有文件或者程序及文檔。選擇級別高監控所有文件對系統有一定影響，需要根據設備配置啟用配置。實時防護其他防護能夠監控間諜文件，攔截局域網病毒，宏病毒免疫，DLL劫持免疫。自我保護防止程序自身被其他文件破壞或篡改。病毒掃描資源占用比例配置不限制將不限制掃描時CPU資源的占用，程序進行動態自行調整。低資源表明最多占用不超過20%的CPU資源。平衡型表明最多占用不超過40%的CPU資源。防感染模式掃描到感染型病毒時，自動進入防感染模式，重新開始全盤掃描并阻止惡意樣本反復感染文件。掃描設置項目設置掃描的文件類型，所有文件、僅程序和文檔兩種模式；發現病毒時處理方式分為程序自動處理、用戶選擇處理、僅上報不處理三種模式。瀏覽器防護支持瀏覽器防護，對篡改瀏覽器設置的惡意行為進行有效防御，并可以鎖定默認瀏覽器設置。聊天安全防護檢測QQ、MSN、阿里旺旺等常用聊天軟件傳輸文件的安全性，確保傳輸文件不中毒；

檢測QQ、YY、飛信等聊天軟件中對方發來網址的安全性

聊天軟件傳輸某些文件會添加“.重命名”，如果文件安全，將自動去除“.重命名”。輸入法防護要求可以攔截偽裝成輸入法程序的木馬；要求攔截利用輸入法啟動的木馬程序。文件傳輸防護支持U盤等移動磁盤設備和電腦硬盤間文件傳輸檢測；

支持局域網共享文件傳輸檢測。攻擊防護能夠實時檢測和攔截攻擊行為，包括改寫系統關鍵文件、修改注冊表關鍵鍵值、感染移動存儲介質、創建系統賬號。云修復支持掃描發現文件遭破壞或被感染時觸發修復流程，修復通過公有云下載正常文件替換遭破壞的文件。定時查殺要求能夠自定義時間、自定義掃描頻率，自定義掃描類型，對終端進行定時查毒，并且可以自定義查殺病毒后的處理方式自定義。黑白名單例外支持文件、目錄和數字簽名自定義黑白名單的方式來管理全網終端的文件；

支持手工導入MD5+SHA1的黑白名單方式，支持txt批量導入方式；

支持下發忽略白名單的病毒掃描；支持對windows/Linux/國產操作系統終端的文件黑白名單和信任區在服務端統一管理。病毒查殺統計要求支持通過數字簽名或者文件名的方式分別顯示文件，方便管理員管理全網終端上報的文件。支持按病毒、木馬、終端等維度統計全網病毒感染狀況。要求支持對網內未知文件云查詢的控制，可以選擇直接連接互聯網云查詢中心查詢，也可以選擇采用私有云查殺引擎完成未知文件查詢。要求上報文件至少包括:文件名稱、發現時間、鑒定結果、文件大小、數字簽名和文件所屬源計算機等信息。漏洞利用防御要求能夠支持XP系統的漏洞利用防御，尤其對通過文件漏洞的攻擊行為進行有效檢測與防御。壓縮包殺毒要求支持文件解壓縮病毒查殺，支持對zip、rar、7z等多種格式的壓縮文件查殺能力；

設置壓縮包的掃描層數，壓縮包的格式類型，最大掃描壓縮包的大小。備份區隔離區管理可對備份區、隔離區的文件進行有效管理。能夠對單個、指定的文件和全部文件，進行文件的刪除、恢復等多項管理措施。敲詐者病毒防御對敲詐者病毒提供專有的防護功能。多殺毒引擎支持云查殺引擎、啟發式引擎、腳本查殺引擎、人工智能引擎、BD本地引擎、小紅傘本地引擎。云查詢配置根據用戶部署模式可配置云查詢引擎的鑒定模式，共4種，分別為終端直接連接到公有云查詢，終端通過控制中心連接到公有云查詢，終端連接到鑒定中心查詢，終端通過代理服務器連接到公有云端查詢。私有云引擎要求產品具備公有云與本地私有云檢測能力。支持部署私有云查殺引擎，增強本地隔離網查殺效果。樣本庫數量要求產品具備公有云檢測能力，并且公有云特征儲備超過145億。支持私有云查殺，預置至少8億黑名單及2億白名單，終端威脅統一到控制中心查詢黑白并進行查殺。病毒庫升級管理要求支持服務器端病毒庫的定時更新和手動更新兩種升級模式。要求支持客戶端升級時對網絡帶寬的保護，可以設定服務器端最大升級帶寬。5.2安全準入系統技術功能參數：技術指標指標要求性能參數標準機架設備，1個Console口，6個千兆電口，2個擴展槽，4TB硬盤，單電源，1U設備。部署管理控制中心采用B/S架構管理，具備分組管理、策略制定下發，系統配置，靈活的管理方式。支持多臺準入設備在同一管理平臺集中管理，支持設備分組，策略分組下發，分權管理，設備的集中監測等。實現分布式部署，集中管理，滿足大型網絡環境下的部署要求。設備采用旁路部署方式，避免串行設備部署導致單點故障。不同區域采用不同組合認證技術方式，分支機構獨立認證或混合認證管理機制。準入控制支持有線、無線基于應用準入方式，準入配置支持保護服務器區域、例外終端等靈活的配置方式。支持基于應用協議的訪問控制，可基于IP、協議端口進行訪問流量控制。支持基于受控域的入網流程配置，區分有線和無線網絡，能夠針對有線和無線網絡區域分別采用有客戶端和無客戶端方式準入。支持以IP地址、IP段形式設置準入例外，在設置范圍內的地址，準入設備將對其進行放行處理。支持WebPortal認證方式，核心服務器區訪問準入，可采用賬戶口令方式進行認證，認證賬號支持有效期設置，支持過期自動刪除。支持臨時用戶的訪問申請，可限制臨時用戶訪問時長和過期自動刪除，并可限制臨時用戶入網時間長和過期自動刪除。支持通過自動審批和管理員手動審批兩種方式進行用戶申請審核，審批通過郵件進行通知。支持標準802.1x準入，支持動態VLAN，支持賬號接入有效時間限制，賬號在線數量限制。支持基于802.1x認證的開機自動認證、支持賬號和終端綁定認證，賬號和接入點綁定認證。支持802.1x認證技術上基于終端快速認證，與終端管理客戶端聯動無需輸入賬號快速入網，避免重復輸入賬號口令。支持啞終端MAC例外管理，支持批量例外同類型啞終端設備。合規檢查支持健康合規檢查策略，采用動態檢測技術，需支持多種檢查機制，至少支持入網檢查、定時檢查、周期檢查機制，針對接入內部網絡的計算機終端實行多種安全檢查策略，支持分組策略下發控制，攔截不安全終端接入網絡。支持終端安全檢查失敗處置措施，可基于協議、特定端口、端口范圍、特定地址、IP范圍、URL來控制終端訪問權限，從而無需操作交換機達到終端網絡隔離目的，實現細粒度的訪問控制管理。支持對不合規的終端提供軟隔離，不符合安全策略的計算機終端進行友好提示，提供終端修復向導，需支持引導修復和一鍵修復功能，并支持不同區域終端的修復區域定義。支持對終端所安裝的軟件、服務、進程檢查，設置黑白名單，管理員可以自己編輯黑白名單。支持檢查終端用戶是否加入AD域，并能與AD域進行聯動認證，便于用戶統一管理。支持對文件共享檢查，檢查終端用戶是否存在共享目錄。支持對不同類別補丁完整性檢查，檢查類別：高危漏洞、軟件安全更新、可選高危、其他及功能性補丁，并對未安裝的PC進行引導安裝，支持自定義必須安裝和禁止安裝補丁。外設使用安全檢查，檢查是否插入自動運行風險性U盤。支持對關鍵位置注冊表的檢查，關鍵位置文件檢查；檢查指定的可疑文件或可疑注冊表項。支持用戶指定軟件的存在性檢查，軟件黑白名單檢查。支持系統Guest帳戶檢查、空口令檢查，保證賬號安全。支持操作系統OS版本檢查。支持非法外聯檢查，支持多個外聯地址檢查。支持網絡配置獲取方式檢查。支持防火墻檢查。支持遠程桌面檢查。支持IE代理檢查。聯動能力支持與終端安全管理系統聯動能力，支持大面積自動化部署客戶端，保證終端安全管理系統的安裝覆蓋率，防止卸載，規范終端入網流程，保障終端入網的安全可信。實時監測終端是否安裝終端安全管理系統，快速引導安裝，安裝成功后執行合規檢查，保障入網終端始終處于合規、可控范圍內，實時上報安全動態及入網數據進行風險分析。可支持與AD、LDAP、Email、Http第三方服務器聯動認證，來完成用戶鑒別功能，以達到終端用戶實名制入網，統一認證管理，支持LDAP用戶導入，用戶映射關系、組織架構導入。高可用性設備支持雙冗余電源，支持HA雙機熱備/冷備。支持兩種及以上準入技術，每種準入技術均具備完善的逃生機制，防止準入設備本身出現問題后對現有網絡業務造成影響。系統需具備多種逃生機制，需支持雙機熱備HA、支持認證緩存、一鍵認證放行、第三方服務器異常自動放行，確保非正常情況下，不影響用戶網絡使用和業務系統的安全，可靠性高。客戶端具有防破壞和卸載能力，對服務、雙進程、文件進行有效自我保護機制。認證會話支持Web認證的在線用戶認證會話，認證有效期。支持802.1x用戶認證、主機認證、MAC認證的在線會話。日志報表支持webportal認證日志報表，可按照認證時間、用戶名、接入計算機IP、瀏覽器、訪問地址、入網方式、認證失敗記錄等入網日志查看日志詳情，提供趨勢圖、柱狀圖、TOP10排名等入網訪問報表展示。支持802.1x認證